---

HCIA認證目標： 區分網絡通信和數據通信網絡的概念 描述信息傳遞的過程 區分不同的網絡設備并了解其基本作用 認識不同的網絡類型及拓撲類型

一、數據通信簡介

1.1 標準協議

數通（數據通信）== datacom ==路由交換。

通信本質是：資源共享。

終端相連—交換機（擴展端口、端口密度大）—路由器（端口少，隔離廣播域在接口上）
企業級路由器、三層交換機【企業用三層交換機：端口密碼大且具有三層功能】
交換機的作用：提供更多接口，讓終端能夠接入到網絡中。（這里沒有特別說明情況下，交換機指的都是二層交換機Layer 2 switching。）
路由器的作用：尋址和轉發，根據目標網段查找路由表，進行轉發或者丟棄。
防火墻的作用：不但具有路由器三層功能和交換機二層功能，而且還具有獨特安全的功能。
無線AP:1、瘦AP（瘦就是得靠AC來扶著，必須結合AC來使用），胖AP可以獨立工作。

OSI參考模型：

all people seem to need data photo （記憶編碼）
all 應用層 代表：具體應用，如QQ微信等軟件 （Application）
people 表示層 格式，如mp3 mp4 （presentation）
seem 會話層 建立、管理、拆除會話 （Session）
to 傳輸層 數據段，代表協議TCP/UDP （transport）
need 網絡層 數據包，IP地址-邏輯地址 （network）
data 數據鏈路層 數據幀，物理地址-MAC地址 （data link）
photo 物理層 比特流 （physical）

OSI參考模型：僅僅是參考模型。
1、過于理想化，無法實現；
2、先于網絡產生，不符合網絡實際發展。
3、每一層之間劃分過于絕對，復雜，過度追求完美。

TCP、IP標準： 分為兩種：
1、TCP/IP標準模型
2、TCP/IP對等模型（華為認可標準）
TCP/IP標準參考模型將OSI中的數據鏈路層和物理層合并為網絡接入層，這種劃分方式其實是有悖于現實協議制定情況的，故融合了TCP/IP標準模型和OSI模型的TCP/IP對等模型被提出，后面的講解也都將基于這種模型。

任何基于TCP的應用，在發送數據之前，都需要由TCP進行“三次握手”建立連接。
當數據傳輸完成，TCP需要通過“四次揮手”機制斷開TCP連接，釋放系統資源。

三次握手
TCP 三次握手的目的是建立可靠的連接，讓客戶端和服務器雙方都能確認自己和對方的發送與接收能力正常，過程如下：
第一次握手：客戶端向服務器發送一個 SYN（同步）包，其中包含客戶端的初始序列號（Sequence Number），假設為 x。這個包表明客戶端希望與服務器建立連接，并告訴服務器自己的初始序列號。此時客戶端進入 SYN_SENT 狀態。
第二次握手：服務器接收到客戶端的 SYN 包后，會向客戶端發送一個 SYN+ACK 包。該包中的序列號為服務器自己的初始序列號，假設為 y，同時 ACK 的值為客戶端的序列號 x 加 1，即 x + 1，表示服務器已經收到了客戶端的 SYN包，并且準備好接收客戶端的數據。此時服務器進入 SYN_RCVD 狀態。
第三次握手：客戶端收到服務器的 SYN+ACK 包后，會向服務器發送一個 ACK 包。該包的序列號為 x + 1，ACK 的值為服務器的序列號 y 加 1，即 y +1。這表示客戶端已經收到了服務器的 SYN+ACK 包，并且確認了服務器的連接請求。服務器收到這個 ACK 包后，連接正式建立，雙方都進入ESTABLISHED 狀態。
四次揮手
TCP 四次揮手用于斷開已經建立的連接，過程如下：
第一次揮手：主動關閉方（可以是客戶端或服務器）發送一個
FIN（結束）包，表示自己已經沒有數據要發送了，但還可以接收對方的數據。假設主動關閉方的序列號為 u，此時主動關閉方進入 FIN_WAIT_1 狀態。
第二次揮手：被動關閉方收到 FIN 包后，會發送一個 ACK 包作為應答。該包的序列號為 v，ACK 的值為u + 1，表示已經收到了主動關閉方的 FIN 包。此時被動關閉方進入 CLOSE_WAIT 狀態，而主動關閉方收到這個 ACK 包后進入 FIN_WAIT_2 狀態。
第三次揮手：當被動關閉方也沒有數據要發送時，它會向主動關閉方發送一個 FIN 包，假設序列號為 w，ACK的值仍為 u + 1。此時被動關閉方進入 LAST_ACK 狀態。
第四次揮手：主動關閉方收到被動關閉方的 FIN 包后，會發送一個 ACK包進行確認。該包的序列號為 u + 1，ACK 的值為 w + 1。發送完成后，主動關閉方進入 TIME_WAIT狀態，經過一段時間（通常為 2 倍的 MSL，即最長報文段壽命）后，如果沒有收到被動關閉方的重傳請求，則認為連接已經成功關閉，主動關閉方進入 CLOSED 狀態。被動關閉方收到這個 ACK 包后，也進入 CLOSED 狀態

1.2 數據傳輸過程

FTP/telnet/http這三個協議都是基于C/S架構（client/server）:
FTP實驗：
1、FTP服務器端開啟FTP服務：
2、客戶端嘗試使用FTP協議去服務端下載文件；

驗證

在只有 IP 地址和子網掩碼而不需要網關的情況下，主機之間能 ping 通主要基于本地網絡內的直接通信原理.

抓包驗證

可以看到3次握手,4次揮手

一個廣播域 = 一個子網 = 一個vlan = 一個網段 = 一個子接口
數據鏈路層的通信地址是物理地址，也就是mac地址。

ARP Request是廣播數據幀，因此交換機收到后，會對該幀執行泛洪操作。

二、通用路由平臺VRP

網絡拓撲（Network Topology）是指用傳輸介質（例如雙絞線、光纖等）互連各種設備（例如計算機終端、路由器、交換機等）所呈現的結構化布局

2.1 VRP簡介

VRP用戶級別:

用戶等級可以使用當前相同等級或者低于本用戶等級的命令。向下兼容。

2.2 命令行基礎

用戶視圖 使用命令system-view
system-view 可以簡寫sy （簡寫成功的前提：沒有歧義，能唯一標識是哪個命令）
[AR3] 系統視圖，是切換到其他視圖的必經之路。
[AR3]interface GigabitEthernet 0/0/0
[AR3-GigabitEthernet0/0/0] 接口視圖
[AR3]ospf 1
[AR3-ospf-1] OSPF協議視圖

常見報錯

常見命令

三 、網絡層協議IP

3.1 數據封裝

3.2 數據包傳輸

分片：也就分包，把數據包分成多個片段，以便順利通過沿路的設備。
設備能接收多大數據取決于MTU（最大傳輸單元），默認值一般是1500

路由器


ping 抓包

2.3 IP地址

掩碼若沒明確，是一種不規范的書寫方式
自然掩碼：
/8 A類地址 255.0.0.0
/16 B類地址 255.255.0.0
/24 C類地址 255.255.255.0
掩碼特點：從左到右，是連續的0或者1，

B類：172.16.0.0~172.31.255.255 #并不是172開頭都是私網IP地址，要看范圍！

127.0.0.0/8 的網段 則用127.1.1.1 也是回路

2.4 子網劃分

2.5 ICMP

ip 根據自己的網段招192.168.1 匹配
即使對方網段設置為16也可以ping通

四、IP路由基礎

4.1 路由概述

路由是路由器進行數據包轉發的唯一根據，針對一個目標網段，存在路由則轉發，無路由則丟包。

你要去哪里（目標網段），到達哪里要先找到下一站（下一跳IP地址）是誰，要達到下一站應該從哪個出口（接口）出去

路由器兩大功能：1、尋址 2、轉發

路由表的來源有哪些： 1、直連路由 1.1 接口up 1.2 接口下面配置了正確IP地址 2、靜態路由
管理員手工寫。下一跳可達才生效。 動態路由 部署協議，自動學習和調整路由表的變化

4.2 路由表

假設優先級和度量值都一樣，會怎么處理這個情況：
答：那就負載均衡了 同時放進路由表 典型代表：浮動靜態路由就是例子
[AR2]ip route-static 0.0.0.0 0 192.168.23.5
[AR2]ip route-static 0.0.0.0 0 192.168.22.4

4.3 路由轉發

只有當沒有找到任何符合最長匹配原則的特定路由時，才會使用默認路由來轉發數據包。

路由轉發流程：
1）三層設備轉發數據包的唯一憑據就是路由表，根據目標節點，采用最長匹配原則，進行查表；
2）路由表存在路由則進行轉發，逐跳地轉發到下一跳設備（hop by hop）
3）路由表不存在路由則丟棄處理。

4.4 靜態路由

邊界路由可配

4.5 動態路由

路由協議分類：
1、算法：分為LS（鏈路狀態路由協議OSPF、IS-IS） DV（距離矢量路由協議，rip）
2、范圍：IGP EGP（BGP）
3、動態靜態：動態路由協議、靜態路由協議
4、業務范圍：單播路由協議、組播路由協議
5、有類無類：有類路由協議、無類路由協議

4.6 路由高級特性

五、動態路由OSPF

5.1 動態路由分類

路由信息協議RIP（Routing Information Protocol）是基于距離矢量算法的路由協議，利用跳數來作為計量標準。在帶寬、配置和管理方面要求較低，主要適合于規模較小的網絡中。已淘汰

鏈路狀態路由協議：OSPF、ISIS
早期運營商中ISIS運用非常廣。

5.2 ospf概述

OSPF（Open Shortest Path First）即開放最短路徑優先，是一種廣泛應用于 IP 網絡的內部網關協議（IGP）
鏈路狀態路由協議：
1、有整個拓撲全貌；自己產生原材料LSA也會收集別人發送的LSA
2、把LSA放進數據庫LSDB
3、通過SPF算法算出最短路徑生成最優路由；
4、鏈路狀態路由協議的路由不是別人告訴的，而是自身收集原材料通過算法自己算出來；

1、區域area,在OSPF協議存在兩大類區域：
1.1骨干區域（Area 0）
1.2非骨干區域（不是area 0就是非骨干區域）

router-id 類似人的身份證號碼一樣，OSPF路由器可以自動選舉

5.3 ospf 配置命令

## 配置
ospf 1 router-id 2.2.2.2
area 0
network 10.1.23.1  0 0.0.0.0 
## 查看
display ospf peer brief

例 R1 R2 R3配置ospf

# R1
ospf 1area 0network 10.1.12.0 0.0.0.255  # 宣告 R1-R2 鏈路
# R2
ospf 1area 0network 10.1.12.0 0.0.0.255  # 宣告 R2-R1 鏈路network 10.1.23.0 0.0.0.255  # 宣告 R2-R3 鏈路
# R3
ospf 1area 0network 10.1.23.0 0.0.0.255  # 宣告 R3-R2 鏈路

5.4 ospf 工作原理

六、路由-交換

交換機泛洪，使用vlan解決交換機比較大的廣播泛洪問題。

三層解決交換機valn通信和路由器貴和接口少的問題。

三層設備的一個接口=路由器的一個接口=vlan=一個子網=一個網段 都是一個單獨的廣播域。

相同網段之間可以直接通信，不同網段之間不能直接通信（需要借助三層設備）

六、以太網交換基礎

CSMA/CD (Carrier Sense Multiple Access/Collision Detection，載波監聽多路訪問/沖突檢測)，這是以太網早期網絡用來解決沖突的機制。

沖突域：可能發生沖突的設備或終端之間所組成的區域。早期使用CSMA/CD機制解決沖突問題，
最終方法：使用交換機（交換機的每一接口都是一個單獨的沖突域。）

廣播域：廣播報文所能到達的整個訪問范圍稱為二層廣播域，簡稱廣播域，同一廣播域內的主機都能收到廣播報文。交換機（二層）沒法隔離廣播域，注意：沒特別說明情況下都是二層交換機（簡單粗暴，插上就能用，傻瓜交換機，沒有cosole口）。

數據鏈路層，通信地址是物理地址，也叫MAC地址，在以太網中特有概念。
以太網存在兩種標準
1、Ethernet_II，比較常見幾乎都是；
2、IEEE 802.3，STP協議、ISIS協議


數據鏈路層典型設備是交換機（二層交換機）；
二層交換機具有以下特點：
1、端口密度大12-24-48-52
2、最靠近終端設備；
網絡層典型設備是路由器（三層交換機）。

交換機的工作原理：
1、根據源MAC地址學習，
2、根據目的MAC轉發，
3、查表的依據是MAC地址表。

# 交換機mac映射表
display mac-address

七、vlan原理與配置

vlan id 12位=4096個 默認存在1，vlan-id范圍1-4094


vlan的劃分方式：
1、基于接口：缺點：移動終端需要重新配置接口所屬的vlan。
2、基于mac地址： 采集mac地址，優點：終端移動不需要更改接口所屬的vlan

Access：用于連接終端設備，接口只能屬于一個VLAN。
Trunk：用于連接交換機或路由器，允許多個VLAN通過。
Hybrid：靈活配置，可以同時支持Tagged和Untagged VLAN。

7.1 access 接口

access接口：
應用場景-終端或者服務器，這類終端或者服務器存在一個特點（只能識別純以太網幀）
access接口收到數據幀的處理方法：
1、純的以太網幀，給該幀加上access接口的PVID值；
access接口發送數據幀的處理方法：
2、標記以太網幀，
2.1如果該以太網幀的vlan id和access接口的pvid不同，直接丟棄；
2.2如果該以太網幀的vlan id和access接口的pvid相同，剝離標簽轉發出去；
access的特點：
接口只能屬于一個vlan，并且一根鏈路上的access只能允許相同一個vlan通過

7.2 trunck 接口

trunk收發規則（這里假設trunk放行列表不存在問題）：
發送規則：
1、幀的VLAN ID與接口PVID相同：則將該幀的Tag剝除，然后將其從該接口發送出去；
2、幀的VLAN ID與接口PVID不同：則保留該幀的Tag，然后將其從該接口發送出去；
接收規則：
1、接口收到Untagged幀：
該幀打上PVID，接收該幀；
2、接口收到Tagged幀：
接收該幀。
個人思考總結：進來無標打標，有標access相同-trunk放行，出去相同去掉，不同acces不讓，trunck放行。

interface Ethernet 0/0/2
# 接口類型 華為默認hybrid
# 添加vlan acess
port link-type access
port default vlan 10
# 添加vlan trunck
port link-type trunck
port trunck allow-pass vlan 10
port trunk pvid vlan vlan-id
# 查詢
#歷史命令
display history-command
#接口信息
display interface Ethernet 0/0/1
# vlan信息
display port vlan
display vlan
# 查詢接口配置
display current-configuration interface Ethernet 0/0/3

與路由三層連接不需tag。當直連不通時可考慮是否將trunk改為access

7.3 hybrid 接口

為什么需要hybrid接口？
1、access在發送出去的數據幀一定是沒有標簽。（access無法做到在發送出去的數據幀帶標簽）。
2、trunk只有在跟自己pvid一樣的時候才會剝離標簽發送出去（trunk無法做到vlanid跟自己的pvid不一樣的時候，剝離標簽發送出去）
3、從上面1和2這兩點看出access接口和trunk接口無法做到靈活剝離標簽或者帶有標簽。

port hybrid untagged vlan：表示這些 VLAN 的數據幀會以 Untagged 形式發送。
port hybrid tagged vlan：表示這些 VLAN 的數據幀會以 Tagged 形式發送

# 配置hybrid
port link-type hybrid
port hybrid untagged vlan 10
port hybrid tagged vlan 20
# 可選 缺省的vlan
port hybrid pvid vlan

個人總結。hybrid終端untagged 中間tagged。相當于trunck vlan為1情況下的補充。只要trunck pvid不修改，始終為1，vlan也不配置1，應該主要用acces和trunk可以了吧，歡迎大家留言。

華為的默認下可以通信，因為默認下hybrid pvid 1 untagged都為 1

7.4 基于mac地址

八、生成樹

8.1 生成樹概述

以太網交換網絡中為了進行鏈路備份，提高網絡可靠性，通常會使用冗余鏈路。但是使用冗余鏈路會在交換網絡上產生環路，引發廣播風暴以及MAC地址表不穩定等故障現象，從而導致用戶通信質量較差，甚至通信中斷。為解決交換網絡中的環路問題，提出了生成樹協議STP（Spanning Tree Protocol）
單點故障–冗余–二層環路–stp 解決單點用冗余帶來二層環路用stp

生成樹協議

8.2 生成樹原理

RP選舉

每臺非根橋上有且僅有一個根接口.





每天鏈路上僅有一個DP,和根端口原則一樣。

## 華為默認下為mstp
stp mode ？

默認案例

#查看stp 信息
display stp
# CIST Root 根橋設備
# CIST Root/ERPC:32768.4c1f-cc0e-0d61 / 200000
display stp brif
# 非根交換機上有一個RootPort-ROLE 最優路徑到橋。狀態FORWARDING
# 每天鏈路上有一個designate-ROLE 指定端口,狀態FORWARDING
# 剩下的Alternat-ROLE 備份端口，狀態DISARDING

8.3 BPDU包文與stp配置

#配置生成樹工作模式 默認mstp
stp mode mstp
#配置根橋 
stp root primary 
# CIST Root/ERPC :0 .4c1f-cc66-1d02 / 200000
#設置優先級（必須是4096的倍數，范圍0-61440）默認32768
stp priority 4096

九、實現vlan間通信

以三層交換機為主，端口多，價格便宜。
PC1發現目標IP不在本地子網，將數據包發給網關192.168.10.254。
網關IP不一定必須是.1或.254，可以是子網內任意可用IP，但需滿足：
是路由器或三層交換機接口的IP。

9.1 物理路由

配置好路由接口ip 即網關即可。

9.2 單臂路由

# 單臂路由 圖如下
## 路由子接口1interface Ethernet 0/0/0.10  # 進入子接口ip address 192.168.10.254 24 # 配置網關IPdot1q termination vid 10 # 子接口綁定VLAN 10 # 路由子接口2interface Ethernet 0/0/0.20ip address 192.168.20.254 24dot1q termination vid 20# 查詢接口IP網關display ip interface brief
## 交換機側: 連接路由器的端口需要配置Trunkinterface GigabitEthernet0/0/24port link-type trunkport trunk allow-pass vlan 10 20
# 連接pc機配置accessinterface GigabitEthernet0/0/1port link-type accessport default vlan 10 interface GigabitEthernet0/0/2port link-type accessport default vlan 20 
# 查詢接口vlandisplay port vlan#查詢display ip routing-tabledisplay ip interface briefdisplay current-configuration

9.3 三層交換機vlanif

# 三層交換機vlanif實現
# 創建VLAN 10（二層）
vlan 10  
# 將物理端口加入VLAN 10（Access模式）
interface GigabitEthernet0/0/1  
port link-type access  
port default vlan 10  
# 配置VLAN 10的三層接口（網關）
interface Vlanif 10  
ip address 192.168.10.1 255.255.255.0  

十、ACL原理與配置

10.1 ACL技術概述

VLAN（虛擬局域網）和ACL（訪問控制列表）是網絡中的兩種不同技術，它們在功能上有部分重疊但不能完全相互替代。
隨著網絡的飛速發展，網絡安全和網絡服務質量QoS (Quality of Service)問題日益突出。訪問控制列表 (ACL, Access Control List)是與其緊密相關的一個技術

10.2 ACL的基本概念及其工作原理

10.3 ACL基本配置

十一、AAA原理與配置

AAA=你是誰 你可以做什么 你做了什么

11.1 AAA概述

11.2 AAA配置

VTY是設備提供的遠程登錄通道，用于：Telnet（明文傳輸，不安全）
SSH（加密傳輸，推薦）其他遠程協議（如STelnet、SFTP）

[Huawei] user-interface vty 0 4
# 啟用AAA認證（需提前配置用戶名/密碼）
[Huawei-ui-vty0-4] authentication-mode aaa
# 僅允許SSH登錄（禁用Telnet）      
[Huawei-ui-vty0-4] protocol inbound ssh 
# 設置超時時間為15分鐘        
[Huawei-ui-vty0-4] idle-timeout 15 0  
# 設置登錄用戶權限等級（15為最高）         
[Huawei-ui-vty0-4] user privilege level 15      

AR1配置AAA

# 本地服務需打開，默認打開telnet server enableaaalocal-user lih password cipher C`Be0!1Ad1ECB7Ie7'/)8)d#local-user lih privilege level 2local-user lih service-type telnet

AR2 telnet AR1

十二、鏈路聚合與交換機堆疊、集群

12.1 鏈路聚合

#創建鏈路聚合組
interface Eth-Trunk 12
# 配置鏈路聚合模式
mode manual load-balance
#將接口加入鏈路聚合組中（Eth-Trunk視圖）
trunkport Ethernet 0/0/1 to 0/0/3
# 查看
display interface Eth-Trunk 12

LACP模式
lacpdu類似于ospf中的hello報文

#創建鏈路聚合組
interface Eth-Trunk 12
# 配置鏈路聚合模式
mode manual lacp-static
#將接口加入鏈路聚合組中（Eth-Trunk視圖）
trunkport Ethernet 0/0/1 to 0/0/3
# 配置最大活動接口數
max active-linknumber 2
# 查看
display stp brief
display eth-trunk 12
display interface Eth-Trunk 12

12.2 堆疊、集群