什么是HCIP?
HCIP是华为认证ICT高档工程师的简称,也是华为认证的中级认证。HCIP认证主要定位于中小型网络的规划、设计、配置与维护,涉及网络基础、常见接口与电缆、以太网交换机、路由器原理、TCP/IP协议、广域网协议、路由协议、DDR/ISDN、访问控制列表、备份中心、简答网络故障排除等内容。拥有HCIP认证,意味着你具备了对数据通信网络的全面深入理解,掌握了面向中小型企业的网络通用技能,并具备规划中小企业网络以及使用华为网络设备实施你的规划的能力。
核心为分层
应用层---人机交互的窗口
表示层---编码---转换数据为二进制:加密解密、压缩解压缩、编码转码等(编码格式统一)
会话层---建立维护和端口一次PC到服务器的逻辑通道
传输层---实现端口到端口的传输/应用到应用之间的传输
(端口号:SPORT DPORT 16位二进制构成0-65535实际上的端口号为1-65535 知名端口号(著名端口号:1-1023))
网络层---利用IP地址进行逻辑寻址
SIP: 静态配置 dhcp
DIP:直接知道 DNS域名解析 通过广播获取
数据链路层---二进制--电信号--控制物理层
物理层---传递和处理电信号
TCP/IP 协议簇
OSI模型的初衷是希望为网络体系结构与协议的发展提供一种国际标准,但从现实的网络技术发展状况看,互联网所使用的TCO/IP参考模型代替了OSI模型,成为事实上的国际标准。
TCP/IP模型由四个层次组成,自上而下分别为应用层、传输层、网络层,网络访问层。
网络类型和数据链路层协议
网络类型
P2P网络——点到点网络
MA网络---多点接入网络
BMA:广播型多点接入网络
NBMA:非广播型多点接入网络
P2P网络——点到点网络
在一个网络中只能存在两台设备的情况下,不需要对通讯的对象进行区分,那么这样的网络实际上不需要MAC地址也可以通讯,被称为点到点网络
支持以太网协议的传输介质:网线 光纤 无线 同轴电缆
支持P2P协议的传输介质:串线
T1标准---北美:1.544Mbps
E1标准---欧洲:2.048MBPS
网线双绞线,以太网研发了频分技术
点到点网络协议
HDLC---高级数据链路控制协议
兼容性很差
标准的HDLC协议
非标的HDLC协议
[r1]display interface Serial 4/0/0 --查看接口二层信息
[r2-Serial4/0/0]link-protocol hdlc--修改接口默认二层协议,
PPP---点到点协议
1.兼容性很好—PPP协议只有一个版本,只要支持全双工的线缆都可以使用PPP
2.可以进行认证和授权
3.可移植性强
1.链路协商阶段
LCP协商--去协商PPP链路会话
2.认证(可选)
3.NCP协商---网络层协议协商阶段(根据网络层协议的不 同NCP协议就会存在一个对应的NCP协议)
认证---参数(PAP CHAP)
1.链路协商阶段
LCP协商--去协商PPP链路会话
MRU---协商二层数据最大可用携带的数据量,默认1500字节
MTU---最大传输单元
2.协商是否认证(以及认证采用的协议)
PAP认证--密码认证协议
认证方
[r2]aaa--进入AAA密码账号空间
[r2-aaa]local-user huawei password cipher 123456--设置账号和密码
[r2-aaa]local-user huawei service-type ppp ---定义账号的服务对象
[r2-Serial4/0/0]link-protocol ppp--修改链路层协议为ppp
[r2-Serial4/0/0]ppp authentication-mode pap--定义PPP认证模式
被认证方
[r1-Serial4/0/0]ppp pap local-user huawei password cipher 123456--- 拨号,携带账号密码
chap认证---挑战握手认证协议
补充:HASH---算法:将任意长度的输入转换为固定长度的输出:相同的输入相同输出;不可逆性;雪崩效应
CHAP认证的配置
[Huawei-Serial4/0/0]link-protocol ppp
认证方
[Huawei]aaa
[Huawei-aaa]local-user huawei password cipher 123456
Info: Add a new user.
[Huawei-aaa]local-user huawei service-type ppp --在AAA空间中创建账号和密码
调用
[Huawei-Serial4/0/0]ppp authentication-mode chap ---接口选择认证协议
NPC协商阶段---IPCP:互联网协议协商阶段
压缩格式必须统一;IP地址
一旦地址协商成功会自动生成一条去往该IP地址的主机路由
IP地址获取方配置
[Huawei-Serial4/0/0]ip address ppp-negotiate
下发地址的设备配置
[Huawei-Serial4/0/0]remote address 23.0.0.2
MGRE---VPN---虚拟专用网络----核心:隧道技术:封装技术
NAT 物理专线---成本 地理位置本身的限制
GRE--通用路由封装
MGRE
前提
[r1]ip route-static 0.0.0.0 0 12.0.0.2 --必须在边界路由器上配置缺省路由指向ISP的设备
[r1]interface Tunnel 0/0/0----第一步创建TUNnel接口
[r1-Tunnel0/0/0]ip address 192.168.3.1 24---第二步配置IP地址(注意必须是私网地址)
[r1-Tunnel0/0/0]tunnel-protocol gre ----第三步定义封装协议
[r1-Tunnel0/0/0]source 12.0.0.1---第四步定义封装内容,源IP地址为自身物理接口IP地址(公网地址)
[r1-Tunnel0/0/0]description
[r1-Tunnel0/0/0]destination 23.0.0.2--第五步定义封装内容,目标IP地址为建立隧道对端物理接口IP地址(公网地址)
分支---
[r2]interface Tunnel 0/0/0 --创建隧道接口
[r2-Tunnel0/0/0]ip address 192.168.5.2 24---隧道接口配置IP地址
[r2-Tunnel0/0/0]tunnel-protocol gre p2mp--定义隧道封装协议
[r2-Tunnel0/0/0]source 25.0.0.1 或者:[r2-Tunnel0/0/0]source GigabitEthernet 0/0/0之间源地址关联边界路由器连接ISP的物理接口
[r2-Tunnel0/0/0]nhrp network-id 100
[r2-Tunnel0/0/0]nhrp entry 192.168.5.1(中心的隧道IP地址15.0.0.1(中心隧道对应的物理地址) register---必须告诉分支中心是谁,以及怎么把汇报信息发给中心
查看NHRP表的指令
[r1]display nhrp peer all --
RIP--环境下的MGRE配置
[r1]rip
[r1-rip-1]---启动RIP协议
[r1-rip-1]version 2 ---选择V2版本
[r1-rip-1]network 192.168.1.0
[r1-rip-1]network 192.168.5.0--宣告(主类宣告)
ISIS OSPF
链路状态路由协议:开放式的最短路径优先协议每台运行了OSPF协议的设备均会共享自身的接口连接情况(LSA---拓扑信息),所以设备互相共享这些信息之后就可以获取到整个OSPF网络的拓扑信息,随之依靠SPF算法计算得出路由。
Eigrp RIP--距离矢量路由协议--共享路由表
动态协议--由运行同一种动态路由协议的路由器通过沟通协商最终计算得出的路由信息
1.占用资源少
2.收敛速度快
收敛---首次收敛
拓扑结构发生变化重新收敛
3.选路优
通过范围划分
外部网关协议---EGP BGP
内部网关协议---IGP---OSPF RIP ISIS EIGRP
根据协议本身的特点
有类别的动态路由协议:在传递路由信息时不携带子网掩码--- RIPv1
无类别的动态路由协议:在传递路由信息时携带子网掩码
RIPv1--采用广播的方式传递数据包
剩下所有的协议均使用组播发送自身的数据包(IGP)
IP实际上只能适用在中小型网络环境---16跳的限制
而OSPF能够适应中大型的网络环境
OSPF为了适应中大型的网络环境采用了结构化部署的思想(区域划分)
区域ID--32位二进制组成,用点分十进制表示
标准的区域划分要求: 区域之间必须存在ABR设备
ABR设备—同时属于两个区域的设备---一台ABR设备可以同时属于
多个区域 区域划分必须按照星形拓扑结构部署
一般把OSPF的中间区域称为骨干区域,=并且要求骨干区域的区域ID必须是0.0.0.0(area 0)
OSPF网络如果进行了区域划分,这样的网络称为多区域OSPF网络,如果没有进行区域划分称单区域OSPF网络
周期保活---运行了OSPF协议的路由器会以10S为周期发送HEELO报文,hello报文中会携带本设备的RID,对端收到后就可以判断本设备存活,如果40s没有收到HEELO包,就认为该设备故障,会清空从该设备学到的LSA。
hello时间--默认是10s/30S
Dead-time死亡时间---默认是四倍的hello时间
RID---运行了OSPF的路由器设备为了区分和标识不同的路由器身份设计的路由器编号--本质是32位二进制,用点分十进制表示获取R-ID的方式有两种
手工配置--由工程师自行配置,符合要求即可(IP地址格式,不能重复)
自动生成--设备会选择自身环回接口数值最大的作为自身的RID-如果设备没有配置环回会选择接口IP地址数值最大的作为RID
DBD包---数据库描述包:会携带数据库中收集到的LSA信息的摘要值
LSDB--链路状态数据库--存储收集到的LSA信息
LSR--链路状态请求包
LSU-链路状态更新包
LSACK--链路状态确认包
OSPF的状态机
邻居建立的过程
当收到对端发送的hello报文中携带自身的RID,才可以进入2-way确保hello报文的可靠传递,保证对端一定收到了我发送的hello报文
2-way--必须收到对端发送的hello报文中携带本地的RID才可以进入该状态,该状态标志着邻居关系的建立
条件匹配——只有条件匹配成功的路由器才可以进入下面的状 态,如果条件匹配失败则停留在邻居状态,仅使用heelo包进行周期保活
预启动状态--主从关系的选举--OSPF协议并不希望同时共享LSA信息,因为这样会在某一时刻很多设备同时共享这样会导致链路带宽被占用过多,导致数据传输收到影响
选举规则:会比较设备RID的大小,rid大的设备将成为主设备 进行主从关系选举的OSPF数据包是DBD包,并且该DBD包没有携带真正的LSA摘要信息
准交换状态---使用真正携带摘要信息的DBD包传递LSA摘要信息
1.建立邻居:启动配置之后,ospf将向本地所有的运行了ospf协议的端口发送hello包(224.0.0.5),hello包中携带自己的RID用来区分不同路由器的身份(不携带路由信息),同时携带自己已知的邻居RID,之后会将这些RID存储 在自己的邻居表中。
2.条件匹配:邻居表建立完成之后,会进行条件匹配,如匹配成功则开始进入下一个状态,如果匹配失败则会停留在邻居关系。---之后仅hello包进行保活。
3.如果匹配成功,则开始建立邻接关系-之后会使用未携带数据DBD包(并没有携带LSDB的摘要信息)进行主从关系的选举。主路由器会优先进入下一个状态,会优先发送摘要进行比对,比对之后,会请求自己本地没有的lsa信息。对端 会发送真正携带lsa信息的LSU包,会利用LSACK进行确认。本地的链路状态数据库建立完成,生成本地链路数据库表。---Full
4.完成收敛----基于本地的链路状态数据库收集的lsa,根据自己的spf算法计算得出最短路径树。生成路由表。
5.收敛完成后,会使用hello包每10s发送一次,用来保活邻居关系。ospf会每30min进行一次周期更新。
[r1]ospf 1 router-id 1.1.1.1---启动协议进程(进程号一致即可),建议手工指定设备的RID
[r1-ospf-1]area 0--创建区域--
[r1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 --宣告(范围宣告)--利用反掩码(和掩码的规则相反,掩码为0的部分反掩码就为1,掩码为1的部分反掩码就为0)
[r1-ospf-1-area-0.0.0.0]network 12.0.0.1 0.0.0.0---精确宣告,相当于利用了反掩码的规则直接锁死一个IP地址(仅宣告接口对应的IP地址)
[r2]display ospf peer brief --查看OSPF邻居简表
[r2-GigabitEthernet0/0/0]ospf mtu-enable --OSPF协议默认是不进行接口MTU检测的,如果想要开启该功能需要手工配置。
[r2]display ospf peer---查看ospf邻居表详细信息
当网络结构发生变化(新增或者断开一些网段)OSPF会直接进行触发更新发生LSU数据包。
条件匹配---在一个广播域中需要选择一台路由器(DR)和剩下所有路由器建立邻接关系,同时需要选择一台备份设备,充当DR的备份,当DR设备出现故障需要行使DR的工作。
DR和BDR的选举规则:先看接口优先级,之后会根据设备的RID大小选择RID大的作为DR次大的作为BDR设备
[Huawei-GigabitEthernet0/0/0]ospf dr-priority 10---修改接口DR选举优先级,数值大的作为DR设备
OSPF的DR和BDR选举是非抢占的,简单来说就是DR和BDR选
择出来之后,新加入设备不会抢占DR和BDR的身份
OSPF的数据报文
OSPF是一种跨层封装的协议,协议号是89没有传输层(减少封装和解封装的时间,加快收敛)
OSPF的公共头部所有OSPF报文均携带的信息
认证类型:0 ---空认证 1-simple :简单认证(明文认证) 2--MD5
报文长度---头部+数据包本身的数据量
网络掩码--接口发出hello时会携带该接口的掩码。
在建立邻居时会比较两端设备的掩码,如果掩码不一致则会导致建邻失败——注意:只有以太网链路才会检测掩码
hello时间和死亡时间,注意这两个参数如果两端对应不上也会导致建邻失败。
可选项-是OSPF的一些特性(OSPF的特殊区域的标记会在选项字段携带,如果字段不统一则会导致建邻失败)
路由器优先级---ospf dr-priority用来条件匹配选择DR设备的参数
指定路由器--DR的身份
备份指定路由器---BDR的身份(RID):注意在一个广播域中所有设备的DR和BDR的认知必须统一。
只有DR和BDR会监听224.0.0.6的组播地址
接口最大传输单元:接口MTU值,[r2-GigabitEthernet0/0/0]ospf mtu-enable --OSPF协议默认是不进行接口MTU检测的,如果想要开启该功能需要手工配置。如果两端均开启了接口MTU检测功能如果接口MTU不一致会导致状态停留在预启动状态。
I:如果I为置为1则代表该DBD包是进行主从关系选举的DBD包
M:MORE,如果M标志位置为1则代表本设备后续还有DBD报文需要发送,如果置为0则代表该数据包已经是最后一个DBD报文。
MS:标注该DBD报文是主设备发送的DBD报文
序列号的作用:隐形确认,去确保DBD报文的有序可靠传输
LSA的三元组:链路状态类型、链路状态ID、通告路由器
数据包的五元组---数据的源IP、目标IP地址、源端口号、目标端口号、协议号
<r2>display ospf interface GigabitEthernet 0/0/0 --查看OSPF接口网络类型的命令
OSPF的开销值计算公式=参考带宽(默认值是100MBPS)/真实带宽
带宽--如果算出来的值小于1则直接按1来计算,如果大于1的小数,小数部分之间舍弃
[r2-ospf-1]bandwidth-reference --修改OSPF参考带宽的指令
OSPF协议在MGRE环境下的一些问题
问题一: 只有中心获取到了一个分支的hello报文,分支之间没有获取到任何hello报文
原因:OSPFV2通过组播发送数据包,但是MGRE环境只能支持单播,所以必须在中心开启伪广播
[r1-Tunnel0/0/0]nhrp entry multicast dynamic
问题二,中心开启伪广播之后,中心和一个分支建立了邻接关系,但是分支之间没有信息,其次有一个分支只和中心保持init状态。
建议直接更改隧道接口的接口网络类型为P2MP,直接方中心和分支不进行DR和BDR的选举,就不会造成认知不统一的问题P2mp---首先没有真实实际的网络类型是P2MP,是一种专门设计出来的网络类型
同时为了加快收敛,可以修改OSPF计时器[r1-Tunnel0/0/0]ospf timer hello 10 --
解决方法:
[r1-Tunnel0/0/0]ospf network-type broadcast--需要修改OSPF协议在mGRE隧道接口下的默认接口网络类型为 broadcast.
问题三,如果中心和分支的DR和bdr认知不一致会导致网络中一些由DR设备发送的LSA信息残缺,导致没有办法获取到完整的路由信息。
[r2-Tunnel0/0/0]ospf dr-priority 0--解决方法就是让分支设备放弃选举DR和BDR
解决方法2.
[r1-Tunnel0/0/0]ospf dr-priority 10--让中心的设备接口DR选举优先级为最高。
P2mp---首先没有真实实际的网络类型是P2MP,是一种专门设计出来的网络类型
如果想要还原环回接口的默认掩码:[r2-LoopBack0]ospf network-type broadcast
Attempt---只有在NBMA环境下才会出现,等待对端也指定发送的对象
在NBMA环境下因为不支持组播报文,所以即时宣告了OSPF接口,接口依然没有办法发送hello(224.0.0.5是一个组播报文),所以必须手工指定建立邻居的对象IP地址[Huawei-ospf-1]peer 12.0.0.2 --指定建邻的设备IP地址,双方都需要指定