ccna自学（如果你觉得不知道怎么学CCNA）

这里给大家准备了CCNA的笔记，这个笔记是我自己在学习CCNA的时候记的，如果你们觉得可以，可以把文章拷贝到你们word文档中，或许对你们学习CCNA很有帮助。也可以私信我，我可以将CCNA和CCNP的笔记文档发给你们。笔记可能比较粗糙，希望不要介意，你如果能看懂我的这些笔记那说明你CCNA是没有问题了。有说明问题可以私信我哟。

1.1：基础知识

20世纪80年代--网络数量和规模迅速增长

1984年--SI参考模型

1985年--IETF成立（internet engineering task force）互联网工程任务小组

1984年12月cisco成立

ISO 国际标准化组织

IEEE802 局域网及城域网

IEEE802.11 无线以太网

IEEE802.2 逻辑链路控制

IEEE802.3 csma/cd检测

icmp： 互联网控制消息协议

pdu： 协议数据单元

endpoint： 终端设备

topology： 物理拓扑（物理线路）和逻辑拓扑（数据走过的路径）

speed： 速度 （物理特性）

cost： 开销（占用多少）

security： 安全性

availability： 可用性

scalability： 扩展性

reliability： 可靠性

bps： bit per second（比特流，每，秒）

bus topology 总线

star topology 星型

mesh topology 全互联

segment 段

吞吐量：

Mbps：每秒钟传输的bit流的量

Mpps：每秒钟传输的包的数量

linux:

nano /etc/network/interface

文档区分大小写

ctrl x 有编辑变动yes

rm -f /etc/udev/rules.d/70* 把原来的网卡清除。

1.2：认识网络

构建中小型企业网 building a simple network，网络是一组通信设备的集合。

网络的应用：

server-to-server 交互： 带宽 FTP ，TFTP

human-to-server 人机： 响应时间 数据升级，SSH，telnet

human-to-human 人人： 实时 video，voip

1.2.1：七层模型（open system interconnect模型）：

七层模型也被称为主机到主机的模型是一种参考模型。

模型内容：

应用层application： 应用程序及接口 http ftp

表示层presentation：对数据进行转换，加密和压缩 解码，编码

会话层session： 建立，管理和终止会话 对话控制

传输层transport： 提供可靠的端到端的报文传输和差错控制，进行分段。

网络层network： 将分组从源端传送目的端提供网络互联，进行路由选择分组转发。

数链路层data-link：将分组数据分装成帧。 802.3/802.2

物理层physical： 提供机械和电气规则。 Hub

说明：

上层依赖于下层，下层位上层提供服务，用协议去区分层次，不要用物理设备去区分层次。分层的效果：降低复杂度。

segment-----packet----frame----bit

段 包 帧 位

1.2.2：TCP/IP四层模型

应用层application： http，pop3，smtp

传输层transport： tcp，udp（端口地址）

网络层network： ip （ip地址）

网络接口层link： ppp（MAC）

1.2.3：cisco相关符号

表格内容为cisco相关符号内容的解释：

1.2.3：CRT相关快捷键

1.2.4：管理IOS配置基础命令

命令：console口 9600波特率

colock set 19：12:12 aug 5 2019 //设置年月日和时间//

colock timezone BJ 8 //时区为北京 8//

copy running-config startup-config //拷贝运行配置到启动配置//

show processes //显示进程表//

write erase //删除所有配置命令//

show history // 查看当前模式下的命令历史//

line vty 0 1

login //允许登入//

transport input all //允许所有协议管理本设备//

terminal monitor //可以开启本次回话的log检测//

show line //查看在线情况//

service password-encryption 所有密码进行加密

banner motd &welcome to ccna lab!!!!!& 登入的提示信息

description 描述信息

disconnect 端口号 放弃该端口的连接

clock rate 64000 配置DCE时钟信号

show run interface e0/1 查看接口

terminal length 0 终端显示所有

terminal history size 50 修改执行完在历史信息的现实数量

show mac address-table 查看mac表

erase startup-config /delete flash:config.text 删除启动配置

copy running-config startup-config/write 保存配置

debug ip packet detail 详细信息

show line 查看line

show users 查看用户

terminal monitor //开启本次会话的log监测

username QTY password cisco 创建用户名和密码

enable secret cisco123 配置enable加密密码

1.2.5：LAN和MAN和WAN

园区网分层结构：

出口层----核心层----汇聚层----接入层

出口层：广域网接入，出口策略，带宽控制

核心层：高速转发，服务器接入，路由选择

汇聚层：流量汇聚，链路冗余，设备冗余，路由选择

接入层：用户接入，接入安全，访问控制

交换机的功能： 基于MAC地址表转发，过滤，泛洪帧。

广播域：路由器隔离广播域。

冲突域：对于2层的说法。

交换机的堆叠：

提供交换机的高可用性，master交换机，mode键切换到stack亮灯位master设备基本要求ios版本一致，最大为9台。

show switch //查看master设备//

3850和3650支持基本的WLC功能。

MEF加入以下内容：MEF 城域网以太网论坛 已经升级为2.0

1：SDN 软件定义网络

2：NFV，网络虚拟化

E-line: point to point ethernet connectivity

E-tree: 可管控的基于节点的服务

E-ACCESS:

e-VLAN：多点接入的以太网虚拟私有网络

WAN：wide area network

接入方式：无线，csu/dsu（上下速率一致）， pstn网（ADSL），电缆网络（有线电视），以太接口。

svc：交换虚链路

pvc：永久虚链路

频分多路复用

x.25 48k

帧中继：4M

ATM：155M（48 5）

hdlc协议

ppp协议

帧中继：面向连接，二层技术。全网结构，部分网格结构，星型结构

LMI类型：cisco ANSI LMI Q933A LMI三种。

no fram-relay inverse-arp 关闭帧中继反向ARP

show fram-relay map 查看动态映射帧中继

举例配置：

int s0/1

ip address 13.13.13.1 255.255.255.0

encapsulationg frame-relay

frame-relay map ip 13.13.13.3 103 broadcast

show frame pvc 查看pvc

show frame lmi

show frame map

show interface

csu/dsu 信道服务单元/数据服务单元

其他知识点：

T1: 1.5544Mbps

E1: 2.048Mbps

E3:34.064Mbps

T3:44.736Mbps

OC-1:51.84Mbps

电路交换：pstn isdn adsl

分组交换：x.25 FR帧中继 也称包交换

pvc 永久虚电路 svc交换虚电路

专线：ppp，hdlc

HDLC:由sdlc协议发展来的。 只支持单协议

高级数据链路控制协议

1.2.6：二层的封装

以太2型：

8字节前导码 6字节Dmac 6字节Smac 2字节类型 （46到1500字节数据） 4字节fcs

802.3型：

8字节前导码 6字节DMAC 6字节Smac 2字节长度 3字节802.2LLC 5字节802.2SNAP data（38到1492字节） 4字节FCS

802.2LLC:包含有1字节dsap 1字节ssap 1字节cntl

802.2SNAP:包含有3字节org code 2字节类型

以太网Ⅱ：RFC894 主要用于传输数据，大于等于1536（0X0600）封装以太2型

802.3型：RFC1042 多用于传输协议，小于等于1500（0X05DC）封装802.3

CDP： 思科私有发现协议，默认开启。以下是关于CDP的命令解释

cdp run 运行cdp

show cdp interface 端口 显示该端口的cdp信息

clear cdp counter 清除cdp计数器

debug cdp packet 启动cdp数据调试模式

show cdp neighbor detail //查看CDP详细信息//

show cdp traffic 显示CDP所用的数据报信息

show cdp entry* 显示所有相邻路由器的所有信息

LLDP： 链路层发现协议，公有标准

lldp run //使能lldp协议//

SW1#show lldp neighbors ?

Ethernet IEEE 802.3

detail Show detailed information

| Output modifiers

1.2.7：MAC地址和MAC地址表

PC和路由器属于DTE设备：数据终端设备

交换机设备属于DCE设备：数据通信设备

MAC地址：48bit

Unicast 单播 一对一

Broadcast 广播 一对所有

Multicast 组播 一对部分

单播MAC：第一个8位组最后一个为0

组播MAC：第一个8位组最后一个为1 01005EXXXXXX

广播MAC：全为F

mac地址表是一个2层转发表

1：默认情况下自动学习（dynamic）：转发或者泛洪帧时，从源字段识别提取。

2：静态方式 （static）

命令：

ip default-gateway //配置默认网关//

duplex full //全双工//

speed 100 //100M速率//

1.2.8：IP地址分类

IP协议是无连接协议，独立处理报文，结构化的编址，尽力而为的转发（best-effort delivery ）。

A类：0XXXXXXX 0---127

B类：10XXXXXX 128---191

C类：110XXXXX 192---223

D类：1110XXXX 224---239

E类：保留，实验用

其中：127.0.0.0----127.255.255.255 用作环回地址测试（IOS不支持），127.0.0.0 和127.255.255.255是不可被使用。

广播地址：255.255.255.255

未指定地址：0.0.0.0

子网掩码：网络和主机的关系

连续为1的表示网络，连续为0 的表示主机

公式算法：

子网的数目：2的x次方（x代表借位数）

主机数目：2的y次方-2（y代表主机位数）

主机位为全1的地址是广播地址=下个子网号-1

主机位为全0的地址是网络地址

案例：

10.1.1.10/29 网络为和主机位

10.1.1.8/29 为网络位

借位数：n

子网数：2的n次方

掩码：256-（2的8-n次方）

单个子网范围：2的8-n次方

网络号：ip-（ip/(2的8-n次方））

1.2.9：IPV4的包头

ipv4字段：

头部的长度（20到60字节）正常为20字节

DS位（差分服务）和QOS相关（TOS,IP优先级 差分服务代码点）

ID表示同一个报文

flag 标识位（don't fragmen不分片| more fragments更多分片 |保留位）

offset 偏移量

ttl：ip包头防环字段

protocol 表明上层是什么协议：icmp=1 tcp=6 udp=17 igmp=2

VLSM：可变长子网掩码

1：首先确定ip地址空间（充分考虑网络中的所有可能存在的结点）

2：根据组织架构判断应该规划多少和子网

3：根据实际需求判断每个不同子网的主机数

CIDR：无类域间路由（支持汇总）

ip unnumbered loopback 0 //借用环回口IP地址//在point-to-point类型中

no ip routing //关闭路由功能指定默认网关//

ip default-gateway 192.168.1.1 //指定默认网关//

show spanning vlan 1 //查看VLAN1的生成树//

spanning-tree portfast default //spanning初始化//

ip route 172.16.1.0 255.255.255.0 e0/1 //配置静态路由//

debug ip icmp // icmp的debug//

Show ip route static //查看静态路由表//

show ip cef //查看CEF表//

ping 10.1.1.1 sou e1/0 df-bit size 1500 //不允许分片ping//

1.2.10：ARP的分类

arp在cisco上保存4小时

1：常规ARP

2：免费ARP：检测IP地址冲突

3：ARP代理： 某个设备代理一个目的网络的ARP响应

no ip proxy-arp //关闭arp代理//

show arp/ show ip arp //查看ARP//

1.2.11：静态路由

IP 的路由是：hop by hop 每一跳都要独立的查找路由，默认路由：最不精确的但可以被使用的路由。

静态路由只做出接口，会需要arp代理，需要做出接口和下一跳一块配置。静态路由的管理距离为1，在一个MA以太网网络中需要做出接口和下一跳。使用下一跳：需要递归查询路由表（迭代查询）。

浮动静态路由：修改备份链路的管理距离。

迭代路由：

ip route 10.1.10.0 255.255.255.0 192.168.1.1

ip route 192.168.1.0 255.255.255.0 e0/0 172.16.1.1

show ip cef 10.1.10.0 detail 路由明细

traceroute 101.10.1 numeric 快速路由跟踪

路由决策顺序：

1：最长匹配原则；对于OSPF和EIGRP来说，OSPF宣告的环回口为32位主机路由，eigrp宣告的环回口为24位的路由。

2：管理距离；（ 不同路由协议的优先级，越小越优先。）

3：度量值；

1.2.12：BGP简介

BGP称为边界网关协议，传输层：传输层是有端口号的，用于区分不同应用。

TCP和UDP：

TCP：有连接的，提供数据恢复功能，可靠的连接。共20字节， 多会话，端口号表识应用，流控机制，面向连接。三次握手，四次断开。

UDP：无连接的，不提供数据恢复，不可靠的连接，8字节。

最大分段大小MSS对TCP应用（存在TCP请求报文），默认1460（二层负载减去TCP IP各20字节的包头，超过就segment分片）

常用tcp协议，目的端口号一般都是1024以内的端口号，发起者端口号是随机的端口位高位端口号。

基础应用的端口号 ：

option 82选项 snooping

show ip bgp summary //查看BGP//

1.2.13：Vlan技术

vlan：

1：静态vlan

2：动态vlan（需要vmps服务器）

用户使用（1-1000）

vlan2 ID总共12位 共计4094

name vlan2(名称）

switchport trunk encapsulation dot1q 封装dot1q

switchport mode trunk 模式trunk

switchport trunk allowed vlan remove 4-8 trunk链路移除4-8vlan

switchport trunk allowed vlan all 允许所有vlan

switchport trunk native vlan 40 本地vlan改为vlan40

show vlan brief （查看vlan）

switchport mode access 模式access

switchport access vlan 3 封装vlan3

interface range ethernet 0-4 e0/0-e0/4 端口同时进入配置vlan

switchport mode dynamic auto 链路转为trunk（邻居为trunk和desirable）

switchport mode dynamic desirrable 链路转为trunk（邻居为trunk和desirable或者auto）

switchport nonegotiate 禁止生成DTP帧（接口处于trunk和access 邻居接口为trunk才有trunk）

(conf)interface fastethernet 0/0.1 进入子接口

(conf-subif)encapsulation dot1q 2 子接口封装dot1q vlan 2

show running-config interface e0/1 查看接口e0/1配置信息

show interface e0/1 switchport 查看详细信息

show interface e0/1 trunk

802.1q是cisco仅支持的一种封装格式。在src和type之间打上tag字段来标识不同vlan。native vlan是不会被打上vlan标签的vlan，本征vlan在trunk上不打tag。

vlan可用范围（12bit字段标识）：1-4094

vlan 1为默认vlan，1002-1005是被保留的。

Vlan模式：

思科交换机有四种模式：access， trunk，私有vlan，dot1q-tunnel。

思科trunk有两种：思科私有ISL和公有802.1q

PVID：port vlan id（access的概念）

tag和trunk相关

pvid和access相关：不是百分百

配置命令：

show adjacency detail //查看邻接信息//

show interface ethernet 0/0 switchport //查看端口交换信息//

show interface trunk //查看端口的trunk信息//

show vlan brief 查看vlan信息

switchport trunk native vlan99 //修改本征vlan为99//

vlan dot1q tag native //实施该命令本征vlan也打tag//

几种创建VLAN的方式：

1：通过配置创建

SW2(config)#int e1/0

SW2(config-if)#swi mo acc

SW2(config-if)#swi acc vlan 10 //会自动创建vlan信息

2:通过vlan database创建

SW1#vlan database

% Warning: It is recommended to configure VLAN from config mode,

as VLAN database mode is being deprecated. Please consult user

documentation for configuring VTP/VLAN in config mode.

SW1(vlan)#vlan 30

VLAN 30 added:

Name: VLAN0030

SW1(vlan)#vlan 30 name QYT

VLAN 30 modified:

Name: QYT

SW1(vlan)#apply

APPLY completed. //必须退出后才能成功创建VLAN

SW1(vlan)#exit

APPLY completed.

Exiting....

SW1(vlan)#abort //强行退出没有创建VLAN信息

3：通过macro（宏）方式创建

SW2(config)#macro name timing //创建自定义timing宏

Enter macro commands one per line. End with the character '@'.

vlan 201

vlan 202

vlan 203

@ //创建vlan201到203并以@结束

SW2(config)#macro global apply timing //应用宏

1.2.14：STP协议

STP生成树：

在二层交换中重要的协议

单点故障：单链路故障，单设备故障。

spanning-tree protocol

802.1d

STP的操作：

1：每一个广播域选择一个根桥

2：每个非根桥上选择一个根端口

3：每个段选择一个指定端口

4：选择一个非指定端口

基于bpdu数据单元

8个字节：桥优先级2个字节 默认32768

桥mac地址6个字节

bpdt：配置bpdu=0 TCN bpdu=80

生成树是依赖时间和端口的协议

BPDU：桥接信息单元。BPDU报文是类似hello报文，维护生成树协议状态，2s发送报文。

802.1D协议组 华为

802.1D 最传统的 PVST

802.1w 快速生成树 R-PVST

802.1s 多实例生成树 MSTP

2层环路的3个问题：

1：广播风暴

2：单点帧拷贝

3：MAC地址表不稳定

STP选举：

优先级和MAC地址相关，根交换机：发送BPDU，BPDU生产者。

1：选举一个根交换机

2：每个非根交换机选取有且只有一个根端口，距离根交换机最近的端口。

3：每一段选举一个指定端口，优先传输BPDU

STP端口角色：

1：根端口（RP）：距离根交换机最近的端口

2：指定端口（DP）：处于转发状态，发送和继承BPDU根交换机每个端口都为指定端口。

3：非指定端口：接收BPDU，被block的端口。

BPDU的报文：

bridge priority mac address

桥优先级范围：0-65535但必须是4096的倍数。默认32768

根端口选举规则：

1：cost值（小） 到达根的cost开销值

2：桥ID（小）

3：端口ID（小）

4：端口号（小）

spanning-tree mode pvst //修改stp模式//

spanning-tree bpdufilter enable //开启BPDU filtering//

no switchport //关闭交换功能//

spanning tree vlan 10 priority 8192 //4096的倍数//

show spanning-tree bridge address //查看桥地址//

1.2.14.1：生成树的几种状态

Disable/down-----Block---20S---listen--15S---learn---15S----forward

调整命令：

1：spanning-tree vlan 1 root primary //调整为主根//

2：portfast 连接终端设备的端口可以给为portfast，可以使端口直接到达转发状态。

spanning-tree portfast /可在接口下配置//

spanning-tree portfast default //全局下配置//

3：bpduguard BPDU的保护---down

spanning-tree bpduguard enable //接口下配置//也可在全局下使用

全局下与portfast结合使用

spanning-tree portfast bpduguard default //全局下配置//

spanning-tree portfast default //全局下配置//

4：errrdisable----手动关闭接口，在开启

errdisable recovery cause bpduguard //因bpduguard 恢复接口//

1.2.15：etherchannel通道

可以捆绑8个端口

1：PAgP 思科私有cisco

2：LACP 公有标准802.ad

3种模式

接口关闭状态下配置，是否相同参数，不成功更换group ID。

配置命令：

Channel-protocol lacp //配置channel-group协议类型//

channel-group 1 mode active //捆绑为active//

0x2004类型协议组播MAC地址：01-00-0c-cc-cc-cc 这一组播MAC地址，每间隔1s发送。形成干道30s发送。不被Cisco交换机所转发

1.2.16：DTP协议（dynamic trunking protocol）

动态trunk协议 （cisco私有协议）

协商状态：

auto 默认不发送DTP报文，收到后有回复。

desirable 发送DTP报文，主动协商

auto -----------desirable trunk

desirable ------desirable trunk

auto ---------- auto access

配置命令：

show dtp interface //看DTP当前配置//

debug dtp event //验证DTP事件//

switchport nonegotiate //关闭DTP协商，接口下配置// 模拟器无法实现

switchport mode trunk // on模式，静态，默认发送DTP//

switchport mode dynamic auto //动态自动，协商//

1.2.17：VTP协议

创建和更新vlan信息，思科私有协议

vlan 20,30,40 创建多个vlan

在一个交换网络中创建一个VTP域

vtp的域名相同

vtp的认证相同

vtp的版本号要相同

VTP消息只能在trunk链路上发送

show vtp status //查看vtp状态//

show vtp pass //查看密码//

VTP的三种模式：

1：服务器模式：

默认模式能够创建、修改、删除vlan配置，能够发送和转发公告消息，同步VLAN配置，VLAN配置信息保存在flash里的vlan.dat文件中。

2：透明模式：

创建，修改，删除等操作，同步vlan信息，能够转发公告 VLAN的配置信息保存在配置文件里。

3：客户端模式：

不能够创建、修改、删除vlan配置，能够发送和续传公告消息，同步VLAN配置，LAN配置信息保存在flash里的vlan.dat文件中。

VTP配置：

SW1(config)#vtp mode ?

client Set the device to client mode.

off Set the device to off mode.

server Set the device to server mode.

transparent Set the device to transparent mode.

vtp ver 2

vtp domain aa //配置域名，无法通过show 看到信息//

vtp pass aa //配置vtp密码//

验证VTP的三个命令：

1：看版本和域名:

2：trunk是否工作，

3：密码是否相同

没有域名的设备，会向有域名的设备同步域名，高的配置版本号覆盖低的配置版本号。

将配置版本修订号归零的方法：

（1）将交换机的VTP工作模式配置为透明模式；

（2） 将域名配置为 “NULL”

vtp pruning vtp修剪开启

switchport trunk pruning vlan 3-4 VTP修剪vlan3到vlan4 （可修剪的vlan范围2-1001）扩展vlan（1006-4094）

vtp mode server vtp服务开启

vtp domian lab vtp域名lab

vtp password cisco vtp域名密码cisco

（do） show vtp password 查看vtp密码

（do） show vtp status 查看vtp信息（可以看到交换机支持多少个vlan可以看vlan数据从何而来）

vtp mode clinet vtp客户端模式

vtp mode transparent vtp 透明模式

show cdp neighbors detail 查看设备已连接设备信息

语音

switchport voice vlan

mls qos （使用语音vlan之前在全局模式下）

mls qos trust cos 端口信任状态位trust

no switchport voice vlan 关闭语音vlan

switchport priority extendtrust

switchport voice vlan dot1p 封装dot1p

switchport mode access access模式

switchport access vlan 3 数据vlan

switchport voice vlan 10 语音vlan

1.2.18：HSRP协议

公有的VRRP协议，思科高级私有的GLBP协议，都是网关冗余协议。GLBP协议：网关负载均衡协议

优先级相同，IP地址大的为active

在接口下配置：

int vlan10

ip add 10.1.1.2 255.255.255.0 //创建该接口的IP//

standby 10 ip10.1.1.1 //创建组10 的虚拟IP 地址//

standby 10 priority 110 //该组的优先级为110，优先级越高，越优先//

standby 10 peermpt //配置抢占//

show standby //查看网关备份情况//:

1.2.19：VLAN 间的路由

单臂路由，通过路由器的子接口来完成。

int e0/1.10

encapsulation dot1Q 10

SVI配置（switch virtual interface）

ip routing //真机上交换机需要配置这个命令//

1.2.20：DHCP服务器

dynamic host configuration protocol（动态主机配置协议），使用67和68udp端口

根据vlan信息，被指定分配地址。

open150 option82

bootps和bootpc

地址池的概念pool

四个基本报文：

discover （broadcast） 发现 //由主机发送，寻找本网段内的DHCP服务器//

offer （unicast） 回应 //实际为广播//

request （broadcast） 请求

Acknowledge（unicast） 确认 //实际为广播//

配置：

ip dhcp pool vlan100 //定义地址池名称//

network 10.1.10.0 255.255.255.0 //定义地址池//

default-router 10.1.10.254 //配置网关

lease 0 2 0 //配置租期//

ip dhcp exclude-address //排除其他地址，不用分配//

dns-server //配置DNS//

show ip dhcp binding //查看绑定信息//

show ip dhcp conflict // 查看冲突地址//

clear ip dhcp conflict * //清除冲突地址//

ip helper-address 10.10.10.254 //DHCP代理//

show dhcp server //验证服务器信息//

DHCP relay agent：dchp中继 DHCP中继代理的前提是路由可达，封装到单播中实现

PC开启DCHP获取地址：ip address dhcp

1.2.21：动态路由协议

路由： 路径和数据转发

知道目标地址

发现可达目标的可能的路由

选择最佳路径

维护路由信息

show ip route 查看路由表

show ip interface brief

show cdp neighbor

connected 直连

被动路由协议routed protocols

路由之间传递信息

主动路由协议routing protocols

维护路由表

直连，静态，动态三种路由

config#ip route 网络号 掩码 下一跳

config#ip route 网络号 掩码 出接口

10.1.10.0 【管理距离/metric值】

串行接口（下一跳或者出接口）

在ma网络中不允许写出接口

没有ARP解析中下一跳无法解析到

最好的是：ip route 网络号 掩码 出接口 下一跳

更迭的静态路由

去往目标地址下一跳是非直连的

show ip cef 目标网 detail

通信是双向的。

动态路由协议：AS号 自知号

自动路由更新和同步，自动收敛

内部网关协议和外部网关协议

距离矢量协议：rip eigrp

链路状态协议：ospf is-is

度量值：metric

动态路由分类：IGP和BGP

距离矢量和链路状态

距离矢量：RIP，EIGRP，BGP 道听途说的，

链路状态：OSPF，IS-IS 可信的，构建完整的拓扑表

SPF：最短路径优先

AS：自治系统

1.2.21.1：OSPF协议：

Ospf （spf算法）开放最短路径优先管理距离110

链路状态协议

快速， 出发更新 支持vlsm

骨干区域0 常规区域

ospf报文类型：

1：hello 建立和维护ospf邻居关系

2：data des link-state 链路状态数据库描述信息

3：link-state update 请求链路状态

4：link-state 链路状态更新

5：ack 确认报文

邻居表neighbors table

拓扑表topology table

路由表 router table

使用224.0.0.5 组播

show ip ospf interface

网络类型：

point-to-point 点对点

Bma 广播多路访问 以太网

Nbma 非广播多路访问 帧中继

Router ospf id

Network ip 反掩码 区域

cost=10的8次方除以接口带宽（b/s）

选举DR和BDR：指定路由器和备用指定路由器

ospf接口敏感型协议

1:优先级默认等于1

2：router id： 可手工配置，也可动态获取

224.0.0.6 只有DR BDR 回监听这个组播地址。

224.0.0.5 运行ospf的路由器都会监听这个地址。

配置：

router ospf process-id（本地进程号）

network address wildcard-mask area-id

通配符掩码 255.255.255.255-掩码

例：router ospf

network 192.168.12.0 0.0.0.255 area 0

RFC2328

构建拓扑表（LSA）

OSPF:通过交换hello报文创建，维护邻居关系，通过224.0.0.5组播地址用于OSPF协议报文的目的地址

state：表述接口，邻居路由器状态

flood：泛洪

database：link-state database 链路状态数据库

EBGP的建立：

建议手工指定

接口下：int e0/1

ip ospf 110 area 0

进程下：

router ospf 110

network 10.0.0.0 0.0.0.255 area 0

show ip ospf neighbor // 查看ospf邻居//

show ip route ospf //查看ospf的路由//

show ip ospf interface brief //查看ospf基本信息//

passive-interface 不在发送hello，但是通告路由，需要在进程下配置

1.2.21.2：EIGRP协议

eigrp：

Eigrp协议

Cisco私有协议 混合型路由协议 基于带宽和延迟。

采用不定期更新，拓扑变化时跟新。100跳 最大255跳

带宽 延时 负载 可靠性 mtu（最大传输单元） ad值 90

最大支持等开销和不等开销负载

Varlance 命令 实现负载

Neighbor 邻居 topology 拓扑

Router eigrp (autonomous-system)

Router eigrp 100

Network ip地址

Passive-interface接口

Show ip eigrp neighbors

Show ip eigrp topology 拓扑表

Show ip router eigrp

Show ip interface

Show ip protocols

Show ip eigrp traffic

只运行在cisco的协议。

高级距离矢量协议

无类路由协议

支持vlasm和不连续子网

无环路 dual算法

快速收敛

触发更新

支持多种网络层协议

低路由更新信息开销

eigrp：三张表

邻接表（neighbor table)

拓扑表（topology table）

路由表（routing table）

hello分组 224.0.0.10 发送 时间间隔5s 不确认

更新 必要的信息 需要确认可靠发送

查询 某条路由丢失的时候

应答

确认

eigrp的metric值：带宽 延迟

bandwidth， delay， reliability，loading， mtu

带宽 延迟 可靠 负载

DUAL算法：

后继路由器：(Successors)下一跳路由器

可行距离：（feasible distance）到达目标网络的最小度量值

可行后继：feasible successor 备份路由

通告距离：advertise distance

ad值小于fd值

配置：

router eigrp autonomous-system（自治系统号）

network network-number｛wildcard-mask｝

宣告直连网络

show ip eigrp neighbors

debug ip eigrp

可以通过variance默认为1

思科私有协议

支持路由表的负载均衡，支持非等价负载均衡

采用224.0.0.10 更新，

AD 通告距离

FD 可行距离

采用综合度量值 5个K值

EIGRP基于IP协议的协议号88 ，OSPF 为89

no peer nei

EIGRP：内部90 外部170

前身叫：IGRP 内部网关路由协议

E:enchane 增强型

高级距离矢量路由协议：自治系统号必须一致，才能通信。

show ip protocol 查看协议

唯一一个能支持非等价负载均衡

EIGRP ：支持汇总

只能在进程下配置。

debug ip eigrp neighbor

show ip eigrp topology 拓扑表

successors 后继 FD 可行距离

1.2.21.3：rip

Igp：内部网关协议 rip（120ad） 1： 定期30秒更新 2：支持相同hop的6条路径，实现负载均衡

使用udp 520 端口 16跳不可达 metic

Router rip network 接口网段

Show ip interface brief 查看各接口。

Show cdp neighbors 查看cdp

Show ip protocols 查看协议情况。

Show ip router

Debug ip rip

Clear ip router 清除路由表

Router rip version 2

基于udp 端口520

逐跳更新

定义最大跳数16跳

水平分割：收到新路由更新不会往收到接口的路由更新发送

路由中毒：直接不可达更新出去。启动定时器。

毒性反转：路由中毒的水平分割

抑制计时器

触发更新

配置rip：

启动rip路由：router rip

宣告指定直连网络 network network-number

AD值：rip 120 内部eigrp 90

ospf 110 idrp 100

外部bgp 20 eigrp汇总 5

内部bgp 200 外部eigrp：170

链路状态协议：ospf is-is

1.2.22：RIPV2协议

使用224.0.0.9组播更新，携带子网信息，支持认证（V1不支持认证）

携带下一跳信息

no-autosummary 关闭自动汇总

RIP 基于UDP520端口号目的维护三层路由表

RIP两种信息：请求和响应信息。

ip rip send version 2 //发送ripV2的信息

ip rip receive version 2 //接收ripV2的信息

RIP计时器：

1：周期更新时间 30s

2：老化时间 180s

3：flush time 冲刷时间 可能down之后，在过60s才把路由清除

4：hold time 180s

RIP的防环机制：

1：水平分割 在NBMA网络中需要关闭

2：毒性反转 同一个接口收到路由，再发出去，mectic跳数为16跳

3：路由毒化

4：触发更新

passive-interface default //passive 所有接口

dubug ip rip

在接口下：

ip split-horizon ？

eigrp //eigrp的水平分割

<cr> //rip的水平分割

ip rip authentication mode //在接口下配置认证//

ip rip authentication key-chain //配置钥匙串//

1.2.23：PPP协议

PPP：能够控制数据链路建立

进行地址分配

支持多种网络层协议

配置和测试数据链路

提供身份验证

进行错误检测

有些是选项，能够对网络层的地址和数据压缩进行协商

配置：

encapsulation ppp

hostname name

username name password password

ppp authentication ｛chap|pap

ppp authentication pap （服务端）

ppp pap sent-username R1 password cisco（客户端）

debug ppp authentication

chap：ppp chap hostname R1 （客户端）

ppp chap password cisco（客户端）

ncp和lcp

LCP：负责创建，维护和终止数据链路

NCP：是一个协议族，负责解决物理连接上运行什么网络协议

认证协议：PAP（口令验证协议）和CHAP（挑战握手验证协议）

PAP认证（单向）：2次握手，密码以明文的形式直接发送

CHAP认证（单向）：md5值

PPP：支持认证，公有标准

point-to-point protocol 点到点协议

T1：1.544m/s E1；2m/s

DCE和DTE设备：

在DCE设备上配置

clockrate 64000

bandwidth 64

一种常见的故障 串行链路两端封装格式不一致，导致接口up 协议down

Serial1/0 202.100.1.1 YES NVRAM up down

ppp两个层面：

LCP（协商） 涵盖防环，认证

NCP（承载），表示上层承载什么协议

peer neighbor-router 对等体邻居路由

获取链路对端接口或者主机的IP地址，形成一个/32的主机路由

接口下配置认证：

ppp authentication pap //启用pap认证//

ppp pap sent username qytang passwod cisco //发送用户名和密码//

PAP 两次握手 PPP Authentication Protocol

如果认证不通过，则链路层无法 up

配置实例：

HQ#

interface Serial1/0

ip address 2.2.2.2 255.255.255.0

encapsulation ppp //开启认证的前提//

ppp authentication pap ----//开启认证//

Branch#

nterface Serial1/0

ip address 1.1.1.1 255.255.255.0

encapsulation ppp

ppp pap sent-username qytang password 0 cisco ----向peer发送用于pap认证的用户名和密码

CHAP 挑战握手认证协议 链路两端的设备都会做认证

密码并不在链路上发送，使用hash值来做认证条件

要点： CHAP认证的两台设备链路两端密码是一样的

1、拨号者发起CHAP呼叫

2、被拨号者向拨号者发起挑战（challenge）数据报文 携带（ 随机数、认证名 设备名或配置的认证用的用户名）

3、拨号者收到挑战数据包，进行计算：（计算元素包括 挑战数据包id、随机值、用户名在本地对应的密码，将这三个元素放入MD5散列生成器，生成一个hash值）

4、拨号者发送挑战应答

应答数据报文元素： id（挑战数据报文中的）、hash值、本端设备名或者配置的用来认证的用户名

5、挑战者验证挑战应答数据报文中的hash值，验证依据：

挑战报文中的id、随机值、挑战应答数据报文中的用户名在挑战者本地数据库中检索得到的密码；

6、向拨号者发送认证结果（通过/失败）

单向：

ppp chap hostname qyt

ppp chap password qyt

双向认证

Branch#sh run | s username

username HQ password 0 cisco

HQ#sh run | s username

username Branch password 0 cisco

interface Serial1/0

ip address 2.2.2.2 255.255.255.0

encapsulation ppp

ppp authentication chap

debug ppp authentication //开启PPP封装debug//

1.2.24：GRE隧道

通用路由封装 GRE=GENERIC ROUTING ENCAPSULATION

点到点的封装 默认没有加密

IP协议号 47

由IP 封装 IP

配置案例：

Branch#sh run int t0

interface Tunnel0

ip address 12.1.1.1 255.255.255.0

ip ospf 110 area 0

tunnel source Serial1/0

tunnel destination 2.2.2.2

HQ#sh run int t0

interface Tunnel0

ip address 12.1.1.2 255.255.255.0

ip ospf 110 area 0

tunnel source Serial1/0

tunnel destination 1.1.1.1

1.2.25：NAT和ACL 访问控制列表：

数据访问

作为策略选择，

控制路由的重要工具

0代表匹配，1代表忽略

NAT 网络地址转换

1：静态nat 变种： 静态NAT上网端口转换

2：动态nat

3：PAT

AT：network address translation 网络地址转换

动态nat和端口地址转换（PAT）

调试命令：debug ip nat

nat通常用于边界路由

优点：节省公网ip地址，网络发生变化是无需重新编址，提高连接因特网灵活性，地址重叠时提供解决方案。

缺点：因地址转换增加交换延时，无法进行端到端ip跟踪，某些程序无法正常运行。

静态nat：内部地址一一对应外部地址

动态nat：使用地址池一一对应

端口pat：端口复用nat内部多个地址转成一个合法外部地址

一个公有ip理论上可以让65000台主机公用。

ip nat inside source static 10.1.1.1 170.46.2.2 (内部10.1.1.1转换为170.46.2.2)

interface e0/0

ip address 10.1.1.10 255.255.255.0

ip nat inside 将接口指定位内部接口

interface s0/0

ip address 170.46.2.1 255.255.255.0

ip nat outside 将接口指定位外部接口

ip nat outside source 将外部接口指定位源

ip nat inside source 将内部接口指定位源

动态nat：

ip nat pool todd 170.168.2.3 170.168.2.254 netmask 255.255.255.0 //建立外部地址池todd

ip nat inside source list 1 pool tood //定义地址池tood

interface e0/0 // 进入接口e0/0

ip address 10.1.1.10 255.255.255.0 //接口e0/0配置ip

ip nat inside //定义外部接口

interface s0/0 // 进入接口s0/0

ip address 170.168.2.1 255.255.255.0 //接口s0/0配置ip

ip nat outside //定义外部接口

access-list 1 permit 10.1.1.0 0.0.0.255 //定义标准访问控制列表

ip access-list standard tood //定义标准访问控制列表tood

permit 192.168.1.0 0.0.0.255

PAT:

ip nat pool globalnet 192.168.1.1 192.168.1.1 network 255.255.255.0 //建立外部地址池 globalnet

access-list 1 permit 10.1.1.0 0.0.0.255 //访问控制列表允许该地址

ip nat inside source list 1 pool globalnet overload（overload 表示使用PAT）

interface e0/0

ip address 10.1.1.10 255.255.255.0

ip nat inside

interface s0/0

ip address 170.168.2.1 255.255.255.0

ip nat outside

access-list 1 deny any 拒绝所有ip

show ip nat translations 查看ip nat 转换条目

debug ip nat 验证nat配置

clear ip nat translation * 清除nat表中所有转换条目（只清除动态，不清除静态）

NAT 测试何故障排除

检查动态地址池，检查不同动态地址池是否重复，

检查静态地址和动态地址池是否重复，确定访问列表是否正确指定要转换的地址，

确保是否应包含的地址，确保正确指定内部接口何外部接口。

ip nat translation max-entries 限制转换条目数 （每个条目占用160B）

show ip nat statistics 显示nat配置摘要

ip nat translation timeout 超时时间修改

network 255.255.255.248 等于 perfix-length 29

ip telnet source-interface lo0 使用环回口0 telnet

nat服务分发

ip nat inside source static tcp 123.1.1.3 23 interface s0/0 23

端口映射

ip nat inside source static tcp 12.1.1.2 80 interface s0/0 80

ip nat inside source static tcp 12.1.1.2 80 interface s0/0 80 extendable

nat处理地址重叠

由于私有地址并不具有全球唯一这一特性，所以不会将私有网络前缀部署在互联网上

通常情况下，运营商会为客户分配一个公有网络中的地址，也就是通常我们所说的公网IP

inside local 内部本地地址 本地网络中的主机IP地址

inside global 内部全局地址 一般是由运营商提供给客户的IP地址

outside global 外部全局地址 外部网络的主机地址

static NAT 静态NAT

dynamic NAT 动态NAT

PAT 端口地址转换

inside to outside先路由在转换

if ipsec then check input access list

decrytion-for CET or IPSEC

check input access list

check input rate limits

input accouting

redirect to web cache

policy routing

routing

NAT （inside to outside）

crypto （check map and mark for encryption）

check output access list

inspect

TCP intercept

encryption

queueing

outside to inside先转化再路由

if ipsec then check input access list

decrytion-for CET or IPSEC

check input access list

check input rate limits

input accouting

redirect to web cache

NAT （outside to inside ）

policy routing

routing

crypto （check map and mark for encryption）

check output access list

inspect

TCP intercept

encryption

queueing

1、匹配接口

2、匹配感兴趣流

inside-to-outside 先路由再转换

数据在经过决策之后的出接口上，进行感兴趣流匹配，以决定是否进行转换以及如何转换

out-to-inside 先转换再路由

数据从入接口进行感兴趣流匹配，转换完成再进行路由决策

ACL：访问控制列表

流量控制，匹配感兴趣的流量。

标准访问控制列表：

1：只能根据源地址做过滤

2：针对整个协议采取相关动作

扩展访问控制列表：

1：能根据源。目的地地址，端口号等等进行过滤

2：能允许或拒绝特定的协议

标准：1-99 1300-1999

扩展：100-199 2000-2699

配置：

access-list access-list-number （permit/deny）source ｛wildcard mask｝

通配符若无默认0.0.0.0

no access-list access-list-number 删除整个acl列表

ip access-group access-list-number｛in/out} 应用在接口上（进入接口状态）

192.168.1.1 0.0.0.0 =host 192.168.1.1 精确ip

0.0.0.0 255.255.255.255=any 所有

ACL不能对本地始发的流量做过滤。

只对一个接口，针对某协议只使用一个acl

扩展配置：

access-list access-list-number ｛permit/deny｝ protocol source source-wildcard｛operator port｝ destination destination-wildcard ｛operator port｝ ｛established｝｛log｝

例;access-list 100 permit/deny 协议号 源地址 通配符 目的地址 通配符

access-list 100 deny tcp any host 192.168.2.100 eq 23

access-list 100 permit ip any any

ip access-list ｛standard/extended｝name

ACL 访问控制列表 是IOS上一个定义匹配流量的工具

传统的ACL可以匹配数据报文中的IP地址

定义流量之后可以赋予不同的行为

自上而下的进行匹配

如果报文被某个条目匹配到，则执行行为，后面不再对该报文进行匹配

ACL 的最后一行，是一条隐式命令，它的作用是拒绝一切

cisco IOS的ACL默认步长为 10

host any

ip nat inside source static 10.1.10.100 192.168.1.100

Branch#show ip nat translations

Pro Inside global Inside local Outside local Outside global

--- 192.168.1.100 10.1.10.100 --- ---

Branch#show ip nat translations

Pro Inside global Inside local Outside local Outside global

icmp 192.168.1.1:4 10.1.10.100:4 192.168.1.2:4 192.168.1.2:4

Branch#show ip access-lists

Standard IP access list NAT

10 permit 10.1.10.0, wildcard bits 0.0.0.255 (1 match)

匹配到了感兴趣流量

静态端口映射

ip nat inside source static tcp 10.1.10.100 80 192.168.1.1 666 extendable

标准的ACL

仅仅只关心源 也就是说，关心IP报头中的源地址字段

并且会匹配到整个IP协议栈

扩展的ACL

关心源和目的字段

并且还支持匹配上层封装

规则：

在过滤流量的情况下，一个接口、一个方向，只能调用一个ACL

一般情况下，应该在更靠近源的位置部署ACL

更精确的条件应该放在列表的上面

1.2.26：PPPoE配置

PPPOE：分为discovery发现和ppp会话两个阶段。

发现阶段是无状态的。

pADI：发现初始化 init

PADO：发现提供报文 offer

PADR：发现请求报文 request

PADS：发现会话确认报文 ACK

PADT：发现终止报文

以太网最大负载1500字节，pppoe头部为6字节，ppp协议为2字节。

PPPoE配置案例：

服务端配置：server

bba-group pppoe ccie //配置pppoe模板名称

virtual-template 1 //创建虚接口VT1

interface Virtual-Template1 //进入虚接口VT1

mtu 1492 //修改MTU值，pppoe头部和协议记8字节

ip address 200.100.1.2 255.255.255.0 //配置IP地址

peer default ip address pool pppoe //指定客户端从pppoe地址池获取IP

ip local pool pppoe 200.100.1.10 //创建本地地址池范围

interface Ethernet0/1 //进入接口

pppoe enable group ccie //物理接口使能pppoe关联pppoe模板ccie

客户端： client

interface Ethernet0/1

pppoe enable //使能PPPOE

pppoe-client dial-pool-number 10 //创建拨号vpdn

interface Dialer10

mtu 1492

ip address negotiated //协商获取IP地址

encapsulation ppp //dialer接口封装PPP

dialer pool 10 //从对端获取地址

MSS值需要修改：

ip tcp adjust-mss 1452 //配置MSS值，配置在客户端

1.2.26.1：PPPoe认证

PPPOE服务端配置：

username cisco password 0 cisco //创建用户名和密码用于pppoe认证

interface virtual-template 1 //进入虚接口VT1

ppp authentication chap //ppp封装chap

client配置：

interface dialer 10

ppp chap hostname cisco

ppp chap password 0 cisco

查看pppoe的session：

R1(config-if)#do show pppoe session

1 client session

Uniq ID PPPoE RemMAC Port VT VA State

SID LocMAC VA-st Type

N/A 2 aabb.cc00.0610 Et0/1 Di1 Vi2 UP

aabb.cc00.0310 UP

1.2.27：ipv6

cernet2： 纯ipv6网络

ipv6地址格式：128bit

ipv4:24bit

前缀 接口标识

前缀：相当于ipv4的网络号

接口标识：相当于ipv4的主机号

分成8个16bit部分，每个人部分包括4位16进制数字

地址前缀长度用“/xx“来标识

规则：

1：每个16位的分段中开头的零可以省略

2：一个或多个相邻的全零的分段可以用冒号::表示

3：双冒号只能使用一次

分类：单播地址，组播地址，任播地址（使用的是单播地址），特殊地址

2进制前缀 ipv6标识

未指定：全零的 ::/128

环回地址：00::1(128bit) ::1/128

组播：11111111 FF00::/8-FFFF::/8

链路本地地址：1111111010 FE80::/10-FEBF::/10

站点本地地址site-local：1111111011 FEC0::/10-FEFF::/10

全局单播： 001 2000::/3-3FFF::/3

全局单播地址层次结构：

001 全局路由前缀（45位） 子网id（16位） 接口id（64位） 2000::/3

链路本地地址：

用于单个链路，可进行自动地址配置，邻居发现或在没有路由器时进行当个链路编址。带有链路-本地源或目的地址的数据包不转发到其他链路

1111111010 0 接口id

站点本地地址：

用于单个站点内部编址

带有站点-本地源或目的地址的数据包不转发到其他站点

相当于ipv4网络中的私有地址

提出unique local地址FD00::/8

1111111011 0 接口ID FEC0::/10

1.2.28：QOS

带宽 时延 抖动 丢包

QOS 的五大任务

分类和标记 classification and marking

拥塞管理 congestion management 队列技术WFQ加权公平队列和 LLQ低延时队列

拥塞避免 congestion aviodance WRED

限速 policing and shaping 监管和整形

链路效率 link effiicienccy

查看会话：netstat -nb 可以查看程序

netstat -n

netstat -ano

msconfig 微软配置工具

enable password cisco 创建enable密码

username ccna password cisco 创建用户名和密码

line vty 0 4 进入vty

login local 使用local登入激活

exec-timeout 0 0

logging synchronous 同步

banner motd &cisco welcome& 显示消息字符

no ip domain-lookup 域名查找命令

tcp：面向连接的网络协议 传输控制协议

可靠传输，流控

udp：无连接的网络协议 用户报文协议

不可靠传输 尽力传递

1.2.29：帧中继

Frane Relay ：nbma非广播多路访问

面向连接

56k-2m

DLCI：数据链路连接标识 data link connection identifier

通常是服务提供商分配的

具有本地意义

LMI：cisco ansi q999a

帧中继交换机

frame-relay switching

ints0/1

encapsulation frame-relay

no ip address

clock rate 64000

frame-relay intf-type dce

frame-relay route 102 interface s0/2 201

客户路由器

ip address 10.1.1.1 255.255.255.0

encapsulation fram-relay

no frame-relay inverse-arp 关闭 inverse-arp

frame-relay map ip 10.1.1.2 102 broadcast

show frame-relay map

关闭水平分割：no ip split-horizon

no ip split-horizon eigrp 1

interface S/0.12 point-to-point

frame-relay interface-dlci 102

show fr pvc

路由器模拟帧中继配置：

interface Serial1/0

no ip address

encapsulation frame-relay //接口封装模式FR

serial restart-delay 0

frame-relay intf-type dce //FR类型为DCE

frame-relay route 102 interface Serial1/1 201

frame-relay route 103 interface Serial1/2 301

!

interface Serial1/1

no ip address

encapsulation frame-relay

serial restart-delay 0

frame-relay intf-type dce

frame-relay route 201 interface Serial1/0 102

!

interface Serial1/2

no ip address

encapsulation frame-relay

serial restart-delay 0

frame-relay intf-type dce

frame-relay route 301 interface Serial1/0 103

使用SNMP

使用图形化的报告界面

三版本：

snmpv1 支持明文认证，不支持检索

snmpv2 支持明文认证，支持检索

snmpv3 支持增强的认证，支持检索

MIB：一个结构化的信息集合

OID: 使用OID在MID

snmp-server commounity qytang rw

snmp-server contest cisco

syslog 系统日志

show history all 存储在本地的

网络流的组件：

1：设备

netflow 网络流

组件：设备，使能netflow 和收集器

一个流：怎么才算一个流

源IP地址，目的IP地址，三层协议，源端口号和 目的端口，tos，入方向的逻辑接口

,