华为交换机
##二层交换机基础
二层转发:MAC地址表
三层交换机转发:先写入帧头和ip头部,查找目的ip没有就抛弃有就查找下一跳根据ip表
数据帧类型:(数据帧的第八位)
单播帧 0
广播帧 全f
组播帧 1
单播帧转发:通过单播帧的目的mac,没有mac地址就泛洪(发送的都是单播帧),有就转发
arp缓存表:ip和mac的对应关系
arp请求包:以主机a的原地址为源mac,目的mac为全f。arp为广播报文,
arpreply报文:单播报文 以主机c的地址为源mac,目的为交换机泛红给c的arp请求包的a的mac地址发给交换机学习
二层交换机转发地址(icmp报文):逐层封装:
1.icmp协议封装
2.封装ip层(封装原ip地址和目的ip地址并判断是否启用路由)[相同网段不需要路由功能]
2.封装数据链路层(封装原mac和目的mac)并在原设备查目的设备的arp缓存表
//如果没有第一次ping现会发送arp请求包而不是icmp包,交换机收到后会学习arp的源地址和接收到报文的接口做对应储存到自己的mac表里然后对其他接口进行泛洪,如果不是arp请求的ip地址,接收主机不会往接口回数据包会直接丢弃,如果是该主机则会往接口回一个arpreply报文.交换机学习后储存到自己的mac表中后通过自己的mac表单独转发给发送arp请求的主机主机收到后会补充完善自己的arp缓存变并开始重新封装icmp报文
##MAC地址表数据:
一.类型:
1.dynamic动态:当交换机接口收到数据帧时,会动态学习mac地址表。动态mac地址表不是永久的,老化时间为5分钟
2.static静态:静态获取,永久保存mac地址 客户机有arp地址就不会在发arp包
广播域:一个广播帧泛洪的最大范围就是广播域的最大范围
##VLAN概念
1.VLAN ID:VLAN编号,取值范围1-4094
2.PVID: port vlan id用于描述接口的vlan id
2.本征VLAN 思科特有名词,华为没有这个说法,在思科对于trunk接口的vlan id叫本征VLAN。对标:华为中对于trunk的pvid
##VLAN作用:
1.可以隔离二层广播域(VLAN接收到广播帧只会对同VLAN的接口进行泛洪而不是所有接口)
2.VLAN数据帧带tag(pc发送的数据帧都是原始帧不带tag,进入交换机都会被打上tag)
##tag组成:
TPID:公有协议类型
PRI:队列优先级(对业务优先级的调整)
CFI:标识是否为以太网
VLANID:vlan的编号(vlan取值范围0-4095能使用的只有1-4094因为只占12比特)
##链路类型:
access接口(适合原始帧):
#1.接收数据(站在接口角度看)
首先看数据帧是否携带tag,如果携带,先查看该tag的vlanid和接口的pvid是否相同,相同就接收,不同就丢弃。如果不携带tag就会给原始帧打上一个tag并且与接口的pvid相同
2.发送数据(站在接口角度看)
对比数据帧中的VLAN ID和接口的pvid是否相同如果相同就剥离tag就发送原始帧出去如果不同就丢弃。
备注:一般交换机的接口要配置什么模式取决于对方接口可以识别什么样的数据帧如果对方接口只能识别原始帧,一般来说要配置为access
如果对方接口只能识别vlan,可以配置为trunk
trunk接口 干道模式:
#1.接收数据
查看是否携带tag,如果携带查看放行列表是否被允许如果允许就直接被接收如果不允许就丢弃。如果不携带tag的原始帧会给原始帧打上tag,tag中的vlanid和接口的pvid相同trunk接口默认的pvid为1,打tag之后还要查看放行列表是否允许允许就接收不允许就丢弃。如果放行列表放行所有,就代表放行在交换机创建的所有VLAN。而不是全部vlan
#2.发送数据帧
看放行列表,如果允许,就放行且查看vlan id和接口的pvid是否相同如果vlan ID = pvid会剥离tag发送原始帧。如果vlanID不等于pvid会直接发送。
如果不允许则会直接丢弃。
#3hybrid接口(混搭模式)了解就行:
代替access的port defauit vlan 10代码是:
port hybrid pvid vlan 10
port hybrid untagged vlan 10
代替trunk的放行列表:
port hybrid tagged vlan vlan 10
##voice vlan(语音vlan其他的都为数据valn):
接口必须为hybrid才能启用
进入接口后代码为:
voice-vlan 2 enable (启动语音vlan设置为2)
voice-vlan mode auto(开启自动模式)
退出端口后输入
voic-vlan mac-address 0011-2200-0000 mask ffff-ff00-0000(筛选mac地址为0011-22的设备使用语音vlan)
##单臂路由:
源目ip不在同一个网段,启用路由功能告诉电脑下一个中网关,目的mac封装网关地址对应的mac地址当数据发到路由器时,他会查看icmp报文原mac地址是否为自己的接口mac地址如果是就扔掉帧头拆掉tag,并查看露出的ip头部查看对应的目的ip地址并对照路由表,查看后开始从新封装icmp报文
代码:
[Huawei-GigabitEthernet0/0/0.1]ip address 1.1.1.1 24 //给子接口配置地址
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 10
//修改接口的vid让数据可以通过
[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable //开启arp协议
ospf:
创建ospf —————————————————————— ospf 1
创建area区域 ——————————————————— area 0
宣告自身接口 ------------———————— network +网关 +0.0.0.0
创建回环地址区域 ———————————————————— int loopback 0
宣告回环地址ip ————————————————————— ip add +ip地址+掩码
接口宣告 —————————————————————————— ospf en 1 ar 0
##交换机高级特性
##mux-vlan
1.先创建多个VLAN
2.选出一个这个主VLAN,比如VLAN10
3.选出一个隔离性VLAN 200 (隔离性VLAN内部不互通也不能访问其他VLAN但可以访问主VLAN)
4.选出若干个互通VLAN(互通性VLAN内部互通,与其他VLAN不通)
代码:
一.规划vlan(都在主vlan配置)
查看mux-vlan ———————————————— //display mux-vlan
1.创建主vlan ———————————————— //vlan b +vlan号
2.进入主vlan开启mux-vlan功能vlan变为主vlan ———————————————— //mux-vlan
3.选出隔离性子vlan(隔离vlan有且只能有一个) —————————————————————— //subordinate separate+vlan号
4.创建互通性子vlan(可以配置多个) ————————————————————————— //subordinte group +vlan号
5.端口划分到对应vlan
6.把0/0/1到0/0/7加到一个端口组(一次性的)————————————————————————— //ort-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/7
7.打开接口mux-vlan功能 ——————————————————————————— //port mux-vlan enable
如果流量经过的两接口都启用了mux功能会使用display mux-vlan表项作为控制选项,如果流量经过的俩个接口有一个接口没有启用mux-vlan,那么会使用display port vlan 表项作为控制选择
## 端口隔离(相同vlan)
配置隔离组 ———————————— //port-isolate enable group+隔离编号(两个接口都配置到统一隔离组就会实现不能互相ping通)
原理:端口为二层隔离,配置的相同隔离组的接口二层不能互通(流量进入交换机后出接口的时候判断)。
查看隔离表 ———————————————————— //display port-isolate group all
###vlan高级特性
## arp代理(适用于二层隔离想走三层)
一.路由式的arp代理(用于解决相同网段的终端被路由器隔离的场景):
目的设备(ping请求接收端),源设备(ping请求发送端),路由器
1路由器端口开启arp代理功能,当接口接受到arp request后,会通过报文的目的ip查本地的路由表
2.根据路由表中出的接口重新封装该arp request,将报文中的源ip,源mac替换为路由表中出路由器的接口的自身ip和mac
3.目的设备收到arp request 后回应的reply报文,此时,该reply报文的,目的ip和mac为路由器与目的设备连接的接口的ip和mac地址
4.路由器收到 reply报文后将生成目的设备的ip mac生成关系
5.路由器会把映射关系从新封装成一个arp reply报文发给源设备。该报文的源ip mac映射关系为,目的设备的ip和原设备与对应交换机接口的mac
ADSL设备
拨号宽带
代码:
接口下开启qrp代理功能(连接的两端接口都要配置) ———————————————— //arp-proxy enable
二.vlan内的arp代理(相同网段的终端交换机二层被隔离的场景)
1.代码:
开启vlan内的arp代理功能 ———————————————— //[Huawei-Vlanif10]arp-proxy inner-sub-vlan-proxy enable
和路由式的arp代理一样就是在路由器的vlanif端看对arp request报文进行重新封装并把源ip和源mac换成自己的ip和mac并打上tag
三.vlan间的arp代理 ———————— 聚合vlan(super vlan)(相同网段在不同vlan下使用)
步骤:
1.首先创建若干个vlan
2.指定一个聚合vlan(主vlan)主vlan不能与接口进行绑定
[jhj3-vlan30]aggregate-vlan 指定30为聚合valn
[jhj3-vlanif30]arp-proxy inter-sub-vlan-proxy enable 启动vlan间代理
3.指定若干个子vlan
[jhj3-vlan30]access-vlan 10 20创建子valn(不能有vlanif接口因为聚会vlan都是从主valn的vlanif接口发送数据出去的)
##QinQ
运营商使用:一个交换机连接两个相同网络地址相同vlan为了让数据顺利通行,使用该方法。
原理:开启后会在原本的arp数据帧的vlanid上包裹一层新的vlanid在运营商交换机里就使用该vlanid进行数据传输出交换机后剥离该vlanid
##端口安全
.ARP攻击行为
1.arp欺骗
网关地址1.254对应MAC地址MAC 1
这个正常的对应关系
但是如果攻击者模仿网关的mac地址进行发送,广播域的其他终端学习到错误的网关mac地址导致终端访问指向了错误的mac
两个影响
a.无法访问
b.流量被窃取
2.arp泛洪
攻击者在一定时间内发送了大量的arp报文,导致广播域内需要处理大量arp广播
使用:进入端口 开启端口安全 —————————————————————————— 'port-security enable
当接口开启了端口安全功能后,该接口学习到的动态就会转换成mac地址表,一旦形成了安全mac地址表项,这个接口默认情况下就只能学习一个安全地址表项。
进入安全端口 创建多个mac地址表项 ———————————————————————— 'port-security max-mac-num+创建个数
手动设置更改端口安全后可以学习到的安全mac地址数量
1.安全mac表项老化时间默认情况下,没有老化时间。需要手动命令开始老化时间。
(前提: 设备不重启 端口不shutdown)
老化时间设置 —————————————————— 'port-security aging-time +时间
[Huawei-GigabitEthernet0/0/1]port-security aging-time 5 type ?
absolute Absolute time 绝对老化 -- 默认(pc机发送数据后不重新记录老化时间)
交换机每一分钟检测一次老化检测到老化时间大于等于300秒。老化掉
inactivity Inactivity time 相对老化(pc机发送数据后重新记录老化时间)
2.mac地址绑定
port-security mac-address H-H-H 正常来说
接口的mac地址静态绑定,不随这交换机重启而丢失,写在配置文件里 'dir ———— 查看配置文件 more +文件名 ———— 查看文件内容
port -security mac-address sticky (启动黏滞mac地址)
当企业的终端非常多的时候,并且要求所有的mac地址静态绑定。
sticky安全mac地址表像没有老化时间,也不能手动设置。设备重启或者接口shutdown都不能删除该表项
sticky的安全mac地址数量和安全端口设置的最大值一致。(port-security max-mac-num+创建个数)
3.端口安全的保护行为(惩罚动作)
3.1 protect :安全违背保护模式,当该端口违反了mac地址安全,则不学习新的mac,并丢弃数据,不发送警告。
3.2 recovery :恢复违背模式,触发端口违背动作后,恢复mac学习功能。
3.3 restrict:安全违背限制模式,触发违背动作后,不关闭端口,不学习新的mac,丢弃数据包,发送snmp trap,同时在syslog日志中记录。
3.4 shutdown :安全违背关闭模式,是安全违背的缺省模式,在这种情况下,端口被立即关闭,发送SNMP trap, 同时在syslog 日志中记录。基本代码
进入系统视图 ——————————————//system-view
进入端口 0/0/1 ———————//interface gigabitethernet +端口号
进入vlan接口 —————————//interface Vlanif +接口号
退出 ————————————————//quit
创建vlan口 ——————————//vlan batch +端口名
配置接口类型 ————————//port link-type +加接口类型[trunk(trunk口)和access(数据口)]
绑定vlan口到物理接口 —————————— //port default vlan +valn号
显示当前配置文件 —————————————— //display this
强制打开端口 ————————————————— //undo shutdown
删除当前配置 ————————————————— //undo+配置代码
保存当前配置 ———————————————— //save (在用户视图下输入)
更改交换机名字 —————————————— //sysname +更改的名字
关闭信息提示 ——————————————— //undo info-center enable
查看生成树 ———————————————— //dis stp brief
开启端口 ————————————————— //undo shutdown
关闭端口 ————————————————— //shutdown
查看mac地址表 ———————————— //display mac-address
单独删除mac地址 —————————— //undo display mac-address+需要删除的mac地址
静态绑定mac地址 ——————————//mac-address static +mac地址+绑定的端口+vlanID
查看VLAN状态 ————————————————//dis port vlan
修改trunk口pvid ————————————//port trunk pvid vlan 10
还原接口配置 ————————————//clear configuration interface g +接口 (端口会被shutdown)
把端口加到一个端口组(一次性的)————————————————————————— //port-group group-member GigabitEthernet 开始端口 to GigabitEthernet 结束端口
永久添加端口组:
创建端口名字 —————————————————————————————— //port-group +名字
绑定端口到端口组 —————————————————————————————————— //group-member GigabitEthernet 开始端口 to GigabitEthernet 结束端口
进入端口组 ———————————————————————————————— //port-group+名字
查看vlanif接口的配置 —————————————————————— //display interface Vlanif +vlan号电脑代码
查看arp表 ————————————//apr -a
静态绑定arp ——————————// arp -s+ip地址+mac地址acl
规则:即描述报文匹配条件的判断语句。
规则编号:用于标识ACL规则。可以自行配置规则编号,也可以由系统自动分配。
ACL规则的编号范围是0~4294967294,所有规则均按照规则编号从小到大进行排序。所以,图1-2中的rule 5排在首位,而规则编号最大的rule 4294967294排在末位。系统按照规则编号从小到大的顺序,将规则依次与报文匹配,一旦匹配上一条规则即停止匹配。
动作:包括permit/deny两种动作,表示允许/拒绝。
匹配项:ACL定义了极其丰富的匹配项。除了图1-2中的源地址和生效时间段,ACL还支持很多其他规则匹配项。例如,二层以太网帧头信息(如源MAC、目的MAC、以太帧协议类型)、三层报文信息(如目的地址、协议类型)以及四层报文信息(如TCP/UDP端口号)等。关于每种匹配项的详细介绍,请参见ACL的常用匹配项。
创建acl ———————————————— //acl 3001
配置规则如禁止电脑互访 —————————————— //rule +编号 deny ip source +ip地址 反掩码 destination +ip地址 反掩码
绑定acl到接口需要进入需要绑定该acl的接口 ——————————— //traffic-filter inbound acl +acl编号跨交换机的相同vlan通信(trunk)
[Huawei-GigabitEthernet0/0/4]port link-type trunk //把0/0/4接口变为trunk口
[Huawei-GigabitEthernet0/0/4]port trunk allow-pass vlan 10 20 30 //在该接口上让10 20 30vlan口通过 trunk只能与trunk通讯不能与数据口通讯
两个交换机通讯实现trunk通讯路由在同一vlan下网关只要设置在一台交换机上交换机控制台(console)密码配置
/password认证模式/
[Huawei]user-interface console 0 //进入用户终端配置界面 console的参数只能为0
[Huawei-ui-console0]authentication-mode password //设置console0的认证模式为password(有三种模式分别为 aaa/password/none)
[Huawei-ui-console0]set authentication password simple 123456 //设置简单明文密码123456
<Huawei>reboot 保存退出后重启
/aaa认证模式/
[Huawei]user-interface console 0 //进入用户接口console 0
[Huawei-ui-console0]authentication-mode aaa //配置认证模式为aaa
[Huawei]aaa //退出后进入进入aaa协议
[Huawei-aaa]local-use +用户名 password simple +密码 //设置本地用户名和简单密码
[Huawei-aaa]local-user +刚刚创建的用户 privilege level +权限等级 //设置用户的权限级别0-15越高权限越大
[Huawei-aaa]local-user zhangsan service-type terminal //设置用户的服务类型为console
<Huawei>reboot 保存退出后重启链路聚合
/配置链路聚合的手工模式
(目的:通过链路聚合实现两台主机间带宽提升,在LSW1和LSW2之间的三条链路上分担负载,当一条断开时,其他两条可用重新形成聚合通道)
在两个交换机上同时做如下的配置:
[Huawei]undo info-center enable //关闭信息提示
[Huawei]interface Eth-Trunk 1 //建立聚合通道1
[Huawei-Eth-Trunk1]mode manual load-balance //使用手工模式
[Huawei-Eth-Trunk1]trunkport GigabitEthernet 0/0/1 to 0/0/3 //把1、2、3端口加入到Eth-Trunk 1中
[Huawei]dis stp brief //生成树中已经没有端口,只有聚合通道
MSTID Port Role STP State Protection
0 Eth-Trunk1 ROOT FORWARDING NONE
/配置LACP模式/
(目的:通过链路捆绑实现两台主机间带宽提升,各条链路分担负载。在LSW1和LSW2之间的三条链路,两个活动,一个备份)
[Huawei]lacp priority 1000
//LSW1上配置lacp优先级,可以理解为LSW1链路聚合的接口设置为“老大”
在两个交换机上做如下同样的配置:
[Huawei]interface Eth-Trunk 1
[Huawei-Eth-Trunk1]mode lacp-static //聚合模式设置为lacp
[Huawei-Eth-Trunk1]trunkport GigabitEthernet 0/0/1 to 0/0/3 //聚合通道中加入端口
[Huawei]dis interface Eth-Trunk 1 //查看聚合信息,看是否正确
[Huawei]int Eth-Trunk 1
[Huawei-Eth-Trunk1]max active-linknumber 2 //设置最大的活动端口数为2个交换机hybrid端口实验(二次交换机不需要配置ip)
[Huawei-GigabitEthernet0/0/1]port link-type hybrid //设置端口类型为hybrid(默认)
[Huawei-GigabitEthernet0/0/1]port hybrid pvid vlan 10 //把0/0/1端口的pvid设置为10(把该端口加入到vlan10中)
[Huawei-GigabitEthernet0/0/1]port hybrid untagged vlan 10 30 40
//设置vlan10 30 40的流量不打标签能够通过端口1交换机DHCP服务的配置
全局建立地址池的方式:
[Huawei]dhcp enable:开启DHCP服务
[Huawei]ip pool aa:在路由器上创建IP地址池
[Huawei-ip-pool-aa]network 192.168.1.0 mask 24:给IP地址池 添加IP地址网段
[Huawei-ip-pool-aa]gateway-list 192.168.1.1:IP地址池设置网关
[Huawei-ip-pool-aa]dns-list 8.8.8.8 192.168.1.1:配置DNS
[Huawei-ip-pool-aa]excluded-ip-address 192.168.1.200 192.168.1.254 //排除1.200到1.254的地址,不分配给客户机
[Huawei-Vlanif10]ip address 192.168.1.1 255.255.255.0
[Huawei-Vlanif10]dhcp select global
在接口处绑定vlan即可
[Huawei]dhcp enable //启用dhcp服务
[Huawei]undo info-center enable
[Huawei]interface vlan 1
[Huawei-Vlanif1]ip address 192.168.1.1 24
[Huawei-Vlanif1]dhcp select interface//dhcp选择接口模式(即 使用vlan1接口)
[Huawei-Vlanif1]dhcp server excluded-ip-address 192.168.1.200 192.168.1.254 //排除1.200到1.254的地址,不分配给客户机
[Huawei-Vlanif1]dhcp server excluded-ip-address 192.168.1.2
//排除单个地址192.168.1.2不分配
[Huawei-Vlanif1]dhcp server static-bind ip-address 192.168.1.88 mac-address 5489-980B-06FC
//配置保留地址 (192.168.1.88保留给mac地址为5489-980B-06FC的主机pc2),无论他第几个开机,都能获取该ip地址
[Huawei-Vlanif1]dhcp server dns-list 114.114.114.114 202.102.224.68
//配置要分配的dns地址
[Huawei-Vlanif1]dhcp server lease day 1 hour 0 minute 0
//配置地址池的租约
最后将vlan绑定到端口静态路由
1.R1配置
R1:[R1]ip route-static 192.168.2.0 24 10.1.1.2 静态路由地址
2.R2配置
R2:[R2]ip route-static 192.168.1.0 24 10.1.1.1
路由器配置 ip只需在接口配置即可
dis ip routing-table 查看路由表作者:admin 创建时间:2024-03-28 14:01
最后编辑:admin 更新时间:2024-06-07 13:02
最后编辑:admin 更新时间:2024-06-07 13:02
