NCRE计算机三级——网络技术备考全笔记

NCRE计算机三级——网络技术备考全笔记

网络系统结构与设计的基本结构

宽带城域网的结构

• “三个平台，一个出口：管理平台，业务平台，网络平台和城市宽带出口”
  
• 用户接入层：解决用户 “最后一公里” 的作用，主要用来连接客户的

和用户接入有关的东西 （用户接入和本地流量控制） 基本上都是接入层的功能

• 边缘汇聚层：①汇聚接入层的用户流量，进行数据分组传输的汇聚转发交换。
  ②根据汇聚层接入层的用户流量，进行本地路由，过滤，流量均衡，QoS优先级管理，以及安全控制，IP地址转换，流量整形等处理;
  ③根据出来结构，把用户流量转发到核心交换层或本地进行路由处理。（承上启下）

核心层和接入层压根不接触，而通过汇聚层进行数据交换，转发，以及呈交接入层的工作基本都是汇聚层的工作

• 核心交换层：①将多个汇聚层连接起来，为汇聚层网络提供高速转发，为整个城域网提供高速安全，且具有QoS保证能力的数据传输环境。
  ②实现与主干网的互联，提供城市的带宽IP数据出口
  ③提供宽带城域网用户访问Internet所需路由服务。

与汇聚层交互，提供城市IP数据出口，提供Internet路由服务。是高层

管理和运营宽带城域网

网络管理

带内网络管理

利用传统电信网络，如数据通信网（DCN）或公共交换电话网（PSTN）拨号，对网络设备进行数据配置。

带外网络管理

指利用IP网络及协议进行网络管理，它利用简单网络管理协议（SNMP）建立网络管理系统，实时采集网络数据

同时使用带内带外的网络管理原则：对汇聚层以下采用带内管理，对汇聚层及以上的设备采用带外管理

QoS（Quality of Service服务质量）

主要表现在延时，抖动，吞吐量，丢包率几个方面

• 目前宽带城域网保证QoS的要求技术有：资源预留（RSVP）Resource ReSerVation Protocol，区分服务（DiffServ），多协议标记交换（MPLS）​​Multiprotocol Label Switching
  以及为了解决IP地址不足的问题，使用内部专用IP地址与网络地址转换（NAT） 技术，只为宽带城域网的关键设备与特殊用户分配固定的公用IP地址。

构建宽带城域网

10G Ethernet（光以太网）技术

可运行光以太网的设备和线路必须要符合电信网络 五个九99.999% 的高运行可靠性并具备
①可根据终端用户实际需求分配带宽
②具有认证和授权功能，用户访问网络资源必须经过认真授权
③支持VPN和防火墙，保证网络安全
④支持MPLS（多协议标签交换），有一定的服务质量保证，提供分等级的QoS网络服务
⑤提供计费功能，及时获得用户上网时间和流量记录
⑥方便扩展

RPR弹性分组环

是一种直接在光纤上高效传输IP分组的传输技术

• 双环结构：均可以用于传输和控制分组
• 外环（顺时针），内环（逆时针）
• RPR有自愈环功能，可以在50ms的时间内隔离故障节点和光纤段
• 两个RPR节点间的裸光纤最大长度为100km
• 每一个节点都执行SRP公平算法
• 在RPR环中，源节点向目的节点成功发送的数据帧要由 目的节点 从环中回收
• RPR用统计复用的方法传输IP分组

网络接入技术（也称宽带接入技术）

数字用户线xDSL接入技术

x表示类型，xDSL技术根据上行和下行的速率分为速率对称型和速率非对称型（在我们学习的内容中仅有HDSL对称）

ADSL技术特点

• 可利用现有的用户电话铜双绞线，以重叠，不干扰传统模拟电话业务的方式即普通电话业务（POTS）方式提供高速数字业务
• 该技术与本地环路实际参数以及用户电话铜双绞线特性关系都不大，不需要重新铺设电缆
• 上行速率在64-640kbit/s，下行速率在500kbit/s-7Mbit/s（与前表格不冲突，这个说的是在距离可变的情况下的速率区间）

词语	传输方向	典型应用场景
下行速率	从网络到用户设备	下载文件、视频、加载网页
上行速率	从用户设备到网络	视频直播、上传照片、发送大邮件

光纤同轴电缆混合网HFC（是多用户共享带宽）

• HFC由有线电视头端，长距离干线，放大器，馈线和下引线组成。
• HFC是经过双向改造的有线电视网络，是双向传输系统，用户通过有线电视网宽带接入Internet
• HFC使用Cable Modem把用户计算机和有线电视同轴电缆连接，数据传输速率可达10-36Mbit/s
• Cable Modem（电缆调制解调器）利用 频分复用 的方法将信道分为上行信道和下行信道，把 用户计算机 与 有线电视同轴电缆 连接起来
  

光纤接入技术（并非无线，光纤接入）

无源光纤网（PON Passive Optical（与光有关的） Network）标准化分类 （一级OC为：51.84Mbps）

• OC-3其实就是3x一级OC的速率，而OC-3是对称业务
• 上行OC-3和下行OC-12其实速率值也是直接相乘
• 传输介质可以是一根或两根单模光纤，双向传输通过波分复用WDM实现
• APON（宽带无源光网络）是ATM PON简称，ATM是基于信元的传输协议
• OC-x速率为51.84xMbps

ATM​​ 指的是 ​​异步传输模式（Asynchronous Transfer Mode）​​

光纤传输系统的中继距离可以达到100km以上

无线接入技术

• 802.11标准的无线局域网接入技术（WLAN，WIFI），针对近距离传输
• 802.16标准的无线城域网技术（WiMAX），针对远距离传输
• Ad hoc（无线网格网WMN）技术
  EEE802.11标准的重点在解决局域网范围的移动节点通信问题
  
• 802.11a提高速率到54Mbit/s

而IEEE802.16标准终点解决 建筑物之间的数据通信（建筑所以多为固定节点） 问题

• 802.16采用全双工，宽带通信方式
• 建立了无线网络使用更高毫米波的10-66GHz
• 与802.16标准工作组对应组织为WiMAX，最高速率134Mbit/s

特殊题目

中小型网络总体规划和设计

核心层网络结构设计：技术标准主要是GE/10GE，核心设备时高性能交换路由器，整个 网络流量的40%-60% 都需要由核心层网络承担

• 这种方法的核心路由器的流量压力大，因为被所有的服务器连接

• 当交换机坏掉，会全部瘫痪
• 且核心路由器不多，总带宽有限

两者均采用了链路冗余的方法

汇聚层和接入层的设计

汇聚层网络可以将位于不同位置的子网连接到核心层网络，实现路由汇聚的功能对网络系统进行分层设计可便于规划与分配带宽，有利于均衡负荷，提高网络效率。实际情况验证：层次之间的上联带宽与下一级带宽之比一般控制在1：20（这一节只需要记好这个数字）

网络关键设备选型

路由器

分类和标准

40Gbit/s的路由器背板交换能力是区分高端和中低端的分水岭

• ①吞吐量：指路由器的包转发能力，包括端口吞吐量与整机吞吐量。路由器的包转发能力与路由器的端口数量、速率、包类型、包长度关系密切。（包转发能力只是用来衡量，且这四个指标只能用来衡量包转发能力，不能直接决定吞吐量）
• ②背板能力：背板是路由器输入输出端之间的物理通道，它决定了路由器的吞吐量，高性能路由器一般采用交换式结构，而传统路由器采用共享背板
• ③丢包率：常被用作路由器超负荷工作时的性能衡量指标
• ④延时与延时抖动：从数据包的第一个比特进入路由器，到该帧的最后一个比特离开路由器其间所经历的时间，一般不把其作为主要指标（数据包对延时要求不高），语音、视频业务对延时抖动要求却较高
• ⑤突发处理能力：常以最小帧间隔发送数据包而不引发丢失的最大发送速率来衡量突发处理能力。
• ⑥路由表容量：路由表是决定包转发路径的主要依据
• ⑦服务质量：主要表现在队列管理机制、端口硬件队列管理、支持QoS协议上
  

高端路由器可靠可用性指标（两个50ms）

• 无故障连续工作时间（MTBT Mean Time Between Failures）大于10万小时，故障恢复时间30分钟
• 系统自动保护切换功能，切换时间小于50ms
• SDH与ATM接口自动保护切换功能，切换时间小于50ms
• 主处理器、存储器、电源、总线与接口管理等需要有热插拔冗余，线卡有备份
• 路由器不存在单点故障。

交换机

分类

分类指标

• 重点：全双工端口带宽的计算公式：端口数x端口速率x2
• bps和byte的单位转换重点

| 单位 | 进制 | 例子 |
| :—: | :—: | :—: |
| bps（比特每秒） | 1000进制 | 1Kbps = $10^3$ bps |
| Byte（字节） | 1024进制 | 1KB = $1024$ Byte |

网络服务器选型

服务器种类

• ​CISC (Complex Instruction Set Computer，复杂指令集计算机)​​：通过​​硬件​​提供功能丰富、复杂的指令，一条指令能做很多事情。
• RISC (Reduced Instruction Set Computer，精简指令集计算机)​​：通过​​软件（编译器）​​ 组合简单、固定的指令来完成复杂任务，一条指令只做一件简单的事。基于RISC结构处理器的服务器操作系统通常采用Unix

服务器有关技术

• 热插拔技术：热插拔功能允许用户在不切断电源的情况下，更换存在故障的硬盘、内存、板卡、电源（有多个电源）等部件。从而提高系统对突发事件的应对能力。
• 集群（Cluster）技术：集群技术是向一组独立的计算机提供高速通信线路，组成一个共享数据存储空间的服务器系统，提高了系统的数据处理能力。
• 高性能存储、智能I/O技术：存储能力是衡量服务器性能的重要指标之一

服务器性能

服务器的性能主要表现在：磁盘存储能力、运算处理能力、可扩展性与可管理性、高可用性等。

系统高可用性

三八八点八，四五三，五五五，尤其注意：这里说的是小于等于，有时候不会给你端点的时间，而是区间内的时间

需记忆题目

• B选项说的是C/S架构

IP地址规划技术（知道了的全部截图，不浪费时间笔记）

IP地址分类

尤其注意不同类IP地址首位十进制数的区间：A类1-127，B类128-191，C类192-223，D类224-239，E类240-255。

分配约束

特殊地址

子网划分

象征性总结常考的（其实都很简单）

• 网络地址：看IP和子网掩码，即网络位不变，主机位全0
• 直接广播地址：网络号不变，主机号全1
• 受限网络地址：全1
• 主机号：网络位全0，主机位不变（不常见）
• 第一个可用IP：网络地址+1
• 最后一个可用IP：直接广播地址-1

子无类域间路由技术（CIDR Classless Inter-Domain Routing，无类别域间路由：换一种IP表达方法）

NAT工作原理

S：Source（源头）
D：Destination（目的地）

• 主机找Internet：源经过NAT变化（IP+端口号），目的地址就是Internet的地址不变；
• Internet回复：源就是主机找Internet的目的地址，目的就是主机转化后的IP地址；
• 特别注意一下ftp、http访问内网某台主机时，目的地址应该是转化后的该主机地址
  以这个图片为例子吧
  

IPv6地址规划方法

• 仅前导0可以简化
  
• 128位表示一个IPv6地址，每16位划分8个位段（所以说每段转化为16进制数后为4位），每个位段转化为16进制数，用冒号隔开
• IPv6每个段的前导0可以省略，不可把位段中的有效0压缩
• 若包含一长串0，可以把连续位段均为0的地方简写为：：，且这种写法只可在一个地址中出现一次（尤其注意只可出现一次）
• IPv6只支持前缀长度表示法​​ ：在表示一个IPv6网络或子网时，​​不能​​像IPv4那样使用“子网掩码”（如 255.255.255.0），而​​必须​​使用“斜杠记法”（CIDR记法），即在IPv6地址后面加上一个斜杠/和一个表示网络位长度的数字（如 /64）

路由设计基础

IP路由选择

分组转发

分组转发是指路由器转发IP分组的物理传输过程。一台主机通常是与一台路由器相连接，这台路由器则为默认路由器，也叫第一跳或缺省路由器。

分类

• 直接转发：同一网络
• 间接转发：不同网络
  

路由选择算法分类

路由汇聚

简单的汇聚方法：从不同的开始找，不同的以及之后的变0，相同的照抄，并把相同的位数作为CIDR的数

• 但题目不会出的这么直接：比如有时候需要先两个聚合，然后再去跟第三个聚合，也可以选择直接三个聚合
• 不在同一地址块的（在同一网络下才可以一块儿聚合（某公司，某企业，某学校）），当没有在同一网络下的条件时，子网掩码不同是不在同一网络下的，不可聚合。但若两个聚合后和第三个ip地址的子网掩码相同则可以再聚合
  

！特殊情况（任意一个不满足触发）

• 1.聚合后的IP不可与已有（被聚合）的IP相同
• 2.聚合后可分配主机数>3（注意减去头和尾的网络地址和受限广播地址：$2^n-2$）
• 当触发1时，也是需要向网络位借主机位置（目的是借到网络位的一个二进制的“1”，让这个聚合后的IP地址变化，不再和被聚合的某个IP地址一样），注意：在这个过程中，如果首次聚合的IP同时触发了1,2条件，在解决问题1的时候也可以解决问题2，因为问题1的解决可能会需要多次借位，借借借借到厌倦
• 当触发2时，需要往网络位借位给主机位置，让可分配主机数更多，直到满足条件2
  

eg1：聚合172.0.147.161，172.0.147.162，172.0.147.163，

172.0.147.101000 01
172.0.147.101000 10 ==> 172.0.147.10100 000
172.0.147.101000 11 $2^2-2=2<3$
触发条件2，借位变为172.0.147.160/29

eg2：聚合172.0.147.145，172.0.147.144，172.0.147.146

172.0.147.100100 00
172.0.147.100100 01 ==> 172.0.147.101000 00
172.0.147.100100 10
触发条件1+2，借位变成172.0.147.10010 000解决条件2仍然触发条件1，再次172.0.147.1001 0000，再次172.0.147.100 00000可，变为172.0.147.128/27

路由选择协议

自治系统

路由选择协议有：内部网关协议（RIP/OSPF），外部网关协议（BGP）

RIP（路由信息协议Routing Information Protocol）基于距离向量

• RIP原理：路由刷新报文的主要内容是若干个（V，D）表
• V：表示该路由器可以到达的目的网络或者目的主机
• D：对应该路由上的 “跳数”
• RIP规定，路由器每30s周期性向外广播一个（V，D）报文
• RIP规定，一条有限的路径长度不能超过15
  VD便于记忆：
  

RIP工作过程

路由表的更新：见计网大题详解,按照最短路径原则更新

OSPF（开放最短路径优先，Open Shortest Path First）

特点

• ①OSPF使用分布式链路状态协议，而RIP使用的是距离向量协议（使用距离或跳数来确定传输路径）。
• ②OSPF协议要求路由器发送的信息是本路由器与哪些路由器相连，以及链路状态的度量。链路状态“度量” 主要是指费用、距离、延时、带宽等（记录的信息比RIP多）。
• ③OSPF协议要求当链路状态发生变化时用 “洪泛法” 向所有路由器发送此信息，
而RIP仅向自己相邻的几个路由器发送交换路由信息。
• ④路由器之间频繁地交换链路状态信息，因此所有路由器最终都会建立一个本区域的链路状态数据库，也就是全网拓扑结构图。
• ⑤为了适应规模很大的网络，并使更新过程收敛的更快，OSPF协议将一个自治系统再划分为若干个更小的范围，叫做区域。
• ⑥每个区域有一个32位区域标识符（用点分十进制表示），在一个区域内的路由器数不超过200个

BGP（边界网关协议，Border Gateway Protocol）基于路径矢量

主要特征

• ①BGP也称边界网关协议（又称为外部网关协议），是在AS（自治系统​​（Autonomous System））之间传递路由信息以及控制优化路由信息。
• ②BGP是一种 “路径矢量”路由协议，BGP-4采用了路由向量路由协议，与RIP、
OSPF有很大区别。
• ③为了保证BGP的可靠传输，BGP发言人之间交换信息需要先建立TCP连接（重要）

工作过程

• 打开是建立关系
• 更新是发送路由消息（或撤销）
• 保活是**确认打开报文和证实关系，需要周期性的一般为30s确认
• 通知是发送检测差错，路由信息发生变化时用的是UPDATE而非NOTIFICATION

局域网技术基础及应用

局域网组网基础

局域网是一种分布在较小距离范围，连接各种设备并为这些设备间的信息交换提供途径的计算机网络。局域网采用IEEE802标准

OSI参考模型

重点：传统以太网的物理层标准命名法

特别注意x和y的单位，Mbps和100m

综合布线系统（PDS ​Premises Distribution System​）

系统标准（只需要对应就可以）

• ①ANSI/TIA/EIA 568-A：定义了语音与数字通信布线系统

• ②TIA/EIA 568-B
  

• ③ISO/IEC 11801（把有关元器件和测试方法归入国际标准）

• ④GB/T50311—2000和GB/T50312-2000（我国指定的综合布线系统工程的国家标准）

传输介质

连接设备

建筑群子系统设计（建筑物之间一般用光纤连接）

通信线路铺设主要有：地下管道布线、直埋布线、架空布线、巷道布线4种方式或者是这4种方式的任意组合。

地下管道布线（最好，最理想，最有利于保护）

巷道布线

直埋布线（最不利于保护）

架空布线

设备间子系统（垂直干线或水平干线）

管理子系统（增加交换更改扩展改变线缆路由）

干线（垂直）子系统（点对点和分支结合，也可混合使用）

水平子系统（工程最大，范围最广，最难施工）

• 电缆长度一般不超过90m
• 高速率要求时，用光纤

工作区子系统

• 嵌入式安装插座用于连接双绞线
• 多介质信息插座用于连接铜缆和光纤
  
• 单一信息插座进行两项服务：采用一线两用或Y形适配器
• 连接使用不同信号的数模转换和数据速率转换装置，采用适配器

局域网互联设备

中继器（工作在物理层，不是网络互联设备）

• 负责两个节点在物理层上按位传递信息，对传输介质上的信号波形接收、放大、整形、转发。
• 不对帧做任何处理，仅起到增加传输介质长度的作用，所以中继器不属于网络互联设备。

网桥

• 网桥是连接两个局域网的设备，工作在 MAC子层(数据链路层的一个子层) 上，并且它可以完成具有相同或相似体系结构的网络系统的连接。
• 网桥是依靠MAC地址表来确定帧是否需要发，以及向何处转发。
• 透明网桥和源路由网桥的标准分别由IEEE802.1与IEEE802.5两个分委会制定。
• 其中透明网桥的标准为IEEE802.1d。透明网桥采用生成树算法，来防止出现环路情况。

交换机

• 基于MAC地址识别，能完成封装转发数据包功能的网络设备
• 二层交换机工作于数据链路层，它建立和维护一个表示MAC地址与交换机端口对应关系的交换表。
• 三层交换技术就是二层交换技术加上三层转发技术，是在网络模型中的第三层（网络层），实现了数据包的高速转发，既可以实现网络路由功能，又可根据不同网络状况做到最优网络性能。

集线器（工作在物理层，并不根据MAC地址接收并转发）

• 集线器的主要功能是对接收到的信号进行再生整形放大，以扩大网络的传输距离，同时把所有节点集中在以它为中心的节点上。
• 发送数据没有针对性，采用广播的方式发送
• 工作在物理层，所有节点通过双绞线连接在一个集线器上， 节点（不是集线器而是节点） 执行CSMA/CD（C​arrier ​S​ense ​M​​ultiple ​​A​​ccess with ​C​​ollision ​​D​​etection）介质访问控制方法
• 当一个结点发送数据时，所有结点都能接收到。连接到一个集线器的所有结点共享一个冲突域。通过在网络链路中串接一个集线器可以监听该链路中的数据包，多个结点不能同时发送数据帧，可以同时接收数据帧。 即为网络拓扑中的总线结构

交换机及其配置

交换机基础

基本功能

**建立和维护一个表示MAC地址与交换机端口对应关系的交换表。**

在发送节点和接收节点之间建立一条虚连接【即发送方所连接的交换机端口（源端口）到接收方所连的交换机端口（目的端口）之间建立虚连接】完成数据帧的转发或过滤。

交换表

小型交换机交换表（35系列），交换机在超级用户模式下：show mac-address-table 记法：展示mac地址表

• 目的mac地址（注意是点分隔）、地址类型、VLAN、目的端口
  大型交换机交换表（40/65系列），交换机在超级用户模式下：show cam dynamic
  
• 表中无地址类型
• VLAN，目的mac地址（短横线分隔），端口

交换机的交换模式

静态交换

静态交换是由人工来完成端口之间传输通道的建立。

动态交换

动态交换方式中依据目的MAC地址查询交换表，根据表中给出的输出端口来临时建立传输通道，这个传输通道在一个数据帧传送完成后自动断开。

• 交换机最常采用动态交换方式
• 动态交换模式主要有存储转发和直通两种模式。而直通模式又有快速转发交换和碎片丢弃交换两种方式。
归纳起来，交换机主要有快速转发、碎片丢弃、存储转发三种交换模式。

交换模式差异

快速转发交换模式

• 也称作直通交换模式，他是交换机接收了帧的前14个字节，即接收到帧中6个字节的目的地址后便立即转发数据帧。该交换模式在整个数据帧到之前就开始转发。
• 优点：端口交换时交换时间短、时延小，交换速度快；
• 缺点：不能进行检错纠错、速度匹配和流量控制，可靠性较差，适用于小型交换机

为什么一定是帧的前14个字节呢？
——只需要知道到哪儿去就可以了，即7+1+6

碎片丢弃交换模式

• 也称为无分段交换模式，在开始转发之前先过滤掉掉造成大部分数据报错误的冲突片。
• 先检查数据包的长度是否够64字节。如果帧的长度小于64，则被视为碎片，交换机直接丢弃；而任何大于64字节的数据帧都被交换机视为有效帧，进行转发；
• 优点是过滤掉了冲突碎片，提高了网络传速的效率和带宽的利用率

存储转发交换模式

• 将接收到的整个数据帧保存在缓冲区中，然后进行循环余码校验检查，对错误数据帧进行处理后，才取出数据帧的目的地址，进行转发操作
• 不足在于数据处理延时大，交换速度相对较慢
• 但是它可以对数据帧进行链路差错检验，可靠性较高，能有效地址改善网络性能；
• 同时它可以支持不同速率的端口，保持高速端口与低速端口之间的协同工作

交换结构差异

交换结构类型	优点	缺点
软件执行交换结构	结构灵活、易于升级	交换速度慢、交换机堆叠困难、交换机端口较多时性能显著下降，主要用于早期的交换机产品
矩阵交换结构	交换速度快、延时小、结构紧凑、实现相对简单	不易扩展、不方便进行性能监控
总线交换结构	性能较好、便于堆叠扩展、易于实现广播	对总线带宽要求较高
共享存储器交换结构	是总线结构的一种变形，结构简单、易于实现	规模扩大时产生延时、成本也较高

虚拟局域网技术

VLAN

• 虚拟网VLAN是以交换式网络位基础，把用户的终端设备划分为若干个逻辑工作组每个逻辑工作组就是一个VLAN。
  
• 由于二层交换机工作在数据链路层，VLAN也工作在数据链路层
• VLAN可隔离广播信息，每个VLAN为一个广播域，VLAN中的广播信息只能发送给这个VLAN内部的成员，并不发送给其他VLAN成员。
• 一个VLAN就是一个独立的逻辑网络（和物理位置、网段无关），每个VLAN都具有唯一的子网号。不同VLAN中的主机之间必须通过路由器或者三层交换机，才能实现相互通信

标识

VLAN ID

• VLAN通常用VLAN ID（Vlan号）、VLAN name（Vlan名） 标识。
• IEEE802.1Q协议规定，VLAN ID用12位（bit）表示，可以支持4096个VLAN。其中1-1005是标准范围，1006-1024为保留范围，1025-4096是扩展范围 ，但并不是所有交换机都能支持4096个VLAN。
• 一部分交换机只支持标准范围1-1005，其中能用于以太网的VLAN ID为1-1000（2-1000也正确，1作为管理地址，但尾部只能是1000），而1002-1005为FDDI和令牌环网使用的VLAN ID。

VLAB name

• VLAN name用32个字符表示，可以是字母和数字。
• 若创建一个VLAN时，没有给定名字，则系统按默认方式，自动给出命名，默认为VLAN00 XXX（"XXX"即为该VLAN的VLAN ID），如VLAN ID为111，其默认的VLAN名为VLAN 00111（只缺省了两个0）。
• 划分VLAN方法有：基于端口划分；基于MAC地址划分；基于第三层协议划分。

交换机配置

对于还没有配置设备管理地址的交换机应采用Console端口配置

设置系统时间

Cisco IOS系统（35系列）

• 命令格式：clock set hh（时）：mm（分）：ss（秒） day（日）month（月）year（年)
• 记忆方式：35clock set 时 日(加不了星期)
  

Catalyst OS(65系列)

• 命令格式：set time [day_of_week] [mm（月）/dd（日）/yy（年）] [hh（时）:mm（分）:ss（秒）]
• 记忆方式：65set time （星期） 日（日月颠倒） 时
  

配置设备管理地址（IP地址）与缺省路由

Cisco IOS系统（35系列）

• 配置IP地址命令语句：ip address<IP地址><子网掩码>;
• 配置缺省路由命令语句：ip default-gateway<缺省路由IP地址>；
• 注意！！！：设置缺省路由不可在端口模式（config-if）下，而应该退出到全局配置模式下配置（config）
• 记忆方式：35系列都ip

Catalyst OS(65系列)

• 配置IP地址命令语句：set interface sc0 <IP地址><子网掩码><直接广播地址>；
• 配置缺省路由命令语句：set ip route 0.0.0.0<缺省路由IP地址>;
• 记忆方式：65系列都set开头

Cisco IOS系统（35系列）综合设置

配置交换机的端口描述信息

步骤一：进入端口配置模式

Switch-3528-TEST(config) # interface f0/1（f0/1代表快速以太网端口的第一个端口，光以太网的端口为g0/x）

• （config）代表已经进入全局配置模式下
  Switch-3528-TEST(config-if) #
• （config-if）代表进入端口模式下,可以通过输入命令exit退出到config

步骤二：配置端口描述信息

Switch-3528-TEST(config-if) # description To-Webserver

配置交换机端口的关闭与开启

步骤一：进入端口配置模式

Switch-3528-TEST(config) # interface fastethernet0/1（fast ethernet顾名思义）
Switch-3528-TEST(config-if) #

步骤二：关闭或开启端口

Switch-3528-TEST(config-if) # shutdown (关闭端口)
Switch-3528-TEST(config-if）#no shutdown(开启端口，使端口处于工作状态)

配置交换机端口的通信方式

Switch-3528-TEST(config-if）#duplex auto（设置为自动协商（自适应），默认为止
种方式)
Switch-3528-TEST(config-if) # duplex full ((设置为全双工)
Switch-3528-TEST(config-if) # duplex half (设置为半双工)

配置交换机端口的传输速率

Switch-3528-TEST(config-if）# auto（设置端口为自动速率配置)
Switch-3528-TEST(config-if) # speed 10 (设置端口速率为10Mbit/s)
Switch-3528-TEST(config-if)#speed 100 (设置端口速率为100Mbit/s)单位全部为Mbit/s

Catalyst OS (65系列)综合设置

配置交换机的端口描述信息

• 命令格式：set port name <mod/port> name ，其中，name 为端口描述，字符数一般不超过240个
• eg:Switch-6509-TEST(enable) # set port name 0/1 to-Webserver
  Switch-6509-TEST(enable)

配置交换机端口的关闭与开启

• 命令格式：set port disable<mod/port>(关闭端口)
  set port enable <mod/port> (打开端口)
• mod和port指的模块号（Module）和端口号（Port）​​
• eg:Switch-6509-TEST(enable)set port disable 0/1 (关闭0/1号端口)
  Switch-6509-TEST(enable)set port enable 0/1 (打开0/1号端口)

配置端口的通信方式

• 命令格式：set port duplex<mod/port>full(设置全双工)
  set port duplex<mod/port>half(设置为半双工)
• eg:Switch-6509-TEST(enable)set port duplex 0/1 full (0/1端口设置为全双工)
  Switch-6509-TEST(enable)set port duplex 0/1-24 half (0/1到0/24端口设置为半双工)

配置端口的传输速率

• 命令格式：set port speed <mod/port> auto (自适应)
  set port speed <mod/port> <port_speed> 设置制定端口速率，当设置多个端口时将端口x到端口y之间用-连接
• eg:Switch-6509-TEST(enable)set port speed 0/1 auto (设置端口的速率为自适应)
  Switch-6509-TEST(enable)set port speed 0/1-24 10 (设置端口0/1到0/24的速率为10Mbps）

交换机VLAN配置

VLAN的建立和删除

Cisco IOS系统（35系列）

建立VLAN

• 命令格式：vlan <vlan_ID> name <vlan_name>
• eg:Switch-3528-TEST # vlan data（进入vlan配置）
  Switch-3528-TEST>(vlan) # vlan 100 name vlanwork

删除VLAN

• Switch-3528-TEST>(vlan) # no vlan <vlan_ID>（在vlan配置下）
• 修改VLAN与建立VLAN步骤完全相同，将<vlan_ID>填一样的即可
• eg:Switch-3528-TEST>(vlan) # vlan 100 name vlanwork
  Switch-3528-TEST>(vlan) # vlan 100 name vlangroup

Catalyst OS (65系列)

建立VLAN

• 命令格式：set vlan <vlan_ID> name <vlan_name>
• eg:Switch-6509-TEST>(enable)set vlan 100 name vlan 100 (建立VLAN 100, 名称为
  vlan 100)

删除VLAN

• Switch-6509-TEST>(vlan)# clear vlan <vlan_name>
• 修改VLAN与建立VLAN步骤完全相同，将<vlan_ID>填一样的即可
• eg:Switch-6509-TEST>(enable) set vlan 100 name vlan 100
  Switch-6509-TEST>(enable) set vlan 100 name vlan 1000

插播一个题目

• 在标准直连网络中，基于端口是通则
• 此题是因为交换机与主机们没有直连，不认识端口，借由集线器进行了转发，而集线器又不认识各个主机，所以由交换机基于MAC地址认识其他的主机，划分VLAN

为交换机端口分配VLAN

Cisco IOS系统 (35系列)

步骤一：进入端口配置模式

Switch-3528-TEST # configure terminal （进入全局模式下）
Switch-3528-TEST(config) # int f0/1 （int是interface简写）
Switch-3528-TEST(config-if) #

步骤二：为端口分配VLAN

• 命令格式： switchport access vlan （vlan-num）
• eg:Switch-3528-TEST(config-if） # switchport access vlan 100 (将端口f0/1划分到
  VLAN 100中)此处将什么端口划分入取决于你int到哪个端口

Catalyst OS (65系列)

• 命令格式：set vlan （vlan-num）（mod/port）
• eg:Switch-3528-TEST(enable) set vlan 100 0/1 (将端口0/1划分到VLAN 100中)
  Switch-3528-TEST(enable)
• 注意：65系列交换机无需进入端口模式，可直接配置

VLAN Trunk设置

任务

• 设置交换机端口的vlan trunk模式、封装vlan协议，设置允许中继的vlan

功能

• 用vlan trunk为交换机互联的汇聚链路上所传输的vlan数据帧打上标签，保证多个vlan数据帧的传输，并起到区分作用。

协议

• 主要协议：ISL (思科私有协议)两设备均为思科才可以用私有，否则均用国际标准
• IEEE802.1Q(dot1q：国际标准协议)

Cisco IOS系统 (35系列)

步骤一：同上，进入端口配置

配置VLAN Trunk模式

• Switch-3528-TEST(config-if) # switchport mode trunk

封装VLAN协议

• Switch-3528-TEST(config-if) # switchport trunk encapsulation dot1q（配置VLAN Trunk的封装模式为802.1q)
• Switch-3528-TEST(config-if) # switchport trunk encapsulation isl (封装ISL协议)
• Switch-3528-TEST(config-if) # switchport trunk encapsulation negotiate(自动协商)
• 英文注释：encapsulation 封装​

设置允许中继的VLAN

• Switch-3528-TEST(config-if) # switchport trunk allowed vlan 1,10 (允许VLAN 1和10通过此Trunk通路)和用，隔开
• Switch-3528-TEST(config-if) # switchport trunk allowed vlan 1-10(允许VLAN 1-10通过此Trunk通路)几至几用-隔开
• Switch-3528-TEST(config-if) # switchport trunk allowed vlan except 11-20 (阻止VLAN 11-20通过此Trunk通路)

Catalyst OS (65系列)

配置VLAN Trunk模式同时封装协议

• 命令格式：set trunk<mod/port>（mode）（type）
• eg:Switch-6509-TEST>(enable) set trunk 1/24 on dot1q (配置VLAN Trunk模式, 封装VLAN协议)解析：1/24表示模块1上的24端口，on是mode的开启模式，还有off，dot1q是协议type
  Port(s) 1/24 trunk mode set to on

设置允许或删除中继的VLAN

• 命令格式：set trunk <mod/port> vlan （vlan id） 允许VLAN
• eg:Switch-6509-TEST>(enable) set trunk 1/24 vlan 11-20 （在端口1/24的允许VLAN列表中添加11-20号vlan)
• 命令格式：clear trunk<mod/port> vlan 删除VLAN
• eg:Switch-6509-TEST>(enable) clear trunk 1/24 13-15 (在端口1/24的允许VLAN删除13-15号vlan)

交换机的VTP设置

• VTP是VLAN中继协议，也被称为VLAN干道协议
• 是OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内
  VLANs的建立、删除和重命名
• 配置VTP的任务主要有两个：一是建立VTP域，二是设置VTP的工作模式；
• 注意：同一个域的所有交换机，必须运行相同版本的VTP，并具有相同的域名;

新概念

VTP Server

• 一般一个VTP域内的整个网络只设一个VTP Server，它维护该VTP域中所有VLAN信息列表，可以建立、删除或修改VLAN。

VTP Client

• 维护所有VLAN信息列表，但是它的VLAN信息是从VTP Server学习到的，并且不具有建立、删除或修改VLAN的功能。

VTP Transparent

• 相当于一个独立的交换机，它不参与VTP工作，不从VTP Server学习VLAN的配置信息，而只拥有本设备上自己的VLAN信息，因此它也只能建立、删除和修改本机上的VLAN信息。

Cisco IOS系统(35系列)

配置VTP域名

• Switch-3528-TEST # configure terminal(进入工作模式)
• Switch-3528-TEST (config)# vtp domain （domain-name） （设置VTP域名，同一个域的所有交换机，必须设置相同的域名，同时VTP协议的版本号必须一致）

配置VTP工作模式

• Switch-3528-TEST(config)# vtp mode server(设置VTPServer模式，默认值）
• Switch-3528-TEST(config)# vtp mode client (设置为VTP Clinet模式)
• Switch-3528-TEST(config)# vtp mode transparent（设置为VTP Transparent模式）

Catalyst OS (65系列)（都只多了set）

配置VTP域名

• Switch-6509-TEST>(enable)set vtp domain （domain-name） （设置VTP域名为domain-name)

配置VTP工作模式

• Switch-6509-TEST>(enable) set vtp mode server ((设置为VTP Client模式)
• Switch-6509-TEST>(enable) set vtp mode client （(设置为VTP Clinet模式)
• Switch-6509-TEST>(enable) set vtp mode transparent（设置为VTP Transparent模式)

生成树协议STP

• 生成树协议（STP）是一个二层链路管理协议。它主要功能是在保证网络中没有回路的。
• 基础上，允许在第二层链路中提供冗余路径，以保证网络可靠、稳定地运行。
• IEEE802.1D是最早的STP的标准，它提供了动态余切换机制，是目前最为流行、应用广泛的STP标准。STP运行在交换机和网桥设备上，通过计算建立一个稳定的树状结构网络，来避免网络中回路的产生。

网桥

STP的工作过程为：通过在交换机之间传递网桥协议数据单元（BPDU ​​Bridge Protocol Data Unit​） ，并运用生成树算法（STA S​​panning-​T​​ree ​​A​​lgorithm） 对其进行比较计算。

• 首先进行根网桥选择（根网桥为整个生成树拓扑结构的核心，所有数据传输均通过根网桥）。
• 然后确定交换机冗余链路端口的工作状态，让一些端口进入阻塞工作模式，另些端口进入转发工作模式。
• 其中设置为阻塞模式的端口不能进行数据流的转发和接收，但仍作为一个激活的端口，可进行BPDU的接收和读取。

网桥协议数据单元（BPDU ​​Bridge Protocol Data Unit​）

• BPDU中携带了实现生成树算法的有关信息，包括六项：RootID、RootPathCost、Bridge ID、Port ID、Hello time、Max Age
• BPDU数据包有两种类型，一种是包含配置信息的配置BPDU（不超过35个字节），另一个是包含拓扑变化信息的拓扑变化通知BPDU（不超过4个字节）。
• 配置BPDU包的Bridge ID信息，是选取根网桥或根交换机的主要依据。
• 一般情况下，Bridge ID值最小的成为根网桥或根交换机。

生成树协议STP

• BridgeID用8个字节标识，后6个字节为交换机的MAC地址，前2个字节为优先级值

组件	长度
桥优先级	2个字节
桥Mac地址	6个字节

• 优先级值越小，优先级越高（根网桥或根交换机）
• 优先级取值范围为0-61440，增值量为4096（最少一次增4096），交换机的优先级一般默认为32768可以使用命令人工配置
• 选择根网桥时，优先级相同，会根据MAC地址的值决定根网桥，MAC的值最小的为根网桥
• 默认情况下，交换机每2秒定时发送一次BPDU，当检测到网络拓扑变化或故障发生时，也会发生新的BPDU，以及时进行生成树的更新。

配置STP优先级

Cisco IOS系统 (35系列)

• 命令格式：spanning-tree vlan（vlan id）priority（0-61440）
• Switch-3528-TEST (config)进入全局模式下 # spanning-tree vlan 3 priority 8192

Catalyst OS (65系列)

• 命令格式：set spantree priority<0-61440>（不指定vlan id）
• Switch-6509-TEST>(enable)set spantree priority 8192

BackboneFast配置

• BackboneFast的功能就是当间接链路（骨干链路）失效，阻塞端口不需要等待生成树最大存活时间。而是直接将端口由侦听和学习状态转换为转发状态;（即自己并不和根交换机相连，而是通过另外的非根交换机B间接连接，当B与根断了，我可以快速换另一根间接路）
  

配置命令

UplinkFast配置

UplinkFast的功能是当生成树拓扑结构发生变化和在使用上连链路组的冗余链路之间完成负载平衡时，直接链路（上连链路）失效时，阻塞端口直接跳过侦听和学习，变成转发状态，提供快速收敛。（当有多根连通到目标交换机的线路断了一根秒切另一根）

配置命令

PortFast配置

PortFast用于在接入层交换机端口上跳过正常的生成树操作，加快终端工作站接入到网络中的速度。它的功能是使交换机的端口跳过侦听和学习状态。直接从阻塞状态进入到转发状态。（插上秒用）

配置命令

BPDU Filter配置

BPDU Filtering会使交换机在指定的端口上停止发送BPDUs，对于进入这个端口的BPDUs也不做任何处理，同时立刻将端口状态转换为转发状态；（让端口不发不收）

配置命令

路由器的配置和使用

路由器是工作在网络层的设备，负责将数据分组从源端主机经最佳路径传送到目的端主机，实现在网络层的互联。路由器工作在TCP/IP网络模型的网络层，对应于OSI网络参考模型的第三层，因此，路由器也常称为网络层互联设备。
路由器是互联网的主要节点设备。路由器通过路由决定数据的转发，转发策略称为路由选择（routing）

路由器的结构

• 有硬件和软件组成，路由器软件主要由路由器的操作系统（互联网操作系统组成），用于控制和实现路由器的全部功能。
• 硬件：路由器硬件组成部分有：中央处理器（CPU）、内存（Memory）、存储器(Storage）、接口（lnterface）;
• CPU是路由器的心脏，CPU的能力直接影响路由器的路由表查找时间、吞吐量和路由器的性能。

内存

• 保存路由器配置、路由器操作系统、路由协议软件等。主要类型有：只读内存（ROM）、随机存储器（RAM）、非易失性随机存储器（NVRAM）和闪存（Flash）。
• ①只读内存 (ROM)：用来永久保存路由器的的开机诊断程序、引导程序和操作系统软件。ROM的主要任务是完成路由器的初始化进程，具体包括路由器启动时硬件诊断、装入路由器操作系统IOS等。ROM是只读存储器，不能修改其中保存的内容。
• ②随机存储器 (RAM)：可读可写存储器，在路由器操作系统运行期间，RAM主要存储路由表、快速交换缓存、ARP缓存、数据分组缓冲区和缓存队列、运行配置文件，以及正在执行的代码和一些临时数据信息等。在关机和重启路由器之后，RAM里的数据会自动丢失。
• ③非易失性随机存储器（NVRAM）：也可读可写。主要用于存储启动配置文件（startup-config）或备份配置文件。NVRAM容量较小，通常存储量只有32KB-128KB，但是存取速度非常快，而且保存的数据不会丢失。
• ④闪存 (Flash)：是可擦写的ROM，主要用于存储路由器当前使用的操作系统映像文件和一些微代码。闪存的容量比较大，可以用来保存备份的配置文件，也不丢失保存数据。

补充

路由器的工作原理

完成两个工作：即 路由选择和分组转发
每个数据包的目的和源MAC地址都会变化，且目标临时IP地址也会变，但是最终的目的网络IP地址是始终不变的。注意：路由器的不同端口的IP地址也是不一样的

路由表

路由表中记录着所有路由信息，路由表的内容主要包括目的网络地址及其所对应的目的端口或下一跳路由器地址或缺省路由的信息。注意！：当路由表中包含多种路由信息源的时候，根据缺省管理距离值，取值最小的选择信息源

• 指令：show ip route
• ①第一列表示路由表项的来源，标识这个路由表项是通过什么方式或者通过何种路由选择协议建立的。
• "C"表示直连路由（conected），表示目的网络直接与路由器端口相连
• "S”表示为静态（static）路由；s* 是缺省路由，0.0.0.0/0
• "I”表示使用IGRP内部网关路由协议学习到的路由信息；
• "O”表示使用OSPF开放最短路径优先协议学习到的路由信息
• ②第2列表示的是目的网络的地址和掩码长度；
• ③第3列表示目的端口或者下一跳路由器的地址;
• "[]”中的前半部分为管理距离，后半部分为权值；
• L（local）表示是本（VLAN）中配置的路由

路由信息源	管理距离值
直接连接	0
静态路由	1
IGRP	100
OSPF	110
内部BGP	200

判断路由表正确标准

• 路由器后跟端口名：三层交换机后跟虚拟局域网（VLAN）号
• via+具体IP
• s 缺省路由0.0.0.0/0*
• 管理距离值对应是否正确 [中的值]
• 题设给的IP和最后的S对应的IP是否对应
• vlan中配置了某ip的要求是，给出来的L的ip32位和题设一样，但掩码位数不一样，若完全一样则是直连不是配置
  

路由器工作模式

用户模式：Router>（User EXEC)

用户只能运行少数的命令（如ping、show version、telnet等)有限度地查看路由器的相关信息，但不能对路由器的配置做任何修改，也不能查看路由器的配置信息，只能对路由器做一些简单的操作，因而它是一个只读模式

特权模式：Router#(Privileged EXEC)

用户模式下，输入enable命令后按回车键，即可进入超级权限模式（如果设置了口令，还需要在回车后按提升输入口令）。该模式下，最常用的操作包括管理系统时钟、进行错误检测、查看和保存配置文件、清除闪存、处理并完成路由器的冷启动等操作。

全局配置模式：Router(config)#(Global Configuration)

在特权模式下，输入configure terminal命令后回车，即可以进入全局配置模式。全局配置模式用于配置路由器的全局性参数（主机名口令，TFTP服务器，静态路由，访问控制列表等）

其他配置模式（接口配置模式、虚拟终端配置模式、路由协议配置模式）

• 均基于全局配置模式下打开
• 接口配置模式：Router(config)#interface f0/1
  Router (config-if) #
• 虚拟终端配置模式：Router(config)#line vty 0 15（0 15表示从0到15）
  Router (config-line) #
• 路由协议配置模式：Router(config)#router ospf
  Router (config-router) #

RXBOOT模式

• 当密码丢失时，可以从该模式下恢复，因此该模式是路由器的维护模式。

设置（SETUP）模式

• 在任何时候，要进入设置模式，在特权模式下，输入setup即可。
• 新路由器第一次进行配置时，系统会自动进入设置模式，并询问是否采用该方式进行配置。

路由器的基本配置

路由器配置方式

• 通过 控制端口(Console) 进行配置管理。
• 使用telnet远程登陆配置，即使用telnet远程登陆到路由器上进行配置管理。
• 使用TFTP服务，以复制配置文件、修改配置文件的形式配置路由器。
• 在AUX端口连接一台Modem，在远端拨号配置路由器。
• 使用简单网络管理协议SNMP修改路由器配置文件的方式，对路由器进行配置。

配置超级用户指令

• Router-xb# configure terminal（在特权模式下 进入配置模式）
• Router-xb (config) #enable secret xueba（设置超级用户明码密码）
• Router-xb (corfig) # enable password 7（7是必须要的） xueba123（设置超级用户加密密码)
• Router-xb(config)#

设置系统时钟

• 命令格式：calendar set hh:mm:ss <1-31> MONTH <1993-2035>
• 时分秒，日月年
• eg:Router-xb# calendar set 20:26:00 3 march 2023

路由器常用命令

退出命令

无论是从端口模式退出，返回全局配置模式，还是从全局配置模式退出返回特权用户模式，都可以使用exit命令一级一级地退出，也可以使用end命令，直接退回到特权用户模式;

保存配置

当完成路由器配置，需要保存配置时，可以在特权用户模式下，使用writer命令

• Router-xb>en（进入特权用户模式）
• Router-xb#write memory（保存路由器配置到NVRAM中)
• Router-xb#write network tftp（保存到TFTP服务器中）
• 若要删除路由器的全部配置，也可以在特权用户模式下，使用write命令。
• Router-xb#wirte erase(清除配置文件）

基本检测命令

路由器的接口配置

配置接口描述信息

进入端口配置模式，使用description命令:

• Router-xb(config)# interface f0/1
• Router-xb(config-if)#description To-websever
• Router-xb(config-if) #

配置接口带宽

进入端口配置模式，使用bandwidth命令设置接口带宽，*带宽单位是kbit/s（1:1000）

• Router-xb(config)# interface f0/1
• Router-xb(config-if)# bandwidth 2500000
• Router-xb(config-if)#

配置接口地址

进入接口配置模式，使用ip address命令配置接口的IP地址。

• 重点：命令格式：ip address<IP地址><子网掩码>
• Router-xb(config)#interface f0/1
• Router-xb(config-if)# ip address 192.168.1.254 255.255.255.0
• Router-xb(config-if)#

接口的开启与关闭

进入接口配置模式，使用shutdown、no shutdown命令关闭和开启接口。

• Router-xb(config-if)# shutdown (关闭接口)
• Router-xb(config-if)# no shutdown (打开接口)

局域网接口配置

可配置的局域网技术接口有以太网、FDDl、ATM和Token Ring等。目前以太网应用范围最为广泛。

广域网接口配置

配置异步串行接口

异步串行接口的接口类型为Async，可以简写成a，Async接口主要用于Modem设备连接，为用户提供拨号上网服务。

• PPP协议：主要用于在全双工的异步链路上进行点到点的数据传输，也支持同步串行。可同步可异步
• HDLC协议（High-Level Data Link Control，高级数据链路控制）：其在同步串行数据链路上封装数据，最常用于点到点链接。只支持同步

配置方法

Router-xb(config)# interface a1进入异步接口模式下
Router-xb(config-if)# ip unnumbered ethernet0
Router-xb(config-if)# encapsulation ppp (不能封装成hdlc)（封装）
Router-xb(config-if)# async default ip address 202.112.7.129 (async default ip address+端口IP)
Router-xb(config-if)# async dynamic routing
Router-xb(config-if)# async mode interactive
Router-xb(config-if)# no shutdown

配置同步串行接口

接口类型为s（Serial）：主要用户DDN专线、帧中继、卫星、微波等广域网连接，带宽2048kbps。

配置方法

Router-xh(config)# interface s1
Router-xh(config-if)# description To-shenzhen
Router-xh(config-if)#bandwidth 2048(带宽为2M，此处用1024作为进率)
Router-xh(config-if)#ip address 202.112.7.129 255.255.255.252 (ip address+端口IP+子网掩码)
Router-xh(config-if)#encapsulation hdlc (可支持ppp/hdlc)
Router-xh(config-if)# no ip directed-broadcast
Router-xh(config-if)#no ip proxy-arp
Router-xh(config-if)#no shutdown

配置POS接口

概述

①POS（PacketOver SONET/SDH）是一种利用SONET/SDH提供的高速传输通道直接传送IP数据包的技术，同时它也是一种高速、先进的广域网连接技术。
②POS使用的链路层协议主要有PPP和HDLC。目前POS可以提供155Mbit/s、622Mbit/s、2.5 Gbit/s和10 Gbit/s等多种传输速率的接口。POS接口的配置任务包括：接口带宽、接口地址、接口的链路层协议】接口的帧格式、接口的CRC校验和flag (帧头中净负荷类型的标志位)

重点

• POS可选帧格式和对应标志位sonet对应s1s0 0、sdh对应s1s0 2
• POS可选的CRC校验位是16和32，32默认

配置

在全局配置模式下，配置操作如下:
Router-xb(config)#interface POS0/1
Router-xb(config-if)#description To-lab5
Router-xb(config-if)#bandwidth 10000000
Router-xb(config-if)#ip address 192.168.5.1 255.255.255.252
Router-xb(config-if)#crc 16（不填默认32）
Router-xb(config-if)#pos framing sonet（最重要的）
Router-xb(config-if)#np ip directed-broadcast
Router-xb(config-if)#pos flag s1s0 0（与前帧格式对应）
Router-xb(config-if)#no shutdown

配置Loopback

概述

• 环回（loopback）接口是一种应用最为广泛的虚接口，loopback接口号有效值位0~2147483647，主要用于网络管理。
• 网络管理员为loopback接口分配一个IP地址作为管理地址，其掩码应为255.255.255.255
• Loopback接口不会关闭，总是处于激活状态。Loopback接口的参数配置比较简单，主要配置IP地址。

配置

在全局配置模式下：
Router-xb(config)#interface loopback 0
Router-xb(config-if)#ip address 192.168.100.1 255.255.255.255(配置接口IP地址和掩码，题干会告诉你ip地址该设置成什么，注意环回接口地址的掩码一般为4个255)
Router-xb(config-if)#no ip route-cache (禁用route-cache功能)
Router-xb(config-if)#no ip mroute-cache
Router-xb(config-if)#exit
Router-xb(config)#exit
Router#

路由器的静态路由配置

静态路由是指由网络管理员手工配置的路由信息，使用静态路由协议时，路由器不能根据网络的实际情况动态地进行路由选择。当网络的拓扑结构或链路的状态发生变化时，也无法动态地更新路由表，必须由网络管理员手动去修改路由表中相关的静态路由信息。因此它适合规模较小，网络拓扑结构没有变化的局域网和采用点到点方式连接的较为简单的网络互连环境

配置方式

静态路由使用"ip route"命令在全局配置模式下配置，使用“no ip route"命
令可删除静态路由配置。静态路由配置的命令格式如下

• 命令格式：ip route <目的网络地址><子网掩码><下一跳路由器的IP地址>
• eg:Router-xb(config)#ip route 10.0.0.0 255.0.0.0 192.168.2.123（为特定网段（10.0.0.0/8）配置静态路由，只对这个网段的流量生效）
• 其中，默认路由的静态配置方式为：ip route 0.0.0.0 0.0.0.0 下一跳路由器的IP地址

动态路由协议配置

RIP基本配置

在路由器上启动RIP协议，开始RIP进程，设置参与RIP路由的网络地址，配置被动接口（passive-interface）等。

基本配置如下:

• Router(config)#router rip
• Router (config-router)# network 159.105.0.0（network IP地址）
• Router(config-router)#network 212.201.6.0
• RIP的高级配置：配置被动接口（非重要考点）
• Router(config)#router rip
• Router (config-router) #passive-interface Ethernet0（在RIP协议配置模式下）

OSPF基本配置

• ①Router ospf：该命令用来启动OSPF进程
• 命令格式为Router ospf （Process ID）
• 其中ProcessID（PID）是OSPF的进程号，它的范围是1-65535。
• ②network：该命令用来定参与定义OSPF的子网地址
• 命令格式：network<网络地址><子网掩码反码>area<区域号>（注意！！！：只有OSPF设置的network后子网掩码反码）
• ③range：该命令用于定义某一特定范围子网地址。
• 命令格式：area <区域号> range <子网地址> <子网掩码>
• 注意：②和③的网络地址，子网地址是同一个

总配置

Router-xb(config)#router ospf 10
Router-xb(config-router)#network 192.168.1.0 0.0.0.255 area 0*
Router-xb(config-r0uter)#area 0 range 212.37.123.0 255.255.255.0
Router-xb(config-router)#exit
在单个IP地址参与OSPF时，反掩码0.0.0.0
Router-xb(config)#router ospf 10
Router-xb(config-router)#network 192.168.1.0 0.0.0.0 area 0
Router-xb(config-router)#exit

路由器DHCP配置

设置为DHCP服务器，在路由器上需要完成的配置任务主要是建立IP地址池（Pool）和配置IP地址池的相关参数。首先需要配置的是IP地址池的名称再进入DHCP地址池配置模式，在该模式下对DHCP进行配置，主要任务包括：IP地址池的子网地址和子网掩码、默认网关、域名和域名服务器IP地址、IP地址租用时间等配置。

IP地址池的建立

• 在全局配置模式下使用ip dhcp pool（name） 命令为地址池赋予一个名称，其中name是为所建的地址池提供的名称，可以是一组字符串或数字。
• eg:Router-xb(config)#ip dhcp pool 123 (建立名为123的地址池)
  Router-xb(dhcp-config)#

配置IP地址池的子网地址与子网掩码

• 池建立后，便进入地址池配置模式，在该模式下可进行IP子网地址和子网掩码的配置，用于设定DHCP服务器可以分配的IP地址的范围。
• 配置的方法是在IP地址池配置模式下，执行"network<网络地址><子网掩码>"命令，其中<子网掩码>可采用标准的子网掩码表示（如255.255.255.0）或使用掩码前缀长度表示（如/24)。
• eg:Router-xb(dhcp-config)# network 192.168.1.0 255.255.255.0
  Router-xb(dhcp-config)#
  上述命令也可以表示如下：
  Router-xb(dhcp-config)#network 192.168.1.0 /24
  Router-xb(dhcp-config)#

排除不用于动态分配的IP地址

• 配置方法为在全局配置模式下，使用"ip dhcp excluded-address low-address [high-address]"命令，其中“low-address[high-address]"表示要排除的IP地址的范围。
• ①排除单个IP地址192.168.1.11
• Router-xb(config)# ip dhcp excluded-address 192.168.1.11
  Router-xb(config)#
• ②排除从192.168.1.1到192.168.1.10的一段IP地址，直接空格表示
• Router-xb(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10
  Router-xb(config)#

配置默认网关

动态分配IP地址时，还需要同时为客户端指定默认网关，以便客户端TCP/IP协议正常工
作。

• 配置方法为在IP地址池配置模式下，执行"default-router address [address2,…,address8]"，其中地址用逗号隔开，默认网关的地址，最多可以设置8个。
• eg:Router-xb(dhcp-config)#default-router 192.168.1.254
  Router-xb(dhcp-config)#

配置IP地址池的域名系统

• 域名服务器的配置方法为在IP地址池配置模式下使用“dns-server address"命令，该命令允许最多配置8个域名服务器地址，但是在实际应用中，域名服务器一般只有两个或三个
• IP地址池中客户端域名的配置方法为在DHCP地址池配置模式下，使用“domain name（name）"命令，其中name为指定的域名名称。
• ①配置DNS
• Router-xb(dhcp-config)#dns-server address 202.102.192.68 (在地址池配置模式下)
  Router-xb(dhcp-config)#
• ②配置DHCP客户端域名
• Router-xb(dhcp-config)#domain-name xueba.com

IP租用时间

• 在DHCP地址池配置模式下，使用 lease {day（hours）（minutes）丨infinite} 命令
• 其中参数可以包含天数、小时数以及分秒数，还可以设置为永不过期(infinite)
• Router-xb(dhcp-config)#lease 0 3(设置租用时间为3小时)
  Router-xb(dhcp-config)#lease infinite
  Router-xb(dhcp-config)#

访问控制列表的功能及其配置

访问控制列表（Access ControlList，ACL)，通过在路由器接口处控制路由数据包是被转发还是被阻塞来过滤网络通信流量（本质是过滤数据包的）。 路由器根据ACL中指定的条件来检测通过路由器的每个数据包，从而决定是转发还是丢弃该数据包。

IP访问控制列表的分类

标准访问控制列表

• 只能检查数据包的源地址，根据源网络、子网或者主机的IP地址来决定数据包的过滤。
• 标准访问控制列表的表号是1-99。后来又进行了扩展，扩展的表号是1300-1999。

扩展访问控制列表

• 可以检查数据包的源地址和目的地址，根据源网络或者目的网络、子网、主机的IP地址决定数据包的过滤操作。
• 扩展访问控制列表除了检查源地址和目的地址外，还可以检查指定的协议，根据数据包头中的协议类型进行过滤，比如IP协议，ICMP协议、TCP协议和UDP协议等
• 扩展访问控制列表的表号是100-199，扩展的表号是2000-2699。

配置IP访问控制列表

• IP访问控制列表是一个连续的列表，至少由一个 "permit（允许）"语句和一个或多个"deny（拒绝）"语句 组成。
• IP访问控制列表用 名字（name)或表号（number） 标识和引用;
• 在配置IP访问控制列表的首要任务就是使用 “access-list"或“ip access-lint"命令 ，定义一个访问控制列表；
• access-list命令要求只能使用表号标识列表，而ip access-list命令可以使用表号或者名字标识列表；

配置顺序

• 在配置过滤规则时，ACL语句顺序很重要；路由器执行ACL是按照配置的访问控制列表中条件语句来决定的；数据包只有在跟第一个判断条件不匹配时，才能被交给ACL中下一个条件语句进行比较;（ACL采用“首次匹配”原则）
  
• 若要允许"202.204.4.2"以外的所有源地址通过路由器，这时就需要先配置“deny 202.204.4.2"在配置"permit any any"
• 在通配符反掩码位中，0表示“检查数据包的IP地址相对应的比特位"，1表示"不检查（忽略）数据包中的IP地址相对应的比特位”。
• 通配符any：等价反掩码255.255.255.255，代表所有主机。
• 通配符host：与整个IP主机地址的所有位相匹配，等价反掩码0.0.0.0，可以使用缩写字"host"
• 例如: Router(config)# access-list 1 deny 172.33.160.29 0.0.0.0
  等于: Router(config)# access-list 1 deny host 172.33.160.29

使用access-list命令（第二个可以加反码的命令）

• ①配置ACL
• access-list用表号区分，标准（1-99）ACL仅针对源进行控制，扩展（100-199）ACL针对源、目标、某种协议、端口号进行控制。
• 标准：access-list表号{permit丨deny}源地址+源反码
• 扩展：access-list表号{permit丨deny})协议+源地址+源反码+目的地址+目的反码+操作+端口号
• 其中，operator（操作）有lt（小于）、gt（大于）、eq（等于）、neq（不等于）几种；operand指的是端口号。
• ②应用到接口
• 命令格式：ip access-class <表号>{in|out}，虚拟接口下。
• 命令格式：：ip access-group<表号>{in丨out}
• 其中access-list-number指出连接到这个接口的访问控制列表表号；inlout指示该ACL是应用到入站接口还是出站接口。
• 如果in和out都没有指定，那么默认地认为是out。

ip access-list命令

• ip access-list用standard丨extended区分，标准（1-99）ACL仅对源进行控制、扩展（100-199）ACL针对源、目标、某种协议、端口号进行控制。
• ①ip access-list{standard|extended}表号|表名，在用到表名的时候就没办法通过表号区间来区别标准和扩展了，所以要加大括号中的一项制定标准还是扩展
• 其中，standard|extended分别表示访问控制列表的类别(标准|扩展)
• ② （标准ACL） ：permit丨deny协议+源地址+源反码
• (扩展ACL）：permit丨deny协议+源地址+源反码+目的地址+目的反码+操作+端口号

无线局域网设备的安装与调试

蓝牙技术与标准（纯背诵）

• 蓝牙技术是一个开放性的、短距离无线通信技术标准，它可以在较小的范围内通过无线连接的方式。实现固定设备以及移动设备之间的网络互连，可以在各种数字设备之间实现灵活、安全、低成本、小功耗的话音和数据通信

主要参数和技术指标

• 工作频段：ISM频段2.402-2.480GHz
• 标称数据速率：1Mbps
• 异步信道速率：非对称连接723.2kbps/57.6kbps；对称连接433.9kbps（全双工模式)
• 同步信道速率：64kbps
• 信道间隔：1MHz
• 信道数：79
• 功率：0dBm（1mW），覆盖1- 10m；20dBm(100mW），覆盖扩展至100m
• 跳频速率：1600次/s
• 跳频点数：79个频点/MHz
• 数据连接方式：面向连接业务SCO、无连接业务ACL。
• 秘钥：8bit为单位递减，最长128bit

HiperLAN

HiperLAN是无线局域网通信标准的一个子集，有HiperLAN/1和HiperLAN/2两类。

• 在HiperLAN/2网络中，移动终端（MT）通过接入点（AP） 接入固定网，一个AP（无线访问接入点）所覆盖的区域定义为一个小区，在室内一个小区的覆盖范围一般为30m，在室外一般为150m。

特点

• 面向连接：与其他无线局域网技术不同，在HiperLAN/2网络中数据的传输是面向连接（TCP） 的。
• 高传输速率：采用先进的OFDM调制技术，HiperLAN/2物理层最高可达54Mbps。
• QoS支持：HiperLAN/2的面向连接的特性有利于实现对QoS的支持。
• 自动频率分配：在每一个接入点覆盖区域中，AP能自动选择适合的无线信道进行数据传输。
• 安全性：HiperLAN/2支持认证和加密。
• 移动性：MT能够自动向最近的AP发射并接受数据从而进行通信。
• 网络与应用无关：HiperLAN/2协议栈具有一个灵活的结构，很容易适配并扩展不同固定网络。
• 省电：在HiperLAN/2中，MT节省功耗的机制使基于MT启动的休眠期状态。

IEEE802.11标准

IEEE802.11是第一代无线局域网WLAN标准之一，在1997年6月被IEEE委员会认可。

工作方式

802.11定义了两种类型的设备：无线结点和无线接入点；无线结点通常是在一台接入设备上加上一块无线网络接口卡 (网卡) 构成的；无线接入点的作用是提供无线和有线网络之前的桥接；

IEEE 802.11物理层

• IEEE802.11物理层包括两个扩频技术和一个红外传播规范，无线传播的频道定义在2.4GHz的ISM波段（无需注册） 内。扩频技术保证了IEEE802.11的设备在这个频段上的可用性和可靠的吞吐量，保证同频段不受影响。
• IEEE802.11无线标准定义的传输速率是1Mbps和2Mbps，可以使用调频扩频(FHSS)和直序扩频（DSSS）技术。FHSS和DSSS技术在运行机制上是完全不同的,所以采用这两种技术的设备没有互操作性。

IEEE802.11数据链路层

• IEEE802.11的MAC层采用了CSMA/CA协议（带有冲突避免的载波侦听多路访问）或者DCF (分布式协调功能) 来解决介质访问控制的问题；
• CSMA/CA利用ACK信号来避免冲突的发生，当客户端收到网络上返回的ACK信号后才确认发出的数据已经正确到达目的地。CSMA/CA提供无线的共享访问，显式的ACK机制在处理无线问题上非常有效。

各标准比较（重点）

IEEE802.11b的运行模式

802.11b运行模式基本分为两种：点对点模式和基本模式。

• 点对点模式：指无线网卡和无线网卡之间的通信方式。只要PC插上无线网卡即可与另一具有无线网卡的PC连接，最多可以连接256台PC。
• 基本模式：指无线网络规模扩充或无线和有线网络并存时的通信方式；插上无线网卡的PC需要由接入点与另一台PC连接。接入点负责频段管理与漫游管理，一个接入点最多可连接1024台PC

IEEE802.11b的典型解决方案

对等解决方案

一种最简单的应用方案，只要给每台计算机安装一片无线网卡，即可相互访问，如果需要与有线网路连接，可以为其中一台计算机再安装一片有线网卡，无线网中其余计算机即利用这台计算机作为网关，访问有线网路或共享打印机设备；对等解决方案是一种点对点方案，网络中的计算机只能一对一互相传送消息，而不能同时进行多点访问。（但如果希望多台计算机与有线局域网互通连接，则需要安装以太网网卡）

单点接入解决方案

无线接入点可以连接周边的无线网络终端，形成星形网络结构，并与有线网络相连，使整个无线网的终端都能访问有线网络的资源，并可通过路由器访问lnternet;

节点接入解决方案

当网络规模较大，可以采用多个独立的自主接入点，分别与有线网络相连，从而形成以有线网络为主干的多接入点的无线网络。统一无线网络：无线局域网控制器可以对多个接入点实现动态分配信道，优化发射功能，自动修复无线覆盖范围，用户漫游与安全性管理等功能。

其他的考的不多的

常用无线局域网设备

无线局域网主要包括以下硬件设备：无线网卡、无线接入点（AP）、天线，以及无线网桥、无线路由器和无线网关。

• 无线网卡：也叫WLAN适配器，是无线局域网系统中最基本的硬件。只要两台计算机各自拥有无线网卡，就可以实现点对点的通信，从而组成一个最小的无线局域网
• 无线接入点：也被称为无线AP，基本功能是集合无线或者有线终端。一个无线AP一般可以连接30台左右的无线网络终端或者是其他的无线AP。
• 天线：是连接AP，提高无线信号数据传输的稳定性和可靠性。
• 无线网桥：主要用于连接几个不同的网段，实现较远距离的无线数据通信。可以让连接的网络仍在一个逻辑子网
• 无线路由器和无线网关是具有路由功能的AP，具有NAT功能，可以建立一个无线局域网。

安装和调试无线接入点

Cisco Aironet 1100简介

CiscoAironet1100是无线局域网收发器的一种，主要是用于独立无线网络的中心点或无线网络和有线网络之间的连接点。兼容IEEE802.11b和IEEE802.11g，工作在2.4GHz频段，使用的是IOS操作系统

将接入点接入网络

• ①安装无线接入点之前，先向网络管理员询问以下信息：
• 系统名
• 无线网络中对大小写敏感的服务集标识符（SSID）
• 简单网络管理协议（SNMP）集合名称以及SNMP文件属性
• 如果没有连接到DHCP服务器，则需要为接入点指定一个唯一的IP地址
• 如果接入点与PC不在同一个子网内，则需要子网掩码和默认网关
• ②使用线内供电连接以太网的步骤如下
• 首先将以太网电缆的一端连接到接入点上标有Ethernet的RJ-45以太网接口。
• 然后电缆的另一端连接至：
• 1.带有线内供电交换面板，如CiscoCatalyst系列线内供电面板。
• 2.带有线内供电的交换机，如CiscoCatalyst3524-PWR-XL交换机。
• 3.Cisco Aironet电源注入器上标有To AP/Bridge的一端。标有To Network的另一端连接到10/100Mbps以太网。
• ③使用本地电源连接以太网的步骤如下。
• 首先将以太网电缆的一端连接到接入点上标有Ethernet的RJ-45以太网接口。
• 然后将电源模块的输出端接到DC48V电源接口。
• 最后将电源模块的另一端接到AC100~250V电源插座。

配置无线接入点

• 第一次配置无线接入点，一般采用本地配置方式，通常将无线接入点连接到一个有线的网络中，默认的IP地址是10.0.0.1，并成为小型的DHCP的服务器。接入点可以为设备分配的IP地址多达20个10.0.0.x范围内的IP地址。
• 以下为重点！
• tsunami也重要
  
  
• Yes和no的区别重要
• 首次配置无需指定SSID

统一无线网络原理与设计（考的少）

• 传统无线局域网架构：以无线接入点（AP）为中心，各AP见相互独立，需分别进行配置
• 存在缺点：管理无线网络安全性困难；无线网络与有线网络间无合适区域对数据

解决方案

• 将WLAN的部署、安全、管理和控制功能集中在一个中央平台，无线局域网控制器(AC)
• AC由众多AP共享，AP和AC可位于同一个VLAN或IP子网中，也可以位于两个完全不同的IP子网中。
• AP和AC之间采用隧道通信，隧道通常由控制信息隧道和数据隧道组成;
• AP和AC必须使用数字证书彼此认证对方，通常出厂时每台设备都预安装了一个X.509证书，有助于冒充的AP和AC无法进入网络。
  
  

无线统一网络中AC功能

无线统一网络中AP工作机制

AP供电

AP使用直流电，可采取下列方式之一给LAP供电：

• ①AC适配器：若AP附近有电源，可通过适配器直接将电源连接到AP
• ②PoweroverEthernet（PoE）：可使用内置电源或lEEE802.3af方法，通过交换机端口和以太网电缆给AP供电。
• ③电源注入器：被插入到交换机端口和AP以太网连接之间，将AP适配器直接插入到电源注入器中。（在LAP连接的交换机不支持PoE时使用）

AP启动

网络信息服务系统的安装和配置（此章中简单的都用图片了）

DNS

DNS服务器分类

• 根服务器：在Internet上有13个根DNS服务器（标号为a~m）;
• 顶级域名服务器：负责顶级域名（如com、edu、net、org和gov等）和所有国家的顶级域名（如cn等）。
• 权威DNS服务器：在Internet上具有公共可访问主机的每个组织结构必须提供公共可访问的DNS记录。

DNS配置主要参数

• ①正向查找区域：将*域名映射到IP地址**的数据库，用于将域名解析为IP地址。在大部分的DNS查询请求中，客户端一般执行正向查找。
• ②反向查找区域：将IP地址映射到域名的数据库，用于将IP地址解析为域名。DNS允许客户端在名称查询期间使用已知的IP地址，并根据它查找计算机的域名。
• ③资源记录：区域中的一组结构化记录。常用的资源记录有3个：
• 主机地址（A）资源记录，它将DNS域名映射到IP地址；
• 别名（CNAME）资源记录，将别名映射到标准DNS域名；
• 邮件交换器（MX）资源记录，为邮件交换器主机提供邮件路由。
• ④转发器：转发器也是一个DNS服务器，是本地DNS服务器用于将外部DNS名称的DNS查询转发给该DNS服务器。

DNS服务器安装与配置

DNS服务器在Windows2003Server操作系统

配置

• 为Windows Server 2003服务器设置固定的IP地址;
• 安装DNS服务器（缺省情况下，未安装DNS服务器，根服务器不需要手动添加（自动））
• 创建正向查找区域、反向查找区域；（反向查找区域可手工/自动添加（均可） 指针记录）
• 创建主机地址资源记录（主机记录的生存时间是指该记录在客户机缓存中持续时间)
• 测试DNS服务器（在命令窗口使用nslookup进行正向测试/反向测试（均可））
• ipconfig/flushdns可清除DNS缓存

DHCP

工作原理

• 第一次请求
  
• 互相之间都不知道ip
• 客户机全部以缺省地址0.0.0.0来发送自己的喊话，喊话全部是广播地址255.255.255.255
• 续租
  

DHCP主要参数

• 作用域：是网络上IP地址的完整连续范围。作用域通常定义为接受DHCP服务的网络上的单个物理子网。（DHCP服务器新建作用域时，必须输入的信息是起始IP地址和结束IP地址）
• 排除范围：是指从DHCP作用域中排除出去的、有限的IP地址。使用排除范围，可以保证服务器不将这些范围内的地址分配给DHCP客户机。（DHCP服务器添加排除时必须输入起始IP地址)
• 地址池：在定义了作用域和排除范围后，剩余的、可用的地址就构成了“地址池”。服务器可将地址池内的IP地址动态分配给DHCP客户机。
• 保留：可使用“保留”创建DHCP服务器指派的永久地址租约，可以保留一些特定的IP地址供DHCP客户机永久使用，确保子网上指定的设备始终使用相同的IP地址。保留地址可以使用作用域地址范围内的任何一个IP地址，即使该IP地址处于排除范围之内。
• 租约：是由DHCP服务器指定的一段时间，在此时间内客户机可使用指派的IP地址。租约期限决定了租约何时期满以及客户机需要向服务器对它进行更新的频率。
• 选项：是DHCP服务器在向DHCP客户机提供租约时可指派的其他客户机配置参数。

DHCP服务器安装

• DNS服务器在Windows 2003 Server操作系统。
• 为Windows Server 2003服务器设置静态IP地址
• 在Windows Server 2003下安装DHCP服务器
• 在Windows Server 2003下配置DHCP服务器
• 管理DHCP数据库
• 测试DHCP服务器

用于测试的命令

• 在DHCP客户机的命令行窗口中，使用ipconfig/all命令，可以查看客户机获得的IP地址及其他配置信息情况。
• 在DHCP客户机的命令行中执行ipconfig/release命令，可以释放已经获得的地址租约。
• 在DHCP客户机的命令行中执行ipconfig/renew命令，可以重新从DHCP服务器获得新的地址租约。

DHCP中继代理

• 功能：可以实现在不同子网和物理网段之间处理和转发DHCP信息。
• 如果DHCP客户机与DHCP服务器在同一个物理网段，则客户机可以正确地获得动态分配的ip地址。
• 如果不在同一个物理网段，则需要DHCP Relay Agent(中继代理）（地址分配从中继代理所处的地址池中去分配IP地址）。
• 用DHCPRelay代理可以去掉在每个物理的网段都要有DHCP服务器的必要，它可以传递消息到不在同一个物理子网的DHCP服务器，也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机。
  

WWW

WWW(World Wide Web），简称为"万维网”，是互联网上最流行的信息浏览检索工具。WWW分为Web客户端和Web服务器程序。WWW可以让Web客户端（常用浏览器）访问浏览Web服务器上的页面。WWW提供丰富的文本、图形、音频视频等多媒体信息，并将这些内容集合在一起，使得用户可以方便地在各个页面之间进行浏览。由于WWW内容丰富，浏览方便，目前已经成为互联网最重要的服务。

工作原理

WWW采用客户机/服务器的工作模式，

• Web浏览器向一个特定的Web服务器发出Web页面请求。
• Web服务器收到请求后，查找符合条件的Web页面，并将该页面信息回传给发送请求的Web浏览器。
• Web浏览器将接收到的Web页面展示给用户。

安装配置

• 使用IP地址测试网站
• 使用域名测试网站
• 访问Web站点的方式主要是在客户机浏览器的地址栏中输入域名、IP地址+端口号的形式；若TCP端口为默认，则输入域名或者IP地址、IP地址+端口号都可访问该网站；如果TCP端口不是默认的，只能采用IP地址+端口号访问访问该网站；
  

E-mail

• 电子邮件地址通常由两部分构成，例如 2964793117@qq.com，第一部分是信箱名
  （2964793117），第二部分为邮件服务器的域名（qq.com），两者之间使用@隔
  开。
• 发送方的邮件服务器软件在发送邮件时根据域名来确定要连接的接收方邮件服务器。
• 接收邮件服务器软件则使用信箱名来选择对应的邮箱将接收到的邮件存储起来。

相关协议

电子邮件系统使用的协议主要有SMTP、POP3和IMAP4；

• SMTP：简单邮件传输协议，用于发送电子邮件，默认TCP端口为25；
• POP：邮局协议，用于电子邮件的接收、访问和读取，使用TCP的110端口。现在常用的是第三版，简称为POP3；
• 邮件客户端可以通过IMAP协议从邮件服务器上获取邮件信息、下载邮件（管理邮件）等。
• IMAP协议运行在TCP/IP协议之上，默认使用的TCP端口为143，目前使用的是第四版，即IMAP4;
• 发送：SMTP
• 接收：POP和IMAP
  

主要参数

安装和配置

• E-mail服务器的安装、配置任务
• 在WindowsServer2003下安装Winmail邮件服务器（由于Winmail邮件服务器支持基于Web方式的访问和管理，因此在安装邮件服务器软件前，要安装IIS）;
• 在WindowsServer2003下配置Winmail邮件服务器；
• 测试Winmail邮件服务。
  
  
  
  

使用浏览器访问和管理Winmail Mail Server邮件服务器

①创建邮件服务器的访问与管理Web站点；
②设置网站的选项和Winmail邮件服务器的目录及文件的访问权限；
网站创建完成后，对相关的属性进行修改，在文档属性的默认文档中增加index.php添加应用扩展名名映射，添加PHPweb应用服务扩展。
如果要通过域名访问邮件服务器，还应在DNS服务器中增加邮件服务器主机地址资源记录和IP地址
③通过浏览器登录邮件服务器或注册新用户；
是否允许客户自行注册新邮箱是由管理员在邮件服务器的域参数中配置的
④使用浏览器管理邮件服务器

邮件交换器设置

• 为了能使其他邮件服务器将收件人的邮件转发到该服务器，需要建立邮件路由。
• 在DNS服务器中建立邮件服务器主机记录和邮件交换器记录。

测试邮件服务器

• 使用Outlook等客户端软件只能访问Winmail邮件服务器不能管理Winmail邮件服务器；
• 是否允许客户自行注册新邮箱是由管理员在邮件服务器的域参数中设置，如果在域参数设置中允许用户注册新邮箱，Winmail邮件服务器在运行中就可以允许用户自行注册新邮箱;
• Winmail邮件服务器允许用户使用Outlook建立好的邮件账户，但不支持用户使OutLook自行注册新邮件，用户自行注册新邮箱时需输入邮箱名、密码等信息，而域名是服务器固定的，并不能自行设置
  

FTP文件传输协议

主要考点

• ①FTP服务器的默认端口号为21，配置时也可输入选定的端口号；
• ②SerV_U FTP服务器中每个虚拟服务器由IP地址和端口号唯一识别；
• ③FTP服务器的域创建完成后管理员手动添加用户，才能被客户端访问；服务器的用户包括匿名用户（anonymous）和命名用户;
• ④最大上传速度和最大下载速度：是指整个FTP服务器占用的带宽，默认情况使用所有可用带宽。
• ⑤最大用户数：是指同时在线的最大用户数；
• ⑥IP地址可为空（表示服务器所有IP地址），服务器有多个IP地址或使用动态IP地址时，IP地址设置为空。
• ⑦对于小的域应选择.INI文件存储，对于大的域（用户数大于500）应选择注册表可以提供更高的性能

主要参数

流程

网络安全技术

数据备份策略

分类

• 从备份模式来看，可以分为物理备份和逻辑备份；
• 重点：从备份策略来看，可以分为完全备份、增量备份和差异备份；
• 根据备份服务器在备份过程中是否可以接收用户想要和进行数据更新，又可以分为离线备份和在线备份（或者称为冷备份和热备份）；

三大备份

完全备份

完全备份（fullbackup）是指对用户所指定的所有数据文件或整个系统进行全面备份，是一种常用的数据备份方式；

• 优点：直观，容易理解，可以快速的恢复所丢失的数据 （数据恢复时间短）
• 缺点：①因为要备份所有的数据，每次备份的工作量很大，所以需要大量的备份介质。
• ②不能频繁的备份，否则会存在大量重复的数据，占用大量的备份空间，会增加成本。
• ③备份大量数据时，所需的时间会很长。

增量备份

增量备份（incremental backup）只是备份那些自上次完全备份或增量备份后新创建的、被修改过的文件，即只备份所有发生变化的文件；(每次备份都是新base，所以每次都只保留当前diff)

• 优点：①更快、更小（备份速度更快，所占空间更小）；
• ②可进行频繁备份（偶尔进行完全备份后，频繁进行增量备份）；
• 缺点：恢复比较麻烦

差异备份

差异备份（differential backup）与增量备份相似，只备份新创建的或修改过的数据。但两者的区别在于，差异备份是累积的，一个文件只有自上次完全备份后被修改过或者是新创建的，则在以后每次进行差异备份时都会被备份，直到下一次完全备份为止;（以上一次完全备份为base，保存当前diff和上次完全备份后的所有diff）

• 优点：无须频繁的做完全备份，工作量小于完全备份，备份所需时间短，节省存
  储空间；
• 缺点：每次备份的任务比增量备份的工作量大，但数据恢复相对简单；
  

加密技术

• 加密就是利用密码学的方法对信息进行伪装，使得未授权者不能识别和理解其真正的含义，也不能伪造、篡改和破坏数据；
• 经过授权的接收者在收到密文后，进行与加密相逆的变换，去掉密文的伪装，恢复明文的过程称为解密；
• 加密和解密组成加密系统，明文和密文统称为报文。将信息从明文加密成密文，在从密文转换回明文的整个系统称为密码系统；

加密技术

对称加密技术

对称加密技术（又称为密钥密码技术）是指加密系统的加密密钥和解密密钥相同，或者虽然不同，但可以从其中一个密钥推导出另一个密钥。使用对称加密方法，加密方和解密方必须使用同一种加密算法和相同的密钥；

• 数据加密标准（DES） 算法是最经典的对称密钥加密算法，DES算法使用64位的密钥长度，其中8位用奇偶校验，用户可以使用其余的56位。
• 国际数据加密（IDEA） 算法是一个对称分组密码，明文和密文都是64位，密钥长度为128位，它的速度和能力类似于DES，但是更加安全。
• 其他比DES更安全的对称加密算法，如RC2算法、RC4算法、Skipjack算法 **等。
• 采用对称加密算法，网络中N个用户之间进行加密通信，需要密钥个数是N（N-1)*。

非对称加密技术

非对称加密技术对信息的加密于解密使用不同的密钥，用来加密的密钥是可以公开的，用来解密的私钥是需要保密的，因此又被称为公钥加密技术；

• 目前，常用的公钥算法包括：RSA算法、DSA算法、ECC椭圆曲线算法、PKCS算法与PGP算法等。
• RSA公钥加密算法是目前因特网上进行保密通信和数字签名的最有效的加密算法之一，RSA体制多用在数字签名、密钥管理和认证等方面。
• 采用非对称密钥技术算法，网络中N个用户之间进行加密通信，需要2N个密钥

入侵检测技术

入侵检测技术就是对入侵行为进行检测的技术。

入侵检测系统分类

根据数据来源和系统结构的不同，入侵检测系统可以分为基于主机的入侵检测系统和基于网络的入侵检测系统;

• ①基于主机的入侵检测系统（HIDS）：通常在被重点检测的主机上运行一个代理程序，用于监视、检测对于主机的攻击行为，通知用户并进行响应。
• ！！！！ ②基于网络的入侵检测系统一般通过将网卡设置成“混杂模式” 来收集在网上出现的数据帧，可采用的基本识别技术包括：模式匹配、频率或阈值、事件的相关性、统计意义上的非正常现象检测

分布式入侵检测系统

分布式入侵检测系统将数据收集和部分数据分析功能分布在网络中的不同主机运行，很大程度上解决了集中式入侵检测系统处理能力有限、容易单点失效等缺点 （集中式最容易出现单点故障）;

• 分布式的入侵检测系统有层次式、协作式和对等式3种类型。
• 对等式：对等模型的应用是的分布式入侵检测系统真正的避免了单点失效的发生;

入侵检测系统的部署

网络入侵检测系统一般由控制台和探测器组成。

• 控制台：提供图形界面来进行数据查询，查看警报并配置传感器。一个控制台可以管理多个探测器。
• 探测器的基本功能是捕获网络数据包，并对数据包进一步分析和判断，当发现可疑事件时触发探测器发送警报。
• 控制台和探测器之间的通信是加密传输的。

三种部署方式

• 利用交换设备的镜像功能：网络接口卡与交换设备的监控端口连接，通过交换设备的Span/Mirror功能将流向各端口的数据包复制一份给监控端口，入侵检测传感器的Span/Mirror功能将流向各端口的数据包复制一份给监控端口，入侵检测传感器从监控端口获得数据包进行分析和处理。
• 在网络链路中串接一台集线器：在网络中增加一台集线器改变网络拓扑结构，通过集线器 （共享式监听方式） 获取数据包
• 在网络链路中串接一台（TAP）分路器：入侵检测传感器通过一个TAP（分路器）设备对交换式网络中的数据包进行分析和处理。
  
  

入侵防护系统

入侵防护系统（IPS），是将防火墙技术和入侵检测技术进行整合并采用In-line的工作模式的系统，该系统倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失。

分类

入侵防护系统主要分为基于主机的入侵防护系统、基于网络的入侵防护系统和应用入侵防护系统;

• 基于主机的入侵防护系统（HIPS）：是安装在受保护的主机系统中，检测并阻挡针对本机的威胁和攻击，可以通过监视内核的系统调用来阻挡攻击并记录日志。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库或其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。
• 基于网络的入侵防护系统（NIPS）：布置于网络出口处，一般串联与防火墙与路由器之间，网络进出的数据流都必须通过它，从而保护整个网络的安全。因为攻击的误报 （漏报不会） 将导致合法的通信被阻断，导致拒绝服务，而性能不足会带来合法通信的延迟、甚至称为网络的瓶颈。
• 应用入侵防护系统（AIPS） 是由基于主机的入侵防护系统发展而来，一般部署在应用服务器前端，进而保证了应用服务器的安全性。应用入侵防护系统能够防止诸多入侵，包括SQL代码嵌入、缓冲区溢出、畸形数据包，cookie篡改、参数篡改、强制浏览、数量类型不匹配以及其他已知漏洞攻击。应用入侵防护系统通常部署在面向互联网的应用系统之前，能够成为应用服务器的重要安全屏障。重点重点重点

防病毒技术

计算机病毒是指编制或者在计算机程序中插入的破坏计算功能或者毁坏数据以影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

网络病毒

指在网络上传播，并对网络系统进行破坏的病毒。

恶意代码

是一种程序，通常是在不被察觉的情况把代码寄宿到另一段程序中，进而通过运行有入侵性或破坏性的程序

• 蠕虫：计算机蠕虫是一个自我包含的程序（或程序集），与计算机病毒的区别：蠕虫不需要把自身附加在宿主程序上，而是一个独立的程序，能够主动运行。
• 木马：寄生在用户的计算机系统中，盗用用户信息，并通过网络发送给黑客（木马是没有自我复制功能的恶意程序）

网络版防病毒系统结构

网络版防病毒软件采用分布式的体系结构，整个防病毒体系是由4个相互关联的子系统组成：系统中心、服务器端、客户端、管理控制平台。各个子系统协同工作，共同完成对整个网络的病毒防护工作；

• 系统中心：是网络版防病毒系统信息管理和病毒防护的自动控制核心。它能实时记录防护体系每台计算机上的病毒监控、检测和清除信息。其他子系统只有在系统中心工作后，才可以实现各自的网络防护功能。（系统中心必须先于其他子系统安装到符合条件的服务器上）
• 服务器端：服务器端是专门为可以用于网络服务器的操作系统而设计的防病毒子系统。
• 客户端：客户端是专门为网络工作站(客户机） 设计的防病毒子系统，承担中对当前工作站上病毒的实时监控、检测、清除任务，同时自动向系统中必报告病毒检测情况。
• 管理控制台：专门为网络管理员设计的，对网络防病毒系统进行设置，使用和控制的操作平台。它既可以安装到服务器上，也可以按照到客户机上，根据网络管理员的需要，可自由安装。

安装

系统中心的安装:

• 要求：先在服务器上安装系统中心，然后再进行其他模块的安装;
• 安装系统中心时，安装程序将在该服务器上同时安装一套服务器端系统和一套管理控制台系统。
• 安装系统中心的计算机应具备条件：全天候开机、可以方便地连接lnternet;

控制台的安装

• 通过光盘安装和远程安装两种方式，无论采用何种方式系统管理员都可以将管理控制台安装在其他计算机上;
• 它既可以安装到服务器上，也可以按照到客户机上，视网络管理员的需要，可自由安装。

服务器和客户端的安装

• 本地安装：直接利用安装程序在本地完成安装的方法，客户端和服务器都可以采用这种方式。
• 客户端远程安装：系统管理员可以通过管理控制台，给指定的系统客户端执行远程安装的操作;
• Web安装：用户通过浏览指定位置的网页版防病毒软件的安装。
• 脚本登录安装：实现网络版防病毒软件快速自动安装的一种方法。

网络防病毒系统主要参数配置

根据可信计算机系统评估准则（TESEC），用户能定义访问控制要求的自主保护类型系统属于C类
根据可信计算机系统评估准则（TCSEC），不能用于多用户环境下重要信息处理的系统属于D类

防火墙

• 防火墙指的是一个由软件和硬件设备组合而成的，在内部网和外部网之间、专用网和公共网之间的界面上构造的保护屏障，是一种获取安全性的形象说法;
• 防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
• 通常布置在企业内部网络和外部公告网络之间，企业中一些需要对外提供服务的服务器（如FTP、WWW、E-mail）通常部署在防火墙的DMZ区。

防火墙的网络接口

• 外部网络区域是指企业外部网络，也称为外网，如lnternet、第三方网络等，是互联网络中不被信任的区域。当外部区域想要访问内部区域的主机和服务时，可以通过对防火墙进行设置实现外部网络的有限制访问。
• 内部网络是指企业内部网络，或者企业内部网络的一部分，也称为内网。它是互联网络中的信任区域，应受到防火墙的保护。如企业内部的各个部门之间的局域网。
• DMZ（也称停火区） 是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器、Mail服务器等。

PIX 525防火墙访问管理模式

• ①非特权模式
• PIX防火墙开机自检后，就是处于非特权模式，系统显示为“pixfirewall"
• ②输入 “enable” 进入特权模式，可以改变当前配置，显示为“pixfirewall#（多一个#号）"
• 输入“enable”进入特权模式，可以改变当前配置，显示为“pixfirewall#"
• ③配置模式
• 输入"configure terminal"进入配置模式，绝大部分的系统配置都在这里进行。显示"pixfirewall(config)#"
• ④监视模式
• 在PIX防火墙在开机或重启过程中，按住Escape键或发送一个“Break”字符，即可进入监视模式，这里可以更新操作系统映像和进行口令恢复。显示为“monitor>”

PIX525防火墙基本配置

防火墙有9个基本配置命令：nameif、interface、ip address、nat、global、route、static、conduit、 fixup。

• ①nameif：用于配置防火墙接口的名字，并指定安全级别。

• 配置示例：
  Pix525(config)#nameif ethernet0 outside security0
  Pix525(config)#nameif ethernet1 inside secyrity100
  Pix525(config)#nameif dmz security50

• 在默认配置中，以太网0端口被命令为外部接口（outside），安全级别是0；以太网1端口被命名为内部接口（inside），安全级别是100。安全级别取值范围为1～99，数字越大级别越高。

• ②nat：指定要进行转换的内部地址

• 配置: Pix525(config)#nat(static) 1 192.168.0.4 255.255.255.0

• nat作用是将内网的私有IP地址转换为外网的共享IP地址。nat命令总是与global命令一起使用，因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行访问。

• ③ global：指定外部地址范围（地址池）

• 配置: Pix525(config)#global(outside)1 202.112.10.4-202.112.10.16

• 内网的主机通过防火墙要访问外网时，防火墙将使用这段IP地址池为要访问外网的主机分配一个全局IP地址。

• 需要先用global命令制定一个可以转化的ip地址池，然后用nat命令访问外网（使用地址池中的某个ip）

• ④ static：配置静态nat，static命令用于创建内部IP地址和外部IP地址之间的静态映射。
  

• ⑤conduit：管道命令

• conduit命令配置语法：conduit permit丨deny （protocol） （global_ip） [port] foreign_ip [netmask]

• 其中，permit | deny表示允许或拒绝访问；protocol指的是连接协议。Global_ip指的是先前由global或static命令定义的全局IP地址；port指的是服务所有作用的端口Foreign_ip表示可访问global_ip的外部IP。

• 配置1: Pix525 (config)# conduit permit tcp host 192.168.0.3 eq www（代指80端口） any（任意来源ip）

• 含义：配置允许任何外部主机对全局地址192.168.0.3的这台主机进行HTTP访问。

• ⑥fixup：配置FIXUP协议

• fixup命令的作用是启用、禁止、改变一个服务或协议PIX防火墙的端口，由fixup命令指定的端口是PIX防火墙要侦听的服务。

• eg:配置1：启用FTP协议，并指定FTP的端口号位22。
  Pix525(config)#fixup protocol ftp 22
  配置2：禁用SMTP协议。
  Pix525(config)#no fixup protocol smtp（未跟端口号时用该协议的默认端口号）

网络管理技术

SNMP (Simple Network Management Protocol)：主要基于 UDP（用户数据报协议）​​

• SNMP管理模型是Internet组织用来管理TCP/IP互联网和以太网，有三个组成部分：管理站、代理和MIB，其管理模型是一个Manager/Agent模型，类似于Clinet/Sever模式。
• 管理站（Manager）通过SNMP定义的PDU向代理（Agent）发出请求，而Agent将得到的MIB值通过SNMP协议传送给Manager。
  

SNMP版本

• SNMPv1是最基本、最简单的；SNMPv2主要弥补版本1在安全方面的缺陷；：SNMPv3加强了安全性并且与SNMPv1具有很好的兼容性；
• SNMP采用一种分布式的结构，一个管理站可以管理控制多个代理；反之，一个代理可以被多个管理站所管理、控制。（所以是多对多的关系）

SNMP管理站和代理

• SNMP采用“团体”实现安全控制，每个团体都被指定拥有一个团体名。一个团体包括一个代理和若干个管理控制该代理的管理站；
• 管理站和代理之间发送、接收报文时必须以团体名进行认证，只有团体名正确、认证通过，报文才能被接收。一个团体可以规定具有一种访问模式（主要有read-only和read-write两种）。

管理信息库MIB-2

• MIB-2采用树形结构描述，相当于管理数据库，每个MIB-2对象都有一个唯一的对象标识符（OID）来标识和命令。
• MIB-2库中对象值数据类型是有三种简单类型和应用类型。
• 简单类型包括整数（32位）、8个一组的字符串和对象标识符；
• 应用类型包括IP地址、计算器、计量器、时钟等。
• 时钟类型用来记录从某个事件的发生开始到目前为止所经过的时间，单位是0.01s;
• 计数器类型是一个非负的整数，从0开始逐步增加但不能减少，一直增加到最大，然后回到0在从头开始;
• 计量器和计数器相似，唯一区别是计量器的值可以增加也可以减少，而且增加到最大值以后不归0，而是不再增加（封顶），但可以降下来。

SNMP支持的操作

• SNMP支持的操作主要有：获取（Get）、设置（Set）、通知（Notification），每种操作都有相应的PDU格式；
• ①Get操作：用于管理站向代理查询被管理设备上的MIB库数据，分为Get和GetNext两个操作，分别查询指定对象的值和查询指定对象的下一个相邻对象的值。
• 当管理站需要查询时，向某个代理发出包含有 “团体名”和GetRequestPDU（GetNextRequestPDU）的报文；代理收到这样的请求报文后，根据要求提取MIB库数据，构成了一个包含有同样“团体名”和GetResponsePDU的报文，发给管理站;
• ②Set操作：用于管理站命令代理对被管理设备上MIB库中的对象值进行设置;
• 当管理站需要修改被管理设备上MIB库的某个数据时，就向某个代理发出包含有“团体名”和SetRequestPDU的报文。代理收到请求报文后，执行设置操作并返回包含有GetResponsePDU的报文。
• 注意！！：团体字的访问模式必须是read-write时才能实现Set操作
• ③Notification操作：用于代理主动向管理站报告被管理对象的某些变化。该操作又可以分为自陷（Trap）和通知（lnform） 两类
• Trap：又称为"中断”或“陷入”；每当出现Trap情况时，代理就会向管理站发出包含有“团体名”和TrapPDU的报文(发送自陷消息本来就不会得到恢复)。
• Inform: 需要SNMP管理站确认接收的Trap，当管理站收到一条Inform通知后需要向发生者回复一条确认信息。

SNMP配置命令（不考大题）

• ①创建或修改对SNMP团体名的访问控制
• 命令格式：(config)# snmp-server community<团体名>[view<视阀名>] [{ro | rw}] [访问控制表号]
  在配置的过程中，代理和管理站配置的团体名要相同（要唯一标识）；
  视阀名规定了本团体内访问管理信息库的范围；
  ro l rw：用来设置管理站对代理的操作权限，ro为只读，rw为可读写；
  访问控制表号是一个介于1～99的整数。
• ②创建或修改一个SNMP视阀
• 命令格式：(config)#snmp-server view<视阀名><对象标识符或子树>{included｜excluded}
  参数说明如下:
  视阀名，管理人员指定的一个字符串;
  对象标识符或子树，是在这个视阀中包含（included）或排除（excluded） 的MIB库对象的标识符
  例如：建议一个视阀，名为part-object，它包括MIB-2库中系统组的所有对象和Cisco私
  有库的所有对象。
  (config)#snmp-server view part-object system included
  (config)#snmp-server view part-object cisco included
  
  

ICMP（Internet Control Message Protocol）​

• ICMP工作在网络层，是一种管理协议，用于在IP主机、路由器之间传递消息和差错报告。
• 在网络中，比如使用ping命令检查网络通不通，其执行过程就是运用ICMP工作过程。
• ICMP消息被封装在IP数据包内，通过IP包传送的ICMP信息主要是涉及错误操作的报告和回送给源结点的关于IP数据包处理情况的消息；
• ICMP的功能是报告问题，无法纠正错误，纠正错误的任务由发送方完成。
  

功能

• ①通告网络错误
• 当数据包在传输过程中，如果不出现网络不可达 （网络出现故障）、主机不可达 （IP地址错误） 、协议不可达（目的节点不支持数据包中指定的高层协议）、端口不可达（数据包指定的目的端口在目的节点无效）等错误，相关路由器或主机上的ICMP会向源节点发送一个“目标不可达”的ICMP报文。
• ②通告网络拥塞
• 当路由器或目标主机因缓存满来不及处理而丢弃IP数据包时，它会向发送数据包的源节点发出一个“源抑制”的ICMP报文。源节点收到这个报文后会降低发送速度。
• ③协助查找网络故障
• ICMP支持Echo（回送）功能，在两个主机之间发送一个往返的数据包。当网络中一个节点主动向另一个节点发出“Echo请求”报文，其中包含着这个报文的标识和序列号，收到该报文的节点则必须向源节点发出"Echo应答”报文。
• Ping命令即是利用这个功能，在网络上传输一系列数据包，测量平均往返时间并计算丢包率。
• ④通告超时
• 每个IP数据包的包头部分有一个8比特的“生存期”（TTL） 字段，取值范围是0~255。IP数据包在传输过程中，每经过一个路由器，该字段的值便减1。
• 一个IP数据包从源节点出发时，它的TTL已被预先设定一个数值，在传输过程中如果该IP包的TTL降低到零，路由器就会丢弃此包，这时会生成一个“超时（time exceeded）的ICMP报文，通告这一事实。
• trace就是一种基于上述功能的通用网络管理工具，它通过发送小TTL值的包及监视ICMP超时通告来探知网络路由
  

Windows 2003网络管理

• net view显示域列表、计算机列表或指定计算机上共享资源列表
• net statistic：显示本地工作站或服务器服务的统计日志
  
• 考的最多
  
• pathping检测本机配置DNS服务器是否工作正常
• route可修改主机默认网关设置

网络攻击和漏洞查询

常见协议欺骗攻击

• ARP欺骗攻击:利用ARP协议漏洞，通过伪造IP地址和MAC地址实现ARP欺骗的攻击技术。
• IP欺骗攻击：通过伪造某台主机的IP地址来骗取特权，进行攻击。
• DNS欺骗攻击：攻击者通过这种欺骗手段，使用户查询（DNS）服务器进行域名解析时获得一个错误的IP地址，从而引|导用户访问一个错误的站点。
• 源路由欺骗攻击：通过指定路由，以假冒身份与其他主机进行合法通信或者发送假报文，使受攻击主机出现错误动作。
• 拒绝服务攻击（DoS）：即攻击者通过发送大量合法的请求或数据来占用和消耗过多的服务资源，使得网络服务不能响应正常的请求。

常见DOS(DOS可以被网络防火墙，即基于网络的入侵防护系统防护所防攻击)

• Smurf攻击：攻击者冒充受害主机的lP地址，向一个大的网络发送echorequest的定向广播包，此网络中很多主机都做出回应，受害主机会收到大量echoreply消息。
• SYN洪泛滥（SYNFlooding）：是利用TCP连接的三次握手过程进行攻击。攻击者主机使用无效的IP地址，与被攻击主机进行TCP的三次握手。
• Ping of Death：是通过构造出重组缓冲区大小的异常的ICMP包进行攻击。
• 分布式拒绝服务攻击（DDoS）：指通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成受害主机无法处理而拒绝服务。
• Teardrop攻击：指利用os处理分片重叠报文的漏洞进行攻击。
• Land攻击：指向某个设备发送数据包，并将数据报的源IP地址和目的IP地址都设置成攻击目标的地址

漏洞查找

扫描分为被动和主动，被动扫描对网络上流量进行分析，不产生额外的流量，也不会导致系统的崩溃；主动扫描则更多带有入侵的意味，可能会影响网络系统的正常运行。

网络故障查找和排除

NetFlow协议

NetFlow协议：基于IP流记录的流量监测方法涉及的重要协议。

• 工作原理：将所有经过设备的数据包按照一定的规则进行汇聚，然后缓存在设备内存中，当满足预设的条件后，将缓存数据以UDP包的形式发送到指定的服务器。
• IETE标准规范RFC 3917 IPFIX 以NetFIowv9为蓝本。
• NetFlow流记录格式主要有v1、v5、v7、v8、v9五个版本，其中v5在路由器上使用最广泛。

结构

NetFlowl以流 (Flow)作为数据采集的基本单位。
流：特定源和目的端的单向数据报文序列，即源IP、目的IP、源端口、目的端口、三层协议、服务类型和路由器入口7个属性相同的报文作为一条流。

NetFlow三层协议

Cisco路由器NetFlow配置（只用记标黑体的）

• 配置接口
  Router(config) # interface f0/0
  Router(config-if) # ip route -cache flow
  Router(config-if) # exit
• 采集服务器的IP地址和监听端口
  Router(config) #ip flow -export destination 202.113.79.25 9996
• 配置输出版本
  Router(config) #ip flow -export version 5
• 配置生成警告和显示故障排除数据时间（默认30min）
  Router(config) # ip flow -cache timeout active 1
• 配置NetFlow的数据源（一般交换机上建议配置loopback0)
  Router(config) # ip flow - export source loopback 0
• 保存配置
  Router # write
• 查看NetFlow的配置信息
  Router(config) # exit
  Router(config) #show ip flow export
• 查看netflow采集到的信息
  Router(config) # sh ip cache flow
  Router(config) # sh ip cache verbose flow

大题常考命令

路由器综合配置

路由器基础

DHCP部分

ACL部分

交换机配置

vlan data进入vlan设置

DHCP报文分析

如果使用 wareshark捕获报文（题中会给）则,Src x.x.x.x,Dst x.x.x.x

抓包分析

DNS和ICMP

• 第一条DNS请求的IP地址（S）是主机地址，（D）为DNS服务器的IP地址
  • DNS NAME=（第一条报文）后有跟着要访问的域名
• ICMP报文的Time-to-live考察主机执行的tracert+域名
  • ICMP有多条消息，第一个路由地址是ICMP的第一条报文，考察功能也就是路由也是主机配置的网关，即访问域名时首先发送到默认路由器，如果要问功能，只需要答“路由”
  • 第二个IP地址的功能也是路由
  • 下面的信息为选中报文的详细信息，查看协议protocol即为该报文协议。其中一个完整报文的部分信息段中的Source address仍然是本主机的源地址，可能与该条报文的写着的源地址并不一样
    

FTP

• JACKSON：主机地址，但这里是主机名，需要找其对应的详细信息
  • DNS服务器地址IP
• 443为加密URL：https://
• TCP协议号为6
• SYN对应的Flags为02
  
  目的地址和详细地址观察一不一致，如果不一致则证明最终的整体目的为大报文的目的地址为准!
  

DNS解析问题

• 出现多个域名。以后解析的为准，有时会解析出多个，但只访问后一个
• echo，echo应答为ping命令