HCIA第五天的笔记整理

在未启用交换机制前，默认情况下一台换路器被视为一个广播域。
VLAN虚拟局域网。
当路由器与换路器协同工作时，在原有单广播域的基础上实现了逻辑划分。
配置思路如下：
首先，在换路器上创建VLAN端口。
其次，在换路器各个端口划分对应的VLAN编号。
以trunk端口为例，在此架构中与switch-box和router相连。
不同VLAN之间的路由关系则采用单臂路由策略，并通过子接口与下层VLAN连接。

基本原理

传统的以太网交换装置在数据转发过程中采用了源地址学习机制，在线生成各端口连接设备的MAC地址信息，并将其存储于MAC地址记录表中作为转发依据。其数据转发过程无需人工干预即可完成任意两个端口间的通信连接配置工作。例如，在这种网络架构下如果B型主机无法访问A型主机则完全无法实现两者之间的通信需求。该网络体系存在以下主要缺陷：其一网络安全防护能力不足；其二网络运行效率较低会大量产生不必要的数据报文；其三网络功能扩展性较差难以实现差异化服务需求

将用户划分为多个逻辑网络（Group），各组内部能够进行通信而与其他小组之间禁止通信；采用二层转发机制下产生的单播、组播及广播数据包仅限于本组内部传播；此外该技术相对简便地实现了成员数量的变化。
实际上VLAN技术提供了一种有效的管理机制；观察下图可以看出；例如Group1与Group2中的个人计算机（PC）之间相互之间无法通信。

在待发送的数据包中嵌入VLAN标识后触发后续操作流程

DA：Destination address
SA：Source Address
TAG：VLAN TAG

TPID（Tag Protocol Identifier）：一种用于标识带有802.1Q标签的帧的协议，在网络传输中被广泛采用；该编码方案采用了两字节固定长度，并以十六进制形式表示为0x8100；它是IEEE标准中定义的一种新类型；通过这一技术可以实现对数据帧进行有效的检测与处理；该协议通常简称为Dot/OneQ技术

TCI标识符：Tag Control Information字段（仅需2个字节）。与帧相关的控制信息详细说明如下：

1. 优先级字段(priority字段)：占用3位二进制位数（共8个优先级等级），该字段用于实现按优先级区分的转发策略（在IEEE 802.1Q协议中定义了这些优先级等级）。

CFI指标：Canonical Format Indicator（CFI），是一种单比特设置。它具体说明了地址信息是在传输过程中先发送低位还是高位。在传统的FDDI和令牌环介质访问中被广泛采用，在目前使用的以太网等现代网络架构中已不再采用这种设置。

VLAN标识符：vni占用了12位二进制数据（bits），总共有4,096个不同的值（values），其取值范围从零至四千零九十五（zero to 4,095）。
其中vni 为零至四千零九十五（zero to 4,095）都被允许使用。
支持配置的vni编号为一至四千零九十四（one to 4,094），共计有四个千九百多个可用编号（number of available vni numbers）。
其中vni 一（one）被指定为默认值（default value）。

交换机针对vlan的划分方式

所有以太网帧在交换机内部都是以tagged frame的形式流动的，即某端口从对端设备收到的帧，有可能是untagged的，但是从本交换机其它端口转发来的帧，一定是tagged的。如果收到的是tagged frame，则进入转发过程，如果该端口收到的是untagged frame，则必须加上标签。以下几种方法可以确定标签中的VLAN ID取值：
（1）基于端口：网络管理员给交换机的每个端口配置PVID，即Port VLAN ID，有些场合称为端口默认VLAN。如果收到的是untagged帧，则VLAN ID的取值为PVID。
（2）基于MAC地址：网络管理员配置好MAC地址和VLAN ID的映射关系表，如果收到的是untagged帧，则依据该表添加VLAN ID。
（3）基于协议：网络管理员配置好以太网帧中的协议域和VLAN ID的映射关系表，如果收到的是untagged帧，则依据该表添加VLAN ID。
（4）基于子网：根据报文中的IP地址信息，确定添加的VLAN ID。
（5）基于策略：根据上面几种划分依据组合进行划分。
如果设备同时支持多种方式，一般情况下，优先使用顺序为：基于策略－基于子网－基于协议－基于MAC地址－基于端口。目前常用的是基于端口的方式。

交换机上的基本操作命令

该指令用于获取交换机上的MAC地址表信息；此指令启用后会自动更新mac地址表；该参数设置mac地址更新的时间间隔，默认设置为5分钟。

mac-address aging-time 100 //修改MAC地址表老化时间为100S

清除ARP缓存表...在模拟器中无效，并保留MAC地址表中的记录
在模拟器中无效的情况下
部署VLAN功能后, 交换机会将端口划分为以下三种类型:
（1）Access 端口: 主要用于连接终端设备, 其中早期版本默认使用该接口类型
（2）Trunk 端口: 用于实现交换机间的互连, 同时也支持路由器与交换机之间的连接
（3）Hybrid 端口(混合端口): 自VRP5.X版本开始默认采用该接口类型
Access 通常用于实现终端设备间的通信, 终端设备无法识别带有tag的数据帧

接收端：未标记（untag）帧（这些来自PC端的都是未标记帧）
配置该访问接口所属的相关PVID信息后，并随后进行转发操作

发送：tag帧（位于交换机内部的都是tag帧）
把tag去掉后再转发给PC

一般情况下，PC机无法收发带有tag的数据帧

Access接口用于主机连接，并具有以下特性：

1. 只有当VLAN标识与该接口的PVID相同时，数据帧才能通过本接口传输
2. 当交换机接收到来自对端设备的帧为无标签时，默认会在其上附加本接口的PVID
3. Access接口发送至对端设备的以太网帧始终为无标签类型
4. 早期型号交换机默认配置该接口类型为access型，默认PVID值设定为1，在系统中自动生成初始VLAN（ID）=1，默认不可删除或修改

在交换机上配置多个VLAN类型，请输入以下命令：
vlan batch //配置特定的VLAN类型号 或者 vlan batch <start_id>-<end_id> //设置连续的VLAN类型号
此外，在同一操作中您还可以将多个VLAN类型号连同之前的设置在一起执行：
vlan batch - 如果需要撤销以上操作，请运行以下命令： undo vlan batch

dis vlan
dis vlan summary //不常用（没有dis vlan brief命令）

将该接口划分为VLAN中，并对各个接口进行详细配置。具体操作如下：ethernet0/0/1端口属性设置为access模式，并指定VLAN编号为2；同时在默认情况下修改PVID值为2

（2）在vLAN视图下同步配置如下：
设置接口e0/0/1
设置接口类型为访问型 //建议在配置前先修改接口类型
vLAN 2
将Ethernet口端口合并至同一vLAN中

批量选中接口
Interface range e0/0/5-10

移除该接口下的访问控制：
interface Ethernet0/0/1
设置默认VLAN的撤销端口为链路类型作为默认值：
undo port default vlan
将撤销端口的链路类型设为默认值：
undo port link-type

trunk接口在传输数据帧时会省去该帧中的标签信息，在接收端无法确定其所属的vLAN标识

在交换机之间我们旨在让交换机通过携带标签转发数据帧

trunk 接口的 P VID 值：等价于思科本地 VLAN，默认配置为 1
接收未标记（untag）数据帧：需在其上附加 P VID 标签
发送带有 P VID 标签的数据帧时，则会将 tag 去掉变为纯以太网帧后再进行转发

两端配置的VLAN端口PVID值必须保持一致：当SW1配置有VLAN 5端口时（即其PVID为5），而SW2配置有VLAN 1端口（即其PVID为1），则该交换机会会将来自SW1的带有VLAN 5标签的数据帧转换成纯以太网帧发送给本地端；随后该交换机会会在本地端添加VLAN 1标签（即tag1），从而完成VLAN域间的数据帧转换操作。

有哪些VLAN配置可允許trunk接口通過：根據預設设置，在 default 情況下，在 Huawei 交换機中設定 trunks 時，默认僅允許 VLAN 1通行。對於其他 VLAN，则需特别配置允許流量通過 trunks 間隙。具體來說，在 Huwai 系統中可以使用命令 port trunk allow-pass vlan 5 to 10來允許從 VLAN 5 至 VLAN 10之間的流量通過 trunk 接口；而 port trunk allow-pass vlan all 則可以 permit 所有 VLAN 流量through trunks.

Trunk端口用于实现交换机之间的数据传输，在交换机间传递带有标签的数据帧（tagged frames）。该接口能够灵活配置允许通过的多个VLAN标识码（VLAN ID），这些标识码既可以与PVID（Point-to-Point Interface）相同（即支持同名VLAN），也可以与其他VLAN标识码不同（即支持不同名的VLAN配置）。

注

VLAN转发：通常情况下,VLAN转发功能与基于标签的查询功能具有相同的查询内容.然而,基于动态注册机制的GVRP协议配置的VLAN,若未在其所属接口处完成注册操作,则其对应的ID将不在该接口所在的转发列表中,因此相应的数据帧也就无法通过该接口进行转发.

vlan passing：当前有哪些VLAN处于启用状态？默认设置下会启用第一个VLAN。
vlan permited：在手动配置时，请列出您希望启用的VLAN编号。

交换机内部不可能有纯以太网帧准备从一个接口向外发出

Access与Trunk的小结

经 P VID 处理后的 tag 帧：删除 tag ，转换为纯以太网帧；而被识别出不属于 P VID 的 tag 帧后 ，无法进行发送操作。

从access接口发出的数据帧都不携带任何tag，一般都是发送给PC的

（2）trunk接口的主要特性在于其接收机制。该机制首先接受来自网络层的流量请求，并评估其是否符合 trunk 接口的接入条件。具体而言，在处理以太网帧时会采取不同的处理方式：

• 对于纯以太网帧而言，在发送端附加 PVID 标签后进行转发
• 当收到带有 PVID 标签的帧时直接转发
• 对于未带有 P VID 标签的帧也执行同样的操作

发送：
首先检查是否允许通过以及是否需要创建该VLAN配置。
带有P VID标识的信息帧：去除Tag字段后生成不含Tag字段的标准以太网数据帧。
无P VID标识的信息帧：将Tag字段完整地包含在数据报中进行发送。

华为交换机的trunk接口预设仅允许VLAN1通过，并无需为该VLAN设置开放状态；对于除VLAN1之外的所有VLAN，在接收或发送数据时必须先创建该VLAN，并确保trunk接口能够进行流量转发

上图显示的全部是从某个接口发送数据时是否打tag

中间的交换机也必须创建对应的VLAN信息，并且Trunk接口上都应允通过相应的VLAN

注意：当交换机设置trunk接口的PVID预设值时，则该trunk接口必须允许这个PVID值所在的VLAN通过

通过管理标识符的配置，在将两台PC分配至不同VLAN的情况下仍可实现通信；只要能够解析并发送原始纯以太网帧至目标端口即可

在trunk练习中：两台trunk设备配置了不同的PVID值后实现了同一地址段内的不同VLAN中的PC可以通过协作实现互通；同时完成了单臂域路由策略配置

配置vLAN相关的端口参数时，请注意以下内容：该子接口用于终止带有单层dot1q标签的数据帧传输；此外，在支持QINQ的环境中，默认情况下该子接口还能终止带有双层tag的数据帧传输。注：此指令模拟器不可用；此配置为可选项；并非所有设备均支持此功能。

2.封装vlanID，携带vlan100标签的数据帧交给这个子接口处理

3.在默认状态下（即未特别配置），路由器子接口下的ARP广播请求功能被设置为关闭状态。这意味着，在以下两种情况中，默认情况下（即当满足特定条件时）：当路由器自身的ARP地址表中未记录目标设备对应的MAC地址条目时（即当目标设备未加入该路由器管理时），该路由器不会主动发送到子接口外部进行相应的ARP广播请求

请注意：路由器子接口下的ARP广播请求功能必须启用，若未启，则会导致无法通过PC端ping通网关

以下是按照要求对文本进行同义改写的版本

以下是按照要求对文本进行同义改写的版本

DHCP数据报

访问权限管理：通过路由器的入/出口接口上配置规则流量
允许（permit）：
拒绝（deny）：

基本和高级ACL的语法：

匹配规则：

自上而下地进行查询，在发现匹配结果后就停止继续查找，并将最终结果标记为拒绝（华为系统默认设置为允许）。
华为ACL在处理数据包时，默认设置允许多项数据包通过。
华为ACL在处理路由时，默认阻止所有路由数据包。

rule-id：语句序号
可以不写，系统可以自动添加，从0开始，以5递增

TCP和UDP才有端口号的概念，ICMP则没有

acl 2000
step 10 //设置ACL语句规则的步长（规则ID），默认为5
基本acl用法
[R3]acl 2000
[R3-acl-basic-2000]rule 1 deny source 192.168.1.2 0.0.0.0 定义ACL
[R3-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 （调用）
高级acl用法
[R2]acl 3000
[R2-acl-adv-3000]rule 1 deny tcp source 12.1.1.1 0 destination 23.1.1.3 0 destin
ation-port eq 23
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 3000 （调用）
命名ACL：
acl name test
XXX

给 ACL 命名：
acl name test basic/advance // 通过命名 ACL 可以区分基本或高级功能
XXX
验证 Ping 连通性指令
ICMP 网络控制管理协议
根据 ACL 功能进行分类：
基于接口划分的 ACL（编号范围 1 万至 2 万） // 当前模拟器尚未支持此功能
基本 ACL（编号范围 2 万至 3 万）
高级 ACL（编号范围 3 万至 4 万）
第二层 ACL（编号范围 4 万至 5 千）

acl 4000 //对二层数据帧中的信息进行匹配
rule permit ？

模拟器上的交换机不支持auto，只有路由器支持，默认为config（最常用）

ACL配置

需求：

1. 内部所有IP地址均可接入互联网，并且目标地址范围包括整个网络。
2. 指定外网设备能够连接到内网中的三台服务器。

软件ACL（华为硬件ACL，默认permit any）

从R1到R2，过滤ICMP，允许telnet

（1）对telnet登陆用户进行限制
acl 2000
rule 5 permit source 1.1.1.1 0 //仅允许1.1.1.1的源IP

user-interface vty 0 4 //二层或三层设备均可
acl 2000 inbound

telnet 12.1.1.2 //不能登陆
telnet -a 1.1.1.1 12.1.1.2 //可以登陆

（2）对WEB登陆用户进行限制
acl 2000
rule 5 permit source 1.1.1.1 0 //仅允许1.1.1.1的源IP

http acl 2000

通过接口配置华为硬件ACL来过滤数据包，默认允许所有流量通过。

int g0/0/0
traffic-filter inbound acl 3000 //仅能引用ACL（由于前缀列表仅用于路由匹配），同时允许反向方向配置但仅影响穿越型流量

华为默认访问控制状态取决于其所属类型：软件或硬件型。当采用硬件型时，默认设置为允许访问（permit）。而采用软件型则会根据配置仅拒绝特定请求。

网络 address 转换服务 NAT 实现了 私 net IP 地址与公共 net 地址之间的 映射关系。
内网源端采用 私 net 地址 连接到 公 net 地址 的 目标 端点。
外网源端通过 公 net 地址 连接到 私 net 目标 地址 的 端点。
尽管已弃用 但曾用于 实现 内网 至 外网 的通信 链路连接。
配置一个静态 NAT 表 实现 内部 和外部 IP 转换功能。
此方法实际上等同于 建立一个一对一 的 IP 映射关系。
nat address-group 1 200.10.10.1 200.10.10.200 //注意：此处需特别说明该命令行参数中指定的 private addresses 不应包含该路由器 外部接口处的公共 IP 地址

acl 2000
rule per source 192.168.1.0 0.0.0.255

int s1/0/0
nat outbound 2000 address-group 1 no-pat

dis nat outbound
dis nat session all

可以出外网

NAPT/
Easy IP（cisco叫PAT，用于内到外的访问）
内到外NAT原理

内到外变换源地址
外到内回包时变换目的地址

多个内部主机向外网发送数据时存在路径问题，请确保防火墙能够正确识别并区分这些内部主机以避免潜在的安全风险。为了实现这一目标，在网络设备配置中通常会采用基于IP地址和源端口号的方式来实现数据通信，并确保经转换后的源端口号在公共网络中不会有冲突。

当内部服务器发送至本地网络的数据包出现源端口冲突时，在转发至公网的过程中，系统会更换源端口以避免混淆。

NAPT配置（网络地址端口转换：映射到某一个或多个公网地址，非出口地址，即PAT）
acl 2000
rule permit source 12.1.1.0 0.0.255

nat address-group 1 23.1.1.3 23.1.1.10 //公网地址池中不能包含出口IP地址

int s2/0/1
nat outbound 2000 address-group 1

Easy IP及配置（直接映射到出口地址上）——常用
acl 2000
rule permit source 12.1.1.0 0.0.255

int s2/0/1
nat outbound 2000

dis nat outbound
dis nat session all

静态NAT（采用1:1模式，主要用于外网至内网的访问）
外网至内网NAT的工作原理基于端口映射机制
通过将服务器地址映射至公网IP地址，使得外部网络用户能够访问该服务器

内部服务器通常不会直接配置公网地址供外网访问使用的原因主要有以下几点：
1.防护能力不足：这种做法容易导致网络安全隐患
2.资源浪费：单台服务器就会占用一个公网IP地址

外到内变换目的地址
内到外回包时变换源地址

静态NAT及配置方案采用全地址映射策略（较为少见）。在接口层面进行参数设置：s2端口字段设置为0/0（表示外置输出口）。外部设备自然对映IP地址设定为23.1.1.10（该IP地址需与本地端口s2的外置输出口地址不同）。

dis nat static

NAT验证

地址转换支持地址池的概念，在转换时，从地址池中根据一定的规则选择一个IP地址做为转换后的源地址，完成地址转换。这个选择的过程对用户来讲是透明的，用户只需要将他具有的IP地址配置成相应的地址池就可以了。对于使用地址池中的地址进行转换可以有三种形式：
NAT：1对1的地址翻译，静态NAT，内网中的每个主机都被永久映射成外网中的某个合法的地址，多用于服务器
PAT：多个内网地址翻译到1个外网IP地址，把内部地址映射到外网的一个IP地址的不同端口上（有些协议必须保持端口不变，如NETBIOS。在NAT转换时，防火墙会自动识别这些协议。）
NPAT：多个内网地址翻译到N个IP地址池中的地址
Eudemon防火墙最多支持256个地址池，每个地址池最多可配置255个公网地址。
华为专利技术，一个公网地址，转换无限私网地址，突破65535端口限制。
专利技术：在转换时不单单记录报文的源地址/端口转换信息，防火墙还会记录报文的目的IP/端口信息，这样就可以用相同的IP/端口提供对不同目的IP/端口的报文的NAT转换了。