HCIA知識總結

章節細解
華爲模擬器保存指令（極其重要）

[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.0.1 24
[Huawei-GigabitEthernet0/0/1]quit 要進入全局模式才能生效
[Huawei]quit
<Huawei>save 輸入之後看到是否保存 然後“Y"即可
一般如果沒有保存的話設備關機之後會自動把命令清楚 然後你的配置就全被吃了 所以切記 Cisco的是write

NAT網絡地址轉換

[Huawei-GigabitEthernet0/0/1]nat static global （轉換ip） inside （被轉換ip）
在外網的出口出配置                   靜態全局   靜態nat不節約ip地址
如果在這個模式下外網ping內部pc的話是ping不通的 對於外網來說不知道內部ip只知道轉換ip
[Huawei]nat address-group 1 112.0.0.4 112.0.0.8  配置nat的ip地址池大小自定義
[Huawei]acl 2000  建立acl等級2000 
[Huawei-acl-basic-2000]rule 10 permit source 192.168.0.0 0.0.0.255  允許可使用地址池IP範圍
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat  
                                 反問控制列表       地址池      不做端口地址轉換

ACL訪問控制列表

[HUAWEI]acl xxx 標準acl
[HUAWEI-acl-adv-xxx] rule xx deny source xx.xx.xx.xx 標準ac只匹配源地址
[HUAWEI-acl-adv-2000]quit
[HUAWEI]interface g0/0/0 
[HUAWEI-GigabitEthernet0/0/0]traffic-filter inbound acl xxx

以上均爲標準

[HUAWEI]acl 3000                                  源地址                         目的地址
[HUAWEI-acl-adv-3000]rule xx permit tcp source xx.xx.xx.xx 0.0.0.0 destination xx.xx.xx.xx 0.0.0.0 destination-port eq 23
[HUAWEI]interface GigabitEthernet0/0/0 
[HUAWEI-GigabitEthernet0/0/0]traffic-filter inbound acl 3000  拓展acl匹配源地址和目的地址

VRRP冗餘協議

[Huawei-Vlanifxx]vrrp vrid xx virtual-ip xx.xx.xx.xx 設置vrid和 虛擬ip地址 vrid會改變mac的最後兩位
[Huawei-Vlanifxx]vrrp vrid xx priority xxx  調整優先級 越大越優先
vrrp只存在於vlanif

stp生成樹

[Huawei]stp mode stp 生成樹狀態
[Huawei]stp priority *** 更改設備優先級
[Huawei-Ethernet0/0/1]stp edged-port enable 配置邊緣端口 在帶端口模式下

鏈路聚合

<Huawei>system-view 
[Huawei]interface Eth-Trunk 1
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]eth-trunk 1
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]eth-trunk 1

單臂路由/vlan間路由

[Huawei]sysname pc1
[pc1]
[pc1]interface g0/0/0
[pc1-GigabitEthernet0/0/0]
[pc1-GigabitEthernet0/0/0]ip address 192.168.10.1 24
[pc1]ip route-static 0.0.0.0 0 192.168.10.254	配置默認路由
============================================================================
[Huawei]sysname pc2
[pc2]
[pc2]interface g0/0/0
[pc2-GigabitEthernet0/0/0]
[pc2-GigabitEthernet0/0/0]ip address 192.168.20.1 24
[pc2]ip route-static 0.0.0.0 0 192.168.20.254	配置默認路由
============================================================================
[Huawei]sysname pc3
[pc3]
[pc3]interface g0/0/0
[pc3-GigabitEthernet0/0/0]
[pc3-GigabitEthernet0/0/0]ip address 192.168.30.1 24
[pc3]ip route-static 0.0.0.0 0 192.168.30.254	配置默認路由
============================================================================
[Huawei]sysname LSW
[LSW]
[LSW]vlan 10
[LSW-vlan10]quit
[LSW]vlan 20
[LSW-vlan20]quit
[LSW]vlan 30
[LSW-vlan30]quit	建立vlan10 20 30
-----------------------------------------------------------------------------
[LSW]interface Ethernet0/0/1
[LSW-Ethernet0/0/1]port link-type access 
[LSW-Ethernet0/0/1]port default vlan 10	將接口改爲access模式 然後放入vlan10
-----------------------------------------------------------------------------
[LSW]interface Ethernet0/0/2
[LSW-Ethernet0/0/2]port link-type access 
[LSW-Ethernet0/0/2]port default vlan 20	將接口改爲access模式 然後放入vlan20
-----------------------------------------------------------------------------
[LSW]interface Ethernet0/0/3
[LSW-Ethernet0/0/3]port link-type access 
[LSW-Ethernet0/0/3]port default vlan 30 將接口改爲access模式 然後放入vlan30
-----------------------------------------------------------------------------
[LSW-Ethernet0/0/3]interface Ethernet0/0/4
[LSW-Ethernet0/0/4]port link-type trunk 
[LSW-Ethernet0/0/4]port trunk allow-pass vlan all 將接口改爲trunk模式 然後允許所有vlan通過
=============================================================================
[AR]interface GigabitEthernet 0/0/0.10
[AR-GigabitEthernet0/0/0.10]ip address 192.168.10.254 24
[AR-GigabitEthernet0/0/0.10]dot1q termination vid 10
[AR-GigabitEthernet0/0/0.10]arp broadcast enable  配置子接口 封裝vid爲10的dot1q允許arp詢問
-----------------------------------------------------------------------------
[AR]interface GigabitEthernet 0/0/0.20
[AR-GigabitEthernet0/0/0.20]ip address 192.168.20.254 24
[AR-GigabitEthernet0/0/0.20]dot1q termination vid 20
[AR-GigabitEthernet0/0/0.20]arp broadcast enable  配置子接口 封裝vid爲20的dot1q允許arp詢問
-----------------------------------------------------------------------------
[AR]interface GigabitEthernet 0/0/0.30
[AR-GigabitEthernet0/0/0.30]ip address 192.168.30.254 24
[AR-GigabitEthernet0/0/0.30]dot1q termination vid 30
[AR-GigabitEthernet0/0/0.30]arp broadcast enable 配置子接口 封裝vid爲30的dot1q允許arp詢問
可能說廢話會很多 但是我個人覺得這是沒理解的地方 它裏面配合着vlan的tag 和access與trunk vlan的尿性

OSPF

[AR3]ospf
[AR3-ospf-1]
[AR3-ospf-1]area 1
[AR3-ospf-1-area-0.0.0.1]
[AR3-ospf-1-area-0.0.0.1]network x.x.x.x o.o.o.x  
以上是宣告ospf路由
display ospf interfae verboes （顯示ospf的接口信息）
display ospf peer brief (顯示ospf的路由狀態可看到ospf的鄰居狀態）
display ospf interface （顯示接口狀態 可以看到DR和BDR）

查看配置

[Huawei]dis current-configuration
[Huawei]dis current-configuration | include IP routeing
include 包括的意思
[cisco] show run | se r o

路由器查看路由表

[Huawei]display ip routing-table 華爲 
[cisco]show ip route 思科 

路由器配置靜態路由

[Huawei]ip route-static x.x.x.x (目標IP地址） xx（目標掩碼） x.x.x.x（下一跳IP地址）
[Huawei]ip route-static x.x.x.x（目標IP地址） xx（目標掩碼） gx/x/x（目標端口）x.x.x.x （下一跳ip地址）一般情況下不要這麼寫 因爲這個是指定端口出去 沒有指定ip所以它會用到arp代理 然後arp獲取的路由表就會指數級上升

Cisco的指令和這個大同小異直接ip rout 肉其他都一樣 由於沒安裝Cisco的模擬器所以我就不示範了 以後會整理出來

路由器/交換機打開文件夾

<Huawei>dir //記住是在全局情況下
Directory of flash:/

  Idx  Attr     Size(Byte)  Date        Time       FileName 
    0  drw-              -  Aug 06 2015 21:26:42   src
    1  drw-              -  May 06 2020 22:45:32   compatible
32,004 KB total (31,972 KB free)

更改cost值

[Huawei]ospf
[Huawei-ospf-1]bandwidth-reference XXXX（更改的變量） 
公式是100/帶寬（一百就是我們要更改的默認值）
[cisco]router ospf 1
[cisco]network x.x.x.x x.x.x.x area x

創建vlan

[Huawei]sysname SW4
[SW4]undo info enable //屏蔽控制檯的日誌
[SW4]vlan 10  //vlan就已經創建好了 不過是二層的

接口劃分vlan

[SW4]interface g0/0/1
[SW4-GigabitEthernet0/0/1]port link-type access //設置接口類型
[SW4-GigabitEthernet0/0/1]port default vlan 30 //接口加入valn30

三層vlan

[SW4]vlan 20  //在已有2層vlan的前提下建立三層vlan
[SW4-vlan20]quit
[SW4]interface vlanif 20 //建立三層vlanif
[SW4-Vlanif20]ip address 192.168.1.254 24 //設置vlanifIP地址 可以達到vlan路由的效果

浮動路由

[Huawei]ip route-static x.x.x.x xx x.x.x.x preference 1-255
這裏設置的是路由的AD值 因爲浮動路由是建立在路由優先級上的 
後面preference優先級可自己更改 
如果上一個浮動路由死亡第二個浮動路由就會頂上去出現在路由表上 知道第一個浮動路由出現

黑洞路由

[Huawei]ip route-static x.x.x.x(IP地址） NULL 0 
記住是在全局模式下配置垃圾桶路由

鏈路聚合和

[SW4]interface Eth-Trunk 1 //建立鏈路聚合標誌性的 eth_trunk
[SW4-Eth-Trunk1]trunkport GigabitEthernet 0/0/1 to 0/0/2 //加入鏈路聚合的接口
[SW4-Eth-Trunk1]port link-type access/trunk  //設置鏈路聚合的類型
[SW4-Eth-Trunk1]port trunk allow-pass vlan 10 //允許通過鏈路聚合的接口

ICMP協議
icmp屬於網絡層協議主要管理ping和tracert。
ping是用來監測網絡的連通性

tracert 用來顯示到達目的主機的路徑

ARP協議
arp是根據ip來獲取物理地址的一個tcp/ip協議
主機用於帶有ip地址的arp請求廣播到所有主機上（同網段內）然後接收放回消息並且確定物理地址（MAC）然後將獲取的物理地址存儲於arp地址表也就是緩存中以方便下一次建立鏈接時調用
同時也可以作用於arp攻擊 具體內容以後補充

TCP協議
tcp是面向傳輸的可靠協議 一般用於文字聊天 主要特點是掉包時會有補充

UDP協議
udp是面向傳輸的不可靠協議一般用於視頻和語音通話 當掉包時不會補充

MTU
mtu是最大傳輸單元 數據包可傳輸的最大載荷 一般如果小包通信可以建立但是大包通信不能實現時極有可能是mtu出問題
NETSTAT
能提供tcp和udp的監控 由於沒用過多少 可以尋找到端口對應鏈接的tcp/udp的ip地址
查詢格式爲：netstat -nao | find “端口/ip”

IP版圖

本地廣播地址
主要是針對同網段的廣播
比如發個送的廣播包是 192.168.30.255 24
那麼 廣播包只會被30網段的人接受並返回 也就是有了單獨性

特殊地址

網絡地址/廣播地址
這兩個地址是每個ip段都擁有的東西 網絡地址用來識別網段和子網
而廣播地址顧名思義是用來同網段廣播所有主機

0.0.0.0 是全局廣播地址

127.0.0.1 是本地環回地址（以後會單獨整理）
MAC地址
mac地址是二層的地址 每個設備都有獨立的mac地址
mac地址有48bit
前24bir是供應商代碼
後24bit是產家給設備的編號

VLSM（可邊長子網掩碼）
由子網掩碼的變動來改變所需要的ip段
比如：192.168.0.1 24 和192.168.0.1 25 如果想要詳細理解先把他們轉換爲二進制然後用子網爲八個1的尿性來劃分 比如11111111.11111111.11111111.10000000這個是255.255.255.128 和算計爲25 然後這個網段就有128個主機地址 但是要減去網絡地址和廣播地址 所以只有126個可用主機地址 （以後會跟詳細的講解）

數據傳輸
數據傳輸的時候每經過一個三層設備的時候
唯一不變的是他的IP源地址和目的地址
變動的是他的MAC源地址目的地址

動態路由
動態路由分爲兩大板塊

第一個板塊是外部網關協議
也被稱爲EGP外部網關協議
但是被BGP淘汰了 原因是因爲EGP存在很多侷限性

第二個板塊是內部網關協議
也被稱爲IGP內部網關協議 它包括RIP、OFPS、IS-IS、IGRP、EIGRP（對於這些協議以後會有更詳細的補充）

靜態路由
靜態路由就有點古板 是由網絡管理員手動配置的
與動態最大的區別就是
靜態路由是固定不動的
動態協議是會改變的

路由器的路由選擇
路由器是ia階段第一次接觸協議的板塊 主要是講述了協議的優先級 也就是所謂的AD值 同時路由器選擇路由線路也是有考究的 基本分三種 也可以說四種
三種路由選擇
1.子網掩碼的長度 越短越優先
比如192.168.1.1 24與192.168.1.1 25 由於子網掩碼的關係所以路由優先級會默認爲第二個
2.管理距離（AD）（越小越優先）

華爲協議	AD值
直連路由	0
OSPF	10
ISIS	15
靜態路由	60
IGRP	80
RIP	100
O_ASE	150
BGP	255

思科協議	AD值
直連接口	0
靜態路由	1
EIGPR彙總路由	5
EBGP	20
EIGRP	90
IGRP	100
OSPF	110
IS-IS	115
RIP	120
EGP	140
ODR	160
ExEIGRP	170
IBGP	200

3.開銷值/度量值/cost（越小越優先）
每一種路由算法在產生路由表時，會爲每一條通過網絡的路徑產生一個數值（度量值），最小的值表示最優路徑。
cost的產生是由路由器的接口來決定的 數據包到達目的之後會根據所經過的路由接口來進行cost的估值 然後進行下一次的判斷（適用於ospf）
cost的計算公式是100/帶寬（也就是所謂的網速）
cost值裏面沒有小數點和小數的說法 所有小於1的數都會被判定爲1
同時也可以更改cost的公式 就是將100重定量

[Huawei]ospf
[Huawei-ospf-1]bandwidth-reference XXXX（更改的變量） 

用俗氣點的話就是那條路最近選那個

4.等價路由
等價路由出現在以上三種的值都是一樣的時候就會出現
也可以說是以上三個都沒有淘汰掉的“同類”就會組成等價路由
即爲到達同一個目的 IP 或者目的網段存在多條 Cost 值相等的不同路由路徑。
個人曾經理解爲“路由彙總”
loop back（迴環）
在這個階段用來充當虛擬地址接口 主要作用是減少路由表的條數 然後可以達成冗餘線路和上面所說的等價路由 總結就是比物理線路靠譜 因爲loop back是邏輯接口 不會憑空消失或損壞 所以有了固定的值 重要的是它不說物理接口 是一個邏輯的接口 （個人理解,水平較低）

黑洞路由
黑洞路由顧名思義 是刪除吞噬路由條目的 比如
我們設置192.168.0.1 24 爲垃圾桶路由在設置下一跳的時候後面加null就好
可以對應解決網絡中的環路（如果產生環路 不用等他的TTL值消失 直接丟垃圾桶）
然後效果就是隻要是通過這個網段的路由全部確認收到之後丟進垃圾桶 不進行下一次轉化

浮動路由
又被稱爲備胎路由 原理是有兩條路可以走 其中一條斷了還可以繼續通信也就是所謂的冗餘線路 重點是他的冗餘浮動是建立在”路由優先級“上的,用優先級的公式來建立
主要寄宿於AD值

OSPF（開發式最短路勁優先）
ospf是二層中的內部網關協議俗稱“IGP”基於“數據鏈路層” 本身具有學習性 簡單說就是採取了“路由選擇”爲基礎運算來選擇路由方向 比如最基礎的AD值和COST（開銷）來決定，通過雙方的尿性“最小最優”來取決於衡量。
OPSF協議會每隔30分鐘泛洪一次目的是跟新路由表
30分鐘是第一次泛洪 再過30分鐘又泛洪一次這次是排除第一次到第二次沒有發送確認消息的路由器 然後把它“處死”

ospf內部具有”鄰居“這個說法 只要開始建立協議 宣告路由之後就會自動的和對方發送”hello“包 和對方產生”鄰居“然後雙方互換路由表 補全路勁問題
ospf建立鄰居有七個過程：

down （雙方接口down狀態）a路由器和b路由器沒有任何關係 沒發送鄰居建立協議/沒有宣告路由

init （初始化狀態即單向通信，A收到B的hello/B收到A的hello）發送包時會標識設備在ospf中的名稱/“也叫router-id” router-id個人理解是ospf顯示的鄰居ip地址 它是根據選舉出來的 選舉的規則是
1.手動更改id
2.邏輯接口 也就是loop back
3.物理接口 接口ip地址 最大的就會被選中然後寫入 “Neighbor ID”鄰居地址
其中初始化init中會有一個“選舉”就是講選舉到的路由協議上面 選舉規則是越大越好 其中順序是“先選舉 > 交換hello包 >瞭解對方的route-id”
路由ip適用於DR選舉中的第二選舉方法

two-way （雙方互相通信狀態，彼此收到對方的hello，並且從hello包中讀取信息，建立鄰居關係）
主要作用就是選舉DR和BDR，也就是主路由和副路由 作用是用來管理“範圍”路由 通俗來說就是 一個地痞老大 出面的那個 這是DR的作用 BDR就是扶持老大的那個人 扶着收集和DR同等的信息（但不常與DR的管理）然後等到DR也就是我們的老大哥“意外”駕崩之後 繼承他的位置 並且DR一旦綁定就不會輕易轉移 除非攜帶DR的設備“非正常死亡”纔會轉移到BDR
至於DR和BDR的選擇是有一個“DR優先級”
DR選舉規則：
DR優先級越大越好
DR優先級都是默認爲1
DR優先級範圍是0~255
DR優先級爲0時不參與選舉
如果優先級相等就用init上得到的route-id（越大越優）來選舉DR
概念：
DR指定路由
收集同一廣播或其他的DRtouer信息然後打包發送
注意：
DROTHER在和DR和BDR查看鏈接狀態時會顯示FULL（也就是鄰接狀態）
DROTHER在和DROTHER查看狀態時會顯示2-way（也就是鄰居狀態）
鄰接狀態是會互相發送路由表跟新狀態的 也就是隔一段時間跟新路由表
鄰居狀態是不會互相發送關係 所以會定格在2-way狀態 特別注意
DR（大哥）BDR（副大哥）DROTTHER（小弟）

個人思想：關於DR選着 在ospf內優先級統一之後是又router-id來決定DR 不過好像只是在同網段內的最大router-id來決定DR不同網段內的不同決定
比如我之前的實驗192.168.23.2是DR 192.168.23.3卻是BDR 但由於192.168.23.2<192.168.23.3 按規則來說DR應該是後者

exstart

exchange

loading

full

同時建立鄰居之後ospf可在網絡中劃分一個名叫”骨幹區“和”非骨幹區“的路由範圍 骨幹區有且只有一個 骨幹區縮寫：area 0
建立鄰居時發送的數據包：

Hello報文：建立並維護鄰居關係。 （前期是建立鄰居關係 建立之後纔是維護鄰居）
DBD報文：發送鏈路狀態頭部信息。
LSR報文：把從DBD中找出需要的鏈路狀態頭部信息傳給鄰居，請求完整信息。
LSU報文：將LSR請求的頭部信息對應的完整信息發給鄰居。
LSACK:收到LSU報文後確認該報文。
**LSU會給DR發送一個IP地址爲224.0.0.5和224.0.0.6的數據包 是用來交互信息一般是用來傳輸LSU和LSA協議

COST
csot只是一個開銷值的代表 開銷算法是100/帶寬 帶寬是根據線路改變的 我們只能更改前面的100的值 配置命令已經寫在頂端

VLAN
至於vlan這邊 通俗點理解就是你給別人開了個一個房 然後他們n個人住進去多人運動
但是vlan房間裏面有個潛規則 就是不能串門 只要你進了這個vlan 那麼你就只能在這個vlan裏面廣播 當然不是說完全無法與另一個VLAN房間裏面的人進行py交易（想要跟另類房間的人py交易可以加一個交換機/路由器然後線路對接那樣你發送的vlan id 通過tuank的數據線路裸奔 以後會記錄）
vlan id是在分發數據包的時候攜帶的一個識別號 作用是不給你隨便串門
此id是根據你所處vlan來改變的 每個從vlan裏面發出來的消息都會攜帶數據包 數據包裏面就會又vlan id 也叫tag
如果按照正規說法來說就是另一回事
vlan裏面分爲兩種類型
1.VID 需要通過CPU處理（所以到達另一個的時候需要途中轉碼）
VID按道PVID轉化過來的
2.PVID 不用通過CPU處理直接走 速度快
vlan發出來的包是pvid加數據包在單獨的路由器/交換機裏面遊走（vlan接口類型是 assess）
但有多vlan包要通過一條鏈路時可以把鏈路模式改爲trunk模式
在單獨的設備裏面傳輸時vlan發出來的是PVID加數據包 直到要出去訪問另一個vlan時 由於要去掉之前的tag所以要“脫衣服”並且在設備傳輸過程中變換爲VID模式 進入對方設備之後在轉化爲PVID 期間用了dot1q這個“加密”

在vlan中有一個特殊的vlan號 vlan1 至於爲什麼特殊
是因爲別的包比如vlan2/3/4的包要出去或者要進入另一個vlan時會脫衣服轉碼 而vlan1不會它就是一釘子戶

老師說vlan重點就是記住打tag與去tag
每個接口模式都不一樣

單臂路由/VLAN間路由/SVL

名字	作用和理論
單臂路由	是指在路由器的一個接口上通過配置子接口（或“邏輯接口”，並不存在真正物理接口）的方式，實現原來相互隔離的不同VLAN（虛擬局域網）之間的互聯互通 / 注意 ”子接口“ 這種接口是一中特殊的接口和loop一樣 雖然說是邏輯接口但是比物理接口文檔 他和loop不同的在於loop是完全獨立的一個邏輯接口 而子接口會在原本的接口關閉以後隨之關閉
vlan間路由	上面提到過 vlan是一個虛擬的局域網 它與局域網的區別就是在出入接口的時候都會攜帶一個”tag“這個tag是vlan的標籤 用於識別和幫助管理同一設備間vlan不可通信的問題 vlan也是防止arp請求和好幫手
port模式	基於上面不得不講一下接口模式 因爲不同的接口模式vlan的tag包會有不同的變化 / 子接口中 入方向打tag 出方向去tag access中 入方向打tag 出方向去tag
SVL	svl是在三層交換機下配置vlan的IP地址 也可以叫做是虛擬端口 等同於子接口

鏈路聚合

NAME	作用
鏈路聚合	將多個網絡接口合併到一起 形成一個邏輯接口 合併時它們的帶寬會相加 / 主要作用是分擔網絡負荷 給網絡線路提供冗餘保護 一般使用的聚合線路都是偶數
協議	LACP 它既是動態協議也是靜態協議 同時也是共有協議 / PAGP 它是Cisco的私有協議 基本絕種
模擬器	華爲模擬器不能配置動態lacp 華三可以配置 思科不知道

STP 生成樹協議 用於交換機
主要目的是防止網絡出現環路
防止方法是選舉最優路勁 然後堵塞一個最長路勁（出現故障時會開啓）
它所發送的包叫做BPDU
選舉時有一個明顯的區別就是：

NAME	作用
ROOT	根橋
RP	根端口
DP	指定端口
NDP	非指定端口

同時stp選舉root和一些其他的端口時會有一中規定

NAME	選舉規定
ROOT/根橋	橋ID / 橋ID是由網橋優先級和MAC地址組成 / 網橋的優先級默認是32768 / 選舉法則是越小越優 但如果網橋優先級相同 那麼 比較MAC地址的優先級 如果設備版卡里面找不到mac地址就去vlan1裏面找mac
RP/根端口	最短路勁 / 只要是非根橋設備都會選舉出一個RP / 選舉時是以root到交換機的最短距離來判定rp的歸屬 / 如果距離相等 則選舉改爲端口的橋ID / 如果還是相等選擇端口標識最小的那個（沒遇到過） / RP的作用是接收最優的BPDU包
DP/指定端口	在選舉完RP之後會開始選舉DP / DP的作用是發送最優的BPDU包 / 選舉規則也是先cost值然後橋id
NDP/阻塞端口	作用是阻塞數據轉發 直接收BPDU的包 / 當發生意外故障時ndp端口會變成dp端口

最短路勁：其實就是關於cost值的故事 而cost值又是從帶寬轉化過來的 但是注意 這裏的cost值在之前的公式上用不到 只能背

帶寬	COST
10m	100
100m	19
1000m	4
10000m	2
新設備cost公式	（2*7^10）/帶寬M

端口狀態

NAME	作用
Blocking（阻塞狀態）	此時，二層端口爲非指定端口，也不會參與數據幀的轉發。該端口通過接收BPDU來判斷根交換機的位置和根ID，以及在STP拓撲收斂結束之後，各交換機端口應該處於什麼狀態，在默認情況下，端口會在這種狀態下停留20秒鐘時間。
Listening（偵聽狀態）	生成樹此時已經根據交換機所接收到的BPDU而判斷出了這個端口應該參與數據幀的轉發。於是交換機端口就將不再滿足於接收BPDU，而同時也開始發送自己的BPDU，並以此通告鄰接的交換機該端口會在活動拓撲中參與轉發數據幀的工作。在默認情況下，該端口會在這種狀態下停留15秒鐘的時間。
Learning(學習狀態)	這個二層端口準備參與數據幀的轉發，並開始填寫MAC表。在默認情況下，端口會在這種狀態下停留15秒鐘時間。
Forwarding（轉發狀態）	這個二層端口已經成爲了活動拓撲的一個組成部分，它會轉發數據幀，並同時收發BPDU。
Disabled（禁用狀態）	這個二層端口不會參與生成樹，也不會轉發數據幀。

常見問題
當ndp端口轉換到rp端口時會消耗50s時間 因爲最初的ndp是屬於阻塞狀態
當pc機接入交換機會需要30s時間才能完成轉化 因爲電腦一開始不屬於阻塞狀態
同時也可以配置邊緣接口來優化pc接入交換機的時長問題

VRRP/虛擬路由冗餘協議
主要特點就是“冗餘”

NAME	作用
vrrp	主要特點是冗餘 是基於vlan上的虛擬端口形成 / 目的是防止單條路由全部"死亡 " 讓同一網絡環境pc機有不同的路線來聯通 和路由下一條是一樣的結果 不過特別的是它是可以選擇鏈接轉發的路由器或交換機這樣能給網絡環境帶來跟多的活動性 如果通俗點說就是在家裏挖了兩條隧道 當你不想讓他們都”空閒”時可以利用vrrp來控制數據的通訊路勁
優選的條件	條件總體依然是優先級，他們的優先級默認的是100 / 不過他待用了arp獲取mac地址來路由的擦邊球，因爲它的存在多數於交換機裏面 二層居多 / 他的mac地址表前幾位是固定的 決定於他路由的是最後的mac 最後的mac數字是和它的vrid匹配的 不過他會用進制轉化過來 / 配置時注意它必帶的虛擬ip 網絡號可以一樣 主機號一定要是254

ACL/訪問控制列表

NAME	作用
ACL/訪問控制列表	作用於流量的過濾和控制 它可以根據設定的條件對接口上的數據包進行過濾，允許其通過或丟棄 訪問控制列表被廣泛地應用於路由器和三層交換機
原理	在一個接收或發送的端口上開啓ACL來進行流量過濾 根據配置的情況來判斷該流量是否通過 如果能就使其通過 否則丟棄
收端口	如果在收端口配置ACL數據包會先進行ACL判斷然後進行路由 in
發端口	如果在發端口進行ACL數據包會先進行路由然後在進行ACL判斷 out
控制列表	配置ACL時都會創建一個叫控制列表的東西 裏面是配置那條路由可以通過與丟棄的地方 每條規則間隔最好是爲10 因爲列表的判定是從1開始往下走 如果哪天需要更改就會有跟多的冗餘性 但如果有ip地址匹配不到控制條目時華爲的是允許所有通過 思科的是拒絕所有通過

訪問控制列表配置

NAME	作用
標準IP訪問列表	一個標準IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包採取拒絕或允許兩個操作。編號範圍是從1到99的訪問控制列表是標準IP訪問控制列表。
擴展IP訪問	擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項，包括協議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優先級等。編號範圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
命名的IP訪問	所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標準和擴展兩種列表，定義過濾的語句與編號方式中相似。
標準IPX訪問	標準IPX訪問控制列表的編號範圍是800-899，它檢查IPX源網絡號和目的網絡號，同樣可以檢查源地址和目的地址的節點號部分。
擴展IPX訪問	擴展IPX訪問控制列表在標準IPX訪問控制列表的基礎上，增加了對IPX報頭中以下幾個宇段的檢查，它們是協議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號範圍是900-999。
命名的IPX訪問	與命名的IP訪問控制列表一樣，命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表，同樣有標準和擴展之分。

以上的配置我只會兩種 一種標準ip 一種擴展ip
接下來的是一種利用反掩碼來控制奇/偶ip鏈接的

由於要求R1僅能夠學習到R3的奇數位的網絡號或是偶數號的網絡號.將各個子
網拆成二進制觀察規律

192.168.1.0/24192.168.00000001.0/24
192.168.2.0/24192.168.00000010.0/24
192.168.3.0/24192.168.00000011.0/24
192.168.4.0/24192.168.00000100.0/24
192.168.5.0/24192.168.00000101.0/24
192.168.6.0/24192.168.00000110.0/24
192.168.7.0/24192.168.00000111.0/24
192.168.8.0/24192.168.00001000.0/24
可以發現,只要是192.168.x.0/24的x爲偶數,則第24位爲0,假如爲奇,則第24位爲1,因此根據此規律和ACL的0爲完全匹配1爲忽略匹配規則,可以寫出如下兩個acl,針對第24位進行匹配.
用於奇數位(odd)的網絡號:access-list 2 permit 192.168.1.0 0.0.254.0
192.168.00000001.0
000.000.11111110.0

用於偶數(even)位的網絡號:access-list 1 permit 192.168.0.0 0.0.254.0
192.168.00000000.0
000.000.11111110.0
acl類型

類型	匹配	範圍
標準ACL	只能匹配源碼地址	1-99，300-1999
拓展ACL	匹配ip地址 數據類型 端口號	100-199，2000-2699
命名ACL	標準/拓展	以上爲標準

NAT/網絡地址轉換

個人理解nat就是將私網地址轉換爲公網地址從而達到訪問公網的目的 同時nat裏面的講究也很多
它糾紛於什麼外部 內部轉換 靜態和動態的轉換 但是對於我這種道行淺顯的人來說能通就行啥都是一把梭嘿嘿嘿。

name	作用
NAT	1.寬帶分享：這是 NAT 主機的最大功能。（表示沒用過不會）2.安全防護：NAT 之內的 PC 聯機到 Internet 上面時，他所顯示的 IP 是 NAT 主機的公共 IP，所以 Client 端的 PC 當然就具有一定程度的安全了，外界在進行 portscan（端口掃描） 的時候，就偵測不到源Client 端的 PC 。 （要我說主要作用就是私網地址和公網地址之間的轉換）

NAT狀態
靜態NAT	是指將內部網絡的私有IP地址轉換爲公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換爲某個公有IP地址。藉助於靜態轉換，可以實現外部網絡對內部網絡中某些特定設備（如服務器）的訪問 （老師說可以作用於端口映射 用私網的ip和公網ip綁定）
動態NAT	是指將內部網絡的私有IP地址轉換爲公用IP地址時，IP地址是不確定的，是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換爲任何指定的合法IP地址。（如果有多的公網ip就可以和私網ip組成動態的nat 但是指令那邊要建立一個可隨機的地址池和dhcp差不多）但是前提就是要擁有多個公網合法ip 和共享單車的原理差不多 一個區域的單車數量是固定的但是需要騎行的人數不是固定的 所以單車都會設置一個停車地點 讓用完車的人定點歸還單車 即保證了單車的可用性也保證了單車的數量
端口多路複用PAT	內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，從而可以最大限度地節約IP地址資源。同時，又可隱藏網絡內部的所有主機，有效避免來自internet的攻擊。因此，目前網絡中應用最多的就是端口多路複用方式。（老師說現在ip地址還沒枯竭的原因最大的就是因爲這個 極大的減少了公網ip的需求，它利用源端口將多個內部本地地址映射到一個內部全局地址）要我個人理解就是用一個公網ip支持多個內網ip訪問公網

私網ip地址	範圍
A類網	10.0.0.0~10.255.255.255 /8
B類網	172.16.0.0~172.31.255.255 /12
C內網	192.168.0.0~192.168.0.0 /16

這就是旅行的終點
先不談官方的話語 nat是我ia的最後一節課 也是這篇草稿的終點 這篇草稿是我第二次學ia時順便寫的 我希望自己或者以後有人看到的時候能夠把有瑕疵的地方私信給我完善 我希望不只是依靠我一個人的力量來支援“未來” 我知道這樣不好做但是我以後還是會這樣不斷的記錄 不論是爲了我自己還是爲了以後來這裏尋求答案的你們 我希望創造一個環境，這個環境需要人來維護 改正 完善 直到沒有瑕疵 那纔是我希望中的終點。
我是個職高的透明鬼 我想給自己一個機會 …
點燃火把 迎接黑暗
世界很大我們都需去看看
做人一定要確定自己的目標 有目標的人才不會輕易迷茫

我還是會跟新我的草稿我會將它修正到無可指點爲止——2020/6/ 23：15 PX著
QQ：3187440464（如果有需要修改的地方請叫我）