1、訪問控制列表的概念
訪問控制列表(Access Control List,ACL) 是路由器接口的指令列表�,用來控制端口進(jìn)出的數(shù)據(jù)包���。訪問列表(access-list)就是一系列允許和拒絕條件的集合���,通過訪問列表可以過濾發(fā)進(jìn)和發(fā)出的信息包的請求,實現(xiàn)對路由器和網(wǎng)絡(luò)的安全控制�。路由器一個一個地檢測包與訪問列表的條件����,在滿足第一個匹配條件后���,就可以決定路由器接收或拒收該包���。
2、ACL的作用
1)ACL可以限制網(wǎng)絡(luò)流量���、提高網(wǎng)絡(luò)性能����。
2)ACL提供對通信流量的控制手段�。
3)ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。
4)ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞�����。
3�、ACL的分類
ACL包括兩種類型:
1)標(biāo)準(zhǔn)訪問列表:只檢查包的源地址�����。
2)擴(kuò)展訪問列表:既檢查包的源地址,也檢查包的目的地址�,也可以檢查特殊的協(xié)議類型、端口以及其他參數(shù)�����,具有更大的自由度��。
4����、ACL的執(zhí)行過程
一個端口執(zhí)行哪條ACL,這需要按照列表中的條件語句執(zhí)行順序來判斷�。如果一個數(shù)據(jù)包的報頭跟表中某個條件判斷語句相匹配,那么后面的語句就將被忽略���,不再進(jìn)行檢查���。
數(shù)據(jù)包只有在跟第一個判斷條件不匹配時,它才被交給ACL中的下一個條件判斷語句進(jìn)行比較���。如果匹配(假設(shè)為允許發(fā)送)�,則不管是第一條還是最后一條語句�,數(shù)據(jù)都會立即發(fā)送到目的接口�����。如果所有的ACL判斷語句都檢測完畢��,仍沒有匹配的語句出口�,則該數(shù)據(jù)包將視為被拒絕而被丟棄�����。
5��、ACL的取值范圍
在路由器配置中����,標(biāo)準(zhǔn)ACL和擴(kuò)展ACL的區(qū)別是由ACL的表號來體現(xiàn)的,下表指出了每種協(xié)議所允許的合法表號的取值范圍���。
6��、正確放置ACL
ACL通過過濾數(shù)據(jù)包并且丟棄不希望抵達(dá)目的地的數(shù)據(jù)包來控制通信流量。然而�����,網(wǎng)絡(luò)能否有效地減少不必要的通信流量,這還要取決于網(wǎng)絡(luò)管理員把ACL放置在哪個地方��。
1)標(biāo)準(zhǔn)ACL要盡量靠近目的端�。
2)擴(kuò)展ACL要盡量靠近源端。
7�����、ACL的配置
ACL的配置分為兩個步驟:
1)第一步:在全局配置模式下��,使用下列命令創(chuàng)建ACL:
Router (config)# access-list access-list-number {permit | deny } {test-conditions}
其中����,access-list-number為ACL的表號。人們使用較頻繁的表號是標(biāo)準(zhǔn)的IP ACL(1—99)和擴(kuò)展的IP ACL(100-199)���。
在路由器中���,如果使用ACL的表號進(jìn)行配置,則列表不能插入或刪除行����。如果列表要插入或刪除一行,必須先去掉所有ACL,然后重新配置����。
2)第二步:在接口配置模式下,使用access-group命令A(yù)CL應(yīng)用到某一接口上:
Router (config-if)# {protocol} access-group access-list-number {in | out }
其中��,in和out參數(shù)可以控制接口中不同方向的數(shù)據(jù)包����,如果不配置該參數(shù),缺省為out�����。
ACL在一個接口可以進(jìn)行雙向控制���,即配置兩條命令�,一條為in��,一條為out�����,兩條命令執(zhí)行的ACL表號可以相同�����,也可以不同�。但是,在一個接口的一個方向上�����,只能有一個ACL控制���。
值得注意的是���,在進(jìn)行ACL配置時,網(wǎng)管員一定要先在全局狀態(tài)配置ACL表�����,再在具體接口上進(jìn)行配置�,否則會造成網(wǎng)絡(luò)的安全隱患。
7�、實例說明
---- 例如:僅允許內(nèi)部IP地址為11.66.129.1和 11.66.129.2的主機(jī)訪問外部,禁止外部訪問內(nèi)部網(wǎng)主機(jī)的telnet和ftp端口。
router(config)#ip access-list 1 permit
11.66.129.1 0.0.0.0
router(config)#ip access-list 1 permit
11.66.129.2 0.0.0.0
router(config)#ip access-list 101 deny
tcp any any eq 23
router(config)#ip access-list 101 deny
tcp any any eq 21
router(config)#ip access-list 101 deny
tcp any any eq 20
(其中20�����、21為FTP的端口,23為TELNET端口)
router(config)#ip access-list 101 permit ip any any
router(config)#int e0
router(config-if)#ip access-group 1 out
router(config-if)#ip access-group 101 in
router(config-if)#exit
二���、IOS升級
1�����、Cisco路由器的存儲器
路由器與計算機(jī)有相似點(diǎn)是�����,它也有內(nèi)存�����、操作系統(tǒng)�、配置和用戶界面����,Cisco路由器中,操作系統(tǒng)叫做互連網(wǎng)操作系統(tǒng)(Internetwork Operating System)或IOS�。下面主要介紹路由器的存儲器。
ROM:只讀存儲器包含路由器正在使用的IOS的一份副本���;
RAM:IOS將隨機(jī)訪問存儲器分成共享和主存�����。主要用來存儲運(yùn)行中的路由器配置和與路由協(xié)議有關(guān)的IOS數(shù)據(jù)結(jié)構(gòu)����;
閃存(FLASH):用來存儲IOS軟件映像文件����,閃存是可以擦除內(nèi)存,它能夠用IOS的新版本覆寫����,IOS升級主要是閃存中的IOS映像文件進(jìn)行更換。
NVRAM:非易失性隨機(jī)訪問存儲器����,用來存儲系統(tǒng)的配置文件。
2��、路由器IOS升級過程
1)安裝TFTP服務(wù)器軟件����。
此類軟件有TFTPServer等(http://cisco-net.網(wǎng)站上有該軟件)。
2)路由器IOS升級及配置文件的保存
Cisco把它的系統(tǒng)軟件存放在Flash memory里��,每次啟動路由器時,從Flash memory里調(diào)出系統(tǒng)并執(zhí)行它��。開機(jī)后進(jìn)入初始化配置或用"configer"����,"setup"作配置后,所作的配置要保存起來以便下一次啟動直接運(yùn)行,這就是配置文件了�。配置文件存在非易失的NVRAM中。配置文件分成start-up configer和running configer兩種�。Start-up configer是開機(jī)時啟動NVRAM配置。
A���、備份系統(tǒng)映象和配置文件
把系統(tǒng)文件和配置文件保存在網(wǎng)中的服務(wù)器上是一個很好的做法��,幫助你在系統(tǒng)或配置文件丟失時,盡快恢復(fù)系統(tǒng)正常運(yùn)行�。
拷貝系統(tǒng)映象到網(wǎng)絡(luò)服務(wù)器���,首先顯示IOS文件的文件名: show flash �,拷貝系統(tǒng)文件到TFTP Server:copy flash tftp�。
拷貝配置文件到網(wǎng)絡(luò)服務(wù)器,把配置文件保存在TFTP Server中 copy running-config tftp 或copy startup-config tftp ����。
B�����、升級系統(tǒng)映象和配置文件
當(dāng)系統(tǒng)出現(xiàn)故障�����,系統(tǒng)升級��,配置文件拷貝,我們需要把服務(wù)器里軟件拷貝到路由器里���。把系統(tǒng)映象從網(wǎng)絡(luò)服務(wù)器拷貝到Flash Memory��。網(wǎng)絡(luò)上要有臺計算機(jī)作TFTP Server��,用TFTP把系統(tǒng)文件拷貝到路由器的Flash memeory中�����。
拷貝系統(tǒng)文件到Flash memory:
copy tftp flash
copy tftp file-id (Cisco 7000,7200和7500系列)
把配置文件從網(wǎng)絡(luò)服務(wù)器拷貝到路由器NVRAM����。
copy tftp running-config
copy tftp startup-config ���。
升級過程還需注意以下幾點(diǎn):
1)配置路由器的計算機(jī)最好能使用串口接到路由器的CONSOL口上���,TFTP服務(wù)器軟件安裝在該計算機(jī)上�����,以利于將IOS文件可靠的傳送�����。TFTP服務(wù)器的IP的地址要和路由器的以太網(wǎng)口在一個網(wǎng)段上�。
2)在升級IOS時要注意��,升級新版本IOS文件如果大于FLASH內(nèi)存容量時���,應(yīng)增加FLASH容量�����。
3)在做升級時一定要慎重��,以免丟失操作系統(tǒng)文件��,不能啟動系統(tǒng)���。
三���、口令設(shè)置和密碼恢復(fù)
1、路由器口令類別
● 有效加密口令(enabled secret password):安全級別最高的加密口令�����,在路由器的配置表中以密碼的形式出現(xiàn)�;
● 有效口令(enabled password):安全級別高的非加密口令,當(dāng)沒有設(shè)置有效加密口令時��,使用該口令;
● 終端口令(console password):用于防止非法或未授權(quán)用戶修改路由器配置的口令�,在用戶通過主控終端對路由器進(jìn)行設(shè)置時����,使用該口令。
● 遠(yuǎn)程配置口令(telnet password):用于防止非法或未授權(quán)用戶通過網(wǎng)絡(luò)遠(yuǎn)程修改路由器配置的口令���,在用戶通過telnet方式對路由器進(jìn)行設(shè)置時���,使用該口令。
2��、路由器口令的設(shè)置
1)有效加密口令和有效口令用于用戶進(jìn)入路由器的特權(quán)配置模式。
router(config) #enable secret zheng
router(config) #enable password zheng
2)控制臺口令防止非授權(quán)用戶從控制口對路由器進(jìn)行配置�����。
router#line console 0對控制端口設(shè)置口令
router(config-line)#login
router(config-line)#password cisco
3)遠(yuǎn)程配置口令防止非授權(quán)用戶從網(wǎng)絡(luò)上用TELNET方式對路由器進(jìn)行配置�����。
router#line vty 0 4
router(config-line)#login
router(config-line)#password cisco
如果在顯示配置信息時���,口令以明文方式存放��,無關(guān)人員在一旁就能觀察到密碼����,這樣很不安全����,通過對口令字的加密可使所設(shè)置的口令以密文形式存放。這樣在顯示配置文件時旁人無法辨認(rèn)��,可進(jìn)一步保護(hù)系統(tǒng)安全����。命令格式為EXEC狀態(tài)下輸入service password-encryption��。這樣利用write terminal 和show configuration命令時將無法獲得用戶的口令字����。需要注意的是��,口令對字母的大小寫敏感����。
3、口令恢復(fù)原理
Cisco 路由器可以保存幾種不同的配置參數(shù)���,并存放在不同的內(nèi)存模塊中�。以Cisco 2500系列為例���,其內(nèi)存包括:ROM、閃存(Flash Memory)����、不可變RAM(NVRAM)、RAM和動態(tài)內(nèi)存(DRAM)五種���。一般地����,路由器啟動時,首先運(yùn)行ROM中的程序�,進(jìn)行系統(tǒng)自檢及引導(dǎo),然后運(yùn)行閃存中的IOS����,并在NVRAM中尋找路由器配置,并裝入DRAM中�����。
口令恢復(fù)的關(guān)鍵在于對配置登記碼(Configuration Register Value)進(jìn)行修改��,從而讓路由器從不同的內(nèi)存中調(diào)用不同的參數(shù)表進(jìn)行啟動�。有效口令存放在NVRAM 中,因此修改口令的實質(zhì)是將登記碼進(jìn)行修改���,從而讓路由器跳過NVRAM 中的配置表�,直接進(jìn)入ROM 模式�,然后對有效口令和終端口令進(jìn)行修改或者重新設(shè)置有效加密口令( 因為有效加密口令為加密亂碼,無法進(jìn)行恢復(fù)���,只可以刪掉或改寫)���,完成后再將登記碼恢復(fù)�。
4�、口令恢復(fù)步驟
1)將路由器Console端口連接到PC機(jī)的串口(如COM1或COM2)上。
2)啟動超級終端���,把配置設(shè)為9600波特率�、8 個數(shù)據(jù)位�����、無奇偶校驗���、1 個停止位����。
3)在“>”提示符下�,用Show Version 命令查看登記碼(一般為0x2102或0x102),記住此登記碼���,在第9步要將此登記碼還原。
4)查看登記碼,如果中斷屏蔽(即登記碼的第4位為1)���,則重啟路由器����,并在開機(jī)后30秒鐘內(nèi)按Ctrl+Break鍵�;如果中斷未屏蔽,則發(fā)送中斷(Cisco公司提供的技術(shù)手冊注明要在開機(jī)后60秒內(nèi)按Break鍵)�����。
5)根據(jù)路由器系列不同����,分別進(jìn)行如下配置:
● 如路由器是2000、2500��、3000����、680x0 based 4000、7000系列���,IOS版本為10.0以下或出現(xiàn)“>”提示符:
> o/r 0x42
> i
● 如路由器是1003�、1004、3600����、4500、4700���、72xx��、75xx系列或出現(xiàn) “ROMMON>” 提示符:
ROMMON> confreg 0x42
ROMMON> reset
6)當(dāng)提示是否進(jìn)入配置對話框時(Would you like to enter the initial configuration dialog? [yes]:)����,回答“NO”�����。在出現(xiàn)“Press RETURN to get started!”提示時�,按回車鍵,進(jìn)入ROM 模式“ Router > ”�。
7)鍵入enable命令進(jìn)入EXEC狀態(tài), 鍵入Router#show config查看原路由器配置和未加密口令,建議此時立刻做一個文本備份文件����,以免誤操作將原路由器配置丟失; 再鍵入Router#configuration memory,將NVRAM模式中的參數(shù)表裝入內(nèi)存。
8)鍵入Router#configure terminal 命令進(jìn)行配置�,從配置表中找出(或改寫)忘記的有效口令�����;更改完畢后一定要寫入NVRAM中。
9)將第3步查到的登記碼還原����,一般為0x2102(即從閃存正常啟動,并屏蔽中斷)�����,并激活所有端口(系統(tǒng)會將所有端口自動關(guān)閉):
Router#config-register 0x2102
Router(config)#interface xx
Router(config-if)#no shutdown
Router#Ctrl-Z
10)重新啟動路由器:Router# reload
經(jīng)過以上步驟�,即可以在不丟失原有路由器配置的情況下,找到或更改口令����。
CCNA筆記
第一章, 網(wǎng)際互連
把一個大的網(wǎng)絡(luò)劃分為一些小的網(wǎng)絡(luò)就稱為網(wǎng)絡(luò)分段����,這些工作由路由器,交換機(jī)和網(wǎng)橋來按成���。
引起LAN通信量出現(xiàn)足賽的可能原因如下:
1. 在一個廣播域中有太多的主機(jī)
2. 廣播風(fēng)暴
3. 組播
4. 低的帶寬
路由器被用來連接各種網(wǎng)絡(luò)��,并將數(shù)據(jù)包從一個網(wǎng)絡(luò)路由到另一個網(wǎng)絡(luò)��。
默認(rèn)時�,路由器用來分隔廣播域�����,所謂廣播域����,是指王端上所有設(shè)備的集合,這些設(shè)備收聽送往那個王端的所有廣播����。盡管路由器用來分隔廣播域,但重要的是要記住�����,路由器也用來分隔沖突域����。
在網(wǎng)絡(luò)中使用路由器有兩個好處:
1. 默認(rèn)時路由器不會轉(zhuǎn)發(fā)廣播。
2. 路由器可以根據(jù)第三層(網(wǎng)絡(luò)層)信息對網(wǎng)絡(luò)進(jìn)行過濾。
默認(rèn)時��,交換機(jī)分隔沖突域��。這是一個以太網(wǎng)術(shù)語���,用來描述:某個特定設(shè)備在網(wǎng)段上發(fā)送一個數(shù)據(jù)包,迫使同一個網(wǎng)段上的其他設(shè)備都必須主要道這一點(diǎn)��。在同一時刻����,如果兩個不同的設(shè)備試圖發(fā)送數(shù)據(jù)包,就會產(chǎn)生沖突域���,此后�����,兩個設(shè)備都必須重新發(fā)送數(shù)據(jù)包����。
網(wǎng)際互連模型
當(dāng)網(wǎng)絡(luò)剛開始出現(xiàn)時��,典型情況下���,只能在同一制造商的計算機(jī)產(chǎn)品之間進(jìn)行通信�����。在20世紀(jì)70年代后期��,國際標(biāo)準(zhǔn)化組織創(chuàng)建了開放系統(tǒng)互聯(lián)參考模型�,也就是OSI七層模型。
OSI模型時為網(wǎng)絡(luò)而構(gòu)建的最基本的層次結(jié)構(gòu)模型���。下面是分層的方法����,以及怎樣采用分層的方法來排除互聯(lián)網(wǎng)絡(luò)中的故障����。
分層的方法
參考模型時一種概念上的藍(lán)圖,描述了通信是怎樣進(jìn)行的��。他解決了實現(xiàn)有效通信所需要的所有過程����,并將這些過程劃分為邏輯上的組,稱為層。
參考模型的優(yōu)點(diǎn)
OSI模型時層次化的��,任何分層的模型都有同樣的好處和優(yōu)勢����。
采用OSI層次模型的優(yōu)點(diǎn)如下,當(dāng)然不僅僅是這些:
1. 通過網(wǎng)絡(luò)組件的標(biāo)準(zhǔn)化��,允許多個提供商進(jìn)行開發(fā)���。
2. 允許各種類型網(wǎng)絡(luò)硬件和軟件相互通信。
3. 防止對某一層所作的改動影響到其他的層���,這樣就有利于開發(fā)�����。
OSI參考模型
OSI模型規(guī)范重要的功能之一�����,是幫助不能類型的主機(jī)實現(xiàn)相互之間的數(shù)據(jù)傳輸���。
OSI模型有7個不同的層,分為兩個組。上面三層定義了中斷系統(tǒng)中的應(yīng)用程序?qū)⒈槐舜送ㄐ?��,以及如何與用戶通信���。下面4層定義了三怎樣進(jìn)行端到端的數(shù)據(jù)傳輸。
下面4層定義了怎樣通過物力電纜或者通過交換機(jī)和路由器進(jìn)行數(shù)據(jù)傳輸���。
傳輸層:
1. 提供可靠或不可靠的傳輸
2. 在重傳之前執(zhí)行錯誤糾正
網(wǎng)絡(luò)層:
1. 提供邏輯尋址,以便進(jìn)行路由選擇.
數(shù)據(jù)鏈路層:
1. 將數(shù)據(jù)包組合為字節(jié),字節(jié)組合為幀
2. 使用MAC地址提供對介質(zhì)的訪問
3. 執(zhí)行錯誤檢測���,但不糾正
物理層:
1. 在設(shè)備之間傳輸比特流
2. 制定電壓大小、線路速率和電纜的引腳數(shù)
工作在OSI模型的所有7層的網(wǎng)絡(luò)設(shè)備包括:
1. 網(wǎng)絡(luò)管理系統(tǒng)(NMS)
2. WEB和應(yīng)用程序服務(wù)器
3. 網(wǎng)關(guān)(非默認(rèn)網(wǎng)關(guān))
4. 網(wǎng)絡(luò)主機(jī)
OSI參考模型的7層和各層的功能
1. Application layer 文件����、打印、消息�、數(shù)據(jù)庫和應(yīng)用程序
2. Presentation layer 數(shù)據(jù)加密、壓縮和轉(zhuǎn)換服務(wù)
3. Session layer 會話控制
4. Transport layer 端到端連接
5. Network layer 路由選擇
6. Data Link layer 數(shù)據(jù)組合成幀
7. Physical layer 物理拓?fù)?br>
應(yīng)用層:OSI模型的應(yīng)用層是用戶與計算機(jī)進(jìn)行實際通信的地方�。
表示層:表示層因它的用途而得名:它為應(yīng)用層提供數(shù)據(jù),并負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)換和代碼的格式化����。
會話層:會話層負(fù)責(zé)建立、管理和終止表示層實體之間的會話連接�����。
傳輸層:傳輸層將數(shù)據(jù)分段并重組為數(shù)據(jù)流。
網(wǎng)絡(luò)層:網(wǎng)絡(luò)層負(fù)責(zé)設(shè)備的尋址��,跟蹤網(wǎng)絡(luò)中設(shè)備的位置�����,并決定傳送數(shù)據(jù)的最佳路徑�����,這意味著網(wǎng)絡(luò)層必須在位于不同地區(qū)的互聯(lián)設(shè)備之間傳輸數(shù)據(jù)流���。
數(shù)據(jù)鏈路層:數(shù)據(jù)鏈路層提供數(shù)據(jù)的物理傳輸,并處理出錯通知��、網(wǎng)絡(luò)拓?fù)浜土髁靠刂啤?br>
物理層:物理層是最低層�,物理層的功能有兩個:發(fā)送和接收位流。
以太網(wǎng)(ETHERNET)組網(wǎng)
以太網(wǎng)采用競爭型的介質(zhì)訪問方法���,允許網(wǎng)絡(luò)上的所有主機(jī)共享同一條鏈路的帶寬�����。
以太網(wǎng)采用帶沖突檢測的載波監(jiān)聽多路訪問(CSMA/CD)技術(shù)����。
采用CSMA/CD協(xié)議的網(wǎng)絡(luò)將承受巨大的沖突壓力,包括:
1. 延遲
2. 低的吞吐量
3. 擁塞
半雙工和全雙工以太網(wǎng)
半雙工以太網(wǎng)在原始的802.3以太網(wǎng)中定義�����,它只適用一對線纜��,數(shù)字信號在線路上是雙向傳輸?shù)摹?br>半雙工以太網(wǎng)也采用CSMA/CD協(xié)議�,以防止產(chǎn)生沖突,如果產(chǎn)生了沖突���,就允許重傳�����。
全雙工以太網(wǎng)是用兩對電纜線���,而不失向半雙工方式那樣是用一對電纜線。
全雙工以太網(wǎng)可以用于下列3種情況:
1. 交換機(jī)到主機(jī)的連接
2. 交換機(jī)到交換機(jī)的連接
3. 使用交叉電纜的從主機(jī)到主機(jī)的連接
以太網(wǎng)的數(shù)據(jù)鏈路層
以太網(wǎng)的數(shù)據(jù)鏈路層負(fù)責(zé)以太網(wǎng)尋址�����,通常成其為硬件尋址或MAC尋址。
有四種不同類型的以太網(wǎng)幀可用:
1. Ethernet_II
2. IEEE 802.3
3. IEEE 802.2
4. SNAP
Ethernet尋址
它采用截至訪問控制(Media Access Control, MAC)地址進(jìn)行尋址�����,MAC地址被燒入每個以太網(wǎng)網(wǎng)卡中�����。MAC地址也叫硬件地址�����,它采用48位(6個字節(jié))的十六進(jìn)制格式��。
Ethernet幀
數(shù)據(jù)鏈路層負(fù)責(zé)將位組合成字節(jié)���,并將字節(jié)組合成幀�。
802.3幀的格式:
前導(dǎo)(Preambl)
幀起始定界符/同步(Start Frame Delimiter,SFD)/Synch
目的地址(Destination Address,DA)
源地址(Source Address,SA)
長度(Length)或類型(Type)字段
數(shù)據(jù)(Data)
幀效驗序列(Frame Check Sequence,FCS)
Ethernet物理層
Ethernet最早由DIX實現(xiàn)�����。這是一種傳輸速率為10Mb/s的網(wǎng)絡(luò)���,其物理介質(zhì)可以是同軸電纜�、雙絞線和光纖�����。
下面是原始的IEEE 802.3標(biāo)準(zhǔn):
10Base2
10Base5
10BaseT
下面是擴(kuò)展的IEEE 802.3標(biāo)準(zhǔn):
100BaseTX
100BaseFX
1000BaseCX
1000BaseT
1000BaseSX
1000BaseLX
Ethernet電纜的連接
可用的Ethernet電纜類型有:
1. 直通電纜
2. 交叉電纜
3. 反轉(zhuǎn)電纜
直通電纜:
1. 主機(jī)到交換機(jī)或集線器
2. 路由器到交換機(jī)或集線器
交叉電纜:
1. 交換機(jī)到交換機(jī)
2. 集線器到集線器
3. 主機(jī)到主機(jī)
4. 集線器到交換機(jī)
5. 路由器直連到主機(jī)
反轉(zhuǎn)電纜:
這種類型的電纜不是用來將各種Ethernet部件連接起來���,而是反轉(zhuǎn)的Ethernet電纜來實現(xiàn)從主機(jī)到路由器控制臺串行通信(com)端口的連接�。
無線聯(lián)網(wǎng)(Wireless Networking)
下面是各種類型的無線網(wǎng)絡(luò)
1. 窄帶無線(Narrowband Wireless LAN)
2. 個人通信服務(wù)(PCS)
3. 窄帶PCS
4. 寬帶PCS
5. 衛(wèi)星
6. 紅外無線LAN
7. 擴(kuò)頻無線LAN
數(shù)據(jù)封裝
當(dāng)主機(jī)向其他的設(shè)備跨網(wǎng)絡(luò)傳輸數(shù)據(jù)時�,數(shù)據(jù)就要進(jìn)行封裝,就是在OSI模型的每一層加上協(xié)議信息�����。每一層只與接收設(shè)備上相應(yīng)的對等層進(jìn)行通信���。
Cisco的3層(層次)模型
Cisco的層次模型可以用來幫助設(shè)計����,實現(xiàn)核維護(hù)可擴(kuò)展的�、可靠的、性能價格比高的層次化的互聯(lián)網(wǎng)絡(luò)����。
Cisco定義了3個層次�����,下面是3個層次和他們的典型功能:
1. 核心層:骨干
核心層就是網(wǎng)絡(luò)的中心����。他位于頂層����,負(fù)責(zé)可靠而迅速的傳輸大量的數(shù)據(jù)流。網(wǎng)絡(luò)核心層的唯一意圖是����,盡可能快的交換數(shù)據(jù)流。
2. 分配層:路由
分配層有時也稱為工作組層��,它是接入層和核心層之間的通信點(diǎn)�����。分配層主要功能是提供路由�、過濾和WAN接入,如果需要的話��,他還決定數(shù)據(jù)報可以怎樣對核心層進(jìn)行訪問�����。
3. 接入層:交換
接入層控制用戶和工作組對互聯(lián)網(wǎng)絡(luò)資源的訪問���。接入層也稱桌面層����。大多數(shù)用戶所需要的網(wǎng)絡(luò)資源將在本地獲得�,分配層處理遠(yuǎn)程服務(wù)的數(shù)據(jù)流。
CCNA筆記2
第二章����, 因特網(wǎng)協(xié)議
TCP/IP和DoD模型
DoD模型是OSI模型的一個基本的、濃縮的版本��,他只有四個層次�,而不是七個:
1. 過程/應(yīng)用層
2. 主機(jī)到主機(jī)層
3. 因特網(wǎng)層
4. 網(wǎng)絡(luò)接入層
在DoD模型的過程/應(yīng)用層中包含了大量的協(xié)議它集成了各種應(yīng)用和功能來省城一個可以和OSI模型中三個高層(應(yīng)用層、表示層和會話層)相對應(yīng)的集合��。
過程/應(yīng)用層協(xié)議
1. Telnet
它允許一個用戶在一個遠(yuǎn)程的客戶機(jī)上�,訪問另一臺機(jī)器上的資源。
2. FTP
文件傳輸協(xié)議實際上就是傳輸文件的協(xié)議�,它可以應(yīng)用在任意兩個主機(jī)之間。
3. TFTP
簡單文件傳輸協(xié)議是FTP的簡化版本,只有在你確切地知道想到得到的文件名及他的準(zhǔn)確位置時�,才可有選擇的使用TFTP。
4. NFS
網(wǎng)絡(luò)文件系統(tǒng)在文件共享中是一個特殊的協(xié)議珍寶���。他允許兩個不同類型的文件系統(tǒng)實現(xiàn)互操作�����。
5. SMTP
簡單又見傳輸協(xié)議��,是對應(yīng)于我們普遍使用的被稱為E-mail的應(yīng)用��,他描述了郵件投遞中的假脫機(jī)�、排列及方法��。
6. LPD
行式打印機(jī)守護(hù)進(jìn)程協(xié)議��,使被設(shè)計用于實現(xiàn)打印機(jī)共享的�����。
7. X Window
為客戶-服務(wù)器業(yè)務(wù)而設(shè)計�,X Window定義了一個編寫基于圖形化用戶界面(GUI)的客戶-服務(wù)器應(yīng)用程序的協(xié)議
8. SNMP
簡單網(wǎng)絡(luò)管理協(xié)議采集并使用一些有價值的網(wǎng)絡(luò)信息。
9. DNS
域名服務(wù)可以解析主機(jī)名�,特別是Internet名。
10. DHCP/BootP
動態(tài)主機(jī)配置協(xié)議可以為主機(jī)分配IP地址。
主機(jī)到主機(jī)層協(xié)議
主機(jī)到主機(jī)層的主要目的�����,是將上層的應(yīng)用從網(wǎng)絡(luò)傳輸?shù)膹?fù)雜性中屏蔽出來�。
在這里將描述著一層上的兩個協(xié)議:
1. 傳輸控制協(xié)議(TCP)
2. 用戶數(shù)據(jù)報協(xié)議(UDP)
傳輸控制協(xié)議
傳輸控制協(xié)議通常是從應(yīng)用程序中得到大段的信息數(shù)據(jù)���,然后將它分割成若干個數(shù)據(jù)段�����。
TCP的數(shù)據(jù)段格式
TCP報頭是一個20字節(jié)長的段�����,在帶有選項時可以達(dá)到24個字節(jié)���。
在TCP數(shù)據(jù)段中包含如下字段:
1. 源端口
2. 目的端口
3. 序列號
4. 確認(rèn)應(yīng)答號
5. 偏移量
6. 保留
7. 代碼位
8. 窗口
9. 效驗和
10. 緊急指針
11. 選項
12. 數(shù)據(jù)
用戶數(shù)據(jù)報協(xié)議
如果將用戶數(shù)據(jù)報協(xié)議(UDP)與TCP座一個比較,UDP基本是一個縮小規(guī)模的經(jīng)濟(jì)化模式,有時也被稱為瘦協(xié)議���。
UDP數(shù)據(jù)段的格式
在UDP數(shù)據(jù)段中包含了下列字段:
1. 源端口
2. 目的端口
3. 數(shù)據(jù)段長度
4. CRC
5. 數(shù)據(jù)
主機(jī)到主機(jī)層的重要概念
TCP和UDP的重要功能
TCP UDP
排序 無序
可靠 不可靠
面向連接 無連接
虛電路 低開銷
確認(rèn) 無確認(rèn)
窗口流量確認(rèn) 沒有窗口或流量控制
端口號
TCP和UDP都必須使用端口號來與上層進(jìn)行通信����,因為他們需要跟蹤同時使用網(wǎng)絡(luò)進(jìn)行的不同的會話過程。不使用帶有眾所周知的端口號的應(yīng)用程序的虛電路時從一個指定的范圍中隨機(jī)地指定端口號����。
下面解釋了可以使用的不同的端口號:
1. 低于1024的端口號被稱為眾所周知的端口號,他們是由RFC 3232所定義���。
2. 大于1024及1024的端口號被上層用來建立與其他主機(jī)的會話�����,并且在TCP數(shù)據(jù)段中被TCP用來作為源方和目的方的地址��。
因特網(wǎng)層協(xié)議
在DoD的模型中����,設(shè)置因特網(wǎng)層有兩個主要的理由:路由及為上層提供一個簡單的網(wǎng)絡(luò)接口。
沒有任何一個其他的高層或低層協(xié)議會涉及到任何有關(guān)路由的功能���,這個復(fù)雜和重要的任務(wù)是完全屬于因特網(wǎng)層���。
因特網(wǎng)層協(xié)議:
1. 因特網(wǎng)協(xié)議(IP)
2. 因特網(wǎng)控制報文協(xié)議(ICMP)
3. 地址解析協(xié)議(ARP)
4. 逆向地址解析協(xié)議(RARP)
因特網(wǎng)協(xié)議(IP)
因特網(wǎng)協(xié)議其實質(zhì)就是因特網(wǎng)層�。其他的協(xié)議僅僅是建在離其基礎(chǔ)上用于支持IP協(xié)議的。
IP是從主機(jī)到主機(jī)層處接受數(shù)據(jù)段的�,在需要時再將他們組合成數(shù)據(jù)報(數(shù)據(jù)包),然后接收方的IP再重新組合數(shù)據(jù)報為數(shù)據(jù)段���。每個數(shù)據(jù)報都被指定了發(fā)送者和接收者的IP地址�。每個接收了數(shù)據(jù)報的路由器都是基于數(shù)據(jù)包的目的IP地址來決定路由的���。
構(gòu)成IP報頭的字段如下:
1. 版本 4
2. 報頭長度(HLEN) 4
3. IP優(yōu)先位或ToS 8
4. 總長度 16
5. 標(biāo)識 16
6. 標(biāo)志 3
7. 分段偏移 13
8. TTL(存活期) 8
9. 協(xié)議 8
10. 報頭和效驗和 16
11. 源IP地址 32
12. IP選項 0或32
13. 數(shù)據(jù) 可變
注:后面的數(shù)字表示長度
在IP報頭的協(xié)議字段中可能發(fā)現(xiàn)的協(xié)議
協(xié)議 協(xié)議號
ICMP 1
IGRP 9
EIGRSP 88
OSPF 89
IPv6 41
GRE 47
IPX in IP 111
Layer-2 tunnel(L2TP) 115
因特網(wǎng)控制報文協(xié)議
因特網(wǎng)控制報文協(xié)議(ICMP)工作在網(wǎng)絡(luò)層�,它被IP用于提供許多不同的服務(wù)����。ICMP是一個管理性協(xié)議���,并且也是一個IP信息服務(wù)的提供者����。他的信息是被作為IP數(shù)據(jù)報來傳送的����。
下面是與ICMP相關(guān)的一些常見的事件和信息:
1. 目的不可達(dá) 如果路由器不能再向前發(fā)送某個IP數(shù)據(jù)報,這是路由器會使用ICMP來傳送一個信息返回給發(fā)送端�����,來通告這一情況�����。
2. 緩沖區(qū)滿 如果路由器用于接收輸入數(shù)據(jù)的內(nèi)存緩沖區(qū)已經(jīng)滿了�,他將會使用ICMP向外發(fā)送這個信息直道擁塞解除�。
3. 跳 每個ip數(shù)據(jù)報都被分配了一個所允許經(jīng)過路由器個數(shù)的數(shù)值����,被稱為跳(hop)�����。
4. Ping Ping(即數(shù)據(jù)包的因特網(wǎng)探測)使用ICMP回應(yīng)信息在互聯(lián)網(wǎng)絡(luò)上檢查計算機(jī)間物理連接的連通性��。
5. Traceroute Traceroute是通過使用ICMP的超時機(jī)制����,來發(fā)現(xiàn)一個數(shù)據(jù)報在穿越互聯(lián)網(wǎng)絡(luò)時它所經(jīng)歷的路徑���。
地址解析協(xié)議(ARP)
地址解析協(xié)議(ARP)可以由已知主機(jī)的IP地址,在網(wǎng)絡(luò)上查找到他的硬件地址�。
逆向地址解析協(xié)議(RARP)
當(dāng)一臺誤判計算機(jī)被用做IP主機(jī)時���,它沒有辦法在其初始化時了解自己的IP地址���。但是他可以知道自己的MAC地址。逆向地址解析協(xié)議(RARP)可以通過發(fā)送一個包含有無盤主機(jī)MAC地址的數(shù)據(jù)包�,來詢問與此MAC地址相對應(yīng)的IP地址���。
二進(jìn)制�����、十進(jìn)制和十六進(jìn)制的轉(zhuǎn)換
二進(jìn)制到十進(jìn)制的記憶表
二進(jìn)制取值 十進(jìn)制取值
10000000 128
11000000 192
11100000 224
11110000 240
11111000 248
11111100 252
11111110 254
11111111 255
十六進(jìn)制到二進(jìn)制到十進(jìn)制表
十六進(jìn)制值 二進(jìn)制值 十進(jìn)制值
0 0000 0
1 0001 1
2 0010 2
3 0011 3
4 0100 4
5 0101 5
6 0110 6
7 0111 7
8 1000 8
9 1001 9
A 1010 10
B 1011 11
C 1100 12
D 1101 13
E 1110 14
F 1111 15
IP尋址
IP地址是IP網(wǎng)絡(luò)上每個計算機(jī)的數(shù)字化標(biāo)識符���。它指明了在此網(wǎng)絡(luò)上某個設(shè)備的位置���。
IP地址是一個軟件地址���,而不是硬件地址,后者是被硬燒錄到網(wǎng)卡(NIC)中的并且主要是用于在本地網(wǎng)絡(luò)上定位主機(jī)的����。
IP術(shù)語
位 一位就是一個數(shù)字��,要么是1��,要么是0
字節(jié) 一個字節(jié)可以是7位或8位
八位位組 就是8位��,一個最基本的8位二進(jìn)制數(shù)
網(wǎng)絡(luò)地址 它是用來指定數(shù)據(jù)包所要傳送的遠(yuǎn)程網(wǎng)絡(luò)
廣播地址 被應(yīng)用程序或主機(jī)用來將信息發(fā)送給網(wǎng)絡(luò)上所有節(jié)點(diǎn)的地址�,我們稱之為廣播地址����。
分層的IP尋址方案
一個IP地址包含有32位的信息。這些位通常被分割為四個部分����,被稱為八位位組或字節(jié),每一部分包含一個字節(jié)(8個位)�����。
可以使用下面3種不同的方式來描述一個IP地址:
1. 點(diǎn)分十進(jìn)制�,如172.16.30.56
2. 二進(jìn)制,10101100.00010000.00011110.00111000
3. 十六進(jìn)制��,AC.10.1E.38
所有例子表示的都是同一個IP地址
網(wǎng)絡(luò)尋址
網(wǎng)絡(luò)地址唯一地制定了每個網(wǎng)絡(luò)��。在同一網(wǎng)絡(luò)中的美態(tài)計算機(jī)都共享相同的網(wǎng)絡(luò)地址,并用它來作為自己IP地址的一部分���。
節(jié)點(diǎn)地址是在一個網(wǎng)絡(luò)中用來標(biāo)識每臺計算機(jī)的���,它是一個唯一的標(biāo)識符。這個地址的節(jié)點(diǎn)部分必須是唯一的��,因為相對于網(wǎng)絡(luò)而言它是用來獨(dú)立的標(biāo)識指定計算機(jī)的��。
因特網(wǎng)的設(shè)計者決定根據(jù)網(wǎng)絡(luò)的大小來創(chuàng)建網(wǎng)絡(luò)的類別����。
三個網(wǎng)絡(luò)類別的總結(jié)
8位 8位 8位 8位
類A 網(wǎng)絡(luò) 主機(jī) 主機(jī) 主機(jī)
類B 網(wǎng)絡(luò) 網(wǎng)絡(luò) 主機(jī) 主機(jī)
類C 網(wǎng)絡(luò) 網(wǎng)絡(luò) 網(wǎng)絡(luò) 主機(jī)
類D 組播
類E 研究
網(wǎng)絡(luò)地址范圍:A類
00000000=0
01111111=127
網(wǎng)絡(luò)地址范圍:B類
10000000=128
10111111=191
網(wǎng)絡(luò)地址范圍:C類
11000000=192
11011111=223
網(wǎng)絡(luò)地址范圍:C類和E類
介于224和255之間的地址是被保留用作D類和E類網(wǎng)絡(luò)的。D類是用于組播的地址(224到239)����,而E類(240到255)是被用于科學(xué)實驗用途的。
網(wǎng)絡(luò)地址:用于特殊目的
有些IP地址是被保留用于某些特殊目的的�,網(wǎng)絡(luò)管理員不能將這些地址分配給節(jié)點(diǎn)。
一些特殊的IP地址:
1.IP地址127.0.0.1:本地回環(huán)(loopback)測試地址
2.廣播地址:255.255.255.255
3.IP地址0.0.0.0:代表任何網(wǎng)絡(luò)
4.網(wǎng)絡(luò)號全為0:代表本網(wǎng)絡(luò)或本網(wǎng)段
5.網(wǎng)絡(luò)號全為1:代表所有的網(wǎng)絡(luò)
6.節(jié)點(diǎn)號全為0:代表某個網(wǎng)段的任何主機(jī)地址
7.節(jié)點(diǎn)號全為1:代表該網(wǎng)段的所有主機(jī)
一些私有地址的范圍:
1.A類地址中:10.0.0.0到10.255.255.255.255
2.B類地址中:172.16.0.0到172.31.255.255
3.C類地址中:192.168.0.0到192.168.255.255
廣播地址:
1.層2廣播:FF.FF.FF.FF.FF.FF,發(fā)送給LAN內(nèi)所有節(jié)點(diǎn)
2.層3廣播:發(fā)送給網(wǎng)絡(luò)上所有節(jié)點(diǎn)
3.單播(unicast):發(fā)送給單獨(dú)某個目標(biāo)主機(jī)
4.多播:由1臺主機(jī)發(fā)出,發(fā)送給不同網(wǎng)絡(luò)的許多節(jié)點(diǎn)
