www.colben.cn/content/post/hcnp.md

---
title: "华为 hcnp 笔记"
date: 2021-03-06T22:45:00+08:00
lastmod: 2021-03-06T22:45:00+08:00
keywords: []
tags: ["华为", "hcnp"]
categories: ["network"]
---

## 基本命令
### 查看操作系统
- 用户模式下执行
    ```
    dis version
    ```

### 修改语言
- 用户模式下执行
    ```
    language-mode Chinese
    ```

### 保存配置
- 用户模式下执行
    ```
    save
    ```

### 修改主机名
- 系统模式下执行
    ```
    sysname XXXX
    ```

### 关闭提示信息
- 系统模式下执行
    ```
    undo info-center enable
    ```

### 显示当前模式配置
- 任何模式下执行
    ```
    dis this
    ```

## 接口
### 显示接口摘要信息
- 任何模式下执行
    ```
    dis ip int brief
    ```

### 显示接口类型
- 任何模式下执行
    ```
    dis port vlan
    ```

### 配置接口 IP
- 系统模式下执行
    ```
    int e0/0/0
        ip addr 172.16.1.1 24
    ```

### 配置接口描述信息
- 系统模式下执行
    ```
    int e0/0/0
        description ...
    ```

### 配置接口组
- 系统模式下执行
    ```
    port-group g e0/0/2 to e0/0/8
    ```

### 接口安全
- 默认只允许一个 mac 地址通信
- 系统模式下执行
    ```
    int gi0/0/1
        port-security enable
        port-security mac-address sticky # 只允许第一次连接的设备上网
        port-security mac-address sticky xxxx-xxxx-xxxx vlan 1 # 只允许指定 mac 的设备上网
        port-security max-mac-num 4 # 允许 4 个不同的 mac 地址通信
        port-security protect-action restrict # 触发安全操作时，交换机接口阻塞并警告
    ```

### 接口镜像
- 系统模式下执行
    ```
    observe-port 1 int gi0/0/24 # 把 24 口设置为观察口
    int gi0/0/1 # 指定要镜像的接口
        port-mirroring to observe-port 1 both # 把 1 口流量复制到 24 口
    ```

## Vlan
- 虚拟局域网(Virtual Local Area Network)
- 交换机接口默认都在 vlan 1 中，一个接口只能从属于一个 vlan
- 系统模式下执行
    ```
    vlan 10 # 创建 vlan 10
    vlan batch 20 30 40 # 创建 3 个 vlan
    vlan batch 50 to 60 # 创建 10 个 vlan
    ```

- 把接口划入 vlan 10 中，系统模式下执行
    ```
    int e0/0/0
        port link-type access
        port default vlan 10
    ```

- 显示 vlan 配置，任何模式下执行
    ```
    dis vlan
    dis port vlan
    ```

### 基于 mac 配置 vlan
- 系统模式下执行
    ```
    vlan batch 10 20
    vlan 10
        mac-vlan mac-address xxxx-xxxx-xxxx
    vlan 20
        mac-vlan mac-address yyyy-yyyy-yyyy

    int gi0/0/1 # 指定每个下连用户的接口
        port hybrid untagged vlan all
        mac-vlan enable
    ```

- 显示 mac 地址所在 vlan，任何模式下执行
    ```
    dis mac-address
    ```

### 基于 ip 配置 vlan
- 系统模式下执行
    ```
    vlan 10
        ip-subnet-vlan 1 ip 192.168.10.0 255.255.255.0
    vlan 20
        ip-subnet-vlan 1 ip 192.168.20.0 255.255.255.0

    int gi0/0/1 # 指定每个下连用户的接口
        port hybrid untagged vlan all
        ip-subnet-vlan enable
    ```

- 显示 ip 地址所在 vlan，任何模式下执行
    ```
    dis ip-subnet-vlan
    ```

### super vlan
- 各子 vlan 共用超级 vlan 的地址段，且各子 vlan 间网络不通
- 系统模式下执行
    ```
    vlan batch 10 20 30 40 100
    vlan 100
        aggregate-vlan # 定义为聚合 vlan
        access-vlan 10 20 30 # 把 10 20 30 三个 vlan 定义为 vlan 100 的子 vlan
    int vlan 100
        ip addr 192.168.1.1 24 # 聚合 vlan 的接口地址作为各子 vlan 的网关
    ```

### 接口隔离
- 同一台交换机相同隔离组的端口不能互访，trunk 接口也可以加入隔离组
- 系统模式下执行
    ```
    vlan 10
    port-group g gi0/0/1 to gi0/0/10
        port link-type access
        port default vlan 10
    int gi0/0/4
        port-isolate enable group 1 # 把接口 4 加入隔离组 1
    int gi0/0/8
        port-isolate enable group 1 # 把接口 8 加入隔离组 1
    ```

### Vlan 映射
- 系统模式下执行
    ```
    # 出口交换机
    int gi0/0/1
        port link-type trunk
        port trunk allow-pass 100

    # 内网交换机
    int gi0/0/1
        port link-type trunk
        port trunk allow-pass 100
        qinq vlan-translation enable # 启用 vlan 转换
        port vlan-mapping vlan 10 to 30 map-vlan 100 # 把 vlan 10 到 30 转换成 100
    ```

### Hybrid 混合接口
- 华为交换机特有且默认，同时具备 access 和 trunk 功能
- 作为 access 口使用，系统模式下执行
    ```
    int gi0/0/1
        port hybrid pvid vlan 10
        port hybrid untagged vlan 10 # 允许指定的多个 vlan 数据不打 tag 通过
    ```

- 作为 Trunk 口使用，系统模式下执行
    ```
    int gi0/0/2
        port hybrid tagged vlan 10 20
    ```

### Trunk
- 允许不同 vlan 的数据通过
- 系统模式下执行
    ```
    int e0/0/0
        port link-type trunk
        port trunk allow-pass vlan all # 允许全部 vlan 数据通过
    ```

- 本征 vlan(pvid) 经过 trunk 接口时 不打标机，默认本征 vlan 是 1
- 修改 trunk 接口的本征 vlan，系统模式下执行
    ```
    int e0/0/0
        port trunk pvid vlan 20
    ```

- 重置接口配置，系统模式下执行
    ```
    clear configuration interface e0/0/0
    int e0/0/0
        undo shutdown
    ```

### 链路聚合
- 多个物理接口捆绑为一个逻辑接口
- 系统模式下执行
    ```
    int eth-trunk 1 # 创建逻辑捆绑接口 1
    int e0/0/1
        eth-trunk 1
    int e0/0/2
        eth-trunk 1
    ```

- 显示捆绑接口的信息，任何模式下执行
    ```
    dis eth-trunk 1
    ```

- 显示捆绑接口的 stp 状态，任何模式下执行
    ```
    dis stp brief
    ```

### SVI
- 交换机虚拟接口(Switch Virtual Interface)
- 系统模式下执行
    ```
    interface vlan 10
        ip addr 192.168.1.1 24
    interface vlan 20
        ip addr 192.168.2.1 24
    ```

## STP
- 生成树协议(Spanning Tree Protocol)，防止交换环路
- 修改交换机优先级，系统模式下执行
    ```
    stp priority 0 # 注意是 4096 倍数
    ```

- 显示 stp 状态，任何模式下执行
    ```
    dis stp
    dis stp brief
    ```

- 建议连接 PC 的端口配置为边缘端口，系统模式下执行
    ```
    int e0/0/0
        stp edged-port enable
        # 可能需要重启下接口
        shutdown
        undo shutdown
    ```

- stp 根保护，如果收到较小优先级的 BPDU 报文，则完全阻塞，在根桥每个接口的系统模式下执行，__易造成大面积断网，慎用__，推荐使用 bpdu 防护
    ```
    int e0/0/1 # 根桥接口
        stp root-protection
    int e0/0/2 # 根桥接口
        stp root-protection
    ```

- stp bpdu 防护，边缘端口收到 stp 报文时，则将该端口阻塞，在系统模式下执行
    ```
    # 先配置好全部边缘端口
    # 开启 stp bpdu 防护
    stp bpdu-protection
    ```

- stp bpdu 防护每隔 30 秒尝试自动恢复
    ```
    error-down auto-recovery cause bpdu-protection interval 30
    ```

### STP 算法
- 选举根桥(根交换机)，先比较优先级，再比较 MAC 地址，越小越优先
- 非根桥选出根端口(距离根交换机最近的端口)
- 其余链路上，优先级或 MAC 地址较大的交换机的端口被阻塞

### RSTP
- 快速 stp，stp 升级版
- 系统模式下执行
    ```
    stp mode rstp
    ```

### MSTP
- 多生成树协议
- 划分实例，不同实例里运行独立的 stp，默认实例都是 0
- 系统模式下执行
    ```
    stp region-configuration
        region-name xxxx
        instance 1 vlan 10 # 把 vlan 10 划分到实例 1 中
        instance 2 vlan 20 30 # 把 vlan 20 和 30 划分到实例 2 中
        active region-configuration # 激活配置

    # 根据拓扑，登录相应的交换机，调整 stp 优先级
    stp instance 1 priority xxxx
    stp instance 2 priority xxxx
    ```

- 显示指定实例的 stp 信息，任何模式下执行
    ```
    dis stp instance 2
    dis stp instance 2 brief
    ```

## ACL
- 访问控制列表(Access Control List)，ensp 中AR2220 支持 acl
- 基本 acl(2000-2999)只能匹配源 ip 地址，系统模式下执行
    ```
    acl 2000
        rule 5 deny source 192.168.1.100 0 # 注意最后一个参数是反掩码
    int e0/0/0 # 要调用 acl 的接口
        traffic-filter inbound acl 2000
    ```

- 高级 acl(3000-3999)可以匹配源 ip、目标 ip、源端口、目标端口和协议等，系统模式下执行
    ```
    acl 3000 
        rule 5 deny icmp source 192.168.20.0 0.0.0.255 destination 172.16.10.2 0
    int e0/0/1 # 要调用 acl 的接口
        traffic-filter inbound acl 3000
    ```

- 二层 acl(4000-4999)

## 路由器
- 路由器的每个接口都是单独的网段

### 优先级
路由 | 优先级(0-255)
---- | ----
直连 | 0
静态 | 60
OSPF | 10
RIP  | 100

### 显示路由表
- 任何模式下执行
    ```
    dis ip routing-table
    ```

### 静态路由
- 系统模式下执行
    ```
    ip route-static 172.16.1.0 24 172.16.2.1 preference 60
    # 目标网段: 172.16.1.0 24
    # 下一跳地址: 172.16.2.1
    # 优先级: 默认 60, prefenence 60
    ```

### 缺省路由
- 系统模式下执行
    ```
    ip route-static 0.0.0.0 0 172.16.3.1
    ```

- 备份静态路由与现役静态路由优先级一样时，负载均衡传输

### 单臂路由
- 交换机 e0/0/3 与路由器 e0/0/0 连接
- 交换机系统模式下执行
    ```
    vlan batch 10 20
    int e0/0/1
        port link-type access
        port default vlan 10
    int e0/0/2
        port link-type access
        port default vlan 20
    int e0/0/3
        port link-type trunk
        port trunk allow-pass vlan all
    ```

- 路由器系统模式下执行
    ```
    int e0/0/0.10
        dot1q termination vid 10
        ip addr 192.168.10.1 255.255.255.0
        arp broadcast enable
    int e0/0/0.20
        dot1q termination vid 20
        ip addr 192.168.20.1 255.255.255.0
        arp broadcast enable
    ```

## RIP
- 只用跳数作为度量值，16 跳不可达，老旧，目前一般不用
- 系统模式下执行
    ```
    rip 1
        undo summary # 关闭自动汇总
        version 2 # 使用版本 2
        network 192.168.1.0 # 宣告直连主类网络
        network 172.16.0.0 # 宣告直连主类网络
    ```

- 抑制接口，系统模式下执行
    ```
    rip 1
        silent-interface e0/0/0
    ```

## OSPF
- 开放式最短路径优先 (Open Shortest Path First)
- area 0 一般作为骨干区域，area 1、2、3 一般作为常规区域，常规区域__必须__与骨干区域相连
- 系统模式下执行
    ```
    ospf 1
        area 0
            network 192.168.1.0 0.0.0.255 # 注意最后一个参数是反掩码
            network 192.168.2.0 0.0.0.255 # 注意最后一个参数是反掩码
    ```

- ospf 路由优先级模式是 10，可以修改，系统模式下执行
    ```
    ospf 1
        preference 20
    ```

- 重启 ospf 进程，用户模式下执行
    ```
    reset ospf process
    ```

- 显示 ospf 邻居表，任何模式下执行
    ```
    dis ospf peer brief
    ```

- 显示 ospf 错误，任何模式下执行
    ```
    dis ospf error
    ```

- 重置 ospf 错误计数，用户模式下执行
    ```
    reset ospf counters
    ```

- 显示 ospf 拓扑表（链路状态）
    ```
    dis ospf lsdb
    ```

### ospf 邻居
- abr(area border router)，区域边界路由器
- asbr(auto-system border router)，自治系统边界路由器
- router id: 运行 ospf 路由器的身份 id，不可重复
    - 优先手动指定，__推荐__
        ```
        # 系统模式下执行
        router id 2.2.2.2

        # 用户模式下执行
        reset ospf process
        ```

    - 最先启动的端口

- ospf 常见的五种报文
    - hello: 组播(224.0.0.5)，发送自身 router id
    - DBD: 数据库摘要(database description)
    - LSR: 链路状态请求(link-state request)，请求某链路的详细路由信息
    - LSU: 链路状态更新(link-state update)，回应 LSR
    - LSack: 链路状态确认

- ospf 邻居建立过程（从上往下）:
    - down
    - init: 初始化，开始交互 hello 报文
    - two-way: 互相得到对方的 router id
    - exstart: 准备交互 DBD 描述报文，同时选举 DR 和 BDR
    - exchange: 交互 DBD 描述报文
    - loading: 加载状态，请求对方完整的明细路由
    - full: 邻居建立完成，双方数据库已同步

- DR 和 BDR 选举规则
    - 接口优先级(默认都是 1) + router id，越大越优先
    - 一旦选举完成，后面不会再选举(除非重启)，也不会抢占
    - 优先级为 0 表示不参与 DR 和 BDR 选举
    - 修改优先级，系统模式下执行
        ```
        int gi0/0/1
            ospf dr-priority 5
        ```

### ospf 虚链路
- 新增常规区域没有直连骨干区域，此时该新增区域默认与其他非直连区域网络不通
- 可以配置虚链路打通新增区域的网络，可以看成区域链路的延伸
- 系统模式下执行
    ```
    # 骨干区域边缘路由
    ospf 1
        area xxxx # 指定所在区域
            vlink-peer x.x.x.x # 指定与新增区域直连的常规区域边缘路由的 router id

    # 与新增区域直连的常规区域边缘路由
    ospf 1
        area xxxx # 指定区域，去前面一致
            vlink-peer x.x.x.x # 执行骨干区域边缘路由的 router id
    ```

- 显示 ospf 虚链路，系统模式下执行
    ```
    dis ospf vlink
    ```

### ospf 认证
- 系统模式下执行
    ```
    int gi0/0/1 # 指定 ospf 链路接口
        ospf authentication-mode simple cipher 123456
    ```

### 抑制接口
- 系统模式下执行
    ```
    ospf 1
        silent-interface e0/0/0
    ```

### 引入其他路由
- 引入路由的协议显示为：o_ASE(ospf-autosystem external)，默认的路由优先级是 150
- ospf 和 rip 双向引入，系统模式下执行
    ```
    # 把 rip 路由引入 ospf
    ospf 1
        import-route rip

    # 把 ospf 路由引入 rip
    rip 1
        import-route ospf
    ```

- 向 ospf 引入缺省路由，此时该路由器会向其他 ospf 区域同步该缺省路由，系统模式下执行
    ```
    ospf 1
        default-route-advertise always
    ```

### 路由汇总
- 精简路由表大小
- 在边界路由器(abr)上做路由汇总，系统模式下执行
    ```
    ospf 1
        area 1 # 在路由所在区域汇总
            abr-summary 192.168.0.0 255.255.0.0
    ```

- 在自治系统边界路由器(asbr)上做路由汇总，系统模式下执行
    ```
    ospf 1
        asbr-summary 192.168.0.0 255.255.0.0
    ```

### ospf las
- 链路状态公告(link state advertise)，包含在 LSU 报文中
- 一类 LSA: router lsa
    - 每个路由器都可以发送
    - 仅在自己区域(area)发送
    - 通告自身信息
    - 任何模式下执行
        ```
        dis ospf lsdb router
        ```

- 二类 LSA: network lsa
    - 只有 DR 可以发送
    - 仅在自己区域(area)发送
    - 通告 DR 的身份和位置
    - 任何模式下执行
        ```
        dis ospf lsdb network
        ```

- 三类 LSA: summary lsa
    - 只有 ABR 可以发送
    - 传送不同区域的 ospf 路由信息
    - 任何模式下执行
        ```
        dis ospf lsdb summary
        ```

- 四类 LSA: asbr lsa
    - 只有 ABR 可以发送
    - 通告 ASBR 的身份和位置
    - 任何模式下执行
        ```
        dis ospf lsdb asbr
        ```

- 五类 LSA: external lsa
    - 只有 ASBR 可以发送
    - 通告其他自治系统的路由信息
    - 任何模式下执行
        ```
        dis ospf lsdb ase
        ```

- 七类 LSA: nssa lsa
    - 只有 nssa 区域的 asbr 产生
    - 只能通告自己所在的 nssa 区域，abr 收到时会转成 5 类继续传递
    - 把与 nssa 直连的其他自治系统的路由引入 ospf

### ospf 特殊区域
- stub，末节区域，拒绝五类 lsa，生成执行 abr 的缺省路由，减少路由表大小，系统模式下执行
    ```
    # 该区域的路由器 1
    ospf 1
        area 1 # 指定末节区域
            stub

    # 该区域的路由器 2
    ospf 1
        area 1 # 指定末节区域
            stub
    ```

- totally stub，完全末节区域，拒绝三、四、五类 lsa，系统模式下执行
    ```
    # 该区域的路由器 1
    ospf 1
        area 1 # 指定末节区域
            stub no-summary

    # 该区域的路由器 2
    ospf 1
        area 1 # 指定末节区域
            stub no-summary
    ```

- nssa，not so stub area，拒绝五类 lsa，放行七类 lsa，系统模式下执行
    ```
    # 该区域的路由器 1
    ospf 1
        area 1 # 指定 nssa 区域
            nssa

    # 该区域的路由器 2
    ospf 1
        area 1 # 指定 nssa 区域
            nssa
    ```

- totally nssa，拒绝三、四、五类 lsa，放行七类 lsa，系统模式下执行
    ```
    # 该区域的路由器 1
    ospf 1
        area 1 # 指定 nssa 区域
            nssa no-summary

    # 该区域的路由器 2
    ospf 1
        area 1 # 指定 nssa 区域
            nssa no-summary
    ```

### 路由过滤
- 过滤部分路由，在系统模式下执行
    ```
    ospf 1
        filter-policy 2000 import # 使用 acl 2000 过滤引入路由

    acl 2000
        rule 5 deny source 192.168.1.0 0.0.0.255 # 拒绝 192.168.1.0/24 的路由
        rule 10 permit # 其他路由都放过
    ```

- ospf 引入其他自治系统的路由信息时，做过滤，在系统模式下执行
    ```
    ospf 1
        import-route rip 1 route-policy xxxx

    route-policy xxxx permit node 10 # 配置路由策略 xxxx 的执行序号是 10
        if-match acl 2001 # 路由策略匹配 acl 2001

    acl 2001
        rule permit source 192.168.2.0 0.0.0.255 # 允许 ospf 引入 192.168.2.0/24 的路由
    ```

### ospf 排错
- ospf 无法建立邻居的几个原因:
    - router id 重复
    - 相邻路由器中间直连的网段必须宣告到相同的区域(area)
    - 认证的类型、密码不一样
    - ospf 邻居间的特殊区域标识必须一致

## NAT
- 一般先在内网接口配置缺省路由

### 静态 NAT
- 一个私网地址映射一个公网地址
- 系统模式下执行
    ```
    int e0/0/1 # 外网接口
        nat static global 12.1.1.2 inside 192.168.31.2
    ```

- 显示 nat 转化过程，任何模式下执行
    ```
    dis nat session protocol icmp # 最后一个参数指定协议
    ```

### easy IP
- 多个私网地址转换成一个公网地址
- 系统模式下执行
    ```
    acl 2001 # 创建一个 acl，用于匹配内网地址段
        rule 5 permit source 192.168.31.0 0.0.0.255
    int e0/0/1 # 外网接口
        nat outbound 2001 # 这里的 2001 是 acl 编号
    ```

### NAT Server
- 把外网地址的某个端口映射到内网服务器的某个端口
- 系统模式下执行
    ```
    int e0/0/1
        nat server protocol tcp global 12.1.1.2 8080 inside 192.168.31.2 80
    ```

## VRRP
- 虚拟路由冗余协议
- 主从路由器必须使用相同的 vrid，且建议指定优先级和密码
- 主路由器系统模式下执行
    ```
    int e0/0/0 # 内网接口，对应交换机的 vlan 接口
        ip addr 192.168.10.2 24
        vrrp vrid 1 virtual-ip 192.168.10.1
        vrrp vrid 1 priority 105
        vrrp vrid 1 track interface e0/0/1 # 外网接口不可用时，优先级减去 10
        vrrp vrid 1 authentication-mode simple plain 123456
    ```

- 从路由器系统模式下执行
    ```
    int e0/0/0
        ip addr 192.168.10.3 24
        vrrp vrid 1 virtual-ip 192.168.10.1
        vrrp vrid 1 priority 100
        vrrp vrid 1 track interface e0/0/1
        vrrp vrid 1 authentication-mode simple plain 123456
    ```

- 显示 vrrp 状态，任何模式下执行
    ```
    dis vrrp
    dis vrrp brief
    ```

- 交换机 vrrp 通常与 mstp 配合使用，系统模式下执行
    ```
    # 在主交换机上执行
    stp instance 1 root primary

    # 在从交换机上执行
    stp instance 1 root secondary
    ```

## BFD
- 双向转发检测，毫秒级故障检测，实现链路故障快速检查
- 探测包默认每秒发送一次
- 系统模式下执行
    ```
    # 路由器 1
    bfd
    bfd 1 bind peer-ip 172.16.1.2 source-ip 172.16.1.1
        discriminator local 1
        discriminator remote 2
        commit

    # 路由器 2
    bfd
    bfd 1 bind peer-ip 172.16.1.1 source-ip 172.16.1.2
        discriminator local 2
        discriminator remote 1
        commit
    ```

- 静态路由调用 bfd，系统模式下执行
    ```
    # 路由器 1
    ip route-s 192.168.2.0 255.255.255.0 172.16.1.2 track bfd-session 1

    # 路由器 2
    ip route-s 192.168.3.0 255.255.255.0 172.16.1.1 track bfd-session 1
    ```

- ospf 调用 bfd，系统模式下执行
    ```
    # 路由器 1
    ospf 1
        bfd all-interface enable

    # 路由器 2
    ospf 1
        bfd all-interface enable
    ```

- 查看 bfd 状态，任何模式下执行
    ```
    dis bfd session all
    ```

## DHCP/BOOTP
- 系统模式下执行
    ```
    dhcp enable
    ip pool pool_1
        network 192.168.1.0 mask 24
        gateway-list 192.168.1.1
        dns-list 192.168.1.1 8.8.8.8
        static-bind ip-address 192.168.1.101 mac-address xxxx-xxxx-xxxx # ip 与 mac 绑定
        lease day 0 hour 12 # 租期 12 小时
        excluded-ip-address 192.168.1.200 192.168.1.254 # 200-254 之间的 ip 不自动分配
    int e0/0/0 # 对应交换机的 vlan 接口
        ip addr 192.168.1.1 24
        dhcp select global
    ```

- 租期 50% 时，客户端发送 dhcp request，要求续租
- 如果服务端未响应，客户端会在 87.5% 时再发送一次
- 显示地址池中已用地址，任何模式下执行
    ```
    dip ip pool
    dis ip pool name pool_1 used
    ```

- 重置地址池分配记录，用户模式下执行
    ```
    reset ip pool name pool_1 used
    ```

- 基于当前接口分配 ip，简单便捷，系统模式下执行
    ```
    dhcp enable
    int gi0/0/0 # 对应交换机的 vlan 接口
        ip addr 192.168.1.1 255.255.255.0
        dhcp select interface
        dhcp server dns-list 192.168.1.1 8.8.8.8
    ```

- 基于 dhcp 中继分配 ip，系统模式下执行 
    ```
    dhcp enable
    int gi0/0/0 # 对应交换机的 vlan 接口
        ip address 192.168.1.1 24
        dhcp select relay
        dhcp relay server-ip 192.168.254.2 # 其他 dhcp 服务器
    ```

- 启用 dhcp snooping，不接收指定 vlan 下所有接口的 dhcp offer
    ```
    dhcp enable
    dhcp snooping enable
    dhcp snooping enable vlan 1 # 指定 snooping 生效的 vlan
    int gi0/0/0 # 指定要信任的 dhcp 接口
        dhcp snooping trusted
    ```

## Telnet
- 系统模式下执行
    ```
    telnet server enable
    aaa
        local-user user_1 password cipher 123456 privilege level 3
        local-user user_1 service-type telnet
    user-interface vty 0 4 # 同时允许 5 个人远程登录
        authentication-mode aaa
    ```

- 连接远程路由器，用户模式下执行
    ```
    telnet 192.168.3.1
    ```

## FTP
- 系统模式下执行
    ```
    ftp server enable
    aaa
        local-user user_2 password cipher 123456 privilege level 3 ftp-directory flash:
        local-user service-type ftp
    ```

## SSH
- 系统模式下执行
    ```
    aaa
        local-user user_3 password cipher 123456 privilege level 3
        local-user user_3 service-type ssh
    user-interface vty 0 4
        authentication-mode aaa
        protocol inbound ssh
    stelnet server enable
    ```

## 广域网传输
### PPP
- 远距离点对点串口传输(Point to Point Protocol)
- 系统模式下执行
    ```
    int serial4/0/0
        link-protocol ppp
        ip addr 12.1.1.2 255.255.255.0
    ```

#### PAP 认证
- 明文传输
- 服务端系统模式下执行
    ```
    aaa
        local-user user_3 password cipher 123456
        local-user user_3 service-type ppp
    int serial4/0/0
        ppp authentication-mode pap
    ```

- 客户端系统模式下执行
    ```
    int s4/0/0
        ppp pap local-user user_3 password simple 123456
        shutdown
        undo shutdown
    ```

#### CHAP 认证
- 密文传输
- 服务端系统模式下执行
    ```
    aaa
        local-user user_4 password cipher 123456
        local-user user_4 service-type ppp
    int s4/0/0
        ppp authentication-mode chap
    ```

- 客户端系统模式下执行
    ```
    int s4/0/0
        ppp chap user user_4
        ppp chap password simple 123456
        shutdown
        undo shutdown
    ```

### HDLC
- 系统模式下执行
    ```
    int s4/0/1
        link-protocol hdlc
        ip addr ...
    ```

### FR
- 系统模式下执行
    ```
    int s4/0/1
        link-protocol fr
        ip addr ...
    ```

## IPV6
- 系统模式下执行
    ```
    ipv6
    int e0/0/0
        ipv6 enable
        ipv6 addr 2001::2 64
    ```

- 单播和组播与 ipv4 类似，无广播
- 无状态自动配置，无需 dhcp
- 以 FE80:: 开头的地址都是本地链路地址，只在本地链路有效
- EUI-64 地址: 原 mac 地址中间嵌入 FFFE，第七个 bit 取反

## 园区网络
- 500-1000 设备
    - 路由器/防火墙: 配置缺省路由和 nat 连接外网
    - 核心层交换机: 配置 vlan，svi 和 dhcp，作为网关
    - 接入层交换机: 配置 vlan，划分用户接入接口
    - 核心层 trunk 连接接入层
    - 核心层单独 vlan 接口连接路由器
        - 核心层交换机配置缺省路由，把外网流量都转给路由器
        - 路由器配置静态路由，把内网流量转给核心层交换机

    - 所有交换机建议配置管理 vlan
        ```
        # 核心交换机
        vlan 999
        int vlan 999
            ip addr 192.168.255.1 24

        # 其他交换机
        vlan 999
        int vlan 999
            ip addr 192.168.255.xxx 24
        ip route-static 0.0.0.0 0 192.168.255.1
        ```

- 1000 以上设备，接入层 - 汇聚层 - 核心层 - 路由器/防火墙 - 外网
    - 路由器/防火墙: 配置缺省路由和 nat 连接外网
    - 核心层交换机: 配置 vlan，svi 和 dhcp，作为网关
    - 汇聚层交换机: 配置 vlan
    - 接入层交换机: 配置 vlan，划分用户接入接口
    - 核心层 trunk 连接汇聚层
    - 汇聚层 trunk 连接接入层
    - 核心层单独 vlan 接口连接路由器
        - 核心层交换机配置缺省路由，把外网流量都转给路由器
        - 路由器与核心层交换机配置 ospf

    - 所有交换机建议配置管理 vlan