軟考網路工程師下午考試知識點整理
設定埠為接入鏈路模式:switchport mode access
把某個埠分配:switchport access vlan11
no shuntdown開啟埠
standby 1 ip 203.12.12.253 開啟了冗餘熱備份(HSRP)並設虛IP地址
standby 1 priority 110 定義這個三層交換機在冗餘熱備份組1中的優先順序為110
standby 1 preempt 設定切換許可,即搶佔模式
優先順序的範圍:1-254
優先順序0為系統保留給特殊用途
優先順序255系統保留給IP地址擁有者
預設情況下 優先順序的取值是100
ISL VLAN ID最大為1023
查詢路由表的命令 show ip route
路由器的配置模式:
router(config) # 全域性模式
router > 使用者模式
router # 特權模式
router (config-if) # 區域性配置模式(介面/埠配置模式)
介面使用幀中繼封裝格式,命令:encapsulation frame-delay
IPSec不是一個單獨的協議,給出了應用於IP層上網路資料安全的一整套體系結構,包括網路認證協議AH,封裝安全載荷協議ESP,金鑰管理協議IKE和用於網路認證及加密的一些演算法。
IPSec規定了如何在對等層之間選擇安全協議,確定安全演算法,金鑰交換,向上提供了訪問控制,資料來源認證,資料加密等網路安全服務
IPsec有隧道和傳輸兩種工作方式
傳輸模式:為上層協議提供安全保護,保護IP包的有效載荷(保護的是上層協議如TCP UDP ICMP)
隧道模式:為整個IP包提供保護。
有新IP頭的是隧道方式
有ESP的支援報文加密
端到端通訊採用傳輸模式
IPSec安全體系
包括AH, ESP,ISAKMP/Oakley
IPSec認證頭提供了資料完整性和資料來源認證,不提供保密服務
AH包含對稱金鑰雜湊函式,使得第三方無法修改傳輸中的資料
AH為IP包提供資訊源和報文完整性驗證,不支援加密服務
IPSec封裝安全負荷(ESP)提供了資料加密功能。ESP利用對稱金鑰對IP資料(如TCP包)進行加密。
IKE:
IKE 傳送認證和加密資料之前,就協議,加密演算法,使用的金鑰進行協商,在金鑰交換前還要對遠端系統進行初始認證
IKE實際上是ISAKMP OAKLEY SKEME的混合體
在路由器R1中簡歷IKE策略:
R1(config)#crypto isakmp policy 110 進入isakmp配置模式
R1(config-isakmp)# encryption des 採用des加密演算法
R1(config-isakmp)#hash md5 採用MD5雜湊演算法
R1(config-isakmp)#authentication pre-share 認證採用預共享金鑰
R1(config-isakmp)#group 1 引數1表示金鑰使用768位金鑰,引數2表示使用1024金鑰
R1(config-isakmp)# lifetime 3600 安全關聯生存期為1天
R2 R1之間採用預共享金鑰 12345678建立IPsec安全關聯
R1:crypt isakmp key 12345678 address+IP地址
R2:crypt isakmp key 12345678 address
設定名為testvpn的VPN,採用MD5認證,DES進行資料加密
crypto transform-set testvpn ah-md5-hmac esp-des esp-md5-hmac
crypto map名為test 優先順序20 IPSec採用IKE自動協商
crypto map test 20 ipsec-isakmp
指定此VPN線路,對端的IP地址為192.168.1.1
set peer 192.168.1.1
IPSec傳輸模式的名字為testvpn
set transform-set testvpn
access-list 300 permit ip 192.168.100.0 0.0.0.255
crypto map vpntest 1 ipsec-isakmp 建立crypto map名字為vpntest
set peer 202.100.2.3
set transform-set link 指定傳輸模式為link
match address 300 指定應用訪問控制列表
interface serial10/0
crypto map vpntest 將加密圖應用到介面vpntest
預設路由是特殊的靜態路由
當路由表中與目的地址之間沒有匹配的表項時路由器能夠做出的選擇
預設路由大大簡化路由器的配置,減輕管理員的工作負擔,提高網路效能
ip nat inside指定與內部網路相連的內部埠
ip nat outside指定與外部網路相連的外部埠
解決無線AP安全,需要通過SSID和MAC地址過濾防止非法連結
無線網路加密方式:
WEP 有線等效私密
WPA/WPA2 (wifi protected access)使用TKIP,加密演算法RC4
WPA-PSK/WPA2-PSK AES(高階加密演算法)
單模多模
單模相容多模
單模光纖:遠端通訊,100M乙太網以及1G千兆網,都支援5km的傳輸距離
多模光纖:10mbps-100mbps 2000m
1Gbps 550m
10Gbps 100m
基帶同軸電纜
寬帶同軸電纜
雙絞線:100m以內
1類雙絞線
5類雙絞線
6類雙絞線:傳輸速率1Mhz-250Mhz 提供兩倍於超5嘞的頻寬,適於傳輸速率高於1Gbps的應用
2km超出了雙絞線,多模光纖距離
200m超出了雙絞線距離
MPLS:IP資料報封裝在MPLS資料包中
MPLS VPN有三種類型路由器:
P路由器:運營商網路主幹路由器,根據分組的外層標籤對VPN資料進行透明轉發。相當於標籤交換路由器(LSR),只維護到PE路由器的路由資訊,不維護VPN相關路由資訊
PE路由器:執行商邊緣路由器,LER,將來自CE或標籤交換路徑(LSP)的VPN資料處理後進行轉發,同時負責和其他PE交換資訊
CE路由器:使用者邊緣裝置,使用者端路由器。CE通過連線一個或多個PE,為使用者提供服務接入
debug:提供埠傳輸資訊,節點產生的錯誤資訊
POE的標準供電電壓為48V
三種NAT-PT機制實現IPV4到IPV6地址之間的相互轉換:
1。靜態對映
2.動態對映
3. NAPT-PT機制
策略路由:
根據目的地址進行的策略:目的地址路由
根據源地址進行的策略:源地址路由
NAPT 網路地址和埠翻譯 M:1
用一個公網IP地址將子網中的所有主機的IP地址都隱藏起來
conduct permit tcp host 202.134.135.99 eq www any
允許任意外網主機訪問202.134.135.99提供的www服務
PAP使用明文身份驗證
CHAP通過使用MD5和質詢-響應機制提供一種加密身份驗證
PPTP和L2TP是兩種隧道協議,都是使用PP協議對資料進行封裝,新增附加包頭用於資料在互連網路上的傳輸
PPP會話撥號過程:
建立鏈路階段,認證階段,網路協商階段
建立鏈路:由LCP建立鏈路,協商工作方式,認證方式,鏈路壓縮。協商成功後,表示底層鏈路已經建立,進入到認證階段。
認證階段:PPP進行使用者認證。支援PAP和CHAP兩種認證方式。CHAP需要對通訊雙方進行認證,PAP是認證方對被認證方的身份進行確認,確認成功後進入網路協商階段
有限的認證方式:口令字認證協議(PAP)挑戰握手認證協議(CHAP)微軟挑戰握手認證協議(MS-CHAP)
網路協商階段:成功後,通過PP鏈路傳送報文。NCP協議交換資料報文、
建立PPP鏈路,使用者驗證,PPP回叫控制,呼叫網路層協議
linux系統的預設目錄
每個目錄的含義 P407
檔案型別 d代表目錄 -代表普通檔案
更改檔案的許可權的命令 chmod
chmod [who] [opt] [mod]
chgrp改變檔案所屬群組
vi編輯檔案
which查詢檔案
Linux系統中的Samba的主要配置檔案/etc/samba/smb.conf
smb.conf檔案中有3個主要部分:
全域性引數欄位
目錄共享欄位
印表機共享欄位
inetd/xinetd是Linux系統中的一個重要服務
xinted負責網路服務的守護程序
r w x 可讀 可寫 可執行
RDU2對終端服務具有使用者訪問和來賓訪問許可權
Windows Server 2003的活動目錄必須安裝在NTFS分割槽,並且需要有DNS服務的支援
全域性組可以訪問域林中的任何資源的許可權,域本地組只能訪問本地域的資源,通用組可以授予多個域中的訪問許可權
netstat - nr顯示路由資訊
route add default gw 192.168.0.254新增閘道器為預設路由
/etc/fstab是一個重要的系統配置檔案,存放系統中檔案系統的資訊。系統啟動時,自動從這個檔案讀取資訊,自動將此檔案中指定的檔案系統掛載到指定的目錄。
超級使用者可以通過Mount命令將分割槽載入到指定目錄,從而該分割槽可以在Linux系統中使用
etc/profile每個使用者登入時都會執行的環境變數設定
fdisk指令是Linux下通用的磁碟分割槽工具,可以操縱磁碟分割槽表,完成對硬碟分割槽進行管理的各種操作
預設路由:
變種的靜態路由,當路由器在路由表裡沒有找到去往特定目標網路的路由條目時,自動將該目標網路的所有資料傳送到預設路由指定的下一跳路由器
esp 3des sha1
IPSec採用ESP報文,加密演算法採用3DES 認證演算法採用SHA-1
Hosts檔案:
用於儲存計算機網路中節點資訊的檔案,將主機名對映到相應的IP地址,實現DNS功能,由計算機使用者控制
windows系統下:c:\windows\system32\drivers\etc\
Linux伺服器配置web服務之前,執行命令[[email protected]] rpm -qa | grep httpd 檢查Apache軟體包是否成功安裝
RPM:red hat package manager
用於在Linux下安裝,刪除軟體
RPM常用引數:
-vh顯示安裝進度
-U升級軟體包
-qpl列出RPM軟體包內的檔案資訊
-qpi列出RPM軟體包的描述資訊
-qf查詢指定檔案屬於哪個RPM檔案包
-Va校驗素有RPM軟體包,查詢丟失的檔案
-qa查詢相應檔案 例如rqm -qa mysql
WEB服務配置完成後,用service httpd start啟動web服務
顯示當前DNS快取:ipconfig/displaydns
重新整理DNS快取:ipconfig/flushdns
更新所有DHCP租約並重新註冊DNS域名:ipconfig/registerdns
Record T也欄位為4,儲存記錄是MX
2,儲存記錄 IP地址對應的域名(反向解析)
12 PTR
perimit tcp host 192.168.1.2 host 10.10.1.10 eq telnet
使得內網主機192.168.1.2可以使用Telnet對web伺服器進行維護
訪問控制列表
可以用編號和名字來引用
用名字引用的ACL被稱為命名ACL
擴充套件訪問列表:能夠基於目的地址,埠號和協議來控制資料報
標準ACL命令格式:
access-list access-list-number {perimit|deny] {source [source-wildcard] |any}
擴充套件ACL格式:
access-list access-list-number {perimit|deny} {protocol \ protocol-keyword} {source [source-wildcard] |any } {protocol-specific options} {destination [destination-wildcard] |any} {protocol-specific options} {log}
e.g. access-list 101 permit tcp any host 192.168.10.30
允許所有主機訪問192.168.10.30
access-list 101 permit tcp 192.168.3.0 0.0.0.255 host 192.168.10.20
允許192.168.3.0訪問192.168.10.20
int vlan 10
ip access-group 101 in 在vlan10的入方向上應用acl 101
access-list 102 deny any any 拒絕所有流量
int vlan 1
ip access-group 102 in 禁止非網路管理員訪問網路裝置和網管伺服器
配置mac和ip繫結:
host pcl {
hardware
fixed-address
}
兩臺web伺服器採用同一域名主要是對web服務實現負載均衡或防止單點失效
測試DNS伺服器是否正常工作;nslookup ping
vsftpd:
應用層FTP協議
傳輸層TCP協議,預設埠號21
service vsftpd start
service vsftpd stop
利用windows系統開啟ICS連線共享功能,實現企業內部使用者代理上網需要兩個網路連線(不一定是兩張網絡卡)。需要再一個網路連線上開啟ICS功能後,另一個網路連線自動分配192.168.0.1的地址,並且作為內部使用者主機的閘道器
windows下DHCP伺服器的預設地址租約是8天
DHCP作用域:新增保留
DHCP地址池:新增排除地址範圍
DHCP功能配置:
ip dhcp excluded-address 192.168.2.1 192.168.2.2
ip dhcp pool_name
network 192.168.0.0 255.255.0.0 為所有客戶機動態分配的地址段
domain-name csai.com 為客戶機配置域字尾
dns-server 192.168.1.1
netbios-name-server 192.168.1.1 為客戶機配置wins伺服器,沒有可以不用配置
lease 10 地址租約期限為10天
default-router 192.168.1.2 為客戶機配置預設的閘道器地址
IIS下web服務配置,網站屬性中“網站”選項卡中的IP地址選擇“全部未分配”,則該web伺服器任意IP地址(如果伺服器有多個IP地址的話)都可以響應來自web客戶端的請求
虛擬主機:
windos下web伺服器實現虛擬主機,在一臺計算機上執行多個網站
不同的IP地址
相同的IP地址,不同的TCP埠號
相同的IP地址,相同的TCP埠號,不同的主機頭
防火牆配置:
PIX(config)#interface ethernet0 anto
interface ethernet1 100full
interface ethernet2 100full
ip address outside ip 掩碼
ip address inside ip 掩碼
ip address dmz ip 掩碼
global (outside) 1 224.4.5.1-224.4.5.6 指定公網地址範圍,定義地址池
nat (inside) 1 0.0.0.0 0.0.0.0 表示內網的所有主機都可以訪問外網
route outside 0 0 224.4.5.2 設定預設路由
配置閘道器地址為Linux伺服器的內網絡卡地址
指定DHCP伺服器本身也是DNS伺服器 P471
客戶機地址租約時間到達預設租約時間的50Z%.DHCP客戶端會向DHCP伺服器單播DHCP request包,實現續約請求。同意DHCP ACK 不同意 DHCP NAK
windows環境下新增/刪除靜態或預設路由命令格式:
route add 0.0.0.0 mask 0.0.0.0 閘道器地址 //新增預設路由
route delete 0.0.0.0 刪除預設路由
route delete 0.0.0.0 mask 0.0.0.0 刪除預設路由
route add 192.168.1.0 mask 255.255.255.0 嚇一跳地址(閘道器地址) //新增靜態路由
route delete 192.168.1.0 //刪除一條靜態路由
windows下DHCP用命令列匯入匯出DHCP資料庫的命令:
匯出:netsh dhcp server export c:\dhcpbackup.txt
匯出:netsh dhcp server import c:\dhcpbackup.txt
必須具有本地管理員組(Administrators組)許可權才能匯出資料
telent埠23
Linux系統目錄結構
/etc 系統配置檔案
/sbin 指令檔案(用於root使用者)
/home 使用者主目錄,新建使用者後,該使用者的原始檔預設建立在此目錄下
/boot 核心和啟動檔案
/dev 裝置檔案
/usr 應用程式放置目錄
/mnt 光碟機
/tmp 臨時檔案
/root root使用者主目錄
/opt 空資料夾
/proc 記憶體中實際引數和核心的映像,此資料夾的檔案不宜改動
/lib 類庫,用於動態載入核心
/lost+found 恢復誤刪除檔案
在linux系統中,每張網絡卡都有其獨有的配置檔案,網絡卡配置檔案根目錄為/etc/sysconfig/network-scripts/
網絡卡引數配置檔案配置完成後,需要重啟網絡卡指令碼,配置內容才能生效
/etc/rc.d/init.d/network restart //指令碼啟動
測試DNS伺服器狀態的命令:ping tracert nslookup
arp:維護和檢視arp記錄,與DNS無關
ipconfig:檢視網絡卡引數,如IP地址,子網掩碼,預設閘道器,DNS伺服器地址等,不能測試DNS服務狀態
網路服務:DNS DHCP WINS服務元件
寬頻接入技術:
FTTx+PON HFC FTTx+LAN WLAN WiMax xDSL PLC
FTTx+PON 局端放置OLT,單根光纖到小區或大樓中心機房,中心機房經光分器連線到使用者端ONU
HFC:基於有線電視網路的接入方式,允許使用者通過有線電視網實現高速接入網際網路。
優點速率較高,接入方式方便,可實現多類視訊服務,高速下載
使用者端要部署CableModem
FTTx+LAN:通過光纖接入到小區節點或者樓道,再由網線連線到各個共享點上的光纖,提供一定區域的高速互聯接入。速率高,抗干擾能力強,缺點是一次性佈線成本高
xDSL:本地環路提供數字服務,ADLS,ADLSMODEM
WiMax:全球微波互聯接入 802.16 50km QOS保障,傳輸速率高,業務豐富
PLC:電力線通訊技術,指利用電力線傳輸資料和媒體訊號的一種通訊方式,電力線載波
PON技術是未來FTTx的主要解決方案。GPON EPON
EPON結合乙太網和PON,實現上下行1.25Gbps