导图社区 计算机三级网络技术
- 相似推荐
- 大纲
计算机三级网络技术
1.1.以太网速率分类
⚫ 传统以太网:传输速率为 10Mbit/s 的以太网;
⚫ 快速以太网(Fast Ethernet),即 FE:传输速率为 100Mbit/s 的以太网;
⚫ 吉比特以太网简称为 GE:传输速率为 10Gbit/s 的以太网简称为 10GE
1.2.CSMA/CD 与 CSMA/CA
⚫ CSMA/CD(Carrier Sense Multiple Access/Collision Detection,带有冲突检测的载波侦听多路存取)。是子网内部所采用的介质访问控制方法。
⚫ CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance,带有冲突检测的载波监听的 路访问)。利用 ACK 信号来避免冲突的发生。
1.3.构成广域网的典型网络类型和技术 有综合业务数字网(ISDN),公共电话交换网(PSTN),数字数据网(DDN),X.25 分组交换网,帧中继(Frame Replay,FR)网,异步传输模式(Asynchronous Transfer Mode,ATM)网,吉比特以太网(Gigabit Ethernet, GE)与 10Gbit/s 的光以太网(Optical Ethernet)。
1.4.光纤分布式数据接口(FDDI)
⚫ FDDI 可以实现高速、高可靠性和大范围内局域网的连接。
⚫ FDDI 以光纤为传输介质,传输速率为 100Mbit/s,可以用于 100km 范围内的局域网互联。
⚫ 支持双环结构,具备快速环自愈能力,
1.5.城域网概念及宽带城域网
(1)城域网的基本概念 城域网是指网络运营商在城市内部提供的基于各种信息服务业务的所有网络,它以 TCP/IP 协议为基础,以 宽带光传输网络为开放平台,借助各种网络互联设备,实现语音、数据、图像、多媒体视频、IP 电话、IP 接入和各种增值服务业务与智能业务,并与广域网、广播电视网、电话交换网互联互通,形成城市本地内部 的综合业务网。
(2)宽带城域网的结构,完整的宽带城域网主要包括网络平台、业务平台、管理平台 3 个平台与 1 个城市宽带出口。 宽带城域网的总体结构
(3)宽带城域网网络平台各层功能 核心交换层(核心层)
⚫ 主要承担高速数据交换的功能
⚫ 实现与主干网络的互联,提供城市宽带 IP 数据出口。
⚫ 提供宽带城域网用户访问 Internet 所需要的路由服务。
⚫ 将多个汇聚层连接起来,为汇聚层的网络提供高速分组转发,为整个城域网提供一个高速、安全并具有 QoS 保障能力的数据传输环境。 边缘汇聚层(汇聚层)
⚫ 主要承担路由与流量汇聚的功能
⚫ 根据处理结果把用户流量转发到核心交换层或在本地进行路由处理。
⚫ 汇接接入层的用户流量,进行数据分组传输的汇聚、转发与交换。
⚫ 根据接入层的用户流量,进行本地路由、过滤、流量均衡、QoS 优先级管理,以及安全控制、IP 地址转 换、流量整形等处理。 用户接入层(接入层)
⚫ 主要承担用户接入与本地流量控制的功能。
⚫ 解决“最后一公里”问题。通过各种接入技术,连接最终用户,为它覆盖范围内的用户提供访问 Internet 以及其他信息服务。
1.6.管理宽带城域网有 3 种基本方案 管理宽带城域网有 3 种基本方案,即带内网络管理、带外网络管理,以及同时使用带内和带外网络管理。 “带内”与“带外”网络管理的区分以传统的电信网络为基准。
⚫ 带内网络管理:利用传统的电信网络,如数据通信网(DCN)或公共交换电话网(PSTN)拨号,对网络设备 进行数据配置。带外网络管理:利用 IP 网络及协议进行网络管理,它利用简单网络管理协议(SNMP)建立网络管理系统, 实时采集网络数据,产生告警信息,显示网络拓扑,进行各类通信数据分析,供网络管理人员维护网络 设备与系统运行状态。
⚫ 同时使用带内和带外网络管理:是对汇聚层以下采用带内管理,而对汇聚层及其以上设备采取带外管 理。
1.7.QoS 要求的技术
⚫ 资源预留(RSVP)、区分服务(DiffServ)与多协议标记交换(MPLS)。
1.8.传输介质
⚫ 以太网技术从速率 10Mbit/s 到 100Mbit/s 的发展过程中,物理层传输介质始终是以双绞线为主、光纤 为辅,结构上也是以共享介质方式与半双工方式为主;
⚫ 1Gbit/s、10Gbit/s 以及将来的 100Gbit/s 以太网,物理层只定义了光纤接口标准,且支持全双工和点 到点的连接方式。
1.9.弹性分组环(RPR)
(1)RPR 环结构特点
⚫ RPR 采用双环结构。
⚫ RPR 环中两个 RPR 节点之间的裸光纤的最大长度可达到 100km。
⚫ RPR 有内环和外环两个光纤环,内环沿逆时针方向传输,外环沿顺时针方向传输。
⚫ 内环和外环均可以实现“自愈环”的功能,并同时可以传输数据分组与控制分组,且皆可用统计复用的 方法传输 IP 分组。
⚫ 每个节点都可以使用两个方向的光纤与相邻节点通信。
(2)RPR 技术特点
⚫ 环中每个节点都执行 SRP 公平算法,节点之间能获得平等带宽,防止某个节点因流量过大而造成环拥 塞。
⚫ RPR 环还支持加权公平法则和入口、出口峰值速率限制,为保证能够根据用户购买的带宽提供相应的服 务。
⚫ RPR 采用双环结构传输数据分组和控制分组,并限制数据帧只在源节点与目的节点之间的光纤段上传 输,当源节点成功地发送一个数据帧之后,这个数据帧要由目的节点从环中收回。
⚫ RPR 环对不同的业务数据分配不同的优先级,以保证高优先级信息的可靠传输。
⚫ RPR 自愈环功能能够在 50ms 内,隔离出现故障的节点和光纤段,并在没有专用带宽的前提下提供 SDH 级的快速保护和恢复.
1.10.“数字会聚”“三网融合”与接入技术
(1) “数字会聚”“三网融合”
⚫ 数字会聚:通信、计算机、广播电视等产业的会聚,出现经营业务相互融合现象,进而促进这些产业的 重组,同时开辟大量新的信息服务市场。
⚫ 三网融合:计算机网络、电信通信网与电视通信网
(2)宽带接入技术特征
⚫ 宽带接入技术主要有:数字用户线(xDSL)技术、光纤同轴电缆混合网(HFC)技术、光纤接入技术、 局域网接入技术以及无线接入技术。
⚫ 无线接入分为:无线局域网接入、无线城域网接入与无线 Ad hoc 接入。
⚫ xDSL 技术根据上行(用户到交换局)和下行(交换局到用户)的速率是否相同分为:速率对称型和速 率非对称型两种。
(3)xDSL 技术
非对称数字用户线(Asymmetric Digital Subscriber Line,ADSL)。 上行速率在 64~640kbit/s,下行速率在 500kbit/s~7Mbit/s。
高比特率数字用户线(High bitrate DSL,HDSL)。
速率自适应数字用户线(Rate adaptive DSL,RADSL)。
甚高比特率数字用户线(Very high bit rate DSL,VDSL)。
(4)光纤同轴电缆混合网(HFC)
⚫ HFC 是一个双向传输系统。
⚫ HFC 为有线电视用户提供了一种 Internet 接入方式。
⚫ HFC 光纤节点通过同轴电缆下引线为用户提供服务。
⚫ HFC 接入方式采用共享式的传输方式,所有电缆调制解调器信号的发送、接收使用同一个上行和下行信 道。
⚫ HFC 通过 Cable Modem 连接了用户计算机与有线电视同轴电缆。
⚫ Cable Modem 利用频分复用的方法将双向信道分为:上行信道和下行信道
⚫ 从传输方式上,Cable Modem 可以分为双向对称式传输和非对称式传输两类。 对称式传输速率:2~4Mbit/s,最高能达到 10Mbit/s。 非对称式传输:下行速率为 30Mbit/s,上行速率为 500kbit/s~2.56Mbit/s。
(5)光纤接入概念
光纤到路边(Fiber to the Curb,FTTC)
光纤至小区(Fiber to the Zone,FTTZ)
光纤到大楼(Fiber to the Building,FTTB)
光纤到办公室(Fiber to the Office,FTTO)
光纤到户(Fiber to the Home,FTTH)。
(6)无源光纤网(PON) 无源光纤网按 ITU 标准可分为两个部分:
OC-3,155.520Mbit/s 的对称业务。
上行 OC-3,155.520Mbit/s;下行 OC 12,622.080Mbit/s 的不对称业务。 OC-n: Optical Carrier level n(光载体等级)。“OC”是 Optical Carrier 的缩写,这是光纤传输的一种 单位,它通常表示为 OC-n,其中,n 是多路传输技术中基本速率 51.84Mbit/s 的倍数。
(7)APON APON 在 PON 的网络上,实现基于信元的 ATM 传输,它允许接入网中的多个用户共享整个带宽。PON 为多个 用户提供廉价的共享传输媒介,ATM 技术则为从低速到高速的各种多媒体业务提供可靠的接口, APON 优点:系统稳定、可靠;可以适应不同带宽、传输质量的需求;每个用户可占用独立的带宽,不会发 生拥塞;接入距离可以达到 20~30km。
(8)无线接入技术
⚫ 无线局域网(WLAN)接入:IEEE 802.11 标准;近距离。IEEE 802.11 标准重点在解决局域网范围的移 动节点通信问题。 无线城域网(WMAN):IEEE 802.16 标准;远距离;采用 WiMAX 技术,可以在 50km 范围内提供最高 70Mbit/s 的传输速率。IEEE 802.16 标准的重点是解决建筑物之间的数据通信问题。
⚫ 无线网格网(Ad hoc)技术 Ad hoc 技术有两个发展方向:一是在军事和特定行业发展和应用的基础上产生的无线传感器网络(WSN); 另一个是向民用的接入网领域发展,出现了无线网格网(WMN)。
⚫ 无线接入技术主要有:WLAN、WiMAX、Wi-Fi、WMAN 和 Ad hoc 等。
2.1.网络系统层次比
⚫ 不同层次之间的上联与下联带宽之比为 1∶20。
⚫ 同层次之间的上联与下联带宽之比一般为 1∶1。
2.2.路由器关键技术指标
⚫ 吞吐量 路由器的吞吐量是指它的包转发能力,涉及两个方面的内容:端口吞吐量与整机吞吐量。端口吞吐量是指路 由器的某一个端口的包转发能力,而整机吞吐量是指路由器整机的包转发能力。路由器的吞吐量与路由器 的端口数量和速率、包类型、包长度关系密切。
⚫ 背板能力 背板是路由器输入端与输出端之间的物理通道,它决定了路由器的吞吐量。高性能路由器一般采用交换式 结构,而传统的路由器采用的是共享背板的结构。
⚫ 延时与延时抖动 从数据包的第一个字节进入路由器,到该帧的最后一个字节离开路由器所经历的时间就是延时。延时与包 长度、链路传输速率有关,它标志着路由器转发包的处理时间。 延时的变化量就是延时抖动。语音、视频业务对延时抖动要求较高。
⚫ 丢包率 丢包率是指在持续的、稳定的负荷情况下,由于包转发能力的限制而造成的包丢失的概率。它常被用作路由 器超负荷工作时的性能衡量指标。
⚫ 突发处理能力 常以最小帧间隔发送数据包而不引起丢失的最大发送速率来衡量突发处理能力。
⚫ 服务质量 路由器的服务质量主要表现在队列管理机制、端口硬件队列管理和支持 QoS 协议上。
⚫ 路由表容量 路由表是路由器用来决定包转发路径的主要依据。路由表容量是指路由器可以存储的最多的路由表项的数 量。
⚫ 可靠性与可用性。 典型的高端路由器的可靠性与可用性指标:
① 无故障连续工作时间(MTBF)大于 10 万小时,且系统故障恢复时间小于 30min。
② 系统具有自动保护切换功能,主备用切换时间小于 50ms。
③ SDH 与 ATM 接口自动保护切换功能,切换时间小于 50ms。
④ 路由器系统内部不存在单故障点。
⑤ 主处理器、主存储器、交换矩阵、电源、总线管理器与网络管理接口等主要部件需要有热拔插冗余 备份,线卡要求有备份,并提供远程测试诊断能力。
⚫ 网管能力。 路由器的网络管理能力表现在网络管理员可以通过网络管理程序和通用的网络管理协议 SNMPv2 等,对网络 资源进行集中管理与操作。
2.3.交换机的主要技术指标 交换机的主要技术指标包括:背板带宽、全双工端口总带宽、交换方式、帧转发速率、延时、模块式或固定 端口配置、支持 VLAN 能力等。
⚫ 背板带宽 指交换机输入端与输出端之间的物理通道。背板带宽越宽,交换机的数据处理能力就越快,数据包转发延迟 就越小,性能也就越优越。
⚫ 全双工端口带宽 全双工端口带宽的计算方法如下: 全双工端口带宽=端口数×端口速率×2 如果一种交换机具有 24 个 10/100BASE-TX 端口与 1 个可扩展的 1000BASE-X 端口,那么在交换机满配置的 情况下,其全双工端口的总带宽为(24×100×2)+(1×1000×2)=6.8(Gbit/s)。交换机背板带宽的选择应该 大于这个值,例如,选取背板带宽为 8Gbit/s。 背板带宽/全双工端口的总带宽的比值越高,交换机就越趋近于高性能线速无阻塞交换机,性能越好,造价 越高。
⚫ 帧转发速率。 帧转发速率是指交换机每秒能够转发的帧的最大数量。延时是指从帧的第一个字节进入交换机,到该帧最 后一个字节离开交换机输出端口的时间。
⚫ 支持 VLAN 能力。 除了部分支持 Cisco 专用的组管理协议(CGMP)的交换机外,大部分交换机都支持 802.1Q 协议。VLAN 的划 分可以基于端口、MAC 地址或 IP 地址。
⚫ 模块式交换机(机箱式交换机)的扩张能力。 可扩展性是模块式交换机的主要特点。
2.4.网络服务器分类 按照网络服务器主机的硬件体系结构可以分为:
⚫ 基于复杂指令集(CISC)处理器的 Intel 结构(IA)的 PC 服务器;
① 优点:配置简单且通用性好,第三方支持软件丰富,系统维护方便,性价比高。
② 缺点:CPU 处理能力与系统 I/O 能力较差,不适宜作为高并发应用和大型数据库服务器。
⚫ 基于精简指令集(RISC)结构处理器的服务器; 基于精简指令集(RISC)结构处理器的服务器与相应的 PC 服务器相比,CPU 处理能力提高了 50%~75%。 各种大型、中型计算机和超级服务器都采用 RISC 结构处理器,操作系统采用 UNIX,所以通常将此类服 务器称作 UNIX 服务器。
⚫ 小型机服务器。 小型机服务器一般用于大型企业级服务器或数据密集型的应用。
2.5.服务器技术描述
⚫ 热拔插技术。 热拔插技术可以实现用户在不断电的情况下进行故障硬盘、板卡等部件的更换,所以使得系统应对突发事 件能力大大提高。
⚫ 集群(Cluster)技术。 集群技术大大提高了系统的数据处理能力。如果其中某台主机出现故障,该主机所运行的程序将立即转移 到其他主机运行。不影响系统正常服务。
⚫ 高性能存储与智能 I/O 技术。 而磁盘容量和存取 I/O 速度是评价高性能存储技术的主要指标。 解决硬盘的存取速度问题:存储系统总线必须采用小型机系统接口(Small Computer System Interface, SCSI)标准,同时采用独立磁盘冗余阵列(Redundant Array of Independent Disk,RAID)技术,将若干个 硬盘驱动器组成一个整体,由阵列管理器管理;在提高磁盘容量的基础上,通过改善并行读写能力,提高磁 盘的存取速度和吞吐量;通过磁盘容错处理来解决系统的可靠性。
⚫ 对称多处理(SMP)技术。 对称多处理(SMP)技术可以实现多 CPU 结构的服务器中的均衡负荷,从而提高系统效率。
⚫ 应急管理端口(EMP)技术。
⚫ 非一致内存访问(NUMA)技术。 非一致内存访问(NUMA)技术是在多达 64 个或更多 CPU 的服务器之中,将集群技术与对称多处理技术结合起 来应用,以求获得较高的性价比。
⚫ 服务处理器与 Intel 服务器控制(Intel Server Control,ISC)技术。 高性能服务器一般利用专用的服务处理器,对服务器系统的运行状况进行监控。
2.6.停机时间&系统可用性
⚫ 系统高可用性=MTBF/(MTBF+MTBR) 其中,MTBF 为平均无故障时间;MTBR 为平均修复时间。 MTBF+MTBR=365*24*60
⚫ 如果系统高可用性达到 99.9%,那么每年的停机时间≤8.8h;系统高可用性达到 99.99%,每年的停机时 间≤53min;系统高可用性达到 99.999%,每年的停机时间≤5min。
2.7.B/S(浏览器/服务器)模式应用服务器特点
⚫ 应用服务器将网络应用建立在 Web 服务的基础上,在客户与服务器之间采用浏览器/服务器模式进行 软件系统的设计。
⚫ 无须用户进行专门配置,使用方便,性价比高。应用服务器产品提供商安装专用的应用软件、选择适合 的硬件平台来满足具体应用需求。
⚫ 采用三层体系结构。应用服务器使用中间件与通用数据库接口技术,客户计算机利用 Web 浏览器访问 应用服务器,而应用服务器的后端连接的是数据库服务器。
2.8.服务器集群接入核心层的两种方案 目前应用于核心层网络的技术标准主要是 GE/10GE,核心设备是高性能交换路由器,连接核心路由器的是具 有冗余链路的光纤。 核心层网络中存在着为整个网络服务的服务器集群的连接,从提高服务器集群可用性的角度,连接方案有 两种:
(a)中采取链路冗余的办法直接连接两台核心路由器,其特点是直接利用了核心路由器的带宽,但是占用 的核心路由器端口较多,而高端路由器的端口价格很高,所以设备成本会上升;
(b)采取专用服务器交换机,在两台核心路由器之上再增加一台连接服务器集群的交换机,同时采用链路 冗余的办法,间接地连接到两台核心路由器,其优点是可以分担核心路由器的带宽,缺点是会形成带宽瓶 颈,存在单点故障的潜在危险。
2.9.网络需求分析内容 网络需求详细分析主要包括:网络总体需求分析、结构化布线需求分析、网络可用性与可靠性分析、网络安 全性需求分析,以及分析网络工程造价估算几个方面。
3.1.IP 地址 IPv4 的地址长度为 32bit,每 8 位为一组,用点分十进制表示. 每 8 位为一组,每组最大取值为 2 8 -1=255,每组 取值范围为 0-255。
3.2.特殊地址形式
⚫ 受限广播地址 受限广播地址(有限广播地址),地址唯一 (255.255.255.255)。此地址用来将一个分组以广播方式发送给 本网络中的所有主机(本网内成员向全网广播)。
⚫ 直接广播地址 直接广播地址的形式是一个有效的网络号和一个全 l 的主机号,用来使路由器将一个来自其他网络的分组 以广播方式发送给特定网络上的所有主机。例如,主机 199.15.123.24 要以广播方式发送一个分组给 221.25.123.0 的特定网络中的所有主机,则需要使用直接广播地址 221.25.123.255。
⚫ “这个网络上的特定主机”地址 “这个网络上的特定主机”地址用于同一网络内部某个主机或某个路由器向另一个主机发送分组。 “这个网络上的特定主机”地址形式:一个全 0 的网络号和一个确定的主机号。这样的分组只能在本网内部 由主机号对应的主机接收。例如,主机 199.158.26.25 要向本网络内的 IP 地址为 199.158.26.115 的主机 发送一个分组,则目的地址应为 0.0.0.115。
⚫ 回送地址。 A 类 IP 地址中的 127.0.0.0 是一个保留地址,它即回送地址。用于网络软件测试和本地进程间通信使用。 TCP/IP 协议规定:含网络号为 127 的分组不能出现在任何网络上;主机和路由器不能为该地址广播任何寻 址信息。
3.3.子网掩码 (子网屏蔽码)
⚫ 子网划分后的 IP 地址结构:“网络号—子网号—主机号”的三级结构。
⚫ 子网掩码主要是用来区分 IP 地址中的网络号(网络号+子网号)和主机号的。
⚫ 子网掩码的结构与形式:与 IP 地址一样,由 32 位的二进制数组成,用点分十进制法表示。
⚫ 子网掩码的反码的计算方法:将子网掩码表示成 2 进制,然后各位取反,再转换成 10 进制即可。
⚫ 子网掩码与 IP 地址的对应关系:IP 地址中网络号所在位对应的子网掩码中的相应位为 1,IP 地址中 主机号所在的位对应的子网掩码中的相应位为 0。
3.4.无类域间路由技术(CIDR)
⚫ 不按标准的地址分类规则分配剩余的 IP 地址,而是以可变大小的块方法进行分配。
⚫ 无类域间路由使用“网络前缀(network prefix)”,形成新的无分类的二级地址结构,即, 。
⚫ 斜线记法:“IP 地址”+ “/”+“网络前缀所占的比特数”。例如,表示前 21 位为网络前缀,后 11 位是主机号,则记为 201.113.22.0/21。
⚫ 无类域间路由将网络前缀相同的连续的 IP 地址组成一个“CIDR 地址块”。
⚫ 聚合地址后的可分配 IP 地址数: 2 n -2(n:主机位数,2:全 0 和全 1 的地址不可用)
⚫ 无类域间路由中的广播地址主机位全置为 1。
3.5.专用 IP 地址与全局 IP 地址
⚫ 专用 IP 地址不能用于 Internet,它只能用于一个学校或单位的内部网络,当一个分组使用专用 IP 地 址时,网络内接入 Internet 的路由器不会将该分组转发到 Internet 上。
⚫ 全局 IP 地址的使用需要申请,专用 IP 地址不需要申请就可使用
⚫ 全局 IP 地址必须保证全网唯一,连接到 Internet 的网络需要按自身的结构与规模,申请公共 IP 地址。
3.6.NAT 转换 将专用 IP 转换为公用 IP 地址的技术 如图所示,若内部网络地址为 10.0.1.2 的主机希望访问 Internet 上地址为 153.3.11.1 的 Web 服务器,则 产生一个分组①,源地址 S=10.0.1.2,端口号为 2322;目的地址 D=153.3.11.1,端口号为 80。当分组①到 达执行网络地址转换功能的路由器时,分组①的源地址经 NAT 转换表从内部专用地址转换成可以在外部 Internet上路由的全局IP地址,这时转换结果构成分组②,记为“S=213.0.11.1,2002,D=153.3.11.1,80”。 此处注意,传输层客户进程的端口号也需要同时转换。
3.7.IPV6 表示方法
⚫ IPv6 的 128 位地址按每 16 位划分为一个位段,每个位段被转换为一个 4 位的十六进制数,并用冒号 “:”隔开,这种表示法称为冒号十六进制(colon hexadecimal)表示法。
⚫ 若 IPv6 地址中出现多个连续的 0,通过压缩前导 0 来简化表示。使用零压缩法时,只能压缩前导 0。 不能把位段内的有效 0 压缩掉。
⚫ 双冒号表示法:将 IPv6 地址中连续位段的 0 简写为“::”。双冒号“::”在一个地址中只能出现一 次。
⚫ 确定“::”之间到底被压缩了多少位 0,可以用 8 减掉地址中剩余的位段数,再将结果乘以 16 即可。
⚫ IPv6 前缀长度表示法:“地址/前缀长度”来表示。
4.1.路由器分组转发
⚫ 分组转发根据分组的源地址(网络层的 IP 地址)和目的地址(网络层的 IP 地址)是否在同一个网络 中,可以分为直接转发与间接转发两种转发方式。
⚫ 源地址和目的地址在同一个网络中:源主机可将分组直接转发给目的主机,或者目的路由器向目的主机 转发分组时,也为直接转发。
⚫ 源地址与目的地址不在同一个网络中:就需要通过路由查找进行转发,即间接转发。间接转发时,路由 器需要从路由表中找到所需转发的下一跳地址,然后经过 IP 包处理,转发给下一跳,直至到达目的主 机。
4.2.路由算法的度量标准
⚫ 带宽:指的是链路的传输速率(如 T1 链路带宽为 1.544Mbit/s)。
⚫ 负载:指的是单位时间内通过网络资源(如路由器或链路)上的通信量。
⚫ 延迟:指的是一个分组从源节点到达目的节点所花费的时间。
⚫ 跳数:指的是分组从源主机到达目的主机经过的路由器的数量。
⚫ 可靠性:指的是传输过程中每个网络链路的误码率。
⚫ 代价:可以是个任意的值,一般以费用、带宽的开销或其他衡量标准为基础,可以由网络管理员指定。
4.3.静态路由选择算法
⚫ 又称为非自适应路由选择
⚫ 路由信息由网络管理人员手工配置,路由表中的路由表项需手工修改
⚫ 特点:简单、开销较小,适用于简单、规模小的网络。
4.4.动态路由选择算法
⚫ 又称自适应路由选择
⚫ 通过互连的路由器之间交换路由信息,按照一定的算法计算并优化得出,需要在一定时间对路由信息不 断更新,以及时获得最优的路径选择效果。
⚫ 特点:能较好地适应网络状态的变化,但实现起来较为复杂,开销也比较大。
4.5.自治系统(Autonomous System,AS)
⚫ 是一组共享相似的路由策略并在同一管理机构下运行的路由器的集合。
⚫ 一个 AS 可以是运行单一路由协议的路由器的集合,也可以是一些运行不同路由选择协议但都属于一个 组织机构的路由器集合。
⚫ 特点:AS 有权决定本系统内采用什么路由策略。
⚫ 自治系统内部的路由选择称为域内路由选择,自治系统之间的路由选择称为域间路由选择。
4.6.路由选择协议(Routing Protocol) 用来计算、维护路由信息的协议。路由选择协议通常采用一定的算法计算出路由,同时用一定的方法来确定 路由的正确性、有效性并进行维护。路由选择协议一般工作在 OSI 参考模型的传输层或者应用层。
4.7.IGP(内部网关协议)和 EGP(外部网关协议)
⚫ IGP 是指在同一个自治系统内部交换路由信息的路由协议。IGP 的主要目的是发现和计算自治系统内部 的路由信息。 常见的 IGP 协议如下:
① 路由信息协议(RIP),它是一种分布式的、基于距离向量的路由协议。
② 开放最短路径优先协议(OSPF),它是一种链路状态路由协议,是目前最常用的一种内部网关协议。
③ 中间系统到中间系统(IS-IS),它为一个域内两个路由器之间传送分组提供动态路由。
④ 内部网关路由协议(IGRP),它是一种距离向量路由协议,是 Cisco 公司的私有协议。
⚫ EGP 用于连接不同的自治系统,并在不同自治系统之间交换路由信息。EGP 的主要目的是将路由选择信 息从一个自治系统传递到另一个自治系统中。 目前,使用最普遍的 EGP 是 BGP(Border Gateway Protocol,边界网关协议)。
4.8.RIP(Routing Information Protocol,路由信息协议)
(1)RIP 协议概述
⚫ 是一种分布式、基于距离向量的内部网关协议
⚫ 适用于小型同类网络的一个自治系统内的路由信息的传递。
⚫ 使用“跳数”来衡量到达目标地址的路由距离。
⚫ RIP 规定,一条有限的路径长度不得超过 15,超过即路径不存在。
⚫ RIP 协议中,路由刷新报文主要内容是由若干(V,D)组成的表,矢量 V 标识该路由器可以到达的目的 网络或目的主机,矢量 D 标识该路由器可以到达的目的网络或目的主机的跳数。其它路由器在接收到 某个路由器的(V,D)报文后,按照最短路径原则对各自的路由表进行刷新。
(2)RIP 路由表的建立与更新
⚫ 路由表的建立。 路由器对(V,D)路由表进行初始化。初始化后只包含所有与该路由器直接相连的网络路由,且(V,D)表 中各路由的距离均为 0。
⚫ 路由表信息的更新。对应两个路由器 R1 和 R2,R1 接收 R2 的(V,D),R1 根据下列规则更新路由表:
① 如果 R1 的路由表中没有此项记录,则增加该项,由于要经过 R2 转发,故距离 D 值加 1。
② 如果 R1 中的路由表的一项记录比 R2 发送的一项记录 D 值加 1 还要大,R1 在路由表中修改该项,距离 D 值根据 R2 提供的值加 1。
4.9.开放最短路径优先(OSPF)协议
⚫ 属于内部网关协议。
⚫ 主要用于在自治系统内部路由器之间传输路由信息。
⚫ 基于 Dijkstra 提出的最短路径算法规则计算路由。
⚫ OSPF 协议将自治系统划分成不同的区域。划分区域是从逻辑上将路由器划分为不同的组,每个组用一 个区域号(Area ID)来标识。每一个区域有一个 32 位的区域标识符,在一个区域内的路由器数不超过 200 个。通过划分区域来提高路由更新收敛速度。
⚫ OSPF 协议最主要的特征就是使用分布式链路状态协议(Link State Protocol),链路状态数据库中保存 一个全网的拓扑结构图,并且在全网范围内是保持一致。
⚫ OSPF 协议要求当链路发生变化时用洪泛法向本自治系统中所有路由器发送信息。
⚫ OSPF 的链路状态“度量”主要是指距离、费用、带宽、时延等。
4.10.BGP(Border Gateway Protocol,边界网关协议)
(1)BGP 协议特性
⚫ BGP 是一种外部网关协议,在 AS 之间传递路由信息以及控制优化路由信息
⚫ BGP 是一种“路径矢量”路由协议,其路由信息中携带了所经过的全部自治系统的路径列表。如果源于 自己的自治系统, BGP 路由会丢弃此条路由,自治系统之间产生环路。
⚫ 使用 TCP 来承载协议报文。通过 TCP 的可靠传输机制、重传、排序等机制来保证 BGP 消息报文传输的 可靠性。
⚫ BGP 支持 CIDR 和路由聚合,可以将一些连续的子网聚合成较大的子网.
⚫ 通过使用路由策略等方法来更改路由属性,或根据路由更新信息中的属性来实现路由过滤和路由策略.
(2)BGP 角色及基本特征
① 发言者 发送 BGP 协议报文的路由器称为 BGP 发言者(BGP Speaker),它接受或产生新的路由信息,并发布给 其他发言者。
② 对等体。 相互交换 BGP 协议报文的 BGP 发言者之间互称为 BGP 对等体(BGP Peer)。
③ IBGP 对等体。 处于同一个 AS(域)的 BGP 对等体称为 IBGP 对等体,从 IBGP 获得的路由不向它的 IBGP 对等体发布。
④ EBGP 对等体。 处于不同 AS 的 BGP 对等体称为 EBGP 对等体。
(3)BGP 协议报文
① 打开(Open)分组。打开分组用来与相邻的另一个 BGP 发言人建立关系。
② 保活(Keepalive)分组。保活分组用来确认打开报文,以及周期性地证实相邻边界路由器的存在。
③ 更新(Update)分组。更新分组用来发送某一路由的信息,以及列出要撤销的多条路由。
④ 通知(Notification)分组。通知分组的作用为发出错误通知。BGP 发言者如果检测到对方发过来的消 息有错误或者对方主动断开 BGP 连接,都会发出通知报文通知 BGP 邻居。
5.1.局域网设备描述
⚫ 中继器: 中继器(Repeater)负责在两个节点的物理层上按位传递信息,完成信号的复制、调整和放大功能
⚫ 集线器:
① 集线器工作在物理层。所有节点通过双绞线连接到一个集线器上时,它们仍然执行 CSMA/CD 介质访问 控制方法,从一个节点发送数据所有节点都能接受,因此连接在一个集线器上的所有节点共享一个冲突 域。
② 网络节点都通过不超过 100m 的双绞线连接至集线器,在物理上构成星型拓扑结构。在星型结构中,当 其中一个节点的线路发生故障时,不会影响其他节点。
③ 一个集线器有多个端口,每个端口通过 RJ-45 插头,用两对双绞线与一个工作站上的适配器相连。
④ 网络链路中串接一个集线器可以监听该链路中的数据包。
⚫ 网桥: 网桥是在数据链路层实现网络互联的设备。 特征:
① 网桥能够互联两个采用不同数据链路层协议、不同传输介质与不同传输速率的网络。
② 网桥以接收、存储、地址过滤与转发的方式实现互联的网络之间的通信。
③ 透明网桥:透明网桥的标准为 IEEE 802.1d; 一般用于两个 MAC 层协议相同的网段之间的互联; 采用生成树算法;
⚫ 交换机:
① 交换机是一种基于 MAC 地址识别,能完成封装转发数据包功能的网络设备。
② 交换机的硬件系统可以实现多个端口并发连接,支持多达 128 个端口
③ 交换机一般使用为帧转发专门设计的 ASIC 芯片,或采用多 CPU 并发工作的结构,因而交换机的帧过滤 和转发速率要高于网桥
④ 交换机具有存储转发和直接转发两种帧转发方式。
5.2.MAC 地址 MAC 地址就是连接到网络中的每个网络设备的网卡的物理地址,全世界每块网卡的 MAC 地址都固化在网卡上且唯一。
5.3.建筑群子系统路线敷设 类型 敷设方式 注意事项 地下管道 布线 通过由入孔和管道组成的地下系统,对网络内 的建筑物进行互联,该方式能保持建筑物的原 貌。采用由耐腐蚀材料的管道,能对电缆提供 最好的机械保护,有效降低电缆受损维修风险 埋设管道需低于地面 45 cm。通信管道与电力管 道需用混凝土或压实土层隔开。应预留至少 2 个 备用管道,以备后期扩展 直埋布线 除穿过基础墙的线缆外,电缆其余部分均不采 取管道保护。该方法可保持建筑物的外貌 基础墙的电缆孔需向外尽量延伸至不需动土的地 方,从而避免他人沿墙动土时破坏线缆。电缆直 埋处应距地面不少于 60 cm 或遵守埋设地有关法 规实施 架空布线 电缆在建筑物间悬空,并通过电线杆支撑。电 缆可采用自支撑电缆或将户外电缆系在钢丝绳 上 该方式安全性、保密性、灵活性较差,且影响美 观,故不是理想的布线方式。只有在已有电线杆 前提下使用,但布线成本较低 巷道布线 利用建筑物间的地下巷道(如用于传送集中供 暖站热水的热水管)进行电缆敷设。可充分利 用原有安全设施,且造价低 电缆安装位置应与热水管保持一定距离,以防热 水或热气泄漏损坏电缆;电缆尽可能安置在巷道 内较高位置,以防水淹
5.4.Ethernet 物理层标准命名方法
⚫ 标准以太网的物理层采用 IEEE 802.3 x Type-y-Name 命名规则:
⚫ 其中 x 表示传输速率,单位为 Mbit/s;
⚫ y 表示网段的最大长度,单位为 100m;
⚫ Type 表示传输方式是基带还是频带;
⚫ Name 表示局域网的名称
5.5.双绞线
⚫ 双绞线是综合布线工程中最常用的一种传输介质,可以传输模拟信号和数字信号,特别适用于较短距离的信息传输。
⚫ 双绞线分为非屏蔽双绞线(UTP)和屏蔽双绞线(STP)两种。
① 非屏蔽双绞线:电缆线对外无金属屏蔽层,抗电磁干扰能力较差; 传输信息时易向外辐射泄漏,安全性较差;由于其体积小、重量轻、弹性好且价格低,是结构化布线系统中最常用的通信介质。
② 屏蔽双绞线:电缆线对外包有一层金属箔,具有较好的抗干扰性; 价格高,体积、重量大,不易施工等不足; 主要用于外界电磁干扰较大或对数据传输安全性要求较高的环境中。
5.6.生成树协议标准
① 生成树算法为每个桥分配一个唯一的标识(MAC 地址和一个优先级组成)。每个网桥的端口都分配一个 该网桥中的唯一标识,称之为“端口标识”。为建造生成树,首先必须选出一个网桥作为生成树的根。 实现方法是每个网桥都广播它的标识,标识最低的网桥被选为生成树的根,接着按根网桥到每个网桥的 最短路径来构造生成树。
② 生成树协议(Spanning Tree Protocol,STP) IEEE 802.1d 标准规定了 STP 协议,它能够逻辑地阻断网络中存在的冗余链路,以消除路径中的环路, 并可以在活动路径出现故障时,重新激活冗余链路来恢复网络的连通,保证网络的正常工作。
5.7. 综合布线子系统设计
⚫ 建筑群子系统 建筑群子系统是指由两个或两个以上建筑物的电话、数据、电视系统组成的一个建筑群综合布线系统。
⚫ 设备间子系统 设备间是线路管理的集中点,是配线设备和通信设施的所在地,是安放众多用户共用通信装置的场所。在设 备间子系统,通过垂直干线或水平干线子系统连接到管理子系统。
⚫ 管理子系统 管理子系统设置在楼层配线间,是水平子系统电缆端接和主干系统电缆端标的场所,设置在楼层配线间中, 由楼宇主配线架、楼层配线架、转换插座及跳线组成,包括干线接线间或卫星接线间内的交叉互联设备。
⚫ 干线子系统 干线子系统即建筑物主馈电缆,包括干线接线间至各远程通信(卫星)接线间、设备间至网络端口、主设备间 和计算机中心之间、设备间至建筑群子系统设施间的连接线缆,设备间的主干线缆。 干线子系统主要有点对点结合、分支结合两种:
①点对点结合。 点对点结合是最简单、最直接的线缆连接方法,每根干线电缆直接延伸到楼层配线间。
②分支结合。 分支结合采用一根通信容量较大的主馈电缆,再通过交接盒分成若干根容量较小的电缆,分别连到各个楼层。
⚫ 水平子系统设计 水平子系统是综合布线系统的分支部分,是综合布线工程中工程量最大、范围最广、最难施工的一个子系 统。它由通信引出端(又称信息插座)至楼层配线架以及它们之间的缆线组成。一般电缆长度不超过 90m。 线缆类型的选择:由用户要求和布线环境决定。 在水平布线子系统中,线缆选择方案主要有:
① 采用 4 类或 5 类双绞线,满足 10Mbit/s 以下低速率数据和语音传输;
② 采用 5 类或 6 类双绞线,满足 10Mbit/s 以上、100Mbit/s 以下高速率数据传输;
③ 采用光纤或 6 类双绞线,满足 100Mbit/s 以上、宽带数据和复合信号传输;
④ 采用 5 类、6 类双绞线和光纤混合布线是比较经济的方案。
⚫ 工作区子系统设计工作区子系统指从终端设备出线到信息插座的整个区域。可支持常见的终端设备电话机 计算机 数据终端 传感器以及监视器等。工作区子系统设计主要有:
信息插座类型和数量的确定
①信息插座有嵌入式安装插座(暗座)、多介质信息插座(光纤和铜缆)和表面安装插座等类型可供选择。 其中,嵌入式安装插座用于连接双绞线,多介质信息插座可用于连接铜缆和光纤,用以满足用户“光纤 到桌面”的需要。
② 已有建筑一般使用表面安装(明装)的信息插座,新建筑物一般使用采用嵌入式(暗装)信息插座。
适配器的选择
① 当设备连接器采用不同于信息插座的连接器时,可选择专用电缆或适配器。
② 在单一信息插座上进行两项服务时,宜采用一线两用器或“Y”形适配器。
③ 连接使用不同信号的数模转换或数据速率转换装置时,宜采用适配器。
④ 水平子系统中选用的介质类别(电缆)与设备所需的介质类别(电缆)不同时,宜采用适配器。
6.1.交换机基本概念
⚫ 局域网交换机是一种基于MAC 地址识别,完成转发数据帧功能的一种网络连接设备。
⚫ 工作在数据链路层,根据进入端口数据帧中的 MAC 地址进行数据帧的过滤、转发。
⚫ 将多台数据终端设备连接在一起,构成星状结构的网络
6.2.交换机基本功能
⚫ 建立和维护一个表示 MAC 地址与交换机端口对应关系的交换表。
⚫ 在发送节点和接收节点之间建立一条虚连接 [即发送方所连的交换机端口(源端口)到接收方所连的 交换机端口(目的端口)之间建立虚连接]。
⚫ 完成数据帧的转发或过滤。
6.3.交换机模式
⚫ 静态交换: 由人工来完成端口之间传输通道的建立。
⚫ 动态交换: 依据目的 MAC 地址查询交换表,根据表中给出的输出端口来临时建立传输通道,这个传输 通道在一个数据帧传送完成后自动断开。
6.4.交换机动态转发三种模式
⚫ 存储转发(网络应用领域最广泛)
① 将接收到的整个数据帧保存在缓冲区中,然后进行循环冗余码校验检查,在对错误数据帧进行处理后, 才取出数据帧的目的地址,进行转发操作。
② 优点:对数据帧进行链路差错校验,可靠性较高,有效改善网络性能; 可以支持不同速率的端口,保持高速端口与低速端口之间的协同工作。
③ 缺点:进行数据处理延时大、交换速度相对较慢
⚫ 快速转发交换模式(直通交换模式)
① 指交换机在接收数据帧时,一旦检测到 6 个字节的目的地址就立即进行转发操作(其实转发数据帧之 前交换机接收到的是 14 个字节长度的数据帧,其中包括 7 个字节的前缀,1 个字节的帧起始和 6 个字 节的目的地址)。
② 优点:端口交换时间短、时延小,交换速度快;
③ 缺点:不能进行检错纠错、速度匹配和流量控制,可靠性较差。
④ 适合于:小型交换机。
⚫ 碎片丢弃交换模式(无分段交换模式)
① 交换机接收到数据帧时,先检测该数据帧是不是冲突碎片;冲突碎片:数据帧的长度小于 64 字节的数据帧,丢弃。 有效帧:大于 64 字节的数据帧,进行转发。
② 优点:提高了网络传速的效率和带宽的利用率。
6.5.交换表内容建立与维护 交换表主要包括目的 MAC 地址、与目的 MAC 地址对应的交换机端口号以及它所属的虚拟子网。其中,虚拟 子网用 VLAN ID 标识。
⚫ 小型接入交换机交换表。 Destination Address Address Type VLAN Destination Port 70f3.950c.1e07 Dynamic 100 Fast Ethernet10/3 第一列表示目的 MAC 地址,第二列表示地址类型,第三列表示所属的 VLAN 号,第四列表示本行中的目的 MAC 地址所对应的交换机端口。 Ethernet(E)表示端口类型为标准以太网; Fast Ethenet(FE)表示端口的类型是快速以太网; Gigabit Ethernet(GE)表示吉比特以太网; 端口号 10/3 中的“10”是模块号,“3”是该模块上的端口号。
⚫ 大型核心交换机交换表。 VLAN Dest MAC/Route Des [CoS]Destination Ports or VCs / [ Protocol Type] 100 f0de-f120-42cb 2/5[ALL] 第一列表示 VLAN 号,第二列表示目的 MAC 地址,第三列表示目的 MAC 地址终端连接的交换机端口。
6.6.交换表查看
1)小型低档交换机交换表查看。 超级用户模式下 命令:show mac-address-table
2)大中型高档交换机交换表查看。 超级用户模式下 命令:show cam dynamic
6.7.VLAN 的特征
⚫ VLAN 就是一个网络设备或用户的逻辑组,这种逻辑组是一个独立的逻辑网络、单一的广播域,不受实 际交换机区段和用户所在物理位置的限制。
⚫ VLAN 工作在数据链路层,即 OSI 参考模型的第二层。
⚫ VLAN 可隔离广播信息,每个 VLAN 为一个广播域,VLAN 中的广播信息只能发送给这个 VLAN 内部的成员, 并不发送给其他 VLAN 成员。因此,可以通过划分 VLAN 的方法来限制广播域,以防止广播风暴的发生。
⚫ 一个 VLAN 就是一个独立的逻辑网络,每个 VLAN 都具有唯一的子网号。不同 VLAN 中的主机之间必须通 过路由器或者三层交换机,才能实现相互通信。
6.8.VLAN 标识 Vlan 通常用 VLAN ID(Vlan 号)和 VLAN name(vlan 名)标识。
⚫ VLAN ID
① IEEE 802.1Q 协议规定,VLAN ID 用 12 位(bit)表示,可以支持 4096 个 VLAN。
② 1~1005 是标准范围,1 是默认的 VLAN ,ID 用户可以使用但不能删除该 VLAN;
③ 1006~1024 为保留范围,用户不能查看和使用;
④ 1025~4096 是扩展范围;
⑤ 其中能用于以太网的 VLAN ID 为 1~1000,而 1002~1005 为 FDDI 和令牌环网使用的 VLAN ID。
⚫ VLAN name VLAN name 采用 32 个字符表示,可以是字母和数字。若创建一个 VLAN 时,没有给定名字,则系统按默认方 式,自动给出命名,默认为 VLAN00×××(“×××”即为该 VLAN 的 VLAN ID),如 VLAN ID 为 100,其默 认 VLAN 名为 VLAN00100。
6.9.STP 生成树协议
⚫ 根据生成树算法指定的协议称为生成树协议(STP),STP 协议标准是由 IEEE 制定的 IEEE 802.1D 标准
⚫ 工作在 OSI 参考模型第二层的链路管理协议
⚫ 主要功能:它能够逻辑地阻断网络中存在的冗余链路,以消除路径中的环路,并可以在活动路径出现故 障时,重新激活冗余链路来恢复网络的连通,保证网络的正常工作。
⚫ STP 运行在网桥和交换机设备上
6.10. 网桥协议数据单元 BPDU
⚫ BPDU 数据包有两种类型: (1) 包含配置信息的配置 BPDU(≤35 字节) 包含拓扑变化信息的拓扑变化通知 BPDU(≤4 字节) 在配置 BPDU 包的 Bridge ID 信息,是选取根网桥或根交换机的主要依据,一般情况下,Bridge ID 值最小 的成为根网桥或根交换机。
⚫ BPDU 携带的相关信息:从第 6 字节到第 27 字节包含 Root Identifier、Root Path Cost、Bridge Identifier、Port Identifier 四个字段。
6.11.Bridge ID
⚫ 用 8 个字节标识,后 6 个字节为交换机的 MAC 地址,前 2 个字节为优先级值
⚫ 优先级值越小,优先级越高
⚫ 优先级取值范围为 0-61440,增值量为 4096,交换机的优先级一般默认为 32768,可以使用命令人工设置。
⚫ 在选择根网桥时,若优先级值相同, MAC 地址的值最小的被选为根网桥。在选择根交换机时,也是优 先级高的交换机被选为根交换机。
⚫ 默认情况下,交换机每 2 秒定时发送一次 BPDU,当检测到网络拓扑变化或故障发生时,也会发送新的 BPDU,以及时进行生成树的更新。
6.12.交换机配置方式
⚫ 控制端口(console):刚出厂或第一次配置的交换机
⚫ Telent:远程配置 条件:交换机已联网且已配置和设备管理地址
⚫ 浏览器(IE):用于交换机被设为 web 服务器,通过网络上任意一位终端站点,使用浏览器对交换机进 行配置。
6.13.交换机系统信息配置 Cisco 公司的交换机系统主要有 Cisco IOS(35 系列)和 Catalyst OS(CatOS)(65 系列)
⚫ Cisco 3500(Cisco IOS)交换机系统信息配置
①配置交换机的主机名。
步骤一:进入全局配置模式。 Switch 3528>enable (进入特权模式) Password :*********** (输入超级用户口令) Switch 3528# config terminal Switch 3528 (config) #
步骤二:主机名配置。 Switch 3528 (config) # hostname Switch-3528-TEST Switch-3528-TEST (config) #
②配置超级用户口令。 Switch-3528-TEST (config) # enable secret 5 111111 Switch-3528-TEST (config) # (该口令在交换机配置文件中被加密,显示信息为:enable secret 5 $1$mERr$gsT/Ol5Gvcclu Wxu2cQ1I.) Switch-3528-TEST (config) # enable secret 5 $1$mERr$gsT/Ol5GvccluWxu2cQ1I. Switch-3528-TEST (config) # Switch-3528-TEST (config) # enable password 111111 (配置超级用户的明码口令) Switch-3528-TEST (config) # Switch-3528-TEST (config) # enable password 7 111111 (配置超级用户的加密口令) Switch-3528-TEST (config) #
③ 配置远程登录口令。 Switch-3528-TEST (config) # line vty 0 4 (对 0 至 4 号 Telnet 的虚拟终端进行配置,分别设置加密口令和明码口令) Switch-3528-TEST (config line)#password 7 222222 (加密口令) Switch-3528-TEST (config line) # password 0 222222 (明码口令) Switch-3528-TEST (config line)#exit Switch-3528-TEST (config) #exit Switch-3528-TEST # ④ 设置系统时间。 命令格式为:clock set hh:mm:ss day month year ⑤ 配置设备管理 IP 地址。 命令格式: 配置 IP 地址:ip address 配置默认(缺省)路由:ip default-gateway (注:VLAN 1 是用于设备管理的默认 VLAN)
⚫ Catalyst 6500 ( CatOS)交换机系统信息配置
① 配置交换机的主机名。
步骤一:进入超级用户模式,输入密码。 Switch 6509> enable Enter password: Switch 6509> (enable)
步骤二:设置系统名或系统提示。 设置系统名称:Switch 6509> (enable) set system name Switch-6509-TEST System name set. Switch-6509-TEST>(enable) 设置系统提示: Switch-6509-TEST (enable) set prompt Switch-6509-TEST> Switch-6509-TEST> (enable)
② 配置超级用户口令。 Switch-6509-TEST> (enable)set enablepass Enter old password:(输入旧口令) Enter new password:(输入新口令) Retype new password:(新口令确认) Password changed. Switch-6509-TEST> (enable)
③ 配置远程登录口令。 Switch-6509-TEST> (enable)set password Enter old password:(输入旧口令) Enter new password :(输入新口令) Retype new password:(新口令确认) Switch-6509-TEST> (enable)
④ 设置系统时间。 命令格式:set time [day of week] [mm/dd/yy][hh:mm:ss]
⑤ 配置设备管理 IP 地址。 命令格式: IP 地址配置:set interface sc0 默认(缺省)路由设置:set ip route 0.0.0.0
6.14.交换机端口设置 配置交换机端口的通信方式,虽然数据通信通常有单工、半双工和全双工 3 种通信方式,但是交换机端 口通常工作在半双工或全双工方式。
⚫ Cisco 3500(Cisco IOS)交换机配置。
① 配置交换机的端口描述信息。
步骤一:进入端口配置模式。 Switch-3528-TEST (config) #interface f0/1 Switch-3528-TEST (config-if) #
步骤二:配置端口描述信息。 Switch-3528-TEST (config-if) # description To-Webserver Switch-3528-TEST (config-if) #
② 配置交换机端口的关闭与开启。
步骤一:进入端口配置模式。 Switch-3528-TEST (config) #interface fastethernet0/1 Switch-3528-TEST (config-if) #
步骤二:关闭或开启端口。 Switch-3528-TEST (config-if)# shutdown (关闭端口) Switch-3528-TEST (config-if) #no shutdown (开启端口,使端口处于工作状态) Switch-3528-TEST (config-if)#
③ 配置交换机端口的通信方式。 Switch-3528-TEST (config-if) # duplex auto (设置为自动协商(自适应),默认为此种方式) Switch-3528-TEST (config-if)# duplex full (设置为全双工) Switch-3528-TEST (config-if) # duplex half (设置为半双工)
④ 配置端口的传输速率。 Switch-3528-TEST (config-if)# auto (设置端口为自动速率配置) Switch 3528 TEST (config-if) # speed 10 (设置端口速率为 10Mbit/s) Switch-3528-TEST (config-if)# speed 100 (设置端口速率为 100Mbit/s) Switch-3528-TEST (config-if)#
⚫ Catalyst 6500(CatOS 系统)交换机配置。
① 配置交换机的端口描述信息。 命令格式:set port name 其中,name 为端口描述,字符数一般不超过 240 个。 Switch-6509-TEST> (enable) set port name 0/1 to Webserver Switch-6509-TEST> (enable)
② 配置交换机端口的关闭与开启。命令格式:set port disable (关闭端口) set port enable (开启端口) Switch-6509-TEST> (enable) set port disable 0/1 (关闭 0/1 号端口) Switch-6509-TEST> (enable) set port enable 0/1 (开启 0/1 号端口)
③ 配置端口的通信方式。 命令格式:set port duplex full (设置为全双工) set port duplex half (设置为半双工) Switch-6509-TEST> (enable) set port duplex 0/1 full (0/1 端口设置为全双工) Switch-6509-TEST> (enable) set port duplex 0/1 half (0/1 端口设置为半双工) Switch-6509-TEST> (enable) set port duplex 0/1-24 full (0/1 端口设置为全双工) Switch-6509-TEST> (enable) set port duplex 0/1-24 half (0/1 端口设置为半双工)
④ 配置端口的传输速率。 命令格式:set port speed auto Set speed to auto set port speed (10,100,1000) Switch-6509-TEST> (enable) Switch-6509-TEST> (enable) set port speed 0/1 auto (设置端口的速率为自适应) Switch-6509-TEST> (enable) set port speed 0/1 10 (设置端口 0/1 的速率为 10Mbit/s) Switch-6509-TEST> (enable) set port speed 0/1 100 (设置端口 0/1 的速率为 100Mbit/s) Switch-6509-TEST> (enable) set port speed 0/1 1000 (设置端口 0/1 的速率为 1000Mbit/s) Switch-6509-TEST> (enable) set port speed 0/1-24 auto Switch-6509-TEST> (enable) set port speed 0/1-24 10 Switch-6509-TEST> (enable) set port speed 0/1-24 100 Switch-6509-TEST> (enable) set port speed 0/1-24 1000 (一次性对多个端口的速率设置)
6.15.交换机的 VLAN 配置
(1) VLAN 的建立和删除
⚫ Catalyst 3500 (Cisco IOS 系统)交换机的 VLAN 建立和删除配置
① 建立 VLAN
步骤一:进入 VLAN 配置模式。 Switch-3528-TEST # vlan data Switch-3528-TEST (vlan) #
步骤二:建立/修改 VLAN。 命令格式:vlan name 。 Switch-3528-TEST (vlan) # vlan 100 name vlanwork (建立/修改 VLAN 100 ,名称为 vlanwork) VLAN 100 added: Name: vlanwork
步骤三:退出并返回特权用户模式。 Switch-3528-TEST (vlan) #exit (返回特权模式,保存 VLAN 配置) Switch-3528-TEST #
② 删除 VLAN Switch-3528-TEST # vlan database Switch-3528-TEST (vlan) #no vlan 100 (删除 vlan 100)
⚫ Catalyst 6500(CatOS 系统)交换机的 VLAN 建立和删除配置
① 建立/修改 VLAN 命令格式:set vlan name 。 Switch-6509-TEST> (enable) set vlan 100 name vlan100 (建立/修改 VLAN 100 ,名称为 vlan100)
② 删除 VLAN 命令格式:clear vlan 。 Switch-6509-TEST> (enable) clear vlan 100 (删除 VLAN 100)
(2) 分配交换机端口到 VLAN 中
⚫ Catalyst 3500 交换机的配置方法
步骤一:进入端口配置模式 Switch-3528-TEST # configure terminal Switch-3528-TEST (config)#int f0/1 Switch-3528-TEST (config-if)#
步骤二:为端口分配 VLAN 命令格式:switchport access vlan Switch-3528-TEST (config-if)# switchport access vlan 100 (将端口 f0/1 划分到 VLAN 100 中) Switch-3528-TEST (config-if)#
⚫ Catalyst 6500(CatOS 系统)交换机的配置方法 命令格式:set vlan Switch-6509-TEST> (enable) set vlan 100 0/1 (将端口 0/1 划分到 VLAN 100 中) Switch-6509-TEST> (enable)
(3) VLAN Trunk 的配置 VLAN Trunk 的配置任务有:设置交换机端口的 VLAN Trunk 模式,为 VLAN Trunk 封装 VLAN 协议和设置 VLAN Trunk 允许中继的 VLANs。
⚫ Catalyst 3500 交换机的 VLAN Trunk 配置
① 进入交换机端口配置模式 Switch-3528-TEST # configure terminal Switch-3528-TEST (config)#int f0/24 Switch-3528-TEST (config-if)#
② 配置 VLAN Trunk 模式。 Switch-3528-TEST (config-if)# switchport mode trunk Switch-3528-TEST (config-if)#
③ 封装 VLAN 协议。 Switch-3528-TEST (config-if)#switchport trunk encapsulation dotlq (配置 VLAN Trunk 的封装 模式为 802.1q) Switch-3528-TEST (config-if)# switchport trunk encapsulation isl (封装 ISL 协议) Switch-3528-TEST (config-if)# switchport trunk encapsulation negotiate P (自动协商) *自动协商(即自适应)协议的功能,要求 Cisco 硬件支持 ISL 和 802.1Q 两个协议。
④ 设置允许中继的 VLAN。 Switch-3528-TEST (config-if)#switchport trunk allowed vlan 1,10 (允许 VLAN 1 和 VLAN 10 通过此 Trunk 通路) Switch-3528-TEST (config-if)#switchport trunk allowed vlan 1-10 (允许 VLAN 1 至 VLAN 10 通过此 Trunk 通路) Switch-3528-TEST (config-if)#switchport trunk allowed vlan except 11-20 (不允许 VLAN 11 至 VLAN 20 通过此 Trunk 通路)
⚫ Catalyst 6500 交换机的 VLAN Trunk 配置 ① 配置 VLAN Trunk 模式,封装 VLAN 协议 命令格式:set trunk Switch-6509-TEST> (enable) set trunk 1/24 on dotlq (配置 VLAN Trunk 模式,封装 VLAN 协议) ② 设置允许中继的 VLAN 命令格式:set trunk vlan Switch-6509-TEST> (enable) set trunk 1/24 vlan 11-20 (在端口 1/24 的允许 VLAN 列表中添加 11-20 号 vlan) 命令格式:clear trunk Switch-6509-TEST> (enable) clear trunk 1/24 16-20 (将 VLAN 16 至 VLAN 20 从允许 VLAN 列表 中删除)
(4) VTP 配置(建立 VTP 域和设置 VTP 的工作模式)
⚫ VTP(VLAN Trunking Protocol)是 VLAN 中继协议(VLAN 干道协议)。
⚫ 工作在 OSI 参考模型第二层的通信协议
⚫ 主要用于管理在同一个域网络范围内 VLAN 的建立、删除和重命名。
⚫ VTP 的 3 种工作模式
① VTP Server :可以建立、删除或修改 VLAN。
② VTP Client :维护所有 VLAN 信息列表,从 VTP Server 学习 VLAN 信息,不具有建立、删除或修改 VLAN 的功能。
③ VTP Transparent: 相当于一个独立的交换机,它不参与 VTP 工作,不从 VTP Server 学习 VLAN 的配 置信息,而只拥有本设备上自己的 VLAN 信息,因此它也只能建立、删除和修改本机上的 VLAN 信息。
⚫ Cisco IOS 系统交换机的 VTP 配置
① 配置 VTP 域名 Switch-3528-TEST # configure terminal (进入工作模式) Switch-3528-TEST (config)# vtp domain TEST (设置 VTP 域名为 TEST, 同一个域的所有交换机,必须设置相同的域名,同时 VTP 协议的版本号必须一 致)
② 配置 VTP 工作模式 Switch-3528-TEST (config)# vtp mode server (设置为 VTP Server 模式,默认值) Switch-3528-TEST (config)# vtp mode client (设置为 VTP Client 模式) Switch-3528-TEST (config)# vtp mode transparent (设置为 VTP Transparent 模式) Switch-3528-TEST (config)#
⚫ Catalyst OS 交换机的 VTP 配置
① 配置 VTP 域名 Switch-6509-TEST> (enable) set vtp domain TEST(设置 VTP 域名为 TEST)
② 配置 VTP 工作模式 Switch-6509-TEST> (enable) set vtp mode server (设置为 VTP Server 模式,默认值) Switch-6509-TEST> (enable) set vtp mode client (设置为 VTP Client 模式) Switch-6509-TEST> (enable) set vtp mode transparent (设置为 VTP Transparent 模式) Switch-6509-TEST> (enable) set vtp mode off (关闭 VTP)
6.16.STP 协议配置方法 STP(生成树协议)的基本配置工作主要有:打开或关闭交换机的 STP ,配置生成树优先级(Port Priority), 配置路径代价(Path Cost)和配置 STP,设置根网桥和备份根网桥等。有的交换机还可以设置一些 STP 增 强功能,以加速生成树的生成。
⚫ Cisco 3500(Cisco IOS)交换机的 STP 基本配置 命令格式:spanning-tree vlan (启用 STP) no spanning-tree vlan (关闭 STP) spanning-tree vlan root primary (设置主 root ) spanning-tree vlan root secondary(设置备份 root) spanning-tree vlan priority (设置优先级)
⚫ Catalyst 6500(CatOS)交换机的 STP 基本配置 命令格式:set spantree enable (启用 STP) set spantree disable (关闭 STP) set spantree root (设置主 root) set spantree root secondary (设置备份 root) set spantree priority (设置优先级)
6.17.生成树可选功能配置
⚫ PortFast 使交换机的端口跳过侦听和学习状态,直接从阻塞状态进入转发状态。
① Catalyst 3528(Cisco IOS 系统)配置 命令格式:spanning-tree portfast default
② Catalyst 6500(CatOS 系统)配置 命令格式:set spantree portfast enable (打开 portfast)38 set spantree portfast disable (关闭 portfast) set spantree portfast default (默认启用 portfast)
⚫ UplinkFast 在直接链路失效之后进行快速收敛(收敛时间只需要 1-5min)。跳过侦听(Listening)和学习(Learning) 状态,直接由 Blocking(阻塞)状态进入 Forwarding(转发)状态。
① Catalyst 3500(Cisco IOS 系统)配置 命令格式:spanning-tree uplinkfast Spanning-tree uplinkfast max-update-rate 其中,max-update-rate 的值在 0-32000 之间,单位是 packet/s(每秒更新的包数)。
② Catalyst 6500(CatOS 系统)配置 命令格式:set spantree uplinkfast enable set spantree uplinkfast enable rate 其中,的默认值是 15 packets/100ms,单位是 packet/ms。
⚫ BackboneFast 原理 阻塞端口不再等待这段时间,直接将端口由侦听和学习状态进入转发状态,提高了在间接链路失效情况下 的收敛速度
① Catalyst 3500(Cisco IOS 系统)配置 命令格式:spanning-tree BackboneFast (开启生成树的 BackboneFast 功能)
② Catalyst 6500(CatOS 系统)配置 命令格式:set spantree backbonefast enable (开启生成树的 BackboneFast 功能) set spantree backbonefast disable (关闭生成树的 BackboneFast 功能)
⚫ BPDU Filtering 原理 启用 BPDU Filtering 的端口,不发送 BPDU 报文,忽略且不处理接收到的 BPDU 报文,相当于关闭了 STP 功能。从而可防止向主机发送不必要的 BPDU 报文,它能将端口直接转至转发状态。
① Catalyst 3500(Cisco IOS 系统)配置 命令格式:spanning-tree portfast bpdufilter default(对所有端口启用 bpdu-filter)
② Catalyst 6500(CatOS 系统)配置 命令格式: set spantree portfast bpdu-filter enable (对所有端口启用 bpdu-filter) set spantree portfast bpdu-filter disable (关闭 bpdu-filter)set spantree portfast bpdu filter enable (打开 bpdu-filter) set spantree portfast bpdu-filter disable(关闭 bpdu-filter) set spantree portfast bpdu-filter default (设置为缺省)
7.1.路由器概述
⚫ 路由器工作在 OSI 参考模型的第三层,即网络层。
⚫ 软件系统:路由器的操作系统
⚫ 硬件关键部件:
① CPU(微处理器):它负责实现路由协议、路径选择计算、交换路由信息、查找路由表、分发路由表和维 护各种表格,以及转发数据包等功能。
② 闪存(Flash Memory):是一种可擦写的、可编程类型的只读存储器(Read Only Memory,ROM)。负责保 存路由器当前使用的操作系统映像文件和路由器的微码
③ 只读存储器(ROM):不能修改其中保存的内容。主要用来永久地保存路由器的开机诊断程序、引导程序 和操作系统软件。ROM 主要用来完成路由器的初始化进程,具体包括路由器启动时的硬件诊断、装入路 由器操作系统(IOS)等。
④ 随机存储器(RAM):是可读可写的存储器,用来保存路由表、ARP 缓存、快速交换缓存、数据分组缓冲 区和缓冲队列、运行配置文件,以及正在执行的代码和一些临时数据信息等。在关机和重新启动路由器 之后,RAM 里的数据会自动丢失。
⑤ 非易失性 RAM (NVRAM):是一个可读可写的存储器,主要用于存储启动配置文件或备份配置文件。在 路由器启动时,将从 NVRAM 装载路由器的配置信息。NVRAM 容量小,通常存储量只有 32-128KB,但是它 的存取速度非常快,而且保存在 NVRAM 的数据不会因为关机或重新启动路由器而丢失。
7.2.路由器常见的接口种类 路由器的接口编号规则与交换机接口配置规则类似,都为接口类型+模块编号+“/”+端口号,如 FastEthernet1/1 表示第 1 号模块的第 1 号快速以太网接口。
⚫ 广域网接口:广域网接口有高速同步串行接口、异步串行接口、ISDN 的 PRI 或 BRI 接口等。
⚫ 局域网接口:以太网接口、快速以太网接口、自适应以太网接口、吉比特以太网接口、令牌环接口、FDDI 接口。
⚫ 配置接口:路由器的配置接口有控制接口 Console(RJ-45)和辅助接口 AUX。AUX 可以连接 Modem,用 拨号的方式远程地对路由器进行配置。
7.3.路由器基本功能
⚫ 路由选择:
① 路由选择就是路由器根据目的 IP 地址的网络地址部分,通过路由选择算法确定一条从源节点到目的节 点的最佳路径。
② 路由选择核心就是确定下一跳路由器的 IP 地址。
⚫ 分组转发:
① 分组转发即沿找好的最佳路径传送信息分组。
② 路由器转发数据包目的 IP 和 MAC,在数据分组通过每一个路由器转发时,分组中的目的 MAC 地址是变 化的,但是它的目的网络地址始终不变。
③ 分组转发过程: 有下个端口 跳至下个端口,直至目的地 源端口 继续转发至目的地 无下个端口 转发至缺省路由 仍无路由信息,丢弃分组
7.4.路由表信息
(1) 表中信息: 目的网络地址以及其对应的目的端口或下一跳路由器地址和默认(缺省)路由的信息。
(2) 建立和维护路由表有两种方式:
⚫ 静态方式:由网络管理人员手工配置和修改;
⚫ 动态模式:由动态路由协议自动计算和维护。 图 路由表基本结构表 第一列表示要到达的网段,第二列表示路由器的对应输出端口,第三列表示经过的路由跳数。
(3) 路由表内容
⚫ 路由器的路由表 使用 show ip route 命令,查看路由表信息。
⚫ 路由表表项说明
① 路由表的第 1 列表示路由表项的来源,标识这个路由表项是通过什么方式或者通过何种路由选择协议 建立的。 “C”表示直连路由(conected),表示目的网络直接与路由器的端口相连。 “S”表示静态(static)路由。 “I”表示使用 IGRP 内部网关路由协议学习到的路由信息。 “O”表示使用 OSPF 开放最短路径优先协议学习到的路由信息。 路由类型: 其中 E1 OSPF 表示外部路由类型 1。 E2 OSPF 表示外部路由类型 2。 “R”表示使用 RIP 路由信息协议学习到的路由信息。 “i”表示使用 IS IS 内部网关协议学习到的路由信息。 “B”表示使用 BGP 外部网关协议学习到的路由信息。 “E”表示使用 EGP 外部网关协议学习到的路由信息。
② 第 2 列表示目标网络的地址和掩码长度。
③ 第 3 列表示目的端口或下一跳路由器的地址 这里有两种情况: 第一种:目标网络与路由器的某个端口直接相连的情况,则直接给出转发的端口编号; 第二种:非直连,则给出下一跳路由器的 IP 地址,指示数据包通过该地址转发,
④ 第 4 列“[]”中的前半部分为管理距离,后半部分为权值 管理距离(AD):用来表示路由器可能从多种途径获得同一路由;管理距离越小,说明路由的可信度越高; 度量值(Metric):是路由器通过路径选择算法为网络上的路径产生的一个数字。度量值越小,这条路径越佳。
7.5 路由器工作模式 路由器的工作模式主要有:用户模式、特权模式、设置模式、全局配置模式、其他配置模式和 RXBOOT 模式。
⚫ 用户模式:router>(只读模式)
① 通过 Console 或 Telnet 方式登录路由器时,输入正确密码,直接进入用户模式。
② 在该模式下,用户只能运行少数的命令(如 ping、show version、telnet 等),有限度地查看路由器的 相关信息,不能修改路由器配置,不能查看路由器的配置信息。
⚫ 特权模式:router#
① 在用户模式下,输入“enable”命令后按回车键,进入超级权限模式(如果设置了口令,还需要在回车 后按提示输入口令)。
② 默认状态下,特权模式可用命令多用于测试网络、检查系统、查看和保存配置等,不能对端口及网络协 议进行配置。
③ 该模式下,最常用的操作包括管理系统时钟、进行错误检测、查看和保存配置文件、清除闪存、处理并 完成路由器的冷启动等操作。 ④ 进入特权模式的提示符是: Router>enable Password∶ Router #
⚫ 全局配置模式:router(config)#
① 在特权模式下,输入“config terminal”命令后回车,进入全局配置模式。
② 该模式下,用户可以配置路由器的主机名、TFTP 服务器、超级用户口令、静态路由、访问控制列表、 IP 记账和多点广播等。
③ 在全局配置模式下,可以配置子模式、接口配置子模式等其他配置模式。Router #configure terminal
④ 在全局配置模式下,进入接口配置模式 Router (config)#int f0/1 Router(config-if)#
⑤ 在全局配置模式下,进入虚拟终端配置模式 Router(config)#line vty 0 15 Router(config line)#
⑥ 在全局配置模式下,进入 RIP 路由协议配置模式 Router(config)#router rip Router(config-router)#
⚫ RXBOOT 模式:>
① 路由器开机 60s 内,在超级终端下,同时按 Ctrl+Break 键 3-5s 进入此状态,这时路由器不能完成正 常的功能,只能进行软件升级和手工引导。
② 当密码丢失时,可以从该模式下恢复,因此该模式是路由器的维护模式。
⚫ 设置(SETUP)模式
① 该模式采用对话方式,利用该对话过程可以避免手工输入命令的繁琐;
② 只对路由器进行简单配置,特殊配置须通过手工输入方式完成。
③ 新路由器第一次进行配置时,系统会自动进入设置模式,并询问是否采用该方式进行配置。
④ 进入设置模式,在特权模式下,输入 setup 即可。
7.6.路由器接口基本配置
⚫ 配置接口描述信息 router-test >en router-test # configure terminal router-test (config)#interface f0/1 router-test (config-if) #
⚫ 配置接口带宽 进入接口配置模式,使用 bandwidth 命令设置接口带宽,带宽单位是 kbit/s。 router-test (config-if) # bandwidth 100000
⚫ 配置接口描述信息。 配置接口描述信息使用 description 命令。router-test (config-if) #description link-to-lab
⚫ 配置接口地址。 进入接口配置模式,使用 ip address 命令配置接口的 IP 地址。 命令格式:ip address router-test (config-if) #ip address 192.168.1.254 255.255.255.0
⚫接口的开启与关闭。 进入接口配置模式,使用 shutdown、no shutdown 命令关闭和开启接口。 router-test (config-if) #shutdown (关闭接口) router-test (config-if) #no shutdown (打开接口) router-test (config-if)#
7.7.环回接口的配置 主要用于网络管理,没有实际物理接口,不受网络故障影响; 配置后,总处于活动状态,便于网络管理人员进行路由器配置和管理; 可作为动态路由协议 0SPF 和 BGP 的 router ID,增强路由功能的稳定性和可靠性。 router-test(config )#interface loopback 0 (在全局配置模式下,敲入命令,loopback 接口号的范围 为 0-2 147 483 647) router-test (config-if) #ip address 192.168.100.1 255.255.255.255(配置接口 IP 地址和掩码,注 意环回接口地址的掩码一般为 4 个 255) router-test (config-if) #no ip route cache (禁用 route cache 功能) router-test (config-if) #no ip mroute cache router-test (config-if) #
7.8.局域网接口配置
(1) 标准以太网接口配置实例 标准以太网接口的接口类型为 Ethernet,可简写为 e。 router-test (config) # interface Ethernet1 router-test (config-if) #description To-lab1 router-test (config-if) #ip address 192.168.1.1 255. 255. 255. 0 router-test (config-if) #bandwidth 10000 router-test (config-if) #no shutdown router-test (config-if) #exit 未来教育版权所有,侵权必究 系统课程学习 QQ 群:614287782 页 46 router-test (config) #exit router-test #
(2) 快速以太网接口配置 快速以太网的接口类型为 FastEthemet,可简写为 f。 router-test (config) # interface FastEthemet0/1 router-test (config-if)#description To-lab2 router-test (config-if)#ip address 192.168.2.1 255.255.255.0 router-test (config-if)#bandwidth 100000 router-test (config-if)#duplex half (设置工作模式为半双工) router-test (config-if)#no ip directed-broadcast router-test (config-if)#no ip proxy-arp router-test (config-if)#no shutdown router-test (config-if)#exit router-test (config) #
(3) 吉比特以太网接口配置 吉比特以太网的接口类型为 GigabitEthemet,可简写为 g。 router-test (config)#interface GigabitEthemet0/0 router-test (config-if) #description To-lab3 router-test (config-if) #ip address 192.168.3.1 255.255.255.0 router-test (config-if) #bandwidth 1000000 router-test (config-if) #duplex full router-test (config-if) #no ip directed-broadcast router-test (config-if) #no ip proxy-arp router-test (config-if) #no shutdown router-test (config-if) #exit router-test (config )#exit router-test #
7.9.广域网接口配置
(1) 异步串行接口配置 异步串行接口的接口类型为 Async,可简写为 a。Async 接口主要用于连接 Modem 设备,为网络用户提供拨号上网服务。如 Cisco 2511 路由器可以提供 16 个异步串行接口、一个 Ethernet 接口。Async 接口的配置 如下: router-test (config)#interface Async1 router-test (config-if)#ip unnumbered ethernet0 router-test (config-if) #encapsulation ppp (封装协议为 PPP) router-test (config-if) #async default ip address 192.168.1.1 router-test (config-if) #async dynamic routing router-test (config-if) #async mode interactive (配置异步口的 PPP 工作方式) router-test (config-if) #no shutdown router-test (config-if) #exit router-test (config) #exit router-test #
(2) 高速同步串行接口配置 高速同步串行接口的接口类型为 Serial,可简写为 s。Serial 接口主要用于帧中继、DDN 专线、卫星、微波 等广域网连接。Serial 接口需要配置的主要参数有接口带宽、接口协议和接口的 IP 地址等。 router-test (config)#interface Serial0/0 router-test (config-if)#description To lab4 router-test (config-if) #bandwidth 2048 (配置接口带宽为 2M,单位是 kbit/s) router-test (config-if) #ip address 192.168.4.1 255.255.255.252 router-test (conflg if)#encapsulation ppp(封装 HDLC 或 PPP 协议,HDLC 为默认值) router-test (config-if)#no ip directed-broadcast router-test (config-if) #no ip proxy-arp router-test (config-if ) #no shutdown router-test (config-if) #exit router-test (config )#exit router-test #
(3) POS 接口的配置
⚫ POS(Packet over SONET/SDH)是一种利用 SONET/SDH 提供的高速传输通道直接传送 IP 数据包的技术;
⚫ POS 使用的链路层协议主要有 PPP 和 HDLC。
⚫ 目前 POS 可以提供 155Mbit/s、622Mbit/s、2.5Gbit/s 和 10Gbit/s 等多种传输速率的接口。
⚫ POS 接口的配置任务包括:
① 在 POS 接口模式下设置 POS 物理端口的帧类型(sdh 或 sonet);
② 在 POS 接口模式下设置 POS 物理端口的协议封装模式(ppp 或 chdlc);
③ 在 POS 接口模式下设置 POS 物理端口的数据帧格式中的 flag 值(0 表示 SONET 帧,2 表示 sdh 帧);
④ 强制 POS 物理端口数据帧是否加扰;
⑤ 设置 POS 物理端口数据帧的 CRC 校验位数(16 位或 32 位)等。
⑥ 在全局配置模式下,配置操作如下: router-test (config)#interface POS0/1 router-test (config-if) #description To-lab5 router-test (config-if) #bandwidth 10000000 router-test (config-if) #ip address 192.168.5.1 255. 255.255.252 router-test (config-if) #crc16 (可选的 crc 校验位是 16 和 32) router-test (config-lf)#pos framing sonet(可选帧格式是 sdh 和 sonet) router-test (config-if) #no ip directed-broadcast router-test(config-if) #pos flag s1s0 0 (s1s0=00 表示是 sonet 帧的数据,s1s0=10(十进制 2)表示是 sdh 帧的数据) router-test (config-if) #no shutdown router-test (config-if) #exit router-test (config)# exit router-test #
7.10.路由器静态路由协议配置
⚫ 静态路由是指由网络管理员手工配置的路由信息
⚫ 网络拓扑结构或链路的状态发生变化时,须网络管理员手动修改;
⚫ 适合规模较小,网络拓扑结构无变化的局域网和采用点到点方式连接的简单网络互连环境。
(1) 静态路由配置命令
⚫ 静态路由由“ip route”命令在全局配置模式下配置;
⚫ 删除静态路由配置:使用“no ip route”命令;
⚫ 静态路由配置的命令格式如下: 命令格式:ip route 。
⚫ 默认路由的静态配置方式为:ip route 0.0.0.0 0.0.0.0
7.11.路由器动态路由协议配置
⚫ 动态路由协议使用路由选择算法根据实测或估计的距离、时延和网络拓扑结构等度量权值,自动计算最 佳路径、建立路由表。
⚫ 自动地适应网络拓扑结构的变化,实时、动态地更新路由表。
⚫ 适用于网络规模大、网络拓扑结构复杂的网络。
⚫ “自治系统”(Autonomous System,AS)
① 一个“自治系统”是指由同一个管理员管理的一组网络和路由器。
② 自治系统内部的路由称为“内部路由”,自治系统之间的路由称为“外部路由”。
③ 自治系统可选择一个内部路由协议来处理该自治系统内部的路由。 自治系统之间通常只能使用一个外部路由协议来处理。
④ 内部路由协议:有路由信息协议(RIP)、内部网关路由协议(IGRP)、增强内部网关路由协议(EIGRP) 以及开放式最短路径优先协议(OSPF)等路由选择协议;
⑤ 外部路由协议:BGP 协议最为常见。
7.12.RIP(路由信息协议)配置
⚫ RIP 每 30 秒发送一次路由更新信息;
⚫ RIP 选择具有最少“跳数(hop 数)”(度量)的路由作为最佳路径;
⚫ 接受的最长距离是 15 跳。(>15 跳,认为其目的地址是不可达,舍弃该路由)
⚫ RIP 不支持可变长掩码。故适用于小型局域网环境。 RIP 动态路由协议的配置分为基本配置和高级配置。
(1) RIP 协议的主要配置命令
⚫ router rip 命令:启动 RIP 协议,开始 RIP 进程。 router-test (config)#router rip
⚫ network 命令 设置参与 RIP 协议的网络地址 命令格式:network
⚫ passive-interface 命令(配置被动接口) 命令格式:passive-interface
⚫ distribute-list 命令(配置路由过滤) 指定有路由过滤功能的接口,在被指定的路由器的接口上,既可以过滤其接收的路由更新信息,还可以过滤输出的路由更新信息,它常与“passive-interface”一起使用,这样被指定的接口既可以过滤接收的路由 信息,也可阻止该路由器更新信息的输出,即禁止该接口参加 RIP。 命令格式:distribute-list
⚫ distance 命令(配置管理距离) 该命令用来配置或改变 RIP 的管理距离,管理距离用来测量路由的可信度,该值越小则可信度越高,RIP 的 默认距离值是 120,有效的管理距离值是 1-255。 命令格式为:distance 如在全局配置模式下: router-test (config)#router rip router-test (config-router)# distance 100 (配置管理距离为 100)
⚫ neighbor 命令(配置邻居路由器) 指定邻居路由器,在 RIP 路由器不容许发送广播包或是在网络技术不支持网络广播的特殊情况下,路由器 仍可以单播的方式向该邻居路由器发送路由更新信息。命令格式:neighbor router-test (config)#router rip router-test (config-router)# neighbor 131.55.101.2
7.13.OSPF(开放最短路由优先协议)配置
⚫ OSPF 采用的是一种链路状态算法;
⚫ OSPF 具有收敛速度快、路由汇聚使路由表变小、支持可变长掩码(VLSM)、路由更新信息量小(减少了 路由更新时的所需带宽)、路由更新不采用广播报文而是使用组播报文等优点;
⚫ OSPF 是一个开放标准,不同厂家的设备可以共享同一网络的信息;
⚫ OSPF 在有组播发送能力的链路层上以组播地址发送协议报文;
⚫ OSPF 可以划分区域,路由更新信息只在本区域内传播,不同域间不交换路由信息;
⚫ 每个运行 OSPF 协议的接口必须指明属于某一个特定的区域,每个区域用区域号(Area ID)来标识。
⚫ 区域号是一个 32 位的无符号整数,范围是 0-4294967295,其中区域 ID 为 0(也可以表示为 0.0.0.0) 时表示的是主干区域。
(1) OSPF 基本配置命令说明
⚫ router ospf 该命令用来启动 OSPF 进程 命令格式:router ospf router-test (config) #router ospf 10 Process ID(PID)是 OSPF 的进程号,范围是 1-65535,process ID 可以在指定范围内随意设置
⚫ network ip 该命令用来定义参与 OSPF 的网络地址 命令格式:network ip area router test (config)# router ospf 10 router test(config-router) #network 192.168.1.1 0.0.0.0 area 0 在单个 IP 地址参与 OSPF 时也使用此命令。
⚫ area range 该命令用于定义某一特定范围子网的聚合 命令格式:arearange router-test (config )# router ospf 10 router-test (config-router)# area 0 range 212.37.123.0 255.255.255.0
⚫ passive-interface 该命令用来配置 OSPF 的被动接口 router-test (config )# router ospf 10 router-test (config-router) # passive-interface ethernet0 第三层交换机的配置命令如下: router-test(config)#router ospf 60 router-test(config-router)#passive-interfave vlan10
⚫ distribute-list 该命令用来配置路由器的过滤功能 router-test (config )#access-list 12 deny any router-test (config )# router ospf 10 router-test (config-router) #distribute-list 10 out serial 0
⚫ distance 该命令用来配置或改变 OSPF 的管理距离。 router-test (config )# router ospf 10 router-test (config-router) # distance 100 以下 3 个命令用来配置引入外部路由到 OSPF 时的参数。
⚫ redistribute metric 该命令用来配置引入外部路由的花费值(metric)。 metric 值范围为 0-16777214 。
⚫ redistribute tag 该命令用来配置引入外部路由时默认的标记值。 标记值为一个 32 位的数值,范围为 0-4294967295。
⚫ redistribute connected metric-type 该命令用来设置引入外部路由时默认的外部路由类型,OSPF 中外部路由类型有类型 1 和类型 2 两种, 分别对应两种不同的路由花费值的计算方式,默认情况下使用类型 2,可通过命令“redistribute connected metric-type”修改外部路由类型。
7.14.DHCP 配置
⚫ IP 地址池的建立 全局配置模式下 命令:ip dhcp pool 是为所建的地址池提供的名称,可以是一组字符串或数字。 router-test (config)#ip dhcp pool 123(建立名为 123 的地址池)
⚫ IP 地址池的子网地址与子网掩码的配置 在 IP 地址池配置模式下 命令:network 可采用标准的子网掩码表示(如 255.255.255.0)或使用掩码前缀长度表示(如/24) router-test (dhcp-config)#network 192.168.1.0 255.255.255.0 或 router-test (dhcp-config)# network 192.168.1.0 /24
⚫ 排除不用于动态分配的 IP 地址 在全局配置模式下 命令:ip dhcp excluded address [low-address] [high-address]
① 排除从 192.168.1.1 到 192.168.1.10 的一段 IP 地址 router-test (config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10
② 排除单个 IP 地址 192.168.1.11 router-test (config)#ip dhcp excluded-address 192.168.1.11
⚫ 配置默认网关 在地址池配置模式下 命令 default-router address[address2 … address8] 默认网关.地址,最多可以设置 8 个。 router-test (dhcp-config)#default-router 192.168.1.254
⚫ 配置 IP 地址池的域名系统
① 配置 DNS 在地址池配置模式下 命令:dns-server address 该命令允许最多配置 8 个域名服务器地址。 router-test(dhcp-config) #dns-server 202.102.192.68(地址池配置模式下)
② 配置 DHCP 客户端域名。 在 DHCP 地址池配置模式下 命令:domain-name 其中为指定的域名名称 router-test (dhcp-config) #domain-name aaa.com.cn
⚫ IP 地址租用时间。 在 DHCP 地址池配置模式下 命令:lease {day [hours][minutes]|infinite} 其中参数可以包含天数、小时数以及分秒数,还可以设置为永不过期(infinite)。 router-test (dhcp-config)#lease 0 3(设置租用时间为 3 小时)
⚫ 取消地址冲突记录日志。 全局配置模式下 命令:no ip dhcp conflict logging 取消地址冲突日志记录功能即可以实现不配置数据库。 router-test (config)# no ip dhcp conflict logging
7.15.访问控制列表
7.16.通配符的使用
⚫ 在配置访问控制列表的源地址或目的地址时,在允许或拒绝的 IP 地址后面,有一个参数——wildcardmask(通配符掩码),
⚫ 通配符掩码用 32 位二进制数表示,用点号分成 4 个 8 位组,每组包含 8 位二进制数
⚫ wildcard-mask 实际上就是子网掩码的反码,如果 IP 地址的子网掩码是 255.255.255.0,那么它的通 配符掩码为 0.0.0.255。
⚫ 通配符 any 假设一个网络管理员想要在一个访问控制列表中允许访问任何目的地址。 ⚫ 通配符 host 若网络管理员想要与整个 IP 主机地址的所有位相匹配,可以使用缩写字“host”。
7.17.IP 标准访问控制列表配置
⚫ 定义
① 使用全局配置命令“access-list”来定义一个标准的访问控制列表,并给它分配一个数字表号。 命令格式为:access-list access-list-number {permit|deny}source wildcard-mask
② 删除访问控制列表 在全局模式下 命令:no access-list access-list-number
⚫ 应用到接口。
① 命令格式为:ip access-group access-list-number {in|out}。
② 其中,access-list-number 用来指出链接到这一接口的 ACL 表号;
③ in|out 用来指示该 ACL 是被应用到流入接口(in),还是流出接口(out)。如果 in 和 out 都没有指定, 那么默认地认为是 out。
④ 要删除访问控制列表,首先输入“no access-group”命令,带上参数,然后使用“no access-list” 命令。
7.18.配置扩展 IP 访问控制列表
⚫ 使用 access-list 命令
① 定义扩展访问控制列表 命令格式: access-list access-list-number {permit|deny} protocol source wildcard-mask destination wildcard-mask [operator][operand]。 其中,operator(操作)有 lt(小于)、gt(大于)、eq(等于)、neq(不等于)几种;operand 指的是端口号。
② 应用到接口 命令格式:ip access-group access-list-number {in|out}
⚫ 使用 ip access-list 命令 命令格式:ip access-list extended|standard access-list-number|name。 其中,extended|standard 分别表示访问控制列表的类别,access-list-number|name 表示可以选择标 号或名称方式对访问控制列表进行标识。
8.1.常用的无线局域网标准
⚫ 蓝牙系统技术指标
8.2.HiperLAN 技术与标准
⚫ HiperLAN 是应用在欧洲的无线局域网通信标准集合中的一种,
⚫ 包括 HiperLAN/1 和 HiperLAN/2 两类。
⚫ HiperLAN/1:采用 5GHz 的射频频率,上行速率可以达到 20Mbit/s;
⚫ HiperLAN/2:采用 5GHz 的射频频率, HiperLAN/2 与 3G 标准兼容,上行速率可以达到 54Mbit/s。在 第三层的传输速率最高可达到 25Mbit/s。
⚫ HiperLAN 标准还提供了类似于 IEEE 802.11 无线局域网协议的性能和能力。 无线网络能够自动进行无线频率配置,从而摆脱了原来的无线网络频率规划,大大提高系统配置便捷性。
⚫ HiperLAN/2 网络中,移动终端(MT)通过接入点(AP)接入固定网,而 MT 与 AP 之间的空中接口即由 HiperLAN/2 协议来定义。
⚫ 一个 AP 所覆盖的区域定义为一个小区,在室内一个小区的覆盖范围一般为 30m,在室外一般为 150m。
⚫ HiperLAN/2 网络中,在特定时间点,移动终端只能与一个接入点进行通信,但无线终端 MT 可以在 HiperLAN/2 网络中自由移动,并保持与网络间良好的传输性能。
⚫ HiperLAN/2 的面向连接的特性使它很容易满足 QoS 要求,可以为每个连接分配一个指定的 QoS,确定 这个连接在带宽、延迟、拥塞、比特错误率等方面的要求。
⚫ HiperLAN/2 协议栈具有一个灵活的结构,可以在固定网络中运行的应用都可以在 HiperLAN/2 网络中运 行。
⚫ 为了实现高速率,HiperLAN/2 利用正交频率数字复用(OFDM)的调制技术来发射模拟信号。
⚫ 在每一接入点覆盖区域中,AP 能自动选择适当的无线信道进行数据传输。
⚫ HiperLAN/2 支持认证和加密。
⚫ MT 能够自动向最近的 AP 发射并接收数据从而进行通信。
⚫ HiperLAN/2 网络中数据的传输是面向连接的。
⚫ 在 HiperLAN/2 中,MT 节省功耗的机制是基于 MT 启动的休眠期状态。
8.3.IEEE 802.11 技术与标准 IEEE 802.11 协议主要工作在 ISO 协议的最低两层上,并在物理层上进行了一些改动,加入了高速数字传输 的特性和连接的稳定性。
⚫ IEEE 802.11 的工作方式 IEEE 802.11 定义了两种类型的设备:
① 无线节点:通常由一台接入设备加上一块无线网络接口卡构成
② 无线接入点:提供无线和有线网络之间的桥接。
⚫ IEEE 802.11 物理层
① 在 IEEE 802.11 最初定义的 3 个物理层包括了两个扩频技术和一个红外传播规范;
② 无线传输的频道定义在 2.4GHz 的 ISM 波段内,这个频段属于非注册使用频段。
⚫ IEEE 802.11 数字链路层
① CRC 校验:每一个在无线网络中传输的数据报都被附加上了校验位以保证它在传送的时候不会出现错误;
② 包分片:允许大的数据报在传送的时候被分成若干较小的数据包分批传送。
⚫ IEEE 802.11 协议
8.4.IEEE 802.11b 运作模式
⚫ 点对点模式:
① 无线网卡和无线网卡之间的通信方式,适用于小型的无线网络,最多可连接 256 台 PC;
② 采用这种模式,一台计算机插上无线网卡即可与另一具有无线网卡的计算机连接。
⚫ 基本模式:
① 指无线网络规模扩充或无线和有线网络并存时的通信方式,IEEE 802.11b 最常用的方式。
② 在基本模式下,插上无线网卡的计算机与另一台计算机连接,需要通过接入点。接入点负责频段管 理及漫游等指挥工作,一个接入点最多可连接 1024 台 PC(无线网卡)。
③ 网络存取速度会随着范围扩大和节点的增加而变慢,此时可以通过添加接入点来控制和管理频宽 与频段。
④ 接入点可以作为无线网和有线网之间的桥梁,以实现无线网络与有线网络互连,或无线网络节点访 问有线网络的资源。
8.5.常用无线局域网设备
⚫ 无线网卡
① 无线网卡也叫 WLAN 适配器,它是无线局域网系统中最基本的硬件。
② 无线网卡作为无线局域网的接口,实现与无线局域网的连接。
③ 只要两台计算机各自拥有无线网卡,那么它们就可以实现点对点的通信,从而组成一个最小的局域网。
④ 无线网卡根据接口类型的不同,主要分为三种类型,即 PCMCIA 无线网卡、PCI 无线网卡和 USB 无线网 卡。
⚫ 无线接入点
① 无线接入点(也称为无线 AP)的基本功能是集合无线或有线终端,其作用类似于有线局域网中的集线 器和交换机。
② 一个无线接入点可以连接 30 台左右的无线网络终端或无线接入点,并且还可以让系统中的所有无线网 络终端在数个接入点中进行无缝漫游,而且无线网络终端无须额外配置。
⚫ 无线网桥
① 无线网桥是在链路层实现无线局域网互连的存储转发设备,它能够通过无线方式(微波)进行远距离数 据传输;
② 无线网桥有 3 种工作方式:点对点,点对多点,中继连接。
③ 用于连接两个或多个独立的网络段,为这些独立网段实现较远距离的无线数据通信。
⚫ 无线网关 无线网关是指集成有简单路由功能的无线 AP,即无线网关通过不同设置可完成无线网桥和无线路由器的功 能,也可以直接连接外部网络(如 WAN),同时实现 AP 功能。
⚫ 无线路由器
① 无线路由器(Wireless Router)具备单纯型无线 AP 所有功能及网络地址转换(NAT)功能,可支持局 域网用户的网络连接共享。
② 可实现家庭无线网络中的 Internet 连接共享,实现 ADSL 和小区宽带的无线共享接入。
⚫ 天线 无线天线可对所接收或发送的信号进行增益(放大)。
8.6.Cisco Aironet 1100 接入点 Aironet 1100 系列无线接入点兼容 IEEE 802.11b 和 IEEE 802.11g 协议,工作在 2.4GHz 频段。
8.7.安装无线接入点
① 安装前,先向网络管理员询问以下信息,用于配置无线接入点。
⚫ 系统名。
⚫ 简单网络管理协议(SNMP)集合名称以及 SNMP 文件属性。
⚫ 如果没有连接到 DHCP 服务器,则需要为接入点指定一个唯一的 IP 地址。
⚫ 如果接入点与 PC 不在同一个子网内,则需要子网掩码和默认网关。
⚫ 无线网络中对大小写敏感的服务集标识符(SSID)。
② 无线接入点连接到网络的两种方法:使用线内供电连接以太网和使用本地电源连接以太网。
⚫ 使用线内供电连接以太网的步骤: 首先将以太网电缆的一端连接到接入点上标有 Ethernet 的 RJ-45 以太网接口。 然后电缆的另一端连接至:
① 线内供电交换面板,如 Cisco Catalyst 系列线内供电面板。
② 带有线内供电的交换机,如 Cisco Catalyst 3524 PWR XL 交换机。
③ Cisco Aironet电源注入器上标有To AP/Bridge的一端。标有To Network的另一端连接到10/100Mbit/s 以太网。
⚫ 使用本地电源连接以太网的步骤:
① 先将以太网电缆的一端连接到接入点上标有 Ethernet 的 RJ-45 以太网接口。
② 然后将电源模块的输出端接到接入点上标有“48V DC”的 DC 48V 电源接口。
③ 最后将电源模块的另一端接到 AC 100-250V 电源插座。
8.8.配置无线接入点
⚫ 使用五类以太网电缆连接 PC 和无线接入点,通过接入点的以太网端口进行配置,或将 PC 置于无线接 入点的电波覆盖范围内,安装无线客户端适配器,关闭所有安全设置,不配置 SSID 或将 SSID 配置为 tsunami,这样就可以无线地配置接入点。
⚫ 给无线接入点加电。
⚫ 确认 PC 获得了 10.0.0.x 网段地址。
⚫ 打开互联网浏览器(微软的 IE 版本 5.x 以上,或者 Netscape 导航者版本 4.x 以上)。
⚫ 在浏览器的地址栏里输入无线接入点的 IP 地址 10.0.0.1,然后按回车键。这时将出现输入网络密码对 话框,如图 8 2 所示。
⚫ 按 Tab 键越过用户名字段到密码字段。
⚫ 输入大小写敏感的密码 Cisco,然后按回车键,或者单击【确定】按钮。这时会出现接入点汇总状态的 页面。单击“Express Setup”进入“快速配置”页面。
⚫ 根据从管理员那里得到的信息,输入各个配置数据。各配置参数说明如下。
①System Name(系统名称):无线接入点的标识。
②IP Address:设置或改变接入点的 IP 地址。
③Broadcast SSID in Beacon:设定是否允许设备不指定 SSID 而访问接入点。其中,Yes 选项是默认设置, 允许设备不指定 SSID 而访问接入点,No 选项表示设备必须指定 SSID 访问接入点。
④Configuration Server Protocol:配置服务器协议。其中“DHCP”选项表示由网络中的 DHCP 服务器自动地分配 IP 地址,“Static IP”选项表示手工分配 IP 地址。
⚫ 单击 Apply 保存设置。 到目前为止,无线接入点可以正常工作。但是,还应当根据网络运行或安全的需要进行相应的进一步设置。
8.9.服务集标识符 SSID(Service Set IDentifier)
⚫ SSID 用于区分不同的网络,最多可由 32 个区分大小写的字符组成。
⚫ 无线网卡设置了不同的 SSID 就可以进入不同的网络,SSID 通常有 AP 广播出来,通过无线终端操作系 统自带的扫描功能可以扫描当前区域内的 SSID。
⚫ SSID 就是一个局域网的名称,只有名称设置为相同 SSID 的值,无线设备才能互相通信。所以,SSID 是 客户端设备用来访问接入点的唯一标识。
9.1.常见网络信息与应用服务 在 Windows 系统中,常见的网络信息与应用服务包括:DNS 域名系统、DHCP 动态主机配置协议、WWW 服务、 E-mail 电子邮件服务和 FTP 文件传输服务等。
9.2.DNS 概念及原理和相关配置
(1)DNS 解析流程
⚫ DNS 服务器由解析器和域名服务器组成。
⚫ 域名服务器是指保存该网络中所有主机的域名和对应的 IP 地址,并具有将域名转换为 IP 地址功能的 服务器。
⚫ 它主要有两种形式:主服务器和转发服务器。一个域名可以对应多个 IP 地址,一个 IP 地址也可以对 应多个域名。
⚫ DNS 使用的 TCP 与 UDP 端口号都是 53,主要使用 UDP,服务器之间备份使用 TCP。
(2)DNS 服务器主要参数
⚫ 正向查找区域 将域名映射到 IP 地址的数据库,用于将域名解析为 IP 地址。
⚫ 反向查找区域 将 IP 地址映射到域名的数据库,用于将 IP 地址解析为域名。
⚫ 资源记录
① 区域中的一组结构化记录。
② 常用的资源记录有 3 个:主机地址(A)资源记录,它将 DNS 域名映射到 IP 地址;别名(CNAME)资源 记录,将别名映射到标准 DNS 域名;邮件交换器(MX)资源记录,为邮件交换器主机提供邮件路由。
(3)转发器。 转发器也是一个 DNS 服务器,是本地 DNS 服务器,用于将外部 DNS 名称的 DNS 查询转发给该 DNS 服务器。
(4)DNS 服务器域名结构
(5)DNS 服务器配置 DNS 服务器配置的主要任务包括创建正向查找区域、创建反向查找区域、增加资源记录等。
(1) 创建正向查找区域。 动态更新允许 DNS 客户端在发生更改的任何时候,使用 DNS 服务器注册和动态地更新其他资源。它减少了对区域记录进行手动管理的需要,特别是对于频繁改变位置并使用 DHCP 获得 IP 地址的客户端更是如 此。
(2) 创建反向查找区域。
(3) 增加资源记录。
① 创建主机记录。主机记录:将主机名与 IP 地址联系起来。
② 创建 MX 记录。 MX 记录:识别指定机器和域的邮件服务器。 默认情况下,DNS 服务器提供的邮件服务器优先级为 10,如果这个域中只有一个邮件服务器,这值 多大都没关系。如果有多个邮件服务器,优先级越小,级别越高。
③ 创建别名 CNAME 记录 CNAME 记录:允许为一个IP地址额外添加一个名字。
④ 设置反向查询记录。
(4) 设置 DNS 服务器选项。
① “接口”选项卡。 在该选项卡可以选定 DNS 服务器在哪些 IP 地址上侦听 DNS 查询。
② “转发器”选项卡。 在该选项卡中,可以将转发器的 IP 地址添加到 DNS 服务器中。 转发器是网络上的 DNS 服务器,用于将外部域名的 DNS 查询转发给该 DNS 服务器。
③ “高级”选项卡。 在该选项卡中可以设置禁用递归和转发器等选项。
④ “根提示”选项卡。 在 Internet 上有 13 个根 DNS 服务器(标识为 a~m),大多分布在北美洲。安装 DNS 服务时,这些根 DNS 服务器被自动加入系统中。尽管这 13 个根 DNS 服务器中的每个都可看作单个的服务器,但每台“服务 器”实际上是冗余服务器的集群,以便增强安全性和可靠性,
⑤ “调试日志”选项卡。 为便于 DNS 服务器的调试,可以将 DNS 服务器发送和接收到的数据包记录到指定的日志文件中,用于分 析。可以在事件查看器的操作选项中打开日志文件。默认情况下,调试日志是禁用的。
⑥ “事件日志”选项卡。 在该选项卡中,可以设置允许 DNS 服务器将错误和警告事件记录到日志中。
(5) 测试 DNS 服务器
① 查看 DNS 服务器启动状态。
② 使用 DNS 管理控制台测试 DNS 服务器。
③ 使用命令行程序测试 DNS 服务器。
9.3.DHCP 原理和相关配置 DHCP 具备五项主要功能: 支持动态地址分配、支持静态地址分配、租用地址、支持永久租用地址、恢复中止的租用地址。
(1) DHCP 的工作原理
⚫ 在客户端第一次登录网络时,获得 IP 地址的步骤
① 发出租用地址请求。当 DHCP 客户端第一次登录网络时,发现本机上没有 IP 地址,它就会向网络发出 一个 DHCP discover 广播包。因为客户端还不知道自己属于哪一个网络,所以封包的源地址为 0.0.0.0, 目的地址则为255.255.255.255,然后再附上DHCP discover的信息,向网络进行广播。在DHCP discover 将封包送出去之后,若一直得不到响应,客户端会以特定的时间间隔,重复一次 DHCP discover 的过 程。
② 提供 IP 地址。当 DHCP 服务器监听到客户端发出的 DHCP discover 广播后,它会从那些还没有租出的 地址范围内,选择最前面的空置 IP,连同其他 TCP/IP 设定,响应给客户端一个 DHCP offer 封包。由于客户端在开始的时候还没有 IP 地址,所以在其 DHCP discover 封包内会带有其 MAC 地址信息,并 且有一个 X-ID 编号来辨别该封包,DHCP 服务器响应的 DHCP offer 封包则会根据这些资料传递给要求 租约的客户端。
③ 接受 IP 租约。如果客户端收到网络上多台 DHCP 服务器的响应,只会挑选其中一个 DHCP offer(通常 是最先抵达的那个),并且会向网络发送一个 DHCP request 广播封包,告诉所有 DHCP 服务器它将指定 接受哪一台服务器提供的 IP 地址。同时,客户端还会向网络发送一个 ARP 封包,查询网络上面有没有 其他机器使用该 IP 地址;如果发现该 IP 已经被占用,客户端则会送出一个 DHCP decline 封包给 DHCP 服务器,拒绝接受其 DHCP offer,并重新发送 DHCP discover 信息。
④ 租约确认。当 DHCP 服务器接收到客户端的 DHCP request 之后,会向客户端发出一个 DHCP ACK 响应, 以确认 IP 租约的正式生效,也就结束了一个完整的 DHCP 工作过程。
⚫ 客户端第二次登录网络时,获得 IP 地址的步骤
① 一旦 DHCP 客户端成功地从服务器那里取得 DHCP 租约之后,除非其租约已经失效并且 IP 地址也重新设 定回 0.0.0.0,否则就无须再发送 DHCP discover 信息了,客户端会直接使用已经租用到的 IP 地址向 之前的 DHCP 服务器发出 DHCP request 信息,DHCP 服务器会尽量让客户端使用原来的 IP 地址。如果没 问题的话,直接响应 DHCP ACK 确认则可。
② 如果该地址已经失效或已经被其他机器使用了,服务器则会响应一个 DHCP NACK 封包给客户端,要求其 重新执行 DHCP discover。
(2)配置术语和主要参数
⚫ 作用域:作用域是用于网络的可能 IP 地址的完整连续范围,通常定义提供 DHCP 服务的网络上的单 独物理子网。作用域还为服务器提供管理 IP 地址的分配和指派以及与网上客户相关的任何配置参数的 主要方法。
⚫ 排除范围:排除范围是作用域内从 DHCP 服务中排除的有限 IP 地址序列。添加排除的 IP 地址范围, 只需排除起始 IP 地址和结束 IP 地址。
⚫ 租约:租约是客户机可使用指派的 IP 地址期间 DHCP 服务器指定的时间长度。
⚫ 保留:使用保留创建通过 DHCP 服务器的永久地址租约指派。保留确保了子网上指定的硬件设备始终 可使用相同的 IP 地址。
⚫ 新建保留: 新建保留时需输入保留名称、IP 地址、MAC 地址、描述和支持类型等项目。
(3)DHCP 服务器配置
(1) 进入 DHCP 管理界面。
(2) 添加服务器。
(3) 新建并激活作用域。 大多数网络都具有若干个子网,每个子网都需要自己的作用域,因此,DHCP 服务器通常管理多个作用域。 选择名称和描述将有助于区分多个作用域。
(4) 配置作用域选项。 DHCP 服务器中常用的选项包括路由器选项和 DNS 服务器选项。
(5) 新建保留地址。 让局域网中的某台客户机永久地获得同一个 IP 地址,且它有自己单独的 DNS 和网关地址。
(6) 配置保留选项。 服务器选项对所有作用域有效,作用域选项只影响当前作用域,保留选项只对保留的 IP 地址对应的计算机 生效。
(7) 测试 DHCP 服务器
⚫ 可通过 DHCP 客户机来观察 DHCP 服务器工作是否正常。
⚫ 在 DHCP 客户机的命令行窗口中,使用 ipconfig/all 命令,可以查看客户机获得的 IP 地址及其他配置 信息情况。
⚫ 在 DHCP 客户机的命令行中执行 ipconfig/release 命令,可以释放已经获得的地址租约。
⚫ 在 DHCP 客户机的命令行中执行 ipconfig/renew 命令,可以重新从 DHCP 服务器获得新的地址租约。
9.4.WWW 服务器相关配置
(1) 建立网站
⚫ 网站 IP 地址:如果选择【全部未分配】选项,则服务器会将本机所有 IP 地址绑定在该网站上,这个选 项适合于服务器中只有这一个网站的情况,也可以从下拉列表框中选择一个 IP 地址(下拉列表框中列 出的是本机已配置的 IP 地址,如果没有,应该先为本机配置 IP 地址,再选择)。
⚫ 非标准 TCP 端口:一般使用默认的端口号 80,如果改为其他值,则用户在访问该站点时必须在地址中 加入端口号。
⚫ 主机头:如果该站点已经有域名,可以在主机头中输入域名。
⚫ 网站访问权限:限定用户访问网站时的权限。
⚫ 访问网站的方法:
① 如果在本机上访问,可以在浏览器的地址栏中输入“http://localhost/”;
② 如果在网络中其他计算机上访问,在浏览器的地址栏中输入“http://网站 IP 地址”。
③ 如果网站的 TCP 端口不是 80,在地址中还需加上端口号。
④ 假设 TCP 端口设置为 8080,则访问地址应写为“http://localhost:8080/”或“http://网站 IP 地址:8080”。
(2) 网站的基本配置。
⚫ 设置网站选项。 在默认网站属性窗口中,选择【网站】选项卡,可以设置网站名字、IP 地址、端口号,也可以设置网站的 连接限制,以及启用日志记录并配置站点的日志记录格式。
⚫ 设置网站主目录。
① 在本地路径中可以设置主目录的路径名和访问权限。
② 一个网站对应服务器上的一个目录。
③ 建立 Web 站点时必须为每个站点指定一个主目录,可以是虚拟的子目录。
⚫ 设置默认的网站文档。 默认文档是指访问一个网站时打开的默认网页,这个网页通常是该网站的主页。如果没有启用默认文档或 网站的主页文件名不在默认文档列表中,则访问这个网站时需要在地址中指明文件名。 默认文档列表中最初只有 4 个文件名:Default.htm、Default.asp、index.htm 和 Default.aspx。
⚫ 设置目录安全选项。
① 设置 IIS 安全性功能以在授权访问受限制的内容之前确认用户的用户标识。
② 可以选择配置 3 种方法:身份验证和访问控制、IP 地址和域名限制、安全通信。
⚫ 设置性能选项。
① 该选项卡可以设置影响带宽使用的属性,以及客户端 Web 连接的数量。
② 设置可随着网络流量和使用情况的改变而进行调整。
③ 带宽限制选项限制了该网站可用的带宽。
④ 当发送数据包时,带宽限制使用数据包计划程序进行管理。
⑤ 当使用 IIS 管理器将站点配置成使用带宽限制时,系统将自动安装数据包计划程序,并且 IIS 自动将 带宽限制成最小值 1024bit/s。
⚫ 设置筛选器选项。 该选项卡中可以设置 ISAPI 筛选器选项。ISAPI 筛选器是在处理 HTTP 请求过程中响应事件的程序。可以列 出每个筛选器的状态(启动或禁用)、名称,以及加载到内存的优先级。
⚫ 设置自定义错误选项。 此选项卡可以自定义 HTTP 错误消息,当 Web 服务器发生错误时,将此错误消息发送给客户端。
⚫ 虚拟目录。 虚拟目录可以使一个网站不必把所有内容都放置在主目录内。
9.5.E-mail 概念及原理和相关配置
(1)工作原理
⚫ 发送方使用客户端软件(如 Outlook、Foxmail 等)创建新的邮件。
⚫ 客户端软件使用 SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)将该邮件发送到发送方 的邮件服务器。
⚫ 发送方的邮件服务器使用 SMTP 协议将邮件发送到接收方的邮件服务器。
⚫ 接收方的邮件服务器将收到的电子邮件存储在接收方用户的邮箱中。
⚫ 接收方的客户端通过 POP3/IMAP4 协议,从邮件服务器对邮件进行读取。
(2)E-mail 相关协议 电子邮件系统使用的协议主要有 SMTP、POP3 和 IMAP。
⚫ SMTP 用于发送电子邮件,它默认 TCP 端口为 25;
⚫ POP(Post Office Protocol),即邮局协议
① 用于电子邮件的接收,它使用 TCP 的 110 端口。
② 现在常用的是第三版,简称为 POP3。
③ 用户可以使用 POP3 协议访问并读取邮件服务器上的邮件信息。
⚫ IMAP(Internet Message Access Protocol),即交互式数据消息访问协议。
① 邮件客户端可以通过这种协议从邮件服务器上获取邮件信息、下载邮件等。
② IMAP 协议运行在 TCP/IP 协议之上,默认使用的 TCP 端口为 143,目前使用的是第四版,即 IMAP4。
③ 它与 POP3 协议的主要区别是用户不必把所有的邮件全部下载,可以通过客户端直接对服务器上的 邮件进行操作。
(3)E-mail 邮件服务器配置
⚫ 测试 E-mail 邮件服务器 完成邮件服务器配置后,可以使用常用的邮件客户端软件如 Outlook Express、 FoxMail 来进行收发邮件 测试。
(1) 客户端软件测试。 下面以 Outlook Express 为例:
① 增加邮件账户。
② 设置发件人名字。
③ 填写邮件地址。
④ 填写邮件服务器。
⑤ 填写账户名和密码。
⑥ 修改账户属性。
⑦ 设置身份验证。
⑧ 设置账户的高级属性。
⚫ Winmail 测试。 Winmail 系统支持收、发邮件功能,安装完成后可以用浏览器进行测试。登录 URL 地址是邮件服务器地址 加端口号。例如,http://192.168.113.171∶6080/。
9.6.FTP 主要参数和相关配置
(1)主要参数
⚫ 命名用户。 在创建命名用户时,一般都要设置密码。用户在登录服务器上传、下载文件时,首先需要输入正确的用户名 和密码。但是此类用户可以提供更多的访问权限。
⚫ 匿名用户。 在 Serv-U FTP 服务器中,对名为 anonymous 的用户自动识别为匿名用户,如果不设置密码且使用默认的端 口号 21,则网上的任何用户都可以使用该账户登录 FTP 服务器。但一般情况下,匿名用户只能下载文件。
⚫ 组。 为简化账户的权限管理,可以将大量的、具有相同访问权限的账户集中到一个组内。在 Serv-U FTP 服务器 中,可以在用户管理中创建用户组。对一个用户组赋予权限,就等同于给组内的每个账户赋予相同的权限。
⚫ 域。 在 Serv-U FTP 服务器中,可以创建多个虚拟服务器,每个虚拟的服务器也称作域,一个域是由 IP 地址和端 口号唯一识别。
(2)FTP 服务器配置
(1) 配置管理员密码。 初始状态下,并没有设置管理员密码
(2) 创建新域。
⚫ FTP 服务器默认的端口号是 21,若由于某种原因不能使用 21 端口,可在对话框中输入选定的端口号。
⚫ 如果域比较小,选择.INI 的文件存储。
⚫ 对于用户数大于 500 的大域,应选择注册表。
(3) 创建新用户。
⚫ 创建用户。
⚫ 创建匿名用户。 在创建用户时,在对话框的【用户名称】文本框中输入“anonymous”,则系统会自动判定为匿名用户,将 不会要求输入密码而直接要求输入主目录。
(4) 常用选项。
⚫ FTP 服务器的选项包括服务器选项、域选项、组选项和用户选项。
① 服务器选项适用于 FTP 服务器;
② 组选项适用于组内的用户;
③ 域选项仅适用于域内的用户;
④ 而用户选项仅适用于所选用户。
⚫ 服务器选项。
① 最大上传速度和最大下载速度。 这里的最大上传速度或最大下载速度是指整个 FTP 服务器占用的带宽。默认情况使用所有可用带宽。
② 最大用户数量。 最大用户数量是指同时在线的最大用户数。
③ 检查匿名用户密码。 若选择此项,使用匿名用户登录服务器时要用电子邮件地址作为登录密码。
④ 删除部分已上传的文件。 若选择此项,部分上传的文件会被服务器自动删除。
⑤ 禁用反超时调度。 如果选择此项,就会阻止 FTP 客户端的反超时机制。
⑥ 拦截“FTP_bounce”攻击和 FXP。 如果勾选此项,只允许在 FTP 客户端和服务器之间进行文件传输,而不允许在两个 FTP 服务器之间进 行文件传输,以防止“FTP_bounce”攻击。
⚫ 域选项。
① 常规选项。 在域常规选项卡中可以设置该域内的最大用户数量、最小密码长度、是否要求复杂密码等选项。
② 虚拟路径选项。 通过设置该选项,可以将物理目录映射为虚拟目录,虚拟目录建立完成后,并不是该域下的所有用户都能访 问,需要对用户的路径进行设置。
③ IP 访问选项。在此选项卡中可以添加拒绝访问和允许访问的 IP 地址,也可以针对每个用户进行具体设置。
④ 消息选项。 可以更改服务器的各种响应消息,设定用户登录时的消息文件,这些文件要事先创建并编辑。
⑤ 记录选项。 设置各种消息和记录是否显示在屏幕上、是否记录在域的日志文件中,还可以设置日志文件的命名方法及 创建规则。
⑥ 上传/下载率。 在该选项卡中,可以添加用户访问服务器时不计入上传/下载率的文件。
⚫ 用户选项。
① 用户账号选项。 设置该用户的账号选项。
② 用户常规选项。 设置该用户的常规选项,如最大用户数量、最大上传速度、最大下载速率等。
③ 用户目录访问选项。 在此选项卡中需要设置的访问权限有文件、目录和子目录 3 类。 其中,文件权限有如下几项设置。
a) 读取:对文件有“读”操作的权限,可以下载文件。
b) 写入:对文件有“写”操作的权限,可以下载文件。
c) 追加:对文件有“附加”操作的权限,可以进行断点续传。
d) 删除:对文件进行“改名”“移动”“删除”操作的权限。
e) 执行:可直接运行可执行文件的权限。
目录权限有如下几项设置。
a) 列表:具有目录查看权限。
b) 创建:具有创建目录的权限。
c) 移除:具有对目录进行移除的权限。 子目录权限设置是对当前目录的子目录进行设置,该选项指明子目录是否继承当前目录的权限。
④ 用户 IP 访问选项。 用户 IP 访问选项和域选项中的 IP 访问选项是一样的,但是它们的作用范围不同。
⑤ 用户上传/下载率。 上传/下载率选项要求 FTP 客户端在下载信息的同时也要上传文件。
⑥ 用户配额选项。 在该选项卡中可以限制用户上传信息占用的存储空间。
⚫ 组选项。 组选项中的目录访问选项和 IP 访问选项的设置,与用户选项中这两个选项的设置相同,但是组选项中的设 置会应用到组内所有用户上。
(5) 查看用户活动信息。
(6) 测试 FTP 服务器
⚫ 在IE浏览器地址栏中输入FTP服务器的IP地址。如:在浏览器地址栏中输入“ftp://192.168.8.19/”。
⚫ 使用命令行命令访问 FTP 服务器。如:在命令行窗口中,使用【ftp ftp.123.com】命令即可连接到 FTP 服务器并进行操作(注:ftp.123.com 已经加入 DNS 服务器的资源记录中。)
10.1.密钥加密算法
⚫ 对称密钥加密算法
① 常见的对称密钥加密算法:DES,IDEA、如 RC2 算法、RC4 算法、Skipjack 算法等。
② 需要密钥个数:N*(N-1)
⚫ 非对称加密算法(公钥加密)
① 常见的公钥算法:RSA 算法、DSA 算法、ECC 椭圆曲线算法、PKCS 算法与 PGP 算法等。
② 需要密钥个数:2N
10.2.冗余磁盘阵列(RAID)
⚫ RAID 磁盘阵列需要有磁盘阵列控制器,有些服务器主板中就自带有这个 RAID 控制器,提供了相应的接 口。有些服务器主板上没有该控制器,在配置 RAID 时,必须外加一个 RAID 卡(阵列卡)插入服务器的 PCI 插槽中,使 IDE 磁盘也支持 RAID 技术。
⚫ 同时随着 SATA 接口技术的成熟,基于 SATA 接口的 RAID 阵列卡也非常多。
⚫ RAID1 是需要通过磁盘数据镜像实现数据冗余,而 RAID5 可以在所有磁盘上交叉地存取数据及奇偶校验 信息,相比较而言 RAID5 可靠性优于 RAID1。RAID 控制器的磁盘接口有 SCSI 接口、IDE 接口、SATA 接 口。
⚫ 目前,RAID 部署方式有 RAID0~7,也可以是几种独立方式的组合。例如,RAID10 就是 RAID0 和 RAID1 的组合。
10.3.Cisco PIX 525 防火墙
(1)访问管理模式
⚫ 非特权模式 PIX 防火墙开机自检后,就是处于这种模式。系统显示为“pixfirewall>”。
⚫ 特权模式 输入“enable”进入特权模式,可以改变当前配置。显示为“pixfirewall#”。
⚫ 配置模式 输入“ configure terminal” 进入此模式,绝大部分的系统配置都在这里进行。显示为 “pixfirewall(config)#”。
⚫ 监视模式 在 PIX 防火墙在开机或重启过程中,按住 Escape 键或发送一个“Break”字符,即可进入监视模式, 这里可以更新操作系统映象和进行口令恢复。显示为“monitor>”。
(2)基本配置 PIX 防火墙有 6 个基本配置命令:nameif、interface、ip address、nat、global、route。
⚫ Nameif 用于配置防火墙接口的名字,并指定安全级别。 Pix525(config)#nameif ethernet0 outside security 0 Pix525(config)#nameif ethernet1 inside security 100 Pix525(config)#nameif dmz security 50 在默认配置中,以太网 0 端口被命名为外部接口(outside),安全级别是 0;以太网 1 端口被命名为内部接 口(inside),安全级别是 100。安全级别取值范围为 1~99,数字越大,安全级别越高。
⚫ Interface 配置以太网接口工作状态,常用的状态有 auto、100full、shutdown 等。 auto 选项表明接口采用自动协商模式;100full 选项表示 100Mbit/s 以太网全双工通信。
⚫ ip address:配置内外网卡的 IP 地址
⚫ nat:指定要进行转换的内部地址 NAT 网络地址翻译的作用是将内网的私有 IP 转换为外网的公有 IP。nat 命令总是与 global 命令一起使用, 这是因为 nat 命令可以指定一台主机或一段范围的主机访问外网,而访问外网时需要利用 global 所指定的 地址池。
⚫ global:指定外部地址范围 global 命令可把内网的 IP 地址翻译成外网的 IP 地址或一段地址范围。
⚫ route:设置指向内网和外网的静态路由,route 命令可以定义一条静态路由。 (3)高级配置
⚫ static 配置静态 IP 地址翻译,static 命令用于创建内部 IP 地址和外部 IP 地址之间的静态映射。
⚫ conduit(管道命令) 允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口。 命令:conduit permit | deny global_ip port[port] protocol foreign_ip [netmask]。 其中: permit | deny 表示允许 | 拒绝访问; global_ip 指的是先前由 global 或 static 命令定义的全局 ip 地址,如果 global_ip 为 0,就用 any 代替 0;如果 global_ip 是一台主机,就用 host 命令参数; port 指的是服务所作用的端口;protocol 指的是连接协议; foreign_ip 表示可访问 global_ip 的外部 ip。 对于任意主机,可以用 any 表示。如果 foreign_ip 是一台主机,就用 host 命令参数。
⚫ fixup(配置 FIXUP 协议) fixup 命令的作用是启用、禁止、改变一个服务或协议通过 PIX 防火墙的端口,由 fixup 命令指定的端口是 PIX 防火墙要侦听的服务。
⚫ telnet 当从外部接口 telnet 到 PIX 防火墙时,telnet 数据流需要用 IPSec 提供保护。
10.4.入侵检测系统的分类 根据数据来源和系统结构的不同,入侵检测系统可以分为基于主机的入侵检测系统和基于网络的入侵检测系统。
⚫ 基于主机的入侵检测系统(HIDS)
⚫ 基于网络的入侵检测系统(NIDS) 基于网络的入侵检测系统采用的基本识别技术包括:模式匹配、频率或阈值比较、事件的相关性、统计意义上的非正常现象检测。
10.5.分布式入侵检测系统分类 分布式入侵检测系统有层次式、协作式和对等式 3 种类型。其中,对等式模型的应用使得分布式入侵检测系 统真正避免了单点故障的发生。
10.6.入侵检测系统探测器的部署方法 通常情况下,探测器在网络中有如下 3 种部署方式。
⚫ 将探测器直接连接到交换机的某个端口(监控端口)上,然后通过交换机镜像(mirror/span)功能, 将流经交换机所有其他端口的数据包全部复制到监控端口,入侵检测探测器从监控端口即可获取所有 流经交换机的数据包并进行分析处理。
⚫ 入侵检测探测器通过一个 TAP(分路器)设备对交换式网络中的数据包进行获取、分析、处理。
⚫ 在网络中增加一台集线器改变网络拓扑结构,通过集线器获取数据包。
10.7.入侵防护系统的主要分类 入侵防护系统主要分为基于主机的入侵防护系统、基于网络的入侵防护系统和应用入侵防护系统。
⚫ 基于主机的入侵防护系统(HIPS)
① 安装在受保护的主机系统中,检测并阻挡针对本机的威胁和攻击。
② 他与操作系统内核紧密的结合在一起,监事内核的系统调用、阻挡攻击、并记录日志。
③ HIPS 可以阻断缓冲区溢出、改变登录口令、改写动态链接库或其他试图从操作系统夺取控制权的入侵 行为,整体提升主机的安全水平(如:拒绝服务攻击)。
⚫ 基于网络的入侵防护系统(NIPS)
① 布置在网络出口处,一般串联于防火墙与路由器之间,网络进出的数据流都必须经过 NIDS。
② 主要进行包过滤保护,如丢弃含有攻击性的数据包(如:病毒)或者阻断连接。
③ 攻击的误报将导致合法的通信被阻断,导致拒绝服务,而性能不足会带来合法通信的延迟,甚至成为网络的瓶颈。
⚫ 应用入侵防护系统(AIPS) 一般部署于应用服务器前端,将基于主机和入侵防护系统功能延伸到服务器之前的高性能网络设备上。 应用入侵防护系统能够防止诸多入侵,包括 SQL 代码嵌入、缓冲区溢出、畸形数据包、cookie 篡改、参数 篡改、强制浏览、数据类型不匹配以及其他已知漏洞攻击。
10.8.网络安全评估内容
⚫ 网络安全风险评估系统是一种集网络安全检测、风险评估、修复、统计分析和网络安全风险集控制管理 功能于一体的网络安全设备。
⚫ 网络安全评估是提高网络系统安全强度的一种服务。网络安全评估包括漏洞检测、修复建议和整体建议等几个方面。
⚫ 网络安全评估分析技术常被用来进行穿透试验和安全审计。
10.9.五种备份方式
① 正常备份。复制所有选中的文件,并且备份后标记每个文件。使用正常备份,只需要最近备份的文件或 磁带的副本来还原原有文件。第一次创建备份集时,需要使用正常备份。
② 增量备份。只备份上次正常备份或增量备份后创建或改变的文件。备份后标记文件。如果使用正常备份 和增量备份的组合,需要具有最近一次的正常备份和其后所有的增量备份集,才能还原数据。
③ 差异备份。从上次正常备份或增量备份后,创建或修改的所有文件都要备份。备份后不标记为已备份文 件。如果执行了正常备份和差异备份的组合,还原文件只要求执行上一次正常备份和最近一次的差异备 份。
④ 每日备份。复制执行每日备份的当天修改的所有选中的文件。已备份文件在备份后不做标记。
⑤ 副本备份。复制所有选中的文件,但不将这些文件标记为已经备份(即不清除存档属性)。 备份策略 完全备份 增量备份 差异备份 空间使用 最多 最少 少于完全备份 备份速度 最慢 最快 快于完全备份 恢复速度 最快 最慢 快于增量备份
10.10.网络版防病毒
(1)系统结构 整个防病毒体系由以下 4 个相互关联的子系统组成:系统中心、服务器端、客户端、管理控制台。
⚫ 系统中心 实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息,同时根据管理控制台的设置,实现对整 个防护系统的自动控制。
⚫ 服务器端/客户端 是分别针对网络服务器/工作站(客户机)设计的,承担着对当前服务器/工作站上病毒的实时监控、检测和 清除,自动向系统中心报告病毒监测情况,以及自动进行升级的任务。
⚫ 管理控制台 是为网络管理员专门设计的,是对整个网络防病毒系统设置、管理和控制的操作平台,既可以安装在服务器 端也可以安装在客户端。
(2)系统安装 包括系统中心的安装、服务器端安装、客户端安装和管理控制台安装。
⚫ 安装系统中心的计算机应具有全天候开机和可以实时方便地连接网络的特点。
⚫ 服务器端和客户端的安装。 对于绝大多数网络版防病毒系统,服务器端和客户端都可以采用本地安装、远程安装、Web 安装和脚本安装 这几种方式进行安装。
① 本地安装 即直接利用安装程序在本地完成安装的方法。无论是客户端和服务器端都可以采用本地安装方式安装。
② 远程安装 通过管理员控制台,可以给指定的系统客户端执行远程安装的操作。
③ Web 安装 可以将防病毒系统的安装包发布到企业的内部网(Intranet)中,客户端用户可通过浏览指定位置的网页来 实现网络版的安装。
④ 脚本安装 很多网络版防病毒系统能够自动识别域服务器,并为域服务器配置登录脚本。
⚫ 控制台安装 控制台的安装有通过光盘安装和远程安装两种方式。
(3)升级设置
⚫ 从网站升级。系统中心直接通过 Internet 从其官方网站上获取升级文件。
⚫ 从上级中心升级。下级中心从上级中心获取升级文件。
⚫ 手动升级。从防病毒系统的官方网站下载升级包,将其复制到系统中心服务器上手动进行安装。
10.11.可信计算机系统评估准则(TESEC) 美国国防部公布了《可信计算机系统评估准则》TCSEC,将计算机系统的安全可信度从低到高分为 D、C、B、 A 四类共七个级别:D 级,C1 级,C2 级,B1 级,B2 级,B3 级,A1 级。
⚫ (最小保护)D 级:该级的计算机系统除了物理上的安全设施外没有任何安全措施,任何人只要启动系 统就可以访问系统的资源和数据,如 DOS,Windows 的低版本和 DBASE 均是这一类(指不符合安全要求 的系统,不能在多用户环境中处理敏感信息)。
⚫ (自主保护类)C1 级:具有自主访问控制机制、用户登录时需要进行身份鉴别。
⚫ (自主保护类)C2 级:具有审计和验证机制((对 TCB)可信计算机基进行建立和维护操作,防止外部 人员修改)。如多用户的 UNIX 和 ORACLE 等系统大多具有 C 类的安全设施。
⚫ (强制安全保护类)B1 级:引入强制访问控制机制,能够对主体和客体的安全标记进行管理。
⚫ B2 级:具有形式化的安全模型,着重强凋实际评价的手段,能够埘隐通道进行限制。(主要是对存储隐 通道)
⚫ B3 级:具有硬件支持的安全域分离措施,从而保证安全域中软件和硬件的完整性,提供可信通道。对 时间隐通道的限制。
⚫ A1 级:要求对安全模型作形式化的证明,对隐通道作形式化的分析,有可靠的发行安装过程。(其安全 功能,依次后面包含前面的)
⚫ 因此用户能定义访问控制要求的自主保护类型系统属于 C 类。因此 C 选项正确。
10.12.UTM(Unified Threat Management,统一威胁管理)
① 主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。
② UTM 设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。
11.1.网络管理模型(SNMP)
(1)SNMP 的基本概念
⚫ SNMP 是用于传输管理信息的传输协议,只在 TCP/IP 协议层上进行定义,并基于 UDP 传输。
⚫ MIB-2 库中计数器类型的值只能增加,不能减少;而计量器类型的值可以增加也可以减少。
⚫ SNMP 管理模型中,Manager 通过 SNMF 定义的 PDU 向 Agent 发出请求,而 Agent 将得到 MIB 值通过 SNMP 协议传给 Manager。
⚫ 标识符(OID)是用于对网络硬件进行唯一的标识,其中 1.3.6.1.4.1.9 开头的 OID 表示 Cisco。
⚫ SNMP 的体系结构包括 SNMP 管理站、SNMP 代理、管理信息库(MIB),其管理模型是一个管理/代理模式, 它的这种管理模型类似于客户/服务器模型。
⚫ 从被管代理设备中收集数据有两种方法:轮询方法和基于中断的方法。
⚫ SNMP 定义了管理进程和代理进程之间的关系,这个关系称为团体(community)。
⚫ 一个团体包括一个代理和若干个管理控制该代理的管理站,它们之间发送、接收报文时必须以团体名进 行认证,只有团体名正确、认证通过,报文才能被接收。
⚫ 管理信息报文中包括两部分内容:
①团体名和发送方的一些附加信息;
②数据,即两个管理应用实体之 间真正需要交换的信息。
(2)SNMP 支持的操作 SNMP 支持的操作主要有:获取(get)、设置(set)、通知(notification),每种操作都有相应的 PDU 格式。
⚫ Get 操作
① 用于管理站向代理查询被管设备上的 MIB 库数据。
② 分为 get 和 getnext 两个操作,分别查询指定对象的值和查询指定对象的下一个相邻对象的值。
③ 当管理站需要查询时,向某个代理发出包含有“团体名”和 GetRequestPDU(GetNextRequestPDU) 的报文。
④ 在这个请求报文中,还包含“请求标识”(一个顺序号)和“变量绑定表”。变量绑定表是指对 象的标识符及其相应的值。在发送查询请求时,变量绑定表的值为空。
⑤ 代理收到查询请求报文后,根据要求提取 MIB 库数据,构成一个包含同样“团体名“和 GetResponsePDU 的报文,发给管理站。
⚫ Set 操作
① 用于管理站命令代理对被管设备上 MIB 库中的对象值进行设置。
② 当管理站需要修改被管设备上 MIB 库的某个数据时,就向某个代理发出包含有“团体名”和 SetRequestPDU 的报文。
③ 请求 PDU 的内容:“请求标识”(一个顺序号)和“变量绑定表”,就是指定某个对象标识符及 其要设定的新值。
④ 代理收到这样请求报文后,就好执行设置操作并返回包含有 GetResponsePDU 的报文。
⑤ 只有在团体字的访问模式是 read-write 的条件下才能实现 set 操作。
⚫ Notification 操作,用于代理主动向管理站报告被管理对象的某些变化。该操作又可以分为自陷(Trap) 和通知(Inform)两类。其中:
① Trap:又称为“中断”。SNMP 规定,在冷启动、热启动、链路失效、链路启动等 6 种情况下,设 备可以发出 Trap 信息。有些设备厂家还自定义了一些针对该种设备的特殊自陷情况。在发生 Trap 时,代理会向管理站发出一个包含有“团体名”和 TrapPDU 的报文。
② Inform:与 Trap 不同的是,当管理站收到一条 Inform 通知后需要向发送者回复一条确认信息。 当发送者没有收到期望的应答时,它将再次发送 inform 通知给管理站,以确保把通知发送到期 望的管理站。Inform 通知会耗用网络和设备资源,因此不常使用。
(3)网络设备的 SNMP 配置 创建或修改对 SNMP 团体名的访问控制 指定一个团体名,用于同一团体内的管理站和代理之间进行通信认证。此命令在全局模式下执行。 格式:router(config)#snmp-server community community-name [view view-name ][{ro|rw}][accesslist] 参数说明: Community-name:指定设备要加入的团体名,代理和管理站配置的团体名要相同,否则管理站和代理之间无 法进行正常通信。 View-name:此前已经建立的视阈名,规定了本团体内访问管理信息库的范围。 ro|rw:用来设置管理站对代理的操作权限,ro 为只读,rw 为可读可写。 access-list:是一个介于 1-99 的整数,代表一个标准的访问控制列表。
(1) 创建或修改一个 SNMP 视阈 此命令在全局模式下执行 格式:(config)#snmp-server view {included |excluded} 参数说明: 视阈名:管理人员指定的一个字符串。 对象标识符或子树:是在这个视阈中包含(included)或排除(excluded)的 MIB 库对象的标识符。
(2) 设置路由器上的 SNMP 代理,使之具有发出通知的功能 此命令在全局模式下执行。 格式:(config)#snmp-server enable traps [][] 参数说明:通知类型和通知选项是对在什么情况下发出通知的规定。
(3) 在某个接口配置模式下,指定当该接口断开或连接时要向管理站发出通知 格式:(if-config) #snmp trap link-status
(4) 设置接收通知的管理站 此命令在全局配置模式下执行,用于设置由网络中的哪台主机作为接收自陷消息的管理站。 格式:(config)#snmp-server host[traps 丨 informs][version {1 丨 2c}] [udp-port][] 参数说明: traps 或 informs:用于指定向这台主机是发送自陷还是发送通知(缺省为发送自陷)。 version 1 或 2c:用于指定是按照哪个版本的 SNMP 发送。 udp-port:用于指定这台主机使用哪个 UDP 端口号接收通知(缺省为 162)。
11.2.常见的网络管理命令如下
⚫ ipconfig 命令:显示 TCP/IP 网络配置信息。
⚫ hostname 命令:显示当前主机名。
⚫ ARP 命令:显示、删除、修改 ARP 条目信息。
① s:添加一个 ARP 表项,将其 IP 地址(inet_addr)与 MAC 地址(eth_addr)关联。
② -d:删除 inet_addr 指定的 ARP 表项。
③ -a:显示当前的 ARP 表项。
⚫ NBTSTAT 命令:显示本机与远程计算机基于 TCP/IP 的 NetBIOS 统计以及连接信息。
① -a:列出指定名称的远程计算机的名称表。
② -A:列出指定 IP 地址的远程计算机的名称表。
③ -c:列出远程 NetBIOS 名称缓存及其对应 IP 地址。
④ -n:列出本地 NetBIOS 名称。
⑤ -r:列出通过广播和 WINS 解析的名称。
⑥ S:列出会话及其目的 IP 地址。
⚫ NET 命令:管理网络环境、服务、用户、登录等本地信息。
① NET VIEW:显示域列表、计算机列表或指定计算机上共享资源的列表。
② NET USER:显示、创建或修改计算机上的用户账户。
③ NET USE:显示、建立或取消计算机与共享资源的连接。
④ NET START:显示或启动正在运行的服务。
⑤ NET PAUSE:挂起一个 Windows 服务或资源。
⑥ NET CONTINUE:重新激活一个被 NET PAUSE 命令挂起的 Windows 服务。
⑦ NET STOP :终止 Windows 服务。
⑧ NET STATISTICS:显示本地工作站或服务器服务的统计日志。
⑨ NET SHARE:显示、建立或取消共享资源。
⑩ NET SESSION:显示或中断本地服务器与其他计算机之间的会话。
⑪ NET CONFIG:显示工作站或服务器服务的配置信息。
⚫ NETSTAT 命令:显示活动的 TCP 连接、侦听的端口、以太网统计信息、IP 路由表和 IP 统计信息。 常用参数说明:
① -a:显示所有连接和侦听端口。
② -e:显示以太网统计信息。
③ -p:显示指定协议的连接。
④ -r:显示路由表内容。
⑤ -s:显示协议统计信息。
⚫ ping 命令:通过发送 ICMP 报文,监听回应报文,来检查与远程或本地计算机的连接。默认发送 4 个 ICMP 报文,每个报文包含 64 字节数据。 常用参数说明如下。
① -t:检査与指定计算机的连接,直至用户中断本次操作。
② -a:将 IP 地址解析为主机名。
③ -n count:按照 count 指定的数量发送报文。
④ -isize:按照 size 指定的长度发送报文。
⑤ -f:在报文中发送“不分段”标志,以保证数据包不被路由器分段。
⑥ -w timeout:按照 timeout 给出的毫秒数设定等待应答的时间。
⚫ tracert 命令:通过发送包含不同 TTL 的 ICMP 报文并监听回应报文,来检测到达目的计算机的路径。
⚫ Route 命令:显示或修改本地 IP 路由表条目信息。
⚫ Nslookup(域名查询)是一个用于查询 Internet 域名信息或诊断 DNS 服务器问题的工具。
⚫ Pathping 结合了 ping 和 tracert 命令的功能,将报文发送到所经过地所有路由器,并根据每跳返回的报文进行统计。
11.3.漏洞库 CVE 及漏洞攻击 CVE(Common Vulnerabilities & Exposures,公共漏洞和暴露)是个行业标准,它为每个漏洞和暴露确定 了唯一的名称和标准化描述,可以成为评价相应入侵检测和漏洞扫描等工具产品和数据库的基准。 漏洞攻击指黑客利用网络系统的漏洞,利用针对该漏洞的工具进行入侵、攻击的行为。比较典型的漏洞入侵 有:SQL 注入入侵、跨站脚本入侵、unicode 漏洞入侵等。
11.4.口令入侵 口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。实施口令入侵的前 提是获取该主机上的某个合法用户账号,并成功破译用户口令。
⚫ 弱口令扫描:攻击者通过扫描大量主机,从中找出一两个存在弱口令的主机。
⚫ 暴力破解:尝试所有字符、数字的组合方式。
⚫ 网络嗅探:通过嗅探器软件监听网络中的数据包来获得密码。
⚫ 混合攻击:结合字典攻击和暴力攻击,先字典攻击,再暴力攻击。
⚫ 其他攻击方式:中间人攻击、重放攻击、生日攻击、时间攻击。
11.5.拒绝服务攻击(Denial of Service, DoS) 攻击者通过发送大量合法的请求或数据来占用和消耗过多的服务资源,使得网络服务不能响应正常的请求。 常见的 DoS 攻击:
① 死亡之 Ping(Ping of Death) 死亡之 Ping 是通过构造出重组缓冲区大小的异常的 ICMP 包进行攻击。
② SYN 洪泛滥(SYN Flooding) SYN 洪泛滥是利用 TCP 连接的三次握手过程进行攻击。攻击者主机使用无效的 IP 地址,与被攻击主机进行 TCP 的三次握手。在完成第二步后,被攻击主机就会处于开放会话的请求之中,但会话并未真正完成。被攻 击主机必须等待连接超时,之后才能清除未完成的会话。在此期间,被攻击主机将会连续接收这种会话请 求,最终因耗尽资源而停止响应。
③ Smurf 攻击。 Smurf 攻击是指攻击者在远程机器上发送 ICMP 应答请求服务,其目的主机是某个网络的广播地址,其请求 包的源 IP 不是发起攻击的 IP 地址,而是将要攻击的主机的 IP 地址,网络中的大量主机收到 ICMP 应答请 求服务包后,按源 IP 回复请求信息,从而导致受攻击主机的性能下降,甚至崩溃。
④ 分布式拒绝服务攻击(Distributed Denial of Service,DDoS) DDoS 指通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成受害主机无法处理而拒绝服务。
⑤ Teardrop 攻击 Teardrop 攻击指利用 OS 处理分片重叠报文的漏洞进行攻击。
⑥ Land 攻击 Land 攻击指向某个设备发送数据包,并将数据报的源 IP 地址和目的 IP 地址都设置成攻击目标的地址。
11.6.协议欺骗攻击 协议欺骗攻击是指针对网络协议的缺陷,采取某种欺骗手段,假冒身份来获取信息或取得特权的攻击方式。 常见的协议欺骗攻击:
⚫ ARP 欺骗攻击。利用 ARP 协议漏洞,通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗的攻击技术。
⚫ IP 欺骗攻击。通过伪造某台主机的 IP 地址来骗取特权,进行攻击。
⚫ DNS 欺骗攻击。攻击者通过种种欺骗手段,使用户查询(DNS)服务器进行域名解析时获得一个错误的 IP 地址,从而引导用户访问一个错误的站点。
11.7.漏洞扫描工具
⚫ 漏洞扫描分为被动扫描和主动扫描。
⚫ 被动扫描对网络上流量进行分析,不产生额外的流量,不会导致系统的崩溃,其工作方式类似于 IDS;
⚫ 主动扫描则带有一种入侵的意味,肯能会影响网络系统的正常运行。
⚫ 常见的有 ISS、X-Scanner、MBSA、Metasploit Framework、Core Impact、Canvas 等。
⚫ ISS 扫描器 ISS SafeSuite 套件系列包括互联网扫描器(Internet Scanner)、系统扫描器 (System Scanner)和数据库 扫描器(Database Scanner)。
① 互联网扫描器 网络扫描器对网络中所有附属设备,进行自动的安全漏洞扫描,检查它们的弱点,将风险分为高、中、低三 个等级,并生成报告。
② 系统扫描器 是一个基于主机的漏洞扫描系统。依附于主机上的扫描器代理侦测主机内部的漏洞。时间策略是定时操作, 扫描对象是操作系统。
③ 数据库扫描器 数据库扫描器是针对数据库管理系统风险的评估检测工具。
⚫ MBSA MBSA 会对一个或多个系统进行扫描,并返回一个有关安全修补程序缺少、密码脆弱、Internet Explorer 和 Outlook Express 安全设置以及 Office 宏保护设置等方面的报告。
⚫ X-Scanner
① X-Scanner 运行在 Windows 平台上,主要针对 Windows NT、Windows XP 和 Windows 2000 操作系统的安 全进行全面细致的评估。
② X-Scanner 采用多线程方式对指定 IP 地址段(或单机)进行安全漏洞扫描。
11.8.互联网控制报文协议 ICMP
(1)ICMP 的基本概念
⚫ ICMP 是(Internet Control Message Protocol)Internet 控制报文协议。
⚫ 它是 TCP/IP 协议族的一个子协议,属于网络层协议,用于在 IP 主机、路由器之间传递控制消息和差 错报告。
⚫ ICMP 唯一的功能是报告问题,纠正错误的任务由发送方完成。
⚫ ICMP 消息被封装在 IP 数据包内,通过 IP 包传送的 ICMP 信息主要是涉及错误操作的报告和回送给源节 点的关于 IP 数据包处理情况的消息。
⚫ 使用面向连接的传输
(2)ICMP 消息类型
(3)ICMP 的主要功能
⚫ 通告网络错误 当数据包在传输过程中,如果出现网络错误,相关路由器或主机上的 ICMP 会向源节点发送一个“目标 不可达(destination unreachable)”的 ICMP 报文。
⚫ 通告网络拥塞 当路由器或目标主机因缓存满来不及处理而丢弃 IP 数据包时,它会向发送数据包的源节点发出一个 “源抑制”的 ICMP 报文。源节点收到这个报文后会降低发送速度。
⚫ 协助查找网络故障 ICMP 支持 Echo(回送)功能,在两个主机之间发送一个往返的数据包。当网络中一个节点主动向另一 个节点发出“Echo 请求”报文,其中包含着这个报文的标识和序列号,收到该报文的节点则必须向源 节点发出“Echo 应答”报文。
⚫ 通告超时 每个 IP 数据包的包头部分有一个 8 比特的“生存期”(TTL)字段,取值范围是 0-255。IP 数据包在 传输过程中,每经过一个路由器,该字段的值便减 1。一个 IP 数据包从源节点出发时,它的 TTL 已被 预先设定一个数值,在传输过程中,如果该 IP 包的 TTL 降低到零,路由器就会丢弃此包,这时会生成 一个“超时”(time exceeded)的 ICMP 报文,通告这一事实。
⚫ 路由重定向 当一台主机向自己的默认网关路由器发送一个需要转发的数据包时,如果路由器查找路由表发现有更 好的路由,就会向源主机发出“重定向”的 ICMP 报文。
⚫ 检查 IP 协议的错误 当路由器或其他主机收到一个 IP 包,发现它的包头中字段的值不正确,就会向源主机发送“参数错误” 的 ICMP 报文。
⚫ 测量指定路径上的通信延迟 ICMP 时间戳消息的使用方法与 Echo 消息非常相似。不同的是,其“请求”“响应”消息均带有时间 戳。
⚫ 获取子网掩码 一台主机可以发出一个包含“掩码请求”报文的广播包,默认网关路由器上的 ICMP 会向源主机发出一 个“掩码应答”报文,把子网掩码通知它。
11.9.网络数据监听工具(嗅探器软件) 常用的有 Wireshark、Sniffer Pro、Ethereal、TCPdump 等。
11.10.查找和排除故障 计算机无法正常访问邮件服务器的可能原因有:
⚫ 该计算机网卡安装、网线连接有问题;
⚫ 该计算机的 IP 地址和子网掩码配置错误;
⚫ 该计算机的 TCP/IP 协议工作不正常;
⚫ 该计算机网关设置错误;
⚫ 该计算机访问邮件服务器网络通道上的交换机、路由器有问题;
⚫ 该计算机访问请求无法到达邮件服务器。