hcip考试
hcip考试
hcip总共需要考两门,一门h12-821是必考的,另一门可选,基本上就是考h12-831。两门都通过才能拿证。两门可以在同一天考,考试需要预约。证件的话是需要两个的,光带一个身份证是不行的,可以再带一个驾驶证或者社保卡之类的。考试的话是总共考60道题,1000满分,600分及格,证书三年有效
附下考试成绩单
再贴下自己做的笔记吧,不算全
hcip笔记
五元组:源ip,目的ip,源端口,目的端口,协议号
路由优先级
- direct:0
- ospf:10
- is-is:15
- static:60
- bgp:255
ospf基础
动态路由协议简介
IGP 内部网关协议:RIP,OSFP,IS-IS
在同一个自治系统内交换路由信息
EGP 外部网关协议:BGP
主要用于AS(自治系统)之间的互联
LSA(链路状态通告)可以简单理解为每台路由器都产生一个描述自己直连接口状态(包括接口的开销,与邻居路由器之间的关系)的通告
每台路由器都会产生LSA(链路状态通告),路由器将接受到的LSA放入到自己的LSDB(链路状态数据库)
每台路由器基于LSDB,使用SPF(最短路径优先)算法进行计算
链路状态路由协议有四个步骤
- 建立相邻路由器之间的邻居关系
- 邻居之间交互链路状态信息和同步LSDB
- 进行优选路径计算
- 根据最短路径树生成路由表项加载到路由表
ospf简介
ospf是一种基于链路状态的内部网关路由协议
router-ID用于在自治系统中唯一标识一台运行ospf的路由器,它是一个32位的整数 router ID选举规则
- 手动配置
- 使用loopback接口中ip地址最大的
- 使用物理接口中ip地址最大的
ospf area用于标识一个ospf的区域,是一个32bit的非负整数
度量值
ospf使用cost(开销)作为路由的度量值,默认接口cost=100Mbit/s/接口带宽
ospf以累计cost为开销值,也就是流量从源网络到目的网络所经过所有路由器的出接口的cost总和
ospf三大表项:邻居表,lsdb表,路由表
查看邻居表:display ospf peer
查看lsdb:display ospf lsdb
查看路由表:display ospf routing
ospf定义了五个类型的报文,ospf报文直接采用ip封装,在报文的ip头部,协议号为89
| type | 报文名称 | 报文功能 |
|---|---|---|
| 1 | hello | 发现和维护邻居关系 |
| 2 | database description | 交互链路状态数据库摘要 |
| 3 | link state request | 请求特定的链路状态信息 |
| 4 | link state update | 发送详细的链路状态信息 |
| 5 | link state ack | 确认lsa |
ospf工作过程
建立邻居关系
ospf使用hello报文发现和建立邻居关系
在以太网链路上,缺省时,ospf采用组播的形式发送hello报文(目的地址224.0.0.5)
224.0.0.5的组播地址为ospf设备的预留ip组播地址
224.0.0.6的组播地址为ospf dr/bdr的预留ip组播地址
流程:down→init→2-way
down:这是邻居的初始状态,表示没有从邻居收到任何信息
init:在此状态下,路由器已经从邻居收到hello报文,但是自己的router id不在所收到的hello报文的邻居列表
2-way:在此状态下,路由器发现自己的routerID存在于收到的hello报文的邻居列表中
发送hello报文的时间间隔通常为10s,失效时间为40s ospf lsa每隔30分钟定期更新
建立邻接关系
流程:2-way→exstart→exchange→loading→full
exstart:邻居状态变成此状态以后,路由器开始向邻居发送DD报文。在此状态下发送的dd报文不包含链路状态描述
exchange:在此状态下,路由器与邻居之间相互发送包含链路状态信息摘要的dd报文
loading:在此状态下,路由器与邻居之间相互发送lsr报文,lsu报文,lsack报文
full:路由器已经完成了与邻居的lsdb同步
当两台ospf路由器交换dd报文,首先需要确定双方的主从关系,router id大的一方会成为master
mtu是在dd报文中携带的,dd报文是在exstart状态开始交互的,mtu不一致,邻接关系卡在exstart/exstart或exstart/exchange
如果优先级都设为0.无法选举dr,就会卡在2-way,在2-way的时候选举dr和bdr
router-id冲突无法建立邻居关系,状态为down
dr(指定路由器)负责在MA网络建立和维护邻接关系并负责lsa的同步
dr与其他所有路由器形成邻接关系并交换链路状态信息,其他路由器之间不直接交换链路状态信息
为了规避单点故障,同步选举bdr(备份指定路由器),在dr失效诗快速接管dr的工作
drother:既不是dr也不是bdr的路由器
dr/bdr的选举是非抢占的
dr/bdr的选举是基于接口的
- 接口的dr优先级越大越优先,优先级为0时不参与dr/bdr的选举
- 接口的dr优先级相等时,router id越大越优先
在点到点网络中,是不选举dr/bdr的
ospf的基本配置
1.启动ospf进程,进入ospf视图
[huawei]ospf 1 router id 1.1.1.1
进程号是本地概念,两台使用不同ospf进程号设备也能建立邻接关系
2.创建并进入ospf区域视图
[huawei-ospf-1]area 0
3.在ospf区域中使能ospf
[huawei-ospf-1-area-0.0.0.0]network 192.168.0.0 24
4.接口视图下使能ospf
[huawei-gigabitethernet1/0/0]ospf enable 1 area 0
接口使能ospf优先级高于区域使能ospf
5.接口视图下:设置选举dr时的优先级
[huawei-gigabitethernet1/0/0]ospf dr-priority 2
缺省情况下,优先级为1
6.接口视图下:设置hello报文发送的时间间隔
[huawei-gigabitethernet1/0/0]ospf timer hello 11
缺省情况下,p2p,broadcast类型接口发送hello报文的时间间隔为10秒,且失效时间为hello间隔的4倍
7.接口视图下:设置网络类型
[huawei-gigabitethernet1/0/0]ospf network-type {broadcast | nbma | p2mp | p2p}
ospf路由计算
区域内路由计算
常见lsa的类型
| 类型 | 名称 | 描述 |
|---|---|---|
| 1 | router lsa | 每个设备都会产生,描述了设备的链路状态和开销,该lsa只在接口所属的区域泛洪 |
| 2 | network lsa | 由dr产生,描述该dr所接入的ma网络中所有与之形成邻接关系的路由器,以及dr自己。该lsa只在接口所属的区域内泛洪 |
| 3 | network summary lsa | 由abr产生,描述区域内某个网段的路由,该类lsa主要用于区域间路由传递 |
| 4 | asbr summary lsa | 由abr产生,描述到asbr的路由,通告给除asbr所在区域的其他相关区域 |
| 5 | as external lsa | 由asbr产生,用于描述到达ospf域外的路由 |
router lsa
| link type | link id | link data |
|---|---|---|
| p2p:描述一个从本路由器到邻居路由器知啊进的点到点链路 | 邻居路由器的router id | 宣告该router lsa的路由器接口的ip地址 |
| transnet:描述一个到本路由器到一个transit网段(例如ma或nbma)的连接 | dr的接口ip地址 | 宣告该router lsa的路由器接口的ip地址 |
| stubnet:描述一个从本路由器到一个stub网段(例如loopback)的连接 | 宣告该router lsa的路由器接口的ip | 该stub网络的网络掩码 |
1类lSA 描述了设备的链路状态和开销
2类lsa 描述该DR所接入的MA网络中所有与之形成冷接关系的路由器
3类lsa 描述区域间某个网段的路由
4类lsa 描述到asbr的路由
5类lsa 描述到ospf域外的路由
1类的lsa的link state id为ospf的router id
3类的lsa的Link state id是路由的目的网络地址
区域间路由的防环机制
ospf要求所有的非骨干路由器必须与area 0直连
外部路由引入的基本概念
asbr:自治系统边界路由器。只要一台ospf设备引入了外部路由,它就成为了asbr
4类的link state id是asbr的router id
5类的link state id是外部路由的目的网络地址
ospf特殊区域及其他特性
ospf区域分为两种类型
传输区域(transit area)除了承载本区域发起的流量和访问本区域的流量外,还承载了源ip和目的ip都不属于本区域的流量,如area 0
末端区域(stub area):只承载本区域发起的流量和访问本区域的流量
stub区域的abr不向stub区域内传播它接受到的as外部路由(4类和5类)
为保证stub区域能到达as外部,stub区域的abr生成一条缺省路由(三类)
totally stub区域既不允许as外部路由在本区域内传播,也不允许区域间路由(三类)在本区域内传播
totally stub区域内的路由器通过本欲去abr下发的缺省路由(三类)到达其他区域以及as外部
nssa区域能够引入外部路由,同时又不会学习来自ospf网络其他区域引入的外部路由
7类lsa是为了支持nssa区域而新增的一种lsa类型,用于描述nssa区域引入的外部路由信息。
nssa区域的abr会将7类lsa转换为5类lsa
stub不允许4类和5类,允许1,2,3类 stub区域不能存在asbr
totally stub不允许3类和4类和5类,允许缺省三类
nssa不允许4类和5类,但是允许1类,2类,3类,7类
totally-nssa不允许3类,4类,5类,允许1类,2类,缺省3类,7类
loopback接口默认开销为0
routerid改变之后需要重启或者重置ospf进程后才会生效
silent-interface(静默接口)
silent-interface命令用来禁止接口接收和发送ospf报文,该接口的直连路由仍可以发布出去,无法发送hello报文,接口无法建立邻居
is-is
is-is的基本概念
is-is是一种链路状态路由协议,支持clnp网络,ip网络,采用数据链路层封装
net(网络实体名称)主要用于路由计算,由区域地址(area id)和system id组成
net示例:49.0001.0000.0000.0001.00
49.0001是area id,0000.0000.0001是system id,00是sel
同一区域中所有节点的区域地址都要相同
system id用在区域内唯一标识主机或路由器,长度为6byte
is-is在自治系统内采用骨干区域与非骨干区域两级的大分层结构
- level-1路由器部署在非骨干区域
- level-2路由器和level-1-2路由器部署在骨干路由器
每一个非骨干区域都通过level-1-2路由器与骨干区域相连
level-1路由器只与属于同一区域的level-1和level-1-2路由器形成邻接关系,level-1路由器无法与level-2路由器建立邻接关系
level-1路由器只负责维护level-1的链路状态数据库
level-2路由器是is-is骨干路由器
level-1-2路由器维护两个lsdb
华为路由器默认为level-1-2
is-is使用cost作为路由度量值,cost越小,则路径越优。与ospf不同的是,is-is接口的cost在缺省情况下并不与接口带宽相关,无论接口带宽多大,缺省cost为10
is-is有三种方式来确定接口的开销,按照优先级由高到低为:
- 接口开销:为单个接口设置开销
- 全局开销:为所有接口设置开销
- 自动计算开销:根据接口带宽自动计算开销
is-is的pdu(协议数据单元)有四种类型:iih(is-is hello),lsp(link state pdu,链路状态报文),csnp(complete sequence number pdu,全序列号报文),psnp(partial sequene number pdu,部分序列号报文)
iih:用于建立和维持邻接关系
lsp:用于交换链路状态信息
snp:通过描述全部或部分链路数据库中的lsp来同步各lsdb,从而维护lsdb的完整和同步
tlv的含义是:类型(type),长度(lenth),值(value)
使用tlv结构构建报文的好处是灵活性和扩展性好
is-is邻接关系建立原则
- 只有同一层次的相邻路由器才有可能成为邻接
- 对于level-1路由器来说,area id必须一致
- 链路两端is-is接口的网络类型必须一致
- 链路两端is-is接口的地址必须处于同一网段(默认情况下)
在广播网络中,is-is邻接建立采用三次握手 level-1 iih和level-2 iih发送的组播地址为01-80-c2-00-00-14、01-80-c2-00-00-15
在广播网络中,is-is需要在所有的路由器中选举一个路由器作为dis
dis用来创建和更新伪节点,并负责生成伪节点的lsp,用来描述这个网络上有哪些网络设备。伪节点是用来模拟广播网络的一个虚拟节点,并非真实的路由器
在广播网络中,dis默认发送hello时间间隔为10/3秒
dis默认优先级64,广播网络中,dis选举是抢占模式
isis路由器每隔15分钟周期地泛洪lsp
lsp最大存活时间1200s
p2p链路lsp报文重传时间间隔为5s
level-1和level-2的dis是分别选举的 dis的选举规则如下:
- dis优先级数值最大的被选为dis
- 如果优先级一样,其中mac地址最大的路由器会成为dis
dis发送hello pdu的时间间隔是普通路由器的1/3
is-is中的dis和ospd的dr区别:
is-is中,优先级为0的路由器也参与dis的选举,而在ospf中优先级为0不参与选举
is-is中,当有新的路由器加入,并符合dis的条件,这个路由器会立刻成为dis,在ospf中不会
is-is中,同一网段上的同一级别的路由器之间都会形成邻接关系,包括所有非dis路由器,而在ospf中,路由器只与dr和bdr形成邻接关系
点到点网络中,邻接关系的建立使用两次握手,两次握手机制存在明显的缺陷,华为设备默认使用三次握手
csnp包含该设备lsdb中所有的lsp摘要,路由器通过交互csnp来判断是否需要同步lsdb
- 在广播网络上,csnp由dis定期发送(缺省的发送周期为10秒)
- 在点到点网络上,csnp只在第一次建立邻接关系时发送
psnp只包含部分lsp的摘要信息(与csnp不同)
- 当发现lsdb不同步时,psnp来请求邻居发送新的lsp
- 在点到点的网络中,当收到lsp时,使用psnp对收到的lsp进行确认
is-is协议的基本配置
1.创建is-is进程,进入is-is进程
[huawei]isis 1
进程默认为1
2.配置网络实体名称(net)
[huawei-isis-1]network-entity 01.0000.0000.0001.00
3.配置全局level级别
[huawei-isis-1]is-level {level-1 | level-2 | level-1-2}
4.进入接口视图
[huawei]interface
5.在接口上使能is-is
[huawei-gigabitethernet0/0/1]isis enable 1
6.配置接口level级别
[huawei-gigabitethernet0/0/1]isis circuit-level [ level-1 | level-2 | level-1-2]
7.设置接口的网络类型为p2p
[huawei-gigabitethernet0/0/1]isis circuit-type p2p
8.恢复接口的缺省网络类型
[hauwei-gigabitethernet0/0/1]undo isis circuit-type
9.修改接口的优先级
[huawei-gigabitethernet0/0/1]isis dis-priority 64 [level-1 | level-2]
缺省情况下,is-is接口dis优先级为64
bgp
as之间使用bgp(边界网关协议)进行路由传递
bgp基于tcp(端口号为179),使用触发式更新
两个建立bgp会话的路由器互为对等体
bgp通常被称为路径矢量路由协议
每条bgp路由都携带多种路径属性,bgp可以通过这些路径属性控制路径选择
bgp存在两种对等体关系类型:ebgp和ibgp
- ebpg:位于不同自治系统的bgp路由器之间事务bgp对等体关系。两台路由器之间要建立ebgp对等体关系,必须满足两个条件:
两个路由器as号不同
在配置ebgp时,peer命令所指定的对等体ip地址要求路由可达,并且tcp连接能够正确建立 - ibgp:位于相同自治系统的bgp路由器之间的bgp邻接关系
从ibgp对等体获得的bgp路由,bgp设备只发布给它的ebgp对等体
从ebgp对等体获得的bgp路由,bgp设备发布给它所有ebgp对等体和ibgp对等体
bgp报文类型
| 报文名称 | 作用 | 发送时刻 |
|---|---|---|
| open | 协商bgp对等体参数,建立对等体关系 | bgp tcp连接建立成功以后 |
| update | 发送bgp路由更新 | bgp对等体关系建立之后有路由需要发送或路由器变化时向对等体发送update报文 |
| notification | 报告错误信息,中止对等体关系 | 当bgp在运行中发现错误时,发送notification报文将错误通告给bgp对等体 |
| route-refresh | 用于在改变路由策略后请求对等体重新发送路由信息。只有支持路由刷新能力的bgp设备会发送和响应此报文 | 当路由策略发生变化时,触发请求对等体重新通告路由 |
bpg的报文都是通过单播的方式
bgp存活消息每隔60s发送一次,保持时间180s
bgp状态机
| peer状态名称 | 用途 |
|---|---|
| idle | 开始准备tcp的连接并监视远程对等体,启用bgp时,要准备足够的资源 |
| connect | 开始进行tcp连接,等待完成中,认证都是在tcp建立期间完成的。如果tcp连接建立失败则进入active状态,反复尝试连接 |
| active | tcp连接没建立成功,反复尝试tcp连接 |
| opensent | tcp连接已经建立成功 |
| openconfirm | 参数、能力特性协商成功,自己发送keepalive包,等待对方的keepalive包 |
| established | 已经收到对方的keepalive包,双方能力特性经协商发现一致,开始使用update通告路由信息 |
bgp路由的生成
不同于igp路由,bgp自身并不会发现并计算产生路由,bgp将igp路由表中的路由注入到bgp路由表中,并通过update报文传递给bgp对等体
bgp注入路由的方式
- network
- import-route
network方式注入的路由必须是已经存在于ip路由表中的路由条目
通告原则
- 只发布最优路由
- 从ebgp对等体获取的路由,会发布给所有对等体
- ibgp水平分割:从ibgp对等体获取的路由
bgp设备将最佳路由加入bgp路由表,形成bgp路由
从ibgp对等体获得的bgp路由,bgp设备只发布给它的ebgp对等体
从ebgp对等体获得的bgp路由,bgp设备发布给它所有ebgp和ibgp对等体
当存在多条到达同一目的的地址的有效路由时,bgp设备只将最佳路由发布给对等体
路由更新时,bgp设备只发送更新的bgp路由
所有对等体发送的路由,bgp设备都会接收
配置
1.启动bgp进程
[huawei]bgp 100
启动bgp,指定本地as号
[huawei-bgp]router-id 1.1.1.1
建议将bgp router id配置为设备loopback接口的地址
2.配置bgp对等体
[huawei-bgp]peer 1.1.1.1 as-number 1
指定对等体地址和as号
3.配置建立对等体使用的源地址,ebgp对等体最大跳数
[huawei-bgp]peer 10.0.0.1 connect-interface loopback 1
[huawei-bgp]peer 10.0.0.1 ebgp-max-hop 2
指定的发送bgp报文的源接口,并可指定发起连接时使用的源地址
指定建立ebgp连接允许的最大跳数。缺省情况下,ebgp连接允许的最大跳数为1,即只能在物理直连链路上建立ebgp
bgp路径属性
公认属性是所有bgp路由器都必须能够识别的属性 公认属性分为两类
- 公认必遵:必须包括在每个update消息里
- 公认任意:可能包括在某些update消息里
可选属性不需要都被bgp路由器所识别 可选属性分为两类
- 可选过渡:bgp设备不识别此类属性依然会接受该属性并通告给其他对等体
- 可选非过渡:bgp设备不识别此类属性会忽略该属性,且不会通告给其他对等体
as_path
该属性为公认必遵属性,是前往目标网络的路由经过的as号列表
作用:确保路由在ebgp对等体之间传递无环;另外也作为路由优选的衡量标准之一
路由在被通告给ebgp对等体时,路由器会在该路由的as_path中追加上本地的as号;路由通告给ibgp对等体时,as_path不会发生改变
origin
| 起源名称 | 标记 | 描述 |
|---|---|---|
| igp | i | 如果路由是由始发的bgp路由器使用network命令注入到bgp的,那么该bgp路由的origin属性为igp |
| egp | e | 如果路由是通过egp学到的,那么该bgp路由的origin属性是egp |
| incomplete | ? | 如果路由是通过其他方式学到的,则origin属性为incomplete。如通过import-route命令引入 |
该属性为公认必遵属性,标识了bgp路由的起源。 去往同一个目的地存在多条不同origin属性的路由时,其他条件相同,bgp将按如下的顺序优选路由:igp>egp>incomplete
next_hop
该属性是一个公认必遵属性,用于指定到达目标网络的下一跳地址
该路由器学习到bgp路由后,需对bgp路由的next_hop属性值进行检查,该属性值(ip地址)必须在本地路由可达,如果不可达,则这条bgp路由不可用
在不同的场景中,设备对bgp路由的缺省next_hop属性值的设置规则如下:
- bgp路由器在向ebgp对等体发布某条路由时,会把该路由信息的下一跳属性设置与对端建立bgp邻居关系的接口地址
atomic_aggregate 公认任意
表示某条路由可能出现了路径属性的丢失,收到该路由更新的路由器不能将这条路由再度明细化
med
缺省情况下,去往同一目标的多条路由来自同一个邻居AS,bgp才会比较med值,但是配置compare-different-as-med后,则会比较来自不同邻居AS的med值
med值越小越优先,默认为0
bgp路由优选规则
1.优选preferred-value属性值最大的路由
2.优选local_prefence属性值最大的路由
3.本地始发的bgp路由优于从其他对等体学习到的路由,本地始发的路由优先级:优选手动聚合>自动聚合>network>import>从对等体学到的
4.优选as_path属性值最短的路由
5.优选origin属性最优的路由。origin属性值按优先级从高到低的排列是:igp,egp和incomplete
6.优选med属性值最小的路由
7.优选从ebgp对等体学习的路由(ebgp路由优先级高于ibgp)
8.优选到next_hop的igp度量值最小的路由
9.优选cluster_list最短的路由
10.优选router id(originater_id)最小的设备通告的路由
11.优选具有最小ip地址的对等体通告的路由
路由控制工具
- 路由匹配工具
- 路由策略工具
匹配工具:访问控制列表
acl是一个匹配工具,能够对报文及路由进行匹配和区分
acl由若干条permit或deny语句组成。每条语句就是该acl的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作
通配符 匹配规则:0表示匹配,1表示无需匹配,通配符的1或者0可以不连续
acl的分类
| 分类 | 编号范围 | 规则定义描述 |
|---|---|---|
| 基本acl | 2000-2999 | 仅使用报文的源ip地址、分片信息和生效时间段信息来定义规则 |
| 高级acl | 3000-3999 | 可使用ipv4报文的源ip地址、目的ip地址、ip协议类型、icmp类型、tcp源/目的端口、udp源/目的端口号、生效时间段等来定义规则 |
| 二层acl | 4000-4999 | 使用报文的以太网帧头信息来定义规则,如根据源mac地址、目的mac地址。二层协议类型等 |
| 用户自定义acl | 5000-5999 | 使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则 |
| 用户acl | 6000-6999 | 既可以使用ipv4报文的源ip地址或源ucl(user control list)组,也可以使用目的ip地址或目的ucl组、ip协议类型、icmp类型、tcp源端口/目的端口、udp源端口/目的端口号等来定义规则 |
对于使用acl进行路由匹配的场景,用户只能使用基本acl
匹配工具2:ip前缀列表
ip前缀列表(ip-prefix list)是将路由条目的网络地址、掩码长度作为匹配条件的过滤器,可在各路由协议发布和接收路由时使用。
不同于acl,ip-prefix list能同时匹配ip地址前缀长度以及掩码长度,增强了匹配的精确性。
rstp
stp:
在初始形成stp树的过程中,所由stp交换机会周期性地(hello time,缺省为2s)主动产生并发送配置bpdu,大家都认为自己是根桥
随着bpdu的泛洪和收集,各交换机根据bpdu包含的信息进行比较,并选举出根桥
在此之后(即stp树形成后的稳定期),只有根桥会周期性地主动产生并发送配置bpdu。
stp计算四步骤
1.选举根桥(root bridge)
在一个交换网络中选举一个根桥
2.选举根端口(root port)
在每个非根桥上选举一个根端口
3.选举指定端口(designated port)
为每个网段选举一个指定端口
4.阻塞非指定端口
阻塞交换机上所有剩余地非根、非指定端口
根桥选举:比较根桥id,最小胜出
根端口选举:依次比较rpc、对端bid、对端pid和本端pid,最小胜出
指定端口选举:依次比较rpc、本端bid和本端pid,最小胜出
stp五种端口状态
disable:端口无法接收和发出任何帧,端口处于down
blocking:端口只能接收并处理bpdu,不能发送bpdu,也不能转发用户数据帧,是阻塞端口地最终状态
listening:端口可以接收并发送bpdu,但不进行mac地址学习,也不能转发用户数据帧。这是过度状态
rstp桥默认优先级32768
bpdu保护 建议在边缘端口配置bpdu保护,当边缘端口接收到bpdu,交换机会自动将边缘端口设置为非边缘端口,并重新进行生成树计算
vrrp
vrrp原理与配置
vrrp(虚拟路由器冗余协议)既能够实现网关的备份,又能解决多个网关之间相互冲突的问题,从而提高网络可靠性
vrid:一个vrrp组由多个协同工作的路由器组成,使用相同的vrid进行标识。属于同一个vrrp组的路由器之间交互vrrp协议报文并产生一台虚拟路由器。一个vrrp组只能出现一台master路由器
虚拟路由器:vrrp为每个组抽象出一台虚拟路由器,该路由器并非真实存在的物理设备,而是由vrrp虚拟出来的逻辑设备。一个vrrp组只会产生一台虚拟路由器
虚拟IP及虚拟mac地址:虚拟路由器拥有自己的IP地址以及mac地址,其中IP地址由网络管理员在配置vrrp时指定,一台虚拟路由器可以有一个或多个IP地址,通常情况下用户使用该地址作为网关地址。而虚拟mac地址的格式是"0000-5e00-01xx",其中xx为vrid,ipv6为0000-5e00-02xx
master路由器:在一个vrrp组中承担保温转发任务。在每一个vrrp组中,只有master路由器才会响应针对虚拟IP地址的arp request。master路由器会以一定的时间间隔周期性地发送vrrp报文,以便通知同一个vrrp组中地backup路由器关于自己地存活情况
backup路由器:被称为备份路由器。backup路由器将会实时侦听master路由器发送出来地vrrp报文,它随时准备接替master路由器地工作
priority:优先级是选举master路由器和backup路由器的依据,优先级取值范围0-255,值越大越优先,值相等则比较接口IP地址,大者优先
vrrp只有一种报文,即advertisement报文,基于组播方式发送,因此只能在同一个广播域传播。 advertisement报文的目的组播地址为224.0.0.18
vrrp定义了两个定时器:
- adver_interval定时器:master发送vrrp通告报文时间周期,缺省为1s
- master_down定时器:backup设备监听该定时器超时后,会变为master vrrp协议号112
vrrp的选举
初始创建vrrp的设备工作在initialize状态,收到接口up的消息后,若此设备的优先级小于255,则会先切换至backup状态,等待master_down定时器超时后再切换至master状态
如果优先级高的设备先启动,优先级低的设备后启动,则优先级高的设备先进入master状态,优先级低的设备收到高优先级的vrrp通告报文,自己任处于backup状态
如果优先级低的先启动,优先级高的后启动,则优先级低的先由backup状态切换为master,优先级高的设备收到优先级低的vrrp通告报文,重新进行选举,将优先级高的设备切换至master状态
通常情况下,vrrp路由器的接口IP地址不会与虚拟路由器的IP地址重叠,当然也存在一个特殊情况,例如IP地址资源比较紧缺,会将接口IP地址用于虚拟路由器,此时该路由器将无条件成为master
无法手动将vrrp接口优先级设置为255,当接口ip地址为IP地址拥有者,优先级自动为255
当vrrp优先级设置为0时,表示放弃成为master,被系统保留
vrrp优先级默认100
vrrp主备切换
当master设备主动放弃master时,会发送优先级为0的通告报文,用来使backup设备快速切换成master设备,而不用等到master_down定时器超时。这个切换的时间称为skew_time
当master设备发生网络故障而不能发生通告报文的时候,backup设备并不能立刻知道其工作状态。等到master_down定时器超时后,才会认为master设备无法正常工作,从而将状态切换为master
vrrp配置
[interface-gigabitethernet0/0/0]vrrp vrid 1 virtual-ip 10.0.0.1
[interface-gigabitethernet0/0/0]vrrp vrip 1 priority 200
[interface-gigabitethernet0/0/0]vrrp vrid 1 preempt-mode timer delay 配置抢占延时时间
[interface-gigabitethernet0/0/0]vrrp vrid 1 preempt-mode disable 配置设备采用非抢占模式,默认为抢占
bfd
bfd提供了一个通用的,标准的,介质无关的,协议无关的快速故障检测机制,bfd是一个简单的hello协议。两个系统之间建立bfd会话通道,并周期性发送bfd检测报文,如果某个系统在规定的时间内没有收到对端的检测报文,则认为该通道的某个部分发生了故障
bfd会话建立
bfd会话建立有两种方式,即静态建立bfd会话和动态建立bfd会话。
静态建立bfd会话是指通过命令行手工配置bfd会话参数,包括配置本地标识符和远端标识符等,然后手工下发bfd会话建立请求
动态建立bfd会话的本地标识符由触发创建bfd会话的系统动态分配,远端标识符从收到对端bfd消息的local discriminator的值学习而来
bfd检测模式
异步模式:系统之间相互周期性地发送bfd控制包,如果某个系统在检测时间内没有收到对端发来地bfd控制报文,就宣布会话为down
查询模式:在需要验证连接性地情况下,系统连续发送多个bfd控制包,如果在检测时间内没有收到返回地报文就宣布为down
异步模式和查询模式地本质区别:检测的位置不同,异步模式下本端按一定的发送周期发送bfd控制报文,检测位置为远端,远端检测本端是否周期性发送bfd控制报文;查询模式下本端检测自身发送的bfd控制报文是否得到了回应
bfd检测时间
bfd会话检测时长由tx,rx,dm三个参数决定。bfd报文的实际发送时间间隔,实际接受时间间隔由bfd会话协商决定
本地bfd报文实际检测时间:
- 异步模式:本地bfd报文实际检测时间=本地bfd报文实际接收时间间隔*对端配置的bfd检测倍数
- 查询模式:本地bfd报文实际检测时间=本地bfd报文实际接收时间间隔*本端配置的bfd检测倍数 bfd缺省时间参数:bfd报文发送间隔默认1000毫秒,接受间隔默认1000毫秒 ,本地检测倍数3次
多跳bfd报文,华为缺省端口号为3784
bfd使用的是udp协议
防火墙技术
防火墙特有spu,用于实现防火墙的安全功能
包过滤防火墙的基本原理是:通过配置访问控制列表(acl)实现数据包的过滤
包过滤防火墙是一种基于网络层的防火墙
包过滤防火墙的缺点:
- 随着acl复杂度和长度的增加,其过滤性能呈指数下降
- 静态的acl规则难以适应动态的安全要求
- 包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关
状态检测防火墙是包过滤技术的发展,它考虑报文前后的关联性,检测的是连接状态而非单个报文
状态检测防火墙通过对连接的首个数据包检测而确定一条连接的状态。后续数据包根据所属连接的状态进行控制
华为防火墙确认已创建四个区域,untrust,dmz,trust和local区域
- 默认的安全区域不能删除,也不允许修改安全优先级
- 每个zone都必须设置一个安全优先级,值越大,则zone的安全优先级越高
安全优先级
untrust:5
dmz:50
trust:85
local:100
防火墙的安全区域范围是0-100
堆叠与集群
堆叠(istack),将多台支持堆叠特性的交换机通过堆叠线缆连接在一起,从逻辑上虚拟成一台交换设备
集群(css),将两台支持集群特性的交换机组合在一起,从逻辑上虚拟成一台设备
集群只支持两台设备,一般高端框式交换机支持css,盒式设备支持istack
堆叠系统中所有的单台交换机都成为成员交换机,按照功能不同,可以分为三种角色
- 主交换机(master):主交换机负责管理整个堆叠。堆叠系统中只有一台主交换机
- 备交换机(standby):备交换机是主交换机的备份交换机。堆叠系统中只有一个备交换机。当主交换机故障时,备交换机会接替原主交换机的所有业务
- 从交换机(slave):从交换机用于业务转发,堆叠系统中科院有多台从交换机。从交换机数量越多,堆叠系统的转发带宽越大。除主交换机和备交换机外,堆叠中其他所有成员交换机都是从交换机。当备交换机不可用时,从交换机承担备交换机的角色 堆叠优先级:堆叠优先级是成员交换机的一个属性,主要用于角色选举过程中确定成员交换机的角色,优先级越大表示优先级越高
堆叠成员加入是指向已经稳定运行的堆叠系统添加一台新的交换机
堆叠合并是指稳定运行的两个堆叠系统合并成一个新的堆叠系统
堆叠分裂是指稳定运行的堆叠系统中带电移出部分成员交换机,或者堆叠线缆多点故障导致一个堆叠系统变成多个堆叠系统
#策略路由
策略路由只能根据数据包的三层头部信息来转发数据包,不能依据二层通信
PIM 协议无关组播,目前常用的版本是PIMv2,PIM报文直接封装在IP报文中,协议号为103,组播地址为224.0.0.13
PIM有两种模式:PIM-DM PIM-SM
PIM-DM模式主要用在组成员较少且相对密集的组播网络中
PIM-SM模式主要用在组成员较多且相对稀疏的组播网络中
PIM-SM(ASM)采用接收者主动加入的方式建立组播分发树,需要维护RP,构建RP,注册组播源
PIM-SM(SSM)直接在组播源与组成员之间建立SPT,无需维护RP,构建RPT,注册组播源
以组播源为根,组播源成员为叶子的组播分发树称为SPT,在PIM-DM和PIM-SM均有使用
断言机制
当一个网段内有多个相连的PIM路由器向该网段转发组播报文时,需要通过断言机制(Assert)来保证只有一个PIM路由器向该网段转发组播报文
通过断言机制的选举规则将决定组播路由器的转发行为:
获胜一方的下游接口称为Assert Winner,将负责后续对该网段组播报文的转发
落败一方的下游接口称为Assert Loser,后续不会对该网段转发组播报文,PIM路由器也会将其从(S,G)表项下游接口列表中删除。
选举规则:
1.单播路由协议优先级较高者获胜
2.如果优先级相同,则到组播源的开销较小者获胜
3.如果以上都相同,则下游接口IP地址最大者获胜
以RP为根,组播组成员为叶子的组播分发树称为RPT,在PIM-SM中使用
DR主要用于两个场景
1 组播源所在网段中的DR负责向RP发起组播源注册过程
2 组成员所在网段中的DR负责向RP发起RPT加入过程
DR的选举依赖于PIM的hello报文,DR优先级默认是1,DR优先级值越大,优先级越高,优先级值一样,ip地址大的优先。DR还可以充当IGMPV1的查询器
spt切换的触发条件:当RP或者组成员DR(最后一跳路由器)收到第一个组播数据包之后,就会向源发起spt切换
wlan漫游是指STA在不同ap覆盖范围之间移动且保持用户表业务不中断的行为
实现wlan漫游的两个ap必须把使用同样的ssid和安全模板(安全模板名称可以不同,但是安全模板下的配置必须相同),认证模板的认证方式和认证参数也要配置相同
802.1x是二层协议,要求客户端必须安装软件
filter-policy只能过滤路由属性,无法过滤lsa,不能修改路由属性值
acl可以用来匹配路由