国三网络技术笔记
第一讲
分值分布
3章 ip地址规划和设计方法 20-24%
4章 路由设计基础 3-15%
6章 交换机配置 10%
7章 路由器配置 14-16%
9章 计算机网络信息服务系统的安装配置 15% dhcp 报文
10章 网络安全技术 防火墙入侵槛车 6-10%
11章 网络管理技术 14%
第二讲
第一章 网络系统结构与设计的基本原则
1.1.1计算机网络分类
1.局域网 local area network LAN 有限的地理范围 高数据传输速率 易于建立维护和扩展
2.城域网 metropolitan area network MAN 介于局域网和广域网之间 几十公里的大量企业机关公司多个局域网互联需求
3.广域网 覆盖十几公里 几千公里 覆盖国家地区 形成国际性远程计算机网路 广域网的通信子网利用公用分组交换网pstn、卫星通信网、无线分组交换网
1.1.3
1.1.4
发展方向“ 1提高以太网传输速度 2大型局域网划分多个网桥或路由互联 3共享介质方式改为交换
1.2实训
宽带城域网核心交换层特点:
三个平台指的是 管理平台 业务平台和网络平台 一个出口指的是城市宽带出口,通过核心层出去的
结构层次: 核心层: 为汇聚层的网络提供高速分组转发,具有qos保障能力。 提供城市宽带ip出口 访问internet 所需要的路由访问
汇聚层: 汇聚接入层的用户流量。 转发用户流量到核心交换层或者本地进行路由处理
接入层: 最后一公里,连接最终用户
三层结构思想:上层负责下层的数据汇聚,核心提供出口与qos、汇聚本地路由、接入服务用户
第三讲
1.2实训
宽带城域网组建的基本原则:
可运营性、可管理性、可盈利性、可扩展性
城域网必须支持: 身份认证 使用权限认证和计费功能
必须具备: ip地址分配 NAT
必须保证: 带宽保证 流量工程 qos认证
QoS 技术主要有(必背)
资源预留RSVP 就像专用车位
区分服务Diffserv 就像金卡银卡会员不同服务
多协议标记交换MPLS
基于弹性分组环RPR技术的城域网(必背)
弹性分组环 resilient packet ring 高速传输IP分组 的传输技术
cisco提出
双环结构
RPR和FDDI一样使用双环结构
RPR环中 源节点向目地节点发出数据帧要由目地节点从环中收回
RPR 顺时针传输的光纤叫外环 逆时针内环
内外环都可以统计复用的方法传输ip分组
内外环都可以传输数据分组与控制分组
RPR特点
宽带利用率高:
公平性好:RPR环中每个节点都执行SRP公平算法
快速保护和恢复能力强:自愈50ms
保证服务质量:对不同业务分配不同优先级
第四讲
1.2实训
宽带接入技术基本类型
数字用户线 xDSL
光纤同轴电缆混合网HFC
光纤接入
局域网接入
各种接入技术的特点
-
1.数字用户线xDSL:又叫数字用户环路,电话线接入
用户-交换局根据上下行速率是否相同对称型和非对称型两种
ADSL 允许用户保留他们已经申请的模拟电话业务
- ADSL上行速率64kbps-640kbps 下行500kbps-7Mbps
-
2.HFC 双向传输
-
频分复用
-
上行200k-10Mbps
-
第五讲
1.2实训
光纤接入技术(重点)
ITU建议光纤接入系统标准化分两部分:
对称业务:OC-3 155.520Mbps (51.84*3)
非对称业务:上行OC-3 155.520Mbps 下行OC-12 622.080Mbps(51.84*12)
宽带无线接入技术
标准主要有:
802.11标准的无线局域网wlan
802.16标准的无线城域网WMAN
Ad-hoc
结构
远距离802.16的WiMAX 50m范围提供70Mbps
近距离WLAN
802.16标准:
10~66GHz
增加802.16d 主要针对固定的无线网络部署
增加802.16e 对火车汽车等移动物体的无线通信标准
最高传输速率为134Mbps
802.11和无线局域网WLAN
802.11定义了红外、调频扩频、直接序列扩频技术
802.11b定义了使用了直接序列扩频技术 11Mbps
802.11a g速率54Mbps
无线网格网WMN技术
Ad-hoc
两个方向:
军事
民用WMN
第六讲
第二章 中小型网络系统的总体规划与设计方法
2.2实训
网络需求详细分析
主要包括:网络总体需求分析
综合布线需求分析
网络可用性和可靠性分析
网络安全性分析
网络工程造价估算
网络结构与拓扑结构设计方法
节点数
250-5000个 一般用3层结构设计
100-500个 不必设计接入层网络 由汇聚层的路由器或交换机接入
5-250个 不设计接入和汇聚层
核心层网络结构设计
一般承担网络流量40~60%
标准GE、10GE
核心设备是高性能交换路由器
有冗余链路光纤
全双工下上联带宽与下一级带宽之比一般控制在1:10
半双工1:20
全双工公式:
例:全双工下 16个1000m 上联最少1.6Gbps
半双工16个1000m 上联最少0.8Gbps
第七讲
### 路由器选型
交换能力大雨40Gbps以上为高端
技术指标
吞吐量:指路由器的包转发能力,包转发能力:与端口数量、端口速率、包长度、包类型有关
背板能力:背板是路由器输入端与输出端的物理通道,传统路由器共享背板结构,高性能路由器采用交换式结构,背板能力决定了路由器的吞吐量。
丢包率:持续负荷下,包丢失的概率,是衡量路由器超负荷工作时的性能指标
延时与延时抖动:延时,第一个比特进入路由到该帧的最后一个比特离开路由所经历的时间,这标志着路由器转发包的处理时间,延时和包长度、链路传输速率有关。要求:1518B的ip包 延时要小于1ms
抖动,是指延时的变化量。语音、视频对这个参数指标要求较高
突发处理能力:最小帧间隔发送数据包而不引起丢失的最大发送速率
路由表容量:储存数量
服务质量:队列管理机制、端口硬件队列管理、支持Qos协议
管理能力:snmp
可靠性与可用性:热插拔、冗余、无故障工作时间、内部钟表精度。
高端路由指标:(掌握)
- 无故障工作时间10万小时
- 系统故障恢复时间小于30分钟
- 主备切换时间小于50ms
- SDH与ATM接口自动保护切换时间不小于50ms
- 路由系统内不存在单故障点
第八讲
交换机分类和主要技术指标
性能指标:
背板带宽、全双工端口的总带宽、帧转发速率、延时、交换方式
背板带宽:和路由器一样
全双工端口的总带宽:(重点)计算方式,总带宽=端口数x端口速率(最高速率)x2
网络服务器选型
应用服务器主要技术特点: 浏览器/服务器(B/S)模式
大型中型计算机和超级服务器都采用RISC结构处理器,操作系统采用UNIX
按规模分类:
基础服务器1个cpu
工作组级1-2cpu
部门级服务器2-4cpu 采用SMP(对称多处理)可以在多个CPU结构的服务器中均衡负载
企业级服务器4-8cpu 采用SMP
集群技术
Cluster向一组独立的计算机提供高速通信线路,组成一个共享数据储存空间的服务器系统
一台主机出现故障,他所运行的程序将转移到其他主机,提高了可靠性可用性和容灾能力
独立磁盘冗余阵列 RAID
提高磁盘容量基础上,通过改善并行读写能力,提高储存能力和吞吐量,通过磁盘容错处理,提高系统可靠性。
第九讲
网络服务器性能
运算处理能力:50%定律 (m2-m1)/m1 x 50%
系统高可用性:MTBF平均无故障时间除以(MTBF+MRBR平均修复时间)
如可靠性达到99。9% 每年停机时间小于等于8.8小时(记住数字)
99.99% 53分钟
99.999% 5分钟
总共128块
其中,第一块和最后一块地址留作特殊用途
网络号id=10的 10.0.0.0-10.255.255.255用作专用地址
B类地址
每个地址容纳主机个数为2的主机号次方(16)-2
特殊地址形式(会计算)
1、直接广播地址:
ABC三类地址如果主机号全是1,那这个主机号为直接广播地址,广播发送给特定网络上的所有主机。如要给201.161.20.0上的所有主机发送,广播地址为201.161.20.255 y因为这个是个C类地址,主机号是后8位,这8位都是1,得到广播地址255
2、受限广播地址:
本网广播所有主机 就是255.255.255.255 内部广播
3、这个网络上的特定主机地址:
向某个特定主机发送一个分组,就要用到这个地址,网络号全部为零,这样会限定在本网内部,由主机号对应相应的主机接收。如
4、回送地址:
127.0.0.1 测试本地环路
子网
subnet 允许将网络划分成多个网络供内部使用
网络号-子网号-主机号
子网对应子网掩码 ,目地是让人知道网络号和主机号是多少
第十一讲
子网掩码的概念
只有连续的1和连续的0,所以也可以写成点分十进制
标准B类地址16位网络号,如需分出64个子网,那么就可以借用原16位主机号的6位(2的6次方是64所以借6位),这样主机号就变成了10位,子网掩码就变成11111111.11111111.11111100.00000000 写作255.255.252.0 因为有22个1,也可写作/22
二进制十进制转换
| 128 | 64 | 32 | 16 | 8 | 4 | 2 | 1 |
|---|---|---|---|---|---|---|---|
| 1 | 1 | 1 | 0 | 0 | 0 | 0 | 0 |
如上图,11100000转换成十进制就是128+64+32=224
十进制转换成二进制就是减,先减去128 能减就给1然后再减64,,,,
例如:192转换,11000000
第十二讲(重点)
ip地址规划
VLSM 可变长度子网掩码(必出)
variable length subnet mask
在标准掩码上面再划分的子网的网络号码,
无类路由选择网络可以使用VLSM
有类路由选择网络不能使用VLSM
233错了 应该是31
无类域间路由
CIDR
将剩余的ip地址不是按照标准的地址分类规则分配,而是按可变大小的块方法进行分配
特点:
第十四讲
实训CIDR
必会计算题
算算还会么
见可分配 就是2的多少次方-2 也就排除了bd
最后一题解析:
1 看三块地址块最后的不同,转换成二进制
2写下来
00000000
00100000
01000000
3 找出相同前缀,到第25位都是一样的
4 所以/25 主机数量就是7位 所以可分配地址2的7次方-2
第十五 十六讲
专用地址
| 类别 | 10.0.0.0-10.255.255.255 |
|---|---|
| A类 | 10.0.0.0-10.255.255.255 |
| B类 | 172.16-172.31 |
| C类 | 192.168.0-192.168.255 |
网络地址转换NAT的基本工作原理
思想:由内到外,源地址(专用地址)转换成共有地址;
由外到内,目地地址(公有地址)转换成专用地址;
以上均包含端口号 的转换
类型:
·静态NAT 一对一
·动态NAT 一对多
·网络地址端口转换NAPT 一对多,端口区分
转换关系(必会)
ipv6 地址
ipv6长度128位
冒号十六进制,八段
压缩0:有连续的0可以用双冒号表示,但只能使用一次,前导0可以压缩
前导0可以压缩
没有子网掩码
有前缀长度表示法
前48是前缀 后128-48是主机位
第十七讲
第四章 路由设计基础
重点
BGP
RIP
OSPF
IP路由选择与路由汇聚
路由器采用表驱动的路由选择算法
路由选择与路由汇聚
ip分组的路由在使用CIDR协议后,通过子网的划分相反过程来汇聚。路由表的项目由网络前缀和下一条地址两项内容组成,因此,选择路由应当从匹配结果中选择具有最长网络前缀的路由,这就是最长前缀匹配原则。
156.26. 00111000
156.26. 00111001
156.26. 00111010
156.26. 00111011
所以156.26.56.0 /22
第十八 十九讲
内部网关协议
IGP interior gateway protocol
自制系统as内部使用的路由协议,主要有
-
路由信息协议RIP routing information protocol
-
跳数一般小于15
-
路由周期性向外发送路由刷新报文,由(V,D)组成的表。v矢量标识该路由器可到达的信宿,网关或主机 d距离指路由器去往信宿v的距离,其他路由收到报文后,据此按最短路径对各自路由表进行刷新
-
路由器刚启动,对vd表初始化,与直连路由距离为0.从别处学习来的距离要加1,加1后比以前的短,就学习 ,比以前的长就抛弃如下图(会计算)
-
-
开放最短路径优先协议OSPF open shortest path first
- 公开发布标准开放协议
- 使用分布式链路状态
- 状态度量主要指费用、距离、延时、宽带,不像RIP只看跳数
- 链路状态发生变化时,泛洪向本区域所有路由器发送信息
- 所有OSPF路由器交换链路状态信息,最终建立一个链路状态数据库,实际是全网拓扑结构图
- 可将as再划分更小的若干个范围,叫区域area 每个区域有一个32位区域标识符 ,一个区域路由器数不超过200
- 划分区域好处是用泛洪范围局限在每一个区域而不是整个自治系统,因此每一个区域内部路由器只知道该区域内的完整拓扑结构 减少更新量
- OSPF使用层次结构的区域划分,将一个自治系统划分成若干区域和一个主干区域
外部网关协议
EGP external gateway protocol
自制系统之间使用的路由选择协议,有
- 边界网关协议BGP border gateway protocol重要
- 不同自治系统 的路由器之间交换路由信息的协议
- BGP-4采用 路由向量 路由协议。每个自治系统至少选一个路由器做为发言人,发言人间交换路由信息要先建立TCP连接
- 初始化:每个路由器要交换整个路由表,以后只需要在发生变化时更新有变化的部分
- BGP协议的四种分组:
- 1、打开分组 open:与另一个发言人建立关系
- 2、更新分组 updata:更新(核心部分)
- 3、保活分组 keepalive:确认打开分组,以及周期证实相邻边界路由器存在(30s)
- 4、通知分组 notification:发送检测到的差错
第二十讲
第五章 局域网
虚拟局域网
VLAN virtual LAN 建立在交换技术的基础上,以软件的方法将网络中的节点按工作性质与需要,划分成若干个逻辑工作组,每个组就是一个虚拟网络
四种组网定义方法
·基于端口的
·基于mac地址的
·基于网络层地址定义的
·基于ip广播粗的
综合布线国际标准 ISO/IEC 11801
第二十一讲
集线器
使用CSMA/CD介质访问控制方法,共享一个冲突域
串接集线器可以监听链路中的数据包
不能同时发送数据,但可以同时接受数据
网桥
特征:能互联两个采用不同数据链路层协议、不同传输介质、不同传输速率的网络
作用:构建和维护MAC地址表
缺陷:如没有mac地址表网桥无法确定帧是否要转发以及如何进行转发
生成树协议 STP
详见华为数通笔记
交换机
可以在多个端口之间建立并发连接
第二十二讲
第六章 交换机配置
交换表
包括目地mac地址 ,所对应的交换机端口号,以及所在的虚拟子网vlan
维护:每个记录有时间戳,到时间没有被更新就会被删除
中高端思科 交换表在cam中 show cam
cisco-4xxx系列 show cam dynamic
cisco-3xxx系列 show mac-address-table
第二十三讲
交换机的交换结构
- 软件执行交换结构
- 交换机接收到数据帧后,由串行代码转换位并行代码,找到对应的端口后建立虚连接,并把暂存在ram里的数据帧转化串行代码,发送目标端口,这些步骤都是有软件控制完成的
- 串-并-串
- 矩阵交换结构
- 查表后找到对应的端口后,打开交换矩阵相应开关,在俩端口建立连接
- 优点速率快,延时小,缺点扩展可管理性差
- 总线交换结构
- 数据帧按时隙在总线上传输
- 对总线带宽要求较高
- 设交换机端口为M,每个端口带宽为N,总线带宽位MxN
- 共享存储器交换结构
- 共享存储RAM代替总线交换结构中的总线
- 结构简单易于实现,单储存容量扩大时延时也越来越大,成本比较高,适合小型交换机
交换方式
最常采用的是动态交换方式,这种方式主要模式有
- 快速转发 碎片丢弃 存储转发
- 快速转发,检测到数据帧时,一旦检测到6个字节,就立即转发,无法校验纠错即被直接转发
- 存储转发,先存储后校验循环冗余码校验检查,对错误帧处理后再转发,延时大但有错误校验,能改善网络性能,且支持不同速度的端口间转发
- 碎片丢弃交换模式,检查 冲突碎片,判断是否达到64字节,如小于,则是碎片
VLAN
逻辑工作组,每个都是一个独立的逻辑网段和广播域,不受用户所在的物理位置和物理网段的限制,这个是通过软件完成的。
- 在数据链路层
- 广播信息只发送给该vlan 的节点
- 每个vlan都是一个独立的网络,各自有唯一不同的子网号,不同vlan之间只能通过第三层路由才能进行通信,不能直接完成通信。
VLAN标识
vlan id 是12位二进制数
1-1000用于以太网,1002-1005是FDDI Token ring 1025-4096是扩展范围
vlan name 由32位字符表示 可以数字、字符 缺省vlan名 VLAN00111
VLAN Trunk
VLAN中继 主线路上传输多个vlan 连接主干线的两个交换机要用trunk
第二十四讲
随便讲了下stp和交换机配置
开启http server
catos : set ip http server enable
IOS: ip http server
设置主机名
catos:set system name xxx
IOS:hostname XXX
配置密码
IOS:
enable password xxx 明文
enable password 7 xxx 加密
enable password 5 xxx 加密 md5加密
catos: set enablepass
远程登录口令设置
IOS:
(config):line vty 0 4
(config-line):password 0 zzz 明文
(config-line):password 7 zzz 加密
CATos
set password
第二十五讲
系统时间
IOS:clock set 00:00:00 nov 2018
catos:set time Mon 07/03/18 12:11:11
管理地址
IOS:
int vlan 1
ip address 10.10.10.2 255.255.255.0
ip default-gateway 203.10.1.1
catos:
set interface sc0 10.10.10.3 255.255.255.0 10.10.10.255(最后的广播地址可选)
set ip route 0.0.0.0 203.10.1.1
更改端口描述
IOS:interface fastEthernet 0/24
description xxx
catos
set port name 1/2 xxx
打开 关闭端口
ios:
int fastEthernet 0/24
shutdown
no shutdown
catos
set port enable 0/1
set port disable 0/1
VTP
这个是vlan的中继协议,第二层协议,用于管理同一个域的网络范围内vlan的建立删除和重命名,在vtp server上配置一个新的vlan时,该vlan的配置信息自动传播到本域内的所有其他交换机,其他交换机与vtpserver保持一致,减少配置同一个vlan的工作量,保持了vlan配置的一致性
vtp模式
- 服务器模式 vtp server
- 一个域里只能设定一个server
- 可以建立删除修改vlan
- 客户端模式vtp client
- vtp transparent
- 透明模式 不管其他的
IOS:vtp mode xxx
vtp domain zzz
catos:
set vtp mode
set vtp domain zzz
第二十六讲
VLAN创建删除修改
vlanid 用12位组成 4096个vlan
1是缺省vlan 只能使用不能删除
配置VLAN Trunk
两种协议 isl 思科专有协议 ieee802.1q dotoneq
STP配置
生成树优先级取值范围0-61440 增量4096 值越小优先级越高
第二十七讲
三种stp可选功能了解下
backbonefast:间接链路失效,骨干链路失效,收敛速度提高大概到30s
uplinkfast:上行链路失效,直接链路失效提高收敛速度
portfast:单个pc、服务器,不能接集线器中继器交换机网桥,否则可能造成生成树循环
bpdu filter生成树可选功能:
会使交换机在指定端口停止发送bpdu,这个端口进入的bpdu也不做任何处理,且立刻将端口状态转换为转发状态
路由器
网络层的设备,讲数据分组从源端主机送达目地端主机,选择最佳路径
能力:异构网络互连、广域网互联、隔离广播信息
分组转发
思想:目地ip全程不变,目的mac,逐跳修改
路由表
路由器通过对路由表查询选择最佳路径策略,表中保存各种传输路径相关数据,供路由选择时使用
表内容:
- 目地网络地址及其所对应端口
- 下一跳路由的名字
- 缺省路由信息
C直连,后面接的是端口
S是静态,ip-端口-via-下一跳地址
S*是默认路由
E1E2都是ospf的
方框里面数字 是管理距离/权值
管理距离 不同路由的可信度这个值以小为优 记住ospf110 rip120
权值了解下就好 ,是路径产生的数字,路由根据这个值确定最佳路径
第二十八讲
路由器硬件
NVRAM 储存路由器的启动配置文件 命令weite memory
FLASH 存系统映像和一些微代码
路由配置
AUX 通过远程拨号配置
第二十九讲
路由器接口配置
黄字单位是kbps 是2.5Gbps
静态路由
ip route 目标ip 子网掩码 下一条地址
默认路由 ip route 0.0.0.0 0.0.0.0 下一跳
动态路由RIP动态路由协议配置
这协议只一句路由跳数 hop数决定最佳路线,最大15 ,16不可达
被动接收 只收不发,给过滤了
通告的,不写子网掩码
第三十讲
动态路由OSPF协议配置
反掩码
DHCP
排除地址要在全局模式下添加
ALC
alc匹配是顺序的,从前往后匹配,所以顺序很重要
记得用反掩码
写好规则,给接口配置执行
title: ‘国三网络技术笔记31-43’ excerpt: 31-43集 date: 2018-07-20 categories: 广电 tags: 国三 网络技术 —
第三十一讲
ACL
tips:
别忘反掩码,255-掩码等于反掩码
in 输入 out输出过滤
扩展访问控制列表:
解析 第一个any是来 第二个any是去
100-199是扩展
up改成ip
第三十二讲
第八章 无线局域网设备安装调试 3分选择
蓝牙
距离10m 2.4GHz 带宽1Mb/s IEEE802.15
HiperLan
有1和2两种标准
都采用5GHz射频频率,但1上行20Mb/s ,2的上行54M/s
覆盖室内30m 室外150m
高速数据传输采用OFDM调制技术
面向连接
IEEE802.11
定义两种类型的设备:无线节点 无线接入点
无线节点:一台接入设备加一块无线网络接口卡
无线接入点:无线和有线网络之间的桥接
两个扩频技术:FHSS调频扩频 DSSS直序扩频
一个红外规范
| a | 5GHz | 54Mb/s | 10-100m |
|---|---|---|---|
| b | 2.4GHz | 1,2,5.5,11Mb/s | |
| g | 2.4GHz | 54Mb/s | 兼容b |
802.11b
运作模式:点对点模式 和 基本模式
点对点:无线网卡间通信方式 最多可连256台pc
基本模式:接入点 1024台连接
第三十三讲
无线接入点调试
太简单了 不记了
思科设备默认的管理ip是10.0.0.1
默认ssid是tsunami
密码Cisco
第九章 www dns dhcp
DNS服务器
基本配置:正向查找区域,反向查找区域。资源记录创建
转发器:用于外部域名的dns查询
TTL存放缓存中的持续时间 默认是3600秒
根DNS不需手动配置
监视对话框 可简单测试和递归查询测试
nslookup
ipconfig/flushdns
winserver 2003 默认没安装dns服务
第三十四讲
DHCP基本原理
四次交互
1 客户端发起,广播发布discover报文找到dhcp服务器,源地址0。0.0.0 目地地址255.255.255.255
2 dhcp服务器收到dhcp发现消息,向网络中广播dhcp供给消息,包括客户机的地址和相关配置信息
3 客户端收到dhcp供给信息 如果接受提供的参数,就广播dhcp请求消息想dhcp服务器请求提供ip地址(因为客户机到现在都没有ip地址,所以都是以广播形式来发送接收)
4 服务器广播dhcp确认消息,将ip地址分配给客户端
保留地址:
指派永久地址 需要mac地址 可以使用排除地址范围
www服务
老本行不记了
第三十五讲
FTP
端口21用于数据连接 20用户数据传送
serveru默认管理员LocalAdministrator
小域 INI文件储存
大域 500+用户 用注册表方式存储
FTP——bounce 只允许服务器和客户端传输,不允许两个服务器进行文件传输
工作过程
SMTP协议 将邮件发送到自己的邮件服务器
使用SMTP协议发送到接收方邮件服务器
接收方 储存
接收方客户端通过POP3/IMAP4协议读取
可自行注册
第三十六讲
网络安全技术
网络安全规范
可心计算机系统评估标准 TCSEC 将系统安全等级分A-D四类
共有7级D C1 C2 B1 B2 B3 A1
D要求最低 属于非安全保护类 不能用于多用户环境下重要信息处理
C自主保护类型
B用户不能自己分配权限
UNIX通常满足C2
备份
基于策略的备份(必考)
1完全备份 标记每个文件
2增量备份 针对完全备份 在上次修改的文件才备份 备份后标记
3差异备份 自上次完全备份以来变化的部分 不标记
2,3区别:2是单个补丁包 3是跨版本大补丁(比喻)
磁盘阵列
raid10 是raid0和raid1的组合
有主板自带raid控制器
还有raid卡
接口通常是scsi 也有ide sata
第三十七讲
防火墙
1包过滤路由器
2应用级网关
3应用代理
4状态检测
第三十八讲
防火墙配置
cisco pix525为例
pixfirewall> 访问模式
pixfirewall# 特权模式
pixfirewall(config)# 配置模式
监视模式 更新操作系统镜像和口令恢复
防火墙安全级别
内部100
外部0
dmz50
数字越大越高
管道命令confuit
允许数据流从较低安全级别接口流向较高安全级接口的配置命令
fixup 服务协议启用/禁用端口
第三十九讲
入侵检测
基于网络的入侵检测系统 网卡设置混杂模式
分布式入侵检测系统:
层次型 存在单点失效
协作型 存在单点失效
对等型 无单点失效
ips 入侵防护系统
intrusion pervention system
采用 IN-Line 工作模式,整合防火墙和入侵检测技术
主要包括 嗅探器 监测分析组件 策略执行组件 状态开关 日志系统 控制台6部分
入侵防护系统基本分类(必背)
- 基于主机的入侵防护系统 HIPS h:host
- 安装在受保护的主机系统中
- 基于网络的 NIPS n:net
- 部署网络出口处
- 检测到恶意数据包 发出警报 ,采取相应措施
- 如误报,会导致合法通信被阻断
- 应用入侵防护系统AIPS
- 部署于应用服务器前端
- sql注入 cookie篡改
入侵检测系统常用部署方法
- 镜像端口复制
- 集线器监听
- 通过TAP(分路器)
TAP是容错方案 提供全双工或者半双工10-1000m王端上观察数据流量手段
网络安全评估
安全风险评估技术通常用来进行安全审计,穿透实验
控制台和代理相结合
第四十讲
第十一章 网络管理技术
管理信息库
管理对象标识符OID 都是由1.2.6.1.4.1.9 开头的
MIB 中的计量器 类似计数器 但可增可减
SNMP CMIP
-
前者适用小型网络 成本低效率高 后者适用大型网络
-
前用基于轮训方式 后用报告方式
-
前基于udp 后使用面向连接传输
-
前用简单变量表示管理对象 后面向对象信息建模方式
ICMP
工作在网络层 消息封装在ip数据包内
第四十一讲
PATHPING
是个好东西
结合了tracert和ping
第四十二讲
SNMP配置
ro 只读 rw 读写
访问控制表号 1-99
snmp-server community 团体名 权限 alc
traps自陷消息 管理站对这种报文不必有所应答
inform消息 要有应答
udp 162端口发送通知
第四十三讲
常用监听工具 Sniffer pro ethereal TCPdump
排障
ping一个域名能解析出地址说明dns没问题 然后如果
做提前先回想下吧
地址类别
网络地址
网络位不变 ,主机位置0,用ip地址与子网掩码做与运算
直接广播地址
网络位不变,主机号全为1,则是直接广播地址
受限广播地址为255.255.255.255 只广播内网
第一、最后一个可用ip地址
网络地址+1
直接广播地址-1
主机地址
网络位全为0,主机号不变
(注意不要把主机号全写成1)
真第一题
地址类别:A类 (别忘了写类)
网络地址:126.144.0.0
- 先把子网掩码变成二进制 240那变
- 变二进制
- 1111 0000 这个是240
- 1001 0110 这个是150
- 做与运算,1001 0000 这个就是网络地址了
- 1001 1111 这个就是直接广播地址了
- 转化回十进制
- 144 是网络地址
- 159 是广播地址
直接广播地址:126.159.255.255 注意别忘了后面俩255 因为主机为都是1
第二题
这个注意主机号
000 00100 网络位再往前全是0空格前为网络位 所以算下来 第一块是0没 第二块是4,后面照抄ip
第四十五讲
路由器配置
出题方式:给个拓扑图 按着要求完成命令配置
例子
知识点
如果pos framing 是sdh 下面flag的s1s0要填2 如果是sonet就填0
知识点5
OSPF配置
全局模式下,router ospf 进程号
wildcard-mask 反码,network 这种写法用反码
子网聚合会算
第四十六讲
encapsulation negotiate 自协商
两种协议 isl 思科专有协议 ieee802.1q dot1q
dhcp报文分析
考察形式:sniffer抓包 分析报文内容然后填空
1 广播 源地址为0.0.0.0
2 服务器dhcp offer 应答并提供配置参数 源地址服务器ip,广播255
3 主机发送 dhcp request 广播 包给服务器 建立租借关系 并通告其他dhcp服务器
4 接收到request包后发送dhcp ack 广播包给客户,确认互相关系
第四十七讲
DHCP报文分析
boot record type:1是client请求,2是server应答
hardware address length :6bytes
DHCP renew
上面是重新获取
DHCP release
与正常获取类似 只不过在正常获取之前多了一个request释放
知识点1 域名解析过程
域名转化为ip地址 缺省端口位53
dns 发出查询先要在本机缓存中找 没有记录则发送查询请求到本地dns服务器
本地服务器先从管理区域的资源记录中查找 ,找到返回给客户机
第四十八讲
8请求 0返回 11超时
tracert 原理
因为一跳ttl-1,ttl为0时会返回 ICMP time exceeded
第一步先发送ttl为1的 到下一跳路由取得返回值
第二发送ttl为2的,检测第二跳
以此类推
第四十九讲
TCP三次握手
建立过程:
seq均随机数
应用题专项
CIDR
连续的子网汇聚成一个
这部分就刷题吧
VLSM
借位,要看借位后主机号是多少 然后2的多少次方-2 一个子网就是多少个ip了
但这道题,借两位太多 借一位太少
所以要二次借位
第一次借一位 注意黄色二进制分两半一半是0一半是1,是把这个地址分成了两半
第二次在借位的基础上再借一次。子网2.3就是第二次借出来的
不学了 !!做题