华为HCNA笔记

应用层

应用层通过协议产生数据.

OSI七层模型又称为开放式互联体系参考模型

应用层协议：

HTTP（超文本传输协议） tcp 80 FTP（文件传输协议） tcp 20、21 DNS（域名解析协议） tcp/udp 53

2

DHCP（动态主机配置协议） udp 67、68 SMTP（简单的邮件传输协议）tcp 25 POP3(邮局协议） tcp 110 Telnet(远程登录协议) tcp 23

OICQ（qq应用协议） udp 8000、4000 应用层数据：pdu

传输层数据:segment 数据段 网络层数据：packet 数据包 数据链路层：fame 数据帧 物理层数据:bit 比特流

传输层

1. 进行数据分段

2. 封装tcp/udp报头(数据段)

Tcp（传输控制协议）： 可靠 延迟大 Udp（用户数据包协议)：不可靠 延迟小

1 bit:比特 = 8 byte：字节 1B=8b 1.25MB=10Mb tcp长度为20到60字节，其中20 为固定头部 源端口号Source Port和目的端口号Destination Port （端口号作用：为了识别上层协议) Sequence Number：序列号Seq Acknowledge Number：确认号ACK

Header length：头度 记录包头大小,长度不固定

3

ACK:确认位 SYN:请求位 FIN:结束位

Window：窗口大小 checksum 校验和 urgent pointer：紧急指针 端口号：(识别上层协议） 0-66535共66536个 知名端口号：0—1023 注册端口号：1024-49151 随机端口号：49152-66535

tcp保证可靠的机制（丢包重传机制） 1. 传输前

tcp三次握手：

主机A发送请求SYN数据段，序列号seq为a，服务器A收到后回复SYN+ACK，

确认号ACK为a+1，序列号seq为b，主机A收到后回复ACK，确认号为b+1,序列号为a+1。 2. 传输中

a。确认号的确认机制

seq变化：第一次seq=a 第二次seq=a+传输的字节大小 主机a发送序列号m=m+499，发送三次后seq m+1000=m+1499，服务器收到后发送确认号m+1500，若传输过程中丢失数据包，则进行重传。

（主机A向服务器A发送TCP数据段,为描述方便假定每个数据段的长度都是500个字节.当服务器A成功收到序列号是M+1499的字节以及之前的所有字节时，会以序列号M+1499+1=M+1500进行确认.另外，由于数据段N+3传输失败，所以服务器A未能收到序列号为M+1500的字节，因此服务器

4

A还会再次以序列号M+1500进行确认）

b。窗口大小

主机a发送四个数据包大小为4096,服务器a接受三个，丢弃一个，并向主机a回复ack=3073，窗口大小3072，则主机调整发送数据包大小。

主机A向服务器发送4个长度为1024字节的数据段，其中主机的窗口大小为4096个字节。服务器A收到第3个数据段后，缓存区满,第4个数据段被丢弃。服务器以ACK3073响应，窗口大小调整为3072，表明服务器的缓冲区只能处理3072个字节的数据段。于是主机A改变其发送速率，发送窗口大小为3072的数据段。

3。传输结束

四次分手：

主机a发送FIN+ACK，序列号为a，ack=b,服务器收到后发送ACK,并回复seq=b，ack=a+1,同时向主机a发送FIN+ACK，seq=b,ack=a+1，

5

主机a回复seq=a+1,ack=b+1.

（其中ACK是为了确认之前的数据传输完毕）

1. 主机A想终止连接，于是发送一个标识了FIN，ACK的数据段，序列号为a，确认序列号为b.

2. 服务器A回应一个标识了ACK的数据段，序列号为b，确认序号为a+1,作为对主机A的FIN报文的确认.

3. 服务器A想终止连接,于是向主机A发送一个标识了FIN,ACK的数据段，序列号为b,确认序列号为a+1。

4. 主机A回应一个标识了ACK的数据段,序列号为a+1，确认序号为b+1，作为对服务器A的FIN报文的确认。 以上四次交互便完成了两个方向连接的关闭 UDP

UDP报文分为UDP报文头和UDP数据区域两部分。报头由源端口、目的端口、报文长度以及校验和组成。UDP适合于实时数据传输,如语音和视频通信.相比于TCP，UDP的传输效率更高、开销更小，但是无法保障数据传输的可靠性。

UDP不提供重传机制，占用资源小，处理效率高。

一些时延敏感的流量，如语音、视频等，通常使用UDP作为传输层协议。

网络层

网络层作用:

1. 包分片（MTU最大传输单元,大于1500字节不能传递) 2. 封装IP包头

6

3. 进行路由寻址和选路（进行不同网段的数据通信） 4. 识别上层协议

IP：互联网协议，简称网协

IP包头字节为20～60,固定为20字节

Version：版本 、header length 头度 、DS field DS字段（QOS中涉及）、

total length 总长度

identification(标识：区分数据包），flags（标志：标记最后一个数据包)，Fragment Offset(片偏移：记录数据包顺序）进行包分片。

Time to Live 生存时间（TTL，默认值为255,每经过一个三层设备就减一，当TTL=0时,数据包不可用，具有防环作用。） Protocol 协议号（识别tcp与udp，tcp=6，udp=17） Header checksum头部校验和 Source ip address ： 源IP 地址 destination ip address：目的地址 网络设备：

测试连通性用ping命令：ping目的IP地址

华为设备有两种视图模式：用户视图用〉表示，系统视图用#表示 Save保存

网关：PC所连路由器的接口地址

dis ip interface brief 查看接口和IP地址对应关系

7

数据链路层

数据链路层作用：

1. 封装帧头帧尾

2. 实现相同网段的数据通信

帧头：

DMAC(Destination MAC）是目的MAC地址。 SMAC（Source MAC）是源MAC地址

类型字段（Type）用于识别上层协议，该字段长度为2个字节 IP:互联网协议 0x0800 2048 ARP：地址解析协议 0x0806 2054 帧尾：

FCS校验字段

MAC地址唯一标识，一共6B，48bit,前三字节为厂商组织的唯一标识,后三个字节为生产厂商的唯一标识。

当MAC地址的第一个字节第八个比特为0时为单播，全F为广播，第一个字节第八个比特为1，为组播

组播MAC地址的第8个比特为1，而单播MAC地址的第8个比特为0. 物理层将数据帧装换成比特流传输给对方。

8

数据封装与解封装

一、数据封装：

应用层产生数据data，发送给传输层,传输层封装tcp/udp报头【包头包含端口号(源端口号与目的端口号）】，发送给网络层，网络层封装IP报头（源IP地址与目的IP地址）【报头包含协议类型（tcp=6，udp=17）】,发送给数据链路层，数据链路层封装帧头【帧头包含type(IP=0x0800,arp=0x0806）MAC地址（源MAC地址与目的MAC地址)】帧尾，交给物理层，物理层将数据帧转换为比特流发送给对方。

二、数据解封装：

物理层收到比特流后转换为数据帧传输给数据链路层，数据链路层确定目的Mac为自己,查看type类型，去掉帧头帧尾后传输给网络层,网络层确定目的IP为自己，查看协议类型，去掉IP报头之后发送给传输层，传输层查看端口号，去掉tcp/udp报头之后将数据传送给应用层。

IP地址

IP地址用来标识某个网络某台主机.

IP地址由32个二进制位（4个字节共32bit)组成，采用点分十进制形式表示,由网络位和主机位构成.

Version:版本号 header length：头度 total length：总长度 Mtu 最大传输单元 大于1500b时进行包分片

Identification 标示字段 flags：标志字段 fragment offset：片偏移，三个为包分片作用

Timetolive(ttl）生存时间，默认值为255,每经过一个三层设备就减一,

9

当TTL=0时,被丢弃，具有防环作用。

Protocol 协议号（识别tcp与udp，tcp=6，udp=17） Header checksum头部校验和

Source ip address ： 源IP destination ip address：目的地址 数据链路层：帧头加帧尾最大1500+18=1518b最小46+18=b 数据帧大小即～1518b

D.MAC目的Mac地址,S.Mac源Mac地址 Type 类型 fcs校验字段

Mac 物理地址，前三个字节为组织的唯一标识,后三个字节为生产厂商的唯一标识 IP地址包括两部分，第一部分是网络号，表示IP地址所属的网段，第二部分是主机号,用来唯一标识本网段上的某台网络设备。 乘方 数值 2 128 72 62 32 52 16 42 2 8 4 322 2 12 1 0

11111111=255 11111110=254 11111100=252 11111000=248 11110000=240 11100000=224 11000000=192 10000000=128

0=1 1=2 3=8 4=16 5=32 6= 7=128 8=256 9=512 10=1024 11=2048 12=4096 13=8192 14=16384 15=32768 16=66536 网络地址描述了IP地址所在的网络。

主机位全为0为网络地址，主机位全为1为广播地址. n=主机位数，ip地址=2^n，可用ip地址数=2^n—2

地址分类: 私有地址：（任何用户都可以使用） A类：0.0。0。0～127.255。255。255 10。0。0.0～10。255.255.255 B类：128.0.0。0～191.255.255。255 172.16。0.0～172。31.255。255

C类:192.0。0。0～223。255。255。255 192.168.0。0～192。168。255。255

D类：224。0。0。0~239.255.255.255（组播地址）

10

E类：240。0。0.0～255.255。255。255（保留地址） A类地址8+24 B类地址 16+16 C类地址 24+8

127。0.0.0~127.255.255.255：本地环回地址（测试网络连通性) 0.0。0.0:所有网络

255。255。255。255:有限广播地址 （本网段广播） 主机位全为1的为直接广播地址（跨网段广播）

子网掩码用于区分网络部分和主机部分,子网掩码中的1表示网络位，0表示主机位。

A类地址默认子网掩码为255.0.0.0 前8个比特为网络位

B类地址默认子网掩码为255.。255。0.0 前16个比特为网络位 C类地址默认子网掩码为255.255。255。0 前24个比特为网络位

VLSM:可变长子网掩码划分（解决了地址浪费的问题，节省了IP地址)

192。168。2./26,需求为30

则划分后：192.168.2。/27

网络地址：192。168。2。/27 192。168。2.010 00000 广播地址：192.168.2。95/27 192。168.2。010 11111 可用地址为：192.168.2。65/27～192。168。2。94/27

交换机原理

交换机：进行相同网段转发

ARP：地址解析协议(根据ip查找Mac）

ARP含有两种报文：请求包（ARP request）,响应包（ARP Reply）. ping命令运用ICMP协议（在路由器中用离目标最近的接口地址为源地址）。

ARP会通过广播来寻找对方Mac,发送时为广播，回复为单播。 交换机传输过程中三个过程:

1。学习动作：创建Mac表,存放Mac与对应接口 2。泛洪：将广播发送给除本接口外的其他接口

3.转发动作：根据目的Mac查Mac地址表进行转发。

11

交换机数据传输过程

PC1应用层产生DATA数据,传输层进行tcp/udp封装,网络层封装IP报头(源ip与目的ip并封装协议类型），数据链路层封装帧头帧尾（源Mac与目的Mac），查看ARP表，未知目的Mac,发送ARP广播，交换机收到后，进行学习动作,创建Mac地址表，含有源Mac与对应接口,之后进行泛洪动作,将数据发送给除接收接口外的其他接口，PC2收到ARP广播后，建立ARP表,含有PC1的ip与Mac，之后进行回复，通过ARP表查询对方Mac，进行帧封装（包含Mac），之后传送到交换机，交换机进行学习动作，添加PC2的Mac与对应接口,之后通过查询Mac表得知PC1的接口后转发给PC1，传输结束。之后再次对PC2进行传输时会先查询ARP表，若存在，则不再发送广播。

路由器原理

路由器数据传输时的动作：

1. 解封装:确定Mac后进行解封装

2. 转发：根据路由查路由表进行数据转发（路由表：路由器会默认将直连网段放入路由表).

3. 重写：重新封装新的帧头帧尾 网关：网络出口（路由器接口)。 路由器：用于转发不同网段数据. 路由器具有ARP缓存。

路由器数据传输过程

PC1产生数据后，在封装Mac时,查看ARP表时未知Mac地址，发送ARP广播，网关收到ARP后向PC1回复自己的Mac，PC1进行封装,发送到网关，网关查看Mac确认后，进行解封装为数据包，通过查看路由表（目的IP）后转发（路由表含有接口和IP）,对应接口进行数据重封装，封装时未知目的Mac，发送ARP广播，PC2收到后回复单播及Mac，之后接口进行封装并发送到PC2。PC2收到数据后，创建ARP表，包含网关ip和对应Mac.之后PC2回复数据，封装Mac时查看ARP表,封装Mac后回复给网关,网关确认Mac后解封装为数据包，传到下

12

一接口，查询路由表得知PCI的Mac，之后重写封装,传给PC1。

静态路由

静态路由：手动配置的路由即为静态路由。 静态路由一般适用于结构简单的网络。

浮动静态路由：通过修改优先级进而达到冗余备份能力 等价路由：目的网络相同，但下一跳不同. 子网掩码32的为主机路由。

下一跳:到达目的网络的下一个路由器直连接口的IP地址。

Ip router—static +目的网络+子网掩码+下一跳（即下一个路由器的接口地址）。

路由比较

1. 最长匹配（精确匹配）：掩码越长越优先；

2. 路由优先级 ：优先级越小越优先（直连优先级0，静态优先级60); tracert：路由跟踪命令:跟踪到达目的网络的网络之间所经过的路由器

改变优先级：Ip router—static +目的网络+子网掩码+下一跳+Preference+优先级。(仅对本地设备进行修改） 路由表中仅存放最优路由。

CIDR:无类域间路由（把相同位置为网络位,把不同位置为主机位,求网络地址。

13

缺省路由

缺省（默认）路由：目的网络为0.0.0.0的路由，可以代替所有路由。 配置缺省路由时,不可双向配置,否则会形成环路,缺省路由用于配置内网访问时所经过的路由器。

当私网访问公网时,所经过的路由器都需要配置缺省路由来代替公网路由。

当R1配置默认路由指向R2，R2配置默认路由指向R1时，R1访问一个不存在的地址时，R2与R1之间数据产生环路。

内网访问配置默认路由：

动态路由协议

动态路由协议:路由器之间相互学习的路由 AS（自治区与系统）：一个路由管理域的集合 动态路由协议分类: 1. 按照运行范围 A、AS内：

OSPF：开放式最短路径优先 RIP：路由信息协议

ISIS:中间系统到中间系统

14

B、AS外：

BGP（边界网关路由协议）

2. 特性：

距离矢量路由协议：RIP、BGP 链路状态：OSPF、ISIS

距离矢量路由：传递整张路由表,只关心距离和方向。

链路状态：传递链路状态信息（描述本设备的链路连接信息），能够 构成整张拓扑。

RIP

工作原理:

路由器启动时,路由表中只会包含直连路由。运行RIP之后，路由器会发送Request报文，用来请求邻居路由器的RIP路由。运行RIP的邻居路由器收到该Request报文后，会根据自己的路由表,生成Response报文进行回复。路由器在收到Response报文后，会将相应的路由添加到自己的路由表中。RIP网络稳定以后,每个路由器会周期性地向邻居路由器通告自己的整张路由表中的路由信息，默认周期为30秒。邻居路由器根据收到的路由信息刷新自己的路由表。 1. 路由器运行RIP发送请求，对方收到后回复;

2. 当网络稳定时，路由器会周期性(周期为30s)的发送更新消息； RIP宣告主类网络。 RIPV1配置：

1. 进入RIP进程：rip

2. 宣告直连网络:network +本地网络 （宣告主类网络；A B C类) RIP优先级100，静态60，直连0 request：请求消息（请求）

response：回复消息（回复及周期性更新） rip基于UDP封装,端口号520，以跳数为度量 每经过一个路由器跳数加1，跳数越小越优先 RIPv1报文格式中每个字段的值和作用：

1. Command：表示该报文是一个请求报文还是响应报文，只能取1或者2.1表示该报文是请求报文,2表示该报文是响应报文。 2. Version:表示RIP的版本信息.对于RIPv1，该字段的值为1。

15

3. Address Family Identifier（AFI）：表示地址标识信息，对于IP协议，其值为2.

4. IP address：表示该路由条目的目的IP地址。这一项可以是网络地址、主机地址.

5。Metric：标识该路由条目的度量值，取值范围1—16.每经过一个路由器度量数加1 Ripv1：

 RIPv1是有类别路由协议,不支持VLSM和CIDR。  以广播的形式发送报文。  不支持认证。 Ripv2：

 RIPv2为无类别路由协议，支持VLSM，支持路由聚合与CIDR。  支持以广播或者组播（224.0.0.9）方式发送报文.  支持明文认证和 MD5 密文认证.

RIPV1

1. 以广播形式更新(255。255。255。255），缺点浪费设备资源及带宽 2. 报文中不携带子网掩码，不支持VLSM及CIDR 3. 不支持认证 RIPV2（version2）

1. 支持广播及默认组播更新（224.0.0。9） 2. 报文中携带子网掩码，支持VLSM及CIDR 3. 支持明文认证及MD5密文认证

RIP认证：接口模式下，rip authentication-mode （md5（密文）、simple（明文））+密码.

更改跳数:rip metricout+跳数（5） 在出方向上（在对方为5) rip metricin +跳数（5）在进方向上（本地原跳数+5）

RIP产生问题及解决方法

环路：

R1在向R2发送路由表后，有一条链路发生故障,R2收到路由后更新自己的路由表,并将更新后的路由表发送给R1，R1也会更新自己的路由表,并认

16

为之前发生故障的路由来着自R2，则一直进行相互传递。产生数据后，R1与R2则会产生环路。

防环机制：

1. 设置最大跳数（15）；

2. 水平分割：从本接口收到的路由不会从本接口发出； 3. 毒性逆转（毒性反转）：R1路由出现故障后，将出现故障的路由设置为16跳，等到下次更新时通告给R2，R2将其丢弃，并回复给R1路由不可达消息，R1将此路由删除,解决环路问题。 4. 触发更新：发生变化立即更新，不等待更新时间。 rip split-horizon：开启水平分割

RIP的缺点：

1. 仅适用于小型网络

2. 容易产生环路（距离矢量路由协议) 3. 收敛速度慢

RIP优化

抑制组播或广播消息的发送。

OSPF

OSPF：开放式最短路径优先 1. 传递链路状态信息

17

2. 构成整张拓扑 直连优先级 0 OSPF优先级10 静态优先级 60 rip优先级 100

OSPF基于IP封装，协议号 rip基于udp封装，协议号520

OSPF原理：

1. 通过发送hello消息建立邻居关系；

2. 进行LSA(链路状态通告）泛洪，形成相同的LSDB（链路状态数据库）;

3. 运行SPF算法(最短路径优先算法)，得到最优路径； OSPF以组播（224。0。0。5、224。0.0。6）更新， DRotherDR 224.0.0。6 DRDRother OSPF的度量叫做开销，带宽越大开销越小

计算公式为:带宽参考值（10^8）/接口带宽=cost（开销） 修改参考带宽:进程下： bandwidth—reference+参考值 修改开销：接口下:ospf cost + 参考值（在入方向增加）

LSA工作机制：路由器收到LSA之后，不会马上使用,而是复制一份留到本地,另一份传递给下一个路由器。

OSPF报文消息及传输

OSPF报文消息：

1. hello：建立并维护邻居关系(间隔为10S,40S无回复则认为邻居不存在） 2. DBD(DD）：链路状态数据库描述报文(描述本地数据库信息） 3. LSR：链路状态请求报文(用于请求本地缺少的LSA的详细信息） 4. LSU：链路状态更新报文（用于更新所请求的LSA)

hello，DD,R，U，ACK 传输过程:

R1和R2通过hello报文建立邻居关系，R1和R2相互发送DBD，R1向R2发送LSR请求报文,R2向

18

R1回复LSU更新报文，R1收到后回复LSACK确认报文。

OSPF头部 :

1. OSPF version：版本号 2. message type：消息类型（1=hello，2=DD,3=LSR,4=LSU,5=LSACK） 3. packet length：报文总长度

4. source OSPF router=router ID(默认选择第一个配置的IP地址） 5. area ID：区域ID

6. packet checksum：包校验和

7. auth type：认证类型（基于接口认证和基于区域认证) 8. auth data：认证数据

邻居建立的必要条件:

1. 认证类型 认证信息一致 2. 版本一致

3. router ID必须唯一 4. area必须一致

认证类型：空认证、明文认证、密文认证 接口认证：［R1—Ethernet0/0/0]ospf authentication-mode 区域认证：［R1-ospf—1—area-0.0.0。0］ authentication—mode 查看OSPF简要邻居信息：display ospf peer brief 修改router ID：ospf router-id

重置OSPF进程：进入OSPF进程下，peer+对端地址

区域area：

为了解决LSDB震荡问题，引入了区域area

19

区域分为骨干区域（area0)和非骨干区域(非0区域） 规则:非骨干区域相互通信必须和骨干区域相连。

DR＆BDR

路由器的接口为DR或BDR，每个网段只有一个DR。 每个网段都有一个接口为DR

r1通过hello和r2r3建立邻居关系,进行LSA泛洪，泛洪经过交换机转发后发送到r2r3，r2r3复制一份留在本地，然后交给交换机,交换机收到后继续转发，造成网络中LSA过多，设备资源占用过大。

DR：指定路由器(解决LSA泛洪，所有路由器均向DR进行LSA泛洪,DR将其复制一份后再向所有路

由器LSA泛洪，其余路由器间不进行LSA泛洪。） BDR:作为DR备份，保证网络可靠

DRother：既不是DR也不是BDR的设备 邻居关系（DRother—— DRother）：只发送hello消息用于建立邻居关系

邻接关系(DRother——DR)：发送hello消息，进行LSA的泛洪 DR选举：

1. 接口优先级:默认值为1（0~255）,越大越优先。优先级为0（DRother）没有选举权限。 修改优先级：［R1—Ethernet0/0/0]ospf dr-priority +优先级 2. router id：越大越优先 DR具有不可抢占性

VLAN

交换机默认所有接口都在同一广播域内

VLAN：虚拟局域网(隔离广播域,节省网络带宽，保证网络安全）

20

作用：相同vlan下主机可以相互通信，不同vlan下主机不可通信

原理：通过tag区分不同VLAN TAG：

1. 0x8100=802。1q(VLAN标准） 2. PRI:优先级字段（QoS用到） 3. CFI：是否支持令牌环网络 4. VLAN ID（12b）：共4096个VLAN，0～4095（0和4095不可用） 交换机的链路类型: 1. access：接入链路（pc与交换机相连）只允许一个VLAN通过 2. trunk:干道链路（交换机之间相连）允许多个VLAN通过 3. hybrid:混合链路，交换机默认链路类型

交换机默认存在VLAN1,且默认所有接口都属于VLAN1,允许VLAN1通过.

创建多个VLAN： vlan batch 10 20 30 40

VLAN配置

Access设置：

1.port link –type access 端口设置为access 2。port default vlan 10 端口属于vlan 10 3.display port vlan 查看端口和vlan关系 trunk设置：

21

1. port link-type trunk 将端口设置为trunk

2. Port trunk allow-pass vlan 10 20 允许vlan10和20通过 删除trunk或access时先删除vlan，再删除接口设置 ping用到的协议为ICMP协议 VLAN链路状态

access：接入链路：

入方向：收到不带tag数据，打上本接口的PVID(port VLANID） 出方向：发出时，带tag的数据去掉tag（发出的tag与本接口的PVID

相同)

trunk:干道链路（满足trunk所允许的列表）

出方向：发出的数据与本接口的PVID如果相同就去掉标记,如果不同

就直接转发。

修改端口PVID:port trunk PVID VLAN

入方向：若收到的数据带tag,直接转；反之则打上本接口PVID

hybrid：混合链路（手工定义允许通过的VLAN以及通过时的动作)。

tagged ：带标记转发（不去标记） untagged：不带标记转发（去标记)

[［SWA—GigabitEthernet0/0/1]port link-type hybrid

［SWA—GigabitEthernet0/0/1]port hybrid tagged vlan 2 3 100 [SWA-GigabitEthernet0/0/2]port hybrid untagged vlan 2 100 [SWA-GigabitEthernet0/0/3］port hybrid untagged vlan 3 100

出方向：手工定义允许通过的VLAN以及VLAN通过时的动作

22

tagged ：带标记转发（不去标记） untagged：不带标记转发（去标记) 入方向：能发才能收（允许列表）

若收到带标记数据直接转发,若不带标记，就打上本接口PVID 接口下更改PVID:port hybrid pvid vlan 10

VLAN间路由

配置网络设备：先二层再三层 创建虚拟接口：interface vlanif 10 在vlanif下配置地址

display IP interface brief查看接口地址关系

路由器和交换机连接，接口设置为access接口，划到VLAN下. 配置单臂路由：

交换机配置接口为trunk与路由器连接 1. 启用子接口：interface e g0/0/0。1

2. 子接口下：Dot1q termination vid 10 （封装vlan10） 3. 开启ARP广播：ARP broadcast enable 4. 配置地址即网关

链路聚合

优势:

1. 增加带宽，减少拥塞 2. 实现备份，达到网络可靠 核心层配置在核心层 网络基本架构：

1. 接入层:接入终端设备，增 加用户数量

2. 汇聚层：汇聚接入层流量 3. 核心层:转发整个网络数据

链路聚合的前提:

参数一致（物理接口的数量、速率、双工方式、流控方式必须一

23

致.） 配置方法： 二层聚合配置

1. 创建虚拟接口：[R1］interface Eth—Trunk 12 2. 将接口加入到聚合接口：[R1—GigabitEthernet0/0/1]eth—trunk 12 3. 查看接口简要关系：[R1]display interface brief 三层聚合配置：

[RTA]interface eth-trunk 1

［RTA-Eth-Trunk1]undo portswitch

［RTA-Eth—Trunk1]ip address 100。1.1.1 24 ［RTA-Eth-Trunk1]quit

执行undo portswitch命令后，可以为Eth—Trunk逻辑口分配一个IP地址,其他配置一样。

DHCP

DHCP：动态主机配置协议 作用:动态分配地址

优点：避免地址冲突，减少网络管理员的工作量 自动获取地址从大往小分.

原理:

1. 服务器 2.

DHCP OFFER ：DHCP回复报文，回复PC携带IP

的参数信息 3. DHCP REQUEST ：DHCP请求报文,请求该地址为本机所用 4. DHCP ACK ：DHCP确认报文，同意使用 5. DHCP NAK ：DHCP拒绝报文，拒绝使用 6. DHCP RELEASE ：DHCP释放报文

DHCP DISCOVER:DHCP发现报文,发现网络中DHCP

24

PC获取地址后广播是为了告诉其他服务器已收到地址 DHCP租期更新

当租期剩余50%时，PC向服务器单播发送request请求，请求继续使用该地址，服务器若同意给ACK，PC收到确认后重新计时

广播：在租期剩余12。5%的时候超时，超时后，DHCP客户端会认为原DHCP服务器不可用，开始重新发送DHCP请求报文。网络上任何一台DHCP服务器都可以应答DHCP确认或DHCP非确认报文。 在剩余12.5％的时候，收到ack，重新计时,收到ank，释放该地址，若没收到报文，当租期到100%时释放RELEASE该地址。

DHCP配置

基于接口地址池：

1. 开启DHCP功能： dhcp enable

2. 进入接口: interface GigabitEthernet0/0/0（地址为网关) 3. 选择接口地址池: dhcp select interface（网段、掩码） 4. DNS配置： dhcp server dns—list 10.1.1.2 5. 设置租期时间：dhcp server lease day 3

不参与自动分配的IP地址范围dhcp server excluded—ip—address

25

基于全局地址池:

1. 开启DHCP功能:Huawei］dhcp enable 2. 创建全局地址池：ip pool 名称 3. 子网掩码：network 1.1.1.0 mask 24 4. 网关列表:gateway-list 1.1.1。1 5. 设置DNS:dns—list 8。8.8.8 6. 租期：lease day 103

7. 调用地址池：interface GigabitEthernet0/0/1

dhcp select global

STP

STP(Spanning Tree Protocol）:生成树协议 RSTP：快速生成树 MSTP：多实例生成树

广播风暴：PC 1发送ARP请求后,sw1学习转发给sw2和sw3，sw2、sw3学习后继续转发，在网络中形成环路，产生广播风暴，造成Mac地址表震荡，数据不能正常转发。

修改STP类型：stp mode stp

STP作用：保证网络可靠,解决环路

原理:通过设置阻塞端口解决环路

阻塞端口：当网络中出环路时,阻塞端口被阻塞，不再转发数据，当网络出现故障时，阻塞端口激活，开始转发数据.

26

STP比较规则

根桥（根交换机）： 比较交换机网桥ID（交换机唯一标识,由8个字节构成=优先级+Mac，先比较优先级（默认32768）再比较Mac,越小越优先.)

修改优先级:stp priority （最大61440,优先级必须是4096倍数）. 根端口：非根交换机到达根交换机的最优端口。 1. 路径开销，带宽越大开销越小 2. 对端交换机的网桥ID(优先级+Mac) 3. 对端端口号

4. 比较本端端口号

指定端口：每条链路上到达根交换机最优端口(根交换机上所有端口都

是指定端口）

1. 路径开销，带宽越大开销越小

2. 本端交换机的网桥ID（优先级+Mac） 3. 本端端口号

阻塞端口：未被选举为根端口或指定端口的端口，将会被阻塞 查看端口状态：display stp brief

状态信息

1. Forwarding：转发状态。 2. Learning：学习状态。 3. Blocking：阻塞状态。 4. Disabled：禁用状态。

27

ACL

ACL:访问控制列表 ACL的作用：

可以定义不同的规则，根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理.

ACL分类：

1. 基本ACL：2000~2999，只能识别源IP

2. 高级ACL：3000~3999，识别源IP地址，目的IP地址、 源端口、目的端口

3. 二层ACL：4000~4999，识别源MAC地址、目的MAC地址、以太帧协议类型

ACL的创建

ACL创建后需要在接口下调用

创建基本ACL：

1. 建立规则：ACL 2000

2. rule (默认为5) （deny:拒绝，permit,允许） source(源地址+反掩码)

3. 调用ACL：接口模式下，traffic-filter（流量过滤） inbound进/outbound 出 + ACL2000

创建高级ACL

1. rule deny +协议 icmp source/destination +地址 +反掩码+destination +地址+反掩码

2. rule deny +udp source +地址+反掩码+destination +地址+反掩码eq 4000 禁止访问端口 = rule deny udp destination—port eq 8000

28

3. 调用ACL：接口模式下，traffic-filter（流量过滤） inbound进/outbound 出 + ACL2000

NAT

NAT：网络地址转换技术

网络地址转换技术NAT（Network Address Translation）主要用于实现内部网络访问外部网络的目的。

优点:节省IP地址 缺点：转发延迟大

NAT一般部署在连接内网和的边界路由器上。

NAT转换

1. 静态NAT（服务器地址转换)

静态NAT实现了私有地址和公有地址的一对一转换,一个公网地址对应一个私网地址

2. 动态NAT

动态NAT基于地址池来实现私有地址和公有地址的转换，转换是随机的

3. NAPT（网络地址端口转换）

NAPT允许多个私网地址转换到同一个公有地址的不同端口，私网利用端口号来区分。

4. Easy IP：转换成出接口地址

利用端口号来识别不用的私网地址。

NAT转换配置

静态NAT： 1. 进入出接口：interface g 0/0/2 2. 地址转换：nat static（静态） global(公网)202。10。10。1 inside 192。168.1.1 动态NAT： 1. 设置公网地址池：nat address-group 1 200。10。10.1 200.10。10。200 29

2. 创建ACL：acl 2000

3. 允许1。0的数据进行转换：rule 5 permit source 192.168.1.0 0。0。0.255

4. 进入接口（出方向)：interface serial1/0/0

5. 匹配ACL:nat outbound 2000 address—group 1 no—pat(不进行端口转换)

6. 查看转换: display nat session all

NAPT ：在动态NAT的第五步进行接口转换 Easy IP：

1. 创建ACL：acl 2000

2. 允许1。0的数据进行转换：rule 5 permit source 192.168.1。0 0 。0.0.255

3. 匹配ACL：nat outbound 2000

网络架构

广域网（WAN)：实现不同LAN的通信 PSTN:电话交换网络

CATN:中国有线电视网络 Internet:互联网

PSTN、CATV、Internet称为三大网络 数据中心:用于存放企业数据

DMZ:非军事话区域（WEB、DNS、mail）,用于放置企业网站【与内网均可访问DMZ，但不可通过DMZ访问内网】 eSigh管理平台：便于网络管理 以太网:

并口传输E/G： 广域网:

串口传输S：传输快速

接口卡T1=1。544M E1=2。048M（用途广） 同步传输：以数据帧为单位 传输需要协商 异步传输：以字节为单位 传输不需要协商

点到点传输:PPP协议(点到点） HDLC（高级链路控制协议)

30

分组交换：FR(帧中继）

FR帧中继

帧中继FR(Frame Relay）协议工作在OSI参考模型的数据链路层 DTE：数据终端设备

DCE:数据通信设备,为用户设备提供网络接入

两个DTE设备之间的电路称为虚电路，用两个DLCI号标识 SW：Mac对应port

FRSW：DLCI：数据链路连接符 LDCI对应port DLCI号范围:16～1007 虚电路：

PVC：永久虚电路（常用 ） SVC：按需虚电路

LMI协议（本地管理接口）：建立和维护虚电路。 设备配置：

在路由器接口下修改链路类型:［Huawei—Serial0/0/0]link—protocol fr

映射关系:

Inverse ARP：逆向地址解析协议，根据DLCI号求IP地址. 1. SW：DLCI与接口映射

2. RT：DLCI与IP地址映射(inarp) 查看fr映射关系：dis fr map-info 查看配置 display fr pvc—info

R2R3手工添加映射：[1-Serial0/0/0］fr map ip+对端地址+本端DLCI+broadcast 数据经R1传递

OSPF中有帧中继的网络称为NBMA：非广播多路访问 不支持广播或组播发送 单播指定邻居 总部必须为DR 修改优先级：ospf dr—priority 0

31

将ospf的广播方式改为单播： 进入OSPF进程下，peer+对端地址

修改ping的源地址：ping –a +源地址+对端地址

HDLC&PPP

HDLC

HDLC( High-Level Data Link Control ）：高级数据链路控制 HDLC是一种面向比特的链路层协议。

HDLC的作用：接口地址借用,节省IP地址，使地址更加稳定

一般建议借用loopback接口的IP地址，因为这类接口总是处于活跃(active）状态，因而能提供稳定可用的IP地址

［RTA]interface Serial 1/0/0

[RTA-Serial1/0/0]link—protocol hdlc 修改接口类型 [RTA—Serial1/0/0］ip address unnumbered（共享） interface loopBack 0 地址共享 ［RTA]ip route—static 10。1。1.0 24 Serial 1/0/0 配置路由转发数据

PPP协议

PPP（Point to Point Protocol)：点对点协议 PPP协议主要工作在全双工的同异步链路上

PPP包含两个组件：链路控制协议LCP和网络层控制协议NCP。 LCP（Link Control Protocol)：建立和维护PPP数据链路 NCP（Network Control Protocol）:进行网络层协议的协商: 例如:IPCP用于协商控制IP协议

LCP报文

Request：请求报文 进行参数协商

32

ACK：接受 Nak:拒绝

reject：用于回复不能识别的参数 LCP协商参数：

1. 最大接收单元（MRU)：最大1500字节 2. 认证协议：

a) 不认证 b) chap：挑战握手协议 c) 密码认证协议

3. 魔术字：检测环路 AAA(三A认证）：认证，计费，授权

PPP认证模式：

1. PAP认证特点：两次握手，明文传输 2. CHAP认证特点：三次握手，密文传输 PPP认证配置 PAP认证配置：

［认证方］aaa

［认证方—aaa]local-user huawei password cipher huawei ［认证方-aaa］local-user huawei service-type ppp [认证方]interface Serial 1/0/0 [认证方-Serial1/0/0]link-protocol ppp

［认证方—Serial1/0/0]ppp authentication-mode pap [认证方—Serial1/0/0］ip address 10。1.1。1 30 被认证方需在接口下提交认证

[被认证方］interface Serial 1/0/0 [被认证方-Serial1/0/0］link—protocol ppp

[被认证方—Serial1/0/0］ppp pap local-user huawei password cipher huawei ［被认证方—Serial1/0/0］ip address 10。1.1。2 30

33

由被认证方发出request，包含用户名密码 CHAP认证配置：

［认证方］aaa

[认证方—aaa]local-user huawei password cipher huawei ［认证方—aaa]local-user huawei service-type ppp ［认证方]interface Serial 1/0/0 [认证方-Serial1/0/0］link-protocol ppp

[认证方—Serial1/0/0]ppp authentication—mode chap ［认证方—Serial1/0/0]ip address 10.1.1.1 30 被认证方需在接口下提交认证

[被认证方］interface Serial 1/0/0 [被认证方-Serial1/0/0]link—protocol ppp ［被认证方—Serial1/0/0]ppp chap user huawei

［被认证方—Serial1/0/0］ppp chap password cipher huawei ［被认证方-Serial1/0/0］ip address 10。1。1。2 30

认证方:

1. 创建用户名密码 2. 设置服务类型

3. 接口下启用chap认证 被认证方：

1. 接口下启用PPP 2. 提交用户名和密码 chap认证过程：

1. 认证方首先发送挑战报文,被认证方收到后将报文和用户名

密码进行MD5加密，生成128比特哈希值，

2. 被认证方回复认证方用户名密码和哈希值，认证方查看，数

据库查找被认证方，然后将用户名密码和报文进行MD5加密后生成128比特哈希值，然后和被认证方回复的哈希值进行对比，若相同，认证成功。

34

IPV6

IPv4地址空间已经消耗殆尽，为了节省地址，出现CIDR、VLSM、NAT技术，而近乎无限的地址空间是IPv6的最大优势。 ipv4=32比特,ipv6=128比特

ipv6报头:

ipv6报头由ipv6基本包头和扩展报头组成。

ipv6基本报头

version:版本

traffic class：流类别（用于服务质量） Flow Label：流标签

Payload Length：载荷长度=总长度

Next Header:下一个头部=协议号（识别上层协议) Hop limit：跳数=TTL Source Address （128bits）：源IP

Destination Address （128bits)：目的IP ipv6比ipv4报文少，转发速度快，效率高

ipv6扩展报头：

IPv6扩展报头是跟在IPv6基本报头后面的可选报头，可以有一个或多个，扩展报头是分片扩展报头

ipv6地址

ipv6是冒分十六进制数表示方式，IPv6地址长度为128比特,每16比特划分为一段，每段由4个十六进制数表示

一个十六进数等于四个比特,一个八组共三十二比特. ipv6由两部分组成：网络前缀和接口标识.

35

IPv6地址通常写作xxxx:xxxx:xxxx:xxxx：xxxx:xxxx:xxxx:xxxx,每一组中的前导0可以省略,多个0可以用一个0表示,连续全为0的组,可以用双冒号“::”来代替，在一个IPv6地址中只能使用一次双冒号“::”。

ipv6地址分类：

单播：200 0：：/3:前三个比特相同 2=0010，前三比特=001的为单播地址 组播：FF00:：/8前8个比特为1 任播：一到最近

EUI—规范

网络前缀=bit=网络位 接口ID=比特=主机位, 接口ID由Mac映射得到

将FFFE插入MAC地址前24位与后24位之间，将第7比特由0变成1.

配置ipv6：

系统视图下：ipv6 进入接口:ipv6 enable

ipv6 address 地址+掩码(）

ping ipv6+地址

display IPV6 routing—table display ipv6 interface brief ipv6路由协议 RIPNG OSPFV3

ripng 接口下：ripng 1 enable 开启进程1

36

int g 0/0/1

port link—type hybrid int g 0/0/2

port link—type hybrid int g 0/0/3

port link—type hybrid

37