H3C笔记

原创于 2025-08-07 21:22:31 发布 · 837 阅读

8 ·

CC 4.0 BY-SA版权

文章标签：

#网络 #网络协议

H3C笔记

OSI七层：

物理层：看得见，摸得着
数据链路层：MAC寻址，链路管理，差错控制。
网络层：网络层地址寻址，路由，拥塞控制。
传输层：数据分段，建立端到端的连接，维护传输可靠性。
会话层：建立、管理和终止应用程序之间的会话连接，实现会话同步。
表示层：处理数据的格式转换、加密解密和压缩，确保不同系统间数据兼容。
应用层：直接为用户应用程序提供网络服务，是用户与网络交互的接口。

缺点：层次太多，IP协议成为网络层唯一协议

TCP//IP

网络接口层：处理物理介质的电气特性与数据传输细节。

（数据链路层）：在相邻网络节点间传输数据帧（Frame）。
网络层：负责网络中数据包的路由与转发，实现不同网络之间的通信。
传输层：在源主机与目标主机的进程间建立逻辑连接，保障数据传输的可靠性或效率。
应用层：直接为用户应用程序提供服务。

数据（应用层）、数据段（传输层）、数据包（网络层）、数据帧（数据链路层）、比特流（网络接口层）

从上至下封装，从下至上解封装

缺点：缺乏原生安全机制，地址与路由的扩展性瓶颈

拓扑结构：星型、总线型、环型，树形，网状

局域网基本原理

物理层：同轴电缆，双绞线，光纤，
数据链路层分为逻辑链路控制子层（LLC)802.2，介质访问控制子层（MAC）802.3,802.4,802.5,802.11
网络层：集线器（没有寻址，总线型，物理层），交换机（相比集线器效率更高，数据链路层）
IP寻址是范围，MAC寻址是具体地址

冲突域（CSMA/CD载波侦听多路访问）

设备发送数据会产生冲突的范围
集线器的所有接口都在一个冲突域
交换机的每个接口都在一个独立的冲突域

T568A:绿白，绿，橙白，蓝，蓝白，橙，棕白，棕==直连线

T568B:橙白，橙，绿白，蓝，蓝白，绿，棕白，棕==交叉线

百兆网：（1、2负责发送，3、6负责接收）

千兆网：（1、2、4、5发送数据，3、6、7、8接受数据）

同交异直

多模光纤：允许光信号以多个模式（不同角度）在纤芯中传输的光纤。

单模光纤：仅允许光信号以单一模式（基模）传输的光纤。

传输距离：多模≤2km 选多模，单模＞2km 选单模。

成本：多模较低（纤芯粗易制造，光源便宜）单模较高（纤芯精密制造，光源昂贵）

IP头格式

字段	长度	作用
版本	4 位	标识 IP 协议版本（IPv4 为 4）。
首部长度（IHL）	4 位	头部总长度（以 4 字节为单位，标准 20 字节）。
总长度	16 位	数据包总长（头部 + 数据），最大 65535 字节。
源 / 目的 IP	各 32 位	标识发送方和接收方的 IP 地址。
协议	8 位	上层协议类型（如 6=TCP，17=UDP）。
TTL	8 位	数据包生存周期（每经路由减 1，为 0 时丢弃）。

Version：指定 IP 协议版本号。
IHL:指示 IP 头部的总长度（以32 位字为单位）。
Type of Service：服务类型。
Total Length：指定整个 IP 数据包的长度（头部 + 数据），单位为字节。
MTU：最大传输单元，以太网默认MTU为1500Bye,PPPoE默认1492Byte。
Identification：标识，唯一标识一个数据包，用于分片重组。
Flags:0= 允许分片，1 = 禁止分片，0= 此为最后一个分片，1 = 后续还有分片。
Fragment Offset：片偏移。
TTL：最大生存时间，防止环路。
Protocol：标识上层协议
Header Checksum:验证 IP 头部的完整性（不包括数据部分）。
Source Address：标识数据包的发送方 IP 地址。
Destination Address：标识数据包的接收方 IP 地址。
Options：可变长度，提供额外功能（非必需）。
Padding：填充数据，补齐MTU。

IP地址格式和表示方法

点分十进制

A:1-126 大型网络前八位为网络位，其余为主机号
B:128-191 中型网络前十六位为网络位，其余为主机号
C:192-223 小型网络前三十二位为网络位，其余为主机号
D;224-239 组播地址
E:240-255 科研性地址

IPV4

环回地址：127.0.0.0~127.255.255.255（标识本机）
链路本地地址：169.254.0.0~169.254.255.255
保留地址：0.0.0.0：任意IP地址。255.255.255.255：全网广播

IPV6

全球单播地址：2000::~3FFF::
本地链路地址：FE80::~FEBF::
唯一本地地址：FC00::~FDFF::

主机位全0标识本网段网络地址，主机位全1标识本网段广播地址计算方法：2n-2

公网地址：可以在互联网上寻址，全球唯一。

私网地址：

网段	类别	适用场景
10.0.0.0~10.255.255.255	A 类私有	大型企业内网（可容纳 1600 万 + 设备）。
172.16.0.0~172.31.255.255	B 类私有	中型企业（16 个连续 B 类网段，约 100 万设备）。
192.168.0.0~192.168.255.255	C 类私有	家庭 / 小型办公（常见于路由器默认网段）。

TCP/UDP基本原理

端口：区分不同应用程序

TCP:IP头+TCP 头部+载荷数据

字段	长度	说明
源端口（Source Port）	2 字节	发送方应用程序的端口号（如浏览器随机分配的临时端口） - 范围：0~65535
目的端口（Destination Port）	2 字节	接收方应用程序的端口号（如 HTTP 默认 80 端口） - 标识数据交付的目标进程
序列号（Sequence Number）	4 字节	标记数据段在数据流中的位置，用于重组分片 - 首次发送时为随机值（ISN），后续按数据量递增
确认号（Acknowledgment Number）	4 字节	期望接收的下一个字节序号 - 若值为 N，表示已确认接收前 N-1 字节的数据
数据偏移（Data Offset）	4 位	标识 TCP 头部的总长度（以 4 字节为单位） - 最小值 5（20 字节，无选项），最大值 15（60 字节）
保留位（Reserved）	6 位	保留未用，必须置 0
标志位（Flags）	6 位	URG：紧急开关 ACK：确认号有效 PSH：推送数据 RST：中断连接 SYN：握手连接 FIN：结束连接
窗口大小（Window）	2 字节	接收方告知发送方当前可接收的数据量（流量控制） - 单位：字节，最大值 65535（可通过窗口扩大选项扩展）
校验和（Checksum）	2 字节	校验 TCP 头部和数据的完整性 - 计算时包含伪头部（源 / 目的 IP、协议号等）
紧急指针（Urgent Pointer）	2 字节	配合 URG 标志，标识紧急数据的末尾位置
可选项（Options）	可变	可选字段（如 MSS、窗口扩大、时间戳） - 总长度不超过 40 字节，不足时用填充位补全
填充（Padding）	可变	确保头部长度为 32 位的整数倍，用 0 填充

TCP 封装关键机制说明

三次握手与标志位：
- SYN=1：发起连接请求（序列号 ISN）。
- SYN=1+ACK=1：响应连接请求（确认号 ISN+1）。
- ACK=1：确认连接建立（序列号 ISN+1，确认号对方 ISN+1）。
- Seq：上一层ACK。
- Ack:上一次的Seq加长度。
可靠传输核心字段：
- 序列号 / 确认号：实现数据按序重组和确认。
- 校验和：检测传输错误，错误报文直接丢弃。
- 窗口大小：动态调整发送速率，避免接收方缓冲区溢出。
头部长度计算：
- 数据偏移值 ×4 = 头部总字节数（如偏移值 = 5 → 5×4=20 字节标准头部）。

TCP 与 UDP 头部对比表

字段	TCP 头部	UDP 头部
源 / 目的端口	2 字节 ×2	2 字节 ×2
数据序号控制	有序列号 / 确认号（4 字节 ×2）	无
可靠性机制	有（校验和 + 重传）	可选（校验和，无重传）
流量控制	有（窗口大小字段）	无
头部长度	20~60 字节（可变）	固定 8 字节
典型应用	网页、文件传输	直播、游戏、DNS 查询

UDP:IP头+UDP头部+载荷数据

字段	长度	说明
源端口号	2 字节	发送方应用程序的端口号，用于接收方回复时定位进程。
目的端口号	2 字节	接收方应用程序的端口号，用于确定数据交付的目标进程。
长度	2 字节	UDP 报文的总长度（头部 + 数据），最小值为 8 字节（仅头部）。
校验和	2 字节	可选字段，用于检测报文传输过程中的错误

ARP广播查询，单播回复

ARP地址解析协议，查询IP地址解析为MAC地址
查看ARP地缓存表：CMD 中命令为ARP -A

ICMP控制报文协议

ping
tercert
- ip ttl-expires enable 使用h3c设备需提前开启服务

网关：网段的出口

交换机有一个MAC地址表
每个网络设备都有MAC地址
如果目的IP属于同一网段，会直接查询网关目的IP的MAC 地址，并进行封装。
如果目的IP属于同一网段，会直接查询网关的IP地址的MAC地址，并进行封装。

H3C路由器结构

智能机接口卡（SIC）

CF卡插槽

3个LAN口，1个配置口

多功能接口模块（HMIM）
H3C交换机结构

1个管理口

1个配置口

Comware ：H3C操作系统

连接命令行方式

使用console线本地配置（9帧串口）使用SecureCRT软件快速连接，协议选择serial，可以在计算机设备管理器里端口位置看是端口几，波特率选择9600，流控全部取消。
使用telnet远程访问，适用于设备上架配置好后的维护管理。
使用ssh远程访问，数据传输过程加密，安全的远程访问

模式

<>：用户视图
[]:系统视图
[SW1-GigabitEthernet1/0/2]：接口视图

命令

display version :查看硬件和软件版本
system-view：进入系统视图
sysname:修改名称
save：保存配置
interface GigabitEthernet 1/0/1：进入接口视图，比如进入以太网接口 GigabitEthernet 1/0/1：
ip address :配置IP，例如192.168.1.1 24.
undo shutdown：开启接口。
shutdown：关闭接口。
vlan 10：创建vlan 10，在系统视图。
quit：返回到上一层
return 或者ctrl+z：直接退回用户视图
将接口加入 VLAN：先进入接口视图，对于 Access 接口，使用port access vlan VLAN ID将接口加入指定 VLAN；对于 Trunk 接口，先开启 Trunk 模式port link-type trunk，再使用port trunk permit vlan VLAN ID允许指定 VLAN 通过。
dis cu :查看当前所运行的所有配置。
display this:在接口模式，查看配置的信息。
display ip interface brief:查看所有三层IP的信息。
空格翻页，回车翻条
静态路由配置：在系统视图下，使用ip route-static 目标网络地址子网掩码下一跳地址配置静态路由。
在用户视图或系统视图下，使用display interface 接口类型接口编号查看接口的详细信息，包括接口状态、IP 地址、流量统计等。
在用户视图下，使用display ip routing-table查看设备的路由表信息。
在用户视图下，使用display vlan查看 VLAN 的配置和成员接口信息。
ping :在接口视图中测试连接
cmd：在接口视图使用
telnet server enable:开启telnet服务
local -guest
local -server
service-type ?:
password simple 12345678:创建密码
0-16：身份级别
dir:用于查看设备存储中的文件列表
local-user :创建用户

user -interface vty 0 4：是用于配置 *远程登录虚拟终端（Virtual Terminal）的命令，允许用户通过 Telnet、SSH 等协议远程管理设备。

典型配置场景

配置远程登录认证方式（如密码认证）：

[Switch] user-interface vty 0 4     # 进入VTY接口配置模式
[Switch-ui-vty0-4] authentication-mode password  # 设置密码认证
[Switch-ui-vty0-4] set authentication password simple admin123  # 设置密码为admin123（明文）
[Switch-ui-vty0-4] protocol inbound all  # 允许所有协议（Telnet/SSH）
[Switch-ui-vty0-4] quit

仅允许 SSH 登录（安全加固）：

[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme  # 使用AAA认证
[Switch-ui-vty0-4] protocol inbound ssh  # 仅允许SSH
[Switch-ui-vty0-4] quit

常用参数及配置项

参数 / 命令	作用
`authentication-mode`	设置认证方式：`password`（密码认证）、`scheme`（AAA 认证）。
`set authentication password`	设置密码（`simple`为明文，`cipher`为密文）。
`protocol inbound`	指定允许的协议：`all`（所有）、`telnet`、`ssh`、`http`、`https`。
`idle-timeout`	设置会话超时时间（分钟），如`idle-timeout 30 0`表示 30 分钟无操作自动断开。
`user privilege level`	设置用户权限级别（0-15 级，15 为最高管理员权限）。

验证配置

# 查看VTY接口配置
<Switch> display current-configuration section user-interface

# 查看当前远程登录会话
<Switch> display users

使用telnet登录完整代码

交换机端配置

<H3C>system-view
[H3C]sysname SW1
[SW1]user-interface vty 0 4
[SW1-ui-vty0-4]authentication-mode password
[SW1-ui-vty0-4]set authentication password simple admin123
[SW1-ui-vty0-4]protocol inbound telnet
[SW1-ui-vty0-4]user privilege level 3
[SW1-ui-vty0-4]idle-timeout 30 0
[SW1-ui-vty0-4]quit
[SW1]interface GigabitEthernet1/0/1
[SW1-GigabitEthernet1/0/1]ip address 192.168.1.1 255.255.255.0
[SW1-GigabitEthernet1/0/1]undo shutdown
[SW1-GigabitEthernet1/0/1]quit
[SW1]save
The current configuration will be written to the device.
Are you sure? [Y/N]:y

客户端Telnet登录操作

C:\Users\Administrator>telnet 192.168.1.1
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
Password: admin123
<SW1>display version
<SW1>system-view
[SW1]

使用ssh登录完整代码

交换机端配置（以H3C S5120系列为例）
<H3C>system-view [H3C]sysname SW1
配置设备域名和SSH密钥对
[SW1]domain system [SW1-isp-system]ip bind vpn-instance none [SW1-isp-system]quit [SW1]rsa local-key-pair create The range of public key modulus is (512 ~ 2048). NOTES: If the key modulus is greater than 512, it will take a few minutes. Input the bits in the modulus[default = 1024]:2048 Generating keys... .................................................++++++ ...................................................................++++++ RSA keys are generated.
配置AAA认证
[SW1]aaa [SW1-aaa]local-user admin password cipher Admin@123 [SW1-aaa]local-user admin service-type ssh [SW1-aaa]local-user admin level 3 [SW1-aaa]quit
配置SSH服务
[SW1]ssh server enable [SW1]ssh user admin authentication-type password [SW1]ssh server source-interface Vlan-interface1
配置VTY接口
[SW1]user-interface vty 0 4 [SW1-ui-vty0-4]authentication-mode scheme [SW1-ui-vty0-4]protocol inbound ssh [SW1-ui-vty0-4]user privilege level 3 [SW1-ui-vty0-4]idle-timeout 30 0 [SW1-ui-vty0-4]quit
配置管理IP地址
[SW1]interface Vlan-interface1 [SW1-Vlan-interface1]ip address 192.168.1.1 24 [SW1-Vlan-interface1]quit [SW1]save
客户端SSH登录操作
Linux/macOS
$ ssh admin@192.168.1.1 Password: Admin@123
Windows (PowerShell或OpenSSH)
PS C:> ssh admin@192.168.1.1 Password: Admin@123
登录后验证
<SW1>display ssh server status

<SW1>display users

使用ssh登录完整代码

H3C设备作为FTP服务器配置

<H3C>system-view [H3C]sysname FTP_Server [FTP_Server]local-user ftpuser password cipher ftppassword@123 # 使用密文密码 [FTP_Server]local-user ftpuser service-type ftp [FTP_Server]local-user ftpuser privilege level 3 [FTP_Server]ftp server enable [FTP_Server]interface Vlan-interface1 [FTP_Server-Vlan-interface1]ip address 192.168.1.1 255.255.255.0 [FTP_Server-Vlan-interface1]undo shutdown [FTP_Server-Vlan-interface1]quit [FTP_Server]save The current configuration will be written to the device. Are you sure? [Y/N]:y

Windows客户端登录操作

C:\Users\Admin>ftp 192.168.1.1 Connected to 192.168.1.1. 220 FTP service ready. User (192.168.1.1:(none)): ftpuser 331 Password required for ftpuser. Password: **** 230 User logged in. ftp> dir 200 Port command okay. 150 Opening ASCII mode data connection for /bin/ls. drwxr-xr-x 2 0 0 0 Jun 15 10:30 config -rw-r--r-- 1 0 0 1024 Jun 15 10:31 version.txt 226 Transfer complete. ftp> get version.txt 200 Port command okay. 150 Opening ASCII mode data connection for version.txt. 226 Transfer complete. 1024 bytes received in 0.01 secs (100.00 Kbytes/sec) ftp> put local_file.txt 200 Port command okay. 150 Opening ASCII mode data connection for local_file.txt. 226 Transfer complete. ftp> bye 221 Goodbye.

Linux/macOS客户端登录操作

$ ftp 192.168.1.1 Connected to 192.168.1.1 (192.168.1.1). 220 FTP service ready. Name (192.168.1.1:user): ftpuser 331 Password required for ftpuser. Password: 230 User logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp> ls 200 Port command okay. 150 Opening ASCII mode data connection for file list. config version.txt 226 Transfer complete. ftp> get version.txt local: version.txt remote: version.txt 200 Port command okay. 150 Opening ASCII mode data connection for version.txt. 226 Transfer complete. 1024 bytes received in 0.00 secs (1.00 Mbytes/sec) ftp> quit 221 Goodbye.

网络设备的存储方式、

RAM
ROM
FLASH

调试

debug ip packet  # 调试所有IP数据包（慎用，输出量大）

debug ip packet detail  # 显示详细IP包信息（含载荷）

debug ip error  # 调试IP层错误（如TTL超时、参数错误）

debug ip icmp  # 调试ICMP报文（如ping请求/应答）

 debug ip arp  # 调试ARP请求与响应

调试信息查看与过滤

<设备名> display debugging  # 查看当前启用的调试模块
<设备名> terminal monitor  # 在当前终端显示调试信息
<设备名> display logbuffer | include icmp  #

以太网帧格式
- 目的IP+源IP+TOS（服务类型）+DATA+FCS(帧校验)
MAC地址（48位）
- 前24为厂商标识，后24位为是设备标识
交换机
- 数据传输模式：
  1. 单播
  2. 广播
  3. 组播
    
    全FFF是广播帧

MAC地址表

MAC地址表记录MAC和端口对应关系
交换机学习数据帧的源MA地址，来获得端口和设备MAC的映射关系，写入MAC地址。
交换机对于目的IP没有的进行广播处理。
一个端口可以对应多个MAC地址
一个MAC地址只能对应一个端口
老化时间：300秒

点对点

HDLC只封装一个包，点对点连接，只封装目的IP。

VLAN（虚拟局域网）
- 用来在二层网络中隔离广播域
- 不同VLAN的设备在二层网络中无法互相通讯
数据帧进入交换机时打上vlan tag，id是收到帧的接口的所属vlan，数据帧从接口发往pc前，会剥离vlan tag，使之还原为标准以太网标准格式。
默认VLAN：（PVID）。

交换机三种端口类型：

Access：
1. 必须加入一个VLAN。
2. 一般用来连接PC或路由器
3. H3C交换机默认所有端口都是access类型属于vlan 1；
Trunk：
1. 可以让多个VLAN的数据通过，从Trunk端口发出的帧保留VLAN TAG ，但是缺省VLAN 除外；Trunk端口收到未打TAG的帧，会重新打上这个目的的VLAN的TAG.
2. 一般交换机连交换机。
3. Trunk的帧是保留帧，不能识别。
Hybrid：
1. 可以让多个VLAN的数据通过。
2. 既可以连接PC又可以连交换机。
3. untaged:不带标签。

基于MAC的vlan

端口必须是Hybrid

端口优先级

MAC地址VLAN>IP子网VLAN>协议VLAN>端口VLAN

GE1/0/1,第一个1是成员编号，第二个数是板卡，最后一个是编号

interface g1/0/3进入接口

vlan 10 ：创建vlan10

把g1/0/1加入vlan 10.

【sv1-vlan10】port g1/0/1:
[sw1-GigabitEthernet1/0/1]port access vlan 10

配置trunk口

port link-type trunk(只放行一个)
port trunk permit vlan 10 20（放行多个）
port trunk permit vlan all（放行所有）

网络层看IP是否在同一个网段，不在看路由，在的话看MAC地址表

查不到广播，不清楚查MAC地址表

STP生成树（消除数据链接层物理环路）：把网状修改成树状

可能带来的问题

广播风暴
MAC地址表动荡

配置BPDU（桥协议数据单元）

定义：BPDU 是 STP 协议中用于交换信息的特殊数据帧，网桥之间通过发送和接收 BPDU 来传递网络配置信息、选举根网桥等。
TCN BPDU ：用于通告拓扑变更信息。

基本工作原理

选举根网桥（交换机）：选优先级（0-65535，默认 32768，值越小越高）最高且 MAC 地址最小的网桥作为根网桥，是生成树的中心。
- 先看优先级，再看MAC地址。
- 优先级默认32768，必须是4096的倍数。
- 桥ID-Bridge-id==BID。
- 因为只占2个字节，2的16比特=65536.
- h3c私有协议跟带宽有关
  - 成反比
  - 100Mb/s =开销200
  - 1000mb/s=开销20
选举根端口：非根网桥上到根网桥路径开销最小的端口（带宽越高开销越小cost越小），若开销相同则比较桥对端桥ID （优先级 + MAC），对端端口ID小的优先，最后看端端口ID。
- 根桥是最小指定桥
- 指定桥选的是交换机，不是指定口。
选举指定端口：先选指定桥，每条链路上负责转发数据的端口，根网桥所有端口都是指定端口；非根网桥中选到根网桥路径开销最小的端口，开销相同时比较本地桥 ID。
阻塞非指定端口：除根端口和指定端口外，其他端口阻塞，仅接收 BPDU 维护拓扑，不转发用户流量。

状态转换

端口在运行 STP 协议时，会经历以下几种状态转换：

禁用（disabled）：端口处于非活动状态，不参与 STP 操作。
阻塞（Blocking）：端口刚启动时进入此状态，不转发用户流量，只接收和处理 BPDU，持续时间约 20 秒（默认值）。
监听（listening）：从阻塞状态转换过来，不转发用户流量，但会参与根网桥、根端口和指定端口的选举，持续时间约 15 秒（默认值）。
学习（learning）：端口开始学习 MAC 地址，但仍然不转发用户流量，持续时间约 15 秒（默认值）。
转发（forwarding）：端口可以正常转发用户流量和 BPDU。

STP计时器

Hello time
1. 2秒
2. 配置BPDU的发送周期
Max age
1. 20秒
2. 判断链路故障的时间，10个Hello time周期
*Forward Delay：
1. 即转发延迟，是设备状态迁移的延迟时间
2. 默认值为 15 秒，可调整范围是 4 到 30 秒。注意：（MAC地址老化时间：300秒）
300秒缩短到30-50秒

跟网桥收到TCN BPDU后，向所有端口发起TC置位的配置BPDU
交换机收到TC置位的配置BPDU后，MAC地址表的老化时间缩短到15秒

STP的问题

收敛速度太慢，故障切换时间太长
网络中大量主机上下线，会发送大量TCN BPDU。

RSTP（快速STP)：快速收敛

端口角色增加到4种
1. 根端口和指定端口
边缘端口机制
1. 建议把连接PC的端口配置为边缘端口
2. 边缘端口UP/DOWN不会发生拓扑变更
3. 边缘端口收到BPDU报文就会参与运算
4. PC不会发BPDU报文

PVST：每 VLAN 生成树（Per-VLAN Spanning Tree）

为每个 VLAN 单独运行一个生成树实例，允许不同 VLAN 在网络中选择不同的转发路径，实现负载均衡。

PVST 的优势
- 负载均衡：通过为不同 VLAN 分配不同的转发路径（如部分 VLAN 走主链路，部分走备份链路），避免单一链路拥塞。
- 故障隔离：某个 VLAN 的生成树拓扑变化不会影响其他 VLAN 的转发，提升网络稳定性。

MSTP(多生成树协议)：更好的资源分载

MSTP（多生成树协议）

MSTP（Multiple Spanning Tree Protocol） 是 IEEE 802.1s 标准协议，核心是将多个 VLAN 映射到同一生成树实例（MSTI），通过区域划分实现不同 VLAN 组的流量沿不同路径转发，解决传统 STP 链路资源浪费问题，兼具负载均衡与拓扑优化能力。

通过冗余网络来中断连接

PC是应用层设备

H3C默认开启STP

STP配置

配置设备优先级：[switch]STP priority priority。

配置端口优先级[switch]STP priority priority

查看端口状态：display STP brief

查看根桥：display STP root。为0的就是。

修改接口开销进入接口试图->STP cost 50

IEEE 802 系列标准精简说明

802.1：定义局域网体系结构、寻址规则、网络互联及管理框架。
802.2：逻辑链路控制（LLC）子层标准，为上层协议提供统一接口。
802.3：以太网标准（CSMA/CD 介质访问控制），包括快速以太网（802.3u）、千兆以太网（802.3z）等扩展。
802.4：令牌总线（Token-Bus）网络的介质访问控制协议。
802.5：令牌环（Token-Ring）网络的介质访问控制协议。
802.6：城域网（MAN）标准，定义分布式队列双总线（DQDB）技术。
802.11：无线局域网（WLAN）标准，包括 802.11a/b/g/n/ac/ax 等无线协议。
802.15：无线个人网（WPAN）标准，如蓝牙（802.15.1）、ZigBee（802.15.4）。
802.16：宽带无线接入（WiMAX）标准，适用于 2~66GHz 频段。

相关概念说明

VLAN（虚拟局域网）：通过 802.1q 协议划分逻辑网络，隔离广播域，提升网络安全性与管理效率。
STP（生成树协议）：802.1d 标准，防止网络环路，通过阻塞端口构建无环拓扑，后续演进为 RSTP（802.1w）、MSTP（802.1s）。
802.1x 认证：基于端口的访问控制协议，用于用户接入认证，保障网络安全（又称 EAPOE）。
- 体系结构
  - 客户端
  - 设备端（本地认证）
  - 认证服务器（远程集中认证）
- 端口接入控制方式
  - 基于端口的认证方式（一台通过，其他端口都可以通过）
  - 基于MAC的认证方式（每个都要认证）
交换机上配置802.1x

链路聚合：是将多个物理接口捆绑为一个逻辑接口的技术，可以增加带宽、提高可靠性和实现负载分担。

1.创建聚合接口

<H3C> system-view
[H3C] interface bridge-aggregation 1  # 创建聚合组1
[H3C-Bridge-Aggregation1] mode lacp  # 设置为LACP模式

bridge=二层设备 route=三层设备

配置聚合接口参数

[H3C-Bridge-Aggregation1] link-aggregation mode lacp-static  # 静态LACP模式
[H3C-Bridge-Aggregation1] max active-linknumber 2  # 设置最大活跃链路数
[H3C-Bridge-Aggregation1] lacp priority 100  # 设置系统优先级（可选）
[H3C-Bridge-Aggregation1] quit

将物理接口加入聚合组

[H3C] interface gigabitethernet 1/0/1
[H3C-GigabitEthernet1/0/1] port link-type trunk  # 设置为Trunk模式
[H3C-GigabitEthernet1/0/1] port trunk permit vlan all  # 允许所有VLAN通过
[H3C-GigabitEthernet1/0/1] port link-aggregation group 1  # 加入聚合组1
[H3C-GigabitEthernet1/0/1] lacp priority 100  # 设置接口优先级（可选）
[H3C-GigabitEthernet1/0/1] quit
[H3C] interface gigabitethernet 1/0/2  # 重复上述步骤配置其他接口
[H3C-GigabitEthernet1/0/2] ...

配置负载分担方式

[H3C] link-aggregation load-sharing mode dst-ip  # 基于目的IP负载分担

验证配置

[H3C] display link-aggregation summary  # 查看聚合组摘要信息
[H3C] display link-aggregation verbose  # 查看详细信息
[H3C] display interface bridge-aggregation 1  # 查看聚合接口状态

三、手动负载分担模式配置

手动模式不需要 LACP 协议，配置更简单：

<H3C> system-view
[H3C] interface bridge-aggregation 1
[H3C-Bridge-Aggregation1] mode manual load-sharing  # 手动负载分担模式
[H3C-Bridge-Aggregation1] quit
[H3C] interface gigabitethernet 1/0/1
[H3C-GigabitEthernet1/0/1] port link-type trunk
[H3C-GigabitEthernet1/0/1] port trunk permit vlan all
[H3C-GigabitEthernet1/0/1] port link-aggregation group 1
[H3C-GigabitEthernet1/0/1] quit
# 重复配置其他接口...

四、两端设备配置注意事项

模式必须一致：两端都配置为 LACP 或手动模式。
接口数量和类型匹配：建议使用相同数量和类型的接口。
VLAN 配置一致：Trunk 接口允许的 VLAN 范围需相同。
LACP 优先级协调：优先级较低的设备成为主动端。

五、故障排查命令

# 查看聚合组状态
[H3C] display link-aggregation summary
# 查看LACP协商信息
[H3C] display lacp statistics interface bridge-aggregation 1
# 检查物理接口状态
[H3C] display interface gigabitethernet 1/0/1

链路聚合分类

静态聚合
动态聚合(IRF+m-lag)

查看链路聚合状态：display link-aggregation verbose

DHCP：动态主机配置协议

DHCP报文采用的是UDP封装，服务器所侦听的端口号是67，客户端的端口号是68.

优点：即插即用，简化配置，统一管理，使用效率高，可跨网段使用

DHCP组成：

DHCP服务器：能够提供DHCP功能或具有DHCP功能的网络设备
DHCP中继：路由器或三层交换机
DHCP客户端：需要获得动态IP地址的主机

H3C默认租期是1天

50%时续租是单播，87.5%0时续租是广播

DHCP服务器基本配置

启用DHCP服务：在系统视图DHCP enable
创建DHCP地址池：在系统视图DHCP server IP-pool pool-name
配置动态分配的IP地址范围：在池的接口中，network network-address
配置为DHCP客户端分配的网关地址：在池的接口中，gateway-list IP-address &<1-8>
查看DHCP服务器的统计信息：display DHCP server statistics

AP：信号接收器

AC：控制器

CAPWAP(无线接入点控制与配置协议):通用的隧道协议，FIT AP和AC之间的通信交互，实现AC对FIT AP的集中管理和控制。

Radio：无线射频（用于无线射频发送信号）分为：

2.4g射频
5g射频
6g射频
配置IP地址
配置DHCP协议（AP和无线用户）
配置无线相关参数
配置AP接入

display wlan ap:查看ap

IP子网划分

标准二级IP地址分为
1. 网络号和主机号（2的n次方减2）
标准三级IP地址分为
1. 网络号和子网号和主机号

主机位全零为子网地址，主机号全一为组播地址

计算：

子网地址为192.168.3.192，子网掩码为255.255.255.224，掩码位数等于27，N=32-27=5,可用主机地址数为2的5次方减2=30.
将B类网络168.195.0.0划分成若干个子网，要求每个子网可配备主机700台，2的n次方>=700+2>=2n次方-1，得出主机位n=10，子网掩码位数为32-10=22，子网掩码为255.255.252.0，划分出子网：168.195.0.0、168.195.4.0……168.195.254.0

vlsm：可变子网划分（让地址使用空间更有效利用）

只能根据主机数量去算

cidr：无类域间路由（路由聚合）

将多个网段聚合成一个
192.168.0.0/24与192.168.0.3/24，聚合以后子网为192.168.0.0/22.
192.168.5.0/24与192.168.6.0/24，聚合以后子网为192.168.4.0/22。

DNS（域名解析）

电脑里的HOSTS文件记录了主机名和IP地址的对应信息
域是因特网中一种管理范围的划分
不区分大小写
域名的根域用.表示，以点结尾的域名称为完合格域名，以点为分割线。
DNS端口是53.

文件传输协议（FTP）

客户端/服务器模式，基于TCP
控制连接使用TCP端口号21，在FTP会话期间一直保持打开
数据连接使用TCP端口号20，只有在上传、下载、文件列表发送是才会连接

FTP文件传输模式

ASCLL模式
- 本地文件转换成ASCILL码再传输
- 适用于传输文本文件
二进制模式
- 文件按照比特流方式进行传输
- 适用于传输程序文件

FTP主动数据传输方式

主动传输：也称PORT方式，由服务器主动发送。
被动传输：也称PASV方式，由于服务器总是被动接收客户端的数据连接。

TFTP：简单文件传输协议

承载在UDP上，端口号669
仅提供简单的文件传输功能（上传、下载）
没有存取授权与认证机制，不提供目录列表
由客户端发起

FTP配置

boot loader+文件名：初始化

IPV6

几乎无限地址
终端用户无需配置
自带IPsel协议

IPv6地址表示

冒号十六进制
- 全0段压缩
3部分组成
- 前缀
- 接口标识符
- 前缀长度
地址分类
- 单播地址
- 组播地址
- 任播地址
全球单播地址：2000::~3FFF::
本地链路地址：FE80::~FEBF::
站点本地地址：FEC0::~FECF::
唯一本地地址：FC00::~FDFF::

重点：根据前缀长度来决定固定的范围，看固定长度，把没固定的换成全1就是范围。

IPV6地址自动配置

只能是前缀长度64的
第七位0和1置换

换算方法：

IPV6地址解析

组播发送邻居请求消息
单播回应邻居通告消息

IPV6地址配置命令

IPv4表示

点分十进制
3部分组成
- 网络部分
- 主机部分
- 掩码

IP路由原理

查看路由表信息:display ip routing-table

路由器单跳操作

查MAC地址
查目的IP（是直连就报文封装，转发，不是就以下一跳地址继续查看地址表，直到查到，再进行封装转发）。
查路由

路由查找规则

最长掩码匹配原则
迭代查询
缺省：子网掩码全0的路由。一般连运营商的出口使用，顺着出口配置。

路由的来源

直连路由：配置简单，无需人工维护，不能跨设备传递
手工配置静态路由：配置简单，需人工维护，适合简单拓扑结构的网络
路由协议发现的路由：开销大，配置复杂，无需人工维护。

路由表存储在内存里，每次开机都需要重新学习

优先级越小越优

各类路由默认优先级

补充：isis（中间系统到中间系统）默认优先级15

同一优先级，看开销，如果开销也一样，会形成等价路由。

环路产生原因：配置错误或协议缺陷。

第四行意思：让子接口识别这个vid 2.（vlan 2的数据）

三层交换机实现vlan间路由：

接口配IP（浪费接口）
vlan配IP
1. VLAN up有条件，因为vlan接口下没有物理接口，只要有一个物理接口，其他vlan就是up。

静态路由配置

IP route-static ：配置静态路由
全网互通：找到所有网段（直连网络除外）
下一条指的是对端接口地址
业务互通：找出互通的业务网段，业务最短路径，配置业务网关。

静态路由配置生效条件：

看下一跳在本设备路由是否有效。

路由备份：

到相同目的地址的下一跳和优先级都不同
优先级高的为主。低的为备

负载分担：

到相同目的地址的下一跳不同，但优先级相同
到目的的流量均匀分布

静态黑洞路由

命令：IP route-static ip 掩码 null。

多个网段先使用cidr聚合。
当链路线路出现断开，就会匹配缺省路由，就会导致环路，所以需要增加一个黑洞路由。

路由协议与可路由协议

路由协议：

常见路由协议：BGP,OSPF,ISIS

可路由协议

常见可路由协议：IPv4，IPv6

ISIS工作在数据链路层，没有协议号与端口号

动态路由协议的基本原理

邻居发现
- 路由器通过发送广播报文或发送给指定的路由器邻居以主动把自己介绍给网段内其他路由器
路由交换
- 每台路由器将自己已知的路由相关信息发给相邻路由器
路由计算
- 每台路由器运行某种算法，计算出最终的路由来。
路由维护
- 路由器之间通过周期性地发送协议报文来维护邻居信息。

路由协议的分类

IGP（内部网关协议）
- RIP、OSPF、IS-IS
EGP（外部网关协议）
- BGP
根据路由的计算方式
- 距离矢量路由协议：根据经过的设备数量（RIP、BGP）
- 链路状态路由协议：根据链路的开销值（OSPF、IS-IS）

安全性，为保护安全性把OSPF出口端口配置为静默端口。

OSPF（开放最短路径优先协议）

基于链路状态的自治系统内部路由协议。
直接工作在IP层，IP协议端口号89。
只传没有的路由信息，提高收敛速度。
以组播地址发送协议号。

Router ID（路由器标识符）

手动配置
自动选举

邻居表

邻居ID
邻居地址
邻居状态

注意：

Router ID不能相同
邻居双方在同一个网段，掩码相同
生存时间和死亡时间要一致

P2P：点到点

P2MP：一个发送到多个

MBMA:以单播发送，所有都能通

交换机对组播、单播、广播、未知都是泛洪处理。

DR和BDR的选举

先选BDR再选DR
类型必须是广播或多点可达
每个网段选一个DR、BDR
Trunk对应的是点到点
优先级越大越优，Router ID也是越大越优

OSPF协议具备重传机制

路由计算：

LSA（链路状态通告），计算开销然后选择开销最小的。

接入层-汇聚层-核心层

OSPF协议分区管理

只有一个骨干区域
从骨干区域学到的，不会发回骨干区域
所有非骨干区域必须与骨干区域互联

OSPF配置

配置OSPF接口优先级：ospf dr-priority （）

配置OSPF接口Cost：ospf cost （）

ACL（访问控制列表）包过滤

是用来实现数据包识别功能的
ACL是匹配，防火墙是过滤

选择设备，选接口，方向

匹配的规则是或

软件防火墙默认是放行，硬件防火墙默认是丢弃

0为必须比较，1为非必须比较

反掩码的0和1要连续

通配符全0，表示匹配自己IP地址

通配符全1，表示匹配全部

ACL标识

基本访问控制列表（序号范围2000-2999）
- 只能匹配报文和源IP地址
- 直接接收或拒绝
- 配置靠近在目的IP
高级访问控制列表（序号范围3000-3999）
- 可以匹配报文的源IP地址、目的IP地址、IP承载的协议类型（必选项）、协议特性第三四层信息制定规则。
- 只有是传输层才能指定端口号
- 能接收并且拒绝
- 配置在靠近源入接口上
基于二层的访问控制列表（序号范围4000-4999）
- 匹配报文的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定匹配原则
- 根据MAC地址的反掩码==FFFFFFFF表示匹配前八位
- 匹配同一网段

配置

packet-filter default deny：设置默认拒绝
no packet-filter default deny：设置默认允许
acl number 序号：配置基本acl和序号
配置规则：

调用：在接口视图下

在入：outbound
在出：inbound

查看acl：display acl

配置模式
自动模式

acl默认是配置模式

ACL包过滤是根据数据包头中的二三四层信息来进行报文过滤

acl包过滤是静态防火墙

NAT（网络地址转换）

Basic：私网访问公网

NAT server：公网访问私网

配置：

配置ACL
配置公网地址池：nat address-group group-number-》address start-address end-address
配置地址转换：nat out acl-number address-group group-number no-pat

缺点：一个私有IP对应一个公网IP，没有节省地址

NAPT：一个公网地址映射多个私网地址

将报文中的地址和源端口号同时进行映射

跟上述配置一样，少了no pat

Easy IP：属于NAPT，是一种特例

适用于拨号接入internet或动态获得IP地址的场合
直接使用出接口的IP地址作为转换后的源地址

配置：配置ACL

配置地址转换：nat outbound acl-number

NAT server

大部分在出口配置：

把10.0.0.1的telnet转换成198.76.28.11对外开放

global：公网 inside：私网

NAT ALG：为了解决报文中地址无法转换的问题

NAT的信息显示和调试

广域网

广域网角色：

CE:用户边缘设备
PE：服务提供商边缘设备
P：服务提供商设备

广域网连接方式：

裸光纤方式
专线方式（学校政府部门）
虚拟专网方式：（中小企业）

广域网技术的应用

现在使用的协议

IP（互联网协议）
MPLS（多协议标签交换）
- 缺点：
  - 除了IGP和BGP协议外，需要额外的标签分发控制协议，协议配置复杂，不利于维护
  - 拓展不方便
SR（段路由）
- 对比MPLS：更简单控制，更易于拓展，更快捷的路径选择，采取源路由的方式进行转发，中间节点不需要维护路径信息。
- 简介
  - 由源节点为应用报文来指定路径，并将路径装换成段
- 在应用时，会结合SDN控制器结合使用。