根据H3CNE考试题库来学习NE的知识点,并做了如下笔记。
 
术语:
BPDU  桥协议数据单元(Bridge Protocol Data Unit)
IGP(Interior Gateway Protocol,内部网关协议)
EGP(Exterior Gateway Protocol,外部网关协议)
MDI 介质有关接口(Media Dependent Interface):PC机、路由器
MDIX :交换机、集线器接入口;交换机、集线器级联口
 
笔记:
 
一、计算机网络基础         10%
 
光纤多模和单模的区别:
    根据传输点模数的不同,光纤可分为单模光纤和多模光纤。所谓"模"是指以一定角速度进入光纤的一束光。单模光纤采用固体激光器做光源,多模光纤则采用发光二极管做光源。多模光纤允许多束光在光纤中同时传播,从而形成模分散(因为每一个“模”光进入光纤的角度不同它们到达另一端点的时间也不同,这种特征称为模分散。),模分散技术限制了多模光纤的带宽和距离,因此,多模光纤的芯线粗,传输速度低、距离短,整体的传输性能差,但其成本比较低,一般用于建筑物内或地理位置相邻的环境下。单模光纤只能允许一束光传播,所以单模光纤没有模分散特性,因而,单模光纤的纤芯相应较细,传输频带宽、容量大,传输距离长,但因其需要激光源,成本较高
 
FTP使用的端口号:
    控制端口一般为21,而数据端口不一定是20,这和FTP的应用模式有关,如果是主动模式,应该为20,如果为被动模式,由服务器端和客户端协商而定
TFTP采用的端口号:69
SSH: 22
TELNET 23
DNS:53
 
电路交换和分组交换的区别与联系:
    电路(基于电话网的电话):延迟小、透明传输;带宽固定、网络资源利用率低、初始连接建立慢
    分组(以分组为单位存储转发):多路复用、网络资源利用率高;延迟大、实时性差、设备功能复杂
 
分组交换的理解
分组交换网是继电路交换网和报文交换网之后一种新型交换网络,它主要用于数据通信。分组交换是一种存储转发的交换方式,它将用户的报文划分成一定长度的分组,以分组为存储转发,因此,它比电路交换的利用率高,比报文交换的时延要小,而具有实时通信的能力。分组交换利用统计时分复用原理,将一条数据链路复用成多个逻辑信道,最终构成一条主叫、被叫用户之间的信息传送通路,称之为虚电路(V.C)实现数据的分组传送。
 
 
网络延迟包括:
    传播延迟、交换延迟、介质访问延迟、队列延迟
 
路由的分类及常用协议:
    按照是否手工操作分类:
      静态(静态路由,默认路由,浮动静态路由)
      动态( RIP , IGRP , EIGRP , ISIS , OSPF , BGP )
    动态路由中的分类:
      距离矢量( RIP , IGRP )
      链路状态( OSPF , ISIS )
      混合型( EIGRP )
      路径矢量( BGP )
 
OSI参考模型的优点:
开放的标准化接口
多厂商兼容性
易于理解、学习和更新协议标准
实现模块化工程,降低了开发实现的复杂度
便于故障排除
 
OSI中加密是哪一层的功能
表示层:处理数据格式、数据加密等
 
SPX属于OSI哪一层
IPX/SPX协议组的SPX在传输层、IPX在网络层
 
DNS工作在OSI的哪一层
应用层
 
互联端口的MDI类型设置为across,应该用什么网线连
输入“mdi auto”就是启用Auto MDI/MDIX自适应功能,输入mdi across就是使用mdix连接模式,输入mdi normal就是使用常规的mdi连接模式
 
以太网的传输距离
单模光纤可达5KM
 
广域网接口的描述:V.25和V.35
V.25DTE:
支持同步和异步两种方式
异步方式下最高速率为115200bps
同步方式下最高速率为64000bps
V.35DTE:
只能工作在同步方式下
同步方式下最大速率2Mbps
 
 
-----------------------------------------------------------------------------
二、H3C网络设备入门        10%
 
指定下次启动使用的操作系统软件的命令:boot-loader
display starup 显示用于本次及下次启动的配置文件名。
 
进入BootROM的方式
Press Ctrl+B to enter extended boot menu...               
 
回收站相关命令:
若要从回收站中彻底删除该文件,请使用reset recycle-bin命令。
 
关闭信息中心功能命令 UNDO INFO-CENTER ENABLE
查看回收站里的文件:dir /all
 
关掉debugging 命令 undo debugging all
开启控制台对系统信息的监视功能:terminal monitor
打开调试信息的屏幕输出开关 :terminal debugging
打开模块调试开关:debugging modul-name
显示调试开关:displaying debugging
 
路由器的特点:
主要工作在OSI模型的物理层、数据链路层和网络层
根据网络层信息进行路由转发
提供丰富的接口类型
支持丰富的链路层协议
支持多种路由协议
 
命令级别:
访问级(0级)
网络诊断工具命令、从本设备出发访问外部设备的命令
监控级(1级)
用于系统维护、业务故障诊断的命令
系统级(2级)
业务配置命令
管理级(3级)
关系到系统基本运行,系统支撑模块的命令
 
 
切换优先级的命令:
    super命令用来使用户从当前用户级别切换到指定的用户级别。使用本命令时如果不指定level参数,会使用户从当前级别切换到级别3。使用本命令从高用户级别切换到用户低级别时不需要认证而直接切换到指定级别。用户级别指登录用户的分类,共划分为4个级别,与命令级别对应,不同级别的用户登录后,只能使用等于或低于自己级别的命令。
 
检测线路MTU,用什么参数ping目的地址:ping -f
ping ?                                                                     
  -a             Select source IP address                                       
  -c             Specify the number of echo requests to be sent                 
  -f             Specify packets not to be fragmented                           
  -h             Specify TTL value for echo requests to be sent                 
  -i             Select the interface to send the packets                       
  -m             Specify the interval in milliseconds to send packets           
  -n             Numeric output only. No attempt will be made to lookup host    
                 addresses for symbolic names                                   
  -p             No more than 8 "pad" hexadecimal characters to fill out the    
                 sent packet. For example, -p f2 will fill the sent packet      
                 with f and 2 repeatedly                                        
  -q             Quiet output. Nothing will be displayed except for the summary 
                 lines.                                                         
  -r             Record route. Include the RECORD_ROUTE option in the           
                 ECHO_REQUEST packets and display the route                     
  -s             Specify the number of data bytes to be sent                    
  -t             Specify the time in milliseconds to wait for each reply        
  -tos           Specify TOS value for echo requests to be sent                 
  -v             Display the received ICMP packets other than ECHO-RESPONSE     
                 packets.                                                       
  STRING<1-20>   IP address or hostname of a remote system                      
  ip             IP Protocol                                                    
  ipv6           IPv6 Protocol                                                  
 
ip:支持IPv4协议。不指定该参数时,也表示支持IPv4协议。
 
-a source-ip:指定ICMP回显请求(ECHO-REQUEST)报文的源IP地址。该地址必须是设备上已配置的合法IP地址。不指定该参数时,ICMP回显请求报文的源IP地址是该报文出接口的主IP地址。
 
-c count:指定ICMP回显请求报文的发送次数,取值范围为1~4294967295,缺省值为5。
 
-f:将长度大于接口MTU的报文直接丢弃,即不允许对发送的ICMP回显请求报文进行分片。
 
-h ttl:指定ICMP回显请求报文中的TTL值,取值范围为1~255,缺省值为255。
 
-i interface-type interface-number:指定发送ICMP回显请求报文的接口的类型和编号。不指定该参数时,将根据目的IP查找路由表或者转发表来确定发送ICMP回显请求报文的接口。
 
-m interval:指定发送ICMP回显请求报文的时间间隔,取值范围为1~65535,单位为毫秒,缺省值为200毫秒。
 
              如果在timeout时间内收到目的主机的响应报文,则下次ICMP回显请求报文的发送时间间隔为报文的实际响应时间与interval之和;
 
              如果在timeout时间内没有收到目的主机的响应报文,则下次ICMP回显请求报文的发送时间间隔为timeout与interval之和。
 
-n:对host参数不进行域名解析。不指定该参数时,如果host参数表示的是目的端的主机名,则设备会对host进行域名解析。
 
-p pad:指定ICMP回显请求报文的“PAD”字段的填充值,为1~8位的16进制数,取值范围为0~ffffffff。如果指定的参数不够8位,则会在首部补0,使填充值达到8位。比如将pad设置为0x2f,则会重复使用0x0000002f去填充报文,以使发送报文的总长度达到设备要求值。缺省情况下,填充值从0x01开始,逐渐递增,直到0xff,然后又从0x01开始循环,形如0x010203……feff01……,直至发送报文的总长度达到设备要求值。
 
-q:只显示统计信息。不指定该参数时,系统将显示包括统计信息在内的全部信息。
 
-r:记录路由,详细介绍请参见操作手册。不指定该参数时,系统不记录路由。
 
-s packet-size:指定发送的ICMP回显请求报文的长度(不包括IP和ICMP报文头),取值范围为20~8100,单位为字节,缺省值为56字节。
 
-t timeout:指定ICMP回显应答(ECHO-REPLY)报文的超时时间,发送ICMP回显请求报文timeout后还没有收到ICMP回显应答报文,则认为ICMP回显应答报文超时。取值范围为0~65535,单位为毫秒,缺省值为2000毫秒。
 
-tos tos:指定ICMP回显请求报文中的ToS(Type of Service,服务类型)域的值,取值范围为0~255,缺省值为0。
 
-v:显示接收到的非回显应答的ICMP报文。不指定该参数时,系统不显示非回显应答的ICMP报文。
 
-***-instance ***-instance-name:指定MPLS ×××的实例名称,是一个长度为1~31个字符的字符串,区分大小写。如果需要检查MPLS ×××中的两个节点是否可达,则需要通过该参数指定节点所在的MPLS ×××实例。
 
需要注意的是:S3610&S5510交换机只有工作在MCE模式时,才能支持***-instance参数。有关交换机工作模式的介绍,请参见IP业务分册中的“双协议栈配置”。
 
host:目的端的IP地址或主机名,主机名为1~20个字符的字符串。
 
 
tracert ?                                                                  
  -a             Select source IP address                                       
  -f             First time to live                                             
  -m             Maximum time to live                                           
  -p             UDP port number                                                
  -q             Number of probe packets                                        
                             
  -w             Timeout in milliseconds to wait for each reply                 
  STRING<1-20>   IP address or hostname of a remote system                      
  ipv6           IPv6 Protocol 
  
-a source-ip:指定tracert报文的源IP地址。该地址必须是设备上已配置的合法IP地址。不指定该参数时,tracert报文的源IP地址是该报文出接口的主IP地址。
 
-f first-ttl:指定一个初始TTL,即第一个报文所允许的跳数。取值范围为1~255,且小于最大TTL,缺省值为1。
 
-m max-ttl:指定一个最大TTL,即一个报文所允许的最大跳数。取值范围为1~255,且大于初始TTL,缺省值为30。
 
-p port:指定目的端的UDP端口号,取值范围为1~65535,缺省值为33434。用户一般不需要更改此选项。
 
-q packet-number:指定每次发送的探测报文个数,取值范围为1~65535,缺省值为3。
 
-***-instance ***-instance-name:指定MPLS ×××的实例名称,是一个长度为1~31个字符的字符串。
 
机只有工作在MCE模式时,才能支持***-instance参数。有关交换机工作模式的介绍,请参见IP业务分册中的“双协议栈配置”。
 
-w timeout:指定探测报文的响应报文的超时时间,取值范围是1~65535,单位为毫秒,缺省值为5000毫秒。
 
host:目的端的IP地址或主机名,主机名为1~20个字符的字符串。
 
tracert TTL 到中间为0,TIME EXCEEDED;到目的为0,PORT UNREACHABLE
 
----------------------------------------------------------------------------
三、配置局域网交换机       16%
 
MAC映射表的建立
交换机会把广播、组播和未知单播帧从所有其他端口发送出去(除了接收到帧的端口)
 
端口的类型:
vlan 的标签
在进入交换机端口时,附加缺省VLAN标签
出交换机端口时,去掉VLAN标签
 
Hybrid端口和Trunk端口的不同之处在于:
Hybrid端口允许多个VLAN的以太网帧不带标签
Trunk端口只允许缺省VLAN的以太网帧不带标签
表1-3 端口收发报文的处理(接入分册VLAN配置)
小结:T和H只接收VLAN ID在端口允许通过的VLAN ID列表里的报文,没有Tag,则打上TAG;T在发送时:当VLAN ID与缺省VLAN ID相同且是该端口允许通过的VLAN ID时:去掉Tag,发送该报文;当VLAN ID与缺省VLAN ID不同,且是该端口允许通过的VLAN ID时:保持原有Tag,发送该报文;H在发送时:当报文中携带的VLAN ID是该端口允许通过的VLAN ID时,发送该报文,并可以通过port hybrid vlan命令配置端口在发送该VLAN(包括缺省VLAN)的报文时是否携带Tag
 
关闭生成树功能:stp disable
 
关于802.1x及其验证的特点
设备不仅支持协议所规定的基于端口的接入认证方式,还对其进行了扩展、优化,支持基于MAC的接入控制方式。
当采用基于端口的接入控制方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。
 
采用基于MAC的接入控制方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
 
dot1x的配置:
[SWA]dot1x
[SWA]dot1x interface ethernet1/0/1
[SWA]local-user localuser 
[SWA-luser-localuser]password simple hello
[SWA-luser-localuser]service-type lan-access
端口隔离的配置:
[SWA]interface ethernet1/0/2 
[SWA-Ethernet1/0/2] port-isolate enable
[SWA]interface ethernet1/0/3
[SWA-Ethernet1/0/3] port-isolate enable
[SWA]interface ethernet1/0/4
[SWA-Ethernet1/0/4] port-isolate enable
[SWA]interface ethernet1/0/1
[SWA-Ethernet1/0/1] port-isolate uplink-port
聚合端口的配置:
[SWA] interface bridge-aggregation 1
[SWA-Ethernet1/0/1] port link-aggregation group 1
 
[SWA] interface bridge-aggregation 2 port Ethernet1/0/1
 
STP端口不稳定的中间状态
Listening,Learning
 
关于STP协议:
桥ID由桥优先级(BridgePriority)和桥MAC地址(BridgeMacAddress)组成
桥ID小的桥被选举为根桥
根桥上的所有端口为指定端口( Designated Port )
在非根桥上选举根路径开销( RootPathCost)最小的端口为根端口(Root Port)
每个物理段选出根路径开销最小的桥作为指定桥( Designated Bridge),连接指定桥的端口为指定端口
不是根端口和指定端口的其余端口被STP置为阻塞状态
根路径开销( RootPathCost)是到达根的路径上所有链路开销(Cost)的代数和
 
配置桥优先级的命令:
配置当前设备的优先级
[Switch]stp [instance instance-di] priority priority
 
STP端口状态的判断:
 
交换机上的端口在启动stp协议后,存在的五种状态:
    · 阻塞(blocking) - 该端口被阻塞,接收但不发送BPDU,不接收或转发数据
    · 监听(listening) - 该端口正在等待接收bpdu数据包,bpdu可能告知该端口重新回到阻塞状态。接收并发送BPDU,不接收或转发数据
    · 学习(learning) - 该端口正在向其转发数据库中添加地址。接收并发送BPDU,不接收或转发数据
    · 转发(forwarding) - 该端口正在转发数据包。接收并发送BPDU,接收并转发数据
    · 失效(disabled) - 该端口只是相应网管消息,并且必须先转到阻塞状态。不收发BPDU报文,接收或转发数据
    端口可以转换的状态:
    · 从初始化(交换机启动)到阻塞状态(blocking)
    · 从阻塞状态(blocking)到监听(listening)或失效状态(disabled)
    · 从监听状态(listening)到监听(learning)或失效状态(disabled)
    · 从监听状态(listening)到转发(forwarding)或失效状态(disabled)
    · 从转发状态(forwarding到失效状态(disabled)
    · 从失效状态(disabled)到阻塞状态(blocking)
 
 
---------------------------------------------------------------------------
四、高级TCP/IP知识         14%
 
A类地址的范围
范围从 1.0.0.1 到 126.255.255.254 的单址广播 IP 地址。第一个八位字节指明网络,后三个八位字节指明网络上的主机。
注意我说的只是可用IP
网络地址和广播地址我没有写上
是1.0.0.0  126.255.255.255 
 
VLSM与标准子网划分的区别:
允许使用多个子网掩码划分子网
使组织的IP地址空间得到更有效的利用
 
 
UDP和TCP头部的共同字段
TCP:Source Port 、Destination Port 、Sequence Number、Checksun、data
UTP:Source Port 、Destination Port 、Length、Checksun、data
 
 
FQDN:
域名的根域用“.”表示,以点号结尾的域名称为完全合格域名FQDN(Full Qualified Domain Name) 
 
DNS采用的传输层协议:
DNS系统采用客户机/服务器架构,使用的传输层协议为TCP或UDP,服务器端口号53
一般客户机与本地DNS域名服务器之间的查询交互采用的就是递归查询方式
一般本地域名服务器发送至根域名服务器的查询采用的就是迭代查询
 
FTP数据连接包括、主动被动的区别
主动方式也称为PORT方式,在建立数据连接的过程中,由服务器主动发起连接,因此被称为主动方式;被动方式也称为PASV方式,在整个过程中,由于服务器总是被动接收客户端的数据连接,因此被称为被动方式
 
DHCP协议:
在DHCP客户端的IP地址租约期限达到一半时间时,DHCP客户端会向为它分配IP地址的DHCP服务器单播发送DHCP-REQUEST报文,以进行IP租约的更新。如果客户端可以继续使用此IP地址,则DHCP服务器回应DHCP-ACK报文,通知DHCP客户端已经获得新IP租约;如果此IP地址不可以再分配给该客户端,则DHCP服务器回应DHCP-NAK报文,通知DHCP客户端不能获得新的租约。
如果在租约的一半时间进行的续约操作失败,DHCP客户端会在租约期限达到7/8时,广播发送DHCP-REQUEST报文进行续约。DHCP服务器的处理方式同上,不再赘述。
对于RELAY过来的,DHCP SERVER是要进行PING探测不错。可是同时客户端也进行ARP检测,如果ARP检测到地址冲突,会给服务器发送DELINE报文,指示此IP已经被占用,并且会申请新的IP。
 
 
DHCP配置:
[Router] dhcp enable
[Router] server forbidden-ip 192.168.1.10
[Router] server forbidden-ip 192.168.1.254
[Router] dhcp server ip-pool 0
[Router-dhcp-pool-0] network 192.168.1.0 mask 255.255.255.0
[Router-dhcp-pool-0] gateway-list 192.168.1.254
[Router-dhcp-pool-0] dns-list 192.168.1.10
[Router-dhcp-pool-0] expired day 5 
 
IPv6 压缩表达式:
冒号十六进制表示法,16位一段,共8段 
为了缩短书写长度,可以用压缩表示:
段内前导 “0”压缩
全“0”段压缩 
 
邻居发现协议:
主机无须任何配置就可以连通网络
邻居发现协议所实现的功能包括有
地址解析 
与IPv4中的ARP类似
路由器发现/前缀发现 
用于发现网络中的路由器及前缀,有利于自动配置
地址自动配置
 全新的功能,用于自动生成地址
其它
地址重复检测等
 
ARP代理配置:
[Switch-Vlan-interface1] proxy-arp enable
--------------------------------------------------------------------------------
五、配置IP路由             22%
 
路由的掩码长度与匹配的先后顺序、优先级、COST:
优先级值越小越优先;COST越小越好;掩码长度越大、范围越小就越先选
 
等值路由:目的网段相同,路由优先级相同,下一跳不同的路由
 
直连路由的下一跳是自己接口的IP,静态的不能是本设备的端口IP
 
display ip routing-table statistics命令用来显示公网路由表或×××路由表中的综合路由统计信息。路由的综合信息包括路由总数目、路由协议添加/删除路由数目、有deleted标志而未删除的路由、active路由、被释放的路由数目。
 
 
ICMP 和 IP:
在网络中,ICMP报文将作为IP层数据报的数据,封装在IP数据报中进行传输,如图13.5所示。但ICMP并不是高层协议,而仍被视为网络层协议。
 
距离失量路由协议的特征:
1、周期性的广播更新
2、所发送的内容为自己的路由表
3、发送只传递给自己的邻居
4、它是一种基于流言的路由协议
链路状态路由协议的特征:
1、所发送的是自己邻居端口的状态,而不是整个路由表
2、触发式更新
3、采用组播发送
4、路由表的获得是经过自己计算得来的
 
静态路由和策略路由的cost分别为0、1   所以只能是是动态路由。
 
路由类型  默认优先级
 直连       0
 OSPF内部路由 10
 IS-IS    15
 静态  60
 RIP路由    100
 OSPF外部路由 150
 IBGP         255
 EBGP         255
 BGP路由      256
除直连路由(DIRECT)外,各种路由的优先级都可由用户手工进行配置。另外,每条静态路由的优先级都可以不相同。
 
指定出接口还是指定下一跳地址要视具体情况而定,下一跳地址不能为本地接口IP地址,否则路由不会生效。对于Null0和Loopback接口,配置了出接口就不再配置下一跳地址。
NULL0是路由器上的一个虚拟端口,也被称为丢弃端口。所有到达该端口的数据被直接丢弃。
 
双ISP接入路由自动判断出口地址,比如有电信和网通线路各一条,要实现对电信IP的网站访问时,走电信的那条线;访问网通网站的时候走网通的那条线,当然是可以互为备份,但并非普通的线路备份,而是要根据访问网站的IP地址让路由器来判断是走网通线出去还是走电信线出去.至于路由表,应该是遵循最优路径,只有一条路由!
 
路由表的来源
路由表中的路由通常可分为以下三类:
a:链路层协议发现的路由(也称为接口路由或直连路由)
b:由网络管理员手工配置的静态路由
c:动态路由协议发现的路由
 
路由协议的工作过程包括:交换路由信息、计算路由、维护更新路由
 
RIP使用UDP 520端口,传输的RIP数据包用于进行路由更新。
 
RIP-1是有类别路由协议(Classful Routing Protocol),它只支持以广播方式发布协议报文。RIP-1的协议报文无法携带掩码信息,它只能识别A、B、C类这样的自然网段的路由,因此RIP-1不支持不连续子网(Discontiguous Subnet)。
RIPv2是一种无类别路由协议(Classless Routing Protocol)。
RIPv2协议报文中携带掩码信息,支持VLSM(可变长子网掩码)和CIDR。
RIPv2支持以组播方式发送路由更新报文,组播地址为224.0.0.9,减少网络与系统资源消耗。
RIPv2支持对协议报文进行验证,并提供明文验证和MD5验证两种方式,增强安全性。
 
RIP-1和2都能学习到自然分类网段和非自然分类网段,但是1发送的只能是自然分类网段
 
summary命令用来使能RIP-2自动路由聚合功能,聚合后的路由以使用自然掩码的路由形式发布,减小了路由表的规模。undo summary命令用来关闭自动路由聚合功能,以便将所有子网路由广播出去。
 
缺省情况下,RIP-2自动路由聚合功能处于使能状态。
 
使能RIP-2自动路由聚合功能可以减小路由表规模,提高大型网络的可扩展性和效率。
 
 
 
RIP在缺省情况下每隔30秒向相邻路由器发送本地路由表
network 0.0.0.0命令用来在所有接口上使能RIP。
路由聚合:同一自然网段内的不同子网的路由在向外其它网段发送时聚合成一条自然掩码的路由发送
 
查看RIP的debugging信息:debugging rip 1 packet
 
 
RIP通过以下机制来避免路由环路的产生:
a:计数到无穷(Counting to infinity):将度量值等于16的路由定义为不可达(infinity)。在路由环路发生时,某条路由的度量值将会增加到16,该路由被认为不可达。
b:水平分割(Split Horizon):RIP从某个接口学到的路由,不会从该接口再发回给邻居路由器。这样不但减少了带宽消耗,还可以防止路由环路。
c:毒性逆转(Poison Reverse):RIP从某个接口学到路由后,将该路由的度量值设置为16(不可达),并从原接口发回邻居路由器。利用这种方式,可以清除对方路由表中的无用信息。
d:触发更新(Triggered Updates):RIP通过触发更新来避免在多个路由器之间形成路由环路的可能,而且可以加速网络的收敛速度。一旦某条路由的度量值发生了变化,就立刻向邻居路由器发布更新报文,而不是等到更新周期的到来。
 
 
 
RIP定时器:
RIP受四个定时器的控制,分别是Update、Timeout、Suppress和Garbage-Collect。
a: Update定时器,定义了发送路由更新的时间间隔。
b:Timeout定时器,定义了路由老化时间。如果在老化时间内没有收到关于某条路由的更新报文,则该条路由在路由表中的度量值将会被设置为16。
c: Suppress定时器,定义了RIP路由处于抑制状态的时长。当一条路由的度量值变为16时,该路由将进入抑制状态。在被抑制状态,只有来自同一邻居且度量值小于16的路由更新才会被路由器接收,取代不可达路由。
d:Garbage-Collect定时器,定义了一条路由从度量值变为16开始,直到它从路由表里被删除所经过的时间。在Garbage-Collect时间内,RIP以16作为度量值向外发送这条路由的更新,如果Garbage-Collect超时,该路由仍没有得到更新,则该路由将从路由表中被彻底删除。   120s
 
 
 
OSPF的常用语、配置
AS下 划分区域area、LSA、LSDB
DR(Designated Router,指定路由器):所有路由器都只将信息发送给DR,由DR将网络链路状态发送出去。
BDR(Backup Designated Router,备份指定路由器):当DR失效后,BDR会立即成为DR
DR Other:既不是DR也不是BDR的路由器,DR Other仅与DR和BDR之间建立邻接关系,DR Other之间不交换任何路由信息。
 
----------------------------------------------
DR/BDR选举过程:
DR和BDR是由同一网段中所有的路由器根据路由器优先级、Router ID通过Hello报文选举出来的,只有优先级大于0的路由器才具有选举资格。
 
进行DR/BDR选举时每台路由器将自己选出的DR写入Hello报文中,发给网段上的每台运行OSPF协议的路由器。当处于同一网段的两台路由器同时宣布自己是DR时,路由器优先级高者胜出。如果优先级相等,则Router ID大者胜出。如果一台路由器的优先级为0,则它不会被选举为DR或BDR。
 
需要注意的是:只有在广播或NBMA类型接口才会选举DR,在点到点或点到多点类型的接口上不需要选举DR;
              DR是某个网段中的概念,是针对路由器的接口而言的。某台路由器在一个接口上可能是DR,在另一个接口上有可能是B网段中已经存在的DR/BDR成为新的DR/BDR。
              DR并不一定就是路由器优先级最高的路由DR,或者是DR Other。
              路由器的优先级可以影响DR/BDR的选举过程,但是当DR/BDR已经选举完毕,就算一台具有更高优先级的路由器变为有效,也不会替换该器接口;同理,BDR也并不一定就是路由器优先级次高的路由器接口。
 
ospf dr-priority命令用来设置接口的DR优先级。undo ospf dr-priority命令用来恢复缺省情况。
缺省情况下,接口的DR优先级为1。
接口的DR优先级决定了该接口在选举DR/BDR时所具有的资格,数值越大,优先级越高。优先级高的在选举权发生冲突时被首先考虑。如果一台设备的优先级为0,则它不会被选举为DR或BDR。
设备不支持在Null接口、Loopback接口上配置DR优先级。
 
----------------------------------------------------
ospf 数据封装在ip包中,协议号是89(十进制),和tcp(6),udp(17)是并列的。
 
OSPF有五种类型的协议报文:Hello、DD、LSR、LSU、LSAck
LSA类型: Router LSA、 Network LSA、Summary LSA、AS External LSA、 NSSA External LSA
 
ABR(区域边界路由)
一个路由器可以属于不同的区域,但是一个网段(链路)只能属于一个区域,或者说每个运行OSPF的接口必须指明属于哪一个区域
一台运行OSPF协议路由器,每一个OSPF进程必须存在自己的Router ID(路由器ID)。
路由器的一个接口只能属于某一个OSPF进程。
只有在同一个区域的OSPF路由才能建立邻居和邻接关系
是在AS内选DR还是在AREA内选的DR:是在相同地网段中,即AREA
 
OSPF永久组地址:224.0.0.5
 
配置:
system-view
--router id ip-address
ospf [ process-id | router-id router-id | ***-instance instance-name ] *
description description
area area-id
description description
network ip-address wildcard-mask(配置区域所包含的网段并在指定网段的接口上使能OSPF)
 
----------------------------------------------------------------------------
六、配置安全的分支网络     12%
 
deny ip 是不是 deny了PING icmp:
在匹配deny ip 的规则后,ICMP就不通,包括echo和echo reply。因为ICMP报文将作为IP层数据报的数据,封装在IP数据报中进行传输
 
Easy IP
如果地址转换命令不带 address-group参数,即仅使用 nat outbound acl-number命令,则实现了 easy-ip的特性。地址转换时,直接使用接口的 IP地址作为转换后的地址,利用访问控制列表控制哪些地址可以进行地址转换。
不用预先配置地址池
工作原理与普通NAPT相同,是NAPT的一种特例
适用于拨号接入Internet或动态获得IP地址的场合
 
TCP:WWW、SMTP、FTP、POP2 POP3 BGP TELNET 
UDP:DNS RIP SNMP TFTP
 
 
 
NAPT
将访问控制列表和 NAT地址池关联时,如果选择 no-pat 参数,则表示只转换数据包的 IP地址而不使用端口信息,即不使用 NAPT功能;如果不选择 no-pat参数,则启用 NAPT功能。缺省情况是启用。
 
NAPT 网络地址端口转换
NAT的配置
  # 配置地址池和访问控制列表,允许10.110.10.0/24 网段进行地址转换。
 
    [h3c] nat address-group 1 202.38.160.101 202.38.160.105
    [h3c] acl number 2001
    [h3c-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255
    [h3c-acl-basic-2001] rule deny source 10.110.0.0 0.0.255.255
    [h3c-acl-basic-2001] quit
    [h3c] interface gigabitethernet 3/0
    [h3c-gigabitethernet3/0] nat outbound 2001 address-group 1
 
Nat Server:
NAT Server配置命令:nat server protocol pro-type global global-addr [ global-port ] inside host-addr [ host-port ]
# 进入接口模式视图
[RTA]interface Ethernet0/1
# 在出接口上将私网服务器地址和公网地址做一对一NAT映射绑定  
[RTA-Ethernet0/1]nat server protocol tcp global 198.76.28.11 telnet inside 10.0.0.1 telnet
 
查看NAT报文转换的数量:display acl
 
七、广域网接入和互联       16%
 
Frame Relay
帧中继用DLCI标识虚电路
DLCI只具有本地意义,不具备全局意义
帧中继地址映射是把对端设备的协议地址与对端设备的帧中继地址(本地的DLCI)关联起来
映射可以通过静态配置或Inverse ARP建立
通过Inverse ARP可以自动发现对端路由器的网络地址,从而简化了帧中继的配置
帧中继网络用户接口上最多可支持 1024 条虚电路,其中用户可用的 DLCI范围是 16~1007。
根据虚电路建立的不同方式,可以将虚电路分为两种类型:永久虚电路(PVC)和交换虚电路(SVC)。手工设置产生的虚电路称为永久虚电路,通过协议协商产生的虚电路称为交换虚电路,这种虚电路由协议自动创建和删除。目前在帧中继中使用最多的方式是永久虚电路方式,即手工配置虚电路方式。 
 
对于 DTE侧设备,永久虚电路的状态完全由 DCE侧设备决定。对于 DCE侧设备,永久虚电路的状态由网络来决定。在两台网络设备直接连接的情况下,DCE侧设备的虚电路状态是由设备管理员来设置的。在系统中,虚电路的个数和状态是在设置地址映射的同时设置的,也可以用 fr dlci命令配置。 
 
 
DCE/DTE CSU/DSU:
1.CSU/DSU 是什么
  CSU(Channel Service Unit,通道服务单元):把终端用户和本地数字电话环路相连的数字接口设备。通常它和DSU统称为CSU/DSU。 
  DSU(Data Service Unit,数据服务单元):指的是用于数字传输中的一种设备,它能够把DTE设备上的物理层接口适配到T1或者E1等通信设施上。数据业务单元也负责信号计时等功能,它通常与CSU(信道业务单元)一起提及,称作CSU/DSU。
 
CSU(通道服务单元):把终端用户和本地数字电话环路相连的数字接口设备。通常它和DSU统称为CSU/DSU。 
DSU(数据业务单元):指的是用于数字传输中的一种设备,它能够把DTE设备上的物理层接口适配到T1或者E1等通信设施上。数据业务单元也负责信号计时等功能,它通常与CSU(信道业务单元)一起提及,称作CSU/DSU。
DCE(数据通信设备或者数据电路终端设备):该设备和其与通信网络的连接构成了网络终端的用户网络接口。它提供了到网络的一条物理连接、转发业务量,并且提供了一个用于同步DCE设备和DTE设备之间数据传输的时钟信号。调制解调器和接口卡都是DCE设备的例子。
DTE(数据终端设备):指的是位于用户网络接口用户端的设备,它能够作为信源、信宿或同时为二者。数据终端设备通过数据通信设备(例如,调制解调器)连接到一个数据网络上,并且通常使用数据通信设备产生的时钟信号。数据终端设备包括计算机、协议翻译器以及多路分解器等设备。
 
 
HDLC的特性:
对于任何一种比特流都可透明传输 
较高的数据链路传输效率
所有的帧(包括响应帧)都有FCS,传输可靠性高
用统一的帧格式来实现传输
 
HDLC 的另一个重要功能是流量控制,换句话说,一旦接收端收到数据,便能立即进行传输。HDLC 具有两种不同的实现方式:高级数据链路控制正常响应模式即 HDLC NRM(又称为SDLC)和 HDLC 链路访问过程平衡(LAPB)。其中第二种使用更为普遍。HDLC 是 X.25 栈的一部分。
 
HDLC协议使用限制:
只支持点到点连接,不支持点到多点 
只能工作于同步方式
不支持验证,缺乏安全性
不支持IP地址协商
 
在 MSR路由器上,希望把 HDLC协议的Keepalive 报文时间调整为20秒(缺省值为10):在接口视图下,使用命令 timer hold 20
 
链路控制协议,Link Control Protocol,简称 LCP。主要用来建立、拆除和监控数据链路。 
网络控制协议,Network Control Protocol,简称NCP。主要用来协商在该数据链路上所传输的数据包的格式与类型。 
 
PPP运行过程如下: 
(1)  在开始建立 PPP链路时,先进入到 Establish阶段。 
(2)  在 Establish 阶段 PPP 链路进行 LCP 协商,协商内容包括工作方式(是 SP还是 MP)、验证方式和最大接收单元 MRU(Maximum-Receive-Unit)等。
LCP在协商成功后进入 Opened状态,表示底层链路已经建立。 
(3)  如果配置了验证 (远端验证本地或者本地验证远端) 则进入 Authenticate阶段,开始 CHAP或 PAP验证。 
(4)  如果验证失败进入 Terminate阶段,拆除链路,LCP状态转为 Down;如果验证成功就进入 Network 协商阶段(NCP),此时 LCP 状态仍为 Opened,而IPCP状态从Initial转到 Request。 
(5) NCP协商支持 IPCP协商,IPCP协商主要包括双方的 IP地址。通过 NCP协商来选择和配置一个网络层协议。只有相应的网络层协议协商成功后,该网络层协议才可以通过这条 PPP链路发送报文。 
(6) PPP链路将一直保持通信,直至有明确的 LCP或NCP帧关闭这条链路,或发生了某些外部事件(例如,用户的干预)。 
 
ip address negotiate 的作用
因为PPP支持IP地址的协商,只有当接口封装链路层协议PPP时,才能设置接口IP地址的协商。在一般情况下,不需要配置IP地址的协商,只有在一些特殊情况下,如接入ISP访问Internet,此时与ISP相连接口的IP地址由ISP协商分配。配置接口IP地址的协商后,不需给该接口配置IP地址。
 
 
 
PAP:被验证方首先发起验证请求,两次握手验证,密码以明文传送。被验证方发送用户名和密码,收到通过/者拒绝
CHAP:主验证方首先发起验证请求,三次握手验证,不发送密码,安全性比PAP高。主发起主机名+随机报文,收到主机名+加密后报文,再发起通过/拒绝
 
PPP的协商以及查看状态
状态:Dead 、Establish、 Authenticate、 Network 、Teminate
 
 
PPP的配置
设置接口报文的封装PPP:[Router-Serial1/0]link_protocol PPP
设置验证类型:[Router-Serial1/0]ppp authentication-mode {pap|chap}
设置用户名、密码、服务类型:
[ROUTER]local-user name
[ROUTER-luser-name]password simple password
[ROUTER-luser-name]service-type ppp
 
配置PAP
主验证方:配置用户列表以及验证方式
[Router] local-user name
[Router-luser-name] password simple password
[Router-luser-name] service-type ppp 
[Router-Serial1/0] ppp authentication-mode { pap | chap }
被验证方:配置PAP用户名
[Router-Serial1/0] ppp pap local-user username password { cipher | simple } password
 
配置CHAP
主验证方配置:
[Router-Serial1/0] ppp authentication-mode chap
配置本地名称
[Router-Serial1/0] ppp chap user username
将对端用户名和密码加入本地用户列
[Router] local-user name
[Router-luser-name] password simple password
[Router-luser-name] service-type ppp 
被验证方配置:(配置本地名称和密码)
[Router-Serial1/0] ppp chap user username
[Router-Serial1/0] ppp chap password { cipher | simple } password
 
 
ISDN DCC的配置:
BRI:2B+D = 144kbps B=64k D=16k
PRI:30B+D = 2Mbps 23B+D=1.544Mbps B=64k D=64k