HCIP之路

第十六天

华为指令acl

抓流量

[Huawei]acl 4000

[Huawei-acl-L2-4000]rule 5 permit source-mac 5489-982C-16F2 destination-mac 5489-9

8ED-4E5B

 [Huawei-acl-L2-4000]

分类流量

[Huawei]traffic classifier xx

 [Huawei-classifier-xx]if-match acl 4000

做动作

[Huawei]traffic behavior xx

 [Huawei-behavior-xx]deny

结合调用

[Huawei]traffic policy ii

[Huawei-trafficpolicy-ii]classifier xx behavior yy

调用

[Huawei]vlan 1

 [Huawei-vlan1]traffic-policy xx outbound

接口调用

[Huawei]acl 4000

 [Huawei-acl-L2-4000]rule 5 deny source-mac 5489-9879-273D de

[Huawei-acl-L2-4000]rule 5 deny source-mac 5489-9879-273D destination-mac 5489-

983C-546B

[Huawei-acl-L2-4000]rule  10 permit source-mac ffff-ffff-ffff destination-mac  f

fff-ffff-ffff

 [Huawei]interface e0/0/1

 [Huawei-Ethernet0/0/1]traffic-filter inbound acl 4000

5、基于时间的ACL表

r1(config)#time-range cisco 创建时间列表cisco

r1(config-time-range)#absolute start 00:00 1 aug 2014 end 00:00 1 aug 20 定义总时间范围

r1(config-time-range)#periodic daily 9:00 to 12:00

r1(config-time-range)#periodic daily 13:30 to 16:00

r1(config)#access-list 100 deny ip 172.16.10.0 0.0.0.255 any time-range cisco

r1(config)#access-list 100 permit ip any any

华为

[R2]time-range ccna from 16:35 2020/8/9 to 0:0 2020/9/9

[R2]time-range ccna

 [R2]time-range ccna 16:36 to 16:38 daily

[R2]acl

[R2]acl 3000

 [R2-acl-adv-3000]rule 5 deny icmp source 12.1.1.1 0.0.0.0 destination 23.1.1.2 0

.0.0.0 time-range ccna

 [R2-acl-adv-3000]rule 10 permit icmp source any  destination any

[R2-acl-adv-3000]qu

[R2-acl-adv-3000]quit

[R2]

[R2]int

[R2]interface g0/0/0

 [R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

生成树协议：

企业网三层架构---》冗余----》线路冗余---》二层桥接环路

导致问题：

1. 广播风暴
2. MAC地址表翻滚
3. 同一数据帧的重复拷贝
4. 以上3个条件最终导致设备工作过载，导致重启保护

生成树：在一个二层交换网络中，生成一棵树型结构，逻辑的阻塞部分接口，使得从根到所有的节点仅存在唯一的路径；当最佳路径故障时，自动打开部分阻塞端口，来实现线路备份的作用；

生成树在生成过程中，应该尽量的生成一棵星型结构，且最短路径树；

存在算法：  802.1D      PVST PVST+(CISCO)      RSTP(802.1w)      MSTP(802.1S)

一、802.1D   一个交换网络内仅存在一棵生成树实例；

交换机间使用BPDU—桥协议数据单元 – 交换机间沟通互动收发的数据

配置BPDU—只有根网桥可以发送，在交换网络初始状态时，所有交换机均定义本地为根网桥，进行BPDU的发送；使得网络中所有交换机均收到其他设备的BPDU，之后基于数据中的参数进行比对，选举出根网桥；再所有非根网桥不再发送BPDU，而是仅接收和转发根网桥的BPDU；周期2s发送，hold time 20s；

TCN—拓扑变更消息（也是BPDU）： 本地交换机链路故障后，STP重新收敛，为了快速刷新全网所有交换机的MAC表，将向本地所有STP接口发送TCN（标记位中的TCN位置1），邻居交换机收到TCN后，先标记为ACK位为回复，用于可靠传输消息；之后将TCN逐级转发到根网桥处，由根网桥回复TC消息来逐级回复到所有交换机；使所有交换机临时将MAC表的老换时间修改为15s（默认的，转发延时）

选举--- 根网桥    根端口     指定端口   非指定端口（阻塞端口）

1. 根网桥 – 在一棵生成树实例中，有且仅有一台交换机为root；

BPDU中的 桥ID来决定

桥ID= 网桥优先级（0-65535公有） 默认32768 +  MAC地址（只有存在svi接口的交换机才拥有mac地址，若存在多个mac选数值最小）

根网桥的选举   先比较优先级，小优；   若优先级相同，比较mac，数值小优；

1. 根端口—在每台非根网桥上，有且仅有一个接口；本地离根网桥最近的接口（最短、星型），接收来自根网桥的BPDU，转发用户的流量（该接口不阻塞）

规则：

1、比较从根网桥发出后，通过该接口进入时最小的cost值；

    2、入向cost值相同，比较该接口对端设备的BID，小优

    3、对端BID也相同，比较该接口对端设备的接口的PID；先优先级小，若优先级一致，编号小

    4、连对端PID也相同，比较本地PID，小优；

PID=端口ID   接口优先级（0-240，步长16，默认128）      接口编号

1. 指定端口，在每一段存在STP的物理链路上，有且仅有一个；转发来自根网桥的BPDU，同时可以转发用户流量（不阻塞）；默认根网桥上所有接口为指定端口；

1、比较从根网桥发出后，通过该接口进入这段链路时的cost值最小（出向）

    2、若出向cost值相同，必须本地的BID，小优；

    3、本地BID相同，比较本地的PID；

    4、本地PID，相同，直接阻塞该端口；

【4】非指定端口（阻塞端口）当以上所有角色全部选举完成后，剩余没有任何角色的接口为非指定；

 该接口逻辑阻塞，实际可以接收到信息，但不转发；

cost值：不同带宽 存在不同cost

802.1d标准：          802.1T标准

10M = 100             1000M= 20000

100M=19              100M=200000

1000M=4

10000M=2

>100000M=1

[SWA]stp pathcost-standard ?    默认华为使用802.1t标准

  dot1d-1998  IEEE 802.1D-1998

  dot1t       IEEE 802.1T

  legacy      Legacy

生成协议中，至少应该将根网桥干涉到汇聚层处；

接口状态：

down：没有BPDU收发，一旦可以进行BPDU收发进入下一状态

侦听：强制15s；所有交换机进行BPDU收发，选举所有角色；接口角色为非指定端口直接进入阻塞状态；

      若为指定端口和根端口进入下一状态；

学习：强制15s； 指定端口和根端口学习所有接口连接设备的MAC地址，生成MAC表；之后进入下一状态；

转发：指定端口和根端口进入，可以转发用户报文；

阻塞：逻辑阻塞；

注：只有到接口进入到转发状态后，才能为用户转发数据报文，之前的30s不能转发任何数据；

收敛时间：

初次收敛—30s =  15侦听+15s学习

结构变化：

存在直连检测：本地存在阻塞端口，若其他端口断开，该阻塞端口马上进入15是侦听（选举）；结果若为启用，那么将再进入15s学习---总30s

没有直连检测：本地不存在阻塞端口，若某个端口断开，将发送次优BPDU（以本地为根）给其他邻居交换机，其他交换机无视该数据，进行20s hold time计时，到时时阻塞接口进入15s侦听，15s学习=总50s

802.1D 缺点：

1、收敛慢

2、链路利用率低

802.1d配置命令：

[sw1]stp mode stp   修改为802.1d算法，当下华为默认为MSTP；

[sw1]stp priority 4096    修改网桥优先级

[sw1-GigabitEthernet0/0/1]stp cost ?   修改接口cost值

  INTEGER<1-200000000>  Port path cost

[sw1-GigabitEthernet0/0/1]stp port priority ?  修改接口优先级

  INTEGER<0-240>  Port priority, in steps of 16

二、PVST  cisco私有     基于vlan的生成树协议

在每个vlan内，存在一棵树，每个树的工作原理同802.1d一致；不同vlan的BPDU区别在于优先级；

优先级=4096倍数+vlan id   人为仅可修改4096倍数备份，且只能修改为4096的整倍

仅支持  trunk干道封装为ISL（cisco私有封装）

三、PVST +     在PVST的基础，兼容802.1q的trunk封装；且设计了部分的加速；

  端口加速（进入层连接用户的接口）      上行链路加速-针对直连检测      骨干加速—针对次优BPDU

缺点：1、收敛慢（加速不彻底）     2、树多（仅cisco存在单独的芯片，友商无法负荷）     

干涉选举：

1. 修改某个vlan中的网桥优先级，值必须为4096的倍数

Switch(config)#spanning-tree vlan 3 priority ?

  <0-61440>  bridge priority in increments of 4096

Switch(config)#spanning-tree vlan 3 priority 11

% Bridge Priority must be in increments of 4096.

% Allowed values are:

  0     4096  8192  12288 16384 20480 24576 28672

  32768 36864 40960 45056 49152 53248 57344 61440

Switch(config)#spanning-tree vlan 3 priority 28672

1. 直接定义根网桥的位置

Switch(config)#spanning-tree vlan 4 root ?

  primary    Configure this switch as primary root for this spanning tree  主根网桥

  secondary  Configure switch as secondary root  备份根网桥

修改为主根网桥，本地自动下调全网最低优先级的两倍4096；

修改为备份根网桥，本地自动下调全网最低优先级的一倍4096；

1. 修改接口的优先级

sw3(config)#interface f0/0

sw3(config-if)#spanning-tree port-priority ?

  <0-240>  port priority in increments of 16

优化：加速

1. portfast 端口加速

Switch(config)#int f0/1

Switch(config-if)#spanning-tree portfast   用于access接口，直接进入转发状态；不要应用到

                                   trunk干道上

Switch(config-if)#spanning-tree portfast disable   关闭某接口的端口加速

Switch(config)#spanning-tree portfast default 全局开启，对trunk干道无效

sw3(config)#int e0/0

sw3(config-if)#switchport host  接口模式修改access，同时开启portfast

1. uplinkfast  上行链路加速

接入层设备在直连检测下，阻塞端口需要30s可以转发流量；上行链路加速可以节省这30s；

w3(config)#spanning-tree uplinkfast  配置时，只能在接入层设备配置；

注：使用该加速后，本地的cost值和网桥优先级均变大；接入层设备不应该成为根网桥；

1. backbonfast 骨干链路加速

默认当收到次优BPDU时，需要20s hold time等待，30s状态生成；开启骨干链路加速后，可以省略20s  hold time

sw3(config)#spanning-tree backbonefast   所有交换机均可配置

sw3#show spanning-tree summary totals

PVST+优点：

1. 部分加速
2. 流量分担--链路利用率高
3. 可以兼容802.1q和ISL

缺点：

1. 树多
2. 非完全提速

四、快速生成树   

cisco的RSTP   ---    基于vlan的快速生成树  - 一个vlan一棵树    pvst+的升级

公有RSTP（802.1w） --- 整个交换网络一棵树                       802.1d的升级

快速的原理：

1. 取消了计时器，而是在一个状态工作完成后，直接进入下一状态；
2. 分段式同步，两台设备间逐级收敛；使用请求和同意标记；依赖标记位的第1和第6位
3. BPDU的保活为6s；hello time 2s；
4. 将端口加速（边缘接口）、上行链路加速、骨干加速集成了
5. 兼容802.1d和PVST，但802.1d和PVST没有使用标记位中的第1-6位，故不能快速收敛；因此如果网络中有一台设备不支持快速收敛，那么其他开启快速收敛的设备也不能快速；

当tcn消息出现时，不需要等待根网桥的BPDU，就可以刷新本地的cam表；

切记:接口默认为半双工时，即便允许RSTP，依然基于慢速的802.1D算法来收敛；

[sw1]stp mode rstp

边缘接口---用于连接PC的接口，一旦被设定为边缘接口；将不再进行BPDU的发送，且不进行STP的收敛，直接为转发状态；  但若该接口收到了对端的BPDU，将失去边缘特性，重新正常收敛；

[sw1]interface GigabitEthernet 0/0/1

[sw1-GigabitEthernet0/0/1]stp edged-port enable

[sw1]stp priority ?  修改网桥优先级

  INTEGER<0-61440>  Bridge priority, in steps of 4096

[sw1]stp root ?  快速定义根网桥角色

  primary    Primary root switch

  secondary  Secondary root switch

[sw1-GigabitEthernet0/0/1]stp port  priority ?   修改接口优先级

  INTEGER<0-240>  Port priority, in steps of 16

[sw1-GigabitEthernet0/0/1]stp cost ? 修改接口cost

  INTEGER<1-200000000>  Port path cost

五、MSTP/MST/802.1S     华为设备默认使用该协议

继承了快速生成树的基础；  将多个vlan放置于一个组内，基于每个组一棵生成树；

不同组间的BPDU中优先级= 4096倍数+组号

[r1]stp mode mstp

默认存在组0，且所有vlan默认处于该组；优先级= 32768+0

分组

[sw1]stp enable

[sw1]stp region-configuration

[sw1-mst-region]region-name a    所有设备应在一个组内

[sw1-mst-region]instance 1 vlan 1 to 5

[sw1-mst-region]instance 2 vlan 6 to 10

[sw1-mst-region]active region-configuration     激活当前配置（必须配置该指令）

切记：若将创建某个组，但该组内的vlan，在本交换机上没有创建，同时没有为该vlan服务的接口；该组将没有任何信息；整个交换网络中所有设备的分组信息必须完全一致；

定义本地为组1 的主根，组2 的备份根

stp instance 1 root primary      优先级修改为0

stp instance 2 root secondary    优先级修改为4096

[sw1]stp instance  1  priority ?

  INTEGER<0-61440>  Bridge priority, in steps of 4096

[sw1]interface GigabitEthernet 0/0/1

[sw1-GigabitEthernet0/0/1]stp instance 1 cost ?

  INTEGER<1-200000000>  Port path cost

[sw1-GigabitEthernet0/0/1]stp instance 1 port priority ?

  INTEGER<0-240>  Port priority, in steps of 16

一、网关作为了一个广播域的中心出口；生成树的根网桥也是一棵树的中心，也是流量的集合点；

若将两者分配不同的设备将导致网络通讯资源浪费，故强烈建议两者在同一台设备上；

若使用基于vlan或基于分组的STP协议来工作三层架构中，将导致vlan间或组间通讯时对汇聚层间链路带宽要求较高，可以通过 以太网通道 channel (cisco )    以太网中继Eth-Trunk(华为)  技术来解决

通道技术将多个接口逻辑的整合为一个接口，实现带宽叠加的作用；

配置要求：

1. 通道的对端必须为同一台设备；
2. 通道的所有物理接口应该具有相同的速率、双工模式；相同的类型，相同的vlan允许列表；

[sw1]interface Eth-Trunk 0  创建通道接口

[sw1-Eth-Trunk0]q

[sw1]interface GigabitEthernet 0/0/1  将物理接口加入到通道内

[sw1-GigabitEthernet0/0/1]eth-trunk 0

[sw1-GigabitEthernet0/0/1]int g0/0/2

[sw1-GigabitEthernet0/0/2]eth-trunk 0

[sw1-Eth-Trunk0]load-balance ?    基于流的选择

  dst-ip       According to destination IP hash arithmetic

  dst-mac      According to destination MAC hash arithmetic

  src-dst-ip   According to source/destination IP hash arithmetic

  src-dst-mac  According to source/destination MAC hash arithmetic

  src-ip       According to source IP hash arithmetic

  src-mac      According to source MAC hash arithmetic

[sw1-Eth-Trunk0]load-balance { ip | packet-all }   修改基于流或者基于包  

注：华为设备，之后设备的配置进入eth-trunk口修改；

三层通道：成为通道的所有物理链路必须先为三层接口；其意义在于将多个需要配置ip地址的接口逻辑为一个接口，配置一个ip地址即可

[sw1]interface Eth-Trunk 0

[sw1-Eth-Trunk0]undo portswitch   切换为3层接口

[sw1-Eth-Trunk0]ip add 192.168.1.1 255.255.255.0  配置ip地址

[sw1]interface GigabitEthernet 0/0/1  将物理接口加入到通道内

[sw1-GigabitEthernet0/0/1]eth-trunk 0

[sw1-GigabitEthernet0/0/1]int g0/0/2

[sw1-GigabitEthernet0/0/2]eth-trunk 0

Cisco

Ether channel:以太网通道

用于SW--SW间

将交换机间多个物理接口（0-16个）逻辑整合为一个接口；起到带宽叠加的作用；

配置：

自动成为channel的协议

Pagp  端口聚合协议 cisco私有

Lacp  链路聚合协议  IEEE802.3ad

sw1(config)#interface range ethernet 0/0 -1  同时进入需要成为同一channel的接口

sw1(config-if-range)#channel-group 1 mode ?   配置组号，两端一致

  active     Enable LACP unconditionally

  auto       Enable PAgP only if a PAgP device is detected

  desirable  Enable PAgP unconditionally

  on         Enable Etherchannel only

  passive    Enable LACP only if a LACP device is detected

Pagp ----auto（被动）    desirable （主动）

Lacp-----passive（被动）  active （主动）

被动和被动不能形成，两端必须同为PAGP或LACP协议

On 手动：两端必须一致

配置指南：

1、所有端口必须支持channel协议，同时两端必须为相同设备

2、接口必须具有相同的速率和双工模式；

3、三层通道所有物理接口配置为3层接口；IP地址必须配置到逻辑接口上

4、若二层通道，这些物理接口应该属于同一vlan或者均为trunk干道 ，vlan允许列表必须一致，trunk封装模式必须一致

5、Channel接口的属性变化会同步到所有物理接口，所有的属性一致变化会同步到channel接口上；若不同物理接口属性不一致，channel接口down；

6、通道内不得使用span；无论二层或三层通道；

3层channel配置：

sw1(config)#interface range e0/0 -1

sw1(config-if-range)#no switchport

sw1(config-if-range)#channel-group 1 mode on

sw1(config-if-range)#exit

sw1(config)#int port-channel 1

sw1(config-if)#ip address 192.168.1.1 255.255.255.0

通道转发数据的规则：

1、负载均衡   三层通道转发流量基于负载均衡进行

2、负载分担   二层通道转发流量基于负载分担进行--默认基于不同目标MAC来进行分担

四、网关冗余

VRRP:虚拟路由冗余协议--公有协议，原理同HSRP一致

区别：1、多台设备  2、仅master发送hello    3、可以使用物理接口的ip地址来为网关地址   4、抢占默认开启  5、hold time 3s

VRRP在一个组内可以存在多台3层设备，存在一个master和多个backup

正常产生一个虚拟IP（可以为真实接口ip）和一个虚拟MAC

默认每1s来检测一次master是否活动   224.0.0.18  TTL=1   hold time 3s

选举规则：先优先级，默认100，大优；再接口ip地址大优；

特点：切换速度快；可以使网关的IP和MAC地址不用变化；网关的切换对主机是透明的；

可以实施上行链路追踪

在网关冗余技术中，ICMP重定向是失效的；故当上行链路DOWN时，网关将不会切换；

可以定义上行链路追踪-----该配置必须在抢占开启的情况下生效，且两台设备间的优先级差值小于下调值； 若本地存在多条上行或下行链路，建议上行链路追踪配置时的下调值之和大于优先级差值----所有上行链路全down时，才让备份设备抢占；下行链路大部分down时，可以让备份设备抢占；

配置：

注：正常在三层架构中由于生成树的存在，负载分担方式将可能由于不同vlan根网桥位置不同，导致部分链路阻塞，使得负载分担反而成为累赘；  因此仅建议在直接使用路由器作为网关时，才使用负载分担方式；

端口安全

[Huawei]interface e0/0/1

 [Huawei-Ethernet0/0/1]port-security enable  开启交换安全

[Huawei-Ethernet0/0/1]port-security mac-address sticky mac地址自动粘连

[Huawei-Ethernet0/0/1]port-security max-mac-num 2  最大地址数量

[Huawei-Ethernet0/0/1]port-security protect-action ?

  protect   Discard packets    不转发

  restrict  Discard packets and warning 不转发并且把信息直接转发到snmp服务器里

  shutdown  Shutdown     关闭接口

ciscochannel

witch(config)#interface range f0/1-2

Switch(config-if-range)#channel-group 1 mode on

给接口配置ip

Switch(config)#interface port-channel 1

Switch(config-if)#no switchport

Switch(config-if)#ip address 12.1.1.1 255.255.255.0