Austines Hexo Blog

文章参考华为官网 SNMP简介简单网络管理协议SNMP（Simple Network Management Protocol）是广泛用于UDP网络的网络管理标准协议。SNMP提供了一种通过运行网络管理软件的中心计算机（即网络管理工作站NMS）来管理网元的方法。共有三个版本SNMPv1、SNMPv2c和SNMPv3，用户可以根据情况选择同时配置一个或多个版本。 网管通过在被管理设备中运行的Agent客户端上执行get和set操作来管理设备上的节点，设备上的节点由MIB（Management Information Base）来唯一标识。 在大型网络中，设备发生故障时，由于设备无法主动上报故障，导致网络管理员无法及时感知、及时定位和排除故障，从而导致网络的维护效率降低，维护工作量大大增加。为了解决这个问题，设备制造商已经在一些设备中提供了网络管理的功能，这样网管就可以远程查询设备的状态，同样设备能够在特定类型的事件发生时向网络管理工作站发出警告。 SNMP就是规定网管站和设备之间如何传递管理信息的应用层协议。SNMP定义了网管管理设备的几种操作，以及设备故障时能向网管主动发送告警。 SNM ...

文章参考华为官网 DHCP服务器简介动态主机配置协议DHCP（Dynamic Host Configuration Protocol）采用客户端/服务器模式对用户的网络参数进行动态配置和集中管理。其中，DHCP服务器通过地址池为用户分配IP地址等网络参数。地址池分为接口地址池和全局地址池两种。 接口地址池配置接口地址池配置方式简单，只能用于用户与DHCP服务器在同一个网段的场景，并且只能给对应接口下的用户分配IP地址等网络参数；适用于设备数量有限、配置以及维护量可控的小型网络。在用户网关设备上配置基于接口地址池的DHCP服务器功能之后，对应接口下的固定主机、移动终端等都可以自动获取IP地址等网络参数，不需要用户手动配置修改。 1234567891011121314151617# 使能DHCP服务，缺省未使能[Switch] dhcp enable[Switch] interface vlanif 10[Switch-Vlanif10] ip address 10.1.1.1 24 //企业为固定办公终端的网段[Switch-Vlanif10] dhcp select interfac ...

文章参考华为官网 ARP介绍地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。 静态ARP静态ARP表项是指网络管理员手工建立IP地址和MAC地址之间固定的映射关系正常情况下网络中设备可以通过ARP协议进行ARP表项的动态学习，生成的动态ARP表项可以被老化，可以被更新。但是当网络中存在ARP攻击时，设备中动态ARP表项可能会被更新成错误的ARP表项，或者被老化，造成合法用户通信异常。静态ARP表项不会被老化，也不会被动态ARP表项覆盖，可以保证网络通信的安全性。静态ARP表项可以限制本端设备和指定IP地址的对端设备通信时只使用指定的MAC地址，此时攻击报文无法修改本端设备的ARP表中IP地址和MAC地址的映射关系，从而保护了本端设备和对端设备间的正常通信。一般在网关设备上配置静态AR ...

文章参考 LLDP简介LLDP（Link Layer Discovery Protocol，链路层发现协议）是IEEE 802.1ab中定义的第二层发现（Layer 2 Discovery）协议。LLDP提供了一种标准的链路层发现方式，可以将本端设备的主要能力、管理地址、设备标识、接口标识等信息封装到LLDP报文中传递给邻居节点，邻居节点在收到这些信息后将其以标准MIB（Management Information Base，管理信息库）的形式保存起来，供NMS（Network Management System，网络管理系统）查询及判断链路的通信状况。LLDP提供了一种标准的链路层发现方式。通过LLDP获取的设备二层信息能够快速获取相连设备的拓扑状态；显示出客户端、交换机、路由器、应用服务器以及网络服务器之间的路径；检测设备间的配置冲突、查询网络失败的原因。用户可以通过使用网管系统，对支持运行LLDP协议的设备进行链路状态监控，在网络发生故障的时候快速进行故障定位。 LLDP基本原理LLDP可以将本地设备的信息发送给远端设备，本地设备将收到的远端设备信息以标准MIB的形式保存起来。L ...

六大常用应用层协议：Telnet协议，FTP，TFTP，DHCP，HTTP和NTP（Network Time Protocol 网络时间协议） Telnet协议Telnet协议是一种典型的客户端/服务器模型的协议，管理网络基础设施的主机充当Telnet客户端，被管理的网络基础设施充当Telnet服务器。作为应用层协议，Telnet协议在传输层通常使用TCP，端口号为23。缺省情况下，运行VRP (Versatile Routing Platform 通用路由平台)系统的设备不可充当Telnet服务器Telnet协议存在严重的安全隐患，它不支持对协议传输的数据进行加密。配置步骤如下： 启用telnet服务：系统视图命令telnet server enable 进入VTY用户：系统视图命令user-interface vty first-ui-number last-ui-number 配置协议：VTY用户管理视图命令，缺省情况下，VTY用户界面支持SSH和Telnetprotocol inbound telnet 配置认证方式：VTY用户管理视图命令，VRP系统不会指定默认的Telne ...

AAA提供了用户管理功能，是认证（Authentication），授权（Authorization）和计费（Accouting）。认证确保用户身份，授权确保用户所能够执行行为，计费记录用执行的行为，如用户的上线下线时间。网络设备可以提供本地认证和授权，较大规模网络中，可以设置单独的AAA服务器来提供集中式安全管理，常用的协议是RADIUS（Remote Authentication Dial In User Service，远程认证拨号用户服务） AAA基本概念认证认证功能可以在用户视图访问网络时，识别用户的身份，判断用户是否为合法用户。在对用户进行授权时，应该仅授权用户执行所需功能使得最小权限，以防止发生恶意或意外的网络行为。支持以下3种认证方式： 不认证：不对用户的身份进行认证。甚少采用 本地认证：使用本地认证时，NAS（Network Access Server）充当了AAA服务器角色，在NAS本地存储了执行用户认证所需的用户信息（例如用户名和密码）。优点：响应速度快；缺点：存储的用户信息量收到NAS的硬件限制，不适合大量存储，因此本地认证主要用于用户登录网络设备进行身份认证， ...

NAT就是通过将一个IP地址转换为另一个IP地址。NAT不仅可以节省IP地址空间，而且能够提高网络的安全性（外部网络的主机无法直接与内部主机进行通信）。为了让使用私网IP地址的主机能够访问互联网，需要将私有IP地址转换为公有IP地址，这类设备通常为网络的出口设备，如路由器或防火墙。 公有IP地址：由专门的机构进行管理和分配，可以直接再互联网上进行通信，需要付费使用 私有IP地址：任何人可以随意使用，无法直接在互联网进行通信，无须付费 类别 IP地址段 IP地址数量 描述 A类 10.0.0.0~10.255.255.255 16777216 单个A类网络 B类 172.16.0.0~172.31.255.255 1048576 16个连续的B类网络 C类 192.168.0.0~192.168.255.255 65536 256个连续的C类网络 NAT类型NAT共有4中类型： 静态NAT：将一个私有IP地址映射为一个固定公有IP地址；需要管理员通过使用命令来绑定私有IP地址与公有IP地址 动态NAT：将一个私有IP地址映射为一个非固定公有IP地址；将私有I ...

ACL是通过对网络的访问进行控制，通过一些参数匹配特定的流量，并且指明需要对流量进行的操作。 ACL组成ACl由一组具有特定顺序的语句组成，设备在查询ACL时，会根据编号从小到大按顺序查找匹配项，一旦发现匹配项就会立即执行与该匹配项关联的动作，停止查找并退出ACL匹配逻辑，每条语句由如下信息构成 匹配项：需要匹配的流量。 动作：允许或拒绝。 编号：决定该语句在ACL中的位置。编号范围：0-4294967294。 每个ACL末尾还有一条隐含语句，这条隐含语句可以匹配任意的数据包。 ACL分类和标识ACL可以从两个角度进行分类：规则定义方式和标识方法。 规则定义方式华为设备会根据网络管理员设置的ACL编号判断ACL的类型 基本ACl：2000-2999，基于数据包的源IP地址对流量进行匹配 高级ACL：3000-3999，基于数据包的源和目的IP地址，IP协议类型，ICMP类型，TCP/UDP源和目的端口号等第三层和第四层信息对流量进行匹配 二层ACL：4000-4999，基于数据帧的源和目的MAC地址，二层协议类型等第二层信息对流量进行匹配 用户自定义ACL：5000-5999，基 ...

实现两个VLAN之间的通信，需要三层路由功能的介入，有两种方式可以实现这个目标。一个是在网络中添加路由器，路由器作为三层设备为VLAN之间的流量执行路由，第二种是在交换机上启用VLANIF接口，使用这个虚拟接口执行三层路由功能（部分交换机才支持）。 添加路由器添加路由器，为VLAN之间的执行路由。交换机上的每个VLAN都要与路由器上的三层接口对应，实际应用中，我们使用一个路由器的接口就可以实现多个VLAN之间的路由转发：通过Dot1q终结子端口以实现不同VLAN之间的通信。此时交换机和路由器之间只有一条链路。每个子接口都是相应VLAN的终结，即子接口作为VLAN中终端设备的默认网关。交换机与路由器相连端口需要传输两个VLAN的流量，因此将其配置为trunk，并放行相应的VLAN流量。对于路由器接口，需要进行如下配置: 创建子端口 配置相应的VLAN的Dot1q终结 配置IP地址，作为终端设备的默认网关 实验拓扑图如下： 配置交换机配置交换机SW1，和终端设备相连端口设置为access，并加入相应的vlan，和路由器R1相连的端口设置为trunk口并放行相应的vlan。 123456 ...

当两台交换机使用多条链路连接时，一方面可以避免唯一一条线路故障导致链路中断，另一方面也可以提升两台交换机之间的带宽。为了避免环路的产生，交换机通常会只保留一条链路，其他链路阻塞，这样就造成了带宽浪费。这就要使用到链路聚合。 链路聚合常识链路聚合带来以下好处： 增加带宽：链路聚合接口的最大带宽是其成员接口带宽之和 提高可用性：当一条活跃的链路出现故障时，相关流量会自动切换到其他可用的成员链路上 负载分担：一个虚拟链路组合中的多条活跃的物理链路可以实现负载分担 链路聚合相关概念： 链路聚合组（LAG Link Aggregation Group）：多条以太网链路捆绑在一起形成的逻辑链路 链路聚合接口(Eth-trunk接口)：一个链路聚合组对应一个链路聚合接口，它是由多个物理接口所连接的链路捆绑在一起形成的逻辑接口 成员接口和成员链路：Eth-trunk接口的每个物理接口成为成员接口，成员接口所连接的链路成为成员链路 活动接口和非活动接口：活动接口负责转发数据，非活动接口不转发数据；活动接口对应的链路被称为活动链路，非活动接口对应的链路被称为非活动链路 活动接口上限阈值：一个链路聚合 ...