HCIA 基础知识3

1.OSPF----开放式最短路径优先协议

OSPF工作过程：5个数据包、7中状态机、2种关系、3种角色和3种表

1.1 5个OSPF数据包

 hello包：用来周期保活、发现、建立OSPF邻居关系

 DD包：数据库描述报文 包含了本地所有邻居的目录信息

LSR报文：链路状态请求报文 请求获取本地未知的链路信息

LSU报文：链路状态更新报文 真正的包含了LSA信息

LSAck报文：链路状态确认报文 OSPF工作过程：5个数据包、7中状态机、2种关系、3种角色和3

种表 七种状态机---以太

1.2 七种状态

1.3 OSPF工作过程（2种关系 3个表）

OSPF首先启动，路由器A向本地所有的启动了OSPF协议的直连接口，使用组播地址224.0.0.5发送hello 报文；hello中包含了全网唯一的本地的RID值；之后对端路由器B也将回复一个hello报文，该报文中若 携带了A的RID值，则A与B建立邻居关系，并生成邻居表。

邻居关系建立以后，邻居间会进行条件匹配，匹配失败则停留在邻居关系，匹配成功，则可以开始建立 邻接关系。

邻接之间共享DBD报文，将本地和邻接的DBD报文进行对比，进行主从关系选举，主优先进入下一状 态。

之后共享真正携带数据的DBD报文，将本地与邻接的DBD报文进行对比，查找本地没有的LSA信息，通 过LSR来询问，对端使用LSU来回答具体的LSA信息，之后本地在使用LSAck报文进行确认。该过程完成 之后，生成数据库表（LSDB）。

最后，本地基于数据库表，启用SPF算法，计算到达所有未知网段的最短路径，然后将计算结果加载到 本地的路由表中。此时收敛完成。

收敛完成后，双方设备使用hello报文进行周期保活。并进行30min的周期更新

2.VLAN--虚拟局域网（Virtual Local Area Network）

即虚拟局域网是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置

VLAN，可以实现在同一个VLAN内的用户可以进行二层互访，而不同VLAN间的用户被二层隔离。

这样既能够隔离广播域，又能够提升网络的安全性。
 

2.1VLAN最主要的作用：

（1）限制广播域：实现相同的vlan在同一广播
（2）提高网络安全性：实现不同vlan内的报文在数据传输时是相互隔离的，不同的vlan在二层不能相互影响
（3）提高了网络灵活性：用VLAN可以划分不同的用户使用不同的网段，网络构建和维护更方便灵活，便于流量管理

2.2VLAN的三种接口类型：

（1）Access接口：
access接口一般用于接入用户主机、服务器等用户终端设备（云平台服务器、虚拟化接入要起trunk）的下联接口，主要是不能识别tag的终端设备。
（2）Trunk接口：
trunk接口一般用于连接交换机、路由器、ap等可识别tag的设备，主要作用于级联端口，可以传递不同vlan信息，可属于多个vlan。
  Trunk的转发原理：
  当Trunk端口收到帧时，如果该帧不包含Tag，将打上端口的PVID（vlan1）；如果该帧包含Tag（vlan20），则不改变。

3.ACL----访问控制列表

3.1作用

1、实现访问控制
2、抓取感兴趣流量供其他技术调用

3.2工作原理：
通过在路由器上手工定义一张ACL列表，表中包含有多种访问规则，然后将此表调用在路由的某个接口的某个方向上，让路由器对收到的流量基于表中规则执行动作–允许、拒绝

ACL匹配规则：
至上而下按照顺序依次匹配，一旦匹配中流量，则不再查看下一条。

3.3分类

1）基本ACL

只能基于IP报文的源IP地址、报文分片和时间段来定义规则

编号：2000-2999（规则编号：用于区分不同的规则列表）

2）高级ACL

基于IP报文的源IP、目的IP、协议字段、IP报文的优先级、报文长度、传输层的源目端口 号等信息来规定

编号：3000-3999

3）二层ACL

使用报文的以太网帧信息来定义规则

编号：4000-4999

4）用户自定义ACL

IP报文、TCP报文、ICMP、端口号、MAC

编号：5000-5999

3.4配置

3.4.1基础配置

3.4.2 高级配置 

4.NAT----网络地址转换 

4.1. NAT工作机制

如下图所示，以 10.0.0.10 的主机与 163.221.120.9 的主机进行通信为例讲解 NAT 的工作机制利用 NAT，途中的 NAT 路由器将发送源地址从 10.0.0.10 转换为全局的 IP 地址（202.244.174.37）再发送数据。反之，当响应数据从 163.221.120.9 发送过来时，目标（202.244.174.37）先被转为私有 IP 地址 10.0.0.10 以后再被转发。

 4.2 分类

（1）静态NAT ：

静态地址转换将内部私网地址与合法公网地址进行一对一的转换，且每个内部地址的转换都是确定的。

（一对一 在私网边界路由器上建立并维护一张表（静态地址映射表）。记录了私有地址与公有地址的转 换关系。）

 

（2 ）动态NAT ：

动态地址转换也是将内部本地地址与内部合法地址一对一的转换，但是动态地址转换是从合法地址池中动态选择一个未使用的地址来对内部私有地址进行转换。

（一对多、多对多 动态NAT，同一时间内，仅允许一个私网IP进行转换。只能等上一个流量回来后，下一个流量 才能转换发出。（排队上网））

 

（3 ）NAPT ：

它也是一种动态转换，而且多个内部地址被转换成同一个合法公网地址，使用不同的端口号来区分不同的主机，不同的进程。

 4.3 原理

NAT用来将内网地址和端口转换成公网地址和端口，建立一个会话，与公网主机进行通信。
NAT外部的主机无法主动跟位于NAT内部的主机通信，NAT内部主机想要通信，必须主动和公网的一个IP通信，路由器负责建立一个个映射关系，从而实现数据的转发。

 

总结：数据包从内网到外网时会转换源IP地址，由私网地址转换成公网地址；
           数据包从外网到内网时，会转换目的IP地址，由公网地址转换成私网地址。

4.4术语解释与转换

 转换