开放系统互连参考模型,为开放式互连信息系统提供了一种功能结构的框架。从低到高分别是:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
①、物理层:关注传输介质,是有线还是无线。
②、数据链路层:在网络层实体间提供数据发送和接收,提供数据链路的流控。
③、网络层:控制路由选择,编写地址。
④、传输层:定义数据的传输方式(可靠传输或者不可靠传输)。
⑤、会话层:针对需要传递的流量定义一条端到端的会话链接(虚链接)。
⑥、表示层:翻译(将逻辑语言转换为计算机语言),加密(明文加密,密文加密,md5加密等)
⑦、应用层:提供用户服务,人机交互接口,面向应用程序。
协议数据单元(PDU)是指对等层之间传递的数据单元。协议数据单元物理层的 PDU是数据位,数据链路层的 PDU是数据帧,网络层的PDU是数据包,传输层的 PDU是数据段,其他更高层次的PDU是报文。
传输控制协议(TCP)是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP为了保证报文传输的可靠,就给每个包一个序号,同时序号也保证了传送到接收端实体的包的按序接收。然后接收端实体对已成功收到的字节发回一个相应的确认(ACK);如果发送端实体在合理的往返时延(RTT)内未收到确认,那么对应的数据(假设丢失了)将会被重传。
TCP三次握手的过程如下:
①、客户端发送SYN(SEQ=x)报文给服务器端,进入SYN_SEND状态。
②、服务器端收到SYN报文,回应一个SYN (SEQ=y)ACK(ACK=x+1)报文,进入SYN_RECV状态。
③、客户端收到服务器端的SYN报文,回应一个ACK(ACK=y+1)报文,进入Established状态。
三次握手完成,TCP客户端和服务器端成功地建立连接,可以开始传输数据了。
用户数据报协议(UDP)是一种非面向连接的、不可靠的传输协议。在网络中与TCP协议一样是用于处理数据包的,UDP有不提供数据包分组、组装和不能对数据包进行排序的缺点,也就是说,当报文发送之后,是无法得知其是否安全完整到达的。UDP用来支持那些需要在计算机之间传输数据的网络应用。在OSI模型中,在第四层——传输层,处于IP协议的上一层。
在计算机科学中,bit是表示信息的最小单位,叫做二进制位;一般用0和1表示。Byte叫做字节,由8个位(8bit)组成一个字节(1Byte),用于表示计算机中的一个字符。bit与Byte之间可以进行换算,其换算关系为:1Byte=8bit(或简写为:1B=8b);在实际应用中一般用简称,即1bit简写为1b(注意是小写英文字母b),1Byte简写为1B(注意是大写英文字母B)。
在计算机网络或者是网络运营商中,一般,宽带速率的单位用bps(或b/s)表示;bps表示比特每秒即表示每秒钟传输多少位信息,是bit per second的缩写。在实际所说的1M带宽的意思是1Mbps(是兆比特每秒Mbps不是兆字节每秒MBps)。
1B=8b 1B/s=8b/s(或1Bps=8bps)
1KB=1024B 1KB/s=1024B/s
1MB=1024KB 1MB/s=1024KB/s
主要分为A、B、C、D和E类:
特殊地址:(不可以配给主机)
①、0.X.X.X:无效地址,被保留。
②、127.X.X.X:本地测试地址
③、169.254.X.X 255.255.0.0:本地链路地址(仅仅针对Windows主机)
④、广播地址(受阻)255.255.255.255:只能在一个网络号内生产,有时候会出现在换回地址中,因为环回地址的默认分配是主机分配。
⑤、直接广播地址:网络位不变,主机位全1 。
⑥、网络号:网络位不变,主机位全0。用于测试网段。
子网划分(VLSM)可变长子网掩码-----通过延长掩码的长度,起到从主机位借位到网络的作用,最终将一个网段逻辑的切分为多个;可以充分的利用ip地址。借位:将一部分的主机位借为网络位。
子网汇总将多个网络号逻辑的整合为一个,主要利于路由表的简洁;减少了路由的条目数量加快查表速度。取相同位(网络位),去不同位(主机位)。
NVRAM非易失性随机访问存储器 ,是指断电后仍能保持数据的一种RAM。
虚拟局域网(VLAN)工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。协议为802.1Q,范围是0-4095,VLAN 0 和 VLAN 4095被保留。
作用:
①、有效的控制里广播风暴的出现(将网络划分为多个广播域)。
②、是网络的拓扑结构变得非常灵活。
③、控制了网络中不同部门、不同站点之间的互相访问。
分类:
①、基于端口的VLAN
基于端口的VLAN的划分是最简单、有效的VLAN划分方法,它按照局域网交换机端口来定义VLAN成员。VLAN从逻辑上把局域网交换机的端口划分开来,从而把终端系统划分为不同的部分,各部分相对独立,在功能上模拟了传统的局域网。基于端口的VLAN又分为在单交换机端口和多交换机端口。
②、基于MAC地址的VLAN
基于MAC地址的VLAN是用终端系统的MAC地址定义的VLAN。MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。这种方法允许工作站移动到网络的其他物理网段,而自动保持原来的VLAN成员资格。在网络规模较小时,该方案可以说是一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。
③、基于路由的VLAN
路由协议工作在7层协议的第3层—网络层,比如基于IP和IPX的路由协议,这类设备包括路由器和路由交换机。在按IP划分的VLAN中,很容易实现路由,即将交换功能和路由功能融合在VLAN交换机中。这种方式既达到了作为VLAN控制广播风暴的最基本目的,又不需要外接路由器。但这种方式对VLAN成员之间的通信速度不是很理想。
④、基于策略的VLAN
基于策略的VLAN的划分是一种比较有效而直接的方式,主要取决于在VLAN的划分中所采用的策略。
VLAN的配置思路:
①、交换机上创建VLAN
②、接口划入VLAN
③、Trunk干道
④、子接口
VLAN配置:
sw1(config)#vlan 2-10,15 创建
sw1(config-vlan)#exit
sw1(config)#no vlan 2-10,15 删除
sw1(config)#vlan 2
sw1(config-vlan)#name classroom1 定义名称,便于区分
sw1(config)#interface fastEthernet 0/1
sw1(config-if)#switchport mode access 先修改接口模式
sw1(config-if)#switchport access vlan 2 再将其划入某个VLAN
sw1(config)#interface range fastEthernet 0/2 -10 , fastEthernet 0/15 -21 同时进入对个接口
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 2
Trunk干道配置:
①、trunk建立
(1)、手动建立
二层交换机仅支持802.1q,故可以直接配置为trunk干道
sw1(config)#interface fastEthernet 0/24
sw1(config-if)#switchport mode trunk
由于多层交换机支持多种封装方式,故在配置为trunk干道前需要先修改封装类型
core(config)#interface f0/20
core(config-if)#switchport trunk encapsulation ?
dot1q Interface uses only 802.1q trunking encapsulation when trunking
isl Interface uses only ISL trunking encapsulation when trunking
negotiate Device will negotiate trunking encapsulation with peer on interface
core(config-if)#switchport trunk encapsulation dot1q
core(config-if)#switchport mode trunk
(2)、自动形成
DTP(Cisco私有)动态trunk协议,交换机之间自动协商成为trunk干道,该协议在Cisco产品中默认开启
sw1(config)#interface fastEthernet 0/24
sw1(config-if)#switchport mode dynamic ?
auto Set trunking mode dynamic negotiation parameter to AUTO
desirable Set trunking mode dynamic negotiation parameter to DESIRABLE
auto 被动----默认45以上系列交换机
desirable 主动--默认45以下不含45
手动 = 主动
被动---被动 不能形成trunk干道
主动--被动 形成
主动--主动 形成
以上所有模式同access接口相遇,必然不能形成
检测命令 Switch#show interfaces trunk
②、在802.1q中存在native VLAN
默认为VLAN1,独一无二,在trunk干道上默认对native VLAN的流量不标记,一般用于大流量VLAN的需求
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport trunk native vlan 2 修改默认nativeVLAN,链路两端必须一致;
默认native对流量不进行标记,但也可以对其进行标记
core#show vlan dot1q tag native
dot1q native vlan tagging is disabled
core(config)#vlan dot1q tag native 修改为标记
③、附属VLAN----在ip phone下,常常需要电话和电脑在不同VLAN,电话一般为native VLAN,且使用QOS优先转发;
Switch(config)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2 PC所在VLAN
Switch(config-if)#switchport voice vlan 1 附属VLAN,ip phone
Switch#show interfaces fastEthernet 0/1 switchport
④、配置trunk干道允许列表,默认trunk干道允许所有VLAN通过
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport trunk allowed vlan 1-10,13-20 仅允许这些VLAN流量通过
Switch(config-if)#switchport trunk allowed vlan remove 2 从允许列表中排错某个VLAN
管理VLAN:
交换机需要被远程登录管理,真实的二层接口不能配置ip地址;故只能使用SVI虚接口;
虚接口的MAC地址从背板地址池中获取(二层交换机仅存在一个SVI虚接口,多层交换机多个)
又交换机上存在VLAN 的概念;该SVI虚接口处于哪个VLAN中,这个VLAN就成为管理VLAN;默认该接口处于VLAN1中
配置:
sw1(config)#interface vlan 1
sw1(config-if)#ip address 192.168.1.1 255.255.255.0
sw1(config-if)#no shutdown
将该SVI转移到其他的VLAN中
sw1(config)#interface vlan 2
sw1(config-if)#ip address 192.168.2.1 255.255.255.0
sw1(config-if)#no shutdown
二层交换机仅存在一个SVI,故开启某个VLAN的SVI口后,其他的SVI口自动被关闭
多层交换机可以存在多个SVI;
若该交换机需要被其他广播域访问,需要定义网关地址
Switch(config)#ip default-gateway 192.168.1.1
SVI双up的条件:1、该交换机上存在该VLAN 2、该VLAN中存在活动用户(双up);或存在活动trunk干道
动态主机配置协议(DHCP),协议基于C-S,报文基于UDP封装。UDP端口号:C-68、S-67。
DHCP的工作过程:
DHCP discover(发现):客户端以广播的形式发送 DHCP discover 数据包,以确认网络中是否存在可以使用的DHCP服务器。
DHCP offer (应答):服务商先广播发生ACK请求信息,用来查看要分配给用户的ip地址是否被占用,然后以单播的形式发送 DHCP offer 数据包,回应客户端可以分配地址给他。
DHCP request (请求):客户端以单播的形式发送 DHCP request 数据包,请求接收其提供的ip地址。
DHCP ACK (确认):服务器以单播的形式发送 DHCP ACK 消息,应答和确认客户端的需求。
开放式最短路径优先协议(OSPF),基于ip封装,协议号为89。
数据包:
①、Hello:建立邻居关系
②、DBD:数据链路状态,发送LSA信息
③、LSR:数据链路请求,请求发送某些LSA信息
④、LSU:数据链路更新,发送完整的LSA信息
⑤、LSACK:数据链路确认,进行确认
状态机:
①、Down:关闭状态,只接收hello包,不发送hello包。
②、Init:初始化状态,发送hello包,确认自己存在。
③、Two-way:双向通信状态,邻居关系建立收到了包含自己信息的hello包进入邻居。
④、Extart:预启动状态,发送DBD,包含所以路由信息和拓扑信息的目录,进行主从选举。
⑤、Exchange:预交换状态,发送LSR,回复LSU,主从选举结束。
⑥、Loading:加载,发送并回复LSR/LSU/LSACK。
⑦、Full:邻接状态,邻接关系的建立
访问控制列表(ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。目前有三种主要的ACL:标准ACL、扩展ACL及命名ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议 ACL 、IPv6 ACL等。
配置原则:
①、 在访问列表中可以书写多条比较语句,他们是按照输入的顺序来进行放置的。
②、在标准访问列表扩展列表中,不可以单独删除其中的一行,只能删除整个列表。
③、每个列表应当有一个 permit 语句,否则将拒绝所有流量。
④、访问列表可以在接口的出方向,也可以在接口的入方向,但是要注意,在一个接口的一个方向上只能有一个访问列表。
⑤、访问列表可以过滤通过路由器的流量,对自己产生的流量不起作用。
⑥、将标准访问列表要尽可能放置在靠近目标地址的地方。
⑦、将扩展访问列表要尽量放置在靠近源地址的地方。·
网络地址转换(NAT)是一种将一组 IP地址映射到另一组 IP 地址的技术,这对终端用户来说是透明的。网络地址端口转换(NAPT)是一种将群体网络地址及其对应 TCP/UDP 端口翻译成单个网络地址及其对应TCP/UDP端口的方法。这两种操作,即传统 NAT 提供了一种机制,将只有私有地址的内部领域连接到有全球唯一注册地址的外部领域。NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。
作用:
(1)、数据包在内网与外网之间互相通信时,对数据包的IP地址进行转换;
(2)、由内部到外部时修改源ip地址;由外部到内部修改目标ip地址。
①、静态转换
第一步,设置外部端口。
interface serial 0
ip address 61.159.62.129 255.255.255.248
ip nat outside
第二步,设置内部端口。
interface ethernet 0
ip address 192.168.0.1 255.255.255.0
ip nat inside
第三步,在内部本地与内部合法地址之间建立静态地址转换。
ip nat inside source static 内部本地地址内部合法地址。
②、动态转换
第一步,设置外部端口。
设置外部端口命令的语法如下:
ip nat outside
示例:
interface serial 0 //进入串行端口serial 0
ip address 61.159.62.129 255.255.255.248//将其IP地址指定为61.159.62.129,子网掩码为255.255.255.248
ip nat outside //将串行口serial 0设置为外网端口
注意:可以定义多个外部端口。
第二步,设置内部端口。
设置内部接口命令的语法如下:
ip nat inside
示例:
interface ethernet 0 //进入以太网端口Ethernet 0
ip address 172.16.100.1 255.255.255.0 // 将其IP地址指定为172.16.100.1,子网掩码为255.255.255.0
ip nat inside //将Ethernet 0 设置为内网端口。
注意,可以定义多个内部端口。
第三步,定义合法IP地址池。
定义合法IP地址池命令的语法如下:
ip nat pool 地址池名称 起始IP地址 终止IP地址子网掩码
其中,地址池名字可以任意设定。
第四步,定义内部网络中允许访问Internet的访问列表。
定义内部访问列表命令的语法如下:
access-list 标号 permit 源地址通配符(其中,标号为1~99之间的整数)
第五步,实现网络地址转换。
在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。命令语法如下:
p nat inside source list 访问列表标号 pool 内部合法地址池名字
③、端口复用
第一步,设置外部端口。
interface serial 0
ip address 202.99.160.1 255.255.255.252
in nat outside
第二步,设置内部端口。
interface ethernet 0
ip address 10.100.100.1 255.255.255.0
ip nat inside
第三步,定义合法IP地址池。
in nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252
// 指明地址缓冲池的名称为onlyone,IP地址范围为202.99.160.2,子网掩码为255.255.255.252。由于本例只有一个IP地址可用,所以,起始IP地址与终止IP地址均为202.99.160.2。如果有多个IP地址,则应当分别键入起止的IP直址。
第四步,定义内部访问列。
access-list 1 permit 10.100.100.0 0.0.0.255
允许访问Internetr的网段为10.100.100.0~10.100.100.255,子网掩码为255.255.255.0。需要注意的是,在这里子网掩码的顺序跟平常所写的顺序相反,即0.0.0.255。
第五步,设置复用动态地址转换。
在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。命令语法如下:
ip nat inside source list访问列表号pool内部合法地址池名字overload
注意:overload是复用动态地址转换的关键词
至此,端口复用动态地址转换完成。
ICMP协议是一种面向连接的协议,用于传输出错报告控制信息。它是一个非常重要的协议,它对于网络安全具有极其重要的意义。它是TCP/IP协议族的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。
ICMP提供一致易懂的出错报告信息。发送的出错报文返回到发送原数据的设备,因为只有发送设备才是出错报文的逻辑接受者。发送设备随后可根据ICMP报文确定发生错误的类型,并确定如何才能更好地重发失败的数据包。但是ICMP唯一的功能是报告问题而不是纠正错误,纠正错误的任务由发送方完成。
地址解析协议是建立在网络中各个主机互相信任的基础上的,它的诞生使得网络能够更加高效的运行,但其本身也存在缺陷:
ARP地址转换表是依赖于计算机中高速缓冲存储器动态更新的,而高速缓冲存储器的更新是受到更新周期的限制的,只保存最近使用的地址的映射关系表项,这使得攻击者有了可乘之机,可以在高速缓冲存储器更新表项之前修改地址转换表,实现攻击。ARP请求为广播形式发送的,网络上的主机可以自主发送ARP应答消息,并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表,这样攻击者就可以向目标主机发送伪ARP应答报文,从而篡改本地的MAC地址表。ARP欺骗可以导致目标计算机与网关通信失败,更会导致通信重定向,所有的数据都会通过攻击者的机器,因此存在极大的安全隐患。
临时解决方案:手工ARP表
C:\Users\Administrator>arp -s 172.16.10.254 00-0d-ed-18-08-00
router(config)#arp 172.16.10.254 000d.ed18.0800 arpa
防止ARP欺骗使用DAI--动态ARP检测,结合DHCP snooping工作
DHCP snooping工作后,交换机生成记录表---针对某个接口的某MAC所下放的ip地址
开启DAI后,所有接口为非信任接口,非信任接口做ARP应答或请求时,其IP和MAC与DHCP snooping记录若不一致将不被转发;基于静态配置ip地址的接口需要信任
core(config)#ip arp inspection vlan 1 基于vlan1开启DAI服务
core(config)#interface f0/1
core(config-if)#ip arp inspection trust 信任某个接口
1、对于下列给定条件:a、目的网段的最大传输单位MTU为512字节;b、一个1500字节的数据报;c、一个20字节的IP报头。传输设备需要将数据报分成( D )段来匹配此网段的MTU。
A、1 B、2 C、3 D、4
解析:由题意可知:
MTU = 512B yte Date = 1500 Byte IP = 20 Byte
因为 目的网段的最大传输单位MTU为512字节,而数据为1500字节
所以 设备在传输过程中需要将数据分段,并且在每一段中都要携带IP报头
即 网段能传输的数据为:512 - 20 = 492 Byte
数据所需要的分段:1500 ÷ 492 ≈ 3.05
所以 在保证数据完整的情况下,需要将此数据分为 4 段来进行传输。
2、下列哪一个是可用的IP地址?( D )
A、192.168.22.31/27 B、101.1.2.1/32 C、235.102.1.20 D、202.201.1.223/30
解析:
A、192.168.22.31/27 写为二进制如下:
1100 0000.1010 1000.0001 0110.000 1 1111 网络掩码为 255.255.255.224
网络位全为0,主机位全为1——>广播地址,不可以。
B、101.1.2.1/32的掩码为255.255.255.255,表示广播地址面向的是该网段的所有主机。
C、235.102.1.20没有网络掩码,一个完整的ip地址应该有网络掩码。
3、路由表中有4条路由,10.0.0.0/24,10.0.1.0/24,10.0.2.0/24,10.0.3.0/24,如果要进行路由聚合,最适合的聚合后路由是( A )
A、10.0.0.0/22 B、10.0.0.0/23 C、10.0.0.0/24 D、10.0.0.0/25
解析:由题意可知,此题需要网络汇总,其规则为:取相同位(网络为),去不同位(主机位)
10.0.0.0/24写为二进制:10.0.0000 00 00.0
10.0.1.0/24写为二进制:10.0.0000 00 01.0
10.0.2.0/24写为二进制:10.0.0000 00 10.0
10.0.3.0/24写为二进制:10.0.0000 00 11.0
所以 前八位为网络位,后两位为主机位
网络掩码变为/22
最终汇总的网段为 10.0.0.0/22
4、某IP地址为160.55.115.24/20,它的子网划分出来的网络ID地址是( A )
A、160.55.112.0 B、160.55.115.0 C、160.55.112.24 D、以上答案都不对
解析:由题意得:
由ip地址160.55.115.24/20 得出,地址的前20位是网络位,后12位是主机位
将ip地址 160.55.115.24 转换为二进制如下:
1010 0000. 0011 0111. 0111 0011. 0001 1000 = 160.55.115.24
划分后如下:
1010 0000. 0011 0111. 0111 0000. 0000 0000 =160.55.112.0
5、以下哪个命令可以保存路由器RAM中的配置文件到NVRAM中( C )
A、copy running-config tftp
B、copy startup-config tftp
C、copy running-config startup-config
D、copy startup-config running-config
解析:
copy running-config tftp
这个命令是将RAM中正确的配置文件拷贝到TFTP服务器上,我们强烈推荐网络管理员这样做,因为如果路由器不能从NVRAM中正常装载配置文件,我们可以通过从TFTP中拷贝正确的配置文件。
copy running-config startup-config
这个命令是将存储在RAM的正确配置拷贝到路由器的NVRAM中。这样,在下一次启动时,路由器就会使用这个正确的配置。
6、小明家刚安装了一条10M的电信光纤宽带,那么小明使用迅雷下载电影理论上最高可达( 1280 )KB/s。
解析:由题意得:
在实际情况下,我们所说的1M就是1Mpbs
所以 10 M = 10 Mpbs = 10 × 1024 KB = 【(10 × 1024)/ 8 】 KB/s =1280 KB/s
通过这次考试,很明显可以看到自己知识掌握的很不好,在课下没有花时间去练习,做实验。有很多东西没有去好好理解,理解的不透彻,也不知道如何让去应用,怎样去表达。
在知识方面,学习的不够仔细认真,没有做到温故而知新。老师讲课的时候不去认真听讲,自己在下面的小动作太多,跟不上老师的思路,不懂得不问老师,日积月累不会的东西就越来越多。每次都只有上课的时候会学习这个专业的知识,课余时间从来没有意识去学习。
在实验方面,没有思路,没有练习,做不到学以致用。总的来讲,就是手太懒。老师布置的实验不去敲,讲实验的时候没有任何想法,老师讲老师的,自己听自己的,知识点没有做到很好的应用。在小实验都没有练习的时候,就想做综合实验,实验的难度明显提高,导致自己无法将实验进行下去,最终就选了放弃,不做实验。
在个人方面,对自己没有要求,对学习这个专业没有很清的认识,自我控制能力太差。有一段时间就会很努力的去学习,不管是上课还是下课,但是,也会有混水摸鱼的现象,只要保证这节课人是坐在课堂上的就OK;始终不清楚自己现在要干嘛,想一出是一出,很清楚自己学习这个专业是为了什么,但还是摆不清自己的态度;有时候看到朋友和室友都挺悠闲的,就在想自己为什么要这么累,坚持不了的时候就会懈怠,懒散,导致自己没有一个好的状态,无法学习。总的来讲,就是自己的态度和自我控制能力的问题,对自己不负责任的表现。