华为高级网络工程师笔记：要考HCNP的最好看看

admin

一．PC-PC：

路由：直连，静态，动态（rip ospf bgp isis）
交换：STP 聚合 VLAN
路由转发条件：《1》有路由表《2》根据目的IP查找路由表
控制平面：路由协议->路由表
数据平面：根据目的IP查找路由表转发
《2》比较路由规则
a:比较掩码长度，长度越长越优先
B:当掩码相同时，比较优先级，优先级越小越优先
直连（0）-OSPF（10）-静态（60）-RIP（100）
C：当掩码和优先级都相同时，比较度量（跳数，开销【带宽】）越小越优先
2． 静态路由

《1》在配置命令时，不配出接口：迭代查询，到达下一跳需多次查询路由表【容易导致延迟大，路由黑洞】
　认为从该接口立即能找到目的IP，从而请求目的ＩＰ的MAC，但无法得到，所以不通
【解决办法：ARP代理】即代理目的ＩＰ的ＭＡＣ回复给请求方自己的ＭＡＣ，条件是回复方有到目的IP的路由
ARP代理配置：[接口]arp-proxy enable【arp代理开启，默认不开启】

二动态路由【RIP，BGP（边界网关路由协议） OSPF ISIS（中间系统）】
AS（自治系统）：一个路由管理域的集合
《1》范围划分：AS内路由协议：RIP OSPF ISIS
AS外路由协议：BGP
《2》特性划分：距离矢量 RIP BGP
链路状态 OSPF ISIS
3． ＲＩＰ【基于UDP封装，端口号 520】
　　　《１》原理：开启ＲＩＰ发送请求，收到请求进行回复，网络稳定后周期发送自己路由信息，进行周期更新，进行路由维护
　　　《２》版本：Ｖ１和Ｖ２
　　　Ｖ１：广播更新　２５５.２５５.２５５.２５５【没开启RIP的路由器也收到ＲＩＰ报文，占用带宽和设备资源】，不带子网掩码【不支持ＶＬＳＭ】，不支持认证
　　　Ｖ２：组播更新　２２４.０.０.９【只有开启了ＲＩＰ的路由器才能收到RIP报文】，带子网掩码【支持VLSM】，支持认证
《3》为保证安全进行RIP认证

[接口]rip authentication-mode simpe huawei ；RIP下的明文认证模式
【两方都要认证，满足认证才能发送路由信息】
《4》环路

如上图所示，若在R1向R2发送完包含1.0网段路由时，跳数为1，网段1.0故障，R1上对应1.0网段路由条目立即被删除，由于路由报文更新周期在30s加减15%间，在R1更新周期未到达时，此时R2还不知道1.0网段故障，R2向R1发送路由报文，跳数为2，然后R1会以为从R2会找到1.0网段。从而添加到R1路由表，此时就出现环路问题。
解决：最大跳数 水平分割 毒性反转 触发更新
《5》ＣＩＤＲ（无类域间路由）
　　　　　　

如上图所示，当Ｒ３所连网段很多时，Ｒ１的的路由表就会很大，查找路由表时延时大，由此引出路由聚合
网络位 主机位

192.168.1.0 192.168.00000 001 .0
192.168.2.0 192.168.00000 010 .0
192.168.3.0 192.168.00000 011 .0
192.168.4.0 192.168.00000 100 .0
相同位－网络号 不同位－主机号【看第三字节数最大的那个网络号】
在Version 2版本下[rip进程]version 2

RIP聚合：自动聚合 【默认开启，但未生效】 [rip进程]summary 【开启自动聚合】
[R1]display rip 1 interface g0/0/0 verbose 【查看g0/0/0接口下的详细RIP内容】
[接口]undo rip split-horizon 【在接口下关闭水平分割，默认水平分割已开启】
要点：当水平分割开启时，自动聚合不生效，只有关闭水平分割，自动聚合生效，聚合成主类路由【A，B，C类】【范围大，不精确】
手动聚合
[接口]rip summary-address 192.168.0.0 255.255.248.0【手工聚合为192.168.0.0】 【此时水平分割要开启】
一．OSPF【基于IP封装，协议号 89】

1.报文及其作用：
HELLO：建立和维护邻居关系，选取DR/BDR,周期发送，防止因丢包，HELLO报文丢失，保障可靠性
DD：选主从-统一序列号（用主的序列号）【确保可靠】，数据库描述
LSR：请求路由
LSU：更新路由
LSACK：确认路由
2.状态机：
Down:只发HELLO,不接收任何信息
Init:发送HELLo，交互信息并协商【HELLo时间要一致，否则可能会导致一方认为另一方DOWN机】
2-way：建立邻居关系，各自的HELLO报文有邻居的ROUTER ID，选取DR/BDR【先选BDR】
Exstart: 发送DD报文，确定主从

Exchange:发送DD报文，进行数据库描述
Loading:LSR，LSU，LSACK
Full：完成建立邻接关系
Attempt:【尝试状态】在NBMA下，单方面手动单播指定邻居时出现的状态，两方都指定，就会进入2-way
3.要点

《1》HELLO报文在MA和P2P环境下发送周期10S，在NBMA和P2MP环境下发送周期30s,失效时间是HELLO时间的4倍
《2》DR和BDR与其它所有设备都是邻接关系，DR与BDR的LSDB含有整个网段的路由，当有ＤＲ在时，ＢＤＲ只是不转发而已；DRother之间是邻居关系
《3》选DR和BDR，先比较接口优先级【默认为1】，其次比较ROUTER ID；选主从比较ROUTER ID
《4》DR的不可抢占性：一旦网段中有DR，无论添加的设备优先级多大，DR仍不变，【因为如果每添加一个优先级高的设备，就要重新建立邻居和邻接关系，重新建立路由，延时大，且期间可能因无路由而丢包】
《5》P2P和P2MP环境下不选DR
《6》DRother 发LSU和LSACK时，组播地址244.0.0.6，其它都是244.0.0.5
《7》OSPF能识别环回口，学得的环回的路由IP掩码总是32位
4.配置指令
[huawei]ping -a 源IP 目的IP【带源ping】
[huawei]display ospf peer 【查看邻居详细信息】
[huawei]display ospf peer brief 【查看邻居摘要信息】
[接口]ospf dr-priority 数字 【修改接口优先级】
二.VLINK(虚链路)【属于区域0，和区域0邻接关系】【在非骨干区域边界实现】【两邻居路由器上都要配，且在同一区域】

[huawei]ospf
[ospf]area x
[area x]vlink-peer router ID(邻居的)
[huawei]display ospf vlink 【查看ospf下的虚电路状态】
<用户视图>reset ospf process 【重启ospf进程】
三.在NBMA下运行OSPF
发送周期 生存时间
MA（多路访问） P2P（点到点） 10s 40s
NBMA（非广播多路访问） P2MP（点到多点） 30s 120s
1.原因：因为NBMA和P2MP带宽比较低，为了减少协议对带宽的占用，所以Hello时间和生存时间长
2.[ospf]peer 对端IP地址【在Ospf进程上单播指定邻居】【需双向指定，否则，会一直处于attempt状态】

首先配好帧中继网络，再在各路由器上运行ospf进程，因为NBMA在ospf进程不支持组播，所以需在ospf进程上单播建立指定邻居关系【在NBMA手动单播指定邻居时，先出现attempt状态，只有邻居双方都单播指定邻居后，才能进入2-way以及最后的full,否则会一直处于attempt】.此时，虽然R1与R2，R1与R3间能通，但R2与R3间不通，因为R1是BDR，由于帧中继原理R2与R3之间不能通信，所以R2，R3都认为自己是DR。若将R3和R2端口优先级改为0，这时，R1是DR，R2和R3是DRother，还要在R2与R3上分别写入R3与R2的映射表。
四．OSPF报文头部

5． LSA报文头部

检测新旧LSA
通告路由器
链路状态标识：6种LSA，值不同
产生该LSA的路由器ID
1. LSA类型
1.Router-LSA:每个路由器都会产生，只在本区域内传递，传的是路由器的网络直连路由
2.network-LSA:由DR产生的，只在本区域内传递，描述区域内的状态信息
3.Network-summary-LSA:由ABR产生，在区域间传递，描述区域间的路由信息
4.ASBR-summary-LSA；由ABR产生，在区域间传递，描述ASBR的位置
5.AS-external-LSA:由ASBR产生，描述AS外的路由信息，在整个AS内传递
【真正描述路由信息的LSA是1，3,5,7类LSA】
2.

LSA名称 link State ID
Router-LSA 生成这条LSA的路由器ID
Network-LSA 所描述网段上DR的端口IP地址
Network-summary-LSA 所描述的路由目的网段的地址
ASBR-summary-LSA 所描述的ASBR的Router ID

AS-External-LSA 所描述的所传路由目的网段的地址
1． 计算OSPF区域内路由【使用Router-LSA(路由链路信息)和Network-LSA(状态信息)】

的第一个IP地址就是该路由器的Router ID】
<pc>arp -a :查看arp表
<pc>arp -b :删除arp表
[各进程]description ：描述命令，不影响任何设置
[huawei]display ospf lsdb router ：查看Router-LSA的信息
[huawei]display ospf lsdb network/summary/ase/asbr router ID :查看某一设备上的network-LSA/network-summary-LSA/ASBR-summary-LSA/AS-External-LSA信息
Ospf 开销计算公式：
参考带宽（100M）/链路带宽 【开销不足1时取1，物理链路才计算开销，非物理链路开销为0】
1. Router LSA【每个路由器都能产生】

<1>重要字段

LS ID：通告路由器的rouuter-ID
Link count:直连路由个数；
Link ID :
Data:
Type:链路类型
Metric:开销
《2》四种链路类型：stubNet:末梢链路； TransNet:传输链路；P2P：点到点链路；
Vlink:虚链路
《3》

Type link ID data
Point-to-Point 邻居的Router ID 该网段上本地接口的IP地址
TransNet DR的接口IP地址 该网段上本地接口的IP地址
StubNet 该stub网段的IP网络地址 该stub网段的子网掩码
Virtual 虚连接邻居的Router ID 去往该虚连接邻居的本地接口的IP地址
2. Network-LSA【由DR产生】

《1》重要字段
LS ID :DR 的接口IP地址
Net MASK：网段子网掩码
Attached Router Router-ID:网段中的路由设备
3.Network-Summary-LSA【由ABR产生】

<1>重要字段
LS ID：被设置成目的网段的IP地址
Net mask:被设置成目的网段的子网掩码
Metric: ABR到目的网段开销
<2>三类LSA聚合【需在ABR上实现】
[被聚合区域]abr-summary 聚合网络IP 子网掩码
<4>当往AS内通过ASBR引入另一AS静态路由
缺省路由[huawei]ip route-static 目的网段 MASK 0.0.0.0 【转发地址是ASBR】
[huawei]import-route static
<5>浮动静态路由技术
[huawei]ip route-static 4.4.4.4 32 12.1.1.12 preference x 【修改静态路由优先级】

如上图所示，R1上的loopback 口到R4 上的loopback 口有两个优先级和开销相同路径，即负载均衡，则可通过修改路径优先级，任意选择路径。
4. Asbr-summary-LSA【由ABR产生，在区域间传递】

《1》重要字段
LS ID：ASBR的Router ID
Metric:ABR到ASBR的开销
5. AS-External-LSA【由ASBR产生，在AS内传递】
《1》重要字段
Ls ID:所描述目的网段IP
Net Mask
Metric : ABR到目的网段开销
Forwarding Address: 转发地址
【若Forwarding Address 0.0.0.0 代表下一跳就是ASBR】
《2》五类聚合【在ASBR上实现】
[ospf进程]asbr-summary ip Mask
6. 五种LSA协同工作原理

对于区域内通信：R9由一类LSA的 LS ID,及各LINK ID和Data,可知整个区域的路由信息
对于区域间通信：首先由三类LSA的LS ID【目的网段】 和ADV ID【ABR】字段知要到目的网段,先要找到ABR，由ADV ID可知ABR的Router ID，对照区域内的一类LSA的LS ID，可找到ABR，再根据Metric字段，找到到目的网段最优的ABR，到达另一区域，由三类LSA的ＬＳ　ID结合一类，到达目的网段
对于AS间通信：首先由五类LSA的ADV ID知ASBR 的Router ID，要到目的网段，必须先找到该ASBR，而要找ASBR，必先找ABR，由四类LSA的LS ID对比五类的ADV ID，若相同，可由四类LSA的 Adv ID知ABR的Router ID，再结合一二类LSA找到满足的ABR，再根据四类LSA的Metric 字段，找到最优的路径。

2． 外部路由类型

类型一 ：路由开销=引入开销+设备到达ASBR开销
类型二（默认）：引入开销即等于路由开销

【次优路径】：如上图所示，R1和R2运行ospf, R3不运行OSPf,R1做3.3.3.3的缺省静态，并引入ospf,R1是ASBR，R2从R1学得到3.3.3.3的路由，R2向3.3.3.3通信，会先经ASBR R1，再到3.3.3.3。若将静态的下一跳直接设为R3，则R2可直达R3。
1． OSPF特殊区域【用来减少区域内LSDB的大小，进而减少LSA条目，只能在非骨干区域实现】【特殊区域内的所有邻居都要配】
1. stub【末节区域】
[区域下]stub ：在OSPF区域内配置末节区域
特点：过滤四，五类LSA，会由ABR产生三类缺省路由，向stub区域通告区域外ASBR引入外部路由方向，没有AS外的路由信息，若特殊区域想访问AS外，只需通ABR就行
2. total stub【完全末节区域】【在stub基础上优化】
[区域下]stub no-summary
特点：过滤三，四，五类LSA，会由ABR产生一个三类缺省路由，向stub区域通告区域外路由方向或区域外ASBR引入的外部路由方向
3. stub与 total stub缺陷

如上图所示，左边R1引入直连，R1是ASBR，又因area 1是stub域，所以直连的五类LSA被过滤掉，所以R1和R2没有R1引入的直连路由，所以stub和total stub不能有ASBR，所以需要用nssa。
4. nssa【次末节区域】
[区域下]nssa
特点：过滤四，五类LSA， 产生nssa-LSA,有区域内ASBR产生的七类明细路由，【描述ASBR引入的自治系统外的路由】，和ABR产生的七类缺省路由【描述特殊区域外的ASBR引入的AS外部路由方向】，当特殊区域的七类明细路由传到R2时会转化成五类LSA，同样的特殊区域外的五类路由传到R2时会转化成七类缺省路由
5. total nssa【完全次末节区域】
[区域]nssa no-summary
特点：过滤了三、四、五类LSA，并且由ABR产生三类LSA缺省路由【描述区域外部路由】和七类LSA缺省路由【描述特殊区域外ASBR引入的AS外的路由方向】，特殊区域内的ASBR产生七类明细路由
2． IS-IS与ospf产生的环路

IS-IS（中间系统-中间系统）
[huawei] isis ：进入ISIS进程
[ISIS]network-entity 49.0000.0000.0000.000x.00 配置系统标识
[接口]isis enable
[huawei]display isis peer ：查看isis邻居

如上图所示，在R1上在ISIS域上引入OSPF,在R1上在OSPF域上引入ISIS，在R5上引入直连优先级为150，cost（默认1）改为100，R4从R5学得该路由，然后R1和R2都从R4学得该路由，R3只能从R1上引入该路由，优先级为15，cost：74，然后R2从R1学得路由
优先级150，cost:1,而R1和R4又从R2学得貌似更好的路由，由此产生环路
解决办法：使用路由策略route-policy，使引入到ISIS域内的ospf路由无法通过R2转发回OSPF域，以防止R4与R1学习R2的关于环回口的路由
《1》在R1上创建策略名为huawei,允许条目10，
[R1]route-policy huawei permit node 10
[route-policy-huawei]apply tag 100 【匹配条件，添加标签100】
[isis]cost-style wide【因为ISIS不支持标签，所以在isis域内所有路由器都要设置该命令】
[isis进程]import-route ospf route-policy huawei 【在isis引入ospf路由时采用策略 huawei】
《2》在R2上创建策略名为123,拒绝条目10
[R2]route-policy 123 deny node 10
[route-policy-123]if-match tag 100 【如果匹配标签为100的条件，就拒绝】
[ospf]import-route ospf route-policy 123 【在ospf引入isis路由时，采用策略 123】
《3》route-policy有一个最终默认策略，条目数最大，即若该条目前无匹配条目，就默认全部匹配该默认条目【内容是匹配条件，拒绝转发】
所以此时应该在nodo 10 和默认策略间，创建一个条目，
[R2]route-policy 456 permit node 20
[ospf]import-route isis route-policy 456 【当node 10,无匹配策略时，就会匹配该策略，否则isis域内的路由无法到达ospf域】
《4》虽然route-policy解决了环路问题，但R2到环回口还会从上面走，但实际上传给R4更近，即有次优路径。此时可以修改OSPF从R2学来路由的优先级

[ospf]preference ase 数字
2． 环路

如上图所示，R1与R3间建立虚链路【就等价于该链路在area 0内】，Ｒ３从Ｒ４学得环回路由，R1又经虚链路从R3学得环回路由，R5又从R1学得环回路由【此时R2不能从R1学得路由是因为，R2与换回口都处于非骨干区域，R2会优先选择骨干区域路由】，R2又从R5学得环回路由，然后，R1又从R2学得环回路由，由此产生环路。
1． Route-policy :路由策略【影响路由】每个条目匹配2个语句

Traffic-filter:流策略
If-match 如果匹配 apply 动作是 XXXX 【如果不写if-match代表匹配所有】
Route-Policy huawei permit node 10【路由策略名为huawei,允许条目10】
[ospf]preferrence ase 数字 【修改路由优先级】
BGP（边界网关协议）

1． BGP特点
1.距离矢量协议，适用于大中型网络，报文基于TCP封装，端口号179，优先级255
2．IGP与EGP【动态路由协议按工作范围】
IGP工作在同一AS内，主要用来发现和计算路由；而EGP工作在AS与AS之间，在AS间提供无环路的路由信息交换，BGP则是EGP的一种
3． 自治系统是由同一个技术管理机构管理，使用统一选路策略的一些路由器的集合；自治系统编号范围是从1到65535，其中1到64571是注册的因特网编号，64512到65535是私有网络编号

4． BGP报文类型【五种】
Open : 负责和对等体建立邻居关系【前提是TCP可达，即能PING 通】
KeepAlive: 在对等体之间周期性的发送，用以维护连接
Update:被用来在BGP对等体之间传递路由信息【路由更新与撤销】
Notification； 当BGP Speaker检测到错误的时候，就发送该消息给对等体
Route-refresh:用来通知对等体自己支持路由刷新能力
5． 建立邻居

1.配置命令【两个邻居都要配】
[huawei] bgp x : 进入BGP AS X
[bgp进程]peer 12.1.1.2 as-number 200 : 建立邻居，跟对端IP加对端AS 号
[bgp进程]network 1.1.1.1 32：在BGP进程宣告网络
[huawei]display bgp peer :查看bgp邻居
[huawei]display bgp routing-table :查看BGP路由表
IBGP邻居（AS之内的ＢＧＰ邻居）
Network:
IGP:建立邻居/学习路由
BGP：学习路由

2. BGP的水平分割：当路由器从IBGP邻居学来的路由不会传递给IGBP邻居
可以防下面的环路：当R78链路Down掉，R7会触发更新，但还未到R9，R9从R8学的R78网段路由，若触发更新还未到R9，R9向R7发送R78网段路由，而R7又学得R78网段
路由，之后触发更新到达R9，R9没有R78网段路由，但它又能从R7学得，由此产生环路。BGP的水平分割，使R7发给R8的路由后，R8不会发给R9。

3. 从哪个接口建邻居，数据就应该从该接口始发出去【如两loopback 口间建邻居】
[bgp]peer 7.7.7.7 connect-interface loopback 0 【修改始发出源口】
4. EBGP邻居之间TTL值默认为1
[bgp进程]Peer 8.8.8.8 ebgp-max-hop 255 【修改最大跳数为 255】
EBGP邻居（AS之间的BGP邻居）
5. 为什么用环回口建邻居更好

如上图所示，若用直连作邻居，比如上面链路，若上面链路down掉，则邻居就建立不起来，若用环回口，则两链路任一链路down掉，都能通过另一链路维持
6. BGP通告原则
《1》.BGP里最优路由会添加到IP路由表里，并把该路由转发给邻居，邻居学的
前提是该路由下一跳可达，
peer 34.1.1.4 next-hop-local 修改下一跳为本地
1.什么时候传递路由，下一跳不改变？
当路由器从EBGP邻居学习路由传递给IBGP时下一条不改变
2.为什么要有下一跳不改变
BGP认为AS是一个整体
3.Next-hop-local 什么时候使用该命令？

AS的边界路由器peer IBGP邻居时使用
《2》从IBGP获得的路由是否通告给它的EBGP对等体要依IGP和BGP同步的

情况而定【IGP和BGP都有目的网段路由】【避免路由黑洞的产生】
【华为设备默认不开启】
1.1.1.1路由经R2转发到R4，R4就会根据EBG和IBG路由表是否都有1.1.1.1条目，若都有则满足同步条件，R4就会将1.1.1.1路由转发给R5
《3》EBGP边界路由器从IBGP邻居学的路由转发下一跳可变，而从ＥＢＧＰ邻居学的路由转发给IBGP邻居下一跳不变
7.实验

如上图所示，要使两个环回口建立邻居，首先两环回口必须得通，首先R1与R2建立邻居，R2和R4建立邻居，R4和R5建立邻居，然后将环回口宣告在各自的BGP 协议内，实现环回口的路由通过不同邻居间传递，从而达到ping 通的目的：
此时，有以下几个问题：
《1》R3没有环回口的路由，即R2有R1而没有R5环回口路由，R4有R5而没有R1环回口路由，由此产生R3路由黑洞
《2》解决了路由黑洞，R4仍然无法学习到R1环回口路由，因为R1传给R2路由时，会把R2所在AS看成一个整体，进入R2时下一跳为R2的左端口，而再传给R4时下一跳不变，而该下一跳对于R4来说不可达，R2学R5环回口路由也是如此。所以要改下一跳为本地端口
7. 解决路由黑洞的方法
路由黑洞：
中转AS没有其他AS的路由信息
《1》全互联的IBGP邻居

工作原理：建立R2与R3还有R3与R4的邻居，使R3能从两边界路由器都能学到AS外路由，从而解决路由黑洞，此时同样要改下一跳可达
缺陷：边界路由器必须与IBGP内所有路由器建立邻居，边界路由器越多越多邻居关系
《2》反射器
作用：减少IBGP邻居关系数量；解决路由黑洞
角色：反射器，客户机，非客户机：RR，Client,non-client
通告原则：【反射器违背了水平分割】
***反射器从客户机学习的路由会传递给所有的客户机和非客户机
***反射器从非客户机学习的路由会传递给所有的客户机
配置反射器：
[R3-bgp]peer 23.1.1.2 reflect-client；
设置R3为反射器，指定邻居23.1.1.2所在路由器为客户机，非指定邻居为非客户机
特性：*****反射器学到的路由反射给其客户机或非客户机，不改变原路由的属性，而是原封不动的反射【IBGP路由器学习IBGP路由，下一跳不改变】
《3》联盟【把一个AS划分成多个子AS】【正常情况下，一个AS内最多只能有2个路由器】

【先配置子AS，再进行邻居建立】
[AS子进程]confederation id 200 :指定所属AS 【被划分AS内所有设备上都要配置】
[R3-子bgp]confederation peer-as 64513:在联盟内部的边界指定邻居的AS号【需在配置邻居前配置，否则提示错误】
《4》MPLS
8. BGP报文头部

9. OPEN报文头部

Version(1B) ：版本
My Autonomous System(2B)： AS 号
Hode time(2B) ：抑制时间（默认180秒）【当抑制时间内没收到对方keepAlive报文，则认为对方宕掉】
BGP identifier(48B)：BGP的Router ID

OPT parm len(1B):选项字段长度
Optional parameters(variable) ：选项字段
10. KeepAlive报文头部
周期发送【60秒】
11.update 报文

Withdrawn Routes length(2B):不可达路由长度
Withdrawn Routes(可变长度): 不可达路由[撤消路由]
Path Attribute length(2B) :路由属性长度
Path Attribute (可变长度)： 属性
Net layer Reachability information(可变长度)：【NLRI】网络可达信息
12.BGP状态机

【Idle】:空闲状态， BGP在等待一个启动事件，启动事件出现后，发送一条TCP连接，同时转入Connect状态

【connect】:在此状态，BGP发送第一个TCP连接，若超时，就重新发起TCP连接，继续保持connect状态，若成功连接，就进入open-sent状态，如果失败就进入Active状态
【Active】:在此状态，BGP总是试图建立连接，若超时就退回connect状态，若连接成功就进入Open-sent状态，若连接失败，就继续保持在Active状态，并继续发起TCP连接
【Open-sent】在此状态TCP连接已经建立，BGP也已经发送了第一个Open报文，BGP就在等待其对等体发送Open报文。并对收到的Open报文进行正确性检查，如果有错误，系统就会发送一条出错通知消息并退回到Idle状态，如果没有错误，BGP就开始发送Keepalive报文，并复位Keepalive计时器，开始计时。同时转入OpenConfirm状态。
【Open-confirm】:在OpenConfirm状态，BGP等待一个Keepalive报文，同时复位保持计时器，如果收到了一个Keepalive报文，就转入Established阶段，BGP邻居关系就建立起来了。
【Established】邻居已建立，发送Update报文，进行路由交换与学习。
8.9 笔记总结
BGP的路径选择
1． 四大类
------公认必遵（Well-kown mandatory）
所有BGP路由器都可识别，且必须存在于Update消息中
------公认任意（Well-kown discretionary）
所有BGP路由器都可识别，但不要求必须存在于Update消息中，可根据具体情况来决定是否添加到Update消息中
------可选过渡（Optional transitive）
BGP路由器可以选择是否在Update消息中携带这种属性。接收到的路由器如果不识别这种属性，可以转发给邻居路由器，邻居路由器可能识别
------可选非过渡（Optional non-transitive）
BGP路由器可以选择是否在Update消息中携带这种属性，当接收到的路由器如果不识别这种属性，就会将该属性丢弃，再转发出去。
二 .基本十个属性【所有属性都可对本地生效】

公认必遵：
Origin（起源） As-Path(AS 路径) Next-Hop(下一跳)
公认任意：
Local-Preference(本地优先) Atomic-Aggregate(原子聚合)
可选过渡：
Aggregator(聚合者) Community(团体)
可选非过渡：
Multi-Exit-Disc【MED】（多出口鉴别器） Originator ID(起源者 ID)
Cluster List（簇列表）
1 .Origin:【作用：描述路由是通过何种方式学习的】
《1》 三种路由来源方式：
IGP :通过network命令宣告在BGP的路由
EGP：通过EGP学到的路由
Incomplete：通过import命令引入BGP的路由
优越性：IGP>EGP>Incomplete
2. AS-Path【作用：防止AS间环路和路径选择】

《1》如图所示，AS2可从AS1学得环回口路由，AS4从AS2学得环回路由，R3又可从R4学得路由，而AS1又能从AS4学得环回口路由，由此可能产生环路

《2》换回口经过哪些AS，就记录下AS号，最后得到AS号列表，当收到的路由AS-path有自己的ＡＳ号就说明该路由是由自己发出去的，丢弃不学习。由此解决环路问题
《3》当收到两条到同一目的AS的路由时，可以通过比较AS-path列表中AS号的个数，越少越优先。
3. Next Hop【告知路由的下一跳】
4. Community【作用：给路由作分类及标记】【默认不传递】

路由策略+apply community 100:1
Display bgp routing-table community 【查看带有团体属性路由】
Peer 12.1.1.32advertise-community 【通告团体属性】【R2不识别R1所发路由上的属性，所以不转发该属性】
路由策略+【系统视图】ip community-filter 1 permit 100:1 【专门定义团体属性的定义工具】
【因为Route-policy内的if-match,只能接定义工具，而团体并不是定义工具】

5. Local-preference【默认值100，并且越大越优先，在IBGP邻居间传递】【作用：路由选择】

《1》 通过在R1上修改入栈路由本地优先级，即从R2来的路由添加本地优先属性，使数据传送路径为上边
《2》影响的是入栈路由，出栈流量【由于是修改入栈路由的本地优先级，导致数据发送路径的变化】
6. MED【默认值为0，并且越小越优先，在EBGP邻居间传递；IBGP邻居之间也会比较MED】
《1》影响的是出栈的路由，入栈的流量
《2》通过在R1上修改出栈路由的MED，即把发出不同链路的路由添加MED属性，从而使接收流量的路径得以区分
3． BGP路径选择过程
1，如果此路由的下一跳不可达，忽略此路由
2，Preferred-Value值数值高的优先
3，Local-Preference值最高的路由优先
4，聚合路由优先于非聚合路由
5，本地手动聚合路由的优先级高于本地自动聚合的路由
6，本地通过network命令引入的路由的优先级高于本地通过
import-route命令引入的路由
7，AS路径的长度最短的路径优先
8，比较Origin属性，IGP优于EGP，EGP优于Incomplete
9，选择MED较小的路由
10，EBGP路由优于IBGP路由
11，BGP优先选择到BGP下一跳的IGP度量最低的路径

当以上全部相同，则为等价路由，可以负载分担
注：AS_PATH必须一致
当负载分担时，以下3条原则无效
12，比较Cluster-List长度，短者优先,
13，比较Originator_ID(如果没有Originator_ID，则用Router ID比较)，选择数值较小的路径
14，比较对等体的IP地址，选择IP地址数值最小的路径
【<用户视图>refresh bgp all import/export 使收入/发出报文更新】
4． 主要属性的影响力
首选值 本地优先 AS-Path 起源 MED

5. MED【在EBGP间传递】

在R1上做：[huawei]route-policy huawei permit node 10
[route-policy]apply cost 50
[bgp 100]peer 12.1.1.2 route-policy huawei import
在R2和R4上[huawei]route-policy huawei permit node 10
[route-policy]apply cost 50
[bgp 100]peer 23.1.1.3 route-policy huawei import
4.Origin
路由策略+apply origin incomplete
3. AS-Path
路由策略+apply as-Path 200 200 200 additive【使用重复的AS 号是为了避免其他AS受影响而学不到该路由】
2. 本地优先
路由策略+apply local-preference X 修改本地优先
1. 首选值
路由策略+apply preferred-value x
5． BGP环路有哪些
1.AS间环路（AS-Path）
2.AS 内环路
~~IBGP邻居之间环路（水平分割）
~~ 聚合环路（AS-SET）
~~反射簇内环路（起源者环路）

当R2和R3互为反射器及客户机时，R2和R3都会从R1学的环回口路由，
因R2与R3又互为客户机，所以R2学得路由又会发给它的客户机R3，而R3又作为反射器，又发给R1，当环回口down掉时，让R1以为环回口从R3走可到达，由此可能产生环路
起源者ID添加产生路由的路由器Router ID,且由反射器进行添加
~~~反射簇间环路（簇列表）

6． BGP的路由聚合
1.自动聚合：只能聚合引入的路由，对引入路由进行自然掩码聚合，即主类
[BGP ]summary automatic 【配置自动聚合路由】
2.手动聚合：将BGP学的路由进行聚合，并且手动聚合优先先级高于自动聚合优先级
[bgp]aggregate 10.192.0.0 10 【配置手动聚合路由】
[bgp]aggregate 10.192.0.0 10 detail-suppressed 【抑制明细路由，只留聚合路由】

在R3上聚合，聚合路由对R3不影响，仍会学到明细路由，也有聚合路由，R4也一样，要想R4上无明细，则需抑制明细路由，在R3上做只能抑制R4明细路由
[bgp]aggregate 10.192.0.0 10 detail-suppressed as-set 【添加聚合前的AS号（添加的AS号并列关系）】
R4上聚合路由的ＡＳ列表只有300，因为不知AS100与AS200谁优先，由此产生潜在环路；在R3上做添加AS号命令，在R4上的聚合路由【300 {100 200}】，在R3上聚合路由【{100 200}】
加路由策略
[bgp]aggregate 10.192.0.0 10 detail-suppressed as set
Attribute-policy ogn
7． 重要回顾
1.AS-Path
四种类型：
AS-SET 【AS间无序，用在BGP聚合】
AS-SEQUENCE 【AS间有序】
AS-CONFED-SEQUENCE 【防止联盟之间的环路】

AS-CONFED-SET 【防止联盟内聚合环路】
2.FTP（双通道协议）端口号：20,21
控制通道：用于建立连接或认证 ：21
数据通道：用于传输数据 ： 20
1． 访问控制列表的匹配顺序
1.两种匹配顺序
-----配置顺序：是指按照用户配置ACL规则的先后进行匹配
-----自动排序：使用“深度优先”的原则，【是把指定范围最小的语句排在最前面】
[huawei]acl 2000 match-order auto 配置ACl深度优先
2.缺陷：ACL由于使用通配符来匹配，只能对IP地址进行匹配，不能区分掩码；当IP地址相同，而掩码不同时，ACL是无法区分的
二，前缀列表
1.作用：用来过滤IP前缀，能同时匹配前缀号和前缀长度，性能比ACL高
缺陷：只能IP地址，无端口号，MAC地址匹配等
[huawei]ip ip-prefix 名字 index 10 permit 10.0.0.0 16(前缀长度) greater-equal 24 less-equal 28（掩码范围）
2.方法
定义工具定义网络及掩码【ip-preficx】
调用工具允许刚才定义的网络通过 【route-policy】
import时使用调用工具
Route-policy 名字 permit node 10
If-match ip-prefix 名字
三。基于策略的路由选择【作用：可以不按照路由表进行报文的转发】
Acl 2000
Rule 5 permit source 1.1.1.1 0.0.0.0
Policy-based-route PBR permit node 10 【策略路由】
If-match acl 2000
Apply output-interface s0/0/0【设置流量发出端口】
[系统视图]IP local policy-based-route PBR 【调用策略路由】

IP组播基础
一组播IP模型分类
ASM（Any-Source Multicast） :任意源组播
SFM（Source-Filtered Multicast） :过滤源组播
SSM（Source-Specific Multicast） :指定源组播
2． 组播IP地址分类
永久组地址：为协议预留的地址
224.0.0.0~224.0.0.255 【为路由协议预留的永久组地址】
临时组地址：为用户组播组临时分配的IP地址
（ASM）224.0.1.0 ~231.255.255.255 【用户可用的ASM，临时组地址
233.0.0.0~238.255.255.255 全网范围内有效】
（SSM）232.0.0.0~232.255.255.255 【用户可用的sSM临时组地址，全网有效】
239.0.0.0~239.255.255.255 【用户可用的ASM临时组地址仅在特定的本地管理域内有效，称为本地管理组播地址】
3． 组播MAC地址

1.组播MAC第一字节的最后一位为1，单播MAC第一字节的最后一位为0，就以太网而言，IP组播帧都使用以0x0100.5Exx.xxxx的24位前缀开始的MAC层地址。
2.前24前缀固定为0x01-00-5E,第25位固定为0，后23位匹配IP地址的后23位
3问题：除去组播IP的后映射23位和固定高四位，一个MAC地址可对应2^5=32个IP地址，从而导致当三层地址映射成二层地址不明确。
4． 组播分发树【用来描述IP组播报文在网络中经过的路线】
源路径树（SPT）：以组播源作为树根，将组播源到每一个接收者的最短路径结合起来构成的转发树【路径最优，延迟最小。占用内存较多】
共享树（RPT）：使用放在网络的某些节点的单独的公用根。这个根常被称为汇合点（RP）或核心，【路径不是最优，引入额外的延迟，占用内存较小】
5． 组播数据转发
1.组播路由和单播路由是相反的，只关心数据报文从哪里来
2.组播路由使用“反向路径转发”机制（RPF,reverse Path Forwarding）【选择到达组播源最优路径】路由器收到组播数据报文后，只有确认这个数据报文是从自身连接到组播源的接口上收到的，才进行转发，否则丢弃。
3.RPF检查：在单播路由表中查找到组播报文源地址的路由
如果该路由的出接口就是组播报文的入接口，RPF检查成功
否则RPF检查失败，报文丢弃。
4.越靠近组播源的一端为上游，反之为下游
六 IGMP（Internet group management protocol）网络组管理协议

1.用在用户和与用户主机直连的组播路由器之间，作用是用来在IP主机和与其直连相邻的组播路由器之间建立，维护组播组成员关系
2.IGMPV1 报文格式

版本：包含IGMP版本标识，此处设置为1
类型：成员关系查询（0X11）：【组播地址0.0.0.0】发给任意运行IGMP组，路由器周期性的发送成员关系查询报文去查询是否有组播成员。默认查询周期为60秒。
成员关系报告（0X12）：【某个特定的组播地址】成员关系报告用于表示主机想加入某个组播组。
组地址：在成员关系报告报文中，组地址为某个特定的组播地址。

在成员关系查询报文中，组地址为0。
3.IGMP查询器60s周期性的向共享网段内所有主机以组播方式【224.0.0.1】发送成员关系查询报文【组地址为0】，若连续发送了三次没有任何响应，查询器会认为组播组内无用户；若有PC想加入某组，则会发送成员关系报告，组地址字段携带自己要加入的组播组
4.最大响应时间与响应抑制机制
GMP成员关系查询报文是目的地址是224.0.0.1，就是说网段内所有的设备都会接收到该查询报文。但并不是所有接收到该报文的主机都会响应查询请求的。本例中只有一个主机会以成员关系报告报文响应，而其他主机则抑制成员关系报告的发送。
实际上主机收到IGMP成员关系查询时，会对它已经加入的每个组播组启动一个倒计数报告计时器。IGMPv1中计时器值固定使用10秒。计时器到时的主机则主动发送成员关系报告，组地址为该组播组地址，目的地址为224.0.0.1。于是网段内其它主机都会收到该成员关系报告报文，接收到成员关系报告报文的主机抑制成员关系报告的发送，并删除计时器。
当路由器周期性的发送成员关系查询报文时，每个主机都会再次启动计时器进行查询/响应/抑制。
5.组成员离开
成员悄悄离开组播组，不发送任何报文。路由器依旧周期性的发送成员关系查询报文，周期为60秒，当路由器发送3次成员关系查询报文都没有收到响应的成员关系报告报文时，路由器认为组内已经没有成员，不再向该网段转发组播报文。
七IGMPV2报文格式

1.V2成员加入： 主机立即发送成员关系报告报文，为了防止丢失，推荐在短的间隔时间内报告一次或两次（10s）
2.IGMPV1通过PIM选举查询器，而IGMPV2能自己选举查询器
首先，路由器会主动发送到目的（224.0.0.1）的IGMPV2的常规查询信息，收到常规查询信息的路由器比较信息的源IP地址和接收口的IP地址，低IP地址的路由器成为查询器
3.IGMPV2成员离开
离开组PC向224.0.0.2发送离开组消息【只能组播路由器收到】，路由器收到后向这个组(224.1.1.1) 发送特定组查询，在查询的最大响应时间内（默认为1S）没有收到该组的报告，再次发送特定组查询；若2次仍没收到成员报告，则认为没有组播成员。
4.IGMPV1与IGMPV2互操作性
若是V2查询器，V1主机，则查询器会发送V2查询报文，但V1主机不识别V2报告，因此忽略，但主机所在组一直存在
若是V1查询器，V2主机，则查询器会发送V1查询报文，主机收到该报文后，会抑制自己的V2属性，发送V1成员关系报告报文，并设置计时器，若过了400秒还未收到IGMPV1查询报文，就自动回归IGMPV2属性，否则时间复位，还是处于V1版本
注意：响应抑制只能抑制使用与自己相同版本的主机
在组播网络中，若出现交换机，因为交换机无组播地址MAC，会进行泛洪，所有分组都会收到报文
8． IGMP Snooping 概述
1.交换机会根据组播PC发的组成员关系报告而建立组播MAC地址表
2.IGMP Snooping 解决组播报文在二层广播的问题
3.IGMP Snooping运行在链路层，是二层以太网交换机上的组播约束机制，用于管理和控制组播组
4.IGMP Snooping 通过监听主机发出的IGMP报文，建立组播MAC地址表
九.IPsec VPN

配置命令
1.IPSEC 提议 [huawei]ipsec proposal 1
2.IPSEC 对等体 [huawei]ike peer 1 v2
[huawei-ike-peer-1]remote-address 12.1.1.2
[huawei-ike-peer-1]pre-shared-key cipher huawei 【设置公钥】
3. 安全ACL [huawei]acl 3000
[acl]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[huawei]ipsec policy 1 10000[编号] isakmp 【将上述指令用策略组在一起】
[策略]proposal 1 【调用提议】
[策略]ike-peer 1 【调用对等体】
[策略]security acl 3000 【调用安全ACL】
【在连接公网的接口】IPSEC policy 1
在另一个路由器上重复上述命令
【huawei】display ipsec sa 【查看IPSEC安全联盟】
PIM【协议号：103】
1． PIM DM【Protocal Independent Multicast Dense Mode】【用在成员较密集时候】
1.PIMV2报文格式

2.Hello的作用是建立与维护邻居关系，选DR，周期发送（30S）死亡时间（105S）；选DR是为了避免网络中数据流量的重复转发，导致网络资源浪费
3.源端DR与组成员端DR
4. 扩散
当路由器收到源组播的组播流量时后，会进行RPF检查，若检查通过，就创建（S，G）表项，然后将组播流量向下游转发；如果检验失败则将报文丢弃，PIM-DB组播域内每个路由器都会创建（S，G）表项
5剪枝
《1》因为无论下游是否有组播成员，组播报文都会扩散出去，因此会导致带宽资源的浪费
《2》下游节点没有组播成员，则向上游节点发剪枝消息，当上游收到该节点的剪枝消息就不再转发数据到该分支，将相应的接口从（S，G）表项输出发送列表中删除。剪枝过程直到PIM-PM中仅剩下了必要的分支。PIM-DM的扩散--剪枝机制周期性进行，每210S一次【为了可靠性，防止中间因报文丢失而出错】
《3》被剪枝路由器仍然会保留（S，G）表项
6. ＳＴＰ树的形成
当下游节点收到组播流量时会进行RPF检查，若检查通过就创建（S,G）表项，然后将组播流量向下游转发【此为扩散】，下游无组播接收者的节点会向上游发送剪枝消息，当上游收到该节点的剪枝消息就不再转发组播流量到该分支，将相应的接口从（S,G）表项输出列表中删除，剪枝过程直到PIM-DM域内仅剩下必要分支，由此形成生成树；另外，RPF检查失败也会向上游发送剪枝信息
7. 嫁接机制
《1》若经过剪枝的路由器所在终端网络有新的组播成员加入，则会向上游发送Graft嫁接消息，请求接收组播流量，从而恢复先前被剪掉的分支的信息传输【因为PIM-DM扩散与剪枝周期长，嫁接机制能快速构成新的STP】
8. Assert

《1》如图所示，当多个上游路由器向Ethernet转发组播报文，这时下游节点就会收到三份完全相同的组播报文，从而浪费网络带宽；为了避免这种情况，就通过Assert机制来选定唯一的转发者

《2》选举机制：如果两条或两条以上路径的优先级和到组播源的开销相同，则连接上游端IP地址最大的路由器成为该（S，G）项的上游邻居；而其他落选路由器则剪掉对应接口以禁止转发流量
9. PIM-DM配置
[huawei]multicast routing-enable 【在路由器上开启组播】
[查询器接口]igmp enable 【在连接成员的路由器接口开启IGMP】
[路由器接口]pim dm 【在路由器之间的接口开启PIM-dm】
[huawei]display pim routing-table 【查看PIM路由表】
[huawei]display pim neighbor 【查看PIM邻居】
2． PIM-SM-协议无关组播-稀疏模式
1.RP（Rendezvous Point）发现
《1》静态RP：手动配置RP，静态指定RP
[huawei] multicast routing-enable
[huawei] pim 【进入pim视图】
[pim] static-RP 2.2.2.2 【在每个路由设备上指定静态RP】
《2》动态RP
CRP（Candidate Rendezvous Point）:由手动配置指定，各个CRP选举产生RP；
BSR（Bootstrap Router）:负责收集网络内的RP信息，为每个组播组选举出RP，
C-BSR（Candidate Bootstrap Router）:手动配置指定，选举产生BSR
《3》BSR选举
***如果域中只有一个C-BSR，该台路由器就是该域中BSR
***如果域中有多个C-BSR，最高优先级的路由器是该域中BSR
***相同优先级，则拥有最高IP地址的路由器为该域中BSR
细节：【每个C-BSR会发送携带自己信息的BootStrap Message一跳一跳发送（TTL=1），每个C-BSR都会接收到其他C-BSR的BootStrap Message，通过比较信息来决定自己是继续发送BootStrap Message,还是只接收不发送，按照此方式，直至只有一个C-BSR发送BootStrap Message,BSR选举完成】
《4》RP选举
***若域内只有一个C-RP，那么该节点就是RP
***若域内有多个C-RP，优先值（优先值越低，优先级越高）越低的位RP
***若相同优先级，HASH值最高的节点为RP
***上述相同，拥有最高IP地址的位RP
细节：C-RP会周期性地将声明发送到BSR，每60秒周期性的单播发送通告，然后BSR再收集到所有C-RP的信息，从而为每个组播组选举出RP，通过发送BOOtstrap message周期性的向所有PIM路由器（224.0.0.13）发送BSR消息（每60秒），包括RP-set和ＢＳＲ地址，消息一跳一跳地自BSR向整个网络泛洪。
《5》RPT共享树加入

首先接收者会发送IGMP报文，请求接收组播流量，IGMP报文会逐跳地发送到RP，沿途路由器都会生成（*，G）表项，这些沿途经过的路由器就形成了RP共享树的一个分支，RPT共享树以RP为根，以接收者为叶子
《6》组播源注册过程
组播源向远端DR发送组播流量，DR再向RP单播发送注册报文，并将组播报文封装在内，RP收到注册报文后，会先把组播流量发给接收者，然后向组播源方向逐跳发送（S,G）加入消息，从而让RP和组播源之间的所有路由器上生成（S,G）表项，这些沿途经过的路由器就形成了ＳＴＰ树的一个分支。SPT以组播源为根，以RP为目的地。
要点：开始时段，将组播流量封装在注册报文内，是为了让接收者能快速接收组播流量。

《7》停止注册过程
当组播流量能沿着源路径树平稳发送流量到RP时，RP开始发送注册停止消息，停止注册过程（因为注册报文会一直发送）
《8》RPT向SPT切换
当接收者端DR收到组播流量后可能要从RPT切换到SPT【因为从RP到接收者的路径不一定是最优的，即次优路径】，从接收者向源组播源方向的路由器依次进行RPF检查，若检查失败，则向到组播源最近的下一跳路由器发送（S,G）加入消息，然后依次逐次创建成新的SPT树；而RP剪枝减掉了共享树上的数据流。
VLAN

1． QinQ技术原理与配置

2． MUX-VLAN基本原理【提供了一种在VLAN的端口间进行二层流量隔离的机制】
1.主VLAN
从VLAN：互通型VLAN
隔离型VLAN
通告原则：所有类型的从VLAN都可以访问主VLAN
隔离型从VLAN内部用户间无法通信
互通型从VLAN内部用户间可以通信
从VLAN间无法通信
2.配置

[L1-VLAN30]mux-vlan 【宣告主VLAN】

[L1-VLAN30]subordinate group 10 【设置互通型从VLAN】
[L1-VLAN30]subordinate separate 20 【设置隔离型从VLAN】
[所有接口]port mux-vlan enable 【在接口下开启mux-vlan,默认关闭】
3． 端口隔离

4． ARP Proxy方式【ARP代理】
1.路由式ARP proxy : 解决同一网段不同物理网络上计算机的互通问题

2.VLAN内ARP proxy : 解决相同VLAN内，且VLAN配置用户隔离后的网络上计算机互通问题
3.VLAN间ARP Proxy : 解决不同VLAN之间对应计算机的三层互通问题
STP

一．

二．配置BPDU重要参数

8.17笔记总结
RSTP原理与配置
1． 特点
1. 与STP相比，最显著特点就是通过新的机制，加快了收敛速度
2.收敛即为从阻塞状态到所有状态完成的过程
3.交换机端口角色

注意：备份端口是作为指定端口的备份使用的；预备端口是作为根端口的备份使用的

如上图所示，A为根桥，则A为该网段的指定交换机，当该网段宕掉时，1口为备份端口，2为预备端口
4.

5. 端口状态迁移原则
会检查网络中是否存在环路风险，若存在环路风险，需要等待其他交换机完成计算，若确认无环路风险或者已等待足够长时间，可以进行状态迁移。
《1》无环路风险情形

如图所示，当SWC根端口宕掉后，交换机C需要选择一个新的根端口，则C的预备口改为新根端口，由于旧的根端口所在链路属于阻塞状态，因此网络中没有环路风险，新的根端口可立即进入转发状态
《2》有环路风险情形

如图所示，当将2 端口优先级改的比1 端口小，2端口就要转为指定端口，1端口转为预备端口，存在在某一时刻，端口1还存在Forwarding 状态，而2端口已转为Forwarding状态，则该阻塞链路就通了，由此会产生环路。
6. 边缘端口
把连接用户的端口设置为边缘端口，边缘端口属于指定端口，一旦启用就成为指定端口，并进入转发状态，并且不参与端口迁移选择
[连接用户接口下]stp edge-port enable 【配置边缘端口】
7. “proposal-Agreement”【P/A机制】
《1》作用：通过加快选举指定端口来加快生成树收敛，即加快从Discarding状态进入Forwarding状态的速度
《2》工作原理

如图所示，交换机A优于交换机C，首先，A向C发送（RST）BPDU，同时，C也向A发送BPDU，A收到C的BPDU后比较信息，发现自己优于C，所以继续发送BPDU，而C收到A的BPDU后比较信息，发现A优于自己，则会向A发送（RS）BPDU，并携带A是根桥的信息，对A进行确认。
8. RSTP是怎么实现收敛更快的？【三个】
《1》分预备端口与备份端口
《2》端口状态减少
《3》PA机制
MSTP【多生成树协议】原理与配置
1. 单生成树弊端
《1》部分VLAN路径不通

如上图所示，左链路允许vlan 2通过，右链路允许vlan 2和vlan 3通过；若使用单个STP，则会将允许通vlan 2和vlan 3的口阻塞，这样vlan 3的路径就不通
《2》无法使用流量分担
当左右两链路都可通vlan 2 和vlan 3，因单个STP会阻塞一条链路，两个vlan 都要走同一链路，而另一链路被闲置
《3》次优二层路径
按《2》情况，vlan 2和vlan 3都走左链路，但vlan 3明显走右链路更近，由此有次优路径
2. MSTP生成树示例

如上图所示，生成两条STP【instance 1 和 instance 2】，对于vlan 2 5700-A为根桥，对于vlan 3 5700-B为根桥。对于instance 1通 vlan 2 并且阻塞右链路，对于 instance 2 通vlan 3 并且阻塞左链路。由此解决了单个STP的弊端。
3. MSTP的配置
配置三要素：域名；vlan 与实例的映射关系；修订登记
[LSW3]stp mode mstp 【修改生成树模式】
[LSW3]stp region-configuration 【进入mstp配置域】
[LSW3-mst-region] region-name huawei 【配置mstp域名】
[LSW3-mst-region] instance 1 vlan 10 【配置映射关系】
[LSW3-mst-region] revision-level 1 【配置修订等级】
[LSW3-mst-region] active region-configuration 【激活以上配置，改一次配置就激活一次】
【以上命令每个交换机都要配】
[Lsw1]stp instance 1 root primary 【宣告SW1是instance 1 的主根】
[LSW1]stp instance 2 root secondary 【宣告SW1是instance 2 的次根】
【在LSW2上也的宣告LSW2是instance 1的次根，是instance 2的主根】
【下图所示】

4. 虚拟网冗余协议【VRRP】
[LSW1] inter vlanif 10
[vlanif-10] ip address 192.168.1.1 24 【在虚拟接口下配置物理网关】
[vlanif-10]vrrp vrid 1 virtual-ip 192.168.1.100 【在虚拟接口下配置虚拟网关】
[vlanif-20] ip address 192.168.2.1 24
[vlanif-20]vrrp vrid 2 virtual-ip 192.168.2.100
[vlanif-10] vrrp vrid 1 priority 120 【将vlan 10的虚拟网关优先级改为120，使之为主 网关，优先级默认100】
[LSW1] dis vrrp brief 【查看vrrp的概要信息】
【在LSW2上配置以上命令，但是每个vlan对应的物理网关要与LSW1不同，虚拟网关一定要相同，其次修改vlan 20路径优先级，使之为主网关。而各PC上配置虚拟网关即可】
8.18笔记总结
USG 防火墙
一．防火墙安全区域
信任区（trust）：较高级别的安全区域，优先级 85
非安全区（untrust）：低级的安全区域，优先级 5
非军事化区（DMZ）：中度级别的安全区域，优先级 50
本地区域（local）：最高级别安全区域 ， 优先级 100
用户自定义区域 ： 自定义
虚拟区（Vzone）：虚拟防火墙所支持区域 ，优先级 0
2. 要点
*** 一般将企业网设置为trust, 将外网设置为untrust, DMZ放服务器
*** 防火墙基于接口划分区域
*** 同一种安全区域之间不需作安全策略就能互相通信
*** 防火墙的接口不在安全区域中是无法进行数据发送的
*** 防火墙默认把G0/0/0接口加入安全区域内
3. 配置
[FW] firewall zone trust 【进入trust域】
[FW-zone-trust] add interface 接口 【将接口加入trust域】
[FW]firewall packet-filter default permit interzone local trust direction inbound/outbound
【在防火墙上配置local与trust域由低级向高级//由高级向低级传数据】【安全策略】
[FW]display firewall session table 查看防火墙的会话表
[FW] display firewall session aging-time 【查看防火墙会话时间】
[FW]firewall session aging-time service-set icmp 2000【修改ICMP会话时间为2000秒】
[FW]display firewall session table verbose 【查看会话表详细信息】
【会话表五元组： 协议；源IP；源端口；目的IP；目的端口】
【超过会话时间不可达】
4.

[FW] policy interzone trust untrust outbound 【进入防火墙策略组，等同于安全策略】
[策略组]policy 1 【创建策略组条目1】
[策略组条目1]policy source 192.168.1.0 mask 24 【定义源IP】
[策略组1 ]action permit 【动作是允许】
NAT【地址转换】
[FW]nat address-group 1 12.1.1.100 12.1.1. 200 【创建地址组1及其范围】
[FW]nat-policy interzone trust untrust outbound 【创建trust到untrust的NAT策略组】
[NAT策略组] policy 1 【创建策略组条目 1】
[策略组条目1]policy source 192.168.1.0 mask 24 【定义源IP】
[策略组条目1]action source-nat 【开启动作】
[策略条目1] address-group 1 【调用地址组1】
2． 黑名单
1.特点
根据报文的源IP地址进行过滤
简单高效
可动态添加删除
2.静态黑名单配置
[USG]firewall blacklist item 202.169.168.2 timeout 100
拉黑源是202.169.168.2 的数据流量，时间为100 分钟
[USG] firewall blacklist enable 【开启黑名单】
2.动态黑名单配置【防止IP地址扫描攻击】
[USG]firewall defend ip-sweep enable 【开启IP扫描防范】
[USG] firewall defend ip-sweep max-rate 1000
【访问最大次数不得超过每秒1000个】
[USG] firewall defend ip-sweep blacklist-timeout 20
若某一IP访问次数超过1000次，则将其拉入黑名单20分钟
[USG] firewall blacklist enable 【开启黑名单】
3.防火墙关键技术 ASPF
《1》因为在防火墙上不能运行双通道协议，例如FTP，访问端口是21，回复端口是20，造成回复端口与访问时产生的会话表不匹配
《2》特点：
ASPF是一种改进的高级通信过滤技术，ASPF不但对报文的网络层的信息进行检测，还能对丰富的应用层协议进行深度检测
ASPF对应用层的协议信息进行检测，通过维护回话的状态和检查会话报文的协议类型和端口号等信息，阻止恶意的入侵。
《3》Server Map
当通过某一协议的数据进入防火墙，则会生成会话表，方便数据出防火墙；假如该协议是双通道协议，入防火墙也会生成会话表，而出防火墙的端口号与进防火墙的端口号不同，因此ASPF会上升到应用层，检测到前后端口有关联，则会生成Server map,方便数据传出去。
4. 防火墙的双机热备
《1》如下图所示，FW1与FW2上的安全策略已做好，FW1为主防火墙，FW2为备份防火墙；假如SW1有数据通过FW1，并产生会话表，假如对该数据的响应还 未回来，FW1宕掉，响应只能走FW2，但FW2没有该reply 的会话表，所以响应数据传不到SW1；【而SW1与SW2后续数据通信通过FW2正常进行】
《2》核心问题 ：域间路由和会话表需要同步
解决：VRRP， HRP【华为冗余协议】 方法是【VRRP+HRP】

《2》解决措施
****在每个接口配上物理IP地址
****将防火墙上的对应接口加入对应的安全区域
****配上虚拟网关，其中心跳线上下虚拟网关需一样
：[接口]VRRP vrid 1 virtual-ip 12.1.1.100 24 master/slave (主/从)
[FW-M]hrp enable
[fw-M]hrp interface g0/0/2 【在心跳线接口下开启hrp】
8.21笔记总结
MPLS【多协议标签交换】
1． MPMS概要
1.传统IP转发网络缺点
IP转发时，在路由器上需要两次查表，第一次查看是否有目的网段路由，当确认有时，就会查看下一跳地路由，因此转发速度相对比较慢
2.特殊名词
LSR（Label Switch Router）【标签交换路由器】：MPLS网络里所有运行MPLS的设备都叫LSR
LER（Label Edge Router）【标签边缘路由器】：在MPLS网络边缘的LSR称为LER
LSP（Label Switch Path）【交换路径】：将数据在MPLS网络内的转发路径称为LSP
Transent :LSR中间设备，可存在多个，在transent上通过标签交换实现数据转发
Ingress LER ：数据访问MPLS网络入口的LER
Egress LER : 数据通过MPLS网络出口的LER
FEC：（转发等价类）：具有某些共同特点的数据流的集合，即各数据的目的网络相同，经过同一个LSP转发等
NHLFE：（相当于IP网络的路由表），有Next hop , out interface, Label Operation【标签执行动作】
3. MPLS Header

4. 要点
《1》数据在MPLS网络由Ingress 向Egress 传，而路由刚好相反
《2》Ingress是一条LSP的起始节点，一条LSP只能有一个Ingress
《3》Ingress LER的一个功能是给数据压入标签，Egress LER的主要功能是弹出标签
5.MPLS网络数据转发过程

《1》控制平面：SWD得到10.2.0.0路由，接着向SWC转发路由并发送自己的标签D，SWC又将学得的路由和标签C发给SWB，同样的SWA从SWB学得路由，并接收到标签B，在此过程中产生NHLFE
《2》数据平面：10.1.0。0访问10.2.0.0网络，数据进入SWA查看NHLFE压入标签B，并转发到SWB，到达SWB查看NHLFE，执行交换标签操作，以此规律直到SWD上，执行弹出标签操作，然后查看路由表转发给IP网络
6. 倒数第二跳弹出机制
《1》对于LER既要查NHLFE，又要查路由表，因为LER与IP网络直连，所以要使LER只需查看路由表
《2》在控制平面，倒数第一跳传给倒数第二跳的标签为隐式空标签，当在数据平面上，倒数第二跳接收到倒数第三条的数据后，会弹出标签，而不是交换隐式空标签。即传不带标签的数据给倒数第一跳，从而倒数第一跳只需查路由表转发给直连IP网络就行，从而减轻了到树第一跳，即Egress LER的工作压力
7. LDP 【专门管理标签发布的协议】
《1》LDP对标签的发布方式
****下游按需式（DOD）：当上游向下游发送标签请求后，下游才会向上游发送标签
****下游自主式（DU）：下游无需等待上游请求，直接发送标签给上游
《2》LDP标签的分配控制方式
****有序标签分配控制（Ordered）：只有从下游接收到标签才会把学到的路由传给上游
****独立标签分配控制（Independent）:无论是否从下游接收到标签，只要学到路由，就把路由转发给上游
《3》LDP对标签的保持方式
****保守标签保持（Conservative）:当标签是从直连下游传来的，才接收该标签
****自由的标签保持（Liberal）:只要标签是下游传的，都会接收该标签

声明:本文转载自网络。版权归原作者所有,如有侵权请联系删除。