1 计算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。
3 局域网的基本组成
局域网硬件:服务器、工作站、网卡、传输介质和网络互连设备。
局域网软件:网络操作系统、网络协议、网络管理软件和网络应用软件。
4 传输介质:双绞线 同轴电缆 光纤 无线介质
5 双绞线既可以传输模拟信号,也可以传输数字信号。
6 在以太网中双绞线的最大传输距离是100m(米),数据传输率可以达到10Mbps、100Mbps、1000Mbps。
非屏蔽双绞线的特点:无屏蔽外套,直径小,节省所占用的空间。重量轻、易弯曲、易安装。将串扰减至最小或加以消除。具有阻燃性。具有独立性和灵活性,适用于结构化综合布线
7 基带同轴电缆:传输数字信号。 宽带同轴电缆:传输模拟信号。
9 多模光纤比单模光纤在传输距离上要短,但价格较便宜。
10微波通信 优点:调制技术成熟,通信容量大,传输频率宽,受外界干扰小,初建成本低;
缺点:保密性差,误码率高。
卫星通信 优点:覆盖面积大,可靠性高,信道容量大,传输距离远,传输成本不随距离的增加而增大,主要适用于远
距离广域网络的传输。
缺点:卫星成本高、传播延迟时间长、受气候影响大,保密性较差。
11 网络协议的组成要素 语法 语义 同步(时序)
12局域网中的网络通信协议
1、TCP/IP协议:实现异种计算机和计算机网络的互连。2、IPX/SPX协议是Novell公司网络操作系统Netware用的通信协议集。3、NetBEUI(NetBIOS Extend User Interface ,NetBIOS用户扩展接口协议 )是Microsoft给出的本地网络协议,特别适合于在“网络邻居”传送数据 。只能在一个网段内工作。
4、DLC(Data Link Control)数据链路控制协议,用于实现大型计算机与局域网的连接和网络打印机的连接 。
13选择网络通信协议
一个网络尽量只选择一种网络协议,避免协议过多占用内存空间,不利于网络管理,影响计算机运行速度;
选用网络协议的高版本,因为协议高的版本性能好;注意网络环境中各计算机设备的网络协议选取要尽量一致,因为不一致会导致计算机间无法通信。
14五层协议的体系结构
TCP/IP 是四层的体系结构:应用层、运输层、网际层和网络接口层。
五层协议的体系结构 应用层 运输层 网络层 数据链路层 物理层
15 点对点传输结构:星型结构 环型结构 树型结构 网状型结构
广播传输结构:总线型结构 星型结构
星型结构 优点:结构简单,易于实现,便于管理。
缺点:中心节点出故障时,整个网络系统就可能瘫痪,可靠性差。
环型结构 优点:环型结构简单,网络中传输延时确定。
缺点:环中任何一个节点出现故障,都可能造成网络瘫痪,而且环型结构的维护较复杂。
树型结构 优点:通信线路连接简单,网络容易管理维护。
缺点:资源共享能力差,可靠性也较差。
1
网状型结构 优点:系统可靠性高。
系统
17、百兆以太网:100Base-T快速以太网标准保留了10Base-T的介质访问控制CSMA/CD协议和数据帧格式。
在介质访问控制层(物理层)上支持以下三种介质协议:
100Base-TX(5类UTP或1类STP ,全双工,100mbps,100m)
100Base-T4( 3类UTP ,全双工,100mbps,100m)
100Base-FX(两束62.5/125μm多模光纤,100Mbps,全双工, 2000m)
18、千兆以太网技术:使用和传统以太网相同的IEEE802.3 CSMA/CD协议和帧格式。兼容已有以太网。支持全双工,最高速率达到2Gbps。
1000Base-CX:屏蔽铜介质电缆(IEEE802.3z) 1000Base-LX:单模光纤 (IEEE802.3z)
1000Base-SX:多模光纤(IEEE802.3z) 1000Base-T:双绞线(IEEE802.3ab)
ATM组网技术:异步传输模式是一种快速组网交换技术,以信元为传输和交换的基本单位,是一种面向连接的交换技术。信元长度53字节。支持速率155Mbps -24Gbps,标准速率622Mbps 。
19、万兆以太网与传统以太网的区别:只支持全双工,不再支持单工和半双工传输。不采用CSMA/CD机制。提供广域网物理层接口,新标准物理层分为LAN物理层和WAN 物理层
第二章组建对等网
对等网中的每一台计算机既是资源的使用者同时又是资源的提供者,用户要实现资源共享,必须为计算机安装相应的服务组件,即【Microsoft 网络文件和打印机共享】和【Microsoft网络客户端】组件。
“Microsoft 网络的文件和打印机共享”组件允许网络上的其他计算机通过 Microsoft 网络访问用户的计算机资源。默认情况下将安装并启用该组件。每个使用 TCP/IP 的连接都会启用该组件,这样才能共享本地文件夹。
“Microsoft 网络客户端”组件允许计算机访问 Microsoft 网络上的资源。提供资源共享的计算机必须安装“Microsoft 网络的文件和打印机共享”组件。使用共享的计算机必须安装“Microsoft 网络客户端”。 缺点:网络系统结构复杂,一般成本较高。 优点:结构简单,可靠性较高和易于网络的扩充。 缺点:节点的数量对数据传输速度影响较大,一旦网络出现故障,故障定位困难。 总线型结构 16、结构化布线系统的组成 工作区子系统 配线(水平)子系统 干线(垂直)子系统 设备间子系统 管理子系统 建筑群子
高级文件共享:用户管理;共享权限设置;本地文件权限设置;策略管理
计算机上有两种类型的可用用户帐户:计算机管理员帐户和受限制帐户。在计算机上没有帐户的用户可以使用来宾帐户。 网络用户对共享文件的访问权限由本地权限和共享权限中最严格的权限决定。
策略决定了能否通过网络访问共享资源
本地安全策略-安全选项-网络访问:本地帐户的共享和安全模式,选择:经典:本地用户以自己的身份验证。
1、工作组名称一致。
2、启用Guest帐户 ,右击我的电脑\管理\用户有个guest,双击之去掉“账户已停用”前面的勾。
3、本地安全策略-本地策略用户权利指派-拒绝从网络访问这台计算机:把Guest帐户删除。运行组策略(gpedit.msc)\本地计算机\计算机配置\windows 设置\安全设置\本地策略\用户权利指派\拒绝从网络访问这台计算机。如果其中有guest,则将其删除。
4、本机帐户若密码为空,允许其它机器访问本机:本地安全策略-安全选项-帐户:使用空白密码的本地帐户只允许进行控制台登录,设为已停用 !
5、本地安全策略-安全选项-网络访问:本地帐户的共享和安全模式,选择:仅来宾-本地用户以来宾身份验证。 2
计算机管理员帐户:专门为可以对计算机进行全系统更改、安装程序和访问计算机上所有文件的人而设置的。只有拥有计算机管理员帐户的人才拥有对计算机上其他用户帐户的完全访问权。该用户:1、可以创建和删除计算机上的用户帐户。 2、可以为计算机上其他用户帐户创建帐户密码。 3、可以更改其他人的帐户名、图片、密码和帐户类型。 4、无法将自己的帐户类型更改为受限制帐户类型,除非至少有一个其他用户在该计算机上拥有计算机管理员帐户类型。
受限制帐户:
1、无法安装软件或硬件,但可以访问已经安装在计算机上的程序。 2、可以创建、更改或删除其密码。 3、无法更改其帐户名或者帐户类型。使用计算机管理员帐户的用户必须进行这些类型的更改。
来宾帐户:是为了用于那些在计算机上没有用户帐户的人。来宾帐户没有密码,可以快速登录。1、无法安装软件或硬件,但可以访问已经安装在计算机上的程序。 2、无法更改来宾帐户类型
第三章
6.4.1 创建Web站点
IIS 5.0安装后自动在IIS服务器上建立了一个“默认Web站点”。用户可以将自己的主页文件放在系统所在分区的inetpub\wwwroot文件夹下,使用默认的Web站点直接发布主页。
默认的Web站点所默认的端口为80。只有端口号为80的URL地址无须指明端口号,其他端口的地址必须指明端口号。 也可以使用IIS来创建用户自己的Web站点,其步骤如下:
1)打开“Internet信息服务”控制台。
2)鼠标右键单击相应的服务器,在弹出的快捷菜单中依次选取“新建”|“Web站点”,出现“Web站点创建向导欢迎信息”对话框,单击“下一步”,出现“Web站点说明”对话框。
3)在“Web站点说明”对话框中输入Web站点的说明信息,“Internet信息服务”控制台利用这个说明来识别和管理Web站点。单击“下一步”,出现“IP地址和端口设置”对话框。
4)在“IP地址和端口设置”对话框中输入该Web站点的IP地址和对应的端口号,如果选择“全部未分配”,不指定特定的IP地址,该站点将响应所有指定到该计算机并且没有指定到其他站点的IP地址,即该站点是默认的Web站点。单击“下一步”按钮,出现“Web站点主目录”对话框。
5)在“Web站点主目录”对话框中输入该站点文件所存放的文件夹,并选择是否允许匿名访问。这里选择“允许匿名访问”。单击“下一”按钮,出现“Web站点访问权限”对话框。
6)在“Web站点访问权限”对话框中设置对主目录的访问权限。通常按照默认设置即可。单击“下一步”按钮完成新Web站点的创建。
Web站点的说明信息:IP地址和端口设置 Web站点主目录 Web站点访问权限
FTP 特点:
1、文件传送协议 FTP 提供文件传送的一些基本的服务,它使用 TCP 可靠的运输服务。
2、FTP 的主要功能是减少或消除在不同操作系统下处理文件的不兼容性。
3、FTP 使用客户/服务器方式。一个 FTP 服务器进程可同时为多个客户进程提供服务。FTP 的服务器进程由两大部分组成:一个主进程,负责接受新的请求;另外有若干个从属进程,负责处理单个请求。
4、FTP并不像HTTP协议那样,只需要一个端口作为连接(HTTP的默认端口是80,FTP的默认端口是21),FTP需要2个端口,一个端口是作为控制 连接端口,也就是21这个端口,用于发送指令给客户机以及等待客户机响应;另一个端口是数据传输端口, 也就是20端口,用来建立数据传 输通道。
创建FTP站点:
1、与建立Web站点一样,可以利用虚拟主机技术在一台计算机上建立多个FTP站点。
2、不同的是,FTP管理只能通过分配不同的TCP端口和IP地址来建立不同的FTP站点。
而不能使用主机头名的方式,因为主机头名依赖于HTTP技术。
3
主目录与目录格式列表
“读取”:用户可以读取主目录内的文件,例如可以下载文件。
“写入”:用户可以在主目录内添加、修改文件,例如可以上传文件。
“记录访问”:将连接到此FTP站点的行为记录到日志文件内。
验证用户的身份
匿名FTP 身份验证:FTP 服务器接受对该资源的所有请求,并且不提示用户输入用户名或密码。
基本FTP 身份验证:用户必须使用与有效Windows用户帐户对应的用户名和密码进行登录。
管理虚拟目录
FTP站点中的数据一般都保存在主目录中,然而主目录所在的磁盘空间毕竟有限,也许不能满足日益增加的数据存储要求。重新创建FTP站点,并将主目录设置在另一个存储空间相对较大的磁盘分区中固然可行。但这种方法要求用户记住两个甚至更多的FTP站点地址,会给用户的访问带来不便。其实,创建FTP站点虚拟目录可以很好的解决这个问题。
FTP虚拟目录可以作为FTP站点主目录下的子目录来使用,尽管这些虚拟目录并不是主目录真正意义上的子目录。究其实质,虚拟目录是在FTP站点的根目录下创建一个子目录,然后将这个子目录指向本地磁盘中的任意目录或网络中的共享文件夹。
11、创建用户隔离的FTP站点
不隔离用户 :该模式不启用 FTP 用户隔离。该模式最适合于只提供共享内容下载功能的站点或不需要在用户间进行数据访问保护的站点。
隔离用户:所有用户的主目录都在单一 FTP 主目录下,每个用户均被安放和限制在自己的主目录中。不允许用户浏览自己主目录外的内容。
12、创建用户隔离的FTP站点
FTP站点主目录在“f:\ftp”目录,假设我们要让用户test1、test2等来登录FTP站点,则应该在主目录下为用户创建子文件夹“f:\ftp\ localuser \test1”和“f :\ftp\localuser\test2” ,而且文件夹名必须与用户名相同,对于匿名账户,创建目录“f:\ftp\ localuser \public”
3.4.4 FTP客户端配置
方法一:利用客户端连接程序 ftp.exe。
方法二:我们也可以在浏览器Internet Explore地址栏或本地我的电脑地址栏输入“ftp://”进行FTP匿名登录。 如果以某个用户进行登录,首先必须确定在FTP服务器上存在该用户,然后在客户端地址栏中输入“ftp:/用户名@” 方法三:利用客户端软件,如cuteftp
IP地址有两种配置方法,一种是手工添加,即静态IP地址;另一种是通过DHCP服务器自动分配,即动态IP地址。
DHCP的缺点:(1)如果DHCP服务器的设置有问题,将会影响网络中所有DHCP客户端的正常工作;(2)如果网络中只有一台DHCP服务器,当它发生故障时,所有DHCP客户端都将无法获得IP地址,也无法释放已有的IP地址,从而导致网络瘫痪。
解决办法:
80/20规则(微软所建议的分配比例):配置两个DHCP服务器,在这两个服务器上分别创建一个作用域,这两个作用域同属一个子网。在分配IP地址时,一个DHCP服务器作用域上可以分配80%的IP地址,另一个DHCP服务器作用域上可以分配20%的IP地址。这样当一个DHCP服务器由于故障不可使用时,另一个DHCP服务器可以取代它并提供新的IP地址,继续为现有客户机服务。在一个子网上的两个DHCP服务器上所建的DHCP作有域,不能有地址交叉的现象。
DHCP的工作原理(重点)
1. DHCP发现(广播方式)
DHCP工作过程的第一步是DHCP发现(DHCP Discover),该过程也称之为IP发现。以下几种情况需要进行DHCP发现:
? 当客户端第一次以DHCP客户端方式使用TCP/IP协议栈时,即第一次向DHCP服务器请求TCP/IP配置时。
? 客户端从使用固定IP地址转向使用DHCP动态分配IP地址时。
? 该DHCP客户端所租用的IP地址已被DHCP服务器收回,并已提供给其他的DHCP客户端使用时。
4
(默认情况下,DHCP客户端会等待1秒钟,如果网络中没人理它,它就会再喊一次,这次它会等待9秒。如果还没人搭理它还会再喊两次,分别再等13秒和16秒。如果最后还是没人理,它就会认为网络中没有DHCP服务器。)
2. DHCP提供(广播方式)
DHCP工作的第二个过程是DHCP提供(DHCP offer),是指当网络中的任何一个DHCP服务器(同一个网络中可能存在多个DHCP服务器时)在收到DHCP客户端的DHCP发现信息后,该DHCP服务器若能够提供IP地址,就从该DHCP服务器的IP地址池中选取一个没有出租的IP地址,然后利用广播方式提供给DHCP客户端。
3. DHCP请求(广播方式)
DHCP工作的第三个过程是DHCP请求(DHCP request),一旦DHCP客户端收到第一个由DHCP服务器提供的应答信息后,就进入此过程。当DHCP客户端收到第一个DHCP服务器响应信息后就以广播方式发送一个DHCP请求信息给网络中所有的DHCP服务器。在DHCP请求信息中包含所选择的DHCP服务器的IP地址。
4. DHCP应答(广播方式)
DHCP工作的最后一个过程便是DHCP应答(DHCP ACK)。一旦被选择的DHCP服务器接收到DHCP客户端的DHCP请求信息后,就将已保留的这个IP地址标识为已租用,然后也以广播方式发送一个DHCP应答信息给DHCP客户端。该DHCP客户端在接收DHCP应答信息后,就完成了获得IP地址的过程。
DHCP客户端在收到DHCPACK信息后,会先检查包含在DHCPOFFER包内的IP地址,以确定此地址是否己被其他的计算机使用。检查时,它会送出一个ARP(Address Resolution protocol)请求信息,如果发现此地址己被其他的计算机使用,则DHCP客户端会送出一个DHCPDECLINE信息给DHCP服务器,然后重新开始送出DHCPDISCOVER信息,以便获取另一个IP地址。
DHCP的工作原理—IP的租用和续租
当一台DHCP客户端租到一个IP地址后,该IP地址不可能长期被它占用,它会有一个使用期,即租期。当DHCP客户端的IP地址使用时间达到租期的一半时,它就向DHCP服务器发送一个新的DHCP请求(相当于新租用一个IP地址的第三个过程),若服务器在接收到该信息后并没有理由拒绝该请求时,便回送一个DHCP应答信息(相当于新租用一个IP地址时的最后一个过程),当DHCP客户端收到该应答信息后,就重新开始一个租用周期。
在进行IP地址的续租中有以下两种特例
1. DHCP客户端重新启动时
不管IP地址的租期有没有到期,当每一次启动DHCP客户端时,都会自动利用广播的方式,给网络中所有的DHCP服务器发送一个DHCP请求信息,以便请求该DHCP客户端继续使用原来的IP地址及其配置。
若收不到DHCP服务器响应,客户端会放弃目前的IP地址,改用169.254.0.1-169.254.255.254之间的IP地址,然后每隔5分仲再尝试更新租约。
2. IP地址的租期超过一半时
当IP地址的租期到达一半的时间时,DHCP客户端会向DHCP服务器发送一个DHCP请求信息,以便续租该IP地址。当续租成功后,DHCP客户端将开始一个新的租用周期。
而当续租失败后,DHCP客户端仍然可以继续使用原来的IP地址及其配置,但是该DHCP客户端将在租期到达7/8的时候再次利用广播方式发送一个DHCP请求信息,以便找到一台可以继续提供租期的DHCP服务器。如果续租仍然失败,则该DHCP客户端会继续使用原IP地址,直到到期,这期间不再发送续约请求。到期之后,重新开始IP地址的申请过程。 域名服务器有以下四种类型 :根域名服务器 ;顶级域名服务器 ;权限域名服务器 ;本地域名服务器
;… ;
域名解析方法
递归查询:DNS客户端直接要求得到完成的解析结果。
迭代查询: DNS客户可能得到下一个DNS服务器的地址。
域名的解析过程
主机向本地域名服务器的查询一般都是采用递归查询。如果主机所询问的本地域名服务器不知道被查询域名的 IP 地址,那么本地域名服务器就以 DNS 客户的身份,向其他根域名服务器继续发出查询请求报文。
本地域名服务器向根域名服务器的查询通常是采用迭代查询。当根域名服务器收到本地域名服务器的迭代查询请求报文时, 5
要么给出所要查询的 IP 地址,要么告诉本地域名服务器:“你下一步应当向哪一个域名服务器进行查询”。然后让本地域名服务器进行后续的查询。
3.6.4 DNS服务器的配置
设置网络通信协议及DNS主机的IP地址(必须指定IP地址)
建立正向搜索区域:由域名到IP地址的查询 可以利用PING命令验证
建立反向搜索区域 :由IP地址到域名的查询 可以利用NSLOOKUP 域名进行验证
新建主机的资源记录 :正向记录的添加
新建指针:反向记录的添加
网络连接模式
默认安装的情况下VMware提供了主系统上虚拟网卡vmnet1和vmnet8
桥接模式虚拟机和真实主机的关系就好像两台接在一个hub上的电脑。双方配置IP地址和子网掩码。注意:物理主机的网卡要和虚拟机的虚拟网卡在一个网段将WINDOWS XP的防火墙关闭
Host-only模式用来建立隔离的虚拟机环境。虚拟机与真实主机通过虚拟私有网络进行连接,只有同为Host-only模式下的且在一个虚拟交换机的连接下才可以互相访问,外界无法访问。
hostonly模式只能使用私有IP,IP,gateway,DNS都由 VMnet 1来分配。Hostonly模式和桥接模式的差别并不大,hostonly模式下会由VMnet 1的DHCPserver来提供IP,gateway,DNS。
NAT(networkaddresstranslation)方便地使虚拟机连接到公网。凡是选用NAT结构的虚拟机,均由VMnet 8提供IP,gateway,DNS。NAT模式由 VMnet 8的DHCPserver提供IP,gateway,DNS。不能试图使用手动分配固定IP
第5章 局域网的互连
1集线器又称为HUB,实质上为多端口的中继器10Mbps或100Mbps。
优点:使原来属于不同碰撞域的局域网上的计算机能够进行跨碰撞域的通信。扩大了局域网覆盖的地理范围。缺点:碰撞域增大了。如果不同的碰撞域使用不同的数据率,那么就不能用集线器将它们互连起来。
2网桥工作在数据链路层,它根据 MAC 帧的目的地址对收到的帧进行转发。
网桥具有过滤帧的功能。当网桥收到一个帧时,并不是向所有的端口转发此帧,而是先检查此帧的目的 MAC 地址,然后再确定将该帧转发到哪一个端口
优点:过滤通信量 扩大了物理范围 提高了可靠性 可互连不同物理层、不同 MAC 子层和不同速率(如10 Mb/s 和 100 Mb/s
以太网)的局域网。
缺点:存储转发增加了时延 在MAC 子层并没有流量控制功能 具有不同 MAC 子层的网段桥接在一起时时延更大 网桥只
适合于用户数不太多(不超过几百个)和通信量不太大的局域网,否则有时还会因传播过多的广播信息而产生网络拥塞。这就是所谓的广播风暴。
功用:局域网络结构上的差异体现在介质访问协议MAC上,因而网桥被广泛用于异种局域网的互连。网桥从一个网段接收
完整的数据帧,进行必要的比较和验证,然后决定是丢弃还是发送给另外一个网段。转发前网桥可以在数据帧之前增加或删除某一些字段,但不进行路由选择。
3冲突域:是连接在同一传输介质上的所有工作站的集合。利用HUB连接的局域网就是典型的冲突域。
广播域:接收同样广播消息的节点集合。利用HUB、交换机等一、二层设备连接的节点被认为是一个广播域。
4交换机工作原理:交换机通过观察每个端口的数据帧获得源MAC地址,交换机在内部的高速缓存中建立MAC地址与端口的映射表,检测从端口来的数据包的源和目的地的MAC地址,然后与系统内部的动态查找表进行比较,若数据包的源MAC层地址不在查找表中,则将该地址加入查找表中,并将数据包发送给相应的目的端口。 如果表中不存在目的地址,则转发到所有的端口。
优点:每个端口都直接与主机相连,并且一般都工作在全双工方式。每一对相互通信的主机都能像独占通信媒体那样,进行
无碰撞地传输数据。以太网交换机由于使用了专用的交换结构芯片,其交换速率就较高(独占传输媒体的带宽 ) 以太网交换机的交换方式分为静态方式和动态方式。
静态特点:端口间的通道由人工事先配置,两个端口间的连接类似于硬件连接,端口按固定的连接方式交换帧。 动态方式:存储转发 直通 帧碎片丢弃
6
存储转发方式:把输入端口的数据包先存储起来,然后进行CRC检查,在对错误包处理后才取出包的目的地址,通过查找表
转换成输出端口并送出包。
缺点:数据处理时延时大
优点:对进入交换机的数据包进行错误检测;可以支持不同速度的输入输出端口间的转换
直通式:在输入端口检测到一个数据包时,获取包的目的地址,启动内部的动态查找表将其转换成相应的输出端口,就立即
将该帧转发出去,而不管这一帧数据是否出错。帧出错检测任务由结点主机完成。
优点:延迟非常小、交换非常快
缺点:不能提供错误检测能力。由于没有缓存,所以不能将具有不同速率的输入/输出端口直接接通。
帧碎片丢弃:在接收到帧的前64字节后,判断Ethernet帧的帧头字段是否正确,如果正确则转发出去。对于短的Ethernet
帧来说,交换延迟时间与直接交换方式比较接近对于长的Ethernet帧来说,由于它只是对帧的地址字段与控制字段进行了差错检测,因此交换延迟时间将会减少。
5路由器:实现异种网络连接的互连设备,工作在OSI的第三层。
工作原理:路由器在转发分组时,依据的是网络层分组头部的路由信息。可以根据网络层的协议类型、网络号、主机的网络
地址、子网掩码、高层协议的类型等来监控、拦截和过滤信息。路由器和网桥本身就是一台计算机。路由器也需要操作系统才能进行网络系统配置,以及和其它路由器交换信息。是网络中进行网间连接的关键设备。
特点:路由器可以根据网络层的协议类型、网络号、主机的网络地址、子网掩码、高层协议的类型等来监控、拦截和过滤信
息。通过IP地址和子网掩码的组合隔离各个子网,有利于子网的划分、维护和管理。还有流量控制能力,可以采用优化的路由算法均衡网络负载,减少网络拥塞的发生。具有很好的隔离能力,可以避免广播风暴,也利于提高网络的安全性和保密性
第6章 Cisco交换机的配置
交换机的工作特点:拥有一条很高带宽的背板总线和内部交换矩阵。所有的端口都挂接在这条背板总线上。
检测从端口来的数据包的源和目的地的MAC地址,然后与系统内部的动态查找表进行比较,若数据包的源MAC层地址不在查找表中,则将该地址加入查找表中,并将数据包发送给相应的目的端。如果表中不存在目的地址,则转发到所有的端口 1 三层交换机工作原理:
二层交换的问题是,其工作是基于MAC地址,不涉及网络层的功能,没有路由能力。
路由器存在的问题是,路由器的大部分功能均由软件实现,造成延时长,吞吐率受到限制。路由器对数据包的处理需要拆包、查看第三层信息。
交换机是基于硬件结构的,对帧的转发处理过程非常简单,可以达到很高的吞吐量。
使交换机既保持高性能,又具有路由能力,这种思想导致了三层路由交换机的出现。
简单地说,三层交换技术就是二层交换技术+三层转发技术,三层交换机就是“二层交换机+基于硬件的路由器”。
三层交换机实质上是将二层交换机与路由器结合起来的网络设备,它既可以完成数据交换功能,又可以完成数据路由功能。 特征:转发基于第三层地址的业务流。完全交换功能。可以完成特殊服务,如报文过滤或认证。执行或不执行路由处理。 三层交换机与传统路由器比较
优点:子网间传输带宽可任意分配。合理配置信息资源。降低成本。
不足:三层交换机不具有广域网WAN连接能力。三层交换机不具有NAT、VPN等功能 。当连接不同协议的网络,像以太网和令牌环的组合网络,依靠三层交换机是不可能完成网间数据传输的。
2根据交换机应用网络层次,分为
企业级交换机:企业网络核心层交换骨干(>500),千兆以上;
校园网交换机:大型园区网(分散)核心层交换骨干,千兆以上;
部门级交换机:部门级网络应用(<300) ,中小型局域网的核心层或大型局域网的汇聚层;
工作组级交换机:中小企业/网吧等网络应用(<100),小型局域网的核心层或大型局域网的接入层;
桌面型交换机:家庭或办公室的桌面接入,端口较少(12口以内)
3堆叠和级联的区别
连接方式不同:级联是两台交换机通过两个PORT互联,而堆叠是交换机通过专门的背板堆叠模块相连。堆叠可以增加设备 7
总带宽,而级联是不能增加设备的总带宽。
通用性不同:级联可通过光纤或双绞线在任何网络设备厂家的交换机之间进行连接,而堆叠只有在自己厂家的设备之间,且设备必须具有堆叠功能才可实现。
连接距离不同:级联的设备之间可以有较远的距离(100米-几百米),而堆叠的设备之间距离十分有限,必须在几米以内。 管理方式不同:堆叠可以继莲的交换机可以统一管理,和级联方式不可以。
5端口速度配置: Switch(config-if)#speed 10 /100/ auto
端口双工配置: Switch(config-if)# duplex auto /full /half
使能密码: Switch(config)#enable password cisco
使能加密密码: Switch(config)#enable secret nciae
管理IP地址配置:(重点)
交换机是数据链路层设备,因此给每个端口设置IP地址是无意义的。但是有时,网络管理人员可能需要从远端登录到交换机上进行管理。这时就需要给交换机设置一个管理用IP地址。
给交换机设置管理用IP地址只能在VLAN1 中进行。
Switch(config)#interface vlan 1
Switch(config-if)#ip addr 192.168.1.8 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#ip default-gateway 192.168.1.254
Switch(config)#end
telnet的配置:
需要配置的三项内容:交换机管理IP地址;enable是否设置了密码;vty是否设置了密码
交换机配置检查:
show running-config
show startup-config
show interfaces vlan vlan号码
show interfaces 接口号
show mac-address-table
6虚拟局域网:在一个物理网络上划分出来的逻辑网络,对应于OSI参考模型的第二层。
使用VLAN的原因
用集线器、网桥和未划分VLAN的交换机组建的传统网络中存在下列问题:
1、全网属于一个广播域,每一次广播的数据帧无论是否需要,都会到达网络中的所有设备,这就必然造成带宽资源的极大浪费。2、全网属于一个广播域,很容易引起广播风暴等问题。3、网络的安全性不高。在这种网络结构中,所有用户都可以监听到服务器以及其它设备端口发出的数据包,所以很不安全。
VLAN允许一组不同物理位置的用户群共享一个独立的广播域,可以在一个物理网络中划分多个VLAN,使得不同的用户群属于不同的广播域。
虚拟局域网 VLAN 是由一些局域网网段构成的与物理位置无关的逻辑组。
这些网段具有某些共同的需求。
每一个 VLAN 的帧都有一个明确的标识符,指明发送这个帧的工作站是属于哪一个 VLAN。
虚拟局域网其实只是局域网给用户提供的一种服务,而并不是一种新型局域网。
基于端口划分虚拟局域网最常用的一种虚拟局域网划分方法。
Switch(config)#interface fa 0/1(设置单个接口)
Switch(config-if)#switchport mode access(设置端口为访问模式)
Switch(config-if)#switchport access vlan 2 (把端口分配给VLAN2)
Switch(config)#interface range fastethernet 0/1 - 8,fa0/15,fa0/20(同时设置一组接口)
8
验证VLAN配置:
Switch#show vlan [id|name][vlan_number|vlan_name]
Switch#show vlan[brief]
1、VLAN中继(VLAN trunk)基本概念
VLAN可以通过交换机进行扩展,这意味着不同交换机上可以定义相同的VLAN。可以将有相同VLAN的交换机通过主干道接口互连(主干道可以运载多个VLAN信息),处于不同交换机、但具有相同VLAN定义的主机将可以互相通信。 Switch(config)#interface range fastethernet 0/1 - 8,fa0/15,fa0/20(同时设置一组接口)
第7章 Cisco路由器的配置
1功能:把网络分割成多个子网 隔离广播风暴 子网间信息包的传输 连接不同类型网络 提供安全访问的机制 提供第三层
的网络服务
2特点:路由器功能强大、价格昂贵、配置复杂、速度较慢
3路由器的数据转发过程
9
当主机 A 要向另一个主机 B 发送数据报时,先要检查目的主机 B 是否与源主机 A 连接在同一个网络上。如果是,就将数据报直接交付给目的主机 B 而不需要通过路由器。但如果目的主机与源主机 A 不是连接在同一个网络上,则应将数据报发送给本网络上的某个路由器,由该路由器按照转发表指出的路由将数据报转发给下一个路由器。这就叫作间接交付。
4. 路由表
路由器的主要工作就是为经过路由器的每个数据包寻找一条最佳传输路径,并将该数据有效地传送到目的站点。为了完成这项工作,在路由器中保存着各种传输路径的相关数据——路由表(Routing Table),供路由选择时使用,表中包含的信息决定了数据转发的策略。
5. 路由选择策略
静态路由选择策略——即非自适应路由选择,其特点是简单和开销较小,但不能及时适应网络状态的变化。
动态路由选择策略——即自适应路由选择,其特点是能较好地适应网络状态的变化,但实现起来较为复杂,开销也比较大。 6因特网有两大类路由选择协议
内部网关协议 IGP如 RIP 和 OSPF 协议。
外部网关协议 EGP在外部网关协议中目前使用最多的是 BGP-4。
7有类别路由选择和无类别选择
有类别路由选择:不随网络地址发送子网掩码信息的路由选择协议。如:RIPv1和IGRP
无类别选择:支持可变长子网掩码(VLSM),可以更为有效的设置子网掩码,以满足不同子网对不同主机数目的需求。如:RIPv2,OSPF,EIGRP,中间系统到中间系统 (IS-IS)和边界网关协议 (BGP)
8路由器重要性能指标
吞吐量 背板能力 丢包率 转发时延 路由表容量 可靠性
9路由器硬件
CPU:负责执行处理数据包所需要的工作。只读存储器(ROM) :开机自检程序、系统引导程序、操作系统精简版本,相当于PC中的BIOS 。内存(RAM) :存储运行过程中的 数据及运行配置文件。闪存(Flash):可擦写、可编程,相当于PC机的硬盘,通常存储IOS,是引导IOS软件的默认位置。非易失性存储器( NVRAM):用于存储路由器的配置文件。控制台端口(Console Port):使用配置专用连线直接连接至计算机的串口,利用终端仿真程序(如Windows下的“超级终端”)进行路由器本地配置。路由器的Console端口多为RJ-45端口。7. 辅助端口(Auxiliary Port):为用户或管理员提供了通过MODEM使用远程终端与路由器进行通信的方式。8. 接口(interface):数据包进出路由器的通道。常见的两种基本接口类型为局域网接口和广域网接口。
路由器软件1.路由器操作系统2.配置文件3.实用管理程序
10、用5种方式来设置路由器
? 通过console进行设置——主要方式。
? 通过AUX端口连接Modem进行远程配置。
? 通过Telnet方式进行配置。
? 通过网管工作站进行配置。
? 通过TFTP服务器下载路由器配置文件。
11 路由器的状态及配置模式
Router(config-line)#终端线路配置模式
10
Router(config)#line con 0
Router(config-line)#login
Router(config-line)#password 123456
如果要配置远程登录(Telnet)的口令,执行line vty 命令。路由器默认时有5条VTY线路。用0-4标识,允许0-4共5个虚拟终端用户同时登录路由器。
Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password 456789
路由器状态显示命令
“show interfaces”
“show running-config”
“show startup-config”
测试网络路径状态
Router# trace [protocol] {destination}
Router# ping [protocol] {destination}
其中:IOS及配置文件的备份
启动配置文件存储在NVRAM中,当路由器重新启动时会读取这个文件。运行配置文件存储在RAM中,当修改接口或者其它配置时会发生变化。有关这两个配置文件的内容,可以使用“show”命令进行查看。还可以根据需要相互备份其内容。 Router(config)#enable password 123456
Router(config)#enable secret 123456
IP address {address} {subnet-mask}
12路由器选择路由的方式分为静态路由和动态路由两种。
静态路由:要求每一个路由器中的路由进行人工配置,路由选择是固定的。
优点:速度快,安全性好
缺点:灵活性低
静态路由适合于网络拓扑结构比较简单和网络流量可以预测的情况,不适合于在规模较大、较复杂或者易变化的网络环境中使用。
动态路由:按照某种路由协议(RIP、OSPF)收集网络的路由信息,通过路由器间不断交换的路由信息动态地更新和确定路由表项,这种工作方式的路由称为动态路由。
优点:适应网络变化
缺点:速度慢、安全性差
在Cisco路由器上,缺省的查找顺序为:静态路由、动态路由和默认路由。
静态路由配置和默认路由配置
ip route 192.168.1.0 255.255.255.0 serial 0/0或者ip route 192.168.1.0 255.255.255.0 10.0.0.2
4、内部网关协议 RIP
工作原理:路由信息协议 RIP 是内部网关协议 IGP中最先得到广泛使用的协议。 RIP 是一种分布式的基于距离向量的路
由选择协议。RIP 协议要求网络中的每一个路由器都要维护从它自己到其他每一个目的网络的距离记录。
“距离”:也称为“跳数”(hop count),因为每经过一个路由器,跳数就加 1。
RIP 认为一个好的路由就是它通过的路由器的数目少,即“距离短”。RIP 允许一条路径最多只能包含 15 个路由器。16 时即相当于不可达。RIP 只适用于小型互联网。
RIP在路径选择时,会选择一个具有最少路由器的路由(即最短路由),哪怕还存在另一条高速(低时延)但路由器较多的路由。 三个要点 :仅和相邻路由器交换信息。 交换的信息是当前本路由器所知道的全部信息,即自己的路由表。 按固定的时间
间隔交换路由信息,例如,每隔 30 秒。
路由表:路由器在刚刚开始工作时,只知道到直接连接的网络的路由。以后,每一个路由器也只和数目非常有限的相邻路由 11
器交换并更新路由信息。经过若干次更新后,所有的路由器最终都会知道到达本自治系统中任何一个网络的最短距离和下一跳路由器的地址。
发送方式:RIP 协议使用广播方式发送,目的地址:255.255.255.255。使用运输层的用户数据报 UDP进行传送(使用 UDP
的端口 520)。因此 RIP 协议的位置应当在应用层。但转发 IP 数据报的过程是在网络层完成的。
优点:就是实现简单,开销较小。
缺点: 路由器之间交换的路由信息是路由器中的完整路由表,因而随着网络规模的扩大,开销也就增加。RIP 限制了网络的规模,它能使用的最大距离为 15(16 表示不可达)。RIP 存在的一个问题是当网络出现故障时,要经过比较长的时间才能将此信息传送到所有的路由器。好消息传得快,坏消息传得慢
路由更新的发送
运行RIP的路由器在决定发送一条路由更新消息前,首先要检查待发送路由更新的网络或子网是否和路由更新送出接口属于同一个主网络。如果不属于同一个主网络。
如果不属于同一个主网络,则RIP会将待发送路由更新的网络在主网络边界自动汇总。
如果属于同一个主网络,而且二者的子网掩码相同,则发送此路由更新,否则不发送此路由的更新信息。
路由更新的接收
当运行RIP的路由器收到一条路由更新后,首先要检查收到的路由更新中的网络与接收更新的接口是否属于同一主网络。
如果是,则路由更新中的网络子网掩码将使用接收更新的接口的子网掩码。
如果不属于同一主网络,同时路由更新中的网络的任一子网已经存在于接收路由器的路由表中,而且是从另一接口收到的路由更新中学到的,则此路由更新被忽略。否则安装此路由条目且使用路由更新中的网络所属主网络的子网掩码。 有类别路由选择协议-RIPv1,RIPv1是一种有类别路由协议,不支持不连续子网设计
RIP路由协议的配置
Router(config)#router rip
Router(config-router)#version 2
Router(config-router)# network network-number
关闭自动更新:
Router(config-router)# no auto-summary
5、OSPF
基本特点:“开放”表明 OSPF 协议不是受某一家厂商控制,而是公开发表的。“最短路径优先”是因为使用了 Dijkstra 提出的最短路径算法SPF。是分布式的链路状态协议,适合在大型、复杂网络环境下部署的路由协议。
三个要点:向本自治系统中所有路由器发送信息,这里使用的方法是洪泛法。发送的信息就是与本路由器相邻的所有路由器的链路状态,但这只是路由器所知道的部分信息。“链路状态”就是说明本路由器都和哪些路由器相邻,以及该链路的“度量”(metric)。 只有当链路状态发生变化时,路由器才用洪泛法向所有路由器发送此信息。
划分区域的好处就是将利用洪泛法交换链路状态信息的范围局限于每一个区域而不是整个的自治系统,这就减少了整个网络上的通信量。
在一个区域内部的路由器只知道本区域的完整网络拓扑,而不知道其他区域的网络拓扑的情况。
OSPF 使用层次结构的区域划分。在上层的区域叫作主干区域(backbone area)。主干区域的标识符规定为0.0.0.0。主干区域的作用是用来连通其他在下层的区域。
OSPF网络至少包含一个主干区域和一个一般区域。主干区域又称为区域0。它具有区域的所有特性,区域之间的数据传输必须通过主干区域进行。
OSPF 直接用 IP 数据报传送 OSPF 不用 UDP 而是直接用 IP 数据报传送,可见 OSPF 的位置在网络层。OSPF 构成的数据报很短。这样做可减少路由信息的通信量。
数据报很短的另一好处是可以不必将长的数据报分片传送。分片传送的数据报只要丢失一个,就无法组装成原来的数据报,而整个数据报就必须重传。
⑵ 指定与该路由器连接的子网
12
Router(config)#network network-address wild-mask area area-number
参数network-address表示IP子网号;
wildcard-mask表示通配符掩码,它是子网掩码的反码;
area-number表示区域号,可以取0~4 294 967 295范围内的十进制数,也可以用点分十进制的IP地址表示。例如,主干区域即区域0可以表示为0.0.0.0,或者表示为0。
NAT:网络地址转换,一种把内部私有网络地址翻译成合法网络IP地址的技术。
功能:内部网络地址转换 复用内部的全局地址 解决网络地址重叠
配置静态路由示例
Router A: ip route 192.168.1.0 255.255.255.0 serial 0/0
或者ip route 192.168.1.0 255.255.255.0 10.0.0.2
Router B :ip route 192.168.0.0 255.255.255.0 serial 0/0
或者ip route 192.168.0.0 255.255.255.0 10.0.0.1
默认路由配置示例
RouterA: ip route 0.0.0.0 0.0.0.0 serial 0/1
或者ip route 0.0.0.0 0.0.0.0 192.168.1.2
静态NAT:
ip nat inside source static 10.1.1.1 202.10.2.2
interface Ethernet0
ip address 10.1.1.10 255.255.255.0
ip nat inside
interface Serial0
ip address 202.10.2.1 255.255.255.0
ip nat outside
动态NAT:
ip nat pool dyn-nat 202.10.2.2 202.10.2.100 netmask 255.255.255.0定义可供内部主机使用的外部地址范围
ip nat inside source list 1 pool dyn-nat实现地址转换的语句
interface Ethernet0
ip address 10.1.1.10 255.255.255.0
ip nat inside该接口连接到内部网络
interface Serial0
ip address 202.10.2.1 255.255.255.0
ip nat outside
access-list 1 permit 10.1.1.0 0.0.0.255定义进行NAT转换的内部地址范围
配置内部全局地址超载:
ip nat pool ovrld-nat 202.10.2.1 202.10.2.2 netmask 255.255.255.0
ip nat inside source list 1 pool ovrld-nat overload
interface Ethernet0/0
ip address 10.1.1.10 255.255.255.0
ip nat inside
interface Serial0/0
ip address 202.10.2.1 255.255.255.0
ip nat outside
access-list 1 permit 10.1.1.0 0.0.0.255
PAT配置(一)
13
ip nat pool ovrld-nat 202.10.2.2 202.10.2.2 netmask 255.255.255.0 ip nat inside source list 1 pool ovrld-nat overload
interface Ethernet0/0
ip address 10.1.1.10 255.255.255.0
ip nat inside
interface Serial0/0
ip address 202.10.2.1 255.255.255.0
ip nat outside
access-list 1 permit 10.1.1.0 0.0.0.255
PAT配置(二)
ip nat inside source list 1 interface serial0/0 overload
interface Ethernet0/0
ip address 10.1.1.10 255.255.255.0
ip nat inside
interface Serial0/0
ip address 202.10.2.1 255.255.255.0
ip nat outside
access-list 1 permit 10.1.1.0 0.0.0.255
清除NAT转换条目
router#clear ip nat translation *
router#
router#show ip nat trans
14