名师课堂
课程报名 x
课程名称
华为认证网络工程师(HCNA-数通)
价格 0.00
温馨提示:如果您的资料有变更,请在此修改,以便更好的为您服务!
姓名
手机号码

华为认证网络工程师(HCNA-数通)

报名人数1700人 | 10.00分
价格:0.00
讲师:韩士良
价格:0.00
讲师:韩士良
开课时间:12月18日 09:30
收藏 扫一扫 扫码用手机学习
讲师介绍
课程介绍
课时列表
评价
笔记
课时1:企业网络结构介绍、传输介质介绍、以太网帧结构
查看回放
课时2:IP编址和ICMP协议
查看回放
课时3:ARP协议和传输层协议
查看回放
课时4:VRP管理、交换网络基础、STP原理与配置(上)
查看回放
课时5:STP原理与配置(下)、RSTP原理与配置
查看回放
课时6:IP路由基础、静态路由基础、距离矢量路由协议-RIP、链路状态路由协议-OSPF
查看回放
课时7:DHCP、FTP、Telnet原理与配置
查看回放
课时8:链路聚合、VLAN原理与配置、GARP和GVRP、VLAN间路由
查看回放
课时9:WLAN概述、HDLC和PPP原理与配置、帧中继原理与配置
查看回放
课时10:PPPOE原理与配置、网络地址转换NAT、企业无线解决方案、访问控制列表、AAA
查看回放
课时11:IPsec VPN、GRE、SNMP和eSight
查看回放
课时12:IPv6基础介绍、IPv6路由基础及DHCPv6原理与配置
查看回放

韩士良   HCIE RS考题出题官 ICCI E&FSH CIE一S}}}rity}CIE&FS CCIEISP 华为授权H IE认证讲师/华为授权H C l P认证讲师   华为授权H ALP认证讲师/思科认证讲师}CI  7年从必圣验 ·2009年先后从事电信运营商社区网及城域网的规划,建设、实施不口维护工作。针对运营商大客户提出的需   求,制定合理的组网和广域网接入方案 ·2} 11年加入YESL}F大路由项目组』主要从事思科课程的教.摇蹄口考澎甫导J擅长把复杂现网的各种清况融入   到课堂的理论讲解之中;对组摺拜印P等前沿技术有深入的研究。同时也是1}ESLA}独自出版的《趣学   }N}》技术丛书技术审校人 ·2} 1}年3月前往华为公司总台队笋与H CIE题目项目开发并获得华为认证H}N}讲师认证不}H}L}讲师认证 ·2} 1}年4月参与华为官方课程的录制 ·2} 1}年5月参加华为网络大会并获得H}IE Trau}l}S h}}tir}}精英赛冠军 目前是}ESL} B H }I〔安全和数通方向最权威讲师,同时也是HI〔面试考试重量级把关人;同时担任 H CIE&Se},  HCIEaf}方向的考前冲刺讲师,至今已亲自带过}}}+}}IE;2}}+HCIE。并负责委如鱼安全 HCNA}  H}f}IP,  H}IE以及多门C}I P和CCIE团井受课。

2017-11-27
讲得很好,可是视频看不了...
2017-06-27
没有理由,就是很好!!
2017-06-24
专业,,负责、用心、
2017-04-19
不错的,希望能够 把HCNP ,IE的 R&S 以及WLAN 全部顺序开课讲完呀
2017-04-12
讲解得非常好
2017-03-21
讲解得非常好!值得学习!
2017-03-03
Yeslab 咨询课程QQ:2536900412
2017-02-19
很期待韩老师的HCNP课程
2017-01-19
韩老师,有责任心的老师。
2017-01-18
很棒!

TCP

源端口号是一个随机端口号

目的端口号80——HTTP协议

 

IP头部0x06——上层使用TCP协议

 

网关——去往不同网段的出口

 

转发数据帧时,若主机处于半双工下,还会使用CSMA/CD来检测链路是否空闲

 

前导码preamble——使接受者进入同步状态

 

定界符SFD——用于指示帧的开始 

 

路由——去往某个目的地的指路牌   

 

 

 

vrp以ip业务为核心,现版本是vrp8,高端设备用vrp8,低端用其他(s5700用vrp7)

hub集线器——无法解决冲突域 csma/cd

交换机全双工,不会有冲突域

路由器分割广播域

console线——console口  主机com口连上设备部console口,笔记本买usb口转com口

 

[展开全文]

STP

根桥故障:bpdu 大于max age 20s

直连链路故障:端口状态30秒转换时间

非直连链路故障:端口状态50秒转换时间

mac地址表项默认老化时间300S,拓扑结构改变15秒内更新mac地址表(TCN TCA信息方式)

交换机的优先级是4096的倍数,缺省32768

ROOT选举:优先级+MAC(越小越优先),所有端口都是指定端口(DP)

非根交换机根端口选举(BP):1、比较开销cost,2、比较对端的BID,对端端口pid(端口优先级(缺省128),端口号)

非根交换机指定端口(DP)选举:

1、cost 2、交换机所在的BID 3、交换机所在Pid(优先级+端口号)

根保护: stp root-protection,配置在边缘

BPDU保护:stp  edged-port enable

stp bpdu-protection

环路保护:光纤链路情况

stp loop-protectione

 

 

[展开全文]

IPv6介绍

版本:IPv4 32bit  ipv6 128bit

一、ipv6基本报头

1.IPv6的固定长度40个字节

2.Hop limit字段相当于IPv4的ttl值

二.扩展头部 Extension

三.ipv6地址格式

2001:XXXX:XXX:XXXX:XXXX:XXXX:XXXX:XXXX

0010 0000 0000 0001

2001:0DB8:0000:0000:0000:0000:0346:8D58

2001:0DB8为前缀 后边的为接口标识,类似IPv4的网络位和主机位

 1.IPv6地址长度为128比特,每16个比特分为一段红分8段,每段由4个十六进制表示,并用冒号隔开 注:一个数字表示四个二进制

2.IPv6地址包括网络前缀和接口标识两部分,表示方法为冒号分十六进制数

四.IPv6地址压缩格式

2001:0DB8:0000:0000:0000:0000:0346:8D58

2001:DB8:0:0:0:0:346:8D58

2001:DB8::346:8D58

1.每组中的签到“0”都可以省略

2.地址中包含的连续全部为0的组,可以用双冒号“::”来代替。

注:可以用双冒号“::”在一个地址里只能出现一次

五.IPv6地址分类

地址范围及作用描述

1.2000::/3 全球单播地址 类似公网地址

2.2001:0DB8::/32 保留地址 

3.FE80::/10 链路本地地址 链路本地生效 类似IPv4中的DHCP获取不到地址就会本地生成一个169.254.0.0/16的本地链路地址

4.FF00::/8 组播地址 类似v4中的D类地址

5.::/128 未指定地址 类似v4中的0.0.0.0 缺省地址和DHCP请求地址时发送的0.0.0.0 

6.::1/128 环回地址 类似IPv4中的本地环回地址127.0.0.1/8 测试本地的tcp/ip的协议栈网卡是否正常

IPv6地址分为单播地址 任播地址 组播地址三种类型。任播地址也就是单播地址

六.IPv6单播地址:

细分为 前48比特的全球单播前阵Global Routing Prefix 和16比特的SubnetID子网ID 和最后64位的interfaceID 

2001:0:130F::9C0:876A:130B

1.全球单播地址带有固定前缀,类似于IPv4中的公网地址

2.链路本地单播地址前缀FC::/7 类似于IPv4中的私有地址

七.IPv6组播地址

前8个比特全是11111111用FF表示,后4个比特Flags位缺省全为0,下来4个比特是Scope范围表示的是这个组生效的范围,最后112比特的Group ID指的是规划IPv6的一个号码

FF02::1 指的是链路本地范围所有节点

FF02::2 指的是链路本地范围所有路由器

1.所有IPv6组播地址都是FF开始的

2.IPv6为需要使用组播发送数据的协议预留了一些组播组

八.IPv6任播地址

1.任播地址用来标识一组网络接口,在给多个主机或者节点提供相同服务时提供冗余和负载分担

九.IPV6无状态地址自动配置
  IPV6地址自动分配:有两种方法

1.通过DHCP (又叫有状态地址分配)前提必须部署DHCP服务器

2.叫无状态地址配置,优点时不需要DHCP的情况下就可以拿到地址

详细:当路路由器配置了一个I2001::10/64的iPv6地址,有主机接到这个网络环境里来,路由器会发送一路由器通告报文(RA报文)周期每一分钟发送一次,RA报文中携带了这个IPV6地址前缀,这个前缀应该是2001::/64 主机收到这个前缀会结合自己的生成方式生成一个2001::开头的一个IPv6的地址/64.

主机为了更快的拿到地址会主动的发送给一个(RS)路由器请求报文

注:1.网络节点相连的路由器发送RS,请求地址前缀信息
  2.路由器通过发送路由器通告RA,回复地址前缀(prefix)信息。

十.接口ID interfaceID生成方式

EUI-64规范

注:将十六进制数FFFE插入MAC地址的前24位与后24位之间,并将前边第7位的0改为1即可生成接口ID

**EUI-64 只是路由器是使用EUI-64 进行计算的 其他设备部一定是使用EUI-64算法

 无状态地址配置

[AR1]ipv6
[Huawei-GigabitEthernet0/0/1]ipv6 enable
[AR1-GigabitEthernet0/0/1]ipv6 address 2001::10 64
[AR1-GigabitEthernet0/0/1]undo ipv6 nd ra halt 使接口发送RA报文
[AR2-GigabitEthernet0/0/1]ipv6 address auto global 通过无状态获取地址

十一,IPV6无状态地址DAD检查

 1.DAD检查就类似于V4中的无故ARP免费ARP,用来检查本链路网络中知否有人在使用此地址。检测地址冲突

  2.当主机配置了一个IPV6的地址,会发送一个(NS)报文携带Data2001::1和本地MAC请求本地链路上的其他主机这个这个MAC的Data有没有人主机在用,如果有目标主机会回复(NA)报文,这个Data的MAC使本主机在用。

注:当接口配置IPV6地址时,DAD用来在 本地链路范围内检测将要使用的IPV6地址是否唯一   (路由器可以使用无状态获取地址,pc不行)

十二.IPV6的路由基础

1.IPV6中的协议RIPng路由协议进行路由通告时的组播地址FF02::9/8,使用此组播地址将RIP地址更新出去
2.RIPng中的路由条目吓一跳地址是0::0或者链路本地地址,一般都是链路本地地址

RIPng报文格式

封装格式是 IP报头,UDP报头的521端口,RIPng

RIPng:Route Table Entry 1 Route Table Entry n 指的是路由表前缀信息路由表项信息,实际携带的就是路由条目(开销值,跳数)

注:RIPng的路由表项中包含的IPV6地址、路由标记、前缀长度以及度量

RIPng的配置

[Huawei-GigabitEthernet0/0/2]ipv6  enable
[Huawei-GigabitEthernet0/0/1]ipv6 address 2011::11 127 配置地址
[Huawei-GigabitEthernet0/0/1]ripng 1 enable  把接口宣告进ripng

[Huawei-GigabitEthernet0/0/1]ping ipv6 -a 2011::11 2011::11 ? 用本地的地址ping另外一个地址
[Huawei]dis ripng 1 route 查看此ripng路由信息

IPV6中的OSPFV3介绍

OSPFV3:用的组播地址是ff02::5和FF02::6 
注:ff02::5是为OSPFV3路由协议预留的ipV6组播地址。OSPFv3中的路由条目下一跳地址是链路本地地址

OSPFv3在IPv6中的DR BDR选举跟v4中的选举一样。在IPv6中路由器的router ID的表示方法和v4一样,所以OSPFv3在v6的环境中必须手工配置router ID,要么就是在路由器上配置一个v4的地址

注:1.router ID在OSPFv3中必须手工配置
2.在NBMA和广播型网络中OSPFv3选举DR和BDR的过程与OSPFv2相似

*基于链路运行

在v4的网络环境中OSPF运行时基于网络运行的,处同一网段。V6环境中的实现是基于链路运行,跟在不在同一网段没关系

 

OSPFv3配置

[Huawei]ospfv3 1
[Huawei-ospfv3-1]router-id 1.1.1.1
[Huawei-GigabitEthernet0/0/2]ipv6  enable 
[Huawei-GigabitEthernet0/0/2]ospfv3 1 area 0
[Huawei-GigabitEthernet0/0/2]ipv6 address auto link-local 是本地链路地址,发送数据包都是通过link-local发送的
[Huawei-GigabitEthernet0/0/2]ipv6 address 2011::11 24 在没有配置接口地址的情况下必须配置link-local也可以手工指定一个link-local地址

OSPFV3认证

OSPFv3协议本身部提供认证功能,而是通过使用IPv6提供的安全机制来保证OSPFv3报文的合法性。通过IPSec的AH或者ESP

十四.DHCPV6原理与配置(有状态配置)

简介:主机在运行IPv6时,可以通过使用无状态地址自动配置或DHCPV6来获取ipv6地址,ipv6动态主机配置协议采用了客户端/服务器通信模式,是针对ipv6编址方案设计的,为主机分配ipv6地址和其他网络配置参数的协议

DHCPV6基本概念

DHCP服务器的端口号时547,客户端的端口时546

1.DHCPV6能够为主机分配ipv6地址和其他网络配置参数,并能够实现这些参数的集中管理

2.客户端发送请求报文向DHCPv6服务器申请IPV6地址,目的地址组播地址为ff02::1:2。

DUID作用
DUID:是服务器或者客户端在发送或者请求地址时自动生的DUID,来标识是那一台设备,DUID用来标识一台DHCP服务器或者客户端

有状态分配和无状态分配,完全取决于路由通告报文(RA)中的M和O位的值缺省都是0,0表示主机通过无状态获取。都是1的情况下主机就是有状态获取(DHCP获取),通过M位Management获取地址参数,通过O位Other获取其他的参数,比如DNS、域名等参数

注:路由通告RA中的M和O位被置位为1,客户端收到RA报文中的M位和O位为1,就开始发送DHCP请求报文Solicit,服务器应答报文Advertise,客户端Request请求报文,服务器Reply应答报文这几个报文对应分别依次对应V4中的DHCP请求报文

DHCPV6配置

[Huawei-GigabitEthernet0/0/1]ipv6  enable 使能IPv6
[Huawei-GigabitEthernet0/0/1]ipv6 address 1022::1 64  接口地址
[Huawei-GigabitEthernet0/0/1]undo ipv6 nd ra halt 关闭IPv6地址抑制 使能RA报文
[Huawei-GigabitEthernet0/0/1]ipv6 nd autoconfig other-flag 使能有状态 RA报文O位置为1
[Huawei-GigabitEthernet0/0/1]ipv6 nd autoconfig managed-address-flag 使能有状态 RA报文M位置为1

[Huawei]dhcpv6 pool sa 创建地址池
[Huawei-dhcpv6-pool-sa]address prefix 1022::/64  设置前缀
[Huawei-dhcpv6-pool-sa]dns-domain-name www.huawei.com  域名
dns-serve f324::9   DNS地址
[Huawei-dhcpv6-pool-sa]excluded-address 1022::11 排除的地址
[Huawei-GigabitEthernet0/0/1]dhcpv6 server SA

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

[展开全文]

 IPsec架构

1.IPsec不是协议他是一个架构,它通过AH和ESP两个协议来实现IP数据的安全传输,现实应用中AH和ESP两协议只用一个也可同时使用

AH:叫做认证的一个头部,它可以提供源认证,包括完整性校验和防重放,它是不具备数据加密的功能。ESP:叫做封装的安全净载,可以提供数据的加密和认证。

IKE:叫做因特网的密钥叫互换协议,作用:建立和维护安全联盟等服务。

SA:叫做安全联盟,作用:定义了做IPSecVPN对等体两端设备间将使用的数据封装模式,协议认证和加密算法.密钥 IP地址 安全索引等参数一致,

SA是单向的,两个对等体之间是双向通信的,至少需要两个SA,它会自动的形成两个SA。

SA实现生成的方式是由2个参数生成的,

1.通过IKE的协商,可以避免手工配置各种各样的明细参数,它的密钥协商是动态变化的,保证了安全性 

2,手工配置,就是配置SA的数据封装模式,认证和加密算法.密钥,并且配置之后的密钥是不变的,保证不了安全性。操作复杂

IPsec的封装模式有两种,

1,传输模式,AH和ESP的报文头是位于IP报文头和tcp传输层报文头之间的。

认证:AH认证:IP头部AH头部tcp头部和数据。ESP:只认证SEP头部TCP头部和数据加ESP尾部,IP头部不认证 ,因此AH和ESP结合可认证整个数据包。加密:ESP加密只加密TCP头部,数据部分,ESP尾部。

2,隧道模式:AH和ESP的报文头是位于Tunnel隧道IP报文头部和数据IP报文报头之间,认证:AH认证:AH头部数据包IP头部tcp头部和数据。ESP:只认证SEP头部数据包IP头部TCP头部和数据加ESP尾部,Tunnel隧道IP报文头部IP不认证。 因此AH和SEP结合可认证整个数据包,除了Tunnel隧道IP报文头部不认证

IPSECVPN隧道模式: Tunnel隧道模式IP头部就是公网IP,应用于总部和分部。传输模式:只能应用于局域网

IPSECVPN配置步骤

1,配置网络可达:保证总部和分部网络可达,就是公网IP地址是互通的,出口网关设备缺省路由指向运营商网络。

2,配置ACL识别兴趣流:定义那些数据流访问的时候可以通过IPSecVPN进行保护访问

[Huawei-acl-adv-3000]rule 5 permit ip source 192.168.1.1 0 destination 192.168.2.1  源地址是总部地址,目的是分部地址

3,创建安全提议:定义了认证方式,加密方式 ,封装模式                  [Huawei]ip route-static 0.0.0.0 0 221.221.221.4 缺省吓一跳到公网网关

[Huawei]ipsec proposal yang创建安全提议 [Huawei-ipsec-proposal-yang]transform ah 更改协议

4,创建安全策略:是SA的密码,安全索引IP地址,协议,策略                  [Huawei]ipsec policy yang 1 manual手工配置              isakmp IKE协商 [Huawei-ipsec-policy-manual-yang-1]tunnel local 221.221.221.1 本地公网地址                         [Huawei-ipsec-policy-manual-yang-1]tunnel  remote 221.221.221.2 远端对等体公网地址               [Huawei-ipsec-policy-manual-yang-1]proposal yang 将安全提议协议调用至安全策略                       [Huawei-ipsec-policy-manual-yang-1]sa spi inbound ah 256 对应对等体设备的outbound  spi指安全索引      [Huawei-ipsec-policy-manual-yang-1]sa spi outbound ah 652  对应对等体设备的inbound    spi指安全索引         [Huawei-ipsec-policy-manual-yang-1]sa string-key outbound ah cipher 123 对应对等体设备的  密钥              Huawei-ipsec-policy-manual-yang-1]sa string-key inbound ah cipher 123 对应对等体设备的    密钥             [Huawei-ipsec-policy-manual-yang-1]security acl 3000 保护需要访问IPSecVPN的数据流

这里是双向的,指的是SA的单向通信,两个对等体之间是双向通信的,所以两端设备都要对等双向配置             

5,应用安全策略:在接口应用安全策略

[Huawei-GigabitEthernet0/0/1]ipsec policy yang 公网地址接口调用ipse policy

 

查看IPSec封装模式 认证协议 加密算法

[Huawei-ipsec-proposal-sa]dis ipsec proposal ?
  name  Name of IPSec security proposal
  <cr>  Please press ENTER to execute command 
[Huawei-ipsec-proposal-sa]dis ipsec proposal 

Number of proposals: 1

IPSec proposal name: sa  提议名称                           Encapsulation mode: Tunnel 封装模式                           
Transform : esp-new 协议更改
ESP protocol : Authentication MD5-HMAC-96认证      Encryption  DES加密                       
                    

GRE简介

IPSec VPN用于两个端点之间提供安全的IP数据通信,但只能加密传输单播数据,无法加密和传输语音,视频,动态路由协议信息等组播数据流量。缺点:只能通过静态或者缺省进行IP数据的传输,且IPSec隧道无法应用ospf等动态路由协议 

GRE通用路由封装协议,提供了将一种协议的报文封装在另一种协议报文中的机制,是一种隧道封装技术。GRE可以封装组播数据,因为它不可以对数据加密,因此可以结合IPsec使用,从而保证语音,视频等组播业务的安全

GRE应用场景

1.GRE除了可以传输单播组播IP数据也可以传输非IP的异种网络数据,解决异种网络传输问题

2.GRE隧道扩展了受跳数限制的路由协议的工作范围,支持企业灵活设计网络拓扑。列如:rip的局限性,就可以通过GRE协议隧道,把rip协议封装在GRE协议隧道里面,从而解决了跳数不可达的问题。

3,GRE结合IPsec使用,首先通过GRE对报文进行封装,然后再由IPSec对封装后的报文进行加密和传输

二.GER报文封装结构

GRE在封装数据时,会添加GRE头部信息,还会添加新的 传输协议头部信息。GRE的头部报文封装在原私网IP数据包或者私网非IP网络数据包和添加的新的公网IP头部之间

三.GRE关键字验证认证

隧道两端设备通过关键字字段(Key)来验证对端的合法性,数据包的K字段配置多少对端的K字段就配多少,此认证机制相比较IPSec太弱不安全。

四.Keepalive检测

类似ospf的hello包建立和维护邻居关系,Keepalive是同样的工作机制来建立和维护tunnel隧道。 默认是不开启的,只要tunnel配置了IP地址马上UP是不检测不关心对端的状态的, 建议配置GRE隧道的Keepalive检测

GRE不能用acl进行保护 只能用静态路由的方式引导那些流量通过GRE隧道

GRE配置

[Huawei]interface Tunnel 0/0/1创建 tunnel接口                   [Huawei-Tunnel0/0/1]tunnel-protocol gre 修改接口协议                 [Huawei-Tunnel0/0/1]source 221.221.221.1  创建隧道接口本地公网地址                    [Huawei-Tunnel0/0/1]destination 22 1.221.222.2 创建隧道对端接口公网地址 [Huawei-Tunnel0/0/1]ip address 192.168.1.1 24 建立tunnel接口的地址 与对端tunnel接口地址在同一网段 使两端数据通过tunnel接口的公网IP进行通信      [Huawei-Tunnel0/0/1]keepalive 配置GRE隧道状态检测               [Huawei-Tunnel0/0/1]gre key 123 创建GRE隧道的检测认证数值               [Huawei]ip route-static 192.168.1.0 24 Tunnel 0/0/1 配置可以进入GRE tunnel隧道的数据。 使业务数据包路由信息封装到tunnel隧道的公网IP       [Huawei]ospf 1 router-id 1.1.1.1     [Huawei-ospf-1-area-0.0.0.0]network 192.168.1.1 0.0.0.0 宣告tunnel隧道接口地址
[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.1 0.0.0.255 宣告本地直连网段 GREtunnel封装ospf协议传输组播数据。这样就不用指静态路由到tunnel接口了。

GRE over IPSec 配置

使用IPSecVPN总部和分部的交互的业务数据数据是封装到IPSec tunnel隧道了,隧道上层是公网IP,缺省路由到公网网关,所以要加密保护的IP数据流是总部到分部的私网IP地址流

GREvpn 总部到分部的私网IP数据流量封装在GRE tunnel隧道里,隧道的上曾是公网IP,路由信息出接口是tunne,并且加不了密

GRE上层是公网IP 下层是GRE tunnel隧道里面封装原始的IP数据,结合IPSec加密数据,GRE上层封装IPSec,所以要加密的源到目的的IP是tunnel隧道公网源到目的的IP。

 

配置结合IPSec配置,只把受IPSec保护的ACL写成本地公网IP到目的公网IP 

[Huawei-acl-adv-3000]rule 5 permit ip source 221.221.221.1 0 destination 221.221.221.2  源地址是本地公网地址,目的是分部公网地址   最后在公网地址接口调用                                                 

 SNMP简单网路管理协议

一。SNMP 应用场景。               SNMP用来在网络管理系统NMS和被管理者之间传输管理信息。安装有网管软件的系统叫NMS                     二.SNMPS架构

1.SNMP包括NMS,Agent和MIB等。Agent指的是被管理设备的代理进程也就是SNMP的代理进程,需要配置的。MIB         

 

                                        

 

 

 

                 

 

 

 

 

[展开全文]

  无线广域网

专业名词 CWMP 

 两种网络要素ACS:自动配置服务器网络中的管理设备

CPE:用户端设备 网络中被管理的设备

WCDMA:3G 蜂窝网络  GMS:2G网络标准

cellular:3G网络接口

IP address ppp-negotiate  类似ppoe协商地址

profile create 1 static 3gnet 创建静态的方式 叫3g

mode wcdma wcdma-precedende 模式取决于运营商 

 

dialer enable-circular //开启拨号功能

dialer number #777 autodial //配置拨号号码,电信CDMA统一为#777

 

 

AAA应用场景

用户访问总部某些服务器需要认证,认证设备就NAS网络访问服务器,NAS把收到的认证信息发给AAA服务器

AAA服务器可以把一台Windows server设置一个AAA服务器radius 服务器进行认证,授权,计费。计费一般叫审计,记录访问了那些资

pc上网需要网页用户名密码认证访问互联网

出口网关也是NAS  pc认证的用户名发给NAS NAS发给AAA服务器进行认证,AAA服务器认证通过之后信息返回NAS之后便可上网

类似teletde AAA认证 缺点每台设备逗得配置AAA服务 且如果分用户级别的话 那配置量相当的大

此时AAA服务器就可以解决此问题 ,只需要配置在AAA服务器上,在管理某台设备的时候 设备就是NAS,会把认证信息发转发给AAA服务器,然后决定是否可以管理控制这台设备

AAA服务器本地配置详解

aaa  进入AAA

[Huawei-aaa]domain sa  创建一个域

[Huawei-aaa-domain-sa]authorization-scheme sa 关联授权模板

[Huawei-aaa]authentication-scheme sa  创建认证模板和名称

[Huawei-aaa-authen-sa]authentication-mode local 认证方式是本地

[Huawei-aaa]authorization-scheme sa 授权模板 

[Huawei-aaa-author-sa]authorization-mode local 授权方式local

telnet关联域名配置

[Huawei-aaa]local-user hua@sa password cipher 123 privilege level 3

aaa  进入AAA

[Huawei-aaa]domain sa  创建一个域

[Huawei-aaa-domain-sa]authorization-scheme sa 关联授权模板

[Huawei-aaa-domain-sa]authentication-scheme sa 关联认证模板

[Huawei-aaa-domain-sa]Accounting-schem sa   关联计费模板

[Huawei-aaa-domain-sa]radius-server hua

关联到radius服务

[Huawei-aaa]authentication-scheme sa  创建认证模板和名称

[Huawei-aaa-authen-sa]authentication-mode radius 认证方式是radius

[Huawei-aaa]authorization-scheme sa 授权模板 

[Huawei-aaa-author-sa]authorization-mode local 授权方式local radius不支持配置命令授权

[Huawei-aaa] Accounting-scheme sa 创建计费模板和名称sa 

[Huawei-aaa-accounting-sa]accounting-mode radius 计费模式radius

配置radius服务器

[Huawei]radius-server template hua 创建radius服务器模板

[Huawei-radius-hua]radius-server authentication 192.168.1.3 1812 关联radius远程认证服务器

[Huawei-radius-hua]radius-server accounting 192.168.1.3 1813关联radius远程授权服务器

[Huawei-radius-hua]radius-server shared-key ciphe 1234 密码  对应radius服务器添加的账号密码

[Huawei]radius-server authorization 192.168.1.3 shared-key cipher 1234 关联radius服务器和服务器多重密钥

<Huawei>test-aaa sa@hua 1234 radius-template hua radius测试 Info: Account test succeed 表示认证成功

telnet登陆用户名是domain的域@radius模板名称 加radius模板密码

 

 

 

 

 

 

telnet关联域名配置

[Huawei-aaa]local-user hua@sa password cipher 123 privilege level 3

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

[展开全文]

小型企业网络运行过程  

配置网络,防火墙,路由器

 

[展开全文]

WLAN(Wireless Local Area Network )

0.27.00

HDLC(High-level Date Link Control)

PPP(Point to Point Protocol)

LCP

Configure-Requst(1.MDU  2.Authentication)

Configure-ACK

Configure-NAK

Configure-Reject

Authentication(PAP  CHAP)

PAP  (User name + Password )

CHAP(Requst 1.User name:"__"

                       2.ID:1

                       3.number)

Response {1.User name

             2.(ID+Number+Password)HASH}

ACK/NAK

NCP

(IPCP  IPv6CP IPX....)

1.40.00

[展开全文]

Eth-Trunk 

layer2

mode manual load-balance

mode lacp-static

trunkport 

layer3

undo portswitch

VLAN(Virtual Local Address Network)

vlan batch - -

port link-type access

port default vlan -

[sw-vlan10]port g0/0/1

 

[展开全文]

DHCP(Dynamic Host Configuretion Protocol)00.58.00

DHCP DISCOVER

DHCP OFFER

DHCP REQUET

DHCP ACK

DHCP NAK

DHCP RELEASE

50%  DHCP 

87.5%  DHCP REBINDING 

[展开全文]

IP ROUTE 00.57.00

Ip Route  02.52.00  

 RIP(Routing Information Protocol)finish

RIP v1 有类,不支持 VLSM(Variable Length Subnet Mask)和CIDR(Classless Inter-Domain Routing)

RIP v2  支持VLSM(Variable Length Subnet Mask) CIDR(Classless Inter-Domain Routing)

[展开全文]

ARP(address resolution protocol)

看到了50分

[展开全文]

这次听到了课时2,1小时整

[展开全文]
最新学员
 
在线
客服
隐藏

AIX班级群
561765734

Hyper-v班级群
608695830

RHCE班级群
133074155

RHCVA班级群
608695410

VCP班级群
591291541

MCSA班级群
601290873

服务时间: 8:00 - 22:00

客服热线: 400-008-7848