华为 - HCNA 笔记
华为HCNA笔记
# [应用层]()
应用层通过协议产生数据。
OSI 七层模型又称为开放式互联体系参考模型
应用层协议: (端口号)
HTTP (超文本传输协议) tcp 80
FTP (文件传输协议) tcp 20 、 21
DNS (域名解析协议) tcp/udp 53
DHCP (动态主机配置协议) udp 67 、 68
SMTP (简单的邮件传输协议) tcp 25
POP3 (邮局协议) tcp 110
Telnet (远程登录协议) tcp 23
OICQ ( qq 应用协议) udp 8000 、 4000
**应用层数据: pdu**
**传输层数据: segment 数据段**
**网络层数据: packet 数据包**
**数据链路层: fame 数据帧**
**物理层数据: bit 比特流**
# [传输层]
1. 进行数据分段
2. 封装 tcp/udp 报头(数据段)
T cp (传输控制协议): 可靠 延迟大
U dp (用户数据包协议):不可靠 延迟小
1 bit :比特 =8 byte :字节 1B=8b 1.25MB=10Mb
tcp 长度为 20 到 60 字节,其中 20 为固定头部
源端口号 Source Port 和目的端口号 Destination Port
(端口号作用:为了识别上层协议)
Sequence Number :序列号 Seq
Acknowledge Number :确认号 ACK
Header length :头部长度 记录包头大小,长度不固定
ACK :确认位 SYN :请求位 FIN :结束位
Window :窗口大小 checksum 校验和 urgent pointer :紧急指针
端口号:(识别上层协议)0-66535 共 66536 个
知名端口号: 0-1023
注册端口号: 1024-49151
随机端口号: 49152-66535
### **tcp 保证可靠的机制(丢包重传机制)**
1. 传输前
tcp 三次握手:
主机 A 发送请求 SYN 数据段,序列号 seq 为 a ,服务器 A 收到后回复 SYN+ACK ,
确认号 ACK 为 a+1 ,序列号 seq 为 b ,主机 A 收到后回复 ACK ,确认号为 b+1 ,序列号为 a+1 。
2. 传输中
a. 确认号的确认机制
seq 变化:第一次 seq=a 第二次 seq=a+ 传输的字节大小
主机 a 发送序列号 m=m+499 ,发送三次后 seq m+1000=m+1499 ,服务器收到后发送确认号 m+1500 ,若传输过程中丢失数据包,则进行重传。
(主机 A 向服务器 A 发送 TCP 数据段,为描述方便假定每个数据段的长度都是 500 个字节。当服务器 A 成功收到序列号是 M+1499 的字节以及之前的所有字节时,会以序列号 M+1499+1=M+1500 进行确认。另外,由于数据段 N+3 传输失败,所以服务器 A 未能收到序列号为 M+1500 的字节,因此服务器 A 还会再次以序列号 M+1500 进行确认)
b. 窗口大小
主机 a 发送四个数据包大小为 4096 ,服务器 a 接受三个,丢弃一个,并向主机 a 回复 ack=3073 ,窗口大小 3072 ,则主机调整发送数据包大小。
主机 A 向服务器发送 4 个长度为 1024 字节的数据段,其中主机的窗口大小为 4096 个字节。服务器 A 收到第 3 个数据段后,缓存区满,第 4 个数据段被丢弃。服务器以 ACK3073 响应,窗口大小调整为 3072 ,表明服务器的缓冲区只能处理 3072 个字节的数据段。于是主机 A 改变其发送速率,发送窗口大小为 3072 的数据段。
\3. 传输结束
四次分手:
主机 a 发送 FIN+ACK ,序列号为 a , ack=b ,服务器收到后发送 ACK ,并回复 seq=b , ack=a+1 ,同时向主机 a 发送 FIN+ACK , seq=b , ack=a+1 ,主机 a 回复 seq=a+1 , ack=b+1 。
(其中 ACK 是为了确认之前的数据传输完毕)
1. 主机 A 想终止连接,于是发送一个标识了 FIN , ACK 的数据段, 序列号为 a ,确认序列号为 b 。
2. 服务器 A 回应一个标识了 ACK 的数据段,序列号为 b ,确认序号为 a+1 ,作为对主机 A 的 FIN 报文的确认。
3. 服务器 A 想终止连接,于是向主机 A 发送一个标识了 FIN , ACK 的数据段,序列号为 b ,确认序列号为 a+1 。
4. 主机 A 回应一个标识了 ACK 的数据段,序列号为 a+1 ,确认序号为 b+1 ,作为对服务器 A 的 FIN 报文的确认。
以上四次交互便完成了两个方向连接的关闭
UDP
UDP 报文分为 UDP 报文头和 UDP 数据区域两部分。报头由源端口、目的端口、报文长度以及校验和组成。 UDP 适合于实时数据传输,如语音和视频通信。相比于TCP , UDP 的传输效率更高、开销更小,但是无法保障数据传输的可靠性。
UDP 不提供重传机制,占用资源小,处理效率高。
一些时延敏感的流量,如语音、视频等,通常使用 UDP 作为传输层协议。
# [网络层]()
网络层作用:
1. 包分片( MTU 最大传输单元,大于 1500 字节不能传递)
2. 封装 IP 包头
3. 进行路由寻址和选路(进行不同网段的数据通信)
4. 识别上层协议
IP :*互联网协议***,简称网协
IP 包头字节为 20~60 ,固定为 20 字节
V ersion :版本 、 header length 头部长度 、 DS field DS 字段( QOS 中涉及)、
total length 总长度
identification (标识:区分数据包), flags (标志:标记最后一个数据包), Fragment Offset (片偏移:记录数据包顺序)进行包分片。
Time to Live 生存时间( TTL , 默认值为 255 ,每经过一个三层设备就减一,当 TTL= 0 时, 数据包不可用, 具有防环作用。 )
Protocol 协议号(识别 tcp 与 udp , tcp=6 , udp=17 )
Header checksum 头部校验和
Source ip address : 源 IP 地址
destination ip address :目的地址
网络设备:
测试连通性用 ping 命令: ping 目的 IP 地址
华为设备有两种视图模式:用户视图用 > 表示,系统视图用 # 表示
网关: PC 所连路由器的接口地址
dis ip interface brief 查看接口和 IP 地址对应关系
# [数据链路层]()
## [数据链路层作用 ]():
1. 封装帧头帧尾
2. 实现相同网段的数据通信
帧头:
DMAC ( Destination MAC )是目的 MAC 地址。
SMAC ( Source MAC )是源 MAC 地址
类型字段( Type )用于识别上层协议,该字段长度为 2 个字节
IP:互联网协议 0x0800 2048
ARP:地址解析协议 0x0806 2054
帧尾:
FCS校验字段
MAC地址唯一标识,一共6B,48bit,前三字节为厂商组织的唯一标识,后三个字节为生产厂商的唯一标识。
当MAC地址的第一个字节第八个比特为0时为单播,全F为广播,第一个字节第八个比特为1,为组播
组播 MAC 地址的第 8 个比特为 1 ,而单播 MAC 地址的第 8 个比特为 0 。
物理层将数据帧装换成比特流传输给对方。
## [数据封装与解封装]()
一、数据封装:
应用层产生数据 data ,发送给传输层,传输层封装 tcp/udp 报头【包头包含端口号(源端口号与目的端口号)】,发送给网络层,网络层封装 IP 报头(源 IP 地址与目的 IP 地址)【报头包含协议类型( tcp=6 , udp=17 )】,发送给数据链路层,数据链路层封装帧头【帧头包含 type ( IP=0x0800,arp=0x0806 ) MAC 地 址(源 MAC 地址与目的 MAC 地址)】帧尾,交给物理层,物理层将数据帧转换为比特流发送给对方。
二、数据解封装:
物理层收到比特流后转换为数据帧传输给数据链路层,数据链路层确定目的 Mac 为自己,查看 type 类型,去掉帧头帧尾后传输给网络层,网络层确定目的 IP 为自己,查看协议类型,去掉 IP 报头之后发送给传输层,传输层查看端口号,去掉 tcp/udp 报头之后将数据传送给应用层。
# [IP]()地址
IP 地址用来标识某个网络某台主机。
IP 地址由 32 个二进制位( 4 个字节共 32bit )组成,采用点分十进制形式表示,由网络位和主机位构成。
Version :版本号 header length :头部长度 total length :总长度
Mtu 最大传输单元 大于 1500b 时进行包分 片
Identification 标示字段 flags :标志字段 fragment offset :片偏移,三个为包分片作用
Timetolive ( ttl )生存时间,默认值为 255 ,每经过一个三层设备就减一,当 TTL= 0 时,被丢弃,具有防环作用。
Protocol 协议号(识别 tcp 与 udp , tcp=6 , udp=17 )
Header checksum 头部校验和
Source ip address : 源 IP destination ip address :目的地址
数据链路层:帧头加帧尾最大 1500+18=1518b 最小 46+18=64b
数据帧大小即 64~1518b
D.MAC 目的 Mac 地址, S.Mac 源 Mac 地址
Type 类型 fcs 校验字段
Mac 物理地址,前三个字节为组织的唯一标识,后三个字节为生产厂商的唯一标识
IP 地址包括两部分,第一部分是网络号,表示 IP 地址所属的网段,第二部分是主机号,用来唯一标识本网段上的某台网络设备。
| 乘方 | 2 7 | 2 6 | 2 5 | 2 4 | 2 3 | 2 2 | 2 1 | 2 0 |
| ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- |
| 数值 | 128 | 64 | 32 | 16 | 8 | 4 | 2 | 1 |
| | | | | | | | | |11111111=255 11111110=254 11111100= 252 11111000 =248
11110000=240 11100000=224 11000000=192 10000000=128
0=1 1=2 3=8 4=16 5=32 6=64 7=128 8=256 9=512 10=1024
11=2048 12=4096 13=8192 14=16384 15=32768 16=66536
网络地址描述了 IP 地址所在的网络。
主机位全为 0 为网络地址,主机位全为 1 为广播地址。
n = 主机位数 , ip 地址 =2^n ,可用 ip 地址数 =2^n-2
地址分类: 私有地址:(任何用户都可以使用)
A 类:1-127
B 类:128-191
C 类:192-223
D 类:(组播地址)
E 类:(保留地址)
A 类地址 8+24 B 类地址 16+16 C 类地址 24+8
:本地环回地址(测试网络连通性):所有网络
:有限广播地址 (本网段广播)
主机位全为 1 的为直接广播地址(跨网段广播)
子网掩码用于区分网络部分和主机部分,子网掩码中的 1 表示网络位, 0 表示主机位。
A 类地址默认子网掩码为前 8 个比特为网络位
B 类地址默认子网掩码为 255..255.0.0 前 16 个比特为网络位
C 类地址默认子网掩码为前 24 个比特为网络位
VLSM :可变长子网掩码划分(解决了地址浪费的问题,节省了 IP 地址)
# [交换机原理]()
交换机:进行相同网段转发
**ARP**:地址解析协议(根据ip查找Mac)
- [ ] ##### $免费ARP:$
- [ ] - 该类型报文起到一个宣告作用。它以广播的形式将数据包发送出去,不需要得到回应,只为了告诉其他计算机自己的 IP 地址和 MAC 地址。
- 可用于检测 IP 地址冲突。当一台主机发送了免费 ARP 请求报文后,如果收到了 ARP 响应报文,则说明网络内已经存在使用该 IP 地址的主机
- 可用于更新其他主机的 ARP 缓存表。如果该主机更换了网卡,而其他主机的 ARP 缓存表仍然保留着原来的 MAC 地址。这时,可以发送免费的 ARP 数据包。其他主机收到该数据包后,将更新 ARP 缓存表,将原来的 MAC 地址替换为新的 MAC 地址。
ARP含有两种报文:请求包( ARP request ),响应包( ARP Reply )。
ping命令运用ICMP协议 (在路由器中用离目标最近的接口地址为源地址)。
ARP会通过广播来寻找对方Mac,发送时为广播,回复为单播。
交换机传输过程中三个过程:
\1. 学习动作:创建Mac表,存放Mac与对应接口(基于源MAC学习)
\2. 泛洪:将广播发送给 除 本接口外的其他接口 (透传)
\3. 转发动作:根据目的Mac查Mac地址表进行转发。(基于目的MAC地址转发)
## 交换机数据传输过程
PC1应用层产生DATA数据,传输层进行tcp/udp封装,网络层封装 IP报头( 源ip与目的ip 并封装协议类型) ,数据链路层封装 帧头帧尾(源 Mac 与目的Mac) ,查看ARP表,未知目的Mac,发送ARP广播,交换机收到后,进行学习动作,创建Mac 地址 表,含有源Mac与对应接口,之后进行泛洪动作,将数据发送给除接收接口外的其他接口,PC2收到ARP广播后,建立ARP表,含有PC1的ip与Mac,之后进行回复,通过ARP表查询对方Mac,进行帧封装( 包含 Mac),之后传 送 到交换机,交换机进行学习动作,添加PC2的Mac与对应接口,之后通过查询Mac表得知PC1的接口后转发给PC1,传输结束。之后再次对PC2进行传输时会先查询ARP表,若存在,则不再发送广播。
# [路由器原理]()
路由器数据传输时的动作:
1. 解封装:确定 Mac 后进行解封装
2. 转发:根据路由查路由表进行 数据 转发(路由表:路由器会默认将 直 连网段放入路由表) 。
3. 重写:重新封装新的帧头帧尾
网关:网络出口(路由器接口)。
路由器:用于转发不同网段数据。
路由器具有 ARP 缓存。
## [路由器数据传输过程]()
PC1 产生数据后,在封装 Mac 时,查看 ARP 表 时 未知 Mac 地址,发送 ARP 广播,网关收到 ARP 后 向 PC1 回复自己的 Mac , PC1 进行封装,发送到网关,网关查看 Mac 确认后,进行解封装为数据包,通过查看路由表(目的 IP )后 转发(路由表含有接口和 IP ),对应接口进行数据重封装,封装时未知目的 Mac ,发送 ARP 广播, PC2 收到后回复单播及 Mac ,之后接口进行封装并发送到 PC2 。 PC2 收到数据后,创建 ARP 表,包含网关 ip 和对应 Mac 。之后 PC2 回复数据,封装 Mac 时查看 ARP 表,封装 Mac 后回复给网关,网关确认 Mac 后解封装为数据包,传到下一接口,查询路由表得知 PCI 的 Mac ,之后重写封装,传给 PC1 。
# [静态路由]()
静态路由 : 手动配置的路由即为静态路由。
静态路由一般适用于结构简单的网络。
浮动静态路由:通过修改优先级进而达到冗余备份能力
等价路由:目的网络相同,但下一跳不同。
子网掩码 32 的为主机路由。
下一跳:到达目的网络的下一个路由器直连接口的 IP 地址。
I p router-static + 目的网络 + 子网掩码 + 下一跳(即下一个路由器的接口地址)。
## [ ]()路由比较
1. 最长匹配(精确匹配):掩码越长越优先;
2. 路由优先级 :优先级越小越优先(直连优先级 0 ,静态优先级 60 );
tracert: 路由跟踪命令:跟踪到达目的网络的网络之间所经过的路由器
改变优先级: I p router-static + 目的网络 + 子网掩码 + 下一跳 +Preference+ 优先级。(仅对本地设备进行修改)
路由表中仅存放最优路由。
CIDR :无类域间路由(把相同位置为网络位,把不同位置为主机位,求网络地址。
## [缺省路由]()
缺省(默认)路由:目的网络为的路由,可以代替所有路由。
配置缺省路由时,不可双向配置,否则会形成环路,缺省路由用于配置内网访问外网时所经过的路由器。
当私网访问公网时,所经过的路由器都需要配置缺省路由来代替公网路由。
当 R1 配置默认路由指向 R2 , R2 配置默认路由指向 R1 时, R1 访问一个不存在的地址时, R2 与 R1 之间数据产生环路。
# [动态路由协议]()
动态路由协议:路由器之间相互学习的路由
AS (自治区与系统):一个路由管理域的集合
动态路由协议分类:
1. 按照运行范围
A 、 AS 内:
OSPF :开放式最短路径优先
RIP :路由信息协议
ISIS :中间系统到中间系统
B 、 AS 外:
BGP (边界网关路由协议)
2. 特性:
距离矢量路由协议: RIP 、 BGP
链路状态: OSPF 、 ISIS
距离矢量路由:传递整张路由表,只关心距离和方向。
链路状态:传递链路状态信息(描述本设备的链路连接信息),能够构成整张拓扑。
## [RIP]()
### [工作原理:]()
路由器启动时,路由表中只会包含直连路由。运行 RIP 之后,路由器会发送 Request 报文,用来请求邻居路由器的 RIP 路由。运行 RIP 的邻居路由器收到该 Request 报文后,会根据自己的路由表,生成 Response 报文进行回复。路由器在收到 Response 报文后,会将相应的路由添加到自己的路由表中。 RIP 网络稳定以后,每个路由器会周期性地向邻居路由器通告自己的整张路由表中的路由信息,默认周期为 30 秒。邻居路由器根据收到的路由信息刷新自己的路由表。
1. 路由器运行 RIP 发送请求,对方收到后回复;
2. 当网络稳定时,路由器会周期性(周期为 30s )的发送更新消息;
RIP 宣告主类网络。
RIPV1 配置:
1. 进入 RIP 进程: rip
2. 宣告直连网络: network + 本地网络 (宣告主类网络; A B C 类)
RIP 优先级 100 ,静态 60 ,直连 0
request :请求消息(请求)
response :回复消息(回复及周期性更新)
rip 基于 UDP 封装,端口号 520 ,以跳数为度量
每经过一个路由器跳数加 1 ,跳数越小越优先
RIPv1 报文格式中每个字段的值和作用:
1. Command :表示该报文是一个请求报文还是响应报文,只能取 1 或者 2 。 1 表示该报文是请求报文, 2 表示该报文是响应报文。
2. Version :表示 RIP 的版本信息。对于 RIPv1 ,该字段的值为 1 。
3. Address Family Identifier ( AFI ):表示地址标识信息,对于 IP 协议,其值为 2 。
4. IP address :表示该路由条目的目的 IP 地址。这一项可以是网络地址、主机地址。
\5. Metric :标识该路由条目的度量值,取值范围 1-16 。每经过一个路由器度量数加 1
R ipv1 :
● RIPv1 是有类别路由协议,不支持 VLSM 和 CIDR 。
● 以广播的形式发送报文。
● 不支持认证。
R ipv2 :
● RIPv2 为无类别路由协议,支持 VLSM ,支持路由聚合与 CIDR 。
● 支持以广播或者 组播() 方式发送报文。
● 支持明文认证和 MD5 密文认证。
RIPV1
1. 以广播形式更新(),缺点浪费设备资源及带宽
2. 报文中不携带子网掩码,不支持 VLSM 及 CIDR
3. 不支持认证
RIPV2 ( version2 )
1. 支持广播及默认组播更新()
2. 报文中携带子网掩码,支持 VLSM 及 CIDR
3. 支持明文认证及 MD5 密文认证
RIP 认证:接口模式下, rip authentication-mode ( md5 (密文)、 simple (明文)) + 密码。
更改跳数: rip metricout + 跳数 ( 5 ) 在出方向上 ( 在对方为 5 )
rip metric in + 跳数 ( 5 ) 在进方向上 ( 本地原跳数 +5 )
### [RIP ]()产生问题及解决方法
环路:
R1在向R2发送路由表后,有一条链路发生故障,R2收到路由后更新自己的路由表,并将更新后的路由表发送给R1,R1也会更新自己的路由表,并认为之前发生故障的路由来着自R2,则一直进行相互传递。产生数据后,R1与R2则会产生环路。
防环机制:
1. 设置最大跳数(15);
2. 水平分割:从本接口收到的路由不会从本接口发出;
3. 毒性逆转(毒性反转):R1路由出现故障后,将出现故障的路由设置为16跳,等到下次更新时通告给R2,R2将其丢弃,并回复给R1路由不可达消息,R1将此路由删除,解决环路问题。
4. 触发更新:发生变化立即更新,不等待更新时间。
rip split-horizon :开启水平分割
### [RIP ]()的缺点:
1. 仅适用于小型网络
2. 容易产生环路(距离矢量路由协议)
3. 收敛速度慢
RIP 优化
抑制组播或广播消息的发送。
- ssh(安全外壳协议)服务器:22端口
- ftp服务器:21端口
- http服务器:80端口
- telnet服务器:23端口
- https服务器:443端口
- MYSQL服务器:3306端口
## [OSPF]()
OSPF :开放式最短路径优先
1. 传递链路状态信息
2. 构成整张拓扑
直连优先级 0
OSPF 优先级 10
静态优先级 60
rip 优先级 100
OSPF 基于 IP 封装,协议号 89
rip 基于 udp 封装,协议号 520
### [OSPF ]()原理:
1. 通过发送 hello 消息建立邻居关系;
2. 进行 LSA (链路状态通告)泛洪,形成相同的 LSDB (链路状态数据库);
3. 运行 SPF 算法(最短路径优先算法),得到最优路径;
OSPF 以组播更新,
OSPF 的度量叫做开销,带宽越大开销越小
计算公式为:带宽参考值( 10^8 ) / 接口带宽 =cost (开销)
修改参考带宽:进程下 : bandwidth-reference + 参考值
修改开销: 接口下: ospf cost + 参考值(在入方向增加)
LSA 工作机制:路由器收到 LSA 之后,不会马上使用,而是复制一份留到本地,另一份传递给下一个路由器。
### [OSPF ]()报文消息及传输
OSPF 报文消息:
1. hello :建立并维护邻居关系(间隔为 10S , 40S 无回复则认为邻居不存在)
2. DBD ( DD ):链路状态数据库描述报文(描述本地 数据库 信息)
3. LSR :链路状态请求报文(用于请求本地缺少的 LSA 的详细信息)
4. LSU :链路状态更新报文(用于更新所请求的 LSA )
hello , DD , R , U , ACK
传输过程:
R1 和 R2 通过 hello 报文建立邻居关系, R1 和 R2 相互发送 DBD , R1 向 R2 发送 LSR 请求报文, R2 向 R1 回复 LSU 更新报文, R1 收到后回复 LSACK 确认报文。
OSPF 头部 :
1. OSPF version :版本号
2. message type :消息类型( 1=hello , 2=DD , 3=LSR , 4=LSU , 5=LSACK )
3. packet length :报文 总 长度
4. source OSPF router=router ID (默认选择第一个配置的 IP 地址)
5. area ID :区域 ID
6. packet checksum : 包 校验和
7. auth type :认证类型(基于接口认证和基于区域认证)
8. auth data :认证数据
### [邻居建立的必要条件:]()
1. 认证类型 认证信息一致
2. 版本一致
3. router ID 必须唯一
4. area 必须一致
认证类型:空认证、明文认证、密 文认证
接口认证: [R1-Ethernet0/0/0]ospf authentication-mode
区域认证: ] authentication -mode
查看 OSPF 简要邻居信息: display ospf peer brief
修改 router ID : ospf router-id
重置 OSPF 进程:
reset ospf process OSPF 中有帧中继的网络称为 NBMA :非广播多路访问
不支持广播或组播发送 单播指定邻居
将 ospf 的广播方式改为单播:
进入 OSPF 进程下, peer+ 对端地址
### [区域 area ]():
为了解决 LSDB 震荡问题,引入了区域 area
区域分为骨干区域( area0 )和非骨干区域(非 0 区域)
规则:非骨干区域相互通信必须和骨干区域相连。
### [DR&BDR ]()
路由器的接口为 DR 或 BDR ,每个网段只有一个 DR 。
每个网段都有一个 接口为 DR
r1通过hello和r2r3建立邻居关系,进行LSA泛洪,泛洪经过交换机转发后发送到r2r3,r2r3复制一份留在本地,然后交给交换机,交换机收到后继续转发,造成网络中LSA过多,设备资源占用过大。
DR :指定路由器(解决 LSA 泛洪,所有路由器均向 DR 进行 LSA 泛洪, DR 将其复制一份后再向所有路由器 LSA 泛洪,其余路由器间不进行 LSA 泛洪。)
BDR :作为 DR 备份,保证网络可靠
DRother :既不是 DR 也不是 BDR 的设备
邻居关系( DRother-- DRother ):只发送 hello 消息用于建立邻居关系
邻接关系( DRother--DR ):发送 hello 消息,进行 LSA 的泛洪
DR 选举:
1. 接口优先级:默认值为 1 ( 0~255 ) ,越大越优先。优先级为 0 ( DRother )没有选举权限。
修改优先级: [R1-Ethernet0/0/0]ospf dr-priority + 优先级
2. router id : 越大越优先
DR 具有不可抢占性
VLAN
交换机默认所有接口都在同一广播域内
VLAN:虚拟局域网(隔离广播域,节省网络带宽,保证网络安全)
作用:相同vlan下主机可以相互通信,不同vlan下主机不可通信
原理:通过tag区分不同VLAN
TAG:
1. 0x8100 =802.1q(VLAN标准)
2. PRI:优先级字段(QoS用到)
3. CFI:是否支持令牌环网络
4. VLANID(12b):共4096个VLAN,0~4095(0和4095不可用)
交换机的链路类型:
1. access:接入链路(pc与交换机相连)只允许一个VLAN通过
2. trunk:干道链路(交换机之间相连)允许多个VLAN通过
3. hybrid:混合链路,交换机默认链路类型
交换机默认存在VLAN1,且默认所有接口都属于VLAN1,允许VLAN1通过。
创建多个VLAN: vlan batch 10 20 30 40
## [VLAN ]()配置
A ccess设置:
1.port link – type access 端口设置为access
2.port default vlan 10 端口属于vlan 10
3.display port vlan 查看端口和vlan关系
trunk设置:
1. port link-type trunk 将端口设置为trunk
2. Port trunk allow-pass vlan 10 20 允许vlan10和20通过
删除trunk或access时先删除vlan,再删除接口设置
ping 用到的协议为 ICMP 协议
VLAN 链路状态
access :接入链路:
入方向:收到不带 tag 数据,打上本接口的 PVID ( port VLANID )
出方向:发出时,带 tag 的数据去掉 tag (发出的 tag 与本接口的 PVID 相同)
trunk :干道链路(满足 trunk 所允许的列表)
出方向:发出的数据与本接口的 PVID 如果相同就去掉标记,如果不同就直接转发。
修改端口 PVID : port trunk PVID VLAN
入方向:若收到的数据带 tag ,直接转;反之则打上本接口 PVID
hybrid :混合链路(手工定义允许通过的 VLAN 以及通过时的动作)。
tagged :带标记转发(不去标记)
untagged :不带标记转发(去标记)
[[SWA-GigabitEthernet0/0/1]portlink-type hybrid
[SWA-GigabitEthernet0/0/1]port hybrid taggedvlan 2 3 100
[SWA-GigabitEthernet0/0/2]port hybriduntagged vlan 2 100
[SWA-GigabitEthernet0/0/3]port hybriduntagged vlan 3 100
出方向:手工定义允许通过的 VLAN 以及 VLAN 通过时的动作
tagged :带标记转发(不去标记)
untagged :不带标记转发(去标记)
入方向:能发才能收(允许列表)
若收到带标记数据直接转发,若不带标记,就打上本接口 PVID
接口下更改 PVID : port hybrid pvid vlan 10
## [VLAN ]()间路由
配置网络设备:先二层再三层
创建虚拟接口: interface vlanif 10
在 vlanif 下配置地址
display IP interface brief 查看接口地址关系
路由器和交换机连接,接口设置为 access 接口,划到 VLAN 下。
配置单臂路由:
交换机配置接口为trunk与路由器连接
1. 启用 子接口 : interface e g0/0/0.1
2. 子接口下: Dot 1 q terminationvid 10 ( 封装vlan10 )
3. 开启ARP广播:ARP broadcast enable
4. 配置地址即网关
## [链路聚合]()
优势:
1. 增加带宽,减少拥塞
2. 实现备份,达到网络可靠
核心层配置在核心层
网络基本架构:
1. 接入层:接入终端设备,增 加用户数量
2. 汇聚层:汇聚接入层流量
3. 核心层:转发整个网络数据
链路聚合的前提:
参数一致(物理接口的数量、速率、双工方式、流控方式必须一致。)
配置方法:
二层聚合配置
1. 创建虚拟接口: [R1]interfaceEth-Trunk 12
2. 将接口加入到聚合接口:[R1-GigabitEthernet0/0/1]eth-trunk 12
3. 查看接口简要关系: [R1]displayinterface brief
三层聚合配置:
[RTA]interface eth-trunk 1
[RTA-Eth-Trunk1]undo portswitch
[RTA-Eth-Trunk1]quit
执行 undo portswitch 命令后,可以为 Eth-Trunk 逻辑口分配一个 IP 地址,其他配置一样。
# [DHCP]()
DHCP :动态主机配置协议
作用 : 动态分配地址
优点:避免地址冲突,减少网络管理员的工作量
自动获取地址从大往小分。
## [原理:]()
1. DHCP DISCOVER : DHCP 发现报文,发现网络中 DHCP 服务器
2. DHCP OFFER : DHCP 回复报文,回复 PC 携带 IP 的参数信息
3. DHCP REQUEST : DHCP 请求报文,请求该地址为本机所用
4. DHCP ACK : DHCP 确认报文,同意使用
5. DHCP NAK : DHCP 拒绝报文,拒绝使用
6. DHCP RELEASE : DHCP 释放报文
PC 获取地址后广播是为了告诉其他服务器已收到地址
DHCP 租期更新
当租期剩余 50% 时, PC 向服务器单播发送 request 请求,请求继续使用该地址,服务器若同意给 ACK , PC 收到确认后重新计时
广播:在租期剩余 12.5% 的时候超时,超时后, DHCP 客户端会认为原 DHCP 服务器不可用,开始重新发送 DHCP 请求报文。网络上任何一台 DHCP 服务器都可以应答 DHCP 确认或 DHCP 非确认报文。
在剩余 12.5% 的时候,收到 ack ,重新计时,收到 ank ,释放该地址,若没收到报文,当租期到 100% 时释放 RELEASE 该地址。
## [DHCP ]()配置
基于接口地址池 :
1. 开启 DHCP 功能: dhcp enable
2. 进入接口: interface GigabitEthernet0/0/0 (地址为网关)
3. 选择接口地址池: dhcp select interface (网段、掩码)
4. DNS 配置:
5. 设置租期时间: dhcp serverlease day 3
不参与自动分配的 IP 地址范围 dhcp server excluded-ip-address
基于全局地址池 :
1. 开启 DHCP 功能: Huawei]dhcp enable
2. 创建全局地址池: ip pool 名称
3. 子网掩码:
4. 网关列表:
5. 设置 DNS :
6. 租期: lease day 10 3
7. 调用地址池: interfaceGigabitEthernet0/0/1
dhcp select global
# [STP]()
STP ( Spanning Tree Protocol ):生成树协议
RSTP :快速生成树
MSTP :多实例生成树
广播风暴: PC 1 发送 ARP 请求后, sw1 学习转发给 sw2 和 sw3 , sw2 、 sw3 学习后继续转发,在网络中形成环路,产生广播风暴,造成 Mac 地址表震荡,数据不能正常转发。
修改 STP 类型: stp mode stp
STP 作用:保证网络可靠,解决环路
原理:通过设置阻塞端口解决环路
阻塞端口:当网络中出环路时,阻塞端口被阻塞,不再转发数据,当网络出现故障时,阻塞端口激活,开始转发数据。
## [STP ]()比较规则
根桥(根交换机):
比较交换机网桥 ID (交换机唯一标识,由 8 个字节构成 = 优先级 +Mac ,先比较优先级(默认 32768 )再比较 Mac ,越小越优先。)
修改优先级: stp priority (最大 61440 ,优先级必须是 4096 倍数)。
根端口:非根交换机到达根交换机的最优端口。
1. 路径开销,带宽越大开销越小
2. 对端交换机的网桥 ID (优先级 +Mac )
3. 对端端口号
4. 比较本端端口号
指定端口:每条链路上到达根交换机最优端口(根交换机上所有端口都是指定端口)
1. 路径开销,带宽越大开销越小
2. 本端交换机的网桥 ID (优先级 +Mac )
3. 本端端口号
阻塞端口:未被选举为根端口或指定端口的端口,将会被阻塞
查看端口状态: display stp brief
## [状态信息]()
1. Forwarding :转发状态。
2. Learning :学习状态。
3. Blocking :阻塞状态。
4. Disabled :禁用状态。
# [ACL]()
ACL :访问控制列表
ACL 的作用:
可以定义不同的规则,根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理。
## [ACL ]()分类:
1. 基本 ACL : 2000~2999 ,只能识别源 IP
2. 高级 ACL : 3000~3999 ,识别源 IP 地址,目的 IP 地址、 源端口、目的端口
3. 二层 ACL : 4000~4999 ,识别源 MAC 地址、目的 MAC 地址、以太帧协议类型
## [ACL ]()的创建
ACL 创建后需要在接口下调用
### [创建基本 ACL ]():
1. 建立规则: ACL 2000
2. rule ( 默认为 5) ( deny :拒绝, permit ,允许) source (源地址 + 反掩码)
3. 调用 ACL :接口模式下, traffic-filter (流量过滤) inbound 进 /outbound 出 + ACL2000
### [创建高级 ACL]()
1. rule deny + 协议 icmp source/destination + 地址 + 反掩码 +destination + 地址 + 反掩码
2. rule deny +udp source + 地址 + 反掩码 +destination + 地址 + 反掩码 eq 4000 禁止访问端口 = rule deny udp destination-port eq 8000
3. 调用 ACL :接口模式下, traffic-filter (流量过滤) inbound 进 /outbound 出 + ACL2000
# [NAT]()
NAT :网络地址转换技术
网络地址转换技术 NAT ( Network Address Translation )主要用于实现内部网络访问外部网络的目的。
优点:节省 IP 地址 缺点:转发延迟大
NAT 一般部署在连接内网和外网的边界路由器上。
## [NAT ]()转换
1. 静态 NAT (服务器地址转换)
静态 NAT 实现了私有地址和公有地址的一对一转换,一个公网地址对应一个私网地址
2. 动态 NAT
动态 NAT 基于地址池来实现私有地址和公有地址的转换,转换是随机的
3. NAPT (网络地址端口转换)
NAPT 允许多个私网地址转换到同一个公有地址的不同端口,私网利用端口号来区分。
4. Easy IP :转换成出接口地址
利用端口号来识别不用的私网地址。
### [NAT ]()转换配置
静态 NAT :
1. 进入出接口: interface g 0/0/2
2. 地址转换: nat static (静态) global (公网)
动态 NAT :
1. 设置公网地址池:
2. 创建 ACL : acl 2000
3. 允许 1.0 的数据进行转换:
4. 进入接口(出方向): interfaceserial1/0/0
5. 匹配 ACL : nat outbound 2000address-group 1 no-pat (不进行端口转换)
6. 查看转换: dis play nat session all
NAPT :在动态 NAT 的第五步进行接口转换
#### [Easy IP ]():
1. 创建 ACL : acl 2000
2. 允许 1.0 的数据进行转换:
3. 匹配 ACL : nat outbound 2000
# [网络架构]()
广域网( WAN ):实现不同 LAN 的通信
PSTN :电话交换网络
CATN :中国有线电视网络
Internet :互联网
PSTN 、 CATV 、 Internet 称为三大网络
数据中心:用于存放企业数据
DMZ :非军事话区域 ( WEB 、 DNS 、 mail ),用于放置企业网站【外网与内网均可访问 DMZ ,但外网不可 通过 DMZ 访问内网】
eSigh 管理平台:便于网络管理
以太网:
并口传输 E/G :
广域网:
串口传输 S :传输快速
接口卡 T1=1.544M E1=2.048M (用途广)
同步传输:以数据帧为单位 传输需要协商
异步传输:以字节为单位 传输不需要协商
点到点传输: PPP 协议(点到点) HDLC (高级链路控制协议)
分组交换: FR (帧中继)
## [FR ]()帧中继
帧中继 FR ( Frame Relay )协议工作在 OSI 参考模型的数据链路层
DTE : 数据终端设备
DCE :数据通信设备, 为用户设备提供网络接入
两个 DTE 设备之间的电路称为虚电路,用两个 DLCI 号标识
SW : Mac 对应 port
FRSW : DLCI :数据链路连接符 LDCI 对应 port
DLCI 号范围: 16~1007
虚电路:
PVC :永久虚电路(常用 )
SVC :按需虚电路
LMI 协议 ( 本地管理接口 ):建立和维护虚电路 。
设备配置:
在路由器接口下修改链路类型: [Huawei-Serial0/0/0]link-protocol fr
映射关系 : 
Inverse ARP : 逆向地址解析协议 , 根据 DLCI 号求 IP 地址。
1. SW : DLCI 与接口映射
2. RT : DLCI 与 IP 地址映射( inarp )
查看 fr 映射关系: dis fr map-info
查看配置 display fr pvc-info
R2 ✍ R3 手工添加映射: [ 1 -Serial0/0/0]fr map ip + 对端地址 + 本端 DLCI+broadcast 数据经 R1 传递
OSPF 中有帧中继的网络称为 NBMA :非广播多路访问
不支持广播或组播发送 单播指定邻居 总部必须为 D R
修改优先级: ospf dr-priority 0
将 ospf 的广播方式改为单播:
进入 OSPF 进程下, peer+ 对端地址
修改 ping 的源地址: ping – a + 源地址 + 对端地址
# [HDLC&PPP]()
## [HDLC]()
HDLC ( High-LevelData Link Control ) : 高级数据链路控制
HDLC 是一种面向比特的链路层协议。
HDLC 的作用:接口地址借用,节省 IP 地址,使地址更加稳定
一般建议借用 loopback 接口的 IP 地址,因为这类接口总是处于活跃( active )状态,因而能提供稳定可用的 IP 地址
[ RTA ]interface Serial 1/0/0
[ RTA -Serial1/0/0]link-protocol hdlc 修改接口类型
[ RTA -Serial1/0/0]ip address unnumbered (共享) interface loopBack 0 地址共享
[ RTA 配置路由转发数据
## [PPP ]()协议
PPP ( Point to Point Protocol ): 点对点协议
PPP 协议 主要 工作 在全双工的同异步链路上
PPP 包含两个组件:链路控制协议 LCP 和网络层控制协议 NCP 。
LCP ( Link Control Protocol ):建立和维护 PPP 数据链路
NCP ( Network Control Protocol ):进行网络层协议的协商:
例如: IPCP 用于协商控制 IP 协议
### [LCP ]()报文
Request : 请求报文 进行参数协商
ACK: 接受 Nak:拒绝
reject:用于回复不能识别的参数
#### [LCP ]()协商参数:
1. 最大接收单元(MRU):最大1500字节
2. 认证协议:
a) 不认证
b) chap:挑战握手协议
c) 密码认证协议
3. 魔术字:检测环路
AAA(三A认证):认证,计费,授权
### [PPP ]()认证模式 :
1. PAP 认证特点:两次握手,明文传输
2. CHAP认证特点:三次握手,密文传输
#### [PPP ]()认证配置
PAP认证配置:
[ 认证方 ]aaa
[ 认证方 -aaa]local-user huawei password cipher huawei
[ 认证方 -aaa]local-user huawei service-type ppp
[ 认证方 ]interface Serial 1/0/0
[ 认证方 -Serial1/0/0]link-protocol ppp
[ 认证方 -Serial1/0/0]ppp authentication-mode pap
[ 认证方
被认证方需在接口下提交认证
[ 被认证方 ]interface Serial 1/0/0
[ 被认证方 -Serial1/0/0]link-protocol ppp
[ 被认证方 -Serial1/0/0]ppp pap local-user huawei password cipher huawei
[ 被认证方
由被认证方发出request ,包含用户名密码
CHAP认证配置:
[ 认证方 ]aaa
[ 认证方 -aaa]local-user huawei password cipher huawei
[ 认证方 -aaa]local-user huawei service-type ppp
[ 认证方 ]interface Serial 1/0/0
[ 认证方 -Serial1/0/0]link-protocol ppp
[ 认证方 -Serial1/0/0]ppp authentication-mode chap
[ 认证方
被认证方需在接口下提交认证
[ 被认证方 ]interface Serial 1/0/0
[ 被认证方 -Serial1/0/0]link-protocol ppp
[ 被认证方 -Serial1/0/0]ppp ch ap userhuawei
[ 被认证方 -Serial1/0/0] ppp chap passwordcipher huawei
[ 被认证方
认证方:
1. 创建用户名密码
2. 设置服务类型
3. 接口下启用chap认证
被认证方:
1. 接口下启用PPP
2. 提交用户名和密码
chap认证过程:
1. 认证方首先发送挑战报文,被认证方 收到后将报文和用户名密码进行MD5加密,生成128比特哈希值,
2. 被认证方 回复 认证方 用户名密码和哈希值, 认证方 查看 , 数据库查找被 认证方 ,然后将用户名密码和报文进行MD5加密后生成128比特哈希值,然后和 被认证方 回复的哈希值进行对比,若相同,认证成功。
# [IPV6]()
IPv4 地址空间已经消耗殆尽, 为了节省地址,出现 CIDR 、 VLSM 、 NAT 技术,而 近乎无限的地址空间是 IPv6 的最大优势 。
ipv4=32 比特, ipv6=128 比特
## [ipv6 ]()报头 :
ipv6 报头由 ipv6 基本包头和扩展报头组成。
### [ipv6 ]()基本报头
version :版本
traffic class :流类别(用于服务质量)
Flow Label :流标签
Payload Length :载荷长度 = 总长度
Next Header :下一个头部 = 协议号(识别上层协议)
Hop limit :跳数限制 =TTL
Source Address (128bits) :源 IP
Destination Address (128bits) :目的 IP
ipv6 比 ipv4 报文少,转发速度快,效率高
### [ipv6 ]()扩展报头:
IPv6 扩展报头是跟在 IPv6 基本报头后面的可选报头,可以有一个或多个, 扩展报头是分片扩展报头
## [ipv6 ]()地址
ipv6 是冒分十六进制数表示方式, IPv6 地址长度为 128 比特,每 16 比特划分为一段,每段由 4 个十六进制数表示
一个十六进数等于四个比特,一个八组共三十二比特。
ipv6 由两部分组成:网络前缀和接口标识。
IPv6 地址通常写作xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx ,每一组中的前导 0 可以省略,多个 0 可以用一个 0 表示, 连续全为 0 的组,可以用双冒号“ ::” 来代替 , 在一个 IPv6 地址中只能使用一次双冒号“ ::” 。
### [ipv6 ]()地址分类:
单播: 200 0 :: /3: 前三个比特相同
2=0010 ,前三比特 =001 的为单播地址
组播: FF00::/8 前 8 个比特为 1
任播:一到最近
### [EUI-64 ]()规范
网络前缀 =64bit= 网络位 接口 ID=64 比特 = 主机位,
接口 ID 由 Mac 映射得到
将 FFFE 插入 MAC 地址 前 24 位与后 24 位之间, 将第 7 比特由 0 变成 1 。
配置 ipv6 :
系统视图下: ipv6
进入接口 :ipv6 enable
ipv6 address 地址 + 掩码( 64 )
ping ipv6+ 地址
display IPV6 routing-table
display ipv6 interface brief
ipv6 路由协议
RIPNG
OSPFV3
ripng 接口下: ripng 1 enable 开启进程 1
int g 0/0/1
port link-type hybrid
int g 0/0/2
port link-type hybrid
int g 0/0/3
port link-type hybrid