华为认证预习2020-0218-0309

【01】网络整体架构讲解

企业网络架构：终端 --> 接入层 --> 汇聚层 --> 核心层 --> 服务器集群

【02】网络基本管理及模拟器使用

1. 光纤：单模适合远距离传输，多模适合近距离传输
2. 使用eNSP软件注意事项：
   2.1关掉Windows的防火墙
   2.2 别安装没有必要的软件，例如防火墙或者杀毒
   2.3 少运行不必要的软件，例如VPN软件
   2.4 注册。如果注册失败，则需要关闭ensp后，将用户个人文件夹下面的文件夹.VirtualBox彻底删除，重新注册，注册成功之后重启ensp
3. CRT连接交换机使用Tab无法补全命令解决方法
   断开会话 --> 右键选中该打开的会话标签 --> 会话选项 --> 连接 --> Telnet --> 勾选“强制每次一个字符模式”
4. 华为设备的端口默认是up的，但是协议是down，即物理上工作的，但网络上不工作
5. 交换机配置

# 进入系统配置视图
system-view
# 配置交换机名称为R1
sysname R1
# 进入端口GigabitEthernet0/0/0的配置界面
interface GigabitEthernet0/0/0
# 配置本端口的IP（配置完IP之后，协议默认变为up）
ip address 10.1.1.1 24
# 启用端口，默认开启，此步可以省略
undo shutdown
# 显示当前配置
dis th
# 退出配置本端口
q
# 开启虚拟终端管理
user-interface vty 0 4
# 设置认证，密码为huawei
set authentication password cipher huawei
# 显示当前配置
dis th
# 退回系统配置视图
q
# 使用R2设备进行远程R1进行测试（只能连接，不能配置）
# 不能在系统配置视图中，否则无法连接
telnet 10.1.1.1

【03】网络各种分层结构讲解

管理vlan（VRP操作）

#  创建vlan1
interface vlanif 1
# 设置管理地址
ip address 10.1.1.1 24

【04】Ehternet基础讲解

1. 以太网帧最常用的两种封装格式：
   如果类型大于1536是Ethernet II封装，小于1500则是Ethernet 802.3封装
   1.1 Ethernet II：
   目的mac[6]--源mac[6]--类型[2]--数据[46-1500]--校验码[4]
   14字节头部
   1.2 Ethernet 802.3：
   目的mac[6]--源mac[6]--长度[2]--LLC逻辑链路控制子层[3]--SNAP(机构代码[3]+类型[2])--数据[38-1492]--校验码[4]
   20字节头部
2. Mac分类：
   第一字节的第8比特表示地址类型
   2.1 单播mac：类型字节为0。表示目的mac为此mac地址的帧都是发送到某个唯一的目的mac。
   2.2 组播mac：类型字节为1。经典组播mac：01005E。
   2.3 广播mac：全1。

【05】以太网IP网络基础和FTP讲解

1. IP头部，长度20-60B，固定20B
2. IP编址，分为网络部分和主机部分
3. VRP的FTP应用
   VRP，通用路由平台，Huawei Versatile Routing Platform Sofaware，可通过display version查看版本
   3.1 FTP
   连接控制端口21，数据传输端口20。ARG3系列路由器既可以做FTP客户端也可以做FTP服务端

# 开启ftp服务
ftp server enable
# 开启aaa：认证、授权、统计
##    设置用户名(Enter，不区分大小写)和密码(huawei)
aaa
local-user Enter password simple huawei
##    设置用户权限，最大的权限15级
local-user Ender privilege level 15
##    共享的文件夹为flash，路由器的硬盘
local-user Enter ftp-directory flash:
##    用户服务(协议)设置，用于ftp服务(协议)
local-user Enter service-type ftp
# 查看ftp服务器状态
display ftp-server
# 保存当前交换机的配置为文件
save sw2.zip
# 测试
# sw1退出系统视图之后，ftp10.1.1.2进行登录测试
# get sw2.zip获取sw2.zip文件
# q退出ftp，dir查看当前目录内容

【06】以太网IPv4基础和分类

1. 掩码的作用：区分网络和主机。网络地址为主机位全部为0，广播地址为主机位全部为1，这两个IP为网络地址的两头，都不可分给主机使用。

 # 查看华为设备上的路由表，路由表中的地址全为目的IP
display ip routing-table
# 手动添加127网段之外的环回地址
interface LoopBack 0
ip address 1.1.1.1 32
q
display ip routing-table
ping 1.1.1.1

2. IPv4分类：
   A类：网络位8b，0.0.0.0-127.255.255.255
   B类：网络位16b，128.0.0.0-191.255.255.255
   C类：网络位24b，192.0.0.0-223.255.255.255
   D类：组播地址，224.0.0.0-239.255.255.255
   E类：保留，240.0.0.0-255.255.255.255
   NET ,ABCDE的有类网络，即上述分类网络；subnet，即子网，一个大的网络划分成小的网络
3. 特殊地址（RFC1918）
   3.1 私有地址范围：（无法在公网路由，局域网内可重复使用）
   10.0.0.0-10.255.255.255，172.16.0.0~172.31.255.255，192.168.0.0-192.168.255.255
   3.2 特殊地址：

127.0.0.0-127.255.255.255：主机环回地址
0.0.0.0：网络设备未获取地址之前的源地址，如果DHCP未获得地址，会分配为169.254.x.x临时地址
255.255.255.255：本地广播地址，是0.0.0.0的广播地址

4. 划分子网方法
   4.1 根据需要的子网数目来确定子网位数，但是要确保每个子网的IP地址数目大于等于主机数。
   优点：简单；缺点：每个子网的实际主机数不同，但分配的IP地址数目相同，可能浪费IP
   4.2 根据每个子网的主机数目来确定主机位数，然后确定子网位数。
   优点：比较充分的利用IP；缺点：复杂

x=子网位数
y=主机位数

子网数目=2^x
主机数目=2^y-2

5. CIDR：无类域间路由，突破传统IP地址的分类边界，将路由表中的若干条路由汇聚为一条路由。例如可以将10.24.0.0/24、10.24.1.0/24、10.24.2.0/24、10.24.3.0/24这4个地址汇聚成一个10.24.0.0/22

【07】以太IPv4子网划分讲解

TTL作用：IP中的防环机制。IP报文每经过一个网段，TTL值减1，如果TTL=0，则丢弃。

# console登录和认证(密码设置为huawei)
user-interface con0 
authentication-mode password
set authentication password cipher huawei

【08】以太网IP头部概述和VRP相关讲解

ICMP，发出报文采用udp,端口大于30000，一般是33434开始；返回端口不可达报文（type=3,code=3）记录了节点

# 添加静态路由
# R1
ip route-static 23.1.1.0 24 GigabitEthernet0/0/0 12.1.1.2
ping 23.1.1.2
# R3
ip route-static 12.1.1.0 24 GigabitEthernet0/0/1 23.1.1.2
ping 12.1.1.2
# 路由追踪
tracert 23.1.1.3
# 删除路由
undo ip route-static 12.1.1.0 24 GigabitEthernet0/0/0 23.1.1.2

【09】以太网基础及ICMP基础

1. ARP，把逻辑地址（IP）映射成实际物理地址（MAC），华为设备ARP表项的老化超时时间缺省为1200秒
2. ARP分类：
   基本ARP
   代理ARP（位于不同网络的网络设备在不配置网关的情况下，能够通过ARP代理实现相互通信）
   免费ARP（用来检测IP地址冲突）

【10】以太网ARP基础

# 查看arp列表
display arp
# 开启代理arp，华为设备默认不开启proxy arp
interface GigabitEthernet0/0/0
arp-proxy enable

【11】华为VRP平台实施

1. 命令行视图：
   用户视图 ：查看运行状态或其他参数
   --> 系统视图（system-view）：配置设备的系统参数等
   --> 接口视图（interface GigabitEthernet0/0/0等） ：配置接口参数
   --> 协议视图（ospf、bgp、isis等）：配置路由协议
2. 常用快捷键
   VRP快捷键
   ctrl+a/e：把光标移动到当前命令行最前端/后端
   ctrl+c：停止当前命令行的运行
   ctrl+z：回到用户视图
   ctrl+]：终止当前连接或切换连接
   CRT快捷键
   ctrl+tab：下一个标签
   ctrl+shift+tab：前一个标签
   alt+"数字"：直接到达第"数字"个标签
3. 配置标题消息
   header login：配置在用户登录前显示的标题消息
   header shell：配置在用户登录后显示的标题消息

# 命令行配置
system-view
header login information "welcome to huawei certification"
header shell information "Please don't reboot the device!"
# 从文件加载标题信息
header login file 文件名称
header shell file 文件名称
# 查看当前配置信息
display current-configuration
# 管道符筛选
# begin：开头；count：统计；exclude：不包括；include：包括
display current-configuration | include header

4. 命令等级（用户等级）
   4.1 访问级
   用户等级0，命令等级0
   4.2 监控级
   用户等级1，命令等级0-1
   4.3 配置级
   用户等级2，命令等级0-2
   4.4 管理级
   用户等级3-15，命令等级0-3
5. 用户界面
   5.1 类型：Console(编号0，只有1个)；VTY(编号0-4,5个)
   5.2 配置命令

   idle-timeout：设置超时时间，默认10分钟
   screen-length：设置指定终端屏幕的临时显示行数，0不显示，即一屏显示的行数
   history-command max-size ：设置历史命令缓冲区大小

# 设置认证方式
user-interface vty 0 4
set authentication password cipher huawei
# 配置可以同时登录到设备的VTY类型用户界面的最大个数，如果为0，则任何用户都不能通过telnet或者ssh登录到路由器
user-interface maximum-vty "同时登录的个数"
# 在sw2登录sw1可以查看之前的header login 和header shell
# 查看用户
display users
# 设置用户级别，默认是0
user-interface vty 0 4
user privilege level 2
# sw2重新登录sw1进行测试
telnet 10.1.1.1
# 通过sw2进入sw1的系统视图
system-view
# 设置超时时间sw1，设置为1分30秒
user-interface vty 0 4
idle-timeout 1 30
# 设置历史命令缓冲区为100
history-command max-size 100
# 设置一屏显示100行
screen-length 100

6. 文件系统管理命令
   类似Linux

• save 保存【用户模式】
• pwd 查看当前目录
• dir 查看当前目录下文件信息
• more 查看文件内容
• cd 修改当前工作目录
• mkdir 创建新目录
• rmdir 删除目录
• copy 复制文件
• move 移动文件
• rename 重命名文件
• delete/unreserved 删除/永久删除文件
• undelete 恢复删除的文件
• reset recycle-bin 彻底删除回收站的文件

7. 配置文件查询

• display current-configuration 显示当前配置文件
• display saved-configuration 显示当前保存的配置
• display startup 查看系统启动配置参数
• startup patch 加载补丁文件
• startup saved-configuration 修改下次开机加载的配置文件
• startup system-software 修改下次开机加载的软件（系统）

【12】华为VRP系统管理

# 指定下次启动的系统文件
startup system-software "文件名"
# 重启
reboot
# 查看系统是否修改成功
display startup 

【13】华为IPv4路由原理讲解

1. 路由器两个基本功能：
   1.1 决策(RIB)
   1.2 转发(FIB)
2. AS号码私有段为64512~65535
3. 路由表（控制层面）不一定和报文转发在同一个路径上
4. 路由分类

• 接口工作，得到的是直连路由(Direct)
• 管理员手工添加得到静态路由
• 通过动态路由协议得到路由表(例如RIP)

5. 路由的原则
   5.1 最长匹配原则

# 例如：
a. 0.0.0.0/0
b. 10.2.1.0/24
c. 10.2.1.1/32
d. 100.1.1.0/24
- 去往10.2.1.100的选择b
- 去往10.2.1.1的选择c
- 去往100.1.2.1的选择a

5.2 路由协议的优先级（AD，管理距离）

# 路由协议的优先级是本设备做出决策的依据
# 优先级，数值小的优先
- 直连=0
- 静态=60（思科=1）
- RIP=100
- ospf内部=10（思科=110）
- ospf外部=150（ASE，思科没有该参数）

5.3 不同的协议有不同的度量方法，在同一个协议内部度量值比较小的优先
6. 路由负载均衡（ECMP）
FIB，由于负载均衡不等于数据包转发平分，而是通过数据流的五元组hash值进行分配，如果hash值不变则路径不变，所以负载均衡不是流量平分

# 查看FIB
display fib
# 查看路由表
display ip routing-table
> R-relay：中继，代表下一跳设备不是本设备的直连，需要做路由更迭才可以到达
> D-download to file：装载到路由表

【14】华为实施静态路由讲解

1. 静态路由需要管理员手动配置和维护的路由
   

# 添加静态路由的格式：ip route-static 网络前缀 掩码 下一条或者设备接口
# “下一条”的方案（推荐方式）
ip route-static 192.168.1.0 255.255.255.0 10.0.12.1
# “出接口”的方案(ATM、FR不能使用此方法，不通用，不推荐使用此方式)
ip route-static 192.168.1.0 255.255.255.0 Serial 1/0/0
# 上两种方案结合
ip route-static 192.168.1.0 24 10.0.12.1 Serial 1/0/0
# 查看路由表（包含协议）
display ip routing-table protocol static
# 开启debug模式，ApingB，则B开启，可以在B上看到接收的报文
debugging ip icmp
terminal debugging
# 指定接口ping 
ping -a "本机ip" "要ping的地址"
# 筛选路由 （简写：dis cu | i ip route ）
display current-configuration | include ip route

【15】华为实施静态浮动路由、代理ARP和静态默认路由

1. 浮动静态路由
   在存在多条线路的情况下使得数据只从一个链路上转发（优先级最高的那条），即路由表中只有一个下一条，其他线路作为备份链路，只有主链路失效时，备份链路才会被放入路由表。

# 查看rip路由
dis ip rou protocol rip
# 修改静态路由优先级(0~255，越小约优先)
ip route-static 10.0.4.0 255.255.255.0 Serial 2/0/0 preference 20

2. 默认路由（缺省路由）
   default route为0.0.0.0/0，即最不精准但可以使用的路由
3. 代理arp
   默认不开启。不建议使用，因为arp有老化时间，并且arp属于广播协议。

# 开启代理arp
int g0/0/0
arp-proxy enable

【28】交换机实施RIPv1

RIP，路由信息协议，属于距离矢量协议，易于维护，适合于小型网络，最大15跳（16跳不可达），使用UDP协议的520目标端口，优先级为100
作用：构建、维护、更新路由信息
RIP的开销为跳数，一跳则cost为1，两跳则cost为2，......

1. 两种报文
   1.1 Request请求（只有在rip启动或者路由变化的时候发送此报文）
   1.2 Response响应
2. 工作原理
   路由器运行rip之后，首先会发送路由更新请求，收到请求的路由器会发送自己的rip路由进行相应，形成rip数据库。网络稳定后，路由器会周期性的发送路由更新信息（响应报文），30秒发送一次。
3. 问题：R1（10.0.1.1/24）上运行ripv1得到的是10.0.2.0/24的路由，而不是10.0.0.0/8的路由？
   发送路由更新的接口的地址是10.0.123.0(主类前缀为10.0.0.0/8)，发送出去的路由（10.0.2.0/24）。如果主类前缀相同，那么发送明细路由（10.0.2.0/24），如果主类前缀不同，则发送主类即可。

# 默认是Ripv1，进入rip配置模式
rip
dis th # 查看当前信息
# 关闭ripv1
undo rip 1
# 重新配置
rip
network 10.0.0.0 # vrp的命令格式就必须是主类网络，像10.0.2.0就不行。在IGP中network有两层含义：a 在一个范围内使能RIP协议；b 该范围内的网络被通告到RIP中，方便其他设备学习该路由
network 22.0.0.0 
network 192.168.1.0  #主类网络IP地址分类（主类网络，即：A类 B类 C类 D类 E类）
# 修改为版本2
rip
ver 2
# 查看邻居是否友好协商
dis rip 1 neighbor
# 查看rip数据库
dis rip 1 database
# 查看rip1的发送的报文（需要等待一段时间才能看到）
debugging rip 1 send
undo debugging all # 结束查看报文
# 关闭自动汇总
undo summary

【16】动态路由协议RIPv2的防环和时间机制

1. RIPv1和RIPv2区别

• v1是有类别路由协议（在更新路由的过程中，不携带子网，也不携带下一跳），不支持VLSM（可变长子网掩码）和CIDR（无类别域间路由），以广播的形式发送报文，不支持认证，不能做汇总（即使关闭自动汇总，也无法进行手动汇总）
• v2是无类别路由协议，支持VLSM和路由聚合CIDR，支持广播和组播（224.0.0.9）方式发送报文，支持明文认证和MD5明文认证

组播发送报文的好处是在同一网络中那些没有运行RIP的网段可以避免接收RIP的广播报文；另外，组播发送报文还可以使运行RIPv1的网段避免错误的接收和处理RIPv2中带有的子网掩码的路由

2. RIP更新与维护

• 更新时间UpdateTimer
  默认30秒
  当此定时器超时时，立即发送更新报文（即使网络没有发生变化，每隔30秒自动的周期性的更新路由）
• 老化时间AgeTimer
  默认180秒
  RIP设备如果在老化时间之内没有收到邻居发来的路由更新报文，则认为该路由不可达（路由不可达，并不代表路由表中该路由信息消失，而是路由cost变大，一般由1变为16）
• 垃圾收集时间Garbage-collectTimer
  默认120秒
  如果在垃圾收集时间之内不可达路由还没有收到来自同一邻居的更新，则该路由将从RIP路由表中彻底删除
• 抑制时间SuppressTimer
  默认为0，绝大部分设备不能修改，即使修改完毕也不生效
  当RIP设备收到对端的路由更新，其cost为16，对应路由进入抑制状态，并启动抑制时间。为了防止路由震荡，在抑制定时器超时之前，即使再收到对端路由cost小于16的更新，也不接受。当抑制时间结束后，才重新允许接收对端发送的路由更新报文

3. RIP防环机制
   任何路由协议最基本的内容就是和环路做抗争
   3.1 水平分割split horizon
   默认开启
   所有距离矢量协议（DV）公用的特征
   路由器从某一个接口接入的另外一个路由器收到的路由，就不会从该接口再发回给那个邻居路由器
   3.2 毒性反转
   默认不开启
   和水平分割相反，如果开启毒性反转，那么水平分割将失效
   路由器从某个接口学到路由之后，将该路由的跳数(cost)设置为16，并从原接收接口发回给邻居路由器
   3.3 触发更新
   当路由信息发生变化时，立即向邻居设备发送触发更新报文
   一台RIP路由器每30秒会发送一次路由表更新给邻居路由器
   当本地路由信息发生变化时，触发更新更能允许路由器立即发送触发更新报文给邻居路由器，来通知路由信息更新，而不需要等待更新时间超时

# 查看RIPv1路由详细信息
display rip 1 interface
# 查看接口s2/0/0上的RIPv1路由详细信息
display rip 1 interface s2/0/0/0 verbose
# 开启毒性反转
int s2/0/0
rip poison-reverse
display rip 1 interface s2/0/0/0 verbose

【17】动态路由协议RIPv2的实施

1. RIPv1和RIPv2不兼容，可以通过修改接口下的收发RIP包的版本来达到兼容，但最好的方法是都配置为版本2

# 修改RIP版本为v2，可以在接口下面改，也可以在系统视图中该，接口的优先级高于系统视图
int g0/0/0
dis th # 查看当前RIP版本
dis ip rou pro rip # 查看当前rip路由信息
undo rip version # 删除接口当前的rip版本

# 修改接口RIP协议的度量值cost(协议中为metricin)，默认为1，这个值不能超过15，否则路由不可达，导致路由消失
rip metricin 2  # 入方向设为2
rip metricout 3  # 出方向设为3

# 全局配置
rip #进入rip进程
version 2

# 配置接口禁止发送RIP报文（和静默端口有点相似）
int g0/0/0
undo rip output

# 静默端口（抑制端口），配置g0/0/0接口为抑制状态，用来更新自己的路由表，而不发RIP报文
# 此命令的优先级要高于rip input和rip outpt
# 可以用于完全连接PC的接口以及环回接口
rip
silent-interface g0/0/0
# 常用的方式是先静默所有接口，再单播指定接口，通过peer指定邻居路由
rip
silent-interface all
peer 10.0.14.1 # 相邻路由器地址(手动指定邻居，进行单播更新)
# 相邻路由器配置
silent-interface s2/0/0 # 静默与上面路由器直连的接口
peer 10.0.14.4 # 指定上面那个路由器地址
# 在第一台路由器上查看rip更新情况
terminal debug
debugging rip 1 pa

【18】动态路由协议OSPF概述

是链路状态协议，所有动态路由协议中用的最多的，OSPF开放式最短路径优先，是基于链路状态的内部网关路由协议，已经替代RIP协议。

1. 特点：
   1.1 天生无环协议（loop free,同一个区域内部）
   1.2 OSPF划分区域（层次化，区域0-骨干区域）
   1.3 收敛快
   1.4 OSPF的扩展性一般（网络扩展性好，但是OSPF协议本身的扩展性比较差，修改和更新比较难，完全基于IP，协议号89）
   1.5 支持认证（不认证，明文认证，MD5认证）

# 开启全局ospf进程
ospf # 进入ospf进程
area 0 # 进去区域0，骨干网络(必须手动创建ospf区域)
q
# 开启回环接口的ospf（两层含义：一，激活该接口的ospf协议；二，把该接口所在的网段通告到ospf中）
int loopback0 # 进入环回口
ospf enable area 0
# 开启g0/0/0的ospf
int g0/0/0
ospf enable area 0
# 查看哪些接口运行ospf
dis ospf int

【19】实施动态路由协议OSPF协议

1. 原理
   初始化，形成邻居 ----> LSA(链路状态通告)泛洪 ----> 生成LSDB(链路状态数据库) ----> SPF(最短路径优先)算法 ----> 最短路径树 ----> 路由计算 ----> 路由计算 ----> 路由表
2. ospf的3张表
   2.1 邻居（邻接）表

# 查看邻居表，加brief显示简要信息
display ospf peer brief

2.2 数据库表

# 查看数据库
display ospf lsdb

2.3 路由表

# 查看通过ospf生成的路由表
display ip routing-table protocol ospf
# 或者
display ospf routing

3. ospf的5种报文
   3.1 Hello 报文
   发现、建立和维护邻居关系的报文
   3.2 DD（Database Description）报文（DBD报文）
   数据库描述报文
   3.3 LSR（LSA Request）报文
   3.4 LSU（LSA Update）报文
   3.5 LSACK（Link State Acknowledgment）报文
4. 其他内容
   4.1 邻居和邻接的区别
   邻居关系是指，当双方收到对方的hello报文的时候，报文里面的参数（hello time.dead interval , area id.authentication ,mask 等）一致的时候，并且邻居关系为2-way的时候，这个就可以成为是建立了邻居关系，但是还不是邻接关系。
   邻接关系是指在建立的邻居关系之后继续发送DD，LSR，LSU等报文，最终双方的LSDB达到同步之后，邻居状态为FULL时，才成为邻接关系。
   详细内容可以参考下面两个链接：
   https://blog.51cto.com/liufei888/2073094
   https://blog.csdn.net/watchen/article/details/14643459
   4.2 目的IP：
   224.0.0.5-----allspf router，SPF设备组播组
   224.0.0.6-----alldr router，DR设备组播组
   4.3 RID
   Route ID，在OSPF中是作为路由器唯一标识的，ipv4格式。
   当OSPF中选举DR和BDR时首先查看路由器的优先级，优先级大者当选DR，其次是BDR；如果优先级相同则根据route-id的大小来选举，route-id大者当选。route-id在不指定的情况下会由loopback接口数值最高的IP地址来做，当没有loopback接口时则由物理接口数值最高的IP来做。而DR和BDR选举只是在接口类型为广播或NBMA时会产生（就是说非广播类的点对点和点对多点的接口类型是不选举DR和BDR的）。所以route-id更多的是作为路由器标识的作用。是否配置route-id和如何配置route-id都取决于你的需求（有的时候配置不配置都无关紧要）。
   4.4 ospf大致流程
   邻居发现----数据库同步（exstart、exchange）----建立完全邻接关系
   4.5 DR（Designated Router）和BDR（Backup Designated Router）区别
   DR与BDR并没有任何本质与功能的区别，BDR就是DR的备份。
   DR和BDR是基于链路的，不是基于设备的，可以没有BDR，但是一定要有DR。
   所有设备都需要和DR、BDR构建邻接关系，只和DR、BDR交互LSDB，剩下的其他路由器俩俩都是邻居(2-way)状态 。
   作用：减少LSA的泛洪。DR可以减少广播型网络中的邻接关系数量。
   选举DR和BDR的规则为：比较接口优先级选举优先级最高的成为DR，优先级数字越大，表示优先级越高，被选为DR的几率就越大，次优先级的为BDR，优先级范围是0~255，默认为1，优先级为0表示没有资格选举DR和BDR。

理解：

1. 时间要素，在选举期间，OSPF的DR和BDR不具备抢占性，即过了选举期，即便优先级再高也无法抢占DR和BDR）
2. 基于hello报文中的优先级，越大越优先
3. 如果优先级相同，选择路由器ID（RouteID，RID）比较大的

# 调整路由器中ospf的优先级
interface g0/0/0
ospf
ospf dr-priority 0 # 0则没有资格选举为DR和BDR，数字越大优先级越高
interface g0/0/1
ospf
ospf dr-priority 100

4.6 OSPF开销
计算公式为：带宽参考值/带宽，可以使用bandwidth-reference命令来设置带宽参考值

# 设置带宽参考值
ospf
bandwidth-reference 10000

5. ospf配置

ospf route-id 1.1.1.1
area 0
network 192.168.1.0 24

【20】以太网交换基础

1. 交换机的转发行为
   1.1 泛洪flooding
   无mac地址表时
   1.2 转发forwarding
   有mac地址表时
   1.3 丢弃discarding
2. 透明桥接
   用于以太网，不更改数据帧的内容，也不作为数据帧的源和目的地，连接起来的网段好像在一条透明的管道中一样。
3. VLAN
   虚拟局域网，是将一个物理的局域网在逻辑上划分成多个广播域的技术。
   不是为了隔离，为了更好的通信，更好的实施、管理。
   3.1 帧格式
   

# 查看mac地址列表
dis mac-address
# 查看mac地址表的老化时间(默认300秒)
dis mac-address aging-time
# 配置mac地址表的老化时间
mac-address aging-time 1000

【21】交换机实施Access模式（接入模式）配置讲解

一般用于用户主机（终端设备）与交换机之间的链路，独享模式
PVID(port vlan ID,1-4094)，VlanID作为识别流量的重要工具。
Access端口在收到数据后会添加VlanTag，VlanID和端口的PVID相同。Access端口在转发数据前会移除VlanTag。（即在流量的access接口入方向增加PVID，在流量access接口的出方向去掉PVID，还原成原始的以太帧）

1. 同一交换机（sw1）中的同一个vlan（vlan2）实现通信

# 创建vlan2(在lsw1)
vlan 2
# 进入vlan2后创建描述报文
description HCNA
# 批量创建vlan（SW1~3均执行）
vlan batch 2 3 10 100
# 进入接口10，默认接口类型为Hybrid（混杂模式）
int g0/0/10
# 查看所有接口的vlan信息（接口链路类型）
dis port vlan active
# 修改接口的链路类型为access模式
port link-type access
# 修改接口默认的VlanID（即该接口数据哪一个Vlan）为vlan 2（在流量的入方向上增加pvid为2，载流量的出方向上去掉pvid2）
port default vlan 2

2. 在不同交换机相同vlan之间通过access实现通信
   对比正在运行的配置和已经保存的配置的区别：compare configuration
   在交换机之间划分到相同的vlan即可

# >>>>>>>>>SW1：修改接口g0/0/1的模式为access，vlanid为10
int g0/0/1
port link-type access
port default vlan 10
int g0/0/10
port link-type access
port default vlan 10
# >>>>>>>>>SW2：与SW1相同配置
int g0/0/1
port link-type access
port default vlan 10
int g0/0/10
port link-type access
port default vlan 10
# 查看stp协议情况
# 如果sw1和sw2中的所涉及到的端口出现“alte 替代端口”情况，则需要执行“stp priority 4096”配置它的桥优先级 (缺省情况下交换机的桥优先级是32768)，否则无法通信
dis stp brief

【22】交换机实施Trunk模式（干路模式）讲解

一般用于交换机与交换机之间的链路，共享模式
当trunk收到不包含tag的帧，则打上端口的pvid，否则不变。当trunk发送帧时，该帧的VlanID需要在trunk的允许发送列表中，如果帧的vlanid和该接口pvid相同，则剥离tag发送，否则保留发送。

1. 实施sw1和sw2的trunk链路，允许多个vlan通过

# 修改接口为trunk模式，并允许所有vlan通过
# 华为设备不允许直接将接口改为trunk模式，解决方法如下
# 方法一：将接口恢复成原始模式 “clear conf int g0/0/1”
# 方法二：先还原接口的默认vlan(即vlan1)，再修改为trunk模式
# >>>>>>>>>SW1
int g0/0/1
clear conf int g0/0/1
int g0/0/1
undo shundown
port link-type trunk
port trunk allow-pass vlan all
# >>>>>>>>>SW2
int g0/0/1
port default vlan 1
port link-type tru
port trunk allow-pass vlan all
# 移除某个接口允许通过的vlan
undo port trunk allow-pass vlan 3
# 修改端口默认vlanid（由1改为10）
int g0/0/1
port trunk pvid vlan 10

2. trunk的PVID的工作模式
   类似于access的在流量的入方向上增加PVID；在出方向去掉PVID，同时不增加tag，默认为1
   实现两台交换机下，不同vlan之间的通信

#>>>>>>>>>sw1
int g0/0/1
port trunk pvid vlan 10
int g0/0/10
port default vlan 10

#>>>>>>>>>sw2
int g0/0/1
port trunk pvid vlan 100
int g0/0/10
port default vlan 100

【23】交换机实施Hybrid模式（混杂模式）

可以用于主机与交换机之间，也可以用于交换机与交换机之间的链路
在交换机互联的接口上可以以trunk（TAG）的方式处理frame，在连接PC的接口上可以以access（PVID）的方式处理frame。
配置port hybrid tagged vlan "vlan-id"命令后，接口发送该vlanid的数据帧时，不剥离帧中的Tag，直接发送。
配置port hybrid untagged vlan "vlan-id"命令后，接口发送该vlanid的数据帧时，会将帧中的Tag剥离之后再发送出去。

1. 使用hybrid模式实现不同vlan之间通信
   （pc1发pc2的vlanid为2，pc2发pc1的vlanid为100；pc3发pc2的vlanid为3，pc2发pc3的vlanid为100；pc1和pc3不能通信）

# >>>>>>>>>sw1
int g0/0/10   # sw1该接口的入流量增加pvid=2
port default vlan 1 #需要修改回默认vlan,否则无法修改接口类型
port link-type hybrid
port hybrid pvid vlan 2
port hybrid untagged vlan 2 100 # sw1该接口出流量去掉vlanid 2和100，还原以太帧发送给pc

int g0/0/11  # sw1该接口的入流量增加pvid=3
port default vlan 1 
port link-type hybrid
port hybrid pvid vlan 3
port hybrid untagged vlan 3 100  # sw1该接口出流量去掉vlanid 3和100，还原以太帧发送给pc

clear configuration int g0/0/1  # sw1该接口允许所有vlan数据通过
int g0/0/1
undo shutdown
port link-type hybrid
port hybrid tagged vlan all

# >>>>>>>>>sw2
clear configuration int g0/0/1  # sw1该接口允许所有vlan数据通过
int g0/0/1
undo shutdown
port link-type hybrid
port hybrid tagged vlan all

int g0/0/10 #该接口的出流量去掉vlanid 2 3 100，增加pvid为100
port default vlan 1
port link-type hybrid
port hybrid untagged vlan 2 3 100
port hybrid pvid vlan 100

【24】交换机生成树场景和引发的问题

STP，spanning-tree

1. 应用场景
   在一个二层的以太网中，存在物理冗余的情况下，在逻辑上防止环路的发生。
2. 环路表现
   2.1 广播风暴
   2.2 mac地址表的震荡（access或trunk划分错误也会导致此问题）
   2.3 以太帧的重复拷贝
3. STP的原理
   华为设备默认开启MSTP
   在整个交换交换网络有且只有一个根交换机（root）
   在每个设备上有且只有一个根端口（root port）
   在每个链路（segment）上有且只有一个指定端口（design port）
   除了根端口和指定端口，其他端口为逻辑上拥塞的替代端口

# 查看stp详细信息和简要信息
dis stp
dis stp brief
# 在全局模式下更改生成树的模式为MSTP
stp mode mstp

4. 关键术语
   3中端口角色，3种生成树模式，5种端口状态
   4.1 STP中Role端口的角色

• ALTE 非指定(替代)端口AP（拥塞状态）
• DESI 指定端口DP（转发状态）
• ROOT 根端口RP（转发状态）
  4.2 生成树的端口状态STP State
• 转发（Forwarding），即FWD，端口既可转发用户流量也可转发BPDU报文，只有根端口或指定端口才能进入Forwarding状态
• 阻塞（Blocking 或 丢弃状态，Discarding），即BLK，端口仅仅能接收并处理BPDU，不能转发BPDU，也不能转发用户流量，此状态是预备端口的最终状态
• 禁用（Disabled），即DIS（属于过渡过程），端口处于关闭状态，既不处理和转发BPDU报文，也不转发用户流量
• 侦听（Listening），即LIS（属于过渡过程），华为设备上无法看到，端口可以转发BPDU报文，但不能转发用户流量
• 学习（Learning），即LRN（属于过渡过程），端口可根据收到的用户流量构建MAC地址表，但不转发用户流量，增加Learning状态是为了防止临时环路
  传统生成树依赖时间进行端口状态的改变，每2秒钟由根设备发送BPDU，每个转发时延（forwarding delay）为15秒。这些时间可以通过命令dis stp查看，其中config Times这行中展示了发送BPDU报文间隔、转发时间等。如果发生了拓扑变化，mac地址表的刷新时间变为一个转发时延，即15秒。
  
  4.3 STP模式：
• 传统生成树(802.1D)：思科设备上默认开启的传统生成树（效果较差），PVST+
• 快速生成树(RSTP，802.1w)：Rapid PVST+（RSTP）
• 多实例生成树(MSTP，802.1s)：华为设备默认开启，MSTP

【25-26】交换机生成树原理

1. 生成树的选举-选举根网桥RB
   先选举桥优先级比较小的，较小的优先；如果优先级相同，则选择mac地址小的优先
   每台交换机启动STP后，都认为自己是根网桥
   交换机之间通过发送BPDU（网桥协议数据单元）报文来进行一系列的选举
   通过比较桥ID（BridgeID，BID）来进行选举，桥ID主要有两部分组成：桥优先级（BridgePriority，默认为32768）、桥ID（BridgeSystemID，背板的mac地址，无法改变，一个设备只有一个）
2. 生成树的选举-选取根端口RP
   选择（排除根设备）根路径开销（RPC，root path cost）最小的；如果根路径开销相同，则选择对端设备的BridgeID小的；如果对端设备的BridgeID再相同，则选择对端设备的端口ID小的；如果对端设备的端口ID相同，则需要选择自身端口ID小的
   非跟交换机在选举根端口时分别依据该端口的根路径开销，对端BID、对端PID和本端的PID
   端口ID组成：端口优先级、序号
3. 生成树的选举-选举指定端口DP
   选择RPC较小的；端口所在设备的BID；端口ID
   指定端口（DP）作用：发送或者中继根设备发送的BPDU
   在每个链路上选举
   通常情况下，根设备上的所有端口都是指定端口
   备用端口AP虽然不转发数据包，但是能够接收BPDU

# 查看设备BridgeID（CIST Root/ERPC）
dis stp | i IRPC
# 或者
display bridge mac-address
# 修改桥优先级，越小越优先
stp priority 4096
# 查看端口int g0/0/1的根路径开销RPC
dis stp int g0/0/1 | i Dot1T
# 查看端口ID
dis stp int g0/0/1 | i Designated       #  "/"后面那个128.x，其中128（默认）为优先级，x为序号

32768：桥优先级
4c1f-cc9b-346e：桥ID
0：根路径开销

【27】交换机生成树的实施

#>>>>>>>>>>>>>>>>>>> 影响根路由器选择
# 修改生成树模式为stp。可选stp、rstp、mstp
stp mode stp
# 修改桥优先级BP，必须是4096的倍数，可以用0，且0有最大可能性成为根
stp priority 4096
# 使用stp root命令快速修改指定优先级
stp root primary  # 将优先级改为0
stp root secondary   # 将优先级改为4096
#>>>>>>>>>>>>>>>>>>> 影响根端口选择
# 配置路径开销（一般不需要修改此参数）,可选dot1d-1998、dot1t（默认）、legacy
stp pathcost-standard dot1t
# 修改接口的cost值，影响RP根端口的选举
int g0/0/1
stp cost 2000

【29-30】PPP协议和PAP、CHAP认证实施

1. HDLC，高级数据链路控制，是面向比特的链路层协议，即二层协议，帧结构：信息帧、监控帧、无编号帧

# 在华为设备上默认封装了PPP协议（2层）
# 启用hdlc，需要在网线连接的两个接口上都做
int s1/0/0 
dis th
link-protocol hdlc 
# 串行接口通过PPP协议进行通信，一端IP为100.100.100.100/24，另一端IP为12.1.1.2/24
int s1/0/0 #AR2
ip addr 100.100.100.100 24
int s1/0/0 #AR1
ip addr 12.1.1.2 24
ping 100.100.100.100

2. PPP，点到点链路层协议，不需要arp解析，主要用于全双工的同异步链路上进行点到点的数据传输。
   不需要mac地址封装，只需要把报文发到该链路上，与双方IP是否在同一个网段无关。
   PPP工作后就会在本设备得到一条对端的32位主机路由。
   2.1 PPP的两大基本组件
   LCP（链路控制协议）：用来建立、拆除和监控PPP数据链路
   NCP（网络层控制协议）：用于对不同的网络层协议进行连接建立和参数协商
   2.2 PPP链路建立过程
   
   2.3 LCP报文

• Configure-Request（配置请求）：链路层协商过程中发送的第一个报文，该报文表明点对点双方开始进行链路层参数的协商。
• Configure-Ack（配置响应）：收到对端发来的Configure-Request报文，如果参数取值完全接受，则以此报文响应。
• Configure-Nak（配置不响应）：收到对端发来的Configure-Request报文，如果参数取值不被本端认可，则发送此报文并且携带本端可接受的配置参数。
• Configure-Reject（配置拒绝）：收到对端发来的Configure-Request报文，如果本端不能识别对端发送的Configure-Request中的某些参数，则发送此报文并且携带那些本端不能认别的配置参数。
  2.4 LCP协商参数
• 最大接收单元MRU，PPP数据帧中Information字段和Padding字段的总长度，默认1500字节
• 认证协议，认证对端使用的认证协议，默认不认证
• 魔术字，魔术字为一个随机产生的数字，用于检测ppp链路环路，如果收到的LCP报文中的魔术字和本端产生的魔术字相同，则认为链路有环路，默认启用
  2.5 认证方式
• PAP：密码认证协议，明文，常用
• CHAP：挑战握手认证协，比PAP优秀，可防止DDOS攻击，不发送密码，而是发送MD5值，3次握手协议(认证方向被认证方发起挑战报文-->被认证方发送响应报文-->成功或者失败PPP接入)
• MS-CHAP：思科和微软共同开发的挑战握手认证协
• PPP的认证还可以借助AAA（授权、认证、统计）

# 通过AAA来认证PPP
aaa
local-user test password cipher huawei
local-user test service-type ppp

# 通过PAP来认证PPP
# >>>>认证方AR2
aaa   
local-user test password cipher huawei
local-user test service-type ppp
int s1/0/0
link-protocol ppp
ppp authentication-mode pap
ip address 12.1.1.2 24
shutdown 
undo shutdown
# >>>>被认证方AR1
int s1/0/0
link-protocol ppp
ppp pap local-user test password cipher huawei
ip address 100.100.100.100 24
# 查看是否得到对端地址的32位主机路由
dis ip routing-table protocol direct
ping 12.1.1.2

# 通过CHAP来认证PPP
# >>>>认证方AR2
aaa   
local-user test2 password cipher huawei123
local-user test2 service-type ppp
int s1/0/0
link-protocol ppp
ppp authentication-mode chap
ip address 12.1.1.2 24
shutdown 
undo shutdown
# >>>>被认证方AR1
int s1/0/0 
link-protocol ppp
ppp chap user test2
ppp chap password cipher huawei123
ip address 100.100.100.100 24
q
q
debugging ppp chap all
# 查看是否得到对端地址的32位主机路由
dis ip routing-table protocol direct
ping 12.1.1.2

【31】PPPoE理论和基本实施

PPPoE协议通过在以太网上提供点到点的连接，建立PPP会话，使得以太网中的主机能够连接到远端的宽带接入服务器。PPPoE具备适用范围广、安全性高、计费方便等特点。目前比较流行的宽带接入方式ADSL（DSL，数字用户线路；xDSL，x表示不同种类的数字用户线路技术），ADSL是非对称DSL技术，使用的是PPPoE协议。

1. PPPoE报文
   PPPoE报文使用Ethernet格式来进行封装
   
   1.1 Type
   表示协议类型字段，当值为0x8863时表示承载的是PPPoE发现阶段的报文。当值为0x8864时表示承载的是PPPoE会话阶段的报文。
   1.2 PPPoE字段中的各个字段解释如下

• Ver：表示PPPoE版本号，值为0x01。
• Type：表示类型，值为0x01。
• Code：表示PPPoE报文类型，不同取值标识不同的PPPoE报文类型。
• Session ID：PPPoE会话ID，与以太网SMAC和DMAC一起定义了一个PPPoE会话。
• Length：表示PPPoE报文的Payload长度，不包括以太网头部和PPPoE头部的长度。
  1.3 PPPoE协议报文
• PADI：发现初始报文。目的MAC地址是一个广播地址，Code字段为0x09，Session ID字段为0x0000
• PADO：发现提供报文。目的地址是发送PADI报文的客户端MAC地址，Code字段为0x07，Session ID字段为0x0000
• PADR：发现请求报文。目的地址是选中的服务器的MAC地址，Code字段为0x19，Session ID字段为0x0000
• PADS：发现会话确认报文。目的地址是PPPoE客户端的MAC地址，Code字段为0x65，Session ID字段是PPPoE服务器为本PPPoE会话产生的Session ID
• PADT：发现终止报文。目的MAC地址为单播地址，Session ID为希望关闭的连接的Session ID
  1.4 PPPoE会话建立过程
• 发现阶段：获取对方以太网地址，以及确定唯一的PPPoE会话
• 会话阶段：包含两部分，ppp协商阶段和ppp报文传输阶段（LCP、认证、NCP）
• 会话终结阶段：会话建立以后的任意时刻，发送报文结束PPPoE会话
  【客户端】通过广播发送PADI报文来发现接入服务器 --> 所有PPPoE【服务器】收到PADI报文后，将客户端请求的服务与自己能够提供的服务进行比较，如果可以提供服务，则回复PADO报文 --> PPPoE【客户端】最先收到的PADO报文对应的PPPoE服务器，并单播发送一个PADR报文 --> PPPoE【服务器】生成唯一的会话ID，并发送PADS报文给客户端，会话建立成功 --> 传输PPP数据 --> PPPoE【客户端】向服务端发送PADT，结束会话
  
  1.5 PPPoE实施过程（采用chap认证）

# >>>>>>服务端AR2配置
# 设置全局认证的用户名和密码
aaa
local-user hcia password cipher huawei
local-user hcia service-type ppp
q
# 配置地址池，用于分发地址
ip pool hciaippool1
network 202.100.1.0 mask 255.255.255.0
dns-list 114.114.114.114  8.8.8.8   # pppoe客户端获得的dns服务器
# 配置虚拟模板和调用模板
interface virtual-template 1
ip address 202.100.1.1 255.255.255.0  # 华为设备从最高的IP开始分配地址，所以尽量配置号码小的地址
remote address pool hciaippool1  #配置客户端获取地址的方式
ppp authentication-mode chap
int g0/0/0  # 接口与虚拟模板绑定
pppoe-server bind virtual-template 1

# >>>>>>客户端AR1配置
dialer-rule #配置拨号接口
dialer-rule 1 ip permit # 允许所有IP报文转发
quit
interface dialer 1
dialer user agenttest # 该用户名不用于认证，是标识作用和dialer绑定
dialer-group 1 #将接口置于一个拨号访问组
dialer bundle 1 #指定Dialer接口使用的Dialer bundle。设备通过Dialer bundle将物理接口与拨号接口关联起来。
ppp chap user hcia
ppp chap password cipher huawei
ip address ppp-negotiate  # 从对端服务器获取地址
q
int g0/0/0 # 物理接口和逻辑接口绑定
pppoe-client dial-bundle-number 1 

# >>>>>>> 验证
# 重点：逻辑接口是工作的，物理接口是down的
dis ip int bri
display pppoe-client session summary

【32】PPPoE的优化

1. MTU(最大传输单元)和MSS(最大报文段长度)
   主要原因是增加两个报头：PPPoE(6字节)和PPP(2字节)的报头
   PPPoe侧接口MTU值为1492字节，当从这个接口上发送的三层转发报文大于MTU值且报文设置为不可分片时就会导致报文无法发送出去，出现用户上网网速慢的情形。
   可以在拨号口下配置tcp adjust-mss(推荐配置1200)命令修改TCP协商阶段协商出的MSS大小，使报文长度小于拨号口的MTU值，保证报文的正常处理，解决上网速度慢的问题

# >>>>>>客户端AR1配置
int dialer 1
tcp adjust-mss 1200

2. DNS
   配置PPPoE客户端接收服务端分配的DNS服务器地址，配置命令可同时选择以下两条命令或者其中一条：

• ppp ipcp dns request：在dialer视图中配置PPPoE客户端主动向PPPoE服务端请求dns服务器地址。缺省情况下，禁止PPPoE客户端主动向PPPoE服务端请求dns服务器地址。
• ppp ipcp dns admin-any：在dialer视图中配置PPPoE客户端被动的接收PPPoE服务端分配的dns服务器地址。缺省情况下，PPPoE客户端不会被动的接收PPPoE服务端分配的dns服务器地址。

# >>>>>>客户端AR1配置
int dialer 1
ppp ipcp dns request
ppp ipcp dns admit-any

3. 静态默认路由

# >>>>>>客户端AR1配置
# 由于dialer 1接口是一个PPP接口，所有可以采用以下IP配置
ip route-static 0.0.0.0 0.0.0.0 dialer 1

【33】华为NAT基本场景讲解

网络地址转换，主要用于实现位于内部网络的主机访问外部网络的功能，一般部署在连接内网和外网的网关设备上。
不要依赖ping来验证。标准是IP地址是否成功的做了转换

1. 静态NAT（IP--IP）
   静态NAT实现私有地址和公有地址的一对一映射，一个公网IP只会分配给唯一且固定的内网主机。
   不常用原因：整个唯一的公网地址全部被占用，全部的端口只能被一个主机使用，即整个IP协议栈全部做了转换。
2. 动态NAT（IP--IP）
   动态NAT基于地址池来实现私有地址和公有地址的转换。
   每台主机都会分配到地址池中的一个唯一地址。当不需要此连接时，对应的地址映射将会被删除。当网关收到回复报文后，会根据之前的映射再次进行转换之后转发给对应主机。
   动态NAT地址池中的地址用尽以后，只能等待被占用的公用IP被释放后，其他主机才能使用它来访问公网。
   简单理解：多个非固定的静态NAT
3. NAT服务器（常用）（IP:port--IP:port）
   网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口（基于端口的转换），属于多对一的地址转换。
   允许服务器既能被内部访问，也能被外部访问。
   转换某个特定的协议或者端口，用于把服务器提供的服务映射到公网。
4. EasyIP（常用）（IP:port--IP:port）
   EasyIP允许将多个内部地址映射到网关出接口地址上的不同端口。
   实施步骤：定义一个acl，作用是定义哪些主机可以被转换，只有被转换的主机才可以访问互联网，不被定义的不能访问， 然后在出接口（连接外网的接口）应用EasyIP
   作用：公网地址和端口的复用
   ACL分类：2000-2999为基本acl，3000-3999为高级acl，4000-4999为二层acl

# >>>>>>>>>静态NAT实施
# 物理接口下配置
interface g0/0/0
ip addr 192.168.1.254 24
int s0/0/1
ip addr 200.10.10.2 24
nat static global 202.10.10.1 inside 192.168.1.1 # 注意：此处不要使用物理接口地址，而必须使用同一网段的其他地址
nat static global 202.10.10.2 inside 192..168.1.2

# 虚拟接口下配置AR1
int dialer 1
nat static global 202.100.1.251 inside 10.1.1.250  # 此处公网地址不能为此接口获取到的公网地址（202.100.1.254），需要使用同网段其他公网地址
# 查看是否转换成功
dis ip routing-table  # 会看到一个协议类型为Unr的路由表，优先级为64
dis nat static

# >>>>>>>>>动态NAT实施
nat address-group 1 200.10.10.1 200.10.10.200
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
q
int s1/0/0
nat outbound 2000 address-group 1 no-pat

【34】实施华为设备上的NAT服务器

# NAT服务器实施
# 虚拟接口下实现 AR1
# 实现：202.100.1.254:2323转换成10.1.1.250:23(telnet)

# >>配置路由器AR3
int g0/0/0  
ip addr 10.1.1.250 24
q
ip route-static 0.0.0.0 0.0.0.0 10.1.1.254

# >>配置AR2
ip route-static 0.0.0.0 0 202.100.1.254 # AR3首先需要有路由表去往202.100.1.254，如果没有路由，则数据包会被丢弃

 # >>配置路由器AR1
int g0/0/2
ip address 10.1.1.254 24
ping 10.1.1.250 # 测试是否能够与AR3通信
int dialer 1
undo nat static global 202.100.1.251 inside 10.1.1.250 #删除之前的静态nat
nat server protocol tcp global 202.100.1.251 2323 inside 10.1.1.250 23
q
dis nat server  # 查看net服务器配置

# >>配置AR3
# 开启认证服务，方便后面使用telnet连接测试
user-interface vty 0 4
set authentication password cipher huawei

#  >>测试是否成功
# 在AR2 上使用telnet测试连接AR3
telnet 202.100.1.251 2323  # 输入密码huawei，telnet命令不能在系统视图运行
# 在AR1上查看会话情况
dis nat session protocol tcp
# 在AR3上查看tcp的状态
dis tcp status

【35】实施华为设备上的Easy IP

# EasyIP实现
# >> 配置AR1
acl 2000 
description NAT #给规则添加描述
# rule 11 permit source 10.1.1.0 0.0.0.255 # 0.0.0.255为反掩码，代表10.1.1.0/24这个网段都可以转换
rule 10 permit source 10.1.1.250 0 # 只允许10.1.1.250这个地址被转换
dis th 
int dial1
nat outbound 2000 # 2000为acl的索引值

# >>验证
# AR1上查看
dis nat outbound # 查看配置情况
# AR3
ping 202.100.1.1
# AR1
dis acl 2000 # 查看规则命中情况（模拟器可能不出现匹配次数）,可以通过抓包查看，icmp通信双方为202.100.1.254--202.100.1.1，而不是10.1.1.250--202.100.1.1

【36】华为ACL基本规则和演示

访问控制列表ACL，定义一系列不同的规则（permit或者deny），实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。
每个ACL可以包含多个规则，华为ACL默认是允许所有流量通过，但是思科是拒绝所有流量通过。
ACL规则中的通配符掩码的0代表不允许变化，1代表忽略（即无所谓，任意变化）

1. 分类
   1.1 基本ACL
   2000-2999，匹配源IP地址
   1.2 高级ACL
   3000-3999，匹配源IP地址、目的IP地址、源端口、目的端口
   1.3 二层ACL
   4000-4999，匹配源Mac、目的Mac、以太帧协议类型

# 查看所有的规则
dis acl all

# 对AR1接口g0/0/2应用ACL2001
acl 2001
rule deny source 10.1.1.250 0 
q
int g0/0/2
traffic-filter inbound acl 2001
# 在AR3上使用ping 10.1.1.254验证，发现已经无法ping通
# 在pc5上使用ping 10.1.1.254验证，发现可以ping通

# 高级ACL配置
acl 3000
# 不允许局域网192.168.1.0/24内所有主机访问主机172.16.10.1的21/tcp端口（FTP）
rule deny tcp source 192.168.1.0 0.0.255 destination 172.16.10.1 0 destination-port eq 21
# 不允许局域网192.168.2.0/24内所有主机访问主机172.16.10.2
rule deny tcp source 192.168.2.0 0.0.255 destination 172.16.10.2 0 
rule permit ip # 高级规则需要显示配置所有流量通过，基本规则则是默认所有流量通过

【37】三层VLAN间路由实施

# 华为路由器恢复出厂设置
reset saved-configuration
reboot

二层和三层的融合，不同的vlan的主机间的通信需要使用路由表。
二层交换机和路由器在功能上的集成构成了三层交换机，三层交换机在功能上实现了vlan的划分、vlan内部的二层交换和vlan间路由的功能。
VLAN缺点：隔离了各个vlan之间的任何流量，分属不同vlan的用户不能相互通信。

1. VLAN间路由
   1.1 单臂路由（子接口）
   交换机连接路由器的接口采用trunk模式，一个链路可以承载多个vlan的流量，使得pc和自身的网关在同一个网络（vlan）,然后网关设备通过直连路由通信。
   路由器如何识别vlan的流量：a. 子接口；b. 子接口下配置VlanID
   1.2 vlan接口（SVI，交换虚拟接口）
   1.3 多臂路由（物理接口）
   交换机采用access模式，使得PC和自身的网关在同一个网络（vlan），然后网关设备通过直连路由通信。

# >>>>>>>>>>>>>> 单臂路由
# SW1接入主机PC的配置：创建vlan，并设置access模式
vlan batch 10 20
int g0/0/10
description ConnectToPc1
port link-type access
port default vlan 10
int g0/0/11
description ConnectToPc2
port link-type access
port default vlan 20
# SW1实施交换机的上连接口（交换机与路由器的接口）的配置
int g0/0/2
port link-type trunk
port trunk allow-pass vlan 1 10 20
# AR1实施路由器子接口
int g0/0/2.10
dot1q termination vid 10 # 封装子接口的VlanID为10，用来识别来自trunk的vlan10的流量
ip address 10.1.1.254 24
arp broadcast enable # 允许arp广播通过（默认不允许arp广播通过该子接口）
int g0/0/2.20
dot1q termination vid 20
ip address 10.1.2.254 24
arp broadcast enable # 允许arp广播通过

# >>>>>>>>>>>>>> 配置三层交换
# 配置交换机sw1
vlan batch 10 20
int g0/0/10
port link-type access
port default vlan 10
int vlanif 10
ip address 10.1.1.254 24
int g0/0/11
port link-type access
port default vlan 20
int vlanif 20
ip address 10.1.2.254 24
# pc5测试：使用主机pc5去ping主机pc6
ping 10.1.2.20

【38】实施华为设备上的IPSEC VPN

1. 基本的模式：
   1.1 隧道模式，IPSec会另外生成一个新的IP报头，并封装在AH或ESP之前
   
   1.2 传输模式，AH或ESP报头位于IP报头和传输层报头之间
   
2. 架构：
   IPSec不是一个单独的协议，它通过AH（基本不用）和ESP这两个安全协议来实现IP数据包的安全传送。
   IKE协议提供密钥协商，建立和维护安全联盟SA等服务。
3. 安全联盟SA：
   安全联盟定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、密钥等参数。
   安全联盟是单向的，两个对等体之间的双向通信，至少需要两个SA。
4. 建立SA的方式（两种）：
   4.1 手工方式：安全联盟所需的全部信息都必须手工配置。手工方式建立安全联盟比较复杂，但优点是可以不依赖IKE而单独实现IPSec功能。当对等体设备数量较少时，或是在小型静态环境中，手工配置SA是可行的。
   4.2 IKE动态协商方式：只需要通信对等体间配置好IKE协商参数，由IKE自动协商来创建和维护SA。动态协商方式建立安全联盟相对简单些。对于中、大型的动态网络环境中，推荐使用IKE协商建立SA。
5. 配置步骤
   5.1 具体步骤：
   配置网络可达（路由） --> 配置ACL识别兴趣流（仅VPN流量） --> 创建安全提议（加密算法、认证、完整性校验等，两端策略必须相同）--> 创建安全策略（对用户流量处理） --> 应用安全策略
   5.2 加解密点（PC8<-->AR3）：a.到达对端加解密点（直连）；b.到达本端的通信点（直连）；c.到达对端的通信点（静态默认路由）
   5.3 IPSec的SPD(安全策略选择器，即acl)、提议（proposal）、IPSec策略

# >>>>>>>>>>配置隧道模式
#### 配置路由
# AR2
int g0/0/1
ip address 10.1.2.254 24
ip route-static 0.0.0.0 0.0.0.0 202.100.1.254
# AR3：配置IP
int g0/0/0
ip address 10.1.1.250 24
# 使用pc8测试
ping 10.1.1.250

#### 配置acl
# AR1
acl 3000
description vpn
rule 10 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
q
# AR2
acl 3000
description vpn
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
q

#### 配置提议
# AR1
ipsec proposal hcia
esp authentication-algorithm sha1  # 认证算法
esp encryption-algorithm des # 加密算法
# AR2，配置必须与AR1相同
ipsec proposal hcia
esp authentication-algorithm sha1
esp encryption-algorithm des
# 查看配置
dis ipsec proposal

# 配置策略
# AR1
ipsec policy hcia-vpn 10  manual   # 序列号为10，这个只需要AR1和AR2保持一致即可
security acl 3000
proposal hcia
tunnel remote 202.100.1.1
tunnel local 202.100.1.254
sa spi inbound esp 54321
sa spi outbound esp 12345
sa string-key outbound esp simple huawei
sa string-key inbound esp simple huawei
# AR2
ipsec policy hcia-vpn 10  manual
security acl 3000
proposal hcia
tunnel remote 202.100.1.254
tunnel local 202.100.1.1
sa spi inbound esp 12345
sa spi outbound esp 54321
sa string-key outbound esp simple huawei
sa string-key inbound esp simple huawei

# 出接口应用
# AR1，如果是虚拟接口，则需要在虚拟接口上使用
int g0/0/0 
ipsec policy hcia-vpn
# AR2
int g0/0/0 
ipsec policy hcia-vpn

# 测试
# 使用pc8 ping10.1.1.250 ，在AR2的g0/0/0上抓包
dis ipsec sa  # 查看ipsec策略情况
dis ipsec statistics esp  # 查看项“Outpacket count”，不断地ping，此值不断增加