####計算機基礎
計算機網絡定義：各類終端通過傳輸介質連接在一起，形成的一個網狀的產物
功能：資源共享 分布式處理 負載均衡 綜合信息服務
網絡類型：LAN:一般覆蓋范圍小
MAN：覆蓋范圍大
WAN：覆蓋范圍更大（全球）
網絡拓撲結構：將物理網絡以圖表的方式呈現出來，稱之為拓撲圖
常見的拓撲結構：星型：終端通過中間設備
樹型：葉子節點與根節點
網狀：中大型網絡在用，可靠性高
環型（淘汰）
總線型（用的少）：無線路由器還在用
衡量網絡性能指標：帶寬：越高越好，單位之間
延遲：越小越好
####OSI
OSI七層模型：廠商之間的兼容性
層次劃分：應用層：應用程序接口（UI） 應用層數據
表示層：定義應用程序產生的數據格式 應用層數據
會話層：維護建立應用程序之間的回話信息 應用層數據
傳輸層：定義端到端的數據傳遞方式 數據段
網絡層：定義端到端數據傳遞的路徑信息 數據包
數據鏈路層：維護管理本地鏈路信息 數據幀
物理層：二進制比特流數據傳輸 比特流
每一層都依靠下層提供的服務進行工作，層與層之間相對獨立，相互聯系
數據的封裝過程中會添加每一層的頭部信息，便于接收方接收處理

物理層：傳輸介質 有線：雙絞線（stp utp） 光纖 同軸電纜 串口電纜
無線：802.11 藍牙 紅外線 射頻識別 NFC
數據鏈路層：數據幀編寫識別 尋址（MAC） 標識上層數據（type）
分為上下兩層：LLC(與上層通信參數協商) MAC（與下層通信參數協商）
通信依靠MAC地址，維護MAC表項
mac地址：48個二進制位 標識設備 以16進制表示 分為6段 每段8位 通常以冒號隔開 有OUI（廠商代碼）和序列號（設備）兩部分組成
OUI由IEEE為每一個廠商固定分配，不同廠商不同
設備序列號：由廠商為不同批次不同等級的產品固定分配 ，不同產品不同
對用戶來講不可更改
常用標準：802.3 802.1 ppp hdlc FR
等同于局域網 以太網 二層網
*/以太網技術屬于局域網技術的一種，局域網技術包含令牌環網技術（淘汰）/FDDI技術（淘汰）/以太網技術
網絡層：IP編址 IP尋址 異種網絡互聯（局域網）
通信依靠IP通信
IP地址：32個二進制 由網絡部分（位）和主機部分（位）組成，使用子網掩碼進行區分，通常以十進制表示 用點號隔開 分為4段 每段8位
子網掩碼：32個二進制 通常以十進制表示 用點號隔開 分為4段 每段8位 必須由連續的1和連續的0組成
子網掩碼中1的個數越多，0的個數就越少，主機位數就越少，主機數量就越少
區分網絡位和主機位方法：子網掩碼中1對應IP地址中的網絡部分，0對應IP地址中的主機部分
常用協議：路由協議：維護檢錄路由傳遞相關信息，即維護路由表，為可路由協議提供轉發路徑信息 靜態 rip ospf is-is BGP
可路由協議：將用戶數據轉發出去，并定義數據格式用途 IP
IP封裝：版本 分片字段（標識符 標志位 片偏移量） TTL（為每一個IP報文設定生存時間，每過一個三層設備減1，默認255）
Protocol（標識上層協議） 源IP 目標IP
傳輸層：數據分段 端到端鏈接建立 流控
常見協議：TCP：面向連接 可靠傳輸 占用網絡資源大 延遲相對較高
UDP：無連接 不可靠傳輸 占用資源小 傳輸速度快
TCP建立需要進行三次握手，通知對方進行數據接受或發送
TCP斷開需要進行4次揮手
TCP可靠原因：有排序 有確認 有重傳 有流控
TCP封裝信息：源端口 目標端口 序列號（排序） 確認號（確認） 窗口大小（流控） 連接維護字段（syn ack fin）
常用TCP端口號：23（telnet） 22（ssh） 20+21（ftp） 80（http）
UDP封裝信息：源端口 目標端口
常見UDP端口號：69（tftp） （53）dns 161（snmp）
上層協議：包含應用層，表示層 會話層，在應用程序里面進行封裝，用戶無法更改，不需關心
TCP/IP模型：功能同上
應用層
傳輸層
網絡層
網絡接口層（數據鏈路層，物理層）

####通信
局域網通信：以太網通信 二層網通信 數據鏈路層通信
使用數據鏈路層和物理層完成通信
通信設備：集線器：共享式以太網 總線型拓撲結構 端口以半雙工工 工作效率低 設備共享總線帶寬
中繼器：信號放大
交換機：設備獨享端口帶寬 隔離沖突域
設備端口工作類型：單工：數據只能朝一個方向走 鍵盤 鼠標 顯示器
雙工：全雙工：在任何時刻數據都可以朝兩個方向走
半雙工：數據可以朝兩個方向走，但在某一個時刻數據只能朝一個方向走
網絡通信方式：單播：確定的源，確定的目的（目的只能唯一） 安全
組播：確定的源，確定的目的（目的可以為多個） 安全
廣播：確定的源，不確定的目的 不安全
廣域網通信：局域網通信在距離上有限制
廣域網通信依靠數據鏈路層和物理層
連接方式：專線：點到點 用戶獨占物理線路帶寬 速度快
電路交換：點到點 用戶獨占物理線路帶寬 速度慢
分組交換：點到多點 多個用戶共用一個物理線路 物理線路的帶寬共享

####IP
IP原理：常見協議：IP ICMP ARP
IP地址標識節點 IP地址中的網絡地址標識鏈路
尋址轉發：先找到目的地所在的網絡（鏈路），然后確定目的地
找到目的地之后，選擇合適的路徑路由出去
適應各種數據鏈路，將不同的局域網連接
IP地址中網絡部分用來表示不同的IP網絡，主機部分用來標識不同的節點，即網絡部分相同的主機，在同一網絡，否則不在同一網絡
在同一網絡則可以直接通信（經過二層通信即可）
IP地址范圍：0-255
IP地址分類：A:0-127 默認掩碼8位 /8 子網掩碼中有8個連續的1
B:128-191 默認掩碼16位 /16 子網掩碼中有16個連續的1
C:192-223 默認掩碼24位 /24 子網掩碼中有24個連續的1
D:224-239用于組播
E:240-255保留
特殊地址：不參與通信
0.0.0.0 靜態默認路由
255.255.255.255 全網廣播地址
127.0.0.0 /8 環回測試地址，測試網卡TCP/IP協議簇有無問題
網絡地址 每一個IP網段中主機位最小的地址
廣播地址 每一個IP網段中主機位最大的地址
A類私有地址：10.0.0.0-10.255.255.255 /8
A類公有地址:1.0.0.0-9.255.255.255 11.0.0.0-126.255.255.255
B類私有地址：172.16.0.0-172.31.255.255 /16
B類公有地址：
C類私有地址：192.168.0.0-192.168.255.255 /24
C類公有地址：
網絡IP地址規劃：計算主機地址數量 網絡地址 廣播地址
有類（自然分類，默認分類，主網）地址缺陷：地址浪費
解決辦法：子網劃分、可變長子網掩碼（VLSM、子網規劃
原理：將主機位中多余的部分劃分出來（子網位），劃到網絡位中去
實現：2^主機位=主機數量
2^主機位-2=可用主機數量
2^{主機位>=2+Y>=2}主機為-1 y=需求的地址數量
2^m>=x>=2m-1 m=子網位數 x=子網數量
VLSM問題：路由器上需要維護的路由表條目更多，影響網絡性能
解決辦法：CIDR 地址匯聚 路由聚合 無類域間路由
原理：將VLSM之后的IP地址相同的部分劃到網絡位，不同的部分劃到主機位
注意事項：做CIDR必須是連續的子網
IP轉發： 發送主機檢查目的主機所在的網絡號與本地主機所在的網絡號是否相同，相同則解析目的MAC，否則解析網關MAC
路由器收到數據之后，檢查是不是找自己，是則交給上層協議，否則檢查目的是否同網段，是則解析目的MAC否則解析下一跳MAC
主機接受到數據之后，檢查是否找自己，是則交給上層協議，否則丟棄
廣播報文帶來的問題：廣播風暴
MAC表震蕩 MAC重復 降低網絡性能
解決辦法：路由器隔離廣播域，路由器默認不轉發廣播報文
ICMP：網絡消息控制協議
用于網絡故障診斷 ping tracert
原理：向網絡中發送ICMP請求報文，收到請求報文的主機會進行回復，發送源根據收到的回復內容對網絡進行診斷
封裝信息：type（定義消息類型） code（定義差錯）

####ARP與RARP
ARP：地址解析協議
將IP地址解析成MAC地址
局域網內通信必須使用ARP，將主機的IP解析成MAC才能通信，終端之間首次通信的時候，必須先知道對方的MAC地址，查找ARP表
如果查到信息則直接轉發到具體MAC，否則廣播查找，收到廣播報文的主機，進行匹配，匹配成功則單播回應，否則丟棄
局域網間通信不會使用ARP,使用路由表
匹配成功的主機，將對應的IP地址和MAC地址放到ARP緩存表
發送ARP的條件，同一局域網內終端之間通信，才需要使用ARP
網關：網絡關口
將本地局域網的數據轉發到其他目的網絡，網關屬于三層的功能，局域網內通信不需要使用網關
RARP:逆向地址解析協議
將MAC解析成IP，主要用于無盤工作站
ARP代理：通過使用代理，將本網段的ARP廣播報文傳遞到另外的局域網，讓ARP廣播報文跨越路由器
ARP欺騙，善意的謊言
使用范圍：終端在同一邏輯網絡，位于不同物理網絡
SLARP：用于HDLC網絡鄰居狀態檢測
免費ARP：檢測IP地址沖突，自動啟用

####設備命令基礎
命令行基礎：
配置網絡設備方式：本地配置：console
遠程配置：telnet：tcp23 不認證 密碼認證 用戶+密碼（AAA）認證
ssh：tcp22 密碼認證 AAA認證
命令視圖：基本視圖：用戶視圖 不能對網絡設備進行配置管理
高級視圖：系統視圖 接口視圖 路由協議視圖
各視圖之間的關系：用戶進入某種高級視圖之前必須先進入系統視圖，視圖之間切換可以直接使用相應的命令，也可以退出當前視圖
再切換，退出使用quit命令或者使用return命令或者使用ctrl+z
三種退出命令差別：quit 只能退回到上一級視圖
return和ctrl+z 能夠從任意視圖回退到用戶視圖
用戶權限管理：0-15，一共16個等級，數字越高權限越高
命令行幫助特性：tab鍵：命令補全 補全后半部分命令 ，測試命令完整性
？鍵：呈現用戶權限內以當前字符開頭的所有命令，呈現用戶權限內當前命令后可寫的下一條命令
上下導航鍵：查看歷史命令
錯誤提示信息：^
命令行編輯：backspace：刪除光標左邊的字符
ctrl+z：從任何視圖回退到用戶視圖
ctrl+]：斷開當前連接
space：顯示下一屏信息
enter：顯示下一行信息
ctrl+c：停止當前命令的運行
常用命令：system-view
sysname
文件系統管理：操作系統 配置文件 系統文件
常用命令：more 查看文件內容
boot-loader 指定啟動操作系統
startup 指定啟動配置文件
mkdir 創建目錄
rmdir 刪除目錄
rename 重命名文件/夾
move 移動文件/夾
copy 復制文件
format 格式化磁盤
fixdisk 修復磁盤
backup 備份文件
restore 恢復文件
pwd 查看當前路徑信息
使用FTP管理文件系統：FTP 文件傳輸協議
采用雙連接 20（數據控制進程） 21（數據連接進程）
兩種文件傳輸模式：二進制（應用程序，圖片）比特流傳遞 ascii（文本文件）ascii碼傳遞
數據傳輸方式：主動方式 port方式 客戶端向服務器發送port命令，并告知采用的端口號（隨機）
被動方式 pasv方式 客戶端向服務器發送pasv命令，服務器告知客戶端采用的端口號（隨機）
網絡設備可以作為ftp客戶端也可以作為服務端
TFTP:簡單文件傳輸協議
網絡設備只能作為TFTP客戶端

####交換機
交換機工作原理：共享式以太網：總線型以太網拓撲結構
規定同一時刻只有一個終端能夠占用總線帶寬傳遞數據，如果有多個終端同時占用總線，則會沖突
會造成沖突的范圍叫沖突域。
沖突解決：CSMA/CD
共享式以太網中，某一個終端傳遞數據時，其他任何終端都能收到
交換式以太網：星型/樹型拓撲結構
隔離沖突域，每個端口就是一個沖突域，端口獨立，獨享帶寬 維護MAC表
交換機工作原理：當交換機接入網絡，收到第一個數據幀，首先進行MAC學習，并放入MAC表，在查看目的地，知道目的地之后
查找本交換機的MAC表，有表項則轉發，沒表項則廣播查找

####VLAN
vlan：虛擬局域網 在二層設備上實現的二層技術
背景：局域網中廣播報文太多（廣播風暴），占用網絡資源降，低網絡性能
廣播風暴現象：1，主機數量太多，導致廣播報文數量增多
2，出現二層環路
解決辦法：通過三層設備隔離
傳統的隔離辦法：1，添加路由器，端口不夠用，成本高
2，添加三層交換機，緩解端口不夠用，但不是最優的解決辦法
使用VLAN隔離： 控制廣播域范圍 增強網絡安全性 主機所在的網絡可以不受物理位置限制
實現原理：為每一個普通的以太網二層幀打上802.1Q標簽（vlan標簽），標簽相同數據的源主機助于同一網絡，否則屬于不同網絡。
802.1q標簽內容：tpid：固定（用于vlan數據標識） priority：優先級（qos） vlanid：0-4095（用于標識數據源主機是否屬于同一網絡）
Vlan-ID中，vlan0用戶不可見不可用，vlan1用戶可見可用，但不可管理，vlan4095用戶不可見不可用
不同vlan（虛擬局域網）屬于不同局域網，也就是說，不同vlan之間通信，必須添加三層功能
vlan劃分類型：基于端口：把主機連接交換機的交換機端口劃分到某一vlan，一般情況下連接在該端口下的所有主機都屬于該vlan 最常用
基于協議：將主機所使用的協議與vlan綁定
基于IP（子網）：將主機所使用的IP與vlan綁定
基于MAC：將主機所使用的mac地址與lan綁定
基于策略：上幾種混合使用
匹配順序：MAC-Vlan>協議>IP>端口
vlan端口類型：Access端口：用于連接主機
工作特性：當該端口收到數據之后，強制性的打上該端口的PVID；發送數據時，會檢查數據的vlanid和該端口的PVID，如果兩者相同，
則剝離標簽發送否則丟棄，Access端口只關心數據vlanid與PVID是否相同
trunk端口:用于連接交換機，用于跨交換機vlan數據傳遞
工作特性：當該端口收到數據之后，強制性的打上該端口的VLANID；發送數據時，首先檢查該vlanid是否允許通過該端口，如果可以
則檢查會檢查數據的vlanid和該端口的PVID，如果不可以直接丟棄，檢查兩者ID時，相同則剝離標簽發送，否則保持數據
原有標簽發送，trunk端口只關心數據對應的vlanid能否通過該端口
hybrid端口：可以連接主機可以連接交換機
工作特性：當該端口收到數據之后，強制性打上該端口的PVID；發送數據時，通過命令配置允許相應的vlan通過，至于是否攜帶標簽，
也可以通過命令配置
PVID：port-vlanid端口vlanid，默認所有端口的PVID都為1
更改PVID：1，通過基于端口vlan劃分
2，通過命令更改
vlan鏈路類型：Access鏈路
trunk鏈路
hybrid鏈路
vlan配置：1，創建vlan 系統模式下vlan vlanid（1-4094）
2，劃分vlan 將端口與vlan綁定
默認情況下，不同vlan之間不能直接二層通信，如果需要做vlan之間通信，必須添加三層功能
vlan之間三層功能實現：三層交換：使用交換機的三層功能（vlan接口）
單臂路由：使用路由器的三層功能（子接口）
實現步驟：三層交換：創建vlan并劃分之后，為對應的vlan創建vlan接口，并配置三層信息（IP網關 掩碼）
單臂路由：在路由器上的物理接口下創建子接口，在每一個子接口下綁定vlan信息，配置三層信息

####STP
STP：生成樹協議
背景：園區網搭建，需要考慮可靠性（鏈路 設備），鏈路可靠性帶來另外一個問題：環路
環路問題表現：廣播風暴
解決辦法:STP
解決思想：消除環路
如何消除：通過選舉的方式阻塞有環路的路徑端口
選舉規則：在網絡中，選擇出一個設備來發送stp報文，通過發送STP報文中攜帶的選舉參數，決定阻塞端口
消除過程：1，選出一個設備發送stp報文
2，通過報文中的參數阻塞端口
設備角色：根橋：發送stp報文的設備
非根橋：剩下的所有設備
端口角色：根端口 存在于每一個非根橋上，有且只有一個
指定端口 存在于每一個物理鏈路上
阻塞端口
指定端口的選舉規則和跟端口的選舉規則是一樣的
在選舉端口過程中，只需要選擇出根端口和指定端口，剩下的都阻塞
選舉過程：1，選擇發送stp報文的設備，初始化的時候，所有設備都會發送stp報文，各交換機之間通過比較stp報文中攜帶的參數優先級決定 首先查看交換機優先級參數
優先級參數值小的勝出，但該參數默認都是32768，值相同則比較MAC地址，mac地址小的勝出（其實就是比較BID）
2，端口選擇過程，首先查看根路徑開銷（到根橋設備占用的網絡資源大小，與帶寬有關），開銷小的勝出；如果開銷相同，則比較對端設備BID(設備優先級值+mac地址)
如果BID相同，則比較對端設備端口ID（端口優先級128+端口號）；如果對端PID相同則比較本端PID
根橋上一定不會有根端口，一般都為指定端口 一般情況下根端口的對面都是指定端口
端口選舉的時候，以設備作為參考對象，哪一個設備到根橋開銷大，該設備所對應的接口阻塞
以端口作為參考對象，開銷小的設備對端的端口阻塞
STP端口狀態：（防止臨時環路）
disable 未啟用stp
blocking 阻塞端口 接收不發送BPDU，不接收轉發用戶數據
listening 選舉 接收并發送BPDU，不接收轉發用戶數據 15s延遲
learning 學習MAC地址 接收并發送BPDU，不接收轉發用戶數據 15s延遲
forwarding 網絡收斂 接受并發送BPDU，接收轉發用戶數據
STP時間問題：轉發延遲時間 15s
stp-hello時間 2s
stp報文失效時間 20s
stp報文類型：配置BPDU 用來選舉維護stp網絡
tcn-bpdu 網絡拓撲改變
tc-bpdu 清空mac地址
stp不足：收斂時間長 收斂機制不靈活（根橋處理TCN）
stp配置：系統模式下啟用stp功能
更改stp模式
擴展配置：指定根橋設備 更改設備優先級
指定阻塞端口 更改端口根路徑開銷

####RSTP與MSTP
RSTP:快速生成樹
支持快速收斂
原因：收斂機制更改 P/A 所有設備都能發送STP報文 設備之間進行級聯收斂
端口狀態更改 discarding 接收并發送BPDU 不接收轉發用戶數據
learning 接收并發送BPDU 不接收轉發用戶數據
forwarding 接收并發送BPDU 接收轉發用戶數據
端口角色更改 根端口 指定端口 阻塞端口 備份端口
邊緣端口：默認不參與STP計算 如果該端口參與計算 無需等待延遲時間（15s）
擴展特性：邊緣端口保護功能
根橋保護功能
環路保護功能
tc保護功能
rstp配置：啟用stp 更改stp模式 指定設備角色 指定端口角色 配置保護功能
rstp不足：不能使每一條物理鏈路充分利用，所有vlan共享一顆生成樹
解決辦法：MSTP（多實例生成樹）
核心思想：將某些vlan和不同的vlan實例綁定，為不同的vlan實例，指定不同的生成樹
mstp向下兼容，RSTP向下兼容

####DNS
DNS（域名解析）
背景：主機之間訪問 IP 問題：IP太多不好記
解決：HOSTS列表 在主機上將IP地址與對應的主機名稱（域名）綁定 問題：IP太多，空間不夠
解決：通過特定的服務器特定存儲 DNS服務器
C/S模式
域名結構：分級管理（一般三級，順序：三級 二級 頂級） 級之間點號隔開
FQDN:完全合格域名 www.baidu.com.
DNS查詢方式：遞歸查詢：客戶端與本地域名服務器
迭代查詢：本地域名服務器與其他服務器之間
反向查詢：根據IP查詢主機名

####802.1x
端口安全技術：
802.1x：用于用戶接入認證，在接入層設備上做
用戶介入認證體系結構： 認證客戶端（提供認證信息） 認證設備端（發起認證） 認證服務器（用戶合法性認證）
認證服務器可以本地認證：用戶信息存放于網絡設備上
遠程認證：用戶信息存放于認證服務器上（AAA服務器）
接入控制方式：mac認證：所有的終端都必須經過認證才能接入網絡，其中一個用戶下線，不影響其他用戶
接口認證：該接口下只需某一個用戶認證，其他用戶不需要，但如果該用戶下線，其他用戶也跟著下線
配置步驟：1，系統模式下，全局啟用802.1X
2，端口下，啟用802.1x
3，配置認證服務器（遠端認證、本地認證）
端口隔離：用于用戶隔離，在接入層設備上做
位于同一隔離組的用戶不能通信，同一個端口可以屬于多個隔離組
配置步驟：1，創建隔離組
2，在接口下將該接口添加到隔離組
鏈路聚合：把多條物理鏈路捆綁成一個邏輯鏈路，提升帶寬，增強網絡鏈路可靠性
多個物理鏈路之間流量做負載分擔處理（基于流）
分類：動態：通過LACP協議動態協商
靜態：通過管理員手工添加（常用）
聚合模式：二層聚合：組成員為二層端口
三層聚合：組成員為三層端口
聚合條件：參與聚合的端口屬性保持一致，聚合之后的帶寬保持一致
完成聚合之后，如果要更改成員端口屬性，必須進入聚合端口更改，不能進入物理端口更改，否則該端口脫離組

####DHCP
DHCP:動態主機配置協議
為主機動態分配網絡參數（IP MASK 網關 dns）
C/S模式, 有客戶端發起請求，服務器收到請求之后進行回復
服務器真挺端口67 客戶端使用68端口
組件：DHCP客戶端 DHCP服務器 DHCP中繼設備
網絡參數分配方式：靜態分配：手工填寫
自動分配：有DHCP服務器分配（指定某主機使用的IP地址）
動態分配：有DHCP服務器分配（常規分配方式）
DHCP報文：DHCP-discover 客戶端發送的服務器查找報文 廣播發送 客戶端查找DHCP服務器
DHCP-offer 服務器給客戶端回復的報文 單播發送 服務器DHCP功能的通告
DHCP-request 客戶端發送的地址請求報文 廣播發送/單播發送 服務器分配的地址沒有被指用
DHCP-ACK 服務器發送的確認報文（分配地址） 單播發送 服務器對客戶端分配的地址進行確認（最終分配）
DHCP-release 服務器發送的地址釋放報文 廣播發送 客戶端釋放地址
dhcp-inform 客戶端發送的其他信息請求報文 單播發送
dhcp-deline 客戶端發送的拒絕報文 單播發送 服務器分配的地址已經在網絡中使用
dhco-nak 服務器發送的無響應報文 單播發送 拒絕提供服務
DHCP請求報文可以單播發送：地址續期
廣播發送：地址申請
DHCP中繼：跨網段實現DHCP功能

####路由
路由基礎：
路由的前提：路由表存在
路由表構成：目標地址 目的地掩碼 來源信息（優先級） 下一跳 度量值 出接口
路由來源：直連路由：設備之間直接連接，物理層UP，數據鏈路層UP，有IP ，產生的路由（協議層和物理層雙UP）
靜態路由：設備之間不需要直接連接，由管理員手工添加
動態路由：路由協議自動發現的
度量值：cost開銷
路由器路由規則：絕對優先原則：（掩碼）最長匹配
不同路由協議之間，比較來源信息，靜態 60 直連0 rip 100 ospf 10 值越小的越優先匹配
同種路由協議之間，比較開銷 靜態0 直連0 rip 跳數衡量 ospf帶寬衡量 值越小的越優先匹配
路由環路：由于協議缺陷或認為配置錯誤，產生的路徑問題
靜態路由配置：系統模式下 ip route-static 目的地 目的地掩碼 出接口/下一跳
出接口：只適用于點到點網絡
下一跳：適用于所有網絡（最常用）
靜態默認路由：目標地址和掩碼全網最小，匹配所有網段 網關也是靜態默認路由
靜態路由缺陷：配置太復雜，只適用于小型網絡，維護麻煩
路由備份（浮動靜態路由）：到達目的地有多個路由條目，路由條目開銷不同
添加方式：修改備份路由條目的開銷，備份路由條目的開銷都比較大
路由負載分擔：到達目的地有多個路由條目，路由條目的開銷相同，來源相同
靜態黑洞路由：防環 地址匯聚
動態路由協議原理：1，查找鄰居 2，路由信息交換 3，路由信息計算 4，路由信息維護
衡量路由協議優劣指標：路由信息正確性 收斂速度 占用開銷 協議安全性 適用范圍
動態路由協議分類：IGP（內部網關協議）：距離矢量：rip 以跳數衡量路徑優劣，沒有防環機制
鏈路狀態：is-is ospf eigrp（cisco）
EGP（邊界網關協議）：路徑矢量：BGP 以跳數衡量路徑優劣 有防環機制
自治系統AS：IGP用于AS內，EGP用于AS間（人為區分）

####RIP
rip路由協議：通用路由信息協議 距離矢量路由協議 V1/2兩個版本 基于UDP 端口520
工作特點：以跳數衡量路徑優劣 v1只支持有類路由（發送的rip報文不攜帶掩碼）不支持認證
周期更新全部路由表（30s） 擁有6中防環機制（水平分割，路由毒化，毒性逆轉，觸發更新，最大跳數，抑制時間）
廣播發送報文（V1只支持廣播，v2可以廣播可以組播224.0.0.9）
rip支持自動地址匯總（地址匯聚）（默認打開）
路由表初始化：路由器首先發送請求報文（請求鄰居），找到鄰居之后，請求路由更新，收到更新的路由器發送回復報文，隨后路由計算更新
路由表維護：周期發送response報文
路由環路解決：路由毒化：將出問題的路由設置為不可達，并在更新報文中進行更新
水平分割：從某一個接口學習到的路由，在后期的更新中不會從該接口發送出去
毒性逆轉：從某個接口學習到的路由，在告訴給源路由器，并將路由開銷設置為最大（優先級更大）
定義最大值：rip網絡中最大跳數16跳，當路由器收到路由條目的開銷為16的時候，將不更新此路由，若網絡只支持15個路由器
抑制時間：將出問題的路由設置為不可達，同時加上抑制時間，該時間內只有收到正確的源的更新，才更新
觸發更新：路由出問題之后，立即告訴鄰居路由器，不會等帶更新周期到來
v1特點：只支持有類路由，廣播發送報文，不支持認證
v2特點：支持無類路由，組播發送（也支持廣播），支持認證
配置步驟：1，啟用rip進程（盡量全網一致）
2，更改版本
3，關閉自動匯總
4，宣告網段network（在宣告網段所對應的接口上啟用RIP功能，賦予該端口收發rip報文能力；將宣告的網段信息加入全網路由表）
5，配置認證（基于接口，可選）
RIP擴展特性：input：刪除或增加某接口接收rip報文功能
output：刪除或增加某接口發送rip報文功能
metricin：增加或減少從某個端口接受的路由條目的開銷
metricout：增加或減少從某個端口發送的路由條目的開銷
抑制接口：只接收rip報文，不發送rip報文（優先級更大）

####OSPF
ospf路由協議：開放最短路徑優先 基于鏈路狀態IGP 增量更新路由條目 沒有跳數限制 以帶寬衡量路徑優劣
不在傳遞具體路由表，傳遞LSA，維護LSDB 用于組播（224.0.0.5 224.0.0.6） 支持認證（基于接口、基于區域）
ospf報文：hello：尋找鄰居，鄰居關系維護
DD：數據庫描述報文
LSR：鏈路狀態請求 request
LSU：鏈路狀態更新update
LSACK：鏈路狀態確認報文
ospf路由器之間都需要交換LSA，造成帶寬浪費
解決辦法：鄰居關系類型
鄰居關系類型：鄰居關系：交互HELLO報文，不交換LSA 224.0.0.6
鄰接關系：交換HELLO報文，交換LSA 224.0.0.5
ospf路由器標識：Router-ID標識每一個唯一的路由器(其實就一個IP地址)
router-id怎么來：可以手工指定

可以動態選舉（選擇邏輯接口最大的IP地址，如果沒有邏輯接口則選擇物理接口最大的IP地址）

實現方式：不同設備之間維護不同鄰居關系
設備類型：DR：指定路由器 1
BDR：指定備份路由器 1
DRother：剩下的路由器
DR與BDR之間維護鄰接關系，DROTHER與DR之間維護鄰接關系
DROTHER與BDR之間維護鄰接關系 DROTHER之間維護鄰居關系
設備類型的確定：DR：優先級高的作為DR，優先級值越大的優先級越高，優先級0的不參與選舉
優先級相同，則比較router-id
設備選舉流程：先選舉BDR，在BDR中選舉DR
ospf沒有范圍限制，但如果路由器數量太多，導致LSDB過大，降低網絡性能
解決辦法：支持區域劃分，不同區域維護不同LSDB，控制LSDB的大小
區域劃分類型：骨干區域：區域0
非骨干區域：除了區域0以外的所有區域
區域內采用鏈路狀態算法，區域之間采用距離矢量算法
區域間防環機制：規定所有的非骨干區域之間要交換路由信息，必須經過骨干區域轉發，即所有的非骨干區域必須和
區域0直連
OSPF狀態機：idle：未啟用OSPF
attempt:點到多點網絡
init：找鄰居發送hello
2-way：找到鄰居之后，設備選舉
exstart：DD報文
exchange：發送LSR
loading：發送LSU
full：發送LSACK
OSPF支持的網絡類型：P2P P2MP NBMA 廣播
手工修改 手工修改 FR 默認
P2MP和NBMA網絡鄰居路由器需要用戶手工指定（接口IP）
虛連接鄰居使用ROUTER-ID指定
OSPF配置：創建OSPF進程 需要指定router-id，進程號可寫可不寫，不寫則創建進程號1（rip同理）
創建區域 可以直接寫區域號，也可以寫IP
宣告網段 使用通配符掩碼（反掩碼）
通配符掩碼：正常子網掩碼里面1改成0，0改成1
擴展配置：更改路由器優先級（控制DR設備）
更改接口開銷（路徑控制）

####ACL
訪問控制列表：ACL 實現詩句流量識別數據分類，將分類之后的數據進行流量過濾
適用范圍：包過濾 NAT QOS PPPOE
實現原理：對進出設備某端口的流量進行包檢查，檢查之后的報文按照相應的規則做相應的處理（允許/拒絕通過）
用于物理接口的進出方向
規則定義：acl號之間是或的關系，在每一個acl號下面，創建具體規則，規則之間是與的關系
如果所有規則都不能匹配，則匹配默認規則
默認規則可以允許可以拒絕（管理員手工配置）
ACL使用通配符掩碼：與正常掩碼（內容）相反
ACL分類：基本acl：ACL號范圍是2000-2999 只能基于源進行流量過濾
高級acl：ACL號范圍是3000-3999 可以基于源或者目的地 端口號
基于二層的：4000-4999
ACL匹配順序：acl規則之間誰先匹配，誰后匹配
配置順序：按照規則寫的先后順序，先寫的先匹配，后寫的后匹配
自動順序：按照掩碼長度匹配，越長的越優先匹配
不同的匹配順序，可能影響ACL效果
ACL使用位置：盡量在不影響正常流量的前提下，靠近數據源，盡早的避免無用的數據流進入設備
使用基本ACL：從靠近目的地放向數據源方進行位置選擇
使用高級ACL：從靠近數據源方向目的地方進行位置選擇

####NAT
網絡地址轉換：NAT
背景：私有網絡中只有私網路由，共有網絡中只有公有路由，當私有網絡中主機訪問公網時因為沒有路由信息不能正常訪問
解決辦法：NAT
原理：當私有網絡中主機訪問公網時將用戶使用的私網地址轉換為公網地址，使用公網路由傳遞
nat類型：Basic-NAT（靜態NAT）：手工配置私網地址到公網地址一對一轉換
NAPT：實現私有地址到公網地址多對一的轉換，通過端口號區分不同的用戶數據源
MAT-setver（端口映射）：實現公網用戶到私網主機的訪問

####PPP
PPP：支持同步和異步鏈路， 支持認證，支持地址協商
數據連接建立：LCP：鏈路控制協議 協商MRU 魔術字 合法性認證
NCP：網絡控制協議 IP地址自動獲取/地址協商
更安全，支持認證：pap：有被認證方先發起，將用戶信息在網絡中直接傳遞 兩次握手
chap：有認證方主動發起隨機字符串（經過加密運算的挑戰信息），被認證方收到之后，將用戶
信息用和挑戰信息一樣的加密算法進行加密運算，將兩者的加密信息再返回給認證方，認
證方收到之后，進行反加密，將反加密之后得到的用戶信息，和自己本地的用戶信息做比較
相同則認證成功，否則失敗 三次握手
PPP配置步驟：串行借口下配置協議（PPP）
配置認證 ppp authentication-mode pap/chap(在該設備下對應的端口上啟用認證，同時該設備作為認證方)
在主認證方添加本地用戶信息
在被認證方添加進行認證的用戶信息
PPPMP：PPP捆綁：將多個低速PPP鏈路，聚合成一個邏輯鏈路（廣域網的鏈路聚合）
實現方式：1，通過虛擬模版接口
2，通過MP-Group接口實現

總結

以上是生活随笔為你收集整理的H3CNE笔记的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。