HCIA--总复习资料

目录

其他

网络基础

OSI七层模型--开放式系统互联参考模型

端口号

MTU

网络变大

集线器网络下的问题

MAC地址

交换机

IPV4详解

四层详解

TCP/IP模型

TCP的头部

TCP的运行过程

UDP的头部

封装

解封装

IPV4的分类

PDU--协议数据单元

syn攻击

命令视图

文件和目录操作

一些命名

修改主机名

display查看

配置系统时间

关闭相应配置提示

进入和退出系统视图

语言模式

命名行快捷键和帮助

DHCP

成为DHCP服务器的条件

步骤

过程

网络部署思路

路由器

路由器的工作原理

获取未知网段的方法

静态路由

动态路由

VLAN

ACL

作用

匹配规则

分类

配置命令

NAT

NAT网络地址转换

配置

---

其他

• 访问服务器三种方式：IP地址访问、域名访问、App访问或应用软件--软件内置了服务器的IP地址，比如QQ、游戏客服端等；本质：通过IP地址访问

• 个人电脑使用RJ-45双绞线传输介质

• VRP（versatile routing platform通用路由平台）

• 华为路由器的接口默认都是开启的 思科路由器的接口默认都是关闭的

• AP：无限接录点

• URL：统一资源定位符

• DNS用UDP和TCP的53端口

• ARP的老化时间180s

网络基础

逻辑：

大--->无限距离、无冲突、单播--->交换机--->MAC地址-->洪泛--->洪泛的范围-->路由器-->IP地址--ARP-->广播(逼交换机洪泛)-->广播域

OSI七层模型--开放式系统互联参考模型

应用层 抽象语言（人类语言）输入和输出 抽象语言-->编码

表示层 编码-->二进制

会话层 应用程序内部，提供的内部区分地址

上三层均为应用程序处理加工数据，统称为应用流层

下四层负责数据的传输,统称为数据流层

传输层 提供端口号，分段（受MTU限制） 由TCP/UDP操作

网络层 Internet 协议--IP地址

数据链路层(介质访问控制层)（MAC） 控制物理硬件 长波1 短波0

物理层

核心思想：分层

 

端口号

0-65535 1-1023 注明端口 固定给服务器的服务端口

1024-65535 高端口 动态端口 随机分配给终端对应各个进程

MTU

最大传输单元,默认为1500字节，在第二层

网络变大

1.节点（终端）增加 --HUB集线器（多接口放大器，物理层）已经淘汰了

2.传输距离 通过增加一个中继器（放大器） 不能无线延长，不能完全解决失真，

集线器网络下的问题

1.安全 2. 延时 3.地址 4.冲突--电流在物理介质上直接相遇

冲突域

是一个通过共享物理介质进行双向传输的所有节点的集合。当同一冲突域中的主机同时发送数据时，数据到达目的地之前可能会发生冲突。

解决地址问题：

MAC地址--网卡芯片的串号（在介质访问控制层）--48位二进制构成，由16进制显示 全球唯一，出厂时烧录到网卡芯片中；前24位代表产商，后24位代表厂商分配的串号

MAC地址

Mac地址存在300s的老化时间--保证MAC地址表中数据的更新

一个接口可以对应多个MAC地址

解决冲突问题：

核心思想：CSMA/CD 载波侦听多路访问/冲突检测 解决方法--排队

核心要求： --网桥 --交换机（介质层）

1.无限的传输距离

2.没有冲突--所有节点可以同时收发属于他自己的数据

3.单播--一对一的隔离通讯

交换机

交换机的作用：--工作在二层

1.提供端口的密度（继承了集线器）

2.理论上的无限传输距离-- 识别再编写的方案 将电信号转为二进制

3.没有冲突--识别、存储再转发

4.基于MAC，识别、记录、查询一对一转发

当数据电流进入交换机接口时,将被识别为数据;交换机可以识别数据中的MAC地址部分;交换机先查看数据帧中的源MAC地址,然后将其与进人的接口编号映射记录到本地的MAC地址表;再查看数据帧的目标 MAC地址，然后查询本地的MAC表中是否拥有该目标对应接口的记录;若存在记录将向该接口唯一转发（单播)﹔若没有记录将洪泛该流量;

洪泛:除流量进入接口外其他所有接口复制转出

IPV4地址：连续的32位二进制，点分十进制标识

由网络位和主机位组合而成; 前面存在一段对应不同的洪泛范围;后面一部分为该设备在该范围内唯一标识;

网络位和主机位区分依赖子网掩码; 子网掩码由连续1+连续的0构成; 连续1对应网络位，连续0对应主机位;

ARP:地址解析协议 通过对端的一种地址来获取对端另一种地址的方案

拓扑结构：

直线-总线

环形

星型

网状 分为全连网状和部分网状 费用高

MAC地址与IP地址异同：

范围、格式、通信场景不同

地址相同

IP地址用来区分洪泛范围

IPV6128位二进制构成

IPV4详解

 

Type of Service：数据优先级标志，表示数据的轻重缓急

time to live :生存时间，每跨过一个广播域就减1，最大为255

Header checksum: 头校验

Protocol：上层协议

Flags：是否被切过；

Fragment Offset：切的位置

四层详解

传输层：解决数据交给哪个应用程序，端口字段

还需解决数据的质量和方法

俩种传输协议，对应了俩种不同的传输服务，这俩种TCP和UDP

TCP：可靠的传输协议 适合于效率要求相对较低，但准确性要求较高的场景 比如文件类、追求完整信息类（邮件）

UDP：不可靠的传输协议 适合于效率要求相对较高，但准确性要求低的场景 比如语音类、实时传输类（视频、游戏）、微信和qq的聊天数据

 

可靠传输：按需传输、有确认机制、丢失重传、严格校验

不可靠传输：只管传，其他的不管

面向连接：通信前在双方之间建立起一条的可以彼此沟通的逻辑通路。

无连接：通信前不需要建立通路，通信完不需要断开、自由发送；

TCP/IP模型

 

 

TCP的头部

 

data offiset：偏移值

Reserved：保留

Window：窗口

checksum：检查合

Urgent Pointer：紧急指针

OPtions：任选项

Padding：补丁

源端口：启动应用是根据空闲端口随机生成；

目标端口：固定的，代表了某中特定的应用。1-65535范围，其中1-1023是知名端口号，代表知名端口号，比如 http 80，ftp 20、21，https 443、ssh 22，Telnet 23

 

TCP的运行过程

• 三次握手

  第一次客服端到服务端 syn seq=888

  第二次服务端到客服端 syn+ask seq=999 ask=889

  第三次客服端到服务端 ask seq=889 ask=1000

  syn：同步序列号 seq:序列号

  

   

两次的话服务端并不知道发送给客服端的包是否收到

• 传输距离

  窗口值：对方能传输最大数据

  

   

• 四次断开

  第一次客服端到服务端 fin seq=x

  第二次服务端到客服端 ask ack=x+1

  等待数据传输完

  第三次服务端到客服端 fin seq=z

  第四次客服端到服务端 ask ack=z+1

  第一次挥手：客户端向服务器端发送断开 TCP 连接请求的FIN=1报文，在报文中随机生成一个序列号 SEQ=x，表示要断开 TCP 连接。

  第二次挥手：当服务器端收到客户端发来的断开 TCP 连接的请求后，回复发送标志位ACK=1报文，表示已经收到断开请求。回复时，随机生成一个序列号 SEQ=y。由于回复的是客户端发来的请求，所以在客户端请求序列号 SEQ=x的基础上加 1，得到确认序列号ACK=x+1。

  第三次挥手：服务器端在回复完客户端的 TCP 断开请求后，不会马上进行 TCP 连接的断开。服务器端会先确认断开前，所有传输到客户端的数据是否已经传输完毕。确认数据传输完毕后才进行断开，向客户端发送FIN=1报文。再次随机生成一个序列号 SEQ=z。由于还是对客户端发来的 TCP 断开请求序列号 SEQ=x 进行回复，因此确认序列号ACK依然为 x+1

  第四次挥手：客户端收到服务器发来的 TCP 断开连接数据包后将进行回复，表示收到断开 TCP 连接数据包。向服务器发送标志位ACK=1 报文，生成一个序列号 SEQ=x+1。由于回复的是服务器，所以确认序列号ACK字段的值在服务器发来断开 TCP 连接请求序列号 SEQ=z 的基础上加 1，得到ACK=z+1

  两方同时想要断开，就会可能出现三次断开，一次断开就是一方想要断开，对方不理

  

   

  1．为什么建立连接协议是三次握手，而关闭连接却是四次握手呢？

  这是因为服务端收到SYN报文的连接请求后，它可以把ACK和SYN放在一个报文里来发送。但关闭连接时，当收到对方的FIN报文通知时，它仅仅表示对方没有数据发送给你了；但未必你所有的数据都全部发送给对方了，所以你可能未必会马上会关闭SOCKET,也即你可能还需要发送一些数据给对方之后，再发送FIN报文给对方来表示你同意现在可以关闭连接了，所以它这里的ACK报文和FIN报文多数情况下都是分开发送的。

UDP的头部

 

udp是网络层的透传，就是啥都没有，就一个端口

封装

 

解封装

 

IPV4的分类

32个二进制

192.168.1.1-->点分十进制书写格式

地址有两部分组成：网络位和主机位

192.168.1.1 192.168.1.2这个俩个地址在同一网络位，也就是在一个广播域

IETF早期规定的网络位划分的方法：主类划分法

 

 

特殊地址

 

其中6是没有地址，操作系统给的地址

单播地址：192.168.1.1

VLSM与CIDR

VLSM：可变长子网掩码

·核心思路:通过延长子网掩码（将主机位借到网络位）来实现网段的划分

CIDR ---无类域间路由----汇总

可变长子网掩码---取相同去不同

PDU--协议数据单元

应用层 数据报文

传输层 数据段

网络层 数据包

数据链路层 数据帧

物理层 比特流

syn攻击

Syn攻击就是 攻击客户端 在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直 至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。

命令视图

 

文件和目录操作

 

 

 

一些命名

修改主机名

sysname R1

display查看

• dis this //查看当前视图下的配置

• dis current-configuration //查看当前配置

• dis history-command //查看最近的10条历史命令

• dis logbuffer //查看系统日志

• dis clock //查看当前的系统时间

配置系统时间

 

dis clock //查看当前的系统时间

修改系统时间：

<R1>clock datetime 8:00:00 2014-01-16

<R1>clock timezone HK add 8:00:00

关闭相应配置提示

在交换机模拟器及真机上，每次修改配置文件都会有相应配置改变提示，影响配置阅读

<R1>undo terminal trapping 类似 cisco中的日志同步

<R1>undo terminal monitor //会把所有信息都会关闭（包括接口的up/down消息）

[R1]undo info-center enable //会把所有告警信息全部关掉（包括接口的up/down消息）。会不记录日志，慎用

进入和退出系统视图

 

语言模式

 

注：

真机AR2220不支持修改语言模式

模拟器上所有的路由器上不支持

模拟器上所有的交换机都支持（要使用默认的putty，CRT显示为乱码）

命名行快捷键和帮助

 

DHCP

--动态主机配置协议

同一分发管理IP地址；C/S模型=客服/服务

成为DHCP服务器的条件

1. 该设备必须有接口或网卡 连接到 所要下放IP地址的广播域内；

2. 该接口或网卡必须拥有合法IP地址，且可以正常通讯；

步骤

1.[Huawei]dhcp enable 先开启dhcp服务 创建名为wanacai的dhcp池塘，一台设备上可以创建多个池塘，但一个池塘只能服务一个广播域 2.[Huawei]ip pool wangcai

[Huawei-ip-pool-wangcai] 3.[Huawei-ip-pool-wangcai]network 192.168.1.0 mask 255.255.255.0 关联接口，定义该池塘可分配ip地址的范围; 4.[Huawei-ip-poolwangcai]gateway-list 192.168.1.1 该网段网关 5.[Huawei-ip-pool-wangcai]dns-list 192.168.1.20 14.114.114.114 DNS服务器地址

注:华为设备，还需要在分配ip地址的接口，启动DHCP 6.[Huawei]interface g0/0/0 7.[Huawei-GigabitEthernet0/0/0]dhcp select global 8.lpconfig PC上查看IP地址获取

• 有个租期：[Huawei-ip-poolwangcai] lease day 0 hour 1 minute 0

过程

DHCP行为基于UDP的68(客户端）和67（服务器)号端口工作

PC (请求request) UDP 源端口68 目标端口67 源ip 0.0.0.0 目标255.255.255.255 源MAC本地 目标MAC全F 服务器（提议offer) UDP 源端口67 目标端口 68 源ip路由器本地 目标ip--仅华为为计划下放的ip 其他厂家255.255.255.255 源MAC路由器本地 目标mac -仅华为PC的 MAC 其他厂家︰全F

PC (应答) 68 67 0.0.0.0 255.255.255.255 Pc本地 全F 服务器 (ack.确认) 67 68 服务器本地 华为–计划分配 ip 其他 -- 255.255.255.255 服务器本地 华为--pc mac 其他---全F

之后PC需要进行ARP来判断计划分配p是否被其他设备使用

1、客户端广播发送DHCP Discover报文，用于发现当前网络中的DHCP服务器

2、服务端单播发送DHCP Offer报文，携带即将分配给客户端的IP地址

3、客户端广播发送DHCP Request报文，向服务器请求使用该IP地址

4、服务器单播发送DHCP Ack报文，告知客户端允许使用该IP地址

网络部署思路

1、拓扑设计--IP地址规划

2、实施

【1】拓扑的搭建

【2】配置

（1）底层--所有节点拥有合法IP地址

（2）路由--全网可达

（3）策略--优化、安全、规则

（4）测试

（5）排错

【3】维护

【4】升级

路由器

路由器的工作原理

当数据包进入路由器后，先查看目标IP地址;然后查询本地的路由表，若表中存在记录，将无条件按照记录转发;若没有记录，将丢弃该流量;

• [r1]display ip routing-table 查看路由表

默认:

1、仅存在直连网段的路由

2、路由器默认以一个网段作为目标非直连网段为未知网段;

获取未知网段的方法

1、静态路由--手写 2、动态路由---路由器间协商、沟通、计算自动生成

静态路由

静态路由的写法：

[r1]ip route-static 192.168.3.0 255.255.255.0 192.168.2.2

目标网络号 下一跳

• 下一跳：流量下一个进入接口的ip地址

• 华为默认若使用下一跳和出接口配置静态路由，则必须先配置出接口

静态的扩展配置

1.负载均衡

当访问相同目标，具有多条开销相似路径时；可以让设备将流量拆分后延多条路径同时传输；起到宽带叠加的作用；

2.环回接口

--创建后，可用于路由器测试TCP/IP协议组件是否封装与解封装，同时，可用于实验环境中，模拟连接PC终端 的用户接口，来减少实际设备成本需求；

步骤：

[r1]interface LoopBack? <0-1023> LoopBack interface number LoopBack LoopBack interface

[r1]interface LoopBack0

[r1-LoopBack0]ip address 1.1.1.1 24

3.手工汇总

--若路由器需要访问多个连续子网，且具有相同的下一跳；可以将这些网段进行汇总计算；之后仅编写到达汇总网段路由即可----节省路由表条目数据

[r1]ip route-static 192.168.2.2 28 NULL 0

4.路由黑洞

--汇总地址中包含了，网络内实际不存在的网段时；让将导致流量有去无回；浪费链路资源；

建议合理的IP地址规划（便于无黑洞汇总），尽量精确汇总；

5.缺省路由

--一条不限定目标的路由，代表所有网段；路由器查表时在查询完本地所有的直连、静态、动态路由后依然没有可达路径，才使用该条目；

[r1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

6.空接口

--当路由黑洞与缺省路由相遇时，将必然出现环路；

在黑洞路由器上，配置一条到达汇总网段的空接口路由；空接口及丢弃流量；来避免环路的产生；

[r1]ip route-static 1.1.0.0 NULL 0

7.浮动静态

--不同方式产生到路由表中条目，其优先级不同：直连=0，静态=60；

优先级取值范围0-255 越小越好；

步骤

[r1]ip route-static 100.100.100.0 24 13.1.1.2 preference ? INTEGER<1-255> Preference value range [r1]ip route-static 100.100.100.0 24 13.1.1.2 preference 61

访问相同目标，具有多条路径时；将加载优先级越小到表中使用；

若优先级相同将同时加到表中（负载均衡）；因此修改部分路由的优先级，可以实现静态备份的效果；

静态路由优缺点

缺点：

1. 中大型网路配置量过大

2. 不能基于拓扑的变化而实时的变化（最大缺点）

优点：

1. 不会额外暂用物力资源

2. 安全问题

3. 计算路径问题

简单、小型网络建议使用静态路由；中大型较复杂的网络建议使用动态路由

动态路由

---路由器间沟通，协商，计算自动生成路由表；在拓扑结构发生变化后，可以收敛（重新计算）来适应新的结构；

分类

基于AS（自治系统，0-65535编号）进行分类：

• IGP 内部网关路由协议 AS内部使用 --RIP OSPF EIGRP ISIS....

• EGP 外部网关路由协议 AS之间使用 ---BGP EGP

IGP的分类

【1】基于工作特点进行分类:

• DV 距离矢量(邻居之间共享路由表) RIP EIGRP ....

• LS 链路状态(本地计算) OSPF ISIS ..... 优点：选路精确度优于 缺点：cpu、资源消费严重

【2】基于更新时是否携带子网掩码

有类别---不携带子网掩码，按主类定义子网掩码

无类别--携带子网掩码，基于实际掩码来判断网段

RIP

---路由信息协议 距离矢量协议 贝尔曼福特算法

存在V1/V2/NG（下一代IPV6专用）

• 基于UDP520端口工作；

• 使用跳数作为度量；

• 更新方式为30s周期更新（保活和取代确认作用）和触发更新；

• 优先级为100

• 支持等开销负载均衡（跳数一样）

V1和V2区别

1. V1有类别协议，不携带子网掩码，不能区分子网划分和汇总

v2无类别协议，携带子网掩码，进行VLSM和子网汇总，不支超网；

1. V1广播更新---255.255.2555.255 V2组播更新---224.0.0.9

2. V2支持手工认证

PIP工作原理

破环机制

1.水平分割---从此口进，不从此口出---适合直线拓扑中破坏，最主要作用是在MA网络（一个网段的节点数量不限制）中避免重复流量；

2.触发更新---毒性逆转水平分割

3.最大跳数---15跳 16跳为不可达

4.抑制计时器

基础配置

V1配置：

[r1]rip 启动时可以定义进程号；默认为进程1； 仅具有本地意义

[r1-rip-1]version 1 选择版本1

宣告：1.激活---被选中接口可以收发rip信息 2.共享路由---被选中接口的网段可以共享给本地所有的邻居

[r1-rip-1]network 1.0.0.0 A类

[r1-rip-1]network 12.0.0.0

V2配置：

[r1]rip

[r1-rip-1]version 2

宣告：

[r1-rip-1]network 1.0.0.0 A类

[r1-rip-1]network 12.0.0.0

切记:RIP宣告时，只能宣告主类网段;

RIP的扩展配置

1) RIPV2的手工汇总 ---在更新源路由器上，在所有更新发出的接口配置

[r1]int g0/0/1 [r1-GigabitEthernet0/0/1]rip summary-address 1.1.0.0 255.255.252.0（汇总网段，只能这样写）

2)RIPV2的认证

---邻居间收发的RIP消息中进行身份核实口令添加，同时华为在接口开启认证后，会被加密传输

[r1]interface g0/0/1 [r1-GigabitEthernet0/0/1]rip authentication-mode md5 usual cipher 123456

两两直连的邻居间，认证口令和认证模式要必须完全一致

3)沉默接口（思科：被动接口）

---仅接受不发送路由协议信息，只能用于连接用户终端的接口；不能直连路由器邻居的接口，否则邻居间将无法共享路由信息

[r1]rip 1

[r1-rip-1]silent-interface GigabitEthernet 0/0/0

4)加快收敛

RIP计时器 30s更新 180s 失效 180s 抑制 300s刷新|

适当的修改计时器，可以加快协议的收敛速度; 修改时，全网所有运行rip 的设备建议一致;维持原有倍数关系;且不易修改的过小;

[r1]rip 1 [r1-rip-1]timers rip 30 180 300 抑制计时器不修改

5)缺省路由---在边界路由器上定义缺省源头信息后，将向内网发布缺省路由;之后内部路由器将自动生成缺省路由指向边界路由器方向;边界路由器指向ISP路由器将自动生成缺省路由指向边界路由器方向;边界路由器指向ISP的缺省路由，依然需要手写;

[r3]rip [r3-rip-1]default-route originate

OSPF

---开放式最短路径优先协议

• 无类别（带掩码）链路状态（共享 LLC--TOP）IGP协议；

• 周期更新(30min)+触发更新；

• 链路状态协议存的更新量随着网络范围的扩大指数性的上升，因此OSPF协议为了在中大型网络中工作，需要结构化的部署（区域划分、合理IP地址规划）；

• 组播更新 --- 224.0.0.5（传信息） 224.0.0.6（DR的专用地址）

OSPF的5种数据包：

Hello 邻居的发现 关系的建立 周期（10s）的保活 携带rid （我的rid和我发现的rid） Dbd 数据库描述包：本地数据库目录 Lsr 链路状态请求 Lsu 链路状态更新 Lsack 链路状态确认

las--链路状态，具体的一条一条路由信息或拓扑信息；但它不是一个包，是被lsu数据包来携带

OSPF的7个状态机：

down： 一旦接收到hello包，进入下一个状态机 init 初始化： 一旦接收到的hello包中存在本地rid，进入下一个状态 two-way 双向通讯: 邻居关系建立的标志 关注条件： exstart -- 预启动： 使用不携带目录信息的DBD包，进行主从关系的选举；rid大为主，优先进入下一个状态；解决了目录共享时的无序 exchange -- 准交换： 使用携带目标信息的dbd包，共享本地数据库目录 loading --加载： 查看完邻接的dbd信息后，对比本地，然后基于本地位置的lsa进行查询；使用lsr向对端查询，对端使用lsu来传输 这些lsa信息，本地收到后需要lsack来进去确认 full： 邻接关系建立的标准：意味着邻接间，数据库同步（一次）

OSPF的工作过程

启动配置完成后,邻居间开始收发hello包; hello包中将携带本地及本地所有已知邻居的rid;之后生成邻居表;邻居间需要关注是否可以成为邻接的条件;若不能建立为邻接（毗邻）关系，将保持为邻居关系，仅hello包周期保活即可;

若可以建立邻接关系;将使用DBD进行本地数据库目录的对比;之后基于对比的结果，使用LSR/LSu/LSack,来获取本地未知的LSA信息;使邻接关系数据库（lsdb)完成同步（一致），生成数据库表；

之后本地基于lsdb，使用spf算法，生成有向图->最短路径树->计算本地到达所有未知网段的最短路径，将其加载到本地路由表中;收敛完成

收敛完成后，邻居和邻接关系间均hello每10s保活;每30min一次邻接关系间周期数据库比对，保障一致;

lsdb:链路状态数据库–所有lsa的集合

结构突变: 1、新增网段

2、断开网段

3、无法沟通--- dead time为 hello time的4倍;在4次周期内未收到对端的 hello包，将断开与其的邻居关系;删除通过该邻居计算所得路由;

基础配置

[r1]ospf 1 router-id 1.1.1.1 启动时可以定义进程号、 RID；默认进程号为1，RID---格式为IPV4地址，全网唯一；手工->环回接口 最大数值->物理接口最大数值

宣告： 1、激活--可以收发ospf的信息 2、被选中接口的拓扑信息可以共享给邻接 3、进行区域划分

[r1-ospf-1]area 0   区域0 区域有水平分割
[r1-ospf-1-area-0.0.0.0]network  1.1.1.1   0.0.0.0  
[r1-ospf-1-area-0.0.0.0]network  12.1.1.0     0.0.0.255

[r2]display ospf peer 查看邻居关系

[r2]display ospf peer brief 查看邻居简表

[r2]display ospf lsdb 查看数据库

<r1>display ip routing-table protocol ospf 查看ospf路由

优先级为10，度量为cost（开销值），ospf cost=参考带宽/接口宽带，默认参考带宽为100，ospf优选cost值之和最小，为最佳路径；若两条链路cost值之和相同，等开销负载均衡;

若接口带宽大于参考带宽, ，算出来小于1，cost也为1，将可能导致选路不佳;建议修改默认的参考带宽:

[r1]ospf 1

[r1-ospf-1]bandwidth-reference ?

INTEGER<1-2147483648> The reference bandwidth (Mbits/s)

[r1-ospf-1]bandwidth-reference 1000

切记:若修改参考带宽，全网需修改的一致;

ospf在宣告时，需要使用反掩码，来匹配宣告的地址范围

区域划分规则：

1、星型结构---编与0骨干区域（中心)，大于0为非骨干区域(分支），非骨干区域必须直连着骨干区域

2、必须存在ABR---区域边界路由器 两个区域间互联的设备

扩展配置

1)DR/BDR选举

邻居成为邻接关系的条件：与网络类型有关

网络类型：

点到点--在一个网段内只能存在两个节点 ---串线

MA--多路访问--在一个网段内的节点数量不限制；不是当下连接几个节点；而是该网络类型允许最终连接多个节点；--以太网

点到点网络邻居关系直接成为邻接关系;在MA 网络中，将进行DR/BDR选举；DR--指定路由器，EBR--备份路由器

在一个网段中仅 DR/BDR与其他路由器为邻接关系;非DR/BDR之间为邻居关系;

选举规则：

1、先比较该网段所有参选设备接口的优先级，越大越优；默认优先级为1; 取值范围0-255，0标识不参选

2、若所有参选者优先级相同，比较参选设备的 RID，数值大优;

干涉选举: 1、DR优先级最大，BDR次大 切记 ospf的选举是非抢占性的; 故在修改完优先级后,需要所有路由器重启OSPF进程;

[r2]interface GigabitEthernet 0/0/0
[r2-GigabitEthernetO/0/0]ospf dr-priority 3修改接口优先级
<r1>reset ospf process  重启ospf进程
Warning: The OSPF process will be reset. Continue? [Y/N]:y

2、DR优先级修改为最大,BDR次大; 其他设备修改为0;无需重启进程

2)区域汇总

--OSPF协议不支持接口汇总，只能在ABR上将a区域拓扑计算所得路由，共享给B区域时进行汇总;

[r2]ospf 1
[r2-ospf-1]area 0
[r2-ospf-1-area-0.0.0.0]abr-summary 1.1.0.0 255.252.0.0I
R2为一台连接区域0和其他区域的ABR;以上操作为，R2将通过区域0学习到的拓扑计算所得的路由，传递给其他区域时进行汇总，汇总网段1.1.0.0/22

3)被动接口/沉默接口

---仅接收不发送路由协议信息; 用于连接用户终端的接口，不得用于连接邻居路由器的接口，否则无法建立邻居关系;

[r2]ospf 1
[r2-ospf-1]silent-interface GigabitEthernet 0/0/0

4)认证

---接口认证惇在直连邻居或邻接的接口上配置，保障更新的安全

[r1-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 123456

模式、编号、密码要求邻居间一致

5)加快收敛

邻居间计时器10s hello time 40s dead time 邻居间，修改本端的 hello time，本端的dead time自动4被关系匹配;但ospf中邻居间的hello time和 dead time 必须完全一致，否则无法建立邻居关系;

[r1]interface GigabitEthernet 0/0/o 
[r1-GigabitEthernet0/O/0]ospf timer hello 5

6)缺省路由

---边界路由器上配置后，将自动向内网下放一条缺省路由，之后内网设备将自动生成缺省路由指向边界

[r4]ospf 1
[r4-ospf-1]default-route-advertise always 

VLAN

--虚拟局域网

交换机和路由器协同工作后，将一个广播域逻辑的分割为多个；

配置思路

1.交换机上创建VLAN

2.交换机上的各个接口划分到对应的VLAN中

3.Trunk（中继）干道 ---不属于任何一个VLAN，承载所有vlan流量转发；可以标记（封装）识别（解封装）不同VLAN

的标签；VLAN ID压入到数据帧（强塞入在第二层）中的标准---802.1q（dot1.q）

4.VLAN间的路由--路由器的子接口（单臂路由--配置字接口实现隔离不同VLAN） 多层交换机的SVI--在多层交换机上创建vlanif 三层虚拟接口，并配置ip地址，形成直连路由

配置命令

1.交换机上创建VLAN VLAN的编号由12位二进制构成：0-4095；其中1-4094可用；

默认交换机存在VLAN1，且所有接口默认存在VLAN1

[r1]vlan 2

[r1]vlan 3

[r1]vlan batch 10 to 20

[r1]vlan batch 10 to 20 25 to 30

2.交换机上的各个接口划分到对应的VLAN中

[sw1]interface Ethernet0/0/1 单独将某个接口划分到对应的vlan

[sw1-Ethernet0/0/1]port link-type access 先将该接口修改为接入模式

[sw1-Ethernet0/0/1]port default vlan 2 再将该接口划分到对应的vlan中

批量的将多个接口划分到同一个vlan

[sw1]port-group group-member Ethernet 0/0/3 to Ethernet 0/0/4

[sw1-port-group]port link-type access

[sw1-port-group]port default vlan 3

3.Trunk（中继）干道

[sw1]interface e0/0/5

[sw1-Ethernet0/0/5]port link-type trunk 将接口修改trunk模式

[sw1-Ethernet0/0/5]port trunk allow-pass vlan 2 to 3

注：默认华为交换机仅允许VLAN1通过；需要定义允许列表

[sw2-Ethernet0/0/3]port trunk allow-pass vlan all 允许所有vlan通过

4、路由器子接口

[router]interface g0/0/0.1 创建子接口

[router-GigabitEthernet0/0/0.1]dot1q termination vid 2 定义其管理的vlan

[router-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24

[router-GigabitEthernet0/0/0.1]arp broadcast enable 开启子接口ARP功能

[router-GigabitEthernet0/0/0.1]q

[router]interface g0/0/0.2

[router-GigabitEthernet0/0/0.2]dot1q termination vid 3

[router-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24

[router-GigabitEthernet0/0/0.2]arp broadcast enable

ACL

--访问控制列表

作用

1. 访问控制 ---在路由器流量进或出的接口上，匹配流量产生动作--允许、拒绝

2. *定义感兴趣流量---抓取流量，之后给到其他的策略，让其他的策略进行工作

匹配规则

至上而下逐一匹配，上条匹配按上条执行，不再查看下条;思科系默认末尾隐含拒绝所有；华为系末尾隐含允许所有；

分类

1、标准----仅关注数据包中的源IP地址

2、扩展---关注数据包中的源、目标IP地址，目标端口号或协议号

配置命令

【1】标准

---由于标准仅关注数据包中的源IP地址；故调用时必须尽量的靠近目标;避免对其他流量访问的误删;

编号2000-2999为标准列表编号,一个编号为一张表;

[r2]acl 2000
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0 //一个IP
[r2-acl-basic-2000]rule deny source 192.168.0.0 0.0.255.255     //一段IP  
[r2-acl-basic-2000]rule deny source any     //所有
                        动作          源ip.地址
源ip.地址需要使用通配符来匹配范围;通配蒋和反掩码的区别，在于通配符可以0与1穿插书写
​
ACL定义完成后，必须在接口上调用方可执行;调用时一定注意方向;一个接口的一个方向上只能调用一张表;
[r2]interface GigabitEthernet 0/0/1
[r2-GigabitEthernetO/O/1]traffic-filter ?
inbound Apply ACL to the inbound direction of the interface     //进
outbound Apply ACL to the outbound direction of the interface   //出
[r2-GigabitEthernetO/0/1]traffic-filter outbound acl 2000

【2】扩展

--由于扩展ACL源、目ip地址均关注,故调用时尽量靠近源;尽早处理流量

[r1]acl 3000    扩展列表编号3000-3999
[r1-acl-adv-3000]rule deny ip source 192.168.1.3 0.0.0.0 destination 192.168.3.2 0.0.0.0
                                    源iP地址                   目标ip
源、目io.地址位置，使用通配符0标记一个主机，或使用反1标记段，或使用any均可
[r1]interface GigabitEthernet 0/0/1
[r1-GigabitEthernetO/0/1]traffic-filter inbound acl 3000

【3】使用扩展列表，同时关注目标端口号

目标端口号:服务端使用注明端口来确定具体的服务;

ICMPV4 -- internet控制管理协议-- ping 协议号1

Telnet --远程登录明文（不加密)基于tcp，目标端口23;

条件:

1、被登录设备与登录设备网络可达 2、被登录设备进行了telnet服务配置

[r1]aaa
[r1-aaa]local-user panxi privilege level 15 password cipher 123456
[r1-aaa]local-user panxi service-type telnet
    创建名为panxi的账号，权限最大，密码123456,该账号仅用于teInet远程登录
[r1]user-interface vty 0 4      5个人同时登录，一个在敲，宁一个可以看到
[r1-ui-vty0-4]authentication-mode aaa   在vty线上开启认证
​
[r1]acl 3001
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 192.168.1.1 0 destination-port eq 23
        拒绝192.168.1.10对192.168.1.1访问时，传输层协议为 tcp，且目标端口号为23;
[r1]interface GigabitEthernet 0/0/1
[r1-GigabitEthernetO/0/1]traffic-filter inbound acl 3001    
​
[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 O
仅拒绝192.168.1.10 对192.168.1.1 的ICMP访问

NAT

IPV4地址中，存在私有与公有IP地址的区别:

公有: 具有全球唯一性，可以在互联网通讯，需要付费使用

私有: 具有本地唯一性，不能在互联网通讯，无需付费使用

私有ip地址: 10.0.0.0/8 172.16.0.0/16-172.31.0.0/16 192.168.0.0/24-192.168.255.0/24

NAT网络地址转换

边界路由器上---连接外网的公有ip地址所在接口配置，对进、出的流量进入源或目标ip地址的修改;

一对一 一对多 对多对 端口映射

配置

一对多: 多个私有ip地址对应同一个公有ip地址 PAT端口地址转换

先使用ACL定义可以被转换的私有ip地址范围
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[r2]int g0/0/2  公网所在接口; acl2000列表中关注的私有ip地址，通过该接口转出时，其源ip地址修改为该接口公有ip
[r2-GigabitEthernetO/0/2]nat outbound 2000

一对一

连接公网的接口配置
[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.10
                                            公有              私有

端口映射

[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
Warning:The port 80 is well-known port. lf you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
外部访问该接口 ip-12.1.1.1且目标端口号为80时，将被修改为192.168.1.10目标端口80
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8888 inside 192.168.1.20 80
外部访问该物理接口 ip-12.1.1.1且目标端口为8888时，将被修改为192.168.1.20目标端口80;

多对多

[r1]nat address-group 1 12.1.1.3 12.1.1.10  先定义公有ip地址范围
[r1]acl 2000    再定义私有ip地址的范围
[r1-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
最后在连接公网的接口上配置多对多
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1  （no-pat 多个一对一)
                                    私有          公有