51CTO下载H3CTE课堂笔记.docx
《51CTO下载H3CTE课堂笔记.docx》由会员分享,可在线阅读,更多相关《51CTO下载H3CTE课堂笔记.docx(36页珍藏版)》请在冰豆网上搜索。
51CTO下载H3CTE课堂笔记
H3CTE课堂笔记【吐血推荐H3CTE考试零接触】
1第三章
1.1PPP
1.1.1NCP
NCP主要是IPCP地址协商(考点)
RTA:
intfaceseral1/0
ipaddppp-neogip地址由ppp启动协商获得
RTB:
ippool1202.0.0.6202.0.0.100
interfaceserial1/0
ipadd202.0.0.524
remoteaddress202.0.0.6(pool1)启动分配地址功能
PPP地址协商考点
1:
检查接受IP地址端设备是否启动PPP地址协商功能
2、检查分配IP地址端是否启动了remoteaddress功能
3、如果采用地址池分配,检查地址池配置模式是否正确
1.2VLAN
VLAN排障思路
1、vlan二层功能:
检查交换机是否创建了足够的vlan信息
检查交换机二层接口vlan工作类型(access、trunk)
对于access接口检查pvid属性配置(属于哪个vlan)
对于trunk接口,检查pvid属性、permilvlan属性
2、vlan三层功能:
检查交换机是否创建了vlan-interface并配置三层属性(ip、vrrp、路由协议)
检查路由器以太网子接口vlanid配置是否正确
单臂路由
1.3STP(必考)
MSTP主要参数
1、域名一致(区分大小写)
2、修订级别(默认0即可)
3、vlan与实例的映射关系
举例
SWA:
stpenable
stomodemstp
stpregion-configuration
region-nameh3c创建域名
instance1vlan100创建实例1映射vlan100
instancd2vlan200创建实例2映射vlan200
activeregion-configuration激活生成树
stpinstance1rootprimary作为实例1的主根
stpinstance2rootsecondary
intfacebridge-aggre1
stpinstance1cost1000让一个端口的开销提高,修改根端口阻断某一条链路
在拓扑中某些二层端口不需要开启stp:
interfaceeth1/0/1
stpdisable
interfaceeth1/0/2
stpedged-portenable启动边缘端口
stpbpdu-protection针对边缘端口的保护功能,避免bpdu报文攻击
在拓扑中一些指定接口上启动根保护功能
intfaceeth1/0/10
stproot-protection
STP排查思路:
1、检查MST域配置参数是否一致(域名、vlan实例映射关系)
2、检查生成树启动状态以及启动模式
3、根据题目要求检查生成树主根及被根设置是否正确
4、根据题目要求检查生成树阻断链路是否符合需求(stpcost)
5、检查交换机某些二层端口是否需要关闭STP功能
6、检查交换机某些二层端口是否需要设置为边缘端口,并且bpdu保护功能
7、检查交换机某些二层端口是否需要启动根保护功能
MSTP排查命令
1、dispalystpregion-configruation检查配置
2、dispalystp
3、dispalystpbrief显示接口角色、状态
2第四章路由协议
2.1RIP故障诊断和排查
考试的内容是RIPv1-v2,主要靠的是v1和v2之间的区别。
不会作为主框架协议考试,但是会作为边缘化区域框架
RIP由UDP520端口的报文承载,如果网内做了包过滤策略,有可能会阻断RIP报文
V2版本支持验证,v1不支持验证
Rip1
Version2
Undosummary关闭自动愈合功能
Interfacee0/0
Ripautentiation-modemd512345验证必须配合版本2来使用
对于版本1,要注意接口地址的子网掩码,子网掩码不一致会导致无法发布路由
不同的版本会有兼容型问题,需要同一版本
路由过滤:
RTB
创建过滤器
Aclnumber2000
Ruledenysou10.1.1.00.0.0.255缺点:
不准确
Rulepermit
第二种方法
ipip-prefix1deny10..1.1.024
ipip-prefix1permit0.0.0.00less32相当于any
rip1
filter-policy2000/ip-prefix1import应用过滤器
rip1
import-routeospfcost12引入路由并且加入较大的cost值
rip1
silent-interfacevlan-interface100将某个接口设置为静默端口
2.2路由默认优先级
static60
rip100
ospf域内10
ospf域外150
BGPebgp255ibgp255local130
2.3OSPF排障
Ip+89协议号为ospf报文,和包过滤关系
Ospf的路由验证:
Ospf1
Area1
Auterntication-modmd5在区域模式下启动验证
Inte0/0
Ospfauthentication-modemd4112345在接口下配置验证
Hello报文包含的内容:
1、routerid全网唯一的,不能冲突
2、区域id和区域属性,区域id不同不能建立邻居关系;相通区域,属性不一致也无法建立邻居关系
3、计时器
Hellotimer,即使其不同,也会影响邻居关系建立
Dead死亡时间
Inte0/0
Ospfhello-timer3改为3秒,死亡时间自动为4倍(默认10s)
4、子网掩码,主要针对广播型链路broadcast,如果是广播链路,子网掩码不一致,也会影响邻居关系的建立
在以太网链路上的OSPF选择DR和BDR
Inte0/0
Ospfnetwork-typep2p修改链路类型为p2p,网络类型需要保持一致,尤其是在以太网上默认使用广播broadcast的情况下
在以太网链路下,需要选择DR和BDR,需要依靠优先级。
需要确认优先级不会全部为0
Inte0/0
Ospfdr-priority0注意优先级为0的情况
2.3.1排障思想
2.3.1.1域内排查
1、检查ospf邻接关系是否正常建立
检查ospf路由设备之间是否能够正常交互协议报文(与包过滤产生冲突,ip89报文)
检查ospf验证配置是否正确
检查ospf设备routerid是否冲突
检查ospf区域ID以及区域属性配置是否一致(属性:
stub、nssa)
检查ospfhello计时器配置是否一致
检查对于broadcast类型的链路,检查两端子网掩码配置是否一致
检查ospf网络类型配置是否一致(P2P、broadcast)
2、检查ospf路由计算是否符合题目选路要求
检查ospf链路接口cost设置是否正确(检查路由表的时候要检查度量值和下一条)
3、检查ospf路由是否加载到ip路由表中使用
检查ip路由表中是否存在更低优先级的路由信息
检查ospf时候应用了filter-policy来实现路由过滤,例:
Aclnumb2000
Ruledenysou10.1.1..00.0.0.255
Rulepermit
Ospf1
Filte-policy2000import(必须是import,此处的import只是指向ip路由表中加入的情况下)
Area1(应用到域)
使用的命令:
1、检查邻居关系
Displayospfpeer
2、检查参数
Displaycurrconfigospf检查进程下的配置
Displayospfinterface
Displayospfrouting检查能否计算出路由:
下一条、路径开销等
Displayospflsdb检查lsa|router域内/summary域间/ase域外
Displayiprouting检查ip路由表中是否有路由
域内选路考点:
拓扑图见笔记本
RT:
去往vlan100
Swa(lsacost)累加上swa-rt的cost=总体cost
Swb(lsacost)累加上swb-rt的cost=总体cost
以上情况会出现等价路由
SwA:
Interfacevlan100
Ospfcost100
Interfacevlan200
Ospfcost200
swB:
Interfacevlan100
Ospfcost200
Interfacevlan200
Ospfcost100
2.3.1.2域间排查
主要排查ABR
ABR传递的路由:
lsa3类、5类
主要看ABR上的什么功能来控制路由
1、域间过滤对lsa3进行过滤,有两种方法实现
方法1:
Filter命令:
检查过滤器规则配置是否符合过滤器要求,以及检查filter命令所应用的区域和方向之间的关系。
ABR:
Aclnumber2000
Rule0denysou源地址
Rule1permit
Ospf1
Area1
Filter2000export
另一个办法:
Area0
Filter2000import
方法2:
域间聚合过滤:
主要检查abr-summary所配置的聚合地址以及掩码是否符合题目过滤要求,以及not-advertise参数应用。
Ospf1
Area1
Abr-summary聚合地址(10.1.0.0255.255.0.0)not-advertise
2、特殊区域的控制:
特殊区域的分类:
为了降低常规区域处理的lsa的信息量
Stub域内设备需要统一配置
Totallystub在abr上实现,检查ABR设备是否应用了no-summary参数
Nssa如果是nssa区域,内部是可以部署asbr的。
主要检查abr设备上是否需要应用default-route-advertise参数。
别的设备上用会出错
Totallynssa在ABR实现。
检查ABR设备手否应用no-summary参数
Stub:
Ospf1
are1
Stub
TotallyStub:
Ospf1
are1
sub
Stubno-summary
NssaStub:
Ospf1
are1
nssa
nssadefault-route-advertise作为abr设备回向内部通告默认路由,需要根据题目要求判断
Totallynssa
Ospf1
are1
totallynssa
nssano-summary
3、ospfvlink-peer虚连接
需要考虑好在什么设备间建立虚连接
Ospfvlink-peer注意2个方面的检查
根据拓扑结构,检查vlink功能需要应用于哪些设备
检查vlink-peer命令是否指定对端设备的routerid(不能使接口地址等)
RTC
Ospf1
Area1
Vlink-peer4.4.4.4(对端的routerid,不是接口地址)
双塔奇兵:
子接口将路由同时宣告到域内用以增加域内的冗余性、域外用以解决次优路径问题。
(top图见笔记本)
4、检查ABR设备lsa路由计算是否符合题目选路要求。
Spf算法计算lsa的选取原则:
优选域内lsa计算
再优选域间lsa计算
次优选域外lsa计算
对于域外,优选type1lsa计算
再优选type2lsa计算
2.3.1.3域外排查(重点、难点)
主要排查ASBR,lsa5类或者7类
1、路由控制
路由过滤:
2种方法
第1种方法:
路由引入过滤:
主要检查route-policy配置是否符合题目过滤要求
ASBR:
Aclnumber2000
Rule0permitsouN
Router-policyaaadenyond10
If-matchacl2000
Router-policyaaapermitnode20
Ospf1
Import-routerip/bgproute-policyaaa
域外聚合过滤:
主要检查asbr-summary所配置的聚合地址以及掩码,并检查not-advertise参数的应用
ASBR:
Ospf1
Asbr-summary10.1.0.0255.255.0.0not-advertise
第2种方法:
路由选路
主要检查router-policy规则对于ospf外部路由的属性设置(cost、cost-type),以及route-policy所应用的ospf进程
ASBR:
Aclnumber2000
Rule0permitsouN
Router-policyaaapermitond10
If-matchacl2000
Applycost10
Applycost-typetype-1
Router-policyaaapermitnode20
Ospf1
Import-routerip/bgproute-policyaaa
2、ASBR发布缺省路由
检查default-route-advertise命令是否应用always发布缺省路由
ASBR:
Ospf1
Default-route-advertise开关,前提是路由表中已有默认路由(针对外网情况)
Default-route-advertisealways无论路由表中没有默认路由时使用
2.4BGP故障诊断和排除
BGP处理路由的功能:
不存在计算的算法,在处理路由的功能时,主要是传输路由。
除此之外,还在传输的过程中实现对路由信息的控制。
2.4.1BGP排障思路:
2.4.1.1传输路由排查
BGP是在邻居关系之间传输,所以首先要建立邻居关系,可以传输BGP的报文
TCP179报文是单播的形式传播的
单播:
EBGP:
验证
RTA
Bgp100
Peer10.1.1.2as-number200
Peer10.1.1.2passwordsim12345
EBGP的多跳(跨越三层设备)(如果是greVPN等情况,则不需要配置多跳)
RTA
Bgp100
Peer10.1.1.2as-number200
Peer10.1.1.2ebgp-max-hop2
IBGP
路由反射
需要配置路由反射器(非客户端之间是无法反射路由的,非客户端发来的路由,只能反射到路由反射器客户端,从客户端发来的可以反射到非客户端)为了避免星形拓扑环境,会配置冗余的路由反射器
路由反射器需要配置自己的集群ID:
cluster-id
如果没配置的话,当前的routerid就是cluster-id
冗余反射器的配置需要配置多个邻居关系
需要配置路由反射器客户端
检查loopback地址为源接口的配置:
RTA
Bgp100
Peer2.2.2.2as-number100指定目的地址
Peer2.2.2.2connect-interfaceloopback0与这个邻居所发起报文的源接口
迭代查询(递归查询)
IBGP会迭代到什么样的IGP路由?
2.4.1.2控制路由排查
共有六种属性:
1、ORIGIN,起源属性,用来识别路由始发的特征,有三个参数值:
IGP/EGP(已经不用了)/incomplete
IGP—使用network命令注入的命令
Incomplete—使用路由引入的方式注入的信息
起源属性可以选路,可以在始发路由器上采用不用的注入方式来修改起源属性
如果必须统一使用一样的注入方式则必须手工赋值:
C;
Aclnuber2000
Rule0permitsoun
Route-policyaaapermitnode10
If-mathacl2000
Applyorginincomplete
Rout-policyaaapermitnode20
Bgp200
PeerB路由器route-policyaaaimport
2、AS-PHTH属性:
以堆栈的方式记载通过的AS通过一个AS就会记载AS字符
可实现的功能:
路由过滤:
as-path-acl,用来识别as-path属性(字符串)的(正则表达式)
使用as-pash-acl:
sR6608:
ipas-pathacl1permit^$
ipas-path1ac1deny.*(这条是默认的,不需要配)
应用到BGP:
Bgp541123
Peer电信as-path-acl1export
Peer科技网as-path-aclexport
As-path-acl还可以实现路由选路:
(优选as-path最短的路径)
通过修改as-path字段来实现路由选路,添加一个虚的as号进入到as-path
B路由器:
Aclnum2000
rule0permitsouN
route–policyaaaperimitnode10
if-mathacl2000
applyas-path500
route-policyaaapermitnode20
应用:
Bgp100
Peer路由器Croute-policyaaaexport
3、下一跳属性:
实现路由过滤:
本地下一跳功能,用此功能来改变EBGP的下一跳
B路由器:
(图在笔记本上)
Bgp200
PeerC路由器next-hop-local向C传递路由的时候使用本地下一跳
4、local-pref(必考):
只在IBGP邻居关系上传递(应用在AS内部较多)
Loca-pref默认值是100,优选最高的路由
B路由器
Bgp200
Defaultlocal-pref200所有的路由都做了修改无法针对个别路由修改
Aclnum2000
rule0permitsouN匹配业务N的路由
route–policyaaaperimitnode10
if-mathacl2000
applylocal-pref200
route-policyaaapermitnode20
应用:
Bgp200
PeerD路由器route-policyaaaexport
5、MED(必考):
只在EBGP邻居上传递1跳,MED默认值为0,优选最低的路由
B路由器:
Aclnum2001
rule0permitsouM
route–policybbbperimitnode10
if-mathacl2001
applycost(此处使用cost来配置med值)10
router-policybbbpermitnod20
Bgp200
PeerA路由器route-policybbbexport
C路由器(修改为20)
6、preferred-value优先值属性(H3C私有),优选最大的:
只在H3C本地BGP路由表中存在
A路由器:
Bgp200
peerISP1(运营商1)preferred-value200
peerISP2(运营商2)preferred-value100
针对个别路由的选路:
Aclnum2000
rule0permitsouN匹配业务N的路由
route–policyaaaperimitnode10
if-mathacl2000
applypreferred-vaule50
Bgp200
peerISP1(运营商1)route-policyaaaimport
2.4.2考点
2.4.2.1传输路由排查
检查BGP邻居关系建立是否正常
检查bgp设备是否可以交互BGP报文(与包过滤产生的冲突-TCP179:
BGP报文)
EBGP邻居关系
检查EBGP验证配置是否一致
检查EBGP邻居关系是否需要配置多跳功能
IBGP邻居关系:
根据题目要求,检查IBGP拓扑结构(全互联、路由反射)
检查IBGP邻居关系应用loopback接口地址建立配置(connect-interface)
检查IBGP路由下一跳地址所跌倒到的IGP路由信息是否符合题目选路要求
检查BGP路由注入是否正确
路由引入方式:
检查router-policy规则对于路由信息所应用过滤动作,以及所应用的apply动作设置BGP路由属性
Network命令发布方式:
检查network命令所指定的地址及掩码在ip路由表中是否存在精确匹配的路信息
TRA:
Bgp100
Network10.1.1.0255.255.255.0(必须和ip路由表中匹配的,必须一样)
检查network命令是否应用了route-policy对于注入路由进行属性赋值,来实现选路要求
TRA:
Bgp100
Network10.1.1.0255.255.255.0route-policy
检查BGP邻居的路由设备是否学习到BGP路由,并加载到IP路由表中使用。
BGP只把自己使用的路由器通告给邻居
检查ip路由表中是否存在较低路由优先级的路由信息。
检查BGP路由是否在邻居的路由表中是最佳路由信息*>
2.4.2.2控制路由排查
主要涉及到的是路由属性
1、origin起源属性:
检查route-policy规则对于起源属性的赋值,以及route-policy所应用的邻居和方向
2、as-path-acl:
路由过滤:
检查as-path-acl规则中正则表达式配置是否符合过滤要求,以及as-path-acl所应用的邻居和方向
路由选路:
检查route-policy对于as-path属性的赋值是否正确,以及route-policy所应用的邻居和方向
3、下一跳属性:
根据题目要求检查EBGP互联网段地址是否允许在as内部发布
如果EBGP互联地址不允许在as内部发布,检查是否应用本地下一跳功能
4、检查route-policy规则对于local-pref或MED属性的赋值是否符合选路要求,以及route-policy所应用的邻居和方向
2.4.3BGP排查命令
1、排查邻居关系
displaybgppeer查看状态
idle状态:
说明邻居配置了,但是不能向邻居发出报文,因为ip路由表中没有发送的路由
检查在IP路由表中是否
升级会员 