遠(yuǎn)程連接訪問控制CiscoConsole配置

Enable password cisco：明碼

enable secret cisco：加密密碼

Telnet 配置

Username aaa password aaa

line vty 0 4

login local

transport input telnet

SSH配置

username aaa privilege 1 password aaa

ip domain name

hostname aaa

crypto key generate rsa

ip ssh maxstartups 5

ip ssh logging events

line vty 0 4

login local

transport input ssh

router#ssh –l aaa （遠(yuǎn)程登錄）

常見配置錯誤分析與排錯

1、 Telent 登錄失敗的故障分析與排除

1、 查看VTY用戶界面視圖是否允許支持Telnet

2、 查看是否是登錄上限：

3、 查看是否存在ACL

4、 查看VTY用戶界面圖示下是否設(shè)置登錄密碼

5、 如果用AAA驗證方式，查看用戶名密碼是否正確

6、 查看網(wǎng)絡(luò)是否連通

2、 SSH登錄失敗的故障分析與排除

1、 查看VTY用戶界面視圖是否允許支持ssh

2、查看是否是登錄上限

3、查看是否存在ACL

5、如果用AAA驗證方式，查看用戶名密碼是否正確

6、查看網(wǎng)絡(luò)是否連通

7、查看服務(wù)有無開啟

8、查看是否設(shè)置域名

9、查看認(rèn)證是否開啟

10、查看設(shè)備名稱是否需要修改

華為Console配置

交換機Console口初始密碼

user-interface con 0

authentication-mode aaa

user privilege level 15

aaa

local-user aaa password cipher aaa

local-user aaa privilege level 15

Telnet 配置

user-interface vty 0 4

authentication-mode aaa

user privilege level 15

history-command max-size 20 設(shè)置歷史緩沖區(qū)

idle-timeout 20 0 設(shè)置用戶超時時間

screen-length 30 設(shè)置終端屏幕顯示的行數(shù)

aaa

local-user aaa password cipher aaa

local-user aaa privilege level 15

local-user aaa service-type telnet terminal

STelnet配置

Stelnet(secure telnet)是基于SSH的協(xié)議，在傳輸過程中客戶端和服務(wù)端之間需要經(jīng)過協(xié)商，建立安全傳輸連接，以確保在登錄和遠(yuǎn)程交換機配置與管理中的數(shù)據(jù)傳輸安全

R1：

user-interface vty 0 4

authentication-mode aaa

user privilege level 15

protocol inbound ssh

aaa

local-user aaa password cipher aaa

local-user aaa privilege level 15

local-user aaa service-type terminal ssh

quit

ssh user aaa authentication-type password 認(rèn)證方式為PASSWORD

stelnet server enable 開啟服務(wù)

R2:

ssh client first-time enable 第一次登錄需要下載密鑰

stelnet

HTTPWeb網(wǎng)管登錄常見配置錯誤分析與排錯

3、 Telent 登錄失敗的故障分析與排除

查看VTY用戶界面視圖是否允許支持Telnet

查看是否是登錄上限：display user-interface maximum-vty

查看是否存在ACL

查看VTY用戶界面圖示下是否設(shè)置登錄密碼

如果用AAA驗證方式，查看用戶名密碼是否正確

查看網(wǎng)絡(luò)是否連通

查看服務(wù)有無開啟

4、 STelnet登錄失敗的故障分析與排除

查看VTY用戶界面視圖是否允許支持ssh

查看是否是登錄上限：display user-interface maximum-vty

查看是否存在ACL

查看VTY用戶界面圖示下是否設(shè)置登錄密碼

如果用AAA驗證方式，查看用戶名密碼是否正確

查看網(wǎng)絡(luò)是否連通

查看服務(wù)有無開啟

企業(yè)網(wǎng)園區(qū)架構(gòu)

核心層

分布層

接入層

接口及以太網(wǎng)鏈路配置與管理接口分類

1、 管理接口（Console）

2、 物理接口(百兆以太網(wǎng)接口、千兆以太網(wǎng)接口…)

3、 邏輯接口（Loopback接口、Null接口、Tunnel接口…）

Cisco華為

Set flow-stat interval 400 全局配置接口的流量統(tǒng)計時間間隔，取值范圍為10---600

Description xxx 接口信息描述

Display interface brief 查看各接口狀態(tài)和配置的簡要信息。

Vlan

Vlan(virtual local area network )的中文名字叫虛擬局域網(wǎng)：是一組邏輯上的設(shè)備和用戶，在計算機網(wǎng)絡(luò)中，，VID是一個12位的二進(jìn)制字段信息，也就是說最多可以標(biāo)識2的12次方個valn，其中0和4095是協(xié)議保留的不啟用，其中1—1005的vlan是普通valn，提供正常vlan的功能，1006—4094的valn是擴展vlan，提供部分valn功能，一般所有廠家的交換機默認(rèn)所有交換機都屬于VLAN1.

Vxlan(virtual extensible lan)虛擬可擴展局域網(wǎng)，普通VLAN的個數(shù)為4096遠(yuǎn)遠(yuǎn)不能滿足大規(guī)模云計算的數(shù)據(jù)中心的需求，所以才開發(fā)了VXLAN

VLAN 有以下優(yōu)點：(1) 控制網(wǎng)絡(luò)的廣播問題：每一個VLAN是一個廣播域，一個VLAN上的廣播不會擴散到另一VLAN；(2) 簡化網(wǎng)絡(luò)管理：當(dāng)VLAN中的用戶位置移動時，網(wǎng)絡(luò)管理員只需設(shè)置幾條命令即可；(3) 提高網(wǎng)絡(luò)的安全性：VLAN 能控制廣播；VLAN 之間不能直接通信。定義交換機的端口在什么 VLAN 上的常用方法有：(1) 基于端口的 VLAN ：管理員把交換機某一端口指定為某一 VLAN 的成員；(2) 基于 MAC 地址的 VLAN ：交換機根據(jù)節(jié)點的 MAC 地址，決定將其放置于哪個 VLAN 中。

Catalyst交換機最多支持4096個vlan。

VLAN劃分方式

根據(jù)端口劃分:基于端口的VLAN

根據(jù)MAC劃分: 基于MAC的VLAN

根據(jù)IP進(jìn)行劃分: 基于IP子網(wǎng)的VLAN

根據(jù)協(xié)議劃分: 基于協(xié)議的VLAN

根據(jù)幾種劃分依據(jù)組合進(jìn)行劃分: 基于策略的VLAN

Cisco

Vlan

Name vlanx

Int vlan x

Ip add

Interface gig0/0

Sw moa cc

Sw acc vlan x

私用vlan

定義：在有些情況下，管理員希望隔離位于交換機同一VLAN中的終端設(shè)備之間的通信，同時還不希望將這些設(shè)備劃分進(jìn)不同的IP子網(wǎng)中，因為劃分多個IP子網(wǎng)會使IP地址遭到浪費。私有VLAN中的端口屬于孤立端口（Lsolated）雜合端口（promiscuous）團(tuán)體端口（community）

孤立端口：可以與雜合端口通信

雜合端口：可與孤立、團(tuán)體端口通信

團(tuán)體端口：可以與雜合、團(tuán)體端口通信

輔助私用VLAN：每個輔助VLAN都是主VLAN的附庸VLAN，它們會被映射給主VLAN，而每臺設(shè)備都會與輔助VLAN相連。

輔助VLAN的類型：

團(tuán)體VLAN：可以與團(tuán)體VLAN中的其他端口通信，也可與主VLAN中的雜合端口通信

孤立VLAN：孤立端口不能與孤立VLAN中的其他端口通信，只能與雜合端口通信，每個PVLAN中只能由一個孤立VLAN

配置案例：

VLAN 200

Private-vlan isolated 設(shè)置為孤立VLAN

VLAN 201

Private-vlan community 設(shè)置為團(tuán)體VLAN

VLAN 100

Private-vlan primary 設(shè)置為主VLAN

Private-vlan association 201 202 關(guān)聯(lián)輔助VLAN

Interface fastethernet 0/24

Switchport mode private-vlan promiscuous 將二層端口設(shè)置為雜合端口

Switchport private-vlan mapping 100 200,200 將雜合端口映射到私有VLAN

Switchport mode private-vlan host 將二層端口設(shè)置為主機端口

Switchport private-vlan host-assciation 100 201

華為

Vlan x

Interface vlanif x

Ip add

interface GigabitEthernet 0/0/1

port link-type access

port default vlan 1

Mux VLAN（multiplex vlan）基本原理

定義：MUX VLAN 提供了一種在VLAN 的端口間進(jìn)行二層流量隔離的機制。

特點：

1、 主VLAN可以與任何從VLAN間直接二層tongxin

2、 任何不同的從VLAN（包括隔離型從VLAN和互通型從VLAN）之間不能直接二層通信

3、 互通型從VLAN內(nèi)部可以進(jìn)行二層通信。隔離型從VLAN內(nèi)部的用戶間不能直接通信，起到在同一個VLAN內(nèi)實現(xiàn)用戶互相隔離的目的。

Mux VLAN:分為Principal vlan(主VLAN，所屬端口：主端口) 和Subordinate valn(從VLAN)，Subordinate valn又分為Separate vlan(隔離型從VLAN 所屬端口：隔離型從端口) 和Group vlan(互通型從VLAN 互通型從端口)

配置案例：

sys

[Huawei]vlan batch 2 to 4

[Huawei]vlan 2

[Huawei-vlan2]mux-vlan 設(shè)置為主VLAN

[Huawei-vlan2]subordinate group 3 將VLAN3設(shè)置為互通

[Huawei-vlan2]subordinate separate 4 將VLAN4設(shè)置為隔離型

[Huawei-vlan2]int g0/0/1

[Huawei-GigabitEthernet0/0/1]port link-type access

[Huawei-GigabitEthernet0/0/1]port default vlan 2

[Huawei-GigabitEthernet0/0/1]port mux-vlan enable

[Huawei-GigabitEthernet0/0/1]int g0/0/2

[Huawei-GigabitEthernet0/0/2]port link-type access

[Huawei-GigabitEthernet0/0/2]port mux-vlan en

[Huawei-GigabitEthernet0/0/2]int g0/0/3

[Huawei-GigabitEthernet0/0/3]port link-type access

[Huawei-GigabitEthernet0/0/3]port default vlan 4

[Huawei-GigabitEthernet0/0/3]port mux-vlan enable

注意：互通VLAN下的端口可以直接通信，隔離VLAN下的端口不能通信，從VLAN都可以與主VLAN通信

QinQ技術(shù)（）

VLAN都是單標(biāo)簽封裝，QinQ技術(shù)是一項可以在原有標(biāo)簽頭基礎(chǔ)上再增加一層標(biāo)簽，實現(xiàn)雙VLAN標(biāo)簽的目的。注意，啟用了雙標(biāo)簽技術(shù)的交換機端口具有添加和剝離外層VLAN標(biāo)簽的雙重功能。

基本封裝：是將進(jìn)入一個端口的所有流行全部封裝一個相同的外層VLAN標(biāo)簽，是一種基于端口的封裝方式。

配置案例：

[Huawei]sysname sw1

[sw1]vlan batch 100 200

[sw1]int g0/0/2

[sw1-GigabitEthernet0/0/2]port link-type dot1q-tunnel

[sw1-GigabitEthernet0/0/2]port default vlan 100

[sw1-GigabitEthernet0/0/3]port link-type dot1q-tunnel

[sw1-GigabitEthernet0/0/3]port default vlan 200

[sw1-GigabitEthernet0/0/3]int g0/0/1

[sw1-GigabitEthernet0/0/1]port link-type trunk

[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 200

[sw1-GigabitEthernet0/0/1]qinq protocol 9100

sys

[Huawei]sysname sw2

[sw2]vlan batch 100 200

[sw2]int g0/0/2

[sw2-GigabitEthernet0/0/2]port link-type do

[sw2-GigabitEthernet0/0/2]port default vlan 100

[sw2-GigabitEthernet0/0/2]int g0/0/3

[sw2-GigabitEthernet0/0/3]port link-type dot1q-tunnel

[sw2-GigabitEthernet0/0/3]port default vlan 200

[sw2-GigabitEthernet0/0/3]int g0/0/1

[sw2-GigabitEthernet0/0/1]port link-type trunk

[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 200

[sw2-GigabitEthernet0/0/1]qinq protocol 9100

靈活封裝：是對封裝一種更靈活的實現(xiàn)，是基于端口封裝與基于VLAN封裝的結(jié)合方式。除了實現(xiàn)所有基本封裝功能外，靈活封裝對于同一個端口接受的數(shù)據(jù)還可以根據(jù)不同的內(nèi)層VLAN標(biāo)簽執(zhí)行外層標(biāo)簽封裝。主要分為三類：

1、 基于VLAN ID 的靈活封裝

2、

3、 基于流策略的靈活封裝

QinQ映射：對數(shù)據(jù)幀中的VLAN標(biāo)簽進(jìn)行替換，最根本的不同就是QinQ映射是在路由子接口上應(yīng)用的，而VLAN映射是在物理端口上應(yīng)用的。

VLAN聚合

定義：VLAN聚合，只在super-VLAN 接口上配置IP 地址，而不必為每個sub-VLAN 分配IP 地址。所有sub-VLAN 共用IP 網(wǎng)段，解決了IP 地址資源浪費的問題。

注意：super-VLAN 必須是三層VLANIF接口，但不能有交換機端口成員，各個Sub-VLAN成員同處Super-VLAN的VLANIF接口IP地址所在的一個IP子網(wǎng)中，必須有交換機端口成員，但都不能配置三層的VLANIF接口。在Super-VLAN的VLANIF接口上默認(rèn)了Sub-VLAN間的ARP代理功能。

配置案例：

[Huawei]int gig 0/0/2

[Huawei-GigabitEthernet0/0/2]port link-type access

[Huawei-GigabitEthernet0/0/2]int g0/0/3

[Huawei-GigabitEthernet0/0/3]port link-type access

[Huawei-GigabitEthernet0/0/3]int g0/0/4

[Huawei-GigabitEthernet0/0/4]port link-type access

[Huawei-GigabitEthernet0/0/4]int g0/0/5

[Huawei-GigabitEthernet0/0/5]port link-type access

[Huawei-GigabitEthernet0/0/5]vlan2

[Huawei-vlan2]port GigabitEthernet 0/0/2 0/0/3

[Huawei-vlan2]vlan 3

[Huawei-vlan3]port GigabitEthernet 0/0/5 0/0/4

[Huawei-vlan3]vlan 4

[Huawei-vlan4]aggregate-vlan

[Huawei-vlan4]access-vlan 2 to 3 關(guān)聯(lián)vlan 2-3

[Huawei-vlan4]int vlan 4

[Huawei-Vlanif4]ip add

[Huawei-Vlanif4]arp-proxy inner-sub-vlan-proxy en 開啟ARP代理

VLAN Mapping

定義：VLAN Mapping 也叫做VLAN translation，可以實現(xiàn)在用戶VLAN ID（私有VLAN）和運營商VLAN ID(業(yè)務(wù)VLAN,也可以說是公有VLAN)之間相互轉(zhuǎn)換的一個功能。

配置案例：

端口安全CISCO

Switchport port-securit 開啟端口安全

Switchport port-security mac-address xx-xx-xx 靜態(tài)綁定MAC

Switchport port-security maximum x 限制此端口允許通過的MAC個數(shù)

華為

port-security enable 開啟端口安全

port-security mac-address sticky

port-security mac-address sticky xx-xx-xx vlan x靜態(tài)綁定MAC

port-security max-mac-num x 最大學(xué)習(xí)數(shù)

Trunk

Trunk 技術(shù)使得在一條物理線路上可以傳送多個 VLAN 的信息。

有兩種常見的幀標(biāo)記技術(shù)：ISL （Inter-Switch Link 交換機間鏈路）和 。ISL 技術(shù)在原有的幀上重新加了一個幀頭，并重新生成了幀較驗序列（FCS），ISL 是思科特有的技術(shù)，因此不能在 Cisco 交換機和非Cisco 交換機之間使用。而 技術(shù)在原有幀的源 MAC 地址字段后插入標(biāo)記字段，同時用新的 FCS 字段替代了原有的 FCS 字段，該技術(shù)是國際標(biāo)準(zhǔn)，得到所有廠家的支持。

Cisco

switch mode { trunk | dynamic desirable | dynamic auto }trunk:這個設(shè)置將端口置為永久 trunk 模式，封裝類型由"switchport trunkencapsulation" 命令決定dynamic desirable：端口主動變?yōu)?trunk，如果另一端為 negotiate、dynamicdesirable 、dynamic auto 將成功協(xié)商dynamic auto： 被動協(xié)商，如果另一端為 negotiate、dynamic desirable 將成功協(xié)商

如果想把接口配置為negotiate，使用：S1(config-if)#switchport trunk encapsulation ｛ isl | dot1q ｝S1(config-if)#switchport mode trunkS1(config-if)#no switchport negotiate如果想把接口配置為nonegotiate，使用：S1(config-if)#switchport trunk encapsulation ｛ isl | dot1q ｝S1(config-if)#switchport mode trunkS1(config-if)#switchport nonegotiate如果想把接口配置為desirable，使用：S1(config-if)#switchport mode dynamic desirableS1(config-if)#switchport trunk encapsulation ｛ negotiate | isl | dot1q ｝如果想把接口配置為auto，使用：S1(config-if)#switchport mode dynamic autoS1(config-if)#switchport trunk encapsulation ｛ negotiate | isl | dot1q ｝

華為

端口模式：port link-type trunk

EtherChannel

EtherChannel（以太通道）是由Cisco公司開發(fā)的，應(yīng)用于交換機之間的多鏈路捆綁技術(shù)。它的基本原理是：將兩個設(shè)備間多條快速以太或千兆以太物理鏈路捆綁在一起組成一條邏輯鏈路，從而達(dá)到帶寬倍增的目的。除了增加帶寬外，EtherChannel還可以在多條鏈路上均衡分配流量，起到負(fù)載分擔(dān)的作用；在一條或多條鏈路故障時，只要還有鏈路正常，流量將轉(zhuǎn)移到其他的鏈路上，整個過程在幾毫秒內(nèi)完成，從而起到冗余的作用，增強了網(wǎng)絡(luò)的穩(wěn)定性和安全性。 EtherChannel中， 負(fù)載在各個鏈路上的分布可以根據(jù)源IP地址、 目的IP地址、源MAC地址、目的MAC地址、源IP地址和目的IP地址組合、源MAC地址和目的MAC地址組合等來進(jìn)行分布。兩臺交換機之間是否形成EtherChannel也可以用協(xié)議自動協(xié)商。目前有兩個協(xié)商協(xié)議：PAGP和LACP，前者是CISCO專有的協(xié)議，而LACP是公共的標(biāo)準(zhǔn)。

Cisco

interface port-channel 1//以上是創(chuàng)建以太通道，要指定一個唯一的通道組號，組號的范圍是1～6的正整數(shù)。

interface f0/13channel-group 1 mode oninterface f0/14channel-group 1 mode on//以上將物理接口指定到已創(chuàng)建的通道中。int port-channel 1switchport mode trunkspeed 100duplex full//以上配置通道中的物理接口的屬性interface port-channel 1interface f0/13channel-group 1 mode oninterface f0/14channel-group 1 mode onint port-channel 1switchport mode trunkspeed 100duplex fullport-channel load-balance dst-macport-channel load-balance dst-mac//以上是配置EtherChannel的負(fù)載平衡方式，命令格式為"port-channel load-balance負(fù)載平衡的方式有：dst-ip、dst-mac、src-dst-ip、src-dst-mac等。（3） 查看etherchannel信息S1#show etherchannel summaryEtherChannel 已經(jīng)形成，"SU"表示 EtherChannel 正常，如果顯示為"SD"，把EtherChannel 接口關(guān)掉重新開啟。（4） 配置 PAGP 或者 LAGP我們這里進(jìn)行如下配置：interface range f0/13 -14channel-group 1 mode desirableinterface range f0/13 -14channel-group 1 mode desirableshow etherchannel summary可以看到 etherchannel 協(xié)商成功。注意應(yīng)在鏈路的兩端都進(jìn)行檢查，確認(rèn)兩端都形成以太通道才行。

華為

system-view

interface Eth-Trunk 1

mode manual l

mode manual load-balance

trunkport GigabitEthernet 0/0/1 to 0/0/3

port link-type trunk

load-balance src-dst-mac

display eth-trunk 1

VTP(CISCO)

VTP（VLAN Trunk Protocol）提供了一種用于在交換機上管理 VLAN 的方法，該協(xié)議使得我們可以一個或者幾個中央點（Server）上創(chuàng)建、修改、刪除 VLAN， VLAN 信息通過 Trunk鏈路自動擴散到其他交換機，任何參與 VTP 的交換機就可以接受這些修改，所有交換機保持相同的 VLAN 信息。VTP 被組織成管理域（VTP Domain）,相同域中的交換機能共享 VLAN 信息。根據(jù)交換機在 VTP 域中的作用不同，VTP 可以分為三種模式：（1） 服務(wù)器模式(Server)：在 VTP 服務(wù)器上能創(chuàng)建、修改、刪除 VLAN，同時這些信息會通告給域中的其他交換機。默認(rèn)情況下，交換機是服務(wù)器模式。每個 VTP 域必須至少有一臺服務(wù)器，域中的 VTP 服務(wù)器可以有多臺。（2） 客戶機模式(Client)：VTP 客戶機上不允許創(chuàng)建、修改、刪除 VLAN，但它會監(jiān)聽來自其他交換機的 VTP 通告并更改自己的 VLAN 信息。接收到的 VTP 信息也會在 Trunk鏈路上向其他交換機轉(zhuǎn)發(fā)，因此這種交換機還能充當(dāng) VTP 中繼。（3） 透明模式(Transparent)：這種模式的交換機不參與 VTP?？梢栽谶@種模式的交換機上創(chuàng)建、修改、刪除 VLAN，但是這些 VLAN 信息并不會通告給其他交換機，它也不接受其他交換機的 VTP 通告而更新自己的 VLAN 信息。然而需要注意的是，它會通過Trunk 鏈路轉(zhuǎn)發(fā)接收到的 VTP 通告從而充當(dāng)了 VTP 中繼的角色，因此完全可以把該交換機看成是透明的

GVRP（華為）

GVRP(GVRP VLAN Registration Protocol ,VLAN注冊協(xié)議)：通過它只需在其中一個交換機上創(chuàng)建所需的VLAN,然后通過自動注冊功能在網(wǎng)絡(luò)中其他交換機中自動創(chuàng)建所需的VLAN，大大減輕了網(wǎng)絡(luò)管理員的工作量，也減少了錯誤出現(xiàn)的幾率。

GVRP注冊功能僅可在連接網(wǎng)絡(luò)設(shè)備的TRUNK端口上使能，所以用戶計算機所連接的端口仍不能通過GVRP功能自動加入到所需的VLAN中，仍需要采取手動配置。

消息類型

在應(yīng)用實體之間的信息交互過程中主要還有三類消息起作用，分別為Join消息、Leave消息、LeaveALL消息。

1、 Join（加入）消息：當(dāng)一個GVRP應(yīng)用實體通過希望其他設(shè)備注冊自己的屬性信息時，對外發(fā)送Join消息，當(dāng)收到其他實體發(fā)來的Jion消息，或本設(shè)備靜態(tài)配置了某些屬性，需要其他GVRP應(yīng)用實體進(jìn)行注冊時，也會向外發(fā)送Jion消息。

2、 Leve（注銷）消息：當(dāng)一個GVRP應(yīng)用實體希望其他設(shè)備注銷自己的某個屬性時，它將對外發(fā)送Leve消息：當(dāng)收到其他實體的Leve消息注銷某些屬性，或靜態(tài)注銷了某些屬性后，也會向外發(fā)送Leve消息

3、 LeveALL(全部注銷)消息：每個應(yīng)用實體啟用后，將同時啟用leaveALL定時器，當(dāng)該定時器超時后應(yīng)用實體將對外發(fā)送LeveALL消息。LeveALL消息用來注銷所有屬性，以使其他應(yīng)用實體重新注冊本實體上所有的屬性信息，以此來周期性地清除網(wǎng)絡(luò)中的垃圾屬性（例如某個屬性已經(jīng)被刪除，但由于設(shè)備突然斷電，并沒有發(fā)生Leave消息來通知其他實體注銷此屬性）

注冊模式

1、 Normal 模式：允許該該端口動態(tài)注冊、注銷VLAN、傳播動態(tài)VLAN和靜態(tài)VLAN消息，這是最常用的一種動態(tài)注冊模式，也是唯一一種具有動態(tài)注冊VLAN功能的模式

2、 Fixed模式：禁止該端口動態(tài)注冊、注銷VLAN，只傳播靜態(tài)VLAN信息，不傳播動態(tài)VLAN信息，也就是說被設(shè)置為Fixed模式的TRUNK端口，即使允許所有VLAN通過，實際通過的VLAN也只能時手動創(chuàng)建的那部分。

3、 Forbidden 模式：禁止該端口動態(tài)注冊、注銷VLAN、不傳播除VLAN1以為的任何的VLAN信息。也就是說被配置的Forbidden模式 的TRUNK端口，即使允許所有的VLAN通過，實際通過的VLAN也只能時VLAN1

華為交換機缺省GVRP參數(shù)配置

配置案例：

sys

[Huawei-GigabitEthernet0/0/1]port link-type trunk

[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all

[Huawei-GigabitEthernet0/0/1]gvrp

[Huawei-GigabitEthernet0/0/1]gvrp registration normal

STP

STP定義了一個在擴展網(wǎng)絡(luò)中可以延伸到所有交換機的樹形結(jié)構(gòu)。STP只允許存在一條活動的（active）路徑,并同時阻塞其他冗余路徑。

交換環(huán)路會帶來三個問題：廣播風(fēng)暴、同一幀的多個拷貝、交換機 CAM 表不穩(wěn)定。

STP 基本思路是阻斷一些交換機接口，構(gòu)建一棵沒有環(huán)路的轉(zhuǎn)發(fā)樹。STP 利用 BPDU(Bridge Protocol Data Unit)和其他交換機進(jìn)行通信，從而確定哪個交換機該阻斷哪個接口。

為了在網(wǎng)絡(luò)中形成一個沒有環(huán)路的拓?fù)?，網(wǎng)絡(luò)中的交換機要進(jìn)行以下三個步驟：（1）舉根橋、（2）選取根口、（3）選取指定口。這些步驟中，哪個交換機能獲勝將取決于以下因素（按順序進(jìn)行）：

（1） 最低的根橋 ID（網(wǎng)橋優(yōu)先級 MAC 地址：交換機的默認(rèn)優(yōu)先級為 32768）；（2） 最低的根路徑代價；（3） 最低發(fā)送者橋 ID；（4） 最低發(fā)送者端口 ID。

交換機的端口要經(jīng)過幾種狀態(tài)：

禁用（Disable）

阻塞（Blocking）

監(jiān)聽狀態(tài)(Listening)

學(xué)習(xí)狀態(tài)（Learning）

最后是轉(zhuǎn)發(fā)狀態(tài)(Forwarding)。

RSTP

RSTP 中接口分為邊界接口（Edge Port）、點到點接口（Point-to-Point Port）、共享接口（Share Port）。如果接口上配置了 spanning portfast，接口就為邊界接口；如果接口是半雙工，接口就為共享接口；如果接口是全雙工，接口就為點到點接口。在接口上指明類型有利于 RSTP 的運行。

丟棄（Discarding）

學(xué)習(xí)狀態(tài)（Learning）

轉(zhuǎn)發(fā)狀態(tài)(Forwarding)

Postfast：當(dāng)計算機接入時， 接口立即進(jìn)入Listening 狀態(tài)，隨后經(jīng)過 Learning，最后才成為 Forwarding，這期間需要 30 秒的時間。這對于有些場合是不可忍受的可以配置 portfast 特性，使得計算機一接入，接口立即進(jìn)入 Forwarding。S1(config-if)#spanning-tree portfast

Uplinkfast：沒有配置 uplinkfast 時，交換機如果能直接檢測到接口上的鏈路故障，阻塞端口會立即進(jìn)入 Listen 狀態(tài)，這樣 30 秒就能進(jìn)入 Forward 狀態(tài)。然而如果 sw1 和 sw2之間存在一個 Hub，sw 1上的接口故障了，sw1將無法直接檢測到故障，sw1 只能等待 10個周期沒有收到 sw2 的 BPDU（每個周期 2 秒），20 秒中后，sw1 的接口才進(jìn)入 Listen 狀態(tài)，這樣總共 50 秒才就能進(jìn)入 Forward 狀態(tài)。所以 STP 重新收斂的時間通常需要 30—50 秒。

S1(config)#spanning-tree backbonefastSTP 保護(hù)：sw 將從 f0/15 收到 S3 發(fā)送的更優(yōu)的 BPDU，然而由于該接口上配置Root guard，sw 的接口進(jìn)入阻斷狀態(tài)。

sw(config-if)#spanning-tree guard root

CiscoPvst

Spanning-tree mode rapid-pvst

Spanning-tree vlan x root primary 或 spanning-tree vlan x pri 0

Spanning-tree vlan x root sercondary 或 spanning-tree vlan x pri 4096

Mstp

Spanning-tree mode mst

Spanning-tree mst configuration

Name xxx

Revision 1

Instance 1 vlan x,x,x,x

Instance 2 vlan x,x,x,x

Spanning-tree mst 1 root primary 或 spanning-tree mst 1 pri 0

Spanning-tree mst 2 root sercondary 或 spanning-tree mst 2 pri 4096

華為

兩種度量：

1、 ID:STP中的ID包括：BID(Bridge ID 橋ID)和PID(Port ID 端口ID)

2、 路徑開銷

三個選舉要素：

1、 跟橋

2、 跟端口

3、 指定端口

四個比較原則

1、 跟橋ID

2、 累計根路徑開銷

3、 發(fā)送者BID

4、 發(fā)送端口PID

STP/RSTP配置

Stp

System-view

Stp mode stp

Stp root (primary | secondary) 設(shè)置交換機為根橋或備份跟橋

stp enable 全局下開啟STP

stp pathxost-standard legacy 使網(wǎng)絡(luò)內(nèi)的所有交換機設(shè)備的端口路徑開銷使用相同的計算方法（華為私有）

端口模式下：stp disable 連接計算機的端口去掉stp

Stp cost xxxx 修改接口COSR值

Rstp

System-view

Sysname switchA

Stp mode rstp

Stp root primary

Stp root secondary

端口模式下：stp edged-port enable 配置為邊緣端口

Stp bpdu-filter enable 配置BPDU過濾

MSTP配置

System-view

Sysname switchA

Stp region-configuration

Region-name RG1

Instance 1 vlan 2 to 10

Instance 2 vlan 11 to 20

Active region-configuration

Stp instance 1 root primary 配置為的根橋

Stp instance 2 root seconadary 配置為備份根橋

在園區(qū)網(wǎng)中實施高可用性和冗余性

擁有高可用性的網(wǎng)絡(luò)可以為用戶訪問所有設(shè)備的路徑和關(guān)鍵服務(wù)器提供可供替換的方案，高可用性方案絕不僅僅指添加冗余設(shè)備。它意味著網(wǎng)絡(luò)設(shè)計人員在了解故障點的基礎(chǔ)上才對網(wǎng)絡(luò)進(jìn)行設(shè)計和規(guī)劃，以便在這些故障點出現(xiàn)問題時能夠使用可替換的解決方案。

理解高可用性

高可用性是確保整個網(wǎng)絡(luò)能過快速復(fù)原的技術(shù)，旨在增強IP網(wǎng)絡(luò)的可用性。用戶對網(wǎng)絡(luò)應(yīng)用的訪問必須跨越不同的網(wǎng)段，從企業(yè)骨干網(wǎng)到企業(yè)邊緣，在到服務(wù)提供商邊緣，最后穿越服務(wù)提供商核心網(wǎng)。所有網(wǎng)段必須具有足夠快速的復(fù)原能力，使用戶和網(wǎng)絡(luò)服務(wù)感受不到曾經(jīng)發(fā)生的任何問題。

SNMP

SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）由一組網(wǎng)絡(luò)管理的標(biāo)準(zhǔn)組成

一、Snmp版本：V1、V2定義在RFC1157中，其中定義了下列5種基本的SNMP消息，網(wǎng)絡(luò)管理器可以利用這些消息來被管理設(shè)備中的代理請求數(shù)據(jù)

1、 GET REQUEST （獲得請求）：用于向代理請求指定MIB變量的值

2、 GET NEXT REQUEST (獲得下一個請求)：用于初始的GET REQUEST之后，用于請求表格或列表中的下一個對象

3、 SET REQUEST(設(shè)置請求)：用來設(shè)置代理上的一個MIB變量

4、 GET RESPONSE(獲得響應(yīng))：代理用其來相應(yīng)管理器發(fā)出的GET REQUEST 或GET NEXT REQUEST 消息

5、 TRAP（陷阱）：代理用其向管理器主動發(fā)出告警。當(dāng)發(fā)生特定事件時，代理會發(fā)送TRAP消息，比如設(shè)備狀態(tài)的變更、設(shè)備或組成部分發(fā)生故障、代理初始化或重啟等。

二、基于團(tuán)體的SNMPV2定義在RFC1901中，這是最常見的SNMP實施版本。SNMPV2C部署了SNMPV1中定義的管理框架，也就是用戶需要通過讀/寫團(tuán)體字符串來獲得管理訪問權(quán)限。

SNMPV2中引入了以下兩個新的消息類型。

GET BULK REQUEST (獲取批量請求)：在請求大量數(shù)據(jù)時（比如請求表格），該消息減少了重復(fù)的請求和相應(yīng)消息，增強了性能

INFORM REQUEST(信息請求)：向SNMP管理器通告特定事件，與SNMP Trap消息不同的是，Trap消息是未經(jīng)請求而主動發(fā)送的，而NMS則是通過向請求設(shè)備返回INFORM RESPONSE （信息相應(yīng)）消息，來回復(fù)INFORM REQUEST消息的。

SNMPV2中添加了的數(shù)據(jù)類型：64位計數(shù)器，這是因為32位計數(shù)器很快會由于快速網(wǎng)絡(luò)接口而過時。

三、SNMPV3定義在RFC3410-3415中，這個版本為了保護(hù)被管理設(shè)備間傳輸重要數(shù)據(jù)的安全性，而添加了一些保護(hù)機制。

SNMP中引入了下列三個安全級別。

NOAUTHNOPRIV：不需要認(rèn)證，不提供隱私性（加密）

AUTHNOPRIV:基于HMAC-MD5或HMAC-SHA的認(rèn)證。不提供加密。

AUTHPRIV：除了認(rèn)證之外，還將CBC-DES加密算法用作隱私性協(xié)議

Cisco

Access-list 100 permit ip any

Snmp-server community cisco RO 100

Snmp-server community xyz123 RW 100

Snmp-server trap

華為IP服務(wù)水平協(xié)議

對于客戶來說。網(wǎng)絡(luò)已經(jīng)變得越來越重要，任何因故障造成的中斷或性能下降都會對其收益造成惡劣的影響。因此企業(yè)需要某種形式的IP服務(wù)可預(yù)見性。SLA是網(wǎng)絡(luò)服務(wù)提供商與其客戶之間的合約，或者是網(wǎng)絡(luò)部門與內(nèi)部企業(yè)客戶之間達(dá)成的共識。SLA可以為客戶提供某種形式的保障，用來確保用于體驗的水平。

主要功能：

邊緣到邊緣的網(wǎng)絡(luò)可用性監(jiān)測

網(wǎng)絡(luò)性能檢測和網(wǎng)絡(luò)性能的可見度

VOIP/視頻和VPN檢測

IP服務(wù)網(wǎng)絡(luò)健康狀態(tài)的準(zhǔn)備或評估

MPLS網(wǎng)絡(luò)檢測。

網(wǎng)絡(luò)運營的故障排除。

通過以下數(shù)據(jù)統(tǒng)計：、

網(wǎng)絡(luò)延遲和相應(yīng)時間

丟包狀態(tài)統(tǒng)計

網(wǎng)絡(luò)抖動和語音質(zhì)量評分

端到端網(wǎng)絡(luò)連通性

配置案例：

Cisco

Ip sla monitor 11 使其能夠相應(yīng)這個消息。

Type echo prot ipicmpecho source-int fa0/1

Frequency 10 10秒一次

Exit

Ip sla monitor schedule 11 life forever start-time now

Track 1 ip sla 11 reachability

華為RPR(路由處理器冗余性 Cisco)

版本：

RPR

RPR

配置：

redundancy

mode rpr-plus ：配置RPR

狀態(tài)化故障倒換（SSO Cisco）

配置：

redundancy

mode sso ：配置sso

FHRP(首跳冗余性協(xié)議 First Hop Redundancy Protocols )

提供了默認(rèn)網(wǎng)關(guān)的冗余性，其方法是讓一臺路由器充當(dāng)活躍的網(wǎng)關(guān)路由器，而另一臺或多臺其他的路由器則處于備用模式。

HSRP（熱備份路由協(xié)議 Cisco）

它可以提供網(wǎng)關(guān)的冗余性，且無需在子網(wǎng)內(nèi)的終端設(shè)備上進(jìn)行任何額外的配置。HSRP協(xié)議配置在一組路由器之間，這些路由器將會共同工作，對于局域網(wǎng)中的主機來說他們就是一個虛擬路由器。

管理員需要把虛擬路由器的IP地址配置為該網(wǎng)段中的主機的默認(rèn)網(wǎng)關(guān)。

HSRP提供了一種機制，來判斷哪臺路由器應(yīng)該充當(dāng)活躍角色而轉(zhuǎn)發(fā)流量。

HSRP狀態(tài)

配置案例：

Interface vlan 10

Ip address

Standby 10 ip

Standby 10 priority 110 默認(rèn)值是0，優(yōu)先級越高，越優(yōu)先

Standby 10 preempt 啟動搶占機制

Standby 10 track xx decrement xx配置追蹤變量

VRRP(虛擬路由器冗余性協(xié)議)Cisco

與HSRP相比，主要加入了一些特性并于IEEE兼容，可以實現(xiàn)一主多備

配置案例：

Interface vlan 1

Ip address

Vrrp 1 ip

Vrrp 1 timers advertise msec 500 更改計時器，計時器參數(shù)指明設(shè)備作為主用路由器的公告間隔時間

Vrrp 1 priority 90 設(shè)置優(yōu)先級

Vrrp 1 timers learn 作為備有路由器的學(xué)習(xí)狀態(tài)

GLBP(CISCO)

最多支持1024個組（HSRP最多支持16個）

一個AVG、若干AVF，AVG負(fù)責(zé)負(fù)載分擔(dān)AVF和AVG之間的流量

虛擬IP地址與AVG和AVF的真實IP地址不同

每組中的每個AVF/AVG有一個虛擬MAC

只可以追蹤對象訪問控制列表

訪問控制列表ACL

標(biāo)準(zhǔn)

檢查源地址

通常允許、拒絕的是完整的協(xié)議

擴展

檢查源地址和目的地址

通常允許、拒絕的是某個特定的協(xié)議

進(jìn)方向和出方向

注意：

訪問列表的編號指明了使用何種協(xié)議的訪問列表

每個端口、每個方向、每條協(xié)議只能對應(yīng)于一條訪問列表

訪問列表的內(nèi)容決定了數(shù)據(jù)的控制順序

具有嚴(yán)格限制條件的語句應(yīng)放在訪問列表所有語句的最上面

在訪問列表的最后有一條隱含聲明：deny any－每一條正確的訪問列表都至少應(yīng)該有一條允許語句

先創(chuàng)建訪問列表，然后應(yīng)用到端口上

訪問列表不能過濾由路由器自己產(chǎn)生的數(shù)據(jù)

Cisco

標(biāo)準(zhǔn)訪問列表 (1 to 99) 檢查 IP 數(shù)據(jù)包的源地址

access-list access-list-number {permit|deny} source [mask]

ip access-group access-list-number { in | out }

擴展訪問列表 (100 to 199) 檢查源地址和目的地址、具體的 TCP/IP 協(xié)議和目的端口

access-list access-list-number { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ] [ established ] [log]

配置案例：

access-list 101 deny tcp eq 21

access-list 101 deny tcp eq 20

其它訪問列表編號范圍表示不同協(xié)議的訪問列表

華為

按功能劃分的ACL

注意：華為設(shè)備在最后都會有一條默認(rèn)的permit any any Cisco設(shè)備默認(rèn)為deny any any 這一點要特別注意

配置案例：

基本ACL：

[Huawei]acl number 2100

[Huawei-acl-basic-2100]acl name test1 2001 命名

[Huawei-acl-basic-test1]rule 5 deny source 0 設(shè)置生效順序及規(guī)則

[Huawei-acl-basic-test1]int g0/0/1

[ Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2001 應(yīng)用到端口

高級ACL：

基于時間：

[Huawei]time-range satime 10:05 to 10:07 working-day 規(guī)定時間段

[Huawei]acl 3002

[Huawei-acl-adv-3002]rule 5 deny ip source destination time-range satime 基于源、目的IP地址，調(diào)用時間段

[Huawei-acl-adv-3002]int g0/0/5

[Huawei-GigabitEthernet0/0/5]traffic-filter inbound acl 3002

基于端口：

[Huawei]acl 3333

[Huawei-acl-adv-3333]rule deny udp destination-port eq 2222 source destination

[Huawei-acl-adv-3333]int g0/0/6

[Huawei-GigabitEthernet0/0/6]traffic-filter inbound acl 3333

ROUTER-MAPVLAN-MAPDHCP

動態(tài)主機配置協(xié)議（DHCP）允許設(shè)備動態(tài)獲得地址信息。

DHCP在RFC2131中定義，實際是基于BOOTP的。安建立在客戶/服務(wù)器模型上并定義了兩個組件：

服務(wù)器：傳送主機配置信息。

客戶：請求并獲得主機配置信息。

DHCP提供下面的優(yōu)點：

它減少了設(shè)備上的配置量

它減少了配置錯誤的可能性

它通過集中IP尋址信息從而提供了更多的控制

當(dāng)請求地址信息時，DHCP客戶經(jīng)歷4個過程：

。

，向客戶端提供IP地址信息。如果客戶端從多如服務(wù)器接受到住處，它選擇一個（通常情況下是第一個）

，客戶端向相應(yīng)的服務(wù)器回應(yīng)一條dhcprequest信息，告訴服務(wù)器它需要使用服務(wù)器提供的地址信息。如果只有一個服務(wù)器并且服務(wù)器的信息和客戶配置沖突，客戶將回應(yīng)一條dhcpdecline信息。

，表明它接收到dhcprequest信息，客戶接收地址信息。

注意：服務(wù)器也能回應(yīng)dhcpnack，告訴客戶端提供不再有效，客戶需要重新請求地址信息。這在服務(wù)器產(chǎn)生dhcpoffer信息后，如果客戶端的dhcprequest回應(yīng)不及時就會發(fā)生。

Cisco

DHCP包含兩種類型的設(shè)備：服務(wù)器與客戶端，IOS路由器支持這兩種功能。

服務(wù)器負(fù)責(zé)為客戶端分配地址信息。

客戶端從服務(wù)器請求地址信息。

配置案例：

r1(config)#ip dhcp excluded-address

r1(config)#ip dhcp excluded-address

r1(config)#ip dhcp pool DHCP

r1(dhcp-config)#network

r1(dhcp-config)#domain-name

r1(dhcp-config)#dns-server

r1(dhcp-config)#default-router 網(wǎng)關(guān)

r1(dhcp-config)#lease 5 租期

華為組播

組播特點：

解決了網(wǎng)絡(luò)中用戶數(shù)量不確定的問題，一份信息,多個接收者。

相同的組播數(shù)據(jù)流在每一條鏈路上最多僅有一份

組播優(yōu)勢：

減輕服務(wù)器和CPU負(fù)荷

減少了鏈路帶寬資源的占用

減輕了網(wǎng)絡(luò)設(shè)備的負(fù)載

組播劣勢：

盡力投遞:報文丟失是不可避免的。因此組播應(yīng)用程序不能依賴組播網(wǎng)絡(luò)進(jìn)行可靠性保證，必須針對組播網(wǎng)絡(luò)的這個特點進(jìn)行特別設(shè)計。"可靠組播"目前仍然處于研究階段。

沒有擁塞避免機制: 缺少TCP窗口機制和慢啟動機制，組播可能會出現(xiàn)擁塞。如果可能的話，組播應(yīng)用程序應(yīng)該嘗試檢測并避免擁塞。

報文重復(fù): 某些組播協(xié)議的特殊機制（如Assert機制和SPT切換機制）可能會造成偶爾的數(shù)據(jù)包的重復(fù)。組播應(yīng)用程序應(yīng)該容忍這種現(xiàn)象。

報文失序 : 同樣組播協(xié)議有的時候會造成報文到達(dá)的次序錯亂，組播應(yīng)用程序必須自己采用某種手段進(jìn)行糾正（比如緩沖池機制等）。

組播實施的條件：

硬件設(shè)施：

軟件技術(shù)：

預(yù)留常用的組播地址：

Cisco

ip multicast-routing

int e0/1

ip pim sparse-mode

int loo0

ip pim sparse-mode

ip pim bsr-candidate Loopback0ip pim rp-candidate Loopback0

華為

System-view

Sysname XXX

Dhcp enable(啟動DHCP服務(wù))

Ip pool 1(配置地址池)

Network mask (地址池范圍)

Dns-list (DNS地址)

Gateway-list (網(wǎng)關(guān))

Excluded-ip-address (剔除地址)

Lease day 10 (租期)

Interface vlanif 10

Ip add

Dhcp select global

NTP（地址轉(zhuǎn)換）靜態(tài) NAT ：這種 NAT 能夠在本地地址和全局地址之間進(jìn)行一對一的映射。 NAT 時，必須為網(wǎng)絡(luò)中的每臺主機提供一個公有因特網(wǎng) E 地址 。

動態(tài) NAT： 它能夠?qū)⑽醋缘?IP 地址映射到注冊 IP 地址池中的一個地址。不像使用靜態(tài)NAT 那樣，你無需靜態(tài)地配置路由器，使其將每個內(nèi)部地址映射到一個外部地址，但必須有足夠的公有因特網(wǎng) IP 地址，讓連接到因特網(wǎng)的主機都能夠同時發(fā)送和接收分組。NAT 重載這是最常用的 NAT 類型。

NAT 重載也是動態(tài) NAT ，它利用源端口將多個非注冊IP 地址映射到一個注冊 IP 地址(多對一)。 那么，宮的獨特之處何在呢?它也被稱為端口地址特?fù)Q (PAT)。通過使用 PAT (NAT 重載)，只需使用一個全局 1 地址，就可將數(shù)千名用戶連接到因特網(wǎng)，這是不是很酷?因特網(wǎng) IP 地址之所以還未耗盡，真正的原因就在于使用了 NAT重載。

Cisco

靜態(tài)NAT:

ip nat inside source static EthernetXip address nat insideinterface SerialXip address p nat outside

動態(tài)NAT：

ip nat pool todd nat inside source 1ist 1 pool toddinterface Ethernet0

ip address nat insideinterface Serial0ip address nat outsideaccess-list 1 permit ip nat inside source list 1 pool todd 讓路由器這樣做:將與 access-list 1 匹配的 IP 地址轉(zhuǎn)換為 IPNAT 地址池 todd 中的一個可用地址。在這里，不同于出于安全考慮而過濾數(shù)據(jù)流，訪問控制列表并非用來禁止或允許數(shù)據(jù)流通過，而用于指定感興趣的數(shù)據(jù)流。如果數(shù)據(jù)流與訪問控制列表匹配(即為感興趣的數(shù)據(jù)流)，則將其交給 NAT 進(jìn)程進(jìn)行轉(zhuǎn)換。這是訪問控制列表的一種常見用途，訪問控制列表并非總是用于在接口處阻斷數(shù)據(jù)流。

NAT重載：

這個示例將演示如何配置內(nèi)部全局地址重載，這是當(dāng)今使用的典型 NATo 除非需要進(jìn)行靜態(tài)映射(如映射到服務(wù)器 )，否則很少使用靜態(tài) NAT 和動態(tài) NAT。下面是一個 PAT 配置示例:ip nat pool globalnet netmask nat inside source list 1 pool globalnet overloadinterface EthernetOjOip address nat insideinterface SerialOjOip address nat outsideaccess-list 1 permit NAT 配置，該配置唯一不同的地方是，地址池只包含一個 IP 地址，且命令 ipnat inside source 末尾包含關(guān)鍵字 overload 。在這個示例中，注意到地址池只包含一個 IP 地址，它是外部接口的 E 地址。這適合只從 ISP 獲取一個 IP 地址的家庭或小型辦公室配置 NAT 重載。然而，如果有其他地址，如 ，也可使用它，這適合大型網(wǎng)絡(luò)，在這種環(huán)境中，可能有很多內(nèi)部用戶需要同時訪問困特網(wǎng)，必須重載多個公有 IP 地址。

驗證：

Router#show ip nat translations查看 IPNAT 轉(zhuǎn)換條目時，可能看到很多包含同一個目標(biāo)地址的轉(zhuǎn)換條目，這通常是由于有很多到同一臺服務(wù)器的連接。另外，還可使用命令 debug ip nat 來驗證 NAT 配置。在該命令的每個調(diào)試輸出行中，都包含發(fā)送地址、轉(zhuǎn)換條目和目標(biāo)地址:Router#debug ip nat

華為