2014全国四级网络工程师详细归纳

第一章：网络系统统结构与设计的基本原则

（1）计算机网络按地理范围划分为局域网，城域网，广域网。

（2）局域网提供高数据传输速率 10mbps-10gbps，低误码率的高质量传输环境。局域网按介质访问控制方法角度分为共享介质式局域网和交换式局域网。局域网按传输介质类型角度分为有线介质局域网和无线介质。局域网早期的计算机网络主要是广域网，分为主计算机与终端（负责数据处理）和通信处理设备与通信电路（负责数据通信处理）。

（3）计算机网络从逻辑功能上分为资源子网和通信子网。

　　广域网典型网络类型和技术：（公共电话交换网PSTN,综合业务数字网ISDN,数字数据网DDN, x.25 分组交换网，帧中继网，异步传输网，GE千兆以太网和10GE光以太网）。

（4）交换局域网的核心设备是局域网交换机

（5）城域网概念：网络运营商在城市范围内提供各种信息服务，以宽带光传输网络为开放平台，以 TCP/IP 协议为基础 ;密集波分复用技术的推广导致广域网主干线路带宽扩展。现实意义上的城域网一定是能够提供高传输率和保证服务质量（Qos）的网络系统。

城域网分为核心交换层（高速数据交换），边缘汇聚层（路由与流量汇聚），用户接入层（用户接入和本地流量控制）。设计一个宽带城域网将设计“三个平台一个出口”:网络平台，业务平台，管理平台与城市宽带出口。

核心层基本功能：连接汇聚层，为其提供高速分组转发，提供高速安全 QoS 保障的传输环境；实现主干网络互联，提供城市的宽带 IP 数据出口；提供用户访问 INTERNET 需要的路由服务。

　　汇聚层基本功能：汇聚接入层用户流量，数据分组传输的汇聚，转发与交换；本地路由过滤流量均衡，QoS 优先管理，安全控制，IP 地址转换，流量整形；把流量转发到核心层或本地路由处理；

（6）服务质量 QoS 技术：资源预留(RSVP)，区分服务(DiffServ)，多协议标记转换(MPLS)。

管理带宽城域网 3 种基本方案：带内网络管理，带外网络管理，同时使用带内带外网络管理

带内：利用传统电信网络进行网络管理，利用数据通信网或公共交换电话网拨号，对网络设备进行数据配置。

　　带外：利用 IP 网络及SNMP协议进行网络管理，利用网络管理协议建立网络管理系统。对汇聚层及其以上设备采用带外管理，汇聚层以下采用带内管理。

网络安全技术方面需要解决物理安全，网络安全和信息安全。

　　宽带城域网基本技术与方案（SDH （同步数字系列）城域网方案；10GE 城域网方案，基于 ATM 城域网方案）。目前城域网主要拓扑结构：环形结构；

（7）光以太网由多种实现形式，最重要的有 10GE 技术和弹性分组环技术。

光以太网有如下特征：A: 符合电信网络的99.999%的高运行可靠性。B: 能够根据终端用户的实际需求来分配带宽。C：具有认证与授权功能，提供计费功能。D:支持VPN与防火墙，支持MPLS，提供分等级的Qos 网络服务。

ITU规定的光纤的物理层接口速率：OC-x：光传输速率（Optical Carrier，光传输的一种单位）。

最小单位OC-1的传输速率为：51.840*x Mbit/s。

（8）弹性分组环（RPR）：直接在光纤上高效传输 IP 分组的传输技术标准：IEEE802.17。基于cisco公司提出的DPT技术。

　　弹性分组环采用双环结构；RPR 结点最大长度 100km,顺时针为外环，逆时针为内环。内外环都可以用来传递数据与控制分组。能够在50 ms内隔离出现故障的节点和光纤段

　　RPR 技术特点：每一个节点都执行SPR公平算法。利用统计复用的方式传递IP分组。传统的FDDI环网中，当源节点向目的结点成功发送一个数据帧之后，这个数据帧要有源节点收回。而RPR环限制数据帧只在源节点与目标结点之间的光纤段上传输，数据帧由目的节点从环中收回。

（9）用户接入网主要有三类：计算机网络，电信通信网，广播电视网。

　　三网融合：计算机网络，电信通信网，广播电视网。

　　用户接入角度：接入技术（有线和无线），接入方式（家庭接入，校园接入，机关与企业人）。

目前宽带接入技术：

Ⅰ数字用户线 XDSL 技术：利用本地电话交换中心的铜双绞线，唯一几乎可以在全球范围内向住宅和商业用户提供接入的网络。

Ⅱ光纤同轴电缆混合网 HFC 技术：A） HFC是一个双向传输系统B） HFC改善了信号传输质量，提高了系统可靠性C） HFC光纤结点通过同轴电缆下引线可以为500到2000个用户服务D） HFC通过Cable Modem（电缆调制解调器，专门为有线电视网设计）将用户计算机与同轴电缆连接起来;HFC是为有线电视用户接入宽带的方式，数据传输速率 10mbps-36mbps。

Ⅲ数字用户线 XDSL 又叫数字用户环路 ,基于电话铜双绞线高速传输技术技术分类：

ADSL 非对称数字用户线速率不对称上行：64kbps~640 kbps 下行速率：500 kbps~7 Mbps-5.5km。ADSL Modem 是ADSL 调制解调器，也就是我们根据其谐音所说的“猫”，用来进行数/模转换，连接用户计算机与电话网。而PSTN ( Public Switched Telephone Network )即公共交换电话网络，其介质一般为一对铜双绞线。当然ADSL 可以通过PSTN 接入互联网。

局域网标准：802.3 无线局域网接入：802.11 无线城域网：802.16。（WiMAX，使用频率为10~60 GHZ）以及正在发展的Ad hoc 技术

802.11:数据传输数率为1Mbps或者2Mbps。而802.11a将传输速率提高到了54 Mbps.802.11b在802.11a与802.11之间。

A） 802.11标准定义了无线局域网的物理层与MAC层协议

B） 802.11标准定义了两类设备，即无线结点与无线接入点

C）无线接入点在无线与有线网络之间起到桥接的作用

D）802.11标准在MAC层采用了CSMA/CA的访问控制方法

802.16：802.16 a用于移动结点接入，802.16 d用于固定结点接入，802.16 e针对火车、汽车等移动物体的无线通信标准问题。
第二章：网络系统总体规划与设计方法

（1）：网络操作系统：NT，2000，NETWARE，UNIX，LINUX。

　　网络应用软件开发与运行环境：网络数据库管理系统与网络软件开发工具。

　　网络数据库管理系统：Oracle，Sybase，SQL，DB2。

（2）：制定项目建设任务书后，确定网络信息系统建设任务后，项目承担单位首要任务是网络用户调查和网络工程需求分析。需求分析是设计建设与运行网络系统的关键。

　　网络结点地理位置分布情况：（用户数量及分布的位置；建筑物内部结构情况调查；建筑物群情况调查）。

网络需求详细分析：（网络总体需求设计；结构化布线需求设计；网络可用性与可靠性分析；网络安全性需求分析；网络工程造价分析）。

大型与中型网络系统必须采用分层设计的思想：层次之间上联带宽：下联带宽一般控制在 1:20。

　　结点 2-250 可不设计接入层和汇聚层。

　　结点 100-500 可不设计接入层。

　　结点 250-5000 一般需要 3 层结构设计。

　　核心层网络一般承担整个网络流量的 40%-60%。汇聚层网络将分布在不同位置的子网连接到核心层网络，实现路由汇聚的功能。

　　10 个交换机，每个有 24 个接口，接口标准是 10/100mbps:那么上联带宽是24*100*10/20 大概是 2gbps。

（3）：高端路由器（背板大于 40gbps）高端路由器一般采用交换式结构。

路由器关键技术指标：

　　1:吞吐量（包转发能力）。

　　2:背板能力（决定吞吐量）背板：router 输入端和输出端的物理通道传统路由采用共享背板结构，高性能路由采用交换式结构。

　　3:丢包率（衡量 router 超负荷工作性能）。

　　4:延时与延时抖动（第一个比特进入路由到该帧最后一个离开路由的时间）高速路由要求 1518 B 的 IP 包，延时小于 1ms。语音、视频业务对延时抖动要求较高。

　　5:突发处理能力。以最小帧间隔传送数据包而不引起丢失的最大发送速率来衡量。

　　6:路由表容量（INTERNET 要求执行 BGP 协议的路由要存储十万路由表项，高速路由应至少支持 25 万）。

　　7:服务质量。

8:网管能力。

　　9:可靠性与可用性。

　　热拨插是为了保证路由器的可用性。

高端路由可靠性：

　　（1）无故障连续工作时间大于 10 万小时。

　　（2）系统故障恢复时间小于 30 分钟。

　　（3）主备切换时间小于 50 毫秒。

　　（4） SDH 和 ATM 接口自动保护切换时间小于 50 毫秒。

　　（5）部件有热拔插备份，线路备份，远程测试诊断。

　　（6）路由系统内不存在单故障点。

　　交换机分类：从技术类型（10mbps Ethernet 交换机；fast Ethernet 交换机；1gbps 的 GE 交换机）。

交换机技术指标：

（1）背板带宽（输入端和输出端得物理通道）。

（2）全双工端口带宽（计算：端口数*端口速率*2）。

（3）帧转发速率

（4）机箱式交换机的扩张能力。

（5）支持 VLAN 能力（基于 MAC 地址，端口，IP 划分）缓冲区协调不同端口之间的速率匹配。

网络服务器选型：

　　网络服务器类型（文件服务器；数据库服务器；Internet 通用服务器；应用服务器）。

虚拟盘体分为（专用盘体，公用盘体与共享盘体）。

B/S（Browser/Server）模式应用服务器的特点：

①应用服务器软件系统的设计在客户与服务器之间采用了浏览器/服务器模式，将网络

应用建立在Web 服务的基础上；

②应用服务器利用中间软件与通用数据库接口技术，客户计算机使用Web 浏览器访问

应用服务器，而应用服务器的后端连接数据库服务器，构成了3 层的体系结构。

　　共享硬盘服务系统缺点：dos 命令建立目录；自己维护；不方便系统效率低，安全性差。

　　客户/服务器工作模式采用两层结构：第一层在客户结点计算机第二层在数据库服务器上。

　　基于复杂指令集 CISC 处理器的 Intel 结构的服务器：优点：通用性好，配置简单，性能价格比高，第三方软件支持丰富，系统维护方便缺点：CPU 处理能力与系统 I/O 能力较差（不适合作为高并发应用和大型服务器）。

　　基于精简指令集 RISC 结构处理器的服务器与相应 PC 机比：CPU 处理能力提高50%-75%（大型，中型计算机和超级服务器都采用 RISC 结构处理器，操作系统采用 UNIX），因此采用 RISC 结构处理器的服务器称 UNIX 服务器。

按网络应用规模划分网络服务器

　　（1）基础级服务器 1 个 CPU。

（2）工作组服务器 1-2 个 CPU。

（3）部门级服务器 2-4 个 CPU。

　　（4）企业级服务器 4-8 个 CPU。

服务器采用相关技术

　　（1）对称多处理技术 SMP （多 CPU 服务器的负荷均衡）。

　　（2）集群 Cluster（把一组计算机组成共享数据存储空间）。当服务器中一台主机出现了故障，该主机上运行的程序将立即转移到组内其他主机。

　　（3）非一致内存访问（NUMA）（结合 SMP Cluster 用于多达 64 个或更多 CPU的服务器）。

　　（4）高性能存储与智能 I/O 技术（取决存取 I/O 速度和磁盘容量）。

　　（5）服务处理器与 INTEL 服务器控制技术。

　　（6）应急管理端口。

（7）热拨插技术网络服务器性能。

（8） Raid :原理是利用数组方式来作磁盘组，配合数据分散排列的设计，提升数据的安全性。

　　（1）运算处理能力。

　　CPU 内核：执行指令和处理数据。

　　一级缓存：为 CPU 直接提供计算机所需要的指令与数据二级缓存：用于存储控制器，存储器，缓存检索表数据后端总线：连接 CPU 内核和二级缓存。

　　前端总线：互联 CPU 与主机芯片组。

　　CPU50%定律：cpu1 比 cpu2 服务器性能提高（M2-M1）/M1*50% M 为主频。

　　（2）磁盘存储能力（磁盘性能参数：主轴转速；内部传输率，单碟容量，平均巡道时间；缓存）。

（3）系统高可用性

99.9%---------------每年停机时间小于等于 8.8 小时。

　　99.99%-------------每年停机时间小于等于 53 分钟。

99.999%---------- 每年停机时间小于等于5 分钟。

描述为：MTBF/(MTBF+MTBR) MTBF是平均无故障时间，MTBR是平均修复时间。

网路攻击两种类型：服务攻击和非服务攻击。

服务攻击是指对为网络提供某种服务的服务器发起攻击，造成该服务器的拒绝服务，使得网络工作不正常。非服务攻击不针对某项具体应用服务，而是针对网络层等底层协议进行。

从黑客攻击手段上看分为 8 类：系统入侵类攻击；缓冲区溢出攻击，欺骗类攻击，拒绝服务类攻击，防火墙攻击，病毒类攻击，木马程序攻击，后门攻击非服务攻击针对网络层等低层协议进行。

网络防攻击研究主要解决的问题：

信息传输安全过程的安全威胁（截取信息；窃听信息；篡改信息；伪造信息）。

　　解决来自网络内部的不安全因素必须从技术和管理两个方面入手。

　　病毒基本类型划分为 6 种：引导型病毒；可执行文件病毒；宏病毒；混合病毒，特洛伊木马病毒；Iternet 语言病毒。（木马一般是C/S架构，没有自我复制的能力）

　　网络系统安全必须包括 3 个机制：安全防护机制，安全检测机制，安全恢复机制。

网络系统安全设计原则：

（1）全局考虑原则。

（2）整体设计的原则。
（3）有效性与实用性的原则。

（4）等级性原则。

（5）自主性与可控性原则。

（6）安全有价原则。

Unix是Internet中应用最广泛的网络操作系统，TCP/IP协议是Internet使用的最基本的通信协议。

第三章： IP 地址规划设计技术

　　无类域间路由技术需要在提高 IP 地址利用率和减少主干路由器负荷两个方面取得平衡。

　　网络地址转换 NAT 最主要的应用是专用网，虚拟专用网，以及 ISP 为拨号用户提供的服务。

　　NAT 更用应用于 ISP，以节约 IP 地址。

　　A 类地址：1.0.0.0-127.255.255.255 可用地址 125 个网络号 7 位。

　　B 类地址：128.0.0.0-191.255.255.255 网络号 14 位。

　　C 类地址：192.0.0.0-223.255.255.255 网络号 21 位允许分配主机号 254 个。

　　D 类地址：224.0.0.0-239.255.255.255 组播地址。

E 类地址：240.0.0.0-247.255.255.255 保留。

特殊的IP地址：

　　直接广播地址：主机位全1。路由器将一个分组以广播方式发送给特定网络上的所有主机。

　　受限广播地址：255.255.255.255。一个分组以广播方式发送给本网络中的所有的主机。

　　网络上特定主机地址：

　　回送地址：专用地址 127.0.0.0

　　全局 IP 地址是需要申请的，专用 IP 地址是不需申请的。

专用地址：10 ; 172.16- 172.31 ; 192.168.0-192.168.255。

CIDR：无类域间路由

地址聚合：如211.168.15.11 211.168.15.101 211.168.15.100地址聚合的结果是211.168.15.128/25 ，地址聚合中不需要考虑主机位是否全0或者全1.

NAT 方法的局限性

　　（1）违反 IP 地址结构模型的设计原则。

　　（2）使得 IP 协议从面向无连接变成了面向连接。

　　（3）违反了基本的网络分层结构模型的设计原则。

　　（4）有些应用将 IP 插入正文内容。

　　（5） Nat 同时存在对高层协议和安全性的影响问题。

　IP 地址规划基本步骤

　　（1）判断用户对网络与主机数的需求。

　　（2）计算满足用户需求的基本网络地址结构。

　　（3）计算地址掩码。

　　（4）计算网络地址。

　　（5）计算网络广播地址。

　　（6）计算机网络的主机地址。

　　CIDR 地址的一个重要的特点：地址聚合和路由聚合能力规划内部网络地址系统的基本原则。

　　（1）简洁（2）便于系统的扩展与管理（3）有效的路由

　　IPv6 地址分为单播地址；组播地址；多播地址；特殊地址。

　　128 位每 16 位一段；000f 可简写为 f 后面的 0 不能省；::只能出现一次。

Ipv6 不支持子网掩码，它只支持前缀长度表示法。

分组中MAC 的地十是变化的，目的MAC 地址改为下一跳路由器的MAC 地址，但目的网络地址始终不变。

第四章：网络路由设计

　　默认路由成为第一跳路由或缺省路由发送主机的默认路由器又叫做源路由器。

　　目的主机所连接的路由叫做目的路由。

路由选择算法参数

跳数；带宽（指链路的传输速率）；延时（源结点到目的结点所花费时间）；负载（单位时间通过线路或路由的通信量）；可靠性（传输过程的误码率）；开销（传输耗费）与链路带宽有关。

路由选择算法分类：静态路由选择算法（非适应路由选择算法）。

　　特点：简单开销小，但不能及时适应网络状态的变化。

　　动态路由选择算法（自适应路由选择算法）

　　特点：较好适应网络状态的变化，但实现复杂，开销大。

一个自治系统最重要的特点就是它有权决定在本系统内应采取何种路由选择协议。

路由选择算法与路由选择协议是不同的概念：主机、路由器通过路由选择算法去形成路由表，以确定发送分组的传输路径。而路由选择协议是由路由器用来完成路由表建立和路由信息更新的通信协议。

路由选择协议：

　　内部网关协议 IGP（包括路由信息协议RIP , 开放最短路径优先协议 OSPF）。

　　外部网关协议 EGP（主要是 BGP）。

　　RIP 是内部网关协议使用得最广泛的一种协议。(V,D)定期发送报文交换相邻路由信息。RIP向相邻路由发送自己已知对可以达到不同路由的路径。

　　特点：协议简单，适合小的自治系统，跳数小于 15。

OSPF 特点：

1. OSPF 使用分布式链路状态协议（RIP 使用距离向量协议）。

　　2. OSPF 要求路由发送本路由与哪些路由相邻和链路状态度量（指费用、距离、延时、带宽等）的信息（RIP 和 OSPF都采用最短路径优先的指导思想，只是算法不同）。

　　3. OSPF 要求当链路状态发生变化时用洪泛法向所有路由发送此信息（RIP 仅向相邻路由发送信息）。

　　4. OSPF 使得所有路由建立链路数据库即全网拓扑结构（RIP 不知道全网拓扑） OSPF 将一个自治系统划分若干个小的区域，为拉适用大网络，收敛更快。每个区域路由不超过 200 个。区域好处：洪泛法局限在区域，区域内部路由只知道内部全网拓扑，却不知道其他区域拓扑。链路状态数据库与路由表时不同的。

主干区域内部的路由器叫主干路由器（包括区域边界路由和自治系统边界路由）。每一个区域OSPF拥有一个32位的区域标识符.

BGP 路由选择协议的四种分组

打开分组(open)：打开分组用来与相邻的另一个BGP发言人建立关系。自治系统通过BGP发言人交换路由信息。

更新分组（update是核心）：更新分组用来发送某一路由的信息以及列出要撤销的多条路由。一个报文只能增加一条路由。

保活分组(keep alive)：周期性的验证相邻边界路由器的存在。

通知分组(notification)：通知分组用来发送检测到的差错。

BGP使用TCP数据报交换路由信息。

当路由表中包含多种路由信息源时，根据缺省的管理距离值，路由器在转发数据包时，会选择的路由信息源是static。

第五章：局域网技术

IEEE 802.3标准定义了以太网介质访问控制自从与物理层的协议标准。

交换机采用采用两种转发方式技术：快捷交换方式和存储转发交换方式。

　　虚拟局域网 VLAN 组网定义方法：（交换机端口号定义；MAC 地址定义；网络层地址定义；基于 IP 广播组）。

综合布线系统组成：

（1）工作区子系统：实现工作区终端设备与水平子系统之间的连接，由终端设备连接到信息插座的连接线缆组成。

（2）水平子系统：实现信息插座和管理子系统之间的连接。

（3）管理子系统：为连接其他子系统提供手段；

（4）垂直干线子系统：实现计算机设备、程控交换机、控制中心与各管理子系统之间的连接。

（5）设备室子系统。

（6）建筑物群子系统：将一个建筑物的电缆延伸到建筑群的另外一些建筑物中的通信设备和装置上（建筑群子系统之间一般用双绞线或者光纤等连接，最佳的是管道铺设）。

多介质信息插座是用来连接铜芯双绞线和光纤。

综合布线部件:

(1):双绞线扭绞可以减少电磁干扰

(2):与UTP(非屏蔽双绞线)相比，STP（屏蔽双绞线）防止对外电磁辐射的能力更强

(3):水平子系统可以实现光纤上桌，作为水平布线系统电缆时，UTP电缆长度通常应该在90米以内

综合布线系统标准：

　　（1） ANSI/TIA/EIA 568-A；

　　（2） TIA/EIA-568-B.1 TIA/EIA-568-B.2 TIA/EIA-568-B.3；

　　（3） ISO/IEC 11801；

（4） GB/T 50311-2000 GB/T50312-2000。

以太网的速率一直在提升，但是以太网的帧结构与介质访问控制方法没有发生变化，只是在物理层发生变化。

　　IEEE802.3 10-BASE-5 表示以太网 10mbps 基带传输使用粗同轴电缆，最大长度=500m。

　　IEEE802.3 10-BASE-2 200m。

　　IEEE802.3 10-BASE-T 使用双绞线。

　　快速以太网提高到 100mbps。

　　IEEE802.3U 100-BASE-TX 最大长度=100M。

　　IEEE802.3U 100-BASE-T4 针对建筑物以及按结构化布线。

　　IEEE802.3U 100-BASE-FX 使用 2 条光纤最大长度=425M。

　　支持全双工模式的快速以太网的拓扑构型一定是星形。

　　自动协商功能是为链路两端的设备选择 10/100mbps 与半双工/全双工模式中共有的高性能工作模式，并在链路本地设备与远端设备之间激活链路；自动协商功能只能用于使用双绞线的以太网，并且规定过程需要 500ms 内完成中继器工作在物理层，不涉及帧结构，中继器不属于网络互联设备。

10-BASE-5 协议中，规定最多可以使用4个中继器，连接3个缆段，网络中两个结点的最大距离为 2800m。表示传输速率为10 Mbps，基带传输，使用的粗同轴电缆最大长度为500 m；

中继器:

中继器工作在物理层，不对帧结构有任何的修改。

集线器特点：

　　（1）以太网是典型的总线型结构；连接到一个集线器的所有节点共享一个冲突域。

　　（2）工作在物理层,执行 CSMA/CD 介质访问控制方法；

　　（3）多端口网桥在数据链路层完成数据帧接受，转发与地址过滤功能，实现多个局域网的数据交换。

透明网桥 IEEE 802.1D 特点：

　　（1）每个网桥自己进行路由选择，局域网各结点不负责路由选择，网桥对互联局域网各结点是透明。

　　（2）一般用于两个 MAC 层协议相同的网段之间的互联。

第六章：交换机及其配置

局域网交换机基本功能：

　　（1）建立和维护一个表示 MAC 地址与交换机端口对应关系的交换表。

　　（2）发送结点和接收结点之间建立一条虚连接。

（3）完成数据帧的转发或过滤。

交换式网络的系统带宽随着用户的增多、交换端口的增多而增宽，其负载的大小不会影响网络的性能。

交换表内容：目的MAC ,其所对应的交换机端口号和所在的虚拟子网（用VLAN ID表示）。

Fast Ethernet（FE）表示快速以太网，E表示标准以太网，GE表示千兆以太网。端口号0/2中0是模块号，2是端口号。

显示交换表命令：大中型交换机：show cam dunamic 小型交换机：show mac-address-table。

增加交换表项：使用Flood技术，交换机把数据包发送给除源端口之外的所有的交换机端口。

刷新交换表：每次存储一个地址表项，就盖上一个时间戳。每当交换表中的一个地址被参考，该表项会被盖上一个时间戳，长时间未用的会被移除。

总结说有 3 模式：

　　快速转发（通常也称直通交换模式，不提供检错纠错，适合小型交换机采用）。

　　碎片丢失（又称无分段模式，提前过滤冲突碎片，提高宽带利用率）。

　　存储转发（延时大，速度慢，可靠性高，可检错纠错，最为广泛应用）。

第二层交换机：没有路由功能的交换机，仅能依据MAC地址完成数据帧的交换。它也可以划分VLAN，但是不同VLAN之间不能直接通信。

第三层交换机：实现不同的逻辑子网，不同VLAN之间的通信。第三层交换机的数据交换仍由第二层模块完成。

　　VLAN 技术特性：工作在数据链路层。

（1）每个 VLAN 都是一个独立的逻辑网段，一个独立的广播域。

（2）VLAN 之间不能直接通信，必须通过第三层路由功能完成。

VLAN 标识，vlan id 用 12 位 bit 表示，支持 4096 个 vlan ;1-1005 是标准范围，其中 1-1000 是用于以太网。1002~1005是FDDI和Token Ring使用的VLAN ID。

虚拟局域网中继（VLAN Trunk）交换机与交换机之间、交换机与路由器之间存在一条物理链路，而在这一条物理链路上要传输多个VLAN信息的一种技术。

　　交换机之间实现 trunk 功能，必须遵守相同的 vlan 协议，如思科 isl。不同的交换机之间必须也是统一vlan协议，如果是Cisco和其他厂商，应该使用802.1Q协议。

划分 vlan

　　（1）基于端口划分（静态划分，最通用）；

　　（2）基于 mac 地址（动态的划分）；

　　（3）第三层协议类型或地址。按照网络层协议类型定义VLAN或者按照网络地址定义VLAN。

交换机配置

使用Console端口配置交换机，端口配置参数要求是：

数据传输数率：9600bps 数据位8位停止位1位

duplex auto/full/half 配置端口通信方式

还有配置方式：（1）使用AUX端口连接一台Modem，通过拨号远程配置路由器。（2）使用telnet远程登录到路由器上配置路由器。（3）使用TFTP服务，以拷贝配置文件、修改配置文件的形式配置路由器。（4）通过网络管理协议SNMP修改路由器配置文件配置路由器.

交换机telnet远程管理方式进行配置。以Cisco 3548交换机为例：

步骤一：进入端口配置模式(config)#interface vlan1

步骤二：配置端口通信IP地址与子网掩码(config-if)#ip address 222.38.12.23 255.255.255.0

步骤三：退出(config-if)#exit

步骤四：配置缺省路由(config)#ip default-gateway 222.38.12.1 配置缺省路由是config模式

步骤五：配置远程登录口令(config)#line vty 0 4 (config-line)#password 7 ccc

步骤六：退出(config-line)#exit

Switch>(enable) set port duplex <mod/port> full/half.

将交换机的3/1到3/24端口传输速率设置为1Gps

Set port speed 3/1-24 1000. Z这里的单位是Mbps。

配置交换机管理地址

Set interface sc0<ip_addr><ip_mask><ip_addr>(broadcast address)

如：（enable）set interface sc0 203.29.166.9 255.255.255.0 203.29.166.255

VTP 实现 VLAN 的单一管理

VTP是VLAN中继协议，也称为VLAN干道协议。可以使用VTP协议，把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。

A） VTP Server可将VLAN的配置信息传播到本域内其他所有的交换机，可以建立删除或者修改ＶＬＡＮ；

B） VTP Client不能建立、删除和修改VLAN配置信息

C） VTP Transparent不传播也不学习其他交换机的VLAN配置信息（不需要交换信息的VTP设置为transparent），仅仅维护本机上面的ＶＬＡＮ信息。

D）在一个VTP域内，可设一个VTP Server,多个 VTP Client和VTP Transparent

配置VTP的步骤：建立VTP域与设置VTP的工作模式。

Switch（config）#vtp domain todd 设置域名

　　Switch（config）#vtp password aaa

　　Switch（config）#set vtp mode client /server/transparent

虚拟局域网 VLAN

　　查看VLAN 命令 Switch#show vlan

创建 VLAN Switch#vlan data%首先进入vlan配置模式

Switch（vlan）#vlan 2 name vlan2

　　Switch（config-vlan）#exit

　　Switch（config）#interface range fastEthernet 0/11 - 24

　　Switch（config-if-range）#switchport access vlan 2 为端口0分配vlan

　　建立，修改： vlan 1000 name vlan1000

删除：no vlan 1000（注意Vlan 1 不可以删除）

　　Switch（config）#interface vlan 1

　　Switch（config-if）#ip address 192.168.0.100 255.255.255.0

　　Switch（config）#ip default-gateway 192.168.0.1 缺省路由是在config模式下配置（交换机的缺省路由配置也可以是set ip route 0.0.0.0 0.0.0.0 192.168.0.1）

　Switch（config）#line vty 0 4 远程登录也是在config模式下配置的

　　Switch（config）#line vty 0 15

　　Switch（config-line）#password aaa

　　Switch（config-line）#login

VLAN Trunk

　　带路由模块的交换机实现 VLAN 间路由

　　两台交换机配置 trunk：

　　Conf t

　　Interface f0/0 注意这里是小写

Switchport mode trunk 将端口设置为trunk模式

　　Switchport trunk encapsulation dot1q（这是IEEE 802.1 Q）/isl

Switchport trunk allowed vlan 1,4 配置允许中继的vlan

　　Switchport trunk allowed vlan 1-4 (这个表示vlan id 1到4)

　　Switchport trunk allowed except vlan 1-2

生成树（STP）IEEE802.1D：二层链路管理协议，保证网络中没有回路的基础上，允许在第二层链路中提供冗余路径，保证网络可靠稳定地运行。STP首先选定一个根网桥，是整个生成树拓扑的核心。然后确定交换机冗余链路端口的工作状态，让一些端口进入阻塞工作模式。阻塞端口仅可以收发BPDU,使生成备份链路，最终生成一个无环路的树状结构网络。

（1）包含配置信息的配置BPDU数据包的长度不超过35字节。通知拓扑变化的BPDU长度不超过4个字节。配置BPDU中含有Bridge ID（2个字节的优先级和6个字节的交换机MAC组成），Bridge ID最小的成为根网桥或者根交换机。

（2）网桥协议数据单元BPDU携有Root ID、Root Pass Cost、Bridge ID等信息

　　Spanning-tree vlan 2

　　No spanning-tree vlan 2 打开与关闭树

　　Spanning-tree vlan 2 root primary 设置主 root根网桥

　　Spanning-tree vlan 3 root secondary 设置备份 root 备份网桥

　　Spanning-tree vlan 3 priority 8192 设置优先级（0,4096,8192… 到 61440 。值越小优先级越高，且优先级的增量是4096）。

　　配置可选功能：

Spanning-tree backbonefast

(按生成树的一般规则，交换机C 的阻塞端口在转换成转发工作状态之前，需要等待大约30秒即一个生成树最大存活时间，而backbonefast的功能就是使得阻塞端口不再等待这段时间。换言之，backbonefast可以提高间接链路失效时候的收敛速度)。

Spanning-tree uplinkfast （当生成树的拓扑结构发生变化和在使用上连链路组的冗余链路之间完成负载平衡时候，提供快速收敛。主要对于直接链路失效之后的处理，加快了生成树的收敛速度）。

Spanning-tree uplinkfast max-update-rate （0-32000）

　　Spanning-tree portfast default ( 使交换机或者端口跳过侦听学习阶段，加快终端工作站接入到网络中的速度。)

Spanning-tree portfast bpdu-filter default（BPDU Filters 会使交换机在指定的端口上停止发送BPDUs ，对于进入这个端口的BPDUs也不做任何处理，同时立刻将端口状态变为转发状态。）

第七章：路由器的原理及配置

　　Internet 就是用路由器加专线的方法连接了成千上万个网络而构成的。

　　路由选择的核心就是确定下一跳路由器的 IP 地址路由表是路由选择的核心。（更新路由表时记得将距离加1）

路由表主要内容：目的网络地址，下一跳路由器地址和目的端口等信息，缺省路由信息。

（路由表项首字母为C 表示直连网络，后面跟着的是端口号；S表示静态路由）。

　　缺省路由又称缺省网关，一般路由器的缺省网关是指向连往 Internet 出口的路由器。

几种路由协议管理距离：直接连接：0 静态路由：1 外部 BGP:20 内部 EIGRP:90。

IGRP:100 OSPF:110 RIP:120 外部 EIGRP:170 内部 BGP:200 未知：255。

如果在一个路由器中有两条指定某网络的路由信息，路由信息源一个来自静态路由，一个来自OSPF，这种情况下，路由器会选择静态路由给定的路由信息，按照静态路由所指定的路径进行数据转发。

路由器工作模式：（用户模式；特权模式；设置模式；全局配置模式；其他配置模式；RXBOOT 模式）

用户模式：只读模式，可以使用ping telnet show version等。

特权模式：输入enable。

全局配置模式：在特权模式下输入configure terminal；

RXBOOT：此模式下恢复路由器密码。

虚拟终端配置模式：配置远程登录密码。

路由配置常用命令

Router#write memory 保存到路由器的 NVRAM 中

　　Router#write network tftp 保存到 tftp 服务器

　　Router#write erase 删除路由器全部配置

　　show interface 查看路由器的接口

　　show running-config 查看路由的配置密码接口 IP 地址 ACL NAT

　　show version 查看路由器版本配置寄存器的值

　　show ip route 查看路由表

　　show ip protocal 查看路由器运行的动态路由协议

　　config t Router（config）# Router（config）#hostname Router1

　　Router1（config）#enable password aaa

　　Router1（config）#enable secret aaaa

　　配置 Telnet 密码 TCP 23

　　Router1（config）#line vty 0 4

　　Router1（config-line）#password aaa 设置 Telnet 密码

　　Router1（config-line）#login 要求必须登录

　　Telnet 如果不需要密码执行以下命令

　　Router1（config）#line vty 0 4

　　Router1（config-line）#no login

　　Router1（config-line）#no password

　　配置路由器接口 IP 地址

　　Router1（config）#interface fastEthernet 0/0

　　Router1（config-if）#ip address 192.168.0.1 255.255.255.0

　　Router1（config-if）#no sh

　　Router1（config）#interface serial 2/0

　　Router1（config-if）#clock rate 64000 在 DCE 端配置时钟频率

　　Router1（config-if）#ip address 10.0.0.1 255.255.255.0

　　Router1（config-if）#no sh

管理 Cisco 互联网络

　　路由器的结构：中央处理器 CPU；内存 MENORY；存储器 Storage ；接口：INTERFACE。

　　内存：RAM----相当于计算机的内存；配置路由器的设置默认是----RAM ；NVRAM ----相当于硬盘存放。

　　ROM----相当于计算机的 BIOS，不能删除存放 Bootstarp POST 微型 IOS。

　　Flash------存放 IOS。可擦写的ROM；

解析主机名

　　Router（config）#ip host Router0 172.16.5.1

　　Router#telnet Router0

网络排错

ipconfig /all 查看计算机的 IP 配置，包括 IP 地址，子网掩码、网关 DNS 服务器设置。

　　ping 网关 IP 地址。

　　ping 202.99.160.68 or 202.99.168.8 测试到 Internet 的网络层是否通。

　　ping www.inhe.net 域名是否能解析成 IP 地址。

　　telnet www.inhe.net 80 测试应用层是否畅通 23 默认端口。

　　pathping www.inhe.net 跟踪数据包路径和计算丢包情况。

tracert ip 类似与计算机上的 pathping 能够跟踪数据包路径不计算机丢包情况。

路由器的接口配置

配置POS端口：POS端口是Packet over SONET/SDH 的缩写，它是利用SONET/SDH 提供的高速传输通道直接传送IP数据包的技术。POS接口配置在全局配置模式下：

Router（config）#interface POS3/0

Router（config-if）#description to NUPT

Router（config）#bandwidth 2500000 设置带宽，单位是kbps

Router（config）#ip address 212.12.37.18 255.255.255.252

Router（config-if）#crc 32 设定CRC校验位可选16与32

Router（config-if）#pos framing sdh 可选的帧格式是sdh与sonet

Router（config-if）#no ip directed-broadcast

Router（config-if）#pos flag s1s0 2 (s1s0=00表示sonet数据，s1s0 = 10（十进制2）表示是SDH的数据)

Router（config-if）#no shutdown

Router（config-if）#exit

配置loopback接口：

Loopback接口是一个虚拟接口，没有一个实际的物理接口与之对应，但是它永远处于激活状态而用于网络管理。Lookback接口号的有效值为0-2147483647，它的默认子网掩码是255.255.255.255

Async 与 Serial:Async简写a表示异步串行接口，表示为用户提供拨号上网服务。Serial简写s,表示高速同步串行接口。Async配置IP地址：

Router(config-if)#async default ip address 202.113.7.16

静态路由管理员告诉路由器到各个网段如何转发。

Router（config）#ip route<目的网络地址><子网掩码><下一跳路由器的IP地址>

Router（config）#ip route 192.168.6.0 255.255.255.0 192.168.1.2 （可以更改管理距离 AD）。在某园区网中，路由器R1的GE0/1(212.112.8.5/30)与路由器R2的GE0/1(212.112.8.6/30相连，R2的GE0/2(212.112.8.9/30)与R3的GE0/1(212.112.8.10/30)相连，R3的GE0/2(212.112.8.13/30)直接与Internet上的路由器相连，路由器R1缺省路由的正确配置是

ip route 0.0.0.0 0.0.0.0 212.112.8.6

　　在计算机上添加路由表。

　　route add 192.168.2.0 mask 255.255.255.0 192.168.1.2 添加路由表。

　　route print 显示计算机上的路由表。

　　netstat -r

动态路由网络规模较大 or 具有网状结构的网络。

RIP配置：

　　RIP 周期性广播路由表 30 秒度量值是跳数 15 跳 16 跳认为不可到达。

　　RIPv1 广播传播路由信息支持等长子网不支持变长子网和不连续子网。

　　RIPv2 多播传播路由信息支持变长子网和不连续子网（关闭自动汇总）传播路由信息中包含了子网掩码信息。

　　EIGRP 相当于 RIPv2 支持变长子网关掉汇总，支持不连续子网。

　　Router#config t

　　Router（config）#router rip

　　Router（config-router）#network 172.16.0.0 Rip不支持可变长掩码，因此不需要给定掩码。

Router（config-router）#network 10.0.0.0 这边是列举出所有与该路由器相连的网段。

配置被动接口：表示从此接口不会发出信息。

Router（config-router）#passive-interface ethernet 0

配置路由过滤功能：

Router（config）#access-list 12 deny any

Router（config）#router rip

Router（config-router）#distribute-list 12 in ethernet0

Router（config-router）#end

　　Router（config-router）#version 2

　　Router（config-router）#no auto-summary

　　Router#show ip protocols 显示配置的所有动态路由协议。

　　OSPF 路由表由路由根据链路状态数据库算出来的，不出现环路，路由器之间更新的是链路状态，度量值带宽。触发式更新。

　　路由器三个表：邻居表，链路状态表，路由表。

OSPF 配置：

配置格式：network ip<子网号><wildcard-mask>area<区域号>

或者

Area<区域号>range<子网地址><子网掩码>

　　Router（config）#router ospf 110 进程号

Router（config-router）#network 172.16.0.0 0.0.255.255 area 0

或者

Router（config-router）#area 0 range 172.16.0.0 255.255.0.0

　　查看路由表

　　show ip route

　　查看链路状态数据库： Router#show ip ospf databases

　　查看邻居：Router#show ip ospf neighbor

　　更改 DR BDR 选举优先级：Router（config-if）#ip ospf priority 2

DHCP 配置：

Cisco路由器DHCP地址池的配置：

步骤一：首先排除不用于动态分配的地址(config)#ip dhcp excluded-address 176.115.246.2 176.115.246.10

步骤二：配置一个名为zw246的DHCP地址池(config)#ip dhcp pool zw246

步骤三：配置动态分配的地址段(dhcp-config)#network 176.115.246.0 255.255.255.0

步骤四：配置缺省网关(dhcp-config)#default-router 176.115.246.1

步骤五：为客户机配置域后缀(dhcp-config)#domain-name tj.edu.cn

步骤六：为客户机配置DNS地址(dhcp-config)#dns-server address 176.115.129.26

步骤七：配置租借期为6小时30分钟(dhcp-config)#lease 0 6 30，格式为lease 天数小时数分钟数

访问控制列表：适合所有网络层协议，如 IP IPX。在全局配置模式下

　　功能；过滤流入流出数据包，限制网络流量，限制用户和设备对网络的访问，减少网络欺骗和拒绝服务，提高网络安全性提供基于源地址，目的地址，各种协议和端口号的过滤准则。

　　分类（标准访问控制列表 1-99 1300-1999（仅检查数据包的源地址）;扩展访问列表 100-199 2000-2699（检查数据包的源地址，目的地址，使用协议和端口号））

配置标准访问控制列表，在全局配置模式下：

Access-list access-list-number {permit|deny} source wildcard-mask.

通配符表示路由器应该检查哪些地址位，通配符为0表示检查相应的地址位，通配符为1表示忽略不检查相应的地址位。

　　只允许 xx 子网内主机登陆路由器

　　Router>enable

Router#configure terminal

首先确定访问控制列表内容，然后确定线路，最后确定这个访问控制列表是用在对进入还是出去的资源上。

　　Router（config）#access-list 10 permit 211.105.130.0 0.0.0.255

　　Router（config）#line vty 0 5

　　Router（config-line）#access-class 10 in

　　只允许 xx 主机登陆路由器

　　Router（config）#access-list 20 permit 182.105.130.111

　　Router（config）#access-list 20 permit 222.112.7.56

　　Router（config）#access-list 20 deny any any

　　Router（config）#line vty 0 5

　　Router（config-line）#access-class 20 in

　　禁止源地址是非法地址的数据包进出路由

　　Router（config）#access-list 30 deny 10.0.0.0 0.255.255.255

　　Router（config）#access-list 30 deny 192.168.0.0 0.0.255.255

　　Router（config）#access-list 30 permit any

　　Router（config）#interface g0/1

　　Router（config）#ip access-group 30 in

　　拒绝所有 IP 地址进出，端口为 1434 的 UDP 协议数据包

　　Router（config）#access-list 130 deny udp any any eq 1434

　　Router（config）#access-list 130 permit ip any any

　　Router（config）#interface g0/1

　　Router（config）#ip access-group 130 in

　　Router（config）#ip access-group 130 out

配置扩展访问列表格式：

Access-list access-list-number {permit|deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand].operand 是端口号。

　　access-list number permit tcp 源地址源掩码目的地址目的掩码 eq 端口

　　deny udp lt（<）

　　gt（>）

　　neq 不等于

封闭一台主机

Router（config）#access-list 110 deny ip host 202.112.60.44 any

(host ip这样表示一个主机地址)

Router（config）#access-list 110 deny ip any host 202.112.60.44

Router（config）#access-list 110 permit ip any any

Router（config）#interface g6/0

　　Router（config-if）#ip access-group 110 in

　　Router（config-if）#ip access-group 110 out

　　进入扩展访问控制列表配置模式：

　　Router（config）#ip access-list extended 130

　　Router（config-ext-nacl）#deny udp any any eq 1434

　　Router（config-ext-nacl）#permit ip any any

　　Router（config-ext-nacl）#ex

　　Router（config）#interface g6/0

　　Router（config-if）#ip access-group 130 in

　　Router（config-if）#ip access-group 130 out

　　格式基本同注意区分：

　　ip access-list extended list-number standard name

　　permit udp 源地址源掩码目的地址目的掩码 eq 端口

deny tcp lt/ neq /gt

第八章：无线局域网技术

　　常用无线标准：蓝牙标准，Hiperlan 标准，IEEE802.11 标准。

蓝牙软件结构标准包括核心和应用协议栈两个部分。工作频段在2.402GHZ 到 2.480GHZ。覆盖范围是100米。异步信道非对称连接速率是723.2kbps/57.6kbps，对称连接是433.9kbps.同步信道速率是64kbps（3个全双工信道）。密钥最长128bit,以8bit一个单位递减。

HiperLAN/1 标准采用5G 射频频率，可以达到上行20Mbps 的速率。HiperLAN/2 同样

采用5G 射频频率，下行速率可以达到54Mbps。HiperLAN/2 系统同3G 标准兼容。室内覆盖面积30米，室外覆盖面积150米，可支持面向连接的传输服务。

802.11b 是使用最广泛的标准。

802.11定义了两种类型的设备：无线节点和无线接入点。无线结点通常是在一台接入设备上加上一块无线网络接口卡构成。无线接入点的作用是提供无线和有线网络之间的桥梁。

802.11b 分为两种运作模式

1：点对点模式：指无线网卡和无线网卡之间的通信方式，最多可以连接256台PC。

2：基本模式：指无线网络规模扩充或者无线和有线网络并存时候的通信方式，这是802.11b最常用的方式。此时，插上无线网卡的PC需要由接入点与另一台PC连接。接入点负责频段管理以及漫游等指挥工作，一个接入点最多可以连接1024台PC（无线网卡）。

802.11b室内环境通信距离最远为100米，最大传输速率可以达到11Mbps.物理层采用GFSK，DSPSK，DQPSK的调制方式。

802.11b 典型解决方案（对等解决方案；单接入点~;多接入点~；无线中继~；无线冗余~；多蜂窝漫游工作方式）。

1、对等解决方案

　　对等解决方案是一种最简单的应用方案，只要给每台电脑安装一块无线网卡，即可相互访问。如果需要与有线网络连接，可以为其中一台电脑再安装一块有线网卡，无线网中其他电脑利用这台电脑作为网关，即可访问有线网络或共享打印机等设备。

　　但对等解决方案是一种点对点方案，网络中的电脑只能一对一互相传递信息，而不能同时进行多点访问。如果要实现像有线局域网的互通功能，则必须借助接入点。

　　2、单接入点解决方案

　　接入点相当于有线网络中的集线器。无线接入点可以连接周边的无线网络终端，形成星型网络结构，同时通过10Base-T端口与有线网络相连，使整个无线网的终端都能访问有线网络的资源，并可通过路由器访问Internet。

　　3、多接入点解决方案

　　当网络规模较大，超过了单个接入点的覆盖半径时，可以采用多个接入点分别与有线网络相连，从而形成以有线网络为主干的多接入点的无线网络，所有无线终端可以通过就近的接入点接入网络，访问整个网络的资源，从而突破无线网覆盖半径的限制。

　　4、无线中继解决方案

　　无线接入点还有另外一种用途，即充当有线网络的延伸。比如在工厂车间中，车间具有一个网络接口连接有线网，而车间中许多信息点由于距离很远使得网络布线成本很高，还有一些信息点由于周边环境比较恶劣，无法进行布线。由于这些信息点的分布范围超出了单个接入点的覆盖半径，我们可以采用两个接入点实现无线中继，以扩大无线网络的覆盖范围。

　　5、无线冗余解决方案

　　对于网络可靠性要求较高的应用环境，比如金融、证券等，接入点一旦失效，整个无线网络会瘫痪，将带来很大损失。因此，可以将两个接入点放置在同一位置，从而实现无线冗余备份的方案。

　　6、多蜂窝漫游工作方式

　　在大楼中或者在很大的平面里面部署无线网络时，可以布置多个接入点构成一套微蜂窝系统，这与移动电话的微蜂窝系统十分相似。微蜂窝系统允许一个用户在不同的接入点覆盖区域内任意漫游，随着位置的变换，信号会由一个接入点自动切换到另外一个接入点。整个漫游过程对用户是透明的，虽然提供连接服务的接入点发生了切换，但对用户的服务却不会被中断。无线节点漫游时候数据传输速率会发生变化。

常用的无线局域网设备：

无线网卡：也称WLAN适配器，是无线局域网系统中最基本的硬件。

无线接入点也称无线 AP，一般可以连接 30 台。无线局域网中AP的唯一标识为SSID。

Cisco Aironet1100:

(1)兼容IEEE 802.11b和802.11g，工作在2.4GHZ .SSID 区分大小写。

(2)快速配置：使用5类无屏蔽双绞线将PC机与Cisco机器连接，浏览器进入10.0.0.1,然后点击Express Setup。

（1）：Broadcast SSID in Beacon ：设定允许设备不指定SSID而访问接入点。其中，Yes是默认设置，允许设备不指定SSID而访问接入点，No表示必须指定SSID访问接入点。

（2）：Ratio SSID：输入网络管理员提供的SSID。

第九章：网络服务系统的安装与配置

9.1 DNS服务器

Windows 中查看dns服务器的命令使nslookup。

（1）IP:DNS 服务器配置固定的IP地址。在Internet上存在着13个根域名服务器（A~M），这13个根域名服务器自动加入到系统中。转发器是网络上的DNS服务器，用于将外部域名的DNS查询转发给该DNS服务器。

（2）生存时间（TTL）：指该记录被客户端查询到放在缓存中以备今后使用的时间，默认值是3600秒。

（3）DNS服务器的默认端口是53.注意DNS服务器和网关是分开的，DNS服务有用，你的IP地址不一定正确。

9.2 WWW服务器

（1）在一台服务器上可构建多个网站，由主机头，IP地址和TCP端口号唯一识别，可用不同主机头名称，不同的IP地址和非标准的TCP端口号构建多个网站。传输层协议是相同的。每一个网站对应了服务器上面的一个目录。建立web站点之前，必须为该站指定一个主目录访问，可以域名，也可IP。Web站点不需配置静态IP。

（2）在windows 2003操作系统中添加组件IIS就可实现WEB站点

在主目录选项卡中，不可配置主目录的读取和写入登权限

Web站点未设置默认内容文档时候，访问站点时必须提供首页内容的文件名。

性能选项包括影响宽带使用的属性和客户端WEB连接的数量。（注意没有带宽选项）

网站选项可以设置网站的标识并可以启用日志记录。

目录安全选项可以选择配置身份验证和访问控制、IP地址和域名限制、安全通信。

注意：当网站的端口不是标准的80端口的时候，应该在访问网站时候输入对应的端口号。

9.3 Serv-U FTP

（1）FTP使用C/S架构，客户机和服务器之间建立两个TCP连接：21号的控制连接和20号的数据连接（这两个连接都是服务器端的端口号）。

（2）域：在一个物理服务器中可以构建多个虚拟服务器，每个虚拟服务器称为域，由IP地址和端口号唯一标识。配置域存储位置时候，对于用户大于500的域，可以将域放在注册表中提高性能，小的域放在Ini文件中。配置服务器域名时候，可以使用域名或者IP地址进行描述。

（3）用户名为anonymous，自动判定为匿名用户.匿名用户只提供下载服务。FTP服务器域创建完成后，需要添加用户才可访问，用户不可在FTP服务器自动注册新用户。

（4）设置FTP服务器的IP地址时候，IP地址可以为空，意为服务器所有的IP地址。当服务器有多个IP地址时候最好设置IP地址为空。

（5）通过设置IP访问可以控制某些IP对FTP服务器的访问，可以在域选项，组选项和用户选项中设置IP访问选项。

服务器选项有：最大上传下载速度（指整个服务器所占用的带宽），最大用户数量（只同时在线的用户数量），检查匿名用户密码，删除部分已上传的文件，禁用反超时调度，拦截 ‘FTP-BOUNCE”攻击和FXP(不允许两个FTP服务器传送文件)

9.4.DHCP服务器：动态主机配置协议，使用UDP数据报

概念：

作用域：网络上IP地址的完整连续范围。长度域是指网络位。只有在作用域激活之后，DHCP服务器才可以为客户机分配IP地址。（作用域的长度指所有可用IP的子网掩码，如起始IP为59.64.22.11，结束IP地址为59.64.22.50,那么长度域的长度为26）。

排除范围：作用域内从DHCP服务中排除的有限IP地址序列。输入排除的起始IP地址和结束IP地址

地址池：在定义了DHCP作用域并应用排除范围之后，剩余的地址在作用域内形成可用的地址池。

租约：DHCP服务器指定一段时间之后进行IP地址的重新分配。租约到期之后客户端自动完成续订,所以设置租约不会控制用户的上网时间。另一方面，DHCP不可以主动收回地址租约，而在Windows2003 server 中，DHCP服务器默认的租约期限是8天。

保留：可使用保留创建DHCP服务器指派的永久的地址租约。保留可以使用作用域地址内的任何IP地址，即使该地址同时还在某个排除范围之内。在DHCP服务器中新建保留的时候必须输入IP地址，子网掩码和MAC地址（将该地址保留为该MAC专用IP）。

已获租约服务器ping失败，可能是DNS服务器选项或者路由器选项配置错误

在客户分配地址之前，应激活作用域

分配固定IP，绑定IP与MAC的保留操作

Ipconfig/release DHCP客户机收回已经分配的IP地址

Ipconfig/all DHCP客户机查看自己的网络连接信息

DHCP协议报文：分为请求（Request）与应答（Reply）两大类。

Client self-assigned IP address = 0.0.0.0表示客户机还没有使用该地址

Client server-assigned IP address = 10.177.124.73

DHCP服务器和DHCP客户机交互过程：

（1）DHCP客户机向全网广播Request消息，试图找到DHCP服务器。源IP为0.0.0.0，目标IP为255.255.255.255

（2）DHCP服务器向全网广播Reply消息，目标地址仍是255.255.255.255

（3）最后DHCP ACK消息向全网广播，同时附带了分配的IP地址。

（4）Release-discover-offer-request-ack

（5）1 代表DHCP discover，2 代表DHCP offer，3 代表DHCP request，4 代表DHCP decline，5 代表DHCP ack，6 代表DHCP nak，7 代表DHCP release。

（6）Relay agent表示中继代理。一个DHCP服务器为多个网段提供服务的时候需要划分多个作用域。

9.5 Winmail

（1）Winmail 服务器支持基于web的访问和管理，允许用户自行注册新邮箱。邮件接收服务器的类型主要有SMTP，POP3，IMAP4.

SMTP:简单邮件传输协议。TCP端口号为25。

POP3：访问并且读取邮件服务器上的邮件信息。TCP端口号110.

IMAP4：用于客户端管理邮件服务器上邮件。TCP端口号143.

（2）邮件管理工具包括系统设置，域名设置，用户和组，系统状态，系统日记，不包括垃圾邮件过滤。在域名设置可以增加域和修改域参数。在用户和组管理界面中可以增删用户，修改用户配置。在快速设置向导中，可以输入用户名，域名，用户密码。在域名管理界面中可以通过增加新的域构建虚拟服务器，而不是在系统设置中。系统设置---邮件过滤，更改管理员密码，SMTP设置。

（3）邮件交换器设置：为建立邮件路由，需要在DNS服务器中建立邮件服务器主机和邮件交换记录

邮件系统的工作过程：（1）用户使用客户端软件创建新邮件。（2）客户端软件使用SMTP将邮件发送到发送方的邮件服务器。（3）发送方邮件服务器使用SMTP将邮件发送给接收方的邮件服务器。（4）接收方客户端软件使用POP3/IMAP4协议从邮件服务器读取邮件。

一个用户在客户端发送邮件的时候，需要解析对方的主机域名和邮件交换器资源记录。

第十章：网络安全技术

　　网络安全基本要素（保密性；完整性；可用性；可鉴别性；不可否认性）。

　　信息泄露与篡改（截获信息；窃听信息；篡改信息；伪造信息）。

　　网络攻击（服务攻击与非服务攻击）。

服务攻击：指对网络提供各种服务的服务器发起攻击，造成网络拒绝服务，表现在消耗带宽，消耗计算资源，使系统和应用崩溃。

常见攻击：

SYN 攻击时一种典型的拒绝服务攻击。

Teardrop是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包。包过滤路由器可以对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。从而阻断Teardrop攻击。

跨站脚本攻击（也称为XSS）指利用网站漏洞从用户那里恶意盗取信息。cookie篡改（cookie poisoning）是攻击者修改cookie（网站用户计算机中的个人信息）获得用户未授权信息，进而盗用身份的过程。SQL注入是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

　　非服务攻击：不针对某项应用服务，而是针对网络层等低协议进行的源路由攻击和地址欺骗都属于这一类非服务攻击更为隐蔽，是种更为危险的攻击手段。

P2DR网络安全模型：由策略（核心部分）、防护（包括数据加密、身份认证、访问控制、授权和虚拟专用网技术、防火墙、安全扫描和数据备份等）、检测、响应（包括紧急响应与恢复）组成。

可信计算机系统评估准则TCSEC：4类7等级，D级系统的安全要求最低，A1级的要求最高。

C级是用户可以自定义访问控制要求的自主保护类型。B级属于强制型安全保护类型。

数据备份：

　　完全备份：对整个系统或者用户指定的所有的用户文件数据进行一次全面的备份。恢复速度最快空间使用最多备份速度最慢。

　　增量备份：只备份上一次备份操作以来新创建或者更新过的数据。恢复速度最慢空间使用最少备份速度最快。

　　差异备份：只备份上一次完全备份操作后产生或者更新的数据。中间性能（对于已备份文件不做标记）

　　冷备份：又叫离线备份。指当执行备份操作时候，服务器将不接受来自用户和应用对数据的更新。恢复时间长投资少。

热备份：同步数据备份，又称在线备份很大的问题是数据的有效性和完整性。

　　加密技术：密码学包括密码编码学与密码分析学密码体制是密码学研究的主要内容。

　　现在密码学基本原则：一切密码属于密匙之中。在设计加密系统时，加密算法是可以公开的，真正需要保密的是密钥。

　　猜测每 10 的六次方个密钥要用 1 微秒的时间。

　　数据加密标准 DES 是最典型的对称加密算法，采用 64 位密钥长度，8 位用于奇偶校验，用户使用其中的 56 位非对称加密技术：对信息加密解密使用不同的密钥，用来加密的密钥是可以公开的，解密的密钥是用来保密的，又称公钥加密技术。

　　计算机病毒的主要特征：非授权可执行性；隐蔽性；传染性；潜伏性。

　　计算机病毒分类：寄生方式（引导型，文件型，复合型）按破坏性（良性，恶性）。

　　网络病毒特征：传播方式多样，传播速度更快；影响面更广；破坏性更强；难以控制和根治；编写方式多样，病毒变种多，智能化，混合病毒。

　　恶意代码：蠕虫（计算机蠕虫是一个自我包含的程序或程序集，能够传播自身并拷贝自身）分为宿主计算机蠕虫和网络蠕虫。

　　木马（木马是没有自我复制功能的恶意程序）木马传播途径：电子邮件，软件下载，通过会话软件。

根据防火墙的实现技术：可以将防火墙分为包过滤路由器，应用级网关，应用代理和状态检测等。

包过滤路由器：制定一定的包过滤规则，可以防止Cookie篡改攻击。

应用级网关：在应用层实现对于用户身份认证和访问操作分类检查和过滤。采用存储转发方式。

　　目前市场上的主流防火墙，一般都是状态检测防火墙。

防火墙系统结构分为：包过滤路由器结构；双宿主主机结构；屏蔽主机结构；屏蔽子网结构。

Cisco PIX525防火墙

网络划分：（1）内部区域：互联网的信任区域，应该受到防火墙的保护。

（2）外部区域：互联网中不被信任的区域。

（3）非军事化区域（DMZ):一般在ＤＭＺ中放置Web服务器，E-mail服务器等。对于外部用户是可以访问的。

防火墙的访问模式：（1）非特权模式：pixfirewell>

（2）特权模式，输入enable，pixfirewell#

（3）配置模式，输入”configure terminal” ，pixfirewell（config）#

（4）监视模式：按下Escape或者输入“Break”，提示符“monitor>”可以进行操作系统映像更新、口令恢复操作等。

防火墙配置：

（1）nameif 配置防火墙接口的名字并且指定安全级别，数字越大安全级别越高。

　　Pix525（config）#nameif ethernet0 outside security0 表示接口0作为外部接口

　　Pix525（config）#nameif ethernet1 inside security100 表示接口1作为内部接口

Pix525（config）#nameif dmz security50 表示堡垒主机的安全级别为50

（2）interface 配置以太网接口参数

　　Pix525（config）#interface ethernet0 auto

Pix525（config）#interface ethernet1 100full

Auto选项表示接口采用自动协商方式，100full表示采用100Mbps全双工通信。

（3）ip address 配置网卡的IP地址

　　Pix525（config）#ip address outside 202.113.79.1 255.255.255.240 表示设定防火墙的外网IP

　　Pix525（config）#ip address inside 192.168.0.1 255.255.255.0

（4）nat 指定要进行转换的内部地址。指定内网访问外网的主机，与 global 一起使用。

　　Pix525（config）#nat （inside） 1 192.168.0.1 255.255.255.0

　　inside 是默认的内网接口名字 1 是 id

（5）global 指定外部IP地址范围（地址池）。内网主机通过防火墙访问外网时候，防火墙将使用这段IP地址池为要访问外网的主机分配一个全局IP地址。

　　Pix525（config）#global（outside） 1 202.113.79.1-202.113.79.14

　　定义可分配的全局 ip 地址

　　设置指向内网和外网的静态路由 Pix525（config）#route outside 0 0 210.81.20.1 1

　　格式：if _name 0 0 ip metric

　　outside 是接口名字 ip 是路由网关 1 是跳数（默认是 1）

Pix525（config）#static（inside,outside） 202.113.79.4 192.168.0.4 建立静态映射

（7）static：允许在一个本地的IP地址和一个全局IP地址之间建立一个静态映射。

（8）conduit 允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到DMZ或内部接口的进入方向的会话。

Pix525（config）#conduit permit tcp host 192.168.0.4 eq www any

　　格式：Conduit permit tcp ip 端口外部 ip

（9）fixup 启用、禁止、改变一个服务或者协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。

　　Pix525（config）#fixup protocol http 80

　　Pix525（config）#no fixup protocol smtp

　　启动 http 协议指定 80 禁止 smtp

Fixup启用，禁止，改变一个服务或协议通过PIX防火墙，制定端口是侦听的服务

进行操作系统映像更新，口令回复的模式是监视模式

非特模式；启动自检

特权模式：当前配置修改

网络版防病毒系统

（1）系统中心必须先于其他子系统安装到符合条件的服务器上。

（2）服务器端是专门为了可以应用于网络服务器的操作系统而设计的防病毒子系统。

（3）客户端是专门为了客户机而设置的防病毒子系统。

（4）管理控制台是专门为了网络管理员而设计的，可以安装到服务器上，也可以安装得到客户机上。

入侵检测：

分为异常检测和误用检测技术。

异常检测是指已知网络的正常活动状态，如果当前网络状态不符合正常的状态，则认为有攻击发生，容易发生误报。

误用检测是建立在使用某种模式或者特征描述方法，可以对于任何已知攻击进行表达的理论基础上。

入侵检测系统分为：

（1）基于主机的入侵检测系统：审计的信息来自于单个的主机，可以确定哪个进程和用户参与了对操作系统的一次攻击。

（2）基于网络的入侵检测系统：将网卡设置为混杂模式来收集网络上出现的数据帧，采用模式匹配，频率或者阈值，事件的相关性，统计意义上的非正常现象检测。

分布式入侵检测系统分类：

（1）层次式：层次式入侵检测系统的主要问题是不能很好地适应网络拓扑结构的变化，而且上层的入侵检测模块如果受到攻击则其入侵检测的有效性将大大降低。

（2）协作式：由于整个分布式入侵检测系统仍然由一个统一的中央控制机制协调，单点失效的风险仍然存在。

（3）真正避免了单点失效。

入侵检测系统探测器

ⅠⅡⅢ依次为：网络协议分析模块、数据包捕获模块、攻击特征库

入侵检测系统的探测器部署方式：

（1）串入到链路中，对网络性能影响较大。

（2）网络接口卡与交换设备的监控端口连接，镜像复制数据包。

（3）在网络中增加一台集线器改变网络拓扑结构，通过集线器共享式监听方式获取数据包。

（4）入侵检测传感器通过一个TAP（分路器）设备对交换式网络中的数据包进行分析和处理。

入侵防护系统整合了防火墙技术和入侵检测技术，采用In-line工作模式。（注意入侵防护系统必须工作在In-line模式，入侵检测系统不一定）

入侵防护系统分为：（1）HIPS：基于主机，检测并阻挡针对本机的威胁与攻击。

（2）NIPS：基于网络的入侵防护攻击，可以阻挡SYN-FLOOD，DDOS，ping of death等攻击。

（3）AIPS:部署在应用服务器前段，可以防止如Cookie篡改，SQL注入，缓冲器溢出等攻击。

安全评估

网络安全评估分析系统是一种集网络安全检测，风险评估，修复，统计分析和网络安全网络集中控制管理功能于一体的网络安全设备。

（1）网络安全评估分析技术分为基于应用和基于网络的，原理都是通过执行一些脚本文件对系统进行攻击并且记录他的反应从而发现安全隐患。基于应用的技术采用被动的、非破坏性的办法检测应用软件包的设置发现安全漏洞。基于网络的技术采用积极的、非破坏性的办法来检测系统是否有可能被攻击崩溃。

（2）在大型网络中，评估分析系统通常采用控制台和代理相结合的结构。网络安全评估分析技术常用来进行穿透试验和安全审计。

（3）X-scanner 采用多线程方式对指定IP地址段（或者单机）进行安全漏洞扫描，ISS采用主动扫描方式对系统进行安全评估。

第十一章：网络管理模型

（1）网络管理模型主要分为OSI管理模型（核心是公共管理信息协议CMIP）和SNMP（简单网络管理协议）。

网络管理功能分为五大类：

配置管理：监控网络以及各个设备的配置信息。

性能管理：测量和监控网络运行的状态。

记账管理：测量和收集各种网络资源的使用情况。

故障管理：有可能导致网络出现部分或者全部中断或者瘫痪，并必须予以修复的错误。

安全管理：设定若干规则，用来防止网络遭受有意或无意的破坏，同时防止对于敏感资源的未经授权的访问。

（2）基本概念：

OID：树型结构中的每个节点根据其在树中的位置描述符。对象标识符是按照从根节点往下（不含根节点）的路径顺序，用一组以圆点分隔的标号序列或者节点名序列构成的。

（3）SNMP管理模型：使用UDP数据报进行传输

SNMP管理模型有三个基本组成部分：管理站、代理和MIB。Manager通过SNMP定义的PDU向Agent发送请求，而Agent将得到的MIB值通过SNMP协议传给Manager。只在TCP/IP协议层上进行定义。

SNMP管理信息库称为MIB-2，其中的管理对象有标量对象和表对象。对象值的数据类型包括IP地址、计数器、计量器和时钟等。计数器从0开始不可减少，计量器可以增加也可以减少，增大到最大值时候不会降。

SNMP支持的操作主要有：get,set和notification等，每种操作都有对应的PDU格式。Get操作用来查询被管理设备上的MIB库数据，Set操作用来设置被管理设备上MIB库的对象值，Notification操作用于代理主动向管理站报告被管理对象的某些变化。通知分为自陷（Trap）和通知（Inform）两类。Trap又称为陷入或者中断，管理站对于这种报文不必有所应答。而Inform是需要SNMP管理站确认接收的Trap。

Cisco SNMP

接口断开或连接向管理站发出通知：snmp trap link-status

定义简单网络管理协议接入团体：snmp-server community manage ro 86

最后一个整数是1-99表示一个标准的ACL。

管理站向代理发消息使用161端口
代理向管理站发消息使用162端口，报警信息都是代理发往服务站所有使用162端口

设置接收通知的管理站，此命令在全局配置模式下进行。如使得该路由器可以向主机monitor.tj.edu.cn按照团体名public发送消息：

(config)#snmp-server enable traps

(config)#snmp-server host monitor.tj.edu.cn public

Windows 2003网络管理常用命令：

Netstat现实TCP，侦听端口，以太网统计，IP路由表，IP统计 netstat -a 查看所有的活动TCP连接。

Net view---计算机共享域，计算机或资源列表

Tracert---通过TTL ICMP, 探测路径（当TTL值为0时候，路由器会发出一个超时报文）

一般使用tracert时，返回消息为destination net unreachable 表示相关路由器上设置了ACL控制列表。Request timed out表示目标服务器工作不正常。Ping 和 tracert的区别在于ping命令是查看目标地址的关系，只会显示本机和目标IP之间的数据。而Tracert是显示所经过的每一跳的路由信息。ICMP工作在网络层，封装在了IP报文里面。

Ipconfig---显示TCP/IP配置，Ipconfig/release 表示释放当前连接(释放当前获得的DHCP分配的IP地址)。Ipconfig/all表示显示客户机的DNS、DHCP、GATEWAY等信息。

Hostname--显示当前主机的名称。

Nbtstat---显示本机与远程计算机的基于TCP/IP的NetBIOS的统计以及连接信息，该工具你可以获得远程或本地机器的组名和机器名。

Pathping:statistic for 25 seconds 结合了ping和tracert的功能。

Route--显示或者修改本地IP路由表的条目。也可以修改本机的默认网关。

Nslookup--显示本机的DNS域名服务器。

Net view--显示域列表，计算机列表

常见的漏洞扫描工具：

被动扫描常见的有IDS。

（1）ISS:ISS采用主动扫描方式，System Scanner通过依附于主机上的扫描器代理侦测主机内部的漏洞。

（2）X-Scanner:X-Scanner采用多线程方式对于指定IP地址段进行安全漏洞扫描。

（3）CVE：公共漏洞和暴露。它为每一个漏洞和暴露确定了一个唯一的名称和标准化的描述，但是没有提供相应的解决方法。

（4）WSUS：实时发布微软公司操作系统软件更新程序的服务系统。

路由表中划分各个网络是按照在路径中的位置，各个子网可以进行CIDR。而网络一的值为

59.67.147.128/30，就是59.67.147.129与59.67.147.130这两个地址的聚合。

Sniffer：

（1）统计网络流量中各个协议和应用分布的情况，使用Protocol Distribution

（2）向网络发送定制的数据包来测试网络或者回放捕获的数据包：数据包生成器

（3）想要捕获在载荷的某个固定位置上具有指定特征值的数据包：Data Pattern