HCIA课程总结

HCIA课程总结

OSI七层模型
应用层；进行人机交互的场所，实现各种服务功能。
表示层；格式化程序，为应用层做服务，包括加密。
会话层;建立，管理，终结会话该层的通信有不同的应用程序之间的请求和响应构成‘
上三层；数据流层
传输层；提供面向连接和非面向连接数据传递以及重排，端口号1_65535，11023著名
端口号，1024~65535动态端口号。
网络层，提供IP地址，给路由器确定路径。（代表设备；路由器）给路由器进行线路；
数据链路层；将比特组合成字节，再组合成帧，使用mac来访问媒介，进行错误检测；
物理层;将数据转化为比特流，代表为了传输媒介（网线，光纤等）
下四层：传输流层
OSI七层模型作用；简化了网络操作，提供了网络兼容性，促进了标准化工作，结构上进
行了分层用于学习和操作。
TCP/IP协议栈；应用，传输，网络，数据接口（数据链路层，物理）。
数据封装；数据-》段-》包->帧-》比特流‘，逆封装；封装的逆过程。
广播帧的mac地址为16进制，FFFF,FFF,FFFF,FFFF。
计算机连接类型
网型（计算机前后连接构成一个网）
树型（分叉连接，像树一样。特点无环）
星型（计算机相互连接）
连接产生问题1，地址 2 传统 ，3安全 4占用资源大(延时）
地址问题 ；mac地址——网卡芯片出场带，48位二进制构成，16进制表示
（123456789abcdef)
冲突；节点同时访问数据，电流相互抵消。
CSMD/ID 载波侦听多路访问技术——排队（不能解决冲突，传输效率低，不能无限变
大）
修改要求
1无限的传输距离——电波变成二进制在发送
2没有冲突——所以节点可以同时发数据
3单播——流量一对一收发
二层交换机——电流变成数据变成电流传输；有存储可以记录（解决冲突），交换是按要求的相应路由上的技术的统称。广义的交换机（switch）就是一种在通信系统中完成信
息交换功能的设备。
洪范：除了流量进入接口外，其他接口都要复制转发、
路由器：1全球互联，2分割冲突域和广播域
路由：就是指导IP数据包发送的路径信息
路由的核心原理：存储转发和分组交换
IP地址（通常用“点分十进制”表示成（a.b.c.d）的形式，其中，a,b,c,d都是0~255之间的十进
制整数，是一个32位的二进制数）
分类A.B.C.D.E类，（ABC为单播 ，D我组播，E通常为保留或为科研地址）
概念 特征 网络范围 默认掩码
A类地址 第1个8位中的第1位始终为0 0-126.x.x.x 255.0.0.0/8
B类地址 第1个8位中的第1、2位始终为10 128-191.x.x.x 255.255.0.0/16
C类地址 第1个8位中的第1、2、3位始终为110 192-y.x.x.x 255.255.255.0/24
192.168.1.1 255.255.0.0
11000000.10101000.00000001.00000001
1 2 4 8 16 32 64 128
11111111.11111111.00000000.00000000
特殊地址
255.255.255.255（二进制全1，16进制全f） 为广播地址，0.0.0.0为缺省地址 ，
127.x.x.x为环回地址（电脑芯片自带），可以检测网卡（电脑芯片）
子网划分（VLSM）
这是计算网段的方法均分子网（划分成2，4，8，16等）
公式：
（1） 子网个数2n（n为借位）
（2） 每个子网可用IP（主机数）：2m-2 ,m ﹦32-网络位长度（m为主机位）
子网划分的理解, IP地址子网划分,将主机位划到网络位
主机位：主机号有5位，那么这个地址中，就只能有2^5−2=30个主机。因为其中全0作
为网络地址，全1作为广播地址
子网掩码
子网掩码(subnet mask)又叫网络掩码、地址掩码、子网络遮罩，它是一种用来指明一
个IP地址的哪些位标识的是主机所在的子网，以及哪些位标识的是主机的位掩码。子
网掩码只有一个作用，就是将某个IP地址划分成网络地址和主机地址两部分。
子网掩码是一个32位地址，用于屏蔽IP地址的一部分以区别网络标识和主机标识，并
说明该IP地址是在局域网上，还是在远程网上。
作用：通过子网掩码，就可以判断两个IP在不在一个局域网内部。子网掩码可以看出
有多少位是网络号，有多少位是主机号
网关(Gateway)又称网间连接器、协议转换器。默认网关在网络层上以实现网络互连，是
最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关的结构也和路由器
类似，不同的是互连层。网关既可以用于广域网互连，也可以用于局域网互连
网关实质上是一个网络通向其他网络的IP地址。、
子网汇总（CIDR)：取相同位，去不同位。
TCP/IP
CP/IP协议里最重要的一点就是分层。TCP/IP协议族按层次分别为 应用层，传输层，网络
层，数据链路层，物理层
TCP（传输控制协议，面向连接可靠协议，完成数据传输外保证传输安全）/UDP（用户
数据报文协议，非面向连接不可靠协议，仅传传输数据，）
面向连接：在数据传输前，建立三次握手端到端连接。可靠机制（确认，重传，排序，
流控）。
TCP的三次握手与四次挥手
具体过程如下：
第一次握手：建立连接。客户端发送连接请求报文段，并将syn(标记位)设置为1，
Squence Number(数据包序号)(seq)为x,接下来等待服务端确认，客户端进入
SYN_SENT状态(请求连接)；
第二次握手：服务端收到客户端的 SYN 报文段，对 SYN 报文段进行确认，设置
ack(确认号)为 x+1(即seq+1 ; 同时自己还要发送 SYN 请求信息，将 SYN 设置为1, seq
为 y。服务端将上述所有信息放到 SYN+ACK 报文段中，一并发送给客户端，此时服
务器进入 SYN_RECV状态。SYN_RECV是指,服务端被动打开后,接收到了客户端的SYN
并且发送了ACK时的状态。再进一步接收到客户端的ACK就进入ESTABLISHED状态。
第三次握手：客户端收到服务端的 SYN+ACK(确认符) 报文段；然后将 ACK 设置为
y+1,向服务端发送ACK报文段，这个报文段发送完毕后，客户端和服务端都进入
ESTABLISHED(连接成功)状态，完成TCP 的三次握手。
当客户端和服务端通过三次握手建立了 TCP 连接以后,当数据传送完毕,断开连接就需
要进行TCP的四次挥手。其四次挥手如下所示：
第一次挥手
客户端设置seq和 ACK ,向服务器发送一个 FIN(终结)报文段。此时，客户端进入
FIN_WAIT_1 状态，表示客户端没有数据要发送给服务端了。
第二次挥手
服务端收到了客户端发送的 FIN 报文段，向客户端回了一个 ACK 报文段。
第三次挥手
服务端向客户端发送FIN 报文段，请求关闭连接，同时服务端进入 LAST_ACK 状
态。
第四次挥手
客户端收到服务端发送的 FIN 报文段后，
向服务端发送 ACK 报文段,然后客户端进入 TIME_WAIT 状态。
服务端收到客户端的 ACK 报文段以后，
就关闭连接。此时，客户端等待 2MSL（指一个片段在网络中最大的存活时间）后
依然没有收到回复，则说明服务端已经正常关闭，这样客户端就可以关闭连接
了。
DHCP（动态主机配置协议）
作用：分发网IP地址。
成为DHCP的条件1，有一个合法IP地址，2该设备存在接口或网卡。
配置：
[Huawei]dhcp enable //开启DHCP服务
[Huawei]ip pool a //构建a的地址池 （一个路由器可以有多个地址池）
[Huawei-ip-pool-a]network 192.168.1.0 mask 24 //宣告网段，管理范围。
[Huawei-ip-pool-a]gateway-list 192.168.1.1 //设置网关地址
[Huawei-ip-pool-a]dns-list 192.168.2.250 //配置DNS服务器。
[Huawei]interface GigabitEthernet 0/0/0 //进入接口
[Huawei-GigabitEthernet0/0/0]dhcp select global //全局调用
注：华为路由器必须开启DHCP服务。思科默认关闭。

项目思路
构建拓扑
实施 -->拓扑的构建 ， 底层—>所以的节点都有合法IP地址， 路由器–>全网可达， 策 略–>规划，安全。 测试 ， 排错，维护，升级–>割接（网络不断，加入新设备）。
静态路由（最长匹配，递归查找）
[Huawei]sysname r1 //改名
[r1]display this //查看当前配置
路由器（每一个接口就是广播域的边界）作用：
1用于不同网络间互联
根据路由表进行转发。
r1]display ip routing-table //查看当前路由器的路由表
Routing Tables: Public
Destinations : 4 Routes : 4
Destination/Mask Proto Pre Cost Flags NextHop Interface
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
默认存在直连，非直连为未知网段。
获取未知网段的方法
静态路由（特点：配置量大，不能因为拓扑变化进行及时收敛）
管理员手工配置
静态路由写法
[r1]ip route-static 192.168.1.1 24 ?
前缀 目标网络号 下一跳（IP地址，互联网用）或出接口（接
口编号，点到点网络）
IP_ADDR<X.X.X.X> Gateway address //下一跳写法
Cellular Cellular interface
GigabitEthernet GigabitEthernet interface //出接口写法
NULL NULL interface
vpn-instance Destination VPN-Instance for Gateway address
静态路由扩展配置
1，负载均衡：当到达同一个目标地址存在多条相似路径，将流量拆分后延多条路径
传输。
2，环回路由：（1检测网卡，2方便选路）
[r1’]interface LoopBack ? //配置换回
<0-1023> LoopBack interface number //配置的个数
[r1’]interface LoopBack 1
[r1’-LoopBack1]ip address 192.168.1.1 24 //配置地址
3路由表汇总（取相同，去不同）：访问多个练习子网，可以将子网进行汇总计算后
汇总，减少路由条目数量。
4路由黑洞：汇总地址中包含不存在网段时，路由有去无回。精确汇总
5缺省路由：一条不限定目标的路由，在路由器中访问所以直连，（认识所以IP地
址）
配置：[r1’]ip route-static 0.0.0.0 0 192.168.1
6空接口:（防环）当路由黑洞和缺省路由相遇必然产生环路。就用空接口进行防环。
在黑洞路由器上配置空接口：[r1’]ip route-static 0.0.0.0 0 NULL 0
7浮动静态路由
配置：r1’]ip routtatic 192.168.2.0 24 192.168.2.1 permanent 61
默认为60（范围0~255）用来备份。
动态路由（缺点：占用资源大，安全风险，计算错误，
(AS)自治系统分类：（编号1_65535，164511为公有，64512~65535为私有）
IGP自治系统内协议（RIP OSPF EIGRP思科专有） 分为有类别和无类别（没有子
网掩码的是有类别）
DV型：（距离矢量路由协议）：RIP
LS型：（链路状态路由协议）：OSPF
EBGP自治系统外协议 (BGP)
路由器上运行一种算法，网段路由互相学习。
RIP（标准的DV型协议，V1不携带掩码，V2携带掩码，配置简单，用于小型网络）
防环机制
1 水平分割（路由信息从此口入不从此出）
2 跳数限制（只能15跳，16跳不可达）
3 逆转毒性水平分割 （核心）
4 抑制记时器（180s）
V1（无类别)广播传播
V2（有类别）组播传播
配置V1、
[Huawei]rip ?
INTEGER<1-65535> Process ID //进程号
mib-binding Mib-Binding a process
vpn-instance VPN instance
Please press ENTER to execute command
[Huawei-rip-1]version 1
[Huawei-rip-1]network 192.168.1.0 //进行主类宣告（A类1.0.0.0 B类128.1.0.0 C类
192.168.1.0 ），进行收发，
配置V2
[Huawei]rip 1
[Huawei-rip-1]version 2
[Huawei-rip-1]undo summary /关闭自动汇总
[r1-rip-1]network 1.0.0.0
[r1]ping -a 1.1.1.1 2.1.1.2 //指定1.1.1.1 ping2.1.1.2
OSPF【开放式最短路径协议,三表，（路由表，LSDB数据库表 邻居表） 五包，七状态】
DR(主),BDR(副) ABR(边界路由器)
优点：（无环路，收敛快，扩展性好，支持认证），缺点（资源消耗大）
OSPF的5种数据包类型：
hello 包
DBD包 -数据库描述包
LSR链路状态请求
LSU链路状态更新
LSack 链路状态确认
OSPF的状态机
Down：一旦本地发出ospf的hello包进入下一个状态
Init初始化：接收到的hello包中存在本地的RID，进入下一状态
2way双向通信：邻居关系建立的标志；
条件匹配：点到点直接进入下一状态；MA网络进行DR/BDR选举（40s），非DR/BDR
间不进入下一状态
Exstart预启动：使用类似hello 的DBD包来进行主从关系选举，RID数值大为主，优先
进入
下一状态；
Exchange准交换：使用真实的DBD包来共享数据库目录；
Loading加载：从邻接处使用LSR/LSU/LSack来获取本地没有的LSA信息；hello是用来
发现本地直连未知网段的；
Full转发：邻接关系建立的标志
结构突变
【1】新增网段—直连新增网段的设备，使用DBD包来告知本地所有邻居；
【2】断开网段—直连断开网段的设备，使用DBD包来告知本地所有邻居；
[3]无法沟通—dead time到时时，断开邻居关系，是否能够重建关注hello包
区域划分的规则：
星型结构—骨干区域0；非骨干大于0；非骨干必须直连骨干区域；
必须存在ABR–区域边界路由器
配置
[Huawei]display ospf peer brief //查看OSPF邻居关系表
[Huawei]ospf 1 router-id 1.1.1.1 //配置进程号，RID方便选举
[Huawei-ospf-1]area 0 //选定区域（0为骨干，必须有）
[Huawei-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 //宣告网络段或地址，
反掩码是为了提精确率。0表示固定位，1~255表示可变位。
VLAN(虚拟局域网，第一步用ARP请求获取MAC地址）
静态VLAN：基于端口划分（缺点，一个个配置）
动态VLAN：1基于mac地址的vlan 2基于子网的vlan 3基于用户的vlan。
汇聚链接（Trunk Link）指的是能够转发多个不同VLAN的通信的端口。汇聚链路上流通
的数据帧，都被附加了用于识别分属于哪个VLAN的特殊信息
ACL（访问控制列表，匹配顺序为：“自上而下，依次匹配”。默认为拒绝）
功能：过滤，允许，路由策略（防火墙）
分类：基本ACL，只规定IP 自定义ACL
工作原理：ACL 要么配置用于入站流量，要么用于出站流量。入站 ACL 传入数据包经过
处理之后才会被路由到出站接口。入站 ACL 非常高效，如果数据包被丢弃，则节省了执
行路由查找的开销。当测试表明应允许该数据包后，路由器才会处理路由工作
配置
1定义允许的ACL规则
acl number 3001
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
2）定义禁止的ACL规则
acl number 3002
rule 5 permit ip source 192.168.1.0 0.0.0.255 也使用permit，在这里意思其实是匹配
的意思
3）定义流分类
traffic classifier xl1 operator and 绑定允许的ACL规则
if-match acl 3001
traffic classifier xl2 operator and 绑定禁止的ACL规则
if-match acl 3002
4）定义流动作，这里才是真正决定是允许还是禁止
traffic behavior xl001
permit 允许动作
traffic behavior xl002
deny 禁止动作
5）定义流策略 （这里最好注意顺序，避免一些问题发生）
traffic policy xlpolicy
classifier xl1 behavior xl001 先绑定流分类xl1到流动作 xl001
classifier xl2 behavior xl002 再绑定流分类xl2到流动作 xl002
6）靠近源地址端接口入方向下发
interface GigabitEthernet0/0/23
traffic-policy xlpolicy inbound
NAT（网络地址转换协议）
原理：就是替换IP报文头部的地址信息。NAT通常部署在一个组织的网络出口位置，通过
将内部网络IP地址替换为出口的IP地址提供公网可达性和上层协议的连接能力
配置
[r1]nat address-group 0 202.100.1.100 202.100.1.200
[r1]acl number 200
[r1-acl-basic-200]rule permit source 192.168.1.0 0.0.0.255 //反掩码宣告，减少范围
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1] nat outbound 200 address-group 0 no-pat //进入接口，
进行调用
注：no-pat表示一对一转换，只转换地址，不转换端口，直接回车表示IP和端口都转换