数通网络架构 数通网络设备

应用层：提供应用给客户使用
表示层：表示表示，就是数据的编码方式，以哪种编码方式展示
会话层：程序之间的接口，接口访问，比如美团支付跳转到微信支付。
传输层：建立TCP或UDP连接，并给数据报文打上端口号
网络层：给数据包打上ip地址，用于路由转发
数据链路层：给数据包打上mac地址，控制网络层和物理层的通信

http:超文本传输协议，提供浏览网页服务
telnet：远程登录协议，提供远程管理服务
ftp：文本传输协议，提供互联网文件资源共享服务
smtp：简单邮件传输协议，提供互联网电子邮件服务
tftp：简单文件传输协议，提供简单的文件传输服务

tcp：为通信提供高可靠性
udp：提供无连接通信

tcp三次握手：
		seq:tcp头部序列号；ack：确认号；fin：关闭请求号
1、主机a向主机b发起请求:seq=x,ack=y;
2、主机b收到请求，向主机a发送确认收到的请求:seq=z;ack=x+1
3、主机a向主机b发送数据

tcp四次挥手：
1、主机a向主机b发起断开连接，fin=x，ack=y
2、主机b向主机a发送接收到断开请求，
3、主机b向主机a发起断开连接请求，fin=x，ack=y
4、主机a收到请求，断开连接

ip：将传输层的数据封装成数据包，将数据从源地址转发到目的地址
icmp：基于ip协议在网络中发送控制消息，提供可能发生在通信环境中的各种问题反馈，通过不同的故障代码告诉管理员故障的原因；重定向报文，选择最优路径。
igmp：用于ip的组播协议，什么是组播，组播就是数据发送给组内指定主机，比如给100人发消息，只能让指定10人看到

ethernet：以太网协议。多路访问广播，最广泛的局域网协议
ppp：点对点协议，常用于广域网
pppoe：常用于家庭宽度拨号上网

网络地址：主机位全0，用来标识一个网络。
广播地址：主机位全1，用来向网络中所有主机发送数据的特殊地址
可用地址：可用分配给网络中节点或设备的地址。

举例：现在有192.168.1.0/24，给10台地址计算子网

2^n-2>=10;
n>=4
所以借4位，网络位就成28，最终划分的子网就是192.168.1.240/28

1、客户端在局域网内发起一个DHCP discover包，目的是想发现能够给它提供ip的DHCP server。

2、可用的DHCP server接收到discover包之后，通过发送DHCP offer包给客户端响应。意义在于告诉客户端它可以提供ip。

3、客户端收到offer包之后，发送dhcp request包，请求分配ip。

4、dhcp server发送dhcp ack数据包，确认信息。

4种数据包：
discover广播、offer单播、request广播、ack单播

前提路由器已经配置好ip和掩码
#1 先进入路由器 sys  ---该命令进入管理配置模式
#2 输入 dhcp enable  ---启动dhcp服务
#3 进入需要启动dhcp的端口  输入int g0/0/0  ---进入需要配置dhcp的接口
#4 输入 dhcp select interface   ---表示该端口启动了dhcp，该端口下面连接的所有设备都可以动态分配ip

进入接口  dhcp server excluded-ip-address 起始ip 终点ip

---创建地址池
[Huawei]ip pool 地址池名  

---配置网段
[Huawei-ip-pool-地址池名]network xx网段 mask xx掩码  

---配置网关
[Huawei-ip-pool-地址池名]gateway-list 网关ip地址

--配置dns
[Huawei-ip-pool-地址池名]dns-list x.x.x.x

--配置域名
[Huawei-ip-pool-地址池名]domain-name 域名

---使用全局地址池
[Huawei-某接口]dhcp select global   ---接口是vlanif


---ap找ac
[Huawei-ip-pool-地址池名]option 43 sub-option 2 ip-address xxip
option 43：告诉ap，谁是ac；
sub-option 2：ip的第二种写法格式

1.当输入某个域名时，本机会检查本地host文件或浏览器缓存是否有对应的ip地址映射，如果有就直接使用
2.如果没有的话，本机就会向本地dns服务器发起请求，请求该域名所对应的ip地址
3.本地dns服务器先看缓存记录，如果有对应的域名，直接返回ip地址；如果没有就会向根域名服务器发送请求，比如.com的顶级服务器的ip是多少
4.根域名服务器会告诉本地dns服务器，顶级域名服务器的ip是多少；然后本地dns去找到顶级域名服务器，并请求对应的权威域名服务器的ip是多少。比如baidu.com
5.顶级域名服务器告诉本地dns服务器，权威域名服务器的ip是多少；然后本地dns去找权威域名服务器，并请求对应的域名，如www.baidu.com的ip是多少，最终找到后，返回给本地dns服务器，再返回到客户端

前提路由器和DNS服务器的ip已经配置了
#1 进入服务器，将某个域名的设置好ip
#2 进入路由器，进入到需要配置DNS的端口，启动DNS服务器
启动命令  dhcp server dns-list xxxip
---现在每个设备都有DNS的ip了，也就可以通过域名访问对应的ip

display ip routing-table  ---查看路由表，转发路线信息

display ip routing-table xxxip ---查看路由表中某一个ip的转发路线。因为实际中路由表会有上千条转发路线。

此处有3个不同网段，如果pc去ping str会ping不通，原因是pc只能到2.1这个地方
如果要ping通，就需要在第一台路由器中配置一条去往目标网段的静态路由，让数据转发到指定的ip端口。

在路径的路由器中配置，需要配置两趟，去和回两趟。

ip routing-static 目标网段 目标掩码 当前路由下一跳的端口ip

RA去：
ip routing-static 192.168.3.0 255.255.255.0 192.168.2.10
RB回：
ip routing-static 192.168.1.0 255.255.255.0 192.168.2.1

display ip routing-table [某个地址]

destination：目标地址
mask：目标掩码
proto：协议
pre：优先级，数字越小，优先级越大。可能到达一个目的地有多条路由，但是优先级的存在让他们先选择优先级高的路由进行利用。
cost：路由开销，数字越小，优先级越大。当到达一个目的地的多个路由优先级相同时，路由开销最小的将成为最优路由。
flag：路由迭代，D不迭代，RD迭代
nexthop：下一跳地址，就是该数据包下一个出口地址
interface：通过那个接口出数据，说明IP包将从该路由器哪个接口转发。

这里的preference 数字，如果不写，默认是60
如果需要设置浮动路由，那么数字应该大于60

要计算路由器的汇总路由，需判断这些地址最左边的多少位相同的。计算汇总路由的步骤如下：
第一步：将地址转换为二进制格式，并将它们对齐
第二步：找到所有地址中都相同的最后一位。在它后面划一条竖线可能会有所帮助。
第三步：计算有多少位是相同的。（汇总路由为第1个IP地址加上斜线可能会有所帮助）
172.16.12.0/24     = 172. 16. 000011 00.00000000
172.16.13.0/24     = 172. 16. 000011 01.00000000
172.16.14.0/24     = 172. 16. 000011 10.00000000
172.16.15.0/24     = 172. 16. 000011 11.00000000

......................
172.16.15.255/24 = 172. 16. 000011 11.11111111
IP地址172.16.12.0---172.16.15.255的前22位相同，因此最佳的汇总路由为172.16.12.0/22。

display ospf peer brief   ---peer对等体，也就是邻居的意思，brief摘要
参数如下：
Area id：邻居区域号
interface：与邻居相连的端口号
Neighbor id：邻居的router-id
state：Full表示已经完成邻接

display ospf lsdb

display ospf routing

就是为了解决动态路由中，路由学习，并非一个个路由的学，而是到一个收集所有链路的路由上学习，这个路由就是DR

因为如果是单区域，在一个网络链路中，有成百上千台路由的话，路由计算开销的成本就很大。当划分为多区域时，每个区域的路由只需要计算各自区域的路由开销即可，也可以收集到其他区域已经计算好的开销，达到网络优化的目的。

[Huawei]ospf 1 router-id 1.1.1.1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255

配置ospf接口开销：
进入接口输入ospf cost xxx数值

配置ospf带宽参考值：
带宽计算规则是10^8/接口带宽   10^8/1000m=1
进入ospf后输入bandwidth-reference xxx带宽值  默认是100m

配置接口在选DR的优先级：
进入接口处输入：ospf dr-priority xxx
数值越大，优先级越高

以太网头部+ip头部+tcp头部+用户数据+以太网尾部

以太网头部：封装源mac和目的mac地址
ip头部：封装源ip和目的ip地址
tcp头部：封装源端口和目标端口
以太网尾部：为了保证数据包足够46字节/数据校验

在交换机上配置，vlan 编号。比如，vlan 10
vlan batch 编号 :创建多个vlan

access：Access端口只属于1个VLAN
一般用于连接计算机端口，用来连接终端，比如电脑，打印机...

trunk：是端口汇聚的意思,trunk类型的端口可用于多VLAN通信。
用来连接其他的交换机。当设置为trunk时，数据包携带vlan标签，其他交换机就知道某个数据包来自哪个vlan
vlan标签就是802.1q协议标签，这个标签包含了TPID（标签协议标识符）、PRI（优先级）、CFI（标准格式指示符）、Vlan ID(vlan标识符)。这一串vlan标签放在源mac地址后，PRI由Qos决定，Qos为不同数据包做优先级区分。

1.trunk一般用于多vlan通信，vlan端口汇聚。access为交换机与vlan域中某台主机相连

2.trunk一般是打tag标签的，一般只允许打了该tag标签的vlan通过，该端口可以允许多个打tag标签的vlan通过。
而access一般是不打标签的端口，而且access端口只允许一个access1的vlan通过

pvid：基于端口的vlanid。一个端口可以有多个vlan，但只能有一个pvid。收到一个不带tag头的数据包时，会打上pvid所表示的vlan号，视同该vlan的数据包处理。

access口：
	收：没有vid标签的，打上pvid，接收；有vid标签的，则丢弃
	发：拆掉vid标签，发出
	
trunk口：
	收：没有vid标签，打上pvid，接收；有vid标签的，在vid允许范围列表中，接收，否则丢弃。
	发：vid标签=pvid，拆掉vid标签，发出；vid标签！=pvid，直接发出

#1 先进入需要设置的交换机中的那个接口，设置接口模式为access或者trunk。
int g0/0/1 ---进入直连终端的端口
port link-type access  ---设置接口模式为access

#2 划分vlan
port default vlan 编号

进入路由器，交换机之间的接口，配置以下命令
port trunk allow-pass vlan all ---允许所有vlan通过 或者指定编号的vlan

1# 首先在此台交换机上创建与之前所创建的vlan各个编号。
2# 将交换机互连的接口设置为trunk模式。两台交换机互连的接口都必须设置。
3# 进入需要转发数据包的那台交换机，进入vlan编号，配置ip

vlan 10
vlan 20
进入交换机直接端口 port link-type trunk
port trunk allow-pass vlan all

int vlanif 10 ---进入vlan接口
ip add ip地址 掩码

vlan20也是一样的。

此时就完成了三层交换的配置

1# 在创建好vlan，配置好交换机已使用端口的接口模式

2# 进入路由器，进入交换机与路由器直连的端口的子接口
比如：int g0/0/0.1

3# 配置单臂路由，关联哪个xx vlan通信
dot1q temination vid xx

4# 开启arp广播
arp broadcast enable   ---arp协议：通信时解析某个ip所对应的mac

5# 给子接口配ip，也就是网关

其他vlan照上面一样配置即可实现不同vlan之间设备通信

正常掩码：前面必须是连续1，后面为连续0，不能中间有0,要换算成二进制之后匹配
比如192.168.1.1 255.255.255.0 前3段都是二进制1



通配符掩码：不要求1或0连续，但0代表必须匹配，1代表可以不匹配。
比如192.168.1.1 0.0.0.255 就表示第四段可以不匹配，像192.168.1.2  .3都可以
还比如192.168.1.1 0.0.255.0 就表示第三段可以不匹配，像192.168.2.1  3.1都可以

如果有这个过滤条件1.1.0.0 0.0.255.255。当有1.1.1.1/32  1.1.1.0/24  1.1.0.0/16 1.0.0.0/8的数据包过来时，此时会按前两位匹配，就会过滤3个网段的包，只有1.0.0.0/8的能正常传输。
这个时候就有缺陷，当只想让一条网段不能通，就无法做到，解决的办法就是前缀列表ip_perfix

-出：已经过路由器的处理，正离开路由器接口的数据包

-入：已经到达路由器接口的数据包，将被路由器处理

常用就两种分类
高级acl：advance acl，检查源地址和目标地址
基础acl：basic acl，只会看源地址，不会检查目标地址


基于acl标识方法的分类：
1.数字acl：传统的acl标识方法，创建acl时，指定一个唯一的数字标识  比如在配置视图下 acl 2000
2.命名acl：通过名称代替编号来标识acl  比如在配置视图下 acl name xiaoshou {basic/advance...}

高级acl：（一句命令）
rule + deny/permit 协议 source 源地址网段 源地址反码 destination 目标网段 目标反码
rule deny [ip] source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
---这句命令意思是，acl规则是用ip来拒绝源地址端是192.168.1.0的设备，到192.168.3.0的设备之间的通信。

rule permit ip source any：运行其他所有的以ip规则访问

[Huawei]acl acl-number ---使用数字型方法创建acl
[Huawei]acl name acl-name{basic/advance}  ---使用命名型方法创建acl

[Huawei-acl-basic-2000]rule {deny/permit} 协议 source 源地址网段  源地址反码  destination 目标网段 目标反码

1、创建acl规则：
acl 编号（2000-2999基本acl，3000-3999高级acl）
rule + deny/permit 协议 source 源地址网段 源地址反码 destination 目标网段 目标反码

2、将规则用到某个接口上，当做数据传输出入口
traffic-filter [out/in]bound acl 3000

完毕

由于私网地址访问公网地址时，不会访问成功，原因就在于两者不在同一网段中，路由不知道如何转发。
比如说手机，pc一般都是用私网地址，当去访问某个平台时，就是去访问的公网地址，数据包就回不来，就无法通信访问。

私网地址一般是192.168.x.x 
			172.16.x.x-172.31.x.x 
			10.x.x.x都属于私网地址。

1、哪些地址要被设置为地址转换。---用acl规则来控制，用基本acl
代码：
---acl 编号2000-2999
---rule permit source 需要做地址转换的网段 反码

2、创建nat地址池，目的为了转为xx地址
代码：
--- nat address-group 编号 需要转为公网的地址段 ---创建编号为x的地址池
比如 nat address·-group 1 30.1.1.5 30.1.1.10 ：创建nat编号为1的地址池，公网地址范围是5-10

3、将规则用于接口处，
nat outbound acl编号 address-group nat地址池编号
比如 [Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

R3：
配置端口ip
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei-GigabitEthernet0/0/1]ip add 60.1.1.1 24
[Huawei-GigabitEthernet0/0/1]q

创建acl规则
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000]q

创建动态NAT地址池，公网ip范围
[Huawei]nat address-group 1 60.1.1.3 60.1.1.6
[Huawei]int g0/0/1	
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1


R2：
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 60.1.1.2 24

省略配置ip
R1：
---需要转发数据包，所以需要设置静态路由
[Huawei]ip route-static 163.1.1.0 255.255.255.0 150.1.1.2

---进入出口，配置私网供公网访问的静态NAT配置
[Huawei]int g0/0/1

--- nat server私网服务器， global x.x.x.x：对外访问的ip， inside x.x.x.x：私网服务原本的ip
[Huawei-GigabitEthernet0/0/1]nat server global 172.1.1.1 inside 192.168.1.1

创建acl规则
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

创建nat地址池，ip设置为1个
[Huawei]nat address-group 1 60.1.1.3 60.1.1.3
[Huawei]int g0/0/1	
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

创建acl规则
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

进入接口，使用nat外出规则
[Huawei]int g0/0/1	
[Huawei-GigabitEthernet0/0/1]nat outbound 2000

1、创建用户
[Huawei]user-interface vty 0 4  ---表示可以有5个客户端可以操作路由器，user-interface：用户接口，vty：远程连接。
[Huawei-ui-vty-0-4]authentication-mode aaa/password  ---选择进入路由器的验证模式，aaa：输入用户名和密码校验；password：输入密码即可。

2、设置密码
[Huawei]aaa
[Huawei-aaa]local-user [String username] password cipher 密码
username：用户名；cipher：隐藏密码***；

3、设置权限
[Huawei-aaa]local-user [username] privilege level [1-15]
privilege：权限  level1-15：等级越高，权限越大

4、设置用户的类型作用
[Huawei-aaa]local-user [username] service-type telnet

5、开启telnet服务
[Huawei]telnet server enable

1、身份识别
通过账号，密码等标识用户身份

2、认证
识别和认证试图访问资源的用户，有不认证、本地认证（NAS）、远端认证（AAA）

3、授权
确定访问是否获得授权，有不授权、本地授权（internet）、远端授权

4、计费
检测和记录访问情况

802.1x
web
pppoe

[Huawei]aaa

[Huawei-aaa]authentication-scheme 认证方案名称 ---创建认证方案并进入相应认证方案视图
[Huawei-aaa-authentication-scheme-认证方案名称]authentication-mode {hwtacacs/local/radius}
配置认证方式，local为本地认证，默认情况下就是本地认证

[Huawei-aaa]domain 名称 ---创建domain并进入相应的domain视图
[Huawei-aaa-domain-name]authentication-scheme 认证方案名称  ---在domain视图下绑定认证方案

[Huawei-aaa]local-user 用户名 password cipher 密码

[Huawei-aaa]local-user 用户名 service-type{terminal/telnet/ftp/ssh/snmp/http}
设置本地用户服务类型，默认情况下，本地用户关闭所有的服务类型

[Huawei-aaa]local-user 用户名 privilege level 等级（0-15）

1、广播风暴：广播太多，跟风暴一样猛
就是交换机收到BUM帧（广播、未知单播、组播）将其进行泛洪，交换机路线形成环路，就会导致更多泛洪，导致网络资源耗尽。
泛洪：（往所有端口发送）

2、mac地址漂移
就是交换机中对应的mac一直在变动匹配的接口

stp mode [stp | rstp | mstp]
默认在mstp

stp pathcost-standard [dot2d-1998 | dot1t | legacy]
通用计算算法dot1t，不同厂家设备情况下使用这个。华为默认legacy

将多个物理端口汇聚在一起，形成一个逻辑端口，以实现出/入流量吞吐量在各成员端口的负荷分担
交换机根据用户配置的端口负荷分担策略决定网络封包从哪个成员端口发送到对端的交换机。

增加链路带宽、提高链路可靠性、实现负载均衡。

聚合组 LAG：多条链路聚合成一条逻辑链路。每个聚合组对应一个逻辑接口，也就是链路聚合接口

成员接口和成员链路：组成Eth-trunk接口的各个物理接口叫成员接口，成员接口对应的链路叫成员链路。

活动/非活动接口和活动/非活动链路：活动/非活动接口是参与数据转发/不转发的成员接口。其对应的链路就叫活动链路/非活动链路。

LACP：链路聚合控制协议

聚合模式：根据是否开启LACP，链路聚合可以分为手工模式和LACP模式
		手工模式的缺陷：不协商协议，数据包直接转发，所有接口都是活动接口，无法控制哪个口不转发。
					必须保证两端的接口属于同一设备，加入同一链路聚合接口，不能让某一个接口连到其他设备上
		
		LACP模式：设备间通过LACPDU报文进行交互，协议协商确保对端是同一设备、同一聚合接口的成员接口
				LACPDU报文中包含设备优先级、mac地址、接口优先级、接口号等

逻辑链路的带宽增加了大约(n-1)倍，这里，n为聚合的路数。另外，聚合后，可靠性大大提高，因为，n条链路中只要有一条可以正常工作，则这个链路就可以工作。除此之外，链路聚合可以实现负载均衡。因为，通过链路聚合连接在一起的两个(或多个)交换机(或其他网络设备)，通过内部控制，也可以合理地将数据分配在被聚合连接的设备上，实现负载分担。

1、交换机之间
2、交换机与服务器之间
3、交换机与堆叠系统（堆叠就是多台交换机成为逻辑上的一台）

interface eth-trunk xx    ---xx为trunk-id，表示创建eth-trunk接口，进入接口视图

moede {lacp/manual load-balance} ---mode lacp为lacp自动模式，后一个是手动模式，需保持两端链路聚合模式一致

eth-trunk xx  --xx为trunk-id，在接口模式下，把该接口加入eth-trunk组中，（以太网接口视图）


trunkport interface-type{interface-number}   （eth-trunk视图）
比如：trunkport g0/0/1 to 0/0/3

lacp priority xx   4096的倍数，数值越小，优先级越高

进入接口后，lacp priority xx

max/least active-linknumber{number}

--最小活动接口数，若实际活动接口数小于最小活动接口数，直接down，数据不能转发

[Huawei]ftp server enable

[Huawei]aaa
[Huawei-aaa]local-user 用户名 password cipher 密码  ---创建用户
[Huawei-aaa]local-user 用户名 privilege level 等级（0-15） ---给用户授权
[Huawei-aaa]local-user 用户名 service-type ftp ---指定服务类型
[Huawei-aaa]local-user 用户名 ftp-directory [flash:]   ---指定服务器的目录

服务器端：ip192.168.1.1 24
[Huawei]aaa
[Huawei-aaa]local-user test password cipher 12345
[Huawei-aaa]local-user test privilege level  15
[Huawei-aaa]local-user test service-type ftp 
[Huawei-aaa]local-user test ftp-directory flash:


客户端：
<Huawei>ftp 192.168.1.1
输入用户名和密码即可。
进入ftp视图下，get为下载文件，put为上传

<Huawei>tftp [TFTP_Server-IP-address] get/put [filename]  ---下载/上传文件

VBR设备只支持作为TFTP客户端

创建ssid模板名为xxx，并且设置用户扫描到的ssid名为xx
[AC6605]wlan
[AC6605-wlan-view]ssid-profile name xxx  ---创建模板名
[AC6605-wlan-ssid-prof-ssid-xxx]ssid xx  ---创建ssid

创建安全模板名为xxx，并且设置用户身份验证方式wpa-wpa2(主流) ，数据加密算法aes
[AC6605]wlan
[AC6605-wlan-view]security-profile name xxx  ---创建安全模板名
[AC6605-wlan-sec-prof-sec-xxx]security wpa-wpa2 psk pass-phrase 密码 aes  ---验证方式和密码加密

配置用户连接ssid后，会加入哪个vlan，以及关联哪个安全策略
[AC6605-wlan-view]vap-profile name vap-test
[AC6605-wlan-vap-prof-vap-test]forward-mode tunnel ---隧道模式 tunnel：就是给数据包加头部（源ip，目的ip）

[AC6605-wlan-vap-prof-vap-test]service-vlan vlan-id xx ---关联用户设备vlan
[AC6605-wlan-vap-prof-vap-test]ssid-profile xx(xx为ssid名) ---关联ssid
[AC6605-wlan-vap-prof-vap-test]security-profile 安全模板名  ---关联安全模板

[AC6605]wlan
[AC6605-wlan-view]ap-group name group-test ---创建ap组
[AC6605-wlan-ap-group-group-test]vap-profile vap-test wlan 1 radio all ---将vap-test关联
--- radio all 放2.4g和5g信号

[AC6605-wlan-view]ap auth-mode mac-auth
[AC6605-wlan-view]ap-id 0 ap-mac ap的mac地址 ---添加ap的mac
[AC6605-wlan-ap-0]ap-name ap-test  ---创建ap
[AC6605-wlan-ap-0]ap-group group-test

[AC6605]capwap source interface vlanif xxx

1、首先AP获取ip并发送广播发现AC，与AC建立连接，AP上线
2、AC将业务配置下发给所有AP
3、STA搜索到AP发射的SSID并连接，上线，接入网络
4、wlan网络开始转发数据

部署AC+AP的FIP AP架构

采用隧道模式，AC集中进行无线数据转发

用户可以扫描到ssid为test的wlan，密码为test12345

STA的vlan为172，地址段172.16.10.x/24

AP的vlan为192，地址段192.168.10.x/24

AC的管理地址100.100.100.100 配置在vlanif100里

1、实现AC和AP的连通性
2、在AC上配置WLAN相关的各项参数，比如ssid-profile，security-profile，vap-profile
3、将AP加入AP组

1、掩码最长匹配。比如，能匹配32位就不会匹配24位
2、pre。根据协议不同优先级也会不同。
3、cost

动态路由协议之间的路由引入
直连路由引入到动态路由
静态路由引入到动态路由

基于SPF算法，以累计链路开销作为选路参考值
采用组播形式收发部分协议报文
支持区域划分
支持对等价路由进行负载分担
支持报文认证

手动配置ospf路由器的router id
如果没有手动配，则路由器选择loopback接口中最大ip地址作为router id
如果没有配loopback接口，则使用路由器物理接口最大的ip地址作为router id

options：
	E：是否支持外部路由
	N/P：是否为NSSA区域

1、HELLO：发现邻居，建立邻居关系，检测邻居运行状

2、DBD：数据库描述，包含数据库目录信息
当一个路由器首次连入网络，或者刚刚从故障中恢复时，它需要完整的“链路状态数据库”信息。

3、LSR：链路状态请求；
当一个路由器与邻居交换了数据库描述分组后，如果发现它的链路状态数据库缺少某些条目或某些条目已过期，就使用LSR分组来取得邻居链路状态数据库中较新的部分。

4、LSU：链路状态更新--携带各种LSA（链路状态通告）；在网络运行过程中，只要一个路由器的链路状态发生变化，该路由器就要使用LSU，用洪泛法向全网更新链路状态。

5、LSACK：链路状态确认

1、在配置好ospf后，本地收发hello包，建立邻居关系，生成邻居表。

2、在进行条件匹配，匹配成功建立邻接关系，此时需要DBD共享数据库目录，通告LSR/LSU/LSAck来获取未知的LSA信息，当收集完网络中所有的LSA后，形成LSDB

3、LSDB建立完成后，本地基于OSPF选路规则SPF，计算本地到达所有未知网段的最短路径，然后将其加载到路由表中，完成收敛。

4、收敛完成后--hello包周期保活--30分钟周期的DBD比对，若不一致将会使用LSR/LSU/LSack重新获取

ABR：
进入ospf区域，输入以下命令
abr-summary 汇总网段 汇总掩码

进入接口，输入以下命令
ospf authentication-mode md5 1 cipher 密码

进入区域
authentication-mode simple  cipher 密码

[Huawei]isis 1   1代表进程号
[Huawei-isis-1]network-entity 10.0000.0000.0001.00
[Huawei]int g0/0/0   进入某个接口，启动isis服务
[Huawei-g0/0/0]isis enable 1

两次握手：
	只要收到邻居发来的iih，直接形成邻居关系。可能由于单向网络故障导致邻居错误建立

三次握手：
	和ospf一样，收到iih，并且邻居表中有自己才形成邻居关系

三次握手，建立邻居，选举dis

1、先发csnp，发出的csnp必须收到对面的psnp回应，否则重传
2、根据csnp中的lsp描述，通过psnp请求缺少的lsp，请求就必须得到lsp回应，否则再请求
3、通过lsp更新，收到lsp报文，使用psnp进行确认，必须得到确认，否则lsp重传

1、首先向dis发送lsp，dis收集所有的lsp
2、dis周期发送csnp，各个设备可以通过csnp判断自己缺少的lsp，并请求psnp，直到同步

进入isis的进程
import-route isis levle-2 into level-1

进入isis进程
summary 聚合后的网段 聚合后的掩码 去往的level

进入bgp区域
network 网段 掩码

进入bgp区域
import-route 协议   ---比如直连 direct

aggregate 聚合后的网段 聚合后的掩码 detail-suppressed

<Huawei>bgp as编号   
[Huawei-bgp]router-id ip地址（loopback的地址）

启动BGP，指定本地AS编号。建议使用loopback接口作为routerid

[Huawei-bgp]peer 对等体的ip地址  as 对等体的编号
如peer 10.10.10.5 as 100

[Huawei-bgp]peer ip地址 connect-interface 接口
[Huawei-bgp]peer ip地址 ebgp-max-hop 跳数量

1、路由器将BGP路由通告给自己的EBGP对等体时，将该路由的Next_Hop设置为自己的源ip地址
就是说，BGP过来的路由，传给EBGP那边的时候，下一跳的地址是我连接到EBGP的那个出口地址，而不是像ibg那样，下一跳是对面路由器的接收端口的地址。

2、路由器在收到EBGP对等体所通告的BGP路由后（也就是规则1），在将路由传递给IBGP时，下一跳地址不变

[Huawei]ip ip-prefix 前缀列表名称 index 序号 permit/deny ip网段 掩码 greater-equal xx less-equal xx        ---xx-》xx表示掩码范围

route-policy route-policy名称 permit/deny node 节点号
if-match 过滤规则
apply 执行操作

比如：route-policy test permit node 10

[R3]acl 2001
[R3-acl-basic-2001]rule 5 deny source 10.1.1.0 0.0.0.255
[R3-acl-basic-2001]rule 10 permit any

[R3]isis
[R3-isis-1]filter-policy 2001 import

[R3]acl 2000
[R3-acl-basic-2000]rule permit source 10.1.1.0 0.0.0.255

[R3]route-policy pre permit node 10
[R3-route-policy]if-match acl 2000
[R3-route-policy]apply preference 14

[R3]ospf 1
[R3-ospf-1]preference ase route-policy pre

[R1]acl 2000
[R1-acl-basic-2000]rule 5 deny source 10.1.1.0 0.0.0.255
[R1-acl-basic-2000]rule 10 permit any

[R1]route-policy RP permit node 10
[R1-route-policy]if-match acl 2001

[R1]ospf
[R1-ospf-1]import-route isis 1 route-policy RP

[R2]acl 2000
[R2-acl-basic-2000]rule permit source 10.1.1.0 0.0.0.255

[R2]route-policy tag permit node 10
[R2-route-policy]if-match acl 2000
[R2-route-policy]apply tag 200

[R2]isis 1
[R2-isis-1]import-route ospf route-policy tag

[R3]route-policy tag deny node 10
[R3-route-policy]if-match tag 200

[R3]ospf 1
[R3-ospf-1]import-route isis route-policy tag

[Huawei]policy-based-route PBR名称 permit node 10  --创建PBR

[Huawei-policy-based-route-PBR-10]if-match acl 2000  ---设置ip报文匹配条件

[Huawei-policy-based-route-PBR-10]apply ip-address next-hop ip地址  --设置报文指导动作

[Huawei]ip local policy-based-route PBR名称  ---全局调用

[某个接口]ip policy-based-route PBR名称  ---接口调用

[Huawei]traffic classifier 流分类名称 operator[and/or] 
默认情况下，流分类各规则之间关系为or

[Huawei]traffic behavior 流行为名称
根据实际情况定义流行为动作，只要各动作不冲突，都可以在同一流行为中配置

[Huawei-behavior-流行为名称]redirect ip-nexthop ip地址  --设置下一跳地址

[Huawei]traffic policy 策略名称
[Huawei-trafficpolicy-policyname]classifier 流分类名 behavior 流行为名

在某接口视图下
[]traffic-policy 流策略名 inbound

firewall zone trust  --设置防火墙信任网络
[xxx-zone-trust]add int g0/0/1   ---添加信任接口(内网接口 )
[xxx-zone-trust]firewall zone untrust  --设置非信任网络
[xxx-zone-untrust]add int g1/0/1  --添加非信任接口（外网接口）

security-policy --安全策略
[xxx-policy-security]rule name xx安全策略名 
[xxx-policy-security-rule-xx安全策略名]source-zone trust  --设置安全策略的区域是由信任网络而来
[xxx-policy-security-rule-xx安全策略名]destination-zone local --设置去往目标为local（防火墙本身）
[xxx-policy-security-rule-xx安全策略名]action permit  --动作为permit

1、配置安全域，也就是配置好内网信任区
2、配置安全策略，也就是去往的目标，从信任区里选
3、开启防火墙对应接口运行ping

首先ip转发得需要有ip路由表，是根据目的地址转发的，并且是逐跳的转发。（PBR根据源）

在BGP中，可以跨设备进行BGP互连，但是中间设备没有BGP，那么在两端的设备想通信时，就不可达

display mpls lsp include xxxip 掩码 verbose

动作类型：
push：当ip报文进入mpls域时，mpls边界设备会在二层和ip头部之间插入一个新标签或mpls中间设备标签嵌套会添加新标签。

swap：当报文在mpls域内转发时，根据标签转发表，用下一跳分配的标签，替换mpls报文的栈顶标签

pop：当报文离开mpls域，将mpls报文的标签去掉

display fib ip地址 verbose

然后看下一跳，出接口 标签

display mpls lsp
可以查看到前缀和标签，ip和出接口

标签

mpls vpn ,mpls te ,mpls qos ,ATOM

帧模式、信元模式。
帧模式应用在以太网中、ppp链路

discovery message：宣告和维护网络中一个LSR的存在
					hello报文，用于发现邻居

session message：建立、维护和终止LDP peers之间的LDP session
				initialzation：在LDP session建立过程中协商参数
				keepalive：监控LDP session的TCP连接完整性
				
advertisement message：生成、改变和删除FEC的标签映射
				label mapping：宣告FEC/Label映射信息
				
notification message：宣告告警和错误信息。
				notification：通知LDP peer错误信息

1、non existent：LDP会话的最初状态。 
在此状态下，双方互相发送 Hello 消息，选举主动方，当收到 TCP连接建立成功事件后状态变为 initialized。

2、initialized：该状态下分为主动方和被动方两种情况。 
主动方发送 Initialization消息，转向 OPENsent 状态，等待对方回应Initialization消息。 
被动方等待主动方发给自己的 Initialization 消息。如果收到 Initialization消息，且相关的参数可以接受，则发送 Initialization 消息和 Keepalive 消息，转向OPENREC 状态。 

3、opensent：主动方发送 Initialization 消息后的状态，在此状态等待被动方回应Initialization消息和 Keepalive 消息。

4、openrec：在此状态无论是主动方和被动方都是发送 Keepalive 消息后的状态，在等待对方回应 Keepalive 消息。 

5、OPERATIONAL：此状态表明 LDP会话已经建立。

接口视图下
vrrp vrid 虚拟路由器id号 virtual-ip 虚拟ip地址
如vrrp vrid 1 virtual-ip 192.168.1.254

接口视图下
vrrp vrid 虚拟路由器id号 priority xx值
如vrrp vrid 1 priority 200

vrrp vrid 虚拟路由器id号 preempt-mode timer delay (delay-value)

vrrp vrid 虚拟路由器id号 preempt-mode disable
默认情况下，抢占模式是激活的

vrrp vrid 虚拟路由器id号 track interface 接口类型 接口号---不完整