HCIA-RS知识梳理（下）

VLAN的应用
1 .VLAN是一个二层技术，被用于隔离广播域。
2 .VLAN标签设置在数据帧的S.MAC 与 TYPE字段中间，长度为32bit。
VLAN标签被分为TPID字段与TCI字段
TPID占有16bit，代表这是一个带有VLAN标签的数据帧。
TCI占有16bit，被分成三个字段，分别是，路由优先级（3bit），CFI（1bit），VLAN ID（12bit）
路由优先级，取值范围0-7
CFI，当CFI为0是，代表数据为规范格式，CFI为1时，代表数据为非规范格式。
VLAN ID，代表VLAN标签的ID号，取值范围0-4095，可用范围1-4094.
3 .VLAN的种类：
基于端口的VLAN（最常用），基于mac地址的VLAN，基于子网的VLAN,基于协议的VLAN，
基于策略的VLAN（优先级最高）
4 .交换机链路的类型
Access 一般是用于交换机与主机之间，只允许一种VLAN通过。
Trunk 一般是用于交换机与交换机之间，允许多种VLAN通过，拥有允许通过的VLAN列
表
一个带有VLAN标签的数据到达Trunk链路的入接口，如果VLAN标签与入接
口的PVID相同，则摘标签通过
如果不同，则检查VLAN标签是否在允许通过的VLAN 列表里
如果在允许的范围内，则带标签通过，不在允许通过的范围，则舍弃。
Hybrid 一般是用于交换机与主机之间，允许多种VLAN通过，拥有去标签的列表
可以起到隔离主机的作用。
Trunk与Hybrid的不同之处：
Trunk链路只允许VLAN标签与接口PVID相同时才摘标签通过，
Hybrid链路允许多种VLAN去标签通过。

VLAN间路由
1 可以实现路不同VLAN不同网段之间的主机的通信，单臂路由运用子接口的技术。

2 单臂路由使用的真实的接口就一个，转发速率有限制，因此产生了三层交换技术
3 三层交换机的技术是二层交换机基于VLAN的功能开启的。

访问控制列表ACL
1 ACL的分类： 基本ACL（2000-2999） 只识别的数据包的源IP
高级ACL（3000-3999） 对数据包的源IP与目的IP，源目端口号一起识别
二层ACL（4000-4999） 识别数据包的mac地址
2 ACL的规则匹配的原则：
深度优先：查看规则，会优先去查看范围更细致的规则。
手动配置顺序（缺省的ACL匹配顺序）：依次按照管理员手工配置的顺序的进行匹配规则。
3 ACL的功能流量过滤和流量筛选。
网络地址转换 NAT
1 IPv4地址空间不足，研发了IPV6，IPv4的地址长度32bit，IPV6地址长度128bit，但是IPv6
的部署还没有完成，才发明了NAT这个过度的技术来缓解地址空间不足的问题。
2 NAT将网络分成公网与私网。
使用公网地址的网络我们称之为公网，也叫做全局网络或外部网络。
使用私网地址的网络我们称之为私网，也叫做内部网络或内网。
私网地址范围： 10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
3 公网与私网的边缘我们应用一台NAT设备进行连接，NAT设备通常是由一台路由器来实现。
4 NAT的种类：
静态NAT 实现了私网地址与公网地址的一对一的映射，映射关系手工创建
动态NAT 实现了私网地址与公网地址的一对一的映射，映射关系自动生成，需要创建
地址池
NAPT 实现了多个私网地址与一个公网地址的映射，加入了端口技术
Easy IP 不需要设置地址池的NAT技术
NAT Server 普通的NAT技术实现了私网到公网的访问，但是公网访问不了私网
NATserver实现了公网可以访问私网服务器的过程

IPsec VPN
1 IPsec只是一个安全框架，IKE是用来协商IPsec安全框架内的使用，最终协商所使用的
IPsec的框架内的参数的结果，称之为安全联盟SA。
2 IPsec的两种模式：
IPsec传输模式：在传输模式下， AH或ESP报头位于IP报头和传输层报头之间。
IPsec隧道模式：在隧道模式下，IPSec会另外生成一个新的IP报头，并封装在AH或ESP
之前。
3 IPsec VPN的配置顺序：
配置网络可达：指的就是隧道两端的路由器拥有去往对端设备的路由。
配置ACL感兴趣流：使用高级ACL来识别数据
创建安全提议：协商IPsec框架内的参数。
创建安全策略：引用一些参数，包括ACL感兴趣流与安全提议。
应用安全策略：将安全策略调用到接口上。