赞
踩
分层思想:
将复杂的流程分解为几个功能相对单一的子过程:
整个流程更加清晰,复杂问题简单化
更容易发现问题并针对性的解决问题
OSI七层协议的建立原因:协议太多,分层管理
问:完成每件事需要的协议太多,如何解决?
答:下层为上层服务,每层独立,协议相同。
同层协议相同,下层为上层服务。实际应用上表示层和会话层被应用层包含了
应用层 应用层 PDU
表示层 表示层
会话层 会话层
传输层 传输层 数据段
网络层 网络层 数据包
数据链路层 数据链路层 帧
物理层 物理层 比特
5.应用层 PC/防火墙
工作协议:HTTP/S(80/443)、SSH-22、Telnet-23、FTP-20/21、DNS-53、DHCP-67/68、SMTP-25、RDP-3389、POP3-110、SMB-445、Mysql-3306
4.传输层 防火墙
工作协议:二选一,TCP安全可靠、UDP性能快
3.网络层 路由器(三层路由器)
工作协议:ICMP IP ARP
2.数据链路层 交换机(二层交换机) 网卡
工作协议:Mac子层协议
1.物理层 网线
五层协议流程图解:
网卡速率:
Ethernet 10Mb/s
FsatEthernet 100Mb/s
GigabitEthernet 1000Mb/s
TenGigabitEthernet 10000Mb/s
传输层:
- 完成进程到进程通信
- TCP:面向连接服务。提供可靠的通信,因为双方要构建链接,丢包链接有数据重传机制
- UDP:无连接服务,不可靠,丢包无重传机制
网络层:
- 完成点到点的通信(点-计算机)
- IP协议:给数据加上IP包头
数据链路层:
交换机存在数据链路层,不认识上面层,所以辨识不出IP
交换机根据mac地址来转发数据
mac地址:加上mac地址(帧头)和FCS(帧尾)
物理层:
数字信号:比特流(bit)
8bit >1Byte字节,小b和大B
5层 应用层 >输出数据hello
4层 传输层>给hello加上TCP/UDP头,完成进程到进程的通信(应用层的源端口号和目标端口号)TCP保证安全可靠性,UDP保证性能,速度快但安全性不足
3层 网络层 > 加上IP包头,把源IP和目标IP加上去。
2层 数据链路层 >加上mac子层和FCS(帧校验,保证完整性)
1层 物理层:利用比特流传输数据
封装过程:
解封过程:
三层网络层IP包头格式:
工作在物理层的设备:网线、光纤、空气
比特流中传输数据大小:
8bit = 1Byte
1024B = 1KB
1024KB = 1MB
1024MB = 1GB
1024GB = 1TB
1024TB = 1PB
信号:
电信号:
模拟信号: 放大器 ->可以远距离传输但是噪音也会放大,会失真
数字信号:中继器 ->把信号复原,抗干扰能力强传输距离短
光信号:
光纤类型:
单模光纤:只传输单种光,传输距离更远,衰减更小
多模光纤:可以传输多种光,传输距离小,
网线
网线/双绞线:坑干扰
五类双绞线
超五类双绞线、六类双绞线、七类双绞线:市面上比较常见,更干扰能力更强
水晶头排线:
T586A标准:白绿、绿、白橙、蓝、白蓝、橙、白棕、棕
T586B标准(国标):白绿、绿、白绿、蓝、白蓝、绿、白棕、棕
网线用途分类:
交叉线:一端为A一端为B。同种设备间使用
直通线:两端都是A或B。异种设备间使用
全反线:一端为A,另一端为反A,也称console线。
网络拓扑图
简单网络拓扑图
工作在数据链路层的设备:交换机、网卡
传输单元:帧
帧格式:
802.3:有线网卡
802.11:无线网卡,在传输的时候去掉源帧加上另一个帧发送给无线笔记本
帧结构:帧头-数据段(上三层数据)-帧尾
帧头:目标mac、源mac、类型(IP/ARP)。
mac地址:
也叫物理地址,全球唯一。长度:48位、6字节
类型字段:
0x0800:十六进制,代表上层为IP协议
0x0806:十六进制,代表上层为ARP协议
作用:类型字段作用是识别上层协议,为上层提供服务
上三层数据:MTU值(最大传输单元),1500字节(国标)
帧尾:保证数据完整性,帧头和上三层数据的hash值
示例图
交换机(Switch)工作原理:
收到一个数据帧后:
首先学习帧中的源mac地址来形成mac地址表
然后检查帧中的目标mac地址,并匹配mac地址表:
如表中有匹配项,则单播转发
如表中无匹配项,则除接收端口外广播转发
交换机接口模式:
交换机mac地址表只记录自己的端口地址
交换机的端口mac地址不会覆盖,个人PC拔掉网线300秒mac地址会消息而如果换了端口会直接覆盖更新mac地址表
端口状态: up/down,开启/关闭
dowm的3种可能:
1.人工down掉
2.速率不匹配
3.双工模式不匹配(双工duplex)
双工模式3种:
1.单工-已淘汰,只能单向通信,一端接一段收。比如bb机、录音机
2.半双工:双向通信,但是一端发送另一端不能发送
3.全双工:双向通信,两端都可以进行即时通信
交换机原理示例图:
交换机基本工作模式和命令:
- 二层接口默认开启
- 三层接口默认管理down
利用console线直插电脑和交换机:
第一次配置网络设备,需要使用cosole线,水晶头连交换机、com口连电脑(或转usb口连usb)
在PC上需要使用"超级终端"或其他软件打开交换机配置窗口
基本工作模式:
1. 用户模式:switch> 可以查看交换机的基本简单信息,且不能做任何修改配置 2. 特权模式:switch# 可以查看所有配置,但不能修改配置。却可以做测试保存、初始化等操作 switch>enable 进入特权模式:switch# configure terminal:配置终端命令 switch(config)# 3. 全局配置模式:switch(config)# 默认不能查看配置,可以修改配置且全局生效 switch#>configure terminal #进入全局配置模式 4. 接口配置模式:switch(config-if)# 默认不能查看配置,可以修改配置且对该端口生效 switch(config)#interface f0/1 #进入f0/1接口配置模式 5. Console口/线/控制台配置模式:switch(config-line)# 默认不能查看配置,可以修改配置且对console口生效 switch(config)#line console 0 #进入console口模式
交换机基本命令:
1. exit #退出一级 2. end #直接退到特权模式 3. reload #重启,如果重启或断电前不保存,那么当前所做所有配置命令消失 4. 在内存中存在文件running-config,第一次开机系统会在内存中自动创建一个新的running-config文件。所有配置操作都在此文件中 5. 缩写:e?可以查看该模式下所有e开头的命令,进一格缩写可以不用打全命令 6. tab键可补全命令和路径 7. 修改主机名命令:全局配置模式下 hostname sw-bj-01-02(主机名) #修改交换机主机名 8. 配置用户密码:console口模式下 password laolao(密码) #至少六位 login #开启用户密码,必须用密码启动 exit 9. 配置特权模式用户密码:全局模式下 enable passwor kongyuhen(密码) 明文密码,show 内存文件可看到 hash密码:enable secret 123456(密码) 使用md5加密 当明文和密文同时配置,明文密码失效 10. 删除配置:命令在哪配置在哪模式下删除,命令前加no 原命令参数具有唯一性的时候不用加参数,比如密码、主机名 no hostname 主机名(可不写) 全局模式下,删除主机名配置 no password(可不写) 密码 no login console模式下,删除用户密码不要验证 no enable password 全局模式下,删除特权密码,不需要接密码 11. 快捷键:所有模式 ctrl+u #快速删除光标所有字符 ctrl+a #快速定位光标到行首 ctrl+e #快速光标到行尾 12. 保存配置:特权模式下 copy running-config startup-config #从内存复制到硬盘中 或者write也是保存 13. 查看running-config配置:特权模式下 思科:show running-config 华为:display running-config 14. 重启设备:特权模式下 reload 15. 恢复出厂设置:特权模式下 erase startup-config 16. 查看mac地址表:特权模式下 show mac-address-table #查看mac地址表 17. 查看接口连接端口的状态:特权模式下 show ip interface brief #查看接口状态 18. 人为down掉某端口:进入某端口接口模式 shutdown #关闭,此端口无法进行通信 no shutdown #开启 19. 交换机开机动作: 先去硬盘中查找startup-config是否存在 如果存在,则复制到内存中并改名为running-config文件 如果不存在,在内存中创建running-config文件 20. do的用法:其他模式可强制使用特权模式命令 一般情况下show命令只能在特权模式下是用,但是其他模式可以强制使用 命令:do show... #在命令前加do。任何特权命令在其他模式加do就可以
为二层交换机配置管理IP:
交换机写入命令:
conf t #进入全局模式 int vlan 1 #进入虚拟端口 ip address ip地址 子网掩码 #配置交换机ip地址,不能与现有ip地址冲突 no shutdown 交换机也可以开启远程服务: configure terminal #在全局模式下 line vty 0 4 #进入虚拟终端,开启远程控制 transport input telnet/ssh/none/all #可选择的开启单个服务或全关/开 login local #开启本地身份验证 exit #退回全局模式 username 账号 password 密码 #在全局模式下添加用户,用来远程控制(可添加多个用户) hostname ly1 #配置路由器主机名 ip domain-name ly1.jinyi.com #配置路由器域名 crypto key generate rsa #配置密钥对全局模式下,生成一个rsa算法带有公密钥:加密字节 再进行虚拟终端操作开启ssh服务 交换机也需要配置网关:用于跨网段管理 给vlan接口配置网关地址:在全局模式下 ip default-gateway 网关地址 #配置网关地址
路由器原理:
跨越从源主机到目标主机的一个互联网络来转发数据包的经过。 路由就是路由器为数据包选择路径的过程
路由作用:
路由器可以隔离网段但交换机不可以 ,路由器不同接口必须配置不同的网关地址且网段不能相
路由表:
路由器中维护的路由条目的集合
路由器根据路由表做路径选择
路由器工作在网络层,根据路由表转发数据,路由选择,路由转发
路由器命令基本与交换器命令一致
为三层路由器配置网关IP:
路由表的形成: 直连网段:配置ip地址,端口UP状态 非直连网段: 假设三层设备为路由器 和交换机命令一致 三层接口默认是人工down掉,需要手动开启配置ip 手动开启down掉端口:特权模式下 show ip interface brief 查看端口状态 注意查看直通线连的是哪个端口 1. 配置ip:接口模式下,需要查路由器连接线的接口是哪个,然后进入此接口模式 int f0/0 #假设连接是是f0/0接口 ip address ip地址 子网掩码 #配置路由器ip no shutdown #启用up状态 就可以开启
路由器转发下一跳路由配置:
静态路由:全局模式 conf t ip route 目标网段 子网掩码 下一跳路由ip 如:ip route 10.1.1.0 255.255.255.0 20.1.1.2 默认路由:全局模式 conf t ip route 全网段 全网段掩码 下一跳路由ip 如:ip route 0.0.0.0 0.0.0.0 20.1.1.2 浮动路由:全局模式 在静态或默认路由后加空格+数字(正整数),比如有两条直通线相连的路由器 conf t ip route 网段 掩码 下一跳路由ip ip route 网段 掩码 下一跳路由ip 2
三层路由器远程控制:
1. 不需要身份验证: configure terminal #在全局模式下 line vty 0 4 #进入虚拟终端,开启远程控制 transport input telnet/ssh/none/all #可选择的开启单个服务或全关/开 passwword 密码 #设置密码 login exit 2. 需要身份验证: configure terminal #在全局模式下 line vty 0 4 #进入虚拟终端,开启远程控制 transport input telnet/ssh/none/all #可选择的开启单个服务或全关/开 login local #开启本地身份验证 exit #退回全局模式 创建用户: username 账号 password 密码 #在全局模式下添加用户,用来远程控制(可添加多个用户) 3. 如果配置ssh服务需要提前配置路由器主机名、域名、密钥: hostname ly1 #配置路由器主机名 ip domain-name ly1.jinyi.com #配置路由器域名 crypto key generate rsa #配置密钥对全局模式下,生成一个rsa算法带有公密钥:加密字节 再进行2. 中虚拟终端操作开启ssh服务
三层路由器拓扑图:
路由器隔离网段示例图:
路由全网互通配置ip基本命令排错:
do show ip route 查看路由表命令
do show ip interface brief 查看接口列表
广播和广播域:
广播:将广播地址做为目的地址的数据帧
广播域:网络中能接受到同一个广播的所有节点的集合
MAC地址广播:
广播地址为 FF-FF-FF-FF-FF-FF
IP地址广播:
全IP地址广播:255.255.255.255
广播ip地址为ip地址网段的广播地址,如192.268.1.255/24
ARP协议(Address Resolution Protocol) 地址解析协议
作用:将一个已知的ip地址解析成mac地址
ARP协议没有验证机制
ARP工作原理:
ARP协议只存在内网中,路由器隔绝ARP协议
ARP原理: 发送APR广播请求 :获取对方的mac地址 接受ARP单播回应:目标ip接收广播回应mac地址 ARP广播请求报文内容: 我是10.1.1.1 我的mac是AA 谁是10.1.1.2 你的mac是? ARP请求过程: PC1发送数据给PC2,查看缓存中有没有PC2的mac地址 PC1发送ARP请求信息(广播) 内网段中所有主机收到ARP请求信息 只有PC2应答(单播,因为ARP请求包含PC2ip地址) 其他主机丢弃 PC1将PC2mac地址保存到缓存中,发送数据 ARP请求过程(经过路由器): 第一步: 路由器接受到数据帧,查看目标mac地址是否对应自身mac地址 如不对应直接丢弃 如对应直接解封装数据帧 第二步: 解封装数据帧,查看目标ip并对应路由表 如果路由表匹配不成功则直接丢弃,并向源ip反馈错误信息 如果路由表匹配成功则将ip包路由到出接口,然后再封装ip包加上帧头/尾 第三步: 封装数据帧,首先将本路由出接口的mac地址作为源mac地址。然后检查ARP缓存表(路由器中的ip和mac地址对应关系) 检查ARP缓存表是否有下一跳路由的mac地址: 如有,将提取并作为目标mac地址封装到帧中 如没有,则发送ARP广播请求下一跳mac地址并获取对方mac地址(下一跳路由器收到ARP请求然后应答(回应mac地址)。),再进行封装帧。 最后将帧发送到下一条路由 第四步:下一跳路由进行第二步操作。直到路由到目标ip段的网关地址,目标网关收到帧数据进行ARP广播或单播,经由交换机mac地址表进行数据传输到目标ip的PC上
数据路由示例图:
ARP基本命令:
Windows系统中的ARP命令:
arp -a #cmd查看个人PC本地ARP缓存
arp -d #清除ARP缓存
arp -s #ARP绑定
ARP攻击和欺骗原理:
- 通过发送伪造虚假的ARP报文(广播或单播),来实现攻击和欺骗
- 如虚假的报文的mac是伪造不存在的,实现ARP攻击,结果是终端通信/断网
- 如虚假报文的mac是攻击者自身的真实mac地址,实现ARP欺骗,结果可以监听、窃取、篡改、控制流量,但不中断通信
欺骗原理实例图:
PC1向PC2发起请求
PC2应答,PC3伪造ARP信息应答
因为ARP协议中谁应答最后PC1取谁
ARP攻击者通过发送虚假伪造的ARP报文对受害者进行ARP缓存投毒
ARP欺骗网关示例图:
ARP欺骗主机:
ARP攻击防御
ARP防御3种方法:
第一种: 静态ARP绑定: 手动绑定/双向绑定,将ARP缓存表中学习的ip对应mac地址绑定为静态 对Windows的PC进行绑定: netsh interface ipv4 show neighbors netsh interface ipv4 set neighbors 11 本地地址 本地mac地址 或arp -s 网关地址 网关mac地址 对网关进行绑定:路由全局模式 arp 网关地址 网关mac地址 arpa 路由接口(f0/1) 第二种: ARP防火墙: 优点:自动自动绑定静态ARP,主动防御 缺点:不断向网关发送ARP请求包,网关负载较大(当内网中主机较多时,每台主机都发送ARP请求包) 第三种: 硬件级ARP防御: 优点:直接禁掉ARP攻击 利用管理型交换机(企业级) 交换机支持接口做动态ARP绑定(配合DHCP服务器),交换机ARP缓存表记录下来。不允许发送虚假ARP请求包(因为mac地址绑定下来) 或静态ARP绑定 第一步: 交换机上需要开启DHCP监听功能:交换机全局模式 ip dhcp snooping 第二步: 交换机上:全局模式 arp 所属ip地址 所属网关mac地址 arp 所属交换机接口(f0/1) 对每台PC/网关进行绑定 或 conf t ip dhcp snooping int range f0/1 -48
trunk/中继链路/公共链路在交换机上使用
作用:允许所有VLAN数据通过trunk链路
方法:通过在数据帧上加标签,来区分不同的vlan的数据
trunk标签:
ISL标签:cisco(思科)私有的,标签大小30字节26+4(在帧前面加26字节帧尾加4字节)
802.1q标签:公有协议,所有厂家都支持,标签大小4字节,属于内部标签(在数据帧中间加上标签)
交换机端口链路类型:
- 接入端口:也称为access端口,一般用于连接PC。只能属于某一个vlan,也只能传输1个vlan的数据
- 中继端口:也称为trunk端口,一般用于连接其他交换机。属于公共端口,允许所有vlan的数据通过
配置trunk命令:交换机间交叉线上的接口
int f0/x 进入此接口模式
switchport trunk encapsulation dot1q/isl #将此接口封装的标签为dot1q(公共标签)或isl(思科标签)可不选择默认是dot1q
switchport mode trunk #将此接口配置为中继接口模式
exit
VLAN属于二层技术
广播/广播域
广播的危害:增加网络/终端负担,传播病毒,安全性下降
如可控制广播:
使用路由器物理隔绝,广播不能透过路由器
缺点:成本高,不灵活(PC跑到别的部门访问不了原部门,不同部门网段不同)
使用VLAN技术控制:
VLAN技术是在交换机上实现的且是通过逻辑隔离划分的广播域,用来控制广播隔绝离广播域
一个VLAN = 一个广播域 = 一个网段
VLAN的类型:
静态VLAN:手工配置,基于端口划分的VLAN
动态VALN手工配置,基于maczhi'w
一台交换机划分VLAN命令:
在交换机上 静态VLAN命令:全局模式下 创建vlan: conf t vlan ID,ID,ID-ID #创建vlan 数字,数字,可创建多个vlan。进入name模式 name IT #给vlan id 起名字为IT部门 exit 查看VLAN表:特权模式或加do show vlan brief 将接口加入到VLAN:全局模式 int f0/x #进入此接口 switchport access vlan ID #将交换机该接口加入到vlan 几中 exit 还需要配置路由-交换机连接的端口配置trunk技术 int f0/5 #进入需要trunk的接口 switchport mode trunk #默认情况下使用802.1q标签
一台交换机配置vlan示例图:
多台交换机划分VLAN命令:
默认所有接口都在vlan 1
交换机上出接口和入接口不在同一个vlan不能互相通信
如果有多个交换机:全局模式下
重新创建VLAN ID 并与上交换机一样
创建vlan:
conf t
vlan ID,ID,ID-ID #创建vlan 数字,数字,可创建多个vlan。进入name模式
name IT #给vlan id 起名字为IT部门
exit
再将连接交换机的接口变为中继接口
当有较多交换机和较复杂vlan情况下:
使用vtp 进行集中管理:在一台交换机上管理其他交换机创建vlan
vtp domain name(名字) VTP是用来帮助管理多交换机的多vlan情况,防止vlan信息混乱,维持vlan信息统一。
如果你的网路比较大,且交换机数量多,vlan复杂的情况下,就需要使用vtp domain了。别的交换机就会学习到
- vlan控制广播域、不同vlan间无法进行广播,但是不同vlan之间可以通过路由器单播通信
- 不同vlan间通信是靠路由来实现的
- 单臂路由缺点:当有上千员工存在网络瓶颈,网络信号差,容易发生单点物理故障(所有子接口依赖路由器连接交换机上的直通线),vlan间通信的每个帧都进行单独路由
路由器开启子接口给不同vlan间通信配置命令:
在路由设备上:全局模式下
conf t
int f0/0.1 #在此接口模式下创建子接口(可以创建上万个逻辑子接口)
encapsulation dot1q 10 #10是标签
ip add 网关地址 掩码
no shutdown
exit
int f0/0.2 #再创建第二个vlan的子接口
encapsulation dot1q 20 #20是标签
ip add 网关地址2 掩码
no shutdown
int f0/0 配完子接口需要配置父接口开启网关f0/0接口
no shutdown
路由器使用开启子接口并配置标签示例图:
- 路由器可以充当DHCP服务器(三层设备以上都可以)
- 当PC广播的时候就不用山长水远跑到服务器上面请求ip
- 路由器还是需要配置子接口,PC才可以进入网关地址池申请ip
- PC数据从哪个子接口进入就从哪个地址池请求ip
- 公司人少的时候可用路由器充当DHCP服务器,人多需要用服务器,不然路由器工作效率会降低
在三层路由器上部署DHCP服务器:
conf t 全局模式下
ip dhcp excluded-address 10.1.1.1 10.1.1.99 #可提前预留1-99的ip地址
ip dhcp pool 地址池名字(v10) #创建dhcp地址池(作用域),进入地址池配置模式
network vlan地址段 掩码 #提供vlan网段和掩码
default-router 此vlan网关地址 #指定网关
dns-server dns服务器地址 #指定dns服务器地址
lease 天 小时 分钟 提供租约时间,如:lease 1 1 1(租约时间为1天1小时1分钟)
exit
然后内网里面有几个网段就在路由器里面配置几个子接口和地址池
在路由器上删除配置:全局模式
no ip dhcp excluded-address 10.1.1.1 10.1.1.99 #删除预留地址
no ip dhcp pool 地址池名字(v10) #删除地址池
有多个地址池有继续删除
conf t
int f0/0.1 #进入vlan子接口配置命令
ip helper-address dhcp服务器ip地址 #指定需转发的dhcp服务器ip地址
exie
然后不同的子接口配置dhcp服务器ip地址(本dhcp服务器ip地址上路由器的子接口 不用配置)
ICMP端口号:没有端口号,只有应用层的协议才有端口号
ICMP协议作用:网络探测与回馈机制(网络探测、路由跟踪、错误反馈)
ICMP封装的帧:2层帧头+3层(ip包头+icmp头+数据)+2层帧尾(只有)
ICMP协议的封装格式:ICMP头和数据
数据是一些无意义的数据
ICMP头有四个ICMP类型字段:
8:ping请求 #本地PC向目标PC发送
0:ping应答 #目标PC给本地PC应答
3:目标主机不可达 #路由器无法进行路由,返回的错误(里面存在代码,不同代码代表不同错误类型),或路由器和防火墙不允许访问
11:TTL超时,路由环路
ip跟踪:
windows:tracert ip地址
linux和路由器:traceroute ip地址
三层交换机原理:
三层交换机优点:
三层交交换机配置命令:
三层交换机接口间线路配置trunk链路: conf t int range f0/1 - 2 #多个接口一起配置 switchport trunk encapsulation dot1q #指定封装标签 switchport mode trunk #接口开启trunk链路 exit vtp domain 名字 #配置vtp,二层交换机也会也会接收到三层交换机划分vlan的配置 划分vlan: 开启路由引擎配置激活vlan,不用配置标签每个vlan走单独主板线路 conf t ip routing #开启三层路由器功能 no ip routing #关闭三层路由功能 int vlan 10 #在路由里面创建vlan10虚拟网关端口(交换机得先创建激活vlan10) ip add 网关地址 掩码 #给vlan10配置网关地址 no shut #激活 int vlan 20 #继续创建vlan20虚拟网关端口,继续上面操作(路由器里面得mac地址一样) exit 访问外网,二层端口升级为三层端口 int f0/x no switchport #此命令升级为三层接口 ip add 网关地址 掩码 no shut
内部网络规划示例图:
HSRP协议:使用双网关,当主网关线路出现问题切换到备用网关
VRRP协议:使用双网关,当主网关线路出现问题切换到备用网关
HSRP协议(热备份路由协议):
HSRP组号:1-255,没有大小之分
热备份路由配置命令:
活跃路由和备份路由都需要配置:
int f0/x或int vlan x #进入路由网关接口模式/如果有多个核心交换机
standby 组号(1-255) ip 虚拟ip地址 #创建组号并设置虚拟ip
standby 组号(1-255) priority 优先级(数字) #配置该路由网关的优先级
standby 组号(1-255) preempt #设置占先权,当发现其他路由优先权比自己低立即抢占活跃路由名分
standby 组号 strack f0/x #跟踪路由器路由接口状态f0/x为路由接口
查看路由备份表:
show standby (brief ) #查看hsrp状态
热备份路由原理:
多核心交换机示例图:
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。