HCIP-12

一、网关作为了一个广播域的中心出口;生成树的根网桥也是一棵树的中心,也是流量的集合点;

若将两者分配不同的设备将导致网络通讯资源浪费,故强烈建议两者在同一台设备上;

若使用基于vlan或基于分组的STP协议来工作三层架构中,将导致vlan间或组间通讯时对汇聚层间链路带宽要求较高,可以通过 以太网通道 channel (cisco )    以太网中继Eth-Trunk(华为)  技术来解决

通道技术将多个接口逻辑的整合为一个接口,实现带宽叠加的作用;

配置要求:

  1. 通道的对端必须为同一台设备;
  2. 通道的所有物理接口应该具有相同的速率、双工模式;相同的类型,相同的vlan允许列表;

[sw1]interface Eth-Trunk 0  创建通道接口

[sw1-Eth-Trunk0]q

[sw1]interface GigabitEthernet 0/0/1  将物理接口加入到通道内

[sw1-GigabitEthernet0/0/1]eth-trunk 0

[sw1-GigabitEthernet0/0/1]int g0/0/2

[sw1-GigabitEthernet0/0/2]eth-trunk 0

[sw1-Eth-Trunk0]load-balance ?    基于流的选择

  dst-ip       According to destination IP hash arithmetic

  dst-mac      According to destination MAC hash arithmetic

  src-dst-ip   According to source/destination IP hash arithmetic

  src-dst-mac  According to source/destination MAC hash arithmetic

  src-ip       According to source IP hash arithmetic

  src-mac      According to source MAC hash arithmetic

[sw1-Eth-Trunk0]load-balance { ip | packet-all }   修改基于流或者基于包 

注:华为设备,之后设备的配置进入eth-trunk口修改;

三层通道:成为通道的所有物理链路必须先为三层接口;其意义在于将多个需要配置ip地址的接口逻辑为一个接口,配置一个ip地址即可

[sw1]interface Eth-Trunk 0

[sw1-Eth-Trunk0]undo portswitch   切换为3层接口

[sw1-Eth-Trunk0]ip add 192.168.1.1 255.255.255.0  配置ip地址

[sw1]interface GigabitEthernet 0/0/1  将物理接口加入到通道内

[sw1-GigabitEthernet0/0/1]eth-trunk 0

[sw1-GigabitEthernet0/0/1]int g0/0/2

[sw1-GigabitEthernet0/0/2]eth-trunk 0

二、管理vlan;  二层交换机物理接口正常无法配置ip地址;故存在一个SVI(交换虚拟接口)接口;

该接口可以配置ip地址,出厂存在MAC地址;用于远程登录该设备;该接口默认在vlan1 中,故vlan1就被称为默认的管理vlan;

二层交换机仅存在一个svi,默认在vlan1中,转移到其他vlan时,之前的vlanif接口将自动被关闭;

三层交换机支持多个SVI接口,所有的svi可以共存;

[Huawei]interface Vlanif 2

[Huawei-Vlanif2]ip address 192.168.2.1 24

若其他网段设备需要访问svi,那么交换机必须定义网关地址,或缺省路由,否则无法回复;

[Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.2.254

dhcp中继

cisco

 Switch(config)#interface vlan 1

Switch(config-if)#ip helper-address 10.1.1.1

华为

[Huawei]interface Vlanif 2

[Huawei-Vlanif2]dhcp select relay

[Huawei-Vlanif2]ip relay address 10.1.1.1

三、三层交换机       普通的三层交换机具有三层路由器设备的功能;标准的3层交换机不具有nat功能;只能作为汇聚层设备,无法成为核心层连接互联网的设备;

默认情况下,cisco和华为的三层交换机所有物理接口为二层接口;

可以将三层交换机的接口修改为三层功能;

cisco命令

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#no switchport

Switch(config-if)#ip address 192.168.1.254 255.255.255.0

华为命令

[sw1]interface GigabitEthernet 0/0/10 

[sw1-GigabitEthernet0/0/10]undo portswitch

[sw1-GigabitEthernet0/0/10]ip address 192.168.1.1 24

注:华为的三层交换机默认存在3层路由功能,但cisco需要手工开启

Switch(config)#ip routing

切记:三层设备最大的意义在还可以使用SVI接口来作为路由接口

Switch(config)#interface vlan 2

Switch(config-if)#ip address 192.168.4.254 255.255.255.0

注:svi接口双up的条件;-- 该交换机上创建了该vlan;同时该vlan内部存在双up 的接口(划分进入的)或该交换机上同时存在双up 的trunk允许了该vlan通过;

HSRP(cisco私有):热备份冗余协议

由两台路由器(多层交换机)虚拟一个ip一个MAC地址;存在活动网关和备份网关,

开始活动网关应答ARP,转发用户流量;当活动路由器down时,备份路由器发送数据包使交换机记录切换,之后转发用户流量;

特点:1、切换速度快  2、网关ip地址不变  3、网关的切换对用户是透明的;

      4、可以实施上行链路追踪

在两台三层设备需要虚拟一个网关ip---(管理员配置)

同时虚拟一个MAC,自动生成

路由器间均存在邻居关系,hello time 3s,hold time 10s  组播地址:224.0.0.2 TTL=1

r1(config)#interface fastEthernet 0/0

r1(config-if)#standby 1 ip 10.1.1.254   组号和ip地址,两台路由上必须一致;

注:路由器是在物理接口配置,若三层交换机存在SVI接口,在SVI接口上配置;

选举条件:

1、优先级大 默认100   2、接口ip大

故:若需要固定某台设备为网关,那么需要修改它的优先级,但抢占默认关闭,必须开启

r1(config)#interface fastEthernet 0/0

r1(config-if)#standby 1 preempt  开启抢占

r1(config)#int f0/0

r1(config-if)#standby 1 priority 101 修改优先级

上行链路追踪:

当上行链路故障时,ICMP重定向在HSRP中无效,导致资源浪费,路径不佳;

r1(config)#interface fastEthernet 0/0

r1(config-if)#standby 1 track serial 1/1

当被追踪接口故障时,本地优先级自动下调10;在抢占开启的情况下,网关可以切换,前提是下调值为最小优先级

缺点:

1、只能存在两台设备

2、抢占默认关闭

3、不能使用真实ip地址

四、网关冗余

VRRP:虚拟路由冗余协议--公有协议,原理同HSRP一致

区别:1、多台设备  2、仅master发送hello    3、可以使用物理接口的ip地址来为网关地址   4、抢占默认开启  5hold time 3s

VRRP在一个组内可以存在多台3层设备,存在一个master和多个backup

正常产生一个虚拟IP(可以为真实接口ip)和一个虚拟MAC

默认每1s来检测一次master是否活动   224.0.0.18  TTL=1   hold time 3s

选举规则:先优先级,默认100,大优;再接口ip地址大优;

特点:切换速度快;可以使网关的IP和MAC地址不用变化;网关的切换对主机是透明的;

可以实施上行链路追踪

在网关冗余技术中,ICMP重定向是失效的;故当上行链路DOWN时,网关将不会切换;

可以定义上行链路追踪-----该配置必须在抢占开启的情况下生效,且两台设备间的优先级差值小于下调值若本地存在多条上行或下行链路,建议上行链路追踪配置时的下调值之和大于优先级差值----所有上行链路全down时,才让备份设备抢占;下行链路大部分down时,可以让备份设备抢占;

配置:

注:正常在三层架构中由于生成树的存在,负载分担方式将可能由于不同vlan根网桥位置不同,导致部分链路阻塞,使得负载分担反而成为累赘;  因此仅建议在直接使用路由器作为网关时,才使用负载分担方式;

端口安全

[Huawei]interface e0/0/1

 [Huawei-Ethernet0/0/1]port-security enable  开启交换安全

[Huawei-Ethernet0/0/1]port-security mac-address sticky mac地址自动粘连

[Huawei-Ethernet0/0/1]port-security max-mac-num 2  最大地址数量

[Huawei-Ethernet0/0/1]port-security protect-action ?

  protect   Discard packets    不转发

  restrict  Discard packets and warning 不转发并且把信息直接转发到snmp服务器里

  shutdown  Shutdown     关闭接口

ciscochannel

witch(config)#interface range f0/1-2

Switch(config-if-range)#channel-group 1 mode on

给接口配置ip

Switch(config)#interface port-channel 1

Switch(config-if)#no switchport

Switch(config-if)#ip address 12.1.1.1 255.255.255.0

  1. VACL   可以基于IP地址或者MAC地址进行访问控制

所谓VACL类似route-map

抓取流量后,交由VACL处理;处理动作---1.dorp丢弃  2、forward 转发

1)抓流量

core(config)#mac access-list extended ccsp

core(config-ext-macl)#permit host aaaa.aaaa.aaaa any

  1. 配置VACL

core(config)#vlan access-map ccie 10

core(config-access-map)#match mac address ccsp

core(config-access-map)#action drop

core(config-access-map)#exit

  1. 调用

core(config)#vlan filter ccie vlan-list 1  该VACL在vlan 1中生效

注:不会影响其他vlan的流量

华为指令

抓流量

[Huawei]acl 4000

[Huawei-acl-L2-4000]rule 5 permit source-mac 5489-982C-16F2 destination-mac 5489-9

8ED-4E5B

 [Huawei-acl-L2-4000]

分类流量

[Huawei]traffic classifier xx

 [Huawei-classifier-xx]if-match acl 4000

做动作

[Huawei]traffic behavior xx

 [Huawei-behavior-xx]deny

Huawei]route-policy yy permit node 10

Info: New Sequence of this List.

[Huawei-route-policy]apply behavior xx?

  STRING<1-31>                           

[Huawei-route-policy]apply behavior xx

调用

[Huawei]vlan 1

 [Huawei-vlan1]traffic-policy xx outbound

接口调用

[Huawei]acl 4000

 [Huawei-acl-L2-4000]rule 5 deny source-mac 5489-9879-273D de  

[Huawei-acl-L2-4000]rule 5 deny source-mac 5489-9879-273D destination-mac 5489-

983C-546B

[Huawei-acl-L2-4000]rule  10 permit source-mac ffff-ffff-ffff destination-mac  f

fff-ffff-ffff

 [Huawei]interface e0/0/1

 [Huawei-Ethernet0/0/1]traffic-filter inbound acl 4000

  1. 基于时间的ACL表

r1(config)#time-range cisco 创建时间列表cisco

r1(config-time-range)#absolute start 00:00 1 aug 2014 end 00:00 1 aug 20 定义总时间范围

r1(config-time-range)#periodic daily 9:00 to 12:00

r1(config-time-range)#periodic daily 13:30 to 16:00

r1(config)#access-list 100 deny ip 172.16.10.0 0.0.0.255 any time-range cisco

r1(config)#access-list 100 permit ip any any

华为

[R2]time-range ccna from 16:35 2020/8/9 to 0:0 2020/9/9

[R2]time-range ccna 

 [R2]time-range ccna 16:36 to 16:38 daily

[R2]acl 3000

 [R2-acl-adv-3000]rule 5 deny icmp source 12.1.1.1 0.0.0.0 destination 23.1.1.2 0

.0.0.0 time-range ccna

 [R2-acl-adv-3000]rule 10 permit icmp source any  destination any

[R2-acl-adv-3000]qu

[R2-acl-adv-3000]quit

[R2]

[R2]int 

[R2]interface g0/0/0

 [R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/344799.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

如何使用阿里云CDN服务?

如何使用阿里云CDN服务 一、开通阿里云CDN服务 注册自己阿里云账号&#xff0c;找到CDN服务&#xff0c;进行加速即可 二、配置域名信息 1、各配置参数的含义 添加加速域名&#xff1a; 如果需要使用CDN加速指定网站上的业务&#xff0c;则需要将该网站作为源站&#xff0…

swagger+knife4j整合

swagger pom配置 <!-- swagger 接口文档 --><dependency><groupId>io.springfox</groupId><artifactId>springfox-swagger2</artifactId><version>2.9.2</version></dependency><dependency><groupId>io.s…

Linux第35步_在“移植uboot”前安装libncurses5-dev

在“移植uboot”前&#xff0c;需要在Ubuntu中安装“libncurses5-dev”&#xff0c;否则在“编译uboot”时&#xff0c;会报错。目的是保证顺利移植“uboot”。 1、打开终端 2、输入“sudo apt-get install libncurses5-dev bison flex回车”&#xff1b; 3、输入密码“1234…

李宏毅《机器学习 深度学习》简要笔记(一)

一、线性回归中的模型选择 上图所示&#xff1a; 五个模型&#xff0c;一个比一个复杂&#xff0c;其中所包含的function就越多&#xff0c;这样就有更大几率找到一个合适的参数集来更好的拟合训练集。所以&#xff0c;随着模型的复杂度提高&#xff0c;train error呈下降趋势…

美易官方:美国电商巨头eBay宣布裁员约1000人

美国电商巨头eBay近日宣布&#xff0c;为了应对当前的经济形势和市场需求&#xff0c;公司计划裁员约1000人&#xff0c;约占公司员工总数的4%。eBay表示&#xff0c;此次裁员是为了优化公司运营和提高效率&#xff0c;同时也会对受影响的员工提供必要的支持和帮助。 eBay作为全…

PowerBI商业智能分析引入,带你了解什么是商务智能

一、商务智能工具 什么是Power BI &#xff1f;Power Bl是微软开发的一个软件&#xff0c;它是从获取数据、数据清洗、数据图表搭建、数据分析、共享发布为一体的软件&#xff0c;无论你的数据是简单的Excel电子表格&#xff0c;还是复杂庞大的数据库&#xff0c;Power Bl都可…

Python自动化测试

一、什么是框架 框架是由大佬开发或者专业的研发团队研发的技术骨架&#xff0c;框架是一个半成品&#xff0c;框架是对常用的功能&#xff0c;基础的代码进行封装的一个工具&#xff0c;这个工具对外提供了一些API&#xff0c;其他的开发者只需要调用框架的接口即可&#xff…

【第七在线】智能商品计划:重塑服装行业的供应链管理

在当今快速变化的市场环境中&#xff0c;供应链管理已成为企业成功的关键因素之一。尤其在服装行业&#xff0c;供应链的效率、灵活性和透明度直接影响着企业的竞争力和盈利能力。随着技术的发展&#xff0c;智能商品计划正逐渐成为重塑供应链管理的强大工具。 一、智能商品计划…

【USTC】verilog 习题练习 46-50

46 上升沿检测 题目描述 在实际应用中&#xff0c;我们经常需要对某个信号的边沿进行检测&#xff0c;并以此作为后续动作的触发信号&#xff08;例如电脑键盘的某个按键被按下或者被松开&#xff0c;在电路中则对应的是电平的变化&#xff09;。 设计一个电路&#xff0c;包…

Elasticsearch分布式一致性原理剖析(一)-节点篇

前言 “Elasticsearch分布式一致性原理剖析”系列将会对Elasticsearch的分布式一致性原理进行详细的剖析&#xff0c;介绍其实现方式、原理以及其存在的问题等(基于6.2版本)。 ES目前是最流行的分布式搜索引擎系统&#xff0c;其使用Lucene作为单机存储引擎并提供强大的搜索查…

JavaScript中的DOM导航

&#x1f9d1;‍&#x1f393; 个人主页&#xff1a;《爱蹦跶的大A阿》 &#x1f525;当前正在更新专栏&#xff1a;《VUE》 、《JavaScript保姆级教程》、《krpano》、《krpano中文文档》 ​ ​ ✨ 前言 在我们的日常生活中&#xff0c;JavaScript已经成为了一种无处不在的…

前端 防止浏览器提示记住密码以及自动填充密码

当前端 <input /> 的 type’password‘ 时&#xff0c;浏览器为了优化用户体验&#xff0c;会在表单提交后提示用户记住密码 如果不想要这样的行为&#xff0c;最简单的当然是提示用户自己在浏览器设置中进行相关配置 如果希望在代码层面阻止浏览器提示是否记住密码或者…

自动化Web页面性能测试介绍

随着越来越多的用户使用移动设备访问 Web 应用&#xff0c;使得 Web 应用需要支持一些性能并不是很好的移动设备。为了度量和测试 Web 应用是不是在高复杂度的情况下&#xff0c;页面性能能满足用户的需求。 同时&#xff0c;随着 Web 应用的空前发展&#xff0c;前端业务逐渐…

vue2项目打包到测试环境之后报错require is not defined

配置打包命令npm run build:test到测试环境之后报错&#xff0c;打包到生产环境没有问题&#xff0c;查找了项目中的require引入似乎也没啥有问题的地方&#xff0c;所以排除是require的原因 环境变量文件&#xff1a; 打包指令&#xff1a; 解决办法&#xff1a; 将.env.tes…

新网站收录需要多长时间完成审核

新网站的收录时间因多种因素而异。 一般来说&#xff0c;新上线的网站可能在最快3-7天内被百度收录&#xff0c;尤其是那些有高质量内容的网 然而&#xff0c;通常情况下&#xff0c;新网站的收录可能会在7-15天左右发生。 有些情况下&#xff0c;如果网站的内容足够丰富和有价…

《WebKit 技术内幕》学习之四(3): 资源加载和网络栈

3. 网络栈 3.1 WebKit的网络设施 WebKit的资源加载其实是交由各个移植来实现的&#xff0c;所以WebCore其实并没有什么特别的基础设施&#xff0c;每个移植的网络实现是非常不一样的。 从WebKit的代码结构中可以看出&#xff0c;网络部分代码的确比较少的&#xff0c;它们都在…

【C++记忆站】类和对象(三)

文章目录 再谈构造函数构造函数赋值并非初始化初始化列表explicit关键字 static成员概念特性一、静态成员为所有类对象所共享&#xff0c;不属于某个具体的对象二、静态成员变量必须在类外定义&#xff0c;定义时不添加static关键字三、静态成员函数没有隐藏的this指针&#xf…

控制项目风险

一、风险预算 暴雪公司经理艾莉森&#xff0c;暴雪公司是一家小型工业企业&#xff0c;该公司的高管为了降低生产成本&#xff0c;决定搬迁工厂。项目经理明白实际情况与初始计划之间常常会有很大的出入。项目经理需要事先为一些事情做好准备&#xff0c;并在项目运作或预算方面…

mongo 聚合查询 - 小试牛刀

聚合查询configId为1231231312,且返回id和sum的map结构。 _id,count db.getCollection("s_p_collection").aggregate([{"$match": {"deleted"

《WebKit 技术内幕》学习之十一(3):多媒体

3 音频 3.1 音频元素 说完视频之后&#xff0c;接下来就是HTML5中对音频的支持情况。音频支持不仅指对声音的播放&#xff0c;还包括对音频的编辑和合成&#xff0c;以及对乐器数字接口&#xff08;MIDI&#xff09;等的支持&#xff0c;下面逐次介绍并分析它们。 3.1.1 H…