华为vrrp配置实例_华为vrp是基于linux的吗
绝了!华为、H3C、锐捷交换机配置命令大全
6、端口配置华为交换机基础配置命令
华为vrrp配置实例_华为vrp是基于linux的吗
华为vrrp配置实例_华为vrp是基于linux的吗
[H3C-Aux]idle-timeout //设置超时为2分50秒,若为0则表示不超时,默认为5分钟
常用命令视图
常用视图名称
进入视图
视图功能
用户视图
用户从终端成功登录至设备即进入用户视图,在屏幕上显示: 在用户视图下,用户可以完成查看运行状态和统计信息等功能。 系统视图 在用户视图下,输入命令-view后回车,进入系统视图。 在系统视图下,用户可以配置系统参数以及通过该视图进入其他的功能配置视图。 接口视图 使用intece命令并指定接口类型及接口编号可以进入相应的接口视图。[HUAWEI] intece gigabiternet X/Y/Z[HUAWEI-GigabitEthernetX/Y/Z] 配置接口参数的视图称为接口视图。在该视图下可以配置接口相关的物理属性、链路层特性及IP地址等重要参数。 路由协议视图 在系统视图下,使用路由协议进程运行命令可以进入到相应的路由协议视图。[HUAWEI]OSPF[HUAWEI-ospf-1] 路由协议的大部分参数是在相应的路由协议视图下进行配置的。例如IS-IS协议视图、OSPF协议视图、RIP协议视图。 1、创建VLAN [Huawei]vlan 100 //创建vlan 100。 [Huawei-vlan100]quit //退回系统视图。 2、将端口加入到vlan中 [Huawei] intece GigabitEthernet2/0/1 //(10G光口) [Huawei- GigabitEthernet2/0/1] port link-type access //定义端口传输模式 [Huawei- GigabitEthernet2/0/1] port default vlan 100 //将端口加入vlan100 [Huawei- GigabitEthernet2/0/1] quit //回到接口视图 [Huawei] intece GigabitEthernet1/0/0 //进入1号插槽上的个千兆网口接口视图中。0代表1号口 [Huawei- GigabitEthernet1/0/0] port link-type access //定义端口传输模式 [Huawei- GigabitEthernet2/0/1] port default vlan 10 //将这个端口加入到vlan10中 [Huawei- GigabitEthernet2/0/1] quit 3、将多个端口加入到VLAN中 [Huawei]vlan 10 [Huawei-vlan10]port GigabitEthernet 1/0/0 to 1/0/29 //将0到29号口加入到vlan10中 [Huawei-vlan10]quit 4、交换机配置IP地址 [Huawei] intece Vlanif100 // 进入vlan100接口视图与vlan 100命令进入的地方不同 [Huawei-Vlanif100] ip address 192.168.1.1 255.255.255.0 // 定义vlan100管理IP三层 交换路由 [Huawei-Vlanif100] quit //返回视图 [Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 //配置默认。 6、交换机保存设置和重置命令 7、交换机常用的显示命令 用户视图模式下: 二、H3C交换机的基本配置 1、基本配置 2、用户配置 [H3C]super password H3C //设置用户分级密码 [H3C]undo superpassword //删除用户分级密码 [H3C]localuser bigheap 1234561 //Web网管用户设置,1为管理级用户 [H3C]undo localuser bigheap //删除Web网管用户 [H3C]user-intece aux 0 //只支持0 [H3C-Aux]undoidle-timeout //恢复默认值 [H3C]user-intece vty 0 //只支持0和1 [H3C-vty]idle-timeout //设置超时为2分50秒,若为0则表示不超时,默认为5分钟 [H3C-vty]undoidle-timeout //恢复默认值 [H3C-vty]undo set authentication password //取消密码 [H3C]displayusers //显示用户 [H3C]displayuser-intece //用户界面状态 3、vlan配置 [H3C]vlan 2 //创建VLAN2 [H3C]undo vlan all //删除除缺省VLAN外的所有VLAN,缺省VLAN不能被删除 [H3C-vlan2]port Ethernet 0/4 to Ethernet0/7 //将4到7号端口加入到VLAN2中,此命令只能用来加access端口,不能用来增加trunk或者hybrid端口 [H3C-vlan2]port-isolate enable //打开VLAN内端口隔离特性,不能二层转发, 默认不启用该功能 [H3C]display vlan all // 显示所有VLAN的详细信息 [H3C]user-group 20 //创建user-group 20,默认只存在user-group 1 [H3C-UserGroup20]port Ethernet 0/4 toEthernet 0/7 // 将4到7号端口加入到VLAN20中, 初始时都属于user-group 1中 [H3C]display user-group 20 //显示user-group 20的相关信息 4、交换机IP配置 [H3C]vlan 20 // 创建vlan [H3C]intece vlan-intece 20 // 进入并管理vlan20 [H3C]undo intece vlan-intece 20 //删除管理VLAN端口 [H3C-Vlan-intece20]ip address192.168.1.2 255.255.255.0 // 配置管理VLAN接口静态IP地址 [H3C-Vlan-intece20]undo ipaddress //删除IP地址 [H3C-Vlan-intece20]undo ip gateway [H3C-Vlan-intece20]shutdown // 关闭接口 [H3C-Vlan-intece20]undo shutdown //开启 [H3C]display ip //显示管理VLAN接口IP的相关信息 [H3C]display intece vlan-intece20 //查看管理VLAN的接口信息 5、DHCP客户端配置 [H3C-Vlan-intece20]ip address dhcp-alloc // 管理VLAN接口 通过DHCP方式获取IP地址 [H3C-Vlan-intece20]undo ip address dhcp-alloc // 取消 [H3C]display dhcp //显示DHCP客户信息 [H3C]intece Ethernet0/3 //进入端口 [H3C-Ethernet0/3]shutdown //关闭端口 [H3C-Ethernet0/3]speed 100 //速率可为10,100,1000和auto(缺省) [H3C-Ethernet0/3]duplexfull // 双工,可 为half,full和auto,光口和汇聚后不能配置 [H3C-Ethernet0/3]flow-control // 开启流控,默认为关闭 [H3C-Ethernet0/3]broadcast-suppression 20 //设置抑制广播百分比为20%,可取5,10,20,100,缺省为100,同时组播和未知单播也受此影响 [H3C-Ethernet0/3]loopback internal //内环测试 [H3C-Ethernet0/3]port link-type trunk //设置链路的 类型为trunk [H3C-Ethernet0/3]port trunk pvid vlan 20 //设置20为该trunk的缺省VLAN,默认为1(trunk线路两端的PVID必须一致) [H3C-Ethernet0/3]port access vlan 20 //将当前 access端口加入指定的VLAN [H3C-Ethernet0/3]port trunk permit vlan all //允许 所有的VLAN通过当前的trunk端口, 可多次使用该命令 [H3C]link-aggregation Ethernet 0/1 to Ethernet 0/4 // 将1-4口加入汇聚组, 1为主端口,两端需要同时配置,设置了端口镜像以及端口隔离的端口无法汇聚 [H3C]undo link-aggregation Ethernet 0/1 //删除该汇聚组 [H3C]link-aggregation mode egress //配置端口汇聚模式为根据目的MAC地址进行负荷分担,可选为 ingress,egress和both,缺省为both [H3C]monitor-port Ethernet 0/2 // 将该端口设置为镜像端口 ,必须先设置镜像端口,删除时必须先删除被镜像端口,而且它们不能同在一个端口,该端口不能在汇聚组中,设置新镜像端口时,新取代旧,被镜像不变 [H3C]roring-port Ethernet 0/3 toEthernet 0/4 both //将 端口3和4设置为被镜像端口 ,both为同时接收和发送的报文,inbound表示仅接收的报文,outbound表示仅发送的报文 [H3C]display ror [H3C]display intece Ethernet 0/3 1、基础命令 (config)# hostname switchA //配置设备名称为switchA (config)#banner motd & //配置每日提示信息 &为终止符 (config)#enable secret ll 1 0 star //配置远程登陆密码为star (config)#enable secret ll 15 0 star //配置特权密码为star Ll 1为普通用户级别,可选为1~15,15为权限级别;0表示密码不加密 (config)#enable servs web-server //开启交换机WEB管理功能 Servs 可选以下:web-server(WEB管理)、net-server(远程登陆)等 2、查看信息 3、端口基本配置 (config)#Intece fasternet 0/3 //进入F0/3的端口配置模式 (config)#intece range fa 0/1-2,0/5,0/7-9 //进入F0/1、F0/2、F0/5、F0/7、F0/8、F0/9的端口配置模式 (config-if)#speed 10 //配置端口速率为10M,可选10,100,auto (config-if)#duplex full //配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应) (config-if)#no shutdown //开启该端口 (config-if)#switchport access vlan 10 //将该端口划入VLAN10中,用于VLAN (config-if)#switchport mode trunk //将该端口设为trunk模式,可选模式为access , trunk (config-if)#port-group 1 //将该端口划入聚合端口AG1中,用于聚合端口 4、端口聚合配置 (config)# intece aggregateport 1 //创建聚合接口AG1 (config-if)# switchport mode trunk //配置并保证AG1为 trunk 模式 (config)#int f0/23-24 (config-if-range)#port-group 1 //将端口(端口组)划入聚合端口AG1中 5、生成树 配置多生成树协议: switch(config)#spanning-tree //开启生成树协议 switch(config)#spanning-tree mst configuration //建立多生成树协议 switch(config-mst)#name ruijie //命名为ruijie switch(config-mst)#revision 1 //设定校订本为1 switch(config-mst)#instance 0 vlan 10,20 //建立实例0 switch(config-mst)#instance 1 vlan 30,40 //建立实例1 switch(config)#spanning-tree mst 0 priority 4096 //设置优先级为4096 switch(config)#intece vlan 10 switch(config-if)#vrrp 1 ip 192.168.10.1 //此为vlan 10的IP地址 switch(config)#intece vlan 20 switch(config-if)#vrrp 1 ip 192.168.20.1 //此为vlan 20的IP地址 switch(config)#intece vlan 30 switch(config)#intece vlan 40 switch(config-if)#vrrp 2 ip 192.168.40.1 //此为vlan 40的IP地址(另一三层交换机) 6、vlan的基本配置 (config)#vlan 10 //创建VLAN10 (config-vlan)#name vlanname // 命名VLAN为vlanname (config-if)#switchport access vlan 10 //将该端口划入VLAN10中 某端口的接口配置模式下进行 (config)#intece vlan 10 //进入VLAN 10的虚拟端口配置模式 (config-if)# ip address 192.168.1.1 255.255.255.0 //为VLAN10的虚拟端口配置IP及掩码,二层交换机只能配置一个IP,此IP是作为管理IP使用,例如,使用Telnet的方式登录的IP地址 (config-if)# no shutdown //启用该端口 7、端口安全 (config)# intece fasternet 0/1 //进入一个端口 (config-if)# switchport port-security //开启该端口的安全功能 a、配置连接数限制 (config-if)# switchport port-secruity maxmum 1 //配置端口的连接数为1,连接数为128 (config-if)# switchport port-secruity violation shutdown //配置安全违例的处理方式为shutdown,可选为protect (当安全地址数满后,将未知名地址丢弃)、restrict(当违例时,发送一个Trap通知)、shutdown(当违例时将端口关闭,并发送Trap通知,可在全局模式下用errdisable recovery来恢复) b、IP和MAC地址绑定 (config-if)#switchport port-security mac-address xxxx.xxxx.xxxx ip-address 172.16.1.1 //接口配置模式下配置MAC地址xxxx.xxxx.xxxx和IP172.16.1.1进行绑定(MAC地址注意用小写) 8、三层路由功能(针对三层交换机) (config)# ip routing //开启三层交换机的路由功能 (config)# intece fasternet 0/1 (config-if)# no switchport //开启端口的三层路由功能(这样就可以为某一端口配置IP) (config-if)# ip address 192.168.1.1 255.255.255.0 (config-if)# no shutdown 9、三层交换机路由协议 (config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 //配置静态路由 注:172.16.1.0 255.255.255.0 //为目标网络的网络号及子网掩码 172.16.2.1 为下一跳的地址,也可用接口表示,如ip route 172.16.1.0 255.255.255.0 serial 1/2(172.16.2.0所接的端口) (config)# router rip //开启RIP协议进程 (config-router)# network 172.16.1.0 //宣告本设备的直连网段信息 (config-router)# version 2 //开启RIP V2,可选为version 1(RIPV1)、version 2(RIPV2) (config-router)# no auto-summary //关闭路由信息的自动汇总功能(只有在RIPV2支持) (config)# router ospf 1 //开启OSPF路由协议进程(针对1,需要加OSPF进程ID) (config-router)# network 192.168.1.0 0.0.0.255 area 0 //宣告直连网段信息,并分配区域号(area0为骨干区域) 虚拟路由器冗余协议 (VRRP:Virtual Router Redundancy Protocol) 虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。 使用 VRRP ,可以通过手动或 DHCP 设定一个虚拟 IP 地址作为默认路由器。虚拟 IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟 IP 地址就会映射到一个备份路由器的 IP 地址(这个备份路由器就成为了主路由器)。 VRRP 也可用于负载均衡。 VRRP 是 IPv4 和 IPv6 的一部分。 VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协 议。通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10.100.10.1), 这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器 RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段 内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。 VRRP 就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以 太网)设计。我们结合下图来看一下VRRP 的实现原理。VRRP 将局域网的一组路 由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个 虚拟路由器,称之为一个备份组。 这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的 某个路由器的接口地址相同),备份组内的路由器也有自己的IP 地址(如Master 的IP 地址为10.100.10.2,Backup 的IP 地址为10.100.10.3)。局域网内的主机仅 仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的 IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它们将自己的缺省 路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机 就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏 掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内 的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。 关于VRRP 协议的详细信息,可以参考RFC 2338。 一、 应用实例 典型的VRRP应用:RTA、RTB组成一个VRRP路由器组,设RTB的处[H3C]mament-vlan 20 //管理vlan理能力高于RTA,则将RTB配置成IP地址所有者,H1、H2、H3的默认设定为RTB。则RTB成为主控路由器,负责ICMP重定向、ARP应答和IP报文的转发;一旦RTB失败,RTA立即启动切换,成为主控,从而保证了对客户透明的安全切换。 在VRRP应用中,RTA在线时RTB只是作为后备,不参与转发工作,闲置了路由器RTA和链路L1。通过合理的网络设计,可以到达备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组:在组1中RTA为IP地址所有者;组2中RTB为IP地[H3C-Vlan-intece20]ip gateway 192.168.1.1 //指定缺省(默认无地址)址所有者。将H1的默认设定为RTA;H2、H3的默认设定为RTB。这样,既分担了设备负载和网络流量,又提高了网络可靠性。 VRRP协议的工作机理与CISCO公司的HSRP(Hot Standby Routing Protocol)有许多相似之处。但二者主要的区别是在CISCO的HSRP中,需要单独配置一个IP地址作为虚拟路由器对外体现的地址,这个地址不 首先S3352后缀是-EI的交换机才能支持VRRP,配置vrrp之后必须配合MSA. VGMP管理组与VRRP备份组之间使用VGMP Hello报文通信TP才能达到效果。PS: 因为下联的交换机都是双链路上联到两个做VRRP的核心交换机的。 对于 华为、H3C、锐捷 交换机的命令配置,三家交换机的配置命令容易弄混,经常在实际项目配置中出错,因此,本期我把这三家交换机的基础配置命令显示在这里,大家可以分别来看下他们的命令有什么不同。 为了让大家更加清楚,每行代码都有解释。 一、华为交换机基础配置命令 1、创建vlan: //用户视图,也就是在Quidway模式下运行命令。 -view //进入配置视图 [Quidway] vlan 10 //创建vlan 10,并进入vlan10配置视图,如果vlan10存在就直接进入vlan10配置视图 [Quidway-vlan10] quit //回到配置视图 [Quidway] vlan 100 //创建vlan 100,并进入vlan100配置视图,如果vlan10存在就直接进入vlan100配置视图 [Quidway-vlan100] quit //回到配置视图 2、将端口加入到vlan中: [Quidway] intece GigabitEthernet2/0/ // (10G光口) [Quidway- GigabitEthernet2/0/1] port link-type access //定义端口传输模式 [Quidway- GigabitEthernet2/0/1] port default vlan 100 //将端口加入vlan100 [Quidway- GigabitEthernet2/0/1] quit //回到配置视图 [Quidway] intece GigabitEthernet1/0/0 //进入1号插槽上的个千兆网口配置视图中。0代表1号口 [Quidway- GigabitEthernet1/0/0] port link-type access //定义端口传输模式 [Quidway- GigabitEthernet2/0/1] port default vlan 10 //将这个端口加入到vlan10中 [Quidway- GigabitEthernet2/0/1] quit //退出 3、将多个端口加入到VLAN中 -view [Quidway]vlan 10 [Quidway-vlan10]port GigabitEthernet 1/0/0 to 1/0/29 //将0到2[H3C-vty]set authentication password123456 //设置net密码,必须设置9号口加入到vlan10中 [Quidway-vlan10]quit 4、交换机配置IP地址 [Quidway] intece Vlanif100 // 进入vlan100接口视图与vlan 100命令进入的地方不同 [Quidway-Vlanif100] ip address 119.167.200.90 255.255.255.252 // 定义vlan100管理IP三层 交换路由 [Quidway-Vlanif100] quit //返回视图 [Quidway] intece Vlanif10 // 进入vlan10接口视图与vlan 10命令进入的地方不同 [Quidway-Vlanif10] ip address 119.167.206.129 255.255.255.128 // 定义vlan10管理IP三层交换路由 [Quidway-Vlanif10] quit 5、配置默认: [Quidway]ip route-static 0.0.0.0 0.0.0.0 119.167.200.89 //配置默认。 6、 交换机保存设置和重置命令 se //保存配置信息 reset sed-configuration //重置交换机的配置 reboot //重新启动交换机 7、交换机常用的显示命令 用户视图模式下: display current-configuration //显示现在交换机正在运行的配置明细 display dev //显示各设备状态 display intece ? //显示个端口状态,用?可以查看后边跟的选项 display version //查看交换机固件版本信息 display vlan ? // 查看vlan的配置信息 8、恢复交换机出厂设置 reset sed-configuration //重置交换机的配置 二、H3C交换机的基本配置 我们先来了解下h3c的配置命令与功能,都是常用的,基本上大部分网络配置都少不了这些命令。 1、基本配置 //用户直行模式提示符,用户视图 -view //进入配置视图 2、用户配置 -view [H3C]super password H3C //设置用户分级密码 [H3C]undo superpassword //删除用户分级密码 [H3C]localuser bigheap 1234561 //Web网管用户设置,1为管理级用户 [H3C]undo localuser bigheap //删除Web网管用户 [H3C]user-intece aux 0 //只支持0 [H3C-Aux]undoidle-timeout //恢复默认值 [H3C]user-intece vty 0 //只支持0和1 [H3C-vty]idle-timeout //设置超时为2分50秒,若为0则表示不超时,默认为5分钟 [H3C-vty]undoidle-timeout //恢复默认值 [H3C-vty]undo set authenticationpassword //取消密码 [H3C]displayusers //显示用户 [H3C]displayuser-intece //用户界面状态 3、vlan配置 [H3C]vlan 2 //创建VLAN2 [H3C]undo vll //删除除缺省VLAN外的所有VLAN,缺省VLAN不能被删除 [H3C-vlan2]port Ethernet 0/4 to Ethernet0/7 //将4到7号端口加入到VLAN2中,此命令只能用来加access端口,不能用来增加trunk或者hybrid端口 [H3C-vlan2]port-isolate enable //打开VLAN内端口隔离特性,不能二层转发,默认不启用该功能 [H3C-Ethernet0/4]port-isolate uplink-portvlan 2 //设置4为VLAN2的隔离上行端口,用于转发二层数据,只能配置一个上行端口,若为trunk,则建议允许所有VLAN通过,隔离不能与汇聚同时配置 [H3C]display vlan all //显示所有VLAN的详细信息 [H3C]user-group 20 //创建user-group 20,默认只存在user-group 1 [H3C-UserGroup20]port Ethernet 0/4 toEthernet 0/7 //将4到7号端口加入到VLAN20中,初始时都属于user-group 1中 [H3C]display user-group 20 //显示user-group 20的相关信息 4、交换机ip配置 [H3C]vlan 20 //创建vlan [H3C]intece vlan-intece 20 //进入并管理vlan20 [H3C]undo intece vlan-intece 20 //删除管理VLAN端口 [H3C-Vlan-intece20]ip address192.168.1.2 255.255.255.0 //配置管理VLAN接口静态IP地址 [H3C-Vlan-intece20]undo ipaddress //删除IP地址 [H3C-Vlan-intece20]undo ip gateway [H3C-Vlan-intece20]shutdown //关闭接口 [H3C-Vlan-intece20]undo shutdown //开启 [H3C]display ip //显示管理VLAN接口IP的相关信息 [H3C]display intece vlan-intece20 //查看管理VLAN的接口信息 undo debugging ip 5、DHCP客户端配置 [H3C-Vlan-intece20]ip address dhcp-alloc // 管理VLAN接口通过DHCP方式获取IP地址 [H3C-Vlan-intece20]undo ip address dhcp-alloc // 取消 [H3C]display dhcp //显示DHCP客户信息 debugging dhcp-alloc //开启DHCP调试功能 undo debugging dhcp-alloc [H3C]intece Ethernet0/3 //进入端口 [H3C-Ethernet0/3]shutdown //关闭端口 [H3C-Ethernet0/3]speed 100 //速率可为10,100,1000和auto(缺省) [H3C-Ethernet0/3]duplexfull //双工,可为half,full和auto,光口和汇聚后不能配置 [H3C-Ethernet0/3]flow-control //开启流控,默认为关闭 [H3C-Ethernet0/3]broadcast-suppression 20 //设置抑制广播百分比为20%,可取5,10,20,100,缺省为100,同时组播和未知单播也受此影响 [H3C-Ethernet0/3]loopback internal //内环测试 [H3C-Ethernet0/3]port link-type trunk //设置链路的类型为trunk [H3C-Ethernet0/3]port trunk pvid vlan 20 //设置20为该trunk的缺省VLAN,默认为1(trunk线路两端的PVID必须一致) [H3C-Ethernet0/3]port access vlan 20 //将当前access端口加入指定的VLAN [H3C-Ethernet0/3]port trunk permit vll //允许所有的VLAN通过当前的trunk端口,可多次使用该命令 [H3C-Ethernet0/3]mdiauto //设置以太端口为自动监测,normal为直通线,across为交叉线 [H3C]link-aggregation Ethernet 0/1 toEthernet 0/4 //将1-4口加入汇聚组,1为主端口,两端需要同时配置,设置了端口镜像以及端口隔离的端口无法汇聚 [H3C]undo link-aggregation Ethernet 0/1 //删除该汇聚组 [H3C]link-aggregation mode egress //配置端口汇聚模式为根据目的MAC地址进行负荷分担,可选为 ingress,egress和both,缺省为both [H3C]monitor-port Ethernet 0/2 //将该端口设置为镜像端口,必须先设置镜像端口,删除时必须先删除被镜像端口,而且它们不能同在一个端口,该端口不能在汇聚组中,设置新镜像端口时,新取代旧,被镜像不变 [H3C]roring-port Ethernet 0/3 toEthernet 0/4 both //将端口3和4设置为被镜像端口,both为同时接收和发送的报文,inbound表示仅接收的报文,outbound表示仅发送的报文 [H3C]display ror [H3C]display intece Ethernet 0/3 resetcounters //清除所有端口的统计信息 [H3C]display link-aggregation Ethernet0/3 //显示端口汇聚信息 [H3C-Ethernet0/3]virtual-cable-test //诊断该端口的电路状况 7、qos优先级配置 QoS配置步骤:设置端口的优先级,设置交换机信任报文的优先级方式,队列调度,端口限速 [H3C-Ethernet0/3]priority 7 //设置端口优先级为7,默认为0 [H3C]priority-trustcos //设置交换机信任报文的优先级方式为cos(802.1p优先级,缺省值),还可以设为dscp方式 [H3C]queue-scheduler hq-wrr 2 4 6 8 //设置队列调度算法为HQ-WRR(默认为WRR),权重为2,4,6,8 [H3C-Ethernet0/3]line-rate inbound 29 //将端口进口速率限制为2Mbps,取1-28时,速率为rate81024/125,即64,128,192...1.792M; 29-127时,速率为(rate-27)1024,即2M,3M,4M...100M。 [H3C]displayqueue-scheduler //显示队列调度模式及参数 [H3C]displaypriority-trust //显示优先级信任模式 连接上交换机后,肯定是需要进行命令配置,我们来看下基础命令配置。 1、准备命令 >Enable //进入特权模式 #Exit //返回上一级作模式 #End //返回到特权模式 #copy running-config startup-config //保存配置文件 #del flash:config.text //删除配置文件(交换机及1700系列路由器) #erase startup-config //删除配置文件(0系列路由器) #del flash:vlan.dat //删除Vlan配置信息(交换机) #Configure terminal //进入全局配置模式 (config)# hostname switchA //配置设备名称为switchA (config)#banner motd & //配置每日提示信息 &为终止符 (config)#enable secret ll 1 0 star //配置远程登陆密码为star (config)#enable secret ll 15 0 star //配置特权密码为star Ll 1为普通用户级别,可选为1~15,15为权限级别;0表示密码不加密 (config)#enable servs web-server //开启交换机WEB管理功能 Servs 可选以下:web-server(WEB管理)、net-server(远程登陆)等 2、查看信息 #show running-config //查看当前生效的配置信息 #show intece fasternet 0/3 //查看F0/3端口信息 #show intece serial 1/2 //查看S1/2端口信息 #show intece //查看所有端口信息 #show ip intece brief //以简洁方式汇总查看所有端口信息 #show ip intece //查看所有端口信息 #show version //查看版本信息 #show mac-address-table //查看交换机当前MAC地址表信息 #show running-config //查看当前生效的配置信息 #show vlan //查看所有VLAN信息 #show vlan id 10 //查看某一VLAN (如VLAN10)的信息 #show intece fasternet 0/1 //查看某一端口模式(如F 0/1) #show aggregateport 1 summary //查看聚合端口AG1的信息 #show spanning-tree //查看生成树配置信息 #show spanning-tree intece fasternet 0/1 //查看该端口的生成树状态 #show port-security //查看交换机的端口安全配置信息 #show port-security address //查看地址安全绑定配置信息 #show ip access-lists listname //查看名为listname的列表的配置信息 3、端口的基本配置 (config)#Intece fasternet 0/3 //进入F0/3的端口配置模式 (config)#intece range fa 0/1-2,0/5,0/7-9 //进入F0/1、F0/2、F0/5、F0/7、F0/8、F0/9的端口配置模式 (config-if)#speed 10 //配置端口速率为10M,可选10,100,auto (config-if)#duplex full //配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应) (config-if)#no shutdown //开启该端口 (config-if)#switchport access vlan 10 //将该端口划入VLAN10中,用于VLAN (config-if)#switchport mode trunk //将该端口设为trunk模式,可选模式为access , trunk (config-if)#port-group 1 //将该端口划入聚合端口AG1中,用于聚合端口 4、聚合端口的创建 (config)# intece aggregateport 1 //创建聚合接口AG1 (config-if)# switchport mode trunk //配置并保证AG1为 trunk 模式 (config)#int f0/23-24 (config-if-range)#port-group 1 //将端口(端口组)划入聚合端口AG1中 5、生成树 配置多生成树协议: switch(config)#spanning-tree //开启生成树协议 switch(config)#spanning-tree mst configuration //建立多生成树协议 switch(config-mst)#name ruijie //命名为ruijie switch(config-mst)#revision 1 //设定校订本为1 switch(config-mst)#instance 0 vlan 10,20 //建立实例0 switch(config-mst)#instance 1 vlan 30,40 //建立实例1 switch(config)#spanning-tree mst 0 priority 4096 //设置优先级为4096 switch(config)#intece vlan 10 switch(config-if)#vrrp 1 ip 192.168.10.1 //此为vlan 10的IP地址 switch(config)#intece vlan 20 switch(config-if)#vrrp 1 ip 192.168.20.1 //此为vlan 20的IP地址 switch(config)#intece vlan 30 switch(config)#intece vlan 40 switch(config-if)#vrrp 2 ip 192.168.40.1 //此为vlan 40的IP地址(另一三层交换机) 6、VLAN的基本配置 (config)#vlan 10 //创建VLAN10 (config-vlan)#name vlanname // 命名VLAN为vlanname (config-if)#switchport access vlan 10 //将该端口划入VLAN10中 某端口的接口配置模式下进行 (config)#intece vlan 10 //进入VLAN 10的虚拟端口配置模式 (config-if)# ip address 192.168.1.1 255.255.255.0 //为VLAN10的虚拟端口配置IP及掩码,二层交换机只能配置一个IP,此IP是作为管理IP使用,例如,使用Telnet的方式登录的IP地址 (config-if)# no shutdown //启用该端口 7、端口安全 (config)# intece fasternet 0/1 //进入一个端口 (config-if)# switchport port-security //开启该端口的安全功能 a、配置连接数限制 (config-if)# switchport port-secruity maxmum 1 //配置端口的连接数为1,连接数为128 (config-if)# switchport port-secruity violation shutdown //配置安全违例的处理方式为shutdown,可选为protect (当安全地址数满后,将未知名地址丢弃)、restrict(当违例时,发送一个Trap通知)、shutdown(当违例时将端口关闭,并发送Trap通知,可在全局模式下用errdisable recovery来恢复) b、IP和MAC地址绑定 (config-if)#switchport port-security mac-address xxxx.xxxx.xxxx ip-address 172.16.1.1 //接口配置模式下配置MAC地址xxxx.xxxx.xxxx和IP172.16.1.1进行绑定 (MAC地址注意用小写) 8、三层路由功能(针对三层交换机) (config)# ip routing //开启三层交换机的路由功能 (config)# intece fasternet 0/1 (config-if)# no switchport //开启端口的三层路由功能(这样就可以为某一端口配置IP) (config-if)# ip address 192.168.1.1 255.255.255.0 (config-if)# no shutdown 9、三层交换机路由协议 (config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 //配置静态路 注:172.16.1.0 255.255.255.0 //为目标网络的网络号及子网掩码 172.16.2.1 为下一跳的地址,也可用接口表示,如ip route 172.16.1.0 255.255.255.0 serial 1/2(172.16.2.0所接的端口) (config)# router rip //开启RIP协议进程 (config-router)# network 172.16.1.0 //申明本设备的直连网段信息 (config-router)# version 2 //开启RIP V2,可选为version 1(RIPV1)、version 2(RIPV2) (config-router)# no auto-summary //关闭路由信息的自动汇总功能(只有在RIPV2支持) (config)# router ospf 1 //开启OSPF路由协议进程(针对1,需要加OSPF进程ID) (config-router)# network 192.168.1.0 0.0.0.255 area 0 //申明直连网段信息,并分配区域号(area0为骨干区域) 可以明显看出,三家命令大同小异,其实华为与H3C更加类似。 看不到图,但是按我的经验可以理解你要表达的意思。 1. 那个C. vrrp virtual-ip ip address vrid 1以太网是switch(config)#spanning-tree mst 1 priority 8192 //设置优先级为8192指一个网络系统,可以是一条直连线(什么也没有),也可以是一台或多台设备组成的网络系统。 2. 那根线叫作心跳线。可以去掉。一般用在5200F/G、ME60上,用来作为传递/同步业务信息的专用线。 3. 的确会产生环路,可以运行STP解决。 一、 HSRP协议概述 ---- 实现HSRP的条件是系统中有多台路由器,它们组成一个“热等待组”,这个组形成一个虚拟路由器。在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个等待路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变。所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了路由器切换的问题。 ---- 为了减少网络的数据流量,在设置完活动路由器和等待路由器之后,只有活动路由器和等待路由器定时发送HSRP报文。如果活动路由器失效,等待路由器将接管成为活动路由器。如果等待路由器失效或者变成了活动路由器,将由另外的路由器被选为等待路由器。 ---- 在实际的一个特定的局域网中,可能有多个热等待组并存或重叠。每个热等待组模仿一个虚拟路由器工作,它有一个Well-known-MAC地址和一个IP地址。该IP地址、组内路由器的接口地址、主机在同一个子网内,但是不能一样。当在一个局域网上有多个热等待组存在时,把主机分布到不同的热等待组,可以使负载得到分担。 二、HSRP协议数据包格式 ---- 在热等待组内,路由器定时以不同类型的数据报文广播状态信息。该协议运行在UDP之上,端口号为1985,目的地址为多播地址224.0.0.2,TTL标记为1。数据包的源地址为发送方路由器的实际IP地址,而不是虚拟地址,这样可以用来标记不同的路由器。UDP的格式如图1所示。 ---- 版本: 指示HSPR的版本信息。 ---- 作码: 用来描述数据包中报文的类型,可能的值为0、1和2,如表1所示。 ---- 状态: 描述发出该报文的路由器的当前状态。在一个热等待组内的所有路由器都运行着这样的状态机,有以下6种状态,见表2。 ---- 呼叫时间: 只在呼叫报文中有意义,表示路由器定时发送呼叫报文的间隔时间,以秒为单位。如果该参数没有在路由器上配置,它可能要从活动路由器上学习获得。如果没有配置也没有学习,那么建议使用缺省值3。 ---- 保持时间: 只在呼叫报文中有意义,被接收路由器用来判断该呼叫报文是否合法,单位为秒,其值至少是呼叫时间的3倍。如果该参数没有配置,也同样可以从活动路由器上学习。活动路由器不能从等待路由器学习呼叫时间和保持时间,它只能继续使用从先前的活动路由器学习来的该值。建议的缺省值为10。 ---- 优先级: 该参数用来选择活动和等待路由器,2个具有不同优先级的路由器,优先级高的将成为活动路由器。2个具有相同优先级的路由器,IP地址高的将成为活动路由器。 ---- 组: 用来标记路由器所在的热等待组。对令牌环类型的网络,合法的值是0、1和2,对于其他类型的网络,合法值是0~255。 ---- 认证码: 包括8个明文的字符作为密码,如果没有配置,缺省值为0×63 0×69 0×73 0×63 0×6F 0×00 0×00 0×00。 ---- 虚拟IP地址: 4个8位组,用来指定本热等待组的虚拟IP地址,它可以是从活动路由器的呼叫报文中学习来的。如果没有配置该地址,并且呼叫报文是需要认识的,那么只能通过活动路由器学习。 ---- 在配置路由器或路由交换模块(Route Switch Module,RSM)时需要为上述字段赋值。 三、 HSRP中路由器的状态及状态转换 ---- 在热等待组中,每个路由器运行着一个简单的状态机,通过当前的状态和的触发,而转换成不同的状态。其中包括以下状态。 ---- 1.初始状态 HSRP启动时的状态,HSRP还没有运行,一般是在改变配置或端口刚刚启动时进入该状态。 ---- 2.学习状态 在该状态下,路由器还没有决定虚拟IP地址,也没有看到认证的、来自活动路由器的HELLO报文。路由器仍在等待活动路由器发来的HELLO报文。 ---- 3.状态 路由器已经得到了虚拟IP地址,但是它既不是活动路由器也不是等待路由器。它一直从活动路由器和等待路由器发来的HELLO报文。 ---- 4.说话状态 在该状态下,路由器定期发送HELLO报文,并且积极参加活动路由器或等待路由器的竞选。 ---- 5.等待状态 处于该状态的路由器是下一个候选的活动路由器,它定时发送HELLO报文。 ---- 6.活动状态 处于活动状态的路由器承担转发数据包的任务,这些数据包是发给该组的虚拟MAC地址的。它定时发出HELLO报文。 ---- 另外,每一个路由器都有3个计时器,即活动计时器、等待计时器和呼叫计时器。 ---- 状态的变化都是由引起的,不同的作用于不同的状态在就会产生不同的动作,如启动计时器、发报文等。 四、HSRP的配置实例 ---- 某校园网规模比较大,上网的主机相对比较多,共分配有16个C类地址。为了保证数据安全和广播风暴,提高网络性能,将校园网划分成60个子网。在网络中心采用Cisco系统公司的Catalyst 5509作为中心交换机,并且带有RSM作为VLAN间的路由器,另外使用一个Cisco 7000系列的路由器和RSM。它们都支持VLAN以及VLAN上的HSRP。如图2所示。 ---- 在每一个虚拟局域网内都有一个HSRP组,从逻辑上讲,Cisco 7010和Cisco 5509的RSM在每个虚拟局域网上都有局域网接口,并且都配置有IP地址,同时配置一个虚拟地址,该地址作为在该虚拟局域网内所有主机的。下面以VLAN 9为例,RSM中VLAN5、配置默认 9的配置如下: ---- intece Vlan9 ---- description surportcenter ---- ip address 202.120.95.66 255.255.255.224 该路由器在该VLAN9上的接口的IP地址以及掩码 no ip redirects no ip directed-broadcast no ip route-cache cef standby 9 timers 3 定义热等待组号为9,每3秒交换一次hello信息,没有收到hello信息就开切换 standby 150 priority 110 定义路由器的权值,值越大,成为活动路由器的希望越大 standby 9 preempt Enable该组的HSRP抢占功能,谁的权值大就可以立即成为活动路由器 standby 9 ip 202.120.95.65 该组的虚拟IP地址,作为该VLAN中主机的地址 Cisco 7010路由器中接口的配置如下: intece FastEthernet0/0.9 description surportcenter ip address 202.120.95.67 255.255.255.224 cisco7010在VLAN9上的接口的IP地址以及掩码,该地址和RSM中的地址必须属于同一个子网,并且不同 no ip redirects encapsulation is l 9 所使用的虚拟局域网协议 standby 9 timers 3 和在RSM中的含义一样,并且必须相同 standby 9 priority 100 比在RSM中的值小,所以RSM在该VLAN中为活动的 standby 9 preempt 和在RSM中含义一样 standby 9 ip 202.120.95.65 该组的虚拟IP地址,必须和RSM中一样 ---- 为了达到负载均衡的目的,应该使Cisco 5509 RSM和Cisco 7010承担大致相同的负载,我们的方法是,在RSM中,VLAN 1到VLAN 30的权值为110,VLAN 31到VLAN 60的权值为100; 相反,在Cisco 7010中,VLAN 1到VLAN 30的权值为100,VLAN 31到VLAN 60的权值为100。这样,在正常情况下,Cisco 5509的RSM负责VLAN 1到VLAN 30的路由,Cisco 7010负责VLAN 31到VLAN 60的路由。如果有一方出现了故障,将由另一个来负载全部的路由工作。 五、HSRP存在的问题 ---- 对于在HSRP协议,的问题是没有提供安全防护,在一个局域网内部,通过发送虚的UDP多播数据包很容易对局域网中的路由器实施攻击,导致数据包黑洞(Packet Black Hole)和拒绝服务攻击(Denial-of-Serv Attack)。一般无法从一个局域网的外部实施攻击,因为大多数路由器都不转发目的地址为所有路由器的多播地址(224.0.0.2)。 ---- HSRP只是实现了路由器的平滑切换,使用户感觉不到这种切换,保证了网络的稳定性。但是,一个HSRP组内的路由器不能互通它们的其他网络配置信息,例如访问控制列表等。所以在管理实施管理时,为了保证一致性,必须对它们进行相同的修改,增加了管理的复杂性,这也许是为了提高性能而付出的代价吧。 你做vrrp是在作为子网的接口上做,交换端口2互联是应该用trunk端口,交换机A跟踪接口1,交换机B跟踪其上的接口1,防火墙可以不需要有什么设置。 跟踪自己本身的端口,防火墙与之相连的端口down掉,自己本身端口也是会呈[H3C-Ethernet0/4]port-isolate uplink-portvlan 2 //设置4为VLAN2的 隔离上行端口 ,用于转发二层数据,只能配置一个上行端口,若为trunk,则建议允许所有VLAN通过,隔离不能与汇聚同时配置现down状态的 虚拟路由器冗余协议nbsp;nbsp;nbsp;(VRRP:Virtualnbsp;Routernbsp;Redundancynbsp;Protocol)nbsp;nbsp;nbsp;虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的动态分配到局域网上的nbsp;VRRPnbsp;路由器中的一台。控制虚拟路由器nbsp;IPnbsp;地址的nbsp;VRRPnbsp;路由器称为主路由器,它负责转发数据包到这些虚拟nbsp;IPnbsp;地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的nbsp;IPnbsp;地址可以作为终端主机的默认跳路由器。使用nbsp;VRRPnbsp;的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。nbsp;VRRPnbsp;包封装在nbsp;IPnbsp;包中发送。nbsp;nbsp;使用nbsp;VRRPnbsp;,可以通过手动或nbsp;DHCPnbsp;设定一个虚拟nbsp;IPnbsp;地址作为默认路由器。虚拟nbsp;IPnbsp;地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟nbsp;IPnbsp;地址就会映射到一个备份路由器的nbsp;IPnbsp;地址(这个备份路由器就成为了主路由器)。nbsp;VRRPnbsp;也可用于负载均衡。nbsp;VRRPnbsp;是nbsp;IPv4nbsp;和nbsp;IPv6nbsp;的一部分。nbsp;nbsp;nbsp;VRRP(Virtualnbsp;Routernbsp;Redundancynbsp;Protocol,虚拟路由冗余协议)是一种容错协nbsp;nbsp;议。通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10.100.10.1),nbsp;nbsp;这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器nbsp;nbsp;RouterA,从而实现了主机与外部网络的通信。当路由器RouterAnbsp;坏掉时,本网段nbsp;nbsp;内所有以RouterAnbsp;为缺省路由下一跳的主机将断掉与外部的通信。nbsp;nbsp;VRRPnbsp;就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以nbsp;nbsp;太网)设计。我们结合下图来看一下VRRPnbsp;的实现原理。VRRPnbsp;将局域网的一组路nbsp;nbsp;由器(包括一个Masternbsp;即活动路由器和若干个Backupnbsp;即备份路由器)组织成一个nbsp;nbsp;虚拟路由器,称之为一个备份组。nbsp;nbsp;这个虚拟的路由器拥有自己的IPnbsp;地址10.100.10.1(这个IPnbsp;地址可以和备份组内的nbsp;nbsp;某个路由器的接口地址相同),备份组内的路由器也有自己的IPnbsp;地址(如Masternbsp;nbsp;的IPnbsp;地址为10.100.10.2,Backupnbsp;的IPnbsp;地址为10.100.10.3)。局域网内的主机仅nbsp;nbsp;仅知道这个虚拟路由器的IPnbsp;地址10.100.10.1,而并不知道具体的Masternbsp;路由器的nbsp;nbsp;IPnbsp;地址10.100.10.2nbsp;以及Backupnbsp;路由器的IPnbsp;地址10.100.10.3,它们将自己的缺省nbsp;nbsp;路由下一跳地址设置为该虚拟路由器的IPnbsp;地址10.100.10.1。于是,网络内的主机nbsp;nbsp;就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Masternbsp;路由器坏nbsp;nbsp;掉,Backupnbsp;路由器将会通过选举策略选出一个新的Masternbsp;路由器,继续向网络内nbsp;nbsp;的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。nbsp;nbsp;关于VRRPnbsp;协议的详细信息,可以参考RFCnbsp;2338。nbsp;nbsp;一、nbsp;应用实例nbsp;nbsp;nbsp;典型的VRRP应用:RTA、RTB组成一个VRRP路由器组,设RTB的处理能力高于RTA,则将RTB配置成IP地址所有者,H1、H2、H3的默认设定为RTB。则RTB成为主控路由器,负责ICMP重定向、ARP应答和IP报文的转发;一旦RTB失败,RTA立即启动切换,成为主控,从而保证了对客户透明的安全切换。nbsp;nbsp;nbsp;在VRRP应用中,RTA在线时RTB只是作为后备,不参与转发工作,闲置了路由器RTA和链路L1。通过合理的网络设计,可以到达备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组:在组1中RTA为IP地址所有者;组2中RTB为IP地址所有者。将H1的默认设定为RTA;H2、H3的默认设定为RTB。这样,既分担了设备负载和网络流量,又提高了网络可靠性。nbsp;nbsp;nbsp;VRRP协议的工作机理与CISCO公司的HSRP(Hotnbsp;Standbynbsp;Routingnbsp;Protocol)有许多相似之处。但二者主要的区别是在CISCO的HSRP中,需要单独配置一个IP地址作为虚拟路由器对外体现的地址,这个地址不 查看原帖>> 1. HWTACACS仅仅只能对密码部分进行加密而Radius协议除Radius报文头以外,同时对报文主体全部进行加密。( ) True False 2. 负载均衡实现了将访问不同IP地址的用户流量分配到同一上的功能。( ) True False 3. 以下哪个不是IP-link的探测时发送的报文? ( ) A. ARP报文 B. IGMP报文 C. ICMP报文 D. Hello报文 4. USGA与USGB配置了静态BFD会话,下列关于BFD会话建立和拆除的过程,说确的是?( ) A. USG A和USG B各自启动BFD状态机,初始状态为Down,发送状态为Down的BFD报文,Your Discriminator的值是0。 C. USG B收到状态为Init的BFD报文后,本地状态切换至Up。 D. USG A和USG B发生“DOWN => INIT”的状态迁移后,会启动一个超时定时器。如果定时器超时仍未收到状态为Init或Up的BFD报文,则本地状态自动切换回Down。 5.USG系列防火墙双机热备不包括以下那些协议:( ) A. HRP B.VRRP C. VGMP D. IGMP 6. 在配置USG双机热备时,(设备份组号是1)虚拟地址的配置命令,正确的是哪项?( ) A. vrrp vrid 1 virtual-ip ip address B. vrrp virtual-ip ip address vrid 1 D. vrrp virtual-ip ip address vrid 1 7. 下列关于VRRP和VGMP的协议报文,说确的是什么? ( ) B. VGMP管理组之间通过VGMP Hello报文通信 C. VGMP管理组之间通过VRRP报文通信 D. VGMP管理组与VRRP备份组之间使用VGMP报文通信 8.在一个Eth-Trunk接口中,通过在各成员链路上配置不同的权重,可以实现流量负载分担。( ) True False 9. 虚拟防火墙技术特点不包括以下哪项?( ) A. 提供路由多实例、安全多实例、配置多实例、NAT多实例、VPN多实例,应用灵活,可满足多种组网需要。 B. 每个虚拟防火墙均可以支持TRUST、UNTRUST、DMZ等 4个安全区域,接口灵活划分和分配。 C. 从技术上保证了每一个虚系统和一个防火墙从实现上是一样的,而且非常安全,各个虚系统之间可以直接实现访问。 D. 每个虚系统提供的权限。 10. 以下不提供加密功能的VPN协议有哪些? ( ) (Select 3 Answers) A. ESP(config)# router ospf //开启OSPF路由协议进程(针对1762,无需使用进程ID) B. AH C. L2TP D. GRE 11. 在IPSec VPN中,以下哪个报文信息不存在?( ) A. AH报文头 B. AH报文尾 C. ESP报文头 D. ESP报文尾 12. IPSec VPN做NAT穿越的情况下,必须使用IKE的野蛮模式。( ) True False 13.下列关于IPSec和IKE的说确的是:( ) (Select 3 Answers) A. IPSec有两种协商方式建立安全联盟,一种是手工方式(manual),一种是IKE 自动协商(isakmp)方式。 B. IKE 野蛮模式可以选择根据协商发起端的IP 地址或者ID,来查找对应的身份验证字并终完成协商。 C. NAT 穿越功能删去了IKE协商过程中对UDP 端口号的验证过程,同时实现了对VPN 隧道中NAT 设备的发现功能,即如果发现NAT 设备,则将在之后的IPSec 数据传输中使用UDP 封装。 D. IKE 的安全机制包括DH Diffie-Hellman 交换及密钥分发,完善的前向安全性(Perfect Forward Secrecy PFS)以及SHA1等加密算法。 14. 如果建立IPSec VPN隧道双方,一方的IP地址不固定,则以下哪些配置方法不能适用在IP地址不固定的? ( ) B. 策略 C. 野蛮模式下的Name认证 D. 野蛮模式下的pre-share key认证 15. 网络攻击的分类有流量型攻击、扫描窥探攻击、畸形报文攻击和特殊报文攻击。 ( ) True False 16. IP-MAC地址绑定配置如下: [USG] firewall mac-binding 202.169.168.1 00e0-fc00-0100 当数据包通过华为防火墙设备时候,不考虑其他的策略情况(如包过滤,攻击防范),下列数据能通过防火墙的有? ( ) A. 数据包源IP:202.169.168.1 数据包源MAC:FFFF-FFFF-FFFF B. 数据包源IP:202.169.168.2 数据包源MAC:00e0-fc00-0100 C. 数据包源IP:202.1.1.1 数据包源MAC:00e0-fc11-1111 D. 数据包源IP:202.169.168.1 数据包源MAC:00e0-fc00-0100 17. CC攻击是哪种攻击方式?( ) A. 拒绝服务型攻击 B. 扫描窥探攻击 C. 畸形报文攻击 D. 基于系统漏洞的攻击 18. DHCP Snooping功能需要维护绑定表,其绑定表的内容包括哪些?( ) A. MAC B. Vlan C. 接口 19. 在DDos攻击防范中,如果通过服务学习功能,发现正常流量中根本没有某种服务或某种服务流量很小,则可以在Anti-DDos设备上分别采用阻断或限流方法来防御攻击。 ( ) True False 20. HTTPS Flood源认证防御原理是,Anti-DDos设备代替SSL与客户端完成TCP三次握手。如能完成TCP三次握手,表示HTTPS Flood源认证检查成功。( ) True False 【参】 1.F 2.F 3.BD 4.CD 5.D 6.A 7.BD 8.T 9.C 10.BCD 11.B 12.F 13.ABC 14.A 15.T 16.CD 17.A 18.ABC 19.T 20.F 跟华为模拟器的版本有关,可以换一个更高的版本。同时你也可以用命令display version 看下交换机或路由器里面的switch(config-if)#vrrp 2 ip 192.168.30.1 //此为vlan 30的IP地址(另一三层交换机)版本,版本低的话就要换更高的模拟器的版本了罗。华为的VRRP是什么??主要干些什么??
两台华为交换机在核心上面做vrrp,状态9为什么都显示为主的
三、锐捷交换机基础命令配置华为、H3C、锐捷交换机配置命令大全
D. DHCP 的IP(计算机网络)华为三层交换机(QuidwayS3300)中关于配置VRRP协议的问题
备份技术(VRRP,HSRP,双机热备,所有的备份技术)详细。
(Select 2 Answers)两台三层交换机配置VRRP协议
[H3C] sysname xxx //设置主机名成为xxx这里使用修改特权用户密码华为的VRRP是什么??主要干些什么??
B. USG B本地BFD状态为Init后,如果接A. 策略模板下来继续接收到状态为Down的报文,重新进行处理更新自己的本地状态。2017华为认证构建安全网络架构模拟真题(附)
华为模拟器 ensp vrrp配置时没有这些命令,这是为啥?
debugging ip //开启IP调试功能
声明:本站所有文章资源内容,如无特殊说明或标注,均为采集网络资源。如若本站内容侵犯了原著者的合法权益,可联系 836084111@qq.com 删除。