HCIA基础笔记

最新推荐文章于 2025-04-06 02:26:24 发布

A.晴栀

最新推荐文章于 2025-04-06 02:26:24 发布

阅读量1k

点赞数 26

文章标签：笔记网络

本文链接：https://blog.csdn.net/2301_80036439/article/details/143449667

版权

一、HCIA的定义

HCIA———华为体系下的初级网络工程师。

二、网络的定义

网络就是利用传输介质将世界不同位置的计算机连接在一起，就形成了一张网----可以进行信息传递和资源共享。

三、网络基础

计算机——电脑：处理电信号--数字信号，实现了电信号到数字信号的转换。

应用层 (Application Layer)：应用层是协议栈的最高层（抽象语言），它负责为用户和应用程序提供网络服务。这包括定义特定应用程序或服务的协议，例如电子邮件 (Email)、网页浏览 (Web Browsing) 或文件传输 (File Transfer)。应用层确保数据以正确的格式和编码进行传输，并确保数据的安全性和完整性。
表示层 (Presentation Layer)：表示层位于协议栈的中间层次，它负责处理数据格式和编码。它确保在不同设备之间传输的数据能够被正确解释和显示。表示层可能会转换数据格式，例如从文本转换为二进制，或添加加密以确保数据的安全性。
控制层 (Transport Layer)：控制层负责管理和控制网络中的数据传输。它确保数据可靠地从一台设备传输到另一台设备。控制层协议包括传输控制协议 (TCP - Transmission Control Protocol) 和用户数据报协议 (UDP - User Datagram Protocol)。TCP 提供可靠的数据传输，确保数据包按照正确的顺序到达，而 UDP 则提供更快的数据传输，但不保证可靠性。
网络层 (Network Layer)：网络层负责在网络中传输数据包。它决定数据包的路由路径，并确保它们到达正确的目的地。网络层协议包括互联网协议 (IP 地址)，它定义了数据包的寻址和路由规则。
数据链路层 (Data Link Layer)：数据链路层负责在相邻节点之间传输数据。它处理数据帧、错误检测和流量控制。数据链路层协议包括以太网 (Ethernet)、令牌环 (Token Ring) 和无线局域网 (WLAN - Wireless LAN)。
物理层 (Physical Layer)：物理层是协议栈的最底层，它负责将数据转换为电信号或光信号，并通过网络媒介（例如电缆或无线信道）传输数据。物理层定义了物理连接、数据编码和信号传输标准，确保数据在物理介质上顺利传输。
总结： 计算机网络协议栈是一个分层结构，它定义了网络通信的标准和规则。应用层满足用户和应用程序的需求——表示层处理数据格式和编码——控制层管理数据传输——网络层负责路由和寻址——数据链路层处理相邻节点之间的传输——物理层则负责数据的物理传输。通过遵循协议栈，我们可以实现可靠、安全和高效的网络通信，连接各种设备和系统，支持多方互动和资源共享。

四、网络变大

什么叫网络变大？

网络变大是指互联网的规模和范围不断扩大的现象。

网络变大的原因：

1.网络节点数量增多

2.距离的延长

传输介质：

铜缆

同轴电缆：网络早期使用，速率较低，优点是耐用，传播距离长，抗干扰强。多用于射频领域，基站，WiFi，电视信号传输。

双绞线

组成：8根铜丝，两两相交

分类：

1.屏蔽双绞线----在绝缘皮下方还有一圈金属壳，主要为了屏蔽外界干扰---应用于强干扰环境。

2.非屏蔽双绞线----可以降低电磁干扰的影响，并提供良好的信号传输质量---应用于日常环境

线类：常见的5类--超5类线。线类越高，铜丝越粗，绞的越紧---速度更快，抗干扰能力更强。

光纤

定义：光纤是一种由挤压的玻璃或塑料制成的柔韧的透明纤维，粗略于人的头发。

需要信号转换：

光信号转换成电信号：发光二极管，注入式激光二极管

电信号转换为光信息：光电二极管

分类：

单模：应用注入式激光二极管，光在纤维中横向（直线）传输——光源贵，线便宜

多模：应用发光二极管，光在光纤中全反射传输——光源便宜，线贵

无线传输

无线和有线一个属于导向型介质，一个属于飞导向型介质，在传输技术上有较大的区别。无线的最大特点就是移动性好，连接方便。

中继器——放大器

定义：中继器是一种网络设备，用于将网络信号从一个位置传递到另一个位置，扩大网络的覆盖范围。

5倍距离的延长

信号衰减

信号挂失

网络拓扑结构—指示设备如何连接到网络中

直线型拓扑结构—引入中继器或交换机来增强其可靠性和扩展性。

特点：

1.具有明确的传输路径，数据从一个节点传输到另一个节点只需要通过它们直接相连的链路即可。

2.直线型拓扑结构的传输效率较高。

然而，直线型拓扑结构也存在一些问题。首先，如果网络中某个节点发生故障，整个线路都会中断，导致其他节点无法通信。其次，节点之间的距离较远，信号传输延迟较高。此外，直线型拓扑结构的扩展性不佳，新增节点需要重新布线。

环型网络结构

特点：

对称性：环型网络结构中的节点具有相同的角色和功能，没有中心节点，任何节点之间的距离相等。
连接紧密：由于每个节点都与其相邻的两个节点直接相连，环型网络结构中的节点之间的连接非常紧密，信息传输效率高。
容错性强：环型网络结构中的每个节点都可以通过其他节点与整个网络进行通信，因此即使某个节点发生故障，整个网络仍然可以正常工作。
适用性广泛：环型网络结构适用于各种应用场景，例如通信网络、计算机网络、传感器网络等。

尽管环型网络结构具有一些优点，但也存在一些限制。例如，环型网络结构中的节点数量通常受限于物理空间的大小，不适用于大规模网络。此外，环型网络结构中的节点之间通信的延迟较高，可能会影响一些实时性要求较高的应用。

星型拓扑结构---企业

特点：

1.中央交换机或者路由器起到了集中控制的作用，可以实现网络中的数据转发和管理。

2.每个设备都可以直接与中央交换机或者路由器通信，不需要通过其他设备进行数据传输。

3.当一个设备故障时，不会影响其他设备的通信，只会影响该设备的通信能力。

4.星型拓扑结构可以较为灵活地扩展和管理，可以根据需要添加或移除设备。

网状拓扑结构

特点

具有高度的冗余性和可靠性。

存在问题：

1.安全问题

来自于网络节点、链路、路由器等各个环节

2.垃圾信息延迟问题

网络拓扑结构中传输的垃圾信息（如垃圾邮件、垃圾广告等）对网络的影响。

3.地址问题

MAC地址—物理地址——作用：标识和区分不同的设备身份

48位二进制---为了方便人类识别和处理用16进制表示，前24位二进制代表不同的网络厂商，后24位二进制是厂商生产该设备添加的物理串号

4.冲突问题

—CSMA/CD—载波侦听多路访问/冲突检测机制—排队

解决存在方案

交换机——网桥（二进制—电流信号）

1.无限的传输距离----交换机采用了一种存储转发的通讯模式（读和重写）

2.完全没有冲突----改为存储+转发（根源上解决问题）

3.一对一的单播----交换机的转发原理

当交换机收到一个数据包，首先会记录数据包中的源MAC地址和接收接口的对应关系到MAC地址表中，之后在转发过程中会查看数据包中的目标MAC地址，如果MAC地址表中存在记录则直接按照记录关系单播转发，如果没有记录则洪范（除了接收到这个数据包的接口以外，向所有剩下的接口复制转发一次改数据包）

总结：

对等网—网络变大—中继器（延长距离）/集线器（增加节点数）—交换机——洪范：范围——路由器：

路由器作用：

1.隔离洪范范围

2.转发单播的流量

五、IP地址

IP地址由32位二进制构成--例如----11000000 10101000 00000001 00000001

如何查看widows电脑IP地址？

按下Win + R键，在运行对话框中输入“cmd”并按下Enter键，打开命令提示符。
在命令提示符中输入“ipconfig”并按下Enter键，将显示与网络连接相关的详细信息。
在显示的信息中，找到与你的网络连接对应的适配器（如无线适配器或以太网适配器）。
在该适配器的信息中，找到“IPv4地址”，即为你的Windows电脑的IP地址。

IPv4地址.................：172.16.60.39------点分十进制

八位二进制换算方法：

00000000=0

00000001=1

00000010=2

00000100=4

00001000=8

00010000=16

00100000=32

01000000=64

10000000=128

所以对于11000000.10101000.00000001.00000001的转化为

128+64+0+0+0+0+0+0=192

128+0+32+0+8+0+0+0=168

0+0+0+0+0+0+0+1=1

所以最终结果为192.168.1.1

子网掩码

32位二进制，必须是连续的0和连续的1，让子网掩码为1的部分代表IP地址的网络位，网络位相同则代表地址在一个范围，如果网络位不同则代表地址不在一个范围和主机位（范围内部的主机分配的地址）

例如：255.255.255.0 / 11111111.11111111.00000000.00000000

ARP---地址解析协议

通过一种地址获取另外一种地址的协议

正向ARP

已知目标IP地址获取目标MAC地址如果不知道目标的MAC地址，就会触发ARP行为，ARP会发送一个目标MAC为全FF的数据包（一旦交换机收到全FF的数据包就会强制洪范---广播），数据包中包含源MAC地址，当目标主机收到该数据包就会记录源MAC地址和对应IP地址的对应关系到ARP表中，之后查ARP表进行回复，其他非目标主机仅记录信息，不会回复。

反向ARP

是一种网络协议，用于根据已知的IP地址确定与之关联的物理地址（MAC地址）。与常规的ARP协议不同，常规的ARP协议是根据给定的MAC地址确定相应的IP地址。反向ARP主要用于无线网络或以太网中，可以帮助确定IP地址与MAC地址之间的映射关系。

免费ARP

是一种利用ARP协议漏洞进行的攻击方式，可通过网络交换机、静态ARP绑定和网络防火墙等手段来防范。

Ping-测试网络连通性

IPV4--地址的分类

A B C ---单播地址

D---组播地址---只能作为目标使用

E---保留地址

0-127----A类地址，默认掩码是255.0.0.0

1-126---真实的取值，默认掩码是8

128-191---B类地址

192-223---C类地址

224-239---D类地址

240-255--E类地址

特殊IP地址

（1）127.0.0.0/8----环回地址（测试地址）

在计算机网络中被用于在本地主机上进行网络测试和诊断。当一个应用程序发送数据到环回地址时，数据包将会被立即返回到发送方，而不会经过网络传输。

（2）主机位全0的地址-----192.168.1.0 24——代表一个网络范围（网段）

用于网络中表示整个子网的地址，也被称为网络地址或网络标识符。在 IPv4 地址中，主机位全0的地址表示的是该子网的网络地址，在网络中用于识别和区分不同的子网。

（3）主机位全1的地址-----192.168.1.255——直接广播地址

用于表示一个子网中的广播地址。广播地址用于将数据包发送到同一子网中的所有主机。当一个主机发送广播数据包时，这个数据包会被发送到该子网中的所有主机，包括源主机本身。

（4）全0的IP地址

0.0.0.0----DHCP动态获取IP地址时使用（没有IP地址），路由（代表所有IP 地址）

（5）全1的IP地址

255.255.255.255----受限广播地址

（6）169.254.0.0/16

获取IP地址失败，设备自动生成的地址

子网划分——VLSM--借位（针对主机位进行借位）

子网划分是将一个大的IP地址空间分割成多个较小的子网的过程。通过子网划分，可以更有效地管理IP地址和网络资源，并提高网络性能和安全性。

在IPv4网络中，子网划分是通过子网掩码来实现的。子网掩码是一个32位的二进制数，用于指示IP地址中哪些位是网络部分，哪些位是主机部分。子网掩码中的1表示网络部分，0表示主机部分。

子网划分的步骤如下：

确定需要划分的IP地址空间的大小和需求。根据网络规模和主机数量确定需要的子网数量和每个子网所需的主机数量。
根据需求选择合适的子网掩码。子网掩码的长度决定了网络部分和主机部分的划分方式。较长的子网掩码可以产生更多的子网，但每个子网可用的主机数量较少。
将IP地址空间划分成多个子网。根据子网掩码将IP地址划分为网络地址和主机地址。
为每个子网分配一个唯一的网络地址。网络地址是子网的标识符，用于路由数据包到达正确的子网。
分配每个子网中的主机地址。根据需要为每个子网分配一定数量的主机地址。

通过子网划分，可以将大的IP地址空间划分成多个较小的子网，使网络管理更加灵活和高效。同时，子网划分也可以提高网络的安全性，因为不同的子网可以有不同的安全策略和访问控制规则。

子网汇总----取相同去不同

子网汇总是将多个相邻的子网合并成一个更大的子网的过程。通过子网汇总，可以减少路由表中的条目数量，简化网络路由，并提高路由器的性能。在进行子网汇总时，需要满足以下条件：

子网必须是相邻的。相邻的子网是指它们的网络地址部分相同，但主机地址部分不同。
子网的子网掩码必须相同。只有子网掩码相同的子网才能进行汇总。
汇总后的子网大小必须包含所有要汇总的子网。汇总后的子网要能够容纳所有要汇总的子网中的主机和网络。

子网汇总的步骤如下：

确定要汇总的子网。选择相邻的子网进行汇总。
确定汇总后的子网掩码。汇总后的子网掩码要能够包含所有要汇总的子网。
计算汇总后的网络地址。将要汇总的子网的网络地址进行逻辑运算得到汇总后的网络地址。

通过子网汇总，可以将多个相邻的子网合并成一个更大的子网，减少路由表中的条目数量，简化网络路由，并提高路由器的性能。子网汇总也可以减少网络的广播和路由器之间的通信量，提高网络的可伸缩性和效率。

六、OSI参考模型

什么叫做OSI参考模型？

OSI参考模型（Open Systems Interconnection Reference Model）是国际标准化组织（ISO）在1984年制定的一种网络通信模型，用于描述计算机网络中不同层次之间的通信协议和功能。

OSI的七层参考模型

物理层（Physical Layer）：负责传输比特流，处理物理连接和电信号传输。
数据链路层（Data Link Layer）：负责将比特流转换为数据帧，并进行差错检测和纠正，以及流量控制。
网络层（Network Layer）：负责选择合适的路径进行数据包的传输，进行路由和寻址。
传输层（Transport Layer）：负责建立、维护和终止端到端的传输连接，提供可靠的数据传输服务。端口号---16位二进制，65536个端口号---（0没有使用）1-65535---1-1023—知名端口号（著名端口号） SPORT：x DPORT：80/443 SIP:主机DIP服务器 SMAC：主机DMAC：网关
会话层（Session Layer）：负责建立、维护和终止应用程序之间的会话。
表示层（Presentation Layer）：负责数据格式化、加密和压缩，以确保不同系统之间的数据能够正确解释。
应用层（Application Layer）：负责提供服务和协议，以供应用程序和用户进行通信。

核心——分层

好处：

1.更利于标准化

2.降低层次之间的关联性--每一层都在下层的基础上提供增值服务

3.更利用理解和学习

TCP/IP模型---协议簇

PDU---协议数据单元

应用层数据---数据报文传输层数据---数据段

网络层---数据包

数据链路层数据--数据帧物理层--比特流

封装与解封装

七、ensp

一、一些eNSP的使用技巧

1、TAB键——用于自动补全指令。

2、？——用于命令提示符。

3、PS——用于命令支撑自动补全。

4、quit——用于退出当前命令的命令，返回上一层。

5、system-view——用于配置和管理设备。

6、display this ——用于查看当前视图所有配置。

7、sysname 起名

8、<Huawei> 用户视图仅具有查询权限

9、<Huawei>system-view 进入系统视图

10、[Huawei] 系统视图可以进行部分的命令配置

11、Ctrl+Z 直接跳回用户视图

12、display this 查询当前视图下的所有配置

13、Undo 删除---------

14、<Huawei>save 保存

二、路由器的配置

放置AR1，并设置AR1的0/0/0接口的IP地址为192.168.1.1子网掩码为255.255.255.0或24；设置AR1的0/0/1接口的IP地址为192.168.2.1子网掩码为255.255.255.0或24。

三、DHCP服务的配置

创建地址池塘IP pool aaa的配置
system-view ——进入系统视图

dhcp enable——开启dhcp服务功能

ip pool aaa——创建地址池塘

network 192.168.1.0 mask 24——宣告该池塘可以下发的IP地址范围

gateway-list 192.168.1.1——下发网关

dns-list 192.168.1.2 8.8.8.8——下发DNS信息

interface GigabitEthernet 0/0/0——进入接口配置模式

dhcp select global——全局关联DHCP配置

四、路由器获取位置网段的方法：

静态路由-----尤网管手动添加的方式---手写的路由条目

ip route-static +目标网段+掩码 +下一条的接口IP

Pre：优先级 0-255 ，数值越大，优先级越低。

display ip routing-table protocol static 查询由静态路由生成的路由表

静态路由选路原则：尽量选择最短路径的路由

拓展配置：

负载均衡：当路由器访问同一个目标且目标具有多条开销相似的路径时，可以让设备将流量拆分后延多条路径同时发送，以达到叠加带宽的作用。
环回接口：路由器配置的一个虚拟接口，一般用于虚拟测试，不需要设备支持。

interface LoopBack 0 创建环回接口编号为0

ping -a 192.168.1.1 192.168.2.1 指定192.168.1.1 ping 192.168.2.1

手工汇总：当路由器可以访问多个连续的子网时，若均通过相同的下一跳，则可以将这些网段进行汇总计算，之后仅编辑汇总过后的网段的静态路由，即可达到减少路由条目提高转发效率的目的。

路由黑洞：在汇总中若包含网络中实际不存在的网段时，可能使数据包有去无回，造成链路资源的浪费（合理的子网划分可以尽量减少路由黑洞）

缺省路由：一条不限定目标的路由条目，查表时，若本地路由条目均不匹配，则直接匹配缺省路由。

ip route-static 0.0.0.0 0 12.0.0.2

特征：一旦缺省路由与黑洞路由相遇，将百分之百形成路由环路

空接口路由：在黑洞路由器上，配置一条达到汇总网段并指向空接口的路由

①空接口--null0，路由器的一个虚拟接口，如果一条路由被指向noll0接口，则代表将该流量丢弃

②路由表匹配原则：精确匹配原则/最长匹配原则

2、动态路由-----所有路由器上运行相同的一种动态路由器协议，之后通过路由器之间的沟通协商最终计算生成的路由条目

动态路由协议的优点：可以根据拓扑的变化而实时更新

动态路由协议的缺点：1.额外占用链路资源2.安全风险3.选路错误的风险

动态路由协议的分类：

基于AS进行分类------ -IGP内部网关协议 EGP外部网关协议

AS：自治系统标准编号0-65535 其中1-64511公有 64512-65535私有

IGP：RIP OSPF EIGRP ISIS

EGP：BGP

IGP协议的分类：

基于更新时是否携带子网掩码
基于工作特点进行分类

①DV距离矢量型协议 RIP EIGRP 邻居间分享路由表；以跳数作为开销算法：贝尔曼福特算法

②LS链路状态型协议 OSPF ISIS ；邻居间共享拓扑信息，再由本地自己计算生成路由条目算法：SPF

RIP：路由信息协议距离矢量型协议基于UDP520号端口使用跳数作为开销存在V1 V2 NG（使用于ipv6）三个版本

V1版本于V2版本的区别

①V1版本为有类别路由协议---不携带子网掩码 V2版本为无类别路由协议---更新时携带子网掩码

②V1是广播更新255.255.255.255 V2是组播更新224.0.0.9

③ V1不支持手工认证 V2支持手工认证（通讯会被加密，增加安全性）

周期更新的意义：

保活（每30s触发一次，一共触发6次）
没有确认机制

RIP的破环机制

水平分割------从此口入不从此口出（仅能够从直线型拓扑中避免环路，其主要作用是控制重复更新）
最大跳数 15跳
触发更新：毒性逆转水平分割
抑制计时器

[R1]rip 1 启动时需要定义进程号仅具有本地意义

[R1-rip-1]version 1 选择V1版本

宣告：rip只能进行主类的宣告宣告基于主类网段找到属于该网段的接口

1.激活接口---收发rip信息

2.该接口的信息可以共享给邻居

[R1-rip-1]network 1.0.0.0

[R1-rip-1]network 12.0.0.0

[R1]rip 1

[R1-rip-1]version 2

[R1-rip-1]undo summary 关闭自动汇总

RIP的扩展配置

RIP V2的手工汇总

手工汇总---在更新的源头设备，所有更新出发的接口上进行汇总配置即可

[R1]interface g 0/0/0 从哪儿发出从哪儿汇总

[R1-GigabitEthernet0/0/0]rip summary-address 1.1.0.0 255.255.252.0 在该接口上进行关于rip的手工汇总

RIP V2的手工认证：在两台运行RIP协议的路由器间进行配置，让两台邻居设备发出的数据中携带身份核实的密钥，也可同时对传输的数据进行加密

[R1]interface g 0/0/0 必须在和邻居相连的接口上

[R1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 666666 在该接口上进行关于的手工认证认证模式为md5 密码为666666

被动接口---仅接收不发送路由协议信息，仅限连接用户PC的端口使用，不得用于路由器之间，否则将导致无法正常使用。

[R1-rip-1]silent-interface GigabitEthernet 0/0/1 在RIP1的进程中设定沉默接口为g0/0/1

加快收敛

30s 更新 180s 失效 180s 抑制 300s刷新

①认为修改计时器可以一定程度上加快收敛速度，但是不易修改过小，建议不修改

②尽量维持原有的倍数关系

③一旦修改计时器全网设备均需修改

timers rip 30 180 300

缺省路由---在边界路由器上，进行RIP的缺省配置后，该设备将向内部运行的所有设备发送一条指向该设备的缺省更新，使得内部所有运行RIP协议的设备自动生成缺省路由，下一跳均指向边界路由器。边界路由器自身通往外网的路径依旧需要管理员通过静态路由手工定义。

[R3-rip-1]default-route originate 在边界路由器上下发缺省路由

五、OSPF的基础配置

[R1]ospf 1 router-id 1.1.1.1 创建ospf进程进程号为1 RID为1.1.1.1

[R1-ospf-1]area 0 进入0区

[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

[R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255

反掩码

[R2]display ospf peer brief 查看邻居表

[R2]display ospf lsdb 查看数据库表

注意：一旦修改参考带宽，全网设备均需修改

Ospf的扩展配置

①从邻居关系建立成为邻接关系的条件

网络类型 ----

点到点的网络：在一个网段内仅支持存在两个节点
MA：多路访问---在一个网段内支持存在的节点不限

OSPF在点到点的网络类型中所有邻居将直接成为邻接关系

在MA的网络类型中，若所有的设备间均为邻接关系将会产生大量的重复更新，故进行DR/BDR的选举，所有非DR/BDR设备之间将维持邻居关系。

选举规则：

①先比较参选设备的接口的优先级，默认1；范围0-255，数值大为优

②若参选接口的优先级相同，比较参选设备的RID，数值大为优。

DR/BDR是非抢占性的，故所需要网段内进行重新选举，需要重启该网段内的所有参选设备的OSPF进程；若参选接口优先级为0，则默认放弃参选，一个网段内至少需要存在一台DR设备。

<R1>reset ospf process 重启ospf进程

手工认证

[R2-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 666666 模式编号密码

手工汇总------区域汇总；在ABR（域间路由器）上将A区域的路由汇总后共享到B区域。

[R2-ospf-1-area-0.0.0.0]abr-summary 1.1.0.0 255.255.252.0

被动接口---沉默借口

[R1-ospf-1]silent-interface g 0/0/1

加快收敛----修改计时器

修改一台设备的某个接口的hellotime后，该接口的deadtime将自动关闭匹配。邻居间直连接口的hellotime和deadtime拖不一致，将不能建立邻居关系。不建议修改的过小不建议修改

六、VLAN的配置

[sw1]vlan batch 2 to 6 批量创建vlan

[sw1]display mac-address 查看MAC地址表

[sw1-GigabitEthernet0/0/1]port link-type access 定义该接口下链路类型为access链路

[sw1-GigabitEthernet0/0/1]port default vlan 2 定义该接口属于vlan2

[sw1-GigabitEthernet0/0/5]port link-type trunk 定义该接口下链路类型为trunk链路

[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan all 允许该trunk链路所通过的vlan为所有

[R26]interface g 0/0/0.1 进入g0/0/0这个物理接口的子接口

路由器的子接口---虚拟接口---将一个路由器的一个物理接口逻辑上切分为多个虚拟子接口

[R26-GigabitEthernet0/0/0.1]dot1q termination vid 2 让该子接口执行802.1q标准，同时定义该子接口处为vid--vlan2的网关

[R26-GigabitEthernet0/0/0.1]arp broadcast enable 开启该子接口的arp广播

七、ACL的配置

[R2]acl 2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上调用acl2000

[R2-acl-basic-2000]rule permit source any 规定允许所有IP通过

[R2]ACL name classroomA

扩展ACL

关注数据包中的源IP以及目标IP

由于扩展ACL可以对数据流量进行精确分析，故越靠近源越好。

[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0

在关注源/目标IP地址的同时，在关注目标端口号

[R1-acl-adv-3000]rule deny tcp source 192.168.4.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

规定拒绝 tcp行为中的源192.168.4.1 向目标 192.168.2.2 的端口号为23的行为

[R1-acl-adv-3000]rule 7 deny icmp source 192.168.4.1 0.0.0.0 destination 192.168.3.1 0.0.0.0

规则7 拒绝源IP 192.168.4.1 向目标IP 192.168.3.1 的ICMP行为

八、Telnet——远程登陆协议

放置另一个路由器AR2并且连接并配置AR1与AR2之间的线路
AR1

system-view

interface GigabitEthernet 0/0/2

ip address 192.168.3.1 24

AR2

system-view

interface GigabitEthernet 0/0/0

ip address 192.168.3.2 24

配置Telnet远程登录
aaa——进入aaa空间

local-user aaa password cipher 123456——创建用户和密码

local-user aaa service-type telnet---该账号服务与什么协议（功能）

local-user aaa privilege level 0——登陆权限，通过该账户登陆的权限大小，数值越大权限越高（范围在0-15）

user-interface vty 0-4——（VTY 0-4表示可以同时有多个远程终端会话进行管理操作。）

authentication-mode aaa——创建用户登陆接口关联AAA的账号和密码

九、NAT

[R2-GigabitEthernet0/0/1]nat static global 12.1.1.1 inside 192.168.1.2

[R2]display nat static 查询nat映射关系

一对多

[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

[R2-GigabitEthernet0/0/1]nat outbound 2000

多对多

创建公网地址池

[R2]nat address-group 1 12.1.1.2 12.1.1.10

其中包含 12.1.1.12------12.1.1.10

注意：1.必须是公网 2.必须是连续的IP

[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

在该接口上将acl2000定义的感兴趣流量交给公网地址池 1 进行NAT转化

No-pat 添加则代表为静态多对多不添加则是动态多对多

静态多对多：多个一对一

动态多对多：多个一对多

端口映射

[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.2.10 80

[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 192.168.2.20 80

八、协议

应用层协议

Http:80 / Https:443

FTP:文件传输协议：21/20

Telnet--远程登陆协议：23

Ssh--安全的远程登陆协议：22

DHCP--动态主机配置协议：67/68DNS--域名解析协议：53

传输层---TCP UDP

网络层---IP协议

数据链路层--以太网协议

以太网协议--

前导符

类型字段---标注上层使用的协议---解封装过程中非常重要的参数

FCS--帧校验序列

传输层---TCP UDP

TCP和UDP优缺点

1.TCP是面向连接的协议---TCP的三次握手，而UDP是无连接的一种传输协议

2.TCP协议的传输时可靠的（排序/确认/重传/流控），而UDP的传输的不可靠的

TCP的流控---滑动窗口机制

3.TCP可以进行分段，而UDP不能

4.TCP可用进行流控，而UDP不能

5.TCP传输消耗资源大，传输效率低，而UDP传输速率快，资源消耗低

TCP---文件和邮件等

即时通讯软件---UDP

TCP的三次握手

UDP

IP协议

协议号---7 TCP 16 UDP分片

ospf协议

无类别链路状态IGP

1.距离矢量型协议：运行距离矢量型协议的路由器周期性的泛洪自己的路由表，通过路由的交互，每台路由器从相邻的路由器学习到路由，并且加载进自己的路由表中；对于网路中的所有路由器而言，并不清楚网络的结构，只是简单的知道通完某个目的地有多远方向在哪儿，这既是距离矢量型协议的本质。

2.链路状态型协议：与距离矢量型协议不同，链路状态型协议通告的是链路状态信息，而不是路由表。运行链路状态协议的路由器之间会首先建立一个临时的邻居关系，然后彼此之间开始交互LSA（链路状态通告），路由器将收到的LSA信息存储与本地的LSDB（链路状态数据库）中，路由器通过同步后的LSDB便可以掌握全网的拓扑结构。最后，由本地算法计算出到达各个节点的最优路径，加载于本地路由表中。

支持等开销的负载均衡

基于组播进行更新 224.0.0.5 224.0.0.6

支持触发更新；每30min周期更新一次 10s hello包

需要结构化的部署---区域划分地址规划

区域划分的规则：

星型结构骨干区域为0区，大于0为非骨干区域，所有非骨干区域必须接入到骨干区域上
ABR---域间路由器两个/多个区域互联时，必须存在ABR---同时工作在两个/多个区域之间的路由器

Router-ID （路由器标识符），用于在一个ospf域中唯一的标识一台设备 RID的设定可以通过手工定义或系统自动生成的方式-----（一定要手工配置），如果让系统自动生成----优先配置设备环回的最大数值，则使用物理接口最大数值

使用cost值作为度量值 cost=参考带宽/接口带宽默认参考带宽为100M；整段路径的cost值之合越小则越佳。

若接口带宽大于参考带宽，则度量值默认为1，所以在接口带宽大于参考带宽的网络中，可以认为的修改参考带宽。

OSPF的数据包类型

hello包用于邻居间的发现关系建立和周期保活
DBD/DD包数据库描述包用于携带本地的数据库目录
LSR包链路状态请求包查看完对端的DBD包后，基于本地的LSDB去向对端索要自己没有的LSA信息
LSU包链路状态更新包携带各种LSA信息
LSACK包链路状态确认包用于确认收到

OSPF的状态机

Down状态：表示未被激活的状态，一旦本地发出hello包则进入下一个状态机。一旦接收到hello包也会从 DOWN进入下一个状态机

Init状态：表示初始化的状态，

Way：可以进行双向通讯，表示建立了邻居关系

条件匹配：

EXsatart：预启动使用未携带数据库目录的DD包进行主从选举，RID数值大者为优，优先进入下一个状态机

EXchange：准交换，携带具体数据库目录的DD包进行目录交换，需要ACK确认。

Loading状态：加载通过LSR LSU LSACK 进行LSA的更新

Full状态：转发邻接关系的建立

OSPF的工作过程

启动配置完成后，本地组播224.0.0.5发送hello包

Hello包将携带本地RID值，及本地已知所有邻居的RID值

若接收到来自对端的HELLO包中存在本端的RID则视为认识，邻居关系建立，并生成邻居表

邻居关系建立后，条件匹配，匹配失败则永远停留于邻居关系，仅hello包保活即可。

若条件匹配成功，则表明可以建立邻接关系

先试用不携带数据库目录的DD包进行主从选举，RID大者为优，优先共享数据库目录。

最后基于本地的LSDB查看对端的DD包得出自己所需的LSA信息，通过LSR包去要 LSU包区给 LSACK包区确认，最终同步LSDB

之后本地启用SPF算法，基于本地的LSDB生成有向图，在计算出最短路径树，在基于树形结构算出本地到达目标位置的最短路径随后加载于本地路由表中，

收敛完成后，HELLO包周期保活每30min周期更新一次

30min的周期更新：每30min邻接关系之间进行DD包的对比，若一直则继续保活，若不一致则重新收敛。

Hello time 10s dead time 40s 时间到了就会删除邻居信息

VLAN ：虚拟局域网

LAN局域网 MAN城域网 WAN广域网

VLAN lan=广播域

在同一个广播域之下，广播消息会传达给不应当收到消息的人

VLAN ：虚拟局域网 -----交换机和路由器协同工作后，将原先的一个广播域逻辑上划分为了多个广播域

VID--VLAN ID 由12为二进制构成范围 0-4095 0和4095为保留值，

将接口划入VLAN

一：基于端口的VLAN 物理/一层VLAN

二：基于MAC的VLAN

三：基于协议的VLAN

交换机加入vid的观念之后交换机的转发过程：交换机会先记录源数据帧中的源MAC地址与进入接口的映射关系，并且一同查看其VID，随后查看目标MAC地址是否在MAC地址表中存在记录，若存在记录，将比对目标MAC地址对应接口的VID和源MAC地址对应接口的VID是否相同，若相同则直接单播，若不同，则进行泛洪（仅在源MAC地址对应接口的VID的范围内的所有接口进行发送）

802.1Q标准 untagged帧=没有标签的802.1q帧

Tagged帧=打上标签的802.1q帧

我们把交换机和PC端之间的链路称之为ACCESS链路，AEECSS链路中只能通过untagged帧，并且这些帧只能属于一个特定的VLAN。我们把交换机和交换机/路由器之间的链路称之为trunk链路（干道），trunk链路中运行通过tagged帧，并且这些帧可以属于多个vlan。

ACL：访问控制列表

1访问控制----在路由器的入或者出的接口上，匹配流量，之后产生动作---允许或拒绝

定义感兴趣流量-----帮助其他软件抓流量

匹配规则：

至上而下，逐一匹配，上调匹配按照上条执行，不在查看下条。在华为体系中末尾隐含允许所有，在思科体系中，末尾隐含拒绝所有。

分类：

标准---仅关注数据包中的源IP地址

扩展---关注数据包中的源目标IP地址协议号端口号

标准ACL中，由于标准ACL仅关注数据包中的源IP地址，故越靠近目标越好，可以尽可能的避免误杀。

2000-2999 标准 3000-3999 扩展

注意：一个编码是一张规则，一张规则可以容纳大量具体的规则

ACL在地址匹配时，会使用通配符

255.255.255.0 0.0.0.255 他可以进行0 1 的穿插

NAT

NAT：网络地址转换

公有IP和私有IP的区别

公有IP----全球唯一可以你在互联网中通信付费使用

私有IP----本地唯一不能在互联网中通信免费试用

A类：10.0.0.0---10.255.255.255

B类：172.16.0.0------172.31.255.255

C类：192.168.0.0-----192.168.255.255

NAT-----网络地址转换，在边界路由器上，进行公有地址和私有地址间的转化

NAT的分类：静态NAT 动态NAT NAPT 端口映射

在华为设备中 NAT的全部配置一定是在边界路由器的出的接口方向上。

静态NAT：

我们在私网的边界路由器上建立并维护一张静态地址表，静态地址表映射了公有地址和私有地址间一一对应的关系

动态NAT

静态NAT和动态NAT最大的区别在于---地址映射表的内容是可变化的，而不是写死的，所以动态NAT不在意一对一的关系，而是实现多对多的转化。

使用端口进行分辨转化的形式----NAPT（端口地址转化）也叫PAT

为解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题，在边界路由器上维护一张源端口号和私网IP地址的映射关系表，因为端口号的取值范围是1-65535，故有65535个，所以NAPT同时支持通过的数据包的最大量即为65535个，这就形成了一对多的动态NAT，华为中称这种NAPT为EASY IP。当上网需求非常大时，一个公网IP可能不够用，我们也可以同时使用多个公网IP，这样就能形成65535的倍数增长，形成多对多的NAPT。