CCNA知识点汇总
CCNA 概述
CCNA认证涵盖了多种网络基础知识,包括网络基础、网络接入、IP连接、IP服务、安全基础设施、自动化与可编程性。
CCNA认证考试编号为200-301
1. 网络基础
1.1 OSI和TCP/IP模型
# OSI(开放系统互连)模型(分为7层):
应用层(Application Layer): 提供网络服务给最终用户(如HTTP、FTP)
表示层(Presentation Layer): 负责数据格式化、加密和解密(如JPEG、MPEG)
会话层(Session Layer): 管理会话和数据交换(如RPC、NetBIOS)
传输层(Transport Layer): 提供可靠的数据传输和流量控制(如TCP、UDP)
网络层(Network Layer): 处理路由和逻辑地址(如IP、ICMP)
数据链路层(Data Link Layer): 处理物理地址和错误检测(如Ethernet、PPP)
物理层(Physical Layer): 处理物理媒体的传输(如电缆、光纤)
# TCP/IP模型(分为4层),TCP/IP模型简化了OSI模型
应用层(Application Layer): 合并了OSI的应用层、表示层和会话层(如HTTP、FTP、DNS)
传输层(Transport Layer): 提供端到端的数据传输(如TCP、UDP)
网络层(Internet Layer): 处理数据包路由(如IP、ICMP)
数据链路/物理层(Network Interface Layer): 处理数据帧和物理媒体(如Ethernet、PPP)
1.2 网络设备
路由器: 用于不同网络之间的数据包转发,通过路由表和路由协议决定数据包的最佳路径
# 配置示例: 基本配置包括设置接口IP地址和启用路由协议
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
交换机: 用于同一网络内设备之间的数据帧转发(基于MAC地址转发数据帧)
VLAN支持: 交换机可以创建VLAN,实现网络分段
配置示例: 创建VLAN并分配端口
vlan 10
name Sales
exit
interface FastEthernet0/1
switchport mode access
switchport access vlan 10
防火墙: 控制网络访问,保护网络安全
功能: 防火墙控制网络流量,保护网络免受攻击
类型: 包过滤防火墙、状态检测防火墙、代理防火墙
配置示例: 配置基本的包过滤规则
access-list 101 permit tcp any any eq 80
access-list 101 deny ip any any
1.3 网络拓扑
星型拓扑: 中心设备连接到所有其他设备
结构: 中心设备(如交换机)连接到所有其他设备
优点: 易于管理,故障隔离简单
缺点: 中心设备故障会导致整个网络瘫痪
网状拓扑: 每个设备都有多个连接,提供冗余
结构: 每个设备都有多个连接,提供冗余
优点: 高冗余性,故障时影响较小
缺点: 实施成本高,复杂性高
总线拓扑: 所有设备共享一个通信线路
结构: 所有设备共享一个通信线路
优点: 施工简单,成本低
缺点: 故障隔离困难,扩展性差
1.4 IP地址
IPv4地址: 32位地址,分为网络部分和主机部分
格式: 32位地址,分为四个八位组(如192.168.1.1)
分类:
A类(1.0.0.0 - 126.0.0.0)
B类(128.0.0.0 - 191.255.0.0)
C类(192.0.0.0 - 223.255.255.0)
D类(224.0.0.0 - 239.255.255.255)用于多播
E类(240.0.0.0 - 255.255.255.255)保留
私有地址: 不在互联网路由的地址(如10.0.0.0/8, 172.16.0.0/12,192.168.0.0/16)
IPv6地址: 128位地址,支持更多的地址空间
格式: 128位地址,分为八个16位组(如2001:0db8:85a3:0000:0000:8a2e:0370:7334)
优点: 更大的地址空间,支持自动配置和内置安全特性
子网划分: 根据需求划分网络,利用子网掩码
目的: 提高地址利用率,增强网络安全性和性能
子网掩码: 定义网络部分和主机部分(如255.255.255.0)
1.5 VLSM和CIDR
VLSM(可变长度子网掩码): 灵活分配子网大小,允许不同子网使用不同大小的子网掩码,提高地址利用率
CIDR(无类域间路由): 提高IP地址利用率,减少路由表项(如192.168.0.0/22)
2. 网络接入
2.1 以太网
以太网: 标准IEEE 802.3
帧结构: 包括目的MAC地址、源MAC地址、以太类型/长度、数据和FCS(帧校验序列)
速率: 支持10Mbps(以太网)、100Mbps(快速以太网)、1Gbps(千兆以太网)及以上
ARP(地址解析协议)
功能: 将IP地址解析为MAC地址
操作: 发送ARP请求,接收ARP回复
CSMA/CD: 一种用于以太网的网络协议,确保多个设备可以共享同一介质而不会发生冲突,用于以太网冲突检测和避免
载波侦听: 设备在发送数据之前检查线路是否空闲。
碰撞检测: 如果发生碰撞,设备停止发送并等待随机时间后重试
# 以太网帧结构
目的MAC地址: 数据帧的接收者
源MAC地址: 数据帧的发送者
类型/长度字段: 指示数据的类型或数据字段的长度
数据: 实际传输的数据
帧校验序列(FCS): 用于错误检测
2.2 VLAN
VLAN: 将一个物理网络划分为多个逻辑网络,提高网络管理性和安全性
好处: 减少广播域、提高安全性、简化网络管理
创建VLAN: 在交换机上创建VLAN,并分配端口
vlan 10
name Sales
exit
interface fastEthernet0/1
switchport mode access
switchport access vlan 10
exit
VLAN间路由: 通过三层交换机或路由器实现不同VLAN之间的通信
interface vlan10
ip address 192.168.10.1 255.255.255.0
no shutdown
2.3 生成树协议(STP)
STP: 防止网络环路,确保冗余链路中只有一条有效路径,标准: IEEE 802.1D
# STP操作
根桥: 网络中所有路径成本最低的桥
非根桥: 其他交换机,根据路径成本选择到根桥的最佳路径
端口角色:
根端口: 到达根桥的最短路径端口
指定端口: 每个网段上的最短路径端口
阻塞端口: 不转发数据帧的端口,防止环路
RSTP: 改进了STP,提高生成树协议的收敛速度,标准: IEEE 802.1w
链路聚合概念
链路聚合: 将多个物理链路聚合成一个逻辑链路,提高带宽和冗余性
标准: IEEE 802.3ad(LACP)
LACP配置示例:
interface range GigabitEthernet0/1 - 2
channel-group 1 mode active
无线局域网(WLAN)
1、WLAN标准
IEEE 802.11: 定义了无线局域网标准,包括802.11a/b/g/n/ac/ax等
频段: 2.4GHz和5GHz
2、WLAN安全
WEP: 早期的无线加密协议,安全性低
WPA/WPA2: 提供更强的加密和认证机制
WPA3: 最新的无线安全协议,增强了保护措施
3. IP连接
IP连接是CCNA认证中的一个核心部分,涵盖了IP地址的分配和管理、子网划分、IP路由协议、访问控制列表(ACL)、NAT等
3.1 路由协议
RIP(路由信息协议): 基于距离矢量的协议,使用跳数作为度量,最多跳数为15
router rip
version 2
network 192.168.1.0
OSPF(开放最短路径优先): 基于链路状态的协议,适用于大规模网络,使用Dijkstra算法计算最短路径
router ospf 1
network 192.168.1.0 0.0.0.255 area 0
EIGRP(增强型内部网关路由协议): 增强型内部网关路由协议,混合协议,: Cisco私有协议,结合距离矢量和链路状态特性
router eigrp 1
network 192.168.1.0
3.2 动/静态路由
静态路由配置: 手动配置路由,适用于小型网络
配置: 手动配置路由器上的路由条目
ip route 192.168.2.0 255.255.255.0 10.0.0.2
动态路由配置: 使用路由协议自动学习和更新路由表
查看路由表: show ip route
3.3 ACL(访问控制列表)
标准ACL: 基于源IP地址进行过滤
1、基于源IP地址过滤流量
access-list 10 permit 192.168.1.0 0.0.0.255
interface FastEthernet0/0
ip access-group 10 in
扩展ACL: 基于源IP、目标IP、协议和端口进行过滤
基于源IP、目标IP、协议类型、端口号等进行过滤
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
interface FastEthernet0/0
ip access-group 100 in
4. IP服务
DHCP: 动态主机配置协议,自动分配IP地址
功能: 动态分配IP地址和其他网络配置
操作: DHCP发现、提供、请求、确认四步流程
DHCP配置
ip dhcp pool mypool
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 8.8.8.8
DHCP中继代理配置:
interface GigabitEthernet0/1
ip helper-address 192.168.2.1
DHCP故障排除
show ip dhcp binding
show ip dhcp pool
show ip dhcp server statistics
ICMP(互联网控制报文协议)
功能: 发送错误报告和操作信息
应用: ping命令用于测试网络连通性
NAT: 网络地址转换,将私有IP地址转换为公有IP地址
功能: 将私有IP地址转换为公有IP地址,允许内部网络设备访问互联网
类型: 静态NAT、动态NAT、PAT(端口地址转换)
1、静态NAT
一个内部IP地址映射到一个外部IP地址
ip nat inside source static 192.168.1.10 203.0.113.5
2、动态NAT
从一个内部地址池动态映射到一个外部地址池
ip nat pool mypool 203.0.113.1 203.0.113.10 netmask 255.255.255.0
ip nat inside source list 10 pool mypool
access-list 10 permit 192.168.1.0 0.0.0.255
PAT(端口地址转换)
多个内部IP地址映射到一个外部IP地址,通过不同端口区分
ip nat inside source list 10 interface GigabitEthernet0/1 overload
QoS: 服务质量,控制网络流量优先级
QoS概念
功能: 管理网络流量,确保关键应用获得所需带宽和优先级
目标: 带宽管理、延迟、抖动和丢包控制
QoS技术
分类和标记: 通过DSCP(差分服务代码点)和CoS(服务类别)标记流量
排队机制: FIFO、PQ、CQ、WFQ、CBWFQ等
拥塞管理: RED、WRED
流量整形和策略: CAR、CBAR
QoS配置
分类和标记示例:
class-map match-all VOICE
match ip dscp ef
policy-map QOS_POLICY
class VOICE
priority percent 30
NTP: 网络时间协议,同步网络设备时间
配置NTP服务器: ntp master 1
配置NTP客户端: ntp server 192.168.1.1
NTP验证
show ntp status
show ntp associations
配置本地DNS服务器:
ip domain lookup
ip name-server 8.8.8.8
ip domain-name example.com
SNMP(简单网络管理协议)
SNMP概念
功能: 管理和监控网络设备。
版本: SNMPv1、SNMPv2c、SNMPv3(增强了安全性)
SNMP架构
管理站(NMS): 集中管理和监控设备。
代理(Agent): 运行在受管理设备上的软件,负责收集信息并响应管理站的请求
MIB(管理信息库): 数据库,包含网络设备的信息
SNMP配置示例
snmp-server community public RO
snmp-server community private RW
snmp-server location "Server Room"
snmp-server contact admin@example.com
SNMP验证
show snmp
show snmp community
HSRP(热备用路由协议)
HSRP概念
功能: 提供路由器的冗余,确保网络的高可用性
虚拟IP地址: HSRP创建一个虚拟IP地址,作为默认网关
HSRP工作原理
活动路由器: 负责转发流量的主要路由器
备用路由器: 在活动路由器故障时接管其职责
HSRP配置示例
interface GigabitEthernet0/1
ip address 192.168.1.2 255.255.255.0
standby 1 ip 192.168.1.1
standby 1 priority 110
standby 1 preempt
5. 安全基础设施
5.1 防火墙
防火墙功能: 保护网络,控制访问
防火墙类型: 包过滤防火墙、状态检测防火墙、代理防火墙
# 设备安全
1、物理安全
设备锁定: 将网络设备放置在安全的机房或机柜中,并使用锁和安防系统保护
电源保护: 使用不间断电源(UPS)和备用电源,确保设备持续运行
环境控制: 保持适宜的温度和湿度,避免设备过热或受潮
2、设备硬化
禁用未使用的端口:
interface range GigabitEthernet0/1 - 48
shutdown
禁用未使用的服务:
no ip http server
no ip finger
启用和配置SSH:
hostname Router1
ip domain-name example.com
crypto key generate rsa
ip ssh version 2
line vty 0 4
transport input ssh
3、安全密码和账号管理
设置强密码: enable secret [password]
配置登录标志: banner login "Unauthorized access is prohibited"
账号管理: username admin privilege 15 secret [password]
# 访问控制
1、标准和扩展访问控制列表(ACL)
标准ACL: 基于源IP地址过滤流量
access-list 10 permit 192.168.1.0 0.0.0.255
interface GigabitEthernet0/0
ip access-group 10 in
扩展ACL: 基于源IP、目标IP、协议类型、端口号等进行过滤。
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
interface GigabitEthernet0/0
ip access-group 100 in
时间范围ACL
定义时间范围:
time-range WORKHOURS
periodic weekdays 9:00 to 17:00
应用到ACL:
access-list 101 permit tcp any any eq 80 time-range WORKHOURS
访问控制策略
明确策略: 确定哪些流量需要过滤,并配置相应的ACL
应用范围: 在适当的接口上应用ACL,确保策略生效
5.2 VPN
VPN: 虚拟专用网,通过公共网络建立安全连接
VPN类型: 站点到站点VPN、远程访问VPN
IPSec VPN
功能: 提供数据加密和认证,确保数据在传输过程中的机密性和完整性
主要协议: AH(认证头)、ESP(封装安全载荷)
配置示例:
crypto isakmp policy 1
encr aes
hash sha256
group 2
lifetime 86400
SSL VPN
功能: 使用SSL协议为远程访问提供加密连接,通常用于Web浏览器
优点: 不需要在客户端安装特定软件,易于部署和管理
# 网络防御
1、防火墙技术
功能: 监控和控制进出网络的流量,根据预定义的安全规则进行过滤
类型:
包过滤防火墙: 基于IP地址、端口和协议过滤流量
状态检测防火墙: 监控连接状态,允许合法的返回流量
入侵检测和防御系统(IDS/IPS)
功能: 检测并响应网络攻击和异常活动
IDS(入侵检测系统): 被动监控和报警
IPS(入侵防御系统): 主动阻止攻击
5.3 端口安全
端口安全: 限制交换机端口的访问,防止未经授权的设备接入
配置示例:
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrict
switchport port-security mac-address sticky
设备日志和监控
1、日志记录
功能: 记录网络设备的事件和操作,为故障排除和安全审计提供数据
配置示例:
logging buffered 4096
logging console warnings
logging trap debugging
SNMP监控
功能: 使用SNMP协议监控和管理网络设备,收集性能和状态信息
配置示例:
snmp-server community public RO
snmp-server community private RW
6. 自动化与可编程性
6.1 网络自动化
网络自动化工具:
Ansible: 基于Python的自动化工具,使用YAML语言编写剧本
Puppet: 配置管理工具,使用自己的声明式语言
Chef: 基于Ruby的自动化框架,用于配置和管理基础设施
网络可编程性: 使用API和脚本实现网络配置和管理
6.2 SDN(软件定义网络)
SDN: 分离控制平面和数据平面,提高网络灵活性和管理性
GNS3实验环境说明
1、安装GNS3
下载和安装: 从GNS3官方网站下载最新版本并安装。
下载路由器和交换机镜像
路由器镜像: 使用思科官方的IOS镜像文件(如 c7200-adventerprisek9-mz.152-4.S5.image)
交换机镜像: 使用IOU(IOS on Unix)镜像,如 i86bi-linux-l2-adventerprisek9-15.1a.bin
2. 创建GNS3项目
创建项目: 打开GNS3,点击"File" -> New Project,创建一个新的GNS3项目
添加设备
添加路由器: 在设备列表中选择路由器,将其拖拽到工作区
添加交换机: 在设备列表中选择交换机,将其拖拽到工作区
3. 配置实验环境
配置路由器
启动路由器: 右键点击路由器,选择“Start”
进入CLI: 右键点击路由器,选择“Console”,进入CLI配置
配置交换机
启动交换机: 右键点击交换机,选择“Start”
进入CLI: 右键点击交换机,选择“Console”,进入CLI配置
4. 示例实验
VLAN配置实验
# VLAN配置
拓扑结构
[PC1] -- [Switch] -- [PC2]
| |
VLAN10 VLAN20
PC1配置:
ifconfig eth0 192.168.10.2 netmask 255.255.255.0
PC2配置:
ifconfig eth0 192.168.20.2 netmask 255.255.255.0
交换机配置:
vlan 10
name Sales
vlan 20
name HR
exit
interface FastEthernet0/1
switchport mode access
switchport access vlan 10
exit
interface FastEthernet0/2
switchport mode access
switchport access vlan 20
exit
生成树协议配置
# 拓扑结构
[Switch1]
/ \
[Switch2] [Switch3]
\ /
[Switch4]
Cisco交换机默认启用STP,无需特别配置
查看STP状态:
show spanning-tree
配置根桥:
spanning-tree vlan 1 priority 4096
链路聚合配置
拓扑结构:
[Switch1] == [Switch2]
配置步骤:
1、Switch1配置
interface range GigabitEthernet0/1 - 2
channel-group 1 mode active
exit
interface Port-channel1
switchport mode trunk
2、Switch2配置
interface range GigabitEthernet0/1 - 2
channel-group 1 mode active
exit
interface Port-channel1
switchport mode trunk
静态路由配置
拓扑结构:
[PC1] -- [Router1] -- [Router2] -- [PC2]
配置步骤:
PC1配置:
ifconfig eth0 192.168.1.2 netmask 255.255.255.0
route add default gw 192.168.1.1
Router1配置:
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface GigabitEthernet0/1
ip address 10.0.0.1 255.255.255.0
no shutdown
exit
ip route 192.168.2.0 255.255.255.0 10.0.0.2
Router2配置:
interface GigabitEthernet0/0
ip address 10.0.0.2 255.255.255.0
no shutdown
exit
interface GigabitEthernet0/1
ip address 192.168.2.1 255.255.255.0
no shutdown
exit
ip route 192.168.1.0 255.255.255.0 10.0.0.1
PC2配置:
ifconfig eth0 192.168.2.2 netmask 255.255.255.0
route add default gw 192.168.2.1
动态路由配置(RIP)
拓扑结构:
[PC1] -- [Router1] -- [Router2] -- [Router3] -- [PC2]
Router1配置:
router rip
version 2
network 192.168.1.0
network 10.0.0.0
Router2配置:
router rip
version 2
network 10.0.0.0
network 10.0.1.0
Router3配置:
router rip
version 2
network 10.0.1.0
network 192.168.2.0
ACL配置
拓扑结构:
[PC1] -- [Router] -- [PC2]
Router配置:
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 10 deny any
interface GigabitEthernet0/0
ip access-group 10 in
DHCP服务器配置
拓扑结构:
[PC1] -- [Router] -- [PC2]
Router配置:
ip dhcp pool mypool
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 8.8.8.8
PC1和PC2配置:
将PC设置为自动获取IP地址
NTP配置
拓扑结构:
[Client] -- [Router] -- [NTP Server]
NTP服务器配置:ntp master 1
NTP客户端配置:ntp server 192.168.1.1
SNMP配置
拓扑结构:
[NMS] -- [Router]
Router配置:
snmp-server community public RO
snmp-server community private RW
snmp-server location "Server Room"
snmp-server contact admin@example.com
NMS配置:
在NMS上添加路由器,并使用配置的社区字符串进行管理。
SSH配置
拓扑结构:
[PC] -- [Router]
Router配置:
hostname Router1
ip domain-name example.com
crypto key generate rsa
ip ssh version 2
line vty 0 4
transport input ssh
login local
username admin privilege 15 secret cisco123
PC配置:
使用SSH客户端连接到路由器:
ssh admin@192.168.1.1
ACL配置
拓扑结构
[PC1] -- [Router] -- [PC2]
Router配置:
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
interface GigabitEthernet0/0
ip access-group 100 in
PC1和PC2配置:
PC1尝试访问PC2的HTTP服务,验证ACL的效果
端口安全配置
拓扑结构:
[PC1] -- [Switch] -- [PC2]
Switch配置:
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrict
switchport port-security mac-address sticky
PC1和PC2配置:
将PC1和PC2接入交换机,验证端口安全的配置