聲明“H12-221的内容大部分在HCNA中涵蓋了,此處是NA中沒有的或不足的内容的補充
多點傳播
單點傳播相對于多點傳播的缺陷:
- 重複流量過多
- 消耗裝置和帶寬資源
- 難以保障傳輸品質
廣播相對于多點傳播的缺陷:
- 地域範圍限制:需要對象都在一個vlan裡面
- 安全性無法保障
- 有償性無法保障
多點傳播的劣勢:
- 大多都是UDP的資料包
- 盡力而為
- 會造成封包丢失
- 會造成封包重複
- 會造成封包失序
- 缺少擁塞避免
多點傳播服務模型
ASM/Any-Source Multicast:
- 任意發送者都可以成為多點傳播源,接收者無法預知多點傳播源的位置,接收者可以在任意時間加入或離開該主機組
- 要求多點傳播位址必須整個多點傳播網絡中唯一(同一時刻一個ASM位址隻能被一個多點傳播應用使用)
- 有域内域間劃分
SSM/Source-Specific Multicast:
- 接收者在加入多點傳播位址時,可以指定隻接收哪些源的資料
- 加入多點傳播位址後,主機隻會收到指定源發送到改組的資料
- 多點傳播位址不再要求全網唯一,隻需要每個多點傳播源上保持唯一(同一個源上不同的多點傳播應用必須使用不同的SSM來區分)
- 沒有域内域間劃分
多點傳播IP和MAC位址
mac位址:01-00-5e+(IP位址二進制的後23位,在最開始處加二進制的“0”)
IGMP
IGMPv1:
- 封包類型:普遍組查詢/Membership Query(60s/次),成員關系報告/Membership Report
- 響應抑制機制:抑制同一多點傳播組的資訊(路由器隻需要知道有改組就行)
- 成員主動加入:發送成員關系報告
- 成員靜默離開,不會發送離開封包(某組内130s沒有成員關系封包則會認為該組内沒有成員了,就會删除改組)
- 查詢器的選舉依賴上層路由協定的PIM的hello包,選組IP位址大的為查詢器
IGMPv2:
- 封包類型:普遍組查詢/Membership Query general(多點傳播位址0.0.0.0)(比版本一多了最大相應時間的參數),特定組查詢/Membership Query special(特定多點傳播位址)(如某成員離開時發送以查詢組内是否有成員),成員關系報告(v2和v1的,為了和版本一相容),離開組資訊/Leave Group
- 響應抑制
- 獨立的查詢選舉機制,IP位址小的為查詢器(預設自己為查詢器,會發送普遍組查詢,根據該封包的IP位址内容來比較)
- 預設配置就是版本2
IGMPv3:
- 在版本二的基礎上,可以根據資料源或組選擇是否接受資料包(in/include和ex/exclude)
- 沒有抑制機制,因為根據資料源選擇
- 普及性雖然不強,但是安全性更高
IGMP Snooping:
- 多點傳播資料在二層泛洪(交換機在收到多點傳播消息後,預設執行泛紅操作)(使得多點傳播的操作和廣播一樣),造成網絡資源浪費,存在安全隐患
- IGMP Snooping解決了上述問題:維護一個多點傳播mac位址表(0口表示CPU–所有資料都需要由資料庫處理,1口表示路由器,其他表示相應的接口),這樣的話轉發的時候就不用泛洪
多點傳播分發樹
SPT/Shortest Path Tree/最短路徑樹:也稱源樹/Source Tree,根據單點傳播的路徑成本産生SPT
- 以多點傳播源為樹根,将多點傳播源到每一個接收者的最短路徑結合起來構成的轉發樹
- 每一個多點傳播源與接收者們之間建立一顆獨立的SPT
- 多點傳播轉發表項:(Source,Group),iif/入接口,oiflist/出接口清單
- 路徑最小,延時最小,但是占用記憶體多
RPT/Rendezvous Point Tree/共享樹:
- 以某個路由器作為路由器的樹根,這個根常被稱為RP(彙合點或核心)
- 所有的多點傳播源和接收者都使用這顆樹來收發封包,多點傳播源先向樹根發送資料封包,之後封包向下轉發到達所有的接收者
- 多點傳播轉發表項:(*,Group)—在到達樹根前還是(S,G)到達樹根後就變成 (*,G),開始不關心資料源
- 路徑不是最優的,引入額外的延遲,但是記憶體消耗少
RPF/Reverse Path Forwarding/反向路徑轉發
- 所有多點傳播協定都使用RPF檢查—錯誤,隻有PIM使用,其他多點傳播協定雖然也有類似的,但不叫RPF檢查
- 確定多點傳播資料沿正确路徑傳輸
- 避免多點傳播環路
- 路由器在收到多點傳播資料封包後,隻有确定這個資料封包是從自身連接配接到多點傳播源的接口上收到的,才進行轉發,否則丢棄
- 檢查過程:
- 在單點傳播路由表中查找多點傳播封包源位址的路由
- 如果該路由的出接口就是該多點傳播封包的入接口,則RPF通過
PIM/Protocol Independent Multicast
概述:
- 運作于多點傳播路由器之前(IGMP運作于多點傳播路由器和PC之間)
- 負責建立和維護多點傳播路由,并正确高效地轉發多點傳播資料包
- 建立從多點傳播源到多個接收端的無環轉發路徑,即多點傳播分發樹
兩種模式:
- DM/Dense Mode/稠密模式
- SM/Sparse Mode/稀疏模式
DM
- 使用“推(PUSH)”方式來傳遞資料
- 使用于小型網絡,多點傳播成員位址比較密集
- **工作流程:**鄰居發現(間隔=30s)(逾時時間=105s),擴散(擴散-剪枝定時器=180s),剪枝(剪枝逾時定時器=210s),狀态重新整理(狀态重新整理發生間隔=60s),嫁接,Assert機制(標明網段上的唯一多點傳播資料發送者)
- 鄰居發現:周期性地發送hello資料包(發送到224.0.0.113)
- 假設網絡中的每個子網都存在至少一個對多點傳播源感興趣的接收端,是以多點傳播資料将被擴散(flooding)到網絡中的所有點,于此伴随着資源(帶寬和路由器cpu的消耗)
- 為了減少網絡的資源消耗,對沒有多點傳播資料轉發的分支進行剪枝(prune)操作,隻儲存包含接收者的分支
- 這種“擴散-剪枝”現象周期性地發生,被剪枝的分支也可以周期性的恢複成轉發狀态
- 當被剪枝的分支節點上出現了多點傳播成員時,為了減少該節點成員恢複成轉發狀态所需要的時間,使用嫁接(graft)機制主動恢複其對多點傳播資料轉發
- 建構并維護"SPT"
- 不依賴于特定的單點傳播路由協定,而是使用現存的單點傳播路由表進行RPF檢查
- Assert機制的選舉規則:
- 比較到多點傳播源的優先級高者
- 比較到多點傳播源的路徑成本小者
- 比較本地的IP位址大者
SM
- 使用“拉(pull)”方式傳遞資料
- 适用于範圍較廣,大中型網絡(任何網絡),組成員相對分散
- 工作流程:鄰居發現。DR選舉,RP發現,加入,剪枝,注冊,SPT切換
- 假設網絡中的多點傳播成員分布非常稀疏,幾乎所有網段都不存在組成員。直到某網段出現組成員時,才建構路由,向該網段轉發多點傳播資料
- 建構并維護RPT
- 選擇某台路由器作為公用的根節點RP,多點傳播資料通過RP沿着RPT發送給接收者
- 連接配接接收者的路由器向某多點傳播組對應的RP發送加入封包(Join Message),該封包被逐跳發送到RP,所經過的路徑就形成了RPT的分支
- 多點傳播源如果要向某多點傳播組發送多點傳播資料,首先由于多點傳播源側DR負責向RP注冊,把注冊封包(Register Message)通過單點傳播的形式發送給RP,該封包到達RP後觸發建立SPT。之後多點傳播源吧多點傳播資料沿着SPT發向RP,當多點傳播資料到達RP後,被複制并沿着RPT發送給接收者
- SPT切換:
- 因為所有的多點傳播資料都要經過RP,是以可能導緻RP的路由器負擔過大,而且選擇出來的路徑也有可能不是最優路徑,是以可以開啟SPT切換功能來解決上述問題
- 華為的VRP在預設情況下,連接配接接收者的路由器在探測到多點傳播源之後(即接受到第一個資料封包),便立即從RPT向SPT切換(可以手動關閉“spt-switch-threshold”)
- 通過RPT到SPT的切換,SM能夠以比DM更經濟的方式建立SPT
- Assert機制與DM中一緻
- 兩個DR
- 接收者側的DR:負責向RP發送加入封包
- 多點傳播源側的DR:負責向RP發送注冊封包
- 選舉規則:先選舉優先級高的,如果一樣,後選舉IP位址大的
- RP發現:
- 靜态RP:手動指定靜态RP的IP位址,所有PIM路由器上配置
- 動态RP
- 選擇幾台PIM路由器,配置為C-RP(Candidate-RP 候選RP),最後從C-RP中競選産生RP(優先級越小越優先)
- 同時必須配置C-BSP(Candidate-Bootstrap Router,候選自舉RP)(類似候選主持人),由C-BSR競選産生BSR(優先級越大越優先)
- BSR(類似于唱票的主持人)負責收集C-RP(類似于候選人)的通告資訊,并釋出到這個PIM-SM網絡中,讓所有路由器知道RP的位置
- 預設靜态優先級比動态的優先級低,但是可以配置成更高
- C-RP的選舉規則:
- 如果隻有一個C-RP,那麼這個節點就是域裡面的RP
- 如果有多個C-RP:
- 優先比較C-RP的優先值,優先級(數字)越小者獲勝
- 若優先級相同,則使用哈希函數計算哈希值,哈希值大的獲勝
- 若哈希值和優先級都相同則C-RP位址大者獲勝
70.預設情況下,SSM組範圍為232.0.0.0/8,如果希望修改SSM範圍,應該怎麼配置:在PIM視圖下配置ssm-policy acl-number
110.IGMP Snooping工作在鍊路層,用于管理和控制多點傳播,解決了多點傳播封包在二層的廣播問題
196.IGMP Snooping可能會消耗交換機的CPU----如果是支援大多數三層協定的交換機,那麼啟用IGMP Snooping就不怎麼會消耗CPU。反之,若是一般的二層交換機,開啟IGMP Snooping後反而會消耗較多的CPU
249.
- 在源樹/SPT下,RPF校驗是根據多點傳播源位址進行校驗
- 在RPT下,RPF的校驗是根據RP進行校驗的
265.關于DR
- 在網段選舉DR中,DR優先級相同時,IP位址大的當選
- 接收端DR負責向多點傳播源(RPT轉SPT時)或RP發送Join封包
- 共享網段上Assert Winner可以不是網段DR
關于PIM-SM網路中能夠發起SPT切換的路由器有:
- 最後一跳路由器
- RP路由器
306.IGMPv2中,特定組查詢的目标IP是224.0.0.1
PIM的工作模式:
- PIM-SM
- PIM-DM
- PIM-SSM
RIP
201.VRP平台上,當我們引入OSPF或ISIS路由到RIP時,如果不指定Cost,開銷值預設為1(Cisco是0或16/不可達)
OSPF
骨幹路由器:至少有一個接口屬于骨幹區域的路由器(ABR也算)
ASBR:能進行重釋出的路由器都可以叫做ASBR(即使沒有重釋出到任何消息),是以凡是路由器都可以成為ASBR(隻要不再Stub或Totally Stub區域即可)
Stub區域:
- 不允許4類5類LSA
- 不允許虛電路
- Area 0不允許成為stub區域
- 不允許ASBR
- 會由ABR自動生成一個LSA三類的預設路由
虛連接配接是屬于骨幹區域的一條虛拟鍊路
第四類LSA用于描述如何到達ASBR,包含路由資訊,不包含topo資訊
22.
- DD類型的LSA隻是包含LSA的摘要資訊,即包含 LSA Type,LS ID, Advertising Router和LS Sequence Number
- LS Request封包之有LSA Type,LS ID, Advertising Router
- LS Update封包包含了完整的LSA資訊
26.OSPF的鄰居主從關系是通過DD封包進行協商的
50.當兩個路由器之間通過DD封包交換資料庫資訊時,首先形成一個主從關系,Router ID大的一定成為主,确定主從為MS/master
53.LS Sequence Number用于檢測過期和重複的LSA,是一個32位的有符号整數,範圍是0x8000001~0x7FFFFFFF(8表示負數,而因為表示負數,就要0和1置換–電腦規定的,7表示正數)
55.OSPF聚合:
- 兩種聚合方式:ABR聚合,ASBR聚合
- 路由聚合是指将相同字首的路由資訊聚合在一起,隻釋出一條路由到其他區域
57.Router-LSA/一類LSA的Type:
- Point-to-Point是描述一個從本路由器到鄰居路由器之間的點到點的連接配接
- TransNet是描述從本路由器到一個Transit網段/DR的連接配接
- StubNet是描述一個從本路由器到一個Stub網段的連結
- Virtual
64.關于OSPF的ASBR-Summary-LSA的描述
- Link ID表示ASBR的Router ID
- Advertising Router表示該ABR的Router ID
- Metric表示該ABR到達ASBR的開銷
65.關于OSPF的外部路由的種類:
- OSPF分為第一類外部路由和第二類外部路由
- OSPF第一類外部路由的AS外部開銷被認為和AS内部開銷值是同一數量級的,是以第一類外部路由的開銷值為AS内部開銷值(路由器到ASBR的開銷)與AS外部開銷值之和
- OSPF第二類外部路由的AS外部開銷值被認為遠大于AS内部開銷值,是以第二類外部路由的開銷值隻是AS外部開銷值,忽略AS内部開銷值。
-
1.OSPF協定認為第一類外部路由可信度高一些,在一個OSPF程序中,對于同一個目的位址同時存在第一類外部路由和第二類外部路由時,不管這兩條外部路由的開銷是多少,均優選第一類外部路由。
2.當裝置上存在不同的OSPF程序,每個程序對于同一個目的位址同時存在第一類外部路由和第二類外部路由時,路由優選則不比較外部路由的類型,而比較開銷,若第二類外部路由比第一類外部路由開銷小,則會優選到開銷更小的第二類外部路由。
72.關于OSPF的AS-External-LSA的頭部資訊描述:
- Link State表示目标網絡位址
- Advertising Router表示ASBR的Router ID
- Net Mask表示目的網絡的掩碼
- Forwarding Address字段通常設定為0.0.0.0,如果引入OSPF中的外部路由的下一跳在一個OSPF路由域内,則在描述該外部路由的AS-External-LSA中,Forwarding Address應當被設定為ASBR路由表中的吓一跳
78
- Forwarding Address的位址隻能通過LSA-1或LSA-3到達
83.關于OSPF的封包驗證:
- AR2200支援的驗證模式按加密算法不同分為null,simple,md5和HMAC-MD5
- AR2200支援兩種認證方式:區域驗證和接口驗證
- 當區域驗證和接口驗證方式同時存在時,接口驗證優先
87.OSPF的AS-External-LSA
- Link State ID+Advertising Router+LSA類型可以唯一辨別一條AS-External-LSA
116.OSPF的hello封包:
- 廣播型網絡中接受的hello封包中的Network Mask字段必須和接受端口的一緻
- 所接受的Hello封包中Hello Interval字段必須和接收端口的一緻
- 所接受的Hello封包中Dead Interval字段必須和接收端口的一緻
129.
- OSPF的區域邊界在路由器上
- 如果有一條LSA必須老化,則隻有始發的源路由器才能釋出LSA老化資訊(老化時間=3600s)
138.import-route limit–限制一個OSPF程序可以引入的最大外部路由數量
146.關于OSPF封包的描述
- Router Priority大的選舉優先級更高
- Router Priority一樣大時,Router ID大的選舉優先級高
- 如果目前的DR故障,目前BDR會自動成為新的DR,網絡中重新選舉BDR
- 不支援DR搶占
168.關于OSPF的的hello封包:
- 關于廣播型,點到多點或NBMA型網路,所接受的hello封包的Network Mask字段和接口類型必須一緻
- 如果網絡類型是P2P或虛連接配接,則不檢查Network Mask字段
- 所接受的hello封包中的Options字段中的E-bit(Stub區域相關)必須和相關區域的配置一緻
170.關于OSPF路由聚合:
- advertise是abr-summary指令的預設參數,及配置abr-summary指令不指定not-advertise(配置的話就既不會發送聚合路由也不會發送明細路由,可用于路由過濾)的話預設為advertise
- abr-summary指令是OSPF的區域視圖下的指令
- asbr-summary指令是OSPF視圖下的指令
185.關于OSPF的計算最短路徑樹的步驟:第一階段計算路由節點和Transit網段,第二階段計算Stub網段
188.關于OSPF的LSA Age:
- LSA Age的機關為秒,在LSBD中的LSA的LSA Age随時間的增長而增長
- 如果一條LSA的LSA Age達到了LSRefreshTime(30min),這條LSA的生産者需要重新生成一個該LSA的執行個體
199.OSPF位于OSI第三層,IP封包的協定号是89
204.OSPF支援如下哪些下發預設路由的方式:
- 可以在ABR上下發
- 可以在ASBR上下發–要求ASBR上必須有一條預設路由
- 可以設定強制下發或非強制下發
218.關于OSPF的指令
- stub區域和totally stub區域的配置差別在于totally stub區域配置了no-summary參數
- 區域下的stub指令用來配置此路由器為stub路由器,stub路由器可以和非stub路由器形成鄰居關系
- OSPFv3中配置需要手動配置router-id
- OSPFv2和OSPFv3的差別就是OSPFv2使用network指令,而OSPFv3直接在接口上使能
225.關于OSPF協定:
- OSPF形成的topo中有三種端點類型:路由器節點,Stub網段和Transit網段
- 有至少兩台路由器的廣播型網段或NBMA網段就是Transit網段
244.OSPF的虛連接配接的hello封包每隔30s發送一次,死亡時間為120s(廣播型預設是10s一次,P2P預設是30s一次,虛連接配接類似于建立了P2P關系)
245.OSPF協定中,不能僅根據LS Sequence Number和LS Age來判斷相同LSA的新舊程度----可以根據校驗和的大小來判斷
252.OSPF的預設路由:
- OSPF預設路由可以由區域邊界路由器(ABR)釋出Type3類預設Summary LSA,用來指導區域内路由器進行區域之間封包的轉發
- OSPF預設路由可以有自治系統邊界路由器(ASBR)釋出Type5外部預設 ASE LSA或Type7 外部預設NSSA LSA,用來指導自治系統(AS)内路由器進行自治系統外部封包的轉發
- 區域内路由>區域間路由>區域外路由
281.OSPF在2Way狀态選舉DR和BDR
OSPF的DD類型的LSA隻是包含LSA的摘要資訊,即包含LS Type,LS ID, LS Advertising Router和LS Sequence Number
373.OSPF的hello封包包含:
| 字段 | 長度 | 含義 |
|---|---|---|
| Network Mask | 32比特 | 發送Hello封包的接口所在網絡的掩碼。 |
| HelloInterval | 16比特 | 發送Hello封包的時間間隔。 |
| Options | 8比特 | 可選項: E:允許Flood AS-External-LSAs MC:轉發IP多點傳播封包 N/P:處理Type-7 LSAs DC:處理按需鍊路 |
| Rtr Pri | 8比特 | DR優先級。預設為1。如果設定為0,則路由器不能參與DR或BDR的選舉。 |
| RouterDeadInterval | 32比特 | 失效時間。如果在此時間内未收到鄰居發來的Hello封包,則認為鄰居失效。 |
| Designated Router | 32比特 | DR的接口位址。 |
| Backup Designated Router | 32比特 | BDR的接口位址。 |
| Neighbor | 32比特 | 鄰居,以Router ID辨別。 |
ISIS
hello封包的主要類型:Level-1,Level-2,P2P
NSAP位址的組成:
- Area ID=AFI+IDI+HOSDSP
- System ID
- NSEL/SEL
41.ISIS的兩種網絡類型:
- P2P:兩次握手建立鄰居,需要考慮單向問題,也配置成三次握手
- Broadcast:三次握手建立鄰居
42.廣播類型的網絡中DIS(類似于OSPF的DR)發送hello資料包的間隔3.3333s
106.接口優先級為0的ISIS路由器可以參加DIS的選舉(OSPF中優先級為0的不能參加DR的選舉)
113.ISIS協定支援的路徑成本類型:Narrow和Wide(多使用)
172.ISIS的廣播網絡中,Level-2路由器使用MAC為0180-c200-0015,Level-1路由器使用mac位址為0180-c200-0014
266.兩台處于不同區域的Level-1路由器不能形成鄰居給關系,Level-2路由器之間可以
STP
封包類型:
- TCN/Topology Change Notification BPDU:當網絡topo發生變化時,交換機會通過RP接口(不是指定端口)向根橋方向發送TCN BPDU
- TCA BPDU:隻有指定端口會處理TCN BPDU,上遊裝置接收到TCN BPDU後回複TCA置位的配置BPDU,用于終止下遊裝置發送TCN BPDU。上遊繼續向根橋方向發送TCN BPDU,直到根橋收到。
- TC BPDU:根橋收到TCN BPDU後,回複TCA+TC,TC全網泛洪,用于清除交換機上的mac位址表。TC的作用為:避免舊的mac表造成資料的轉發錯誤
142.stp tc-protection
- 啟用TC保護功能後,在機關時間内,MSTP程序處理BPDU的封包次數可以手動配置
- 啟用TC保護功能,可避免攻擊者僞造topo變化BPDU封包來惡意攻擊交換裝置,并造成頻繁的删除mac位址表項和arp表項(Dos攻擊),進而達到保護交換裝置的目的
- 預設情況下,交換機的TC保護功能預設是開啟的
RSTP
封包類型:
- 隻有RST BPDU,因為每台RSTP交換機可以自主發送TC置位的BPDU,是以沒有了TCN BPDU,也就沒有了TCA置位的BPDU做确認
Port ID:
- 端口優先級–一個位元組
- 端口号—一個位元組
59.
- Discarding 和Learning狀态不轉發資料(隻有forwarding狀态才轉發)
- Discarding狀态不學習mac位址資訊
- Learning狀态專門用來學習mac位址資訊
60.配置成邊緣端口的鍊路的端口角色:指定端口和邊緣端口
191.RSTP的不同的保護功能:
- 交換裝置上配置了bpdu protection功能後,如果邊緣端口收到RSTP BPDU就會自動進入error disable狀态不會丢失邊緣端口的特性
- 若交換裝置上沒有配置bpdu protection功能,如果邊緣端口收到RSTP BPDU,邊緣端口就會被設定為非邊緣端口(丢失邊緣端口的特性),并重新進行生成樹計算(推薦配置邊緣端口的時候也同時配置bpdu 保護)
- 啟動根保護的指定端口,其端口角色隻能為指定端口
- 啟動根保護的指定端口,當該端口接受到更優的RST BPDU封包後,端口會自動進入Discarding狀态,不再轉發封包。若一段時間内端口未收到更優的RST BPDU封包,則會恢複到正常的Forwarding狀态
- 啟用TC-BPDU封包攻擊保護後,在機關時間内,交換裝置處理的TC BPDU的次數可配置
MSTP
37.
- 每個MST Instance都使用單獨的RSTP算法,計算單獨的生成樹
- 每個MST Instance都有一個辨別(MSTID),MSTID是兩個位元組的整數
- 預設所有VLAN映射到MST Instance 0上
239:關于MSTP
- region-name RegionA 指令是配置交換機的MST域名,預設情況下,交換機的MST域名為交換機的mac位址
- revision-level 1用來配置MSTP修訂級别,該取值為0·65535,預設情況下的MSTP的修訂級别取0
- 預設情況下所有vlan都映射到Instance 0上
279.MSTP對RSTP的相容性極差,即使MSTP交換機檢測到RSTP的交換機,其也不會配合使用RSTP,而是仍使用MSTP
VLAN
不同的vlan之間實作的是二層隔離
MUX/Multiplex/Private VLAN:
- 隻适用二層網路,對同一網段(不同vlan)的使用者進行隔離和互通
Super VLAN/VLAN Aggregation/VLAN聚合:
-
[個人筆記]HCIP-Routing & Switching-IERS/H12-221多點傳播RIPOSPFISISSTPRSTPMSTPVLANBGPVRRPEth-TrunkACLIP-Prefix路由政策政策路由路由政策政策路由 - Sub-VLAN間預設不能通訊,但是在Super VLAN上配置arp代理後就能實作Sub VLAN間通訊
- 效果:節約IP位址,一般不會使用
- trunk會自動禁止Super VLAN的資料
- 配置:在super vlan的vlanif接口上配置:
- aggregate-vlan----配置自己為super vlan
- access-vlan 2 3—自己的sub vlan有vlan 2和vlan 3
- ip add 192.168.0.100 24–需要配置ip位址
- arp-proxy inter-sub-vlan-proxy enable—若需要啊配置sub vlan間能互相通訊,則配置vlan間的arp
接口類型:
- trunk
- access
- hybrid
鍊路類型:
- trunk
- access
端口隔離:實作同一vlan内端口之間的隔離
- 配置1:port-isolate enable ; 預設加入group 1(同個組内不能互訪)
- 配置2:在g0/0/3接口下,am isolate g0/0/1----配置單向隔離,即g3口不能通路g1口,但是g1口能通路g3口
- 配置3:port-isolate mode all—配置端口的二層和三層隔離,預設是二層隔離(可以解決使用代理arp造成的即使配置了port-isolate還能通訊的問題)
代理arp:
- 以太網/e口/ge口配置靜态路由必須使用下一跳的ip位址,若使用接口來配置則會造成會直接請求目标的mac位址,造成因廣播域的隔離造成arp解析不了mac位址
- s口配置靜态路由時下一跳可以配置成ip位址或接口,因為s口沒有mac位址這一說法
105.
- MUX VLAN需要先配置主VLAN,再配置從VLAN
- mux vlan必須在端口上配置mux vlan使能功能才可以實作正常的mux vlan功能
- mux vlan的子vlan和從vlan不能是同一個vlan
- mux vlan中隻能配置一個隔離型子vlan
140.端口隔離:華為交換機支援配置64個隔離組,編号為1-64
192.端口隔離是實體層的隔離
-60.BGP配置指令中“peer ignore”指令的作用是:保留peer所有配置,停止和peer建立連接配接,并清除所有相關路由資訊
BGP
通過重釋出入BGP的路由的起源屬性為incomplete/?
基于TCP協定的179端口
自動聚合:
- 對引入的IGP路由進行主類掩碼聚合
- 而原引入的路由被抑制/suppressed/s,不會被優選和釋出給BGP鄰居
手動聚會:
- 手動聚合>自動聚合
- detailed-suppressed—配置時若加該參數則會像自動聚會一樣抑制釋出明細路由
- as-set—配置時加入,保留原有明細路由的AS_PATH屬性
32.
- 公認屬性分為:公認必遵和公認任意
- BGP必須識别所有公認屬性
69.BGP Notification保溫Error Code為2時表示Open資訊錯誤,其中包含如下哪些子錯誤代碼:
- 1–不支援的版本号
- 2–錯誤的對等體AS号
- 錯誤的BGP RID
- 4–不支援的可選參數
77.關于Community屬性
- 可以間接影響路由選路,通過設定路由的Community屬性可以将路由分類,然後根據類别設定不同的路由選路相關的屬性,如Local_Pre,MED,AS_Path等,進而達到影響路由選路的目的
- 路由器收到Community屬性為No_Advertise的路由更新後,該路由條目僅供自己使用,不能發送給IBGP或EBGP鄰居
92.MED越小越優先
95.一台路由器上不能配置多個BGP程序
112.當兩台BGP鄰居所支援的BGP版本不一緻時,無法建立鄰居
關于BGP的AS号:
- 支援兩個位元組的AS時,私有AS号的取值是64512~65535
- 支援兩個位元組的AS時,取值範圍是1-65535
- 支援4位元組的AS時,需要定義新的屬性
151.關于BGP的特性
- BGP是一種距離矢量協定
- 支援CIDR(無間域子網劃分)
159.BGP的peer default-mute-advertise指令:對本地的bgp表和路由表均無影響(這是個特例,一般的路由協定在下放預設路由時本地都會産生一條放環接口)
161.關于BGP可靠的路由更新的描述:
- BGP工作在應用層,TCP協定号是179
- BGP無需周期更新(内容很多,如果周期性更新負擔會很大)
- BGP實行增量更新
- BGP的Open封包用來協商鄰居參數,KeepAlive封包來檢測TCP的連通性
164.BGP鄰居間建立連接配接的過程:
- BGP鄰居建立過程中可能存在多條TCP連接配接(在指peer時,雙方都試圖建立鄰居,是以會産生兩個TCP連接配接)
- BGP鄰居如果建立了兩條TCP連接配接,會通過沖突處理關閉其中一條
- BGP處理TCP沖突的原則是保留BGP ID大的鄰居發起的TCP連接配接(Cisco是保留先發起的)
174.BGP的選路規則中,對Origin屬性的優先級是:IGP>EGP>Incomplete
190.關于BGP協定:
- 采用可靠的傳輸協定(TCP 的179端口)
- 不支援鄰居自動發現(自動發現需要支援UDP/多點傳播)
- 隻支援MD5的密文認證
- 支援豐富的路由政策
206.當兩台BGP鄰居協商Hold Time參數為0時,則不發送KeepAlive封包
211.關于BGP的Open封包所包含的資訊描述
- Open封包中包含Version資訊
- Open封包中包含本地AS編号資訊
- Open封包中包含 Hold Time消息
219.可以在不中斷BGP連接配接的情況下,觸發向外宣告BGP路由的指令是:refresh bgp all external
273.BGP的KeepAlive封包預設是60s發送一次,HoldTime是180s
299.BGP的MED:
- MED是可選非過渡屬性
- MED預設值是0
- MED影響從别的AS流入的流量
312.通過Network指令注入BGP的路由的Origin屬性是IGP
324.BGP的IBGP不會檢查AS_PATH屬性
334.
- 通過Network注入的路由必須存在于IP路由表中
- 注入的路由不需要嚴格比對IP路由表中的掩碼長度
- 預設情況下,BGP不釋出任何本地的網路路由
- Network不能與相應政策配合使用
353.BGP的Open封包消息中攜帶如下資訊:
- 本地自治系統/AS号
- BGP ID
- Hold Time
- BGP 版本
BGP的公認團體屬性:
- Internet(0x00000000):預設情況下,所有的路由都屬于Internet團體。具有此屬性的路由可以被通告給所有的BGP對等體。
- No_Export(0xFFFFFF01):具有此屬性的路由在收到後,不能被釋出到本地AS之外。
- No_Advertise(0xFFFFFF02):具有此屬性的路由在收到後,不能被通告給任何其他的BGP對等體。
- No_Export_Subconfed(0xFFFFFF03):具有此屬性的路由在收到後,不能被釋出到本地AS之外,也不能釋出到其他子AS。
377.BGP的Origin屬性:
1、把通過network指令指定注入到BGP中的路由的ORIGIN屬性設定為IGP;
2、把通過EGP注入BGP中的路由ORIGIN屬性設定為EGP;
3、把由IGP協定引入到BGP中的路由的ORIGIN屬性設定為Incomplete。
VRRP
預設情況下,華為的裝置的VRRP運作在搶占模式下
Eth-Trunk
25.手動配置模式:
- Eth-Trunk接口不能嵌套,即成員接口不能是Eth-Trunk
- 一個以太網接口隻能加入到一個Eth-Trunk接口中,如果要加入其他的Eth-Trunk接口,必須先退出原來的Eth-Trunk接口
- 如果本地配置了Eth-Trunk,與成員接口直連的對端接口也必須捆綁為Eth-Trunk接口,兩端才能正常通信
- Eth-Trunk有兩種模式,二層工作模式和三層工作模式,需要配置undo port-switch來手動切換
33.靜态lacp:
- 接口的lacp值越小,越容易選為活動端口
- 如果使用了搶占,那麼某個活動端口因某種原因down掉之後又開啟後,可以搶占奪回自己原來的活動端口的地位(否則不能)
79.
- 基于IEEE802.3ad标準
- 通過LACPDU與對端互動資訊
- 兩端裝置根據系統LACP優先級和系統ID确定主動端
- 兩端裝置根據主動端接口确定活動接口和備份接口等
88.
- 将若幹條實體鍊路捆綁在一起形成的邏輯鍊路稱之為鍊路聚合組(LAG—Linux或Cisco)或Trunk
290.LACP的搶占預設是關閉的,為了避免由于某些鍊路狀态頻繁變化而導緻整條鍊路傳輸不穩定,可以設定搶占延遲
302.動态LACP模式下成員接口的加入,活動接口的選擇都是自動配置的
ACL
27.ACL的類别:
- 基本acl
- 進階acl
- 二層acl
- 使用者自定義的acl
63.可以不按照使用者配置ACL的規則的先後順序進行比對(可以配置深度比對模式,不必一定要按照序列号來)
IP-Prefix
104.字首清單不能用于資料包的過濾
路由政策
350.預設情況下,所有未比對的路由器都被拒絕通過router-policy,可在路由生成時期使用
政策路由
- 拒絕的也會進行正常的路由轉發
- 節點之間是“或”的關系,if-match之間是“與”的關系
- 本地政策路由:僅對本機下發的封包起作用,對轉發的封包不起作用
- if-match acl/packet-length
- apply output-interface[配置出接口,不推薦,可能會造成arp錯誤–不管目标位址是不是同一網段都會發送arp請求,除非對端開啟了代理arp,否則會造成ping不通的問題]/ip-address next-hop
- ip local policy-based-route xxx–在本地調用
- 接口政策路由:僅對轉發的封包起作用,對本地下發的封包不起作用
- 通過流政策/traffic policy 實作—将流分類/traffic classifier 和流行為/traffic behavior 關聯;(優點:節省配置,支援批量修改)
- 配置步驟1–配置流分類:traffic classifier–分類定義資料
- 配置步驟2–配置流行為:traffic behavior–如重标記,重定向等
- 配置步驟3–配置流政策:classifier xxx behavior xxx–關聯流分類和流行為
- 在接口的inbound方向上配置:traffic-policy xxx inbound
31.
- 在系統視圖下應用政策路由/本地政策路由,此時的政策隻對本地産生的封包起作用
- 在接口視圖下應用政策路由/接口政策路由,此時的政策隻對本地接受到的封包/入方向起作用
路由政策
350.預設情況下,所有未比對的路由器都被拒絕通過router-policy,可在路由生成時期使用
政策路由
- 拒絕的也會進行正常的路由轉發
- 節點之間是“或”的關系,if-match之間是“與”的關系
- 本地政策路由:僅對本機下發的封包起作用,對轉發的封包不起作用
- if-match acl/packet-length
- apply output-interface[配置出接口,不推薦,可能會造成arp錯誤–不管目标位址是不是同一網段都會發送arp請求,除非對端開啟了代理arp,否則會造成ping不通的問題]/ip-address next-hop
- ip local policy-based-route xxx–在本地調用
- 接口政策路由:僅對轉發的封包起作用,對本地下發的封包不起作用
- 通過流政策/traffic policy 實作—将流分類/traffic classifier 和流行為/traffic behavior 關聯;(優點:節省配置,支援批量修改)
- 配置步驟1–配置流分類:traffic classifier–分類定義資料
- 配置步驟2–配置流行為:traffic behavior–如重标記,重定向等
- 配置步驟3–配置流政策:classifier xxx behavior xxx–關聯流分類和流行為
- 在接口的inbound方向上配置:traffic-policy xxx inbound
31.
- 在系統視圖下應用政策路由/本地政策路由,此時的政策隻對本地産生的封包起作用
- 在接口視圖下應用政策路由/接口政策路由,此時的政策隻對本地接受到的封包/入方向起作用