HCIP笔记
都是备考r做的笔记
IPv6 可用:2的128次方
优势
“无限”地址空间;
层次化的地址结构
地址范围 描述
2000::/3 全球单播地址
2001:0DB8::/32 保留地址
FE80::/10 链路本地地址
FF00::/8 组播地址
::/128 未指定地址
::1/128 环回地址
;
即插即用;
简化的报文头部;
安全特性;
移动性;
增强的Qos特性()
IPv6和IPv4“共存”(在一个网络中既有ipv6也有ipv4)
双栈技术:在一台设备上同时启用ipv4协议栈和ipv6协议栈的技术(一些老旧设备只能支持ipv4,不支持ipv6,那只能使用转换技术)
隧道技术:将一种协议的数据封装在另一种协议中的技术(使ipv6可以访问ipv4,进行交流)
转换技术:将ipv6地址和ipv4地址进行转换的一种技术(反过来ipv4也可以转换成ipv6)
ipv4的升级版本 可用:2的32次方
ACL匹配原则:
系统会按照ACL规则编号从小到大的顺序进行报文匹配。规则编号越小越容易被匹配
一旦匹配上,则设备会对该报文执行这条规则定义的处理动作。并且不在继续尝试与后续规则匹配
Neighbors \\邻居的
Process \\进程
Area \\区域
interface \\接口
Ethernet \\以太网
Address \\地址
Master \\主
Priority \\优先级
Dead times \\死亡时间
BGP邻居的建立过程地状态机顺序是:ldle-Connect-Active-Opensent-OpenConfirm-Establish
Community \\团体
命令:
stp tc-protection \\启用防拓扑变化攻击功能cccccccc
Alternated \\候补
BFD与接口状态联动
BFD与接口状态联动提供一种简单的机制,使得BFD检测行为可以关联接口状态,提高了接口感应链路故障的灵敏度,减少了非直连链路故障导致的问题,BFD检测到链路故障会立即上报Down消息到相应接口,使得接口进入一种特殊的Down状态:BFD Down状态,该状态等效于链路状态协议Down状态,在该状态下只有BFD的报文可以正常处理,从而使接口也可以快速感知链路故障。
BGP的Keepalive报文消息在缺省情况下,Keepalive的时间间隔是60S,保持周期是180S
路由策略,是用来管理和调整路由的命令,是一种调整策略,直接针对路由条目起作用。
内部优先级:
OSPF 10
IS-IS 15
Static 60
RIP 100
Error Info \\错误信息
conflict \\冲突
多跳BFD报文,华为缺省端口号是3784,华三默认是4784
在防火墙中各区域的安全级别是:
Trust : 85
Untrust : 5
Local : 100
DMZ : 50
交换设备上启动了BPDU保护功能后,如果边缘端口收到RST BPDU,则该端口会Down掉
交换设备上只配置了边缘端口,没有启用BPDU保护功能,在此前提下,边缘端口收到RST BPDU时,会转换为普通STP端口,重新参与生成树计算。
BGP 报文都是采用单播的形式发送的
当路由器中存在两条或两条以上的到同一目的地的路由时,这些路由通过比较,AS_PATH越短的路径越优先。
当网络中的两台路由器设备的MTU不匹配时,邻居关系的状态保持停留在Exstart,因为MTU不匹配,所以无法协商主从关系,无法确认DD报文序列号。
OSPF进程ID不同会造成什么影响
LSP产生的原因:
在IS-IS路由域内的所有路由器都会产生LSP,以下情况会触发产生一个新的LSP:
1.邻居UP或Down
2.引入的IP路由发生变化
3.IS-IS相关接口UP或Down
4.区域间的IP路由发生变化
5.接口被赋予了新的metric值
6.周期性的更新
在OSPF中,Loopback接口默认开销值时0
传统流量统计的实现方法和局限性:
基于IP报文计数:统计的信息简单,无法针对多种信息进行统计。
使用ACL:要求ACL的容量要很大,对ACL流量规则控制以外的没有办法统计。
SNMP协议:功能不强,需要不断的进行轮询向网管查询,占用CPU和浪费网络资源。
端口镜像:成本高,同时还会消耗设备的一个接口,还有对无法开启镜像的端口标识无能为力。
物理层复制:成本高,需要购买专门的硬件设备
组管理协议(IGMP)协议,用于管理成员端到组播路由器之间的协议。
在防火墙中新建一个安全区域,需要先手工配置一个优先级,如果没有配置优先级则优先级为空。
状态检测防火墙在对报文进行检查时,同一报文前后具有相关性。
状态检测防火墙不需要对每一个数据包进行规则匹配,而是对第一个报文进行访问规则匹配,后续的连接报文都直接在状态表中进行匹配。
堆叠中的单台交换机被命名为成员交换机,按照功能的不同,可以分为三种类型的交换机
主交换机(Master)
只有一台主交换机,负责管理整个堆叠。
备交换机 (Standby)
只有一台备交换机,在主交换机出现故障时,备交换机会替换主交换机中的所有业务。
从交换机 (Slave)
从交换机主要用于业务转发,从交换机在堆叠系统中越多,堆叠系统的转发能力就越强。在堆叠系统中,除了主交换机和备交换机后,所有的交换机都是从交换机。
Route-policy \\用于过滤路由信息,以及通过过滤路由信息设置路由的属性
AS-Path-Filter \\用于为对等体设置基于AS路径列表的BGP路由过滤策略
Policy-based-route \\策略路由,可以根据管理员定义的策略条件选择性的转发数据包
IP prefix \\指定地址前缀列表的名称
BGP聚合的本地路由优先级:
手动聚合>自动聚合>network>import>
在IS-IS中,Level的默认设置为Level-1-2
Level-1路由器使用的组播MAC地址是:0180-c200-0014
Lelvel-2路由器使用的组播MAC地址是:0180-c200-0015
交换机的控制平面功能:
控制平面完成系统的协议处理,业务处理,路由运算,转发控制,业务调度,流量统计,系统安全。
NDP能够实现路由器发现,前缀发现,参数发现,地址自动配置,地址解析(代替ABR和RARP),下一跳肯定,邻居不可达检测,重复地址检测,重定向等更多功能。
vrrp vrid preempt-mode timer delay \\命令用来配置VRRP备份组中无线接入控制器的抢占时间。
undo vrrp preempy-mode timer delay \\命令用来恢复VRRP备份中无线接入控制器的抢占延迟时间为缺省值。缺省情况下,抢占延时为0,即立即抢占。
VRRP协议报文封装再IP报文中,发送到分配给VRRP的IP组播地址。在IP报文头中,源地址为发送报文接口的主IP地址(不是虚拟地址),目的地址是224.0.0.18,TTL是255,协议号是112.p
不转发数据,但是接受BPDU的接口为阻塞接口。
在OSPF中,虚链路永远是属于区域0的。
状态检测防火墙的后续报文检测主要根据会话表进行转发。
在广播网络中,DIS发送Hello报文的周期更加的端,是普通IS-IS路由器的三分之一,普通IS-IS路由器发送Hello报文的时间是10S,所以DIS发送Hello报文的时间是3.3S
vrrp vrid track interface \\命令d使能VRP通过监视接口的状态实现主备快速切换的功能。
默认情况下,IS-IS每15分钟(900S)周期泛洪更新一个LSP,同时序列号加1;老化时间为20分钟(即1200S)
在NFV中的VIM管理模块的主要功能包括,资源发现,资源分配,资源管理以及故障处理。
prefix \\前缀
MSTP中可以自动生成生成树的根桥,手动配置生成树的根桥和备份根桥。生效的根桥只有一个,可以在生成树中指定多个备份根桥。
IPv6没有广播地址,因为给组播代替了。
启用VRRP的端口,无论优先级的多少,都是在竞选完主备(Masker/Backup)后再确定VRRP网关角色。
reset ip ip-prefix \\命令用来清空指定的IPv4地址前缀列表的计数器。
在ACL中,要想精确匹配一个路由 其通配符设置必须为0.0.0.0 , 不可以设置成255.255.255.255
计算设备 存储设备 网络设备
服务器 存储阵列 路由器
云存储 交换机
防火墙
负载均衡
IDS/IPS
依据双击热备份使用的流量切换方式,双机热备份可以分为:
VRRP热备份:通过VRRP实现流量切换,只适用于主备备份方式。
双链路热备份:通过双链路实现流量切换,适用于主备切换和负载分担方式。
在FIB中:
黑洞路由(B,Blackhole),
可用路由(U,Use),
x静态路由(S,Satic),
网关路由(G,Gateway),
BGP是应用层协议,它是基于TCP的
RIP是应用层协议,它是基于UDP的
OSPF是网络层协议,它是基于IP数据报文
SSL VPN 可以实现远程用户直接访问网络的资源
影响IS-IS选路的因素:接口的Cost开销值,还有优先级。
在OSI网络管理标准定义了网络管理的五大功能,配置管理,性能管理,故障管理,安全管理和计费管理。
在配置路由引入时还需要注意:
路由优先级;
路由度量值;
路由回灌;
路由收敛时间;
支持2字节AS时,私有AS的取值范围为64512-65535;
支持2字节AS时,取值范围是1-65535;
不定义新的属性无法使用4字节的AS;
SA有一个三元组来唯一标识,三元组包括:
安全参数索引,目的IP地址和使用的安全协议(AH或ESP)
IS-IS支持的是宽带(Wide)和窄带(Narrow)两种度量值类型。
USG系列防火墙路由器的安全区域范围是0-100.
SDN网络体系机构主要分为应用层,控制层,转发层。
VXLAN支持通过虚拟化软件配置和SDN服务配置。
虚链路
让骨干区域与非骨干区域通过命令使得在逻辑上连接。
OSPF如何防环路:
骨干区域与非骨干区域紧密相连,
骨干区域发出的三类LSA,不在发送回传骨干区域。
四类LSA 先找ASBR,使用精确的转发地址。MA网络
不同网络类型做一个引入。P2P