設置端口為接入鏈路模式:switchport mode access
把某個端口分配:switchport access vlan11
no shuntdown開啟端口
standby 1 ip 203.12.12.253 開啟了冗余熱備份(HSRP)並設虛IP地址
standby 1 priority 110 定義這個三層交換機在冗余熱備份組1中的優先級為110
standby 1 preempt 設置切換許可,即搶占模式
優先級的范圍:1-254
優先級0為系統保留給特殊用途
優先級255系統保留給IP地址擁有者
默認情況下 優先級的取值是100
ISL VLAN ID最大為1023
查詢路由表的命令 show ip route
路由器的配置模式:
router(config) # 全局模式
router > 用戶模式
router # 特權模式
router (config-if) # 局部配置模式(接口/端口配置模式)
接口使用幀中繼封裝格式,命令:encapsulation frame-delay
IPSec不是一個單獨的協議,給出了應用於IP層上網絡數據安全的一整套體系結構,包括網絡認證協議AH,封裝安全載荷協議ESP,密鑰管理協議IKE和用於網絡認證及加密的一些算法。
IPSec規定了如何在對等層之間選擇安全協議,確定安全算法,密鑰交換,向上提供了訪問控制,數據源認證,數據加密等網絡安全服務
IPsec有隧道和傳輸兩種工作方式
傳輸模式:為上層協議提供安全保護,保護IP包的有效載荷(保護的是上層協議如TCP UDP ICMP)
隧道模式:為整個IP包提供保護。
有新IP頭的是隧道方式
有ESP的支持報文加密
端到端通信采用傳輸模式
IPSec安全體系
包括AH, ESP,ISAKMP/Oakley
IPSec認證頭提供了數據完整性和數據源認證,不提供保密服務
AH包含對稱密鑰散列函數,使得第三方無法修改傳輸中的數據
AH為IP包提供信息源和報文完整性驗證,不支持加密服務
IPSec封裝安全負荷(ESP)提供了數據加密功能。ESP利用對稱密鑰對IP數據(如TCP包)進行加密。
IKE:
IKE 傳送認證和加密數據之前,就協議,加密算法,使用的密鑰進行協商,在密鑰交換前還要對遠程系統進行初始認證
IKE實際上是ISAKMP OAKLEY SKEME的混合體
在路由器R1中簡歷IKE策略:
R1(config)#crypto isakmp policy 110 進入isakmp配置模式
R1(config-isakmp)# encryption des 采用des加密算法
R1(config-isakmp)#hash md5 采用MD5散列算法
R1(config-isakmp)#authentication pre-share 認證采用預共享密鑰
R1(config-isakmp)#group 1 參數1表示密鑰使用768位密鑰,參數2表示使用1024密鑰
R1(config-isakmp)# lifetime 3600 安全關聯生存期為1天
R2 R1之間采用預共享密鑰 12345678建立IPsec安全關聯
R1:crypt isakmp key 12345678 address+IP地址
R2:crypt isakmp key 12345678 address
設置名為testvpn的VPN,采用MD5認證,DES進行數據加密
crypto transform-set testvpn ah-md5-hmac esp-des esp-md5-hmac
crypto map名為test 優先級20 IPSec采用IKE自動協商
crypto map test 20 ipsec-isakmp
指定此VPN線路,對端的IP地址為192.168.1.1
set peer 192.168.1.1
IPSec傳輸模式的名字為testvpn
set transform-set testvpn
access-list 300 permit ip 192.168.100.0 0.0.0.255
crypto map vpntest 1 ipsec-isakmp 創建crypto map名字為vpntest
set peer 202.100.2.3
set transform-set link 指定傳輸模式為link
match address 300 指定應用訪問控制列表
interface serial10/0
crypto map vpntest 將加密圖應用到接口vpntest
默認路由是特殊的靜態路由
當路由表中與目的地址之間沒有匹配的表項時路由器能夠做出的選擇
默認路由大大簡化路由器的配置,減輕管理員的工作負擔,提高網絡性能
ip nat inside指定與內部網絡相連的內部端口
ip nat outside指定與外部網絡相連的外部端口
解決無線AP安全,需要通過SSID和MAC地址過濾防止非法鏈接
無線網絡加密方式:
WEP 有線等效私密
WPA/WPA2 (wifi protected access)使用TKIP,加密算法RC4
WPA-PSK/WPA2-PSK AES(高級加密算法)
單模多模
單模兼容多模
單模光纖:遠程通訊,100M以太網以及1G千兆網,都支持5km的傳輸距離
多模光纖:10mbps-100mbps 2000m
1Gbps 550m
10Gbps 100m
基帶同軸電纜
寬帶同軸電纜
雙絞線:100m以內
1類雙絞線
5類雙絞線
6類雙絞線:傳輸速率1Mhz-250Mhz 提供兩倍於超5嘞的帶寬,適於傳輸速率高於1Gbps的應用
2km超出了雙絞線,多模光纖距離
200m超出了雙絞線距離
MPLS:IP數據報封裝在MPLS數據包中
MPLS VPN有三種類型路由器:
P路由器:運營商網絡主干路由器,根據分組的外層標簽對VPN數據進行透明轉發。相當於標簽交換路由器(LSR),只維護到PE路由器的路由信息,不維護VPN相關路由信息
PE路由器:運行商邊緣路由器,LER,將來自CE或標簽交換路徑(LSP)的VPN數據處理后進行轉發,同時負責和其他PE交換信息
CE路由器:用戶邊緣設備,用戶端路由器。CE通過連接一個或多個PE,為用戶提供服務接入
debug:提供端口傳輸信息,節點產生的錯誤信息
POE的標准供電電壓為48V
三種NAT-PT機制實現IPV4到IPV6地址之間的相互轉換:
1。靜態映射
2.動態映射
3. NAPT-PT機制
策略路由:
根據目的地址進行的策略:目的地址路由
根據源地址進行的策略:源地址路由
NAPT 網絡地址和端口翻譯 M:1
用一個公網IP地址將子網中的所有主機的IP地址都隱藏起來
conduct permit tcp host 202.134.135.99 eq www any
允許任意外網主機訪問202.134.135.99提供的www服務
PAP使用明文身份驗證
CHAP通過使用MD5和質詢-響應機制提供一種加密身份驗證
PPTP和L2TP是兩種隧道協議,都是使用PP協議對數據進行封裝,添加附加包頭用於數據在互連網絡上的傳輸
PPP會話撥號過程:
創建鏈路階段,認證階段,網絡協商階段
創建鏈路:由LCP創建鏈路,協商工作方式,認證方式,鏈路壓縮。協商成功后,表示底層鏈路已經建立,進入到認證階段。
認證階段:PPP進行用戶認證。支持PAP和CHAP兩種認證方式。CHAP需要對通信雙方進行認證,PAP是認證方對被認證方的身份進行確認,確認成功后進入網絡協商階段
有限的認證方式:口令字認證協議(PAP)挑戰握手認證協議(CHAP)微軟挑戰握手認證協議(MS-CHAP)
網絡協商階段:成功后,通過PP鏈路發送報文。NCP協議交換數據報文、
創建PPP鏈路,用戶驗證,PPP回叫控制,調用網絡層協議
linux系統的默認目錄
每個目錄的含義 P407
文件類型 d代表目錄 -代表普通文件
更改文件的權限的命令 chmod
chmod [who] [opt] [mod]
chgrp改變文件所屬群組
vi編輯文件
which查找文件
Linux系統中的Samba的主要配置文件/etc/samba/smb.conf
smb.conf文件中有3個主要部分:
全局參數字段
目錄共享字段
打印機共享字段
inetd/xinetd是Linux系統中的一個重要服務
xinted負責網絡服務的守護進程
r w x 可讀 可寫 可執行
RDU2對終端服務具有用戶訪問和來賓訪問權限
Windows Server 2003的活動目錄必須安裝在NTFS分區,並且需要有DNS服務的支持
全局組可以訪問域林中的任何資源的權限,域本地組只能訪問本地域的資源,通用組可以授予多個域中的訪問權限
netstat - nr顯示路由信息
route add default gw 192.168.0.254添加網關為默認路由
/etc/fstab是一個重要的系統配置文件,存放系統中文件系統的信息。系統啟動時,自動從這個文件讀取信息,自動將此文件中指定的文件系統掛載到指定的目錄。
超級用戶可以通過Mount命令將分區加載到指定目錄,從而該分區可以在Linux系統中使用
etc/profile每個用戶登錄時都會運行的環境變量設置
fdisk指令是Linux下通用的磁盤分區工具,可以操縱磁盤分區表,完成對硬盤分區進行管理的各種操作
默認路由:
變種的靜態路由,當路由器在路由表里沒有找到去往特定目標網絡的路由條目時,自動將該目標網絡的所有數據發送到默認路由指定的下一跳路由器
esp 3des sha1
IPSec采用ESP報文,加密算法采用3DES 認證算法采用SHA-1
Hosts文件:
用於存儲計算機網絡中節點信息的文件,將主機名映射到相應的IP地址,實現DNS功能,由計算機用戶控制
windows系統下:c:\windows\system32\drivers\etc\
Linux服務器配置web服務之前,執行命令[root@root] rpm -qa | grep httpd 檢查Apache軟件包是否成功安裝
RPM:red hat package manager
用於在Linux下安裝,刪除軟件
RPM常用參數:
-vh顯示安裝進度
-U升級軟件包
-qpl列出RPM軟件包內的文件信息
-qpi列出RPM軟件包的描述信息
-qf查找指定文件屬於哪個RPM文件包
-Va校驗素有RPM軟件包,查找丟失的文件
-qa查找相應文件 例如rqm -qa mysql
WEB服務配置完成后,用service httpd start啟動web服務
顯示當前DNS緩存:ipconfig/displaydns
刷新DNS緩存:ipconfig/flushdns
更新所有DHCP租約並重新注冊DNS域名:ipconfig/registerdns
Record T也字段為4,存儲記錄是MX
2,存儲記錄 IP地址對應的域名(反向解析)
12 PTR
perimit tcp host 192.168.1.2 host 10.10.1.10 eq telnet
使得內網主機192.168.1.2可以使用Telnet對web服務器進行維護
訪問控制列表
可以用編號和名字來引用
用名字引用的ACL被稱為命名ACL
擴展訪問列表:能夠基於目的地址,端口號和協議來控制數據報
標准ACL命令格式:
access-list access-list-number {perimit|deny] {source [source-wildcard] |any}
擴展ACL格式:
access-list access-list-number {perimit|deny} {protocol \ protocol-keyword} {source [source-wildcard] |any } {protocol-specific options} {destination [destination-wildcard] |any} {protocol-specific options} {log}
e.g. access-list 101 permit tcp any host 192.168.10.30
允許所有主機訪問192.168.10.30
access-list 101 permit tcp 192.168.3.0 0.0.0.255 host 192.168.10.20
允許192.168.3.0訪問192.168.10.20
int vlan 10
ip access-group 101 in 在vlan10的入方向上應用acl 101
access-list 102 deny any any 拒絕所有流量
int vlan 1
ip access-group 102 in 禁止非網絡管理員訪問網絡設備和網管服務器
配置mac和ip綁定:
host pcl {
hardware
fixed-address
}
兩台web服務器采用同一域名主要是對web服務實現負載均衡或防止單點失效
測試DNS服務器是否正常工作;nslookup ping
vsftpd:
應用層FTP協議
傳輸層TCP協議,默認端口號21
service vsftpd start
service vsftpd stop
利用windows系統開啟ICS連接共享功能,實現企業內部用戶代理上網需要兩個網絡連接(不一定是兩張網卡)。需要再一個網絡連接上開啟ICS功能后,另一個網絡連接自動分配192.168.0.1的地址,並且作為內部用戶主機的網關
windows下DHCP服務器的默認地址租約是8天
DHCP作用域:添加保留
DHCP地址池:添加排除地址范圍
DHCP功能配置:
ip dhcp excluded-address 192.168.2.1 192.168.2.2
ip dhcp pool_name
network 192.168.0.0 255.255.0.0 為所有客戶機動態分配的地址段
domain-name csai.com 為客戶機配置域后綴
dns-server 192.168.1.1
netbios-name-server 192.168.1.1 為客戶機配置wins服務器,沒有可以不用配置
lease 10 地址租約期限為10天
default-router 192.168.1.2 為客戶機配置默認的網關地址
IIS下web服務配置,網站屬性中“網站”選項卡中的IP地址選擇“全部未分配”,則該web服務器任意IP地址(如果服務器有多個IP地址的話)都可以響應來自web客戶端的請求
虛擬主機:
windos下web服務器實現虛擬主機,在一台計算機上運行多個網站
不同的IP地址
相同的IP地址,不同的TCP端口號
相同的IP地址,相同的TCP端口號,不同的主機頭
防火牆配置:
PIX(config)#interface ethernet0 anto
interface ethernet1 100full
interface ethernet2 100full
ip address outside ip 掩碼
ip address inside ip 掩碼
ip address dmz ip 掩碼
global (outside) 1 224.4.5.1-224.4.5.6 指定公網地址范圍,定義地址池
nat (inside) 1 0.0.0.0 0.0.0.0 表示內網的所有主機都可以訪問外網
route outside 0 0 224.4.5.2 設置默認路由
配置網關地址為Linux服務器的內網卡地址
指定DHCP服務器本身也是DNS服務器 P471
客戶機地址租約時間到達默認租約時間的50Z%.DHCP客戶端會向DHCP服務器單播DHCP request包,實現續約請求。同意DHCP ACK 不同意 DHCP NAK
windows環境下添加/刪除靜態或默認路由命令格式:
route add 0.0.0.0 mask 0.0.0.0 網關地址 //添加默認路由
route delete 0.0.0.0 刪除默認路由
route delete 0.0.0.0 mask 0.0.0.0 刪除默認路由
route add 192.168.1.0 mask 255.255.255.0 嚇一跳地址(網關地址) //添加靜態路由
route delete 192.168.1.0 //刪除一條靜態路由
windows下DHCP用命令行導入導出DHCP數據庫的命令:
導出:netsh dhcp server export c:\dhcpbackup.txt
導出:netsh dhcp server import c:\dhcpbackup.txt
必須具有本地管理員組(Administrators組)權限才能導出數據
telent端口23
Linux系統目錄結構
/etc 系統配置文件
/sbin 指令文件(用於root用戶)
/home 用戶主目錄,新建用戶后,該用戶的源文件默認建立在此目錄下
/boot 內核和啟動文件
/dev 設備文件
/usr 應用程序放置目錄
/mnt 光驅
/tmp 臨時文件
/root root用戶主目錄
/opt 空文件夾
/proc 內存中實際參數和內核的映像,此文件夾的文件不宜改動
/lib 類庫,用於動態加載內核
/lost+found 恢復誤刪除文件
在linux系統中,每張網卡都有其獨有的配置文件,網卡配置文件根目錄為/etc/sysconfig/network-scripts/
網卡參數配置文件配置完成后,需要重啟網卡腳本,配置內容才能生效
/etc/rc.d/init.d/network restart //腳本啟動
測試DNS服務器狀態的命令:ping tracert nslookup
arp:維護和查看arp記錄,與DNS無關
ipconfig:查看網卡參數,如IP地址,子網掩碼,默認網關,DNS服務器地址等,不能測試DNS服務狀態
網絡服務:DNS DHCP WINS服務組件
寬帶接入技術:
FTTx+PON HFC FTTx+LAN WLAN WiMax xDSL PLC
FTTx+PON 局端放置OLT,單根光纖到小區或大樓中心機房,中心機房經光分器連接到用戶端ONU
HFC:基於有線電視網絡的接入方式,允許用戶通過有線電視網實現高速接入互聯網。
優點速率較高,接入方式方便,可實現多類視頻服務,高速下載
用戶端要部署CableModem
FTTx+LAN:通過光纖接入到小區節點或者樓道,再由網線連接到各個共享點上的光纖,提供一定區域的高速互聯接入。速率高,抗干擾能力強,缺點是一次性布線成本高
xDSL:本地環路提供數字服務,ADLS,ADLSMODEM
WiMax:全球微波互聯接入 802.16 50km QOS保障,傳輸速率高,業務豐富
PLC:電力線通信技術,指利用電力線傳輸數據和媒體信號的一種通信方式,電力線載波
PON技術是未來FTTx的主要解決方案。GPON EPON
EPON結合以太網和PON,實現上下行1.25Gbps