HCIA复习 | HCIP基础

Days01（24.8.1）

IPv4 Header

OSI七层模型

TCP、UDP数据结构

TCP/IP模型

OSI模型与TCP/IP模型区别

ARP

Days02（24.8.2）

交换机

封装和解封装

IPv6 Header

路由

RIP

Days01（24.8.1）

IPv4 Header

IPV4数据包（大小默认20字节（Byte））结构：

Version：占4bit，代表该数据包的版本号

IHL：占4bit，IP Header Length 即IP的头部长度

TOS：Type of Service：服务的类型，占8bit，用于对不同的流量进行标记

Total Length：IP整个数据包的大小，总长度，占16bit

Identification：标识符，占16bit，对分片之后的流量进行标记

Flags：标记位，占3bit，R位（保留位）、D-F位（不分片位，为1不分片直接解封装，为0分片收集分片后再解封装）、M-F位（更多分片位，为1之后还有分片继续收集，为0之后没有分片了，停止收集进行解封装）

Fragment Offset：分片偏移位，占13bit（）

Time to Live：存活时间，占8bit，防止形成环路，路由器每转发一次TTL值-1

Protocol：协议号，占8bit，用来描述上一层（TCP/UDP)使用了什么样的协议

Header Checksum：占16bit

Source Address：占32bit

Destination Address：占32bit

Option：可选项，占16bit

Padding：填充项，占16bit

OSI七层模型

应用层：抽象语言----编码

表示层：编码---二进制

会话层：提供会话号

传输层：区分不同的流量；定义数据的传输方式

- Telnet - 23 ssh---22 http---80 https-443

- TCP ---- 传输控制协议。是一种面向连接的可靠的传输协议。
- UDP---- 用户数据报协议。是一种非面向连接的不可靠传输协议。
- 保证传输可靠性：
- 确认机制
- 重传机制

网络层：IP 互联网协议

数据链路层：介质访问控制层MAC+逻辑链路控制层LLC

- 局域网封装
- Ethernet 2 IEEE802.3封装

物理层：物理硬件

TCP、UDP数据结构

TCP:是一种面向连接的可靠的传输协议

TCP：序列号，发送数据的顺序，是32个二进制

确认号，确认数据时使用，是32个二进制

UDP：是一种非面向连接的不可靠的传输协议

UDP：没有ACK号，没有序列号

TCP/IP模型

- 应用层（应用，表示、会话）
- 端到端层（传输层）
- 互联网层（网络层）
- 网络接口层（数据链路、物理层）

1.分层不均 2.分层太多

OSI模型与TCP/IP模型区别

相同点：均是定义了数据的封装标准

1.OSI 模型数据封装必须具有完整的封装； TCP/IP支持跨层封装

2.OSI 一般理论； TCP/IP 一般用于工业生产

3.OSI支持多种网络层协议；TCP/IP仅仅支持IP协议栈（IPV4 IPV6）

4.层数不同

ARP

- ARP：地址解析协议，是基于二层封装的协议
- 正向ARP---通过对方的IP地址请求对方的MAC地址
- 反向ARP---通过对方的MAC地址请求对方的IP地址
- 逆向ARP---帧中继中使用的
- 无故ARP---免费ARP ，地址重复检测的
- 代理ARP-proxy ARP

Days02（24.8.2）

交换机

**交换机的基本功能：**

1、基于源MAC的学习

2、基于目标MAC的转发

3、数据过滤

- 当交换机接口收到一个数据帧时，发现数据要发往的位置和来源是同一个位置即源地址和目标地址相同时，交换机不会进行转发

4、防环

**network 12.0.0.0 作用：**

将本路由器上所有以12开头的IP地址接口激活，只有激活才能发送接收RIP数据包
将激活的接口所对应的路由通告到路由协议中

封装和解封装

IPv6 Header

路由：按照路由条目，逻辑选址。

控制层面：路由条目的加表；AD metric（华为中 pre cost）

数据层面：按照路由条目转发数据包；1.与操作 2.最长匹配 3.递归查找

路由

**静态路由：**

选路原则：尽量选择路径最短的路由条目

扩展配置：

1. 负载均衡：当路由器访问同一个目标且目标具有多条开销相似的路径时，可以让设备将流量拆分后延多条路径同时进行传输，以达到叠加带宽的作用。

2. 环回接口：路由器上配置的一个虚拟接口，一般用于网络测试，不需要设备支持。

[R7]interface LoopBack 0 进入环回接口，该接口编号为0

3. 手工汇总：当路由器可以访问多个连续的子网时，若均通过相同的下一跳，可以将这些网段进行汇总计算，之后仅编撰汇总后的静态路由即可达到减少路由条目，提高转发效率的目的。

4. 路由黑洞：在汇总中若包含实际不存在的网段时，可能会使数据包有去无回，造成链路资源的严重浪费。（合理的子网划分可以尽量减少路由黑洞）

5. 缺省路由：一条不限定目标的路由；查表时，若本地路由均不匹配，则将匹配缺省路由。

6. [R17]ip route-static 0.0.0.0 0 12.1.1.1

特征：一旦路由黑洞和缺省路由相遇，将百分之百形成路由环路。

空接口路由：在黑洞路由器上，配置一条到达汇总网段指向空接口的路由。

①空接口：null0接口，路由器的一个虚拟接口，如果一条路由条目的出口为空接口，则代表将该条路由直接丢弃。

②路由表匹配原则：最长匹配原则/精确匹配原则

[R16]ip route-static 192.168.0.0 22 NULL 0

7. 浮动静态路由

[R18]ip route-static 192.168.2.0 24 12.0.0.2 preference 61

定义该条路由条目的优先级为61

[R18]display ip routing-table protocol static 查询由静态路由生成的路由表

[R19-GigabitEthernet0/0/1]shutdown 关闭接口

静态路由的缺点：

1. 配置量大

2. 不能基于拓扑的变化进行实时更新

动态路由的优点：可以基于拓扑的变化进行实时收敛

动态路由的缺点：

1. 额外占用硬件资源

2. 安全风险

3. 选路错误的风险

**动态路由**：RIP OSPF EIGRP ISIS BGP---路径矢量型

1. 基于AS 进行分类------ IGP内部网关协议----EGP外部网关协议

①AS：自制系统

AS:自制系统标准编号 0-65535 其中公有1-64511 私有64512-65535

AS之内运行的IGP内部网关协议：RIP OSPF EIGRP ISIS

AS之间运行的EGP外部网关协议：BGP

2. 基于工作特点进行分类：

①基于更新时是否携带子网掩码有类别--不写带子网掩码，无类别---携带子网掩码

②-1 DV距离矢量协议：RIP ERIGRP 邻居间共享路由表算法：贝尔曼福特算法

LS链路状态协议：OSPF ISIS 邻居间共享拓扑算法:SPF

RIP

**RIP**:路由信息协议基于UDP 520端口使用跳数作为开销，周期更新和触发更新，存在 V1/V2/NG ，NG版本适用于IPV6

1. V1和V2两个版本的区别：

V1为有类别路由协议---不携带子网掩码；不支持子网划分，子网汇总

V2为无类别路由协议---携带子网掩码

V1为广播更新 255.255.255.255

V2位组播更新 224.0.0.9

V2拥有手工认证

2. 周期更新的意义：

保活每隔30s发送一次周期更新包一共发6次

没有确认机制

3. RIP的破环机制

水平分割-------从此口入，不从此口出。（仅在直线型拓扑中可以避免环路，其主要作用是避免大量重复更新）

最大跳数15跳

触发更新：毒性逆转水平分割

4. 抑制计时器：30s更新 180s失效 180s抑制 300s刷新

V1版本配置命令：

[R1]rip 1 启动时定义进程号默认为1 仅具有本地意义

[R1-rip-1]version 1

宣告：rip只能进行主类宣告基于宣告网段的主类找到属于该网段的接口

激活接口-收发rip信息 2.该接口的信息可以共享给邻居

[R1-rip-1]network 1.0.0.0

[R1-rip-1]network 12.0.0.0

注意：我们在这儿宣告的是网段所属的主类，A类宣告前8，B类宣告前16，C类宣告前24.

V1版本配置命令：

[R1]rip 创建rip 默认进程号为1

[R1-rip-1]version 2 选择版本2

[R1-rip-1]undo summary 关闭自动汇总

意义：若不关闭走动汇总，RIPV2将会使用主类长度掩码进行发送路由，关闭自动汇总后，将携带接口精确掩码来发送。

[R1-rip-1]network 1.0.0.0

[R1-rip-1]network 12.0.0.0

**RIP 的扩展配置**

1.RIP V2的手工汇总

   在更新的源头，所有发出更新的接口上进行汇总配置即可

   [R1-GigabitEthernet0/0/0] 进入更新设备的接口

   [R1-GigabitEthernet0/0/0]rip summary-address 1.1.0.0 255.255.252.0

    进行rip的路由汇总

2.RIP V2的手工认证

   在两台运行RIP协议的路由器间进行加密，让两台设备发出的数据中携带核实身份的密钥，也可同时对传   输的路由信息进行加密。

   [R1-GigabitEthernet0/0/0] 必须在和邻居相邻的接口上配置

   [R1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123456

3.被动接口--仅接受不发送路由信息协议，仅限于连接用户PC端的接口使用，不得用于路由器之间，否则将导致无法正常发送路由信息。

   [R1-rip-1] 进入RIP进程

   [R1-rip-1]silent-interface g 0/0/1 设置g0/0/1口为被动接口

4.加快收敛

30s更新 180s失效 180s抑制 300s刷新

   人为修改计时器可以一定程度的加快收敛速度，但是修改时不易过小。

   尽量维持原有的倍数关系

   全网设备计时器，必须修改一致

   [R1-rip-1] 进入rip进程

   [R1-rip-1]timers rip 30 180 300

   抑制计时器180s在华为模拟器中不支持修改

5.缺省路由 ---在边界路由器上，进行RIP   的缺省配置后，该设备将向内部所有运行RIP的设备发送缺省路由的更新包，使得内部所有RIP设备自动生成缺省路由，且，下一跳均指向边界路由起方向。

   [R3-rip-1] 进入边界路由起的RIP进程

   [R3-rip-1]default-route originate 缺省路由

ACL---访问控制列表

分类：

标准----仅关注数据包中的源IP地址

扩展----关注数据包中的源/目标IP，协议号或目标端口号

配置标准ACL

由于标准ACL仅关注数据包中的源IP，故调用时要尽量靠近目标，避免对其他地址的访问被误杀

2000-2999 标准acl的编号范围 3000-3999 扩展acl的范围

注意：一个编码就是一张规则，一张规则可以容纳大量的具体规则

[R2]acl 2000 创建标准acl 2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

规定拒绝源 192.168.1.2

在匹配地址时，需要使用通配符

Acl的通配符与ospf的反掩码规则相同，唯一区别在于通配符可以进行0 1 穿插。

[R2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255

规定允许源 192.168.2.0 这个网段通过

[R2-acl-basic-2000]rule deny source any 规定拒绝所有

[R2-acl-basic-2000]display acl 2000 查看acl2000

[R2-acl-basic-2000]rule 7 deny source 192.168.2.1 0.0.0.0 规定该规则步调为7 拒绝源192.168.2.1

[R2]interface g 0/0/0 进入需要调用规则的接口

进入方向出方向

[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 在相应接口的出方向上调用acl2000

**仅关注源/目标 IP**

**由于扩展ACL对流量进行了精确匹配，故可以表面误杀，因此，调用时，尽量靠近源**

[R1]acl 3000创建扩展 ACL 编号为3000

[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0

规定拒绝源 192.168.1.2 向目标 192.168.3.0 的一切IP行为

Telnet 远程登录

基于 TCP 23 端口

条件：1.登录设备和被登录设备之间必须可达

2.被登录设备必须开启telnet设定

[R1]aaa 开启aaa服务

[R1-aaa]local-user MXY privilege level 15 password cipher 123456 创建一个名为MXY的用户其等级为15 级密码为123456

[R1-aaa]local-user MXY service-type telnet 定义MXY为远程登录所使用

[R1]user-interface vty 0 4 创建0-4 一共5个虚拟通道

[R1-ui-vty0-4]authentication-mode aaa 定义该通道服务于aaa

**1.在关注源/目标IP地址的同时，在关注目标端口号**

[R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23

规定拒绝源IP为192.168.1.10 目标 IP为192.168.1.1 的TCP 端口23号行为

[R1-acl-adv-3001]rule deny icmp source 192.168.2.2 0.0.0.0 destination 192.168.2.1 0.0.0.0 规定拒绝源192.168.2.2 向192.168.2.1 的 icmp 行为

NAT：网络地址转换

公有IP---全球唯一可以在互联网中使用---付费使用

私有IP---本地唯一不可以在互联网中使用---免费使用

A类私有地址：10.0.0.0------10.255.255.255

B类私有地址：172.16.0.0-----172.31.255.255

C类私有地址：192.168.0.0------192.168.255.255

NAT：网络地址转换，在边界路由器上，进行公有地址和私有地址之间的转换。

NAT的分类：静态NAT 动态NAT NAPT 端口映射

华为设备的NAT配置一律默认在边界路由器的出接口上。

静态NAT

通过配置在我们私网边界路由器上建立维护一张静态地址映射表，这张表反应了公有IP和私有IP之间一一对应的关系。

当内网的数据包来到边界路由器上，会先检查其目的地是不是公网IP，如果是，就会根据静态地址映射表上的映射关系查找该源IP所对应的公网IP。如果有记录，则将发往公网的数据包的源IP改为对应的公网IP。

[R2]interface g 0/0/1 进入边界路由器的出接口

[R2-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside 192.168.1.2 将公网IP 12.1.1.3映射为私网IP 192.168.1.2

[R2]display nat static 查询静态映射表

动态NAT

动态NAT和静态NAT最大的区别在于地址映射表的内容是可以变化的，动态NAT不再是一一对应的关系而是实现多对多的转换。

NAPT---端口地址转化 ---PAT

为解决动态NAT同一时间一个公网IP只能对一一个私网IP的问题，在边界路由器上再维护一张源端口号和地址映射关系表；因为端口号的取值范围为1-65535，即65535个，所以NAPT同时支持通过的数据包数量即为65535个，这就形成了一对多的NAPT，在华为系统中，称这种一对多的NAPT叫做----EASY IP 。当上网需求非常大时，一个公网IP就可能不够使用，我们也可以使用多个公网IP。这样就形成了65535的倍数增长，也就形成了多对多的NAPT。

EASY IP

[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

将192.168.0.0 0.0.255.255的IP地址全部定义为感兴趣流量

[R2-GigabitEthernet0/0/1]nat outbound 2000 在该接口的出的方向上地址转化所有 acl2000内的流量

多对多：

首先创建公网地址池

[R2]nat address-group 1 12.1.1.3 12.1.1.10 创建公网地址池，编号为1，范围为 12.1.1.3 到 12.1.1.10

配置ACL抓捕流量

[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255 抓捕内网流量

[R2]interface g 0/0/1 进入外网接口

[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 将acl2000定义的感兴趣流量

交给 1号公网地址池进行nat转换

加 no-pat 静态多对多===多个一对一

不加 no-pat 动态多对多 === 多个一对多

端口映射：

[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80

将该接口服务器tcp协议的80端口映射为 192.168.1.10 这个IP地址的 80 端口

[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 192.168.1.20 80 将该接口服务器TCP协议的8080端口映射为 192.168.1.20这个IP地址的80端口