HCIA笔记总结_hcia资料

HCIA笔记总结

网络初级课----HCIA

华为认证的ICT工程师

网络就是通过一些特殊的通道把分布在不同的物品连接起来，从而实现信息的传输和共享。

计算机网络

计算机网络

OSI七层模型

DHCP协议

静态路由

RIP协议

OSPF协议

vlan

ACL

NAT

计算机

1946诞生，

计算机的功能

1.应用层----将自然语言—>编码

2.表示层----将编码—>二进制数

3.介质访问控制层----控制硬件，比如将二进制转化为电流输出

4.物理层----CPU计算，电流输入输出

对等网

徐照宇 2023.5.4

网络扩大方案

增大距离

1.信号失真----传输线缆----仅能减小失真，不能完全避免失真现象

2.信号衰减----中继器----仅能延长5倍传输距离，现今已被淘汰

增加节点

节点的连接方式----网络拓补结构

1.总线型----由一条多芯的网线向四周延伸，连接各个节点

优点----信道利用率高，结构简单，成本低

缺点----同一时刻仅允许两个节点进行通讯

2.环形

优点----增加和删除设备操作简单

缺点----当某一节点故障时，会影响全网，导致整张网络瘫痪

3.星型

优点----结构简单、连接方便，扩展性强

缺点----信道利用率低，对中央节点要求高，同时刻仅允许两个节点通讯（以后可解决）

4.全连接型（网络结构）

优点----从节点到节点由多条路径可以选择，稳定

缺点----结构复杂，成本高

集线器—HUB(濒临淘汰)

1.地址问题----MAC地址----48位二进制组成

2.延时问题----因为产生大量垃圾信息，增加了信息延时

3.安全问题----A节点给B节点发送信息时，别的节点监听到了

4.冲突地址----节点A给节点B发消息，同时节点B也给节点C发消息，两个信息在集线器相遇，相互抵消

CSMA/CD-----载波侦听多路访问/冲突检测机制(先听后发、边听边发、冲突停发、随机延迟后重发)

该机制仅减少了冲突的次数，没有完全避免冲突

冲突域---->连接在同一根物理线路上所有工作站的集合

网络扩大需求

1.网络的传输距离无限制

2.完全没有冲突

3.实现数据单播传输

网桥----将物理信号转换为二进制数据，并将数据存储在设备内存中，然后重新生成新的物理信号进行传输

交换机—网桥的升级版

二层设备，可以处理二进制数据

交换机具备识别MAC地址的功能，并且根据识别的内容，会生成一个表项，为MAC地址表。交换机基于MAC地址表进行数据转发*

交换机工作原理

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HFHBdjNm-1684149947804)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230405215221726.png)]

PC1给PC3发送信息，此时源MAC=PC1,目的MAC=PC3

当数据来到交换机时，交换机会开启MAC地址自学功能，将源MAC地址与接受到该数据的端口的关系记录在MAC地址表中

然后根据目的MAC地址进行查询转发，若MAC地址表中存在该目的MAC地址，则直接单播转发，若不存在，则进行洪泛操作（除了流量的入接口外，所有接口复制转发一次流量）

MAC地址表并不是永久存在，存在300s的老化时间，这样保证了交换机中MAC的地址表不会过于庞大从而影响到数据的转发速率

广播域----一个数据包洪泛的范围

路由器

两大功能：

隔离广播域----路由器的一个接口就一个独立的广播域

转发数据----依靠路由表进行
1
2
3

同广播域通讯----依靠交换机进行

跨广播域通讯----借助路由器进行

设备通过IP地址来判断同广播域还是跨广播域通讯

IP地址—逻辑地址

IPv4地址----32位二进制组成，点分十进制

IPv6地址----128位二进制，冒号分十六进制

192.168.1.1----11000000.10101000.00000001.00000001

IP地址组成==网络位（该IP所在的网段）+主机位（主机的编号）

网络位相同而主机位可以不同的，即为同一个广播域

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1woCb33E-1684149947806)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230405212255428.png)]

掩码

作用：用来判断IP地址的网络位是多少

掩码由32位二进制组成，使用点分十进制表示，是连续的1+连续的0.掩码中的1所对应的比特位即为网络位。

网关

ARP协议

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yW0KMVdN-1684149947806)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230412182928868.png)]

原理：根据已知的地址来获取与其对应的另一种地址

特殊的MAC地址：FFFF:FFFF:FFFF----代表广播地址(只能做目的地址)

工作过程：

发送者：

​ PC1构造一个广播帧（目的MAC地址全F），源IP和源MAC是PC1自己的，目的是PC3，该数据被发送给交换机后，交换机看到目的MAC地址全F，则直接进行洪泛操作，而不用在本地MAC地址表中查询----ARP请求报文 -----我是谁，我早192.168.1.00，请回复我

​ 若PC2接收到该请求报文，根据目的MAC地址，会认为该报文可能是找我的，故而拆除报文封装，查看IP地址内容，因目的IP地址非本地，故丢弃该请求报文

​ 若路由器接收到该请求报文，根据目的MAC地址，会认为该报文可能是找我的，故而拆除报文封装，查看IP地址内容，因目的IP地址为路由器本地IP 地址，故查看数据内容，并回复PC1

​ 路由器构造一个单播帧，源IP和源MAC均为路由器本地数值，目的为192.168.1.1，目的MAC为AAAA:AAAA:AAAA，该报文为ARP应答报文

​ 交换机接收到该报文后，成功获取到路由器的MAC地址，并将该MAC地址记录在本地的ARP缓存表中，进而构造访问PC3的数据包

ARP缓存表----存在老化时间----180s

ARP分类

正向ARP-----通过IP 地址获取MAC地址----网络中最常见

反向ARP-----通过MAC地址获取IP地址

免费(无故)ARP----自我介绍、冲突检测

代理ARP----由网关设备代替主机查询MAC地址

OSI七层参考模型—开放式系统互联模型

ISO----国际标准化组织

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DesfTSYt-1684149947807)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230410200026902.png)]

OSI七层参考模型

应用层------接受用户数据，人机交互的接口，将自然语言—>编码

表示层------将逻辑语言转化为机器语言

会话层------针对传输的每一种数据建立一条连接(防止数据间相互干扰)

上三层----控制层面

下四层----数据层面

传输层------区分流量，定义数据传输方式

网络层------通过IP 地址进行逻辑寻址

数据链路层----介质访问控制—MAC；逻辑链路控制层-----LLC

物理层-----定义一些物理特性，传播比特流

报文封装与解封装

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-H9lSTKkt-1684149947808)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230410201053250.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XWjkbucH-1684149947808)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230410201434249.png)]

PDU-----协议数据单元

上三次----数据

传输层----数据段

网络层----数据包

数据链路层----数据帧

物理层----比特流

TCP/IP协议栈

物理层

传输介质

• 同轴电缆

  • 传输速率----10Mbps

  • 粗同轴电缆—500米

  • 细同轴电缆—185米

• 双绞线

  • 线序
    • 568A
    • 绿白、绿、橙白、蓝、蓝白、橙、棕白、棕
    • 568B—直连
    • 橙白、橙、绿白、蓝、蓝白、绿、棕白、棕

  [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-K8aOypTe-1684149947809)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230410202957412.png)]

• 光纤

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vDxxi9QM-1684149947810)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230410204450408.png)]

双工模式

• 单工----设备仅支持发送数据或接收数据
• 半双工----设备可以发送和接收数据，但是不能同时进行----对讲机
• 全双工----设备可以发送和接收数据，并可以同时进行----电话

同一链路连接的设备双工模式必须相同。

数据链路层

LAN—局域网，现今局域网使用的数据链路层协议是以太网协议

以太网当中，存在最重要的通讯基础是MAC地址----前24位(OUI–厂商ID)

数据帧

Ethernet Ⅱ帧格式

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AAyUkddP-1684149947810)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230410210706519.png)]

帧的发送方式

• 单播帧----一对一发送数据
• 组播帧----在特定情况下使用，目的为一组设备
• 广播帧----目的MAC全1

网络层

有类分址

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LTePfPWV-1684149947811)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230410212430340.png)]

有类地址分类按照IP地址的前八位数字特征进行分类，共分出五类，其中A、B、C类为单播地址，掩码分别为8、16、24位

特殊地址

• 无效地址-----0.x.x.x------0.0.0.0（1、代表没有IP地址；2、代表所有网络）
• 本地测试地址----127.x.x.x
• 受限广播地址----255.255.255.255
• 主机位全0----192.168.1.0/24—代表一个网段
• 主机位全1----192.168.1.255/25----定向广播地址
• 169.254.0.0/16

网络层

私有地址

• A类：10.0.0.0—10.255.255.255

  • 10.0.0.0/8

• B类：172.16.0.0—172.31.255.255

  • ​ 172.16.0.0/16、172.17.0.0/16、172.18.0.0/16……172.31.0.0/16共16个

• C类：192.168.0.0—192.168.255.255

  • ​ 共256个地址段，192.168.1.0/24

公有地址

除了私有地址和特殊地址以外所有的单播地址

IP地址

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TOxCfTQH-1684149947811)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230412190002023.png)]

• 生存时间—TTL(Time to live)—最大值255

  • 单位为路由器个数，数据包每被一个路由器进行转发，则TTL值-1
    1

IP分片

​ 以太网当中，规定最大传输在的一个数据包的大小为1500字节。该值被称为MTU—最大传输单元。

• identification----标识
  • ​ 序号，用于标记数据包的先后顺序，方便后续接收方将数据进行恢复重组
• Flags----标志位—3bit
  • ​ 固定位第一位位0
  • ​ DF位----代表该报文是否分片，若为0则代表分片，若为1则代表未分片
  • ​ MF位----代表该报文是否为最后一片，，若为0则代表最后一片，若为1则代表后续还有其他报文
• Fragment----片偏移—8字节
  • 标识分片后的报文在原始报文中的相对位置

传输层给网路层发送一个5000字节大小的报文，该报文在网络层需要进行IP分片，问此时IP分片的数量以及分片后的报文的标识、标志位和片偏移为多少

传输层

端口号----作用就是标识进度

• 静态端口

  • 1-1023

• 动态端口----某些协议自动随机生成的端口号

  • 1024-65535

  • telnet----23
    
    ftp----20/21
    
    http---80
    
    https----443
    
    dns---53
    
    dhcp---67/68
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11

TCP协议----传输控制协议

一种面向连接的可靠性协议。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-otc4wxI5-1684149947812)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230412202315958.png)]

可靠性

确认机制----传输确认，每接收到一个数据段，都需要进行一次确认

重传机制----超时重传，当一个数据段中的某一个包丢失，会提示要求重新传输这个报文

排序机制----传输一个报文，可能会被分为多个数据包，并从不同路径传输，最终达到目的地顺序会被打乱，需要进行重新排序。----重新排序依靠TPC的序号字段

流控机制(滑动窗口机制)：通过调节窗口大小对流量进行控制

​ 窗口大小：指无需等待确认就可以连续发送的数据的最大量。

TCP为了保证自身的可靠性，具备重传机制，故不允许在网络层进行IP分片。而TCP会在传输层使用分段的方式将报文大小分割成满足网络层MTU数值的大小，以保证不会被网络层分片

MSS(最大传输段)===MTU-IP头部-TCP头部

PMTU----路径MTU发现协议

在IP头部中，DF字段设置为1，表示不能分片。
当接收方接收到一个不能分片的报文时，会将该报文丢弃，并回复一个ICMP报文(告诉发出者，数据不可达，且表面不可达原因)，同时携带上本地的MTU的值
发送方接收到该ICMP报文后，因为TCP的重传机制，会重新发送一个数据，此时该数据会
1
2
3

面向连接

• 三次握手
  • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nc8uR70M-1684149947813)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230414102433877.png)]
• 四次挥手
  • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pUHKmuu4-1684149947813)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230414102404020.png)]

UDP----用户数据报协议

• 非面向连接的不可靠传输协议

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-O60NRvtN-1684149947814)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230415095537504.png)]

TCP和UDP的区别

1.TCP是面向连接的，而UDP是面向无连接的

2.TCP是可靠性协议，而UDP是尽力而为的

3.TCP是可以进行流控以及拥塞控制而UDP不能

4.TCP可以进行数据分段，而UDP不进行

5.TCP消耗资源多，速度慢；UDP消耗资源少，速度快

VLSM技术----可变长子网掩码----子网划分

因为使用主类地址产生的预留IP地址太多，造成了IP地址浪费，所以单杀VLSM技术，消除IP地址浪费

实现方法：通过从主机位借位到网络位的方式，达到将一个大的网段划分位多个小的网段；借出的位称为子网位，决定了能划分的网段个数

192.168.1.0/24
11000000.10101000.00000001.00000000---IP地址
			网络位			 主机位
11111111.11111111.11111111.00000000---掩码信息

11000000.10101000.00000000/0		0000000/25----192.168.1.0/25
11000000.10101000.00000001/1		0000000/25----192.168.1.168/25


11000000.10101000.00000001.  000	00000/27----192/168.1.0/27
11000000.10101000.00000001.  001	00000/27----192/168.1.32/27
11000000.10101000.00000001.  010	00000/27----192/168.1.64/27
11000000.10101000.00000001.  011	00000/27----192/168.1.96/27
11000000.10101000.00000001.  100	00000/27----192/168.1.128/27
11000000.10101000.00000001.  101	00000/27----192/168.1.160/27
11000000.10101000.00000001.  110	00000/27----192/168.1.192/27
11000000.10101000.00000001.  111	00000/27----192/168.1.224/27
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

CIDR技术

将小的网段汇聚成大的网段

汇总方式：取相同位，去不同位

192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
192.168.0000 0001.00000000/24
192.168.0000 0010.00000000/24
192.168.0000 0011.00000000/24

192.168.0000 00		00.00000000/22----192.168.0.0/22----超网：汇总后的掩码信息<主类掩码

172.16.1.0/24
172.16.2.0/24
172.16.3.0/24

172.16.00000001.0/24
172.16.00000010.0/24
172.16.00000011.0/24

172.16.000000 00.0/22---172.16.0.0/22----子网汇总：汇总后的掩码信息>主类掩码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

10.1.1.0/24  10个网段  8个网段12个主机 2个网段42个主机

000001010.00000001.00000001.00000000/24
1
2
3

10.1.1.0/24 23
000001010.00000001.00000001.00000000/24
000001010.00000001.00000001.00000 000/29
000001010.00000001.00000001.00001 000/29
000001010.00000001.00000001.00010 000/29
000001010.00000001.00000001.00011 000/29
000001010.00000001.00000001.00100 000/29
000001010.00000001.00000001.00101 000/29
000001010.00000001.00000001.00110 000/29
000001010.00000001.00000001.00111 000/29
000001010.00000001.00000001.00000 000/29
000001010.00000001.00000001.00000 000/29
1
2
3
4
5
6
7
8
9
10
11
12

ICMP----网络层协议

在网络设备中传递各种差错，控制，查询等报文信息

用于收集各种网络信息，诊断和排除各种网络故障的协议

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TPiuv0Wl-1684149947814)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230415115037181.png)]

PING命令----用于检测网络连通性的工具

tracert----用于逐跳检测报文的转发路径

VRP----华为通用路由平台

VPR系统按功能将不同的命令注册于不同的试图

• ----用户视图
• [Huawei]----系统视图
• 其他视图

命令行使用

system-view ----从用户视图切换到系统视图

[Huawei]sysname HCIA ----修改系统名称

[HCIA]quit ----返回上一视图

[HCIA]undo sysname —undo

save —保存配置

reboot ----重启

支持不完整关键字输入

Tab键自动补齐关键字

Telnet

实现远程管理网络设备。基于TCP协议的23号端口的

C/S架构，客户端/服务端

Telnet协议是明文传输，故具有不安全性质。现今网络中，远程管理设备多使用的是Stelnet或SSH协议

实践

PC配置：
<Huawei>system-view
[Huawei]sysname PC
[PC]interface GigabitEthernet 0/0/0
[PC-GigabitEthernet0/0/0]ip address 192.168.1.1 24 ----配置IP地址及掩码信息
路由器配置：
<Huawei>system-view
[Router]sysname Telnet Server
[Telnet Server]interface GigabitEthernet 0/0/0
[Telnet Server-GigabitEthernet0/0/0]ip address 192.168.1.2 24
[Telnet Server]user-interface vty 0 4 ----开启用户接口空间
[Telnet Server-ui-vty0-4]authentication-mode aaa ----修改对该接口空间进入的用户的认
证默认为AAA
[Telnet Server-ui-vty0-4]quit
[Telnet Server]aaa
[Telnet Server-aaa]local-user huawei password cipher 123456 ----设置用户名和密码
[Telnet Server-aaa]local-user huawei privilege level 15 -----设置用户权限等级
[Telnet Server-aaa]local-user huawei service-type telnet ---规定用户访问使用的协议
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

	华为系统对命令分为不同级别，并且将用户也分为不同级别
命令等级：
参观及(0级)
监控级(1级)
配置级(2级)
管理级(3级)

用户等级：
0-3
0-15
1
2
3
4
5
6
7
8
9
10

DHCP----动态主机配置协议

基于UDP进行封装，端口号67/68(68号端口属于客户端，而67号端口属于服务端)

报文类型

• DHCP discover：客户端在网络中寻找DHCP服务器，使用的是广播文

• DHCP offer：服务端回复客户端的discover报文(该报文中携带了网络参数)。广/单

• DHCP request：客户端请求获取offer报文中的网络参数。广播

• DHCP ack：对request报文的确认。

• DHCP nak：对request的拒绝

• DHCP release：客户端发送给服务端，要求释放IP地址

• DHCP inform：当客户端获取到IP地址后，使用该报文获取其他网络参数(现在已经不使用了)

• DHCP decline：当客户端检测到IP冲突时，告知给服务器使用

  工作过程

  • 首先，PC会广播发送DHCP discover报文，Server在接收到这个广播包以后，先会选择一个未分配的IP地址，然后(单播或广播)发送一个DHCP offer不报文，该报文携带了网络参数给PC

  • 若网络中存在多个DHCP服务器，又因为discover报文是广播发送，故所有的DHCP服务器均会回复offer报文给PC段。此时，PC仅对接收到的第一个offer报文进行回复，其余均丢弃

  • PC再一次使用广播发送request报文向sever请求offer报文中携带的网络参数

• request报文有两重意义；1.向选择的服务端请求网络参数；2。告诉其余服务器，已经有了选择

• 服务器接收到request报文后，若目的为本地，则发送ACK报文回复；若目睹不为本地，则丢弃报文

  当存在两台PC同时请求地址，结果服务器给出的地址是同一个，这也就会导致后一个发送request报文的PC无法获取地址

• PC接收到ack报文后，可以使用该IP地址，但是同时PC会发送三次免费ARP来检测网络中是否有其他主机使用该IP地址

  • 如果网络中存在该IP地址，但是发送DHCP decline报文来通知服务器该IP冲突，并重新发送一个DHCP discover重新申请IP地址
  • 如果网络中不存在该IP地址，则直接使用该IP内容

DHCP租期

PC在申请到IP地址后，会启动下述三种计时器

• 租期更新计时器

  • 华为体系中，DHCP服务器下发给PC的IP地址默认可用时长为24小时。
  • 当该租期到达50%，PC会发送DHCP request单播报文给服务器要求续租，如果服务器回复ACK报文，则租期时间刷新为24小时；若服务器回复NAK报文，则PC立马放弃正在使用的IP地址，重新申请。若服务器无回复，则继续使用当前IP地址，且租期时间无变化

• 租期重绑计时器

  • 在网络中，可能会因为某些愿意导致服务端没有收到或者无法回复request报文，在这种情况下，当组曲重绑定计时器超时时，PC会重新发送广播DHCP discover报文，在网络上重新寻找DHCP服务器
    • 如果收到了回复，则刷新各类计时器，使用新的IP地址
    • 如果收到了拒绝，则PC立刻停止使用现有IP地址，然后重新申请IP地址

• 租期失效计时器

  • 如果PC在租约到期前都没有收到服务器响应，则PC立即停止使用该IP地址，然后向服务器发送DHCP release报文
  • PC主动放弃使用分配的IP地址，此时PC会将计时器设置为超时，并删除本地的IP地址，向服务端发送DHCP release报文，主动释放IP地址

  DHCP配置

  全局配置

  [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-A1CxJjhk-1684149947815)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230418180948531.png)]

[DHCP Server]interface GigabitEthernet 0/0/0

[DHCP Server-GigabitEthernet0/0/0]ip address 192.168.1.1 24

1、启动DHCP协议

[DHCP Server]dhcp enable

2、配置全局地址池

[DHCP Server]ip pool afhueqgafasfa121321----创建池塘

[DHCP Server-ip-pool-afhueqgafasfa121321]network 192.168.1.0 mask 24 —配置可分配的IP

地址网段

[DHCP Server-ip-pool-afhueqgafasfa121321]gateway-list 192.168.1.1 ----配置网关信息

[DHCP Server-ip-pool-afhueqgafasfa121321]dns-list 8.8.8.8 114.114.114.114 ----配置DNS

3、接口调用地址池

[DHCP Server]interface GigabitEthernet 0/0/0

[DHCP Server-GigabitEthernet0/0/0]dhcp select global

[DHCP Server-ip-pool-afhueqgafasfa121321]excluded-ip-address 192.168.1.100 —排除

192.168.1.100

[DHCP Server-ip-pool-afhueqgafasfa121321]excluded-ip-address 192.168.1.100 192.1

68.1.200 —排除192.168.1.100–192.168.1.200的所有IP地址

[DHCP Server-ip-pool-afhueqgafasfa121321]lease day 999 hour 0 minute 0 —修改租期时间

为999天0小时0分

接口地址池配置

[DHCP Server]dhcp enable

[DHCP Server]interface GigabitEthernet 0/0/0

[DHCP Server-GigabitEthernet0/0/0]dhcp select interface ----激活接口地址池

[DHCP Server-GigabitEthernet0/0/0]dhcp server dns-list 1.2.3.4 —配置接口地址池中的DNS

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NjQlVh2X-1684149947816)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230418181110571.png)]

sys

[Huawei]int g0/0/0

[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24

[Huawei-GigabitEthernet0/0/0]q

[Huawei]dhcp enable

[Huawei]int g0/0/0

[Huawei-GigabitEthernet0/0/0]dhcp select interface

dhcp server dns-list 192.168.1.254

[Huawei-GigabitEthernet0/0/0]int g0/0/1

[Huawei-GigabitEthernet0/0/1]ip pool a

[Huawei-ip-pool-a]network 1.1.1.0 mask 24

[Huawei-ip-pool-a]gateway-list 1.1.1.1

[Huawei-ip-pool-a]dns-list 8.8.8.8 114.114.114.114

[Huawei-ip-pool-a]q

[Huawei]interface GigabitEthernet 0/0/0

[Huawei-GigabitEthernet0/0/0]dhcp select global

静态路由

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CVXxJURg-1684149947816)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230423152749605.png)]

[r1]display ip routing-table ----查看本地全局路由表

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-65VnAxUe-1684149947817)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230423153228408.png)]

路由表匹配规则：最长掩码匹配规则。----路由器总是选择最精确，最优的路由项来进行数据转发

路由信息的来源：设备自动发现、手工配置、通过动态路由协议生成

​ 直连路由 静态路由 动态路由

直连路由

• 网络设备在启动之后，但设备的接口处于UP状态时，设备能够自己去发现去往与自己接口直连相连的网络的路由

• 直连路由产生的条件

  • 接口必须双UP
  • 必须配置IP地址

• 特征

  • 优先级----0
  • 开销值----0

[r1-GigabitEthernet0/0/2]shutdown ----关闭接口物理层面

[r1-GigabitEthernet0/0/2]undo shutdown ----打开接口

[r1]display ip interface brief -----查看接口IP对应表

路由的优先级

路由项的优先级越小，则代表路由项的优先度更高.0-255

静态路由基本配置

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3WoYchXH-1684149947817)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230419212229478.png)]

[r1]ip route-static 10.2.2.0 24 10.1.1.2 ----后续三个分别为目标网段号、目标网段掩码、下一跳

地址

下一跳地址写的是流量流经的下一台路由器的入接口IP地址

[r1]display ip routing-table protocol static —查看静态路由路由表

路由环路

解决思路：IP数据包中规定TTL字段，每经过一台路由器，TTL值减1，当TTL等于0时，路由器丢弃该数据包

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BAG6fMYU-1684149947818)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230419203837411.png)]

静态路由扩展配置

等价路由

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3rR879fO-1684149947818)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230424223803661.png)]

当路由器访问同一个目标网段时，具备多条开销相似的路由时，可以让流量拆分后延多条路径进行传输，达到叠加带宽的效果，减少单挑链路数据传输压力。------形成等价路由的条件：路由来源相同、开销值相同。

[r1]ip route-static 192.168.1.0 24 12.0.0.2

[r1]ip route-static 192.168.1.0 24 12.1.1.2

路由表中存在等价路由之后，前往该等价路由的目的网段的IP报文会被路由器通过所有有效接口转发，这种转发行为被称为负载分担或负载均衡

环回接口

路由器的虚拟接口，通常用于网络测试，使用环回接口模拟一个真实的用户网段。

[r2]interface LoopBack 0 ----创建环回接口，编号为0

[r2-LoopBack0]ip address 192.168.1.1 24 ----配置环回接口IP地址

手工汇总

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4qmfU1vw-1684149947819)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230424223958481.png)]

当路由器需要配置多条路由项时，可以选择将其进行子网汇总，减少配置量。减少路由表数量，降低CPU运算，提高转发效率

路由黑洞

在手工汇总时，可能会包含一些网络中实际不存在的网段，造成流量有去无回的现象，并且浪费设备与链路资源–

将流量丢弃的路由器被称为黑洞路由器

在子网划分和子网汇总时进行严格的合理规划

缺省路由

不限定目标的路由。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vmoIAFfK-1684149947820)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230424224109033.png)]

[r2]ip route-static 0.0.0.0 0 12.1.1.1 ----缺省路由0.0.0.0/0

缺省路由可以匹配所有流量信息

因为最长掩码匹配规则，所以只有当路由器中没有其他路由项匹配流量时，流量才会匹配上缺省路由

注意事项：每台路由器上仅存在一条缺省路由。且当一个网络中有多台设备需要配置缺省路由时，缺省路由必须延相同方向进行数据传输

空接口路由

空接口路由是解决环路的方式----黑洞路由器上存在缺省路由

解决思路：在存在黑洞的路由器上配置一条通往汇总网段的空接口路由

[r2]ip route-static 192.168.0.0 22 NULL 0------NULL 0是空接口

当配置空接口路由后，此时R1发来的去往192.168.0.0/24网段的路由就会匹配上空接口路由，而不是缺省路由，流量可以正常转发至空接口，最终提前结束环路

浮动静态路由

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6jG7knrr-1684149947820)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230424224314659.png)]

[r1]ip route-static 192.168.2.0 24 12.0.0.2

[r1]ip route-static 192.168.2.0 24 12.1.1.2 preference 61 ----修改优先级

[r1]display ip routing-table protocol static ----查看全局静态路由表

优先级越小，路由项的优先度越高，将10M带宽的链路优先级增大超过静态路由的默认优先级，可以实现浮动静态路由

一般路由的选择，先对比相同目标路由的优先级，选择具备优先级最小的路由项加入路由表。若存在

多条具备最小优先级的路由项，则对比各自的开销值，选择开销值最小的路由项成为加入的全局路由表

的最优路由。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j1DT15J1-1684149947821)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230424224521625.png)]

动态路由

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1PaaLHKu-1684149947821)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230424224538122.png)]

动态路由-----路由器自身根据网络中链路和节点的信息进行自动调整，根据算法自主生成路由项。适合大中型网络拓扑结构

静态路由----由网络管理员手工配置，配置内容繁琐，维护成本过高。仅适用于结构简单的小型网络

自治系统----AS

• 由单一的机构或组织所管理的一系列网络设备的集合----网络分块化，有利于网络管理、定责
• ASN----方便管理
  • 由16位二进制组成，取值范围1-65535
  • IANA----互联网数字分配机构
• AS内部使用----内部网关协议IGP
• AS之间使用----外部网关协议EGP

动态路由协议分类

• 按照范围分类
  • 内部网关协议IGP----RIP、OSPF、ISIS、EIGRP(思科)
  • 外部网关协议EGP
• IGP按特点分类
  • 距离矢量型----DV----共享路由表
    • RIP----路由信息协议
    • EIGRP----加强型内部网关路由协议
      • 链路状态型----LS----共享拓扑
      • ISIS----中间系统到中间系统
• IGP协议按是否携带真实掩码信息分类
  • 有类别路由协议----不传递真实网络掩码----RIPv1
  • 无类别路由协议----传递真实网络掩码

RIP-----路由信息协议

基本概念

版本

RIPv1----IPv4网络

RIPv2----IPv4网络

RIPNG----IPv6网络

属于标准的DV型路由协议----距离矢量型—通过共享路由表来获取全网路由信息。

RIP是基于UDP协议工作，端口号520。

RIP-----路由信息协议

基本概念

• 版本
  • RIPv1—IPv4
  • RIPv2----IPv4
  • RIPNG----IPv6
• 属于标准的DV型路由协议----距离矢量型----通过共享路由表来获取全网路由信息
• RIP是基于UDP协议工作，端口号520
• RIP使用跳数作为开销值Cost，最大跳数为15，16认为是路由无效
  • 当优先级相同时，多条路由信息中开销值越小的路由优先度越高
  • 开销值计算方法
    • 数据包中传递的开销值=本地开销值+1
• RIP存在周期更新机制----30S周期更新机制(使用应答报文)----保活，更新路由
• RIP存在触发更新

RIP算法----贝尔曼福特算法

• 当接收到数据包中含有本地路由表中没有的路由项时，则直接将未知路由信息加载到本地路由表
• 当接收到的数据包中含有本地路由表中已经具备的路由项，且下一跳地址相同。则将数据包中的路由项更新至本地路由表。
• 当接收到的数据包中含有本地路由表中已经具备的路由项，且下一跳地址不相同。比较开销值(COST)，若本地路由表中的开销值大，则将数据包中的路由项更新至本地路由表
• 当接收到的数据包中含有本地路由表中已经具备的路由项，且下一跳地址不相同。比较开销值(COST)，若本地路由表中的开销值小，则不更新

RIP的数据包

• 请求报文----在启动RIP进程后，用以获取邻居的路由信息
• 应答报文----携带了具体的路由信息，用来回答请求报文

RIP工作原理

• 初始化

  • RIP初始化时，会从每一个参与RIP工作的接口上发送请求数据报文.该请求数据包会向所有的启动了RIP协议的直连路由器请求一份完整的路由表。该请求数据包中的目的IP地址位224.0.0.9

    224.0.0.0只能将数据传给下一跳

• 接收请求

  • 启动了RIP协议的路由器在接收到请求数据包后，会将自己本地路由表中的所有路由信息加载到应答报文中，用以回复对端

• 接收到相应报文

  • 路由器接收并处理响应数据包，会对比本地路由信息与数据包中的路由信息，从而对本地路由表中的内容进行添加、删除、修改操作

• 常规路由的更新和定时器

  • 当路由收敛结束后，路由器会以30S一次的频率发送应答报文，路由器收到应答报文后，会设置一个计时器，该计时器超时，则代表该路由项失效。会将该路由项开销设置为16，并向外发送该路由四次，经过四次后，删除该路由

RIP的计时器

• 更新计时器
  • 每台启动了RIP协议的路由器都有一个属于自己的更新计时器
  • 计时器周期----30S
  • 是一个倒计时，每当数值为0时，就会向周围发送响应报文
  • 注意：当接收到请求报文时，必须立即发送响应报文
• 无效计时器
  • 每台路由器上的每一个路由表项都会有一个无效计时器
  • 计时器周期----为更新计时器的6倍—默认180S
  • 每当计时器时间为0，会认为该路由项已经无效，不可用。会将该路由项的开销值设置为16，并且向外进行传输，传输的目的是告诉其余路由器该网段不可达
  • 每次该路由条目更新时，该计时器刷新为180S
• 垃圾收集计时器
  • 当一个路由项被变为无效路由项(开销值被设置为16)，该路由不会被立即删除，而是会启动垃圾收集计时器。在该计时器为0前，该路由器在进行周期更新时，均会携带该路由信息进行更新；一旦计时器时间为0，则删除该路由项(包括该路由项所对应的无效计时器和垃圾收集计时器)
  • 垃圾收集计时器周期----更新计时器的4倍----默认120S
  • 如果垃圾收集计时器为0前的某一时刻，该路由项被更新为一条有效路由，则无效计时器被复位，垃圾收集计时器被删除

环路解决思路

• 最大跳数----最大15跳，限制环路

• 触发更新----当某一个路由器中的路由项发生改变时，不需要等待下一次周期更新到来，可以直接将发生改变的路由项发送

• 水平分割机制

  • 如果触发更新的数据包还未到达R3，R4接收到了R3发送来的周期更新报文，那么R4则会学习关于3.0的路由信息，最终形成环路
  • 水平分割原理
    • 如果有一个路由项从路由器的某个接口学习到，那么在周期更新时，将不会从该接口发出该路由项。
    • 从此口进，不能从此口出

• 毒性逆转

  • 带毒传输
  • 如果有一个路由项从路由器的某个接口学习到，那么在周期更新时，将从此口发出，但是cost值设置为16.

  水平分割与毒性逆转原理相同，但是做法相反，所以只能同时执行一个效果

• 华为默认开启水平分割

• 若水平分割和毒性逆转同时开启，按照毒性逆转来执行

基本配置

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Wy3q682f-1684149947822)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230503161922223.png)]

RIPv1----广播发送数据包

[r1]rip 1 ----启动RIP协议，配置进程号，进程号仅具有本地意义

[r1-rip-1]version 1 ----选择版本

[r1-rip-1]network 12.0.0.0-----宣告，RIP宣告路由时，必须使用主类网段宣告。

[r1-rip-1]network 192.168.1.0

[r1-rip-1]network 1.0.0.0

宣告

• 要求

  • 宣告所有直连网段
  • 必须按照主类宣告

• 目的

  • 激活接口----只有激活RIP的接口才能收发RIP的数据包
  • 发布路由----只有激活接口对应的网段路由信息才能被加载到应答报文中被发布给其他路由器

RIPv2

[r1]rip 1

[r1-rip-1]version 2

[r1-rip-1]undo summary -----关闭自动汇总功能，华为默认关闭

[r1-rip-1]network 1.0.0.0

[r1-rip-1]network 192.168.1.0

[r1-rip-1]network 12.0.0.0

RIPv1与RIPv2的区别

• 更新方式

  • RIPv1使用广播更新
  • RIPv2使用组播更新，组播地址224.0.0.9，0100-5e00-00xx

• 更新时是否携带掩码

  • RIPv1不携带真实掩码
  • RIPv2携带真实掩码

• RIPv2支持自动汇总功能(汇总时，直接汇总到主类)，RIPv1不支持

• RIPv2支持手工认证

[r1]display rip 1 database —查看RIP数据库

RIP扩展配置

• 手工汇总

  • [r1-GigabitEthernet0/0/1]rip summary-address 10.1.0.0 255.255.254.0
  • 汇总路由配置后，需要使用空接口进行防环操作，且RIP的手工汇总路由会抑制明细路由。

• 缺省路由

  • [r1-rip-1]default-route originate ----下放缺省路由
  • RIP的缺省路由为下放路由，本地配置路由器不会使用该路由信息，而只是告诉其他路由器添加一条缺省路由，下一跳为配置路由器。

• 静默接口

  • 配置了静默接口的接口无法主动发送RIP数据报文。可以接收RIP数据包。
  • 当静默接口接收到RIP数据包后，将转变为普通接口，开始发送RIP数据报文。
  • [r1-rip-1]silent-interface GigabitEthernet 0/0/0
  • 一般配置在与用户设备相连的接口

• 手工认证

  • 双方均需要配置
  • [r2-GigabitEthernet0/0/2]rip authentication-mode simple cipher 123456
  • 使用simple---->数据传输时直接携带真实密码
  • 使用MD5------->数据传输时携带哈希值

• 加速收敛

  • [r1-rip-1]timers rip 1 6 4 ----三个时间参数分别为更新计时器、无效计时器、垃圾收集计时

器，单位为秒，修改时倍数关系不变，且全网均需要修改。

RIP缺陷

• 选路不佳-----RIP基于跳数进行选路，不考虑带宽和网络延时问题

• 占用资源过多----30S周期更新产生大量广播或组播报文，占用链路资源

• 收敛速度慢

• 仅支持小型网络----RIP最多支持15跳

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8gEdLj67-1684149947823)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230503162515851.png)]

OSPF状态机

• down----关闭状态-----一旦启动了OSPF协议，则发出hello报文，该报文中携带了本地RID值，并进入下一个状态
• init----初始化状态-----收到的hello报文中携带有接收方本地的RID值，则进入下一个状态
• 2-way------双向通讯状态-----邻居关系建立的标志。

​ 条件匹配：匹配成功则进入下一个状态，匹配失败则停留在邻居关系。

• exstart-----预启动状态-----使用未携带信息的DBD报文进行主从关系选举，RID大的为主设备
• exchange-----准交换状态-----使用携带目录信息的DBD报文进行目录共享
• loading-----加载状态-----邻居间使用LSR/LSU/LSAck报文来获取完整的拓扑信息
• full-----转发状态-----拓扑交换完成后进入该状态，标志着邻接关系的建立。

条件匹配

​ 消除LSA的重复更新，减小路由器及链路的资源消耗。

• 指定路由器-----DR
• 备份指定路由器-----BDR
• 其他路由器-----DRother

​ 选举规则：

1. 比较接口优先级，0-255；优先级越大接口优先度越高。默认值=1
2. RID，越大越优。

​ 一个广播域，进行一次DR/BDR的选举。

​ 角色之间关系

• DR与BDR-----邻接关系
• DR与DRother----邻接关系
• BDR与DRother-----邻接关系
• DRother与DRother----邻居关系

​ 在一个网络中，可以没有BDR，但是不能没有DR。

​ 选举模式----非抢占性，一旦选举成功，不因为新加入的设备而重新选举，若需要重新选举，则需要重启OSPF进程，而非重启路由器。

OSPF工作过程

1. 启动OSPF协议，路由器A向本地所有启动了OSPF协议的直连接口，使用组播地址224.0.0.5发送hello报文；
   1. hello报文中携带了本地的全网唯一的RID值；
   2. 之后对端路由器B在启动OSPF后，也会发送hello报文。
   3. 当A接收到的hello报文中存在A的RID值时，则A与B建立邻居关系，并生成邻居表。
2. 邻居关系建立后，邻居间进行条件匹配，匹配失败则停留在邻居关系，仅10S使用hello包保活；若匹配成功，则可以开始建立邻接关系。
3. 邻接间共享DBD报文，将本地和邻接的DBD包进行对比，查找RID值，进行主从关系选举。
   1. 从设备主动发送携带目录信息的DBD报文，主设备通过对比DBD报文内容，使用LSR/LSU/LSAck报文来请求未知LSA信息。
   2. 该过程完成后，邻接关系建立，并生成数据库表（LSDB）。
4. 之后，根据本地数据库表，启用SPF算法，计算到达所有未知网段的最短路径，将其加载到本地的OSPF路由表中，并将未知路由信息加入到全局路由表。
   1. 此时路由收敛完成
   2. 最后，hello包周期保活，并且每30min进行一次周期链路状态刷新。

结构突变

• 新增网段—直接使用更新包告知邻接关系接口—触发更新
• 断开网段—直接使用更新包告知邻接关系接口—触发更新
• 无法沟通—hello包10S发送一次，若40S时间未接收hello包，即超出死亡时间；
  • 断开邻接关系
  • 删除路由信息
  • 当无法沟通超过1h，则删除掉本地存储的LSA信息。（华为规定LSA信息仅能由始发设备删除）

基础配置

1、启动协议

[r1]ospf 1 router-id 1.1.1.1 ----若不配置RID值，则路由器自己选择（环回接口最大IP>物理接口最大IP）

2、创建区域

[r1-ospf-1]area 0

3、宣告并激活接口

[r1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255 ----网段宣告，使用反掩码进行宣告

[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0-----接口地址宣告

reset ospf 1 process ----重置OSPF进程

[r1]display ospf peer ----查看OSPF邻居表

[r2]display ospf peer brief ----查看OSPF邻居简表

[r2]display ospf lsdb ----查看OSPF数据库简表

[r2]display ospf routing ----查看OSPF路由表

OSPF扩展配置

• 修改参考带宽

  • [r1-ospf-1]bandwidth-reference 1000
  • 一台设备修改参考带宽，则后续所有设备均需要修改

• 修改优先级----一般用于人工影响DR选举。

  • [r1-GigabitEthernet0/0/0]ospf dr-priority 10
  • [r2-GigabitEthernet0/0/0]ospf dr-priority 0-----代表放弃选举，自动成为DRother

• 静默接口

  • 不接受也不发送hello报文，一般用于连接用户的接口，不能用于连接路由器之间的接口
  • [r2-ospf-1]silent-interface GigabitEthernet 0/0/0

• 缺省路由

  • [r1-ospf-1]default-route-advertise ----非强制性下发，当该路由器的路由表中存在其他协议学习到的缺省路由时，该命令生效。
  • [r1-ospf-1]default-route-advertise always ----强制性下发

• 手工汇总----仅能在ABR或ASBR设备上配置

  • [r2-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0 255.255.252.0
  • ABR设备从哪个区域学习到的明细路由，则进入到该区域进行路由汇总。

• 接口认证

  • [r1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456
  • 认证类型
    • 不认证—0
    • 简单认证----1
    • MD5认证----2
      • key id----两边必须相同

• 加速收敛

  • [r3-GigabitEthernet0/0/0]ospf timer hello 5------当hello时间被修改，则路由器自动修改死亡时间
  • [r2-GigabitEthernet0/0/1]ospf timer dead 20----修改死亡时间，hello时间不会被自动修改

RIP与OSPF对比

• 根本区别------OSPF是基于链路状态的协议，而RIP是基于距离矢量的协议
• RIP仅适用于小型网络；OSPF适用于中大型网络；
• OSPF具备区域化结构部署，RIP没有；
• RIP使用跳数定义开销；OSPF使用带宽定义开销；
• RIP直接封装在UDP协议中，OSPF直接封装在IP协议中。
• RIP基于主类宣告，OSPF基于反掩码进行宣告；
• RIP具有周期更新机制，OSPF仅具备触发更新；
• RIP协议收敛完成后，网络中持续性存在大量RIP报文；而OSPF在收敛完成后，报文量极少。

交换技术

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lVH2Y65k-1684149947824)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230513135919095.png)]

• 垃圾流量问题
  • 交换机在接收到未知单播或广播帧时，会进行洪泛或广播操作，占用其他设备资源及带宽资源
• 安全问题
  • 计算机接收到本不应该受到的数据帧，从而读取内容

VLAN----虚拟局域网

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ipz3jPgA-1684149947825)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230513135939256.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7ogBLA1z-1684149947825)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230513135949482.png)]

VLAN数据帧

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lnIlaxB4-1684149947826)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230513135959079.png)]

VLAN类型

• 基于端口的VLAN----一层VLAN

  • 最常见的方式
  • 由网络管理员进行配置，将VLAN编号与交换机物理接口对应。此后，从该接口进入的数据帧都将属于该VLAN

• 基于MAC地址的VLAN----二层VLAN

  • 配置一个VLAN和MAC地址的映射表单，当数据帧进入交换机时，交换机查询该表单，根据不同的源MAC地址来划分不同VALN
  • 一般用于PC接入交换机的端口会改变的网络

• 基于协议的VLAN划分----三层vlan

VLAN的配置

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BDuxweYN-1684149947826)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230513140035828.png)]

1、在交换机上创建vlan

[sw1]vlan 2 -----默认情况下交换机存在vlan 1，并且所有接口属于vlan 1

[sw1]vlan batch 2 to 10 20 ----批量创建vlan2到vlan10以及vlan20

2、将接口划入vlan

[sw1]interface GigabitEthernet 0/0/1

[sw1-GigabitEthernet0/0/1]port link-type access -----修改链路类型为Access

[sw1-GigabitEthernet0/0/1]port default vlan 2 ----修改端口所属vlan

[sw1]display vlan ----查看vlan表单

端口类型

• Access类型

  • 一般用于交换机与终端相连的接口

• Trunk类型

  • 一般用于交换机与交换机相连的接口

• Hybrid类型

  • 同时具备Acess以及Trunk功能的接口

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gnMcue1D-1684149947827)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230513140106499.png)]

3、配置Trunk干道

[sw1]interface GigabitEthernet 0/0/24

[sw1-GigabitEthernet0/0/24]port link-type trunk ----将接口链路类型设置为trunk干道

[sw1-GigabitEthernet0/0/24]port trunk allow-pass vlan 2 3 ----在trunk干道的允许列表中加入

vlan2和vlan3

VLAN间路由

多臂路由

​

单臂路由

[r1]interface GigabitEthernet 0/0/0.1

[r1-GigabitEthernet0/0/0.1]ip address 192.168.2.254 24

[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2 ----声明该子接口所能处理的VLAN标签

[r1-GigabitEthernet0/0/0.1]arp broadcast enable -----开启子接口ARP广播功能

​ 交换机连接路由器的接口链路类型修改为Trunk类型。

​ 子接口具备对VLAN Tag的处理能力，可以将数据帧中的VLAN Tag剥离或添加。

​ 子接口是由物理接口ID+子接口ID进行标识。

三层交换机

1、创建vlan

[sw5]vlan batch 2 3

2、将接口划入vlan或配置Trunk干道

[sw5]interface GigabitEthernet 0/0/1
[sw5-GigabitEthernet0/0/1]port link-type trunk
[sw5-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

3、创建SVI接口-----完成前两步

[sw5]interface Vlanif 2 ----创建具备对vlan 2的标签进行操作的接口

[sw5-Vlanif2]ip address 192.168.2.254 24

1、设计拓扑

2、规划vlan及IP网段

3、配置—配置二层网络—配置IP地址—配置路由----策略

4、割接

ACL----访问控制列表

• ACL原理
  • 设备根据事先设置好的报文匹配规则对经过该设备的流量进行匹配，然后对报文执行预先设定的处理动作
• ACL功能
  • 访问控制----在流量流入或流出的接口上匹配流量
    • 动作
      • 允许----permit
      • 拒绝----deny
  • 抓取流量
• ACL匹配规则
  • 自下而上，逐一匹配，匹配上则按照规则进行执行，不再向下匹配
  • 若没有匹配上，则执行默认规则
    • 华为中，ACL访问控制列表末尾隐含条件为允许所有
• ACL分类
  • 基本ACL
    • 只能基于 IP报文的源IP地址、报文分片标记来定义规则
    • 规则编号：2000-2999
  • 高级ACL
    • 可以基于IP报文的源IP地址、目的IP地址、IP报文的协议 字段、IP优先级、长度、TCP的源目端口、UDP源目端口等信息来定义规则
    • 规则编号：3000-3999
  • 二层ACL
    • 使用以太网数据帧定义规则
    • 编号：4000-4999
  • 用户自定义ACL

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bzMftyTx-1684149947832)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230515190907517.png)]

**需求一：**允许PC1访问192.168.2.0/24网段，而PC2不行

• 分析：该需求仅对源有需求，配置基本ACL，且因为基本ACL仅关注数据包中的源IP地址；故配置时尽量靠近目标，避免对其他地址访问误伤。

[r2]acl 2000 ----创建基本ACL列表
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 —编写规则

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ----调用策略

[r2]display acl 2000 -----查看ACL列表

通配符：0代表不可变；1代表可变。

可以精准匹配某一个IP地址或网段。

1、拒绝192.168.1.2和192.168.1.3
  rule deny source 192.168.1.2 0.0.0.1
  00000011
  00000001

2、拒绝192.168.1.0/24网段
  rule deny source 192.168.1.1 0.0.0.255

3、拒绝192.168.1.0/24网段中的单数IP
  rule deny source 192.168.1.1 0.0.0.254
1
2
3
4
5
6
7
8
9
10

需求二：PC1可以访问PC3，但是不能访问PC4

分析：对目标有要求，使用高级ACL；由于高级ACL对流量进行了精确匹配，可以避免误伤，所以调用时靠近源，减少链路资源消耗。

[r1]acl 3100

[r1-acl-adv-3100]rule deny ip source 192.168.1.1 0.0.0.0 destination 192.168.2.2 0.0.0.0

[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3100

​ 设备的一个接口只能调用一张ACL列表，但是一张ACL列表可以在不同地方多次调用。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KKlJYBns-1684149947833)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230515191017404.png)]

需求三：PC1可以ping通R2，但是不能Telnet R2。

[r1]acl 3000

[r1-acl-adv-3000]rule deny tcp source 192.168.1.1 0.0.0.0 destination 12.0.0.2 0.0.0.0 destination-port eq telnet

NAT技术

私网IP地址

• 在IP地址空间中，A、B、C三类地址各有一部分地址，充当私网IP地址，其余IP地址称为公网IP地址

A：10.0.0.0—10.255.255.255

B：172.16.0.0—172.31.255.255

C：192.168.0.0—192.168.255.255

• 具有可重复性，私网IP地址不允许在互联网中传输，公网IP地址可以在互联网中使用。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1J6oogcc-1684149947833)(C:\Users\徐照宇\AppData\Roaming\Typora\typora-user-images\image-20230515191241397.png)]

静态NAT

​ 静态NAT是通过在私网边界路由器上建立并维护一张静态地址映射表。这张表记录了公有IP地址和私有IP地址之间的对应关系。----一对一的NAT

​ 静态NAT配置位置为边界路由器的出接口。

[r2-GigabitEthernet0/0/1]nat static global 12.0.0.100 inside 192.168.1.1

12.0.0.100----漂浮IP----合法的从运营商购买的公网IP地址，且该地址必须与边界路由器出接口地址处于同网段。

[r2]display nat static ----查看静态地址映射表

动态NAT

1、配置公网IP组

[r2]nat address-group 1 12.0.0.10 12.0.0.20 ----配置公有IP地址NAT组，IP地址段必须是连续的

2、配置ACL抓取私网流量

[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

3、将ACL与公网IP组绑定

[r2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

​ no-pat：改参数配置后，地址转换仅进行IP地址转换，不进行端口转换。

NAPT----网络地址端口转换技术

easy ip

[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[r2-GigabitEthernet0/0/1]nat outbound 2000

端口映射

[r2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 23 inside 192.168.3.1 telnet

00

[r1-acl-adv-3100]rule deny ip source 192.168.1.1 0.0.0.0 destination 192.168.2.2 0.0.0.0

[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3100

​ 设备的一个接口只能调用一张ACL列表，但是一张ACL列表可以在不同地方多次调用。

[外链图片转存中…(img-KKlJYBns-1684149947833)]

需求三：PC1可以ping通R2，但是不能Telnet R2。

[r1]acl 3000

[r1-acl-adv-3000]rule deny tcp source 192.168.1.1 0.0.0.0 destination 12.0.0.2 0.0.0.0 destination-port eq telnet

NAT技术

私网IP地址

• 在IP地址空间中，A、B、C三类地址各有一部分地址，充当私网IP地址，其余IP地址称为公网IP地址

A：10.0.0.0—10.255.255.255

B：172.16.0.0—172.31.255.255

C：192.168.0.0—192.168.255.255

• 具有可重复性，私网IP地址不允许在互联网中传输，公网IP地址可以在互联网中使用。

[外链图片转存中…(img-1J6oogcc-1684149947833)]

静态NAT

​ 静态NAT是通过在私网边界路由器上建立并维护一张静态地址映射表。这张表记录了公有IP地址和私有IP地址之间的对应关系。----一对一的NAT

​ 静态NAT配置位置为边界路由器的出接口。

[r2-GigabitEthernet0/0/1]nat static global 12.0.0.100 inside 192.168.1.1

12.0.0.100----漂浮IP----合法的从运营商购买的公网IP地址，且该地址必须与边界路由器出接口地址处于同网段。

[r2]display nat static ----查看静态地址映射表

动态NAT

1、配置公网IP组

[r2]nat address-group 1 12.0.0.10 12.0.0.20 ----配置公有IP地址NAT组，IP地址段必须是连续的

2、配置ACL抓取私网流量

[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

3、将ACL与公网IP组绑定

[r2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

​ no-pat：改参数配置后，地址转换仅进行IP地址转换，不进行端口转换。

NAPT----网络地址端口转换技术

easy ip

[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[r2-GigabitEthernet0/0/1]nat outbound 2000

端口映射

[外链图片转存中…(img-R3cRTm8m-1684149947834)]

[r2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 23 inside 192.168.3.1 telnet