HCIA学习

HCIA

网络就是通过一些特殊的通道把分布在不同地理位置的物品连接起来，从而实现信息的传输与共享.

应用层： 自然语言-->编码

表示层： 编码-->信息、二进制数

介质访问控制层： 二进制数-->电信号

物理层： 电流的输入输出，CPU计算

 

网络扩大方案

增大距离

1.信号失真 (至少可读)--依靠传输介质

2.信号衰减 (不可读)

--中继器(不能无限加压，且不能百分百)--物理层设备--最多延长5倍传输距离

增加节点

网络拓扑结构。

(AP：无限接入点）（HUB：集线器）

1.总线型（多芯总线）

优点：信道利用率高，结构简单

缺点：同一时刻仅允许两个节点进行通讯

2.环型

优点：增加，删除设备操作简单

缺点：成本高，当一个节点故障时将影响全网设备，导致整张网络瘫痪

3.星型（使用频率最高的拓扑结构）

优点：信道利用率高，结构简单

缺点：对中心节点要求高，不允许出现故障，同一时刻仅允许两个节点进行通讯（已解决）

4.全网型

优点：从节点到节点有多条链路可以选择，结构稳定

缺点：结构复杂，成本高

 

HUB--转发数据，从某一个接口收到的数据，向其他所有接口进行数据转发。

缺陷：

1.安全问题--因为一个节点给另一个节点发送数据时，其他节点可以收到

2.延迟问题--节点会接收到大量不属于自己的数据信息，也就是垃圾信息

3.地址问题--MAC地址（出厂烧录在设备本地，无法改变）（由48位二进制组成，前24位为厂商ID，后24位为产品ID）全球唯一

4.冲突问题--CSMA/CD（载波侦听多路访问/冲突检测）--先听后发，边听边发，冲突停发，随机延迟后重发--冲突域：连接在同一根导线上的所有工作站的集合

 

网络传输距离无限制

完全没有冲突

网络中存在单播数据，一对一传输

 

网桥--交换机

特点：属于二层设备，可以将电流转换为二进制数据。并存储在本地内存中

交换机工作原理：

1.交换机存在MAC地址表，该表单中会记录下MAC地址与交换机接口的对应关系。--老化时间5分钟，交换机基于MAC地址表进行数据转发。

2.当A给B发送数据时，该数据来到交换机0接口，交换机会记录下A-->0的对应关系。然后查看目的MAC地址，并与MAC地址表进行对比

若MAC地址表中存在B的记录关系，则按照记录关系进行单播数据转发

若MAC地址表中不存在B记录关系，则进行洪泛操作（除流量进入接口外的所有接口复制转发流量）

3.交换机中，一个接口可以对应多个MAC地址，但一个MAC地址只能对应一个接口

4.一般我们将仅仅依靠交换机连接的网络称为交换网络--交换网络最大连接终端数不超过200

 

路由器

广播域：一个数据包的洪泛的范围大小。

1.隔离广播域--路由器的一个接口就是一个独立的广播域

2.转发数据--依靠路由表进行数据转发

 

依靠交换机转发数据--同广播域

借助路由器转发数据--跨广播域

 

IP地址--逻辑地址

IPv4：32位二进制组成，点分十进制

IPv6：128位二进制组成

IP=网络位+主机位

网络位--表示IP所在网段（区域）

主机位--表示该区域中的主机编号

 

掩码

组成：32位二进制，由连续的1+连续的0组成，使用点分十进制表示，掩码的每一位比特位都与IP地址相对应，其中掩码的1对应的IP地址的比特位即为网络位

ARP协议---地址解析协议

 

 

原理：根据已知的地址来获取未知的另一种地址信息

ARP缓存表--->其中记录着MAC地址与IP地址的对应关系-->老化时间180秒

ARP分类:

1.正向ARP---通过IP地址获取MAC地址（网络中最常见的）

2.反向ARP---通过MAC地址获取IP地址

3.免费（无故）ARP---冲突检测和自我介绍

 

 

TCP/IP

OSI参考模型---OSI/RM--开放式系统互联参考模型

OSI参考模型：

1.应用层：用于接收用户数据，是人机交互的接口

2.表示层：逻辑语言-->机器语言；加密、解密

3.会话层：针对于传输的每一种数据建立单独连接通道（防止数据之间相互干扰）

上三层：控制层面

下四层：数据层面

4.传输层：TCP、UDP--->端口号

5.网络层：IP协议--->进行逻辑寻址

6.数据链路层：两个层面--->逻辑链路控制层LLC--->介质访问控制层MAC

7.物理层：定义一些物理特性--->电气电压、接口规范、比特流等

 

报文封装与解封装

 

PDU（传输协议数据单元）一种单位

上三层---数据

传输层---数据段

网络层---数据包

数据链路层---数据帧

物理层---比特流

 

物理层

传输介质

1.同轴电缆---最早期

2.双绞线

屏蔽双绞线、非屏蔽双绞线

类型--->1、2、3、4、5、超5、超6、7、8类

3.光纤

双工模式

1.半双工---通信双方都能发送和接受数据，但是不能同时进行---对讲机

2.全双工---通信双方都能同时发送和接受数据---电话

同一物理链路连接的设备双工模式必须一致

线序---双绞线

1.568A---绿白、绿、橙白、蓝、蓝白、橙、棕白、棕

2.568B---橙白、橙、绿白、蓝、蓝白、绿、棕白、棕

数据链路层

设备：交换机、网桥

链路类型

1.局域网---以太网

2.广域网---PPP、HDLC、FR

数据帧

帧的发送方式

1.单播---一对一发送数据

2.广播---一对所有发送数据

3.组播---特殊的广播，一对一组

 

网络层

有类分址

特殊地址

1.主机位全0的地址---网段地址

2.主机位全1的地址---定向广播地址

3.0.X.X.X--->无效地址--->0.0.0.0（1.代表所有IP；2.代表本地没有IP）

4.127.X.X.X--->本地测试地址

5.169.254.0.0/16--->本地链路地址

私有地址

1.A类：10.0.0.0-10.255.255.255 1个地址段

2.B类：172.16.0.0-172.31.255.255 16个地址段

3.C类：192.168.0.0-192.168.255.255 256个地址段

 

IP协议报文头部

TTL---生存时间（最大值为255，一旦数值为0则数据包被丢弃；每经过一个路由器，数值减1）

6---TCP 0X0800-->IP

17---UDP 0X0506-->TCP

MTU---最大传输单元（指的数据包）---在以太网当中，该数值为1500字节

标志位：3bit（0：DF（若为 1则代表未分片，0代表已分片）：MF（若为0则代表最后一片报文））

 

传输层

端口号：0-65535

1.静态端口---1-1023

2.动态端口---1024-65535

http----80---www代理服务---8080

ssh-----22

telnet--23

ftp------20/21

dns-----53

 

TCP协议---传输控制协议

TCP协议是一种面向连接的可靠传输协议

可靠性

1.确认机制---毎接收到一个数据段，都需要进行一次确认

2.重传机制

3.排序机制

4.滑动窗口机制---流控机制

窗口大小---指无需等待确认就可以连续发送的数据最大量

TCP分段依靠MSS（最大传输段）实现，其最大值为1460（MTU-IP头部-TCP头部）；若存在TCP分段，则IP层面不允许

seq=x data=1000

ackeq=x+data+1

 

面向连接

SYN：建立连接

三次握手 数据发送之前

四次挥手 数据收发之后

MSL：数据传输最大分钟2分钟

 

UDP协议---用户数据协议

是一种非面向连接的不可靠传输协议

8字节大小

不会具备分段机制

    VLSM---可变长子网掩码技术---子网划分

CIDR---无类域间路由---子网汇总

ICMP协议

第二章

华为常见基本命令

system-view ---从用户视图切换到系统视图

undo ----删除

quit ----退出到上一视图

display ----查看

reboot ---重启设备

[Huawei]sysname r1 ----修改系统名称

[r1]display version ---查看系统版本

 

Telnet

 

 

测试：

 

DHCP协议----动态主机配置协议

手工配置网络参数的问题

1.对于普通用户

2.对于网络管理员

3.IP地址浪费

C/S架构、UDP67/68号端口（68号端口是属于客户端、67号端口属于服务端）

 

DHCP报文类型

1.discover----发现报文----用于客户端寻找DHCP服务器

2.offer----服务端回复客户端（其中携带了IP地址信息）---也包含了网关、掩码、DNS等网络参数

3.request----客户端正式请求IP信息

4.ack----服务端对客户端请求信息的确认

5.nak----服务端对客户端请求信息的拒绝

6.release---客户端发送给服务端要求释放地址

7.decline----客户端检测到冲突后，将错误报告给服务端

8.inform----服务端发送一些配置信息

 

DHCP租期

1.租期更新计时器----24H

在租期到达50%时，PC会进行续租操作。PC会使用request报文发送且为单播，如果服务端回复 ACK报文，则续租成功。

2.租期重绑定计时器----21H

时间超过租期的87.5%，PC广播发送Discover报文重新发现网络中的DHCP服务器。如果有服 务器同意给PC续租

（1）若该续租的IP为第一次获取的IP地址，则PC刷新租期更新计时器时间

（2）若该续租的IP不为第一次获取的IP地址，则PC会将租期更新计时器归0，发送release报 文通告释放第一次的IP地址，然后回复第二次的offer报文从而获取第二次IP地址。

若没有服务器给予回复，则客户端将在租期到期时，放弃该IP地址。

3.租期失效计时器

PC主动放弃使用该IP

PC未能续租成功

 

配置

 

 

静态路由

 

 

最长掩码匹配规则

掩码32路由---主机路由

 

 

路由信息的来源

1.直连路由、静态路由、动态路由

2.设备自动发现、手工配置、路由器通过运行某种算法自行计算出路径

 

直连路由到达生成条件

1.接口双up

2.必须配置IP地址

 

路由优先级

路由优先级越小，则路由项的优先级越高

 

开销值

在静态路由和直连路由中，开销值为0

等价路由---目的地相同，且优先级（路由发现方式）与开销值均相同，且下一跳不同

 

配置

ip route-static 目标网段 掩码 下一跳

下一跳---流量流经的方向的下一个路由器的入口接口IP地址

 

静态路由协议扩展配置

等价路由---进行带宽的叠加

等价路由的形成条件---来源相同的去往目的地的且

路由汇总

使用CIDR技术将连续的网段汇总成一个大的网段

汇总要求：母网相同，掩码相同

路由黑洞

在手工汇总时，可能会包含一些网络中不存在的网段，造成流量有去无回的现象，浪费设备与链路资源

缺省路由

 

空接口防环

在黑洞路由器**上配置一条通往汇总路由的

 

动态协议

自治系统---AS

AS号---ASN---使用16位二进制标识---IANA（互联网数字分配机构）

1.AS内部使用的协议---内部网关协议IGP

2.AS之间使用的协议---外部网关协议EGP

 

动态路由分类

按照范围分类

1.IGP

RIP、OSPF、IS-IS、EIGRP

2.EGP

BGP

对IGP协议进行分类

1.按照协议特点分类

距离矢量型协议---DV---共享路由表

RIP、EIGRP

链路状态型协议---LS---共享拓扑信息

OSPF、ISIS

2.按照是否携带掩码分类

有类别路由协议

RIPv1

无类别路由协议

 

RIP---路由信息协议

基本概念

1.UDP协议---端口号520

2.目的IP地址

255.255.255.255---RIPv1

224.0.0.9---RIPv2

3.RIP使用路由的跳数作为开销值Cost，最大值为16---代表本条路由不可用

算法：数据包中传递的开销值=本地开销值+1

4.周期更新（保活）

RIP算法---贝尔曼福特算法

1.当接收到数据包中含有本地路由表中没有的路由项，则直接加载到本地路由表

2.当接收到数据包中含有本地路由表中已经存在的路由项，且下一跳相同，则

将数据包中的路由项加载到本地路由表。

3.当接收到数据包中含有本地路由表中已经存在的路由项，且下一跳不同，比

较Cost值，若本地路由表中的Cost大，将将数据包中的路由项加载到本地路

由表。

4.当接收到数据包中含有本地路由表中已经存在的路由项，且下一跳不同，比

较Cost值，若本地路由表中的cost小，则丢弃数据包中的路由项。

 

 

RIP 数据包

1.请求报文

2.应答报文

RIP计时器

1.更新计时器---30s

每台路由器只有一个计时器，该计时器为0则路由器向外发送更新报文

2.无效计时器---更新计时器*6

每台路由器的路由表中的每一个RIP路由项都会有一个无效计时器

该计时器为0时，会认为该计时器所表述的路由项无效。路由器会将该路由项的cost设置为16.并且会向外通告。

3.垃圾收集计时器---更新计时器*4

当一个路由项的无效计时器为0时，垃圾收集计时器开始计时。

当垃圾收集计时器为0时，路由器会删除掉该路由项

 

RIP周期更新

1.更新原因

基于UDP传输

RIP本身也没有可靠性（重传）机制

RIP本身没有保活机制

 

网络环路

1.依靠开销值

2.触发更新---一旦路由表中有任意路由项发生变化，则触发更新

3.水平分割机制---路由信息从此口进不从此口出

4.毒性逆转---将从某个接口进入的路由，在下一次从该接口出发时，开销值设置为16

3，4互斥，不能同时存在

 

触发更新，除了可以避免大部分环路，实际最主要的作用是加快网络收敛速度

 

 

RIPv1---广播

RIPv2---使用

RIP扩展配置

1.手工汇总

[r1-GigabitEthernet0/0/0]rip summary-address192.168.0.0 255.255.254.0-在路由的发出接口配置

2.缺省路由---这里指的是下发缺省路由

[r3-rip-1]default-route originate

缺省路由的下发一定是在边界路由上做

且该配置仅会让其他RIP设备学习到RIP的缺省路由

3.静默路由---配置了静默接口的接口无法主动发送RIP数据包，只能被动接收RIP数据包，一般与用户相连的接口配置

[r2-rip-1]silent-interface GigabitEthernet 0/0/2

当静默接口接收到RIP数据包时，会从静默状态转换为普通状态。

4.手工认证---用于路由器之间的身份核实。需要在双方身上均配置---RIPv2

[r2-GigabitEtherneto/0/1]rip authentication-mode simple plain 123456

5.加速收敛---减少计时器时间

[ r1-rip-1]timers rip 10 60 40

全网都要修改

 

ACL技术---访问控制列表

对网络中的流量的一种处理方式（放通，拒绝）

ACL功能

1.访问控制

在设备的流入或流出接口上，匹配流量，然后执行设定动作

允许---permit

拒绝---deny

2.抓取流量

ACL经常与其他协议共同使用。---所有动作均为允许

 

ACL匹配规则

自上而下，逐一匹配，若匹配成功，则按照相应规则执行，不再向下匹配；若没有匹配上，则执行默认规则（在华为中，为允许所有）

 

ACL分类

1.基本ACL

基于IP报文的源IP地址定义规则

编号：2000-2999

2.高级ACL

基于源目IP、IP报文协议字段、IP报文优先级、IP报文长度、TCP源目端口号、UDP源目端口等信息来定

编号：3000-3999

3.二层ACL

基于MAC地址来定义规则

编号：4000-4999

4.用户自定义ACL

需求一

1.PC1可以访问192.168.2.0/24网段，而PC2不行

2.分析

仅对源地址有要求，配置基本ACL

基本ACL配置规则---靠近目的的进行配置

3.配置

[r2]acl2000--创建基本ACL列表

[r2-acl-basic-2000]rule permit source 192.168.1.253 0.0.0.0 -创建规则通配符---32位二进制，0代表不可变，1代表可变。

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ---在0/0/1接口的出方向调用acl2000列表

一个接口的一个方向只能调用一张ACL列表。但是一张ACL列表可以在多个接口调用。

通配符：

[r2]display acl2000-查看ACL列表

 

需求二

要求：PC1可以访问PC3，不可访问PC4

分析：对目标有要求，使用高级ACL；更靠近源

[r1-acl-adv-3000]rule permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.253 0.0.0.0

[r1-ac-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.252 0.0.0.0

[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

 

需求三

要求： PC1可以ping通R2,但是不能telnet R2。

[r1]acl 3100

[r1-acl-adv-3100]rule permit icmp source 192.168.1.253 0 destination 2.2.2.2 0

[r1-acl-adv-3100]rule deny tcp source 192.168.1.253 0 destination 2.2.2.2 0 dest ination-port eq 23

[r1-GigabitEtherneto/0/0]traffic-filter outbound acl 3100