H3C-NE 学习笔记

【交换机工作原理】
1、学习  空   学习源mac地址对应的端口加入mac地址表中
         更新  表中有但端口有变化,更新最新的端口对应表项目
         更新时间  表中有且端口没变化,更新学习的时间
         一个mac只对应一个接口,一个接口可以对应多个mac

2、转发  
       1、按表转发  --  表中有,mac表对应的端口 直接转发
       2、泛洪转发  --  表中无,除源接口以外的所有激活接口
                        目的mac帧为ffffffffff时
                        组播mac帧

3、数据帧过滤  当交换机接到数据帧源MAC和目的MAC对应同一个端口时。过滤该帧,不转发

4、老化  --更新mac地址表,将无用的mac表项及时清除。
         --接口断电 对应表项立即消失
300s 120s
网络设备操作系统--comware
<h3c>   用户模式   重启  保存  清除
[h3c]system-view   
     接口模式     interface  接口类型 和编号
     路由协议模式  使用相应路由协议
quit  退出到上一级模式

【vlan 技术】
1、通过逻辑的方式实现交换机的广播范围隔离。
交换机对数据帧进行泛红时会根据进入的帧所属的vlan号码进行泛红。泛红范围为vlan号码所对应的接口。
2、vlan特点 :控制广播范围、安全性、
              灵活:可以通过命令行的形式将同一台交换机的任意几个接口归属到同一个广播范围中。                          可以不受地域限制,灵活去构建局域网
3、vlan的类型
  端口vlan   固定的接口绑定固定的vlan
  mac地址vlan   不限接口、根据mac区分vlan
  ip子网vlan    不限接口、根据ip地址区分vlan
  协议vlan      不限接口、根据数据所使用的协议区分vlan

4、vlan标签
在主机的的数据帧中插入4个字节的标签。用于区分不同的vlan数据。  tag
802.1q协议
tpid  16  pri 3   cfi 1  vlan-id  12
交换机对vlan标签的处理:数据帧进入交换机打tag  出接口时剥tag
允许802.1q协议的设备才识别带tag的数据帧,若设备不运行802.1q数据帧,收到带有tag的数据帧将被丢掉
交换机的接口类型   
access接口 :  该接口只属于一个vlan  进打出剥掉    通常对应一台主机或通信节点
trunk接口  :该接口属于所有的permit-vlan  
             交换机所有进入的数据帧被打上tag后都会转发到该接口(permit-vlan接口)
             所有的tag都被携带进行转发,除了缺省vlan-id
trunk接口特点  1、接口出帧操作  
                  1、是否允许  permit该vlan
                  2、是否是native  vlan  (缺省vlan)是不带标签转发
                  3、不是native vlan   携带标签转发
               2、接口入帧操作
                  1、是否携带标签
                  2、该接口是否允许   是继续 否-丢
                  3、根据标签找本地是否有对应的vlan号码,有继续后续动作,否,丢掉。
                  4、本地有vlan对应的号码,根据mac地址表转发规则转发。(基于vlan)
加tag操作   access  对应vlan
            trunk接口 带 保留tag  
                      不带  打native tag
            混杂接口  native-vlan
转发   所有属于该vlan的tag接口及untag接口。

【ip地址规划原则】
1/可扩展   预留的地址于使用的地址可以汇总成一个
2/可汇总   用户地址、设备管理地址互联地址可以汇总
3/易管理   ip地址于真是的物理结构有一定的对应关系

【路由】
路由 闭合路径
路由表    路由器转发数据包的主要依据
路由协议   构建路由表的一种通信规则。
路由器   通过路由协议动态更新维护组建路由表,实现路由完成通信的一种物理设备
         路由 <--路由表 <---路由协议
通信《==-----------------------------
                   路由器
路由器工作原理
读数据包目的ip,查路由表,有转发,无丢弃

路由器  --->路由表
路由表形成形式   3
1.直连路由   ---   自我发现  
                   对路由器接口配置ip地址后,路由器会自动计算该接口所连接的网段。
2.非直连网络
           人为添加         网络管理员通过命令形式向路由表中添加信息
           动态路由协议     路由器根据协议自动更新维护组建形成的表项
路由表
直连表       ip网络地址/掩码--   接口
非直连表     ip网络地址/掩码 --  下一跳ip地址   
路由表查表规则
1.精度查询(最长掩码匹配规则)
2.递归查询
3.缺省:  为无法获知具体地址又不得不为这些目的地址转发的时候,使用的一种路由形式。
         当路由器配置缺省路由,路由器将不再丢包。

路由表   --   最佳路径表  --   路由表中所有的条目都为最佳路径表
1、度量值  --   到达目标地址的一种参考值。----cost
跳数:  到达目标地址所经过的路由器个数。
带宽:等同速率
延时:数据包从源到达目标地址所经过时间
可靠性:链路的丢包率
负载:链路对数据的传输使用率
MTU:链路层的最大数据传输单元
动态路由协议自动更新维护组建路由表时的一种判断依据。

rip  跳数  
ospf  isis  带宽
优先级
不同路由协议之间的可信度  -比路由条目最优的条件。
范围是0-255   值越低  可信度越高   被添加进路由表的几率越大
默认  直连为0    静态为60   RIP 100   ospf 10
路由表条目的由来:
有效  可行  最优
次优判断---加表过程
是否有效,无效直接丢  有效继续判断
唯一性:网络号码和掩码是否唯一
若唯一:直接加表
若不唯一:判断优先级优先级值低-加入表
          优先级一致  判断开销  开销小的
若有效、优先级一致、开销一致,均加入路由表,负载均衡。
可以通过优先级实现不同协议之间的链路备份和冗余。
可以通过开销实现同一个协议内的链路备份和冗余。
为什么使用静态路由
通过静态路由实现三层设备能够转发非直连网络的数据包、
ip   route-static   目的地址   掩码   下一跳ip/接口号码   preference   优先级值
目的地址:通常为目标网络的地址  掩码
下一跳ip:去往目标网络方向的第一个路由器的第一个接口ip地址
         去往目标网络方向上递归可循地址。
接口号码:通常在串行链路上使用。华三设备对以太网口支持较差
下一跳ip地址于接口有什么不同?
优先级:是可选的,默认优先级60 若更改话,需要使用此参数。实现路由负载冗余或者链路备份。

网络设备使用ping命令源地址默认为路由查找后出接口的ip地址
缺省路由:简化路由表,汇集层只有唯一一个出口方向时,网络边:广域网
汇聚到网络边界之间会有一个缺省路由形成一个默认的路径树指向广域网。
缺省路由的方向唯一,将数据包指向广域网。  不可互逆。
网络地址规划的过程中,通常会使用汇总路由和缺省路由,缺省路由是向上指的,汇总通常是核心向下指明的路由,汇总和缺省出现互逆。
黑洞路由通常配置在汇总路由对端,将可能会形成环路的数据流通过黑洞路由,转发到mull0接口。
   利用路由表的最长掩码匹配规则。

1、网络地址规划  ---使网络具有层次,易管理易于维护
2、静态路由配置  ---使路由器能够转发自己非直连网络的数据包
3、汇总路由配置  ---简化配置,使路由表中条目减少,提高转发效率 减少查表延时
4、缺省路由配置  ---1、汇总-在网络末梢,出口唯一。
                    2、为内网的数据去往广域网时指明的路由
5、黑洞路由配置  ---汇总路由与缺省路由出现互逆,网络可能存在环路问题,通常使用黑洞路由,防患未然。
静态路由缺点
     需要更多的人为管理
     复杂网络配置比较困难,繁琐

动态路由协议原理
邻居发现:  可以与那些相邻路由器交换路由信息,或者路由信息的来源方向有哪些
路由交换:共享路由信息的过程
路由计算:最佳判断,构建路由表
维护路由:能够获悉网络的变化更改路由表。
        : 直连:自我发现
路由表  : 静态:人为添加  

           动态:   范围
                 IGP   内部网关协议    算法
                                       距离矢量  :邻居结果计算后累加   RIP (路由信息协议)          --  跳数
                                 
                                       链路状态  :收集信息自主计算     ospf(开放最短路径优先协议)--  带宽
                                                                        IS-IS (中间系统-中间系统)
                 EGP    外部网关协议   (混杂算法)---高级的距离向量路由选择协议   BGP( 边界网关协议)(度量因素较多)
如何判断路由协议的好于坏
1、协议计算符合网络结构。---正确性
2、收敛速度。  对网络变化的感知,及连通性的恢复。(适应能力--获知网络变化的能力)
3、协议运行所占用的资源。越少越好。
4、协议安全性  保证路由协议不受攻击
5、使用网络规模  -- 越大越好。
      
【协议模型】
rip   udp  520
ospf  ip   协议号89
bgp   tcp   179
rip原理
1、邻居发现  --- 两个报文  request   response  
2、路由交换  在报文中包含路由信息。     广播(v1)或组播(v2)
     oa-->ffffffffffff   ip发送接口ip  255.255.255.255+udp 520+rip数据
3、路由计算: 路由更新  路由器收到邻居的路由信息进行收敛 ---- 最佳路由表项计算
4、路由维护:  周期性向邻居路由器发送自己的路由表  每30s  
环路防止
路由中毒: 将失效的路由信息,在协议表中标记为无效
水平分割:从某接口学习到的路由不在返回给该接口。  rip协议默认开启水平分割
毒性逆转:当收到不可达路由信息时,而本地可达,则认为不可达信息为毒性逆转信息。
触发更新:当网络发生变化,立即更新该网络信息
最大跳数:rip在更新的过程中,定义最大跳数,最大15跳。16跳不可达。  决定了网络规模,网络尺径变小
抑制时间:保持、失效计时器   30   180秒失效保持   240秒删除失效记录  --  标版
                             30   120 保持失效        180s
路由比较过程中,下一跳不唯一,学开销小的。
!!!!!!!!下一跳唯一,学最后一次!!!!

rip版本
v1  发送路由信息时不带掩码     接收路由器将根据地址所属的默认类别,使用对应掩码加入到路由表。---有类的路由选择协议
不支持vlsm,对子网支持受限。  可变长的子网掩码
1、子网  所有的网络一致,子网掩码一致,网络区块大小一致
2、vlsm  根据网络范围的大小,个子网使用的网络掩码不一致
rip支持子网的形式为,所有地址属于同一个主类地址,且每个子网掩码一致。
更新方式  广播
不支持认证
不支持手动汇总
v2  带掩码    无类
    支持vlsm
    组播  224.0.0.9
    支持认证  明文和密文
    支持汇总
版本1和2均有自动汇总功能,主类地址网络边界,自动汇总成主类地址
1、v1  
2、v2   若发送的接口与rip信息中的网络地址不是一个主类地址时,将掩码变成主类地址的掩码进行发送。自动汇总

rip的消息特性
运行版本  默认的情况下  发v1  收v1 和v2
              v1        发v1  收v1
              v2        发v2  收v2
rip配置
系统下
rip   --启动rip协议并进入rip协议配置模式
network  主类地址  
version   1/2  更改版本
undo sunmmary   关闭自动汇总
silent-interface  接口号码    指定静默接口
接口模式下
设置协议的安全性
rip authentication-mode { md5 { rfc2082 key-string key-id | rfc2453 key-string } | simple password }
rip汇总  接口模式下
rip  summary-address   汇总地址   掩码    rip汇总具有一定方向性

network  
哪些接口允许rip协议  收发rip报文
rip协议报文中含哪些网络地址
rip汇总:接口下配置,控制发送出去的信息进行汇总。
         汇总地址包含范围内的明细路由会被抑制,不包含的正常发送

路由协议下
default-route originate    通过路由协议下放缺省路由

静默接口  只收不发  通常连接用户的接口也就是用户网关的接口通常配置为静默接口。
安全性  认证过程中
两端的认证类型及密码必须一致

rip的具有一定方向性

rip协议缺陷
1、根据跳数选路,若带宽不一致,选择出来的路由不一定是合理的。
2、跳数限制,影响网络尺径
3、收敛速度慢 至少需要180s路由才能够更新
4、周期性发送整张路由信息,30s  浪费大量带宽
ospf的特点
ospf没有跳数限制  范围较大
组播更新变化的路由信息和网络信息
收敛速度快
以带宽作为度量计算  
采用spf算法计算最短路径

as  自治系统   一个管理域
    路由域     一个范围内均运行相同的协议
               所有路由器都运行ospf协议--路由域  
router-id   路由器名字。是一个路由域中路由器的标识
邻居   两个相邻的路由器都运行ospf协议,且互认为对方是我的邻居时才为邻居
       路由器收到邻居发送的hello中含有自己的router-id时。
邻接   两个邻居路由器交换了路由信息后,达到数据库一致时,成为邻接。
先有邻居 再有邻接     有邻接一定有邻居   有邻接不一定有邻接
router-id  32位的字符-以ip地址的形式表示。
人为指定
路由器会自己给自己定义router-id ,各个协议自己规定的。
在自己的接口中以某个接口的ip地址作为自己的router-id
稳定优先 --
loopback接口> 物理接口
若接口类型一致,选接口ip地址大的。
ls  link-state  自己的直连网络信息及到这些网络的开销
开销=10的8次方/带宽  带宽越高开销越小
100==1
10 ==10
1.544m=64
64k=1562
lsa   链路状态通告    路由交换的信息
lsdb  lsa的集合  所有的路由器都要收集除自己意外的所有路由的lsa (数据库)
lsdbd 链路状态数据库的摘要信息
lsr   链路状态请求包
lsu   链路状态更新包
lsack 链路状态确认包

ospf工作流程
发现邻居------hello包 ----邻居表
   1                        1
   1                        1
   1                        1
交换路由------泛红lsa----  lsdb(拓扑表)
   1                        1
   1                        1
   1                        1
路由计算-------以己为根----ospf路由表
             算到达所有非   1
             直连网络的开   1
             销,加入ospf   1
             路由表         1
                      经过次优判断加入全局路由表
位于一个ospf协议内的所有路由器 都必须有router-id,一个区域内的router-id是不允许重复的,一个区域内的链路状态数据库一定是一致的。
ospf协议的确认包,是因为ospf协议工作在网络层,不具备可靠性,所以通过确认包,来保证ospf的报文的可靠性

down  状态 关闭
init  初始化状态  hello包
2-way  邻居状态
exstart状态 交换初始状态  交换第一个dbd,没有任何内容。主要是判断主从
exchange  状态  交换真的dd。
loading  加载
          lsr lsu lsack
full状态。


ospf的路由计算
以己为根,计算到达每个网络的开销之和。比开销值小的,最小开销的相邻路由器为自己去往目标网络的最佳下一跳。
开销和计算的方式为:己为根,去往目标网络方向所经过的路由器出口开销之和。
ospf配置命令
1 指定每台路由器的router-id  手动指定和自动选举
   通常在ospf协议中,会配置换回接口.
2启动ospf协议并手动指定router-id
   系统模式下  
   1、ospf 进程号码   router-id  id名称
   2、系统下 router id  x。x。x。x
   系统下具有全局意义
   协议下只对协议有效
   
3、ospf协议工作过程中具有区域特性。--覆盖大范围的网络、一个区域下链路状态数据库是一致的。
area  号 区域号:是32位的字符,两种表示方式,一种ip地址方式,第二种十进制表示方式
   1、区域零为骨干区域   单区域下区域号尽可能使用骨干零
   2、相邻两台路由器的接口必须在同一个区域号下。
路由协议下
area  0
area 0.0.0.0
area  1
area 0.0.0.1
4.使对应的接口能ospf协议
   1、对应的接口能够收发ospf报文--hello包
   2、向该接口发布相关的链路状态消息。
network  网络号码  反掩码  
正掩码  :掩码1多对应的位为网络位
反掩码  :零所对应的位为网络位
            255.255.255.255
         -  证掩码
---------------------------
         =反掩码      
网络规划
路由协议配置
汇总--ospf协议汇总在区域下是无法实现的,
1、ospf在区域内传递的是链路状态通过而不是路由表
2、ospf的路由表是自己算出来。
缺省
发布的过程中,在路由协议下
default-route-advertise   --  本地必须有一条缺省
default-route-advertise always  本地无论是否有 都会发
1 更改接口开销  ---通过ospf协议的计算,来控制路由表
接口模式下
ospf cost   值
2 静默接口
配置方式于rip一致
silent-interface  接口名称/all
不收不发hello
3、安全
区域安全 和接口安全
明文和密文
区域认证
在区域模式下开启 明文或密文
一个区域开启认证后,该区域下的所有路由器必须开启区域认证,认证方式必须相同。接口下认证形式上必须于区域认证相同
认证密码,接口两端必须相同

查看邻居关系
查看链路状态数据库
查看ospf接口ospf状态

【DHCP服务器】
1、dhcp  动态主机配置协议
    为主机动态分配ip地址
2、服务端和客户端。  服务器集中管理。客户端申请使用,服务器根据配置策略分配地址。
3、dhcp根据udp协议工作 端口号分别为67 68
dhcp服务器特点
1、即插即用  --用户零配置
2、统一管理
3.使用效率高
4、跨网段操作
dhcp系统组成
服务器 -----  中继器  ------ 客户端
管理ip       传递dhcp报文   申请地址

1、同一个网内  不需要中继器
2、跨网段必须需要中继器

dhcp报文
                    发送者
discover  发现包  -->客户端
offer     应答包  -->服务端
request   请求包  -->客户端
ack       确认包  -->服务端
dhcp中继原理
客户端    --   --   中继器 -----  服务器

         广播报文           单播
服务器根据单播报文的源地址进行分配地址,以保证给每个网络中的主机分配的地址是正确的。
dhcp服务器网络规划解决方案
1、小型网络比较常见,服务器客户端都在同一个网络中。服务器通常会以架设在网关节点处。
2、大型园区网。分布式管理,dhcp服务器通常架设在汇聚设备上。
3、集中管理 大型网络 漫游用户  无线网络  需要统一认证统一管理时
dhcp服务器配置--网络设备
dhcp enable   开启dhcp服务器
              1.开放67端口
              2.识别dhcp报文
创建可分配的地址池
dhcp  server  ip-pool  名字  ---创建地址池,并进入地址池配置模式
network   网络号码  mask  地址掩码
gateway-list   网关地址  网关
dns   地址一  地址二
排除地址--系统模式下
dhcp server forbidden-ip 开始地址 结束地址

中继服务器配置
1、开启dhcp服务器
dhcp enable
2、配置dhcp服务器地址
dhcp relay server-group 组号 ip 服务器ip地址
3.接口下开启中继功能
dhcp select relay
4、设置中继服务器组号
dhcp relay server-select 组号
stp
通过bpdu来完成生成树的计算过程,消除二层链路所产生的环路问题。
为了保证网络的可靠性,采用设备冗余备份的环形网络机构。
通过计算,将形成环路的一个接口阻塞掉,阻塞接口将不再收发用户的数据。当环路消失时,该接口自动打开,以保证正常的数据通信。
计算bpdu ,动态阻塞形成环路的接口
备份功能
stp的bpdu
bpdu的传播,交换机产生的
1、都认为自己是根桥,所有交换机都产生bpdu。
2、经过比较,只有根桥产生bpdu,其他交换机交非根桥,转发根桥bpdu。
bpdu包含:根桥id、根路径开销、转发桥id、指定端口id
根桥:是网络中转发数据的主要交换机。
桥id最小的为根桥。  
桥id=桥优先级+mac地址
生成树工作流程
选根桥   ----   桥id最小的
选根端口 ----   非根桥到根桥开销最小的接口即为根端口
指定接口 ----   所有的物理连接段都必须选则一个接口为指定接口
指定桥   ----   物理连接段,发送的bpdu比收到的好,该接口所属的桥即为指定桥。该接口又为指定接口
阻塞接口 ----   非根非指定接口
端口状态
disabled   关闭状态  -- 该接口不参与生成树计算   不收不bpdu  数据发送与否看接口状态
block      阻塞状态       非根非指定    不转发用户数据   接收bpdu数据但不发送
listen     监听状态  -- 收发bpdu  但不转发数据
learning   学习状态  -- 收发bpdu  接口学习mac地址  依然不转发数据
forwarding 转发状态  -- 收发bpdu  收发数据
状态迁移过程中有两个转发延时,分别为15s ,listen--15--learn--15--forwarding
生成树命令:
开启和关闭
stp enable  开启  undo stp  enable
将某个接口关闭掉
进入到对应的接口下
stp disable
stp工作模式
stp  mode  stp/rstp/mst  默认情况下mst
修改设备的优先级
stp  priority  优先级的值    (32768 ,修改的过程中必须为4096的倍数)
指定边缘接口
进入到接口模式下
stp edged-port enable
--- stp接口,由down变为up,接口的状态会进行迁移,设备会产生tcn-bpdu,导致整个生成树重新收敛。
边缘接口只收不发bpdu,收到bpdu也会参与计算,该接口up-down的变化不会有状态迁移。
连接服务器,用户终端接口,才会人为将接口配置为边缘接口
stp    收敛速度慢  网络变化频繁可能导致网络不通
RSTP   收敛速度快
mst    实现基于vlan的生成树,更够实现vlan的负载分担。
       一个接口的状态于与vlan有关,也就是说一个接口的状态针对不同的vlan数据有不同的状态。

【接入安全】
用户接入网络安全认证审核
1、802.1x  ----  无线认证方式在有线网络上运行
           EAPoL                   RADIUS
客户端  --------------  认证设备 -------------服务器(认证服务器)
/息     控制认证用户是否被授权       审核用户认证消息的合法性
运行方式
中继  ---远程集中管理
终结  ---本地
认证方式
端口:port   接口授权与非授权
mac:主机授权与非授权
配置命令
设备开启802.1x
系统模式下:
dot1x
设置受控接口
dot1x interface  接口类型 接口编号
设置本地认证用户
系统模式下
local-user   用户名   ---创建用户并进入用户配置模式
设置密码
password  simple/cipher  密码
设置用户的服务类型
service-type   lan-access
若接口属于某个vlan的情况下,某些设备只支持接口认证,而不支持mac认证。默认的情况下为mac认证。
dot1x port-method portbased  /macbased
2、接口下绑定用户的地址信息
接口下绑定用户的ip地址、mac地址或者mac+ip
1、用户必须在指定的接口接入
2、需要收集用户的ip地址或者mac地址信息
姓名     ip   mac   交换机端口
配置命令
在接口模式下
user-bind  ip-address  ip地址
user-bind  mac-address  mac地址
user-bind  ip-address  ip地址   mac-address   mac地址
一台交换机采用的绑定方式,最好一致。

2 端口隔离
隔离端口之间不允许二层通信,隔离端口都可以于up-link接口通信。
服务器之间为隔离端口,与网关相连的接口配置为up-link接口。
接口模式下:
port-isolate enable    --指定接口为隔离接口
上联接口
port-isolate  up-link  --指定该接口为上联接口

配置设备的方式
1、console  /aux   主机com接口到设备console接口(aux)--局限性
2、远程连接  telnet  设备管理地址     明文传输--不安全
             ssh     设备地址        安全密钥连接   安全可靠
3、ftp:tftp  上传和下载配置文件

设备安全管理
console接口 :配置设备时加密码
进入aux接口配置模式
user-interface  aux 0
设置认证模式
authentication-mode   /none  --不做认证
                      /password --密码认证
                      /scheme   --aaa 认证
设置密码
set  authentication  passwork  simple/cipher   密码

认证模式scheme  可实现用户名密码配置
aux接口设置为scheme模式
authentication-mode   scheme
创建用户
系统模式下
localuser  用户名  创建并进入用户配置模式
设置密码
password   simple/cipher  密码
设置用户的服务类型
service-type  terminal  
设置用户级别
authorization-attribute level /0-3
远程安全管理
telnet   ssh
1、开启telnet
telnet server enable
2、设置telnet 权限  
user privilege level /0-3

越权:命令级别切换
terminal接入时   super 密码可以为空
telnet接入时   super密码为空将不能越权
越权密码
设置越权切换认证模式  local  /scheme-- aaa
super  authentication-mode   local /scheme
设置越权密码
super  authentication
@@@dhcp安全@@@
1、非法dhcp服务器存在
dhcp-snooping  
1)是设备识别dhcp报文
2)所有接口变为非信任接口。接口不转发offer报文
2、设置连接合法dhcp服务器的接口为信任接口
进入接口模式下
dhcp-snooping trust
2、dhcp地址池饿死
非法用户伪造大量mac地址字段欺骗服务器分发地址,导致dhcp地址池变空。
接口下使用命令
dhcp-snooping check mac-address
检查dhcp报文中的mac地址字段数据与帧头中的mac地址是否一致
接口下使用命令
mac-address max-mac-count  数量
控制接口学习mac地址的最大数
3、防止非法用户伪造大量dhcp报文对网络进行泛洪攻击
对dhcp报文进行限速
dhcp-snooping rate-limit rate
4、用户数据报文检查功能,转发合法用户报文
ip source guard  
开启该功能后,接到用户报文,检查用户数据包的源地址信息,是否存在于source guard表项中,存在为合法,不存在,非法。
表项包含内容:mac地址   ip地址   ip+mac
方式:静态  动态

静态绑定----主机地址为手动设置
全局绑定
ip source binding ip-address ip地址 mac-address mac地址
应用于不限接口
开启source  guard
ip verify source  ip-address  
ip verify source  mac-address
ip verify source  ip-address mac-address
端口绑定------------------->全局绑定
优先匹配--匹配成功转发
          匹配失败--------->匹配成功转发
                            匹配失败丢弃
匹配表一共256条
静态+动态  
接口下
ip verify source max-entries 数值
避免单个接口动态学习到更多的表项
有效控制用户接入的数量
地址检查功能--ip source guard
1、防止不合法的用户使用网络
2、防止用户私自设置ip地址
防止潜在环路--用户私拉线路导致的环路arp问题


更新日期: 2015年07月08日
文章标签: H3C
文章链接: https://www.vos.cn/net/7.html  
版权说明:如非注明,本站文章均为vOS原创,转载请注明出处和附带本文链接。