2021HCNA-HCNP课程笔记合集

华为HCNA-HCNP-讲课笔记合集1 小米路由\\访问小米共享硬盘访问windows共享的方式映射网络驱动器学习工具①截图greenshort②有道云笔记③vncvmwareworkstation：模拟虚拟机，搭建学习和测试环境。vmware的公司。vmware12.1可以安装win10操作系统（OSoperating格式：.iso(原版） .GHO（第三方）winxp---->winvista---->win7---->win8(8.1) >win10克隆功能：copy一份关机：按一下电源按钮配置虚拟机使其上网①让vmnet0桥接到无线网卡（无线网卡可以上网）②将虚拟机的网卡选择自定义到vmnet0win10新功能及特性关闭update关闭用户账户控制关闭防火墙：win7win8需要关闭防火墙才可以ping通删除不常用输入法telent：远程控制工具硬件设备查看驱动如果发现某硬件没有被驱动，可以尝试安装集成网卡驱动版的驱动精灵认识自己的计算机网卡ncpa.cplwindows远程控制设置win10允许被远程控制（server服务端）06确定用户名aa密码123IP：06客户端上控制：运行---mstsc 打开远程控制终端匿名共享：方便共享文件①开启guest帐户（开启来宾帐户）②关闭密码保护共享③将相关文件夹共享给guest帐户WinPE:WindowsPreinstallationEnvironmentwindows系统预安装环境电脑店PE工具①模式：刻录在U盘里面使用②模式ISO模式：刻录到光盘里面，或者给虚拟机使用③本地模式：直接将PE安装到本地C盘，机器启动时直接读取C盘的PE文件启动。（无需修改BIOS开机启动项）即增加了一个额外的开机启动菜单。硬盘分区首先给虚拟机添加一块硬盘缩小、扩大分区分区表的找回BIOS:BasicInputOutputSystem段小程序。电源键----》读取BIOS----》查询硬盘起始分区引到（MBR、GPT） 》然后读取系统分区启动系统BIOS：目前主要用来调节开机启动项，CPU进入BIOS：开机按F2Del键回车F1等等（不同型号的电脑不一样）给BIOS设置密码硬盘引导：MBR引导：win7 早期缺点：不支持2T以上硬盘主分区最多支持4个操作系统必须安装在主分区，且该主分区是活动分区GPT分区：(也称为GUID分区），支持2T以上硬盘且主分区可以建立多个。win8、win10。无损GPT《 》MBR转换：PE磁盘精灵注：GPT分区少于4个预装win8、win10换win7经常遇到故障电脑店：小马PE安装：激活windows小马激活等激活工具驱动精灵安装驱动下载驱动精灵集成网卡驱动版安装驱动即可备份系统PE：ghost恢复系统、还原系统windows引导失败windows无法启动①使用磁盘精灵重建MBR引导②修复windows引导③使用其他的工具修复windowswin+e打开计算机win+r运行tab切换crtl+tab切换标签运行ncpa.cpl打开网卡配置win+d最小化所有窗口空格 选择单选框alt+f4关闭当前窗ctrl+c复制copyctrl+vviscidityctrl+x剪切剪刀ctrl+s保存savealt+tab切换窗口shift+f10右击虚拟内存休眠文件hiberfil.sys休眠文件约=内存的75POWERCFG-HOFF 删除该文件POWERCFG-Hon 恢复休眠功能POWERCFG-H-size50 使该为为内存百分之50如遇到休眠时蓝屏则将其百分比再调大即可使用软碟通（ultraISO）安装系统（双系统）装系统大招vmware网络配置影子系统：每次开机，系统都恢复到原来的样子，适用于网吧、机房可以在正常模式设置密码，防止用户修改HFS：httpfilesystem：通过Http实现文件共享（局域网）注册表：类似一本书的目录，登记表，windows里面找到打开注册表regedit是彻底隐藏是显示（默认值）项：文件夹38学习环境准备环回网卡安装ciscopacketracert6.0ENSP华为39 网络概述技术交流QQ群：191921987查询服务器所在的位置40IP：internetprotocol标识一台网络设备唯一的ID标识，类似公民的身份证号。全球唯一。例如：保存抓取的数据包ping：测试两个网络设备的联通性，参考的协议标准ICMP。ICMP：internetcontrolmessageprotocolping指令封装数据包参考的协议OSI参考模型：opensysteminterconnect准，以及数据包封装所参考的协议。旨在让不同的设备不同的用户可以互联互通。一层：物理层：规定了物理介质、网线、光纤、光纤、电压电流等标准二层：数据链路层：MAC地址，交换机三层：网络层：IP地址，路由器四层：传输层：端口号例如：80端口五层六层 统称高层（传输的数据七层MAC地址：网卡物理地址16进制网卡出厂时烧录在芯片里面的一串全球唯一的地址（默认情况下不能更改）。TCP\IP模型：tcp\ip模型是很多个网络协议的集合，其中以tcp和ip议的集合称为TCP\IP协议族（簇）。该模型是目前数据包封装主要参考的模型。五层模型：一层物理层二层数据链路层：MAC三层网络层：IP四层传输层：端口五层应用层：用户数据DATA数据包的结构Ipv4地址：点分十进制32bit192.168.1.100ip地址：网络位+主机 192.168.1 2网络位 主机网络位：子网掩码1bit对应的位是网络位主机位：子网掩码0比特对应的位注：主机位全0全1的ip地址和掩码的组合是无效的。主机位全0：子网地址(网络地址）主机位全1：子网广播地址例如：27 28 1111111.1 0000000网络位 主机主机位全1，无效例如：28 28 0000000网络位 主机主机位全0，无效IP地址分类：A类：1-126 默认子网掩码 /8B类：128-191/16C类：192-223/24注：默认掩码也称为自然掩码D类：224-239组播地址E类：剩下实验用例如： C类 B类 A类特殊地址127.x.x.x 本地环回测试地址仅用来测试本机代表自己 代表所有55 广169.254.x.x：windows系统给的地址（计算机没有通过dhcp获取到地址）单播：一对一组播：一对一组用户，类似qq讨论组广播：一对所有，群发特殊二层MAC全Fff-ff-ff-ff-ff-ff 广播01-00-5e-xx-xx-xx 组播网段：具有相同网络位的ip和掩码的组合称为同一个网段（局域网、子网）54一个网段包含多少ip？/242^8=256-2=254个可用的主机IP地址8是主机位例如：92/26可用IP地址多少？2^6=64-2=62个例如：522^2-2=2个11111网络位/30可用ip多少？xx主机位11111001111101可用（253）1111110可用（254）1111111可用ip地址：5354例如：48 /29 可用ip多少6个49-254相同网段的PC互相通信时不需要网关不同网段的PC互相通信需要网关做中转注：不同网段的PC互相通信需要路由器（三层设备）做中转，该路由器作为PC的网关。子网掩码：规定了该ip地址所在的网段。网关：当PC访问不同网段的服务时，需要将数据交给网关处理。DNS：域名解析服务，将域名（网址）转换成IP地址。私网地址：在任何地方都可以使用的ip公网地址：全球唯一，需要花钱申请ip地址紧缺：2^32=42.9亿NAT+私网地址===》ip地址紧缺私有地址范围：A/8B-55C/16注：私网地址不能在公网上被传输（路由）。运营商如果发现收到的报文三层含有私有地址，则会将该报文直接丢弃。58/16分成6个小子网？2^m>=6m=3因此需要三个bit的子网位172.16. 00000000.0① 172.16. 000 00000.0/19② 172.16. 001 /19③ 172.16. 010 /19④ 172.16. 011 00000.0⑤ 172.16. 10000000.0⑥ 172.16.10100000.0⑦ 172.16.11000000.0⑧ 172.16.11100000.0TTL:timetolive生存周期：防止环路，起始值经过路由器是递减tracert 测试本地到达目标所经过的三层设备ARP：（AddressResolutionProtocol）,通过目的IP地址，请求对方MAC程。arp目标mac是全F广播arp -a查看arp的缓存arp -d删除arp缓存表arp请求包（request）：去包arp回应包（reply）：回包广播域：广播包可以发送的区域范围。路由器隔离广播域（由器的每个接口都是一个独立的广播域）。交换机不隔离广播域。当一个PC访问外网时（访问的目标和自己不在同一个网段），此时二层会封装MAC地址。TCP：可靠传输、面向连接 ：准确性很高，速率稍慢UDP：不可靠传输、非面向连接 ：准确性差，速率很面向连接：如果某应用层协议的四层使用TCP端口，那么在正式的数据报文传输之前，需要先建立连接。只有建立完连接之后才可以传输数据。建立连接：三次握手①客户端--->服务器②服务器--->客户端③客户端--->服务器三次握手：面向连接的高层协议在正式传输数据之前需要先建立连接，建立连接的过程需要来回交互三个报文，我们将建立连接的过程称为三次握手。netstat-an可靠传输：客户端收到报文之后，需要发送TCP的ack确认包，并告诉服务端接下来要收的报文的序号。同时该过程确定了两者传输的“windows窗口”大小。常用协议的端口号：HTTP：tcp80网页浏览telnet：tcp23远程控制FTP ：tcp2021文件传RDP：tcp3389远程桌面VNC：tcp5900telnetx.x.x.x80打开telnet指令1-1024端口号：熟知端口（固定，已经分配1024以后的端口称为随机端口wireshark过滤规则：ip.addr==27过滤出包含27报文ip.src==x.x.x.x源地址ip.dst==x.x.x.x目标tcp.port==80tcp.dstport==80过滤出目标端口为80端口tcp.srcport==80eth.src==00:21:cc:cf:1d:28eth.dst==00:21:cc:cf:1d:28vnc arp http过滤高层协议and且or或not非 支持例如：tcporhttpand(notvnc)思科cisco :CCNACCNPCCIE华为huawei：HCNAHCNP华为命令行简介<>用户视图模式权限稍[]系统视图模式 权限高<>system-view切换到系统视图[]sysnameR1命名[]quit退出当前模式？提示信息命令支持简写tab键补全命令<>language-modeChinese提示语言改为中文dis current-configuration显示当前所有配置more：回车键翻一行，空格翻一页其他任意键退ctrl+z直接回退到用户模式给接口配置IP地址：inte0/0/0进入接口e0/0/0ipaddress24给接口配置ip地址和子网掩码dis this显示当前配置disipintbrief显示接口摘要disiprouting-table显示路由表路由表：路由器转发数据包的唯一依据，是路由器转发数据包的一张“地图”。<>save保存配置[]undoinfo-centerenable关闭信息中心，防止弹出日志直连路由：directroute，直接相连的路由，当路由器的接口配置好ip地址并up后，会自动创建该路由。路由器默认情况下，只能到达直连的网段。静态路由配置：去包路由：PC1--->PC2(目标网段始终是：/24)R1:iproute-static24目标网段下一跳下一跳：（next-hop） 下一个传递者，下一个承接R2：iproute-s24 回包路由：PC2--->PC1(目标网段始终是：/24)PC3:iproute-s24 PC2:iproute-s 24 undoxxx例如：inte0/0/1undoipaddress例如：undosysname路由优先级：（preference，两种路由协议，此时优选路由优先级较小的路由协议。路由优先级范围：0-255常见路由协议默认的优先级：直连路由0静态路由60Rip100ospf10数字越小越优先pingx.x.x.x-t 一直ping ctrl+c终止79inte0/0/0shutdown禁用接口inte0/0/0undoshutdown开启如果出接口故障，那么与该接口相关的直连路由全部消失。如果某路由的下一跳不可达则该路由也会消失。到达某相同目标网段路由表中始终放置最优路由。路由优先级：目标：想实现千兆Ge0/0/0做为主链路，百兆E0/0/1作为备份链路R1:iproute-s 24iproute-s 24preference50配置静态路由并制定优先级为R2:iproutes-s24iproute-s 24preference50负载均衡：数据（负载）被均分到两条链路上传输。路由度量：（度量值,metric,cost,路由开销）到达某目标所花费的开销（代价）合，用来衡量路径的优劣。缺省路由（默认路由）：defaultrouteiproute-s 0 访问任何网段都将数据包交给注：缺省路由属于特殊的静态路由！注：PC特殊注意：缺省路由属于“替补路由”，只有当其他的路由不可达时才会使用缺省路由。注：缺省路由适用于边缘节点，以及企业出口。环回接口（loopback）：逻辑接口，模拟网段、PCRouter-IDintloopback 0ip add 24DHCP：动态主机配置协议DHCP（DynamicHostConfigurationProtocol）来分配IP突。上网参数：IP地址、子网掩码、网关、DNSdhcpenable启用dhcp功能ippoolqq 创建地址池qqgateway-list分配网关networkmask分配ip和掩码dns-list分配DNSinte0/0/0（和用户相连接口）dhcpselectglobal使用本地全局配置的地址池分配ip地址cmd--->ipconfig查看获取到的ip地址注1：dhcp服务器使用不同的MAC地址来区分不同的PC注2：用户发送的第一个dhcp请求包源是目标是55的广播报文，该报文称为dhcpdiscover。ipconfig /all查看ipconfig /release释放ipipconfig/renew重新获取更改网卡mac地址：dhcp租期：24小时1.254---》A用户disippoolnameqqused显示dhcp分配记录RIP:路由信息协议RIP（RoutingInformationProtocol）矢量（Distance-Vector）算法的协议，使用跳数作为度量来衡量到达目的网络的距离。RIP主要应用于规模较小的网络中。缺点：古老，收敛速度很慢！90rip的配置R1:rip1undosummary关闭自动汇总version2版本2network宣告直连主类网络network 宣告直连主类网络R2：rip1undosummaryversion2networknetworknetworkR3：rip1undosummaryversion2networknetworkRip报文每隔30s发送一次目标地址是：组播地址报文里面存放的是路由信息rip只看距离远近，距离是以跳数（经过路由器的个数）注：16跳不可达。抑制接口：（静默接口ripsilent-interfacee0/0/0将接口e0/0/0配置为静默接口，rip的路由更新不再从该接口发送。注：rip的优先级100.OSPF：开放式最短路径优先(OpenShortestPathFirst）协议是IETF链路状态的内部网关路由协议。ospf的优先级：10.ospf的区域规划area0：骨干区域核心区域area1、2。。。：常规区域Area0是骨干区域，其他区域都必须与此区域相连。ospf配置R1：ospfarea0network55network55R2：ospf1area0net55net55net55R3:ospf1area0network55network55ospf的报文：常见5种hello：DBD、LSR、LSU、LSack刚开始发送<>resetospfprocess重置ospf进程显示ospf的邻居表：ospf静默接口Telnet:远程登录，远程控制一些路由器和交换机等网络设备。四层使用TCP23口。telnettelnet服务端配置：telnetserverenable（华为默认开启）aaalocal-userhcnppasswordcipherhcnp123privilegelevel配置用户名和密码 权限级别3级local-userhcnpservice-typetelnet指定账号的服务类型是telnetuser-interfacevty04 同时允许5个人远程控制authentication-mode aaa认证的模式采用telnet客户端：①<>telnet ②客户端为PCrouteprint显示PC的路由表给PC增加一条路由routeaddmask 注：四层使用的TCP23号端口。缺点：密码是明文密码。FTP:file translateprotocol， 是用来传送文件的协议。使用FTP实现远程文件传输的同时，还可以保证数据传输的可靠性和高效性。目前多数用其来传输安装操作系统。路由器硬件组成：内存 + cpu + flash（类似硬盘） +扇 + I/O接口+主板查看路由器操作系统dir查看flash华为操作系统：VRP：VersatileRoutingPlatformve5.x对flash的操作：copy vrpcfg.zip resetrecycle-bin 清空回收站配置ftp：aaalocal-useraapasswordcipheraa123privilegelevel3ftp-directoryflash：local-useraaservice-typeftp客户端访问：getr4 PC当客户端：升级操作系统VLAN（VirtualLocalAreaNetwork）即虚拟局域网。作用：在大型的企业内网，可以通过在交换机（二、三层交换机）上部署vlan技术隔离广播域,缩小广播发送的范围，同时将安全威胁隔离到最小。以及方便管理员的管理。最终使得网络更加的健康和稳定。vlan配置vlan10创建vlan10vlan20vlanbatch203040同时创建三个vlanintgi0/0/1portlink-typeaccess 将接口类型配置为portdefaultvlan10将接口划分到vlan10里面interfaceGigabitEthernet0/0/2portlink-typeaccessportdefaultvlan10注：vlan1属于默认vlan，默认情况下所有的接口都位于vlan1里面。注：vlan隔离广播的同时，也会隔离arp，从而导致单播也无法通信。如果想让不同的vlan单播可以通信，还需要三层设备（路由器、三层交换机）做路由。注：默认情况下，交换机的一个接口只能从属于一个vlan，只允许该vlan的数据通过。Trunk:干道主干链路 通常用于交换机和交换机之间，通过一个接口传输多个vlan数据包。trunk配置：access口：接PCtrunk口：接交换机hybrid口：混合口既可以接PC也可以接交换机（华为交换机的默认接口）trunk配置：intgi0/0/xportlink-tytrunkporttrunkallow-passvlanallPC--->交换机access口注：PC不认识vlan标记，不认识tag，只有通过交换机的trunk接口发出的报文才具备vlan的标记（802.1qtag）。注：PC发出的报文没有tag。交换机trunk trunk交换PVID：本征vlan（nativevlan）：该vlan的报文经过trunk接口时不打标记（tag）。默认情况下本征vlan是vlan1.intgi0/0/4porttrunkpvidvlan20将trunk接口的pvid改为vlan20将交换机的接口属性更改时：例如由access-->trunk或者由trunk-->access 必重置接口的默认配置[]clearconfigurationintgi0/0/2vlan间路由：方法①多层交换机--SVI（常用）：switchvirtualinterface方法②路由器--单臂路由注意：不同的vlan之间互相通信必须要有三层设备（路由器、多层交换机）做中转。vlan间路由之SVIsvi配置：vlanbatch10 20将接口划入vlan配置略intvlan10ipaddress24给vlan10配置ip地址10.1作为vlan10用户的网关intvlan20ipadd24调试：注意：vlan间路由：通过三层设备路由，使得不同vlan间可以互相通信。但是仅仅允许单播通信。不同vlan之间广播帧依然被隔离既没有失去vlan原来的意义。vlan间路由之单臂路由配置：①交换机上联配置intgi0/0/3配置trunk②路由器启用子接口interfaceEthernet0/0/0.10dot1qterminationvid10ipaddressarpbroadcastenableinterfaceEthernet0/0/0.20dot1qterminationvid20ipaddressarpbroadcastenableacl：accesscontrollistacl两种：基本acl（2000-2999）：只能匹配源ip地址。高级acl（3000-3999）：可以匹配源ip、目标ip段。acl举例：拒绝PC1访问172.16.10.xR2：aclnumber2000 建立基本acl（表号2000）rule5denysource0拒绝源地址为的任何数据包。5为自动生成的执行序号。intgi0/0/0traffic-filterinboundacl2000在接口的入方向调用aclacl举例：拒绝PC1和PC2pingserver1，但是允许其http访问。R2:aclnumber3000rule5denyicmpsource55destination0intgi0/0/0traffic-filterinboundacl3000acl举例：拒绝PC2telnet访问R2:aclnumber3001rule5denytcpsource0destination0 destination-portqtelnetintgi0/0/0traffic-filterinboundacl3001注意：注1：一个接口的同一个方向，只能调用一个acl注2：一个acl里面可以有多个rule规则，从上往下依次执行注3：数据包一旦被某rule匹配，就不再继续向下匹配注4：默认隐含放过所有（华为的acl用来拒绝数据包时）。ACL举例：acl3005①拒绝源地址是/24目标地址是ftp的报文②允许源地址是/24的任何报文③拒绝源地址是目标是的任何ping包④拒绝任何telnet的报文⑤放过剩下的所有报文aclnumber3005rule5denytcpsource55destination0destination-porteqftp-datarule10denytcpsource55destination0destination-porteqftprule15permitipsource55rule20denyicmpsource0destination0rule25denytcpdestination-porteqtelnetrule30permitipNAT：（NetworkAddressTranslation）网络地址转换技术，作用是将内网私有地址转换成公网地址，使得内网的主机可以上外网。私有地址：任何人都可以使用A/8B-55C/16基础配置：配置好ip地址静态NAT：staticNAT ：一对一（一一映射），一个私网地址对应一个公网地址外网的用户可以访问内网的主机。global：全局公网地址local：内网私有地址inside：内网内部outside：外部intgi0/0/1(在外网口配置）natstaticglobalinside将私网地址31.2和做一对一的映射。调试：查看nat的转换过程disnatsessionprotocolicmp缺点：有多少个私网地址就需要多少个公网地址。NAT之easyIP：允许多个私网地址转换成一个公网ip，出口：先写acl匹配内网私网地址段aclnumber2000rule5permitsource55注：acl用来做匹配范围时，没有默认隐含允许所有的规则。intgi0/0/1(公网接口）natoutbound2000（2000是acl的表号）原理：内网私网地址出包时转换成公网接口gi0/0/1当前的ip地址。NAT之serverNAT：可以将某服务器的某端口映射出去（非常安全）intgi0/0/1natserverprotocoltcpglobalwwwinside54www仅仅将服务器的80端口映射出去广域网链路：二层封装PPP、HDLC、FRinterfaceSerial4/0/0link-protocolpppipaddressPPP可以对链路做认证PPP的链路认证：①PAP认证 ②CHAPPAP认证：（明文传输，两次握手）R2（服务端）aaalocal-userhcnppasswordcipherhcnp123local-userhcnpservice-typepppints4/0/0pppauthentication-modepap此时：可以shutdown接口然后再undoshutdown检测R1(客户端）ints4/0/0ppppaplocal-userhcnppasswordsimplehcnp123配置客户端发送的用户名和密码此时：可以shutdown接口然后再shutdown检测CHAP认证：三次握手，密文发送HDLC、FR注：华为、H3C串行接口默认的封装方式是PPPcisco（思科）串口默认封装的是HDLCints4/0/0link-protoclhdlcFR:frame-relay帧中继链路聚合/链路捆绑/端口聚合/eth-channel没有配置链路捆绑之前交换机：inteth-trunk1创建逻辑捆绑接口组1intgi0/0/1 将接口加入接口组eth-trunk1intgi0/0/2eth-trunkintgi0/0/3eth-trunkVRRP:虚拟网关冗余协议VirtualRouterRedundancyProtocol.术。对用户的网关做冗余。基础配置：核心的ip地址用户网关10.1vrrp配置：核心1：int gi0/0/0(下联用户的接口）vrrpvrid1virtual-ip创建虚拟组1，并指定虚拟ip用户网关。核心2：(主路由器intgi0/0/0vrrpvrid1virtual-ipvrrpvrid1priority105将优先级改为105作为主路由器，优先级默认是100。数字越大越优先。工作原理：核心路由器会每隔一段时间（约2s）发送一个特定的vrrp报文。如果一段时间没有收到对方发来的vrrp报文，就认为对方master设备出现故障。此时backup会自动切换为gi0/0/0vrrpvrid1trackinterfaceGigabitEthernet0/0/1跟踪上联接口gi0/0/1的状态，当发现gi0/0/1口down时，自动将优先级减10，以让出master的位置。配置密码（可选配置）intgi0/0/0vrrpvrid1authentication-modesimpleplain123配置认证简单明文密码123stp：spanningtreeprotocol作用：防止交换环路原理：通过运行stp算法，阻塞特定的接口实现冗余无环的网络。stp算法：大原则：先选出不被阻塞的接口，剩下的接口都会被阻塞。①整个网络（整个广播域）先选出根桥。先比较优先级再比较mac地址，越小越优先。根桥上面的端口都是指定端口。②非根桥上面选举根端口（根端口有且仅有一个）到达根桥最近的端口当选为根端口。③每段链路选举一个指定端口。桥ID（优先级+mac）较小的交换机上面的端口当选为指定端口。④剩下的端口全部被阻塞。修改交换机stpstppriority0注：优先级必须是4096的倍数交换机接口由down到转发状态大概经过30sdown--->listening--->learning--->forwarding边缘端口：建议将接PC的接口配置为边缘端口（减少接口的收敛时间）intgi0/0/3stpedged-portenablestp根保护：建议到根桥的接口配置int gi0/0/2stproot-protection一旦使能根保护功能的指定端口收到优先级更低BPDU时，端口状态将进入Discarding状态，不再转发报文。在经过一段时间（通常为两倍的ForwardDelay），较高（数值低）的BPDU，端口会自动恢复到正常的Forwarding状态。注：该指令只能在指定端口配置才会生效。stpbpdu防护：保护根桥全局stpbpdu-protection作用：开启bpdu保护后，如果从边缘端口收到stp报文，交换机会自动将该接口shutdown。从而确保根桥不被抢占，同时确保不会出现环路。error-downauto-recoverycausebpdu-protectioninterval3030s后自动up自动恢复机制。RSTP：rapaidstp快速的生成树协议。stpstpmoderstp将stp的模式切换为rstpIPV6：internetprotocolversion6目前正在使用：ipv4ipv4：32bit 2^32=42.9亿ipv6：128bit 2^128=很大很大 冒分16进制ipv6由8个字段组成，每个字段占16个bit2001:db8:0:0:0:0:346:8d582001:db8::346:8d58特殊ipv6地址：注① ::1 本地环回地址类似ipv4 注② :: 相当于ipv4 注③ FF开头组播v6地址 例如：FF::5类ipv6静态路由配置接口ip：ipv6 全局使能ipv6功能intgi0/0/1ipv6enableipv6address2001::2 64R1:ipv6 route-static 2002:: 64 12::2R2:ipv6 route-static :: 0 12::1ipv6地址分类：单播 组播任意播（取消广播概念任意播：一到最近ipv6无状态自动配置：PC会通过发送特定类型的icmp结合自己的mac地址自动生成全球独一无二的ipv6地址。ipv6中以FE80::开头的地址都属于本地链路地址（link-local），启用了ipv6功能的接口都会自动生成相应link-local地址。FE80::+EUI-64地址EUI-64地址：原mac地址中间嵌入FFFE，然后将第七个bit取反。思科锐捷命令行简介>用户模式#特权模式（config）#全局模式>enable由>进入#模式#configure terminal由#进入全exit退出当前模式全局hostnameSW1命名vlan10intvlan10ipaddx.x.x.x#showipintbrief显示接口摘要#showiproute显示路由表#showrun显示当前配置#write保存intFa0/1将接口fa0/1划入vlan10switchportaccessvlan10switchportmodeaccessintFa0/3将接口配置为trunkswitchporttrunkencapsulationdot1qswitchportmodetrunk静态路由全局iproute 同时对多个接口做配置intrangefa0/1-fa0/24#erasestartup-config擦除配置擦除华为配置< >resetsaved-configuration终止解析ctrl+shift+思科acl配置：标准：R2:全局access-list 1 deny access-list1permitanyintfa0/0ipaccess-group1in扩展：access-list100 deny icmp anyintfa0/0ipaccess-group100in思科NATintfa0/0ipnatinside指明内网接口intfa1/0ipnatoutside指明外网接口access-list5per 55用acl匹配内网网段全局ipnatinsidesourcelist5interfacefa1/0overload思科telnet配置全局usernameaaprivilege15passwordaa123权限级别是15全局linevty015loginlocal 密码对登录的用户做认证思科DHCPservicedhcpenable 开启dhcp功能全局ipdhcppoolhcna 建立dhcp地池networkdefault-routerdns-server两层架构的总合实验实验要求：①用户的网关配置在核心交换机② 企业内网划分多个vlan，减少广播域大小，提高网络稳定性接入层交换机配置vlan，并将用户划入相应的vlan配置好trunk链路核心上面配置vlan和SVI虚拟接口③所有设备，在任何位置都可以telnet远程管理aaalocal-userhcnppasswordsimplehcnp123local-userhcnpprivilegelevel3local-userhcnpservice-typetelnetuser-interfacevty04authentication-modeaaa配置管理vlan999管理地址段：192.168.255.xsw1:interfaceVlanif999管理vlanipaddresssw2:vlan999intvlan999管理vlanipadd 24配置管理ip地址iproute-static0 sw3:vlan999intvlan999ipadd 24iproute-static0④出口配置NATvlan800配置SVI254.1和R1对联路由器R1、R2接口都配置好ip地址NAT配置：aclnumber2000rule 5 permit source intgi0/0/1(出口）natoutbound2000核心sw1：iproute-s0出口R1：iproute-s0出包iproute-s将回包交给核心sw1⑤ stp运行RSTP快收敛。stpmoderstpstppriority0port-gge0/0/2toe0/0/3stpedge-portenable⑥ 接入交换机：sw2、sw3stpbpdu-protection⑦ 所有用户均为自动获取ip地址核心：sw1dhcpenableintvlan30dhcpselectglobal⑧ 在企业出口将内网服务器的80R1:intgi0/0/1natserverprotocoltcpglobalwwwinside0www⑨ 企业财务服务器，只允许财务部（vlan30）sw1:aclnumber3000rule5permitipsource55destination00rule10denyipdestination00intgi0/0/2traffic-filteroutboundacl3000三层架构园区网配置①用户的网关配置在核心交换机②企业内网划分多个vlan，减少广播域大小，提高网络稳定性sw4sw5sw3划分vlan配置trunksw4：vlan10intportlink-typeportdefaultvlan10intgi0/0/1portlink-typetrunkporttrunkallow-passvlan10999汇聚sw2：vlanbatch1020999port-gggi0/0/1togi0/0/2e0/0/1portlink-typetrunkporttrunkallow-passvlan1020999核心sw1：vlanbatch1020200999interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan1020999#interfaceGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlan200999interfaceVlanif10ipaddressinterfaceVlanif20ipaddress#interfaceVlanif200ipaddress③所有设备，在任何位置都可以被telnet远程管理所有设备：vlan999interfaceVlanif999ipaddressaaalocal-userhcnppasswordcipherhcnp123privilegelevel3local-userhcnpservice-typetelnetuser-interfacevty04authentication-modeaaa注意：接入、汇聚sw2sw3sw4sw5iproute-s0配置缺省路由给管理流量回包R1：开启telnet④出口配置先配置三层接口配置缺省路由允许内网用户访问外网：sw1:iproute-s0R1：iproute-s0⑤所有用户均为自动获取ip地址ippoolvlan_10gateway-listnetworkmaskdns-list#ippoolvlan_20gateway-listnetworkmaskdns-listinterfaceVlanif10ipaddressdhcpselectglobal#interfaceVlanif20ipaddressdhcpselectglobal#⑥企业总部和分支采用PPP广域网链路连接。并采用CHAP对链路做认证。接口使用s4/0/0⑦企业总部和分支采用ospf路由协议连接。sw1：R1：出口R2：上海分部HCNP（部分）dhcprequest用服务器分配的ip地址。同时该报文还有续租的作用。dhcp租期：目的是合理有效的使用ip地址分配给客户端的ip息（dhcprequest报文）。dhcp高级报文：dhcp配置：①全局建立地址池ippoolaagateway-listnetworkmaskdns-listintgi0/0/1dhcpselectglobal修改租期：(可选）ippoolaaleaseday0hour20绑定固定mac对应IP（可选）ippoolaastatic-bindip-address00mac-address5489-987a-575e排除地址段(可选）ippoolaaexcluded-ip-address5054调试指令：disippoolnameaaused显示已经分配的ip地址的使用情况<>resetippoolnameaaused 重置分配记录②基于接口的dhcp（简单、便捷int Gi0/0/0ipaddressdhcpselectinterfacedhcpserverdns-list③dhcprelay（dhcp中继）交换机配置好vlan和trunksw1:vlanbatch1020800intvlan800ipadd24intgi0/0/1portlink-tyaccportdefaultvlan800R1-DHCP:ippoolaagateway-listnetworkmaskdns-list#ippoolbbgateway-listnetworkmaskdns-listinterfaceGigabitEthernet0/0/0ipaddressdhcpselectglobal核心sw1：interfaceVlanif10ipaddressdhcpselectrelaydhcprelayserver-ipinterfaceVlanif20ipaddressdhcpselectrelaydhcprelayserver-ipdhcpsnoopingR1:dhcpenableinterfaceGigabitEthernet0/0/0ipaddressdhcpselectinterfacedhcpserverdns-listR2:dhcpenableinterfaceGigabitEthernet0/0/0ipaddressdhcpselectinterfacedhcpserverdns-list#接入层交换机：dhcpenabledhcpsnoopingenabledhcpsnoopingenablevlan1interfaceGigabitEthernet0/0/1将接口gi0/0/1设置为信任接口dhcpsnoopingtrusteddhcpsnooping工作原理：一旦针对某vlan开启了dhcpsnooping，那么该vlan的所有接口默认都是非信任接口。非信任接口收到dhcp的offer报文会直接丢弃。BFD：BFD:BidirectionalForwardingDetection,双向转发检查作用：毫秒级故障检查，通常结合三层协议（如静态路由、vrrp、ospf、BGP等）实现链路故障快速检查。R1:R2：R1:bfd全局使能BFDbfd1bindpeer-ipsource-ip配置BFD组1discriminatorlocal1 地标识1 标识需要互为对称discriminatorremote2远端标识2commit确认提交R2：bfd1bindpeer-ipsource-ipdiscriminatorlocal2discriminatorremote1commit#R1：iproute-statictrackbfd-sessionR2：iproute-s24trackbfd-session1ospf调用bfd加快收敛两台路由器配置ospf然后启用bfdospf1bfdall-interfaceenable端口安全sw:intgi0/0/1port-securityenable开启端口安全，该接口就只允许一个mac地址通信port-securitymac-addresssticky开启mac地址自动粘贴，第一个用户的mac地址会自动被粘贴到该接口port-securityprotect-actionshutdown将动作改为shutdown（可选）端口镜像：作用：①用来方便管理员维护查看网络流量②用来配合IDS、堡垒机等安全设备使用将gi0/0/2口配置为观察接口observe-port1interfaceGigabitEthernet0/0/2注：1为观察组intgi0/0/1port-mirroringtoobserve-port1both将从gi0/0/1口进去和出来的流量复制一份发给观察组1高级vlan的配置之基于mac地址的vlanvlanbatch1020vlan10mac-vlanmac-address0000-0000-0001vlan20mac-vlanmac-address0000-0000-0002interfaceGigabitEthernet0/0/1porthybriduntaggedvlan1020 置混合接口mac-vlanenable 启用基于mac习vlanvlan高级配置之基于IP子网划分vlansw2创建vlan并将相应接口划入相应vlan和sw1相连的接口配置trunksw1：intgi0/0/2portlink-tytrunkporttrunkallow-passvlan1020interfaceGigabitEthernet0/0/1(特殊处理porthybriduntaggedvlan1020ip-subnet-vlanenablevlanbatch1020vlan10ip-subnet-vlan1ipvlan20ip-subnet-vlan1ip超级vlanvlanbatch102030将相关接口划入相应vlan（略）vlan30aggregate-vlan将vlan30定义为聚合vlanaccess-vlan1020将vlan1020定义为vlan30的子vlanintvlan30ipadd24该地址将作为vlan10和vlan20的网关相同vlan隔离端口intgi0/0/4port-isolate enable将4口设置为隔离端口，并加入隔离组1（1）intgi0/0/1port-isolate enable注：同一台交换机相同隔离组的端口不能互访vlan的映射：vlanmapping（vlan的翻译）sw3sw4配置vlan和trunk，交换机和交换机之间级联的接口配置trunksw1:vlan100intgiportlink-tytrunkporttrunkallow-passvlan100sw2：interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan30to31interfaceGigabitEthernet0/0/3portlink-typetrunkporttrunkallow-passvlan32intgi0/0/2portlink-typetrunkporttrunkallow-passvlan100qinqvlan-translationenable启用vlan标签的转换portvlan-mappingvlan30to39map-vlan100将vlan的标签30-39转换成100注：trunk封装：802.1q协议hybrid混合接口：hybrid设备默认的接口封装类型。hybrid接口同时具备access和trunk的两种功能。将hybrid口当成access口来使用：sw1:intgi0/0/1porthybridpvidvlan10porthybriduntaggedvlan10interfaceGigabitEthernet0/0/2porthybridpvidvlan20porthybriduntaggedvlan20将hybrid口当成trunk来使用：interfaceGigabitEthernet0/0/3porthybridtaggedvlan1020sw2：略使用hybrid接口实现特殊通信：房间之间不能通信，但是每个房间都可以与出口路由器通信sw1：SSH：SecureShellssh：安全的远程控制协议端口tcp22号端口特点：传输的数据时加密的，Linux服务器也很常使用aaalocal-useraapasswordcipheraa123privilegelevel3local-useraaservice-typesshuser-interfacevty04authentication-modeaaaprotocolinboundsshstelnetserverenable开启stelnet（SSH）的功能使用路由器当ssh客户端：stelnet MSTP:Mulitistp多生成树协议（华为交换机默认运行mstp）工作原理：将多个vlan捆绑在一起，运行在一个stp实例里面，不同实例间的stp互相独立。注：默认情况下所有vlan都在实例0里面。交换机需要提前创建vlan和trunkmstp配置：instance1：vlan10instance2：vlan20所有的交换机：stpregion-configurationregion-namehcnpinstance1vlan10instance2vlan20activeregion-configurationsw2:stpinstance2priority4096 针对实例2将sw2的stp优先级调为4096注：配置sw1成为instance2的根桥：sw1stpinstance2rootprimary(sw1会自动降低优先级成为实例2的根桥）sw2：stpinstance2root secondarysw2将会自动降低优先级成为实例2的备份根桥VRRP+MSTP实现二层和三层的冗余：核心sw1：（作为vlan10用户的主路由器）interfaceVlanif10ipaddress54vrrpvrid1virtual-ipvrrpvrid1priority105核心sw2：interfaceVlanif10ipaddress53vrrpvrid1virtual-ip核心sw1：interfaceVlanif20ipaddress54vrrpvrid2virtual-ip核心sw2：(SW2将成为vlan20的主路由器）interfaceVlanif20ipaddress53vrrpvrid2virtual-ipvrrpvrid2priority105如果由于核心交换机的下联接口出问题，vrrp切换到另一台核心，需要配置跟踪接口sw1:intvlan10vrrpvrid1trackinterfaceGigabitEthernet0/0/1sw2:intvlan20vrrpvrid2trackinterfaceGigabitEthernet0/0/1MSTP：sw1sw2sw3都配置：instance1sw1：stpinstance1rootsw2：stpinstance1rootsecondaryinstance2根桥设置：sw1：stp instance2 rootsecondarysw2：stpinstance2 rootprimaryospf：openshortestpathfirst开放式最短路径优先area0：骨干区域（核心区域）area12。。常规区域注：常规区域必须和骨干区域直接相连ABR：areaborderrouter区域边界路由器ASBR：auto-systemborderrouer自制系统边界路由器routerid：标识运行ospf的路由器的身份ID，身份ID不能重复。选举规则：手动指定最优先，如果没有指定则选举环回口，没有环回口则选举物理接口（接口地址越大越优先）华为设备：手动指定最优先，最先up的接口最优先。注：routerid是在ospf刚启动的时候选举。重置ospf进程可以从新选举:手动指定：全局routerid给动态路由协议指定routeridospf建立邻居的条件：① 两台路由器routerid不能一致②两台路由器中间直连的网段必须宣告到相同的area区域③认证的类型、密码必须一致④直连必须可以通信⑤ospf邻居之间的特殊区域标识必须一致ospf的路由优先级：preference：10（默认）三张表：邻居表：拓扑表：路由表：ospf排错动态路由：距离矢量类路由协议：distance-vector:Rip链路状态类路由协议：link-state ：ospf ISISospf的邻居建立过程：down----->init----->two-way-----ex-start -ex-chang---->loading >fullinit：初始化状态，开始交互hello报文two-way：路由器双方都得到对方的router-idexstart：准备交互DBD描述报文，同时选举DR和BDRexchange：交互DBD描述报文loading：加载状态，请求对方的完整的明细路由full：完全邻接状态，双方数据库同步注：查看ospf形成邻居的几个状态information-centerenable<>debugging ospf event<>terminal debugging<>resetospf processDR：designaterouter指定路由器(班长）BDR：backupDR备份指定路由器（副班长作用和目的：为了减少MA（多路访问multi-access）环境下，不必要的ospf报文的发送，减少链路带宽的占用，路由器会自动选举DR和BDR。DRother路由器只会将ospf路由信息传递给DR。DRBDR选举规则：接口优先级+routerid，越大越优先。注：DR、BDR的不抢占规则：DR和BDR一旦选举成功，则不会再次选举。(除非重启）注：优先级为0表示直接不参与DR和BDR的选举。intgi0/0/0ospfdr-priority5将接口ospf优先级由1改为5ospf常见的五种报文：ospf虚链路：解决常规区域没有和骨干区域直接相连R1:ospf1area1(一定在area1）vlink-peer（必须是对方路由器的routerid）R2：ospf1area1vlink-peer注：虚链路是区域0的延伸，它默认属于区域0。181ospf的认证：注：认证是基于接口的intgi0/0/0ospfauthentication-modesimplecipher123清空ospferror统计<>resetospfcountersospfospf1silent-interfacegi0/0/1将gi0/0/1口设置为静默接口，静默接口不会发送任何的报文。注：建议将接PC的口设置为静默接口。ospfospf1preference20将优先级修改为20ospf的路由引入（import）：思科称为路由重分布（重分发）R5：rip1undosummaryversion2networknetworkR7：rip1undosummaryversion2networknetwork注：不同的路由协议之间默认不能直接传递路由，若想传递还需import引入。R5：ospf1importrip将rip引入ospf引入的路由：o_ASE:ospf-autosystemexternal,ospf自制系统外部路由，路由优先级默认是150R5：rip1importospf 将ospf引入rip双向引入完成向ospf区域引入缺省路由：R3：iproute-s 0 ospf 1default-route-advertise 将缺省路由引入ospf注：always无论R3是否有缺省路由存在，R3总会向ospf区域下发缺省路由。ospf路由汇总///241.1.00000001.01.1.00000010.01.1.00000011.0/①区域间的汇总（必须在ABR上汇总）R2：ABRospf1area1（明细路由所在区域）abr-summary22②自治系统间的汇总（必须在ASBR上汇总）ospf 1asbr-summary 7.7.00000111.07.7.00001000.07.7.00001001.0/ospfLSA类型：LSA：linkstateadvertise，LSA是包含在LSU里面的。ospf特殊区域①stub② totallystub③NSSA ④totallyNSSA①stub末节区域：不接收五型的lsaR1R2：（R1和R2都要配置）ospf1area1stub作用：拒绝5型LSA，减少路由表的大小，减轻末节路由器的负担。注：特殊区域的路由器会自动形成缺省路由指向ABR来访问其他自制系统。② totally stub 完全末节区域：拒绝345型LSAR1 R2：（R1和R2都要配置）ospf1area1stubno-summary③NSSA：notsostubarea：拒绝5型的LSA，但是会放行后面的其他自制系统的路由即“小尾巴”。“小尾巴”的路由会通过7型的LSA透传stub区域。R1R2：ospf1area1nssa将区域1配置为nssa区域④totallynssa:拒绝345型LSAR1R2：ospf 1area1nssano-summaryospfospf1filter-policy2000import（使用acl2000对路由进行过滤）aclnumber2000rule5denysource0rule10denysource0rule15permit拒绝/32和/32两条路由，放过剩下的路由。对ospf引入（import）ospf1import-routerip1route-policyqq引入rip路由同时调用路由策略qqroute-policyqqpermitnode10配置路由策略qq执行序号为10if-matchacl2001匹配acl2001acl2001rulepermitsource55rulepermitsource55ISIS:IntermediateSystemtoIntermediateSystem类似ospf的一种动态路由协议。中间系统：路由器注：主要用于运营商的内部网络特点：①IS指路由器②isis属于大型内部网关路由协议类似ospf，多用于运营商，企业网很少使用。③使用SPF算法，链路状态类路由协议。④ISIS封装数据包是基于OSI模型，ospf、rip、以及常见的以太网数据包封装都是基于TCP/IP模型。⑤ISIS划分区域是基于路由器的。即一个路由器只能属于一个区域。⑥ISIS也是两层架构（骨干区域、常规区域）isis路由器的种类：①Level1路由器：仅收发L1isis报文②Level2路由器：仅收发L2isis报文③Level12路由器：可以收发L1和L2的isis报文骨干区域：连续的一片Level 2路由器（包含L12)的集合配置：isisR1:isisnetwork-entity49.0002.0000.0000.1111.00配置网络实体标识，类似ospf中的router-id，标识该中间系统（路由器）的身份信息。其中49.0002表示路由器所在的区域。0000.0000.1111表示系统ID即router-id.00固定格式到接口下宣告直连网段R1:intgi0/0/0isisenable1宣告该直连网段intloo0isisenable1注1：默认情况下所有运行isis的路由器都是Level12路由器。注2：L12路由器类似ospf中的ABRL2 类似ospf中骨干区域路由L1 类似ospf中的常规区域路由器修改路由器的level类型R1:isis1is-levellevel-1将R1修改为纯level1路由器注：默认情况下，骨干区域的路由不会发送到L1路由器（常规区域），且L1路由器会自动形成指向L12路由器的缺省路由。（这