CCNA课程总结
第一章
1、OSI七层模型、TCP/IP 四层模型
7 应用层
6 表示层
5 会话层
4 传输层 =======数据段(segments) 端口号
3 网络层 =======包(Packets) IP地址 电脑、路由器
2 数据链路层 =====帧(frames) MAC地址 网桥、交换机
1 物理层 =======比特(bits) 01010101 HUB
网络主要研究2、3层。
2、数据是经过逐层的封装和解封装来传输读取的。
封装就是逐层加相应层的包头,向下传递。
解封装就是相反的操作,逐层的去掉各层的包头,向上传递。
各层只能读懂对方相应层的内容。
3、IP地址,是在三层定义的。逻辑地址。
网络位+主机位 子网掩码:(告诉网络设备占用了多少位网络位)
A:(0xxxxxxx) 1---126 N+H+H+H 网络位:8位 255.0.0.0
B: (10xxxxxx)128---191 N+N+H+H 网络位:16位 255.255.0.0
c: (110xxxxx)192---223 N+N+N+H 网络位:24位 255.255.255.0
特殊的地址:
0.0.0.0 不用
127.0.0.0 网段环回测试使用
网络地址:主机位都为0
广播地址:主机位都为1
私有地址:10.0.0.0 ---- 10.255.255.255
172.16.0.0 ---- 172.31.255.255
192.168.0.0 ---- 192.168.255.255
IP地址分配:手动 、自动(DHCP)
4、同一个网段内的主机才能通信, 不同网段不能通信。不同网段之间通信要通过路由器。
5、传输层两个协议: TCP UDP
TCP:可靠的连接、面向连接
UDP:不可靠的连接、非面向连接。
6、TCP的可靠连接是通过三次握手(建立连接)来实现的。三个过程:标识位分别为:syn、syn ack 、ack
seq 和ack号的关系,同一个握手过程,放送方的第一个seq 随机,而对方相应的ack=seq+1 。
流控制(提高带宽使用效率):通过就绪/未就绪和窗口机制(实时协商滑动窗口)两种方法。
7、传输层使用端口号,目的是多路访问(在同一主机上区别不同的应用层服务)
8、ARP(地址解析协议)。解决IP地址到MAC地址的映射。ARP表中保存的是对方的IP地址和介质连接对端的MAC地址。
9、以太网是LAN中主要的封装协议。
10、以太网和IEEE 802.3 区别。IEEE 802.3 分成两个子层:LLC MAC 。LLC子层相当于以太网中的type字段。
11、T568A 和T568B两种线序。同层设备交叉线,不同层设备直连线。
12、HUB和交换机(网桥)的区别。交换机分割冲突域。
13、共享LAN的CSMA/CD 机制。
14、交换机:学习(源mac地址)、转发(目的MAC 地址)、防止环路。
15、转发:存储转发
、直通转发
16、帧中数据大小 46-1500 字节。帧头18字节,帧的大小 64-1518字节。
第二章
1、Cisco IOS
1、查找、自检硬件
2、查找、加载IOS镜像。
3、查找、应用设备配置文件。
2、EXEC模式:
用户模式:">" 查看很有限的配置
特权模式:">" 输入 enable "# " 查看更详细的配置
配置模式:"#" 输入configure terminal "(config)#" 又叫全局配置模式
接口模式:"(config)#" 输入 interface f0/1 "(config-if)#" 配置接口的相关信息。
3、running-config 和startup-config 的区别
#copy running-config startup-config
#show running-config
#show startup-config
4、交换机端口密码:
1、console 密码:
switch(config)#line console 0
switch(config-line)#login
switch(config-line)#password cisco
2、vty 密码:
switch(config-line)#line vty 0 4
switch(config-line)#login
switch(config-line)#password cisco
3、enable 密码:由用户模式进入特权模式时输入的密码。
switch(config)#enable password cisco (明文)
switch(config)#enable secret cisco (MDS加密)
将明文密码加密
switch(config)#service password-encryption
解除加密
switch(config)#no service password-encryption (解除后,之前加密的密码仍然是乱码,而新输入的密码开始明文显示)
5、交换机端口安全:
配置:
switch(config)#int f0/5
switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation shutdown
查看:
Switch#sh port-security int f0/1
Switch#sh port-security address
6、开启日志显示功能
Switch(config)#logging on
Switch(config)#logging console
7、VLAN
VLAN:逻辑上分割广播域。分割成单独的小网段,每个网段使用不同的IP地址网段,VLAN之间不能直接通信。节省了路由器数量。
8、交换机的接口有两种模式:access (访问接口)和trunk(中继接口)。
区别:access接口连接PC。trunk交换机之间,或者交换机到路由器,或者一些带有中继功能的特殊网卡。
9、trunk(中继):承载多个VLAN的数据通过。
有两种协议:ISL (思科私有,已经逐渐被淘汰)
IEEE 802.1q (简称:dot1q)。原理是在源帧头的基础上加一个tag,打一个标记,注明帧是属于哪个VLAN,从而区别开不同VLAN的数据。
10、VLAN成员模式:
静态:手动设置交换机上的接口属于哪个VLAN
动态:通过VMPS(VLAN 管理策略服务器)自动将某台设备划分进相应的VLAN中。原理是根据MAC-VLAN 映射表。
语音VLAN: 当IP电话接入交换机接口后, 交换机能自动识别出是IP电话, 从
而划入Voice Vlan中。
11、本地VLAN(Native Vlans)
IEEE 802.1q 将不同的VLan打上不同的标记以区别。同时通过非标记的VLAN和标记的VLAN也能区别开。非标记的VLAN称为本地VLAN,一般为VLAN 1 ,本地VLAN中的数据大部分是网络各种协议的管理性数据。
trunk两端的设备本地VLAN要划分在同一个VLAN中, 默认都是VLAN 1 ,建议不要修改本地VLAN。
12、VTP协议
VTP (Vlan Trunk Protocol):通过服务器/客户端模式,自动同步VLan信息(VLAN号和VLan名字),减少手动误敲入。
VTP消息只能在trunk上传播, 所以服务器和客户端之间的线路一定要是trunk。
VTP采用域的概念。交换机只能属于一个域。域中的交换机拥有相同的VLAN信息。
13、VTP模式(3种)
服务器:创建、修改、删除VLAN;发送、转发消息、同步VLAn配置
客户端:发送、转发、消息。同步VLan配置。
透明模式:只在本地交换机上有效。创建、修改、删除VLAN,都是本地有效。只转发消息。和其他交换机不同步VLAN配置。
修订版本号: 通过此号来判断是否为最新的VLAN信息。最终交换机都要同步到最近的修订版本号。
二手的交换机接入网络时,要使修订版本号清零。方法:删除flash:vlan.dat文件。
14、VTP修剪
允许动态向中继添加或删除一个VLAN。提高更高效的交换网络
修剪分:动态、静态。
静 态:手动,缺点是, 如果添加新的vlan,两端都要添加。
动态:交换机之间共享VLAN信息,从中继中动态修剪非活动的VLAN,当即过非活动VLAN激活时,交换机之间再通知最近活动的VLAN
服务器模式下,VTP才能启动VTP修剪,其他交换机处于VTP服务器或客户模式下。
透明模式交换机,必须手动修剪VLAN。
15、配置顺序(重要)
1、VTP
2、Trunk
3、添加VLAN
4、将接口划入VLAN中。
16、以太通道(EtherChannel)
多条物理链路聚合,逻辑上一条线路。
对STP来说, 就是一个逻辑端口。
17、冗余的拓扑(避免单点故障)
三个问题:广播风暴、多帧复制、MAC表不稳定。
18、STP(spanning tree protocol)防止环路
通过指定某个端口为block状态,达到防环。
使用spanning tree算法。
使用IEEE 802.1D 规范。
在一个广播域(VLAN)选取一个根桥
非根桥的交换机选择一个根端口
在每个段上选择一个指定端口。
非指定端口上阻塞用户流量。
路径开销(选择端口时使用) cost
10G ----------- 2
1G ------------ 4
100 ----------- 19
10 -------------- 100
19、BPDU
作为组播帧,只发送给侦听该内容的其他交换机。
交换机通过BPDU学习网络拓扑。
默认每2秒钟发送BPDU,加速收敛。收敛,网络中一个术语,描述处理更改并是
网络回到运行状态所用的时间。
10个周期,20秒没有收到BPDU, 重新计算STP。
BPDU中携带Bridge ID
Bridge ID=优先级+MAC
优先级=2个字节,0--65536 , 默认32768,数值低优先
20、端口状态
阻塞(20秒)、侦听(15秒)、学习(15秒)、转发、禁用
整个时间在30-50秒之间。
21、PortFast
端口快速转发到转发状态。
仅能在访问接口(access)配置。
如果流量跨过交换机,必须等待STP完成。
22、PVST+ (Per VLAN Spanning Tree Plus)
CST (普通生成树):对所有VLAN使用一个STP实例。
PVST+:每个VLAN提供单独的STP实例,每个VLAN有自己的根交换机。
PVST+ 优点:如果STP更改发生在一个Vlan中,这些更改不会影响其他VLAN。
缺点:每个VLAN都有STP实例,所有会有更多的开销,BPDU和STP表就会多。
在Bridge ID的字段中加入一个System ID(System ID=VLAN)
23、Rapid Spanning Tree Protocol (快速生成树 ) 802.1W
两个额外的接口:交替端口、后备端口。
3个周期 ,6秒没有收到BPDU,重新计算STP。
端口:丢弃、学习、转发
24、Cisco交换机支持三种STP
PVST+
PVRST+
MSTP
STP默认是开启的。
Cisco交换机的默认STP模式是PVST+。(所有的VLAN指定同一个根桥,没有优化的STP)
25、单臂路由
VLAN之间通信。
VLSM
26、DHCP
1、客户端生成一个DHCP Discover 本地广播
2、服务器端用 DHCPOFFER 单播消息回应。(包括IP地址、子网掩码、DNS等,并不完全的列表),同时收到多台服务器的消息,会选择其中一台服务器(通常最先到达的那台)
3、客户端用DHCP REquest消息回应相应的服务器。如果一些配置冲突,发送 DHCP decline
4、服务器:用DHCPACK 消息进行回应
27、跨网段的DHCP
使用 IP helper-address命令使广播用单播发送给服务器。
28、双网段的ARP,代理ARP、无故ARP
29、WAN的设备相比LAN多了Modem和CSU/DSU,主要进行调制解调
30、DTE、DCE。DCE提供时钟 (clock rate)
31、WAN数据链路层的协议:HDLC、PPP、Frame Relay、ATM
32、WAN连接有4种:
租用线路:
电路交换:电话、PPP、HDLC
分组交换:Frame Relay
信元交换:ATM
33、VPN 虚拟私人网络
私人网络的信息穿过公共网络
34、VPN实现
Cisco Easy VPN
IPsec SSl VPN(Web VPN)
35、IPsec 一个开放性的框架。
36、HDLC封装
标准HDLC和Cisco HDLC封装。Cisco HDLC 多了一个私有字段,可以识别不同的上层协议。
而标准的HDLC没有此字段, 所以只能使用在只有一个协议的串行链路。
Cisco HDLC 必须两端都是cisco 的HDLC才能通信,兼容性不好。
Cisco设备串口默认的封装方式就是HDLC
37、PPP封装
标准的开发方法
基于HDLC 的协议开发的,
帧的结构基本一样。有Protocol字段,识别不同的上层协议。
PPP 提供认证(HDLC没有认证)
PPP两个NCP和LCP子层。
NCP : 识别上层不同的协议
LCP:认证或者压缩方法等其他选项。
38、PPP认证
PAP:明文认证。二次握手
CHAP:加密认证。三次握手
39、静态路由
手动添加路由条目
格式:ip route 要到达的网段或主机+出口或下一条地址
40、默认路由
路由表中没有的路由条目,都发给默认路由指定的出口或者下一跳。
41、帧中继
在二层封装,封装加DLCI号。
VC(虚电路):VC是两台设备之间的逻辑连接,和租用线路相比优点价格低提供全互联。
VC分两种:永久 PVC(Permanent VC)和交换或者半永久(switched VC)SVC
LMI(local management interface)本地管理接口,定义了DTE和DCE之间的通信。主要的功能就是在DTE和DCE之间交换VC和自身的状态信息。
3种不同的标准
ANSI 0
Q.933 0
cisco 1023
本地有意义,所以每个帧中继的DTE不必使用相同的LMI类型。
DTE和DCE之间进行LMI通信,必须使用虚电路,保留的虚电路用于LMI信息
DLCI(data link connetion identifier)数据链路连接标识符。唯一标识虚电路,是虚电路的地址。在 本地有意义,在不同的网段上会有变化。
帧中继的地址映射
原因:如何在两个DTE之间发送数据。路由器默认情况下不知道使用哪条PVC或者不知道哪台设备使用 哪条PVC。路由器必须设法学习到DLCI号和VC远程终端的3层地址。
在帧中继中使用两种方法来解析。解析将远程帧中继DTE的3层地址映射到路由器用于到达DTE的本地 DLCI号上。
手动解析、自动解析
手动解析:frame-relay map +三层协议 + 三层地址 + 本地的DHCI号 +broadcast(可选)/帧的类型( 可选)。
默认情况下,本地广播和组播不能通过PVC,是单播,所以一些路由协议都是用广播或者组播来更新路 由条目
动态解析:使用逆向ARP。逆向ARP允许设备自动发现每个VC使用的第3层协议和地址
默认情况下,逆向ARP是启动的, 使用no frame-relay inverse-arp禁用。
VC状态:
1、激活:在帧中继的DTE之间的VC是处于联通状态及可操作的。
2、非激活:帧中继DTE和DCE之间的VC是出于联通状态及可操作的,但在连接的帧中继交换机和接受站 点DTE之间的连接有问题。
3、删除:没有本地VC从帧中继交换机接受任何LMI消息。
42、帧中继的拓扑
NBMA :非广播多路访问。(Nonbroadcast MultiAccess)
NBMA就是一个允许多台设备访问的环境,但不支持像以太网那样的传统广播环境。模拟出广播环境。
NBMA拓扑类型:
全网状互
联
部分网状互联
点对点
星形:轴副式。
部分网状互联时,NBMA环境问题出现了。给支持水平分割的路由选择协议带来问题。
水平分割:一些路由协议使用水平分割来阻止路由选路环路问题,水平分割:如果路由选择信息是从某个接口学习得到的, 该路由选择信息不会从同一个接口传播出去。
解决方案:
1、全网互联: 购买更多的VC,成本较高。
2、配置静态路由:工作量大,维护不方便。
3、禁用水平分割,但是是全部禁用或全部启用的。如果A上连接其他LAN,会造成路由选择环路。
4、子接口。也是首选方案,。子接口是逻辑接口,一个物理接口支持很多子接口。每个子接口在一个独立的网段中。但是浪费地址。建议使用/30.
子接口:点对点和多点子接口
点对点:
子接口运行想租用线路。
每一个点对点的子接口需要自己的子网
点对点适用于hub-spoke拓扑
多点子接口(和物理接口类似):
子接口运行像NBMA网络,不能解2决水平分割的问题。
可以节省地址,因为它使用单一的子网
多点适用于部分mesh或Full-mesh拓扑。
43、动态路由
AS(自治系统),内部和外部路由协议
IGP:RIP、OSPF、EIGRP
EGP:BGP
度量值:
RIP: 跳数
OSPF:成本
EIGRP:带宽、延迟、负载、可靠性、MTU
AD:管理距离
路由协议之间的优先级,AD值低的优先
距离矢量:RIP 120
高级距离矢量:EIGRP 90
链路状态协议:OSPF(110)、IS-IS
44、RIP
距离矢量路由协议,RIPv1 是有类别路由协议,RIPv2无类别路由协议。
RIPv1是广播发送消息更新,每30秒发送一次广播更新。
防环机制:
1、最大跳
2、水平分割
3、毒性逆转 ,把路由的度量值射为无穷大。
4、抑制计时器。180秒,6个周期
5、触发更新
RIPv2是组播更新,地址:224.0.0.9
RIPv2无类别路由协议,支持VLSM、支持自动汇总、支持认证。
被动接口:RIP中启动被动接口,只接受路由信息, 不发送路由信息。
邻居:通过指定邻居,实现单播传递路由。
45 、OSPF
通过交换hello包建立邻居关系。
OSPF 有三个表:OSPF 邻居列表、拓扑表(包括所有路由器及其路由/链路的状态数据库)、路由选择表。
OSPF 分层的结构(骨干区域0 和非骨干区域, 非骨干区域必须连接骨干区域)
OSPF:自治系统和区域。
(自治系统)进程号,只有本地有意义,用于区别在同一个路由器上运行的不同OSPF进程
OSPF邻居邻接关系: 通过Hello 协议。
相连的路由器(物理上邻居关系)不一定是邻接关系。
OSPF路由器成为邻居。一些项目必须匹配:
区域号:
hello 和失效时间间
隔
OSPF密码
末节区域标记
MTU大小。
OSPF的Router ID
给知道OSPF的路由器编号。ID值要是唯一的,不仅在整个区域是唯一的,在整个OSPF网络也是要唯一。
1、手动设置router ID
2、设置激活状态下的环回口中具有最高IP地址为 Router ID
3、激活状态下的接口中最高的IP地址,为Router ID
可以通过
SPF算法:最短路径算法
成本=参考带宽/接口带宽。成本累计值,低的优先。
指定和备份指定路由器(DR、BDR、DRother)
在每个广播网段上相当于客户端/服务器设计。OSPF路由器使用IP组播地址224.0.0.6 与DR交流,DR与BDR使用224.0.0.5组播IP地址与所有OSPF路由器交流。
通配符:和子网掩码相反。
46、EIGRP
高级距离矢量协议,负载均衡在等价和非等价上进行。
组播更新:使用组播地址:224.0.0.10
三个表:邻居表、拓扑表、路由表
EIGRP成为邻居,匹配:
AS号
K值 5个值
路径计算。扩散更新算法。(DUAL)
可行距离(Feasible Distance FD):从本地路由器角度计算,到前往子网的度量值。
通告距离(Advertised Distance AD),从邻接路由器(通告该路由的邻居)的角度计算得到的度量值
后继路由 (Successor): FD最小的那条,称为后继路由
可行后继路由(Feasible Successor,FS):计算出后继路由之后,继续询问这样的问题,如果当前的最佳路由实效,是否有可供立即使用的路由,且不会导致环路。并将这些没有环路点备用路由存储在拓扑表中
可行条件(feasible condition,FC):路由的AD小于最佳路由的FD,则该路由为可行后继路由
EIGRP默认开启汇总。(关闭:no auto-summary)
公式:默认使用带宽和延迟。 K1=K3=1 其他K为0.
EIGRP支持非等价的负载均衡。通过修改差异变量来实现。FD(fs)
EIGRP MD5认证。定义钥匙串,再定义钥匙号,最后定义钥匙密码。
47、ACL
标准ACL、扩展ACL、命名ACL
标准ACL:检查源地址 (1-99,1300-1999)
扩展的ACL:检查源和目的地址。通常允许或拒绝详细的协议和程序。协议类型、源和目的端口。(100-199,2000-2699)
命名ACL: 没有编号
标准ACL靠近目的,扩展ACL靠近源。
每个接口每个方向只能调用一个ACL
ACL最后隐藏deny any的语句。
48、NAT、PAT
NAT: Network Address Translation
PAT:Port Address Translation
内部本地、内部全局、外部全局、外部本地
静态NAT:一对一
动态NAT:多对多
PAT:多对一 (通过端口区别)
在接口上指定是内部还是外部接口
49、IPv6
IPv6 16个字节,128位,2个字节一组 ,共八组。字符串表示法
IPv6地址表示方法:前导0可以省略,
有连续为0的位组可以用::表示,但是一个地址只能出现一次。
IPv6 地址类型:
单播:全局、保留、本地链路
组播:包含“全部节点”的多播地址
任播:到最近的。(单播地址空间分配的),一个任播地址表示的更像一种服务,而不是一台设备,并且相同的地址可以驻留在提供相同服务的一台或多台设备上。好处是: 路由器总是选择到达“最近的”“代价最低点”服务器路由器。。任播地址仅是根据它们提供的服务功能而定义的。
全局地址:2000::/3 开头
本地链路:FE80::/10 开头
环回:::1/128
全局地址组成:注册前缀+ISP前缀+站点前缀+子网前缀+64位接口ID。子网固定为16位。
IPv6地址分配:
静态:手动和EUI-64。
EUI-64:根据MAC计算的方法, MAC 48位,中间24位分开,加上16位 FFFE,在IPv6地址中反转第7位。
动态:自动配置和DHCPV6
IPv4——IPv6的转换方法:双栈、tunnel
50、路由器、交换机密码恢复
路由器密码恢复:
配置寄存器值0x2102: 路由器寻找和定位IOS镜像和配置文件时使用默认的启动过程。
配置寄存器值0x2142 :下次重新启动时,路由器还是使用默认的行为定位IOS,但是不加载Nvram的配置文件,直接进入系统配置会话。
更改配置寄存器值:一是特权模式,二是ROMmon模式.
1、开机10秒左右按Ctrl+break,进入Rommon模式。
2、rommon1 > confreg 0X2142
3、rommon2 >reset
4、 重启之后执行下面操作
Router> enable
Router# copy startup-config running-config
Router# config t
Router(config)# enable secret xxxxxx 之后
Router(config)#config-register 0X2102
Router(config)#exit
Router# copy running-config startup-config
Router# reload
交换机的密码恢复:
1、启动过程中10秒钟左右按下前面板MODE按键
2、终端进入switch:
3、switch: flash_init加载flash_init
4、输入load_helper交换机管理助手
5、输入dir flash 找config.text 文件
6、输入 rename flash:config.text flash:config.old 通过修改文件命令,重新命名 。当交换机启动时没有找到config.text文件就将无法加载初始密码信息 ,进入配置界面。
7、输入boot 重启交换机。
重启之后,进入特权模式:
1、修改名字的config.old文件还原成config.text。执行命令为rename flash:config.old flash:config.text。
2、执行命令为copy flash:config.text system:running-config ,将新修改的config.text信息进行加载,
3、重新配置密码保存。