导图社区 HCIE面试理论脑图

2.3k
38
14
举报

发布时间：2021-07-22

HCIE面试理论脑图

HCIE是华为认证体系中最高级别的ICT技术认证，旨在打造高含金量的专家级认证，为技术融合背景下的ICT产业提供新的能力标准，以实现华为认证引领ICT行业技术认证，播种ICT行业未来的愿景。本图详细的梳理了HCIE面试理论，有需要的收藏下图详细吧！

编辑于2021-07-22 11:27:35

HCIE
技术认证

December

HCIE面试理论脑图

社区模板帮助中心，点此进入>>

December

相似推荐
大纲

二层

ARP

ARP协议原理

同网段工作原理

发送ARP请求，报文目的MAC为FFF，目的IP为对端IP地址，对端单播回复，得到MAC地址封装后转发；

不同网段工作原理

通过与运算，ARP广播请求网关MAC，网关设备单播回复网关的MAC，设备收到从新封装目的MAC为网关MAC发给网关，网关收到是自己MAC查表，网关以自己为源发ARP请求另外一端设备MAC地址，回复之后加表，封装转发

ARP代理

同一个网段的主机不在同一个广播域特点： ARP代理部署在网关上，主机不需要改动配置 ARP代理使两个网络可以使用同一个网络号 ARP代理只影响主机的ARP表，对网关的ARP表和路由表没有影响

路由式ARP

同网段，不同vlan，场景（路由器两边都是PC场景）

vlan内ARP

互通主机处于相同网段，并且属于相同vlan，但是vlan内设置端口隔离场景；

vlan间ARP

互通主机处于相同网段，但属于不同vlan；super vlan场景；

ARP分类

动态ARP

主动或者被动通过ARP请求形成的表项，可以被新ARP报文更新，可以被静态ARP覆盖，可老化

老化参数：老化超时时间，老化探测次数和老化探测模式动态ARP达到ARP老化超时时间会发送老化探测报文，若收到，则会更新动态ARP表项，本次探测结束；若探测次数超时还未收到，则会删除该动态ARP表项，本次探测结束；探测报文可以是单播和广播；缺省情况下，最后一次发送是广播，其余是单播发送；当接口down时，设备会立即删除动态ARP表项

静态ARP

手工配置IP地址和MAC地址之间固定的映射关系，不可老化，不可覆盖

短静态ARP表项

手工建立IP地址和MAC地址之间固定的映射关系，未同时指定vlan和出接口

如果说出接口处于二层模式的以太网接口，短静态不能直接用于报文转发，当需要报文发送的时候，设备会发送ARP请求报文，如果收到的ARP请求报文中的源IP和源MAC与所配置的IP和MAC相同，则会将ARP应答报文的vlan和接口加入该静态ARP表项。后续设备可用该静态ARP表项转发报文。

长静态ARP表项

手工建立IP地址和MAC地址之间固定的映射关系，同时指定vlan和出接口；可直接用于报文转发

应用场景

对于重要的设备，比如核心设备，服务器等；可以在交换机上配置静态ARP，防止与重要的核心设备IP地址对应的ARP表被ARP攻击报文错误更新，从而保证用具与重要设备之间正常通信当网络设备的MAC地址为组播MAC地址，可以在交换机上配置静态ARP表项。缺省情况下，设备收到源MAC地址为组播MAC地址的ARP报文不会进行学习当希望禁止某个IP地址访问，可以在交换机上配置静态的ARP表项，将该IP地址与一个不存在MAC地址进行绑定

免费ARP

作用：

IP地址冲突检测

当设备接口UP，设备主动对外发送免费的ARP报文。正常情况下不会收到ARP报文的应答，若收到，则表明存在与自身IP地址重复。若检测到重复IP地址，设备会周期性的广播发送免费的ARP应答报文，直到冲突检测。

通告新的MAC地址

若发送方网卡更换，在动态ARP老化之前通告其他网络设备，发送方可以免费发送一个免费的ARP

VRRP备份组主备变换

主备发送改变，备设备主动发送一个免费的ARP报文通告发生了主备切换

收到免费ARP如何处理

当设备收到免费ARP报文之后如果未使能ARP表项严格学习功能，设备会进行ARP学习如果设备使能ARP表项严格学习功能，则会进行以下判断如果免费ARP报文中的源IP地址和自己的IP地址相同，则会周期性广播发送免费ARP报文，告知存在IP地址冲突，直到冲突解除如果免费ARP报文中的源IP地址与自己的IP地址不同，免费ARP报文是在vlanif接口收到，并且设备上已经有免费ARP报文中源IP地址对应的动态ARP表项，则进行ARP学习，根据收到的免费ARP报文进行更新ARP表项。

报文：免费ARP报文中源IP地址和目的IP地址都是自己，源MAC是自己的MAC，目的MAC地址是广播地址

ARP的作用

通过广播目的IP地址解析目的MAC地址

ARP报文格式

报文总长度42字节，前14字节的内容表示以太网首部，后28字节表示ARP请求或应答报文字段长度含义以太网目的MAC 48比特以太网目的MAC地址。发送ARP请求报文时，该字段为广播的MAC地址0xffff-ffff-ffff。以太网源MAC 48比特以太网源MAC地址。帧类型 16比特数据的类型。对于ARP请求或应答来说，该字段的值为0x0806。硬件类型 16比特硬件地址的类型。对于以太网，该字段的值为1。协议类型 16比特发送方要映射的协议地址类型。对于IP地址，该字段的值为0x0800。硬件地址长度 8比特硬件地址的长度。对于ARP请求或应答来说，该字段值为6。协议地址长度 8比特协议地址的长度。对于ARP请求或应答来说，该字段值为4。 OP 16比特操作类型。OP的值与操作类型的关系如下： 1表示ARP请求报文。 2表示ARP应答报文。源MAC 48比特源MAC地址。该源MAC地址与以太网首部中的以太网源MAC相同。源IP 32比特源IP地址。目的MAC 48比特目的MAC地址。发送ARP请求报文时，该字段为全0的MAC地址0x0000-0000-0000。目的IP 32比特目的IP地址。

以太网目的MAC--以太网源MAC--帧类型--硬件类型--协议类型--硬件长度--协议长度--OP--源MAC--源IP--目的MAC--目的IP

安全

DHCP snooping和DAI

DHCP snooping

客户端发送DHCP request请求报文的通过信任接口发送给服务器，端口使能DHCP snooping之后会产生DHCP snooping绑定表生成静态MAC地址表项；

配置动态ARP检测（DAI）

当收到的ARP报文时，将ARP报文中内容与DHCP snooping表进行比较；场景：DHCP snooping

IMCP攻击

畸形攻击：向目标设备发送有缺陷的IP报文，使目标设备处理报文出错；

IGMP空报文：解决办法：启用畸形报文攻击防范，检查到此类报文，直接丢弃；

smurf 攻击：向目标设备发送源地址为目标主机地址，目的地址为网络广播地址的ICMP请求报文；解决办法：启用畸形报文攻击防范，检查到此类报文，直接丢弃；

分片攻击：向目标设备发送分片报错的报文，使目标设备消耗CPU资源

fawx攻击：发送igmp分片，一共两片，第一片9字节，第二片16字节；解决办法：启用分片攻击防范，收到fawx直接丢弃；

ping of death：发送一些尺寸数据长度超过65535字节的icmp报文，造成目标设备协议栈崩溃；解决办法：启用分片攻击防范，收到此类直接丢弃；

IMCP 泛洪攻击防范

短时间向目标设备发送大量不存在的报文，导致目标设备无法正常处理；解决办法：开始CAR限速，保证CPU不被攻击；

ARP攻击手段&解决办法

ARP泛洪攻击原理--如何防御

原理：短时间发送大量的源地址变化的ARP报文，占满ARP表项资源，导致合法用户的报文不能正常通信；发送大量不能的解析目的IP，导致设备触发大量的ARP miss消息，生成临时的ARP表项，造成CPU负荷过大；

如何防御： 1. ARP报文限速：防止设备处理大量的ARP报文，导致CPU负荷过大无法处理其他业务； 2. ARP miss消息限速：防止设备收到大量目的IP地址不能解析的报文，从而减少触发arp miss消息，导致CPU负荷过大无法处理其他业务； 3. ARP表项严格学习：只有本设备主动发送的ARP报文的应答报文才能触发本设备学习ARP；防止其他设备发送ARP攻击报文，防止占满ARP表项； 4：ARP表项限制：设备接口设置最大动态ARP表项数目； 5： ARP优化回答：目的IP地址是本设备接口IP地址可直接回复；

ARP欺骗攻击原理--如何防御

原理：攻击者伪造ARP报文向网关设备发送ARP，造成其他主机与网关设备不能正常通信

如何防御： 1. ARP表项固化：设备第一次学习到ARP后，不允许该用户更新次ARP表项；或者发送单播ARP请求的方式进行更新ARP表项；防止攻击者发送ARP报文修改正确的ARP表项； 2. 动态ARP检测：使能动态ARP检测DAI，对收到的ARP报文中的信息与DHCP snooping绑定信息进行比较； 3. ARP 防网关冲突：防止攻击者伪造网关设备发送ARP报文，非法修改用户的ARP表项； 4. 发送免费的ARP：主动向用户发送以自己的IP地址为目标地址的ARP报文，定时更新用户设备的ARP表项的网关MAC地址； 5. ARP报文内MAC地址一致性检查：对ARP报文进行检查，防止报文字段信息更改； 6. ARP表项严格学习：只有本设备主动发送ARP报文或应答报文才能触发ARP学习； 7. ARP合法检查：对收到的ARP合法检查，对IP地址或者MAC地址不合法直接过滤； 8. DHCP触发ARP学习：设备收到DCHP ACK报文确认后生成ARP表项；

ARP攻击防御手段&原理

基础知识

交换机接口类型

access接口收发处理

收

带标签

与自己PVID比较，相同则收

与自己的PVID比较，不同则不收

不带标签

打上缺省的PVID

发

剥离标签，发送

trunk接口收发处理

收

带标签

在允许列表，则接收

不在允许列表，则不收

不带标签

打上缺省PVID，在允许列表，则接收

打上缺省PVID，不在允许列表，则不收

发

与默认PVID一致，在允许列表，剥离发送

与默认PVID一致，不在允许范围内，不发送

与默认PVID不一致，在允许列表中允许vlan id，保持原有tag，发送

与默认PVID不一致，不在允许列表中，不发送

hybird 收发处理

收

带标签

在允许列表，则接收

不在允许列表，则不收

不带标签

打上缺省PVID，在允许列表，则接收

打上缺省PVID，不在允许列表，则不收

发

带标签

若与默认PVID相同，在允许列表，保留发送

不带标签

在允许列表，剥离发送

命令： port hybrid pvid vlan 4 //打上缺省PVID port hybrid untagged vlan 2 to 4 //允许列表，发送时剥离发送 port hybrid tagged vlan 5 to 7 //允许列表，发送时保留tag发送

灵活运用各类接口组合对接

思考题：通过hybrid技术实现

数据帧类型

如何区分以太帧和802.3帧

以太网帧和802.3帧最大区别是通过类型/值字段区分，长度表示802.3帧，MTU<=1500字节；类型表示以太网帧，MTU>1500；

以太帧常见类型值

0x0800是IP报文； 0x0806是ARP报文； 0x8000是ISIS报文； 0x8863是DHCP发现阶段； 0x8864是DHCP会话阶段； 0x08DD是IPv6；

以太帧/802.3帧格式

DMAC--SMAC--type/(length--LLC--SNAP)--data--FCS

什么协议使用802.3帧

802.3帧data长度

1492字节，因为802.3帧中没有类型字段，需要添加LLC子层指示上层协议，而LLC子层占用的是Data字段，其中LLC子层内容占了6字节，type占了2字节，共8个字节

交换机工作原理

二/三交换机/路由器收到未知表项如何处理

二层交换机：单播：交换机会查看是已知单播帧还是未知单播帧；若是未知单播帧，学习该帧源MAC，进行泛洪转发；若是已知单播帧，更新MAC地址表项组播：缺省情况，进行泛洪处理；若配置IGMP snooping 不会进行泛洪处理，会发给指定的接收交换机；广播帧：二层交换机直接泛洪转发；三层交换机：单播：收到未知单播泛洪组播：未知组播协议的组播0180-c200-xxxx未知是丢弃，流量组播泛洪，除非配置了IGMP Snooping，查找对应转发表项；广播：未知先广播泛洪，在上送CPU处理。路由器单播：未知单播丢弃组播：未知组播看PIM表广播：未知广播向对应广播域发送后上送CPU

二层广播和三层广播有什么区别

对于路由器而言：二层广播做ARP代理；三层广播上送CPU；对于交换机而言：二层和三层广播都是泛洪；

交换机怎么区分未知单播帧

根据收到的报文查看源MAC，查看表项是否存在；

收到组播帧是否一定泛洪

二层和三层交换机都是泛洪，若配置IGMP snooping，查看转发表项；

交换机如何判断数据这帧做二层转发还是三层转发

收到数据包解封装，查看目的MAC是不是自己的vlanif接口MAC，是--做三层转发；否--做二层转发；

二层转发

二层转发：查看源MAC地址在MAC地址表项是否存在，不存在，就泛洪学习源MAC；存在就更新MAC地址表项；

三层转发

三层转发：上送硬件转发表，硬件转发表没有，上送CPU软件查路由表，若路由表不存在，则丢弃；存在，就按照路由表转发；

一次路由多次交换

1、pc1通过目标地址判断是否在同一个网段 2、pc1会发送ARP请求VLANif2 的MAC地址 3、三层交换机会记录相应的ARP 并加入到ARP表项中三层交换机发现 ARP的目的MAC是自己vlanif2的MAC地址，通过ARP响应回复给PC1 4、PC1收到后会组装ICMP报文发给网关vlanif2. 5.交换机根据收到的源MAC和vlanID更新MAC地址表，发现目的MAC是自己vlanif2的MAC地址，所以需要三层转发，三层转发继续查找交换机芯片的三层表项，由于才上电没有建立任何三层表项，于是将报文交给CPU去查找路由表 6.CPU查找路由表对应是直连路由，查找对应出接口和vlan信息，通过ARP请求发送出去。 7.交换机收到PC应答之后将IP地址、MAC地址、接口记录到交换机芯片，更新MAC地址表和ARP表。

一次路由“CPU查找路由表转发并建立三层硬件表项”多次交换“交换机芯片转发”（第一次通信之后，PC1访问PC2，网关设备直接查找芯片转发）

交换机三次转发行为：

泛洪：除接收端口收到数据帧向其他端口转发

转发：收到数据帧查找表项找到对应出接口

丢弃：数据帧是同一个收发接口

三层交换机与路由器的区别？

三层交换机的三层转发依靠交换机芯片完成；路由器的三层主要依靠CPU完成；功能上：路由器支持NAT 外形上：从接口板卡上对比

路由器收到未知报文如何处理？

MAC子层和LLC子层的作用：

MAC子层主要是用来实现介质访问控制实体：作用：数据帧的封装与解封装、帧的寻址和识别、帧的接收与发送、帧的拆错控制；

LLC子层：为上层网络提供服务；

存储转发：交换机收到数据帧会进行FCS校验，校验通过，进行转发，校验不通过，不转发；

直通转发：交换机收到目的MAC直接转发

VLAN ID取值范围

数值范围0-4095（0,4095保留）可用范围1-4094

vlan数据帧：

PRI字段作用

表示数据帧优先级

TPID:表示帧类型，取值0*8100表示802.1q tag值 CFI:表示MAC地址是否为经典格式，CFI 0为经典格式，CFI 1为非经典格式 VID:表示该帧所属的vlan

VLAN间通信方式

单臂路由实现原理

实现不同vlan间通信（在子接口上配置dot1.q和IP地址，设备添加相应的MAC地址表项并置位三层转发标志位，从而实现vlan间通信）

单臂路由配置

interface g0/0/1.1 dot1q termination vid + X //配置子接口终结的VLAN ip address 1.1.1.254 arp broadcast enable //使能ARP广播

arp-broadcast enable 作用

默认子接口收到广播安博文会丢弃；若不使能子接口ARP广播请求报文，导致无法通信；

vlan-mapping技术

DHCP

报文类型

1. DHCP discover //客户端首次登录请求服务器第一个报文，寻找服务器； 2. DHCP offer //服务器回应客户端，并分配一个IP地址和配置信息； 3. DHCP request //三种用途； 3.1 客户端初始化，对服务器offer报文的回应； 3.2 客户端重启，确认先前分配的IP地址等配置信息； 3.3 客户端已经和某个IP地址绑定后，发送request报文单播或广播更新IP地址的租约； 4. DHCP ack //服务器对客户端的request报文的确认，客户端收到ack，才说明获得IP地址和相关信息 5. DHCP nak //服务器对客户端的request报文拒绝响应； 6. DHCP deline //客户端发现服务器分配给他的IP地址存在冲突发送此报文，并向服务器申请重新分配IP地址； 7. DHCP release //客户端主动释放服务器给他分配的IP地址，发送此报文通知服务器； 8. DHCP inform //客户端获取IP地址后，若需要向服务器获取更详细的配置信息，发送此报文；

接口地址和全局地址池的区别

接口地址池只能对该接口下的用户分配IP地址；全局地址池可以为此设备所有接口下用户分配IP地址；

VRRP:虚拟路由冗余协议

VRRP报文协议

VRRP报文封装在IP报文中，在IP报文中，源地址为发送报文的真实ip地址，目的地址是224.0.0.18，TTL是225，协议号是112；

优先级0：设备停止参数VRRP备份组，backup设备升级为主；优先级255：虚拟IP地址和真实IP地址相同；

VRRP联动/BFD/NQA/路由联动

VRRP心跳线

心跳线主要用于传递VRRP协议报文

VRRP常见查错误

同一个备份组出现多个master 1. 检查各master设备之间网络通信 2.检查VRRP版本和报文发送方式 3.检查master设备配置：虚拟地址，报文发送间隔，认证方式

VRRP主备切换频繁 1. 检查设备VRRP备份组是否存在联动接口，有联动检查联动配置 1.1 若配置BFD、联动接口，需检查BFD和接口的配置 1.2 若没有配置联动执行2 2. 检查设备VRRP备份组之间抢占延迟时间 2.1 若配置抢占延迟时间为0，在备份组配置非0抢占时间 3. 检查设备VRRP备份组配置通告报文发送间隔时间或者抢占延迟时间

VRRP FQA

在VRRP下挂服务器场景，为什么要基于MAC表项刷新ARP表项？解：MAC地址表项的出接口通过报文刷新，ARP表项通过出接口在老化时间到后通过老化探测进行刷新，这样就导致MAC表项和ARP表项出接口不一致的情况。使能MAC刷新ARP的功能，在MAC地址表项出接口刷新时，直接刷新ARP表项的出接口。

BFD双向转发检测

NQA 网络质量分析

MAC

MAC地址组成

48bit长，6字节（FF-FF-FF-FF-FF-FF）、12位16进制数字组成。从左到右，0-23bit是厂商向IEEE等机构申请用来标识厂商的代码，24-47bit厂商自行分配，是各个厂商制造的所有网卡的唯一编号

MAC地址分类

MAC地址3种类型

单播（物理MAC）（第一字节最后一位为0）

这种类型MAC地址唯一的标识以太网终端设备，全球唯一

组播（第一字节最后一位为1）

除广播地址外，第一字节最后一位为1的MAC地址为组播MAC地址

广播

全1的MAC地址为广播地址，标识LAN上的所有终端设备

如何查找设备MAC和接口MAC

查看设备MAC

dis mac-address

内容：MAC--接口--vlan ID

查看接口MAC

dis mac-address GigabitEthernet 0/0/1

查找系统MAC地址

display bridge mac-address

查找静态MAC地址表项

display mac-address static

MAC地址表

MAC地址表分类&表项如何形成&特点&作用

MAC地址表分类

动态表项

由接口通过报文的源MAC地址学习获得，表项可老化；系统复位，表项会丢失

作用：查找动态MAC地址表项，判断相连设备是否有数据转发查找动态MAC地址表项，获取终端连接个数

静态表项

手工配置，不可老化；系统复位，保存的表项不可丢失；接口下静态绑定MAC地址，收到其他源MAC会丢弃；一条静态表项只能绑定一个出接口；接口静态绑定之后，不会影响该接口动态MAC地址表项的学习；

作用：静态绑定接口，可以防止非法用户接入；

黑洞表项

手工配置，表项不可老化；系统复位，保存的表项不可丢失；配置黑洞MAC地址后，源MAC或目的MAC地址该MAC的报文会丢弃；（将攻击者的MAC作为黑洞MAC）

作用：配置黑洞MAC地址表项，可过滤非法用户；

表项如何形成

自动生成MAC表

一般情况下，MAC地址表通过源MAC地址学习过程而自动建立

手工配置MAC表

接口下手工配置MAC表加入静态表项，将用户与接口绑定，防止非法用户攻击；

MAC地址表组成

以MAC地址和vlan ID和VSI和出接口为索引来唯一标识

作用：指引报文进行单播转发

配置命令

配置静态MAC地址表项

mac-address static XX +接口 + vlan +vlan id

配置黑洞表项

mac-address blackhole XX + vlan + vlan id

配置动态MAC表项老化时间

mac-address aging-time + 时间 //缺省300s

全局配置

配置接口或者vlan关闭MAC学习功能

mac-address learning disable //接口或者vlan视图下配置

配置接口限制MAC地址学习数量

display mac-limit //查看MAC地址学习限制信息

接口视图

mac-limit mac-num + 数量

mac-limit action { discard | forward} //配置MAC地址超出限制数，对超出报文采取的动作

mac-limit alarm { disable | enable } //配置MAC地址超出限制数后是否进行告警

vlan 视图

mac-limit mac-mum + 数量

mac-limit alarm { disable | enable } //配置MAC地址超出限制数后是否进行告警

MAC地址学习控制

控制方式

基于vlan或接口关闭学习MAC能力

原理：对某个接口或vlan关系学习MAC的能力，将不会去学习的动态MAC地址表项，之前学习的MAC地址到达老化时间自动删除，也可手动删除

基于vlan或接口限制MAC地址数量

原理：对接口或者vlan限制MAC地址数量，若MAC地址到达限制数量，设备会产生告警信息并通知网络管理员进行维护；同时MAC地址到达限制数量，不会再去学习新的MAC地址表项，同时源MAC不包含在MAC地址表中的报文将丢弃

应用场景

端口安全

安全动态MAC地址

定义

使能端口安全而未使能sticky MAC功能时转换的MAC地址

特点

设备重启表项会丢失，需重新学习；缺省情况下不会老化，只有在配置安全MAC的老化时间后才可以老化

绝对老化：时间5分钟，系统每隔1分钟计算一次每个MAC的存在时间，若大于5分钟，则立即将该安全M动态MAC地址老化，否则，等待下1分钟在检测计算

相对老化：时间5分钟，系统每隔1分钟计算该MAC是否有流量。若没有流量，则经过5分钟奖该安全动态MAC地址老化

场景：针对用户数变化频繁；这样用户在变动时，及时清楚绑定的MAC地址表项；

安全静态MAC地址

定义

使能端口安全手动配置的静态MAC地址

特点

不会被老化，手动保存后重启不会丢失

场景:针对用户变动较少，且用户数较少情况

sticky MAC地址

定义

使能端口安全后又同时使能sticky MAC功能后转换到的MAC地址

特点

不会被老化，手动保存配置后重启设备不会丢失

场景：针对使用变动较少，这样保存配置后，绑定的MAC地址表项不会丢失；

配置

接口视图下：port-security enable //使能端口安全 port-security max-mac-num + 数字 //配置端口安全动态MAC学习数量--缺省为1 配置端口安全静态MAC地址表项 port-security mac-address +MAC地址+vlan+vlanID port-security protect-action +保护动作 //配置端口安全保护动作 port-security aging-time + 时间 //配置端口老化时间

MAC地址发生变化如何处理

场景1

交换机下面接入一台PC，接口发生变化接入另外一台PC，当有数据流量传输的时候，MAC地址会发生覆盖

超过安全MAC地址限制数后如何处理

超出限制后，若收到源MAC地址不存在的报文，交换机会认为非法用户攻击，对接口做保护处理。缺省情况下，保护动作的是丢弃该报文并上报告警

保护动作

restrict

丢弃源MAC地址不存在的报文并上报告警

protect

只丢弃源MAC地址不存在的报文，不上报告警

shutdown

接口状态被置为error-down，并上报告警（缺省情况下，接口关闭后不会自动恢复）推荐接口视图使用restart 命令重启）

用户手动undo shutdown恢复

检测到MAC地址漂移后如何处理

针对配置静态MAC地址漂移检测功能出现静态MAC地址漂移时的动作，若收到的报文的源MAC地址已经存在在其他接口的静态MAC地址表中，交换机则认为存在静态MAC地址漂移，根据端口做保护动作

保护动作

restrict

丢弃源MAC地址不存在的报文并上报告警

protect

只丢弃源MAC地址不存在的报文，不上报告警

shutdown

接口状态被置为error-down，并上报告警（缺省情况下，接口关闭后不会自动恢复）推荐接口视图使用restart 命令重启）

用户手动undo shutdown恢复

安全保护动作

restrict

protect

shutdown-----如何恢复shutdown

MAC地址漂移

什么是MAC地址漂移：原因

设备上一个vlan内两个端口学习到同一个MAC地址，后学习的MAC地址表项覆盖原MAC地址表项；

如何进行漂移检查

可以通过查看告警信息和漂移记录，快速定位和排除环路；

如何开启漂移检测

mac-address flapping detection //系统视图

如何查看漂移记录

display mac-address flapping record //查看MAC地址漂移详细记录

定位故障

如何防止MAC地址漂移

1、提高接口MAC地址优先级。当不同接口学习到相同MAC地址表项时，高优先级接口学习到的MAC地址表项覆盖低优先级的MAC地址表项，防止MAC地址在接口间发生漂移；

2、不允许相同优先级的接口发生MAC地址表项覆盖。当伪造的设备所连接的接口的优先级与安全设备所连接的接口优先级相同时，后学习到的伪造设备的MAC地址表项不可覆盖原有正确的表项；但安全设备一旦下电，那么接口仍会学习伪造设备的MAC地址，当安全设备再次上电将无法学习正确的MAC地址；

3、配置静态MAC地址防止发送漂移 mac-address static xxxx vlan xx

如何使用漂移检测环路---环路表现

环路检测特性比较

MAC地址漂移检测

优点：基于全局检测所有端口和vlan；只需要配置一条并缺省使能

缺点：发现环路只告警，不进行破坏操作

loopback detection

优点：基于接口或vlan进行环路检测；发现环路自动破环

缺点：需要配置多条命令并缺省不使能；

环路现象

MAC地址时有时无

CPU使用率升高，出现超出阈值的告警

ping 操作时通时不通

MAC地址漂移组网图

无法正常学习MAC的原因

1.检查是否配置错误导致MAC地址无法学习

检查接口vlan是否创建检查接口vlan是否在允许的列表设备是否配置路由黑洞接口是否关系MAC地址学习功能接口是否限制MAC地址学习数量接口是否配置端口安全

2.检查网络中是否存在环路导致MAC动荡

检查是否存在MAC地址漂移导致环路产生；系统视图配置mac-address flapping detection，配置MAC地址漂移检测功能配置MAC地址漂移检测功能，系统检测vlan内是否发生MAC地址漂移；display mac-address flapping record //查看MAC地址漂移记录来判断是否存在环路若存在MAC地址漂移，通过以下方式防止MAC地址漂移排除环路故障接口视图执行命令mac-learning priority，配置接口学习MAC地址的优先级

3.检查MAC地址数量是否达到设备最大支持数量。

若该接口学习到的MAC地址数小于等于该接口连接的实际运行的主机数，说明设备接入的主机已经超过设备支持的规格若该接口学习到的MAC地址数远大于该接口的所连接网络的实际运行的主机数，说明该接口所连接的网络可能存在恶意刷新MAC地址表项的攻击

链路聚合--堆叠

堆叠的作用

提高可靠性

堆叠系统多台成员交换机之间冗余备份

简化组网

多台设备堆叠成一台设备，可以不需要使用MSTP协议和VRRP协议

扩展端口数量

当接入端口不能满足现有设备接入需求，可以增加新的交换机与原交换机组成堆叠扩展端口数量

增加带宽

上行链路不能不能满足带宽，可以增加新的交换机与原交换机组成堆叠，堆叠成员交换机链路配置聚合组

长距离堆叠

可以将相距较远的楼层交换机组成堆叠，使网络拓扑更加简单，网络更加可靠

堆叠的缺点

堆叠方式

堆叠卡堆叠&业务卡堆叠区别

堆叠卡堆叠

需要专用的堆叠插卡及堆叠线缆

业务卡堆叠

通过逻辑堆叠端口绑定的物理成员端口

堆叠连接拓扑

链形堆叠

优点：首尾不需要物理连接，适合长距离

缺点：可靠性性底，其中一条堆叠链路故障，会造成堆叠分裂

场景：堆叠成员交换机距离较远

环形堆叠

优点：可靠性高，其中堆叠链路故障，不会影响堆叠系统正常工作；带宽利用率高，数据按照最短路径转发；

缺点：首尾物理连接，不适合长距离

场景：堆叠成员距离较近，并且从可靠性和堆叠链路考虑

istack

16台

istack应用场景

角色分类

主交换机

负责整个堆叠，堆叠中只能有一个主交换机

备交换机

主出故障，将接替主交换机的业务

从交换机

主要用于业务转发，除主备交换机外，堆叠中其他成员都是从交换机

什么是堆叠ID

查看堆叠ID：display stack

及成员交换机的槽位号，用来标识和管理交换机，堆叠中所有交换机的堆叠ID是唯一的；取值范围0-8

什么是堆叠优先级

堆叠优先级取值范围1-255，缺省值100

用来确认成员交换机的角色，优先级越高当选为主的可能性越大（优先级相同，MAC地址小的交换机优先成为主交换机）

堆叠建立过程--自动完成堆叠的步骤

堆叠建立的四个阶段

1.物理连接：选择适当的连接方式和网络拓扑

2.主交换机选举：成员交换机相互发送堆叠竞争报文，选出堆叠主交换机

3.堆叠ID分配和备交换机选举：主交换机收集所有成员交换机的拓扑信息，向所有成员交换机分配堆叠ID，之后选举备交换机

4.软件版本和配置文件同步：主交换机将整个拓扑信息同步给所有成员交换机，成员交换机同步主交换机的系统软件和配置文件；

堆叠连接拓扑对比

链形连接（长距离)

缺点：一条链路故障，就会造成堆叠分裂；带宽利用率底

环形连接（短距离）

缺点：不适合长距离，首尾需要物理连接

堆叠成员加入和退出过程

不带电加入过程

1.新加入的交换机连线加电启动，新加入的交换机会成为从交换机，堆叠系统原有主备交换机不变；

2.角色选举完成，主交换更新堆叠拓扑信息，同步堆叠成员交换机，并向新的成员交换机分配堆叠ID；

3.新加入的成员交换机更新堆叠ID，并同步给主交换机的配置文件和系统文件；

堆叠成员退出

1.当主交换机退出，备交换机升级为主交换机，从新计算堆叠拓扑并从新选举备交换机并同步给其他成员交换机

2.当备交换机退出，主交换机重新指定备交换机，重新计算堆叠拓扑并同步到其他成员交换机

3.从交换机退出，主交换机从新计算堆叠拓扑并同步其他成员交换机

堆叠退出触发方式

主要是通过拆除堆叠线缆和移除交换机

堆叠合并过程

与堆叠成员加入过程一样

堆叠合并主交换机选举规则：比较运行时间

堆叠分裂

分裂处理过程

分裂前

分裂后

如果堆叠主和备在同一个堆叠系统，移除成员交换机复位，重新组成堆叠

如果原堆叠主和备不在同一个堆叠系统，备交换机升级为主，重新计算堆叠拓扑并同步给其他成员交换机，指定新的备交换机；

堆叠分裂产生的影响

由于堆叠系统中的成员交换机都是使用同一个IP地址和MAC地址，堆叠分裂后，可能产生多个相同的IP地址和MAC地址的堆叠系统；

多主检测MAD

直连检测

指堆叠成员通过普通线缆直连的专用的链路进行检测; 堆叠系统分裂后，堆叠交换机之间发送MAD报文进行冲突处理；周期性发送，1s为周期

中间设备直连检测

通过中间设备直连检测，成员交换机之间至少有一条检测链路与中间设备相连

full-mesh 直连检测

每两个成员之间至少有一条检测链路

代理检测

代理检测方式是在堆叠系统eth-trunk上启用代理检测，在代理设备上开启MAD检测功能。在代理检测方式中，堆叠系统正常运行时，堆叠成员交换机以30s为周期通过检测链路发送MAD报文。堆叠成员交换机对在正常工作状态下收到的MAD报文不做任何处理；堆叠分裂后，分裂后的两台交换机以1s为周期通过检测链路发送MAD报文进行多主冲突处理。

单机代理检测

堆叠系统互为代理--代理检测方式：两套堆叠系统

MAD冲突处理

堆叠分裂后，MAD冲突处理机制会使分裂后的堆叠系统处于Detect状态或Recovery状态。Detect状态表示堆叠正常工作状态，Recovery状态表示堆叠禁用状态。

MAD冲突处理机制如下：MAD分裂检测机制会检测到网络中存在多个处于Detect状态的堆叠系统，这些堆叠系统之间相互竞争，竞争成功的堆叠系统保持Detect状态，竞争失败的堆叠系统会转入Recovery状态；并且在Recovery状态堆叠系统的所有成员交换机上，关闭除保留端口以外的其它所有物理端口，以保证该堆叠系统不再转发业务报文。

竞争规则：比较启动时间>比较优先级>比较MAC地址

istack配置

堆叠卡组件堆叠配置

1.安装堆叠卡

2.配置命令

stack slot slot-id renumber new-slot-id //配置设备堆叠ID stack slot slot-id priority +优先级 //配置成员交换机的堆叠优先级

3.设备保存，下电

4.连接堆叠线缆

业务口组建堆叠配置

1.配置物理成员端口加入逻辑堆叠端口

2.配置成员交换机的堆叠ID（可选）

3.配置成员堆叠优先级（可选）

4.保存，设备下电

5.连接堆叠线缆上电

6.检查堆叠是否成功

CSS

2台

CSS与istack的对比

盒式与框式的区别：CSS为框式交换机堆叠，而istack是盒式交换机堆叠

堆叠数量区别：istack最多支持16台（CE交换机），CSS支持2两台

交换机角色：CSS只支持两台，只有主备交换机；istack最大支持16台，角色主备从交换机

CSS应用场景

角色分类

主交换机

管理整个堆叠系统，一个堆叠系统中只有一台主交换机

备交换机

当主交换机故障，备交换机接替主交换机，堆叠系统中只有一台备交换机

CSS建立过程

集群系统自动完成步骤

集群建立，成员交换机之间相互发送集群竞争报文，通过竞争选出一台主交换机，负责整个集群系统，另外一台则成为备交换机；

S系列

1.运行状态比较，已经运行的交换机优先处于启动状态的交换机为主交换机；S系列交换机

2.堆叠优先级比较，堆叠优先级高的优先为主；S系列交换机

3.MAC地址比较，MAC地址小的交换机优先为主；S系列交换机

4.堆叠ID比较，堆叠ID小的优先为主；S系列交换机

cloudEngine系列

1.运行状态比较，谁先启动，谁先成为主；

2.堆叠优先级比较，堆叠优先级高的优先为主；

3.软件版本比较，越新越好

4.主控数目比较，比较数量

5.MAC地址比较，MAC地址小的交换机优先为主；S系列交换机

CSS成员加入&合并过程

加入

两种情况： 1.在建立堆叠是，先将一台交换机使能堆叠功能重启，重启之后将这台交换机进入单框堆叠状态。然后再使能另外一台交换机堆叠功能后重启，则后重启的交换机为备交换机 2.在运行稳定的两框堆叠场景中，将其中一台交换机重启，则这台将以堆叠成员加入的流程重新加入，成为备交换机

合并

堆叠合并是指两个单框运行稳定合并成一个新的堆叠系统。两个单框自动选出主交换机，备交换机会重启，已备的角色加入新的堆叠系统，并同步主交换机的配置；

CSS集群分裂的影响

堆叠分裂后，若两台交换机都正常运行，其全局配置完全相同，会存在相同的IP地址和MAC地址导致地址冲突，引起网络故障；

双主检测DAD

检测和处理堆叠分裂的协议，实现堆叠分裂的检测和冲突处理和故障恢复

直连检测

中间设备直连检测

成员交换机直接检测

代理检测

eth-trunk口代理检测

堆叠系统互为代理--代理检测方式

CSS配置

堆叠卡组建堆叠配置

业务口组建堆叠配置

M-LAG（华为私有）

作用

跨设备链路聚合组，提高设备可靠性和设备级别，组成双活系统 M-LAG的两台设备逻辑被虚拟成以太设备，且两台可以独立升级，业务秒级中断的目标；正常情况下，主备同时转发数据

Peer Link链路

二层接口，必须eth-trunk相连，就算只有一个接口也是eth-trunk；主要用于同步性信息

Keepalive链路

三层接口，可达即可；双主机检测链路

建立过程

1、DFS group配对，通过peer-link链路交互发送hello包携带DFS group编号，比较编号，编号相同配对成功

2、DFS group协商主备，通过peer-link链路交互信息报文报文携带优先级和系统MAC地址确定DFS group主备状态；

3、M-LAG成员接口协商主备，通过peer-link链路交互M-LAG设备信息报文，携带接口配置信息，先UP为主，确定M-LAG成员接口的主备状态；

4、双主检测，通过Keepalive链路交互M-LAG双主检测报文，检测peer-link是否故障，正常1s为周期发送，peer-link故障，100ms的周期发送三个双主检测链路报文，加速检测。

5、M-LAG同步信息，通过peer-link链路发送同步信息同步对端的信息，两台信息同步相同的信息表，这样的好处是任意一台设备故障都不会业务中断；（M-LAG同步报文中包括MAC表项、ARP表项、ND表项等，发送M-LAG成员端口的状态）

报文格式

封装在以太报文中，在二层链路上以太头+msg header+payload node+slot+version+serial num 节点变化槽位号版本号数据报文使用TLV封装

M-LAG防环原理

水平分割原则：当交换机从peer-link收到广播报文，不会在传递给M-LAG成员接口

前提条件

广播流量

双活接入

兼容性

M-LAG一般逐台升级，而堆叠的话会全部重启，版本不一致，选择低版本兼容

流量路径

链路故障

上行链路故障，对双活系统没有影响，流量可以通过peer-link转发

下行链路故障，主备不变，下行流量会切换，双规边单归

设备/Peer-Link故障

应用场景

单向隔离

VRRP--堆叠--M-LAG对比

VRRP多台物理设备虚拟为一台，作为网关实现的是网关冗余备份，主转发流量，通过报文，备份负责监听替换，不能充分发挥性能堆叠提供设备的可靠性，适合大量数据转发和用户接入，简化了网络管理，缺点是分裂，升级中断业务 M-LAG成员交换机独立转发，可靠性高，CPU负荷不变

链路聚合配置

手动模式

执行命令interface eth-trunk trunk-id //进入Eth-Trunk接口视图; 执行命令mode manual load-balance //配置Eth-Trunk的工作模式; 执行命令load-balance { dst-ip | dst-mac | src-ip | src-mac | src-dst-ip | src-dst-mac } //配置Eth-Trunk负载分担方式。缺省情况下，交换机上Eth-Trunk接口的负载分担模式为src-dst-ip。

LACP模式

interface eth-trunk trunk-id //进入Eth-Trunk接口视图。 mode lacp //配置Eth-Trunk的工作模式。 least active-linkunmber link-number //配置链路聚合活动接口下限阈值，缺省活动接口下限阈值为1 max actice-linknumber link-number //配置链路聚合活动接口数上限阈值 load-balance { dst-ip | dst-mac | src-ip | src-mac | src-dst-ip | src-dst-mac }，配置Eth-Trunk负载分担方式。缺省情况下，交换机上Eth-Trunk接口的负载分担模式为src-dst-ip。 lacp priority priority //配置当前设备的系统LACP优先级。缺省32768；系统视图下或者接口视图 interface g0/0/0 lacp preempt enable //开启接口LACP抢占功能 lacp preempt delay delay-time //配置抢占等待时间；缺省30s

LACP模式链路聚合原理

系统优先级选举：系统LACP优先级值越小，优先级越高；接口LACP优先级：接口LACP优先级值越小，优先级越高；成员接口间M:N备份：M条活动链路，N条备份链路； LACP抢占延时：配置抢占延时是为了避免链路状态频繁变化而导致eth-trunk数据传输不稳定

LACP通过链路聚合控制协议数据单元LACPDU与对端交互信息，LACPDU报文中包含设备的系统优先级，MAC地址，接口优先级，接口号和操作key等信息；双方交互LACPDU，选举出主动端和活动链路

成员接口间M:N备份

M条活动链路，N条备份链路，实际链路带宽为M条链路总和，但是能提供最大带宽为M+N条链路总和；

手动模式链路聚合原理

手工配置，该模式下的所有活动链路参与数据转发啊，平均分担流量，若某条链路故障，链路聚合组将自动在剩余链路平均分担流量

设备支持链路聚合的方式

同板

跨板

跨框

跨设备

E-trunk

负载分担的方式

逐流和逐包，默认逐流。注意：负载分担流量是在出接口上生效

逐包--逐流

逐流是通过五元组定义一条数据流，缺点：不能保证带宽的利用率

负载分担

逐包是将一条数据流分成很多包；缺点：当数据包大小不一，导致数据包乱序；视频等关键业务不建议使用逐包方式。

负载均衡

eth-trunk转发原理

背景：在使用eth-trunk转发数据时，由于两端聚合组两端设备之间有多条物理链路，可能会产生同一个数据帧的第一个数据帧在一条物理链路上传输，而第二个数据帧在另外一条屋里链路上传输的情况，这样造成同一个数据帧的第二个数据帧有可能比第一个数据帧先到达对端设备，从而产生接收数据包乱序的情况。为了避免这种情况发生，eth-trunk采用逐流负载分担的机制，把数据帧的地址通过HASH算法生成HASH-KEY值，然后根据这个数值寻找对应的出接口，不同的MAC地址和IP地址计算出来的HASH-KEY也不同。

eth-trunk工作原理

将若干条物理链路捆绑在一起形成一条逻辑链路

eth-trunk作用

增加带宽

负载均衡

提高可靠性

高级特性--PPP

PPP建立过程

报文格式

报文分析

flag：标识起始和结束 address和control：标识PPP报文，无实际意义 protocol：标识数据帧上层协议 information：最大接收单元MRU，缺省1500 FCS：校验

报文

PPP建链过程

dead-establish阶段就是物理链路加电 establish阶段进行LCP协商，协商包括工作方式，魔术字，认证，MRU；协商成功进行OPENED阶段若配置了验证，则进行CHAP或者PAP认证；若没有配置认证，则直接进行network阶段 authentication阶段，若验证失败，进入terminate阶段，拆除链路，LCP状态转化为down，验证成功，则进入network阶段； network阶段，进行NCP协商，NPCP一般是通过IPCP协商，IPCP协商包括地址互通，地址获取；PPP在运行过程中，可以随时终止链路，进入terminate阶段； NCP协商成功，则PPP链路进入通信状态；在terminate阶段，进行资源释放

LCP协商

LCP协商的作用

用于链路的建链和维护、终止

LCP协商了那些内容

魔术字工作模式：SP或MP //SP主要是单链路 MP可以进行链路捆绑认证方式：CHAP或PAP MRU

魔术字如何防环---魔术字的作用

作用

防止物理链路层环路和物理环路

如何防环

每个configure-request报文都会产生一个魔术字，如果链路另一端收到configure-request报文之后，其包含的魔术字和本地魔术字进行比较，如果不同，表示无环路，则发送configure-ack；若相同，则会发送一个configure-nak，并携带新的魔术字；如果链路有环路，将继续持续这个过程；重复以上过程10次；现实网络中直接使用打环测试；

MRU和MTU的区别

MRU

MRU是PPP链路数据链路层，最大接收单元

MTU

以太网数据链路层，最大传输单元1500

MP的实现方式有哪些

MP的作用

增加链路带宽

负载均衡

链路冗余备份

MP怎么做认证

实验方式

VT模板和MP-group

VT模板和MP group的区别

可以根据验证通过的对端用户名查找找到虚拟接口模板，相同的用户名可以绑定在一个虚拟接口模板；多个接口和一个虚拟接口可以直接绑定实现MP，可以配置验证，也可以不配置验证

MP-group

配置简单，不能支持其他应用

认证

PAP认证过程

CHAP认证过程

验证方配置用户名

1. 验证方发送challenge报文，并同时携带用户名和报文ID，随机数发送给被验证方 2. 被验证方收到验证方的请求，首先检查本接口是否配置密码，若配置密码，则被验证方用报文ID和随机数进行hash运行进行加密，将生成的密文和被验证方的用户名回复验证方；若没有配置密码，则在验证方的用户名在本端查（AAA)找用户对应的密码，用报文ID和随机数进行hash运算进行加密，将加密生成的密文和被验证方自己的用户名回复给验证方； 3. 验证方和被验证方比较两者密文，一致则通过，反之；

验证方没有配置用户名

1.验证方携带随机数，报文ID发送challenge报文； 2. 被验证方收到之后，利用报文ID，密码进行hash 运行进行加密，将生成的密文和被验证方的密码回复给验证方 3. 验证方用自己保存的被验证方的密码和MD5对原随机报文加密，比较两者密文。

挑战报文什么时候携带用户名

当验证方接口下面配置了用户名，challenge报文携带用户名；当验证方接口下面没有配置用户名，challenge报文不携带用户名；

口令配置在全局还是接口

被验证方接口配置或全局，验证方全局配置

CHAP认证中，报文ID和随机数的作用

报文ID表示认证的识别符，主要用来区别认证，哈希因子之一

随机数：防重放攻击，哈希因子之一；防重放攻击攻击者强制破解密码，通过不断试的方式尝试破解密码；

被认证方一定要配置用户名嘛？为什么

被验证方接口下必须配置用户名，要去验证方的AAA下去找对应的密码进行hash运行

被认证方接口下不配置密码，认证方接口下不配置密码可以认证成功吗？

不可以，被认证方查不到密码，hash值就只能通过ID和随机数计算，导致最后hash值比对失败；

被认证方和认证方的用户名配置不一样可以认证成功吗？

可以，认证方回复response报文携带的是接口的用户名

NCP协商

IPCP协商

地址互推过程

静态手动配置两端IP地址

地址获取过程

动态IP地址支持PPP链路一端为对端配置IP地址

获取地址如何判断是否冲突

IP地址冲突检测，没有ARP，无MAC封装

接口掩码<30有什么问题

形成环路，路由互指；解决办法，配置30位的掩码，或者配置指向null0的的静态路由举列：1.1.1.0 25 null0 1.1.1.128 25 null0

双方接口不在相同网段能否ping 通，为什么

可以，不需要ARP，不需要二层进行封装MAC，通过32位的主机路由进行通信；PPP的NCP可以协商可以获取对端设备的IP地址。

口令在接口配置和全局配置的区别

CHAP：如果说认证方发送challenge报文携带用户名，被认证方接口可以不用配置密码；认证方challenge报文不携带用户名，被验证接口必须配置密码；

PPP和HDLC有什么区别

1、HDLC只能支持点到点 2、没有PPP的NCP过程，地址必须同网段 3、不支持认证

PPPOE建立过程

PPP为什么over在以太网上

PPP提供认证，有地址获取的功能，但是PPP是点对点链路；以太解决点到点问题，以太有广播功能，寻找服务器，以太单独服务没有认证功能；

PPP和以太帧的封装顺序

PPPOE MRU是什么，为什么

MTU:1492,中间有PPPOE头部和PPP头部占了8bit

PADO报文中有哪些内容

AC-name：表示特定的服务器； AC-cooike：防止服务攻击；

PADR报文有什么内容

AC-cooike：防止服务攻击；

PADS报文中有哪些内容

session ID的作用

标识会话

PPPOE协议发现四个步骤

客户端广播请求发送PADI报文，服务器端单播回复PADO报文，客户端单播回复PADR报文，服务器单播回复PADS报文携带session-id会话给看客户端

PPPOE三个阶段

discovery阶段--session阶段（ppp协商，数据传输）--terminate

PPPOE在拆链时，客户端和服务器都会拆链；

PADI报文为什么是广播？客户端地址没有？

发送的是二层广播；

PPPOE在发现阶段，前三个报文都是MAC地址标识服务器；

PADR为什么是单播发送？而不是广播？

因为服务器在发送PADO报文携带了MAC地址回复给客户端，客户端收到PADO报文知道服务器的MAC地址。

PPPOE client配置路由下一跳指向那个接口/缺省路由的出接口是什么？

指向dialer接口

PPPOE配置

路由器做server如何配置

配置步骤

1、配置地址池 ip pool HCIE network xxx mask xx gateway xxx 2、AAA 3、VT模板 int virtual-template 1 ppp authentication-mode chap remote address pool HCIE ppp ipcp dns 10.10.10.10 10.10.10.11 4、绑定 int g0/0/0 pppoe-server bind virtual-template 1

路由器做client如何配置

配置步骤

PPPOE client 1.配置dialer 接口 interface dialer 1 //创建dialer接口，并进入dialer 接口视图 dialer user user //使能共享DCC功能 dialer bundle 1 //指定dialer 接口使用的dialer bundle ppp chap user user ppp chap password ci admin ip address pppoe-negotiage 2.物理接口绑定 int g0/0/0 pppoe-client dial-bundle-number 1 3.配置NAT acl 2000 rule permit ip source xxx int dialer 1 nat outbound 2000 4. 配置到PPPOE server的静态路由 ip route-static 0.0.0.0 0 dialer 1 注意点： 1.需要创建dialer接口 2.NAT是在dialer接口下调用 3.缺省路由出接口是dialer 接口

AAA的含义

售前计费功能，记录网络资源

常见问题

1.主机可以ping 公网地址，但是上网很慢故障分析：PPPOE侧端口的MTU值为1492，当从这个接口上发送的三层转发报文大于1492，且报文被设备不可分片导致报文无法发送出去，出现用户上网慢的情况。解决办法：dialer接口修改MSS值小于1492（tcp adjust-mss），推荐使用1200 2.设备作为PPPOE client，无法动态获取DNS服务器地址 dialer接口视图下：ppp ipcp dns request //配置PPPOE client主动向服务器请求DNS服务器地址 dialer接口视图下：ppp ipcp dns admint-any //配置PPPOE client被动接收服务器指定的DNS服务器地址 3.设备作为PPPOE client下行接入内网用户，配置NAT后还是无法正常接入Internet 故障分析：在dialer接口绑定的物理接口上配置NAT，没有在dialer接口上配置。解决办法：Dialer接口视图下，执行命令nat outbound acl-number，配置Easy-IP地址转换。

1. PPP同步和PPP异步是什么？异步传输：异步传输将比特分成小组进行传送，小组可以是8位的1个字符或更长；同步传输：同步传输的比特的分组大很多，他不是独立地发送每个字符，每个字符都有自己的开始和停止位，而是把他们组合起来一起发送；要求接收方与发送方时钟同一，保证传输同步无间隔；异步传输面向字符，同步传输面向比特的传输；异步传输的单位是字符而同步传输的单位是帧； 2. HASH算法和加密有什么区别： HASH的结果具有相同的长度；加密算法的结果长度不同，他与本身的明文长度有成正比；哈希算法是不可逆的，（哈希值为R，即使知道文本S的哈希值为R，也不断断定文本就是S）； 3. 认证与加密的区别？加密是对数据的加密，就算非法用户获得加密过的资料，但是无法或者资料的正确内容；认证就是判断身份的真实性，确认身份之后，才能根据身份给予不同的权限； 4. PPP是第几层协议？PPP封装MAC吗？ PPP是数据链路层协议，不要封装MAC，不需要ARP请求，封装PPP 5. PPP通信过程？设备根据NCP协商阶段对端携带的IP地址生成一条去往对端设备的接口IP的主机路由。 6.PPP和HDLC的区别？ HDLC协议不支持认证；不支持IP地址的协商；没有流量控制机制；

端口隔离

应用场景

相同vlan内不同通信，加入隔离组

隔离模式和类型

模式

二层隔离或二层和三层均未隔离

类型

双向隔离或单向隔离

隔离组个数

配置命令

port-isolate enable group 1

mux-vlan

应用场景

从vlan 分类：128

group vlan 互通性vlan

separate vlan 隔离型vlan：1

mux vlan技术如何部署网关：主vlan：1

1.若不支持vlanif接口，在旁边接一个路由器

super vlan

应用场景

sub vlan 间如何通信

通过ARP代理：PC1去访问PC2，但是PC1的没有对应PC2的ARP表项，于是PC1通过ARP广播请求，网关收到广播请求之后，网关设备使能sub-vlan的ARP代理，开始通过报文中的目的IP寻找路由，发现是直连路由，出接口就是sup-vlan，向外发送ARP广播请求到PC2，PC2应答，网关学习到PC2的MAC地址。进行三层转发

sub vlan怎么上网&网关如何配置

创建一个vlanif并设置与出口路由器同网段,配置缺省路由，下一跳指向出口路由器；

sub-vlan和super-vlan的条件

sub-vlan可以绑定物理接口，super-vlan不能绑定物理接口

STP&RSTP&MSTP

二层环路&三层环路产生的原因及区别

二层环路产生的原因

交换机依赖于数据帧的源MAC地址学习，形成MAC地址表项，且交换机对广播报文的处理方式都是泛洪，导致大量数据报被复制

二层环路产生场景

两台交换机双线连接，关闭STP

二层环路产生的问题

广播风暴，MAC漂移（物理成环）

二层环路如何排查

1、查看日志；display logbuffer

2、查看CPU利用率；display cpu-usage

3、查看是否存在MAC地址漂移

4、查看接口带宽利用率

三层环路

路由互指和物理拓扑成环

物理成环一定会有数据成环吗？解：不一定，三台交换机关闭生成树，同时没有数据帧的介入进行广播/单播/组播泛洪，就没有数据成环；

二层环路和三层环路影响谁大？解：二层环路，二层环路造成MAC地址漂移，广播风暴，造成CPU超负荷；三层环路路由器自身有TTL值和路由防环机制

BPDU分类&报文字域含义

BPDU四个向量：{ 根桥ID，根路径开销，发送设备BID，发送端口PID }

BPDU

STP

配置BPDU 0x00

TC BPDU

根桥TC置1，告知下游设备删除桥MAC表项

TCA BPDU

TCA置1，告知下游设备停止TCN BPDU

TCN BPDU 0x80

拓扑变化通知BPDU

RSTP

RST BPDU 0x02

BPDU报文格式

什么是根桥ID

优先级+MAC地址组成；优先级65535，MAC地址选小的

什么是PID

端口优先级

为什么步长4096和16

优先级16bit，后12bit作为扩展的ID，作为优先级表示只能取0，那么只有前4bit可以作为优先级；取值如下; 0001-0000-0000=4096 PID占两字节，后1bit标识端口编号 0001 0000=16

桥ID比较方式

优先级+MAC地址

发送周期：2s

STP计时器

hello time ：周期性发送BPDU，确保链路正常

max age：端口BPDU老化时间,根桥配置；

forward delay: 新选举的根端口和指定端口进入forwarding状态需要30s；

STP计算

拓扑变化过程

STP拓扑变化过程

端口up/down

当设备接口up/down触发TC，根端口向上发送TCN BPDU，上游设备收到之后进行回复TCA 置位的BPDU，表示确认收到，并且该设备会复制一份TCN BPDU继续向上游端口发出，直到发到根桥设备，根桥设备收到TCN BPDU，回复TCA 置位的BPDU，同时向所有端口泛洪TC 置位的BPDU，泛洪时间35秒，其他设备收到TC BPDU后将MAC地址老化时间置位15s，泛洪全网；

RSTP拓扑变化过程

一个非边缘端口进入forwarding状态

本设备一旦检测到拓扑变化，本设备指定端口和根端口都会启动TC 计时器，两倍的hello时间，指定端口和根端口都发送RST BPDU,其中TC置位，一旦超时4s，则停止发送RST BPDU，其他设备收到RST BPDU后，清除本设备MAC地址表项，除接收RST BPDU接口；其他设备也重复以上步骤；

STP&RSTP&MSTP对比

1、端口状态

STP: disable--block--learning--listening--forwarding RSTP:discarding--learning--forwarding MSTP：同RSTP

2、端口角色

STP: DP RP 阻塞 RSTP: DP BP RP AP MSTP：域边缘端口 master端口 DP BP RP BP

3、BPDU类型

STP：版本0，类型是00，BPDU超时20s,次等BPDU收到后丢弃，flag只开发了最高位TCA和最低位TC RSTP:版本2，类型是02，BPDU超时3倍hellotime，默认18，收到次等BPDU，只发最优的，flag为开发了全部：TCA--A--F--L--role--P--TC）

4、收敛机制

EP端口 P/A协商 RP端口快速切换

5、TC BPDU

STP: up/down 发TCN-BPDU--TCA-BPDU回，根桥发TC 泛洪35s，缩短MAC老化15s RSTP：forwarding 发TC BPDU，触发TC 计时器，DP和RP都会发送，其他设备收到删除MAC地址表项

6、保护机制

BPDU保护 root保护 TC 保护环路保护

7、兼容性

STP发送配置BPDU，RSTP收到之后等待2倍hellotime,回复STP的配BPDU RSTP--MSTP：MSTP将RSTP当做instance 0进行计算

PA协商&增强型PA协商

P/A协商条件

RP---DP

点对点

全双工

半双工环路场景

P/A协商过程

1.S1和S2认为自己都是根桥，相互发送RST BPDU，S2收到BPDU比自己更优，S2为RP口，S1为DP口； 2.S1的1口进入discarding状态，于是发送一个P置位的RST BPDU，S2收到之后，开始将自己所有端口（除EP端口）进行SYN同步变量，进入临时阻塞状态，当SYN变量置位之后，所有端口进入forwarding状态，S2的2口并向S1发送一个A置位的RST BPDU； 3.当S1判断这是对自己发出P置位的回应，于是S1的DP端口马上进入forwarding状态；

增加强型P/A协商

1. 协商开始，两台设备都认为自己是根桥，根桥上的指定端口为discarding 状态，端口的SYN同步变量，触发P/A置1，向外发送P置位的BPDU，下游设备收到之后，阻塞所有端口，除边缘端口； 2. 上游设备继续发送A置位的BPDU，下游收到之后，根端口进入forwarding状态； 3. 下游设备回应A置位的BPDU给上游设备，上游设备收到之后，DP端口进入forwarding状态；

普通P/A和增加性P/A区别

普通P/A协商是先选举端口角色再发P置位的BPDU，增强型P/A协商，是便选举端口角色边发P置位BPDU；

RSTP为什么比STP收敛快

配置BPDU处理变化

STP

配置BPDU只能由根桥发出，对于收到次等BPDU，需要等待BPDU超时，超时时间20s

RSTP

每个设备都可以发送，超时时间3倍hello time*系数，收到次等BPDU不需要等待，直接进入角色计算

快速收敛

P/A协商

RSTP的DP端口UP之后，直接进入转发状态；STP 的DP端口UP后需要等待30s；

EP端口

EP端口不参与STP计算

根端口快速切换

RSTP的RP故障，AP直接切换；STP的RP故障，需要等待30s

保护功能

根保护

BPDU保护

环路保护

TC 保护

边缘端口的特性

特性

1. EP端口UP后，直接进入转发状态，不需要等待30s； 2. EP端口UP后，不算做拓扑变化，不触发TC； 3. 收到TC BPDU后，不删除EP端口下的MAC地址 4. P/A协商，不会阻塞EP端口 5. EP端口收到BPDU，会丧失EP端口特性，从新参与生成树选举；

使用场景

1.1 EP端口下一般接入终端设备 2.1/3.1 比如办公室电脑开机关机，防止拓扑变化，交换机端口设置EP端口 4.1 S1下面接入两台服务器实时传输数据，并且端口若没有设置EP端口，新接入一个S2连接S1，那么形成P/A，关闭除EP端口外所有端口；导致服务器数据不能实时传输； 5.1 交换机的EP端口下面接入终端，后修改为接入交换机，那么EP端口就会收到BPDU，丧失特性，从新参与式生成树选举；

使用时的问题,怎么解决

场景1：PC1换成S4接入S1，那么EP端口就会收到BPDU，丧失边缘端口特性，参与生成树选举；解决办法：配置BPDU保护，当EP端口收到BPDU，EP端口就会进入error-down状态，并上送到网管系统；

场景2：当PC1去ping一个不存在的地址，发送ARP广播消息，当EP1收到BPDU，每2s发送一个，EP2端口收到BPDU，EP2丧失边缘端口特性；在EP1发送BPDU之前，会形成一个2s内的临时环路产生；解决办法：在BPDU发出后再发送广播消息;全局使用命令stp eb disable,会有5s关闭边缘端口不转发；

场景3：S2可以识别BPDU，但是不能转发

STP&RSTP直连故障和非直连故障分析

STP

场景1：直连故障：30s RP切换成根端口并进入Discarding状态，等待一个Forward Delay时间（缺省值为15秒）后进入Learning状态，继续等待一个Forward Delay时间（缺省值为15秒）后才进入Forwarding状态。

场景2：非直连故障：50s RP端口等待20s收不到BPDU进入discarding状态，AP端口转为RP端口需要30s;

场景3：对于S2的RP链路故障，S2会认为自己是根桥，向S3发送次BPDU，S3的AP端口连续20s最优BPDU老化，AP端口会转化为RP端口，需要30s；

RSTP

场景1：AP转化为RP，秒切

场景2：AP转化为RP，需要等待3*hello*系数让BPDU老化，其次进行根端口快速切换；

场景3：非直连故障，对于RP口会等待3*hello*系数让BPDU老化，其次进行P/A协商；

场景4：DP端口故障，BP端口等待18s没收到BDPU，会切换为DP端口，其次等待端口从新选举30s,总共等待约48s的时间；

保护技术

根保护

根保护，防止交换机接入比桥优先级跟高的交换机，导致网络拓扑改变；一旦启用Root保护功能的指定端口收到优先级更高的RST BPDU时，端口状态将进入Discarding状态，不再转发报文。根保护只能配置在指定端口；一般经过两倍的forward-delay时间，如果端口没有收到优先级较高的RST BPDU，端口则会自行恢复；

DP端口：stp root-protection

为什么配置在指定端口？

防止根桥改变，导致RSTP 拓扑变化；越接近底层越需要配置

环路保护

当发生链路阻塞或单向链路故障，导致AR或RP收不到上游设备的RST BPDU，那么交换机会重新选择根端口，原来的根端口会转发为指定端口，阻塞端口则会进入转发状态；配置环路保护，只能在根端口或阻塞端口端口配置，若阻塞端口或根端口长时间收不到BPDU，根端口则进入discarding状态，角色切换为指定端口，阻塞端口则一致保持阻塞；不转发报文，并上报网管系统；

AP/RP端口：stp loop-protection

BPDU保护

在RSTP网络中，正常情况下，边缘端口不会收到RST BPDU，启用了BPDU保护功能后，如果有人伪造RST BPDU恶意攻击交换机，边缘端口将被Error-Down。同时通知网管系统；

stp bpdu-protection

设备收到TC BPDU，会删除MAC地址表项，若交换机时间收到大量TC BPDU，则会对设备造成很大的负担，导致网络不稳定；开启TC BPDU防报文攻击，可以设置在单位时间内设置交换机处理TC-BPDU的次数；超出的阈值，定时器到期后对其统一处理。

stp tc-protection interval x stp tc-protection threshold interval x

如何过滤BPDU

stp bpdu-filter enable 使用场景及问题

场景：交换机连接HUB 问题：收到BPDU可以忽略不计，但是无法解决环路问题

BPDU过滤用于用于边缘端口，一般配置EP端口还是会发送BPDU，由于终端设备不需要接收和不能处理，所以可以使用BPDU过滤使接口不发送BPDU

MSTP名词解释

MSTI

多生成树实例，位于MST域内和vlan进行绑定，缺省情况，所有vlan都在实例0中

每一个MSTI对应一个实例号

每一个MST域内可以存在多颗生成树，每颗生成树都成为一个MSTI

MST域

多生成树域，由交换机网络的多台交换设备以及他们之间的网段构成；相同域条件

都启用MSTP

相同的域名

相同的MSTP修订级别

相同的vlan实例

CST

公共生成树CST，域间的生成树

IST

内部生成树，每个域内实例0的树；

CIST

CST+IST组成CIST

SST

构建单生成树SST，两种情况

运行STP或RSTP的交换设备只能属于一个生成树；

MST域中只有一个交换设备，这个交换设备构成单生成树；

master端口

去往总根路径最近的端口；

域边缘端口

位于MST域的边缘并连接其他的MST域或SST的端口；

MST

1、交互BPDU选举主根和域根

2、域内计算出IST，即实例0的树，确定端口角色

3、域间计算CST，合并为CIST

4、其他实例独立计算，与CST相连的端口集成实例0的角色，其他端口独立计算

域根

IST域根

在MST域中IST生成树距离总根最近的交换设备是IST域根

MSTI域根

MSTI域根是每个多生成树实例的树根；

总根

总根是CIST的根桥，整个MSTP中网络中优先级最高的交换机；实例0的总根

主桥

IST MAster，他是域内距离总根最近的交换设备；

如果总根在MST域中，则总根为该域的主桥；

1 比较总根ID 2 计算外部路径开销CST 3 比较域根ID 4 比较内部路径开销 5 比较指定桥ID，（发送者桥ID） 6 指定端口ID 7 比较接收者端口ID

注意点：

使能STP的端口在配置收发报文格式需要注意什么？ 1. STP报文格式为标准IEEE 802.1s报文格式和私有协议报文格式；交换机支持这两种报文协议，缺省情况自适应；可以通过端口下stp compliance 命令修改；在自适应情况，本端口收到对端报文，本段可以解析并转发； 2. 若与其他厂商互通，建议执行stp config-digest-snoop使能摘听功能；并且是在域名，修订级别，vlan映射全部一致的情况，由于BPDU报文秘钥不一致导致不能正常互通，使能摘听功能，使他们的BPDU报文秘钥一致；交换机使能stp协议，用户端口如何配置： 1. 端口配置stp edge-port enable //配置为边缘端口； stp bpdu-filter enable //配置BPDU报文过滤，使能端口不再发送BPDU报文； stp disable //使能STP协议，使能端口一致保持在转发状态；交换机的STP/RSTP不能与其他厂商设备对接吗？ 1. 若其他厂商设备采用标准的STP/RSTP协议，交换机可以对接； 2. 若其他厂商设备采用非标准STP/RSTP协议（思科除外），可在端口配置stp disable、bpdu enable，实现该与该厂商STP/RSTP报文透传； 3. 对思科设备，若起了pvst，交换机现有版本无法参与协商，但是可以透传；边缘端口自动探测功能有什么作用？使能生成树，默认会开启边缘端口自动探测功能，端口在2*hello time +1 收不到BPDU报文；接口配置边缘端口，自动探测功能会失效； STP和RSTP互相兼容，但是STP会忽略RSTP发来的BPDU，运行RSTP的交换设备在某端口上接收到运行STP的交换设备发出的配置BPDU，在两个Hello Time时间之后，便把自己的端口转换到STP工作模式，发送配置BPDU，从而实现了互相兼容。

VBST

一个VLAN对应一棵生成树，不同VLAN的流量按照不同的路径转发。每棵生成树之间相互独立。

五种端口角色

根端口、指定端口和边缘端口、Alternate端口、Backup端口

两种度量

ID和路径开销。

差异：

VBST协议中BID是由桥优先级（Bridge Priority）、VLAN ID与桥MAC地址构成。桥优先级与VLAN ID之和占据前16位，其余的低48位是MAC地址。在VBST网络中，桥ID最小的设备会被选举为根桥。

报文：

其中，DMAC标识报文的目的MAC，VBST报文中的DMAC填充0100-0CCC-CCCD；VBST报文中的Data字段依据对接设备填充标准RSTP/STP报文的Data内容，默认填充标准RSTP报文。

相同点

链路故障处理方式

1、通过flush报文通知上游设备刷新MAC地址和ARP表

2、自动通过流量更新表项：这种方式与不支持smart-link功能的设备联用，当主接口故障，会删除该接口下的MAC地址和ARP表项，导致上游设备需要重新广播ARP报文将流量发出

P/A协商机制、P/A增强型协商、保护机制跟RSTP一致

SEP

smart-link：备份链路

原理：通过主端口和从端口组成一个smart-link组，利用flush报文和控制vlan机制实现链路备份；

smart-link 组：主接口（master）和从接口（slave），正常情况下，主接口转发（active）状态，从接口被阻塞（inactive）状态；

flush报文：flush报文主要用于在链路切换是通过flush报文刷新MAC地址表和ARP表项

控制vlan

发送控制vlan：当链路切换，设备会发送控制vlan内广播发送flush报文

接收控制vlan：上游设备收到flush报文，刷新MAC地址表和ARP表

负载分担

主接口和从接口都可以同时转发不同实例的流量，同时，当其中一条链路故障，smart-link会自动切换将所有的流量切换到另外一条链路上；

RRPP

ISIS/OSPF

OSPF

ospf基础知识

ospf协议号：89---IP协议无确认机制

二层协议：isis、arp、igmp 三层协议：ip、pim、icmp 四层协议：bgp、rip

ospf这个协议是做什么用的？

动态交互路由之间信息，生成路由，构建路由表信息

ospf 网络类型

广播10/40

1. 组播形式发送hello报文，LSU、LSAck报文；224.0.0.5组播地址为ospf设备预留的IP组播地址；224.0.0.6的组播地址为DR/BDR预留的组播地址 2. DD报文和LSR报文单播发送

NBMA30/120

单播发送报文

P2MP30/120

组播发送hello报文；单播发送其他报文；不选DR；

P2P

组播发送报文；不选DR；

ospf：open shortest path first 开放式最短路径：链路状态内部网关协议

network含义：在ospf中network 宣告的是接口，network 1.1.1.1 0.0.0.0 //0.0.0.0表示通配符，0表示检查，1表示忽略；

cost=参考带宽/实际带宽

路由器类型

骨干路由器

区域内路由器

区域边界路由器ABR

自治区域边界路由器ASBR

路由类型

区域内

区域间

第一类外部type1

第二类外部type2

外部路由

区域类型

普通区域

骨干区域

stub

不允许发布自制系统外部路由

配置注意：1. stub区域的路由器全部都需要配置 2. 虚连接不能穿越stub 3. stub区域不能存在ASBR，不能引入外部路由 4. 骨干区域不能配置stub

totally stub

nssa

配置注意：1. nssa区域的路由器全部都需要配置 2. 虚连接不能穿越stub 3. 骨干区域不能配置nssa

totally nssa

ospf报文

ospf头部信息

版本、router ID、区域ID、校验和、认证类型、认证数据、报文类型、报文长度、

hello报文

用于建立和维护邻居关系

邻居、DR、BDR、接口掩码、hello/dead time、DR优先级、选项位、ospf报文头部

报文字段

option选项位

E:接收外部路由

N/P：N表示为NSSA区域，P表示LSA能否7转5

DC：处理按需链路

MC：支持Mospf

DN:用于避免MPLS-VPN环路

option置位决定的区域类型

stub区域：E=0 N=0 NSSA区域：E=0 N=1 普通区域：E=1 N=0

DD报文

描述本地LSDB摘要信息

MTU、序列号、LSA头部、I M MS、ospf头部

flag置位

I：置位first DD报文 M：置位表示后续还有DD报文 M/S：置位表示本路由器为master

报文字段：MTU、SEQ、I M MS

LSR

ls type、link ID、通告者、OSPF头部

向对方请求所需LSA

LSU

LSA数量、LSAS

向对方发送所需LSA

LSACK

对收到的LSA进行确认

LSA 头部

ls age、LS type、link-id、ABV、seq、校验和、长度、options

ospf建立过程

影响ospf邻居&邻接的因素

邻居建立过程

设备状态是否进入init或2way查看对端设备的邻居表

设备进入2way，从开始第一个报文算起到2way需要40s；稳定状态：down、2way

影响ospf邻居建立的因素

收到hello报文建立不起： 1. router ID 2. 认证 3. 接口掩码 4. 区域类型 5. hello/dead time 6. 区域ID

没收到hello报文建立不起： 1. 物理层：物理链路故障，光纤信号弱 2. 数据链路层：接口vlan划分错误 3. 网络层：设备不支持组播协议，224.0.0.5；协议号89被过滤；从ospf角度接口设置为静默接口（静默接口不能收发hello报文）

影响ospf邻接的因素

MTU

从>主

从<主

选举主从原因：因为OSPF基于IP工作的，IP是无连接的协议，同时，OSPF又没有确认机制来保证DD报文的可靠传输，所以选举主从关系是为了保证DD报文有序可靠的传输；

只有一段开启MTU检测

R1开启MTU检测，R2没有开启； 1. R1发送DD报文，MTU置1400，由于R2没有开启MTU，所以不会查看MTU，直接通过 2. R2发送DD报文，由于R2不检测MTU，发送DD报文中MTU为0，R1收到DD报文，检测DD报文，发现MTU为0，小于自身接口的MTU，通过检测，进入下一步；

主设备MTU大于从设备MTU

1. 主设备发送DD报文，MTU 1500，从设备R1收到此报文，检测MTU，大于自身接口MTU值，检测不通过，停留在exstart状态； 2. 从设备R1发送DD报文， MTU 1400，主设备R2收到之后，检查MTU 1400小于自身接口MTU值，检测通过，但是收不到从设备的确认报文，所以卡在exstart状态

主设备MTU小于从设备MTU

1. 主设备发送DD报文，MTU 1400,从设备R1收到DD报文，检测MTU值小于自身接口，小于自身接口，并回复一个确认报文，进入exchange状态 2. 主设备收到之后，检测MTU值大于本接口MTU值，检测不通过，卡在exstart状态

邻接建立过程

双方使用相同的seq序列号，M不等于1，MS位置1；进入下一个阶段；

显示确认和隐士确认

RID 冲突场景

同区域

两台路由器直连，router id相同建立不起邻居；

不同区域

三台路由器不同区域，因为3类LSA的内容是路由，跟router id没有关系；

不同AS

DR 选举规则

router id选举规则

手工配置>loopback >物理接口

是否一定会选举DR

MA选；若不选DR，可能导致路由传递多次传递，浪费带宽资源；邻居建立复杂；

DR选举：先比接口优先级，其次比router ID

主从选举规则

router ID大的为主

主从选举的目的

因为OSPF基于IP工作的，IP是无连接的协议，同时，OSPF又没有确认机制来保证DD报文的可靠传输，所以选举主从关系是为了保证DD报文有序可靠的传输；

ospf状态机

down attempt：仅仅发生在NBMA场景 init：收到hello包 2way：收到hello，nei有自己的router id exstart：开始交换第一个DD，选举主从 exchangle：交互所有DD报文 loading：LSR、LSU full：LSAck

ospf稳定状态机：down--2way--full

认证在那些报文中

认证的类型

接口认证

区域认证

接口认证与区域认证同时存在怎么处理

优选选择接口认证

v-link如何做认证

1. v-link +peer +认证 2. 区域0做认证

不同网络类型互联结果

网络类型 Full邻居建立路由学习 P2P------- Broadcost √ × P2MP----Broadcost （手工设置Hello时间相同） √ × P2P--------P2MP （手工设置Hello时间相同） √ √ NBMA ----Any （单播，对方都是组播） × ×

option 选项位

ospf常用LSA

1类LSA

那台设备产生

每个设备产生

泛洪范围

本区域

作用

描述拓扑，路由

报文中每个字域含义

Type : Router Ls id : 2.2.2.2 //自身router id Adv rtr : 2.2.2.2 //自身router id Ls age : 3 Len : 60 Options : ABR E //flag：V表示虚链路 B：是否为ABR E：是否为ASBR seq# : 80000007 chksum : 0x8fb0 //以上LSA头部信息 Link count: 3 * Link ID: 23.1.1.3 //DR的接口IP地址 Data : 23.1.1.2 //自身接口IP地址 Link Type: TransNet //链路类型 Metric : 1 //开销值，每经过一个ABR，都会重新计算 * Link ID: 4.4.4.4 Data : 24.1.1.2 Link Type: P-2-P Metric : 48 * Link ID: 24.1.1.0 Data : 255.255.255.0 Link Type: StubNet Metric : 48 Priority : Low

1类LSA链路类型

Type Link ID Link data P2P 邻居的router ID 本设备接口IP地址 Transnetwork DR的接口IP地址本设备接口IP地址 Virtual link Vlink 对端ABR的router ID 本地vlink 的IP地址 Stub 网络号网络掩码

如何撤销

seq+1

重新发送一条新的LSA，内容不包括撤销的LINK 信息SEQ+1

因为1类LSA包含多个link 信息，发送3600s导致一类LSA中所有信息失效

R1的1类LSA序列号为X，R1重启,重启之后序列号是多少？如果把R1的RID更改之后？重启R1的数据库有几条1类LSA，为什么？

R1重启之后序列号为初始序列号seq 80000001,更改RID重启，会有两条，第一条是之前RID所产生的的1类LSA，一条是更改后RID产生1类LSA，由于更改RID不能达到撤销路由的目的，需要需要等待3600S后老化。

stub网络： loopback0接口 secondary地址无邻居的以太网接口网络 P2P链路

2类LSA

那台设备产生

泛洪范围

本区域

作用

描述网络拓扑和路由

报文中每个字域含义

Type : Network //类型 Ls id : 23.1.1.3 //DR的接口IP地址 Adv rtr : 23.1.1.3 //DR的router ID Ls age : 72 //LSA生存时间 Len : 32 //报文长度 Options : E seq# : 80000001 //序列号 chksum : 0x6499 //以上LSA头部信息 Net mask : 255.255.255.0 //掩码 Priority : Low Attached Router 23.1.1.3 //成员 Attached Router 2.2.2.2

2类LSA能否单独工作

不能，2类LSA只是描述成员和路由，并没有成员接口IP地址；

P2P为什么没有2类LSA，因为点对点不选举DR，在1类LSA中增加stub net，描述接口网络和掩码

如何撤销

seq+1/3600s

在network添加或删除，都会序列号+1，达到撤销的目的

3类LSA

那台设备产生

ABR

泛洪范围

区域内泛洪

作用

不同区域间传递路由

报文中每个字域含义

Type : Sum-Net Ls id : 23.1.1.0 //目标网段 Adv rtr : 2.2.2.2 //产生此LSA的router id Ls age : 74 Len : 28 Options : E seq# : 80000002 chksum : 0xf346 Net mask : 255.255.255.0 //网络掩码 Tos 0 metric: 1 //到达目标网段开销值 Priority : Low

如何撤销

3600s超时

在多个区域时，删除接口对其他区域路由器来说，ls age时间直接超时3600s

3类LSA传递规则

（1）当 ABR 在骨干区域没有活跃的邻居，会选非骨干区域的 3LSA （2）当 ABR 在骨干区域有活跃的邻居，不选非骨干的 3LSA （3）从非骨干得到的 3LSA 不会传回骨干（防环机制）（4）非 ABR 不会传递 3LSA ⚫ 路由器在 area 0 没有活跃的接口，是ABR，但它不传 3LSA ⚫ 路由器在 area 0 有活跃的接口或者邻居，是ABR，会传 3LSA

3类LSA计算开销方式：cost计算ABR到达目的网段所需要的开销

4类LSA

那台设备产生

ASBR所在区域的ABR产生

泛洪范围

通告除ASBR所在区域的其他区域

作用

介绍ASBR，告诉其他路由器如何到不同区域的ASBR

报文中每个字域含义

Type : Sum-Asbr Ls id : 23.1.1.3 //ASBR的router id Adv rtr : 2.2.2.2 //产生此四类的ABR的router id Ls age : 178 Len : 28 Options : E seq# : 80000001 chksum : 0xc96d mask:0.0.0.0 //抓包 Tos 0 metric: 1

3类和4类有什么不同

type类型不同；link state id不同，四类LSA的mast是0.0.0.0

如何撤销

3600s超时

四类LSA计算方式：

ABR到达ASBR的开销，如果是区域内设备到达ABR开销+ABR到达ASBR的开销

有四类LSA就一定会有五类LSA吗？什么场景

nssa区域不引入外部路由的前提下，会产生一条7类的缺省路由，在其他区域有四类没有5类LSA

有5类LSA就一定会有4类LSA吗？什么场景

同区域下，在nssa区域ABR上引入外部路由，区域0不会产生四类；在区域0是通过1类LSA找到ASBR

5类LSA

那台设备产生

ASBR

泛洪范围

泛洪整个ospf域

作用

外部路由信息传递到ospf普通区域

1. 连接外部路由的该接口需宣告进ospf； 2. 连接外部路由的该接口不能设置silent接口； 3. 连接外部路由的网段接口不是P2P，P2MP；

5类LSA路由是否进路由表，依靠FA地址可达性；

当路由器与ASBR在同一个区域 1. FA为0，根据1类LSA和2类LSA计算到ASBR的开销 2. FA不为0，根据1类LSA和2类LSA计算到FA地址的开销注：若FA不为0,1类和2类中没有到达FA地址的路由，此时这条5类LSA不会放进路由表

报文中每个字域含义

Type : External Ls id : 3.3.3.3 //外部网络网段 Adv rtr : 23.1.1.3 //产生此五类LSA的router id Ls age : 269 Len : 36 Options : E seq# : 80000001 chksum : 0x8325 Net mask : 255.255.255.255 //网络掩码 TOS 0 Metric: 1 E type : 2 Forwarding Address : 0.0.0.0 Tag : 1 Priority : Medium

如何撤销

3600s超时

cost值含义

cost代表去往外部路由的cost

7类LSA

那台设备产生

NSSA/total NSSA区域的ASBR

泛洪范围

仅在NSSA区域

作用

描述NSSA区域的外部路由

报文每个字域含义

FA的作用

解决次优

FA产生条件

1. 连接外部路由的该接口需宣告进ospf； 2. 连接外部路由的该接口不能设置silent接口； 3. 连接外部路由的网段接口不是P2P，P2MP；

防止次优路径：

情况1：FA地址为0，R1访问R5路径走向5-4-2-1，通过4类LSA计算路由情况2：FA地址不为0，R1访问R5路径走向5-3-1，通过FA地址，3类LSA计算

7转5条件

P置位，FA=!0

若P不置位，那么次LSA只能在NSSA区域传递

P不置位的场景：ABR上引入外部路由P不会置位FA地址也不会填充

options选项中P不置位的场景

NSSA区域会产生7类LSA的默认路由，此默认路由NP不置位，只在NSSA区域传递

Type : NSSA Ls id : 4.4.4.0 //外部路由 Adv rtr : 4.4.4.4 //ASBR的router id Ls age : 52 Len : 36 Options : NP seq# : 80000001 chksum : 0x483c Net mask : 255.255.255.0 TOS 0 Metric: 1 E type : 2 Forwarding Address : 34.1.1.4 Tag : 1 Priority : Low

如何撤销

3600s超时

总结

LSA新旧比较原则

1. 先比较序列号，序列号越高越新 2. 序列号相同，比较校验和，校验和越高越新 3. 校验和相同，比较存和时间，存活时间为3600s为最新 4. 若以上一致，时间差大于15分钟，越小越新 5. 若时间差都是小于15分钟，则认为两条LSA相同，将本地LSA保留

撤销路由总结：当LSA描述多条路由信息的时候，只能通过seq+1更新来重新计算 LSA一对一的时候可以通过3600s来老化。

9类LSA

仅在接口所在网段范围内泛洪

用于支持 GR Grace LSA 就是 Type9 LSA的一种

10类LSA

区域内泛洪

支持TE的LSA

11类LSA

在AS内泛洪

ospf选路原则

外部路由类型1与类型2如何计算开销

type 1 ：内部+外部

同为type1的外部路由，优选内部和外部成本之和最小，若相同，则负载分担；

type 2：外部

同为type2的外部路由，优选外部成本最小的路由；若外部一致，则优选内部成本小的路由，否则负载分担；

type1 和 type 2的区别

FA地址为0和非0情况，type 开销值为1 FA地址为0：type 1开销设备自身到达ASBR的开销+ASBR到外部的开销 FA地址非0：type 1等于自身到达外部路由的开销

为什么要区分类型1和类型2

因为type1可信度高，计算的是内部加外部的开销；type2是先比较外部路由，内部容易产生次优的情况；

ospf防环

区域内

SPF算法

域间路由防环

1. 非骨干区域与骨干区域相连； 2. 从骨干区域学习到3类LSA不会再泛洪到骨干区域； 3. ABR不会计算非干区域区域传过来的3类LSA进行选路

区域间路由计算

非ABR不会传3类LSA 当ABR在骨干区域有邻居，不会选择非骨干区域的3类LSA 当ABR在骨干区域没有邻居，会选择非骨干区域的3类LSA 从非骨干区域学到的3类LSA不会传到骨干区域

ABR不会计算非干区域区域传过来的3类LSA进行选路

外部路由防环

五类LSA是通过四类LSA与FA地址进行选路的，如果FA地址非0，那么就使用三类LSA进行防环，如果FA地址为0，那么就使用四类LSA防环，四类LSA防环原则与三类LSA一致，只要三类四类无环则代表五类无环；

详细说明SPF算法

ospf区域

ospf有哪些区域类型

普通区域，骨干区域、stub，totally stub、nssa、totally nssa

ospf有哪些特殊区域

nssa、total nssa、stub、total stub

stu和nssa区别

total stub和stub区别

total nssa和nssa区别

stub 和 nssa区别

stub配置注意事项

1. 不能配置在骨干区域; 2. 配置stu的区域路由器都需要配置stub; 3. 虚连接不能配置stub; 4. stub不能配置在ASBR;

stub 和nssa分别支持那些LSA类型

stub

1、2、3、3类缺省

total stub

1、2、3（缺省默认）

nssa

1、2、3、7类缺省

total

1、2、3（缺省默认）、7类缺省

7转5的条件

P置位，FA=!0

ospf vlink

vlink 的作用

1. 把不能连接区域骨干区域的非骨干区域进行连接 2. 备用链路 3. 无区域0通过v-link 建立区域0 4. 骨干区域分割 5. 流量优化

备用链路

解决次优路径

流量优化

如何建立v-link

v-link如果计算开销

本设备到对方ABR所需要的的开销

vlink如何做认证

1. v-link +peer +md5 2. 区域0做认证:authentication-mode md5

vlink仅用来传递LSA，不能用来传递数据

vlink使用时有什么问题

环拓扑路解决办法：R3和R5之间建立虚连接

ospf特性

ospf加快收敛角度

ISPF

根据网络拓扑变化节点，只对受影响的节点进行计算；

PRC

根据网络的路由变化的时候，只对变化的路由进行计算；

智能定时器

1. 动态调整时间间隔，调整路由计算次数，在间隔时间内，不产生LSA，收到的LSA不处理，从而减少网络无效的LSA产生和传播； 2. 根据用户配置和指数衰减调整路由计算间隔时间； ospf 1 spf-schedule-interval intelligent-timer 20000 1000 2000

按照优先级收敛

优先级顺序：critical>high>medium 配置举例： ip ip-prefix 1 index 10 permit 1.1.1.1 32 # ospf 1 router-id 4.4.4.4 prefix-priority critical ip-prefix 1

修改发送hello time和dead time时间影响网络的收敛速度

修改hello加快邻居发现从而加快邻居建立

ospf time hello +时间

修改dead在故障时更快感知邻居故障，加快收敛

ospf time dead +时间

修改发送LSA的时间间隔

缺省时，LSA的更新时间5s

lsa-originate-interval+时间

修改接收LSA的时间间隔

缺省时，LSA的接收时间间隔1s

lsa-arrival-interval+时间

BFD 加快网络收敛

OSPF 减小LSDB规模角度

汇总、过滤、MA网络修改为P2P，减少2类LSA、区域划分、特殊区域

smart-discover

接口没有配置smart-discover的话，接口必须等待hello time 到时才能发送hello报文，配置了smart-discover的话，直接发送hello报文，加快邻居建立；

开销值计算

参考带宽Bandwidth-reference默认取值为100Mb=100 000Kbps=100 000 000bps 实际带宽bandwidth的单位使用bit/S,以太网接口的开销默认为1，不足1的按1计算。 所以常见接口开销值为： a)十兆：100Mb/10Mb=10 b)百兆：100Mb/100Mb=1 c)千兆：100Mb/1000Mb=0.1==1 d)串口E1：100Mb/2.048=48.82==49

路由选路原则

域内>域间>type1 >type 2 ① 存在同一目的地的不同LSA时，LSA1/2路由>LSA3路由>LSA5、LSA7路由 ② 存在同一目的地同一类型LSA时，骨干区域优于非骨干区域 ③ 存在同一外部路由不同Type类型时，E1优于E2 ④ 外部路由都为E1，Cost越小越优先 ⑤ 外部路由都为E1，并且Cost相等，那么进行负载均衡 ⑥ 外部路由都为E2，外部Cost越小越优先 ⑦ 外部路由都为E2，外部Cost值相等，则到ASBR路由器cost小的路径优先 ⑧ 外部路由都为E2，Cost值相等，到ASBR路由器cost相等，则进行负载均衡

扩展特性

OSPF扩展特性主要包含三方面，分别为： ① LSDB超载机制 ② 按需电路 ③ Stub路由器

database overflow

数据库超限：接收外部路由数量超限，超出路由器承受能力；目的：限制外部路由数量，避免数据库超限；

原理：设置外部路由数量的限制，避免数据库超限；ospf网路中的路由器都需要配置相同的上限值；路由器一旦达到上限，将进入overflow状态，并同时启动超限状态计时器（5s),路由器超过5s自动退出超限状态；

overflow阶段：

进入overflow阶段：路由器删除所有自己产生的非缺省外部路由。

处于overflow阶段：1. 不产生非缺省外部路由； 2. 丢弃新产生的非缺省外部路由，不回复确认报文； 3. 当超限状态超时，检查外部路由数量是否仍然超限；

退出overflow阶段：1. 删除超限定时器； 2. 产生新的非缺省外部路由； 3. 新收到非缺省外部路由，回复确认； 4. 准备下一次超限阶段；

[Huawei-ospf-1]lsdb-overflow-limit 20

缺省路由下发

普通区域： ASBR上手动配置产生，通过5类LSA下发，通告到整个OSPF自治域（特殊区域除外）。 default-route-advertise （always） Stub区域： ABR自动产生一条缺省3类LSA，通告到整个Stub区域内。 Totally Stub区域： ABR会自动产生一条缺省3类LSA，通告到整个Stub区域内。 NSSA区域：在ABR自动产生一条缺省7类LSA，通告到整个NSSA区域内；在ASBR手动配置产生一条缺省7类LSA，通告到整个NSSA区域内 Totally NSSA区域： ABR自动产生一条缺省3类LSA，通告到整个NSSA区域内。

路由&过滤的方法

OSPF 可以使用的路由策略包括 route-policy，filter，filter-policy，filter-lsa-out，访问控制列表（access-list），地址前缀列表（prefix-list）。 OSPF 路由过滤可以应用于以下几个方面：路由引入的过滤：引入路由只能影响别人，不能影响自己，出方向 OSPF可以引入其它路由协议学习到的路由。在引入时可以通过配置路由策略来过滤路由，只引入满足条件的路由。 3类LSA学习、发布的过滤：（1、2类LSA无法过滤）通过filter import、filter export命令在 ABR上对进入或离开本区域的3型LSA 进行过滤。该配置只在ABR上有效（只有ABR才能发布3型LSA）。 5、7类LSA生成的过滤： OSPF 引入外部路由后会生成5、7型LSA。可以通过filter-policy export来对5、7型LSA的生成进行过滤。该过滤规则只在 ASBR 上配置才有效。接口视图下的LSA过滤。通过ospf filter-lsa-out命令，匹配除Grace LSA外的所有LSA、3、5、7型LSA，并匹配ACL规定的路由前缀时，实现LSA的通告过滤。路由计算的过滤：通过filter-policy import过滤规则，可以设置 OSPF对数据库中的区域内、区域间、外部LSA计算为路由条目时进行过滤。该过滤只作用于路由表项的添加与否，即只有通过过滤的路由才被添加到本地路由表中，产生该路由的LSA仍然会在OSPF自治系统内扩散。

路由&LSA汇总的方法

区域间ABR /外部路由 ASBR

检查LSDB规模的方式有哪些

ospf 对应MPLS VPN环境有哪些改进

ospf排障流程

控制平面

如果邻居关系处于Down状态：检查物理接口是否正常；检查掩码、认证、区域ID等是否匹配；相应接口是否在OSPF中宣告。如果邻居关系处于Init状态：检查本端接口和对端设备是否发生故障。如果邻居关系处于2-Way状态：查看接口优先级是否为0。如果邻居关系处于Exstart状态：接口下配置ospf mtu-enable的情况下，MTU是否匹配。如果邻居关系处于Exchange/Loading状态：查看本端、对端的设备、接口是否发生故障。

1. 检查路由

2. 检查邻居状态

3. 检查建立ospf的接口通信状态

4. 检查display ospf brief，查看配置信息

转发平面

1. 互连接口下是否配置了流量过滤 2. 互连接口下是否配置了策略路由 3. Ping包是否被中间的防火墙丢弃

1、检查路由策略

2、检查是否存在流量过滤策略

3、检查是否存在LSA过滤行为

4、检查行为管理设备和防火墙是否过滤

full状态

1. 查看接口网络类型是否一致； 2. 目的网段是否正确network通告； 3. 是否配置了匹配route-policy的外部路由导入过滤； 4. 是否配置了匹配filter-policy export的5、7型LSA通告过滤； 5. 是否配置了匹配filter-policy import的本地路由计算过滤； 6. 路由视图下是否配置了区域间LSA过滤； 7. 路由视图下是否配置了3、5、7型LSA的聚合not-advertise； 8. 接口下是否配置了LSA通告过滤； 9. 是否有掩码位更长或协议优先级更高、出接口与OSPF路由不同、由其他路由协议生成的路由条目。

问题：

处理ACK对LSU的确认是否还存在其他确认？答：ospf确认分为显示确认和隐士确认隐士确认：1. 建立ospf邻居，收到hello报文会进行状态切换 2. DD报文从设备使用主设备的序列号 3. 发送LSR后没有收到LSU会进行重传显示确认为收到LSU回复LSAck

ospf的router ID如果设置存在冲突有什么问题？华为设备有什么特点？答：可以手动指定;loopback地址大的，物理接口大的特点：如果发生冲突，那么系统会在一段时间后重新选择RID

ospf TE(osfp流量工程）

支持MPLS 流量工程，建立和维护TE的标签交换路径

MPLS-TE 的作用

收集TE相关信息

同一个区域设备扩散TE信息

把同步收集到的TE信息组成流量过程数据库

TE LSA

10类LSA实现收集和发布流量工程信息的目的；包含流量工程需要的链路状态信息和最大链路带宽、最大可用预留带宽、当前预留带宽、链路颜色；泛洪在一个区域内的设备进行同步形成统一的流量工程数据库；

ospf TE与CSPF交互：ospf通过10类LSA收集区域内的TE信息，带宽、优先级、cost、等把这些消息给CSPF计算

IGP shortcut和转发邻接

都是使用隧道接口作为到达某个目的地址的出接口

• 使能 IGP Shortcut 特性的设备使用隧道接口作为出接口，但不将这个隧道接口链路发布给邻居，因此，其他设备不能使用此隧道。 • 使能转发邻接特性的设备在使用隧道接口作为出接口的同时，也将这个隧道接口发布给邻居，因此，其他设备能够使用此隧道。 • IGP Shortcut 是单向的，只需要在使用该特性的设备上配置即可。

ospf GR：平滑重启

保证路由协议在重启过程中数据正常转发并且不影响业务

OSPFV3与V2的区别

ISIS

isis基于TLV架构

Isis路由器分类

level-1

只能与level-1或者level-1-2建立邻居并同区域

level-2

可以和level-2或者level-1-2建立邻居

level-1-2

能和level-1或level-2建立邻居

Isis支持的网络类型

P2P/广播

LSPID

system-id+伪节点+分片标识符组成

Isis net 地址结构

net 最多配置多少个，作用是什么

作用：标识节点所在的区域，区域地址；一般情况下，区域地址只有1个；为了平滑过渡，分割、转换，最多3个地址

多个net 地址时area id是否要求一致

不一致

1. 如果区域地址一样会怎么样

多个net地址时system id是否要求一致

不能一致，system-id标识路由器

area address

区域地址

一般只配置1个，为了平滑合并，分割，转换，最多3个地址

system ID

唯一标识主机或路由器，保证了唯一性

SEL

协议标识符

L1 & L2报文发送目的地址

L1: 0180C2000014

L2: 0180C3000015

P2P 09002b000005

Isis报文类型

IIH

level-1

level-2

接口认证

hello报文用户建立和维持邻居关系

isis authentication-mode

P2P

LSP

level-1

level-2

用于交换链路状态数据库--DD

区域认证针对level-1

area-authentication-mode

路由域认证针对level-2区域

domain-authentication-mode

SNP

CSNP：完全序列号报文

level-1

level-2

用于请求---LSR

PSNP：部分序列号报文

level-1

level-2

用于请求和确认LSP---LSAck

ISIS一共有几种报文？报文的目的地址是多少？九种报文： IIH （MA：level-1 level-2）（P2P） LSP(level-1 level-2) PSNP(level-1 level-2) CSNP(level-1 level-2) P2P 09002b000005 level-1 0180c20000014 level-2 0180c2000015

CSNP和DBD报文的区别？相同点内容：描述的LSDB的本地摘要信息不同点（产生阶段不同、确认机制、报文字段） 1.CSNP在P2P 只发一次，在MA网络周期性发送；在ospf中exstart状态开始交互DBD报文，进入loading就不要发送DBD报文； 2.CSNP不管是在P2P还是MA都是描述的LSDB的内容；在ospf当中，第一个DD报文是为了选举主从，携带MTU I M MS SEQ ,选完主从在确定序列号； 3.CSNP报文是不需要确认的；OSPF 中DBD需要确认，主设备发送DBD，从确认

什么时候会产生LSP报文 MA网络，建立邻居关系之后发送LSP消息 P2P网络，对端发送CSNP报文，我收到之后查看自己有无缺失，缺失回复PSNP请求，对端设备发送LSP我所需要的

如何确定唯一一条LSP？如何判断一条LSP的新旧？ system-id 伪节点分片标识符收到新的会怎样？收到一样新的会怎样？收到没有自身新的会怎样？收到的LSP序列号大于本地LSP的序列号，就替换为新报文，并组播数据库内容；若小于本地LSP的序列号，则向入端口发送本地LSP报文；若两个序列号相同，比较remanning life(剩余存活时间),收到的LSP剩余存活时间小于本地LSP的存活时间，就替换为新报文，并组播数据库内容；若小于本地LSP的剩余存活时间，则向入端口发送本地LSP报文；以上相同，比较checksum，若收到的LSP的校验和大于本地LSP的校验和，就替换为新报文，比组播数据库内容；若小于本地LSP的校验和，则向入端口发送本地LSP报文；若以上都相同，不转发该报文

聚合路由产生的问题？

summary 1.1.0.0 255.255.0.0 level-1 avoid-feeback //配置avoid-feedback，避免从其他设备接收到聚合路由

summary 1.1.0.0 255.255.0.0 level-1 generate_null0_route //在本地路由表产生一条指向null0的聚合路由条目

手工配置一条指向指向null0接口的聚合路由

Isis认证类型

接口认证

level-1/level-2的hello报文进行认证

区域认证

针对level-1区域中LSP和SNP报文进行认证

路由域认证

针对level-2区域的LSP和SNP报文进行认证

是否支持单项认证

接口下认证，不支持；认证后面配置send-only可以建立，且可以学习路由

区域认证/路由域认证，邻居有，可以学习到路由

Isis邻居建立的过程

2次握手和3次握手能否兼容

可以兼容

若3次握手使用了only参数，不可以兼容

P2P默认3次，MA默认3次

P2P如果携带TLV240则为三次握手，没有携带两次握手在P2P情况配置：isis peer-ignore忽略IP地址检查，可以不在同一个子网建立邻居

2次握手

我收到你的IHH报文，进入UP 你收到我的IHH报文，进入UP

P2P IIHhello包目的地址09002b000005

3次握手

我收到你的IHH报文，进入init 你收到我的IHH报文，进入establish 我收到你的IHH报文，进入establish

为什么P2P不会选举DIS 从报文的角度看

在P2P hello报头中减少了优先级和system-id字段，增加了一个本地电路ID字段，标识发送端接口；在TLV架构，P2P hello携带了一个P2P邻接状态，用来保证邻接关系的可靠性，使用TLV240承载信息；

影响isis邻居关系建立的因素

物理层：物理链路down，光纤光衰大

链路层：设备接口vlan划分错误

没收到hello包角度

L1只能和同区域的L1或L1-2建立邻居关系，L2可以和不同区域的L2或L1-2建立邻居关系，L1无法与L2建立邻居关系，因为组播目的地址不同

system-id冲突（同区域造成直连网络震荡，不同区域无问题

网络类型要相同

MA网络要在同一个子网

MTU值相同，因为hello报文会填充MTU一致，通过padding填充字段

接口认证类型要相同

P2P如果一边配置3-only，一边没配无法建立

收到hello包角度

设备学习不到Isis路由的原因

1. 检查Isis邻居关系检查两端接口配置检查设备区域地址，路由器级别检查两端是否存在认证 2. 检查路由表，主要查看各个协议的优先级 3. 检查Isis开销模式是否相同

可以建立邻居，无法学习到路由的原因

开销类型不同，narrow收发只能窄；wide收发只能宽；narrow-compatible发用窄，收可以用窄和宽；wide-compatible发用宽，收可以用窄可宽；

如果没有DIS或DR可不可以

在ospf的MA网络中，DRother只能和DR/BDR建立full的邻接关系，交互LSA，同步LSDB，如果没有DR那么会导致MA网络的LSDB无法同步

在isis网络中，所有isis路由器都是全邻接关系，交互LSP，同步LSDB，但是在MA没有确认机制，需要DIS设备周期性发送CSNP报文进行同步LSDB

为什么DR不支持抢占，DIS支持抢占

在ospf中，DR是在2way阶段进行选举的，DR抢占会导致ospf网络中路由震荡，造成流量丢失

在isis网络中，DIS设备故障不会对Isis网络设备产生影响；如果DIS设备抢占了，那么新的DIS设备会发送CSNP报文，其他isis路由器就会向新的DIS设备泛洪一组新的LSP，这样新的DIS设备就可以正常工作了

为什么DR有备份，DIS没有备份

在ospf中，如果DR故障之后，若没有BDR，则会导致ospf网络震荡，从新收敛，导致流量丢失

在isis中，DIS发送报文间隔3.3s，如果在DIS发生故障那么其他isis路由器可以在10s内感知DIS发生故障，重新选举DIS：在isis中所有路由器都是邻接关系，互相交互LSP，同步LSDB，DIS只需要周期性发送CSNP报文，如果DIS发生故障，那么只需要选举新的DIS设备发送新的CSNP报文，其他设备收到之后将自身的LSP泛洪给DIS设备

在什么情况下需要做路由泄露？（路由泄露只能泄露路由，不会泄露拓扑信息）

为了避免次优路径

Isis LSP交互过程

广播的LSP交互过程

MA网络为什么不需要确认

isis使用DIS周期性发送CSNP来保证广播网络中链路状态数据库的同步

P2P的LSP交互过程

Isis快速收敛

Isis收敛步骤

链路故障检测

减少hello间隔时间

将IIH的发送间隔改小，可以缩短检测时间。 isis timer hello hello-interval [ level-1 | level-2 ] \\配置hello间隔时间 isis timer holding-multiplier number [ level-1 | level-2 ] \\配置邻居保持时间

BFD

bfd all-interfaces enable //isis进程下，开启BFD

生成LSP的间隔时间，用来描述新的网络拓扑结果

timer lsp-max-age age-time \\配置lsp最大有效时间，默认1200s。 timer lsp-refresh refresh-time \\配置lsp刷新周期，默认900s。 timer lsp-generation max-interval [ init-interval [ incr-interval ] ] [ level-1 | level-2 \\配置lsp生成的智能定时器，和ospf类似。

发现故障向邻居发FIB更新的时间

加快LSP泛洪的时间

flash-flood [ lsp-count | max-timer-interval interval | [ level-1 | level-2 ] ] \\使能LSP快速扩散，lsp-count是每次扩散的lsp数量

最短路径树计算时间

加快SPF计算

timer spf max-interval [ init-interval [ incr-interval ] ] \\配置spf计算的智能定时器，和ospf类似。

生成LSP，描述新的网络拓扑

主控板向显卡上发布更新路由信息的延迟

ISPF算法

针对变化的节点进行计算

PRC算法

针对变化的路由进行计算

LSP快速扩散

flash-flood [ lsp-count | max-timer-interval interval | [ level-1 | level-2 ] ] \\使能LSP快速扩散，lsp-count是每次扩散的lsp数量

按照优先级收敛

执行命令prefix-priority [ level-1 | level-2 ] { critical | high | medium } { ip-prefix prefix-name | tag tag-value }，配置IS-IS路由的收敛优先级。缺省情况下，IS-IS 32位主机路由的收敛优先级为medium，其他IS-IS路由的收敛优先级为low。

快速收敛

LSP产生时间

time lsp-generation x

SPF 计算时间

time spf x

LSP快速扩散

flash-flood x

按照优先级收敛

prefix-priority level-1 critical/high/medium

Isis LSP分片

分片工作原理

链路状态信息过大，路由器需要产生更多的分片来携带全部的链路状态信息

分片工作模式

Mode-1

用于网络存在不支持LSP分片扩展特性的路由

routerB不支持分片，routerA支持，将routerA虚拟多个routerA-1/2，让routerB认为对端是3个独立的设备，同时开销设置为0；

Mode-2

用于网络所有路由器支持分片扩展性的情况;该模式下，虚拟系统不参与路由SPF计算；

Isis是如何防环的

1. level-1默认可以渗透到level-2，level-2默认不能渗透到level-1； 2. 通过命令将level-2渗透到level-1以后，该LSP UD置位，其他level-1-2路由器不能用这条LSP，除非失去所有的level-2的邻居关系； 3. level-1-2不能使用其他路由器传来的ATT置位的LSP，即使失去了所有的level-2邻居关系也不能使用；

UD为是如何产生的

在level-1-2设备上，level-2引入level-1会产生UD置位的LSP，其他level-1-2设备收到不会使用他计算路由，当他失去所有level-1-2的邻居，才能使用；

UD位的作用

防止环路

ATT为是如何产生的

如何关闭L1-2设备下发ATT

attached-bit advertise never

L1设备收到ATT如何不产生缺省

attach-bit aviod-learning

Isis设备如何发布缺省路由

在level-1-2设备上

attached-bit advertise always

ATT位的作用

条件

1. level-1-2路由器 2. 在本区域有level-1的邻居关系 3. 在其他区域有level-2的邻居关系

作用：在L1产生缺省，通过缺省访问骨干

选路原则

L1>L2>L1(UD)

内部：相同协议（不同协议，外部优先级相同，比较内部）

外部：不同协议

Isis次优路径问题

解决办法：R4通过L2渗透到L1，L1区域产生明细路由，R1选择走下面

解决办法：R3也做L2引入L1

解决办法：使用PBR，Y访问X更改下一跳走R5；R3和R5强制连线

DIS与DR对比

相同

同步MA网络的LSDB，产生伪节点，ospf的伪节点用来产生2类LSA，isis伪节点用来周期性发送CSNP报文

不同

取值不同

DR 0-255 默认1 0不参与选举

DIS 0-127 默认64 0参与选举

备份

DR BDR

DIS 没有备份

支持抢占

DR不支持抢占

DIS支持抢占

选举过程

DR 建立邻居关系选举，需要等待40s，后建立邻接关系;DR=优先级--RID

DIS 先建立邻接关系，两倍的hello time后选举等待20s；DIS=优先级--MAC地址

饱活时间

DR--正计时0-3600

DIS--倒计时1200-0

周期泛洪

DIS每10S周期发CSNP，用于告知网络LSP

hello报文时间

ospf报文间隔10s

isis中dis报文间隔3.3s

邻接关系

ospf 在MA网络中DRother与DR和BDR是邻接关系

isis在MA网络中所有都是邻接关系

ISIS与OSPF 对比

基本特点相同点：均支持IP环境，均采用分层设计和区域设计；不同点： ospf仅支持IP，isis支持IP，也支持CLNP； ospf支持网络类型丰富，isis仅支持两种 ospf是IP协议，isis是链路层协议； ospf基于接口划分区域，isis基于设备划分区域；

邻接关系特点相同点：均通过hello建立、维持邻居关系； MA环境选举DR/DIS；不同点： ospf建立邻居条件多，isis条件少； DR和DIS选举机制不一样；

OL 位

过载位

设备承载能力有限，除必须经过的流量走，其他能绕行的尽量绕行

场景：都R2中途需要更换设备或者需要做下架处理，下架处理导致路由流量的丢失，所以在R2上使用set-overlad让R2发出的LSP中OL置位，这样其他设备在SPF计算时就不会计算R2，等到R3设备进行流量转发，将其R2设备下架

set-overload on-startup wait for bgp作用？

正常情况，R2访问R4走R3，如果说R3设备发生故障或BGP重启，R2就会切换到R1链路，如果此时R3恢复了，因为BGP基于IGP，IGP肯定比BGP收敛快，如果此时R3恢复，R2将数据包发给R3，BGP因为没有收敛完成导致流量丢失，这种情况让R3的OL置位，这样在计算SPF的时候，只会当他是一个stub路由器，这样流量不会经过R3，等待BGP收敛完成，OL位取消

isis手动下发外部缺省路由

引入路由时则不能携带原本开销命令：inhert-cost

default-route advertise 命令产生缺省，默认类型为L2；但是产生缺省路由的设备会计算发布的缺省路由，就有可能形成路由互指，存在环路风险；

如果是L1区域下发缺省路由则不会通告到L2，L2下发不会通告到L1

为什么ISIS 收敛比ospf快？

isis基于TLV架构，拓扑和路由分离，当拓扑节点发生变使用ISPF计算，叶子路由发生变化使用PRC部分路由计算；但是ospf区域中的1类2类LSA拓扑信息和路由信息是在一起的，所以当区域内叶子阶段发生变化是使用的ISPF计算，只有当3 4 5 7 类发生变化才使用PRC部分路由计算，PRC计算速度比ISPF计算速度快，而且节约CPU资源开销

如何加快Isis收敛？

两个智能定时器

加快LSP产生间隔时间

加快SPF计算时间

快速扩散机制

加快LSP泛洪

set-overload on-startup wait for bgp

如果将在R2上将L2引入L1，R3使用UD置位的这条LSP，那么会导致他有可能重新引回L2区域，当R4的X路由消失，那么R4就会使用R3传给他的X路由，造成环路

CE双归属时使用Isis有什么问题

Isis如何打TAG

什么时候一定使用宽度量，TLV 135

计算开销的方式？

路由源到目标所经历的所有链路的开销总和

状态卡在loading状态的原因是华为设备默认检测MTU，有可能发送的LSU报文超出接收端口的MTU，导致设备会丢LSU报文，由于一致等不到LSAck回复，卡在loading状态，如果在规定时间内没收到确认报文，会重传30次，默认重传间隔5s，重传30次收不到，断开邻居关系；

BGP

BGP基础

什么是AS

AS=自治域系统

AS取值范围

2字节AS号

范围为1至65535

私有AS号：64512-65535

4字节AS号

范围为1至4294967295

BGP邻居类型

IBGP

运行在同一个AS内部的BGP成为IBGP

EBGP

运行不同AS之间的BGP称为EBGP

BGP端口号

TCP 179

BGP如何发现邻居

单播建立邻居

peer+地址

BGP路由传递原则

从IBGP学到的路由，不会再传给IBGP邻居，会传给EBGP；

从EBGP学到的路由，传给IBGP、EBGP;

BGP设备只将最优路由发给对等体

路由更新时，BGP设备只发送更新的BGP路由

所有对等体发送的路由，BGP设备都会接收

BGP路由表中每一项的含义

BGP认证

MD5

只能对TCP连接设置密码

优点：配置简单，成本低

缺点：只有一个单一密码，需要手动更换

配置：peer xxxx password cipher/simple

key chain

可以对TCP连接和BGP报文进行认证

优点：有秘钥库，可定是切换

缺点：配置负载，成本高

配置

1、配置keychain库

2、peer xxxx keychain name

认证在TCP option字段

GTSM

针对收到的报文检查IP报头中TTL字段，检查是否在自身预先设置好的额匹配范围内

对不符合的TTL值可以进行允许或者丢弃的操作，实现保护IP层上层业务情况； peer xxxx valid-ttl-hops xxxx gtsm default-action (drop|pass)

双方AS不同，有什么办法能通？

使用fake命令，进行伪造

peer fake-as 命令只对EBGP对等体有效

BGP建立过程

影响BGP建立的因素有哪些

收到open报文

1、my as

as如何确定？

1、根据open报文

2、根据邻居配置 peer xxxx as y

如何确定更新源？

1、根据BGP报文封装和配置的peer地址进行对比

2、BGP封装：以太-IP-TCP-BGP-DATA

2、RID

直连RID冲突的影响

重名冲突--RID--RR

BGP建立连接过程中，进行交互open报文，RID冲突，报错发送notification报文，回到idle状态；

非直连RID冲突，导致RR收不到路由

3、版本不一致

没收到open报文

1、IGP路由问题

2、TCP 179端口号不可达

3、IBGP使用loopback建立邻居，更新源地址指错

4、认证不成功

5、EBGP配置跨跳配置邻居关系，没有配置多跳

6、配置命令peer ignore，禁止建立会话

为什么要指定更新源

双方未指定更新源

一边指定更新源能否建立邻居

connect和active状态的区别

connect：主动发1次TCP请求，SYN置位。被动等待，等待超时（32s）与别的BGP请求

active：不断连续的发TCP请求，被动等待。等待超时后（32s）进入connect状态。

两个状态来回切换，可能是TCP重传次数过多或IP地址不可达、导致open报文协议参数不一致；如果出现错误error，发送notification报文，回到idle状态

BGP报文类型、各类报文的作用

open报文内容

open报文用于BGP邻居建立

版本

my AS

谁发出，写谁的AS

hold time

协商饱和时间，3倍Keepalive=180s

RID

在open报文中，怎么知道是谁发给他的open报文

update什么时候发送

update用于通告可达路由和不可达路由

更新

撤销

route-refresh

notification

用于处理BGP进程中存在的错误信息

Keepalive

用于保持BGP连接，检测TCP连接情况

什么时候发送？

1、在opensent阶段到openconfirm阶段发送

2、周期发送默认60s一次

refresh报文的作用

用于动态请求发布者重新发布update报文，且不中断邻居关系，进行路由更新

什么时候发送？

1、route-refresh import方向会触发报文，作用：请求对端发送update报文更新

2、route-refresh export方向不触发，作用：给对端发送updata报文更新

BGP防环原则

BGP环路场景

AS内：从IGBP学来的路由，不能在IBGP传递（水平分割）

AS间：as-path

将路由更新给EBGP邻居时会将自身AS添加到as-path列表前面，收到的路由查看带有自身AS号的则丢弃；

特殊场景需使用allow-as-loop，关闭AS检查

SOO

簇内 originate-ID

收到路由，检查originator-ID是否与自身router-ID一直，若一直则丢弃

族间 cluster-list（路由反射器和它的客户机组成一个集群（Cluster））

当RR更新路由时，检查cluster-list列表存在自身的router-ID，若存在相同则丢弃

联盟

联盟路由传递原则从防环角度来看联盟AS内还是遵循IBGP水平分割原则联盟AS内通过联盟AS-Path防环从属性来看，联盟AS间传递路由Next Hop下一跳不改变，且联盟AS间传递路由时可以携带Local Preference属性

聚合路由

通过null0防环

什么是反射族

反射器和client所组成的域，该域用来域间防环

RR反射器的原则

1、RR从非客户机学来的，只传给客户机

2、RR从客户机学来的，传给他的客户机和非客户机

3、RR从EBGP学来的，传给他的客户机和非客户机

BGP选路原则

13条选路原则

漂亮老男人

每一条选路原则比较规则&缺省值

每一条选择原则的适用场景比较

local_pre与MED的区别

local-preference

决定AS出方向

apply local-preference 100

只在IBGP之间传递

公认任意属性

MED

决定AS入方向

apply cost 100

可以在IBGP/EBGP传递

可选非过渡属性

传递范围

local-preference：AS内

MED:两个AS之间

默认值

local-preference： 100

MED：0

如何修改AS-PATH长度

apply as-path 100 100 additive（添加）/overwrite（覆盖）

BGP如何负载

什么是as_path完全一致

as-path 号数量、顺序

负载配置命令

默认开启，负载1条

maximum load-balancing 1-8

选路细分

0、丢弃下一跳不可达路由。

1、优选prefrerrd_value值最高的路由（私有）

本地有效，只能在入方向使用；默认0，越大越优

ip ip-prefix 1 permit xxx route-policy 1 permit node 10 if-match ip-prefix 1 apply prefrerrd-value 1

2、优选本地优先级（local_preference）最高的路由

只能在出方向，默认100，越大越优

3、手动聚合>自动聚合>network>import>对等体学到的

4、优选as-path短的

添加 additive 覆盖 overwrite

5、起源类型IGP>EGP>incomplete

6、对于来自同一AS，优选MED小的

影响的是两个AS之间，入方向的流量

7、EBGP>IBGP

EBGP内部优先级=20 IBGP内部优先级=200

8、优选AS内部IGP的metric最小的路由

9、若以上八条属性一致，并且as-path严格一致，可以开启负载

maximum load-balancing ebgp/ibgp xx load-balancing ad-path-ignore 忽略as-path检查

1、BGP负载只对本地有效，在路由表中负载分担的，但是传递最优的给对等体

2、如果下一跳是IGP当中负载分担的话，那么BGP也会负载分担

10、优选cluster_list最短的路由

11、优选originator_ID最小的路由

12、优选RID最小的路由器发布的路由

13、优选对端较小IP地址的邻居学来的路由。

子主题

路由衰减

产生原因

BGP在大型网络中路由经常发生震荡导致路由不可用，当路由频繁发生震荡的时候，就会反复计算，消耗CPU资源

路由衰减只对EBGP路由起作用，对IBGP路由不起作用，因为IBGP路由中包含本AS内的路由，如果对IBGP路由起作用，当每台设备的衰减参数不一致的时候，就会导致路由表不一致

名词解释

惩罚值

代表了路由的稳定性，越大越不稳定

抑制阈值

达到该值，路由失效，不加入路由表不向外发布

抑制时间

路由被抑制--恢复时间

使用阈值

路由可以使用，加表，发布

半衰期

被抑制的路由每经过一定时间，惩罚值少一半

配置

dampening(半衰期分钟）（使用阈值）<（抑制阈值）<（最大惩罚值）

ORF（出口路由策略）

基于路由前缀的路由过滤，能将本设备配置基于前缀的入口策略通过路由刷新报文发送给BGP邻居，邻居收到刷新报文，根据策略构造出口策略，在发送时对路由进行过滤；这样避免了设备接收大量无用的路由，降低设备CPU

peer 地址 capability-advertise orf ip-prefix both/receive/send

BGP收敛

BFD联动

BGP是通过周期性发送Keepalive报文来时间邻居检测，但由于检测时间较长，造成数据大量丢失；BGP就引入了BGP与BFD联动技术，实现快速收敛

peer 地址 bfd enable

tracking

由于BFD需要全网部署，扩展性比较差。在无法部署BFD检测的情况下，可以在本地配置BGP peer tracking功能，快速感知链路不可达或者邻居不可达的情况，实现快速收敛；

peer 地址 tracking delay delay-time

BGP常见问题

BGP无效路由

1、目的网段和下一跳相同，例如将自己建立邻居的接口宣告进BGP

2、下一跳标签不可达，LDP中断

3、下一跳不可达、黑洞路由场景

4、vpnv4 私网路由交互失败

什么情况下，BGP邻居建立正常，但是学习不到路由

1、下一跳不可达或者标签不可达，不是最优的，不传递

2、路由被过滤

3、路由没有宣告进BGP

4、对端发送路由的数量超出peer route-limit设定的值

5、originator-id和自身router-id冲突

6、cluster-list中包含自身cluster-id

7、收到active-route-advertise 只发布IP表中最优的路由，默认发BGP表最优

8、收到EBGP更新包含自身存在本AS号

9、ORF被过滤

在什么情况下不加入BGP路由表？

1、路由过滤掉的时候

2、如果是VPNV4路由，私网交叉失败时，则不会加载到BGP路由表中，RT不符合

3、originator-id和自身router-id一致

4、cluster-list中包含自身cluster-id

5、收到EBGP更新，as-path中存在本AS号

在什么情况下路由不加入IP表？

1、下一跳不可达或非最优的路由

2、通过其他协议学习到相同的路由，优先级比BGP的优先级高的时候不会加在到IP表中

3、配置了bgp rib-only命令，禁止BGP路由下发到IP表中

4、配置了路由衰减，当BGP路由被抑制的时候，那么就会导致不会加载到IP表中

IBGP之间和EBGP之间传递路由有什么区别？

传递路由角度

收路由EBGP传IBGP传EBGP，收IBGP传EBGP不传IBGP

传递属性角度

收路由EBGP传IBGP下一跳不变，收路由IBGP传EBGP下一跳变

BGP汇总

BGP汇总方式有哪些

静态聚合

写一条被聚合的静态路由，然后宣告出去

手动聚合：下一跳为127.0.0.1

自动聚合：下一跳为127.0.0.1

聚合作用

减小路由表规模

防止路由震荡，聚合之后明细路由发生震荡不会影响聚合路由

聚合路由，自动产生一条指向null0的聚合路由，防止环路

手动汇总和自动汇总的区别

手动汇总

针对network或引入的路由进行聚合

默认不会阻止明细路由，默认会丢弃原有AS号；汇总精确；新增聚合者的AS号，RID。

detail-suppressed

过滤明细路由

as-set

防丢失原有AS号

suppress-policy

抑制指定的路由

origin-policy

有条件的聚合，仅仅在匹配route-policy时才生成聚合路由

attribute-policy

设置聚合路由属性

自动汇总

只能聚合import路由，只能在import引入的路由器上聚合；默认聚合抑制明细路由，会聚合成主类路由；

汇总后有哪些属性会发生变化

聚合后as-path会被丢失，因为对于聚合者来说，聚合路由是自己产生的，产生者为自己

变的

origin

聚合者

as-path

聚合者的as-path

next-hop

聚合者

因为聚合路由是自己产生的，会返回给聚合者，造成环路

解决办法

在聚合者后面添加as-set，保留被聚合as-path

新增属性

聚合者的AS号

聚合者RID

丢弃属性

原来的AS

路由黑洞&同步

路由黑洞产生的原因

当Y去往X，数据转发给R3，R3和R1是跨跳建立IBGP邻居，需要进行迭代为直连下一跳，将数据包转发给R2，R2没有运行BGP，同时R2没有X这条路由，导致产生路由黑洞

什么是黑洞路由？

null 0口路由

解决路由黑洞的办法

1、BGP全互联

联盟

对等体组：peer-group xxx in

2、BGP引入IGP

3、MPLS

RR和联盟对比

不需要更改现有的网络拓扑，兼容性好

配置方便，只需要在反射器上配置

集群之间需要全互联

适用于中大型网络

联盟

需要改变逻辑拓扑

所有设备需要重新配置

联盟AS之间由特殊的ebgp连接，不需要全互联

适用于特大规模

RR部署场景

当在一个AS内，设备数量多，建立的IBGP连接数就为n(n-1)/2，配置复杂，设备资源消耗大

分级反射器场景

备份反射器场景

同级反射器场景

RR自身产生路由反射出去会携带什么属性

本AS，客户机传递路由携带origin as-path next-hop med local-preference，但是经过反射器，会添加originator-id 和 cluster-list属性

如果说从EBGP传递过来的路由，那么RR不会携带cluster-list属性和originator-id属性

联盟传递原则

只传最优，IBGP不传IBGP

同步的作用

解决路由黑洞

BGP路由器必须与IGP同步，AS内的路由器不仅要通过BGP学习到此类路由，而且要从IGP协议学习到该路由才会将该路由通告给EBGP

华为为何关闭同步

BGP路由条目多引入到IGP中，设备压力和负担增大

BGP属性

名词解释

公认

任何厂商都可以识别

必遵

必须携带在updata报文，必须遵守

任意

识别，可不携带

可选

可/不可识别

过渡

无论是否识别该属性路由都继续向下传递

非过渡

识别，向下游传递；不识别，不传递

四大类属性+十条属性以及属性作用

公认必遵

origin

作用：标识路由通过什么方式学习路由

i：通过network

e：通过EGP邻居学习到的路由

incomplete:import引入的方式

如果有些成员的属性是IGP，有些成员路由的属性是incomplete，则生成的聚合路由属性是incomplete；i>e>?

as-path

作用：1、防止AS间的环路 2、可以通过as-path进行选路

收到的路由查看AS号包含自身AS号，则丢弃

as_set:是AS号的无序集合

as_sequence：是AS号的有序集合

as_confed_set：联盟中成员AS号的无序集合

as_confed_sequence：联盟成员AS号的有序集合

排序：联盟seq>联盟set>有序seq>无序set

其他属性一致，AS号越短路由越优

peer 地址 allow-as-loop //设备可以接收自己的AS号

peer 地址 public-as-only //发送EBGP报文，仅携带公有AS号

peer 地址 fake-as fake-as-number //伪造AS号建立邻居场景：网路切换，保证网络有序

as-path-limit //限制AS长度，超出丢弃

next-hop

下一跳不是直连，需要递归；传递路由记录下一跳的属性

收到EBGP邻居传来的路由，传给IGBP邻居时不会更改下一跳

收到EBGP邻居传来的路由，更新给EBGP邻居下一跳会修改

收到IBGP邻居传来的路由，传给EBGP邻居时下一跳会更改

将自己路由传给IBGP或者EBGP的时候，下一跳自动修改为自身与对端设备建立邻居的本端地址

一条路由的目的网段和下一跳相同时怎么处理？导致路由不可达；例如两台路由器设备用于建立邻居的地址宣告进BGP中，就会导致路由不可用；

一条路由起源于自身在BGP,那么下一跳为0.0.0.0，若是聚合路由则为127.0.0.1，若传递给邻居，那么下一跳会修改为建立邻居的地址为什么是0.0.0.0？因为这条路由存在于IGP中，本地已产生这条路由，存在IGP路由表，所以是0.0.0.0

公认任意

local-preference（本地优先级）

影响出站流量

仅在IBGP邻居之间有效

只在AS内部传递，默认100；越大越优

atomic-aggreate（原子聚合）

手动聚合并抑制明细会产生原子聚合属性

可选过渡

aggregator（聚合者）

谁聚合，只要聚合就会携带，携带聚合者的RID,AS号

community（团体属性）

公认团体属性

Internet

设备收到此属性路由后，可以向任何BGP对等体发送该路由，缺省属性

NO-advertise

将不向任何BGP对等体发送该路由

NO-export

将不向AS外发送该路由

NO-export_subconfed

将不想AS外发送该路由，也不想AS内其他子AS发布此路由

扩展团体属性

可选非过渡

MED（多出口鉴别器）

1、影响入站流量，MED越小越优 2、仅在两个相邻AS之间传递

MED传递范围

传给IGBP时，在AS内传递不传出AS

传递给EBGP邻居时，在EBGP邻居所在AS内传递

originator-ID和cluster-list在AS内传递

cluster_list

路由经过RR反射器时由RR添加集群列表，反射器接收路由发现cluster_list中存在自己ID，说明存在环路；

路由反射器和它的客户机组成一个集群：cluster；用于防止集群环路

originator-id

RR产生，使用的Router ID的值标识路由的始发者，用于防止集群内产生路由环路。

next-hop属性设置规则

IBGP邻居之间传递BGP路由下一跳不改变，使用命令 next-hop-local 修改

next-hop-incariable：配置下一跳不变化

路由选择与控制

什么是路由策略&什么是策略路由

路由策略

主要用于接收和发送控制路由，或者修改路由属性，应用在控制层面

策略路由

用于路由进行选路，改变数据包走向，应用在数据转发层面

单播转发流程

route-policy工作流程

ip ip-prefix

ip ip-prefix test permit 192.0.0.0 3 gre 24 less 24 //检查3位，掩码大于等于24，小于等于24

ACL和前缀列表的区别

ACL分类

基本ACL描述

可以匹配路由和过滤数据包

匹配二层MAC地址、三层的IP地址、协议号、TOS等

编号范围：2000-2999

匹配顺序

1、带VPN实例的规则优先

2、源IP地址范围小的优先

3、rule id 小的优先

高级ACL描述

可以匹配源目IP、协议号、端口号

编号范围：3000-3999

只能过滤数据包

匹配顺序

1、带VPN实例的规则优先

2、指定了特定的IP协议类型

3、源IP地址范围小的

4、目的IP地址范围小的

5、端口号范围小的

二层ACL描述

用户自定义ACL描述

用户ACL描述

前缀列表配置命令

匹配所有A类路由

ip ip-prefix A permit 0.0.0.0 1 gre 8 les 8

A类私网路由

ip ip-prefix A 10.0.0.0 8 gre 8 le 8

匹配所有B类路由

ip ip-prefix B permit 128.0.0.0 2 gre 16 le 16

B类私网路由

匹配所有C类路由

ip ip-prefix C permit 192.0.0.0 3 gre 24 le 32

C类私网路由

前缀列表怎么匹配缺省路由

ip ip-prefix quesheng permit 0.0.0.0 0

as-path-filter的作用

community-filter的作用

内部优先级&外部优先级

内部路由优先级能不能修改

外部路由优先级能不能修改

什么时候比较内部优先级

双点双向重分布有什么问题

造成环路的根本原因

造成次有的根本原因

将Isis区域换成BGP有什么问题

Isis是否支持TAG

华为设备如何避免双点双向

MPLS

MPLS报文结构

标签取值范围

0-15

0号标签（显示空标签）

0号标签主要是为了QOS使用，因为3号标签无法查看EXP优先级字段，就说如果做了QOS可以使用label advertise explicit-null，为上游设备产生0号空标签，当设备收到0号空标签，不会查看LFIB表，会将EXP字段提取出来，然后剥掉mpls报头，这样即做了QOS也无需多次查表。

产生条件

label advertise explicit-null

3号标签（隐士空标签）

次末跳弹出

一般来讲，R1去访问X的时候，在R4会查两次表，一次LFIB表，out方向是空标签，就会查FIB表，IP转发；所以产生3号标签，在R4为上游所有/32的FEC产生3号标签，当R3发现交换3号标签执行swap动作，其实3号标签是特殊的空标签，相当于在R3和R4纯IP转发，到了R4就直接插FIB表进行IP转发

产生条件

缺省情况下LDP会为自身/32的直连路由产生3号标签

命令下发：label advertise implicit -null

0号标签会保留EXP字段的优先级，3号标签无法查看

16-1023为静态指定标签

1024-2*20^-1 为动态打标签：例如LDP

S:栈底位的作用

1字节

先进后出栈

mpls支持多层标签，最后一层栈底位置1标识后面是IP报文

类似于标识上层协议

EXP位的作用

3字节

用于QOS流分类

TTL的作用：8字节（生存周期）

TTL处理方式

统一模式

1、IP报文进入MPLS域中,IP的TTL-1映射到MPLS域

2、在MPLS域中，每经过设备TTL-1，IP的TTL值不变

3、在出节点，mpls的TTL-1映射到IP TTL字段

好处：统计MPLS域中的设备数量

华为默认模式

管道模式

1、IP报文进入MPLS域中,IP报文增加MPLS域的TTL

2、在整个MPLS中，没经过一台设备TTL-1

3、在弹出MPLS，认为在MPLS中不管经过多少设备，只算做一跳

好处：保护MPLS域中的设备

TTL超时处理方式 IMCP响应报文对TTL值的处理

MPLS网络中LSR设备对IMCP超时有如下两种处理方式：

1、如果MPLS域中的LSR设备有发送者的路由，则可以通过IP报文直接回应TTL值超时消息

2、如果MPLS域中的LSR设备没有发送的路由，会忽略TTL值超时消息，继续按照LSP转发，直到传到LER设备进行回复发送者TTL值超时的消息

MPLS转发过程

MPLS转发使用了那些表项

FIB：路由转发信息表

LFIB：标签转发信息表

LIB：标签信息表

LIB表和LFIB表有什么区别

LIB：控制层面形成的表项，存储所有标签，包括自身产生的标签；

LFIB：转发层面形成的表项，从LIB表中选出最优下一跳传来的标签放入LFIB表，用于转发；

RIB表和FIB表有什么区别

RIB：控制层面，用于存储路由条目

FIB：转发层面，用于转发选择最优下一跳选择路由

NHLFE和LM表

NHLFE表

下一跳转发表项，用于指导MPLS报文转发；得出下一跳IP地址所对应的MAC，用于二层封装；

内容：tunnel-id，出接口，下一跳，标签动作

LM表

入标签映射表

内容：tunnel-id，入标签，入接口，标签操作方式

标签转发时标签表只有出接口没有下一跳行不行

不可以，因为每经过一台设备都需要重新对二层进行封装，若不指定下一跳地址就无法对该地址进行解析并重新封装二层。P2P可以

tunnel-id的作用

关联NHLFE表项，如果是MPLS转发，就需要得到tunnel-id后根据tunnel-id得到标签处理行为和出入标签接口等

MPLS有哪些转发动作

push标签压入

swap标签转发

pop标签弹出

MPLS转发过程中各类设备名称

ingress 入站设备

transit 交换设备

egress 出站设备

IN方向和out方向标签冲突了是否存在问题

不存在

int out成对出现，in方向为上游设备分配，out方向是下游设备为我分配

什么时候使用IP转发

数据流向查看FIB表，tunnel是否为0

tunnel为0查路由表，IP转发

tunnel不为0，查看LFIB表，走隧道

设备如何判断数据包是否带标签

根据二层type字段为8847标识上层为MPLS标签

如何区分上下游

数据走的方向是上游与下游的关系，打标签是下游向上游分配标签

LDP协议

LDP

标签分发协议LDP：动态打标签

LDP的建立过程

①双方启动了LDP协议之后，周期性5秒的向224.0.0.2发送Hello报文（基于UDP 源目端口号646），报文中携带了Transport address（也就是自己的Lsr id）---5s / 15s

注意：双方若为非直连设备，则以单播的方式发送Hello报文。直连设备建立LDP会话叫做本地会话。非直连设备建立LDP会话需通过手动指定邻居地址，称为远端LDP会话。

②交互完毕后由地址大的一方（lsr id大的）主动发起TCP SYN请求。（建立三次握手）注意此时TCP报文源端口为随机数目的端口为646

③双方建立完TCP连接后，地址大的一方先发送初始消息init报文，协商建立LDP会话相关参数；版本、LSR ID、标签发布方式（DU、DOD）、Hold time

交互init报文顺序： TCP链接阶段： ①主先发送TCP SYN ②从回SYN ACK ③主发ACK 同时携带了initi报文 ④从回复keepalive报文 + init报文 ⑤主回keepalive报文进行确认

④如果接收对方的参数，则向对方回复init初始消息和Keepalive报文（单播）；检测周期15s,45s超时；主要用于TCP会话饱活；

5、主动方收到初始化消息后，接收相关参数，回复Keepalive消息；

通告阶段：发送address报文和label mapping报文

address报文描述了接口的IP地址，收到该报文的设备可以根据这些接口地址产生相应的in标签

Label mapping报文则包含了 LSR-ID、FEC、以及标签映射关系。

若不接受对方的参数或建立期间发生了错误事件，则发送Notifcation报文，最终导致TCP连接断开（LDP会话失效）。

有hello包为什么还需Keepalive

hello包是饱活LDP邻居，5s一次，15s超时；Keepalive包是饱活TCP连接的，15s一次，45s超时；

LSR ID的作用

设备名字，表示设备；

lsr-id默认被映射为传输地址

传输地址的作用

用于TCP建立

接口下配置:mpls ldp transport address interface

OSPF和LDP建立有什么区别？

1、工作阶段不同 ospf工作分为三个阶段；邻居建立、LSDB同步、路由计算； LDP工作分为三个阶段；发现阶段、会话阶段、通告阶段

2、报文承载不同 ospf使用hello报文建立、维持邻居、IP协议89号，组播目的224.0.0.5 LDP使用hello包建立邻居基于UDP协议，源目端口号646，目的224.0.0.2，会话建立基于TCP，源目端口646

3、router-id概念不同 ospf使用router-id 标识设备，不要求是一个可达地址，但是建议使用loopback0地址，方便查找设备； LDP使用LSR-ID 标识设备，LSR-ID默认映射为传输地址，默认地址可达

4、保活机制不同 ospf通过hello报文维持邻居，BMA P2P 默认10s，40s超时为down LDP通过hello维持邻居，5s发送，15s为down，keepalive报文保活TCP会话15s，45s超时为down

标签管理

标签发布方式

下游自主DU

只要设备满足为FEC产生条件就会直接为自身存在FEC产生相应的in标签

优点：无需等待上游请求就可以生成标签，收敛较快

缺点：导致无用的标签占用资源

下游按需DOD

只有收到上游设备标签请求，才会根据请求报文产生相应的标签

优点：上游设备请求自己所需的标签信息，节约资源

标签控制方式

独立标签分配控制

不需要等待下游标签的分配，直接向上游设备分配标签

缺点：收敛较快不能保证LSP的连续

有序标签分配控制

需要收到下游设备分配的标签，才会向上游设备分配标签

缺点：收敛较慢，但是保证了LSP的连续

标签保持方式

自由标签保持方式

设备保存所有为自身分配的in标签

保守标签保持方式

只保留最优下一跳为自身分配的标签

华为平台默认认为那种组合

下游自主DU+有序标签分配控制方式+自由标签保持方式------缺省方式--保证了lsp连续性和加快收敛

下游按需DOD+有序标签分配控制方式+保守标签保持方式

下游自主DU+独立标签分配控制方式+自由标签保持方式

下游按需DOD+独立标签分配控制方式+保守标签保持方式

认证

MD5

keychain

gtsm

MPLS中LSP主备切换

MPLS LSP主备切换分为正切和回切，正切是主链路切换到备用链路，回切是主链路恢复切换回来，正切减少流量丢失的主要技术有FRR和LDP本远会话共存

正切

1、本远端LDP会话共存

本地邻居和远端邻居同时绑定在一个对等体上，既有本地会话也有远端会话，任意会话故障，通过另外一个会话保持，不会down，实现冗余；

2、FRR快速重路由

IP FRR可以指的是IGP路由快速收敛，但是MPLS还需要建立LSP，就还是会造成流量丢失，LDP FRR通过自由标签方式，先获取为标签产生转发表，下发到转发平面作为备用，主LSP不同时快速切换到备份路径，减少流量丢失；

回切：LDP与IGP同步

主链路故障恢复：hold-down-time

R2和R1之间的主链路出现问题后，流量切换到R1-R3上，如果主链路故障恢复了，启动定时器hold-down timer抑制IGP邻居关系的建立，等待LDP建立完成后发送mapping后IGP开始建立，之后流量回到主链路

LDP会话故障：hold-max-cost

主链路的LDP会话故障，LDP通知IGP会话出现问题，IGP启动hold-max-cost定时器，发布主链路最大开销，流量切换到R1-R3上，LDP建立完成后取消定时器切换会主链路

主备倒换：delay-time

R1进行主备倒换时，R1作为restarter启动delay timer定时器等待LDP建立，在定时器期间Helper保留路由和LSP不删除，LDP down时不通知IGP，流量继续走R2，如果超时后LDP会话没有成功建立，IGP认为LDP down，启动hold-max-cost定时器，设置最大开销，流量切换到备份，等待LDP重新建立

LDP是否为BGP路由分配标签？为什么？

不可以，lsp-trigger bgp-label-route, BGP可以跨跳建立邻居，导致可能下一跳不是直连，导致标签分配不连续

什么是LSP

IP报文在MPLS网络中经过的路径称为标签交换路径LSP

什么是FEC

MPLS将相同特征报文归为1类，称为转发等价类; 华为默认FEC/32的主机路由

本地LDP会话和远端LDP会话，共存的作用：

实现冗余，保证LSP不断裂；

静态配置MPLS配置命令

静态LSP和动态LDP对比

静态LSP

优点：对链路占用资源较小，拓扑简单稳定，不需要交互控制报文

缺点：拓扑发生变化不能动态感知，需要管理员手动参与

LDP

优点：动态LDP分配标签，且拓扑稳定情况下，若拓扑发生变化，可实现快速收敛

缺点：邻居建立需要稳定的TCP连接，周期性交互报文，导致占用资源大

中间设备使用了路由汇总有什么问题

LDP防环

1、基于跳数检测最大32跳，到达32跳是认为出现环路

2、LDP默认为IGP分发标签，华为默认有IGP防环规则

3、MPLS中TTL字段

4、矢量特性，收到报文检查LSR-ID跟自身相同，则丢弃

LDP FRR

子主题

LDP GR

MPLS-VPN

MPLS设备类型

设备名称

LER

LSR

转发节点

ingress

transit

egress

执行的动作：push压入--swap交换--POP弹出

单域

单域控制平面

什么是私网标签

指导产生的该私网标签的设备，查找对应的VPN实例转发表

什么是私网路由交叉

查看是否感兴趣，查找RT；RT=PE1出方向=PE2入方向

什么是私网路由选择

经过路由交叉或隧道堆叠的路由并不是全部放入VPN实例表。从本地CE收到的路由和本地交叉路由也不是全部被放入VPN实例表；

选举规则：对于同一目的地址的多条路由

对于到同一目的地址的多条路由，如果不进行路由的负载分担，则按照以下规则进行选择：

同时存在直接从CE收到的路由和交叉成功后的同一目的地址路由，则优选从CE收到的路由。

同时存在本地交叉路由和从其他PE接收并交叉成功后的同一目的地址路由，则优选本地交叉路由

本地交叉：

远端交叉：

对于到同一目的地址的多条路由，如果进行负载则按照以下规则

优先选择从本地CE收到的路由。只有一条从本地CE收到的路由而有多条交叉路由的情况下，也只选择从本地CE收到的路由。

只在从本地CE收到的路由之间分担或只在交叉路由之间分担，不会在本地CE收到的路由和交叉路由之间分担。

负载分担的AS_PATH属性必须完全相同。

什么是公网隧道迭代

PE上的私网查看下一跳是对端PE1设备的下一跳，迭代到公网设备中可以到达的下一跳

VRF表的作用

解决本地私网路由冲突问题

RD的作用是什么

区分传递私网防止重叠

在撤销路由时标识具体被撤销的私网路由

RT的作用是什么

私网路由收发策略；扩展团体属性

决定是否加入VRF路由表，以及加入哪一张VRF路由表；可以配置多个，实现了hub-spoke网络架构；

RD、RT能否只用一个

RT在控制层面负责一个私网路由交叉的动作，且一个VRF实例可以携带import和export方向多个RT属性，控制路由时更加灵活

RD的作用主要体现在①区分本地的私网路由②撤销路由，BGP撤销路由时不带任何属性，因此想要确定撤销的具体是那个一个私网路由，则需要根据NLRI字段的RD标识。

update报文中有哪些内容

Path-attribute路径属性中包括

AS-Path、Origin、MED、Local-preference

Extnded-Community（扩展团体属性包括了出方向的RT值）

MP-NLRI网络可达信息：

Next-hop属性、私网标签、RD值、IPv4路由

mpls vpn如何撤销路由

PE设备使用BGP Update报文撤销失效的私网路由，被撤销的路由存在Update报文的MP-NLRI中，其中包括了被撤销路由的前缀以及RD值。

全局表项和实例表项有什么关系

全局维护公网路由，VRF维护私网路由

单域转发平面

报文中携带几层标签&由谁分配

2层标签

私网标签由MP-BGP---PE设备分配

公网标签由LDP协议分配

私网标签的作用

PE通过MP-BGP将路由发送给对端PE时，要为该私网路由分配MPLS标签

数据转发时，私网标签可以指导产生该私网标签的PE设备查找对应分VPN实例转发表。

PE间使用物理接口建立MP-BGP有没有问题

导致公网隧道迭代失败不可达

PE的loopback0地址被汇总有没有问题

导致公网隧道迭代失败不可达

hub&spoke转发和控制

hub点PE CE间使用ospf有什么问题关闭DN置位检查和route-tag检查 dn-bit-set disable

需要在Hub-PE设备上忽略Dn-bit的检查

hub点PE CE间使用BGP有什么问题 peer +地址 +allow-as-loop //允许接收相同的AS号

需要在Hub-PE设备上忽略as-path属性的检查

hub点 PE CE间需要几条物理链路

两条物理链路或者两个子接口

如果使用单链路，会引起环路

hub&spoke架构存在有什么意义

对安全性要求较高的网络可以通过部署Hub and Spoke模型，使得分布之间必须通过总行才可以进行数据交换，从而可以达到总布对分布间数据的监控。

实现总部对分布之间的集中管理

工作方式：

Spoke站点需要把路由发布给Hub站点，再通过Hub站点发布给其他Spoke站点。Spoke站点之间不直接发布路由。

优点：

Hub站点可以对Spoke站点之间流量进行控制。

MCE实现原理

MCE

多实例CE

MCE以较低的成本解决了大型站点中的业务隔离和安全问题；

MCE存在有什么意义

工作原理：

MCE可以将CE设备的不同接口与不同的VPN实例相绑定，并根据不同的业务维护不同的VPN实例转发表。实现不同业务的之间相互隔离；

产生前景：

传统的VPN架构需要一个单独的CE设备与PE设备相连，随着私网中的安全性考虑以及业务的不断细分，私网中存在多个相互隔离的VPN业务，若此时为不同的VPN业务增加不同的CE设备无疑会增加网络的成本

PE与MCE直接需要多条物理线路吗

1条，双方配置子接口绑定vpn-instance

PE与MCE直接使用ospf有什么问题： vpn-instance-capability simple 需要关DN位检查和route-tag检查

PE与CE间路由选择

静态路由

缺点：

不能自动适应拓扑路由的变化

如果VPN客户的路由数量较多时，配置比较复杂

OSPF

有什么问题

1、MCE场景 MCE设备需要使用vpn-instance-capability simple 命令忽略Dn-bit检查，否则收不到其他站点传来Dn置位的OSPF路由。

2、HUB-Spoke场景 Hub-Spoke架构Hub-PE设备需要忽略Dn-bit检查 dn-bit-set disable，需关闭route-tag检查；且还需忽略AS检查--peer 地址 allow-as-loop

3、Domin ID影响LSA类型问题：

Domain-id存在于Update报文的扩展团体属性中 Domain id、Area id、Router id、路由类信息均在Update报文中以扩展团体属性形式出现。

Domain id、Area id、Router id、路由类信息均在Update报文中以扩展团体属性形式出现。

作用：

Domin id在传递路由时起到了属性还原的作用，可以控制Domin id 不同实现选路。每个OSPF进程可以配置两个Domain id，互相之间互不影响

1.两站点之间若Domin id相同，则相互传递路由信息时1/2/3类路由信息则归类位3类 5类依旧为5类 7类依旧为7类

1类/2类/3类 →3类 5类 → 5类 7类 → 7类

2.两站点之间若Domin id不同，则相互传递路由信息时1/2/3/5类路由信息均归类位5类 7类依旧为7类

1类/2类/3类 /5类→5类 7类 → 7类

3.若两站点在Domin ID相同的情况下PE与CE建立OSPF时必须使用Area 0 否则会被看作为骨干区域被分割 C设备不会接收非骨干区域传来的3类LSA

如果在此状况下没有办法改变PE和CE之间的Area ID则可以在CE和C设备之间搭建一条 V-Link用来传递路由

4、后门链路与sham-link场景

问题：若两个站点之间连接了后门链路，该后门链路传递的为1/2类LSA信息，而通过MPLS网络传递时，最优的情况下也为3类LSA，根据选路原则MPLS网络的路径将不被优选

解决办法：可以在PE1和PE2之间搭建一条Sham-Link伪连接，Sham link被看作是OSPF区域内的链路，这样通过Sham-Link传递的也为1/2类LSA，此时是需要将后门链路的开销增大，流量就会优选经过MPLS区域访问对端站点

配置Sham-link时的注意事项：

①用于建立Sham link的地址必须为PE设备的32位环回口地址。

且该接口一定要绑定VPN实例

②该地址必须要宣告道PE设备的Vpn-instance地址簇下，且不能宣告道MPLS底层的OSPF协议下，避免被对端PE从OSPF学到该地址。

如果宣告到了OSPF进程，那么就会建立两条sham-link，分别是骨干网和后门链路建立的，OSPF优先级要高于BGP，所以伪连接不会从VPN网络建立成功

建立Shamlink的路由一定是BGP路由，所以PE设备只能通过BGP路由学习到对端的Shamlink接口地址。

③伪连接两端若存在认证则认证必须通过

④LSA在shamlink上不会周期更新

5、MPLS-VPN-optionA 场景跨域Option-A场景下ASBR之间使用OSPF协议传递路由需开启忽略DN-bit置位

如何防环

Dn-bit

PE1将LSA3、LSA5、LSA7的路由通过OSPF传递给CE设备时Dn-bit会置位，当其他PE收到Dn-bit置位路由不会计算该路由。

DN-bit只能传递一个OSPF区域，传递到其他区域时DN-bit就不会再置位了。

DN-bit置位的7类LSA经过7转5后，DN-bit不再置位。

dn-bit-set disable {summary | ase | nssa }3 5 7

配置命令：dn-bit-set-disable //PE配置

Route-tag

Route-tag是PE设备通过自身所在AS号进行Hash计算出的数值，当其他PE收到该路由也会根据AS号进行Hash运算得出Route-tag，若值相同则不会对该路由进行计算。

①只有PE设备传递5/7类LSA时才会携带该参数

②Route-tag只有本地意义，只在收到BGP路由并且产生OSPF LSA的PE上有意义，且Update报文的扩展团体属性不会携带该参数

ospf针对mpls VPN做了那些改进

1、超级骨干区域如果说双方用户站点和MPLS VPN网络都是运行ospf的话，对于MPLS域而言就是超级骨干区域0，那么PE设备就是ABR，当PE2将ospf引入BGP，在update报文中扩展团体属性会携带PE2的router-ID，area ID，domain ID，传递给PE1,PE1根据这些属性决定引入到ospf中是几类LSA，起到还原属性的作用，domain-id相同 123--3， 5 7 不变；domain-id不同，123---5，7不变

用户站点存在多个区域，且用户站点与PE不是区域0相连，那么CE1就是一个ABR，根据域间防环规则，ABR不会计算非骨干区域传过来的路由，通过v-link解决

2、sham-link 如果说两个用户站点配置了后面链路，由于后门链路传递的是1/2类LSA，超级区域区域PE和站点传递的是3类LSA，根据选路原则，域内优于域间，导致路径次优，导致流量走后门链路；解决办法：通过两个PE之间配置sham-link伪连接解决，sham-link之间传递的也是1/2类LSA，后面链路也是，那么通过修改cost值让流量选择走上面；

3、DN 置位/route-tag

使用ospf时后那些注意事项

OSPF 双规

X路由传递给PE3，PE3传递给PE1和 PE2，如果说在PE1上将路由引入到ospf，对于PE2而言，会从学习两条路径的X路由，根据优先级比较选择CE1传递过来的。如果说PE2将X路由引入BGP，对于PE2而言，相当于始发，传递给PE1，对于PE1 选路通过RID小的选择PE2学习X路由，如果说在PE3撤销，引起环路解决办法：PE1上引入ospf的路由进行DN置位，或者打上route-tag

ISIS

有什么问题

怎么解决

isis 双规

ISIS双规时再华为中UD置位未开发，PE发给CE时不会进行UD置位，那么就导致失去路由时出现环路的情况，只能通过策略为PE引入CE时进行打标和过滤

BGP

有什么问题

邻居建立

①PE和CE之间使用BGP协议传递路由，在PE端不用相互引入，PE设备要在基于Vpn-instance地址簇下与CE建立邻居

路由传递

①在Hub-Spoke架构下，Hub-PE与Hub-CE之间使用BGP协议需要在PE对应出方向Out方向的VPN-instance地址簇下配置Peer allow-as-loop忽略对AS的检查。

如何防环：

在CE双规场景下，PE设备将BGP路由传递给CE设备时Soo位会置位，之后其他PE在收到Soo置位的路由后不会计算这些路由，更不会将其引入到VPNv4的地址簇下。

Soo为扩展团体属性

SoO配置命令：

Peer x.x.x.x SoO aa:nn

起源站点

AS替换（582页）

配置命令：

Peer x.x.x.x substitute-as

忽略AS检查

配置命令

Peer x.x.x.x allow-as-loop

怎么解决

BGP 双规

用户站点AS号一致，那么在传递路由必须关闭as-path属性，对于CE1将X路由传给PE1,PE1传给PE2,PE2会传给CE2和CE3，但是对于CE2而言，学习X路由，他可以直接通过IGP学习通过CE1，所以说传递可能出现环路，那么设置SOO属性，在PE上针对邻居设置SOO属性，对于CE2而言收到PE2传递过来的路由，对比SOO，发现一致，则不会去接收，防止环路；

跨域

跨域A

控制平面

转发平面

缺点

ASBR上需要维护VPNV4路由表，且每个实例都需要创建相应的子接口；

asbr之间使用ospf有什么问题

DN置位；本端ASBR传给对端ASBR的LSA是DN置位，对端根据防环规则不能使用这条路由，导致路由无法传递，为了避免这个问题，需要在ASBR上关闭DN置位；

如果有多个租户asbr之间怎么配置

把用户当做CE端，创建子接口

ASBR需要开启MPLD吗？

不需要，对于本端ASBR而言，把对端ASBR视为CE设备，接口绑定VPN实例即可；

跨域B

转发平面

控制平面

缺点

需要维护VPNV4路由表，在用户数过多的情况下，ASBR设备压力过大

PE收到的update报文下一跳是谁

ASBR

ASBR需要注意什么

ASBR不需要配置实例，需要关闭RT检查，undo policy vpn-target

转发时ASBR之间几层标签

1层私网标签

跨域C

C1方案

转发平面

控制平面

中间层标签由谁分配&什么协议分配

中间层标签的作用

ASBR接口需要开启MPLS LDP吗？

不需要，但需要开启MPLS。否则无法传递IPV4的标签

C2方案

转发平面

控制平面

对比A B C三种方案的优缺点

优先

原理简单

缺点

ASBR上需要维护VPNV4路由，扩展性性差，ASBR之间还需配置子接口，配置复杂

优点

保证了标签不断链

缺点

ASBR需要维护VPNV4的私网路由，若用户过多，导致对ASBR设备压力过大

优点

VPNV4路由直接在PE两端之间交换，中间设备需要维护VPNV4路由，中间设备只需要支持MPLS转发即可

缺点

维护一条端到端的PE的路由，管理代价比较大

掌握RR场景下的A B C方案

为什么不能通过IGP传递

BGP是基于TLV架构，承载BGP路由条目比较多，而且BGP的作用主要是控制选择最优的路由，可以更好的传递VPNV4路由信息

QOS/组播

组播基础

组播的优缺点

优点

点到多点

节约设备资源

缺点

只能支持UDP

不可靠

组播IP&MAC对应关系

组播MAC前25bit固定：01-00-5E-0；后面23bit需IPv4地址映射；IPv4地址前4bit固定位1110 | 5bit | 后面23bit；存在的问题：导致有5bit无法映射，2的5次方=32，所以会有32的组播地址可能会被映射成一个组播MAC；

V6组播IP和组播MAC映射组播MAC前16bit是3333，后面32bit有IPV6组播地址映射下来

组播地址范围

永久组播地址，协议预留：224.0.0.0-224.0.0.255 ASM地址：224.0.1.0-231.255.255.255 233.0.0.0-238.255.255.255 SSM地址：232.0.0.0-232.255.255.255 私有组播地址：239.0.0.0-239.255.255.255

常用组播地址

224.0.0.1 所有设备 224.0.0.2 所有路由器 224.0.0.5 OSPF 224.0.0.6 DR BDR 224.0.0.9 RIP 224.0.0.13 PIM 224.0.0.18 VRRP 224.0.0.22 IGMPv3

常用永久组播地址

什么是ASM&什么是SSM

ASM是任意源组播，源位置未知，不能选择源，只能选择组； SSM是特定源组播，接收者加入组后可以指定接收那些数据或来自那些源的数据，地址可以不唯一，但是一个源一个服务，不同服务不能冲突

IGMP

IGMP的作用

IGMP（Internet Group Management Protocol）因特网组管理协议；运行于主机与路由器之间，用于建立、维护组播组成员关系。

IGMP配置后DR没有*G表项的原因

没加组 V1的PIM没有配置查询器和主机版本不一致没有开启组播路由

IGMPV1/V2/V3工作原理

IGMPV1

报文：普遍组查询报文和成员报告报文

普遍组查询目的地址224.0.0.1,60s 一次

成员抑制：当接收者收到普遍组查询报文，接收者会启动一个10秒的定时器（不可修改），谁先超时谁就先回复成员报告报文；可以减少成员报告的数量，节约网络带宽；

没有离组机制：离组静默离开，查询器在130s没有收到成员报告时才会删除（* . G）或（S . G）对应的下游接口；

V1没有查询器选举机制：需要使用PIM 的DR或断言 winner充当查询器，优先级越大越优先

查询器失效时间：105s，因为V1的查询器是通过PIM 的DR，PIM hello报文hold time时间为105s

IGMPV2

报文：普遍组查询报文、成员报告报文、特定组查询、成员离开报文

特定组查询是在成员离开是向目的地址224.0.0.2发送离组消息，1秒1次共两次

普遍组查询报文60s一次，目的地址224.0.0.1

最大响应时间：默认10s，范围1-25s；扩展性好

查询器选举：IP地址小

查询器器故障，会在125s内感知，2倍普遍组查询时间+1/2最大响应时间

last report机制

代表最先超时发送报告报文的成员作用：可以减少成员报告报文，特定组查询报文，离组报文的数量

工作过程：普遍组发普遍组查询报文，加入PC3最先超时回复成员报告报文，如果P1 P2 P3加入的都是同一个组，P1 P2都会记录P3 是last reporter，此时P1要离组，对于P1来讲直到P3这个last reporter还在，就不需要发送离组报文，从而减少离组报文数量，不发离组报文，从而减少特定组查询报文数量，从而减少成员报告报文数量；只有last report成员离组才会发离组报文，last reporter每次都会变

IGMPV3

报文：查询报文和成员报告（取消离组报文（通过change-to-include-null离组或 block-old-source离组），整合到了成员报告中）；特定组，特定源组

查询报文包含了普遍组查询、特定组查询、特定源查询成员报告增加了对于源的关注，可以选择多个源，目的地址224.0.0.22

状态报告：目的IP 224.0.0.22 mode-is-include G1 S1 S2代表只要S1 S2；白名单 mode-is-exclude G1 S1 S2代表除了S1 S2源以外的源都接收；黑名单过滤模式改变在include 和 exclude之间切换 change-to-include 黑名单转换为白名单，原本不接收，现在接收 change-to-exclude 白名单转换为黑名单，原本接收，现在不接收源列表改变 allow-new-source 增加源，对于include增加，对于exclude 是删除 block-old-source 删除源，对于include删除，对于exclude是删除，对应include是删除所有源离组

取消抑制成员功能：因为在V3版本可能相同的组但是不同的源，并且V3报告报文可以携带多个源，所以不能抑制，如果抑制了，那么长时间收不到其他成员的报告报文，表项会老化

IGMPV1/V2/V3对比

报文类型

V1有普遍组查询和成员报告报文，普遍组查询目的IP 224.0.0.1,60s查询一次

V2新增特定组查询和成员离开；特定组查询是成员离组时向目的地址224.0.0.2发送离组消息，查询器针对该组查询两次，1秒1次

V3取消离组报告报文，整合到了成员报告报文，只有查询报文和成员报告；查询报文包含普遍组查询，特定组查询，特定源组查看；成员报告增加了对源的关注，可以选择多个源，目的地址224.0.0.22

查询器

V1不支持查询，通过PIM协议选举查询器，断言winner或DR设备，超时时间PIM邻居超时105秒

V2 V3新增查询器，IP地址小，查询器125s超时

成员抑制

V1 普遍组查询是每个主机设置一个10s内的定时器

V2 成员抑制时间1-25s，默认10s

V3无成员抑制

离组机制

V1 静默离开，查询器需要等待130s超时删除成员信息

V2 成员离开发送离组报文，查询器发送特定组查询，1s内响应，如果还有组成员，就进行回复；若没有则发送两次特定组查询，进行删除组成员

V3 使用源动作进行离组，change-to-include-null或block-old-source的删除离组

总结

IGMPV2离组过程

1、client B向本地网段的所有组播路由器发送针对G2的离组消息，目的地址224.0.0.2

2、查询器收到离组消息，发送特定组查询报文；每隔1秒发送一次，发两次

3、如果网段内不存在其他G2组成员，则路由器就不会接收该组成员的成员报告报文，删除组播转发表项对应的下游接口；如网段还存在G2组成员，则成员在收到特定组查询报文后，进行回复成员报告报文；

IGMPV3如何离组

使用源动作进行离组，change-to-include-null或block-old-source的删除离组

IMGP snooping SSM mapping是什么

主机不支持V3，若需要和路由的V3兼容就需要配置SSM mapping，将（* . G）映射成(S . G)，然后看组播地址是属于ASM就提供ASM，对应SSM就提供SSM服务，在PIM-SM SSM中直接建立SPT树，不需要建立RPT树

接口下静态配置 igmp ssm-mapping enable

组播SSM，优点，支持那些协议

优点：

主机加组，直接形成(S,G)，不需要建立RPT树，成员端DR直接向源端DR做RPF检查，进行加组

多个源可以发送同一个组播组流量，根据源IP区分

支持协议

IGMPV3和V1 V2 SSM mapping

IGMP snooping的作用

解决流量泛洪，带宽浪费的问题

正常情况下，交换机收到组播流量会进行泛洪，造成不是组播接收者也会接收流量的情况，造成带宽浪费的情况；

IGMP snooping的工作原理

端口角色

路由器端口

收到普遍组查询报文的接口或者收到PIM hello报文的接口

成员端口

收到成员报告报文的接口

报文处理方式

普遍组查询报文

向vlan内除接收端口以外的所有端口转发，并对接收端口做如下处理： 1、如果路由器端口列表没有包含该接口，则进行添加，并启动老化定时器 2、如果路由器端口列表包含该接口，则重置老化定时器（动态路由器端口的老化定时器缺省180s）；总结：向接收端口vlan内其他接口进行泛洪，刷新定时器；

成员报告报文（1、成员加组 2、回复普遍组查询报文）

向vlan内所有路由器端口转发，从报文解析主机要加入的组播地址，并对接收端口做如下处理： 1、如果不存在该组对应的转发表项，则创建转发表项，并添加到出口列表，启动老化定时器 2、如果存在相应的转发表项，但出接口列表未包含接口，则将该接口添加到出接口列表，启动老化定时器 3、如果存在相应的转发表项，且出接口包含在列表中，重置老化定时器总结：向vlan内的路由器端口泛洪，刷新计时器

特定组查询报文

转发给特定组成员

离组报文

判断离开的组是否存在对应的转发表项，以及转发表项出接口是否包含报文的接收端口： 1、如果存在该组对应的转发表项，但表项出接口不含包该接收端口，二层组播设备不转发该报文，直接丢弃； 2、如果存在该组对应的转发表项，且出接口包含接收端口，二层设备会将报文向vlan内所有路由器端口转发对于IGMP离开报文的接收端口，在二层组播设备老化时间内： 1、收到报文，说明该接口还有组成员，重置老化定时器 2、没收到报文，说明接口没有组成员，将其该组转发表项删除总结：没有相应二层转发表项，则丢弃；有表项转发给路由器端口；

使用时的问题

因为交换机开启IGMP snooping后，成员抑制功能消失，若其他成员未发成员报告报文，将不能形成二层组播转发表

二层转发表内容

VLAN MAC 组地址出接口

如果区分IGMP报文和普通报文

根据IP头部的上层协议号2判断

开启snooping需要消耗资源吗？

如果是二层交换机开启snooping以后拆开二层会先查看是否是IGMP报文，是就上送CPU处理，所以会消耗设备资源

如果是三层交换机可以查看IP，只需要查看IP报头的协议号如果是2就代表是IGMP报文上送CPU即可

IGMP snooping proxy的作用

当交换机配置IGMP Snooping Proxy时，交换机可以终结上游的IGMP查询报文，并且自己构造查询报文向下游主机发送；终结下游主机的IGMP报告/离开报文，并自己构造统一的报告/离开报文向上游发送。

场景

若开启snooping功能，成员抑制消失，查询器发送普遍组查询报文，接收者成员都需要进行回复成员报告报文，对于查询器而言，造成设备压力负担

IGMP snooping proxy的工作原理

收到报文处理方式

普遍组查询报文

交换机根据转发表项生成成员报告报文发送给查询器

成员报告报文

若不存在表项，则创建表项并将接收端口添加出接口列表，启动老化定时器，向所有路由器端口发送该组的成员报告报文

若存在转发表项且接收端口包含在出接口列表，重置老化定时器

若存在转发表项，接收端口不包含出接口列表，将接收端口添加出接口列表，启动老化定时器

总结：没有转发表项，则添加表项，且向上游端口加组；存在表项，刷新计时器；存在表项，不存在出接口列表，则添加出接口列表；

离开报文

向接收接口发送针对该组的特定组查询报文。只有当删除某组播组对应转发表项中的最后一个成员端口时，才会向所有路由器端口发送该组的离开报文。

MPLD V1/V2对比

报文类型

V1新增特定组查询和成员离开；特定组查询是成员离组时向目的地址FF02::2发送离组消息，查询器针对该组查询两次，1秒1次

V2取消离组报告报文，整合到了成员报告报文，只有查询报文和成员报告；查询报文包含普遍组查询，特定组查询，特定源组查看；成员报告增加了对源的关注，可以选择多个源

离组机制

V1 成员离开发送离组报文，查询器发送特定组查询，1s内响应，如果还有组成员，就进行回复；若没有则发送两次特定组查询，进行删除组成员

V2 使用源动作进行离组，change-to-include-null或block-old-source的删除离组

PIM

PIM-DM工作过程

邻居发现--扩散--剪枝--嫁接--断言--状态刷新

1、在pim网络中建立邻居 2、收到组播源的报文将在全网进行泛洪处理，当pim路由器收到组播报文，进行RPF检查，除接收端口向下游所有端口进行转发组播报文； 3、当下游设备不需要收到组播报文，将会进行剪枝； 4、当下游设备需要组播报文，将进行嫁接，恢复组播报文转发； 5、防止剪枝定时器超时恢复转发状态，通过周期性发送state refresh报文，收到该报文进行刷新剪枝计时器； 6、从两个地方收到相同的组播流量进行断言；

PIM 十种报文

单播

嫁接、嫁接ACK、C-RP通告、Register、Register-stop

组播

hello、断言assert、状态刷新、BSR、join/prune

PIM-SM工作过程

PIM-SM 断言场景

断言比较规则 1、IGP比较优先级，越大越优； 2、比较到组播源的开销较小的 3、比较下游接口IP地址大的

PIM-SM

胜者winner，败者loser，只有winner才会转发组播流量，loser就会进行剪枝，因为loser没有组播成员不需要组播流量；

PIM-SM缺点：1、需要维护RP，静态RP失效导致业务中断，动态RP失效也需要150S的失效时间; 2、经过RP不一定是最优路径；

源端口DR什么时候发生注册报文&作用

注册报文的封装格式

源端DR收到组播流量的时候，将组播流量封装在注册报文中单播发给RP

静态配置组播

ip rpf-route-static

RP被剪枝怎么办

源端DR会每55s发送空的注册报文，保证RP的(S . G）表项不被老化

RP什么时候停止发送register-stop

1、收到两份组播流量 2、收到空的注册报文时 3、RP没有成员时

SSM模型下的PIM-SM工作流程

组播成员预先直到组播源的位置；无需维护RP、无需构建RPT、无需注册组播源，可以直接在源与组成员之间建立SPT。

上游设备如何知道join报文是发给自己的

根据join报文中upstream neighbor字段，收到报文该字段IP和自己的相同说明就是发给自己

RP上（* . G)上游接口是什么

上游接口是注册接口，源DR的注册接口发给RP就是这个接口

成员端DR收不到组播流量的原因

1、RP配置错误 2、RPF检查失败 3、PIM 配置错误 4、计算不出RP

（*，G）（S，G）的prune的区别

*G是发给RP方向的，SG是发给组播源的

BSR选举过程

报文60s发送一次，目的224.0.0.13,源IP就是出接口IP地址

BSR 130s超时

开始每个C-BSR都认为自己是BSR，组播泛洪bootstrap报文，目的224.0.0.13,（报文携带优先级和IP地址），然后每台PIM路由器都收到bootstrap报文，进行竞选BSR，比较优先级高，相同比较IP地址大

RP选举过程

C-RP单播向BSR发送advertisement报文，携带IP 优先级服务的组范围；BSR收到将信息汇总RP-set，封装在bootstrap报文中，组播泛洪给所有PIM 路由器，进行竞选，组范围掩码最小者、优先级、（优先级数值越小优先级越高）、比较hash值、最后比IP大（hash值=组范围+IP地址+优先级）

RP 150s超时

静态配置RP：static-rp +地址

RP的作用

作为一个汇聚点

组播源不知道组播接收者，所以组播源需要向RP发送注册报文

组播接收者不知道组播源在哪里，向RP发(* . G）join报文

RP有什么问题&怎么解决

RP只有一个，存在单点故障，导致无法建立STP树；产生路由路径次优

解决：创建备份RP

剪枝发送什么报文

prune

什么时候建立RPT树？

成员端DR收到成员报告报文并得知RP位置时开始建立RPT树

什么时候建立SPT树？

当源端DR向RP单播发送(S . G），RP向源DR方向加组

两种树的区别

SPT

源路径树，以组播源为根，连接RP以及组播接收者的路径树

RPT

汇聚树，以RP为根，连接组播成员的路径树

组播如何配置

RPF检查的作用

作用

防止次优以及环路，找到正确的下一跳和出接口，从而形成正确的转发表项

RPF针对那些内容检查

针对收到组播流量、注册报文、成员端DR收到加组消息，BSR报文

BSR报文怎么做RPF检查

BSR逐跳扩散会改变始发地址，所以RPF检查必定通过，就无法防环，BSR报文中会携带BSR的IP地址，PIM 设备收到根据其中的BSR的源地址进行RPF检查防止次优和环路

最长掩码匹配是什么

配置了multicast long-match后按照最长掩码匹配，相同再看优先级

每份组播流量都会检查吗

不是，对每个报文检查会增加设备负担，首先会检查是否存在（S.G)转发表项; 存在S.G)表项且入接口一致，直接转发；不存在S.G)表项，执行RPF检查，创建转发表项，且将RPF检查作为入接口，下发组播转发表，检查成功转发，检查失败丢弃；存在S.G)表项，入接口不一致，执行RPF检查，检查一致，说明数据源错误，丢弃；不一致，说明S.G)表项过时需更新，再做RPF检查后转发；

如果只有IGP并且负载的怎么办

选择下一跳接口IP地址大的

RPF检查触发场景

被动：

收到组播流量不是每份组播流量都检查，会检查是否存在(S.G）表项，不存在就创建，然后在执行RPF检查；存在表项，检查入接口，一致，从出接口转发；存在(S.G)表项，入接口不一致，执行RPF检查，检查一致，说明数据来源错误，丢弃；检查不一致，说明(S.G)表项过时，更新在做RPF检查转发；

收到bootstrap报文对BSR检查，防止环路,,次优

主动：

建立RPT树，成员加组时；

什么时候用负载分担和负担均衡视频业务--可以高时延，减少丢包语音业务--可以丢包，减少延时负载分担基于流负载均衡基于包

什么是MQC:模块化QOS命令行

MQC有哪些组件

将具有某类共同特征的报文划分为一类，并为同一类报文提供相同的服务，也可以对不同类的报文提供不同的服务。三要素：流分类（报文分类），流行为（针对某类报文所做的动作），流策略定义

配置流分类：按照一定规则对报文进行分类，是提供差分服务的基础。配置流行为：为符合流分类规则的报文指定流量控制或资源分配动作。配置流策略：将指定的流分类和指定的流行为绑定，形成完整的策略。应用流策略：将流策略应用到接口或子接口。

怎么做流量统计

MQC traffic-class 1 //对报文进行区分 traffic-behavior 1 statistic enable //使能流量统计功能 traffic-policy 1 class 1 beha 1 接口调用

拥塞管理

描述RR轮询调度

每一个队列发出一个数据包

优点

比较公平，每个队列都能发包

缺点

低时延业务无法及时调度

描述DRR赤字轮询调度

优点

解决了WRRP调度尺寸过大报文所需带宽问题

按照权重每一轮都会分配带宽，每发出一个数据包减少相应的带宽，为负数不调度

缺点

低时延业务得不到及时调度

描述WRRP加权轮询调度

分配权重值，根据权重比列达到服务调度机制根据权重中来定义队列；

优点

避免PQ调度被“饿死”现象

缺点

基于报文的个数调度，可能出现长尺寸的报文出现不平衡调度，存在低时延业务不能及时调度

描述PQ优先级调度

优点

对优先级高的业务优先转发

缺点

低优先级的业务得不到保障，可能被饿死

描述FIFO先入先出调度

优点

原理实现简单，采用先进先出

缺点

重要业务得不到保障，不能有差别的对待不同优先级的业务

描述WFQ加权公平调度

配置：qos queue-profile schedule wfq pq 接口调用

基于流进行分配，通过5元组+TOS字段，进行hash运算生成数据流放入不同队列，然后根据权重值分配带宽

优点

按照权重分配带宽，自动分类，配置简单

缺点

低时延业务得不到调度；无法实现用户自定义分类

描述CBQ调度

优点

实现自定义类，不同业务定义不同调度策略

缺点

涉及到复杂流分类，占用系统资源

四种队列

PQ+WFQ调度

先调度PQ队列，其次调度WFQ队列

优点

低时延业务及时调度，实现按权重分配带宽

缺点

无法实现用户自定义对报文分类的需求

什么是硬件队列&什么是软件队列

硬件队列只有一个，只能先进先出，队列机制无法进行修改，硬件队列如果没有满不使用软件队列硬件队列满了才会对数据包进行软件队列，软件队列满了后就会进行丢弃，软件队列是可以被用户执行和管理，有多种调度机制。

拥塞避免

丢弃的弊端

引发TCP全局同步

TCP饿死现象

丢弃时不能对流量进行区分

什么是TCP全局同步

当链路拥塞，TCP定时器超时收不到ACK报文，触发滑动窗口，将流量下降一半，收到ACK报文，多条TCP连接同时进入慢启动同时又达到拥塞，又同时下降，导致链路带宽利用率不高，这种现象成为TCP全局同步现象，避免这种现象，解决办法是RED和WRED；

造成TCP全局同步的原因

由于拥塞，导致尾部丢弃，导致TCP连接被丢包，

TCP被饿死的原因

TCP在降低窗口的时候，带宽占用也会降低，那么导致UDP流量增加，UDP的占用最后导致TCP没有带宽可用

RED工作原理

早期随机检测丢弃设置低门限值和高门限值，低门限值之前不丢包，低门限值和高门限值之间随机丢弃，通过提前丢弃一些报文，让TCP流量不在同一时间增加和减少，可以延缓TCP全局同步；

WRED的原理

加权早期随机检测丢弃对不同优先级数据包或队列设置相应的丢弃策略，以实现对不同流量进行区分丢弃。

配置如下：

drop-profile 1//创建丢弃模板 dscp ed low 低门限 high 高门限 D 丢包率 qos queue-proflie 1 //队列 queue 1 drop-profile 1 traffic-behavior 1 //MQC drop-profile 1

WRED和RED的区别

WRED可以根据队列设置不同的优先级，可以对不重要的队列，优先级丢弃，从而保证了重要的业务数据；

详解令牌桶技术

单速单桶

CBS是C桶，放入令牌速度为CIR，TC>B为绿色，TC<B为红色

单速双桶

第一个桶CBS是C桶，第二个EBS是E桶，两个桶放令牌速度都相同为CIR，EBS是允许突发尺寸，报文大于C桶和E桶为红色，报文大于C桶小于E桶为黄色，报文小于C桶为绿色；不能对E桶超出做出控制

双速双桶

第一个桶是PBS是P桶，第二个是CBS是C桶，对于P桶的峰值信息速率是PIR，，对于C桶是CIR，报文大于P桶为红色，报文大于C桶小于P桶为黄色，小于C桶是绿色

色盲色敏

色盲

对报文打上不同的颜色

色敏

对到达的报文本身已标记颜色，原本是绿色保持绿色，原本是黄色符合令牌桶保持黄色，否则为红色，原本是红色直接标记位红色

LR和TP和GTS区别

TP和LR的区别(LR：接口限速)

TP是监管，使用双速双桶，只对IP报文进行限速，对超出的流量丢弃或转发 LR是限速，使用单速单桶技术；针对物理接口所有报文，可以对所有流量进行限速，超出丢弃；出入接口都可以使用，出接口流量整形，入接口流量监管；

流量整形TS（出方向）

超出速率的报文放入缓存队列，等待接口空闲时再次转发，相对监管会增加时延；使用的是单速单桶； GTS实现,可以基于接口，队列，类做整形 1、接口调用，直接对所有流量做整形：qos gts cir xx 2、队列下做，接口调用： qos queue-profile 1 queue 1 gts cir xx //单速单桶技术 int g0/0/0 qos queue-profile 1 //出接口调用队列模板 3、MQC：流分类--流行为（GTS）--流策略 traffic-class C1 if-match vlan-id 10 //根据不同业务对vlan id进行分类 traffic-behavior B1 gts cir xx //对不同业务进行整形--单速单桶技术 traffic-policy A1 classifier C1 behavior B1 int g0/0/0 traffic-policy A1 outbound

流量监管（TP）

超出速率部分直接丢弃，不缓存，不会增加额外的时延，但是会增加丢包率；使用CAR限制流量；CAR流程是测速，染色，行为组成，使用的是双速双桶只能对IP报文进行限速；可以基于接口可以基于MQC实现； 1、接口下：qos car outbound/intbound cir x pir x //对所有流量做监管//双速双通--承诺信息速率和峰值信息速率 2、MQC:流分类--流行为（CAR）--流策略 traffic-class C1 if-match vlan-id 10 //根据不同业务对vlan id进行分类 traffic-behavior B1 car cir x //对不同业务进行监管 traffic-policy A1 classifier C1 behavior B1 int g0/0/0 traffic-policy A1 intbound

总结

交换机和路由器做整形的区别

路由器使用的是GTS实现，GTS可以用于接口，队列，类别；单速单桶；交换机用shaping整形，只能针对一个接口下的队列整形，或LR出方向整形，LR也只能是物理接口从令牌桶来说，GTS使用单速单桶，不需要超额转发，交换机使用双速双桶可以超额并且可控路由器整形：站点1和站点2同时访问总部服务器，可能导致流量拥塞，可以在R2出口做流量整形，只能在流量的出方向做 1、接口调用，直接对所有流量做整形：qos gts cir xx 2、队列下做，接口调用： qos queue-profile 1 queue 1 gts xx cir xx cbs xx int g0/0/0 qos queue-profile 1 //出接口调用队列模板 3、MQC：流分类--流行为（GTS）--流策略 traffic-class C1 if-match vlan-id 10 //根据不同业务对vlan id进行分类 traffic-behavior B1 gts cir xx cbs xx//对不同业务进行整形 traffic-policy A1 classifier C1 behavior B1 int g0/0/0 traffic-policy A1 intbound 交换机整形：使用shaping和LR实现；shaping基于双速双桶实现；LR基于单速单桶实现； 1、队列做整形： interface GigabitEthernet0/0/1 qos queue 1 shaping cir 1000 pir 1000 2、交换机出接口做LR等于整形： interface GigabitEthernet0/0/1 qos lr outbound cir 1000

交换机和路由器如何做监管

路由器场景：企业业务划分视频和语音流量，为了防止拥塞，可以优先保证语音流量的带宽，其次保证视频流量带宽； 1、接口下：qos car outbound/intbound cir pir //对所有流量做监管 2、MQC:流分类--流行为（CAR）--流策略 traffic-class C1 if-match vlan-id 10 //根据不同业务对vlan id进行分类 traffic-behavior B1 car cir 256 //对不同业务进行监管 traffic-policy A1 classifier C1 behavior B1 int g0/0/0 traffic-policy A1 intbound 交换机场景： 1、入接口做LR等于监管:qos lr intbound cir xx 2、MQC:流分类--流行为（CAR）--流策略

限速的方法有哪些

整形监管物理接口上的LR都可以

缓冲队列大小单位

默认处理

收到报文如果信任，就映射为本地的优先级，按不同优先级进入不同队列，默认有0-7共8个队列，根据简单流分类的8个值进行不同的8个队列，DSCP每8个映射为一个值，0-7为队列1

流量统计

display traffic policy statistic查看

流行为下statistic enable 命令开启

TCP Mss是什么和滑动窗口有什么关系

mss值决定了TCP一个报文传输的大小，窗口大小是一次性确认的大小，即缓存大小；配置命令 tcp adjust-mss 1200

COS是什么和DSCP区别

COS和DSCP都是标识优先级，根据不同优先级选择不同的队列，不同的队列使用不同的调度技术或丢弃技术

COS 标识优先级如下： 1、vlan帧头部的PRI字段，范围0-7 2、MPLS头部EXP字段，范围0-7 3、IP报文的TOS字段的前3bit，范围0-7

DSCP标识优先级如下： 1、TOS字段前6bit组成的DSCP，范围0-63，IPP+D+T+R D=延迟 T=吞吐量 R=可靠性

流分类

简单流分类

通过COS和TOS字段进行标记区分：二层vlan802.1p PRI优先级0-7；mpls的exp 0-7；IP 头部tos字段，启动包含了IPP是0-7或DSCP是0-63

复杂流分类

基于五元组源目地址，源目端口，协议号，对报文进行精细分类+TOS字段区分

TOS字段在IPV4中有8bit，前3bit是IPP，后3bit是丢弃概率；DSCP是使用6bit（DSCP区分服务）

总结

什么时候使用简单流

对于其他设备发来的数据包信任的情况下

什么时候使用复杂流

对于其他设备发来的数据包不信任的情况下

如何定义一条流

五元组定义，源目IP+源目端口+协议号

什么是信任边界

把信任报文优先级和设备所组成的网络区域称为信任区域；在这个区域一般使用相同的QOS策略，那么对应的设备的边缘就是信任边界；举例：一个企业的出口网关就属于这个企业网的信任边界---那么对于信任的我们可以使用简单流分类，不信任的使用复杂流分类；

优先级映射

优先级映射是指将报文携带的外部优先级映射成内部优先级

对进入设备的报文，设备将报文携带的优先级或者端口优先级映射成内部优先级，然后根据内部优先级队列之间的映射关系确定报文进入队列

如果端口配置了trust信任的话，就根据映射表映射；如果没有配置端口信任，会映射为端口优先级，默认为0，在进行复杂流分类；

DS域（信任域）

采用相同服务策略和相同PHB组成的DS域举例：1234使用AF，5678使用EF，那么1234是一个信任域，5678是一个信任域，4和5和信任边界

追问1：报文如何标记和分类

标记方式主要分为IPP、DSCP、EXP、802.1p 分类方式主要包括：简单流分类和复杂流分类

什么是PHB

逐跳转发行为，对相同DSCP值相同下一跳；共定义了四种PHB EF/AF/CS/BE用于描述具有相同的DSCP值的处理动作

EF：急速转发--底时延--底抖动 AF：确保转发--保证带宽 CS：类选择器--一般用于信令流量，兼容IPP--相当于是一个控制，比如OSPF--BFD BE：尽力转发--缺省

两种情况使用端口优先级

1、收到不带vlan TAG的报文，使用端口优先级转发

2、信任802.1p，收到不带vlan TAG的报文，将端口优先级作为802.1p优先级查映射表，映射队列

信任报文802.1p优先级

对于带vlan TAG的报文，则根据报文自身携带的802.1p优先级查映射表，确定报文进入的队列

对于不带vlan TAG的报文，使用端口优先级作为802.1p优先级映射表

缺点：每个设备都需要配置策略，对工作人员能力有较高要求

802.1p使用会有什么问题？

802.1p指的是vlan TAG当中的PRI字段，交换机才能识别，必须在有vlan TAG场景才能使用

对于信任报文DSCP和MPLS EXP直接查看优先级映射关系，再进入队列

影响QOS的因素有哪些

如何计算带宽

端到端最小带宽

丢包产生那些环节

传输过程：可能因为物理链路断裂--光纤型号弱--超出最大传输距离导致丢包队列过程：可能因为队列长度太长--尾部丢弃--链路拥塞配置了拥堵技术导致丢包处理过程：可能因为设备CPU繁忙--内存不足--设备硬件老化--散热处理不良导致丢包

时延产生那些环节

端到端时延=传输+处理+队列延时之和传输时延：发送方到接收方的时延---取决于传输介质，和带宽无关串行化时延：比特流从开头到结尾---取决于链路带宽，报文大小处理时延：入接口到出接口的时延---取决于设备性能队列时延：在队列等待的时延---取决于报文大小的数量，带宽以及队列机制

抖动是什么

每个报文的端到端的时延不相等造成的时延小抖动小---时延大抖动大

总结

QOS有哪些服务模型&优缺点

尽力而为服务模型：FIFO 通过增大网络带宽和升级设备来增加网络服务质量

优点：实现机制简单

缺点：对不同业务不能进行区分；增加网络带宽或升级，网络成本大；

综合服务模型：需要运行RSVP协议提前申请资源预留，保证业务 (RSVP：发送报文之前，需要向网络申请特定的带宽和服务质量请求，等待确认之后才发送报文）

优点：可以为特定业务提供特定的带宽保障，延迟保障

缺点：实现复杂，当无流量时，仍占用带宽，带宽使用率低；该方案所有设备节点还需运行RSVP协议

差分服务模型：对流量进行分类，然后对每个类别使用不同的转发顺序，丢包率等

优点：扩展性强，不需要跟踪每个数据流的状态，资源占用少；可实现不同业务提供不同服务质量

QOS：服务质量

合理利用带宽，保证网络质量；QOS不能增加带宽

安全--其他

DHCPV6

无状态自动分配

由接口ID生成链路本地地址，在根据路由器通告的RA消息包含前缀信息自动配置本机地址

1、客户端主动发送information-request；组播发送

2、服务器replay应答；单播回复

有状态自动分配

四步交互

1、客户端主动发送solicit 征求；组播发送

2、服务器回复advertise宣告；单播回复

3、客户端发送request请求；组播发送

4、服务器replay应答；单播回复

不携带快速模式下

存在多个服务器场景；客户端选择优先级大的；

两步交互

1、客户端发送solicit征求；组播发送

2、服务器回复replay应答；单播回复

快速模式：rapid commit

一个服务器场景

中继

客户端和中继设备发送目的地址，FF02::1:2(组播地址)

1、中继转发客户端消息replay-forw

2、服务器应答relay-repl，携带地址和配置信息

代理PD

DUID

每个服务器和客户端都会携带唯一标识符

身份联盟IA

1、IPV6地址信息，可以有多个

2、首选生存期--有效生存期--续租时间

3、唯一的IAID

DHCP

DHCP：动态主机配置协议

客户端：68 服务器：67

无中继设备建立过程

其他报文：

单播decline：地址冲突主动告知server

单播release：client主动释放地址

单播inform：请求更多参数，DNS等

有中继设备建立过程

注意点

1、中继设备收到discover，检查hop是否超过16，超过丢弃，没有超过+1；其次检查giaddr字段是否设置为接口IP，单播给server；

2、分配地址，单播给中继，中继检查giaddr是否为自己，其次检查广播flag位，单播/广播回复客户端；

3、request和ack都是直接转发

注意事项：若存在多个服务器时，客户端选择最先收到的offer报文，然后进行下一步request请求，同时告诉其他服务器收回地址，client获取地址开始发送免费ARP，防止地址冲突；flag位：0 客户端请求服务器以单播形式相应，1 客户端请求服务器以广播形式相应；

DHCP snooping工作原理

保证客户端从合法服务器获取IP地址，同时监听DHCP 报文；防止攻击者监听

绑定表有哪些内容

客户端MAC、IP、接口、所属vlan

端口

信任端口和非信任端口

绑定表可以与那些技术联动

DAI原理描述

动态ARP检测，针对ARP报文进行检查，只用于dhcp snooping，在接口使用命令arp anti-attack check user-bind enable开启，根据收到ARP报文与绑定表的源IP、源MAC、vlan、接口进行对比

1、arp anti-attack check user-bind enable //全局使能动态ARP检测 2、配置信任端口 3、开启dhcp enable, dhcp snooping enable 4、dhcp snooping enable //接口使能 5、 dhcp snooping trusted //配置信任端口

IPSG原理描述

IP源防攻击：基于二层接口源IP地址过滤技术 IPSG绑定表（源IP、源MAC、所属vlan、入接口的绑定关系）

IPSG与DHCP snooping动态绑定：生成过程：根据用户获取IP，服务器回复ACK报文动态生成; 需要配置信任接口：dhcp snooping trust ip source check user-bind enable

静态绑定表：使用user-bind手工配置接口：ip source check user-bind enable

IPSG和DAI都是基于DHCP snooping绑定实现的

DHCP snooping的应用场景

场景1：防止DHCP server仿冒攻击

场景如上： R1是合法DHCP服务器，R2是不合法的DHCP服务器，由于PC1发送discovery报文是广播发送，所以不断是合法服务器还是不合法服务器都会收到；如果PC1接收了R2的参数，可能导致不能上网。解决办法：交换机与服务器配置信任端口在交换机全局开启：dhcp snooping enable 在交换1口添加为信任接口：dhcp snooping trust 交换机开启探测功能：dhcp server detect

场景2：防止仿冒DHCP报文攻击导致合法用户无法获取IP地址或异常下线

场景：PC1已获取IP地址和MAC，如PC1发送dhcp request 或者 dhcp release 报文想释放地址或者续租地址，如果攻击伪冒用户向服务器不断dhcp request报文，导致合法用户到期的IP无法正常收回，以及合法用户不能获取IP地址的情况，同时攻击发送dhcp release报文，导致合法用户下线。解决办法：可以根据dhcp snooping表项判断dhcp request或者dhcp release是否合法；接口：dhcp snooping check dhcp-request enable 接口：dhcp snooping check dhcp-chaddr enable //使能检测DHCP Request报文中GIADDR字段是否非零的功能。

场景3：防止DHCP server拒绝服务攻击

场景：攻击者发送大量的dhcp request，不断改变chaddr字段，导致服务器地址被耗尽，导致不能对其他合法用户分配地址。解决办法：配置用户侧最大接入用户数，并使能检查chaddr字段接口：dhcp snooping max-user-number x 接口：dhcp snooping check mac-address enable

ARP有哪些攻击手段&解决办法

ARP泛洪攻击原理

攻击者伪造大量的源IP地址变化的ARP报文，使得设备ARP表项被无效的ARP条目耗尽，导致合法的ARP报文将不能生成ARP表项，导致通信中断；

如何防御

1、ARP报文限速

设备收到大量的ARP报文---目的：防止ARP处理大量ARP报文，导致CPU负荷过重而无法处理其他业务；

arp speed-limit source-mac+mac地址+maximum+限速值 //根据源MAC限速 arp speed-limit source-ip+ip地址+maximum+限速值 //根据源IP

2、ARPmiss消息限速

攻击者向网关发送不存在的目的IP，导致网关无法学习触发MISS消息，生成临时ARP表项---目的：防止设备收到大量目的IP地址不能解析的IP报文，触发大量的miss消息，导致CPU负荷过重而无法处理其他问题；

arp-miss speed-limit source-mac+mac地址+maximum+限速值 //根据源MAC限速 arp-miss speed-limit source-ip+ip地址+mask+maximum+限速值 //根据源IP

3、ARP表项严格学习

用户或者攻击在同一个时间段发送大量的ARP报文，或者攻击伪造ARP报文，导致设备ARP表项资源被耗尽，或者说无法生成正确的ARP表项；

arp learning strict //全局使能 int g0/0/0 arp learning strict { force-enable | force-disable | trust } //配置接口的ARP表项严格学习

4、ARP表项限制

限制设备的某个接口学习动态ARP表项的数目，防止ARP表项资源不会被耗尽的情况；

int g0/0/0 arp limit vlan vlan-id maximum+x //基于二层接口的ARP表项限制 arp limit maximum+x //基于三层接口的ARP表项限制

5、禁止接口学习ARP表项

当某个接口学习了大量的动态ARP表项时，出于安全考虑，可以禁止该接口的动态ARP表项学习功能，防止该接口下的用户发起ARP攻击导致整个ARP表项资源耗尽；

int g0/0/0 arp learning disable //禁止该接口学习动态ARP

ARP欺骗攻击原理

攻击者通过发送伪造的ARP报文，恶意修改其他用户主机的ARP表项，导致用户不能正常通信；

如何防御

1、ARP表项固化

防止攻击伪造用户向网关发送伪造的ARP报文，导致网关形成错误的ARP表项，不能与用户正常通信

arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable //全局配置ARP表项固化功能--接口使能也是这个命令

2、动态ARP检测

动态ARP检测利用绑定表来防止攻击者来攻击，当设备收到ARP报文时，将ARP报文对于的源IP、源MAC、vlan以及接口信息和绑定表进行比较；（绑定表的内容：客户端MAC、IP、接口、所属vlan）

3、ARP防网关冲突

攻击者伪造网关的ARP报文发送给用户，导致用户选择错误的网关，通信中断；

arp anti-attack gateway-duplicate enable //全局开启防网关冲突

4、发送免费的ARP

攻击者伪造网关发送ARP报文，导致用户选择错误的网关地址；在网关上部署发送免费的ARP报文，定期更新用户的ARP表项，使其用户记录正确网关的MAC地址；

arp gratuitous-arp send enable //接口使能发送免费ARP

5、ARP报文内MAC地址一致性检查

部署在网关，根据以太网数据帧中的源目MAC地址和ARP表项的源目MAC进行比对；一致，合法，不一致，不合法；

arp validate { source-mac | destination-mac } //接口配置报文MAC一致性检查

6、ARP报文合法性检查

部署在网关：源MAC地址和目的MAC地址检查都是根据ARP报文中和以太网帧首部的源MAC和目的MAC进行比对；一致，合法，不一致，不合法；

arp anti-attack packet-check { ip | dst-mac | sender-mac } //全局开启对ARP报文合法性检查

7、ARP表项严格学习

用户或者攻击在同一个时间段发送大量的ARP报文，或者攻击伪造ARP报文，导致设备ARP表项资源被耗尽，或者说无法生成正确的ARP表项；

arp learning strict //全局使能 int g0/0/0 arp learning strict { force-enable | force-disable | trust } //配置接口的ARP表项严格学习

8、DHCP触发ARP学习

在DHCP用户环境下，DHCP用户数目多，进行大规模的ARP表项学习和老化影响设备性能，可以在网关上部署DHCP触发学习功能时，当DHCP服务器给用户分配IP地址，网关根据vlanif接口收到ACK报文生成该用户的ARP表项。前提是使能dhcp snooping功能；

arp learning dhcp-trigger //接口下使能DHCP 触发ARP学习功能

ICMP有哪些攻击手段&解决办法

畸形报文

目标设备发送有缺陷的IP报文，使得目标设备在处理这样的IP报文时出错和崩溃，给目标设备带来损失;

ICMP空报文

20bit头部+8bit IGMP报文，若总长度小于28bit，认为是畸形报文

surf攻击

源为主机，目的为广播的ICMP request，所有主机给目标主机发送reply，消耗网络资源

空IP载荷泛洪

只有20bit头部，没有数据，大量的空IP载荷报文构成泛洪

LAND攻击

发送源和目的均未目的设备的SYN，创建大量的空连接，占用资源

TCP标志位

URG、ACK、PSH、RST、SYN、FIN 1、所有标志位都为1，处理崩溃 2、所有标志位为0，window回复RST/ACK，Linux不回复 3、SYN和FIN同时为1，可用于主机在线和端口探测

使能

anti-attack abnormal enable

分片报文攻击

Fawx攻击

是一种分片错误的IGMP报文。特征：共两片，第一片9bytes，第二片offset=8载荷16bytes，IP载荷长度为16bit，没有结束；

死亡ping 攻击

数据包超过65535，导致协议栈崩溃

使能

anti-attack fragment enable

ICMP泛洪攻击

短时间内发送大量的icmp虚假报文，消耗资源

1、TCP SYN

TCP半连接，若短时间发送大量TCP SYN报文，不回复ACK/NAK，导致接收者处理崩溃

2、UDP泛洪

短时间内发送大量的UDP报文，导致设备负担过重不能及时处理正常业务；

fraggle：源为目标，目的广播，端口7，不断回复消耗CPU

UDP诊断端口：7-13-19发送报文，影响设备CPU

3、ICMP泛洪

大量ICMP请求，造成设备不断应答reply；解决办法：对ICMP饭后能攻击设置CAR限速，保证CPU不被攻击；

使能

anti-attack flood-icmp enable

可能存在的追问

开局阶段，存在广播风暴该怎么做？

广播报文以包模式进行流量抑制：broadcast-suppression packets 12600

组播报文以包模式进行流量抑制：multicast-suppression packets 25200

未知单播报文以包模式进行流量抑制：unicast-suppression packets 25200

URPF检查工作原理

单播逆向路径转发：主要功能时防止基于源IP地址欺骗攻击行为，例如Dos攻击；

URPF根据报文的源IP去查找路由表是否存在你去往该地址的路由，并判断报文入接口与路由出接口是否一致；若该路由表不存在或者不一致，则丢弃；

URPF模式

严格模式

要求路由表中有去往源IP地址的路由，且要求报文入接口和路由出接口一致；

场景：一般针对只有一条路径使用

松散模式

仅要求路由表中有去往源IP地址的路由，不要求报文的入接口和出接口一致；

场景：针对有冗余的路径使用

配置

系统视图：urpf slot x //全局使能URPF功能

接口使能：urpf loose/strict //松散模式--严格模式

IPV6IPsec

tracert 原理

主机A向目的主机B发送一个UDP报文，TTL值为1，目的UDP端口号是大于30000，第一跳R1收到主机A的UDP报文，判断报文目的IP地址不是本机IP地址，将TTL值减1，TTL=0，则丢弃报文并向主机A发送一个ICMP超时报文（该报文有R1的地址），这样主机A就得到R1的地址。主机A再次向目的主机B发送一个UDP报文，TTL值为2，R2收到之后，TTL=0，则丢弃报文并向主机A发送一个IMCP超时消息（该消息有R2的地址），主机A就得到R2的地址，重复以上过程，直到目的主句B收到源端主机A的UDP报文才会处理此报文；根据报文中目的端口号寻找占用此端口号的上层协议，因目的主机B没有上层协议使用该端口号，则向源端回复一个IMCP端口号不可达，源端收到ICMP端口不可达报文之后，判断出UDP报文已经到达目的地，则停止tracert程序；

各种NAT技术原理

NAT实现方式

静态NAT：一对一

动态NPAT：端口复用技术，一个IP使用端口最大数量65535

easy ip:使用场景小型企业网，通过内网地址映射到外网地址，内网端口和外网端口也会随之变化；源IP+端口号---目的IP+端口号

静态NAPT

动态NAPT-no-pat

不启用端口复用

动态NAPT

场景，内网用户多的情况，外网端口有限制端口数量65535，用户过多导致端口映射不够；所以需配置地址池；源IP+端口号---目的IP+端口号

NAT server：解决外网访问内网服务器

NAT ALG（应用层网关ALG）：NAT和NAPT只能对IP报文的头部地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议，例如FTP等，它们报文的数据部分可能包含IP地址信息或者端口信息，这些内容不能被NAT有效的转换。 ALG是对特定的应用层协议进行转换，在对这些特定的应用层协议进行NAT转换过程中，通过NAT的状态信息来改变封装在IP报文数据部分中的特定数据，最终使应用层协议可以跨越不同范围运行。

结合FTP说明ALG工作原理

FTP协议有被动模式和主动模式；主动模式成为PORT，被动模式称为PASV; FTP的NAT ALG需要按照如下两种分类对FTP协议处理：21号端口用于控制连接--20号端口用于数据连接 FTP服务器在外部网络---使用PORT方式访问--主动模式--server主动发起数据连接 FTP服务器在内部网络---使用PASV方式访问--被动模式--client主动发起数据连接

服务器在外网的场景：使用PORT方式访问 ALG 和 FTP连接过程：

主动模式建立： 1、首先client向server发送TCP报文，源端口随机，目的端口：21，三次握手成功进入下一步 2、client发送一份PORT报文，源IP：10.1.1.1，目的IP：200.1.1.1；携带内容信息为（IP为10.1.1.1，端口号为2000）,希望服务器通过2000这个端口和自己的20号端口数据连接； 3、server收到之后发起FTP数据连接，源端口为20，目的端口2000，client收到进行回应，三次握手完成，FTP建立完成； -------R1开启ALG应用网关协议，不仅可以转换源IP，源端口，还会将内容的源IP和端口也进行更改，这样服务器就可以发起FTP连接了

PASV方式访问：

1、client发送PASV报文目的端口为21号，服务器收到之后回应response报文，里面携带server的IP地址和一个端口号4000，client收到主动发起FTP数据连接，源端口随机，目的端口为4000，三次握手建立完成；

DNS mapping使用场景

当主机通过域名访问服务器，由于DNS服务器在公网，主机发送request 请求，DNS服务器收到请求，根据域名所对应的地址进行回复，到达NAT设备，根据域名的公网IP地址映射成私网服务器域名的IP地址，主机收到之后，根据公网解析的私网地址进行访域名问web-server;

NAT映射表中的内容

inside address 及端口号，global address 及端口号，协议类型，有配置VPN实例会显示VPN实例

nat server的使用场景

公网设备访问内网服务器场景

步骤： 1、在路由器上配置NAT server转发表项 2、路由器收到公网发来的访问请求，根据“目的IP+端口”去转发表项中查找对应的“私网IP+端口号”进行替换：比如公网地址1.1.1.1 ：80 转换为内网 192.168.1.68：80 3、路由器收到内网服务器的应答，根据“私网IP+端口”转换“公网IP+端口号”

easy ip 的使用场景&NAPT的对比

easy ip场景

小型企业网

对比

easy ip是通过接口IP地址进行转换的，NAPT是通过地址池中的地址进行转换的，都可以进行端口转换

ICMP报文没有端口号如何做转换

ICMP没有端口号，根据icmp的type和code产生源端口号，根据icmpid生成目的端口号，发送ping包就可以查看。在display nat session，可以查看icmpid和ICMP报文的identifier字段一致；

追问

路由策略--策略路由

1、路由策略基于控制平面，影响路由表--策略路由基于转发平面，不会影响路由表且收到报文，先去匹配策略路由转发，若匹配失败，再匹配路由表转发； 2、路由策略只能基于目的地址来制定策略--策略路由可以根据源目地址、协议类型、报文大小制定策略； 3、路由策略与协议结合使用--策略路由需手工逐跳配置，保证报文按策略转发； 4、路由策略常用工具：route-policy、filter-policy--策略路由常用工具：traffic-policy、traffic-filter；

as-path-filter作用

AS路径过滤器是将BGP中的as-path属性作为匹配条件的过滤器；只有在BGP收发路由的时候才能使用；

community-filter的作用

公认团体属性：收发路由时使用

Internet

设备收到此属性路由后，可以向任何BGP对等体发送该路由，缺省属性

NO-advertise

将不向任何BGP对等体发送该路由

NO-export

将不向AS外发送该路由

NO-export_subconfed

将不想AS外发送该路由，也不想AS内其他子AS发布此路由

ACL-ip-prefix

1、ACL只针对路由前缀检查，不能匹配掩码--前缀列表可以匹配前缀，也可以匹配掩码； 2、ACL针对的数据转发平面的数据包--前缀列表匹配的控制平面的路由； 3、ACL可以匹配奇偶路由--前缀列表无法实现；

NTP工作原理

网络时间协议

用于服务器和客户端之间同步时钟，NTP的实现基于IP和UDP,NTP报文通过UDP传输，端口号123

SNMP工作原理

简单网络管理协议：实现对网络的监控和告警应用层协议，UDP承载信息，NMS监听162，agent监听161 四个组件： NMS：网络管理协议 agent：被管理进程，接收SNMP报文通过MIB处理 MIB：是一个数据库，管理NMS访问的控制/状态信息 managed boject：被管理对象

团体名：用于在agent和NMS之间的认证，明文携带，不支持加密

PDU类型：Get、GetNext、Set、Response、Trap

相对于V1C在PDU类型上，增加了getbulk消息，可以一次多次查询参数

可以配置多个组通过安全参数携带，携带用户名和认证等加密信息；

新增：Context EngineID：SNMP唯一标识符，和PDU类型一起决定应该发往哪个应用程序。

新增：Context Name：用于确定Context EngineID对被管理设备的MIB视图。

对比

VRRP:虚拟路由冗余协议

优先级0&255的意义

设备离组时发送通告报文优先级为0，备设备立刻成为主，不需要等待

优先级为255，当虚拟IP地址和物理接口IP地址相同时

虚拟MAC地址计算

IPV4：0000-5E00-01+VRID IPV6：0000-5E00-02+VRID

什么时候会出现双主

1、主备配置不一致，版本不一致，VRID不一致，虚拟IP配置错误

2、心跳报文链路不通

3、设备CPU利用率过高

什么时候会出现主备切换

1、3-4s内备设备没有收到主设备的心跳报文

2、主设备故障发送通告报文，优先级为0

3、在VRRP上设置track int g0/0/0 reduce,当心跳线链路down以后，调整备用设备优先级

双主的影响

主备不断抢占且流量路径不断变化

主从变更

1、master设备周期发送通告，周期/1s，若back设备三次没收到，back设备需要等待256-备份优先级/256后的时间成为主； 2、master主动退组发送优先级为0的通告报文，back设备直接成为主；

主备切换如何把流量引到新的主设备上？

主备切换成功，新设备会发送免费ARP报文，让下游设备刷新MAC地址表项

master选举

1、初始建设VRRP时都是init状态，收到接口UP之后，若此时设备优先级小于255，状态切换为备，待master-down定时器超时后优先级高的进入master状态； 2、backup收到优先级比自己高的状态不变，若收到优先级比自己低且开启抢占功能，状态切换为master，多个设备切换根据优先级大的或IP地址大的为master；若IP地址和虚拟IP地址相同直接切换为master；

V2--V3区别

V3可以用于IPV4和IPV6，V2只能支持IPV4

V3不支持认证

V3发送间隔是厘秒，V2是秒

负载均衡

多网关负载均衡就是创建多个VRRP组，同一个设备的VRRP组的VRID不一致，实现不同业务走不通的网关

VRRP安全机制

MD5认证和简单认证

为什么收到TTL值小于255的报文丢弃：

由于VRRP只在同一广播域传递，收到小于255的TTL认为是非法报文，选择丢弃；

BFD工作原理

BFD本身并没有邻居发现机制，而是靠被服务的上层应用通知其邻居信息以建立会话。会话建立后会周期性地快速发送BFD报文，如果在检测时间内没有收到BFD报文则认为该双向转发路径发生了故障，通知被服务的上层应用进行相应的处理。

可以与什么协议联动

静态--ospf--isis--vrrp--bgp--pim--ldp

会话建立方式

静态建立和动态建立静态：手工配置BFD，包括本地表示符和远端标识符，然后手工下发BFD会话请求动态：动态建立表示符，系统自动分配本地标识符和远端标识符异步模式：互相发送BFD控制报文，如果几个没收到，会将BFD的状态切换为down 查询模式：不周期发送BFD报文，通过一些硬件检测机制进行检测，减少BFD报文带来的开销会话状态：down--init--up

对端不支持BFD怎么办？

bfd 1 bind peer-ip 1.1.1.1 int g0/0/0 one-arm-echo

单跳检测

单挑检测建立绑定出接口

多跳检测

多跳检测绑定目的IP

NQA工作原理

NQA：网络质量分析 NQA能够实时监视网络QoS，在网络发生故障时进行有效的故障诊断和定位。在部署时，减少了设备的成本的投入，通过NQA技术，可以统计抖动、丢包率、响应时间；

支持那些测试例

DNS ICMP ICMP Jitter trace TCP UDP UDP Jitter MAC MAC ping DNS FTP 下载速度 FTP 上传速度

测试类型为DHCP有什么结果

只测试，不占用地址，通过release报文释放地址

举例

对比

1、作用方式不一样，BFD检测链路连通性，当链路故障，实现毫秒级收敛，减少流量丢失；NQA实时网络探测技术和统计技术，对网络的抖动，丢包率，响应时间做统计，能够实时检测网络QOS，更趋向于网络质量分析； 2、检测方式不一样，BFD通过BFD报文来感知链路是否故障；NQA通过不同协议测试构造不同的协议测试报文，并记录测试信息，NQA需要长期性测试，周期性较长；

IPV6

IPV6的优势

1、IP地址数量大，2的128次方 2、报文时定长的，可以使用扩展报头，有利于转发效率 3、扩展报头支持认证，不需要上层再次认证 4、无状态自动配置 5、精简报文结构 6、支持端到端的安全；IPSEC 7、更好的支持QOS

IPV4的弊端

1、地址空间不足且分配不均 2、骨干路由器的路由表数目非常庞大

IPV6报文

流标签的作用

区分实时流量，流标签+源地址组成唯一的一条数据流，设备处理更加高效区分数据流

traffic class流分类

对qos进行标记优先级，等于IPV4的TOS字段

IPV6报文与IPV4报文对比

1、IPv6由基本报头和扩展报头--8bit，基本报头、上层协议（protect 41）固定40字节，IPV4报头20-60字节---V6扩展报头时可选的，需要用的时候才会添加 2、由于IPV6分片使用扩展报头中的44号分段报头进行分分片，删除了标识符，标记，、片位移字段 3、由于2层FCS和4层都有校验和，所以三层不需要校验，删除了校验和字段 4、删除了option字段、padding字段 5、新增流标签，区分实时数据流，源地址+流标签组成唯一数据流 6、流分类不是新增，是对IPV6数据包标记优先级，主要用于QOS 7、V6将V4的TTL替换为hop limit

扩展报头的作用

有利于转发效率，扩展时新增扩展报头即可，可以存在多个扩展头部，使用next header指向下一层头部； 0是逐跳选项报头，应用于巨型帧，提示设备检查，预留资源（载荷长度超过65535） 60是目的选项报头，携带了只有目的节点处理的信息，用于移动IPV6 43是路由报头，源节点所经过的路由器 44是分段报头，用于数据包在源节点上进行分片 51是认证报头，提供认证、数据完成性和重放保护 50是封装安全静载报头，提供认证、数据完整性以及重放保护和IPV6数据包的加密

IPV6如何处理巨型帧

当一个数据包大于65535字节，将无法使用44号分段扩展报头对该报文分片，那么首先将IPV6基本报头长度设置为0，然后再0号逐跳扩展选项报头当中的巨型载荷选项字段中携带具体的载荷长度

IPV6地址分类

被请求节点组播地址用途

IPV6没有广播地址和ARP，但是需要NS解析MAC地址，设备发送NS报文目的地址就是通过该地址对应的请求节点组播地址，只有属于该组播组的节点会处理；主要用于地址解析和DAD冲突检测

组播MAC如何产生

3333是专门为IPV6预留的MAC地址前缀，后32bit映射IPV6地址后的32bit

本地链路地址用途

用来和相同链路上的其他主机通信

组播地址

FF02::1 所有节点，FF02::2是所有路由器，FF02::5是OSPFV3路由器，FF02::6是OSPFV3的DR，FF02::D是PIM，FF02::18是VRRPV3，FF02::1:FFxx:xxxx是被请求节点组播地址，FF02::16 是MLDV2

组播地址前缀FF00::/8，后面112bit标识组范围

特殊地址

未指定

::/128，DAD中会出现，作为源地址

环回地址

::1/128

唯一本地地址

FC00::/7，相当于私网地址，FC00::/8或FD00::/8

全球单播地址

2000::/3，前3bit固定，可用的为2000或3000 //公网

链路本地地址

FE80::/10；标识链路唯一接口配置：1、手动配置 2、通过EUI-64自动生成 3、当配置一个单播地址和任播地址就会生成链路本地地址，一般用于地址解析，无状态自动配置；

单播地址

任播地址

取值范围和单播地址一样，不能作为源地址，标识一组网路接口，主要用于移动IPV6

被请求节点组播地址

FF02::1:FF00:0/104

地址解析，邻居发现，地址重复检测

因为IPV6没有广播地址，所以使用被请求节点组播地址充当广播地址

IPV6地址组成

EUI-64算法

接口ID的生成方式

手工配置，软件生成或EUI-64生成，MAC地址中间插入FFEE，然后第七位改为1；MAC地址第七位为0表示全球唯一，为1代表本地定义的

ipv6共128bit，共16字节，分为8组，每一组16bit，为十六进制

ICMPV6

PMTU工作原理

IPV6报文在转发过程中不能进行分片，仅在源节点直接分片，在目的节点进行组装；分片的大小不能超过路径最小的MTU，V6要求链路层最小MTU为1280；假设源到目的要先后经过4条链路，链路地MTU分别是1500、1500、1400、1300，当源发送一个分片报文的时候，首先分成1500大小的片，当到达1400的出接口时，路由器就会返回Packet Too Big错误，同时携带1400的MTU值。源接收到之后就会重新分成1400大小的片，当到达1300的出接口时，同样返回Packet Too Big错误，携带1300的MTU值。之后源重新分成1300的报文，最终到达目的地，这样就找到了该路径的PMTU。

PMTU优缺点

优点

优点只在源目节点分片和重组，不需要在中间节点分片重组，减轻了中间设备压力。

缺点

缺点是PMTU触发协商时产生了报文和流量；如果一个设备的PMTU过小的话，路径上所有设备的转发都要同步使用这个PMTU，

ICMPV6与V4的区别

作用区别

差错信息

type 1：目标不可达

type 2：数据包过长

type 3：超时

type 4：参数错误

信息消息

type 128：echo request

type 129：echo replay

协议号区别

V4协议号=1

V6协议号=58

NDP协议

地址解析过程

使用NS和NA完成，NS相当于ARP请求，NA相当于ARP应答，A发送NS报文，源地址为单播地址，目的地址为被请求节点组播地址，源MAC为接口MAC，目的MAC为二层组播MAC，B收到后通过NA单播回复，源地址为自身地址，目的地址为对端设备全球单播地址，源MAC自身MAC，目的MAC为对端MAC

NS报文：

NA报文：

邻居无状态跟踪

每个节点维护一个邻居表，使用NDP定期跟踪邻居状态，初始状态为empty，设备发送NS报文，进入incomplete状态，如果得到NA回复，进入reachable，在reachable状态下经过30s进入stale状态，在stale下A发送数据的话，进入delay，5秒回应就回到reachable状态，无应答进入probe，1秒发送一次NS，3次有人回应进入reachable，无人回应进入empty删除表项；

报文细节：delay组播发送NS，probe单播发送NS

路由器发现

用于发现与本地链路相连的设备，获取地址自动配置相关的前缀和其他参数，使用RS、RA实现完成 RA定时组播发送，携带前缀信息和其他标志位信息，type字段134 RS主动发送，其他设备回应RA 路由器主动发送RA消息，命令undo ipv6 nd ra halt，主机收到加入默认路由表列表，路由器收到检查内容的一致性链路存在多个设备的时候，根据route-preference选择优先级最高的作为网关，相同就负载分担

收到RA消息内部flag字段：； M为0，表示使用RA消息里面所包含的前缀用于无状态自动配置； M为1，收到RA消息采用有状态自动配置；

O位置1，表示除了获取地址，还需要获取其他参数；

重定向原理

原理：当网关发现收发数据包都是同一个接口，认为没有必要，则进行重定向

A访问B，网关是R1，当数据包发给R1的时候，R1收到数据包发现A直接发送给R2更好，就发送重定向报文给主机A，其中target address为R2，目的地址为B，主机A收到重定向报文，就添加一条主机路由，以后访问B的报文直接给R2

条件： 1、出接口和入接口相同 2、下一跳和接收地址在同网段 3、有该邻居表项 4、目的地址不是组播地址

DAD

地址重复检测：接口启用单播地址后需要做DAD冲突检测，使用NS NA实现；tentative是DAD检测前地址，试验性地址，暂时不能通信，但是会加入到被请求节点组播地址组，然后发送一个NS，若有回应说明地址已被使用，没有回应则无冲突；

NS源地址 :: ，目的地址是自己IPV6所对应的被请求节点组播地址，源MAC为接口MAC，目的MAC为二层组播MAC；如果冲突回复目的是FF02::1 ,源为自己，A会将地址置为duplicate重复的状态

前缀重编址

无状态自动配置场景

正常情况下，有效期时间结束前，应该会再次收到RA，重置计时器；

无状态自动配置

StateLess Address AutoConfiguration，SLAAC 主机A加入网络需要获取单播地址时发送RS报文，type类型为133，主机B收到需要使用udno ipv6 nd ra halt才会回复RA报文，主机收到后根据前缀信息+EUI-64生成单薄的置，生成地址后为试验地址需要进行DAD地址冲突检测；

无状态自动配置地址可以使用多久？

通过有效生存期28天，和首选时间7天判断；如果使用时间小于preferred时间正常使用，如果大于首选时间还是可以使用，但是不能主动发起连接，当超过有效生存期将无法使用

有状态自动配置

DHCPV6有状态配置

四步交互过程： 1、客户端发送solicit报文，请求IPV6地址和其他参数 2、服务器回复advertise报文，通知客户端可以分配地址和其他参数 3、若存在多个服务器，选择优先级最高的duid服务器进行request 4、服务器收到客户端request请求，进行reply应答，包含地址和其他参数

两步交互： 1、若在快速模式下，客户端发送solicit请求，包含地址和参数 2、服务器收到客户端的征求，直接进行回复，并分配相关参数配置

无状态

OSPFv3/ISIS/BGP4+在IPV6的实现

详细OSPFV3&OSPFV2对比

对比不同点

OSPFV3基于链路，而不是网段；不管链路是否配置全球单播地址，都可以建立邻居

OSPFV3通过链路本地地址进行建立、维持邻居，同时使用link local地址作为报文源地址和路由下一跳； v-link必须使用单播地址建立作为源地址；

通过router ID唯一标识邻居

1类2类通过RID和接口ID标识，不携带路由信息，实现路由和拓扑分离

新增8类9类

link lsa：宣告链路上的link-local地址及前缀信息，仅在本链路泛洪； 8类的RID+接口ID和1类RID+接口ID对应，这样对每个接口link-local和单播前缀做了补充；

intra area prefix lsa：区域内防洪；宣告本路由器和MA的全局地址信息； 2001 描述1类LSA路由信息，2001 是所有路由产生的，通过RID和1类对应；用来携带stub网络； 2002 DR产生，描述连接DR的前缀信息；通过DR的RID和2类关联，将transit路由信息挂在DR伪节点下面，实现SPF计算； 9类那些设备产生：1类LSA中配置单播地址会产生DR，transit链路会产生DR

报文变化：

报文OSPFV3头部变化，取消认证字段，增加了实例字段；

OSPFV3--hello报文尾部认证 IPV6扩展报头认证

hello报文：取消掩码，增加了接口ID

LSA 头部：对于V2而言，V3 取消option选项字段，添加了ls type泛洪范围，表示对未知LSA的处理；

新增8类 9类LSA的作用

实现拓扑与路由分离，相应的1、2类LSA中的路由和拓扑需要分离，于是新增8类9类LSA，其中8类LSA叫做link-LSA用于宣告链路上的link-local地址配置的全局单播地址，以及为链路上的其他路由器提供下一跳和IPV6前缀，仅在本链路泛洪，为了实现拓扑和地址分离，8类撤销的时候如果是link-local地址撤销会影响邻居，如果是全球单播地址撤销使用序列号+1； 9类LSA叫做intra-area-prefix-LSA，用于携带本路由器MA网络的路由信息，实现拓扑和路由分离，内部包含了LSA类型，LSA数量、Link-ID、通告者和前缀信息，9类撤销如果配置了多个全球单播地址，撤销序列号+1，撤销全部的时候使用3600s老化

route-lsa中 option为 R代表是否是一台路由器；R=1 可以进行转发数据，R=0代表可以发布路由，但是不参与转发；V6=1 可以计算IPV6路由；V6=0 不加入IPV6路由计算

相同点

SPF算法

报文相同

接口状态机和邻居状态相同

网络类型和接口类型相同

LSDB

多实例的作用

实现链路复用节约成本，V2一个接口只能属于一个实例，V3可以属于多个实例

如何认证

V6在头部移除认证字段，不再包含认证类型和认证字段，使用IPV6的安全机制实现认证，内部认证直接在hello报文尾部增加认证，其他报文无认证

撤销

1类LSA

如果存在全球单播地址，存在多个撤销1个 1类 seq+1;9类 seq+1 撤销全部单播地址 3600

2类LSA

V2类似

怎么区分9类LSA是DR产生

referenced ls type字段，2001标识1类LSA，2002标识是2类LSA; referenced link ID字段如果是1类设置为0.0.0.0，如果是2类LSA设置为DR的接口ID; referenced adv route，如果是1类就是该设备的RID，2类是DR的RID；

8类已经描述了接口前缀，为什么还要9类LSA

8类的内容是用于下一跳，并且本链路泛洪，9类LSA是区域间泛洪的

ISIS

TLV232的作用

它相当于IPv4中的“IP Interface Address”TLV，只不过把原来的32比特的IPv4地址改为128比特的IPv6地址

TLV236的作用

描述路由前缀信息，度量值等信息描述网络可达性

NLPID的作用

标识网络层协议报文，IPV6 TLV 142（0*8E）IPV4（0*CC）；如果isis支持IPV6，那么向外发布路由时必须携带NLPID值；不携带，收到将做处理

多拓扑新增TLV

222 描述拓扑信息，携带邻居信息

229 多拓扑标识符，标识多拓扑信息

235 描述多拓扑可达IPV4前缀

237 描述多拓扑可达IPV6前缀

多拓扑如何实现

因为在IPV6中新增的232 236号TLV没有描述拓扑信息，所以说IPV6还是使用的IPV4得2 号或者 22号TLV进行描述拓扑信息，导致使用一张拓扑，若出现单栈设备，就会造成设备流量丢失的情况

对于R2不支持IPV6，那么对于R3而言逻辑拓扑是这样的，但是R3还是可以从R1这边收到路由，当R3去访问4444：：4/128的时候，数据包到达R2就会丢弃，R2不支持IPV6 开始多拓扑之后，V4和V6拓扑独立计算，在多拓当中，并且新增4中TLV 1、TLV222 多拓扑时间系统，描述拓扑信息，携带邻居信息 2、TLV229多拓扑标识符，标识多拓扑信息 3、TLV235描述多拓扑可达IPV4前缀 4、TLV237描述多拓扑可达IPV6前缀

TLV--IPV4

narrow

2描述拓扑

128 内部路由

130 外部路由

wide

22 描述拓扑

135 打TAG

BGP4+有哪些改进

BGP新增了TLV和地址簇，可选非过渡属性MP-REACH-NLRI网络层可达路由；发布路由 MP-UNREACH-NLRI多协议不可达；后者用于撤销路由；在update报文中MP-REACH-NLRI中有下一跳，前缀长度；撤销路由也是在MP-REACH-NLRI的withdraw routes中包含前缀和前缀长度

过渡技术

什么是互通和共存

共存技术：双栈技术和隧道技术--手动隧道和自动隧道

互通技术：提供IPV6与IPV4互访的技术；NAT64

手动GRE

GRE可以承载任何上层内容，所以也可以是IPv6，封装来说ipv4头+GRE头+ipv6头+payload

数据封装顺序

手动6over4

R1和R3启用双栈协议，配置6over4隧道，R1收到报文后，把IPV6报文作为数据部分封装到IPV4头部，然后传递给R3，R3收到解封装发送IPV6网络中；封装IPV4头（41）+IPV6头+payload

数据封装顺序

6to4

固定前缀信息2002：IPV4：子网

PC1访问PC2首先进行与运算发现不在网段，此时是得知R1的MAC地址直接进行封装，源IP为自己IP，目的IP为PC2的IP，源MAC为自己MAC，目的MAC为R1的MAC，数据包封装传给R1，R1收到根据目的IP查看路由表，发现出接口为tunnel接口，同时是6to4隧道协议，于是将中间的32bit转换为10进制的IPV4地址，从新封装加一层IPV4头部信息，源为出接口，目的为R3,进行封装发送，到达R3发现目的IP就是自己，解封装漏出IPV6头部，查表发给PC2；

中继情况：可以在R1的tunnel接口添加IPV6地址，必须要2002开头，中间32bit与IPV4地址转换，然后写一条静态下一跳执行R1的tunnel的IPV6地址；

ISATAP

实现主机访问路由器，主机访问主机

实现原理：在IPv4网络内部有两个双栈主机PC2和PC3，它们分别有一个私网IPv4地址。要使其具有ISATAP功能，需要进行如下操作：首先配置ISATAP隧道接口，这时会根据IPv4地址生成ISATAP类型的接口ID。根据接口ID生成一个ISATAP链路本地IPv6地址，生成链路本地地址以后，主机就有了在本地链路上进行IPv6通信的能力。进行自动配置，主机获得IPv6全球单播地址、ULA地址等。当主机与其它IPv6主机进行通讯时，从隧道接口转发，将从报文的下一跳IPv6地址中取出IPv4地址作为IPv4封装的目的地址。如果目的主机在本站点内，则下一跳就是目的主机本身，如果目的主机不在本站点内，则下一跳为ISATAP路由器的地址。

NAT64

将IPV6数据包字段和IPV4字段建立映射，实现报文的转换，用于IPV6端主机访问IPV4端资源使用，客户端使用IPV6访问服务器，服务器不支持IPV6，NAT64负责将IPV6报文解析IPV4访问服务器

项目题

边缘端口的特性、使用场景、使用时有什么问题、怎么解决

特性

1、EP端口UP直接进入forwarding状态，不需要等待30s转发时延，增加设备转发效率

场景

终端设备开机，一般来将，不是边缘端口需要等待30s的时延才能进入转发状态

2、EP端口UP,进入forwarding，不算作拓扑变化机制

3、EP端口收到TC BPDU，不会删除EP端口下的MAC地址表项

场景

办公网络终端设备开机，若接入端口不是EP端口，导致端口进入forwarding状态触发拓扑变化，发送TC BPDU删除设备MAC地址表项，让已知单播帧变成了未知单播帧，造成网络设备性能下降

4、P/A协商不会阻塞EP端口

场景

交换机下面接入两台服务器，若新接入一台交换机，并且优先级高，进行P/A协商，阻塞端口防止临时环路，阻塞端口端口的同时导致两个服务器数据传输断开；

5、EP端口收到BPDU，丧失边缘的特性，从新参与生成树的选举

场景

当一个稳定的网络，交换机下面接入终端错误接入交换机，并且优先级最高，导致网络端口从新选举，访问路径次优等问题；

问题及解决办法

临时环路

临时环路场景： S1和S2相连链路都是EP端口，若此时存在ping包，大量的广播报文，导致两个交换机之间产生临时环路，BPDU是2秒发送一次，导致EP端口收到BPDU丧失边缘的特性，重新参与生成树选举，会阻塞一个端口，临时环路才会解除；解决办法：全局使用stp edged-port default，全局开启边缘端口，这样的EP端口在UP后5秒的延迟进行forwarding转发状态，避免了临时环路产生；

永久环路

永久环路场景：当S1的EP端口发送BDPU，由于S2关闭了STP，但是可以识别BPDU报文，不能转发，所以丢弃，那么导致S1的两个EP端口一直处于收不到对方设备的BPDU状态，若此时出现一个广播报文就会出现环路；解决办法： S2打开STP功能，也可以对链路做捆绑或拆除一根物理链路

边缘端口收BPDU丧失特性

解决办法： 1、全局开启BPDU保护---stp bpdu-protection，是EP端口收到BPDU进入error-down状态 2、接口上配置bpdu filter，但是由于接口不收不发可能造成环路风险

可能存在的追问：

1、如果永久环路的接口从EP端口换为DP端口呢？

不管是EP端口还是DP端口，最终状态都是forwarding状态，还是会环路

2、设备默认开启了STP，为什么还会存在环路

场景

客户环境，办公室的面板只有两个网络接口，但是办公室实际人数4-5个人，需要买个8口的小型傻瓜式交换机，我在连接红线之前没有把原有接入弱电间交换机先拔掉，导致产生临时环路，若这个小型交换机支持STP，但是关闭了可能还存在永久环路

3、BPDU用的是UDP还是TCP？

BPDU是链路层协议，目的地址0180-C200-0000，不是传输层协议

4、四台交换机，口子型，每条链路跑不同的vlan，运行MSTP协议，如果运行ospf，所有邻居可以起来吗？如何实现，如何配置？

场景

可以起来，需要对默认的MSTP需要进行更改配置，每台设备创建stp region-configuration，配置region-name，然后对vlan进行映射，其次激活配置，这样虽然instance 0会阻塞一条，但是其他vlan生成树只有一根线，就只有DP和RP，每条链路都可以建立ospf邻居

stp region-configuration //进入MST域 region-name //配置域名 instance 10 vlan 10 instance 20 vlan 20 instance 30 vlan 30 instance 40 vlan 40 active region-configuration //激活配置

5、如果PID小的EP端口cost值改为10000，PID大的EP端口改为55000，会影响阻塞结果吗？

会影响，因为cost是BPDU里面向量因素之一，因为接口修改了cost值，那么cost值小的这个接口会成为RP端口，那另外一个接口必定阻塞端口。S2的1口改为10000，2口改为5000，那么2口路径开销最小成为RP端，1口自然被阻塞；

6、连接终端需要30s才可以转发，RSTP也需要吗？

需要，终端不支持进行P/A协商

7、BID和PID的格式，为什么步长是4096和16,？BID最大值是多少？

BID:16bit+MAC48bit，16bit的前4bit是优先级，由于只有前4bit可以变化，所以步长为4096，最大不能超过65535，所以是61440；

PID：16bit其中后12bit是接口ID，前面是优先级，所以步长为16，默认128；

8、BID的MAC地址是是谁的MAC？

二层三层交换机都是系统MAC；

9、永久环路可以解决吗？

可以使用环路检测和MAC地址漂移动作破环，环路检测使用命令loopback-detect enable开启检测，loopback-detect action block；MAC地址漂移动作mac-address flapping action 退出vlan/error-down动作实现破环；

10、BPDU接口卡error-down后如何自动恢复？

error-down auto-recover cause bpdu-protection interval xxx

11、EP端口的环路对现场的影响？

永久环路场景

6台路由器组网选用那种模型

主干回答

在6台路由器组网的环境中，网络组网模型有“日”字型，“交叉型”，不管是日字型还是交叉型都可以实现网络层次划分，都可以支持大规模的网络组网，下面主要从成本、冗余、流量模型角度进行对比；

1、成本

成本：建设：初始建设，设备、网线、光纤、板卡数量等购买；运营：正常投入使用网络带宽，专线等购买；维护：后期网络维护所产生的运维费费用；

1、从建设成本：从日字型组网模型来看，互联链路比交叉型组网模型要少，那么所对应的板卡数量、网线光纤成本相对来说低一些；

2、从运营成本：交叉型组网模型互联链路比日字型组网模型多，且地域跨度大，所以产生带宽和专线费用高；

3、维护成本：交叉型组网模型比日字型组网更复杂，那么对后期维护来讲所产生的运维费用也会相对高一些；

2、冗余性

日字型：有一定的冗余性，但是冗余程度不是很高，可以允许单点故障，保证业务正常转发，但是产生次优路径的情况，比如R3-R5链路故障，那么R5访问R1的时候还可以走56431；而在交叉型组网模型中出现类似故障，那么可以走541到达，不会出现次优的情况，即使R4-R5也出现问题，仍然可以走5641，仍然由于日字型组网模型，总结来说，冗余性的角度，交叉型组网模型优于日字性组网模型；

3、流量模型

流量设计一般分为主备当时进行负载均衡的方式，日字型组网更适合主备方式的流量模型，基于业务主备进行负载，横向cost链路修改大，其余链路保持不变，纵向流量出现问题，再进行切换走另外一侧；交叉型组网模型更适合负载均衡的方式（基于流，等价路由）；

总结

总体来讲，如果说客户对于冗余性要求一般，采用日字型组网模型，若冗余性要求较高且流量重要，采用交叉组网模型；一般现网中使用的是混合组网较多，重要节点使用交叉型组网，不是很重要的节点使用日字型，可以兼顾冗余性同时降低了成本；

可能存在的追问

1、数据流基于流或者基于包转发，什么意思？

2、实现主备方式还有什么？业务区分？

主备：1、IGP横向cost实现；2、浮动静态路由业务区分：汇聚层使用静态路由，不同业务匹配不同的明细路由去往对应的出口网关冗余：使用VRRP实现

3、使用OSPF如何规划？为什么？

R1R2R3R4划分区域0是骨干区域，R5R6划分区域为区域1作为非骨干区域；这样做优先在于R1和R2之间链路故障，不会造成骨干区域被分割的问题，否则R3作为ABR不使用来自非骨干区域所传来的3类LSA，造成R1和R2无法互访；

4、R5和R6链路故障有什么问题？

可以访问但是存在次优路径，OSPF没有规定非骨干区域的LSA不能通过骨干区域在传回非骨干区域，所以R5R6产生了次优路径，但不影响互访；

5、等价负载分担如何配置？

load-banlance src-ip/dst-ip/src-dst-ip基于源上行不同流量分担，基于目的上行访问同一个目的在一条链路逐包的配置ip load-banlance packet

6、交叉型组网模型仅比日字型多了两条链路，维护复杂程度和成本会提升很多吗？

日字组网模型和交叉型组网模型仅仅描述的是模型，但是在现网中，可能是这样的，那么链路数量和复杂程度就会增加；

7、业务如何区分？基于业务的主备负载分担？

一般来讲R5R6是出口，下面会有汇聚交换机和接入交换机，我们将网关设置在汇聚交换机上，流量的到达网关后，在网关上指静态路由，缺省路由让办公业务发给R5，明细路由让视频流量发给R6；

8、设备如何替换升级，如何操作不影响正常运行？

R3修改cost值，使得流量切换到R4，然后对R3进行替换；

9、运行ospf的话，R1/R5分别有哪些LSA？

R1：1类4条，骨干区域4个设备，2类4条，4个广播域，三类10条，域外三个广播域 R5：1类4条，4台设备，2类3条，三个广播域，三类16条如果在R6上引入一条外部路由，R2引入一条外部路由，R1R5分别有哪些LSA？ R2上引入一条外部，R5上1类4条，2类3条，3类8条，4类2条，5类1条 R6上引入一条外部，R1上一类4条，2类4条，3类6条，4类2条，5类1条

10、R3是R2 R4 R6的RR，他们运行ISIS，R6如果访问R2？

RR不会改变下一跳，R6会路由迭代到下一跳R4上，控制层面和数据转发层面分开

11、LAB的PE为什么设置ISIS set overload有什么作用？

设置过载位，有IGP比BGP收敛快，导致流量丢失

12、影响选路除了修改cost值还能做什么？

可以修改解决带宽，因为OSPF的开销=参考带宽/实际带宽，bandwidth-reference X修改默认100M

13、如果接入的是一台交换机如何负载，如果接入的是纯二层呢？

基于网段负载：使能重定向策略PBR定义下一跳R5或R6 纯二层交换机的话：在R5 R5的接口做VRRP，网关冗余，分别定义master设备

100台路由器组网时选用那种IGP协议

第一句话：常见IGP协议RIP，ISIS，OSPF，不管那个协议都可以实现网络的互通，接下来描述三个IGP协议各自特点：

三个协议各自特点

RIP

1、收敛慢，180s

2、按照跳数计算开销

3、16跳限制

4、周期泛洪，30一次

5、RIP不具备天然防环，采用水平分割，毒性逆转等

6、算法过于老旧

OSPF

1、支持特殊区域，NSSA，STUB

2、V-link

3、LSA种类丰富

4、网络类型丰富

5、内部外部优先级不同，避免环路和次优

ISIS

1、收敛速度快

2、基于链路层协议

3、支持3个net地址，平滑过渡

4、TLV架构

5、支持虚拟系统以及分片

OSPF--ISIS相同点

1、链路状态

2、维护LSBD

3、SPF算法

4、支持层次划分

5、支持大规模组网

6、DIS、DR设备辅助LSDB同步

选择协议

OSPF一般部署企业网，因为OSPF 类型丰富，性能好的设备放在核心位置配置为骨干区域，性能一般放在汇聚层部署为ABR使用，性能较差部署在接入层，配置为普通区域或者特殊区域，如果说末节区域不需要引入外部路由，可以部署为STUB区域，这样减少了LSDB的大小，降低设备压力；而且OSPF的LSA种类多，可以根据不同的LSA类型对路由进行精确控制，另外OSPF的外部优先级为150，内部优先级为10，这样在引入外部路有时候，可以避免引入的时候出现次优问题；

百台企业搭建

ISIS一般用于运营商，因为运营商更注重连通性，路由控制一般使用BGP，ISIS基于链路层协议，安全性更高； ISIS收敛速度更高，因为OSPF的1类LSA和2类LSA既有路由信息也有拓扑信息，所以在区域内出现路由震荡的时候采用SPF算法，区域间采用PRC算法；而ISIS是路由与拓扑分离，路由计算采用PRC算法，拓扑采用SPF算法，所以收敛速度比OSPF 快。 ISIS基于TLV架构，对于新的功能，扩展性比较好，比如支持IPV6，新增TLV232，将V4的ip interface address转化为V6地址，新增236，描述路由前缀信息；

部署百台ISIS

可能存在的追问？

1、OSPF边界区域配置什么区域？为什么？

边界区域首选配置为普通区域，若边界区域不需要引入外部路由，可以配置STUB区域或者totally STUB，同时减少了LSDB，减小设备压力；若边界设备性能较差，且需要引入外部路由可以配置NSSA区域，减少了LSDB，同时减少了5类LSA和4类LSA；

2、NSSA和STUB的区别？

相同点：都可以减少LSDB的数量；不同点：NSSA区域可以引入外部路由，允许ASBR的存在，STUB区域不允许引入外部路由；

3、逐包逐流？

逐包比逐流的负载均衡要好，逐流的均衡程度是取决于流量特征的语音和视频不建议使用逐包，但是丢包概率相同非语音视频流量的话建议使用逐包，负载均衡程度更高；

4、较少LSDB规模？

使用特殊区域NSSA和STUB区域，通过缺省路由访问其他区域；对于一些区域不需要的路由可以过滤LSA；区域进行汇总，减少LSA；对于特殊的链路使用P2P网络类型，适当减少2类LSA的数量；

5、ISIS报文发送的目的地址

L1：0180-C200-0014 L2：0180-6200-0015 P2P：0900-2B00-0005

6、什么是基于TLV架构，还有什么协议使用TLV架构？

TLV架构就是type类型，length长度、value值，通过TLV区分和携带各种参数，扩展性强，一个可以携带多个TLV，除了ISIS以外还有BGP和PPP也是使用TLV架构的；

7、DR和DIS的对比

选举：DR是在2way选举的，等待40s；DIS是在邻接关系建立之后选举的，需要等待2倍hello时间；优先级：DR优先级0-255，0不参与，默认为1；DIS是0-127,0参与，默认64；备份：DR有备份，DIS没有备份；抢占：DR不能抢占；DIS可以抢占；

8、SPF和PRC算法有什么区别

SPF是最短路径优先算法，是以自己为根，先算拓扑，然后再挂叶子路由；ISPF是增奖性算法，节点出现故障只计算故障节点，提高收敛速度，PRC是节点上的路由信息出现变化，仅仅处理变化的路由，不计算该节点，所以比ISPF收敛快。

主干存在的追问？

1、RIP的180s是怎么出现的？如何加快？OSPF和ISIS是多少？

R2与R1并非直连，若R1链路出现故障，导致R2无法及时感知，对于RIP需要等待180超时后删除该表项；对于OSPF dead time 40s，对于Isis 是30s，DIS是10s;解决办法：使用BFD联动加快收敛；

2、为什么要设置外部路优先级为150？

防止外部路由引入造成路径次优，双点双向场景

3、部署ISIS的L1区域为什么会产生次优？

L1区域的设备去往其他区域都是通过L1-2设备产生缺省访问

双点双向

大型割接

丢包如何排查

首先需要直到丢包会产生在那些环节？

1、链路传输过程中丢包：光衰过大，物理链路存在问题造成数据包错误码被丢弃；

2、节点处理数据包时存在丢包，CPU利用率过高，内部不足导致无法处理产生丢包；

3、数据包在排队过程丢包，数据包过多导致拥塞时采用尾部丢弃，WRED，RED，由于优先较低不能及时调度；

主动排查：排查思路，根据网络模型分层进行排查

传输层：若ping不丢包，可能是传输层存在问题，则需要使用工具软件进行TCPping或UDPping进行排查；

1、高级ACL策略限制端口或阻断端口

2、行为管理设备、防火墙等设备对端口进行限制

网络层：若ping 存在丢包，说明网络层及以下都存在问题，网络层首先排查控制平面

1、检查路由表的路由是否存在；

2、检查路由是否存在路由震荡；

3、检查网络架构是否存在三层环路问题：使用tracert测试缩小故障范围；

4、tracert测试来回路径不一致，查看不一致的节点是否存在相关路由；

5、UPRF严格模式检查失败后丢弃；

链路层：检查是否存在二层环路导致广播风暴占用设备性能，通过以下查看：

1、查看CPU利用率是否正常（display cpu-usage/memory-usage），判断是否存在环路

2、查看MAC漂移记录（display mac-address flapping record），若存在shutdown相关端口，缩小故障范围；

3、查看日志（display logbuffer），是否存在相关告警信息；

4、查看接口带宽利用率（display interface brief）；

5、查看是否存在攻击行为、ARP攻击、ICMP泛洪攻击等；

物理层：检查是否传输介质引起丢包

1、光纤传输距离过长，网络传输距离过长、多模一般用于短距离，机房内使用；

2、网线质量问题，或者网络是否老化；

3、光衰过大，通过命令display吧 transcevier interface +接口 verbose，检查光衰是否在正常范围之内-25dm；

客户报障：在哪里产生的丢包？

1、一台PC丢包：排查范围--PC--物理链路

1、检查PC网卡配置是否设置正确，PC是否可以与网关通信或者通广播域是否可以通信；是否电脑中毒，导致CPU、内存消耗过大，导致硬件处理能力下降导致丢包；

2、物理链路，测试网线是否存在问题；

2、整个办公室丢包：排查范围--PC--HUB/TPlink--SW

1、由于办公室的面板接口不够，可能采用小型的4/8口傻瓜式交换机，很有可能是这些小型设备造成，小型设备傻瓜式交换机处理性能较差，硬件质量也较差，容易产生丢包；

3、一整栋楼出现丢包：排查范围：结合网络拓扑和丢包规律进行排查

1、使用ping/tracert缩小丢包范围，然后针对性的对设备进行检查，比如说，路由，邻居关系，路由策略，设备硬件，物理链路是否正常

2、使用ping/tracert缩小丢包范围，检查设备是否存在二层环路和三层环路；楼层--汇聚--核心一一进行排查；

3、针对没有规律的丢包，使用流量统计，通过检查设备的物理接口的错误包的一个数量，

可能存在的追问？

1、100个用户访问外网，全部用户丢包和20个用户丢包如何判断？

全部用户丢包： 1、首先确定全部用户是否可以访问公网且访问其他地址是否正常，若正常，检查边界设备，出口路由，防火墙，行为管理设备是否存在限制，若正常，则可能是公网服务器的问题； 20个用户丢包： 2、多数用户可以访问外网，首先确定不能访问外网的用户是否可以访问同广播域，若同广播域可以访问，检查是否可以访问网关，若正常检查网络带宽资源；可能是出口路由器的带宽资源不足导致；

2、定位到了网关到运营商设备，要求运营商处理，如何书写诊断报告，让运营商来检测？

诊断报告描述故障现象，和我们排查的步骤，主要是通过ping，tracert等可以确定终端到网关连通性正常且没有出现丢包，请求运营商协助排查，但是实际中企业一般都是运营商的客户，可以直接电话联系请求协助排查！

3、ping 和 tracert原理是什么？

子主题

企业网组网

主干回答

1、设备选型

在小型企业网组网中，接入层一般选择S2700/S3700作为接入交换机，核心层选用S5700系列交换机，出口路由器选用AR系列路由器；

2、配置方面

首先讲清楚拓扑结构和网络规划；核心交换机上联接口与出口路由器互联，核心交换与接入层交换机通过E-Trunk连接，保证网络的可靠性和提高带宽，并且核心交换机作为DCHP-server并且作为两个部门的网关设备，为每个部门划分一个vlan，部门之间通信通过与核心交换机的vlanif网关地址进行通信；

配置方面： 1、核心交换机为两个部门划分vlan，（办公室1：划分vlan10，并且配置好vlanif地址192.168.10.254，办公室2：划分vlan20，并且配置vlanif地址为192.168.20.254，划分与出口路由器互联接口vlan100，并且配置好vlanif地址192.168.100.1）并且与接入交换机通过E-trunk相连，放通相关的接口vlan，排除不必要的vlan通过；配置DHCP 地址池，考虑到终端存在打印机设备，需排除打印机的地址，打印机设置为静态IP地址，防止地址冲突。配置一条去往出口的默认路由（0.0.0.0 0 192.168.100.2）； 2、接入交换机，创建各自部门的vlan10/20，与核心交换机互联接口配置E-trunk，放通相关的vlan，排除不必要的vlan通过； 3、出口路由器，配置相关接口IP地址，配置去往内网的路由：192.168.0.0 16 192.168.100.1；做好NAT转换，由于访问外网对于小型企业网来讲，买运营商专线太贵，所以配置PPPOE拨号； 4、测试，测试终端是否可以正常获取地址，且是否可以ping通网关设备；

3、总结优化

1、由于核心交换机作为DHCP-server，可以在接入交换机结合DHCP snooping功能，配置信任端口，增加网络的安全性；还可以结合DHCP snooping DAI方案连用，IPSG严格学习； 2、接入交换机与终端互联端口可以开启EP端口特性

4、基础追问？

1、交换机为什么要undo port trunk allow-pass vlan 1？

由于交换机的所有接口默认属于vlan1，可能由于vlan1不必要的流量影响其他设备和终端

2、双出口如何配置？

主备不同优先级静态工作，双出口互为主备？

3、手工静态和LACP的区别？

LACP冗余性更高

4、接入设备和终端为什么使用EP？

1、EP端口UP直接进入转发状态，不需要等待30s

2、EP端口的UP进入转发状态不会触发TC，不会删除EP端口的下MAC地址表项

5、若终端访问网段不存在的地址，会产生什么现象，怎么解决？

举列：PC1访问192.168.100.100,到达核心交换机，核心交换机通过默认路由到出口路由器，出口路由器匹配到192.168.0.0 16 传递给核心交换机，导致单链路环路场景；解决办法：核心交换机配置 192.168.0.0 16 null 0

6、网关上的安全配置有哪些？

ARP泛洪攻击，欺骗攻击等

7、三层交换机上两个部门如何实现隔离？

使用端口隔离，port-isolate enable group 1 ---port-isolate mode all

8、出口路由和核心交换机之间运行ospf有环路吗？访问为分配地址的地址呢？

没有配置OSPF聚合路由，所以不会产生环路，访问没有分配的也不会产生环路

9、PPPOE报文头部？

MAC--SMAC--type/length--payload date（verbose--type--code--session id--length--payload data）--FCS

10、下联用户上网慢如何解决？

由于PPPOE的接口MTU为1492，当报文大于1492的时候报文被分片导致速度变慢，建立MTU配置为1942，TCP的MSS配置为1200；

11、Eth-trunk的LACP有什么优势？主动端的活动链路如何选举？如何配置M:N?

保证数据不被错误转发，通过M:N实现备份；系统优先级高的为主动端，相同的话MAC地址小的为主动端，主动端的接口优先级高的为活动接口，相同的话接口编号小的为活动接口；

12、vlan间的三层隔离如何实现？

流策略实现，对报文进行流分类，实现流行为与permit/deny关联，最后执行流策略；

5、高级追问：

DHCP方向

1、DHCP snooping在哪里部署

部署在接入交换机，接入交换机为信任端口

2、DHCP服务器与终端不在同一个广播域如何实现？命令？

使用DHCP中继实现，与终端互联端口配置dhcp relay server-ip xxxx

3、DHCP下发地址的顺序是？

先分配静态绑定，其次从大到小

4、DHCP什么时候发送NAK报文？地址枯竭为什么还发offer报文？

地址枯竭后无法分配地址；当客户端发送discover寻找服务器，DHCP服务器回应offer代表自己是DHCP服务器，可以提供DHCP服务；

5、DHCP snooping表有哪些内容？

源MAC--源IP--接口--vlan

NAT方向

1、ICMP如何穿越NAT？

ICMP没有端口，根据IMCP的type和code产生源端口，根据ID置生成目的端口号，发送NAT时就有了源目端口号，相当于产生了伪端口实现通信；

2、路由器出口NAT如何配置？区别是？

如果是PPOE拨号做easy IP，如果是专线可以是easy IP也可以是PAT PAT是根据地址的地址转换，easy IP是根据接口转换源IP地址，都可以转换端口

3、服务器如果有FTP服务如何实现？

出口开启ALG功能，是的FTP报文中的passive和port中的IP和端口进行转发

4、服务器需要映射到公网如何配置？

静态NAT和NAT server都可以，推荐NAT server只开放一个端口更安全

网关部署在接入层好还是汇聚层好

主干回答

第一句话：网关不管放在汇聚层还是接入层都是实现网络的通信，接下来我将从以下几个方面进行阐述：

1、从成本的角度：

如果网关放在汇聚层，接入层设备就可以选用二层交换机，一般选用S2700系列，在网络规模不大的场景下，成本差距不是很大；但是在大规模网络下，设备数量多，成本会大幅度降低；

2、从流量模型角度

如果网关设备放在汇聚层，接入层终端存在不同广播域的情况，当PC1去访问PC2，路径需要从汇聚层网关设备，造成链路重复使用的情况；

如果说网关部署在接入层，可以减少链路重复使用的情况，并且可以实现一次路由多次交换的功能，提升转发效率；所以从流量模型角度网关部署在接入层更好；

3、从链路利用率角度

如果网关部署在汇聚层，交换机之间的互联接口需要配置trunk，需要MSTP防止环路，一定程度上造成至少一条链路阻塞，这样对链路的利用率不能达到100%；

如果网关部署在接入层，对上可以使用路由协议，通过cost值可以实现负载均衡，有效提高链路利用率；所以放在接入层更好

4、从排错角度

如果部署在网关设备，使用ping或tracert不能判断出接入设备还是汇聚设备的问题

如果部署在接入层，对上使用三层路由协议，通过ping或tracert进行排查较为容易；所以排错角度部署网关放在接入层更好；

5、从冗余性的角度

如果网关部署在汇聚设备，可以通过MSTP+VRRP实现网关冗余，但是需要注意VRRP的Master和MSTP的根桥是同一台设备，不然可能出现次优；

如果部署在接入层，可以通过堆叠使用Eth-trunk实现负载，但是需要支持双网卡，一般只有服务器支持，PC多数都不支持，所以需要看场景决定网关部署；

6、从安全角度

如果网关放到汇聚层，用户侧出现ARP攻击，产生大量的广播报文，影响设备性能下降，造成网络瘫痪；

如果部署在接入层，就算受到ARP攻击，影响网络的范围程度要小，所以相对来讲，网关部署在接入层安全性更高；

总结

在实际现网中，根据客户的要求以及组网的规模来决定；一般针对企业来讲，终端用户过多，成本控制严格，网关一般部署在汇聚层；如果是服务器较多的场景，网关部署在接入层，流量走向清晰，冗余性较高，做堆叠与链路聚合技术；

总结：企业网组网选用OSPF，运营商组网选用ISIS

不采用RIP