51CTO下载H3CTE课堂笔记.docx

1、51CTO下载H3CTE课堂笔记H3CTE课堂笔记【吐血推荐 H3CTE考试零接触】1 第三章1.1 PPP1.1.1NCPNCP主要是IPCP地址协商（考点）RTA：intface seral 1/0ip add ppp-neog ip地址由ppp启动协商获得RTB：ip pool 1 202.0.0.6 202.0.0.100interface serial 1/0ip add 202.0.0.5 24remote address 202.0.0.6 (pool 1)启动分配地址功能PPP地址协商考点1：检查接受IP地址端设备是否启动PPP地址协商功能2、检查分配IP地址端是否启动了rem

2、ote address功能3、如果采用地址池分配，检查地址池配置模式是否正确1.2 VLANVLAN排障思路1、vlan二层功能：检查交换机是否创建了足够的vlan信息检查交换机二层接口vlan工作类型（access、trunk）对于access接口检查pvid属性配置（属于哪个vlan）对于trunk接口，检查pvid属性、permil vlan属性2、vlan三层功能：检查交换机是否创建了vlan-interface并配置三层属性（ip、vrrp、路由协议）检查路由器以太网子接口vlan id配置是否正确单臂路由1.3 STP（必考）MSTP主要参数1、域名一致（区分大小写）2、修订级别（

3、默认0即可）3、vlan与实例的映射关系举例SWA：stp enablesto mode mstpstp region-configurationregion-name h3c 创建域名instance 1 vlan 100 创建实例1映射vlan100instancd 2 vlan 200 创建实例2映射vlan200active region-configuration 激活生成树stp instance 1 root primary 作为实例1的主根stp instance 2 root secondaryintface bridge-aggre 1stp instance 1 cost

4、 1000 让一个端口的开销提高，修改根端口阻断某一条链路在拓扑中某些二层端口不需要开启stp：interface eth1/0/1stp disableinterface eth 1/0/2stp edged-port enable 启动边缘端口stp bpdu-protection 针对边缘端口的保护功能，避免bpdu报文攻击在拓扑中一些指定接口上启动根保护功能intface eth 1/0/10stp root-protection STP排查思路：1、检查MST域配置参数是否一致（域名、vlan实例映射关系）2、检查生成树启动状态以及启动模式3、根据题目要求检查生成树主根及被根设置是否

5、正确4、根据题目要求检查生成树阻断链路是否符合需求（stp cost）5、检查交换机某些二层端口是否需要关闭STP功能6、检查交换机某些二层端口是否需要设置为边缘端口，并且bpdu保护功能7、检查交换机某些二层端口是否需要启动根保护功能MSTP排查命令1、dispaly stp region-configruation检查配置2、dispaly stp3、dispaly stp brief显示接口角色、状态2 第四章 路由协议2.1 RIP故障诊断和排查考试的内容是RIP v1-v2，主要靠的是v1和v2之间的区别。不会作为主框架协议考试，但是会作为边缘化区域框架RIP由UDP520端口的报文

6、承载，如果网内做了包过滤策略，有可能会阻断RIP报文V2版本支持验证，v1不支持验证Rip1Version 2Undo summary 关闭自动愈合功能Interface e0/0Rip autentiation-mode md5 12345 验证必须配合版本2来使用对于版本1，要注意接口地址的子网掩码，子网掩码不一致会导致无法发布路由不同的版本会有兼容型问题，需要同一版本路由过滤：RTB创建过滤器Acl number2000Rule deny sou 10.1.1.0 0.0.0.255 缺点：不准确Rule per mit 第二种方法ip ip-prefix 1 deny 10.1.1.0

7、 24ip ip-prefix 1 permit 0.0.0.0 0 less 32 相当于anyrip1 filter-policy 2000 /ip-prefix 1 import应用过滤器rip 1import-route ospf cost 12 引入路由并且加入较大的cost值rip 1silent-interface vlan-interface 100 将某个接口设置为静默端口2.2 路由默认优先级static 60rip 100ospf 域内10ospf 域外150BGP ebgp255 ibgp 255 local 1302.3 OSPF排障Ip+89协议号为ospf报文，和

8、包过滤关系Ospf的路由验证：Ospf1 Area 1Auterntication-mod md5 在区域模式下启动验证Int e0/0Ospf authentication-mode md4 1 12345在接口下配置验证Hello报文包含的内容：1、router id 全网唯一的，不能冲突2、区域id 和区域属性，区域id不同不能建立邻居关系；相通区域，属性不一致也无法建立邻居关系3、计时器 Hello timer，即使其不同，也会影响邻居关系建立Dead 死亡时间Int e0/0Ospf hello-timer 3 改为3秒，死亡时间自动为4倍（默认10s）4、子网掩码，主要针对广播型链

9、路broadcast，如果是广播链路，子网掩码不一致，也会影响邻居关系的建立在以太网链路上的OSPF选择DR和BDRInt e0/0Ospfnetwork-type p2p修改链路类型为p2p，网络类型需要保持一致，尤其是在以太网上默认使用广播broadcast的情况下在以太网链路下，需要选择DR和BDR，需要依靠优先级。需要确认优先级不会全部为0Int e0/0Ospf dr-priority 0 注意优先级为0的情况2.3.1排障思想2.3.1.1域内排查1、检查ospf邻接关系是否正常建立检查ospf路由设备之间是否能够正常交互协议报文（与包过滤产生冲突，ip89报文）检查ospf验证配

10、置是否正确检查ospf设备router id是否冲突检查ospf区域ID以及区域属性配置是否一致（属性：stub、nssa）检查ospf hello计时器配置是否一致检查对于broadcast类型的链路，检查两端子网掩码配置是否一致检查ospf网络类型配置是否一致（P2P、broadcast）2、检查ospf路由计算是否符合题目选路要求检查ospf链路接口cost设置是否正确（检查路由表的时候要检查度量值和下一条）3、检查ospf路由是否加载到ip路由表中使用检查ip路由表中是否存在更低优先级的路由信息检查ospf时候应用了filter-policy来实现路由过滤，例：Acl numb 200

11、0Rule deny sou 10.1.1.0 0.0.0.255Rule permitOspf 1Filte-policy 2000 import (必须是import，此处的import只是指向ip路由表中加入的情况下)Area 1（应用到 域）使用的命令：1、检查邻居关系Display ospf peer2、检查参数Display curr config ospf检查进程下的配置Display ospf interface Display ospf routing检查能否计算出路由：下一条、路径开销等Display ospf lsdb检查lsa | router域内/summary域间/

12、ase域外Display iprouting 检查ip路由表中是否有路由域内选路考点：拓扑图见笔记本RT：去往vlan100Swa（lsa cost）累加上swa-rt 的cost=总体costSwb（lsa cost）累加上swb-rt的cost=总体cost以上情况会出现等价路由SwA：Interface vlan 100Ospf cost 100Interface vlan 200Ospf cost 200swB:Interface vlan 100Ospf cost 200Interface vlan 200Ospf cost 1002.3.1.2 域间排查主要排查ABRABR传递的路

13、由：lsa3类、5类主要看ABR上的什么功能来控制路由1、域间过滤对lsa3进行过滤，有两种方法实现方法1：Filter命令：检查过滤器规则配置是否符合过滤器要求，以及检查filter命令所应用的区域和方向之间的关系。ABR：Acl number 2000Rule 0 deny sou 源地址Rule 1 permitOspf 1Area 1Filter 2000 export另一个办法：Area 0 Filter 2000 import方法2：域间聚合过滤：主要检查abr-summary 所配置的聚合地址以及掩码是否符合题目过滤要求，以及not-advertise参数应用。Ospf 1Are

14、a 1Abr-summary 聚合地址（10.1.0.0 255.255.0.0）not-advertise2、特殊区域的控制：特殊区域的分类：为了降低常规区域处理的lsa的信息量Stub 域内设备需要统一配置Totally stub 在abr上实现，检查ABR设备是否应用了no-summary参数Nssa如果是nssa区域，内部是可以部署asbr的。主要检查abr设备上是否需要应用default-route-advertise参数。别的设备上用会出错Totally nssa 在ABR实现。检查ABR设备手否应用no-summary参数Stub：Ospf 1are 1 StubTotally

15、Stub：Ospf 1are 1 subStub no-summaryNssa Stub：Ospf 1are 1 nssanssa default-route-advertise 作为abr设备回向内部通告默认路由，需要根据题目要求判断Totally nssaOspf 1are 1 totally nssanssa no-summary3、ospf vlink-peer 虚连接需要考虑好在什么设备间建立虚连接Ospf vlink-peer 注意2个方面的检查根据拓扑结构，检查vlink功能需要应用于哪些设备检查vlink-peer命令是否指定对端设备的router id（不能使接口地址等）RT

16、COspf 1Area 1Vlink-peer 4.4.4.4(对端的router id，不是接口地址)双塔奇兵：子接口将路由同时宣告到域内用以增加域内的冗余性、域外用以解决次优路径问题。（top图见笔记本）4、检查ABR设备lsa路由计算是否符合题目选路要求。Spf算法计算lsa的选取原则：优选域内lsa计算再优选域间lsa计算次优选域外lsa计算对于域外，优选type1 lsa计算再优选type2 lsa计算2.3.1.3 域外排查（重点、难点）主要排查ASBR，lsa5类或者7类1、路由控制路由过滤：2种方法第1种方法：路由引入过滤：主要检查route-policy配置是否符合题目过滤要

17、求ASBR：Acl number 2000Rule 0 permit sou NRouter-policy aaa deny ond 10If-match acl 2000Router-policy aaa permit node 20Ospf 1Import-route rip/bgp route-policy aaa域外聚合过滤：主要检查asbr-summary所配置的聚合地址以及掩码，并检查not-advertise参数的应用ASBR：Ospf 1Asbr-summary 10.1.0.0 255.255.0.0 not-advertise第2种方法：路由选路主要检查router-pol

18、icy规则对于ospf外部路由的属性设置（cost、cost-type），以及route-policy所应用的ospf进程ASBR：Acl number 2000Rule 0 permit sou NRouter-policy aaa permit ond 10If-match acl 2000Apply cost 10Applycost-type type-1Router-policy aaa permit node 20Ospf 1Import-route rip/bgp route-policy aaa2、ASBR发布缺省路由检查default-route-advertise命令是否应用

19、always发布缺省路由ASBR：Ospf 1Default-route-advertise 开关，前提是路由表中已有默认路由（针对外网情况）Default-route-advertise always无论路由表中没有默认路由时使用2.4 BGP故障诊断和排除BGP处理路由的功能：不存在计算的算法，在处理路由的功能时，主要是传输路由。除此之外，还在传输的过程中实现对路由信息的控制。2.4.1 BGP排障思路：2.4.1.1传输路由排查BGP是在邻居关系之间传输，所以首先要建立邻居关系，可以传输BGP的报文TCP 179报文是单播的形式传播的单播：EBGP：验证RTABgp 100Peer 10

20、.1.1.2 as-number 200Peer 10.1.1.2 password sim 12345EBGP的多跳（跨越三层设备）（如果是gre VPN等情况，则不需要配置多跳）RTABgp 100Peer 10.1.1.2 as-number 200Peer 10.1.1.2 ebgp-max-hop 2IBGP路由反射需要配置路由反射器（非客户端之间是无法反射路由的，非客户端发来的路由，只能反射到路由反射器客户端，从客户端发来的可以反射到非客户端）为了避免星形拓扑环境，会配置冗余的路由反射器路由反射器需要配置自己的集群ID ：cluster-id如果没配置的话，当前的router id

21、就是cluster-id冗余反射器的配置需要配置多个邻居关系需要配置路由反射器客户端检查loopback地址为源接口的配置：RTABgp 100Peer 2.2.2.2 as-number 100 指定目的地址Peer2.2.2.2 connect-interface loopback 0与这个邻居所发起报文的源接口迭代查询（递归查询）IBGP会迭代到什么样的IGP路由？2.4.1.2控制路由排查共有六种属性：1、ORIGIN，起源属性，用来识别路由始发的特征，有三个参数值：IGP/EGP（已经不用了）/incompleteIGP使用network命令注入的命令Incomplete使用路由引入

22、的方式注入的信息起源属性可以选路，可以在始发路由器上采用不用的注入方式来修改起源属性如果必须统一使用一样的注入方式则必须手工赋值：C;Acl nuber 2000Rule 0 permit sou nRoute-policy aaa permit node 10If-math acl 2000Apply orgin incompleteRout-policy aaa permit node 20Bgp 200Peer B路由器 route-policy aaa import2、AS-PHTH属性：以堆栈的方式记载通过的AS通过一个AS就会记载AS字符可实现的功能：路由过滤：as-path-ac

23、l，用来识别as-path属性（字符串）的（正则表达式）使用as-pash-acl：sR6608：ip as-path acl 1 permit $ip as-path 1 ac 1 deny .*(这条是默认的，不需要配)应用到BGP：Bgp 541123Peer 电信 as-path-acl 1exportPeer 科技网 as-path-acl exportAs-path-acl还可以实现路由选路：（优选as-path最短的路径）通过修改as-path字段来实现路由选路，添加一个虚的as号进入到as-pathB路由器：Acl num 2000 rule 0 permit sou Nrou

24、te policy aaa perimit node 10if-math acl 2000apply as-path 500route-policy aaa permit node 20应用：Bgp 100Peer 路由器C route-policy aaa export3、下一跳属性：实现路由过滤：本地下一跳功能，用此功能来改变EBGP的下一跳B路由器：（图在笔记本上）Bgp 200Peer C路由器 next-hop-local 向C传递路由的时候使用本地下一跳4、local-pref（必考）：只在IBGP邻居关系上传递（应用在AS内部较多）Loca-pref默认值是100，优选最高的路由

25、B路由器Bgp 200Defaultlocal-pref 200所有的路由都做了修改无法针对个别路由修改Acl num 2000 rule 0 permit sou N 匹配业务N的路由route policy aaa perimit node 10if-math acl 2000apply local-pref 200route-policy aaapermit node 20应用：Bgp 200Peer D路由器 route-policy aaa export 5、MED（必考）：只在EBGP邻居上传递1跳，MED默认值为0，优选最低的路由B路由器：Acl num 2001 rule 0

26、permit sou Mroute policy bbb perimit node 10if-math acl 2001apply cost(此处使用cost来配置med值) 10router-policy bbb permit nod 20Bgp 200Peer A路由器 route-policy bbb export C路由器(修改为20)6、preferred-value优先值属性（H3C私有），优选最大的：只在H3C本地BGP路由表中存在A路由器：Bgp 200peer ISP1(运营商1) preferred-value 200peer ISP2(运营商2) preferred-va

27、lue 100针对个别路由的选路：Acl num 2000 rule 0 permit sou N 匹配业务N的路由route policy aaa perimit node 10if-math acl 2000apply preferred-vaule 50Bgp 200peer ISP1(运营商1) route-policy aaa import2.4.2 考点2.4.2.1传输路由排查检查BGP邻居关系建立是否正常检查bgp设备是否可以交互BGP报文（与包过滤产生的冲突-TCP 179：BGP报文）EBGP邻居关系检查EBGP验证配置是否一致检查EBGP邻居关系是否需要配置多跳功能IBG

28、P邻居关系：根据题目要求，检查IBGP拓扑结构（全互联、路由反射）检查IBGP邻居关系应用loopback接口地址建立配置（connect-interface）检查IBGP路由下一跳地址所跌倒到的IGP路由信息是否符合题目选路要求检查BGP路由注入是否正确路由引入方式：检查router-policy规则对于路由信息所应用过滤动作，以及所应用的apply动作设置BGP路由属性Network命令发布方式：检查network命令所指定的地址及掩码在ip路由表中是否存在精确匹配的路信息TRA：Bgp 100Network 10.1.1.0 255.255.255.0 (必须和ip路由表中匹配的，必须一

29、样)检查network命令是否应用了route-policy对于注入路由进行属性赋值，来实现选路要求TRA：Bgp 100Network 10.1.1.0 255.255.255.0 route-policy 检查BGP邻居的路由设备是否学习到BGP路由，并加载到IP路由表中使用。BGP只把自己使用的路由器通告给邻居检查ip路由表中是否存在较低路由优先级的路由信息。检查BGP路由是否在邻居的路由表中是最佳路由信息*2.4.2.2控制路由排查主要涉及到的是路由属性1、origin起源属性：检查route-policy规则对于起源属性的赋值，以及route-policy所应用的邻居和方向2、as-

30、path-acl：路由过滤：检查as-path-acl规则中正则表达式配置是否符合过滤要求，以及as-path-acl所应用的邻居和方向路由选路：检查route-policy对于as-path属性的赋值是否正确，以及route-policy所应用的邻居和方向3、下一跳属性：根据题目要求检查EBGP互联网段地址是否允许在as内部发布如果EBGP互联地址不允许在as内部发布，检查是否应用本地下一跳功能4、检查route-policy规则对于local-pref或MED属性的赋值是否符合选路要求，以及route-policy所应用的邻居和方向2.4.3 BGP排查命令1、排查邻居关系display bgp peer 查看状态idle状态：说明邻居配置了，但是不能向邻居发出报文，因为ip路由表中没有发送的路由检查在IP路由表中是否