发布时间 : 星期三 文章H3C网络技术课程学习笔记更新完毕开始阅读625c33b3b84ae45c3a358c2d
8、掌握802.1X基本原理及其配置
802.1X起源于无线局域网802.11,主要是为了解决有线局域网用户接入认证问题。
认证方式:本地认证:
远程集中认证
端口接入控制方式:基于端口的认证 基于MAC地址的认证 配置方式:
[switch] dot1x
[switch] dot1x interface Ethernet1/0/1 [switch] local-uesr localuser
[switch-1user-localuser] password simple hello [switch-1user-localuser] service-type lan-access
9、掌握端口隔离技术及其配置
端口隔离用于在VLAN内隔离以太网端口
隔离组内的端口数量没有限制
隔离组内与隔离组外的同vlan的端口双向互通,隔离组内的端口不能互通 一个端口只能属于一个隔离组
[switch] port-isolate group 1 *创建隔离组1*
[switch] interface Ethernet1/0/1
[switch-Ethernet1/0/1] port-isolate enable *将端口加入到隔离组*
[switch-Ethernet1/0/2] port-isolate uplink-port *将端口加入到隔离组中,并成为上行端口*
10、掌握端口绑定技术
通过“MAC+IP+端口”的绑定,可以实现设备对转发报文的过滤控制,提高了安全性。
[switch] interface Ethernet1/0/1
[switch-Ethernet1/0/1] user-bind ip-address 10.1.1.1 mac-address 0001-0201-1021
第9章 IPV6基础
1、了解IPv6的特点
2、了解IPv6地址的表示方式、构成和分类,了解IEEE EUI-64格式转换原理 3、了解邻居发现协议的作用及地址解析、地址自动配置的工作原理 4、掌握IPv6地址的配置 第10章 IP路由及静态路由
1、路由器负责将数据报文在逻辑网段间进行转发
1.1、路由器根据所收到报文的目的地址选择一条合适的路由,把报文传送给下一个路由器;路由
器在网络间提供物理连接,并根据路由表在网络层转发数据包。
2、路由是指导路由器如何进行数据报文发送的路径信息
2.1、路由器转发数据包主要依靠路由表,每台路由器中都会保存一张路由信息表,每条路由表项
都指明了要到达某个子网或主机要从路由器的哪个物理接口发送出去;网络层是负责引导数据正确的通过网络、找到最优的网络路径
3、每台路由器都有路由表,路由存储在路由表中 3.1、根据来源不同,路由表中的路由通常可分为三类:
A、链路层发现的路由(也称为接口路由或者直连路由) B、静态路由,由管理员手工配置的路由 C、动态路由协议发现的路由
3.2、路由表包含了以下关键项:
目的地址:标识数据报的目的地址或目的网络
子网掩码:与目的地址“逻辑与”找出目的主机或者路由器所在网段 出接口:指明数据报该从路由器哪个接口发送
下一跳IP地址:更接近目标网络的下一个路由器的IP地址。或者为出接口地址
本条路由加入路由表的优先级:对于同一目标网络可能存在不同的路由,可能由不同路由协
议发现的,或者手工配置的;此时优先级高(数值小)的路由作为最优路由
3.3、根据目的地的不同可分为: 子网路由:目的地为子网 主机路由:目的地为主机
3.4、根据目的地是否与路由器直连可分为: 直连路由:目的主机或网络与该路由器直连 间接路由:目的主机或网络与该路由器非直连
4、配置直连路由和静态路由
4.1、配置准备: 配置相关接口的物理参数
配置相关接口的链路层属性
配置相关接口的IP地址、确保相邻节点网络层可达 4.2、配置静态路由:
[H3C] ip route-static 10.200.42.0 255.255.255.0 10.200.42.254 Ethnet0/1 4.3、直连路由:
开销小,配置简单、无需人工维护,只能能发现本接口所属网络段的路由。 无需任何路由配置,路由器即可获得其直连网段的路由
4.4、直连路由的建立:
为路由器接口配置IP地址,该接口物理层和链路层状态UP,则该接口所属网段的直连路由
进入路由表。
5、用静态路由实现路由备份及负载分担
5.1、配置静态路由快速重路由功能:指定备份下一跳,当网络中某条链路或者路由器发生故障中断
时,使用预先指定好的备份下一跳替换失效下一跳。
第11章 RIP路由协议
1、描述RIP路由协议的特点
1.1、路由信息协议(route information protocol)是一种内部网关协议(IGP)主要用于规模较小的网
络,配置和维护较为简单。它是基于距离矢量算法的路由协议,通过UDP报文进行路由信息的交换,使用的端口号为520;RIP用跳数来衡量目的网络的距离,跳数成为度量值;度量值取值范围0~15,16标为不可达,因此限制了RIP在大型网络中的应用。
2、掌握RIP路由信息的生成和维护
2.1、RIP的路由数据库:每个运行RIP的路由器都管理者一个路由数据库,该数据库包含了可达
目的地址的路由项,路由项主要有:
目的地址:目标主机或目标网段
下一跳地址:为了到达目的地,需要通过相邻路由器的接口地址 出接口:本路由器发送数据的接口
度量值:从本路由器到达目的地所经过的路由器个数
路由时间:从路由项最后一次更新到现在的时间,每次路由项更新,路由时间重置为0 路由标记:用于标识外部路由,在路由策略中可根据路由标记灵活控制路由信息
2.2、路由定时器:
Updata定时器:定义了路由更新时间间隔 Timeout定时器: Suppress定时器: Garbage-Collect定时器:
3、掌握路由环路避免的方法
3.1、计数无穷:当发生路由环路时,某条路由的度量值将增长到16。该路由被认为不可达。
3.2、水平分割:RIP从某个接口学到的路由,不会再从这个接口发送回去,防止环路。
3.3、毒性逆转:RIP从接口学到路由,度量值达到16,从原接口发回邻居路由器,可清除无用路由。 3.4、触发更新:某条路由的度量值发生变化时,立刻向邻居发送更新报文,无须等待周期时间。
4、掌握RIPv2的改进 4.1、支持路由标记
4.2、报文中携带掩码信息,支持无类域间路由和路由聚合 4.3、支持指定下一跳
4.4、支持组播方式发送更新报文
4.5、支持对协议报文验证,有明文验证和MD5验证
5、RIP配置 [H3C] rip
[H3C-rip-1] network 10.0.0.0 [H3C-rip-1] version 2 [H3C-rip-1] undo summary
第12章 OSPF路由协议
1、掌握OSPF路由协议基本原理
1.1、OSPF(open shortest path first开放最短路径优先)是IETF开发的基于链路状态的内部网关路由
协议,目前针对IPv4协议使用的是Version 2.
1.2、OSPF路由协议适应范围广,最多可支持几百台路由器;
快速收敛,网络变化后立即发送更新报文;
无自环,采用最短路径树算法计算路由,从算法上避免的路由环路; 区域划分,允许自治系统内划分区域,区域间传送路由信息抽象化; 等价路由,允许同一目的地的多条等价路由;
路由分级,使用4类不同路由,按优先顺序:区域内、区域间、第一类外部、第二外部; 支持协议验证,支持基于接口的报文验证;
组播发送,在某些类型的链路上采用组播地址发送协议报文。
1.3、自治系统:一组采用相同路由协议交换路由信息的路由器,缩写为AS。
2、熟练配置单区域OSPF 2.1、[H3C] ospf
[H3C-ospf-1] area 0
[H3C-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
3、掌握OSPF常见问题定位手段 3.1、display ospf peer 查看ospf邻居状态
3.2、display ospf interface 查看ospf接口状态信息
3.3、display current-configuration configuration ospf 查看区域配置是否正确
第13章 访控及NAT转换
1、了解ACL定义及应用
1.1、访问控制列表是一系列允许或拒绝数据包的指令的集合;
1.2、是网络安全的一部分,通过ACL可以让路由器成为一个包过滤防火墙;
2、掌握ACL包过滤工作原理
2.1.、数据包是被允许或拒绝主要由源地址、目的地址、源端口、目的端口、协议等指定条件决定;
3、掌握ACL的分类及应用
3.1、标准ACL:只检查源地址;序号范围2000~2999
3.2、扩展ACL:检查源地址、目的地址、源端口、目的端口、协议等;序号范围3000~3999 3.3、二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议等;序号范围4000~4999 3.4、用户自定义ACL:以数据包报头为基准,指定从第几字节开始匹配;序号范围5000-5999 3.5、ACL可以与QoS、NAT结合使用
3.6.、基于时间段的ACL可以使用户区分不同时间段实现ACL控制
4、掌握ACL包过滤的配置
4.1、两个步骤:一是配置好ACL语句
二是把ACL应用到接口上 4.2、时间配置:(1) 周期时间段:比如每周的周几 配置:[H3C] system-view
(2) 绝对时间段:从起始时间到终止时间 配置:[H3C] system-view
配置步骤 进入系统视图 命令 system-view time-range time-name { start-time to end-time 创建一个时间段 days-of-the-week [ from start-time start-date ] [ to end-time end-date ] | from start-time start-date [ to end-time end-date ] | to end-time end-date } 注意:同种时间段之间是或的关系,不同种时间段之间是与的关系
4.3、标准ACL配置:
配置步骤 进入系统视图 创建或进入基本ACL视图 命令 system-view 说明 - 必选 说明 - acl number acl-number [ match-order { config | 缺省情况下匹配auto } ] rule [ rule-id ] { permit | deny } [ fragment | 顺序为config 定义ACL规则 source { sour-addr sour-wildcard | any } | time-range time-name ]* 必选 定义ACL的描述信息 description text 配置:[H3C] system-view
可选