HCIA综合笔记

计算机网络

计算机

1946年诞生

计算机的功能：

1.应用层-----将自然语言--->编码

2.表示层-----将编码--->二进制数

3.介质访问控制层-----控制硬件，比如将二进制转换为电流输出。

4.物理层-----CPU技术、电流输入输出

对等网

网络扩大方案

增大距离

1.信号失真---传输线缆---仅能减小失真，但不能完全避免失真现象

2.信号衰减---中继器（外接电源）---仅能延长5倍传输距离，现今已被淘汰。

增加节点

节点的连接方式-----网络拓扑结构

• 总线型----有一条多芯的网线向四周延伸，连接各个节点

优点---信道利用率高，结构简单，成本低

缺点---同一时间仅允许两个节点进行通讯

• 环形----由节点和节点连接的线路闭合环

优点---增加和删除设备操作简单

缺点---当某一节点故障时，会影响全网，导致整张网络瘫痪

• 星型---由重要节点和通过链路连接到中央节点的节点组成

优点---结构简单、连接方便、扩展性强

缺点---信道利用率低，对中央节点要求高，同时仅允许两个节点通讯

• 全连接型（网状结构）-----实际上星型拓扑的扩展，使用了全连接的方式。任何节点都可以是中心节点

优点---从节点到节点有多条路可以选择，稳定。

缺点---结构复杂，成本高。

集线器---HUB----濒临淘汰

• 地址问题---MAC地址---48位二进制组成

• 延时问题---因为产生大量垃圾信息，增加了信息延时

• 安全问题---A节点给B节点发送信息是，别的节点监听到了

• 冲突问题---节点A给节点B发消息，同时节点B也给节点C发消息，两个消息在集线器相遇，相互抵消

CSMA/CD-----载波侦听多路访问/冲突检测机制（先听后发、边听边发、冲突停发、随机延迟后发）

该机制仅减少了冲突次数，而没有完全避免冲突。

冲突域---->连接在同一根物理线路上的所有工作站的集合

网络扩大需求

• 网络传输距离无限制

• 完全没有冲突

• 实现单波传输

网桥----将物理信号转换为二进制数据，并将数据存储在设备内存中，然后重新生成新的物理信号进行传输。

交换机---网桥的升级版

• 二层设备，可以处理二进制数据。

• 交换机具备识别MAC地址的功能，并且根据识别的内容，会生成一个表项，叫MAC地址表，交换机基于MAC地址表进行数据转发

• 交换机工作原理

 

• PC1给PC3发送信息，此时源MAC=PC1,目的MAV=PC3

• 当数据来到交换机时，交换机会开启MAC地址学习功能，将源MAC地址与接受到该数据的端口关系记录到MAC地址表中，然后根据目的MAC地址进行查询转发，若 MAC地址表中存在该目的MAC地址，则直接单播转发，若不存在，则进行洪泛操作（除了流量接入口外，所有接口复制转发一次流量）

• MAC地址表并不是永久存在，存在300s的老化时间，这样保证了交换机中的MAC地址不会过于庞大从而影响数据的转发速率。

广播域-----一个数据包洪泛的范围

路由器

• 隔离广播域---路由器的一个接口就是一个独立的广播域

• 转发数据---依靠路由表进项

• 同广播域通讯---依靠交换机进行

• 跨广播域通讯---借助路由器进行

设备通过IP地址来判断执行同广播域还是跨广播域通讯。

IP地址---逻辑地址

IPv4地址---32位二进制组成，点分十进制

IPv6地址---128位二进制，冒号分十六进制

192.168.1.1----11000000.10101000.00000001.00000001

IP地址组成===网络位（该网络所在的网段）+主机位（主机的编号）

网络位相同而主机位可以不同的，即为同一个广播域。

掩码

作用：用来判断IP地址的网络位是多少。

掩码由32位二进制组成，使用点分十进制表示，是连续的1+连续的0.掩码的1所对应的IP地址中的比特位即为网络位。

192.168.1.1-----11000000.10101000.00000001.00000001

255.255.0.0-----11111111.11111111.00000000.00000000

网关

 

ARP协议

原理:根据已知的地址来获取与其对应的另一种地址

FFFF:FFFF:FFFF 广播地址（特殊的MAC地址）

工作过程：

• ARP缓存表-------存在老化时间-------180s

ARP分类

• 正向ARP----通过IP地址获取MAC地址------网络中最常见的

• 反向ARP----通过MAC地址获取IP地址

• 免费（无故）ARP-------自我介绍，冲突检测

• 代理ARP-----由网关设备代为查询MAC地址

OSI七层参考模型---开放式系统互联模型

ISO----国家标准化组织

OSI七层参考模型

• 应用层------接收用户数据，人机交互的接口，将自然语言--->编码

• 表示层------将逻辑语言转换为机器语言

• 会话层-----针对传输的每一种数据建立一条连接（防止数据间相互干扰）

上三层-----控制层面

下四层-----数据层面

• 传输层-----区分流量，定义数据传输方式

• 网络层-----通过IP地址进行逻辑寻址

• 数据链路层-----介质访问控制--MAC；逻辑链路控制层---LLC

• 物理层----定义一些物理特性，传播比特流

报文封装与解封装

PDU----协议数据单元

上三层----数据

传输层----数据段

网络层-----数据包

数据链路层---数据帧

物理层----比特流

TCP/IP协议栈

物理层

传输介质

• 同轴电缆

传输速率----10Mbps

粗同轴电缆-----500米

细同轴电缆-----185米

• 双绞线

线序

568A

绿白、绿、橙白、蓝、蓝白、橙、棕白、棕

568B

橙白、橙、绿白、蓝、蓝白、绿、棕白、棕

双工模式

• 单工----设备仅支持发送数据或接收数据

• 半双工-----设备可以发送和接收数据，但是不能同时进行----对讲机

• 全双工-----设备可以发送和接收数据，并可以同时进行-----电话

• 同一物理链路连接的设备双工模式必须相同。

数据链入层

LAN----局域网，现今局域网使用的数据链路层协议是以太网协议。

以太网当中，存在最重要的通讯基础就是MAC**地址**。

数据帧

EthernetⅡ帧格式

帧的发送方式

• 单播帧----一对一发送数据

• 组播帧-----在特定情况下使用，目的为一组设备

• 广播帧-----目的MAC全1

网络层

有类分址

有类地址分类按照IP地址的前8位数字特征进行分类，共分出五类，其中A、B、C类为单播地址，掩码分别为8、16、24位。

特殊地址

• 无效地址------0.X.X.X--------0.0.0.0（1、代表没有IP地址；2、代表所有网络）

• 本地测试地址----127.X.X.X

• 受限广播地址----255.255.255.255

• 主机位全0----192.168.1.0/24---代表一个网段

• 主机位全1----192.168.1.255/25----定向广播地址

• 169.254.0.0/16

私有地址

• A类:10.0.0.0---10.255.255.255

10.0.0.0/8

• B类：172.16.0.0---172.31.255.255

172.16.0.0/16,172.17.0.0/16.......172.31.0.0/16----共16个

• C类:192.168.0.0---192.168.255.255

共256个地址段，192.168.1.0/24

公有地址

除了特殊地址和私有地址外的所有单播地址

IP协议

 

• 生存时间-----TTL-----最大值255

单位为路由器个数，数据包每被一个路由器进行转发，则TTL值-1

IP分片

以太网当中，规定最大传输的一个数据包的大小为1500字节。该值被称为MTU-----最大传输单元。

• Identification----标识

序号，用于标记数据包的先后顺序，方便后续接收方将数据进行恢复重组

• Flags---标志位----3bit

固定位第一位为0

DF位---代表该报文是否分片，若为0则代表分片，若为1则代表未分片。

MF位---代表该报文是否为最后一片，若为0则代表最后一片，若为1则代表后续还有其他报文。

• Fragment----一片偏移（单位：8字节）

标识分片后的报文在原始报文中的相对位置

传输层

端口号（大小：2字节）----作用就是标识进程

• 静态端口----网络上比较常用的协议

1-1023

telent---23
ftp---20/21
http---80
https---443
dns---53
dhcp---67/68

 

动态端口----某些协议自动随机生成的端口号

1024-65535

TCP协议----传输控制协议

一种面向连接的可靠性协议。

 

可靠性

确认机制---传输确认，每接收到一个数据段，都需要进行一次确认

重传机制---超时重传，当一个数据段中某一个包丢失，会提示要求重新传输这个报文

排序机制---传输一个报文，可能会被分为多个数据包，并从不同路径传输1，最终达到目的地的顺序会被打乱，需要进行重新排序。---重新排序依靠TCP的序号字段

流控机制（滑动窗口机制）：调节窗口大小来对流量进行控制

窗口大小：指无需等待确认就可以连续发送的数据的最大量

TCP为了保证自身的可靠性，具备重传机制，故不允许在网络层进行IP分片。而TCP会在传输层使用分段的方式将报文大小分割成满足网络层MTU数值的大小，以保证不会被网络层分片。

MSS(最大传输段)===MTU-IP头部-TCP头部

PMTU----路径MTU发现协议

在IP头部中，DF字段设置为1，表示不能分片。
当接收方接收到一个不能分片的报文时，会将该报文丢弃，并回复一个ICMP报文（告诉发出者，数据不可达，
且表明不可达原因），同时携带上本地的MTU值
发送方接收到该ICMP报文后，因为TCP的重传机制，会重新发送一个数据，此时该数据会根据ICMP报文中的新
的MTU值重新进行分段。

 

UDP协议-----用户数据报协议

• 非面向连接的不可靠传输协议

TCP和UDP的区别

1.TCP面向连接，而UDP是面向无连接

2.TCP是可靠性协议，而UDP是尽力而为的

3.TCP可以进行流控以及拥塞控制而UDP不能

4.TCP可以进行数据分段，而UDP不进行

5.TCP消耗资源多，速度慢；UDP消耗资源少，速度快

VLSM技术-----可变长子网掩码-----子网划分

因为使用主类地址产生的预留IP地址太多，造成了IP地址浪费，所以诞生了VLSM技术，消除IP地址的浪费。

实现方法：通过从主机位借位到网络位，达到将一个的大的网络位划分为多个小的网段；借出的位称为子网位，决定了划分的网段的字数。

192.168.1.0/24
11000000.10101000.00000001.00000000----IP地址
网络位 . 主机位
11111111.11111111.11111111.00000000----掩码信息
11000000.10101000.00000001.0 0000000/25----192.168.1.0/25
11000000.10101000.00000001.1 0000000/25----192.168.1.128/25
11000000.10101000.00000001. 000 00000/27----192.168.1.0/27
11000000.10101000.00000001. 001 00000/27----192.168.1.32/27
11000000.10101000.00000001. 010 00000/27----192.168.1.64/27
11000000.10101000.00000001. 011 00000/27----192.168.1.96/27
11000000.10101000.00000001. 100 00000/27----192.168.1.128/27
11000000.10101000.00000001. 101 00000/27----192.168.1.160/27
11000000.10101000.00000001. 110 00000/27----192.168.1.192/27
11000000.10101000.00000001. 111 00000/27----192.168.1.224/27

CIDR技术----无类域间路由---子网汇总

将小的网段汇聚成大的网段

满足条件

• 母网相同

• 掩码一致

汇总方式：取相同位，去不同位

192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
192.168.0000 0001.00000000/24
192.168.0000 0010.00000000/24
192.168.0000 0011.00000000/24
192.168.0000 00 00.00000000/22----192.168.0.0/22---超网：汇总后的掩码信息<主类掩码
172.16.1.0/24
172.16.2.0/24
172.16.3.0/24
172.16.00000001.0/24
172.16.00000010.0/24
172.16.00000011.0/24
172.16.000000 00.0/22---172.16.0.0/22----子网汇总：汇总后的掩码信息>主类掩码

 

ICMP----网络层协议

在网络设备中传递各种差错、控制查询等报文信息

用于收集各种网络信息、诊断和排除各种网络故障的协议

 

ping命令-----用于检测网络连通性

tracert命令----用于逐跳检测报文的转发路径

VRP---华为通用路由平台

VRP系统按功能将不同的命令注册于不同的视图

• <Huawei>----用户视图

• [Huawei]----系统视图

• 其他视图

• 命令行使用

• <Huawei>system-view ---从用户视图切换到系统视图

[Huawei]sysname HCIA-----修改系统名称

[HCIA]quit ----返回上一视图

[HCIA]undo sysname ----undo删除命令

<HCIA>save ----保存关键字

<Huawei>reboot ----重启设备，重启前一定要保存配置

支持不完整关键字输入

Tab键自动补齐关键字

Telnet

实现远程管理网络设备。基于TCP谐音的23号端口的。

C/S架构，客户端/服务端

Telnet协议是明文传输，故具有不安全性质，现今

实践:

PC配置：
<Huawei>system-view
[Huawei]sysname PC
[PC]interface GigabitEthernet 0/0/0
[PC-GigabitEthernet0/0/0]ip address 192.168.1.1 24 ----配置IP地址及掩码信息
路由器配置：
<Huawei>system-view
[Router]sysname Telnet Server
[Telnet Server]interface GigabitEthernet 0/0/0
[Telnet Server-GigabitEthernet0/0/0]ip address 192.168.1.2 24
[Telnet Server]user-interface vty 0 4 ----开启用户接口空间
[Telnet Server-ui-vty0-4]authentication-mode aaa ----修改对该接口空间进入的用户的认
证默认为AAA
[Telnet Server-ui-vty0-4]quit
[Telnet Server]aaa
[Telnet Server-aaa]local-user huawei password cipher 123456 ----设置用户名和密码
[Telnet Server-aaa]local-user huawei privilege level 15 -----设置用户权限等级
[Telnet Server-aaa]local-user huawei service-type telnet ---规定用户访问使用的协议

华为系统将命令分为不同级别，并且将用户分为不同级别
命令等级：
参观级（0)
监控级(1)
配置级(2)
管理级(3)

用户等级：
0-3
0-15

DHCP---动态主机配置协议

基于UDP开始分装，端口号67/68（68号端口属于客户端，而67号端口属于服务端）

报文类型

• DHCP discover:客户端在网络中寻找的服务器使用的是广播报文

• DHCP offer:服务端回复客户端的discover报文（该报文中携带了网络参数）

• DHCP request：客户端请求获取offer报文中的网络参数

• DHCP ack:对request报文的确认

• DHCP nak：对request报文的拒绝

• DHCP release：客户端发送给服务端，要求释放IP地址

• DHCP inform：当客户端获取到IP地址后，使用该报文获取其他网络·参数（现在基本上被删了）

• DHCP define：当客户端检测到IP冲突时，告诉给服务器使用

工作过程

• 首先，PC会广播发送DHCP discover报文，Server在接收到这个广播包以后，先会选择一个未分配的IP地址，然后（单播或广播）发送一个DHCP offer不报文，该报文携带了网络参数给PC。

华为体系中，所有的网络设备均使用单播，linux使用广播，windows两者均可。

• 若网络中存在多个DHCP服务器，又因为discover报文是广播发送，故所有的DHCP服务器均会回复offer报文给PC端。此时，PC仅对接收到的第一个offer报文进行回复，其余均丢弃。

• PC再一次使用广播发送request报文向server请求offer报文中携带的网络参数。

request报文有两重意义；1、向选择的服务端请求网络参数；2、告诉其余服务器，已经有了选择。

• 服务器接收到request报文后，若目的为本地，则发送ACK报文回复；若目的不为本地，则丢弃报

文。

当存在两台PC同时请求地址，结果服务器给出的地址是同一个，这也就会导致后一个发送

request报文的PC无法获取地址。

• PC接收到ack报文后，可以使用该IP地址，但是同时PC会发送三次免费ARP来检测网络中是否有其

他主机使用该IP地址。

如果网络中存在该IP地址，则PC向Server发送DHCP decline报文来通知服务器该IP冲突，并

重新发送一个DHCP discover重新申请IP地址。

如果网络中不存在该IP地址，则直接使用该IP内容。

• 如果PC需要释放IP地址，则发送DHCP release报文给服务端

DHCP租期

PC在申请到IP地址后，会启动下述三种计时器。

• 租期更新计时器

  华为体系中，DHCP服务器下发给PC的IP地址可用默认时长为24小时。

  当该租期到达50%（12小时），PC会单播发送DHCP request报文给服务器要求续租，如果服

  务器回复ACK报文，则租期时间刷新为24小时；若服务器回复NAK报文，则PC立马放弃正在

  使用的IP地址，重新申请。若服务器无回复，则继续使用当前IP地址，且租期时间无变化。

• 租期重绑定计时器

  在网络中，可能会因为某些原因导致服务端没有收到或者无法回复request报文，在这种情况下，当租期重绑定计时器超时时，PC会重新广播发送DHCP discover报文，在网络上重新寻找DHCP服务器。

  如果收到了回复，则刷新各类计时器，使用新的IP地址

  如果收到了拒绝，则PC立刻停止使用现有IP地址，然后重新申请IP地址。

• 租期失效计时器

  如果PC在租约到期前都没有收到服务器响应，则PC立即停止使用该IP地址，然后向服务器发送DHCP releaes报文。

  PC主动放弃使用分配的IP地址，此时PC会将计时器设置为超时，并删除本地的IP地址，向服务端发送DHCP release报文，主动释放IP地址。

DHCP配置

全局配置

 

[DHCP Server]interface GigabitEthernet 0/0/0
[DHCP Server-GigabitEthernet0/0/0]ip address 192.168.1.1 24
1、启动DHCP协议
[DHCP Server]dhcp enable
2、配置全局地址池
[DHCP Server]ip pool afhueqgafasfa121321----创建池塘
[DHCP Server-ip-pool-afhueqgafasfa121321]network 192.168.1.0 mask 24 ---配置可分配的IP
地址网段
[DHCP Server-ip-pool-afhueqgafasfa121321]gateway-list 192.168.1.1 ----配置网关信息
[DHCP Server-ip-pool-afhueqgafasfa121321]dns-list 8.8.8.8 114.114.114.114 ----配置DNS
3、接口调用地址池
[DHCP Server]interface GigabitEthernet 0/0/0
[DHCP Server-GigabitEthernet0/0/0]dhcp select global 
[DHCP Server-ip-pool-afhueqgafasfa121321]excluded-ip-address 192.168.1.100 ---排除
192.168.1.100
[DHCP Server-ip-pool-afhueqgafasfa121321]excluded-ip-address 192.168.1.100 192.1
68.1.200 ---排除192.168.1.100--192.168.1.200的所有IP地址
[DHCP Server-ip-pool-afhueqgafasfa121321]lease day 999 hour 0 minute 0 ---修改租期时间
为999天0小时0分

接口地址池

[DHCP Server]dhcp enable
[DHCP Server]interface GigabitEthernet 0/0/0
[DHCP Server-GigabitEthernet0/0/0]dhcp select interface ----激活接口地址池
[DHCP Server-GigabitEthernet0/0/0]dhcp server dns-list 1.2.3.4 ---配置接口地址池中的DNS

静态路由

 

路由表匹配规则：最长掩码匹配规则。----路由器总是选择最精确、最优的路由项进行转发。

路由信息的来源：设备自动发现、手工配置、通过动态路由协议生成

直连路由

• 网络设备在启动之后，当接口设备处于UP状态时，设备能够自己发现去往与自己接口直连的网络的路由。

• 直连路由产生的条件

  • 接口必须双UP

  • 必须配置IP地址

• 特征

  • 优先级---0

  • 开销值---0

[r1-GigabitEthernet0/0/2]shutdown ----关闭接口物理层面

[r1-GigabitEthernet0/0/2]undo shutdown ----打开接口

[r1]display ip interface brief -----查看接口IP对应表

路由的优先级

路由的优先级越小，则代表路由项的优先度越高。0-255

 

 

[r1]ip route-static 10.2.2.0 24 10.1.1.2 ----后续三个分别为目标网段号、目标网段掩码、下一跳

地址

下一跳地址写的是流量流经的下一台路由器的入接口IP地址

[r1]display ip routing-table protocol static ---查看静态路由路由表

[Huawei]undo ip route-static 1.1.1.0 24 2.2.2.2 ----删除静态路由配置

路由环路

解决思路：IP数据包中规定TTL字段，没经过一台路由器，TTL值减1，当TTL等于0时，路由器丢弃该数据包

 

静态路由扩展配置

等价路由

当路由器访问同一目标网段时，具备多条开销相似的路由时，可以让流量拆分后延多条路径进行传输，达到叠加带宽的效果，减少单条链路数据传输压力。------形成等价路由的条件：路由来源相同、开销值相同。

[r1]ip route-static 192.168.1.0 24 12.0.0.2

[r1]ip route-static 192.168.1.0 24 12.1.1.2

路由表中存在等价路由之后，前往该等价路由的目的网段的IP报文会被路由器通过所有有效接口转发，这种转发行为被称为负载分担或负载均衡。

环回接口

路由器的虚拟接口通常用于网络测试，使用环回接口模拟一个真实的用户网段。

[r2]interface LoopBack 0 ----创建环回接口，编号为0

[r2-LoopBack0]ip address 192.168.1.1 24 ----配置环回接口IP地址

手工汇总

 

当路由器需要配置多条路由项时，可以选择将其进行子网汇总，减少配置量。减少路由表数量，降低CPU运算，提高转发效率。

[r1]ip route-static 192.168.0.0 22 12.0.0.2----目标网段为汇总路由

路由黑洞

在手工汇总时，可能会包含些网络中不存在的网段，造成浏览有去无回的现象，浪费设备的资源和链路资源。 -----被流量丢弃的路由器称为黑洞路由器

在子网划分和子网汇总时进行严格的合理规划

缺省路由

不限定目标的路由

 

[r2]ip route-static 0.0.0.0 0 12.1.1.1 ----缺省路由0.0.0.0/0

缺省路由可以匹配所有流量信息。

因为最长掩码匹配规则，所有只有当路由表中没有其他路由项匹配流量时，流量才会匹配上缺省路由。

注意事项：每台路由器上仅存在一条缺省路由，且当一个网络中存在有多台设备需要配置缺省路由时，缺省路由必须延相同方向进行数据传递

空接口路由

空接口路由是解决环路的方式----黑洞路由器上存在缺省路由

解决思路：在存在黑洞的路由器上配置一条通往汇总网段的空接口路由。

[r2]ip route-static 192.168.0.0 22 NULL 0------NULL 0是空接口

当配置空接口路由后，此时R1发来的去往192.168.0.0/24网段的路由就会匹配上空接口路由，而不是缺省路由，流量可以正常转发至空接口，最终提前结束环路。

浮动静态路由

 

浮动静态路由实际上是给正常链路做了一个备份链路，以保证在正常链路故障的情况下，企业数据流量可以正常通讯，而不会造成较大的流量断路，影响企业效益。

[r1]ip route-static 192.168.2.0 24 12.0.0.2

[r1]ip route-static 192.168.2.0 24 12.1.1.2 preference 61 ----修改优先级

[r1]display ip routing-table protocol static ----查看全局静态路由表

优先级越小，路由项的优先度越高，将10M带宽的链路优先级增大超过静态路由的默认优先级，可以实现浮动静态路由。

一般路由的选择，先对比相同目标路由的优先级，选择具备优先级最小的路由项加入路由表。若存在多条具备最小优先级的路由项，则对比各自的开销值，选择开销值最小的路由项成为加入的全局路由表的最优路由。

动态路由

 

动态路由----路由器自身根据网络中链路和节点的信息进行自动调整，根据算法自主生成路由项。适合大中型网络拓扑结构

静态路由----由网络管理员手工配置，配置内容繁琐，维护成本过高。仅适用于结构简单的小型网络。

自治系统------AS

• 由单一的机构或组织所管理的一系列网络设备的集合。-------网络分块化，有利于网络管理、定责。

• ASN---方便管理

  • 由16位二进制组成，取值范围1-65535

  • IANA---互联网数字分配机构

• AS内部使用---内部网关协议IGP

• AS之间使用---外部网关协议EGP

动态路由协议分类

• 按照范围分类

  • 内部网关协议IGP----RIP、OSPF、ISIS、EIGRP(思科)

  • 外部网关协议EGP

• IGP按特点分类

  • 距离矢量型---DV---共享路由表

    • RIP---路由信息协议

    • EIGRP---加强型内部网关协议

  • 共享链路型-----LS---共享拓扑

    • OSPF----开放式最短路径优先协议

    • ISIS---中间系统到中间系统

• IGP协议按照是否携带真实掩码信息分类

  • 有类别路由协议----不传递真实网络掩码----RIPv1

  • 无类别 路由协议----传递真实网络掩码

RIP----路由器信息协议

基本概念

• 版本

  • RIPv1----IPv4网络

  • RIPv2----IPv4网络

  • RIPNG----IPv6网络

• 属于标准的DV型路由协议----距离矢量型---通过共享路由表来获取全网路由信息。

• RIP是基于UDP协议工作，端口号520。

• 优先级100

• RIP使用跳数作为开销值Cost，最大跳数为15,16认为是路由无效。

  • 当优先级相同时，多条路由信息中开销值越小的路由优先度越高。

  • 开销值计算方法

    • 数据包中传递的开销值=本地开销值+1

• RIP存在周期更新机制------30S周期更新（使用应答报文）----保活，更新路由

• RIP存在触发更新

RIP算法----贝尔曼福特算法

• 当接收到数据包中含有本地路由表中没有的路由项时，则直接将未知路由信息加载到本地路由表。

• 当接收到的数据包中含有本地路由表中已经具备的路由项，且下一跳地址相同。则将数据包中的路由项更新至本地路由表。

• 当接收到的数据包中含有本地路由表中已经具备的路由项，且下一跳地址不相同。比较COST值，

  若本地路由表中的Cost值大，则将数据包中的路由项更新至本地路由表

• 当接收到的数据包中含有本地路由表中已经具备的路由项，且下一跳地址不相同。比较COST值，

  若本地路由表中的Cost值小，则不更新。

RIP的数据包

• 请求报文----在启动RIP进程后，用以获取邻居的路由信息

• 应答报文----携带了具体的路由信息，用来回答请求报文

RIP工作原理

• 初始化

  • RIP初始化时，会从每一个参与RIP工作的接口上发送请求数据报文。该请求数据包会向所有

    的启动了RIP协议的直连路由器请求一份完整的路由表。该请求数据包中的目的IP地址为

    224.0.0.9。

• 接收请求

  • 启动了RIP协议的路由器在接收到请求数据包后，会将自己本地路由表中的所有路由信息加载

    到应答报文中，用以回复对端

• 接收到响应报文

  • 路由器接收并处理响应数据包，会对比本地路由信息与数据包中的路由信息，从而对本地路由

    表中的内容进行添加、删除、修改操作

• 常规路由的更新和定时器

  • 当路由收敛结束后，路由器会以30S一次的频率发送应答报文。路由器收到应答报文后，会设

    置一个无效计时器，该计时器超时，则代表该路由项失效。会将该路由项开销值设置为16，

    并向外发送该路由四次，经过四次后，删除该路由。

RIP的计时器

• 更新计时器

  • 每台启动了RIP协议的路由器都有一个属于自己的更新计时器

  • 计时器周期----30S

  • 是一个倒计时，每当数值为0时，就会向周围发送响应报文。

  • 注意：当接收到请求报文时，必须立即发送响应报文。

• 无效计时器

  • 每台路由器上的每一个路由表项都会有一个无效计时器。

  • 计时器周期---为更新计时器的6倍---默认为180s、

  • 每当计时器时间为0，会认为该路由项已经无效，不可用。会将该路由项的开销值设置为16，并且向外进行传输，传输的目的是告诉其余路由器该网段不可达。

  • 每次该路由条目更新时，该计时器刷新为180s。

• 垃圾收集计时器

  • 当一个路由项被变为无效路由项(开销值被设置为16)，该路由不会被立即删除，而是会启动垃圾收集计时器。在该计时器为0前,该路由器在进行周期更新时，均会携带该路由信息进行更新；一旦计时器时间为0，则删除该路由项（包括该路由项所对应的无效计时器和垃圾收集计时器）

  • 垃圾收集计时器周期----更新计时器的4倍------默认120S

  • 如果垃圾收集计时器为0前的某一时刻，该路由项被更新为一条有效路由，则无效计时器被复

    位，垃圾收集计时器被删除。

RIP环路问题

 

环路解决思路

• 最大跳数----最大15跳，限制环路。

• 触发更新-----当某一个路由器中的路由项发生改变时，不需要等待下一次周期更新到来，可以直接将发生改变的路由项发送。----最大的优势在于加速网络收敛。

• 水平分割机制

  • 如果触发更新的数据包还未到达R3，R4接收到了R3发送来的周期更新报文，那么R4则会学习关于3.0的路由信息，最终形成环路。

  • 水平分割原理

    • 如果有一个路由项从路由器的某个接口学习到，那么在周期更新时，将不会从该接口发出该路由项

    • 从此口进，不能此口出。

• 毒性逆转

  • 带毒传输

  • 如果有一个路由项从路由器的某个接口学习到，那么在周期更新时，将从此口发出，但是cost

    值设置为16。

水平分割与毒性逆转原理相同，但是做法相反，所以只能同时执行一个效果。

• 华为默认开启水平分割

• 若水平分割和毒性逆转同时开启，按照毒性逆转来执行

基本配置

RIPv1----广播发送数据包

[r1]rip 1 ----启动RIP协议，配置进程号，进程号仅具有本地意义

[r1-rip-1]version 1 ----选择版本

[r1-rip-1]network 12.0.0.0-----宣告，RIP宣告路由时，必须使用主类网段宣告。

[r1-rip-1]network 192.168.1.0

[r1-rip-1]network 1.0.0.0

宣告

• 要求

  • 宣告所有直连网段

  • 必须按照主类宣告

• 目的

  • 激活接口----只有激活RIP的接口才能收发RIP的数据包

  • 发布路由----只有激活接口对应的网段路由信息才能被加载到应答报文中被发布给其他路由器RIPv2

[r1]rip 1

[r1-rip-1]version 2

[r1-rip-1]undo summary -----关闭自动汇总功能，华为默认关闭

[r1-rip-1]network 1.0.0.0

[r1-rip-1]network 192.168.1.0

[r1-rip-1]network 12.0.0.0

RIPv1与RIPv2的区别

• 更新方式

  • RIPv1使用广播更新

  • RIPv2使用组播更新，组播地址224.0.0.9，0100-5e00-00xx

• 更新时是否携带掩码

  • RIPv1不携带真实掩码

  • RIPv2携带真实掩码

• RIPv2支持自动汇总功能(汇总时，直接汇总到主类)，RIPv1不支持

• RIPv2支持手工认证

  [r1]display rip 1 database ---查看RIP数据库

RIP扩展配置

• 手工汇总

  • [r1-GigabitEthernet0/0/1]rip summary-address 10.1.0.0 255.255.254.0

  • 汇总路由配置后，需要使用空接口进行防环操作，且RIP的手工汇总路由会抑制明细路由。

• 缺省路由

  • [r1-rip-1]default-route originate ----下放缺省路由

  • RIP的缺省路由为下放路由，本地配置路由器不会使用该路由信息，而只是告诉其他路由器添加一条缺省路由，下一跳为配置路由器。

• 静默接口

  • 配置了静默接口的接口无法主动发送RIP数据报文。可以接收RIP数据包。

  • 当静默接口接收到RIP数据包后，将转变为普通接口，开始发送RIP数据报文。

  • [r1-rip-1]silent-interface GigabitEthernet 0/0/0

  • 一般配置在与用户设备相连的接口

• 手工认证

  • 双方均需要配置

  • [r2-GigabitEthernet0/0/2]rip authentication-mode simple cipher 123456

  • 使用simple---->数据传输时直接携带真实密码

  • 使用MD5------->数据传输时携带哈希值

• 加速收敛

  • [r1-rip-1]timers rip 1 6 4 ----三个时间参数分别为更新计时器、无效计时器、垃圾收集计时器，单位为秒，修改时倍数关系不变，且全网均需要修改。

RIP缺陷

• 选路不佳-----RIP基于跳数进行选路，不考虑带宽和网络延时问题

• 占用资源过多----30S周期更新产生大量广播或组播报文，占用链路资源

• 收敛速度慢

• 仅支持小型网络----RIP最多支持15跳

 

OSPF---开放式最短路径优先协议

基本概念

• IGP---AS内部使用

• 链路状态型协议---传递拓扑

• 传递时携带网络真实掩码

• SPF算法---最短路径优先算法

• 跨层封装---基于IP协议封装，协议号89

• OSPF开销值===参考带宽/实际带宽

• OSPF优先级---10

• LSA---链路状态通告

• OSPF更新方式

  • 删除了周期更新，仅保留触发更新机制

  • 周期链路状态刷新---30MIN

• 使用组播更新----224.0.0.5/224.0.0.6

OSPF区域化结构部署--0区域划分

• 只有一个区域的OSPF网络----单区域OSPF网络

• 存在多个区域的OSPF网络

区域内部传递拓扑信息，区域间传递路由信息

• 区域编号是32位bit组成，点分十进制表示，直接用十进制表示

  • 区域0---骨干区域

  • 其他区域---非骨干区域

    1.必须存在骨干区域

    2.所有的非骨干区域必须与骨干区域直接相连

• 区域边界路由器---ABR

  • 同时属于多个区域，一个接口对应一个区域，且至少有一个接口属于骨干区域

  • 区域间可以存在多个ABR设备，一个ABR设备也可以对应多个区域

• 自治系统边界路由器----ASBR

5种数据包，7种状态机，2种关系，3种接口角色，4种路由角色与3张表

OSPF数据包

 

• hello报文

  • 用来周期性发现，建立，保活OSPF邻居关系。

  • 10s一次发送hello报文进行周期保活

  • 存在一个hold-time时间,若该时间内没有接收到邻居发送的hello报文，则认为邻居不存在，hold-time一般为死亡时间，为hello-time的四倍，即40S

  • Router-ID(RID)

    • 全网唯一，标识路由器身份

    • IP地址形式表示

• DBD报文

  • 链路状态数据库描述报文

  • 包含了本地所有拓扑的目录信息

• LSR报文

  • 链路状态请求报文

  • 请求未知的LSA信息

• LSU报文

  • 链路状态更新报文

  • 携带真正的LSA信息的数据包

• LSAck报文

  • 链路状态确认

  OSPF状态机

• down---关闭状态------一旦启动了OSPF协议，则发出hello报文，该报文中携带了本地RID值，并进入下一个状态

• init---初始化状态---收到的hello报文中携带有接收方本地的RID值，则进入下一个状态

• 2-way----双向通讯状态----邻居关系建立的标志

条件匹配：匹配成功则进入下一个状态，匹配失败则停留在邻居关系。

• exstart---预启动状态----使用未携带信息的DBD报文进行主从关系选举，RID大的为主设备

• sxchange状态---准交换状态-----使用携带目录信息的DBD报文进行目录共享

• loading---加载状态----邻居间使用LSR/LSU/LSAck报文来获取完整的拓扑信息

• full---转发状态---拓扑交换完成后进入该状态，标志着邻接关系的建立

条件匹配

消除LSA的重复更新，减少路由器及链路的资源消耗。

• 指定路由器-----DR

• 备份·指定路由器----BDR

• 其他路由器---DRother

选举规则

1. 比较接口优先级，0-255；优先级越大接口优先度越高。默认值=1

2. RID越大越优

一个广播域，进行一次DR/BDR的选举

角色之间关系

• DR与BDR---邻接关系

• DR与DRother----邻接关系

• BDR与DRother---邻接关系

• DRother与DRother---邻居关系

在一个网络中，可以没有BDR，但是不能没有DR。

选举模式----非抢占性，一旦选举成功，不因为新加入的设备而重新选举，若需要重新选举，则需要重启OSPF进程，而非重启路由器

OSPF工作过程

1.启动OSPF协议，路由器A向本地所有启动了OSPF协议的直连接口，使用组播地址224.0.0.5发送

hello报文；

1. hello报文中携带了本地的全网唯一的RID值；

2. 之后对端路由器B在启动OSPF后，也会发送hello报文。

3. 当A接收到的hello报文中存在A的RID值时，则A与B建立邻居关系，并生成邻居表。

2.邻居关系建立后，邻居间进行条件匹配，匹配失败则停留在邻居关系，仅10S使用hello包保活；若匹配成功，则可以开始建立邻接关系。

3.邻接间共享DBD报文，将本地和邻接的DBD包进行对比，查找RID值，进行主从关系选举。

1. 从设备主动发送携带目录信息的DBD报文，主设备通过对比DBD报文内容，使用

LSR/LSU/LSAck报文来请求未知LSA信息。

1. 该过程完成后，邻接关系建立，并生成数据库表（LSDB）。

4.之后，根据本地数据库表，启用SPF算法，计算到达所有未知网段的最短路径，将其加载到本地的OSPF路由表中，并将未知路由信息加入到全局路由表。

1. 此时路由收敛完成

2. 最后，hello包周期保活，并且每30min进行一次周期链路状态刷新。

结构突变

• 新增网段---直接使用更新包告知邻接关系接口---触发更新

• 断开网段---直接使用更新包告知邻接关系接口---触发更新

• 无法沟通---hello包10S发送一次，若40S时间未接收hello包，即超出死亡时间；断开邻接关系

  • 删除路由信息

  • 当无法沟通超过1h，则删除掉本地存储的LSA信息。（华为规定LSA信息仅能由始发设备删除）

基础配置

 

1、启动协议

[r1]ospf 1 router-id 1.1.1.1 ----若不配置RID值，则路由器自己选择（环回接口最大IP>物理接口

最大IP）

2、创建区域

[r1-ospf-1]area 0

3、宣告并激活接口

[r1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255 ----网段宣告，使用反掩码进行宣告

[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0-----接口地址宣告

reset ospf 1 process ----重置OSPF进程

[r1]display ospf peer ----查看OSPF邻居表

[r2]display ospf peer brief ----查看OSPF邻居简表

[r2]display ospf lsdb ----查看OSPF数据库简表[r2]display ospf routing ----查看OSPF路由表

OSPF扩展配置

• 修改参考带宽

  • [r1-ospf-1]bandwidth-reference 1000

  • 一台设备修改参考带宽，则后续所有设备均需要修改

• 修改优先级----一般用于人工影响DR选举。

  • [r1-GigabitEthernet0/0/0]ospf dr-priority 10

  • [r2-GigabitEthernet0/0/0]ospf dr-priority 0-----代表放弃选举，自动成为DRother

• 静默接口

  • 不接受也不发送hello报文，一般用于连接用户的接口，不能用于连接路由器之间的接口

  • [r2-ospf-1]silent-interface GigabitEthernet 0/0/0

• 缺省路由

  • [r1-ospf-1]default-route-advertise ----非强制性下发，当该路由器的路由表中存在其他协议学习到的缺省路由时，该命令生效。

  • [r1-ospf-1]default-route-advertise always ----强制性下发

• 手工汇总----仅能在ABR或ASBR设备上配置

  • [r2-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0 255.255.252.0

  • ABR设备从哪个区域学习到的明细路由，则进入到该区域进行路由汇总。

• 接口认证

  • [r1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456

  • 认证类型

    • 不认证---0

    • 简单认证----1

    • MD5认证----2

      • key id----两边必须相同

• 加速收敛

  • [r3-GigabitEthernet0/0/0]ospf timer hello 5------当hello时间被修改，则路由器自动修改死亡时间

  • [r2-GigabitEthernet0/0/1]ospf timer dead 20----修改死亡时间，hello时间不会被自动修改

RIP与OSPF对比

• 根本区别------OSPF是基于链路状态的协议，而RIP是基于距离矢量的协议

• RIP仅适用于小型网络；OSPF适用于中大型网络；

• OSPF具备区域化结构部署，RIP没有；

• RIP使用跳数定义开销；OSPF使用带宽定义开销；

• RIP直接封装在UDP协议中，OSPF直接封装在IP协议中。

• RIP基于主类宣告，OSPF基于反掩码进行宣告；

• RIP具有周期更新机制，OSPF仅具备触发更新；

• RIP协议收敛完成后，网络中持续性存在大量RIP报文；而OSPF在收敛完成后，报文量极少。

交换技术

 

• 垃圾流量问题

  • 交换机在接收到未知单播或广播帧时，会进行洪泛或广播操作，占用其他设备资源及带宽资源

• 安全问题

  • 计算机接收到本不应该收到的数据帧，从而读取内容

VLAN---虚拟局域网

 

VLAN类型

• 基于端口的VLAN---一层VLAN

  • 最常见的方式

  • 由网络管理员进行配置，将VLAN编号与交换机物理接口对应。此后，从该接口进入的数据帧都将属于该VLAN.

• 基于MAC接口的VLAN---二层VLAN

  • 配置一个VLAN和MAC地址的映射表单，当数据帧进入交换机时，交换机查询该表单，根据不同的源MAC地址来划分不同VLAN

• 基于协议的VLAN划分---三层VLAN

VLAN配置

 

1、在交换机上创建vlan

[sw1]vlan 2 -----默认情况下交换机存在vlan 1，并且所有接口属于vlan 1

[sw1]vlan batch 2 to 10 20 ----批量创建vlan2到vlan10以及vlan20

2、将接口划入vlan

[sw1]interface GigabitEthernet 0/0/1

[sw1-GigabitEthernet0/0/1]port link-type access -----修改链路类型为Access

[sw1-GigabitEthernet0/0/1]port default vlan 2 ----修改端口所属vlan

[sw1]display vlan ----查看vlan表单

端口类型

• Access类型

  • 一般用于交换机与终端相连的接口

• Trunk类型

  • 一般用于交换机与交换机相连的接口

• Hybird接口

  • 同时具备Access以及Trunk端口的功能

 

 

3、配置Trunk干道

[sw1]interface GigabitEthernet 0/0/24

[sw1-GigabitEthernet0/0/24]port link-type trunk ----将接口链路类型设置为trunk干道

[sw1-GigabitEthernet0/0/24]port trunk allow-pass vlan 2 3 ----在trunk干道的允许列表中加入

vlan2和vlan3

 三层交换机

 

 

 

 

 

 

ACL技术---访问控制列表

• ACL原理

  • 设备根据事先设置好的报文匹配·规则对经过该设备的流量执行预先设定的处理动作。

• ACL功能

  • 访问控制---在流量流入或流出的接口上匹配流量。

  • 抓取流量

    • 动作

      • 允许--permit

      • 拒绝---deny

  • 抓取流量

• ACL匹配规则

  • 自上而下、逐一匹配，匹配上则安招规则进行执行，不再向下匹配

  • 若没有匹配上，则执行默认规则

    • 华为中，ACL访问列表末尾隐含条件为允许所有

• ACL分类

  • 基本ACL

    • 只能基于IP报文的源IP地址、报文分片标记来定义规则

    • 规则编号：2000-2999

  • 高级ACL

    • 可以基于IP报文的源IP地址、目的IP地址、IP报文的协议字段、IP优先级、长度、TCP的源目端口、UDP源目端口等信息来定义规则

    • 规则编号：3000-3999

  • 二层ACL

    • 使用以太网数据帧定义规则

    • 编号：4000-4999

  • 用户自定义ACL

 

需求一：允许PC1访问192.168.2.0/24网段，而PC2不行

• 分析：该需求仅对源有要求，配置基本ACL，且因为基本ACL仅关注数据包中的源IP地址；故配置时尽量靠近目标，避免对其他地址访问误伤。

[r2]acl 2000 ----创建基本ACL列表

[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 ---编写规则

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ----调用策略

[r2]display acl 2000 -----查看ACL列表

通配符：0代表不可变；1代表可变。

可以精准匹配某一个IP地址或网段。

1、拒绝192.168.1.2和192.168.1.3
rule deny source 192.168.1.2 0.0.0.1
00000011
00000001
2、拒绝192.168.1.0/24网段
rule deny source 192.168.1.1 0.0.0.255
3、拒绝192.168.1.0/24网段中的单数IP
rule deny source 192.168.1.1 0.0.0.254

**需求二**：PC1可以访问PC3，但是不能访问PC4

分析：对目标有要求，使用高级ACL；由于高级ACL对流量进行了精确匹配，可以避免误伤，所以调用时靠近源，减少链路资源消耗。

> [r1]acl 3100
>
> [r1-acl-adv-3100]rule deny ip source 192.168.1.1 0.0.0.0 destination 192.168.2.2 0.0.0.0
>
> [r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3100

**设备的一个接口只能调用一张ACL列表，但是一张ACL列表可以在不同地方多次调用**。

 

需求三：PC1可以ping通R2，但是不能Telnet R2。

[r1]acl 3000

[r1-acl-adv-3000]rule deny tcp source 192.168.1.1 0.0.0.0 destination 12.0.0.2 0.0.0.0

destination-port eq telnet

NET技术---地址转换技术

私网IP地址

• 在IP地址空间中，A、B、C三类地址各有一部分地址，充当私网IP地址，其余IP地址称为公网IP地址。

A：10.0.0.0---10.255.255.255

B：172.16.0.0---172.31.255.255

C：192.168.0.0---192.168.255.255

• 具有可重复性，私网IP地址不允许在互联网中传输，公网IP地址可以在互联网中使用。

 

静态NAT

静态NAT是通过在私网边界路由器上建立并维护一张静态地址映射表。这张表记录了公有IP地址和私有IP地址之间的对应关系。----一对一的NAT

静态NAT配置位置为边界路由器的出接口

[r2-GigabitEthernet0/0/1]nat static global 12.0.0.100 inside 192.168.1.1

12.0.0.100----漂浮IP----合法的从运营商购买的公网IP地址，且该地址必须与边界路由器出接口地

址处于同网段。

[r2]display nat static ----查看静态地址映射表

NAPT----网络地址端口转换技术

easy ip

[r2]acl 2000

[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

[r2-GigabitEthernet0/0/1]nat outbound 2000

端口映射