网络思科笔记
思科笔记
网络
什么是计算机网络?
通过传输介质和网络设备将多台计算机连在一起实现资源共享和信息传递就是计算机网络。
作用:资源共享、信息传递、提高处理能力、增加可靠性;
计算机的组成:计算机之间沟通的语言—–协议、传输介质、网络设备;
| 人:沟通 | 用语言 | 空气 | 设备 |
|---|---|---|---|
| 电脑:沟通 | 用协议 | 传输介质 | 网络设备(交换机、路由器、VPN) |
网络起源:网络的前身是美国国防部高级研究计划局用于军事目的的通信网络。20世纪60年代末,正处于冷战时期。当时美国军方为了自己的计算机在受到袭击时,即使部分网络被摧毁,其余部分仍能保持通信联系,便由美国国防部的高级研究计划局建设了一个军用网,叫做‘阿帕网’。
常见的网络设备有:
设备、 交换机 、路由器、 防火墙、 网络服务器;
VPN:(虚拟专用网络)VPN是虚拟出来的企业内部专线,通过特殊加密的通讯协议,建立一条专业的通讯线,就像架设了一条专线,但不需要真正去铺设光缆之类的物理线路;
VPN被定义为通过一个公用互联网建立一个临时的安全的连接,是一个穿过混论的公用网络的安全稳定隧道。
交换机:(又名交换式集线器),它的作用理解为:将一些机器连接起来组成一个局域网。
路由器:
通信标准和协议
协议是一组控制数据通信的规则和约定;
标准是数据通信中遵循的特定的规章和准则。
协议可以是自己私下定义的,而标准需要有一个具有公信力的官方组织公开发布并得到大家的支持和拥护。
协议:计算机之间沟通的语言;标准:大家一致遵循的协议;
协议三要素
语法、语义、同步;
局域网标准
IEEE 802.3 有线局域网标准 以太网协议
IEEE 802.11 无线局域网标准
以太网是一种局域网通信协议,是当今现有局域网采用的最通用的标准;以太网主要有两种传播介质,网络传播介质是指在网络中传输信息的载体,常用的传输介质分为有线传输介质和无线传输介质两大类。
有线传输介质
有线传输介质主要是双绞线和光纤,同轴电缆;
双绞线分类:屏蔽和非屏蔽,屏蔽用于室外抗干扰能力强 非屏蔽用于室内。
双绞线线序
双绞线有两种线序:
一种是568B:白橙、橙、白绿、蓝、白蓝、绿、白棕、棕;
另一种是568A:白绿、绿,白橙,蓝、白蓝、橙,白棕、棕;
跳线分类:
标准线:连接不同种设备;
交叉线:连接同种设备(路由器和电脑连接用交叉线)
全返线:用于配置交换机和路由器;
局域网、广域网、互联网
| 范围 | 传输速率 | 拓扑结构 | |
|---|---|---|---|
| 局域网 | 通常指一个建筑物或者校园内部的计算机网络,覆盖范围较小; | 传输速率很快,几千兆每秒; | 星型拓扑 |
| 广域网 | 覆盖范围较广,比如全球互联网; | 速率相对较慢,几十兆每秒; | 拓扑结构比较复杂 |
| 城域网 | 树型结构或网状拓扑 |
网络拓扑结构
| 简介 | 结构特点 | 网络特点 | 适用于 | |
|---|---|---|---|---|
| 总线型 | 所有设备连接到一条连接介质上 | 1.结构简单,可扩充性好;2.使用的设备相对简单,可靠性高; | 1.网络因为各节点是总线带宽的,传输速度会随着接入网络的用户的增多而下降;2.一次仅能一个用户发送数据,其他用户必须等待; | |
| 星型 | 以中央节点为中心, | 适用于局域网 | ||
| 环形 | 通过通信网络组成闭合回路,环中数据只能单向传输; | |||
| 树型 | ||||
| 网状 | ||||
| 混合型 |
云计算
什么是云计算
1.什么是云计算?
通过网络想用户或者企业提供灵活、有弹性的计算资源本地化体验的远程服务;
2.云计算提供的三种服务:
IaaS 基础设施即服务
PaaS 平台即服务
Saas 软件即服务
网络七层模型和tcp/ip五层应用
网络模型相关概念
模型:将不易直接拿来研究的事务,做成简化或者缩小版本的类事务;
ISO 国际化标准组织
OSI 开放式系统互联,由国际化组织提出,一个试图使用计算机在世界范围内互联为网络的标准框架。
网络七层模型
应用层:提供给用户一个接口,一般指应用软件,命令行界面;
表示层:实现用户数据到电脑识别的二进制之间的转换,包括加密和解密;
会话层:保证和实现双方通信的同步,确定是否需要网络传递还是本地保存;
传输层:主要通过端口号,实现进程之间的同步,让数据找到对应的服务;分组(发送时)、组装(接受时),提供传输协议的选择,端口封装,差错校验;**
网络层:实现到目标网络的寻址,可以选择最佳路径;IP地址选址;路由选择
数据链路层:通过物理地址实现目标主机的寻址;
物理层:考虑用哪种物理信号来传递数据;
TCP/IP的体系结构:
应用层、运输层、网际层、网络接口层;
五层协议的体系结构:
| PDU | 对应的设备 | 主要协议 | |
|---|---|---|---|
| 应用层 | 数据data | 计算机 | http(80),SMTP(25),telnet(23),ssh(22),ftp(21) |
| 传/运输层 | 数据段segment | 防火墙 | TCP传输控制协议,UDP用户数据包协议 |
| 网络层 | 数据包packet | 路由器 | IP网际协议,ICMP网络控制报文协议,ARP地址解析协议,IGMP互联网组管理协议,RARP逆地址解析协议 |
| 数据链路层 | 数据帧frame | 交换机 | PPP PPPOE |
| 物理层 | 比特流 | 网卡 | X5 X.25 |
封装、解封装过程
封装:
应用层,传输层:原始数据转化为二进制数据(表示层)应用层将数据交给传输层,传输层添加上tcp头部,这个数据单元称为数据段,加入控制信息的过程称为封装,然后,将数据交给网络层;
网络层:网络层接收到数据段,再加上ip头部,这个数据单元称为数据包。然后数据包交给数据链路层;
数据链路层:接收到数据包,再加上MAC头部和尾部,这个数据单元称为数据帧,然后将数据帧传给物理层;
物理层:二进制组成的比特流(0,1)转化为电信号在网络中传输;
解封装:
物理层:将电信号转化为二进制数据,并将其送至数据链路层;
数据链路层:查看MAC地址,地址是自己就拆掉MAC头部,继续传输;地址不是自己就丢弃数据;
网络层:*查看IP地址,地址是自己,就拆掉IP头部,继续传输,地址不是自己,就丢弃数据;
传输层:查看TCP头部,判断应该传到哪里,然后重组数据,传输到应用层;
应用层:二进制转化为原始数据;
数据链路层原理
数据链路层的功能:物理地址的寻址,数据帧的界定和同步;差错恢复和流量控制;
MAC地址特点:48位;全球唯一;
MAC地址和IP地址有什么区别?
| MAC地址 | IP地址 | |
|---|---|---|
| 地址长度: | 48位,通常表示为12个16进制; | 32位 |
| 寻址协议层的区别 | 数据链路层 | 网络层 |
| 分配依据不同 | MAC的分配是制造商 | IP地址的分配是基于网络拓扑 |
数据链路层以太网帧格式
目的地址:传输对端主机或者设备的mac地址;
源地址:自己的mac地址;
类型:标记上层协议的类型;
数据:网络层传递的数据包;
帧校验:用来实现差错恢复;
交换机
交换机原理:
学源地址,对未知帧广播;
交换机 通过MAC地址表转发消息
交换机通过学习源MAC地址获得MAC地址表记录;
对于未知目标的帧,通过广播方式获得;
交换机双工模式和接口速率:
速率(speed)——需要相匹配
双工模式(duplex):
单工 (喇叭 (单向的)
半双工half(对讲机)
*全双工full*(手机 双向互不影响)
设备之间数据传输需要双工模式和速率都匹配;
交换机的配置连接和命令行模式:
配置方式:新设备使用console线连接电脑,用电脑的终端软件配置
设备连网后可以配置远程 ,通过电脑命令行使用telnet命令配置
命令行模式:
switch> 用户模式:权限低,可以查看用户统计数据;
switch# 特权模式:管理模式,可以查看全局所有配置和系统版本等
swith(config)# 全局配置模式,可以修改主机名,配置远程vlan
switch(config-if)# 接口模式:配置接口速率,加入vlan等;
交换机基本命令
基本命令:
en(enable) //进入特权模式
conf t (configure terminal) //进入全局配置
exit //退出当前模式
int f0/1 //进入f0/1接口
int //表示接口 interface
f //表示快速以太网口 fastethernet(速率百兆口)
0/1 表示 0模块 1接口
主要配置命令
*特权模式下命令*
show ver //查看版本号****
Show run //查看所有配置****
show-address-table //查看mac地址表****
*全局配置下命令*
hostname +新主机名 //查看主机名****
配置网关 开启远程 远程地址等****
*接口模式下*
speed 10 //修改速率\
dulplex full //修改双工*
Vlan
1.广播域:能够接收到广播消息的局域网范围
分割广播域的方法:
物理分割和逻辑分割
物理分割:通过路由器来分割局域网
逻辑分割:在交换机上创建虚拟局域网
-
什么是虚拟局域网 以及虚拟局域网的优点
虚拟局域网 vlan,通过交换机命令逻辑划分的局域网
优点: 控制广播域 提高安全性 方便管理
-
vlan的分类
静态,在交换机上创建vlan 将连接对应电脑的交换机接口加入到所在vlan
动态,交换机上创建vlan 将对应电脑的mac地址绑定到对应的vlan
4.静态vlan的配置
第一步,创建vlan 在交换机全局模式下 直接创建vlan 10
第二步,进入接口,将接口加入到对应的vlan,
查看vlan信息的 show vlan brief
trunk 中继链路和access接入链路
*trunk中继链路,允许所有vlan通过,可以实现 同一个vlan跨交换机通信
交换机和交换机连接的接口需要配置,配置命令 sw mo tr
*access 接入链路 只允许一个vlan通过
单臂路由,及作用
单臂路由:通过路由器设备,实现 不同vlan之间的通信
实现方式:将路由器的物理接口 逻辑上划分多个子接口,每个子接口配置各自的封装 和对应的网关地址。
作用:实现不同vlan的通信
配置方法:1.打开物理接口
int f0/0
no sh
-
配置并进入子接口
Int f0/0.1
-
配置封装方式和网关地址
en do 10
ip add 网关地址 子网掩码
相邻子接口可以这样宣: int range f0/1 - 2
IP地址
IP地址:是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一个主机分配一个逻辑地址,以此来屏蔽物理地址的差异;
表示方法:点分十进制的方法表示;
IP地址的分类
IP地址的分类:
网络部分和主机部分;
A类:1-126** **A类地址分配给规模特别大的网络使用。****
A类地址的表示范围为:****1****.0.0.0~126.255.255.255,默认网络掩码为:255.0.0.0;****
可用的A类网络有127个,(2的24次方减2)每个网络能容纳16777214个主机。其中127.0.0.1是一个特殊的IP地址,表示主机本身,用于本地机器的测试。
B类:128-191
B类地址分配给一般的中型网络****
B类地址的表示范围为:128.0.0.0~191.255.255.255,默认网络掩码为:255.255.0.0;
C类:192-223
C类地址分配给小型网络,如一般的局域网和校园网,
C类地址的表示范围为:192.0.0.0~223.255.255.255
网络地址的最高位必须是“110”。范围从192.0.0.0到223.255.255.255。C类网络可达209万余个,每个网络能容纳254个主机。
D类:224-239
E类:240-255 科研
私网地址
A类 10.0.0.1--10.255.255.255
B类 172.16.0.0---172.31.255.255
C类 192.168.0.0---192.168.255.255
子网掩码
32位的二进制对应IP地址的网络部分用1来表示,主机部分用0来表示。
A类默认子网掩码:255.0.0.0
B类默认子网掩码:255.255.0.0
C类默认子网掩码:255.255.255.0
ARP地址解析协议
地址解析协议:将一个主机的IP地址解析为自己的mac地址
arp协议的运行机制
1)源主机首先发送arp请求包,通过交换机广播到局域网,请求包中 包含目标主机的ip地址
2)目标主机收到请求包,正常回应一个arp回应包给源主机,包含自己的mac地址和ip地址
网络层的主要功能
定义IP地址格式、封装数据包、实现IP地址选址、选择最佳路径;
路由器
路由器:是连接两个或多个网络的硬件设备,在网络间起网关的作用;
路由:是指计算机网络种选择数据包传输的路径的过程。这涉及决定数据包从源设备到目标设备的路由路径,以确保数据包能够在网络中正确到达目的地。路由过程依赖于路由表,路由表记录了网络中可用的路径和下一跳路由器的信息。当数据包进入路由器时,路由器会根据目标IP地址查找路由表,然后将数据包转发到适当的下一跳路由器或目标设备。
路由器的工作原理:
1.路由器通过路由表来转发数据
2.路由器由直连路由和非直连路由形成
3.对于未知目标的数据包丢弃
路由表的形成:
直连 路由器接口直接连接的网段
非直连 路由器没有直接连接的其他网段
静态路由和默认路由及配置:
直连路由 路由器接口地址配置后打开 直接获得路由信息
非直连 通过静态配置或者动态路由协议来自动获得
静态路由
静态路由配置:
ip route 目标网段 子网掩码 下一跳地址
查看路由表命令:show ip route
动态路由
动、静态路由区别
静态路由和动态路由时网络中用于管理和转发数据包的两种主要技术,他们的主要区别在于路由信息的配置方式和更新机制。
| 静态路由 | 动态路由 | |
|---|---|---|
| 特点 | 由网络管理员手动配置的路由信息 | 能够自动适应网络拓扑变化的技术,可以根据网络的变化动态调整路由表; |
| 适用范围 | 简单且稳定的环境 | 动态路由通常适用于网络规模较大或拓扑结构经常变化的环境,如大型企业网络或互联网 |
| 优点 | 易于管理和维护 | |
| 缺点 | 它们不能自动适应网络拓扑的变化,当网络结构发生变化时,可能需要手动重新配置路由 | 动态路由的配置通常对用户要求较高,并且可能会占用一定的网络资源和系统资源 |
路由重分发
将其他动态路由协议获得的路由信息重新分发到使用自己协议的网络中;
当网络中有多种路由协议,并且某个路由器配置了多个路由协议的情况下需要重分发路由;
重分发路由的种类:
-
将ospf动态由信息重新分发到rip中
-
将rip动态路由信息 重新分发到 ospf中
-
将默认路由 重新分发到 ospf中
-
将直连和静态 重分发到ospf中
路由重分发命令配置在拥有多种路由协议的单台路由器上
重分发命令:
ospf 中重分发默认路由
R1(config)#router ospf 1
R1(config-router)#default-information originate //ospf中重分发默认路由
*ospf 中重分发rip*
R2(config)#router ospf 1
R2(config-router)#redistribute rip subnets //ospf 中重分发rip路由****
*rip 中重分发ospf*
R2(config)#router rip
R2(config-router)#redistribute ospf 1 metric 3 //rip 中重分发ospf路由****
*ospf 中重分发静态和直连*
R3(config)#router ospf 1
R3(config-router)#redistribute static subnets /ospf中重分发静态路由
R3(config-router)#redistribute connected subnets //ospf中重分发直连路由
子网划分
子网划分----解决地址浪费(划分公网地址,例如移动、联通会划分)
子网划分的概念和原因
概念:子网划分,将一个A类或者B,C类地址划分成若干个子网,为了解决地址不足,有效利用地址。
子网划分的原理:
借一个或者数个主机位为网络位,
借位的部分叫做子网位,子网位决定划分多少个子网
借位后剩余的主机位决定每个网段的有效主机数
划分子网后的子网的网段地址,网络位不变 主机位全为0
划分子网后的子网的广播地址,网络位不变 主机位全为1
子网掩码,网络位为1 主机位为0
习题讲解:
c类 地址共有254地址可以用
网段地址/网络id:192.168.1.0
广播地址:192.168.1.255 发广播用;
等位划分(每个网段数 相同):
例1:192.168.1.0/24 划分为两个网段----借一位
第一部分:1100 0000 1010 1000 0000 0001 0 /000 0000 --192.168.1.0/25
网络位 主机位
0111 1111 ---- 192.168.1.127/25
子网掩码:1111 1111 1111 1111 1111 1111 1000 0000-----255.255.255.128
取值范围:192.168.1.1---126
第二部分:1100 0000 1010 1000 0000 0001 1 000 0000 --192.168.1.128
1111 1111 ---- 192.168.1.128/25
取值范围:192.168.1.129---254
子网掩码:1111 1111 1111 1111 1111 1111 1000 0000-----255.255.255.128
ACL
acl 访问控制列表(ACL技术在路由器中被广泛采用)
概念和作用
可以控制访问具体的源和目标
分类:
标准acl、扩展acl、命名acl
标准acl(1-99,标准acl的编号):只检测源地址或者源网段 来决定允许或者拒绝(nat会用到)
扩展acl(100-199,扩展acl的编号):可以检测源地址、 目标地址、 源端口、 目标端口、 协议, 来决定允许或者拒绝
命名acl:给acl起名字,方便维护和修改管理
检查条件:源IP,目标IP,源目标端口号,协议
匹配规则:(自上而下去匹配,匹配上就执行,不去看后面;最后一条默认拒绝。一个口只能用一条规则,后面的会应用上前面的会被覆盖);
1.自上而下逐一匹配acl条目;
2.匹配到就按规则执行,执行完毕后不再向下匹配;
3.如果acl列表中没有匹配的规则,默认拒绝;
应用方向:对于一个接口,数据流量有入口和出口之分;
一个接口的一个入口或者出口只能应用一次acl规则;
配置:标准acl配置步骤
第一步:写acl规则
access-list 1 permit 源地址/源网段 子网掩码的反码
例:access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit any //允许所有
第二步:将规则应用到 接口的出口或者入口
iP access-group 1 in /out
ip access-group 1 out
关键字 host 表示主机
any 表示任意网段
access-list 1 permit host 主机地址 //允许主机访问
access-list 1 deny 网段地址 子网掩码反码 //拒绝网段
access-list 1 permit any //允许所有
access-list 1 deny any //拒绝所有
NAT 网络地址转换
概念:nat 网络地址转换
作用:将局域网或者公司内部的私网地址转换为公网地址,以便访问互联网;
优点:节省公网地址,缓解IPv4地址不足;
使公司网络配置更灵活;
支持地址重叠;
缺点:有些诸如视频会议等应用不支持地址转换
nat的实现方式
1.静态地址转换【一对一,一般用在公司内部服务器被外网访问】,例:公司内部的服务器,让别人访问你时,转换成外网地址)静态端口映射
2.动态地址转换【多对多】
3.pat基于端口的地址转换【多对一,一般用在公司内部员工电脑访问外网】(常用,例:多个地址转出去只有一个公网地址,公司内部访问互联网)
nat术语和转换表
内部局部地址 就是私网地址
内部全局地址 就是转换之后的公网地址
转换表,标准列表和扩展列表
nat配置的三步走,
首先 配置nat的路由器上 配置默认路由,下一跳为外网接口
其次 配置动态或者静态nat或pat 端口映射
最后 在内接口和外接口应用nat
内接口:ip nat inside
外接口:ip nat outside
补充:Isp网络服务提供商(电信 联通 移动)
静态nat转换配置和静态端口映射
Ip nat inside source static 私网地址 公网地址
动态nat转换配置
配置acl包含需要转换的网段 access-list 1 permit 网段地址 子网掩码 反码
配置nat地址池包含 若干公网地址
动态nat
动态nat转换配置(记得配默认路由IP route 0.0.0.0 0.0.0.0 下一跳地址)
1.配置acl包含需要转换的网段
access-list 1 permit 网段地址 子网掩码 反码
access-list 1 permit 192.168.1.0 0.0.0.255
2.配置nat地址池包含 若干公网地址
iP nat pool 地址池名字 起始地址 结束地址 netmask 子网掩码
例: iP nat pool abc 202.106.0.10 202.106.0.20 netmask 255.255.255.0
3.配置 ip nat inside source list 1 pool 地址池名字 overload
例:IP nat inside source list 1 pool abc overload
4.加入内/外接口
Int f0/1
ip nat inside/outside
pat基于端口的地址转换 映射配置(端口复用)
【补充:端口地址转换(PAT,Port Address Translation)是对网络地址转换(NAT)的扩展,它允许本地网(LAN)上的多个设备映射到一个单一的公共IP地址。端口地址转换旨在保存IP地址。】
1.配置acl包含需要转换的网段
access-list 1 permit 192.168.1.0 0.0.0.255
2.复用外网接口iP nat inside source list 1 int f1/0(外接口出口) overload
Ip nat inside source list 1 int f0/0 overload
3.加入内接口
Int f0/1
ip nat inside
###
防火墙
【补充: 防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。】
防火墙的发展历程
包过滤防火墙【acl控制列表】
状态化防火墙
tcp协议 , syn 同步
(三次握手) ack 确认
fin 结束
跳过防火墙,可以访问不能访问的网站【虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。】
*应用型防火墙
防火墙的安全算法和算法原理
状态化防火墙的安全算法
算法原理:三项基本操作
访问控制列表
连接表
检测引擎(状态和应用层检测)
思科防火墙多区域:
内网区域(安全级别 默认100) Inside
外网区域(安全级别 默认0) outside
非军事化区域(安全级别 默认50)【 dmz(主要是放服务器的区域)】
*实例:非军事化区域 改级别
ciscoasa(config-if)# nameif dmz
提示:INFO: Security level for "dmz" set to 0 by default.
ciscoasa(config-if)# security-level 50
*优先级别:高级别可以访问低级别
多区域访问规则: 内网可以访问外网和dmz区域
外网不能访问内网和dmz区域
dmz 区域可以访问外网 不能访问内网