网络工程师复习(背熟必过秘籍)

网络工程师笔记word档可自由复制编辑

目

录网络基础............................................-3第一章第二章第三章

数据通信基础................................--局域网技术..................................-9-广域网和接入网技术.........................-28-第四章因特网......................................39-第五章路由器与交配置............................54-第六章网络安全....................................-75-第七章第八章

网络管理...................................-85-计算机基础知识............................-102-word档可自由复制编辑

网络体系结构N的供都务访点（SAP）层。分的持独之层不同实时协协网系信实信规这间的称协议数据单元由控制信息用户息语法：数信格语义：相差控定时关系配、层通信子网、、于源子网网要有用、灵活性、可性。目前广域拓扑主要以对点组合成的状结构。物理层：理理的实之明特数据链路：些协实的上的流而访MAC地址网络层：、、和连问辑地。word档可自由复制编辑

传输层：或数主检制制服访问点为口TCP属应。会话层：远进。制的、安表示层：是与有包、和、应用层：问口HTTP，FTPword档可自由复制编辑

第一章

数据通信基础一、基本念率间传个信T码T。声宽W元息n类

极率2logN2的速log

(1N)

dB10log

带为信，均

N

电播中万千/单极性码个平0为；级性码：，负平双极性码为正翻1这种编码能定时，需引入时钟归零码：信零电转，负平平元不归零码间，表，双相码：到这扰同word档可自由复制编辑

曼彻斯特：表，高底亦中转数时于码差分曼彻特码：位否转翻0平1。平定用，为。和码位和QPSK特码16一路信号进行FSK调时，若波频率为fc,调后的信号频率分别为f1和，三者具有关系fc-f1=f2-fc术用为调过编骤系数成成将换号尼奎斯特样定理：大号的倍复用技术个信时用路道时用为10%，带9.630%10%32路，时用，波多，复时术条据条速数56KB/sword档可自由复制编辑

kk采时将语个控信同信在信速条率64Kb/s通中欧，其双分验位其。：性验假位息k码

m

k组误码

d组个码码海

d2m，码放2位a5a2数

1011

a1a2

r2验得系

a3a4a5a6a7

数异word档可自由复制编辑

异或预算偶数个1异为0奇数个1异为1

得，填海1010101息11001010101项

CRC验

果11001010101word档可自由复制编辑

23第二章

局域网技术一、预备知识10BaseT输（100M、1000M10G机宽BroadT传非C蔽为及F纤长1300nm1310nm1550nm）长综合布线试参数：双绞线：值回值扰短对光

纤大

损

口光纤分类单模光纤：径

10um

125um用工为1550nm离，多模光纤径125um作1300nm传（米。在输空，word档可自由复制编辑

于用，一芯～表电般二、局域网2.1扑结构扑传传有接连线令介控扑首继用来的负载时效率低，重负载时利用率高扑中中围在，2.2IEEE802标准IEEE802.1dIEEE802.1qIEEE802.1A结IEEE802.2IEEE802.3

路层IEEE802.3uIEEE802.3zIEEE802.3ae兆IEEE802.4IEEE802.5

线标ringIEEE802.10机IEEE802.11标word档可自由复制编辑

2.3数据链路层分为个子层：目的是将与硬件相关和与硬件关的部分分开。逻辑链路控制子层制提服帧图8SSAP（（8或位

1址端1令。用表为LLC问上程访HDLC主下：A无，控制软B接提差需接C无有据建介质访问控制MAC有传需法配用制分同步异步同步传输连在同传率用速异步传输字输入起位终止位同，加，离配循令FDDIIEEE802.6定义的）竞争（）2.4IEEE802.3标准CSMA/CD协议）word档可自由复制编辑

CSMA/CD协议据听有，信则按略2.4.1监听算法3较高

A、非坚型监听算法：站据先果则1随在道利用率低，增了发送时延，小了冲突概。B、持型监算法：站据先果则如则，再方利于抢占信道减少信道空闲间，但增加了冲突率C、坚持型监听算道送）迟单1位传忙听空延位（吸上述两种算的优点2.4.2冲突检测听冲能冲分取监测1）送接据储行2）果，冲（13）果致生时发个有送一，，。2.4.3二进制指退避算法算时围数制word档可自由复制编辑

（（射频）。增取的数无发次nn=16时，，告把的载起进制指数退避法能够解决重负载下有效解冲突的问2.4.4CSMA/CD协议实现带线CSMA/CD现相差差别一载波监听）统测实统受RF来是差别二冲突检测）统电上宽两测数比置检破，频的同的检化进后均硬件些含网要以路IEEE802.3中用1-持型监听算，这算占少时在络不待小帧间隔(间在才送过监冲55555555是号要的校要word档可自由复制编辑

RvLRvL，最）碎线路利用：

tft

f

tt

f

LLa

tt

f

L

a（积线越tt

f

延线时延加所d长信；为数2.5太网帧结构：7P

1

2L

0-46

4P为前码71010..1010接同SPD帧始符位10101011，息DA/SA（目的/源地址）个个L据字段长度节上协示议协PAD充段主足节充满DATA数据字段于信FCS帧验序列4字用字最小帧长字节，最大帧长1518字节。最短帧长算：

Lmin

Rv

小R数Lword档可自由复制编辑

间v信中。2.6速以太网：2.6.1、快速以太网100M标准为IEEE802.3u以同的帧格式同的介访问控制方法CSMA/CD协同的接口相同组网方法。100BaseT43对类，用测100BaseTX：用对类，一接于100BaseFX：用检，采取保持最短帧长64字节）不变，将介质长度减少100米，帧间间隔为统9.6us)，4B/5B编码统网彻斯特码2.6.2、千兆以太网1000M标为IEEE802.3z1000M的式双工半双工种太相同帧格式，在双工模式下，用CSMA/CD协议全要协IEEE802.3z帧一连帧：对5UTP：用对STP，传长：用传使纤千：用传550米2.6.3、万兆以太网10G标准为IEEE802.3ae以的同帧格式、最小和最大帧持全双工模式，，支模或多模光纤，持word档可自由复制编辑

定物是局域网物理层是广域网的物理层2.7拟局域网：2.7.1、VLANVLAN（虚拟局域网网辑一从拟兴技解互限问播通内能果需由层器划分方法1、口

属静态VLAN其余属动划2、地的3、络4、播5、则划分优点1）制，广减、率2）高性3活网破限管络2.7.2、VLAN中继式（Trunk）两准IEEE802.1Q和CiscoISL，适word档可自由复制编辑

设太网帧中增加了4个节的帧标记字段。支协dot1qISL两最持vlan支个留的分链链接入链路式：送均广中继链路式端数加在另机据，中记2.7.3、VTP议与VTP修继用网VLAN理协络个域台参理理机信VTP协议可以在一台交换上配置所有VLAN信配置信息通VTP报发送到理域内的所有换机上。VTP3种模式VLAN1，VTP服务器模式（可删VLAN务将播内换客户模式（client式交建修VLAN信息只服。透明模（可VLANword档可自由复制编辑

但己，收来但而给机VTP剪：静态修剪

动态修剪静态修剪：工链动剪许共允机动不，所的交加立交通换2.8成树协议：IEEE802.1d，延时为50s根桥的确定2字节6节MAC

）越高高桥）同地址的根端口确定小的端路最端端口开销规定端口开销端口销销口开为1端口状态：阻塞听发接MAC延交中环监听：习的交学换，习MAC，。学习：习始协word档可自由复制编辑

MAC地，，数状15s。转发：送

据禁用：口成不送BPDU数backbonefast简介快状复态速的阻速阻速发接机级但与相backbonefast机诊路且快交换机的类：交换储交滤交到查取，据不出的节点迟点错，输口转发整并行，确的转优差持输之发交是主。word档可自由复制编辑

滤该式进到断度节字，64送端1类端，1000M端兆兆口升相2模半适3发机发率=数×0.1488Mpps4带端数口5地址机址存MAC地。6映所最数7插装数2.9线局域网了构1于施有通AP访问干者同成间）特网AdHoc点不络，卡端可信word档可自由复制编辑

802.11率2Mb/s802.11作11Mb/s802.11作54Mb/s802.11作54Mb/s802.11作802.11用术路合可的速无线局域网的关键技1、红外通信：频数B谱C可物室能明烈为器得高，以术束播红2、扩展频谱通信散的少扰跳频接序列。原理：首道生某的模然伪进调大了宽word档可自由复制编辑

跳频:照的谱个不送听一解干坏输直接序列每为N输扩行的统制3、窄带波：2类证另免证无线局域网访问控制制CSMA/CA支争式协持主要解决隐蔽终端和露站问题。

在数据加密方面定义了三种方式，即：TKIPCCMPWRAP三方式TKIP采中的RC4算法和WRAP基AES算法。段WEP（WPA/WPA2WPA-PSK/WPA2-PSK法最WPA-PSK/WPA2-PSK过AES算安置则1在避，属2处。1输AP员用同后AP预设码端掩开后卡找2面配提分态种3安。下不word档可自由复制编辑

信方线用重。3.0构化布线布子：工作区子统：息个括适原则：息源在30-150cm座般30cmUTP/STP布线离为

m

水平子系：层配作之成化平支它缆线UTP/STP线距离为管理子系：电接理通层内备配纤和交。干线子系统子备。数双

布线距离纤一般2000米STP800米为700米。建议每1.5设置一个线缆撑点。设备间子统：网备要求：度20-30℃虑全等建筑群子统：之传各线距离光纤一般2000米，STP为800米700米word档可自由复制编辑

3.1网络开发过程网络生命周期统划设和程迭为、期周发五期分段需求分析现有网络分、确定网络逻结构、确定络物理结构、安装维护。需求分析：同络要、应计求信来析求规范，者签规建关现有网络析：是分在已资给通信规范明为段1网2网网信模3统接网测4Internet接口广的报5因电清确定网络辑结构：根据通定的结施分安内给辑设计档，内括1逻word档可自由复制编辑

2址3管4软网和服5和工明6件提培估确定网络理结构：对设理行确络接计得络物理构设计文档主：1物布2和列3件估4日服和5后6的安装与维:工施设试网络结构设计经模网心接核心层：同下接输高或设计原则：余，靠和避包路数处数速汇聚层：业接且流路word档可自由复制编辑

策设略或。向藏息层协由制接入层：户提主端设计原则主邻互还户（、、）（与绑志单点故障复组因效。传速=均务大×位节×个话物×

网络安全的设计原则从工程技术角度，网安全应设计遵循以下原则1息安全与保密的“桶原则对全安充完统洞分和网统提全系统的整体原则全和复网攻尽信服安全系统的有效性和实用性原则络不合操提4安全系统的“等级性”原则安划级主和可控性原则全依产安全有价则虑问时性word档可自由复制编辑

格不全同网络设备选型原则：尽可能选择同一厂家产品。设性性持面2干设备应考虑预留定的扩展能端设备够用可。3根据方案实际选型。络性口口。造能原少入4选择性价比高质量过硬的品word档可自由复制编辑

第三章一、广域网技术1、公共交换电话网

广域网和接入技术网据数采串际用互仅I差和PPP协PPPOE均于协专太大PPPOE模数算据通一管接这叫通常调，建和以化功1.1调制解调器建的以9600b/s行半它调）由8结因的可×。

2

modem采调速V.33建议组相增1位比特码而波可×

642

据的V.90下行速word档可自由复制编辑

采工1.2公共数据网X.25（称分组交换网）X.25的接务X.25物理层用要网物能性X.25的数据链路问议一要机换数括义。X.25的网络层分协要、量塞。能户电SVC路建上大节文设最。网使差与默小制帧ARQ协。的制输限传不为64kb/s但有A、一上虚个；B、态复误能C不同端间机以和数HDLC协议一向比特的步数据链路制协议其殊01111110帧志word档可自由复制编辑

RtRt

址

制

FCS16者种S号段前区同段，S为U前1.3量控制与差错制1.3.1、停等协议站，应再；收一号意，站发等用

tft

f

tt

f

LL2

ttf

vL

t，路间延加所fd长信；为数1.3.2动窗口协议维缓小那可送W必在端前窗。帧送号动到，前收收个利

Wtfp

f

W2a1.3.3、差错控制用术丢误术、停等ARQ议：送等号word档可自由复制编辑

到才帧收答NAK重；定到必、连续协议：为ARQ其选择重发ARQ只的的。口大号，

W

W

后退N帧ARQ重的帧大1.4帧中继frame-relay（也称快速分组交换网）工层层层路式业的检控支电电，来用的多帧中继协议为LAP-DD规尾节字01111110，息，长协塞

DLCI高位DLCI低位FECNBECN

C/RDE

EA=0EA=1字不用表示帧中继主要优点：A、组传供的word档可自由复制编辑

B、变承域帧C、达2-45Mb/sD、需也发E、控，仅行拥塞控制少缺点不适于对延迟敏的应（音频、视频法保证可靠交1.5ATM异步传输ATM异复每没占的优规配为在增头成，中据差错制和量制放在高处理网络作和层据适子）和ATM子物理层为相集传比流的由层，责行配ATM子主信构不径识的个VPI可复用个功A、聚B、VPI/VCI理C、的速AAL定PDU数方目word档可自由复制编辑

数适ATM网传务A级支时定务CBR采接式恒步持，64KB/s的音的频B支时变务VBR采接式可步持，的和通C级

实的务面作比，。AAL3/4支持，和务D级

向数连特不和此数和通采施1）连接准入控制因现道2）参数控制避滥起3形信元分迟1.6ISDN合业务数网支交组系：TE、络备和（标ISDN设直NTTE2过（端word档可自由复制编辑

相分为NT1NT2。NT1一，户之间插时理能和。（N-ISDNB-ISDN，关类双绞输，数155Mb/s带交术分技两口基本速率接口（2B+D）64kb/sB音信户电的信一次群速率接口（30B+2D和信速享速为复理层LAPD协议网路组缺点：数据传输速率低，不适合传输视频信息。二、接入网技术1.7XDSL技：于线入有ADSL采复可ADSL技术率～8Mb/s～离时4KHZ据（，速8需要安POTS音与数路复用器DSLAM连接，适公网络（率较低word档可自由复制编辑

行1.5Mb/s，上行，不需，适用庭。ADSL接入方式分为：虚线VDSL对各中速的RADSL采称在上下上并音HDSL技业2Mb/s路SDSL对上率，技1.8HFChybirdfiber-coax）综模输轴术络纤型分型，装解提接A、轴机连电B、对到话C、对到算利调据在行用信行信户端，不成对的使媒体访使Modem远要营线器，该速可以，word档可自由复制编辑

通路PSTN网络区以、器中，。势A、一进发节B、传音速和信C、的高用1.9FTTx入FTTx是网范电局用设主要分类FTTCabTo交FTTC路FTTZ小FTTB大FTTH用光。2.0带无线接入802.11在2.4Ghz频802.11作11Mb/s802.11作54Mb/s802.11作54Mb/s802.11作802.11用（分）起供300Mbps的word档可自由复制编辑

PoE术用一条以太电同时提供以太网信号直流电源。要完成对无线、IP话机、安全网络摄像机等终传输数字信和提供直流电。提供44V-57V的直流电压，功率般控制在15.4W。2.1SDH步数字系主种IPoverSDH：网物，路帧包，节将数行的是POS。接供STM-1传PDH（准同步数字系列：式63个为个率提口E1接口多的CPOS口。几个常用基本速率速率51.84Mb/s系复有32隙隙率30个传用于同信时提速word档可自由复制编辑

2.2VPN技术技过现与网关括隧技术、密解密技术、钥管理技术和使用者设备身份认技术。技基传完包二层协议对协的展为L2TP和PPTP三层协议在层另规议IPSECGRE括网络认证议AH：提认完证信但不提供保密服务认HMAC-MD5和封装安全荷协议ESP包检和和密钥管理议IKE完成中少（）密成术为器提心交由交术核外位的MPLS入头之平路中P是MPLS路是核由连传标。由信连路设任签word档可自由复制编辑

第四章特网：0的地：1的地义IIP义优：体缺的2.1网中器集器网：过分析帧交机路器网：不同的传2.2广：word档可自由复制编辑

一突域广域同广域，路IP协IP议时IPIP数/发的协不靠无接尽投IPIPV4）个地络主号4字节共IP

络位数

A

0

8

2

B

14

16

C

21

8

28DE

址验IP址置则（）网于测试连（）网255（）只CPword档可自由复制编辑

私地A类BC类特址严格讲这ip做本机地广播域的自专地）当DHCPWindows会分是一；路由协议子网划分与子网掩码子（subnet：TCP/IP的地无别IP址子掩：地1的0的部可长子掩VLSM：子数=(k)可子数

2

2

(k)word档可自由复制编辑

：规250=

224

可主数

2

n

(n有址围一个网段使路汇时路匹结应择长络缀路（，网掩最的为由IP为字4ARP议报封在太帧传）络协机A主B发送自己的缓B的地B收到广AMAC入ARP缓存单方ARP应BMAC地A的地址地到应缓ICMP报控协（文装IP数据中据分送文控协属网层议：IP：数：IP：：ping命令）word档可自由复制编辑

：统windowsIPV640节0个IPV6用全即IP验装净采位其有1位号进2长，此将缩0以0000冒例：21DA：：0000：0000：：0EF0：A57E：21DA：0：0：：：：：78EA21DA：C2：EF0：A57E3压只特殊地址0示地将给或。址接于IPV4ping可以协议是。址公址：：0000：0000：）：FFFF支示地址2.5TCP输控制协和用数据报协议TCP与UDP属于传输协议word档可自由复制编辑

2.5.1UDPUDP议连接的可靠的投务量据部字媒，TCP，频2.5.2TCP协向连的可靠的面向流递TCP模之间进行双工的数据交换。达16值提2端word档可自由复制编辑

口。2.5.3TCP三握手，目是防止产生错连接A送SYN，请求建立连接

eq\o\ac(○,1)

Seq=X

B回SYN

和ACK

eq\o\ac(○,2)Seq=YACK=X+1

A发ACK

eq\o\ac(○,3)

Ctl=SYNX+1ACK=Y+1

建立连接Ctl=SYN，TCP四断开

Ctl=ACKA送FIN=1，求断开

eq\o\ac(○,1)

B回ACK

eq\o\ac(○,2)Ctl=FIN

AB送FIN=1，求断开

eq\o\ac(○,3)

ACK=U+1

A

返回

eq\o\ac(○,4)Ctl=FIN，ACKACK=E+1

BTCP进流量控制方法是采小口2.5.4TCP连状态详解Listen：听连态SYN-SENT：主立SYN-RECEIVED：收到方立FIN-WAIT方放2.6Internet体系结构中各个议图word档可自由复制编辑

2.6.1端口号分类保留端口1-1023分用常议用FTP据FTP制DNS注册端口1024-49151需IANA重动态端口，来通进2.7名系统DNS名称解析法：Hosts表：没的其些名的IP映中应。NIS系：公开名中。DNS系：名由和成能字记超个DNS查过程：本地解析时的记在，提询户用解可接而器word档可自由复制编辑

地解析有两个来：Hosts表和DNS缓。直接解析：地找其务请器后地中需如出果检过询析作递归解析：DNS服器该向服器到信服务器默认配置）迭代解析：服解息会服务查而地，向DNS服信DNS对类型与资记录A：名IP址PTR换

>ip地将NS：服MX：CNAME:多同器SOA数库2.8远程登录协议Telnet

端口本拟NVT连可远或像机远其他协议FTP文件传输服务FTP常用命令：

控制端口21

数据端口20Get：远件word档可自由复制编辑

打显端以示录List：端录和Lcd：变主录推DHCP服务过程：作础协客模器UDP口67使端口68客户机

向网络中广播DHCPdiscover数包数据报中附加来源地址，的址服务器收到DHCPdiscover数包通过广播DHCPoffer数包作出响应，包含，，约期等选择第一个收到包作出响应，发送广包，告诉所有将采用哪个服务器的IP地址。同时客户机还发送ARP数报，查询网络中是否有该IP地，如果该被占用将会发出数报服务器拒绝其DHCPoffer并重新发送DHCPdiscover服务器收到DHCPrequest据包后，便向客户机提供包含地及其它设置的DHCPpack的认信息。租约期默认8天

服务器期50%）服便原IP，果，，过租在约一（），其获DHCP是BOOTP协的扩展HTTP协议提供的主要操作：Get网word档可自由复制编辑

Head信Post载页把有为地分NAT、和口2.9关协议统之信部；自间息网外部网关议外议EGP界。BGP特接口矢协量发的连由BGP三表：邻表、BGP发、路由表BGP具有四种文：Open报文：建系Update文于由Keepalive文：答确系通告报文告误基本配置令：Routerbgp64512(自)Neighbor{ip-address|peer-group-nameremote-asautonomous-system}word档可自由复制编辑

Networknetwork-numbermasknetwork-maskRouterRIP原与配置令（rip于Bellman-Ford算法）距离矢量的协播方式周期性（的由大15跳RIP有个版本别为RIPv2。别在：1RIPv1长码VLSM2RIPv2支文密3方，采用播，4RIPv2采发加敛分除，路会息6RIPv2支由最度值水分路中反下保时基本配置令用路进word档可自由复制编辑

2明版为发，掩RIP会据自动OSPF原理与配置命令基于Dijkstra算法）式优链路状态由协议点1限2VLSMCIDR3更度三张表：表

划辑次干区域area0非骨干区域路接发由器hello布。指器LSA信集备由二通监的动DRBDR选先级默，先为routerIDDR,router最大的IP，口回环口IP为参先个，生路报组播方式发送为，word档可自由复制编辑

字，链状态OSPF网时定行默没就不网分多播对多多括Ethernet多括；对包。基本配置令动ospf进程码0-2551-65535：0布的直连网段发布时直IP地时反掩码写IGRP原理与配置命令距离矢量路由协cisco公司发更270s由路630s后清该宽延迟、可靠性负载度量佳支VLSM和不子基本配置令自号布带word档可自由复制编辑

单位为

rate时cisco在IGRP一进其带宽、延迟、可性、负载、大传输单元EIGRP基本配置令

码续闭常见路由议管理距离管理离连离word档可自由复制编辑

第五章路由器与交配置路由器基本配置命令Route>

enable//特configterminal//去模hostnameroute1//器enablesecret123//nable加1（，enablepassword123//设置enable

nodomain-lookup//取解ipclassless//启IP类别策略目的是告诉路由器，当收到无法转发的数据包时将其传递给默认路由，而不是简单的丢弃，与默认路由一起使用。ipsubnet-zero//支零lineconsole0//台模(超级端)password123

//密exec-timeout30

//设3030秒后0永远不超Login//时linevty04//端模exec-timeout30

//00则30password123word档可自由复制编辑

//VTY登密123

login//求口exit//退模copyrunning-configstartup-config//将存nvramservicepassword-encryption//码interfacefa0/0

//入fa0/0式ipaddress//口IP址noshutdown//口interfaces0

//口ipaddressclockrate9600//频noshutdownexitiprouting//许由配置。没有该语句将导致配置的路由无。Norouting//禁用由配置iproute标网段子网掩码一跳入IP地址//iproute跳入IP址//认exitend//特ctrl+zshowroute//查showinterface

//fa0/0showprotocol//协showinterfacebrief//查口IPV6配置Configterminalword档可自由复制编辑

HostnameIpv6unicast-routing//开启ipv6播路由Interfacef0/0Ipv6address2005:CCCC::1/64NoshutdownExitInterfaceserial0/2/0Ipv6address2007:CCCC::1/64Clockrate128000ExitIpv6route2004:CCCC::/64serial0/2/0IPV6GRE隧配置Interfacetunnel//用通道0Tunnelsource//道源地址为端路由器接口Tunneldestinaltion通道目的地址端路器地址）Ipv6address2005:AAAA::1/64//为通道配置ipv6地址Tunnelmodegreipv6//道模式为的gre隧道Ipv6riptestenable//在路由器通道0上启用rip，并命为testInterfacef0/0Ipv6riptestenable//在由器f0/0上启用名为testIPV6NET-PT(态)Configterminalword档可自由复制编辑

InterfaceIpaddressIpv6nat//在接口启用nat-PInterfaceIpv6address2001:aaaa::1/64Ipv6natExitIpv6natprefix2001:aaaa:0:0:0:1::/96在缀Ipv6natv4v6source2001:aaaa::200//将源ipv6地址输出的ipv6数据包转成数据包Ipv6natv4v6source2001:aaaa:0:0:0:1::8//将源ipv4地址输出的ipv4数据包成ipv6据包IPV6NET-PT(态)ConfigterminalInterfaceIpaddressIpv6nat//在接口启用nat-PInterfaceIpv6address2001:aaaa::1/64Ipv6natExitIpv6natprefix2001:aaaa:0:0:0:1::/96在缀word档可自由复制编辑

Ipv6natv6v4poolipv4-pool00prefix-length24指定名为ipv4-pool的ipv4地池Ipv6natv6v4sourceipv6poolipv4-pool置NAT-PT映射RIP配Routerrip//启ripVersion2

//rip为2版Network

//直Noauto-sumary//取路动ipsplit-horizon//割Exitinterfacefa0/0

//入置ipripsendversion2//该发ver1ver2ipripreceiveversion2//收和IGRP配置Interfacefa0/0IpaddressNokeepalive//不keepalive号，即不连接设备时可激活接口ExitInterfaceserialIpaddressBandwidth1544//置带宽为1.544MbpsClockrate512000Exitword档可自由复制编辑

Routerigrp100NetworkNetworkEIGRP配置Routereigrp100//启eigrp，为号Network//网Network//子需Network2Noauto-sumary//取路动Ospf配置Routerospf1//动程1为程Network55area0//发网Networkarea//络掩Showospf//查ospfFrame-relay置Interface//进配Encapsulationframe-relay//s0行frame-relayframe-relaylmi-type//设帧lmiInterfaces0.1point-to-point//口IpaddressFrame-relayinterface-dlci100//设置dlci编号100Frame-relaymapip100broadcast设置ip址word档可自由复制编辑

源源地址目地址与帧中继间映射，并允许广播另外种配置）NAT置静态Configterminalipnatinsidesourcestatic//动定换ipnatinsidesourcestaticipnatinsidesourcestaticipaddressipnatinside//义interfacefa0/2ipaddressipnatoutside//口动态ConfigterminalIpnatpoolcisco

netmask//义范access-listpermit55//义制ipnatinsidesource1cisco//启，私l，pcisco内换interfacefa0/1word档可自由复制编辑

ipaddressipnatinsideinterfacefa0/2ipaddressipnatoutside动复地转11//用list1，使上overload用端////访问控制表ACL

标准访问控制列表仅检查源地址，列表号为；展访问制列表不仅要检查源地址，也检查包的目的地址，也可以检查协议类型、端口号和其它参数（1）允许网地址通，但拒绝通过111(2)止主机（）远程登录路由器（）Access-listnumberpermit|denyprotocolsourcedestinationhosteqword档可自由复制编辑

ip110(3)许主机（）远程登录路由器（）tcp110交换机基本配置命令Switch>

式enable//特configterminal//入模hostnamesw1//机sw1enablesecret123//能密限enablepassword123//设置能

nodomain-lookup//取解lineconsole0//台模(超级端)password123

//密exec-timeout30

//设3030秒后0永远不超Login//时linevty04//端模word档可自由复制编辑

exec-timeout30

//00则30password123

//VTY登密123login//求口exitinterfacevlan1//进vlan1式ip//ipnoshutdown//用exitipdefault-gateway54//

设置默认网关54//服interfacefa0/1speed100//带100MbpsbandwidthKbpsduplexfull//设模VTP配Vlandatabase//vlan配置Vtpversion2//2vtpVtpdomain305

//域Vtpdomainserver/client/transparent//设机客者Vtppassword//vtp口Vtppruning//VTP修能word档可自由复制编辑

Vlannameaa//VLAN1名Vlannamebb//VLAN2名Vlannamecc//VLAN3名ExitShowvtpstatus//VTP配信生成树协CongfigterminalSpanning-treevlan2rootprimary

//根Spanning-treevlan2rootsecondary

//

Spanning-treevlanpriority4096//修优的小先Interfacefa0/1Spanning-treevlan2port-priority10

//口是，取范Spanning-treevlan2cost30//

置vlan2成树30Spanning-treeport-fast//设端端（1）创建VLAN1VLAN2并将1-8口分配给VLAN1，9-23口分给VLAN2，将24口设置为干道特VLAN配置3建4建//模word档可自由复制编辑

进置mode口式3分mode4//配mode//设24模//设置trunkswitchporttrunkallowedvlanall////vlan

设置允许从该接口交换数vlan注dot1qISL两种1024；而持vlan，个（2）两台交换，划分VLAN1VLAN2，交换机A为服务器模式，交换机为客户模式。口为干道模式交换机A:305

为设置换器1aa建立2bb建立word档可自由复制编辑

mode1mode2mode//设置trunkswitchporttrunkallowedvlanall//

设置允许从该接口交换数vlan交换机B:305设置换模mode1mode2word档可自由复制编辑

mode//设置trunkswitchporttrunkallowedvlanall//（3）VLAN间路由交换机:enablevlandatabasevlanvlanexitconfigterminalinterfaceE0/1swichportmodeaccessswitchportaccessnoshutdowninterfaceE0/2switchportmodeaccessswitchportaccessnoshutdowninterfaceE0/3switchportmodetrunkswitchporttrunkencapsulationdot1qswitchporttrunkallowedvlanall//noshutdownword档可自由复制编辑

设置允许从该接口交换数vlan设置允许从该接口交换数vlan

路由器configterminalinterfacee0/0.1/进入口encapsulationdot1q10

//模ipaddressinterfacee0/0.2encapsulationdot1q20ipaddressexitinterfacee0/0duplexfullnoshutdown（4）配交换机的fa0/0对应trunk1其（pathcost18vlan4-5（cost30；对应trunk2，其vlan1-3（pathvlan4-5（。交换机A：switchportmodetrunkswitchporttrunkencapsulationdot1qswitchporttrunkallowedvlanall32word档可自由复制编辑

145switchportmodetrunkswitchporttrunkencapsulationdot1qswitchporttrunkallowedvlan12345VPN配

all以R1为例ConfigterminalCyptoisakmpenable//启ikeword档可自由复制编辑

源地源地址目地址Cyptoisakmppolicy1//配IKE1为略定1

1的参数密钥长度为，的参数密钥长度为位,默认为算法Authenticationpre-share//采用预先共享密码认证方式Lifetime调整周期，单位是秒Cyptoisakmpkey//置对等体的共享密钥为123456。对端路由器地址，根据实际修改Cyptoipsectransform-settestah-md5-hmacesp-des设置名为test的交换集，的散列算法为，加密算法为Cyptomap10ipsec-isakmp设置加密图，名称为tt，序号为，使用IKE来建立IPSEC安全关联，以保护由该加密图所指定的数据流Setpeer//标识对方路由器的合法地址Settransform-settest//将加密图用于交换集Access-list130permithosthostmatchaddress130//置匹配130的访问列表interfacetunnel0//定义隧道接口ipaddress//义隧道接口noipdirected-broadcasttunnelsource//tunneldestinationcrytomapinterfaces0ipaddress52noipdirected-broadcastcrytomapInterfacee0/1word档可自由复制编辑

Ipaddressnoipdirected-broadcastInterfacee0/2Ipaddressnoipdirected-broadcastipclasslessiprouteiproute内网静态路由PIX防火墙的配置ConfigterminalNameifeth0outsidesecurity0//部接口命名并定义安全级别Nameifeth1insidesecurity100Nameifdmzsecurity50Interfaceeth0auto//置eth0自适应网卡类型Interfaceeth1100full//设置为100M双工Interfaceeth1100fullshutdown//掉此接口ipaddressoutside248//置外网地址ipaddressinside//置内网地址nat(inside)100//启用，内网所有主机访问外网nat(inside)1//

global(outside)12-8//用网段2-8内网提供地址global(outside)12//访问外网时，所有主机统一使用地址globalnumberipaddress-ipaddress

[netmaskmask]Static(inside,outside)outside-ipaddressinside-ipaddress安全级别低的接口内本地接word档可自由复制编辑

Static(inside,outside)2//创建内网地址与外网地址之间的映射Static(dmz,outside)建dmz外网地址之间的映射ConduitPermit|denyportforeign_ipConduitpermittcphosteqwwwany允许任何外部对全局地址主机进行访）Conduitdenytcpanyeqftphost9//止外部主机9访问内部Conduitpermiticmpanyany//允许消息通过Fixupprotocolftp21//用ftp协议并指定端口为Fixupprotocolhttp80Fixupprotocolhttp8080指定协议运行的端口为和8080Nofixupprotocolsmtp80//用协议Route(inside|outside)00gateway-ipnumber//number表示gateway跳数，通常为，Route0//指向边界路由器的默认路由Routeinside1创建一条从网络到的静态路由ISDN置ConfigterminalIsdnswitch-typebasic-net3//置交换类型Interfacebri0//入BIR接口配置模式IpaddressEncapsulationppp//装协议为PPPword档可自由复制编辑

Dialerstring888888//设置拨号串对端路由器)的ISDN码Dialer-group1//设置拨号组号，把0口与拨号列表相联NoshutdownExitDialer-list1protocolippermit//置拨号列表Pppanthenticationchap//置认证方式DialermapipnameR2broadcast888888协议地址与电话号码的映射（对端和ISDN）Pppmultilink//用多多链路Dialerload-threshold128//置启用另一个道的阀值Clockratespeed//设置DCE端的线速度策略路由配希望部分IPA线路另一部走B线路Configterminal==============第一步创匹配源列==================Access-list1permit55//配地址列表Access-list2permit55=============第二步置Route-map====================Route-maptestpermit10//创建路由映射规则Matchipaddress1//匹配列表Setipnext-hop//行动作是送往ExitRoute-maptestpermit20Matchipaddress2//匹配列表Setipnext-hop//行动作是送往Exitword档可自由复制编辑

============三步在口上应用Route-map==============Interfacef0/0IpaddressIppolicyroute-maptestword档可自由复制编辑

第六章网安全一、网络安全威胁网络安全胁的主要种：听重分、性权门病网络攻击手段：攻攻临内击击网络安全施加签认和。1.1数加密基本思想换息现形式伪护授了内明文：隐密文：的密码算法使则信息安全核心是密码术，密码技术目的是研究据保密密的式密码体制，制素密码算法密钥，其算加算法密算法密加密钥解密密钥。1.1.1分对密码体制非对称密码体制。对称密码制：密密或以个密解码密强度放性差可靠的钥传递渠道word档可自由复制编辑

送据相对称密钥行密法IDEA，TDEA,AES,RC2,RC4,RC5DES：对称密码体制分位的称密密附8为。执。三重DES：个密钥执三次DES算法和相，度112位IDEA于称密码体制将加使钥程密128和位密非对称密体制开密钥密分，加密密钥开解密密钥不开一另行密用用钥，低码于签。RSA算：非对称码体制。理基中解加密密钥公钥，密密钥个钥个可据的签名验证钥用于加密和认证，私用于解密和名该算法特率用密称结非算和ECC例：已知两个数p,q,公钥e，求dword档可自由复制编辑

解：同

r函的e并与没这。ded能整1.1.2加密的基方法：置换异位置换变的元位异位：明对表。数据加密方式、点端链路加密信，呈节点到节加密：了据缺间有密由密。端到端加在最被于数。对称密钥1.2数签名认证体认证消息认证，主要通通身实体认证方冒采字名。消息认证息存没改报文摘要摘指生仿，主要的方有：MD5，SHA和HMAC三种认证术：钥，认1.2.1数字签名word档可自由复制编辑

名点1者送2者赖签3者报A

BP

A的钥

B的公钥

B的私钥

A的钥

PDA

DEBBADE(D(P))(P)ABAA先的息P密DAA表签A钥BA得(D密方BA的，(P)，BCA获A公EBAA进相为效A为。名码现法钥和MD5的上1.2.2报文摘要MD5算以的输生128位文SHA散该输产160位报HMAC散证HMAC-MD5用安IPSEC制密钥管理数字证书一中的公开密钥拥有者信息开密钥用己私密和签名word档可自由复制编辑

公钥密和验证X．509证书标准包括：序名者、公ID、域构PKI包：证书管理心CA：

书注册机构RA：离CA体处注申请证书政策审批构PAA：体安下策1.3计机安全：机密性：被问数据加密完整性：法报文摘要抗否认性户息数签名可用性：户访源可审计性息的过事可靠性：境时工1.4snifferSniffer工作提1是2设式网络监听防范方法：1、络2、密

硬件断获户和令获得高的问限探低协信息路器有路功的机第二次击ARP欺网源送，主word档可自由复制编辑

攻连只击它就，会欺骗方式关冒骗充骗（）MAC地骗）泛DoS鉴别方法关地2层ARP表个则的了XPDNS欺检测方法听

文

测IP骗WEB欺Email欺骗口令破解拒绝服务攻1.5安套接层SSL介协议TCP议之间可选层。访下道出加密钥用密Http请求层务接SSL处数端反SSL分手协议录协议握来协商密钥；录于定义传格式。默认情况，SSL议使用端口号443word档可自由复制编辑

传输层安性TLS，工TCP/IP提供了客户与服务器之的安全连接。1.6安超文本传协议S-HTTP为客务多制消协在全协议使SSL保全TCP443口接工层安全电子易set“”电全础认证过程RAS和DES法种1易提道2全3信决客一一的电子（数字）证书客户置口令个字钥及进加存储机不对据用MD5进完后对加的密有性主要特征1密法word档可自由复制编辑

2件，人发3机Kerberos属对称密（算，全境远的自动鉴别据完整性和全性服务、以及密钥理Kerberos户用户名和口令为识务交应和的用信向器请；的授服务器获得TGS申请会话密钥用TGS响话向求止被，提时间戳发判是者信标：权计KerberosV4系统中使用时间戳防止重发KerberosV5系统使用seq列号来防止发，目前主是V5Windows五种份认证：证:提认凭份户，问户ID的密式传身份证KerberosV5供安身方户和密提安与验克身缺word档可自由复制编辑

1.7隔技术术确攻在之信信提网全：：离：隔：隔：隔离处，技方道1.8入检测系统IDS主要功能正攻现的、现侵侵出录的不外可监户止攻：IDS的务常检测、滥用检和攻击告警IDS部位置1器机2Internet接入器一上3保域上1.9病病毒分类毒驻导隐word档可自由复制编辑

形网络安全计基：据对协时，的进网为甚些机对进理上事不息从，审计的的是希达到信息不泄计算机系安全等级D别护有；C定级安级访细主，审事源于C2B级：级记级构护全A级：保有析。word档可自由复制编辑

第七章

网络管理一、预备知识1.1文件系统FAT16：大区个。FAT32：大NTFS：理置支分速安能错文性缩EXT2：文EXT3：的本AWAP：交件VFAT：长系1.2工作组和域是系管性的有主域控制器归的工作站较份域控制器解器作主域模型：个，个制支验合目。多主域模型：个或个以主号资管，络，任万织完全信任模型：多个号域word档可自由复制编辑

二、网络管理系统的能与组成网络管理系统分为：中式、分布式、分层式2.1网络管理功能配置管理负责检测和制网络的配置态。扑备志等进检性能管理有管定量业量高的故障管理和故维效功、测恢故安全管理信、性，、统破功风务日计费管理的取务行的本2.2网系统构：主要包括管网站(理管理工作流程1）被上利协的中得组息自MIB中3）理对MIB的到的。2.3简网络管协议SNMP采询事实现管理功能SNMP是在TCP/IP协议基础上依UDP用层word档可自由复制编辑

协议协议网协议可丢SNMP的每个管理信息独发送，报限制在字节。在管站体在SNMPV3络全主两1管冒是SNMPV3全须要2）改消模供威3）绝信不。供标完、、授制置理SNMPv2用行SNMPv1同体名明文传送SNMPv2别和加密SNMPv3义于用户安全模型可先享密钥报文证管理进程用UDP161端口进行或者set操理进程使用UDP162口，进行操作。络向发息使简理讯允信特管理站支的设备数N与轮询时间T（单位：秒单个轮询时间t间关系为：

T

tSnmp5种报文：处或Get-NextRequest提前个Set-Request：程个word档可自由复制编辑

Get-Response：Trap：理出通程。程程为同体一共同体之才能通信，只管代间信用共同体际管之身鉴别字管理的用默被ACCESS性读读问SNMPV2体接收报文处理的骤1）报法出2）部源交务认一丢3）果，PDU转成的4）议查过团策处SNMPV2体发送报文处理的骤1）据构PDU）把、的及给器器代加结3）入团报4）行编发络SNMP别个信管库地管扩理改增管解扩中局word档可自由复制编辑

2.4Windows基本管理配命令Winipcfgipconfig,Winipcfg在WIN98之上Ipconfig/all显配Ipconfig/renew配客IP清DNS缓手册DNS显示本DNS内容–t连续发送请ctrl+C终–a对目的IP–n4–lsize发送消d防止解析成h搜删路网与命合条print示久路由保存在注册表中的路由地子下add修由删机同[-f|-p]址–a有接的端–e示信收，–s显word档可自由复制编辑

–r机–的，s使–n示数现口ArpsIPaddressMAC在arp表中添加静态表项P2.5系统支持区至个一区内2.5.1Linux下的文件包含内容/根系根一/var在件、和/homeroot外户/etc统/dev件/lib核享用用丢以到的录etc/passwd录etc/shadow记etc/group密etc/gshadow包括主机基网络信息，于系统启etc/hostname包含完整名etc/hosts地址与主机映，进行域名析相同）★word档可自由复制编辑

解析主机域名方法etc/resolv.conf置文件etc/service端口与服务名之间的映射etc/gateways立动态路2.5.2件权限（八进制数字示文件权值

d型，r表表表行421用户权限

用户组权限

其它用户组权限新建目录权drwxrwxrwx，权值为777。新建文件的全rwrwrw，权值为-表示为普通文件示块专文件表示字符专用文件示目录文件l表示符号链接文件Chmodg+rwxfilenameChmoda+rwxfilenameChmodu+rwxfilenameChmodo+rwxfilename

所用有用增所权用限+号表示加权限，-号表示取消权限，=表示唯一权限。Chown文件名拥Chgrp文件名改2.5.3Linux常见命令cd改当录pwd在mkdir-p立定ls产文–a显录件括、组创间复制件目提删除件word档可自由复制编辑

移动件目提显同个显示前一内的时可向件创建打某线文取搜件位件输保当注建组建useruu用

eth0广地址P址th0word档可自由复制编辑

iP–相同RPMAC，arp]]1网络故障诊断P段地DNS令故障断的一般步需2.7数据备份数据备份策略份统。份恢便数系word档可自由复制编辑

份备份后份烦便份上以数是恢2.8网存储直连式存DAS器容存服间以容支错器成。网络附加储NAS：连网提件。raid方式效存储区域络SAN：存存系专据功SAN一网纤网SAN仅量储上部磁盘冗余列RAIDRAID0以个不，交和。盘利用率高速度最快但差因生。RAID1组作对，着盘的高的安全性利率为50%RAID2码输驱度。RAID3奇偶验码（能）存一个独立的磁个，可他进，盘度快，但写入速慢用等场盘利率为

。RAID5盘行条带化分割同奇校验均一盘利用率为

word档可自由复制编辑

RAID0+1，全近似访2.9系可靠性失效率计算串联系统失效率并联系统失效率

11n1nn平均故障时间与率间系

1串联统的可靠2并联统的可靠1)2)Rn可靠与失效率之系

R

(t为间)息是以明文形式发送的消息很容易被“Microsoft网络监视器”这样的网络分析程序截取并解码。未经授权的人