网络管理与维护期末复习

网管复习

1. 网络体系结构：
2. 协议是“水平的”，协议是控制对等实体之间通信的规则
3. 服务是“垂直的”，服务是由下层向上层通过层间接口提供
4. 工作地点：
5. MAC地址的作用：
6. ARP告诉缓存，里面有所在的局域网上的各主机和路由器的IP地址到硬件地址的映射表
7. 无线局域网：以无线信道作为传输媒介的计算机局域网
8. IP地址的编址方法：
9. 分类的IP 地址：网络号+主机号
10. IP地址的分类
11. 地址类
12. 保留地址/私有地址
13. 子网划分：从主机号部分拿出几位作为子网号
14. 子网掩码：使用子网掩码可以很方便的找出IP地址中的子网部分
15. IP地址规划——子网划分
16. 无分类编址方法CIDR
17. 集线器：
18. 网桥的源地址学习：
19. 交换机：
20. 交换机工作原理
21. 数据帧在交换机内的交换过程
22. 交换机源地址学习：
23. 交换机分类：
24. 交换机的互连方式：
25.交换机的管理方式
26.带外管理交换机配置
27.配置交换机Telnet功能
28.VLAN
29.VLAN路由
30.交换冗余技术
31.单臂路由
32.路由器
33.路由器——直连路由
34.路由器——静态路由
35.路由器——默认路由
36.路由器——动态路由
37.OSPF与RIP的比较
38.NAT
39.静态NAT/ NAPT（利用端口号）
40.动态NAT/NAPT
41.动态NAT和动态NAPT的区别：
42.NAT的监视和维护命令
43.NAT技术适用场景
44.ACL访问控制列表
45.标准访问列表
46.扩展访问列表
47.访问列表的验证
48.路由表
49.路由重分布
50.策略路由
51.网络规划与设计
52.网络拓扑结构
53.IP地址规划
54.网络信息安全体系结构
55.网络安全技术
56.服务器

1. 网络体系结构：

OSI/RM七层参考模型

TCP/IP模型

2. 协议是“水平的”，协议是控制对等实体之间通信的规则

3. 服务是“垂直的”，服务是由下层向上层通过层间接口提供

4. 工作地点：

交换机：数据链路层
集线器：物理层
路由器：网络层

5. MAC地址的作用：

链路层寻址
ARP协议（链路层及以下使用硬件地址）

6. ARP告诉缓存，里面有所在的局域网上的各主机和路由器的IP地址到硬件地址的映射表

当主机 A 欲向本局域网上的某个主机 B 发送 IP 数据报时，就先在其 ARP 高速缓存中查看有无主机 B 的 IP 地址。如有，就可查出其对应的硬件地址，再将此硬件地址写入 MAC 帧，然后通过局域网将该 MAC 帧发往此硬件地址

7. 无线局域网：以无线信道作为传输媒介的计算机局域网

无线局域网的互联设备主要有：

无线网卡
无线接入点（AP）
无线路由器
无线天线

8. IP地址的编址方法：

分类的IP地址
子网的划分
构成超网

9. 分类的IP 地址：网络号+主机号

10. IP地址的分类

11. 地址类

A类：1.0.0.0 ∽ 127.255.255.255
B类：128.0.0.0 ∽ 191.255.255.255
C类：192.0.0.0 ∽ 223.255.255.255
D类：224.0.0.0 ∽ 239.255.255.255
E类：240.0.0.0 ∽ 247.255.255.255

12. 保留地址/私有地址

13. 子网划分：从主机号部分拿出几位作为子网号

14. 子网掩码：使用子网掩码可以很方便的找出IP地址中的子网部分

子网掩码中的1对应与IP 地址中的网络号和子网号，而子网掩码中的0对应于IP 地址中的主机号，即：子网地址是一个将主机号置为0的IP 地址。如果一个网络不划分子网，那么该网络的子网掩码就是默认子网掩码
IP地址和子网掩码坐AND操作=网络地址

15. IP地址规划——子网划分

16. 无分类编址方法CIDR

使用各种长度的“网络前缀”赖迪埃提分类地址中的网络号和子网号
IP地址::={<网络前缀>,<主机号>}
例如：128.14.32.0/20 表明该IP地址的前20位为网络地址位

17. 集线器：

对网络进行集中管理的设备，工作于物理层，实质是一个多接口的中继器，实现数据转发和信号放大，在某一时刻只允许一个用户传输数据
例如：4个用户接入集线器，每个用户分得集线器带宽的1/4，因为每个用户主机的网卡执行CSMA/CD协议，即：集线器是串行

18. 网桥的源地址学习：

因为转发表中的MAC地址是根据源MAC地址写入的，但在进行转发时是将此MAC地址当作目的地址

19. 交换机：

主要用于连接局域网中的网络设备
定义： 是一种基于MAC地址识别、能够完成数据帧封装与转发功能的网络设备
交换机的基本工作原理与网桥一致，作用是快速高效、准确无误的转发数据帧
作用： 转发、过滤、广播、扩散、源地址学习（只能通过谁发给他来记录学习）

20. 交换机工作原理

基本操作：

交换数据帧：将从某一端口收到的数据帧转发到该帧的目的地端口
维护交换操作：在交换机内部构造和维护动态MAC地址表

21. 数据帧在交换机内的交换过程

丢弃：当本端口下的主机访问已知本端口下的主机时丢弃
转发：当某端口下的主机访问已知某端口下的主机时转发
扩散：当某端口下的主机访问未知端口下的主机时要扩散
广播：当某端口下的主机向所有端口下的主机发数据时广播

22. 交换机源地址学习：

每个操作都要记录下发送端的MAC地址，以备其它主机的访问。因为转发表中的 MAC 地址是根据源 MAC 地址写入的，但在进行转发时是将此 MAC 地址当作目的地址。

23. 交换机分类：

按网络覆盖范围划分： 广域网交换机和局域网交换机
按传输介质和传输速度划分：
1）以太网交换机
2）快速以太网交换机
3）千兆以太网交换机…
按交换机工作的协议层：
1）第二层交换机
2）第三层交换机
3）第四层交换机
4）第七层交换机
按交换机的结构划分：
1）固定端口交换机
2）模块化交换机
按网络互连三层模型划分：
1）核心层交换机
2）汇聚层交换机
3）接入层交换机
按外观进行划分：
1）机箱式
2）机架式
3）桌面型

24. 交换机的互连方式：

级联：

交换机之间利用以太网接口连接起来
延时大
适用于远距离

堆叠：

通过堆叠线缆将交换机的背板连接起来，扩大级联带宽
统一管理（共同维持一张MAC地址表）
堆叠的线缆短

25.交换机的管理方式

带外管理： PC直接与交换机相连

带内管理：

通过Telnet对交换机进行远程管理
通过Web对交换机进行远程管理
通过SNMP工作站对交换机进行远程管理

26.带外管理交换机配置

用户模式：switch>enable
特权模式：switch#config terminal
配置模式：全局配置模式：switch(config)#接口配置模式：switch(config-if)#

27.配置交换机Telnet功能

配置特权模式密码switch (config)#enable secret level N 0 wangluo //密文显示switch(config)#enable password 123456   //明文显示
配置交换机管理IPswitch (config)#interface vlan 1switch (config-if)#no shutdownswitch (config-if)#ip address 192.168.1.1 255.255.255.0switch (config-if)#end
配置telnet远程登录命令switch(config)#line vty 0 4switch(config-line)#password abc123        //设置telnet远程登录密码switch(config-line)#login

给接口定义一个名称：switch(config-if)#description To PC1 将接口命名为“To PC1”

28.VLAN

定义： VLAN是一个物理网络上划分出来的逻辑网络，它不受网络端口的实际物理位置的限制，有着和普通物理网络相同的属性
作用： 隔离广播域，实现相同VLAN主机可以通信，不同VLAN主机不能通信

基于端口划分VLAN（port-vlan）：
1）一个端口只属于一个vlan
2）默认情况下，所有端口都在VLAN1
配置port-vlan：

创建vlanswitch(config)#vlan 10switch(config)#name testswitch(config)#end
划分端口进入vlanswitch(config)#interface fa0/1switch(config-if)#switchport mode access //可以不要这一行switch(config-if)#switchport access vlan 10

Tag-VLAN：
特点：
1）传输多个VLAN的信息
2）实现同一个VLAN跨越不同的交换机
3）要求trunk至少要100M

解决的问题： 解决跨交换机的同一vlan主机通信
配置Tag-vlan：
```
设置端口为trunkswitch(config)#interface fa0/1switch(config-if)#switchport mode trunk
```

29.VLAN路由

三层交换机与路由器的区别：
1）三层交换机实现一次路由，多次转发，对于数据包转发等规律性的过程由硬件高速实现，而像路由信息更新、路由表维护等功能，由软件实现，一改传统路由器端口数少、易形成网络瓶颈等问题
2）三层交换机是以太网三层交换机，只用于局域网内的高速交换，而路由器还可用于广域网的数据交换，通常二者配合使用
VLAN路由解决的问题：实现不同vlan的通信
1）二层交换机只能实现相同vlan主句通信，不能实现不同vlan通信
2）不同vlan通信只能通过网络层，即三层设备来实现，包括路由器或三层交换机
SVI（三层交换机利用其实现VLAN路由）
1）名称：switch virtual interface ，交换机的虚拟接口，类似于路由器的IP接口
2） 注意：
1. 需要实现路由的每一个VLAN都要为它创建一个SVI，从而产生三层交换机的直连路由
2. 三层交换机上每个VLAN的SVI就是每个VLAN中主机的默认网关地址
3. 三层交换机和二层交换机相连处设置trunk

三层交换机实现VLAN路由配置

创建vlanswitch(config)#vlan 10switch(config-vlan)#exit
采用SVIswitch(config)#interface vlan 10switch(config-if)#ip address 10.0.0.1 255.0.0.0switch(config-if)#no shutdown
三层交换机的一些其余操作：三层交换机取消接口设置switch(config-if)#no switchport三层交换机开启路由设置switch(config)#ip routing //三层交换机默认是开启状态

30.交换冗余技术

提出背景： 避免网络中存在单点故障，设置冗余链路，但冗余链路会造成网络环路，当交换网络中出现川路会产生广播风暴、多帧复制和MAC地址表不稳定等现象
生成树协议（根交换机的默认优先级为32768）
1） 定义： 通过SPA（生成树算法）生成一个没有环路的网络，当主要链路出现故障时，能够自动切换到备份链路，保证网络的正常通信
2） 作用： 提供冗余链路，解决网络环路问题
3） 操作步骤：
I.选择根交换机(Root Bridge)： 所有交换机中桥ID（MAC+优先级）最小的交换机作为根交换机
II.选择根端口（Root port）： 对每一个非根交换机选一个根端口，离根交换机最近的端口，允许转发。
1. 根路径成本最低
2. 直连交换机的BID最小
3. 直连交换机的端口ID最小
III.选择指派端口： 每一条链路选择一个指派端口，一个链路连接不同交换机的两个端口，其中距离根交换机最近的端口作为指派端口，允许转发
1. 根交换机上的所有端口都是指派端口
2. 非根交换机上的指派端口：
3. 根路径成本最低
4. 端口所在的交换机的BID值较小
5. 直连交换机的桥ID值较小
IV.根端口和指派端口进入Forwarding状态，其他不在生成树中的端口都处于Discarding状态
V.交换机端口状态的变化过程：阻塞——侦听——学习——转发
快速生成树协议（根交换机的默认优先级为32768）

快速生成树协议RSTP(Rapid Spannning Tree Protocol) IEEE 802.1w
RSTP协议在STP协议基础上做了改进，使得收敛速度快得多（最快1秒以内）

生成树协议的配置：
开启生成树协议：
Switch(config)#spanning-tree
关闭生成树协议：
Switch(config)#no spanning-tree
配置生成树协议的类型：
Switch(config)#spanning-tree mode stp/rstp/mstp
显示生成树状态：
Switch#show spanning-tree
显示端口生成树协议的状态
Switch#show spanning-tree interface fastethernet <0-2/1-24>
端口聚合
1） 定义： 将交换机上的多个端口在物理上连接起来，在逻辑上捆绑在一起，形成一个拥有较大带宽的端口，可用于提高带宽
作用：可在提供冗余链路的同时，实现负载分担，而不必阻塞其中部分端口
2）配置aggregate port的注意事项：
1. 组端口的速度必须一致
2. 组端口必须属于同一个VLAN
3. 组端口使用的传输介质相同
4. 组端口必须属于统一层次，并与AP也要在同一层次
3）配置端口聚合
将该接口加入一个AP：
例如interface range fa0/1-2
Switch(config)#interface interface-type interface-id
Switch(config)#port-group port-group-number
查看聚合端口的汇总信息：
Switch#show aggregate summary

31.单臂路由

32.路由器

**概念：**跨越从源主机到目标主机的一个互联网络来转发数据包的过程，能够将数据包转发到正确的目的地，并在转发过程选择最优路径的设备
工作原理：
1）查表，寻找目的网络
2）根据目的网络地址对应的端口进行端口转发
3）路由表：目的网段+下一跳地址
路由表的生成方式：
直连路由： 给路由器的接口配上IP地址就会生成直连路由
静态路由： 由网络管理员在路由器上手工添加路由信息来实现路由
动态路由： 根据网络结构或流量的变化，路由协议会自动调整路由信息来实现路由
配置IP地址的原则：
（1）由于连接到该网络的路由器端口位于该网络，因此这个端口的IP 地址的网络号应与所连接的网络的网络号相同
（2）原则：
1. 路由器的物理网络端口要有一个IP地址
2. 相邻路由器的相邻端口的IP 地址必须在同一个网络上
3. 同一路由器的不同端口的IP地址必须在不同IP网段上、
4. 所有路由器的任何两个非相邻端口必须都不在同一个网段上

路由器的管理方式：
1）带外管理：PC机直接和路由器相连
2）带内管理：
通过Telnet对路由器进行远程管理
通过Web对路由器进行远程管理
通过SNMP工作站对路由器进行远程管理
3）路由器管理方式配置：

1. 配置远程登录密码
routerA(config)# line vty 0 4          ！进入路由器线路配置模式
routerA(config-line)# password stare！设置路由器远程登录密码为 “stare”
routerA(config-line)# login           ！配置远程登录
routerA(config-line)#end

2. 配置路由器特权模式密码
routerA(config)# enable secret stare     ！设置路由器特权模式密码为 “stare”或者
routerA(config)# enable password  stare

3. 配置端口地址
routerA# configure terminal              ！进入全局配置模式
routerA(config)# interface fastethernet  1/0       ！进入路由器接口配置模式
routerA(config-if)# ip address 192.168.0.1 255.255.255.0     ！配置路由器管理接口IP地址
routerA(config-if)# no shutdown       ！开启路由器f 1/0接口

//常用命令
Show running-config  //显示当前配置文件的内容
Show ip route       //显示初始配置文件的内容
Show ip interface brief

4）配置模式

33.路由器——直连路由

定义： 是指由当给路由器连接各直连网络的端口配上IP地址后，路由器的路由表中就产生了相应的直连路由，通常每台可网管路由器上都要进行配置

配置命令

R1(config)#interface fastethernet 0/0
R1(config-if)# ip address 10.0.0.1 255.0.0.0
R1(config-if)#no shut
R1(config-if)#exit
R1#show ip route

34.路由器——静态路由

定义：是指由网络管理员手工配置的路由信息
优点：简单、高效、可靠、网络安全保密性高
特点：具有方向性(单向性)
静态路由配置：
router(config)#ip route [目标网段地址] [子网掩码] [下一跳的IP地址]
静态路由描述转发路径的方式
指向本地接口（即从本地某接口发出）
指向下一跳路由器直连接口的IP地址（即将数据包交给xxx）
缺点：
I.大型和复杂的网络环境通常不宜采用静态路由
II.网络管理员难以全面地了解整个网络的拓扑结构
III.当网络的拓扑结构和链路状态发生变化时，路由器中的静态路由不具有自适应性

35.路由器——默认路由

概述：
I.0.0.0.0/0可以匹配所有的IP地址，属于最不精确的匹配
II.默认路由可以看作是静态路由的一种特殊情况
III.当所有已知路由信息都查不到数据包如何转发时，按缺省路由的信息进行转发
配置默认路由
router(config)#ip route 0.0.0.0 0.0.0.0 [转发路由器的IP地址/本地接口]
应用场景：一般作用于出口路由器

36.路由器——动态路由

概述：通过定期与邻居交换路由信息，依据动态路由协议算法来更新路由表的具有网络自适应的一种生成路由表的方法
RIP（距离矢量路由协议）
路由信息协议：考虑距离最短
定义：

使用“跳数”来衡量到达目的网络的路由距离，距离为16，将被认为是不可到达，所以只使用于小型网络

RIP更新原则：找出到每一个目的网络的最短距离
配置RIP协议：
开启RIP路由协议进程
Router(config)#router rip
申请本路由器参与RIP协议的直连网段信息
Router(config-router)#network 10.0.0.0
指定RIP协议的版本为2
Router(config-router)#version 2
在RIPv2版本中关闭自动汇总（主要针对划分了子网的IP，避免两个不同的子网编程同一个网络）
Router(config-router)#no auto-summary
查看RIP配置信息
验证RIP的配置
Show ip protocols
显示路由表的信息
Show ip route
清除IP路由表的信息
Clear ip route
OSPF（链路状态路由协议）
开放式最短路径优先：考虑距离、时延、带宽等综合因素
概述： 是目前广泛使用的一种动态路由协议，它属于链路状态路由协议，以路径开销最短作为最优路径依据，
优点： 路由变化收敛速度快、无路由环路、支持变长子网掩码和汇总、层次区域划分
工作过程：
OSPF协议中，每个路由器负责发现、维护与邻居的关系，并将已知的邻居列表和链路费用LSU(Link State Update)报文描述，通过可靠的泛洪与自治系统AS内的其他路由器周期性交互，学习到整个自治系统的网络拓扑结构;并通过自治系统边界的路由器注入其他AS的路由信息，从而得到整个Internet的路由信息。每隔一个特定时间或当链路状态发生变化时，重新生成LSA，路由器通过泛洪机制将新LSA通告出去，以便实现路由的实时更新
OSPF的层次化结构：
背景：为使 OSPF 能够用于规模很大的网络，OSPF 将一个自治系统再划分为若干个更小的范围，叫作区域
层次： 骨干区域（area 0）、非骨干区域
OSPF协议配置
启动OSPF进程
Router(config)#router ospf process-id //例如：router ospf 10
发布参与协议的直连网段
Router(config-router)#network ip-address wildcard-mask area area-id
//例如：network 10.0.0.0 0.255.255.255(反子网掩码) area 0

37.OSPF与RIP的比较

RIP协议
①存在最大15跳的限制，不能适应大规模组网的需求
②周期性的发送全部路由信息，占用大量的带宽资源
③路由收敛速度慢
④以跳数作为度量值
⑤存在路由环路可能性
⑥只有RIPv2有认证功能
OSPF协议
①没有路由跳数的限制
②使用组播更新变化的路由和网络信息
③路由收敛速度较快
④以开销作为度量值
⑤采用的SPF算法可以有效的避免环路
⑥有认证功能
⑦最多可支持6条相同代价路径和均衡负载
⑧在互联网上大量使用，是运用最广泛的路由协议

38.NAT

定义：
将网络地址从一个地址空间转换到另外一个地址空间的一个行为
特点：
转换后，一个本地IP地址对应一个全局IP地址
解决的问题：公网地址耗尽的问题/公网地址不够用的问题

39.静态NAT/ NAPT（利用端口号）

需要向外网络提供信息服务的主机
永久的一对一IP地址映射关系
配置
①静态NAT配置
1)定义内网接口和外网接口
```
router(config)#interface fa 0/0
router(config-if)#ip nat outside(连外网主机)
router(config)#interface fa0/1
router(config-if)#ip nat inside(连内网主机)
```
2)建立映射关系
Router(config)#ip nat inside source static 192.168.1.7 200.8.7.3
注：source表示从内网到外网方向，反之用destination（外网访问内网服务器）
192.168.1.7 部分表示内部地址池中一个IP地址
200.8.7.3 部分表示地址映射的公网地址

②静态NAPT配置（利用端口号增加可对应的IP地址数）
1)定义内网接口和外网接口
```
router(config)#interface fa 0/0
router(config-if)#ip nat outside(连外网主机)
router(config)#interface fa0/1
router(config-if)#ip nat inside(连内网主机)
```
2)建立静态的映射关系
Router(config)#ip nat inside source static tcp 192.168.1.10 80 200.8.7.3 80
Router(config)#ip nat inside source static udp 192.168.1.10 80 200.8.7.3 80
注：source表示从内网到外网方向，反之用destination（外网访问内网服务器）
192.168.1.10 部分表示内部服务器的IP地址
200.8.7.3 部分表示地址映射的公网地址

40.动态NAT/NAPT

只访问外网服务，不提供信息服务的主机
内部主机数可以大于全局IP 地址数
最多访问外网主机数决定于全局IP地址数
临时的一对一IP地址映射关系
动态NAPT的定义：
把内部地址映射到外部网络的一个IP地址的不同端口上，它可以将中小型网络隐藏在一个合法的IP地址后面
配置
①动态NAT配置
1)定义内网接口和外网接口
```
router(config)#interface fa 0/0
router(config-if)#ip nat outside(连外网主机)
router(config)#interface fa0/1
router(config-if)#ip nat inside(连内网主机)
```
2)定义内部本地地址范围
Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255
注：
192.168.1.0 部分表示内部地址池网段
0.0.0.255 部分表示反子网掩码
3)定义内部全局地址池
Router(config)#ip nat pool abc 200.8.7.3 200.8.7.10 netmask 255.255.255.0
注： 200.8.7.3 200.8.7.10 部分表示外部公网地址池
4)建立映射关系
Router(config)#ip nat inside source list 10 pool abc
②动态NAPT配置
1)定义内网接口和外网接口
```
router(config)#interface fa 0/0
router(config-if)#ip nat outside(连外网主机)
router(config)#interface fa0/1
router(config-if)#ip nat inside(连内网主机)
```
2)定义内部本地地址范围
Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255
注：
192.168.1.0 部分表示内部地址池网段
0.0.0.255 部分表示反子网掩码
3)定义内部全局地址池
Router(config)#ip nat pool abc 200.8.7.3 200.8.7.3 netmask 255.255.255.0
注： 200.8.7.3 200.8.7.3部分表示外部公网地址池
4)建立映射关系
Router(config)#ip nat inside source list 10 pool abc overload

41.动态NAT和动态NAPT的区别：

NAT
①一对一的转换
②内部地址池中的一个私有地址转换为外部地址池中的一个公有地址
NAPT
①多对一的转换
②内部地址池中的多个私有地址+不同的端口号转换为外部网络中的一个IP地址+不同的端口号
③通常转换成的外部网络中的那个IP地址池就是出口路由器与ISP路由器相连的端口IP地址

42.NAT的监视和维护命令

显示命令：
Show ip nat statistics //显示翻译统计
Show ip nat translations //显示活动翻译
清除状态命令
Clear ip nat translation //从NAT转换表中清除所有动态地址转换项

43.NAT技术适用场景

静态NAT/NAPT
如果内部网络有WWW服务器或FTP服务器等*可以为外部用户提供服务，则这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务
动态NAT
动态地址转换也是将内部本地地址与内部合法地址一对一地转换，但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的
动态NAPT
复用动态地址转换首先是一种动态地址转换，但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况，这种转换极为有用。
PAT(Port Address Translation)也称为NAPT，就是将多个内部地址映射为一个公网地址，但以不同的协议端口号与不同的内部地址相对应。这种方式常用于拨号上Internet网。

44.ACL访问控制列表

定义：对网络出口的数据流量进行检查过滤，提高网络安全性（对经过网络设别的数据包根据一定的规则进行数据包的过滤）
ACL的作用：
内网部署安全策略，保证内网安全权限的资源访问
内网访问外网时，进行安全的数据过滤
防止常见的病毒、木马、攻击对用户的破坏
ACL的工作原理：
当一个数据包进入路由器的某个接口时，路由器首先检查该数据包是否在入栈接口上应用了ACL，如果有，就按ACL列表规则进行匹配，成功后，执行转发或禁止转发。或者路由器检查出栈接口是否应用了ACL，若应用了，同上面的处理，否则直接转出
IP ACL的基本准则
一切未被允许的就是禁止的，最终的缺省规则是拒绝所有数据包通过
使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配
规则匹配原则：
从头到尾，至顶向下的匹配方式
匹配成功马上停止
立即使用规则的“允许/拒绝…”

45.标准访问列表

根据数据包源IP地址进行规则定义，编号1-99
配置命令：
①定义标准ACL
1)编号的标准访问列表
Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]
2)命名的标准访问列表
Switch(config)#ip access-list standard <name>
Switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]
②应用ACL到接口
Router(config-if)#ip access-group <1-99> {in | out}
注：部署标准ACL时，需要将其放置到距离目标近的位置，否则可能会阻断正常的通信

46.扩展访问列表

根据数据包中源IP、目的IP、源端口、目的端口、协议、时间等进行规则定义，编号100-199
配置命令：
①定义扩展ACL
1)编号的扩展ACL
Router(config)#access-list <100-199> {permit|deny} 协议源地址反掩码 [源端口] 目的地址反掩码 [目的端口]
2)命名的扩展ACL
Switch(config)#ip access-list extended <name>
Switch(config-std-nacl)#{permit|deny} 协议源地址反掩码 [源端口] 目的地址反掩码 [目的端口]
②应用ACL到接口
Router(config-if)#ip access-group <100-199> {in | out}
3. 样例：

47.访问列表的验证

显示全部的访问列表
Router#show access-list
显示指定的访问列表
Router#show access-list <1-199>
显示接口的访问列表应用
Router#show ip interface 接口名称接口编号

48.路由表

概述：路由表是路由过程的核心数据，只有具备路由表，路由器才能够实现路由功能
路由表主要信息：
路由表项的来源：
①直连路由
②静态配置
③路由协议动态学习

49.路由重分布

背景：在大型网络中通过路由重分布，将一种路由协议学习到的路由信息让另一种路由协议传播出去
定义：是指在不同路由协议之间交换路由转发信息的技术
具体表现： 一台路由器运行两种或两种以上的路由协议，并在协议之间转发路由信息，执行路由重分布的路由器成为边界路由器
使用场合：
做网络迁移时
更换路由协议时
两个公司要合并，但是网络运行的路由协议不相同，使用协议注入
重分布原则：
路由必须位于路由选择表中才能被重分发，也就是说重分布的时候，只能把路由表里面现有的一些路由给重分布到另外一个路由协议里面。将一种路由协议获悉的网络告知另一种路由协议，以便相互学习对方路由。
重发布时设定的metric（度量值）：
1. RIP 无限大其他路由注入到RIP的时候，因为RIP最大只有15跳，所有必须手工指定Metric值
2. EIGRP 无限大也必须手工指定
3. OSPF 20
路由重分布配置：
1)将OSPF注入到RIP
当把其他路由注入到RIP的时候，就要遵循RIP的的Metric值，因为在R2右方向上两条路由23网段和2.0网段的metric值都是16跳，而16跳在RIP里面却是不可达的，所以当OSPF注入到RIP的时候，R1实际上是接收不到的，所以这个时候就需要手工来指定metric值
R2(config)#router rip
R2(config-router)#redistrubute ospf 100 metric 5
2)将RIP注入到OSPF
当把其他路由注入到OSPF的时候，如果像下面这样直接重分布的话而不加参数subnets的话，则只能把有类(没有做过子网划分)的路由注入到OSPF，而12.1.1.1/24网段的路由是做过子网划分的，所在R3里面就不会看到12网段的路由，故默认情况下的做过子网划分的路由是不会注入到OSPF的，所以要加入一个参数subnets
R2(config)#router ospf 100
R2(config-router)#edistribute rip subnets

50.策略路由

定义：可以看作是一种更为复杂的静态路由，它通过定义路由图，匹配路由图中的策略，让数据包按照匹配的策略条件从指定的出口转发至下一跳路由器
注：策略路由可以基于源IP、源目标IP对、协议、端口号、长度等参数对数据进行分类，对分类的数据执行转发策略，从特定的出口转发数据或者设置数据的优先级
策略路由的适用环境：
双出口情况：
校园网（Internet网，教育网）
企业网（双出口上网，电信，联通网）

配置步骤：
1)定义ACL对源地址进行限制，指明要进行策略路由的IP地址段，只对permit有效
2)定义路由图及其每个策略的匹配规则或条件，匹配访问控制列表进入指定下一跳
3)在指定接口中应用策略路由
4)命令：

定义访问控制列表对源地址进行限制routerA(config)# access-list 1 permit  1.1.0.0 0.0.255.255routerA(config)# access-list 2 permit  1.2.0.0 0.0.255.255
定义路由图以及相关策略routerA(config)# route-map access permit 10routerA(config-route-map)# match ip address 1routerA(config-route-map)# set ip default next-hop 6.6.6.6routerA(config-route-map)# route-map access permit 20 routerA(config-route-map)# match ip address 2routerA(config-route-map)# set ip default next-hop 7.7.7.7
在接口上应用策略routerA(config)#interface E0routerA(config-if)#ip policy route-map access

51.网络规划与设计

应解决的主要问题
①建设计算机网络的目的
②建设计算机网络的目标——计算机网络可以解决哪些问题
③建设计算机网络的方案——建设什么样的计算机网络
原则
①开放性与标准化原则
②先进性与实用性原则
③可靠性与可扩展性原则
④安全性与可管理性原则
⑤灵活性与可维护性原则
⑥经济性与效益性原则
内容
①需求分析（自顶向下的分析）
就是针对不同类别用户的具体情况，采用自顶向下的分析方法，对用户目前的网络现状、建网的目的和目标、新建网络要实现什么功能和应用、未来对网络有什么需求，性能上有何要求以及建设成本效益等进行分析，为网络规划与设计提供重要的设计依据
②网络系统设计
主要是对新建网络系统的目标、规模、环境、与外网的互连等进行需求分析
1. 网络类型与规模
  工作组级网络
  部门级网络
  园区级网络
  企业级网络
2. 网络拓扑结构
3. 网络互连模式
4. IP地址分配方案
5. 网络冗余
6. 网络运行实用技术
③网络中心设计
网络中心机房是网络系统中信息的交换中枢，对网络中心机房的需求分析的主要内容：
1. 从机房环境
2. 机房供电系统
3. 机房防雷与接地保护系统
4. 机房消防系统
④网络综合布线设计
用户建网区域的范围与地理环境、建筑物的地理布局、各建筑物的具体结构。
网络中心机房的位置，各建筑物内设备间的位置。
信息点的数量和分布位置，网络连接的转接点分布位置。
网络中各种线路连接的距离与要求。
其他结构化综合布线系统中的基本指标。
⑤网络安全与管理设计

⑥网络服务与应用设计
网络建成后需要提供哪些服务功能（如电子邮件服务与Web服务）
有哪些业务需要应用到网络上
⑦网络设备选型与性能描述

52.网络拓扑结构

层次模型拓扑结构
接入层、汇聚层、核心层
规模小的网络可以只用两层——核心层和接入层
接入层
定义：是最终用户与网络的接口，它应该提供较高的端口密度和即插即用的特性，同时应该便于管理和维护，所以一般设计在各楼宇内
主要功能： 带宽共享、交换带宽、MAC层过滤、网段划分、访问列表过滤以及为最终用户提供对园区网络访问的途径
设计目标：将流量馈入网络、控制访问
汇聚层
定义：大量来自接入层的访问路径进行汇聚和集中，实现通信量的收敛，提供基于统一策略的互连性，提高网络中聚合点的效率，同时减少核心层设备路由路径的数量

一般按楼宇的地理分布来设计汇聚层，汇聚交换机尽可能放置在汇聚层的中心位置。汇聚交换机与核心交换机采用千兆以太链路冗余方式互连，以保证主干链路的冗余连接。汇聚交换机用级联的方式，通过千兆位端口与各楼宇的接入交换机连接

主要功能： 地址的聚集、部门和工作组的接入、VLAN间通信、传输介质的转换，以及安全控制
设计目标：隔离拓扑结构的变化、控制路由表的大小，以及网络流量的收敛
核心层
定义：是一个高速的交换骨干，是网络所有流量的最终承受者和汇聚者
设计策略：
1. 核心层的所有设备应具有充分的可到达性
2. 不要在核心层执行任何网络策略
3. 禁止内部网的默认路径和策略路由，减少处理器和内存的过载，进行访问控制
设计目标： 处理高速数据流，尽可能快地交换数据分组而不应卷入具体的数据分组的运算中，为下两层提供优化的数据运输功能

53.IP地址规划

规划公有IP地址
①作为网络地址转换，使内网主机能够通过公网地址访问外网
②为内部重要的服务器（如Web服务器，电子邮件服务器，域名服务器等）提供供外网客户访问的公有地址
规划私有IP地址
①保留的私有地址
A类：10.0.0.0～10.255.255.255
B类：172.16.0.0～172.31.255.255
C类：192.168.0.0～192.168.255.255
②在规划私有IP地址时，具体采用哪类IP地址，要根据网络规模来确定，一般按C类、B类、A类的顺序来依次选择规划
划分子网
划分子网的目的是为了充分利用在Internet上使用的IPv4地址资源，在网络工程实际应用中，如果用于分配的是某一有限的公有地址段或私有地址段，一般要划分子网。如果是自由使用上述三类私有地址之一，则可以不划分子网
①在考虑某个网段的主机数量的时候，要考虑一定的扩展，保留一定的IP地址空间
②在计算每个子网段的有效IP地址时，一定要除去子网号地址和广播地址
③划分子网的数量不是越多越好
VLAN设计
①设置VLAN的方法
按楼宇地理位置设置、按部门性质设置
②划分VLAN的方法
基于端口的VLAN
基于MAC的VLAN
基于IP组播划分VLAN
VLAN及IP地址规划表
绘制子网、VLAN及其IP地址规划表
包含VLAN号、VLAN名称、IP地址网段、默认网关以及有关说明等内容
分配IP地址的方式
①自动分配IP地址
②手动分配IP地址
需要为网络中的每一台计算机设置以下信息：
IP地址
子网掩码
默认网关
DNS服务器

54.网络信息安全体系结构

管理安全
通信安全
计算机安全
辐射安全
人员安全和物理安全…

55.网络安全技术

防火墙技术
防火墙（Firewall）技术是一种安全隔离技术，它通过在两个安全策略不同的网络之间设置防火墙来控制两个网络之间的互访行为
入侵检测技术
入侵检测（Intrusion Detection）是指通过对网络信息流的提取和分析，发现非正常访问模式的技术。目前主要有基于用户行为模式、系统行为模式和入侵特征的检测等
虚拟专用技术
虚拟专网（Virtual Private Network，VPN）技术的核心是采用隧道技术，将内部网络的数据加密封装后，通过虚拟的公网隧道进行传输，从而防止敏感数据的被窃
漏洞扫描技术
漏洞扫描（Venearbility Scanning）是针对特定信息网络中存在的漏洞而进行的
防病毒技术
上网行为管理技术

56.服务器

定义：
在网络环境下运行相应的应用软件，为网上客户端计算机提供共享信息资源和各种服务的一种高性能计算机