HCIA/HCIP基础知识笔记汇总

HCIA/HCIP基础知识笔记汇总

ICT产业链:

上游:芯片制造、元器件生产、光纤光缆制造

中游:硬件组装、软件开发、网络建设维护

下游:电信服务、互联网服务、终端产品

VLAN端口类型:

access : 连接主机

trunk : 交换机之间的连接

hybrid : 混合端口

tunnel : 隧道

链路聚合:

多个物理电路捆绑成一个逻辑电路

LACP模式,端口优先级控制活跃链路协商确定优先级,值越小优先级越高

手工模式,手动配置,所有活动链路都参与数据抓发,负载分担

二层交换机:

没有路由表,只有MAC地址表

无路由功能,不遵循路由算法

三个动作:泛洪,转发,丢弃 ; 执行完动作后需要学习

仿真时:一个二层交换机,连接两个PC机,给两个PC机配置相关地址参数之后,就能实现互通

三层交换机:

每一个VLAN都可以配置IP地址

基于目标IP地址转发,遵循路由算法

使用vlanif 来配置vlan的网关IP地址,可以使用OSPF等路由协议

转发性能高于同价位的路由器

VRRP:虚拟路由冗余协议

作用:使主网关出现故障时,可以顺利地切换到备网关

控制主备网关:给设备的VRRP添加优先级,数值越大优先级越高

VRRP是在Vlanif 的视图下进行配置

网关地址:vrrp vrid xx virtual-ip xx.xx.xx.xx

优先级: vrrp vrid xx priority xxx(默认优先级数值是100)


STP生成树协议:

作用:防止二层网络中出现环路,避免广播风暴、MAC地址漂移、占用网络资源

本质:阻塞链路上的端口,切断环路

设备角色分类:根桥、非根桥

根 桥: 负责统一确定阻塞的具体链路端口

优先级选举根桥,比较的是桥ID,数值越小,优先级越高,修改值必须为4096的倍数

优先级相同,比较MAC地址选举根桥。值越小优先级越高

非根桥: 负责执行指令

端口角色分类:根端口、指定端口、预备端口

根 端口: 负责接收来自根桥方向的STP报文,每一个非根桥上有且只有一个

在一台设备上进行选举:

1,先比较根路径开销,开销最小的端口就是根端口

2,开销相同,比较上行交换机的桥ID,值越小越优先

3,上行设备的桥ID相同,就比较上行接口的PID,值越小越优先

4,上行接口的PID相同,就比较本设备上参与选举端口的PID,值越小越优先

指定端口:转发来自根桥方向的STP报文,每条物理链路上有且仅有一个

在一条链路上,根端口的对端是指定端口,如果链路上没有根端口,两个端口参与指定端口的选举

1,比较两个的本地交换机到根桥的开销,值越小越优先

2,开销相同,比较链路两端交换机的桥ID,值越小越优先

3,桥ID相同,就比较两个端口的PID,值越小越优先

STP协议端口状态:

disable :端口未打开

blocking :只接收处理STP报文,不转发STP报文,也不处理业务流量

listening :接收处理STP报文,不处理业务流量,开始协商STP

learning : STP协商完成,开始学MAC地址,不处理业务流量

forwarding: 接收并处理业务流量(转发)

STP维护时间:

如果根桥发生故障,维护时间为50秒

与根桥直连链路发生故障,维护时间为30秒

非直连链路有发生故障,对应的AP端口可能需要转变为DP端口,维护时间为50秒

STP协议的不足:

1, 收敛速度慢

2, 接口状态和接口角色区分和其他类型的情况不够细致

3, 对拓扑的稳定性要求比较好,通信不够稳定

RSTP协议:

作用:在STP的基础上进行了优化,收敛速度快,更加稳定

RSTP的优化内容:

1, P/A协商机制,快速收敛机制,收敛速度快

2, 增加了端口角色:根端口,指定端口,预备端口,备份端口

3, 增加了保护机制,更加稳定

根保护:保证根桥不被抢占,应用在指定端口下; 如果指定端口收到更优的RSTP报文,会将端口设置为阻塞状态,不处理该报文

环路保护:保证不会出现临时环路,应用在根端口; 根端口如果长时间没有收到根桥发送的报文,会设置为拥塞端口,避免临时环路

边缘端口保护:应用在边缘端口的设备上,控制参与STP选举的边缘端口的数量,避免占用大量设备资源,保护网络的稳定性

预备端口:也就是Alternate端口,是指学习到其他网桥发来的更优的BPDU报文而阻塞的端口

备份端口:也就是Backup端口, 是指学习到自己发送的BPDU报文而阻塞的端口

MSTP协议:多生成树实例

作用:应用于多个Vlan , 实现多条路线转发对应的多个vlan ; 实现负载分担,提供线路的利用率

原理:将一个或多个vlan划分到不同的实例,基于实例计算并维护生成树

实例:默认情况下存在实例0 ,一个设备可以有0-48个实例,当实例很多时,管理起来比较复杂,需要域的概念来进行管理

MSTP域:

在同一个MSTP域中

域名相同

修订级别相同

相同的vlan映射表(也就是每个设备都要进行MSTP配置和实例绑定)

对于域配置,一旦信息修改,都需要重新激活域

代码配置:要在所有的交换机上进行配置

stp mode mstp

stp regino- configuration

region-name xxxx

revision-level 1

instance xx vlan xx

active region-configuration


DHCP:动态主机配置

作 用:自动设置IP地址,统一管理IP地址的分配

工作过程:

DHCP Discover:客户端发送广播寻找网络中的DHCP服务器,数据中包含客户端的MAC地址和请求IP地址的信息

DHCP Offer : DHCP服务器收到请求后,单播发送给客户端,消息中包含可以的IP地址等参数信息

DHCP Request : 客户端从收到的offer中选择一个,并向所有的DHCP广播发送信息,请求确认自己的选择,消息中包含服务器的IP地址和提供的配置参数(声明自己已经使用了该地址)

DHCP Ack : 被选择的DHCP服务器收到请求后,发送单播消息,确认客户端的租约

优 点:

· 减少了管理员的工作量

避免手动输入地址出现错误的可能

避免IP地址冲突

当更改IP地址网段时,适应性更强

提高了IP地址的利用率

代码配置:

dhcp enable

ip pool (vlan10) #全局需要创建地址池

gateway-list 10.10.10.254 #指定地址池的服务网关地址

network 10.10.10.0 mask 255.255.255.0 #指定地址池的服务网段

ex-ip-add 10.10.10.240 10.10.10.253· #指定地址池不参与DHCP分配的地址

quit

interface vlanif 10 #创建vlanif 10 接口

ip address 10.10.10.251 255.255.255.0 #配置接⼝通信地址

dhcp select global #指定使用全局地址池

(dhcp select interface) #指定使用接口地址池,接口地址自动作为网关

注意:vlanif-id里面的地址或者接口的地址必须属于地址池中宣告的网段,DHCP才能生效,使地址池自动匹配到对应的vlan 网段

防火墙:

安全区域:

防火墙对网络资源的划分,防火墙上的所有通信接口都必须添加到安全区域,才能发送通信报文

在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略

Local : 本地区域,默认存在,信任值100

Turst : 受信任程度高的区域,默认存在,信任值85

DMZ:受信任程度中等的区域,默认存在,信任值50

Untrust : 受信任程度低的区域,一般接外网网段,默认存在,信任值5

安全策略:

安全策略是由匹配条件(例如五元组、⽤⼾、时间段等)和动作组成的控制规则

防火墙收到流量后,对流量的属性(五元组、⽤⼾、时间段等)进⾏识别,并将流量的属性与安全策略的匹配条件进⾏匹配

如果所有条件都匹配,就会匹配安全策略,一旦匹配成功,就停止匹配

匹配到安全策略之后,就会执行安全策略对应的动作

如果手工创建的安全策略都未匹配,就按照缺省策略匹配,即禁止域间通信的流量

代码配置:

security-policy

rule name [策略名]

source-zone [区域名]

source-address [源地址] [掩码]

destination-zone [区域名]

destination-address [源地址] [掩码] #此条可以不写

service [协议名] #需要放行的协议

action permit #此条策略的执行动作,代表允许放行

会话表:

防火墙的报文控制机制是只对首包或者少量报文进行检测,从而确定一条连接的状态,提高了转发效率

会话表就是为了记录连接的状态。设备在转发TCP、UDP和ICMP报文时都需要查询会话表,来判断报文的状态,执行对应措施

路由基础:

当不同网段之间需要通信时,需要在源设备和目的设备之家你的所有三层设备上添加路由信息

参与通信的设备都是三层设备,包括路由器和终端

三层设备基于IP地址网段建立IP路由表,实现不同网段之间的通信

静态路由:

手动添加的路由,网络拓扑发生变化后,每一台三层设备上都需要修改

包含目的网络,目的网络掩码、下一跳的IP地址、出接口、优先级

备份静态路由:源到目的存在多条通信路径,且都在IP路由表中

浮动静态路由:与备份静态路由有优先级的区别

动态路由:

内部网关路由协议IGP,包括距离矢量路由协议RIP,链路状态路由协议OSPF, IS-IS

外部网关路由协议EGP, 包括高级距离矢量路由协议BGP

直连路由:

两个路由设备直连之后,就会交换各自的路由信息

环 路:指设备收到自己发出的报文

二层环路:在局域⽹中出现的环路,⽐如路径转发错误和⼴播⻛暴,⽤冗余路径解决

三层环路:在路由环路中出现的环路,⼀般是路径转发错误,⽤路由算法和⼈⼯避免方式


OSPF路由协议:

报文类型:

Hello 报文 :发现并建立维护邻居关系

DD 报文:发送的是数据库中链路信息的摘要信息

LSR 报文:请求完整的链路信息

LSU 报文 : 回复明细信息

LSAck 报文 : 针对LSU进行确认

路由器之间的关系:

邻居关系,发送Hello报文实现,不同步链路信息

邻接关系,其他类型报文发现,同步链路信息

路由器的类型:

DR, 指定路由器

BDR , 备份路由器

Other , 其他类型

作用:减少邻接关系建立的数量,节约网络资源,避免链路信息重复传递;除了其他类型的路由器之间只建立邻居关系之外,其他所有路由器之间都建立邻接关系

OSPF区域:

作用:解决设备存放链路信息过多的问题

原理:将不同的OSPF路由器通过区域的概念进行划分,使仅在同一个区域内的路由器相互存放链路信息,降低每一台路由器需要存放发送链路信息的数量

注意:因为不同区域间没有存放相同的链路信息,在区域间通信时只能传递路由信息

链路信息:区域内传递,用该信息基于OSPF算法计算路由

路由信息:区域间传递,设备收到后之间存放于IP路由表中使用

多区域部署:

区域范围是0-2^32 , 区域0是骨干区域,可以转发路由信息; 其他的是非骨干区域,不能转发路由信息

所有非骨干区域之间想要通信,就要经过骨干区域

OSPF认证:

实现:在OSPF报文的报文头中添加认证字段

接口认证:接口下配置。 本接口启动了认证,对应同一链路上的所有链路接口也都要启动认证

区域认证:区域内配置。 本设备区域启动了认证,网络中所有相同区域都要启动认证

认证模式:

明文认证,发送报文携带的是明文的密钥,相对不安全

密文认证,发送报文携带的是加密后的密钥,更加安全

保持方式:

明文保存,登陆本地设备就能查看

密文保存,将本地收到的密钥加密存放,所有人不可查看

代码配置:

ospf 1 router-id xx.xx.xx.xx

area x.x.x.x

authentication-mode md5 1 cipher XXX #MD5加密模式,cipher密文保存 //如果是在接口下配置:ospf authentication...

network xx.xx.xx.xx (反掩码) #通告网段


WALN网络基础:

网络架构:

FAT-AP独立部署:拥有自我管理能力的无线路由器,适用于大型的WLAN通信环境

AC+FIT-AP部署 :AP不能自我独立管理,必须配合AC实现集中纳管,适合中大型WLAN通信环境

AC-接入控制器 : 对FIT-AP进行纳管功能的设备; 独立AC是指专门实现AC功能的网络设备; 随板AC是一台带AC功能的交换机

网络类型:

管理网络:实现AC纳管AP, 需要保证AP、AC之间能够互通

业务网络:实现连接到AP的STA进行网络访问功能

管理网络的建立:

二层组网:

AP与AC通过二层广播的方式通信,两者必须在同一个广播域

1, 将AP划分到管理vlan ,在相关链路上允许vlan数据通过

2, 在AC上创建管理vlan的vlanif接口,配置IP参数

3, 在AC上配置DHCP服务器

4, 指定WLAN管理vlan,也就是在AC上建立Capwap隧道

CAPWAP隧道:是AC纳管AP的专用隧道,必须建立隧道才能进行纳管

三层组网:

AP与AC通过三层路由的方式通信,可以跨网段通信

1, 在连接了AP的交换机上创建管理vlan,并将该端口划分到vlan , 上行接口允许vlan通过

2, 连接AP的交换机与⽹关沿途所有的交换机上都需要创建管理vlan允许管理vlan

3, 在⽹关上针对创建的管理vlan,创建vlanif接⼝,并配置IP地址参数

4, 在⽹关系统视图打开全局DHCP功能,并在管理vlanif接⼝下打开接⼝地址池功能

5, 在网关的DHCP中添加Option43参数,告知AP关于AC的位置(dhcp server option 43 sub-option 2 ip-address xx.xx.xx.xx)

业务网络的建立:

1, 配置AP组

2, SSID模板配置,指定WLAN业务的SSID信息

3, 安全认证模板配置,指定WALN业务接入时,使用的密码认证信息

4, 创建VAP模板,绑定SSID模板, 再绑定安全认证模板,指定业务数据转发方式,最后指定业务vlan

5, 进入AP组,绑定VAP模板并指定射频资源

注意:二层组网在连接AP的端口上,要剥离管理vlan id 的标签


VPN虚拟私有网络:

作用:通过添加外层转发头信息实现业务流量保护; 添加外层转发头以及加密手段实现用户业务流量的保护

原理:在用户原有的流量基础上添加一个外层保护头,实现对用户原有的流量进行保护

类型:

二层VPN:在用户原有的⼆层数据前添加额外的⼆层保护头

三层VPN:在用户原有的⼆层数据前添加额外的三层保护头

应用前提:VPN只是实现流量保护,不提供路由可达,使用VPN需要保证源有目的之间是可达的

VPN-GRE隧道:

通用路由封装协议,将协议报文用GRE封装,基于GRE隧道进行传送,保护流量

隧道的实现:隧道tunnel接口实现,是一种逻辑接口

优点:兼容性好,应用范围广

缺点:只能添加IP头部保护业务流量,不能加密保护业务流量

代码配置:

1, 先创建隧道接口

2, 配置隧道接口的IP地址

3, 指定隧道协议-GRE

4, 配置隧道的起点和终点的IP地址,source和destination

5, 将指定的业务流量引入到隧道转发(目的网络IP地址引入到隧道接口)

VPN-IPSec隧道:

作用:在添加IP头保护的同时还可以提供加密保护

架构:源端和目的端; SA安全联盟

SA安全联盟:

安全提议:提供加密算法、加密协议、隧道封装模式

加密算法:

对称加密:加密密钥域解密密钥相同,安全性较低

非对称加密:加密密钥与解密密钥不同,比如使用公有密码加密,私有密码解密。注意两者都是属于本地的

加密协议:

作用:对用户的数据进行加密

AH: 可以提供防重放,防抵赖,认证功能,不提供加密功能

ESP: 具有加密功能

验证算法:

1, 把即将发送的流量用算法计算出一个摘要值,在发送报文时发送出去

2, 目的端收到完成的流量后,按照同样的算法计算出该流量的摘要值

3, 将两个摘要值进行对比,就可以判断该流量在发送前是否被篡改过

MD5码:摘要值相对较短,比较常用

封装模式:

隧道模式:在原有的IP报文头前再加一层外层IP头

传输模式:使用用户原有的IP报文头

安全策略:

作用:提供隧道起点、隧道终点、隧道密钥

安全密钥:

可以静态指定,也可以动态协商


路由引入:

背景:由于不同的路由协议之间的路由算法、机制、开销值不同,不同的路由协议之间无法直接分享彼此对端路由,此时就需要通过路由引入计算将A路由协议引入到B路由协议中

原则:在执⾏引⼊的路由器上将某⼀个协议的活动路由(存在于路由表中的)引⼊到另外⼀个路由协议中

路由引入场景:

​ 1,涉及到两个不同的路由协议之间需要相互通信

​ 2, 涉及到同一个协议但不同进程之间需要相互通信

​ 3, 如果遇到IS-IS路由协议的话,作为Lever-1非骨干网与Level-2骨干网之间需要基于明细路由通信

流量分类工具:

访问控制列表:主要用于流量分类以及流量过滤 场景

基本ACL:只能基于源地址信息对流量实现简单过滤,利用ACL编号2000-2999识别

高就ACL:可以基于IP五元组信息对流量实现精细过滤,利用ACL编号3000-3999识别

IP五元组:标识一条唯一的数据流,包括源IP、目的IP、源端口、目的端口、协议

注意:默认是按照规则ID大小从小到大的顺序匹配,可以先拒绝再允许、也可以先允许再拒绝

MQC-模块化QOS指令:主要用于流量分类,并基于分类出来的流量指定对应的转发动作,以此达到控制流量的目的。

traffic classifier 专门用来进行流量分类的工具

traffic behavior 专门用来指定流量处理动作的工具

traffic policy 用来绑定流行为与流策略工具的,并将其应用在设备接口上

IP-Prefix:IP前缀列表 ,专门只能用来做流量分类的工具

作用:可以实现像ACL那样针对某个业务流量进行分类,也能实现针对某个IP网段范围实现流量分类

格式:ip ip-prefix xxxx index xxx permit x.x.x.x xx greater-equal xx less-equal xx

1,index编号与ACL中rule-id类似,一个前缀列表中可以添加多个以不同index编号标识的规则

2,规则之间是或的关系

3,掩码长度<=greater-equal<=less-equal

注意:

如果只是单纯的分类没有任何意义,只有针对分类出来的流量指定对应的处理行为或者个性化处理动作,流量分类才有意义

流量过滤工具:

route-policy:路由策略,主要用于配合分类工具实现流量分类以及流量过滤工作,还可以用来修改路由属性用于选路控制

格式:

route-policy xxxxx permit node xxx

if-match xxxx

apply abcd

route-policy xxxxx deny node xxx

if-match xxxx

apply abcd

xxxxx代表的路由策略名称

xxx代表的是节点编号,0-65535

xxxx代表的是分类工具信息

abcd代表的匹配了策略之后的处理工作

filter-policy ,专门配合前缀列表实现路由过滤的,可以针对发送方向以及接收方向的路由过滤

相关推荐
大丈夫立于天地间5 小时前
ISIS协议中的数据库同步
运维·网络·信息与通信
Dream Algorithm5 小时前
路由器的 WAN(广域网)口 和 LAN(局域网)口
网络·智能路由器
IT猿手6 小时前
基于CNN-LSTM的深度Q网络(Deep Q-Network,DQN)求解移动机器人路径规划,MATLAB代码
网络·cnn·lstm
吴盐煮_6 小时前
使用UDP建立连接,会存在什么问题?
网络·网络协议·udp
hyshhhh6 小时前
【算法岗面试题】深度学习中如何防止过拟合?
网络·人工智能·深度学习·神经网络·算法·计算机视觉
Hellc0077 小时前
轮询、WebSocket 和 SSE:实时通信技术全面指南(含C#实现)
网络
吴梓穆7 小时前
UE5学习笔记 FPS游戏制作38 继承标准UI
笔记·学习·ue5
xujiangyan_7 小时前
nginx的反向代理和负载均衡
服务器·网络·nginx
GalaxyPokemon8 小时前
Muduo网络库实现 [十] - EventLoopThreadPool模块
linux·服务器·网络·c++