HCIA总结

OSI模型

应用层         人机交互---          抽象语言→    编码、

表示层           编码 →                   二进制

会话层          维持网络应用和网络服务器之间的会话连接          

传输层        分段（受MTU限制） 提供端口号   TCP/UDP

网络层         IP——互联网协议     路由器

数据链路层     逻辑链路控制层（LLC）+介质访问控制层(MAC)     控制硬件   交换机

物理层      硬件

网络增大：

1、节点增大   ---HUB（集线器）  --安全   垃圾信息产生延时  地址  冲突

2.、距离延长     ---中继器（放大器） 5倍

地址：MAC地址    --48位二进制组成   全球唯一，出现烧录   16进制标识

冲突:所有节点同时发送数据  导致电流在物理介质上相遇，抵消，消失

CSMA/CD – 载波侦听多路访问/冲突检测 –排队——不能完全解决冲突、增大延时

交换机为二层设备；---可以进行数据和电流间转换

要求：---网桥 –交换机

1. 端口密度
2. 无线传输距离
3. 完全没有冲突——所有节点可以同时收发自己的数据
4. 单播—— 一对一

当一个数据进入到交换机时，先查看数据中的原MAC地址，之后将该mac与进入接口的编号进行映射记录到本地的MAC地址表中；再查看数据中的目标mac，基于mac地址表的记录仅转发到唯一的接口（单播）；若没有记录将洪泛该流量；

洪泛：除流量进入接口外的其他所有接口复制转出；

IPV4地址：  32位二进制构成   点分十进制   192.168.1.1

IPV6地址： 128位二进制构成   冒分16进制  

2002:ABCD:2002:ABCD:2002:ABCD:2002:ABCD

IPV4地址存在于网络位和主机位，洪泛范围相同使用同一个网络位不同主机位；不同范围网络位不能相同；

ARP——地址解析协议  通过对端的一种地址来获取对端的另一种地址

DNS——域名解析服务    53号端口

MTU——最大传输单元  默认1500

端口号 0-65535     1024-65535 动态端口号——随机标定客户端的进程

1-1023   注明端口  用于默认固定标记不同的服务

80    http    telnet 23   ssh 22   ftp21 .。。。。。。

大—无线距离、无冲突、单播---交换机---MAC---洪泛---洪泛的范围---路由器---IP地址—app---广播---广播域（洪泛域）

UDP:用户数据报文协议

非面向链接的不可靠传输协议

仅完成传输的基本工作---分段、端口号

TCP：传输控制协议

面向连接的可靠传输协议

在完成传输的基础工作之上，还会额外保障传输的可靠性

面向连接---通过3次握手建立端到端的虚链路

可靠传输---4次可靠传输机制---确认  重传  排序   流控（滑动窗口）

名词注解：

DNS:域名解析服务  通过域名查找对应的ip地址

MTU:最大传输单元  4层分段时，每一段的最大容量

OSI:开放式系统互联参考模型  --7层模型

TCP/IP协议栈道  5层（4层）模型

ARP   地址解析协议 --- 通过对端一种地址来获取另一种

正向ARP -- 已知对端的IP地址，通过广播来获取对端的MAC地址

反向ARP -–已知本端的MAC地址，获取本端IP地址

无故ARP -- 在设备刚使用IP地址或使用过程中，向外进行正向ARP请求，但请求

地址为本地的IP地址；--用于地址冲突检测

双工 –- 全双工   半双工

解封装—数据读取和识别的过程，与封装相反

封装  -- 数据从高层向底层加工的过程—过程中数据包不断变大

PDU：协议数据单元 –对各层数据的单位称呼

应用层       数据报文

传输层          段

网络层          包

数据链路层      帧

物理层        比特流

IPV4地址：

32位二进制构成，点分十进制标识

192.168.1.1

存在ABCDE分类：

其中ABC为单播地址  --- 只有单播地址既可以作为源ip地址也可以作为目标ip地址

D类为组播地址 –只能作为目标IP地址

E类为保留地址

基于ip地址的第一个8位进行分类：

A 1-126

B 128-191

C 192-223

D 224-239

E 240-255

另外只有单播地址中存在网络位（标识对应广播域）+主机位概念，故只有单播地址存在子网掩码；

ABC三类的区别：

A  默认的子网掩码 255.0.0.0

B                 255.255.0.0

C                 255.255.255.0

特殊地址：

1. 127 --环回地址  127.0.0.1
2. 255.255.255.255 受限于广播地址 -路由器不转发该数据包
3. 0.0.0.0   1）缺省 -所有地址   2）无效 -没有地址
4. 在每段地址中主机位全0

192.168.1.0  255.255.255.0 不是一个单播地址，不能配置给设备作为ip；

网络号—代表该网段

192.168.1.X  255.255.255.0=192.168.1.0 255.255.255.0=192.168.1.0/24（简写）

5.在每段地址中主机位全1  不是一个单播地址，不能配置给设备作为ip；

直接广播地址

192.168.1.11111111/24=192.168.1.25/24

6.169.254.0.0/16  本地链路地址，自动私有地址  终端设备在自动获取ip地址失败后，本地自动分配的ip地址，网络位固定，主机位随机；

• VLSM可变长子网掩码   子网划分

通过延长子网掩码的长度，从主机位借位到网络位，来实现将一个网络号切分为多个，用于标记多个广播域，但每个广播域范围将缩小；

子网划分计算：172.16.0.0/14   4个子网   172.16.0.0  255.254.0.0

172.16.0.0           范围：172.16.0.0-172.16.127.254

255.255.128.0

172.16.128.0       172.16.128.0.1-172.16.255.254

255.255.128.0

172.17.0.0       172.17.0.1-172.17.127.254

255.255.128.0

172.17.128.0   172.17.128.1-172.17.255.254

255.255.128.0

• CIDR-无类域间路由

取相同位，去不同位

192.168.1.0/24

192.168.2.0/24

192.168.3.0/24

192.168.4.0/24

合为：192.168.0.0/21

<Huawei>    用户模式  查看参数

<Huawei>system-view   

[Huawei]    系统模式 管理设备

[Huawei-？？？] 各种专用配置模式，仅为某种配置进入

Quit    一层一层退

帮助系统：

？ 查看该模式或该单词后可以进入的命令及注解

Tab 键   自动补全一个单词

DHCP：动态主机配置协议

同一分发管理IP地址的协议：C/S模型—客户端+服务器模式

需要获取ip地址的设备为客户端，进行ip地址分发的设备为服务端；

成为DHCP服务器的条件：

1. 该设备需要直连到获取ip地址范围的接口或网卡（处于同一广播域）
2. 该接口或网卡必须已经配置了合法ip地址；

[Huawei]dhcp enable  先在设备上全局开启dhcp服务功能

在一台设备上可以创建多个池塘，但一个池塘只能管理一个广播域；

[Huawei]ip pool wangcai 创建DHCP池塘，名为wangcai

[Huawei-ip-pool-wangcai]network 192.168.1.0 mask 24 关联接口，定制范围

[Huawei-ip-pool-wangcai]gateway-list 192.168.1.1  网关ip地址

[Huawei-ip-pool-wangcai]dns-list 192.168.2.20

114.114.114.114  DNS服务器地址

再到需要进行地址下放的接口上，进行服务的开启

[Huawei]interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]dhcp select global

网络部署思路：

1. 拓扑设计—ip地址规划
2. 实施

1. 拓扑搭建
2. 配置
   • 配置所有节点的合法ip地址
   • 路由——全网可达
   • 策略——规则  优化  安全
   • 测试
3. 排错

1. 维护
2. 升级——割接

路由器的作用：

1. 用于不同网络间的互联
2. 为它所承载的数据做路径的选择——选路（路由）

当一个数据包进入路由器后，路由器将基于数据包中的目标ip地址，查询本地的路由表；

若表中存在记录将无条件按照记录转发，若没有记录将丢弃该流量；

默认路由器是一个网段为目标进行记录；默认仅存在直连网段的路由；

非直接网段为未知网段；获取未知网段的方式：

1. 静态路由——手写路由表
2. 动态路由——在路由器上选择相同算法的协议后，协议间自动沟通计算生成路由表；

静态路由配置命令：

[r1]ip route-static 192.168.3.0 24 192.168.2.2

                                            目标端口号             下一跳

下一跳：流量从本地发出后下一个进入的路由接口ip地址；

静态路由的扩展配置：

1. 负载均衡—当路由器访问同一个目标，具有多条开销相似路径时，可以让设备将流量拆分后延多条路径同时传输；--叠加宽带
2. 手工汇总 ---当路由器访问多个连续子网（可汇总网段）时，若均通过相同的下一跳；可以将这些网段进行汇总计算，之后仅编辑到达汇总网段的静态路由即可；大大减少路由器路由表条目数量，加快转发效率；
3. 路由黑洞 ---在汇总地址中若包含网络内实际不存在的网段时，将可能到流量有去无回；浪费链路资源；---良好的地址划分和精确汇总计算可以尽量的减少黑洞出现；
4. 缺省路由 ---一条不限定目标的路由条目；查表时，在查看本地路由表中的直连、静态、动态路由后，若依然没有记录才使用缺省路由；

[Huawei]ip route-static 0.0.0.0 0 12.1.1.2

1. 空接口路由 ---当路由黑洞与缺省路由相遇，必然出现环路；

防止办法为，在黑洞路由器上，配置一条到达汇总网段的空接口路由；空接口=丢弃

[Huawei]ip route-static 1.1.0.0 22 NULL 0

1. 浮动静态路由 ---通过修改默认的优先级，可以实现静态路由备份的效果；

[Huawei]ip route-static 99.1.1.0 24 21.1.1.2  preference  61   静态默认优先级60，数值越小越优

1. 环回接口 ----pc存在环回网卡，用于检测系统网络组建

                    同理在路由器上配置环回接口，也可以起到相同的作用；

[Huawei]interface loopback?       创建接口

  <0-1023>  LoopBack interface number

[Huawei]interface loopback0

[Huawei- loopback0]ip address 1.1.1.1 24  配置ip地址

也可用实验环境时，模拟连接用户pc的接口；

[Huawei]display current-configuration 查看设备的当前配置

动态路由协议：

在每台路由器上启动同一算法的路由协议，之后路由器间沟通计算生成未知网段的路由表，最终实现全网可达；

动态路由协议的缺点：

1. 占用物理硬件资源—设备的计算、链路带宽
2. 安全问题
3. 计算失误问题

静态路由协议的缺点：

1. 在中型网络中配置量过大
2. 不能基于网络拓扑的变化实施收敛

故：在简单小型网络使用静态，在较复杂或中大型网络中使用动态；

       但使用动态协议的过程中，应尽量降低其缺点的影响；

动态协议的分类：

基于AS进行分类      AS—自治系统

标准as号0-65535   其中1-64511  公有         64512-65535 私有

IGP   内部网关路由协议  --AS内部进行运算    ——RIP/OSPF/ISIS/EIGPR…

EDP  外部网关路由协议         --AS之间进行运算 ——BGP

IGP协议的分类：

1. 基于更新时是否携带子网掩码 ---  有类别（不携带掩码）无类别（携带掩码）
2. 基于工作特征---  DV距离矢量  ---RIP  EIGRP

                         LS链路状态 --- OSPF   EIGRP

RIP：路由信息协议      存在V1V2          RIPNG(IPV6)

典型的距离矢量协议；基于UDP520端口工作；使用跳数作为度量（选路时的参考参数）适量进行选路；

支持等开销负载均衡；周期更新---30s +触发更新

周期更新=RIP没有确认机制       周期保活、

V1和V2的区别：

1、V1有类别协议    V2无类别协议

   V1不能支持子网划分，子网汇总

2、V1使用广播更新255.255.255.255    V2使用组播更新244.0.0.9

3、V2支持手工认证

RIP 破坏机制：

1. 水平分割---从此口入，不从此口出---仅限于直线拓扑     主要用于避免MA网段的重复更新问题
2. 毒性逆转水平分割--- 触发更新
3. 最大跳数---在环路生产后，路由条目信息中的跳数不断增大的前提下，可以现在路由的传递；但该机制最大的意义在于现在协议的工作半径---15跳；
4. 抑制计时器

正在上传…重新上传取消正在上传…重新上传取消

RIP的基础配置：

V1：

[r1]rip ?

  INTEGER<1-65535>  Process ID

  mib-binding       Mib-Binding a process

  vpn-instance      VPN instance

  <cr>              Please press ENTER to execute command

[r1]rip        ----启动协议，启动时可以定义进程号；仅具有本地意义，默认为1；

[r1-rip-1]version 1   ----选择版本1；

宣告：1、激活---该接口可以收发RIP协议的信息（更新包）

     2、路由---被选中接口的路由信息可以传递给其他邻居

[r1-rip-1]net 

[r1-rip-1]network 1.0.0.0

[r1-rip-1]net 

[r1-rip-1]network 12.0.0.0

注：RIP协议只能宣告主类网络号，

正在上传…重新上传取消正在上传…重新上传取消

V2：

[r1]rip                          启动

[r1-rip-1]version 2            选中版本2

[r1-rip-1]undo summary       关闭自动汇总---若不关闭自动汇总，RIPV2将使用主类长度掩码来发送路由，关闭自动汇总后将携带接口精确的掩码来发送路由；

宣告：V2与V1都宣告主类

[r1-rip-1]network 1.0.0.0

[r1-rip-1]network  12.0.0.0

正在上传…重新上传取消正在上传…重新上传取消

二、RIP的扩展配置

1. RIPV2的手工汇总  ---在更新源头设备，所有更新发出的接口上进行汇总配置即可

[r1]interface g 0/0/1

[r1-GigabitEthernet0/0/1]rip summary-address

 1.1.1.0 255.255.252.0

1. RIPV2的认证---在两台运行RIP协议的路由间进行管理；让两台邻居设备发出的数据中携带身份核实密匙，也同时对传输的路由信息进行加密

[r1]interface g 0/0/1  在和邻居连接的接口上配置

[r1-GigabitEthernet0/0/1]rip authentication-mode  md5 usual cipher 123456     两端密码必须一致

1. 被动接口（沉默接口）---仅接受不发送路由协议信息；仅限用于连接用户PC的接口；不得用于连接路由器邻居的接口，否则将导致邻居间无法正常发送路由协议信息

[r2]rip

[r2-rip-1]slient-interface GigabitEthernet 0/0/0

1. 加快收敛

RIP的计时器

30s 更新   180s失效  180s抑制  300s刷新

人为修改计时器可以一定程度的加快协议收敛速度；但修改时，不易修改过小；尽量维持原有倍数关系；全网所有设备计时器需修改为一致；

[r1-rip-1]timers rip 30 180 300

1. 缺省路由---在边界路由器上进行RIP的缺省配置后，该设备将向内部运行RIP协议的路由器发送缺省更新，使得内部所有的RIP设备自动上传缺省路由，下一跳指向边界路由器方向；而边界路由器上指向ISP的缺省，还是需要管理员手工静态路由配置

[r3]rip

[r3-rip-1]default-route originate

OSPF:开放式最短路径优先协议

无类别链路状态IGP路由协议；支持等开销负载均衡；

基于组播进行更新---224.0.0.5、6

支持触发更新，每30min一次周期更新

需要结构化的部署---区域划分、地址规划

一、OSPF的数据包类型：

1. Hello        用于邻居的发现，关系建立和周期保活；每台设备必须拥        唯一RID;
2. DBD        数据库描述      用于携带本地数据库的目录          
3. LSR         链路状态请求   在查看完对端邻居的DBD后，基于本地未知的LSA信息查询
4. LSU         链路状态更新  用于携带各种的LSA信息
5. LSack      链路状态确认    用于确认接收到对端的信息

LSA---链路状态通告---具体的路由或者拓扑信息

二、OSPF的状态机；----OSPF路由间的邻居关系所在的不同阶段

Down          一旦本地发出hello包进入下一个状态机

Init（初始化）    一旦接收到的hello包中，存在本地的RID（A收到B的hello，B的hello包中存在A的名字）

2way  双向通讯    邻居关系建立的标志

条件匹配：在点到点网络类型中直接进入到下一个状态机；在MA网络中，将进行DR/BDR选举；所有非DR/BDR设备间不能进入下一个状态机

Exstart  预启动     使用不携带数据库目录信息的DBD包进行主从关系选举，RID数值大为主，优先进入下一个状态机

Exchange  准交换    使用携带具体数据库目录信息的DBD包进行目录交换，需要ACK确认；

Loading   加载      在查看完对端邻居的DBD后，使用LSR查询本地未知的LSA信息；对端使用LSU来进行LSA的回复，本地需要使用ACK来确认收到的LSU包；

Full     转发       邻接关系建立的标志

三、OSPF的工作过程

启动配置完成后，本地组播224.0.0.5发送hello包；hello包将携带本地得到RID值，及本地已知所有邻居的RID值；若接收到来自对端的hello包中，存在本端的RID，那么视为双方认证，邻居关系建立；生成邻居表；

邻居关系建立后，条件匹配，匹配失败将停留于邻居关系，仅hello包周期保活即可；

若条件匹配成功，可以建立邻接（毗邻）关系；

先使用不携带数据库信息的DBD包进行主从关系选举，RID数值大为主；优先共享数据库目录；之后本地再基于对端的DBD来查找到本地未知的LSA信息；之后使用LSR/LSU/LSACK来获取未知LSA信息；最终生成数据库表（LSDB---链路状态数据库）；

之后本地启用SPF算法，基于本地的LSDB生成有向图，再计算出最短路径树，再基于树形结构，算出本地为起到到达所有未知网段的最短路径，加载于本地的路由表；

收敛完成后，hello包周期保活；每30min邻接关系再进行DBD的比对，若一致继续保活即可；若不一致将重新收敛；

结构突变：

1. 新增了一个网段   直连新增网段的设备，直接使用更新包告知邻接关

系接口；需要ack

1. 断开一个网段  直连断开网段的设备，直接使用更新包告知邻接关

系接口；需要ack

1. 无法沟通     hello 时间10s；dead time 为hello time的4倍；超过保活    

                           时间，删除邻居信息；        

正在上传…重新上传取消正在上传…重新上传取消 四、OSPF的基础配置

[r1]ospf 1 router-id 1.1.1.1   启动协议时，需要定义进程号，仅具有本地意义；建议同时定义RID值；使用IPV4地址，全网需要唯一；手工---环回最大数值---物理接口最大数值

[r1-ospf-1]

宣告：1、激活  2、路由或拓扑 3、区域划分

[r1-ospf-1]area 0

[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

[r1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255

[r2-ospf-1-area-0.0.0.0]q

[r2-ospf-1]area 1

[r2-ospf-1-area-0.0.0.1]network 23.1.1.1 0.0.0.0

在具体宣告时，OSPF必须使用反掩码

区域划分规则：

1、星型接口     骨干区域为0；大于0位非骨干区域，所有非骨干必须直接连接到骨干区域

2、ABR---域间路由器    两个互联时，必须存在ARB---同时工作在两个区域

当OSPF配置完成后，邻居间开始收发hello包，建立邻居关系，生成邻居表：

[r2]display ospf  peer  查看详细的邻居关系

[r2]display ospf  peer  brief  查看邻居关系简表

邻居关系建立后，条件匹配，失败将保存为邻居关系；成功将建立为邻接关系；过程中将使用DBD/LSR/LSU/LS ack来获取未知的LSA信息，同步完善网络的LSDB---数据库表；

[r2]display ospf  lsdb    查看数据库表的目录

OSPF协议在不同的条件下将产生不同类别的LSA；

当数据库表同步完成后，每台OSPF路由器，将在本地使用SPF算法；生成到底所有未知网段的路由，之后将其加载到路由表中；

默认优先级为10，使用cost作为度量值；

Cost=开销值=参考带宽/接口带宽   默认参考带宽为100M

整段路径cost值之和最小为最佳路径；

若接口带宽大于参考带宽，度量值为1；将可能导致选路不佳；故在接口带宽大于参考带宽的网络中，可以认为修改参考带宽

[r1]ospf 1

[r1-ospf-1]band  

[r1-ospf-1]bandwidth-reference ?

  INTEGER<1-2147483648>  The reference bandwidth (Mbits/s)

[r1-ospf-1]bandwidth-reference 1000

注：一旦修改 参考带宽，全网所有接口均需修改

[r1]display ospf routing   仅查看OSPF路由

五、OSPF的扩展配置

（1）从邻居关系建立成为邻接关系的条件

网络类型

点到点：在一个网段内仅支持存在两个节点

MA：多路访问---在一个网段内，存在的节点数量不限制

OSPF协议在点到点网络中，所有邻居关系将直接建立为邻接关系；

在MA网段中，若所有的设备间均为邻接惯性系，将可能出现大量的重复更新；

故进行DR/BDR选举；所有的非DR/BDR设备间维持为邻居关系；

选举规则：

1. 先比较参选接口的优先级，默认1；取值范围0-255，大为优；
2. 若参选接口的优先级相同，比较参选设备的RID，数值大优；

[r1]interface g 0/0/0

[r1-GigabitEthernet0/0/0]ospf

[r1-GigabitEthernet0/0/0]ospf dr-priority ?

  INTEGER<0-255>  Router priority value

[r1-GigabitEthernet0/0/0]ospf dr-priority 3 修改接口优先级

切记：DR/BDR选举是非抢占；故所需网段内部重新选举，需要重启该网段内所有参选设备的ospf进程；若参选接口的优先级为0，将放弃选举；一个网段内只是应该存在一台DR；

[r1]reset ospf process

（2）手工认证

在邻居间的接口上定义安全密匙

[r1-GigabitEthernet0/0/0]ospf authentication-mode ?

[r1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456                          模式   编号  密匙

邻居间三个参数必须完全一致；

（3）手工汇总----区域汇总；在ABR将A区域的路由共享到B区域时，方可进行手工汇总的配置

[r2]ospf 1

[r2-ospf-1]area 0

[r2-ospf-1-area-0.0.0.0]abr-summary 1.1.0.0 255.255.252.0

注：此时R2设备同时连接区域0和其他的区域；在将区域0的部分路由共享到其他区域时，进行了汇总的配置，汇总网段为1.1.0.0/22；

（4）被动接口-沉默接口-----仅接受不发送路由协议信息，只能用于连接用户PC的接口；不得用于连接其他路由器OSPF邻居的接口；

[r2]ospf 1

[r2-ospf-1]silent-interface GigabitEthernet 0/0/2

（5）加快收敛---修改计时器

Hello   times 10s    dead time 为 hello time的4倍；

修改一台路由器某个接口的hello time,该接口的dead time 将自动4倍关系匹配；

切记：邻居间直连的接口 hello 和 dead time若不一致，将不能建立邻居关系；修改时也不建议修改的过小；

[r2-GigabitEthernet0/0/0]ospf timer hello 10

（6）缺省路由---在连接外网的边界路由器上配置，一条缺省信息后；该设备将向内网发送信息；使得内部的其他OSPF路由器自动生成缺省路由，下一跳指向边界路由器方向；

但边界路由器所需要拥有到达ISP的缺省路由时，需要管路员手工编写

[r3]ospf 1

[r3-ospf-1]default-route-advertise always

VLAN:虚拟局域网

交换机和路由器协同工作后，将原来一个广播域，逻辑的切分为多个；

1. 交换机上创建vlan
2. 交换机上的各个接口划分到对应的vlan中
3. Trunk干道---中继干道     SW-SW   SW-ROUTEQQD
4. VLAN间路由----子接口  多层交换机

配置命令：

1、创建vlan   编号0-4095   其中1-4094可用，默认交换机存在vlan1，且默认所有的接口处于vlan1

[sw1]vlan 2           创建vlan

[sw1]undo vlan 2    删除vlan

[sw1]vlan batch 2 to 10 15 to 20 批量创建

2、交换机上的各个接口划分到对应的vlan中

[sw1]interface Eth0/0/1

[sw1-Ethernet0/0/1]port link-type access  先将接口模式修改为接入

[sw1-Ethernet0/0/1]port default vlan 2   再将该接口划分到对应的vlan中

批量将一些接口划分到对应的vlan中

[sw1]port-group group-member Ethernet 0/0/3 to Ethernet 0/0/4

[sw1-port-group]port link-type access

[sw1-Ethernet0/0/3]port link-type access

[sw1-Ethernet0/0/4]port link-type access

[sw1-port-group]port default vlan 3

[sw1-Ethernet0/0/3]port default vlan 3

[sw1-Ethernet0/0/4]port default vlan 3

3、trunk干道---不属于任何一个vlan，承载所有vlan的流量；标记和区别识别不同的vlan编号的功能；IEEE—802.1Q标准=dot1q

[sw1]int g 0/0/1

[sw1-GigabitEthernet0/0/1]port link-type trunk    修改为trunk模式

[sw1-GigabitEthernet0/0/1]port trunk allow-pass  vlan 2 to 3      默认华为设备的trunk干道仅允许vlan通过；需要手工添加允许

        经过的vlan 编号

sw1-GigabitEthernet0/0/1]port trunk allow-pass all（或者）

1. 路由器的子接口---单臂路由

[router]int GigabitEthernet 0/0/0.1

[router-GigabitEthernet0/0/0.1]dot1q termination vid 2   定义管理的vlan

[router-GigabitEthernet0/0/0.1]ip address 192.168.1.250 24                               配置接口ip地址

[router-GigabitEthernet0/0/0.1]arp broadcast enable 华为需要开启子接口的ARP功能

ACL：访问控制列表

1. 访问控制---在路由器流量入或出的接口上，匹配流量，之后产生动作---允许、拒绝
2. 定义感兴趣流量---帮助其他的策略协议抓流量；

匹配规则

之上而下逐一匹配，上条匹配按上条执行，不再查看下条；

在思科体系中，末尾隐含拒绝所有；在华为体系中，末尾隐含允许所有；

分类：

标准---仅关注数据包中的源ip地址；

扩展---关注数据包中的源、目标ip地址、协议号或目标端口号；

标注ACL配置：

由于标准ACL仅关注数据包中的源ip地址，故调用时尽量的靠近目标；避免源对其他地址的访问误删；

[r2]acl ?

  INTEGER<2000-2999>  标准acl编号

  INTEGER<3000-3999>  扩展acl编号

一个编号是一张规则，一张规则列表中可以容纳大量的具体规则

[r2]acl 2000

[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

Deny：动作 ---拒绝  允许 permit

在匹配地址时，需要使用通配符；source

ACL的通配符与OSPF的反掩码匹配规则相同；唯一的区别在于通配符可以0、1穿插

[r2-acl-basic-2000]rule permit source 192.168.1.2 0.0.0.255

[r2-acl-basic-2000]rule deny source any   允许所有

默认以5为步调自动添加序列号；便于插入和删除

[r2-acl-basic-2000]rule 7 deny source 192.168.2.1 插入

[r2-acl-basic-2000]undo rule 7  删除

[r2]acl name classroom-A 2001 在创建ACL时，可以通过命名来标记策略应用的位置

切记：在路由器一个接口的一个方向上只能调用一张ACL列表

Acl编写完成后，必须在相应的位置调用时，方可生效；即使已经调用，若同时删除了ACL；那么调用无效

[r2-GigabitEthernet0/0/0]traffic-filter outbound ?

  acl   Specify ACL to match

  ipv6  Specify IPv6

[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

（outbound出方向   inbound入方向）

扩展ACL配置：关注源/目标ip地址，目标端口号或协议号；

由于扩展ACL对流量进行精确的匹配，故可避免误删，因此调用时尽量靠近源；

1. 仅关注源、目IP地址；

[r1]acl 3000

[r1-acl-adv-3000]rule deny source 192.168.1.2 0.0.0.0

destination 192.168.3.2 0.0.0.0        源ip

               目标ip

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

                             调用接口

1. 在关注源、目ip地址的同时，再关注目标端口号

[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23 

拒绝源IP地址192.168.1.10对目标IP地址192.168.1.1的目标端口为23的TCP通讯行为---telnet被拒绝

[r1-acl-adv-3002]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0

拒绝源IP地址192.168.1.10对目标192.168.1.1的ICMP---ping

扩展：Telnet远程登录    基于TCP的23端口工作

条件：1、登录与被登录设备间必须可达（通）

2、被登录设备，开启Telnet设定；

[r1]aaa      进入AAA服务

[r1-aaa]ocal-user wenkaiyi privilege level 15 password cipher  123456

[r1-aaa]ocal-user wenkaiyi service-type telnet

创建账号wenkaiyi，密码123456；该账号只能用于远程登录

[r1]user-interface vty 0 4 通过vty线登录的接口

[r1-ui-vty0-4]authentication-mode aaa

  

Ipv4地址中，在ABC三类中还存在私有IP和公有IP的区别

私有----本地的唯一性，不能在互联网中通讯，无需付费

10.0.0.0/8

172.16.0.0/16-172.31.0.0/16

192.168.0.0/24-192.168.255.0/24

公有----全球唯一性，可以在互联网中通讯，付费使用

NAT网络地址转换，在边界路由器上，进行公有和私有IP地址见的转换

NAT---网络地址转换，在数据包经过路由器时，修改包中的源或目标ip地址；最常用于私有网络访问公有网络时，仅公、私有ip地址转换；

动态nat，静态nat，一对一，一对多，多对多，端口映射

(0-65535随机)

NAT的所有配置均在边界路由器上进行，华为设备在边界路由器的公有ip地址所在接口

一对一（静态）

[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3

inside 192.168.1.10

一对多（动态） PAT端口地址转换：

[r2]acl 2000

[r2-acl-basic-2000]rule permit soutce 192.168.0.0 0.0.255.255

[r2]int g 0/0/2

[r2-GigabitEthernet0/0/2]nat outbound 2000

多对多：

[r2]nat address-group 1 12.1.1.4 12.1.1.10 定义公有ip地址池，创建池塘1；

[r2-GigabitEthernet0/0/2]acl 2001

[r2-acl-basic-2001]rule permit source 192.168.0.0 0.0.255.255                                定义私有地址范围

[r2]int g 0/0/2

[r2-GigabitEthernet0/0/2]nat outbounf 2001 address-group1

                          no-pat

切记：no-pat  添加的区别很大：

若添加为静态多对多，不添加为动态多对多；

静态多对多：多个一对一

动态多对多：多个一对多

端口映射：

[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80