HCIA/HCIP基础知识笔记汇总
ICT产业链:
上游:芯片制造、元器件生产、光纤光缆制造
中游:硬件组装、软件开发、网络建设维护
下游:电信服务、互联网服务、终端产品
VLAN端口类型:
access : 连接主机
trunk : 交换机之间的连接
hybrid : 混合端口
tunnel : 隧道
链路聚合:
多个物理电路捆绑成一个逻辑电路
LACP模式,端口优先级控制活跃链路协商确定优先级,值越小优先级越高
手工模式,手动配置,所有活动链路都参与数据抓发,负载分担
二层交换机:
没有路由表,只有MAC地址表
无路由功能,不遵循路由算法
三个动作:泛洪,转发,丢弃 ; 执行完动作后需要学习
仿真时:一个二层交换机,连接两个PC机,给两个PC机配置相关地址参数之后,就能实现互通
三层交换机:
每一个VLAN都可以配置IP地址
基于目标IP地址转发,遵循路由算法
使用vlanif 来配置vlan的网关IP地址,可以使用OSPF等路由协议
转发性能高于同价位的路由器
VRRP:虚拟路由冗余协议
作用:使主网关出现故障时,可以顺利地切换到备网关
控制主备网关:给设备的VRRP添加优先级,数值越大优先级越高
VRRP是在Vlanif 的视图下进行配置
网关地址:vrrp vrid xx virtual-ip xx.xx.xx.xx
优先级: vrrp vrid xx priority xxx(默认优先级数值是100)
---------------------------------------------------------------------------------------------------
STP生成树协议:
作用:防止二层网络中出现环路,避免广播风暴、MAC地址漂移、占用网络资源
本质:阻塞链路上的端口,切断环路
设备角色分类:根桥、非根桥
根 桥: 负责统一确定阻塞的具体链路端口
优先级选举根桥,比较的是桥ID,数值越小,优先级越高,修改值必须为4096的倍数
优先级相同,比较MAC地址选举根桥。值越小优先级越高
非根桥: 负责执行指令
端口角色分类:根端口、指定端口、预备端口
根 端口: 负责接收来自根桥方向的STP报文,每一个非根桥上有且只有一个
在一台设备上进行选举:
1,先比较根路径开销,开销最小的端口就是根端口
2,开销相同,比较上行交换机的桥ID,值越小越优先
3,上行设备的桥ID相同,就比较上行接口的PID,值越小越优先
4,上行接口的PID相同,就比较本设备上参与选举端口的PID,值越小越优先
指定端口:转发来自根桥方向的STP报文,每条物理链路上有且仅有一个
在一条链路上,根端口的对端是指定端口,如果链路上没有根端口,两个端口参与指定端口的选举
1,比较两个的本地交换机到根桥的开销,值越小越优先
2,开销相同,比较链路两端交换机的桥ID,值越小越优先
3,桥ID相同,就比较两个端口的PID,值越小越优先
STP协议端口状态:
disable :端口未打开
blocking :只接收处理STP报文,不转发STP报文,也不处理业务流量
listening :接收处理STP报文,不处理业务流量,开始协商STP
learning : STP协商完成,开始学MAC地址,不处理业务流量
forwarding: 接收并处理业务流量(转发)
STP维护时间:
如果根桥发生故障,维护时间为50秒
与根桥直连链路发生故障,维护时间为30秒
非直连链路有发生故障,对应的AP端口可能需要转变为DP端口,维护时间为50秒
STP协议的不足:
1, 收敛速度慢
2, 接口状态和接口角色区分和其他类型的情况不够细致
3, 对拓扑的稳定性要求比较好,通信不够稳定
RSTP协议:
作用:在STP的基础上进行了优化,收敛速度快,更加稳定
RSTP的优化内容:
1, P/A协商机制,快速收敛机制,收敛速度快
2, 增加了端口角色:根端口,指定端口,预备端口,备份端口
3, 增加了保护机制,更加稳定
根保护:保证根桥不被抢占,应用在指定端口下; 如果指定端口收到更优的RSTP报文,会将端口设置为阻塞状态,不处理该报文
环路保护:保证不会出现临时环路,应用在根端口; 根端口如果长时间没有收到根桥发送的报文,会设置为拥塞端口,避免临时环路
边缘端口保护:应用在边缘端口的设备上,控制参与STP选举的边缘端口的数量,避免占用大量设备资源,保护网络的稳定性
预备端口:也就是Alternate端口,是指学习到其他网桥发来的更优的BPDU报文而阻塞的端口
备份端口:也就是Backup端口, 是指学习到自己发送的BPDU报文而阻塞的端口
MSTP协议:多生成树实例
作用:应用于多个Vlan , 实现多条路线转发对应的多个vlan ; 实现负载分担,提供线路的利用率
原理:将一个或多个vlan划分到不同的实例,基于实例计算并维护生成树
实例:默认情况下存在实例0 ,一个设备可以有0-48个实例,当实例很多时,管理起来比较复杂,需要域的概念来进行管理
MSTP域:
在同一个MSTP域中
域名相同
修订级别相同
相同的vlan映射表(也就是每个设备都要进行MSTP配置和实例绑定)
对于域配置,一旦信息修改,都需要重新激活域
代码配置:要在所有的交换机上进行配置
stp mode mstp
stp regino- configuration
region-name xxxx
revision-level 1
instance xx vlan xx
active region-configuration
---------------------------------------------------------------------------------------------------
DHCP:动态主机配置
作 用:自动设置IP地址,统一管理IP地址的分配
工作过程:
DHCP Discover:客户端发送广播寻找网络中的DHCP服务器,数据中包含客户端的MAC地址和请求IP地址的信息
DHCP Offer : DHCP服务器收到请求后,单播发送给客户端,消息中包含可以的IP地址等参数信息
DHCP Request : 客户端从收到的offer中选择一个,并向所有的DHCP广播发送信息,请求确认自己的选择,消息中包含服务器的IP地址和提供的配置参数(声明自己已经使用了该地址)
DHCP Ack : 被选择的DHCP服务器收到请求后,发送单播消息,确认客户端的租约
优 点:
· 减少了管理员的工作量
避免手动输入地址出现错误的可能
避免IP地址冲突
当更改IP地址网段时,适应性更强
提高了IP地址的利用率
代码配置:
dhcp enable
ip pool (vlan10) #全局需要创建地址池
gateway-list 10.10.10.254 #指定地址池的服务网关地址
network 10.10.10.0 mask 255.255.255.0 #指定地址池的服务网段
ex-ip-add 10.10.10.240 10.10.10.253· #指定地址池不参与DHCP分配的地址
quit
interface vlanif 10 #创建vlanif 10 接口
ip address 10.10.10.251 255.255.255.0 #配置接⼝通信地址
dhcp select global #指定使用全局地址池
(dhcp select interface) #指定使用接口地址池,接口地址自动作为网关
注意:vlanif-id里面的地址或者接口的地址必须属于地址池中宣告的网段,DHCP才能生效,使地址池自动匹配到对应的vlan 网段
防火墙:
安全区域:
防火墙对网络资源的划分,防火墙上的所有通信接口都必须添加到安全区域,才能发送通信报文
在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略
Local : 本地区域,默认存在,信任值100
Turst : 受信任程度高的区域,默认存在,信任值85
DMZ:受信任程度中等的区域,默认存在,信任值50
Untrust : 受信任程度低的区域,一般接外网网段,默认存在,信任值5
安全策略:
安全策略是由匹配条件(例如五元组、⽤⼾、时间段等)和动作组成的控制规则
防火墙收到流量后,对流量的属性(五元组、⽤⼾、时间段等)进⾏识别,并将流量的属性与安全策略的匹配条件进⾏匹配
如果所有条件都匹配,就会匹配安全策略,一旦匹配成功,就停止匹配
匹配到安全策略之后,就会执行安全策略对应的动作
如果手工创建的安全策略都未匹配,就按照缺省策略匹配,即禁止域间通信的流量
代码配置:
security-policy
rule name [策略名]
source-zone [区域名]
source-address [源地址] [掩码]
destination-zone [区域名]
destination-address [源地址] [掩码] #此条可以不写
service [协议名] #需要放行的协议
action permit #此条策略的执行动作,代表允许放行
会话表:
防火墙的报文控制机制是只对首包或者少量报文进行检测,从而确定一条连接的状态,提高了转发效率
会话表就是为了记录连接的状态。设备在转发TCP、UDP和ICMP报文时都需要查询会话表,来判断报文的状态,执行对应措施
路由基础:
当不同网段之间需要通信时,需要在源设备和目的设备之家你的所有三层设备上添加路由信息
参与通信的设备都是三层设备,包括路由器和终端
三层设备基于IP地址网段建立IP路由表,实现不同网段之间的通信
静态路由:
手动添加的路由,网络拓扑发生变化后,每一台三层设备上都需要修改
包含目的网络,目的网络掩码、下一跳的IP地址、出接口、优先级
备份静态路由:源到目的存在多条通信路径,且都在IP路由表中
浮动静态路由:与备份静态路由有优先级的区别
动态路由:
内部网关路由协议IGP,包括距离矢量路由协议RIP,链路状态路由协议OSPF, IS-IS
外部网关路由协议EGP, 包括高级距离矢量路由协议BGP
直连路由:
两个路由设备直连之后,就会交换各自的路由信息
环 路:指设备收到自己发出的报文
二层环路:在局域⽹中出现的环路,⽐如路径转发错误和⼴播⻛暴,⽤冗余路径解决
三层环路:在路由环路中出现的环路,⼀般是路径转发错误,⽤路由算法和⼈⼯避免方式
---------------------------------------------------------------------------------------------------
OSPF路由协议:
报文类型:
Hello 报文 :发现并建立维护邻居关系
DD 报文:发送的是数据库中链路信息的摘要信息
LSR 报文:请求完整的链路信息
LSU 报文 : 回复明细信息
LSAck 报文 : 针对LSU进行确认
路由器之间的关系:
邻居关系,发送Hello报文实现,不同步链路信息
邻接关系,其他类型报文发现,同步链路信息
路由器的类型:
DR, 指定路由器
BDR , 备份路由器
Other , 其他类型
作用:减少邻接关系建立的数量,节约网络资源,避免链路信息重复传递;除了其他类型的路由器之间只建立邻居关系之外,其他所有路由器之间都建立邻接关系
OSPF区域:
作用:解决设备存放链路信息过多的问题
原理:将不同的OSPF路由器通过区域的概念进行划分,使仅在同一个区域内的路由器相互存放链路信息,降低每一台路由器需要存放发送链路信息的数量
注意:因为不同区域间没有存放相同的链路信息,在区域间通信时只能传递路由信息
链路信息:区域内传递,用该信息基于OSPF算法计算路由
路由信息:区域间传递,设备收到后之间存放于IP路由表中使用
多区域部署:
区域范围是0-2^32 , 区域0是骨干区域,可以转发路由信息; 其他的是非骨干区域,不能转发路由信息
所有非骨干区域之间想要通信,就要经过骨干区域
OSPF认证:
实现:在OSPF报文的报文头中添加认证字段
接口认证:接口下配置。 本接口启动了认证,对应同一链路上的所有链路接口也都要启动认证
区域认证:区域内配置。 本设备区域启动了认证,网络中所有相同区域都要启动认证
认证模式:
明文认证,发送报文携带的是明文的密钥,相对不安全
密文认证,发送报文携带的是加密后的密钥,更加安全
保持方式:
明文保存,登陆本地设备就能查看
密文保存,将本地收到的密钥加密存放,所有人不可查看
代码配置:
ospf 1 router-id xx.xx.xx.xx
area x.x.x.x
authentication-mode md5 1 cipher XXX #MD5加密模式,cipher密文保存 //如果是在接口下配置:ospf authentication...
network xx.xx.xx.xx (反掩码) #通告网段
---------------------------------------------------------------------------------------------------
WALN网络基础:
网络架构:
FAT-AP独立部署:拥有自我管理能力的无线路由器,适用于大型的WLAN通信环境
AC+FIT-AP部署 :AP不能自我独立管理,必须配合AC实现集中纳管,适合中大型WLAN通信环境
AC-接入控制器 : 对FIT-AP进行纳管功能的设备; 独立AC是指专门实现AC功能的网络设备; 随板AC是一台带AC功能的交换机
网络类型:
管理网络:实现AC纳管AP, 需要保证AP、AC之间能够互通
业务网络:实现连接到AP的STA进行网络访问功能
管理网络的建立:
二层组网:
AP与AC通过二层广播的方式通信,两者必须在同一个广播域
1, 将AP划分到管理vlan ,在相关链路上允许vlan数据通过
2, 在AC上创建管理vlan的vlanif接口,配置IP参数
3, 在AC上配置DHCP服务器
4, 指定WLAN管理vlan,也就是在AC上建立Capwap隧道
CAPWAP隧道:是AC纳管AP的专用隧道,必须建立隧道才能进行纳管
三层组网:
AP与AC通过三层路由的方式通信,可以跨网段通信
1, 在连接了AP的交换机上创建管理vlan,并将该端口划分到vlan , 上行接口允许vlan通过
2, 连接AP的交换机与⽹关沿途所有的交换机上都需要创建管理vlan允许管理vlan
3, 在⽹关上针对创建的管理vlan,创建vlanif接⼝,并配置IP地址参数
4, 在⽹关系统视图打开全局DHCP功能,并在管理vlanif接⼝下打开接⼝地址池功能
5, 在网关的DHCP中添加Option43参数,告知AP关于AC的位置(dhcp server option 43 sub-option 2 ip-address xx.xx.xx.xx)
业务网络的建立:
1, 配置AP组
2, SSID模板配置,指定WLAN业务的SSID信息
3, 安全认证模板配置,指定WALN业务接入时,使用的密码认证信息
4, 创建VAP模板,绑定SSID模板, 再绑定安全认证模板,指定业务数据转发方式,最后指定业务vlan
5, 进入AP组,绑定VAP模板并指定射频资源
注意:二层组网在连接AP的端口上,要剥离管理vlan id 的标签
---------------------------------------------------------------------------------------------------
VPN虚拟私有网络:
作用:通过添加外层转发头信息实现业务流量保护; 添加外层转发头以及加密手段实现用户业务流量的保护
原理:在用户原有的流量基础上添加一个外层保护头,实现对用户原有的流量进行保护
类型:
二层VPN:在用户原有的⼆层数据前添加额外的⼆层保护头
三层VPN:在用户原有的⼆层数据前添加额外的三层保护头
应用前提:VPN只是实现流量保护,不提供路由可达,使用VPN需要保证源有目的之间是可达的
VPN-GRE隧道:
通用路由封装协议,将协议报文用GRE封装,基于GRE隧道进行传送,保护流量
隧道的实现:隧道tunnel接口实现,是一种逻辑接口
优点:兼容性好,应用范围广
缺点:只能添加IP头部保护业务流量,不能加密保护业务流量
代码配置:
1, 先创建隧道接口
2, 配置隧道接口的IP地址
3, 指定隧道协议-GRE
4, 配置隧道的起点和终点的IP地址,source和destination
5, 将指定的业务流量引入到隧道转发(目的网络IP地址引入到隧道接口)
VPN-IPSec隧道:
作用:在添加IP头保护的同时还可以提供加密保护
架构:源端和目的端; SA安全联盟
SA安全联盟:
安全提议:提供加密算法、加密协议、隧道封装模式
加密算法:
对称加密:加密密钥域解密密钥相同,安全性较低
非对称加密:加密密钥与解密密钥不同,比如使用公有密码加密,私有密码解密。注意两者都是属于本地的
加密协议:
作用:对用户的数据进行加密
AH: 可以提供防重放,防抵赖,认证功能,不提供加密功能
ESP: 具有加密功能
验证算法:
1, 把即将发送的流量用算法计算出一个摘要值,在发送报文时发送出去
2, 目的端收到完成的流量后,按照同样的算法计算出该流量的摘要值
3, 将两个摘要值进行对比,就可以判断该流量在发送前是否被篡改过
MD5码:摘要值相对较短,比较常用
封装模式:
隧道模式:在原有的IP报文头前再加一层外层IP头
传输模式:使用用户原有的IP报文头
安全策略:
作用:提供隧道起点、隧道终点、隧道密钥
安全密钥:
可以静态指定,也可以动态协商
---------------------------------------------------------------------------------------------------
路由引入:
背景:由于不同的路由协议之间的路由算法、机制、开销值不同,不同的路由协议之间无法直接分享彼此对端路由,此时就需要通过路由引入计算将A路由协议引入到B路由协议中
原则:在执⾏引⼊的路由器上将某⼀个协议的活动路由(存在于路由表中的)引⼊到另外⼀个路由协议中
路由引入场景:
1,涉及到两个不同的路由协议之间需要相互通信
2, 涉及到同一个协议但不同进程之间需要相互通信
3, 如果遇到IS-IS路由协议的话,作为Lever-1非骨干网与Level-2骨干网之间需要基于明细路由通信
流量分类工具:
访问控制列表:主要用于流量分类以及流量过滤 场景
基本ACL:只能基于源地址信息对流量实现简单过滤,利用ACL编号2000-2999识别
高就ACL:可以基于IP五元组信息对流量实现精细过滤,利用ACL编号3000-3999识别
IP五元组:标识一条唯一的数据流,包括源IP、目的IP、源端口、目的端口、协议
注意:默认是按照规则ID大小从小到大的顺序匹配,可以先拒绝再允许、也可以先允许再拒绝
MQC-模块化QOS指令:主要用于流量分类,并基于分类出来的流量指定对应的转发动作,以此达到控制流量的目的。
traffic classifier 专门用来进行流量分类的工具
traffic behavior 专门用来指定流量处理动作的工具
traffic policy 用来绑定流行为与流策略工具的,并将其应用在设备接口上
IP-Prefix:IP前缀列表 ,专门只能用来做流量分类的工具
作用:可以实现像ACL那样针对某个业务流量进行分类,也能实现针对某个IP网段范围实现流量分类
格式:ip ip-prefix xxxx index xxx permit x.x.x.x xx greater-equal xx less-equal xx
1,index编号与ACL中rule-id类似,一个前缀列表中可以添加多个以不同index编号标识的规则
2,规则之间是或的关系
3,掩码长度<=greater-equal<=less-equal
注意:
如果只是单纯的分类没有任何意义,只有针对分类出来的流量指定对应的处理行为或者个性化处理动作,流量分类才有意义
流量过滤工具:
route-policy:路由策略,主要用于配合分类工具实现流量分类以及流量过滤工作,还可以用来修改路由属性用于选路控制
格式:
route-policy xxxxx permit node xxx
if-match xxxx
apply abcd
route-policy xxxxx deny node xxx
if-match xxxx
apply abcd
xxxxx代表的路由策略名称
xxx代表的是节点编号,0-65535
xxxx代表的是分类工具信息
abcd代表的匹配了策略之后的处理工作
filter-policy ,专门配合前缀列表实现路由过滤的,可以针对发送方向以及接收方向的路由过滤