下午题基础知识整理
去年已经拿到这个证书了,小小整理一下,都比较基础,软考网络工程师下午题的难度最多就到这种程度(配置方面)。 上午题需要的评论回复邮箱,我发PDF过去,这里就不整理了 (狗头偷懒)
建议多刷题(51CTO小程序,每日打卡),该记记该背背。
华为交换机配置基础
1.vlan的配置
华为设备中划分VLAN的方式有:
- 静态的划分:基于接口
- 动态划分:基于MAC地址、基于IP子网、基于协议、基于策略(MAC地址、Ip地址)。
其中基于接口划分VLAN,是最简单,最常见的划分方式。
基于接口划分VLAN指的是根据交换机的接口来划分VLAN。需要网络管理员预先给交换机的每个接口配置不同的PVID即可。
2.vlan与trunk配置案例
<HUAWEI> system-view
[HUAWEl]sysname SwitchA
SwitchA]vlan batch23//批量创建VLAN2和VLAN3
[SwitchA]interface gigabitethernet1/0/1
[SwitchA-GigabitEthernet1/0/1]port link-type access//设置接口类型为access
[SwitchA-GigabitEthernet1/0/1]port default vlan 2//将接口GE1/0/1加入VLAN2
[SwitchA-GigabitEthernet1/0/1]quit
[SwitchA]interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2]portlink-type access
[SwitchA-GigabitEthernet1/0/2]port default vlan 3//将接口GE1/0/2加入VLAN3
[SwitchA-GigabitEthernet1/0/2]quit
[SwitchA-GigabitEthernet1/0/2]interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3]port link-type trunk//设置接口类型为trunk
[SwitchA-GigabitEthernet1/0/3]port trunk allow-pass vlan2 3//允许该接口上透传VLAN2和VLAN3到上层交换机
YSwitchA-GigabitEthernet1/0/3]quit
3.以太网端口有三种链路类型:Access、Hybrid和Trunk
- Acces类型的端口只能属于1个VLAN,一般用于连接计算机的端口;
- Trunk类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;
- Hybrid类型的端口是华为设备中的一种新的端口类型,其特点是可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,既可以用于交换机之间连接,也可以用于连接用户的计算机。
注意:
Hybrid端囗和Trunk端囗是有区别的:
在接收数据时,Hybrid端口和Trunk端口处理方法是一样的,唯一不同之处在发送数据时,Hybrid端口可以允许多个VLAN的报文发送时不打标签,而runk端口只允许缺省VLAN的报文发送时不打标签。
缺省VLAN:通常Access端口只属于1个VLAN,所以它的缺省VLAN1,无需设置。而Hybrid端口和Trunk端口可以属于多个VLAN,因此需要设置缺省VLANID。缺省情况下,Hybrid端口和Trunk端囗的缺省VLAN为VLAN1所有华为交换机的默认接口类型为hybrid。
4.Hybrid端口发送数据的处理
当端口接收到不带VLANTag的报文后,则将报文转发到属于缺省VLAN的端口(如果设置了端囗的缺省VLANID)。当端口发送带有VLAN Tag的报文时,如果该报文的VLANID与端口缺省的VLANID相同,则系统将去掉报文的VLANTag,然后再发送该报文。
[Switch-Ethernet0/1]interface Ethernet 0/1 \\进入ethernet 0/1接口
[Switch-Ethernet0/1]port link-type hybrid \\设置接口类型为hybrid
[Switch-Ethernet0/1]port hybrid pvid vlan 10 \\接口的PVID是vlan10
[Switch-Ethernet0/1]port hybrid vlan 10 20 untagged //对VLAN为10、20的报文,剥掉VLAN Tag
5.交换机管理IP的设置
华为部分设备有Meth接口,一个专门用于带外管理的接口,不能用于业务数据的传输。如果是二层的接入交换机,需求远程管理这台机器,则需要给这台机器配置个管理IP。通过ssh,telnet等的带内管理,通常默认的管理vlan是vlan1,也可以自己设置为其他Vlan。
下面以s5700为例,介绍使用用Vlan5作为管理Vlan,管理IP地址为192.168.1.1/24的配置、用户可以通过GigabitEthernet 0/0/1的接口连接到Vlanif5.
<55700>system-view/进入系统视图
[S5700-vlan5]quit
[S5700linterface Vlanif5//进入Vlanif5
[S5700-Vlanifs]Jip address 192.168.1.124//设置Vlanif5网关192.168.1.1掩码255.255.255.0
[S5700-Vlanif5]quit/退出
[S5700]interface GigabitEthernet0/0/1 //进入物理端口GE0/0/1
[S5700-GigabitEthermet0/0/1]port link-type access //设置端口access模式
[S5700-GigabitEthermet0/0/1]port default vlan 5 //将此端口划分到Vlan5
[S5700-GigabitEthemet0/0/1]quit //退出
[S5700]aaa
//进入aaa
[S5700-aaa]local-user admin passwordcipher 123456//创建用户admin设置密码为123456密码加密方式为cipher
[55700-aaa]local-user admin privilege level15//设置admin最高权限等级15
[S5700-aaa]local-user admin service-type telnet ssh//授权admin用户可以使用telnet、ssh
[S5700-aaa]quit/退出
[S5700]user-interfacevty04
[S5700-ui-vtyO-4Jauthentication-mode aaa
6.MSTP负载均衡的例子
如左图所示,四台交换机都运行MSTP。它们彼此相连形成了一个有冗余链路的环网。为实现接入层交换机上的VLAN2VLAN10和VLAN11
VLAN20的分别在不同的STP域中,实现流量负载分担:
因此需要配置两个MSTl,即MSTI1对应Vlan2-
Vlan10和MSTl2对应Vlan11-20。他们经过MSTP之后,生成的无环路拓扑如图所示。
(1)交换机的MSTP区域配置
在交换机A上创建一个相同的MST域(域名为RG1)、两个多生树实例MSTl1和MSTl2,然后为Vlan2-10映射到MSTl1,Vlan11-20映射到MSTI2。最后激活MST域配置。
[SwitchA]stp region-configuration
[SwitchA-mst-region]region-name RG1
[SwitchA-mst-region]instance 1 vlan 2 to 10
[SwitchA-mst-region]instance 2 vlan 11 to 20
[SwitchA-mst-region]active region-configuration
[SwitchA-mst-region]quit
注意:因为这4台交换机都在同一个域(域名相同)才能起作用,因此其他三台设备也进行同样的配置。
(2)配置MSTI1与MSTI2的根桥与备份根桥
[SwitchA]stp instance 1 root primary //配置switchA为MSTI1的根桥
[SwitchA]stp instance 2 root secondary //配置SwitchA为MSTI2的备份根桥
[SwitchB]stp instance 1 root secondary //配置Switch8为MST11的备份根桥
[SwitchB]stp instance 2 root primary //配置SwitchB为MSTI2的根桥
(3)分别配置MSTI1和MSTI2中要被阻塞的端口,消除二层环路
[Switch A-D]stp pathcost-standard legacy //配置采用华为的私有端口路径开销计算方法,四台设备同样的标准
[SwitchC]interface gigabitethernet 0/0/2
[SwitchC-GigabitEthernet0/0/2]stp instance 2 cost 20000 //设置端口GE0/0/2在实例MSTI2中的路径开销值为20000
[SwitchC-GigabitEthernet0/0/2]quit
[SwitchD]interface gigabitethernet 0/0/2
[SwitchD-GigabitEthernet0/0/2]stp instance 2 cost 20000 //设置端口GE0/0/2在实例MSTI2中的路径开销值为20000
[SwitchD-GigabitEthernet0/0/2]quit
(4)在四台交换机上全局使能MSTP,使以上MSTP配置生效,消除二层环路
[SwitchA]stp enable
[SwitchB]stp enable
[SwitchC]stp enable
[SwitchD]stp enable
(5)将与终端PC相连的端口去使能MSTP
[SwitchC]interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1]stp disable
[SwitchC-GigabitEthernet0/0/1]quit
(6)在两个实例对应的根桥设备的指定端口上配置根保护功能
[SwitchA]interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1]stp root-protection
[SwitchB]interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1]stp root-protection
(7)最后在各交换机上创建ID号为2~20的共19个VLAN,然后把四台交换机间的直连链路的端口配置为Trunk类型,并允许这19个VLAN通过。把连接PC的链路端口设置为Access类型,加入对应的VLAN
[SwitchA]vlan batch 2 to 20
[SwitchA]interface g0/0/1
[SwitchA-GigabitEthernet0/0/1]port link-type trunk
[SwitchA-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 20
[SwitchA]interface g0/0/2
[SwitchA-GigabitEthernet0/0/1]port link-type trunk
[SwitchA-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 20
dis stp brief
华为路由器配置基础
路由协议或路由种类 | 相应路由的优先级 |
---|---|
DIRECT | 0 |
OSPF | 10 |
IS-IS | 15 |
STATIC | 60 |
RIP | 100 |
DHCP配置
DHCP的三种角色
DHCP组网中,包括以下三种角色:
DHCP客户端:通过DHCP协议请求获取P地址等网络参数的设备。例如,lP电话、PC、手机、无盘工站等。
DHCP服务器:负责为DHCP客户端分配网络参数的设备。
DHCP中继(可选):负责转发DHCP服务器和DHCP客户端之间的DHCP报文,协助DHCP服务器向DHCP客户端动态分配网络参数的设备。
dhcp relay:dhcp select relay,使能接口的DHCP中继功能(缺省情况下未使能)
(1)使能DHCP服务
<Huawei>system-view
[Huawei]sysname Router
[Router]dhcp enable
(2)配置接口加入VLAN
#配置Eth2/0/0接口加入VLAN10。
[Router]vlan batch 10 to 11
[Router]interface ethernet 2/0/0
[Router-Ethernet2/0/0] port link-type access
[Router-Ethernet2/0/0] port default vlan 10
[Router-Ethernet2/0/0] quit
(3)配置VLANIF11接口地址
[Router]interface vlanif 11
[Router-Vlanif11]ip address 10.1.2.1 24
[Router-Vlanif11]quit
(4)配置接口地址池
配置VLANIF10接口下的客户端从接口地址池中获取IP地址和相关网络参数。
[Router]interface vlanif 10
[Router-Vlanif10]dhcp select interface
[Router-Vlanif10]dhcp server lease day 30
[Router-Vlanif10]dhcp server domain-name huawei.com
[Router-Vlanif10]dhcp server dns-list 10.1.1.2
[Router-Vlanif10]dhcp server excluded-ip-address 10.1.1.2
[Router-Vlanif10]dhcp server statuc-bind ip-address 10.1.1.100 mac-address 286e-d488-b684
ACL
分类 | 编号范围 | 支持的过滤选项 |
---|---|---|
基本ACL | 2000~2999 | 匹配条件较少,只能通过源lP地址和时间段来进行流量匹配,在一些只需要进行简单匹配的功能可以使用。 |
高级ACL | 3000~3999 | 匹配条件较为全面,通过源P地址、目的IP地址、To5、时间段、协议类型、优先级、ICMP报文类型和ICMP报文码等多个维度来对进行流量匹配,在大部分功能中都可使用高级ACL来进行精确流量匹配。 |
基于MAC地址的ACL | 4000~4999 | 由于数据链路层使用MAC地址来进行寻址,所以在控制数据链路层帧时需要通过MAC地址来对流量进行分类。基于MAC地址的ACL就可以通过源MAC地址、目的MAC地址、co5、协议码等维度来进行流量匹配。 |
ACL规则
acl number 2004
rule 0 deny 202.38.0.0 0.0.255.255
rule 10 permit 202.38.160.0 0.0.0.255
配置好的ACL,应用到相应的接口才会生效。
interface GigabitEthernet 0/0/1
traffic-filter inbound acl 2004 //在接口上应用ACL,进行报文过滤,某些类型的设备可以使用packet-filter 3000
ACL应用规则
1.标准访问控制列表,靠近目标网络
2.高级访问控制列表,靠近源网络
两条规则结合则表示禁止一个大网段(202.38.0.0)上的主机但允许其中的一小部分主机(202.38.160.0)的访问。
具体:
acl number 3001
rule deny source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
对内网地址192.168.1.12/24访问外网做限制,使其无法访问所有WEB界面
acl number 3005 //定义用于报文过滤的访问控制
description deny_source_ip_www
rule 5 deny tcp source 192.168.1.12 0 destination-port eq www
rule 10 permit tcp source 192.168.1.12 0
interface g0/0/1
ip address 192.168.1.2 255.255.255.0
traffic-filter inbound acl 3005
交换机进行ACL配置应用的例子
1、先定义ACL
[Switch]acl 3001 //新建一个高级ACL
[Switch-acl-adv-3001]rule 5 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 //禁止5网段访问2网段
[Switch-acl-adv-3001]rule 100 permit ip //允许访问任何网段
2、配置基于ACL的流分类
[Switch]traffic classifer tc1 //创建流分类
[Switch-classifier-tc1]if-match acl 3001 //将ACL与流分类关联
3、配置流行为
[Switch]traffic behavior tb1 //创建流行为
[Switch-behavior-tb1]deny //配置流行为动作为拒绝报文通过
4、配置流策略
[Switch]traffic policy tp1 //创建流策略
[Switch-trafficpolicy-tp1]classifier tc1 behavior tb1 //将流分类tc1与流行为tb1关联
5、在接口下应用流策略
[Switch]interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1]traffic-policy tp1 inbound //流策略应用在接口入方向
华为防火墙配置
路由器的安全规则定义再接口上,而防火墙的安全规则定义在安全区域之间
Local
Trust
DMZ
Untrust
域间的数据流分两个方向:
入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;
出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。
防火墙的安全区域规则:
- 本域内不同接口间不过滤直接转发
- 进、出接口相同的报文被丢弃
- 接口没有加入域之前不能转发包文
配置区域dmz
[Eudemon]firewall zone name dmz1
[Eudemon-zone-dmz1]set priority 70
把接口加入到区域中
把相应的接口加入到相应的区域中去
配置接口Ethernet 1/0/0加入到防火墙DMZ域
[Eudemon]firewall zone dmz
[Eudemon-zone-dmz]add interface ethernet 1/0/0
IP包过滤技术介绍
对防火墙需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表
五元组:源地址、目的地址、源端口、目的端口、协议号
在区域间应用访问控制列表
例子:创建编号为3001的访问控制列表。
[华为]acl number 3001
#配置ACL规则,允许特定用户从外部网访问内部服务器。
[华为-acl-adv-3001]rule permit tcp source 202.39.2.30 destination129.38.1.10
[华为-acl-adv-3001]rule permit tcp source 202.39.2.3 0 destination 129.38.1.20
[华为-acl-adv-3001]rule permit tcp source 202.39.2.3 0 destination 129.38.1.30
下面的配置是在包过滤应用中引用ACL
policy interzone trust untrust outbound
#将ACL规则3000作用于Trust区域到untrust区域间的出方向。
[华为-Interzone-trust-untrust]packet-filter 3000 outbound
#将ACL规则3001作用于Trust区域到Untrust区域间的入方向。
[华为-Interzone-trust-untrust]packet-filter 3001 inbound
#在Trust区域和Untrust区域之间使能FTP协议的应用协议检测。
[华为-Interzone-trust-untrust]detec tftp
Nat Server配置
Nat Server 里面有 NAT Server配置案例
内部服务器(Nat Server)功能是使用一个公网地址来代表内部服务器对外地址。在防火墙上,专门为内部的服务器配置一个对外的公网地址来代表私网地址。对于外网用户来说,防火墙上配置的外网地址就是服务器的地址。
使用NAT可以灵活地添加内部服务器,通过配置内部服务器,可将相应的外部地址、端口等映射到内部的服务器上,提供了外部网络可访问内部服务器的功能。
配置内部Web和FTP服务器。
[USG] nat server wwwserver protocol tcp global 202.169.10.1 80 inside 192.168.20.2 8080
[USG] nat server ftpserver protocol tcp global 202.169.10.1 ftp inside 192.168.20.3 ftp
Easy IP配置
Easy IP的概念很简单,当进行地址转换时,直接使用接口的公有IP地址作为转换后的源地址。同时它也利用访问控制列表控制哪些内部地址可以地址转换
应用级网关ALG
NAT ALG实现原理
配置:
在系统视图下执行下列命令则使能了相应协议的ALG功能
nat alg enable {ftp|h323|icmp|ras|qq|msn}
在域间视图下为应用层协议配置ASPF检测
firewall interzone trust untrust
detect ftp 开启ASPF 和 NAT ALG。 这两个的命令是共用的
双机热备
VGMP组管理
- 状态一致性管理
VGMP管理组控制所有的VRRP备份组统一切换。 - 抢占管理
当原来出现故障的主设备故障恢复时,其优先级也会恢复,此时可以重新将自己的状态抢占为主。
HRP基本概念
- HRP(Huawei Redundancy Protocol)协议,用来将主防火墙关键配置和连接状态等数据向备防火墙上同步。
- 首包会话快速备份
- 更新报文会话快速备份
防火墙双机热备三大协议
- VRRP 是 主备
- VGMP 是 状态切换一致性
- HRP 是 配置会话表的同步
交换机三种端口
交换机三种端口类型特点:
以太网端口有三种链路类型:Access、Hybrid和Trunk。
■ Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;
■ Trunk类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;Hybrid类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。
■ Hybrid 端口和Trunk 端口在接收数据时,处理方法是一样的,唯一不同之处在于发送数据时:Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。
交换机接口出入数据处理过程:
■ Access端口收报文:收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有则直接丢弃(缺省)
■ Access端口发报文:将报文的VLAN信息剥离,直接发送出去
■ trunk端口收报文:收到一个报文,判断是否有VLAN信息:如果有,判断该trunk端口是否允许该VLAN的数据进入:如果可以则转发,否则丢弃;如果没有VLAN信息则打上端口的PVID,并进行交换转发。
■ trunk端口发报文:比较将要发送报文的VLAN信息和端口的PVID,如果不相等则直接发送。如果两者相等则剥离VLAN信息,再发送。
■ hybrid 端口收报文:收到一个报文,判断是否有VLAN信息:如果有,则判断该hybrid 端口是否允许该VLAN的数据进入(在untagged和tagged列表中的都算允许通过,这个就相当于trunk的allow-pass vlan),如果可以则转发,否则丢弃(此时端口上的untag配置是不用考虑的,untag配置只对发送报文时起作用);如果没有则打上端口的PVID,并进行交换转发。
■ hybrid 端口发报文:1)、判断该VLAN在本端口的属性(disp interface即可看到该端口对哪些VLAN是untag,哪些VLAN是tag)2)、如果是untag则剥离VLAN信息,再发送,如果是tag则直接发送.
[Switch1]vlan 5 //创建 VLAN5
[Switch1-vlan5]management-vlan //设备 VLAN5 为管理 VLAN
[Switch1-vlan5]quit
[Switch1]interface vlanif 5 //创建管理 VLAN 的 VLANIF 接口
[Switch1-Vlanif5]ip add 10.10.1.1 24 //配置 VLANIF 接口 IP 地址
[Switch1-Vlanif5]quit
[Switch1]telnet server enable //Telnet 默认是关闭的,需要打开
[Switch1]user-interface vty 0 4 //开启 VTY 线路模式
[Switch1-ui-vty0-4]protocol inbound telnet //配置 Telnet 协议
[Switch1-ui-vty0-4]authentication-mode aaa //配置认证方式
[Switch1-ui-vty0-4]quit
[Switch1]int g0/0/10
[Switch1-GigabitEthernet0/0/10]port link-type trunk //配置上联接口类型(trunk)
[Switch1-GigabitEthernet0/0/10]port trunk allow-pass vlan all //允许所有 VLAN 通过
[SW2]interface Ethernet 0/0/2
[SW2-Ethernet0/0/2]port link-type access //配置接口类型为 access
[SW2-Ethernet0/0/2]port default vlan 10 //将接口加入 VLAN10
[SW2-Ethernet0/0/2]quit
[Huawei-GigabitEthernet0/0/1]port link-type hybrid //配置接口类型为 hybrid
[Huawei-GigabitEthernet0/0/1]port hybrid pvid vlan 10 //配置接口的 PVID
[Huawei-GigabitEthernet0/0/1]port hybrid untagged vlan 10 30 //配置接口的 untgged vlan
端口
1.配置POP3服务器时,邮件服务器中默认开放TCP的 (D) 端口。
A、21
B、25
C、53
D、110
2.电子邮件应用程序利用POP3协议( D )。
A. 创建邮件 B. 加密邮件 C. 发送邮件 D. 接收邮件
FTP服务器使用20和21两个网络端口与FTP客户端进行通信。主动模式下,FTP服务器的21端口用于传输FTP的控制命令,20端口用于传输文件数据
HTTP:80 Telnet:23
SNMP消息全部通过UDP端口161接收,只有Trap信息采用UDP端口162。 SNMP用的是无连接的UDP协议
IMAP4端口 143
Linux:
inetd.conf 是 系统超级服务进程inetd的配置文件
lilo.conf 是 操作系统启动程序LILO的配置文件
httpd.conf 是 web服务器Apache的配置文件
resolv.conf是 DNS解析的配置文件
在Linux操作系统中,与DHCP相关的主要配置文件如下:
DHCP服务器配置文件 /etc/dhcpd.conf(DHCP服务的主配置文件)
启动DHCP服务的脚本 /etc/rc.d/ink.d/dhcpd
执行DHCP服务的程序 /usr/sbin/dhcpd
记录客户端租用信息的文件 /var/state/dhcpd.leases(保存客户端租约信息的文件)
重启DNS服务器:service named restart
对称加密算法:DES、3DES、RC5、IDEA 适用于大量数据加密
公开密匙(非对称)加密算法:RSA、DSA、ECC 加密速度慢,计算量大,不适合会话通信
1、OSPF默认的Hello报文发送间隔时间是 4秒,
Hello用于发现邻居,保证邻居之间keepalive,keepalive,是在TCP中一个可以检测死连接的机制。
来建立和维护相邻邻居路由器之间的链接关系
默认的Hello报文的发送间隔是10秒,默认无效时间间隔是Hello时间间隔的 4倍,即如果在40秒内没有从特定的邻居接收到这种分组,路由器就认为那个邻居不存在了。
Hello组播地址为224.0.0.5
2、在进行域名解析过程中,当主域名服务器查找不到IP地址时,由(转发域名服务器)负责域名解析
3、路由器的描述中,路由器的串口之间通常是 点对点连接
4、OSPF协议把网络划分成 4种区域,其中(存根区域)不接受本地自治系统以外的路由信息,对自治系统以外的目标采用默认路由0.0.0.0
5、帧中继: 本地管理接口类型:提供面向连接的服务,高效的数据链路技术,充分复用了光纤通信和数字网络技术的优势。
6、运行OSPF协议的路由器在选举 DR/BDR之前,DR是路由器自身,备份指定路由器(BDR)
7、内部网关协议(IGP):在同一个自治系统内交换路由信息。IGP的主要目的是发现和计算自治域内的路由信息
IGP使用的路由协议有:RIP、OSPF、IS-IS