HCIA知识点汇总

啥都学的小菜鸡^_^

已于 2022-05-22 16:15:55 修改

阅读量547

点赞数

文章标签：网络

于 2022-05-22 13:28:55 首次发布

本文链接：https://blog.csdn.net/weixin_52790143/article/details/124909633

版权

冯诺依曼:冯诺依曼体系架构
CPU、内存、硬盘、显卡、
运算器、控制器、存储器、I/O

NIC：Network Interface Card,网络接口卡

网络里的单位:
最小的存储单位:Byte–字节
最小的传输单位:bit–位

1B=8Bit
1TB=1024GB
1PB=1024TB

网络是什么？
终端&服务器用传输介质—>信息共享
终端-操作系统：windows vista/98/XP/7/8/10,MAC OS
服务器-操作系统：UNIX、Linux、windows server2008/12
传输介质：网线、光纤、同轴电缆、串线

HUB(集线器)的缺点:
1、不能实现一对一
2、信号衰减、失真–不能无限距离传输
3、冲突域

地址问题：MAC地址-----物理地址，48位二进制构成16进制，前24位由IEEE组织发给，后24位厂商自己提供，在芯片·中出厂自带的身份ID

交换机：
1、可以无限距离传输
2、可以实现一对一：MAC地址（物理地址–接口或者网卡）网桥：将电信号转化为电波，再将其转化为电信号传输给交换机
3、隔离冲突域

MAC地址：
00E0-4C01-6802–十六进制，48位二进制
交换机工作原理：
自学习 MAC地址表洪泛
洪泛：除了流量进入接口外其他所有的接口都会复制转发数据

路由器的作用:
1、用于不同网络之间的互联
2、基于IP地址进行逻辑寻址

ASCII计算机的内码

OSI七层参考模型: ISO提出
应用层：应用程序，人类语言—>编码，为应用程序提供网络服务，常见的服务http，https
表示层：编码—>二进制，提供各种用于应用层的编码和转化功能，确保一个系统的应用层的数据能被另一个应用层的系统应用识别
会话层：数据加解/密,会话管理负责建立，保持，终止表示层之间的通信会话，该层的通信由不同的设备中的应用层之间的服务请求和响应构成—迅雷-10m-5m
传输层：TCP/UDP进行重传前的差错检测，端口号–0~65535，用于表示不同的应用程序。
其中，1-1023著名端口号，1024-65535动态端口号 0是保留端口
网络层：IP，两个版本，V4/V6–路由器，基于IP地址进行逻辑寻址,供路由器确定路径
数据链路层：MAC–交换机，基于mac自学习。。。将比特流转化为字节，将字节转化为帧，用数据链路地址（以太网用mac地址）访问介质和差错检测
由逻辑链路加上介质访问控制层组成
物理层：HUB，传输比特流，规定了电平、传输速度、电缆帧脚（光纤、同轴电缆、双绞线、集线路）

作用：简化相关的网络操作，提供不同厂商之间的兼容性；促进了标准化工作，结构上进行分层，便于学习和操作

TCP 传输控制协议完成传输工作外，还要确保信息的传递的可靠性
UDP 用户数据报文协议仅完成传输的基本工作

TCP/IP协议栈：
应用层
传输层
网络层
数据链路层
物理层

著名端口：
HTTP:超文本传输协议，WEB，TCP 80，HTML
HTTPS：TCP 443
FTP：文件传输协议，TCP 20/21
DNS：域名解析协议，TCP/UDP53
TELNET:远程登录协议 TCP 23
SSH：安全的远程登录协议 TCP 22
DHCP：动态主机配置协议 UDP 67/68

TCP:传输控制协议，面向连接的可靠的传输协议
面向连接：三次握手、四次挥手
可靠：四种可靠的传输机制–确认、重传、排序、流控

ICMP协议：协议号1，包含一个工具ping
使用方法:ping +目标IP/域名，测试连通性

UDP:用户数据（报文）协议，面向非连接的不可靠的传输协议

数据包发送之前—封装：数据包在发送之前，按照OSI七层参考模型逐层添加报头的动作

IPv4地址:32位二进制，使用点分十进制的方式表示
分为网络位和主机位，网络位代表IP地址所处的网络范围，
主机位唯一确认某台主机
一个完整的IP地址需要网络掩码
网络掩码：32位二进制，使用点分十进制的方式表示，由连续的1和连续的0构成，
如果掩码是1代表IP对应位位网络位，0代表主机位

network 网络位 host 主机位

IP地址的分类（按照主类的分法）：
A:0 XXXXXXX 0-127 255.0.0.0
B:10 XXXXXX 128-191 255.255.0.0
C:110 XXXXX 192-223 255.255.255.0
D:1110 XXXX 224-239
E:1111 XXXX 240-255
其中，ABC三类成为单播地址，D称为组播地址，E称为保留地址
单播、组播、广播

单播地址的分类：
1）私有地址：1、免费使用 2、局域网内唯一
2）公有地址: 1、付费使用 2、全球唯一

私有地址：
A：10.0.0.0 255.0.0.0
B: 172.16.0.0–172.31.0.0 255.255.0.0
C: 192.168.0.0–192.168.255.0 255.255.255.0

特殊IP地址：
1）0.0.0.0 1、没有地址（无效地址） 2、缺省地址（代表所有）
2）255.255.255.255 全局广播地址
3）127.0.0.1 本地环回地址，测试TCP/IP协议栈能否正常通信（代表本机）,电脑芯片自带
4）主机位全0：代表一个网络范围（一个网段）
举例：192.168.1.0 255.255.255.0 /24
5）主机位全1：代表一个范围内的广播地址
举例：192.168.1.255 255.255.255.0

计算一个网络范围内可用的IP地址数量：2^主机位数-2
192.168.1.4 255.255.255.252 192.168.1.4/30
11000000 10101000 00000001 00000100
11111111 11111111 11111111 11111100

子网划分：给定一个较大的网络范围，可以通过从主机位
借位到网络位，实现将原本大的网络范围划分成若干个
小的网络范围。
划分的网络范围数量由借的位数决定

172.16.0.0/23–大的范围
借3位，写出划分出的所有的网络范围以及每个范围内可用的
IP地址范围

10101100 00010000 00000000 00111110–172.16.0.0/26 0.1 - 0.62
10101100 00010000 00000000 01111110–172.16.0.64/26 0.65- 0.126
10101100 00010000 00000000 10000000–172.16.0.128/26
10101100 00010000 00000000 11000000–172.16.0.192/26
10101100 00010000 00000001 00000000–172.16.1.0/26
10101100 00010000 00000001 01000000–172.16.1.64/26
10101100 00010000 00000001 10000000–172.16.1.128/26
10101100 00010000 00000001 11000000–172.16.1.192/26

CIDR 无类别域间路由
超网：超出它的掩码范围

子网汇总：取相同位，去不同位
汇总的条件：
1）母网相同 2）掩码一样
举例:
172.16.0 0000001.0/24
172.16.0 0000011.0/24
172.16.0 0001011.0/24
172.16.0 1000001.0/24
172.16.0 1101111.0/24
汇总结果：172.16.0.0/16

五类双绞线：3 、4、5、超5、6、超6、 7 类网线
网线:RJ-45双绞线，8根铜线
T-568A:绿白绿橙白蓝蓝白橙棕白棕
T-568B:橙白橙绿白蓝蓝白绿棕白棕

交叉线：A—B B—A，用于相同层设备之间的互联
直通线: A—A B—B，用于不同层设备之间的互联

< >--代表模式，用户模式--简单的查看和测试

[haha]user-interface console 0 //进入console口
[haha-ui-console0]set authentication password cipher 123 //设置密码

[haha]display current-configuration //查看当前已经生效的配置
[haha]display clock //查看设备时间

clock datetime 20:20:20 2019-11-1 //修改设备时间

[r1]display ip interface brief //查看设备接口摘要信息

接口模式：
1）Ethernet–10M
2）FastEthernet–100M
3）GigabitEthernet–1000M
4）Ten-GigabitEthernet–10000M
5）Forty-GigabitEthernet–40000M
6）X-GigabitEthernet–100000M

Physical:表示接口能否识别电流
Protocol:表示接口能否传递数据
down–不能
up–能

接口配置IP地址：
[r1]interface GigabitEthernet 0/0/0 //进入接口
[r1-GigabitEthernet0/0/0]ip address 192.168.1.1 22 //配置IP地址
[r1-GigabitEthernet0/0/0]undo ip address //删除IP地址

网络组建步骤：
1、拓扑设计
2、IP地址规划–按照拓扑中划分的网络范围，规划网络位不同的IP地址
3、配置
1）配置各个节点的IP地址
2）路由–全网可达
3）测试–ping
4）策略
5）优化
6）排错
4、维护和升级

路由器负责数据的高速转发，故路由器之间建议不能接用户。

路由器的作用：
1、用于不同网络之间的互联
2、为其所承载的流量进行路径的选择–路由
路由的工作原理：路由器收到数据包之后，会查看其目标IP地址，会查询本地的路由表，
若表中记录有去往目标的路径，则无条件转发；若没有去往目标的路径，则直接丢弃数据包。

默认路由器仅具有直连路由，所有非直连的网络范围称为未知路径，获取未知路径的方式：
1、静态路由–管理员手工配置（仙人指路）
2、动态路由–路由器之间运行某种协议（算法），自行协商出路径
[r1]display ip routing-table //查看路由表

静态路由：书写目标时直接写成目标的网络范围
[r1]ip route-static 192.168.3.0 24 192.168.2.2
前缀目标网络范围下一跳

下一跳：去往目标网络，下一个接收这个数据包的入接口的IP地址
网关：在一个网络范围内的一个能够带你走出这个网络范围的接口IP地址

静态路由的扩展配置：
0、环回接口–设备上用于测试TCP/IP协议栈能否正常工作的接口，默认不存在，需要手工配置
[r1]interface LoopBack 1 //创建环回接口
[r2-LoopBack1]ip address 10.1.1.1 24

1、手工汇总–去往多个可以汇总的网段，且具有相同的下一跳时，可以直接写成
汇总路由。
[r2]ip route-static 10.1.0.0 22 172.16.32.1
汇总目标网段

2、路由黑洞–在汇总之后，汇总网段会包含网络中不存在的网络，导致流量有去无回

3、缺省路由–一个不指定具体目标网络范围的路由条目，目标使用0.0.0.0/0代替，一般
路由器在查询路由表时，先查直连路由，再查静态路由、动态路由，若依然没有去往
目标的路径，才选择此缺省路由条目

4、空接口路由–在黑洞路由器上配置关于汇总网段的空接口路由，防止路由黑洞&缺省路由所带来的环路
[r1]ip route-static 10.1.0.0 22 NULL 0
空接口

5、浮动静态路由
display ip routing-table protocol static
Route Flags: R - relay, D - download to fib

Public routing table : Static
Destinations : 5 Routes : 5 Configured Routes : 5

Static routing table status :
Destinations : 5 Routes : 5

Destination/Mask Proto Pre Cost Flags NextHop Interface

    0.0.0.0/0   Static  60   0          RD   172.16.32.2     GigabitEthernet

0/0/1
10.1.0.0/22 Static 60 0 D 0.0.0.0 NULL0
172.16.64.0/19 Static 60 0 RD 172.16.32.2 GigabitEthernet
0/0/1
172.16.96.0/19 Static 60 0 RD 172.16.32.2 GigabitEthernet
0/0/1
172.16.128.0/19 Static 60 0 RD 172.16.32.2 GigabitEthernet
0/0/1

Static routing table status :
Destinations : 0 Routes : 0

Pre:优先级，范围0-255，默认静态路由的优先级为60，表示一条路径的可信度，数字越小
可信度越高

Cost：开销（度量值），衡量一条路径的优劣程度，数字越小越优秀

去往一个目标网段，若有多条路径可选的话，会先查看这些路径的优先级，小优；若优先级一样
再查看Cost，小优；若依然一样，则此多条路径全部加载到路由表中，实现负载均衡。
[r3]ip route-static 172.16.64.0 19 192.168.1.1 preference 100
优先级

DHCP：动态主机配置协议–统一分发和管理IP地址
基于UDP协议，端口号67&68
基于Client/Server架构

成为DHCP服务器的条件：
1、自身拥有合法的IP地址
2、自身拥有接口或者网卡连接到所要下发地址的网络范围

DHCP数据包以及过程：
客户端服务器
---------DHCP Discover（广播）------------>

<--------DHCP Offer（广播）--------------- //携带准备下发的IP地址

---------DHCP Request（广播）------------>

<--------DHCP Ack（广播）------------------

都是广播因为一开始没有IP地址，且如果一个网络中有多个服务器，先到先得

工作过程：
需要自动获取IP地址的客户端开启自动获取IP地址之后，本地广播发出DHCP Discover数据包，
源IP地址0.0.0.0，目标IP地址255.255.255.255，源MAC地址为本地网卡MAC，目标MAC为FFFF-FFFF-FFFF，
源端口为68，目标端口为67；
开启了DHCP服务的服务器收到此数据包后，发送免费ARP以确定所要下发的IP地址没有冲突，再本地基于广播的形式回复DHCP Offer数据包，
源IP是服务器IP地址，目标IP地址255.255.255.255，源MAC为服务器网卡MAC，目标MAC为FFFF-FFFF-FFFF，
源端口为67，目标端口为68；
客户端使用DHCP Request数据包请求IP地址，服务器回复ACK给客户端，客户端拿到IP地址。

租期：默认租期为1440min/24h/一天。
续租：当租期到达1/2时，客户端若依然在线，客户端主动发出Request数据包来续租；
若续租失败，继续在7/8的租期再次发送Request数据包续租；
若依然失败，那租期到达时地址被收回，客户端若想继续使用，需要重新获取地址。

路由器作为DHCP服务器：
1）以全局的池塘下发地址
[r1]dhcp enable //开启服务
[r1]ip pool css //创建DHCP池塘，一个池塘只能服务一个网络范围
[r1-ip-pool-css]network 172.16.1.0 mask 255.255.255.0 //定义池塘范围
[r1-ip-pool-css]gateway-list 172.16.1.1 //配置网关
[r1-ip-pool-css]dns-list 114.114.114.114 //配置DNS

[r1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]dhcp select global
[r1-GigabitEthernet0/0/0]dhcp server excluded-ip-address 172.16.1.250 //排除某地址
[r1-GigabitEthernet0/0/0]dhcp server static-bind ip-address 172.16.1.111 mac-add
ress aaaa-1122-ab12 //给某个固定的MAC地址下发固定的IP地址

2）以接口的IP地址的范围下发地址
[r1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]dhcp select interface
[r1-GigabitEthernet0/0/0]dhcp server dns-list 1.1.1.1 //设置DNS

ARP：地址解析协议，已知对方IP，请求对方MAC
免费ARP:使用ARP的技术原理请求自己的IP地址的MAC地址

动态路由：各台路由器之间运行某种协议（算法），通过收发数据包的形式获取未知路径

动态路由协议的缺点
1.占用资源大
2.安全性少
3.要用各种算法算出路径

动态路由协议的追求：
1、收敛速度快
2、选择路径佳
3、占用资源少

动态路由协议的分类：
1、基于AS的分类：
AS–Autonoumous System，自治系统。使用编号的方式表示，范围0-65535，其中0-64511为
公有AS号，64512-65535私有AS号

IGP（内部网关协议）协议–AS之内运行的协议：RIP、OSPF、EIGRP-Cisco私有、ISIS
EGP（外部网关协议）协议–AS之间运行的协议：BGP

2、IGP协议的分类：
DV型-距离矢量：RIP、EIGRP–共享路由表
LS型-链路状态：OSPF、ISIS–共享拓扑

RIP：Routing Information Protocol，路由信息协议
1）基本概念
版本：RIPv1 RIPv2 RIPng（IPV6）
标准的DV型路由协议–共享路由表
基于UDP协议，端口号520
更新方式：周期更新（30s）–确认、保活
RIP优先级100 使用跳数作为度量值

2）RIPv1和RIPv2的区别
1、RIPv1

2、毒性 逆转水平分割--核心破环机制

4）RIP的配置
无论是哪个版本的RIP，宣告时均使用主类范围
1、RIPv1的配置
[r1]rip 1 //启动协议，需要配置进程号
[r1-rip-1]version 1 //选择版本，必须选择
宣告：1、激活接口 2、发布路由
[r1-rip-1]network 1.0.0.0
[r1-rip-1]network 12.0.0.0更新时不携带掩码，RIPv2更新时携带掩码
2、RIPv1广播更新，RIPv2组播更新–224.0.0.9
3、RIPv2支持手工认证–邻居间的身份核实

3）RIP数据包–update包，携带的路由条目

4）RIP破环机制
1、水平分割–同一个路由条目，从此口进不从此口再发出。用于消除重复更新。
只能消除线型拓扑和星型拓扑的环路
2、RIPv2的配置

5）RIP的扩展配置
1、汇总
[r1]interface GigabitEthernet 0/0/0 //更新发出的接口
[r1-GigabitEthernet0/0/0]rip summary-address 1.0.0.0 255.252.0.0
2、缺省路由-在连接运营商的边界路由器上

[r3]rip 1	
[r3-rip-1]default-route originate 

3、静默接口--只接收不发送RIP数据包。一般用于连接用户的接口，禁止用于路由器之间的接口
[r1]rip 1
[r1-rip-1]silent-interface GigabitEthernet 0/0/1

OSPF：Open Shortest Path First,开放式的最短路径优先协议
1）基本概念
组播发送：224.0.0.5/6
标准的链路状态型路由协议—路由器之间传递拓扑
版本：OSPFv2–IPv4 OSPFv3–IPv6
更新方式：触发更新存在周期更新30min
OSPF网络需要结构化部署：1、区域划分 2、IP地址规划
链路状态型路由协议的距离矢量特征–区域之内传递拓扑，区域之间传递路由表
优先级 10 COST值=参考带宽÷接口带宽

2）OSPF数据包
hello包：用于发现、建立并保活（10s）邻居关系。存在全网唯一的Router-ID，用于路由器
的身份标识，使用的IP地址的方式表示
DD包：Database Description，数据库描述包
LSR:链路状态请求
LSU:链路状态更新
LSAck:链路状态确认

3）OSPF状态机：
down:未启动协议。一旦启动协议并发出hello包之后，立即进入下一状态
init:等待邻居回复的状态。若收到的hello包中携带了自己的RID，则和对方一起进入下一状态
2-way:表示邻居关系建立
条件匹配：若成功，则进入下一状态；若失败，仅hello包保活
exstart:预启动，使用假的DD报文比较RID，大者优先进入下一状态。
exchange:双方交换DD报文
loading:使用LSR/LSU/LSAck获取未知的路径拓扑或者路由
full:邻接关系建立，收敛完成。

4）OSPF工作过程
启动协议后，设备本地基于224.0.0.5组播发出hello包，发现并建立邻居关系，生成邻居表；
之后进行条件匹配，若成功，则进入下一状态；若失败，则仅hello包10s进行邻居关系保活。
RID大者优先进入下一状态，先交换DD，然后再使用LSR/LSU/LSACK收集未知的LSA，生成LSDB–数据库表
设备基于此LSDB，使用SPF算法计算出去往目标的最佳路径，生成路由表，收敛完成。

之后10s周期保活，30min周期性比对DD

网络结构发生变化:
1、新增&断开：直连发生变化的设备通过DBD/LSR/LSU/LSACK完善即可
2、设备无法通信：hello 10s 保活 dead time 40s–计时结束后，删除邻居关系以及从邻居处学习到的所有路径

名词解释：
LSA：链路状态通告–OSPF中发送的拓扑信息或路由
LSDB：链路状态数据库，LSA的集合

5）OSPF基本配置
[r1]ospf 1 router-id 1.1.1.1 //启动协议，并配置进程号。同时可以选择配置路由器的RID。
若不配置，路由器自己选择，环回接口最大>物理接口最大
宣告：1、激活接口 2、发布拓扑或路由 3、区域划分
[r1-ospf-1]area 0 //进入区域
[r1-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255
反掩码

反掩码：32位二进制，使用点分十进制的方式表示，由连续的0和连续的1构成。
若反掩码为0，表示IP对应位固定；若为1，表示可变。
172.16.1.00000000 172.16.1.0—172.16.1.3
0.0.0.00000011

区域划分规则：
1、必须拥有区域0（骨干区域），所有非骨干的区域必须直连骨干区域
2、必须拥有ABR–区域边界路由器

当设备启动OSPF之后，使用224.0.0.5发出hello包，发现并建立邻居关系，生成邻居表；
display ospf peer brief //查看邻居关系摘要

 OSPF Process 1 with Router ID 2.2.2.2   //自己的信息
	  Peer Statistic Information

Area Id Interface Neighbor id State
0.0.0.0 GigabitEthernet0/0/1 1.1.1.1 Full
0.0.0.1 GigabitEthernet0/0/2 3.3.3.3 Full

邻居的区域ID 本地连接邻居的接口邻居的RID 和邻居的状态

邻居的区域ID：area 0—>0.0.0.0
area 12345—>0.0.48.57

当设备使用DD/LSR/LSU/LSAck数据包收集完所有未知的LSA时，本地生成LSDB–链路状态数据库表（LSA的集合）
display ospf lsdb //查看本地的LSDB表

 OSPF Process 1 with Router ID 1.1.1.1
	 Link State Database 

	         Area: 0.0.0.0

Type LinkState ID AdvRouter Age Len Sequence Metric
Router 2.2.2.2 2.2.2.2 502 48 80000007 1
Router 1.1.1.1 1.1.1.1 863 48 80000006 1
Network 172.16.4.1 1.1.1.1 863 32 80000002 0
Sum-Net 172.16.3.0 2.2.2.2 796 28 80000001 2
Sum-Net 172.16.5.0 2.2.2.2 856 28 80000001 1

本地基于LSDB，使用SPF算法计算出到达目标网段的最佳路径，生成路由表
display ip routing-table protocol ospf //仅查看OSPF学习到的路由条目
Route Flags: R - relay, D - download to fib

Public routing table : OSPF
Destinations : 3 Routes : 3

OSPF routing table status :
Destinations : 3 Routes : 3

Destination/Mask Proto Pre Cost Flags NextHop Interface

 172.16.2.0/24  OSPF    10   2           D   172.16.4.2      GigabitEthernet

0/0/1
172.16.3.0/24 OSPF 10 3 D 172.16.4.2 GigabitEthernet
0/0/1
172.16.5.0/24 OSPF 10 2 D 172.16.4.2 GigabitEthernet
0/0/1

OSPF routing table status :
Destinations : 0 Routes : 0

路由表中：
所有OSPF计算所得的路径使用OSPF表示
OSPF优先级为10
Cost=参考带宽÷入接口带宽默认，参考带宽为100Mbits/s

OSPF选路规则：
若去往某一个目标拥有多条路径时，优先选择整条路经控制层面入接口Cost之和最小的

控制层面：路由来的方向
数据层面：数据去的方向

当接口带宽大于参考带宽时，COST取1，会导致选路不佳。
可以通过修改参考带宽来解决
[r1]ospf 1
[r1-ospf-1]bandwidth-reference ?
INTEGER<1-2147483648> The reference bandwidth (Mbits/s)
[r1-ospf-1]bandwidth-reference 10000 //修改参考带宽
注意：参考带宽的修改需要全网一致

6）成为邻接关系的条件–关注网络类型
点到点：在一个网络内只能存在两个节点—串线
MA（多路访问）：在一个网络内不限制节点数

若是点到点网络类型，则从邻居关系直接建立邻接关系。

若是MA网络类型，则需要选举DR/BDR角色，为了消除重复更新，选举时间40s
其他所有没有定义角色的路由器成为DROther

DR与DROther之间是邻接关系
BDR与DROther之间是邻接关系
DROther与DROther之间是邻居关系
DR与BDR之间是邻接关系

选举规则：
1、接口优先级默认所有路由器接口优先级为1
2、比较Router-ID 大优

DR/BDR选举是非抢占的
可以通过修改设备参加选举的接口的优先级实现控制选举，
[r2]interface GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]ospf dr-priority 5

reset ospf 1 process //重启OSPF进程

不能将所有的接口优先级全改成0

7）OSPF扩展配置
1、缺省路由–在连接运营商的边界路由器上配置
[r1]ospf 1
[r1-ospf-1]default-route-advertise //非强制下发缺省
非强制下发缺省：若想要下发成功，自身的路由表中必须有缺省路由

[r1]ospf 1
[r1-ospf-1]default-route-advertise always //强制下发缺省
2、静默接口–只接收不发送OSPF数据包。一般用于连接用户的接口，禁止用于路由器之间的接口
[r1]ospf 1
[r1-ospf-1]silent-interface GigabitEthernet 0/0/1

VLAN：虚拟局域网，隔离广播域（将原本的一个广播域逻辑的切分成多个广播域）—通过在交换机上创建不同的VLAN，并且将不通的接口
划入相应的VLAN，让交换机在洪泛时按照不同的VLAN发送数据，实现广播域的隔离

1、创建VLAN
VLAN的范围：1-4094
[sw1]vlan 10 //单独创建
[sw1]vlan batch 35 to 45 //批量创建35-45VLAN
[sw1]vlan batch 70 to 75 80 90 100

默认交换机上存在VLAN1，并且所有的接口默认属于VLAN1

[sw1]display vlan //查看vlan情况以及接口的归属情况
[sw1]display vlan summary //查看创建的汇总情况

2、接口划入VLAN
[sw1]interface GigabitEthernet 0/0/1 //进入接口
[sw1-GigabitEthernet0/0/1]port link-type access
链路类型接入类型
access：一个接口若被调成此类型，则只能属于一个VLAN，一般用于连接用户的接口

[sw1]interface GigabitEthernet 0/0/2
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 10

第二种配置方式（必须先修改接口类型为access）
[sw1]vlan 10
[sw1-vlan10]port GigabitEthernet 0/0/1

[sw1]interface range g 0/0/3 to g 0/0/10 //批量进入接口
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 10

3）TRUNK干道
trunk：若将一个接口类型改成TRUNK之后，则此接口不属于任何一个VLAN，但是允许所有VLAN
数据通过（默认所有的VLAN都不能过，需要手工指定允许通过的VLAN编号）

[sw2]interface GigabitEthernet 0/0/10
[sw2-GigabitEthernet0/0/10]port link-type trunk //修改接口类型为TRUNK干道
[sw1-GigabitEthernet0/0/10]port trunk allow-pass vlan 10 20 //配置TRUNK允许列表

接口上存在一个参数：PVID–port VLAN id
默认ACCESS接口属于哪个VLAN，则此接口的PVID就是哪个VLAN
因为TRUNK可以通过多个VLAN，所以默认PVID为1，且交换机两端的PVID必须一致

4）不通VLAN之间的通信–单臂路由：子接口、三层交换机

[r1]interface GigabitEthernet 0/0/0.1 //创建子接口
[r1-GigabitEthernet0/0/0.1]ip address 172.16.1.254 24
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 10

802.1q:小名dot1q，用于给数据打标签的

[r1]interface GigabitEthernet 0/0/0.2
[r1-GigabitEthernet0/0/0.2]arp broadcast enable //开启ARP广播功能

ACL:Access Control List,访问控制列表
作用：
1、实现访问控制
2、抓取感兴趣流量供其他技术调用

工作原理：通过在路由器上手工定义一张ACL列表，表中包含有多种访问规则，然后将此表调用在路由的某个接口的某个方向上，
让路由器对收到的流量基于表中规则执行动作–允许、拒绝

ACL匹配规则：
至上而下按照顺序依次匹配，一旦匹配中流量，则不再查看下一条。

ACL的分类：
基本ACL：只能匹配数据包中的源IP地址
高级ACL：可以识别数据包中的源、目IP地址，源、目端口号以及协议号

ACL配置：
基本ACL：因为只能识别源IP，所以为了避免误删，调用时尽量靠近要求中的目标
[r2]acl ?
INTEGER<2000-2999> Basic access-list(add to current using rules)
INTEGER<3000-3999> Advanced access-list(add to current using rules)

[r2]acl 2000 //创建ACL 2000
[r2-acl-basic-2000]rule deny source 172.16.0.30 0 //拒绝单个IP
[r2-acl-basic-2000]rule deny source 172.16.0.30 0.0.0.255 //拒绝一个范围（网段）
[r2-acl-basic-2000]rule deny source any //拒绝所有
注：动作可以换成permit

[r2]interface GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //接口调用ACL

高级ACL：因为可以识别的更精确，所以调用时尽量靠近源
[r1]acl 3000
[r1-acl-adv-3000]rule deny tcp source 172.16.0.10 0 destination 172.16.0.1 0 destination-port eq 23
协议源IP 目标IP 目标端口号

[r1]acl name vlan10 basic/advance 命名的配置方式

[r1]display acl all //查看所有的ACL列表
Total quantity of nonempty ACL number is 2

Advanced ACL 3000, 2 rules
Acl’s step is 5
rule 5 deny tcp source 172.16.0.10 0 destination 172.16.0.1 0 destination-port eq telnet
rule 10 deny icmp source 172.16.0.10 0 destination 172.16.0.66 0 (5 matches)

Advanced ACL vlan10 3999, 3 rules
Acl’s step is 5
rule 5 deny ip source 1.1.1.1 0
rule 10 deny ip source 1.1.1.2 0
rule 15 deny ip source 1.1.1.3 0
序号

注：在配置ACL规则时，设备会自动生成5+的序号来排序。
可以基于序号添加和删除规则

Telnet服务：远程登录服务
基于TCP 23端口工作，基于C/S架构
[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode aaa //使用用户名密码的方式

[r1]aaa
[r1-aaa]local-user zhaobin privilege level 15 password cipher qwer1234

NAT：网络地址转换–将私网地址转换为公网地址

分类：
1）静态NAT（一对一：一个公网地址对应一个私网地址）。此公网地址不能是接口IP地址。一般用于服务器
[r2]nat static global 202.100.1.111 inside 172.16.1.1
静态公网地址私网地址
[r2]interface GigabitEthernet 0/0/1 //连接公网的接口
[r2-GigabitEthernet0/0/1]nat static enable

2）NAPT/PAT–网络地址端口转换/端口地址转换（一对多：一个公网地址对应多个私网地址）

去：
172.16.1.3:9000—>100.1.1.2:443
202.100.1.3:9001—>100.1.1.2:443

回：
100.1.1.2:443—>202.100.1.1:9001
100.1.1.2:443—>172.16.1.3:9000

去：
172.16.1.1:8000---->100.1.1.2:443
202.100.1.1:8000—>100.1.1.2:443

回:
100.1.1.2:443—>202.100.1.1:8000
100.1.1.2:443—>172.16.1.1:8000

去：
172.16.1.2:9000—>100.1.1.2:443
202.100.1.1:9000–>100.1.1.2:443

回：
100.1.1.2:443—>202.100.1.1:9000
100.1.1.2:443—>172.16.1.2:9000

配置方式：
【1】定义多个私网地址
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 172.16.1.0 0.0.0.255
【2】定义一个公网地址
[r2]nat address-group 1 202.100.1.10 202.100.1.10
NAT地址组组号起始地址结束地址
【3】配置NAT技术
[r2]interface GigabitEthernet 0/0/1 //连接公网的接口
[r2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
方向 ACL编号 NAT地址组

3）动态NAT（多对多：多个公网地址对应多个私网地址）
配置方式：
【1】定义多个私网地址
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 172.16.1.0 0.0.0.255
【2】定义多个公网地址
[r2]nat address-group 1 202.100.1.10 202.100.1.15
NAT地址组组号起始地址结束地址
【3】配置NAT
[r2]interface GigabitEthernet 0/0/1 //连接公网的接口
[r2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
方向 ACL编号 NAT地址组

4）EasyNAT：直接使用出接口配置的公网地址做NAPT
【1】定义多个私网地址
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 172.16.1.0 0.0.0.255
【3】配置NAT
[r2]interface GigabitEthernet 0/0/1 //连接公网的接口
[r2-GigabitEthernet0/0/1]nat outbound 2000
方向 ACL编号

5）端口映射：用于外网访问内网
[r2]interface GigabitEthernet 0/0/1 //连接公网的接口
[r2-GigabitEthernet0/0/1]nat server protocol tcp global 202.100.1.20 23 inside 172.16.1.1 23
端口映射配置方式协议公网地址端口私网地址端口
[r2-GigabitEthernet0/0/1]nat server protocol tcp global 202.100.1.20 8000 inside 172.16.2.1 23