2024-03-22 重启华为数通学习计划
由于工作原因,预计将在2024年6月30日之前完成HCIP的学习并通过HCIP的考试-在2025年6月30日前完成HCIE的学习并通过HCIE的考试
此为学习笔记,实验笔记和试题笔记会分别更新到其他帖子中
一、数据网络通信基础
1.1专业名词
LAN(Local Area Network):局域网
Ethrenet:以太网
Campus:园区网
VLAN(Virtual LAN):虚拟局域网
MAN(Metropolitan Area Network):城域网
Encapsulation:封装
Decapsulation:解封装
WAN(Wide Area Network):广域网
Internet:互联网
AS:自治系统
IGP(Intrern Gateway protocol):计算产生路由的
EGP(External Gateway protocol):通告和控制路由的(通告IGP产生的路由在AS之间传递)
1.2网络和通信,介质,中间设备
网络通信:通过网络设备搭建一个能够信息共享的环境
终端设备之间通讯,通过网络介质和传输设备以及中间的网络设备所互联的场景
信息单位:
1Byte=8bit
1Kbyte=1024Byte
1MB=1024KB=1024*1024Byte
1GB=1024MB
1TB=1024GB
1PB=1024TB
E Z Y N D
数据载荷:最终想要传递的信息
报文:网络中交换与传输的数据单元
头部:在数据载荷的前面添加的信息段
尾部:在数据载荷的后面添加的信息段
封装:对数据载荷添加头部和尾部,形成新的报文的过程
解封装:去掉报文的头部和尾部,获取数据载荷的过程
网关:提供协议和转换,路由选择,数据交换等功能的网络设备
路由器:为报文选择传递路径的网络设备
终端设备:数据通信系统的段设备,作为数据发送者或接收者
OSI七层参考模型
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层
如果要实现不同网段,不同网段不同VLAN之间的通讯,本质就是网络间的通讯,跨广播域的通讯,定义广播域的边界(网关Gateway)
直连的通讯,配置合理的IP地址,路由表中则会自动产生对应网段的直连路由,网络间的通讯,则需要手动自己定义
数据在传递的过程中,单播路由寻址转发一定程度关心目的,面向无连接的过程,需要通过递归寻址(Hop-By-hop)方式实现
TCP/IP
应用层: Telnet FTP TFTP SNMP HTTP SMTP MFS DHCP
主机到主机层: TCP UDP
因特网层: ICMP Routing Protocol IP
数据链路层: ARP Ethernet Fast Eth
物理层
二.华为VRP系统
2.1 CLI命令视图
用户视图
系统视图
用户接口视图
接口视图
ACL视图
VLAN视图
路由协议视图
2.2 文件系统
文件系统是指对存储器中的文件,目录的管理,功能包括查看,创建,重命名和删除目录
和删除文件等
掌握文件系统的基本操作,对于高效管理设备的配置文件和VRP系统文件至关重要
(1)系统软件:系统软件是设备启动,运行的必备软件,为整个设备提供支撑,管理,业务等功能,常见文件后缀名为:(.cc)
(2)补丁文件:补丁是一种与设备系统软件兼容的软件,用于解决设备系统软件少量且急需解决的问题,常见文件后缀名为(.pat)
(3)配置文件:配置文件时用户将配置命令保存的文件,作用时允许设备以指定的配置启动生效,常见文件的后缀名为:(cfg\zip\dat)
(4)PAF文件:PAF文件时根据用户对产品需要提供一个简单有效的方式来裁剪产品的资源占用和功能特性,常见的文件后缀名为(bin)
三.TCP/IP协议中的基础协议
3.1IP地址
掩码:确定网络位和主机位(确定网段的范围)1和0必须连续,1是严格匹配,0是任意(1 代表网络位的范围)
192.168.1.0/24(255.255.255.0)11111111.11111111.11111111.000000004
反掩码:255.255.255.255-掩码=反掩码 1和0必须连续,0 是严格匹配,1 是任意(确定前缀)
过滤 192.168.1.0/24 的路由
acl 2000
rule deny source 192.168.1.0 0.0.0.255
通配符:确定前缀范围,通配符0和1可以不连续,但是匹配的时候0是严格匹配,1是任意
IP地址如何规划和设计:
1.三层设备之间的互联地址
2.管理地址
分带内网管和带外网管:带内网管指的是不区分管理链路和业务链路,带外网管指的管理流量和业务流量做区分
3.业务地址
3.2VLSM(可变长子网掩码)
本质:将网络位变长,将主机位变短,达到节约IP地址的目的。
结论:VLSM节约IP地址,掩码向后借N位,产生2的N次方个子网,每个子网的块大小2 的主机位次方
3.3CIDR(无类域间路由汇总)
本质:将多个具有相同网络位的网段,汇总成一个大的网段,网络位变短,主机位变长;节约路由器资源消耗,路由进表相对稳定,但是容易出现路由选择环路
3.4接口
物理接口:L2/L3口 LAN/WAN口
逻辑接口:Loopback口:模拟网段
子接口 GE0/0/0.10 单臂路由
VLAIF接口 vlanif 10 三层交换口
NULL0 黑洞接口(目前前缀匹配只进不出)防止路由选择环路
路由选择环路:判断依据一条路由匹配从一个接口发出去,又从这个接口收到
sub:
地址与主地址网络位不能相同
sub地址的作用:用来模拟网段
3.5ARP(地址解析协议)
三层地址对二层地址的映射,ARP表象缓存地址记录
网络内通讯中的ARP
ARP映射:源主机和目的主机形成ARP映射(broadcast请求,unicast回复)
动态学习的ARP映射,会超时(超时时间1200s)
DMAC:FF:FF:FF:FF:FF:FF
网络间通讯中的ARP
ARP映射:源主机将自己的信息告诉网关,网关形成响应的映射
DMAC:ff:ff:ff:ff:ff:ff
代理ARP
本质是网络内的通讯,强制使用网关设备隔离开,变成网络间通讯的时候,网关设备开启代理ARP,可以欺骗主机,充当网关,完成ARP映射
免费ARP
可以用来检测IP地址是否冲突
及时更新全网ARP表项
刷新MAC地址表项(VRP特殊场景,slave变master会发送)
集群服务器成员之间会通过免费ARP维持心跳
3.6 ICMP重定向
ICMP重定向报文是ICMP控制报文中的一种,在特定情况下,当路由器检测到一台机器用非最优路由的时候,他会向该主机发送一个ICMP重定向报文,请求改变主机路由
3.7TCP/UDP
TCP(Transmission Control Protocol) 面向连接,可靠的端到端传输 20-60Byte,被4Byte整除
TCP三次握手:
TCP每发送一个数据包就会确认一次,如果没有确认则会重传
确认包只会确认最后一个包
如果中间丢包,则会触发重传,基于序列号重组
第一个包没有确认,其余的包均有ACK置位
只有第一个包有SYN置位,其余的包没有SYN置位
UDP(User Date Protocol)面向无连接,尽力而为的端到端传输,8Byte
四.IP路由基础
4.1路由的分类
路由的本质:实现网络间的通讯
路由的分类:
直连路由(半自动路由):接口配置合理的IP地址
非直连路由:
静态路由(static)
动态路由选择协议获悉:RIP OSPF ISIS EIGRP
(1)按照工作范围:
IGP(Internal Gateway Protocol):内部网关路由协议,AS内部 RIP OSPF ISIS EIGRP
EGP(External Gateway Protocol):外部网关路由协议(除了BGP剩下的协议都是IGP)
(2)按照有类(Classfull)和无类(Classless)
有类和无类的本质区别就是是否支持VLSM和CIDR,掩码是否支持自主定义,除了RIPv1,其余协议均是无类路由协议
(3)按照路由协议查找算法:
DV(Distance-Vlanue):距离矢量算法,基于传闻式的路由查找协议算法
不知道整网拓扑怎么连,如果要通过DV算法的路由学习路由,只需要路由器开启相应的协议(RIP)把自己的直连路由宣告进协议(network)路由器之间就会通过协议建立邻居关系,直接将路由加入到路由表中进行寻址和转发,基于HOP去做转发,判断路由远近通过跳数去判断,有可能出现次优路径,路由选择环路(规避环路的方法:设计一个最大跳数,2.水平分割(永远只有一个方向,不会收到设备开始发出的路由;默认开启) 3.毒性抑制(当把路由从本设备发出后,将该路由做毒化处理))好处是算法简单,相对不吃设备资源,收敛速度相对较慢。但是可能会造成路由不可达(原因:DV算法的设备若改写了路由表,如在RIP中的某台设备配置了静态路由优于某条RIP路由,该路由传递给邻居时会消息,LS则不会,因为传递的是LSA)
LS(链路状态算法):基于拓扑式的路由查找协议,在传递路由信息之前,首先要知道整网的拓扑的连接情况,如果要通过LS算法的路由协议学习路由,首先开启路由进程后,宣告完毕直连路由,建立邻居(peer)基于邻居关系学习链路状态信息(LSA),当链路状态信息两两之间学习完毕,收敛后(整网的拓扑学习完毕,拓扑表构建完毕),通过SPF(shortest path first),算出一条最短的,最优的,无环的路径,加入到路由表中进行寻址和转发,好处:算法可靠,在一定程度上杜绝环路(不是100%无环),次优路径的产生,收敛速度相对较快,吃设备资源。
收敛速度快慢比较(算法越优越快):EIGRP>ISIS>OSPF>RIP
1.DV算法收到邻居路由条目(Receive)计算出最优路由放入路由表(caluture)将整张路由表发送给邻居(Send)
2.LS算法收到邻居LSA,同时Flooding LSA给邻居和运行SPF算法将最优路由放入路由表中,效率相较于DV算法高
AS(Sutonom ous System):由同一管理机构,共同所管理的一组选路策略的路由器网络设备的集合。一个ISP(Internet Service Protocol);一个大型互联网企业;一个大型的互联网组织。。。。通过定义和分配 AS Number去做标识,分成2Byte【0-45535】和4Byte【0-42亿】
路由表:ipv4-family unicast routing-table IPV4单播路由表 由6元组成 无类
Destination/Mask:目的前缀/掩码
Protocol:协议
Nexthop:下一跳地址,目的前缀寻址转发的网关地址,注意方向
Interface:出接口,路由寻址转发时即将从本地的那个接口发出去指向路由的网关的接口,和Nexthop保持一致
Preference:优先级,去往同一个目的地可以通过不同的路由协议获悉,优先级越好的路由越可靠,衡量获悉路由的可靠程度,范围是0-255.值越小越可靠
Direct=0 RIP=100 OSPF=10 ISIS=15 BGP=255
Cost:度量值,衡量的是获悉路由计算的远近;静态路由的所有路由条目都是管理员手工配置的,没有计算度量值(开销)的过程。静态路由没有定义Cost的概念,永远为0;如果是通过动态路由选择协议获悉相同的前缀有不同的路径的时候,开销根据算法DV基于HOP,一台三层设备算作一跳;LS基于链路带宽;
Flag 标志位 Relay 中继
控制平面:就是构建供数据层面转发表象的过程(routing-table,mac-address)用来传送指令,计算并维护表象的过程
数据层面:拿着控制层面的表象做真实流量转发的过程,进行数据报文的封装,转发,实现路由的过程
路由器形成的表象:
FIB routing-table 快速转发表(ip fast-forwarding)
FIB(forwarding information base)数据转发时查看的表象,存放的是最优的路由(掩码最长匹配原则+模糊匹配),来源是routing-table
路由寻址转发的时候本质面向无连接,基于目的去递归寻址的,逐跳匹配查找,注意路由的方向(出接口和nexthop匹配正确);模糊匹配本质做逻辑与运算,缺省路由(0.0.0.0/0)匹配所有的;
递归寻址,无连接,掩码最长匹配原则,
4.2静态路由
配置静态路由时需要注意:
1.路由要完整,路由寻址转发的时候基于逐跳转发,路由条目从源到目的所经历条数的设备均需要有相应完整的路由。
2.路由要有来有回,通信是双向的
静态路由在不同的环境中的目的是不同的:
1.在相对简单的组网中(中小企业),配置静态路由就可以使网络间通讯网络正常工作
2.在相对较复杂的环境中(中大型企业)配置静态路由可以减少不必要的开销(动态路由协议交互报文的开销),可以使网络通讯,改善网络性能,保证重要应用的流量带宽。静态路由可以增加网络稳定性,可控性
3.静态路由和动态选择路由协议相比的时候,优势使用更小的带宽,不占用硬件CPU资源计算和分析路由更新,但是当网络中出现故障或者拓扑发生改变时,静态路由没有自适应性,必须要手工修改。
4.3OSPF(Open Shortest Path First,开放最短路径优先)
运行OSPF路由器之间交互的是LS(Link State,链路状态信息),而不是直接交互路由,LS信息是OSPF能够正常进行拓扑及路由计算的关键信息
OSPF路由器将网络中的LS信息收集起来,存储在LSDB中路由器都清楚区域内的网络拓扑结构,有助于路由器计算无环路径
每台OSPF路由器都采用SPF算法计算达到目的地的最短路径,路由器依据这些路径形成路由加载到路由表中
OSPF支持VLSM(Varuable Length Subnet Mask,可变长子网掩码),支持手工路由汇总
多区域的设计使得OSPF能够支持更大规模的网络
封装: Ethernet II | IP | OSPF | FCS [OSPF Header + Payload]
destination muleicast address = 224.0.0.5 224.0.0.6
224.0.0.1 代表所有设备
224.0.0.2 代表所有路由器
224.0.0.9 RIP
224.0.0.10 EIGRP
224.0.0.18 VRRP
基础术语:
OSPF Router-id:路由器标识符 全局唯一 0.0.0.0-255.255.255.255
1.手动填充指定(不会立即生效,需要重置一下进程-reset ospf perocess)
2.自动选举
a.如果有loopback,选择loopback地址大的
b.如果没有loopback,选择物理口大的
OSPF Area:用于标识一个OSPF的区域
区域是从逻辑上将设备划分为不同的组,每个组用区域号(Area ID)来标识。
单区域
多区域(规避环路)
骨干区域(area 0)有且只有一个,要和其他非骨干区域挂靠
非骨干(area 1.......)--常规非骨干
非常规非骨干(特殊区域):sub nssa
拓扑设计健壮性:多区域有且只有一个骨干,非骨干必须要和骨干区域挂靠
逻辑区域是基于接口去划分的,特点是:
1.减少路由表中的路由条目数量,加快收敛
2.拓扑变化,只会影响一个区域,稳定性
3.特定LSA只会在一个区域内传递,减少其他区域的LSDB中的LSA的数量
OSPF路由器的类型
区域内路由器
区域边界路由器ABR
骨干路由器
自治系统边界路由器ASBR
工作机制
1.选举ROUTER-ID,RID标示每一台设备的唯一性
DR与BDR选举:集合思想,水的模型
先比优先级
后比Router-ID比大
选举后是稳定的,并且不支持抢占
DR挂,BDR立即变为DR,BDR重新选举
如果dr-priority = 0 ,不参与DR和BDR的选举,永远都是DRother
DR的合集绝对不能为空的,BDR集合可以为空
2.交互HELLO报文,根据不同的网络类型建立邻居/邻接关系,MA网络需要选举DR等
3.根据网络类型(P2P,BROADCAST,P2MP,NBMA)描述LSA,LSA包含拓扑和路由
4.每台设备泛洪自己的LSA和从邻居收到的LSA
5.同一区域内的每台设备收到相同的LSA,形成LSDB表
6.运行SPF算法,每台设备以自己为根,计算到其他节点(路由器)叶子(路由)的最短路径---华为会将最优的OSPF路由放入OSPF Routing表中
7.控制层面比较其他协议与OSPF协议和Preference值,将最优的OSPF路由加入路由表
8.定期维护邻居/邻接关系和同步LSDB表项(增删改路由和拓扑)
OSPF工作原理:报文交互过程 状态机
五.以太网交换基础
5.1交换基础
MAC地址表是交换机的一个核心组成部分,交换机主要是根据MAC地址表进行帧的转发的
交换机对帧的转发一共分为3种
泛洪(Folading) 转发(Forwarding) 丢弃(Discarding)
交换机控制层面构建的表项(MAC地址表),由三元组构成
1.接收接口
2.接受接口的源MAC地址(终端的MAC)交换机本身的MAC用display int vlanif1查看
3.接收接口所属的VLAN
一个接口可以学习多个MAC,但是一个MAC只能在一个接口学习到
MAC地址表是一张动态的表,每个表在创建或者刷新时,都会设定并维护一个默认是300S的生存期(老化周期)如果MAC地址表超过了生存期,则该表项会立即被自动清除
MAC地址表中的表项分类:动态表项,静态表项和黑洞表项
动态表项:由接口通过报文中的源MAC地址学习获得,表项可老化,在系统复位,接口板热插拔或者接口板复位后,动态表项会丢失,可以通过查看动态MAC地址表项,可以判断两台相连设备之间是否有数据转发;也可以通过查看指定的动态MAC地址表项的个数,可以获取接口下通信的用户数。
静态表项:由用户手工配置,保存后的表项不会丢失,一条静态MAC地址表项,只能绑定一个出接口。一个接口和MAC地址静态绑定后,不会影响该接口的动态MAC地址表项的学习。通过绑定静态MAC地址表项,可以保证合法用户的使用,防止其他用户使用该MAC进行攻击
黑洞表项:由用户手工配置,并下发到各接口板,表项不可老化,在系统复位,接口板热插拔或接口复位后,保存的表项不会丢失,通过配置黑洞MAC地址表项,可以过滤掉非法用户
默认情况下,HUAWEI交换机所有的物理口均是Layer2,均属于VLAN1
终端之间的通讯,只能识别纯净的以太网数据帧(不带任何VLAN TAG的数据帧)
交换机控制层面构建的表项(MAC地址表),由三元组构成
端口隔离技术(port-isolate)二层技术/网络内通讯隔离
加入在同一个隔离组内的主机,两两之间不能访问
命令:
port-isolate enable group x
二层隔离的技术,可以用三层的路由方式打破隔离-代理ARP技术(ARP-PROXY)
命令:
int Vlanif x
ip add x.x.x.x x
arp-proxy inner-sub-vlan-proxy enable
5.2VLAN基础原理
虚拟局域网(VLAN,Virtual LAN)
虚拟局域网VLAN可以隔离广播域
特点:
不受地域限制
同一VLAN内的设备才能直接进行二层通信
VLAN:虚拟局域网,逻辑分割广播域的技术
1个广播域=1个逻辑子网=1个冲突域=1个VLAN
定义VLAN就是打上802.1q的标记:(2.5)
封装:
Ethernet II | 802.1Q | IP | ICMP | FCS
4byte
type:0*0800 标识上层协议
type:0*8100(802.1q)
priority:3bit.用户优先级,用作 Qos
CFI:1bit,0就代表以太网,1就代表新元网络。令牌环网络
vlan ID:12bit,描述vlan的个数,共2的12次方个=4096(0-4095)
默认的情况下,交换机不做任何配置,网络内的通讯不影响(VLAN1),但是数据包不添加802.1q字段
特殊VLAN:不能够在交换机配置的,特殊含义
1.vlan0,当接口配置了Eth-trunk,此接口属于VLAN0
2.vlan1,默认所有接口vlan(缺省/Management UT)
3.vlan4095:预留值
能配置vlan是2-4094
Layer2接口的类型:ACCESS/TRUNK/HYBIR
HUAWEI的交换机默认的情况下均属于VLAN1,叫做PVID
HUAWEI的交换机默认的情况下所有的接口均是HYBIRD
ACCESS接口
只承载一个VLAN,PVID=VLANID,Untag(UT)
判断链路中承载VLAN的个数,承载一个VLAN,定义Access;承载多个VLAN,定义Trunk;
VLAN ID和PVID( default VLAN ID 号):华为的交换机二层口缺省的PVID=VLAN 1;
Access口:UT(UNTAGGED VLAN ID):只承载一个VLAN 进的时候打上相应的VLANID,出的时候剥离
Trunk口:TG(TAGGED VLAN ID)承载多个VLAN,默认的情况下只允许PVID1通过,如果说想要让承载的VLAN通行,必须指定allow-pass VLAN
HYBIRD: HUAWEI/H3C特有的,杂合端口
HYBIRD UT=ACCESS
可以同时UT多个VLAN,ACCESS只能剥离自己的VLAN ID
不同VLAN之间通讯:将两个主机对应交换机的PVID改成两个主机对应的VLAN ID
VLAN的划分方式
基于接口
基于MAC地址
基于IP子网
基于协议划分 IP IPV6
基于策略 IP+接口+MAC
Hybrid接口(解决的是不同vlan,相同网段互通的问题)
接收帧:
1.当接口收到Untagged帧
打上PVID,当PVID在该接口允许通过的VLAN列表里时接收该帧:当PVID不在允许通过的VLAN列表里时,丢弃该帧。
2.接口收到Tagged帧:
当该帧的VLAN ID在该接口允许通过VLAN列表里时,接收该帧,否则丢弃该帧
发送帧:
1.帧的VLAN ID是该接口允许通过的VLAN ID:
当管理员通过命令设置发送该VLAN的帧时不携带Tag,则将该帧的Tag剔除,然后将其从该接口发出
2.帧的VLAN ID是该接口允许通过的VLAN ID:
当管理员通过命令设置发送该VLAN的帧时携带的Tag,则保留该帧的Tag,然后将其从该接口发送出去
5.3三层交换
网关设备网关定义的方式
1.L3物理口,受接口数量的限制
2.L3物理口子接口,收VLAN的限制(只能配置1-4096个)-单臂路由
3.L3VLANIF接口 三层交换(三层交换机接口)
L3sw和路由器对接三层链路的方式:
三层交换机只能用L2物理口(Access/hybird UT/Trunk pvid)+VLANIF接口
5.4生成树协议
STP 802.1D
RSTP(Rapid STP) 802.1W
mstp(Multi STP) 802.1S
STP,RSTP,is Common tree(所有VLAN一棵树);MSTP Multiple tree(一个VLAN一棵树,多个VLAN一棵树,本质是一个VLAN只能映射一个生成树多实例MSTI)【MSTP Instance】)
STP是慢收敛,基于时间收敛;RSTP MSTP是快收敛,基于协议特性,快速收敛机制
关闭STP:
关闭设备运行stp stp disable
关闭某些接口运行stp [接口视图下]stp disable
修改STP版本:stp mode (stp版本)
调整STP优先级:[SW1] stp priority 0-65535 4096步长
调整STP开销的计算方式:[sw2] stp pathcost-standard ~
调整STP的RPC:[接口视图下]stp cost ~
调整STP的PID优先级:[接口视图下]stp port priority ?16为步长
BPDU Type:
Configuration BPDU 配置BPDU 正常发送,包含选举参数(根桥发送)
Topo Change BPDU 拓扑变更,只要当发生了拓扑变更触发重新选举,才会发送(根桥非根桥都可以发送)不包含选举参数
STP BPDU包含的选举参数:
ROOT ID:描述的是根交换机的STP参数,由stp priority(32768)+MAC
ROOT Path Cost:根代价开销 ,算到达RB的开销,和路由协议计算开销的方式一致,都是算控制层面入栈接口的开销(数据层面的出接口);RPC描述的是达到根桥的开销,计算COST就是BPDU流向的入栈接口的开销累加
Bridge ID:描述的是转发BPDU报文的交换机的STP参数,由stp priority + MAC地址构成
Port ID:描述的是端口ID,由STP port priority(128)+ 端口ID
STP选举规则:按照相互之间交换BDPU报文(每2s周期发送),比较参数
1.设备上架,交换机上电,两两之间发送BPDU报文选举比较(短暂的交换环路,端口状态Discarding)首先选举出根交换机(RB),主动发送BPDU报文给其他交换机(STP只有RB能发送BPDU,其他的Non-RB只能接收和帮其转发),BPDU报文中的ROOT ID都填写自己发送出去,两两之间比较,先比较优先级(stp priority),后比MAC地址,选择最小的充当RB(根桥交换机)
2.RB周期性发送BPDU给Non-RB,非根交换机(Non-RB)通过BPDU选择出唯一的一个Root Port(到达RB最近的端口)
RPC
转发者Bridge ID
发送者Port ID
自己的Port ID
Root Port存在的链路就是最优的链路
3.在每一链路上选举出唯一的一个Destination Port(到达RB最近的端口)
ROOT Bridge所有的端口都是DP;RB上所有的端口不一定全部都是DP端口(自环的场景/连连接集线器的场景)
RP的对端一定是DP
其余的链路需要选举DP,选举规则和RP选举规则是一致的
4.其余的接口会被逻辑阻塞掉,不转发数据,但接口依旧侦听BPDU报文
stp status:
disable blocking listening learning forwarding
华为STP继承RSTP的角色和状态的特性,华为的STP在一定程度上直接继承块收敛
rstp staus:快收敛 端口备份机制/端口优化机制(Edged -port)/PA选举机制(优化BPDU发送,加速选举)
Discarding learning forwarding
定义了两个新的备份角色:
Alter Port(AP)是RP的备份
Backup Port(BP)是DP的备份,只有自环的场景/集线器存在的场景
5.5以太网链路聚合与交换机堆叠,集群
链路聚合:LAG(Link-aggregate)私有化Eth-Trunk/link-aggregation/EthChannel
把多个低带宽的链路逻辑的捆绑在一起,逻辑上形成一根高带宽的链路,用在核心交换机的核心链路节点上(横向/纵向)
链路级的多虚一,高可用技术,链路级的虚拟化
Eth-trunk有两种方式:
1.mode manaul 增加带宽
2.mode lacp-static 增加带宽,备份冗余
Active link
backup link
3.设备级的虚拟化【堆叠(intelligent Stack)/集群(Cluster Switch System)】:私有的
把多台具备集群功能的设备逻辑的变成一台设备,一个管理和控制同时管理多个框的数据转发平面,同时故障域变大(跨设备的链路聚合可以解决)
iStack是盒式交换机(S5700/3700),支持多虚拟,最多可以去到16台
CSS是框式交换机(S7700/12700/16700),支持主备
以太网链路聚合
聚合组(Link Aggregation Group LAG):若干链路捆绑在一起所形成的逻辑链路,每个聚合组唯一对应着一个逻辑接口,这个逻辑接口又被称为链路聚合接口或Eth-Trunk接口
成员接口和成员链路,组成的Eth-trunk接口的各个物理接口被称为成员接口,成员接口对应的链路称为成员链路
活动接口和活动链路:活动接口又叫选中(Selected)接口,是参与数据转发的成员接口,活动接口对应的链路被称为活动链路(Active link)
非活动接口和非活动链路:又叫非选中(Unsekected)接口,是不参与转发数据的成员接口,非活动接口对应的链路被称为非活动链路(Inactive link)
聚合模式:根据是否开启LACP(Link Aggregation Control Protocol,链路聚合控制协议),链路聚合可以分为手工模式和ACP模式
其他概念:活动接口上限阈值和下限阈值
一个以太信道口,不能是另一个以太信道的成员组
配置时,成员接口下不能有任何配置
手工模式
手工模式:Eth-Trunk的建立,成员接口的加入均由手动配置,双方系统之间不能使用Lacp进行协商。
正常情况下所有的链路都是活动链路,该模式下所有活动链路都参与数据的转发,平均分担流量,如果某条活动链路故障,链路聚合组自动子啊剩余的活动链路中平均分担流量
当聚合的两端设备中存在一个不支持LACP 协议时,可以使用手工模式
缺陷:为了使链路聚合接口正常工作,必须保证本端来努力聚合接口中所有成员接口的对端接口属于同一设备,加入同一链路聚合接口
手工模式下,设备之间没有报文交互,需要管理员进行人工确认
手工模式下,设备只能通过物理层状态判断对端接口是否正常工作
LACPDU
LACP模式:采用LACP协议的一种链路聚合模式,设备间通过 链路聚合控制协议数据单元(Link Aggregation Control Protocol Data Unit,LACPDU)进行交互,通过协议协商确保对端是同一台设备,同一个聚合接口的成员接口
LACPDU报文中包含设备优先级,MAC地址,接口优先级,接口号等。
系统优先级:系统LACP优先级默认32768,越小越优,通常保持默认,当优先级一致时LACP会通过比较MAC地址选择主动端,MAC地址越小越优
接口优先级:系统LACP优先级默认32768,越小越优,通常保持默认,当优先级一致时LACP会通过接口编号选择活动接口,越小越优
负载分担-采用源目IP模式适合负载分担-采用源目MAC模式不适合负载分担算法
基于流的负载分担:1.绝对不会出现乱序;2.不是绝对的均分
基于包的负载分担:1.绝对均分;2.可能出现乱序
六.Network Security
6.1ACL(Access Control List)
全局ACL(实现用户接入的网络准入控制,基于业务随行流量)
ACL(访问控制列表)是由一系列Permit或deny语句组成的,有序的规则集合,它通过匹配报文的相关字段实现对报文的分类
ACL本身是一组规则,只能区分某一类的报文,换句话说,ACL更像是一个工具,当我们希望通过ACL来实现针对特定流量的过滤时,就需要在适当的应用中调用已经定义好的ACL
ACL分类:
标准的-只能对源头做过滤 2000-2999
扩展的-既能对源,也可以对目的,特定的协议流量等做过滤 3000-3999
二层--针对二层的流量,SMAC。DMAC,做过滤 4000-4999
ACL表由上到下去匹配,步长号(Rule)可以定义,保证逻辑正确的情况下,提升可扩展性
通配符:0代表严格指定,1代表任意(可以通过找到相同点来进行ACL表的填写)
6.2NAT(Network Address Translation)网络地址转换
IPv4地址不够用延长IPV4地址的使用寿命,实现的一种地址转换,地址分共有和私有;
华为NAT技术分为源NAT和目的NAT
Source NAT:内防外
Destination NAT:外访内
如果双向访问,必须配置源NAT和目的NAT
华为的源NAT实现的方式:
1.静态源NAT 1:1 接口/全局定义映射关系
2.动态NAT 1:1 地址池
3.NAT-PAT 端口映射 1:多 上网的同时节约IP地址
4.EASYIP 1:多 直接出口地址NAT (中小型园区网建议)
华为的目的NAT实现方式:
1.NAT Server 数据通信
2.Destion NAT
Smart NAT
Full-Cone NAT
NGFW实现目的的NAT
6.3WLAN(802.11)
有线无线一体:原理相同
taditional Campus Design 管理员手工配置CLI
SDN Campus Design 软件承载服务器上通过一些管理协议(SNMP)纳管设备,下发配置
wlan是计算机网络和无线通信技术(Wi-Fi)相结合的产物,是有线网络的无线化延伸
基本的WLAN组网架构
FAT AP(胖AP)架构
AC+FIT AP(瘦AP)架构
敏捷分布式AP
远端单元RU
无线控制器AC(Access Controller)
在集中式网络架构中,AC对无线局域网 中的所有AP进行控制和管理,例如:AC可以通过与认证服务器交互信息来为WLAN用户提供认证服务
接入点AP(Access Point)
为STA提供基于802.11便准的无线接入服务,起到有线网络和无线网络桥接的作用
胖AP(FAT AP)
能够独立自治,自我管理的AP,FAT AP架构又称为自治式网络架构
敏捷分布式AP
AP的一种特殊架构,将AP拆分为中心AP和敏分AP两部分,中心AP可管理多台敏分AP,在适用的场景下,成本低,覆盖好,敏捷分布式AP可以用于FAT AP、AC+FIT AP、云管理架构(房间分布密集的场景)
远端单元RU(Remote unit)
在集中式网络架构的敏捷分布WI-FI方案架构中,远端单元作为中心AP的远端射频模块,负责空口802.11报文的收发
有线侧组网的概念:CAPWAP协议
CAPWAP(Control And Provisioning of Wireless Access Points Protocol Specification,无线接入点控制和配置协议):定义了如何对AP进行管理,业务配置,即AC通过CAPWAP隧道实现对AP的集中管理和控制
CAPWAP隧道的功能
AP与AC间的状态维护
AC通过CAPWAP隧道对AP进行管理,业务配置下发。
当采用隧道转发模式时,AP将STA发出的数据通过CAPWAP隧道实现与AC之间的交互
AP供电
1.AP独立供电
2.带POE功能交换机,理论不超过100M特定POE交换机+特定AP POE+ 300M
BSS/SSID/BSSID
基本服务集BSS(Basic Service Set)
一个AP所覆盖的范围
在一个BSS的服务区域内,STA可以相互通信
基本服务集标识符BSSID(Basic Service Setldentifier)
是无线网络的一个身份标识,用AP的MAC地址表示
服务集标识符SSID(Service Set ldentifier)
是无线网络的一个身份标识,用字符串表示
为了便于用户辨识不同的无线网络用SSID代替BSSID
WLAN工作流程
1.AP上线:AP获取IP地址并发现AC,与AC建立连接
FIT AP需完成上线过程,AC才能实现对AP的集中管理和控制。以及业务下发
(1)AP获取IP地址
静态方式:登录到AP设备上手工配置IP地址
DHCP方式:通过配置DHCP服务器,使AP作为DHCP客户端向DHCP服务器请求IP地址
(2)典型方案:
部署专门的DHCP Server为AP分配IP地址
使用AC的DHCP服务为AP分配IP地址
使用网络中的设备,例如核心交换机为AP分配IP地址
2.AP发现AC并与之建立CAPWAP隧道
(1)Discovery阶段(AP发现AC阶段)
AP通过发送Discovery Request报文,找到可用的AC
AP发现AC有两种方式:
静态方式:AP上预先配置AC的静态IP地址列表
预先配置
创建AP组
配置网络互通
配置AC的国家码(域管理模块)
配置源接口或源地址(与AP建隧道)
配置AC的网元名称(可选)
配置AP上线时自动升级(可选)
添加AP设备(配置认证模式)
动态方式:DHCP方式,DNS方式和广播方式
(2)建立CAPWAP隧道阶段
AP与AC关联,完成CAPWAP隧道建立,包括数据隧道和控制隧道
数据隧道:AP接受的业务数据报文经过CAPWAP数据隧道集中到AC上转发
控制隧道:通过CAPWAP控制隧道实现AP与AC之间的管理报文的交互
3.AP接入控制
AP发现AC后,会发送Join Request报文。AC收到后会判断是否允许该AP接入。并响应Join Response报文
AC上支持三种对AP的认证方式:MAC认证,序列号(SN认证和不认证)
4.AP版本升级(可选)
5.CAPWAP隧道维持
数据隧道维持:AP与AC之间交互Keepalive报文来检测数据隧道的连通状态
控制隧道维持:AP与AC交互Echo报文来检测控制隧道的连通状态
2.WLAN业务配置下发:AC将WLAN业务配置下发到AP生效
3.STA接入:STA搜索到AP发射的SSID并连接,上线,接入网络
4.WLAN业务数据转发:WLAN网络开始转发业务数据
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
