H3C CAS平臺賬號管理
大家第一次安裝H3C CAS平臺時都會被裏面很多的賬號和密碼搞暈,不知道這些賬號密碼用在什麼地方,下面就給大家整理一下H3C CAS平臺的賬號密碼。
以下用H3C FlexServer R390服務器舉例:
1、首先R390服務器開機之後按“F8”進入iLO口配置界面,如下圖所示:
在彈出的iLO配置界面可以選擇添加賬號和密碼,如下圖所示:
上圖此賬號密碼的作用:在安裝H3C CAS平臺時,可以通過虛擬光驅安裝CAS系統,這時需要通過IE瀏覽器登錄iLO遠程控制檯,在登錄界面中輸入的賬號密碼就是之前iLO配置界面設置的賬號和密碼,如下圖所示:
提示:如果沒有配置iLO登錄賬號和密碼,設備默認有一個初始的賬號和密碼,默認賬號是:Administrator,密碼在設備主機箱白色標籤貼紙上(在以後的技術帖中會給大家介紹如果iLO配置界面沒有權限,而機箱上的Administrator賬號也不能登錄iLO遠程控制檯的解決方法)。
2、安裝CAS時,需要輸入root對應的密碼,如下圖所示:
Root對應的密碼作用:安裝好CAS平臺後,通過IE瀏覽器可以登錄到CAS平臺,http://IP:8080/cas或者https://IP:8443/cas登錄到cas平臺,如下圖所示:
上圖界面中是CAS登錄平臺,默認賬號是admin,密碼也是admin。登錄CAS平臺之後,需要在“雲資源”下添加“主機池”,“主機池”下添加“集羣”,最後在“集羣”中添加“主機”,添加“主機”時,需要輸入root對應的密碼,如下圖所示:
最終“主機”添加成功。
1、【每天三分鐘】OSI七層模型
什麼叫協議?
答:協議顧名思義就是協商,商議後製定的合法憑證。
層對應設備與協議:
什麼叫標準?
答:衡量事物的準則,技術在權威測試,實踐後做制定的一種標準化技術。
標準:
2、【每天三分鐘】協議與端口
協議有網絡層協議,傳輸層協議,應用層協議。
網絡層協議用於三層網絡互聯,傳輸層協議用於數據傳輸,應用層協議用於數據的應用。
IP協議屬於網絡層協議,IP的主要作用是尋址和分段。IP端口號範圍0~65535。
端口屬於四層傳輸層,如果說IP是一座房子,那麼端口就是這個房子的門。
TCP叫傳輸控制協議,是一種安全可靠的傳輸層協議。
UDP叫用戶數據包協議,是一種簡單但不可靠的傳輸層協議。
TCP/IP我們就可以理解爲是一種安全可靠的數據傳輸的一對組合。IP用於尋址,而TCP則決定數據安全的傳輸控制。
注:每個應用層協議都對應一個端口號。
3、信號與傳輸介質
介質
數字信號的優勢:抗干擾能力強,遠距離傳輸還能保證質量。
網線傳輸最大的傳輸距離爲100米,可使用中繼器來徐傳下去。
網線又叫雙絞線,雙絞線以類別劃分1~7類,類別號越大則質量越好,5類線應用於100M網絡,超5類線應用於1000M網絡,6類線應用於10000M網絡中。
雙絞線標準:EIA/TIA-568
線序:
T568A:白綠,綠,白橙,藍,白藍,橙,白棕,棕
1 2 3 4 5 6 7 8
T568B:白橙,橙,白綠,藍,白藍,綠,白棕,棕
1 2 3 4 5 6 7 8
注:1236用於10M傳送數據,4578用於100M傳送數據,8根線是爲了兼容使用。
直通線用於不同設備相連,交叉線用於相同設備相連。
注:T568A+T568B爲交叉線,T568B+T568B爲直通線。
光纖是使用光傳輸的網線,帶寬高,傳輸距離更遠,質量更好。
光纖分類:
v 單模光纖:傳輸距離上千米,但是成本高。
v 多模光纖:傳輸距離100~500M,成本廉價。
光纖接口:
v FC型光尾纖接頭:
v SC型光尾纖接頭:
v ST型光尾纖接頭:
4、交換機介紹
交換機是工作在數據鏈路層二層設備,用於中繼與PC接入,最常見的交換機有以太網交換機,電話交換機,光纖交換機。
交換機的發展:
v 集線器:應爲名HUB,工作在物理層,對接受到的信號進行再生整形放大,用於中繼。
v 網橋:最早的交換機,又名橋接器,用於兩個局域網轉發設備。
v 交換機:局域網中用於線路中繼與PC接入。
v 三層交換機:工作在二三層,即有交換機的功能又可以使用路由器的功能。
交換機工作原理:基於源學習,基於MAC地址錶轉發,無表則廣播。
交換機用於局部通信,同一網段,依靠MAC地址。
交換機的工作模式:
v 單工:兩端的數據單向傳輸。
v 半雙工:兩端的數據雙向傳輸,但不能同時進行。
v 全雙工:兩端的數據雙向傳輸,但能同時進行。
交換機管理與配置:
v Console接口:管理員可以通過Console口管理配置交換機,Console爲串口,如果想要連接PC需要串口轉USB口線連接,PC可以通過SecureCRT工具連接Console進行管理,串口的波特率爲9600。
v Telnet遠程:管理員也可以通過Telnet協議通過網絡遠程管理配置交換機,但是前提必須網絡互通以及交換機配置好VTY。
交換機品牌:CISO思科,華爲,H3C等。
Cisco思科爲標準化產商,思科的設備用的都是自主開發的私有協議,華爲與H3C用的都是公有協議,相對成本來講華爲和H3C爲國內產品,性價比更好。
5、路由器與防火牆介紹
路由器工作在網絡層三層,是連接網絡中各局域網、廣域網的設備,用於不同網段之間信號轉發。
路由器工作原理:基於源不學習,基於路由錶轉發,無表就丟棄。
路由器不同接口分配不同網段,路由器分割網絡,分割廣播域。
路由器的接口默認是關閉的,需要手動打開。
路由器管理與配置:
v Console接口:管理員可以通過Console口管理配置路由器,Console爲串口,如果想要連接PC需要串口轉USB口線連接,PC可以通過SecureCRT工具連接Console進行管理,串口的波特率爲9600。
v Telnet遠程:管理員也可以通過Telnet協議通過網絡遠程管理配置路由器,但是前提必須網絡互通以及交換機配置好VTY。
v WEB管理:很多路由器都集成了WEB頁面管理,我們可以通過WEB頁面對路由器進行管理與配置。
路由器分類:
v 家用路由器:配置簡單便捷,轉發效率低,一般可支持30~60個PC連接轉發。
v 企業級路由器:命令行配置複雜,轉發效率高,一般支持上百臺設備連接轉發。
v 無線路由:帶有無線功能的路由器,無線協議有:WIFI,3G,4G。
路由器品牌:CISO思科,華爲,H3C,D-link,TP-link等。
防火牆是工作在傳輸層四層的設備,它的功能主要是爲了安全,我們可以通過防火牆對網絡做上網行爲控制,比如網絡監控,包過濾,流量限速,指定防火牆規則。
防火牆分類:
v 軟件防火牆:基於IOS系統,是IOS系統自帶的一個應用功能。
v 硬件防火牆:物理防火牆,功能更強大,漏洞少。
防火牆品牌:深信服,思科ASA,華爲,juniper,天融信等
思科防火牆主要與同品牌其他設備連用集成度高,國內深信服防火牆面嚮應用層設計,使用便捷。
硬件防火牆廠商優勢:
CISCO:集成化一體防火牆可以與CISCO其他設備連用
深信服:用戶通過VPN訪問資源時,會將資源緩存於本地,提高下次用戶訪問效率
Juniper:連接吞吐量高
6、ADSL和網絡硬件組成
ADSL叫做非對稱數字用戶線路,ADSL技術將數據傳輸分爲了不對稱的上行和下行速率,ADSL在5千米範圍內提供1M的上行速率和最高8M的下行速率。上行與下行的比例爲1:8。
ADSL的優勢:高速傳輸,上網打電話不干擾,共享帶寬,安裝便捷,價格實惠。
ADSL的標準:
ADSL的登錄方式:
v PPPOA:基於ATM(異步傳輸模式)的撥號接入,提供一個用戶名和密碼。
v PPPOE:提供一個用戶名和密碼,通過撥號連接接入。
v 專線:提供專用公網靜態IP進行專線接入。
家用路由器有兩種以太口:WAN口:廣域網口,LAN口:局域網口。
TP-LINK撥號PPPOE接入圖解:
[1] 線路連接
光纖、電話線、網線等寬帶線路的連接方法可能不同,請將寬帶線連接到路由器WAN口,如下:
光纖入戶線路連接方法
[2] 連接信號
手機搜索並連接路由器的默認信號TP-LINK_XXXX(默認沒有密碼)。查看路由器背部標貼,其中XXXX爲MAC地址後四位,如下:
注意:部分路由器爲MAC後6位,雙頻路由器爲TP-LINK_2.4G_XXXX。
由於大部分路由器暫無手機頁面和APP,我們通過手機瀏覽器設置:
[1] 輸入管理地址
在瀏覽器的地址欄輸入tplogin.cn或192.168.1.1(多數路由器爲tplogin.cn,路由器背部標貼上有標明管理地址)
[2] 設置管理密碼
您需要給路由器設置一個管理密碼,後續就是用該密碼來登錄界面,如下:
[1] 開始設置嚮導
[2] 選擇PPPoE撥號(即寬帶撥號上網)
[3] 輸入寬帶賬號密碼
輸入運營商(寬帶服務商)提供的寬帶賬號密碼,務必輸入正確,區分大小寫和特殊字符。如下:
[4] 設置無線信號
分別設置無線信號名稱(SSID)和無線密碼(PSK密碼),請勿設置中文或特殊字符,如下:
[5] 設置完成
部分路由器有提示重啓路由器,點擊重啓即可。
至此,路由器設置完成。
打開網頁嘗試上網,顯示如下即表示可以正常上網,設置成功:
設置完成後,手機可以正常上網,其他終端如需上網,有線電腦使用網線連接到路由器的任意一個LAN口,無線終端搜索到信號連接即可,無需任何其他設置:
路由交換硬件組成:
v CPU:中央處理器,運算處理數據。
v RAM:相當於計算機的內存,用於臨時緩存交換數據。
v ROM:相當於計算機的BIOS,用於引導系統。
v Flash:閃存,相當於計算機的硬盤,用於存儲系統。
v NVRAM:配置寄存器,永久保存配置的設備。
路由器啓動過程:加電自檢,ROM引導Flash中的系統,裝載NVRAM中的配置。
注:當Flash找不到系統時,會自動加載進入ROM系統。
7、IP與進制轉換
IP叫網絡協議,全稱Internet Protocol,IP協議屬於網絡層協議,是爲了網絡相互連接通信的協議。
通信地址:
v IP地址:是一個邏輯地址,可變的地址,共32Bit。
v MAC地址:是一個物理地址,燒錄在硬件中,不可變,共42Bit。
注:IP地址用於全局通信(不同網段),而MAC地址用於局部通信(同一網段)
IP地址格式:點分十進制,IP地址由32位二進制數字組成,便於記憶轉換成十進制。
IP地址分類:
私有地址:
注:私有地址是爲了滿足企業內部用戶的需求,爲了解決IPV4地址不夠用問題。
進制由一組數碼符號和基數與位權構成。
v 基數是指進位計數制種所採用的數碼的個數。
v 位權是指進位制中每一個固定位置對應的單位值。
在網絡中經常會遇到IP地址化分子網等操作,我們經常要將IP地址進行二進制與十進制相互轉換。如按照原先的嚴密的數學算法來計算非常麻煩。
但在IP轉換中我們可以找到一些規律,下面我來簡單說明一下經常使用的一個IP二進制轉換成十進制的規律。
我們知道IP由32位二進制位組成,每八位一組分成了四組。如果每一組中八位全是1轉換成十進制則爲255。我們可以取出其中的一組來看。
在一組8位的二進制數中,從右到左依次排位,最右邊位我們假設十進制位數爲1、第二位假設十進制位數爲2、第三位假設十進制位數爲4、以次類推第四位爲8、第五位16、第六位32、第七位爲64、第八位爲128,然後在來覈對二進制位與十進制位。把二進制位上爲1的相應十進制位上的數相加就可以得到這組二進制數的十進制數。如:
11010010.11100101.00101110.00011011爲32位IP地址轉換爲十進制可以這樣來做:
則11010010.11100101.00101110.00011011轉換爲十進制爲:210.229.46.27
在實際轉換過程中一般都是十進制的IP轉換爲二進制的情況最多,同樣我們可以例用這個對應關第反過來得到二進制數。如:
192.168.100.5轉換成二進制我們可以這樣來做:首先確定我們只有128、64、32、16、8、4、2、1這幾個數,然後在來確定要轉換的十進制數由哪幾個數相加能得到:
則192.168.100.5轉換成二進制爲:11000000.10101000.01100100.00000101
熟練應用這個規律能大大加快IP二進制與十進制的轉換速度。
8、思科交換路由基本命令操作
工作模式:
命令大致劃分:
v 用戶模式下大多都是對設備IOS系統進行操作配置的一些命令。
v 特權模式下大多都是Show查看類命令。
v 全局模式下大多都是配置類命令。
v 接口模式下大多都是對於接口的配置命令。
CSICO基礎常用命令
9、華爲交換路由基礎操作
工作模式:
命令大致劃分:
v 特權模式下大多都是Display查看類和對系統操作類命令。
v 全局模式下大多都是配置類命令。
v 接口模式下大多都是對於接口的配置命令。
華爲H3C基礎常用命令
注:所有的命令都可以使用Tab鍵來補充命令,使用?可以查看當前位置下可以使用哪些命令,使用Ctrl+Z鍵可以直接回到特權模式下。取消操作思科使用no命令,華爲使用undo。
接口:Ethernet表示十兆口,Fastethernet表示百兆口,Gigabitethernet表示千兆口,Tengigabitrthernet表示萬兆口。
10、交換路由遠程管理
我們可以通過Telnet協議對交換路由進行遠程操作。
VTY叫虛擬終端,是一種網絡設備的連接方式。我們通過配置設備中的VTY然後就可以被遠程PC通過Telnet協議進行遠程連接。
CISCO思科交換機路由配置VTY虛擬終端:
v 創建並進入一個虛接口:(config)# interface vlan 10
v 配置虛接口地址:(config-if)# ip add 192.168.1.1 255.255.255.0
v 打開虛接口:(config-if)# no shutdown
v 配置默認網關:(config)#default-gateway 192.168.1.254
v 創建並進入VTY配置:(config)# line vty 0 4
v 設置VTY密碼:(config-line)#password 123
v 打開普通密碼認證:(config-line)#login
v 設置Enable密碼:(config-line)#enable password 123
華爲交換路由配置VTY虛擬終端:
v 創建一個VLAN:[huawei] vlan 10
v 創建並進入一個虛接口:[huawei] interface vlan 10
v 配置虛接口地址:[huawei-vlan10] ip add 192.168.1.1 255.255.255.0
v 打開虛接口:[huawei-vlan10] undo shutdown
v 進入一個物理接口:[huawei] interface Ethernet0/0/0
v 將虛接口綁定到物理接口中:[huawei-Ethernet0/0/0] port hybrid untagged vlan 10
v 配置AAA認證:[huawei] aaa
2 指定身份[huawei-aaa] local-user admin password cipher 123
2 指定安全級別[huawei-aaa] local-user admin privilege level 3
2 指定服務類型爲Telnet[huawei-aaa] local-user service-type telnet
v 創建並進入VTY配置:[huawei] user-interface vty 0 4
v 配置認證模式使用AAA認證:[huawei-user-vty0-4]authentication-mode aaa
v 綁定遠程協議爲全部:[huawei-user-vty0-4] protocal bind all
PC端可以通過SecureCRT工具對交換路由進行遠程管理。
11、交換路由密碼恢復
當你的登錄密碼突然忘記了腫麼辦吶?別怕根據下面步驟我們可以進行密碼重置。
CISCO思科路由器密碼恢復:
v 重啓路由器,同時按下Ctrl+Break鍵中斷IOS的加載,進入ROM系統。
v 修改配置寄存器的默認值0X2102改爲0X2142,表示啓動時忽略NV的配置。
confreg 0x2142
reset
v 手動加載NV配置到RAM中。
# copy startup-config running-config
v 選擇重置密碼方式。
2 保留配置型密碼重置:
(config)# password 123
(config)# config-register 0x2102
# wr
2 不保留配置型密碼重置:
(config)# erase nvram
(config)# config-register 0x2102
# wr
CISCO思科交換機密碼恢復:
v 拔掉交換機電源插頭。
v 按住mode鍵,重新插上電源,進入交換機ROM系統。
v 初始化Flash。
Switch: flash_init
v 將config.text文件改爲config.old。
Switch: rename flash:config.text flash:config.old
v 重啓交換機。
Switch:reboot
v 選擇重置密碼方式。
2 保留配置型密碼重置:
# rename flash:config.old flash:config.text
# copy flash:config.text system:running-config
# password 123
# wr
2 不保留配置型密碼重置:
#delete config.old
#copy flash:config.text system:running-config
#wr
華爲交換路由設備密碼恢復:
v 重啓交換機
v 按Ctrl+b進入ROOTROM界面
v 輸入出廠密碼[email protected]
v 按數字‘7’清楚登錄密碼
v 按數字‘1’重啓交換機
v 重新設置密碼
12、交換路由IOS系統備份與恢復
交換路由的鏡像突然掛了腫麼辦吶?沒關係我有解決方法嘿嘿!
傳輸協議:
v FTP:文件傳輸協議,應用層協議,用於文件傳輸。
v TFTP:輕型文件傳輸協議,應用層協議,用於小文件傳輸。
v Xmodem:異步文件運輸協議,應用層協議,使用撥號調制解調器傳輸,傳輸效率低。
CISCO思科交換路由設備
使用FTP傳輸協議對交換路由IOS系統進行備份與恢復:
v PC搭建好FTP服務器,搭建FTP服務器的小工具有Server-U等。
v 交換路由設備中配置FTP服務器用戶名和密碼。
(config)# ip ftp username ren
(config)# ip ftp password 123
v 備份系統到FTP服務器。
# copy flash ftp
v 從FTP服務器中恢復系統。
# copy ftp flash
使用TFTP傳輸協議對交換路由IOS系統進行備份與恢復:
v PC搭建好TFTP服務器,搭建FTP服務器的小工具有3CDaemon等。
v 備份系統到TFTP服務器。
# copy flash tftp
v 從TFTP服務器中恢復系統。
#copy tftp flash
提示信息:
2 Address or name of remote host[]?指定遠程服務器地址
2 Source filename[]?指定源鏡像文件名
2 Destination filename[]?複製到設備的文件名
使用xmodem傳輸協議對交換路由IOS系統進行恢復:
v Console線連接交換路由
v PC端用secureCRT工具連接交換路由
v 打開交換路由電源進入ROM系統
v 交換機的話需要初始化Flash
Switch: flash_init
v 指定通過Xmodem傳輸模式傳輸IOS
Switch:copy xmodem: flash:鏡像文件全名
v PC端使用secureCRT工具將鏡像文件發送到Flash中。
v 重啓交換路由
華爲設備通過Xmodem傳輸恢復IOS:
v PC端使用secureCRT工具通過Console口連接交換機
v 在交換機開機的時候按Ctrl+B進入BOOTROM模式
v 選擇“2”進入IOS恢復模式。
v 使用secureCRT工具將鏡像文件發送到Flash中。
13、二層技術之VLAN與Trunk中繼(DTP協議)
VLAN叫虛擬局域網,VLAN的作用是將控制廣播,處於同一VLAN中的設備可以相互通信,不同VLAN中的設備如果需要通信需要藉助三層設備做轉發。
VLAN的優勢:控制廣播,增強網絡安全性,簡化網絡管理。
DTP叫動態中繼協議,兩個交換機接口間通信接口必須爲Trunk且封裝模式必須相同。
交換機接口協商模式:
v Access接入模式:非中繼鏈路,用於PC接入。
v Trunk中繼模式:中繼鏈路,可以協商,主發,被動響應。
v Dynamic desirable期望模式:必須協商,主發,被動響應
v Dynamic auto自動模式:必須協商,不主發,被動響應。
v Nonegotiate非協商模式:不協商。
封裝模式:
v ISL交換機間鏈路:思科的私有標記方法,只支持1024個VLAN。
v 802.1Q:公有的標記方法,支持4096個VLAN。
VTP虛擬局域網中繼協議:VLAN同步技術,思科的私有協議,只可以在思科設備上使用。
VTP同步的條件:相同的VTP域名,必須是Trunk鏈路。
VTP有三種工作模式:服務模式可創建修改同步VLAN,客戶模式不可創建修改但同步VLAN,透明模式可創建修改但不同步VLAN。
VTP修剪技術是VLAN的優化技術,通過VTP同步的,可以提高網絡帶寬。
CISCO思科交換機命令
華爲的接口模式:
v Access模式:接入模式,用於PC接入。
v Trunk模式:中繼模式,用於多臺交換機間通信。
v Hybrid模式:混合模式,可以將一個接口加入到多個VLAN中。
VLANIF接口:邏輯虛擬接口,相當於思科設備的VLAN虛接口。
華爲交換機命令
注:思科默認允許所有VLAN通過Trunk,而華爲H3C需要手動配置。
14、二層技術之鏈路聚合(LACP)-----以太通道
鏈路聚合是將多個物理端口捆綁在一起,成爲一個邏輯鏈路,這樣可以提高鏈路帶寬。以及起到鏈路冗餘,當多個物理接口捆綁在一起,如果其中一條線路出現故障,該鏈路還可以繼續工作。
鏈路聚合的方式:
v 靜態Trunk:將多個物理鏈路捆綁在一起形成一個鏈路組。
v 動態LACP:LACP鏈路聚合控制協議,當激活LACP協議是,LACP通過LACPDU通告自己的系統優先級,系統MAC地址,端口優先級和端口號,對端接收到信息後,將這些信息與自己的屬性作比較,自動選擇能夠聚合的端口。
靜態捆綁規則:捆綁接口必須是同一VLAN,接口必須有相同的速率和雙工模式,Trunk必須發生在捆綁後接口上。
LACP的協商:由於動態匯聚組的最大端口數有限制,LACP協議通過規則來選擇端口加入。
LACP選舉規則:
v 比較系統優先級+系統MAC地址,選擇ID小的一端。
v 比較端口優先級+端口號,選擇端口ID小的一端。
LACP的工作模式:
v 被動模式:不會主動發送LACPDU報文,被動響應。
v 主動模式:主動發送LACPDU報文,主動發送。
CISCO思科鏈路聚合命令:
注:捆綁接口後形成的通道被稱爲以太通道Channel。
華爲H3C鏈路聚合命令:
15、二層技術之STP生成樹技術
STP生成樹是針對於二層網絡優化技術,主要的作用是爲了冗餘和防止環路的產生。
STP的作用:
v 邏輯上斷開鏈路,防止網絡風暴的產生。
v 當線路故障的時候,阻塞接口被激活,恢復通信。
BID:網橋ID,BID=優先級+MAC地址,交換機默認優先級爲32768。
PID:端口ID,PID=端口優先級+端口編號,端口默認優先級爲128.
STP的選舉算法:
v 選舉根交換機:根據BID選舉爲根交換機,數值越小則爲根交換機。
v 選舉根端口(RP):根據到達根交換機的路徑成本,對端BID,對端PID選舉根端口,數值越小則爲根端口。
v 選舉指定端口(DP):根據到達根交換機的路徑成本,本端BID,本端PID選舉指定端口,數值越小則爲根端口。
v 其餘接口一律阻塞。
STP生成樹使用BPDU橋接數據單元通信。
BPDU的類型:
v 配置BPDU:用於生成樹計算,每2秒更新一次。
v 拓撲變更通信:當網絡出現問題的時候纔會發,用於通告網絡變化。
STP接口狀態:
v 阻塞(Blocking):默認延時20S,只接收BPDU。
v 偵聽(Listening):默認延時15S,接口開打,構建活動拓撲。
v 學習(Learning):默認延時15S,構建MAC地址表。
v 轉發(Forwarding):發送接收用戶數據
v 禁用(Disabled):接口關閉Shutdwon。
STP利用三種計時方法來確保網絡的收斂:
v Hello時間:默認時間爲2S。
v 轉發延遲:默認爲30S。
v 最大老化時間:默認爲20S。
STP跟VLAN的關係:
v IEEE的CST通用生成樹:不考慮VLAN的存在,只在網絡中生成單個STP。
v IEEE的MST多生成樹:多個VLAN共用一顆樹。
v CISCO的PVST每個VLAN生成樹:每個VLAN一個STP。
v CISCO的PVST+增加的每個VLAN生成樹:每個VLAN一個STP,可以與CST生成樹兼容。
CISCO的PVST+生成樹命令:
注:速接口一般應用於PC接入口,可以關閉STP的收斂,達到迅速通信。
主根優先級默認爲8192,副根優先級默認爲16384.
MSTP生成樹多個VLAN可以共用一顆生成樹。
MSTP生成樹引入了域的概念,一個域中可以有多個實例,而一個實例可以理解爲一個樹。
Instance 0是一個特殊的樹,只要啓動了MST,它就默認啓動,它是所有VLAN默認映射到這個實例中。
BPDU保護:當交換設備啓動了BPDU保護功能後,如果邊緣端口收到其他生成樹的BPDU,邊緣端口將自動Shutdown。
根保護:由於網絡中惡意攻擊,根網橋收到優先級更高的BPDU,根端口不在轉發報文,當優先級恢復則恢復正常的狀態。
華爲H3C的MSTP多生成樹命令:
注:instance:實例的意思。
16、三層技術之虛接口與路由
路由分類:
v 直連路由:路由器相互連接配置了相同網段地址就可以通信。
v 靜態路由:手動配置路由條目,使不同網段通信。
v 默認路由:手動配置一條單方向可以匹配所有路由條目的路由,一個路由器上只能有一條默認路由,默認路由屬於靜態路由。
v 動態路由:動態獲取路由條目,使不同網段通信。
路由標識:C表示直連,S表示靜態路由,S*表示默認路由。
CISCO思科路由命令:
注:下一跳地址爲路由對端接口地址。
華爲H3C路由命令:
三層交換機擁有交換機和路由器的功能,優勢:一次路由,多次轉發。
三層交換的體系結構:傳統老式的MSL多層交換體系結構,基於CEF的快速轉發體系結構。
CEF有兩個信息表:轉發信息庫FIB(路由表)和鄰接關係表(MAC表)。
三層交換實現靈活的虛接口機制,三層交換機上所有的接口默認情況下都是二層接口。
虛接口:顧名思義就是邏輯接口,虛擬的接口。
CISCO思科三層交換命令:
華爲H3C三層交換命令:
17、三層技術之動態路由OSPF協議
OSPF協議全稱opend shortest path first開放式最短路徑優先協議,它根據SPF算法自動選擇最優的路經動態選擇路由。
OSPF協議的優勢:適用於大規模網絡,路由變化收斂速度快,無環路由,支持子網劃分LVSM,支持區域劃分,支持組播發送報文,支持觸發性更新路由條目。
OSPF協議是鏈路狀態路由協議,它的管理距離爲110。它的協議號爲89。
SPF計算路徑成本的公式:10的8次方除以BW(帶寬)。單位:Bit/S。
AS叫自治系統:我們將共同管理下的一組路由運行的網絡稱之爲自治系統。
OSPF的工作過程:建立鄰接關係,鏈路狀態數據庫,最短路徑樹,形成路由表。
OSPF有三個表:鄰居表,鏈路狀態數據庫,路由表。
OSPF形成鄰接狀態的過程:Down失效狀態,Init初始化狀態,2-Way鄰居狀態,Exstart開始狀態,Exchange交換狀態,Loading等待狀態,Full鄰接狀態。
釋義:從Down到2-Way這個階段是路由與路由確認是鄰居了,然後從Exstart到Full這個階段完成鄰接。鄰接的意思就是鄰居之間建立連接。
OSPF包類型:
v Hell包:發生送Hell報文建立鄰接關係。
v 數據庫描述包DBD:發送描述列表,就是我這裏有那幾個網段。
v 鏈路狀態請求包LSR:發送請求包,請求路由列表。
v 鏈路狀態更新包LSU:發送更新包,更新路由列表。
v 鏈路狀態確認包LSACK:發送確認包,確認路由列表。
RouterID:運行OSPF的路由器都需要一個標識,這個標識被稱爲RouterID。
RouterID的選舉:
v 手動配置
v 環回接口中最大的IP地址
v 物理接口中最大的IP地址
MA網絡稱爲多路訪問網絡,意思就是說在同一網段裏,路由器與交換機與路由器相連,路由器到達路由器的路有很多條。
DR與BDR技術:DR表示指定路由器,BDR表示備用路由器。在MA網絡中,OSPF爲了減少LSA通告條目的泛洪,則將同一網段的路由中選舉出一個DR和一個BDR,當DR學習到其他路由的路由條目時,而其他路由都會通過DR學習路由條目。BDR是爲了防止DR線路出現故障時,BDR則擔任DR的工作。
DR與BDR選舉:根據優先級,根據RouterID。優先級值越大越優先,RouterID號越大越優先。
18、三層技術之OSPF區域劃分與路由重分發(2)
OSPF引入了區域劃分的技術,OSPF可以將整個AS分割成多個小區域。Area0默認爲骨幹區域,其他爲標準區域。
OSPF區域中將路由器分爲內部路由器(IR),區域間路由器(ABR),自治系統邊界路由器(ASBR)。
OSPF區域中又將通告(LSA)分爲7類通告(LSA):
v LSA1:內部路由通告路由描述,傳播範圍區域內所有路由。
v LSA2:內部路由通告路由條目,傳播範圍區域內所有路由。
v LSA3:區域間路由通告路由條目,傳播範圍整個AS自治系統。
v LSA4:邊界區域路由ASBR所在位置,傳播範圍爲ASBR所在區域。
v LSA5:外部路由條目,傳播範圍爲整個AS自治系統。E1:成本累加E2:固定成本20。
v LSA7:外部路由條目,傳播範圍爲整個AS自治系統。
注:LSA7爲優化區域NSSA區域傳播的路由條目。
區域優化的作用:路由條目的減少,提高路由工作效率。
區域優化:
v 末梢區域:針對非骨幹和非ASBR所在區域做優化,通過一條默認路由代替,阻止LSA5類型的通告。
v 完全末梢區域:針對非骨幹和非ASBR所在區域做優化,通過一條默認路由代替,阻止LSA3,4,5類型的通告。
v NSSA區域:針對ASBR邊界路由所在區域做優化,將LSA4,5類通告轉換爲LSA7類的通告,這樣可以減少路由條目和資源佔用問題。
標識:LSA1:O LSA3:OIA LSA5:0 E1/E2 末梢區域默認路由:O*IA
Redistribut路由重分發技術:兩個AS自治系統使用不同的路由協議,爲了學習到另外一個自治系統的路由,我們需要使用路由重分發技術。
Redistribut路由重分發思路:
v 確定自治系統使用的路由協議
v 確定ASBR所在位置
v 決定進行路由重分發的方向。
路由種類:OSPF,RIP,直連路由(Conncet),靜態路由(static),默認路由(default)。
注:RIP因爲有跳數15跳的限制,所以在OSPF導入RIP協議中需要指定度量值metric。
OSPF路由地址彙總技術:將小範圍IP地址彙總成大範圍IP地址。
OSPF彙總技術的優勢:
v 減少路由條目
v 屏蔽一些網絡不穩定的細節來節省資源
v 通過減少泛洪的LSA來節省資源
OSPF路由彙總分區域間路由彙總和外部路由彙總。
v 區域間路由彙總:針對每個區域中的規劃的路由IP地址彙總成一個大地址。
v 外部路由彙總:針對學習到的外部路由IP地址彙總成一個大地址。
19、三層技術之OSPF相關命令—虛鏈路(3)
虛鏈路:是指一條通過一個非骨幹區域連接到骨幹區域的鏈路。
虛鏈路一般用於:
v 通過一個非骨幹區域連接一個區域到骨幹區域。
v 通過一個非骨幹區域連接一個分段的骨幹區域兩邊的部分區域。
配置虛鏈路規則:
v 虛鏈路必須配置在兩臺路由器之間。
v 虛鏈路所經過的區域必須擁有全部的路由信息。
v 傳送區域不能是一個末梢區域和NSSA區域。
v 虛鏈路的穩定性取決於其經過的區域的穩定性。
v 虛鏈路有助於提供邏輯冗餘。
CISCO思科OSPF相關命令:
注:當接口Priority優先級爲0時,表示不參與DR與BDR的選舉。
華爲H3C相關命令:
20、三層技術之HSRP網關冗餘技術
HSRP(Hot Standby Routing Protocol)熱備份路由協議。
HSRP協議是思科的私有協議。VRRP是公有熱備協議。
HSRP的作用:網關冗餘技術,讓一臺PC可以有兩個網關,平時主的網關工作,當主的出現故障從網關則接替工作。主從網關由一個虛IP來決定誰是主誰是從。
HSRP組成員:一臺活躍路由器,一臺備份路由器,一臺虛擬路由器,其他路由器組成。
HSRP端口號位1985,屬於UDP協議,數據包使用組播地址:224.0.0.2 TTL值爲1。
HSRP的六種狀態:初始狀態,學習狀態,監聽狀態,發言狀態,備份狀態,活躍狀態。
HSRP選舉:通過優先級選舉誰是主誰是從,優先級數值越大則優先,默認值爲100。
HSRP強佔+端口跟蹤:相同條件下無法發生強佔。當配置了端口跟蹤,主優先級爲100時,如果主路由器跟蹤的端口出現問題,HSRP自動將優先級降10,這樣從的優先級就會高於主的,自動強佔。
HSRP默認的Hello時間爲3S間隔,保持時間爲10S。
思科熱備技術相關命令:
華爲H3C使用VRRP相關命令:
21、ACL訪問控制列表
我們可以通過配置ACL控制數據包允許或拒絕到達目標。增加網絡安全性。
ACL分爲:
v 標準ACL:根據數據包的來源做控制,允許或拒絕。列表號範圍:1~99。
v 擴展ACL:根據數據包的來源,目標,協議,端口做控制,允許或拒絕。列表號範圍:100~199。
v 命令ACL:對標準ACL和擴展ACL做管理,可以對ACL進行命令,方便識別。
思科ACL相關命令:
注:標準ACL只能用於入口,而擴展ACL可以應用於出入口。
Permit:允許,deny:拒絕,eq:等於,standad:標準,extended:擴展
案例:將ACL應用於遠程登錄。
華爲H3C ACL相關命令:
注:華爲H3C的ACL想要應用於接口必須關聯流策略。
案例:
配置思路:
v 定義ACL
v 配置流分類
v 配置流行爲
v 配置流策略
v 接口上調用策略
22、思科防火牆(ASA)
防火牆分軟件防火牆與硬件防火牆。
v 軟件防火牆:運行在IOS系統之上的一個應用,通過應用指定出入網規則。
v 硬件防火牆:功能更強大,漏洞少,狀態化。
狀態化可以理解爲當用戶通過該防火牆連接,那麼防火牆會在本地生成一張連接表,當下次再來連接直接允許或拒絕。更快的通過防火牆,省去了一條一條查規則過的繁瑣過程。
ASA是思科的防火牆產品,它是一臺狀態化防火牆。
默認情況下,ASA對TCP、UDP協議提供狀態化連接,但ICMP是非狀態化,不緩存。
ASA安全優先:狀態換>ACL訪問控制>默認策略。
ASA將防火牆默認將網絡劃分成三個區域:
v Inside區域:內網入口,優先級默認爲100。
v Outside區域:外網入口,優先級模默認爲0。
v DMZ區域:非軍事化區域,優先級默認爲50。一般用於存放WEB服務器。
默認策略:
v Inside區域可以訪問DMZ區域和Outside區域網絡。
v DMZ區域可以訪問Outside區域網絡。不可訪問Inside區域網絡。要想實現訪問需要藉助ACL。
v Outside區域不可訪問Inside區域和DMZ區域網絡。要想實現訪問需要藉助ACL。
ASA命令與交換路由設備命令區別:
思科ASA相關命令:
注:
NAT控制:當網絡經過防火牆時必須進行NAT轉換。
NAT豁免:當開啓NAT控制時,爲了避免NAT控制,根據ACL定義來自某網段的流量經過防火牆時無需進行NAT轉換。
思科防火牆的WEB管理方式叫做ASDM。
ASDM是一種圖形化管理防火牆的方式。
部署ASDM步驟:
v 從TFTP服務器導入ASDM的鏡像
# copy tftp flash
v 啓動防火牆HTTPS服務
# http server enable
v 允許HTTPS接入
# http 192.168.1.0 255.255.255.0
v 指定ASDM鏡像位置
(config)# asdm image disk 0:/asdm-602.bin
v 配置客戶端遠程登錄用戶名和密碼
(config)# username a password 123 privilege 15
v PC安裝JAVA環境,安裝Fille,然後通過瀏覽器訪問ASA即可。
思科設備日誌收集步驟:
本地日誌收集:
配置ASDM日誌:
配置日誌服務器:可以使用客戶端軟件查看收集日誌。
23、QOS服務質量----思科
思科QOS的使用:
基於ACL的QOS(流分類)
v 創建ACL
(config)# access-list 101 permit tcp 源網段 反掩碼 目標網段 反掩碼 eq 端口號
v 流分類
(config)# class-map match-all ren #定義流
(config-cmap)# match access-group 101 #調用ACL
v 流策略,定義流行爲
(config)# policy-map a
(config-pmap)# class ren
(config-pmap-c)# set ip precedence 4 #設置流優先級
(config-pmap-c)# set ip dscp 60 #基於DSCP的流優先級
(config-pmap-c)# shape average 8000 4000 4000 #限速(流量整形)
(config-pmap-c)# police 8000 4000 4000 confrom-action transmit exceed-action dorp vidate-action dorp #限速(流量監管)
(config-pmap-c)# random-detect #開啓擁塞避免
(config-pmap-c)# random-detect precedence 7 100 200 20% #根據流優先級的擁塞避免
(config-pmap-c)# bandwidth 10000 #配置保證帶寬爲10MB
(config-pmap-c)# bandwidth precent 10 #配置保證帶寬爲百分之10
(config-pmap-c)# queue-limit 20 #配置隊列中數據包的個數爲20個
(config-pmap-c)# priority 1000 #配置LLQ的最大帶寬爲1000KB
(config-pmap-c)# priority precent 10 #配置LLQ的最大帶寬爲百分之10
注:Confrom-action:表示合規的流量,transmit:執行轉發動作。
Exceed-action:表示違規的流量,drop:執行丟棄動作。
Vidate-action:表示大於緩衝區的流量,drop:執行丟棄動作。
第一位8000表示限定的速率,單位KB/S。
第二位4000表示緩衝區的速率,單位KB/S。
第三位4000表示緩衝區突發的速率,單位KB/S。也就是最大速率。
v 將策略應用於接口
(config-if)# service-policy input a
基於接口的QOS(限速)
流量監管:承諾速率,超出流量則丟棄。
流量整形:調節速率,使用緩衝區的流量均勻的進行轉發。
v 基於接口的流量監管
(config-if)# rate-limit input 8000 4000 4000 confrom-action transmit exceed-action dorp vidate-action dorp #流量監管
(config-if)# rate-limit input access-group 101 8000 4000 4000 confrom-action transmit exceed-action dorp vidate-action dorp
#ACL的流量監管
v 基於接口的流量整形
(config-if)# traffic-shape rate 8000 4000 4000 #流量整形
(config-if)# traffic-shape group 1 8000 4000 4000 #ACL的流量整形
QOS的擁塞避免與擁塞管理
v 擁塞避免
(config-if)# random-decet dscp-based #開啓基於DSCP的擁塞避免
(config-if)# random-decet dscp 4 低閾值 高閾值 丟棄概率 #配置擁塞避免
(config-if)# random-decet #開啓流優先級的擁塞避免
(config-if)# random-decet precedence 7 低閾值 高閾值 丟棄概率 #配置擁塞避免
(config-if)# show queueing random-decet
#查看擁塞避免情況
v 基於CBWFQ的擁塞管理
步驟:定義流分類,定義流策略,策略中定義擁塞管理。詳情請看流分類
定義流策略
(config)# policy-map a
(config-pmap)# class class-default #配置默認類
(config-pmap-c)# bandwidth precent 20 #配置默認類帶寬爲百分之20
(config-pmap-c)# exit
(config-pmap)# class ren #調用類
(config-pmap-c)# bandwidth 10000 #配置保證帶寬爲10MB
(config-pmap-c)# bandwidth precent 10 #配置保證帶寬爲百分之10
(config-pmap-c)# queue-limit 20 #配置隊列中數據包的個數爲20個
(config-pmap-c)# priority 1000 #配置LLQ的最大帶寬爲1000KB
(config-pmap-c)# priority precent 10 #配置LLQ的最大帶寬爲百分之10
WFQ隊列命令
24、華三交換機 IRF V7版本
https://mp.weixin.qq.com/s/nG0KCwVTonh5IRv8t142DA
25、QOS服務質量-----華三華爲
華三華爲QOS服務質量:
包含內容:流分類,限速,擁塞管理,擁賽避免,策略路由。
基於ACL的QOS(流分類)
v 創建ACL
[huawei]acl name acl1 #進入ACL配置項
[huawei-acl-adv-acl1]rule 101 permit 協議 source 源IP 反掩碼 destination目標IP 反掩碼
[huawei-acl-adv-acl1]quit #定義ACL
注:藍色爲調用關係
v 流分類
[huawei]traffic classifier class1 #流分類
[huawei-classifier-class1]if-match acl acl1 #調用ACL
[huawei-classifier-class1]quit
v 流行爲
[huawei]traffic behavior xingwei1 #創建流行爲
[huawei-behavior-xingwei1]remark 8021p 5 #設置流優先級
[huawei-behavior-xingwei1]remark dscp 40 #基於DSCP的流優先級
[huawei-behavior-xingwei1]car cir 8000 pir 10000 green pass #限速(流量監管)
[huawei-behavior-xingwei1]car cir 8000 cbs 10000 #限速(流量整形)
[huawei-behavior-xingwei1]statistic enable #開啓流量統計功能
[huawei-behavior-xingwei1]redirect ip-nexthop 1.1.1.1 #策略路由(指定流量的下一跳地址)
[huawei-behavior-xingwei1]quit
注:DSCP:差異化服務編碼點(值範圍0~63),值越大優先級越高。
監管:CIR:承諾的速率,PIR:向桶內加入流量的速率。單位:KB/秒
整形:CIR:承諾的速率,CBS:承諾的突發速率。單位:KB/秒
v 定義流策略
[huawei]traffic policy policy1 #創建流策略
[huawei-policy-policy1]classifier class1 behavior xingwei1 #調用流分類和流行爲
[huawei-policy-policy1]quit
v 將策略應用於接口
[huawei]interface gigabitethernet0/0/1 #進入接口
[huawei-gigabitethernet0/0/1]traffic-policy policy1 inbound #將策略用於接口
[huawei-gigabitethernet0/0/1]quit
注:inbound:入口 ourbound:出口
基於接口的QOS(限速)
流量監管:承諾速率,超出流量則丟棄。
流量整形:調節速率,使用緩衝區的流量均勻的進行轉發。
v 基於接口的流量監管
[huawei]interface gigabitethernet0/0/1
[huawei-gigabitethernet0/0/1]qos lr inbound cir 8000 #流量監管
[huawei-gigabitethernet0/0/1]quit
v 基於接口的流量整形
[huawei]interface gigabitethernet0/0/1
[huawei-gigabitethernet0/0/1]qos lr inbound cir 8000 cbs 10000 #流量整形
[huawei-gigabitethernet0/0/1]quit
注:CIR:承諾的速率,CBS:承諾的突發速率,EBS:最大突發速率,CIR/PIR:緩衝區速率。
QOS的擁塞避免與擁塞管理
v 創建ACL
v 流分類,調用ACL
v 流行爲,設定流優先級
v 配置接口的信任報文
[huawei]interface gigabitethernet0/0/1
[huawei-gigabitethernet0/0/1]trust 8021p #配置信任報文
[huawei-gigabitethernet0/0/1]quit
v 擁塞避免,根據優先級對應隊列號
[huawei]qos sred queue 2 red 500 discard-probability 1 yellow 1000 discard-probability 4
[huawei]qos sred queue 3 red 500 discard-probability 1 yellow 1000 discard-probability 4
[huawei]qos sred queue 4 red 500 discard-probability 1 yellow 1000 discard-probability 4
注:SRED是一個擁塞避免技術。參數詳解:discard-probability:丟棄概率。
釋義:隊列號=流優先級
v 擁塞管理
[huawei]interface gigabitethernet0/0/1
[huawei-gigabitethernet0/0/1]qos wrr #配置調度模式
[huawei-gigabitethernet0/0/1]qos queue 2 wrr weight 0 #調用隊列並設置權重
[huawei-gigabitethernet0/0/1]qos queue 3 wrr weight 10 #調用隊列並設置權重
[huawei-gigabitethernet0/0/1]qos queue 4 wrr weight 20 #調用隊列並設置權重
[huawei-gigabitethernet0/0/1]quit
注:weight:權重 權重值越高,則優先轉發。
26、
27、
28、
參考鏈接 :
【每天三分鐘】OSI七層模型 : https://mp.weixin.qq.com/s/-n06sORcy7JJZUZ_mj_Qdg