network HCIE认证

#1 ip地址设置

ip add 192.168.1.1 255.255.255.0

ip add 192.168.1.2 255.255.255.0

#2 DHCP

交换机上配置

system-view //进入系统配置

dhcp enable

int g0/0/1 //接入接口管理

dhcp select interface //配置dncp选择接口

#3 DNS域名系统

int g0/0/1

dhcp server dns-list 10.244.1.100 //配置dns服务器

#4 路由交换

display ip routing-table 100.100.100.100 //查看到100.100.100.100的路由表

ip route-static 192.168.3.1 255.255.255.0 192.168.2.10 //正向路由

ip route-static 192.168.1.1 255.255.255.0 192.168.2.1 //回程路由

#4虚拟局域网vlan

交换机的接口模式

access：只需要链接1个vlan，用来连接终端，电脑，打印机

trunk：需要连接多个vlan，用来连接其他交换机

hybird:

display vlan //查看vlan

vlan 10 //创建vlan 10

int g0/0/1

port link-type access //设置0/0/1接口模式

port default vlan 10 //将该接口放进vlan 10

port-group 1 //创建端口组

group-member g0/0/2 g0/0/3 //添加接口成员

port link-type access

port default vlan 20

#4.1 三层交换技术

int g/0/0/3 //与交换机链接的接口

port link-type trunk

port trunk allow-pass vlan all //允许所有vlan通过，可以单独放通 vlan 10，vlan 20

int vlan 20

ip address 192.168.20.254 255.255.255.0 //设置vlan 20 网关地址

#5路由原理

#5.1 OSPF

ospf 1 1.1.1.1//启动ospf

area 0 //创建一个区域0

network 1.1.1.0 0.0.0.255 // 宣告从那些接口发送hello包

network 192.168.2.0 0.0.0.255 //该路由器有两个直连网段，把两个网段都宣告进去

//两个路由器也需要

#5.2 rip

rip 1

version 2 //版本2

network 192.168.2.0

----------------------------------

OSPF 和 IS-IS 是计算路由

BGP 是传递路由

路由迭代=多次查表

#6路由引入

用于两边不同的路由协议，例如ospf/rip，公共路由称为ASBR

将公共路由使用引入，如ospf 引入rip 或 rip 引入ospf

eg：在ASBR上分别操作

在ospf引入rip：

[Huawei-ospf-1]import-route rip 1 cost 123

在rip引入ospf：

[Huawei-rip-1]import-route ospf 1 cost 3

#7路由优先级

[Huawei-ospf-1]preference ase 14

#8路由引入

1、动态路由协议之间的路由引入

2、引入直连路由到动态路由协议

[Huawei-ospf-1]import-route direct cost 666

3、引入静态路由到动态路由协议

[Huawei-ospf-1]import-route static cost 666

#9单臂路由

AR 配置

[Huawei]int g0/0/0.20 //新建g0/0/0 的虚拟接口

[Huawei-GigabitEthernet0/0/0.20]dot1q termination vid 20 //虚拟接口指定vlan20

[Huawei-GigabitEthernet0/0/0.20]arp broadcast enable //开启ARP广播

[Huawei-GigabitEthernet0/0/0.20]ip address 2.2.2.254 255.255.255.0 //配置vlan20 的网关地址

#10 ACL 访问控制列表

1、创建一个访问控制规则

2、调用这个规则

基本acl：2000-2999

高级acl：3000-3999

二层acl：4000-4999

用户自定义acl：5000-5999

用户acl：6000-6999

acl 2000 //数字型

acl name test advance //命名型

rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 //通配符掩码

rule permit ip source any destination any

dis this

在数据的必经之路进行调用

int g0/0/1

traffic-filter inbound acl name test

#11 NAT 网络地址转换 (动态)

acl name neiwang basic

rule permit source 192.168.0.0 0.0.255.255 //192.168开头的地址都需要做转换

nat address-group 1 64.1.1.2 64.1.1.6 //做一个NAT地址池

int g/0/01 //进入出接口

nat outbound 2999 address-group 1 //将acl 2999允许的地址转换成，地址池为1 的地址

-------

nat outbound 是内部pc访问互联网的，源地址转换

nat server 是内部地址映射出互联网的，服务器对外发布，目标地址转换

-------

#12 静态NAT 服务器发布

1、AR1 需要有到200.200.200.200 的路由

ip route-static 200.200.200.0 255.255.255.0 119.1.1.2

2、做静态NAT

int g0/0/1

nat server protocol tcp global 119.1.1.123 www inside 172.16.0.1 8080

//将内网服务器172.16.0.1 的80端口映射到共有地址119.1.1.123的8080端口

#13 如何远程管理网络设备

telnet

user-interface vty 0 4 //5个远程管理

authentication-mode aaa //用户名+密码

aaa

local-user testuser password cipher 123456

local-user testuser privilege lecel 15

local-user testuser service-type telnet

telnet server enable

dispaly domain name default_admin

display aaa offline-record all

#综合题

1、网络中有三个不同部门，均可自动获取地址

2、各部门可互相访问，也可访问内部服务器172.16.100.1

3、PC1不允许访问互联网，PC2和PC3可以访问互联网

4、内网服务器对外发布的地址为64.1.1.3,互联网用户可以访问这台服务器

5、内网服务器的域名是www.zhynet.net,各PC可以通过域名访问

---------------------------------------------------------------

1、LSW2不用做配置

2、LSW3，配两个access，一个truck

创建两个vlan

3、LSW1，创建4个vlan

vlan 配置地址（网关）

打开dhcp，配置dns

dhcp enable

int vlan 20

dhcp select interface

dhcp server dns-list 172.16.100.1 //几个接口都需要配置dns

接口配置

4、核心交换和路由之间的地址，配置通就可以

交换机需要先配置vlan100，再配置ip地址

5、路由器AR1：

出去的路由：0.0.0.0 0.0.0.0 64.1.1.10

回来的路由：192.168.0.0 255.255.0.0 10.10.10.2 //包含所有192.168段的ip

服务器的路由：172.16.10.0 255.255.255.0 10.10.10.2

做NAT,先做ACL

acl 2000

rule permit source 192.168.0.0 0.0.255.255

nat address-group 1 64.1.1.5 64.1.1.5 //地址池

到出接口

nat outbound 2000 address-group 1

----缺少了8.8.8.8 的配置部分----

使用acl限制某段vlan访问互联网

acl 2001

rule deny source 192.168.10.0 0.0.0.255

rule permit source any

int g0/0/0

traffic-filter inbound acl 2001

映射出去

nat server global 64.1.1.3 inside 172.16.100.1

---end---

ipv6

int g0/0/0

ipv6 enable

ipv6 add 2000::2 64

ipv6 route-static 2000:: 64 2001::1

ipv6 route-static :增加一条路由信息

2000:: 64 目标网段，增加去往2000段的路由信息

2001::1 下一条，去往2000段的数据包，应交交给谁，交给2001::1

默认网关：功能是邦族不同网段的用户来转发数据，（路由器、三层交换机、防火墙）

###

子网划分基本过程

在主机号划分一个子网号，所以主机号=子网号+主机号‘

192.168.1.0

192.168.1.00000000

1个网络位有 2种形式，可以划分2个子网

2个网络位有 4种形式，可以划分4个子网

3个网络位有 8种形式，可以划分8个子网（第一位是 128 第二位是 64 第三位是 32）

-------000（0）、001（32）、010（64）、011（96）、100（128）、101（160）、110（192）、111（224）

还有4个、5个....

应用1：某主机ip地址是210.33.5.68 子网掩码是255.255.255.128，求他的网络地址

25位网络号

应用2：某A类网络20.0.0.0 的子网掩码为255.224.0.0,请确认可以划分的子网个数，写出每个子网的子网号

8个子网个数 128+64+32= 224

000（0） ---- 20.0.0.0/11 ---- 20.0.0.0-20.31.255.255

001（32） ---- 20.32.0.0/11 ---- 20.32.0.0-20.63.255.255

010（64） ---- 20.64.0.0/11 ---- 20.64.0.0-20.95.255.255

011（96） ---- 20.96.0.0/11 ---- 20.96.0.0-20.127.255.255

100（128） ---- 20.128.0.0/11 ---- 20.128.0.0-20.159.255.255

101（160） ---- 20.160.0.0/11 ---- 20.160.0.0-20.191.255.255

110（192） ---- 20.192.0.0/11 ---- 20.192.0.0-20.223.255.255

111（224） ---- 20.224.0.0/11 ---- 20.240.0.0-20.255.255.255

应用3：将某C网200.161.30.0划分成4个子网，请计算出每个子网的有效的主机ip地址和对应的子网掩码

200.161.30.00 00 0000 24+2=26 （128+64=192） 所以子网掩码 255.255.255.192 去网络号，和广播地址

00(0) 200.161.30.0/26 200.161.30.1-200.161.30.62

01(64) 200.161.30.64/26 200.161.30.65-200.161.30.127

10(128) 200.161.30.128/26 200.161.30.129-200.161.30.191

11(192) 200.161.30.192/26 200.161.30.193-200.161.30.254

应用4：某公司申请到的网络地址为192.3.2.0,现要划分5个子公司，最大的一个子公司有28台计算机，每个子公司在一个子网中，则

（1）子网掩码

（2）5个子公司的网络地址分别是

同应用2类似

------------------------------------

1.企业私接小路由器带来的问题？

有时无法正常联通网络，DHCP的问题

通过vlan实现故障隔离

通过DHCP snooping禁止私设服务器的DHCP报文

交换机上设置

dhcp enable

dhcp snooping enable

vlan 1

dhcp snooping enable

dhcp snooping trusted interface g0/0/24 //设置受信任接口

通过ACL访问控制列表，禁止用户区域DHCP服务器报文

dhcp协议，两个端口号，客户端68，服务器67

用ACL，禁止源端口是67的从用户的接口进入网络

acl 3000

rule deny udp source any source-port eq 67

rule pemeit ip

在各个接口上做，可以用批量的方式，进入1口-10口

traffic-filter inbound acl 3000

2.小路由器是怎样是网络出问题的？

由DHCP功能造成

什么叫DHCP：动态主机配置协议

什么作用：集中管理与下发地址

DHCP 的配置

int g0/0/0

ip address 192.168.1.1 255.255.255.0

dhcp enable

ip pool dhcp

network 192.168.1.0 255.255.255.0 配置dhcp下发的地址网段

gateway-list 192.168.1.1

dns-list 8.8.8.8

int g0/0/0

dhcp select global //选择dhcp由全局地址池发布

3.怎么解决

------------------------------------

vlan概念：局域网（泛指）

vlan的作用：隔离广播域（常用vlan分割方式：接口、MAC、网络）

vlan常用配置

------------------------------------

0.1什么是交换机

0.2什么是二层交换机

0.3什么是三层交换机

1、三层交换机作用

2、三层交换机常用配置

3、环路、私接小路由等常见故障排查（可选）

1、网络会卡顿。主机多，广播包多了，与自己无关的广播也会多，消耗带宽、cpu、内存

2、网络故障频发

三层交换机，配上vlan，vlan是一种隔离技术

1、隔离广播

2、隔离故障

vlan典型做法

1、先用vlan把用户隔离开，隔离的广播，是故障，是不好的包

2、再用网关把他们连通，连通的是正常的通信

把三层交换机配置成用户的网关，三层功能，就是帮助不同网络做数据转发的功能，也叫路由

------------------------------------

不同网段之间的通信，如1.1.1.1 ping 2.2.2.2

1、PCa 通过对比网络位，判断PCb 是否同网段，发现PCb不是同网段

2、不是同网段，先把数据包交给网关，查看自己的网关是谁，是1.254

3、用arp 解析出1.254 的mac地址，数据包的目标mac写在网关的mac，能实现数据包交给网关

4、网关收到数据包，查看目标ip，查看路由表，知道应该从g/0/0/1发出，数据包的目标mac改成目标pc的mac

------------------------------------

1、防火墙功能和应用实例

2、防火墙工作原理和配置

防火墙的接口类型

1、路由模式（3层口） 物理口可以直接配ip，类似路由器

2、交换模式 物理口不能直接配ip，类似交换机，可以配vlan trunk

1、防火墙的安全策略，没有允许这个pc出去

1.1把接口加入安全域

防火墙有这几个安全区

信任区：我的内网

非信任区：外网

DMZ区：中间区域，服务器区88071

firewall zone trust

add int g1/0/1 //添加信任区域的接口

firewall zone untrust

add int g1/0/2 //添加非信任区域的接口

1.2 做放行策略

从信任区域，访问非信任，允许

Security-policy //进入安全策略

rule name shangwang //新建一个规则

source-zone trust //

destination-zone untrust

action permit

2、内网主机是私网ip，私网ip不能访问外网

用nat，网络地址转换，把私网ip转成公网ip

nat-policy

rule name shangwang

source-zone trust

destination-zone untrust

action source-nat easy-ip 做地址转换，转成成出口ip

回程路由：数据包如何回来

------------------------------------

一个防火墙项目的实例

安全域配置

安全域添加接口

firewall zone trust

add interface g1/0/1

firewall zone dmz

add interface g1/0/2

安全策略

security-policy

rule name test1

source-zone dmz

source-zone untrust

action permit

NAT策略

nat-policy

rule name dianxin

source-zone trust

destination-zone untrust

action source-nat easy-ip

开启web管理

web-manger enable

int g0/0/0

ip add 192.168.100.1 24

service-manger ping permit

server-manger enable

server-manger https permit

------------------------------------

防火墙侧操作

int g1/0/1

ip address 192.168.1.254 24

--做安全域（trust、untrust、DMZ）

--做安全策略

1、内网主机，访问防火墙本身，能通

security-policy

rule name neiwang-to-fw //创建一个安全规则，名字叫neiwang-to-fw

source-zone trust //来自内网

destination-zone local //去往防火墙本身

action permit //允许

service-manger ping permit //允许ping

2、内网主机，要上网，要访问外网，能通

安全策略：允许数据包从trust（内网）到UNtrust（外网）

NAT：要把私网ip，出去的时候，转成公网ip

路由：让防火墙，拥有去往6.6.6.6的路由表

security-policy

rule name neiwang-to-internet

source-zone trust

destination-zone untrust

action permit

nat-policy

rule name dianxin

source-zone trust

destination-zone untrust

action source-nat easy-ip

ip router-static 0.0.0.0 0 64.1.1.10

默认路由（缺省路由）

------------------------------------

故障排查思路

1、分段：通过正常状态下应有的数据流（出、入方向），逐段进行分析，找到异常的点，由近到远

2、分层：从协议最底层开始排查，一直到最高层，由硬到软

3、替换：可替换的有：线缆、接口、插槽、配置、软件、硬件、客户端......

------------------------------------

网络故障排查专题--服务器访问异常

1、客户端访问服务器的通信原理

2、常见故障排除实例

客户端访问服务器

1、用dns把oa.test.com解析成了64.1.1.3

2、我把访问的网站的数据包，送到了路由器

3、路由器配了一个端口映射，把64.1.1.3:8060变成了172.16.60.60:80

4、路由器接下来，要把访问网站的数据表送到172.16.60.60 ，查路由表

排查思路

1、熟悉通信原理

2、分段排查，分步骤检查

2.1 dns、端口映射、去往服务器路由、服务器本身服务是否正常、服务器给访客回包、安全策略

------------------------------------

网络故障排查专题--环路故障

1、环路故障案例

2、如何判断网络故障是由环路引起

3、如何防范环路故障

1、为什么环路，就会断网

环路，导致网络中产生大量的广播包（每秒几千万个），俗称广播风暴

2、当网络故障的时候，如何判断是不是由于环路引起的

查看mac地址表，是否存在mac地址震荡

mac地址表：交换机上的一个转发表项，记录下每个电脑的mac，和交换机的接口的对应关系

display mac-address //查看mac地址表

mac地址表的信息，是如何产生的？

当交换机的某个接口，比如1口，收到一个数据包，查看这个数据包的源mac地址（不如A）

自动更新mac地址表，记录下来 A----1

一旦发生环路，这个mac地址表就会变的不正常

mac地址震荡 mac地址翻滚 MAC地址漂移

同一个mac地址，在不同接口来回变化。断定环路，只有环路才会出现，同一个数据包，从不同的接口进入交换机

如何判断：

1、小网络，交换机灯

2、大网络，mac地址表，是否有震荡

实际问题，怎么解决

开生成树。生成树是一个防环技术，一旦产生环路，会阻塞到接口

生成树保护功能 bpdu guard

实现，底下用户犯错，连环，自动关闭掉他的端口

1、把连接用户的接口设置为边缘端口

int g0/0/1

stp edged-port enable

2、开启bpdu 保护，实现用户自己连环，交换机直接关端口

stp bpdu-protection

------------------------------------

1、缺省路由 0.0.0.0 0.0.0.0 1.1.1.2

所有目标都走1.1.1.2 这个接口

2、路由递归，也称为路由迭代，需要多次查询，，需要避免出现路由递归，增加了维护的技术难度

3、浮动路由，去往一个目标有多条路径，一主一备

ip route-static 20.0.0.0 30 10.1.1.2 //默认是60

ip route-static 20.0.0.0 30 10.1.2.2 preference 70

4、路由汇总

把一条路由所有成员路由放在一起

192.168.1.0/24

192.168.2.0/24

192.168.3.0/24

192.168.0.0/12 汇总起来，用这个路由来代替上面的路由，可以汇总就汇总，可以减低工作量，也可以减少路由器的开销

汇总计算，看网络位部分有多少位是一样的

5、路由汇总会引发什么问题，可能会引起环路

解决：ip route-static 10.1.0.0 16 0 null0 黑洞路由

------------------------------------

动态路由

ospf 1 1.1.1.1

选择的流程：掩码、协议优先级（preference）、cost（由带宽决定）、

OSPF的三个步骤

1、建立邻居，收集链路状态信息形成邻接（邻居表）

display ospf peer brief

2、用收集到的lsa表，作为原材料，计算路由（状态链路信息）

display ospf lsdb

3、有路由了（）

display ip routing-table protocol ospf

OSPF网络类型：P2P、BMA（广播式多路访问）、NBMA（非广播式多路访问）、P2MP（点到多点）

DR/BDR

DR的选举规则，通过优先级

display ospf interface g0/0/1

Priority:1

OSPF多区域

ABR 区域边界路由器

ASBR 用作路由引入的

------------------------------------

生成树stp

1、选出根桥：每个交换机运行了stp，有一个桥id，桥id最小的交换机为根桥

display valn 1

2、选出根端口：每个非根桥上，选出一个根端口，收到bpdu最优的端口

display stp brief //查看stp 摘要信息，Role 为 ROOT 则为最优的端口

3、选出制定端口：一个接口，发出的bpdu，比收到的bpdu，更优，是指定端口 DP

4、阻塞其他端口

------------------------------------

链路聚合

手动

interface eth-trunk 1

int g0/0/1

eth-trunk 1

display eth-truck 1

LACP 动态链路聚合

interface eth-trunk 1

mode lacp

max active-linknumber 2

trunkport g0/0/1 to 0/0/3

port link-type trunk

port trunk allow-pass vlan 10 20

lacp priority 30000 //配置优先级，设置成主动设备