HCIP网工数通Datacom之网工中级（上篇）

提示：这里可以添加系列文章的所有文章的目录，目录需要自己手动添加
例如：第一章 Python 机器学习入门之pandas的使用

---

提示：写完文章后，目录可以自动生成，如何生成可参考右边的帮助文档

---

前言

提示：这里可以添加本文要记录的大概内容：
例如：随着人工智能的不断发展，机器学习这门技术也越来越重要，很多人都开启了学习机器学习，本文就介绍了机器学习的基础内容。

---

策略路由和路由策略

区别和联系：两者都是为了改变网络流量的转发路径，目的一 样，但实现的方式不一样。
路由策略是通过更改某些路由参数影响路由表的路由条目来影响 报文的转发 (例如：filter-policy 、route-policy、cost值修改、 优先级修改等）
策略路由是通过管理员在路由器上面配置策略强制数据包按照策 略转发 ，策略路由优先于路由表。（比如：策略路由可以基于源 地址定制数据的转发路径）

路由策略之filter-policy （路由过滤）

 R1：配置filter-policy 过滤掉7.7.7.0 路由。 acl number 2019 rule 5 deny source 7.7.7.0 0.0.0.255 rule 10 permit #ospf 1 filter-policy 2019 import

策略路由配置—本地方式：只能对由本机主动触发的流量生 效。对流经本机的（转发流量）无效。

R1:
acl number 3000 rule 5 permit ip destination 4.4.4.4 0
policy-based-route aa permit node 10 if-match acl 3000 apply ip-address next-hop 13.1.1.3 (强制下一跳）
ip local policy-based-route aa 本地调用tracert 4.4.4.4 查看下一跳
dis policy-based-route 查看本地策略路由

策略路由-接口方式（基于接口策略路由）

① 分类
acl 2006 rule 5 permit source 1.1.1.2 0
acl 2007 rule 5 permit source 1.1.1.3 0
traffic classifier aaif-match acl 2007
traffic classifier bbif-match acl 2006
② 动作
traffic behavior aazuredirect ip-nexthop 13.1.1.3
traffic behavior bbzuredirect ip-nexthop 12.1.1.2
③ 关联 （策略）
traffic policy temp classifier aa behavior aazuclassifier bb behavior bbzu
④ 接口调用
interface GigabitEthernet0/0/2 ip address 1.1.1.1 255.255.255.0 traffic-policy temp inbound
注意：目前基于接口的策略路由只针对入方向生效dis traffic-policy applied-record查看分类和动作绑定、接口调用情况

BFD

BFD简介 BFD:Bidirectional Forwarding Detection,双向转发检查
概述：：毫秒级链路故障检查，通常结合三层协议（如静态路由、vrrp、 ospf、BGP等）实现链路故障快速切换。
作用：1.检测二层非直连故障 2.加快三层协议收敛

静态路由调用BFD**

**基础配置：**
R1:
ip route-static 2.2.2.0 24 12.1.1.2 preference 50 将路由优先级改为50 设置为优选路径
ip route-static 2.2.2.0 24 21.1.1.2
R2:
ip route-static 1.1.1.0 24 12.1.1.1 preference 50
ip route-static 1.1.1.0 24 21.1.1.1
ping -a 1.1.1.1 2.2.2.2 以1.1.1.1 为源地址ping 2.2.2.2
**配置静态bfd：**
R1：
bfd 全局使能bfd bfd aa bind peer-ip 12.1.1.2 source-ip 12.1.1.1 discriminator local 1 本地标识 两台路由器的标识需要互为对称discriminator remote 2 commit 确认提交配置
ip route-static 2.2.2.0 255.255.255.0 12.1.1.2 preference 50 track bfd-session aa
R2：
bfdbfd aa bind peer-ip 12.1.1.1 source-ip 12.1.1.2 discriminator local 2 discriminator remote 1 commit ip
route-static 1.1.1.0 255.255.255.0 12.1.1.1 preference 50 track bfd-session aa
dis bfd session static查看bfd是否正常运行

动态BFD（static-auto）

动态协商标识

R1:
bfd tt bind peer-ip 12.1.1.2 source-ip 12.1.1.1 auto commit
ip route-static 2.2.2.0 255.255.255.0 12.1.1.2 preference 50 track bfd-session tt
R2:
bfd tt bind peer-ip 12.1.1.1 source-ip 12.1.1.2 auto commit
ip route-static 1.1.1.0 255.255.255.0 12.1.1.1 preference 50 track bfd-session tt
dis bfd session all verbose查看bfd的详情

③ 动态BFD： ospf 调用BFD 加快收敛

配置：
R1：
bfd
ospf 1 bfd all-interfaces enable 所有位于ospf 的接口全部启用
bfd area 0.0.0.0 network 12.1.1.0 0.0.0.255 network 1.1.1.0 0.0.0.255
R2：
bfd
ospf 1 bfd all-interfaces enable
area 0.0.0.0 network 12.1.1.0 0.0.0.255 network 2.2.2.0 0.0.0.255dis bfd session dynamic查看是否启动bfd
dis bfd session dynamic verbose查看是否绑定ospf
dis ospf bfd session all查看ospf的bfd状态

④ bfd 单臂回声：one arm echo

bfd bfd aa bind peer-ip 13.1.1.3 int G0/0/1 source-ip 12.1.1.1 one-arm-echo discriminator local 100
commit
注意：source-ip 12.1.1.1 是BFD报文的源地址，一般使用router id作为源
int g0/0/1 bfd单臂回声报文的目的地址即13.1.1.1通常为出接口（也就是自己的ip）。
peer-ip 13.1.1.3 对端地址bfd需要依靠该地址探测对方的mac地址，同时作为建立bfd 会话使用见下图（并不用作bfd报文目标地址）
ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 preference 50 track bfd-session aa
dis bfd session all verbose查看bfd详细

dhcp 高级配置

① 简单的dhcp 配置（基于接口的dhcp）

interface Ethernet0/0/0 dhcp select interface dhcp server dns-list 114.114.114.114 8.8.8.8
注意：分配接口所在的ip网段，接口地址作为网关。
注意：用户发送的第一个报文：源地址是0.0.0.0 目标地址是 255.255.255.255 。

② dhcp 中继 ：dhcp relay dhcp

调试命令：
dis ip pool 查看dhcp 池摘要
显示dhcp 哪些地址被使用：
dis ip pool interface vlanif100 used
dis ip pool int Ethernet0/0/0/0 used
重置dhcp 分配记录：
reset ip pool interface vlanif100 used
reset ip pool interface Ethernet0/0/0/0 used
reset ip pool name a used
注意：Ethernet0/0/0/0 不要简写

R2:（模拟dhcp server）
ip pool a gateway-list 192.168.8.1 network 192.168.8.0 mask 255.255.255.0 dns-list 114.114.114.114 8.8.8.8
ip pool b gateway-list 192.168.9.1 network 192.168.9.0 mask 255.255.255.0 dns-list 114.114.114.114 8.8.8.8
int e0/0/0 dhcp select global
ip route-s 0.0.0.0 0 12.1.1.1 模拟网关
vlan trunk 配置略
dhcp中继sw1：
interface Vlanif8ip address 192.168.8.1 24 dhcp select relay dhcp relay server-ip 12.1.1.2
interface Vlanif9 ip address 192.168.9.1 24 dhcp select relay dhcp relay server-ip 12.1.1.2

**dhcp 中继原理：**由于dhcp服务器和用户不在同一个vlan(即不在一个广播 域），因此dhcp 广播报文无法发送到dhcp 服务器，此时在核心交换机上面 配置dhcp中继 将dhcp 广播请求变为单播发送到dhcp 服务器。源地址由 0.0.0.0 变成相应vlanif 接口的ip地址，目标地址由255.255.255.255 变成 dhcp 服务器的单播地址。广播包变成单播包被中继到dhcp 服务器，完成地 址分配。

③ dhcp snooping ：防止非法的dhcp 服务器

接入层交换机sw2：
dhcp enable
dhcp snooping enable
vlan 8 dhcp snooping enable
int e0/0/2 将上联口设置为信任接口（默认所有的接口都是非信任口）dhcp snooping trusted
sw3：和sw2 类似

④ dhcp 可选配置 排除地址：

R2：
ip pool a excluded-ip-address 192.168.8.250 192.168.8.254
给固定该的mac地址分配固定的ip地址：
ip pool a static-bind ip-address 192.168.8.8 mac-address 5489-987d-4dff
注意：如果指令报冲突错误，需要在用户端ipconfig /release 即可。
dis ip pool name a used 查看a地址池ip使用情况

⑤ dhcp 安全防护

禁止用户手动配置静态ip地址，防止ip地址冲突（模拟器不支 持）
利用dhcp snooping 建立ip-mac-接口 的检查映射表项（适合 企业用户采用动态ip获取的企业）

一、利用自动建立的映射表项

接入交换机：
dis dhcp snooping user-bind all 该表是一个动态表，插拔接口 或者从新获取地址，该表都会被 刷新掉！
注意：该映射表是交换机通过窥探dhcp 报文而建立的映射表。int e0/0/1 (连接用户的接口）
ip source check user-bind enable 开启ip源地址检查功能
此时如果用户手动配置静态地址，由于接口没有映射，此时交换机会直接将 报文丢弃。（模拟器bug ，不支持）

二、静态建立ip-mac-接口检查表项（这种方法适用于企业静态给用户配置ip地址的情况）：防止用户私自修改ip地址。

user-bind static ip-address 192.168.31.7 mac-address 0021-cccf-1d28 int E0/0/2 静态建立检查表项
int E0/0/2 ip source check user-bind enable
dis user-bind all查看用户手动静态的绑定表项
dis dhcp static user-bind 查看用户手动静态的绑定表项可选配置： 将dhcp snooping动态绑定表项保存到flash防止重启丢失
dhcp snooping user-bind autosave flash:/backup.tbl

即可 接在e0/0/2口的PC,只能是31.7,mac是1d28 才可以 通过 e0/0/2口 若ip和mac 不匹配则报文将被直接丢弃 （模拟器bug 不支持）。

可靠型企业网方案

方案① vrrp+mstp（传统，公有技术，造价小，技术复杂，管理 难度大，旧网改造，老旧设备）
方案② 堆叠技术 （推荐，现代，造价高，技术简单，管理简 单，私有技术，新建网络）

多生成树协议

MSTP（Multiple Spanning Tree Protocol）
华为交换机：出厂默认运行mstp协议，默认情况下所有的vlan 都属于组0 （instance 0 ）。
默认的mstp域名是交换机的桥mac地址。

dis stp region-config 查看默认出厂配置配置前提:所有交换机vlan trunk提前配置，每台交换机vlan保持一 致。
所有的交换机mstp配置：
stp region-configuration 进入mstp配置界面
region-name aa 配置mstp域名
revision-level 1 配置修订号
instance 1 vlan 2 to 3 将vlan2 、3 映射到实例1
instance 2 vlan 4 to 5
active region-configuration 激活mstp 配置dis stp instance 2查看组2

VRRP主备备份

配置：
R1:
interface GigabitEthernet0/0/0 ip address 192.168.10.254 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.10.1vrrp vrid 1 priority 105
R2:
interface GigabitEthernet0/0/0 ip address 192.168.10.253 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.10.1 接入层二层交换机空配置 做透明

关于优先级：0和255
VRRP优先级的取值范围为0到255（数值越大表明优先级越高），可配置的 范围是1到254，优先级0为系统保留给路由器主动放弃Master位置时候使 用，255则是系统保留给IP地址拥有者使用。若VRRP路由器的IP地址和虚拟 路由器的接口IP地址相同，则该VRRP路由器被称为该IP地址的所有者；IP地 址所有者自动具有最高优先级：255。因此，当备份组内存在IP地址拥有者 时，只要其工作正常，则为Master路由器。
比如：在master ip地址所有者上面 undo ip add使其主动放弃 master地位。
注意1：优先级的范围0-255.可手动配置的优先级范围1-254.
注意2：默认开启抢占，抢占时延0s。配置抢占时延仅对普通 vrrp生效，对ip地址拥有者（使用接口ip作为虚拟ip）不生效。

 int gi 0/0/x vrrp vrid 1 preempt-mode timer delay 6 （改为6s） 修改抢占时延命令dis vrrp brief

跟踪上联接口（track )

R1: interface GigabitEthernet0/0/0 ip address 192.168.10.254 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.10.1vrrp vrid 1 priority 105 vrrp vrid 1 track interface GigabitEthernet0/0/1
注意：被跟踪的接口故障后，优先级会自动减10.
vrrp 联动BFD
R1 R3:
bfd bfd aa bind peer-ip 12.1.1.2 source-ip 12.1.1.1 auto commit
R1:
int gi 0/0/0 vrrp vrid 1 track bfd-session session-name aa

vrrp 负载分担模式

路由器： 注意：一个路由器接口可以配置多个vrrp组，vrrp组虚拟的ip地 址必须和当前接口的ip在同一个网段。
关键配置：设置vlan2，3路由走左边优先，vlan4，5路由走右边优先。

三层交换机：（重点） vlan trunk 提前配置！！ sw2：
interface Vlanif2
ip address 192.168.2.254 24
vrrp vrid 2 virtual-ip 192.168.2.1
vrrp vrid 2 priority 105 #
int vlan 3,4,5 省略sw3：
interface Vlanif2
ip address 192.168.2.253 24
vrrp vrid 2 virtual-ip 192.168.2.1 #dis vrrp brief查看vrrp

VRRP+MSTP

略

hybrid 接口简介
a 华为交换机接口的默认类型hybrid。
b 该接口功能包含access和trunk 的两种特性
c 该接口配置灵活，通过该接口的报文是否打tag 由 管理员决 定。
d 该接口具备特殊用法 用于特殊场景：
例如 基于mac地址划分 vlan 例如用于WLAN 等 e hybrid 接口允许多个vlan 不打标签通过

hybrid 当成access：
interface GigabitEthernet0/0/1 port hybrid pvid vlan 10 port hybrid untagged vlan 10 undo port hybrid vlan 1hybrid 当成trunk sw1：
int gi 0/0/2 port hybrid tagged vlan 10

配置：PC1 和PC2 隔离 同时两台PC都可以访问网关路由。

interface GigabitEthernet0/0/1
port hybrid pvid vlan 30
port hybrid untagged vlan 10 20 30
#
interface GigabitEthernet0/0/2
port hybrid pvid vlan 10
port hybrid untagged vlan 10 30
#
interface GigabitEthernet0/0/3
port hybrid pvid vlan 20
port hybrid untagged vlan 20 30

根据mac地址划分vlan：

DHCP 地址池配置略
vlan 10 mac-vlan mac-address 5489-9822-75a6
vlan 20 mac-vlan mac-address 5489-98d1-45e9
interface GigabitEthernet0/0/1 port hybrid untagged vlan 10 20 30 40 mac-vlan enable
#
interface GigabitEthernet0/0/2 port hybrid untagged vlan 10 20 30 40 mac-vlan enable
#
interface GigabitEthernet0/0/x port hybrid untagged vlan 10 20 30 40 mac-vlan enable

vlan 高级技术

基于ip子网划分vlan

 传统配置略 sw2：
vlan batch 10 20
vlan 10 ip-subnet-vlan 1 ip 192.168.10.0 24
vlan 20 ip-subnet-vlan 1 ip 192.168.20.0 24
int gi0/0/1 port hybrid untagged vlan 10 20ip-subnet-vlan enable
#
dis ip-subnet-vlan vlan all查看ip子网vlan

super vlan 超级vlan

sw1：
interface GigabitEthernet0/0/1port link-type access port default vlan 10
#
interface GigabitEthernet0/0/2 port link-type access port default vlan 10
#
interface GigabitEthernet0/0/3 port link-type access port default vlan 20 #
interface GigabitEthernet0/0/4 port link-type access port default vlan 20 #
interface GigabitEthernet0/0/5port link-type trunk port trunk allow-pass vlan 10 20
sw2：
vlan batch 10 20 30
interface Vlanif30 ip address 192.168.1.1 24
interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 10 20
vlan 30 聚合vlan 父vlan aggregate-vlan access-vlan 10 20 子vlan

注意1：不允许将物理接口access 到聚合vlan，且trunk接口不允许聚合vlan 通过。聚合vlan 30 仅仅是一个逻辑的vlan。
注意2：如果想允许vlan间单播互访，需要在sw2 上面启用arp代理功能。

sw2：
int vlanif 30 arp-proxy inter-sub-vlan-proxy enable

QinQ

省略

vlan mapping

省略

mux vlan

概述 MUX VLAN提供了一种通过VLAN进行网络资源控制的机制。它既可实现VLAN间用户通 信，也可实现VLAN内的用户相互隔离。常见的场景有宾馆酒店，小区宽带接入和企业内部。 他们的特点是一个宾馆或者一个小区或一个公司同用一个VLAN，但每个房间，每户人家，每 个部门又彼此隔离。
与Super VLAN相比，MUX VLAN属于二层交换机功能，Super VLAN属于三层功能，需 要三层交换机支持。MUX VLAN对用户间的访问控制灵活性好，但MUX VLAN配置较为复 杂。在企业网络中，企业所有员工都可以访问企业的服务器。但对于企业来说，希望企业内部 部分员工之间可以互相交流，而部分员工之间是隔离的，不能够互相访问。

一、主VLAN端口可以和所有VLAN通信
二丶互通型从VLAN可以和自己vlan间成员通信和主vlan通信
三、隔离型从VLAN只能和主VLAN通信，自己VLAN的成员也不可通信

group vlan ：互通型vlan
separate vlan：隔离型vlan

配置注意事项：
如果指定VLAN已经用于Principal VLAN，那么该VLAN不能再在VLAN Mapping、 VLAN Stacking、Super VLAN、Sub VLAN的配置中使用。但是主vlan 可以创建vlanif 接口。
如果指定VLAN已经用于Group VLAN或Separate VLAN，那么该VLAN不能再用于 创建VLANIF接口，或者在VLAN Mapping、VLAN Stacking、Super VLAN、 SubVLAN的配置中使用。
禁止接口MAC地址学习功能或限制接口MAC地址学习数量会影响MUX VLAN功能 的正常使用。
不能在同一接口上配置MUX VLAN和接口安全功能。
不能在同一接口上配置MUX VLAN和MAC认证功能。
不能在同一接口上配置MUX VLAN和802.1x认证功能。
接口使能MUX VLAN功能后，该接口不可再配置VLAN Mapping、VLAN Stacking。
华为交换机配置典型案例集锦chm 堆叠 很好 好书
mux vlan 配置

交换机是纯二层交换机
sw配置：
vlan batch 2 3 10
vlan 10 mux-vlan 将vlan 10 设置为主vlan subordinate separate 2 将vlan2 设置vlan隔离vlan（隔离型vlan） subordinate group 3 将vlan3 设置为群组vlan(互通型vlan）
interface GigabitEthernet0/0/5 /接口5 划到vlan 10 并开启mux vlan port link-type access port default vlan 10 port mux-vlan enable
interface GigabitEthernet0/0/1 /接口1 划入vlan 2 并开启mux vlan port link-type access port default vlan 2 port mux-vlan enable
#
interface GigabitEthernet0/0/2 port link-type access port default vlan 2 port mux-vlan enable
#
interface GigabitEthernet0/0/3 port link-type access port default vlan 3 port mux-vlan enable
#
interface GigabitEthernet0/0/4 port link-type access port default vlan 3 port mux-vlan enable
调试：
dis vlan
dis mux-vlan

mux对比端口隔离和acl的优势：
端口隔离：mux vlan 和端口隔离 以及 ACL 对比 端口隔离无法跨越交换机生效，而mux vlan可以跨越交换机生 效。
acl：acl 只能在vlan 之间做访问控制，无法实现vlan 内部资源隔离。
mux vlan 功能更强大，更灵活，兼有端口隔离和acl 两者的特 点，同时还可以节省vlan（不同vlan 相同网关） 。
什么时候使用mux？
如果是大型 企业，且要求复杂，建议使用mux vlan 。简单要求 使用端口隔 离和acl 即可。

交换机端口安全

int gi 0/0/x port-security enable   启用端口安全，默认只允许一个MAC地址进入
#
port-security max-mac-num 2 允许两个MAC（可选）
#
port-security mac-address sticky 开启mac地址绑定（可选）自动粘贴MAC
#
port-security mac-address sticky 5489-985E-0385 vlan 1
（该指令不显示,需到mac-address 表查看效果）手动绑定mac地址（可选）dis mac-address查看验证

可选命令保护动作：

int g0/0/2port-security protect-action [protect | restrict(默认) | shutdown]
protect ：多余的pc不允许通过
restrict：多余的pc不允许通过，并且发出日志警告
shutdown:关闭端口
注意：mac地址一旦被粘贴到接口，交换机重启后依然被粘贴再接口。

二层acl 实现端口安全：

sw1:
acl number 4000 rule deny source-mac 5489-981c-6e9a rule permit
int gi 0/0/1 traffic-filter inbound acl 4000

端口镜像

作用：① 用来方便管理员维护查看网络流量（抓包） ② 用来 配合IDS、堡垒机等安全设备使用 （模拟器无法看现象）
配置：

交换机配置

observe-port 1
interface gi 0/0/3 将3口配置为观察接口
int gi 0/0/2 port-mirroring to observe-port 1 both
将gi0/0/2口的报 文进出的流量镜像一份发给观察组1（也就是gi 0/0/3).
#
dis port-mirroring查看

R1路由器（模拟器无法看现象）

observe-server destination-ip 5.5.5.5 source-ip 3.3.3.1
int e0/0/0 mirror to observe-server both

堆叠

概念：堆叠是指将多台交换机设备通过线缆连接后组合在一起， 虚拟化成一台设备，是一种横向虚拟化技术。
可靠组网： ① VRRP+MSTP （传统） ② 堆叠+链路捆绑 （推荐） 堆叠：CSS（框式） 、iStack（盒式）
思科：VSS 华三：IRF 锐捷：VSU
注：堆叠技术是厂商的私有技术，用于堆叠的设备一般是同一个 系列，最好是同一个型号。

堆叠作为一种横向虚拟化技术，将多台设备在逻辑上虚拟成一台 设备，可以简化网络的配置和管理。同时，结合跨设备链路聚合 技术，不仅可以实现设备及链路的高可靠性备份，而且可以避免 二层环路。相对传统的STP破环保护，逻辑拓扑更加清晰、链路
利用更加高效。

堆叠端口：（逻辑端口）
华为：stack-port 0/1 华三：irf-port 1/1
注意：每台交换机上逻辑的堆叠端口最多有两个。

① 堆叠卡堆叠

连接注意事项： 堆叠连接时一台交换机的stack1端口只能与另一台交换机的 stack2端口相连接，即交叉连接！！
对于业务口堆叠要求逻辑堆 叠端口进行交叉连接。 华为堆叠配置：
步骤① 关闭电源 插上堆叠卡（此时未插堆叠线） 上电

 <HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] stack enable <HUAWEI> system-view [HUAWEI] sysname SwitchB [SwitchB] stack enable <HUAWEI> system-view [HUAWEI] sysname SwitchC[SwitchC] stack enable

使能堆叠后，需要重启设备才能生效。堆叠功能生效后才能配置 堆叠ID和堆叠优先级。

步骤② 配置优先级 和成员ID 配置堆叠ID和堆叠优先级。堆叠ID缺省值为0，堆叠优先级缺省 值为100。

[SwitchA] stack slot 0 priority 200 //修改主交换机的堆叠优先 级为200，大于其他成员交换机。堆叠ID采 用缺省值0。
[SwitchB] stack slot 0 renumber 1 //堆叠优先级采用缺省值 100。修改堆叠ID为1。
[SwitchC] stack slot 0 renumber 2 //堆叠优先级采用缺省值 100。修改堆叠ID为2。

步骤③ 保存 重启 交叉连接堆叠线 堆叠连接时，一台交换机的STACK 1端口只能与另一台交换机的 STACK 2端口相连接，否则堆叠组建不成功。即交叉连接堆叠 线。为保证堆叠组建成功，建议按照以下顺序进行连线上电（如果用 户希望某台交换机为主交换机可以先为其上电）
步骤④ 检查堆叠是否成功

dis stack

② 业务口堆叠（istack）

注意：业务口堆叠不同软件版本略有差异 本笔记以华为VRP： v200R003-V200-R006 为例

① 配置逻辑堆叠端口并添加物理成员端口。
#配置SwitchA的业务口27、28为物理成员端 口，并 加入到相应的逻辑堆叠端口。 <HUAWEI> system-view
sysname SwitchA
interface stack-port 0/1 port interface gigabitethernet 0/0/27 enable
interface stack-port 0/2 port interface gigabitethernet 0/0/28 enable
#配置SwitchB的业务口27、28为物理成员端口， 并加入到相应的逻辑堆叠端口。
<HUAWEI> system-view
sysname SwitchB
interface stack-port 0/1 port interface gigabitethernet 0/0/27 enable
interface stack-port 0/2 port interface gigabitethernet 0/0/28 enable
#配置SwitchC的业务口27、28为物理成员端口，并加入到相应的逻辑堆叠端口。
<HUAWEI> system-view
sysname SwitchC
interface stack-port 0/1 port interface gigabitethernet 0/0/27 enable
interface stack-port 0/2 port interface gigabitethernet 0/0/28 enable ② 配置堆叠ID和堆叠优先级。堆叠ID缺省值为0，堆叠优先级缺省值为100。
[SwitchA] stack slot 0 priority 200 //修改主交换机的堆叠优先级为200，大于其他成员交换机。堆叠ID采 用缺省值0。
[SwitchB] stack slot 0 renumber 1 //堆叠优先级采用缺省值100。修改堆叠ID为1。
[SwitchC] stack slot 0 renumber 2 //堆叠优先级采用缺省值100。修改堆叠ID为2。

③ 通过关闭设备电源开关，将SwitchA、SwitchB、SwitchC下电，按照 图2-14所示，使用 SFP+电缆连接后再上电。
下电前，建议执行save命令保存配置。 本设备的stack-port 0/1必须连接邻设备的stack-port 0/2，否则堆叠组建不 成功。为保证堆叠组建成功，建议按照以下顺序进行连线上电（如果用户希 望某台交换机为主交换机可以先为其上电。）
④ 检查

dis stack

华三堆叠实验

sw1:
irf member 1 priority 5 将sw1 优先级配置为5 使其成为master
int ten 1/0/49
shutdown 接口需先shutdown
irf­port 1/1 创建irf 接口1/1
port group interface Ten­GigabitEthernet1/0/49 注意：1 表示member ID 1 表示irf 接口ID
注意2：第二数字最多是2即一台交换机上的IRF port 接口最多有 两个，而且irf port接口连接时必须交叉连接。 例如：1/1­­2/2 2/1­­­3/2sw2:
irf member 1 renumber 2 将sw2 重新编号 2
save
reboot 重启
int Ten­GigabitEthernet 2/0/49
shutdown
irf­port 2/2
port group interface Ten­GigabitEthernet2/0/49
注意：以下配置注意顺序
sw1:
int ten 1/0/49
undo shut
<>save
sw2:
int ten 1/0/49
undo shut
<>save建议先将堆叠线拔下来，然后在激活，激活完成之后再插线 激活irf：
sw1 sw2：
[ ]irf­port­configuration active save
最后将线缆连接dis irf查看堆叠状态

堆叠实战实验：

配置分为七个部分： （dhcp 、安全、运维管理等特性在此省略）
① 堆叠配置 ② 链路聚合 ③ vlan trunk ④ MAD 多主检测 ⑤ 出口路由 ⑥ NAT ⑦ 扩展为三层架构
略

OSPF

ospf 设计多区域原因：
① 每个区域的路由器只需同步自己所在区域的链路状态数据 库，分区域设计可以使得每个区域的链路状态数据库得以减少。 以降低路由器cpu、内存的消耗。
② 避免某区域内的网络故障（例如：接口频繁up down）而引 发整个网络所有路由器的路由计算，进而提升网络的稳定性。即 降低area x 网络故障对其他区域的影响。
注意：常规区域必须和骨干区域直接相连。如果常规区域没有何 骨干区域直接相连，此时需采用虚链路来将常规区域连接到骨干 区域。

< >reset ospf process 重启ospf 进程，测试是否会网络震荡

odpf多区域实验：略

OSPF 开销计算
注意：ospf 开销计算既看“距离”也看带宽，综合评定！ cost= 沿途累加（100M/链路带宽） 100M属于默认参考带宽
串行链路的带宽：2.048Mbps 开销=48

 ospf 1 bandwidth-reference 10000 将参考带宽改成10G 要所以路由器都改int gi 0/0/x （接口必须是路由进入的方向） ospf cost 55 手动修改链路的开销影响选路

OSPF 虚链路

ABR：area boundary router 区域边界路由器
ASBR： autonomous system boundary router 自治系统边界路由 器
router id ：代表运行ospf 路由器的身份ID “路由器的身份证 号”。
仅在ospf 进程刚启动的时候选举出来，选出后则不再改 变，除非重启ospf 进程。

注意：虚链路属于骨干区域的延伸。属于骨干区域的一部分

R2: ospf 1 area 0.0.0.2 vlink-peer 3.3.3.3 （3.3.3.3是对方路由器的router id）
R3: ospf 1 area 0.0.0.2 vlink-peer 2.2.2.2
#
dis ospf vlink

OSPF 邻居建立过程

互相发送hello报文—>邻居—>泛洪LSA（互相传递链路信 息）---->LSDB—>运行SPF算法---->生成最优路由---->路由 表

OSPF 邻居建立过程 图片

ospf5种报文

图片

邻接：链路状态数据同步 Full
邻居：进展到 2-way

邻居关系建立状态：

Init ：初始化状态 准备建立邻居
two-way：互相得知对方的router id 等信息（互相认识）
exstart：准备开始交互链路信息（ospf 隐式确认机制，确定主 从关系）
exchange：正式交互链路信息
loading：确认链路信息交互 full ：完全同步

邻居建立条件： ① 直连通信 ② network 宣告网段 ③ 认证通过 ④ area id 一致 ⑤ hello dead 时间一致 ⑥ Option Ebit位 Nbit位 一致（stub、 nssa 区域） ⑦ 掩码一致（针对多路访问网络） ⑧ 静默端口 ⑨ MTU（思科检查，华为不检查） ⑩ 版本一致 11. router id 不能冲突

注意：MTU 包含在DD报文里面的。 OSPF的特殊区域有STUB和NSSA，分别对应如下的情况：
STUB区域：E 比特位= 0 Nbit=0
NSSA区域：E 比特位= 0 N比特位=1

dis ospf int g0/0/0
reset ospf counters 重置ospf error 计数

DR和BDR

DR：designate router 指定路由器 (班长）
BDR：backup DR 备份指定路由器 （副班长）
目的：减少重复LSA报文的发送，减少邻接关系的建立，提升 ospf协议报文的传输效率，降低网络资源的消耗。
注意：DR和BDR的选举仅在多路访问环境才会选举。在点到点 的环境不选举DR和BDR。
注意：P2MP 手动配置接口的网络类型

选举规则：
① 接口优先级 + rouer-id，越大越优先。默认ospf接口优先 级都是1.
② 优先级为0 表示不参与DR和BDR的选举
③ 遵循不抢占原则。

修改优先级：
int gi 0/0/x ospf dr-priority 10

邻居和邻接关系

网络类型，是否和邻居建立邻接关系 图片

邻居（Neighbor）关系与邻接（Adjacency）关系是两个不同的概念。 OSPF路由器之间建立邻居关系后，进行LSDB同步，最终形成邻接关系。
在广播型网络及NBMA网络上，DRother之间只能建立邻居关系，不能建立 邻接关系，DRother 与DR/BDR路由器之间会建立邻接关系，DR与BDR之间 也会建立邻接关系。
注意1：在broadcast型网络里面默认所有路由器发送hello报文的目标地址都 是：224.0.0.5.
注意2：DR other 发送（LSU LsACK）目标地址是224.0.0.6
DR BDR 发送（LSU LsACK）目标地址是224.0.0.5

OSPF路由引入

ospf 路由种类：
ospf ：ospf 普通的路由
o_ASE :ospf 自制系统外部路由
o_NSSA：ospf 特殊区域的路由

O_ASE:外部路由的种类：autonomous system external
a : type 2 (默认种类），cost值始终1 不累加
b ：type 1 ，cost 沿途累加

使用ospf 引入缺省路由：
ospf 1default-route-advertise always 动态下发缺省路由
#
在ASBR： R8：
ospf 1 import-route rip 1 将rip 1 的路由引入ospf 区域
#
rip 1 import-route ospf 1 将ospf 区域的路由全部引入rip 区域

OSPF LSA lsa：link state advertise 链路状态宣告 ，封装在LSU里面
三元组：LS type，Link State ID和Advertising Router的组合共 同标识一条LSA。
三张表： 邻居表dis ospf peer brief 拓扑表（链路状态数据库）dis ospf lsdb 路由表dis ip routing-table

一型LSA：router lsa

每个路由器都可以发出，仅在自己area 区域发送 通告自身链路状态信息（自报家门）
dis ospf lsdb router
注意：Advrouter （advertised router ）总是代表宣告该lsa的 路由器的router id 。
注意2:一型 LSA linkstate ID 代表 路由器的router id。 （不同类型的lsa代表的意义不一样。）

二类 LSA：Network lsa

只有DR可以发出，仅在自己area区域发送 通告DR的位置和身份以及本广播域的所有成员及链路信息
dis ospf lsdb network
注意：二型 LSA linkstate ID 代表 DR的接口IP地址。

三型LSA:network-summary lsa

只能由ABR发送（类似班级的辅导员） 可以穿越整个ospf自制系统（中间需要各个ABR中转） 将不同区域的ospf 路由信息互相传递
dis ospf lsdb summary
注意：三型 LSA linkstate ID 代表网段路由信息。

四型LSA：asbr lsa

只能由各ABR发送 发送范围整个ospf自制系统 通告ASBR的身份和位置信息
dis ospf lsdb asbr
注意：四型 LSA linkstate ID 代表ASBR的router id。

五型LSA：External lsa

ASBR发出 发送范围整个ospf自制系统 引入其他自制系统的路由信息
dis ospf lsdb ase
注意：五型 LSA linkstate ID 代表其他自制系统的路由信息。

七型 LSA：nssa lsa

由位于nssa区域的ASBR产生 发送范围仅仅是nssa区域（传至abr时会转换成5型继续传递） 作用是将nssa区域后的自制系统外部路由引入ospf自制系统

ospf 路由种类：
ospf ：1、2 3型lsa
O_ASE: 靠5型和 4型 产生 该路由 （O_ASE:ospf_AS_External ）
O_NSSA :7型LSA
External :外部的

Adv rtr：产生此LSA 的ABR路由器的Router ID。
Metric：ABR到达目的网段的开销值。
注意1：一条三型LSA只能描述一条路由信息。
注意2：三型LSA只传递路由信息，并未传递原始的拓扑信息。

ospf 区域内的防环：SPF算法 ospf 区域间的防环：
① 骨干区域和非骨干区域的拓扑设计 （只有一个骨干区域，非骨干区域必须直接和骨干区域相连）
② 三类LSA的传递规则（从骨干区域传递到非骨干区域的三类 LSA，不能回传到骨干区域。

OSPF 路由汇总

路由汇总作用：
① 减小路由表的大小，提高路由的查找速度，降低路由器资源 的开销。
② 避免明细路由频繁down up 影响范围过大，进而避免路由震 荡。提升网络的稳定性。
注意：ospf 的路由汇总只能汇总路由信息，无法汇总链路拓扑信 息。
ospf 区域间的汇总：只能在ABR上面进行配置 ospf 1 area 0.0.0.1 abr-summary 6.6.0.0 255.255.240.0
自制系统间的汇总：只能在ASBR上面配置 ospf 1 asbr-summary 9.9.0.0 255.255.240.0

OSPF特殊区域（优化技术）

作用： ① 减小末节区域LSDB规模以及路由表大小，降低边缘路由器资 源开销（内存 cpu等）
② 减少其他自制系统或区域网络变化对末节区域的影响，减少 路由震荡提升网络的稳定性。

特殊区域stub ：

末节区域 不接收四、五型的lsa
R1 R6： ospf 1 area 1 将区域1 配置为stub区域 stub
工作原理：不接收4、5型LSA，同时自动形成指向中间路由器 ABR的缺省路由。

注意1：area 0 不能配置为stub区域。
注意2：虚链路属于骨干区域的延伸，虚链路所在的区域不能配 置为stub区域。
注意3：stub区域内不存在ASBR

totally-stub 完全末节区域：

追加关键字no-summary ，不接收 三、四、五 型的LSA
R1 R6： ospf 1 area 1 stub no-summary

NSSA 区域 (not so stub area)：不完全末端区域

R1 R6： ospf 1 area 1 nssa
特点：不接收4、5型lsa，但是同时可以产生7型的lsa。

totally-nssa：加关键字no-summary 可以过滤掉3 4 5 的LSA

ospf 1 area 1 nssa no-summary

OSPF静默接口

ospf 1 silent-interface GigabitEthernet0/0/0 将gi0/0/0 配置为静默 接口
注意：路由器不会从静默接口向外发送任何ospf 相关报文。

OSPF认证

int gi0/0x ospf authentication-mode md5 1 cipher abc123
< >reset ospf counters 清空ospf error 缓存
ospf 1 area 0.0.0.2 authentication-mode md5 1 cipher abc123 将位于area 2 里面的所有接口全部开启认证

前缀列表 acl 既能用于ip报文的过滤（包过滤），也能用于路由信息的匹 配，但用于匹配路由时仅能匹配路由前缀无法匹配掩码。
前缀列表能同时匹配前缀和掩码长度但仅能用于路由信息的过 滤，不能用于ip报文的过滤（包过滤）。

OSPF 路由过滤

ospf 1 filter-policy 2000 import
acl  2000 rule 5 deny source 2.2.2.2 0 rule 10 permit
注意：由于ospf 传递的是链路信息，因此filter-policy import 指令只能阻止链路信息进入路由表。 LSA会继续传递给其邻居！！
ospf 1 import-route rip 1 route-policy aa
route-policy aa permit node 10
if-match acl 2005
acl 2005 rule 5 deny source 9.9.8.0 0.0.0.255 rule 10 permit

ospf 多进程

ospf 多进程
a 进程号本台路由器有效
b 两台路由器，进程号不同可以建立邻居并传递路由
c 同一台路由器，不同的ospf 进程默认不能互串路由，多个进程 独立运行，互不干扰
d 默认的ospf 进程是1

ISIS:

Intermediate System to Intermediate System的简 称 中间系统到中间系统 中间系统：路由器 isis 是一个主要应用于运营商的路由协议，其应用规模和算法 和OSPF类似。
isis 路由优先级：15
直连 0 静态路由 60 rip 100 ospf 10 isis 15
内部网关路由协议 IGP：rip ospf isis
外部网关路由协议EGP：BGP
ISIS扩展性极强：TLV type：类型 length：长度 value：数值

ISIS协议特点：

① IS 指路由器
② isis 属于大型内部网关路由协议类似ospf，多用于运营商，普 通企业网很少使用。
③ 使用SPF算法，链路状态类路由协议。
④ ISIS 最早是基于OSI 模型设计，而ospf、rip、以及常见的以 太网数据包封装都是基于TCP/IP模型。
⑤ ISIS 划分区域是基于路由器的。即一个路由器只能属于一个 区域
⑥ ISIS 基于链路层 OSPF基于网络层 骨干区域：
骨干区域：连续的一片Level 2 路由器（包含L 1 2)的集合。即 底色为灰色区域。

isis 路由器的种类

① Level 1路由器：仅收发L1 isis报文
② Level 2路由器：仅收发L2 isis报文
③ Level 1 2路由器：可以收发L1 和L2的
isis报文 ISIS 报文种类：L1 L2

邻居关系：L1 L2
注意事项：Level 1 路由器不能跨区域建立邻居关系。Level 1 邻 居关系不能跨区域建立。

isis实验

R1:
router id 1.1.1.1 isis 1
network-entity 49.0001.0000.0000.0001.00
is-level level-1
interface GigabitEthernet0/0/0
ip address 10.1.123.1 255.255.255.0
isis enable 1
interface LoopBack0
ip address 1.1.1.1 255.255.255.0
isis enable 1
R2:
router id 2.2.2.2 isis 1
network-entity 49.0001.0000.0000.0002.00
interface GigabitEthernet0/0/0
ip address 10.1.123.2 255.255.255.0
isis enable 1
#
interface GigabitEthernet0/0/1
ip address 10.1.24.2 255.255.255.0
isis enable 1
interface LoopBack0
ip address 2.2.2.2 255.255.255.0
isis enable 1
R3，4，5，6，7略

注意： 49.0001.0000.0000.0001.00 49.0001 表示区域id （49 国际组织分配 49表示任意使用类似私有ip） 0000.0000.0001 系统id 表示某个路由类似
router id 00 代表isis 工作于IP网络中 router id 和系统id 转换
例如： router id 1.1.1.1 001.001.001.001---->0010.0100.1001
router id 192.168.2.2 192.168.002.002----->1921.6800.2002

三种hello报文：P2p IIH、广播网络L1 IIH=Mac=0180-c200-0014、广播网络L2 IIH=Mac=0180-c200-0015。

DIS的选举：
a 接口优先级（默认64）越大越优先
b 接口mac地址 越大越优先

 dis isis interface查看是不是DISint g0/0/xisis dis-priority 69 修改isis优先级，使其成为DIS

DIS与DR的比较区别

DIS：hello时间（10s） 1/3 hello 即3.3s
链路状态交互

路由引入：向isis中引入路由时，默认是以Level 2 的形式引入。 isis 1 import-route direct level-1 以Level 1 形式引入路由。
路由渗透（路由泄露）：避免次优路径 isis 1 import-route isis level-2 into level-1

BGP

BGP:边界网关路由协议：boder gateway protocol
IGP: Interior Gateway Protocol内部网关协议 路由发现和计算
EGP：Exterior Gateway Protocol外部网关协议 路由的控制、优选和传递
特点：
① 属于外部网关路由协议 ② 主要用于大型网络、大型集团、运营商、银行、国家电网、国 与国之间的路由
③ BGP 运行在IGP(内部网关）之上，其底层是IGP（内部网关路 由协议） ④ AS 自制系统，一个AS 可以是一个国家，也可以是一个运营 商，也可以是一个跨国集团 ⑤ BGP的邻居关系： IBGP：相同的AS EBGP：不同AS ⑥ BGP可以跨路由器建立邻居（因为bgp发送的报文都是单播） ⑦ bgp 四层使用tcp 179号端口 ⑧ 一台路由器只能启用一个bgp 进程

BGP五种报文：

open：建立邻居 keepalive：维持邻居 update：路由更新 route-refresh：刷新路由策略 Notification ：差错检测

IBGP：相同的AS 建议使用环回口建立 EBGP ：不同的AS

基础配置略：不同AS之间要配置静默端口。
步骤①：建立邻居 步骤②：传递路由 步骤③：路由控制
R1：
bgp 100 （R1所在的as 100） peer 2.2.2.2 as-number 100 （邻居2.2.2.2 所在的as 100） peer 2.2.2.2 connect-interface LoopBack0
#指定更新源环回口地址 以上的两个步骤确定了bgp报文的源地址：1.1.1.1 以及目标地址2.2.2.2.
R2:
bgp 100 peer 1.1.1.1 as-number 100 peer 1.1.1.1 connect-interface LoopBack0 peer 10.1.23.3 as-number 200 peer 10.1.25.5 as-number 200
<R1>reset bgp all 重置bgp邻居关系
R3:
bgp 200 peer 5.5.5.5 as-number 200peer 5.5.5.5 connect-interface LoopBack0 peer 10.1.23.2 as-number 100
R5:
bgp 200peer 3.3.3.3 as-number 200 peer 3.3.3.3 connect-interface LoopBack0peer 10.1.25.2 as-number 100

BGP 邻居状态机制：

Active状态：TCP连接失败，启动BGP重传定时器，BGP路由器再次尝试与 对方建立TCP连接 。
例如：对方路由器配置了BGP但是没有指定邻居。
Connect状态：对方没有配置bgp进程。

BGP 路由生成方式： ① network ② import ③ bgp路由汇总（聚合）
BGP 是将路由表中的路由引入BGP转发表（BGP路由表）
注意1：network 将路由表中的路由引入bgp转发表，network 引入路由时，路由需在路由表中存在，且引入时掩码需要和路由 表中保持一致。
dis bgp routing-table

network 方式： bgp xxx network xxxxx xx
import 方式： bgp xxx import ospf 1 

BGP 通告原则：

① 仅将自己最优的路由发布给邻居 （> 优化）
② 通过EBGP邻居获得的最优路由可以发布给所有的BGP邻居
③ 通过IBGP邻居获得的路由不会发布给IBGP邻居（防止IBGP路 由环路）
④ BGP和IGP同步（华为默认关闭该特性）
⑤ 默认从EBGP邻居学到的BGP路由的下一跳是EBGP对等体的 IP地址，当该路由向AS内部传递至时，路由传递给IBGP邻居时下 一跳地址（next-hop）不变（还是上一个AS的接口地址），此 时有可能会引发下一跳不可达
解决下一跳不可达：
a 将EBGP互联地址（next-hop地址）宣告进IGP（注意配置静 默接口，防止IGP路由传至其他AS）
b 使用next-hop-local
next-hop-local 配置： R3： bgp 100
peer 10.1.4.4 next-hop-local 给邻居4.4 发送bgp 更新时将 next-hop 改为自己（10.1.3.3）。

防止环路：
a 防止IBGP环路（AS内部环路）：IBGP水平分割
b 防止EBGP环路（不同AS之间的环路）：AS-Path 属性
解决IBGP水平分割带来的路由不传递问题：
a 在AS内部IBGP邻居建立全互联结构（full-mesh）
b 配置路由反射器RR
c BGP联邦 （联盟）
RR配置：
R1: bgp 200 peer 10.2.6.6 reflect-client 将10.2.6.6 配置为R1的路由反射 客户端。 refresh bgp all export 刷新bgp 邻居使其生效

BGP 路由黑洞：能够学习到路由，但是无法访问。

解决BGP路由黑洞：
方案①：将BGP路由引入到IGP里面（针对银行、集团单位）， 以实现BGP和IGP的同步。
方案②：所有路由器形成IBGP全互联结构（Full-mesh）。

开启BGP 负载分担： bgp 200 maximum load-balancing 4 在bgp 路由表中无法看到现象，但是在IP 路由表中有体现！！
dis ip routing-table

bgp 路由表中 路由不被优化的原因：下一跳不可达 解决下一跳不可达：
a 将EBGP互联地址（next-hop地址）宣告进IGP（注意配置静 默接口，防止IGP路由传至其他AS）
b 使用next-hop-local

BGP 属性分类：

公认必遵：origin（起源） 、AS-path、next-hop 对端必须能够识别，且这些属性必须包含在update更新报文中
公认任意：Local_Pref (本地优先级）、Atomic Aggregate 原 子聚合 对端必须能够识别，但这些属性不一定会携带在update报文中
可选过渡：Aggregater 、community bgp路由器不能识别该属性，但可以接收并将其传给邻居
可选非过渡：MED BGP路由器可以忽略该属性并不向他的邻居发布

BGP 路由选路原则13条：

1 丢弃下一跳不可达的路由
**2 优选Preference_Value值（首选值）最高的路由（私有，本地有效）
**3 优选本地优先级（Local_Pre)最高的路由
4 优选手动聚合>自动聚合>network>import>从对等体学到
**5 优选AS_Path短的路由
**6 起源类型Original ： I>E>? **7 对于来自同一AS的路由，优选MED值小的。
8 优选从EBGP学来的路由(EBGP>IBGP)
9 优选AS内部IGP的Metric最小的路由（到达下一跳的IGP 开销） ----可以开启负载分担----（bgp路由表不体现 路由会显示）
10 优选Cluster_List （RR反射器：RR的router id）最短的路由（经过RR的 数量少）
11 优选Orginator_ID (RR反射器：路由起源router id ）最小的路由（路由 进入某AS时，起始路由器router id）
12 优选Router_ID最小的路由器发布的路由
13 优选具有较小IP地址的邻居学来的路由

**Preference_Value**值（首选值）：本地有效（不传给邻居），默认值0，越 大越优先
配置R2：
acl 2070 rule 5 permit source 70.4.4.0 0.0.0.255
route-policy Pre_Val permit node 10 针对70.4路由修改首选值 if-match acl 2070 apply preferred-value 18
route-policy Pre_Val permit node 20 放过其他路由
bgp 200peer 200.1.25.5 route-policy Pre_Val import 针对邻居25.5 入方向调用 路由策略 **Local_preference** 本地优先级：默认值 100 ，越大越优先，IBGP邻居之间 有效，只能在本AS内传播
R5: 针对70.2.2.0/24 修改本地优先级 使得R4可以优选R5访问70网段
R5:
acl 2070 rule 5 permit source 70.2.2.0 0.0.0.255
route-policy Local_Pre permit node 10 if-match acl 2070 apply local-preference 122
route-policy Local_Pre permit node 20
bgp 100 peer 10.1.4.4 route-policy Local_Pre export **AS_Path** :经过的AS越少越优先，可以用于IBGP和EBGP邻居 配置： R3: 通过修改AS_path 使得R2优先R5到达70.4网段
ip ip-prefix 70 index 10 permit 70.4.4.0 24 greater-equal 24 less-equal 24
route-policy AS_Path permit node 10 if-match ip-prefix 70 apply as-path 100 100 100 additive route-policy AS_Path permit node 20
bgp 100 peer 200.1.23.2 route-policy AS_Path export **起源类型Original** ： I>E>? ，公认必遵属性，该属性可以跨AS传递
R3:
acl 2704
rule 5 permit source 70.4.4.0 0.0.0.255
route-policy Ori permit node 10
if-match acl 2704
apply origin incomplete
route-policy Ori permit node 20
bgp 100
peer 200.1.23.2 route-policy Ori export **MED**:Multi-Exit-Discriminator 默认值是0 越小越优先 类似IGP度量值 该 属性仅在相邻两个AS直间传递 用于判断流量进入AS时的最佳路由 注意：将igp引入bgp时 igp路由的开销会自动移植到MED。注意：当属性为空时可以看成该属性所对应的默认值。 配置R3： ip ip-prefix 70 index 10 permit 70.4.4.0 24 greater-equal 24 less-equal 24route-policy MED permit node 10 if-match ip-prefix 70 apply cost 8 #route-policy MED permit node 20 bgp 100 peer 200.1.23.2 route-policy MED export

local_pre为空原因：（公认任意属性），由于Local_Pre属性仅在IBGP邻居 之间有效，因此从EBGP邻居收到的update报文不携带local_pre 值。因此从 ebgp邻居收到的路由的local_pre 值是空。
MED值为空原因：（可选 非过渡属性），在向EBGP邻居发送update更新时 默认不携带MED属性，除非手动配置路由策略（route-policy）才会携带

BGP 路由聚合：

① 静态 R2:

ip route-s 10.2.0.0 16 null 0 bgp 200 network 10.2.0.0 16

② 自动聚合 注意：只对引入的路由做聚合。汇总成主类网络。 R2： bgp 200 summary automatic
③ 手动聚合 （重点） bgp手动聚合放行明细路由原因：
原因A 放行明细并不是将所有的明细都放行 （只将bgp转发表 里面有的 或者 suppress-policy 未匹配的 放行）
原因B 部分明细路由放行是为了区分业务 方便对端AS部署路由 策略选路

例如：R2想将办公A和业务A明细放行，方便对端AS配置策略

R2：
bgp 200 aggregate 10.2.0.0 255.255.0.0 （默认放行BGP 路由表里面 存在的所有明细路由）
#
aggregate 10.2.0.0 255.255.0.0 detail-suppressed 抑制 所有明细
#
aggregate 10.2.0.0 255.255.0.0 detail-suppressed suppress-policy AA
ip ip-prefix BB permit 10.2.0.0 16 greater-equal 25 less- equal 32
route-policy AA permit node 10 if-match ip-prefix BB
将 /25 (互联）到 /32 路由抑制 将其他明细路由（例如： 10.2.10.0/24 )传递过去

注意：聚合路由会丢失部分属性（例如：As-path、团体）：因为明细路由来自多个AS，且明细路由的属性值不一致，将多条明 细路由汇总成一条时 容易丢失部分属性。
R4：首先在R4上面配置loopback接口 10.2.66.x 并引入bgp路 由表（可以通过network）
R5：然后在R5上做聚合，将聚合后的路由发给R7 bgp 100 aggregate 10.2.0.0 255.255.0.0 as-set detail-suppressed
R7：查看结果 dis bgp routing-table

注意：大括号里面的AS是无序的即AS-set （AS集），大括号之 外的AS编号是有序的（AS_Sequence）普通常见的AS-path都 是有序的。

atomic-aggregate,原子聚合属性： ，在聚合路由时 携带 details-suppress 参数（没有携带suppress-policy），聚合后 的路由会携带该属性，用于警告下游路由器出现信息丢失（防 环）。
Aggregator 属性：在聚合路由时，聚合后的路由会携带 aggregator属性表明聚合发生的位置（防环），该属性包含发起 聚合路由器的AS号和router id。

聚合路由时携带AS-path（as-set）的优缺点： 优点：避免环路风险 缺点：明细路由震荡，有可能会导致聚合路由的频繁刷新（例如 as-path频繁刷新），影响网络的稳定性。

团体属性

：community （辅助选路、过滤路由） 作用：标识具有相同特征的bgp路由 类似tag功能（和前缀列表 功能相似）
① 自定义团体属性 （私有）例如：100：1
② 公共团体属性 （公有）
NO_advertise 不传递给任何邻居
NO_export 不传递给EBGP邻居
需求：
1.对地市1的路由用团体属性进行标识和区分然后再发向省级 互联 200:1 业务A 200:2 办公A 200:3
2.对于AS100 内去往200：3 （办公网段）的路由优选二号专线
3.只将地市1 办公A的路由传递到地市2

R2:
ip ip-prefix HuLian permit 10.2.0.0 16 greater-equal 25 less-equal 25
ip ip-prefix YeWuA permit 10.2.10.0 24 greater-equal 24 less-equal 24
ip ip-prefix BanGongA permit 10.2.60.0 24 greater-equal 24 less-equal 24
ip ip-prefix BanGongA permit 10.2.70.0 24 greater-equal 24 less-equal 24 route-policy COMM permit node 10 if-match ip-prefix HuLian apply community 200:1 no-export
#
route-policy COMM permit node 20 if-match ip-prefix YeWuA apply community 200:2 no-export
#
route-policy COMM permit node 30 if-match ip-prefix BanGongA apply community 200:3
route-policy COMM permit node 500
bgp 200 peer 200.1.23.3 route-policy COMM export peer 200.1.23.3 advertise-community peer 200.1.25.5 route-policy COMM exportpeer 200.1.25.5 advertise-community
R3 R5： (默认该属性不传递）
bgp 100 peer 10.1.4.4 advertise-community 将团体属性传递给邻居R4
R4:
ip community-filter 1 permit 200:3
route-policy Pre_Val permit node 10 if-match community-filter 1 apply preferred-value 9
#
route-policy Pre_Val permit node 20
bgp 100 peer 10.1.5.5 route-policy Pre_Val import

去除某些comm 属性：（并不是删除路由）（选修）

ip community-filter 1 permit 200:1
route-policy AAA permit node 10apply comm-filter 1 delete 将路由中携带 community属性200：1 的属 性去掉（仅删除属性 不删路由）
route-policy AAA permit node 20

特性①：聚合路由团体属性丢失,可以在聚合时追加团体属性

 R5: acl 2010 rule 5 permit source 10.2.0.0 0.0.255.255 route-policy CO permit node 10 if-match acl 2010 apply community 200:99
route-policy CO permit node 20
bgp 100
aggregate 10.2.0.0 255.255.0.0 as-set detail-suppressed attribute-policy CO
#
dis bgp routing-table comm#R5和R7

特性②：向邻居发布默认路由

R5: bgp 100 peer 200.1.57.7 default-route-advertise

特性③：环回口建立EBGP邻居

R3:
ip route-static 10.3.7.7 255.255.255.255 200.1.37.7
bgp 100 peer 10.3.7.7 as-number 300peer 10.3.7.7 ebgp-max-hop 2 （指定EBGP报文跳数为TTL=2，默认1） peer 10.3.7.7 connect-interface LoopBack0
R7:
ip route-static 10.1.3.3 255.255.255.255 200.1.37.3
bgp 300 peer 10.1.3.3 as-number 100 peer 10.1.3.3 ebgp-max-hop 2 peer 10.1.3.3 connect-interface LoopBack0

HCIP网工数通Datacom之网工中级（上篇）相关推荐

1. HCIP网工数通Datacom之网工拆分(1)理论和基础命令

   目录 1. OSI模型 2. TCP/IP模型 3. IP传输原理 4. 网关三要素: 5. DNS 6. wireshark 抓包 7. arp 简介 8. 二进制和十进制转换 9. ipv4地址 ...

2. HCIA网工数通Datacom之网工初级

   1. OSI模型 定义:open system interconnection 开放式系统互联 规定了很多网络标准,目的是为了促进各个厂商各 个系统之间的互联互通. 注意:由于osi模型设计冗杂,编程 ...

3. HCIA网工数通Datacom之网工初级(2)IP和OSPF配置

   文章目录 21. 直连路由 22. 静态路由 22. 路由优先级和路由度量 23. Rip(不常用) 24. ospf 简介 25. dhcp 简介 26. telnet 简介 27. SSH 29. ...

4. 华为HCIE-RS（数通datacom）论述题（十）

   华为HCIE-R&S(数通datacom)论述题(十) OSPF网络规划及双出口主备备份 问题一:请对OSPF进行区域划分,实现当办公网络拓扑发生变化时,通用服务器区域路由器路由表不会产生变化 ...

5. 这可是全网网工数通方向学习路线最完整，最详细的版本，没有之一

   文章篇幅较长,耐心看完你一定有所收获. 一门起点高发展空间大的职业--网络工程师 网络工程师的起点很高,处于薪资高.地位高的地位.根据中国IT行业协会公布的调查数据显示,目前一年工作经验的月薪一般能够 ...

6. 技法の穴をふさぐ：工数編 --技法の穴をふさぐ：工数編

   「こんなはずじゃ-」と多くの人が首をかしげるのが.工数見積もり.技法の値や項目が現場の実態と乖離していることがままあるからだ.そんなとき.どうすればよいのか.先達の工夫に学ぼう. ソフトウエア開発の工 ...

7. 数通(DataCom)--路由交换技术学习笔记

   文章目录 应用层:PDU 协议数据单元 传输层:数据段(segment) 网络层:数据包(packet) 数据链路层:数据帧(Frame) 物理层:比特流(Bit) 优先级(preference)值越 ...

8. 华为认证HCIA H12-811 Datacom数通考试真题题库【带答案刷题必过】【第一部分】

   [说明]: 对于考华为认证的小伙伴们的福利,下面的题全部为2022年下半年HCIA 数通 Datacom考试真题,共分五部分分享大家,全部精准覆盖达到百分90以上,答案全部正确,刷题全部记住去考,百分 ...

9. 华为认证 | HCIE的数通和安全，哪个方向好？

   01 HCIE数通和安全哪个方向好? HCIE认证中比较热门的包括数通.安全.云计算.存储等方向. 而不同方向的HCIE认证在不同的行业和领域中都有其独特的价值. 因此,在选择HCIE认证方向时,需要 ...

最新文章

1. python使用matplotlib可视化subplots子图、subplots绘制子图、子图之间有重叠问题、使用subplots_adjust函数合理设置子图之间的水平和垂直距离
2. 腾讯绝地求生手游席卷全球，104个国家地区IOS登顶
3. 【PAT乙级】1065 单身狗 (25 分)
4. go利用反射实现任意类型切片删除元素
5. 10-Bootstrap Checksedit
6. windows server2008服务器文件上传受限制怎么办,windows server 2008 服务器上传限制
7. 5. Javascript 错误和异常
8. Ubuntu配置NFS服务器与客户端
9. anylogic和java_Anylogic各个版本的功能对比
10. charles 修改responses属性
11. UESTC878————温泉旅店（动态规划）
12. Elasticsearch(简称ES)实现日报表、月报表、年报表统计，没数据补0
13. String.format()的详细用法
14. ue4挂载其他工程生成的pak，打开level
15. Ubuntu20.04下安装 R 及 CRAN 软件包（命令行操作）
16. 周赛题1（leetcode）
17. 工业机器人关节拆装流程_VR工业机器人拆装系统
18. 本地git代码推送到远程git步骤
19. java计算两个日期之间的月份差
20. 2404 Super Prime（欧拉筛素数）

热门文章

1. 揭秘移动研发平台EMAS的前世今生
2. 阿里云emas远程真机使用指南
3. ct上的img表示什么_女人说ct是什么意思？女生说ct代表什么
4. 2008王通SEO学习笔记
5. RedHat7.4配置yum软件仓库（RHEL7.4）
6. 检查ESXi主机是否使能VT-x/AMD-V
7. 华为云工业互联网的思与行
8. Ubuntu 20.04没有声音解决办法
9. jquery 点击li循环高亮显示
10. android天女散花效果_星星点点的“六月雪”，3个摄影技巧，拍摄出天女散花的效果...