hcia笔记

应用层：人机交互  抽象语言---编码

表示层：编码----二进制

会话层:提供会话号

传输层：tcp协议和udp协议

分段（受到MTU值的限制 在介质访问控制层） MTU：最大传输单元，默认1500字节

提供端口号 （范围0-65535）  1-1023 注明端口（固定的）            

1024-65535动态端口/高端口（随机性较强）

网络层：IP   IP地址--逻辑地址

数据链路层：介质访问控制层MAC+

物理层：

人类最早的网络-----对等网

网络增宽：

距离延长   RJ-45双绞线（网线）  最长100米（超过100米电信号减弱）

中继器（无读写功能）---物理增压 存在问题：波形失帧

节点增加（电脑增加）

直线型拓扑 （总线型拓扑）问题：安全问题 延迟问题 易断联

环形拓扑（不会断联）

树状拓扑   问题：层级越高的出现问题，整个系统都会出现问题               链路资源（传输过程中占用百分比）

波形型拓扑（全网型拓扑)  缺点：太贵

最优结构：星型拓扑

节点增加设备------HUB集线器（提供网线接口）

问题：安全问题  延时问题  地址问题  冲突问题

解决要求

地址： 唯一 格式相同 MAC地址（物理地址）：48位二进制构成以16进制显示 特点;出厂即烧录全球唯一

冲突：相似 电流互相吸引碰撞随后抵消  解决方案：CSMA/CD 载波侦听多路访问/冲突监测机制    本质： 排队

机制解析：

1. 首先使用监听功能，当发现有消息在传播时，停止自身消息发送，进行监听排队，随时准备进入下一阶段。
2. 当监听的消息发送完成时，立刻发送自身消息。
3. 当消息相撞时，会彼此之间 发送一个随机的阈值，因为是随机发送所以一定存在大小之分，到达阈值时再次发送自身消息，这样就规避了冲突。

再次提高要求：

1. 无限的传输距离
2. 没有冲突

形成单播（1对1传输）

 广播（1对多传播）：在一个泛洪区域内，迫使一个区域泛洪  

  广播域=泛洪区域

                       广播行为不等于泛洪行为

                                 

网桥-----交换机（端口密度提升）具备读写功能-----工作在介质访问控制层

速录公式：约等于（带宽/8） 85%

交换机的工作原理：

1. 当数据帧进入交换机之后，交换机会先查看数据中的源MAC地址，之后将该数据的进入接口与该MAC地址相互映射带本地的MAC地址表中；再查看数据帧中的目标MAC地址，基于目标MAC地址查询本地MAC地址表，若存在记录则按照记录进行单播。
2. 若不存在记录，则之间洪泛（泛洪）该数据

泛洪：向除了进入接口以外的所有接口全部发送（向所有人发送）

MAC地址表存在老化时间：300s

广播风暴：设备过多进行洪泛易形成

泛洪范围越大，延时越高---于是生产了----路由器（增加车间--网络层）-----网络层

IPV4 ：32位二进制构成，以点分十进制标识。存在网络位和主机位的区分，网络位用于标定所在范围，主机位用于显示在范围内的身份。为了方便人看，故采取8位一分的方式。

0  00000000

1  00000001

2  00000010

3  00000011

4  00000100

5  00000101   通过不断地+1  最终得出一个次方轴

00000000  0

00000001  1

00000010  2

00000100  4

00001000  8

00010000  16

00100000  32

01000000  64

10000000  128

例：192.168.1.0     11000000.10101000.00000001.00000000

    

子网掩码（最大只能是 255.255.255.255）

        定义：必须是连续的1和连续的0构成，连续的1对应网络位，连续的0对应主机位

        192.168.1.1/24--------/24——网络号

ARP协议（地址解析）：通过一种地址找到另一种地址

ARP'l老化时间：180S

免费ARP（源地址源MAC为自己 ，目标地址目标MAC为自己）：查看是否有逻辑冲突

网关：路由器的两边接口   网关的IP跟她所一样在广播域

 IPV6：128位二进制构成     冒分十六进制显示

D类为组播地址------只能作为目标IP 使用

E类地址-------

基于IP地址的第一组8位进行分类

A类：1-126  前八位为网络位

B类：128-191 前16 位为网络位

C类：192-223 前24位为网络位

D类：224-255 部分网络位主机位

E类：240-255

特殊地址

• 以127开头的为环回地址（排错）  127.0.0.1——127.255.255.255    能ping通  网卡，硬件问题   不能ping通   重装系统
• 255.255.255.255  受限广播地址（受路由器限制）
• 主机位全0   代表一个网段  不是单播地址（不能配置IP）
• 主机位全1    不是单播地址（不能配置IP）  直接广播地址
• 0.0.0.0   代表没有地址，也代表所有地址
• 169.254.0.0/16   本地链路地址  自动私有地址

VLSM  可边长子网掩码-------子网划分

取相同位 去不同位

172.16.33.0/24      172.16.00100001.00000000

172.16.44.0/24      172.16.00101100.00000000

172.16.55.0/24      172.16.00110111.00000000

172.16.63.0/24      172.16.00111111.00000000

路由器的工作原理：

1. 若PC1试图ping通pc2，在已知IP地址的情况下，会优先进行子网掩码的判断，若在同一个广播域内，则广播发送一个ARP请求包，获取对方的MAC地址，随后则可以进行单播通讯，若获取不到则放弃通讯。
2. 若pc1试图 ping通pc3，在已知IP地址的情况下，会优先进行子网掩码的判断，若不在一个广播域，则封装目标MAC地址为自已的网关，发送至网关处，随后路由器根据目标IP查询本地路由表，若不存在记录则直接放弃该数据包，若存在记录，则按照记录发至该网段的网关处，随后，网关通过ARP找到目标的MAC地址，随后单播即可

数据链路层：介质访问控制层MAC+逻辑链路层LLC

会话层：

TCP/IP协议簇

PDU协议数据单元

应用层：数据报文4

传输层：数据段

网络层：数据包

数据链路层：数据帧

物理层：比特流

TTL值(生存周期）： 每经过一台路由器  TTL值减少1

               初始值最大255  推荐64  常见128

以太网Ⅱ型帧

FCS  校验he

封装和解封装

S 

 

HTTP协议（超文本传输协议）-----采用TCP80端口----提供网页浏览

HTTPS协议（安全传输协议）-------采用TCP443端口----给网页加密

FTP协议（文件传输协议）------采用TCP20/21端口

TFTP协议（简单文件传输协议）---采用UDP69端口

Telnet（远程登录协议）----采用TCP23端口

SSH---TCP----22

DNS（域名解析协议）----UDP/TCP

DHCP（动态主机配置协议）-----UDP67/68端口

传输层协议： TCP      UDP

 TCP----传输控制协议（面向连接的可靠协议）

       在完成传输层的基本工作的同时还需要保证数据的完整性和可靠性

面向连接-----三次握手及四次挥手  

建立端到端的虚链路

三次握手

SYN：发起一次链接，并告知自身状态

ACK：表示确认  FIN：断开连接

特殊情况 ：   RST：重连   TCP:严重错误且重连

四次挥手

可靠性----4种可靠性机制------确认 重传 排序 流控（窗口滑动机制）

第二天

DHCP

开启DHCP服务  创建地址池   调用全局服务

dhcp  enable  开启DHCP服务

Ip  pool  name  创建地址池，放IP地址

network  192.168.1.0  mask 255.255.255.0或者24  把1.0网段的IP都放入地址池中

getway-list192.168.1.1  写入网关

dns-list 114.114.114.114    写入DNS

dhcp select global  在该处调用DHCP全局服务

ipconfig   

display ip pool 查询地址池

Route-static   

路由黑洞：再汇总中若包含网络中不存在的网段时，可能使数据包有去无回，造成链路资源的浪费（ 合理的子网划分可以尽量减少路由黑洞）

缺省路由： 0.0.0.0（即代表无地址又代表所有地址）   

定义：一条不限定目标的路由条目，查表时，若本地路由条目均不匹配，则直接匹配缺省路由。

特征：一旦缺省路由与黑洞路由相遇，就一定会形成路由环路

空接口路由：在黑洞路由器上，配置一条到达汇总网段并指向空接口的路由

空接口--null 0，路由器的一个虚拟接口，如果一条路由被指向null0接口，则代表将该流量丢弃

          路由表匹配原则:精神匹配原则/最长匹配原则（网络为位越长，主机位越短，掩码越长，越精确）

动态路由  

静态路由协议缺点：1.配置量大  2.不能根据拓扑的变化而进行实时收敛

动态路由协议的优点：可以根据拓扑的变化而实时更新

动态路由协议的缺点：1.额外占用链路资源2.安全风险3.选路错误的风险  

动态路由协议的分类：

1. 基于AS进行分类------ -IGP内部网关协议  EGP外部网关协议  

AS：自治系统 标准编号0-65535 其中1-64511公有 64512-65535私有

IGP：RIP  OSPF  EIGRP  ISIS

EGP：BGP   

IGP协议的分类：

1. 基于更新时是否携带子网掩码  
2. 基于工作特点进行分类  

①DV距离矢量型协议  RIP  EIGRP  邻居间分享路由表；以跳数作为开销    算法：贝尔曼福特算法   

②LS链路状态型协议   OSPF  ISIS ；邻居间共享拓扑信息，再由本地自己计算生成路由条目   算法：SPF  

RIP：路由信息协议  距离矢量型协议  基于UDP520号端口   使用跳数作为开销  存在V1 V2 NG（使用于ipv6） 三个版本

V1版本于V2版本的区别

①V1版本为有类别路由协议---不携带子网掩码  V2版本为无类别路由协议---更新时携带子网掩码   

②V1是广播更新255.255.255.255   V2是组播更新224.0.0.9  

③ V1不支持手工认证  V2支持手工认证（通讯会被加密，增加安全性）

动态路由

静态路由协议缺点：1.配置量大  2.不能根据拓扑的变化而进行 实时收敛

动态路由协议的优点：可以根据拓扑的变化实时更新

动态路由协议的缺点：1.额外占用链路资源  2.安全风险(能够被人为修改） 3.选路错误的风险

动态路由协议的分类：

1. 基于AS进行的分类----IGP内部网关协议  EGP外部网关协议

AS：自治系统 标准编号0-65535  其中1-64511公有  64512-65535私有

IGP：RIP OSPF  EIGRP  ISIS

EGP: BGP

IGP协议的分类：

1. 基于更新时是否携带子网掩码
2. 基于工作特点进行分类——（1）Dv距离矢量型协议  RIP EIGRP  邻居间共享路由表     

                             以跳数（经过的路由器台数）作为开销 算法：贝尔曼福特算法

                             

1. LS链路状态协议 OSPF（几乎无缺点）   ISIS ；邻居间共享拓扑信息，再由本地自己计算生成路由条目 算法:SPF

RIP：路由信息协议  距离矢量型协议 基于UDP520号端口 使用跳数作为开销 存在V1V2 NG（适用于ipv6 )三个版本 使用跳数作为开销，存在周期更新和触发更新

周期更新的意义：1.保活（每30秒触发一次，一共触发6次）

2.没有确认机制

V1版本与v2版本的区别

1. v1版本位有类别路由协议--不携带子网掩码 v2版本位无类别路由协议--更新时携带子网掩码
2. v1时广播更新255.255.255..255   v2是组播更新224.0.0.9
3. V1不支持手工认证         v2支持手工认证（通讯会被加密，增加安全性）

RIP的破坏机制

1. 水平分割----从此口入不从此口出（仅能够从直线型拓扑中避免环路，其主要作用是控制重复更新）
2. 最大跳数  15跳（超过15跳，数据包死亡）
3. 同样的数据包跳数一直增加就会触发更新：毒性（16跳） 逆转水平分割（从此口入从此口出）
4. 抑制计时器

【R1】rip 1启动时需要定义进程号 仅具有本地意义

【R1-rip-1]Version 1 选择v1 版本

宣告：rip 只能进行主类的宣告

1. 激活接口---收发rip 信息
2. 该接口的信息可以共享给邻居

[R1-rip -1]network 1.0.0.0

[R1-rip -1]network 12.0.0.0

进入v2 版本

[R1-rip -1]version 2

[R1-rip -1]undo  summary 关闭自动汇总

Rip 的扩展配置

1. Rip V2的手工汇总

手工汇总--在更新的源头设备，所有更新出发的接口上进行汇总配置即可

[R1]interface g0/0/0  从哪出发从哪汇总

[R1]

1. RIP V2 的手工认证：在两台运行RIP协议的路由器进行配置，让两台邻居设备发出的数据中携带身份核实的密匙

1. 被动接口--仅接收不发送路由协议信息，仅限于连接用户的PC 端，不得用于路由器之间，否则将导致无法正常使用
2. 加快收敛

30s更新  180s失效 180s抑制  300s刷新

1. 缺省路由---在边界路由器上进行RIP的缺省配置后，该设备将向内部运行的所有设备发送一条指向该设备的缺省更新，使得内部所有运行的RIP 协议的设备自动生成缺省路由，下一跳均指向边界路由器。边界路由器自身通往外网的路径需要静态

OSPF：开方式最短路径优先协议

无类别链路状态IGP

1. 距离矢量型协议：运行距离矢量型协议的路由器周期性的泛洪自己的路由表，通过路由的交互，每台路由器从相邻的路由器学习到路由，并且加载进自己的路由表中；对应网路中的所有路由器而言，并不清楚网络的结构，只是简单的知道通完某个目的地有多远在哪儿，这既是距离矢量型协议的本质。
2. 链路状态型协议：与距离矢量型不同，链路状态型协议通告的是链路状态信息，而不是路由表。运行链路状态协议的路由器之间会首先建立一个临时的邻居关系，然后彼此之间开始交互LSA（链路状态通告），路由器将收到的LSA信息存储于本地的LSDB（链路状态数据库），路由器通过同步后的LSDB便可以掌握全网的拓扑结构。最后，由本地算法算出到达各个节点的最优路劲，加载于本地路由表中。

特征：

支持等开销的负载均衡

基于组播进行更新 224.0.05  224.0.0.6

支持触发更新：每30min周期更新一次（相当于体检）  10s一次hello包

需要结构化的部署--区域划分（相同区域传拓扑，不同区域传路由） 地址规划

区域划分的规则：

1. 星型结构  骨干区域为0区，大于0为非骨干区域，所有非骨干区域必须接入到骨干区域上（只能有一个骨干区域）
2. ABR---域间路由器---两个或多个区域互联时，必须存在同时工作在两个/两个区域之间的路由器

Router-ID(路由器标识符），用于在一个OSPF 域中唯一的标识一台设备  RID 的设定可以通过手工定义或系统自动生成的方式---（一定要手工配置），如果让系统自动生成---优先配置设备环回的最大数值，没有环回，则使用物理接口最大数值

使用cost值作为度量值cost=参考带宽/接口带宽   默认参考带宽为100M；整段路径的cost之和越小越佳。

若接口带宽大于参考带宽，则度量值默认为1，所有在接口带宽大于参考带宽的网络中，可以认为的修改参考带宽。

• OSPF的数据包类型

1. hello包：用于邻居的发现 关系济南里和周期存活
2. DBD/DD包（数据库描述包）：用于携带本地的数据库目录
3. LSR包
4. LSU包
5. LSACK包

• OSPF的状态机

A

• OSPF 的工作过程

启动配置完成后，本地组播224.0.0.5发送hello包

Hello包将携带本地RID值，及本地已知所有邻居的RID值

若接收到来自对端的HELLO包中存在本端的RID则视为认识，邻居关系建立，并生成邻居表

邻居关系建立后，条件匹配，匹配失败则永远停留于邻居关系，仅hello包保活即可。

若条件匹配成功，则表明可以建立邻接关系

先试用不携带数据库目录的DD包进行主从选举，RID大者为优，优先共享数据库目录。

最后基于本地的LSDB查看对端的DD包得出自己所需的LSA信息，通过LSR包去要 LSU包区给 LSACK包区确认，最终同步LSDB

之后本地启用SPF算法，基于本地的LSDB生成有向图，在计算出最短路径树，在基于树形结构算出本地到达目标位置的最短路径随后加载于本地路由表中，

收敛完成后，HELLO包周期保活 每30min周期更新一次

30min的周期更新：每30min邻接关系之间进行DD包的对比，若一直则继续保活，若不一致则重新收敛。

Hello time 10s  dead time 40s  时间到了就会删除邻居信息  

OSPF的基础配置  

[R1]ospf 1 router-id 1.1.1.1   创建ospf进程 进程号为1  RID为1.1.1.1

[R1-ospf-1]area 0 进入0区  

[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

[R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255

反掩码    

[R2]display  ospf peer brief   查看邻居表

[R2]display  ospf lsdb   查看数据库表  

注意：一旦修改参考带宽，全网设备均需修改

Ospf的扩展配置  

①从邻居关系建立成为邻接关系的条件  

网络类型 ----

1. 点到点的网络：在一个网段内仅支持存在两个节点  
2. MA：多路访问---在一个网段内支持存在的节点不限

OSPF在点到点的网络类型中所有邻居将直接成为邻接关系

在MA的网络类型中，若所有的设备间均为邻接关系将会产生大量的重复更新，故进行DR/BDR的选举，所有非DR/BDR设备之间将维持邻居关系。

选举规则：

①先比较参选设备的接口的优先级，默认1；范围0-255，数值大为优  

②若参选接口的优先级相同，比较参选设备的RID，数值大为优。

DR/BDR是非抢占性的，故所需要网段内进行重新选举，需要重启该网段内的所有参选设备的OSPF进程；若参选接口优先级为0，则默认放弃参选，一个网段内至少需要存在一台DR设备。

<R1>reset ospf process  重启ospf进程  

手工认证

[R2-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 666666                                  模式  编号      密码   

手工汇总------区域汇总；在ABR（域间路由器）上将A区域的路由汇总后共享到B区域。

  [R2-ospf-1-area-0.0.0.0]abr-summary 1.1.0.0 255.255.252.0

被动接口---沉默借口

[R1-ospf-1]silent-interface  g 0/0/1  

加快收敛----修改计时器

修改一台设备的某个接口的hellotime后，该接口的deadtime将自动关闭匹配。  邻居间直连接口的hellotime和deadtime拖不一致，将不能建立邻居关系。 不建议修改的过小  不建议修改  

缺省路由  

[R3-ospf-1]default-route-advertise always  强制下发缺省路由

VLAN ：虚拟局域网   

LAN局域网  MAN城域网  WAN广域网   

VLAN  lan=广播域   

在同一个广播域之下，广播消息会传达给不应当收到消息的人

VLAN ：虚拟局域网 -----交换机和路由器协同工作后，将原先的一个广播域逻辑上划分为了多个广播域

VID--VLAN ID   由12为二进制构成 范围 0-4095  0和4095为保留值，

[sw1]vlan batch 2 to 6   批量创建vlan

将接口划入VLAN

一：基于端口的VLAN     物理/一层VLAN  

二：基于MAC的VLAN   

三：基于协议的VLAN  

[sw1]display  mac-address   查看MAC地址表

交换机加入vid的观念之后 交换机的转发过程：交换机会先记录源数据帧中的源MAC地址与进入接口的映射关系，并且一同查看其VID，随后查看目标MAC地址是否在MAC地址表中存在记录，若存在记录，将比对目标MAC地址对应接口的VID和源MAC地址对应接口的VID是否相同，若相同则直接单播，若不同，则进行泛洪（仅在源MAC地址对应接口的VID的范围内的所有接口进行发送）

802.1Q标准   untagged帧=没有标签的802.1q帧

Tagged帧=打上标签的802.1q帧  

我们把交换机和PC端之间的链路称之为ACCESS链路，AEECSS链路中只能通过untagged帧，并且这些帧只能属于一个特定的VLAN。 我们把交换机和交换机/路由器之间的链路称之为trunk链路（干道），trunk链路中运行通过tagged帧，并且这些帧可以属于多个vlan。

[sw1-GigabitEthernet0/0/1]port link-type access   定义该接口下链路类型为access链路

[sw1-GigabitEthernet0/0/1]port default vlan 2 定义该接口属于vlan2

[sw1-GigabitEthernet0/0/5]port link-type trunk   定义该接口下链路类型为trunk链路

[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan all  允许该trunk链路所通过的vlan为所有

[R26]interface g 0/0/0.1  进入g0/0/0这个物理接口的子接口

路由器的子接口---虚拟接口---将一个路由器的一个物理接口逻辑上切分为多个虚拟子接口

[R26-GigabitEthernet0/0/0.1]dot1q termination vid 2  让该子接口执行802.1q标准，同时定义该子接口处为vid--vlan2的网关

[R26-GigabitEthernet0/0/0.1]arp broadcast enable   开启该子接口的arp广播

ACL：访问控制列表  

1访问控制----在路由器的入或者出的接口上，匹配流量，之后产生动作---允许或拒绝   

1. 定义感兴趣流量-----帮助其他软件抓流量  

匹配规则：

至上而下，逐一匹配，上调匹配按照上条执行，不在查看下条。在华为体系中末尾隐含允许所有，在思科体系中，末尾隐含拒绝所有。

分类：

标准---仅关注数据包中的源IP地址

扩展---关注数据包中的源 目标IP地址  协议号 端口号

标准ACL中，由于标准ACL仅关注数据包中的源IP地址，故越靠近目标越好，可以尽可能的避免误杀。

2000-2999  标准           3000-3999 扩展  

注意：一个编码是一张规则，一张规则可以容纳大量具体的规则

 [R2]acl 2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

ACL在地址匹配时，会使用通配符

255.255.255.0   0.0.0.255     他可以进行0 1 的穿插

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上调用acl2000  

[R2-acl-basic-2000]rule permit source any   规定 允许  所有IP通过   

[R2]ACL name classroomA

扩展ACL

关注数据包中的源IP以及目标IP

由于扩展ACL可以对数据流量进行精确分析，故越靠近源越好。

[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2  0.0.0.0  

在关注源/目标IP地址的同时，在关注目标端口号

Telnet---远程登录   基于TCP23号端口工作  

条件：1.登录设备与被登陆设备之间必须可达

1. 被登陆设备必须开启telnet设定

[R2]aaa 进入aaa服务

[R2-aaa]local-user ABC privilege level 15 password cipher 123456

[R2-aaa]local-user ABC service-type telnet  

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode aaa

[R1-acl-adv-3000]rule  deny tcp source 192.168.4.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

规定  拒绝 tcp行为中的  源192.168.4.1 向目标 192.168.2.2 的 端口号为23的行为  

[R1-acl-adv-3000]rule 7 deny icmp source 192.168.4.1 0.0.0.0 destination 192.168.3.1 0.0.0.0

规则7 拒绝 源IP 192.168.4.1 向 目标IP 192.168.3.1 的ICMP行为