版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
網(wǎng)絡(luò)工程師總結(jié)1、(1)、HFC的基本結(jié)構(gòu):電視頭端(接受各種信源的電視頻道)、長(zhǎng)距離干線(xiàn)(高質(zhì)量的同軸電纜)、放大器、饋線(xiàn)與下引線(xiàn)(普通的CATV同軸電纜)組成。傳統(tǒng)有線(xiàn)電視網(wǎng)絡(luò)重的放大器是單向地從頭端傳輸?shù)接脩?hù)的模擬信號(hào)。經(jīng)雙向傳輸改造,雙向傳輸服務(wù)成為也許。光纖結(jié)點(diǎn)通過(guò)同軸電纜下引線(xiàn)可認(rèn)為500-2023個(gè)用戶(hù)服務(wù)。HFC改善了信號(hào)質(zhì)量,提高了傳輸?shù)目煽啃?,線(xiàn)路可以使用的帶寬甚至高達(dá)1GHz電話(huà)撥號(hào)上網(wǎng)的速率一般是36.6-56.6kbps;本地電話(huà)公司提供的ISDN的速率是128Kbps;使用ADSL專(zhuān)線(xiàn)上網(wǎng)的速率是1.8Mbps,傳輸距離不超過(guò)5km,使用CableModem,通過(guò)有線(xiàn)電視寬帶接入Internet的,數(shù)據(jù)傳輸速率可達(dá)10-36Mbps有線(xiàn)電視網(wǎng)絡(luò)重要的優(yōu)點(diǎn)是頻帶寬、速度快,重要的缺陷是存在回傳信道干擾,多用戶(hù)對(duì)有限帶寬的爭(zhēng)用影響接入速率、建設(shè)和雙向改造的造價(jià)高。(2)、電纜調(diào)制解調(diào)器CableModem的分類(lèi):電纜調(diào)制解調(diào)器CableModem是一種專(zhuān)門(mén)運(yùn)用有線(xiàn)電視網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸設(shè)計(jì)的,它把計(jì)算機(jī)與有線(xiàn)電視同軸電纜連接起來(lái),運(yùn)用頻分復(fù)用的方法將雙向信道分為上行信道(帶寬為200Kbps-10M)和下行信道(帶寬最高可達(dá)36Mbps)。分類(lèi):從傳輸方式上分為雙向?qū)ΨQ(chēng)式和非對(duì)稱(chēng)式,對(duì)稱(chēng)式速率為2-4Mbps,最高為10Mbps,非對(duì)稱(chēng)式速率為下行30Mbps,上行為500kbps-2.56Mbps.從數(shù)據(jù)傳輸方向上可以分為雙向和單向。從同步方式上可以分為同步和異步互換兩類(lèi)。同步類(lèi)似于Ethernet網(wǎng),異步互換類(lèi)似于ATM技術(shù)。從接入的角度可以分為個(gè)人CableModem和寬帶多用戶(hù)CableModem(具有網(wǎng)橋功能,可以將一個(gè)計(jì)算機(jī)局域網(wǎng)接入)。從接口的角度分為外置式(缺:通過(guò)網(wǎng)卡連接計(jì)算機(jī))、內(nèi)置式和交互式機(jī)頂盒三種。2.802.11定義了使用紅外、調(diào)頻擴(kuò)頻、直接序列擴(kuò)頻技術(shù),傳輸速率為1或2Mbps的無(wú)線(xiàn)局域網(wǎng)標(biāo)準(zhǔn)。802.11b定義了使用直序擴(kuò)頻技術(shù),傳輸速率為1Mbps、2Mbps、5.5Mbps、11Mbps的無(wú)線(xiàn)局域網(wǎng)標(biāo)準(zhǔn)。802.11a將傳輸速率提高到了54Mbps.802.11定義了物理層和媒體訪(fǎng)問(wèn)控制MAC協(xié)議的規(guī)范802.11定義了兩種類(lèi)型的設(shè)備:無(wú)線(xiàn)結(jié)點(diǎn)(由一臺(tái)接入設(shè)備上加一塊無(wú)線(xiàn)接口卡構(gòu)成)和無(wú)線(xiàn)接入點(diǎn)(作用是提供無(wú)線(xiàn)和有線(xiàn)網(wǎng)絡(luò)之間的橋接,由一個(gè)無(wú)線(xiàn)輸出口和一個(gè)有線(xiàn)的網(wǎng)絡(luò)接口(802.3接口)構(gòu)成,橋接軟件符合802.1d協(xié)議)。802.11最初定義的三個(gè)物理層包含了兩個(gè)擴(kuò)頻技術(shù)和一個(gè)紅外傳播規(guī)范,無(wú)線(xiàn)傳輸?shù)念l率定義在2.4G的ISM波段內(nèi),這個(gè)頻段屬于非注冊(cè)使用頻段。擴(kuò)頻技術(shù)保證了802.11的設(shè)備在這個(gè)頻段上的可用性和高可靠性的吞吐量,可以保證同其他使用同一頻段的設(shè)備互相不影響。802.11標(biāo)準(zhǔn)定義的傳輸速率為1Mbps 和2Mbps,可以使用FHSS(調(diào)頻擴(kuò)頻和)DSSS(直序擴(kuò)頻)技術(shù),兩者在運(yùn)營(yíng)機(jī)制上完全不同,使用這兩種技術(shù)的設(shè)備沒(méi)有互操作性。802.11無(wú)線(xiàn)局域網(wǎng)協(xié)議中,沖突檢測(cè)存在“Near/Far”(檢測(cè)沖突)現(xiàn)象,所以采用了新的協(xié)議CSMA/CA或者DCF(分布式協(xié)調(diào)功能),運(yùn)用ACK信號(hào)來(lái)避免沖突。(只有當(dāng)客戶(hù)端受到網(wǎng)絡(luò)上返回的ACK信號(hào)以后才干確認(rèn)發(fā)送的數(shù)據(jù)已經(jīng)對(duì)的的到達(dá)目的)。此外一個(gè)MAC層的問(wèn)題是“hiddennode”問(wèn)題,為此802.11引入了一個(gè)Send/Cleartosend(RTS/CTS)選項(xiàng)。在802.11協(xié)議中,每一個(gè)在無(wú)線(xiàn)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)報(bào)都被附加上了校驗(yàn)位以保證他在傳輸中不會(huì)出現(xiàn)錯(cuò)誤。802.11還具有分片的功能。802.11b運(yùn)作模式分為點(diǎn)對(duì)點(diǎn)模式(最多可連接256臺(tái)主機(jī))和基本模式(無(wú)線(xiàn)網(wǎng)絡(luò)擴(kuò)充和有線(xiàn)網(wǎng)絡(luò)并存時(shí),插上無(wú)線(xiàn)網(wǎng)卡的PC通過(guò)接入點(diǎn)與另一臺(tái)PC相連,一個(gè)接入點(diǎn)最多可連接1024臺(tái)PC)。802.11b的典型解決方案:對(duì)等解決方案、單接入點(diǎn)解決方案(接入點(diǎn)相稱(chēng)于有線(xiàn)網(wǎng)絡(luò)中的集線(xiàn)器,無(wú)線(xiàn)接入點(diǎn)可以連接周邊的無(wú)線(xiàn)網(wǎng)絡(luò)終端,形成星形網(wǎng)絡(luò)結(jié)構(gòu),同時(shí)通過(guò)10base-t端口與有線(xiàn)網(wǎng)絡(luò)相連,所有無(wú)線(xiàn)終端都能訪(fǎng)問(wèn)有線(xiàn)網(wǎng)絡(luò)的資源,并可通過(guò)路由器訪(fǎng)問(wèn)Internet)、多接入點(diǎn)解決方案(網(wǎng)絡(luò)規(guī)模較大,超過(guò)了單個(gè)接入點(diǎn)的覆蓋范圍,就得采用多個(gè)接入點(diǎn))、無(wú)線(xiàn)中繼解決方案、無(wú)線(xiàn)冗余解決方案(兩個(gè)接入點(diǎn)放在同一位置)、多蜂窩漫游工作方式。3).寬帶城域網(wǎng)保證服務(wù)質(zhì)量規(guī)定的技術(shù)重要有:資源預(yù)留RSVP、區(qū)分服務(wù)DiffServ與多協(xié)議標(biāo)記互換MPLS.服務(wù)質(zhì)量重要體現(xiàn)在延時(shí)、抖動(dòng)、吞吐量和包丟失率。管理和運(yùn)營(yíng)寬帶城域網(wǎng)的關(guān)鍵技術(shù)重要有:帶寬管理、網(wǎng)絡(luò)管理、用戶(hù)管理、服務(wù)質(zhì)量Q0S、記錄與計(jì)費(fèi)、IP地址的分派與地址轉(zhuǎn)換、網(wǎng)絡(luò)安全。寬帶城域網(wǎng)在組建方案中,一定要按照電信運(yùn)營(yíng)級(jí)的規(guī)定,考慮設(shè)備冗余、線(xiàn)路冗余、路由冗余、系統(tǒng)故障的快速診斷和自動(dòng)修復(fù)。同時(shí)寬帶城域網(wǎng)必須充足的考慮網(wǎng)絡(luò)襲擊的問(wèn)題。4)彈性分組環(huán)RPR是直接在光纖上高效傳輸IP分組的傳輸技術(shù)。其標(biāo)準(zhǔn)是802.17環(huán)形結(jié)構(gòu)是目前城域網(wǎng)的重要拓?fù)錁?gòu)型彈性分組環(huán)RPR采用雙環(huán)結(jié)構(gòu),這一點(diǎn)與FDDI結(jié)構(gòu)相同。兩個(gè)RPR結(jié)點(diǎn)之間裸光纖間的距離可達(dá)100km,其中順時(shí)針傳輸?shù)墓饫w叫外環(huán),逆時(shí)針傳輸?shù)墓饫w叫內(nèi)環(huán)。內(nèi)環(huán)和外環(huán)都可以采用記錄復(fù)用的方法傳輸IP分組,同時(shí)可以實(shí)現(xiàn)“自愈環(huán)”的功能。內(nèi)環(huán)和外環(huán)都可以傳輸數(shù)據(jù)分組和控制分組。每一個(gè)結(jié)點(diǎn)都可以使用兩個(gè)方向的光纖與相鄰結(jié)點(diǎn)通信。RPR技術(shù)重要的特點(diǎn):帶寬運(yùn)用率高、公平性好(每一個(gè)結(jié)點(diǎn)都執(zhí)行SRP公平算法、加權(quán)公平法則和入口、出口速率限制)、快速保護(hù)和恢復(fù)能力強(qiáng)(50ms可以隔離出故障的結(jié)點(diǎn)和光線(xiàn)段)、保證服務(wù)質(zhì)量(優(yōu)先級(jí))。路由器背板互換能力大于40G的稱(chēng)為高端路由器,低于40G的稱(chēng)為中低端路由器。高端路由器一般用作核心層的主干路由器,公司級(jí)路由器一般用作匯聚層的路由器,低端路由器一般用作接入層的接入路由器。路由器的關(guān)鍵技術(shù)指標(biāo):吞吐量:指路由器的包轉(zhuǎn)發(fā)能力。設(shè)計(jì)兩個(gè)方面的內(nèi)容:端口吞吐量和整機(jī)吞吐量。路由器的包轉(zhuǎn)發(fā)能力與路由器端口數(shù)量、端口速率、包長(zhǎng)度和包類(lèi)型有關(guān)。背板能力:高性能路由器一般采用是互換式結(jié)構(gòu)。背板能力決定了路由器的吞吐量。丟包率:通常是衡量路由器超負(fù)荷工作時(shí)的性能指標(biāo)之一。延時(shí)與延時(shí)抖動(dòng):與包長(zhǎng)度和鏈路傳輸速率有關(guān),高速路由器規(guī)定長(zhǎng)度為1518B的IP包,延時(shí)小于1ms.延時(shí)抖動(dòng)是指延時(shí)的變化量。突發(fā)解決能力:以最小幀間隔發(fā)送數(shù)據(jù)包而不引起丟失的最大發(fā)送速率來(lái)衡量。路由表容量:Internet規(guī)定執(zhí)行BGP協(xié)議的路由表一般要儲(chǔ)存數(shù)十萬(wàn)條路由表項(xiàng)。高速路由器必須滿(mǎn)足存儲(chǔ)25萬(wàn)個(gè)BGP對(duì)等實(shí)體地址和50萬(wàn)個(gè)IGP鄰居的網(wǎng)絡(luò)地址。服務(wù)質(zhì)量:重要體現(xiàn)在隊(duì)列管理機(jī)制、端口硬件隊(duì)列管理、支持Q0S協(xié)議。網(wǎng)管能力:可靠性與可用性:路由器的冗余是為了保證設(shè)備的可靠性和可用性。重要體現(xiàn)在設(shè)備冗余、熱拔插組件、內(nèi)部時(shí)鐘精度、無(wú)端障工作時(shí)間。路由器的冗余重要體現(xiàn)在接口冗余、電源冗余、時(shí)鐘板冗余、系統(tǒng)板冗余、整機(jī)設(shè)備冗余。典型的高端路由器的可靠性與可用性指標(biāo)應(yīng)當(dāng)達(dá)成:無(wú)端障工作時(shí)間大于10萬(wàn)個(gè)小時(shí)。系統(tǒng)故障恢復(fù)時(shí)間要小于30分鐘。系統(tǒng)具有自動(dòng)保護(hù)和切換功能,主備用切換時(shí)間小于50毫秒。SDH和ATM接口自動(dòng)保護(hù)功能,切換時(shí)間小于50毫秒。主解決器、主存儲(chǔ)器、互換矩陣、電源、總線(xiàn)管理器與網(wǎng)絡(luò)管理接口等重要設(shè)備需要有熱拔插冗余備份,顯卡規(guī)定有備份,并提供遠(yuǎn)程測(cè)試診斷能力。系統(tǒng)內(nèi)部不存在單故障點(diǎn)。6)互換機(jī)的重要技術(shù)指標(biāo):背板能力:全雙工端口帶寬:端口數(shù)端口速率2幀轉(zhuǎn)發(fā)速率:每秒鐘可以轉(zhuǎn)發(fā)的幀的最大數(shù)量機(jī)箱式互換機(jī)的擴(kuò)張能力支持VLAN能力:7.服務(wù)器的性能重要表現(xiàn)在:運(yùn)算解決能力:磁盤(pán)存儲(chǔ)能力:表現(xiàn)在磁盤(pán)存儲(chǔ)容量與I/O服務(wù)速度上,而決定這兩個(gè)參數(shù)的因素又在于磁盤(pán)接口總線(xiàn)與硬盤(pán)兩個(gè)方面。系統(tǒng)高可用性:MTBF/(MTBF+MTBR)其中MTBF為平均無(wú)端障時(shí)間,MTBR為平均修復(fù)時(shí)間假如系統(tǒng)高可用性達(dá)成99.9%,那么每年的停機(jī)時(shí)間8.8小時(shí);假如系統(tǒng)高可用性達(dá)成99.99%,那么每年的停機(jī)時(shí)間53分鐘;假如系統(tǒng)的高可用性達(dá)成99.999%,那么每年的停機(jī)時(shí)間5分鐘??晒芾硇?可擴(kuò)展性:8.略9.IP地址短缺的修復(fù)方法是NAT網(wǎng)絡(luò)地址轉(zhuǎn)換,其設(shè)計(jì)的基本思緒是為每一個(gè)公司分派一個(gè)或少量的IP地址,用于傳輸Internet流量。在公司內(nèi)部的每一臺(tái)主機(jī)分派一個(gè)不可以在Internet上使用的保存的專(zhuān)用的IP地址。專(zhuān)用IP地址用于內(nèi)部網(wǎng)絡(luò)的通信,假如需要訪(fǎng)問(wèn)外部Internet主機(jī),必須由運(yùn)營(yíng)網(wǎng)絡(luò)地址轉(zhuǎn)換的主機(jī)或是路由器將內(nèi)部的專(zhuān)用IP地址轉(zhuǎn)換為全局的IP地址。NAT方法的局限性:違反了IP地址結(jié)構(gòu)模型的設(shè)計(jì)原則使IP協(xié)議由面向無(wú)連接變成了面向連接違反了基本的網(wǎng)絡(luò)分層結(jié)構(gòu)模型的設(shè)計(jì)原則使得P2P應(yīng)用實(shí)現(xiàn)出現(xiàn)困難同時(shí)存在對(duì)高層協(xié)議和安全性的影響問(wèn)題網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí),傳輸層客戶(hù)進(jìn)程的端標(biāo)語(yǔ)也需要改變。NAT可以分為“一對(duì)一”和“多對(duì)多”兩類(lèi),其中一對(duì)一轉(zhuǎn)換方式屬于靜態(tài)NAT,多對(duì)多屬于動(dòng)態(tài)NAT.10.10.0.11.0/270000101000000000000010110000000010.0.11.32/27000010100000000000001011001000004/26000010100000000000001011010000000000101000000000000010110/25最長(zhǎng)前綴匹配法進(jìn)行路由選擇IPv6的重要特性:新的協(xié)議格式、巨大的地址空間、有效的分級(jí)尋址和路由結(jié)構(gòu)、地址自動(dòng)配置、內(nèi)置的安全機(jī)制、更好的支持QoS服務(wù)。IPv6地址長(zhǎng)度為128位,可以提供個(gè)IP地址。128位中64位作為子網(wǎng)地址空間64位作為局域網(wǎng)MAC地址空間。IPv6可以分為單播地址、組播地址、多播地址、特殊地址。為簡(jiǎn)化主機(jī)配置,IPv6支持地址自動(dòng)配置。IPv6地址表達(dá)方法為冒號(hào)十六進(jìn)制表達(dá)法:128位地址按每16位劃分為一個(gè)位段,每個(gè)位段轉(zhuǎn)換為一個(gè)4位的十六進(jìn)制數(shù),并用冒號(hào)隔開(kāi)。IPv6中也許會(huì)出現(xiàn)多個(gè)二進(jìn)制數(shù)0,通過(guò)壓縮某個(gè)位段中的前導(dǎo)0來(lái)簡(jiǎn)化IPv6地址的表達(dá),但不可把每個(gè)位段內(nèi)部的0也壓縮掉。每個(gè)位段至少有一個(gè)數(shù)字。假如連續(xù)幾個(gè)位段的值都為0,那么這些0可以簡(jiǎn)寫(xiě)為“::”,稱(chēng)為雙冒號(hào)表達(dá)法。且在一個(gè)IPv6地址中雙冒號(hào)表達(dá)法只能出現(xiàn)一次。擬定::之間代表了壓縮了多少位0可以數(shù)一下地址尚有多少個(gè)位段,然后用8減去這個(gè)數(shù),再將結(jié)果乘以16.IPv6不支持子網(wǎng)掩碼,只支持前綴長(zhǎng)度表達(dá)法。外部網(wǎng)關(guān)協(xié)議BGP是不同自治系統(tǒng)的路由器之間互換路由信息的協(xié)議。BGP-4采用了路由向量路由協(xié)議,在配置BGP時(shí),每個(gè)自治系統(tǒng)的管理員要選擇至一個(gè)路由器作為自治系統(tǒng)的“BGP發(fā)言人”,一系統(tǒng)的BGP發(fā)言人要與另一個(gè)系統(tǒng)的BGP發(fā)言人要互換路由就要先建立TCP連接,然后再此連接上互換BGP報(bào)文以此建立BGP會(huì)話(huà)。每個(gè)BGP發(fā)言人除了運(yùn)營(yíng)BGP協(xié)議外還必須運(yùn)營(yíng)該自治系統(tǒng)所使用的內(nèi)部網(wǎng)關(guān)協(xié)議。BGP協(xié)議互換路由信息的結(jié)點(diǎn)數(shù)是以自治系統(tǒng)數(shù)為單位的。在BGP剛剛運(yùn)營(yíng)時(shí),BGP邊界路由器與相鄰的BGP邊界路由器互換整個(gè)BGP路由表,但只要發(fā)生變化時(shí)只更新變化的部分。BGP路由選擇協(xié)議的四種分組:打開(kāi)open、更新update、保活keepalive、告知notification。撤消路由可以以此撤消很多條,而增長(zhǎng)新路由時(shí),每個(gè)更新報(bào)文只能增長(zhǎng)一條。13.路由表的建立:當(dāng)路由表剛啟動(dòng)時(shí),對(duì)其(V,D)路由表進(jìn)行初始化。初始化的路由器只包含與該路由器直接相連的網(wǎng)絡(luò)的路由。初始(V,D)路由表中各路由的距離都為0.路由表信息的更新:在路由表建立之后,各路由器周期性地向外廣播其(V,D)路由表的內(nèi)容。Router1接受到Router2發(fā)送的(V,D)報(bào)文,按照如下的規(guī)則更新路由表:Router1中沒(méi)有這一項(xiàng),Router在路由器中增長(zhǎng)這一項(xiàng),由于要通過(guò)Router2轉(zhuǎn)發(fā),距離D要加1。假如Router1中距離1比Router2中該項(xiàng)距離值加1還要大,則要修改該表項(xiàng),其距離值應(yīng)當(dāng)是Router2中距離值加1.路由信息協(xié)議規(guī)定路由器周期性地向外發(fā)送路由刷新報(bào)文。路由刷新報(bào)文重要內(nèi)容是由若干個(gè)(V,D)構(gòu)成。(V,D)表中V代表矢量(Vector),標(biāo)記該路由器可以達(dá)成的目的網(wǎng)絡(luò)或目的主機(jī);D代表距離(distance),指出該路由器到達(dá)目的網(wǎng)絡(luò)或目的主機(jī)的距離。距離D相應(yīng)當(dāng)路由器上的跳數(shù)(hopcount)。其他路由器在接受到某個(gè)路由器的(V,D)報(bào)文后,按照最短途徑原則對(duì)各自的路由表進(jìn)行刷新。與RIP相比較,OSPF具有以下特點(diǎn):OSPF使用的是分布式鏈路狀態(tài)協(xié)議而RIP使用的是距離向量協(xié)議。OSPF協(xié)議規(guī)定路由器發(fā)送的信息是本路由器和哪些路由器相鄰,以及鏈路狀態(tài)的度量(費(fèi)用、距離、延時(shí)、帶寬)。OSPF規(guī)定當(dāng)鏈路狀態(tài)發(fā)生變化是使用洪泛法向所有路由器發(fā)送信息,而RIP只向相鄰的幾個(gè)路由器發(fā)送信息。所有的路由器都最終能建立一個(gè)鏈路狀態(tài)數(shù)據(jù)庫(kù),這個(gè)數(shù)據(jù)庫(kù)事實(shí)上就是全網(wǎng)的拓?fù)浣Y(jié)構(gòu)圖,且在全網(wǎng)范圍內(nèi)保持一致。RIP雖然知道到所有網(wǎng)絡(luò)的距離和下一跳路由器,但不知道全網(wǎng)的拓?fù)浣Y(jié)構(gòu)。為了適應(yīng)規(guī)模很大的網(wǎng)絡(luò),是其更新過(guò)程收斂速度更快,OSPF協(xié)議將一個(gè)自治區(qū)域劃分為若干個(gè)更小的范圍,叫做區(qū)域。每個(gè)區(qū)域有一個(gè)32位的區(qū)域標(biāo)記符(點(diǎn)分十進(jìn)制),在一個(gè)區(qū)域內(nèi)的路由器的個(gè)數(shù)不超過(guò)200個(gè)。劃分區(qū)域的好處是將運(yùn)用洪泛法將鏈路狀態(tài)信息的范圍局限在每一個(gè)區(qū)域內(nèi)而不是整個(gè)自治系統(tǒng)。因此每一個(gè)區(qū)域內(nèi)部的路由器只知道該區(qū)域內(nèi)的完整拓?fù)浣Y(jié)構(gòu)而不知道其他區(qū)域的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。為了使每一個(gè)區(qū)域都和其他區(qū)域進(jìn)行通信,OSPF協(xié)議使用層次結(jié)構(gòu)的區(qū)域劃分。它將一個(gè)自治系統(tǒng)內(nèi)部提成主干區(qū)域和若干區(qū)域。主干區(qū)域的路由器稱(chēng)為主干路由器,連接各個(gè)區(qū)域的路由器叫做區(qū)域邊界路由器。在主干區(qū)域內(nèi)還要有一個(gè)路由器專(zhuān)門(mén)和該自治系統(tǒng)之外的其他自治系統(tǒng)互換路由信息,這樣的路由器叫做自治系統(tǒng)邊界路由器。OSPF協(xié)議執(zhí)行過(guò)程中路由器的初始化過(guò)程中OSPF讓每一個(gè)路由器用數(shù)據(jù)庫(kù)描述分組和相鄰路由器互換本數(shù)據(jù)庫(kù)中已有的鏈路狀態(tài)摘要信息。在網(wǎng)絡(luò)運(yùn)營(yíng)過(guò)程中由于一個(gè)路由器的鏈路狀態(tài)只涉及相鄰路由器的狀態(tài)信息,因而與整個(gè)Internet的規(guī)模無(wú)關(guān)?;Q機(jī)的分類(lèi):互換機(jī)按多支持的局域網(wǎng)標(biāo)準(zhǔn)可以分為以太網(wǎng)互換機(jī)、FDDI互換機(jī)、ATM互換機(jī)、令牌環(huán)互換機(jī)。根據(jù)互換機(jī)所支持的傳輸速率和介質(zhì)標(biāo)準(zhǔn),以太網(wǎng)互換機(jī)可以分為快速以太網(wǎng)互換機(jī)(100Mbps)、千兆以太網(wǎng)互換機(jī)(1Gbps)、萬(wàn)兆以太網(wǎng)互換機(jī)(10Gbps)。按互換機(jī)的架構(gòu)可以分為單臺(tái)互換機(jī)、堆疊互換機(jī)、箱體模塊化互換機(jī)。按互換機(jī)工作在OSI參考模型的層次分類(lèi):工作在數(shù)據(jù)鏈路層的二層互換機(jī)(沒(méi)有路由功能),工作在網(wǎng)絡(luò)層的三層互換機(jī),工作在傳輸層的四層互換機(jī)和多層互換機(jī)。16.綜合布線(xiàn)系統(tǒng)常用的傳輸介質(zhì)有雙絞線(xiàn)和光纜。雙絞線(xiàn)扭絞的目的是使對(duì)外的電磁輻射和遭受外界的電磁干擾減少到最小。UTP是非屏蔽雙絞線(xiàn),STP具有屏蔽作用。連接硬件涉及主件的連接器(適配器),成對(duì)連接器及接插軟線(xiàn),但不涉及某些應(yīng)用系統(tǒng)對(duì)綜合布線(xiàn)系統(tǒng)用的連接硬件,也不涉及有源或無(wú)源電子線(xiàn)路的中間轉(zhuǎn)接器或其他器件。綜合布線(xiàn)采用的重要的連接部件分為建筑群配線(xiàn)架CD、大樓主配線(xiàn)架BD、樓層配線(xiàn)架FD、轉(zhuǎn)接點(diǎn)TP、通信引出端TO。FD和TP之間的水平線(xiàn)纜的最大長(zhǎng)度不要超過(guò)90米。信息插座大體可以分為嵌入式安裝插座(雙絞線(xiàn))、表面安裝插座、多介質(zhì)信息插座(銅纜和光纖)。17.BPDU數(shù)據(jù)包又兩種類(lèi)型,一種是包含配置信息的配置BPDU(不超過(guò)35個(gè)字節(jié)),另一種是包含拓?fù)渥兓畔⒌耐負(fù)渥兓嬷狟PDU(不超過(guò)4個(gè)字節(jié))。配置BPDU中包含的BridgeID是選取根網(wǎng)橋和根互換機(jī)的重要依據(jù)。BridgeID最小的為根網(wǎng)橋或根互換機(jī)。BridgeID與RootID相同,他們都用8?jìng)€(gè)字節(jié)表達(dá),BridgeID有兩個(gè)字節(jié)的優(yōu)先級(jí)和六個(gè)字節(jié)的互換機(jī)MAC地址組成。優(yōu)先級(jí)的取值范圍為0-61440,增量是4096,值越小,優(yōu)先級(jí)越高,一般互換機(jī)的默認(rèn)設(shè)立為32768。BPDU攜帶了實(shí)現(xiàn)生成樹(shù)協(xié)議算法的有關(guān)信息,涉及RootID、RootPathCost、BridgeID、PortID、Hellotime、MaxAge等。18.在互換設(shè)備之間實(shí)現(xiàn)Trunk功能,必須遵守相同的VLAN協(xié)議。IEEE802.1Q可以使不同廠(chǎng)商的互換設(shè)備互連在一起,并提供Trunk功能,使網(wǎng)絡(luò)更具開(kāi)放性。虛擬網(wǎng)VLAN是以互換式網(wǎng)絡(luò)為基礎(chǔ),把網(wǎng)絡(luò)上終端設(shè)備劃分為若干個(gè)邏輯工作組,每個(gè)邏輯工作組就是一個(gè)VLAN。它是一個(gè)獨(dú)立的邏輯網(wǎng)絡(luò),具有單一的廣播域,不受實(shí)際互換機(jī)區(qū)段的限制,也不受用戶(hù)實(shí)際物理位置和物理網(wǎng)段的限制。邏輯組的設(shè)定是在軟件中完畢的。虛擬網(wǎng)技術(shù)提供了動(dòng)態(tài)組織工作環(huán)境的功能。VLAN的技術(shù)特性:工作在數(shù)據(jù)鏈路層。每個(gè)VLAN都是一個(gè)獨(dú)立的邏輯網(wǎng)段,一個(gè)獨(dú)立的廣播域。VLAN的廣播信息只發(fā)送給同一個(gè)VLAN的成員,不發(fā)送給其他VLAN的成員。每個(gè)VLAN都是一個(gè)獨(dú)立的邏輯網(wǎng)絡(luò),他們都又唯一的子網(wǎng)號(hào),VLAN之間不能直接通信,是由于必須通過(guò)第三層的路由功能,而它只工作數(shù)據(jù)鏈路層。VLAN通常用VLANID(VLAN號(hào):由12位組成,可以支持4096個(gè)VLAN,1~1005是標(biāo)準(zhǔn)范圍,1025~4096是擴(kuò)展范圍,可用于以太網(wǎng)的是2~1000,FDDI和TokenRing的是1002~1005)和VLANname(VLAN名:32位標(biāo)記符組成,可以是字母和數(shù)字)來(lái)標(biāo)記,1是缺省VLAN,只能使用但不能刪除它。VLANTrunk(虛擬局域網(wǎng)中繼技術(shù))是互換機(jī)和互換機(jī)之間或互換機(jī)和路由器之間存在一條物理鏈路,而在這一條物理鏈路上傳輸多個(gè)VLAN信息的技術(shù)。VLANTrunk的標(biāo)準(zhǔn)機(jī)制是幀標(biāo)簽。幀標(biāo)簽為每個(gè)幀指定一個(gè)唯一的VLANID作為辨認(rèn)碼,表白該幀是屬于哪個(gè)VLAN的。它在傳送數(shù)據(jù)幀到達(dá)網(wǎng)絡(luò)主干時(shí),會(huì)在每個(gè)幀的表頭中放置一個(gè)唯一的辨認(rèn)碼,互換機(jī)會(huì)解析與測(cè)試辨認(rèn)碼。當(dāng)數(shù)據(jù)幀從網(wǎng)絡(luò)主干轉(zhuǎn)發(fā)至目的終端之前,互換機(jī)先除掉這個(gè)辨認(rèn)碼。劃分VLAN的方法:基于端口劃分VLAN(靜態(tài)VLAN)基于MAC地址劃分VLAN(動(dòng)態(tài)VLAN):連接到每個(gè)互換設(shè)備的MAC地址。需要一個(gè)保存VLAN管理數(shù)據(jù)庫(kù)的VALN配置服務(wù)器。基于第三層協(xié)議類(lèi)型或地址(動(dòng)態(tài)VLAN)VTP是VLAN中繼協(xié)議,也稱(chēng)VLAN干道協(xié)議。VTP具有三種工作模式:VTPServer(維護(hù)VTP域中所有VLAN表信息,可以建立、刪除或修改VLAN)、VTPClient(維護(hù)所有VLAN表信息,VLAN配置信息是從VTPServer中學(xué)到的,可是他不能建立、刪除和修改VLAN)、VTPTransparent(相稱(chēng)于是一個(gè)獨(dú)立的互換機(jī),不從VTPServer學(xué)習(xí)VLAN的配置信息,不參與VTP工作,只擁有本設(shè)備上維護(hù)的VLAN配置信息,可以建立、刪除或修改本機(jī)上的VLAN)。配置vtp域名:1.進(jìn)入全局配置模式Switch-PHY-3548#configtSwitch-PHY-3548(config)#2.配置vtp域名Switch-PHY-3548#vtp?domainpku(設(shè)立vtp域名為pku)配置vtp工作模式:Switch-PHY-3548(config)#vtpmodeserverSwitch-PHY-3548(config)#vtpmodeclientSwitch-PHY-3548(config)#vtpmodetransparent建立和刪除VLAN:1.建立VLAN進(jìn)入VLAN配置模式Switch-PHY-3548#vlandataSwitch-PHY-3548(vlan)#建立VLANSwitch-PHY-3548(vlan)#vlan1000namevlan1000退出并返回特權(quán)用戶(hù)模式Switch-PHY-3548(vlan)#exit2.刪除Switch-PHY-3548(vlan)#VLANnovlan10003.修改VLANSwitch-PHY-3548(vlan)#vlan1000namevlan1000為互換機(jī)端口分派VLAN:進(jìn)入互換機(jī)端口配置模式Switch-PHY-3548#configuretSwitch-PHY-3548(config)#intfo/24Switch-PHY-3548(config-if)#為端口分派VLANSwitch-PHY-3548(config-if)#switchportaccessvlan248VLANtrunk的配置:進(jìn)入互換機(jī)接口配置模式Switch-PHY-3548#configuretSwitch-PHY-3548(config-if)#intfo/24配置VLANtrunk模式Switch-PHY-3548(config-if)#switchportmodetrunk【settrunk5/1ondot1q】封裝VLAN協(xié)議Switch-PHY-3548(config-if)#switchporttrunkencapsulationdot1qSwitch-PHY-3548(config-if)#switchporttrunkencapsulationislSwitch-PHY-3548(config-if)#switchporttrunkencapsulationnegotiat(yī)eP(自動(dòng)協(xié)商)設(shè)立允許中繼的VLANSwitch-PHY-3548(config-if)#switchporttrunkallowedvlan10,14Switch-PHY-3548(config-if)#switchporttrunkallowedvlan10-24Switch-PHY-3548(config-if)#switchporttrunkallowedvlanexcept100-1000【settrunk5/1vlan37-42在端口5/1的允許VLAN列表中添加37~42號(hào)VLAN】【cleartrunk5/243-36從端口5/24的允許VLAN列表中清除3~36VLAN】19.略20.生成樹(shù)協(xié)議STP是一個(gè)二層鏈路管理協(xié)議,他的重要功能是保證網(wǎng)絡(luò)中沒(méi)有回路的情況下,允許在二層鏈路中提供冗余途徑,以保證網(wǎng)絡(luò)可靠、穩(wěn)定的運(yùn)營(yíng)。目前最流行,應(yīng)用最廣泛的STP協(xié)議是IEEE.1D標(biāo)準(zhǔn)。STP的基本工作原理是:通過(guò)在互換機(jī)之間傳遞網(wǎng)橋協(xié)議數(shù)據(jù)單元BPDU,并用生成樹(shù)算法對(duì)其進(jìn)行比較計(jì)算。BridgeID有兩個(gè)字節(jié)的優(yōu)先級(jí)和六個(gè)字節(jié)的互換機(jī)MAC地址組成。優(yōu)先級(jí)的取值范圍為0-61440,增量是4096,值越小,優(yōu)先級(jí)越高,一般互換機(jī)的默認(rèn)設(shè)立為32768。當(dāng)優(yōu)先級(jí)相同時(shí),那么就要根據(jù)MAC地址決定根網(wǎng)橋,MAC地址小的路由器就是根網(wǎng)橋。21.路由器的基本功能是路由選擇和分組轉(zhuǎn)發(fā)。路由選擇的核心是擬定下一跳路由器的IP地址。路由選擇算法根據(jù)各自的判斷準(zhǔn)則為網(wǎng)絡(luò)上的路由產(chǎn)生一個(gè)權(quán)值,權(quán)值越小路由越佳。路由表的內(nèi)容重要有目的網(wǎng)絡(luò)地址、下一跳路由器地址和目的端口、缺省路由信息。缺省路由又稱(chēng)缺省網(wǎng)關(guān),它是配置在主機(jī)上的TCP/IP屬性的一個(gè)參數(shù)。缺省網(wǎng)關(guān)是與主機(jī)在同一個(gè)子網(wǎng)的路由器的端口的IP地址。在數(shù)據(jù)分組通過(guò)每一個(gè)路由器轉(zhuǎn)發(fā)時(shí),分組中的目的MAC地址是變化的,但它的目的網(wǎng)絡(luò)地址是不變的。22.路由器的硬件構(gòu)成:CPU(中央解決器)、Memory(內(nèi)存)、Storage(存儲(chǔ)器)和Interface(接口)。路由器的軟件為互聯(lián)網(wǎng)操作系統(tǒng)IOS組成。CPU負(fù)責(zé)實(shí)現(xiàn)路由協(xié)議、途徑選擇計(jì)算、互換路由信息、查找路由表、分發(fā)路由表、維護(hù)各種表格以及轉(zhuǎn)發(fā)數(shù)據(jù)包。路由器內(nèi)存用于保存路由器配置、路由器操作系統(tǒng)、路由協(xié)議軟件等。路由器內(nèi)存重要有:只讀內(nèi)存ROM(永久保存路由器的開(kāi)機(jī)診斷程序、引導(dǎo)程序和操作系統(tǒng)軟件,重要任務(wù)是完畢路由器的初始化進(jìn)程,具體涉及路由器啟動(dòng)時(shí)的硬件診斷,裝入路由器操作系統(tǒng)IOS)、隨機(jī)存儲(chǔ)器RAM(存儲(chǔ)路由表、快速互換緩存、ARP緩存、數(shù)據(jù)分組緩沖區(qū)和緩沖隊(duì)列、運(yùn)營(yíng)配置文獻(xiàn),以及正在執(zhí)行的代碼和一些臨時(shí)數(shù)據(jù)信息。)、閃存Flash(存儲(chǔ)當(dāng)前使用的操作系統(tǒng)映像文獻(xiàn)和一些微代碼)、非易失隨機(jī)存儲(chǔ)器NVRAM(存儲(chǔ)啟動(dòng)配置文獻(xiàn)和備份配置文獻(xiàn))路由器接口重要有局域網(wǎng)接口、廣域網(wǎng)接口和路由器配置接口。IP地址的動(dòng)態(tài)分派使用動(dòng)態(tài)主機(jī)配置協(xié)議DHCP,但仍然不能解決IP地址的沖突問(wèn)題。DHCP采用的是客戶(hù)機(jī)/服務(wù)器(Client/Server)工作模式DHCP服務(wù)器重要完畢兩個(gè)功能:建立和管理IP地址池,接受并解決用戶(hù)提出的DHCP請(qǐng)求。DHCP客戶(hù)端的重要功能是提交DHCP請(qǐng)求。DHCP協(xié)議允許使用備份DHCP服務(wù)器的功能。DHCP客戶(hù)從DHCP服務(wù)器申請(qǐng)IP地址的環(huán)節(jié)是:客戶(hù)機(jī)發(fā)送一個(gè)“DHCPDISCOVER”廣播包給服務(wù)器,服務(wù)器用一個(gè)“DHCPOFFER”單播數(shù)據(jù)包給予應(yīng)答,并提供客戶(hù)機(jī)所需的TCP/IP的屬性配置參數(shù)(IP地址、子網(wǎng)掩碼、缺省網(wǎng)關(guān)、域名和域名服務(wù)器的IP地址)。然后主機(jī)發(fā)送一個(gè)“DHCPREQUEST”廣播包給服務(wù)器,確認(rèn)與此服務(wù)器建立地址租借關(guān)系,并通告其他的DHCP服務(wù)器。正常情況下,服務(wù)器會(huì)恢復(fù)一個(gè)“DHCPACK”廣播包給客戶(hù)機(jī),這是一個(gè)確認(rèn)互相關(guān)系的應(yīng)答包。DHCP客戶(hù)機(jī)廣播“DHCP發(fā)現(xiàn)”消息時(shí)使用的源IP地址是0.0.0.0路由器互換機(jī)上DHCPIP地址池的配置內(nèi)容:IP地址池的子網(wǎng)地址和子網(wǎng)掩碼、缺省網(wǎng)關(guān)、域名和域名服務(wù)器的IP地址、IP地址的租用時(shí)間和取消地址池沖突記錄日記等參數(shù)。在全局配置模式下,配置IP地址池的名稱(chēng),并進(jìn)入DHCPPool配置模式。Router(config)#ipdhcppooltttRouter(dhcp-config)#Router(config)#ipdhcppool234Router(dhcp-config)#在DHCPPool配置模式下配置子網(wǎng)地址和子網(wǎng)掩碼的方法是:network<網(wǎng)絡(luò)地址><子網(wǎng)掩碼>Router(dhcp-config)#network201.23.98.0255.255.255.0Router(dhcp-config)#Router(dhcp-config)#network201.23.98.0/24Router(dhcp-config)#配置不用于動(dòng)態(tài)分派的IP地址是在全局配置模式下Router(config)#ipdhcpexcluded-address201.23.96.10(排除從201.23.96.2到201.23.96.10的一段IP地址)Router(config)#Router(config)#ipdhcpexcluded-address201.23.96.211(排除單個(gè)IP地址)Router(config)#配置IP地址池的缺省網(wǎng)關(guān):在DHCPPool配置模式下Router(dhcp-config)#default-router命令中的網(wǎng)關(guān)地址最多允許配置8個(gè)。Router(dhcp-config)#配置IP地址池的域名:在DHCPPool配置模式下Router(dhcp-config)#domain-namepku.edu.cnRouter(dhcp-config)#配置IP地址池的域名服務(wù)器的IP地址:在DHCPPool配置模式下Router(dhcp-config)#dns-serveraddress212.105.129.27212.105.129.26【第一個(gè)是主域名服務(wù)器的IP地址后面的一個(gè)是輔助域名服務(wù)器域名的IP地址】Router(dhcp-config)#配置IP地址池的租用時(shí)間:設(shè)立租用時(shí)間為5個(gè)小時(shí)在DHCPPool配置模式下Router(dhcp-config)#lease05【可以以日、時(shí)、分、秒為單位也可以設(shè)立為無(wú)限時(shí)間infinite】Router(dhcp-config)#取消地址沖突記錄日記:在全局配置模式下Router(config)#noipdhcpconflictlogging24.訪(fǎng)問(wèn)控制列表重要有兩種類(lèi)型,一種是標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表,另一種是擴(kuò)展訪(fǎng)問(wèn)控制列表。標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表只能檢查數(shù)據(jù)包的源地址。標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表的表號(hào)范圍是1~99,后來(lái)擴(kuò)展到1300~1999.擴(kuò)展訪(fǎng)問(wèn)控制列表可以檢查數(shù)據(jù)包的源地址和目的地址,還可以檢查制定的協(xié)議、端標(biāo)語(yǔ)。擴(kuò)展訪(fǎng)問(wèn)控制列表的表號(hào)為100~199,后來(lái)擴(kuò)展到2023~2699。在配置訪(fǎng)問(wèn)控制列表時(shí),“access-list”只能使用表號(hào)標(biāo)記列表,而“ipaccess-list”既可以使用表號(hào),也可以使用名字標(biāo)記一個(gè)訪(fǎng)問(wèn)控制列表。在配置了訪(fǎng)問(wèn)控制列表之后,還必須配置其相應(yīng)的接口才干控制數(shù)據(jù)流的流入或流出。在配置過(guò)濾準(zhǔn)則時(shí),要特別注意ACL的語(yǔ)句順序。在配置訪(fǎng)問(wèn)控制列表的源地址和目的地址時(shí),在允許和拒絕的IP地址后面,有一個(gè)參數(shù)是wildcard-mask-通配符(或通配符掩碼)的意思,為32位二進(jìn)制表達(dá),事實(shí)上是掩碼的反碼。通配符作用是指出訪(fǎng)問(wèn)控制列表過(guò)濾的IP地址范圍。通配符為0表達(dá)檢查相應(yīng)的某位,通配符為1表達(dá)忽略,不檢查相應(yīng)的某位。配置訪(fǎng)問(wèn)控制列表的具體環(huán)節(jié)是:一方面是定義一個(gè)標(biāo)準(zhǔn)的或是擴(kuò)展的訪(fǎng)問(wèn)控制列表,然后為訪(fǎng)問(wèn)控制列表配置過(guò)濾準(zhǔn)則,最后在配置訪(fǎng)問(wèn)控制列表的應(yīng)用接口。配置標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表:在全局配置模式下:Router(config)#access-list10permit211.105.130.00.0.0.255Router(config)#配置應(yīng)用接口:Router(config)#linevty05Router(config-line)#access-class10inaccess-class是控制路由器發(fā)起的telnet會(huì)話(huà),不進(jìn)行包過(guò)濾
access-group是控制接口上進(jìn)出的數(shù)據(jù)包流量用access-class將訪(fǎng)問(wèn)控制列表施加于VTY線(xiàn)路,或WEB接口,access-group則施加到接口用在不同的接口啊,在控制臺(tái)口與VTY口用ACCESS-CLASS,別的一般用IPACCESS-GROUP限制別人telnet你的時(shí)候用access-classlinevty04是什么意思?(重要解釋一下0
4)0-4指的是虛擬終端的五條虛擬線(xiàn)路,通過(guò)TELNET可以連接查看訪(fǎng)問(wèn)控制列表的配置信息:在特權(quán)用戶(hù)模式下:Router#showconfiguration查看訪(fǎng)問(wèn)控制列表:在特權(quán)用戶(hù)模式下:Router#shaccess-lists只允許源地址為182.105.130.111和222.112.7.56的兩臺(tái)主機(jī)登錄路由器在全局配置模式下:Router(config)#access-list20permit182.105.130.111Router(config)#access-list20permit222.112.7.56Router(config)#access-list20denyany配置應(yīng)用接口:Router(config)#linevty05Router(config-line)#access-class20in嚴(yán)禁地址為非法地址的數(shù)據(jù)包進(jìn)入路由器或從路由器輸出在全局配置模式下:Router(config)#access-list30deny10.0.0.00.255.255.255logRouter(config)#access-list30deny192.168.0.00.0.255.255Router(config)#access-list30deny127.0.0.00.255.255.255Router(config)#access-list30deny172.16.0.00.15.255.255Router(config)#access-list30permitany配置應(yīng)用接口:Router(config)#interfaceg0/1Router(config-if)#ipaccess-group30in配置擴(kuò)展訪(fǎng)問(wèn)控制列表:拒絕轉(zhuǎn)發(fā)所有IP地址進(jìn)出的,端標(biāo)語(yǔ)為1434的UDP協(xié)議數(shù)據(jù)包在全局配置模式下:Router(config)#access-list30denyudpanyanyeq1434Router(config)#access-list30permitipanyanyRouter(config)#擴(kuò)展訪(fǎng)問(wèn)控制列表實(shí)現(xiàn)Router(config)#ipaccess-listextended130(進(jìn)入擴(kuò)展訪(fǎng)問(wèn)控制列表)Router(config-ext-nacl)#denyudpanyanyeq1434Router(config-ext-nacl)#permitipanyanyRouter(config-ext-nacl)#配置應(yīng)用接口:Router(config)#interfaceg0/1Router(config-if)#ipaccess-group130inRouter(config-if)#ipaccess-group130out?Router(config-if)#封禁某一臺(tái)主機(jī)在全局配置模式下:Router(config)#access-list110denyiphost202.112.60.230anylogRouter(config)#access-list110denyipanyhost202.112.60.230logRouter(config)#access-list110permitipanyany配置應(yīng)用接口:Router(config)#interfaceg0/1Router(config-if)#ipaccess-group110inRouter(config-if)#ipaccess-group110out封禁ICMP協(xié)議,只允許162.105.141.0/24和202.38.97.0/24子網(wǎng)的ICMP數(shù)據(jù)包通過(guò)路由器。在全局配置模式下:Router(config)#access-list198permiticmp162.105.141.00.0.0.255anyRouter(config)#access-list198permiticmp202.38.97.00.0.0.255anyRouter(config)#access-list198denyicmpanyanyRouter(config)#access-list198permitipanyany【是peimitip還是peimiticmp】Router(config)#配置應(yīng)用接口:Router(config)#interfaceg0/1Router(config-if)#ipaccess-group198inRouter(config-if)#ipaccess-group198out用名字標(biāo)記符訪(fǎng)問(wèn)控制列表的配置方法:嚴(yán)禁源地址為非法地址的數(shù)據(jù)包進(jìn)入路由器或從路由器輸出在全局配置模式下:Router(config)#ipaccess-liststandardtestRouter(config-std-nacl)#deny10.0.0.00.255.255.255logRouter(config-std-nacl)#deny192.168.0.00.0.255.255Router(config-std-nacl)#deny127.0.0.00.255.255.255Router(config-std-nacl)#deny172.16.0.00.15.255.255Router(config-std-nacl)#permitany【是不是應(yīng)當(dāng)是permitipanyany】配置應(yīng)用接口:Router(config)#interfaceg0/1Router(config-if)#ipaccess-grouptestinRouter(config-if)#ipaccess-grouptestout嚴(yán)禁端標(biāo)語(yǔ)為1434的UTP數(shù)據(jù)包和端標(biāo)語(yǔ)為444的TCP數(shù)據(jù)包在全局配置模式下:Router(config)#ipaccess-listextendedblock1434Router(config-ext-nacl)#denyutpanyanyeq1434Router(config-ext-nacl)#denytcpanyanyeq444Router(config-ext-nacl)#permitipanyanyRouter(config-ext-nacl)#25.在一個(gè)大樓中或是很大的平面里面部署布線(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)時(shí),可以布置多個(gè)接入點(diǎn)構(gòu)成一套微蜂窩系統(tǒng)。微蜂窩系統(tǒng)允許用戶(hù)在不同的接入點(diǎn)覆蓋區(qū)域內(nèi)任意漫游。隨著位置的變化,信號(hào)會(huì)由一個(gè)接入點(diǎn)自動(dòng)切換到另一個(gè)接入點(diǎn)。整個(gè)漫游過(guò)程對(duì)用戶(hù)是透明的,雖然提供服務(wù)的接入點(diǎn)發(fā)生了變化,但對(duì)用戶(hù)的服務(wù)是不會(huì)中斷的。26.802.11b運(yùn)作模式分為點(diǎn)對(duì)點(diǎn)模式(最多可連接256臺(tái)主機(jī))和基本模式(無(wú)線(xiàn)網(wǎng)絡(luò)擴(kuò)充和有線(xiàn)網(wǎng)絡(luò)并存時(shí),插上無(wú)線(xiàn)網(wǎng)卡的PC通過(guò)接入點(diǎn)與另一臺(tái)PC相連,一個(gè)接入點(diǎn)最多可連接1024臺(tái)PC)。無(wú)線(xiàn)局域網(wǎng)重要包含如下的硬件設(shè)備:無(wú)線(xiàn)網(wǎng)卡、無(wú)線(xiàn)接入點(diǎn)AP(一個(gè)AP可以連接30臺(tái)左右的無(wú)線(xiàn)網(wǎng)絡(luò)終端或者是其他的無(wú)線(xiàn)AP)、天線(xiàn)、以及無(wú)線(xiàn)網(wǎng)橋、無(wú)線(xiàn)路由器和無(wú)線(xiàn)網(wǎng)關(guān)。Cisco公司的Aironet1100系列接入點(diǎn)兼容IEEE802.11b和IEEE802.11g,工作在2.4GHz頻段,使用Cisco公司的IOS操作系統(tǒng)。在安裝和配置無(wú)線(xiàn)接入點(diǎn)之前,先向網(wǎng)絡(luò)管理員詢(xún)問(wèn)一下信息,用于配置無(wú)線(xiàn)接入點(diǎn):系統(tǒng)名無(wú)線(xiàn)網(wǎng)絡(luò)中對(duì)大小寫(xiě)敏感的服務(wù)集標(biāo)記符假如沒(méi)有連接到DHCP服務(wù)器,則需要為接入點(diǎn)指定一個(gè)IP地址假如接入點(diǎn)與PC不在同一個(gè)子網(wǎng)內(nèi),則需要子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)簡(jiǎn)樸網(wǎng)絡(luò)管理協(xié)議集合名稱(chēng)以及SNMP文獻(xiàn)屬性(假如使用SNMP)將無(wú)線(xiàn)接入點(diǎn)連接至網(wǎng)絡(luò)的兩種方法:使用線(xiàn)內(nèi)供電連接以太網(wǎng)和使用本地電源連接以太網(wǎng)。第一次配置無(wú)線(xiàn)接入點(diǎn),一般采用本地配置方式。默認(rèn)的IP地址是10.0.0.1,并成為小型的DHCP服務(wù)器。可認(rèn)為下列設(shè)備分派多達(dá)20個(gè)的10.0.0.x范圍的IP地址。連接在接入以太網(wǎng)端口上的PC機(jī)沒(méi)有配置SSID或配置SSID為tsunami,并且關(guān)閉所有安全配置的無(wú)線(xiàn)設(shè)備按照下列環(huán)節(jié)本地連接無(wú)線(xiàn)接入點(diǎn):1.使用五類(lèi)以太網(wǎng)電纜連接PC機(jī)和無(wú)線(xiàn)接入點(diǎn),通過(guò)無(wú)線(xiàn)接入點(diǎn)的以太網(wǎng)端口進(jìn)行配置,或?qū)C機(jī)置于無(wú)線(xiàn)接入點(diǎn)的電波覆蓋范圍內(nèi),安裝無(wú)線(xiàn)客戶(hù)端適配器,關(guān)閉所有安全設(shè)立,將SSID配置為tsunmami或不配置。2.給無(wú)線(xiàn)接入點(diǎn)加電3.確認(rèn)PC機(jī)獲得了10.0.0.x網(wǎng)段的地址4.打開(kāi)互聯(lián)網(wǎng)瀏覽器5.在瀏覽器的地址欄輸入無(wú)線(xiàn)接入點(diǎn)的IP地址10.0.0.1,然后回車(chē),出現(xiàn)輸入網(wǎng)絡(luò)密碼對(duì)話(huà)框6.按Tab鍵越過(guò)用戶(hù)名到密碼字段7.輸入大小寫(xiě)敏感的密碼Cisco,擬定。出現(xiàn)接入點(diǎn)匯總狀態(tài)的頁(yè)面。點(diǎn)擊“ExpressSetup”進(jìn)入快捷配置頁(yè)面。8.輸入各配置數(shù)據(jù)9.保存SSID是客戶(hù)端設(shè)備用來(lái)訪(fǎng)問(wèn)接入點(diǎn)的唯一標(biāo)記。27.略28.DNS服務(wù)器配置的重要參數(shù):正向查找區(qū)域:將域名映射到IP地址的數(shù)據(jù)庫(kù),用于將域名解析為IP地址。反向查找區(qū)域:將IP地址映射到域名的數(shù)據(jù)庫(kù),用于將IP解析為域名。將主機(jī)資源記錄手動(dòng)添加到正向查找區(qū)域時(shí),使用“更新相關(guān)的指針PTR”選項(xiàng),可以將指針記錄自動(dòng)添加到反向查找區(qū)域中。資源記錄:區(qū)域中的一組結(jié)構(gòu)化的記錄。常用的記錄涉及:主機(jī)地址(A)資源記錄,它將DNS域名映射到IP地址;郵件互換器資源記錄(MX),為郵件互換器主機(jī)提供郵件路由;別名資源記錄(CNAME),將別名映射到標(biāo)準(zhǔn)DNS域名。轉(zhuǎn)發(fā)器:也是一個(gè)DNS服務(wù)器,是本地DNS服務(wù)器用于將外部DNS名稱(chēng)的DNS查詢(xún)轉(zhuǎn)發(fā)給該DNS服務(wù)器。在缺省情況下,Windows2023服務(wù)器沒(méi)有安裝DNS服務(wù)器。DNS服務(wù)器的基本配置涉及正向查找區(qū)域、反向查找區(qū)域、增長(zhǎng)資源記錄等。在安裝DNS服務(wù)時(shí),13個(gè)根DNS服務(wù)器被自動(dòng)加入到系統(tǒng)中。主機(jī)資源記錄的生存默認(rèn)值是3600秒可以對(duì)DNS服務(wù)器進(jìn)行簡(jiǎn)樸查詢(xún)測(cè)試和遞歸查詢(xún)測(cè)試。使用命令行程序測(cè)試DNS服務(wù)器:開(kāi)始---運(yùn)營(yíng)---cmd---nslookup29.在使用DHCP時(shí),網(wǎng)絡(luò)上至少有一臺(tái)Windows2023服務(wù)器上安裝并配置了DHCP服務(wù),網(wǎng)絡(luò)上要使用DHCP服務(wù)的主機(jī)必須設(shè)立成使用DHCP自動(dòng)獲得IP地址。作用域是指接受DHCP服務(wù)的網(wǎng)絡(luò)上的單個(gè)物理子網(wǎng)??蛻?hù)機(jī)的地址租約默認(rèn)是8天,續(xù)訂由客戶(hù)端自動(dòng)完畢。作用域激活后,DHCP服務(wù)器才可認(rèn)為客戶(hù)機(jī)分派IP地址。DHCP服務(wù)器為一客戶(hù)機(jī)分派固定IP地址時(shí),需要執(zhí)行的操作是新建保存。釋放地址租約:ipconfig/release重新獲取地址租約:ipconfig/renewDHCP服務(wù)器中常用的配置作用域選項(xiàng)有路由器選項(xiàng)和DNS服務(wù)器選項(xiàng)。30.瀏覽器與服務(wù)器之間傳送信息的協(xié)議是HTTP,即超文獻(xiàn)傳輸協(xié)議,用于傳輸網(wǎng)頁(yè)等內(nèi)容,使用TCP協(xié)議,默認(rèn)端標(biāo)語(yǔ)是80.在Windows2023中只要添加操作系統(tǒng)的集成組建IIS就可以實(shí)現(xiàn)WEB服務(wù)。一個(gè)網(wǎng)站相應(yīng)服務(wù)器上的一個(gè)目錄,建立WEB站點(diǎn)時(shí)必須為每個(gè)站點(diǎn)指定一個(gè)主目錄,當(dāng)然也可以是默認(rèn)的子目錄。設(shè)立網(wǎng)站選項(xiàng)中可以設(shè)立網(wǎng)站的標(biāo)記、站點(diǎn)的連接限制以及啟用日記記錄并配置站點(diǎn)的日記記錄格式。若Web站點(diǎn)未設(shè)立默認(rèn)內(nèi)容文檔,訪(fǎng)問(wèn)站點(diǎn)時(shí)必須提供首頁(yè)內(nèi)容文獻(xiàn)名設(shè)立目錄安全選項(xiàng)卡可以選擇配置下列三種方法:身份認(rèn)證和訪(fǎng)問(wèn)控制、IP地址和域名限制、安全通信。設(shè)立性能選項(xiàng)卡可以設(shè)立影響帶寬使用的屬性,以及客戶(hù)端WEB連接的數(shù)量。IIS自動(dòng)將帶寬限制設(shè)立成最小值1024byte/s.設(shè)立篩選器選項(xiàng):ISAPI篩選器是在解決HTTP請(qǐng)求選項(xiàng)中響應(yīng)事件的程序??梢粤谐雒總€(gè)篩選器的狀態(tài)(可以啟用或是禁用)、名稱(chēng),以及加載到內(nèi)存中的優(yōu)先級(jí)。設(shè)立HTTP頭選項(xiàng):可以在HTML頁(yè)的標(biāo)題中設(shè)立返回瀏覽器的值,還可以設(shè)立內(nèi)容分級(jí)及定義MIME類(lèi)型(MIME類(lèi)型就是設(shè)定某種擴(kuò)展名的文獻(xiàn)用一種應(yīng)用程序來(lái)打開(kāi)的方式類(lèi)型,當(dāng)該擴(kuò)展名文獻(xiàn)被訪(fǎng)問(wèn)的時(shí)候,瀏覽器會(huì)自動(dòng)使用指定應(yīng)用程序來(lái)打開(kāi)。多用于指定一些客戶(hù)端自定義的文獻(xiàn)名,以及一些媒體文獻(xiàn)打開(kāi)方式。)。設(shè)立自定義錯(cuò)誤選項(xiàng):可以使用IIS提供的一般默認(rèn)HTTP1.1錯(cuò)誤或具體的自定義錯(cuò)誤文獻(xiàn),或是創(chuàng)建自己的自定義錯(cuò)誤文獻(xiàn)。這些值可以對(duì)所有站點(diǎn)進(jìn)行全局設(shè)立,也可以在每個(gè)站點(diǎn)中單獨(dú)設(shè)立,IIS對(duì)于這些設(shè)立使用繼承模式。IIS6.0可以使用虛擬服務(wù)器的方法在一臺(tái)服務(wù)器上構(gòu)建多個(gè)網(wǎng)站,各網(wǎng)站可以使用主機(jī)頭名稱(chēng)、IP地址、非標(biāo)準(zhǔn)TCP端標(biāo)語(yǔ)來(lái)進(jìn)行區(qū)分。此外還可以使用虛擬目錄的方法來(lái)發(fā)布多個(gè)網(wǎng)站。31.FTP使用“客戶(hù)機(jī)/服務(wù)器”的工作方式。構(gòu)建FTP服務(wù)器的軟件有IIS.6.0中集成的FTP服務(wù)、Serv-UFTPServer。FTP服務(wù)器缺省的端標(biāo)語(yǔ)是21。服務(wù)器域的存儲(chǔ)位置對(duì)話(huà)框中,對(duì)于小的域選擇.INI文獻(xiàn)存儲(chǔ),對(duì)于大的域(用戶(hù)數(shù)大于500)應(yīng)選擇注冊(cè)表可以提供更高的性能。FTP服務(wù)器的選項(xiàng)涉及服務(wù)器選項(xiàng)、域選項(xiàng)、組選項(xiàng)和用戶(hù)選項(xiàng)。服務(wù)器選項(xiàng)涉及最大上傳速度和最大下載速度、最大用戶(hù)數(shù)量、檢查匿名用戶(hù)密碼、刪除部分已上傳的文獻(xiàn)、禁用反超時(shí)調(diào)度、攔截“FTP-BOUNCE”襲擊和FXP(FileExchangeProtocol文獻(xiàn)互換協(xié)議FXP是一個(gè)服務(wù)器之間傳輸文獻(xiàn)的協(xié)議,這個(gè)協(xié)議控制著兩個(gè)支持FXP協(xié)議的服務(wù)器,在無(wú)需人工干預(yù)的情況下,自動(dòng)地完畢傳輸文獻(xiàn)的操作。在我們的客戶(hù)機(jī)上,可以簡(jiǎn)樸的發(fā)送一個(gè)傳輸?shù)拿?,即可控制服?wù)器從另一個(gè)FTP服務(wù)器上下載一個(gè)文獻(xiàn),下載過(guò)程中,無(wú)須客戶(hù)機(jī)干預(yù),客戶(hù)機(jī)甚至可以斷網(wǎng)關(guān)機(jī)。這種協(xié)議通常只合用于管理員作管理的用途,在一般的公開(kāi)FTP服務(wù)器上,是不會(huì)允許FXP的,由于這樣會(huì)浪費(fèi)服務(wù)器資源,并且有也許出現(xiàn)安全問(wèn)題。).域常規(guī)選項(xiàng)可以設(shè)立域內(nèi)最大的同時(shí)在線(xiàn)用戶(hù)數(shù)、最小密碼長(zhǎng)度、是否規(guī)定復(fù)雜密碼等選項(xiàng)。域虛擬途徑選項(xiàng)窗口可以將物理目錄映射為虛擬目錄,虛擬目錄建立完畢以后,并不是該域下的每個(gè)用戶(hù)都可以訪(fǎng)問(wèn),需要對(duì)用戶(hù)的途徑進(jìn)行設(shè)立。域IP訪(fǎng)問(wèn)選項(xiàng):可以通過(guò)設(shè)立IP訪(fǎng)問(wèn)來(lái)限制某些IP地址是否可以訪(fǎng)問(wèn)FTP服務(wù)器。也可以針對(duì)每個(gè)用戶(hù)進(jìn)行設(shè)立。域消息選項(xiàng):域消息要事先創(chuàng)建并編輯。域記錄選項(xiàng):可以選擇各種消息和記錄是否顯示在屏幕上、是否記錄在域的日記文獻(xiàn)中,還可以設(shè)立日記文獻(xiàn)的命名方法及創(chuàng)建規(guī)則。域上傳/下載率選項(xiàng):可以添加用戶(hù)訪(fǎng)問(wèn)服務(wù)器時(shí)不計(jì)入到上傳/下載率的文獻(xiàn)。用戶(hù)賬號(hào)選項(xiàng):在此窗口中【禁用賬號(hào)】會(huì)臨時(shí)禁用一個(gè)賬號(hào),而不需要將其刪除;選擇【自動(dòng)】會(huì)將一個(gè)僅需要使用一段時(shí)間、以后不再使用的一個(gè)賬號(hào),在指定日期刪除。用戶(hù)常規(guī)選項(xiàng):可以設(shè)立最大上傳/下載率。用戶(hù)目錄訪(fǎng)問(wèn)選項(xiàng):訪(fǎng)問(wèn)權(quán)限分為文獻(xiàn)(讀取、寫(xiě)入、追加、刪除、執(zhí)行)、目錄(列表、建立、移動(dòng))、子目錄三類(lèi)。用戶(hù)上傳/下載率選項(xiàng):規(guī)定FTP客戶(hù)端在下載信息的同時(shí)也要上傳文獻(xiàn)??梢栽O(shè)立各種計(jì)算方法。用戶(hù)配額選項(xiàng)可以限制用戶(hù)上傳信息占用的存儲(chǔ)空間。32.電子郵件系統(tǒng)使用的協(xié)議重要有簡(jiǎn)樸郵件傳送協(xié)議SMTP,默認(rèn)的TCP端標(biāo)語(yǔ)是25,用于發(fā)送電子郵件。郵局協(xié)議POP3,默認(rèn)的TCP端標(biāo)語(yǔ)是110,訪(fǎng)問(wèn)并讀取郵件服務(wù)器上的郵件信息。Internet消息訪(fǎng)問(wèn)協(xié)議IMAP4,默認(rèn)的端標(biāo)語(yǔ)是143是用于客戶(hù)端管理郵件服務(wù)器上的郵件的協(xié)議。郵件系統(tǒng)的工作過(guò)程:用戶(hù)使用客戶(hù)端軟件創(chuàng)建新郵件。客戶(hù)端軟件使用SMTP協(xié)議將郵件發(fā)送到發(fā)放的郵件服務(wù)器上。發(fā)方的郵件服務(wù)器使用SMTP協(xié)議將郵件發(fā)送到接受方的郵件服務(wù)器,接受方的郵件服務(wù)器將接受的郵件發(fā)送到用戶(hù)的郵箱里等待用戶(hù)解決。接受方客戶(hù)端軟件使用POP3/IMAP4協(xié)議從郵件服務(wù)器讀取郵件。安裝郵件服務(wù)器軟件之前要安裝IIS。在快速設(shè)立向?qū)е?,可以輸入新建用?hù)的信息,涉及用戶(hù)名、域名及用戶(hù)密碼。Winmail郵件管理工具涉及系統(tǒng)設(shè)立(對(duì)郵件服務(wù)器的系統(tǒng)參數(shù)設(shè)立,涉及SMTP、郵件過(guò)濾、更改管理員密碼)、域名設(shè)立(可以增長(zhǎng)新的域,用于構(gòu)建虛擬郵件服務(wù)器、刪除已有的域、還可以對(duì)域的參數(shù)進(jìn)行修改)、用戶(hù)和組(增刪用戶(hù)、修改用戶(hù)的配置、管理用戶(hù))、系統(tǒng)狀態(tài)和系統(tǒng)日記。Winmail郵件服務(wù)器允許用戶(hù)自行注冊(cè)新郵箱為了使其他郵件服務(wù)器將收件人的郵件轉(zhuǎn)發(fā)到該郵件服務(wù)器,需要建立郵件路由,即在DNS郵件服務(wù)器中建立郵件服務(wù)器主機(jī)記錄和郵件互換器記錄。33.數(shù)據(jù)備份從備份模式來(lái)看,可以分為物理備份和邏輯備份:從備份策略來(lái)看可以分為完全備份、增量備份和差異備份;根據(jù)備份服務(wù)器在備份過(guò)程中是否可以接受用戶(hù)響應(yīng)和數(shù)據(jù)更新,又可以分為離線(xiàn)備份和熱備份。邏輯備份也可以稱(chēng)作基于文獻(xiàn)的備份。它的缺陷是對(duì)于文獻(xiàn)的一個(gè)很小的改動(dòng)也需要備份整個(gè)文獻(xiàn)。物理備份有稱(chēng)基于快的備份或是基于設(shè)備的備份,文獻(xiàn)的恢復(fù)變得復(fù)雜和緩慢。它適合于指定一個(gè)特定的文獻(xiàn)系統(tǒng)來(lái)實(shí)現(xiàn),并且不易移植。它的另一個(gè)缺陷是也許產(chǎn)生數(shù)據(jù)的不一致。完全備份增量備份差異備份空間使用最多最少少于完全備份備份速度最慢最快快于完全備份恢復(fù)速度最快最慢快于增量備份完全備份工作量大、成本高、備份時(shí)間長(zhǎng)。但直觀、簡(jiǎn)樸,也是最基本的備份方式。增量備份只備份相對(duì)于上一次備份操作以來(lái)新創(chuàng)建或者更新過(guò)的數(shù)據(jù)。但是在發(fā)生數(shù)據(jù)丟失和誤刪除操作時(shí),恢復(fù)工作會(huì)變得比較麻煩,可靠性差。完全備份+增量本分+增量備份+增量備份+。。。差異備份備份上一次完全備份后產(chǎn)生和更新的所有新的數(shù)據(jù)。工作量小于完全備份,但大于增量備份。完全備份+差異備份。冷備份不接受用戶(hù)與應(yīng)用對(duì)數(shù)據(jù)的更新,很好的解決了并發(fā)操作帶來(lái)是數(shù)據(jù)不一致問(wèn)題。缺陷是備份時(shí)間較長(zhǎng)。熱備份會(huì)產(chǎn)生數(shù)據(jù)不一致的現(xiàn)象。常用的備份設(shè)備有:磁盤(pán)陣列、光盤(pán)塔、光盤(pán)庫(kù)、磁帶機(jī)、磁帶庫(kù)、光盤(pán)網(wǎng)絡(luò)鏡像服務(wù)器。Windows2023備份程序支持的五種備份方法:副本備份:復(fù)制所有選中的文獻(xiàn),但不將這些文獻(xiàn)標(biāo)記為已備份(即不清除存檔屬性)。每日備份:已備份文獻(xiàn)在備份后不做標(biāo)記。差異備份:備份后不標(biāo)記為已備份文獻(xiàn)。增量備份:備份后標(biāo)記文獻(xiàn)。正常備份:備份后標(biāo)記文獻(xiàn)。根據(jù)防火墻的實(shí)現(xiàn)技術(shù),防火墻可以分為包過(guò)濾路由器、應(yīng)用級(jí)網(wǎng)關(guān)、應(yīng)用代理和狀態(tài)檢測(cè)。防火墻的系統(tǒng)結(jié)構(gòu)可以分為報(bào)過(guò)濾路由器結(jié)構(gòu)、雙宿主主機(jī)結(jié)構(gòu)(運(yùn)營(yíng)應(yīng)用級(jí)網(wǎng)關(guān)軟件的計(jì)算機(jī)必須非??煽?--堡壘主機(jī))、屏蔽主機(jī)結(jié)構(gòu)、屏蔽子網(wǎng)結(jié)構(gòu)(兩個(gè)過(guò)濾路由器、兩個(gè)堡壘主機(jī))。當(dāng)使用品有3個(gè)網(wǎng)絡(luò)接口的防火墻時(shí),就會(huì)產(chǎn)生3個(gè)網(wǎng)絡(luò):內(nèi)部區(qū)域(內(nèi)網(wǎng))、外部區(qū)域(外網(wǎng))、非軍事化區(qū)(DMZ)。CiscoPIX525防火墻提供四種管理訪(fǎng)問(wèn)模式:非特權(quán)模式(開(kāi)機(jī)自檢進(jìn)入,提醒符為pixfirewall>)、特權(quán)模式(輸入enable進(jìn)入,提醒符為pixfirewall#)、配置模式(在特權(quán)模式下輸入configureterminal,提醒符為pixfirewall(config)#)、監(jiān)視模式(防火墻在開(kāi)機(jī)或重新啟動(dòng)過(guò)程中按Esc鍵或是發(fā)送一個(gè)“Break”字符,提醒符為monitor>,在監(jiān)視模式下,可以進(jìn)行操作系統(tǒng)映像更新、口令恢復(fù)等操作)。配置防火墻接口的名字,并指定安全級(jí)別:Pix525(config)#nameifethernet0outsidesecurity0Pix525(config)#nameifethernet1insidesecurity100Pix525(config)#nameifethernetdmzsecurity50缺省情況下,ethernet0并命名為外部接口(outside),安全級(jí)別是0,ethernet1是內(nèi)部接口(inside),安全級(jí)別是100。安全級(jí)別取值范圍是0~99,數(shù)字越大,安全級(jí)別就越高。配置以太網(wǎng)接口:Pix525(config)#interfaceethernet0auto采用自動(dòng)協(xié)商方式Pix525(config)#interfaceethernet1100full采用100Mbps全雙工方式配置網(wǎng)卡的IP地址:Pix525(config)#ipaddressoutside202.113.79.12540防火墻在外網(wǎng)的IP地址是202.113.79.1Pix525(config)#ipaddressinside192.168..0.1防火墻在內(nèi)網(wǎng)的IP地址是192.168..0.1指定要轉(zhuǎn)換的內(nèi)部地址:nat作用是將內(nèi)網(wǎng)的私有IP地址轉(zhuǎn)化為外網(wǎng)的公有IP地址。Pix525(config)#nat(inside)1192.168..0.1255.255.255.0192.168..0.1這個(gè)網(wǎng)段內(nèi)的主機(jī)可以訪(fǎng)問(wèn)外網(wǎng)global為指定外部IP地址范圍(地址池)。Pix525(config)#global(outside)1201.113.79.1-202.113.79.14設(shè)立外部地址池為201.113.79.1-202.113.79.14設(shè)立指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由routePix525(config)#routeoutside00218.81.20.11配置靜態(tài)nat:假如從外網(wǎng)發(fā)起一個(gè)會(huì)話(huà),會(huì)話(huà)的目的地址是內(nèi)網(wǎng)的IP地址,static就把內(nèi)部地址翻譯成一個(gè)指定的全局地址,允許這個(gè)會(huì)話(huà)建立。Pix525(config)#static(inside,outside)202.113.79.4192.168.0.4建立了內(nèi)部IP地址192.168.0.4和外部IP地址202.113.79.4之間的靜態(tài)映射。conduit命令用來(lái)允許數(shù)據(jù)流從具有較低安全級(jí)別的接口流向具有較高安全級(jí)別的接口。Pix525(config)#conduitpermittcphost192.168.0.4eqwwwany允許任何外部主機(jī)對(duì)全局地址的這臺(tái)主機(jī)進(jìn)行http訪(fǎng)問(wèn)。fixup是啟用、嚴(yán)禁、改變一個(gè)服務(wù)或是協(xié)議通過(guò)PIX防火墻,由fixup命令指定的端口是PIX防火墻要偵聽(tīng)的服務(wù)。Pix525(config)#fixupprotocolhttp80Pix525(config)#nofixupprotocolstmp啟用http協(xié)議,并指定http端標(biāo)語(yǔ)是80,禁用stmp協(xié)議。入侵檢測(cè)系統(tǒng)一般是由事件發(fā)生器、事件分析器、響應(yīng)單元與事件數(shù)據(jù)庫(kù)組成。入侵檢測(cè)技術(shù)可以分為異常檢測(cè)(基于記錄異常檢測(cè)、基于神經(jīng)網(wǎng)絡(luò)入侵異常檢測(cè)、基于數(shù)據(jù)采掘的異常檢測(cè))、誤用檢測(cè)(基于模式匹配的誤用入侵檢測(cè)、基于模型推理的毋庸入侵檢測(cè)、基于專(zhuān)家系統(tǒng)的誤用入侵檢測(cè)、基于狀態(tài)遷移分析的誤用入侵檢測(cè))兩種方式的結(jié)合。按照檢測(cè)的數(shù)據(jù)來(lái)源,入侵檢測(cè)系統(tǒng)可以分為:基于主機(jī)的入侵檢測(cè)系統(tǒng)(系統(tǒng)日記和應(yīng)用程序日記為數(shù)據(jù)來(lái)源)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(網(wǎng)卡設(shè)立為混戰(zhàn)模式,原始的數(shù)據(jù)幀是其數(shù)據(jù)來(lái)源)。分布式入侵檢測(cè)系統(tǒng)的三種類(lèi)型為層次型(存在單點(diǎn)失效)、協(xié)作型(存在單點(diǎn)失效)和對(duì)等型(無(wú)單點(diǎn)失效)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)一般有控制臺(tái)和探測(cè)器組成。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的探測(cè)器部署方法:網(wǎng)絡(luò)接口卡與互換設(shè)備的監(jiān)控端口連接。在網(wǎng)絡(luò)中增長(zhǎng)一臺(tái)監(jiān)控器改變網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),通過(guò)集線(xiàn)器(共享式監(jiān)聽(tīng)方式)獲取數(shù)據(jù)包。通過(guò)一個(gè)分路器TAP設(shè)備對(duì)交互式網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行分析和解決。當(dāng)需要多個(gè)監(jiān)聽(tīng)接口時(shí):對(duì)于多端口探測(cè)器,可以將TAP的引線(xiàn)分別直接接入探測(cè)器的監(jiān)聽(tīng)接口。對(duì)于不提供多端口的,可以將TAP的引線(xiàn)接到互換機(jī)或是集線(xiàn)器上。入侵防護(hù)系統(tǒng)整合了防火墻技術(shù)和入侵檢測(cè)技術(shù),采用In-Line工作模式。入侵防護(hù)系統(tǒng)重要有嗅探器、檢測(cè)分析組件、策略執(zhí)行組件、狀態(tài)開(kāi)關(guān)、日記系統(tǒng)和控制臺(tái)。嗅探器:負(fù)責(zé)接受數(shù)據(jù)包,對(duì)數(shù)據(jù)包協(xié)議類(lèi)型進(jìn)行解析,依據(jù)協(xié)議類(lèi)型開(kāi)辟緩沖區(qū),保存接受到的數(shù)據(jù)包,并提交檢測(cè)分析組件進(jìn)行分析解決。檢測(cè)分析組件:接受來(lái)之嗅探器的數(shù)據(jù)包,從中檢測(cè)襲擊事件的發(fā)生,通過(guò)特性匹配、流量分析和協(xié)議分析、會(huì)話(huà)重構(gòu)等技術(shù),并結(jié)合日記中的歷史記錄來(lái)分析襲擊的類(lèi)型和特點(diǎn)。將通過(guò)度析得到的系統(tǒng)防護(hù)策略提交給策略執(zhí)行組件,并將襲擊數(shù)據(jù)包信息、襲擊事件分析結(jié)果及相應(yīng)策略提交至日記系統(tǒng)保存,并將告警信息提交控制臺(tái)。策略執(zhí)行組件:負(fù)責(zé)執(zhí)行分級(jí)保護(hù)策略,是對(duì)抗襲擊的核心部分。所有接受到的數(shù)據(jù)都要通過(guò)策略執(zhí)行組件進(jìn)行轉(zhuǎn)發(fā)。策略執(zhí)行組件重要由簡(jiǎn)樸的地址端口過(guò)濾、特性值匹配、會(huì)話(huà)阻斷、流量控制以及一些針對(duì)蠕蟲(chóng)病毒和拒絕服務(wù)襲擊的特殊模塊組成。襲擊發(fā)生時(shí),策略執(zhí)行組件將按照組件內(nèi)的策略集和檢測(cè)分析組件提供的防御策略進(jìn)行防御。防御執(zhí)行過(guò)程將在日記系統(tǒng)中進(jìn)行記錄。日記系統(tǒng):負(fù)責(zé)對(duì)整個(gè)系統(tǒng)的工作過(guò)程進(jìn)行數(shù)據(jù)采集、記錄、統(tǒng)一分析和存儲(chǔ)管理。日記數(shù)據(jù)的來(lái)源是檢測(cè)分析組件和策略執(zhí)行組件??刂婆_(tái)和檢測(cè)分析組件是日記系統(tǒng)的使用者。他們根據(jù)需要通過(guò)數(shù)據(jù)庫(kù)管理系統(tǒng)和海量數(shù)據(jù)記錄分析系統(tǒng)提供數(shù)據(jù)。狀態(tài)開(kāi)關(guān):負(fù)責(zé)接受來(lái)之檢測(cè)分析組件的狀態(tài)轉(zhuǎn)換指令,并驅(qū)動(dòng)策略執(zhí)行組件轉(zhuǎn)換工作狀態(tài),對(duì)分布式拒絕服務(wù)襲擊進(jìn)行有效防御??刂婆_(tái):負(fù)責(zé)配置、管理、和控制IPS系統(tǒng)中其他組件。控制臺(tái)收集來(lái)之各組件的工作狀態(tài)信息和來(lái)之檢測(cè)分析組件的報(bào)警信息,并且以適當(dāng)方式呈現(xiàn)給管理員。入侵防護(hù)系統(tǒng)的分類(lèi):基于主機(jī)的入侵防護(hù)系統(tǒng)(安裝在受保護(hù)的主機(jī)系統(tǒng)中)、基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)(布置于網(wǎng)絡(luò)出口處,一般串聯(lián)于防火墻和路由器之間)和應(yīng)用入侵防護(hù)系統(tǒng)(部署于應(yīng)用服務(wù)區(qū)前端)。對(duì)于網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)來(lái)說(shuō),入侵檢測(cè)的準(zhǔn)確性和高性能是至關(guān)重要的。網(wǎng)絡(luò)管理命令:ipconfig顯示當(dāng)前TCP/IP設(shè)立hostname顯示當(dāng)前主機(jī)名稱(chēng)ARP顯示和修改ARP表項(xiàng)NBTSTAT顯示本機(jī)與遠(yuǎn)程計(jì)算機(jī)的基于TCP/IP的NetBIOS的記錄及連接信息NET管理網(wǎng)絡(luò)環(huán)境、服務(wù)、用戶(hù)、登記等本地信息NETSTAT顯示活動(dòng)的TCP連接、偵聽(tīng)的端口、以太網(wǎng)記錄信息、IP路由表和IP記錄信息。ping通過(guò)發(fā)送ICMP報(bào)文并偵聽(tīng)回應(yīng)報(bào)文,來(lái)檢查與遠(yuǎn)程或本地計(jì)算機(jī)的連接。默認(rèn)情況下發(fā)送4個(gè)報(bào)文,每個(gè)報(bào)文包含64個(gè)字節(jié)數(shù)據(jù)。tracert通過(guò)發(fā)送包含不同TTL報(bào)文并偵聽(tīng)回應(yīng)報(bào)文,來(lái)探測(cè)到達(dá)目的計(jì)算機(jī)的途徑pathping結(jié)合了ping和tracert命令的功能,將報(bào)文發(fā)送到所通過(guò)地所有路由器,并根據(jù)每跳返回的報(bào)文進(jìn)行記錄。route顯示或修改本地IP路由表的網(wǎng)關(guān)條目。略常見(jiàn)的網(wǎng)絡(luò)入侵與襲擊的基本方法:木馬入侵:C/S結(jié)構(gòu),重要的感染途徑有:黑客入侵后植入;運(yùn)用系統(tǒng)或軟件的漏洞植入;受到夾帶木馬的電子郵件,運(yùn)營(yíng)后植入;通過(guò)即時(shí)聊天軟件,發(fā)送具有木馬的鏈接或是文獻(xiàn),接受者運(yùn)營(yíng)后被植入;在自己的網(wǎng)站上放置一些偽裝后的木馬程序,宣稱(chēng)是好玩的或有用的工具等名目,讓不知道的人下載后運(yùn)營(yíng)后便可成功植入木馬。木馬植入后所進(jìn)行的操作:如同使用資源管理器同樣對(duì)一些文獻(xiàn)或是電子郵件進(jìn)行復(fù)制或是刪除等非法操作;轉(zhuǎn)向入侵,運(yùn)用被黑者的計(jì)算機(jī)來(lái)進(jìn)入其他計(jì)算機(jī)或是服務(wù)器進(jìn)行各種黑客行為,也就是找個(gè)替罪羊;監(jiān)控被黑者的計(jì)算機(jī)屏幕畫(huà)面的鍵盤(pán)操作來(lái)獲取各種密碼,例如進(jìn)入各種會(huì)員網(wǎng)頁(yè)的密碼、撥號(hào)上網(wǎng)的密碼、網(wǎng)絡(luò)銀行的密碼、郵件密碼等;遠(yuǎn)程遙控,操作對(duì)方的Windows系統(tǒng)、程序、鍵盤(pán)。漏洞入侵:Unicode漏洞入侵、跨站腳本注入、sql注入入侵協(xié)議欺騙襲擊:針對(duì)網(wǎng)絡(luò)協(xié)議的缺陷假冒用戶(hù)身份截取信息獲得特權(quán)的襲擊方式。重要的協(xié)議欺騙襲擊有IP欺騙襲擊、ARP欺騙襲擊、DNS欺騙襲擊、源路由欺騙襲擊??诹钊肭?緩沖區(qū)溢出漏洞襲擊:拒絕服務(wù)襲擊DoS:Smurf襲擊:襲擊者冒充受害者主機(jī)的IP地址,向一個(gè)大的網(wǎng)絡(luò)發(fā)送echorequest的定向廣播包,此網(wǎng)絡(luò)的許多主機(jī)都作出回應(yīng),受害主機(jī)會(huì)收到大量的echoreply消息。SYNFlooding(同步泛濫技術(shù)(SYNflooding)):運(yùn)用TCP連接的三次握手過(guò)程進(jìn)行襲擊。使用無(wú)效的IP地址。DDoS分布式拒絕服務(wù)襲擊:襲擊者攻破了多個(gè)系統(tǒng),并運(yùn)用這些系統(tǒng)去集中襲擊其他目的,成百上千的主機(jī)發(fā)送大量的請(qǐng)求,受害設(shè)備由于無(wú)法解決而拒絕服務(wù)。PingofDeath:通過(guò)構(gòu)造出重組緩沖區(qū)大小的異常的ICMP包進(jìn)行襲擊。Teardrop:運(yùn)用OS解決分片重疊報(bào)文的漏洞進(jìn)行襲擊。Land襲擊:向某個(gè)設(shè)備發(fā)送數(shù)據(jù)包,并將數(shù)據(jù)包的源地址和目的地址都設(shè)立成襲擊目的地址。39.常用的漏洞掃描工具有ISS、MicrosoftBaselineSecurityAnalyzer、X-Scanner等。40.計(jì)算機(jī)病毒的重要特性:非授權(quán)可執(zhí)行性、隱蔽性、傳染性、潛伏性、表現(xiàn)性或破壞性、可觸發(fā)性。計(jì)算機(jī)病毒按幾聲方式可以分為引導(dǎo)型病毒(寄生在磁盤(pán)引導(dǎo)區(qū)或主引導(dǎo)區(qū)。主引導(dǎo)區(qū)病毒有大麻病毒、2708病毒、火炬病毒。分引導(dǎo)區(qū)病毒有小球病毒、Girl病毒)、文獻(xiàn)型病毒(感染可執(zhí)行文獻(xiàn)或是數(shù)據(jù)文獻(xiàn),有1575/1591病毒、848病毒感染.COM和.EXE等可執(zhí)行文獻(xiàn)、Macro/Concept、Macro/Atoms等宏病毒感染、新世紀(jì)病毒、One-half病毒)和復(fù)合型病毒(Flip病毒、新世紀(jì)病毒、One-half病毒)。計(jì)算機(jī)病毒按照破壞性可以分為良性病毒(小球病毒、1575/1591病毒、救護(hù)車(chē)病毒、揚(yáng)基病毒)和惡性病毒(黑色星期五病毒、火炬病毒、米開(kāi)朗.基羅病毒)。惡意代碼:蠕蟲(chóng):是一個(gè)自我包含的程序,他可以傳播自身的功能或拷貝自身的片段到其他的計(jì)算機(jī)系統(tǒng)中。不需要把自身的附加在一段程序上,而是一個(gè)獨(dú)立的程序,可以積極運(yùn)營(yíng)。有兩種類(lèi)型的蠕蟲(chóng)病毒:宿主計(jì)算機(jī)蠕蟲(chóng)和網(wǎng)絡(luò)蠕蟲(chóng)。木馬:寄生在用戶(hù)的計(jì)算機(jī)系統(tǒng)中,盜用用戶(hù)信息,并通過(guò)網(wǎng)絡(luò)發(fā)送給黑客。沒(méi)有自我復(fù)制功能。傳播途徑重要有電子郵件、軟件下載和會(huì)話(huà)軟件。直接廣播地址:主機(jī)號(hào)全為1,它用來(lái)使路由器將一個(gè)分組以廣播方式發(fā)送給特定網(wǎng)絡(luò)上的所有主機(jī)。受限廣播地址:32位全為1的IP地址(255.255.255.255),用來(lái)將一個(gè)分組發(fā)送給本網(wǎng)絡(luò)上的所有主機(jī)?!斑@個(gè)網(wǎng)絡(luò)上的特定主機(jī)”地址:網(wǎng)絡(luò)號(hào)為全0,主機(jī)號(hào)為特定的值,這樣的分組限制在本
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024-2030年中國(guó)汽車(chē)美容市場(chǎng)運(yùn)行現(xiàn)狀及投資發(fā)展前景預(yù)測(cè)報(bào)告
- 2024-2030年中國(guó)汽車(chē)清洗系統(tǒng)行業(yè)運(yùn)營(yíng)模式發(fā)展規(guī)劃分析報(bào)告版
- 2024-2030年中國(guó)水泵壓力控制器項(xiàng)目申請(qǐng)報(bào)告
- 2024-2030年中國(guó)氯化鋅市場(chǎng)前景趨勢(shì)調(diào)研及發(fā)展戰(zhàn)略分析報(bào)告
- 2024-2030年中國(guó)氨綸纖維行業(yè)前景預(yù)測(cè)及發(fā)展?jié)摿ρ芯繄?bào)告權(quán)威版
- 2024-2030年中國(guó)氟米龍醋酸酯項(xiàng)目投資風(fēng)險(xiǎn)分析報(bào)告
- 2024-2030年中國(guó)民航維修業(yè)行業(yè)發(fā)展?fàn)顩r與運(yùn)營(yíng)效益預(yù)測(cè)報(bào)告
- 2024-2030年中國(guó)毛絨線(xiàn)行業(yè)市場(chǎng)運(yùn)營(yíng)模式及未來(lái)發(fā)展動(dòng)向預(yù)測(cè)報(bào)告
- 2024-2030年中國(guó)樣品箱展示板項(xiàng)目可行性研究報(bào)告
- 2024-2030年中國(guó)柴油多功能乘用車(chē)行業(yè)市場(chǎng)運(yùn)營(yíng)模式及未來(lái)發(fā)展動(dòng)向預(yù)測(cè)報(bào)告
- 同意降薪協(xié)議書(shū)
- MOOC 信號(hào)與系統(tǒng)-南京郵電大學(xué) 中國(guó)大學(xué)慕課答案
- HJT 166-2004 土壤環(huán)境監(jiān)測(cè)技術(shù)規(guī)范(正式版)
- 尋釁滋事罪探究
- 國(guó)開(kāi)2024年《機(jī)械設(shè)計(jì)基礎(chǔ)》形考任務(wù)1-4試題
- MOOC 創(chuàng)業(yè)基礎(chǔ)-暨南大學(xué) 中國(guó)大學(xué)慕課答案
- (2024年)共青團(tuán)光輝歷史
- 加油站百日攻堅(jiān)行動(dòng)實(shí)施方案
- 交通中國(guó)智慧樹(shù)知到期末考試答案2024年
- 2024年浙江杭州西湖云創(chuàng)集團(tuán)有限公司招聘筆試參考題庫(kù)附帶答案詳解
- (2024年)農(nóng)作物病蟲(chóng)害綠色防控技術(shù)課件
評(píng)論
0/150
提交評(píng)論