HCIP之交換部分（一）

一、DHCP高級

• 進化過程：RARP----BOOTP----DHCP
• wireshark抓DHCP的報文時，過濾DHCP報文使用bootp

配置：
	方法一：全局
		dhcp enable
		ip pool 123
		network X.X.X.0 mask 255.255.255.0
		gateway-list X.X.X.X
		進接口：
			dhcp select global  基於全局
		excluded-ip-address x.x.x.1 X.X.X.10
		ipconfig /rel 手動釋放地址
		ipconfig /renew 重新獲取地址
		display ip pool name 123 used 查看使用情況
	方法二：接口
		dhcp enble
		ip pool 123
		進接口：				
			dhcp select interface				
			dhcp server dns-list 8.8.8.8
			注：默認網關爲接口地址
				分配接口的地址段爲地址池地址
	方法三：中繼
		進接口：
			dhcp select relay DHCP中繼
			dhcp relay server-ip X.X.X.X DHCP服務器地址
DHCP Snooping
	接入層技術
	原理：一但針對某個VLAN啓用dhcpsnooping後，那麼該VLAN中的所有接口都默認爲非信任接口，非信任接口收到的DHCP offer報文會直接丟棄
	配置：
		dhcp enable
		dhcp snooping enable
		dhcp snooping enable vlan 1
		進入接口：
			dhcp snooping trusted 設置接口爲信任接口

二、BFD雙向轉發檢查

• 作用：毫秒級故障檢查，通常結合三層協議，如靜態路由、OSPF、BGP等，實現鏈路故障快速檢查
  配置：

   bfd
   bfd 1 bind peer-ip 12.1.1.1 source-ip 12.1.1.2
   discriminator local 2 標識
   discriminator remote 1 標識（兩端要一致）
   commit 確認提交
   ip route-static 2.2.2.2 32 12.1.1.1 track  bfd-session 1 靜態調用
   display bfd session all 查看
   ospf調用BFD加快收斂：
   bfd
   ospf 1
   bfd all-interface enable
   注：所有ospf都要啓用
  

三、端口安全與端口鏡像

• 端口安全
  配置：

	進入接口：
		port-security enable 開啓端口安全，改接口只允許一個主機通信
		port-security max-mac-num X 允許X臺主機可以通信
		port-security mac-address sticky 開啓黏貼功能，第一個用戶的MAC會自動黏貼進來
		port-security mac-address sticky 5489-9851-2403 vlan 1 
		port-security protect-action shutdown 超過連接時直接關閉接口
		port-security protect-action restrict 超過連接時發出警告並丟棄數據包
		display mac-address:查看交換機上Mac

• 端口鏡像
  作用：①用於維護查看網絡流量。②用來配合IDS、堡壘機等安全設備的使用
  堡壘機：第三方代維人員時對服務器上的所有操作都會記錄
  IDS：入侵檢測系統，對用戶的數據進行分析，如果檢測有危險性，會告警。安全設備旁路在覈心交換機
  配置：

observe-port 1 interface g0/0/1 將g0/0/1設置爲觀察口，1爲觀察組
		進接口：
		  port-mirrorin to observe-port1both 將進出的數據複製一份發送給觀察組1

四、VLAN高級配置

一、 基於IP地址的VLAN

HCIA已有講解

二、 基於Mac的VLAN

配置：

vlan 10
mac-vlan mac-address 0000-0000-0001 
mac-vlan enable

三、 超級VLAN

作用：用於酒店、小區、運營商和高校共建的校園網等用戶密集度高的地方進行二層隔離，防止病毒擴散和攻擊，提高網絡穩定性。
	使用超級VLAN，將多個VLAN使用相同的IP網段和網關，節省ip地址。

配置：

vlan batch 10 20 30 將相關接口劃入相應vlan
vlan30
aggregate-vlan 對vlan30定義爲聚合vlan
access-vlan 10 20  將vlan 10 20定義爲vlan 30的子vlan給vlan 30配置ip地址

四、相同vlan端口隔離

一個端口可以加入多個隔離組，trunk接口也可以加入隔離組
隔離端口爲華爲、華三特有，思科使用複雜的PVLAN解決
工作原理：同一臺交換機相同隔離組的端口是不能互訪，隔離組本地有效
配置：

port-isolate enable group 1 將接口加入隔離組1

五、vlan mapping(vlan映射)

vlan最多有4096個
將vlan標籤轉換後可以有4096*4096個vlan，解決運營商vlan標籤不足問題
配置：

進接口：
	qinq vlan-translation enable 啓用vlan標籤轉換
	port vlan-mapping vlan 30 to 40 map-vlan 100 將30-40轉換成100

注：模擬器上不支持，真機可以

六、Hybrid混合接口

注：trunk封裝：802.1q封裝
混合接口：是華爲設備特有的接口，是華爲設備默認的接口類型。
同時具有access和trunk的特性
配置：

將hybrid當access口：
	進接口：
		port hybrid pvid vlan 10
		port hybrid untagged vlan 10	 
將hybrid當trunk口：
	port hybrid tagged vlan 10