HCIP之交换部分（一）

一、DHCP高级

• 进化过程：RARP----BOOTP----DHCP
• wireshark抓DHCP的报文时，过滤DHCP报文使用bootp

配置：
	方法一：全局
		dhcp enable
		ip pool 123
		network X.X.X.0 mask 255.255.255.0
		gateway-list X.X.X.X
		进接口：
			dhcp select global  基于全局
		excluded-ip-address x.x.x.1 X.X.X.10
		ipconfig /rel 手动释放地址
		ipconfig /renew 重新获取地址
		display ip pool name 123 used 查看使用情况
	方法二：接口
		dhcp enble
		ip pool 123
		进接口：				
			dhcp select interface				
			dhcp server dns-list 8.8.8.8
			注：默认网关为接口地址
				分配接口的地址段为地址池地址
	方法三：中继
		进接口：
			dhcp select relay DHCP中继
			dhcp relay server-ip X.X.X.X DHCP服务器地址
DHCP Snooping
	接入层技术
	原理：一但针对某个VLAN启用dhcpsnooping后，那么该VLAN中的所有接口都默认为非信任接口，非信任接口收到的DHCP offer报文会直接丢弃
	配置：
		dhcp enable
		dhcp snooping enable
		dhcp snooping enable vlan 1
		进入接口：
			dhcp snooping trusted 设置接口为信任接口

二、BFD双向转发检查

• 作用：毫秒级故障检查，通常结合三层协议，如静态路由、OSPF、BGP等，实现链路故障快速检查
  配置：

   bfd
   bfd 1 bind peer-ip 12.1.1.1 source-ip 12.1.1.2
   discriminator local 2 标识
   discriminator remote 1 标识（两端要一致）
   commit 确认提交
   ip route-static 2.2.2.2 32 12.1.1.1 track  bfd-session 1 静态调用
   display bfd session all 查看
   ospf调用BFD加快收敛：
   bfd
   ospf 1
   bfd all-interface enable
   注：所有ospf都要启用
  

三、端口安全与端口镜像

• 端口安全
  配置：

	进入接口：
		port-security enable 开启端口安全，改接口只允许一个主机通信
		port-security max-mac-num X 允许X台主机可以通信
		port-security mac-address sticky 开启黏贴功能，第一个用户的MAC会自动黏贴进来
		port-security mac-address sticky 5489-9851-2403 vlan 1 
		port-security protect-action shutdown 超过连接时直接关闭接口
		port-security protect-action restrict 超过连接时发出警告并丢弃数据包
		display mac-address:查看交换机上Mac

• 端口镜像
  作用：①用于维护查看网络流量。②用来配合IDS、堡垒机等安全设备的使用
  堡垒机：第三方代维人员时对服务器上的所有操作都会记录
  IDS：入侵检测系统，对用户的数据进行分析，如果检测有危险性，会告警。安全设备旁路在核心交换机
  配置：

observe-port 1 interface g0/0/1 将g0/0/1设置为观察口，1为观察组
		进接口：
		  port-mirrorin to observe-port1both 将进出的数据复制一份发送给观察组1

四、VLAN高级配置

一、 基于IP地址的VLAN

HCIA已有讲解

二、 基于Mac的VLAN

配置：

vlan 10
mac-vlan mac-address 0000-0000-0001 
mac-vlan enable

三、 超级VLAN

作用：用于酒店、小区、运营商和高校共建的校园网等用户密集度高的地方进行二层隔离，防止病毒扩散和攻击，提高网络稳定性。
	使用超级VLAN，将多个VLAN使用相同的IP网段和网关，节省ip地址。

配置：

vlan batch 10 20 30 将相关接口划入相应vlan
vlan30
aggregate-vlan 对vlan30定义为聚合vlan
access-vlan 10 20  将vlan 10 20定义为vlan 30的子vlan给vlan 30配置ip地址

四、相同vlan端口隔离

一个端口可以加入多个隔离组，trunk接口也可以加入隔离组
隔离端口为华为、华三特有，思科使用复杂的PVLAN解决
工作原理：同一台交换机相同隔离组的端口是不能互访，隔离组本地有效
配置：

port-isolate enable group 1 将接口加入隔离组1

五、vlan mapping(vlan映射)

vlan最多有4096个
将vlan标签转换后可以有4096*4096个vlan，解决运营商vlan标签不足问题
配置：

进接口：
	qinq vlan-translation enable 启用vlan标签转换
	port vlan-mapping vlan 30 to 40 map-vlan 100 将30-40转换成100

注：模拟器上不支持，真机可以

六、Hybrid混合接口

注：trunk封装：802.1q封装
混合接口：是华为设备特有的接口，是华为设备默认的接口类型。
同时具有access和trunk的特性
配置：

将hybrid当access口：
	进接口：
		port hybrid pvid vlan 10
		port hybrid untagged vlan 10	 
将hybrid当trunk口：
	port hybrid tagged vlan 10