有需要的小伙伴可以去我的微信公众号下载此文章哦 !
微信公众号:CodeGardenia
回复 三级网络技术 即可!
二进制
网络技术用到的一般是8位二进制数。也就是 0 ~ 255,即 0000 0000 ~ 1111 1111(每四位空一格便于观察)
以下这个张表一定要记熟,熟烂于心,在考试试题中,几乎每到大题都有涉及进制转换。
二进制转十进制
十进制转二进制
计算机网络是指,将分布不同位置的计算机和一些外部设备通信设备和通信线路,并且在网络操作系统和通信协议 网络管理软件 从而 实现资源共享和信息传递
通过网络实现了资源共享,信息传递,比如;大家通过QQ可以聊天,发送文件,通过微博看到当天发生的热点新闻,都是网络功能的体现。
RPR 弹性分组环是一种用于直接在光纤上高效传输数据分组的传输技术。
每一个节点都执行SRP公平算法,与 FDDI 一样使用双环结构。
RPR 环,当源结点向目的节点成功发送一个数据帧之后,这个数据帧由目的结点从环中回收。
传统的 FDDI 环,当源结点向目的节点成功发送一个数据帧之后,这个数据帧由源结点从环中回收
RPR 采用自愈环设计思路,能在 50ms 时间内实现自愈并隔离出现故障的结点和光纤段。
两个 RPR 结点间的裸光纤最大长度可达 100 公里。
RPR 的外环(顺时针)和内环(逆时针)都可以用于传输数据分组和控制分组。
RPR 使用统计复用(ATDM)的方法传输 IP 分组。
“三个平台一个出口”,即网络平台、业务平台、管理平台和城市宽带出口。
● 能够为用户提供带宽保证,实现流量工程
● 可以利用 NAT 技术解决 IP 地址资源不足的间题
● 可以利用SNMP实现带外网络管理
● 网络业务包括多媒休、数据与语音业务
● 网络服务质量表现在延时、抖动、吞吐量与丢包率
● 对汇聚层及其以上设备采取带外管理,而对汇聚层以下采用带内管理
● 利用传统电信网进行的网络管理称为“带内”管理
● 利用协议进行的网络管理称为“带外”管理
● 带外网络管理是指利用网络管理协议(SNMP)建立网络管理系统
● “三个平台一个出口”,即网络平台、业务平台、管理平台和城市宽带出口
● 以光传输网为基础
● 以TCP/IP协议为基础
● 融合无线城域网
● 支持电信、电视与IP业务
宽带城域网核心(交换)层的基本功能
(1)将多个汇聚层连接起来,为汇聚层网络提供高速分组转发,为整个城域网提供一个高速、安全与具有QoS保障能力的数据传输环境。
(2)实现与主干网络的互联,提供城市的宽带IP出口。
(3)提供宽带城域网的用户,访问Internet所需要的路由服务。
宽带城域网汇聚层的基本功能
(1)汇聚(接)接入层的用户流量,进行数据分组传输的汇聚、转发和交换。
(2)根据接入层的用户流量,进行本地路由、过滤、流量均衡、Qos优先级管理,以及安全控制、IP地址转换、流量整形等处理。
(3)根据处理结果把用户流量转发到核心交换层或本地进行路由处理。
无源光网络(Passive Optical Network, PON)是一种纯介质网络,避免了外部设备的电磁干扰和雷电影响,减少了线路和外部设备的故障率,提高了系统可靠性,同时节省了维护成本。PON的业务透明性较好,原则上可适用于任何制式和速率信号。
ATM化的无源光网络(APON)可以通过利用ATM的集中和统计复用,再结合无源分路器对光纤和光线路终端的共享作用,使成本可望比传统的以电路交换为基础的PDH/SDH接入系统低20%—40% 。
按照 ITU 标准分为两部分:
项目 | ITU标准 |
---|---|
OC - 3 | 155.520Mbps |
OC - 12 | 622.080Mbps |
OC - 24 | 1.244Gbps |
OC - 48 | 2.488Gbps |
OC - 192 | 9.954Gbps |
ADSL 技术在现有用户电话线上同时支持电话业务的数字业务。
Loopback (回环接口)是一个虚拟接口,没有一个实际的物理接口与之对应,接口号的有效值为0~2147483647 (知道数值比较大就可以了)
网络管理员为Loopback接口分配一个IP也址,其掩码应为255.255.255.255
Loopback永远处于激活状态,可用于网络管理
通过拨号远程配置Cisco路由器时,应使用的接口是AUX
HFC是一个双向传输系统,有以下特点:
● HFC光纤结点通过同轴电缆下引线为用户提供服务
● HFC为有线电视用户提供了一种 Internet 接入方式
● HFC通过Cable Modem将用户计算机与有线电视同轴电缆连接起来
● Cable Modem利用频分多路复用方法将信道分为上行信道与下行信道
● CableModem传输方式分为对称式和非对称式两类
● HFC由有线电视头端、长距离干线、放大器、馈线和下引线组成
● HFC的数据传输速率可达 10 - 36Mbps
● 服务质量保障(QoS)的主要技术有 资源预留(RSVP)、区分服务(DiffServ) 和 多协议标记交换(MPLS)
● 能够根据用户的需求分配带宽
● 以帧为单位传输数据
● 具有保护用户和网络资源安全的认证与授权功能
● 提供分级的QoS服务
● 支持MPLS协议
● 下图是企业网设计方案
● 两个核心路由器(交换机)之间采取冗余链路的光纤连接
● 核心层目前主要采用GE/10GE网络技术
● 方案(a)核心路由器的流量压力更大
● 方案(b)易形成单点故障,带宽瓶颈
● 方案(a)和方案(b)均采取链路冗余的方法
● 方案(a)较方案(b)的成本高
● 方案(a)较方案(b)的可靠性高
● 方案(b)较方案(a)易形成带宽瓶题
主要有 WLAN、WiMAX、WiFi、WMAN 和 Ad hoc
( WiFi 肯定知道,记住无线技术一般是W开头的,但有个特殊的A开头)
APON 不是无限传输技术,这个经常是迷惑项。
● 宽带接入技术包括xDSL、HFC、光纤接入、无线接入和局域网接入等
● 无线接入技术主要有WLAN、WMAN等
● 802.11b 将传输速率高到 11Mbps
● 802.11a 将传输速率高到 54Mbps
● 802.11g 将传输速率高到 54Mbps
● 按IEEE802.16标准建立的无线网络,基站之间采用全双工、宽带通信方式工作
● 光纤传输系统的中继距离可达100km以上
● Cable Modem利用频分复用的方法,将信道分为上行信道和下行信道
● ADSL技术具有非对称带宽特性
● “三网融合”中的三网是指计算机网络、电信通信网和广播电视网
● Cable Modem的传输速率可以达到10- 36Mbps
● 无源光接入网的结构、可靠性、成本都比有源光接入网低
● 通过HFC方式,每个用户不能独享信道带宽,上网用户越多, 每个用户的可用带宽就越窄
● 网络应用建立在Web服务的基础上
● 访问不同的应用服务器只需要Web浏览器作为统一的客户端程序
● 浏览器不能直接访问数据库服务器
● 采用三层架构
● 工作在物理层(第1层)的设备有集线器、中继器等
● 中继器只能起到对传输介质上信号波形的接收、放大、整形与转发的作用
● 中继器可以用于连接物理层协议相同的局域网缆段
● 中继器连接的几个缆段属于一个局域网
● 连接到一个集线器的所有结点共享一个冲突域
● 连接到集线器的所有结点属于一个冲突域
● 集线器需运行CSMA/CD介质访问控制方法(不是协议)
● 连接到集线器的结点发送数据时,将执行CSMA/CD介质访问控制方法(不是CSMA/CA)
● 通过在网络链路中串接-一个集线器可以监听该链路中的数据包
● 通过在网络中增加一台集线器,IDS连接在该集线器上可以获取和分析数据包。
● 连接到一个集线器的多个结点可以同时接收数据帧,但是同时只能有一个结点发送数据
● 集线器不能基于MAC地址完成数据转发(第2层设备基于MAC地址完成数据转发)
● 集线器使用双绞线连接工作站
● 工作在数据链路层(第2层)的设备有交换机(2层)、网桥、网卡等
● 透明网桥一般用在两个MAC层协议相同的网段之间的互联
● 网桥的主要性能指标包括帧转发速率和帧过滤速率
● 网桥能够互联传输速率不同的局域网
● 交换机在源端口与目的端口间建立虚连接
● 连接二层交换机上不同VLAN成员之间不可以直接通信(通信需要3层设备)
● 二层交换机维护一个表示MAC地址与交换机端口对应关系的交换表
● 工作在网络层(第3层)的设备有路由器、三层交换机等
● 三层交换机是具有路由功能的交换机
● 第三层交换机可依据IP地址进行路由选择与分组转发
交换机是一种工作在数据链路层的网络设备,基本功能是维护一个表示 MAC 地址和交换机端口对应关系的交换表。
交换机的交换结构有:软件执行交换结构、矩阵交换结构、总线交换结构和共享存储器交换结构。
交换机常见有三种配嚣模式:Console(本地控制台)、telnet(远程命令行)、IE(WEB 调试)。
其中 Console模式常用于交换机刚出厂并进行第一次配置时所采用的模式
telnet模式常用于远程命令行配置,该模式要求交换机已经连接到网上,而且已配置了交换机的设备管理地址
如果交换机支持web模式管理,E模式可以使用浏览器对交换机进行配置。
交换机具有三种交换模式:
快速转发直通式,交换机接收到帧的前14个字节时,即已经接牧到帧的目的 MAC地址,此时可以立刻转发数据帧。
碎片丢弃式,它缓存每个帧的前64个字节,检查冲突,过滤碎片﹔如果帧的长度小于64个字节,则被视为碎片,交换机直接将帧丢弃。
存储转发式,转发之前将整个帧读取到内存里,校验后再转发。
Cisco大型交换机主要指Catalvst 6500系列和Catalyst 4000系列。其他型号为小型交换机。
大型交换机和小型交换机配置命令不同。
Catalyst 6500交换机配置时间的格式是 : Set time 星期 月 / 日 / 年 小时 : 分钟 : 秒
Catalyst 3548设置时间的格式是 : Clock set 小时 : 分钟 : 秒 日 月 年
Catakyst 6500 交换机配置语句:
交换机端口通信方式: (enable) set port duplex < mod / port > full / half
交换机端口传输速率: (enable) set port speed < mod / port > < port_speed>
设置 VTP 域名: (enable) set vtp domain < 域名 >
配置 VTP 工作方式:(enable) set vtp mode < 模式名 >
建立 VLAN : (enable) set vlan < vlan_num > name < vlan_name >
配置 VLAN Trunk 模式,封装 VLAN 协议: (enable) set trunk < mod / port > < mode > < type >
设置允许中继的 VLAN: (enable) set trunk < mod / port > vlan < vlan >
Catakyst 35xx 交换机配置语句:
进入交换机端口配置模式: (config)# interface
配置缺省路由:(config-if)# ip default-gateway
退出:(config-if)# exit
配置远程登录口令:(config)# line vty 0 4
(config-line)# password 7 123
配置端口通信 IP 地址与子网掩码:(config-if)# ip address
配置 VLAN Trunk 模式:(config-if)# switchport mode trunk
为端口分配 VLAN:(config-if)# switchport trunk allowed vlan
VLAN 协议 ISL 只适用于 Cisco 交换机内部链路, IEEE 802.1Q ( dot1q ) 是国际标准,可用于不同厂家的交换机设备互连。
(1) CPU相关
(2)内存相关
(3)硬盘相关
(4)整体相关
交换机总带宽计算方法
端口数×端口速率×2(全双工模式)
注意单位换算
1Gbps=1000Mbps
网络系统分层设计中,层次之间的上联端口带宽与下联带宽之比一般控制在1:20(仅供考试)
特别注意:在计算上联端口带宽时,不用除以20,其实就是计算总带宽
总带宽
例:某交换机有 12 个 10/100 Mbps 电端口和 2 个 1000 Mbps 光端口,所有端口都在全双工状态下,那么总带宽为( )
解:忽略 10/100 中的 10,当成 100 Mbps 就好。12 * 100 + 2 * 1000 = 3200,又因为全双工所以乘以 2 得 6400 Mbps ,即 6.4 Gbps
上联端口带宽
例:某交换机有 16个100/1000 Mbps 全双工下联端口,那么上联端口带宽至少为( )
解:16 * 1000 * 2 = 32000 Mbps = 32 Gbps,上联一般是下联的 1/20 ,所以至少为 32 除以 20 得 1.6 Gbps
服务器系统可用性
如果系统高可用性达到99.9%,那么每年的停机时间 <= 8.8小时
如果系统高可用性达到99.99%,那么每年的停机时间 <= 53分钟
(平均无故障时间可达525547分钟,365天减去53分钟)
如果系统高可用性达到99.999%,那么每年的停机时间 <= 5分钟
系统的可用性用平均无故障时间(MTTF)来度量,即计算机系统平均能够正常运行多长时间,才发生一次故障。系统的可靠性越高,平均无故障时间越长。
可维护性用平均维修时间(MTTR)来度量,即系统发生故障后维修和重新恢复正常运行平均花费的时间。系统的可维护性越好,平均维修时间越短。
计算机系统的可用性定义为 : MTTF/(MTTF+MTTR) * 100%
IP地址 就好像电话号码:有了某人的电话号码,你就可以与他通话了。同样,有了某台主机的IP地址,你就可以与这台主机进行通讯了。
IP 地址是类似这样的:10000000.1110000.01000000.10110001,一共 32 位,为了人看起来方便就写成 128.224.64.177 这种点分十进制的形式。
还有一种叫做 MAC 地址,是标识硬件设备的地址。
我们把整个互联网看成为一个单一的、抽象的网络。IP地址就是给每个连接在互联网上的主机(或路由器)分配一个32位(二进制)的标识符。
IP地址由两个字段组成,前面一个字段是网络号(网络地址),它标志主机(或路由器)所连接到的网络,后面一个字段是主机号(主机地址),它标志该主机(或路由器),即ip地址 = 网络号(网络部分)+主机号(主机部分)。
使用子网掩码可以找出IP地址中的网络部分和主机部分。
规则:
子网掩码长度=32位(二进制);子网掩码左边部分的一连串1(二进制),对应于网络号;子网掩码右边部分的一连串0(二进制),对应于主机号。
斜线记法即在IP地址后面加上一个斜线“/”,然后写上网络前缀(网络号)所占的位数(这个数值对应于子网掩码中1的个数)。例如:斜线记法220.78.168.0/24等价于220.78.168.0 255.255.255.0。
主机还可以广播给整个网络,广播地址是 IP地址 32 位全置 1 的地址,即 255.255.255.255。
当你访问一个网站,你的电脑先将网址发送给 DNS 服务器(域名解析服务器),这个服务器能将你写的网址域名变成 IP 地址,这样你的电脑就知道想要访问的网页放在哪了。
这样的图,问你 ① ② 是什么
只需要知道②和紧挨着它的 S 数字相同,所以②应该是 202.0.1.1,5001 ;同理,①是 10.0.0.1,3342。
还有时候会问某个小方框里的 S,D 分别是什么,看上面的图你会发现,上面两个方框和下面两个方框里的数字是对称的。
步骤为:转成二进制;对齐找前多少位是相同的;转回十进制写答案。
这样就得出聚合后的地址为:192.67.159.192/26
Tips:转换二进制时,因为前三段十进制本来就一样,所以可以只转换最后一段;
不要一个一个数有多少位相同的,因为前三段相同就知道有 3 * 8 = 24 位,再加上 2 就是 26。
总结:
计算经过聚合后可用的地址数 (三个掩码相同的地址块聚合):
三个地址块掩码都是30位(主机位2位),经过聚合后可用的地址数为 3 * ( 2 ^ 2 - 2 ) + 2 = 8
三个地址块掩码都是29位(主机位3位),经过聚合后可用的地址数为 3 * ( 2 ^ 3 - 2 ) + 2 = 20
三个地址块掩码都是28位(主机位4位),经过聚合后可用的地址数为 3 * ( 2 ^ 4 - 2 ) + 2 = 44
三个地址块掩码都是27位(主机位5位),经过聚合后可用的地址数为 3 * ( 2 ^ 5 - 2 ) + 2 = 92
三个地址块掩码都是26位(主机位6位),经过聚合后可用的地址数为 3 * ( 2 ^ 6 - 2 ) + 2 = 188
例:R1,R2 是一个系统中采用RIP路由协议的两个相邻路由器,R1 的路由表如(a)所示
R1 收到 R2 发送的报文(b)后,R1 更新后的距离值从上到下依次是( )
解:做法如下
步骤为:转成二进制;对齐找前多少位是相同的;转回十进制写答案。
这样就得出聚合后的地址为:192.67.159.192/26
Tips:转换二进制时,因为前三段十进制本来就一样,所以可以只转换最后一段;
不要一个一个数有多少位相同的,因为前三段相同就知道有 3 * 8 = 24 位,再加上 2 就是 26。
例:R1,R2 是一个系统中采用RIP路由协议的两个相邻路由器,R1 的路由表如(a)所示,
R1 收到 R2 发送的报文(b)后,R1 更新后的距离值从上到下依次是( )
与a距离比较;更新为距离最小的。则更新后的距离值从上到下依次是 0、4、4、3、2
还经常这样考——给出更新后距离值和(a)中的距离,求(b)报文距离的可能值。
规则不变,上面的做法反过去求就行。
例:某地址 FF23:0:0:0:0510:0:0:9C5B,
可以简化为 FF23::0510:0:0:9C5B,双冒号替代连续出现的 0 位段,
不能简化为 FF23::0510::9C5B,因为双冒号只能使用一次,
可以简化为 FF23::510:0:0:9C5B,因为 0510 就是 510 ,
不能简化为 FF23:0:0:0:051::9C5B,因为 0510 不是 051。
BGP 是边界网关协议,而不是内部网关协议
两个自治系统之间使用BGP 协议
在互联网中,一个大的ISP就是一个自治系统(AS)。互联网把路由选择协议划分为两大类。
一类是内部网关协议IGP,即在一个自治系统内部使用的路由选择协议,而这与在互联网中的其他自治系统选用什么路由选择协议无关。目前这类路由选择协议使用得最多,如RIP和OSPF协议。
另一类是外部网关协议EGP,若源主机和目的主机处在不同的自治系统中(这两个自治系统可能使用不同的内部网关协议)当数据报传到一个自治系统的边界时,就需要使用一种协议将路由选择信息传递到另一个自治系统中。这样的协议就是外部网关协议EGP。目前使用最多的外部网关协议是BGP的版本4 (BGP-4)
RIP 是内部网关协议中使用最广泛的一种协议,它是一种分布式、基于距离向量的路由选择协议,要求路由器周期性地向外发送路由刷新报文。
路由刷新报文主要内容是由若干个(V,D)组成的表
- V 标识该路由器可以到达的目标网络(或目的主机)
- D 指出该路由器到达目标网络(或目标主机)的距离
距离D对应该路由器上的跳数。其他路由器在接收到某个路由器的(V,D)报文后,按照最短路径原则对各自的路由表进行刷新
使用 RIP v1 路由协议在配置网络地址时,不支持可以变长掩码,因此无须给定子网掩码
RIP 定时更新路由,默认每隔30秒钟更新一次
在RIP路由配置模式下,用 passive-interface 命令可配置被动接口
RIP限制的最大跳数是15,如果超过15,则意味着路径不可到达
RIP缺省的管理距离值是120,在路由配置模式下可用 distance 命令重新设置该值
OSPF 是内部网关协议的一种,对于规模很大的网络,OSPF通过划分区域来提高路由更新收敛速度。
设备间子系统
垂直干线子系统
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
● IEEE制定的生成树协议(STP)标准是IEEE802.1D (802.1Q是VLAN封装标准)
● 透明网桥标准STP(生成树协议)是IEEE802.1D
● 生成树协议是一个二层链路管理协议
● STP运行在交换机和网桥设备上,它通过计算建立一个稳定的树状结构网络
● STP到运行在交换机上(不包括路由器)
● STP无论是根的确定,还是树状结构的生成,主要依靠BPDU提供的信息
● Bridge lD由8个字节组成,两个字节的优先级值和6个字节的交换机MAC地址
● Bridge ID由优先级值和交换机的MAC地址组成,优先级的增量是4096
● 在配置BPDU的Bridge ID中,优先级的取值范围是0 ~ 61440,增量为4096
● 优先级取值越小,优先级越高
● 一般交换机优先级的默认值为32768
● Bridge lD值最小的成为根网桥或根交换机
● 拓扑变化通知 BPDU 数据包的长度不超过4个字节(小于等于4个字节)
● 配置 BPDU 数据包的长度小于等于35个字节(不超过35个字节)
● STP在交换机之间传递 BPDU 数据包,默认每 2秒 定时发送一次
● 生成树中阻塞端口只能接收和读取 BPDU,不能接收和转发数据流
● 阻塞的端口仍然是一个激活端口,但它只能接收BPDU
● 网桥协议数据单元 BPDU 携带的实现生成树算法的信息包括Root lD、Root Path Cost、Bridge ID、Port ID、Hello time、Max Age等,不包括Root MAC Address
Bridge ID 由两个字节的优先级值和 6 个字节的交换机 MAC 地址组成,优先级取值范围是0~61440,增值量是4096,优先值越小,优先级越高
MAC 地址最小的为根网桥
BPDU 数据包有两种类型,配置 BPDU 不超过 35 个字节,拓扑变化通知 BPDU 不超过 4 个字节
Uplinkfast 的功能是当生成树拓扑结构发生变化和在使用上连链路组的冗余链路之间完成负载平衡,提供快速收敛。
配置格式为: set spantree uplinkfast enable
Cisco路由器主要存储器和对应的存储文件:
查看路由表是否正确,使用排除法,步骤如下:
1、先看中括号: 第一个数字即管理距离 (AD值)
2、然后看via : 后跟IP地址(不是端口) 直连网段©,没有via (不能出现via)
3、默认路由(第一句和最后一句是否匹配 ; 网址和掩码都是0)
4、对路由器而言网段属于端口而不是VLAN ; 对第三层交换机而言,网段属于VLAN而不是端口
例:下图是 A 发送的数据包通过路由器转发到 B 的过程示意图,求数据包 3 中的目的IP地址和目的MAC地址
解:无论哪个数据包,目的 IP 地址就是 B 的 IP 地址,所以数据包 3 的目的 IP 为 129.42.56.216;
而目的 MAC 地址就是下一个路由器的 MAC 地址,数据包 3 的下一个路由器是 R3,所以数据包 3 的目的 MAC 地址是 00d063c33c41
在Cisco路由器上输入“configure terminal"命令,路由器将进入的工作模式是全局配置模式(Global Configuration)。
Privileged EXEC是特权模式,需要在用户模式 (User EXEC) 模式下输入enable。
Setup是设置模式,当通过Console端口进入一台刚出厂的没有任何配置的路由器时,就会进入该模式。
Broadcast sSID in Beacon:设置允许设备不指定SSID而访问接入点
Configuration Server Protocol:配置服务器协议,其中DHCP选项表示由网络中的DHCP服务器自动地分配IP地址,Static lР选项表示手工分配IP地址
IPAddress:设置或改变接入点的IP地址
Radio Service Set lD (SSID)∶输入网络管理员提供的SSID,注意要区分大小写。SSID是客户端设备用来访问接入点的唯一标识。
● Loopback (回环接口)是一个虚拟接口,没有一个实际的物理接口与之对应
● Loopback接口号的有效值为0~2147483647 (知道数值比较大就可以了)
● 网络管理员为Loopback接口分配-个IP也址,其掩码应为255.255.255.255
● Loopback永远处于激活状态,可用于网络管理
Cisco路由器DHCP地址池的配置:
步骤一:首先排除不用于动态分配的地址
Router(config)# ip dhcp excluded-address
步骤二:配置地址池
Router(config)# ip dhcp pool
步骤三:配置IP地址池的子网地址和子网掩码
Router(dhcp-config)# network
步骤四:配置缺省网关
Router(dhcp-config)# default-router
步骤五:配置IP地址池的域名
Router(dhcp-config)# domain-name
步骤六:配置域名服务器的IP地址
Router(dhcp-config)# dns-serveraddress
步骤七:配置租借期
Router(dhcp-config)# lease 天数 小时数 分钟数
NVRAM 中读取配置信息
Cisco路由器从 NVRAM 加载配置信息命令为: configure memony
将路由器配置保存在 NVRAM 中的命令为: write memony
缺省路由表项, 目的地址为 0.0.0.0/0
全局配置模式命令格式为:
access-list 编号(1-99, 100-199) deny | permit | remark udp | ahp | eigrp | esp | gre | icmp | ip | ospf | tcp 源IP 源PORT (随时端口 ,一般省略) 目的IP dscp | eq | gt | lt | neq | precedence | range 目的PORT
IEEE 802.11 最初定义的三个物理层包括了两个扩频技术和一个红外传播规范,无线频道定义在 2.4GHz ISM频段,传输速度 1~2 Mbps
802.11b 最大容量 33 Mbps,将传输速率提高到 11 Mbps,802.11a和802.11g 将传输速率提高到 54 Mbps
IEEE 802.11d 是当前最流行的 STP(生成树协议)标准
IEEE 802.11b 标准使用的是开放的 2.4GHZ 频段,无须申请就可以直接使用
- IEEE802.11系列标准:
IEEE802.11
IEEE802.11b
IEEE802.11g
IEEE802. lla
IEEE802.1ln- 介质(媒体)访问控制方法:
IEEE802.3 以太网 CSMA/CD
IEEE802.11 WIFI CSMA/CA- WIFI的组网类型: .
1、点到点对等
AD HOC 无AP,有无线网卡;只有无线网,不存在有线网
基本 有AP,有无线网卡;无线网和有线网都存在
● IEEE802.11a 的实际吞吐量是 28 ~ 31Mbps
● IEEE802.11a 的最大容量是 432MBps
● IEEE802.11b 的实际吞吐量是 5 ~ 7 Mbps
● IEEE802.11b 的最大容量是 33 Mbps
● IEEE802.11b 点对点模式是指无线网卡和无线网卡之间的通信方式
● IEEE802.11b 在点对点模式中最多可连接 256 台PC
● IEEE802.11b 基本模式是无线和有线网络并存的通信方式
● IEEE802.11b 在基本模式中一个接入点最多 可连接 1024 台PC
● IEEE802.11b 允许无线节点之间采用对等通信方式
● IEEE802.11b 室内环境通信距离最远为100米
● IEEE802.11b 在多蜂窝漫游工作方式中,整个漫游过程对用户是透明的
● IEEE802.11b 网卡处于休眠模式时,接入点将信息缓冲到客户
● IEEE802.11g 的实际吞吐量是 28 ~ 31Mbps
● IEEE802.11g 的最大容量是 162Mbps
● IEEE802.11 运行在2.4GHz ISM频段,最大传输速率 1Mbps ~ 2Mbps
● IEEE802.11b 运行在2.4GHz ISM频段,最大传输速率是11 Mbps
● IEEE802.11a 运行在5GHz UNII 频段,最大传输速率是 54 Mbps
● IEEE802.11g 运行在2.4GHz ISM频段,最大传输速率是54 Mbps
● Aironet 1100是接入点设备(AP),不是无线路由器
● 支持802.11b与802.11g协议
● 工作在2.4GHz频段
● 使用Cisco IOS操作系统
● 在采用本地配置方式第一次配置Aironet 1100接入点时,可将PC连接到接入点的以太网端口,也可将PC置于无线接入点的覆盖范围内实现无线的连接
● 使用5类无屏蔽双绞线(UTP) 将PC机和无线接入点连接起来
● 与以太网连接时使用RJ45接口标准(不是RS232)
● 在采用无线连接配置接入点时,不用配置 SSID 或 SSID配置为 tsunami (不是cisco)
● 接入点加电后,确认PC机获得了 10.0.0. x 网段的地址
● 打开PC机浏览器,并在浏览器的地址栏输入接入点的默认管理IP地址10.0.0.1
● 在PC的浏览器中输人接入点的IP地址和密码后,出现接入点汇总状态页面
● **输入密码Cisco (不是admin)**进入接入点汇总状态页面,并点击“Express Setup"进入快速配置页面
● HiperLAN/1 和 HiperLAN/2 都采用5GHz射频频段
● HiperLAN/2采用 OFDM 调制技术
● HiperLAN/1 上行速率最多可达 20Mbps
● HiperLAN/2 上行速率最多可达 54Mbps
● 室外最大覆盖范围为150米
● 室内可覆盖范围一般为30米
● 可支持面向连接的传输服务
● 工作频段在2.402 GHz ~2.480GHz的ISM频段
● 标称数据速率是1Mbps
● 同步信道速率是64Kbps
● 对称连接的异步信道速率是433.9Kbps (全双工模式)
● 非对称连接的异步信道速率是732.2Kbps / 57.6Kbps
● 发射功率为 100mW ( 20dBm ) 时,最大传输距离为100米
● 发射功率为 1mW ( 0dBm )时,最大传输距离为1 ~ 10米
● 扩展覆盖范围是100米
● 跳频速率是1600次/秒
● 信道间隔为1MHz
域名系统(DNS)
域名系统查询流程:
DNS系统的工作原理是:当某个DNS客户机准备解析一个域名时,首先查询客户机的缓存
如果没有符合条件的记录,就产生一个查询请求并发送给本地DNS服务器,DNS服务器收到查询请求后,在服务器的资源记录中查找
如果找到相应的记录,则将解析结果返回给DNS客户机;如果没有满足查询请求的记录,服务器在本地的缓存中继续查找
如果找到相应的记录,则解析过程结束,否则按系统设置将查询请求转发给其他DNS服务器进行查询
客户机如果在规定的时间内未收到查询响应,会尝试其他的DNS服务器或再次查询。
连接到互联网的计算机的协议软件需要配置的参数 包括:
互联网广泛使用的动态主机配置协议DHCP提供了即插即用连的机制。这种机制允许一台计算机加入新的网络和获取IP地址,而不用手工配置。
很多操作系统都带有DHCP服务器软件,如Windows Server 2003等。
静态IP地址方案
动态IP地址方案 DHCP
作用域:网络地址(IP地址范围) ;一个作用域只负责一个网段IP地址的分配
地址池=作用域-排除(不能分配给客户的一些IP地址,和MAC地址没有关系)
保留:指定客户(MAC)始终使用的IP地址(或者说把客户的MAC和IP进行绑定),保留可以使用作用域内所有地址,包括排除地址部分。但是客户可以释放此地址租约,也可以续订租约。
万维网WWW(World Wide Web)并非某种特殊的计算机网络。万维网是一个大规模的、联机式的信息储藏所。
WWW 配置 选项
● 文件传送协议FTP (File Transfer Protocol)是互联网上使用得最广泛的文件传送协议。
● 文件传送协议FTP只提供文件传送的一些基本的服务,它使用TCP可靠的运输服务。
● FTP使用客户服务器方式。一个FTP服务器进程可同时为多个客户进程提供服务。FTP 的服务器进程由两大部分组成:一个主进程,负责接受新的请求;另外有若干个从属进程,负责处理单个请求。
● FTP使用两个TCP连接:控制连接和数据连接。有很多常用的FTP服务器软件,如Serv-U 等
Serv-U是Windows平台和Linux平台的安全FTP服务器 (FTPS, SFTP, HTTPS) ,是一个优秀的、安全的文件管理、文件传输和文件共享的解决方案。同时也是应用最广泛的FTP服务器软件。
1.Ser-U提供了安全、高效的文件传输解决方案以满足中小型企业和大型企业的数据传输需求。提供简单的安全FTP解决方案,Serv-U允许快速和可靠的B2B文件传输和临时文件共享。
2.Serv-U提供完整的可见性、控制和集中管理您的网络文件传输。
3.Serv-U的FTP服务器和MFT服务器软件支持多文件传输安全协议帮助你保持符合PCI DSS、HIPAA、FISM、SOX等等的要求标准。
Serv-U服务器配置的主要参数有以下几项:
①服务器选项可以设置如下项目:最大上传速度和最大下载速度、最大用户数量、检查匿名用户密码、删除部分已上传的文件、禁用反超时调度以及拦截FTP_ BONCE攻击等。(服务 器选项不提供“IP访问选项”)
②域选项: Serv-U可以构建多个虚拟服务器,每个虚拟的服务器称做域,一个域由IP地址和端口号唯一识别。选项中包括域常规选项、域虚拟路径选项、域IP访问选项、域消息选项、域记录选项和域上传下载速率选项。
③用户选项中包括用户账号选项、用户目录访问选项、用户IP选项和用户配额选项。
④组选项包括账号选项、目录访问选项和IP访问选项。
Serv-U服务器的用户常规选项包括最大上传速度和最大下载速度、最大用户数量、检查匿名用户密码、删除部分己上传的文的件、禁用反超时时间调度、空闲超时时间、拦截FTP BOUNCE攻击和FXP。不包括用户主目录。
● 电子邮件(e-mail):指使用电子设备交换的邮件及其方法。
● 电子邮件是互联网上使用得最多的和最受用户欢迎的一种应用。
● 邮件服务器按照客户 - 服务器方式工作。在发送和读取邮件时使用两个不同的协议:SMTP,POP3
● 万维网电子邮件
Winmail邮件服务器支持基于Web方式的访问和管理,因此在安装邮件服务器软件之前要安装IlS。
Winmail快速设置向导中创建新用户时,输入新建用户的信息,包括用户名、域名及用户密码(不是系统邮箱的密码,也不包括用户主机IP地址),并可选择是否允许客户通过Winmail注册新邮箱。
在域名设置中可修改域的参数,也可以增加新域、删除已有域等。可设置是否充许自行注册新用户的选项是域名设置。
在系统设置中可修改邮件服务器的系统参数,包括SMTP、邮件过滤、更改管理员密码等。
Winmail邮件服务器可以允许用户自行注册新邮件(例如使用浏览器注册)。
Winmail邮件服务器可以允许用户使用Outlook收发邮件,但并不支持用户使用Outlook自行注册新邮件。
用户自行注册新邮箱时需输入邮箱名、密码等信息,而域名是服务器固定的,不能自行设置。
Winmail 用户不可以使用 Outlook 自行注册新邮箱。
Winmail 快速设置向导中创建新用户时,输入新建用户的信息,包括用户名、域名及用户密码(不是系统邮箱的密码)。
建立路由时,需在 DNS 服务器中建立该邮件服务器主机记录和邮件交换器记录。
邮件系统工作过程:
1.用户在客户端创建新邮件
2.客户端软件使用 SMTP 协议将邮件发到发件方的邮件服务器
3.发件方邮件服务器使用 SMTP 协议将邮件发到收件方的邮件服务器
4.接收方邮件服务器将收到邮件储存待处理
5.接收方客户端软件使用 POP3 或 IMAP4 协议从邮件服务器读取邮件 (HTTP 协议用于查看邮件)
邮件交换器记录的配置只能在服务器上,不能通过浏览器配置Winmail 支持基于 Web 方式的访问和管理,管理工具包括系统设置、域名设置等。
发送邮件时通常采用 SMTP 协议,接收邮件时通常采用 POP3 或者 IMAP 协议。Winmail 用户使用浏览器查看邮件会使用到 HTTP 协议。
备份速度从快到慢:增量备份、差异备份、完全备份(备份越详细越慢)
恢复速度从快到慢:完全备份、差异备份、增量备份(和上面顺序相反,也好理解,备份时详细的恢复快)
空间占用从多到少:完全备份、差异备份、增量备份(备份越详细占用空间越多)
三种备份方法恢复时使用备份数由少到多依次为完全备份(1个)、差异备份(2个)、增量备份(多个)
恢复数据时差异备份只需要2个备份记录(1个完全1个差异)
防火墙在默认情况下以其接口为边界将网络划分成若干个安全区域,并为其赋于不同的安全级别以控制不同安全区域之间的访问。
1、内部区域:该区域连接的是企业内部网络,该区域为受信任区域,受到防火墙的保护。一般为该区域赋予较高的安全级别,对于 cisco 的PIX系列防火墙而言,为连接内部区域的inside接口设置最高的安全级别100并且不能修改。
2、外部区域:该区域连接的是Internet等外部网络,该区域是不被信任的区域,位于该区域中的主机访问其他区域的主机时将受到严格的安全策略限制。一般为该区域赋予最低的安全级别,对于 cisco 的PIX系列防火墙而言,为连接外部区域的outside接口设置最低的安全级别 0 并且不能修改。
3、DMZ区域(非军事化区域):它是一个物理上和逻辑上均与内部网络和外部网络相隔离的区域。一般在该区域内放置需要被外部网络访问的Web服务器、FTP服务器等应用服务器,位于DMz区 域内的主机或服务器被称为堡垒。
4、主机:一般为该区域赋予介于内部区域和外部区域之间的安全级别,对于aIsCo的PIX系列防火墙而言,为连接DMZ区域的接口设置最低的安全级别0,但可以对其进行修改。
PIX防火墙提供4种管理访问模式:
PIX 525的常用命令有: nameif、 static、 nat、 global、fixup、conduit 等
防火墙对应端口的连接方案
pix525 在缺省情况下
ethernet0 被命名为外部接口 outside,安全级别是 0
ethernet1 被命名为内部接口 inside,安全级别是 100
ethernet2 被命名为中间接口 dmz,安装级别是 50
主要分为三种:
基于网络的入侵检测系统采用的识别技术主要有:模式匹配、统计意义上的非正常现象检测、频率或阈值以及事件的相关性。
根据网络拓扑结构的不同,入侵检测系统的探测器可以通过三种方式部署在被检测的网络中:
① 网络接口卡与交换设备的镜像端口连接,通过交换设备的镜像功能将流向各端口的数据包复制一份给镜像端口,入侵检测传感器从镜像端口获取数据包进行分析和处理;
② 在网络中增加一台集线器;
③ 通过一个TAP分路器设备对交换式网络中的数据包进行分析和处理
● 密码体制分为私有密钥加密技术(对称加密)和公开密钥加密技术。
● 对称加密体制中,常见的加密算法有,DES算法、IDEA算法、RC2算法、RC4算法与Skipjack算法
● 非对称加密体制中,常见的加密算法有RSA算法、DSA算法、PKCS算法与PGP算法
● 对称加密技术对信息的加密和解密使用相同的密钥,但是,和不同的用户通信时使用不同的密钥。如果有N个用户,他们之间需要进行加密通信时,就会产生N* (N-1)个密钥。
● 非对称加密技术对信息的加密和解密使用不同的密钥(密钥对 : 公钥和私钥),用来加密的密钥(公钥)是可以公开的,用来解密的密钥(私钥)是需要保密的。非对称加密技术可以大大简化密钥的管理,每个用户只需要一对密钥对( 公钥和私钥),即2个密钥。所以,网络中N个用户之间进行加密通信,仅仅需要使用2N个密钥。
美国国防部公布的《可信计算机系统评估准则》(TESEC) 将计算机系统的安全可信度从低到高分为D、C、B、A四类共七个级别: D级,C1级,C2级,B1级,B2级,B3级,A1级。
D级(最小保护) :该级的计算机系统除了物理上的安全设施外没有任何安全措施,任何人只要启动系统就可以访问系统的资源和数据,如DOS, Windows 的低版本和DBase均是这一类(指不符合安全要求的系统,不能在多用户环境中处理敏感信息)。
C1级(自主保护类) :具有自主访问控制机制、用户登录时需要进行身份鉴别。
C2级(自主保护类) :具有审计和验证机制(对可信计算机进行建立和维护操作,防止外部人员修改)。如多用户的UNIX和ORACLE等系统具有C类的安全设施。
B1级(强制安全保护类) :引入强制访问控制机制,能够对主体和客体的安全标记进行管理。
B2级:具有形式化的安全模型,着重强调实际评价的手段,能够对隐通道进行限制。(主要是对存储隐通道)
B3级:具有硬件支持的安全域分离措施,从而保证安全域中软件和硬件的完整性,提供可信通道。对时间隐通道的限制。
A1级:要求对安全模型作形式化的证明,对隐通道作形式化的分析,有可靠的发行安装过程。
(各级安全功能,依次后面包含前面的)
没有保护就是 D类,不能用于多用户环境下重要信息处理
提到用户自主保护就是 C类
● 常见网络版防病毒系统是由系统中心、客户端、服务器端与管理控制台组成。
● 管理控制台是专门为网络管理员设计的,对网络防病毒系统进行设置、使用和控制的操作平台。它既可以安装到服务器上,也可以安装到客户机上。
● 对于大多数网络版的防病毒系统,服务器端和客户端通常可采用本地安装、远程安装、Web安装、脚本安装等方式进行安装。
● 系统升级可以从网站上下载手动升级包,然后通过手动操作来升级。
● 为了使网络版防病毒软件的通信数据顺利地通过防火墙,通常系统都会提供用于进行数据通信端口设置的界面,可以设定端口号,即数据通信端口是可变的
SNMP的网络管理由三个部分组成,即SNMP本身、管理信息结构SMI (Structure of Management Information)和管理信息库MIB (Management Information Base)。
- SNMP定义了管理站和代理之间所交换的分组格式。所交换的分组包含各代理中的对象(变量)名及其状态(值)。SNMP负责读取和改变这些数值。
- SMI定义了命名对象和定义对象类型(包括范围和长度)的通用规则,以及把对象和对象的值进行编码的规则。这样做是为了确保网络管理数据的语法和语义无二义性。但从SMI的名称并不能看出它的功能。请注意,SMI并不定义一个实体应管理的对象数目,也不定义被管对象名以及对象名及其值之间的关联。
- MIB在被管理的实体中创建了命名对象,并规定了其类型。
- 为了更好地理解上述的几个组成部分,可以把它们和程序设计进行一下对比。
我们在编程时要使用某种语言,而这种语言就是用来定义编程的规则。例如,一个变量名必须从字母开始而后面接着是字母数字。在网络管理中,这些规则由SMI来定义。- 在程序设计中必须对变量进行说明。例如,int counter,表示变量counter是整数类型。MIB在网络管理中就做这样的事情。MIB给每个对象命名,并定义对象的类型。
- 在编程中的说明语句之后,程序需要写出一些语句用来存储变量的值,并在需要时改变这些变量的值。SNMP在网络管理中完成这件任务。SNMP按照SMI定义的规则,存储、改变和解释这些已由MIB说明的对象的值。
- 总之,SMI建立规则,MIB对变量进行说明,而SNMP完成网管的动作。
探询:管理程序 (M) 使用UDP随机端口访问代理程序 (A) 的UDP 161端口。
陷阱:代理程序 (A) 使用UDP随机端口访问管理程序 (M) 的UDP 162端口。
SMI 是简单网络管理协议(SNMP)的一部分,指定了在 SNMP 的 MIB 中用于定义管理目标的规则。
管理信息库(MIB,Management Information Base)是TCP/IP网络管理协议标准框架的内容之一,MIB定义了受管设备必须保存的数据项、允许对每个数据项进行的操作及其含义,即管理系统可访问的受管设备的控制和状态信息等数据变量都保存在MIB中。
● 在Cisco路由器上设置SNMP服务,最重要的是创建(或修改)对SNMP团体的访问控制。它在全局配置模式下执行,命令格式如下 :
snmp-server community <团体名> [view <视阈名> ] [ro/rw] [<访问控制表号> ]
● 其中,“团体名”是管理人员指定的一个字符串,用于同一团体内的管理站和代理之间进行通信认证;在此命令执行之前已事先建立了一个视阈(yu)的名字:该视阈规定了本团体内访问管理信息库的范围; ro或rw代表访问权限为只读或可读写:访问控制表号是一个1~99的整数,代表着一个标准的ACL,该ACL规定了一个许可访问本路由器代理的IP地址范围,即规定哪些IP地址的主机是属于这个团体的管理站。
● Router(config)#snmp-server enable traps中的traps又称为陷入或陷阱。SNMP规定了六种一般的自陷情况,例如冷启动,热启动,链路失效等。每当出现这些情况时,代理就会问管理站发出包含有“团体名”和TrapPDU的报文。管理站对这种报文不必有所应答。
● Router(config)#snmp-server host admin.tjut.edu.cn admin说明的意思是路由器以团体名admin向主机admin.tjut.edu.cn发送自陷消息。
● SNMP的主要操作有获取(get) 、设置(set)、通知(notification)。只有在团体字的访问模式是read-write的条件下才能实现set操作,get操作只需要只读权限。SNMP管理模型中,Manager通过SNMP定义的PDU向Agent发出请求,而Agent将得到的MIB值通过SNMP协议传给Manager。
● 当出现自陷情况时,代理站会向管理发出包含团体字和TrapPDU的报文。当管理站需要查询时,就向某个代理发出包含团体字和GetRequestPD的报文。当管理站需要修改被管理设备上EMIB库的某个数据时,就向某个代理发出包含团体名和SetResponsePDU的报文。当SNMP管 理站收到一条Inform通知后需要向发送者回复一条确认消息。
● snmptraplink-status命令可以指定当一个接口断开或连接时向管理站发出通知。
● 创建或修改SNMP视阈的命令是: snmp-server view 视阈名 对象标识符或子树。
● 网络防火墙(包过滤路由器),具有包过滤功能,可以将从某一- 端口接收到的符合定特征的数据 包进行过滤而不再转发, 具有防DoS攻击能力。常见的DoS攻击包括分布式拒绝服务攻击(DDoS)、SYN Flooding (同步洪水)、Smurf攻击、Land攻击(局域网拒绝服务攻击)、Teardrop (泪滴攻击、分片攻击)和Ping ofDeath (死亡之ping)。
DDoS攻击( 分布式拒绝服务攻击)是指攻击者攻破多个系统,利用这些系统集中攻击其他目标,大量请求使被害设备因为无法处理而拒绝服务。
SYN Flooding. (同步洪水)攻击者利用TCP连接的三次握手过程进行攻击,攻击者主机使用无数的IP地址(冒充源IP),与受害主机进行TCP的三次握手,在完成第二步后不进行第三步连接,受害主机就会处于开放会话的请求之中,但会话并未真正的完成,受害主机必须等待连接超时,之后才能清除未完成的会话,在此期间,受害主机将会连续接受这种会话请求,最终因耗尽用来管理会话的资源而停止啊应。
Smurf攻击指攻击者 冒充被害主机IP地址向大型网络发送echo request定向广播包,此网络大量主机应答,使受害主机收到大量echo reply消息。
Land攻击(局域网拒绝服务攻击)是指向某个设备发送数据包,把源IP地址和目的IP地址均设为攻击目标地址。
Tear drop (泪滴攻击、分片攻击)是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包。包过滤路由器可以对接收到的分片数据包进行分析,计算数据包的片偏移量(offset) 是否有误,从而阻断Tear drop攻击。
Ping of Death (死亡之ping)攻击通过构造出缓冲区大小异常的ICMP包进行攻击。
基于网络的防护系统也无法阻断 Cookie 篡改 和 DNS 欺骗
Tear doop 、Smurf 攻击可以被路由器阻止
包括SQL注入、Cookie篡改、参数篡改、缓冲器溢出、强制浏览、畸形数据包、数据类型不匹配以及其他已知漏洞等。网络防火墙(包过滤路由器)无法阻止应用系统漏洞攻击。
指攻击者通过系统地组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出确的用户名和密码。
重放攻击和暴力攻击属于口令入侵。口令入侵是使用某些合法用户的账户及其口令登录到目的主机,然后再实施攻击的行为。
攻击方式有以下几种: IP欺骗,ARP欺骗,DNS欺骗,源路由欺骗。
● ICMP消息直接封装在IP数据包内,而非TCP数据包内。
● 常用ICMP报文类型主要有0响应应答(Echoreply) 、3目标不可到达、4源抑制、5重定向、8响应请求(Echorequest) 、9路由器通告、10路由器请求、11超时、12数据报参数错误、13时间戳请求、14时间戳应答、15信息请求、16信息应答、17地址掩码请求、18 地址掩码应答。
● 每个IP数据包的头部有一个“生存期”(TTL) 字段,该字段有8个比特,取值范围为0~255。当IP数据包在网络中传输时,每经过一个路由器(称为一跳,Hop); 该字段的值更减少1:一个IP数据包从源节点出发时,其TTL值被设定一个初始值(比如32),经过一跳一跳的传输,如果这个IP数据包的TTL降低到0,路由器就会丢弃此包。此时,该路由器上的ICMP便会发出一个“超时”的ICMP报文。
● ICMP在请求、响应消息中均带有时间戮。
● 当某个源节点发送的IP数据包,其目标主机或其整个网络由于某些故障不可达时,相关路由器或主机上的ICMP会向源节点发送一个“目标不可达”的ICMP报文。
● 当一台主机向自己的缺省网关路电器发送、个需要转发的数据包时,如果路由器查找路由表发现有更好的路由信息,就会同源主机发送“重定向”的ICMP报文。
● 当路由器缓存已满,只能将数据包丢弃时,路由器向源节点发出的ICMP报文类型为源抑制。源节点接到这个信息后会降低发送速度。
● PING命令用来测试两台主机之间的连通性。PING使用了ICMP回送请求与回送应答报文。PING是 应用层直接使用网络层ICMP的一个例子。它没有通过运输层的TCP或UDP。
● Windows操作系统的用户可在接入互联网后,点击“开始”,点击“运行”,再键入cmd。看见屏幕上的提示符后,就键入“Ping hostname”( 这里hostname是要测试连通性的主机名或它的IP地址),按回车键后就可看到结果。
PC-连发出四个ICMP回送请求报文。
如果邮件服务器mail.sina.com.cn正常工作而且响应这个ICMP回送请求报文(有的主机为了防止恶意攻击不回应外界发送过来的这种报文),那么它就发回ICMP回送应答报文。
由于往返的ICMP报文上都有时间戳,因此很容易得出往返时间,最后显示出的是统计结果:
送到哪个机器(IP地址),发送的、收到的和丢失的分组数(但不给出分组丢失的原因),以及往返时间的最小值、最大值和平均值。
● traceroute (UNIX操作系统中的命令) 或 tracert (Windows操作系统中的命令),即路电跟踪命令
此命令用来跟踪一个 分组从源点到终点的路径。
● Traceroute从源主机向目的主机发送一连串的IP数据报,数据报中封装的是无法交付的UDP用户数据报(使用非法端口)。第一个数据报P1的生存时间TL设置为1。当P1到达路径上的第一个路由器R1时,路由器R1先收下它,接着把TTL的值减1。由于TTL等于零了,R1就把P1丢弃了,并向源主机发送一个ICMP时间超过差错报告报文。
● 源主机接着发送第二个数据报P2,并把TTL设置为2。P2先到达路由器R1,R1收下后把TTL减1再转发给路电器R2。R2收到P2时TTL为1,但减1后TL变为零了。R2就丢弃P2,并向源主机发送-个ICMP时 间超过差错报告报文。这样一真继续下去。当最后一个数据报刚刚到达目的主机时,数据报的TTL是1。主,机不转发数据报,也不把TL值减1。但因IP数据报中封装的是无法交付的运输层的UDP用户数据报,因此目的主机要向源主机发送ICMP终点不可达差错报告报文。
● 这样,源主机达到了自己的目的,因为这些路由器和最后目的主机发来的ICMP报文正好给出了源王机想知道的路由信息一到达目的上机所经过的路由器的IP地址,以及到达其中的每一个路由器的往返时间。
(1) ipconfig 显示当前TCP/IP网络配置
ipconfig/all 用于显示所有适配器的完整TCP/IP配置信息,包括每个适配器的物理地址、IP地址、子网掩码、默认网关和DNS等。
ipconfig/release 命令可以释放已获得的地址租约。
ipconfig/renew 命令可以重新从 DHCP 服务器获得新的地址租约。
(2) tracert 的功能 是通过发送包含不同TTL值的ICMP报文,来检测到达目的计算机的路径。
tracert -R 用于IPv6环境中探测到达目的计算机的路径。
(3) pathping 结合 了ping和tracert的功能,将报文发送到所经过的所有路由器,并根据每一跳返回的报文进行统计,用于检测网络连通情况和探测到达目的计算机的路径。
(4) netstat 用于 显示活动的TCP连接、侦听的端口、以太网统计信息、IP路由表和IP统计信息。
netstat -a 用于显示主机上活动的TCP连接状态。
netstat -r 显示路由表内容。
(5) route 显示或修改本地IP路由表条目:
route add 用来添加和修改默认网关
route -f 清除路由表中所有的网关条目
(6) net 命令权限很大,主要用于管理本地或者远程计算机的网络环境,以及各种服务程序的运行和配置。
net view 用于显示域列表、计算机列表或指定计算机上共享资源列表。
(7) arp 功能是显示和修改地址转换协议表项。
arp-a 用于显示当前主机的地址转换协议表项。
(1)采用漏洞扫描工具是实施漏洞查找的常用方法。扫描分为被动和主动两种:被动扫描对网络上流量进行分析,不产生额外的流量,不会导致系统的崩溃,其工作方式类似于IDS。主动扫描则更多地带有入侵的意味,可能会影响网络系统的正常运行。
X-Scanner主要用于对Windows系统的安全进行全面细致的评估,可以扫描出很多 Windows 系统流的漏洞,并详细地指出安全的脆弱环节与弥补措施。X - Scanner运行在Windows平台下,而路由器、交换机等并不采用Windows系统。
ISS的System Scanner通过依附于主机上的扫描器代理侦测主机内部的漏洞。
漏洞扫描器的主要评价指标包括:速度、能够发现的漏洞数量、是否支持可定制的攻击方法、报告、更新周期。
公共漏洞和暴露(CVE) 是行业标准,它为每个漏洞和暴露确定了唯一的名称和标准化的描述。
(2)常用的网络嗅探器有Sniffer、Iris、 TCPdump、 Wireshark (Ethereal) 等。
Wireshark (之前称Ethereal) 是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。(不是网络管理软件)
MRTG是一个监控网络链路流量负载的工具软件,通过snmp协议得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户,以非常直观的形式显示流量负载。不能用于网络嗅探。
MBSA (基准安全分析器) 是Microsoft用来检查操作系统和SQL server更新的工具。MBSA还可以扫描计算机上的不安全配置,但不能用于网络嗅探。
NS-2 是一种针对网络技术的源代码公开的、免费的软件模拟平台,研究人员使用它可以很容易的进行网络技术的开发,而且发展到今天,它所包含的模块几乎涉及到了网络技术的所有方面,不能用于网络嗅探。