局域网(LAN)
特点:①有限地理范围②高数据传输速率(10Mbps~10Gbps)、低误码率③易于建立、维护、扩展
分类:①介质访问——共享式和交换式②传输介质——有线和无线
城域网(MAN)
特点:几十公里范围
广域网
特点:几十公里到几千公里
互联技术:公用分组交换网、卫星通信网、无限分组交换网
目的:实现资源共享
注:因特网是最大的广域网,因此因特网≠广域网
宽带城域网结构
三个平台:网络平台、业务平台、管理平台
一个出口:城市宽带出口
网络平台的层次结构
①核心层:高速数据交换 ②汇聚层:路由和流量汇聚 ③接入层:用户接入和本地流量控制
三层的主要功能
宽带城域网核心交换层基本功能:
①连接多汇聚层,提供高速分组转发,提供高速安全且具有QoS保障能力的数据运输环境
②提供城市宽带IP出口
③提供访问因特网所需的路由访问
汇聚层基本功能:
①汇聚接入层的用户流量
②本地路由、过滤等管理操作
③用户流量转发到核心层或本地进行路由处理
接入层基本功能:连接最终用户
三层结构思想:上层负责下层的数据汇聚;核心提供出口与QoS、汇聚本地路由、接入服务用户
关键技术中的关键技术——服务质量QOS
QOS三种实现技术<必考>:①资源预留(RSVP)、区分服务(DiffServ)、多协议标记交换(MPLS)<最常考>
带外网络管理:网络管理协议(PTSN),其余的都是带内的。
基于SONET/SDH的城域网方案
基于10GE的城域网方案:万兆网,光以太网,实现形式有基于10GE的技术和弹性分组环
优势:①造价是SONET的1/5,ATM的1/10 ②标准化 ③各个层次能使用同一种技术 ④可靠性高
特征:①根据终端用户的实际应用需求分配带宽 ②具有认证和授权功能 ③提供计费功能 ④支持VPN和防火墙 ⑤支持MPLS
基于弹性分组环RPR技术的城域网<必考>
关键词:光纤传输,高效传输IP分组,Cisco公司,动态分组传送技术(DPT)
双环结构:城域网双环联接多局域网,结构上与FDDI结构相同,两个RPR节点间裸光纤最大长度可达100km;顺时针光纤为外环,反之内环,都能用统计复用的方法传输IP分组,且传输属于分组与控制分组<不同于FDDI>,目的:①高效利用光纤带宽②加速控制分组传输,提高环可靠性,实现环自愈
特点:
①带宽利用率高。RPR环限制数据帧只在源结点与目的节点之间光线段上传输,源节点发送数据帧后由目的结点从环中收回
②公平性好。RPR环中每个结点都执行SRP公平算法
③快速保护和恢复能力强。采用自愈环设计思想,50ms内即可隔离故障结点及光纤段
④保证QOS
接入网技术发展背景(不考,了解)
接入服务界定(不考,了解)
接入技术与数字会聚、三网融合
三网融合:计算机网络、电信通信网与广播电视网
宽带接入技术基本类型
①有线和无线 ②数字用户线xDSL、光纤同轴电缆混合网HFC、光纤接入、无线接入与局域网接入
接入技术特点<必考>
①数字用户线xDSL接入技术
用户到本地电话交换中心的一堆铜双绞线,本地电话交换中心叫中心局
按上行(用户到交换局,上传)和下行(交换局到用户,下载)分类:对称型(速率相同)和非对称型(速率不同)
xDSL可分为:
<1>非对称数字用户线ADLS
线对数:1对
主要技术特点:1.允许用户保留它们已经申请的模拟电话业务 2.不需专门获ADLS服务而重新铺设电缆 3.非对称宽带故上下行速率不同,上行:64kbps ~ 640kbps;下行:500kbps ~ 7Mbps
<2>高比特率数字用户线HDSL(对称)
<3>速率自适应数字用户线RADSL
<4>甚高数字用户线VDSL
②光纤同轴电缆混合网HFC
传统的电视网单向,给哪个台就只能看哪个台,而HFC是双向的。
基本结构:引线为500~2000个,用户共享带宽,改善了信号质量,带宽可高达1GHz
电缆调制解调器Cable Modem的分类:Cable Modem把计算机与有线电视同轴电缆连接,利用频分(多路)复用,上行信道带宽一般200kbps ~ 10Mbps
<1>双向对称传输和非对称传输
<2>单向和双向,同步和异步 ······
③光纤接入技术<必考>
无源光纤网PON是ITU进行标准化,主要分为两部分:
<1>OC-3 155.530Mbps的对称业务
<2>上行OC-3 155.520Mbps,下行OC-12,622.080Mbps的不对称业务
速记:OC-N 对应带宽 51.84N
APON=PON+ATM
④宽带无线接入技术<必考>
<1>无线接入技术的分类与应用
无线接入技术:802.11标准的无线局域网(WLAN)、802.16标准的无线城域网(WMAN)、Ad hoc技术。无线宽带接入网结构中,远距离采用802.16标准的WiMAX技术
<2>802.16标准与WMAN
工作频段:2~66MHz
服务频段:10~66GHz
802.16标准增加了两个物理层标准802.16d(用于固定网络部署)与802.16e(用于移动网络部署)
与IEEE 802.16标准对应论坛组织——WiMAX,最高传输速率134Mbs
<3>802.11标准的无线局域网(WLAN)
关键词:红外、调平扩频与直接序列扩频
802.11b使用直序扩频,速率为1,2,5.5,11Mbps,802.11a速率为54Mbps
<4>无线网格网WMN技术
Ad hoc技术
网络用户调查
网络结点地理位置分布情况
应用概要分析
网络需求详细分析
主要包括:网络总体需求分析、综合布线需求分析、网络可用性与可靠性分析、网络安全性分析,以及网络工程造价估算<最常考>。
网络工程设计总体目标与设计原则
网络结构与拓扑构型设计方法
大中型网络结构必须分层
三层:结点数250~5000个;
两层:结点数100~500个,舍弃接入层;
一层:结点数5~250个,舍弃接入层和汇聚层;
核心层网络结构设计
核心层承担整个网络流量的40%~60%,主要标准为GE/10GE,核心设备是高性能交换路由器,连接的是具有冗余链路(即备份链路)的光纤
方案(a)链路冗余,虽直接利用核心路由器带宽,但成本上升;
方案(b)在链路冗余基础上,在两台核心路由器上再增加一台连接服务器集群的交换机,虽可以分担核心路由器的带宽,但容易形成带宽瓶颈,并且存在单点故障的潜在危险,交换机的流量压力相对最大
汇聚层与接入层网络结构设计
多并行GE/10GE交换机堆叠扩展端口密度,由一台交换机使用光端口通过光纤向上级联,将汇聚层与接入层合并成一层。
上联带宽与下一级带宽之比一般控制在1:20
网络关键设备选型的基本原则(了解,不考)
路由器选型的依据
①路由器分类:高端路由器(交换能力低于40Gbps)、中端路由器(背板交换能力低于40Gbps)、低端路由器
②路由器关键技术指标
<1>吞吐量
路由器的包转发能力。主要涉及两个方面:端口吞吐量和整机吞吐量。主要与端口数量、端口速率、包长度、包类型有关。
<2>背板能力
路由器输入端和输出端间的物理通道——背板。传统路由器结构为共享背板,高性能路由器是交换式结构,背板能力决定吞吐量
<3>丢包率
持续负荷下包丢失的概率,衡量路由器超负荷工作的性能标准之一
<4>延时和延时抖动
延时:数据包的第一个比特进了路由器,到该帧的最后一个比特离开路由器所经历的时间,该时间间隔标志着路由器转发包的处理时间。
延时与包长度、链路传输速率有关。高速路由器要求1518 B的IP包,延时要小于1 ms。
延时抖动是指延时的变化量,语音、视频业务对延时抖动要求较高。
<5>突发处理能力
以最小帧间隔发送数据包而不引起丢失的最大发送速率来衡量
<6>路由表容量
BGP协议路由器存储数万条路由表项(路由器是通过路由表来决定包转发路径的)
<7>服务质量
主要表现在队列管理机制、端口硬件队列管理和支持QoS协议上
<8>网管能力
网关协议SNMPv2等
<9>可靠性与可用性
对于高端路由器:
1.无故障连续工作时间(MTBF)>10万h
2.系统故障恢复时间**<30 min**
3.主备用切换时间**<50 ms**
4.SDH与ATM接口切换时间**<50 ms**
5.不存在单故障点
交换机主要技术指标
①背板带宽(越高越好)
②全双工端口带宽<必考>
计算方法:端口x端口速率x2(一般选取最大带宽计算)
半双工:接收时不能发送,发送时不能接收,即不能同步
交换机配置选择(了解,不考)
网络服务器分类
应用服务器主要技术特点:B/S模式与传统C/S模式
大型中型计算机和超级服务器都采用RISC结构处理器,操作系统采用UNIX
按照规模:基础级、工作组级、部门级、企业级(4~8个CPU,采用SMP技术)
服务器相关技术:
<1>对称多处理(SMP)技术:多CPU结构服务器中均衡负荷
<2>集群技术(Cluster):如果一台主机出现故障,它所运行的程序将转移到其他主机,大大提高可靠性、可用性和容灾能力
<3>独立磁盘冗余阵列(RAID)技术
服务器磁盘性能表现在磁盘存储容量与I/O速度,利用RAID可改善磁盘并行读写能力,提高存储能力和吞吐量,藉由容错处理提高系统可靠性
<4>热插拔功能
不切断电源的情况下更换故障部件
网络服务器性能
①运算处理能力
50%定律
②磁盘存储能力
③系统的高可靠性/可用性<必考>
系统高可靠性=MTBF/(MTBF+MRBR),其中MTBF为平均无故障时间,MRBR为平均修复时间
系统高可靠性达到99.9%,则停机时间≤8.8小时;99.99%,则≤53分钟;99.999%,则≤5分钟
网络安全技术涉及的基本内容
网络系统安全设计的原则
大致可分为四个阶段
标准分类的IP地址
网络号与主机号组成,长度为32bit,用点分十进制方法表示,常用A类、B类、C类IP地址采用包括“网络号-主机号”的两层结构层次(RFC1812)
划分子网的三级地址结构
新的“网络号-子网号-主机号”结构,引入了子网和掩码的概念。
构成超网的无类域间路由(CIDR)技术
主要是解决两个问题:32位IP地址在第40亿台主机接入Internet前就耗尽,路由负荷过大性能下降
目的:将现有IP合并成较大的,具有更多主机地址的路由域(同子网相对)
网络地址转换(NAT)技术
专用IP地址(内部),若需访问外网,则将其转换为全局IP地址
IPv4的地址长度为32bit,点分十进制,通常x.x.x.x方式表示,每个x是8bit,值为0~225,例如202.113.29.119
对于A~E地址,前导码固定,网络号和主机号按需分配
A类地址
第一位为0,其余各自可分配,共128块地址,每块net ID不同,但第一块和最后一块(全0和全1)用于特殊用途,net ID =的也分配作为专用地址,其余的125块可以随便玩。
B类地址
网络号长度为14位,前导码为10
C类地址
网络号长度为21位,前导码为110.
特殊地址形式<必考>
①直接广播地址
若主机号全1,则该主机号为直接广播地址。若往该网址发送数据包,则可以藉由此转发至所有主机。
例:若对特定网络201.161.20.0上所有主机,藉由201可判断为C类网络,末8位为主机号,即十进制0换为二进制全1即201.161.20.255即为所求
②受限广播地址
32位全为1的广播地址(255.255.255.255)。适用于发送方不知道做自己的地址,只需要发送到本网的所有主机的情况
③这个网络上的特定主机地址
网络号全0,主机号不变。例:201.161.20.18,特定地址则为0.0.0.18
④回送地址
A类地址中的127.0.0.0是回送地址,用于网络软件测试和本地进程间通信
TCP/IP协议规定:含网络号127的分组不能出现在任何网络上。
子网
允许将网络划分成多个网络供内部使用
划分子网的地址结构
要点:
①三级层次是IP地址:net ID — subnet ID — host ID
②同一子网所有主机必须使用相同子网号subnet ID
③可应用于ABC中任意一类IP地址
④子网间距离必须近
⑤分配子网是内部的事,不需改变数据库也不用申请
⑥子网又称为IP网络或网络
子网掩码的概念
从一个IP地址中提取出子网号
根据前导码判断是ABC类地址,根据子网掩码判断子网号。
B类地址16位网络号不变,若需划分出64个子网,可借用16位主机号的6位(2^6=64),剩下的10位不动,此时为255.255.252.0或网络号/22
例题:IP地址子网掩码为255.255.255.192。分析:由题网络号为24位,对192,转化为二进制为11000000,则共有24+2=26个1,故可表示为/26
例题:网络地址如子网掩码191.22.168.0的子网掩码。分析:网络地址即主机号全0,又由191知属于B类,先将168转换为二进制,观察共有多少个0,然后易得/21,易得子网掩码255.255.248.0
例题:IP地址块59.67.159.125/11的子网掩码?分析:11是指网络位11位,即8个1.11100000.8个0.8个0,即255.224.0.0
可变大小块对剩余IP地址进行分配
技术特点:
①“网络前缀”替代“网络号+主机号”,不再涉及子网
②网络前缀相同的连续IP地址形成”CIDR“块
例:在ABC中若主机位全1则为广播地址,CIDR中也如此,即156.25.0.0/16的广播地址为156.25.256.256
全局IP地址与专用IP地址(了解,不考)
IPv4内部预留的专用IP地址有三组:A类10.0.0.0~10.255.255.255;B类172.16 ~ 172.31;C类192.168.0~192.168.255
NAT方法的局限性(了解,不考)
IP地址规划的基本步骤
判断需求,计算基本网络地址结构,计算地址掩码、网络地址、广播地址、主机地址
地址规划的基本方法
①判断网络与主机数量需求
<1>确定最多可能使用的子网数量N_net
<2>最大网段已有的和可能扩展的主机数量N_host
②计算基本网络地址结构参数
<1>选择 subnet ID 字段的长度值 x ,要求N_net≤2^x.
<2>选择 host ID 字段的长度值Y,要求N_host≤2^Y
<3>根据X+Y确定申请IP地址
例:X=4,Y=4,总长度为8,则一个C类地址段即可满足要求
③计算地址掩码
例:Y=4,即末8位bit前四位为1,后全为0,即为255.255.255.240,若该C类地址为192.168.1.0,即可表示为192.168.1.0/28
④计算网络地址
例:Y=4,即相邻子网主机地址增量为2^4=16,则第一个网络号192.1668.1.0,下一个网络号在此基础上+16
⑤计算网络广播地址
主机位全置1
⑥计算网络的主机地址(可用IP地址)
除全0和全1的IP地址
子网地址规划的基本方法和步骤
①三个步骤:确定net ID数(子网或广域网链接需要net ID)、确定host ID数(主机和路由器链接需要host ID)、创建子网掩码,不同subnet ID,合法地址空间。
②回答5个基本问题<考点>:
子网掩码可以产生多少子网?子网内有多少合法subnet ID?合法主机地址是?每个子网的广播地址是?子网内部合法net ID是?
子网地址规划实例
①用户需求:
<1>校园网获得B类IP地址(156.26.0.0),要求子网划分
<2>校园网由近210个网络组成
<3>为便于管理,根据目前情况进行子网划分
分析:
1.确定子网号subnet ID的长度
网络数210即子网网络号为8位,子网掩码为16+8=24位置1,即255.255.255.0,但由于子网+主机恒定,子网多,支持的主机就变少,所以要慎重
2.确定子网地址
由上,可划分子网1:156.26.1.1 ~ 156.26.1.254;子网2:156.26.2.1 ~ 156.26.2.254 …… 子网254:156.26.254.1~156.26.254.254(去掉全0全1,256-2=254)
VLSM地址规划基本原则
在实一和实二的基础上,子网号长度不同
案例
用户需求:①C类202.60.31.0的IP地址空间②100名员工在销售,50名员工在财务,50名员工在设计③分别在三个部门组子网
分析:需求为3个子网,主机数分别为100,50,50。第一步,易判断子网位为2,此时申请了2^2= 4个子网,则主机位只剩下6位,4个子网下主机数为2^6-2=62个,不能满足销售部要求(100)。
那么,我们使用VLSM,将一个C类IP地址分为3部分,子网1的地址空间等于子网2与子网3的二倍
即,使用子网掩码255.255.255.128,针对所给202.60.31.0的IP地址空间进行二进制展开,将主机位首位作为子网位(置为1),后让两个子网掩码进行与运算,得出子网掩码1。
再,主机IP地址中主机位首位划为子网位(置为1),即202.60.128.0,子网掩码的主机位前两位划为子网位(置为1),即255.255.255.192,再进行与运算,即202.60.192.0,即子网2与3
CIDR地址规划方法实例
①用户需求:<1>获取了200.24.16.0/20地址块,希望分为八个等长较小地址块<2>确定CIDR地址中借用主机号长度<3>借用CIDR地址中12位前三位(2^3=8)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3v0Cd7yW-1644069677383)(C:\Users\A\AppData\Roaming\Typora\typora-user-images\image-20220127194058198.png)]
对划分结构的分析
主要应用:构建超网 路由聚合
例题:给出两个IP地址块求聚合。分析:相同部分不管,不同部分二进制拆开,共分为相同的部分(/n)和不同的部分,对不同的部分全部置0,即得结果,即使地址块长度不同,也不用管
NAT的基本概念
应用领域:
①ISP、ADSL与有线电视的地址分配
②移动无线接入地址分配
③电子政务内网
④与防火墙结合
网络地址转换NAT的基本工作原理<超级重要!>
❤思想:由内到外,源地址(专用地址)转换成公有地址;由外到内,目的地址(公有地址)转换成专用地址。以上均包含端口号的转换。
NAT技术类型:静态NAT(一对一),动态地址NAT(一对多),网络地址端口转换NAPT(一对多,端口区分)[均涉及共有地址与专用地址转换]
IPv6地址的主要特征
地址长度由32位增到128位
IPv6地址分类
单播地址、组播地址、多播地址与特殊地址,同时加入了对自动配置支持
IPv6地址的表示方法
①16位边界划分,每个16位段转换成4位十六进制数字,”:“分隔,如21DA:0000:0000:0000:02AA:000F:FE08:9C5A
②压缩0。例如,链接本地地址 FE80:0:0:0:2AA:FF:FE9A:4CA2 可以压缩为FE80::2AA:FF:FE9A:4CA2。多播地址 FF02:0:0:0:0:0:0:2 可以压缩为 FF02::2。
IPv6地址表示时问题
①压缩0,不能把有效0压缩掉
②::双冒号在一个地址中只能出现一次
③确定::之间代表多少被压缩的0
计算公式:(8-n)*16 [n表示剩余位段]
例如:在地址FF02:3::5中有3个位段(FF02、3和2),可以根据公式计算:(8-3)×16=80,则::之间表示有80位的0被压缩。
④不同于IPv4,IPv6只支持前缀长度表示法,例如末位的/48表示前缀而不是子网掩码(网络+子网)
分组转发
路由器:为经过的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。
分组转发:路由器转发IP分组的物理传输过程与数据报转发机制。主要分为直接转发与间接转发
路由选择
①路由选择的参数:跳数(路由器个数)、带宽(链路传输速率)、延时(分组从源主机到目的主机的时间)、负载(单位时间内通信量)、可靠性(误码率)、开销
②路由选择的分类
表驱动的路由选择算法。路由表是随着路由选择算法的产生而产生的,路由器要传输IP分组时,必须查询路由表来决定分组发送的下一个地址。
<1>静态路由表(系统管理员提前设置好)
<2>动态路由表
③IP路由选择与路由汇聚
IP分组的路由在使用CIDR协议后,就通过子网的划分的相反过程来汇聚。
路由表的项目由**“网络前缀”和“下一跳地址”**两项内容组成。
因此,选择路由应当从匹配结果中选择具有最长网络前缀的路由,即就是“最长前缀匹配”原则。
自治系统的基本概念
Internet采用分层路由选择协议,划分为许多自治系统(AS)
Interne路由选择协议分类
①内部网关协议(IGP),主要有RIP协议和OSTF协议
②外部网关协议(EGP),主要有BGP协议
RIP
一种分布式、基于距离向量的路由选择协议,特点是协议简单。适用于相对较小AS,跳数≤15。
注:同一AS内路由器数量增加,RIP交换量也会大幅度增加
RIP的思想即路由器周期性地向外发送路由刷新报文,报文主要内容是由若干(V,D)组成的表;(V,D)表中的V代表“矢量”,标识该路由器可到达的信宿(网关或主机的跳数);D代表该路由器去往信宿V的距离,即该路由器到达信宿的跳数。其他路由器在收到某路由器的(V,D)报文后,据此按照最短路径原则对各自的路由表进行刷新。
路由表信息协议的工作过程
①路由表建立:初始化,只包括直连路由,距离均为0
②理由表信息更新更新路由表的规律:
<1>如路由表没有此项,增加该项,距离加+1,路由为对方。
<2>如路由表已有此项:
1.原距离比对方的距离+1还要大,距离设置为对方的距离+1,路由为对方。
2.原距离比对方的距离+1还要小,保持不变。
注意:这不是最短路径原则!!
OSPF主要特点
开放:公开发表
最短路径优先:最短路径算法SPF
和RIP比较,OSPF的特点:
①OSPF是使用分布式链路状态协议;
②链路状态度量主要是指费用、距离、延时、带宽等;
③链路状态发生变化时用洪泛法向所有路由器发送此信息;
④所有的OSPF路由器交换链路状态信息,最终建立一个链路状态数据库,即全网的拓扑结构图;
⑤OSPF可以将一个自治系统再划分为区域(area),每个区域有一个32位的区域标识符,一个区域路由器数不超过200个。
自治系统内部的区域划分
好处:泛洪法局限区域,减少工作量,只知道该区域的完整拓扑结构图
层次结构区域划分:若干区域+主干区域
OSPF协议的执行过程
①初始化
相邻路由器交换摘要信息
②网络运行
只要出现变化,路由器就要用链路状态更新分组,通过洪泛法向本区域更新,保证本区域内链路状态一致
外部网关协议设计的基本思想
①范围:不同自治系统间
②BGP-4采用路由向量路由协议,每个AS要选择至少一个路由器作为**”发言人“,在“发言人”交换路由信息前要先建立TCP连接**
BGP路由选择协议的工作过程
①初始化:BGP刚刚运行时,交换整个路由表,以后只需要在发生变化时更新有变化的部分;
②分组:打开(open)[建立关系]、更新(updata)[发送路由信息(一条报文只能一条)并列出需撤销的路由(可多条)]、保活(keepalive)[确认打开分组、周期证实相邻边界路由器存在]、通知(notification)[发送检测到的差错]
更新分组是BGP协议的核心
局域网标准:IEEE802标准
交换式局域网的基本概念
快捷交换方式与存储转发交换
虚拟局域网(VLAN)的基本概念
软件的方法将网络结点划分为若干逻辑工作组
组网定义方法有四种:基于端口、MAC地址、网络层地址、IP广播组
不同部件组成:传输介质、相关链接硬件以及电气用具
综合布线的特点(很牛逼就对了)
综合布线系统的组成(一大坨)
综合布线系统设计等级(了解,不考)
综合布线系统标准
标准很多,记住国际标准ISO/IEC 11801*就完了
IEEE802.3x(Mb/s) | Type-y | Name(局域网名称) |
---|
x为该以太网数据传输的速率,Type为传输方式,基带(以太网默认)或频带,y为网络最大长度,单位是100m
10BASE-T标准以太网组网的设计方法(了解,不考)
集线器工作在物理层,所有连接在其上的结点同属一个**“冲突域”**
快速以太网的物理层标准
①100BASE-TX:使用两对5类非屏蔽双绞线或屏蔽双绞线,一对用于发送,一对用于接收数据。在传输中使用4B/5B编码方式。最大网段长度为100m。全双工
②100BASE-FX:使用2条光纤,最大长度为415m,一条光纤用于发送,另一条光纤用于接收;数据传输采用4B/5B-NRZI编码方法;全双工
③100BASE-T4:它使用4对3类非屏蔽双绞线,3对用于传送数据,1对用于检测冲突信号。在传输中使用8B/6T编码方式,它使用与10BASE-T相同的RJ-45连接器,最大网段长度为100m;半双工
半双工与全双工(了解,不考)
10Mbps和100Mbps速率自动协商功能(500ms内完成)
①自动确定远端连接设备使用的是半双工(CSMA/CD)的10Mpbs工作模式,还是全双工的100Mbps工作模式;
②向其他节点发布远端连接设备的工作模式;
③与远端连接设备交换工作模式相关参数,协调和确定双方的工作模式;
④自动选择共有的最高性能的工作模式。
中继器(了解,不考)
物理层,中继器对传输介质上信号波形的接收、放大、整形和转发,不涉及帧结构,不对帧的内容做任何处理。
可用集线器来延长传输距离(需要根据543规则,五个网段,四个中继,三个网段)
集线器
多端口中继器,CSMA/CD介质访问控制方法,连接到集线器的所有结点共享一个冲突域
串接一个集线器可监听该链路中的数据包
集线器上的多个结点不能同时发送数据帧,但可以同时接收
网桥
网桥在数据链路层上实现局域网互联
特征:
①网桥能够互联两个采用不同数据链路层协议、不同传输介质与不同传输速率的网络;
②网桥以接收、存储、地址过滤与转发的方式实现互联网络间通信。
网桥最重要的维护工作是构建和维护MAC地址表(功能与二层交换机相同)。MAC地址表中记录不同节点的物理地址与网桥转发端口的关系。若无MAC地址表,网桥无法确定帧是否需要转发及如何转发。
网桥具有“学习”功能,能动态了解其他局域网或网桥的状态,帮助其进行自我配置。
为消除环路,提出基于生成树算法的生成树协议(STP):逻辑地阻断网络中存在的冗余链路,以消除路径中的环路,并可以在活动路径出现故障时,重新激活冗余链路来恢复网络的连通。
交换机
交换机可以多个端口之间建立并发连接,交换式Ethernet是典型交换式局域网,核心部件是Ethernet交换机。
交换机与网桥的主要区别:网桥一般只有一个CPU,通过软件方法完成网桥功能。交换机使用为帧转发设计的专用集成电路芯片ASIC,或采取多个CPU并发工作的计算机结构
工作区子系统设计
子系统:设备出线到信息插座的整个区域
①确定信息插座数量和类型
信息插座分为嵌入式安装插座(暗盒)、表面安装插座和多介质信息插座(光纤和铜缆)
②适配器的选用
<1>专用电缆或适配器
<2>单一信息插座进行两项服务,用**”Y“型适配器**
<3>在配线子系统中选用的电缆类型不同于设备所需的电缆类型时以及在连接使用不同信号的数模转换或数据速率转换时,采用适配器。
水平子系统设计
双绞线电缆长度应该在90m以内
管理子系统设计(了解,不考)
干线子系统设计(了解,不考)
干线线缆敷设:点对点结合、分支结合
设备间子系统
设备间室温保持在10℃-27℃,相对湿度保持在30%到80%
建筑群子系统的设计<必考>
关键词:两个或两个以上建筑物,电缆、光缆,电器保护设备
管道内布线法:对电缆提供了最好的机械保护
交换机基本概念
工作在数据链路层,根据MAC地址,过滤转发数据帧。独占传输通道,独享信道带宽,允许多对站点进行通信,系统带宽等于所有端口带宽之和
局域网交换机的功能
①建立和维护一个表示MAC地址与交换机端口对应关系的交换表。
②在发送结点和接收结点之间建立一个虚连接。
③完成数据帧的转发和过滤。
交换机根据数据帧中的目的MAC地址,通过查询交换表确定丢弃或转发,数据帧应该转发到交换机哪一端
自学习建表
交换表的内容
目的MAC地址、该地址所对应的交换机端口号及虚拟子网(VLAN)
①大型交换机
第一列VLAN ID,第二列目的MAC地址,第三列交换机端口号
②小型交换机
第一列目的MAC地址,第二列地址类型,第三列VLAN ID,第四列交换机端口号
交换表的建立
在RAM(内存)中,交换表空,使用时通过学习建立
交换表维护
时间戳标记,长时间不用就会被删除
交换表保存
一般保存在可编址内容存储器(CAM)中
显示交换表命令的使用方法
①大中型交换机(cisco-4000及以上型号)
show cam dynamic
②小型交换机(cisco-3XXX及以下型号)
show mac-address-table
软件执行交换结构
交换机接收到数据帧→将其由串行代码转化为并行代码,暂时存储在交换机的快速缓存RAM中→交换机CPU根据数据帧中目的MAC地址进行查询交换表→确定目的端口,交换机在源端口与目的端口之间建立起虚连接,然后将以并行代码形式存储在RAM中的数据帧转化为串行代码,发送到目的端口。上述的步骤都是由软件控制完成。
矩阵交换结构
确定目的端口后,打开交换矩阵开关建立连接
总线交换结构
交换机的所有的端口都挂接在一条很高带宽的背部总线上,总线按时隙分为多条逻辑通道,各个端口都可往该总线发送数据帧,这些数据帧都按时隙在总线上传输,并从各自目的端口中输出数据帧。
该结构对总线带宽有较高要求,设交换机的端口数为M,每个端口的带宽为N,则总线的带宽应为M×N。
该结构易实现帧的广播和多输入对单输出的帧传送。
共享存储器交换结构
共享存储RAM代替总线
快速转发交换/直通交换
每6个字节转发一次,但该数据帧无法经过校验、纠错,即被直接转发
存储转发交换
把数据帧先存储,然后进行循环冗余码校验检查,对错误帧进行处理后才取出数据帧的目的地址,进行转发。
不足:延时大。
优点:可对进行交换机数据帧进行错误检测,同时可支持不同速度的端口间的转换,保持高速与低速端口间的协同工作。
碎片丢弃交换模式
检测数据帧是否为冲突碎片(小雨64个字节),是则抛弃,不是则接受后直接转发
VLAN的基本概念
交换式网络基础,终端划分为多个逻辑工作组即VLAN。
该逻辑组都是一个独立的逻辑网段和广播域。其设定不受实际交换机区段限制,也不受用户所在的物理位置和物理网段的限制。逻辑组设定是通过软件完成。
VLAN的技术特点
①数据链路层
②广播信息只发送给该VLAN内部的结点
③每个VLAN都有唯一不同的子网号,只能通过第3层(网络层)路由/单层交换机才能进行通信
VLAN的标识
①VLAN ID / VLAN name
②VLAN ID:12位进制数,ID=1~1005是标准范围,其中1 ~ 1000用于以太网
③VLAN name由32位字符表示,可以是字母或数字,缺省VLAN名为VLAN00111
VLAN Trunk(虚拟网中继)
在传输多个VLAN时,该技术可通过封装数据帧,藉由主干线路传递解析,通过帧标签区分具体VLAN
划分VLAN的方法
基于端口、MAC地址、第三层协议类型或地址(TCP/IP、IPX等)
二层链路管理协议,保证在网络中没有回路的前提下,为第二层提供冗余路径。
链路冗余虽然有备份保证,但网络环路会导致同一数据重复接受,MAC地址混乱等,甚至产生广播风暴,因此需要引入STP,并制定相关的IEEE 802.1D标准
STP的基本工作原理:通过交换机之间传递网桥协议数据单元(BPDU),并用生成树算法(STA)对其进行计算。首先选定一个根网桥,然后确定交换机冗余链路端口的工作状态,让一些端口进入阻塞(blocking)工作模式,另一些端口进入转发模式。其中阻塞端口仍然是激活端口,但它只能接收和读取BPDU,不能接收和转发数据帧
如果网络拓扑发生变化或是生成树中的一个路径因故障而失效时,生成树就会重新计算
交换机与网桥在STP的工作过程中是有区别的。
BPDU报文是关键报文,每2s或是在网络发生故障、网络拓扑变化时,便发送新的BPDU,以维护生成树树状结构,BPDU数据包有两种类型:包含配置信息的配置BPDU(不超过35字节)与包含拓扑变化信息的拓扑变化通知BPDU(不超过4字节)。
Root ID和Bridge ID用8字节表示,2个字节的优先级和6个字节的MAC地址。优先级默认为32768,取值范围0~61440,增量值是4096,以小为优。优先级相同时,根据MAC地址决定根网桥,MAC地址小的路由器就是根网桥。
交换机的配置方式
①Console端口配置
**交换机刚出厂时,第一次对其进行配置所用的方法。**使用超级终端软件对异步串行口进行参数配置:传输速率9600,数据位8位,停止位1位。
②telnet命令配置(远程登录)
③浏览器配置交换器
<1>交换机配置:
启用交换机HTTP Server
CatOS: Catalyst6500> (enable) set ip http server enable
Cisco IOS: switch-3548(config)#ip http server
配置HTTP用户认证方式:
enable、 local、tacacs
<2>下载并安装Jave-plugin插件。
<3>使用Web浏览器监控和配置交换机
配置交换机的系统信息
①配置交换机的主机名
<1>Cisco IOS:
switch-3548(config)#hostname switch-PHY-3548
<2>CatOS:
CatOS6500> (enable) set system name switch-PHY-6500
②配置超级用户口令
<1>Cisco IOS:
switch-3548(config)# enable password zzz(明文)
switch-3548(config)# enable password 7 zzz(加密)
switch-3548(config)# enable secret 5 zzz(加密)
<2>CatOS:
CatOS6500> (enable) set enablepass
③设置远程登录口令(telnet虚拟终端)
<1>Cisco IOS:
switch-3548 (config)#line vty 0 4
switch-3548 (config-line)# password 0 zzz (明文)
**switch-3548 (config-line)# password 7 zzz (加密) **
<2>CatOS:
CatOS6500> (enable) set password
④设置系统时间
<1>Cisco IOS:
switch-3548#clock set 08:30:00 23 Nov 2010
<2>CatOS:
Catalyst 6500> (enable) set time Mon 06/15/98 12:30:00
Catalyst 6500> (enable)
⑤配置设置管理地址(IP地址)和默认路由
<1>Cisco IOS:
switch-3548(config)#int vlan 1
switch-3548(config-if)#ip address 10.10.10.2 255.255.255.0
switch-3548(config)#ip default-gateway 203.105.1.1
<2>CatOS:
CatOS6500> (enable) set interface sc0 10.10.10.3 255.255.255.0(子网掩码) 10.10.10.255
Catalyst 6500> (enable) set ip route 0.0.0.0 202.110.59.164(广播地址)
交换机端口配置
端口通信方式:交换机一般是半双工或全双工,有时需强制将交换机端口设置为某种通信方式
①配置交换机的端口描述
<1>Cisco IOS:
switch-3548 (config)#interface fastEthernet 0/24
switch-3548 (config-if)#description To-lib
<2>CatOS:
CatOS6500> (enable) set port name 1/2 Server Link
②配置交换机端口的开启与关闭
<1>Cisco IOS:
switch-3548(config)#int fastEthernet 0/24
switch-3548(config-if)#shutdown
switch-3548(config-if)#no shutdown
<2>CatOS:
CatOS6500> (enable) set port enable 4/5
CatOS6500> (enable) set port disable 4/5
③配置交换机端口的通信方式
<1>Cisco IOS:
switch-3548(config)#int fastEthernet 0/24
switch-3548 (config-if)# duplex full
switch-3548(config-if)# duplex half
switch-3548(config-if)# duplex auto
<2>CatOS:
CatOS6500> (enable) set port duplex 5/1 full
CatOS6500> (enable) set port duplex 5/1-24 full
CatOS6500> (enable) set port duplex 5/1 half
CatOS6500> (enable) set port duplex 5/1-24 half
④配置交换机端口的传输速率
<1>Cisco IOS:
switch-3548(config)#int fastEthernet 0/24
3548(config-if)# speed 10 (单位Mbps)
3548(config-if)# speed 100
3548(config-if)# speed auto
<2>CatOS:
CatOS6500> (enable) set port speed 5/1 auto
CatOS6500> (enable) set port speed 5/1-24 auto
CatOS6500> (enable) set port speed 5/1-24 10
CatOS6500> (enable) set port speed 5/1-24 100
CatOS6500> (enable) set port speed 5/1-24 1000
⑤配置交换机端口的两种系统的区分
<1>Cisco IOS: 进入接口模式,设置属性,内容
switch-3548(config)#int fastEthernet 0/24
3548(config-if)# speed 10 (单位Mbps)
<2>CatOS:
CatOS6500> (enable) set port speed 5/1-24 1000 (5是模块号,只用写一次)
无接口模式;
格式:set ,对象类型(port),属性,具体对象(接口号),内容
连续端口只写一个模块号
VTP(VLAN中继协议),OSI参考模型第二层协议。在VTP server上配置新VLAN时自动更新信息
VTP三种工作模式:VTP Server(服务器模式可进行对VLAN的任何操作,一个VTP域内只设定一个)、VTP Client(客户端模式,可同步学习,不能处理VLAN)、VTP Transparent(透明模式,可操作VLAN,但不参与VTP)
①交换机VTP的配置
<1>Cisco IOS:
switch-3548(config)# vtp mode transparent
switch-3548(config)# vtp mode server(缺省值)
switch-3548(config)# vtp mode client
switch-3548(config)# vtp domain pku
<2>CatOS:
CatOS6500> (enable) set vtp mode transparent
CatOS6500> (enable) set vtp mode server (缺省值)
CatOS6500> (enable) set vtp mode client
CatOS6500> (enable) set vtp mode off (VTP关闭)
CatOS6500> (enable) set vtp domain pku
②VLAN的创建、删除、修改
12位的VLAN ID下,VLAN名由36位标识符组成,1是缺省VLAN,只能使用但不能删除
<1>Cisco IOS:
建立 Vlan
switch-3548 # vlan data //进入 vlan配置模式
switch-3548(vlan)# vlan 1000(ID号) name vlan1000
switch-3548(vlan)# exit
删除vlan
switch-3548 (vlan)# no vlan 1000
修改vlan
**switch-3548(vlan)# vlan 1000 name v1000 **
<2>CatOS:
建立 Vlan
CatOS6500> (enable) set vlan 999 name vlan999
删除vlan
CatOS6500> (enable) clear vlan 999
修改vlan
CatOS6500> (enable) set vlan 999 name v 999
③为交换机端口分配VLAN
<1>Cisco IOS:
switch-3548# configure terminal
switch-3548(config)# int f0/24
switch-3548 (config-if)# switchport access vlan 248
<2>CatOS:
CatOS6500> (enable) set vlan 42 5/20
VLAN trunk的配置
①Cisco ISL:思科私有协议
②IEEE 802.1Q:俗称“Dot One Q”(dot1q),国际标准。IEEE 802.1Q可用于不同厂家的交换设备互连,且双方交换机端口上都要封装dot1q协议
<1>①Cisco IOS:
switch-3548# configure terminal
switch-3548#(config)# interface f0/24
switch-3548#(config-if)# switchport mode trunk
switch-3548# (config-if)# switchport trunk encapsulation dot1Q
switch-3548# (config-if)# switchport trunk encapsulation isl
switch-3548# (config-if)# switchport trunk encapsulation negotiate
switch-3548#(config-if)# switchport trunk allowed vlan 10,14
switch-3548#(config-if)# switchport trunk allowed vlan 10-14(","表示和,”-“表示连续)
switch-3548#(config-if)# switchport trunk allowed vlan except 100-1000
<2>CatOS:
CatOS6500> (enable) set trunk 5/1 on dot1Q
CatOS6500> (enable) set trunk 5/1 vlan 37-42
CatOS6500> (enable) clear trunk 5/24 3-36 (无vlan)
打开或关闭STP
<1>Cisco IOS:
switch-3548# configure terminal
switch-3548 (config)# spanning-tree vlan 3
switch-3548 (config)# no spanning-tree vlan 3
<2>CatOS:
**CatOS6500> (enable) set spanning-tree enable 3 **
CatOS6500> (enable) set spanning-tree disable 3
配置根网桥和备份网桥
<1>Cisco IOS:
switch-3548 (config)# spanning-tree vlan 3 root primary
switch-3548 (config)# spanning-tree vlan 3 root secondary
<2>CatOS:
CatOS6500> (enable) set spanning-tree root 1,200-204
CatOS6500> (enable) set spanning-tree secondary 1,200-204
配置生成树优先级
增量4086,越小越优
<1>Cisco IOS:
switch-3548 (config)# spanning-tree vlan 3 root priority 8192
<2>CatOS:
CatOS6500> (enable) set spanning-tree priority 8192
设置根交换机时,要保证根交换机优先级最高。
“三个FAST(加速)”:
配置BackboneFast生成树可选功能
BackboneFast的功能是当间接链路失效(骨干链路失效)使堵塞的端口不再等待生成树最大存活时间(Max Age),直接将端口由侦听->学习->转发状态的转换,大约需要30s时间。
配置UplinkFast生成树可选功能
UplinkFast的功能是当生成树拓扑结构发生变化和在使用上连链路组的冗余链路之间负载平衡时,提供快速收敛。提高了直接链路失效情况下的收敛时间。
配置PostFast生成树可选功能
PostFast用于在接入层交换机端口上跳过正常的生成树操作,加快终端工作站接入到网络中的速度。
该端口一般只能用于连接单个主机(如PC)或服务器,不能连接集线器、中继器、交换机、网桥等网络设备。否则可能造成暂时的生成树循环。
配置BPDU Filter生成树可选功能
<1>Cisco IOS:
switch-3548 (config)# spanning-tree backbonefast
switch-3548 (config)# spanning-tree uplinkfast max-update-rate 32000
switch-3548(config)# spanning-tree uplinkfast
switch-3548 (config)# spanning-tree portfast default
switch-3548 (config)# spanning-tree portfast bpdufilter default
<2>CatOS:
CatOS6500> (enable) set spantree backbonefast enable
CatOS6500> (enable) set spantree uplinkfast enable
CatOS6500> (enable) set spantree uplinkfast enable rate 40
CatOS6500> (enable) set spantree portfast 3/2 enable
CatOS6500> (enable) set spantree bpdu-filter enable
CatOS6500> (enable) set spantree bpdu-filter 3/1-24 enable
路由器工作在网络层,负责将数据分组从源端主机经最佳路径传送到目的端主机。
路由器具有异构网络互连、广域网互连、和隔离广播信息的能力.
路由器的基本功能
①路由选择:依据目的IP地址的网络地址部分,通过SPF确定一条最佳路由,路由算法为网络上的路由产生一个权值,路由器通过权值来选择最佳路由,权值越小,路由越佳
②分组转发:根据路由表将数据包转发给下一跳。
分组转发的思想:目的IP地址,全程不变;目的MAC地址,逐跳修改。
路由表
①路由表基本结构
保存各种传输路径相关数据:
<1>目的网络地址及其所对应的目的端口
<2>下一跳路由器的名字
<3>缺省路由的信息。
C 212.112.7.0/24 is directly connected, FastEthernet2/5(目的端口)
212.112.37.0/30 is subnetted, 1 subnets
C 212.112.37.16/24 is directly connected, POS3/0
S(静态路由) 167.105.125.128 [1/0] via(下一跳) 202.112.7.1
S*(静态默认路由) 0.0.0.0/0 [1/0] via 202.112.41.217
1.路由源码
“C”: 直连,“S”: 静态,“I” : IGRP,“O”: OSPF,“R”: RIP,“i”: IS-IS,“B”: BGP,“E”: EGP
2.第2列是目的网络地址和掩码
3.第3列是目的端口或下一跳路由器地址,如果是直连,则这个字段为给出的目的端口;如果有下一跳路由器,则为下一跳路由器的IP地址
4.缺省路由的路由表项,网络地址和掩码全是0
O 222.29.2.0/24 [110/3] via 162.105.1.145,00:13:43,vlan1
O 222.29.32.0/24 [110/3] via 162.105.1.145,00:13:43,vlan1
202.37.140.0/24 is variably subnetted, 3 subnets,2 masks
OE2 202.37.140.40/289 [110/20] via 162.105.1.145,00:13:43,Vlan1
OE1 202.37.140.0/28 [110/22] via 162.105.1.145,00:13:43,Vlan1
第2列表示路由类型:E1指OSPF外部路由类型1;E2指OSPF外部路由类型2
第4列,如[110/22]:110是管理距离(自动生成),22是权值(metric)或成本管理距离用于衡量路由表中给定的路由信息源的**“可信度”,越小越优秀**
路由协议 | 管理距离 |
---|---|
直接连接 | 0 |
静态路由(Static) | 1 |
OSPF | 110 |
RIP | 120 |
权值是路由器通过路径选择算法为网络上的路径产生的一个数字
类似计算机:中央处理器CPU+内存+存储器+接口
内存
①只读内存(ROM≈CMOS)
②随机存储器(RAM)
存储中间数据、运行配置文件,断电就gg
③非易失性随机存储器(NVRAM)
存储路由器的启动配置文件,断电不gg
④闪存(FLASH)
可擦写的ROM,保存操作系统的映像文件和一些微代码,断电不gg
接口(了解,不考)
用户模式(User EXEC)
只读模式,提示符默认:router>
特权模式
键入enable,进行一些有限操作,提示符默认:route#
全局配置模式
键入configure terminal,配置路由器的全局性参数(主机名、口令、TFTP服务器、静态路由、访问控制列表等),默认提示符:router(config)#
其他配置模式
包括接口配置模式、虚拟终端配置模式、路由配置模式等
设置模式(Setup)
RXBOOT模式
路由器的维护模式,可以进入RXBOOT模式恢复密码
路由器的配置方式
AUX通过远程拨号配置
使用telnte配置路由器
router (config)#line vty 0 15
router(config-line)#password 7 zzz307
进入“运行串口”,输入“telnet 202.112.7.4”
TFTP配置路由器(了解,不考)
路由器基本配置
<1>配置主机名
Router(config)#hostname router-phy
<2>配置超级用户口令
Router(config)#enable secret phy123
Router(config)#enable password 7 phy123
<3>配置系统时钟。
Router# calendar set hh:mm:ss <1 -31> MONTH <1993-2035>
几个公用命令
①退出命令:exit(逐步退出),end(大步退出)
②保存配置:Router# write memory (保存到路由器的NVRAM中)
③删除配置:Router# write erase
④网络的基本检测命令
<1> telnet
Router> telnet paris (或IP地址)
<2>ping
<3>trace
<4>show命令
Router# show ip route (注意模式与命令的拼写)
路由器接口的基本配置
①配置接口描述信息
②配置接口带宽
Router(config)#int POS3/0
Router(config-if)#bandwidth 2500000 (设置接口带宽为2.5Gbps)
③配置接口的IP地址
④接口的开启与关闭
局域网接口配置
①配置标准以太网接口(Ethernet)
②配置快速以太网接口(Fast Ethernet)
广域网串口配置
①配置异步串行口(用于连接modem,为用户提供拨号上网服务)
Router(config)# interface a1
···
Router(config-if)# Encapsulation ppp (不能封装为HDLC)
······
②配置同步串行口
高速同步串行接口类型是Serial,简写为s。它主要用于DDN专线、帧中继、卫星、微波等广域网连接
Router(config)# Interface s1/1
······
Router(config-if)# Bandwidth 2048 (带宽为2M)
······
Router(config-if)# Encapsulation hdlc (封装HDLC或PPP协议,HDLC为缺省)
······
③配置POS接口<超级无敌重要!综合题!!>
······
Router(config-if)# **Bandwidth 2500000 **
······
Router(config-if)# Crc 32 (可选的CRC校验位是16和32)
Router(config-if)# Pos framing sdh (可选帧格式是SDH和SONET)
Router(config-if)# No ip directed-broadcast
Router(config-if)# Pos flag sls0 2
[sls0=00表示是SONET帧数据,sls0=10(十进制2)表示是SDH帧]
④loopback接口配置
虚拟接口,loopback接口号的有效值为0~2147483647,它永远处于激活状态。网络管理员为loopback接口分配一个IP地址作为管理地址,其掩码应为255.255.255.255
静态路由的配置方法
Router(config)# ip route <目的网络地址><子网掩码><下一跳路由器的IP地址>
静态默认路由的配制方法
接受到的数据包找不到对应的路由表项,则送入默认路由转发,若无默认路由则丢弃数据包
Router(config)# ip route 0.0.0.0 0.0.0.0 <下一跳路由器的IP地址>
RIP动态路由协议的配置
RIP路由协议只由路由器跳数(hop数)决定最佳路径,越小越优,限制最大跳数为15,同时RIP在路由更新报文中部携带子网掩码信息,不支持VLSM,RIP定时更新路由周期为30秒。
RIP有两个版本:v1和v2.
RIP协议不带子网掩码
①RIP的基本配置
②RIP的高级配置
<1>配置被动接口
Router(config)#router rip
Router(config-router)#passive-interface ethernet 0
<2>配置路由过滤
Router(config)#access-list 12 deny any
Router(config)#router rip
Router(config-router)#distribute-list 12 in ethernet0
<3>配置管理距离
<4>定义邻居路由器
OSPF动态路由协议的配置<必考,综合题>
①OSPF的基本配置
<1>使用network命令定义参与OSPF的子网地址
1.配置单个IP地址参与OSPF
Router (config) # router ospf 63
Router (config-router) # network 131.107.25.1 **0.0.0.0 **area 0
2.网络地址参与OSPF
Router (config-router) # network 133.181.0.0 0.0.255.255 area 0
<2>定义参与OSPF的子网地址
Router (config-router) # area 0 range 212.37.123.0 **255.255.255.0 **
注意:network开头用反掩码,area 0开头用正掩码
②几个常用的OSPF参数的配置(了解,不考)
IP地址动态分配是使用动态主机配置协议(DHCP),由网络站点提出DHCP请求,从DHCP服务器上自动获取一个IP地址与缺省网关、域名及域名服务器的IP地址等相关的TCP/IP属性的信息。
DHCP的工作原理
DHCP采用C/S工作模式,DHCP服务器主要有两个功能:建立和管理IP地址池;接受并处理DHCP客户端请求。
DHCP服务器的配置
①配置IP地址池的名称,并进入DHCP Pool配置模式
Router (config) # ip dhcp pool ttt
② 配置IP地址池的子网地址和子网掩码
<1>在DHCP Pool配置模式下:
命令格式:network [mask | /prefix-length]
<2>配置不用于动态分配的IP地址(除外地址)
命令格式:ip dhcp excluded-address low-address [high-address]
1.排除从201.23.98.2到201.23.98.10的一段IP地址
**Router(config)#**ip dhcp excluded-address 201.23.98.2 201.23.98.10
2.排除单个IP地址201.23.98.193
Router(config)#ip dhcp excluded-address 201.23.98.193
③配置IP地址池的缺省网关
④配置IP地址池的域名系统
⑤配置IP地址池的地址租约时间
命令格式:lease {days [ hours ] [ minutes ]|infinite}
例:设置租约时间为5小时
Router(dhcp-config)#lease 0 5
⑥取消地址冲突记录日志
类似防火墙,过滤有害报文
①访问控制列表的分类
<1>标准:只能检查源地址,表号1 ~ 99,扩展后1300 ~ 1999
<2>扩展:检查数据包的源地址与目的地址,还可以检查指定的协议以及端口号。表号100 ~ 199,扩展后2000 ~ 2699
配置IP访问控制列表
全局配置模式下定义,语句按自上而下的顺序匹配数据包,若执行到ACL末还没有相匹配语句,数据包将被隐含的“拒绝”语句所拒绝,故需添加"permit any"
①配置ACL的两个参数
<1>表号和名字
<2>通配符掩码
子网掩码的反码
②配置IP访问控制列表
<1>配置标准ACL
在全局模式下,命令格式:
access-list access-list-number {permit | deny} source wildcard-mask
应用例:
只允许源地址为182.105.130.111和222.112.7.56的两台主机登录路由器。
在全局配置模式下:
Router(config)#access-list 20 permit 182.105.130.111
Router(config)#access-list 20 permit 222.112.7.56
Router(config)#access-list 20 deny any (any 代表所有主机)
配置应用接口:
Router(config)#line vty 0 5
Router(config-line)#access-class 20 in
<2>配置扩展访问控制列表
1.access-list命令
命令格式:access-list access-list-number {permit | deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]
其中:operator(操作),操作有“lt"(小于)、“gt”(大于)、“eq”(等于)、“neq”(不等于)。operatand(操作数),指的是端口号。
应用1:拒绝转发所有IP地址进出的,端口号为1434的UDP协议数据包。
在全局配置模式下:
Router(config)#access-list 130 deny any any eq 1434
Router(config)#access-list 130 permit ip any any
Router(config)#
配置应用端口:
Router(config)#interface g0/1
Router(config-if)#ip access-group 130 in
Router(config-if)#ip access-group 130 out
2.ip access-list命令
在全局配置模式下:
命令格式:ip access-list extended | standard access-list-number | name
应用:拒绝转发所有IP地进与出方向的,端口号为1434的UDP协议数据包。
在全局配置模式下:
Router(config)#ip access-list extended 130 (进入扩展访问控制列表配置模式)
Router(config-ext-nacl)#deny udp any any eq 1434
Router(config-ext-nacl)#permit up any any
配置应用端口:
Router(config)#interface g0/1
Router(config-if)#ip access-group 130 in
Router(config-if)#ip access-group 130 out
蓝牙技术的基本概念
10m内短距离通信,IEEE802.15标准,工作在2.4GHz频带,带宽为1Mb/s
蓝牙系统的主要参数和技术指标<必考>
①工作频段:ISM频段2.402GHz-2.480GHz
②双工方式:TDD。
③业务类别:同时支持电路交换及分组交换业务。
④标称数据速率:1 Mbps
⑤异步信道速率:非对称连接 723.2kbps/57.6kbps;对称连接433.9kbps(全双工模式)
⑥同步信道速率:64kbps
⑦发射功率级范围:0dBm(1 mW),覆盖1-10m,20dBm(100mW),覆盖扩展至100m
**⑧密钥:以8bit为单位增减,最长128bit **
两个标准:HiperLan/1采用5GHz射频频率,上行速率可达20Mb/s。HiperLan/2同样采用5GHz射频频率,上行速率可达54Mb/s。 HiperLan/2系统同3G标准兼容。
在HiperLan/2的典型网络拓扑结构中,移动终端通过接入点接入固定网。一个AP(无线接入点)所覆盖的区域范围在室内一般为30米,在室外一般是150米。
HiperLan/2的主要技术特点
①高速数据传输:OFDM调制技术
②面向连接
· ·····
IEEE802.11标准基本概念
第一代无线局域网WLAN的标准之一,定义了无线节点和无线接入点(AP),无线节点=无线网络接口卡+接入设备,无线接入点作用是提供无线和有线网络之间的桥接
802.11定义了使用红外、调频扩频、直接序列扩频技术,传输速率为1或2Mbps的无线局域网标准。两个扩频技术,一个红外规范(物理层)。 FHSS(调频扩频)和DSSS(直序扩频),无线传输频道定义在2.4GHz的ISM波段内。
①802.11b协议
2.4GHz频段(ISM),最大11Mb/s,可在1,2,5.5,11Mbps/s间切换,实际吞吐量5~7Mb/s
②802.11a协议
5GHz,最大54Mbp/s,传输距离10~100m,平均吞吐量28 ~31Mb/s,不与b兼容
③802.11g协议
2.4GHz,可实现11Mb/s,保持对b的兼容,又可以实现54Mb/s,实际吞吐量为b、a混合
(b和a泾渭分明,b和g一伙的,但g更牛逼,因为g=b+a)
IEEE 802.11b的优点
······
①当射频情况变差时,降低数据传输速率为5.5Mb/s、2Mb/s、1Mb/s
②802.11b只允许一种标准的信号发送技术
③最多三个接入点可以同时定位于有效使用范围中
④内置式加密和鉴定
······
IEEE802.11b的基本运作模式<必考>
点对点模式(无线网卡之间,最多链接256台PC)和基本模式(引入无线接入点,最多1024个PC)
802.11b的典型解决方案()
多蜂窝漫游工作模式:部署多个接入点,自动切换服务不中断。
①无线网卡②无线接入点③天线(信噪比↑)④无线网桥(链接几个不同网段/冲突域)路由器(具有NAT功能,即可以做地址转换)及网关
Aironet 1100系列接入点概述
无线局域网收发器,独立无线网络的中心点或无线网络和有线网络之间的连接点,兼容IEEE 802.11b和IEEE 802.11g,工作在2.4GHz频率段,使用IOS操作系统。
将接入点接入网络
①安装和配置AP之前,先向网络管理员询问系统名与无线网络中对大小写敏感的服务集标识符(SSID),如果没有连接到DHCP服务器,则需要为接入点指定一个唯一的IP地址。如果接入点与PC不在同一个子网内,则需要子网掩码和默认网关······
②可以用线内供电连接以太网和使用本地电源。
配置接入点
第一次一般本地配置,默认IP地址是10.0.0.1,成为小型DHCP服务器,可以为下列设备分配20个10.0.0.x范围的IP地址:
①连接在接入点以太网端口上的PC机。
②没有配置SSID或SSID配置为tsunami,并且关闭所有安全配置的无线设备。
本地连接无线接入点的步骤:
①使用五类以太网电缆连接PC机和无线接入点
②给无线接入点加电
③确认PC获得了10.0.0.x网段的地址
④打开浏览器,在浏览器的地址栏输入10.0.0.1,按回车键
⑤按Tab键越过用户名字段,输入大小写敏感的密码Cisco,然后确认。 点击“Express Setup”进入快速配置页面,在各输入框中填入相关的配置信息。
各个配置参数的含义:
······
Radio service set ID(SSID):大小写区分,SSID是客户端设备用来访问接入点的唯一标识。
Broadcast SSID in beacon :**设定允许设备不指定SSID而访问接入点。YES选项是默认设置,**允许设备不指定SSID而访问接入点,NO选项表示设备必须指定SSID访问接入点
DNS的基本概念
为便捷访问,遂采取域名系统,和IP间存在相互转化
DNS服务器的分类
根服务器(a~m共13个根域名)、顶级服务器(com,org,edu,gov等等)、权威服务器
DNS系统工作原理
客户端提出查询请求→本地有无记录→若无记录,则请求本地DNS服务器→还是没找到,DNS服务器找其他DNS服务器帮忙·····(套娃)
DNS服务器配置的主要参数
①正向查找区域:域名→IP地址,资源记录
②反向查找区域
③地址资源记录
④转发器:网络上的DNS服务器,外部域名的DNS查询
DHCP的基本概念
DHCP(动态主机配置协议):服务器端[创建地址池及参数]和客户端
DHCP的工作原理
DHCP客户机广播”DHCP发现“消息,DHCP服务器获得IP:来源地址0.0.0.0,目的地址255.255.255.255
DHCP服务器接受到"DHCP发现"广播发送“DHCP供给”
DHCP客户机收到"DHCP供给",广播发送“DHCP请求”
DHCP服务器广播“DHCP确认”
DHCP服务器配置的属于、主要参数
①作用域:定义网络中单一的物理子网的 IP 地址范围。
②排除范围:不用于分配的 IP 地址序列。保证在此序列中的 IP 地址不会被 DHCP 服务器分配给客户机。
③地址池:在用户定义了 DHCP 范围及排除范围后,剩余的地址形成了一个地址池,地址池中的地址可以动态的分配给网络中的客户机使用
④租约: DHCP 服务器指定的时间长度,在这个时间范围内客户机可以使用所获得的 IP 地址。当客户机获得 IP 地址时租约被激活,逾期前需不断更新(自动更新)
⑤保留地址:用户可以利用保留地址创建一个永久的地址租约。保留地址保证子网中的指定硬件设备始终使用同一个 IP 地址。可以使用作用域的任何地址,包括排除范围内的地址。
⑥选项类型:DHCP 服务器给 DHCP 工作站分配服务租约时分配的其它客户配置参数。经常使用的选项包括:默认网关的 IP 地址(路由器), WINS 服务器, 及 DNS 服务器的IP地址
一种Internet的信息浏览工具。
浏览器与服务器之间传送信息的的协议为HTTP,即超文本传输协议,使用TCP协议,默认端口号为80。
WWW服务器的配置和测试
······
⑤建立Web站点时要对每一个站点指定一个目录。也可以是一个虚拟目录(必须设置主目录11下),选择“文档”选项卡,来设置默认的网站文档,如设置“index.html”,则浏览器访问网站时能自动打开“index.html”网页;
⑥设置网站选项
⑦设置目录安全选项:三种方法:身份验证和访问控制;IP地址和域名限制;安全通信。
⑧设置性能选项:可设置影响带宽使用的属性、客户端WEB连接的数量(存在数量限制但无时间限制)
测试所建立的网站
IP地址测试/域名测试
在同一个服务器上建立公司两个部门的网站
为服务器上的每个站点配置唯一的标识:
①不同的主机头 ②不同的IP地址 ③不同的TCP端口
也可使用虚拟目录发布两个部门的网站
FTP的基本概念
文件传输协议,允许本地计算机与服务区间的下载和上传
FTP传输层使用TCP协议,服务器端提供的端口号21用于数据连接,端口号20用于数据传送
FTP服务器配置的主要参数
①域:FTP建立的虚拟服务器,一个域是由IP地址和端口号唯一识别的
②匿名用户:对名为anonymous的用户自动识别为匿名用户,不设置密码。
③命名用户
④组
E - mail基本概念
电子邮件,信箱名+域名,发送方的邮件服务器在发送邮件时根据第二部分来确定要连接的接收方邮件服务器;接收邮件服务器软件则使用信箱名来选择对应的邮箱将收到的邮件存储起来。
电子邮件系统使用的协议主要有:SMTP,用于发送电子邮件,默认的TCP端口为25;POP3,默认的TCP端口为110;IMAP4,默认的TCP端口为143。用户访问并读取邮件服务器上的邮件使用POP3或IMAP4协议。
E-mail的工作过程:
客户端软件 → 发送方 → 接收方 → 读取
(SMTC) (SMTC) (POP3/IMAP4)
邮件交换器的配置
为了能够使其他邮件服务器将收件人为用户名@mail.abc.com的邮件转发到该邮件服务器。需要建立邮件路由,即在DNS服务器中建立邮件服务器主机记录和邮件交换器记录。
测试E-mail服务器
①在Outlook中创建账户(非注册新邮箱)
接收邮件服务器的类型可以为POP3、IMAP、HTTP
②在Outlook中创建、发送并接收邮件
DNS服务器环境
DNS服务器的构建
DNS服务器的安装
静态IP
DNS服务器的配置
DNS服务器的测试
在命令行中,在nslookup提示符“>”下输入ftp.abc.com完成域名到IP地址的转换
知识点补充:
①主机资源记录的生存时间(TTL)指记录被客户端查询到,存放在缓存中的持续时间,默认值是3600秒。
②DNS服务器中的根DNS服务器不需管理员手工配置。
③通过DNS服务器监视对话框可以对DNS服务器进行简单测试与递归查询测试
④清空DNS缓存(DNS cache)的是ipconfig/flushdns
⑤缺省情况下Windows 2003系统没有安装DNS服务.
······
作用域即为网络上IP地址的连续范围,一般为接受DHCP的单个物理子网。在“IP地址范围”对话框中,**“起始 IP 地址(S)”框中输入申请到的IP地址范围的起始地址:“192.168.0.30”,在“结束 IP 地址范围(E)”**框中输入申请到的IP地址范围的结束地址:“192.168.0.200”。使用的子网掩码一般用默认的“255.255.255.0”,点击[下一步(N)],弹出“添加排除”对话框 。(不需要指定MAC地址)
排除范围指一些特定的IP地址序列,排除于DHCP服务之外,服务器不会将这些IP地址分配给网络上的DHCP客户机。在“排除地址”界面的**“起始 IP 地址(S)”和“结束 IP 地址”框中选中所要排除的一些特定IP地址段的起始IP地址与结束IP地址,[添加排除时必须输入起始IP地址和结束IP地址.(不需MAC地址)]**
······
新建的作用域将被激活,这时,DHCP服务器可以开始为客户机分配IP地址
新建保留
······
在“新建保留”对话框中填入“保留名称(R):”、“IP 地址(P):”、“MAC 地址(M):”
DHCP服务器的测试
······
③用命令行查看DHCP客户机配置:输入命令**“ipconfig /all”**,即可查看到该客户机的配置信息和地址租约。
④在命令行的窗口中输入**“ipconfig /release”**命令,即可释放已获得的IP地址租约。
⑤在命令行的窗口中输入**“ipconfig /renew”**命令,重新从DHCP服务器获得新的IP地址租约。
FTP 服务器配置
①修改管理员密码(默认管理员:LocalAdministrator)
②新建域
IP地址可为空,意为服务器的所有IP地址;进入“添加新建域-第三步” ,可以使用域名,在“域端口号”中输入该服务器的端口号,默认的端口号为“21”,也可以设置自己想要的端口号;在“域类型”对话框中选择域存储的地方。“.INI文件存储”一般是应用于较小的域,对于用户数大于500的较大的域,应该选择注册表以提供更高的性能。
③用户的添加与管理
在服务器端创建新用户,如果是匿名用户,则输入用户名“anonymous”(手工添加)
④常用服务选项
<1>最大上传与下载速度:指整个FTP服务器占用的带宽。
<2>最大用户数量:同时在线的最大用户数。
<3>拦截“FTP_bounce”攻击和FXP。只允许在FTP客户端和服务器间进行文件传输,而不允许在两个FTP服务器间进行文件传输
⑤用户选项
<1>用户IP访问选项
<2>用户配额选项
可以限制用户上传信息占用的存储空间
使用浏览器测试FTP服务器
在浏览器的地址栏中输入服务器的IP地址,如**“ftp:192.168.0.111”,如果该服务器的端口号不是21,则还需要加上端口号来访问该FTP服务器,格式为:“ftp:192.168.0.111:8021”**。
E-mail服务器的管理配置
①在快速设置向导中输入新用户的信息,包括用户名(user1)、域名(mail.abc.com)及用户密码;并可以选择是否允许通过Webmail注册新用户。
②使用WinMail Mail Server管理端工具管理邮件服务器
<1>WinMail邮件管理工具包括:[系统设置]、[域名设置]、[用户和组]、[系统状态]、[系统日志]等项目。
<2>[系统设置] ,可以对邮件服务器的系统参数进行设置,包括SMTP、邮件过滤、更改密码等项目
<3>[域名设置],可以增加、删除、修改域,例如是否允许在本域中自行注册新用户等。
<4>[用户和组]
网络安全的基本要素
信息泄漏与篡改
①截获 ②窃听 ③篡改 ④伪造
网络攻击
①服务攻击(DOS)
针对特定服务,使其"拒绝服务"
②非服务供给 ③非授权访问 ④网络病毒
网络安全模型
①网络安全模型
<1>P2DR模型
1.安全策略。包括总体安全策略和具体安全规则。
2.防护。对系统可能出现的安全问题采取预防措施。
3.检测。
4.响应。紧急响应和恢复处理
网络安全规范
安全等级划分:ABCD共4类,共7级,D最低,A1最高
D级系统属于非安全保护类,不能用于多用户环境下的重要信息处理
C类系统是用户能定义访问控制要求的自主保护类型。
B类系统属于强制型安全保护系统,即用户不能分配权限,只有管理员可以为用户分配。
注:一般的UNIX系统通常能满足C2标准
备份模式
①物理备份 ②逻辑备份
基于策略<必考>
①完全备份 ②增量备份(自上一次备份以来的变化量)
③差异备份(自上一次完全备份以来变换部分)
空间使用 | 备份速度 | 恢复速度 | |
---|---|---|---|
完全备份 | 最多 | 最慢 | 最快 |
增量备份 | 最少 | 最快 | 最慢 |
差异备份 | 少于完全备份 | 快于完全备份 | 快于增量备份 |
加密算法与解密算法
①基本流程
A明文加密后发B解密出明文
②密钥
对称密码体制
加密密钥=解密密钥,N个用户间需要N(N-1)个密钥
DES算法,输入输出均64,更安全的有IDEA等
非对称密码体制
公钥(公开)和私钥(私密),非对称加密技术中N个用户之间进行通信加密,仅需要N对密钥。
RSA算法
计算机病毒
网络病毒
恶意代码
①蠕虫
②木马
无自我复制功能,通过电子邮件、软件下载、会话软件传播
防火墙的主要功能
防火墙的分类
根据实现技术:包过滤路由器、应用网关、应用代理和状态检测
①包过滤路由器
制定包过滤规则加以判断
②应用网关
应用层上进行检查过滤,可采用双宿主主机
③应用代理
④状态检测
保留状态连接表,跟踪会话状态
防火墙的系统结构
①包过滤性结构
②双宿网管结构
两块网卡的主机,又称为堡垒主机
③屏蔽主机
包过滤+堡垒主机
④屏蔽子网结构
入侵检测系统(IDS),被动检测。
入侵检测系统的功能
入侵检测系统的结构
入侵检测技术的分类
入侵检测系统的分类
基于主机和基于网络(网卡为混杂模式)
层次型、结构型和对等型(无单点失效)
防火墙技术+入侵检测技术,In-Line工作模式
①基本结构
嗅探器等等
②入侵防护系统的基本分类
<1>基于主机(HIPS):安装在受保护的主机系统中
<2>基于网络(NIPS):布置于网络出口处,一般串联于防火墙与路由器间,网络进出的数据流都必须通过它,当检测到恶意数据包,系统发出警报并采取响应措施阻断攻击。NIPS对攻击的误报也会导致合法的通信被阻断,漏报则不影响合法通信
<3>应用(AIPS)
部署于应用服务器前端,防范入侵包括cookie篡改、SQL注入等漏洞。
常用备份设备
磁盘阵列部署方式,也称RIAD级别。RAID10=RAID0+RAID1
磁盘阵列需要有磁盘阵列控制器,有些服务器主板中自带有这个RAID控制器,有些主板没有这种控制器,就必须外加一个RAID卡,RAID卡通常是SCSI接口,有些也提供IDE接口和SATA接口
Windows 2003 server 备份工具和使用方法
①Windows 2003备份程序支持的五种备份方法(是否经过标记)
<1>副本备份(不标记) <2>每日备份(不标记) <3>差异备份(不标记已备份文件)
<4>增量备份(备份后标记) <5>正常备份(标记每个文件)
网络版防病毒系统结构
①系统中心 ②服务器端 ③客户端
④管理控制台:既可以安装到服务器上也可以安装在客户机上,视网络管理员的需要,可以自由安装
网络版防病毒系统安装
服务器端和客户端通常可以采用本地安装、远程安装、Web安装、脚本安装等方式安装
网络版防病毒系统的主要参数配置
①系统升级
从网站升级、从上级中心升级、从网站上下载手动数据包。
②扫描设置
③黑白名单设置
④端口设置
为了使网络版防病毒软件的通信数据能顺利的通过防火墙,通常系统都会提供用于数据通信端口设置的界面。(非固定端口)
硬件防火墙的网络接口
①内网
②外网
③DMZ(非军事化区)
隔离的网络,内置Web/E-mail服务器,外网可访问
防火墙的安装与初始配置
基本配置方法(以Cisco PIX 525为例)<必考!>
①访问模式
<1>非特权模式:pixfirewall>
<2>特权模式:pixfirewall#
<3>配置模式:pixfirewall(config)#
<4>监视模式:可更新操作系统映象和口令恢复——monitor>
②基本配置命令
<1>nameif:配置防火墙接口的名字,并指定安全级别
例:Pix525(config)#nameif ethernet0 outside security 0
//设置以太网口1为外网接口,安全级别为0,安全系数最低。
注:安全系数0为外部接口,100为内部接口,1~99为DMZ
<2>interface:配置以太口参数
例:Pix525(config)#interface ethernet0 auto
//设置以太接口0为AUTO模式,auto选项表明系统网卡速度工作模式等为自动适应,这样该接口会自动在10M/100M,单工/半双工/全双工间切换。
Pix525(config)#interface ethernet1 100 full
//强制设置以太接口1为100Mbit/s全双工通信。
<3>ip address:配置内外网卡的IP地址
<4>nat:指定要进行转换的内部地址
例:Pix525(config)#nat (inside) 1 192.168.1.0 255.255.255.0
//设置只有192.168.1.0 这个网段内的主机可以访问外网。
<5>Global
指定一个外网的ip地址或一段地址范围。
例:global (if_name) nat_id ip_address-ip_address [netmark global_mask]
注:nat局部,Global全局
<6>route:设置指向内网和外网的静态路由
例:route (if_name) 0 0 gateway_ip [metric]
其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示网关路由器的ip地址,[metric]表示到gateway_ip的跳数。通常缺省是1。
Pix525(config)#route outside 0 0 61.144.51.168 1
设置一条指向边界路由器(ip地址61.144.51.168)的缺省路由。
<7>static
配置静态NAT,若从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。
例:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address
Pix525(config)#static (inside, outside) 202.113.79.4 192.168.0.4
<8>Conduit(管道命令)
用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口
<9>fixup
启用、禁止、改变一个服务或协议通过pix防火墙
网络入侵检测系统的组成结构
网络入侵检测系统常用部署方法
①网络接口卡链接交换设备的监控端口,通过交换设备的Span/Mirror功能将流向个端口的数据包复制一份给监控端口。(镜像)
②通过集线器(共享式监听方式)改变网络拓扑结构从而获取数据包。
③入侵检测传感器通过**TAP(分路器)**设备对交换式网络中的数据包分析处理。
TAP是一种容错方案,它提供全双工或半双工,10/100/1000M网段上观察数据流量的手段
体系结构:SNMP管理+SNMP代理+MIB(管理信息库)
①SNMP的管理站和代理
一站可控多代理,“团体”实现控制
②管理信息库MIB-2
Cisco的管理对象标识符(OID)都是由1.3.6.1.4.1.9开头。
MIB的应用类型中的计量器类型与计数器类似,不同之处在于它的值可以增加也可以减少。
③SNMP支持的操作
<1>get
<2>set
<3>notifications:代理向管理站报告被管对象的变化,分为通知和自陷两类,都有PDU格式
④SNMP的实现
①SNMP的特点
②CMIP的特点
③二者区别
<1>SNMP有广泛的适用性,用于小规模设备时成本低、效率高,而CMIP更适用于大型网络。
<2>SNMP主要基于轮训方式获得信息,CMIP主要采用报告方式。
<3>SNMP基于UDP,CMIP使用面向连接的传输。
<4>CMIP采用面向对象的信息建模方式,SNMP用简单的变量表示管理对象。
工作在网络层,一种管理协议,用于在IP主机、路由器间传递控制消息和差错报告。
ICMP消息被封装在IP数据包内
类型号 | 类型描述 |
---|---|
0 | 回送应答 |
3 | 目标不可到达 |
8 | 回送请求 |
11 | 超时 |
ICMP的主要功能:……通告超时……
①ipconfig命令:显示TCP/IP 网络配置
Key:flushdns
②Hostname命令:显示主机名称
③ARP命令:显示和修改ARP表项
④NBTSTAT:显示NetBios的统计及链接信息
⑤NET命令
Key:Net View(显示一堆列表)
⑥NETSTAT命令
Key:-a 显示所有连接和监听端口
⑦Ping命令
⑧Tracert命令
⑨Pathping命令
⑦+⑧优点,还能统计
⑩Route命令:显示/修改本地IP路由表条目
基于主机和基于网络
公共漏洞和暴露(CVE)是名称也是标准化描述;若漏洞报告中指明某漏洞有CVE名称,可在任何其他CVE兼容的数据库中找到相应的修补程序
①大型管理平台
HP Open View、Sun Net Manager、IBM Net View等
②网络设备厂家自身产品的网管软件
华为,Cisco等
③中小型网络通用网管软件
Solarwinds、MRTG、SNMPc等
以上管理平台都采用SNMP协议来对网络进行管理
①创建或修改对SNMP团体的访问控制
<1>ro或rw:只读或可读写
<2>访问控制表号:1~99,标准的ACL
(config)# snmp-server community 团体名 只读/可读写 访问控制表号
②创建或修改一个SNMP视阀
③设置路由器SNMP代理具有发出通知功能
管理站对这种报文不必有所应答。
④在某接口配置模式下指定该端口断开或发出通知
(config-if)# snmp trap link-status
⑤配置接收通知的管理站<基于UDP,默认代理端口号为162>
注:出现"trap"即自陷通知
网卡有4 种接收模式:广播,组播,单播,混杂模式
①对于共享型网络(将嗅探器部署到网络中任意接口上或者插入到任意节点的链路中)
②对于交换型网络(交换机进行端口镜像获取流量)
Sniffer Pro、Ethereal、TCPdump、Wireshark等
①收集故障有关信息(IP,WWW,VLAN,外网)
②可能造成一台计算机无法浏览某个WWW服务器原因
TCP/IP协议,IP地址与掩码设置,网关设置,DNS设置,浏览器,microsoft服务器,路由设置有问题或**该计算机请求无法到达服务器www.micrisoft.com。 **
①运行命令 ping www.microsoft.com测试
正常:C:>ping www.microsoft.com
Pinging lb1.www.ms.akadns.net [207.46.19.60] with 32 bytes of data:
不正常:Reply from 202.113.79.1: destination net unreachable
表明该计算机发出的ping包在202.113.79.1处被阻拦了
②运行命令 tracert www.microsoft.com测试
······
3 202.113.79.1 reports:destination net unreachable.
第三跳202.113.79.1存在访问控制。
注:若出现 request timed out(请求超时)可能是目标方工作不正常;只靠ping看不出来WWW服务
①木马入侵:C/S结构,不自身复制
②漏洞入侵:Unicode漏洞入侵、跨站脚本注入、sql注入入侵<防火墙挡不住>
③协议欺骗攻击
④拒绝服务攻击
知识点1
协议欺骗攻击:针对缺陷假冒用户截取信息获得特权,主要有:IP 欺骗攻击、ARP 欺骗攻击、DNS 欺骗攻击、源路由欺骗攻击
知识点2
拒绝服务攻击:基本方式是通过发送大量合法的请求来消耗和占用过多的服务资源,使得网络服务不能相应正常的请求。常用的DoS攻击包括:
①Smurf 攻击:冒充IP地址,向大网络发送echo request的定向广播包,受害主机会收到大量的echo reply消息。
②SYN Flooding:利用TCP三次握手过程,使用无效的IP地址。
③分布式拒绝服务攻击:攻击者攻破了多个系统,并利用这些系统去集中攻击其他目标,成百上千的主机发送大量的请求,受害设备因为无法处理而拒绝服务。
被动,类似于IDS,不产生额外流量;
常用的漏洞扫描攻击有:ISS,Microsoft Baseline Security Analyzer,X-Scanner。
①ISS扫描器是主动扫描
Internet Scanner针对网络设备,System Scanner依附于主机
②X-Scanner多线程,提供了图形界面和命令行两种操作方式。
WSUS