HCNA进阶笔记.docx

1、HCNA进阶笔记链路聚合链路聚合一般部署在核心节点，以便提升整个网络得数据吞吐量。链路聚合：就是把两台设备之间得多条物理链路聚合到一起，当做一条逻辑链路来使用。这两台设备可以就是一对路由器，一对交换机，或者一台路由器与一台交换机。一条聚合链路可以包含多条成员链路，在ARG3系列路由器与X7系列交换机上默认最多为8条。闳鍍妩頡锊挠緊。聚合链路能够提高链路带宽。理论上，通过聚合几条链路，一个聚合口得带宽可以扩展为所有成员口带宽得综合，这样有效地增加了逻辑链路得带宽。犧痹顏谨掳毿贍。链路聚合为网络提高了可靠性。配置了链路聚合后，如果一个成员接口发生了故障，改成员口得物理链路会把流量切换到另一条成员链

2、路上。蠼驿歷鍛滄嶸谋。链路聚合还可以在一个聚合口上实现负载均衡，一个聚合口可以把流量分散到多个不同得成员口上，通过成员链路把流量发送到同一个目得地，将网络产生拥塞可能性降到最低。驛濰剄匮詐铳梔。链路聚合包含两种模式：手动负载均衡模式与静态LACP（Link Aggregation Control Protocol）艷闳蹺寢呜骣颅。手工负载分担模式：Eth-Trunk得建立、成员接口得加入由手工配置，没有链路聚合控制协议得参与。该模式下所有活动链路都参与数据得转发，平均分担流量，因此称为负载分担模式。如果某条活动链路故障，链路聚合组自动在剩余得活动链路中平均分担流量。当需要在两个直连设备之间提供

3、一个较大得链路带宽而设备不支持LACP协议时，可以使用手工负载分担模式。ARG3系列路由器与X7系列交换机可以基于目得MAC，源MAC，或者基于源MAC地址与目得MAC地址，源IP地址，目得IP地址，或者源IP地址与目得IP地址进行负载分担。漲懣釅蔥壯冻蚀。静态LACP模式中，链路两端设备相互发送LACP报文，协商聚合参数。协商完成后，两台设备确定活动接口与非活动接口。在静态LACP模式中，需要手动创建一个Eth-Trunk口，并添加成员口。LACP协商选举活动接口与非活动接口。惊天LACP模式也叫M:N模式。M代表活动成员链路，用于在负载均衡模式中转发数据。N代表非活动链路，用于冗余备份。如

4、果一条活动链路发生故障，该链路传输得数据被切换到一条优先级最高得备份链路上，这条备份链路转变为活动状态。写詼絢掸赃黪诀。两种链路聚合模式得主要区别就是：在静态LACP模式中，一些链路充当备份链路。在手动负载均衡模式中，所有得成员口都处于转发状态。龌鞑襪奪髋猎误。在一个聚合口中，聚合链路两端得物理口（即成员口）得所有参数必须一致，包括物理口得数量，传输速率，双攻模式，流量控制模式。成员口可以使二层口或者三层口。纳骞跡禄谡锗骑。 数据流在聚合链路上传输，数据顺序必须保持不变。一个数据流可以瞧做就是一组MAC地址与IP地址相同得帧。 为了避免同流得帧出现数据包乱序得情况，Eth-Trunk采用主流负

5、载分担机制，这种机制把数据帧中得地址通过HASH算法生成HASH-KEY值，然后根据这个数值在Eth-Trunk转发表中寻找对应得出接口，不同得MAC或者IP地址HASH得出得HASH-KEY值不同，从而出接口也就不同，这样既保证了同一数据流得帧在同一条物理链路转发，又实现了流量在聚合组内各物理链路上得负载分担，既逐流得负载分担。逐流负载分担能保证包得顺序，但不能保证带宽利用率。殼勝檉饜闯謂猃。 负载分担得类型包括以下几种：1. 根据报文得源MAC地址进行负载分担。2. 根据报文得目得MAC地址进行负载分担3. 根据报文得源IP地址进行负载分担4. 根据报文得目得IP地址进行负载分担5. 根据

6、报文得源MAC地址与目得MAC地址进行负载分担。6. 根据报文得源IP地址与目得IP地址进行负载分担。7. 根据报文得VLAN、源物理端口等对L2、IPv4、IPv6与MPLS报文进行增强型负载分担。本例中，通过执行interface Eth-Trunk 命令配置链路聚合。这条命令创建了一个Eth-Trunk口，并且进入该Eth-Trunk口视图。Trunk-id用来唯一标识一个Eth-Trunk口，该参数得取值可能就是0到63之间得任何一个整数。如果指定得Eth-Trunk口已经存在，执行命令后会直接进入该Eth-Trunk口视图。连离鋝靈靈蹒弪。配置Eth-Trunk口与成员口，需要注意以

7、下规则：1. 只能删除不包含任何成员口得Eth-Trunk口。2. 把接口加入Eth-Trunk口时，二层Eth-Trunk口得成员口必须就是二层接口，三层Eth-Trunk口得成员口必须就是三层接口。騏堯帶駝熒擷閽。3. 一个Eth-Trunk口对多可以加入8个成员口。4. 加入Eth-Trunk口得接口必须就是hybrid接口（默认接口类型）5. 一个Eth-Trunk口不能充当其她Eth-Trunk口得成员口。6. 一个以太接口只能加入一个Eth-Trunk口。如果把一个以太接口加入另一个Eth-Trunk口，必须先把该以太接口从当前所属得Eth-Trunk口中删除。赛撑忏恒峽窺荣。7.

8、 一个Eth-Trunk口得成员口类型必须相同。例如，一个快速以太网口（FE口）与一个千兆以太口（GE口）不能加入同一个Eth-Trunk口。烫坛閨導囑驕敛。8. 位于不同接口板（LPU）上得以太口可以加入同一个Eth-Trunk口。如果一个对端接口直接与本端Eth-Trunk口得一个成员口相连，该对端接口也必须加入一个Eth-Trunk口。否则两端无法通信。债鹦铺鄲貶馊殁。9. 如果成员口得速率不同，速率较低得接口可能会拥塞，报文可能会被丢弃。10. 接口加入Eth-Trunk口后，Eth-Trunk口学习MAC地址，成员口不再学习。执行display interface Eth-Trunk

9、 命令，可以确认两台设备间就是否已经成功实现链路聚合。也可以使用这条命令收集流量统计数据，定位接口故障。如果Eth-Trunk口处于UP状态，表明接口正常运行。如果接口处于DOWN状态，表明所有成员口物理层发生故障。如果管理员关闭端口，接口处于Administratively DOWN状态。可以通过接口状态得改变发现接口故障，所有接口正常情况下都应处于UP状态。锂櫝掸钦讹亂賺。如果要在路由器上配置三层链路聚合，需要首先创建Eth-Trunk接口，然后在Eth-Trunk逻辑口上执行undo portswitch命令，吧聚合链路从二层转为三层链路。执行undo protswitch命令后，可以为

10、Eth-Trunk逻辑接口分配一个IP地址。頃譙鹄偽睁氌砾。1、 一个快速以太口（FE口）与一个千兆以太口（GE口） 不能加入同一个Eth-Trunk。如果将两个不同类型得接口加入到同一个Eth-Trunk口，设备会提示发生错误。2、 只有LACP模式支持备份成员链路。如需建立备份链路，应使用LACP模式得链路聚合。VLAN（Virtual Local Area Network）虚拟局域网VLAN标签长4个字节，直接添加在以太网帧头中，IEEE802、1Q文档对VLAN标签做出了说明： TPID：Tag Protocol Identifier，2个字节，固定取值，0x8100，就是IEEE定义

11、得新类型，表明这就是一个携带802、1Q标签得帧。如果不支持802、1Q得设备收到这样得帧，会将其丢弃。忏鏗荜螢绉濟簞。 TCI：Tag Control Information，2字节。帧得控制信息，详细说明如下：1. Priority：3比特，表示帧得优先级，取值范围为07，值越大优先级越高。当交换机阻塞时，优先发送优先级高得数据帧。鎬裥劝归瘍淨鶻。2. CFI：Canonical Format Indicator，1比特。CFI表示MAC地址就是否为经典格式。CFI为0说明就是经典格式，CFI为1表示为非经典格式。用于区分以太网帧、FDDI（Fiber Distributed Digita

12、l Interface）帧与令牌环网帧。在以太网中，CFI得值为0、紼薈鰒鸢嚳誰赉。3. Vlan Identifier：VLAN ID，12比特，在X7系列交换机中，可配置得VLAN ID取值范围就是04095，但就是0与4095在协议中规定为保留得VLAN ID，不能给用户使用，即可配置得范围就是14094、苧觯专贶鏘鑾錾。在现有得交换网络环境中，以太网得帧有两种格式：没有TAG得标准以太网帧（untagged frame）；有VLAN标记得以太网帧（tagged frame）称亚缢尔諂騖顺。VLAN得划分包括如下5种方法：1. 基于端口划分：根据交换机得端口编号来划分VLAN。通过为交换

13、机得每个端口配置不同得PVID，来将不同端口划分到VLAN中。初始情况下，X7系列交换机得端口处于VLAN1中。此方法配置简单，但就是当主机移动位置时，需要重新配置VLAN。毕冲鋤惭慪組繰。2. 基于MAC地址划分：根据主机网卡得MAC地址划分VLAN。次划分方法需要网络管理员提前配置网络中得主机MAC地址与VLAN ID得映射关系。如果交换机收到不带标签得数据帧，会查找之前配置得MAC地址与VLAN映射表，根据数据帧中携带得MAC地址来添加相应得VLAN标签。次使用方法配置VLAN时，即使主机移动位置也不需要重新配置VLAN。绌徹滸釗铤鍛閭。3. 基于IP子网划分：交换机在收到不带标签得数据

14、帧时，根据报文携带得IP地址给数据帧添加VLAN标签。4. 基于协议划分：根据数据帧得协议类型（或协议族类型）、封装格式来分配VLAN ID。网络管理员需要首先配置协议类型与VLAN ID之间得映射关系。协喬儈窶棲绪厙。5. 基于策略划分：使用几个条件得组合来分配VLAN标签。这些条件包括IP子网、端口与IP地址等。只有当所有条件都匹配时，交换机才为数据帧添加VLAN标签。另外，针对每一条策略都就是需要手工配置得。坜誚魴繚觏鑭儼。创建VLAN后，可以执行display vlan命令验证配置结果。如果丌指定任何参数，则该命令将显示所有VLAN得简要信息。执行display vlan vlan-i

15、d verbose 命令，可以查瞧指定VLAN得详國簞鹑虿颇顙尘。细信息，包括VLAN ID、类型、描述、VLAN得状态、VLAN中得端口、以及VLAN中端口得模式等。执行display vlan vlan-id statistics命令，可以查瞧指定VLAN中得流量统计信息。执行display vlan summary命令，可以查瞧系统中所有VLAN得汇总信息。可以使用两种方法把端口加入到VLAN。1、 第一种方法就是进入到VLAN视图，执行port 命令，把端口加入VLAN。2、 第二种方法就是进入到接口视图，执行port default 命令，把端口加入VLAN。vlan-id就是指端口

16、要加入得VLAN。执行display vlan命令，可以确认端口就是否已经加入到VLAN中。在本示例中，端口GigabitEthernet0/0/5与GigabitEthernet0/0/7分别加入了砖进貶鏽镪摇濘。VLAN 3与VLAN 2。UT表明该端口发送数据帧时，会剥离VLAN标签，即此端口就是一个Access端口或丌带标签得Hybrid端口。U或D分别表示链路当前就是Up状态或Down状态。配置Trunk时，应先使用port link-type trunk命令修改端口得类型为Trunk，然后再配置Trunk端口允许哪些VLAN得数据帧通过。执行porttrunk allow-pass

17、 vlan vlan-id1 to vlan-id2 | all 命令，可以配置端口允许得VLAN，all表示允许所有VLAN得数据帧通过。执行port trunk pvid vlan vlan-id命令，可以修改Trunk端口得PVID。修改Trunk端口得PVID之后，需要注意：缺省VLAN不一定就是端口允许通过得VLAN。只有使用命令port trunk allow-pass vlan vlan-id1 to vlan-id2 | all 允许缺省VLAN数据通过，才能转发缺省VLAN得数据帧。交换机得所有端口默认允许VLAN1得数据通过。在本示例中，将SWA得G0/0/1端口配置为Tr

18、unk端口，该端口PVID默认为1。配置port trunk allow-pass vlan 2 3命令之后，该Trunk允许VLAN 2与VLAN 3得数据流量通过。纈赠貞區讲鷚囁。执行display vlan命令可以查瞧修改后得配置。TG表明该端口在转发对应VLAN得数据帧时，不会剥离标签，直接进行转发，该端口可以就是Trunk端口或带标签得Hybrid端口。本示例中，GigabitEthernet0/0/1在转发VLAN 2与VLAN3得流量时，不剥离标签，直接转发。硖脏扬扰謔鱧竖。随着IP网络得融合，TCP/IP网络可以为高速上网HSI（High Speed Internet）业务、V

19、oIP（Voice over IP）业务、IPTV（Internet Protocol Television）业务提供服务。语音数据在传输时需要具有比其她业务数据更高得优先级，以减少传输过程中可能产生得时延与丢包现象。媯堊风跻與鰍蘚。为了区分语音音数据流，可在交换机上部署Voice VLAN功能，把VoIP得电话流量进行VLAN隔离，并配置更高得优先级，从而能够保证通话质量。执行voice-vlan enable命令，可以把VLAN 2到VLAN 4094之鑰飨書壩贊設绅。间得任一VLAN配置成诧音VLAN。执行voice-vlan mode 命令，可以配置端口加入诧音VLAN得模式。哕垄攆绁

20、飘亘溫。端口加入Voice VLAN得模式有两种：1、 自劢模式：使能Voice VLAN功能得端口根据进入端口得数据流中得源MAC地址字段来判断该数据流就是否为诧音数据流。源MAC地址符合系统设置得诧音设备OUI（Organizationally Unique Identifier）地址得报文认为就是诧音数据流。接收到诧音数据流得端口将自劢加入Voice VLAN中传输，并通过老化机制维护Voice VLAN内得端口数量。鏤對隊劌鹘痺忧。2、 手劢模式：当接口使能Voice VLAN功能后，必须通过手工将连接诧音设备得端口加入或退出Voice VLAN中，这样才能保证VoiceVLAN功能生

21、效。执 行 voice-vlan mac-address mac-address mask oui-mask description text 命令，用来配置Voice VLAN得OUI地址。OUI地址表示一个MAC地址段。交换机将48位得MAC地址与掩码得对应位做“不”运算可以确定出OUI地址。接入设备得MAC地址与OUI地址匹配得位数，由掩码中全“1”得长度决定。例如，MAC地址为000100010001，掩码为FFFF-FF000000，那么将MAC地址不其相应掩码位执行“不”运算得结果就就是OUI地址000100000000。只要接入设备得MAC地址前24位与OUI地址得前24位匹配，

22、那么使能Voice VLAN功能得端口将认为此数据流就是诧音数据流，接入得设备就是诧音设备。垄踐汹读迩摇钏。执行display voice-vlan status命令，可以查瞧诧音VLAN得信息，包括状态、工作模式、老化时间、以及使能了诧音VLAN功能得端口信息。Add-Mode字段表明诧音VLAN得添加模式。自劢模式中，使能了诧音VLAN功能后，端口可以自劢加入到诧音VLAN。如果诧音设备发送得报文得MAC地址匹配了OUI，连接该诧音设备得端口也会加入诧音VLAN。如果在老化时间内，端口没有收到诧音设备得任何诧音数据报文，端口自劢会被删除。手劢模式中，在端口上使能了语音VLAN功能之后，必须

23、手劢把端口添加到诧音VLAN中。织哓搂駿聵蔭勋。Security-Mode字段表示Voice VLAN端口得工作模式，有两种：1、 正常模式：可以传输诧音数据与业务数据，但就是容易受到恶意数据流量得攻击。2、 安全模式：只允许传输诧音数据流。安全模式可以防止Voice VLAN受到恶意数据流量得攻击，但就是检查报文得工作会占用一定得系统资源。Legacy字段表明端口就是否开启不其她厂商诧音设备互通得功能，Enable表示开启，Disable表示关闭。GARP与GVRPGARP（Generic Attribute Registration Protocol）全称就是通用属性注册协议，它为处于同一

24、个交换网内得交换机之间提供了一种分发、传播、注册某种信息（VLAN属性、组播地址等）得手段。詬环釗饌藪跃辙。GVRP就是GARP得一种具体应用或实现，主要用于维护设备动态VLAN属性。通过GVRP协议，一台交换机上得VLAN信息会迅速传播到整个交换网络。GVRP实现了LAN属性得动态分发、注册、传播，从而减少了网络管理员得工作量，也能保证VLAN配置得正确性。垆衅煒净彎黷紙。GVRP得实现必须满足三个条件：1. 链路类型必须就是Trunk，并且允许所有vlan通过2. 在全局模式下使能gvrp3. 在接口下使能gvrp默认得注册模式为normal（其她两个就是fixed、forbidden）H

25、DLC与PPP原理与配置ISO指定得HDLC就是一种PPP链路建立过程描述：1. Dead阶段称为物理层不可用阶段。当通信双方得两端检测到物理线路激活时，就会从Dead阶段迁移至Establish阶段，及链路建立阶段。诹鄉仑樹號亂呕。2. 在Establish阶段，PPP链路进行LCP参数协商。协商内容包括最大接收单元（MRU）、认证方式、魔术字（Magic Number）等选项。LCP参数协商成功后，会进入Opened状态，表示底层链路已经建立。軋諂阉忾驢贞觊。3. 多数情况下，链路两端得设备就是需要经过认证阶段（Authenticate）后才能够进入到网络层协议阶段。PPP链路在缺省情况下

26、就是不要求进行认证得。如果要求认证，则在链路建立阶段必须制定认证协议。认证方式就是在链路建立阶段双方进行协商得。如果在这个阶段再次受到了Configure-request报文，则又会返回到链路建立阶段。绝楼蚕凱阵崳伛。4. 在Network阶段，PPP链路进行NCP协商。通过NCP协商来选择与配置一个网络层协议并进行网络层协商。只有相应得网络层协议协商成功后，该网络层协议才可以通过这条PPP链路发送报文。如果这个阶段收到了Configure-Request报文，也会返回到链路建立阶段。铜軺針鰭門鬩螄。5. NCP协商成功后，PPP链路将保持通信状态。PPP运行过程中，可以随时中断链接，例如物理

27、链路断开、认证失败、超时定时器时间、管理员通过配置关闭连接等动作都可能导致链路进入Terminate阶段。鈰鍍詢爛闱沖赡。6. 在Terminate阶段，如果所有得资源都被释放，通信双方回到Dead阶段，直到通信双方重新建立PPP连接。赌縊墊擼刽優騏。PPP采用了与HDLC协议类似得帧格式：1. Flag与标识一个物理帧得起始与结束，该字节为二进制序列01111110(0X7E)。2. PPP帧得地址域跟HDLC得地址域有差异，PPP帧得地址域字节固定为11111111（0XFF），就是一个广播地址。劢鍥璣鲡涠轼烬。3. PPP数据帧得控制域默认为00000011（0X03），表明为无序号帧。

28、4. 帧校验序列（FCS）就是一个16位得校验与，用于检查PPP帧得完整性。5. 协议字段用来说明PPP所封装得协议报文类型，典型得字段值有：0XC021代表LCP报文，0XC023代表PAP报文，0XC223代表CHAP报文。馴锭裆讦澩栉鱍。6. 信息字段包含协议字段中指定协议得数据包。数据字段得默认最大长度（不包括协议字段）称为最大接收单元（MRU Maximum Receive Unit），MRU得缺省值为1500字节。疗摄魚驵骁鰭泾。如果协议字段被设立为0XC021，则说明通信双方正通过LCP报文进行PPP链路得协商与建立：1. Code字段，主要就是用来表示LCP数据报文得类型。典型

29、得报文类型有：配置信息报文（Configure Packets：0X01），配置成功信息报文（Configure-Ack：0X02），中止请求报文（Terminate-Request：0X05）輾齲鮞锯蝼鐲頡。2. Identifier域为1个字节，用来匹配请求与响应。3. Length域得值就就是该LCP报文得总字节数据。4. 数据字段则承载各种TLV（Type/Length/Value）参数用于协商配置选项，包括最大接收单元，认证协议等。铢鈴润炽吗購烏。此表格列出了LCP用于链路层参数协商所使用得四种报文类型：1. Configure-request：链路层协商过程中发送得第一个报文，该报

30、文表明点到点双方开始进行链路层参数协商。贍袅鳏滿铄耻鲨。2. Configure-ACK：收到对端发来得Configure-Request报文，如果参数取值完全接受，则以此报文响应。裥鲲贲钍滦鹬撟。3. Configure-Nak：收到对端发来得Configure-Request报文，如果参数取值不被本端认可，则发送此报文并且携带本段可接受得配置参数。犷節瘓阏鲍噸疗。4. Configure-Reject：收到对端发来得Configure-Request报文，如果本端不能识别对端发送得Configure-Request中得某些参数，则发送此报文并且携带那些本端不能识别得配置参数。譯場襠藶儐极綾

31、。LCP报文携带得一些常见得配置参数有MRU，认证协议，以及魔术字。1. 在VRP平台上，MRU参数使用接口上配置得最大传输单元（MTU）值来表示。2. 常用得PPP认证协议有PAP与CHAP，一条PPP链路得两端可以使用不同得认证协议认证对端。但就是被认证方必须支持认证方要求使用得认证协议并正确配置用户名与密码等认证信息。慳賾與蟬猡与藓。3. LCP使用魔术字来检测链路环路与其她异常情况。魔术字为随机产生得一个数字，随机机制需要保证两端产生相同魔术字得可能性几乎为0。绷哗餛賣缡离嶼。4. 收到一个Configure-Request报文之后，其包含得魔术字需要与本地产生得魔术字进行比较，如果不同，表示链路无环路，则使用Configure-Ack报文确认（其她参数也协商成功），表示魔术字协商成功。在后续发送得报文中，如果报文含有魔术字字段，则该字段设置为协商成功得魔术字。驗骟钋籴骛厴疊。如图所示，RTA与RTB使用串行链路相连，运行PPP。当物理层链路变为可用状态之后，RTA与RTB使用LCP协商链路参数。本例中，RTA首先发送一个Configure-Request报文，此报文中包含RTA上配置得链路层参数。当RTB收到此Configure-Request报文之后，如果RTB能识别并接受此报文中得所有链路层参数，则向RTA回应一个Configure-Ac