HCIA知识大纲复习

一、三层交换 + OSPF 全网可达实验配置

实验需求与网段规划

核心需求

1. 基于 192.168.1.0/24 划分子网

2. 配置 VLAN + 三层交换 + OSPF，实现全网可达

网段与 VLAN 规划

设备	接口 / VLAN	IP 网段	说明
LSW1（三层）	Vlanif100	192.168.1.1/27	连接 LSW2（骨干 VLAN）
LSW1	Vlanif2	192.168.1.33/27	PC1 网关
LSW1	Vlanif3	192.168.1.65/27	PC2 网关
LSW2（三层）	Vlanif100	192.168.1.2/27	连接 LSW1（骨干 VLAN）
LSW2	Vlanif2	192.168.1.97/27	PC3 网关
LSW2	Vlanif3	192.168.1.129/27	PC4 网关
LSW3（二层）	-	-	接入 PC1/PC2
LSW4（二层）	-	-	接入 PC3/PC4
PC1	-	DHCP / 静态 192.168.1.32/27	VLAN 2
PC2	-	DHCP / 静态 192.168.1.64/27	VLAN 3
PC3	-	DHCP / 静态 192.168.1.96/27	VLAN 2
PC4	-	DHCP / 静态 192.168.1.128/27	VLAN 3

二层交换机配置（LSW3/LSW4）

1. LSW3（接入 PC1/PC2）

sysname LSW3
# 批量创建 VLAN
vlan batch 2 3
# 上联口配置为 Trunk
interface GigabitEthernet 0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 3
 undo shutdown
# PC1 接口划入 VLAN 2
interface GigabitEthernet 0/0/2
 port link-type access
 port default vlan 2
 undo shutdown
# PC2 接口划入 VLAN 3
interface GigabitEthernet 0/0/3
 port link-type access
 port default vlan 3
 undo shutdown

2. LSW4（接入 PC3/PC4）

sysname LSW4
# 批量创建 VLAN
vlan batch 2 3
# 上联口配置为 Trunk
interface GigabitEthernet 0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 3
 undo shutdown
# PC3 接口划入 VLAN 2
interface GigabitEthernet 0/0/2
 port link-type access
 port default vlan 2
 undo shutdown
# PC4 接口划入 VLAN 3
interface GigabitEthernet 0/0/3
 port link-type access
 port default vlan 3
 undo shutdown

三层交换机核心配置（LSW1/LSW2）

1. LSW1 基础 + VLANIF + OSPF

sysname LSW1
# 开启三层功能（华为默认开启）
# 批量创建 VLAN
vlan batch 2 3 100
# 上联 LSW2 接口划入 VLAN 100（骨干链路）
interface GigabitEthernet 0/0/1
 port link-type access
 port default vlan 100
 undo shutdown
# 下联 LSW3 接口配置为 Trunk
interface GigabitEthernet 0/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 3
 undo shutdown
# 配置 VLANIF 三层接口
interface Vlanif100
 ip address 192.168.1.1 255.255.255.224
 undo shutdown
interface Vlanif2
 ip address 192.168.1.33 255.255.255.224
 undo shutdown
interface Vlanif3
 ip address 192.168.1.65 255.255.255.224
 undo shutdown
# 配置 OSPF（宣告所有直连网段）
ospf 1 router-id 1.1.1.1
 area 0
  network 192.168.1.0 0.0.0.31
  network 192.168.1.32 0.0.0.31
  network 192.168.1.64 0.0.0.31

2. LSW2 基础 + VLANIF + OSPF

sysname LSW2
# 批量创建 VLAN
vlan batch 2 3 100
# 上联 LSW1 接口划入 VLAN 100（骨干链路）
interface GigabitEthernet 0/0/1
 port link-type access
 port default vlan 100
 undo shutdown
# 下联 LSW4 接口配置为 Trunk
interface GigabitEthernet 0/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 3
 undo shutdown
# 配置 VLANIF 三层接口
interface Vlanif100
 ip address 192.168.1.2 255.255.255.224
 undo shutdown
interface Vlanif2
 ip address 192.168.1.97 255.255.255.224
 undo shutdown
interface Vlanif3
 ip address 192.168.1.129 255.255.255.224
 undo shutdown
# 配置 OSPF（宣告所有直连网段）
ospf 1 router-id 2.2.2.2
 area 0
  network 192.168.1.0 0.0.0.31
  network 192.168.1.96 0.0.0.31
  network 192.168.1.128 0.0.0.31

DHCP 自动获取 IP 配置（可选配置）

LSW1 DHCP 配置

dhcp enable
ip pool vlan2
 gateway-list 192.168.1.33
 network 192.168.1.32 mask 255.255.255.224
 dns-list 114.114.114.114
ip pool vlan3
 gateway-list 192.168.1.65
 network 192.168.1.64 mask 255.255.255.224
 dns-list 114.114.114.114
interface Vlanif2
 dhcp select global
interface Vlanif3
 dhcp select global

LSW2 DHCP 配置

dhcp enable
ip pool vlan2
 gateway-list 192.168.1.97
 network 192.168.1.96 mask 255.255.255.224
 dns-list 114.114.114.114
ip pool vlan3
 gateway-list 192.168.1.129
 network 192.168.1.128 mask 255.255.255.224
 dns-list 114.114.114.114
interface Vlanif2
 dhcp select global
interface Vlanif3
 dhcp select global

验证步骤

1. VLAN 与接口检查

   display vlan          # 查看 VLAN 与接口归属
   display interface brief  # 查看接口状态

2. 三层接口检查

   display ip interface brief  # 确认 VLANIF 接口 UP 且 IP 正确

3. OSPF 邻居检查

   display ospf peer brief  # 确认 LSW1 与 LSW2 建立 Full 邻居

4. 路由表检查

   display ip routing-table protocol ospf  # 查看 OSPF 学到的路由

5. 全网 Ping 测试

   • PC1 Ping PC2/Ping PC3/Ping PC4

   • PC4 Ping PC1/Ping PC2/Ping PC3所有 Ping 均通，代表全网可达

关键说明

1. 三层交换核心：通过 VLANIF 接口实现 VLAN 间路由，转发效率远高于单臂路由

2. OSPF 区域：所有网段宣告在 Area 0（骨干区域），保证 OSPF 邻居稳定

3. Trunk 链路：二层交换机与三层交换机之间必须配置 Trunk，放行所有业务 VLAN

4. 网段规划 ：严格基于 192.168.1.0/24 划分 /27 子网，无 IP 冲突

二、网络设备

1. 交换机

• 核心特性：提供 MAC 地址表，基于 MAC 地址精确转发数据；每个接口是独立冲突域，所有连接设备处于同一广播域。

• （1）工作原理：

  1. 接收数据帧后，学习帧的源 MAC 地址，关联接收接口并写入 MAC 地址表；

  2. 查询帧的目的 MAC 地址，根据 MAC 地址表转发至对应接口；

  3. 无对应表项时，执行泛洪操作。
     

• （2）MAC 地址表形成过程：

  1. 初始状态：MAC 地址表为空；

  2. 主机 1 发送数据帧给主机 2，交换机从 GE0/0/1 口接收，学习源 MAC（MAC1）并关联接口，因无目的 MAC（MAC2）表项，泛洪该 "未知单播帧"；

  3. 主机 2 接收并回复数据帧，交换机从 GE0/0/2 口接收，学习源 MAC（MAC2）并关联接口；

  4. 交换机查询 MAC 地址表，将回复帧从 GE0/0/1 口单播转发给主机 1，地址表形成。
     

• 处理数据的三种方式：

  • 泛洪（广播）：MAC 地址表无目标 MAC 对应接口，或收到广播帧时，广播转发；

  • 单播：MAC 地址表有目标 MAC 对应接口，精准转发至该接口；

  • 丢弃：收到的数据帧目标 MAC 是自身接口下连接的主机，直接丢弃。

2. 路由器

• 核心特性：提供路由表，基于 IP 地址范围转发数据；每个接口是独立广播域，所有连接设备处于不同广播域。

• 工作原理：

  1. 收到数据包后，提取目标 IP 地址；

  2. 查询路由表，根据网段信息将数据包转发至对应网络；

  3. 无对应路由表项时，丢弃数据包。
     

• 数据转发示例：

  • 发送端：目标 MAC（网关 MAC：C）+ 源 MAC（A）+ 目标 IP（10.2.0.1）+ 源 IP（10.1.0.1）+ 传输层 + 应用层 + 数据；

  • 接收端：目标 MAC（自身 MAC：B）+ 源 MAC（网关 MAC：D）+ 目标 IP（10.2.0.1）+ 源 IP（10.1.0.1）+ 传输层 + 应用层 + 数据。

三、IP 地址

1. IP 地址分类

类别	地址范围	子网掩码示例	组播地址说明
A 类	1-126	255.0.0.0（100.0.0.0/8）	-
B 类	128-191	255.255.0.0	-
C 类	192-223	255.255.255.0	-
D 类	224-239	-	224.0.0.5（DROTHER）、224.0.0.6（DR/BDR）

2. 特殊 IP 地址

• 127 开头地址（127.0.0.1-127.255.255.254）：自检地址，检测 TCP/IP 组件完好性；

• 全 0 地址（0.0.0.0）：代表无 IP 或所有 IP；

• 全 1 地址（255.255.255.255）：广播地址，受路由器限制；

• 主机位全 0 地址（如 192.168.1.0/24）：网络地址；

• 主机位全 1 地址（如 192.168.1.255）：广播地址；

• 169.254.0.0/16：运营商私有 IP 地址。

四、两种参考模型

各层核心作用

OSI 参考模型	TCP/IP 模型	核心作用
应用层	应用层	为应用程序提供网络服务
表示层	应用层	定义数据格式，实现加密、解密、压缩、解压缩
会话层	应用层	建立、维护、拆除通信会话（通过 session ID 区分进程）
传输层	传输层	依靠端口号建立端到端连接，数据分段（1500 字节）
网络层	网络层	IP 寻址，路由器转发，数据分片（1500 字节）
数据链路层	网络接口层	基于 MAC 地址转发，封装成帧、差错检测、流量控制
物理层	网络接口层	传输电信号、比特流

五、TCP/IP 协议簇

1. 传输层：TCP 协议 vs UDP 协议

TCP 可靠机制

• （1）TCP 三次握手（建立连接）：

  1. 客户端发送连接请求（SYN=1，seq=X）；

  2. 服务器回复确认（SYN=1，ACK=1，seq=y，ack=x+1）；

  3. 客户端再次确认（ACK=1，seq=x+1，ack=y+1），连接建立并可传输数据。
     

• （2）TCP 四次断开（关闭连接）：

  1. 客户端发送断开请求（FIN=1，seq=u）；

  2. 服务器回复确认（ACK=1，seq=v，ack=u+1）；

  3. 服务器发送关闭请求（FIN=1，ACK=1，seq=w，ack=u+1）；

  4. 客户端回复确认（ACK=1，seq=u+1，ack=w+1），等待 2MSL 后关闭。
     

• （3）滑动窗口机制：通过 window 字段通告本机接收能力，实现流量控制；

• （4）校验和机制：通过 checksum 保证数据传输安全性。

协议特点对比

特性	TCP 协议	UDP 协议
连接性	面向连接	无连接
可靠性	可靠	不可靠
传输速度	慢	快
流量控制	支持	不支持

2. 网络层核心协议

（1）ICMP 协议（网际报文控制协议）

• 作用：差错（异常）报告、网络探询；

• 关键报文类型：

  • Echo Request（8/0）：ping 请求；

  • Echo Reply（0/0）：ping 回复；

  • 差错报文：网络不可达（3/0）、主机不可达（3/1）、协议不可达（3/2）、端口不可达（3/3）；

  • 重定向（5/0）：指导数据流向最优网关。
    

（2）ARP 协议（地址解析协议）

• 工作原理（广播请求，单播回复）：

  1. 组网初始，ARP 表为空；

  2. 主机 1 需获取主机 2 MAC，发送 ARP Request 广播包；

  3. 所有主机对比目标 IP，仅主机 2 回复 ARP Reply 单播包，告知自身 MAC；

  4. 双方互学 IP-MAC 映射，写入 ARP 表。

• 特性：ARP 表老化时间 180 秒；

• 分类：正向 ARP（IP→MAC）、反向 ARP（MAC→IP）、免费 ARP（自我介绍 + IP 冲突检测）。

（3）实现工具

• ping 命令：测试网络连通性，通过请求 / 回复包数量判断目标状态；

• tracert 命令：路由跟踪，定位网络传输路径节点。

3. 数据链路层 + 物理层

• 以太网 MAC 帧结构：目的地址（6 字节）+ 源地址（6 字节）+ 类型（2 字节）+ 数据（46-1500 字节）+ FCS（4 字节）；

• 物理层封装：前同步码（7 字节）+ 帧定界符（1 字节）+ MAC 帧 + 尾部（8 字节）。

六、DHCP/TELNET

1. DHCP 协议（动态主机配置协议）

• 背景：解决静态 IP 配置繁琐、易出错问题；

• 架构：C/S 模式，服务器端端口 67，客户端端口 68，基于 UDP 协议；

• 工作流程：

  1. DHCP Discover（广播）：客户端发现 DHCP 服务器；

  2. DHCP Offer（单播）：服务器提供分配的 IP 地址；

  3. DHCP Request（广播）：客户端确认使用该 IP；

  4. DHCP Ack（单播）：服务器最终确认，客户端可使用 IP。
     

• 租期更新：

  • 租期 50% 时，客户端主动发起租约更新请求；

  • 租期 87.5% 时，再次发起更新请求；

• 地址释放：租约到期无响应则自动释放，或客户端主动发送 DHCP RELEASE 报文释放；

• 配置命令：

  [R1]dhcp enable
  [R1]ip pool aa
  [R1-ip-pool-aa]network 192.168.1.0 mask 24
  [R1-ip-pool-aa]gateway-list 192.168.1.1
  [R1-ip-pool-aa]dns-list 114.114.114.114 8.8.8.8
  [R1-GigabitEthernet0/0/1]dhcp select global

2. Telnet 协议（远程登录）

• 配置命令：

  [R1]aaa
  [R1-aaa]local-user wangdaye privilege level 15 password cipher wdy12345
  [R1-aaa]local-user wangdaye service-type telnet
  [R1]user-interface vty 0 4
  [R1-ui-vty0-4]authentication-mode aaa

七、路由协议

1. 静态路由协议

• 核心命令：

  • 基础配置：ip route-static 192.168.1.0 24 192.168.2.1；

  • 防环配置：ip route-static 192.168.0.0 22 NULL 0；

  • 浮动路由：ip route-static 192.168.1.0 24 192.168.2.1 preference 61；

• 特点：配置繁琐、不适合大规模网络、无法自动适应拓扑变化。

2. RIP 路由协议

• 配置命令：

  [R1]rip 1
  [R1-rip-1]version 2
  [R1-rip-1]network 192.168.1.0
  [R1-rip-1]network 3.0.0.0

• 特点：

  • 周期性 + 触发性更新，占用带宽；

  • 最大跳数 15，不支持大规模网络；

  • UDP 520 端口，不可靠传输；

  • 收敛速度慢，存在环路问题。

3. OSPF 路由协议

• 配置命令：

  [R1]ospf 1 router-id 1.1.1.1
  [R1-ospf-1]area 0
  [R1-ospf-1-area-0.0.0.0]network 10.10.10.0 0.0.0.255

• 五种协议报文：

  • Hello：发现、建立、保活邻居；

  • DBD：描述 LSDB 中 LSA 摘要；

  • LSR：请求缺失的 LSA 详细信息；

  • LSU：发送所需 LSA 详细信息；

  • LSACK：确认 LSA 接收。

• OSPF 状态机（从初始到稳定）：DOWN → Attempt → INIT → 2-way → Exstart → Exchange → Loading → Full
  

  • DOWN：初始关闭状态，发送第一个 Hello 包后切换；

  • 2-way：邻居关系稳定，确认 DR/BDR；

  • Full：完全邻接，LSDB 与路由表形成。

• 特点：

  • 无跳数限制，组播更新（224.0.0.5 所有 OSPF 路由器，224.0.0.6 DR/BDR）；

  • 收敛速度快，以 cost 为度量值；

  • 按区域划分，有效避免环路；

  • 应用广泛，适用于大规模网络。

八、VLAN 技术

1. 跨交换机 VLAN 通信原理

• 工作过程：

  1. 主机发送数据帧至交换机，交换机为帧打上 VLAN Tag（Tag 中 VID 对应接口 VLAN ID），帧变为 802.1Q 格式；

  2. Trunk 干道传输带 Tag 的 802.1Q 帧；

  3. 接收端交换机检查目标 MAC 所属 VLAN ID，与 Tag 中 VID 一致则转发，否则丢弃；

  4. 数据帧发送至主机前，剥离 VLAN Tag，还原为原始以太网帧。
     

2. VLAN 间路由实现方式

实现方式	配置要点	特点
路由器物理接口	每个 VLAN 对应一个物理接口，配置网关 IP	接口利用率低，适用于小型网络
单臂路由子接口	物理接口逻辑划分子接口，绑定 VLAN 并开启 ARP 广播	节省接口，线路故障影响全网
三层交换机 VLANIF	创建 VLANIF 虚接口，配置网关 IP	转发效率高，适用于中大型网络（首选）

路由器物理接口：

单臂路由子接口：

使用三层交换机的VLANIF虚接口：

核心配置命令：

• 单个创建 VLAN：[SW1]vlan 10；

• 批量创建 VLAN：[Huawei]vlan batch 30 to 40 或 [Huawei]vlan batch 100 200 300；

• Access 接口配置：

  [SW1-GigabitEthernet0/0/2]port link-type access
  [SW1-GigabitEthernet0/0/2]port default vlan 10

• 单臂路由子接口：

  [R1]int g0/0/0.10
  [R1-GigabitEthernet0/0/0.10]ip add 192.168.10.254 24
  [R1-GigabitEthernet0/0/0.10]dot1q termination vid 10
  [R1-GigabitEthernet0/0/0.10]arp broadcast enable

• VLANIF 虚接口：

  [SW1]int Vlanif 10
  [SW1-Vlanif10]ip add 192.168.10.254 24

九、ACL 技术

1. 核心定义与分类

• 定义：数据流的匹配和筛选工具；

• 分类：

  • 基础 ACL：仅匹配源 IP 地址（编号 2000-2999）；

  • 高级 ACL：匹配源目 IP、源目端口、协议（编号 3000-3999）。

2. 配置练习

• 练习 1：拒绝 192.168.1.5 访问 192.168.2.10，允许其他网段互通

  rule deny ip source 192.168.1.5 0.0.0.0 destination 192.168.2.10 0.0.0.0
  rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

• 练习 2：允许网段互通，拒绝 192.168.1.5 访问 192.168.2.10（规则顺序影响结果）

  rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
  rule deny ip source 192.168.1.5 0.0.0.0 destination 192.168.2.10 0.0.0.0

• 练习 3：拒绝 192.168.1.10 ping 网关，拒绝其 Telnet 192.168.2.2

  [R1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.1.254 0.0.0.0
  [R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

十、NAT 技术

1. 核心作用

实现私有 IP 与公有 IP 的地址转换，解决私有 IP 无法接入互联网及公网 IP 资源不足问题。

2. NAT 分类及特点

类型	核心特点	适用场景
静态 NAT	私网 IP 与公网 IP 一对一永久映射	内网服务器对外发布
动态 NAT	私网 IP 与公网 IP 多对多动态映射（本质一对一）	内网少量主机访问外网
NAPT	基于端口的多对一映射（私网 IP + 端口 ↔ 公网 IP + 端口）	内网大量主机共享公网 IP
Easy IP	无地址池，复用公网接口 IP，与 NAPT 实现一致	公网 IP 不固定场景（如拨号上网）
NAT Server	公网 IP + 端口 固定映射 私网 IP + 端口	外网访问内网服务器特定端口