HCIA/HCIP基础知识笔记汇总

HCIA/HCIP基础知识笔记汇总
ICT产业链：
    上游：芯片制造、元器件生产、光纤光缆制造
    中游：硬件组装、软件开发、网络建设维护
    下游：电信服务、互联网服务、终端产品

VLAN端口类型：
    access ： 连接主机
    trunk :      交换机之间的连接
    hybrid :      混合端口
    tunnel ： 隧道

链路聚合：
    多个物理电路捆绑成一个逻辑电路
    LACP模式，端口优先级控制活跃链路协商确定优先级，值越小优先级越高    
    手工模式，手动配置，所有活动链路都参与数据抓发，负载分担

二层交换机：
    没有路由表，只有MAC地址表
    无路由功能，不遵循路由算法
    三个动作：泛洪，转发，丢弃 ； 执行完动作后需要学习
    仿真时：一个二层交换机，连接两个PC机，给两个PC机配置相关地址参数之后，就能实现互通
三层交换机：
    每一个VLAN都可以配置IP地址
    基于目标IP地址转发，遵循路由算法
    使用vlanif 来配置vlan的网关IP地址，可以使用OSPF等路由协议
    转发性能高于同价位的路由器

VRRP：虚拟路由冗余协议
    作用：使主网关出现故障时，可以顺利地切换到备网关
    控制主备网关：给设备的VRRP添加优先级，数值越大优先级越高
    VRRP是在Vlanif 的视图下进行配置
    网关地址：vrrp vrid xx virtual-ip xx.xx.xx.xx
    优先级：    vrrp vrid xx priority xxx（默认优先级数值是100）

---------------------------------------------------------------------------------------------------
STP生成树协议：
    作用：防止二层网络中出现环路，避免广播风暴、MAC地址漂移、占用网络资源
    本质：阻塞链路上的端口，切断环路
    
    设备角色分类：根桥、非根桥
    根    桥：    负责统一确定阻塞的具体链路端口
              优先级选举根桥，比较的是桥ID，数值越小，优先级越高，修改值必须为4096的倍数
               优先级相同，比较MAC地址选举根桥。值越小优先级越高
    非根桥：  负责执行指令

    端口角色分类：根端口、指定端口、预备端口
    根 端口：    负责接收来自根桥方向的STP报文，每一个非根桥上有且只有一个
            在一台设备上进行选举：
                 1，先比较根路径开销，开销最小的端口就是根端口
                 2，开销相同，比较上行交换机的桥ID，值越小越优先
                3，上行设备的桥ID相同，就比较上行接口的PID，值越小越优先
                4，上行接口的PID相同，就比较本设备上参与选举端口的PID，值越小越优先
    指定端口：转发来自根桥方向的STP报文，每条物理链路上有且仅有一个
              在一条链路上，根端口的对端是指定端口，如果链路上没有根端口，两个端口参与指定端口的选举
                1，比较两个的本地交换机到根桥的开销，值越小越优先
                2，开销相同，比较链路两端交换机的桥ID，值越小越优先
                3，桥ID相同，就比较两个端口的PID，值越小越优先

    STP协议端口状态：
        disable    ：端口未打开
        blocking ：只接收处理STP报文，不转发STP报文，也不处理业务流量
        listening ：接收处理STP报文，不处理业务流量，开始协商STP
        learning ： STP协商完成，开始学MAC地址，不处理业务流量
        forwarding： 接收并处理业务流量（转发）
    
    STP维护时间：
        如果根桥发生故障，维护时间为50秒
        与根桥直连链路发生故障，维护时间为30秒
        非直连链路有发生故障，对应的AP端口可能需要转变为DP端口，维护时间为50秒

    STP协议的不足：
        1， 收敛速度慢
        2， 接口状态和接口角色区分和其他类型的情况不够细致
        3， 对拓扑的稳定性要求比较好，通信不够稳定

RSTP协议：
    作用：在STP的基础上进行了优化，收敛速度快，更加稳定
    RSTP的优化内容：
        1， P/A协商机制，快速收敛机制，收敛速度快
        2， 增加了端口角色：根端口，指定端口，预备端口，备份端口
        3， 增加了保护机制，更加稳定

    根保护：保证根桥不被抢占，应用在指定端口下； 如果指定端口收到更优的RSTP报文，会将端口设置为阻塞状态，不处理该报文
    环路保护：保证不会出现临时环路，应用在根端口； 根端口如果长时间没有收到根桥发送的报文，会设置为拥塞端口，避免临时环路
    边缘端口保护：应用在边缘端口的设备上，控制参与STP选举的边缘端口的数量，避免占用大量设备资源，保护网络的稳定性

    预备端口：也就是Alternate端口，是指学习到其他网桥发来的更优的BPDU报文而阻塞的端口
    备份端口：也就是Backup端口，   是指学习到自己发送的BPDU报文而阻塞的端口

MSTP协议：多生成树实例
    作用：应用于多个Vlan ， 实现多条路线转发对应的多个vlan ； 实现负载分担，提供线路的利用率
    原理：将一个或多个vlan划分到不同的实例，基于实例计算并维护生成树
    实例：默认情况下存在实例0 ，一个设备可以有0-48个实例，当实例很多时，管理起来比较复杂，需要域的概念来进行管理
    
    MSTP域：
        在同一个MSTP域中
        域名相同
        修订级别相同
        相同的vlan映射表（也就是每个设备都要进行MSTP配置和实例绑定）
        对于域配置，一旦信息修改，都需要重新激活域

    代码配置：要在所有的交换机上进行配置
        stp mode mstp
        stp regino- configuration 
        region-name xxxx
        revision-level 1
        instance xx vlan xx
        active region-configuration

---------------------------------------------------------------------------------------------------
DHCP：动态主机配置
    作    用：自动设置IP地址，统一管理IP地址的分配
    工作过程：
        DHCP Discover：客户端发送广播寻找网络中的DHCP服务器，数据中包含客户端的MAC地址和请求IP地址的信息
        DHCP Offer : DHCP服务器收到请求后，单播发送给客户端，消息中包含可以的IP地址等参数信息
        DHCP Request ： 客户端从收到的offer中选择一个，并向所有的DHCP广播发送信息，请求确认自己的选择，消息中包含服务器的IP地址和提供的配置参数（声明自己已经使用了该地址）
        DHCP Ack ： 被选择的DHCP服务器收到请求后，发送单播消息，确认客户端的租约

    优    点：
    ·    减少了管理员的工作量
        避免手动输入地址出现错误的可能
        避免IP地址冲突
        当更改IP地址网段时，适应性更强
        提高了IP地址的利用率

    代码配置：
        dhcp enable
        ip pool (vlan10)                                   #全局需要创建地址池
        gateway-list 10.10.10.254                       #指定地址池的服务网关地址
        network 10.10.10.0 mask 255.255.255.0          #指定地址池的服务网段
        ex-ip-add 10.10.10.240 10.10.10.253·             #指定地址池不参与DHCP分配的地址
        quit
        interface vlanif 10                             #创建vlanif 10 接口
        ip address 10.10.10.251 255.255.255.0            #配置接⼝通信地址
        dhcp select global                          #指定使用全局地址池
        (dhcp select interface)                         #指定使用接口地址池，接口地址自动作为网关
        注意：vlanif-id里面的地址或者接口的地址必须属于地址池中宣告的网段，DHCP才能生效，使地址池自动匹配到对应的vlan 网段

防火墙：
    安全区域：
        防火墙对网络资源的划分，防火墙上的所有通信接口都必须添加到安全区域，才能发送通信报文
        在同一安全区域内部发生的数据流动是不存在安全风险的，不需要实施任何安全策略
        Local : 本地区域，默认存在，信任值100
        Turst : 受信任程度高的区域，默认存在，信任值85
        DMZ：受信任程度中等的区域，默认存在，信任值50
        Untrust : 受信任程度低的区域，一般接外网网段，默认存在，信任值5

    安全策略：
        安全策略是由匹配条件（例如五元组、⽤⼾、时间段等）和动作组成的控制规则
        防火墙收到流量后，对流量的属性（五元组、⽤⼾、时间段等）进⾏识别，并将流量的属性与安全策略的匹配条件进⾏匹配
        如果所有条件都匹配，就会匹配安全策略，一旦匹配成功，就停止匹配
        匹配到安全策略之后，就会执行安全策略对应的动作
        如果手工创建的安全策略都未匹配，就按照缺省策略匹配，即禁止域间通信的流量
    代码配置：
        security-policy
         rule name [策略名]
         source-zone [区域名]
          source-address [源地址] [掩码] 
          destination-zone     [区域名]
          destination-address [源地址] [掩码]     #此条可以不写
          service [协议名]                     #需要放行的协议
          action permit                      #此条策略的执行动作，代表允许放行

    会话表：
        防火墙的报文控制机制是只对首包或者少量报文进行检测，从而确定一条连接的状态，提高了转发效率
        会话表就是为了记录连接的状态。设备在转发TCP、UDP和ICMP报文时都需要查询会话表，来判断报文的状态，执行对应措施

路由基础：
    当不同网段之间需要通信时，需要在源设备和目的设备之家你的所有三层设备上添加路由信息
    参与通信的设备都是三层设备，包括路由器和终端
    三层设备基于IP地址网段建立IP路由表，实现不同网段之间的通信
    
    静态路由：
        手动添加的路由，网络拓扑发生变化后，每一台三层设备上都需要修改
        包含目的网络，目的网络掩码、下一跳的IP地址、出接口、优先级
        备份静态路由：源到目的存在多条通信路径，且都在IP路由表中
        浮动静态路由：与备份静态路由有优先级的区别
    动态路由：
        内部网关路由协议IGP，包括距离矢量路由协议RIP，链路状态路由协议OSPF, IS-IS
        外部网关路由协议EGP,  包括高级距离矢量路由协议BGP
    直连路由：
        两个路由设备直连之后，就会交换各自的路由信息
    
    环    路：指设备收到自己发出的报文
        二层环路：在局域⽹中出现的环路，⽐如路径转发错误和⼴播⻛暴，⽤冗余路径解决
        三层环路：在路由环路中出现的环路，⼀般是路径转发错误，⽤路由算法和⼈⼯避免方式

---------------------------------------------------------------------------------------------------        
OSPF路由协议：
    报文类型：
        Hello 报文 ：发现并建立维护邻居关系
        DD 报文：发送的是数据库中链路信息的摘要信息
        LSR 报文：请求完整的链路信息
        LSU 报文 : 回复明细信息
        LSAck 报文 ： 针对LSU进行确认
    
    路由器之间的关系：
        邻居关系，发送Hello报文实现，不同步链路信息
        邻接关系，其他类型报文发现，同步链路信息
    路由器的类型：    
        DR， 指定路由器
        BDR ， 备份路由器
        Other , 其他类型
    作用：减少邻接关系建立的数量，节约网络资源，避免链路信息重复传递；除了其他类型的路由器之间只建立邻居关系之外，其他所有路由器之间都建立邻接关系

    OSPF区域：    
        作用：解决设备存放链路信息过多的问题
        原理：将不同的OSPF路由器通过区域的概念进行划分，使仅在同一个区域内的路由器相互存放链路信息，降低每一台路由器需要存放发送链路信息的数量
        注意：因为不同区域间没有存放相同的链路信息，在区域间通信时只能传递路由信息
        链路信息：区域内传递，用该信息基于OSPF算法计算路由
        路由信息：区域间传递，设备收到后之间存放于IP路由表中使用
    多区域部署：
        区域范围是0-2^32 ， 区域0是骨干区域，可以转发路由信息； 其他的是非骨干区域，不能转发路由信息
        所有非骨干区域之间想要通信，就要经过骨干区域
    
    OSPF认证：
        实现：在OSPF报文的报文头中添加认证字段
        接口认证：接口下配置。 本接口启动了认证，对应同一链路上的所有链路接口也都要启动认证
        区域认证：区域内配置。 本设备区域启动了认证，网络中所有相同区域都要启动认证
        认证模式：
            明文认证，发送报文携带的是明文的密钥，相对不安全
            密文认证，发送报文携带的是加密后的密钥，更加安全    
        保持方式：
            明文保存，登陆本地设备就能查看
            密文保存，将本地收到的密钥加密存放，所有人不可查看

        代码配置：
            ospf 1 router-id xx.xx.xx.xx
            area x.x.x.x
            authentication-mode md5 1 cipher XXX            #MD5加密模式，cipher密文保存        //如果是在接口下配置：ospf authentication...
            network xx.xx.xx.xx （反掩码）                    #通告网段
            
---------------------------------------------------------------------------------------------------
WALN网络基础：
    网络架构：
        FAT-AP独立部署：拥有自我管理能力的无线路由器，适用于大型的WLAN通信环境
        AC+FIT-AP部署 ：AP不能自我独立管理，必须配合AC实现集中纳管，适合中大型WLAN通信环境
        AC-接入控制器 ： 对FIT-AP进行纳管功能的设备； 独立AC是指专门实现AC功能的网络设备； 随板AC是一台带AC功能的交换机
    网络类型：
        管理网络：实现AC纳管AP， 需要保证AP、AC之间能够互通
        业务网络：实现连接到AP的STA进行网络访问功能
    管理网络的建立：
        二层组网：
        AP与AC通过二层广播的方式通信，两者必须在同一个广播域
        1， 将AP划分到管理vlan ，在相关链路上允许vlan数据通过
        2， 在AC上创建管理vlan的vlanif接口，配置IP参数
        3， 在AC上配置DHCP服务器
        4， 指定WLAN管理vlan，也就是在AC上建立Capwap隧道
        CAPWAP隧道：是AC纳管AP的专用隧道，必须建立隧道才能进行纳管
        
        三层组网：
        AP与AC通过三层路由的方式通信，可以跨网段通信
        1， 在连接了AP的交换机上创建管理vlan，并将该端口划分到vlan , 上行接口允许vlan通过
        2， 连接AP的交换机与⽹关沿途所有的交换机上都需要创建管理vlan允许管理vlan
        3， 在⽹关上针对创建的管理vlan,创建vlanif接⼝,并配置IP地址参数
        4， 在⽹关系统视图打开全局DHCP功能,并在管理vlanif接⼝下打开接⼝地址池功能
        5， 在网关的DHCP中添加Option43参数，告知AP关于AC的位置（dhcp server option 43 sub-option 2 ip-address xx.xx.xx.xx）
    
    业务网络的建立：
        1， 配置AP组
        2， SSID模板配置，指定WLAN业务的SSID信息
        3， 安全认证模板配置，指定WALN业务接入时，使用的密码认证信息
        4， 创建VAP模板，绑定SSID模板， 再绑定安全认证模板，指定业务数据转发方式，最后指定业务vlan
        5， 进入AP组，绑定VAP模板并指定射频资源
        注意：二层组网在连接AP的端口上，要剥离管理vlan id 的标签

---------------------------------------------------------------------------------------------------
VPN虚拟私有网络：
    作用：通过添加外层转发头信息实现业务流量保护； 添加外层转发头以及加密手段实现用户业务流量的保护
    原理：在用户原有的流量基础上添加一个外层保护头，实现对用户原有的流量进行保护
    类型：
        二层VPN：在用户原有的⼆层数据前添加额外的⼆层保护头
        三层VPN：在用户原有的⼆层数据前添加额外的三层保护头
    应用前提：VPN只是实现流量保护，不提供路由可达，使用VPN需要保证源有目的之间是可达的

    VPN-GRE隧道：
        通用路由封装协议，将协议报文用GRE封装，基于GRE隧道进行传送，保护流量
        隧道的实现：隧道tunnel接口实现，是一种逻辑接口
        优点：兼容性好，应用范围广
        缺点：只能添加IP头部保护业务流量，不能加密保护业务流量

        代码配置：
        1， 先创建隧道接口
        2， 配置隧道接口的IP地址
        3， 指定隧道协议-GRE
        4， 配置隧道的起点和终点的IP地址，source和destination
        5， 将指定的业务流量引入到隧道转发（目的网络IP地址引入到隧道接口）

    VPN-IPSec隧道：
        作用：在添加IP头保护的同时还可以提供加密保护
        架构：源端和目的端； SA安全联盟

        SA安全联盟：
        安全提议：提供加密算法、加密协议、隧道封装模式
            加密算法：
                对称加密：加密密钥域解密密钥相同，安全性较低
                非对称加密：加密密钥与解密密钥不同，比如使用公有密码加密，私有密码解密。注意两者都是属于本地的
            加密协议：
                作用：对用户的数据进行加密
                AH：  可以提供防重放，防抵赖，认证功能，不提供加密功能
                ESP： 具有加密功能
            验证算法：
                1， 把即将发送的流量用算法计算出一个摘要值，在发送报文时发送出去
                2， 目的端收到完成的流量后，按照同样的算法计算出该流量的摘要值
                3， 将两个摘要值进行对比，就可以判断该流量在发送前是否被篡改过
                MD5码：摘要值相对较短，比较常用
            封装模式：
                隧道模式：在原有的IP报文头前再加一层外层IP头
                传输模式：使用用户原有的IP报文头
        
        安全策略：
             作用：提供隧道起点、隧道终点、隧道密钥

        安全密钥：
            可以静态指定，也可以动态协商

---------------------------------------------------------------------------------------------------
路由引入：
    背景：由于不同的路由协议之间的路由算法、机制、开销值不同，不同的路由协议之间无法直接分享彼此对端路由，此时就需要通过路由引入计算将A路由协议引入到B路由协议中
    原则：在执⾏引⼊的路由器上将某⼀个协议的活动路由（存在于路由表中的）引⼊到另外⼀个路由协议中
路由引入场景：
​    1，涉及到两个不同的路由协议之间需要相互通信
​    2， 涉及到同一个协议但不同进程之间需要相互通信
​    3， 如果遇到IS-IS路由协议的话，作为Lever-1非骨干网与Level-2骨干网之间需要基于明细路由通信

流量分类工具：
    访问控制列表：主要用于流量分类以及流量过滤 场景
    基本ACL：只能基于源地址信息对流量实现简单过滤，利用ACL编号2000-2999识别
    高就ACL：可以基于IP五元组信息对流量实现精细过滤，利用ACL编号3000-3999识别
    IP五元组：标识一条唯一的数据流，包括源IP、目的IP、源端口、目的端口、协议
    注意：默认是按照规则ID大小从小到大的顺序匹配，可以先拒绝再允许、也可以先允许再拒绝
    
    MQC-模块化QOS指令：主要用于流量分类，并基于分类出来的流量指定对应的转发动作，以此达到控制流量的目的。
    traffic classifier    专门用来进行流量分类的工具
    traffic behavior    专门用来指定流量处理动作的工具
    traffic policy        用来绑定流行为与流策略工具的，并将其应用在设备接口上    

    IP-Prefix：IP前缀列表 ，专门只能用来做流量分类的工具
    作用：可以实现像ACL那样针对某个业务流量进行分类，也能实现针对某个IP网段范围实现流量分类
    格式：ip ip-prefix  xxxx   index xxx permit x.x.x.x xx  greater-equal xx  less-equal xx
    1，index编号与ACL中rule-id类似，一个前缀列表中可以添加多个以不同index编号标识的规则
    2，规则之间是或的关系
    3，掩码长度<=greater-equal<=less-equal
    注意：
    如果只是单纯的分类没有任何意义，只有针对分类出来的流量指定对应的处理行为或者个性化处理动作，流量分类才有意义

流量过滤工具：
    route-policy：路由策略，主要用于配合分类工具实现流量分类以及流量过滤工作，还可以用来修改路由属性用于选路控制
    格式：
    route-policy xxxxx permit node xxx
    if-match  xxxx
    apply  abcd
    route-policy xxxxx deny node xxx
    if-match  xxxx
    apply  abcd
    xxxxx代表的路由策略名称
    xxx代表的是节点编号，0-65535
    xxxx代表的是分类工具信息
    abcd代表的匹配了策略之后的处理工作
    filter-policy ，专门配合前缀列表实现路由过滤的，可以针对发送方向以及接收方向的路由过滤