network HCIE认证

#1 ip地址设置

ip add 192.168.1.1 255.255.255.0

ip add 192.168.1.2 255.255.255.0

#2 DHCP

交换机上配置

system-view //进入系统配置

dhcp enable

int g0/0/1 //接入接口管理

dhcp select interface //配置dncp选择接口

#3 DNS域名系统

int g0/0/1

dhcp server dns-list 10.244.1.100 //配置dns服务器

#4 路由交换

display ip routing-table 100.100.100.100 //查看到100.100.100.100的路由表

ip route-static 192.168.3.1 255.255.255.0 192.168.2.10 //正向路由

ip route-static 192.168.1.1 255.255.255.0 192.168.2.1 //回程路由

#4虚拟局域网vlan

交换机的接口模式

access:只需要链接1个vlan,用来连接终端,电脑,打印机

trunk:需要连接多个vlan,用来连接其他交换机

hybird:

display vlan //查看vlan

vlan 10 //创建vlan 10

int g0/0/1

port link-type access //设置0/0/1接口模式

port default vlan 10 //将该接口放进vlan 10

port-group 1 //创建端口组

group-member g0/0/2 g0/0/3 //添加接口成员

port link-type access

port default vlan 20

#4.1 三层交换技术

int g/0/0/3 //与交换机链接的接口

port link-type trunk

port trunk allow-pass vlan all //允许所有vlan通过,可以单独放通 vlan 10,vlan 20

int vlan 20

ip address 192.168.20.254 255.255.255.0 //设置vlan 20 网关地址

#5路由原理

#5.1 OSPF

ospf 1 1.1.1.1//启动ospf

area 0 //创建一个区域0

network 1.1.1.0 0.0.0.255 // 宣告从那些接口发送hello包

network 192.168.2.0 0.0.0.255 //该路由器有两个直连网段,把两个网段都宣告进去

//两个路由器也需要

#5.2 rip

rip 1

version 2 //版本2

network 192.168.2.0


OSPF 和 IS-IS 是计算路由

BGP 是传递路由

路由迭代=多次查表

#6路由引入

用于两边不同的路由协议,例如ospf/rip,公共路由称为ASBR

将公共路由使用引入,如ospf 引入rip 或 rip 引入ospf

eg:在ASBR上分别操作

在ospf引入rip:

[Huawei-ospf-1]import-route rip 1 cost 123

在rip引入ospf:

[Huawei-rip-1]import-route ospf 1 cost 3

#7路由优先级

[Huawei-ospf-1]preference ase 14

#8路由引入

1、动态路由协议之间的路由引入

2、引入直连路由到动态路由协议

[Huawei-ospf-1]import-route direct cost 666

3、引入静态路由到动态路由协议

[Huawei-ospf-1]import-route static cost 666

#9单臂路由

AR 配置

[Huawei]int g0/0/0.20 //新建g0/0/0 的虚拟接口

[Huawei-GigabitEthernet0/0/0.20]dot1q termination vid 20 //虚拟接口指定vlan20

[Huawei-GigabitEthernet0/0/0.20]arp broadcast enable //开启ARP广播

[Huawei-GigabitEthernet0/0/0.20]ip address 2.2.2.254 255.255.255.0 //配置vlan20 的网关地址

#10 ACL 访问控制列表

1、创建一个访问控制规则

2、调用这个规则

基本acl:2000-2999

高级acl:3000-3999

二层acl:4000-4999

用户自定义acl:5000-5999

用户acl:6000-6999

acl 2000 //数字型

acl name test advance //命名型

rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 //通配符掩码

rule permit ip source any destination any

dis this

在数据的必经之路进行调用

int g0/0/1

traffic-filter inbound acl name test

#11 NAT 网络地址转换 (动态)

acl name neiwang basic

rule permit source 192.168.0.0 0.0.255.255 //192.168开头的地址都需要做转换

nat address-group 1 64.1.1.2 64.1.1.6 //做一个NAT地址池

int g/0/01 //进入出接口

nat outbound 2999 address-group 1 //将acl 2999允许的地址转换成,地址池为1 的地址


nat outbound 是内部pc访问互联网的,源地址转换

nat server 是内部地址映射出互联网的,服务器对外发布,目标地址转换


#12 静态NAT 服务器发布

1、AR1 需要有到200.200.200.200 的路由

ip route-static 200.200.200.0 255.255.255.0 119.1.1.2

2、做静态NAT

int g0/0/1

nat server protocol tcp global 119.1.1.123 www inside 172.16.0.1 8080

//将内网服务器172.16.0.1 的80端口映射到共有地址119.1.1.123的8080端口

#13 如何远程管理网络设备

telnet

user-interface vty 0 4 //5个远程管理

authentication-mode aaa //用户名+密码

aaa

local-user testuser password cipher 123456

local-user testuser privilege lecel 15

local-user testuser service-type telnet

telnet server enable

dispaly domain name default_admin

display aaa offline-record all

#综合题

1、网络中有三个不同部门,均可自动获取地址

2、各部门可互相访问,也可访问内部服务器172.16.100.1

3、PC1不允许访问互联网,PC2和PC3可以访问互联网

4、内网服务器对外发布的地址为64.1.1.3,互联网用户可以访问这台服务器

5、内网服务器的域名是www.zhynet.net,各PC可以通过域名访问


1、LSW2不用做配置

2、LSW3,配两个access,一个truck

创建两个vlan

3、LSW1,创建4个vlan

vlan 配置地址(网关)

打开dhcp,配置dns

dhcp enable

int vlan 20

dhcp select interface

dhcp server dns-list 172.16.100.1 //几个接口都需要配置dns

接口配置

4、核心交换和路由之间的地址,配置通就可以

交换机需要先配置vlan100,再配置ip地址

5、路由器AR1:

出去的路由:0.0.0.0 0.0.0.0 64.1.1.10

回来的路由:192.168.0.0 255.255.0.0 10.10.10.2 //包含所有192.168段的ip

服务器的路由:172.16.10.0 255.255.255.0 10.10.10.2

做NAT,先做ACL

acl 2000

rule permit source 192.168.0.0 0.0.255.255

nat address-group 1 64.1.1.5 64.1.1.5 //地址池

到出接口

nat outbound 2000 address-group 1

----缺少了8.8.8.8 的配置部分----

使用acl限制某段vlan访问互联网

acl 2001

rule deny source 192.168.10.0 0.0.0.255

rule permit source any

int g0/0/0

traffic-filter inbound acl 2001

映射出去

nat server global 64.1.1.3 inside 172.16.100.1

---end---

ipv6

int g0/0/0

ipv6 enable

ipv6 add 2000::2 64

ipv6 route-static 2000:: 64 2001::1

ipv6 route-static :增加一条路由信息

2000:: 64 目标网段,增加去往2000段的路由信息

2001::1 下一条,去往2000段的数据包,应交交给谁,交给2001::1

默认网关:功能是邦族不同网段的用户来转发数据,(路由器、三层交换机、防火墙)

子网划分基本过程

在主机号划分一个子网号,所以主机号=子网号+主机号'

192.168.1.0

192.168.1.00000000

1个网络位有 2种形式,可以划分2个子网

2个网络位有 4种形式,可以划分4个子网

3个网络位有 8种形式,可以划分8个子网(第一位是 128 第二位是 64 第三位是 32)

-------000(0)、001(32)、010(64)、011(96)、100(128)、101(160)、110(192)、111(224)

还有4个、5个....

应用1:某主机ip地址是210.33.5.68 子网掩码是255.255.255.128,求他的网络地址

25位网络号

应用2:某A类网络20.0.0.0 的子网掩码为255.224.0.0,请确认可以划分的子网个数,写出每个子网的子网号

8个子网个数 128+64+32= 224

000(0) ---- 20.0.0.0/11 ---- 20.0.0.0-20.31.255.255

001(32) ---- 20.32.0.0/11 ---- 20.32.0.0-20.63.255.255

010(64) ---- 20.64.0.0/11 ---- 20.64.0.0-20.95.255.255

011(96) ---- 20.96.0.0/11 ---- 20.96.0.0-20.127.255.255

100(128) ---- 20.128.0.0/11 ---- 20.128.0.0-20.159.255.255

101(160) ---- 20.160.0.0/11 ---- 20.160.0.0-20.191.255.255

110(192) ---- 20.192.0.0/11 ---- 20.192.0.0-20.223.255.255

111(224) ---- 20.224.0.0/11 ---- 20.240.0.0-20.255.255.255

应用3:将某C网200.161.30.0划分成4个子网,请计算出每个子网的有效的主机ip地址和对应的子网掩码

200.161.30.00 00 0000 24+2=26 (128+64=192) 所以子网掩码 255.255.255.192 去网络号,和广播地址

00(0) 200.161.30.0/26 200.161.30.1-200.161.30.62

01(64) 200.161.30.64/26 200.161.30.65-200.161.30.127

10(128) 200.161.30.128/26 200.161.30.129-200.161.30.191

11(192) 200.161.30.192/26 200.161.30.193-200.161.30.254

应用4:某公司申请到的网络地址为192.3.2.0,现要划分5个子公司,最大的一个子公司有28台计算机,每个子公司在一个子网中,则

(1)子网掩码

(2)5个子公司的网络地址分别是

同应用2类似


1.企业私接小路由器带来的问题?

有时无法正常联通网络,DHCP的问题

通过vlan实现故障隔离

通过DHCP snooping禁止私设服务器的DHCP报文

交换机上设置

dhcp enable

dhcp snooping enable

vlan 1

dhcp snooping enable

dhcp snooping trusted interface g0/0/24 //设置受信任接口

通过ACL访问控制列表,禁止用户区域DHCP服务器报文

dhcp协议,两个端口号,客户端68,服务器67

用ACL,禁止源端口是67的从用户的接口进入网络

acl 3000

rule deny udp source any source-port eq 67

rule pemeit ip

在各个接口上做,可以用批量的方式,进入1口-10口

traffic-filter inbound acl 3000

2.小路由器是怎样是网络出问题的?

由DHCP功能造成

什么叫DHCP:动态主机配置协议

什么作用:集中管理与下发地址

DHCP 的配置

int g0/0/0

ip address 192.168.1.1 255.255.255.0

dhcp enable

ip pool dhcp

network 192.168.1.0 255.255.255.0 配置dhcp下发的地址网段

gateway-list 192.168.1.1

dns-list 8.8.8.8

int g0/0/0

dhcp select global //选择dhcp由全局地址池发布

3.怎么解决


vlan概念:局域网(泛指)

vlan的作用:隔离广播域(常用vlan分割方式:接口、MAC、网络)

vlan常用配置


0.1什么是交换机

0.2什么是二层交换机

0.3什么是三层交换机

1、三层交换机作用

2、三层交换机常用配置

3、环路、私接小路由等常见故障排查(可选)

1、网络会卡顿。主机多,广播包多了,与自己无关的广播也会多,消耗带宽、cpu、内存

2、网络故障频发

三层交换机,配上vlan,vlan是一种隔离技术

1、隔离广播

2、隔离故障

vlan典型做法

1、先用vlan把用户隔离开,隔离的广播,是故障,是不好的包

2、再用网关把他们连通,连通的是正常的通信

把三层交换机配置成用户的网关,三层功能,就是帮助不同网络做数据转发的功能,也叫路由


不同网段之间的通信,如1.1.1.1 ping 2.2.2.2

1、PCa 通过对比网络位,判断PCb 是否同网段,发现PCb不是同网段

2、不是同网段,先把数据包交给网关,查看自己的网关是谁,是1.254

3、用arp 解析出1.254 的mac地址,数据包的目标mac写在网关的mac,能实现数据包交给网关

4、网关收到数据包,查看目标ip,查看路由表,知道应该从g/0/0/1发出,数据包的目标mac改成目标pc的mac


1、防火墙功能和应用实例

2、防火墙工作原理和配置

防火墙的接口类型

1、路由模式(3层口) 物理口可以直接配ip,类似路由器

2、交换模式 物理口不能直接配ip,类似交换机,可以配vlan trunk

1、防火墙的安全策略,没有允许这个pc出去

1.1把接口加入安全域

防火墙有这几个安全区

信任区:我的内网

非信任区:外网

DMZ区:中间区域,服务器区88071

firewall zone trust

add int g1/0/1 //添加信任区域的接口

firewall zone untrust

add int g1/0/2 //添加非信任区域的接口

1.2 做放行策略

从信任区域,访问非信任,允许

Security-policy //进入安全策略

rule name shangwang //新建一个规则

source-zone trust //

destination-zone untrust

action permit

2、内网主机是私网ip,私网ip不能访问外网

用nat,网络地址转换,把私网ip转成公网ip

nat-policy

rule name shangwang

source-zone trust

destination-zone untrust

action source-nat easy-ip 做地址转换,转成成出口ip

回程路由:数据包如何回来


一个防火墙项目的实例

安全域配置

安全域添加接口

firewall zone trust

add interface g1/0/1

firewall zone dmz

add interface g1/0/2

安全策略

security-policy

rule name test1

source-zone dmz

source-zone untrust

action permit

NAT策略

nat-policy

rule name dianxin

source-zone trust

destination-zone untrust

action source-nat easy-ip

开启web管理

web-manger enable

int g0/0/0

ip add 192.168.100.1 24

service-manger ping permit

server-manger enable

server-manger https permit


防火墙侧操作

int g1/0/1

ip address 192.168.1.254 24

--做安全域(trust、untrust、DMZ)

--做安全策略

1、内网主机,访问防火墙本身,能通

security-policy

rule name neiwang-to-fw //创建一个安全规则,名字叫neiwang-to-fw

source-zone trust //来自内网

destination-zone local //去往防火墙本身

action permit //允许

service-manger ping permit //允许ping

2、内网主机,要上网,要访问外网,能通

安全策略:允许数据包从trust(内网)到UNtrust(外网)

NAT:要把私网ip,出去的时候,转成公网ip

路由:让防火墙,拥有去往6.6.6.6的路由表

security-policy

rule name neiwang-to-internet

source-zone trust

destination-zone untrust

action permit

nat-policy

rule name dianxin

source-zone trust

destination-zone untrust

action source-nat easy-ip

ip router-static 0.0.0.0 0 64.1.1.10

默认路由(缺省路由)


故障排查思路

1、分段:通过正常状态下应有的数据流(出、入方向),逐段进行分析,找到异常的点,由近到远

2、分层:从协议最底层开始排查,一直到最高层,由硬到软

3、替换:可替换的有:线缆、接口、插槽、配置、软件、硬件、客户端......


网络故障排查专题--服务器访问异常

1、客户端访问服务器的通信原理

2、常见故障排除实例

客户端访问服务器

1、用dns把oa.test.com解析成了64.1.1.3

2、我把访问的网站的数据包,送到了路由器

3、路由器配了一个端口映射,把64.1.1.3:8060变成了172.16.60.60:80

4、路由器接下来,要把访问网站的数据表送到172.16.60.60 ,查路由表

排查思路

1、熟悉通信原理

2、分段排查,分步骤检查

2.1 dns、端口映射、去往服务器路由、服务器本身服务是否正常、服务器给访客回包、安全策略


网络故障排查专题--环路故障

1、环路故障案例

2、如何判断网络故障是由环路引起

3、如何防范环路故障

1、为什么环路,就会断网

环路,导致网络中产生大量的广播包(每秒几千万个),俗称广播风暴

2、当网络故障的时候,如何判断是不是由于环路引起的

查看mac地址表,是否存在mac地址震荡

mac地址表:交换机上的一个转发表项,记录下每个电脑的mac,和交换机的接口的对应关系

display mac-address //查看mac地址表

mac地址表的信息,是如何产生的?

当交换机的某个接口,比如1口,收到一个数据包,查看这个数据包的源mac地址(不如A)

自动更新mac地址表,记录下来 A----1

一旦发生环路,这个mac地址表就会变的不正常

mac地址震荡 mac地址翻滚 MAC地址漂移

同一个mac地址,在不同接口来回变化。断定环路,只有环路才会出现,同一个数据包,从不同的接口进入交换机

如何判断:

1、小网络,交换机灯

2、大网络,mac地址表,是否有震荡

实际问题,怎么解决

开生成树。生成树是一个防环技术,一旦产生环路,会阻塞到接口

生成树保护功能 bpdu guard

实现,底下用户犯错,连环,自动关闭掉他的端口

1、把连接用户的接口设置为边缘端口

int g0/0/1

stp edged-port enable

2、开启bpdu 保护,实现用户自己连环,交换机直接关端口

stp bpdu-protection


1、缺省路由 0.0.0.0 0.0.0.0 1.1.1.2

所有目标都走1.1.1.2 这个接口

2、路由递归,也称为路由迭代,需要多次查询,,需要避免出现路由递归,增加了维护的技术难度

3、浮动路由,去往一个目标有多条路径,一主一备

ip route-static 20.0.0.0 30 10.1.1.2 //默认是60

ip route-static 20.0.0.0 30 10.1.2.2 preference 70

4、路由汇总

把一条路由所有成员路由放在一起

192.168.1.0/24

192.168.2.0/24

192.168.3.0/24

192.168.0.0/12 汇总起来,用这个路由来代替上面的路由,可以汇总就汇总,可以减低工作量,也可以减少路由器的开销

汇总计算,看网络位部分有多少位是一样的

5、路由汇总会引发什么问题,可能会引起环路

解决:ip route-static 10.1.0.0 16 0 null0 黑洞路由


动态路由

ospf 1 1.1.1.1

选择的流程:掩码、协议优先级(preference)、cost(由带宽决定)、

OSPF的三个步骤

1、建立邻居,收集链路状态信息形成邻接(邻居表)

display ospf peer brief

2、用收集到的lsa表,作为原材料,计算路由(状态链路信息)

display ospf lsdb

3、有路由了()

display ip routing-table protocol ospf

OSPF网络类型:P2P、BMA(广播式多路访问)、NBMA(非广播式多路访问)、P2MP(点到多点)

DR/BDR

DR的选举规则,通过优先级

display ospf interface g0/0/1

Priority:1

OSPF多区域

ABR 区域边界路由器

ASBR 用作路由引入的


生成树stp

1、选出根桥:每个交换机运行了stp,有一个桥id,桥id最小的交换机为根桥

display valn 1

2、选出根端口:每个非根桥上,选出一个根端口,收到bpdu最优的端口

display stp brief //查看stp 摘要信息,Role 为 ROOT 则为最优的端口

3、选出制定端口:一个接口,发出的bpdu,比收到的bpdu,更优,是指定端口 DP

4、阻塞其他端口


链路聚合

手动

interface eth-trunk 1

int g0/0/1

eth-trunk 1

display eth-truck 1

LACP 动态链路聚合

interface eth-trunk 1

mode lacp

max active-linknumber 2

trunkport g0/0/1 to 0/0/3

port link-type trunk

port trunk allow-pass vlan 10 20

lacp priority 30000 //配置优先级,设置成主动设备

相关推荐
速盾cdn3 小时前
速盾:CDN是否支持屏蔽IP?
网络·网络协议·tcp/ip
yaoxin5211233 小时前
第二十七章 TCP 客户端 服务器通信 - 连接管理
服务器·网络·tcp/ip
内核程序员kevin4 小时前
TCP Listen 队列详解与优化指南
linux·网络·tcp/ip
PersistJiao5 小时前
Spark 分布式计算中网络传输和序列化的关系(一)
大数据·网络·spark
黑客Ash8 小时前
【D01】网络安全概论
网络·安全·web安全·php
->yjy8 小时前
计算机网络(第一章)
网络·计算机网络·php
摘星星ʕ•̫͡•ʔ9 小时前
计算机网络 第三章:数据链路层(关于争用期的超详细内容)
网络·计算机网络
.Ayang9 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
好想打kuo碎10 小时前
1、HCIP之RSTP协议与STP相关安全配置
网络·安全