HCIA概述

一、OSI七层模型

1.物理层（七层）

定义物理设备的标准，主要对物理连接方式，电气特性，机械特性等制定统一标准，传输比特流，因此最小的传输单位——位（比特流）。

2.数据链路层（六层）

主要是对物理层传输的比特流包装，检测保证数据传输的可靠性，将物理层接收的数据进行MAC（媒体访问控制）地址的封装和解封装，也可以简单的理解为物理寻址。交换机就处在这一层，最小的传输单位——帧。（交换机）

3.网络层（五层）

控制子网的运行，如逻辑编址，分组传输，路由寻址，路由选择最小单位——分组（包）报文。（二层交换机问题——路由器）

4.传输层（四层）

定义一些传输数据的协议和端口。传输协议同时进行流量控制，或是根据接收方接收数据的快慢程度，规定适当的发送速率，解决传输效率及能力的问题——tpdu。

TCP，传输控制协议，面向连接的可靠的传输协议（保证可靠性： 1.确认机制 2.重传输机制。保证面向连接： TCP 三次握手机制）。

TCP的数据结构：

UDP，用户数据报协议，非面向连接的不可靠的传输协议，

UDP的数据结构：

5.会话层（三层）

会话层负责在网络中的两节点之间建立，维持和终止通信，在这层协议中，解决节点链接的协调和管理问题。

6.表示层（二层）

表示层是应用程序和网络之间的翻译官。在表示层，数据需要按照网络所能理解的方案的进行格式化。

7.应用层（一层）

负责提供数据接口标准，提供的服务包括文件的传输，文件的管理以及电子邮件的信息处理，即人机交互过程

二、TCP/IP四层模型

1.应用层（四层）

应用层是TCP/IP协议的第一层，是直接为应用进程提供服务的。
（1）对不同种类的应用程序它们会根据自己的需要来使用应用层的不同协议，邮件传输应用使用了SMTP协议、万维网应用使用了HTTP协议、远程登录服务应用使用了有TELNET协议
（2）应用层还能加密、解密、格式化数据
（3）应用层可以建立或解除与其他节点的联系，这样可以充分节省网络资源。

2.传输层（三层）

作为TCP/IP协议的第二层，运输层在整个TCP/IP协议中起到了中流砥柱的作用。且在运输层中，TCP和UDP也同样起到了中流砥柱的作用。

3.网络层（二层）

网络层在TCP/IP协议中的位于第三层。在TCP/IP协议中网络层可以进行网络连接的建立和终止以及IP地址的寻找等功能，网络层协议的代表包括：ICMP、IP、IGMP等。

4.网络接口层（一层）

在TCP/IP协议中，网络接口层位于第四层。由于网络接口层兼并了物理层和数据链路层所以，网络接口层既是传输数据的物理媒介，也可以为网络层提供一条准确无误的线路，其主要协议有ARP、RARP等。

三、封装与解封装

1.封装

2.解封装

四、rip

1.version1版本

[R1]rip 1 启动时定义进程号默认为1 仅具有本地意义

[R1-rip-1]version 1

宣告：rip只能进行主类宣告基于宣告网段的主类找到属于该网段的接口

1.激活接口-收发rip信息 2.该接口的信息可以共享给邻居

[R1-rip-1]network 1.0.0.0

[R1-rip-1]network 12.0.0.0

注意：我们在这儿宣告的是网段所属的主类

2.version2版本

配置命令：

[R1]rip 创建rip 默认进程号为1

[R1-rip-1]version 2 选择版本2

[R1-rip-1]undo summary 关闭自动汇总

若不关闭自动汇总，RIPV2将会使用主类长度掩码进行发送路由，关闭自动汇总后，将携带接口精确掩码来发送

[R1-rip-1]network 1.0.0.0

[R1-rip-1]network 12.0.0.0

3.RIP扩张配置

1.rip的手工汇总

在更新的源头，所有发出更新的接口上进行汇总配置即可

[R1-GigabitEthernet0/0/0] 进入更新设备的接口

[R1-GigabitEthernet0/0/0]rip summary-address 1.1.0.0 255.255.252.0

2.rip的手工认证

在两台运行RIP协议的路由器间进行加密，让两台设备发出的数据中携带核实身份的密钥，也可同时对传输的路由信息进行加密

[R1-GigabitEthernet0/0/0] 必须在和邻居相邻的接口上配置

[R1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123456

3.被动接口

仅接受不发送路由信息协议，仅限于连接用户PC端的接口使用，不得用于路由器之间，否则将导致无法正常发送路由信息。

[R1-rip-1] 进入RIP进程

[R1-rip-1]silent-interface g 0/0/1 设置g0/0/1口为被动接口

4.缺省路由

在边界路由器上，进行RIP 的缺省配置后，该设备将向内部所有运行RIP的设备发送缺省路由的更新包，使得内部所有RIP设备自动生成缺省路由，且，下一跳均指向边界路由起方向。

[R3-rip-1] 进入边界路由起的RIP进程

[R3-rip-1]default-route originate 缺省路由

五、OSPF：开放式最短路径优先协议

1.距离矢量协议

运行距离矢量协议的路由器会周期性的泛洪自己的路由表。通过路由的交互，每台路由器从相邻的路由器学习到路由，并且加载进自己的路由表中；对于网络中的所有路由器而言，路由器并不清楚网络的拓扑结构，只是简单的知道要去往某个目的地的方向在哪儿，距离多远。这既是距离矢量协议的本质。

2.链路状态协议

与距离矢量协议不同，链路状态协议通告的是链路状态信息，而不是路由表。运行链路状态协议的路由器之间会先建立一个协议的邻居关系，然后彼此之间开始交互LSA（链路状态通告）。每台路由器都会产生LSA，路由器将接收到的LSA放入自己的LSDB（链路状态数据库）中。路由器通过LSDB，掌握了全网所有的拓扑信息。最后，由路由器通过SPF算法计算出最优路径，随后加载于自己的路由表中。

3.ospf基础配置

[R1]ospf 1 router-id 1.1.1.1 创建ospf进程号为1 仅具有本地意义同时定义RID值建议使用IP地址全网需要唯一。

[R1-ospf-1]area 0 进入0 区

[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0（反掩码）

[R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255

<R1>display ospf peer 查询详细邻居关系

<R1>display ospf brief 查询邻居表

<R1>display ospf lsdb 查询链路状态数据库

4.ospf扩展配置

先比较参选接口的优先级默认1 范围0-255 大为优

若参选接口的优先级相同，比较参选设备的RID，大为优

[R1-GigabitEthernet0/0/0]ospf dr-priority 2 将参选接口优先级改为2

切记：ospf的DR选举是非抢占性的，故需要重启ospf进程达到重新选举的目的。

<R1>reset ospf process 重启ospf进程

1.手工认证

[R1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456

2.手工汇总

[R2-ospf-1]area 0 进入需要汇总的区域

[R2-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0 255.255.252.0

3.被动接口

[R1]ospf 1进入需要设置被动接口的路由器的ospf进程

[R1-ospf-1]silent-interface g 0/0/1 设置该接口为沉默借口

4.缺省路由

[R3]ospf 1 进入边界路由起的ospf进程

[R3-ospf-1]default-route-advertise always 下发缺省路由

六、vlan

[SW1]display vlan 查询vlan

第一步：

创建vlan

[SW1]vlan 2 创建vlan2

[SW1]vlan batch 4 to 10 批量创建vlan 4- 10

第二步：

一：基于端口的vlan划分将vid配置映射给交换机的接口，从而实现vlan的划分------物理/一层vlan

[SW1]display mac-address 查看MAC地址表

[SW1-GigabitEthernet0/0/1] 进入需要划分的接口

[SW1-GigabitEthernet0/0/1]port link-type access 定义该接口下链路类型为access链路

[SW1-GigabitEthernet0/0/1]port default vlan 2 定义该链路管理vlan 2

[SW1-GigabitEthernet0/0/5]port link-type trunk 定义该接口下链路类型为 trunk链路

[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3 定义该链路可通过 vlan2 到 3

[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan all 定义该检录放通所有vlan

第三步：

实现vlan间路由

虚拟子接口----虚拟接口--将路由器接口逻辑上划分为多个子接口

[R1-GigabitEthernet0/0/0.1] 进入虚拟子接口

[R1-GigabitEthernet0/0/0.1]dot1q termination vid 2 让接口执行802.1q标准并管理vid2

[R1-GigabitEthernet0/0/0.1]arp broadcast enable 开启子接口的arp功能

七、ACL-访问控制列表

1.配置标准acl

[R2]acl 2000 创建标准acl 2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 规定拒绝源 192.168.1.2

[R2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255 规定允许源192.168.2.0 这个网段通过

[R2-acl-basic-2000]rule deny source any 规定拒绝所有

[R2-acl-basic-2000]display acl 2000 查看acl2000

[R2-acl-basic-2000]rule 7 deny source 192.168.2.1 0.0.0.0 规定该规则步调为7 拒绝源192.168.2.1

[R2]interface g 0/0/0 进入需要调用规则的接口

[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 在相应接口的出方向上调用acl2000

八、telnet远程登录

[R1]aaa 开启aaa服务

[R1-aaa]local-user MXY privilege level 15 password cipher 123456 创建一个名为MXY的用户其等级为15 级密码为123456

[R1-aaa]local-user MXY service-type telnet 定义MXY为远程登录所使用

[R1]user-interface vty 0 4 创建0-4 一共5个虚拟通道

[R1-ui-vty0-4]authentication-mode aaa 定义该通道服务于aaa

[R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23 规定拒绝源IP为192.168.1.10 目标 IP为192.168.1.1 的TCP 端口23号行为

[R1-acl-adv-3001]rule deny icmp source 192.168.2.2 0.0.0.0 destination 192.168.2.1 0.0.0.0 规定拒绝源192.168.2.2 向192.168.2.1 的 icmp 行为