1、 .wd. .wd. .wd.網(wǎng)絡(luò)工程師筆記目 錄 TOC o 1-3 h z u HYPERLINK l _Toc364588694 網(wǎng)絡(luò)根基 PAGEREF _Toc364588694 h - 3 - HYPERLINK l _Toc364588695 第一章數(shù)據(jù)通信根基 PAGEREF _Toc364588695 h - 5 - HYPERLINK l _Toc364588696 第二章局域網(wǎng)技術(shù) PAGEREF _Toc364588696 h - 9 - HYPERLINK l _Toc364588697 第三章廣域網(wǎng)和接入網(wǎng)技術(shù) PAGEREF _Toc364588697 h - 2

2、8 - HYPERLINK l _Toc364588698 第四章因特網(wǎng) PAGEREF _Toc364588698 h - 39 - HYPERLINK l _Toc364588699 第五章路由器與交換配置 PAGEREF _Toc364588699 h - 54 - HYPERLINK l _Toc364588700 第六章網(wǎng)絡(luò)安全 PAGEREF _Toc364588700 h - 75 - HYPERLINK l _Toc364588701 第七章網(wǎng)絡(luò)管理 PAGEREF _Toc364588701 h - 85 - HYPERLINK l _Toc364588702 第八章計(jì)算機(jī)根

3、基知識(shí) PAGEREF _Toc364588702 h - 102 -第一章數(shù)據(jù)通信根基一、 基本概念碼元速率：?jiǎn)挝粫r(shí)間內(nèi)通過信道傳送的碼元個(gè)數(shù)，如果信道帶寬為T秒，那么碼元速率。假設(shè)無噪聲的信道帶寬為W，碼元攜帶的信息量n與碼元種類N關(guān)系為，那么極限數(shù)據(jù)速率為有噪聲的極限數(shù)據(jù)速率為其中W為帶寬，S為信號(hào)平均功率，N為噪聲平均功率，為信噪比電波在電纜中的傳播速度為真空中速率的2/3左右，即20萬千米/秒編碼：?jiǎn)螛O性碼：只有一個(gè)極性，正電平為0，零電平為1；級(jí)性碼：正電平為0，負(fù)電平為1；雙極性碼：零電平為0，正負(fù)電平交替翻轉(zhuǎn)表示1。這種編碼不能定時(shí)，需要引入時(shí)鐘歸零碼：碼元中間信號(hào)回歸到零電平

4、，正電平到零電平轉(zhuǎn)換邊為0，負(fù)電平到零電平的轉(zhuǎn)換邊為1。這種碼元自定時(shí)不歸零碼：碼元中間信號(hào)不歸零，1表示電平翻轉(zhuǎn)，0不翻轉(zhuǎn)。雙相碼：低到高表示0，高到底表示1。這種編碼抗干擾性好，實(shí)現(xiàn)自同步。曼徹斯特碼：低到高表示0，高到底表示1。相反亦可。碼元中間電平轉(zhuǎn)換既表示數(shù)據(jù)，又做定時(shí)信號(hào)。用于以太網(wǎng)編碼，編碼效率為50%差分曼徹斯特碼：每一位開場(chǎng)處是否有電平翻轉(zhuǎn)，有電平翻轉(zhuǎn)表示0，無電平翻轉(zhuǎn)表示1。中間的電平轉(zhuǎn)換作為定時(shí)信號(hào)。用于令牌環(huán)網(wǎng)，編碼效率為50%。ASK、FSK和PSK碼元種類為2，比特位為1。DPSK和QPSK碼元種類為4，比特位為2。QAM碼元種類為16。一路信號(hào)進(jìn)展 FSK 調(diào)制時(shí)

5、，假設(shè)載波頻率為 fc , 調(diào)制后的信號(hào)頻率分別為 f1 和 f2 (f1nslookupSet type=ptrip地址將IP地址轉(zhuǎn)換為域名MX：郵件交換CNAME:允許多個(gè)域名指向同一臺(tái)服務(wù)器別名SOA：DNS數(shù)據(jù)庫(kù)的來源2.8遠(yuǎn)程登錄協(xié)議Telnet 端口23用戶在本地使用虛擬終端NVT通過TCP連接可以登錄到遠(yuǎn)程的主機(jī)或服務(wù)器，像使用本地主機(jī)一樣使用遠(yuǎn)程資源。其他協(xié)議FTP文件傳輸服務(wù) 控制端口21 數(shù)據(jù)端口20FTP常用命令：Get：從遠(yuǎn)端傳送文件至本地主機(jī)Open ip 翻開FTPDir 顯示服務(wù)端那些文件可以下載！dir 顯示客戶端目錄文件Put上傳文件List：請(qǐng)求遠(yuǎn)端返回當(dāng)前

6、目錄下的目錄和文件Lcd：改變當(dāng)前本地主機(jī)的工作目錄Bye 推出DHCP服務(wù)過程：工作在UDP根基上應(yīng)用層協(xié)議，采用客戶機(jī)/服務(wù)器模式，服務(wù)器使用UDP端口67，客戶端使用UDP端口68向網(wǎng)絡(luò)中播送DHCPdiscover數(shù)據(jù)包數(shù)據(jù)報(bào)中附加來源地址，目的地址55客戶機(jī)服務(wù)器服務(wù)器收到DHCPdiscover數(shù)據(jù)包通過播送DHCPoffer數(shù)據(jù)包作出響應(yīng)，包含IP，mac，租約期等 服務(wù)器收到DHCPrequest數(shù)據(jù)包后，便向客戶機(jī)提供包含IP地址及其它設(shè)置的DHCPpack確實(shí)認(rèn)信息。租約期默認(rèn)為8天選擇第一個(gè)收到DHCPoffer包作出響應(yīng)，發(fā)送DHCPrequest播送包，告訴所有DHC

7、P,它將采用哪個(gè)服務(wù)器的IP地址。同時(shí)客戶機(jī)還發(fā)送ARP數(shù)據(jù)報(bào)，查詢網(wǎng)絡(luò)中是否有該IP地址，如果該IP被占用將會(huì)發(fā)出DHCPdecline數(shù)據(jù)報(bào)給服務(wù)器，拒絕其DHCPoffer，并重新發(fā)送DHCPdiscover當(dāng)租約期過一半時(shí)50%重新向服務(wù)器發(fā)送DHCPrequest數(shù)據(jù)包，以便繼續(xù)租用原來IP，如果租約成功，更新租約，否那么繼續(xù)使用原來IP。當(dāng)租約過一半沒有租約成功，那么在剩下的租約期限再過一半87.5%時(shí)，發(fā)出DHCPdiscover播送包，向其它服務(wù)器獲取新的租約。DHCP是BOOTP協(xié)議的擴(kuò)展 協(xié)議提供的主要操作：Get：讀取一個(gè)網(wǎng)頁Head：讀取頭部信息Post：把消息加載到指

8、定的網(wǎng)頁上NAT把內(nèi)部私有地址轉(zhuǎn)換成為外部全局地址，主要分為靜態(tài)NAT、動(dòng)態(tài)NAT和端口復(fù)用NAPT2.9網(wǎng)關(guān)協(xié)議自治系統(tǒng)內(nèi)部網(wǎng)關(guān)之間交換路由信息執(zhí)行內(nèi)部網(wǎng)關(guān)協(xié)議IGP；不同的自治系統(tǒng)之間交換路由信息執(zhí)行外部網(wǎng)關(guān)協(xié)議EGP外部網(wǎng)關(guān)協(xié)議最新的外部網(wǎng)關(guān)協(xié)議EGP叫做邊界網(wǎng)關(guān)協(xié)議BGP。BGP特點(diǎn)BGP報(bào)文通過TCP連接傳送端口179。BGP屬于距離矢量路由算法協(xié)議采用增量更新，觸發(fā)更新周期性的發(fā)送Keepalive信息驗(yàn)證TCP連接支持路由匯總CIDR技術(shù)BGP三張表：鄰居表、BGP轉(zhuǎn)發(fā)表、路由表BGP具體有四種報(bào)文：Open報(bào)文：用于建設(shè)鄰居關(guān)系Update報(bào)文：用于發(fā)送新的路由信息Keepal

9、ive報(bào)文：用于對(duì)open的應(yīng)答和周期性確實(shí)認(rèn)鄰居關(guān)系通告報(bào)文：用于報(bào)告檢測(cè)到的錯(cuò)誤 基本配置命令：Router bgp 64512(自治系統(tǒng)號(hào))Neighbor ip-address|peer-group-name remote-as autonomous-systemNetwork network-number mask network-mask例：Router bgp 65102Neighbor remote-as 65101Network mask RIP原理與配置命令rip基于Bellman-Ford算法RIP屬于距離矢量算法的路由選擇協(xié)議，通過播送方式周期性30s的通告路由表，其最

10、大跳步數(shù)為15跳。RIP有兩個(gè)版本分別為RIPv1和RIPv2。區(qū)別在：1RIPv1不支持可變長(zhǎng)度子網(wǎng)掩碼VLSM，而RIPv2支持VLSM；2RIPv2支持明文和MD5密文認(rèn)證；3RIPv1采用播送方式更新路由，而RIPv2采用組播方式更新路由，組播地址；4RIPv2采用觸發(fā)更新方式來加速路由收斂。5RIPv2采用水平分割方法來消除路由循環(huán)，即，一條路由信息不會(huì)發(fā)給該信息的來源方。6RIPv2支持路由匯總CIDR1、最大度量值，最大跳步數(shù)為15，當(dāng)為16時(shí)，認(rèn)為網(wǎng)絡(luò)不可達(dá)，丟棄數(shù)據(jù)包。2、水平分割來防止路由環(huán)路，即，一條路由信息不會(huì)發(fā)給該信息的來源方。3、路由中毒。標(biāo)記該路由為無窮大，中毒路

11、由被發(fā)給鄰居路由器，通知該路由失效。4、反向下毒。當(dāng)鄰居路由器被成功下毒后，鄰居路由器會(huì)向毒源方向下毒。5、保持時(shí)間，讓路由器保持down狀態(tài)一段時(shí)間，直到所有路由器均學(xué)習(xí)到該路由的狀態(tài)，同時(shí)在保持時(shí)間為超時(shí)是，不再接收鄰居路由器發(fā)來關(guān)于該路由的更新信息 基本配置命令Router rip /啟用RIP路由進(jìn)程Version 2 /聲明RIP版本為第二版Network /發(fā)布直連網(wǎng)段，可以寫上掩碼，不寫RIP會(huì)根據(jù)接口IP自動(dòng)判斷OSPF原理與配置命令ospf基于Dijkstra算法OSPF開放式最短路徑優(yōu)先協(xié)議，是一種鏈路狀態(tài)路由協(xié)議。OSPF主要優(yōu)點(diǎn)1OSPF沒有跳數(shù)限制。2OSPF支持VL

12、SM和CIDR3OSPF采用觸發(fā)更新，收斂速度快三張表：鄰居表 拓?fù)浔?路由表OSPF網(wǎng)絡(luò)一般劃分為兩個(gè)邏輯的級(jí)別層次：骨干區(qū)域一般記為area0，非骨干區(qū)域運(yùn)行OSPF的路由器通過鄰接的路由器發(fā)送hello報(bào)文，來發(fā)現(xiàn)鄰居路由器，路由器核實(shí)hello報(bào)文后，宣布鄰居關(guān)系。DR指定路由器，擔(dān)任LSA信息集中點(diǎn)BDR備份指定路由器。LSA信息第二集中點(diǎn)，通過計(jì)時(shí)器監(jiān)視DR的更新活動(dòng)。DR與BDR選舉路由器優(yōu)先級(jí)默認(rèn)為1高的為DR，優(yōu)先級(jí)一樣那么為router ID大的為DR,一般router ID為最大的IP地址，如果有回環(huán)口，那么回環(huán)口IP優(yōu)先為ID。優(yōu)先級(jí)為0不參加選舉，優(yōu)先級(jí)影響一個(gè)選區(qū)進(jìn)

13、程，但不強(qiáng)制更新已生效的DR和BDR路由器。Hello報(bào)文采用組播方式發(fā)送，地址為，其大小為50字節(jié)。LSA，鏈路狀態(tài)通告，LSU，鏈路狀態(tài)更新包。在OSPF網(wǎng)絡(luò)中，路由器定時(shí)發(fā)出Hello分組與特定的鄰居進(jìn)展聯(lián)系，默認(rèn)情況下40s沒收到該分組就認(rèn)為對(duì)方不存在了。OSPF協(xié)議支持4種網(wǎng)絡(luò)類型，分別是播送多址、非播送多路訪問、點(diǎn)對(duì)點(diǎn)、點(diǎn)對(duì)多。其中播送多址網(wǎng)絡(luò)包括Ethernet和FDDI；非播送多路訪問包括Frame Relay、幀中繼、X.25和ATM；點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)包括PPP、HDLC和Lapb。 基本配置命令Router ospf process-id /啟動(dòng)ospf進(jìn)程N(yùn)etwork add

14、ress 反掩碼 area area-idip ospf priority 10 /范圍為0-255ip ospf cost 200 /范圍1-65535例：Router ospf 50Network 55 area 0 /發(fā)布的直連網(wǎng)段Network area 0 /發(fā)布的時(shí)直連IP地址，此時(shí)反掩碼應(yīng)寫為IGRP原理與配置命令I(lǐng)GRP是距離矢量路由協(xié)議，由cisco公司設(shè)計(jì)，每90s發(fā)送一次路由更新播送，如果270s沒有收到路由更新，那么認(rèn)為路由不可訪問，630s后去除該路由。IGRP采用帶寬、延遲、可靠性和負(fù)載作為度量標(biāo)準(zhǔn)，量度最小的做最正確路徑，不支持VLSM和不連續(xù)子網(wǎng)。 基本配置命令

15、Router igrp 109 /109自治系統(tǒng)號(hào)Network network-number /發(fā)布直連網(wǎng)段Bandwidth 帶寬單位為KbpsClock rate 時(shí)鐘EIGRP是cisco在IGRP根基上的一種新的改良型協(xié)議，其度量值有：帶寬、延遲、可靠性、負(fù)載、最大傳輸單元。支持VLSM和CIDREIGRP 基本配置命令Router eigrp 109 /109自治系統(tǒng)號(hào)Network network-number /發(fā)布直連網(wǎng)段，網(wǎng)段是子網(wǎng)時(shí)帶反掩碼No auto-summary /處理不連續(xù)子網(wǎng)時(shí)關(guān)閉匯總常見路由協(xié)議管理距離RIP管理距離120，IGRP管理距離100，EIGRP

16、管理距離90，OSPF管理距離為110，直連網(wǎng)段管理距離為0第五章 路由器與交換配置路由器 基本配置命令Route /用戶模式enable /進(jìn)入特權(quán)模式config terminal /進(jìn)去全局配置模式hostname route1/設(shè)置路由器的名稱為route1enable secret 123 /設(shè)置enable加密口令為123以密文顯示，權(quán)限高enable password 123 /設(shè)置enable口令以明文顯示，兩者同時(shí)配置，前者生效no ip domain-lookup /取消域名解析ip classless /開啟IP無類別策略。目的是告訴路由器，當(dāng)收到無法轉(zhuǎn)發(fā)的數(shù)據(jù)包時(shí)將其傳

17、遞給默認(rèn)路由，而不是簡(jiǎn)單的丟棄，與默認(rèn)路由一起使用。ip subnet-zero /支持零子網(wǎng)line console 0 /進(jìn)入控制臺(tái)線路配置模式(超級(jí)終端)password 123 /設(shè)置console登錄密碼為123exec-timeout 30 30 /設(shè)置路由器超時(shí)時(shí)間為30分鐘，30秒后自動(dòng)彈出到用戶模式，設(shè)置為0 0 那么永遠(yuǎn)不超時(shí)。Login /要求登錄時(shí)輸入口令line vty 0 4 /進(jìn)入虛擬終端線路配置模式telnetexec-timeout 30 30/設(shè)置路由器超時(shí)時(shí)間為30分鐘，30秒后自動(dòng)彈出到用戶模式，設(shè)置為0 0 那么永遠(yuǎn)不超時(shí)。后一個(gè)30的單位是秒。pas

18、sword 123 /設(shè)置VTY登錄密碼為123login /要求登錄時(shí)輸入口令exit /退出當(dāng)前模式copy running-config startup-config /將更改保存到nvramservice password-encryption /對(duì)所有密碼加密interface fa0/0 /進(jìn)入fa0/0接口配置模式ip address /設(shè)置接口IP地址no shutdown /激活接口interface s0 /進(jìn)入s0接口ip address clock rate 9600 /設(shè)置時(shí)鐘頻率no shutdownexitip routing /允許路由配置。沒有該語句將導(dǎo)致配置

19、的路由無效。No ip routing /禁用路由配置ip route 目標(biāo)網(wǎng)段子網(wǎng)掩碼下一跳入口IP地址 /靜態(tài)路由ip route 下一跳入口IP地址 /默認(rèn)路由exitend /退出到特權(quán)模式與ctrl+z一樣show ip route /查看路由表show interface fa0/0 /查看fa0/0接口信息show ip protocol /查看路由協(xié)議show ip interface brief /查看端口簡(jiǎn)要信息IPV6配置Config terminalHostname R1Ipv6 unicast-routing /開啟ipv6單播路由Interface f0/0Ipv6

20、 address 2005:CCCC:1/64No shutdownExitInterface serial0/2/0Ipv6 address 2007:CCCC:1/64Clock rate 128000ExitIpv6 route 2004:CCCC:/64 serial0/2/0IPV6 GRE隧道配置Interface tunnel 0 /啟用通道0Tunnel source s1/0 /通道源地址為s1/0，本端路由器接口Tunnel destinaltion /通道目的地址，對(duì)端路由器地址Ipv6 address 2005:AAAA:1/64 /為通道配置ipv6地址Tunnel

21、mode gre ipv6 /通道模式為ipv6的gre隧道Ipv6 rip test enable /在路由器通道0上啟用rip，并命名為testInterface f0/0Ipv6 rip test enable /在路由器f0/0上啟用rip，并命名為testIPV6 NET-PT(靜態(tài))Config terminalInterface e0Ip address Ipv6 nat /在接口上啟用nat-PInterface e1Ipv6 address 2001:aaaa:1/64Ipv6 natExitIpv6 nat prefix 2001:aaaa:0:0:0:1:/96/說明在i

22、pv6域內(nèi)使用的ipv6前綴Ipv6 nat v4v6 source 2001:aaaa:2 00 /將源ipv6地址輸出的ipv6數(shù)據(jù)包轉(zhuǎn)成ipv4數(shù)據(jù)包Ipv6 nat v4v6 source 2001:aaaa:0:0:0:1:8 /將源ipv4地址輸出的ipv4數(shù)據(jù)包轉(zhuǎn)成ipv6數(shù)據(jù)包IPV6 NET-PT(動(dòng)態(tài))Config terminalInterface e0Ip address Ipv6 nat /在接口上啟用nat-PInterface e1Ipv6 address 2001:aaaa:1/64Ipv6 natExitIpv6 nat prefix 2001:aaaa:0:

23、0:0:1:/96 /說明在ipv6域內(nèi)使用的ipv6前綴Ipv6 nat v6v4 pool ipv4-pool 0 0 prefix-length 24 /指定名為ipv4-pool的ipv4地址池Ipv6 nat v6v4 source list ipv6 pool ipv4-pool /配置NAT-PT映射RIP配置Router rip /啟動(dòng)rip協(xié)議Version 2 /設(shè)置rip版本為第2版Network /發(fā)布直連網(wǎng)段No auto-sumary /取消路由協(xié)議自動(dòng)匯總ip split-horizon /配置水平分割Exitinterface fa0/0 /進(jìn)入接口配置模式ip

24、 rip send version 1 2 /該接口發(fā)送ver1和ver2報(bào)文ip rip receive version 1 2 /該接口接收ver1和ver2報(bào)文IGRP配置Interface fa0/0Ip address No keepalive /不監(jiān)測(cè)keepalive信號(hào)，即不連接設(shè)備時(shí)可激活該接口ExitInterface serial 0Ip address Bandwidth 1544 /設(shè)置帶寬為1.544MbpsClock rate 512000ExitRouter igrp 100Network Network EIGRP配置Router eigrp 100 /啟動(dòng)e

25、igrp協(xié)議進(jìn)程，100為自治系統(tǒng)號(hào)Network /發(fā)布直連網(wǎng)段Network /此處地址為子網(wǎng)地址，需寫出反掩碼Network 2 No auto-sumary /取消路由協(xié)議自動(dòng)匯總Ospf配置Router ospf 1 /啟動(dòng)ospf協(xié)議進(jìn)程，1為進(jìn)程號(hào)Network 55 area 0 /發(fā)布直連網(wǎng)段Network area 0 /發(fā)布的網(wǎng)絡(luò)為端口地址時(shí)，反掩碼為Show ip ospf /查看ospf信息Frame-relay配置Interface s0 /進(jìn)入s0接口配置模式Encapsulation frame-relay /對(duì)串口s0進(jìn)展frame-relay封裝frame-

26、relay lmi-type ansi /設(shè)置幀中繼的lmi類型Interface s0.1 point-to-point /進(jìn)入子接口配置模式Ip address Frame-relay interface-dlci 100 /設(shè)置dlci編號(hào)為100Frame-relay map ip 100 broadcast /設(shè)置ip地址與幀中繼DLCI之間的映射，并允許播送另外一種配置NAT配置目的地址源地址靜態(tài)natConfig terminalip nat inside source static /手動(dòng)定義轉(zhuǎn)換映射關(guān)系ip nat inside source static ip nat in

27、side source static ip address ip nat inside /定義內(nèi)部接口interface fa0/2ip address 54 ip nat outside /定義外部接口動(dòng)態(tài)natConfig terminalIp nat poolcisco 54 netmask /定義目的地址范圍access-list 1 permit 55 /定義訪問控制列表ip nat inside source list 1 pool cisco /啟用nat，私有地址來源于list1，使用pool名為cisco地址池內(nèi)的公網(wǎng)ip進(jìn)展轉(zhuǎn)換interface fa0/1ip addre

28、ss ip nat insideinterface fa0/2ip address ip nat outside動(dòng)態(tài)復(fù)用地址轉(zhuǎn)換Config terminalaccess-list 1 permit 55ip nat inside source list 1 interface fa0/2 overload /啟用nat，私有地址來源于list1，使用fa0/2上的公網(wǎng)ip轉(zhuǎn)換，overload使用端口轉(zhuǎn)換ip address ip nat inside /定義內(nèi)部接口interface fa0/2ip address 54 標(biāo)準(zhǔn)訪問控制列表僅檢查源地址，列表號(hào)為1-99；擴(kuò)展訪問控制列表不僅

29、要檢查源地址，也檢查包的目的地址，也可以檢查協(xié)議類型、端口號(hào)和其它參數(shù)ip nat outside /定義外部接口訪問控制列表ACL1允許網(wǎng)絡(luò)地址通過，但拒絕通過Config terminalAccess-list 1 deny host Access-list 1 permit 55Interface fa0/1Ip access-group 1 out(2)制止主機(jī)A遠(yuǎn)程登錄路由器BAccess-list number permit|deny protocol source destinationConfig terminalAccess-list 110 deny tcp host ho

30、st eq telnetAccess-list 110 permit ip any anyInterface fa0/1Ip access-group 110 out(3)允許主機(jī)A遠(yuǎn)程登錄路由器BConfig terminalAccess-list 110 permit tcp host host eq telnetInterface fa0/1Ip access-group 110 out交換機(jī) 基本配置命令Switch /用戶模式enable /進(jìn)入特權(quán)模式config terminal /進(jìn)入全局配置模式hostname sw1/設(shè)置交換機(jī)的名稱為sw1enable secret 12

31、3 /設(shè)置使能密碼以密文顯示，權(quán)限高enable password 123 /設(shè)置使能口令以明文顯示，與使能密碼同時(shí)使用時(shí)，使能密碼有效no ip domain-lookup /取消域名解析line console 0 /進(jìn)入控制臺(tái)線路配置模式(超級(jí)終端)password 123 /設(shè)置console登錄密碼為123exec-timeout 30 30 /設(shè)置路由器超時(shí)時(shí)間為30分鐘，30秒后自動(dòng)彈出到用戶模式，設(shè)置為0 0 那么永遠(yuǎn)不超時(shí)。Login /要求登錄時(shí)輸入口令line vty 0 4 /進(jìn)入虛擬終端線路配置模式telnetexec-timeout 30 30/設(shè)置路由器超時(shí)時(shí)間為

32、30分鐘，30秒后自動(dòng)彈出到用戶模式，設(shè)置為0 0 那么永遠(yuǎn)不超時(shí)。后一個(gè)30的單位是秒。password 123 /設(shè)置VTY登錄密碼為123login /要求登錄時(shí)輸入口令exitinterface vlan1 /進(jìn)入vlan1配置模式ipaddress /ip地址為no shutdown /啟用該接口exitip default-gateway 54 /設(shè)置默認(rèn)網(wǎng)關(guān)為54ip name-server /設(shè)置域名服務(wù)器ip domain-name wqs /設(shè)置域名interface fa0/1speed 100 /設(shè)置帶寬為100Mbps bandwidth 單位為Kbpsduplex

33、full /設(shè)置為全雙工模式VTP配置Vlan database / 進(jìn)入vlan配置模式Vtp version 2 /啟用版本2的vtpVtp domain 305 /設(shè)置域名為305Vtp domain server/client/transparent /設(shè)置交換機(jī)為服務(wù)器模式客戶模式或者透明模式Vtp password 123 /配置vtp口令Vtp pruning /啟動(dòng)VTP修剪功能Vlan 1 name aa /創(chuàng)立VLAN1名為aaVlan 2 name bb /創(chuàng)立VLAN2名為bbVlan 3 name cc /創(chuàng)立VLAN3名為ccExitShow vtp status

34、/查看VTP配置信息生成樹協(xié)議STPCongfig terminalSpanning-tree vlan 2 root primary/配置為根交換機(jī)Spanning-tree vlan 2 root secondary /設(shè)置為從根交換機(jī)Spanning-tree vlan2 priority 4096 /修改交換機(jī)優(yōu)先級(jí)。數(shù)值為4096的倍數(shù)，值越小，優(yōu)先級(jí)越高。Interface fa0/1Spanning-tree vlan 2 port-priority 10 /端口優(yōu)先級(jí)為10，默認(rèn)值是128，取值范圍是0-255Spanning-tree vlan 2 cost 30 /設(shè)置vl

35、an2生成樹路權(quán)值為30Spanning-tree port-fast /設(shè)置端口為快速端口1創(chuàng)立VLAN1和VLAN2并將1-8口分配給VLAN1，9-23口分給VLAN2，將24口設(shè)置為干道Enable /進(jìn)入特權(quán)模式vlan database /進(jìn)入VLAN配置模式Vlan 3 name shichang /建設(shè)VLAN3并命名為shichangVlan 4 name yingxiao /建設(shè)VLAN4并命名為yingxiaoexitConfig terminal /進(jìn)入配置模式Interface range fa0/1-8 /進(jìn)入組配置模式Switchport mode access

36、/設(shè)置這組接口為接入模式Switchport access vlan 3 /將組接口分配給VLAN3下的接口Interface range fa0/9-23Switchport mode accessSwitchport access vlan 4Interface fa0/24 /進(jìn)入接口配置模式Switchport mode trunk /設(shè)置24口為中繼模式Switchport trunk encapsulation dot1q /設(shè)置trunk封裝switchport trunk allowed vlan all /設(shè)置允許從該接口交換數(shù)據(jù)vlanEndShow vlan /查看vla

37、n信息注：交換機(jī)支持的封裝協(xié)議有dot1q和ISL兩種。ISL最多支持1024個(gè)vlan；而dot1q支持4096個(gè)vlan，其中兩個(gè)保存，因此可用4094個(gè)2兩臺(tái)交換機(jī)，劃分VLAN1和VLAN2，交換機(jī)A為服務(wù)器模式，交換機(jī)B為客戶模式。24口為干道模式交換機(jī)A:enableVlan databaseVtp domain 305 /設(shè)置域名為Vtp mode server /設(shè)置本交換機(jī)為服務(wù)器模式Vlan 1 name aa /建設(shè)VLAN1并命名為aaVlan 2 name bb /建設(shè)VLAN2并命名為bbexitConfig terminalInterface range fa0/

38、1-8Switchport mode accessSwitchport access vlan 1Interface range fa0/9-23Switchport mode accessSwitchport access vlan 2Interface fa0/24Switchport mode trunkSwitchport trunk encapsulation dot1q /設(shè)置trunk封裝switchport trunk allowed vlan all /設(shè)置允許從該接口交換數(shù)據(jù)vlan交換機(jī)B:EnableVlan databaseVtp domain 305Vtp mode

39、 client /設(shè)置本交換機(jī)為客戶模式exitConfig terminalInterface range fa0/1-8Switchport mode accessSwitchport access vlan 1Interface range fa0/9-23Switchport mode accessSwitchport access vlan 2Interface fa0/24Switchport mode trunkSwitchport trunk encapsulation dot1q /設(shè)置trunk封裝switchport trunk allowed vlan all /設(shè)置允

40、許從該接口交換數(shù)據(jù)vlan3VLAN間路由交換機(jī):enablevlan databasevlan 10vlan 20exitconfig terminalinterface E0/1swichport mode accessswitchport access vlan 10no shutdowninterface E0/2switchport mode accessswitchport access vlan 20no shutdowninterface E0/3switchport mode trunkswitchport trunk encapsulation dot1qswitchpor

41、t trunk allowed vlan all /設(shè)置允許從該接口交換數(shù)據(jù)vlanno shutdown路由器config terminalinterface e0/0.1/進(jìn)入子接口配置模式encapsulation dot1q 10/設(shè)置封裝模式ip address interface e0/0.2encapsulation dot1q 20ip address exitinterface e0/0duplex fullno shutdown4stp配置交換機(jī)A的fa0/0對(duì)應(yīng)trunk1，其vlan1-3path cost18，vlan4-5path cost30；fa0/1對(duì)應(yīng)tru

42、nk2，其vlan1-3path cost30，vlan4-5path cost18。交換機(jī)A：Config terminalInterface fa0/0switchport mode trunkswitchport trunk encapsulation dot1qswitchport trunk allowed vlan allSpanning-tree vlan 3 cost 18Spanning-tree vlan 2 cost 18Spanning-tree vlan 1 cost 18Spanning-tree vlan 4 cost 30Spanning-tree vlan 5

43、 cost 30exitInterface fa0/1switchport mode trunkswitchport trunk encapsulation dot1qswitchport trunk allowed vlan allSpanning-tree vlan 1 cost 30Spanning-tree vlan 2 cost 30Spanning-tree vlan 3 cost 30Spanning-tree vlan 4 cost 18Spanning-tree vlan 5 cost 18VPN配置以R1為例Config terminalCypto isakmp enabl

44、e /啟用ikeCypto isakmp policy 1 /配置IKE策略，1為策略號(hào)，自定義Group 1 /1的參數(shù)密鑰長(zhǎng)度為768位，2的參數(shù)密鑰長(zhǎng)度為1024位,默認(rèn)為DES算法Authentication pre-share /采用預(yù)先共享密碼認(rèn)證方式Lifetime 86400 /調(diào)整SA周期，單位是秒Cypto isakmp key 123456 address /設(shè)置對(duì)等體的共享密鑰為123456。為對(duì)端路由器地址，根據(jù)實(shí)際修改Cypto ipsec transform-set test ah-md5-hmac esp-des /設(shè)置名為test的交換集，ah的散列算法為md

45、5，esp加密算法為desCypto map tt 10 ipsec-isakmp /設(shè)置加密圖，名稱為tt，序號(hào)為10，使用IKE來建設(shè)IPSEC安全關(guān)聯(lián)，以保護(hù)由該加密圖所指定的數(shù)據(jù)流Set peer /標(biāo)識(shí)對(duì)方路由器的合法ip地址Set transform-set test /將加密圖用于交換集Access-list 130 permit host host match address 130 /設(shè)置匹配130的訪問列表interface tunnel 0 /定義隧道接口ip address /定義隧道接口IPno ip directed-broadcast tunnel source

46、/定義隧道接口源地址tunnel destination /定義隧道借口目的地址cryto map tt /將加密圖應(yīng)用于此端口interface s0ip address 52no ip directed-broadcastcryto map tt /將加密圖應(yīng)用于此端口Interface e0/1Ip address no ip directed-broadcastInterface e0/2Ip address no ip directed-broadcastip classlessip route ip route /設(shè)置內(nèi)網(wǎng)靜態(tài)路由PIX防火墻的配置Config terminalNa

47、meif eth0 outside security 0 /外部接口命名并定義安全級(jí)別Nameif eth1 inside security 100Nameif dmz security 50Interface eth0 auto /設(shè)置eth0為自適應(yīng)網(wǎng)卡類型Interface eth1 100full /設(shè)置eth1為100M全雙工Interface eth1 100full shutdown /關(guān)掉此接口ip address outside 2 48 /配置外網(wǎng)地址ip address inside /配置內(nèi)網(wǎng)地址nat (inside) 1 0 0 /啟用nat，內(nèi)網(wǎng)所有主機(jī)訪問外網(wǎng)n

48、at (inside) 1 /網(wǎng)段可以訪問外網(wǎng)global (outside) 1 2-8 /使用網(wǎng)段2-8為內(nèi)網(wǎng)提供IP地址global (outside) 1 2 /訪問外網(wǎng)時(shí)，所有主機(jī)統(tǒng)一使用2地址global (outside) number ipaddress-ipaddress netmask mask Static(inside,outside) outside-ipaddress inside-ipaddressStatic (inside,outside) 2 /創(chuàng)立內(nèi)網(wǎng)地址與外網(wǎng)地址2之間的映射Static(dmz,outside) /創(chuàng)立dmz地址與外網(wǎng)地址之間的映射Co

49、nduit Permit|deny global_ip port protocol foreign_ipConduit permit tcp host eq www any /允許任何外部對(duì)全局地址主機(jī)進(jìn)展 訪問主機(jī)提供 服務(wù)Conduit deny tcp any eq ftp host 9 /制止外部主機(jī)9訪問內(nèi)部ftpConduit permit icmp any any /允許icmp消息通過 Fixup protocol ftp 21 /啟用ftp協(xié)議并指定端口為21Fixup protocol 80Fixup protocol 8080 /指定 協(xié)議運(yùn)行的端口為80和8080No

50、fixup protocol smtp 80 /禁用smtp協(xié)議Route(inside|outside) 0 0 gateway-ip number /number表示gateway跳數(shù)，通常為1，Route outside 0 0 68 1 /指向邊界路由器68的默認(rèn)路由Route inside 1 /創(chuàng)立一條從網(wǎng)絡(luò)到的靜態(tài)路由ISDN配置Config terminalIsdn switch-type basic-net3 /設(shè)置iSDN交換類型Interface bri0 /進(jìn)入BIR接口配置模式Ip address Encapsulation ppp /封裝協(xié)議為PPPDialer s

51、tring 888888 /設(shè)置撥號(hào)串,R2(對(duì)端路由器)的ISDN號(hào)碼Dialer-group 1 /設(shè)置撥號(hào)組號(hào)1，把bri 0接口與撥號(hào)列表1相關(guān)聯(lián)No shutdownExitDialer-list 1 protocol ip permit /設(shè)置撥號(hào)列表1Ppp anthentication chap /設(shè)置認(rèn)證方式Dialer map ip name R2 broadcast 888888 /設(shè)置協(xié)議地址與 號(hào)碼的映射對(duì)端IP和ISDN號(hào)Ppp multilink /啟用多多鏈路Dialer load-threshold 128 /設(shè)置啟用另一個(gè)B通道的閥值Clock rate s

52、peed /設(shè)置DCE端的線速度策略路由配置希望局部IP走A線路，另一局部走B線路Config terminal=第一步創(chuàng)立匹配源列表=Access-list 1 permit 55 /匹配地址列表Access-list 2 permit 55=第二步配置Route-map=Route-map test permit 10 /創(chuàng)立路由映射規(guī)那么Match ip address 1 /匹配列表1Set ip next-hop /執(zhí)行動(dòng)作是送往ExitRoute-map test permit 20Match ip address 2 /匹配列表2Set ip next-hop /執(zhí)行動(dòng)作是送往E

53、xit=第三步在接口上應(yīng)用Route-map=Interface f0/0Ip address Ip policy route-map test第六章 網(wǎng)絡(luò)安全一、網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全威脅的主要種類：竊聽、假冒、重放、流量分析、拒絕服務(wù)、數(shù)據(jù)完整性破壞、非授權(quán)訪問、陷門和木馬、病毒和誹謗。網(wǎng)絡(luò)攻擊的手段：被動(dòng)攻擊、主動(dòng)攻擊、物理臨近攻擊、內(nèi)部人員攻擊和分發(fā)攻擊。網(wǎng)絡(luò)安全措施：數(shù)據(jù)加密、數(shù)字簽名、身份認(rèn)證、防火墻和入侵檢測(cè)。1.1數(shù)據(jù)加密 基本思想：通過變換信息的表現(xiàn)形式來偽裝需要保護(hù)的敏感信息，非授權(quán)者不能了解被加密的內(nèi)容。明文：需要隱藏的信息密文：產(chǎn)生的結(jié)果密碼算法：加密時(shí)使用的變換規(guī)那么信

54、息安全的核心是密碼技術(shù)，密碼技術(shù)的目的是研究數(shù)據(jù)保密一個(gè)加密系統(tǒng)采用的 基本工作方式成為密碼體制，密碼體制的 基本要素是密碼算法和密鑰，其中密碼算法分為加密算法和解密算法，密鑰分為加密密鑰和解密密鑰。1.1.1密碼體制分為對(duì)稱密碼體制和非對(duì)稱密碼體制。對(duì)稱密碼體制：加密密鑰和解密密鑰一樣，或者從一個(gè)可以導(dǎo)出另一個(gè)，擁有加密能力就擁有解密能力。對(duì)稱密碼體制的保密強(qiáng)度高，開放性差，需要可靠的密鑰傳遞渠道。要求發(fā)送和接收數(shù)據(jù)的雙方使用一樣的對(duì)稱密鑰對(duì)明文進(jìn)展加密和解密運(yùn)算。常用算法有：DES，IDEA，TDEA,AES,RC2,RC4,RC5。DES：屬于對(duì)稱密碼體制，將分組為64位的明文加密稱64

55、為密文。其密鑰長(zhǎng)度為56位附加8為奇偶校驗(yàn)。加密過程執(zhí)行16個(gè)加密循環(huán)。三重DES：使用兩個(gè)密鑰，執(zhí)行三次DES算法，在第一和第三層使用一樣的密鑰，其主密鑰長(zhǎng)度為112位。IDEA：屬于對(duì)稱密碼體制，將分組為64位的明文加密成64為密文。使用128位密鑰，加密過程執(zhí)行17個(gè)加密循環(huán)。AES支持128、192和256位三種密鑰長(zhǎng)度。非對(duì)稱密碼體制：又稱公開密鑰，加密和解密是分開的，即，加密密鑰公開，解密密鑰不公開，從一個(gè)區(qū)推導(dǎo)另一個(gè)是不可行的。非對(duì)稱密碼體制適用于開放的使用環(huán)境，密鑰管理簡(jiǎn)單，但工作效率低于對(duì)稱密碼體制，常用于實(shí)現(xiàn)數(shù)字簽名與驗(yàn)證。RSA算法：非對(duì)稱密碼體制。理論根基是數(shù)論中大素?cái)?shù)

56、分解。加密密鑰公開稱為公鑰，解密密鑰隱藏在個(gè)體中稱為私鑰。私鑰帶有個(gè)人特性，可以解決數(shù)據(jù)的簽名驗(yàn)證問題。公鑰用于加密和認(rèn)證，私鑰用于解密和簽名該算法特點(diǎn)實(shí)現(xiàn)效率低，不適用于長(zhǎng)明文加密，長(zhǎng)與對(duì)稱密碼體制相結(jié)合使用。主要的非對(duì)稱密鑰算法有：RSA和ECC例： 兩個(gè)奇數(shù)p,q,公鑰e，求d解：兩個(gè)數(shù)同余運(yùn)算根據(jù)Euler函數(shù)取小于r的整數(shù)e并且與z沒有公約數(shù)。這里e。找到d滿足能被z整除1.1.2加密的 基本方法：置換和異位置換：改變明文內(nèi)容的表現(xiàn)形式，但內(nèi)容元素的相對(duì)位置不變。異位：改變明文內(nèi)容相對(duì)位置，但表現(xiàn)形式不變。數(shù)據(jù)加密的方式：鏈路加密、節(jié)點(diǎn)到節(jié)點(diǎn)加密、端到端加密鏈路加密：數(shù)據(jù)在信道中是密

57、文，在節(jié)點(diǎn)中呈現(xiàn)明文節(jié)點(diǎn)到節(jié)點(diǎn)加密：解決了節(jié)點(diǎn)中數(shù)據(jù)是明文的缺點(diǎn)。在中間節(jié)點(diǎn)中裝有加密與解密保護(hù)裝置，由其來完成密鑰的變換。端到端加密：數(shù)據(jù)在沒有到達(dá)最終節(jié)點(diǎn)前不被解密，對(duì)于中繼節(jié)點(diǎn)，數(shù)據(jù)是密文。通常使用對(duì)稱密鑰1.2數(shù)字簽名認(rèn)證分為實(shí)體認(rèn)證和消息認(rèn)證，主要是解決網(wǎng)絡(luò)通信過程中通信雙方身份認(rèn)可。實(shí)體認(rèn)證：識(shí)別對(duì)方身份防止假冒，可采用數(shù)字簽名。消息認(rèn)證：驗(yàn)證消息在傳送或存儲(chǔ)過程中有沒有被篡改，可采用報(bào)文摘要。報(bào)文摘要可以為指定的數(shù)據(jù)產(chǎn)生一個(gè)不可仿造的特征，主要的方法有：MD5，SHA和HMAC三種認(rèn)證技術(shù)：基于共享密鑰的認(rèn)證，needham-schroeder認(rèn)證協(xié)議，基于公鑰認(rèn)證1.2.1數(shù)字

58、簽名數(shù)字簽名應(yīng)滿足3點(diǎn)：1接收者能夠核實(shí)發(fā)送者2發(fā)送者事后不可抵賴對(duì)報(bào)文的簽名3接收者不能偽造對(duì)報(bào)文的簽名B的公鑰EBB的私鑰DBA的公鑰EAA的私鑰DAA BP P DA(P) EB(DA(P) DA(P)發(fā)送方A先利用自己的私鑰DA對(duì)消息P進(jìn)展加密，得到DA(P)，以此代表A對(duì)P的簽名。A從CA獲得B的公鑰EB對(duì)密文DA(P)進(jìn)展加密，得到EB(DA(P)，然后將密文傳送給B，接收方B收到密文先用自己的私鑰DB進(jìn)展解密，得到DA(P)，B從CA中獲得A的公鑰EA對(duì)密文DA(P)進(jìn)展解密，得到消息，如果與P一樣，那么認(rèn)為簽名有效，否那么認(rèn)為簽名無效。數(shù)字簽名可以利用DES、公鑰密碼體制來實(shí)現(xiàn)

59、，常用方法是建設(shè)在公鑰密碼體制和MD5或SHA的組合根基上。1.2.2報(bào)文摘要MD5算法以任意長(zhǎng)的報(bào)文作為輸入，輸出產(chǎn)生一個(gè)128位報(bào)文。SHA全稱為安全散列算法，該算法建設(shè)在MD5根基上，輸入報(bào)文小于位，產(chǎn)生160位的報(bào)文摘要。HMAC全稱散列式報(bào)文認(rèn)證碼，HMAC-MD5被用于Internet安全協(xié)議IPSEC的驗(yàn)證機(jī)制。密鑰管理：數(shù)字證書：一個(gè)經(jīng)認(rèn)證中心CA數(shù)字簽名的包含公開密鑰擁有者信息和公開密鑰的文件。用戶使用自己的私鑰進(jìn)展解密和簽名，使用公鑰進(jìn)展加密和驗(yàn)證。X509證書標(biāo)準(zhǔn)包括：版本號(hào)、序列號(hào)、簽名算法、發(fā)行者、有效期、主題名、公鑰、發(fā)行者ID、主體ID、擴(kuò)大域和認(rèn)證機(jī)構(gòu)的簽名。P

60、KI包括：證書管理中心CA：負(fù)責(zé)證書的頒發(fā)與管理，是可信任的第三方。簽發(fā)證書注冊(cè)機(jī)構(gòu)RA：幫助遠(yuǎn)離CA的實(shí)體在CA處注冊(cè)證書。申請(qǐng)證書政策審批機(jī)構(gòu)PAA：制定整個(gè)體系構(gòu)造的安全策略和下級(jí)機(jī)構(gòu)的安全策略。1.3計(jì)算機(jī)安全：機(jī)密性：保證信息不被非授權(quán)訪問，數(shù)據(jù)加密完整性：保證信息非法篡改 ，報(bào)文摘要抗否認(rèn)性：保證用戶對(duì)所產(chǎn)生信息否認(rèn)，數(shù)字簽名可用性：保證合法用戶可以隨時(shí)訪問信息資源可審計(jì)性：記錄信息訪問過程中的詳細(xì)操作過程和安全事件?？煽啃裕涸谝?guī)定的環(huán)境和規(guī)定的時(shí)間內(nèi)完成工作的概率網(wǎng)卡承受數(shù)據(jù)狀態(tài)：Unicast：?jiǎn)尾ツＪ紹roadcast：播送模式Muticast：多播模式Promiscuous