xtggbmdk的博客

pvid，tagged与untagged pvid是交换机一个端口上的id，一个端口只能有一个pvid，多个端口可以有相同的pvid。一：接收数据 Untagged：不管收到的数据帧是否已经有VLAN标记，将数据帧中的vlan标记修改为自己的pvid。Tagged：收到的数据帧没有vlan标记时将数据帧中的vlan标记修改为自己的pvid；如果收到的数据帧上有vlan标记时不做修改。二：发送数据 Untagged：若数据帧中的VID与端口的PVID相等，则“去标签”并转发该帧；否则丢弃。

Huawei-ip-pool-vlan_10]excluded-ip-address 192.168.10.10 192.168.10.254 排除IP地址。[Huawei-ip-pool-vlan_10]dns-list 8.8.8.8 设置DNS服务器地址。[Huawei-dhcp-server-group-mygroup]dhcp-server 192.168.100.2 添加DHCP服务器的IP。

需要注意的是，ARP攻击的解决方法虽然可以缓解ARP攻击的影响，但并不能完全阻止ARP攻击的发生。静态ARP表绑定MAC地址：在网络管理员的控制下，将主机的IP地址与MAC地址进行绑定，使网络中的所有主机在通信时都必须首先访问该表。这样可以避免ARP缓存中出现虚假的MAC地址信息。使用ARP防火墙：ARP防火墙可以监控网络中的所有ARP请求和响应，并根据配置的策略来过滤和阻止欺骗的ARP数据包。ARP攻击是指攻击者通过伪造网络中的ARP协议数据包，欺骗其他计算机的网络通信，从而实现中间人攻击等目的。

3、把三层交换机当二层交换机使用，连接路由器的接口设置为Trunk模式，路由器使用子接口方式划分到不同的VLAN，并进行相应VLAN的IP及封装配置即可，这种方式就是独臂路由器模式。2、把三层交换机的接口划分到VLAN1中（不需要配置，默认就是VLAN1），并且配置VLAN1的IP地址，并且把与该交换机连接的路由器接口设置同网段的IP地址即可；1、把三层交换机的接口设置为三层接口，并且配置接口IP地址，这时该接口就是一个路由器接口，可以直接在路由器接口上配置同网段的IP地址进行通信；

每个设备都有一个唯一的MAC地址，通过将特定的MAC地址分配给不同的VLAN，可以实现设备的隔离。通过将交换机上的特定端口分配给不同的VLAN，可以实现网络的不同部分相互隔离。每个端口只能属于一个VLAN，这样可以确保数据只能在同一个VLAN内的设备之间传输，不同VLAN之间的设备则无法直接通信‌1。通过定义不同的子网掩码和IP范围，可以将属于不同子网的设备划分到不同的VLAN中。这种方法不需要改变物理连接，只需在路由器或交换机上配置相应的IP地址范围即可实现VLAN的划分‌1。

当交换机需要与网络层的设备通信时，可以在交换机上创建基于VLAN的VLANIF接口，用于通信，所以文中配置了多个vlanif，可以把vlanif想象成路由器的一个端口就更加容易理解了。划分VLAN后，同一VLAN内的用户可以互相通信，但是属于不同VLAN的用户不能直接通信。为了实现VLAN间通信，可通过配置逻辑的三层接口（VLANIF接口）来实现。交换机是基于MAC地址通信的，而路由器是基于IP 地址进行通信的。

port trunk allow-pass vlan 10 20 30 40 //允许通过的vlan10.20.30.40。port default vlan 10 //把端口GigabitEthernet0/0/4划给vlan10。interface GigabitEthernet0/0/1 //进入接口。

通过三层交换机和单臂路由两种方式：一、vlan的基本介绍vlan，全称为“Virtual Local Area Network”，中文名为“虚拟局域网”。vlan的用处，简单的理解，就是将许多主机人为划分成几个队列，不仅方便管理，也加快的查询速率。举个例子，比如说，高三的学生一共有500人，大家乱一团，如果想要找到Ａ，就得一个一个找。假如，将所有人按50 人分为20个班。你就可以先找到他们班级，再从班里找到他。不同vlan之间的通信，就可以理解为两个班级的人如何交流。

华为交换机默认的路径开销计算标准使用的是标准的dot1t。[SwitchA] stp root primary //也可以使用命令stp priority 0 配置优先级为0，和stp root primary的作用是一样的。从上面的官方定义，可以看出：STP协商完成后，端口要么被阻塞，要么正常转发报文。STP协议是根据4个维度进行选举协商的，设备之间通过发送BPDU报文，经过4个维度的比较，最终会阻塞综合能力最差的端口。经过4个维度的比较，最终会协商出端口的角色和状态，确定报文流量的转发路径。

华为防火墙系统默认的系统默认区域有四个，且优先级不能更改：非受信区(Untrust) 优先级5，非军事化区(DMZ)优先级50，受信区(Trust) 优先级85，本地区域(Local) 优先级100；Untrust区域：不信任的接口，是用来接internet的，这个接口的信息内网不接受，可以通过untrust口访问DMZ，但不能访问trust口。是局域网的接口，此接口外网和DMZ无法访问，外部不能访问trust口，DMZ不能访问trust口。就算是黑客把DMZ服务器拿下，也不能使用服务器来控制内网的网络。

先在R2系统视图中使用命令undo acl all或者undo acl 2000清除相应的acl，接口上的acl在接口视图使用命令undo traffic-filter inbound/outbound清除。（2）在R2上配置高级 ACL，使得 R1不能ping通R3，但可以telnetR3,而且可以正常访问其他设备。R1不能ping通R3（配置高级ACL），但是可以telnetR3，并且可以正常访问其他设备。R1不能访问R3（配置高级ACL），但可以正常访问其他设备。（1）在R2上重新配置高级acl。

配置静态NAT，使得PC1和PC2可以访问公网上的R3。1.配置设备IP2.配置OSPF并配置默认路由，实现内网互通。[R1]ospf[R2]ospf3.配置静态NAT[R2-GigabitEthernet0/0/1]nat static global 202.100.10.6 inside 192.168.1.1 //当内网192.168.1.1要上网时，使用公网IP202.100.10.6。