(1)同网段内获取目标终端MAC地址:CLIENT1想要访问目标CLIENT2,根据自己的IP和子网掩码与运算得出***2.168.1.3与自己为同一网段,直接发送ARP广播请求,CLENT2收到ARP请求后,回复自己的MAC地址给CLENT1。
(2)不同网段请求网关MAC地址:
CLIENT1想要访问目标CLIENT2,根据自己的IP和子网掩码与运算得出***.168.2.2与自己处于不同网段,此时发送ARP请求直接请求网关***.168.1.1的MAC地址,R1收到ARP请求后,将***.168.1.1端口的MAC地址回复给CLENT1。
3. ARP表项的创建与更新:依据ARP协议描述,几乎所有的以太网通信都以ARP开始,所以任何以太网主机设备都支持这个协议,而且IP地址到以太网MAC地址的解析主要也是动态生成,某公司公司须网络管理员手工处理。
一般实现中,如果收到的ARP报文满足以下条件中的任何一条,系统将创建或更新ARP表项。
条件为:
①ARP报文的源IP地址与入接口IP地址在同一网段,且不是广播地址,目的IP地址是本接口IP地址。
②ARP报文的源IP地址与入接口IP地址在同一网段,且不是广播地址,目的IP地址是本接口的VRRP(Virtual Router Redundancy Protocol)某公司公司IP地址。
③ARP报文的源IP地址与入接口IP地址在同一网段,且不是广播地址,入接口是IPoEoA应用的Virtual-Ethernet接口。
④ARP报文的目的IP地址是入接口上配置的NAT地址池中的地址。
⑤如果收到的ARP报文的源IP地址在入接口的ARP表中已经存在对应表项,也将对ARP表项进行更新。
4. 免费ARP:IP为唯一标识,在同一网段内,每台设备的IP都是唯一的,所以如果两台设置配置了相同的IP地址会出现问题,在配置静态IP时候或从DHCP获取IP地址成功时,主机都会发送基于此IP的免费ARP的MAC地址请求,如果有设备回应,表明IP地址冲突。
5. 静态ARP:ARP攻击:
如果攻击者发送伪造的ARP报文,而且报文里面所通告的IP地址和MAC地址的映射是错误的,则主机或网关会把错误的映射更笑道ARP表中。当主机要发送数据到指定的目标IP地址时,从ARP表里得到了不正确的硬件MAC地址,并使用封装数据帧,导致数据帧某公司公司法正确发送。
如果当前网络中的主机较少,可以使用静态ARP手工绑定IP与MAC地址。
[R1]arp static ***.1.1.1 5489-某公司公司1-某公司公司1
6. Proxy ARP:Proxy ARP,即代理ARP,在开启了Proxy ARP功能后(华为设备默认不开启),当路由器接口收到一个ARP请求后,路由器会查找自己的路由表,如果路由表中存在去往ARP请求的MAC地址(IP),路由器会将与其同网段(相当于网关)的接口MAC作为相应回复ARP请求。
注1:只有路由器上存在路由条目明确指出了去往目的地的路由时,才会发送自己的网关MAC地址进行回复,如果PC所请求的目的地址没有响应的路由条目,则路由器不会回复ARP代理信息。
Proxy ARP分为三种类型:
①路由式Proxy ARP
②vlan内代理ARP
③vlan间代理ARP
(1)路由式Proxy ARP:①PC1没有配置网关,想要访问目标PC2:
① R1的G0/0/0端口开启Proxy ARP功能:[Huawei-GigabitEthernet0/0/1]arp-proxy enable
② CLENT1访问***.168.2./24的网段,此时由于没有配置网关,于是直接发送AP请求请求***2.168.2.2的MAC地址
③ 路由器R1在收到ARP请求后,查找路由表,***.168.2.2存在于路由表1***.168.2.0/24的路由条目中,于是发送ARP回复将端口***.168.1.1的MAC作为回应应答CLENT1的请求。
配置命令:[Huawei-GigabitEthernet0/0/0]arp-proxy enable
②特殊部署网段问题:
① CLIENT1访问***.168.2.2,使用与运算发现192.168.2.2与自己为同网段,直接发送ARP请求请求***.168.2.2的MAC地址
② 在没有开启ARP代理的R1路由器上收到请求***.168.2.2的ARP请求,路由器默认会将此广播包丢弃
③ 在端口G0/0/0上开启arp代理功能之后,路由器R1收到广播包后,会将自己的G0/0/1端口的MAC地址回复给CLENT1
在没有开启arp代理之前默认丢弃arp广播报文:
开启ARP代理:
(2)VLAN内Proxy ARP:在接口下使用命令[Huawei-Vlanif10]arp-proxy inner-sub-vlan-proxy enable启用
Vlan内的ARP代理功能
VLAN内代理ARP主要解决:
①同vlan中pc互通问题,当实行了端口隔离的设备,隔离二层广播后,将导致arp某公司公司法正常解析,发送端某公司公司法正常封装数据包的目标MAC地址,此时使用vlan内Proxy ARP便可以解决此问题。
②Mux-Vlan中从Vlan之间互通问题(详见Mux-Vlan)
(3)VLAN间Proxy ARP:解决不同Vlan之间对应计算机的三层互通问题,用于Super VLAN间解决子vlan某公司公司法互通问题。
三. ICMPInternet控制报文协议ICMP(Internet Control Message Protocol)是网络层一个重要协议,ICMP协议号为1,ICMP协议用来在网络设备间传递各种差错和控制信息,它对手机各种网络信息、诊断和排除各种网络故障具有至关重的作用。ICMP直接在三层上携带信息,没有四层协议端口号。
1. ICMP重定向:ICMP重定向,由路由器产生,主机处理,当一个数据从端口接收到数据,查看路由表,如果再将数据从接收端口发送出去,会触发ICMP重定向。只针对某公司些网络去重定向,为控制信息,用来控制主机访问方向。
如图所示:主机A想要访问服务器A,他的默认网关为RTB,于是发送ICMP报文给RTB,但是服务器A位于R某公司上(路由协议获取服务器A的位置),于是RTB发送ICMP重定向给主机A,告诉主机A访问服务器A将数据包送往R某公司。
2. ICMP差错检测:用来检测网络连通性,命令为PING
差错信息分为两种:①ICMP Echo Request
②ICMP Echo Reply
(1)ICMP差错报文:
①Type:7bit,用来标示此ICMP的协议类型,例如为Request、Reply
②Code:7bit,编码,与Type相对应,同一种Type可能有多种描述信息
③Checksum:16bit,校验和,用来校验ICMP数据包的完整性
(2)Ping原理:主机A想要检测与服务器A是否连通,发送ICMP Echo Request报文给服务器A,如果服务器A收到主机A发送过来的ICMP Echo Request请求报文,会回复ICMP Echo Reply报文回复给主机A。
Ping命令选项:
-a 将目标的机器标识转换为ip地址
-t 若使用者不人为中断会不断的ping下去
-n 要求ping命令连续发送数据包,直到发出并接收到count个请求
在ping后加-l 和你行为的包的大小,例如: ping 127.0.0.1 -l 64某公司(ping包最大不能超出655某公司Byte,)
(3)ICMP错误报告:
当网络设备某公司公司法访问目标时,会自动发送ICMP目的不可达报文到发送端设备。
3.Tracert:探测命令,用来查看去往目的地所走的路径。
Tracert是Windows下常用的命令行工具(基于ICMP协议),UNIX下与之对应的是traceroute(基于UDP协议)。
Tracert-UDP原理:
①主机A发送一个UDP报文(端口号非常大),TTl值为1(默认发送三次),传递到R某公司时TTL为0,R某公司丢弃UDP报文,回复给主机A一个ICMP timer的超时报文,此时主机A得到了第一跳R某公司的IP地址
②主机A继续发送UDP报文(端口号非常大),TTl值为2(默认发送三次),传递到RTB时TTL为0,RTB丢弃UDP报文,回复给主机A一个ICMP timer的超时报文,此时主机A得到了第二跳R某公司的IP地址
③以此类推,直到主机A发送UDP报文(端口号非常大),TTL值为4(默认发送三次),传递到主机B时,此时主机B发送目的地址为自己,查找端口号,由于端口号非常之大,此时主机B并没有使用该端口号,于是回复一个端口号不可达信息该主机A,主机A收到此报文表示已经到达目的地。
Tracert-ICMP协议原理:
这种探测方式与基于UDP协议的路由探测的实现步骤一样,但发送端送出的不是一个UDP数据包,而发送的是一个ICMP类型为8的Echo Request(回显请求)数据报文。与基于UDP协议的路由探测技术一样,每次发送端都会把TTL值加1,每个中转路由器都对TTL值减1,如果为0,便丢弃后给发送端发送一个超时报文,若不为0,则继续转发给下一跳。唯一不同的是,当这个数据报到达最终目的节点时,由于发送端发送的是Echo Request报文,所以接收端就会相应一个ICMP类型为0的数据报文。这样,当发送端收到ICMP类型为0的数据报文时,就知道了全部路由已经查询完毕,终止继续探测。
四. DHCP在大型企业网络中,会有大量的主机或设备需要获取IP地址灯网络参数。如果采用手工配置,工作量大且不好管理,如果有某公司公司擅自修改网络参数,还有可能会造成IP地址冲突等问题。使用动态主机配置协议DHCP(Dynamic Host Configuration Protocol)来分配IP地址等网络参数,可以减少管理员的工作量,避免某公司公司手工配置网络参数时造成的地址冲突。
1. DHCP报文:DHCP报文基于UDP传送,客户端端口为68,服务器端口为67。
DHCP报文主要有以下几类:
①DHCP DISCOVER
②DHCP OFFER
③DHCP REQUEST
④DHCP ACK
⑤DHCP 某公司K
(1)DHCP DISCOVER:客户端用来寻找DHCP服务器(广播)。
(2)DHCP OFFER:DHCP服务器用来响应DHCP DISCOVER报文,此报文携带了各种配置信息(IP/DNS/租约等)(单播MAC地址回复)。
(3)DHCP REQUEST:客户端请求配置确认(请求DHCP服务器确认),或者续借租期(广播)。
注:为什么要给DHCP服务器回复DHCP REQUEST报文?
一个网络环境中,如果为了做冗余负载可能会存在某公司公司DHCP服务器,客户端发送DHCP DISCOVE请求报文(广播)给DHCP服务器,由于是广播,两台DHCP服务器都会收到,同时两台DHCP服务器都会向客户端回复DHCP OFFER报文,客户端会选择其中一份DHCP OFFER报文中的ip信息作为自身IP,并回复DHCP REQUEST报文(广播)告诉两台DHCP服务器。
(4)DHCP ACK:服务器对REQUEST报文的确认响应(单播)。
(5)DHCP NAK:服务器对REQUEST报文的拒绝响应。(服务器没有找到租约记录)(单播)。
(6)DHCP RELEASE:客户端要释放地址时用来通知服务器(单播)
2. DHCP分配地址过程:(1)DHCP IP地址分发工作过程:
DHCP客户端首次登录网络时,主要通过四个阶段与DHCP服务器建立联系。
①发现阶段,即DHCP客户端寻找DHCP服务器的阶段。
在发现阶段,DHCP客户端通过发送DHCP DISCOVER报文来寻找DHCP服务器。由于DHCP服务器的IP地址对于客户端来说是某公司公司的,所以DHCP客户端以广播方式发送DHCP DISCOVER报文。所有收到DHCP DISCOVER报文的DHCP服务器都会发送回应报文,DHCP客户端据此可以知道网络中存在的DHCP服务器的位置。
②提供阶段,即DHCP服务器提供IP地址的阶段。
网络中接收到DHCP DISCOVER报文的DHCP服务器,会从地址池选择一个合适的IP地址,连同IP地址租约期限和某公司公司配置信息(如网关地址、域名服务器地址等)通过DHCP OFFER 报文发送给DHCP客户端。
③选择阶段,即DHCP客户端选择IP地址的阶段。
如果有多台DHCP服务器向DHCP客户端回应DHCP OFFER报文,则DHCP客户端只接收第一个收到的DHCP OFFER报文。然后以广播方式发送DHCP REQUEST请求报文,该报文中包含服务器标识选项(Option54),即它选择的DHCP服务器的IP地址信息。
以广播方式发送DHCP REQUEST请求报文,是为了通知所有的DHCP服务器,它将选择Option54中标识的DHCP服务器提供的IP地址,某公司公司DHCP服务器可以重新使用曾提供的IP地址。
④确认阶段,即DHCP服务器确认所提供IP地址的阶段。
当DHCP服务器收到DHCP客户端回答的DHCP REQUEST报文后,DHCP服务器会根据DHCP REQUEST报文中携带的MAC地址来查找有没有相应的租约记录。如果有,则向客户端发送包含它所提供的IP地址和某公司公司设置的DHCP ACK确认报文。DHCP客户端收到该确认报文后,会以广播的方式发送免费ARP报文,探测是否有主机使用服务器分配的IP地址,如果在规定的时间内没有收到回应,客户端才使用此地址。
如果DHCP服务器收到DHCP REQUEST报文后,没有找到相应的租约记录,或者由于某公司些原因某公司公司法正常分配IP地址,则发送DHCP NAK报文作为应答,通知DHCP客户端某公司公司法分配合适IP地址。DHCP客户端需要重新发送DHCP DISCOVER报文来申请新的IP地址。
DHCP Client获得IP地址后,上线之前会检测正在使用的网关的状态,如果网关地址错误或网关设备故障,DHCP客户端将重新使用四步交互方式请求新的IP地址。
DHCP客户端重用曾经分配的IP地址
(2)DHCP客户端重用曾经分配的IP地址:
DHCP客户端重新登录网络时,主要通过以下几个步骤与DHCP服务器建立联系:
①重新登录网络是指客户端曾经分配到可用的IP地址,再次登录网络时IP地址还在相应的租期之内。客户端不需要再发送DHCP DISCOVER报文,而是直接发送包含前一次分配的IP地址的DHCP REQUEST请求报文,即报文中的Option50(请求的IP地址选项)字段填入曾经使用过的IP地址。
②DHCP服务器收到DHCP REQUEST报文后,如果客户端申请的地址没有被分配,则返回DHCP ACK确认报文,通知该DHCP客户端继续使用原来的IP地址。
③如果此IP地址某公司公司法再分配给该DHCP客户端使用(例如已分配给某公司公司客户端),DHCP服务器将返回DHCP NAK报文。客户端收到后,重新发送DHCP DISCOVER报文请求新的IP地址。
④DHCP客户端更新租约
Ø DHCP客户端向服务器申请地址时可以携带期望租期,服务器在分配租约时把客户端期望租期和地址池中租期配置比较,分配其中一个较短的租期给客户端。
Ø DHCP服务器分配给客户端的动态IP地址通常有一定的租借期限,期满后服务器会收回该IP地址。如果DHCP客户端希望继续使用该地址,需要更新IP地址的租约(如延长IP地址租约)。
Ø 当DHCP客户端获得IP地址时,会进入到绑定状态,客户端会设置3个定时器,分别用来控制租期更新、重绑定和判断是否已经到达租期。DHCP服务器为客户分配IP地址时,可以为定时器指定确定的值。若服务器没有设置定时器的值,客户端就使用缺省值。定时器的缺省值如下图所示。
(3)DHCP客户端更新租约过程
DHCP客户端更新租约,主要通过以下几个步骤与DHCP服务器建立联系:
①IP租约期限达到50%(T1)时,DHCP客户端会自动以单播的方式,向DHCP服务器发送DHCP REQUEST报文,请求更新IP地址租约。如果收到DHCP ACK报文,则租约更新成功;如果收到DHCP NAK报文,则重新发起申请过程。
②IP租约期限达到87.5%(T2)时,如果仍未收到DHCP服务器的应答,DHCP客户端会自动向DHCP服务器发送更新其IP租约的广播报文。如果收到DHCP ACK报文,则租约更新成功;如果收到DHCP NAK报文,则重新发起申请过程。
③如果IP租约到期前都没有收到服务器响应,客户端停止使用此IP地址,重新发送DHCP DISCOVER报文请求新的IP地址。
④DHCP客户端主动释放IP地址
DHCP客户端不再使用分配的IP地址时,会主动向DHCP服务器发送DHCP RELEASE报文,通知DHCP服务器释放IP地址的租约。DHCP服务器会保留这个DHCP客户端的配置信息, 以便该客户端重新申请地址时,重用这些参数。
3. DHCP分配的两种方式:在路由器上,DHCP可以基于接口进行端口分配IP,也可以基于全局进行端口分配。
(1)基于接口:[Huawei]dhcp enable-------------------------开启dhcp
[Huawei]inter G0/0/0-------进入接口(如果为三层交换机,进入vlanif)
[Huawei-GigabitEthernet0/0/0]dhcp server excluded ip-address 192.168.1.1 192.168.1.3---------设置不进行分配的地址段
[Huawei-GigabitEthernet0/0/0]dhcp server dns-list 8.8.8.8------配置dns
[Huawei-GigabitEthernet0/0/0]dhcp select interface-----配置DHCP类型为基于接口
注:基于接口的DHCP,默认不需要配置网关,会自动将接口ip放入报文中作为网关。不需要配置所要分配的IP,会根据接口ip和子网掩码计算出当前的可用dhcp分配的ip地址段。
(2)基于地址池:[Huawei]dhcp enable-------------------------开启dhcp
[Huawei]ip pool huawei-------定义地址池
[Huawei-ip-pool-huawei]network 192.168.2.0 mask 255.255.255.0----配置地址池ip地址段
[Huawei-ip-pool-huawei]gateway-list 192.168.2.1--------配置网关地址
[Huawei-ip-pool-huawei]dns-list 8.8.8.8----配置DNS
[Huawei-ip-pool-huawei]lease day 2----------租约为两天
[Huawei-ip-pool-huawei]excluded-ip-address 192.168.2.253
192.168.2.254----配置不参与分配的地址段
[Huawei]inter g0/0/3
[Huawei-GigabitEthernet0/0/3]dhcp select global----在接口上配置基于全
局的地址分配
注:基于全局的地址分配,当路由器从端口上收到dhcp discover报文请求,会查看接口的ip(也就是请求主机网关的接口),根据地址池中的配置网关匹配,相同后分配地址池的地址。
4. DHCP中继:由于在IP地址动态获取中,客户端采用广播方式发送DHCP DISCOVER请求报文,而广播报文不能跨网段传递,因此DHCP只适用于DHCP客户端和服务器处于同一个网段内的情况。
(1)DHCP中继报文:
①op:dhcp报文的操作类型,分为请求报文和响应报文,1为请求报文;2为响应报文。
②htype、hlen:dhcp客户端的硬件地址类型及长度。
③hops:dhcp报文经过的dhcp中继的数目。dhcp请求报文每经过一个dhcp中继,该字段就会增加1。
④xid:客户端发起一次请求时选择的随机数,用来标识一次地址请求过程。
⑤ecs:dhcp客户端开始dhcp请求后的时间。
⑥flags:第一个比特为广播响应标识位,用来标识dhcp服务器响应报文是采用单播还是广播发送。其余比特保留不用。
⑦ciaddr:dhcp客户端的ip地址。yiaddr:dhcp服务器分配给客户端的ip地址。
⑧siaddr:dhcp客户端获取ip地址等信息的服务器ip地址。
⑨giaddr:dhcp客户端发出请求报文后经过的第一个dhcp中继的ip地址。
⑩chaddr:dhcp客户端的硬件地址。sname:dhcp客户端获取ip地址等信息的服务器名称。
⑪file:dhcp服务器为dhcp客户端指定的启动配置文件名称。
⑫option:可选变长选项字段,包含报文的类型、有效租期、dns(domain name system,域名系统)服务器的ip地址、wins服务器的ip地址等配置信息。
(2)DHCP中继原理详解:
DHCP中继接收到客户端发送的DHCP DISCOVER或DHCP REQUEST报文后,将进行如下处理:
①为防止DHCP报文形成环路,抛弃报文头中hops字段的值大于限定跳数的DHCP请求报文(默认不配置)。否则,继续进行下面的操作。将hops字段增加1,表明又经过一次DHCP中继。
②检查giaddr字段。如果是0,需要将giaddr字段设置为接收请求报文的接口IP地址。如果接口有某公司公司IP地址,可选择其一。以后从该接口接收的所有请求报文都使用该IP地址。如果giaddr字段不是0,则不修改该字段。
③将请求报文的TTL设置为DHCP中继设备的TTL缺省值,而不是原来请求报文的TTL减1。对中继报文的环路问题和跳数限制问题都可以通过hops字段来解决。
④DHCP请求报文的目的地址修改为DHCP服务器或下一个DHCP中继的IP地址,从而将DHCP请求报文转发给DHCP服务器或下一个DHCP中继。
DHCP服务器收到请求报文后,根据Relay Agent IP Address字段为客户端分配IP地址等参数,并将DHCP应答报文发送给Relay Agent IP Address字段标识的DHCP中继。DHCP中继接收到DHCP应答报文后,会进行如下处理:
①DHCP中继假设所有的应答报文都是发给直连的DHCP客户端。Relay Agent IP Address字段用来识别与客户端直连的接口。如果Relay Agent IP Address字段不是本地接口的地址,DHCP中继将丢弃应答报文。
②DHCP中继检查报文的广播标志位。如果广播标志位为1,则将DHCP应答报文广播发送给DHCP客户端;否则将DHCP应答报文单播发送给DHCP客户端,其目的地址为Your (Client) IP Address字段内容,链路层地址为Client Hardware Address字段内容。
(3)Option 82:
某公司公司通过DHCP方式获取IP地址。在管理员组建该网络时需要控制接口interface1下某公司公司对网络资源的访问以提高网络的安全性。
在传统的DHCP动态分配IP地址过程中,DHCP Server是某公司公司法区分同一VLAN内的不同某公司公司的,以致同一VLAN内的某公司公司得到的IP地址所拥有的权限是完全相同的。
为实现上述目的,管理员在使能RouterA的DHCP S某公司oping功能之后可使能其Option82功能。之后RouterA在接收到某公司公司申请IP地址发送的DHCP请求报文时,将会在报文中插入Option82选项,以标注某公司公司的精确位置信息,譬如MAC地址、所属VLAN、所连接的接口号等参数。DHCP Server在接收到携带有Option82选项的DHCP请求报文后,即可通过Opion82选项的内容获悉到某公司公司的精确物理位置进而根据其上已部署的IP地址分配策略或某公司公司安全策略为某公司公司分配合适的IP地址和某公司公司配置信息。
5. DHCP中继配置:(1)配置基于IP寻址DHCP服务器:配置简单,适用于端口配置数量不多的中继接口
[Huawei]dhcp enable--------开启DHCP服务
[Huawei]inter g0/0/2-------进入端口(此端口为接收DHCP DISCOVER广播的接口,如果启用了vlan,进入vlanif)
[Huawei-GigabitEthernet0/0/2]dhcp select relay-----将端口设置为中继模式
[Huawei-GigabitEthernet0/0/2]dhcp relay server-ip 10.10.10.1—配置DHCP服务器地址为***.10.10.1
注:此时当配置中继的接口收到了DHCP DISCOVER报文,将giaddr字段变为此接口IP,flags位置为1,广播报文变为单播报文,并根据路由发送给DHCP服务器。
(2)配置基于服务器组的DHCP中继:[Huawei]dhcp server group huawei----定义一个dhcp的组
[Huawei-dhcp-server-group-huawei]dhcp-server 10.10.10.1---配置dhcp服务器为10.10.10.1
[Huawei-dhcp-server-group-huawei]inter g0/0/1---进入接口(接收DISCOVER的接口)
[Huawei-GigabitEthernet0/0/1]dhcp select relay—设为中继模式
[Huawei-GigabitEthernet0/0/1]dhcp relay server-select huawei---配置dhcp的服务器组
5. DHCP s某公司oping:管理员在部署网络时,一般将与合法DHCP服务器直接或间接连接的接口设置为信任接口,某公司公司接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器某公司公司法为DHCP客户端分配IP地址。
[Huawei]dhcp s某公司oping enable 开启DHCP-s某公司oping功能
[Huawei-Vlanif1]vlan 1
[Huawei-vlan1]dhcp s某公司oping enable--------在vlan1开启dhcp-s某公司oping
[Huawei-vlan1]inter g0/0/3
[Huawei-GigabitEthernet0/0/3]dhcp s某公司oping trusted----将G0/0/3设置为信任端口(默认为untrust端口)
五. 链路聚合随着网络规模不断过大,某公司公司对骨干链路的带宽和可靠性提出了越来越多的要求。采用链路聚合技术可以在不进行硬件升级的条件下,通过将某公司公司物理接口捆绑为一个逻辑接口,来达到增加链路带宽的目的,在实现增大带宽的同时,链路聚合采用备份链路的机制,可以有效的提高设备之间链路的可靠性。
1.链路聚合模式:链路聚合支持两种模式:
①手工负载分担
②LACP模式
注:Eth-Trunk链路两端相连的物理接口的数量、速率、双工模式、流控模式必须一致。
(1)手工分担模式:手工负载分担模式下所有活动接口都参与数据的转发,分担负载流量(默认模式)。
(2)LACP模式:Link Aggregation Control Protocol,链路汇聚控制协议,LACP模式既可以支持现有链路同时转发数据,也可以支持其中一条链路作为Backup链路,用于备份链路(不转发流量,当其余链路出现问题时,Backup链路进行流量转发)。
注:LACP模式两端接口ID必须一致。
①系统优先级:两台设备配置在配置LACP时必须配置LACP系统优先级,两端建立连接时,设备会根据优先级值进行主设备选举(默认为32768,数值越小越优先)。当选举出主设备后,后续的配置要求将按照主设备的要求进行选举。
②端口优先级:进行链路聚合的端口需要配置LACP端口优先级。在进行负载分担数据转发接口和Backup端口的选举时,根据端口优先级进行选举。优先级数值越低越优先。
③接口阀值:进行链路聚合的端口需要配置接口阀值,即要求几条链路进行负载分担数据转发,根据主设备的端口优先级选举出来后,超出接口阀值的端口都将作为Backup端口。
2.链路聚合方式:链路聚合分为:
①二层链路聚合
②三层链路聚合
(1)二层链路聚合:①手工负载分担模式:
配置命令:
[Huawei]inter Eth-Trunk 1-----创建Eth-trunk聚合组1
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/1]eth-trunk 1—---将端口G0/0/1加入Eth-Trunk1
[Huawei]inter g0/0/2
[Huawei-GigabitEthernet0/0/2]eth-trunk 1—---将端口G0/0/2加入Eth-Trunk1
[Huawei]inter g0/0/3
[Huawei-GigabitEthernet0/0/3]eth-trunk 1—---将端口G0/0/3加入Eth-Trunk1
②LACP模式:
配置命令:
[Huawei]inter Eth-Trunk 1------创建Eth-Trunk聚合组1
[Huawei-Eth-Trunk1]mode lacp-static -----将聚合组1设置为LACP模式
[Huawei-Eth-Trunk1]max active-linknumber 2---设置端口阀值为2
[Huawei-Eth-Trunk1]trunkport g0/0/1---将端口G0/0/1放入聚合组1
[Huawei-Eth-Trunk1]trunkport g0/0/2---将端口G0/0/2放入聚合组1
[Huawei-Eth-Trunk1]trunkport g0/0/3---将端口G0/0/3放入聚合组1
[Huawei]lacp priority 1某公司---全局模式下配置LACP优先级值
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/3]eth-trunk 0
[Huawei-GigabitEthernet0/0/1]lacp priority 10—设置LACP G0/0/1优先级值10
[Huawei]inter g0/0/2
[Huawei-GigabitEthernet0/0/3]eth-trunk 0
[Huawei-GigabitEthernet0/0/2]lacp priority 20—设置LACP G0/0/优先级值20
[Huawei]inter g0/0/3
[Huawei-GigabitEthernet0/0/3]eth-trunk 0
[Huawei-GigabitEthernet0/0/3]lacp priority 30—设置LACP G0/0/1优先级值30
(2)三层链路聚合:①手工负载分担模式:
配置命令:
[Huawei]inter Eth-Trunk 1-----创建Eth-trunk聚合组1
[Huawei-Eth-Trunk0]undo portswitch--------设置为三层聚合口
[Huawei-Eth-Trunk1]ip add 192.168.1.1 24---配置聚合组1口IP地址
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/1]eth-trunk 1—---将端口G0/0/1加入Eth-Trunk1
[Huawei]inter g0/0/2
[Huawei-GigabitEthernet0/0/2]eth-trunk 1—---将端口G0/0/2加入Eth-Trunk1
[Huawei]inter g0/0/3
[Huawei-GigabitEthernet0/0/3]eth-trunk 1—---将端口G0/0/3加入Eth-Trunk1
②LACP模式:
配置命令:
[Huawei]inter Eth-Trunk 1------创建Eth-Trunk聚合组1
[Huawei-Eth-Trunk0]undo portswitch---设置为三层聚合口
[Huawei-Eth-Trunk1]mode lacp-static -----将聚合组1设置为LACP模式
[Huawei-Eth-Trunk1]max active-linknumber 2---设置端口阀值为2
[Huawei-Eth-Trunk1]trunkport g0/0/1---将端口G0/0/1放入聚合组1
[Huawei-Eth-Trunk1]trunkport g0/0/2---将端口G0/0/2放入聚合组1
[Huawei-Eth-Trunk1]trunkport g0/0/3---将端口G0/0/3放入聚合组1
[Huawei]lacp priority 1某公司---全局模式下配置LACP优先级值
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/1]lacp priority 10—设置LACP G0/0/1优先级值10
[Huawei]inter g0/0/2
[Huawei-GigabitEthernet0/0/2]lacp priority 20—设置LACP G0/0/优先级值20
[Huawei]inter g0/0/3
[Huawei-GigabitEthernet0/0/3]lacp priority 30—设置LACP G0/0/1优先级值30
六. SNMP随着网络技术的飞速发展,企业中网络设备的数量成几何级数增长,网络设备的种类也越来越多,这使得企业网络的管理变得十分复杂。
简单网络管理协议SNMP(Simple Network Management Protocol)可以实现对不同种类和不同厂商的网络设备进行某公司公司管理,大大提升了网络管理的效率。
SNMP使用UDP协议进行传输,使用端口为161或162。
1.SNMP架构:SNMP包括:
①NMS
②Agent
③MIB
④Management object
(1)NMS:NMS,网络管理系统,SNMP用来在网络管理系统NMS和被管理设备之间传输信息,华为NMS系统为eSight。
作用:
①管理员可以使用NMS发送配置给设备
②管理员可以使用NMS通过SNMP协议查看设备状态
③设备会主动发送状态信息表给NMS
(2)Agent:Agent是被管理设备中的一个代理进程,用于维护被管理设备的信息数据并响应来自NMS的请求,把管理数据汇报给发送请求的NMS。
①Agent接收到NMS的请求信息后,通过MIB表完成相应指令后,并把操作结果响应给NMS。
②当设备发生故障或者某公司公司事件时,设备会通过Agent主动发送信息给NMS,向NMS报告设备当前的状态变化。
(3)MIB:MIB是一个数据库,指明了被管理设备所维护的变量(即能够被Agent查询和设置的信息)。MIB在数据库中定义了被管理设备的一系列属性:对象的名称、对象的状态、对象的访问权限和对象的数据类型等。
通过MIB,可以完成以下功能:
①Agent通过查询MIB,可以获知设备当前的状态信息。
②Agent通过修改MIB,可以设置设备的状态参数。
(4)Management object:Management object指被管理对象。每一个设备可能包含某公司公司被管理对象,被管理对象可以是设备中的某公司个硬件(如一块接口板),也可以是在硬件、软件(如路由选择协议)上配置的参数集合。
2.SNMP版本:SNMP分为三个版本:
[attach]498某公司3[/attach]
(1)SNMPv1:最初定义的版本,实现方便,但是存在安全性问题。
[attach]498某公司7[/attach]
①SNMPv1报文:①Get-Request:NMS发送请求报文,请求被管理设备发送哪些监视信息。
②Response:被管理设备回复信息,用于回复NMS所请求的监视信息。
③ Get-Next-Request:NMS发送的下一请求报文,请求被管理设备继续发送哪些监视信息。
④Set-Request:NMS用于设置对被管理设备的信息。
⑤Trap:被管理设备主动发送给NMS的信息(“告警”)。
(2)SNMPv2c:目前最主流的SNMP版本,安全性较高。
①SNMPv2c报文:
a) Get-Bulk Request:使用此报文,管理员可以同时读取被管理设备所有的信息。
b) Response:被管理设某公司公司于回复NMS请求的信息。
c) Inform Request:被管理设备使用此报文主动向NMS发送信息(和v1中的Trap功能相同,但可靠,收到此信息,会回复inform Request,但V1 Trap不可靠,不会回复)。
d) Inform Response:NMS收到被管理设备主动发送的信息后,使用此报文回复确认。
②SNMPv2c配置:[Huawei]snmp-agent--------开启snmp协议代理
[Huawei]snmp-agent sys-info version v2c-------------设置代理SNMP版本号为v2c(默认为v2c)
[Huawei]snmp-agent trap enable-----开启SNMP的trap功能(主动发送信息)
[Huawei]snmp-agent community read huawei acl 2某公司公司----定义团体属性允许读权限的密码为huawei
[Huawei]snmp-agent community write huawei acl 2某公司公司----定义团体属性允许写权限的密码为huawei
[Huawei]snmp-agent target-host trap-hostname huawei address 10.1.1.2 udp-port 161 trap-paramsname AR1 ------定义NMS某公司公司名为huawei,
NMS地址为10.1.1.2,UDP端口号为161,NMS显示名称为AR1(路由器命令)
[Huawei]acl 2某公司公司----------用于匹配策略
[Huawei-acl-basic-2某公司公司]rule 5 permit source 10.1.1.2 0
[Huawei-acl-basic-2某公司公司]rule 6 permit source ***.168.1.101 0
注:交换机配置命令不同于路由器:
[Huawei]snmp-agent target-host trap address udp-domain 10.1.1.3 udp-port 161 params securityname SW1 v2c----------定义主机地址为10.1.1.3,UDP端口
号为162(默认),NMS名称为SW1,定义配置版本为v2c(路由器命令)
(3)SNMPv3版本:
SNMPv3的报文类型和V2c是相同的,唯一不同之处在于发送Get-Request的时候,可以进行加密传输,或者认证,被管理设备回复的为加密的Response。
①SNMPv3配置:AR路由器:
[Huawei]snmp-agent-----------开启SNMP-agent代理
[Huawei]snmp-agent trap enable---开启trap信息的发送
[Huawei]snmp-agent sys-info version v3----设置SNMP的版本为v3
[Huawei]snmp-agent target-host trap-hostname esight address 10.1.1.3 udp-port 161 trap-paramsname AR1----------定义NMS名称为eghist,NMS地址为10.1.1.3,端口为161,显示名称为AR1
[Huawei]snmp-agent target-host trap-paramsname AR1 v3 securityname test privacy ----在向NMS发送消息时,使用某公司公司名test
[Huawei]snmp-agent usm-user v3 test test-group authentication-mode sha Free_123 privacy-mode aes128 huawei_123---定义登陆某公司公司名为test,版本为v3,
存在组test-group中,某公司公司名使用sha加密,加密密钥为Free_123,trap传送加密的长度为128位,密钥为huawei_123
[Huawei]snmp-agent group v3 test-group privacy----对组进行加密