HCIA笔记

一，OIS七层模型

二，拓扑类型

三，节点增加设备----HUB集线器

四，网桥——交换机——工作在介质访问控制层（单位：BP-S）

五，路由器原理

六，封装与解封装

七，TCP/IP协议簇

八，DHCP——动态主机配置协议

九，动态路由

十，RIP的拓展配置

十一，OSPF：开方式最短路径优先协议

十二，OSPF

十三，VLAN——虚拟局域网

十四，ACL——控制访问列表

十五，NAT——网络地址转换

一，OIS七层模型

1，应用层：人机交互抽象语言---编码

2，表示层：编码---二进制

3，会话层：提供会话号

4，传输层：TCP/UDP 分段（收到MTU值的限制）提供端口号

MTU：最大传输单元，默认1500字节提供端口号

0-65535 1-1023注明端口 1024-65535动态端口/高端口

5，网络层：IP IP地址----逻辑地址

6，数据链路层：介质访问控制层MAC+逻辑链路层LLC

7，物理层

拓展：人类最早的网络---对等网（对等网络，即对等计算机网络，是一种在对等者（Peer）之间分配任务和工作负载的分布式应用架构，是对等计算模型在应用层形成的一种组网或网络形式。）任何事物被转化成二进制都被称为数据中继器--------物理增压存在问题：波形失帧

二，拓扑类型

1，直线型拓扑（总线型拓扑）

2，环形拓扑

3，树状拓扑

4，波环形拓扑全网状拓扑

5，星型拓扑

三，节点增加设备----HUB集线器

——所带来的问题：地址，冲突，安全，延时（优先级依次）

1，地址：唯一性，格式相同，地理地址/MAC地址：48位二进制构成以16进制显示出厂即烧录全球唯一

2，冲突问题 —— 相似电流互相吸引碰撞随后抵消

解决方案：CSMA/CD 载波侦听多路访问/冲突监测机制（简而言之：排队）

机制解析：1.首先使用监听功能，当发现有消息在传播时，停止自身消息发送，进行监听排队，随时准备进入下一阶段。2.当监听的消息发送完成时，立刻发送自身消息。3.当消息相撞时，会彼此之间发送一个随机的阈值，因为是随机发送所以一定存在大小之分，到达阈值时再次发送自身消息，这样就规避了冲突。

再次提高要求：1，无线传输距离 2，没有冲突 3，形成单播

广播域=泛洪区域广播行为不等于泛洪行为

四，网桥——交换机——工作在介质访问控制层（单位：BP-S）

1，速率公式：约等于（带宽/8）x85%

2，交换机原理

2.1，当数据帧进入交换机之后，交换机会先查看数据中的源MAC地址，之后将该数据的进入接口与该MAC地址相互映射到本地的MAC地址表中；再查看数据帧中的目标MAC地址，基于目标MAC地址查询本地MAC地址表，若存在记录则按照记录进行单播。

2.2，若不存在记录，则直接洪泛（泛洪）该数据泛洪：向除了进入接口以外的所有接口全部发送

3，IPV4：32位二进制构成，以点分十进制标识。存在网络位和主机位的区分，网络位用于标定所在范围，主机位用于显示在范围内的身份。为了方便人看，故采取8位一分的方式。

4，ARP协议（地址解析协议）：通过一种地址找到另一种地址

5，IPV6：128位二进制构成，十六进制显示

6，存在ABCDE五类

ABC类为单播地址 D类为组播地址 E类为保留地址

ABC类为单播地址：既可以作为源IP也可以作为目标IP 每一个单播地址都标识着一个唯一的节点只有单播地址可以作为源IP地址

D类为组播地址----只能作为目标IP使用

E类地址

7，基于IP地址的第一组8位进行分类

A类：1-126 前8位为网络位

B类：128-191 前16位为网络位

C类：192-223 前24位为网络位

D类：224-239 部分网络位主机位

E类：240-255

8，特殊地址

8.1，127 环回地址 127.0.0.1----127.255.255.255

8.2，：255.255.255.255 受限广播地址

6.3，主机位全0 不是单播地址代表一个网段

6.4，主机位全1 不是单播地址直接广播地址

6.5，0.0.0.0 代表没有地址，也代表所有地址

6.6，169.254.0.0/16 本地链路地址自动私有地址

五，路由器原理

1，若PC1试图ping通PC2，在已知IP地址的情况下，会优先进行子网掩码的判断，若在同一个广播域内，则广播发送一个ARP请求包，获取对方的MAC地址，随后则可以进行单播通讯，若获取不到则放弃通讯。

2，若PC1试图ping通PC3，在已知IP地址的情况下，会优先进行子网掩码的判断，若不在同一个广播域，则封装目标MAC地址为自己的网关，发送至网关处，随后路由器根据目标IP查询本地路由表，若不存在记录则直接丢弃该数据包，若存在记录，则按照记录发送至该网段的网关处，随后，网关通过ARP找到目标的MAC地址，随后单播即可。

数据链路层：介质访问控制层MAC+逻辑链路层LLC

六，封装与解封装

七，TCP/IP协议簇

八，DHCP——动态主机配置协议

1，典型的C/S结构--------DHCP客户端------索要IP地址

DHCP服务器------发放IP地址

2，DHCP客户端初次申请IP地址：

①DHCP客户端向DHCP服务器去要IP地址，广播，源IP ：0.0.0.0 源MAC：自己目标IP：255.255.255.255 目标MAC：全F DHCP----discover包

②DHCP服务器向DHCP客户端去回复，DHCP-offer包，单播/广播 Offer包中存在一个临时有效的IP地址

③DHCP客户端向DHCP服务器发送一个DHCP--request包，广播，“我确定使用该IP”

④DHCP服务器向DHCP客户端发送一个DHCP-ACK包，确认收到单播/广播

3，再次获取：

DHCP客户端向DHCP服务器发送一个DHCP--request包，我还想请求之前下发的IP地址

1.DHCP服务器依旧保有之前的IP地址，则直接发送DHCP-ACK包表示确认。

2.DHCP服务器已经将请求的IP地址发放给了其他设备，则将发送一个DHCP---NAK包，表示拒绝该请求。

4，开启DHCP服务——创建地址池——调用全局服务

[R1]dhcp enable 开启DHCP服务

[R1]ip pool AA 创建地址池

[R1-ip-pool-AA]network 192.168.1.0 mask 24 写入网段

[R1-ip-pool-AA]gateway-list 192.168.1.1 写入网关

[R1-ip-pool-AA]dns-list 8.8.8.8 114.114.114.114 写入dns

[R1]interface g 0/0/0 进入网关处

[R1-GigabitEthernet0/0/0]dhcp select global 在该处调用DHCP全局服务

路由器与路由器之间的链路---骨干链路（总线链路），一般是不会放置PC端的

5，路由器获取位置网段的方法

1，静态路由-----尤网管手动添加的方式---手写的路由条目

2，动态路由-----所有路由器上运行相同的一种动态路由器协议，之后通过路由器之间的沟通协商最终计算生成的路由条目

[R7]ip route-static 192.168.3.0 24 192.168.2.2

[R8]ip route-static 192.168.1.0 24 192.168.2.1

Pre：优先级 0-255 ，数值越大，优先级越低。

[R14]display ip routing-table protocol static 查询由静态路由生成的路由表

静态路由选路原则：尽量选择最短路径的路由

6，拓展配置

1，负载均衡：当路由器访问同一个目标且目标具有多条开销相似的路径时，可以让设备将流量拆分后延多条路径同时发送，以达到叠加带宽的作用。

2，环回接口：路由器配置的一个虚拟接口，一般用于虚拟测试，不需要设备支持。

[R18]interface LoopBack 0 创建环回接口编号为0

[R18]ping -a 192.168.1.1 192.168.2.1 指定192.168.1.1 ping 192.168.2.1

3.手工汇总：当路由器可以访问多个连续的子网时，若均通过相同的下一跳，则可以将这些网段进行汇总计算，之后仅编辑汇总过后的网段的静态路由，即可达到减少路由条目提高转发效率的目的。

4，路由黑洞：在汇总中若包含网络数据不存在的网段时，可能使数据包有去无回，造成链路资源的浪费（合理的子网划分可以尽量减少路由漏洞）

5，缺省路由：0.0.0.0代表没有地址，也代表所有地址 ------一条不限定目标的路由条目，查表时若本地路由条目均不匹配，则直接匹配缺省路由。

访问不存在的路由条目的网段时，启用缺省路由

缺点：一旦缺省路由与黑洞路由相遇，就会形成路由环路

6，空接口路由: 在黑洞路由器上，配置一条到达汇总网段并指向空接口的路由

①空接口---nullo，路由器的一个虚拟接口，如果一条路由被指向nullo接口，则代表将该流量丢弃

②路由表匹配原则：请确匹配原则/最长匹配原则路由器在转发相应数据包在路由表中进行路由选择时，优先选择掩码最大的路由条目。（网络位变长，主机位变短）

九，动态路由

静态路由的协议缺点：1，配置量大 2，不能根据拓扑的变化而进行实时收敛

动态路由协议的优点：可以根据拓扑的变化而实时更新

动态路由协议的缺点：1，额外占用链路资源2，安全风险（不是定死的）3，选路错误的风险

1，动态路由协议分类

1.1基于AS进行分--- IGP内部网关协议

EGP外部网关协议

AS：自治系统标准编号 0-65535 1-64511公有 64512-65535私有

IGP:RIP OSPF EIGRP ISIS EGP:BGP

2，IGP协议

2.1即于更新时是否携带子网掩码

2.2基于工作特点进行分类：

①DV距离矢量型协议： RIP EIGRP邻居间分享路由表；以跳数作为开销算法：贝尔曼福特算法（跳数：每经过一台路由器条数加一）

②LS链路状态型协议：OSPF ISIS：邻居间共享拓扑信息，再由本地自己计算生成路由条目算法：SPF

3，RIP协议——路由信息协议

典型的距离矢量型协议--基于UDP520端口，使用跳数作为开销，存在周期更新和触发更新并且存在V1,V2,NG（适用于ipv6）三个版本

3.1 V1版本与V2版本的区别

1), V1版本为有类别路由协议--不携带子网掩码

V2版本为无类别路由协议--更新时携带子网掩码

2), V1是广播更新255.255.255.255

V2是组播更新224.0.0.9

3), V1不自持手工认证

V2支持手工认证（通讯会被加密，增加安全性）

3.2周期更新的意义

1），保活（每30s触发一次，一共触发6次）

2），没有确认机制

4，RIP的破环机制

1，水平分割---从此口入不从此口出（仅能从直线型拓扑中避免环路，其主要作用是控制重复更新）

2，最大跳数---15跳

3，触发更新：毒性逆转水平分割（从此口入从此口出）

4，抑制计时器

宣告：rip只能进行主类的宣告 -- 宣告基于主类网段 --找到属于该网段的接口

1，激活接口--手法rip信息

2，该接口的信息可以共享给邻居

关闭自动汇总

十，RIP的拓展配置

1，RIP V2的手工汇总

手工汇总--在更新的源头设备，所有更新出发的接口上进行汇总配置即可

[R1]interface g 0/0/0 ----从哪发出从哪汇总

[R1-GigabitEthernet0/0/0]rip summary-address 1.1.0.0

255.255.252.0 在该接口上进行关于rip的手工汇总

2，RIP V2的手工认证：在两台运行RIP协议的路由器间进行配置，让两台邻居设备发出的数据中携带身份核实的密钥，也可同时对传输的数据进行加密

[R1]interface g 0/0/0 必须在和邻居相连的接口上

[R1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 666666 在该接口上进行关于的手工认证认证模式为md5 密码为666666

3.被动接口---仅接收不发送路由协议信息，仅限连接用户PC的端口使用，不得用于路由器之间，否则将导致无法正常使用。

[R1-rip-1]silent-interface GigabitEthernet 0/0/1 在RIP1的进程中设定沉默接口为g0/0/1

4.加快收敛 ——30s 更新 180s 失效 180s 抑制 300s刷新

①认为修改计时器可以一定程度上加快收敛速度，但是不易修改过小，建议不修改

②尽量维持原有的倍数关系

③一旦修改计时器全网设备均需修改

[R1-rip-1]timers rip 30 180 300

5.缺省路由---在边界路由器上，进行RIP的缺省配置后，该设备将向内部运行的所有设备发送一条指向该设备的缺省更新，使得内部所有运行RIP协议的设备自动生成缺省路由，下一跳均指向边界路由器。边界路由器自身通往外网的路径依旧需要管理员通过静态路由手工定义。

[R3-rip-1]default-route originate 在边界路由器上下发缺省路由

十一，OSPF：开方式最短路径优先协议

1，无类别链路状态IGP

1.1.距离矢量型协议：运行距离矢量型协议的路由器周期性的泛洪自己的路由表，通过路由的交互，每台路由器从相邻的路由器学习到路由，并且加载进自己的路由表中；对于网路中的所有路由器而言，并不清楚网络的结构，只是简单的知道通完某个目的地有多远方向在哪儿，这既是距离矢量型协议的本质。

1 . 2.链路状态型协议：与距离矢量型协议不同，链路状态型协议通告的是链路状态信息，而不是路由表。运行链路状态协议的路由器之间会首先建立一个临时的邻居关系，然后彼此之间开始交互LSA（链路状态通告），路由器将收到的LSA信息存储与本地的LSDB（链路状态数据库）中，路由器通过同步后的LSDB便可以掌握全网的拓扑结构。最后，由本地算法计算出到达各个节点的最优路径，加载于本地路由表中。

2，支持等开销的负载均衡

基于组播进行更新 224.0.0.5 224.0.0.6

支持触发更新；每30min周期更新一次 10s hello包

需要结构化的部署---区域划分地址规划

3，区域划分的规则：

3，1.星型结构骨干区域为0区，大于0为非骨干区域，所有非骨干区域必须接入到骨干区域上

3，2.ABR---域间路由器两个/多个区域互联时，必须存在ABR---同时工作在两个/多个区域之间的路由器

4，Router-ID （路由器标识符），用于在一个ospf域中唯一的标识一台设备 RID的设定可以通过手工定义或系统自动生成的方式-----（一定要手工配置），如果让系统自动生成----优先配置设备环回的最大数值，则使用物理接口最大数值

5，使用cost值作为度量值 cost=参考带宽/接口带宽默认参考带宽为100M；整段路径的cost值之合越小则越佳。若接口带宽大于参考带宽，则度量值默认为1，所以在接口带宽大于参考带宽的网络中，可以认为的修改参考带宽。

十二，OSPF

1, OSPF的数据包类型

1,1. hello包用于邻居间的发现关系建立和周期保活

1,2. DBD/DD包数据库描述包用于携带本地的数据库目录

1,3. LSR包链路状态请求包查看完对端的DBD包后，基于本地的LSDB去向对端索要自己没有的LSA信息

1,4. LSU包链路状态更新包携带各种LSA信息

1,5. LSACK包链路状态确认包用于确认收到

2, OSPF的状态机

Down状态：表示未被激活的状态，一旦本地发出hello包则进入下一个状态机。一旦接收到hello包也会从 DOWN进入下一个状态机

Init状态：表示初始化的状态，

2-Way：可以进行双向通讯，表示建立了邻居关系

条件匹配：

EXsatart：预启动使用未携带数据库目录的DD包进行主从选举，RID数值大者为优，优先进入下一个状态机

EXchange：准交换，携带具体数据库目录的DD包进行目录交换，需要ACK确认。

Loading状态：加载通过LSR LSU LSACK 进行LSA的更新

Full状态：转发邻接关系的建立

3，OSPF的工作过程

3，1启动配置完成后，本地组播224.0.0.5发送hello包，Hello包将携带本地RID值，及本地已知所有邻居的RID值。若接收到来自对端的HELLO包中存在本端的RID则视为认识，邻居关系建立，并生成邻居表

邻居关系建立后，条件匹配，匹配失败则永远停留于邻居关系，仅hello包保活即可。若条件匹配成功，则表明可以建立邻接关系，先试用不携带数据库目录的DD包进行主从选举，RID大者为优，优先共享数据库目录。

最后基于本地的LSDB查看对端的DD包得出自己所需的LSA信息，通过LSR包去要 LSU包区给 LSACK包区确认，最终同步LSDB，之后本地启用SPF算法，基于本地的LSDB生成有向图，在计算出最短路径树，在基于树形结构算出本地到达目标位置的最短路径随后加载于本地路由表中，

收敛完成后，HELLO包周期保活每30min周期更新一次，30min的周期更新；每30min邻接关系之间进行DD包的对比，若一直则继续保活，若不一致则重新收敛。

Hello time 10s dead time 40s 时间到了就会删除邻居信息

4，OSPF的基础配置

[R1]ospf 1 router-id 1.1.1.1 创建ospf进程进程号为1 RID为1.1.1.1

[R1-ospf-1]area 0 进入0区

[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

[R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255 反掩码

[R2]display ospf peer brief 查看邻居表

[R2]display ospf lsdb 查看数据库表

注意：一旦修改参考带宽，全网设备均需修改

5，OSPF的扩展配置

5，1.点到点的网络：在一个网段内仅支持存在两个节点

5，2.MA：多路访问---在一个网段内支持存在的节点不限，OSPF在点到点的网络类型中所有邻居将直接成为邻接关系。在MA的网络类型中，若所有的设备间均为邻接关系将会产生大量的重复更新，故进行DR/BDR的选举，所有非DR/BDR设备之间将维持邻居关系。

5，3选举规则： ①先比较参选设备的接口的优先级，默认1；范围0-255，数值大为优

②若参选接口的优先级相同，比较参选设备的RID，数值大为优。

十三，VLAN——虚拟局域网

1，LAN——局域网 MAN——城域网 WAN——广域网

VLAN ：虚拟局域网 -----交换机和路由器协同工作后，将原先的一个广播域逻辑上划分为了多个广播域

VID--VLAN ID 由12为二进制构成范围 0-4095 0和4095为保留值，

2，基本命令：

[Lw1]vlan batch 2 to 6 批量创建vlan

[Lw1]display mac-address 查看MAC地址表

交换机加入vid的观念之后交换机的转发过程：交换机会先记录源数据帧中的源MAC地址与进入接口的映射关系，并且一同查看其VID，随后查看目标MAC地址是否在MAC地址表中存在记录，若存在记录，将比对目标MAC地址对应接口的VID和源MAC地址对应接口的VID是否相同，若相同则直接单播，若不同，则进行泛洪（仅在源MAC地址对应接口的VID的范围内的所有接口进行发送）

我们把交换机和PC端之间的链路称之为ACCESS链路，AEECSS链路中只能通过untagged帧，并且这些帧只能属于一个特定的VLAN。我们把交换机和交换机/路由器之间的链路称之为trunk链路（干道），trunk链路中运行通过tagged帧，并且这些帧可以属于多个vlan。

[Lw1-GigabitEthernet0/0/1]port link-type access 定义该接口下链路类型为access链路

[Lw1-GigabitEthernet0/0/1]port default vlan 2 定义该接口属于vlan2

[Lw1-GigabitEthernet0/0/5]port link-type trunk 定义该接口下链路类型为trunk链路

[Lw1-GigabitEthernet0/0/5]port trunk allow-pass vlan all 允许该trunk链路所通过的vlan为所有

[R26]interface g 0/0/0.1 进入g0/0/0这个物理接口的子接口

路由器的子接口---虚拟接口---将一个路由器的一个物理接口逻辑上切分为多个虚拟子接口

[R26-GigabitEthernet0/0/0.1]dot1q termination vid 2 让该子接口执行802.1q标准，同时定义该子接口处为vid--vlan2的网关

[R26-GigabitEthernet0/0/0.1]arp broadcast enable 开启该子接口的arp广播

3，VLAN的简单实验配置

详细过程：VLAN的简单配置-CSDN博客

十四，ACL——控制访问列表

1，访问控制----在路由器的入或者出的接口上，匹配流量，之后产生动作---允许或拒绝

2，定义感兴趣流量-----帮助其他软件抓流量

3，匹配原则

至上而下，逐一匹配，上调匹配按照上条执行，不在查看下条。在华为体系中末尾隐含允许所有，在思科体系中，末尾隐含拒绝所有。

4，分类：

4，1 标准---仅关注数据包中的源IP地址

4，2 扩展---关注数据包中的源目标IP地址协议号端口号

标准ACL中，由于标准ACL仅关注数据包中的源IP地址，故越靠近目标越好，可以尽可能的避免误杀。

注意：一个编码是一张规则，一张规则可以容纳大量具体的规则

[R2]acl 2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

ACL在地址匹配时，会使用通配符

255.255.255.0 0.0.0.255 他可以进行0 1 的穿插

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上调用acl2000

[R2-acl-basic-2000]rule permit source any 规定允许所有IP通过

[R2]ACL name classroomA

5，扩展 ACL

5，1 关注数据包中的源IP以及目标IP ，由于扩展ACL可以对数据流量进行精确分析，故越靠近源越好。

[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0 在关注源/目标IP地址的同时，在关注目标端口号

Telnet---远程登录基于TCP23号端口工作

5，2 条件：1，登录设备与被登陆设备之间必须可达

2，被登陆设备必须开启telnet设定

6，ACL的简单实验配置

详细过程：ACL的简单配置实验-CSDN博客

十五，NAT——网络地址转换

1，公有IP和私有IP的区别：

公有IP----全球唯一可以你在互联网中通信付费使用

私有IP----本地唯一不能在互联网中通信免费试用

A类：10.0.0.0---10.255.255.255

B类：172.16.0.0------172.31.255.255

C类：192.168.0.0-----192.168.255.255

2，分类：静态NAT 动态NAT NAPT 端口映射

在华为设备中 NAT的全部配置一定是在边界路由器的出的接口方向上。

3，静态NAT：我们在私网的边界路由器上建立并维护一张静态地址表，静态地址表映射了公有地址和私有地址间一一对应的关系

[R2-GigabitEthernet0/0/1]nat static global 12.1.1.1 inside 192.168.1.2

[R2]display nat static 查询nat映射关系

4，动态NAT：静态NAT和动态NAT最大的区别在于---地址映射表的内容是可变化的，而不是写死的，所以动态NAT不在意一对一的关系，而是实现多对多的转化。

使用端口进行分辨转化的形式----NAPT（端口地址转化）也叫PAT

为解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题，在边界路由器上维护一张源端口号和私网IP地址的映射关系表，因为端口号的取值范围是1-65535，故有65535个，所以NAPT同时支持通过的数据包的最大量即为65535个，这就形成了一对多的动态NAT，华为中称这种NAPT为EASY IP。当上网需求非常大时，一个公网IP可能不够用，我们也可以同时使用多个公网IP，这样就能形成65535的倍数增长，形成多对多的NAPT。