- 1Matlab BP神经网络工具箱之feedforwardnet使用小结
- 2springboot泊车收费管理系统-JAVA【毕业设计、快速开发、源码、开题报告】_java开源项目代客泊车
- 3【研究周报】第1周_gan 教师 学生网络复原
- 4计算机软件的安装步骤及注意事项,组态软件介绍以及安装注意事项
- 5密码学理论05:对称密码认证——消息认证码_对称密码算法的消息鉴别码
- 6什么是Haproxy集群,为什么说它可靠性稳定?_haproxy自身的可靠性
- 7湖北移动CM201-1-CH _S905L3B-UWE5621DS_线刷固件包
- 8Xshell连接Vmware中的虚拟机_xshell连接vmware虚拟机
- 9C++11的tuple用法笔记_c++ tuple的用法
- 10linux下crossover打开软件,如何借助CrossOver在Linux上运行Windows程序
计算机等级考试——三级网络技术重点知识笔记_点分十进制地址,x.x.x.为什么比特 其值为什么
赞
踩
第一章
宽带城域网的结构
1.宽带城域网的逻辑结构
完整的宽带城域网主要包括网络平台、业务平台、管理平台3个平台与城市宽带一个出口。
2.宽带城域网网络平台各层的主要功能
①核心交换层的基本功能:
- 核心交换层将多个汇聚层连接起来,为汇聚层的网络提供高速转发,为整个城域网提供一个高速、安全与具有QoS保障能力的数据传输环境;
- 核心交换层实现与主干网络的互联,提供城市的宽带IP数据出口;
- 核心交换层提供宽带城域网的用户访问Internet所需要的路由服务
②汇聚层的基本功能:
- 汇聚接入层的用户流量,进行数据分组传输的汇聚、转发与交换;
- 根据汇聚接入层的用户流量,进行本地路由、过滤、流量均衡、QoS优先级管理以及安全控制、IP地址转换、流量整形等处理;
- 根据处理结果把用户流量转发到核心交换层或本地进行路由处理
③接入层的基本功能:
- 接入层解决的是“最后一公里”问题。通过各种接入技术,连接最终用户,为它所覆盖范围内的用户提供访问Internet以及其他的信息服务
三层结构思想:上层负责下层的数据汇聚;核心层提供出口与QoS、汇聚本地路由,接入服务用户
宽带城域网网络平台的核心层主要承担高速数据交换的功能,汇聚层主要承担路由与流量汇聚的功能,接入层主要承担用户接入与本地流量控制的功能。
管理和运营宽带城域网的关键技术
1.网络管理
- 带内网络管理是利用传统的电信网络,通过数据通信网(DCN)或公共交换电话网(PSTN)拨号,对网络设备进行数据配置;
- 带外网络管理是指利用IP网络及协议进行网络管理,是利用简单网络管理协议(SNMP)建立网络管理系统;
- 对汇聚层以下采用带内管理,而对汇聚层及其以上设备采取带外管理
2.QoS
- 在宽带城域网业务中有多媒体业务、数据业务与普通的语音服务;网络服务质量表现在延迟、抖动、吞吐量和丢包率等几个方面;
- 目前宽带城域网保证QoS要求的技术主要有:资源预留(RSVP)、区分服务(DiffServ)与多协议标记交换(MPLS)。
3.用户管理
- 宽带城域网的用户管理应该包括用户认证与接入管理、计费管理等,能够为用户提供带宽保证,实现流量工程。
4.IP地址分配与地址转换
- 为了解决IP地址不足的问题,目前的基本方案是使用内部专用IP地址与网络地址转换(NAT)技术,只为宽带城域网的关键设备与特殊用户分配固定的公用IP地址。
构建宽带城域网的基本技术与方案
1.基于10GE技术的宽带城域网
- 光以太网是以太网与DWDM技术相结合的产物,可运营以太网的设备和线路必须符合电信网络99.999%的高运行可靠性,并具备以下特征:
①能够根据终端用户的实际应用需求分配带宽,保证带宽资源充分、合理地应用。
②具有认证与授权功能,用户访问网络资源必须经过认证和授权,确保用户和网络资源的安全及 合法使用。支持VPN和防火墙,可以有效地保证网络安全。
③支持MPLS(多协议标签交换),具有一定的服务质量保证,提供分等级的QoS网络服务。
④提供计费功能,能及时获取用户的上网时间记录和流量记录,支持按上网时间、用户流量记 录,或提供包月计费方式,支持实时计费。
⑤能够方便、快速、灵活地适应用户和业务的扩展。
2.基于弹性分组环技术的宽带城域网
RPR采用双环结构,有内环和外环,两个RPR结点之间的裸光纤的最大长度可达到100km,两环均有实现“自愈环”的功能,均可以传输数据分组与控制分组,且可用统计时分多路复用的方法传输IP分组。
特点1:公平性好
RPR环中每个结点都执行SRP公平算法,使得结点之间能够获得平等的带宽,防止个结点因流量过大而造成环拥塞。同时,RPR环还支持加权公平法则和入口、出口峰值速率限制,用以保证能够根据用户购买的带宽提供相应的服务。
特点2:带宽的利用率高
RPR采用双环结构传输数据分组和控制分组,并限制数据帧只在源结点与目的结点之间的光纤段上传输,当源结点成功地发送一个数据帧之后,这个数据帧要由目的结点从环中收回。如此,该数据帧将不再占用下游段的环带宽,从而提高了环带宽的利用率。
特点3:保证服务质量
RPR环对不同的业务数据分配不同的优先级,以保证优先级信息的可靠传输,从而保证了网络的服务质量。
特点4:快速保护和恢复能力强大
RPR有自愈环的功能,能够在50ms的时间内,隔离出现故障的结点和光纤段,并可在没有专用带宽的前提下即能够提供SDH级的快速保护和恢复。
网络接入技术与方法
1.宽带接入技术的基本类型
从用户接入的角度,宽带接入可以分为接入技术与接入方式两种类型,其中接入方式与用户工作环境与需求相关。
从技术实现的角度,目前宽带接入技术主要有:数字用户线(xDSL)技术、光纤同轴电缆混合网(HFC)技术、光纤接入技术、局域网接入技术以及无线接入技术。其中,无线接入又可以分为无线局域网接入(WiFi)、无线城域网接入(WiMAX)与无线Ad hoc接入。
2.各种接入技术
(1)数字用户线xDSL接入技术
xDSL中x的意思是表示它的不同类型,例如,可以理解x是A、H或RA等,它们对应于不同的数字用户线技术。xDSL技术根据上行(用户到交换局)和下行(交换局到用户)的速率是否可分为速率对称型和速率非对称型两种。
根据信号传输的速率、距离以及上行速率与下行速率的不同,xDSL技术主要可以分为以下几种。
- 非对称数字用户线(Asymmetric Digital Subscriber Line,ADSL)
- 高比特率数字用户线(High bitrate DSL,HDSL)
- 速率自适应数字用户线(Rate adaptive DSL,RADSL)
- 甚高比特率数字用户线(Very high bit rate DSL,VDSL)
xDSL技术的上行与下行速率
ADSL的技术特点主要表现在如下几个方面
- 能够利用现有的用户电话铜双绞线,以重叠和不干扰传统模拟电话业务的方式,即普通电话业务(POST)的方式,提供高速数字业务。ADSL允许用户在保留已有的模拟电话业务的同时,进行Internet在线访问、视频点播(VOD)等新型宽带业务。
- 该技术与本地环路的实际参数以及用户电话铜双绞线的特性关系都不大,所以用户不需要进行电缆的重新铺设。
- 上行速率在64-640kbit/s,下行速率在500kbit/s~7Mbit/s。用户可以根据需要自行选择。
(2)光纤同轴电缆混合网
①光纤同轴电缆混合网的基本结构
HFC是由电视头端、长距离干线、放大器、馈线与下引线组成
- HFC是新一代的有线电视网络,是一个双向传输系统,光纤结点通过同轴电缆下引线可以为500~2000个用户服务。
- HFC改善了信号质量,提高了可靠性,线路可以使用的带宽甚至可以达到1GHz
- 从用户接入的角度来看,光纤到HFC是经过双向改造的有线电视网络,是用户通过有线电视宽带接入Internet的一种重要的方式。
- HFC是使用Cable Modem(电缆调制解调器),通过有线电视接入Internet的,数据传输速率可达10-36Mbit/s
②电缆调制解调器(Cable Modem)
Cable Modem把用户计算机与有线电视同轴电缆连接起来,不仅有调制解调功能,也带有加密解密和协议适配,以及网桥、路由器与集线器的部分功能。 Cable Modem利用频分复用的方法,将双向信道分为:从计算机终端到网络方向称为上行信道,从网络到计算机终端方向称为下行信道
- 从数据传输方向上,Cable Modem可以分为单向、双向两类
- 从传输方式上,Cable Modem可以分为双向对称式传输和非对称式传输两类
- 从同步方式上,Cable Modem可以分为类似于Ethernet的同步叫唤和类似于ATM技术的异步交换两类
- 从接入的角度,Cable Modem可以分为个人Cable Modem和宽带多用户Cable Modem
- 从接口的角度,Cable Modem可分为外置式、内置式和交互式机顶盒3种
(3)光纤接入技术
APON(宽带无源光网络)是ATMPON的简称。ATM是一种基于信元的传输协议,能为接入网提供动态的带宽分配,从而更适合宽带数据业务的需要。
EPON(以太网无源光网络)是基于以太网的PON技术。EPON采用点到多点结构、无源光纤传输,在以太网之上提供多种业务,EPON是一种实现光纤到户的重要技术。
- 无源光纤网(PON)是ITU“基于无源光纤网的高速光纤接入系统”下进行标准化的。
- OC-3 155.520Mbit/s的对称业务
- 上行OC-3 155.520Mbit/s;下行OC-12 622.080Mbiit/s的不对称业务
- 传输介质可以是一根或两根单模光纤,双向传输通过波分复用(一根或两根光纤)实现
注:OC-1=51.84Mbit/s OC-3就是OC-1*3,以此类推
(4)宽带无线接入技术
①无线接入技术的分类与应用
无线接入技术主要有IEEE 802.11标准的无线局域网(WLAN)接入、IEEE 802.16标准的无线城域网(WMAN)接入,以及正在发展的Ad hoc接入技术几种。
近距离使用可采用IEEE 802.11标准的无线局域网技术,它可以满足地理范围内的用户无线接入需求;远距离使用则采用IEEE 802.16标准的WiMAX技术,该技术可以在50km范围内提供最高70Mbit/s的传输速率。
IEEE 802.11标准与IEEE 802.16标准均针对无线环境,但由于适用对象不同,采用的技术与协议解决问题的重点也不相同。IEEE 802.11标准的重点在解决局域网范围的移动结点通信问题,而IEEE 802.16标准的重点是解决建筑物之间的数据通信问题。
②IEEE 802.11标准与无线局域网
- IEEE 802.11定义了使用红外、调频扩频与直接序列扩频技术,数据传输速率为1Mbit/s或2Mbit/s
- IEEE 802.11a将传输速率提高到54Mbit/s
- IEEE 802.11b定义了使用直序扩频技术,传输速率为1Mbit/s、2Mbit/s、5.5Mbit/s与11Mbit/s
③IEEE 802.16标准与无线城域网
- 按IEEE 802.16标准建立采用全双工、宽带通信方式工作的基站
- IEEE 802.16标准规定了无线网络使用更高的、毫米波的10~66GHz波段的频率
- 在IEEE802.16标准上增加了两个物理层标准IEEE 802.16d与IEEE 802.16e
- 与IEEE 802.16标准工作组对应的论坛组织是WiMAX,最高的传输速率为134Mbit/s
第二章
网络总体设计基本方法
- 设计网络建设总目标
- 确定网络系统方案设计原则
- 网络系统总体设计
- 设计网络拓扑结构
- 进行网络设备选型
- 网络系统安全设计
1.核心层网络结构设计
整个网络系统的主干部分是核心层网络,它是设计与建设的重点。目前应用于核心层网络的技术标准主要是GE/10GE,核心设备是高性能交换路由器,连接核心路由器的是具有冗余链路的光纤。整个网络流量的40%~60%都需要由核心层网络来承载。
图a中采用链路冗余的办法直接连接两台核心路由器,其特点是直接利用了核心路由器的带宽,但是占用的核心路由器端口较多,而高端路由器的端口价格很高,所以设备成本会上升;
图b采取专用服务器交换机,在两台核心路由器之上再增加一台连接路由器集群的交换机,同时采用链路冗余的办法,间接地连接到两台核心路由器,其优点是可以分担核心路由器的带宽,缺点是会形成带宽瓶颈,存在单点故障的潜在危险。
2.汇聚层网络与接入层网络结构设计
汇聚层网络可以将位于不同位置的子网连接到核心层网络,实现路由汇聚的功能。对网络系统进行分层设计可便于规划与分配带宽,有利于均衡负荷,提高网络效率。实际情况验证:层次之间的上联带宽与下一级带宽之比一般控制在1:20。
3.交换机的类别与主要技术指标
(1)交换机的分类
- 按所支持的技术类型,可以将交换机分为10Mbit/s Ethernet交换机、Fast Ethernet交换机速率达与1Gbit/s的GE交换机。
- 按内部结构,可以将交换机分为模块式交换机与固定端交换机。
- 按应用规模,可以将交换机分为:企业级交换机、部门级交换机与工作组级交换机。
(2)交换机的主要技术指标
交换机的主要技术指标包括:背板带宽、全双工端口总带宽、交换方式、帧转发速率、延时、模块式或固定端口配置、支持VLAN能力等。
①全双工端口总带宽
全双工端口带宽的计算方法:端口数端口速率2
网络关键设备选型
1.网络关键设备选型的基本原则
- 厂商与产品系列的选择
- 网络的可扩展性考虑
- 网络技术先进性考虑
2.路由器选型的依据
(1)路由器的分类
一般按路由器的性能进行分类,即可分为高端路由器(高端核心路由器)、中端路由器(或企业级路由器)与低端路由器。路由器性能主要指路由器背板交换能力,背板交换能力大于40Gbit/s的称作高端路由器;背板交换能力低于40Gbit/s的称为中低端路由器。
(2)路由器的关键技术指标
①吞吐量
路由器的吞吐量是指它的包转发能力,涉及两个方面的内容:端口吞吐量与整机吞吐量。端口吞吐量是指路由器的某一个端口的包转发能力,而整机吞吐量是指路由器整机的包转发能力。路由器的吞吐量与路由器的端口数量和速率、包类型、包长度关系密切。
②背板能力
背板是路由器输入端与输出端之间的物理通道,它决定了路由器的吞吐量。高性能路由器一般采用交换式结构,而传统的路由器采用的是共享背板的结构。
③延时与延时抖动
从数据包的第一个字节进入路由器,到该帧的最后一个字节离开路由器其间所经历的时间就是所谓的延时。延时与包长度、链路传输速率有关。
延时的变化量就是延时抖动。由于数据包对延时抖动要求不高,所以一般不把延时抖动作为衡量高速路由器的主要指标,但是语音、视频业务对延时抖动要求却较高。
④丢包率
丢包率是指在持续的、稳定的负荷情况下,由于包转发能力的限制而造成的包丢失的概率。
丢包率常被用作路由器超负荷工作时的性能衡量指标。
⑤突发处理能力
常以最小帧间隔发送数据包而不引起丢失的最大发送速率来衡量突发处理能力。
⑥服务质量
路由器的服务质量主要表现在队列管理机制、端口硬件队列管理和支持QoS协议上。
队列管理机制是指路由器的队列调度算法与拥塞管理机制。
⑦路由表容量
路由表是路由器用来决定包转发路径的主要依据。建立和维护与当前网络链路状态与节点状态相适应的路由表是路由器的主要任务之一。路由表容量是指路由器可以存储的最多的路由表项的数量。
⑧典型的高端路由器的可靠性与可用性指标应该达到以下几点:
- 无故障连续工作时间(MTBF)大于10万小时,且系统故障恢复时间小于30min
- 系统具有自动保护切换功能,主备用切换时间小于50ms
- SDH与ATM接口自动保护切换功能,切换时间小于50ms
- 路由器系统内部不存在单故障点
- 主处理器、主存储器、交换矩阵、电源、总线管理器与网络管理接口等主要不见需要由热拔插冗余备份,线卡要求有备份,并提供远程测试诊断能力
⑨网管能力
路由器的网络管理能力表现在网络管理员可以通过网络管理程序和通用的网络管理协议SNMPv2等,对网络资源进行集中管理与操作。
网络服务器选型
1.网络服务器的分类
- 按照应用领域不同,可以将网络服务器分为:Internet通用服务器、数据库服务器、文件服务器与应用服务器等
- 按照网络应用规模不同,网络服务器可以分为:基础级服务器、工作组服务器、部门级服务器、企业级服务器
- 按照网络服务器主机的硬件体系结构可以分为:基于CISC处理器的Inter机构(IA)的PC服务器;基于RISC结构处理器的服务器;小型机服务器
基于精简指令集(RISC)结构处理器的服务器与相应的PC服务器相比,CPU处理能力提高了50%~75%。各种大型、中型计算机和超级服务器都采用RISC结构处理器,操作系统采用UNIX,所以通常将此类服务器称作UNIX服务器。
服务器采用的相关技术
- 热拔插技术
- 热拔插功能可以实现用户在不断电的情况下进行故障硬盘、板卡等部件的更换,所以使得系统应对突发事件能力大大提高。另外,高端应用的磁盘镜像系统提高了磁盘的热拔插功能,大大缩减了系统故障修复时间。
- 注意:如果系统是两个电源,则热拔插功能可以实现在用户不断电的情况下进行故障电源的更换。
- 集群(Cluster)技术
- 集群技术大大提高了系统的数据处理能力。它是向一组独立的计算机提供高速通信线路,并使其组成一个共享数据存储空间的服务器系统。如果其中某台主机出现故障,该主机所运行的程序将立即转移到其他主机运行,可见集群计算技术可以使服务器的可用性、可靠性与容灾能力得到大大提高。
- 高性能存储与智能I/O技术
- 存储能力是衡量服务器性能与选型的重要指标之一。评价高性能存储技术的主要指标是磁盘容量和存取I/O速度。在提高磁盘容量的基础上,通过改善并行读写能力,提高磁盘的存取速度和吞吐量;通过磁盘容错处理来解决系统的可靠性。
- 对称多处理(Symmetric Multi-Processing,SMP)技术
- 可以实现多CPU结构的服务器中的均衡负荷,从而提高系统效率。是否在多CPU结构的服务器中采用了对称多处理技术是一个重要指标。
- 应急管理端口(Emergence Management Port,EMP)技术
- 非一致内存访问(Non-Uniform Memory Access,NUMA)技术
- 在多达64个或更多CPU的服务器之中,将集群技术与对称多处理技术结合起来应用,以求获得较高的性价比。
- 服务处理器与Intel服务器控制(Intel Server Control,ISC)技术
- 高性能服务器一般利用专用的服务处理器,对服务器系统的运行状况进行监控。
- 高性能服务器一般利用专用的服务处理器,对服务器系统的运行状况进行监控。
2.网络服务器性能
服务器的性能主要表现在:磁盘存储能力、运算处理能力、高可用性、可扩展性与可管理性等。
系统高可用性可以用如下公式描述:系统高可用性=MTBF/(MTBF+MTBR)
其中,MTBF为平均无故障时间;MTBR为平均修复时间
如果系统高可用性达到99.9%,那么每年的停机时间<=8.8小时;系统高可用性达到99.99%,每年的停机时间<=53分钟;系统高可用性达到99.999%,每年的停机时间<=5分钟。
第三章
IP地址分类及子网划分
1.标准分类的IP地址
- 常用的A类、B类、C类采用包括“网络号-主机号”的两级的层次结构。
- IPv4的地址长度是32bit,用点分十进制表示,如x.x.x.x的格式。其中每个x为8bit,取值范围(00000000-11111111),对应的十进制取值范围是(0-255)。
2.特殊地址形式
特殊的IP地址包括:受限广播地址、直接广播地址、“这个网络上的特定主机”地址与回送地址。
(1)受限广播地址
受限广播地址又称有限广播地址,该地址形式唯一,即:32位全为1的IP地址(255.255.255.255)。
此地址用来将一个分组以广播方式发送给本网络中的所以主机(本网内成员向全网广播)。
(2)直接广播地址
直接广播地址的形式是一个有效的网络号和一个全1的主机号,用来使路由器将一个来自其他网络的分组以广播方式发送给特定网络上的所有主机。
在IP地址计算中:直接广播地址是IP地址网络号不变,主机号全为1的地址。
(3)“这个网络上的特定的主机”地址-主机号
“这个网络上的特定的主机”地址用于同一网络内部某个主机或某个路由器向另一个主机发送分组。“这个网络上的特定的主机”地址的形式为一个全0的网络号和一个确定的主机号。
在IP地址计算中:主机号是IP地址网络号全为0,主机号不变的地址。
(4)回送地址
A类IP地址中的127.0.0.0是一个保留地址,它即回送地址。用于网络软件测试和本地进程间通信使用。
3.子网掩码
(1)地址结构
标准的A类、B类与C类IP地址都是网络号与主机号两级层次结构。
子网采用网络号-子网号-主机号的三层IP地址结构。
从主机号借用若干个位作为子网号subnet-id,而主机号host-id也就相应减少了若干个位。
(2)概念
- 子网掩码主要是用来区分IP地址中的网络号(网络号+子网号)和主机号的。
- 子网掩码的结构与形式跟IP地址一样,也由32位的二进制数组成,用点分十进制法表示。
- 子网掩码与IP地址的对应关系是,IP地址中网络号所在的位对应的子网掩码中的相应位为1,IP地址中主机号所在的位对应的子网掩码中的相应位为0。
- 注意:IP地址中网络号和主机号是由子网掩码来确定的,子网掩码二进制表示中全为1则对应IP地址位段的是网络号,全为0则对应IP地址位段的是主机号。
与运算 1+1=1,其余全为0
补充内容:
子网内第一个可用的IP地址:
子网内第一个可用的IP地址是子网号(网络地址)后的第一个地址,例如网络地址为194.55.128.0,则子网内第一个可用的IP地址为194.55.128.1;
子网内最后一个可用的IP地址:
子网内最后一个可用的IP地址是直接广播地址前一个地址,例如直接广播地址为194.55.191.255,则子网内最后一个可用的IP地址为194.55.191.254。
4.子网划分
(1)规划子网地址的基本步骤
- 确定要划分的子网数
- 求出子网数目对应二进制数的位数N以及主机数目对应二进制的位数M
- 在该IP地址的原子网掩码基础上,将其主机地址部分的前N位置取1和后M位置取0,即得出该IP地址划分子网后的子网掩码
(2)规划子网地址的基本思想
- 通过划分子网可以将一个网络划分成若干个小网络以满足内部不同部门的需要,而从外部来看仍然像一个网络一样。划分子网既优化了网络性能又提高了网络管理的效率。
(3)划分子网的基本方法
- 你选择的子网掩码将会产生多少个子网?2的N次方-2(N代表网络位借用主机的位数)
- 每个子网能有多少主机?2的M次方-2(M代表主机位)
- 每个子网的网络地址:主机位全为0
- 每个子网的广播地址:主机位全为1
无类域间路由技术(CIDR)
无类域间路由的设计思想是:不按标准的地址分类规则分配剩余的IP地址,而是以可变大小的块方法进行分配。
- 消除了传统的A类、B类和C类地址以及划分子网的概念,可以更加有效地分配IPv4地址空间
- 使用各种长度的“网络前缀”来代替分类地址中的网络号和子网号
- 使用“斜线记法”,又称CIDR记法,即在IP地址后面加上一个斜线“/”,然后写上网络前缀所占的位数(对应于三级编址中子网掩码中1的个数)
NAT工作原理
1.NAT的基本概念
NAT(网络地址转换)技术是解决IP地址短缺问题,可以实现将内部网络专用的IP地址可以转换为用户访问外网的全局IP地址;
2.NAT的工作原理
如果内部网络地址为10.0.1.2的主机希望访问Internet上地址为153.3.11.1的Web服务器,则产生一个分组①,源地址S=10.0.1.2,端口号为2322;目的地址D=153.3.11.1,端口号为80,。当分组①到达执行网络地址转换功能的路由器时,分组①的源地址经NAT转换表从内部专用地址转换成可以在外部Internet上路由的全局IP地址,这时转换结果构成分组②,记作“S=213.0.11.1,2002,D=153.3.11.1,80”。
IPv6地址的特点
1.IPv6地址表示方法
- 用二进制格式表示128位的一个IPv6地址
- 将这个128位的地址按每16位为一个位段,划分为8个位段
- 将每个位段转换成十六进制数,并用冒号(:)隔开
- 若某个IPv6地址中出现多个连续的二进制数0,可以通过压缩某个位段中的前导0来简化IPv6地址的表示。例如,“002F”可以简写为“2F”
- 如果某个IPv6地址中包含了一长串0,在以冒号十六进制表示法表示时,可以将连续的位段值都为0的地方简写为“::”,称为双冒号表示法
2.IPv6地址表示注意事项
- 使用零压缩法时,只能压缩前导0,不能把位段内的有效0压缩掉
- 例如,不能将AC04:A0:0:0:0:0:0:5简写为AC4:A::5
- 双冒号“::”在一个地址中只能出现一次
- 例如,地址0:0:0:5BC:79:0:0:0,一种简化的表示法是::5BC:79:0:0:0,另一种表示法是0:0:0:5BC:79::,但不可写作::5BC:79::
- 确定"::"之间到底被压缩了多少位0,可以用8减掉地址中剩余的位段数,再将结果乘以16即可
- 例如,在地址ABC6:2F::9:7中有4个位段(ABC6、2F、9和7),可以根据公式计算:(8-4)*16=64,那么双冒号之间就表示有64位的二进制数字0被压缩
- IPv6前缀问题
- IPv6不支持子网掩码,只支持前缀长度表示法。前缀是IPv6地址的一部分,用作IPv6路由或子网标识。前缀的表示方法与IPv4中的CIDR表示放啊基本类似。IPv6前缀可以用“地址/前缀长度”来表示。例如,FABC::27:0:8/48、3CFA:2B:0:91:43::/64
- IPv6不支持子网掩码,只支持前缀长度表示法。前缀是IPv6地址的一部分,用作IPv6路由或子网标识。前缀的表示方法与IPv4中的CIDR表示放啊基本类似。IPv6前缀可以用“地址/前缀长度”来表示。例如,FABC::27:0:8/48、3CFA:2B:0:91:43::/64
第四章
路由相关术语
1.分组转发
分组的传送采用存储-转发方式,即网络节点根据分组控制信息,把分组送到下一节点,下一节点接收到分组后,暂时保存下来并排队等候传输,然后根据分组控制信息把该分组传送到下一个节点,直至到达最终目的。
2.路由算法分类
静态路由选择算法也称为非自适应路由选择,其路由信息是由网络管理人员手工配置的,且需要网络管理人员手工修改路由表中的路由表项,以适应网络的拓扑结构变化或网络链路状态的变化。
动态路由选择算法也叫做自适应路由选择,其路由信息是通过相互连接的路由器彼此之间交换路由信息,然后按照一定的算法计算并优化而得出的,同时为适应不断变化的网络,还需要在一定时间间隙对这些路由信息不断更新,以及时获得最优的路径选择效果。
3.路由算法的度量标准
跳数:分组从源结点到达目的结点所经过路由器的个数
带宽:链路的传输速率,用来表示通信线路所能传送数据的能力
延时:分组从源结点到达目的结点所花费的时间
负载:单位时间内通过路由器或线路的通信量
可靠性:传输过程中的误码率,与网络的质量和性能有密切的关系
代价:传输过程中的耗费,通常与使用的链路带宽相关,一般来说,网络的速率越高,其代价也越高
IP路由选择与路由汇聚
- 无类域间路由协议(CIDR)支持通过子网划分的相反过程来汇聚路由表项
- 无类域间路由协议使用网络前缀法表示路由表的表项,具体路由表的项目表示由“网络前缀”和“下一跳地址”两项内容组成
- 路由选择变为从匹配结果中选择具有最长网络前缀的路由的过程,这就是“最长前缀匹配”的路由选择规则
内部网关协议-路由信息协议(RIP)
1.RIP的基本概念
RIP(路由信息协议)是一种分布式、基于距离向量的内部网关协议,适用于小型同类网络的一个自治系统内的路由信息的传递。它使用“跳数”来衡量到达目标地址的路由距离。
2.RIP的原理
- 路由刷新报文主要内容是由若干个(V,D)组成的表。(V,D)表中的V代表“矢量”,标识该路由器可以达到的目的网络或者目的主机;距离D对应该路由上的“跳数”。
- RIP规定,路由器每30秒向外广播一个(V,D)报文(周期性),报文信息来自本地路由表。
- RIP规定,一条有限的路径长度不得超过15(跳数),超过15则意为路径为无限长,即路径不存在。
3.RIP的运行过程
- ①有没有新增的项(比较两个路由表)
- 有:则添加新纪录
- 无:什么也不做
- ②比较R1距离与R2+1距离,取最小值(最短路径原则)
- 若距离仍未R1,则下一跳路由不需要修改
- 若距离为R2+1,则下一跳路由修改为R2
内部网关协议-最短路径优先协议(OSPF)
1.OSPF协议概述
- 开放最短路径优先(OSPF)协议,也是内部网关协议的一种,客服RIP的缺点开发出来的。
- 开放式最短路径优先协议主要用于在自治系统内部路由器之间传输路由信息。
- 开放式最短路径优先协议不采用距离矢量的路由算法,而是基于Dijkstra提出的最短路径算法规则计算路由。
- 开放式最短路径优先协议还支持分层网络,这使得它的应用更加具有广泛性和灵活性。
2.OSPF协议的特点
- OSPF最主要的特征是使用分布式链路状态协议,而RIP使用的是距离向量协议;
- OSPF协议要求路由器发送的信息是本路由器与那些相邻路由器,以及链路状态的度量。链路状态“度量”主要是指费用、距离、延时、带宽等;
- OSPF协议要求当链路状态发生变化时用“洪泛法”向所有路由器发送此信息,而RIP仅向自己相邻的几个路由器发送交换路由信息;
- OSPF协议的路由器之间频繁地交换链路状态信息,区域内部路由器只知道本区域的完整网络拓扑,而不知道其他区域的网络拓扑情况;
- 为了适应规模很大的网络,并使更新过程收敛的更快,OSPF协议讲一个自治系统再划分为若干个更小的范围,叫做区域;
- 每个区域有一个32位区域标识符(用点分十进制表示),在一个区域内的路由器数不超过200个;
外部网关协议(BGP)
自治系统AS的定义:在单一的技术管理下的一组路由器,而这些路由器使用一种AS内部的路由选择协议和共同的度量以确定分组在该AS内的路由,同时还使用一种AS之间的路由选择相应用以确定分组在AS之间的路由。
BGP的主要特性
- BGP是一种外部网关协议,是在AS之间传递路由信息以及控制优化路由信息
- BGP是一种“路径矢量”路由协议,其路由信息中携带了所经过的全部自治系统的路径列表
- 为了保证BGP的可靠传输,其使用TCP来承载协议报文
- BGP-4采用路由向量协议
- BGP协议交换路由信息的节点数是以自治系统数为单位的
BGP路由协议四种分组
- 打开(OPEN)报文:用来与相邻的另一个BGP发言人建立关系
- 更新(UPDATE)报文:用来发送某一路由的信息,以及列出要撤消的多条路由
- 保活(KEEPALIVE)报文:用来确认打开报文和周期性(30秒)地证实邻站关系
- 通知(NOTIFICATION)报文:用来发送检测到的差错
第五章
综合布线系统–网络结构设计
1.综合布线的概念
综合布线系统(Premises Distributed System,PDS)是建筑物内或建筑间的一种结构化、高灵活性的信息传输通道,其对象是建筑物或建筑物之间的传输网络,旨在使语言和数据通信设备、交换设备和其他信息管理系统彼此相连,并使这些设备与外部通信网络连接。
2.综合布线系统的组成
3.综合布线系统的网络拓扑结构
综合布线系统的网络拓扑结构包含各种网络单元,并按经济合理原则和技术性要求对这些网络单元进行组合配置。
- 组合配置包括组合逻辑和配置形式,组合逻辑描述网络功能的拓扑结构
- 配置形式则说明传输线路与交换中心的连接情况,即网络单元的邻接关系
- 在局域网布线中常用的拓扑结构有星型、环型、总线型和网状结构等,其中星型结构应用最为广泛
(1)连接设备
连接设备指综合布线系统中的各类接续设备。各种适配器(主件的连接器)、成对连接器及接插软线,都属于连接设备,如配线架、光纤耦合器等。如局域网设备、阻抗匹配设备、滤波器或保护器件等,都不属于连接设备。
(2)传输介质
综合布线系统常用的传输介质有双绞线、光缆2大类
①双绞线
双绞线分为非屏蔽双绞线和屏蔽双绞线两种
非屏蔽(UTP)双绞线电缆的线对外没有金属屏蔽层,抗电磁干扰能力较差,使用时受外力弯曲和牵拉,易导致均衡绞距受破坏,同时该种电缆在传输信息时易向外辐射泄露,安全性较差;但由于其体积小、重量轻、弹性好且价格低,故是结构化布线系统重最常用的通信介质。
屏蔽(STP)双绞线电缆的线对外有一层金属箔,具有较好的抗干扰性,但存在价格高,体积、重量大、不易施工等不足,主要用于外界电磁干扰较大或对书籍传输安全性要求较高的环境中。
双绞线扭绞可以减少电磁干扰
综合布线系统–子系统设计
1.建筑群子系统设计
建筑群子系统的通信线路的敷设主要有地下管道布线、直埋布线、架空布线和巷道布线4种方式或者是这4种方式的任意组合。
- **(最理想的)**地下管道布线通过由入孔和管道组成的地下系统,对网络内的建筑物进行互联,该方式能保持建筑物的原貌。采用由耐腐蚀材料的管道,能对电缆提供最好的机械保护,有效降低电缆受损维修风险
- 直埋布线除穿过基础墙的线缆外,电缆其余部分不采取管道保护。该方法可保持建筑物的外貌。基础墙的电缆孔需向外尽量延伸至不需动土的地方,从而避免他人沿墙动土时破坏线缆。
- 架空布线电缆在建筑物间悬空,并通过电线杆支撑。电缆可采用自支撑电缆或将户外电缆系在钢丝绳上。该方式安全性、保密性、灵活性较差,且影响美观,故不是理想的布线方式。只有在已有电线杆前提下使用,但布线成本较低。
- 巷道布线利用建筑物间的地下巷道(如用于传送集中供暖站热水的热水管)进行电缆敷设。可充分利用原有安全设施,且造价低。电缆安装位置应与热水管保持一定距离,以防热水或热气泄露损坏电缆;电缆尽可能安置在巷道内较高位置,以防水淹。
2.设备间子系统
设备间是线路管理的集中点,是配线设备和通信设施的所在地,是安放众多共用通信装置的场所。设备间子系统连接主配线区(电缆进线室、MDF交接箱)、程控交换机(PBX)或局域网交换机等设备。在设备子系统,通过垂直干线或水平干线子系统连接到管理子系统。
3.管理子系统
管理子系统设置在楼层配线间,是水平子系统电缆端接和主干系统电缆端标的场所,设置在楼层配线间中,由楼宇主配线架、转换插座及跳线组成,包括干线间或卫星接线间内的交叉互联设备。用户可以通过在管理子系统中增加、交换、更改、扩展线缆来改变线缆路由。
4.干线子系统
干线子系统即建筑物主馈电缆,包括:干线接线间至各远程通信(卫星)接线间、设备间至网络端口、主设备间和计算机中心之间、设备间至建筑群子系统设施间的连接线缆,设备间的主干线缆。
干线子系统主要有点对点结合、分支结合两种。这两种连接方式根据建筑物结构特点及经济性等情况可单独采用,也可混合使用。
5.水平子系统设计
水平子系统是综合布线系统的分支部分,是综合布线工厂中工程量最大、范围最广、最难施工的一个子系统,一般电缆长度不超过90m。综合布线系统多采用5类和6类4对非屏蔽双绞线。对于用户有高速率终端要求的场合,可采用光纤直接布设到桌面的方案。
6.工作区子系统设计
工作区子系统指从终端设备出线到信息插座的整个区域。可支持常见的终端设备电话机、计算机、数据终端、传感器以及监视器等。
(1)信息插座类型和数量的确定
信息插座有嵌入式安装插座(暗座)、**多介质信息插座(光纤和铜缆)**和表面安装插座等类型可供选择。其中,嵌入式安装插座用于连接双绞线,多介质信息插座可用于连接铜缆和光纤,用以满足用户“光纤到桌面”的需要。
(2)适配器的选用
- 当设备连接器采用不同于信息插座的连接器时,可选择专用电缆或适配器。
- 在单一信息插座上进行两项服务时,宜采用一线两用器或“Y”型适配器
- 连接使用不同信号的数模转换或数据速率转换装置时,宜采用适配器
- 水平子系统中选用的介质类别(电缆)与设备所需的介质类别(电缆)不同时,宜采用适配器
局域网互联设备
1.中继器
中继器(Repeater)是一种最简单的网络互联设备,主要完成物理层的功能,负责在两个节点的物理层上按位传递信息,完成信号的复制、调整和放大功能。
2.网桥(Bridge)
网桥是连接两个局域网的设备,工作在MAC子层上,并且它可以完成具有相同或相似体系结构的网络系统的连接。网桥是依靠MAC地址表确定帧是否需要转发,以及向何处转发。
透明网桥和源路由网桥的标准分别有IEEE 802.1与IEEE 802.5两个分委员会制定。其中透明网桥的标准为IEEE 802.1d。透明网桥采用生成树算法,来防止出现环路情况。
3交换机
交换机是一种基于MAC地址识别,能完成封装转发数据包功能的网络设备。
二层交换机工作数据链路层,它建立和维护一个表示MAC地址与交换机端口对应关系的交换表。
三次交换技术就是二层交换技术上加上三层转发技术,是在网络模型中的第三层实现了数据包的高速转发,既可实现网络路由功能,又可根据不同网络状况做到最优网络性能
4.集线器
集线器的主要功能是对接收到的型号进行再生整形放大,以扩大网络的传输距离,同时把所有节点集中在以它为中心的节点上。它发送数据时都没有针对性的,而是采用广播方式发送。
工作在_物理层_,所有结点通过双绞线连接到一个集线器上,执行CSMA/CD介质访问控制方法。当一个结点发送数据时,所有节点都能接受到。连接到一个集线器的所有结点共享一个冲突域。
通过在网络链路中串接一个集线器可以监听该链路中的数据包,连接到一个集线器的多个结点不能同时发送数据帧,可以同时接受数据帧。
第六章
交换机的基本概念
1.基本概念
局域网交换机是一种基于MAC地址识别,完成转发数据帧功能的一种网络连接设备。它工作在数据链路层,根据进入端口数据帧中MAC地址进行数据帧的过滤、转发(也是交换机的工作原理)。交换机作为汇聚中心,能将多台数据终端是被饿连接在一起,构成星状结构的网络。
2.基本功能
- 建立和维护一个表示MAC地址与交换机端口对应关系的交换表
- 在发送节点和接收节点之间建立一条虚连接【即发送方所连的交换机端口(源端口)到接收方所连的交换机端口(目的端口)之间建立虚连接】
- 完成数据帧的转发或过滤
- 交换机根据帧中的目的地址,通过查询交换表确定是丢弃还是转发该帧
- 交换机允许多对站点进行并发通信
交换表的内容
交换表主要包括目的MAC地址、与目的MAC地址对应的交换机端口号以及它所属的虚拟子网。其中,虚拟子网用VLAN ID标识。
1.小型交换机的交换表
交换机通过在超级用户模式下,使用“show mac-address-table”命令查看
2.大型交换机的交换表
这种交换机通过在超级用户模式下,使用“show cam dynamic”命令查看
交换机的交换模式
1.交换模式的分类
交换机最常采用的交换方式是动态交换方式。动态交换模式主要有存储转发和直通两种模式。而直通模式又有快速转发交换和碎片丢弃交换两种方式。
归纳起来,交换机主要有快速转发、碎片丢弃和存储转发三种交换模式。
2.快速转发交换模式
快速转发交换模式,也称作直通交换模式,它是在交换机接收了帧的前14个字节,即接收到帧中6个字节的目的的地址后便立即转发数据帧。该交换模式会在整个数据帧到之前就开始转发。
快速转发交换模式的优点在于端口交换时间短、时延小,交换速度快;缺点是不能进行检错纠错、速度匹配和流量控制,可靠性比较差。因此,它适合小型交换机。
3.碎片丢弃交换模式
碎片丢弃交换模式也被称为无分段交换模式。这种交换模式是在开始转发数据帧前,先过滤掉造成大部分数据报错误的冲突片。采用这种交换模式的交换机在转发数据时,先检查数据包的长度是否够64字节。如果帧的长度小于64,则被视为碎片,交换机直接丢弃;而任何大于64字节的数据帧都被交换机视为有效帧,进行转发;碎片丢弃模式的优点是过滤掉了冲突碎片,提高了网络传速的效率和带宽的利用率。
4.存储转发交换模式
存储转发交换模式将接收到的整个数据帧保存在缓冲区中,然后进行循环冗余码校验检查,在对错误数据帧进行处理后,才取出数据帧的目的地址,进行转发操作。存储转发交换模式的不足之处在于其进行数据处理的延时大、交换速度相对较慢。但是它可以对数据帧进行链路差错校验,可靠性较高,能有效地改善网络性能;同时它可以支持不同速率的端口,保持高速端口与低速端口之间的协同工作。
虚拟局域网技术
1.VLAN的基本概念
虚拟网VLAN是以交换式网络为基础,把用户的终端设备划分为若干个逻辑工作组,每个逻辑工作组就是一个VLAN
2.VLAN的特征
- VLAN工作在数据链路层,即OSI参考模型的第二层
- VLAN可隔离广播信息,每个VLAN为一个广播域,VLAN中的广播信息只能发送给这个VLAN内部的成员,并不发送给其他VLAN成员
- 一个VLAN就是一个独立的逻辑网络,每个VLAN都具有唯一的子网号。不同VLAN中的主机之间必须通过路由器或者三层交换机,才能实现相互通信
3.VLAN的标识
VLAN通常用VLAN ID(Vlan号)和VLAN name(Vlan名)标识
IEEE 802.1Q协议规定,VLAN ID用12位(bit)表示,可以支持4096个VLAN
其中11005是标准范围,10061024位保留范围,1025~4096是扩展范围。但并不是所有交换机都能支持4096个VLAN
一部分交换机只支持标准范围1~1005,其中能用于以太网的VLAN ID为11000,而10021005位FDDI和令牌环网使用的VLAN ID
VLAN name用32个字符表示,可以是字母和数字。若创建一个VLAN时,没有给定名字,则系统按默认方式,自动给出命名,默认位VLAN00xxx(“xxx”即为该VLAN的VLAN ID),如VLAN ID为100,其默认VLAN名位VLAN00100
生成树协议STP
1.STP的基本概念
- 生成树协议(STP)是一个二层链路管理协议。它主要功能是在保证网络中没有回路的基础上,允许在第二层链路中提供冗余路径,以保证网络可靠、稳定地运行
- IEEE 802.1D是最早的STP的标准,它提供了动态冗余切换机制,是目前最为流行、应用最广泛的STP标准
- STP运行在交换机和网桥设备上,通过计算建立一个稳定的树状结构网络,来避免网络中回路的产生
2.STP的工作原理
STP的工作过程为:通过在交换机之间传递网桥协议数据单元(BPDU),并运用生成树算法(STA)对其进行比较计算。
- 首先进行根网桥选择(根网桥为整个生成树拓扑结构的核心,所有数据传输均通过根网桥)
- 然后确定交换机冗余链路端口的工作状态,让一些端口进入阻塞工作模式,另一些端口进入转发工作模式
- 其中设置为阻塞模式的端口不能进行数据流的转发和接收,但仍作为一个激活的端口,可进行BPDU的接收和读取
3.BPDU相关内容
BPDU中携带了实现生成树算法的有关信息,包括:Root ID、Root Path Cost、Bridge ID、Port ID、Hello time、Max Age
- BPDU数据包有两种类型,一种是包含配置信息的配置BPDU(不超过35个字节),另一种是包含拓扑变化信息的拓扑变化同志BPDU(不超过4个字节)
- 在配置BPDU包的Bridge ID信息,是选取根网桥或根交换机的主要依据
- 一般情况下,Bridge ID值最小的成为根网桥或根交换机
- Bridge ID用8哥字节标识,后6个字节为交换机的MAC地址,前2个字节为优先级值
- 优先级值越小,优先级越高(根网桥或根交换机)
- 优先级取值范围为0~61440,增值量为4096,交换机的优先级一般默认位32768,可以使用命令人工设置
- 一台交换机的优先级设置为8189,优先级高级其他交换机,会成为根交换机
- 选择网桥时,优先级相同,会根据MAC地址的值决定根网桥,MAC的值最小的为根网桥
- 默认情况下,交换机每2秒定时发送一次BPDU,当检测到网络拓扑变化或故障发生时,也会发送新的BPDU,以及进行生成树的更新
交换机配置
1.交换机的配置方式
- 使用控制(Console)端口配置交换机,常用于配置交换机,常用于交换机刚出厂并进行第一次配置时所采用的模式
- 使用Telnet配置交换机,常用于远程配置模式,该模式要求交换机以及连接到网上,而且已配置了交换机的设备管理地址
- 使用浏览器(IE)配置交换机,主要用于交换机被设置成Web服务器,然后通过网络上的任意一个终端站点使用浏览器对交换机进行配置
2.配置交换机的系统信息
- 交换机的基本配置一般都是通过使用Console端口配置方式完成,配置的主要内容有配置交换机的主机名、超级用户口令、设备管理地址和远程登录口令
- 关于交换机配置命令语句,主要是以Cisco IOS(35系列)和Catalyst OS(65系列)两种交换机操作系统来讲解
- 那么常考的配置命令语句有设置系统时间、配置设备管理IP地址
(1)设置系统时间
①Cisco IOS系统(35系列)
命令格式:clock set hh(时):mm(分):ss(秒)day(日)month(月)year(年)
设置系统时间为2018年8月28日12时的命令如下:
clock set 12:00:00 28 August 2018
②Catalyst OS(65系列)
命令格式:set time [ day_of_week] [mm/dd/yy] [hh:mm:ss]
设置系统时间为2018年8月28日12时星期三的命令如下:
set time Wed 8/28/2018 12:00:00
(2)配置设备管理地址(IP地址)与缺省路由
①Cisco IOS系统(35系列)
配置IP地址命令语句:ip address<IP地址><子网掩码>
配置缺省路由命令语句:ip default-gateway<缺省路由IP地址>
备注:VLAN1是用于设备管理的缺省VLAN
②Catalyst OS(65系列)
配置IP地址命令语句:set interface sc0 <IP地址><子网掩码><直接广播地址>
配置缺省路由命令语句:set ip route 0.0.0.0<缺省路由IP地址>
3.交换机端口配置
(1)Cisco IOS系统(35系列)
①配置交换机的端口描述信息
步骤一:进入端口配置模式
interface f0/1
步骤二:配置端口描述信息
description To-Webserver
②配置交换机端口的关闭与开启
步骤一:进入端口配置模式
interface fastethernet0/1
步骤二:关闭或开启端口
shutdown (关闭端口)
no shutdown(开启端口,使端口处于工作状态)
③配置交换机端口的通信方式
duplex auto (设置为自动协商(自适应),默认为此种方式)
duplex full (设置为全双工)
duplex half (设置为半双工)
④配置端口的传输速率
auto (设置端口为自动速率配置)
speed 10 (设置端口速率为10Mbit/s)
speed 100(设置端口速率为100Mbit/s)
(2)Catalyst OS(65系列)
①配置交换机的端口描述信息
命令格式:set port name<mod/port>,其中,name为端口描述,字符数一般不超过240个
set port name 0/1 to-Webserver
②配置交换机端口的关闭与开启
命令格式:set port disable <mod/port>(关闭端口)
set port enable <mod/port> (开启端口)
③配置端口的通信方式
命令格式:set port duplex <mod/port>full(设置为全双工)
set port duplex <mod/port>half(设置为半双工)
④配置端口的传输速率
命令格式:set port speed <mod/port> auto(自适应)
set port speed <mod/port> <port_speed>(10,100,1000)
set port speed 0/1 auto(设置端口的速率为自适应)
set port speed 0/1 10(设置端口0/1的速率为10Mbit/s)
交换机VLAN配置
交换机VLAN配置的主要任务是:配置VTP、建立或删除VLAN、为交换机端口分配VLAN和交换机端口上配置VLAN Trunk
1.VLAN的建立和删除
(1)Cisco IOS系统(35系列)
①建立VLAN
命令格式:vlan<vlan_ID>name<vlan_name>
以太网中ID范围为2~1000(因为1为缺省ID,所以从2开始)
vlan data
vlan 100 name vlanwork
②删除VLAN
no vlan 100
修改VLAN与建立VLAN步骤完全相同
vlan 100 name vlanwork
vlan 100 name vlangroup
(2)Catalyst OS(65系列)
①建立VLAN
命令格式:set vlan <vlan_ID>name<vlan_name>
set vlan 100 name vlan100(建立VLAN 100,名称为vlan 100)
②删除VLAN
命令格式:clear vlan <vlan_num>
clear vlan 100 (删除VLAN 100)
修改VLAN命令和建立VLAN完全相同
set vlan 100 name vlan100
set vlan 100 name vlan1000
2.VLAN Trunk的配置
(1)Cisco IOS系统(35系列)
步骤一:进入交换机端口配置模式
configure terminal
int fo/24
步骤二:配置VLANTrunk模式
switchport mode trunk
步骤三:封装VLAN协议
switchport trunk encapsulation dot1q(配置VLAN Trunk的封装模式为802.1q)
switchport trunk encapsulation isl (封装ISL协议)
switchport trunk encapsulation negotiate P(自动协商)
步骤四:设置允许中继的VLAN
switchport trunk allowed vlan 1,10(允许VLAN 1和VLAN 10通过此Trunk通路)
switchport trunk allowed vlan 1-10
switchport trunk allowed vlan except 11-20
(2)Catalyst OS(65系列)
步骤一:配置VLAN Trunk模式,封装VLAN协议
命令格式:set trunk<mod/port>
set trunk 1/24 on dot1q(配置VLAN Trunk模式,封装VLAN协议)
步骤二:设置允许中继的VLAN
命令格式: set <mod/port> vlan
set trunk 1/24 vlan 11-20(在端口1/24的允许VLAN列表中添加11~20号vlan)
命令格式:clear trunk <mod/port>
clear trunk 1/24 16-20(将VLAN 16至VLAN 20从允许VLAN列表中删除)
3.交换机VTP的配置
VTP是VLAN中继协议,也被称为VLAN干道协议。它是一个OSI参考模型第二层的通信协议,主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名
配置VTP的任务主要有两个:一是建立VTP域,二是设置VTP的工作模式
注意:同一个域的所有交换机,必须运行相同版本的VTP,并具有相同的域名
- VTP Server:一般,一个VTP域内的整个网络只设一个VTP Server,它维护VTP域中所有VLAN信息列表,可以建立、删除或修改VLAN
- VTP Client:也维护所有VLAN信息列表,但是它的VLAN信息是从VTPServer学习到的,并且不具有建立、删除或修改VLAN的功能
- VTP Transparent:相当于一个独立的交换机,它不参与VTP工作,不从VTPServer学习VLAN的配置信息,而只拥有本设备上自己的VLAN信息,因此它也只能建立、删除和修改本机上的VLAN信息
(1)Cisco IOS系统(35系列)
①配置VTP域名
configure terminal (进入工作模式)
vtp domain TEST(设置VTP域名为TEST,同一个域的所有交换机,必须设置相同的域名,同时VTP协议的版本号必须一致)
②配置VTP工作模式
vtp mode server (设置VTP Server模式,默认值)
vtp mode client (设置VTP Client模式)
vtp mode transparent(设置VTP Transparent模式)
(2)Catalyst OS(65系列)
①配置VTP域名
set vtp domain TEST(设置VTP域名为TEST)
②配置VTP工作模式
set vtp mode server (设置VTP Server模式,默认值)
set vtp mode client (设置VTP Client模式)
set vtp mode transparent(设置VTP Transparent模式)
4.为交换机端口分配VLAN
(1)Cisco IOS系统(35系列)
步骤一:进入端口配置模式
configue terminal
int f0/1
步骤二:为端口分配VLAN
命令格式:switchport access vlan
switchport access vlan 100 (将端口f0/1划分到VLAN 100中)
(2)Catalyst OS(65系列)
命令格式:set vlan <mod/port>
set vlan 100 0/1(将端口0/1划分到VLAN 100 中)
交换机STP配置
1.配置生成树优先级(一级4096,如果要提升2级,那么让当前优先级减两次4096)
(1)Cisco IOS系统(35系列)
命令格式:spanning-tree vlanpriority<0-61440>
spanning-tree vlan 3 priority 8192
(2)Catalyst OS(65系列)
命令格式:set spantree priority<0-61440>
set spantree priority 8192
2.配置生成树可选功能
- BackboneFast用于在接入层交换机端口上跳过正常的生成树操作,加快终端工作站接入网络中的速度。它的功能是使交换机的端口跳过侦听和学习状态,直接从阻塞状态进入转发状态。
- UplinkFast的功能是当生成树拓扑结构发生变化和在使用上连链路组的冗余链路之间完成负载平衡时,提供快速收敛**(对于主干核心间的简介故障却无能为力)**
- PortFast用于在接入层交换机端口上跳过正常的生成树操作,加快终端工作站接入到网络中的速度。它的功能是使交换机的端口跳过侦听和学习状态,直接从阻塞状态进入到转发状态
- BPDU Filtering会使交换机在指定的端口上停止发送BPDUs,对于进入这个端口的BPDUs也不做任何处理,同时立刻将端口状态转换为转发状态
(1)BackboneFAst配置
①Cisco IOS系统(35系列)
命令格式:spanning-tree BackboneFast(开启生成树的BackboneFast功能)
spanning-tree backonefast(允许BackboneFast功能)
②Catalyst OS(65系列)
命令格式:set spantree backbonfast enable (开启生成树的BackboneFast功能)
set spantree backbonfast disable (关闭生成树的BackboneFast功能)
(2)UplinkFast配置
①Cisco IOS(35系列)
命令格式:spanning-tree uplinkfast
spanning-tree uplinkfast max-update-rate <0~32000>
其中,max-update-rate的值在0~32000之间,单位是packet/s(每秒更新的包数)
②Catalyst OS(65系列)
命令格式:set spantree uplinkfast enable
set spantree uplinkfast enable rate<station_update_rate>
其中,<station_update_rate>默认值是15 packets/100ms,单位是packet/ms
(3)PortFast配置
①Cisco IOS系统(35系列)
命令格式:spanning-tree portfast default
configure terminal
spanning-tree portfast default
②Catalyst OS(65系列)
命令格式:set spantree portfast<mod/port>enable(打开portfast)
set spantree portfast<mod/port>disable(关闭portfast)
set spantree portfast<mod/port>default(默认启用portfast)
(4)BPDU Filtering配置
①Cisco IOS系统(35系列)
命令格式:spanning-tree portfast bpdufilter default
spanning-tree portfast bpdufilter default
②Catalyst OS(65系列)
命令格式:set spantree portfast bpdu-filter enable(对所有端口启用bpdu-filter)
set spantree portfast bpdu-filter disable(关闭bpdu-filter)
set spantree portfast bpdu-filter<mod/port>enable(打开bpdu-filter)
set spantree portfast bpdu-filter<mod/port>disable(关闭bpdu-filter)
set spantree portfast bpdu-filter<mod/port>default(设置为缺省)
第七章
路由器结构
1.路由器等等基本概念
路由器是工作在网络层的设备,负责将数据分组从源端主机经最佳路径传送到目的端主机,实现在网络层的互联
2.路由器的结构
路由器有硬件和软件组成,路由器软件主要由路由器的操作系统(互联网操作系统组成),用于控制和实现路由器的全部功能
路由器硬件组成部分有:中央处理器(CPU)、内存(Memory)、存储器(Storage)、接口(Interface)
(1)中央处理器
CPU是路由器的心脏,是路由器的处理中心,负责实现路由协议、路径选择计算、交换路由信息、查找路由表、分发路由表和维护各种表格,以及转发数据包等功能。CPU的能力直接影响路由器的路由表查找时间、吞吐量和路由器的性能
(2)内存
路由器内存用于保存路由器配置、路由器操作系统、路由协议软件等。主要的类型有:只读内存(ROM)、闪存(Flash)、随机存储器(RAM)和非易失性随机存储器(NVRAM)
只读内存(ROM):用来永久保存路由器的开机诊断程序、引导程序和操作系统软。ROM的主要任务是完成路由器的初始化进程,具体包括路由器启动时硬件诊断、装入路由器操作系统IOS等,ROM是只读存储器,不能修改其中保存的内容
随机存储器(RAM)是可读可写存储器,在路由器操作系统运行期间,RAM主要存储路由表、快速交换缓存、ARP缓存、数据分组缓冲区和缓冲队列、运行配置文件,以及正在执行的代码和一些临时数据信息等,在关机和重启路由器之后,RAM里的数据会自动丢失
非易失性随机存储器(NVRAM)也是一个可读可写存储器,主要用于存储启动配置文件(startup-config)或备份配置文件,NVRAM容量较小,通常存储量只有32KB~128KB,但是存取速度非常快,而且保存的数据不会丢失
闪存(Flash)是可擦写的ROM,主要用于存储路由器当前使用的操作系统映像文件和一些微代码,闪存的容量比较大,可以用来保存备份的配置文件,也不会丢失保存数据
路由器的工作原理
1.路由选择
路由选择就是路由器根据目的IP地址的网络地址部分,通过路由选择算法确定一跳从源节点到目的节点的最佳路径
2.分组转发
分组转发即沿找好的最佳路径传送信息分组。路由器在接收到一个数据分组时,首先查看数据分组头中的目的IP地址字段,根据目的IP地址的网络地址部分去查询路由表
**注意:**在数据分组通过没一个路由器转发时,分组中的目的MAC地址是变化的,但是它的目的网络地址始终不变
3.路由表
路由表中记录着所有路由信息,路由表的内容主要包括目的网络及其所对应的目的端口或下一跳路由器地址或缺省路由器地址或缺省路由的信息
- 第1列表示路由表项的来源,标识这个路由表项是通过什么方式或者通过何种路由选择协议建立的
- “C”表示直连路由(conected),表示目的网络直接与路由器端口相连;(0)
- “S”表示静态(static)路由;(1)
- “I”表示使用IGRP内部网关路由协议学习到的路由信息;(100)
- “O”标识使用OSPF开放最短路径优先协议学习到的路由信息;(110)
- 第2列标识的是目标网络的地址和掩码长度
- 第3列表示目的端口或则下一跳路由器的地址
- 第4列“[]”中的前半部分为管理距离,后半部分为权值;
【解题技巧】Gateway of last resort is 192.168.1.254 to network 0.0.0.0
C 192.168.2.0/24 is directly connected,FastEthernet 0/1(端口名)
192.168.3.0/30 issubnetted,Isubnets
S* 0.0.0.0/0[1/0] via 192.168.1.254
S 210.202.60.0/20[1/0] via 192.168.1.254
S 211.210.16.0/21[1/6] via 192.168.2.254
S 202.76.0.0/20[1/0] via 192.168.3.254
出题点:connected+端口名【如果是三层交换机,connected+虚拟局域网号】
via+目的网络(IP地址)
管理距离值
路由器的工作模式
1.用户模式:Router>(User EXEC)
在该模式下,用户只能运行少数的命令(如ping、show version、telnet等),有限度地看路由器的相关信息,但不能对路由器的配置做任何修改,也不能查看路由器的配置信息,只能对路由器做一些简单的操作,因而他是一个只读模式
2.特权模式:Router#(Privileged EXEC)
在用户模式下,输入“enable”命令后按回车键,即可进入超级权限模式(如果设置了口令,还需要在回车后按提示输入口令)。该模式下,最常用的操作包括管理系统时钟、进行错误检测、查看和保存配置文件、清理闪存、处理并完成路由器的冷启动等操作
3.全局配置模式:Router(config)#(Global Configuration)
在特权模式下,输入“config terminal”命令后回车,即可以进入全局配置模式。在全局配置模式下,可以配置子模式、接口配置子模式等其他配置模式
4.RXBOOT模式:>
当密码丢失时,可以从该模式下恢复,因此该模式是路由器的维护模式
5.设置(SETUP)模式
在任何时候,要进入设置模式,在特权模式下,输入setup即可。新路由器第一次配置时,系统会自动进行设置模式,并询问是否采用该方式进行配置
路由器的基本配置及常用命令
1.路由器的配置方式
- 通过控制端口(Console)进行配置管理
- 使用telnet远程登录配置,即使用telnet远程登录到路由器上进行配置管理
- 使用TFTP服务,以复制配置文件、修改配置文件的形式配置路由器
- 在AUX端口连接一台Modem,在远端拨号配置路由器
- 使用网络管理协议SNMP修改路由器配置文件的方式,对路由器进行配置
2.路由器的基本配置
路由器的基本配置一般都是通过使用Console端口配置方式完成,配置的内容主要包括配置路由器的主机名、超级用户口令和远程登录口令等,包括网络的基本检测命令和配置文件的保存命令
(1)配置路由器的主机名
在全局配置模式下:
Router(config)#hostname Router-test
Router-test(config)#
(2)配置超级用户口令
Router-test#configure terminal
Router-test(config)#enable secret 111111 (设置超级用户明码密码)
Router-test(config)#enable password 7 111111 (设置超级用户加密密码)
Router-test(config)#
(3)设置系统时钟
命令格式:calendar set hh:mm:ss <1-31> MONTH <1993-2035>
Router-test# calendar set 20:26:00 3 may 2013
3.路由器常用命令
(1)退出命令
无论是从端口模式退出,返回全局配置模式,还是从全局配置模式退出返回特权用户模式,都可以使用exit命令一级一级地退出,也可以使用end命令,直接退回到特权模式
Router-test(config-if)#exit
Router-test(config)#exit
Router-test#
-------------------------------
Router-test(config-if)#end
Router-test#
(2)保存配置
当完成路由器配置,需要保存配置时,可以在特权用户模式下,使用write命令
Router-test>en(进入特权用户模式)
Router-test#write memory (保存路由器配置到NVRAM中)
Router-test#write network tftp (保存到TFTP服务器中)
若要删除路由器的全部配置,也可以在特权用户模式下,使用write命令
Router-test#write erase (清除配置文件)
(3)网络的基本检测命令
- ping命令使用echo协议,通过向目标主机发送数据包,根据目标主机的应答情况,来了解路径的可靠性、链路的延迟时间和目的主机是否可以到达,从而判别到目标网络的连通情况
- trace命令式一个实用的网络诊断工具,它不仅能诊断到目的网络的连通性,还能跟踪到目标网络转发路径上每一级的工作状况、延迟时间(最多30跳,超过则视为不可达)等
- telnet命令在进行网络诊断时,需要经常登录到不同路由器上进行查看。一般路由器可支持5个telnet同时连接。该命令可在用户模式或特权用户模式下使用
- show命令可以查看到路由器的配置情况、接口的工作状态、路由表信息、路由器软硬件版本、路由器资源的利用情况和各种协议工作信息等
- 该命令可以在用户模式下或特权用户模式下运行,但不同模式下可以查看的信息不同
- 在用户模式下可以查看路由器系统的软硬件版本、系统时钟、flash的使用情况等
- 在特权用户模式下,则能够查看路由器配置、路由表信息、IP的相关信息以及IP协议的统计信息等
①查看flash存储器信息及存储器中的文件
Router-test>show flash
System flash directory:
File Length Name/status
35571584c2600-i-mz.122-28.bin
228282sigdef-category.xml
1227537sigdef-default.xml
[5827403 bytes used,58188981 available,64016384 total]
63488K bytes of processor board System flash (Read/Write)
Router-test>
②查看系统时钟
Router-test>show clock
*21:44:53.877 UTC Tue Sep 3 2013
Router-test>
③查看路由器配置文件
Router-test#show configuration
Using 6079 out of 32762 bytes
!
version 12.2
service password-encryption
!
hostname Router-test!
enable password 7 0883F4057583956783456B52
!
④查看路由表
Router-test#show ip route
Gateway of last resort is not set
C 192.168.1.0/24 is directly connected,FastEthernet0/0
Router-test#
⑤查看IP路由协议信息
Router-test#show ip protocols
Router Protocol is “rip”
Sending updates every 30 seconds,next due in 12 seconds
Invalid after 180 seconds,hold down 180,flushed after 240
Outgoing update filter list for all interfaces is not set
Incoming uodate filter list for all interfaces is not set
Redistributing:rip
Default version control:send version 2,receive 2
Interface Send Recv Triggered RIP Key-chain
路由器的接口配置
1.路由器接口的基本配置
(1)配置接口描述信息
进入端口配置模式,使用description命令:
Router-test(config)#interface f0/1
Router-test(config-if)#description To-webserver
Router-test(config-if)#
(2)配置接口带宽
进入接口配置模式,使用bandwidth命令设置接口带宽,带宽单位是kbit/s
Router-test(config-if)#interface f0/1
Router-test(config-if)#bandwidth 100000
Router-test(config-if)#
(3)配置接口地址
进入接口配置模式,使用ip address命令配置接口的IP地址
命令格式: ip address<IP地址><子网掩码>
Router-test(config)#interface f0/1
Router-test(config-if)#ip address 192.168.1.254 255.255.255.0
Router-test(config-if)#
(4)接口的开启与关闭
进入接口配置模式,使用shutdown、no shutdown命令关闭和开启接口
Router-test(config-if)#shutdown (关闭接口)
Router-test(config-if)#no shutdown (打开接口)
Router-test(config-if)#
2.配置POS接口
POS(Packet over SONET/SDH)是一种利用SONET/SDH提供的高速传输通道直接传送IP数据包的技术,同时它也是一种高速、先进的广域网连接技术
POS使用的链路层协议主要有PPP与HDLC。目前POS可以提供155Mbit/s、622Mbit/s、2.5Gbit/s和10Gbit/s等多种传输速率的接口
POS接口的配置任务包括:接口带宽、接口地址、接口的链路层协议、接口的帧格式、接口的CRC校验和flag(帧头中净负荷类型的标志位)等
POS可选的帧格式是sdh和sonet,s1s0=00表示是sonet帧的数据,s1s0=10(十进制2)表示是sdh帧的数据
POS可选的crc校验位是16和32
在全局配置模式下,配置操作如下:
Router-test(config)#interface POS0/1
Router-test(config-if)#description To-lab5
Router-test(config-if)#bandwidth 10000000 (单位是kbit/s)
Router-test(config-if)#ip address 192.168.5.0 255.255.255.252
Router-test(config-if)#crc16
Router-test(config-if)#pos framing sonet
Router-test(config-if)#no ip directed-broadcast
Router-test(config-if)#pos flag s1s0 0
Router-test(config-if)#no shutdown
Router-test(config-if)#exit
Router-test(config)#exit
Router-test#
3.Loopback接口的配置
环回(loopback)接口是一种应用最为广泛的虚接口,loopback接口号有效值为0~2147483647,主要用于网络管理。网络管理员为loopback接口分配一个IP地址最为管理地址,其掩码应为255.255.255.255。Loopback接口不会关闭,总是处于激活的状态。
loopback接口的参数配置比较简单,主要配置IP地址
在全局配置模式下:
Router-test(config)#interface loopback 0
Router-test(config-if)#ip address 192.168.100.1 255.255.255.255 (配置接口IP地址和掩码,注意环回接口地址的掩码一般为4个255)
Router-test(config-if)#no ip route-cache (禁用route-cache功能)
Router-test(config-if)#no ip mroute-cache
Router-test(config-if)#exit
Router-test(config)#exit
Router-test#
路由器的静态路由配置
1.静态路由概念
静态路由是指由网络管理员手工配置的路由信息,使用静态路由协议时,路由器不能根据网络的实际情况动态地进行路由选择。当网络的拓扑结构或链路的状态发送变化时,也无法动态地更新路由表,必须由网络管理员手动去修改路由表中相关的静态路由信息。因此它适合规模小,网络拓扑结构没有变化的局域网和采用点到点方式连接的较为简单的网络互联环境
2.静态路由配置命令
静态路由由“ip route”命令在全局配置模式下配置,使用“no ip route”命令可删除静态路由配置。静态路由配置的命令格式如下:
命令格式:ip route<目的网络地址><子网掩码><下一跳路由器的IP地址>
Router-test(config)#ip route 10.0.0.0 255.0.0.0 192.168.1.1
其中,默认路由的静态配置方式为:
ip route 0.0.0.0 0.0.0.0 下一跳路由器的IP地址
动态路由协议配置
1.OSPF的基本配置
(1)Router ospf
该命令用来启动OSPF进程,命令格式为“Router ospf”,其中Process ID(PID)是OSPF的进程号,它的范围是1~65535,process ID可以在指定范围内随意设置,它只对本地路由器内部有意义,不同的路由器PID可以相同,也可以不同
(2)network ip
该命令用来定义参与OSPF的子网地址,它的命令格式为“network ip<子网号><子网掩码的反码>area<区域号>”,在单个IP地址参与OSPF时也使用此命令。其中,子网掩码的反码的计算方法为,将子网掩码表示成2进制,然后各位取反,再转换成10进制即可。如子网掩码255.0.0.0的反码为0.255.255.255
(3)range
该命令用于定义某一特定范围子网的聚合,它的命令格式为“area<区域号>range<子网地址><子网掩码>”
①配置参与OSPF的网络地址
Router-test(config)#router ospf 10
Router-test(config-router)#network 192.168.1.0 0.0.0.255 area 0
Router-test(config-router)#exit
Router-test(config)#exit
Router-test#
②配置单个IP地址参与OSPF
Router-test(config)#router ospf 10
Router-test(config-router)#network 192.168.1.1 0.0.0.0 area 0
Router-test(config-router)#exit
Router-test(config)#exit
Router-test#
③使用area range命令定义参与OSPF的子网地址
Router-test(config)#router ospf 10
Router-test(config-router)#area 0 range 212.37.123.0 255.255.255.0
Router-test(config-router)#exit
Router-test(config)#exit
Router-test#
路由器DHCP的配置
1.DHCP服务器的配置
设置为DHCP服务器,在路由器上需要完成的配置任务主要是建立IP地址池(Pool)和配置IP地址池的相关参数。首先需要配置的是IP地址池的名称,再进入DHCP地址池配置模式,在该配置模式下对DHCP进行配置,主要任务包括:IP地址池的子网地址和子网掩码、默认网关、域名和域名服务器IP地址、IP地址租用时间等配置
(1)IP地址池的建立
配置方法为在全局模式下使用“ip dhcp pool”命令为地址池赋予一个名称,其中是为所建的地址池提供的名称,可以是一组字符串或数字
Router-test(config)#ip dhcp pool 123 (建立名为123的地址池)
Router-test(dhcp-config)#
(2)IP地址池的子网地址与子网掩码的配置
IP地址池建立后,便进入地址池配置模式,在该模式下可进行IP子网地址和子网掩码的配置,用于设定DHCP服务器可以分配的IP地址的范围。配置的方法是在IP地址池配置模式下,执行“network<网络地址><子网掩码>”命令,其中,<子网掩码>可采用标准的子网掩码表示(如255.255.255.0)或使用掩码前缀长度表示(如/24)
Router-test(dhcp-config)#network 192.168.1.0 255.255.255.0
Router-test(dhcp-config)#
上述命令也可以表示如下:
Router-test(dhcp-config)#network 192.168.1.0/24
Router-test(dhcp-config)#
(3)排除不用于动态分配的IP地址
配置方法为在全局配置模式下,使用“ip dhcp excluded-address low-address [high-address]”命令,其中“low-address [high-address]”表示要排除的IP地址的范围
①排除从192.168.1.1到192.168.1.10的一段IP地址
router-test(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10
router-test(config)#
②排除单个IP地址192.168.1.11
router-test(config)#ip dhcp excluded-address 192.168.1.11
router-test(config)#
(4)配置默认网关
动态分配IP地址时,还需要同时为客户指定默认网关,以便客户端TCP/IP协议正常工作。配置方法为在地址池配置模式下,执行“default-router address [address2…address8]”命令,其中默认网关的地址,最多可以设置8个
router-test(dhcp-config)#default-router 192.168.1.254
router-test(dhcp-config)#
(5)配置IP地址池的域名系统
域名服务器的配置方法为在地址池配置模式下使用“dns-server address”命令,该命令允许最多配置8个域名服务器地址,但是在实际应用中,域名服务器一般只有两个或三个
①配置DNS
router-test(dhcp-config)#dns-server address 202.102.192.68(在地址池配置模式下)
router-test(dhcp-config)#
IP地址池中客户端域名的配置方法为在DHCP地址池配置模式下,使用“domain-name”命令,其中为指定的域名名称
②配置DHCP客户端域名
router-test(dhcp-config)#domain-name aaa.com.cn
router-test(dhcp-config)#
(6)IP地址租用时间
在DHCP地址池配置模式下,使用“lease {day [hours] [minutes] | infinite}”命令,其中参数可以保护天数、小时数以及分秒数,还可以设置为永不过期(infinite)
router-test(dhcp-config)#lease 0 3 (设置租用时间为3小时)
router-test(dhcp-config)#lease infinite
router-test(dhcp-config)#
路由器IP访问控制列表的功能及其配置
1.IP访问控制列表功能
访问控制列表(Access Control List,ACL)通过在路由器接口处控制路由数据包是被转发还是被阻塞来过滤网络通信流量。路由器根据ACL中指定的条件来检测通过路由器的每个数据包,从而决定是转发还是丢弃该数据包
2.IP访问控制列表的分类
标准访问控制列表只能检查数据包的源地址,根据源网络、子网或者注解的IP地址来决定对数据包的过滤
标准访问控制列表的表号范围是1-99。后来又进行扩展,扩展的表号是1300-1999
扩展访问控制列表可以检查数据包的源地址和目的地址,根据源网络或者目的网络、子网、主机的IP地址决定数据包的过滤操作
扩展访问控制列表除了检查源地址和目的地址外,还可以检查指定的协议,根据数据包头中的协议类型进行过滤,比如IP协议、ICMP协议、TCP协议和UDP协议等
扩展访问控制列表的表号范围是100-199,后来又进行了扩展,扩展的表号是2000-2699
3.配置IP访问控制列表
- IP访问控制列表式一个连续的列表,至少由一个“permit(允许)”语句和一个或多个“deny(拒绝)”语句组成
- IP访问控制列表用名字(name)或表号(number)标识和引用
- 在配置IP访问控制列表的首要任务就是使用“access-list”或“ip access-list”命令,定义一个访问控制列表
- access-list命令要求只能使用表号标识列表,而ipaccess-list命令可以使用表号或者名字表示列表
- 在配置过滤规则时,ACL语句顺序很重要
- 路由器执行ACL时按照配置的访问控制列表中条件语句来决定的
- 数据包只有在跟第一个判断条件不匹配时,才能被交给ACL中下一条件语句进行比较
- 若要允许“202.204.4.2”以外的所有源地址通过路由器,这时就需要配置“deny 202.204.4.2”在配置“permit any any”
- 通配符掩码(访问控制列表掩码位配置过程)是一个32位的数字字符串,它被用点号分成4个8为组,每组包含8位
- 在通配符掩码位中,0表示“检查数据包的IP地址相对应的比特位”,1表示“不检查(忽略)数据包的IP地址相对应的比特位”
- 可以使用缩写字“any”代替0.0.0.0 255.255.255.255,代表所有主机
- 通配符host
- 例如:Router(config)#access-list 1 deny 172.33.160.29 0.0.0.0
- 等于:Router(config)#access-list 1 deny host 172.33.160.29
- 与整个IP主机地址的所有位相匹配,可以使用缩写字“host”
(1)使用access-list命令
①定义访问控制列表
命令格式:access-list<表号>{permit|deny}<IP源地址/IP目的地址><子网掩码的反码>[operator][operand]
其中,operator(操作)有It(小于)、gt(大于)、eq(等于)、neq(不等于)几种;operand指的是端口号
例:拒绝转发所有IP地址进出的、端口号为1433的UDP协议数据包
在全局配置模式下:
Router(config)#access-list 130 deny udp any eq 1433
Router(config)#access-liat 130 permit ip any any
Router(config)#
配置应用接口:
Router(config)#interface g0/1
Router(config-if)#ip access-group 130 in
Router(config-if)#ip access-group 130 out
Router(config-if)#
(2)使用ip access-list命令
命令格式:ip access-list extended|standard access-list-number|name
其中,extended|standard分别表示访问控制列表的类别,access-list-number|name标识可以选择表号或名称方式对访问控制列表进行标识
在扩展或标准访问控制模式下(如:Router(config-ext-nacl)#),配置过滤规则
命令格式:permit|deny protocol<IP源地址/IP目的地址><子网掩码的反码>[operator][operand]
②应用到接口
命令格式:ip access-group<表号>{in|out}
其中access-list-number指出链接到这个接口的访问控制列表表号;in|out指示该ACL时应用到入站接口还是出站接口
如果in和out都没有指定,那么默认地认为是out
例:拒绝转发所有IP地址进与出方向的、端口号为1437的UDP协议数据包
在全局配置模式下:
Router(config)#ip access-list extended 130(进入扩展访问控制列表配置模式)
Router(config-ext-nacl)#
Router(config-ext-nacl)#deny udp any any eq 1437
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#
配置到应用接口:
Router(config)#interface g0/1
Router(config-if)#ip access-group 130 in
Router(config-if)#ip access-group 130 out
Router(config-if)#
第八章
蓝牙标准的主要参数和技术指标
1.蓝牙技术的基本概念
蓝牙技术是一个开放性的、短距离无线通信技术标准,它可以在较小的范围内通过无线连接的方式,实现固定设备以及移动设备之间的网络互连,可以在各种数字设备之间实现灵活、安全、低成本、小功耗的话音和数据通信,蓝牙技术适用于小型的移动通信设备
2.蓝牙技术的主要参数和技术指标
工作频段:ISM频段2.402~2.480GHz
双工方式:时分双工(Time Division Duplexing,TDD)
业务类型:同时支持电路交换和分组交换
标称数据速率:1Mbit/s
异步信道速率:非对称连接723.2kbit/s/57.6kbit/s
对称连接433.9kbit/s(全双工模式)
同步信道速率:64kbit/s
信道间隔:1MHz
功率:0dBm(1mW),覆盖1~10m;20dBm(100mW),覆盖扩展至100m
跳频速率:1600次/s
数据连接方式:面向连接业务SCO、无线接业务ACL
HiperLAN技术标准和特点
1.HiperLAN技术的标准
HiperLAN是无线局域网通信标准的一个子集,有HiperLAN/1和HiperLAN/2两类
HiperLAN/1和HiperLAN/2标准均采用5GHz的射频频率,但上行速率却不同,其中HiperLAN/1上行速率可以达到20Mbit/s;HiperLAN/2与3G标准兼容,上行速率可以达到54Mbit/s
在HiperLAN/2网络中,移动终端(MT)通过接入点(AP)接入固定网,而MT与AP之间的空中接口即由HiperLAN/2协议来定义
一个AP所覆盖的区域定义为一个小区,在室内一个小区的覆盖范围一般为30m,在室外一般为150m
无线终端(MT)可以在HiperLAN/2网络中自由移动,并保持与网络间良好的传输性能
2.HiperLAN/2技术的特点
HiperLAN/2的主要技术特点表现在:高速数据传输、面向连接、QoS、自动频率分配、安全性、移动性、网络与应用无关、省电等方面
HiperLAN/2采用先进正交频率数字复用(OFDM)调制技术,可以提供非常高的传输速率,其速率在物理层最高可达到54Mbit/s
与其他无线局域网技术不同,在HiperLAN/2网络中数据的传输是面向连接的
IEEE 802.11不同的标准
1.IEEE 802.11标准的基本概念
- IEEE 802.11是第一代无线局域网WLAN标准之一,在1997年6月被IEEE委员会认可
- 802.11定义了两种类型的设备:无线结点和无线接入点
- 无线结点通常是在一台接入设备上加上一块无线网络接口卡构成的
- 无线接入点的作用是提供无线和有线网络之间的桥接
- IEEE 802.11物理层包括两个扩频技术和一个红外传播规范,无线传播的频道定义在2.4GHz的ISM坡段内
- 802.11无线标准定义的传输速率是1Mbit/s和2Mbit/s,可以使用调频扩频(FHSS)和直序扩频(DSSS)技术
- IEEE 802.11协议主要包括IEEE 802.11a、IEEE 802.11b、IEEE 802.11g等,其中以IEEE 802.11b应用最为广泛
2.IEEE 802.11各标准比较
3.IEEE 802.11b的允许模式
802.11b运行模式基本分为两种:点对点模式和基本模式
点对点模式是指无线网卡和无线网卡之间的通信方式。只要PC插上无线网卡即可与另一具有无线网卡的PC连接,最多可以连接256台PC
基本模式是IEEE 802.11b最常用的方式,是指无线网络规模扩充或无线和有线网络并存时的通信方式;插上无线网卡的PC需要由接入点与另一台PC连接。接入点负责频段管理与漫游管理,一个接入点最多可连接1024台PC
无线局域网设备的用法和区别
无线局域网主要包括以下硬件设备:无线网卡、无线接入点(AP)、天线以及无线网桥、无线路由器和无线网关
无线网卡也叫WLAN适配器,是无线局域网系统中最基本的硬件。只要两台计算机各自拥有无线网卡,就可以实现点对点的通信,从而组成一个最小的无线局域网
无线接入点也被称为无线AP,基本功能是集合无线或者有线终端。应该无线AP一般可以连接30台左右的无线网络终端或者是其他的无线AP
天线是连接AP,提高无线信号数据传输的稳定性和可靠性
无线网桥主要用于连接几个不同的网段,实现较远距离的无线数据通信
无线路由器和无线网关是具有路由功能的AP,具有NAT功能,可以建立一个无线局域网
无线接入点的安装与调试
1.Cisco Aironet 1100简介
Cisco Aironet 1100是无线局域网收发器的一种,主要是用于独立无线网络的中心点或无线网络和有线网络之间的连接点。兼容IEEE 802.11b和IEEE 802.11g,工作在2.4GHz频段,使用的是IOS操作系统
2.安装无线接入点
在安装无线接入点之前,先向网络管理员询问以下信息:
- 系统名
- 简单网络管理协议(SNMP)集合名称以及SNMP文件属性
- 如果没有连接到DHCP服务器,则需要为接入点指定一个唯一的IP地址
- 如果接入点与PC不在同一个子网内,则需要子网掩码和默认网关
- 无线网络中对大小写敏感的服务集标识符(SSID)
使用线内供电连接以太网的步骤如下
①首先将以太网电缆的一端连接到接入点上标有Ethernet的RJ-45以太网接口
②然后电缆的另一端连接至:
- 带有线内供电交换面板,如Cisco Catalyst系列线内供电面板
- 带有线内供电的交换机,如Cisco Catalyst 3524-PWR-XL交换机
- Cisco Aironet电源注入标有To AP/Bridge的一端。标有To Network的另一端连接到10/100Mbit/s以太网
使用本地电源连接至以太网的步骤如下
①首先将以太网电缆的一端连接到接入点上标有Ethernet的RJ-45以太网接口
②然后将电源模块的输出端接到接入点上标有“48V DC”的DC 48V电源接口
③最后将电源模块的另一端接到AC 100~250V电源插座
第一次配置无线接入点,一般采用本地配置方式,即无需将无线接入点连接到一个有线的网络中,默认的IP地址是10.0.0.1,并成为小型的DHCP的服务器。接入点可以为设备分配的IP地址多达20个10.0.0.x范围内的IP地址
- 连接在接入点以太网端口上的PC机
- 没有配置SSID或SSID配置为tsunami,并且关闭所有安全配置的无线设备
3.配置无线接入点
(1)使用五类双绞线连接PC机和无线接入点,通过接入点的以太网端口进行配置,或将PC机置于无线接入点的电波覆盖范围内,安装无线客户端适配器,关闭所有安全设置,不配置SSID或将SSID配置为tsunami,这样就可以无线的配置接入点
(2)给无线接入点加电
(3)确认PC机获得了10.0.0.x网段地址
(4)打开互联网浏览器(微软的IE版本5.x以上,或者Netscape导航者版本4.x以上)
(5)在浏览器的地址栏里输入无线接入点的IP地址10.0.0.1,然后按回车键。这时将出现输入密码对话框
(6)按Tab键越过用户名字段到密码字段
(7)输入大小写敏感的密码Cisco然后按回车键,或者单机【确定】按钮。这时会出现接入点汇总状态的页面。单击“Express Setup”进入“快速配置”页面
(8)根据从管理员那里得到的信息,输入各个配置数据
- System Name(系统名称):无线接入点的标识
- IP Address:设置或改变接入点的IP地址
- Broadcast SSID in Beacon:设定是否允许设备不指定SSID而访问接入点
其中:Yes选项是默认设置,允许设备不指定SSID而访问接入点,No选项表示设备必须指定SSID访问接入点
- Configuration Server Protocol:配置服务器协议。其中DHCP是自动地分配IP地址,“Static IP”表示手工分配IP地址
- IP Subnet Mask:输入网络管理员提供的IP子网掩码
- Default Gateway:输入网络管理员提供的默认网关IP地址
- Radio Service Set ID(SSID):输入网络管理员提供的SSID,注意是区分大小写的,SSID是客户端设备用来访问接入点的唯一标识
第九章
DNS概念及原理、服务器安装
1.DNS概念及原理
DNS是Domain Name System(域名系统)的缩写,因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被及其直接读取的IP数串
首先查找客户机的缓存,如果没有符合条件的记录,就产生一个查询请求并发送给本地DNS服务器
主机名到IP地址的映射有两种方式:
- 静态映射,每台设备上都配置主机到IP地址的映射,各设备独立维护自己的映射表,而且只供本设备使用(通过hosts文件完成)
- 动态映射,建立一套域名解析系统(DNS),只在专门的DNS服务器上配置主机到IP地址的映射,网络上需要使用主机名通信的设备,首先需要到DNS服务器查询主机所对应的IP地址
2.DNS服务器的分类
- 根DNS服务器,在Internet上有13个根DNS服务器(标号为a~m)
- 顶级域(TLD)服务器,负责顶级域名(如com、edu、org等)和所有国家的顶级域名(如cn、uk等)
- 权威DNS服务器,在Internet上具有公共可访问主机的每个组织结构必须提供公共可访问的DNS记录
3.DNS的主要参数
(1)正向查找区域
将域名映射到IP地址的数据库,用于将域名解析为IP地址。在大部分的DNS查询请求中,客户端一般执行正向查找,正向查找是基于存储地址(A)资源记录中的一台计算机的DNS名称搜索。这类查询希望将IP地址作为应答的资源数据
(2)反向查找区域
将IP地址映射到域名的数据库,用于将IP地址解析为域名。DNS允许客户端在名称查询期间使用已知的IP地址,并根据它查找计算机的域名。将主机(A)资源记录手动添加到正向查找区时,使用“创建相关的指针(PRT)记录”选项,可以将指针记录自动添加到反向查找区域中
(3)资源记录
区域中的一组结构化记录。常用的资源记录有3个:
- 主机地址(A)资源记录,它将DNS域名映射到IP地址
- 别名(CNAME)资源记录,将别名映射到标准DNS域名
- 邮件交换器(MX)资源记录,为邮件交换器主机提供邮件路由
(4)转发器
转发器也是一个DNS服务器,是本地DNS服务器用于将外部DNS名称的DNS查询转发给该DNS服务器
4.DNS服务器安装与配置
(1)DNS服务器的安装环境
(2)DNS服务器配置任务
- 为Windows Server 2003服务器设置固定的IP地址
- 在Windows Server 2003下安装DNS服务器(默认情况下,未安装DNS服务器)
- 创建正向查找区域、反向查找区域
- 创建主机地址资源记录
- 测试DNS服务器
- 接口选项卡可以选定DNS服务器在哪些IP地址上侦听DNS查询
- 转发器是网络上的DNS服务器,用于将外部域名的DNS查询转发给该DNS服务器
- 安装DNS服务时,根据根DNS服务器被自动加入到系统中,不需要管理员手动配置
- 使用DNS管理单元测试DNS服务器:在DNS服务器属性对话框中选择【监视】选项卡,可以对DNS服务器进行简单查询测试,也可以进行递归查询测试
- 使用命令行程序测试DNS服务器:在命令行窗口中,可以使用命令行程序nslookup对DNS服务器进行测试
- 清空DNS缓存的是使用ipconfig/flushdns
DHCP概念及原理、服务器安装
1.DHCP的基本概念
- 动态主机配置协议(DHCP)是目前广泛应用的动态IP地址分配方法。DHCP是一种用于简化主机IP地址配置管理协议
- 通过使用DHCP协议,DHCP服务器可以为网络上启用了DHCP服务器的客户端理动态IP地址分配并完成其他相关环境的配置工作
- 在使用DHCP时,整个网络至少有一台Windows 2003服务器上安装并配置了DHCP服务,其他要使用DHCP功能的客户机也必须设置使用DHCP动态获取IP地址
2.DHCP的工作原理
3.DHCP的主要参数
- 作用域:是网络上IP地址的完整连续范围。作用域常定义为接受DHCP服务的网络上的单个物理子网
- 排除范围:是指从DHCP作用域中排除出去的、有限的IP地址。使用排除范围,可以保证服务器不将这些范围内的地址分配给DHCP客户机
- 地址池:在定义了作用域和排除范围后,剩余的、可用的地址就构成了“地址池”。服务器可将地址池内的IP地址动态分配给DHCP客户机
- 保留:可使用“保留”创建DHCP服务器指派的永久地址租约,可以保留一些特定的IP地址供DHCP客户机永久使用,确保子网上指定的设备始终使用相同的IP地址。保留地址可以使用作用域地址范围内的任何一个IP地址,即使该IP地址处于排除范围之内
- 租约:是由DHCP服务器指定的一段时间,在此时间内客户机可使用指派的IP地址。租约期限决定了租约何时期满以及客户机需要向服务器对它进行更新的频率
- 选项:是DHCP服务器在向DHCP客户机提供租约时可指派的其他客户机配置参数
4.DHCP服务器安装与配置
(1)DHCP服务器的安装环境
(2)DHCP服务器的安装、配置任务
- 为Windows Server 2003服务器设置静态IP地址
- 在Windows Server 2003下安装DHCP服务器
- 在Windows Server 2003下配置DHCP服务器
- 新建并激活作用域
- 新建保留地址
- DHCP服务器测试
- 在DHCP客户机的命令平行窗口中,使用ipconfig/all命令,可以查看客户机获得的IP地址及其他配置信息情况
- 在DHCP客户机的命令行中执行ipconfig/release命令,可以释放已经获得的地址租约
- 在DHCP客户机的命令行中执行ipconfig/renew命令,可以重新从DHCP服务器获得新的地址租约
- 新建并激活作用域
- 管理DHCP数据库
- 测试DHCP服务器
WWW概念及原理、服务器安装
1.WWW的概念
WWW (World Wide Web,万维网)是存储在Internet计算机中、数量巨大的文档的集合。这些文档称为页面,它是一种超文本(Hypertext)信息,可以用于描述超媒体。文本、图形、视频、音频等多媒体,称为超媒体(Hypermedia)。Web上的信息是由彼此关联的文档组成的,而使其连接在一起的是超链接(Hyperlink)
2.WWW的工作原理
- Web浏览器向一个特定的Web服务器发出Web页面请求
- Web服务器收到请求后,查找符合条件的Web页面,并将该页面信息回传给发送请求的Web浏览器
- Web浏览器将接收到的Web页面展示给用户
Web浏览器和服务器之间传送信息使用的协议是HTTP(超文本传输协议),使用TCP连接协议,默认端口是80
3.WWW服务器安装与配置
(1)WWW服务器的安装环境
(2)WWW服务器的安装、配置任务
- 在Windows Server 2003下安装WWW服务器
- 在Windows Server 2003下配置和测试WWW服务器
- 在Windows Server 2003下配置和测试Web站点
建立网站
网站的基本配置
网站的基本测试
- 使用IP地址测试网站
- 使用域名测试网站
访问Web站点的方式主要是在客户机浏览器的地址栏中输入域名、IP地址+端口号的形式;若TCP端口默认,则输入域名或者IP地址、IP地址+端口号都可访问该网站;如果TCP端口不是默认的,只能采用IP地址+端口号访问该网站
E-mail概念及原理、服务器安装
1.E-mail的基本概念
- E-mail简称电子邮件,是一种用电子手段进行信息交换的通信方式,也是互联网上最重要的网络应用之一。电子邮件的核心是邮件服务器
- 电子邮件地址通常由两部分构成,例如yaoliang1949@sohu.com,第一部分是形象名称(yaoliang1949),第二部分为邮件服务器的域名(sohu.com),两者之间使用@隔开
- 发送方的邮件服务器软件在发送邮件时根据第二部分来确定要连接的接受方邮件服务器;接收邮件服务器软件则使用信箱名来选择对应的邮箱接收到的邮件存储起来
2.E-mial的相关协议
电子邮件系统使用的协议主要有SMTP、POP3和IMAP
- SMTP即简单邮件传输协议,用于发送电子邮件,默认TCP端口为25
- POP即邮局协议,用于电子邮件的接收、访问和读取,使用TCP的110端口。现在常用的是第三版,简称为POP3
- 邮件客户端可以通过IMAP协议从邮件服务器上获取邮件信息、下载邮件(管理邮件)等。IMAP协议允许在TCP/IP协议之上,默认使用的TCP端口号143,目前使用的是第四版,即IMAP4
3.E-mail的工作过程
- 发送方使用客户端软件(如Outlook、Foxmail等)创建新的邮件
- 客户端软件使用SMTP(Simmple Mail Transfer Protocol,简单邮件传输协议)将该邮件发送到发送方的邮件服务器
- 发送方的邮件服务器使用SMTP协议将邮件发送到接收方的邮件服务器。接收方的邮件服务器将收到的电子邮件存储在接收方用户的邮箱中
- 接收方的客户端通过POP3/IMAP4协议,从邮件服务器对邮件进行读取
5.E-mail的主要参数
- 用户:使用者只有在邮件服务器上创建了用户之后,才可以通过客户端软件,使用创建的用户名、密码进行邮件收发等操作
- 组:邮件组也是一个邮件地址,给一个邮件组发送邮件,就相当于给组内的所有成员发送邮件,即组内的所有成员都会收到该邮件
- 域:通过邮件服务器软件可以创建多个虚拟邮件服务器,每个虚拟邮件服务器称作域(Domain)。通常情况下,一个邮件服务器只需要一个虚拟服务器
6.E-mail服务器安装与配置
(1)E-mail服务器的安装环境
(2)E-mail服务器的安装、配置任务
- 在Windows Server 2003下安装Winmail邮件服务器
- 在Windows Server 2003下配置Winmail邮件服务器
- 测试Winmail邮件服务器
①在快速向导中创建新用户
②使用管理端工具来管理邮件服务器
③邮件交换机的配置
邮件交换机记录的配置只能在服务器上配置,不能通过浏览器配置
为建立邮件路由,需在DNS服务器中建立该邮件服务器的主机记录和邮件交换器记录
④测试邮件服务器
完成邮件服务器配置后,可以使用常用的邮件客户端软件汝Outlook Express、FoxMail来进行收发邮件测试
- 客户端软件测试
- WebMail测试
Winmail系统支持收、发邮件功能,安装完成后可以用浏览器进行测试。登录URL地址是邮件服务器地址加端口号
- 使用Outlook等客户端软件只能访问Winmail邮件服务器不能管理Winmail邮件服务器
- 是否允许客户自行注册新邮箱是由管理员在邮件服务器的域参数中设置,如果在域参数设置中允许用户注册邮箱,Winmail邮件服务器在运行中就可以允许用户自行注册新邮箱
- Winmail邮件服务器允许用户使用Outlook建立好的邮件账户,但不支持用户使Outlook自行注册新邮件,用户自行注册新邮箱时需输入邮箱名、密码等信息,而域名是服务器固定的,并不能自行设置
FTP概念及原理、服务器安装
1.FTP的基本概念
FTP即文件传送协议,它允许用户将本地计算机上的文件上传到服务器,或者允许用户从服务器上获得文件副本并将文件下载到本地计算机上
同时,服务器在进行文件传送时要求用户输入账号和密码。但Internet上还有许多FTP服务器都提供自由下载的文件信息,用户登录时不需使用密码,这种FTP服务称为匿名FTP服务
2.FTP的工作原理
FTP使用“客户机/服务器”的工作方式,客户端需要再自己的计算机上安装FTP客户端软件;使用FTP可传送任何类型的文件,如文本文件、二进制文件等
在进行文件传送时,FTP客户机和服务器之间要建立两个连接:控制连接和数据连接;控制连接用于在客户端和服务器之间发送控制信息,如用户名和口令、改变远程目录的命令、取来或放回文件的命令;数据连接在控制连接建立之后,即可开始传输文件
当客户端向服务器发出连接(控制连接)请求时,服务器端的默认端口为21,同时将自己选择的端口告知服务器,用于建立数据连接,控制连接在整个回话期间一直打开
FTP客户端发出的命令通过控制连接发给服务端的控制进程,控制进程在接收到客户端的请求后,创建一个数据传送过程,该进程用端口号20与客户提供的端口建立用于数据传送的TCP连接,数据传送完成后关闭该数据传送连接
3.FTP的主要参数
- 命名用户:在创建命名用户时,一般都要设置密码。用户在登录服务器上传、下载文件时,首先需要输入正确的用户名和密码
- 匿名用户:在Serv-U FTP服务器中,对名为anonymous的用户自动识别为匿名用户,但匿名用户只能下载文件
- 组:为简化账户的权限管理,可以将大量的、具有相同访问权限的账户集中到一个组内。在Serv-U FTP服务器中,可以在用户管理中创建用户组。对一个用户组赋予权限,就等同于给组内的每个账户赋予相同的权限
- 域:在Serv-U FTP服务器中,可以穿件多个虚拟服务器,每个虚拟的服务器也称作域,一个域是由IP地址和端口号唯一识别
4.FTP的服务器安装与配置
(1)FTP服务器的安装环境
(2)FTP服务器的安装、配置任务
- 在Windows Server 2003下安装Serv-U FTP Server
- 在Windows Server 2003下配置Serv-U FTP Server
- 测试FTP服务器
FTP的服务器的配置
- 配置管理员密码:初始状态下,并没有设置管理员密码,单击【设置/更改密码】按钮,进入界面中进行管理密码的设置
- 创建新域:IP地址可为空,意为服务器所有的IP地址,比较适用于有多个IP地址或使用动态IP地址;对于用户数大于500的大域,则应选择注册表,以提供更高的性能
- 创建新用户:创建域后系统中还没有创建用户。如果是第一次创建用户,建议使用向导建立用户。在创建用户时,在【用户名称】文本框中若输入“anonymous”,系统会自动判定为匿名用户
FTP的服务器选项的配置
①服务器选项
服务器选项:包括最大上传速度和最大下载速度、最大用户数、检查匿名用户密码、删除部分已上传的文件、禁用反超的调度、拦截“FTP_bounce”攻击和FXP
- 最大上传速度和最大下载速度:是指整个FTP服务器占用的带宽,默认情况使用所有可用带宽
- 最大用户数:是指同时在线的最大用户数
- 检查匿名用户密码:若选择此项,使用匿名用户登录服务器时要用电子邮件地址作为登录密码
- 删除部分已上传的文件:若选择此项,部分上传的文件会被服务器自动删除
- 禁用部分已上传的文件:若选择此项,就会阻止FTP客户端的反超时机制
- 拦截“FTP_bounce”攻击和FXP:如果勾选此项,只允许在FTP客户端和服务器间进行文件传输,而不允许在两个FTP服务器进行文件传输,以防止“FTP_bounce”攻击
②用户选项
- 用户账号选项、用户常规选项、用户目录访问选项、用户IP访问选项、用户上传/下载率、用户配额选项
- 用户IP访问选项:用户IP访问选项和域选项中的IP访问选项是一样的,但是它们的作用范围不同
- 用户配额选项:在该选项卡中可以限制用户上传信息占用的存储空间
FTP的服务器测试
①在IE浏览器地址栏中输入FTP服务器的IP地址,即在浏览器地址栏中输入“ftp://IP地址/”,即会打开【登录身份】对话框,在此对话框中输入用户名和密码,也可以选择匿名登录,就可以登录到FTP服务器上
②使用命令行访问FTP服务器;在命令行窗口中,使用ftp ftp.123.com命令即可连接到FTP服务器并进行操作
(注:ftp.123.com已经加入到DNS服务器的资源记录中)
第十章
数据备份策略、磁盘阵列备份方式
1.数据备份策略
- 从备份策略来看,可以分为完全备份、增量备份和差异备份
- 从备份模式来看,可以分为物理备份和逻辑备份
- 根据备份服务器在备份过程中是否可以接收用户响应和进行数据更新,又可以分为在线备份和离线备份(或者称为热备份和冷备份)
- 完全备份(full backup)是指用户指定的所有数据文件或整个系统进行全面备份,是一种常用的数据备份方式
- 增量备份(incremental backup)只是备份那些自上次完全备份或增量备份后新创建的、被修改过的文件,即只备份所有发送变化的文件
- 差异备份(differential backup)与增量备份相似,只备份新创建的或修改过的数据。但两者的区别在于,差异备份是累积的,一个文件只要自上次完全备份后被修改过或者是新创建的,则在以后每次进行差异备份时都会被备份,直到下一次完全备份为止
- 完全备份不会检查自上次备份后文件是否被改动过,只是机械地将每个文件读出、写入,而不管文件是否已被修改;增量备份没有重复的备份数据,备份数据量不大,所需时间很短;差异备份只备份新创建的或修改过的数据
2.磁盘阵列备份方式
廉价冗余磁盘阵列(RAID)是一种广泛使用的数据备份设备,同时也是一种数据备份技术。它是指将多个类型、容量、接口,甚至品牌一致的专用硬盘数据,从而达到提高读取速度和安全性的一种手段
磁盘阵列的最大特点是数据存储速度特别快,其主要功能是提高网络数据的可用性及存储容量,并将数据有选择地分布在多个磁盘上,从而提高系统的数据吞吐率
磁盘阵列有多种部署方式,也称RAID级别。不同的RAID级别,备份方式也不同。目前主要有RAID0、RAID1、RAID3、RAID5等几种,也可以是几种独立方式的组合,如RAID10就是RAID0和RAID1的组合
RAID1是需要通过磁盘数据镜像实现数据冗余,而RAID5可以在所有磁盘上交叉地存取数据及奇偶校验信息,相比较而言RAID5可靠于RAID1
磁盘阵列需要有磁盘阵列控制器,有些服务器主板中就自带这个RAID控制器,提供了相应的接口。而有些服务器主板上没有这种控制器,这样在需要配置RAID时,就必须外加一个RAID卡(阵列卡)插入服务器的PCI插槽中
RAID控制器的磁盘接口通常是SCSI接口,不过目前也有一些RAID阵列卡提供了IDE接口,使IDE磁盘也支持RAID技术。同时随着SATA接口技术的成熟,基于SATA接口的RAID阵列卡也非常多;有些阵列卡提供2个甚至4个磁盘接口通道
加密技术-对称加密、非对称加密
1.加密与解密
- 加密就是利用密码学的方法对信息进行伪装,使得未授权者不能识别和理解其真正的含义,也不能伪造、篡改和破坏数据
- 经过授权的接收者在收到密文后,进行与加密相你逆的变换,去掉密文的伪装,恢复明文的过程称为解密
- 加密和解密组成加密系统,明文和密文统称为报文。将信息从明文成密文,再从密文转换回明文的整个系统称为密码系统
2.对称密钥技术
对称加密技术(又称密钥密码技术)是指加密系统的加密密钥和解密密钥相同,或者虽然不同,但可以从其中一个密钥推导出另一个密钥。使用对称加密方法,加密方和解密方必须使用同一种加密算法和相同的密钥
①数据加密标准(DES)算法是最典型的对称密钥加密算法,DES算法使用64位的密钥长度,其中8位用于奇偶校验,用户可以使用其余的56为
②国际数据加密(IDEA)算法是一个对称分组密码,明文和密文都是64位,密钥长度为128位,它的速度和能力类似于DES,但是更加安全
其他比DES更安全的对称加密算法,如RC2算法、RC4算法、SkipJack算法等
采用对称加密算法,网络中N个用户之间进行加密通信,需要密钥个数是N(N-1)*
3.非对称密钥技术
非对称加密技术对信息的加密与解密使用不同的密钥,用来加密的密钥是可以公开的,用来解密的私钥是需要保密的,因此又被称为公钥加密技术
目前,常用的公钥算法包括:RSA算法、DSA算法、ECC椭圆曲线算法、PKCS算法与PGP算法等
RSA公钥加密算法是目前因特网上进行保密通信和数字签名的最有效的加密算法之一,RSA体制多用在数字签名、密钥管理和认证等方面
采用非对称密钥技术算法,网络中N个用户之间进行加密通信,需要2N个密钥
入侵检测系统-IPS(入侵防护系统)
1.入侵检测系统的概念
入侵检测技术就是对入侵行为进行检测的技术。通过收集、分析计算机网络或计算机系统重的一些关键信息,从中发现网络或系统重是否有违反安全策略的行为和遭到攻击的迹象
- 监视、分析用户和系统的行为
- 审计系统配置和漏洞
- 评估敏感系统和数据完整性
- 对异常行为进行统计分析,识别攻击行为,并向网络管理人员报警
- 对操作系统进行审计、跟踪管理,识别违反授权的用户活动
2.入侵检测系统的分类
根据数据来源和系统结构的不同,入侵检测系统可以分为基于主机的入侵检测系统和基于网络的入侵检测系统
①基于主机的入侵检测系统(HIDS):通常在被重点检测的主机上云霄一个代理程序,用于监视、检测对于主机的攻击行为,通知用户并进行响应
②基于网络的入侵检测系统一般通过将网卡设置成“混杂模式”来收集在网上出现的数据帧,可采用的基本识别技术包括:模式匹配、频率或阈值、事件的相关性、统计意义上的非正常现象检测
3.分布式入侵检测系统
分布式入侵检测系统将数据收集和部分数据分析功能分布在网络中的不同主机运行,很大程度上解决了几种式入侵检测系统处理能力有限、容易单点失效等缺点
分布式的入侵检测系统有层次式、协作式和对等式3种类型
对等式:对等模型的应用是分布式入侵检测系统真正的避免了单点失效的发生
4.入侵防护系统的基本概念
入侵防护系统(IPS),是将防火墙技术和入侵检测技术进行整合并采用In-line的工作模式的系统,该系统倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失
入侵防护系统主要包括嗅探器、日志系统、检测分析组件、状态开关、策略执行组件和控制台6个部分
5.入侵防护系统的分类
入侵防护系统主要分为基于主机的入侵防护系统、基于网络的入侵防护系统和应用入侵防护系统
①基于主机的入侵防护系统(HIPS):是安装在受保护的主机系统中,检测并阻挡针对本机的威胁和攻击,可以通过监视内核的系统调用来阻挡攻击并记录日志
HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库或其他试图从操作系统夺取控制权的入侵行为,整体提升主机的安全水平
②基于网络的入侵防护系统(NIPS):布置于网络出口处,一般串联与防火墙与路由器之间,网络进出的数据流都必须通过它,从而保护整个网络的安全
因为攻击的误报将导致合法的通信被阻断,导致拒绝服务,而性能不足会带来合法通信的延迟,甚至成为网络的瓶颈
③应用入侵防护系统(AIPS)是由基于主机的入侵防护系统发展而来,一般部署在应用服务器前端,进而保证了应用服务器的安全性
应用入侵防护系统能够防止诸多入侵,包括SQL代码嵌入、缓冲区溢出、畸形数据包、cookie篡改、参数篡改、强制浏览、数据类型不匹配以及其他已知漏洞攻击
应用入侵防护系统通常部署在面向互联网的应用系统之前,能够成为应用服务器的重要安全屏障
防火墙技术-PIX配置过程
1.防火墙的基本概念
- 防火墙指的是一个由软件和硬件设备组合而成的,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性的形象说法
- 防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成
- 通常布置在企业内部网络和外部公共网络之间,企业中一些需要对外提供服务的服务器(如FTP、WWW、E-mial)通常部署在防火墙的DMZ区
2.防火墙安装与配置
(1)防火墙的网络接口
- 外部网络区域是指企业部网络,也称为外网,如Internet、第三方网络等,是互联网中不被信任的区域。当外部区域想要访问内部区域的主机和服务时,可以通过防火墙进行设置实现外部网络的有限制访问
- 内部网络是指企业内部网络,或者企业内部网络的一部分,也称为内网。它是互联网络中的信任区域,应收到防火墙的保护。如企业内部的各个部门之间的局域网
- DMZ(也称停火区)是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般停火区内可以防止Web服务器、Mail服务器等
(2)PIX 525防火墙访问管理模式
①非特权模式
PIX防火墙开机自检后,就是处于非特权模式,系统显示为“pixfirewall>”
②特权模式
输入“enable”进入特权模式,可以改变当前配置,显示为“pixfirewall#”
③配置模式
输入“configure terminal”进入配置模式,绝大部分的系统配置都在这里进行。显示“pixfirewall(config)#”
④监视模式
在PIX防火墙在开机或重启过程中,按住Escape键或发送一个“Break”字符,即可进入监视模式,这里可以更新操作系统映像和进行口令恢复。显示为“monitor>”
(3)PIX 525防火墙的基本配置
PIX防火墙有9个基本配置命令:nameif、interface、ip address、nat、global、route、static、conduit、fixup
①nameif:用于配置防火墙接口的名字,并指定安全级别
配置示例:
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
②nat:指定要进行转换的内部地址。Nat作用是将内网的私有IP地址转换为外网的共有IP地址。Nat命令总是与global命令一起使用,因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行访问
③global:指定外部地址范围(地址池)。内网的主机通过防火墙要访问外网时,防火墙将使用这段IP地址池为要访问外网的主机分配一个全局IP地址
④static:配置静态nat,static命令用于创建内部IP地址和外部IP地址之间的静态映射
⑤conduit:管道命令
conduit命令配置语法:conduit permit|deny global_ip port[-port] protocol foreign_ip [netmask]
其中,permit|deny表示允许或拒绝访问;global_ip指的是先前由global或static命令定义的全局IP地址;port指的是服务所作用的端口。protocol指的是链接协议。foreign_ip表示可访问global_ip的外部IP
例:配置允许任何外部主机对全局地址192.168.0.8的这台主机进行HTTP访问
Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
⑥fixup:配置FIXUP协议
fixup命令的作用是启用、禁用、改变一个服务或协议通过PIX防火墙的端口、由fixup命令指定的端口是PIX防火墙要侦听的服务
例1:启用FTP协议,并指定FTP的端口号为21
Pix525(config)#fixup protocol ftp 21
例2:禁用SMTP协议
Pix525(config)#no fixup protocol smtp
网络版防病毒软件的安装与配置
1.网络版防病毒系统结构
网络版防病毒软件采用分布式的体系结构,整个防病毒体系是由4个相互关联的子系统组成:系统中心、服务器端、客户端、管理控制台。各个子系统协同工作,共同完成对整个网络的病毒防护工作
2.网络版防病毒系统安装
- 安装系统中心时,安装程序将在该服务器上同时安装一套服务器端系统和一套管理控制台系统。安装系统中心的计算机应具备全天候开机、可以方便地链接Internet条件
- 对于绝大多数网络版防病毒系统,服务器端和客户端都可以采用本地安装、远程安装、Web安装和脚本安装这几种方式进行安装
- 控制台的安装有通过光盘安装和远程安装两种方式,无论采用何种方式系统管理员都可以将管理控制台安装在其他计算机上
3.网络版防病毒系统的主要参数配置
(1)系统升级设置
- 从网站升级:系统中心直接通过Internet从其官方网站上获取升级文件
- 从上级中心升级:下级中心从上级中心获取升级文件
- 手动升级:从防病毒系统的官方网站下载升级包,将其复制到系统中心服务器上手动进行安装
(2)系统的数据通信端口可以设定
第十一章
ICMP报文协议类型
1.ICMP的基本概念
- ICMP工作在网络层,是一种管理协议,用于在IP主机、路由器之间传递消息和差错报告
- 在网络中,ICMP协议可以用于网络通不通的ping命令或者跟踪路由的trace命令
- ICMP消息被封装在IP数据包内,通过IP包传送的ICMP信息主要是涉及错误操作的报告和回送给源结点的关于IP数据包处理情况的消息
- ICMP的功能是报告问题而不是纠正错误,纠正错误的任务由发送方完成
2.ICMP协议类型
ICMP报文格式有18种,常见的报文格式如下表:
3.ICMP主要功能
(1)通告网络错误
当数据包在传输过程中,如果出现网络不可达(网络出现故障)、主机不可达(IP地址错误)、协议不可达(目的节点不支持数据包中指定的高层协议)、端口不可达(数据包指定的目的端口在目的节点无效)等错误,相关路由器或主机上的ICMP会向源节点发送一个“目标不可达”的ICMP报文
(2)通告网络拥塞
当路由器或目标主机因缓存满来不及处理而丢弃IP数据包时,它会向发送数据包的源节点发出一个“源抑制”的ICMP报文。源节点收到这个报文后会降低发送速度
(3)协助查找网络故障
- ICMP支持Echo(回送)功能,在两个主机之间发送一个往返的数据包
- 当网络中一个节点主动向另一个节点发出“Echo请求”报文,其中包含着这个报文的标识和序列号,收到该报文的节点则必须向源节点发出“Echo应答”报文
- Ping命令即是利用这个功能,在网络上传输一系列数据包,测量平均往返时间并计算丢包率
(4)通告超时
- 每个IP数据包的包头部分有一个8比特的“生存期”(TTL)字段,取值范围是0~255。IP数据包在传输过程中,每经过一个路由器,该字段的值便减1
- 一个IP数据包从源节点出发时,它的TTL已被预先设定一个数值,在传输过程中,如果该IP包的TTL降低到零,路由器就会丢弃此包,这时会生成一个“超时”(time exceeded)的ICMP报文,通告这一事实
- Trace就是一种基于上述功能的通用网络管理工具,它通过发送小TTL值的包及监视ICMP超时通告来探知网络路由
(5)路由重定向
当一台主机向自己的默认网关路由器发送一个需要转发的数据包时,如果路由器查找路由表发现有更好的路由,就会向源主机发出“重定向”的ICMP报文
(6)检查IP协议的错误
当路由器或其他主机收到一个IP包,发现它的包头中字段的值不正确,就会向源主机发送“参数错误”的ICMP报文
(7)测量指定路径上的通信延迟
ICMP时间戳消息的使用方法与Echo消息非常相似。不同的是,其“请求”、“响应”消息均带有时间戳
(8)获取子网掩码
一台主机可以发出一个包含“掩码请求”报文的广播包,默认网关路由器上的ICMP会向源主机发出一个“掩码应答”报文,把子网掩码通知它
Windows 2003网络管理命令
- ipconfig命令:显示TCP/IP网络配置信息
- hostname命令:显示当前主机名
- ARP命令:显示、删除、修改ARP条目信息
- NBTSTAT命令:显示本机与远程计算机基于TCP/IP的NetBIOS统计以及连接信息
- NET命令:管理网络环境、服务、用户、登录等本地信息
- NETSTAT命令:显示活动的TCP连接、侦听的端口、以太网统计信息、IP路由表和IP统计信息
- ping命令:通过发送ICMP报文,监听回应报文,从而检查与远程或本地计算机的连接。默认发送4个ICMP报文,每个报文包含64字节数据
- tracert命令:通过发送包含不同TTL的ICMP报文并监听回应报文,来检测到达目的计算机的路径
- pathping命令:结合了ping和tracert命令的功能,将报文发送到所经过的所有路由器,并根据每条返回的报文进行统计
- route命令:显示或修改本地IP路由表条目信息
SNMP管理模型与配置命令
1.SNMP基本概念
SNMP管理模型是Internet组织用来管理TCP/IP互联网和以太网,有三个组成部分:管理站、代理和MIB,其管理模型是一个Manager/Agent模型,类似于Client/Server模式
管理站(Manager)通过SNMP定义的PDU向代理(Agent)发出请求,而Agent将得到的MIB值通过SNMP协议传送给Manager
SNMP有三个版本:SNMPv1是最基本、最简单的;SNMPv2主要弥补版本1在安全方面的缺陷;SNMPv3加强了安全性并且与SNMPv1具有很好的兼容性
2.SNMP管理站和代理
SNMP采用一种分布式的结构,一个管理站可以管理控制多个代理;反之,一个代理可以被多个管理站所管理、控制
SNMP采用“团体”实现安全控制,每个团体都被指定拥有一个团体名。应该团体包括一个代理和若干个管理控制该代理的管理站
管理站和代理之间发送、接收报文时必须以团体名进行认证,只要团体名正确、认证通过,报文才能被接收。一个团体可以规定具有一种访问模式(主要有read-only和read-write两种)
3.管理信息库MIB-2
MIB-2采用树形结构描述,每个MIB-2对象都有一个唯一的对象标识符(OID)来标识和命名,MIB-2库中所有对象,其标识符(OID)一定都是由1.3.6.1.2.1开头的。比如Cisco许多私有定义的管理对象其标识符(OID)就是1.3.6.1.4.1.9开头的
MIB-2库中对象值数据类型是有三种简单类型和应用类型。简单类型包括整数(32位)、8个一组的字符串和对象标识符;应用类型包括IP地址、计数器、计量器、时钟等
- 时钟类型用来记录从某个事件的发生开始到目前为止所经过的时间,单位是0.01s
- 计数器类型是一个非负的整数,从0开始逐步增加但不能减少,一直增加到最大,然后回到0再从头开始
- 计量器和计数器很相似,唯一区别是计量器的值可以增加也可以减少,而且增加到最大值以后不归0,而是不再增加(封顶),但可以降下来
4.SNMP支持的操作
SNMP支持的操作主要有:获取(Get)、设置(Set)、通知(Notification),每种操作都有相应的PDU格式
①Get操作:用于管理站向代理查询被管理设备上的MIB库数据,分为Get和GetNext两个操作,分别查询指定对象的值和查询指定对象的下一个相邻对象的值
当管理站需要查询时,向某个代理发出包含有“团体名”和GetRequestPDU(GetNextRequestPDU)的报文;代理收到这样的请求报文后,根据要求提取MIB库数据,构成了一个包含有同样“团体名”和GetResponsePDU的报文,发给管理站
②Set操作:用于管理站命令代理对管理设备上MIB库中的对象值进行设置;
当管理站需要修改被管理设备上MIB库的某个数据时,就向某个代理发出包含有“团体名”和SetRequestPDU的报文。代理收到请求后,执行设置操作并返回包含有GetResponsePDU的报文
**注意:**团体字的访问模式必须时read-write时才能实现Set操作
③Notification操作:用于代理主动向管理站报告被管理对象的某些变化。该操作又可以分为自陷(Trap)和通知(Inform)两类
Trap:又称为“中断”或“陷入”;每当出现Trap情况时,代理就会向管理站发出包含有“团体名”和TrapPDU的报文
Inform:需要SNMP管理站确认接收的Trap,当管理站收到一条Inform通知后需要向发送者回复一条确认信息
5.SNMP配置命令
(1)创建或修改对SNMP团体名的访问控制
命令格式:(config)#snmp-server community<团体名>[view<视阈名>][{ro|rw}][访问控制表号]
在配置的过程中,代理和管理站配置的团体名要相同;视阈名规定了本团体内访问管理信息库的范围;访问控制表号是一个介于1~99的整数
ro|rw:用来设置管理站对代理的操作权限,ro为只读,rw为可读写
例如:建立一个团体,团体名为public,访问权限为可读可写,管理站的IP地址由10号ACL规定
(config)#snmp-server community public rw 10
(2)创建或修改一个SNMP视阈
命令格式:(config)#snmp-server view<视阈名><对象标识或子树>{included|excluded}
参数说明如下:
- 视阈名,管理人员指定的一个字符串
- 对象标识符或子树,是在这个视阈中包含(included)或排除(excluded)的MIB库对象的标识符
例如:建立一个视阈,名为part-object,它包括MIB-2库中系统组的所有对象和Cisco私有库的所有对象
(config)#snmp-server view part-object system included
(config)#snmp-server view part-object cisco included
(3)设置路由器上的SNMP代理,使之具有发出通知的功能
命令格式:(config)#snmp-server enable traps[<通知类型>][<通知选项>]
其中:通知类型和通知选项是对在什么情况下发出通知的规定
(4)在某个接口配置模式下,指定当该接口断开或连接时要向管理站发出通知
格式:(if-config)#snmp trap link-status
(5)设置接收通知的管理站
命令格式:(config)#snmp-server host<主机名或IP地址>[traps|informs][version{1|2c}]<团体名>[udpport<端口号>][<通知类型>]
- traps或informs:用于指定这台主机是发送自陷信息还是发送通知(默认为发送自陷信息)
- version 1或2c:用于指定是按照哪个版本的SNMP发送
- udp-port:用于指定这台主机使用哪个UDP端口号接收通知(默认为162)
网络攻击与漏洞查询
1.网络攻击的基本方法
- 木马入侵:设计并隐藏在计算机中进行特定工作或依照黑客的操作来进行某些工作的程序
- 漏洞入侵:指黑客利用网络系统的漏洞,采用针对该漏洞的工具或自己设计的针对该漏洞的工具等方式入侵、攻击的行为
- 口令入侵:使用某些合法用户的账户及其口令登录到目的主机,然后再实施攻击行为
- 缓冲区溢出攻击:利用缓冲区溢出漏洞所进行的攻击行动。利用缓冲区溢出攻击,可以导致程序运行失败、系统关机、重新启动等,甚至攻击者得到系统控制权,进行各种非法操作
协议欺骗攻击:是指针对网络协议的缺陷,采取某种欺骗手段,假冒身份来获取信息或取得特权的攻击方式。常见的协议欺骗攻击有如下:
- ARP欺骗攻击:利用ARP协议漏洞,通过伪造IP地址和MAC地址实现ARP欺骗的攻击技术
- IP欺骗攻击:通过伪造某台主机的IP地址来骗取特权,进行攻击
- DNS欺骗攻击:攻击者通过欺骗手段,使用户查询(DNS)服务器进行域名解析时获得一个错误的IP地址,从而引导用户访问一个错误的站点
- 源路由欺骗攻击:通过指定路由,以假冒身份与其他主机进行合法通信或者发送假报文,使受攻击主机出现错误动作
拒绝服务攻击(Dos):即攻击者通过发送大量合法的请求或数据来占用和消耗过多的服务资源,使得网络服务不能响应正常的请求
①死亡之Ping(Ping of Death):是通过构造出重组缓冲区大小的异常的ICMP包进行攻击
②SYN洪泛滥(SYN Flooding):是利用TCP连接的三次握手过程进行攻击。攻击者主机使用无效的IP地址,与被攻击主机进行TCP的三次握手
③Smurf攻击:是指攻击者在远程机器上发送ICMP应答请求服务,其目的主机是某个网络的广播地址,其请求包的源IP不是发起攻击的IP地址,而是将要攻击的主机的IP地址
④分布式拒绝服务攻击(DDos):指通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成受害主机无法处理而拒绝服务
⑤Teardrop攻击:指利用OS处理分片重叠报文的漏洞进行攻击
⑥Land攻击:指向某个设备发送数据包,并将数据包的源IP地址和目的IP地址都设置成攻击目标的地址
2.漏洞查找办法
扫描分为被动和主动,被动扫描对网络上流量进行分析,不产生额外的流量,也不会导致系统的崩溃;主动扫描则更多带有入侵的意味,可能会影响网络系统的正常运行
常见的漏洞扫描工具有ISS、X-Scanner、MBSA等
ISS SafeSuite套件系列包括互联网扫描器(Internet Scanner)、系统扫描器(System Scanner)和数据库扫描器(Database Scanner),是业界安全风险管理最完善的先进方案。ISS的可适应性网络安全软件制定了一套安全控制系统,使不同级别的管理部门用户,可以各自得到侧重点不同的网络安全状况的重要报告
MBSA:微软基准安全分析器是微软公司提供的免费安全评估工具
MBSA会对一个或多个系统进行扫描,并返回一个有关安全修补程序缺少、密码脆弱、Internet Explorer和OutlookExpress安全设置以及Office宏保护设置等方面的报告
MBSA的优势在于其全面的系统安全扫描分析报告
X-Scanner运行在Windows平台上,主要针对Windows NT、Windows XP和Windows 2000操作系统的安全进行全面细致的评估,能够扫描出很多Windows系统的漏洞,并指出安全的脆弱环节和弥补措施
X-Scanner采用多线程方式对指定IP地址段(或单机)进行安全漏洞扫描
3.漏洞修补办法
漏洞库CVE是个行业标准,为每个漏洞和暴露确定了唯一的名称和标准化描述,可以成为评价相应入侵检测和漏洞扫描等工具产品和数据库的基准
修补系统漏洞最直接、最有效的办法就是及时给操作系统、应用程序安装升级补丁并及时更新程序
微软(WSUS)是用来实时发布微软公司操作系统更新程序的服务系统,WSUS服务器通过互联网和微软公司WSUS服务实时连接,可及时获得微软公司的最新更新程序
网络故障查找与排除
在校园网的一台主机上用浏览器无法访问域名为www.tjnu.edu.cn的网站;故障原因可能:
- 该计算机的网卡安装、网线连接有问题
- 该计算机的IP地址和子网掩码配置错误
- 该计算机的TCP/IP协议工作不正常
- 该计算机网关设置错误
- 该计算机无法正常进行域名解析(域名解析服务器有故障)
- 路由设置存在问题(路径不可达)
