目录
1.为设备配置登录密码形式(需要在console0 的状态下):
07.只允许某些vlan通过(言外之意:拒绝vlan 1 通过):
02.配置VRRP备份组监视接口(其实就是在主用组上面配置,谁是master谁做track):
1.为设备配置登录密码形式(需要在console0 的状态下):
set authentication password cipher 123 //重新设置密码
或者配置用户名——密码模式:(在user-interface con 0下把认证模式从password改成aaa)
可以为用户设置权限: ——0权限最低
增加某个权限:例如:command-privilege level 0 view user system-view
2.为设备配置提示语句:
设置登录前提示: header login information "welcome”
设置登录后提示:header shell information "haha"
3.配置telent/ssh流程:
A.配置telnet:(password或aaa)
//进入虚拟终端界面 //设置认证模式为aaa
//创建用户账户和密码
再进行测试
B.配置SSH(使用RSA密钥交换进行远程登录):
实验拓扑:
实验流程:
01:R1模拟客户端,R2模拟服务器
02:R2开启SSH服务,配置AAA本地用户
03:交换R1和R2的host主机密钥
04:实现R1远程登录R2
实验配置:
R2开启SSH服务,配置AAA本地用户:
R1和R2创建本地密钥:
查看并复制R1和R2的host密钥:
R1和R2交换对方的密钥:
为SSH用户分配密钥和选择身份认证模式:
再在R1上进行测试。
4.hybird详情见笔记或者视频。。。
5.vlan高级技术:
01:VLAN聚合(Super-VLAN)(VLAN Aggregation): 指在一个物理网络内,用多个VLAN(称为Sub-VLAN)隔离广播域,并将这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN),这些Sub-VLAN使用同一个IP子网和缺省网关,进而达到节约IP地址资源的目的。
相同Sub-VLAN之间可以直接通过二层访问,不同Sub-VLAN间通信通过开启ARP代理。(要实现Sub-VLAN之间的通信,需要在Super-VLAN 的VLANIF中开启ARP代理功能。)
实验流程:
A. [SW1] vlan batch 10 20 #创建Sub-VLAN
B. [SW1] vlan 100 #创建Super-VLAN
[SW1-vlan100] aggregate-vlan
C. [SW1-vlan100] access-vlan 10 20 #将VLAN10,20作为VLAN100的Sub-VLAN
D. [SW1] interface vlanif 100
[SW1-vlanif100] ip address 192.168.1.254 24
[SW1-vlanif100] arp-proxy inter-sub-vlan-proxy enable #使能Sub-VLAN间的Proxy ARP功能
02.MUX VLAN
MUX VLAN分为Principal VLAN(主VLAN)和Subordinate VLAN(从VLAN),Subordinate VLAN又分为Separate VLAN(隔离型从VLAN)和Group VLAN(互通型从VLAN)。
隔离型vlan只能有1个 互通型vlan可以有多个
效果:
能实现和服务器通信
互通型vlan和同vlan之间能够通信
隔离型同vlan之间不能通信
实验流程:
A. [SW1] vlan batch 10 20 30 100 #创建所有VLAN
B. [SW1] vlan 100 [SW1-vlan100] mux-vlan #指定VLAN100为主VLAN
C. [SW1-vlan100] subordinate group 10 20 #指定VLAN10, 20为互通型从VLAN
[SW1-vlan100] subordinate separate 30 #指定VLAN30为隔离型从VLAN [SW1]
D. interface GigabitEthernet0/0/1
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1-GigabitEthernet0/0/1] port mux-vlan enable vlan 10 #接口加入相关VLAN,并且激活MUX VLAN功能 #其他接口与GE0/0/1配置类似,此处省略(所有接口都要激活)
6.生成树STP:
产生原因:以太网交换网络中为了进行链路备份,提高网络可靠性,通常会使用冗余链路。但是使用冗余链路会在交换网络上产生环路,引发广播风暴以及MAC地址表不稳定等故障现象,从而导致用户通信质量较差,甚至通信中断。为解决交换网络中的环路问题,提出了生成树协议STP(Spanning Tree Protocol)。
STP是一个用于局域网中消除环路的协议。
01.判断端口角色:
ROOT(根桥):在所有运行生成树交换机中选举出一个根桥
运行了生成树的交换机会互相发送配置BPDU包(配置BPDU中会携带选举参数会比较BPDU中 BID(优先级+MAC组成【优先级默认32768】)的大小,先比较优先级的大小比小,如果优先级一直则比较MAC地址大小比小)
RP(根端口):在每台非根交换机中选举出一个根端口。(有多少台非根交换机就有多少个根端口)
1.比较RPC 比小 (根路径开销=收到根桥的BPDU包中的RPC字段的值+接口PC)
2.比较BPDU 包发送者BID
3.比较BPDU包发送者PID(pri(128)+端口ID组成:接口ID由两部分构成的,高4 bit是接口优先级,低12 bit是接口编号。)
4.比较BPDU包接收者PID
Root PATH Cost
Port Cost
DP(指定端口):在每条链路上选举出一个指定端口(有多少条链路就有多少个指定端口)
1.比较RPC 比小
2.比较BPDU 包发送者BID
AP(阻塞端口):剩下的端口均为阻塞端口
单区域端口角色:
多区域端口角色:
02.端口状态:
禁用(Disable):该接口不能收发BPDU,也不能收发业务数据帧,例如接口为down
阻塞(Blocking):该接口被STP阻塞。处于阻塞状态的接口不能发送BPDU,但是会持续侦听BPDU,而且不能收发业务数据帧,也不会进行MAC地址学习(接收BPDU 包,不学习MAC地址,不转发数据)
侦听(Listening):当接口处于该状态时,表明STP初步认定该接口为根接口或指定接口,但接口依然处于STP计算的过程中,此时接口可以收发BPDU,但是不能收发业务数据帧,也不会进行MAC地址学习(接收并发送BPDU 包,不学习MAC地址,不转发数据)
学习(Learning):当接口处于该状态时,会侦听业务数据帧(但是不能转发业务数据帧),并且在收到业务数据帧后进行MAC地址学习(接收并发送BPDU 包,学习MAC地址,不转发数据)
转发(Forwarding):处于该状态的接口可以正常地收发业务数据帧,也会进行BPDU处理。接口的角色需是根接口或指定接口才能进入转发状态(接收并发送BPDU 包,学习MAC地址,转发数据)
**从侦听阶段到学习阶段需要等待15s(一个forwarding delay)
从学习到转发需要等待15s(一个forwarding delay)
一个接口从down 到UP 需要等待2个转发延时(30s)
03.STP基础配置:
[Huawei] stp root primary //(可选)配置根桥
配置当前设备为根桥。缺省情况下,交换机不作为任何生成树的根桥。配置后该设备优先级数值自动为0,并且不能更改设备优先级。
[Huawei] stp root secondary //(可选)备份根桥
配置当前交换机为备份根桥。缺省情况下,交换机不作为任何生成树的备份根桥。配置后该设备优先级数值为4096,并且不能更改设备优先级。
关闭STP(做其他实验时为了排除干扰):
undo stp enable 或者 stp disable
7.RSTP:
产生原因:由于STP存在不足之处,RSTP在许多方面对STP进行了优化,它的收敛速度更快,而且能够兼容STP。
01.边缘端口:
概念:如果指定端口位于整个域的边缘,不再与任何交换设备连接,这种端口叫做边缘端口。
作用:边缘端口一般与用户终端设备直接连接,可以由Disabled状态直接转到Forwarding状态。
基本配置:
[Huawei-GigabitEthernet0/0/1] stp edged-port enable
缺省情况下,交换设备的所有端口都是非边缘端口。
02.端口状态:
RSTP的状态规范把原来的5种状态缩减为3种。
03.RSTP实验过程:
A.将SW1指定为根桥,SW2为备份根桥。
SW1开启RSTP功能:
[SW1] stp mode rstp
[SW1] stp enable
[SW1] stp root primary
SW2开启RSTP功能:
[SW2] stp mode rstp
[SW2] stp enable
[SW2] stp root secondary
SW3开启RSTP功能:
[SW3] stp mode rstp
[SW3] stp enable
B.SW3开启边缘端口:
[SW3-Ethernet0/0/1] stp edged-port enable
C.开启根保护和BPDU包防护
SW1开启根保护功能:
[SW1-GigabitEthernet0/0/1] stp root-protection
[SW1-GigabitEthernet0/0/2] stp root-protection
SW3开启BPDU保护功能:
[SW3] stp bpdu-protection
实验结束。。。
04.tc 保护
stp tc-protection
stp tc-protection threshold 10
8.MSTP:
产生原因:为了弥补STP和RSTP的缺陷,IEEE于2002年发布的802.1s标准定义了MSTP。 MSTP兼容STP和RSTP,既可以快速收敛,又提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。
01.MSTP基本配置:
配置SW1的MST域及VLAN映射:
[SW1] stp region-configuration
[SW1-mst-region] region-name 1
[SW1-mst-region] instance 1 vlan 2
[SW1-mst-region] instance 2 vlan 3
[SW1-mst-region] active region-configuration
[SW1-mst-region] quit
其他未划分vlan默认在instance 0当中
[Huawei-mst-region] revision-level level xxx //(可选)配置MST域的MSTP修订级别
配置交换设备的MSTP修订级别。缺省情况下,交换设备MST域的修订级别是0。
02.配置MSTP的根桥和备份根桥:
配置MSTP的根桥为SW1,备份根桥为SW2:
[SW1] stp instance 1 root primary
[SW2] stp instance 1 root secondary
[SW1] stp instance 2 root secondary
[SW2] stp instance 2 root primary
或者。。。
stp instance 1 priority 0
stp instance 2 priority 4096
03.多区域配置:
9.以太网链路聚合e-Trunk:
产生原因:
设备之间存在多条链路时,由于STP的存在,实际只会有一条链路转发流量,设备间链路带宽无法得到提升。以太网链路聚合Eth-Trunk:简称链路聚合,通过将多个物理接口捆绑成为一个逻辑接口,可以在不进行硬件升级的条件下,达到增加链路带宽的目的。
01.手工模式配置:
默认状态下:手工模式
02.LACP模式配置:
案例需求描述:
1.SW1、SW2都连接着VLAN10、VLAN20的网络。
2.SW1和SW2之间通过三根以太网链路互联,为了提供链路冗余以及保证传输可靠性,在SW1、SW2之间配置LACP模式的链路聚合,并且手动调整优先级让SW1成为主动端,并配置最大活跃端口为2,另外一条链路作为备份。
SW1的配置如下:
[SW1] interface eth-trunk 1
[SW1-Eth-Trunk1] mode lacp-static
[SW1-Eth-Trunk1] max active-linknumber 2
[SW1-Eth-Trunk1] trunkport gigabitethernet 0/0/1 to 0/0/3
[SW1-Eth-Trunk1] port link-type trunk
[SW1-Eth-Trunk1] port trunk allow-pass vlan 10 20
[SW1-Eth-Trunk1] quit
[SW1] lacp priority 30000
SW2的配置如下:
[SW2] interface eth-trunk 1
[SW2-Eth-Trunk1] mode lacp-static
[SW2-Eth-Trunk1] max active-linknumber 2
[SW2-Eth-Trunk1] trunkport gigabitethernet 0/0/1 to 0/0/3
[SW2-Eth-Trunk1] port link-type trunk
[SW2-Eth-Trunk1] port trunk allow-pass vlan 10 20
[SW2-Eth-Trunk1] quit
实验结束。。。
03.配置系统LACP优先级
[Huawei] lacp priority priority
系统LACP优先级值越小优先级越高,缺省情况下,系统LACP优先级为32768。
04.配置接口LACP优先级
[Huawei-GigabitEthernet0/0/1] lacp priority priority
在接口视图下配置接口LACP优先级。缺省情况下,接口的LACP优先级是32768。接口优先级取值越小,接口的LACP优先级越高。
只有在接口已经加入到链路聚合中才可以配置该命令。
05. 设置负载分担的算法
在interface Eth-Trunk xxx下:
load-balance src-dst-mac
06.开启抢占模式:
lacp preempt enable
07.只允许某些vlan通过(言外之意:拒绝vlan 1 通过):
[e-trunk..]undo port trunk allow-pass vlan 1
但是会导致e-trunk链路down。。。。
解决办法:
A.创建vlan 255(任意一个vlan)
B.修改pvid port trunk pvid 255
C.放行 port trunk allow-pass vlan 255
10.VRRP:
产生原因:
局域网中的用户终端通常采用配置一个默认网关的形式访问外部网络,如果默认网关设备发生故障,那么所有用户终端访问外部网络的流量将会中断。可以通过部署多个网关的方式来解决单点故障,但是需要解决多个网关之间的冲突问题。
VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)既能够实现网关的备份,又能解决多个网关之间互相冲突的问题,从而提高网络可靠性。
01.基本配置和实验过程:
配置要求:
R1与R2组成一个VRRP备份组,其中R1为Master,R2为Backup;
[R1] interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0] ip address 192.168.1.253 24
[R1-GigabitEthernet0/0/0] vrrp vrid 1 virtual-ip 192.168.1.254
[R1-GigabitEthernet0/0/0] vrrp vrid 1 priority 120
VRRP优先级越大越优先
[R2] interface GigabitEthernet0/0/0
[R2-GigabitEthernet0/0/0] ip address 192.168.1.252 24
[R2-GigabitEthernet0/0/0] vrrp vrid 1 virtual-ip 192.168.1.254
[R2-GigabitEthernet0/0/0] vrrp vrid 1 priority 110
Master设备故障恢复时采用抢占模式,抢占延时10秒;
[R1-GigabitEthernet0/0/0] vrrp vrid 1 preempt-mode timer delay 10
Master设备监视上行接口状态实现VRRP主备自动切换。
[R1-GigabitEthernet0/0/0] vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30
02.配置VRRP备份组监视接口(其实就是在主用组上面配置,谁是master谁做track):
03. 配置VRRP备份组联动普通BFD会话:
A.建立BFD会话:
BFD会话作用:
两端建立邻居并相互侦听对方是否存活——可以调用到VRRP中
B.VRRP备份组监视该BFD会话: