软考网络工程专业技术人员整理笔记

1、 .wd. .wd. .wd.网络工程师笔记目 录 TOC o 1-3 h z u HYPERLINK l _Toc364588694 网络根基 PAGEREF _Toc364588694 h - 3 - HYPERLINK l _Toc364588695 第一章数据通信根基 PAGEREF _Toc364588695 h - 5 - HYPERLINK l _Toc364588696 第二章局域网技术 PAGEREF _Toc364588696 h - 9 - HYPERLINK l _Toc364588697 第三章广域网和接入网技术 PAGEREF _Toc364588697 h - 2

2、8 - HYPERLINK l _Toc364588698 第四章因特网 PAGEREF _Toc364588698 h - 39 - HYPERLINK l _Toc364588699 第五章路由器与交换配置 PAGEREF _Toc364588699 h - 54 - HYPERLINK l _Toc364588700 第六章网络安全 PAGEREF _Toc364588700 h - 75 - HYPERLINK l _Toc364588701 第七章网络管理 PAGEREF _Toc364588701 h - 85 - HYPERLINK l _Toc364588702 第八章计算机根

3、基知识 PAGEREF _Toc364588702 h - 102 -第一章数据通信根基一、 基本概念码元速率：单位时间内通过信道传送的码元个数，如果信道带宽为T秒，那么码元速率。假设无噪声的信道带宽为W，码元携带的信息量n与码元种类N关系为，那么极限数据速率为有噪声的极限数据速率为其中W为带宽，S为信号平均功率，N为噪声平均功率，为信噪比电波在电缆中的传播速度为真空中速率的2/3左右，即20万千米/秒编码：单极性码：只有一个极性，正电平为0，零电平为1；级性码：正电平为0，负电平为1；双极性码：零电平为0，正负电平交替翻转表示1。这种编码不能定时，需要引入时钟归零码：码元中间信号回归到零电平

4、，正电平到零电平转换边为0，负电平到零电平的转换边为1。这种码元自定时不归零码：码元中间信号不归零，1表示电平翻转，0不翻转。双相码：低到高表示0，高到底表示1。这种编码抗干扰性好，实现自同步。曼彻斯特码：低到高表示0，高到底表示1。相反亦可。码元中间电平转换既表示数据，又做定时信号。用于以太网编码，编码效率为50%差分曼彻斯特码：每一位开场处是否有电平翻转，有电平翻转表示0，无电平翻转表示1。中间的电平转换作为定时信号。用于令牌环网，编码效率为50%。ASK、FSK和PSK码元种类为2，比特位为1。DPSK和QPSK码元种类为4，比特位为2。QAM码元种类为16。一路信号进展 FSK 调制时

5、，假设载波频率为 fc , 调制后的信号频率分别为 f1 和 f2 (f1nslookupSet type=ptrip地址将IP地址转换为域名MX：邮件交换CNAME:允许多个域名指向同一台服务器别名SOA：DNS数据库的来源2.8远程登录协议Telnet 端口23用户在本地使用虚拟终端NVT通过TCP连接可以登录到远程的主机或服务器，像使用本地主机一样使用远程资源。其他协议FTP文件传输服务 控制端口21 数据端口20FTP常用命令：Get：从远端传送文件至本地主机Open ip 翻开FTPDir 显示服务端那些文件可以下载！dir 显示客户端目录文件Put上传文件List：请求远端返回当前

6、目录下的目录和文件Lcd：改变当前本地主机的工作目录Bye 推出DHCP服务过程：工作在UDP根基上应用层协议，采用客户机/服务器模式，服务器使用UDP端口67，客户端使用UDP端口68向网络中播送DHCPdiscover数据包数据报中附加来源地址，目的地址55客户机服务器服务器收到DHCPdiscover数据包通过播送DHCPoffer数据包作出响应，包含IP，mac，租约期等 服务器收到DHCPrequest数据包后，便向客户机提供包含IP地址及其它设置的DHCPpack确实认信息。租约期默认为8天选择第一个收到DHCPoffer包作出响应，发送DHCPrequest播送包，告诉所有DHC

7、P,它将采用哪个服务器的IP地址。同时客户机还发送ARP数据报，查询网络中是否有该IP地址，如果该IP被占用将会发出DHCPdecline数据报给服务器，拒绝其DHCPoffer，并重新发送DHCPdiscover当租约期过一半时50%重新向服务器发送DHCPrequest数据包，以便继续租用原来IP，如果租约成功，更新租约，否那么继续使用原来IP。当租约过一半没有租约成功，那么在剩下的租约期限再过一半87.5%时，发出DHCPdiscover播送包，向其它服务器获取新的租约。DHCP是BOOTP协议的扩展 协议提供的主要操作：Get：读取一个网页Head：读取头部信息Post：把消息加载到指

8、定的网页上NAT把内部私有地址转换成为外部全局地址，主要分为静态NAT、动态NAT和端口复用NAPT2.9网关协议自治系统内部网关之间交换路由信息执行内部网关协议IGP；不同的自治系统之间交换路由信息执行外部网关协议EGP外部网关协议最新的外部网关协议EGP叫做边界网关协议BGP。BGP特点BGP报文通过TCP连接传送端口179。BGP属于距离矢量路由算法协议采用增量更新，触发更新周期性的发送Keepalive信息验证TCP连接支持路由汇总CIDR技术BGP三张表：邻居表、BGP转发表、路由表BGP具体有四种报文：Open报文：用于建设邻居关系Update报文：用于发送新的路由信息Keepal

9、ive报文：用于对open的应答和周期性确实认邻居关系通告报文：用于报告检测到的错误 基本配置命令：Router bgp 64512(自治系统号)Neighbor ip-address|peer-group-name remote-as autonomous-systemNetwork network-number mask network-mask例：Router bgp 65102Neighbor remote-as 65101Network mask RIP原理与配置命令rip基于Bellman-Ford算法RIP属于距离矢量算法的路由选择协议，通过播送方式周期性30s的通告路由表，其最

10、大跳步数为15跳。RIP有两个版本分别为RIPv1和RIPv2。区别在：1RIPv1不支持可变长度子网掩码VLSM，而RIPv2支持VLSM；2RIPv2支持明文和MD5密文认证；3RIPv1采用播送方式更新路由，而RIPv2采用组播方式更新路由，组播地址；4RIPv2采用触发更新方式来加速路由收敛。5RIPv2采用水平分割方法来消除路由循环，即，一条路由信息不会发给该信息的来源方。6RIPv2支持路由汇总CIDR1、最大度量值，最大跳步数为15，当为16时，认为网络不可达，丢弃数据包。2、水平分割来防止路由环路，即，一条路由信息不会发给该信息的来源方。3、路由中毒。标记该路由为无穷大，中毒路

11、由被发给邻居路由器，通知该路由失效。4、反向下毒。当邻居路由器被成功下毒后，邻居路由器会向毒源方向下毒。5、保持时间，让路由器保持down状态一段时间，直到所有路由器均学习到该路由的状态，同时在保持时间为超时是，不再接收邻居路由器发来关于该路由的更新信息 基本配置命令Router rip /启用RIP路由进程Version 2 /声明RIP版本为第二版Network /发布直连网段，可以写上掩码，不写RIP会根据接口IP自动判断OSPF原理与配置命令ospf基于Dijkstra算法OSPF开放式最短路径优先协议，是一种链路状态路由协议。OSPF主要优点1OSPF没有跳数限制。2OSPF支持VL

12、SM和CIDR3OSPF采用触发更新，收敛速度快三张表：邻居表 拓扑表 路由表OSPF网络一般划分为两个逻辑的级别层次：骨干区域一般记为area0，非骨干区域运行OSPF的路由器通过邻接的路由器发送hello报文，来发现邻居路由器，路由器核实hello报文后，宣布邻居关系。DR指定路由器，担任LSA信息集中点BDR备份指定路由器。LSA信息第二集中点，通过计时器监视DR的更新活动。DR与BDR选举路由器优先级默认为1高的为DR，优先级一样那么为router ID大的为DR,一般router ID为最大的IP地址，如果有回环口，那么回环口IP优先为ID。优先级为0不参加选举，优先级影响一个选区进

13、程，但不强制更新已生效的DR和BDR路由器。Hello报文采用组播方式发送，地址为，其大小为50字节。LSA，链路状态通告，LSU，链路状态更新包。在OSPF网络中，路由器定时发出Hello分组与特定的邻居进展联系，默认情况下40s没收到该分组就认为对方不存在了。OSPF协议支持4种网络类型，分别是播送多址、非播送多路访问、点对点、点对多。其中播送多址网络包括Ethernet和FDDI；非播送多路访问包括Frame Relay、帧中继、X.25和ATM；点对点网络包括PPP、HDLC和Lapb。 基本配置命令Router ospf process-id /启动ospf进程Network add

14、ress 反掩码 area area-idip ospf priority 10 /范围为0-255ip ospf cost 200 /范围1-65535例：Router ospf 50Network 55 area 0 /发布的直连网段Network area 0 /发布的时直连IP地址，此时反掩码应写为IGRP原理与配置命令IGRP是距离矢量路由协议，由cisco公司设计，每90s发送一次路由更新播送，如果270s没有收到路由更新，那么认为路由不可访问，630s后去除该路由。IGRP采用带宽、延迟、可靠性和负载作为度量标准，量度最小的做最正确路径，不支持VLSM和不连续子网。 基本配置命令

15、Router igrp 109 /109自治系统号Network network-number /发布直连网段Bandwidth 带宽单位为KbpsClock rate 时钟EIGRP是cisco在IGRP根基上的一种新的改良型协议，其度量值有：带宽、延迟、可靠性、负载、最大传输单元。支持VLSM和CIDREIGRP 基本配置命令Router eigrp 109 /109自治系统号Network network-number /发布直连网段，网段是子网时带反掩码No auto-summary /处理不连续子网时关闭汇总常见路由协议管理距离RIP管理距离120，IGRP管理距离100，EIGRP

16、管理距离90，OSPF管理距离为110，直连网段管理距离为0第五章 路由器与交换配置路由器 基本配置命令Route /用户模式enable /进入特权模式config terminal /进去全局配置模式hostname route1/设置路由器的名称为route1enable secret 123 /设置enable加密口令为123以密文显示，权限高enable password 123 /设置enable口令以明文显示，两者同时配置，前者生效no ip domain-lookup /取消域名解析ip classless /开启IP无类别策略。目的是告诉路由器，当收到无法转发的数据包时将其传

17、递给默认路由，而不是简单的丢弃，与默认路由一起使用。ip subnet-zero /支持零子网line console 0 /进入控制台线路配置模式(超级终端)password 123 /设置console登录密码为123exec-timeout 30 30 /设置路由器超时时间为30分钟，30秒后自动弹出到用户模式，设置为0 0 那么永远不超时。Login /要求登录时输入口令line vty 0 4 /进入虚拟终端线路配置模式telnetexec-timeout 30 30/设置路由器超时时间为30分钟，30秒后自动弹出到用户模式，设置为0 0 那么永远不超时。后一个30的单位是秒。pas

18、sword 123 /设置VTY登录密码为123login /要求登录时输入口令exit /退出当前模式copy running-config startup-config /将更改保存到nvramservice password-encryption /对所有密码加密interface fa0/0 /进入fa0/0接口配置模式ip address /设置接口IP地址no shutdown /激活接口interface s0 /进入s0接口ip address clock rate 9600 /设置时钟频率no shutdownexitip routing /允许路由配置。没有该语句将导致配置

19、的路由无效。No ip routing /禁用路由配置ip route 目标网段子网掩码下一跳入口IP地址 /静态路由ip route 下一跳入口IP地址 /默认路由exitend /退出到特权模式与ctrl+z一样show ip route /查看路由表show interface fa0/0 /查看fa0/0接口信息show ip protocol /查看路由协议show ip interface brief /查看端口简要信息IPV6配置Config terminalHostname R1Ipv6 unicast-routing /开启ipv6单播路由Interface f0/0Ipv6

20、 address 2005:CCCC:1/64No shutdownExitInterface serial0/2/0Ipv6 address 2007:CCCC:1/64Clock rate 128000ExitIpv6 route 2004:CCCC:/64 serial0/2/0IPV6 GRE隧道配置Interface tunnel 0 /启用通道0Tunnel source s1/0 /通道源地址为s1/0，本端路由器接口Tunnel destinaltion /通道目的地址，对端路由器地址Ipv6 address 2005:AAAA:1/64 /为通道配置ipv6地址Tunnel

21、mode gre ipv6 /通道模式为ipv6的gre隧道Ipv6 rip test enable /在路由器通道0上启用rip，并命名为testInterface f0/0Ipv6 rip test enable /在路由器f0/0上启用rip，并命名为testIPV6 NET-PT(静态)Config terminalInterface e0Ip address Ipv6 nat /在接口上启用nat-PInterface e1Ipv6 address 2001:aaaa:1/64Ipv6 natExitIpv6 nat prefix 2001:aaaa:0:0:0:1:/96/说明在i

22、pv6域内使用的ipv6前缀Ipv6 nat v4v6 source 2001:aaaa:2 00 /将源ipv6地址输出的ipv6数据包转成ipv4数据包Ipv6 nat v4v6 source 2001:aaaa:0:0:0:1:8 /将源ipv4地址输出的ipv4数据包转成ipv6数据包IPV6 NET-PT(动态)Config terminalInterface e0Ip address Ipv6 nat /在接口上启用nat-PInterface e1Ipv6 address 2001:aaaa:1/64Ipv6 natExitIpv6 nat prefix 2001:aaaa:0:

23、0:0:1:/96 /说明在ipv6域内使用的ipv6前缀Ipv6 nat v6v4 pool ipv4-pool 0 0 prefix-length 24 /指定名为ipv4-pool的ipv4地址池Ipv6 nat v6v4 source list ipv6 pool ipv4-pool /配置NAT-PT映射RIP配置Router rip /启动rip协议Version 2 /设置rip版本为第2版Network /发布直连网段No auto-sumary /取消路由协议自动汇总ip split-horizon /配置水平分割Exitinterface fa0/0 /进入接口配置模式ip

24、 rip send version 1 2 /该接口发送ver1和ver2报文ip rip receive version 1 2 /该接口接收ver1和ver2报文IGRP配置Interface fa0/0Ip address No keepalive /不监测keepalive信号，即不连接设备时可激活该接口ExitInterface serial 0Ip address Bandwidth 1544 /设置带宽为1.544MbpsClock rate 512000ExitRouter igrp 100Network Network EIGRP配置Router eigrp 100 /启动e

25、igrp协议进程，100为自治系统号Network /发布直连网段Network /此处地址为子网地址，需写出反掩码Network 2 No auto-sumary /取消路由协议自动汇总Ospf配置Router ospf 1 /启动ospf协议进程，1为进程号Network 55 area 0 /发布直连网段Network area 0 /发布的网络为端口地址时，反掩码为Show ip ospf /查看ospf信息Frame-relay配置Interface s0 /进入s0接口配置模式Encapsulation frame-relay /对串口s0进展frame-relay封装frame-

26、relay lmi-type ansi /设置帧中继的lmi类型Interface s0.1 point-to-point /进入子接口配置模式Ip address Frame-relay interface-dlci 100 /设置dlci编号为100Frame-relay map ip 100 broadcast /设置ip地址与帧中继DLCI之间的映射，并允许播送另外一种配置NAT配置目的地址源地址静态natConfig terminalip nat inside source static /手动定义转换映射关系ip nat inside source static ip nat in

27、side source static ip address ip nat inside /定义内部接口interface fa0/2ip address 54 ip nat outside /定义外部接口动态natConfig terminalIp nat poolcisco 54 netmask /定义目的地址范围access-list 1 permit 55 /定义访问控制列表ip nat inside source list 1 pool cisco /启用nat，私有地址来源于list1，使用pool名为cisco地址池内的公网ip进展转换interface fa0/1ip addre

28、ss ip nat insideinterface fa0/2ip address ip nat outside动态复用地址转换Config terminalaccess-list 1 permit 55ip nat inside source list 1 interface fa0/2 overload /启用nat，私有地址来源于list1，使用fa0/2上的公网ip转换，overload使用端口转换ip address ip nat inside /定义内部接口interface fa0/2ip address 54 标准访问控制列表仅检查源地址，列表号为1-99；扩展访问控制列表不仅

29、要检查源地址，也检查包的目的地址，也可以检查协议类型、端口号和其它参数ip nat outside /定义外部接口访问控制列表ACL1允许网络地址通过，但拒绝通过Config terminalAccess-list 1 deny host Access-list 1 permit 55Interface fa0/1Ip access-group 1 out(2)制止主机A远程登录路由器BAccess-list number permit|deny protocol source destinationConfig terminalAccess-list 110 deny tcp host ho

30、st eq telnetAccess-list 110 permit ip any anyInterface fa0/1Ip access-group 110 out(3)允许主机A远程登录路由器BConfig terminalAccess-list 110 permit tcp host host eq telnetInterface fa0/1Ip access-group 110 out交换机 基本配置命令Switch /用户模式enable /进入特权模式config terminal /进入全局配置模式hostname sw1/设置交换机的名称为sw1enable secret 12

31、3 /设置使能密码以密文显示，权限高enable password 123 /设置使能口令以明文显示，与使能密码同时使用时，使能密码有效no ip domain-lookup /取消域名解析line console 0 /进入控制台线路配置模式(超级终端)password 123 /设置console登录密码为123exec-timeout 30 30 /设置路由器超时时间为30分钟，30秒后自动弹出到用户模式，设置为0 0 那么永远不超时。Login /要求登录时输入口令line vty 0 4 /进入虚拟终端线路配置模式telnetexec-timeout 30 30/设置路由器超时时间为

32、30分钟，30秒后自动弹出到用户模式，设置为0 0 那么永远不超时。后一个30的单位是秒。password 123 /设置VTY登录密码为123login /要求登录时输入口令exitinterface vlan1 /进入vlan1配置模式ipaddress /ip地址为no shutdown /启用该接口exitip default-gateway 54 /设置默认网关为54ip name-server /设置域名服务器ip domain-name wqs /设置域名interface fa0/1speed 100 /设置带宽为100Mbps bandwidth 单位为Kbpsduplex

33、full /设置为全双工模式VTP配置Vlan database / 进入vlan配置模式Vtp version 2 /启用版本2的vtpVtp domain 305 /设置域名为305Vtp domain server/client/transparent /设置交换机为服务器模式客户模式或者透明模式Vtp password 123 /配置vtp口令Vtp pruning /启动VTP修剪功能Vlan 1 name aa /创立VLAN1名为aaVlan 2 name bb /创立VLAN2名为bbVlan 3 name cc /创立VLAN3名为ccExitShow vtp status

34、/查看VTP配置信息生成树协议STPCongfig terminalSpanning-tree vlan 2 root primary/配置为根交换机Spanning-tree vlan 2 root secondary /设置为从根交换机Spanning-tree vlan2 priority 4096 /修改交换机优先级。数值为4096的倍数，值越小，优先级越高。Interface fa0/1Spanning-tree vlan 2 port-priority 10 /端口优先级为10，默认值是128，取值范围是0-255Spanning-tree vlan 2 cost 30 /设置vl

35、an2生成树路权值为30Spanning-tree port-fast /设置端口为快速端口1创立VLAN1和VLAN2并将1-8口分配给VLAN1，9-23口分给VLAN2，将24口设置为干道Enable /进入特权模式vlan database /进入VLAN配置模式Vlan 3 name shichang /建设VLAN3并命名为shichangVlan 4 name yingxiao /建设VLAN4并命名为yingxiaoexitConfig terminal /进入配置模式Interface range fa0/1-8 /进入组配置模式Switchport mode access

36、/设置这组接口为接入模式Switchport access vlan 3 /将组接口分配给VLAN3下的接口Interface range fa0/9-23Switchport mode accessSwitchport access vlan 4Interface fa0/24 /进入接口配置模式Switchport mode trunk /设置24口为中继模式Switchport trunk encapsulation dot1q /设置trunk封装switchport trunk allowed vlan all /设置允许从该接口交换数据vlanEndShow vlan /查看vla

37、n信息注：交换机支持的封装协议有dot1q和ISL两种。ISL最多支持1024个vlan；而dot1q支持4096个vlan，其中两个保存，因此可用4094个2两台交换机，划分VLAN1和VLAN2，交换机A为服务器模式，交换机B为客户模式。24口为干道模式交换机A:enableVlan databaseVtp domain 305 /设置域名为Vtp mode server /设置本交换机为服务器模式Vlan 1 name aa /建设VLAN1并命名为aaVlan 2 name bb /建设VLAN2并命名为bbexitConfig terminalInterface range fa0/

38、1-8Switchport mode accessSwitchport access vlan 1Interface range fa0/9-23Switchport mode accessSwitchport access vlan 2Interface fa0/24Switchport mode trunkSwitchport trunk encapsulation dot1q /设置trunk封装switchport trunk allowed vlan all /设置允许从该接口交换数据vlan交换机B:EnableVlan databaseVtp domain 305Vtp mode

39、 client /设置本交换机为客户模式exitConfig terminalInterface range fa0/1-8Switchport mode accessSwitchport access vlan 1Interface range fa0/9-23Switchport mode accessSwitchport access vlan 2Interface fa0/24Switchport mode trunkSwitchport trunk encapsulation dot1q /设置trunk封装switchport trunk allowed vlan all /设置允

40、许从该接口交换数据vlan3VLAN间路由交换机:enablevlan databasevlan 10vlan 20exitconfig terminalinterface E0/1swichport mode accessswitchport access vlan 10no shutdowninterface E0/2switchport mode accessswitchport access vlan 20no shutdowninterface E0/3switchport mode trunkswitchport trunk encapsulation dot1qswitchpor

41、t trunk allowed vlan all /设置允许从该接口交换数据vlanno shutdown路由器config terminalinterface e0/0.1/进入子接口配置模式encapsulation dot1q 10/设置封装模式ip address interface e0/0.2encapsulation dot1q 20ip address exitinterface e0/0duplex fullno shutdown4stp配置交换机A的fa0/0对应trunk1，其vlan1-3path cost18，vlan4-5path cost30；fa0/1对应tru

42、nk2，其vlan1-3path cost30，vlan4-5path cost18。交换机A：Config terminalInterface fa0/0switchport mode trunkswitchport trunk encapsulation dot1qswitchport trunk allowed vlan allSpanning-tree vlan 3 cost 18Spanning-tree vlan 2 cost 18Spanning-tree vlan 1 cost 18Spanning-tree vlan 4 cost 30Spanning-tree vlan 5

43、 cost 30exitInterface fa0/1switchport mode trunkswitchport trunk encapsulation dot1qswitchport trunk allowed vlan allSpanning-tree vlan 1 cost 30Spanning-tree vlan 2 cost 30Spanning-tree vlan 3 cost 30Spanning-tree vlan 4 cost 18Spanning-tree vlan 5 cost 18VPN配置以R1为例Config terminalCypto isakmp enabl

44、e /启用ikeCypto isakmp policy 1 /配置IKE策略，1为策略号，自定义Group 1 /1的参数密钥长度为768位，2的参数密钥长度为1024位,默认为DES算法Authentication pre-share /采用预先共享密码认证方式Lifetime 86400 /调整SA周期，单位是秒Cypto isakmp key 123456 address /设置对等体的共享密钥为123456。为对端路由器地址，根据实际修改Cypto ipsec transform-set test ah-md5-hmac esp-des /设置名为test的交换集，ah的散列算法为md

45、5，esp加密算法为desCypto map tt 10 ipsec-isakmp /设置加密图，名称为tt，序号为10，使用IKE来建设IPSEC安全关联，以保护由该加密图所指定的数据流Set peer /标识对方路由器的合法ip地址Set transform-set test /将加密图用于交换集Access-list 130 permit host host match address 130 /设置匹配130的访问列表interface tunnel 0 /定义隧道接口ip address /定义隧道接口IPno ip directed-broadcast tunnel source

46、/定义隧道接口源地址tunnel destination /定义隧道借口目的地址cryto map tt /将加密图应用于此端口interface s0ip address 52no ip directed-broadcastcryto map tt /将加密图应用于此端口Interface e0/1Ip address no ip directed-broadcastInterface e0/2Ip address no ip directed-broadcastip classlessip route ip route /设置内网静态路由PIX防火墙的配置Config terminalNa

47、meif eth0 outside security 0 /外部接口命名并定义安全级别Nameif eth1 inside security 100Nameif dmz security 50Interface eth0 auto /设置eth0为自适应网卡类型Interface eth1 100full /设置eth1为100M全双工Interface eth1 100full shutdown /关掉此接口ip address outside 2 48 /配置外网地址ip address inside /配置内网地址nat (inside) 1 0 0 /启用nat，内网所有主机访问外网n

48、at (inside) 1 /网段可以访问外网global (outside) 1 2-8 /使用网段2-8为内网提供IP地址global (outside) 1 2 /访问外网时，所有主机统一使用2地址global (outside) number ipaddress-ipaddress netmask mask Static(inside,outside) outside-ipaddress inside-ipaddressStatic (inside,outside) 2 /创立内网地址与外网地址2之间的映射Static(dmz,outside) /创立dmz地址与外网地址之间的映射Co

49、nduit Permit|deny global_ip port protocol foreign_ipConduit permit tcp host eq www any /允许任何外部对全局地址主机进展 访问主机提供 服务Conduit deny tcp any eq ftp host 9 /制止外部主机9访问内部ftpConduit permit icmp any any /允许icmp消息通过 Fixup protocol ftp 21 /启用ftp协议并指定端口为21Fixup protocol 80Fixup protocol 8080 /指定 协议运行的端口为80和8080No

50、fixup protocol smtp 80 /禁用smtp协议Route(inside|outside) 0 0 gateway-ip number /number表示gateway跳数，通常为1，Route outside 0 0 68 1 /指向边界路由器68的默认路由Route inside 1 /创立一条从网络到的静态路由ISDN配置Config terminalIsdn switch-type basic-net3 /设置iSDN交换类型Interface bri0 /进入BIR接口配置模式Ip address Encapsulation ppp /封装协议为PPPDialer s

51、tring 888888 /设置拨号串,R2(对端路由器)的ISDN号码Dialer-group 1 /设置拨号组号1，把bri 0接口与拨号列表1相关联No shutdownExitDialer-list 1 protocol ip permit /设置拨号列表1Ppp anthentication chap /设置认证方式Dialer map ip name R2 broadcast 888888 /设置协议地址与 号码的映射对端IP和ISDN号Ppp multilink /启用多多链路Dialer load-threshold 128 /设置启用另一个B通道的阀值Clock rate s

52、peed /设置DCE端的线速度策略路由配置希望局部IP走A线路，另一局部走B线路Config terminal=第一步创立匹配源列表=Access-list 1 permit 55 /匹配地址列表Access-list 2 permit 55=第二步配置Route-map=Route-map test permit 10 /创立路由映射规那么Match ip address 1 /匹配列表1Set ip next-hop /执行动作是送往ExitRoute-map test permit 20Match ip address 2 /匹配列表2Set ip next-hop /执行动作是送往E

53、xit=第三步在接口上应用Route-map=Interface f0/0Ip address Ip policy route-map test第六章 网络安全一、网络安全威胁网络安全威胁的主要种类：窃听、假冒、重放、流量分析、拒绝服务、数据完整性破坏、非授权访问、陷门和木马、病毒和诽谤。网络攻击的手段：被动攻击、主动攻击、物理临近攻击、内部人员攻击和分发攻击。网络安全措施：数据加密、数字签名、身份认证、防火墙和入侵检测。1.1数据加密 基本思想：通过变换信息的表现形式来伪装需要保护的敏感信息，非授权者不能了解被加密的内容。明文：需要隐藏的信息密文：产生的结果密码算法：加密时使用的变换规那么信

54、息安全的核心是密码技术，密码技术的目的是研究数据保密一个加密系统采用的 基本工作方式成为密码体制，密码体制的 基本要素是密码算法和密钥，其中密码算法分为加密算法和解密算法，密钥分为加密密钥和解密密钥。1.1.1密码体制分为对称密码体制和非对称密码体制。对称密码体制：加密密钥和解密密钥一样，或者从一个可以导出另一个，拥有加密能力就拥有解密能力。对称密码体制的保密强度高，开放性差，需要可靠的密钥传递渠道。要求发送和接收数据的双方使用一样的对称密钥对明文进展加密和解密运算。常用算法有：DES，IDEA，TDEA,AES,RC2,RC4,RC5。DES：属于对称密码体制，将分组为64位的明文加密称64

55、为密文。其密钥长度为56位附加8为奇偶校验。加密过程执行16个加密循环。三重DES：使用两个密钥，执行三次DES算法，在第一和第三层使用一样的密钥，其主密钥长度为112位。IDEA：属于对称密码体制，将分组为64位的明文加密成64为密文。使用128位密钥，加密过程执行17个加密循环。AES支持128、192和256位三种密钥长度。非对称密码体制：又称公开密钥，加密和解密是分开的，即，加密密钥公开，解密密钥不公开，从一个区推导另一个是不可行的。非对称密码体制适用于开放的使用环境，密钥管理简单，但工作效率低于对称密码体制，常用于实现数字签名与验证。RSA算法：非对称密码体制。理论根基是数论中大素数

56、分解。加密密钥公开称为公钥，解密密钥隐藏在个体中称为私钥。私钥带有个人特性，可以解决数据的签名验证问题。公钥用于加密和认证，私钥用于解密和签名该算法特点实现效率低，不适用于长明文加密，长与对称密码体制相结合使用。主要的非对称密钥算法有：RSA和ECC例： 两个奇数p,q,公钥e，求d解：两个数同余运算根据Euler函数取小于r的整数e并且与z没有公约数。这里e。找到d满足能被z整除1.1.2加密的 基本方法：置换和异位置换：改变明文内容的表现形式，但内容元素的相对位置不变。异位：改变明文内容相对位置，但表现形式不变。数据加密的方式：链路加密、节点到节点加密、端到端加密链路加密：数据在信道中是密

57、文，在节点中呈现明文节点到节点加密：解决了节点中数据是明文的缺点。在中间节点中装有加密与解密保护装置，由其来完成密钥的变换。端到端加密：数据在没有到达最终节点前不被解密，对于中继节点，数据是密文。通常使用对称密钥1.2数字签名认证分为实体认证和消息认证，主要是解决网络通信过程中通信双方身份认可。实体认证：识别对方身份防止假冒，可采用数字签名。消息认证：验证消息在传送或存储过程中有没有被篡改，可采用报文摘要。报文摘要可以为指定的数据产生一个不可仿造的特征，主要的方法有：MD5，SHA和HMAC三种认证技术：基于共享密钥的认证，needham-schroeder认证协议，基于公钥认证1.2.1数字

58、签名数字签名应满足3点：1接收者能够核实发送者2发送者事后不可抵赖对报文的签名3接收者不能伪造对报文的签名B的公钥EBB的私钥DBA的公钥EAA的私钥DAA BP P DA(P) EB(DA(P) DA(P)发送方A先利用自己的私钥DA对消息P进展加密，得到DA(P)，以此代表A对P的签名。A从CA获得B的公钥EB对密文DA(P)进展加密，得到EB(DA(P)，然后将密文传送给B，接收方B收到密文先用自己的私钥DB进展解密，得到DA(P)，B从CA中获得A的公钥EA对密文DA(P)进展解密，得到消息，如果与P一样，那么认为签名有效，否那么认为签名无效。数字签名可以利用DES、公钥密码体制来实现

59、，常用方法是建设在公钥密码体制和MD5或SHA的组合根基上。1.2.2报文摘要MD5算法以任意长的报文作为输入，输出产生一个128位报文。SHA全称为安全散列算法，该算法建设在MD5根基上，输入报文小于位，产生160位的报文摘要。HMAC全称散列式报文认证码，HMAC-MD5被用于Internet安全协议IPSEC的验证机制。密钥管理：数字证书：一个经认证中心CA数字签名的包含公开密钥拥有者信息和公开密钥的文件。用户使用自己的私钥进展解密和签名，使用公钥进展加密和验证。X509证书标准包括：版本号、序列号、签名算法、发行者、有效期、主题名、公钥、发行者ID、主体ID、扩大域和认证机构的签名。P

60、KI包括：证书管理中心CA：负责证书的颁发与管理，是可信任的第三方。签发证书注册机构RA：帮助远离CA的实体在CA处注册证书。申请证书政策审批机构PAA：制定整个体系构造的安全策略和下级机构的安全策略。1.3计算机安全：机密性：保证信息不被非授权访问，数据加密完整性：保证信息非法篡改 ，报文摘要抗否认性：保证用户对所产生信息否认，数字签名可用性：保证合法用户可以随时访问信息资源可审计性：记录信息访问过程中的详细操作过程和安全事件。可靠性：在规定的环境和规定的时间内完成工作的概率网卡承受数据状态：Unicast：单播模式Broadcast：播送模式Muticast：多播模式Promiscuous