网络基础

2026-01-01T10:11:47.png

基本

查看VRP系统版本信息

dis version

查看当前有效配置

display current-configuration 

dis this 查看当前视图配置

命名设备

sysname HW1

保存当前配置

save

启用/禁用端口

在指定接口下
shutdown  关闭端口
undo shutdown 打开端口

配置console口交换机密码-----

交换机登录默认无密码，为了安全添加认证秘密

[SW1]user-interface console 0          进入用户配置console口
[SW1-ui-console0]authentication-mode password   启用密码认证
[SW1-ui-console0]set authentication password cipher 123456   配置密码为123456
[SW1-ui-console0]

取消终端提示信息

undo terminal monitor

更改终端闲时会话时间

user-interface console 0
idel-timeout 1440 将闲时超时设为1440分钟

重启设备

在用户视图下执行

reboot 
提示是否保存
提示是否重启

恢复出厂设置

在用户视图下执行

reset saved-configuration  提示是否恢复，选择Y

交换/交换机

交换机能够根据以太网中的目标MAC地址智能的转发数据，因此交换机工作在数据链路层

交换机可以分割冲突与，实现全双工通信

交换机转发数据，主要依靠的核心工作表：MAC地址表

MAC表：交换机发送广播给每个接口，每个接口返回MAC地址，交换机进行记录

配置交换机远程登录-----------

远程管理需要通过ip地址访问网络设备

交换机的接口，默认无法配置ip地址

需要使用虚拟接口vlan1

[SW1]interface Vlanif 1
[SW1-Vlanif1]ip address 192.168.1.251 24

配置交换机远程登录密码------

远程管理需要配置VTY接口
VTY是虚拟终端，是一种网络设备远程连接的方式
vty 0 4表示可以同时打开5个会话

[SW1]user-interface vty 0 4 表示可以同时打开5个会话
[SW1-ui-vty0-4]authentication-mode password  启用密码验证
[SW1-ui-vty0-4]set authentication password cipher 123456  设置登录密码
[SW1-ui-vty0-4]user privilege level 3  设置权限级别，默认0

配置好后，用另外一台配置了同网段ip的路由器进行telnet 192.168.1.251 测试

VLAN

👉 商用交换机不是“透明二层转发器”
👉而是 “基于 VLAN 实例的交换架构”

**Trunk 端口只决定：
“这个 VLAN 能不能走这条口”**

**VLAN 实例决定：
“这个 VLAN 在不在这台交换机的世界里”**

广播域

接收同一广播消息的节点的集合，比如一个节点发送MAC地址的广播报文，其余能收到这条广播报文的节点的集合，就是一个广播域，通常一个ip网段就是一个广播域

一个广播域中的网络节点越多，广播报文也必然会越多

当广播报文越多，当前广播域的带宽占用就越多，网络不可用风险增大

当广播报文越多，当前广播域中的设备资源占用高，转发数据速度慢

所以当一个广播域中的节点过多，网络的稳定性和安全性会越低-

vlan

虚拟局域网，将一个物理的局域网LAN，在逻辑上划分多个虚拟局域网VLAN的通信技术

交换机分割了冲突域，但是不能分割广播域

随着交换机端口数量的增多，网络中广播增多，降低了网络的效率

为了分割广播域，引入了VLAN

vlan的划分种类

基于端口划分的静态VLAN和基于MAC地址划分的动态VLAN

PVID

port default vlan id，也成缺省VLAN

表示接口所属的vlan

每个接口都有一个PVID

交换机中所有接口的PVID默认都是VLAN1，但是可以手动修改

创建VLAN

创建单个vlan

vlan 10

创建多个vlan

vlan batch 10 15 20 创建多个不连续的vlan
vlan batch 10 to 20 创建多个连续的vlan

删除vlan

undo vlan 10
undo vlan batch 10 15 20
undo vlan batch 10 to 20

Access端口

通常用于连接终端设备（主机、服务器），同时只能属于一个VLAN，发送的数据，没有vlan标签，交换机接收数据时用端口PVID的数据作为标签

将端口加入VLAN

创建vlan

设置接口模式为Access

将接口接入vlan

vlan 2 创建vlan
int g0/0/1
port link-type access 设置接口模式为Access
port default vlan 2 将接口加入vlan

批量将端口加入vlan

首先将端口加入端口组，然后将端口组加入vlan

port-group 1
group-member G0/0/1 to G0/0/10
port link-type access
port default vlan 2

Trunk端口

如何实现交换机之间的相同VLAN通信

两个交换机下面各接了很多不同vlan的终端，交换机之间只有一条链路，那么来自多个vlan的数据如何标识？

交换机为每个去往其他交换机的数据帧打上vlan标识，Trunk链路用于连接交换机设备

发送时：根据帧在交换机内部的目标VLAN ID做决定。如果目标VLAN ID等于端口的PVID，则剥离Tag发送；如果不等于，则带Tag发送。

默认vlan1端口PVID是1，则去掉vlan tag标签发送，如果是vlan10，则直接发送

接收时：有Tag的帧，根据允许列表决定放行/丢弃，Tag不动；无Tag的帧，打上PVID的Tag，再根据允许列表决定放行/丢弃。

如果接收到Vlan10，查询允许列表，若允许vlan10不动，若无Tag标签，则打上默认vlan1 tag

将端口加入Trunk

int g0/0/1
port link-type trunk 设置接口模式为trunk
port trunk allow-pass vlan 10 20 配置允许通过的vlan

清除端口VLAN配置

清除access端口

int g0/0/1
undo port default vlan

清除trunk端口/转换为access端口

int g0/0/1
undo port trunk allow-pass vlan all  先将trunk端口的vlan取消掉
port trunk pvid vlan 1  /  port trunk allow-pass vlan 1 上一步取消掉了所有vlan，这里添加默认vlan1
port link-type access
port default vlan 10

Mux VLAN

MUX VLAN提供了一种通过VLAN进行网络资源控制的机制，通过MUX VLAN提供二层流量隔离的机制，可以实现企业内部员工之间相互通信，而企业外来访客之间的互访是隔离的。

通过MUX VLAN技术区分大量的用户时，可以节省大量的VLAN id，同时也降低了后期网络的管理难度

VLAN角色类型

主VLAN

​ 其中包含的是不同类型的辅助vlan，属于主vlan的端口，可以与任何辅助vlan的端口互通

辅助VLAN：隔离VLAN + 组VLAN

​ 隔离vlan：同一个隔离vlan的端口之间，不能互通

​ 组vlan：同一个组vlan的端口之间可以互通，不同的组vlan之间的端口，不可以互动

同一个主vlan下面，最多只能包含一个隔离vlan

主VLAN：可以访问所有从VLAN
隔离VLAN：只能访问主VLAN，不能访问其他任何VLAN
组VLAN：组内互通 + 能访问主VLAN，但不能访问其他组

STP

历史：PC之间的互通链路仅仅存在一个，任何一个设备或链路出现问题，PC之间都会无法通信，可以增加冗余/备份设备/链路，但是三个及以上交换机相连，数据环路导致的广播风暴：每个链路都是互通的，交换机收到无法识别的数据帧后进行广播，形成广播风暴。广播帧在交换机之间一直循环下去，从而消耗系统资源，降低传输质量，广播帧的不断增多，还会导致设备宕机重启。

STP 生成树协议

逻辑上断开环路，防止广播风暴的产生，即阻塞某些端口，破除环路，当主线路故障，阻塞端口被激活；主线路恢复，备份线路再次被阻塞。

工作原理

步骤一：确定交换机角色，根交换机、非根交换机

步骤二：确定端口角色，根端口、指定端口、非指定端口

步骤三：确定端口状态，禁用：接口没有启动STP，或者接口处于关闭状态

​ 侦听：正在比较STP报文，确定交换机端口角色

​ 学习：正在学习MAC地址表

​ 转发：可以正常接收和发送用户数据包

​ 阻塞：阻塞端口，不能转发用户数据包

根交换机：通过比较每个交换机的BID（网桥ID+基本MAC地址），来选举根交换机：BID越小，越容易成为根交换机，BID取值范围：0-65535（可手动设置），缺省值32768，每次+-4096，如果BID相同则比较交换机的基本MAC，MAC最小的为根交换机

根端口：在每一个非根交换机上，有且只有一个（一个交换机只有一个根端口）

​ 首先比较端口到根交换机的开销，越小越好

​ 其次比较对端交换机的BID，越小越好（BID相同比较基本MAC）

​ 最后比较端口PID，越小越好；由两部分组成，首先比较的是优先级（0-240）步长16，默认128，另一个是端口号，如果优先级相同，则比较端口号，端口号越小优先越高

指定端口：每一个链路上选出一个指定端口，并且只能是一个（每条链路有一个指定端口）

根交换机的所有端口都是指定端口

根端口的对端一定是指定端口

BPDU转发端口到根交换机的路径成本最小

本端的网桥ID（BID）最小

非指定端口：剩余端口成为备用端口，将他们阻塞

端口状态：ALTE 备份路径 ROOT根端口 DESI指定端口

dis bridge mac-address 查看交换机网桥mac地址

display stp 查看交换机stp配置
display stp brief 查看端口状态
stp mode stp设置stp为stp
stp disable  //关闭stp协议
stp enable  //开启stp协议 默认开启
配置交换机为根交换机
stp priority 0 提高优先级 0-61440 值必须是4096的倍数

MSTP

解决链路备份和广播风暴的同时，还要走最优路径

防止环路产生广播风暴

每个交换机创建相同的VLAN

交换机之间的链路配置为Trunk，允许所有的VLAN通过

交换机启用STP协议，配置模式为MSTP

交换机指定MSTP的区 域名、实例和vlan的对应关系

交换机上激活MSTP的配置

为不同的生成树配置优先级（主、备）

display stp region-configuration  查看所有实例的VLAN映射配置
display stp brief  查看实例对应的接口

stp mode mstp  //修改模式为MSTP（默认MSTP）
stp region-configuration  //进去stp的配置区域
region-name hcie  //设置区域名为hcie（名字可自定义，但环路所有交换机名字需一致）
instance 10 vlan 10   //创建实例10并绑定vlan 10
instance 20 vlan 20   //创建实例20并绑定vlan 20
active region-configuration   //激活配置区域
quit  //返回 

stp instance 1(实例) priority 0(4096倍数)

display stp instance 20 brief 查询单个实例stp接口信息

Eth-Trunk

链路聚合技术，可以把多个独立的物理接口绑定在一起，作为一个大带宽的逻辑端口使用

Eth-Trunk可以增加设备之间的互联带宽，提高设备之间的可靠性，对流量负载均衡，提高链路利用率

Eth-Trunk配置流程

创建Eth-Trunk -- 选择链路聚合模式 -- 加入成员接口

Eth-Trunk聚合模式

静态配置模式

当两台设备中至少有一台不支持LACP协议时，可使用手工负载分担模式的Eth-Trunk，增加设备间的带宽及可靠性，在手工负载分担模式下，加入Eth-Trunk的链路都进行数据转发

[Huawei]interface Eth-Trunk 1    创建并进入Eth-Trunk
[Huawei-Eth-Trunk1]mode manual load-balance  配置Eth-Trunk为手动模式
[Huawei-Eth-Trunk1]trunkport g0/0/3  加入成员端口
[Huawei-Eth-Trunk1]trunkport g0/0/4  加入成员端口
[Huawei-Eth-Trunk1]port link-type trunk  配置Eth-Trunk链路类型为trunk
[Huawei-Eth-Trunk1]port trunk allow-pass vlan all  配置trunk链路允许所有vlan
[Huawei]dis eth-trunk  查看配置

动态配置模式

LACP模式也成为了M:N模式，其中M条链路处于活动状态转发数据，N条链路处于非活动状态作为备份链路。

下图设置的活跃链路数为2，即2条链路处于转发状态，1条链路处于备份状态，不转发数据。只有当活跃的链路出现故障时，备份链路才进行转发。

interface eth-trunk 1
    mode lacp-static                     # 设置为静态LACP模式
    trunkport gi0/0/1                    # 添加三个成员端口
    trunkport gi0/0/2
    trunkport gi0/0/3
    quit

lacp priority 100                        # 设置系统LACP优先级为100（更优） 这条只用主交换机配置
display eth-trunk                        # 查看聚合组状态

• 三条链路（假设都是千兆）都处于平等候选状态。
• 由于没有设置max active-linknumber，默认是8，意味着三条链路都能同时成为活动链路（全活模式）。
• 系统优先级设为100（优于默认32768），在两端协商时，本端交换机将作为"决策者"，决定哪些端口成为活动端口。

interface eth-trunk 1
    max active-linknumber 2              # 关键！设置最大活跃链路数为2
    lacp preempt enable                  # 启用抢占功能
两个交换机都需要配置

配置后的逻辑架构：

max active-linknumber 2：

• 三条链路中最多只能有2条同时处于活动状态。
• 第三条链路将自动成为备份链路（非活动状态）。

• 哪些链路是活动链路？ 由LACP优先级决定：

  • 端口优先级高的优先成为活动链路（默认端口优先级相同，则比较端口号，号小的优先）。
  • 在本例中，假设端口优先级相同，则gi0/0/1和gi0/0/2会成为活动链路，gi0/0/3成为备份。

lacp preempt enable：

• 作用：当活动链路故障恢复后，如果它的优先级高于当前某条活动链路，它会自动抢占回活动位置。

• 典型场景：

  1. 初始：gi0/0/1和gi0/0/2活动，gi0/0/3备份。
  2. gi0/0/1故障 → gi0/0/3自动接替成为活动链路（与gi0/0/2一起）。
  3. gi0/0/1恢复 → 由于启用抢占，gi0/0/1会替换掉gi0/0/3，恢复与gi0/0/2的原始活动组合。

注意要点

1. 抢占延迟：配置中未设置lacp preempt delay，意味着使用默认延迟0秒，链路恢复后会立即抢占。在生产环境中，建议设置一个延迟（如5-10秒），避免链路抖动导致频繁切换。

   bash

   lacp preempt delay 10  # 延迟10秒后抢占

2. 优先级配置：为了更精确地控制哪些链路优先活动，通常会配置端口优先级：

   interface gi0/0/1
     lacp priority 100  # 数值越小优先级越高

3. 对端配置：此配置仅为本端，对端交换机也必须配置相应的LACP聚合组，且建议配置相同的max active-linknumber值，否则可能协商失败。

路由/路由器

负责在不同网络之间转发数据的设备

路由器决定到达目标的路径

路由器也为直连网络的主机充当“网关”角色

路由器是实现网络互联的最核心设备

路由器工作原理

每台路由器维护一份路由表，记录着

要访问XX网络应该从哪一个接口发送

以及可达到的下一个路由器（或主机）的地址

工作流程：检查数据包的目标ip地址，在路由表中查找到目标的路线，按照最佳路线转发数据包

配置接口地址

int g0/0/1
ip address 192.168.1.254 24

查看路由表

display ip routing-table

配置路由器远程登录-----------

int g0/0/0
ip add 192.168.1.254 24

配置路由器远程登录密码------

user-interface vty 0 4 表示可以同时打开5个会话
authentication-mode password  启用密码验证
set authentication password cipher 123456  设置登录密码
user privilege level 3  设置权限级别，默认0