H3CNE笔记

####计算机基础
计算机网络定义：各类终端通过传输介质连接在一起，形成的一个网状的产物
功能：资源共享 分布式处理 负载均衡 综合信息服务
网络类型：LAN:一般覆盖范围小
MAN：覆盖范围大
WAN：覆盖范围更大（全球）
网络拓扑结构：将物理网络以图表的方式呈现出来，称之为拓扑图
常见的拓扑结构：星型：终端通过中间设备
树型：叶子节点与根节点
网状：中大型网络在用，可靠性高
环型（淘汰）
总线型（用的少）：无线路由器还在用
衡量网络性能指标：带宽：越高越好，单位之间
延迟：越小越好
####OSI
OSI七层模型：厂商之间的兼容性
层次划分：应用层：应用程序接口（UI） 应用层数据
表示层：定义应用程序产生的数据格式 应用层数据
会话层：维护建立应用程序之间的回话信息 应用层数据
传输层：定义端到端的数据传递方式 数据段
网络层：定义端到端数据传递的路径信息 数据包
数据链路层：维护管理本地链路信息 数据帧
物理层：二进制比特流数据传输 比特流
每一层都依靠下层提供的服务进行工作，层与层之间相对独立，相互联系
数据的封装过程中会添加每一层的头部信息，便于接收方接收处理

物理层：传输介质 有线：双绞线（stp utp） 光纤 同轴电缆 串口电缆
无线：802.11 蓝牙 红外线 射频识别 NFC
数据链路层：数据帧编写识别 寻址（MAC） 标识上层数据（type）
分为上下两层：LLC(与上层通信参数协商) MAC（与下层通信参数协商）
通信依靠MAC地址，维护MAC表项
mac地址：48个二进制位 标识设备 以16进制表示 分为6段 每段8位 通常以冒号隔开 有OUI（厂商代码）和序列号（设备）两部分组成
OUI由IEEE为每一个厂商固定分配，不同厂商不同
设备序列号：由厂商为不同批次不同等级的产品固定分配 ，不同产品不同
对用户来讲不可更改
常用标准：802.3 802.1 ppp hdlc FR
等同于局域网 以太网 二层网
*/以太网技术属于局域网技术的一种，局域网技术包含令牌环网技术（淘汰）/FDDI技术（淘汰）/以太网技术
网络层：IP编址 IP寻址 异种网络互联（局域网）
通信依靠IP通信
IP地址：32个二进制 由网络部分（位）和主机部分（位）组成，使用子网掩码进行区分，通常以十进制表示 用点号隔开 分为4段 每段8位
子网掩码：32个二进制 通常以十进制表示 用点号隔开 分为4段 每段8位 必须由连续的1和连续的0组成
子网掩码中1的个数越多，0的个数就越少，主机位数就越少，主机数量就越少
区分网络位和主机位方法：子网掩码中1对应IP地址中的网络部分，0对应IP地址中的主机部分
常用协议：路由协议：维护检录路由传递相关信息，即维护路由表，为可路由协议提供转发路径信息 静态 rip ospf is-is BGP
可路由协议：将用户数据转发出去，并定义数据格式用途 IP
IP封装：版本 分片字段（标识符 标志位 片偏移量） TTL（为每一个IP报文设定生存时间，每过一个三层设备减1，默认255）
Protocol（标识上层协议） 源IP 目标IP
传输层：数据分段 端到端链接建立 流控
常见协议：TCP：面向连接 可靠传输 占用网络资源大 延迟相对较高
UDP：无连接 不可靠传输 占用资源小 传输速度快
TCP建立需要进行三次握手，通知对方进行数据接受或发送
TCP断开需要进行4次挥手
TCP可靠原因：有排序 有确认 有重传 有流控
TCP封装信息：源端口 目标端口 序列号（排序） 确认号（确认） 窗口大小（流控） 连接维护字段（syn ack fin）
常用TCP端口号：23（telnet） 22（ssh） 20+21（ftp） 80（http）
UDP封装信息：源端口 目标端口
常见UDP端口号：69（tftp） （53）dns 161（snmp）
上层协议：包含应用层，表示层 会话层，在应用程序里面进行封装，用户无法更改，不需关心
TCP/IP模型：功能同上
应用层
传输层
网络层
网络接口层（数据链路层，物理层）

####通信
局域网通信：以太网通信 二层网通信 数据链路层通信
使用数据链路层和物理层完成通信
通信设备：集线器：共享式以太网 总线型拓扑结构 端口以半双工工 工作效率低 设备共享总线带宽
中继器：信号放大
交换机：设备独享端口带宽 隔离冲突域
设备端口工作类型：单工：数据只能朝一个方向走 键盘 鼠标 显示器
双工：全双工：在任何时刻数据都可以朝两个方向走
半双工：数据可以朝两个方向走，但在某一个时刻数据只能朝一个方向走
网络通信方式：单播：确定的源，确定的目的（目的只能唯一） 安全
组播：确定的源，确定的目的（目的可以为多个） 安全
广播：确定的源，不确定的目的 不安全
广域网通信：局域网通信在距离上有限制
广域网通信依靠数据链路层和物理层
连接方式：专线：点到点 用户独占物理线路带宽 速度快
电路交换：点到点 用户独占物理线路带宽 速度慢
分组交换：点到多点 多个用户共用一个物理线路 物理线路的带宽共享

####IP
IP原理：常见协议：IP ICMP ARP
IP地址标识节点 IP地址中的网络地址标识链路
寻址转发：先找到目的地所在的网络（链路），然后确定目的地
找到目的地之后，选择合适的路径路由出去
适应各种数据链路，将不同的局域网连接
IP地址中网络部分用来表示不同的IP网络，主机部分用来标识不同的节点，即网络部分相同的主机，在同一网络，否则不在同一网络
在同一网络则可以直接通信（经过二层通信即可）
IP地址范围：0-255
IP地址分类：A:0-127 默认掩码8位 /8 子网掩码中有8个连续的1
B:128-191 默认掩码16位 /16 子网掩码中有16个连续的1
C:192-223 默认掩码24位 /24 子网掩码中有24个连续的1
D:224-239用于组播
E:240-255保留
特殊地址：不参与通信
0.0.0.0 静态默认路由
255.255.255.255 全网广播地址
127.0.0.0 /8 环回测试地址，测试网卡TCP/IP协议簇有无问题
网络地址 每一个IP网段中主机位最小的地址
广播地址 每一个IP网段中主机位最大的地址
A类私有地址：10.0.0.0-10.255.255.255 /8
A类公有地址:1.0.0.0-9.255.255.255 11.0.0.0-126.255.255.255
B类私有地址：172.16.0.0-172.31.255.255 /16
B类公有地址：
C类私有地址：192.168.0.0-192.168.255.255 /24
C类公有地址：
网络IP地址规划：计算主机地址数量 网络地址 广播地址
有类（自然分类，默认分类，主网）地址缺陷：地址浪费
解决办法：子网划分、可变长子网掩码（VLSM、子网规划
原理：将主机位中多余的部分划分出来（子网位），划到网络位中去
实现：2^主机位=主机数量
2^主机位-2=可用主机数量
2^{主机位>=2+Y>=2}主机为-1 y=需求的地址数量
2^m>=x>=2m-1 m=子网位数 x=子网数量
VLSM问题：路由器上需要维护的路由表条目更多，影响网络性能
解决办法：CIDR 地址汇聚 路由聚合 无类域间路由
原理：将VLSM之后的IP地址相同的部分划到网络位，不同的部分划到主机位
注意事项：做CIDR必须是连续的子网
IP转发： 发送主机检查目的主机所在的网络号与本地主机所在的网络号是否相同，相同则解析目的MAC，否则解析网关MAC
路由器收到数据之后，检查是不是找自己，是则交给上层协议，否则检查目的是否同网段，是则解析目的MAC否则解析下一跳MAC
主机接受到数据之后，检查是否找自己，是则交给上层协议，否则丢弃
广播报文带来的问题：广播风暴
MAC表震荡 MAC重复 降低网络性能
解决办法：路由器隔离广播域，路由器默认不转发广播报文
ICMP：网络消息控制协议
用于网络故障诊断 ping tracert
原理：向网络中发送ICMP请求报文，收到请求报文的主机会进行回复，发送源根据收到的回复内容对网络进行诊断
封装信息：type（定义消息类型） code（定义差错）

####ARP与RARP
ARP：地址解析协议
将IP地址解析成MAC地址
局域网内通信必须使用ARP，将主机的IP解析成MAC才能通信，终端之间首次通信的时候，必须先知道对方的MAC地址，查找ARP表
如果查到信息则直接转发到具体MAC，否则广播查找，收到广播报文的主机，进行匹配，匹配成功则单播回应，否则丢弃
局域网间通信不会使用ARP,使用路由表
匹配成功的主机，将对应的IP地址和MAC地址放到ARP缓存表
发送ARP的条件，同一局域网内终端之间通信，才需要使用ARP
网关：网络关口
将本地局域网的数据转发到其他目的网络，网关属于三层的功能，局域网内通信不需要使用网关
RARP:逆向地址解析协议
将MAC解析成IP，主要用于无盘工作站
ARP代理：通过使用代理，将本网段的ARP广播报文传递到另外的局域网，让ARP广播报文跨越路由器
ARP欺骗，善意的谎言
使用范围：终端在同一逻辑网络，位于不同物理网络
SLARP：用于HDLC网络邻居状态检测
免费ARP：检测IP地址冲突，自动启用

####设备命令基础
命令行基础：
配置网络设备方式：本地配置：console
远程配置：telnet：tcp23 不认证 密码认证 用户+密码（AAA）认证
ssh：tcp22 密码认证 AAA认证
命令视图：基本视图：用户视图 不能对网络设备进行配置管理
高级视图：系统视图 接口视图 路由协议视图
各视图之间的关系：用户进入某种高级视图之前必须先进入系统视图，视图之间切换可以直接使用相应的命令，也可以退出当前视图
再切换，退出使用quit命令或者使用return命令或者使用ctrl+z
三种退出命令差别：quit 只能退回到上一级视图
return和ctrl+z 能够从任意视图回退到用户视图
用户权限管理：0-15，一共16个等级，数字越高权限越高
命令行帮助特性：tab键：命令补全 补全后半部分命令 ，测试命令完整性
？键：呈现用户权限内以当前字符开头的所有命令，呈现用户权限内当前命令后可写的下一条命令
上下导航键：查看历史命令
错误提示信息：^
命令行编辑：backspace：删除光标左边的字符
ctrl+z：从任何视图回退到用户视图
ctrl+]：断开当前连接
space：显示下一屏信息
enter：显示下一行信息
ctrl+c：停止当前命令的运行
常用命令：system-view
sysname
文件系统管理：操作系统 配置文件 系统文件
常用命令：more 查看文件内容
boot-loader 指定启动操作系统
startup 指定启动配置文件
mkdir 创建目录
rmdir 删除目录
rename 重命名文件/夹
move 移动文件/夹
copy 复制文件
format 格式化磁盘
fixdisk 修复磁盘
backup 备份文件
restore 恢复文件
pwd 查看当前路径信息
使用FTP管理文件系统：FTP 文件传输协议
采用双连接 20（数据控制进程） 21（数据连接进程）
两种文件传输模式：二进制（应用程序，图片）比特流传递 ascii（文本文件）ascii码传递
数据传输方式：主动方式 port方式 客户端向服务器发送port命令，并告知采用的端口号（随机）
被动方式 pasv方式 客户端向服务器发送pasv命令，服务器告知客户端采用的端口号（随机）
网络设备可以作为ftp客户端也可以作为服务端
TFTP:简单文件传输协议
网络设备只能作为TFTP客户端

####交换机
交换机工作原理：共享式以太网：总线型以太网拓扑结构
规定同一时刻只有一个终端能够占用总线带宽传递数据，如果有多个终端同时占用总线，则会冲突
会造成冲突的范围叫冲突域。
冲突解决：CSMA/CD
共享式以太网中，某一个终端传递数据时，其他任何终端都能收到
交换式以太网：星型/树型拓扑结构
隔离冲突域，每个端口就是一个冲突域，端口独立，独享带宽 维护MAC表
交换机工作原理：当交换机接入网络，收到第一个数据帧，首先进行MAC学习，并放入MAC表，在查看目的地，知道目的地之后
查找本交换机的MAC表，有表项则转发，没表项则广播查找

####VLAN
vlan：虚拟局域网 在二层设备上实现的二层技术
背景：局域网中广播报文太多（广播风暴），占用网络资源降，低网络性能
广播风暴现象：1，主机数量太多，导致广播报文数量增多
2，出现二层环路
解决办法：通过三层设备隔离
传统的隔离办法：1，添加路由器，端口不够用，成本高
2，添加三层交换机，缓解端口不够用，但不是最优的解决办法
使用VLAN隔离： 控制广播域范围 增强网络安全性 主机所在的网络可以不受物理位置限制
实现原理：为每一个普通的以太网二层帧打上802.1Q标签（vlan标签），标签相同数据的源主机助于同一网络，否则属于不同网络。
802.1q标签内容：tpid：固定（用于vlan数据标识） priority：优先级（qos） vlanid：0-4095（用于标识数据源主机是否属于同一网络）
Vlan-ID中，vlan0用户不可见不可用，vlan1用户可见可用，但不可管理，vlan4095用户不可见不可用
不同vlan（虚拟局域网）属于不同局域网，也就是说，不同vlan之间通信，必须添加三层功能
vlan划分类型：基于端口：把主机连接交换机的交换机端口划分到某一vlan，一般情况下连接在该端口下的所有主机都属于该vlan 最常用
基于协议：将主机所使用的协议与vlan绑定
基于IP（子网）：将主机所使用的IP与vlan绑定
基于MAC：将主机所使用的mac地址与lan绑定
基于策略：上几种混合使用
匹配顺序：MAC-Vlan>协议>IP>端口
vlan端口类型：Access端口：用于连接主机
工作特性：当该端口收到数据之后，强制性的打上该端口的PVID；发送数据时，会检查数据的vlanid和该端口的PVID，如果两者相同，
则剥离标签发送否则丢弃，Access端口只关心数据vlanid与PVID是否相同
trunk端口:用于连接交换机，用于跨交换机vlan数据传递
工作特性：当该端口收到数据之后，强制性的打上该端口的VLANID；发送数据时，首先检查该vlanid是否允许通过该端口，如果可以
则检查会检查数据的vlanid和该端口的PVID，如果不可以直接丢弃，检查两者ID时，相同则剥离标签发送，否则保持数据
原有标签发送，trunk端口只关心数据对应的vlanid能否通过该端口
hybrid端口：可以连接主机可以连接交换机
工作特性：当该端口收到数据之后，强制性打上该端口的PVID；发送数据时，通过命令配置允许相应的vlan通过，至于是否携带标签，
也可以通过命令配置
PVID：port-vlanid端口vlanid，默认所有端口的PVID都为1
更改PVID：1，通过基于端口vlan划分
2，通过命令更改
vlan链路类型：Access链路
trunk链路
hybrid链路
vlan配置：1，创建vlan 系统模式下vlan vlanid（1-4094）
2，划分vlan 将端口与vlan绑定
默认情况下，不同vlan之间不能直接二层通信，如果需要做vlan之间通信，必须添加三层功能
vlan之间三层功能实现：三层交换：使用交换机的三层功能（vlan接口）
单臂路由：使用路由器的三层功能（子接口）
实现步骤：三层交换：创建vlan并划分之后，为对应的vlan创建vlan接口，并配置三层信息（IP网关 掩码）
单臂路由：在路由器上的物理接口下创建子接口，在每一个子接口下绑定vlan信息，配置三层信息

####STP
STP：生成树协议
背景：园区网搭建，需要考虑可靠性（链路 设备），链路可靠性带来另外一个问题：环路
环路问题表现：广播风暴
解决办法:STP
解决思想：消除环路
如何消除：通过选举的方式阻塞有环路的路径端口
选举规则：在网络中，选择出一个设备来发送stp报文，通过发送STP报文中携带的选举参数，决定阻塞端口
消除过程：1，选出一个设备发送stp报文
2，通过报文中的参数阻塞端口
设备角色：根桥：发送stp报文的设备
非根桥：剩下的所有设备
端口角色：根端口 存在于每一个非根桥上，有且只有一个
指定端口 存在于每一个物理链路上
阻塞端口
指定端口的选举规则和跟端口的选举规则是一样的
在选举端口过程中，只需要选择出根端口和指定端口，剩下的都阻塞
选举过程：1，选择发送stp报文的设备，初始化的时候，所有设备都会发送stp报文，各交换机之间通过比较stp报文中携带的参数优先级决定 首先查看交换机优先级参数
优先级参数值小的胜出，但该参数默认都是32768，值相同则比较MAC地址，mac地址小的胜出（其实就是比较BID）
2，端口选择过程，首先查看根路径开销（到根桥设备占用的网络资源大小，与带宽有关），开销小的胜出；如果开销相同，则比较对端设备BID(设备优先级值+mac地址)
如果BID相同，则比较对端设备端口ID（端口优先级128+端口号）；如果对端PID相同则比较本端PID
根桥上一定不会有根端口，一般都为指定端口 一般情况下根端口的对面都是指定端口
端口选举的时候，以设备作为参考对象，哪一个设备到根桥开销大，该设备所对应的接口阻塞
以端口作为参考对象，开销小的设备对端的端口阻塞
STP端口状态：（防止临时环路）
disable 未启用stp
blocking 阻塞端口 接收不发送BPDU，不接收转发用户数据
listening 选举 接收并发送BPDU，不接收转发用户数据 15s延迟
learning 学习MAC地址 接收并发送BPDU，不接收转发用户数据 15s延迟
forwarding 网络收敛 接受并发送BPDU，接收转发用户数据
STP时间问题：转发延迟时间 15s
stp-hello时间 2s
stp报文失效时间 20s
stp报文类型：配置BPDU 用来选举维护stp网络
tcn-bpdu 网络拓扑改变
tc-bpdu 清空mac地址
stp不足：收敛时间长 收敛机制不灵活（根桥处理TCN）
stp配置：系统模式下启用stp功能
更改stp模式
扩展配置：指定根桥设备 更改设备优先级
指定阻塞端口 更改端口根路径开销

####RSTP与MSTP
RSTP:快速生成树
支持快速收敛
原因：收敛机制更改 P/A 所有设备都能发送STP报文 设备之间进行级联收敛
端口状态更改 discarding 接收并发送BPDU 不接收转发用户数据
learning 接收并发送BPDU 不接收转发用户数据
forwarding 接收并发送BPDU 接收转发用户数据
端口角色更改 根端口 指定端口 阻塞端口 备份端口
边缘端口：默认不参与STP计算 如果该端口参与计算 无需等待延迟时间（15s）
扩展特性：边缘端口保护功能
根桥保护功能
环路保护功能
tc保护功能
rstp配置：启用stp 更改stp模式 指定设备角色 指定端口角色 配置保护功能
rstp不足：不能使每一条物理链路充分利用，所有vlan共享一颗生成树
解决办法：MSTP（多实例生成树）
核心思想：将某些vlan和不同的vlan实例绑定，为不同的vlan实例，指定不同的生成树
mstp向下兼容，RSTP向下兼容

####DNS
DNS（域名解析）
背景：主机之间访问 IP 问题：IP太多不好记
解决：HOSTS列表 在主机上将IP地址与对应的主机名称（域名）绑定 问题：IP太多，空间不够
解决：通过特定的服务器特定存储 DNS服务器
C/S模式
域名结构：分级管理（一般三级，顺序：三级 二级 顶级） 级之间点号隔开
FQDN:完全合格域名 www.baidu.com.
DNS查询方式：递归查询：客户端与本地域名服务器
迭代查询：本地域名服务器与其他服务器之间
反向查询：根据IP查询主机名

####802.1x
端口安全技术：
802.1x：用于用户接入认证，在接入层设备上做
用户介入认证体系结构： 认证客户端（提供认证信息） 认证设备端（发起认证） 认证服务器（用户合法性认证）
认证服务器可以本地认证：用户信息存放于网络设备上
远程认证：用户信息存放于认证服务器上（AAA服务器）
接入控制方式：mac认证：所有的终端都必须经过认证才能接入网络，其中一个用户下线，不影响其他用户
接口认证：该接口下只需某一个用户认证，其他用户不需要，但如果该用户下线，其他用户也跟着下线
配置步骤：1，系统模式下，全局启用802.1X
2，端口下，启用802.1x
3，配置认证服务器（远端认证、本地认证）
端口隔离：用于用户隔离，在接入层设备上做
位于同一隔离组的用户不能通信，同一个端口可以属于多个隔离组
配置步骤：1，创建隔离组
2，在接口下将该接口添加到隔离组
链路聚合：把多条物理链路捆绑成一个逻辑链路，提升带宽，增强网络链路可靠性
多个物理链路之间流量做负载分担处理（基于流）
分类：动态：通过LACP协议动态协商
静态：通过管理员手工添加（常用）
聚合模式：二层聚合：组成员为二层端口
三层聚合：组成员为三层端口
聚合条件：参与聚合的端口属性保持一致，聚合之后的带宽保持一致
完成聚合之后，如果要更改成员端口属性，必须进入聚合端口更改，不能进入物理端口更改，否则该端口脱离组

####DHCP
DHCP:动态主机配置协议
为主机动态分配网络参数（IP MASK 网关 dns）
C/S模式, 有客户端发起请求，服务器收到请求之后进行回复
服务器真挺端口67 客户端使用68端口
组件：DHCP客户端 DHCP服务器 DHCP中继设备
网络参数分配方式：静态分配：手工填写
自动分配：有DHCP服务器分配（指定某主机使用的IP地址）
动态分配：有DHCP服务器分配（常规分配方式）
DHCP报文：DHCP-discover 客户端发送的服务器查找报文 广播发送 客户端查找DHCP服务器
DHCP-offer 服务器给客户端回复的报文 单播发送 服务器DHCP功能的通告
DHCP-request 客户端发送的地址请求报文 广播发送/单播发送 服务器分配的地址没有被指用
DHCP-ACK 服务器发送的确认报文（分配地址） 单播发送 服务器对客户端分配的地址进行确认（最终分配）
DHCP-release 服务器发送的地址释放报文 广播发送 客户端释放地址
dhcp-inform 客户端发送的其他信息请求报文 单播发送
dhcp-deline 客户端发送的拒绝报文 单播发送 服务器分配的地址已经在网络中使用
dhco-nak 服务器发送的无响应报文 单播发送 拒绝提供服务
DHCP请求报文可以单播发送：地址续期
广播发送：地址申请
DHCP中继：跨网段实现DHCP功能

####路由
路由基础：
路由的前提：路由表存在
路由表构成：目标地址 目的地掩码 来源信息（优先级） 下一跳 度量值 出接口
路由来源：直连路由：设备之间直接连接，物理层UP，数据链路层UP，有IP ，产生的路由（协议层和物理层双UP）
静态路由：设备之间不需要直接连接，由管理员手工添加
动态路由：路由协议自动发现的
度量值：cost开销
路由器路由规则：绝对优先原则：（掩码）最长匹配
不同路由协议之间，比较来源信息，静态 60 直连0 rip 100 ospf 10 值越小的越优先匹配
同种路由协议之间，比较开销 静态0 直连0 rip 跳数衡量 ospf带宽衡量 值越小的越优先匹配
路由环路：由于协议缺陷或认为配置错误，产生的路径问题
静态路由配置：系统模式下 ip route-static 目的地 目的地掩码 出接口/下一跳
出接口：只适用于点到点网络
下一跳：适用于所有网络（最常用）
静态默认路由：目标地址和掩码全网最小，匹配所有网段 网关也是静态默认路由
静态路由缺陷：配置太复杂，只适用于小型网络，维护麻烦
路由备份（浮动静态路由）：到达目的地有多个路由条目，路由条目开销不同
添加方式：修改备份路由条目的开销，备份路由条目的开销都比较大
路由负载分担：到达目的地有多个路由条目，路由条目的开销相同，来源相同
静态黑洞路由：防环 地址汇聚
动态路由协议原理：1，查找邻居 2，路由信息交换 3，路由信息计算 4，路由信息维护
衡量路由协议优劣指标：路由信息正确性 收敛速度 占用开销 协议安全性 适用范围
动态路由协议分类：IGP（内部网关协议）：距离矢量：rip 以跳数衡量路径优劣，没有防环机制
链路状态：is-is ospf eigrp（cisco）
EGP（边界网关协议）：路径矢量：BGP 以跳数衡量路径优劣 有防环机制
自治系统AS：IGP用于AS内，EGP用于AS间（人为区分）

####RIP
rip路由协议：通用路由信息协议 距离矢量路由协议 V1/2两个版本 基于UDP 端口520
工作特点：以跳数衡量路径优劣 v1只支持有类路由（发送的rip报文不携带掩码）不支持认证
周期更新全部路由表（30s） 拥有6中防环机制（水平分割，路由毒化，毒性逆转，触发更新，最大跳数，抑制时间）
广播发送报文（V1只支持广播，v2可以广播可以组播224.0.0.9）
rip支持自动地址汇总（地址汇聚）（默认打开）
路由表初始化：路由器首先发送请求报文（请求邻居），找到邻居之后，请求路由更新，收到更新的路由器发送回复报文，随后路由计算更新
路由表维护：周期发送response报文
路由环路解决：路由毒化：将出问题的路由设置为不可达，并在更新报文中进行更新
水平分割：从某一个接口学习到的路由，在后期的更新中不会从该接口发送出去
毒性逆转：从某个接口学习到的路由，在告诉给源路由器，并将路由开销设置为最大（优先级更大）
定义最大值：rip网络中最大跳数16跳，当路由器收到路由条目的开销为16的时候，将不更新此路由，若网络只支持15个路由器
抑制时间：将出问题的路由设置为不可达，同时加上抑制时间，该时间内只有收到正确的源的更新，才更新
触发更新：路由出问题之后，立即告诉邻居路由器，不会等带更新周期到来
v1特点：只支持有类路由，广播发送报文，不支持认证
v2特点：支持无类路由，组播发送（也支持广播），支持认证
配置步骤：1，启用rip进程（尽量全网一致）
2，更改版本
3，关闭自动汇总
4，宣告网段network（在宣告网段所对应的接口上启用RIP功能，赋予该端口收发rip报文能力；将宣告的网段信息加入全网路由表）
5，配置认证（基于接口，可选）
RIP扩展特性：input：删除或增加某接口接收rip报文功能
output：删除或增加某接口发送rip报文功能
metricin：增加或减少从某个端口接受的路由条目的开销
metricout：增加或减少从某个端口发送的路由条目的开销
抑制接口：只接收rip报文，不发送rip报文（优先级更大）

####OSPF
ospf路由协议：开放最短路径优先 基于链路状态IGP 增量更新路由条目 没有跳数限制 以带宽衡量路径优劣
不在传递具体路由表，传递LSA，维护LSDB 用于组播（224.0.0.5 224.0.0.6） 支持认证（基于接口、基于区域）
ospf报文：hello：寻找邻居，邻居关系维护
DD：数据库描述报文
LSR：链路状态请求 request
LSU：链路状态更新update
LSACK：链路状态确认报文
ospf路由器之间都需要交换LSA，造成带宽浪费
解决办法：邻居关系类型
邻居关系类型：邻居关系：交互HELLO报文，不交换LSA 224.0.0.6
邻接关系：交换HELLO报文，交换LSA 224.0.0.5
ospf路由器标识：Router-ID标识每一个唯一的路由器(其实就一个IP地址)
router-id怎么来：可以手工指定

	                可以动态选举（选择逻辑接口最大的IP地址，如果没有逻辑接口则选择物理
				     接口最大的IP地址）

实现方式：不同设备之间维护不同邻居关系
设备类型：DR：指定路由器 1
BDR：指定备份路由器 1
DRother：剩下的路由器
DR与BDR之间维护邻接关系，DROTHER与DR之间维护邻接关系
DROTHER与BDR之间维护邻接关系 DROTHER之间维护邻居关系
设备类型的确定：DR：优先级高的作为DR，优先级值越大的优先级越高，优先级0的不参与选举
优先级相同，则比较router-id
设备选举流程：先选举BDR，在BDR中选举DR
ospf没有范围限制，但如果路由器数量太多，导致LSDB过大，降低网络性能
解决办法：支持区域划分，不同区域维护不同LSDB，控制LSDB的大小
区域划分类型：骨干区域：区域0
非骨干区域：除了区域0以外的所有区域
区域内采用链路状态算法，区域之间采用距离矢量算法
区域间防环机制：规定所有的非骨干区域之间要交换路由信息，必须经过骨干区域转发，即所有的非骨干区域必须和
区域0直连
OSPF状态机：idle：未启用OSPF
attempt:点到多点网络
init：找邻居发送hello
2-way：找到邻居之后，设备选举
exstart：DD报文
exchange：发送LSR
loading：发送LSU
full：发送LSACK
OSPF支持的网络类型：P2P P2MP NBMA 广播
手工修改 手工修改 FR 默认
P2MP和NBMA网络邻居路由器需要用户手工指定（接口IP）
虚连接邻居使用ROUTER-ID指定
OSPF配置：创建OSPF进程 需要指定router-id，进程号可写可不写，不写则创建进程号1（rip同理）
创建区域 可以直接写区域号，也可以写IP
宣告网段 使用通配符掩码（反掩码）
通配符掩码：正常子网掩码里面1改成0，0改成1
扩展配置：更改路由器优先级（控制DR设备）
更改接口开销（路径控制）

####ACL
访问控制列表：ACL 实现诗句流量识别数据分类，将分类之后的数据进行流量过滤
适用范围：包过滤 NAT QOS PPPOE
实现原理：对进出设备某端口的流量进行包检查，检查之后的报文按照相应的规则做相应的处理（允许/拒绝通过）
用于物理接口的进出方向
规则定义：acl号之间是或的关系，在每一个acl号下面，创建具体规则，规则之间是与的关系
如果所有规则都不能匹配，则匹配默认规则
默认规则可以允许可以拒绝（管理员手工配置）
ACL使用通配符掩码：与正常掩码（内容）相反
ACL分类：基本acl：ACL号范围是2000-2999 只能基于源进行流量过滤
高级acl：ACL号范围是3000-3999 可以基于源或者目的地 端口号
基于二层的：4000-4999
ACL匹配顺序：acl规则之间谁先匹配，谁后匹配
配置顺序：按照规则写的先后顺序，先写的先匹配，后写的后匹配
自动顺序：按照掩码长度匹配，越长的越优先匹配
不同的匹配顺序，可能影响ACL效果
ACL使用位置：尽量在不影响正常流量的前提下，靠近数据源，尽早的避免无用的数据流进入设备
使用基本ACL：从靠近目的地放向数据源方进行位置选择
使用高级ACL：从靠近数据源方向目的地方进行位置选择

####NAT
网络地址转换：NAT
背景：私有网络中只有私网路由，共有网络中只有公有路由，当私有网络中主机访问公网时因为没有路由信息不能正常访问
解决办法：NAT
原理：当私有网络中主机访问公网时将用户使用的私网地址转换为公网地址，使用公网路由传递
nat类型：Basic-NAT（静态NAT）：手工配置私网地址到公网地址一对一转换
NAPT：实现私有地址到公网地址多对一的转换，通过端口号区分不同的用户数据源
MAT-setver（端口映射）：实现公网用户到私网主机的访问

####PPP
PPP：支持同步和异步链路， 支持认证，支持地址协商
数据连接建立：LCP：链路控制协议 协商MRU 魔术字 合法性认证
NCP：网络控制协议 IP地址自动获取/地址协商
更安全，支持认证：pap：有被认证方先发起，将用户信息在网络中直接传递 两次握手
chap：有认证方主动发起随机字符串（经过加密运算的挑战信息），被认证方收到之后，将用户
信息用和挑战信息一样的加密算法进行加密运算，将两者的加密信息再返回给认证方，认
证方收到之后，进行反加密，将反加密之后得到的用户信息，和自己本地的用户信息做比较
相同则认证成功，否则失败 三次握手
PPP配置步骤：串行借口下配置协议（PPP）
配置认证 ppp authentication-mode pap/chap(在该设备下对应的端口上启用认证，同时该设备作为认证方)
在主认证方添加本地用户信息
在被认证方添加进行认证的用户信息
PPPMP：PPP捆绑：将多个低速PPP链路，聚合成一个逻辑链路（广域网的链路聚合）
实现方式：1，通过虚拟模版接口
2，通过MP-Group接口实现