第一篇:全国计算机考试四级网络工程师复习考点总结3——路由器配置命令大全
1、进入特权模式 enable
router > enable
router #
2、进入全局配置模式 configure terminal
router > enable
router #configure terminal
router(conf)#
3、交换机命名 hostname routera 以routerA为例
router > enable
router #configure terminal
router(conf)#hostname routerA
routera(conf)#
4、配置使能口令 enable password cisco 以cisco为例router > enable
router #configure terminal
router(conf)#hostname routerA
routerA(conf)# enable password cisco5、配置使能密码 enable secret ciscolab 以cicsolab为例router > enable
router #configure terminal
router(conf)#hostname routerA
routerA(conf)# enable secret ciscolab6、进入路由器某一端口 interface fastehernet 0/17 以17端口为例router > enable
router #configure terminal
router(conf)#hostname routerA
routerA(conf)# interface fastehernet 0/17
routerA(conf-if)#
进入路由器的某一子端口 interface fastethernet 0/17.1 以17端口的1子端口为例router > enable
router #configure terminal
router(conf)#hostname routerA
routerA(conf)# interface fastehernet 0/17.17、设置端口ip地址信息
router > enable
router #configure terminal
router(conf)#hostname routerA
routerA(conf)# interface fastehernet 0/17 以17端口为例
routerA(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip和子网掩码
routerA(conf-if)#no shut 是配置处于运行中
routerA(conf-if)#exit8、查看命令 show
router > enable
router # show version 察看系统中的所有版本信息
show interface vlan 1 查看交换机有关ip 协议的配置信息
show running-configure 查看交换机当前起作用的配置信息
show interface fastethernet 0/1 察看交换机1接口具体配置和统计信息
show mac-address-table 查看mac地址表
show mac-address-table aging-time 查看mac地址表自动老化时间
show controllers serial + 编号 查看串口类型
show ip router 查看路由器的路由表
9、路由器telnet远程登录设置
router>enable
router #configure terminal
router(conf)#hostname routerA
routerA(conf)#enable password cisco 以cisco为特权模式密码
routerA(conf)#interface fastethernet 0/1 以17端口为telnet远程登录端口routerA(conf-if)#ip address 192.168.1.1 255.255.255.0
routerA(conf-if)#no shut
routerA(conf-if)#exit
routerA(conf)line vty 0 4 设置0-4 个用户可以telnet远程登陆
routerA(conf-line)#login
routerA(conf-line)#password edge 以edge为远程登录的用户密码
10、配置串口参数
两台路由器通过串口连接需要一个做为DTE,一个做为DCE。DCE设备要向DTE设备提供时钟频率和带宽。
DCE配置:
router>enable
router #configure terminal
router(conf)#hostname routerA
routerA(conf)#interface serial 0/0
routerA(conf_if)#clock rate 64000 提供时钟频率为64000
routerA(conf_if)#bandwidth 64 提供带宽为6
4DTE配置:路由器串口配置ip地址
router>en
router #configure terminal
router(conf)#hostname routerB
routerB(conf)#interface serial 0/0
routerB(conf_if)#ip address 192.168.1.1 255.255.255.011、静态路由的配置
配置路由器A的主机名和接口参数
router>enable
router#configure terminal
router(conf)#hostname routerA
routerA(conf)#interface fastethernet 0/1 路由器A的1端口为两路由器的连接端口routerA(conf-if)#ip address 192.168.2.1 255.255.255.0
routerA(conf-if)#no shutdown
routerA(conf-if)#exit
routerA(conf)# interface fastethernet 0/0 路由器A的0端口为与主机的连接端口routerA(conf-if)#ip address 192.168.1.2 255.255.255.0
routerA(conf-if)#no shutdown
配置路由器A的静态路由表
routerA(conf)#ip router 192.168.3.0 255.255.255.0 192.168.2.2在routerA上配置默认路由
routerA(conf)#ip route 0.0.0.0 0.0.0.0 192.168.2.2
routerA(conf)#ip classless
在routerA上配置动态路由(RIP)
routerA(conf)#router rip
routerA(conf)#network 192.168.1.0
routerA(conf)#network 192.168.2.012、动态路由的配置
router>enable
router#configure terminal
routerA(config)#route ospf 10配置ospf进程id
routerA(config-router)#network 192.168.0.0 0.0.0.255 area 013、访问控制列表配置
router(config-if)#ip access-group 1 in访问列表的入
router(config-if)#ip access-group 1 out访问列表的出
router(config)#access-list 1 premit 192.168.10.0 0.0.0.255允许192.168.10.0的网段通过router(config)#access-list 1 deny 192.168.10.0 2.0.0.255拒绝192.168.10.2的主机通过
router(config)#access-list 1 premit anyany表示0.0.0.0 255.255.255.255 router(config)#access-list 1 premit host 172.30.16.29host表示0.0.0.0
router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq
21拒绝来自172.16.4.0去往172.16.3.0的FTP流量
router(config)#ip access-list extended cisco创建名为cisco的命名访问控制列表 特别注意:
1、当目的网络不可达时,路由表的跳数显示为162、Bandwidth的带宽戴维为kbps3、encapsulation表示封装
4、pos接口的帧格式使用SDH:pos framing sdh5、配置ospf协议发布直连网段时会用的是反掩码
6、划分子网的时候需要子网掩码
第二篇:计算机四级考试_交换机_路由器命令总结
备注:黑体为需要输入的命令,/表示多项选一。本总结只是命令的简答总结,不包括命令的使用环境等。在机器型号方面3548和3500属于同一操作系统。一般来讲3500系列的配置要先进入各个视图然后在各个视图下配置,而6500需要在全局模式下配置。注意各种命令的选项和内容组成。
交换机命令:
3548命令总结:
基础命令:
1.进入全局配置模式: config t
2.设置主机名: hostname(添加主机名字)
3.配置超级用户命令:enbale secret 5(加密口令)4.配置远程登录口令:line vty 0 4
Password 7(加密口令)
Password 0(明码口令)5.配置管理地址:interface VLAN1
Ip address(ip 地址)(子网掩码)
端口配置命令:
1、进入端口配置模式:interface(端口号)
2、配置端口配置信息:discription(对端口的描述)
3、端口的开启和关闭:shutdown
no shutdown
4、配置端口的通信方式:duplex(auto /full/half)----(自动 全双
工 半双工)
5、配置端口的传输速率:speed(以Kbps为单位注意换算!)
若为自动则使用命令 speed auto
VLAN配置模式命令:
1、配置vtp 域名: vtp domain(域名)
2、配置vtp 模式:vtp mode(sever/client/transparent)
3、进入VLAN 模式:vlan data
4、建立VLAN :vlan(vlan ID)name(vlan name)
5、删除VLAN :no vlan(vlan ID)
6、为端口分配VLAN :先进入 端口模式
然后输入: switchport access vlan(vlan ID)
7、VLAN trunk 配置:先进入端口模式
然后输入 switchport mode trunk
8、封装vlan 协议:switchport trunk encapsulation
(dot1q/isl/negotiate)
9、设置允许中继的VLAN:switchport trunk allowed valn(vlan ID)
STP配置命令:
1、打开或者关闭STP:spanning-tree vlan(vlan ID)
no spanning-tree vlan(vlan ID)
2、配置根网桥:spanning-tree vlan(vlan ID)root primary 设置备份root :spanning-tree vlan(vlan ID)root secondary
3、配置生成树的优先级: spanning-tree vlan(vlan ID)priority
(0-61440)
4、配置BackboneFast生成树可选功能:spanning-tree backbonefast
5、配置UplinkFast生成树可选功能:spanning-tree uplinkfast spanning-tree uplinkfast max-update-rate(0-32000)
6、配置portfast 功能:spanning-tree portfast default
7、配置BPDU Filter可选功能 :spanning-tree portfast bpdufilter
default 6500命令总结:
基础命令:
1、进入超级用户配置模式:enable
2、设置主机名:set system name(添加主机名字)
3、配置超级用户命令:set enablepass
(旧密码)
(新密码)
(新密码)
4、配置远程登录口令:set password
(旧密码)
(新密码)
(新密码)
5、配置管理地址:set interface sc0(ip 地址)(子网掩码)(广播地址)
端口配置命令:
6、配置端口配置信息:set port name’(mod/port)(name)
7、端口的开启和关闭:set port enable(mod/port)
set port disable(mod/port)
8、配置端口的通信方式:set port duplex(mod/port)(auto
/full/half)----(自动 全双工 半双工)
9、配置端口的传输速率:set port speed(mod/port)(port-speed)
---以Kbps为单位
若为自动则使用命令set port speed(mod/port)auto set speed to duto
VLAN配置模式命令:
10、配置vtp 域名:set vtp domain(域名)
11、配置vtp 模式:set
vtp mode(sever/client/transparent)
12、建立VLAN :set vlan(vlan ID)name(vlan name)
13、删除VLAN :clear vlan(vlan ID)
14、为端口分配VLAN :set vlan(vlan ID)(mod/port)
VLAN trunk 配置:set trunk(mod/port)(mode)(type)
15、设置允许中继的VLAN:set trunk(mod/port)vlan(vlan
ID)
STP配置命令:
5、打开或者关闭STP:set spantree enable(vlan ID)
6、配置根网桥:set spantree root(vlan ID)
设置备份root :set spantree root secondary(vlan ID)
7、配置生成树的优先级: set spantree priority(0-61440)
8、配置BackboneFast生成树可选功能:set spantree backbonefast enable
9、配置UplinkFast生成树可选功能:set spantree uplinkfast enable
set spantree uplinkfast enable(单位是 packet/ms)
10、配置portfast 功能:set spantree portfast(mod/port)(enable/default/disable)
11、配置BPDU Filter可选功能 :set spantree portfast bpdu-filter(enable/disable)
set spantree portfast bpdu-filter(mod/port)(enbale/disable/default)
路由器命令
1、进入全局模式:configure terminal2、几个公用命令:
退出命令:exit 保存配置:wirte memory(保存到路由器的NVRAM)
write network tftp(保存到TFTP服务器)删除配置: Write erase 网络检测命令:telnet ping trace show(这几个命令应该重点了解下他们的作用和使用方法)
3、端口配置:进入:
interface(端口)
4、端口带宽:bandwidth(单位为Kbps)
5、开关端口:shutdown no shutdown
6、配置接口地址:ip address(ip地址)(子网掩码)
7、配置POS接口:先进入接口模式
Crc 32(可选的crc校验位是16 或
32)
Pos farming sdh(可选的帧格式是 sdh和 sonet)Pos flag s1 s0 2(s1 s0 =00 表示sonet帧的数据 S1 s0=10(十进制的2)表示是SDH的帧数据)
8、loopback接口配置:int loopback 0
ip address(ip 地址)(子网掩码)
no ip route-cache
no ip mroute-cache
9、配置静态路由:ip rpute(目的网络地址)(子网掩码)(下一
跳路由器地址)
10、配置RIP动态协议:router rip
Network(网络地址)--记住只写上网络地址即可。
配置被动接口:passive-interface(端口)
配置路由过滤:access-list 12 deny any
Router rip
Distribute-list 12 in(端口)
配置管理距离:distance 50
定义邻居路由:neighbor(邻居路由IP地址)
11、配置ospf动态协议:router ospf(进程号)
Network(网络地址)(反掩码)area(区域号)或者 network area(区域号)range(网络地址)(子
网掩码)
配置ospf引入外部路由的花费:redistribute metric(metric值0-16777214)
配置引入外部路由时缺省的标记值:redistribute tag(32位的数值)
配置引入外部路由时的缺省外部路由类型:redistribute 错哦nnected metric-type(1或 2)subnets
DHCP的配置:
1、配置DHCP pool名字并进入DHCP pool 配置模式:
Ip dhcp pool(地址池名字)
2、配置IP地址池的子网地址和地址掩码:network(network
号码)(子网掩码/掩码长度)
3、配置不用于动态分配的ip地址:ip dhcp excluded-address
(低地址
高地址)
4、配置IP地址池的缺省网关:default-router(最多允许8个)
5、配置IP地址池的域名:domain-name(名字)
6、配置IP地址池的域名服务器的IP地址:dns-sever(最多8
个)
7、配置IP地址的租约时间:lease(日 小时 分/infinte)
IP访问控制列表的配置:
1、配置标准访问控制列表:access-list(列表号)(permit/deny)
(源IP地址)(子网掩码)
2、配置扩展访问列表:access-list(列表号)(permit/deny)(协
议)(源地址)(子网掩码)(目的地址)(子网掩码)(lt/gt/eq/neq)(端口号)
3、使用ip access-list 命令:ip access-lis(extended/standard)
(列表号)(Pemit/deny)(协议)(源地址+子网掩码)(目的地址+子网掩码)(lt/gt/eq/neq)(端口号)
4、用名字表示访问控制列表的配置方法:与3大体相同,只是
将列表号换成字符与数字组成的名字。
5、将访问控制列表应用于端口:interface(端口号)
Ip access-group(控制列号)(in/out)
第三篇:华为路由器防火墙配置命令总结
华为路由器防火墙配置命令总结(上)
2006-01-09 14:21:29 标签:命令 配置 防火墙 华为 休闲
一、access-list 用于创建访问规则。
(1)创建标准访问列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)创建扩展访问列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)删除访问列表
no access-list { normal | special } { all | listnumber [ subitem ] }
【参数说明】
normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。
dest-addr 为目的地址。
dest-mask 为目的地址通配位。
operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。
icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
log [可选] 表示如果报文符合条件,需要做日志。
listnumber 为删除的规则序号,是1~199之间的一个数值。
subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。
【缺省情况】
系统缺省不配置任何访问规则。
【命令模式】
全局配置模式
【使用指南】
同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。
使用协议域为IP的扩展访问列表来表示所有的IP协议。
同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。
【举例】
允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相关命令】
ip access-group
二、clear access-list counters 清除访问列表规则的统计信息。
clear access-list counters [ listnumber ]
【参数说明】
listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
【缺省情况】
任何时候都不清除统计信息。
【命令模式】
特权用户模式
【使用指南】
使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。
【举例】
例1:清除当前所使用的序号为100的规则的统计信息。
Quidway#clear access-list counters 100
例2:清除当前所使用的所有规则的统计信息。
Quidway#clear access-list counters
【相关命令】
access-list
三、firewall 启用或禁止防火墙。
firewall { enable | disable }
【参数说明】
enable 表示启用防火墙。
disable 表示禁止防火墙。
【缺省情况】
系统缺省为禁止防火墙。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【举例】
启用防火墙。
Quidway(config)#firewall enable
【相关命令】
access-list,ip access-group
四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。
firewall default { permit | deny }
【参数说明】
permit 表示缺省过滤属性设置为“允许”。
deny 表示缺省过滤属性设置为“禁止”。
【缺省情况】
在防火墙开启的情况下,报文被缺省允许通过。
【命令模式】
全局配置模式
【使用指南】
当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。
【举例】
设置缺省过滤属性为“允许”。
Quidway(config)#firewall default permit
五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【参数说明】
listnumber 为规则序号,是1~199之间的一个数值。
in 表示规则用于过滤从接口收上来的报文。
out 表示规则用于过滤从接口转发的报文。
【缺省情况】
没有规则应用于接口。
【命令模式】
接口配置模式。
【使用指南】
使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。
【举例】
将规则101应用于过滤从以太网口收上来的报文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相关命令】
access-list 华为路由器防火墙配置命令总结(下)
2006-01-09 14:21:59 标签:命令 配置 防火墙 华为 休闲
六、settr 设定或取消特殊时间段。
settr begin-time end-time
no settr
【参数说明】
begin-time 为一个时间段的开始时间。
end-time 为一个时间段的结束时间,应该大于开始时间。
【缺省情况】
系统缺省没有设置时间段,即认为全部为普通时间段。
【命令模式】
全局配置模式
【使用指南】
使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成“settr 21:00 23:59 0:00 8:00”,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。
【举例】
例1:设置时间段为8:30 ~ 12:00,14:00 ~ 17:00。
Quidway(config)#settr 8:30 12:00 14:00 17:00
例2: 设置时间段为晚上9点到早上8点。
Quidway(config)#settr 21:00 23:59 0:00 8:0
【相关命令】
timerange,show timerange
七、show access-list 显示包过滤规则及在接口上的应用。
show access-list [ all | listnumber | interface interface-name]
【参数说明】
all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。
listnumber 为显示当前所使用的规则中序号为listnumber的规则。
interface 表示要显示在指定接口上应用的规则序号。
interface-name 为接口的名称。
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。
【举例】
例1:显示当前所使用的序号为100的规则。
Quidway#show access-list 100
Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)
permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)
deny udp any any eq rip(no matches--rule 3)
例2: 显示接口Serial0上应用规则的情况。
Quidway#show access-list interface serial 0
Serial0:
access-list filtering In-bound packets : 120
access-list filtering Out-bound packets: None
【相关命令】
access-list
八、show firewall 显示防火墙状态。
show firewall
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。
【举例】
显示防火墙状态。
Quidway#show firewall
Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly,0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相关命令】
firewall
九、show isintr 显示当前时间是否在时间段之内。
show isintr
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示当前时间是否在时间段之内。
【举例】
显示当前时间是否在时间段之内。
Quidway#show isintr
It is NOT in time ranges now.【相关命令】
timerange,settr
十、show timerange 显示时间段包过滤的信息。
show timerange
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。
【举例】
显示时间段包过滤的信息。
Quidway#show timerange
TimeRange packet-filtering enable.beginning of time range:
01:0004:00
end of time range.【相关命令】
timerange,settr
十一、timerange 启用或禁止时间段包过滤功能。
timerange { enable | disable }
【参数说明】
enable 表示启用时间段包过滤。
disable 表示禁止采用时间段包过滤。
【缺省情况】
系统缺省为禁止时间段包过滤功能。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。
【举例】
启用时间段包过滤功能。
Quidway(config)#timerange enable
【相关命令】
settr,show timerange
第四篇:华为路由器防火墙配置命令总结
华为路由器防火墙配置命令总结
access-list 用于创建访问规则。
(1)创建标准访问列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ](2)创建扩展访问列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ](3)删除访问列表
no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】
normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。
dest-addr 为目的地址。
dest-mask 为目的地址通配位。
operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。
icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
log [可选] 表示如果报文符合条件,需要做日志。
listnumber 为删除的规则序号,是1~199之间的一个数值。
subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。
【缺省情况】 系统缺省不配置任何访问规则。
【命令模式】 全局配置模式
【使用指南】 同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。使用协议域为IP的扩展访问列表来表示所有的IP协议。同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。
【举例】 允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp 【相关命令】 ip access-group
【命令】clear access-list counters [ listnumber ] 【参数说明】 listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
【缺省情况】 任何时候都不清除统计信息。
【命令模式】 特权用户模式
【使用指南】 使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。
【举例】 例1:清除当前所使用的序号为100的规则的统计信息。
Quidway#clear access-list counters 100
例2:清除当前所使用的所有规则的统计信息。
Quidway#clear access-list counters 【相关命令】 access-list
【命令】firewall { enable | disable }
【参数说明】
enable 表示启用防火墙。disable 表示禁止防火墙。
【缺省情况】系统缺省为禁止防火墙。
【命令模式】全局配置模式
【使用指南】使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【举例】启用防火墙。Quidway(config)#firewall enable
【相关命令】 access-list,ip access-group
【命令】firewall default { permit | deny }
【参数说明】permit 表示缺省过滤属性设置为“允许”。deny 表示缺省过滤属性设置为“禁止”。
【缺省情况】在防火墙开启的情况下,报文被缺省允许通过。
【命令模式】全局配置模式
【使用指南】当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。
【举例】设置缺省过滤属性为“允许”。
Quidway(config)#firewall default permit
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【参数说明】listnumber 为规则序号,是1~199之间的一个数值。in 表示规则用于过滤从接口收上来的报文。out 表示规则用于过滤从接口转发的报文。
【缺省情况】没有规则应用于接口。
【命令模式】 接口配置模式。
【使用指南】使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。
【举例】 将规则101应用于过滤从以太网口收上来的报文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相关命令】 access-list
六、settr 设定或取消特殊时间段。
【命令】settr begin-time end-time no settr
【参数说明】 begin-time 为一个时间段的开始时间。
end-time 为一个时间段的结束时间,应该大于开始时间。
【缺省情况】系统缺省没有设置时间段,即认为全部为普通时间段。
【命令模式】 全局配置模式
【使用指南】 使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成“settr 21:00 23:59 0:00 8:00”,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。
【举例】 例1:设置时间段为8:30 ~ 12:00,14:00 ~ 17:00。
Quidway(config)#settr 8:30 12:00 14:00 17:00 例2: 设置时间段为晚上9点到早上8点。
Quidway(config)#settr 21:00 23:59 0:00 8:0
【相关命令】 timerange,show timerange
七、show access-list 显示包过滤规则及在接口上的应用。
【命令】show access-list [ all | listnumber | interface interface-name]
【参数说明】 all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。
listnumber 为显示当前所使用的规则中序号为listnumber的规则。
interface 表示要显示在指定接口上应用的规则序号。
interface-name 为接口的名称。
【命令模式】 特权用户模式
【使用指南】 使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface 关键字的show access-list命令来查看某个接口应用规则的情况。
【举例】
例1:显示当前所使用的序号为100的规则。
Quidway#show access-list 100
Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)
permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)
deny udp any any eq rip(no matches--rule 3)例2: 显示接口Serial0上应用规则的情况。
Quidway#show access-list interface serial 0 Serial0:
access-list filtering In-bound packets : 120 access-list filtering Out-bound packets: None 【相关命令】access-list
【命令】show firewall 显示防火墙状态。
【命令模式】特权用户模式
【使用指南】 使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。
【举例】显示防火墙状态。
Quidway#show firewall
Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly,0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相关命令】 firewall
【命令】show isintr显示当前时间是否在时间段之内。【命令模式】特权用户模式
【使用指南】使用此命令来显示当前时间是否在时间段之内。
【举例】显示当前时间是否在时间段之内。
Quidway#show isintr
It is NOT in time ranges now.【相关命令】
timerange,settr
【命令】show timerange 【命令模式】特权用户模式
【使用指南】使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。
【举例】显示时间段包过滤的信息。
Quidway#show timerange
TimeRange packet-filtering enable.beginning of time range: 01:0004:00
end of time range.【相关命令】timerange,settr
十一、timerange 启用或禁止时间段包过滤功能。
【命令】timerange { enable | disable }
【参数说明】enable 表示启用时间段包过滤。
disable 表示禁止采用时间段包过滤。
【缺省情况】系统缺省为禁止时间段包过滤功能。
【命令模式】全局配置模式
【使用指南】使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。
【举例】
启用时间段包过滤功能。
Quidway(config)#timerange enable 【相关命令】 settr,show timerange
计算机命令
PCA login: root ;使用root用户 password: linux ;口令是linux # shutdown-h now ;关机 # init 0 ;关机 # logout # login # ifconfig ;显示IP地址 # ifconfig eth0
交换机命令
[Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名
[Quidway]interface ethernet 0/1 进入接口视图 [Quidway]interface vlan x 进入接口视图 [Quidway-Vlan-interfacex] ip address 10.65.1.1 255.255.0.0 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 静态路由=网关
[Quidway]user-interface vty 0 4 [S3026-ui-vty0-4]authentication-mode password [S3026-ui-vty0-4]set authentication-mode password simple 222 [S3026-ui-vty0-4]user privilege level 3
[Quidway-Ethernet0/1]duplex {half|full|auto} 配置端口双工工作状态 [Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet0/1]flow-control 配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} 配置端口MDI/MDIX状态平接或扭接 [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 设置接口工作模式 [Quidway-Ethernet0/1]shutdown 关闭/重起接口 [Quidway-Ethernet0/2]quit 退出系统视图
[Quidway]vlan 3 创建/删除一个VLAN/进入VLAN模式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在当前VLAN增加/删除以太网接口 [Quidway-Ethernet0/2]port access vlan 3 将当前接口加入到指定VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 设trunk允许的VLAN [Quidway-Ethernet0/2]port trunk pvid vlan 3 设置trunk端口的PVID
[Quidway]monitor-port 全国计算机等级考试四级网络工程师笔记 帧中继网不是基于点对点连接的窄带公共数据网,是一种数据报交换 技术,使用逻辑连接。 核心交换层结构设计重点是可靠性,可扩展性与开放性。汇聚层进行本地路由,过滤,流量均衡及安全控制等处理。IEEE已经对速率从10Mbps,100 Mbps,1Gbps,10 Gbps的技术标准化了,但100 Gbps的仍在研究中。 IEEE802.16建立的无线网络,要求基站之间采用全双工,宽带方式 工作。 管理和运营宽带城域网的关键技术是:带宽管理,服务质量,网络管 理,用户管理,多业务接入,统计与计费,IP地址的分配转换,网 络安全等。 网络互连设备主要有中继器,集线器,路由器,交换机等。网络接入 设备有网卡,调制解调器等。 网络服务器不包括DOS,DOS属于工作站操作系统。拨号上网的速率通常为33.6kbps。广域网是一种公共数据网络。 PON非对称业务的下行传输速率是622.080Mbps。Cable Modem上行速率在200kbps-10Mbps RPR能够在50ms内隔离出现故障的结点和光纤段,两个RPR结点之间的裸光纤最大长度为100公里,内环和外环都可以传输数据分组 控制分组,环中的每一个结点都执行SRP公平算法。 BPDU数据包有两种类型:一种是包含配置信息的配置BPDU(不超过35B),一种是包含拓扑变化信息的拓扑变化通知BPDU(不超过4B) 支持信息系统的网络包括网络传输基础设施和网络设备;网络应用软 件与运行环境包括:网络数据管理系统与网络软件开发工具。网络开发工具包括数据库开发工具,web应用开发工具与标准开发工 具。Web应用开发工具主要有HTML/XML标准文档开发工具。标准开发工具包括:Java,Visual Basic,Delphi。 大型网络系统的建设需要聘请专业的监理公司对项目执行的全过程 进行监理。 为确保网络的可用性和安全性,可采取:关键数据采用磁盘双工,双 机容错,异地备份与恢复措施及保证关键设备的冗余。接入层网络用于将终端用户计算机接入到网络中。主干设备一定要留有一定的余量,使系统具有可扩展性。路由器的冗余:接口冗余,电源冗余,系统板冗余,时钟冗余与整机 设备冗余。 交换机可分为固定端口交换机和模块式交换机。 支持500个以上结点可选取企业级交换机,300一下可选取部门级交 换机,100以下为工作组交换机。 局域网交换机的多个“端口”有自己的专用带宽,并且可以连接不同 的网段,可并行工作从而大大提高了信息吞吐量。文件服务器采用集中方式管理共享文件。部门级服务器一般支持的CPU数目是2-4 集群技术是一组独立的计算机提供高速通信线路,组成一个共享数据 与存储空间的服务器系统,提高了系统的数据处理能力。对称多处理 技术可以在多CPU结构的服务器中均衡负荷,提高工作效率。配置管理的目标是掌握和控制网络和系统的配置信息以及网络内各 设备的状态和连接关系。 宽带城域网在组建方案中一定要按照电信级运营的要求,考虑设备冗 余,线路冗余,路由冗余以及“系统故障的快速诊断与自动恢复” 宽带城域网的用户管理包括:用户认证,接入管理与计费管理。宽带城域网必须具备IP地址分配能力,能够支持动态和静态地址分 配,支持网络地址转换NAT功能。 核心层网络一般要求承担整个网络流量的40%-60% 网络应用软件开发与运行环境包括:网络数据库管理系统与网络软件 开发工具。 网络需求详细分析包括:网络总体需求分析,综合布线需求分析,网 络可用性与可靠性分析,网络安全性需求以及网络工程造价估算。 网络关键设备选型原则:产品系列与厂商的选择;网络的可扩展性考 虑;网络技术先进性考虑。地址转换技术研究始于1996年。 某个子网有14台主机,则该子网的子网掩码为255.255.255.224 Internet上的地址有域名和IP地址两种表示形式。 IPv6采用冒号十六进制。CIDR地址的一个重要特点是:地址聚合和 路由聚合。 用于软件测试盒本地进程间通信的PING程序使用回送地址 127.0.0.0 根据网络总体设计中物理拓扑设计的参数,确定以下两个主要数据: 网络中最多可能有的子网数量,网络中最大网段已有的和可能扩展的 主机数量。CIDR特点:地址聚合和路由聚合 变长子网掩码;网络地址转换NAT; 中继器工作在物理层,网桥工作在数据链路层,路由器工作在网络层。 自治系统将Internet的路由分为两层:第一层路由器和第二层路由 器。 路由收敛是指网络设备的路由表与网络拓扑结构保持一致。RIP基于 距离矢量路由算法。 OSPF也有跳数限制,最大跳数为65536.链路状态发生变化时用洪泛 法向所有路由器发送此信息。 在主干区域内“自治系统边界路由器”专门和该自治系统之外的其他 自治系统交换路由信息。 BGP的最新版本是BGP4,与1995年颁布。CIDR协议路由选择为:最长前缀匹配选择。 在网络中,一台主机通常是与一台路由器相连接,这台路由器就是该 主机的“默认路由器” Internet中自治系统最重要的特点就是它有权决定在本系统应采用 何种“路由选择”协议 自治系统之间的路由选择使用的是“域间路由选择”协议。更新分组时BGP协议的核心 BGP协议交换路哟信息的结点数是以自治系统数位单位的。综合布线由不同系列和规格的部件组成,但不包括路由器,网卡。综合布线的首要特点是兼容性。 适用于配置标准中等的场合综合布线系统的等级是增强型。增强型综合布线系统的配置要求:每个工作区有两个或以上信息插座,配线电缆为两条4对双绞电缆,采用夹接式或插接交接硬件,干线电 缆至少有两对电缆线。 具有网络管理功能的独立集线器是基础集线器。透明网桥刚接到局域网时,其MAC地址表是空的。 在水平子系统的设计中,对于100M以下,10M以上的高速数据的传 输,可以采用的导线类型是5类或6类双绞线;对于10M一下,采用上学吧(4类或5类双绞线;对于100M以上,采用光纤或6类双绞线。干线子系统设计中线缆选择的依据是:信息类型,传输速率及信息的 带宽和容量。 虚拟局域网建立基础是交换技术。 在互连的网络设备中,交换机与网桥相比,区别在于:交换机连 接的 网段比网桥的多。 局域网中任何一个结点出现故障都不会影响整个网络的工作,局域网 的拓扑结构是:总线型结构。 决定局域网特性的几个主要技术中,最重要的是介质访问控制方法。 网桥通常将一个大型局域网分成既独立又能相互通信的多个子网的 互连结构。 千兆以太网和快速以太网的区别只是相应的物理协议。网桥中为例防止网络中出现环状结构,使用的算法是生成树。集线器构成一个冲突域,网桥和交换机可能分割冲突域,路由器可能 分割广播域。 干线子系统是综合布线系统的神经中枢。 在双绞线组网方式中,以太网的中心连接设备是集线器。根据生成树协议,每个网段会有一个指定端口,这个端口是激活的。 除此之外的该网段上的所有端口都处于阻塞状态。 透明网桥的MAC地址表要记录三类信息:站地址,端口和时间。所有连接在一个集线器上的结点共享一个冲突域。上学吧(FastEthernet自动协商过程要求在500ms内完成 100BASE-T4使用4对3类非屏蔽双绞线,最大长度为100m,三对双 绞线用于数据传输,一对用于冲突检测。数据传输采用半双工方式。 综合布线优越性表现在:兼容性,开放性,灵活性,先进性,经济型 与可靠性。 综合布线采用的主要连接部件分为建筑群配线架,大楼主配线架,楼 层配线架,转接点和通信引出端。 透明网桥特点:透明网桥由每个网桥自己来进行路由选择;透明网桥 一般用于两个MAC层协议相同的网段之间的互联;透明网桥的最大优 点是容易安装。 100BASE-T为质量较差的3类非屏蔽双绞线设计的快速以太网协议标 准。 结构化综合布线方案中,100m包括跳线,工作区和设备区接线在内 的总长度。 局域网交换机建立和维护一个表示目的MAC地址与交换机端口对应 关系的交换表,根据进入端口数据帧中的MAC地址,转发数据帧或丢 弃。 建立虚拟交换网的主要原因是使广播流量最小化。 IEEE802.1q中,VLAN ID用12位表示,但并不是所有的交换机都可 以支持4096个VLAN,一部分只支持1-1005.上学吧(同一个VLAN中的两台主机可以跨越多台交换机。 虚拟局域网中继协议VTP用于在交换机之间交换不同VLAN信息。虽 然交换机的默认工作模式是VTP Server,但是其VTP域的名称是NULL,所以无法将其配置信息广播给其他交换机。 在交换机之间实现TRUNK功能,必须遵守相同的VLAN协议。CMS网络管理界面可以完成的基本管理功能是:查看交换机运行状态,VLAN配置,端口配置。 如果要彻底退出交换机的配置模式,输入的命令是:Ctrl+Z。使用telnet配置交换机必背条件:网络连通;权限;配置好管理地 址,如ip,子网掩码,缺省路由;密码。 在STp工作过程中,被阻塞的端口仍然是一个激活的端口。配置路由器的HTTP用户认证方式时,默认配置是:enable。在Catalyst3500系统配置交换机端口时,默认通信方式是自适应。Console的接口标准是RJ-45.快速转发交换模式在交换机接受到帧中6个字节的目的地址后便立 即转发数据帧。 在大,中型交换机中,显示交换机的命令是:show cam dynamic。在使用共享存储器交换结构的交换机中,数据帧的交换功能是通过共 享存储器RAM实现的。 CSM网络管理界面可以完成以下基本管理功能:查看交换机运行状态,VLAN配置,端口配置。上学吧(在CSM网络管理界面,单击“topology”,看到该交换机与其他交换 机连接的拓扑图。 可用于Ethernet的VLAN ID为1-1000,1002-1005是FDDi和Token Ring使用的VLAN ID 局域网交换机通过一种自学习的方法,自动地建立和维护一个记录着 目的MAC地址与设备端口映射关系的交换表。 使用远程登录Telnet对交换机进行配置时,可以利用网上的任意一 台计算机,以模拟终端的方式远程登录到交换机上实现。STP的配置任务有:打开或关闭交换机的STP,设置STP根网桥,备 份根网桥,配置生成树优先级,配置路径代价,配置STP可选功能。 生成树优先级增量是4096 三层交换机之间没能自适应,两个交换机之间的连接速度是10M/s,半双工传输方式。 将三层交换机之间的LAN端口强制设置成非自协商,100Mbps,全双 工模式。 TFTP是一种简化的文件传输协议,没有权限控制。 Loopback可以作为OSPF和BGP的router id,但是不能作为RIP的 router id。 保存在闪存中的数据在关机或路由器重启时不户丢失。RIP使用广播方式发送路由更新信息。上学吧(IGRP的作用范围是自治系统内。 两主机A和B通过一路由器R互连,A和R之间与B和R之间的数据 帧是不同的,但IP数据报是相同的。 路由器和计算机一样具有中央处理器,内存,存储器等硬件系统,没 有图形用户界面,没有键盘输入设备。 路由表内容包括:目的网络地址,下一跳路由器地址和目的端口等信 息,还包括缺省路由器的路由信息。 路由器的接口主要有三类:局域网接口,广域网接口和路由器配置接 口。 一台主机的缺省网关是主机在同一个子网的路由器端口的IP地址。 查看路由器的配置信息和路由表,分别使用show configuration和 show ip route DHCP客户的IP地址应配置为自动获取。扩展访问控制列表的表号范围是100-199 在pathping命令中,指定两次ping之间时间间隔的选项是-P “DHCP发现”报文源地址是0.0.0.0,目标地址是255.255.255.255 与DHCP服务器配置有关的原因有:作用域选项中“DNS服务器 选项” 或“路由器选项”有误。 Write memory命令可以将路由器的配置保存到NVRAM 如果DNS服务器需要解析它来自本身的Internet服务提供商的名称,则必须进行“转发域名服务器”配置。上学吧(默认情况下DNS服务器禁用的选项是调试日志 Aironet 1100系列接入点兼容的是IEEE802.11b和IEEE802.11g,不 兼容IEEE802.16.System Name表示系统名称,无线接入点的标识。 第一次配置无线接入点,一般采用本地配置模式,即无须将无线接入 点接到一个有限的网络中。 无线局域网的设计中文档的产生过程与整个设计和实施过程保持严 格地一致。 IEEE802.11b只允许一种标准的信号发送技术。HiperLAN/2的速率在物理层最高可达54Mbps。 IEEE802.11在MAC层引入了新的RTS/CTS选项,是为了解决hidde node问题。 在HiperLAN/2的典型网络拓扑结构中,一个小区的覆盖范围在室内 为30m,在室外为150m IEEE802.11b典型解决方案有:对等解决方案,单接入点解决方案,多接入点解决方案,无线中继解决方案。 Aironet1100主要为企业办公环境设计,兼容802.11b和802.11g,工作在2.4GHz,使用IOS操作系统。主要用于独立无线网络的中心 点或无线网络和有线网络之间的连接点。 无线局域网硬件设备主要包括:无线网卡,无线接入点AP,天线,上学吧(无线网桥,无线路由器与无线网关。 蓝牙的软件体系是一个独立的操作系统,不与任何操作系统捆绑。蓝 牙软件结构标准包括核心和应用协议两部分,蓝牙协议核心部分主要 定义蓝牙的技术细节,应用协议则为全球兼容性奠定了基础。无线AP的桥接软件需符合IEEE802.1d桥接协议规范。蓝牙系统的跳频速率为1600次/s 802.11b网卡可转到休眠模式,接入点将信息缓冲到客户。在基于IEEE802.11标准的无线局域网主要技术中,正交频分复用技 术克服了多路信道干扰。 若要求节点在同一个逻辑网络,应选用的无线设备是“无线网桥” 当使用IIS管理器将站点配置成使用带宽限制时,系统将自动安装数 据包计划程序,并且IIS自动将带宽限制设置成最小值1024bps。FTP是基于客户-服务器结构通信的,作为服务器一方的进程,通过 侦听端口21得知有服务请求,在一次会话中,存在2个TCP连接。 WEB站点的默认文档中依次有index.htm,default.htm,default.asp,最前面的优先级最高。 WEB服务器上的文本,图像和声音等信息都是以独立的文件存储的。 发送邮件通常用SMTP协议,而接收邮件通常用POP3协议或IMAP。 必须要等FTP服务器的域创建完成并且添加用户后,客户端才可以访 问。上学吧(在小型的并且不接入Internet的网络中,采用静态的方法进行域名 解析,即由hosts文件完成,完成动态名字解析的系统称为DNS。在处理HTTP请求过程中响应事件的程序是“ISAPI筛选器”。IIS6.0使用虚拟服务器的方法在一台服务器上可以创建多个网站。 FTP服务器配置参数有:域,匿名用户,命名用户,组。常见的邮件服务器软件可以构建多个虚拟邮件服务器,每个邮件服务 器称作“域” 设置IIS安全性功能之前确认用户的用户标识,可以选择配置三种方 法:身份验证和访问控制,IP地址和域名限制与安全通信。IIS6.0使用虚拟服务器的方法在一台服务器上可以构建多个网站。 FTP服务器的基本配置完成后,需对选项进行配置,包括服务器选项,域选项,组选项和用户选项。 在DNS服务器中,输入172.16.1的ID,默认对应的区域文件名为 “1.16.172.in-addr.arpa.dns” 显示域列表,计算机列表的DOS命令式net view 网络防攻击主要问题需要研究的几个问题:网络可能遭到哪些人的攻 击?攻击类型与手段可能有哪些?如何及时检测并报告网络被攻击? 如何采取相应的网络安全策略与网络安全防护体系? 窃取是攻击保密性。上学吧(D类的安全要求最低,属于非安全保护类。C类系统是用户能定义访 问控制要求的自主保护类型。B类系统属于强制性安全保护类。A类 级别最高。 破密者面临的从易到难排列依次为:选择明文,已知明文,仅知密文。 没有自我复制功能的病毒是特洛伊木马病毒。 网络病毒影响对象既有单一的PC,也有具有通信机制的工作站。为了防范Internet上网络病毒对企业内部网络的攻击及传输,通常 在企业内部可设置防病毒过滤网关。 防火墙不具有风险评估,修复,统计分析和安全风险集中控制等功能。 通常将防火墙的系统结构分为包过来路由器结构,双宿主主机结构,屏蔽主机结构和屏蔽子网结构。 记录网络攻击事件并采取相应措施是入侵防护系统的内容,不是入侵 检测系统的功能。 状态检测保留防火墙状态连接表,并将网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。 异常检测的优点是检测完整性高,检测能力强,较少依赖于特定的操 作系统环境。缺点是误警率高,需要不断在线学习。分布式入侵防护系统分为层次式,协作式及对等式。 入侵防护系统分为基于主机,基于网络和应用入侵防护系统。光盘库是一种带有自动换盘机构的光盘网络共享设备。磁带库是基于磁带的备份系统,适用于数据要求量很大的中,小型企上学吧(业。磁带库通过存储局域网络SAN系统可形成网络存储系统。磁盘阵列是指将多个类型,容量,接口,甚至品牌一致的专用硬盘或 普通硬盘连成一个阵列,使其能以某种快速,准确和安全的方式来读 写磁盘数据。它将多个数据选择性地备份在多个磁盘上,从而能提高 系统的数据吞吐率,免除单块磁盘故障所带来的灾难性后果。CD-ROM光盘塔是由多个SCSI接口的CD-ROM驱动器串联而 成,光盘 预先放置在CD-ROM驱动器中。 光盘库是一种带有自动换盘机构的光盘网络共享设备。光盘网络镜像服务器是最新开发的在网络上实现光盘信息共享的网 络存储设备。 网络系统安全包括5个基本要素:保密性,完整性,可用性,可鉴别 性和不可否认性。 网络安全模型的P2DR模型中,核心是策略。即策略,防护,检测,响应。冷备份又称为离线备份,热备份又称为在线备份。信息传输过程中,可能存在4种攻击类型:截获信息,窃听信息,篡 改信息及伪造信息。 按照寄生方式,计算机病毒可以分为“引导型病毒,文件型病毒及混 合型病毒”。 防火墙分为包过滤路由器,应用级网关,应用代理和状态检测。屏蔽主机结构:屏蔽主机结构防火墙系统由屏蔽路由器与堡垒主机构 成。上学吧(入侵检测系统通用框架一般由事件发生器,事件分析器,响应单元和 事件数据库。 网络版防病毒系统通常是由系统中心,服务器端,客户端,管理控制 台等子系统组成。 网络安全风险评估系统分为基于应用和基于网络的两种评估技术。 基于网络的入侵防护系统布置于网络出口处,一般串联于防火墙与路 由器之间。 引导型病毒指寄生在磁盘引导区或主引导区。 应用入侵防护系统防止诸多入侵,包括Cookie篡改,SQL代码嵌入,参数篡改,缓冲器溢出,强制浏览,畸形数据包,数据类型不匹配以 及已知“漏洞” 网络版防病毒系统的基本安装对象包括:系统中心的安装,服务器端 的安装,客户端的安装和管理控制台的安装。 扫描设置通常包括文件类型,扫描病毒类型,优化选项,发现病毒后 的处理方式,清除病毒失败后的处理方式,杀毒结束后的处理方式和 病毒隔离系统的设置。 在SNMP中,trap操作是代理进程主动向管理站发送报文,用来通报 重要事件的发生,而管理站对这种报文不必有所应答。网络管理主要设计网络服务提供,网络维护和网络处理三个方面的内 容。上学吧(SNMP和CMIP使用相同的抽象语法符号。 SNMPv1的管理信息库定义的应用数据类型timeticks的单位是0.01s。 网络管理分为5个功能域:配置管理,性能管理,记账管理,故障管 理和安全管理。 SNMP的管理模型是基于manager/server模式的,并不是在每层都有 管理实体,只有在TCP/IP协议层上定义。 CMIP采用面向对象的传输,而SNMP是基于无连接的UDP。ICMP不能纠正差错,只是报告差错。差错处理需要由高层协议上完 成,其不能保证所有的IP数据包都能传输到目的主机。用于通告网络拥塞的ICMP报文是:源抑制。 Netstat命令用来显示活动的TCP连接,侦听的端口,以太网的统计 信息,IP路由表和IP统计信息。 在Windows2003中,用于管理网络环境,服务,用户,登录等本地信 息的命令是:net。 网络管理软件可能完成的功能有:网络性能监控,拓扑管理,IP地 址管理,探测功能。 组用户可以分为:本地组,全局组,通用组。 公共管理信息协议规定在管理站和代理之间的信息交换通过发送PDU,通信方式与轮询和事件报告两种。 SNMP一般用于计算机网络管理,CMIP用于电信网络管理。SNMP中团体由一个代理和多个控制管理该代理的管理站组成,每个上学吧(团体的各管理站只能按照规定的访问模式访问“视域”规定范围内的 对象。 MIB-2库中的管理对象可分为:标量对象和表对象。 域用户管理是通过工具“Active Ditectory用户和计算机”实现的。Windows2003中,性能管理包括系统监视器和性能日志和警报。 使用SNM管理的网络管理系统,核心步骤是在管理站和代理上实施正 确的SNMP的设置,特别是团体的设置。漏洞扫描应分为被动和主动两种。X-scanner采用多线程方式。MBSA可以分析本机的安全性。 一个基于主机的漏洞扫描系统通过依附于主机上的扫描器代理侦测 主机“内部”的漏洞。 Sniffer pro的history sample收集一段时间内的各种网络流量信 息,通过这些信息可以建立网络运行状态的基线,设置网络异常的报 警“阈值” Internet Scanner执行预定的或事件驱动的网络探测,包括对网络 通信服务,操作系统,路由器,电子邮件,web服务器,“防火墙” 和应用程序的检测,从而能识别被入侵者利用来非法进入网络的漏洞。 WSUS“实时”连接。 SNMP团体的访问控制设置中的访问控制表号是一个1-99的整数 ICMP报文封装在IP数据单元中。上学吧(SNMP和CMIP采用的抽象语法符号相同。 在Windows2003中有本地用户和域用户两种类型。本地用户信息存储 在本地计算机的“账户管理数据库中”,用户登录后只能根据权限访 问本地计算机。域用户信息存储在域控制器的活动目录中,用户登录 后可以根据权限访问整个域中的资源。 安装并配置SNMP代理程序,并通过团体设置允许该网络管理站对其 进行SNMP访问。 城域网的主要业务:高速上网服务,网络互联服务,电子政务与电子 商务服务,智能社区服务,网上教育与远程医疗服务,带宽与管道出 租服务。 宽带城域网:网络平台,业务平台,管理平台与城市宽带出口。网络平台又可分为:核心交换层,边缘汇聚层,用户接入层。核心层 承担高速数据交换的功能,汇聚层主要承担路由与流量汇聚的功能,接入层主要承担用户接入与本地流量控制的功能。 制约宽带城域网的关键在于各类结点的带宽管理与业务调度能力。 要组建可运营的宽带城域网,首先要解决技术选择与设备选型问题。利用传统的电信网络进行网络管理称为”带内”,利用IP网络及协议 进行网络管理的称为“带外”。对汇聚层及其以上设备采取带外管理,对汇聚层以下采用带内管理。 如果宽带城域网选择网络方案的三大驱动因素是成本,可扩展性和易上学吧(用性的话,那么选择10GEthernet技术作为构建宽带城域网的主要技 术是比较恰当的。 构建宽带城域网的基本技术与方案主要与三类:基于SDH的城域网方 案,基于10GE的和基于ATM的。 ADSL距离5.5km下/上速率为1.5M/64k,距离3.6km为6M/640k。上 行速率在64k-640k,下行速率在500k-7M。 802.16是一个点对多点的视距条件下的标准,用于大数据量接入。802.16a增加了非视距和对无线网格网结构的支持,802.16与 802.16a修订后统一命名为802.16d,与2004年发布。 网络运行环境包括机房与电源。网络系统包括网络传输基础设施,网 络设备。网络应用软件开发与运行环境包括:网络数据库管理系统与 网络软件开发工具。 网络结点地理位置分布位置:用户数量及分布的位置,建筑物内部结 构情况调查,建筑物群情况调查。 如果结点数为250-5000个,需要3层;100-500个,不必设计接入 层;5-250个,不设计接入层与汇聚层。 路由器分为高端,中端,低端。背板能力大于40Gbps为高端,低于 40Gbps为中低端。 高速路由器一般要求长度为1518B的IP包,延时要小于1ms。通常上学吧(不把延时抖动作为衡量高速路由器的主要指标。交换机根据MAC地址表确定帧转发的端口。 数据库服务器采用客户/服务器模式;应用服务器采用浏览器/服务器。 网络服务器按照主机的硬件体系结构分为:基于CISC处理器的Intel 结构的PC服务器;基于RISC结构处理器的服务器;小型服务器。对于使用Intel结构IA的服务器,可以使用Intel服务器控制技术,对服务器主板进行监控,一旦处理器,内存,电源,机箱温度中任何 一项出现问题,Intel服务器控制单元立即向系统管理员报警。CPU性能提高(M2-M1)/M1*50%。 数据库服务器类应用的特点是服务器需要配置具有很强处理能力的 CPU,大容量与快速存储系统,以及大容量内存。 保证网络系统中信息安全的主要技术是数据的加密与解密。网络系统安全设计的原则:全局考虑;整体设计;有效性与实用性; 等级性;自主性与可控性;安全有价。 专用IP地址:第一组是10.0.0.0-10.255.255.255;第二组是 172.16-172.31;第三组是192.168.0-192.168.255。 规划内部网络地址系统的基本原则:简捷;便于系统的扩展与管理; 有效的路由。 路由器根据分组的目的IP地址与源IP地址是否属于同一个网络来判上学吧(断。 算法的自适应性反应了“稳健性”。 路由表存储了可能的目的地址与如何到达目的地址的信息。第一层区域之间的分组交换是通过主干路由器实现的。作为一个自治 系统,其核心是路由寻址的“自治”。RIP初始时各路由距离均为0; (V,D)中V代表矢量,标识该路由器可以到达的目的网络或目的主机;D代表距离,指出路由器到达目的网络或目的主机的距离。 执行OSPF协议的所有路由器最终都能建立一个链路状态数据库。 BGP协议的四种分组:打开分组;更新分组;保活分组;通知分组。 更新分组是BGP协议的核心。 综合布线系统基本型用铜芯双绞线电缆组网,增强型用铜芯双绞电缆 组网。综合性用光缆和铜芯双绞电缆混合组网。 综合布线系统标准:TIA/EIA-568-B.1是商业建筑通信布线标准的一 般要求。 TIA/EIA-568-B.2是平衡双绞线布线系统标准。TIA/EIA-568-B.3是光纤布线布线标准 ANSI/TIA/EIA-568-A商业建筑通信布线标准,定义了语音与数据通 信布线系统,为商业布线系统提供了设备和产品设计的指导。GB/T50311-2000是设计规范。GB/T50312-2000是验收规范。上学吧(一般用于两个MAC层协议相同的网桥之间的互联。3.透明网桥的最大 优点是容易安装。 透明网桥刚连接到互联网时,其MAC地址表显然是空的。为防止出现环状结构,透明网桥使用了生成树算法。根据生成树算法 制定的协议为生成树协议STP。 选择一个ID最小的网桥最为根网桥。根网桥是从网络中选择的一个 作为属性拓扑的树根。每个非根网桥,需要从它的端口中选出一个到 达根网桥路径最短的端口作为根端口,根端口一般处于“转发状态“。 对于每个网段需要选择一个距离根网桥最近的端口作为指定端口。,一个网段中只有一个指定端口。生成树协议为每一个网段选择一 个指 定端口,其他端口均处于阻塞状态,为阻塞端口。网桥存在两个主要问题:帧转发速率低与广播风暴。 网桥通常在一台典型的个人计算机上配置而成,其内部结构一般只有 一个CPU,通过软件方法完成网桥的接收,存储,地址过滤与转发等 功能。网桥的帧过滤速率与转发速率性能受到结构限制。局域网交换 机一般使用问帧转发设计的专用集成电路芯片ASIC,或采取多个CPU 并发工作的计算机结构。网桥的端口是以共享存储空间方式来连接。 交换机则是以硬件方式实现多个端口的并发连接。网桥端口数量比较 少,最多不会超过24个,交换机最多可达128个。 综合布线系统组合配置包含组合逻辑和配置形式,组合逻辑描述网络 功能的体系结构;配置形式描述网络单元的邻接关系,即说明交换中上学吧(心和传输链路的连接情况。综合布线系统的网络拓扑结构是一个网络 布局的实际逻辑表示。 布线部件包括:传输介质和连接设备。 综合布线系统工程的设备配置主要是指各种配线架,布线子系统,传 输介质和通信引出端(即信息插座)。 工作区子系统:信息插座适宜采用5类或更高级别的线缆和插座。水平子系统:电缆长度在90m以内。总电缆长度中备用部分取平均电 缆的10%。 干线子系统:干线子系统设计中线缆选择的依据是:信息类型,传输 速率及信息的带宽和容量。干线电缆可采用点到点端接,也可采用分 支递减端接或电缆直接连接的方法。干线敷设可采用点对点结合和分 支结合。 交换机三个基本功能:1.建立和维护一个表示MAC地址与交换机端口 对应关系的交换表2.是在发送结点和接收结点之间建立一条虚连接。 3.完成数据帧的转发或过滤。 交换表记录着目的MAC地址与设备端口映射关系的地址查询表。 交换表保存在可编址内容存储器CAM。交换机的交换结构:软件执行交换结构;矩阵交换结构;总线交换结 构(背板);共享存储器交换结构(不需要背板)。交换机交换模式:存储转发;快速转发;碎片丢弃。 VLAN单一的广播域。工作在第二层。必须通过第三层路由功能完成。上学吧(虚拟局域网中继VLAN Trunk标准机制是帧标签。在交换设备之间实 现Trunk功能,必须遵守相同的VLAN协议。 划分方法:基于端口;基于MAC地址;基于第三层协议类型或地址。 STP中被阻塞的端口仍然是一个激活的端口,但只能接收和读取BPDU(网桥协议数据单元),不能接收和转发数据流。 交换机配置方式:使用控制端口console配置,异步串行口参数 9600bp。 使用浏览器配置:enable为缺省配置。进入CSM界面可以完成端口 配置,VLAN配置以及查看交换机运行状态。 VLAN1是用于设备管理的缺省VLAN。端口通信缺省是自适应。VTP是VLAN中继协议。有三种工作模式:VTP server,VTP client 和VTP transparent。VTP server维护该VTP域中所有VLAN信息列 表,可以建立,删除或修改VLAN。VTP client不可以建立,删除或 修改VLAN。VTP transparent可以建立,删除或修改本机上VLAN,不从VTP server学习VLAN的配置信息。 交换机VTP配置的任务主要有两个:建立VTP域;设置VTP工作模式。 VTP工作模式默认值是VTP server。建立VLAN配置模式:vlan data 建立VLAN:vlan VLAN trunk的配置: 进入交换机端口配置模式(同上) 配置VLAN Trunk模式:Switch-phy-3548(config-if)#switchport mode trunk 封装VLAN协议:Switch-phy-3548(config-if)#switchport trunk encapsulation dot1q 设置允许中继的VLAN: Switch-phy-3548(config-if)#switchport trunk allowed vlan 10,14(或10-24);Switch-phy-3548(config-if)#switchport trunk allowed vlan except 100-1000。 Backbonefast当交换机到根网桥的间接链路有问题时,其功能就是 使阻塞端口不再等待这段时间,命令为spannning-tree backbonefast。Uplinkfast直接链路失效时,提供快速收敛,命令为上学吧(spannning-tree uplinkfast。Portfast加快终端工作站接入到网络 中的速度。只能用于连接单个主机或服务器,spanning-tree portfast default。BPDU filter会使交换机在指定的端口上停止发 送BPDUs。 DHCP采用客户机/服务器模式,允许网络上配置多台DHCP服务器。 Cisco允许在一台路由器上建立多个地址池。配置IP地址池: Router(config)#ip dhcp pool? 配置IP地址池的子网地址: Router(dhcp-config)#network子网地址子网掩码 配置不用于动态分配的IP地址: Router(config)#ip dhcp excluded-address low-address high-address 配置IP地址池的缺省网关: Router(dhcp-config)#default-router address 配置IP地址池的域名: Router(dhcp-config)#domain-name...配置IP地址池的域名服务器的IP地址: Router(dhcp-config)#dns-server address...配置IP地址池的地址租用时间: Router(dhcp-config)#lease days hours minutes 上学吧 ( 访问控制列表的核心就是根据特定规则进行数据包过滤。IP访问控制列表有两种:标准访问控制列表;扩展访问控制列表。标准访问控制列表只能检查数据包的源地址。表号1-99,1300-1999 扩展访问控制列表可以检查数据包的源地址和目的地址。表号 100-199,2000-2699 Access-list要求只能使用表号标识列表。Ip access-list既可使用 表号,也可使用名字标识一个访问控制列表。 配置访问控制列表的步骤是,首先定义一个标准或扩展的访问控制列 表,然后为访问控制列表配置包过滤的准则,最后再配置访问控制列 表的应用接口。 配置标准访问控制列表: Access-list access-list-number permit/deny source wildcard-mask 配置扩展访问控制列表: Access-list access-list-number permit/deny protocol source wildcard-mask destination wildcard-mask操作操作数 或ip access-list extended/standard access-list-number/name 配置应用接口: Router(config)#line vty 0 5 Router(config-line)#access-class 10 in 上 学 吧(或Router(config)#interface g0/1 Router(config-if)#ip access-list-group 130 in Router(config-if)#ip access-list-group 130 out 路由表的内容包括:目的网络地址,下一跳路由器地址和目的端口。 缺省网关是与主机在同一个子网的路由器端口的IP地址。在数据分组通过每一个路由器转发时,分组中的目的MAC地址是变化 的,但它的目的网络地址是始终不变的。OSPF管理距离110,RIP为120,静态路由是1.路由器中闪存里保存的数据不会因为关机或路由器重启而丢失。接口编号的合适是mod/port,mod是模块号,port是端口号。在用户模式下,输入enable和超级用户密码,进入特权模式。在特 权模式下,输入configure terminal进入全局配置模式。在全局配置模式下,进入接口配置模式router(config)#int f0/12; 进入虚拟终端配置模式:router(config)#line vty 0 15; 进入RIP路由协议配置模式:router(config)#router rip。路由器基本配置: 配置路由器的主机名:router(config)#hostname Router-phy 配置超级用户口令:router(config)#enable secret?,router(config)#enable password 7? 退出命令:exit一级一级退出,end直接退回到特权用户模式。上学吧(保存配置:router#write memory 删除配置:router#write erase 网络的基本检测命令: 一台路由器可以支持5个telnet连接。Ping通过echo协议判别网 络的连通情况。Trace查询网络上数据传输流向的工具,采用与ping 命令相同的技术。路由器接口配置: 配置接口描述信息: router(config)#int g6/0 router(config-if)#description? 配置接口带宽:router(config-if)#bandwith?(带宽单位是 kbps) 封装协议:router(config-if)#encapsulation...配置接口的IP地址:router(config-if)#ip address ip地址子 网掩码 接口开启与关闭:router(config-if)#no shutdown 以太网接口用ethernet快速以太网为f千兆以太网为g广域网异 步串行接口为a同步串行接口为s POS接口为POS(可提供155M 622M 2.5G 10G速率) Loopback接口总是处于激活状态,掩码为255.255.255.255 路由器静态路由配置:上学吧(router(config)#ip route目的网络地址子网掩码下一跳路由 器的IP地址 RIP协议配置:广播报文 router(config)#router rip router(config-router)#network ip地址 配置被动接口:router(config-router)#passive-interface Ethernet 0可以抑制路由更新 配置路由过滤:router(config-router)#distribute 12 in ethernet0 配置管理距离:router(config-router)#distance 50 定义邻居路由器:router(config-router)#neighbor IP地址;(单 播方式) OSPF协议配置:组播报文 区域ID一种是十进制整数表示,一种是点分十进制数表示,ID为0 或0.0.0.0为骨干区域。 router(config)#router ospf 63(为process ID) router(config-router)#network ip<子网号> area<区域号>range<子网地址><子网掩码> 配置OSPF引入外部路由的花费值:router(config-router)#redistribute metric 100上学吧(配置引入外部路遇时缺省的标记值:router(config-router)#redistribute tag 10 配置引入外部路由时缺省的外部路由类型: router(config-router)#redistribute connected metric-type 1 subnets 蓝牙主要参数: 双工方式;支持电路交换及分组交换;信道数79;密钥最长128bit; 认证基于共享链路密钥询问/响应机制;异步信道速率:非对称连接 723.2kbps/57.6kbps对称连接433.9kbps(全双工模式);同步信道 速率:64kbps。 HiperLAN覆盖范围在室内为30m,在室外为150m。最高速率可达 54Mbps HiperLAN/2采用5G射频频率,速率可达54Mbps。HiperLAN/1采用5G射频频率,速率可达20 Mbps HiperLAN主要特点:1.高速数据传输2.面向连接3.QoS 4.自动频 率分配5.安全性6.移动性7.网络与应用无关8.省电。 802.11定义了两种类型设备:无线结点和无线接入点。一个无线接 入点由一个无线输出口和一个有线的网络接口。 802.11采用了CSMA/CA或DCF协议,解决“near/far”问题。RTS/CTS解决“hidden node”问题。 802.11b优点支持以百米为单位的范围,只允许一种标准的信号发送上学吧(技术。支持上百个用户同时进行语音和数据支持。802.11b运作模式:点对点模式和基本模式。 典型解决方案:对等解决方案;单接入点解决方案;多接入点解决方 案;无线中继解决方案;无线冗余解决方案;多蜂窝漫游工作方式。 无线局域网设计:1.进行初步调查2.对现有环境进行分析3.指定初 步设计4.确定详细设计:要确保任何在初步设计评审中所制定的功 能改变都不会影响设计的整体方案5.执行和实施实际6.整理文档: 文档与设计的设计和实施严格保持一致。 将接入点接入网络之前,了解:系统名;服务集标识符SSID;ip地 址;子网掩码和默认网关;简单网络管理协议集合名称以及SNMP文 件属性。 第一次配置无线接入点,一般采用“本地“配置模式,即无须将无线 接入点接到一个有限的网络中。默认IP地址是10.0.0.1。可为下列分配ip地址:连接在接入点以太网端口上的PC机;没有配 置SSID或SSID配置为tsunami,并且关闭所有安全配置的无线设备。 DHCP服务器与客户端之间采用广播方式。 FTP服务器与客户机建立两个连接:控制连接和数据连接。控制连接 在整个会话期间一直打开。服务器端控制连接默认端口为21,数据 连接用20.DNS区域文件缺省格式为:区域名称.dns。动态更新。“创建相关的上学吧(指针记录”创建反向区域。使用nslookup对DNS服务器进行测试。DNS与DHCP在Windows组件向导对话框中,双击“网络服务”。作用 域激活后,DHCP服务器才可以为客户机分配IP地址。DHCP服务器常用的选项有路由器选项和DNS服务器选项。使用ipconfig/all查看地址租约及其他配置情况。 配置 密码学包括密码编码学和密码分析学。 密码体制的设计是密码学研究的主要内容。加密/解密算法,密钥及 其工作方式构成密码体制。 对称密码体制需要N*(N-1)个密钥,DES采用64位密钥长度。非对称密码需要2N个密钥。防火墙主要功能: 检查所有从外部网络进入内部网络和从内部网络流出到外部网络的 数据包; 执行安全策略,限制所有不符合安全策略要求的数据包通过; 具有防攻击能力,保证自身的安全性。 防火墙分类:包过滤路由器,应用级网关,应用代理和状态检测等。 防火墙系统结构:包过滤路由器结构;双宿主主机结构;屏蔽主机结 构;屏蔽子网结构。 入侵检测系统结构:事件发生器;事件分析器;响应单元;事件数据 库。 入侵检测技术分类:异常检测,误用检测及两种方式结合。异常检测优点:检测完整性高,较少依赖特定的操作系统,对合法用 户超越其权限的违法行为检测能力很强。缺点:误警率较高,需要不断在线学习。 误用检测优点:准确性高,检测的匹配条件可以精确地描述。入侵检测系统分类:基于主机,基于网络上学吧(入侵防护系统结构:嗅探器,检测分析组件,策略执行组件,日志系 统,状态开关,控制台。 检测分析组件将分析得到的系统防御策略提交给策略执行组件,并将 攻击数据包信息,攻击事件结果及响应策略提交日志系统保存,将报 警信息提交给控制台。 “状态开关”负责接收来自检测分析组件的状态转换指令,并驱动策 略执行组件转换工作状态,对分布式拒绝服务攻击进行有效防御。 网络安全评估技术分为基于应用和基于网络的两种网络评估分析技 术。 Windows五种备份方法:副本备份;每日备份;差异备份;增量 备份; 正常备份。 防病毒系统结构:系统中心;服务器端;客户端;管理控制台。防火墙基本配置方法:非特权模式;特权模式;配置模式;监视模式。 防火墙配置接口名字,并指定安全级别: Pix525(config)#nameif ethernet0 outside security0 Pix525(config)#nameif dmz security50 缺省情况下,Ethernet0端口被命名为外部接口,安全级别是0; Ethernet1为内部接口,安全级别是100; 配置网卡的IP地址: Pix525(config)#ip address outside ip地址子网掩码 指定要进行转换的内部地址:上学吧(Pix525(config)#nat(if-name)nat_id local_ip掩码 指定外部IP地址范围: Pix525(config)#global(outside)nat-id ip_address-ip_address 设置指向内网和外网的静态路由: Pix525(config)#route(if_name)0 0 gateway_ip metric 配置静态nat: Pix525(config)#static(inside,outside)ip ip Conduit允许数据流从具有低安全级别的接口流向具有较高安全级别 的接口。 Pix525(config)#conduit permit/deny tcp host ip eq 防火墙内外都装有入侵检测探测器。 网络管理由管理进程,被管对象,代理进程,网络管理协议,管理信 息库组成。 网络管理功能:配置管理,性能管理,记账管理,故障管理,安全管 理。 CMIP通信方式有轮询和时间报告。 SNMP三个组成部分:管理站,代理和MIB,管理模型是一个 manager/agent SNMP采用“团体”概念。 MIB-2对象值的简单类型包括整数,八个一组的字符串和对象标识符。SNMP特点: 1简单,易于在各种网络中实现2广泛支持3操作原语简捷4性能 高 CMIP特点:是一个完全独立于下层平台的应用层协议 1每个变量不仅传递信息,而且还完成一定的网络管理任务2安全性 高,它拥有验证,访问控制和安全日志。两者不同点: SNMP有广泛的适用性,用于小规模设备时成本低,效率高,实际 中一般用于计算机网络管理,而CMIP则更适用于大型系统,在实际 中用于电信网络管理。SNMP主要基于轮询方式获得信息,而CMIP主要采用报告方式。上学吧(3对传输服务的要求方面,SNMP基于无连接的UDP,而CMIP使用面 向连接的传输。CMIP采用面向对象的信息建模方式,而SNMP则是用简单的变量表 示管理对象。 互联网控制报文协议ICMP有18种类型。通知网络拥塞发出“源抑制” 报文。 NBTSTAT显示本机与远程计算机的基于TCP/IP的NetBIOS的统计及 连接信息。 在Windows2003中,用于管理网络环境,服务,用户,登录等本地信 息的命令是:net Netstat命令用来显示活动的TCP连接,侦听的端口,以太网的统计 信息,IP路由表和IP统计信息。Route显示或修改本地IP路由表的条目。 Windows2003中有两种用户:本地用户和域用户。性能管理包括系统监视器和性能日志和警报。 漏洞扫描工具的功能:扫描,生成报告,分析并提出建议,数据 管理。 网络管理软件的功能:网络性能监控;网络发现和拓扑管理;IP地 址管理;探测功能;其他。 网络管理系统能够正常工作的核心配置步骤是在网管系统即管理站 和可网管的设备即代理上实施正确的SNMP设置,特别是团体的设置。 创建或修改对SNMP团体的访问控制:上学吧((config)#snmp-server community团体名view视域名ro/rw访 问控制表号 创建或修改一个SNMP视阈: (config)#snmp-server view视阈名对象标识或子树 included/excluded 设置路由器上的SNMP代理具有发出通知的功能:(config)#snmp-server enable traps通知类型通知选项 在某个接口的配置模式下,指定当该接口断开或连接时要向管理站发 出通知; (if-config)#snmp trap link-status 配置接收通知的管理站: (config)#snmp-server host主机名或IP地址traps/informs version 1/2c--- 团体名udp-port端口号通知类型 组管理中的组作用域有三个选项:本地作用域,全局作用域,通用作 用域。 Sniffer pro中history sample收集一段时间内的各种网络流量信 息,通过这些信息可以建立网络运行状态的基线,设置网络异常的报 警“阈值”。 Global statistics通过多种类型的统计信息。 主要功能有:数据监听;数据包捕捉;数据包分析;数据包生成。上学吧(常见的dos攻击有smurf攻击,SYN flooding,ping of death, teardrop,land攻击。 ISS扫描器包括:Internet扫描器,系统扫描器,数据库扫描器 城域网是以“宽带光传输网络”为开放平台,以TCP/IP协议为基础,通过各种网络互联设备,满足语音,数据,图像等业务应用需求,并 与广域网,广播电视网,电话交换网互联互通的本地综合业务网络。 当在单一信息插座上进行两项服务时,宜采用Y型工作区适配器。 调整“管理”间子系统的交接则可重新安排线缆路由,是综合布线系 统灵活性的集中体现。 DHCP服务的客户端TCP/IP初始化时,将向未来广播目标地址为 “255.255.255.255”的“DHCP发现”消息。 在web服务器的“目标安全性”选项卡中,可完成的配置任务有:身 份验证和访问控制,IP地址和域名限制,安全通信。MIB-2标识符一定都是以1.3.6.1.2.1开头的。 任何一种结构的防火墙都是由包过滤路由器和应用级网关组合的。 使用sniffer属于网络监听,不能使用telnet,因为telnet服务安 全风险是明文传递信息。可使用SSH网络安全工具软件。为了防止ARP特洛伊木马的欺骗攻击,可以采用MAC地址与IP地址 绑定。上学吧(HDSL属于对称xDSL技术。 802.11b最大速率为11Mbps,802.11a和802.11g最高速率为54Mbps。NAT局限性: NAT违反了IP地址结构模型的设计原则; NAT使得IP协议从面向无连接编程了面向连接; NAT违反了基本的网络分层结构模型的设计原则; NAT协议与某些协议需要做适当的修正; NAT同时存在对高层协议和安全性的影响问题。 当BGP-4发言人与其他自治系统的BGP发言人交换路由信息,需要先 建立TCP连接。 使用Server-U软件创建“域”时,“域端口号”默认值是21.创建Winmail邮件服务器的访问与管理Web站点时,需要在该Web站 点“文档”选项卡中,添加用于管理的默认文档“index.php”。无线网卡的无线网络属性中“网络名”SSID应配置为“与所在无限 覆盖区AP的SSID相同的值”。 “网络验证”项选择“开放式”,则“数据加密”可选择的值有“已 禁用”和“WEP”,“WEP”在链路层采用的加密技术是“RC4”,其密钥 长度有40位和128位。“密钥索引”的默认值为1.SSL端口为443.若要求网络既可以接收HTTP请求,也可接受HTTPS请求,并要求客 户端提供数字证书,则需在“安全通信”中,选择“接受客户端证书”,上学吧(注意不要选择“要求安全通道”。 当为了防止多个无线AP信号干扰,需调整无线AP配置中“channel” 选项。 干线子系统设计原则: 1在确定干线子系统所需的电缆对数之前,必须确定电缆中语音和数 据信号的共享原则。 2应选择干线电缆最短,最安全和最经济的路由,选择带盖的封闭通 道敷设干线电缆 3依具体应用需求,选择点对点端接,分支递减端接或电缆直接连接 等干线电缆连接方法。 4如果设备间与中心机房处于不同地点,且需将语音电缆连接至设备 间,把数据电缆连接到中心机房,则宜在设计中选取干线电缆的不同 部分来分别满足语音和数据的需要,必要时,也可采用光缆系统。802.16d主要针对固定的无线网络部署,802.16e针对火车,汽车等 移动物体的无限通信标准问题。 静态路由表适用于故障查找的试验网络中。 自治系统内部划分成若干区域和主干区域。主干区域内的路由器叫做: 主干路由器。连接各个区域的路由器叫做区域边界路由器,接收从其 他区域来的信息。在主干区域内还要有一个路由器专门和该自治系统 之外的其他自治系统交换路由信息,叫做自治系统边界路由器。上学吧(VLAN可以划分广播域。跳频扩频与直序扩频没有互操作性 SNMP中计数器类型单增归零,计量器类型可增减不归零。Tracert程序是一个基于ICMP协议的超时消息的通用五菱管理工具。 Ipconfig/release,ipconfig/renew。 保证宽带城域网服务质量的技术有:资源预留RSVP,区分服务 DiffServ,多协议标记交换MPLS。802.16信道带宽可达25/28MHz。Router ospf...中最大可达65536 在配置IIS时,如果想禁止某些IP地址访问WEB服务器,应在“默 认Web站点”的属性对话框中“目录安全性”选项卡中进行配置。“land攻击”将数据包的源IP地址和目的IP地址都设置成攻击目 标的地址。 RADIUS协议是一种“客户/服务器”结构的协议。RADIUS服务器接收 WLAN用户接入请求后,由交换机提取用户身份信息,将用户分配到 正确的VLAN中。 用netstat-an以数字格式显示查看SMTP网络连接的异常信息。VTP信息只能在trunk端口上传播。 无源光纤网POS对称业务的传输业务室155。520Mbps。工作频段小于6G的无线城域网标准时IEEE802.16e。上学吧(网络系统设计原则是:实用性,开放性,高可靠性,安全性,先进性 与可扩展性。 网络运行环境是保障网络系统安全可靠与正常运行所必须的基本设 施。 CIDR技术需要在提高IP地址利用率与减少主干路由器负荷两个方面 取得平衡。 Web站点默认文档中最前面优先级最高。 使用Serv-U软件架构FTP站点时,选择各种消息和记录是否显示在 屏幕上,是否记录在域的日志文件中的域选项卡是“记录”。计算机系统中的信息资源只能被授予权限的用户修改,这是网络安全 的“数据完整性” “磁碟机病毒”属于“蠕虫”病毒 在防火墙的“监视模式”下,可以进行操作系统映像更新,口令恢复 等操作。 Show arp查看地址解析协议表。网络设计流程: 制定项目建设任务书;网络工程需求分析;对现有网络的体系结构进 行分析;确定网络逻辑结构;确定网络物理结构;工程实施;交付文 档;系统维护与服务。 多模光纤最大长为550m,单模光纤最大长5km。 采用VTP简化VLAN的管理。上学吧(ADSL宽带接入方式的最大传输距离可达5500m 802.11b定义了使用直序扩频技术。 RIPv2是一种基于UDP协议的应用层协议 对路由器配置RIP协议,在配置模式下使用的第一条命令是:ip routing 反向查找区域的“网络ID”不允许出现具体IP地址。 在Windows操作系统中,要实现一台具有多个域名的web服务器,要 “使用虚拟主机”。 如果使用IIS架构“用户隔离”模式的FTP站点,并允许用户匿名访 问,则需要在FTP站点主目录下的Local User子目录中创建名为 “public”的目录。 SSL协议在信息传输过程中的“信息加密”服务RADIUS协议实现对 远端拨入用户的“身份验证”服务。 宽带城域网必须具有IP地址分配能力,能够支持动态和静态IP地址 分配,以及支持NAT功能。HFC传输速率为10M-36Mbps 对A类,B类,C类地址中全局IP地址和专用IP地址的范围和使用,作出规定的文件是“RFC1518” 快速以太网网卡自动协商过程在500ms完成。 当配置一台新的交换机时,该交换机的所有端口属于VLAN1 如果两个交换机之间设置多条Trunk,则需要用不同的端口权值或路上学吧(径费用来进行负载均衡,默认情况下,端口的权值是128 常见的无线局域网标准不包括IEEE802.16标准 802.11a与802.11b不兼容。在802.11g与802.11b混合环境下,实 际吞吐量为10-12Mbps 网络接口处于混杂模式能够响应流经网络接口的所有数据帧 Ping命令的-n表示ping的次数 每天每小时统计服务器的繁忙程度的工作属于“计费”功能 管理站和服务器之间的通信可以使用哪几种SNMPv2报文: GetRequest GetNextRequest GetBulkRequest Response 重要的无线网卡参数:Channel WEP或无线等效保密协议(即 Encryption level)ESSID Opration Mode 系统安全包括的机制:安全防护机制,安全检测机制,安全恢复机制 802.16最高传输速率为134Mbps,使用的无线频段为10-66GHz 网络需求详细分析包括:网络总体需求分析,结构化布线需求分析,网络可用性与可靠性分析,网络安全性需求分析,网络工程造价估算 OSPF使用分布式链路状态协议,链路状态数据库中保存一个完整的 路由表。 Serv-U可以限制用户上传信息占用存储空间的选项是:用户配额选 项。 在DHCP服务器能为客户分配地址前,还必须的操作是:激活新建的上学吧(作用域,配置路由器选项和DNS服务器选项。 DHCP服务器要为一个客户机分配固定IP地址时,需要执行的操作是: 配置“新建保留”对话框的相关参数。 宽带城域网在组建方案中一定要按照电信级运营的要求,考虑设备冗 余,线路冗余,路由冗余以及“系统故障的快速诊断与自动恢复” 宽带城域网的用户管理包括:用户认证,接入管理与计费管理。宽带城域网必须具备IP地址分配能力,能够支持动态和静态地址分 配,支持网络地址转换NAT功能。 核心层网络一般要求承担整个网络流量的40%-60% 网络应用软件开发与运行环境包括:网络数据库管理系统与网络软件 开发工具。 网络需求详细分析包括:网络总体需求分析,综合布线需求分析,网 络可用性与可靠性分析,网络安全性需求以及网络工程造价估算。 用于软件测试盒本地进程间通信的PING程序使用回送地址 127.0.0.0 根据网络总体设计中物理拓扑设计的参数,确定以下两个主要数据: 网络中最多可能有的子网数量,网络中最大网段已有的和可能扩展的 主机数量。 CIDR特点:地址聚合和路由聚合 在网络中,一台主机通常是与一台路由器相连接,这台路由器就是该 主机的“默认路由器”上学吧(份根网桥,配置生成树优先级,配置路径代价,配置STP可选功能。 路由器和计算机一样具有中央处理器,内存,存储器等硬件系统,没 有图形用户界面,没有键盘输入设备。 路由表内容包括:目的网络地址,下一跳路由器地址和目的端口等信 息,还包括缺省路由器的路由信息。 路由器的接口主要有三类:局域网接口,广域网接口和路由器配置接 口。 一台主机的缺省网关是主机在同一个子网的路由器端口的IP地址。 查看路由器的配置信息和路由表,分别使用show configuration和 show ip route DHCP客户的IP地址应配置为自动获取。扩展访问控制列表的表号范围是100-199 在HiperLAN/2的典型网络拓扑结构中,一个小区的覆盖范围在室内 为30m,在室外为150m IEEE802.11b典型解决方案有:对等解决方案,单接入点解决方案,多接入点解决方案,无线中继解决方案。 Aironet1100主要为企业办公环境设计,兼容802.11b和802.11g,工作在2.4GHz,使用IOS操作系统。主要用于独立无线网络的中心 点或无线网络和有线网络之间的连接点。 无线局域网硬件设备主要包括:无线网卡,无线接入点AP,天线,无线网桥,无线路由器与无线网关。上学吧(FTP服务器配置参数有:域,匿名用户,命名用户,组。常见的邮件服务器软件可以构建多个虚拟邮件服务器,每个邮件服务 器称作“域” 设置IIS安全性功能之前确认用户的用户标识,可以选择配置三种方 法:身份验证和访问控制,IP地址和域名限制与安全通信。IIS6.0使用虚拟服务器的方法在一台服务器上可以构建多个网站。 FTP服务器的基本配置完成后,需对选项进行配置,包括服务器选项,域选项,组选项和用户选项。 引导型病毒指寄生在磁盘引导区或主引导区。 应用入侵防护系统防止诸多入侵,包括Cookie篡改,SQL代码嵌入,参数篡改,缓冲器溢出,强制浏览,畸形数据包,数据类型不匹配以 及已知“漏洞” 网络版防病毒系统的基本安装对象包括:系统中心的安装,服务器端 的安装,客户端的安装和管理控制台的安装。 扫描设置通常包括文件类型,扫描病毒类型,优化选项,发现病毒后 的处理方式,清除病毒失败后的处理方式,杀毒结束后的处理方式和 病毒隔离系统的设置。X-scanner采用多线程方式。MBSA可以分析本机的安全性。 一个基于主机的漏洞扫描系统通过依附于主机上的扫描器代理侦测 主机“内部”的漏洞。上学吧(Sniffer pro的history sample收集一段时间内的各种网络流量信 息,通过这些信息可以建立网络运行状态的基线,设置网络异常的报 警“阈值” Internet Scanner执行预定的或事件驱动的网络探测,包括对网络 通信服务,操作系统,路由器,电子邮件,web服务器,“防火墙” 和应用程序的检测,从而能识别被入侵者利用来非法进入网络的漏洞。 WSUS“实时”连接。 SNMP团体的访问控制设置中的访问控制表号是一个1-99的整数 网络关键设备选型原则:产品系列与厂商的选择;网络的可扩展性考 虑;网络技术先进性考虑。 透明网桥特点:透明网桥由每个网桥自己来进行路由选择;透明网桥 一般用于两个MAC层协议相同的网段之间的互联;透明网桥的最大优 点是容易安装。 蓝牙的软件体系是一个独立的操作系统,不与任何操作系统捆绑。蓝 牙软件结构标准包括核心和应用协议两部分,蓝牙协议核心部分主要 定义蓝牙的技术细节,应用协议则为全球兼容性奠定了基础。100BASE-T为质量较差的3类非屏蔽双绞线设计的快速以太网协议标 准。 无线AP的桥接软件需符合IEEE802.1d桥接协议规范。上学吧(在DNS服务器中,输入172.16.1的ID,默认对应的区域文件名为 “1.16.172.in-addr.arpa.dns” 在pathping命令中,指定两次ping之间时间间隔的选项是-P ICMP报文封装在IP数据单元中。SNMP和CMIP采用的抽象语法符号相同。PON非对称业务的下行传输速率是622.080Mbps。 BGP协议交换路哟信息的结点数是以自治系统数位单位的。蓝牙系统的跳频速率为1600次/s 802.11b网卡可转到休眠模式,接入点将信息缓冲到客户。如果DNS服务器需要解析它来自本身的Internet服务提供商的名称,则必须进行“转发域名服务器”配置。 在基于IEEE802.11标准的无线局域网主要技术中,正交频分复用技 术克服了多路信道干扰。 结构化综合布线方案中,100m包括跳线,工作区和设备区接线在内 的总长度。 默认情况下DNS服务器禁用的选项是调试日志 更新分组时BGP协议的核心 Cable Modem上行速率在200kbps-10Mbps RPR能够在50ms内隔离出现故障的结点和光纤段,两个RPR结点之 间的裸光纤最大长度为100公里,内环和外环都可以传输数据分组和 控制分组,环中的每一个结点都执行SRP公平算法。上学吧(www.xiexiebang.com) BPDU数据包有两种类型:一种是包含配置信息的配置BPDU(不超过 35B),一种是包含拓扑变化信息的拓扑变化通知BPDU(不超过4B) 生成树优先级增量是4096 Write memory命令可以将路由器的配置保存到NVRAM 若要求节点在同一个逻辑网络,应选用的无线设备是“无线网桥” “DHCP发现”报文源地址是0.0.0.0,目标地址是255.255.255.255 显示域列表,计算机列表的DOS命令式net view 与DHCP服务器配置有关的原因有:作用域选项中“DNS服务器选项” 或“路由器选项”有误。 变长子网掩码;网络地址转换NAT; 在Windows2003中有本地用户和域用户两种类型。本地用户信息存储 在本地计算机的“账户管理数据库中”,用户登录后只能根据权限访 问本地计算机。域用户信息存储在域控制器的活动目录中,用户登录 后可以根据权限访问整个域中的资源。 安装并配置SNMP代理程序,并通过团体设置允许该网络管理站对其 进行SNMP访问。 三层交换机之间没能自适应,两个交换机之间的连接速度是10M/s,半双工传输方式。 将三层交换机之间的LAN端口强制设置成非自协商,100Mbps,全双工模式。 TCP/IP联网 主要内容: 1、TCP/IP实现的基本原理 2、Windows NT平台的联网 3、UNIX平台的联网及LINUX网络的联网 一、TCP/IP实现基本原理 1、TCP/IP的实现方式: TSR常驻内存程序是一种安装在Windows之前在DOS上运行的程序。缺点,不能动态分配内存,TSR需要动态链接库DLL帮助,才能让Windows程序访问网络。目前只有在DOS环境下才使用TSR方式。 DLL动态链接库是一个16位的Windows程序函数库,只有当用到其中的过程时才会被调用。缺点,它们不能直接与网卡通信,它们依赖于Windows的调度程序。 VxD虚拟设备是在Windows 32位保护方式下实现的,用于实现一些关键的部分,如视频、鼠标及通信端口驱动程序。它是通过硬件中断方式响应网络中的通信,可以彻底地访问Windwos和DOS程序。 2、网络配置基本参数:PC中网络适配卡基本参数,I/O端口地址、内存地址及中断号IRQ。与Microsoft相关的网络信息,主机标识、工作组名、WINS服务器地址、DHCP服务器地址;与TCP/IP网络信息有关,IP地址、子网掩码、主机名、域名、域名服务器、默认网关IP地址。 二、Windows NT平台的TCP/IP联网 三、UNIX平台的TCP/IP联网 1、建立UNIX联网的几个步骤:设计物理和逻辑的网络结构;分配IP地址;安装网络硬件;为每个主机配置启动时候的网络接口;设立服务程序或者静态路由。 2、IP地址的获取和分配:可能通过/etc/hosts文件、DNS或者其他域名系统来实现。 3、网卡的配置:ifconfig命令可以设置网卡IP地址、子网掩码、广播地址、网卡的使能状态及其他选项参数。Ifconfig interface [family] address up option,其中interface是指定的网卡名,可以用netstat-i来检查当前系统网卡的芯片类型。Loopback网卡通常叫lo0它是一个假想的硬件,用来作本机内部网络包的路由,4、路由配置:route配置静态路由,route [-f] op [type] destination gateway hop-count,op参数如果是add就是增加一个路由表项,如果delete就是删除一个路由表项。 5、routed标准路由daemon,只支持RIP,它使用hop作为距离计数单位。Routed有两种运行方式:服务器模式和安静模式。两种模式都要监听广播包,但只有服务器模式才能发布自己的路由信息,通常只有多网卡的机器才设置成服务器模式,如果未说明就是安静模式。 6、gated一个更好的路由daemon,gated配置文件在/etc/gated.conf的语法中加入BGP后有了很大改动,gated能细粒度地控制广播路由、广播地址、信任策略、距离向量等。 四、Linux网络的安装与配置 1、手工进行网络硬件配置: 系统启动时会自动检测网卡,有两个缺点:一个是不通正确的检查所有的网卡,特别是一些比较廉价的网卡,二是核心程序不会自动检测一个以上的网卡,这点是为了使用户可以控制将山上设置到指定的端口上。如果使用两个以上的网卡,自动检测网卡就会失败。 手动进行配置,一种方法是在核心程序的源代码的/drivers/net/space.c文件中修改或添加信息,然后重新编译内核。另一种方法在系统启动过程中将这些信息提供给内核程序。在LILO系统时可以通过lilo.conf文件中的append参数来传递给内核。 2、手工TCP/IP网络配置 设置主机名:hostname name,为接口进行IP配置:ifconfig interface ip-address route add-net 202.112.58.0-net的含义,因为route既可以处理到网络的路由,又可以处理到单个主机的路由。通过net来告诉它此地址是代表的一个网络,用host来告诉它此地址是代表一个主机。如果为了方便,还可以在/etc/networks中定义网络名字,route后面直接使用网络名字就可以了。 route add default gw 2-2.112.58.254 网络名字default是0.0.0.0的简写,指示默认的路径,并不需要将这个名字加入到/etc/networks文件。 3、编辑hosts与networks文件 如果不打算使用DNS或者NIS进行地址解析时,就必须将所有的主机名字都放入hosts文件中。伴随hosts文件的还有一个/etc/networks文件,它在网络的名字和网络号之间建立映射。 4、编译内核 命令如下:cd/usr/src/linux make config 新的Linux核心版本中,对核心的配置除了上述make config命令外,还增加了字符状态下以菜单形式对核心进行配置的命令make colormenu以及在X窗口系统中运行的图形配置界面命令make xconfig。 五、高级TCP/IP应用配置 1、网络配置文件:在Linux中是通过/etc/rc.d/rc.inet1和/etc/rc.d/rc.inet2两个文件实现的,/etc/rc.d/rc.inet1主要是通过ifconfig和route命令进行基本的TCP/IP接口配置,主要由两部分组成,第一部分是对回送接口的配置,第二部分是对以太网接口的配置。/etc/rc.d/rc.inet2主要是用来启动一些网络监控的进程,inetd portmapper 等。 2、名字服务和解析器配置 运行named:大多数UNIX机器上提供域名服务的程序叫named它是一个服务器程序,用来向客户或其他名字服务器提供域名服务。它从配置文件/etc/named.boot中获取信息,以及各种包含域名到地址映射的数据文件,后者称为“区文件”zone file。Named包含的主文named.hosts。第五篇:最新计算机四级网络工程师考试笔记、总结
点击咨询 