DHCP接口地址池
dhcp enable
int g0/0/0
dhcp select interface
dhcp server dns-list 10.1.1.2//dns服务器地址
dhcp server excluded-ip -address 10.1.1.2
dhcp server lease day 3//租期
display ip pool//查看DHCP全局地址池
dhcp enable
ip pool pool1//创建地址池
network 1.1.1.0 mask 24//分配的网段地址
gateway-list 1.1.1.1///网关地址
lease day 10//租期
int g0/0/0
dhcp select global//接口下开启DHCP功能DHCP 中继
ip pool pool-vlan10
gateway-list 192.168.100.254
network 192.168.100.0 mask 255.255.255.0
option 43 sub-option 3 ascii 10.0.0.2//wlan中的设置为AP指定AC的地址
//主服务器上的设置
int g0/0/0
dhcp select relay
dhcp relay server-ip 10.0.0.2
//中继的设置FTP
ftp server enable //使能FTP功能
set default ftp-directory flash://设置默认工作目录
aaa//进入AAA视图
local-user huawei password cipher huawei//创建本地用户和密码
local-user huawei server-type ftp//配置本地用户的接入类型是ftp
local-user huawei ftp-directory flash://指定FTP用户可访问的目录
local-user hauwei access-limit 200//指定用户最大连接数量
local-user huawei idle-timeout 0 0//指定用户闲置的超时时间
local-user huawei privilege level 3//指定用户优先级binary命令用来在设备作为FTP客户端时设置文件传输方式为Binary模式,又称二进制模式(传输图片文件或程序文件)。 缺省情况下,文件传输方式为ASCII模式(传输文本)。
get命令用来从远程FTP服务器下载文件并保存在本地。
Telnet
当配置用户界面的认证方式为AAA时,用户登录设备时需要首先输入登录用户名和密码才能登录。
当配置用户界面的认证方式为password时,用户登录设备时需要首先输入登录密码才能登录。
user-interface vty 0 4
authentication-mode password
set authentication password cipher huawei
缺省情况下,ARG3系列路由器支持的Telnet用户最大数目为5个,VTY 0 4的含义是VTY0,VTY1,VTY2,VTY3,VTY4。
如果需要增加Telnet用户的登录数量,可以使用user-interface maximum-vty命令来调整VTY界面的数量。链路聚合
链路聚合包含两种模式:手动负载均衡模式和静态LACP(Link Aggregation Control Protocol)模式。 手工负载分担模式下,Eth-Trunk的建立、成员接口的加入由手工配置,没有链路聚合控制协议的参与。该模式下所有活动链路都参与数据的转发,平均分担流量,因此称为负载分担模式。如果某条活动链路故障,链路聚合组自动在剩余的活动链路中平均分担流量。当需要在两个直连设备间提供一个较大的链路带宽而设备又不支持LACP协议时,可以使用手工负载分担模式。ARG3系列路由器和X7系列交换机可以基于目的MAC地址,源MAC地址,或者基于源MAC地址和目的MAC地址,源IP地址,目的IP地址,或者基于源IP地址和目的IP地址进行负载均衡。 在静态LACP模式中,链路两端的设备相互发送LACP报文,协商聚合参数。协商完成后,两台设备确定活动接口和非活动接口。在静态LACP模式中,需要手动创建一个Eth-Trunk口,并添加成员口。LACP协商选举活动接口和非活动接口。静态LACP模式也叫M:N模式。M代表活动成员链路,用于在负载均衡模式中转发数据。N代表非活动链路,用于冗余备份。如果一条活动链路发生故障,该链路传输的数据被切换到一条优先级最高的备份链路上,这条备份链路转变为活动状态。 两种链路聚合模式的主要区别是:在静态LACP模式中,一些链路充当备份链路。在手动负载均衡模式中,所有的成员口都处于转发状态。
在一个聚合口中,聚合链路两端的物理口(即成员口)的所有参数必须一致,包括物理口的数量,传输速率,双工模式和流量控制模式。成员口可以是二层接口或三层接口。
数据流在聚合链路上传输,数据顺序必须保持不变。一个数据流可以看做是一组MAC地址和IP地址相同的帧。例如,两台设备间的SSH或SFTP连接可以看做一个数据流。如果未配置链路聚合,只是用一条物理链路来传输数据,那么一个数据流中的帧总是能按正确的顺序到达目的地。配置了链路聚合后,多条物理链路被绑定成一条聚合链路,一个数据流中的帧通过不同的物理链路传输。如果第一个帧通过一条物理链路传输,第二个帧通过另外一条物理链路传输,这样一来同一数据流的第二个数据帧就有可能比第一个数据帧先到达对端设备,从而产生接收数据包乱序的情况。 为了避免这种情况的发生,Eth-Trunk采用逐流负载分担的机制,这种机制把数据帧中的地址通过HASH算法生成HASH-KEY值,然后根据这个数值在Eth-Trunk转发表中寻找对应的出接口,不同的MAC或IP地址HASH得出的HASH-KEY值不同,从而出接口也就不同,这样既保证了同一数据流的帧在同一条物理链路转发,又实现了流量在聚合组内各物理链路上的负载分担,即逐流的负载分担。逐流负载分担能保证包的顺序,但不能保证带宽利用率。
负载分担的类型主要包括以下几种,用户可以根据具体应用选择不同的负载分担类型。
根据报文的源MAC地址进行负载分担;
根据报文的目的MAC地址进行负载分担;
根据报文的源IP地址进行负载分担;
根据报文的目的IP地址进行负载分担;
根据报文的源MAC地址和目的MAC地址进行负载分担;
根据报文的源IP地址和目的IP地址进行负载分担;
根据报文的VLAN、源物理端口等对L2、IPv4、IPv6和MPLS报文进行增强型负载分担。
interface Eth-Trunk 1//trunk-id 取值在0-63之间
interface g0/0/1
eth-trunk 1
interface g0/0/2
eth-trunk 1
display interface eth-trunk 1//查看命令配置Eth-Trunk口和成员口,需要注意以下规则:
只能删除不包含任何成员口的Eth-Trunk口。
把接口加入Eth-Trunk口时,二层Eth-Trunk口的成员口必须是二层接口,三层Eth-Trunk口的成员口必须是三层接口。
一个Eth-Trunk口最多可以加入8个成员口。
加入Eth-Trunk口的接口必须是hybrid接口(默认的接口类型)。
一个Eth-Trunk口不能充当其他Eth-Trunk口的成员口。
一个以太接口只能加入一个Eth-Trunk口。如果把一个以太接口加入另一个Eth-Trunk口,必须先把该以太接口从当前所属的Eth-Trunk口中删除。
一个Eth-Trunk口的成员口类型必须相同。例如,一个快速以太口(FE口)和一个千兆以太口(GE口)不能加入同一个Eth-Trunk。
位于不同接口板(LPU)上的以太口可以加入同一个Eth-Trunk口。如果一个对端接口直接和本端Eth-Trunk口的一个成员口相连,该对端接口也必须加入一个Eth-Trunk口。否则两端无法通信。
如果成员口的速率不同,速率较低的接口可能会拥塞,报文可能会被丢弃。
接口加入Eth-Trunk口后,Eth-Trunk口学习MAC地址,成员口不再学习。
[RTA]interface eth-trunk 1
[RTA-Eth-Trunk1]undo portswitch
[RTA-Eth-Trunk1]ip address 100.1.1.1 24
[RTA-Eth-Trunk1]quit
[RTA]interface GigabitEthernet 0/0/1
[RTA-GigabitEthernet0/0/1]eth-trunk 1
[RTA-GigabitEthernet0/0/1]quit
[RTA]interface GigabitEthernet0/0/2
[RTA-GigabitEthernet0/0/2]eth-trunk 1
[RTA-GigabitEthernet0/0/2]quit如果要在路由器上配置三层链路聚合,需要首先创建Eth-Trunk接口,然后在Eth-Trunk逻辑口上执行undo portswitch命令,把聚合链路从二层转为三层链路
。执行undo portswitch命令后,可以为Eth-Trunk逻辑口分配一个IP地址。
GVRP
单向注册,单向注销,
GVRP的注册模式包括:Normal、Fixed和Forbidden。
当一个Trunk端口被配置为Normal注册模式时,允许在该端口动态或手工创建、注册和注销VLAN,同时会发送静态VLAN和动态VLAN的声明消息。X7系列交换机在运行GVRP协议时,端口的注册模式都默认为Normal。
Fixed注册模式中,GVRP不能动态注册或注销VLAN,只能发送静态VLAN注册信息。如果一个Trunk端口的注册模式被设置为Fixed模式,即使接口被配置为允许所有VLAN的数据通过,该接口也只允许手动配置的VLAN内的数据通过。
Forbidden注册模式中,GVRP接口不能动态注册或注销VLAN,只保留VLAN1的信息。如果一个Trunk端口的注册模式被设置为Forbidden模式,即使端口被配置为允许所有VLAN的数据通过,该端口也只允许VLAN1的数据通过。
[SWA]gvrp //全局使能
[SWA]interface Gigabitethernet 0/0/1
[SWA-GigabitEthernet0/0/1]port link-type trunk
[SWA-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[SWA-GigabitEthernet0/0/1]gvrp //接口使能
[SWA-GigabitEthernet0/0/1]gvrp registration fixed//配置注册模式执行display gvrp status命令,验证GVRP的配置,可以查看交换机是否使能了GVRP。 执行display gvrp statistics命令,可以查看GVRP中活动接口的信息。
VLAN
[SWA]vlan batch 2 3//创建VLan
[SWA-GigabitEthernet0/0/1]port link-type trunk//指定端口类型
[SWA-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3//允许通过的VLAN
[SWA-GigabitEthernet0/0/2]port link-type access
[SWA-GigabitEthernet0/0/2]port default vlan 2
[SWA-GigabitEthernet0/0/3]port link-type access
[SWA-GigabitEthernet0/0/3]port default vlan 3
RTA]interface GigabitEthernet0/0/1.1
[RTA-GigabitEthernet0/0/1.1]dot1q termination vid 2
[RTA-GigabitEthernet0/0/1.1]ip address 192.168.2.254 24
[RTA-GigabitEthernet0/0/1.1]arp broadcast enable
[RTA]interface GigabitEthernet0/0/1.2
[RTA-GigabitEthernet0/0/1.2]dot1q termination vid 3
[RTA-GigabitEthernet0/0/1.2]ip address 192.168.3.254 24
[RTA-GigabitEthernet0/0/1.2]arp broadcast enabledot1q termination vid命令用来配置子接口dot1q封装的单层VLAN ID。缺省情况,子接口没有配置dot1q封装的单层VLAN ID。
本命令执行成功后,终结子接口对报文的处理如下:接收报文时,剥掉报文中携带的Tag后进行三层转发。转发出去的报文是否带Tag由出接口决定。发送报文时,将相应的VLAN信息添加到报文中再发送。
arp broadcast enable命令用来使能终结子接口的ARP广播功能。缺省情况下,终结子接口没有使能ARP广播功能。终结子接口不能转发广播报文,在收到广播报文后它们直接把该报文丢弃。为了允许终结子接口能转发广播报文,可以通过在子接口上执行此命令。
串行链路普遍用于广域网中。串行链路中定义了两种数据传输方式:异步和同步。
异步传输是以字节为单位来传输数据,并且需要采用额外的起始位和停止位来标记每个字节的开始和结束。起始位为二进制值0,停止位为二进制值1。在这种传输方式下,开始和停止位占据发送数据的相当大的比例,每个字节的发送都需要额外的开销。
同步传输是以帧为单位来传输数据,在通信时需要使用时钟来同步本端和对端的设备通信。DCE即数据通信设备,它提供了一个用于同步DCE设备和DTE设备之间数据传输的时钟信号。DTE即数据终端设备,它通常使用DCE产生的时钟信号。
High-level Data Link Control,高级数据链路控制,简称HDLC,是一种面向比特的链路层协议。
HDLC具有如下特点: 协议不依赖于任何一种字符编码集;
数据报文可透明传输,用于透明传输的“0比特插入法”易于硬件实现;
全双工通信,不必等待确认可连续发送数据,有较高的数据链路传输效率;
所有帧均采用CRC校验,并对信息帧进行编号,可防止漏收或重收,传输可靠性高;
传输控制功能与处理功能分离,具有较大的灵活性和较完善的控制功能。
[RTA]interface Serial 1/0/0
[RTA-Serial1/0/0]link-protocol hdlc
Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y
[RTA-Serial1/0/0]ip address 10.0.1.1 30华为设备上的串行接口默认运行PPP协议。用户必须在串行链路两端的端口上配置相同的链路协议,双方才能通信。
[RTA]interface Serial 1/0/0
[RTA-Serial1/0/0]link-protocol hdlc
Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y
[RTA-Serial1/0/0]ip address unnumbered interface loopBack 0//借用loop back0的接口地址
[RTA]ip route-static 10.1.1.0 24 Serial 1/0/0
执行display ip interface brief命令可以查看路由器接口简要信息。如果有IP地址被借用,该IP地址会显示在多个接口上,说明借用loopback接口的IP地址成功。
PPP协议是一种点到点链路层协议,主要用于在全双工的同异步链路上进行点到点的数据传输。PPP协议有如下优点:
PPP既支持同步传输又支持异步传输,而X.25、FR(Frame Relay)等数据链路层协议仅支持同步传输,SLIP仅支持异步传输。
PPP协议具有很好的扩展性,例如,当需要在以太网链路上承载PPP协议时,PPP可以扩展为PPPoE。
PPP提供了LCP(Link Control Protocol)协议,用于各种链路层参数的协商。
PPP提供了各种NCP(Network Control Protocol)协议(如IPCP、IPXCP),用于各网络层参数的协商,更好地支持了网络层协议。
PPP提供了认证协议:CHAP(Challenge-Handshake Authentication Protocol)、PAP(Password Authentication Protocol),更好的保证了网络的安全性。
无重传机制,网络开销小,速度快。
LCP可以自动检测链路环境,如是否存在环路;协商链路参数,如最大数据包长度,使用何种认证协议等等。与其他数据链路层协议相比,PPP协议的一个重要特点是可以提供认证功能,链路两端可以协商使用何种认证协议来实施认证过程,只有认证成功之后才会建立连接。
PPP定义了一组网络层控制协议NCP,每一个NCP对应了一种网络层协议,用于协商网络层地址等参数,例如IPCP用于协商控制IP协议,IPXCP用于协商控制IPX协议等。
对于PPP链路建立过程的描述如下: Dead阶段也称为物理层不可用阶段。当通信双方的两端检测到物理线路激活时,就会从Dead阶段迁移至Establish阶段,即链路建立阶段。 在Establish阶段,PPP链路进行LCP参数协商。协商内容包括最大接收单元MRU、认证方式、魔术字(Magic Number)等选项。LCP参数协商成功后会进入Opened状态,表示底层链路已经建立。 多数情况下,链路两端的设备是需要经过认证阶段(Authenticate)后才能够进入到网络层协议阶段。PPP链路在缺省情况下是不要求进行认证的。如果要求认证,则在链路建立阶段必须指定认证协议。认证方式是在链路建立阶段双方进行协商的。如果在这个阶段再次收到了Configure-Request报文,则又会返回到链路建立阶段。 在Network阶段,PPP链路进行NCP协商。通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。只有相应的网络层协议协商成功后,该网络层协议才可以通过这条PPP链路发送报文。如果在这个阶段收到了Configure-Request报文,也会返回到链路建立阶段。 NCP协商成功后,PPP链路将保持通信状态。PPP运行过程中,可以随时中断连接,例如物理链路断开、认证失败、超时定时器时间、管理员通过配置关闭连接等动作都可能导致链路进入Terminate阶段。 在Terminate阶段,如果所有的资源都被释放,通信双方将回到Dead阶段,直到通信双方重新建立PPP连接。
常用的PPP认证协议有PAP和CHAP,一条PPP链路的两端可以使用不同的认证协议认证对端,但是被认证方必须支持认证方要求使用的认证协议并正确配置用户名和密码等认证信息。
RTA首先发送一个Configure-Request报文,此报文中包含RTA上配置的链路层参数。当RTB收到此Configure-Request报文之后,如果RTB能识别并接受此报文中的所有链路层参数,则向RTA回应一个Configure-Ack报文。 RTA在没有收到Configure-Ack报文的情况下,会每隔3秒重传一次Configure-Request报文,如果连续10次发送Configure-Request报文仍然没有收到Configure-Ack报文,则认为对端不可用,停止发送Configure-Request报文。 注:完成上述过程只是表明RTB认为RTA上的链路参数配置是可接受的。RTB也需要向RTA发送Configure-Request报文,使RTA检测RTB上的链路参数是不是可接受的。
当RTB收到RTA发送的Configure-Request报文之后,如果RTB能识别此报文中携带的所有链路层参数,但是认为部分或全部参数的取值不能接受,即参数的取值协商不成功,则RTB需要向RTA回应一个Configure-Nak报文。 在这个Configure-Nak报文中,只包含不能接受的链路层参数,并且此报文所包含的链路层参数均被修改为RTB上可以接受的取值(或取值范围)。 在收到Configure-Nak报文之后,RTA需要根据此报文中的链路层参数重新选择本地配置的其它参数,并重新发送一个Configure-Request。
当RTB收到RTA发送的Configure-Request报文之后,如果RTB不能识别此报文中携带的部分或全部链路层参数,则RTB需要向RTA回应一个Configure-Reject报文。在此Configure-Reject报文中,只包含不能被识别的链路层参数。 在收到Configure-Reject报文之后,RTA需要向RTB重新发送一个Configure-Request报文,在新的Configure-Request报文中,不再包含不被对端(RTB)识别的参数
[RTA]interface Serial 1/0/0
[RTA-Serial1/0/0]link-protocol ppp
Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y
[RTA-Serial1/0/0]ip address 10.1.1.1 30华为ARG3系列路由器默认在串行接口上使能PPP协议。如果接口运行的不是PPP协议,需要运行link-protocol ppp命令来使能数据链路层的PPP协议。
PAP认证的工作原理较为简单。PAP认证协议为两次握手认证协议,密码以明文方式在链路上发送。 LCP协商完成后,认证方要求被认证方使用PAP进行认证。 被认证方将配置的用户名和密码信息使用Authenticate-Request报文以明文方式发送给认证方。 认证方收到被认证方发送的用户名和密码信息之后,根据本地配置的用户名和密码数据库检查用户名和密码信息是否匹配,如果匹配,则返回Authenticate-Ack报文,表示认证成功。否则,返回Authenticate-Nak报文,表示认证失败。
CHAP认证过程需要三次报文的交互。为了匹配请求报文和回应报文,报文中含有Identifier字段,一次认证过程所使用的报文均使用相同的Identifier信息。
LCP协商完成后,认证方发送一个Challenge报文给被认证方,报文中含有Identifier信息和一个随机产生的Challenge字符串,此Identifier即为后续报文所使用的Identifier。
被认证方收到此Challenge报文之后,进行一次加密运算,运算公式为MD5{ Identifier+密码+Challenge },意思是将Identifier、密码和Challenge三部分连成一个字符串,然后对此字符串做MD5运算,得到一个16字节长的摘要信息,然后将此摘要信息和端口上配置的CHAP用户名一起封装在Response报文中发回认证方。
认证方接收到被认证方发送的Response报文之后,按照其中的用户名在本地查找相应的密码信息,得到密码信息之后,进行一次加密运算,运算方式和被认证方的加密运算方式相同,然后将加密运算得到的摘要信息和Response报文中封装的摘要信息做比较,相同则认证成功,不相同则认证失败。
使用CHAP认证方式时,被认证方的密码是被加密后才进行传输的,这样就极大的提高了安全性。
IPCP使用和LCP相同的协商机制、报文类型,但IPCP并非调用LCP,只是工作过程、报文等和LCP相同。 IP地址协商包括两种方式:静态配置协商和动态配置协商。
如图所示,两端路由器配置的IP地址分别为10.1.1.1/30和10.1.1.2/30。 静态IP地址的协商过程如下: 1. 每一端都要发送Configure-Request报文,在此报文中包含本地配置的IP地址; 2. 每一端接收到此Configure-Request报文之后,检查其中的IP地址,如果IP地址是一个合法的单播IP地址,而且和本地配置的IP地址不同(没有IP冲突),则认为对端可以使用该地址,回应一个Configure-Ack报文。
两端动态协商IP地址的过程如下:
RTA向RTB发送一个Configure-Request报文,此报文中会包含一个IP地址0.0.0.0,表示向对端请求IP地址;
RTB收到上述Configure-Request报文后,认为其中包含的地址(0.0.0.0)不合法,使用Configure-Nak回应一个新的IP地址10.1.1.1;
RTA收到此Configure-Nak报文之后,更新本地IP地址,并重新发送一个Configure-Request报文,包含新的IP地址10.1.1.1;
RTB收到Configure-Request报文后,认为其中包含的IP地址为合法地址,回应一个Configure-Ack报文。
同时,RTB也要向RTA发送Configure-Request报文请求使用地址10.1.1.2,RTA认为此地址合法,回应Configure-Ack报文。
认证方:
[RTA]aaa
[RTA-aaa]local-user huawei password cipher huawei//设置用户名密码
[RTA-aaa]local-user huawei service-type ppp //设置服务类型PPP
[RTA]interface Serial 1/0/0
[RTA-Serial1/0/0]link-protocol ppp //链路开启PPP
[RTA-Serial1/0/0]ppp authentication-mode pap//认证方开启PAP认证功能
[RTA-Serial1/0/0]ip address 10.1.1.1 30被认证方
[RTB]interface Serial 1/0/0
[RTB-Serial1/0/0]link-protocol ppp
[RTB-Serial1/0/0]ppp pap local-user huawei password cipher huawei //被认证方配置PAP用户名密码
[RTB-Serial1/0/0]ip address 10.1.1.2 30
验证:debugging ppp pap all
[RTA]aaa
[RTA-aaa]local-user huawei password cipher huawei
[RTA-aaa]local-user huawei service-type ppp
[RTA]interface Serial 1/0/0
[RTA-Serial1/0/0]link-protocol ppp
[RTA-Serial1/0/0]ppp authentication-mode chap//开启chap认证功能[RTB]interface Serial 1/0/0
[RTB-Serial1/0/0]link-protocol ppp
[RTB-Serial1/0/0]ppp chap user huawei//用户名
[RTB-Serial1/0/0]ppp chap password cipher huawei//密码
