华为HCIA

网络参考模型

1、OSI参考模型

---

OSI参考模型又被称为七层模型，由下至上依次为： 物理层：在设备之间传输比特流，规定了电平、速度和电缆针脚等物理特性。 数据链路层：将比特组合成字节，再将字节组合成帧，使用链路层地址（以太网使用 MAC地址）来访问介质，并进行差错检测。 网络层：定义逻辑地址，供路由器确定路径，负责将数据从源网络传输到目的网络。 传输层：提供面向连接或非面向连接的数据传递以及进行重传前的差错检测。 会话层：负责建立、管理和终止表示层实体之间的通信会话。该层的通信由不同设备中的应用程序之间的服务请求和响应组成。 表示层：提供各种用于应用层数据的编码和转换功能，确保一个系统的应用层发送的数据能被另一个系统的应用层识别。 应用层：OSI参考模型中最靠近用户的一层，为应用程序提供网络服务

2、TCP/IP标准参考模型

---

应用层、主机到主机层、因特网层、网络接入层

3、TCP/IP对等模型

应用层、传输层、网络层、数据链路层、物理层

4、TCP/IP协议栈

应用层：telnet、FTP、TFTP（69UDP）、SNMP、HTTP、SMTP（25TCP）、DNS、DHCP
传输层：TCP、UDP
网络层：ICMP、IGMP、IP
数据链路层：PPPoE、Ethernet、PPP、ARP
ARP：根据IP地址获取数据链路层地址的一个TCP/IP协议
主要功能：
将ip地址解析为mac地址
维护IP地址与mac地址的映射关系的缓存，及ARP表项
实现网段内重复IP地址的检测

华为VRP系统

1、VRP的功能
实现统一的用户界面和管理界面 实现控制平面功能，并定义转发平面接口规范 实现各产品转发平面与VRP控制平面之间的交互 屏蔽各产品链路层对于网络层的差异
2、文件类型及其文件名后缀
系统文件：.cc
配置文件：.cfg、.zip、.dat
补丁文件：.pat
PAF文件：.bin

3、存储设备
SDRAM运存、Flash、NVRAM、SD Card 、USB

4、VRP用户级别
0：参观级、可使用ping、tracert、telnet登录、部分display
1：监控级、用于系统维护，可使用display
2：配置级、可使用业务配置命令，包括路由、各个网络层次的命令，向用户直接提供网络服务
3：管理级、可使用基本运行命令，包括文件系统、FTP、TFTP下载、命令级别设置命令以及用于业务故障诊断的debugging命令

5、常见文件系统操作命令
查看当前目录：pwd
显示当前目录下的文件信息：dir
查看文本文件的具体内容：more
修改用户当前界面的工作目录：cd
创建新目录：mkdir
恢复删除的文件：undelete
彻底删除回收站中的文件：reset recycl-bin

网络层协议及IP编址

IP报文包头主要内容
Version：4bit

Header Length：4bit，首部长度，20-60

Type of Service：8bit，服务类型，只有在Qos差分服务时才会起作用

Total Length：16bit，总长度，整个Ip数据包的长度

Identification：16bit，标识，分片重组是会用到该字段

Flags：3bit，标志位

保留段位：0保留

不分段位：1表示“不能分片”；0表示“能分片”

更多段位：1表示“后面还有分片”；0表示“最后一个数据片”

Fragment Offset：12bit，片偏移，分片重组时会用到该字段

Time to Live：8bit，生存时间

Protocol：8bit，协议：下层协议。指出此数据包携带的数据使用何种协议，以便目的主机的IP层将数据部分上交给哪个进程处理

常见值：

-1：ICMP

-2：IGMP

-6：TCP

-17：UDP

Header Checksum：16bit，首部检验

Source IP address：32bit，源IP地址

Destination IP address：32bit，目的IP地址

Options：可变，选项字段

Padding：可变，填充字段，全填0

IP路由基础

1、路由表

路由表通过各种方式发现路由
路由表选择最优的路由条目放入路由表
路由表指导设备对IP报文的转发
路由器通过对路由表的管理实现对路径信息的管理

2、路由表的三种来源 直连路由：

直连接口所在网段的路由

静态路由：由网络管理员手工配置的路由条目

动态路由：路由器通过动态路由协议学习到的路由

3、路由优先级 Preference用来不同路由协议间路由优先级的比较：

优先级越小加入路由表的优先级越高 拥有最高优先级的路由将添加进路由表 常用路由类型的默认优先级 直连：0 静态：60 ospf：10 rip：150

4、度量值 cost（即度量值）用于同一种路由协议内部不同路由的优先级比较:

越小越优，度量值最小的会被添加到路由表中

5、最长匹配原则

当路由器收到一个IP数据包时，会将数据包的目的IP地址与自己本地路由表中的所有路由表项进行逐位比对，直到找到匹配度最长的条目

6、静态路由

由网络管理员手动配置，配置方便，对系统要求低，适用于拓扑结构简单并且稳定的小型网络 缺点是不能自动适应网络拓扑的变化，需要人工干预

7、缺省路由

即默认路由，特殊的静态路由

8、等价路由

来源相同、开销相同的路由都会被加入路由表，形成的路由为等价路由

9、浮动路由

与主用路由相同，仅优先级不同，做主用路由的备份

OSPF基础

1、OSPF协议 报文类型

Hello：周期发送，用来发现和维护OSPF邻居关系
DD：描述本地LSDB的摘要信息，用于两台设备进行数据库同步
LSR：用于向对方请求需要的LSA。设备只有在OSPF邻居双方成功交换DD报文后才会向对方发出LSR报文。
LSU：用于向对方发送其所需的LSA
LSA：用来对收到的LSA进行确认

2、OSPF三大表项

邻居表、LSDB表、OSPF路由表

3、OSPF建立邻接关系的步骤

3.1 建立双向邻居关系（hello）

OSPF路由器首次收到hello报文时会从初始Down状态切换为Init状态
当收到的hello报文中的邻居字段包含自己的router id时，从Init切换为2-way

3.2协商主从（DD）

从2-way转换为Exstart后进行主从关系选举，双方发送空的DD报文，序号为X或Y选举规则为比较Router ID，越大越优，主从关系比较结束后，从Exstart转为Exchange

3.3 相互描述各自的LSDB（DD）

主路由发送新的DD报文描述自己的LSDB，序列号为Y+1，对方回复DD报文，序列号与主路由相同，发完最后一个DD报文之后，邻居状态转为Loading

3.4 更新LSA、同步双方LSDB（LSR、LSU）

从路由向主路由发送LSR报文，请求在Exchange状态下发现的但本地LSDB没有的LSA，主路由回复LSU携带被请求的LSA，从路由收到后回复LS ACK确认收到LSU，当两端的LSDB完全一致时，邻居状态变为Full，然后计算路由

4、OSPF网络类型

接口默认的OSPF网络类型取决于接口所使用的数据链路层封装
一般情况下，链路两端的OSPF接口网络类型必须一致，否则无法建立邻居关系

4.1 P2P（点对点）

一段链路上只能连接两台网络设备的环境。
典型的例子是：PPP链路，当接口采用PPP封装时，OSPF在该接口上采用的缺省网络类型为P2P

4.2 BMA（广播型）

一个允许多台设备接入的支持广播的环境
典型的例子是Ethernet（以太网），当接口采用Ethernet封装时，OSPF在该接口上采用的缺省网络类型为BMA

4.3 NBMA（非广播式多路访问）

一个允许多台网络设备接入且不支持广播的环境
典型的例子是帧中继（Frame-Relay）网络

4.4 P2MP（点到多点）

相当于将多条P2P链路的一端捆绑得到的网络
没有一种链路层协议会被缺省的认为是P2MP网络类型，该类型必须由其他网络类型手动更改，常用做法是将非全通性的NBMA改为点到多点的网络

5、DR与BDR

5.1 三种路由器身份

DR（指定路由器）、BDR（备份指定路由器）、DRother
只允许DR与BDR与其他路由器建立邻接关系，DRother之间不会建立全毗邻的邻接关系，双方停滞在2-way状态，BDR会监控DR状态，并在DR发生故障时接替其角色

5.2 选举规则

路由器DR优先级更高的接口成为该MA（多路访问网络）的DR，如果优先级相等（默认为1）则具有更高的OSPF Router-ID的路由器的接口被选举为DR，并且DR具有非抢占性

6、OSPF域与单区域

6.1 域（Domain）

一系列使用相同策略的连续OSPF网络设备所构成的网络
OSPF会在同一个区域中泛洪LSA，区域内路由器的LSDB同步

6.2 如果只有单区域产生的问题

LSDB越来越庞大，OSPF路由表规模变大，路由器资源消耗变多，设备性能下降，影响数据转发
基于庞大的LSDB进行路由计算变得困难
当拓扑变更时，LSA全域泛洪和全网SPF重计算带来巨大的负担

6.3 OSPF多区域

6.3.1区域的分类

骨干区域（area 0），除area 0外其他所有的区域都称为非骨干区域

6.3.2多区域互联原则

基于防止区域间环路的考虑，非骨干区域之间不能直接连接，所有非骨干区域必须与骨干区域连接

6.4 路由器类型

6.4.1区域内路由器（IR）

该类路由器的所有接口都属于同一个OSPF区域

6.4.2区域间路由器（ABR）

该类路由器的接口同时属于两个以上的区域，但至少有一个接口属于骨干区域

6.4.3骨干路由器（BR）

该类路由器至少有一个接口属于骨干区域

6.4.4自治系统边界路由器（ASBR）

该类路由器与其他AS交换路由信息

6.5 Router ID 的选择顺序

优先从loopback地址中选择最大的IP地址作为设备的ID号如果没有配置loopback接口，则在接口地址中选取最大的IP地址作为设备的ID号

以太网交换基础

1、早期的以太网

建立在CSMA/CD机制上的广播型网络，冲突的产生是限制以太网性能的重要因素

1.1 交换机组网

交换机作为一种能隔绝冲突的二层网络设备，极大的提高了以太网的性能

2、CSMA/CD的工作原理

先听后发、边发边听、冲突停发、随机延迟后重发

2.1 冲突域

连接在同一个介质上所有节点的集合

2.2 广播域

广播报文所能到达的整个访问范围成为二层广播域
全１MAC地址为广播地址

3、以太网帧

3.1 两个标准

Ethernet_II与IEEE802.3

3.2 Ethernet_II以太帧

DMAC：6字节，目的MAC地址，IPv4为6字节，该字段标识帧的接收者
SMAC：6字节，源MAC地址，IPv4为6个字节，该字段标识帧的发送者
Type：2字节，协议类型，
常见值
0x0800：ipv4
0x0806：ARP

3.3 IEEE802.3 LLC以太帧

DSAP：1字节，目的服务访问点，若后面的type为IP，则值为0x06
SSAP：1字节，源服务访问点，若后面的type为IP，则值为0x06
Ctrl：1字节，通常设为0x03，表示无连接服务的IEEE802.2无编号格式

4、MAC地址

IP地址根据网络的拓扑来分配，MAC地址是根据制造商来分配

4.1 MAC地址组成

48比特（6个字节）长，12位的16进制数字
OUI：厂商代码，由IEEE分配，24比特（3字节）剩余24比特由制造商分配

4.2 MAC地址类型

4.2.1单播MAC地址（第七个比特为0的MAC地址）

物理MAC地址，全球唯一，单播地址用来标识链路上的一个单一节点，可以作为目的MAC地址或源MAC地址

4.2.2广播MAC地址（全1的MAC地址，即FF-FF-FF-FF-FF-FF）

用来表示局域网上所有的终端设备
广播MAC地址可以理解为一种特殊的组播MAC地址
目的地址为广播MAC地址的帧发往链路上所有节点

4.2.3组播MAC地址（除广播地址外，第七位比特为1的MAC地址为组播MAC地址）

用来代表局域网上的一组终端
组播MAC地址用于标识链路上的一组节点
目的MAC地址为组播地址的帧发往一组节点
组播MAC地址不能作为源地址，只能作为目的地址

5、MAC地址表

MAC地址表记录了交换机学习到的其他设备的MAC与接口的对应关系，初始状态下交换机MAC地址表为空

5.1 三种帧的处理情况

5.1.1丢弃：

当数据帧目的MAC地址与交换机接收该帧的接口在MAC地址表中对应的MAC地址一样时，交换机会丢弃该帧

5.1.2点对点转发：

当数据帧目的MAC地址与交换机MAC地址表中任意一项吻合，且不是接收该帧的接口对应的MAC地址时，交换机会点对点转发该帧

5.1.3泛洪：

当数据帧目的MAC地址为单播地址且MAC地址表中没有该表项或目的MAC地址为广播MAC地址时，交换机会泛洪该帧，转发到除接收该帧的接口外的所有接口

5.2 MAC地址表项老化时间，华为S系列交换机的老化时间缺省为300秒

5.3 MAC地址表学习过程

1、交换机收到单播帧
2、查询MAC地址表
3、若有表项则转发，若无则泛洪到非接收接口
4、交换机将该帧的源MAC地址与对应的端口编号记录在MAC表中
 

VLAN原理与配置

1、Vlan的好处

灵活构建虚拟工作组
限制广播域
增强局域网的安全性
提高了网络的健壮性

2、vlan tag 标签

802.1Q定义了vlan tag标签

3、以太网帧的类型

有标记帧（Tagged帧）
无标记帧（Untagged帧）

4、vlan数据帧中的主要字段

4.1 TPID：

2字节，标签协议标识符，表示数据帧类型，取值为0x8100时表示IEEE802.1Q的vlan数据帧，不支持802.1Q的设备接收会被丢弃

4.2 PRI：

3比特，优先级，表示数据帧的优先级，用于Qos，取值范围为0-7

5、vlan的划分

基于接口划分
基于MAC地址划分
基于IP子网划分
基于协议划分
基于策略划分

6、Access接口

6.1 特点

仅允许vlan ID与接口PVID相同的数据帧

6.2 接收数据帧的处理

收到Untagged帧时，交换机会在这个帧添加上VID为PVID的Tag，然后再对得到的Tagged标签进行转发操作
收到Tagged帧时，交换机会检查这个帧的Tag中的VID是否与PVID相同，相同则转发，不同则丢弃

6.3 发送数据帧的处理

当一个Tagged帧从本交换机的其他接口进入access接口后，交换机会检查该帧的Tag中的VID是否与PVID相同
如果相同，则将这个帧的Tag进行剥离，然后得到的Untagged帧从链路上发送出去如果不同则丢弃该帧

7、Trunk接口

7.1 特点

仅允许Vlan ID在允许通过列表中的数据帧通过
允许多个VLAN的帧带Tag通过，但只允许一个VLAN的帧从该类接口中上发出时不带Tag

7.2 接收数据帧的处理

收到Untagged帧时，会在这个帧上添加VID为PVID的Tag，然后查看PVID是否在允许通过的VLAN ID列表中，如果在，则对得到的Tagged帧进行转发，否则直接丢弃得到的Tagged帧
收到Tagged帧时，会检查这个帧的Tag中VID是否在允许通过的VLAN ID列表中，如果在，则转发该帧，否则丢弃该帧

7.3 发送数据帧的处理

当一个Tagged帧从本交换机的其他接口到达一个Trunk接口后，如果这个帧的Tag中VID不在允许通过的VLAN ID列表中，则该Tagged帧会被直接丢弃。
当一个Tagged帧从本交换机的其他接口到达一个Trunk接口后，如果这个帧的Tag中VID在允许通过的VLAN ID列表中，则会比较该Tag中的VID是否与接口的PVID相同，相同则剥离Tag，发送得到的Untagged帧，不同则直接将该帧发送出去

8、Hybrib接口

8.1 特点

仅允许Vlan ID在允许通过列表中的数据帧通过
允许多个VLAN的数据帧带Tag通过，且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag、某些VLAN的帧不带Tag与Trunk最主要的区别是能够支持多个VLAN的数据这不带标签通过

8.2 接收数据帧的处理

收到一个Untagged帧后，交换机会在这个帧中添加上VID为PVID的Tag，然后查看PVID是否在Untagged或Tagged VLAN ID列表中，如果在，则对得到的Tagged帧进行转发，如果不在，则直接丢掉得到的Tagged帧收到一个Tagged帧后，交换机会检查这个帧的Tag中的VID是否在Untagged或Tagged VLAN ID列表中，如果在，则对该帧进行转发，如果不在，则直接丢弃该帧

8.3 发送数据帧的处理

当一个Tagged帧从本交换机的其他接口到达一个Hybrid接口后，如果该帧的Tag中的VID既不在Untagged VLAN ID列表中，也不在Tagged VLAN ID列表中，则该帧会直接被丢弃
当一个Tagged帧从本交换机的其他接口到达一个Hybrid接口后，如果该帧的Tag中的VID在Untagged VLAN ID列表中，则交换机会对这个Tagged帧的Tag进行剥离，然后将得到的Untagged帧从链路上发送出去
当一个Tagged帧从本交换机的其他接口到达一个Hybrid接口后，如果该帧的Tag中的VID在Tagged VLAN ID列表中，则交换机不会对这个Tagged帧的Tag进行剥离，然后将得到的Untagged帧从链路上发送出去

9、各类接口总结

9.1 接收数据帧时：

当接收到不带VLAN标签的数据帧时，Access接口、Trunk接口、Hybrid接口都会给数据帧打上VLAN标签，但trunk接口、Hybrid接口会根据数据帧的VID是否为其允许通过的VLAN来判断是否接收，而Access接口则无条件接收
当收到带VLAN标签的数据帧时，Access接口、Trunk接口、Hybrid接口都会根据数据帧的VID是否为其允许通过的VLAN来判断是否接收

9.2 发送数据帧时：

Access接口直接剥离数据帧中的VLAN标签
Trunk接口只有在数据帧中的VID与接口的PVID相等时才会剥离数据帧中的VLAN标签
Hybrid接口会根据接口上的配置判断是否剥离数据帧中的VLAN标签

9.3 总结：

Access接口发出的数据帧肯定不带Tag，Trunk接口发出的数据帧只有一个VLAN的数据帧不带Tag，其他都带VLAN标签，Hybrid接口发出的数据帧可根据需要设置某些VLAN的数据帧带Tag，某些VLAN的数据帧不带Tag

生成树

1、技术背景：

二层交换机网络的冗余性与环路、人为错误导致的二层环路

2、二层环路带来的问题

广播风暴与MAC地址表漂移

3、STP基本概念

3.1 桥ID

由桥优先级与MAC地址构成，用来选举根桥，桥优先级默认为32768，修改的值必须为1024的倍数，优先级越小越优，MAC地址越小越优，先比较优先级，再比较MAC地址

3.2 根桥

桥ID最小的设备，网络的逻辑中心，可发送配置BPDU

3.3 Cost（开销）

交换机的每个端口的开销，用来计算根路径的开销，与带宽、单双工有关，带宽越大，Cost越小

3.4 RPC（根路径开销）

到达根桥的最小开销的路径

3.5 Port ID

由端口优先级和端口号组成，用来确定端口角色，默认128，取值范围为0-240步长为16

4、BPDU

4.1 配置BPDU

包含桥ID、路径开销和端口ID等参数，通过传递配置BPDU来选举根桥以及确定交换机各端口的角色，初始化状态下，每个设备都会发送配置BPDU，网络拓扑稳定后，只有根桥才能主动发送配置BPDU

4.2 TCN　BPDU

非根交换机感知到网络拓扑变化时向根桥发送的拓扑变化的通知

4.3 报文主要字段

BPDU Type：指明BPDU的类型，若值为0x00为配置BPDU，若值为0x80，则为TCN BPDU
Message Age：消息寿命，从根桥上发出配置BPDU之后的秒数
Max Age：最大寿命，默认20秒，当一段时间未收到任何BPDU，生存期达到最大寿命，设备则认为该接口连接的链路发生故障
Hello Time：根桥连续发生配置BPDU之间的时间间隔，默认2秒
Forward Delay：转发延迟，在侦听和学习状态所停留的时间间隔，默认15秒

4.4 配置BPDU的比较规则

最小的根桥ID（BID）
最小的RPC
最小的网桥ID
最小的接口ID

5、STP选举过程

选举根桥
非根网桥选举根端口
选举指定端口
阻塞非根、非指定端口

6、三种端口角色

6.1 指定端口

交换机向所连网段发送配置BPDU的接口，根桥的端口都是指定端口

6.2 根端口

非根网桥去根桥路径最优的端口，一个非根网桥只能有一个根端口，根桥上没有根端口

6.3 预备端口

非根、非指定端口，被阻塞，可以接收并处理BPDU但无法转发用户数据

7、STP计算过程

7.1 STP根桥选举过程

初始状态下，所有交换机都会发送配置BPDU宣告自己时根桥
当交换机收到其他交换机发送的配置BPDU后，会比较BPDU中的桥ID和自己的桥ID
交换机不断交互BPDU，对桥ID进行比较，最终选举出一台桥ID最小的交换机作为根桥，其余为非根桥根桥角色可抢占，当桥ID更小的交换机加入到网络中和，会重新进行计算选举

7.2 STP根端口选举过程

首先比较RPC，其次比较上行接口收到的BID，再其次比较上行交换机的PID，最后比较本机的PID，以上均为一项相同之后才比较下一步，规则均为越小越优

7.3 STP指定端口选举过程

首先比较RPC，其次比较链路两端的BID，再其次比较链路两端的PID，以上均为一项相同之后才比较下一步，规则均为越小越优

7.3 阻塞非指定端口

8、STP的五种接口状态

8.1 Disable

禁用状态，不处理和转发BPDU，也不转发用户流量

8.2 Blocking

阻塞状态，仅能接收和处理BPDU，不能转发BPDU，也不能转发用户流量，预备端口的最终状态

8.3 Listening

侦听状态，可以转发BPDU，但不能转发用户流量，15秒之后进入学习状态

8.4 Learning

学习状态，根据收到的用户流量构建MAC地址表，但不转发用户流量，此状态为了防止临时环路，15秒之后进入转发状态

8.5 Forwarding

转发状态，既可转发用户流量又可转发BPDU报文，只有根端口和指定端口才能进入该状态

9、网络拓扑发生变化

9.1 根桥故障
Max Age超时后，非根桥会发送配置BPDU选举新的根桥，收敛时间为Max Age加上两个Forward Delay，即20+15+15=50s

9.2 直连链路故障

当检测到直连链路故障时，备用端口会从Blocking状态转为Listening-Learning-Forwarding状态，收敛时间为两个Forward Delay即30秒

9.3 非直连链路故障

Max Age超时后，故障链路两端的非根网桥会认为根桥失效，向其他链路发送配置BPDU，而其他非根桥的预备端口一直收不到包含根桥ID的BPDU，在Max Age超时之后，会转发来自上游的包含桥ID的BPDU，发送配置BPDU的交换机接收到其他交换机发送的BPDU时，比较后放弃认为自己是根网桥，同时另一非根网桥的预备端口从Blocking状态转为Listening-Learning-Forwarding状态，收敛时间为Max Age加上两个Forward Delay，即50s

9.4拓扑变更导致MAC地址表错误

非根网桥发送TCN BPDU，根桥收到之后告知其他非根桥MAC地址表的老化时间为Forward Delay 即15s，15s后MAC地址表正常

10、RSTP概述

RSTP可以与STP实现后向兼容

10.1 RSTP的端口角色

根端口（Root）、指定端口、预备端口（Altn）、备份端口（Back）

10.1.1边缘端口

一般与终端设备连接，正常情况下不接收配置BPDU，不参与RSTP运算，直接从Disableding转到Forwarding，一旦边缘端口接收到BPDU会丧失边缘端口属性，成为普通STP端口

10.2 RSTP的端口状态

10.2.1 Disableding

既不转发用户流量，也不学习MAC地址10.2.2 Learning
不转发用户流量但学习MAC地址

10.2.3 Forwarding
端口既转发用户流量，又学习MAC地址

10.3 STP/RSTP的缺陷
所有VLAN共用一棵生成树

10.4 MSTP
兼容STP/RSTP，既快速收敛，又提高冗余路径，实现VLAN数据的负载均衡

10.4.1 MSTP概述
每个生成树为一个实例            

AR1

system-view
sysname Corp-HQ-AR2220-Gateway

# Configure ACL
## NAT ACL
acl name NAT 2000
rule 3 permit source 192.168.2.0 0.0.0.255
rule 4 permit source 192.168.3.0 0.0.0.255
rule 30 permit source 192.168.30.0 0.0.0.255
rule 40 permit source 192.168.40.0 0.0.0.255
rule 70 permit source 192.168.7.0 0.0.0.255
rule 80 permit source 192.168.8.0 0.0.0.255
rule 90 permit source 192.168.9.0 0.0.0.255
rule 160 permit source 172.16.1.0 0.0.0.255
rule 4096 deny
quit

# Configure AAA
aaa
local-user pppuser password cipher hcie
local-user pppuser service-type ppp
quit

# Configuration ip pool
ip pool pppPool
gateway-list 192.168.14.1
network 192.168.14.0 mask 255.255.255.252
quit

# Configure interface
interface GigabitEthernet 0/0/1
ip address 172.16.5.1 255.255.255.252
description To Corp-HQ-S5700-Core01 G0/0/6
quit
interface GigabitEthernet 0/0/2
ip address 172.16.5.6 255.255.255.252
description To Corp-HQ-S5700-Core02 G0/0/6
quit
interface GigabitEthernet 5/0/0
ip address 102.1.1.2 255.255.255.252
nat outbound 2000
description To ISP-AR2240-Internet G0/0/0
quit
interface LoopBack 0
description OSPF router-id
ip address 10.1.1.1 255.255.255.255
quit
interface Serial 1/0/0
description To Corp-BranchA-AR2240-PPP Serial 1/0/0
ip address 192.168.14.1 255.255.255.252
link-protocol ppp
ppp authentication-mode chap
remote address pool pppPool
shutdown
undo shutdown
quit

# Configuration GRE Tunnel
interface Tunnel 0/0/100
description This is a tunnel from 102.1.1.2 to 103.1.1.1
tunnel-protocol gre
ip address 10.1.1.1 255.255.255.252
source 102.1.1.2
destination 103.1.1.1
keepalive
quit

# Configure Router
ip route-static 0.0.0.0 0.0.0.0 102.1.1.1 preference 60 description "HQ Main Default Route"

ospf 10 router-id 10.1.1.1
description Corp-HQ-OSPF Network
default-route-advertise cost 1
silent-interface GigabitEthernet 5/0/0
silent-interface Tunnel 0/0/100
import-route ospf 14 cost 10
import-route ospf 100 cost 10000
area 0
network 172.16.5.0 0.0.0.3
network 172.16.5.4 0.0.0.3
quit
quit

ospf 14 router-id 10.1.1.1
description Corp-PPP-Network, Connect to Corp-BranchA
silent-interface GigabitEthernet 0/0/1
silent-interface GigabitEthernet 0/0/2
silent-interface GigabitEthernet 5/0/0
silent-interface Tunnel 0/0/100
import-route ospf 10 cost 10
default-route-advertise always cost 20
area 0
network 192.168.14.0 0.0.0.3
quit
quit

ospf 100 router-id 10.1.1.1
description GRE Tunnel OSPF Network
silent-interface GigabitEthernet 0/0/1
silent-interface GigabitEthernet 0/0/2
silent-interface GigabitEthernet 5/0/0
silent-interface Serial 1/0/0
import-route ospf 10 cost 10000
area 0
network 10.1.1.0 0.0.0.3
quit
quit

return

save

 AC1

system-view
sysname Corp-HQ-AC6500-AC

vlan batch 100

stp enable
y
stp mode mstp
stp bpdu-protection
stp region-configuration
region-name MSTPCore
instance 1 vlan 30
instance 2 vlan 40 100
active region-configuration
quit

# Configure interface
interface vlan 100
ip address 192.168.100.10 255.255.255.0
description To Manager Vlan100 APs
quit

interface GigabitEthernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 30 40 100
undo port trunk allow-pass vlan 1
description To Corp-HQ-S5700-Core01 G0/0/5
quit
interface GigabitEthernet 0/0/2
port link-type trunk
port trunk allow-pass vlan 30 40 100
undo port trunk allow-pass vlan 1
description To Corp-HQ-S5700-Core02 G0/0/5
quit

# Configure WLAN
capwap source interface vlanif 100
wlan
ap auth-mode mac-auth
ap whitelist mac 00e0-fcff-7db0
ap whitelist mac 00e0-fcd6-3ae0

ap-system-profile name HQ-AP-System01
quit

ssid-profile name HQ-HR-SSID
ssid HR
quit
ssid-profile name HQ-Sale-SSID
ssid Sale
quit

security-profile name HQ-Sec
security wpa2 psk pass-phrase 12345678 aes
y
quit

vap-profile name HQ-HR-VAP
forward-mode direct-forward
service-vlan vlan-id 30
ssid-profile HQ-HR-SSID
security-profile HQ-Sec
quit
vap-profile name HQ-Sale-VAP
forward-mode direct-forward
service-vlan vlan-id 40
ssid-profile HQ-Sale-SSID
security-profile HQ-Sec
quit

ap-group name HQ-AP-HR-Group
vap-profile HQ-HR-VAP wlan 1 radio 0
vap-profile HQ-HR-VAP wlan 1 radio 1
quit
ap-group name HQ-AP-Sale-Group
vap-profile HQ-Sale-VAP wlan 1 radio 0
vap-profile HQ-Sale-VAP wlan 1 radio 1
quit

ap-id 0 ap-mac 00e0-fcff-7db0
ap-name Corp-HQ-AC3030-HRAP
ap-group HQ-AP-HR-Group
y
ap-system-profile HQ-AP-System01
y
quit
ap-id 1 ap-mac 00e0-fcd6-3ae0
ap-name Corp-HQ-AC3030-SaleAP
ap-group HQ-AP-Sale-Group
y
ap-system-profile HQ-AP-System01
y
quit

return
save
 

AR2

system-view
sysname ISP-AR2240-Internet

# Configure interface
interface GigabitEthernet 0/0/0
ip address 102.1.1.1 255.255.255.252
description To Corp-HQ-AR2220-Gateway
quit
interface GigabitEthernet 0/0/1
ip address 103.1.1.2 255.255.255.252
description To Corp-BranchA-AR2240-Gateway 0/0/0
quit
interface GigabitEthernet 0/0/2
ip address 8.8.8.1 255.255.255.0
description To Internet-Client Ethernet0/0/0
quit

# Configuration Routing
ip route-static 202.1.1.0 255.255.255.248 102.1.1.2

return
save

 

AR3

system-view
sysname Corp-BranchA-AR2240-Gateway

vlan batch 3 7 8 9
dhcp enable

# Configuration ACL
acl name NAT 2000
rule 70 permit source 192.168.7.0 0.0.0.255
rule 80 permit source 192.168.8.0 0.0.0.255
rule 90 permit source 192.168.9.0 0.0.0.255
rule 4096 deny
quit
acl number 2100
rule 10 deny source 172.16.5.0 0.0.0.3
rule 20 deny source 172.16.5.4 0.0.0.3
rule 4096 permit
quit

# Configuration interface
interface GigabitEthernet 0/0/0
description To ISP-AR2240-Internet G0/0/1
ip address 103.1.1.1 255.255.255.252
nat outbound 2000
quit

interface GigabitEthernet 0/0/1
description To Corp-BranchA-S5700-CoreSW G0/0/1
quit
interface GigabitEthernet 0/0/1.7
description Vlan 7 termination sub-interface
ip address 192.168.7.254 255.255.255.0
dot1q termination vid 7
arp broadcast enable
dhcp select interface
dhcp server dns-list 172.16.30.1
dhcp server lease day 0 hour 6
quit
interface GigabitEthernet 0/0/1.8
description Vlan 8 termination sub-interface
ip address 192.168.8.254 255.255.255.0
dot1q termination vid 8
arp broadcast enable
dhcp select interface
dhcp server dns-list 172.16.30.1
dhcp server lease day 0 hour 6
quit
interface GigabitEthernet 0/0/1.9
description Vlan 9 termination sub-interface
ip address 192.168.9.254 255.255.255.0
dot1q termination vid 9
arp broadcast enable
dhcp select interface
dhcp server dns-list 172.16.30.1
dhcp server lease day 0 hour 6
quit

interface LoopBack 0
description OSPF Router-ID
ip address 10.2.1.1 255.255.255.255
quit

# Configuration GRE Tunnel
interface Tunnel 0/0/100
description This is a tunnel from 103.1.1.1 to 102.1.1.2
tunnel-protocol gre
ip address 10.1.1.2 255.255.255.252
source 103.1.1.1
destination 102.1.1.2
keepalive
quit

# Configure Router
ip route-static 0.0.0.0 0.0.0.0 103.1.1.2 description "BrA Main Default Route"

ospf 20 router-id 10.2.1.1
description Corp-BranchA-OSPF Network
silent-interface GigabitEthernet 0/0/0
silent-interface Tunnel 0/0/100
import-route ospf 100 cost 10000
area 0
network 192.168.9.0 0.0.0.255
quit
area 70
network 192.168.7.0 0.0.0.255
quit
area 80
network 192.168.8.0 0.0.0.255
quit
quit

ospf 100 router-id 10.2.1.1
description GRE Tunnel OSPF Network
silent-interface GigabitEthernet 0/0/0
silent-interface GigabitEthernet 0/0/1
import-route ospf 20 cost 10000
filter-policy 2100 import
area 0
network 10.1.1.0 0.0.0.3
quit
quit

return
save
 

 

 AR4

system-view
sysname Corp-BranchA-AR2240-PPP

acl number 2014
rule 10 deny source 172.16.5.0 0.0.0.3
rule 20 deny source 172.16.5.4 0.0.0.3
rule 4096 permit

# Configuration PPPoE Server
ip pool PPPoE-Pool01
network 172.16.1.0 mask 255.255.255.0
gateway-list 172.16.1.254
quit

aaa
authentication-scheme pppoe_a
authentication-mode local
quit
domain pppoe
authentication-scheme pppoe_a
quit
local-user user1@pppoe password cipher huawei@123
local-user user1@pppoe service-type ppp
quit

interface Virtual-Template 2
description For BranchB PPP
ppp authentication-mode chap domain pppoe
ip address 172.16.1.254 255.255.255.0
remote address pool PPPoE-Pool01
quit

# Configure interface
interface GigabitEthernet 0/0/0
description To Corp-BranchA-S5700-CoreSW G0/0/4
ip address 192.168.9.10 255.255.255.0
quit
interface GigabitEthernet 0/0/1
description To Corp-BranchB-AR2240-Gateway G0/0/0
pppoe-server bind Virtual-Template 2
quit
interface Serial 1/0/0
description To Corp-HQ-AR2220-Gateway Serial 1/0/0
ppp chap user pppuser
ppp chap password cipher hcie
ip address ppp-negotiate
shutdown
undo shutdown
quit

# Configuration Routing
ip route-static 0.0.0.0 0.0.0.0 192.168.14.1 preference 155 description "BackupDefRoute from HQ-Gateway"

# Configure OSPF
interface LoopBack 0
ip address 10.2.1.2 255.255.255.255
quit

ospf 14 router-id 10.2.1.2
description Corp-PPP-Network, Connect to Corp-HQ
silent-interface GigabitEthernet 0/0/0
silent-interface GigabitEthernet 0/0/1
import-route ospf 20 cost 10
default-route-advertise always cost 20
filter-policy 2014 import
area 0
network 192.168.14.0 0.0.0.3
quit
quit

ospf 20 router-id 10.2.1.2
description Corp-BranchA-OSPF Network
silent-interface GigabitEthernet 0/0/1
silent-interface Serial 1/0/0
default-route-advertise always cost 20
import-route ospf 14 cost 10
area 0
network 192.168.9.0 0.0.0.255
quit
area 16
network 172.16.1.0 0.0.0.255
quit
quit

return
save

 AR5

system-view
sysname Corp-BranchB-AR2240-gateway

# Configuration NAT ACL
acl name NAT 2000
rule 4096 deny
quit

# Configuration interface
interface Dialer 10
description PPPoE Connect To BranchA
dialer user BranchB-RT
dialer bundle 10
ppp chap user user1@pppoe
ppp chap password cipher huawei@123
ip address ppp-negotiate
nat outbound 2000
quit
interface GigabitEthernet 0/0/0
description To Corp-BranchA-AR2240-PPP G0/0/1
pppoe-client dial-bundle-number 10
quit

# Configuration Router
ip route-static 0.0.0.0 0.0.0.0 Dialer 10

return
save

 LSW1

system-view
sysname Corp-HQ-S5700-Core01

vlan batch 2 3 5 10 20 30 40 100

# Configure STP
stp enable
stp mode mstp
stp bpdu-protection
stp region-configuration
region-name MSTPCore
instance 1 vlan 2 3 10 30
instance 2 vlan 20 40 100
active region-configuration
quit
stp instance 1 priority 0
stp instance 2 priority 4096

# Configure Vlanif
interface vlanif 2
ip address 192.168.2.252 255.255.255.0
description 192.168.2.0/24 DNSServer Gateway
vrrp vrid 2 virtual-ip 192.168.2.254
vrrp vrid 2 priority 120
vrrp vrid 2 track interface GigabitEthernet 0/0/6 reduced 50
vrrp vrid 2 authentication-mode simple 114514
quit
interface vlanif 3
ip address 192.168.3.252 255.255.255.0
description 192.168.3.0/24 WEB_FTP Server Gateway
vrrp vrid 3 virtual-ip 192.168.3.254
vrrp vrid 3 priority 120
vrrp vrid 3 track interface GigabitEthernet 0/0/6 reduced 50
vrrp vrid 3 authentication-mode simple 114514
quit
interface vlanif 5
ip address 172.16.5.2 255.255.255.252
description 172.16.5.0/30 Connect to HQ--Gateway
quit
interface vlanif 10
ip address 192.168.10.252 255.255.255.0
description 192.168.10.0/24 CW Gateway
vrrp vrid 10 virtual-ip 192.168.10.254
vrrp vrid 10 priority 120
vrrp vrid 10 track interface GigabitEthernet 0/0/6 reduced 50
vrrp vrid 10 authentication-mode simple 114514
quit
interface vlanif 20
ip address 192.168.20.252 255.255.255.0
description 192.168.20.0/24 Dev Gateway
vrrp vrid 20 virtual-ip 192.168.20.254
vrrp vrid 20 priority 100
vrrp vrid 20 track interface GigabitEthernet 0/0/6 reduced 50
vrrp vrid 20 authentication-mode simple 114514
quit
interface vlanif 30
ip address 192.168.30.252 255.255.255.0
description 192.168.30.0/24 HRAP Gateway
vrrp vrid 30 virtual-ip 192.168.30.254
vrrp vrid 30 priority 10
vrrp vrid 30 track interface GigabitEthernet 0/0/6 reduced 50
vrrp vrid 30 authentication-mode simple 114514
quit
interface vlanif 40
ip address 192.168.40.252 255.255.255.0
description 192.168.40.0/24 SaleAP Gateway
vrrp vrid 40 virtual-ip 192.168.40.254
vrrp vrid 40 priority 100
vrrp vrid 40 track interface GigabitEthernet 0/0/6 reduced 50
vrrp vrid 40 authentication-mode simple 114514
quit
interface vlanif 100
ip address 192.168.100.252 255.255.255.0
description 192.168.100.0/24 For AC Control AP
vrrp vrid 100 virtual-ip 192.168.100.254
vrrp vrid 100 priority 120
vrrp vrid 100 track interface GigabitEthernet 0/0/6 reduced 50
vrrp vrid 100 authentication-mode simple 114514
quit

# Configure SwitchPort
interface Eth-Trunk 1
mode lacp-static
trunkport GigabitEthernet 0/0/1
trunkport GigabitEthernet 0/0/2
port link-type trunk
port trunk allow-pass vlan 2 3 10 20 30 40 100
undo port trunk allow-pass vlan 1
load-balance src-mac
description G0/0/1 to G0/0/2 To Corp-HQ-S5700-Core02 Eth-Trunk 1
quit
interface GigabitEthernet 0/0/3
port link-type trunk
port trunk allow-pass vlan 2 3 10 20 30 40 100
undo port trunk allow-pass vlan 1
description Corp-HQ-S5700-Acc01 G0/0/1
quit
interface GigabitEthernet 0/0/4
port link-type trunk
port trunk allow-pass vlan 2 3 10 20 30 40 100
undo port trunk allow-pass vlan 1
description Corp-HQ-S5700-Acc02 G0/0/1
quit
interface GigabitEthernet 0/0/5
port link-type trunk
port trunk allow-pass vlan 100
undo port trunk allow-pass vlan 1
description To Corp-HQ-AC6005-AC1 G0/0/1
quit
interface GigabitEthernet 0/0/6
port link-type access
port default vlan 5
stp edged-port enable
description To Corp-HQ-AR2220-Gateway G0/0/1
quit
interface GigabitEthernet 0/0/20
port link-type trunk
port trunk allow-pass vlan 10 20 30 40 100
undo port trunk allow-pass vlan 1
description To Corp-HQ-S5700-ServiceSW G0/0/1
quit

# Configure OSPF
interface LoopBack 0
ip address 10.1.1.2 255.255.255.255
quit

ospf 10 router-id 10.1.1.2
description Corp-HQ-OSPF Network
silent-interface Vlanif 2
silent-interface Vlanif 3
silent-interface Vlanif 10
silent-interface Vlanif 20
silent-interface Vlanif 30
silent-interface Vlanif 40
silent-interface Vlanif 100
area 0
network 172.16.5.0 0.0.0.3
quit
area 2
network 192.168.2.0 0.0.0.255
nssa
quit
area 3
network 192.168.3.0 0.0.0.255
nssa
quit
area 10
network 192.168.10.0 0.0.0.255
nssa
quit
area 20
network 192.168.20.0 0.0.0.255
nssa
quit
area 30
network 192.168.30.0 0.0.0.255
nssa
quit
area 40
network 192.168.40.0 0.0.0.255
nssa
quit
quit

return
save
 

LSW2

system-view
sysname Corp-HQ-S5700-Core02

vlan batch 2 3 5 10 20 30 40 100

# Configure STP
stp enable
stp mode mstp
stp bpdu-protection
stp region-configuration
region-name MSTPCore
instance 1 vlan 2 3 10 30
instance 2 vlan 20 40 100
active region-configuration
quit
stp instance 1 priority 4096
stp instance 2 priority 0

interface vlanif 2
ip address 192.168.2.253 255.255.255.0
description 192.168.2.0/24 DNSServer Gateway
vrrp vrid 2 virtual-ip 192.168.2.254
vrrp vrid 2 priority 100
vrrp vrid 2 track interface GigabitEthernet 0/0/6 reduced 50
vrrp vrid 2 authentication-mode simple 114514
quit
interface vlanif 3
ip address 192.168.3.253 255.255.255.0
description 192.168.3.0/24 WEB_FTP Server Gateway
vrrp vrid 3 virtual-ip 192.168.3.254
vrrp vrid 3 priority 100
vrrp vrid 3 track interface GigabitEthernet 0/0/6 reduced 50
vrrp vrid 3 authentication-mode simple 114514
quit
interface vlanif 5
ip address 172.16.5.5 255.255.255.252
description 172.16.5.3/29 Connect to HQ--Gateway
quit
interface vlanif 10
ip address 192.168.10.253 255.255.255.0
description 192.168.10.0/24 CW Gateway
vrrp vrid 10 virtual-ip 192.168.10.254
vrrp vrid 10 priority 100
vrrp vrid 10 track interface GigabitEthernet 0/0/6 reduced 50
vrrp vrid 10 authentication-mode simple 114514
quit
interface vlanif 20
ip address 192.168.20.253 255.255.255.0
description 192.168.20.0/24 Dev Gateway
vrrp vrid 20 virtual-ip 192.168.20.254
vrrp vrid 20 priority 120
vrrp vrid 20 track interface GigabitEthernet 0/0/6 reduced 50
vrrp vrid 20 authentication-mode simple 114514
quit
interface vlanif 30
ip address 192.168.30.253 255.255.255.0
description 192.168.30.0/24 HRAP Gateway
vrrp vrid 30 virtual-ip 192.168.30.254
vrrp vrid 30 priority 100
vrrp vrid 30 track interface GigabitEthernet 0/0/6 reduced 50
vrrp vrid 30 authentication-mode simple 114514
quit
interface vlanif 40
ip address 192.168.40.253 255.255.255.0
description 192.168.40.0/24 SaleAP Gateway
vrrp vrid 40 virtual-ip 192.168.40.254
vrrp vrid 40 priority 120
vrrp vrid 40 track interface GigabitEthernet 0/0/6 reduced 50
vrrp vrid 40 authentication-mode simple 114514
quit
interface vlanif 100
ip address 192.168.100.253 255.255.255.0
description 192.168.100.0/24 For AC Control AP
vrrp vrid 100 virtual-ip 192.168.100.254
vrrp vrid 100 priority 100
vrrp vrid 100 track interface GigabitEthernet 0/0/6 reduced 50
vrrp vrid 100 authentication-mode simple 114514
quit

interface Eth-Trunk 1
mode lacp-static
trunkport GigabitEthernet 0/0/1
trunkport GigabitEthernet 0/0/2
port link-type trunk
port trunk allow-pass vlan 2 3 10 20 30 40 100
undo port trunk allow-pass vlan 1
load-balance src-mac
description G0/0/1 to G0/0/2 To Corp-HQ-S5700-Core02 G0/0/1 G0/0/2 Eth-Trunk 1
quit
interface GigabitEthernet 0/0/3
port link-type trunk
port trunk allow-pass vlan 2 3 10 20 30 40 100
undo port trunk allow-pass vlan 1
description Corp-HQ-S5700-Acc01 G0/0/2
quit
interface GigabitEthernet 0/0/4
port link-type trunk
port trunk allow-pass vlan 2 3 10 20 30 40 100
undo port trunk allow-pass vlan 1
description Corp-HQ-S5700-Acc02 G0/0/2
quit
interface GigabitEthernet 0/0/5
port link-type trunk
port trunk allow-pass vlan 100
undo port trunk allow-pass vlan 1
description To Corp-HQ-AC6005-AC1 G0/0/2
quit
interface GigabitEthernet 0/0/6
port link-type access
port default vlan 5
stp edged-port enable
description To Corp-HQ-AR2220-Gateway G0/0/2
quit
interface GigabitEthernet 0/0/20
port link-type trunk
port trunk allow-pass vlan 10 20 30 40 100
undo port trunk allow-pass vlan 1
description To Corp-HQ-S5700-ServiceSW G0/0/2
quit

# Configure OSPF
interface LoopBack 0
ip address 10.1.1.3 255.255.255.255

quit
ospf 10 router-id 10.1.1.3
description Corp-HQ-OSPF Network
silent-interface Vlanif 2
silent-interface Vlanif 3
silent-interface Vlanif 10
silent-interface Vlanif 20
silent-interface Vlanif 30
silent-interface Vlanif 40
silent-interface Vlanif 100
area 0
network 172.16.5.4 0.0.0.3
quit
area 2
network 192.168.2.0 0.0.0.255
nssa
quit
area 3
network 192.168.3.0 0.0.0.255
nssa
quit
area 10
network 192.168.10.0 0.0.0.255
nssa
quit
area 20
network 192.168.20.0 0.0.0.255
nssa
quit
area 30
network 192.168.30.0 0.0.0.255
nssa
quit
area 40
network 192.168.40.0 0.0.0.255
nssa
quit
quit

return
save

 

 LSw3

system-view
sysname Corp-HQ-S5700-Acc01

vlan batch 2 3 10 20 30 40 100

# Configure STP
stp enable
stp mode mstp
stp bpdu-protection
stp region-configuration
region-name MSTPCore
instance 1 vlan 2 3 10 30
instance 2 vlan 20 40 100
active region-configuration
quit

interface GigabitEthernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 2 3 10 20 30 40 100
undo port trunk allow-pass vlan 1
description To Corp-HQ-S5700-Core01 G0/0/3
quit
interface GigabitEthernet 0/0/2
port link-type trunk
port trunk allow-pass vlan 2 3 10 20 30 40 100
undo port trunk allow-pass vlan 1
description To Corp-HQ-S5700-Core02 G0/0/3
quit
interface GigabitEthernet 0/0/3
port link-type trunk
port trunk allow-pass vlan 30 100
undo port trunk allow-pass vlan 1
port trunk pvid vlan 100
stp edged-port enable
description To Corp-HQ-AC3030-HRAP G0/0/0
quit
interface GigabitEthernet 0/0/4
port link-type access
port default vlan 10
stp edged-port enable
description To CWPC1 Ethernet 0/0/1
quit
interface GigabitEthernet 0/0/5
port link-type access
port default vlan 2
stp edged-port enable
description To WEB/FTP Server Ethernet 0/0/1
quit
interface GigabitEthernet 0/0/6
port link-type access
port default vlan 3
stp edged-port enable
description To DNS Server Ethernet 0/0/1
quit

return
save