华为ensp学习~佛系更新

平时的笔记搬运 格式板书或有不足 

本着共同学习的态度感谢指出问题所在

层级划分

--接入层 汇聚层 核心层

核心层：

所有流量的承受者和汇聚者

汇聚层：

• 网络接入层和核心层的 中介 作用是在工作站接入核心层之前先做汇聚 用于减轻 核心层设备的负荷

• 汇聚层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址之间的过滤等功能。

接入层：

网络直接连接用户访问的部分，接入层通过光纤 同轴电缆 无线技术等 传输媒介 实现与用户的对接

虚拟局域网技术

vlan技术实现 逻辑隔离广播域

一台交换机划分多个vlan实现各自内的vlan通信

一台物理机交换机逻辑划分为多个逻辑交换机

vlan如何实现物理交换机的逻辑隔离？

通过tag标签实现不同vlan的划分

TPID：用于标识数据帧的类型 - TPID的值与标准的VLAN标签匹配（通常是0x8100），则说明该帧包含一个VLAN标签

TCL：PRI CFI VLAN ID

PRI：priority 标识优先级

CFI:标准格式指令 标识该帧是否以标准格式在网络当中传输 1 为标准 0 为非标准

VID : vlan ID vlan的id标识 取值范围为 0--4095 有效范围为 1--4094

三层交换机vlan端口模式 access trunk hybird

PID 与 VID VID 用于区分不同的vlan域 PID 为物理标识 默认添加的vid号

ACCESS：

接收的数据帧有vlan标签 与vlan号相同 去标签转发 否则丢弃

接收无tag 标签的数据帧 打上vlan标签 转发

trunk：

转发：判断vlan标签是否允许通过 允许则转发 否则丢弃 无tag时打上pvid

发送：判断标签是否为PVID 是则去标签转发 否在则直接发送

保证了无标签数据通过trunk路段时任然无tag

hybird：

转发:判断tag是否为vlan当中 若是转发 否在丢弃 若无tag 打上pvid

检查本接口的untag和tag这两个列表。若数据包的vlan ID存在于untag列表中，处理方式与Access相同，若数据包的vlan ID存在于tag列表，则直接放行，保留数据原有的vlan ID，处理方式与Trunk相同

三层交换机语法配置：

vlan 2 vlan bath 2 3 创建vlan

设置接口模式 创建接口默认vlan

access接入模式 只允许一个vlan通过

hybird 定义 pvid tagged untagged等信息

外部网络访问内部计算机 标签使用 PVID=1 通过 对内部网络的untagged 有无 1的值实现访问控制 与外部网络相连的交换机端口需要配置untagged 取消tag标记

配置指令

• port hybrid untagged/tagged/pvid vlan 10 /10 20 30

• 删除指令配置 undo port hybrid tagged vlan 10

• 设置为 access trunk 模式 port link-type access / trunk

• 设置端口默认vlan port default vlan 10

• 默认通过的vlan port trunk allow-pass vlan 10 20

单臂路由技术与vlanif

单臂路由技术指 通过一个物理接口实现多个逻辑接口 实现不同vlan的隔离 互联互通

vlanif 通过再三层交换机的vlan逻辑端口配置ip 实现不同vlan的转发通信

逻辑接口的划分

通过交换机或者路由器实现不同vlan之间的通信

关于指令的解释

通过vlanif 实现不同vlan通信

首先需要创建vlan vlan batch 10 20 30

进入不同接口配置vlanif IP ing g/0/0/0 int vlanif 10

创建vlanif ip ip address 192.168.1.254 24

通过vlanif 实现不同网段（vlan）通信时 在数据帧进入交换机时 tag标签会被解除 再根据转发规则 打上对应网段（vlan）的tag 再转发 实现不同网段的通信 PVID == 1为默认情况 一般tag=1 的数据包在链路中自由通行

配置过程

首先需要按照要求配置ip 以及网关

创建 vlan 配置 在三层交换机当中配置vlanif 的IP ---这里 三层交换机相当于各个van的转发路由 同时需要按照连接情况配置路由表

配置干道为 access trunk模式

注意 三层交换机一般不直接将vlan通信转发给外网 因此需要通过 三层交换机（vlanif）+路由实现外网链接

因此 即使这里的三层交换机直连路由器也需要配置vlan 通过access接口实现脱离tag标签 实现内外流量交换

DHCP原理

DHCP使用udp传输层通信协议 在网络当中动态的分配ip地址给客户端设备

在应用层当中DHCP定义了客户端和服务端之间的通信协议，用于请求提供的IP地址、子网掩码、网关、DNS服务器等信息。

DHCP 客户端与服务器的交互通常有三个方面

• DHCP客户端动态获取服务器的IP地址

• DHCP客户端重新使用曾经分配的IP地址

• DHCP客户端更新租约

DHCP客户端动态获取IP地址

四个阶段

发现阶段（DHCP DISCOVER) 在这个阶段

在这个阶段DHCP客户机发送DHCP Discover报文寻找存在于局域网内的DHCP服务器。所有收到DHCP DISCOVER 报文的DHCP服务器都会发送回应报文，DHCP客户端会根据此知道网络当中存在的DHCP服务器位置。

提供阶段（DHCP OFFER)

接收到DHCP DISCOVER报文的DHCP服务器，会从地址池选择一个合适的IP地址，连同IP地址租约期限和其他配置信息（如网关地址、域名服务器地址等）通过DHCP OFFER报文发送给DHCP客户端。

选择阶段 （DHCP REQUEST)

若客户端收到多台DHCP服务器的回应报文，则DHCP客户端选择接收的第一个DHCP OFFER 然后通过广播的方式回复所有DHCP服务器 告知所选择的IP地址

确认阶段（DHCP ACK/NAK）

DHCP 服务收到DHCP REQUEST后 根据报文携带的MAC地址查询 有没有生成对应的租约记录

若存在 则返回DHCP ACK给客户机 客户机收到后发送免费ARP给网段当中的所有主机探测ip有没有被占用 若规定时间内没有收到回应则使用该IP

若不存在 则发送DHCP NAK报文作为应答，通知DHCP客户端无法分配合适IP地址。DHCP客户端需要重新发送DHCP DISCOVER报文来申请新的IP地址。

DHCP重新使用曾经分配的IP（在租约期间）

 客户机：重新登录网络是指客户端曾经分配到可用的IP地址，再次登录到网络时IP地址还在租约期间，客户机不需要重新发送 DHCP DISCOVER 报文 而是直接发送包含前一次分配的IP地址 DHCP REQUEST 请求报文 

服务器：收到客户机发送的DHCP REQUEST报文后 若申请的ip未被分配则返回ACK 反之 返回 NAK 客户机接收后重新发送DHCP DISCOVER 报文重新请求IP地址的分配

DHCP的更新租约

两个时间段： 在租约的50% 和 87.5% 客户机会发送两次租约更新请求

50% 单播：在到达租约50%时，DHCP客户端会通过单播的形式向DHCP服务器发送DHCP REQUEST请求，请求更新地址租约，若收到ACK则更新成功若收到NAK则需要重新发起申请过程

87.5%广播：相较于50%使用广播

单播广播的使用原因：

1. 单播（50%）：在租约到期前50%的时间内，DHCP客户端会尝试使用单播来续租或请求新的租约。这意味着客户端会直接向之前分配给它的DHCP服务器发送DHCP请求，因为此时网络中的设备通常是可用的，广播可能不是必要的。这有助于减少不必要的广播流量，提高网络效率。

2. 广播（87.5%）：当租约接近到期时，即在租约到期前87.5%的时间内，DHCP客户端会使用广播来发送DHCP请求。这是因为在租约即将到期时，DHCP客户端可能无法确定之前分配给它的DHCP服务器是否仍然可用。广播可以确保DHCP请求被网络中的所有DHCP服务器接收，从而提供更高的机会来获取新的租约或续租。这种方式更加可靠，因为广播可以跨越子网边界，并且不受单播的限制。

配置DHCP服务

需要手动配置的项

• IP范围

• 子网掩码

• 默认网关

• DNS服务器

• 祖约时间

• 静态ip分配

按照需求配置ip地址池

DHCP enable 开启dhcp服务！！！！ 必须开启

配置网段 nework 192.168.1.0 mask 24

配置网段所属的网关 gateway-list 192.168.1.1

配置网段的dns解析服务器 dns-list 192.168.1.110 192.168.2.110 （配置多个及为备用dns服务器）

配置租约时间 dhcp server less day 2

配置不参与分配的地址 dhcp server excluded-ip-address 192.168.1.110 192.168.1.120(表示范围)

进入路由每一个链接ip地址下发接口 开启

dhcp select global ！！！！！

---指定从地址池分配IP

###

基于接口配置DHCP

基于接口的配置方式与地址池类似 只是一个接口下的局域网获取的IP网段将会与该接口IP网段一致 因此省缺了对ip地址池参数的配置 但仍需要配置部分配置选项 如 dns-list dhcp server lease—day

开启dhcp dhcp enable

进入路由器接口 配置IP 192.168.1.1/24

开启接口的DHCP server功能

dhcp select interfaces

设置dhcp 参数

DHCP中继技术

DHCP中继服务器 用于在服务器和客户端之间转发DHCP报文

当DHCP服务器与客户机不在同一个网段时需要DHCP中继服务器

（在IP的动态获取过程当中客户机采用广播的形式发送请求报文 但是广播无法跨网段传输 就需要在所有网段上都设置一个DHCP服务器，这显然是不易管理和维护的。）

对于客户机而言中继服务器就是DHCP服务器

汇聚成 switchA 实现中继转发功能 核心层switchB 实现地址池 动态ip配置

配置中继路由的指令

首先需要开启DHCP服务

dhcp enable

开启中继转发

dhcp select relay //不能省缺奥

配置该代理服务器的代理地址池---一个代理服务器可以代理多个地址池 按照接口/vlanif区分

dhcp relay server-ip 192.168.20.2   // 代理的服务器IP

查看中继配置

display dhcp relay interface vlanif 100

配置完地址池和中继代理后必须配置路由表否则 客户机无法获取IP （路由器无法将ip信息准确的发送给客户机）

DHCP安全威胁

饿死攻击

仿冒DHCP server

中间人攻击

饿死攻击：

原理：通过伪造大量的MAC地址持续大量的向服务器申请IP地址，直到耗尽DHCP服务器的地址池IP，使服务器无法正常给主机分配IP。

攻击交互过程：

• 伪造MAC 主机名 构建DHCP_Discover并发送

• 根据DHCP_Offer回应报文 确定DHCP_server的 IP和预分配的IP地址(DHCP数据报文的yiaddr字段)

• 通过yiaddr字段的IP地址和DHCP服务器IP地址，构建发送DHCP_Request攻击报文（持续发送不同ip的确认报文 占用IP）

• 服务器响应被占用

SNMP -- 监控设备

简单网络管理协议 对设备进行管理 通过snmp服务器管理监控其它设备的状态

使用UDP 161 162 端口

可以实现不同种类 不同厂商的设备统一管理

SNMP的使用场景

为不同种类的设备、不同厂家生产的设备、不同型号的设备，定义为一个统一的接口和协议

NMS为管理系统 用于展示数据

SNMP结构

A management information base (MIB) is a database used for managing the entities in a communication network. Most often associated with the Simple Network Management Protocol (SNMP), the term is also used more generically in contexts such as in OSI/ISO Network management model.

管理站与代理端通过MIB进行接口统一，MIB定义了设备中的被管理对象。管理站和代理都实现了相应的MIB对象，使得双方可以识别对方的数据，实现通信。管理站向代理申请MIB中定义的数据，代理识别后，将管理设备提供的相关状态或参数等数据转换为MIB定义的格式，应答给管理站，完成一次管理操作。

MIB 作为设备信息的数据库

Agent 作为被管理设备上的一个运行的代理

SNMP的三个角色

代理服务器 一种特殊的服务器 指不能直接使用SNMP的地方 通过代理服务器实现数据转发

SNMP端口

SNMP的版本信息

v1 v2 v3

V1 V2 ：两个版本均具有基本的读写MIB（进程当中可以被查询和修改的参数） 能力

V2：增加了批量数据获取 警报 站点管理 站点通信等

V3：在V2的基础上增加了验证功能

STP 生成树协议

基本原理是通过交换机传递一种特殊的协议报文。 主要按照“树”的结构建立网络拓扑，以防止网桥中的网络形成冗余链路

消除广播风暴 ：同一个报文在链路中重复的 来回传输

消除MAC地址表紊乱 ：广播报文来回传输 导致接口记录的MAC地址 不断改变

根网桥 根端口 指定端口的选举

1.选择根网桥(Root Bridge)；
  1>网桥ID最小为根网桥。 
    网桥ID由优先级及MAC地址组成
查看网桥ID中的MAC地址： 
[Huawei]dis int vlan 1
查看vlan 1默认网桥ID：
[Huawei]dis stp instance 0
​
2.选择根端口(Root Ports)；
每个非根网桥上存在一个根端口，因此需要在每个非根网桥上选择一个根端口
  1>根网桥路径到该非根网桥端口成本最低，从根网桥到达非根网桥的每个端口的开销，开销最小的端口为该非根网桥的根端口；ID根路径成本：网桥到根网桥的路径上所有链路的成本之和；
  2>比该网桥对端网桥的网桥ID大小；
  3>比该网桥对端网桥的端口ID大小;
​
3.选择指定端口(Designated Ports)。
为了消除环路形成的可能，STP进行最后的计算，在每一个网段上选择一个指定端口
   ***根网桥上的端口都是指定端口***
  1>某网段到根网桥的路径成本最小。
  2>端口所在交换机的网桥ID最小
  3>该网桥对端网桥端口ID最小（即端口优先级和端口编号，先比优先级，默认为128）
​
​
选择根网桥
网桥ID最小：选择根网桥的依据是网桥ID的大小。在选择根网桥的时候，比较的方法是看哪台交换机的网桥ID的值最小，优先级小的被选择为根网桥；在优先级相同的情况下，MAC地址小的为根网桥。
网桥ID：是一个8Byte的字段，前面2Byte的十进制数称为网桥优先级，后6Byte是网桥的MAC地址。
网桥优先级：用于衡量网桥在生成树算法中优先级的十进制数，取值范围为0-65535,默认值是32768。
网桥的MAC地址：交换机自身的MAC地址，可以使用命令dis int vlan 1查看。
​
选择根端口
选出了根网桥之后，网络中的每台交换机必须和根网桥建立关联，因此STP将开始选择根端口。每个非根网桥上存在一个根端口，因此需要在每个非根网桥上选择一个根端口。选择根端口的依据有三个：
到根路径成本最低的端口：路径成本是两个网桥间的路径上所有链路的成本之和，根路径成本也就是一个网桥到达根网桥的中间所有链路的路径成本之和，路径成本用来代表一条链路带宽的大小，一条链路的带宽越大，它的传输数据的成本也就越低。（10Mb/s=100,100Mb/s=19,1000Mb/s=4，10000Mb/s=2成本）
​
最小的直连发送方网桥ID：BPDU帧是从根网桥发向根端口的，则当端口的根路径成本相同时，以收到发来BPDU直连的网桥ID最小(端口的对端端口，即本地端口)为根端口。
最小的发送方端口ID：当直连发送方网桥ID大小相同时，也就是说有几个位于同一交换机上的端口时，比较最小的发送方端口ID。端口ID是一个二字节的STP参数，由一个字节的端口优先级和一个字节的端口编号组成。端口优先级是一个可配置的STP参数，在基于IOS的交换机上，端口优先级的十进制取值范围是0-240，默认值是128。端口编号是用于列举各个端口的数字标识符。
说明：端口编号不是端口号，但是端口号低的端口，端口编号值(端口 ID)也较小。
​

根网桥的优先级和设置

stp priority 4096    //设置优先级  0-61400
stp root secondary   //直接设置为根网桥
[Huawei]dis interface Ethernet brief 
​
[SWA]stp pathcost-standard ?
  dot1d-1998  IEEE 802.1D-1998
  dot1t       IEEE 802.1T
  legacy      Legacy
​

修改端口的优先级

[Huawei-Ethernet0/0/1]stp port priority 16
范围是0-240，为16的步长，16/32/48/96等。
​