HCIA

Day1

HCIA是什么?

HCIA(华为认证的初级网络工程师)分为网络安全，Route switch，硬件安全三类方向

HCIP(华为认证的高级网络工程师)

HCIE(华为认证的专家级网络工程师)

计算机网络

云技术分为云存储和云计算

云存储：因为普通的电脑存储空间小，所以用户可以把数据存储在服务器中。如：百度网盘

云计算源于分布式计算，分布式计算可以理解为一台电脑处理不了的信息使用多台电脑进行处理

网络安全中有种攻击叫DOS (拒绝服务攻击 ),意思是攻击一台电脑时可以向它一直发送垃圾信息，这台电脑就会一直在处理这些垃圾信息，消耗了计算机处理数据的资源也占用了带宽资源，导致其无法工作。还有种升级版攻击DDOS (分布式拒绝服务攻击)因为一台电脑很难发送垃圾信息使服务器瘫痪，所以黑客会通过控制多台电脑，来一起攻击服务器，从而使服务器瘫痪。

计算机技术

计算机的首要工作是将抽象语言转换为电信号

1.抽象语言—-编码 应用层

2.编码 —- 二进制 表示层

3.二进制 —- 电信号 介质（硬件）访问控制层

4.处理电信号 物理层

通信技术

在计算机技术出现之前通信技术就已经出现了，1876年，贝尔获得了电话专利，当时出现了通信网络叫公共交换电话网，也出现了 电路交换，1888年实现了机器代替人工。到1946年2月14日 第一台电子计算机诞生，美国国防部用它来进行弹道计算。

互联网前身叫阿帕网，由于当时算力有限，所以美国人使用多台计算机，就组成了阿帕网 。后来美国人发现计算机还可以用在民用，就把阿帕网分开了，一部分用于军事，另一部分用于民用，逐渐变成Internet。

如何把对等网扩大称互联网？

最早的网络称之为对等网

1，延长传输距离

延长传输距离 —- 中继器（放大器） —- 物理层设备

可以延长5倍的传输距离

双绞线

RJ-45双绞线，RJ-45是指头的型号，由8根铜丝构成，分为4组，两两相绞。目的是为了抵消电磁干扰。

选用铜的原因是，铜的导电性好而且便宜，没有银那么贵，导电性比铝和金好，但市面上的双绞线用的也不是纯铜，商家为了降低成本会在里面加入铝

传输介质：铜丝 传输信号：电信号

屏蔽双绞线有屏蔽壳，可以减少干扰，在外界强干扰的情况下会使用

非屏蔽双绞线日常使用比较多

目前最常用的是超5类线 (1000Mbps)，线类越高，铜丝会越粗，而且绞得越紧, 传输距离100米，延长会使信号衰弱

速率计算公式：100MB的宽带100 / 8 * 0.85 = 10.625 MB

通常运营商承诺的是 100Mbps，指的是宽带一秒传输100M的bit

光纤

传输介质：光导纤维（玻璃纤维） 传输的信号：光信号

电信号 — 光信号：发光二极管，注入式激光二极管

光信号 — 电信号：光电二极管

单模光纤：注入式激光二极管 — 信号畸变小

多模光纤：发光二极管

2，增加网络节点数量

网络拓扑结构

1，直线型拓扑

优点：连接简单

缺点：不能跨机接触，容错率低，不安全，延迟高

2，环形拓扑

优点：连接简单，一个断了还能传，容错率比直线型高

缺点：不能跨机接触，容错率低，不安全，延迟高

3，星型拓扑

优点：容错率高，性价比高

缺点：对中间设备要求高，

4，网状型拓扑

优点：传输效率高，每个节点都有网线连接：容错率高，安全

缺点：太复杂，成本高

5，混合型 —- 多环型拓扑

优点：容错率高，安全

缺点：对中间设备要求高，复杂，成本高

性价比最高的拓扑 —- 星型拓扑

衍生出树形拓扑，企业规模大会用到

集线器（hub） —- 物理层设备

1，地址

地址是全球唯一且格式统一，使用MAC地址。

MAC地址：所有芯片出厂时厂家烧录的一个串号，全球唯一。由48位二进制构成。前24位为厂商标识，后24位位厂商分配的串号用来区分不同的芯片。 —- 二层地址（介质访问控制层地址）

例物理地址: 20-1E-88-AF-F2-71

使用ipconfig /all 可以在CMD命令行界面查看MAC地址

介质访问控制层在将二进制转化为电信号之前需要先给里面添加两个地

址，一个SMAC(源MAC)，一个DMAC(目标MAC)。

2，冲突 使用CSMA/CD(载波侦听多路访问技术/冲突检测),通俗讲就是排队

3，安全

4，延迟

因为集线器还有一些问题解决不了，所以提出了新要求：

1，无限延长传输距离

2，完全没有冲突 — 所有节点可以同时收发数据

3，实现单播 — 一对一的通讯

交换机 — 二层设备

交换机的转发原理：数据由电信号进入到交换机，交换机转换为二进制，交换机先看源MAC地址，将源MAC地址和进入接口的映射关系记录在MAC地址表中；然后看目标MAC地址，根据目标MAC地址查看MAC地址表。如果存在对应的记录，则按记录从对应的接口转发出去，实现单播。若没有记录，则进行泛洪。(除了进入的接口外，将数据转发给其他所有接口)。

交换机的一个接口可以对应多个MAC地址，一个MAC地址只能对应一个接口。

MAC地址泛洪攻击:黑客可以不停的发送虚拟的源MAC地址，填满交换机MAC地址表，使所有消息只能泛洪，泛洪的消息就会被黑客获取，而且可能会造成网络瘫痪

MAC地址表的老化时间为300S：为了防止交换机MAC地址表被填满，每个MAC地址300s后会被删除。

一个交换机最多只能连200台计算机，因为有泛洪，过多的计算机会导致网络瘫痪

路由器

应用层

表示层

网络层

介质访问控制层

物理层

路由器相当于网络设备，作用于网络层

路由器的作用

1，隔离泛洪范围 —- 路由器的一个接口对应一个泛洪范围

2，转发

逻辑地址

IP — 互联网协议

IPV4 — 32位二进制构成的 — 43亿

IPV6 — 128位二进制构成的

Day2

路由器

应用层

表示层

网络层

介质访问控制层

物理层

三层设备

1.隔离泛洪范围(广播域，一个接口对应一个广播域)

2.转发

IP(互联网协议)

IPV4是32位二进制构成 —- 点分十进制

IPV6是128位二进制构成 —- 冒分16进制

例:IPv4 地址: 192.168.43.105

二进制与十进制的转换

次方轴:

00000001 == 1

00000010 == 2

00000100 == 4

00001000 == 8

00010000 == 16

00100000 == 32

01000000 == 64

10000000 == 128

十进制转二进制 — 凑

128 64 32 16 8 4 2 1

例:

192

11000000

168

10101000

43

00101011

105

01101001

二进制转十进制—加

128 64 32 16 8 4 2 1

例:

11001110，11110010，11100101，10101010

128+64+8+4+2=206

128+64+32+16+2=242

128+64+32+4+1=229

128+32+8+2=170

206.242.229.170

练习：

十进制转换为二进制

11100011.11111110.10101001.01001010

227.254.169.74

网络位和主机位

网络位 —- 网络位不同表示不同的泛洪范围(相当于区号)

主机位 —- 在同一个泛洪范围内区分不同的主机(相当于个人标识)

11100011.11111110.10101001.01001010

11111111.11111111.00000000.00000000 —- 1代表网络位，0代表主机位

子网掩码：由连续的0和连续的1组成，用来区分网络位和主机位，其中，1代表网络位；0代表主机位

Ping —- 检测网络联通性的工具。实际是发送一个ICMP协议的数据包，其特点是可以强制要求对方回包。

ARP协议

ARP协议(地址解析协议)

可以通过一种地址获取另一种地址

48位二进制全1 — 12位16进制全F — 广播地址

广播:逼交换机泛洪 但广播不等于泛洪(广播属于主动,泛洪是被动)

广播域 = 泛洪范围

ARP的工作原理：

ARP先通过广播发送请求包，所有收到广播包的设备都将将源IP和源MAC的映射关系记录在本地的ARP缓存表中，然后再看请求的IP，如果不是自己本地的IP地址，则将数据包丢弃；若是自己本地的IP地址，则将以单播的形式进行ARP应答。在之后的传输中，将优先查看本地的ARP缓存表，若本地有缓存记录，则直接按照缓存记录发包；若没有，则再发送ARP请求。

ARP缓存表的老化时间 — 180S

ARP欺骗:发送假的数据包(回包回的比真的慢，覆盖真的地址)，继承目标地址，从而窃听信息

ARP分类

正向ARP — 通过IP地址获取MAC地址

反向ARP — 通过MAC地址获取IP地址

免费ARP — 利用正向ARP的工作原理请求自己的IP地址

​ 1，自我介绍；2，检测地址冲突。

IP地址的分类

分为A，B，C，D，E

A：0xxx xxxx 以0开头，其他任意。取值范围（0-127） 1-126（0和127为特殊IP）
B：10xx xxxx以10开头，其他任意。取值范围128-191
C：110x xxxx以110开头，其他任意。取值范围192-223
D：1110 xxxx以1110开头，其他任意。取值范围224-239
E：1111 xxxx以1111开头，其他任意。取值范围240-255

A，B，C三类为单播地址：既可以做源IP地址也可以做目标IP地址

D为组播地址：只能做为目标IP的使用

E为保留地址

通信方式

单播：一对一关系，主机会发很多次数据包
组播：前提需要将电脑放在组中，而且每台电脑都需要配置组播环境将单播和广播组合，一对多关系(同一个组播组)
广播：前提在同一广播域，在同一广播域下不能出现多余的电脑，否则会出现安全问题，一对多关系

A,B,C的区别

A — 对应大型网络

255.0.0.0

B — 对应中型网络

255.255.0.0

C — 对用小型网咯

255.255.255.0

特殊IP地址

1，127.0.0.1 - 127.255.255.254 — 环回地址 用于检查，排错，可以通过ping环回地址127.0.0.1，如果ping不通，则物理网卡出错，ping自己的ip地址也ping不通，则主机有错。

2，255.255.255.255 —- 受限（受路由器的限制）广播地址 — 只能作为目标IP来使用

3，主机位全1 —- 192.168.1.X/24(192.168.1.255) —- 直接广播地址 —- 只能作为目标IP来使用

4，主机位全0 —- 192.168.1.X/24(192.168.1.0/24) —- 网段 / 网络号中可使用的192.168.1.1 -192.168.1.254

5，0.0.0.0 —- 1，可以表示为没有IP；2，可以代表所有IP

6，169.254.0.0/16 本地链路地址/自动私有地址，在多次发送数据包请求其他主机分配IP地址时无反应，则自己配IP地址

关于IP的技术

VLSM — 可变长子网掩码（子网划分）

例：

192.168.1.0/24转化为二进制（加粗为网络位）

11000000.10101000.00000001.0 0000000 24

借一位变成网络位，借过来可能为1或0

11000000.10101000.00000001.0 0000000

192.168.1.0/25 1-126

11000000.10101000.00000001.1 0000000

192.168.1.128/25 129-254

11111111.11111111.11111111.1 0000000 (子网掩码)

255.255.255.128（子网掩码）

练习:

172.16.0.0/16 —- 划分8个网段，并且写出每个网段的取值范围

172.16.00000000.00000000

172.16.000 00000.000000000 —- 172.16.0.0/19

172.16.0.1 – 172.16.31.254

172.16.001 00000.000000000 —- 172.16.32.0/19

172.16.32.1 – 172.16.63.254

172.16.010 00000.000000000 —- 172.16.64.0/19

172.16.64.1 – 172.16.95.254

172.16.011 00000.000000000 —- 172.16.96.0/19

172.16.96.1 – 172.16.127.254

172.16.100 00000.000000000 —- 172.16.128.0/19

172.16.128.1 – 172.16.159.254

172.16.101 00000.000000000 —- 172.16.160.0/19

172.16.160.1 – 172.16.191.254

172.16.110 00000.000000000 —- 172.16.192.0/19

172.16.192.1 – 172.16.223.254

172.16.111 00000.000000000 —- 172.16.224.0/19

172.16.224.1 – 172.16.255.254

CIDR — 无类域间路由 — 汇总

“取相同，去不同”

例:

192.168.0.0/24

192.168.1.0/24

192.168.00000000.00000000·

192.168.00000001.00000000

192.168.0000000 0.00000000 192.168.0.0/23

192.168.1.0/24

192.168.2.0/24

192.168.3.0/24

192.168.00000000.00000000

192.168.00000001.00000000

192.168.00000010.00000000

192.168.00000011.00000000

192.168.000000 00.00000000

192.168.0.0/22 —– 超网(超越C类)

172.16.0.0/24

172.16.1.0/24

172.16.2.0/24

172.16.3.0/24

172.16.0.0/22 —- 子网汇总

Day3

OSI七层参考模型

OSI/RM —- 开放式系统互联参考模型

1979年iso(国际标准化组织) 提出

OSI的核心思想 — 分层

属于同一层面的不同功能，其目的和作用是相似或者相近的；属于不同层面的不同功能，其目的和作用存在明显的差异。每一层都在下层的基础上提供增值服务，最上层提供的是人机交互的应用服务。

作用：

1，更易标准化

2，降低层次之间的关联性，层次之间可以独立发展

3，更易学习或理解

应用层

表示层

会话层 —- 保持网络应用和网络服务器之间的会话连接。会话层地址

传输层 —- 实现端到端的传输，应用到应用的传输。端口号（传输层地址 — 区分和标定不同应用的） — 0 - 65535 （16位二进制构成）0号为保留端口号 1 - 65535。1- 1023 知名端口号

网络层

数据链路层 — MAC（介质访问控制层），LLC（逻辑链路控制层） —- FCS（帧校验序列)用于验数据完整性的，依靠CRC(循环冗余算法)，只能检验出物理的破坏，如果被黑客篡改过很难检验出来

物理层

TCP/IP模型

OSI分的太细，分配不均衡，所以TCP/IP模型用的较多

TCP/IP协议族（协议簇）

TCP/IP四层模型 — TCP/IP标准模型

​ 认为数据链路层和物理层不可分割应该合成一层

TCP/IP五层模型 — TCP/IP对等模型

​ 数据链路层和物理层的原理上差异较大

PDU — 协议数据单元(也就是单位)

在OSI模型中:

L1PDU(第一层的单位)

L2PDU

…

L7PDU

在TCP/IP模型中:

应用层 —- 报文

传输层 —- 段

网络层 —- 包

数据链路层 —- 帧

物理层 —- 比特流

封装和解封装

封装:每一层添加数据的过程

解封装:还原原始数据

应用层—有封装但取决于具体的应用

传输层 —- 端口号 — TCP/UDP

网络层 —- Ip地址 — IP

数据链路层 —- MAC地址 — 以太网：早期局域网的解决方案，依靠MAC地址进行寻址的网络。现在也应用于广域网当中。工作在1，2层的网络。

以太网Ⅱ型帧

DestinationAdress—Dmac

SourceAdress—Smac

Type —- 表示上层所使用的协议类型

Preamble—前导符

物理层

应用层的协议 (有端口号的一定是应用层协议)

HTTP tcp 80 — 超文本传输协议 — 提供浏览网页服务的

HTTPS TCP 443 — HTTP + SSL（TLS）（安全传输协议）

FTP TCP 20/21 — 文件传输协议 — 提供互联网文件资源共享服务

TFTP UDP 69 —- 简单文件传输协议

Telnet TCP 23 —- 远程登录标准协议 — 提供远程管理服务

SSH TCP 22

Dns UDP/TCP 53 —- 域名解析协议

DHCP UDP 67/68 — 动态主机配置协议

TCP和UDP协议：

TCP和UDP的区别

1，TCP是面向连接的协议，而UDP是无连接的协议

面向连接：在数据传输之前，先使用预备的协议建立点到点的连接，然后再传输数据的过程

2，TCP协议传输是可靠的，而UDP协议传输是“尽力而为”

3，TCP可以进行流控，而UDP不行

4，TCP可以进行数据分段，而UDP不行

5，TCP耗费资源比较大，传输速度比较慢；UDP耗费资源比较小，传输速度快

TCP和UDP的应用场景：TCP适用于效率要求较低，但是对准确性要求较高的场景；UDP适用于对效率要求较高，但是对准确性要求较低的场景（即时类通讯软件）

TCP

TCP — 可变长头部

URG—紧急位(激活紧急指针) ACK—确认位(激活确认信号) PSH RST—断开位 SYN—请求位 FIN—结束位

校验和 — 确保数据的完整性 — 伪头部校验 — 将网络层封装的12个字节的内容一起进行校验：32位源IP地址，32目标IP地址，8位协议号，8位保留，16位的报文长度

TCP建立连接的过程 — 三次握手

TCP断开连接的过程 — 四次挥手

TCP的传输是可靠的 —- 确认，重传，排序，流控 — 滑动窗口机制

UDP

UDP校验和可有可无

IP协议

IPV4 — 也是可变长头部

TTL —- 生存时间 —- 数据包每经过一个路由器，TTL值将减一。当TTL值减到0时，数据包将不会被路由器转发，将直接丢弃。

协议号(上层使用的协议)：

ICMP — 1

TCP — 6

UDP — 17

IP分片

MTU(限制IP分片) — 最大传输单元 — 1500字节

MSS(限制TCP分段) — 最大段长度 — 1460 — 需要协商，当两方不同时，将按照小的一方执行（在三次握手中的前两次SYN包中进行协商）

为什么要分:因为MTU最大传输单元为1500字节

Day4

接口的区别

GE—- 1000Mbps=1Gbps

Ethernet—- 100Mbps

配置

先配路由器的IP地址，再配pc的

华为根据配置权限的不同，将CLI界面分成了不同的视图

用户视图

—- 用户视图 —- 仅具有查看配置的操作权限，不能进行配置操作 — < >

display ip interface brief —- 查看端口IP地址配置情况

Physical — 如果UP — 代表该接口具备物理层面的通信条件

Protocol —- 如果UP —- 代表该接口具备协议层面的通信条件

只有一个接口双UP，才代表该接口可以完成通信。

系统视图

system-view —- 进入到系统视图

[Huawei] — 系统视图 —- 可以进行一些全局类的配置 — [ ]

[Huawei]sysname aa —- 修改路由器名称

[aa]

[aa]quit — 退回到上一个视图

​ q —- 华为支持简写模式

Ctrl + Z —- 直接回到用户视图

接口试图

[aa]interface GigabitEthernet 0/0/0 —- 进入接口视图，没有提高权限，只是更精准了—- [ - ]

[aa-GigabitEthernet0/0/0]ip address 192.168.1.1 255.255.255.0 — 给接口配置IP地址的命令

[aa-GigabitEthernet0/0/1]ip address 192.168.2.1 24—简写

[aa-GigabitEthernet0/0/1]undo ip address 192.168.2.1 24 — 删除命令 — 在命令前面加undo即可

[aa-GigabitEthernet0/0/0]display this — 展示当前视图所作的所有配置

[aa]display current-configuration — 查看当前的配置操作 — 查看缓存中的配置 — 缓存的特点是断电丢失

闪存 — FLASH

display saved-configuration — 查看闪存中的配置内容

为什么跨网络传输的第一个包会丢失？—因为ARP缓存表的存在

帮助系统：

Tab —- 可以补全命令

？ — 可以查看后续命令或者是后续可以跟的参数

访问网络中的服务器

1，通过IP地址访问

2，通过域名来访问

3，通过应用程序或APP来访问

DNS协议

DNS — 域名解析协议 — 基于UDP/TCP协议的53号端口传输数据

典型的C/S架构的协议 —- DNS客户端 — 通过域名上网的电脑

​ —- DNS服务器 — 完成域名解析的服务器 — 记录IP地址和域名的映射关系

DNS的工作原理：上网前先根据域名去找DNS服务器查对应的IP地址，之后再根据IP地址访问服务器。

www.baidu.com — 从右往左，一个点号分隔一个域名层次，层次逐渐降低，范围逐渐精准。

为配合这种层次化的域名结构，我们DNS服务器按照联机分布式数据库系统来部署

DNS服务器支持的查询方式 —- 递归查询

​ 迭代查询

电脑 –（递归查询 – UDP 53）– 本地DNS服务器 –（迭代查询 — TCP 53）– 根服务器

DHCP协议

DHCP — 动态主机配置协议 — 使用的是UDP的67和68端口进行通信

典型的C/S架构协议 —- DHCP客户端 — 需要获取IP地址的设备 — 68端口

​ —- D HCP服务器 — 提供IP地址的设备 — 67端口

第一种场景：PC首次获取IP地址

1，DHCP客户端 — DHCP服务器 ：DHCP - Discover —- 以广播的形式发送

2，DHCP服务器 — DHCP客户端：DHCP - offer —- 单播/广播

​ offer包中会携带一个有效的IP地址，并暂时为DHCP客户端保留

3，DHCP客户端 — DHCP服务器 ：DHCP - request包 — 广播（当DHCP客户端获得多个DHCP-OFFER包时，将会选择第一个获取到的offer包中的IP地址作为请求IP。）

4，DHCP服务器 — DHCP客户端：DHCP-ACK —- 单播/广播

第二种场景：PC再次获取IP地址

1，DHCP客户端 — DHCP服务器 ：DHCP - request包 — 广播

2，DHCP服务器 — DHCP客户端：DHCP - ACK/DHCP - NAK (同意/不同意)

​ DHCP-Release — DHCP客户端主动释放IP地址

租期 — 24H

T1 — 租期的50% — 12H — DHCP客户端 — DHCP服务器 ：DHCP - request包 —- 单播

T2 — 租期的87.5% — 21H — DHCP客户端 — DHCP服务器 ：DHCP - request包 —- 广播

DHCP服务器的配置

1，开启DHCP服务

​ [aa]dhcp enable

2，创建一个地址池

​ [aa]ip pool aa

​ Info: It’s successful to create an IP address pool.

​ [aa-ip-pool-aa]

3，配置地址池

​ [aa-ip-pool-aa]network 192.168.1.0 mask 24 —- 写入IP地址池中所有的网段

​ [aa-ip-pool-aa]gateway-list 192.168.1.1 — 配置网关

​ [aa-ip-pool-aa]dns-list 114.114.114.114 8.8.8.8 — 配置DNS服务器信息

4，去接口选择全局配置

​ [aa-GigabitEthernet0/0/0]dhcp select global

路由器

路由器的作用

1，隔离广播域

2，转发

路由表

路由器的转发：当一个数据包来到路由器，路由器将基于数据包中的目标IP地址查询本地路由表，若表中存在记录，则将无条件按记录转发；若没有记录，则将直接丢弃该数据包。

display ip routing-table — 查看路由表

Destination/Mask —- 目标网段和掩码 — 目的地

Proto — 协议的意思，可以理解为该路由的类型

Direct — 直连路由

​ 路由器接口直接通过网线连接形成的网段 — 直连网段 — 直连网段对应的路由 — 直连路由

NextHop — 下一跳 — （经过路由器的一次转发称为一跳）数据下一个需要经过的路由器的入接口的IP地址。

Interface — 出接口 — 数据包发出的接口

直连路由：自动生成

​ 条件：1，接口具备IP地址

​ 2，接口双UP

Day5

路由器和路由器之间的链路 — 骨干链路（总线链路） — 骨干链路一般不放用户

路由器获取未知网段路由条目的方法：

静态路由：由网络管理员手写的路由条目。

动态路由：所有路由器上运行相同的一种动态路由协议，之后通过路由器之间的沟通，协商最终计算生成的路由条目。

静态路由

[r1]ip route-static 192.168.3.0 24 192.168.2.2 — 静态路由添加命令

192.168.3.0/24 Static 60 0 RD 192.168.2.2 GigabitEthernet0/0/1

PRE — 优先级 — 当两条路由条目的目标网段相同时，仅加载优先级高的路由条目到路由表中。

​ 注意：优先级数值越小，优先级反而越高。优先级的取值范围 0 - 255

​ 华为设备：直连路由优先级默认为0，静态路由优先级默认为60。

RD —- 该路由条目需要递归查找出接口

[r1]ip route-static 192.168.3.0 24 GigabitEthernet 0/0/1 192.168.2.2 —- 加上出接口添加静态路由

配置拓扑的流程：

1.数广播域

2.分配网段

3.配IP，先给路由器配看，再给PC

4.写路由

路由环路会导致路由器崩溃

拓展配置

1，负载均衡：当路由器访问同一个目标具有多条开销相似的路径时，可以让设备将流量拆分后延多条路径同时传输，达到叠加带宽的效果。

192.168.6.0/24 Static 60 0 RD 192.168.2.2 GigabitEthernet0/0/1

​ Static 60 0 RD 192.168.3.2 GigabitEthernet0/0/2

2，环回接口：路由器配置的虚拟接口。一般用在虚拟实验，不受设备的限制(实的不行来虚的)

[r1]interface LoopBack 0 — 创建环回接口

[r1-LoopBack0]

[r1]ping -a 192.168.1.1 192.168.3.1 —- 指定源IP发送Ping包

3，手工汇总：当路由器可以访问多个连续的子网时，若均通过相同的下一跳，可以将这些网段进行汇总计算，之后仅编辑到达汇总网段的静态路由即可，以达成减少路由条目，提高转发效率的目的。

4，路由黑洞：在汇总中，若包含网络内实际不存在的网段时，可能使流量又去无回，造成链路资源的浪费。

​ 合理的子网划分和汇总可以减少黑洞的产生。

5，缺省路由：一条不限定目标的路由条目；查表时，若本地所有路由均未匹配，则将匹配缺省路由。

​ 一旦路由黑洞和缺省路由相遇，将100%出环

6，空接口路由：在黑洞路由器上，配置一条到达汇总网段指向空接口的路由。

​ 1，空接口：null0口，路由器的一个虚拟接口，如果一条路由的出接口为空接口则代表将该流量丢弃。

​ 2，路由表的匹配原则：最长匹配原则（精准匹配原则）

​ [r1]ip route-static 192.168.0.0 22 NULL 0

7，浮动静态路由：通过修改静态路由的默认优先级，实现静态路由的备份效果

​ [r1]ip route-static 192.168.2.0 24 21.0.0.2 preference 61

​ [r1]display ip routing-table protocol static

Day6

静态路由:由网络管理员手写的路由条目。

动态路由:所有路由器上运行相同的一种动态路由协议，之后通过路由器之间的沟通，协商最终计算生成的路由条目。

静态路由

​ 优点:

​ 1，选录由由管理员选择，相对更容易掌控

​ 2，不需要占用额外的资源

​ 3，更加安全

​ 缺点：

​ 1，在复杂的网络环境中，配置量较大

​ 2，一旦网络结构发生变化，静态路由不能基于拓扑的变化而变化（收敛—不能基于拓扑的变化而自动收敛）

动态路由

​ 优点:

​ 1，可以基于拓扑的变化而自动收敛

​ 2，部署简单，仅需在所有路由器上运行相同的路由协议即可

​ 缺点：

​ 1，路径由单一算法得出，不一定是最优路径，甚至可能出现环路

​ 2，会额外占用路由器硬件资源和链路带宽资源

​ 3，因为设备之间存在信息传递，所以，比较容易被利用产生安全问题

总结：

​ 1，静态路由适合小型简单的网络环境

​ 2，动态路由设用于复杂的网络环境中

AS

AS—自治系统—将网路分块管理—由单一的机构或组织所管理的一系列IP网络及其设备所构成的集合

AS的管理—-AS存在编号—由16位二进制构成(0-65535)—现在也有拓展版的AS编号—32位二进制构成

AS的通信:

​ AS内部通信所使用的协议—IGP(内部网关协议) —RIP,OSPF,is-is，eigrp等

​ AS之间的通信协议—EGP(外部网关协议)—BGP

IGP根据算法进行分类

​ 距离矢量型协议(DV) — 路由器之间直接发送路由条目信息。 —使用的算法：贝尔曼-福特算法(Bellman-Ford算法) — “依据传闻的理由协议” — RIP

​ 链路状态型协议(LS) —链路状态信息(LSA — 链路状态通告) —使用的算法：SPF算法 —将图形结构转换为树形结构 — OSPF，IS-IS

RIP —路由信息协议

邻居 —相邻的两个路由器，可以直接通过网段进行通信

Destination/Mask，度量值(Metric)在华为体系中叫 开销值(Cost) —动态路由重要的选路依据

开销值：当动态路由计算出多条到达相同网段的路径时，将比较他们的开销值，会选择开销值最小的加入到路由表中。

不同协议之间，比较优先级；相同 协议之间，比较开销值。

不同路由协议之间，他们的开销值的度量标准是不一样的，不同协议的开销值没有可比性。

RIP是以跳数作为开销度量的

RIP支持等开销负载均衡

RIP的默认优先级 — 100 (华为中定义的)

RIP存在一个工作半径 — 15跳。当RIP收到一个目标网段路由的开销值为16跳的时候，则认为该网段不可达。

RIP在传递路由条目的数据包中所携带的cost = 本地路由表中该网段的开销值 + 1.

Bellman-Ford算法

1.AR1收到AR2发送的2.2.2.0/24网段的路由信息，但是，AR1本地路由表中没有这条网段的路由信息；则直接将该路由刷新到AR1的路由表中。

Destination/Mask Proto Pre Cost Flags NextHop Interface

2.2.2.0/24 RIP 100 1 D 12.0.0.2 G 0/0/0

2.AR1收到AR2发送的2.2.2.0/24 网段的路由信息，但是，AR1本地路由表中有这条网段的路由信息；则看下一跳，本地路由表中的下一跳就是AR2，这种情况下将直接将R2发送的路由信息刷新到路由表中。

3.AR1收到AR2发送的2.2.2.0/24网段的路由信息，但是，AR1本地路由表中有这条网段的路由信息；则看下一跳，本地路由表中的下一跳不是AR2，则比较开销值。若本地的开销值大于AR2发来的路由的开销值；则将AR2发的路由信息刷新到路由表中。

4.AR1收到AR2发送的2.2.2.0/24网段的路由信息，但是，AR1本地路由表中有这条网段的路由信息；则看下一跳，本地路由表中的下一跳不是AR2，则比较开销值。若本地的开销值小于AR2发来的路由的开销值；则不刷新AR2发送的路由信息。

RIP的版本

​ 一共存在3个版本—RIPV1,RIPV2,RIPNG

​ RIPV1,RIPV2 — IPV4

​ RIPNG — IPV6

RIPV1和RIPV2的区别

1. v1是有类别的路由协议，v2是无类别的路由协议

​ v1在发送目标网段信息时，不携带子网掩码；

​ v2在发送目标网段信息时，携带子网掩码。

2. v1不支持手工认证，v2支持手工认证 — 通过相同的口令完成身份认证

3. v1采用广播的形式发送信息；v2是通过组播的形式发送信息；—224.0.0.9

   RIP传输层使用的是UDP协议，通信端口为520端口。

RIP的数据包

​ request — 请求包

​ response — 响应包（包含路由信息）— 更新包

​ RIP在收敛完成之后，依然会每隔30s发送一个response —RIP的周期更新

​ 1.弥补RIP自身没有确认机制

​ 2.弥补RIP自身没有保活机制

RIP的周期更新 –异步周期更新




##### RIP的计时器


1，周期更新计时器 – 30S


2，无效计时器—180S—路由条目刷新后将启动一个180S的无效计时器，若计时器结束路由未刷新，则认为路由不可达。则将该路由从全局路由表中删除掉，并将该路由条目的开销值改为16。并且将其存放在缓存当中，之后周期更新的时候依然会携带。 —-带毒传输


3，垃圾回收计时器 —120S—无效计时器归0后，开始计时，120S时间到则将彻底删除该路由。更新时也不再发送。


RIP的破环机制

1，触发更新 —当网络拓扑结构发生变化时，第一时间将变化信息传递出去

2，水平分割—从哪个接口学来的不再从哪个接口发出去
3，毒性逆转 —从哪个接口学来的还从哪个接口发出去，但是要带毒。

​ 因为毒性逆转和水平分割做法矛盾，所以只能二选其一。华为设备默认开启水平分割，但如果水平分割和毒性逆转同时开启，华为设备将按照毒性逆转的规则来执行。

RIP的配置

1，启动RIP进程
[r1]rip1 —- 仅具有本地意义，区分多个RIP进程使用（如果不带进程号，默认进入进程1）

[r1-rip-1]

2，选择RIP的版本

[r1-rip-1]version 1

3，宣告
宣告的要求∶1，所有直连网段都需要宣告
2，必须按照主类宣告
[r1-rip-1]network 1.0.0.0

宣告的目的
1，激活接口— 只有激活的接口才可以收发RIP的数据包
2，发布路由—只有激活的接口所对应的网段的路由信息才能发布出去

[r1]display rip 1 route —查看RIP的路由表

RIP的拓展配置

1，RIPV2的手工认证
[r1-GigabitEthernet0/0/0]rip authentication-mode md5 usual plain 123456 (前两个要一样，最后一个都可以)

2，RIPV2的手工汇总
[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0255.255.254.0

3，沉默接口
[r1-rip-1]silent-interface GigabitEthernet 0/O/1

4，加快收敛—修改计时器
[r1-rip-1]timers rip 30 180120 —-修改计时器时不能修改他们的倍数关系

5，缺省路由
[r3-rip-1]default-route originate

ACL

ACL—访问控制列表—策略
配置了ACL的网络设备根据事先设定好的报文匹配规则，对经过该设备的流量按照规则进行匹配.对匹配.上的流量执行设定好的动作。

ACL的功能

1，访问控制∶在路由器流量流入或者流出的接口上，匹配流量，然后执行设定好的动作。- permit （允许）;deny（拒绝）
2，抓取感兴趣流∶ACL和其他服务结合使用，ACL负责匹配对应的流量，而其他的服务对匹配到的流量执行相应的动作。（流量控制 —- ACL和Qos–服务质量技术）

ACL控制列表的匹配规则
自上而下逐一匹配，匹配上，则按照对应的动作执行，不再向下匹配。
思科体系的设备，在ACL访问列表的末尾隐含了一条拒绝所有的规则

华为体系的设备，在ACL访问列表的末尾隐含了一条允许所有的规则

ACL的分类
基本ACL∶仅关注数据包中的源IP。（只看你是谁）
高级ACL∶除了关注数据包中的源IP以外，还会关注数据包中的目标IP，及协议和端口号。（不光看你是谁，还要看你去哪，去干嘛）

二层ACL

用户自定义ACL

例：

需求一∶PC1可以可以访问3.0网段，但是PC2不行
基础ACL的位置原则∶由于基础ACL仅关注数据包中的源IP地址，故调用时应尽量靠近目标，避免对其他地址访问误伤

1，创建 ACL列表

[r2]acl ?
INTEGER<2000-2999> Basic access-list（add to current using rules） -— 基础ACL编号范围
INTEGER<3000-3999> Advanced access-list(add to current using rules)—高级ACL编号范围

INTEGER<4000-4999> Speci fy a L2 acl group —- 二层ACL编号范围
ipv6 ACL IPv6

name Speci fy a named ACL
number Speci fy a numbered ACL
[r2]acl 2000

2，在ACL列表中添加规则
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0—通配符– 0对应位不可变，1对应位可变。0和1可以穿插使用
[r2-acl-basic-2000]rule permit source any – 允许所有

[r2]display acl 2000 – 查看ACL列表
[r2-acl-basic-2000]rule 6 deny source 192.168.1.2 0.0.0.0 —– 通过序号来添加规则
[r2-acl-basic-2000]undo rule 6 — 按照序号删除规则
华为默认以5为步调自动添加规则序号，其目的时为了方便在中间插入规则。

3，接口上调用ACL列表
[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
切记∶一个接口的一个方向上只能调用一张ACL列表。

需求二∶要求PC1可以ping通PC3，但是不能ping通PC4。
高级ACL的位置原则;由于高级ACL对流量进行精确匹配，可以避免误伤，所以，调用时应尽量靠近源，减少链路资源的浪费。
[r1]aclname xuqiu2 3000 —- 通过重命名的方式创建ACL列表

[r1-acl-adv-xuqiu2]
[r1-acl-adv-xuqiu2]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiu2 –通过重命名的方式调用ACL列表

需求三∶要求PC1可以ping通R2，但是不能telnet R2

telnet – 远程登录协议

带内管理 — 通过网络对设备进行管理控制
通过telnet/SSH管理设备

​ 通过web进行设备管理

​ 通过SNMP协议进行设备管理
带外管理 — 不需要通过网络对设备进行管理控制
​ 通过console口进行管理

​ 通过AUX接口进行管理

telnet实现远程登录的两个必要条件
1，登陆设备和被登录设备网络可达

​ 2，被登录设备必须开启telnet服务

telnet -— 典型C/S架构的协议。登录设备扮演telnet客户端的角色，被登录设备扮演telnet服务器的角色。 — TCP 23

路由器开启telnet服务的方法

1，进入aaa服务

[r2]asa—- 专门存储和管理账号的地方

[r2-aaa]
2，创建登录用的用 户名和密码
[r2-aaa]local-user admin privilege level 15 password cipher 123456

[r2-aa]
3，定义该用户所对应的服务
[r2-aaa]local-user admin service-type telnet

4，开启虚拟的登录端口
[2]user-interface vty 0 4 -—– 同时开启5个虚拟的登录端口

[r2-ui-vty0-4]

5，定义登录认证模式
[r2-ui-vtyO-4]authentication-mode aaa

[r1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

[r1-GigabitEthernetO/0/0]traffic-filter inbound acl 3000

Day7

OSPF

1，选路的好坏

2，收敛速度

3，占用资源大小

选路佳，收敛快，占用资源小
0SPF —- 开放式最短路径优先协议 —– 典型的链路状态型协议
RIP — RIPV1, RIPV2 – IPV4

​ RIPNG — IPV6
ospf —- OSPFV1（在实验室阶段夭折了），0SPFV2 — IPV4
​ OSPFV3 – IPV6

RIPV2和0SPFV2的相同点和不同点

相同点∶

1，0SPFV2和RIPV2都是无类别的路由协议，都支持VLSM和CIDR
传递路由信息时携带子网掩码
2，OSPFV2和RIPV2都是以组播的形式发送。
RIPV2 —224.0.0.9
ospfv2 -—- 224.0.0.5和224.0.0.6
3，ospfv2和RIPV2一样都支持等开销负载均衡

不同点∶
RIP只能应用在小型的网络环境当中，但是OSPF可以应用在中大型网络环境当中。

区域划分

0SPF为了适应中大型的网络环境，需要进行结构化部署。– 区域划分
如果一个网络中只包含一个0OSPF区域，则我们将这样的网络称为单区域0SPF网络。
如果一个网络中只包含多个0SPF区域，则我们将这样的网络称为多区域0SPF网络。

划分区域的主要目的∶区域内部传递拓扑信息，区域之间传递路由信息

区域边界路由器（ABR）;同时属于两个区域，一个接口属于一个区域，而且至少有一个接口在区域0。
区域之间可以存在多个ABR，一个ABR可以属于多个区域

区域划分的要求∶

1，区域之间必须存在ABR

2，区域划分必须按照星型拓扑结构划分 — 所有区域都需要围绕骨干区域进行划分
为了方便管理，我们给0SPF的区域增加了编号标识 — 区域ID（area ID） —– 由32位二进制构成 — 我们规定，骨干区域的编号必须是区域0。

工作过程

1，OSPF的数据包类型

0SPF一共有5种数据包
1，hello包 —- 用来周期发现，建立和保活邻居关系的。
0SPF的hello包默认是以10S为周期发送一个
OSPF的失效判定时间为4倍的hello时间 —– 死亡时间（dead tme)

RID – 用来区分和标识0SPF网络中的路由器
1，全网唯一（0SPF网络）;2，格式统一（统一按照IP地址的格式来定义）

RID的获取方法∶
1，手动配置 —符合上述两个要求即可
2，自动生成 — 先从环回地址中取最大的IP作为RID，若没有环回地址，则取物理接口中最大的IP作为RID。

hello包中会携带RID。

2，DBD包 — 数据库描述报文 -— lsdb（链路状态数据库） -—–菜单
3，LSR包 -— 链路状态请求报文 -— 基于DBD包请求未知的LSA信息
4，LSU包 — 链路状态更新报文 — 真正携带LSA信息的报文
5，LSACK包 —– 链路状态确认报文

0SPF存在每30Min一次的周期更新。

2，OSPF的状态机

two - way -—- 双向通讯 –—— 标志着邻居关系的建立（条件匹配）–— 条件匹配成功，则进入下一个状态，如果匹配失败则停留在邻居关系，使用hello包进行保活

EXSTART状态 — 使用未携带数据的DBD包（为了和之前的邻居关系进行区分），进行主从关系选举 -— 通过比较RID，RID大的为主，可以优先进入下一个状态


full — 转发状态 — 标志着邻接关系的建立。
邻接状态 — 主要目的是为了和前面邻居状态进行区分。邻接关系之间才能真正的进行LSA信息的交换。而邻居之间仅使用hello包进行保活。

总结

1.down状态 –— 启动0SPF，发出hello包，进入下一个状态

2.init(初始化)状态 -—– 收到hello包中包含本地的RID，进入下一个状态
3.two-way(双向通讯)状态 — 标志着邻居关系的建立

(条件匹配)条件匹配成功，则进入下一个状态; 失败则停留在邻居状态，仅hello包保活。
4.exstart(预启动)状态 -— 使用未携带数据的DBD包(为了和之前的邻居关系进行区分)，进行主从关系选举 — 通过比较RID.RID大的为主，可以优先进入下一个状态
5.exchange(准交换)状态 —– 使用携带目录信息的DBD包进行目录共享

6.Loading(加载)状态 —– 查看对端发送的DBD包与本端LSDB数据库中的LSA信息进行对比，基于未知的LSA信息，使用LSR包请求，邻居使用LSU包进行回复.需要ACK确认。
7.FULL(转发)状态 —– 交换完成后进入，标志着邻接关系的建立。

3，0SPF的工作过程

​ 启动配置完成后，OSPF将向本地所有运行协议的接口以组播224.0.0.5发送hello包;hello包，中携带本地的RID及本地己知的邻居的RID。之后，将收集到的邻居关系记录在一张表中 —- 邻居表

​ 邻居表建立完成后进行条件匹配。匹配失败则停留在邻居关系，仅使用hello包进行保活。
​ 匹配成功，则开始建立邻接关系。首先，使用未携带数据的DBD包，进行主从关系的选举。之后使用携带数据的DBD包共享数据库目录。之后。本地使用LSR/LSU/LSACK数据包，获取未知的LSA信息。完成本地数据库的建立。生成数据库表—- LSDB
​ 最后， 基于本地的链路状态数据库， 生成有向图及最短路径树，之后计算本地到达未知网段的路由信息，将生成的路由添加到路由表中。

​ 收敛完成，hello包依然会10S一次进行周期发送，周期保活。每30Min进行一次周期更新。

网络结构发生突变∶
1，新增一个网段∶触发更新，直接发送携带LSA信息的LSU包进行更新，需要ACK确认
2，断开一个网段∶触发更新，直接发送携带LSA信息的LSU包，进行更新，需要ACK确认
3，无法沟通 — 40S 死亡时间

4，0SPF的基本配置

1，启动0SPF进程
[r1]ospf 1 router-id 1.1.1.1

r1-ospf-1]

2，创建区域

[r1-ospf-1]area 0

[r1-ospf-1-area-0.0.0.0]

3，宣告
宣告的目的∶激活接口，发布路由
[r1-ospf-1-area-0.0.0.0]network 12.0.0.1 0.0.0.0-—反掩码(0代表不可变，1代表可变)(由连续的0和1组成)

[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.255

[r1]display ospf peer—– 查看OSPF的邻居表
[r1]display ospf peer brief —- 查看0SPF的邻居表简表

[r1]display ospf lsdb -— 查看OSPF的链路状态数据库[r1]display ospf lsdb router 2.2.2.2 -— 查看具体LSA信息

华为设备0SPF协议的默认优先级为10

0SPF是以带宽作为COST值的评判标准
COST = 参考带宽/真实带宽 —- 华为设备参考带宽的默认值为100Mbps

[r1-ospf-1]bandwidth-reference 1000 — 修改参考带宽的方法
注意∶一台路由器的参考带宽修改了，则所有路由器的参考带宽都需要修改成一样的。

条件匹配

指定路由器 —DR

备份指定路由器 — BDR

剩余的路由 —– DRother

DR和BDR虽然叫指定路由器或备份指定路由器，但其实是一个接口的概念。

条件匹配∶在一个广播域中，如果所有设备都保持邻接关系，可能会出现大量的重复更新;所以需要进行DR/BDR的选举;所有非DR和BDR的设备之间仅保持邻居关系。

DR/BDR的选举规则∶
1，先比较优先级，优先级大的为DR，次大的为BDR。优先级初始默认都为1。
[r1-GigabitEthernet0/0/0]ospf dr-priority ?
NTEGER<0-255> Router priority value

​ 优先级的取值范围是0-255
​ 如果优先级设置为0.则代表该接口放弃DR和BDR的选举。
2，当优先级相同时，则比较RID。RID大的路由器所对应的接口为DR，次大的为BDR。
​ DR/BDR的选举是非抢占模式的 – 即一旦DR和BDR选举完毕后，不会因为新加入的设备而重新选举。选举时间为40S。
​ reset ospf 1 process —- 重启0SPF进程

5，0SPF的拓展配置

1，手工认证
[r1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456

​ 1 —– 代表的是key ID，需要确保两端的keyID相同即可
2，手工汇总—0SPF区域之间传递路由信息，可以进行汇总，所以，0SPF的手工汇总实际上是区域汇总。
​ [r2-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0

​ 255.255.254.0

3，沉默接口
[r1-ospf-1]silent-interface GigabitEthernet 0/0/1

4，加快收敛 — 减少计时器
[r1-GigabitEthernet0/0/0]ospf timer hello 5
注意∶邻居之间的hello时间必须一致，否则将无法建立邻居关系
hello时间修改之后，死亡时间将自动按照四倍关系进行匹配

5，缺省路由
[r3-ospf-1]default-route-advertise — 在边界路由器上下发缺省信息（OSPF要求边界路由器自身必须先有缺省才能下发缺省）
[r3-ospf-1]default-route-advertise always — 在边界路由器上没有缺省路由时，可以添加always来强制下发缺省信息

Day8

VLAN

V– 虚拟
LAN —– 局域网 – 地理覆盖范围较小的网络

MAN — 城域网

WAN – 广域网

VLAN中的LAN指的是广播域

VLAN -— 虚拟局域网 —— 交换机和路由器协同工作后，将原来的一个广播域，逻辑上切分为多个虚拟的广播域。

第一步∶创建VLAN

display vlan

IEEE — 802.10标准 = dot1q
VID-— VLAN ID —— 用来区分和标定不同的VLAN。VID由12位二进制构成，取值范围0- 4095。0和4095作为保留，1-4094。

[Huaweij]vlan 2 -— 创建VLAN

[Huawe i-v lan2]
[Huawei]vlan batch 4 to 100 – 批量创建VLAN

[Huawei]undo vlan batch 4 to 100 —- 批量删除VLAN

第二步∶将接口划分到VLAN中
VID配置映射到交换机的接口，实现VLAN的划分 ——— 一层VLAN/物理VLAN

VID配置映射MAC地址，来实现VLAN的划分 —— 二层VLAN
数据帧中类型字段标识是上层协议类型，和VID进行映射，来区分VLAN范围 —– 三层VLAN

​ 交换机的转发原理∶数据通过接口来到交换机，交换机先记录源MAC地址和接口的映射关系，顺便，将接口对应的VID进行记录。之后，看目标MAC地址，若目标MAC地址在MAC地址表中有记录且VID和源MAC对应的VID相同，则进行单播;否则，进行泛洪 ，泛洪范围为VID与源MAC对应的VID相同的接口。
​ 因为以太网Ⅱ型针没有添加标签的位置，所以，802.1Q规定，在源MAC地址和type字段之间增加4个字节的tag（标签）（一定包含12位的VID）。这样新的帧结构我们称为802.10Q帧或者叫tagged帧。将没有打标签的帧称为untagged帧。
​ 我们把交换机和计算机之间的链路称为ACCESS链路，ACCESS链路只能通过untagged 的帧，并且，这些帧只能属于某一个特定的VLAN。我们把交换机和交换机之间链路称为trunk链路（trunk干道），trunk干道中运行通过tagged帧，且这些帧可以属于多个VLAN。

第二步配置
[sw1-GigabitEthernet0/0/1]port link-type access

[sw1-GigabitEthernet0/0/1]port default vlan 2
[sw1]port-group group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/4
[sw1-port-gr oup] - 创建接口组

第三步∶配置TRUNK千道（SW - SW，SW - R）

第三步配置
[sw1-GigabitEthernet0/0/5]port link-type trunk —— 定义链路类型

[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3-— 放通对应VLAN流量
[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan all —— 放通所有流量

第四步∶VLAN间路由 —单臂路由
路由器的子接口 —— 路由器的虚拟接口 -— 将路由器的一个物理接口逻辑上划分为多个虚拟的子接口
[Huawei]int g 0/0/0.1
[Huawei-GigabitEthernet0/0/0.1]—- 创建子接口

配置子接口：
[Huawei-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24

[Huawei-GigabitEthernet0/0/0.1]—- 给子接口配置IP地址
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 2 —- 定义子接口管理的VID
[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable— 开启ARP广播

NAT

在IP地址空间中，A，B，C三类地址中各有一部分地址，他们被称为私有地址（私网IP地址），其余的所有地址都称为公有地址（公网IP地址）
A∶10.0.0.0-10.255.255.255 — 相当于一个A类的网段

B∶172.16.0.0- 172.31.255.255 —— 相当于16条B类网段

C∶192.168.0.0-192.168.255.255 —-相当于256条C类的网段

私网IP地址 –— 可复用性（仅保持私网内部的唯一性即可） —— 不能再互联网中使用
我们将使用私网IP地址搭建的网络称为私网，将使用公网IP地址进行通信的网络称为公网。
NAT技术 -— 网络地址转换技术 ——— 他的基本作用就是实现私网IP地址和公网IP地址之间的一个转换。

华为设备，所有NAT相关的配置，都是在边界路由器的出接口上进行配置的。

静态NAT

动态NAT

NAPT

端口映射

静态NAT —一对一的NAT
静态NAT就是通过配置，在私网边界路由器上建立维护一张静态地址映射表。静态地址映射表中记录的是公网IP地址和私网IP地址之间一一对应的关系。
[r2-GigabitEthernet0/0/2]nat staticglobal 12.0.0.3 inside 192.168.1.2

1，必须和公网IP在同一个网段

2，这个IP地址一定是你花钱问ISP买来的

​ 12.0.0.3这个地址称为漂浮地址

[r2]di splay nat static —- 查看静态地址映射表

动态NAT– 多对多的NAT

1，创建公网IP地址组
[r2]nat address-group 1 12.0.0.4 12.0.0.8

一定买的是连续的公网IP地址

2，通过ACL来抓取私网IP流量

[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.00.0.255.255

3，将公网IP组和ACL抓取的流量绑定
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group1 no-pat

动态MAT在同一时间内，依然是一对一的NAT。当上网需求量过大时，延迟会较高。

NAPT –— 网络地址端口转换 —– PAT

一对多的NAPT — EASY IP

1，抓取私网流量
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

2.配置EASY IP
[r2-Gi gabitEthernet0/0/2]nat outbound 2000

多对多的NAPT

1，创建公网IP地址组
[r2]nat address-group 1 12.0.0.4 12.0.0.8
一定买的是连续的公网IP地址

2，通过ACL来抓取私网IP流量

[r2]ac I 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

3，将公网IP组和ACL抓取的流量绑定
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1

端口映射
[r2-GigabitEthernet0/0/2]nat server protocol tcp global 12.0.0.1 80 inside 192. 168.1.10 80

[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192. 168.1.10 80
Warning:The port 80 is well-known port.If you continue it may cause function fai lure.
Are you sure to cont inue?[Y/N]:y