HCIA
网络就是通过一些特殊的通道把分布在不同地理位置的物品连接起来,从而实现信息的传输与共享。
计算机认识的是电流
应用层:自然语言>>编码
表示层:编码>>二进制数
介质访问控制层:二进制数>>电信号(CPU能识别的东西)
物质层:电流的输入输出,CPU计算
网络扩大方案
增大距离
·信号失真---依靠传输介质(把一个信号输入一个系统,得到的输出信号波形与输入信号波形不同,波的三要素改变了,可以是幅值变化(各频率分量非等幅度衰减),可以是相位改变(相移不与频率成正比),可以是频率改变(频率丢失),就是信号失真了)
·信号衰减---中继器---物理层面设备(不能无限制增加(最多延长5倍传输距离))
同轴电缆,RJ-45,
增加节点
网络拓扑结构。
·总线型
-优点---信道利用率高,结构简单。
-缺点---同一时刻仅允许两个节点进行通讯
·环形结构
-优点---增加和删除设备操作简单
-缺点---成本高,当某一个节点故障时,会影响全网,导致整张网咯瘫痪。
·星形结构---使用频率最高的拓扑结构
优先----信道利用率高、结构简单
缺点----对中心节点要求高,不允许出现故障
·全网状
-优点---从节点到节点有多条链路可以选择,结构稳定
-缺点---结构复杂,成本高
HUB---转发数据,从某一个接口接收到的数据,向其他所有接口进行数据转发。
·缺点
- 安全问题---因为一个节点给另一个节点发送数据时,其他节点可以接受到。
- 延时问题---节点会接受到大量不属于自己的数据信息,也就是垃圾信息。
- 地址问题---MAC地址(出厂烧录在设备本地,无法改变)(由49位二进制组成,前24位为厂商ID,后24位为产品ID。)全球唯一。
- 冲突问题---CSMA/CD(载波侦听多路访问/冲突检测) ----先听后发,边听边发,冲突停发,随机延迟后重发。-冲突域:连接在同一根导线上的所有工作站的集合。
·网络传输距离无限制
·完全没有冲突
·网络中存在单播数据,一对一传输。
(转化为二进制速度快)
网桥---交换机(升级版)
特点:属于二层设备,可以将电流转换为二进制数据。并存储在本地内存。(5分钟的老化时间)
·交换机存在MAC地址表,该表单中会记录下MAC地址与交换机接口的对应关系。----老化时间5分钟。交换机
基于MAC地址表进行数据转发。
·当A给B发送数据时,该数据来到交换机0号接口,交换机会记录下A---0的对应关系。然后查看目的MAC地
址,并与MAC地址表进行对比。
-若MAC地址表中存在B的记录关系,则按照记录关系进行单播数据转发。
-若MAC地址表中不存在B的记录关系,则进行洪泛操作(除流量进入接口外的所有接口复制转发流量。)
·交换机中,一个接口可以对应多个MAC地址。但一个MAC地址只能对应一个接口。
·一般我们将仅仅交换机连接的网络称为交换网络---交换网络最大连接中断不超过200个。
路由器(因为范围而出现)
广播域:一个数据包的洪泛的范围大小。
·隔离广播域---路由器的一个接口就是一个独立的广播域。
·转发数据---依靠路由表进行数据转发。
依靠交换机转发数据-----同广播域
借助路由器转发数据-----跨广播域
ID地址---逻辑地址
IPv4:32位二进制组成,点分十进制。
IPv6:128位二进制组成。
IP=网络位+主机位
·网络位----表示该IP所在网段(区域)
·主机位----表示该区域中的主机编号
位数
1===128
1===64
1===32
1===16
1===8
1===4
1===2
1===1
掩码
组成:32位二进制,由连续的1+连续的0组成。使用点分十进制表示。掩码的每一位比特位都与IP地址相对应,其中掩码的1对应的IP地址的比特位即为网络位。
ARP协议--地址解析协议
原理:根据已知的地址来获取未知的另一种地址信息
ARP缓存表--->其中记录着MAC地址与IP地址的对应关系--->老化时间180s
ARP分类
·正向ARP---通过IP地址获取MAC地址(网络中最常见)
·反向ARP--通过MAC地址获取IP地址
·免费(无故)ARP---冲突和自我介绍
ARP请求报文(请告诉我你的MAC地址)
原IP:---.---.-.- 源MAC:A
目的IP: ---.---.-.- 目的MAC: FFFF-FFFF-FFFF(广播)(全F差不多等于全部)
【0.0.0.0】有两种可能全部IP或者没有
ARP应答报文(没有信息)
ARP缓存表(存在时间3分钟)
ARP协议---地址解析协议
原理:根据已知的地址来获取未知的另一种地址信息。
ARP缓存表---其中记录这MAC地址与IP地址的对应关系---老化时间3分钟
·正向ARP---通过IP地址获取MAC地址(最常见)
·反向ARP---通过MAC地址获取IP地址
·免费ARP---冲突和自我介绍
TCP/IP
OSI参考模型---OSI/RM---开放式系统互联参考模型
OSI参考模型
上三层
·应用层:
·表示层:逻辑语言转化为机械语言,加密,解密
·会话层:针对于传输的每一种数据建立单独连接通道(防止数据之间相互干扰)
下四层:
·传输层:TCP,UDP>>端口号
·网络层:IP协议>>进行逻辑链路控制层LLC·数据链路层:两个层面>>介质访问控制层MAC
·物理成:定义一些物理特性>>电气电压、接口规范、比特流等。
报文封装与解封装
PDU---协议数据单元
上三层----数据
传输层----数据段
网络层---数据包
数据链路层---数据顿
物理层---比特流
TCP/IP
物理层
物理层:传输介质
同轴电缆---最早期500/185m
·双绞线
-屏蔽双绞线,非屏蔽双绞线
类型(1、2、3、4[淘汰])5、超5、6、超6、7、8类
·光纤100m
双工模式
-半双工---通信双方都能发送和接收数据,但是不能同时进行---对讲机(在半双工模式下,每个站都可以发送和接收,但不能同时进行。当一台设备在发送时,另一台只能接收,反之亦然。半双工模式用于不需要同时双向通信的场合。信道的全部容量可以用于每个方向。
)
-全双工---通信双方都能同时发送和接收数据---电话(是指当数据的发送和接收分流,分别由两根不同的传输线传送时,通信双方都能在同一时刻进行发送和接收操作的传送方式。在全双工模式下,通信系统的每一端都设置了发送器和接收器,因此,能控制数据同时在两个方向上传送。全双工模式无需进行方向的切换,因此,没有切换操作所产生的时间延迟,这对那些不能有时间延误的交互式应用(例如远程监测和控制系统)十分有利)
同一物理链路连接的设备双工模式必须一致。
线序--- 双绞线
·568A:将568B的1/3和2/6对调
·568B---橙白、橙、绿白、蓝、蓝白、绿、棕白、棕
数据链路层
设备:交换机,网桥
链路类型
·局域网---以太网
·广域网---PPP、HDLC、FR
帧的发送方式
·单播---一对一发送数据(单播是主机间一对一的通讯模式,网络中的设备根据网络报文中包含的目的地址选择传输路径,将单播报文传送到指定的目的地,只对接收到的数据进行转发,不会进行复制。它能够针对每台主机及时的响应,现在的网页浏览全部都是采用单播模式。)
·广播---一对所有发送数据(广播是主机间一对所有的通讯模式,设备会将报文发送到网络中的所有可能接收者。设备简单地将它收到的任何广播报文都复制并转发到除该报文到达的接口外的每个接口。广播处理流程简单,不用选择路径。)
·组播---特殊的广播,一对一组(组播是主机间一对多的通讯模式, 组播是一种允许一个或多个组播源发送同一报文到多个接收者的技术。组播源将一份报文发送到特定的组播地址,组播地址不同于单播地址,它并不属于特定某个主机,而是属于一组主机。一个组播地址表示一个群组,需要接收组播报文的接收者都加入这个群组。)
网络层
有类分址
- --0XXX XXXX---0.0.0.0-127.255.255.255---掩码8
- --10XX XXXX---128.0.0.0-191.255.255.255---掩码16
- --110X XXXX ---192.0.0.0-233.255.255.255掩码24
前三个单播地址(单播地址有掩码)
- --1110 XXXX---224.0.0.0-239.255.255.255---组播地址
- ---1111 XXXX---240.0.0.0-255.255.255.25---保留地址
前16位为网络位
特殊地址
·主机位全0的地址。---网段地址
·主机位全1的地址。---定向广播地址
·0.X.X.X>>无效地址>>0.0.0.0(1、代表所有IP;2、代表本地IP)
·127.X.X.X---->本地测试地址
·169.254.0.0/16----本地链路地址
私有地址
·A类:10.0.0.0-10.255.255.255
-一个地址段
·B类:172.16.0.0-172.31.255.255
-16个地址段
C类:192.168.0.0-192.168.255.255
-256个地址段
IP协议头部文报
最小24字节,最大60字节
6 ---TCP
17 ---UDP
生存时间大值为255,一旦数值为0则数据包被丢弃; 每经过一个路由器,数值减一)7---UDP
MTU---在以大网当中,该数值为1500字节
标志位: 3bit (0:DF:MF)
DF:若为1则代表未分片,若为0则代表分片
MF:若为0则代表最后一片报文,为1就表示不是最后一个报文
传输层
端口号:0-65535
·静态端口---1-1023
·动态端口---1024-65535
http---80---www代理服务---8080
Ssh---22
Telnet---23
ftp---20/21
dns---53
TCP协议---传输控制协议
TCP协议是一种面向连接的可靠传输协议
可靠性
·确认机制 每发一个数据段都会进行一次回复
·重传机制
·排序机制
·滑动窗口机制---流动机制
-窗口大小----指无需等待确认就可以连续发送的数据的最大量。
X+1:1告诉A之前序列号为X的报文。2告诉A下次希望收到X+1的报文
Seq:序列号 Ackeq:确认序列号
MSS最大传输段 MTU有1500个字节
IP有20个字节 MSS=MTU-IP=1480
ITCP分段依靠MSS(最大传输段)实现,其最大值为1460 (MTU-IP头部-TCP头部) ; 若存在TCP分段,则IP层面
不允许分片。
Ackeq上一个报文内容+1
每一个报文都有序列号
面向连接
三次握手(数据接受前)(三次“对话”的目的是使数据包的发送和接收同步,建立起两台主机之间的连接,经过三次“握手”之后,主机A才向主机B正式发送数据。)
第一个数据时序号随机产生 DATA=0,SYN=1
确认序列号后ACK=1
单向通道
第一个丢失会客户端重发服务器不响应
第二个丢失会两个都重发
第三次丢失了服务的会重发,客户端收到
四次挥手(数据接受后)
FIN请求释放报文
Seq=w/v w/v:不是随机数
第二次丢了客户端会重传
第四个丢了客户端不会重传,服务端会重发
任意端口出现故障时,另一个端口等待2个小时之后,会向端口发送探测报文,一共发10次间隔75分钟
UDP协议---用户数据报协议
是一种非面向连接的不可靠传输协议
传输数据量大的
TCP:重要数据传输
VLSM---可变长子网掩码技术---子网划分
原网位加子网位
(规定了如何在一个进行了子网划分的网络中的不同部分使用不同的子网掩码。VLSM其实就是相对于类的IP地址来说的。A类的第一段是网络号(前八位),B类地址的前两段是网络号(前十六位),C类的前三段是网络号(前二十四位)。而VLSM的作用就是在类的IP地址的基础上,从它们的主机号部分借出相应的位数来做网络号,也就是增加网络号的位数。)
CIDR---无类域间路由---子网汇总
ICMP协议
用来测试网络差错
网络层协议IP ICMP ARP
Ping
-a 使用原ip发出去,自身网卡。
-c设置发出次数
-t 平均发送时间
Tracert 网址 追踪目的ip
企业路由器
1u=4.445
一般设备上下半有2u的距离
下半有配置口 光纤口 usb 网线口
< >普通用户边框
[ ]系统用户边框
普通视图>系统视图>其他视图 其他视图相互不干扰
华为常见基本命令
从用户视图切换到系统视图----system-view
删除命令----undo 命令命
退出到上视图----quit
查看----display(详细详细)
查看系统版本----dispaly version
重启设备----reboot (模拟器没有重启功能)
修改系统命----sysname 名字 (sys系统)
GE千兆网口
模拟器的pc没有登录效果通常用路由器代替
pc端
进入接口----interface GigabitEntheret
添加接口IP地址及掩码信息----ip address (IP地址)
服务端
添加接口IP及码的第二种方式---- ip address +(IP地址)
退出到上一视图----quit
已经默认开启,不需要配置该命令----telnet server enable
开启用户接口空间-----user-interface vty 0 4
设定使用AAA作为用户接口的认证模式,即登录方式----authentication-mode aaa
进入aaa视图----aaa
Local-huser默认情况
local-user huawei service-type telnet
测试
DHCP协议----动态主机配置协议手工配置网络参数的问题
·对于普通用户
·对于网络管理员
·IP地址浪费
C/S架构、UDP67/68号端口(68号端口是属于客户端、67号端口属于服务器)(获取服务器IP)
DHCP报文类型
·discover--发现报文--用于客户端寻找DHCP服务器(寻找服务端|发送的是广播)
·offer--服务端回复客户端(向客户端发送IP地址|单播或广播都可以)--包含了网关、掩码、DNS等网络参数
·request--客户端正式请求IP信息(正式申请IP通过给了谁|发送的是广播)
·ack--服务端对客户端请求信息的确认(同意给IP)
·nak服务端对客户端请求信息的拒绝(不同意给IP)【华为默认是关闭,有但不发,可以查看】
·release--客户端发送给服务端要求释放地址
·decline--客户端检测到冲突后,将错误报告给服务器
·inform--服务端发送一些配置信息
这八个是标准的标配的(华为不是)
DHCP租期
·租期更新计算器---24H(网络的)
·在租期到达一半时,PC会进行继租操作。PC会使用request报文发送且为单播,如果服务端回复ACK报文,则续租成功。
·租期重绑定计时器---21H
-时间超过租期的87.5%,PC广播发送discover报文,重新发现网络中的DHCP服务器。如果有服务器同意给PC续租
~若该续租的IP为第一次获取的IP地址,则PC刷新租期更新计时器时间
~若该续租的IP不为第一次获取的IP地址,则PC会将租期更新计时器归0,发送release报文通告释放第次的IP地址,然后回复第二次的offer报文从而获取第二次IP地址,然后回复第二次的offer报文从而获得第二次IP地址。
-若没有服务器回复
租期失败计时器
-PC主动放弃使用该IP
-PC未能续租成功
配置
若租期内接受到拒绝报文。则PC必须立即停止现有IP地址,然后重新申请IP地址。
路由器第一步配置IP
华为分配IP是从大到小分配
静态路由
Display ip routing-table 查看网段信息
最长掩码匹配规则
掩码为32的为主机路由
路由信息的来源
·连接路由,静态路由,动态路由
·设备自动发现、手工配置、路由器通过运行某种算法自行计算出路由
直连路由的生成条件
·接口双UP
·必须配置IP地址
Dowm前面有*代表手动关闭
路由优先级
路由项的优先级越小,则路由项的优先度越高。
华为的路由优先级
开销值在静态路由和直连各由中,开销值为0
等价路由----目的地相同,优先级 (路由发现方式)与开销值均相同,且下一跳不同。
下一跳---流量流经的方向的下一个路由器的入接口IP地址。
(下一跳是一个 路由术语 ,指的是数据包可以通过的 下一个最近的路由器。 更具体地说,下一跳是路由器路由表中的 IP 地址条目,它指定其路由路径中的下一个最近/最佳路由器。)
静态路由协议扩展配置
等价路由---进行带宽的叠加(来源相同的去往相同的目的地且开销值相同的地址)
路由汇总---使用CIDR技术将连续的网段汇总成一个大的网段(是一个形式)【母网系统,掩码相同】
路由黑洞---在手工汇总时,可能会包含一些网络中不存在的网段,造成流量有去无回的现象,浪费设备与链路资源。
缺省路由---缺省路由的目标网段----0.0.0.0/0 (发到这里数据都不会丢掉)
空接口放环
在黑洞路由器上配置一条通往汇总路由的下一跳为空接口的路由信息
浮动静态路由---
环卫接口 interface LoopBack 0(0-1023)
动态路由----RIP *OSPF*
自治系统---AS(在一个实体管辖下的拥有相同选路策略的 IP 网络)
AS号----ASN---使用16位二进制进行标识(1-65535)
IANA(互联网数字分配机构)
·AS内部使用的协议---内部网关协议IGP
·AS之间使用的协议---外部网关协议EGP
动态路由分类
按照范围分配
·IGP
-RIP、OSPF、IS-IS(只有运营商网络用,范围小)、EIGRP
·EGP
-EGP(淘汰)、BGP
对IGP协议进行分类
·按照协议特点分类
-距离矢量型协议----DV---共享路由表
-链路状态型协议---LS---共享拓扑信息
^OSPF、ISIS
·按照是否携带掩码分类
-有类别路由协议
^RIPv1
-无类别路由协议
RIP---路由信息协议
基本概念
·UDP协议---端口号520
·目的IP地址
-255.255.255.255---RIP v1(RIPv1版本的RIP协议是支持有类ip地址的协议,在所有路由器上启动RIP协议,路由器便会自动向邻居通告自己所知道的路由信息,同时接收邻居通告过来的路由信息,最终自动建立完整的路由表)
-224.0.0.9---RIPv2(RIPv2路由协议是针对RIPv1协议的不足衍生出来的一种升级版无类路由协议,也是基于距离矢量的协议。)
·RIP使用路由的跳数作为开销值Cost,最大值为16---代表本条路由不可用
-算法:数据包中传递的开销值=本地开销值+1
-周期更新(每30s)【告诉其还存在】{丢失6个包有影响} |保活|
RIP算法---贝尔曼福特算法
·当接收到数据包中含有本地路由表中没有的路由项,则直接加载到本地路由表
·当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳相同,则将数据包中的路由项加载到本地路由表
·当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较cost值,若本地路由表中的cost大,将数据包中的路由项加载到本地路由表。
·当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较Cot值,若本地路由表中的cost则丢弃数据包中的路由项。
RIP数据包(100优先级)
·请求报文
·应答报文
RIP计时器
·更新计时器(30s/可以改)
-每台路由器只有一个,改计时器为0则路由器向外发送更新报文
·无效计时器---更新计时器*6倍时间
-每台路由器的路由表中的每一个RIP路由项都会有一个无效计时器
-当该计时器为0时,会认为该计时器所表述的路由项无效。路由器回将该路由项的cost设置为16。并且会向外通知。
·垃圾计时器---更新计时器*4
-当一个路由项的无效计时器为0时,垃圾收集计时器开始计时。
-当垃圾收集计时器为0时,路由器会删除掉该路由项。
RIP周期更新原因
·更新原因
^基于UDP传输
^RIP本事没有可靠性机制(重传)
^RIP本身没有保活机制
网络环路
·依靠开销值
·触发更新-本地路由发生变化就会更新(除了可以避免大部分环路,实际最主要的作用是加快网络收敛速度。)
·水平分割机制---从此口进,不从此口出
·毒性逆转---将从某个接口进入的路由,在下一次从该接口发出时,开销值设置为16
(毒性和水平分割机制互斥)【华为以水平为基础设置】
没有PC的网络回路叫骨干网络
更新不带掩码
版本有一和二,不能一起写
更新带掩码
RIP扩张配置
·手工汇总
要在接口配
·缺省路由---这里指的是下发缺省路由
default-route originate
缺省路由的下发,一定是在边界路由上做。
且该配置仅会让其他RIP设备学习到RIP的缺省路由
·静默接口---配置了静默接口的接口无法主动发送RIP数据包,只能被动接收RIP数据包。一般与用户相连的接口配置
-当静默接口接收到RIP数据包时,会从静默状态转换为普通状态。
·手工认证---用于路由器之间的身份核实。需要在双方身上均配置
·加速收敛---减少计时器时间
-timers rip 10 60 40
-全网均要修改。
ACL技术---访问控制列表
对于网络中的流量的一种处理方式,(放通、拒绝)。
ACL功能
访问控制
在设备的流入或流出接口上,匹配流量,然后执行设定的动作
允许---permit
拒绝---deny
抓取流量
ACL经常与其他协议共同使用。---所有动作均为允许。
ACL的匹配规则
自上而下、逐一匹配,若匹配成功则按照相应规则执行,不再向下匹配;若没有匹配上,则执行默认
规则(在华为中,为允许所有)。
ACL分类
基本ACL
基于IP报文的源IP地址定义规则。
编号:2000-2999
高级ACL
基于源目IP、IP报文协议字段、IP报文优先级、IP报文长度、TCP源目端口号、UDP源目端口
等信息来定义规则。
编号:3000-3999
二层ACL
基于MAC地址来定义规则编号:4000-4999
用户自定义ACL
需求一
·PC1可以访问192.168.2.0/24网段,而PC2不可以。
·分析:
-仅对源地址有要求,配置基本ACL
-基本ACL配置规则----靠近目的进行配置。
·配置
例1:
仅允许192.168.1.1通过
rule permit source 192.168.1.1 0.0.0.0
例2:
拒绝192.168.1.2和192.168.1.3通过
rule deny source 192.168.1.2 0.0.0.1
11000000.10101000.00000001.00000010
00000000.00000000.00000000.00000001
例3:
拒绝192.168.1.0/24网段中的所有单数IP地址通过。
rule deny source 192.168.1.1 0.0.0.254
11000000.10101000.00000001.00000001
00000000.00000000.00000000.11111110
需求二
要求PC1可以访问PC3,但是不能访问PC4。
分析:对目标有要求,使用高级ACL;更靠近源。
[r1]acl 3000
[r1-acl-adv-3000]rule permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.253 0.0.0.0
[r1-acl-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.252 0.0.0.0
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
需求三
要求:PC1可以ping通R2,但是不能telnet R2。
[r1]acl 3100
[r1-acl-adv-3100]rule permit icmp source 192.168.1.253 0 destination 2.2.2.2 0
[r1-acl-adv-3100]rule deny tcp source 192.168.1.253 0 destination 2.2.2.2 0 dest ination-port eq 23
[r1-GigabitEthernet0/0/0]traffic-filter outbound acl 3100