一、策略路由与路由策略

实验模拟器用AR3260路由器

1. 策略路由概述

控制网络流量可达性

思考：如何控制网络流量可达性？

解决方案一:可通过修改路由条目(即对接收和发布的路由进行过滤）来控制流量可达性，这种方式称为路由策略。

解决方案二:可直接通过依据用户制定的策略进行转发，且该策略优于路由表转发，这种方式称为策略路由。

策略路由PBR ( Policy Based Routing )与单纯依照IP报文的目的地址查找路由表进行转发有所不同，它是一种依据用户制定的策略（例如：基于源地址）而进行流量转发的机制。策略路由的查找优先级比路由策略高，当路由器接收到数据包并进行转发时，会优先根据策略路由的规则进行匹配，如果能匹配上，则根据策略路由进行转发，否则按照路由表中的路由条目来进行转发。其中策略路由不改变路由表中的任何内容，它可以通过预先设置的规则来影响数据报文的转发。

策略路由方式常采用Traffic-Policy工具来实现:

• 首先使用ACL工具匹配目标流量。
• 然后对目标流量定义行为，如修改下一跳。

策略路由PBR分为︰

⑴本地策略路由:对本设备发送的报文实现策略路由，比如本机下发的ICMP、BGP等协议报文。当用户需要实现不同源地址的报文或者不同长度的报文通过不同的方式进行发送时，可以配置本地策略路由。常用Policy-Based-Route工具来实现。调试方式:[全局]ip local policy-based-route aa

⑵接口策略路由（最常用）:对流经本设备转发的报文生效,对本机主动触发的报文丕生效。当用户需要将收到的某些报文通过特定的下一跳地址进行转发时,需要配置接口策略路由。使匹配重定向规则的报文通过特定的下一跳出口进行转发，不匹配重定向规则的报文则根据路由表直接转发。接口策略路由多应用于负载分担和安全监控。常用Traffic-Policy工具来实现。调用方式:int gi 0/0/1；traffic-policy aa inbound对于进入接口的流量调用策略路由

⑶智能策骆路由:基于链路质量信息为业务数据流选择最佳链路。当用户需要为不同业务选择不同质量的链路时,可以配置智能策略路由。常用Smart-Policy-Route工具来实现，在本课程中不做重点介绍。

2. 策略路由与路由策略

区别和联系∶两者都是为了改变网络流量的转发路径，目的一样，但实现的方式不一样。

路由策略是通过更改某些路由参数影响路由表的路由条目来影响报文的转发(例如:filter-policy，route-policy，cost值修改，优先级修改等)

策略路由是通过管理员在路由器上面配置策略强制数据包按照策略转发，策略路由优先于路由表。(比如︰策略路由可以基于源地址定制数据的转发路径)

路由策略	策略路由
基于控制平面，会影响路由表表项	基于转发平面，不会影响路由表表项，且设备收到报文后，会先查找策略路由进行匹配转发，若匹配失败，则再查找路由表进行转发。
只能基于目的地址进行策略制定。	可基于源地址、目的地址、协议类型、报文大小等进行策略制定。
与路由协议结合使用。	需手工逐跳配置，以保证报文按策略进行转发。
常用工具：Rout-Policy、Filter-Policy等	常用工具：Traffic-Filter、Traffic-Policy、Policy-Based-Route等。

3. 路由策略配置

配置接口地址后，路由器运行ospf协议。

⑴通过接口配置ospf cost值选路

[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ospf cost 2
[R3]int g0/0/1
[R3-GigabitEthernet0/0/1]ospf cost 2

在PC1上追踪路由

PC1>tracert 4.4.4.4
traceroute to 4.4.4.4, 8 hops max
(ICMP), press Ctrl+C to stop
 1  1.1.1.1   47 ms  31 ms  47 ms
 2  12.1.1.2   47 ms  47 ms  46 ms
 3  24.1.1.4   63 ms  62 ms  63 ms
 4    *4.4.4.4   62 ms  63 ms

⑵ospf路由过滤

比如路由器R1不能访问7.7.7，而R2和R3可以访问7.7.7

[R1]acl 2019
[R1-acl-basic-2019]rule deny source 7.7.7.0 0.0.0.255
[R1-acl-basic-2019]rule 10 permit
[R1]ospf 1
[R1-ospf-1]filter-policy 2019 import

4. 策略路由-本地方式

只能对本机主动触发的流量生效，对转发的流量不生效。

[R1]ospf 1
[R1-ospf-1]undo filter-policy 2019 import
[R1-ospf-1]quit 
[R1]undo acl 2019

[R1]policy-based-route aa permit node 10
[R1-policy-based-route-aa-10]if-match acl 3000
[R1-policy-based-route-aa-10]apply ip-address next-hop 13.1.1.3  //强制下一跳
[R1]acl 3000
[R1-acl-adv-3000]rule 5 permit ip destination 4.4.4.4 0
[R1]ip local policy-based-route aa //本地调用策略
[R1]dis policy-based-route
 policy-based-route : aa
  Node  10  permit :
    if-match acl 3000
    apply
 ip-address next-hop 13.1.1.3 

[R1]tracert 4.4.4.4
 traceroute to  4.4.4.4(4.4.4.4), max hops: 30 ,packet length: 40,press CTRL_C to break 
 1 13.1.1.3 30 ms  30 ms  20 ms 
 2 34.1.1.4 30 ms  20 ms  30 ms 
 3  * 4.4.4.4 30 ms  20 ms 
[R1]dis acl 3000
Advanced ACL 3000, 1 rule
Acl's step is 5
 rule 5 permit ip destination 4.4.4.4 0 (9 matches)
[R1]tracert 7.7.7.7
 traceroute to  7.7.7.7(7.7.7.7), max hops: 30 ,packet length: 40,press CTRL_C to break 
 1 12.1.1.2 20 ms  20 ms  20 ms 
 2 24.1.1.4 20 ms  30 ms  30 ms 
 3 7.7.7.7 20 ms  20 ms  20 ms 
PC1>tracert 4.4.4.4
traceroute to 4.4.4.4, 8 hops max(ICMP), press Ctrl+C to stop
 1  1.1.1.1   32 ms  47 ms  31 ms
 2  12.1.1.2   47 ms  47 ms  46 ms
 3  24.1.1.4   32 ms  47 ms  46 ms
 4    *4.4.4.4   47 ms  47 ms

5. 策略路由-接口方式

[R1]dis cu | in policy
ip local policy-based-route aa
policy-based-route aa permit node 10
[R1]undo policy-based-route aa
[R1]undo ip local policy-based-route aa
[R1]undo acl 3000

策略路由PC1上网走R2，PC2上网走R3。

①分类

[R1]traffic classifier PC1
[R1-classifier-PC1]if-match ?
  8021p              Specify vlan 802.1p to match
  acl                Specify ACL to match
  any                Specify any data packet to match
  app-protocol       Specify app-protocol to match
  cvlan-8021p        Specify inner vlan 802.1p of QinQ packets to match. 
  cvlan-id           Specify inner vlan id of QinQ packets to match. 
  destination-mac    Specify destination MAC address to match
  dlci               Specify a DLCI to match
  dscp               Specify DSCP (DiffServ CodePoint) to match
  fr-de              Specify FR DE to match. 
  inbound-interface  Specify an inbound interface to match
  ip-precedence      Specify IP precedence to match
  ipv6               Specify IPv6 
  l2-protocol        Specify layer-2 protocol to match
  mpls-exp           Specify MPLS EXP value to match
  protocol           Specify ipv4 or ipv6 packets to match
  protocol-group     Specify protocol-group to match
  pvc                Specify a PVC to match
  rtp                Specify RTP port to match
  source-mac         Specify source MAC address to match
  tcp                Specify TCP parameters to match
  vlan-id            Specify a vlan id to match
[R1-classifier-PC1]if-match acl 2006
[R1]traffic classifier PC2
[R1-classifier-PC2]if-match acl 2007
[R1]acl 2006
[R1-acl-basic-2006]rule permit source 1.1.1.2 0
[R1]acl 2007
[R1-acl-basic-2007]rule permit source 1.1.1.3 0

②动作

[R1]traffic ?
  behavior    Configure traffic behavior 
  classifier  Configure traffic classifier
  policy      Configure traffic policy
[R1]traffic behavior PC1 //PC1可以不用定义策略，直接按照路由表转发，这里仅仅演示用
[R1-behavior-PC1]redirect ip-nexthop 12.1.1.2
[R1]traffic behavior PC2
[R1-behavior-PC2]redirect ip-nexthop 13.1.1.3

③关联

[R1]traffic policy bb
[R1-trafficpolicy-bb]classifier PC1 behavior PC1
[R1-trafficpolicy-bb]classifier PC2 behavior PC2

④接口调用：只能对入方向生效

[R1-GigabitEthernet0/0/2]traffic-policy bb inbound

⑤测试

[R1]dis traffic-policy applied-record 
-------------------------------------------------
  Policy Name:   bb 
  Policy Index:  0
     Classifier:PC1     Behavior:PC1 
     Classifier:PC2     Behavior:PC2 
-------------------------------------------------
 *interface GigabitEthernet0/0/2
    traffic-policy bb inbound  
      slot 0    :  success
-------------------------------------------------
PC1>tracert 4.4.4.4
traceroute to 4.4.4.4, 8 hops max(ICMP), press Ctrl+C to stop
 1  1.1.1.1   47 ms  32 ms  46 ms
 2  12.1.1.2   47 ms  47 ms  31 ms
 3  24.1.1.4   79 ms  31 ms  47 ms
 4    *4.4.4.4   47 ms  46 ms
PC2>tracert 4.4.4.4
traceroute to 4.4.4.4, 8 hops max(ICMP), press Ctrl+C to stop
 1  1.1.1.1   47 ms  46 ms  47 ms
 2  13.1.1.3   32 ms  46 ms  47 ms
 3  34.1.1.4   63 ms  47 ms  47 ms
 4  4.4.4.4   46 ms  32 ms  47 ms
[R1]dis acl all
 Total quantity of nonempty ACL number is 2 
Basic ACL 2006, 1 rule
Acl's step is 5
 rule 5 permit source 1.1.1.2 0 (12 matches)
Basic ACL 2007, 1 rule
Acl's step is 5
 rule 5 permit source 1.1.1.3 0 (12 matches)

6. 华为hcip试题讲解-策略路由

1. 在应用策略路由时，下面哪些描述是错误的?(AC）。
   A在系统视图下应用策略路由，此时的策略路由对通过本路由器收到的所有报文起作用。
   B在系统视图下应用策略路由，此时的策略路由只对本地产生的报文起作用。
   C在接口视图下应用策略路由，此时的策略路由只对本接口接收和发送的报文起作用。
   D在接口视图下应用策略路由，此时的策略路由只对本接口接收到的报文起作用。

2. 策略路由(policy-based-route)不支持根据下列哪种策略来指定数据包转发的路径?(C)
   知识点:路由引入和控制→策略路由
   A源地址，B目的地址，C源MAC，D报文长度

3. 下面关于路由策略和策略路由的描述，正确的是:(AB）
   A策略路由主要是控制报文的转发，即可以不按照路由表进行报文的转发。
   B路由策略主要控制路由信息的引入、发布、接收。
   C路由策略主要是控制报文的转发，即可以不按照路由表进行报文的转发。
   D策略路由主要控制路由信息的引入、发布、接收。

4. 策略路由和路由策略都可以影响数据包的转发过程,但他们对数据包的影响方式是不同的。璐由策略是基于策略的转发，失败后再查找路由表转发，基于转发平面，为转发策略服务，并且需要手工配置。策略路由是基于目的地址按路由表转发，基于控制平面，为路由协议和路由表服务，并与路由协议结合完成策略。（B）
   A、TRUE，B、FALSE

5. 策略路由需要手工逐跳配置，以保证报文按策略转发。(A)
   A、TRUE，B、FALSE

二、BFD技术

1. BFD概述

BFD:Bidirectional Forwarding Detection,双向转发检查。

概述︰毫秒级链路故障检查，通常结合三层协议（如静态路由、vrrp、ospf、BGP等)实现链路故障快速切换。

作用∶①检测二层非直连故障；②加快三层协议收敛

2. 静态路由联动静态BFD

[R1]ip route-static 2.2.2.0 24 12.1.1.2 preference 50
[R1]ip route-static 2.2.2.0 24 21.1.1.2
[R2]ip route-static 1.1.1.0 24 12.1.1.1 preference 50
[R2]ip route-static 1.1.1.0 24 21.1.1.1
[R1]ping -a 1.1.1.1 2.2.2.2
[R1]tracert -a 1.1.1.1 2.2.2.2
[R1]dis ip routing-table protocol static

[R1]bfd
[R1-bfd]quit
[R1]bfd aa bind peer-ip 12.1.1.2 source-ip 12.1.1.1
[R1-bfd-session-aa]discriminator local 1
[R1-bfd-session-aa]discriminator remote 2
[R1-bfd-session-aa]commit
[R1]ip route-static 2.2.2.0 255.255.255.0 12.1.1.2 preference 50 track bfd-session aa
[R2]bfd
[R2-bfd]quit
[R2]bfd aa bind peer-ip 12.1.1.1 source-ip 12.1.1.2
[R2-bfd-session-aa]discriminator local 2
[R2-bfd-session-aa]discriminator remote 1
[R2-bfd-session-aa]commit
[R2]ip route-static 1.1.1.0 255.255.255.0 12.1.1.1 preference 50 track bfd-session aa

[R1]dis bfd session all verbose 
--------------------------------------------------------------------------------
Session MIndex : 256       (Multi Hop) State : Up        Name : aa             
--------------------------------------------------------------------------------
  Local Discriminator    : 1                Remote Discriminator   : 2         
  Session Detect Mode    : Asynchronous Mode Without Echo Function             
  BFD Bind Type          : Peer IP Address                                     
  Bind Session Type      : Static                                              
  Bind Peer IP Address   : 12.1.1.2                                            
  Bind Interface         : -                                                   
  Track Interface        : -                                                   
  Bind Source IP Address : 12.1.1.1                                            
  FSM Board Id           : 0                TOS-EXP                : 7         
  Min Tx Interval (ms)   : 1000             Min Rx Interval (ms)   : 1000      
  Actual Tx Interval (ms): 1000             Actual Rx Interval (ms): 1000      
  Local Detect Multi     : 3                Detect Interval (ms)   : 3000      
  Echo Passive           : Disable          Acl Number             : -         
  Destination Port       : 3784             TTL                    : 254       
  Proc Interface Status  : Disable          Process PST            : Disable   
  WTR Interval (ms)      : -                                                   
  Active Multi           : 3                                                   
  Last Local Diagnostic  : No Diagnostic                                       
  Bind Application       : No Application Bind
  Session TX TmrID       : -                Session Detect TmrID   : -         
  Session Init TmrID     : -                Session WTR TmrID      : -         
  Session Echo Tx TmrID  : -                                                   
  PDT Index              : FSM-0 | RCV-0 | IF-0 | TOKEN-0                      
  Session Description    : -                                                   
--------------------------------------------------------------------------------
     Total UP/DOWN Session Number : 1/0
[R2]dis bfd session all
--------------------------------------------------------------------------------
Local Remote     PeerIpAddr      State     Type        InterfaceName            
--------------------------------------------------------------------------------
2     1          12.1.1.1        Up        S_IP_PEER         -                  
--------------------------------------------------------------------------------
     Total UP/DOWN Session Number : 1/0

3. 静态路由联动动态BFD

用上面的拓扑图，先删除bfd设置

[R1]undo bfd
[R2]undo bfd

[R1]bfd
[R1-bfd]quit
[R1]bfd tt bind peer-ip 12.1.1.2 source-ip 12.1.1.1 auto 
[R1-bfd-session-tt]commit
[R1]ip route-static 2.2.2.0 255.255.255.0 12.1.1.2 preference 50 track bfd-session tt
[R2]bfd
[R2-bfd]quit    
[R2]bfd ff bind peer-ip 12.1.1.1 source-ip 12.1.1.2 auto 
[R2-bfd-session-ff]commit
[R2]ip route-static 1.1.1.0 255.255.255.0 12.1.1.1 preference 50 track bfd-session tt

[R1]dis bfd session all
--------------------------------------------------------------------------------
Local Remote     PeerIpAddr      State     Type        InterfaceName            
--------------------------------------------------------------------------------
8192  8192       12.1.1.2        Up        S_AUTO_PEER       -                  
--------------------------------------------------------------------------------
     Total UP/DOWN Session Number : 1/0
[R1]dis bfd session all verbose 
--------------------------------------------------------------------------------
Session MIndex : 256       (Multi Hop) State : Up        Name : tt             
--------------------------------------------------------------------------------
  Local Discriminator    : 8192             Remote Discriminator   : 8192      
  Session Detect Mode    : Asynchronous Mode Without Echo Function             
  BFD Bind Type          : Peer IP Address                                     
  Bind Session Type      : Static_Auto                                         
  Bind Peer IP Address   : 12.1.1.2                                            
  Bind Interface         : -                                                   
  Bind Source IP Address : 12.1.1.1                                            
  FSM Board Id           : 0                TOS-EXP                : 7         
  Min Tx Interval (ms)   : 1000             Min Rx Interval (ms)   : 1000      
  Actual Tx Interval (ms): 1000             Actual Rx Interval (ms): 1000      
  Local Detect Multi     : 3                Detect Interval (ms)   : 3000      
  Echo Passive           : Disable          Acl Number             : -         
  Destination Port       : 3784             TTL                    : 253       
  Proc Interface Status  : Disable          Process PST            : Disable   
  WTR Interval (ms)      : -                                                   
  Active Multi           : 3                                                   
  Last Local Diagnostic  : No Diagnostic                                       
  Bind Application       : AUTO 
  Session TX TmrID       : -                Session Detect TmrID   : -         
  Session Init TmrID     : -                Session WTR TmrID      : -         
  Session Echo Tx TmrID  : -                                                   
  PDT Index              : FSM-0 | RCV-0 | IF-0 | TOKEN-0                      
  Session Description    : -                                                   
--------------------------------------------------------------------------------
     Total UP/DOWN Session Number : 1/0

4. OSPF联动BFD

[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 12.1.1.1 0.0.0.0
[R1-ospf-1-area-0.0.0.0]network 21.1.1.1 0.0.0.0
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 12.1.1.2 0.0.0.0
[R2-ospf-1-area-0.0.0.0]network 21.1.1.2 0.0.0.0
[R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0

[R1]dis ospf peer brief 
     OSPF Process 1 with Router ID 1.1.1.1
          Peer Statistic Information
 ----------------------------------------------------------------------------
 Area Id          Interface                        Neighbor id      State    
 0.0.0.0          GigabitEthernet0/0/0             2.2.2.2          Full        
 0.0.0.0          GigabitEthernet0/0/1             2.2.2.2          Full        
 ----------------------------------------------------------------------------

[R1]dis ip routing-table protocol ospf verbose 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 1        Routes : 2     
Destination: 2.2.2.2/32
     Protocol: OSPF             Process ID: 1
   Preference: 10                     Cost: 1
      NextHop: 12.1.1.2          Neighbour: 0.0.0.0
        State: Active Adv              Age: 00h05m36s
          Tag: 0                  Priority: medium
        Label: NULL                QoSInfo: 0x0
   IndirectID: 0x0              
 RelayNextHop: 0.0.0.0           Interface: GigabitEthernet0/0/0
     TunnelID: 0x0                   Flags:  D

Destination: 2.2.2.2/32
     Protocol: OSPF             Process ID: 1
   Preference: 10                     Cost: 1
      NextHop: 21.1.1.2          Neighbour: 0.0.0.0
        State: Active Adv              Age: 00h05m36s
          Tag: 0                  Priority: medium
        Label: NULL                QoSInfo: 0x0
   IndirectID: 0x0              
 RelayNextHop: 0.0.0.0           Interface: GigabitEthernet0/0/1
     TunnelID: 0x0                   Flags:  D

[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ospf cost 3
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ospf cost 3
[R1-GigabitEthernet0/0/0]ospf timer hello ?
  INTEGER<1-65535>  Second(s)
//ospf默认发送hello心跳报文的间隔是10s,超过4倍既40s没有响应，收敛路由表。

[R1]bfd
[R1-bfd]quit
[R1]ospf 1
[R1-ospf-1]bfd all-interfaces enable //在所有接口下启用bfd检测
[R2]bfd
[R2-bfd]quit
[R2]ospf 1
[R2-ospf-1]bfd all-interfaces enable

[R1]dis bfd session dynamic
--------------------------------------------------------------------------------
Local Remote     PeerIpAddr      State     Type        InterfaceName            
--------------------------------------------------------------------------------
8193  8193       21.1.1.2        Up        D_IP_IF     GigabitEthernet0/0/1     
8194  8194       12.1.1.2        Up        D_IP_IF     GigabitEthernet0/0/0     
--------------------------------------------------------------------------------
     Total UP/DOWN Session Number : 2/0

[R1]dis bfd session dynamic verbose 
--------------------------------------------------------------------------------
Session MIndex : 257       (One Hop) State : Up        Name : dyn_8193       
--------------------------------------------------------------------------------
  Local Discriminator    : 8193             Remote Discriminator   : 8193      
  Session Detect Mode    : Asynchronous Mode Without Echo Function             
  BFD Bind Type          : Interface(GigabitEthernet0/0/1)                     
  Bind Session Type      : Dynamic                                             
  Bind Peer IP Address   : 21.1.1.2                                            
  NextHop Ip Address     : 21.1.1.2                                            
  Bind Interface         : GigabitEthernet0/0/1                                
  FSM Board Id           : 0                TOS-EXP                : 7         
  Min Tx Interval (ms)   : 1000             Min Rx Interval (ms)   : 1000      
  Actual Tx Interval (ms): 1000             Actual Rx Interval (ms): 1000      
  Local Detect Multi     : 3                Detect Interval (ms)   : 3000      
  Echo Passive           : Disable          Acl Number             : -         
  Destination Port       : 3784             TTL                    : 255       
  Proc Interface Status  : Disable          Process PST            : Disable   
  WTR Interval (ms)      : -                                                   
  Active Multi           : 3                                                   
  Last Local Diagnostic  : No Diagnostic                                       
  Bind Application       : OSPF 
  Session TX TmrID       : -                Session Detect TmrID   : -         
  Session Init TmrID     : -                Session WTR TmrID      : -         
  Session Echo Tx TmrID  : -                                                   
  PDT Index              : FSM-1 | RCV-0 | IF-0 | TOKEN-0                      
  Session Description    : -                                                   
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Session MIndex : 258       (One Hop) State : Up        Name : dyn_8194       
--------------------------------------------------------------------------------
  Local Discriminator    : 8194             Remote Discriminator   : 8194      
  Session Detect Mode    : Asynchronous Mode Without Echo Function             
  BFD Bind Type          : Interface(GigabitEthernet0/0/0)                     
  Bind Session Type      : Dynamic                                             
  Bind Peer IP Address   : 12.1.1.2                                            
  NextHop Ip Address     : 12.1.1.2                                            
  Bind Interface         : GigabitEthernet0/0/0                                
  FSM Board Id           : 0                TOS-EXP                : 7         
  Min Tx Interval (ms)   : 1000             Min Rx Interval (ms)   : 1000      
  Actual Tx Interval (ms): 1000             Actual Rx Interval (ms): 1000      
  Local Detect Multi     : 3                Detect Interval (ms)   : 3000      
  Echo Passive           : Disable          Acl Number             : -         
  Destination Port       : 3784             TTL                    : 255       
  Proc Interface Status  : Disable          Process PST            : Disable   
  WTR Interval (ms)      : -                                                   
  Active Multi           : 3                                                   
  Last Local Diagnostic  : No Diagnostic                                       
  Bind Application       : OSPF 
  Session TX TmrID       : -                Session Detect TmrID   : -         
  Session Init TmrID     : -                Session WTR TmrID      : -         
  Session Echo Tx TmrID  : -                                                   
  PDT Index              : FSM-0 | RCV-0 | IF-0 | TOKEN-0                      
  Session Description    : -                                                   
--------------------------------------------------------------------------------
     Total UP/DOWN Session Number : 2/0

也可以在单独接口下启用bfd检测

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ospf bfd enable
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ospf bfd enable

5. BFD单臂回声（单向BFD）

网络拓扑图如上所示

[R1]ip route-static 0.0.0.0 0 12.1.1.2 preference 50
[R1]ip route-static 0.0.0.0 0 21.1.1.2
[R1]bfd
[R1-bfd]quit
[R1]bfd bb bind peer-ip 12.1.1.2 interface GigabitEthernet 0/0/0 source-ip 1.1.1.1 one-arm-echo
[R1-bfd-session-bb]discriminator local 100
[R1-bfd-session-bb]commit
[R1]ip route-static 0.0.0.0 0 12.1.1.2 preference 50 track bfd-session bb
[R2]ip route-static 1.1.1.0 24 21.1.1.1
[R2]ip route-static 1.1.1.0 24 12.1.1.1

[R1]dis bfd session all
--------------------------------------------------------------------------------
Local Remote     PeerIpAddr      State     Type        InterfaceName            
--------------------------------------------------------------------------------
100   -          12.1.1.2        Up        S_IP_IF     GigabitEthernet0/0/0     
--------------------------------------------------------------------------------
     Total UP/DOWN Session Number : 1/0

注意：BFD单臂回声只能在三层直连链路上检测，不能跨网段检测；而双向配置BFD可以三层跨网段检测。

6. 华为HCIP试题讲解-BFD

1. 在不使用BFD检测机制的情况下，通过以太网链路建立邻居关系的OSPF路由器，在链路故障后最长需要40s 才会中断邻居关系。（A）
   A正确，B错误

2. BFD机制使用TCP建立连接，其目的端口号为3784。（A）
   A正确，B错误

3. BFD控制报文封装在UDP报文中进行传送，那么多跳BFD控制报文的目的端口号是:(B)
   A、2784，B、3784，C、4784，D、5784

4. VRP版本支持的BFD版本号是（A）
   A、 Version1，B、 Version2，C、 Version3，D、 Version4

5. 如果两台设备相连，且其中一台设备支持 BFD检测功能，而另外一台设备不支持，那么支持BFD检测功能的设备可以利用BFD的哪个功能特性来实现链路的联通性检测?（C）
   A快速握手，B接口状态联动，C单臂回声，D双向检测

6. 下面关于BFD会话的建立方式，描述错误的是:（A）
   A、BFD会话只能通过动态方式建立
   B、静态配置BFD会话是指通过命令行，手工配置BFD会话参数，包括本地标识符和远端标识符等。
   C、动态建立BFD会话时，动态分配本地标识符。
   D、系统通过划分标识符区域的方式，来区分静态BFD会话和动态BFD会话。

7. BFD（双向转发检测）技术属于快速检测技术，但它较为复杂，需要特殊厂商设备支持。（B）
   A正确，B错误

8. BFD检测可以同哪些协议模块联动（ABCD)
   A、VRRP，B、OSPF，C、BGP，D、静态路由

9. BFD的单臂回声功能可用于非直连的2台设备（B）
   A、TRUE，B、FALSE

三、DHCP进阶

1. DHCP基础回顾

一个网络如果要正常地运行，则网络中的主机 (Host)必需要知道某些重要的网络参数，如IP地址、网络掩码、网关地址、DNS服务器地址、网络打印机地址等等。显然，在每台主机上都采用手工方式来配置这些参数是非常困难的、或是根本不可能的。

为此，IETF于1993年发布了动态主机配置协议(DHCP:Dynamic Host Configuration Protocol)。DHCP的应用，实现了网络参数配置过程的自动化。那么DHCP技术具体是如何实现的呢?面对网络规模的扩大，DHCP又是如何应对的?面对网络中的攻击，DHCP又是如何防护的呢?

学完本节课程后，您将能够：理解DHCP的原理与配置，理解DHCP Relay的原理与配置，熟悉DHCP面临的安全威胁与防护机制。

①DHCP基本工作过程(1)

②DHCP配置实现

③DHCP基本工作过程(2)

2. 基于接口DHCP

[R1]dhcp enable
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.1 255.255.255.0
[R1-GigabitEthernet0/0/0]dhcp select interface
[R1-GigabitEthernet0/0/0]dhcp server dns-list 114.114.114.114 8.8.8.8
[R1-GigabitEthernet0/0/0]dhcp server excluded-ip-address 192.168.1.2 192.168.1.1.0
[R1-GigabitEthernet0/0/0]dhcp server ?
  dns-list             Configure DNS servers
  domain-name          Configure domain name 
  excluded-ip-address  Mark disable IP addresses 
  import               Imports the following network configuration parameters   
                       from a central server into local ip pool database: domain
                       name, dns server and netbios server.
  lease                Configure the lease of the IP pool
  nbns-list            Configure the windows's netbios name servers 
  netbios-type         Netbios node type
  next-server          The address of the server to use in the next step of the 
                       client's bootstrap process.
  option               Configure the DHCP options
  option121            DHCP option 121 
  option184            DHCP option 184
  recycle              Recycle IP address
  static-bind          Static bind

客户端可以通过ipconfig /renew重新获取地址

[R1]display ip pool  
  -----------------------------------------------------------------------
  Pool-name      : GigabitEthernet0/0/0
  Pool-No        : 0
  Position       : Interface       Status           : Unlocked
  Gateway-0      : 192.168.1.1     
  Mask           : 255.255.255.0
  VPN instance   : --
  IP address Statistic
    Total       :253   
    Used        :2          Idle        :251   
    Expired     :0          Conflict    :0          Disable   :0 

[R1]display ip pool interface GigabitEthernet0/0/0 used  
  Pool-name      : GigabitEthernet0/0/0
  Pool-No        : 0
  Lease          : 1 Days 0 Hours 0 Minutes
  Domain-name    : -
  DNS-server0    : 114.114.114.114 
  DNS-server1    : 8.8.8.8         
  NBNS-server0   : -               
  Netbios-type   : -               
  Position       : Interface       Status           : Unlocked
  Gateway-0      : 192.168.1.1     
  Mask           : 255.255.255.0
  VPN instance   : --
 -----------------------------------------------------------------------------
         Start           End     Total  Used  Idle(Expired)  Conflict  Disable
 -----------------------------------------------------------------------------
     192.168.1.1   192.168.1.254   253     2        251(0)         0        0
 -----------------------------------------------------------------------------
  Network section : 
  --------------------------------------------------------------------------
  Index              IP               MAC      Lease   Status  
  --------------------------------------------------------------------------
    252   192.168.1.253    5489-98e3-245e        350   Used       
    253   192.168.1.254    5489-98d0-4959        279   Used       
  --------------------------------------------------------------------------

3. DHCP静态绑定、租约

[SW1]dhcp enable
[SW1]ip pool vlan20
[SW1-ip-pool-vlan20]dis this
ip pool vlan20
 gateway-list 192.168.1.1
 network 192.168.1.0 mask 255.255.255.0
 static-bind ip-address 192.168.1.19 mac-address 5489-98d8-6504
 dns-list 114.114.114.114 8.8.8.8
[SW1-GigabitEthernet0/0/1]dis this
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 20
[SW1-Vlanif20]dis this
interface Vlanif20
 ip address 192.168.1.1 255.255.255.0
 dhcp select global
[SW1-Vlanif20]dis ip pool name vlan20 used 
  Pool-name      : vlan20
  Pool-No        : 0
  Lease          : 1 Days 0 Hours 0 Minutes
  Domain-name    : -
  DNS-server0    : 114.114.114.114 
  DNS-server1    : 8.8.8.8         
  NBNS-server0   : -               
  Netbios-type   : -               
  Position       : Local           Status           : Unlocked
  Gateway-0      : 192.168.1.1     
  Mask           : 255.255.255.0
  VPN instance   : --
 -----------------------------------------------------------------------------
         Start           End     Total  Used  Idle(Expired)  Conflict  Disable
 -----------------------------------------------------------------------------
     192.168.1.1   192.168.1.254   253     2        251(0)         0        0
 -----------------------------------------------------------------------------
  Network section : 
  --------------------------------------------------------------------------
  Index              IP               MAC      Lease   Status  
  --------------------------------------------------------------------------
     18    192.168.1.19    5489-98d8-6504          -   Static-bind used
    253   192.168.1.254    5489-98d8-6503       5019   Used       
  --------------------------------------------------------------------------

注意：如果客户端已经获取ip地址，解除绑定会报错

[SW1-ip-pool-vlan20]undo static-bind ip-address 192.168.1.19
Error:The IP address is being used by a static-MAC user.

可以在客户端电脑上运行命名

PC>ipconfig /release
IP Configuration
Link local IPv6 address...........: fe80::5689:98ff:fed8:6504
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 0.0.0.0
Subnet mask.......................: 0.0.0.0
Gateway...........................: 0.0.0.0
Physical address..................: 54-89-98-D8-65-04
DNS server........................:

再运行就不会报错：

[SW1-ip-pool-vlan20]undo static-bind ip-address 192.168.1.19

重新绑定：

[SW1-ip-pool-vlan20]static-bind ip-address 192.168.1.20 mac-address 5489-98d8-65

客户端重新获取：

PC>ipconfig /renew
IP Configuration
Link local IPv6 address...........: fe80::5689:98ff:fed8:6504
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 192.168.1.20
Subnet mask.......................: 255.255.255.0
Gateway...........................: 192.168.1.1
Physical address..................: 54-89-98-D8-65-04
DNS server........................: 114.114.114.114
                                    8.8.8.8

另外一种方法在dhcp交换机上重置

<SW1>reset ip pool ?
  interface  Interface pool
  name       Pool name
<SW1>reset ip pool name vlan20 used 
Warning: If the IP addresses that are being used are reclaimed, may influence no
rmal user in the network. Are you sure to continue?[Y/N]:y

<SW1>reset ip pool name vlan20 ?
  X.X.X.X   Start IP address
  all       All IP address
  conflict  Conflict IP address
  expired   Expired IP address
  used      Used IP address
<SW1>reset ip pool name vlan20 192.168.1.20
Warning: If the IP addresses that are being used are reclaimed, may influence no
rmal user in the network. Are you sure to continue?[Y/N]:y

再运行命令就不会报错

[SW1-ip-pool-vlan20]static-bind ip-address 192.168.1.30 mac-address 5489-98d8-65
04

租约配置

[SW1-ip-pool-vlan20]lease day 2 hour 2 minute 30
[SW1-ip-pool-vlan20]dis this
ip pool vlan20
 gateway-list 192.168.1.1
 network 192.168.1.0 mask 255.255.255.0
 static-bind ip-address 192.168.1.30 mac-address 5489-98d8-6504
 lease day 2 hour 2 minute 30
 dns-list 114.114.114.114 8.8.8.8

4. DHCP排除地址、domain-name

[SW1-ip-pool-vlan20]excluded-ip-address 192.168.1.100 192.168.1.150
[SW1-ip-pool-vlan20]dis this
ip pool vlan20
 gateway-list 192.168.1.1
 network 192.168.1.0 mask 255.255.255.0
 static-bind ip-address 192.168.1.30 mac-address 5489-98d8-6504
 excluded-ip-address 192.168.1.100 192.168.1.150
 excluded-ip-address 192.168.1.160 192.168.1.200
 excluded-ip-address 192.168.1.158
 lease day 2 hour 2 minute 30
 dns-list 114.114.114.114 8.8.8.8

[SW1-ip-pool-vlan20]domain-name xiaomi.com
[SW1-ip-pool-vlan20]dis this
ip pool vlan20
 gateway-list 192.168.1.1
 network 192.168.1.0 mask 255.255.255.0
 static-bind ip-address 192.168.1.30 mac-address 5489-98d8-6504
 excluded-ip-address 192.168.1.100 192.168.1.150
 excluded-ip-address 192.168.1.160 192.168.1.200
 lease day 2 hour 2 minute 30
 dns-list 114.114.114.114 8.8.8.8
 domain-name xiaomi.com

5. DHCP server IP冲突检测

[SW1]dhcp enable 
[SW1]dhcp server ping packet 2
[SW1]dhcp server ping packet 0 //关闭ping检测
[SW1]dhcp server ping timeout 500

此命令主要用于dhcp服务器端，为了防止IP地址重复分配导致地址冲突，DHCP服务器为客户端分配地址前，需要先执行dhcp server ping命令发送ping报文探测地址的使用情况。此功能由于客户端防火墙开启原因，可能没有ping回报，导致检测失败。

6. DHCP中继-dhcy relay

[Linux_dhcp]dhcp enable
[Linux_dhcp]ip pool a
 gateway-list 192.168.8.1 
 network 192.168.8.0 mask 255.255.255.0 
 dns-list 114.114.114.114 8.8.8.8 
[Linux_dhcp]ip pool b
 gateway-list 192.168.9.1 
 network 192.168.9.0 mask 255.255.255.0 
 dns-list 114.114.114.114 8.8.8.8
[Linux_dhcp-GigabitEthernet0/0/0]dis this
interface GigabitEthernet0/0/0
 ip address 12.1.1.2 255.255.255.252 
 dhcp select global
[Linux_dhcp]ip route-static 0.0.0.0 0 12.1.1.1

[SW1]dhcp enable
[SW1]vlan batch 8 9 200
[SW1]int Vlanif 200
[SW1-Vlanif200]ip address 12.1.1.1 30
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 200
[SW1]interface Vlanif 8
[SW1-Vlanif8]ip address 192.168.8.1 24
[SW1-Vlanif8]dhcp select relay
[SW1-Vlanif8]dhcp relay server-ip 12.1.1.2
[SW1]interface Vlanif 9
[SW1-Vlanif9]ip address 192.168.9.1 24  
[SW1-Vlanif9]dhcp select relay
[SW1-Vlanif9]dhcp relay server-ip 12.1.1.2
[SW1]interface g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 8
[SW1]interface g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type trunk
[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 9

[SW2]vlan 8
[SW2-vlan8]quit
[SW2]interface g0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 8
[SW2]port-group pg1
[SW2-port-group-pg1]group-member Ethernet 0/0/1 to Ethernet 0/0/22
[SW2-port-group-pg1]port link-type access
[SW2-port-group-pg1]port default vlan 8
[SW2-port-group-pg1]stp edged-port enable

[SW3]vlan 9
[SW3-vlan9]quit
[SW3]interface g0/0/1
[SW3-GigabitEthernet0/0/1]port link-type trunk
[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 9
[SW3]port-group pg1
[SW3-port-group-pg1]group-member Ethernet 0/0/1 to Ethernet 0/0/22
[SW3-port-group-pg1]port link-type access
[SW3-port-group-pg1]port default vlan 9
[SW3-port-group-pg1]stp edged-port enable

7. DHCP snooping

在接入交换机中配置

[SW2]dhcp enable
[SW2]dhcp snooping enable
[SW2]int GigabitEthernet0/0/1
[SW2-GigabitEthernet0/0/1]dhcp snooping enable
[SW2-GigabitEthernet0/0/1]dhcp snooping trusted //将上联口设置为信任接口（默认所有接口都是非信任口）

8. DHCP安全防护

①dhcp snooping用于防止dhcp饿死攻击，在【接入交换机】用户连接接口开启dhcp-chaddr检查

攻击者持续大量申请IP地址，dhcp服务器对dhcp request报文源MAC地址与CHADDR进行一致性检查，发现不一致，则丢弃报文。

[SW2]int Ethernet 0/0/1
[SW2-Ethernet0/0/1]dhcp snooping enable
[SW2-Ethernet0/0/1]dhcp snooping check dhcp-chaddr enable

②dhcp snooping用于防止dhcp中间人攻击

[SW2]dis dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - map vlan 
IP Address       MAC Address     VSI/VLAN(O/I/P) Interface      Lease           
--------------------------------------------------------------------------------
192.168.8.251    5489-98d8-6505  8   /--  /--    Eth0/0/1       2024.02.17-13:06
192.168.8.250    5489-988d-1ee3  8   /--  /--    Eth0/0/2       2024.02.17-13:10
--------------------------------------------------------------------------------
print count:           2          total count:           2   
[SW2]user-bind static ip-address 192.168.8.8 mac-address 5489-98d8-6504 interfac
e Ethernet 0/0/4 vlan 8
Info: 1 static user-bind item(s) added.//手动添加dhcp snooping 绑定表

如果需要使用上面所描述的防止snooping IP/MAC攻击（进而防止中间人）的方法，需要在接入交换机系统视图下执行配置命令arp dhcp-snooping-detect enable

③DHCP Snooping与IPSG技术联动

网络中经常会存在针对源IP地址进行欺骗的攻善行为，例如，攻击者仿冒合法用户的IP地址来向服务器发送IP报文。针对这类攻击，相应的防范技术称为IPSG ( IPSource Guard )技术。交换机使能IPSG功能后，会对进入交换机端口的报文进行合法性检查，并对报文进行过滤（如果合法，则转发;如果非法，则丢弃)。

报文的检查项可以是源IP地址、源MAC地址、VLAN和物理端口号的若干种组合。例如，在交换机的端口视图下可支IP+MAC、IP+VLAN、IP+MAC+VLAN等组合检查，在交换机的VLAN视图下可支持:IP+MAC、IP+物理端口号、IP+MAC+物理端口号等组合检查。

关键配置命令:在交换机的端口视图下或VLAN视图下执行配置命令ip sourcecheck user-bind enable (默认mac ip 等全部开启合法性检查)

[SW2-Ethernet0/0/1]ip source check user-bind enable //默认全开启检测
[SW2-Ethernet0/0/1]ip source check user-bind check-item ?
  ip-address   IP address 
  mac-address  MAC address 
  vlan         Virtual LAN 
[SW2-Ethernet0/0/1]ip source check user-bind check-item ip-address mac-address //手动指定，不配置默认ip,mac,vlan都检测
[SW2-Ethernet0/0/1]dis this
interface Ethernet0/0/1
 port link-type access
 port default vlan 8
 stp edged-port enable
 ip source check user-bind enable
 ip source check user-bind check-item ip-address mac-address
 dhcp snooping enable
 dhcp snooping check dhcp-chaddr enable
[SW2]vlan 8
[SW2-vlan8]ip source check user-bind enable //默认全开启检测
[SW2-vlan8]ip source check user-bind check-item ?
  interface    Interface 
  ip-address   IP address 
  mac-address  MAC address 
[SW2-vlan8]ip source check user-bind check-item ip-address mac-address
[SW2-vlan8]dis this
vlan 8
 ip source check user-bind enable
 ip source check user-bind check-item ip-address mac-address

④禁止用户手动配置静态IP地址，防止IP冲突（模拟器不支持）

利用dhcp snooping 建立ip-mac-接口 的检查映射表项（适合用户采用动态ip获取的方式）

接入交换机：

该表是一个动态表，插拔接口或者重新获取地址，该表都会被刷新。

注意：该映射表是交换机通过窥探dhcp报文而建立的映射表

int e0/0/1 //连接用户的接口
ip source check user-bind enable //开启ip源地址检查功能

此时如果用户手动配置静态地址，由于接口没有映射，此时交换机会直接将报文丢弃。（模拟器不支持）

使用user-bind static 静态建立ip-mac-接口 检查表项（这种方法适用于企业静态给用户配置ip地址的情况），防止用户私自修改地址。

[]user-bind static ip-address 192.168.31.7 mac-address 0021-cccf-1d28 intereface Ethernet 0/0/2
[]interface Ethernet 0/0/2
   ip source check user-bind enable

接口e0/0/2的pc只能是192.168.31.7 mac是0021-cccf-1d28才可以通过e0/0/2口，若ip和mac不匹配则报文将被直接丢弃。

⑤dhcp snooping绑定表自动备份

dhcp snooping user-bind autosave命令用来使能DHCP Snooping绑定表的本地自动备份功能，默认情况下DHCP Snooping绑定表在交换机内存中，重启后会丢失。或者在交换机接口down/up过程中重新获取。

命令格式：dhcp snooping user-bind autosave file-name [write-delay delay-time]

参数说明：

参数	参数说明	取值
file-name	指定DHCP Snooping绑定表自动备份的文件路径及文件名，必须同时输入当前设备支持的文件路径和文件名。	字符串形式，不支持空格，不区分大小写，长接范围是1~51
write-delay delay-time	指定DHCP Snooping定表自动备份周期。若不选绎该参数，则备份周期为缺省值。	整数形式，取值范国是60~4294967295，单位为秒。缺省情况下，系统每隔一天自动备份一次DHCP Snooping绑定表

[]dhcp enable
[]dhcp snooping enable
[]dhcp snooping user-bind autosave flash:/backup.tbl write-delay 5000

⑥思考题

1. DHCP客户端向DHCP Server进行续租时会发送哪种报文?(C)
   A.DHCP Discover ， B. DHCP Offer ，C. DHCP Request ，D. DHCP Ack

2. DHCP常见攻击分为哪几种?()
   答案:DHCP饿死攻击、仿冒DHCP Server攻击、DHCP中间人攻击。

9. 华为HCIP试题讲解-DHCP

1. DHCP服务器分配给客户端的动态IP地址。通常有一定的租借期限，那么关于租借期限的描述，错误的是:(C)
   A、租期更新定时器为总租期的50%，当“租期更新定时器”到期时，DHCP客户端必须进行IP地址的更新。
   B、重绑定定时器为总租期的87.5%。
   C、若“重绑定定时器”到期，但客户端还没有收到服务器的响应，则会一直发送DHCP REQUEST报文给之前分配过的IP地址的DHCP服务器，直到总租期到期。
   D、在租借期限内，如果客户端收到DHCP NAK报文，客户端就会立即停止使用此IP地址，并返回到初始化状态，重新申请新的IP地址。

2. 针对不同的需求，DHCP服务器支持多种类型的地址分配策略，其中不包括:(C)
   A、自动分配方式，B、动态分配方式，C、重复分配方式，D、手工分配方式

3. 中间人攻击或IP/MAC Spoofing(欺骗)攻击都会导致信息泄漏等危害。为了防止中间人攻击或IP/MAC Spoofing 攻击，可以采取的配置方法有:(D)
   A、配置trust/untrust接口，B、限制交换机接口上允许学习到的最多MAC地址数目，C、开启DHCP Snooping检查DHCP REQUEST报文中 CHADDR字段的功能，D、在交换机.上配置DHCP snooping域DAI或IPSG讲行联动。

4. 在客户端通过DHCP申请IP地址，和 DHCP server分配IP地址的过程中，以下哪些报文通常是单播方式?（AD）
   A、DHCP OFFER，B DHCP REQUEST，C、DHCP DISCOVER，D、DHCP ACK

5. DHCP协议运行过程中，客户端从申请到IP地址时的流程是: （C）
   1主机发送 DHCP request请求IP地址。
   2server发送DHCP OFFER报文响应。
   3主机发送DHCP discover报文寻找 DHCPServer。
   4Server收到请求后回应ACK响应请求。
   A、1-2-3-4，B、1-4-3-2，C、 3-2-1-4，D、3-4-1-2

6. DHCP relay又称为DHCP中继，下列关于DHCP relay的说法正确的是:(AC)
   A、DHCP协议多采用广播报文，如果出现多个子网则无法穿越，所以需要DHCP relay设备。
   B、DHCP relay一定是一台交换机或者路由器。
   C、DHCP relay设备可以是一台主机。
   D、DHCP relay不改变报文内容，报文原样转发。

7. DHCP Snooping是一种 DHCP安全特性，可以用于防御多种攻击，其中包括:(ABD)
   A防御改变CHADDR值的饿死攻击
   B防御DHCP仿冒者攻击
   C防御TCPflag攻击,
   D防御中间人攻击和IP/MACSpoofing攻击

8. DHCP Server即 DHCP服务器,负责客户端IP地址的分配,在配置DHCP Server时，需要包括以下哪些步骤(ACD)
   A全局使能DHCP功能
   B配置DHCP的option82选项.
   C采用全局地址池的DHCP服务器模式时，配置全局地址池
   D采用端口地址池的DHCP服务器模式时，配置端口地址池。

9. 在DHCP运行过程中，会交互多种报文类型，那么下列哪些报文不是从客户端发往服务器的?(A)
   A、DHCP NAK，B、DHCP REQUEST，C、DHCP DISCOVER，D、DHCP RELEASE

10. 对于该配置说法正确的是:(多选)(ABCD)

    [Quidway] dhcp enable
    [Quidway] interface vlanif 10
    [Quidway-Vlanif10] ip address 10.1.1.1.255.255.255.128
    [Quidway-Vlanif10] dhcp select global
    [Quidway-Vlanif10]quit
    [Quidway] dhcp server ping packets 10

    A、该段命令是用来配置启用DHCP服务的。
    B、该命令是配置VLANIF10接口下的客户端都从全局地址池中获取IP地址。
    C、接口地址池优先于全局地址池分配地址，即若接口上存在接口地址池，即使全局地址池也存在，客户端也会优先从接口地址池中获取地址。
    D、DHCP服务器发送ping报文的最大数目为10。
    E、DHCP服务器接收ping报文的最大数目为10。

11. DHCP Relay又称为DHCP中继，如果需要配置DHCP relay，那么需要包括以下哪些步骤?(ABC)
    A配置DHCP服务器组的组名
    B配置DHCP服务器组中DHCP服务器IF(接口)地址。
    C配置启动DHCP relay 功能的接口编号接口的IP地址。
    D配置option82插入功能。

12. DHCP绑定表可以包含以下哪些信息:(ABC)。
    A MAC地址。
    B IP地址
    C 相约时间
    D 端口和UDP端口。

13. DHCP Snooping是一种 DHCP的安全特性，关于DHCP Snooping 的说法，下列描述错误的是:（C）
    A DHCP Snooping绑定表分为动态绑定表和静态绑定表。
    B DHCP Snooping区分信任端口和非信任端口，对非信任端口，不处理DHCP reply报文。
    C 静态绑定表在报文入端口手工输入，也可以手工设置表项老化时间。
    D 在二层上应用DHCP Snooping，不配置Option82功能也可以获得绑定表所需的接口信息。

14. 针对不同的应用场景，DHCP服务器有不同的地址分配方式，当在给一台临时连续网络的主机分配地址，或者在一组不需要永久IP地址的主机中，共享一组有限的IP地址时，DHCP服务器应该选用下列哪种地址分配方式?（B）
    A自动分配方式.
    B动态分配方式。
    C手工分配方式
    D手工和动态分配两种方式都可以

15. DHCP中不同报文类型实现了不同的功能，DHCP OFFER报文的作用是:(B)
    A 由客户端广播来查找可用服务器
    B 服务器用来响应客户端的DHCP DISCOVER报文，并指定响应的配置参数。
    C 由客户端发送给服务器来请求配置参数或者请求配置确认或者续借租期。
    D 由服务器发往客户端，且该报文中的配置参数包括IP地址等信息。

16. 关于DHCP地址池的描述，正确的是（AC)。
    A配置基于全局地址池的地址分配方式，可以响应所有端口接收到 DHCP请求.
    B只有在配置基于全局地址池的地址分配方式，才可以设置不参与自动分配的IP地址范围.
    C配置基于接口的地址分配方式，只会响应该接口的DHCP请求.
    D配置基于接口的地址分配方式，可以响应所有端口接收到DHCP请求.

17. DHCP会面对很多安全威胁的原因(ABD)。
    A、中间人利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP的客户端和服务器
    B、DHCP Server无法区分什么样的CHADDR是合法的，什么样的 CHADDR是非法的
    C、DHCP动态分配IP地址的响应时间长
    D、由于DHCP发现报文(DHCPDISCOVER）以广播形式发送

18. 在 DHC协议运行过程中,哪些情况会用DHCP REQUEST报文?(ACD)。
    A、客户端初始化后拔送广播的 DHCP REQUEST 报文来回应服务器的 DHCP OFER报文
    B、当客户端发现服务器分配给它的IP地址发生冲突时会通过发送此报文来通知服务器,并且会重新向服务器申请地址
    C、当客户端已经和某个Р地址绑定后,发送 DHCP REQUEST报文来更新Р地址的租约.
    D、客户端重启后,发送广播的DHCP REQUEST报文来确认先前被分配的IP地址等配置信息

四、VRRP+MSTP

1. STP总结回归

以太网交换网络中为了进行链路备份，提高网络可靠性，通常会使用冗余链路。但是使用冗余链路会在交换网络上产生环路，引发广播风暴以及MAC地址表不稳定等故障现象，从而导致用户通信质量较差，甚至通信中断。为解决交换网络中的环路问题，提出了生成树协议STP(Spanning Tree Protocol)。

运行STP协议的设备通过彼此交互信息发现网络中的环路，并有选择的对某个接口进行阻塞，最终将环形网络结构修剪成无环路的树形网络结构，从而防止报文在环形网络中不断循环，避免设备由于重复接收相同的报文造成处理能力下降。

RSTP(Rapid Spanning Tree Protocol)协议基于STP协议，对原有的STP协议进行了更加细致的修改和补充，实现了网络拓扑快速收敛。

stp计算步骤:
①选根桥:桥id最小的，优先级+MAc，根桥上的接口都是Dp

②非根桥上选根端口:到达根桥最“近"接口(必须选，只能选一个)

③每段链路选指定端口:每段链路有且仅有一个DP

stp端口角色:

①DP指定接口，②RP根端口，③AP预备端口（阻塞接口block）

stp端口状态:

①disabled，②blocking，③listening，④learning，⑤forwarding

Rstp端口角色:

①DP指定接口，②RP根端口，③AP，④BP ( backup)

rstp端口状态：

①discarding，②learning，③forwarding

RP:Root port

DP:Designated port

AP:Alternate Port

BP:Backup port

PK五要素(比较向量):

①Root BID

②RPC :到达根路径开销

③发送者BID

④发送者PID（端口ID)

⑤接收者PID

[SW1]dis stp
-------[CIST Global Info][Mode MSTP]-------
CIST Bridge         :32768.4c1f-ccab-24a4
Config Times        :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
Active Times        :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC      :32768.4c1f-cc15-0c8c / 20000
CIST RegRoot/IRPC   :32768.4c1f-ccab-24a4 / 0
CIST RootPortId     :128.2
BPDU-Protection     :Disabled
TC or TCN received  :72
TC count per hello  :0
STP Converge Mode   :Normal 
Time since last TC  :0 days 0h:2m:33s
Number of TC        :26
Last TC occurred    :GigabitEthernet0/0/2
----[Port1(GigabitEthernet0/0/1)][DISCARDING]----
 Port Protocol       :Enabled
 Port Role           :Alternate Port
 Port Priority       :128
 Port Cost(Dot1T )   :Config=auto / Active=20000
 Designated Bridge/Port   :32768.4c1f-cc27-1f6e / 128.1
 Port Edged          :Config=default / Active=disabled
 Point-to-point      :Config=auto / Active=true
 Transit Limit       :147 packets/hello-time
 Protection Type     :None
 Port STP Mode       :MSTP 
 Port Protocol Type  :Config=auto / Active=dot1s
 BPDU Encapsulation  :Config=stp / Active=stp
 PortTimes           :Hello 2s MaxAge 20s FwDly 15s RemHop 20
 TC or TCN send      :3
 TC or TCN received  :39
 BPDU Sent           :6             
          TCN: 0, Config: 0, RST: 0, MST: 6
 BPDU Received       :4970             
          TCN: 0, Config: 0, RST: 0, MST: 4970
[SW1]dis stp brief
 MSTID  Port                        Role  STP State     Protection
   0    GigabitEthernet0/0/1        ALTE  DISCARDING      NONE
   0    GigabitEthernet0/0/2        ROOT  FORWARDING      NONE
[SW2]dis stp brief
 MSTID  Port                        Role  STP State     Protection
   0    GigabitEthernet0/0/1        DESI  FORWARDING      NONE
   0    GigabitEthernet0/0/2        DESI  FORWARDING      NONE
[SW3]dis stp brief
 MSTID  Port                        Role  STP State     Protection
   0    GigabitEthernet0/0/1        DESI  FORWARDING      NONE
   0    GigabitEthernet0/0/2        ROOT  FORWARDING      NONE

2. MSTP概述

可靠型企业网

①vrrp+mstp:传统，公有技术，造价小，技术复杂，管理难度大，旧网改造，老旧设备。

②堆叠技术：推荐，现代，造价高，技术简单，管理简单，私有技术，新建网络。

RSTP在STP基础上进行了改进，实现了网络拓扑快速收敛。但由于局域网内所有的VLAN共享一棵生成树，因此被阻塞后链路将不承载任何流量，无法在VLAN间实现数据流量的负载均衡，从而造成带宽浪费。

为了弥补STP和RSTP的缺陷，IEEE于2002年发布的802.1s标准定义了MSTP。MSTP兼容STP和RSTP，既可以快速收敛，又提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN数据的负载均衡。

1. 单生成树的弊端

2. MSTP基本原理

3. MSTP配置实现

3. MSTP原理与配置

MST域是多生成树域(Multiple Spanning Tree Region ) ，由交换网络中的多台交换设备以及它们之间的网段所构成。同一个MST域的设备具有下列特点︰

• 都启动了MSTP。
• 具有相同的域名。
• 具有相同的VLAN到生成树实例映射配置。
• 具有相同的MSTP修订级别配置。

注意：每个实例使用独立的RSTP算法。

注意1:VLAN映射表是MST域的属性，它描述了VLAN和MSTI之间的映射关系，MSTI可以与一个或多个VLAN对应，但一个VLAN只能与一个MSTI对应。

注意2∶MSTP兼容STP和RSTP，既可以快速收敛，又提供了数据转发的各个冗余路径，在数据转发过程中实现VLAN数据的负载均衡。

注意3:每个MSTI ( MST Instance )都有一个标识(MSTID) ,MSTID是一个两字节的整数。VRP平台支持16个MST Instance ,MSTID取值范围是0~15(软件升级之后取值范围0-48)，默认所有VLAN映射到MST Instance 0。

[SW2]vlan batch 2 to 5
[SW2]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/2
[SW2-port-group]port link-type trunk
[SW2-port-group]port trunk allow-pass vlan all
[SW3]vlan batch 2 to 5
[SW3]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/2
[SW3-port-group]port link-type trunk
[SW3-port-group]port trunk allow-pass vlan all
[SW1]vlan batch 2 to 5
[SW1]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/2
[SW1-port-group]port link-type trunk
[SW1-port-group]port trunk allow-pass vlan all
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 2
............

[SW2]dis stp region-configuration 
 Oper configuration
   Format selector    :0             
   Region name        :4c1fcc150c8c             
   Revision level     :0
   Instance   VLANs Mapped
      0       1 to 4094
[SW2]stp region-configuration
[SW2-mst-region]region-name aa
[SW2-mst-region]revision-level 1
[SW2-mst-region]instance 1 vlan 2 3
[SW2-mst-region]instance 2 vlan 4 5
[SW2-mst-region]active region-configuration
[SW2-mst-region]dis this
stp region-configuration //进入mstp配置界面
 region-name aa  //配置mstp域名
 revision-level 1  //配置修订号
 instance 1 vlan 2 to 3  //将vlan2、3映射到实例1
 instance 2 vlan 4 to 5  //将vlan4、5映射到实例2
 active region-configuration  //激活mstp配置
[SW1]stp region-configuration
[SW1-mst-region] region-name aa
[SW1-mst-region] revision-level 1
[SW1-mst-region] instance 1 vlan 2 to 3
[SW1-mst-region] instance 2 vlan 4 to 5
[SW1-mst-region] active region-configuration
[SW3]stp region-configuration
[SW3-mst-region] region-name aa
[SW3-mst-region] revision-level 1
[SW3-mst-region] instance 1 vlan 2 to 3
[SW3-mst-region] instance 2 vlan 4 to 5
[SW3-mst-region] active region-configuration

[SW2]stp instance 1 root primary 
[SW3]stp instance 1 root secondary 
[SW2]dis stp instance 1
-------[MSTI 1 Global Info]-------
MSTI Bridge ID      :0.4c1f-cc15-0c8c  //优先级0
MSTI RegRoot/IRPC   :0.4c1f-cc15-0c8c / 0
MSTI RootPortId     :0.0
MSTI Root Type      :Primary root
Master Bridge       :32768.4c1f-cc15-0c8c
Cost to Master      :0
TC received         :6
TC count per hello  :0
Time since last TC  :0 days 0h:2m:22s
Number of TC        :9
Last TC occurred    :GigabitEthernet0/0/2
[SW3]dis stp instance 1
-------[MSTI 1 Global Info]-------
MSTI Bridge ID      :4096.4c1f-cc27-1f6e //优先级4096
MSTI RegRoot/IRPC   :0.4c1f-cc15-0c8c / 20000
MSTI RootPortId     :128.2
MSTI Root Type      :Secondary root
Master Bridge       :32768.4c1f-cc15-0c8c  //默认优先级32768
Cost to Master      :20000
TC received         :5
TC count per hello  :0
Time since last TC  :0 days 0h:5m:15s
Number of TC        :6
Last TC occurred    :GigabitEthernet0/0/1

[SW3]stp instance 2 root primary
[SW2]stp instance 2 root secondary
[SW2]dis stp instance 2
-------[MSTI 2 Global Info]-------
MSTI Bridge ID      :4096.4c1f-cc15-0c8c
MSTI RegRoot/IRPC   :0.4c1f-cc27-1f6e / 20000
MSTI RootPortId     :128.2
MSTI Root Type      :Secondary root
Master Bridge       :32768.4c1f-cc15-0c8c
Cost to Master      :0
TC received         :17
TC count per hello  :0
Time since last TC  :0 days 0h:1m:5s
Number of TC        :17
Last TC occurred    :GigabitEthernet0/0/2
[SW3]dis stp instance 2
-------[MSTI 2 Global Info]-------
MSTI Bridge ID      :0.4c1f-cc27-1f6e
MSTI RegRoot/IRPC   :0.4c1f-cc27-1f6e / 0
MSTI RootPortId     :0.0
MSTI Root Type      :Primary root
Master Bridge       :32768.4c1f-cc15-0c8c
Cost to Master      :20000
TC received         :20
TC count per hello  :0
Time since last TC  :0 days 0h:1m:30s
Number of TC        :14
Last TC occurred    :GigabitEthernet0/0/2

[SW1]dis stp brief
 MSTID  Port                        Role  STP State     Protection
   0    GigabitEthernet0/0/1        ALTE  DISCARDING      NONE
   0    GigabitEthernet0/0/2        ROOT  FORWARDING      NONE
   0    GigabitEthernet0/0/3        DESI  FORWARDING      NONE
   0    GigabitEthernet0/0/4        DESI  FORWARDING      NONE
   0    GigabitEthernet0/0/5        DESI  FORWARDING      NONE
   0    GigabitEthernet0/0/6        DESI  FORWARDING      NONE
   1    GigabitEthernet0/0/1        ALTE  DISCARDING      NONE
   1    GigabitEthernet0/0/2        ROOT  FORWARDING      NONE
   1    GigabitEthernet0/0/3        DESI  LEARNING        NONE
   1    GigabitEthernet0/0/4        DESI  DISCARDING      NONE
   2    GigabitEthernet0/0/1        ROOT  FORWARDING      NONE
   2    GigabitEthernet0/0/2        ALTE  DISCARDING      NONE
   2    GigabitEthernet0/0/5        DESI  FORWARDING      NONE
   2    GigabitEthernet0/0/6        DESI  FORWARDING      NONE

[SW1]dis stp region-configuration 
 Oper configuration
   Format selector    :0             
   Region name        :aa             
   Revision level     :1
   Instance   VLANs Mapped
      0       1, 6 to 4094
      1       2 to 3
      2       4 to 5

4. VRRP概述

VRRP:虚拟网关冗余协议Virtual Router Redundancy Protocol。三层网关冗余技术。对用户的网关做冗余，以提升网络的稳定性。

局域网中的用户终端通常采用配置一个默认网关的形式访问外部网络，如果此时默认网关设备发生故障，将中断所有用户终端的网络访问，这很可能会给用户带来不可预计的损失，所以可以通过部署多个网关的方式来解决单点故障问题，那么如何让多个网关能够协同工作但又不会互相冲突就成了最迫切需要解决的问题。

于是VRRP应运而生，它既可以实现网关的备份，又能解决多个网关之间互相冲突的问题。那么VRRP的工作原理是如何实现的?在网络中又该如何配置呢?

VRRP能够在不改变组网的情况下，将多台路由器虚拟成一个虚拟路由器，通过配置虚拟路由器的IP地址为默认网关，实现网关的备份。

协议版本:VRRPv2(常用）和VRRPv3:VRRPv2仅适用于IPv4网络，VRRPv3适用于IPv4和IPv6两种网络。

VRRP协议报文:只有一种报文:Advertisement报文;其目的IP地址是224.0.0.18，目的MAC地址是01-00-5e-00-00-12，协议号是112。

5. VRRP主备备份

[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 12.1.1.1 24
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.10.254
[R1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.10.1
[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 105
[R1-GigabitEthernet0/0/0]vrrp vrid 1 preempt-mode timer delay 30 //主网关从故障状态恢复为master，延迟30恢复
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip address 23.1.1.1 24
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.10.253
[R2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.10.1

[R1]dis vrrp brief 
Total:1     Master:1     Backup:0     Non-active:0      
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
1     Master       GE0/0/0                  Normal   192.168.10.1  
[R2]dis vrrp brief 
Total:1     Master:0     Backup:1     Non-active:0      
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
1     Backup       GE0/0/0                  Normal   192.168.10.1 

注意1:Priority:设备在备份组中的优先级，取值范围是0～255。0表示设备停止参与VRRP备份组，用来使备份设备尽快成为Master设备，而不必等到计时器超时;255则保留给IP地址拥有者，无法手工配置;设备缺省优先级值是100。

注意2:IP地址拥有者（IP Address Owner ):如果一个VRRP设备将真实的接口IP地址配置为虚拟路由器IP地址，则该设备被称为IP地址拥有者。如果IP地址拥有者是可用的，则它将一直成为Master。

关于优先级∶0和255

VRRP优先级的取值范围为0到255（数值越大表明优先级越高），可配置的范围是1到254，优先级0为系统保留给路由器主动放弃Master位置时候使用，255则是系统保留给IP地址拥有者使用。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同，则该VRRP路由器被称为该IP地址的所有者;lP地址所有者自动具有最高优先级:255。因此，当备份组内存在IP地址拥有者时，只要其工作正常，则为Master路由器。

注意:优先级的范围0-255，可手动配置的优先级范围1-254

注意3∶虚拟MAC地址(Virtual MAC Address )︰虚拟路由器根据vrid生成的MAC地址。一个虚拟路由器拥有一个虚拟MAC地址，格式为∶00-00-5E-00-01-{vrid}

6. VRRP联动BFD

[R1-GigabitEthernet0/0/0]dis this
interface GigabitEthernet0/0/0
 ip address 192.168.10.254 255.255.255.0 
 vrrp vrid 1 virtual-ip 192.168.10.1
 vrrp vrid 1 priority 105
 vrrp vrid 1 preempt-mode timer delay 30
 vrrp vrid 1 track interface GigabitEthernet0/0/1  //上联接口down时，优先级自动默认减10

[R1-GigabitEthernet0/0/0]vrrp vrid 1 track interface GigabitEthernet 0/0/1 reduced ?
  INTEGER<1-255>  Reduced or increased value of priority

[R1-GigabitEthernet0/0/0]undo vrrp vrid 1 track interface GigabitEthernet 0/0/1
[R1]bfd
[R1-bfd]quit
[R1]bfd aa bind peer-ip 12.1.1.2 source-ip 12.1.1.1 auto
[R1-bfd-session-aa]commit
[R1-GigabitEthernet0/0/0]vrrp vrid 1 track bfd-session session-name aa
[R3]bfd
[R3-bfd]quit
[R3]bfd aa bind peer-ip 12.1.1.1 source-ip 12.1.1.2 auto
[R3-bfd-session-aa]commit

7. VRRP负载分担

[SW2-Vlanif2]dis this
interface Vlanif2
 ip address 192.168.2.254 255.255.255.0
 vrrp vrid 2 virtual-ip 192.168.2.1
 vrrp vrid 2 priority 105
 vrrp vrid 2 track interface GigabitEthernet0/0/2
[SW2-Vlanif3]dis this
interface Vlanif3
 ip address 192.168.3.254 255.255.255.0
 vrrp vrid 3 virtual-ip 192.168.3.1
 vrrp vrid 3 priority 105
 vrrp vrid 3 track interface GigabitEthernet0/0/2
[SW2-Vlanif4]dis this
interface Vlanif4
 ip address 192.168.4.254 255.255.255.0
 vrrp vrid 4 virtual-ip 192.168.4.1
[SW2-Vlanif5]dis this
interface Vlanif5
 ip address 192.168.5.254 255.255.255.0
 vrrp vrid 5 virtual-ip 192.168.5.1
[SW3-Vlanif2]dis this
interface Vlanif2
 ip address 192.168.2.253 255.255.255.0
 vrrp vrid 2 virtual-ip 192.168.2.1
[SW3-Vlanif3]dis this
interface Vlanif3
 ip address 192.168.3.253 255.255.255.0
 vrrp vrid 3 virtual-ip 192.168.3.1
[SW3-Vlanif4]dis this
interface Vlanif4
 ip address 192.168.4.253 255.255.255.0
 vrrp vrid 4 virtual-ip 192.168.4.1
 vrrp vrid 4 priority 105
 vrrp vrid 4 track interface GigabitEthernet0/0/2
[SW3-Vlanif5]dis this
interface Vlanif5
 ip address 192.168.5.253 255.255.255.0
 vrrp vrid 5 virtual-ip 192.168.5.1
 vrrp vrid 5 priority 105
 vrrp vrid 5 track interface GigabitEthernet0/0/2

[SW2]dis vrrp brief
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
2     Master       Vlanif2                  Normal   192.168.2.1    
3     Master       Vlanif3                  Normal   192.168.3.1    
4     Backup       Vlanif4                  Normal   192.168.4.1    
5     Backup       Vlanif5                  Normal   192.168.5.1    
----------------------------------------------------------------
Total:4     Master:2     Backup:2     Non-active:0   
[SW3]dis vrrp brief
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
2     Backup       Vlanif2                  Normal   192.168.2.1    
3     Backup       Vlanif3                  Normal   192.168.3.1    
4     Master       Vlanif4                  Normal   192.168.4.1    
5     Master       Vlanif5                  Normal   192.168.5.1    
----------------------------------------------------------------
Total:4     Master:2     Backup:2     Non-active:0   

8. MSTP+VRRP(上)

[Hexin_1]stp region-configuration
[Hexin_1-mst-region]region-name aa
[Hexin_1-mst-region]instance 1 vlan 2 3
[Hexin_1-mst-region]instance 2 vlan 4 5
[Hexin_1-mst-region]active region-configuration
------------------
[Hexin_2-Vlanif800]quit
[Hexin_2]stp region-configuration
[Hexin_2-mst-region] region-name aa
[Hexin_2-mst-region] revision-level 1
[Hexin_2-mst-region] instance 1 vlan 2 to 3
[Hexin_2-mst-region] instance 2 vlan 4 to 5
[Hexin_2-mst-region] active region-configuration
----------------------
[Jieru_1]stp region-configuration
[Jieru_1-mst-region] region-name aa
[Jieru_1-mst-region] revision-level 1
[Jieru_1-mst-region] instance 1 vlan 2 to 3
[Jieru_1-mst-region] instance 2 vlan 4 to 5
[Jieru_1-mst-region] active region-configuration
---------------------
[Jieru_2]stp region-configuration
[Jieru_2-mst-region] region-name aa
[Jieru_2-mst-region] revision-level 1
[Jieru_2-mst-region] instance 1 vlan 2 to 3
[Jieru_2-mst-region] instance 2 vlan 4 to 5
[Jieru_2-mst-region] active region-configuration
--------------------
[Hexin_1]stp instance 1 root primary 
[Hexin_1]stp instance 2 root secondary
[Hexin_2]stp instance 1 root secondary 
[Hexin_2]stp instance 2 root primary

[Jieru_1-Ethernet0/0/1]dis stp brief
 MSTID  Port                        Role  STP State     Protection
   0    Ethernet0/0/1               DESI  FORWARDING      NONE
   0    Ethernet0/0/2               DESI  FORWARDING      NONE
   0    Ethernet0/0/4               DESI  FORWARDING      NONE
   1    Ethernet0/0/1               ROOT  FORWARDING      NONE
   1    Ethernet0/0/2               ALTE  DISCARDING      NONE
   1    Ethernet0/0/4               DESI  FORWARDING      NONE
   2    Ethernet0/0/1               ALTE  DISCARDING      NONE
   2    Ethernet0/0/2               ROOT  FORWARDING      NONE
------------------------
[Jieru_2]dis stp brief
 MSTID  Port                        Role  STP State     Protection
   0    Ethernet0/0/1               ALTE  DISCARDING      NONE
   0    Ethernet0/0/2               ROOT  FORWARDING      NONE
   0    Ethernet0/0/3               DESI  FORWARDING      NONE
   0    Ethernet0/0/4               DESI  FORWARDING      NONE
   1    Ethernet0/0/1               ALTE  DISCARDING      NONE
   1    Ethernet0/0/2               ROOT  FORWARDING      NONE
   2    Ethernet0/0/1               ROOT  FORWARDING      NONE
   2    Ethernet0/0/2               ALTE  DISCARDING      NONE
   2    Ethernet0/0/3               DESI  FORWARDING      NONE
   2    Ethernet0/0/4               DESI  FORWARDING      NONE

9. MSTP+VRRP(下)

[Hexin_1]int vlanif 2
[Hexin_1-Vlanif2]ip address 192.168.2.254 24
[Hexin_1-Vlanif2]int vlanif 3
[Hexin_1-Vlanif3]ip address 192.168.3.254 24
[Hexin_1-Vlanif3]int vlanif 4
[Hexin_1-Vlanif4]ip address 192.168.4.254 24
[Hexin_1-Vlanif4]int vlanif 5
[Hexin_1-Vlanif5]ip address 192.168.5.254 24
------------------
[Hexin_2]int vlanif 2
[Hexin_2-Vlanif2]ip address 192.168.2.253 24
[Hexin_2-Vlanif2]int vlanif 3
[Hexin_2-Vlanif3]ip address 192.168.3.253 24
[Hexin_2-Vlanif3]int vlanif 4
[Hexin_2-Vlanif4]ip address 192.168.4.253 24
[Hexin_2-Vlanif4]int vlanif 5
[Hexin_2-Vlanif5]ip address 192.168.5.253 24
-----------------
[Hexin_1]int vlanif 2
[Hexin_1-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.1
[Hexin_1-Vlanif2]vrrp vrid 2 priority 105
[Hexin_1-Vlanif2]int vlanif 3
[Hexin_1-Vlanif3]vrrp vrid 3 virtual-ip 192.168.3.1
[Hexin_1-Vlanif3]vrrp vrid 3 priority 105
[Hexin_1-Vlanif3]int vlanif 4
[Hexin_1-Vlanif4]vrrp vrid 4 virtual-ip 192.168.4.1
[Hexin_1-Vlanif4]int vlanif 5
[Hexin_1-Vlanif5]vrrp vrid 5 virtual-ip 192.168.5.1
-----------------
[Hexin_2]int vlanif 2
[Hexin_2-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.1
[Hexin_2]int vlanif 3
[Hexin_2-Vlanif3]vrrp vrid 3 virtual-ip 192.168.3.1
[Hexin_2-Vlanif3]int vlanif 4
[Hexin_2-Vlanif4]vrrp vrid 4 virtual-ip 192.168.4.1
[Hexin_2-Vlanif4]vrrp vrid 4 priority 105
[Hexin_2-Vlanif4]int vlanif 5
[Hexin_2-Vlanif5]vrrp vrid 5 virtual-ip 192.168.5.1
[Hexin_2-Vlanif5]vrrp vrid 5 priority 105

[Hexin_1]dis vrrp brief
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
2     Master       Vlanif2                  Normal   192.168.2.1    
3     Master       Vlanif3                  Normal   192.168.3.1    
4     Backup       Vlanif4                  Normal   192.168.4.1    
5     Backup       Vlanif5                  Normal   192.168.5.1    
----------------------------------------------------------------
Total:4     Master:2     Backup:2     Non-active:0   
[Hexin_2]dis vrrp brief
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
2     Backup       Vlanif2                  Normal   192.168.2.1    
3     Backup       Vlanif3                  Normal   192.168.3.1    
4     Master       Vlanif4                  Normal   192.168.4.1    
5     Master       Vlanif5                  Normal   192.168.5.1    
----------------------------------------------------------------
Total:4     Master:2     Backup:2     Non-active:0  

[Hexin_1]int vlanif 2
[Hexin_1-Vlanif2]vrrp vrid 2 track interface GigabitEthernet 0/0/6
[Hexin_1-Vlanif2]vrrp vrid 2 track interface GigabitEthernet 0/0/1
[Hexin_1]int vlanif 3
[Hexin_1-Vlanif3]vrrp vrid 3 track interface GigabitEthernet 0/0/6
[Hexin_1-Vlanif3]vrrp vrid 3 track interface GigabitEthernet 0/0/1
----------------------------
[Hexin_2]int vlanif 4
[Hexin_2-Vlanif4]vrrp vrid 4 track interface GigabitEthernet 0/0/6
[Hexin_2-Vlanif4]vrrp vrid 4 track interface GigabitEthernet 0/0/4
[Hexin_2]int vlanif 5
[Hexin_2-Vlanif5]vrrp vrid 5 track interface GigabitEthernet 0/0/6
[Hexin_2-Vlanif5]vrrp vrid 5 track interface GigabitEthernet 0/0/4

[Hexin_1]ospf 1
[Hexin_1-ospf-1]area 0
[Hexin_1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[Hexin_1-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[Hexin_1-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
[Hexin_1-ospf-1-area-0.0.0.0]network 192.168.5.0 0.0.0.255
[Hexin_1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255
-------------------------
[Hexin_2]ospf 1
[Hexin_2-ospf-1]area 0
[Hexin_2-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[Hexin_2-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[Hexin_2-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
[Hexin_2-ospf-1-area-0.0.0.0]network 192.168.5.0 0.0.0.255
[Hexin_2-ospf-1-area-0.0.0.0]network 23.1.1.0 0.0.0.255
------------------------
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 23.1.1.0 0.0.0.255
----------------------
[Hexin_1]ip route-static 0.0.0.0 0 12.1.1.1
[Hexin_1]ip route-static 0.0.0.0 0 23.1.1.1 preference 65
[Hexin_2]ip route-static 0.0.0.0 0 23.1.1.1
[Hexin_2]ip route-static 0.0.0.0 0 12.1.1.1 preference 65

//保证数据来回路径一致
[Hexin_1]int vlanif 4
[Hexin_1-Vlanif4]ospf cost 4
[Hexin_1]int vlanif 5
[Hexin_1-Vlanif5]ospf cost 4
[Hexin_2]int vlanif 2
[Hexin_2-Vlanif2]ospf cost 4
[Hexin_2-Vlanif2]int vlanif 3
[Hexin_2-Vlanif3]ospf cost 4

10. 华为HCIP试题讲解④MSTP+VRRP

1. MSTP解决了很多RSTP和STP单个生成树的缺陷，关于MSTP的说法，正确的是:（D）
   A、每个MST Instance都使用单独的STP算法，计算单独的生成树。
   B、每一个MST Instance都有一个标识(MSTID)，MSTID是一字节的整数。
   C、默认所有VLAN映射到MST lnstance 1。
   D、MSTP允许将一个或多个VLAN映射到一个多生成树实例(MST Instance）上,MSTP为每个MST Instance单独计算根交换机，单独设置端口状态。

2. MSTP又称为多生成树协议，通过MSTP 协议能够解决单生成树网络中的哪些问题?（ABC)
   A部分VLAN路径不通。
   B无法使用流量分担。
   C次优二层路径。
   D提高业务可靠性。

3. 在MSTP协议中，每个MST Instance都单独使用RSTP算法，计算单独的生成树。（A）
   A、正确，B、错误

4. 关于此段配置，描述正确的是:(ABE)

    [SwA]stp mode mstp
    [SWA]stp region-configuration
    [SwA-mst-region]region-name RegionA
    [SWA-mst-region]revision-level 1
    [SWA-mst-region]instance 1 vlan 2
    [SWA-mst-region]instance 2 vlan 3
    [SWA-mst-region]active region-configuration

   A、stp mode mstp命令是用来启用交换机的MSTP特性，缺省情况下，交换的MSTP是开启状态。
   B、region-name RegionA该命令是配置交换机的MST域名，缺省情况下，交换机的MST域名为交换机的MAC地址。
   C、revision-level 1用来配置MSTP修订级别，该取值范围为0-65535。缺省情况下，MSTP修订级别取值为1 。
   D、instance 2 vlan 3用来将vlan 3映射到MST instance 2上。缺省所有vlan映射到instance 1上。

5. VRRP的IP地址和虚拟IP地址可以相同。(A)
   A、正确，B、错误

6. 关于VRRP的描述错误的是:（D）
   A VRRP组中的路由器根据优先级选举出Master.
   B Master路由器通过发送免费ARP报文，将自己的虚拟MAC地址通知给与它连接的设备或主机
   c 如果Master路由器出现故障，虚拟路由器中的Backup路由器将根据优先级重新选举新的Master.
   D 因为优先级的范围为1-255，所以当backup设备收到的VRRP通告报文中的优先级值为0时，backup将丢弃该报文，不作任何处理。

7. 配置VRRP抢占时延的命令是:（B）
   A、vrrp vrid 1 preempt-timer 20
   B、vrrp vrid 1 preempt-mode timer delay 20
   C、vrrp vrid 1timer delay 20
   D、vrrp vrid 1 preempt-delay 20

8. VRRP报文的IP协议号是:（A）
   A、112，B、114，C、116，D、118

9. 一个 VRRP虚拟路由器配置VRID是3，虚拟IP地址是100.1.1.10，那么虚拟MAC地址是多少?(B)
   A 00-00-5E-00-01-64
   B 00-00-5E-00-01-03
   C 01-00-5E-00-01-64
   D 01-00-5E-00-01-03

10. VRRP设备在备份组中的默认优先级为:（C）
    A、200，B、150，C、100，D、0

11. 判断题:VRRP的“心跳报文”属于单播报文(B)
    A、True，B、False

12. 下列关于VRRP的描述，错误的是:（B）
    A VRRP是一种冗余备份协议，为具有组播或广播能力的局域网（如以太网）设计，保证当局域网内主机的下一跳路由器设备出现故障时，可以及时的有另外一台路由器来代替，从而保持网络通信的连续性和可靠性。
    B 在使用VRRP协议时，需要在路由器上配置虚拟路由器号和虚拟IP地址，直接使用主路由器的真实MAC，这样在这个网络中就加入了一个虚拟路由器。
    C 网络上的主机与虚拟路由器通信，不需要了解这个网络上物理路由器的所有信息。
    D 一个虚拟路由器由一个主路由器和若干个备份路由器组成，主路由器实现真正的转发功能，当主路由器出现故障时，一个备份路由器将成为新的主路由器并接替它的工作。

13. 关于VRRP master设备的描述，错误的是:(D)
    A定期发送VRRP报文
    B以虚拟MAC地址响应对虚拟IP地址的ARP请求。
    C转发目的MAC地址为虚拟MAC地址的IP报文。
    D即使该路由器已经成为Master，也会被优先级高的Backup路由器抢占。

14. 关于VRRP slave设备的描述，正确的是:(ABC）
    A 当slave(backup)收到master发送的VRRP报文时，可判断master的状态是否正常
    B 当收到优先级为0的VRRP报文时，slave(backup)会直接切换到master.
    C slave(backup)会丢弃目的MAC为虚拟MAC地址的IP报文。
    D slave(backup)会响应目的IP地址为虚拟IP地址的IP报文。

15. 在VRRP中，当设备状态变为master后，会立刻发送免费ARP来刷新下游设备的MAC表项，从而把用户的流量引到此台设备上来。（A）
    A、正确，B、错误

16. VRRP的报文的组播目的地址是:(A)
    A 224.0.0.18
    B 224.0.0.20
    C 224.0.1.18
    D 224.0.1.20

17. VRRP与BFD进行联动的配置命令是:(A)
    A、vrrp vrid 1 track bfd-session session-name 1 redeced 100
    B、bfd-session vrrp vrid 1 track session-name 1 reduced 100
    C、track vrrp vrid 1 bfd-session session-name 1 redeced 100
    D、vrrp vrid 1 track bfd-session-name 1 redeced 100

18. RouterA和 RouterB属于一个VRRP组，RouterA优先级120，RouterB优先级100,VRID的虚拟IP地址和 RouterB的接口地址相同，当网络运行状态良好时，此VRRP组中，Master设备是(B)
    A、RouterA，B、RouterB