利用网络连接设备和传输介质将处于不同地理位置的、功能独立的计算机系统互联起来,通过使用功能完善的网络软件(网络通信协议、信息交换方式、网络操作系统),实现位于不同地理位置的资源的有效共享和信息传递的系统 2.1.2 局域网
1. 优点:覆盖有限的地理范围;具有较高的数据传
输速率、低误码率 ;易于建立、维护和扩展。 2. 网络拓扑:线缆和网络设备的布局以及数据传输
时所采用的路径。包括物理拓扑和逻辑拓扑。 ①逻辑拓扑定义了发送数据的主机访问传输介质的方式。
②物理拓扑:物理连接方式。总线型、环型、双环型、星型、扩展星型、树型、网型、蜂窝型。
3. 总线型:优点:易于安装、扩展;成本低。缺点:性能低(当增加更多的节点时);故障诊断困难 。 4. 星型:优点:易于扩展;易于诊断故障;
单个节点的故障不会影响整个网络。 缺点:集线器故障。
5. 环型:优点: 在负载繁重条件下性能良好。 缺点:扩展困难;单个节点发生故障影响整个网络。 2.1.3 城域网 MAN(Metropolitan Area Network) 1. 大型的局域网,使用的技术既有局域网技术也有广域网技术。
2. 与局域网的相同点:使用访问层、分布层、核心层的三层设计,使用区块化的设计模型,要与电信连接获得访问广域网的能力。 3. 可以提供很多电信级的增值业务。 2.1.4 广域网
覆盖范围广,可达一个地区、国家甚至全球。 第3章 OSI参考模型综述
3.1 OSI参考模型概述
1. OSI七层模型是国际标准化组织ISO于1984年提出的网络协议结构模型。在OSI标准的制定过程中,采用的是分层结构化方法, 2. 网络协议(Protocal)
协议是通信双方在通信过程中必须遵守一组规则和约定,它明确规定了所交换数据的格式、内容和传输顺序。
网络协议的三个组成要素:
(1)语法:用户数据与控制信息的结构与格式。 (2)语义:用于解释比特流的每一部分的意义。它规定了需要发出何种控制信息,以及完成的动作与做出的响应。
(3)时序:对事件实现顺序的详细说明及速度匹配。
4. 应用层:是用户的应用程序与网络之间的接口。使用用户的应用程序能与网络进行交互;不为任何层提供服务。 协议:
①超文本传输协议HTTP
②远程登录与访问协议(Telnet)
③简单邮件传输协议SMTP
④邮局协议(Post Office Protocol,POP3) ⑤文件传输协议(File Transfer Protocol,FTP) ⑥简单网络管理协议SNMP
5. 表示层:协商和建立数据交换的格式。负责设备间需要的任何字符集或数字转换。数据压缩;数据加密。
6. 会话层:负责建立、管理和终止两个通信主机之间的会话。会话层为表示层提供服务,使两个通信主机之间的对话同步,管理二者之间的数据交换。
协议:网络文件系统(Network File System,NFS);结构化查询语言(Structured Query Language,SQL);远程过程调用(Remote Procedure Call,RPC);图形窗口系统(X-Window System);AppleTalk会话协议(AppleTalk Session Protocol,ASP);会话控制协议(Session Control Protocol,SCP)。 7. 物理层:
位置:物理层位于 OSI参考模型的最低层,它的上一层是数据链路层,它向下直接与物理传输介质相连接。物理层的传输单位为比特。
功能:定义有关硬件设备的电气的、机械的、规程的和功能的规范,以激活和保持系统间的物理连接.
物理层协议的四个特性: 1.机械特性: 2.电气特性: 3.功能特性:4.规程特性:
8. 数据链路层:
基本功能:成帧、物理寻址、网络介质访问、错误检测、帧的顺序传送和流量控制等。 数据链路层的数据传输:
在发送数据时,此层将来自网络层的数据按一定格式封装成帧(Frame),再由物理层依次编码,经由传输媒体发送出去;
在接收数据时,此层将物理链路传送的比特流按一定格式组织成数据帧,并按照帧的语法规则去掉其外封,取得上层所需的数据包,向上层发送。 帧是数据链路层的数据传送的基本单位。将数
据以帧为单位传送,如发生差错可只将出错的有限数据进行重发,减小了传输代价。
帧同步:在封装成帧时,在帧的首尾加上起始与结束标志,以便接收端能够从比特流中区分出帧的开始与结束。
流量控制(Flow control)与纠错(Error correction):利用滑动窗口法(Sliding Window)。
帧校验序列(Frame Check Sequence):封装后
的帧的尾部包含帧校验序列,接收方利用帧校验序列检查接收到的数据是否正确,若检测出有错误数据将被丢弃,不会向上层发送。
物理寻址:帧的首部包含数据发送的目的物理地址。
数据链路层被定义两个子层: ① 介质访问控制子层MAC; (协商式、非协商式) ② 逻辑链路控制子层LLC。
把物理层的位组成帧;把网络层的数据分成帧。 目标地址 源地址 控制信息 数据 错误检测、帧的顺序传送和流量控制等问题。 9. 网络层:
主要解决分组在通信子网中的路由选择、拥塞控制、网络互联等问题
路由:通过综合考虑发送优先权、网络拥塞程度、服务质量、可选路由的花费决定从一个网络节点到另一节点的最佳路径。 层 次 物理层 功 能 连接媒体与信号、四个特性 据流的分组和重组。
典型协议是TCP协议和UDP协议。 UDP协议的特点
1面向无连接(Connectionless-oriented)○2不可靠○
3不提供传输信息的差错校验○4不重组传入传输○
5不提供流量控制○6不使用确认机制 的信息○
TCP协议的特点
1面向连接(Connection-oriented) ○
2可靠传输○3将要发送信息进行分段○
4在目标工作站重组信息(Segmentation)○
5重发未收到的数据○6提供流量控制(Assembly)○
7确认收到信息 ○
TCP 的首部格式
TCP 报文段分为首部和数据两部分。
TCP 的全部功能都体现在它首部中各字段的作用。 TCP 报文段首部的前 20个 字节是固定的,后面有 4N 字节是根据需要而增加的选项(N 必须是整
数)。因此 TCP 首部的最小长度是 20 字节。
错误校验码面向连接的传输 建立传输连接阶段——三段式握手法 传输数据阶段——滑动窗口与确认技术
释放传输连接阶段
三段式握手法(Three-Way Handshake) 1)发送端主机A 向接收端主机B发出序号为X的连接请求报文;
2)主机B向主机A发出序号为Y的应答报文,确认连接请求及同步连接参数;
3)主机A向主机B再次发送确认报文,通知主机B,确认双方都同意连接已经建立。
传输控制与确认技术
使用滑动窗口法控制数据流量与修正错误。
利用带重传的肯定确认PAR技术确保数据的可靠传输:
发送方发送一个数据段后,启动计时器。超时前没有收到确认,就重传。
接收方收到这个段后,发送一个确认段,包括的信息有:确认序号、希望收到的下一个段的序号,如果有数据也可以带上数据。
利用可变窗口大小进行流量控制开始双方确定的窗口值是 400
第4章 以太技术基础
1. 以太网技术初期采用的是总线型的拓扑结构。所以,以太网采用CSMA/CD(载波侦听多路访问/冲突检测)的介质访问机制。
2. 以太网是一种共享介质的广播技术。
以太网:采用CSMA/CD媒体访问控制技术的局域
数据链路层 帧、物理地址、网络拓扑、差错控制、流量控制 网络层 传输层 会话层 表示层 应用层 逻辑定址与路由选择 流量控制、确认重发、数据分段、可靠传输 对话控制管理 数据格式、压缩、加密 提供网络服务 10.传输层: 传输层是OSI RM中比较特殊的一层,位于资源子网和通信子网的交界处,起着承上启下的作用。 负责在源主机和目的主机之间提供可靠的数据传输(提供流量控制、窗口操作和纠错功能),以保证向上层提供可靠的传输能力。同时它还负责数
网。
以太网遵循IEEE802.3系列标准。
“以太网”实际上指的是一组网络技术,包括最初的以太网(10Mbit/s)、快速以太网(100Mbit/s) 、如果目标地址未知,转发到所有网段(源设备所在网段除外),称为泛洪(flooding) 9. 网络层设备:主要功能就是选择路径。路由器 OSI模型 网络设备 吉比特以太网(1000Mbit/s)和10Gbit/s以太网。 以太网采用基带传输方式。 以太网的MAC寻址过程。
以太网是无连接式网络结构,称为“尽量传送”系统。
3. 以太网使用MAC地址标识设备。带有以太网接口的任一设备(PC、路由器、交换机)都必须有一个MAC地址,在ROM中,启动时拷贝到RAM中。
4. 冲突域:网络上数据包可能产生冲突的区域范围。如共享媒体环境。
5. 广播域
广播信息所能达到的范围,称为广播域。 路由器不转发广播信息,路由器的不同连接端口是不同的广播域。
集线器:一个碰撞域,一个广播域 交换机:四个碰撞域,一个广播域
路由器:四个碰撞域,四个广播域
6. 物理层设备:不检查数据,只是处理比特传输,将衰减的信号还原。
中继器(Repeater):信号放大器,单一输入输出端口。
TCP/IP互连网协议 OSI模型 应用层 应用层、表示层、会话层 传输层 传输层 互连网层 网络层 网络访问层 链路层、物理层 集线器(Hub):逻辑上相当于一个共享总线的多端口中继器;
7. 数据链路层设备
第二层的设备会使用、检查、处理媒体访问地址(MAC)和Frame(第二层PDU),决定如何处理数据。
网卡(Network Interface Card,NIC);网桥(Bridge); 交换机(Switch) :与交换机相连的所有设备位于同一个广播域。
每一个交换机的端口都是一个独立的冲突域。 8. 交换机(Switch)交换方式
如果目标设备与Frame位于同一个网段,则网桥阻止Frame进入其他网段,称为过滤。
如果目标设备位于另一个网段,则网桥将Frame转发到相应网段,称为转发。
第四层以上 主机、服务器、网关 第三层 路由器 第二层 网桥、交换机 第一层 收发器、中继器、集线器 10. 交换网络的分层
访问层:二层交换机。网络的接入。
分布层:三层交换机。数据流量汇聚和分布的汇合点。安全策略配置、流量过滤、使用三层交换机的路由功能隔离广播、提供VLAN间的路由等。 核心层:中高端的交换机。骨干级的快速交换 11. 数据传输方式:全双工、半双工
半双工:只能发送或接收数据,而不能同时收发数据。总线型、HUB的星型;使用CDMA/CD机制。 全双工:数据的传输可以在收发两个方向上同时进行。
第5章 TCP/IP协议
1. TCP/IP(Transmission Control Protocol/Internet Protocol) 传输控制协议/互联网络协议 3. OSI模型各层常见通信协议 应用层 HTTP,FTP,Telnet,SMTP,POP3 表示层 实际应用很少 会话层 传输层 TCP,UDP,DPX 网络层 IP,IPX 数据链路层 E thernet,Token,Ring,FDDI 物理层 4. 应用层 Telnet FTP LPD SNMP TFTP SMTP NFS X-window 主机层 TCP UDP InternetIP ICMP ARP BootP RARP 层 网络访Ethernet Fase Token FDDI 问层 Ethernet Ring 5.2.2工作在传输层的协议
5. TCP传输规则及策略
滑动窗口法(Sliding Window)
窗口:是允许发送方发送的数据分组的个数。 TCP使用期待确认。即确认号是所期待接受的下一个。
窗口大小是动态协商的。
6.TCP协议的拥塞控制
拥塞控制窗口,通常,窗口大小和接收方滑动窗口的大小一样,当有数据分段丢失时(拥塞发生),窗口大小就会减半。
发送方会选择滑动窗口、拥塞控制窗口中较小的作为发送的数据包的大小。 7. 工作在网络层的协议
IP协议;ICMP协议;ARP;PARP。
ICMP协议
ICMP(Internet Control Message Protocol)互联网控制信息协议。用于向发送方发送差错和控制信息。 ARP
ARP(Address Resolution Protocol)地址解析协议。将IP地址映射到物理地址。
8. IP地址: 保留IP地址 网络地址:用于标识网络。IP地址中主机位全为0。 广播地址:用于向网络中的所有设备广播分组。IP地址中主机位全为1。
公有地址和私有地址
共有IP地址是Internet唯一的。
使用私有地址将网络连至Internet,需要将私有地址转换为公有地址。这个转换过程称为网络地址转换。通常由路由器完成。 私有IP地址 A 10.0.0.0 to10.255.255.255 B 172.16.0.0 to 172.16.255.255 C 192.168.0.0 to 192.168.255.255 9. 子网、子网掩码和子网划分 子网地址是网络号的扩展。
A B C类网络的默认子网掩码分别是:
255.0.0.0 255.255.0.0 255.255.255.0 子网掩码可确定子网地址。 子网掩码中:
1表示IP地址中相应的位为网络位或子网位; 0表示IP地址中相应的位为主机位 计算地址空间
给定一个IP地址和子网掩码,计算子网地址、广播地址、第一个和最后一个可用的地址。 Eg:计算地址空间172.16.2.160/26
例:分配了一个C类地址---192.168.5.0。假设需要20个子网,每个子网容纳5台主机。请决定如何将最后一个字节划分为子网部分和主机部分以及应使用的子网掩码。
根据子网划分表,将子网部分的长度设置为5
位可满足提供20个子网,每个子网5台主机的要求。
每个子网可容纳的主机数:2n-2(n为主机部分的位数)。
第6章 介质类型及Cisco设备接口 1.以太介质
(1)双绞线:根据护套内有没有屏蔽层,又可分为无屏蔽双绞线(UTP,Unshielded Twisted Pair)和屏蔽双绞线(STP,Shielded Twisted Pair)。
在局域网中使用双绞线作为传输介质,既可传输模拟信号,也可传输数字信号。 RJ-45的线序标准:T568A T568B
T568A:白绿、绿、白橙、蓝、白蓝、橙、白棕、棕
T568B:白橙、橙、白绿、蓝、白蓝、绿、白棕、棕
在EIA/TIA的线序标准
直通线(Straight-through Cable):网线的两端
可以都是568A,也可以都是568B,只要两端
相同就可以。 交叉线 (Crossover Cable):网线的一端是568A,另一端是568B。
全反线 (Rollover Cable):一端不论是哪一种标准都可以,另一端按照原顺序全部反接。
(2)广域网连接介质
光纤:光纤是光导纤维的简称,是一种光导体。光缆是网络传输介质中性能最好、应用最广泛的一种。可分为单模光纤、多模光纤:
提供时钟频率的一方称为DCE;接受时钟频率的一端称为DTE。一般,电信是DCE,用户的广域网接入设备是DTE。
2. 固化接口是固化在网络设备上的接口。 第7章
远程主机之间的数据传输是依靠IP地址标明目的地址,而通过不断变换源MAC地址与目的MAC地址传输数据。
第8章 IOS基本命令和Cisco设备结构简介 1. 交换机有初始设置,即不对交换机进行任何配置可工作。路由器必须进行配置。 2. Cisco网络设备启动顺序: (1)对设备硬件进行自检 (2)找到并提取IOS
(3)找到并应用被设定的配置
第9章 IP路由技术基础
1. 数据包本身没有变化,源IP地址和目的IP地址也没有变化,路由器根据目的IP确定路由。MAC
地址在每经过一台路由器时都发生变化。 2. 路由:是被用来把来自一台设备的数据包穿过网络发送到位于另一个网段的设备上的路径信息。它具体表现为路由器的路由表里的条目。
3. 路由技术:使路由器学习到路由,对路由进行控制,并且维护这些路由的完整、无差错的技术。 4.路由按其被学到的方式,分为:
静态路由:由网管手动配置在路由器的路由表里的路由。优先级大于动态路由。
动态路由:使用动态路由协议来让路由器自己学习路由。
运行同一种路由协议的相邻的路由器之间可以互相学习路由。
5. 路由协议和被路由协议
路由协议:被路由器用来自动地在网络里学习路由和维持所有的路由器都具有正确的路由表的协议,如RIP、IGRP、OSPF、EIGRP。 6. 路由协议的分类
按学习路由和维护路由表的方法分类: 距离矢量路由协议:RIP、IGRP
链路状态路由协议:OSPF、IS-IS
混合型路由协议:有距离矢量和链路状态的特点。EIGRP(Cisco专有)。
按是否能够学习到子网分类:
有类:不支持可变长度的子网掩码。 RIP v1、IGRP 无类:支持可变长度的子网掩码。RIP v2、OSPF、EIGRP.
7. 邻居关系(peers)对于运行动态路由协议的路由器很重要。路由器周期性地发送一些Hello包,维持邻居关系。
8. 管理距离:一台路由器上,可能会启用多种路由协议。每种路由协议都有一个被规定好的用来判断路由协议优先级的值,这个值称为~。
9. 度量值:路由协议根据自己的路由算法计算出来的一条路径的优先级。
当有多条路径到达同一个目的地时,度量值最小的路径是最佳的路径。
当路由器学到到达同一个目的地的多条路径时,它会先比较它们的管理距离。如果管理距离不同,则说明路由协议不同,管理距离小的优先。如果管理距离相同,为同一种路由协议,再比较度量值。 第10章 距离矢量路由协议
1. 根据邻接路由器信息定期(30S)更新路由选择表。路由表副本给相邻路由器。
2. 距离矢量路由协议学习路由的方法
(1)学习路由的方法:依靠和邻居之间周期性地
交换路由表,即通过传递路由更新包来学习路由。 (2)路由更新包的格式决定了路由协议是有类的还是无类的
RIP v1 不支持子网。
RIP v2 支持子网,是在路由更新包的格式里有放置子网掩码的位置。
3.距离矢量路由协议保证路由表正确性的六种方法 (1)保证路由表正确性的六种方法: 最大的度量值;水平分割;路由中毒;反向下毒;保持时间;触发更新。
3. RIP(路由信息协议)协议的特性和配置方法: 度量值:跳数,最大值是15。跳数最少的路径
为最佳路由,不考虑带宽。 默认支持4条路经做负载均衡,最多能支持6条。但不支持不等开销链路作负载均衡。 30秒:周期性更新路由包时间 90秒: 如果90秒没有收到邻居的更新包,路由器就认为邻居路由器坏了,进入保持状态。 180秒:保持时间
RIPv1是分类路由选择协议,不支持子网。
RIPv2是无分类路由选择协议,支持子网。RIPv2路由更新包中有子网掩码信息。
4. IGRP协议的特性和配置方法
Cisco专有协议。距离矢量路由选择协议,大型网络中(30个路由器)。
度量值:根据延迟、带宽、负载、可靠性、MTU选择路径。网络管理员设置度量值的权值,也可IGRP自动计算。默认使用带宽和延迟作为度量值。 默认支持4条路经做负载均衡,最多能支持6条。支持不等开销链路作负载均衡。
使用广播方式每隔90s更新路由表。270秒没有收到邻居的更新包,认为邻居路由器坏了。保持时间是280秒。
第11章 链路状态路由协议和混合型路由协议 1. 链路状态通告(LSA):路由器发送的路由选择信息的小分组。
①发送的是自己的链路状态,不是路由表。 ②组播式发送。
③触发式更新。网络发生变化时更新,较长时间进行定期更新(30分钟)
2. 拓扑数据库:通过LSA收集到的信息集合。 3. 最短路径优先(SPF)算法:基于拓扑数据库的计算,结果是SPF树。
4. 链路状态路由协议的算法
SPF依据的是带宽,每条链路根据其带宽都有相应
的开销,开销越小,链路的带宽越大。 5. 链路状态路由协议的优点与不足:
优点:收敛速度快;路由更新的操作更加有效
缺点:○
1内存和处理器要求高;○2开始工作时等待时间长;○
3要求在网络中划分区域,对每个区域的路由进行汇总,要求进行体系化编址。
6. 与距离矢量路由协议的比较
○
1对整个网络拓扑的了解; ○
2计算路由的算法;○3路由更新 7.OSPF(开放式最短路径优先)路由协议: 是一种IGP协议,只能工作在自治域内部。 收敛时间短:链路状态更新包(LSU),重新计算路由。
8. OSPF路由协议的术语 链路开销:OSPF把到达目的网段的链路开销相加,之和最小的路径为最短路径。链路开销=108/带宽(bps)。100Mbps的带宽开销是1。 拓扑表(链路状态数据库):依据邻居表
路由表:依据拓扑表,根据最短路径优先算法。 9. OSPF路由协议适用的网络类型 广播多路访问:包括,以太网、令牌环网、FDDI,
需要进行DR与BDR的选举。 点对点网络:专线
非广播多路访问:包括:贞中继、X.25。 10. DR与BDR的选举
路由器优先级高的作为DR,第二高的作为BDR,优先级为零的永远不能为DR、BDR。如果优先级都是默认的1,比较路由器的标识,标识大的作为DR,第二的作为BDR。DR出现故障,BDR升为DR,再选BDR;原DR只能等下一次的选举. 11. EIGRP路由协议与IGRP路由协议的比较 (1)度量值的计算:度量值=带宽+延迟 IGRP的带宽=10 000 000/网络实际带宽 EIGRP的带宽=(10 000 000/网络实际带宽)*256 IGRP延迟=实际延迟/10
EIGRP延迟=(实际延迟/10)*256
(2)兼容模式:可以在网络中同时使用EIGRP和IGRP
(3) 最大跳数: EIGRP为224, IGRP为255 (4)自动的路由再发布:相同的自治域系统号的EIGRP和IGRP,可以自动的路由再发布。 (5)路由的标记: EIGRP的路由标记是D,而DEX表示是其他路由协议再发布给EIGRP协议的路由。 12. EIGRP路由协议的概念和术语 邻居表:是EIGRP路由协议中最重要的表。在邻居表里记录着路由器的所有的邻居路由器。
拓扑表:包含到达目的网段的多条路径。
路由表:利用邻居表、路由表,使用DUAL算法,计算出到达每一个目的网段的度量值最小的路径。 后继:到达目的网段的最佳路径。路由器的路由表中只有后继。
可行性后继:后继的备份路径。当后继发生故障,会立即从拓扑表中将可行性后继选为后继。 邻居的发现和恢复:
RIP IGRP只是简单地向所有接口广播路由更新包。 EIGRP OSPF会和相邻的路由器建立邻居关系,相互交换拓扑信息。
EIGRP默认5秒发送一次Hello包。 13. EIGRP路由协议的包类型
Hello包:确认包;更新包;请求包;答复包。 第12章 访问控制列表
1. 访问控制列表的作用
通过访问控制列表(Access Control Lists,ACL),路由器提供了基本的流量过滤能力;
管理网络数据流量,识别和过滤数据包,决定是转发还是丢弃;实现安全策略。
2. 访问控制列表的应用
把预先定义好的访问控制列表,应用于路由器的接口上。
在虚拟终端接口(vty)上应用访问控制列表,允许或拒绝某些用户远程登录(telnet)到路由器 3. 访问控制列表过滤数据包所依据的条件 IP包头格式。
根据所使用的判断条件不同,访问控制列表分为:
○
1标准的 访问控制列表○2扩展的 访问控制列表 4. 访问控制列表的操作
自上而下 按顺序 数据包与访问控制列表中的语句比较
有匹配的条件语句后,执行允许或拒绝。不和下面的语句比较。
最后有隐含的“全部拒绝”语句。 6. 定义访问控制列表时所应遵循的规范 列表号决定了是标准的、扩展的。
一个访问控制列表是每协议、每接口、每方向的 访问控制列表的语句顺序决定了对数据包的控制顺序
最有限制性的语句应该放在首行
先建立访问控制列表,再应用到接口上
访问控制列表不能被逐条删除,只能删除整个访问控制列表。
在访问控制列表至少要有一条允许语句
访问控制列表只能过滤穿过路由器的数据流量,不
能过滤路由器本身发出的数据包。
7. 配置扩展的访问控制列表
实例一:假设公司的服务器位于网络210.200.47.0上。
(1)允许每个人到公司的web服务器210.200.47.80浏览网页:
Router(config)# access-list 101 permit tcp any 210.200.47.80 0.0.0.0 eq www
(2)允许每个人到公司的DNS服务器210.200.47.53使用DNS服务:
Router(config)# access-list 101 permit udp any 210.200.47.53 0.0.0.0 eq domain (3)允许来自网络211.21.160.0的全体人员完全访问任何一部服务器: Router(config)#
access-list
101
permit
ip
211.21.160.0 0.0.0.255 210.200.47.0 0.0.0.255 (4)拒绝通往211.21.160.0网络上的任何一台服务器:
Router(config)# access-list 101 permit ip any 211.21.160.0 0.0.0.255
8.配置命名的访问控制列表
使用时应注意:同一名字不能由多个ACL共用,不同类型的ACL不能有相同的名称。命名ACL允许删除任意指定的语句,但新增的语句只能放在ACL的结尾处。
9. 放置ACL原则:尽可能把扩展ACL放置在距离通信流量的源最近的地方,把标准ACL放置在距离目的地最近的地方。 10. 配置访问控制列表的实验
实验1
只有位于192.168.2.0的网段的主机可以访问位于192.168.1.0网段的主机,位于192.168.3.0网段的主机不能访问位于192.168.1.0网段的主机。 做法1:access-list 1 permit 192.168.2.0 0.0.0.255
Int e0
Ip access-group 1 out
做法2: access-list 1 deny 192.168.3.0 0.0.0.255
access-list 1 permit any
Int e0
Ip access-group 1 out
对比区别。 实验2
使主机B不能访问位于192.168.1.0网段的主机。 Access-list 2 deny 192.168.2.3 0.0.0.0 Access-list 2 permit any Int e0
Ip access-group 2 out 使用扩展的:
Access-list 102 ip deny host 192.168.2.3
192.168.1.0 0.0.0.255 Access-list 102 ip permit any any Int e1
Ip access-group 102 in 实验1、2综合
做法1:access-list 1 deny host 192.168.2.3 access-list 1 permit 192.168.2.0 0.0.0.255 Int e0
Ip access-group 1 out
做法2:access-list 1 permit 192.168.2.0 0.0.0.255 access-list 2 deny host 192.168.2.3 access-list 2 permit any Int e0
Ip access-group 1 out Int e1 Ip access-group 2 in
分析:做法1的两条语句顺序;做法2主机B不能访问3段了。
实验4
允许位于192.168.2.0网段上的所有主机,只访问主机A的远程登录功能, 192.168.2.0网段及其他网段的主机不能访问位于192.168.1.0网段上的所有主机。
Access-list 101 ip permit 192.168.2.0 0.0.0.255 host 192.168.1.2 eq telnet Int e0
Ip access-group 101 out
实验5:远程登录的控制实验 只有主机B可以远程登录路由器 Access-list 1 permit host 192.168.2.3 Line vty 0 4 Login Pass 123
Access-class 1 in 第13章 交换概述
1. 桥接地址表: MAC地址与接口的映射。 2.网桥与交换机的比较
网桥是基于软件的;交换机是基于硬件的(延时小)。
网桥只能有一个生成树实体;交换机可以有多个生成树实体。
网桥最多有16个端口,交换机可以有很多,
固化的/模块化的。
3.二层、三层、多层交换机
二层:MAC地址;在表中没有,则广播(泛洪) 三层:MAC、IP地址;在表中没有,则丢弃;能分隔广播域。
多层交换机:端口号,基于传输层以上层的信息做安全过滤。
4. 对称交换和不对称交换
对称交换:在交换机的每个端口上,都连接了相同带宽的网段。
不对称交换:使用存储缓冲来存储交换过程中不能被及时转发的数据帧。
5. 存储缓冲:暂时放置数据的地反。 6.以太交换机的基本功能:
学习MAC地址;数据帧的转发/过滤决策; 维持网络无交换环路。
7. 交换机可以通过使用MAC地址表进行数据帧的转发/过滤决策。当数据帧到达交换机时,交换机会读取它的目的MAC地址,然后在MAC地址表里查找相应的映射。如果发现该数据帧的目的地连接的端口就是收到该数据帧的那个端口,即这个帧是一个本地帧,则忽略该数据帧,不再为该帧做转发操作,这称为过滤。如果该数据帧的目的地在其他端口上,则拷贝该数据帧并将它发送到目的主机所连接的端口,这称为转发。
8. 交换机转发数据帧的三种模式
存储转发模式; 快速转发模式;无碎片模式。
2,3 合一起叫直通模式。
存储转发模式(store and forward)
转发数据帧前,完整地接收整个数据帧。 进行循环冗余校验,丢弃出错帧。 保证了数据的正确性。 网络延迟长。
快速转发模式(fast forward)
不等数据帧完全进入交换机,读取帧头的目的MAC后转发。 不检查错误 延迟小
无碎片模式(fragment free)
等待数据帧进入交换机64字节时,读取帧头中的目的MAC转发该数据帧。
避免了小于64字节的冲突碎片被转发。 没有作循环冗余校验。 速度介于上两种之间。 9. 交换机的默认配置 Show running-config Show vlan Show flash Dir flash
第14章 生成树协议
1. 交换环路所带来的危害
产生广播风暴;出现帧的复制现象; MAC地址表不稳定。
2. 生成树协议的原理
负责在逻辑上解决环路问题的算法是生成树协议。目的是在网络中把复杂的环路变成简单且无环路的树型结构。
3. 生成树协议的算法 根交换机,称为根桥。
确定根桥的算法:交换机的优先级+MAC地址。 Cisco的交换机的优先级:0—65535,默认优先级是32768,如果不使用命令改变优先级,优先级是相同的。因此,往往是比较交换机的MAC地址, MAC地址最小的交换机成为根桥。 根桥的所有端口都不能是阻塞状态。 标志端口(designated port ) 根桥的所有端口是标志端口。 每一个网段有一个标志端口。 标志端口不能被阻塞。
根端口( root port )
每一台非根桥的交换机,都有一个端口成为根端口。
根端口是该交换机上到达根桥路经开销最小
的端口。
根端口不能被阻塞。
路径开销是到达某个目的设备的路径上一系
列端口开销的和。 路径开销相同时,把端口ID小的作为根端
生成树算法:确定根桥、标志端口、根端口、阻塞端口、标志端口。
确定阻塞端口:比较MAC地址, MAC地址较大的端口被阻塞。
4. 端口的状态
阻塞(Blocking),延时20秒。开始启动时。 监听(Listening),延时15秒。学习BPDU。 学习(Learning),延时15秒。计算生成树;学习MAC地址。 转发(Forwarding)。开始工作。
当交换机出现故障,向根交换机发送BPDU。
所有收到BPDU的交换机把端口全部置为阻塞,然后重复过程,直到收敛。 生成树协议的总延时在50秒左右。 第15章 VLAN 技术
1. VLAN的定义
虚拟局域网是一个网络设备或用户的逻辑分组,不受物理交换机区段的限制。
2. VLAN的优点 Broadcast:每种协议都会有广播发生,发生的频
率/次数,一般由1.协议类型2.在网络上运行的应用程序等决定。通过划分VLAN缩小广播域。 Security:不同VLAN的用户不能互相通信,除非依靠router来做VLAN间的通信。
Flexibility and Scalability :VLAN的灵活性和
可扩展性,可以不管物理位置如何,把适当的端口分配到适当的 VLAN中就可以了。 虚拟局域网在OSI模型的第2层与第3层中工
作。 虚拟局域网之间的通信由第3层路由所提供。 虚拟局域网提供了一种控制网络广播的方法。 网络管理员可以指定用户在特定的虚拟局域网
4. VLAN的分类: 静态VLAN;动态VLAN。 5. 干道:连接多台交换机的提供网络流量传输的物理或逻辑链路。
6. 交换机有两种链路:访问链路和干道链路,访问链路连接的是一般的属于某个VLAN的终端,干道链路连接的是交换机。 7.干道的配置命令
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk encapsulation {dot1q|ISL }
Switch# show trunk
8. 配置静态的VLAN
Swith(config)# vlan vlan_number Swith(config)# int f0/1
Swith(config-if)# switchport mode access Swith(config-if)# switchport access vlan 2 9. 检查静态的VLAN的命令
Show vlan
所做的vlan配置会自动保存到NVRAM中。 10. 取消端口属于某个VLAN的命令 Swith(config)# intface f0/1
Swith(config-if)# no switchport access vlan 3 Swith(config)# no vlan vlan_number 11. VTP的原理
VLAN在整个交换网络里是统一的。在一台交换机上配置VLAN后,用某种方法是其他交换机自动地学习到这些VLAN。这种使交换机自动学习VLAN的方法,就是VLAN干道协议(VLAN Trunking Protocol),简称VTP. 一台交换只能属于一个VTP域。 12. VTP域中交换机的模式 服务器;客户端;透明。
13. VTP的配置方法 vtp domain name
Swith(config)# vtp mode {server|client|transparent} 14. 核实VTP的命令 Swith# show vtp status
因篇幅问题不能全部显示,请点此查看更多更全内容