H3C课程笔记（网上看视频记的）

H3C课程笔记
1、计算机网络是一组自治计算机互联的集合

2、计算机网络的基本功能
①资源共享
②分布式处理与负载均衡
③综合信息服务（与生活衣食住行息息相关）
互联网三大技术：A（AI） B（Bigdata） C（Cloud）

3、计算机网络的分类
①LAN（局域网）：由用户自行建设，使用私有地址组建的网络
②MAN（城域网）：由运营商或大规模企业建设，连接城市范围的网络
③WAN（广域网）：（狭义理解）由运营商建设，连接全国各个城域网的网络，又称骨干网、核心网、传输网
（广义理解）只要不是局域网，都可理解为一个广域网

4、网络拓扑
定义：网络设备连接排列的方式
分类： ① 总线型拓扑：（基本淘汰）所有设备共享一条公共线路，线路中断会导致所有设备中断通讯
②环形拓扑：（基本淘汰）所有设备共享一条环形总线，有一定冗余性
③星型 拓扑：（一般用于小型企业）其他节点都与中央节点直接相连，某条线路中断不会影响其他节点，但是中央节点故障会导致全网中断
④树形拓扑： 星型结构的进一步发散；
优点：结构简单、组网成本低、维护管理容易
缺点：中央节点压力大、可靠性差
⑤网状拓扑：节点之间有多条线路可达；
优点：可靠性高
缺点：组网成本高（指在防止环路配置上会消耗一定的带宽、CPU资源）、 维护管理复杂

5、衡量网络性能的指标
①带宽：单位时间内能够传输的数据总量 ，带宽越大，网络质量越好 ； 单位：bps bit per second（比特每秒）
一个英文字母或数字占1byte 一个汉字 占2byte 1byte=8bit
②延迟：数据从一个节点到另外一个节点所需要的时间， 延迟越低，网络质量越好；单位：ms

6、协议和标准
协议：数据通讯双方共同·遵守的通讯规则
标准：公认的，所有的厂商所共同遵守的协议规则
标准化组织：ISO（国际标准化组织）、IEEE（电气电子工程师学会）

7、OSI参考模型
产生背景：各大IT设备厂商只支持自己的私有协议，跨厂商设备兼容性差，导致用户购买和维护成本高、不利于网络技术的发展
概念：定义了网络中设备做遵守的层次结构
优点：开放的标准化接口，协议不在封闭；多厂商设备兼容；易于理解、学习和更新协议标准；实现模块化工程，降低开发难度；便于故障排除
分层：（不能局限于层次的概念，可以理解为七个功能模块）
①物理层 ：定义电压、接口、线缆标准、传输距离、传输介质等物理参数
②数据链路层：MAC地址寻址（每个设备MAC唯一）
③网络层：网络地址层寻址、路由
④传输层 ：数据分段、建立端到端的连接、维护传输的可靠性
TCP：可靠的传输 （每次传输都有一个确认的过程） UDP：不可靠传输

⑤会话层：建立、维护、拆除应用程序间的会话（拆除虚电路）
⑥表示层 ：定义数据格式、结构；数据加密、压缩
⑦应用层：为应用程序进程提供网络服务
OSI参考模型的问题：划分层次过多，会话层、表示层存在意义不大；IP协议成为事实的网络层唯一协议

8、TCP/IP 参考模型
4层划分方法：
④应用层（将OSI模型的会话层、表示层、应用层统为应用层）
③传输层
②网络层
①网络接口层（将OSI模型的物理层、数据链路层统为网络接口层）

5层划分方法：
⑤应用层（将OSI模型的会话层、表示层、应用层统为应用层）
④传输层
③网络层
②数据链路层
①物理层

9、数据封装和解封装
定义：封装是指在原始数据的基础上加入一些额外信息形成新的数据；解封装是指除掉封装的额外信息，还原成原始数据
⑤应用层-------------->数据
④传输层-------------->数据段
③网络层 ------------>数据包
②数据链路层-------->数据帧
①物理层----------->比特流 （只有拆除外层封装，才能看到内层封装 ）

10、局域网设备
集线器：内部为总线型拓扑，任意时间只能有一台主机占用总线，连接的所有设备位于同一冲突域 ，工作在物理层，没有寻址能力，所有的数据泛洪式转发
交换机：内部每两个接口都有一条独立线路，每格接口都是独立的冲突域，工作在数据链路层，基于MAC地址寻址，数据可单点转发

11、IP基本原理
①IP定义：当前唯一的网络层协议标准，定义数据网络层的封装方式、编址方法
②IP头部封装格式 ：见word文档
③IP地址
定义：网络层地址
格式：32位长度、点分十进制、由网络位+主机位组、网络位长度和数字完全一致的地址属于同一个网段
分类：A：1.X.X.X——126.X.X.X 前8位为网络位、后24位为主机位
B：128.X.X.X——191.X.X.X 前16位为网络位、后16位为主机位
C：192.X.X.X——223.X.X.X 前24位为网络位、后8位为主机位
D：224.X.X.X——239.X.X.X 组播地址（不可用于配置为地址）
E：240.X.X.X——255.X.X.X 科研用地址，不对外开放使用
IP地址分类是用来划分不同的网络规模
④特殊地址
Ⅰ：127.X.X.X ------>本地回环地址，用于标识本机
Ⅱ：主机位全0 ------>网络地址，用来标识某个网段
Ⅲ：主机位全1 ------->本网段广播地址
Ⅳ：255.255.255.255 ------->全网广播地址
Ⅴ：0.0.0.0 -------->任意IP地址
⑤公有地址：可以在互联网上的寻址，全球唯一，需要运营商分配
⑥私有地址：本地可以随意使用，无法在互联网上寻址
私有地址范围：A：10.X.X.X
B：172.16.X.X
C：192.168.X.X
运营商专用私有地址：100.64.X.X——100.128.X.X
⑦ARP协议
定义：地址解析协议，把IP地址解析为MAC地址
工作原理：A主机以广播的形式发送ARP查询请求，询问B主机的MAC地址，B主机以单播形式回复A主机本机的MAC地址，A主机把主机B的IP地址和MAC地址的映射关系写入ARP缓存表中
相关命令：查询ARP缓存 arp -a
清空ARP缓存 arp -d
⑧ICMP协议
Ⅰ：ping 测试网络连通性
Ⅱ：tracert 路由跟踪 （H3C的设备默认不开启此功能，开启路由跟踪功能需要的前置命令 ：ip ttl-expires enable ip unreachables enable ）
⑨IP数据转发原理：如果目的IP和本机IP属于同一网段，会直接查询目的IP的MAC地址，并进行封装
如果目的IP和本机IP不属于同一网段，会先查询网关IP地址的MAC地址，并进行封装
⑩网关：本网段的出口IP

12、TCP/UDP
①端口：（端口范围0~65535）每个应用程序进出网络都需要经过一个唯一的端口，通过端口号来识别数据交由哪个应用程序处理
②服务端：固定端口号 客户端：1024以上随机端口
1024以下端口供知名端口使用
常见的知名端口号： TCP 80 HTTP
TCP 443 HTTPS=http+ssl/tls
TCP 20 21 FTP （文件传输协议）
TCP 23 TELNET
TCP 25 SMTP（简单邮件传输协议）
UDP 53 DNS（DNS一般在本地解析使用UDP；在远程解析时使用TCP）
③TCP的头部封装格式：见word文档
④TCP可靠性机制
Ⅰ：确认机制 Seq（封包序列号）= 上一次的ACK ACK（确认号）=上一次的Seq + 数据包长度 ，如果没有收到或收到的数据是不完整数据，会再次发送ACK请求对方重发
Ⅱ：三次握手 （ 见word文档）
Ⅲ：窗口机制 滑动窗口 通过通告对方本机的接受能力，来实现流量控制
Ⅳ：完整性校验 通过Checksum来检查数据的完整性
⑤TCP特征
优点：传输可靠性高
缺点：占用带宽高，传输延迟高
TCP适用场景：对数据的完整性要求高，但是对传输的延迟要求低
⑥UDP特征
优点：占用带宽低，传输延迟低
缺点：没有任何的可靠性机制
UDP适用场景：对传输延迟要求高，但对数据的完整性要求低

13、命令行操作基础
①H3C路由交换产品连接方法
Ⅰ： 使用console线本地连接 协议Serial，接口com口（连接真机与PC后，打开设备管理器，显示com几就连接几），波特率9600其他参数默认，适用于设备的初次调试
Ⅱ：使用Telnet远程访问 适用于设备上架配置好后的维护管理
Ⅲ：使用SSH远程访问 数据传输过程加密，安全的远程访问
②命令行使用基础
Ⅰ：命令行视图
用户视图 （只能查看配置，不能修改配置）
system-view 进入系统视图
[H3C] 系统视图 （可以查看和修改全局配置）
[H3C-g0/0] 接口视图 （可以对接口修改配置）

quit——> 退回上一个视图

return（CTRL+Z）——>直接跳至用户视图下

③常用查看命令

display current-configuration——>查看当前所有的配置

display ip interface brief——>查看所有三层接口的摘要信息（接口的IP地址、接口的连通状态）

display interface g0/0——>查看g0/0接口的详细信息

display version——>查看设备信息

display this ——>查看当前视图下配置了那些参数

④设备操作命令

sysname R1 ——>更改设备名称为R1（系统视图）

reboot——>重启设备（用户视图）

save——>保存当前配置（系统视图）

reset saved-configuration——>清空保存的配置（用户视图）不会影响设备当前的运行状态，重启之后配置会完全消失

undo——>在命令前加undo代表执行该命令的反向操作（例如删除某个IP地址）

shutdown ——>手动关闭某个接口（接口视图）

undoshutdown——>手动开启某个接口

⑤命令行帮助
Ⅰ：命令简写
Ⅱ：？键命令提示
Ⅲ：Tab键自动补全

14、网络设备文件
①设备存储器
Ⅰ：ROM 只读存储器，存储了Boot room程序
Ⅱ：Flash 闪存（相当于电脑的硬盘），永久存储操作系统文件、配置文件等数据
Ⅲ：RAM 内存，存储当前正在运行的数据，断电数据会丢失
②设备的配置文件
Ⅰ：当前配置 current-configuration 设备当前正在运行和生效的配置信息，存储在RAM中
Ⅱ：起始配置 saved-configuration或者startup-configuration 每次设备开机会自动加载的配置信息，存储在Flash中
Ⅲ：起始配置文件的备份 通过USB或者FTP把startup.cfg和startup.mdb 拷贝到其他存储设备，配置还原后，需要通过startup saved-configuration startup.cfg

15、以太网交换机的工作原理
①以太网
定义：传输标准Ethernet Ⅱ类型帧的网络
特征：多路访问（是指在一个网段中能搞出N个设备），广播式的网络
MAC地址：每台设备生产时就写入的一个全球唯一的物理地址
48位长度 16进制格式地址 前24位为厂商标识，后24位为设备标识
以太网帧格式：目的MAC地址 源MAC地址 服务和类型（与IP头部的type of service类似） DATA 帧校验序列（FCS）
②交换机（全称：以太网交换机）
定义：工作在数据链路层，通过识别MAC地址来进行数据转发的设备
交换机数据转发原理：MAC地址表：——>记录交换机每个端口和所有连接的设备的MAC地址的映射关系、
——> 一个接口可以多个MAC地址，一个MAC地址不能对应多个接口
——>老化时间为300秒（在300秒内若没有进行数据转发就会删除该条映射关系）
工作机制：交换机学习数据帧的MAC地址，来获得端口和设备MAC地址的映射关系，写入MAC地址表，
交换机检查数据帧额目的MAC地址从MAC地址表中的映射关系来判断把数据从哪个端口发出，
交换机对于目的MAC地址不存在于MAC地址表中的数据帧进行广播处理
数据帧的转发方式：对于目的MAC地址已知的单播帧，交换机查询MAC地址表进行转发
对与目的MAC地址未知的单播帧，交换机进行广播处理
对于广播帧，交换机继续广播处理
数据传输模式：单播——>接受者是某一个设备
广播——>接收者是所有其他设备
组播——>接收者是某一部分设备
广播域：网络中所有能接收到同样广播信息的设备集合，默认情况下，交换机的所有端口属于同一个广播域

16、VLAN
①定义：虚拟局域网，用来在二层网络中隔离广播域，不同VLAN的设备之间在纯粹的 二层网络 中无法相互通讯
②pc发送数据帧进入交换机，会被打上vlan tag；vlan tag 中的vlan id 就是收到帧的接口所属的vlan；一旦数据帧被打赏vlan tag，就会变成802.1Q格式的帧
交换机检查数据帧的目的MAC地址，进行判断了如果MAC地址对应的接口允许vlan tag中的vlan id通过，则进行数据转发；否者，丢弃该帧
数据帧从出接口发往接受主机前，会剥离vlan tag，使之还原为标准的以太网帧格式（因为计算机只能识别以太网帧格式的数据类型）
③802.1Q：在源MAC地址和Type（服务和类型）之间携带vlan tag的帧格式，计算机不识别
④交换机端口类型
Access：必须加入到一个VLAN，只能加入到一个VLAN；从Access端口收到的帧，会打上端口所属的vlan tag；从access端口发出的帧会剥落tag，
Trunk：可以允许多个vlan的数据通过；从trunk端口发出的帧保留vlan tag，但是缺省vlan除外，trunk端口收到未打tag的帧，会重新打上缺省vlan的tag，一般用来连接交换机
Hybrid：可以允许多个vlan的数据通过；可以手动配置从Hybrid端口发出的帧，哪个vlan保留tag，哪个vlan剥离tag；Hybrid收到为打tag的帧，会重新打上缺省vlan的tag，既可以连接PC/路由器，也可以连接交换机

17、STP生成树协议
①二层环路带来的问题：广播风暴、MAC地址表震荡
②定义：用来解决 二层环路 问题
③BPDU
Ⅰ：定义 桥协议数据单元，用于传递STP协议相关报文
Ⅱ：分类
配置 BPDU：用于传递STP的配置信息（用于选举）
TCN BPDU：用于通告拓扑变更信息（用于报错）
④STP的选举机制（跟思科选举机制一样）
在所有交换机中选举出一台作为根网桥（也称根交换机）（Root bridge）；
每台非根交换机选举出一个根端口（Rout port）；
每个物理段上选举出一个指定端口（Designated port）；
剩下的没有角色的端口就是堵塞端口（Blocked port）
⑤开销 cost ,代表路径耗费的代价和成本，带宽越大，开销越小
⑥交换机端口状态
disable：禁用状态，被关闭的端口
blocking：闭塞状态 接收BPDU，不发送BPDU，不学习MAC地址，不转发数据（闭塞端口所在状态）
listening：监听状态 接收并发送BPDU，不学习MAC地址，不转发数据，持续15秒
learning：学习状态 接受并发送BPDU，学习MAC地址，不转发数据，持续15秒
forwarding：转发状态 接受并发送BPDU，学习MAC地址，转发数据
⑦STP计时器
Hello time 2秒 配置BPDU的发送周期
Max age 20秒 判断链路故障的时间，10个Hello time周期
Forwarding delay 15秒 状态切换延迟
⑧STP拓扑变更机制（缩短至30-50秒）
Max age超时/有接口变更为转发状态，判断为拓扑发生变更，向网桥发起TCN BPDU；
收到TCN BPDU的交换机继续向根交换机转发TCN BPDU，到达根交换机为止；
根交换机收到TCN BPDU后，向所有端口发起TC置位的配置BPDU；
交换机收到TC置位的配置BPDU后，MAC地址表的老化时间缩短为15秒（MAC地址默认老化时间为300秒）
⑨STP的问题
收敛速度慢，故障切换时间太长；当网络中有大量主机频繁上下线，会导致TCN BPDU大量发送
⑩RSTP/MSTP
RSTP 快速生成树协议
端口状态减少至3种；端口角色增加到4种 ，根端口和指定端口不变；
闭塞端口细分为两种 替代端口----->根端口的备份
备份端口----->指定端口的备份
边缘端口机制：当链路激活，边缘端口立即进入转发状态，不参与STP计算；
边缘端口UP/DOWN不会触发拓扑变更，建议把连接PC的端口配置为边缘端口
MSTP 多生成树协议
将多个vlan捆绑到一个生成树实例，每个实例分别独立计算生成树，基于STP计算结果不同，实现不同vlan的流量负载均衡

STP生成树常用命令
display stp----->查看STP相关信息
display stp brief----->查看STP端口状态
stp global enable----->全局启用端口
undo stp enable----->关闭端口上STP（接口视图）
stp mode ‘stp/rstp/mstp’----->更改STP模式，默认是MSTP
stp priority ‘priority’----->更改交换机优先级
stp cost ‘cost’----->更改接口生成树的cost
stp edged-port----->配置端口为边缘端口

18、交换机端口安全技术
①802.1X
定义：起源与WLAN协议802.1X，解决局域网终端的接入认证问题
认证方式：本地认证；远程集中认证
端口接入控制方式：基于端口认证；基于MAC地址认证
②端口隔离技术
用于在同一个vlan内部隔离用户，同一隔离组端口不能通讯，不同隔离组端口可以通讯

19、链路聚合
①定义：把连接到同一台交换机上的多个物理接口捆绑成为一个逻辑端口
②功能
Ⅰ：提高链路的可靠性 聚合组内只要还有物理端口存活，链路就不会中断
Ⅱ：增肌链路传输带宽 避免了STP计算，聚合组内物理端口不会被堵塞，交换机之间的流量会自动在聚合组内的所有物理端口上负载分担
③负载分担 也称负载均衡，聚合后的链路会基于流自动负载分担
④分类
Ⅰ：静态聚合 双方不会协商聚合参数
Ⅱ：动态聚合 双方通过LACP协议协商聚合参数
⑤常用命令
interface bridge-aggregation ‘number’----->创建聚合组
port link-aggregation group ‘number’----->将以太网端口加入聚合组
display link-aggregation summary------->查看链路聚合情况

20、DNS
①域名
Ⅰ：产生背景 通过IP地址访问目的主机，不便于记忆，通过容易记忆的域名来标识主机的位置
Ⅱ：域名的层次化结构
完整的域名结构 www. sina .com.cn .
主机名 二级域(自编) 顶级域 根域
根域
顶级域 主机所处的国家/区域，注册个人性质
二级域 注册人自行创建的名称
主机名 区域内部的主机名称
②定义：用于域名和IP地址的互相解析
③DNS查询模式
Ⅰ：递归查询 DNS服务器一定会返回一个确切的查询结构，客户端到DNS的查询
Ⅱ：迭代查询 DNS服务器会返回一个已知的其他DNS服务器，由申请者自行查询，DNS服务器到DNS服务器的查询
④H3C配置DNS代理（见配置页）

21、文件传输协议
①FTP
Ⅰ：定义 文件传输协议；C/S模型，具备身份验证功能；双TCP连接
Ⅱ：端口
控制连接 ：21 用于传输FTP命令和执行信息
数据连接 ：20 用于数据的上传、下载
Ⅲ：数据传输方式
主动方式 数据连接由服务器主动发起 控制连接 ：21 数据连接 ：20
被动方式 数据连接由客户端主动发起 控制连接 ：21 数据连接 ：服务器随机产生端口
②TFTP
简单文件传输协议；基于UDP，69号端口，只有数据传输功能，不提供身份验证、目录列表等功能

22、IPv6
①IPv4的问题 地址资源已经耗尽，终端用户配置不够简便，协议本身不具备安全性和QOS特性
②IPv6的优势 几乎无尽的地址空间，终端用户无需任何配置，甚至不需要DHCP，协议自带安全性和QOS特性
③地址格式 冒号十六进制格式 ，每段16位，共8段，一共128位
④地址书写压缩

23、IP路由原理
①定义：路由器负责将数据报文在IP网段之间进行转发，路由是指导路由器如何进行数据转发的路径信息
②IP连通的前提：沿途的每台路由器都有到达目的网段的路由信息；路由时单向的路径信息，沿途每台路由器都要有往返双向的信息
③路由表
Ⅰ：作用 存储路由信息
Ⅱ：路由表查表规则 最长掩码规则 当数据包在路由表中匹配到多条掩码长度不同的路由时，会按照掩码最长的路由进行转发
路由迭代规则 当路由的下一跳位非直连网段地址，路由器会再次在路由表中查询下一跳地址，直到查询到下一跳是直连地址为止
④路由来源
Ⅰ：直连路由 根据直连接口所在网段自动产生，产生条件为接口UP，接口配置IP地址
Ⅱ：静态路由 手动配置到达每个目的网段的路由信息
特点：配置和维护繁琐复杂，没有协议开销，减轻设备和带宽压力
Ⅲ：动态路由 通过路由协议从邻居自动学习路由信息
特点：配置简单，维护便捷，协议开销会消耗设备资源和链路资源
常见的动态路由协议：RIP 路由信息协议，年代久远，已经被淘汰
OSPF 开放式最短路径优先，目前最主流的路由协议
BGP 边界网络协议，运营商之间使用的唯一协议
24、VLAN间路由
定义：指导设备对不同vlan间进行三层数据转发
实现方式：单臂路由（很少见到了 ）----->交换机上划分多个vlan，路由器单线连接到交换机，路由器接口划分多个子接口，交换机接口配置Trunk模式
三层交换----->三层交换机上启用vlanif三层接口，配置为网关IP，自动产生所有到达所有vlan的直连路由

25、静态路由
配置要点：如下一跳所在接口是点到点接口，可以以指出接口的方式来配置静态路由
如下一跳所在接口为以太网接口，只能以下一跳来配置静态路由
默认路由：目的网段0.0.0.0/0，当数据包在路由表中匹配不到明细路由时，按照默认路由转发

定义：路由协议是用来计算、维护
功能：邻居发现、路由交换、路由计算、路由维护

27、路由协议分类
按照使用位置分类：IGP 内部网关协议，运行在自治系统内部的路由协议（RIP、OSPF、IS-IS）
EGP 外部网关协议，运行在自治系统之间的路由协议（BGP）
自治系统：AS 一组被统一管理，运行在同一个IGP的路由协议组成的网络范围，一般不同城域网都是不同的AS，不同的运营商也是不同的AS

按照协议算法分类：距离矢量协议：度量值是跳数（RIP）
链路状态协议：度量值是开销（OSPF、IS-IS）
路径矢量协议：有多种度量值（BGP）

29、OSPF
RIP的缺陷：最大跳数限制了网络的规模
以跳数为度量值无法准确判断最优路径
路由更新发送完整的路由表消耗网络的带宽
收敛速度慢
协议会产生路由自环
定义：开放式最短路径优先，基于链路状态特征，工作在IP层，协议号89
OSPF的初始化流程：
Ⅰ：建立邻居和邻接关系
双方互相发送hello报文发现和建立邻居关系，组播地址224.0.0.5
选举DR/BDR：
选举原因：广播网络中使路由信息交换更加高速有序
选举范围：每条广播链路上都要选举出一个DR和一个BDR
选举规则：优先级大的优先，默认优先级都是1
Router-id大的优先（建议手动配置一个本地回环口的IP地址作为Rid）

建立邻接关系----->关系状态：DRother与DR建立邻接关系
DRother与BDR建立邻接关系
DR与BDR建立邻接关系
DRother之间保持邻居关系

Ⅱ：邻接路由器之间交换链路状态信息，实现区域内链路状态数据库同步
相关概念：链路状态通告（LSA）----->用来描述路由器的接口、路由条目的相关信息
链路状态数据库（LSDB）----->存储在本地的所有LSA
LSA包含的内容：
①直连网络的链路状态信息
②邻居路由器的链路状态信息
工作流程：1、向邻居路由器发送DD报文，通告本地LSDB中所有的LSA摘要信息
2、收到DD报文后，与本地LSDB做对比，向对方发送LSR报文，请求发送本机所需的LSA的完整信息
3、收到LSR报文后，把对方所需的LSA的完整信息打包成一条LSU报文，发送至对方
4、收到LSU报文后，向对方回复LSAck报文，进行确认

Ⅲ：每台路由器根据本机链路状态数据库，计算到达每个目的网段的最优路径，写入路由表

OSPF分区域管理：
分区域的原因：加快收敛速度，把网络故障隔离在区域内部
路由器的角色：IR----->内部路由器，所有接口都处于同一个区域
ABR----->区域边界路由器，连接不同区域的路由器
ASBR----->自治系统边界路由器，连接外部自治系统的路由器
区域类型： 骨干区域----->只能由一个骨干区域，骨干区域必须时连续的
非骨干区域----->非骨干区域必须连接到骨干区域（非骨干区域之间的通信必须经过骨干区域）
特殊区域

30、ACL包过滤（三层隔离技术，只负责对数据流的抓取和匹配，并不对数据进行任何操作；vlan是二层隔离技术）
①定义：访问控制列表，用于数据流的匹配和筛选
常见功能：
Ⅰ 访问控制 ACL+Packet-filter
Ⅱ 路由控制 ACL+Router-policy
Ⅲ 流量控制 ACL+QOS

②基于ACL的包过滤
Ⅰ 定义：对进出的数据包逐包检查，丢弃挥着允许通过，包过滤必须配置在接口的某个方向上才能生效，一个接口的一个方向只能配置一个包过滤策略

Ⅱ 包过滤的方向
入方向：只对从外部进入的数据包做包过滤
出方向：只对从内部发出的数据包做包过滤

Ⅲ 包过滤的工作流程
数据包到达接口检查是否应用了ACL，则进入匹配，否则放行；
按照ACL编号匹配第一条规则，匹配则进一步检查该条规则动作，否则与下一条规则进行匹配；
继续进行匹配，如匹配则检查规则动作，否则与下一条进行匹配；
当所有规则都不匹配，检查默认动作----->默认动作允许则放行 （华三用于包过滤是默认允许，其他是默认拒绝）
----->默认动作拒绝则丢弃
Ⅳ 注意事项
如果默认动作是允许，至少需要一条拒绝规则；
如果默认是拒绝，至少需要一条允许规则；
H3C的ACL用于包过滤默认允许，用于其他默认拒绝；
吧小范围的规则分配一个靠前的顺序；
在不影响实际效果的前提下，把包过滤尽量配置在离源地址最近的接口入方向

Ⅴ ACL的分类
基本ACL----->只对数据包的源地址进行匹配，编号2000-2900
高级ACL----->对数据包的五元组进行匹配（源IP、目的IP、源端口、目的端口、协议），编号3000-3900

31、NAT
定义：网络地址转换 通过把私有地址转换为公有地址是IP地址主机可以访问互联网，来解决公网地址不够用的问题
分类：静态NAT---->把公有地址一对一的静态映射给私有地址使用
基本NAT---->建立公有地址池，把地址池中的公有地址动态的映射给私有地址使用，本质上仍然是一对一的映射
NAPT----> 把公有地址和端口动态的映射给私有地址和端口，实现一个公有地址可以供多个私有地址同时使用访问互联网
转换源IP和源端口号，数据回包还原目的IP和目的端口
Easy IP---->NPAT的一种简易实现形式，适用于公网地址不固定的场景
NAT Server---->把公网IP的某个端口固定映射到私网IP的某个端口，让公网上的用户可以主动访问私网中的服务
转换目的IP和目的端口，数据回包还原源IP和源端口，也称端口映射