TCP-IP计算机网络基本概述
- 计算机网络基本概述
- 网络基础
(一)、网络的定义
通过网络传输介质 (有线的传输介质和无线的传输介质) 将计算机设备(个人电脑、服务器等) 和网络设备 (路由器、交换机、防火墙等)连接在一起,所构成的环境称为网络(构建网络后能够实现资源共享信息传递)
分类: 局域网 (LAN网、内网) 和 广域网 (WAN 网,外网)
(二)、网络功能
1、数据通信 传递各种信息数据(声音、图像、视频,实现多媒体通信)
2、资源共享 获取来自不同服务器、数据库上 的信息
3、增加可靠性 可以把数据分别存放在不同的地方,用户可通过网络访问数据
4、提高系统处理能力 (单台机器的处理能力有限,通过网络将多台计算机进行连接,实现统一计算,提高系统处理能力)
(三)、计算机网络发展的三个阶段
第一阶段 20世纪60年代 阿帕网 关键技术: 分组交换技术 (将传输的数据加以分割,在每段数据前加一个接收信息的地址标识,实现信息传递,传到目标后进行数据重组) 军事上
第二阶段 20世纪70年代末 ~ 80年代初 关键技术: TCP/IP (TCP/IP的出现实现了不同厂商生产的计算机可以相互通信
第三阶段 20世纪90年代中期 关键技术: Web 技术 (将传统的语音、数据和电视网络融合,以及各种Web 应用的出现) 民用上
二、网络的基本概念
(一)、协议和标准
协议:进行通信的双方必须采用双方均可“理解“的协议,数据才可以正常传输(协议可以理解为一组控制数据进行通信的规则,协议规定了网络节点之间传什么,如何传以及何时传)
协议的三要素:
语法:规定了数据的结构和形式,以及数据传输的先后顺序
语义: 明确了数据每一部分如何解释,每一部分的含义
同步: 数据何时发送以及发送的频率
标准: 由相应的标准化组织制定,是必须要遵守的(标准比协议更具有强制性)
(二)、IEEE 802 局域网标准 (定义了网卡如何访问传输介质(双绞线、光纤、无线等),以及这些传输介质传输数据的方法、速率等)
IEEE 802.3 标准 (有线局域网标准)
IEEE 802.3u 标准 100M/s 快速以太网标准 (双绞线)
IEEE802. 3z 标准 光纤介质实现 1Gb/s 标准
IEEE802.3ab 标准 双绞线实现 1Gb/s 标准
IEEE802.3ae 标准 光纤实现 10Gb/s 以太网标准
IEEE802.3ba 标准 光纤实现 100Gb/s 以太网标准
以太网: 当前最流行的局域网标准
IEEE802.11 标准 (无线局域网标准)
802.11a 最高速率54Mb/s (已经淘汰) 修订标准
802.11b 最高速率11Mb/s (比较普及,大部分设备都支持)
802.11g 最高速率54Mb/s (广泛应用的无线标准)
802.11n 最高速率600Mb/s (草案阶段就广泛应用,信号稳定性强、抗干扰能力强、兼容性好,速率高)
(三)、网络常见设备
1、交换路由设备 : 交换机:负责连接局域网中主机
路由器: 实现不同局域网之间通信,用于数据包寻找合理路径
2、网络安全设备:
防火墙: 抵御外网入侵、外网攻击的设备
VPN设备: 穿越公共网络的虚拟专用网 (实现安全的远程连接设备)
3、无线网络设备: 利用无线电波作为信息传递媒介(无线信号发送器和无线信号接收器;常见的: 无线路由器、无线网桥、无线网卡等)
(四)、网络拓扑结构
1、星型拓扑结构: 网络中有中心节点(易于实现,易于网络扩展、易于故障排查;中心节点压力大)
2、网型拓扑结构 : 每个节点至少与其他两个节点相连(优点:可靠性高,能实现链路备份;组网成本太高)
注意: 实际组网过程中应是星型拓扑和网型拓扑相结合使用
第二章 计算机网络参考模型
一、分层模型
(一)、分层思想
将一个复杂的问题分成不同的子过程,每个问题对应一层,每一层实现一层的功能 (复杂问题简单化)
(二)、OSI参考模型
由ISO 国际标准化组织提出(各计算机厂商都有自己的私有网络模型,给各自相互间通信带来麻烦),将网络分为七层,从下往上依次是物理层、数据链路层、网络层、传输层、会话层、表示层、应用层,每一层有每一层不同的功能
- 物理层: 主要功能是完成相邻节点之间原始比特流的传输 (负责真正的数据传输)
- 数据链路层: 负责将上层(网络层)数据封装成固定格式的帧,进行硬件地址寻址 (MAC地址) (全球唯一性)(会在帧尾部加上校验信息,发现数据错误可以重传)
- 网络层 : 实现数据从源端到目的端的传输 (实现不同网络路径选择) 进行逻辑地址寻址(IP 地址)
- 传输层: 实现网络中不同主机上用户进程间的数据通信 (决定对会话层的用户提供什么样的服务)
- 会话层: 允许不同机器上的用户建立会话关系
- 表示层: 完成特定功能,,确定所传送信息的语法和语义 (决定数据以什么形式进行发送) (进行数据的压缩、解压;加密、解密等工作)
- 应用层: 包含大量人所普遍需要的协议 (为人服务)
(二)、TCP/IP 参考模型
TCP/IP 模型:
早期: TCP/IP 四层 —— TCP/IP 五层 (应用层、传输层、网络层、数据链路层、物理层) (应用广泛的参考模型)
TCP/IP 和OSI 的对比: OSI 参考模型没有考虑任何一组特定的协议,而TCP/IP 参考模型与 TCP/IP 协议簇吻合,以TCP/IP 协议作为传输数据的基础;TCP/IP 更贴近真实工作应用环境
TCP/IP 所对应的相应协议:
- 应用层 (为用户服务) : http (访问网站的前提) FTP (实现上传下载的前提)
SMTP (发送邮件、接收邮件的前提) 、 DNS (上网的前提)等
- 传输层: TCP 协议(可靠的进程到进程的通信协议,安全) UDP 协议(不可靠的进程通信协议,传输效率高)
- 网络层: 统称为IP协议(网际协议); ARP 协议(地址解析协议)、 ICMP (网际控制报文协议)、RARP (逆地址解析协议) 、IGMP (网际组管理协议)
- 物理层和数据链路层: 没有定义任何特定协议,支持所有标准的专用的协议
二、数据传输过程
(一)、数据封装与解封装的过程
1、数据封装过程 (传的过程)
1)、应用层传输过程: 数据会被翻译成网络世界的语言(二进制编码数据)(把字母、汉字、单词、图片、视频、声音等进行转换) 上层数据
2)、传输层传输过程: 上层数据会被分割成小的数据段,并在每个分段后封装TCP报文头部 (一旦数据传输错误,只需重传一小段数据即可)
上层数据 + TCP头部 = 数据段 (TCP头部: 包含TCP协议或UDP协议,并包含端口号信息,一个程序会有相应的进程对应)
3)、网络层传输过程: 会在数据段基础上封装上IP 头部 变成数据包 (IP 头部中关键信息是 IP地址,进行逻辑寻址所必须的) (封装源IP和目标IP)
4)、数据链路层传输过程: 会在数据包的基础上封装上 MAC头部,变成数据帧 (MAC 头部中最关键的信息就是MAC 地址;全球唯一,用来进行物理地址寻址)
5)、物理层传输过程: 物理层会将所有的二进制信息组成的比特流转换成电信号在网络中传输
2、数据解封装的过程 (收的过程)
1)、物理层收: 会将电信号转换成二进制数据,传给数据链路层
2)、数据链路层收: 查看目标MAC是否与自己吻合(如果吻合就会将MAC 头部拆除,传给网络层;如果不吻合,直接丢弃数据)
3)、网络层收: 检查数据的IP 地址是否和自己吻合(如果相同就去除IP头部,传给传输层;如果不相同就直接丢弃)
4)、传输层收:会根据TCP头部判断该数据应该由哪个协议或程序接收,将分段数据进行重组,去除TCP头部,传给应用层)
5)、应用层收: 将二进制数据进行解码,来将发送方发的原始数据展示出来
(二)、PDU的概念
定义: 协议数据单元,指同层之间传递的数据单位;是数据段、数据包、数据帧、比特流的统称
注意: 各层之间传输数据,要遵循相同的协议;数据每到达一个设备会根据该设备所在层进行解封装,当该数据还需要继续往下传输时,设备的出口会对该数据进行再次封装 (数据在经过设备时始终在进行解封装与封装的过程)
第三章网络传输介质
本章结构
一、信号与传输介质的相关概述
二、双绞线的制作及相关应用
具体知识点
一、信号与传输介质的相关概述
(一)、信号
定义:是传递信息的媒介;只有在有信号的情况下才能去传输数据
模拟信号:信号参数(幅度、频率等)大小连续变化的电磁波
信号
数字信号:是不连续变化的物理量,变化幅度只有0和1两种状态,又称为“二
进制”信号
注意:不管是模拟信号,还是数字信号在传输过程中都会受到外界的干扰(噪声和衰减等)已及传输介质本身阻抗等特性产生失真
数字信号的优势:
- 抗干扰能力更强
- 远距离传输仍然能保证传输质量
(二)、双绞线
组成:双绞线由8根铜线组成,两两绞合在一起(用来抵御一部分电磁波的干扰,扭线越密,抗干扰能力越强)
屏蔽双绞线:一般用于电磁干扰复杂的环境和室外布线
按照屏蔽性能
非屏蔽双绞线:普通环境,基本上是室内布线
五类线(Cat 5):带宽性能是1 ~ 100MHz,适用于 100 M网络
超五类线(Cat 5e):5类线的升级,相比较衰减更小,串扰更少;理
按照带宽及频率论上支持 1000 M网络
六类线(Cat 6):性能更优,适用于 1000 M的网络(串扰和回波损耗
方面更优)
七类线(Cat 7):更高的传输带宽,但是没有广泛应用(与RJ-45接
口不兼容)
(三)、光纤
全称:光导纤维,利用光脉冲的出现表示1 ;不出现表示0 (数字信号),实现光的通信
优点: 1、传输带宽高(光电信号的转换速度跟不上导致10GB/s 的速率是瓶颈)
2、传输距离远(双绞线的有效传输距离是100 ~150 米;光纤可超过100 Km)
3、抗干扰能力强(本身是绝缘体不受电磁干扰;传输的是光信号,不受磁场干扰而消失)
单模光纤和多模光纤的对比
单模光纤:纤芯很细(几微米);光源用的是较贵的半导体激光器;光源质量好,适合远距离传输;带宽更高,耗散更小(成本高,端接复杂)
多模光纤:纤芯粗,光源质量差(发光二极管),传输过程损耗大,传输距离近,带宽低,耗散大(相对便宜,端接简单)
二、双绞线的制作及相关应用
(一)、双绞线的连接规范
EIA/TIA 规定了两种线序:
T568 A的线序:白绿、绿、白橙、蓝、白蓝、橙、白棕、棕
T568 B的线序:白橙、橙、白绿、蓝、白蓝、绿、白棕、棕(实际上把线序的1和3 对调;2和6 对调就是另一种线序)
标准网线(直通线):网线的两端都是568 A的线序或者都是568 B 的线序
交叉线:网线的一端是568A的线序,那另一端一定是568 B的线序
全反线(Console 线):网线的一端是 1~8 的线序;另一端是8 ~1 的线序
使用场合:同种设备用交叉;不同种设备用直通;交换机和交换机二者通用;路由器和计算机看成是同种设备
全反线用于对设备(路由器、交换机、防火墙等)的初始管理
(二)、连通性测试(连通性测试仪)
基座部分
两部分:
远端部分
直通线:基座部分会按照 1~ 8 的顺序亮起,远端部分也会按照1~8 的顺序亮起
交叉线:基座部分按照1~ 8 的顺序亮起;远端部分按照 36145278 的顺序亮起
全反线:基座部分按照1~8 的顺序亮起;远端部分按照8~1 的顺序亮起
第四章综合布线系统
本章结构
一、综合布线系统的相关概述
二、布线材料的估算
具体知识点
一、综合布线系统的相关概述
(一)、定义:一个用于传输语音、数据、影像和其他信息的标准结构化布线系统,是建筑物或建筑群内的传输网络。使语音和数据通信设备、交换设备和其他信息管理系统彼此相连
六大子系统:
- 工作区子系统:又称服务区子系统(由信息插座、RJ-45跳线和终端设备组成)
- 水平子系统:负责将工作区的信息插座连接到管理子系统的配线架上(一般使用的是非屏蔽双绞线)
- 管理子系统:一般都是楼层的配线间,是楼层的核心;由交换路由设备、配线架、机柜、服务器等组成
- 垂直子系统:提供整个建筑物的主干线缆,负责将管理子系统连接到整栋建筑物的核心(设备间子系统)(由主干线缆、中间交换和主交接等组成)
- 设备间子系统:是整栋建筑物的核心,由电缆、连接器和相关支撑的硬件组成(程控交换机、光缆、双绞线电缆、同轴电缆等组成)
- 建筑群子系统(楼宇子系统):负责将一个建筑物的电缆延伸到另一个建筑物的通信设备和装置中,实现不同建筑物之间的网络传输
二、布线材料的估算
(一)、水晶头用量的计算
一个标准的工位水晶头的使用量 = 4 个(一般会预留 10% ~ 15 % ,但是都按15% 进行计算)
水晶头的总用量 = 工位数 * 4 * (1+ 15%)
(二)、线缆统计量计算
C = [ 0.55 * (L + S ) + 6 ] * n
C = 总长度 L = 管理间到信息点的最长距离
S = 管理间到信息点的最短距离 0.55 = 备用系数
6 = 端接容差 n = 信息点个数
第五章交换机的工作原理及配置
本章结构
一、数据链路层的相关概述
二、交换机的基本配置
具体知识点
一、数据链路层的相关概述
(一)、数据链路层的功能
1、数据链路的建立、维护、断开
2、帧的包装、传输及同步
3、差错校验
(二)、MAC地址
定义:用来标识主机身份的地址,也就是主机网卡的物理地址(硬件地址);全球唯一性
组成:由48 位二进制数组成,表示为6段的16进制数
查看:getmac或ipconfig /all 命令查看(前24位代表厂商的标识;后24位是厂商给其分配的唯一序号)
注意:第8位为0 时说明其是一个单播地址可以分配给设备使用;第8位为1 时是一个组播地址,不能分配给设备使用
(三)、以太网帧格式
前导码(7字节;物理层的封装) + 帧起始定界符(1字节) + 目的MAC地址(数据链路层封装;6字节) + 源MAC地址 + 类型(标识上层协议类型) + 数据 +帧校验序列(计算从目的MAC地址开始到数据部分结束的校验和)
(四)、交换机的工作原理
1、交换机根据MAC地址表转发数据帧
2、如果为已知帧则直接单播转发;如果为未知帧则除源端口外进行广播
3、MAC地址表的老化时间为300 s
几种状态:
1、一无所知状态(无MAC地址表)(初始状态)
2、学习状态(根据数据包学习源MAC地址,添加到MAC地址表中)
3、广播状态(将数据帧从源端口以外的所有端口转发出去)
4、接收方回应(目标方回应,其他主机丢弃)
5、学习状态(将回应的MAC地址也添加到MAC地址表中)
6、实现单播通信
(五)、交换机接口的工作模式
1、单工模式:数据只能延单一方向进行传输
2、半双工模式:数据可以双向传输但是不能同时进行
3、全双工:数据可以双向传输且同时进行(效率最高的工作模式)
注意:如果设备接口的双工模式不匹配可能会出现丢包现象;接口速率也得匹配,否则也会造成以太网链路建立失败,无法正常通信
二、交换机的基本配置
(一)、连线(使用Console线,一端连接在主机的Com 口,一端连在交换机的Console口)
(二)、打开CRT软件,选择“快速连接”设置协议为“Serial”;端口为和本地的通信端口相同;速率为9600 bit,单击连接
(三)、交换机的命令行模式
1、用户模式:Switch >(设备启动后的默认模式,用户管理受极大限制)
2、特权模式:Switch > enable (en)(进入特权模式的命令)
Switch #(主要用来查看设备的配置)
3、全局模式: Switch # config terminal (conf t )(进入全局模式)
Switch(config)#(修改设备的全局配置)
4、接口模式: Switch(config)# interface fastethernet 0/1 (int f0/1 )(进入接口)
Switch(config-if)#(用来对接口参数做修改配置)
Fastethernet代表百兆位接口 E 代表10兆接口gi代表千兆接口te代表万兆接口
(四)、常用命令
1、配置主机名Switch(config)# hostname 名字(ho 名字)
2、查看IOS名称及设备的版本信息Switch#show version (sh ver)
3、查看MAC地址表Switch#show mac-address-table(sh mac-a)
4、查看接口信息 Switch# show int f0/1 (学会查看双工模式和速率)
5、修改接口的双工模式和速率
Switch(config-if)# duplex full (全双工) / half(半双工) /auto (自协商)(修改双工模式)
Switch (config-if)# speed 10/100/1000/auto (修改速率)
第六章 IP地址概述与应用
本章结构
一、IP地址与子网掩码
二、路由器的基本配置
具体知识点
一、IP地址与子网掩码
(一)、IP地址
1、定义:互联网上网络设备和计算机的唯一的通信地址,是主机在互联网上的唯一标识
2、表示方法:由 32 位二进制数组成,实际应用中表示为4段的十进制数
3、组成:网络部分 + 主机部分
4、分类:(一共分 A、B 、C、D、E五类,实际只应用三类)
ABC 三类地址的对比
| 类别 |
组成 |
第一字节取值 |
网段数量 |
每个网段对应的主机 |
适用网络 |
| A |
网+主+主+主 |
1~126 |
126 |
224-2 |
大型网络 |
| B |
网+网+主+主 |
128~191 |
214 |
216-2 |
中型网络 |
| C |
网+网+网+主 |
192~223 |
221 |
254(28-2) |
小型网络 |
注意:1、主机位全为0 的是该网络网段;主机位全为1 的是该网络的广播地址,都不能分配给单个的主机使用
2、127 网段不能使用,主要是用于验证本机是否安装了TCP/IP协议,127.0.0.1称为本地回环地址(可通过ping 127.0.0.1 来验证)
5、私有地址:满足企业用户在局域网范围内使用的地址,该地址不能在Internet上使用
包括三组: A类: 10.0.0.0 ~10.255.255.255
B类: 172.16.0.0~172.31.255.255
C类: 192.168.0.0 ~192.168.255.255
(二)、子网掩码
注意:同网段的主机可以直接通信,不同网段主机不能直接通信
作用:用来判断IP地址的网络地址(网络位)
组成:32 位的二进制数组成
由来:网络部分全为1 ,主机部分全为0 就是该网段的子网掩码
网段的计算方法:将IP地址和子网掩码全部写成二进制然后做“与”运算得出网段
二、路由器的基本配置
(一)、一段时间后返回到初始界面问题的解决方法(永不超时)
Switch(config)# line console 0 = line con 0 (进入Console口)
Switch(config-line)# exec-timeout 0 0 = exec-t 0 0(永不超时配置)
(二)、控制台消息打断正在输入命令的处理方法(永不打断)
Switch(config)# line con 0 (先进入Console口)
Switch(config-line)# logging synchronous = logg syn(永不打断)
(三)、禁用DNS查询功能(避免输错命令后,交换机误认为是一个域名会进行查询,等待时间过长)
Switch(config)# no ip domain-lookup = no ip domain-lo
(四)、给设备配置地址
1、给路由器配置接口地址
Router(config)# int F0/1 (进入路由器的接口)
Router(config-if)# ip add IP地址 子网掩码(给接口配置地址)
Router(config-if)# no shutdown = no sh(启动接口)、
注意:路由器的接口IP地址就是该网段的网关地址
2、给交换机配置地址(交换机不能直接给接口配置地址,只能给虚拟网络VLAN配置地址,默认情况下所有交换机的接口都属于VLAN1 )
Switch(config)# int vlan 1 (进入交换机的虚拟局域网接口)
Switch(config-if)# ip add IP地址子网掩码
Switch(config-if)# no sh
第七章网络层协议与应用
本章结构
一、IP数据包格式
二、ARP协议的相关概述及常用命令
三、ICMP协议的概述
具体知识点
一、IP数据包格式
(一)、网络层功能
1、定义了基于IP协议的逻辑地址(IP地址)
2、是数据通过网络选择最佳路径
3、连接不同的媒介类型
(二)、IP头部各字段的含义
1、版本:用来表示IP的版本号
2、首部长度:表示IP数据包头部的长度(不包含数据部分);IP头部不固定,最小为20字节
3、优先级与服务类型:表示数据包在发送过程中的优先程度及服务质量
4、总长度:记录IP数据包的总大小(IP头部 + 数据部分)
5、标识符:用来保证分片的数据不会被错误的重组
6、标志:用来确定网络中最后一个分片是否发出
7、段偏移量:指示分片的数据如何进行重组
8、TTL:表示数据包的生命周期;数据包每经过一个路由器TTL值减1 ;当TTL = 0 时,数据包不再往下转发(为避免数据包无限循环)
9、协议号:用来表示上层(传输层)所封装的协议( 6 代表 TCP协议;17代表UDP协议)
10首部校验和:错误的检测字段;如果数据在传输过程中没有被改动;则两次计算的校验和相同
11、源地址:发送方的IP地址
12、目的地址:接收方的IP地址
13、可选项:可有可无的选项;可填写数据包的创建时间等
二、ARP协议的相关概述及常用命令
(一)、广播与广播域
广播:将广播地址做为目的地址的数据帧
广播域:网络中能接收到同一个广播所有节点的集合
注意:交换机可转发MAC地址广播;路由器会阻断一切广播
MAC地址的广播地址: FF-FF-FF-FF-FF-FF
IP地址的广播地址:该IP网段主机位全为1 的地址
(二)、ARP协议
定义:通过已知的IP地址去解析对方的MAC地址
ARP协议出现的原因:数据在传输过程中需要封装MAC头部;MAC头部中最重要的是MAC地址
ARP包的特点:1、是一个目的MAC地址为 FF-FF-FF-FF-FF-FF的广播包
2、一般是网络上的第一个包
3、ARP条目的老化时间是 120 s
(三)、ARP操作的相关命令
Windows 系统下的命令:
1、查看ARP条目缓存表:arp -a
2、清除ARP缓存arp -d(不仅能清除动态学习的;也能清除静态绑定的)
3、静态绑定ARP条目:arp -s IP地址 MAC地址
Cisco 设备上ARP相关命令
1、查看ARP缓存表 Router # show ip arp
2、清空Arp缓存表 Router # clear arp-cache
3、绑定Arp 条目 Router(config)# arp IP 地址 MAC地址 arpa
三、ICMP协议的概述
定义:错误的侦测与回馈机制,就是网络中的ping 包,用来验证网络连通性
注意:默认情况下,ping包默认是4个32 字节的包
Ping 命令的返回信息:
- 连通的应答:可以根据返回信息判断当前速度;丢包率等
- 不能建立连接的应答:
Request Timed out(连接超时):(原因:1、对方主机开启防火墙拒绝了ping包;2、目标主机不存在)
Destination host unreachable(目标主机不可达):(原因:网关设置错误或者目标主机不存在)
Ping 的相关参数:
1、一直ping (默认ping 四个)ping IP地址 -t(Ctrl + C终止ping )
2、返回对方主机名 ping -a IP地址
3、设置ping 包的大小(ping 包默认32字节) ping IP地址 -l 指定大小(大小范围是 0 ~ 65500 之间)
4、ping -n 数字 目标地址 (指定ping 包 的个数)
第八章静态路由
本章结构
一、路由的概述及原理
二、静态路由的配置及排错
具体知识点
一、路由的概述及原理
(一)、路由
定义:从源主机到达目标主机所跨越整个互联网络转发数据包的过程
路由器:负责转发数据包的设备;能够实现最佳路径的选择
工作原理:根据路由表转发数据包
路由表:是路由器中维护路由条目的集合;路由器会根据路由表的信息做出路径选择
(二)、路由表的形成
直连网段:只要给路由器的接口配置IP地址,并让接口处于up 状态
静态路由:管理员手动添加(小型网络环境)
非直连网段
动态路由:路由器间相互学习(大型网络)
(三)、静态路由
特点:1、对路由选路进行精确控制,由管理员手动编写
2、单向的路由
3、缺乏灵活性(不能随着网络的变化而改变)
(四)、默认路由
特点:是一条特殊的静态路由;当目标网络为一个庞大的地址集合时,用“0.0.0.0 0.0.0.0”来表示目标网络(全网),将所有转发的数据包都从默认接口转发出去(一般用于末梢网络,能精减路由表的大小)
注意:路由器在转发数据包的过程中,源IP地址和目标IP地址始终不变;MAC地址不断的再进行封装和解封装的过程
二、静态路由的配置及排错
配置命令:
Router(config)#ip route 目标网段地址目标网段的子网掩码下一跳接口地址(配置静态路由)
删除静态路由:Router(config)# no ip route 目标网段地址目标网段的子网掩码下一跳接口地址
配置默认路由:Router(config)#ip route 0.0.0.0 0.0.0.0 下一跳地址
查看路由表:Router #ship route( C 代表直连路由; S 代表静态路由; S* 代表默认路由
第九章 ADSL 路由器实现网络接入
一、常见互联网的接入方式
1、传统拨号上网不能打电话,打电话不能上网(已淘汰, 56KB/s)
2、ADSL拨号上网打电话互不干扰(提供上下行不对称的带宽,下行 8Mb/s ,上行 1 Mb/s)利用现有电话线成本低家庭和小型企业网络
3、无线接入适用于移动办公用户(带宽低、稳定性差,不安全)
4、光纤接入高速、稳定、安全(1000 Mb/s)安装复杂、成本高(大、中型企业)
5、Cable MODEM 利用有线电视的同轴电缆(信号不稳定,抗干扰能力差)(家庭和小型企业)
6、SDH 租用数字线路高带宽、抗干扰能力强、传输安全(用于两个对数据安全要求很高的节点间的数据传输)成本高
分离器:将高频的数字信号与低频的语音信号相分离,达到数据传输和语音通信互不干扰
Line 口:连用户电话线
Modem口:负责连接ADSL Modem
Phone 口:负责连接电话机
两种ADSL接入互联网方式:
专线接入:ISP会给用户分配一个固定的公网IP地址(成本高)
虚拟拨号:用户根据ISP所提供用户名和密码进行拨号,当通过验证时会随机获取一个动态的公有地址(成本低)
三、会部署无线局域网并保证安全
提高安全性的措施:
- 屏蔽SSID号(让用户无法搜索到SSID)
- 更改管理地址及用户名和密码(默认情况下管理地址和用户名密码都是固定)
- 要对无线进行设置密码
- MAC 地址绑定(只有绑定的MAC才能连接到无线网络)
(二)、无线AP的漫游
作用:实现网络的无线办公用户在区域内随意移动,而且能够提供持续的网络连接
所需条件:
- 各个AP 的SSID号和登录密码相同
- 相邻的AP不能使用相同的频段(要相差5 个频段)
- 管理地址一定不能冲突
- 尽量关闭无线AP的DHCP功能,让有线设备代替
第十章设备管理
本章结构
一、设备的本地管理
二、设备的密码设置及恢复
三、设备的远程管理
四、IOS的备份、恢复及升级
具体知识点
一、设备的本地管理
(一)、硬件概述
交换机的CPU:负责处理数据帧的转发工作(帧的封装、传输、同步等)
1、处理器
路由器的CPU:负责执行处理数据包的相关工作(路由发现、路由转发及做
出路由决定)
RAM:随机访问存储器,相当于计算机的内存,断电后数据丢失;负责运
行设备的IOS映像文件,以及当前未保存的配置文件(running-config)
ROM :只读内存;驻留了用于设备启动和维护基本功能所必须的微代码
2、存储器 (断电后数据也不会丢失)
Flash:闪存。相当于计算机的硬盘;负责存储设备的IOS映像文件(断电
后数据不会丢失)
NVRAM:非易失性随机访问存储器;负责存储启动配置文件(已经保存
的配置文件: startup-config)(断电后数据不会丢失,由内置电池供电)
(二)、设备的启动过程
1、加电自检(通电后对硬件做检查,确定所有部件能否正常工作)
2、装载自主引导代码(从ROM中调取设备启动所必须的微代码并加载)
3、查找IOS软件(查找设备的操作系统,一般情况下直接从Flash上查找)
4、装载IOS 软件(把IOS软件装载到RAM中运行)
5、寻找配置(从NVRAM寻找已经保存的配置)
(三)、常用的命令介绍
1、查看当前配置文件(未保存的配置)(running –config)
Router# show running-config= sh run
2、查看已经保存的配置信息(startup-config)
Router#show startup-config = sh star
3、保存当前配置文件
Router# write = wr = copy running-config startup-config
4、删除已经保存的配置
Router# erase NVRAM: = delete NVRAM:startup-config(真实设备)
Router# erase startup-config(模拟器)
二、设备的密码设置及恢复
(一)、配置Console 口密码
目的:避免恶意人员随意通过Console线管理网络设备,造成不必要的损失
配置命令: Router (config)# line console 0 (line con 0 )(进入Console口)
Router(config-line)# password 密码值(设置Console口密码)
Router(config-line)# login (激活)
(二)、设置特权密码(特权模式下,用户实现的功能比较强大,避免恶意用户随意进入特权模式,而设置的密码)
Router(config)# enable password 密码值(设置后立即生效)
注意:默认情况下所设置的密码都是以明文方式显示,可通过“sh run ”直接查看不安全
解决方法:Router(config)# service password-encryption(把明文密码加密显示)
直接设置加密的特权模式密码:
Router(config)# enable secret 密码值(该密码默认就是加密显示,二者如果同时设置,则Secret 密码生效)
注意:以上的密码设置适用于路由器和交换机
(三)、路由器的密码破解
原理:密码保存在启动配置文件中,只要让路由器在设备启动时不读取配置文件,进入设备就不需要密码(只要将路由器的配置寄存器值由 0x2102 改为 0x2142就会不读取启动配置文件)
破解步骤:1、重启路由器,按Ctrl + Break 键中断IOS的加载,路由器进入ROM Monitor 模式
2、将配置寄存器值改为 0x2142,在启动时就会忽略Startup-config文件
Rommom>confreg 0x2142
3、重启路由器
Rommom> reset (重启后进入路由器是无密码状态)
4、手动将配置文件加载到当前内存中的当前配置文件(running-config)(因为配置文件不只只有密码信息,还有其他的重要信息)
Router # copy startup-config running-config
5、重新给设备设置新的密码并保存新密码会生效
6、将配置寄存器值改回原值并保存
Router(config)# config-register 0x2102
7、下次启动时需要密码,并且新密码生效
(四)、交换机的密码破解
原理:交换机的密码保存在Flash中的config.text文件中;只要让设备在启动过程中不加载该文件即不会要求密码
具体操作步骤:
- 重启交换机按Mode键终止IOS的加载进入“Switch :”模式(专门做故障恢复的模式)
- 初始化Flash Switch :flash_init
- 将config.text文件改名
Switch:rename flash:config.text flash:config.aaa
4、重启,进入后为无密码状态 Switch:boot
5、将配置文件改回原名
Switch# rename flash:config.aaa flash:config.text
6、手动将配置文件加载到系统内存中
Switch# copy flash:config.textsystem:running-config
7、重新设置新的密码并保存,新密码生效,下次重新启动也需要密码
三、设备的远程管理
作用:实际应用中,不可能对网络的所有设备都使用Console口进行管理,为了方便网络管理员管理网络设备,可以对设备做相应配置,直接实现远程管理
具体步骤:
1、给设备配置管理地址
注意:交换机直接给VLAN1 设置地址即可(默认情况下交换机的所有接口都属于VLAN 1);
路由器直接设置接口IP地址即可
注意:如果要实现对不同网段交换机的远程管理,必须给交换机配置默认网关
Switch(config)#ip default-gateway 网关的IP地址
2、开启设备的远程功能,并配置设备的远程登录密码
VTY:虚拟类型终端,用来实现远程登录操作的终端,设备不希望非法用户登录,所以该VTY必须配置密码
Switch(config)# line vty 0 4 (同时打开本机器的 0 ~4 共5个虚拟类型终端,代表本设备同时允许5个人对其进行连接)
Switch(config-line)# password 密码值(配置远程登录密码)
Switch(config-line)# login (激活)
注意:如果要实现对设备的远程登录,不仅要设置远程登录的VTY密码,还要同时设置特权模式密码,否则能远程但是无法进入特权模式
四、IOS的备份、升级和恢复
IOS:互联网络操作系统,由Cisco公司开发用于管理Cisco网络设备的操作系统
IOS的命名规则:AAAAA-BBBB-CC-DDDD.EE
AAAAA:表示该IOS所适用的硬件平台
BBBB:是IOS的特性集(一共8个特性)
CC:表示IOS软件的运行方式和压缩格式
第一个 C代表其运行在哪个内存上: f 代表运行在Flash上; m 代表运行在RAM上;r代表运行在ROM上
第二个C代表其压缩格式:z 代表zip压缩; w 代表stac压缩
DDDD 代表其系统版本;
EE:代表其后缀(一般是.bin 的扩展名)
(一)、IOS的备份和升级
1、通过TFTP服务器备份IOS
具体步骤:
- 让本机用网线和设备相连,给设备配置和本机同网段的地址,保证双方可以相互通信
- 在本机上安装TFTP软件,本机成为TFTP服务器
- 在设备上进行操作
备份:在设备上执行命令:Switch# copy flash: TFTP(根据提示依次输入源IOS名称;目标主机IP地址即可,“回车”完成备份)
升级:需要在本机上准备高版本的IOS;在设备上执行命令
Switch# copy TFTP:flash
2、通过FTP服务器备份和升级
步骤:a、需要搭建FTP服务器,并设置登录用户名和密码;以及主目录
b、通过网线将设备和FTP相连,保证能相互通信
c、在设备设置登录FTP的用户名和密码(该用户名和密码要和FTP服务器上设置的相同)
Switch(config)# ip ftp username 用户名(设置登录用户)
Switch(config)# ip ftp password 密码值(设置密码)
d、执行备份和升级命令
备份: Switch# copy flash: FTP
升级:Switch# copy Ftp: flash (需要提前准备高版本的IOS放在目录中)
(二)、IOS的恢复
交换机的恢复:
- 交换机启动后加载IOS失败,发现设备不存在IOS,直接进入了Switch:模式
- 对交换机的IOS做初始化操作 Switch:flash_init
- 准备好完整的IOS文件,通过Xmodem协议传输IOS文件
Switch: copy Xmodem: flash:IOS完整的文件名回车执行;当设备配置界面不断出现“C”,说明设备做好接收IOS文件的准备
- 通过CRT软件的“传输”找到“发送Xmodem”找到“IOS的源文件”进行发送操作
- 等待传输完成
第十二章分析ARP攻击与欺骗
本章结构
一、攻击与欺骗的相关概述
二、ARP攻击与欺骗的防护
三、通过Sniffer 软件抓包分析ARP报文
具体知识点
一、攻击与欺骗的相关概述
(一)、ARP攻击
目的:让被攻击主机或被攻击网络无法进行正常通信
具体攻击行为:
- 攻击主机制造虚假的ARP应答给局域网中除被攻击主机外所有主机(ARP应答包含被攻击主机的IP地址和虚假的MAC地址)
- 攻击主机制造虚假的ARP应答给被攻击主机(ARP应答中包含除被攻击主机外所有主机的IP地址和虚假的MAC地址)
(二)、ARP欺骗
目的:不会使网络无法正常通信,而是通过冒充网关和其他主机让网关和主机间的通信流量经过攻击主机进行转发,从而获取机密信息
具体攻击行为:
- 攻击主机发送ARP欺骗给被攻击主机(ARP欺骗中包含网关的IP地址和攻击主机自己的MAC地址)
- 攻击主机发送ARP欺骗给网关(ARP欺骗中包含局域网中其他主机的IP地址和攻击主机自己的MAC地址)
二、ARP攻击与欺骗的防护
防护方法:
1、静态绑定MAC地址(主机上绑定)
Arp -s IP地址 MAC地址(方法一)
Netsh interface ipv4 set neighbors 接口编号 IP地址 MAC地址(方法二)
查看接口编号的命令:netsh interface ipv4 show neighbors
2、设备上绑定
路由器上绑定: Router(config)# arp IP地址 MAC地址arpa 接口名称
交换机上绑定: Switch(config)#arp IP地址 MAC地址 arpa 接口名称
- 通过安装ARP防火墙来抵御ARP攻击与欺骗
- 查找攻击主机
第一种情况:如果攻击主机使用的是真实的MAC地址进行攻击,可根据公司的设备登记表直接查到攻击主机
第二种情况:如果攻击主机使用的是虚假的MAC地址进行攻击,可通过命令查找到该虚假MAC地址所属的交换机端口,该交换机端口下所连接的设备就是攻击主机
Switch# show mac address-table address 虚假的MAC地址
第十三章虚拟局域网VLAN
本章结构
一、VLAN的基本概述和相关配置
二、Trunk的工作原理
三、以太网通道
具体知识点
一、VLAN的基本概述和相关配置
由来:随着网络规模的越来越大,网络中主机和设备数越来越多,网络中的广播流量也随之增加,会导致交换机的负担越来越重,最终可能导致交换机死机,整个网络瘫痪
物理分割:通过购买路由设备来控制广播流量(成本高)
解决广播风暴的方法
逻辑分割:通过VLAN的技术实现(利用现有的交换设备即可)
VLAN的定义:把一个大的网络划分成若干个小的虚拟局域网,通过VLAN的技术能控制网络中的广播风暴,增强网络安全性,方便管理员管理网络
静态VLAN:基于交换机的端口划分VLAN,灵活、方便管理(最常用的方法)
VLAN的种类
动态VLAN:基于MAC地址划分(限制了网络规模,不灵活,不方便管理)
VLAN的范围:
- 交换机最多支持4096 个VLAN,范围是0 ~ 4095之间;2960系列最多支持255个; 3560系列最多支持1024 个
- 系统保留的VLAN: 0 和4095,仅供系统使用,用户不能查看和使用
- Cisco的默认VLAN: VLAN1 ;默认情况下所有端口都属于VLAN1,用户能使用但是不能删除
- 用户可以创建和使用的VLAN: 2 ~1001 (可创建、使用、删除)
- Cisco的默认VLAN,用于FDDI和令牌环网络,用户不能删除: 1002 ~1005
- 系统保留,用户不能查看和使用: 1006 ~1024
- 扩展使用: 1025 ~4094
VLAN的基本配置
(一)、VLAN的创建
两种创建方法:
1、数据库模式创建VLAN
Switch# vlan database (进入数据库模式)
Switch(vlan)# vlanvlan的ID号 name 名字(创建VLAN并命名)(name 是可选项)
Switch(vlan)# exit (更新VLAN的数据库并退出)
Switch# show vlan brief (查看VLAN的配置信息)
2、全局模式创建
Switch(config)# vlanvlan的ID号(创建VLAN)
Switch(config-vlan)# name 名字(命名VLAN,该命令为可选项)
(二)、将接口加入VLAN
单接口加入VLAN:
Switch(config)# int f0/1 (进入1号接口)
Switch(config-if)# switchport mode access (将接口定义为二层接入模式)
Switch(config-if)# switchport access vlanvlan的ID号(将接口加入该VLAN)
多个连续接口加入同一个VLAN:
Switch(config)# int range f0/5 – 10 (同时进入5 ~10 号接口)
Switch(config-if-range)# switchport mode access (把5~10号接口都变成access模式)
Switch(config-if-range)#switchport access vlanvlan的ID号(将这几个接口同时加入一个VLAN)
(三)、VLAN的删除
1、数据库模式删除Switch(vlan)# novlanvlan的ID 号
2、全局模式删除 Switch(config)# no vlanvlan的ID号
3、将接口从VLAN上移除: Switch(config-if)# no switchport accessvlanvlan的ID号(默认情况下,该接口又属于VLAN1)
注意:将接口恢复至默认配置
Switch(config)# default int接口的编号(在PT模拟器上不支持,真实设备支持)
二、Trunk的工作原理及相关配置
Trunk 链路的作用:用来实现交换机间VLAN的数据通信的
Access链路(接入链路):只能属于一个VLAN,一般用于连接设备和主机
两种链路
Trunk 链路(中继链路):可以承载所有VLAN的通信量(用来连接设备和设备间的)
ISL :思科私有标识(只适用于Cisco交换机,一共封装26 字节头部+4
Vlan的标识字节尾部)
IEEE 802.1q:公有的标识适用所有厂商产品(只占4个字节长度)
Native VLAN:兼容不支持VLAN的标识的交换机的混合部署(允许在交换机的Trunk链路上转发未被标记的数据帧)(注意:交换机上的Native VLAN 一定要相同)
Trunk的模式:
- Access 接入模式:接口永久为接入模式
- Trunk模式(中继模式):接口永久为中继模式
- 动态期望(Desirable)(主动模式):主动尝试成为Trunk
- 动态自动(auto)(被动模式):允许变成Trunk但不主动
- 非协商(Nonegotiate):不会产生协商的DTP帧,如果对方满足我的条件就能成功,对方不满足就永远不可能协商成功
总结:1、只要有一个接口是Access 状态,双方肯定不能协商成功为Trunk
2、两个接口都为被动模式,肯定不能协商成为Trunk
3、在实际配置过程中直接将双方接口配置为Trunk模式是最优方案
Trunk的配置
- 选择封装类型
Switch(config-if)# switchport trunk isl(私有)/ dot1q(公有) /nonegiate(二层交换机上不需要配置该命令,三层上需要)
- 配置接口模式
Switch(config-if)#switchport mode desirable(主动)/ auto(被动)/ trunk(中继)/access (接入)(实际应用中直接配置为Trunk即可)
- 指定Native VLAN的命令(默认的Native VLAN为VLAN1)
Switch(config-if)# switchport trunk nativevlanvlan的ID号
- 在Trunk链路上移除或添加某个VLAN
Switch(config-if)#switchport trunk allowed vlan remove(移除)/ add (添加)vlan的ID号
三、以太网通道的原理及配置
定义:通过捆绑多条链路变成一条逻辑链路,可以提高链路带宽,增加链路的可靠性,实现负载均衡(一条链路损坏不影响其他链路的正常通信)
创建以太网通道需要满足的条件:
- 最多能捆绑8 条链路
- 捆绑的传输介质可以是双绞线也可以是光纤
- 参与捆绑的端口必须属于同一个VLAN,物理参数必须相同(速率、双工模式必须相同)
- 如果一个端口是中继模式要求所有端口都是中继模式(都是Access模式也可以)
配置(需要选择交换机的连续接口)
1、进入参与捆绑的接口
Switch(config)#int range F0/1 - 4 (同时进入1~4 号接口)
2、配置以太网通道
Switch(config-if-range)# channel-group 组号 mode on (把这几个接口同时加入一个组,交换机间的组号应该相同)
3、查看以太网通道的配置
Switch# show etherchannel summary
第十三章 单臂路由
本章结构
一、单臂路由的概述和相关的配置
二、在路由器上实现DHCP功能
具体知识点
一、单臂路由的概述和相关的配置
(一)、单臂路由的作用:实现交换网络中不同VLAN间的数据通信
(二)、实现过程中需要把握的关键点:
1、链路类型: a、设备和设备间应该是Trunk链路(需要承载整个网络中所有VLAN)
b、设备和终端间应该是Access链路(终端只属于一个VLAN)
2、子接口:依托于物理接口存在,是在物理接口上所划分的逻辑接口,封装一个子接口就属于一个VLAN(物理接口故障,子接口随之故障)
(三)、配置
1、配置链路类型
2、封装VLAN的标签并配置IP地址
Router(config)# int F0/0.1 (进入F0/0物理接口的第一个子接口)
Router(config-subif)#encapsulation dot1q VLAN的ID号(将该子接口封装为该VLAN)
Router(config-subif)# ip add IP地址子网掩码(给子接口配置IP地址,该地址即是该VLAN的网关地址)
注意:一定要开启物理接口,子接口才会随之开启
二、在路由器上实现DHCP功能
1、定义DHCP地址池,开启DHCP服务
Router(config)# ipdhcp pool 地址池名称
2、定义动态分配的网段
Router(dhcp-config)# network 网段地址子网掩码
- 定义默认网关地址
Router(dhcp-config)# default-router 网关的IP地址
- 定义DNS服务器地址
Router(dhcp-config)# dns-server DNS服务器IP地址
5、定义地址的租期时间
Router(dhcp-config)# lease 天数(PT模拟器上不支持该命令)
6、预留静态分配的IP地址
Router(config)# ipdhcp excluded-address 开始地址结束地址(也可是一个唯一地址)
第14章 VTP的原理及配置
一、VTP的工作原理及相关配置
(一)、VTP的定义:虚拟局域网中继协议,通过在交换机上启用VTP协议后,交换机间可以互相传递VLAN的信息,实现从一点去维护整个网络上VLAN的添加、删除、重命名等操作,从而实现VLAN的统一管理和配置
(二)、组成VTP域环境的条件
1、VTP的域名得相同
2、交换机间得用Trunk链路相连(传递所有VLAN的信息)
3、如果VTP域配置了密码,要求密码也得相同
(三)、VTP的三种模式
服务器模式(Server):默认情况下,所有交换机都处于该模式,可以创建、删除、修改VLAN的信息,能学习和转发同域名的VLAN信息
客户机模式(Client):不能创建、删除、修改VLAN的信息,但是可学习和转发同域名的VLAN信息
透明模式(Transparent):能创建、删除、修改VLAN的信息,但只在本机生效;能传递但不学习同域名的VLAN信息
(四)、VTP通告
通告信息包括:管理域名、版本号、配置修改编号、所知道的VLAN及已知VLAN的某些参数
配置修改编号:表明VTP的配置修改版本,编号从0 开始到2 32结束,VLAN信息每发生一次更改就加1;配置修改编号越高,代表其优先级越高
注意:新加入到网络中的交换机配置修改编号一定要重置为0,为避免新加入的交换机配置修改编号高于稳定的网络环境中的交换机,导致网络混乱
1、将其改为透明模式,再改回服务器或客户机模式
重置为0 的方法
2、更改该交换机的域名
1、汇总通告:通知邻接交换机当前的VTP域名和配置修改编号(每5
分钟发送一次)
VTP通告类型 2、通告请求:a、交换机重启后 b、域名变更后 c收到配置修改编
号比自己高的汇总通告后
3、子集通告:通告详细的VLAN列表信息和相应VLAN
VTP修剪:能减少中继链路上不必要的广播流量
注意:通过命令在Trunk链路上移除不存在的VLAN也可以减少不必要的广播流量
Switch(config-if)# switchport trunk allowed vlan remove VLAN的ID号
(五)、VTP配置
1、配置VTP域名Switch(config)# vtp domain 名称
2、修改VTP模式 Switch(config)# vtp mode Server / client /Transparent
3、配置VTP密码 Switch(config)# vtp password 密码值
4、查看VTP密码 Switch# show vtp password
5、开启VTP修剪功能 Switch(config)# vtp pruning (PT 上不支持)
6、配置VTP的版本(支持版本1 和版本2 ,默认是版本1)
Switch(config)# vtp version 版本号
7、查看VTP的配置信息
Switch# show vtp status (详细掌握VTP的配置信息)