網(wǎng)絡(luò)工程師考點(diǎn)總結(jié)

錯誤!未定義書簽。第一章數(shù)據(jù)通信基礎(chǔ) 第二章局域網(wǎng)技術(shù) 第三章廣域網(wǎng)和接入網(wǎng)技術(shù) 第五章路由器與交換配置 第七章網(wǎng)絡(luò)管理 第八章計(jì)算機(jī)基礎(chǔ)知識 第一章數(shù)據(jù)通信基礎(chǔ)若無噪聲的信道帶寬為W,碼元攜帶的信息量n與碼元種類N關(guān)系為n=log2,則電波在電纜中的傳播速度為真空中速率的2/3左右，即20萬千米/秒單極性碼：只有一個(gè)極性，正電平為0,零電平為1;級性碼：正電平為0,負(fù)電平為1;雙極性碼：零電平為0,正負(fù)電平交替翻轉(zhuǎn)表示1。平的轉(zhuǎn)換邊為1。這種碼元自定時(shí)雙相碼：低到高表示0,高到底表示1。這種編碼抗干擾性好，實(shí)現(xiàn)自同步。曼徹斯特碼：低到高表示0,高到底表示1。相反亦可。碼元中間電平轉(zhuǎn)換既表示數(shù)據(jù)，又做定時(shí)信號。用于以太網(wǎng)編碼，編碼效率為50%表示1。中間的電平轉(zhuǎn)換作為定時(shí)信號。用于令牌環(huán)網(wǎng)，編碼效率為50%。ASK、FSK和PSK碼元種類為2,比特位為1。DPSK和QPSK碼元種類為4,比特位為2。QAM碼元種類為16。一路信號進(jìn)行FSK調(diào)制時(shí)，若載波頻率為fc,調(diào)制后的信號頻率分別為f1和編碼技術(shù)：常用編碼技術(shù)為脈沖編碼調(diào)制技術(shù)。需要經(jīng)過取樣、量化和編碼3個(gè)步在數(shù)字系統(tǒng)中，將數(shù)字信號轉(zhuǎn)換成模擬信號成為調(diào)制；將模擬信號轉(zhuǎn)換為數(shù)字信號尼奎斯特采樣定理：采樣速率大于模擬信號最高頻率的2倍。例：10個(gè)9.6Kbps的信道按照統(tǒng)計(jì)時(shí)分多路復(fù)用在一條線路上傳輸，假定信道只有30%時(shí)間忙，復(fù)用線路開銷為10%,則帶寬為：頻分多路復(fù)用FDM,時(shí)分多路復(fù)用TDM,波分多路復(fù)用WDM,碼分多路復(fù)用(CDM)T1采用時(shí)分復(fù)用技術(shù)，將24條話音數(shù)據(jù)復(fù)用在一條高速信道上，其速率為1.544Mbps,單個(gè)信道數(shù)據(jù)速率為56KB/sE1采用同步時(shí)分復(fù)用技術(shù)將30個(gè)語音信道，2個(gè)控制信道(ch0作為幀同步，ch16傳送信令)復(fù)合在一條高速信道上，其速率為2.048Mbps,每條話音信道速率為64Kb/sOC-1速率為51.84Mb/s。第三代通信技術(shù)：TD-SCDMA(中國),WCDMA(歐洲),CDMA2000(美國),WiMAX,00001111001011010101海明碼：利用奇偶性來檢錯和校驗(yàn)的方法。假設(shè)有m位信息碼，加入k位校驗(yàn)碼，則滿足m+k+1≤2一個(gè)碼組內(nèi)有e個(gè)誤碼，則最小碼距d≥e+1一個(gè)碼組能夠糾正n個(gè)誤碼，則最小碼距d≥2n+1例：求信息1011的海明碼校驗(yàn)碼放在2"位上位數(shù)1011信息位校驗(yàn)位由此求得校驗(yàn)碼為001,填入表中得到海明碼為1010101一、預(yù)備知識10BaseT含義：10表示傳輸速率為10M(100M、1000M、10G)Base表示傳輸機(jī)制為基帶(寬帶Broad)T:代表傳輸介質(zhì)為非屏蔽雙絞線C:為屏蔽雙絞線數(shù)字：為同軸電纜及電纜長度(10base5,10base2)F為光纖Sx為短波長(850nm)雙絞線：最大衰減值回波耗損限值近端串?dāng)_衰減值開路/短路是否錯對光纖：最大衰減值回波耗損限值波長窗口參數(shù)時(shí)延長度單模光纖：纖芯直徑為8~10um,包層125um,采用激光光源，工作波長為1310nm或1550nm,傳輸距離長(20千米),容量大，帶寬寬。850nm或1300nm,傳輸距離短(500米),容量小，帶寬窄。電磁波在銅纜中傳輸速率約為真空中的2/3,即200000Km/sRS232C用于連接DTE和DCE設(shè)備，采用25芯D型連接器，微型機(jī)上一般采用9芯。-3v～-15v表示1,3v～15v表示0。采用V.24標(biāo)準(zhǔn)。電纜長度一般不超過15m2.1拓?fù)浣Y(jié)構(gòu)總線拓?fù)洌翰捎弥骶€傳輸作為公共傳輸媒體，網(wǎng)絡(luò)中所有設(shè)備通過相應(yīng)接口和電纜連接到這根總線?？刹捎昧钆苽鬟f和CSMA/CD介質(zhì)訪問控制方法。環(huán)形拓?fù)洌河梢幌盗惺孜蚕噙B的中繼器組成。使用令牌傳遞來實(shí)現(xiàn)介質(zhì)的訪問。輕負(fù)載時(shí)效率低，重負(fù)載時(shí)利用率高星型拓?fù)洌阂灾醒牍?jié)點(diǎn)為中心，把若干外圍節(jié)點(diǎn)連接在一起的網(wǎng)絡(luò)結(jié)構(gòu)，IEEE802.1d生成樹協(xié)議IEEE802.1q虛擬局域網(wǎng)IEEE802.1A局域網(wǎng)體系結(jié)構(gòu)IEEE802.2邏輯鏈路控制協(xié)議IEEE802.3CSMA/CD與物理層規(guī)范IEEE802.3u快速以太網(wǎng)IEEE802.3z千兆以太網(wǎng)IEEE802.3ae萬兆以太網(wǎng)IEEE802.4令牌總線標(biāo)準(zhǔn)takenbusIEEE802.5令牌環(huán)標(biāo)準(zhǔn)takenringIEEE802.10局域網(wǎng)安全機(jī)制IEEE802.11無線局域網(wǎng)標(biāo)準(zhǔn)2.3數(shù)據(jù)鏈路層分為兩個(gè)子層：目的是將與硬件相關(guān)和與硬件無關(guān)的部分分開。邏輯鏈路控制子層(LLC):目的是屏蔽不同子層的訪問控制方法，向高層提供統(tǒng)一的服務(wù)和接口。LLC幀結(jié)構(gòu)如下圖：DSAP(8位)SSAP(8位)AC(8位或16位)DSAP第1位為地址標(biāo)識，后7位表示端口號。SSAP第1位為命令或響應(yīng)標(biāo)識。廣播地址用I/G=1表示LLC地址作為LLC層的服務(wù)訪問點(diǎn)，一個(gè)上層協(xié)議進(jìn)程可以有多個(gè)服務(wù)訪問點(diǎn)。LLC協(xié)議與HDLC協(xié)議兼容。主要提供如下3種服務(wù)：A、無確認(rèn)無連接的服務(wù)，不提供流控與差錯控制，由高層軟件完成。B、面向連接方式服務(wù)，提供流控和差錯控制，需要建立連接。C、有確認(rèn)無連接，提供有確認(rèn)的數(shù)據(jù)報(bào)，但不建立連接。介質(zhì)訪問控制(MAC):局域網(wǎng)中，所有設(shè)備共享傳輸介質(zhì)，需要一種方法有效的分配傳輸介質(zhì)使用權(quán)。根據(jù)控制方式不同分為同步和異步同步傳輸：順序連續(xù)傳輸，在傳輸前進(jìn)行同步，然后傳輸雙方以相同頻率工作，適用于短距離高速數(shù)據(jù)傳輸異步傳輸：各個(gè)字符分開傳輸，字符間插入起始位和終止位的同步信息，通常還需加入校驗(yàn)信息，適合長距離傳輸。信道空閑，按照預(yù)定策略決定：2.4.1監(jiān)聽算法有3種：(輕負(fù)載時(shí)效率較高)A、非堅(jiān)持型監(jiān)聽算法：當(dāng)一個(gè)站準(zhǔn)備好數(shù)據(jù)幀，發(fā)送前先監(jiān)聽信道，如果信道空閑則立即發(fā)送(1),否則后退一個(gè)隨機(jī)時(shí)間，在重復(fù)(1)。該方法信道利用率低，增加了發(fā)送時(shí)延，減小了沖突概率。B、1-堅(jiān)持型監(jiān)聽算法：當(dāng)一個(gè)站準(zhǔn)備好數(shù)據(jù)幀，發(fā)送前先監(jiān)聽信道，如果信道空閑則立即發(fā)送，如果信道忙則繼續(xù)監(jiān)聽，直到信道空閑后再發(fā)送。該方法有利于搶占信減少信道空閑時(shí)間，但增加了沖突概率C、P-堅(jiān)持型監(jiān)聽算法：如果信道空閑則以P概率發(fā)送，以(1-P)概率延遲一個(gè)時(shí)間單位(1)(一個(gè)時(shí)間單位等于網(wǎng)絡(luò)傳輸時(shí)延),如果信道忙則繼續(xù)監(jiān)聽，直到信道空閑轉(zhuǎn)到(1),如果發(fā)送延遲一個(gè)時(shí)間單位，則重復(fù)(1)。該方法吸取上述兩種算法的優(yōu)點(diǎn)。2.4.2沖突檢測載波監(jiān)聽只能減小沖突概率，不能完全避免沖突。為充分利用帶寬應(yīng)采取邊發(fā)送邊監(jiān)聽的沖突檢測方法：(1)發(fā)送期間同時(shí)接收，并把數(shù)據(jù)與站中存儲的數(shù)據(jù)進(jìn)行比較；(2)如果結(jié)果一致，則說明沒有沖突，重復(fù)(1)(3)如果結(jié)果不一致，則說明發(fā)生沖突，此時(shí)立即停止發(fā)送，并發(fā)送一個(gè)干擾信號Jamming,使所有站停止發(fā)送，并等待一個(gè)隨機(jī)的時(shí)間，重新監(jiān)聽，并試著發(fā)送。2.4.3二進(jìn)制指數(shù)退避算法按照該算法，后退時(shí)延的取值范圍與重發(fā)次數(shù)n形成二進(jìn)制指數(shù)關(guān)系。隨著n的增減后退時(shí)延取值按2的指數(shù)增大。為避免無限制的重發(fā)，對重傳次數(shù)n進(jìn)行限制。一般n=16時(shí)停止發(fā)送，丟棄該幀，并向上層報(bào)告。該算法把后退時(shí)延的平均值與負(fù)載大小聯(lián)系起來，因此二進(jìn)制指數(shù)退避算法能夠解決在重負(fù)載下有效分解沖突的問題2.4.4CSMA/CD協(xié)議實(shí)現(xiàn)對于基帶和寬帶總線來說，CSMA/CD協(xié)議的實(shí)現(xiàn)方法基本相同，但也有差別：差別一：(載波監(jiān)聽)基帶系統(tǒng)是通過檢測電壓序列來實(shí)現(xiàn)載波監(jiān)聽，而寬帶系統(tǒng)是監(jiān)聽站接受RF載波(射頻)來判斷信道是否空閑。差別二：(沖突檢測)基帶系統(tǒng)是把直流電壓加到信號上來檢測沖突；寬帶系統(tǒng)有兩種方法來檢測沖突：(1)把接收數(shù)據(jù)與發(fā)送數(shù)據(jù)逐位比對；(2)分裂配置，在端頭檢測是否有破壞的數(shù)據(jù)，這種數(shù)據(jù)的頻率與正常的數(shù)據(jù)頻率不同。CSMA/CD協(xié)議的載波監(jiān)聽、沖突檢測、沖突強(qiáng)化、二進(jìn)制指數(shù)后退等功能均由硬件來實(shí)現(xiàn)，這些硬邏輯包含在網(wǎng)卡中。網(wǎng)卡中的主要器件是以太數(shù)據(jù)鏈路控制器。在IEEE802.3中使用1-堅(jiān)持型監(jiān)聽算法，這個(gè)算法有利于搶占信道，減少空閑，同時(shí)實(shí)現(xiàn)簡單，在監(jiān)聽到網(wǎng)絡(luò)空閑后，不立即發(fā)送而是等待一個(gè)最小幀間間隔(規(guī)定為9.6us)時(shí)間，只有在這期間網(wǎng)絡(luò)空閑才能開始發(fā)送。在發(fā)送過程中繼續(xù)監(jiān)聽，如果沖突，則發(fā)送55555555這是規(guī)定的阻塞信號。接受站要對接受到的數(shù)據(jù)進(jìn)進(jìn)行校驗(yàn)，除了CRC校驗(yàn)，還要檢查幀長度，如果小于最小幀長(64字節(jié))則認(rèn)為是碎片。其中a(Rd乘積)越大，線路的利用率越低1,傳播時(shí)延，信號在線路上傳播的時(shí)間；t,傳輸時(shí)延，數(shù)據(jù)幀加載到線路上所需時(shí)間；d為線纜長度v為信號傳播速率；L為幀長R為數(shù)據(jù)速率2.5以太網(wǎng)幀結(jié)構(gòu)：PLP為前導(dǎo)碼，長度7個(gè)字節(jié)，1010..1010,用于使接收端進(jìn)入同步狀態(tài)SPD幀起始符，占1位，10101011,標(biāo)識信息幀開始。DA/SA(目的/源地址)占2個(gè)或6個(gè)字節(jié)。PAD填充字段，不大于46字節(jié)，主要解決幀不足64字節(jié)時(shí)，要加入填充位，使其滿最小幀長為64字節(jié)，最大幀長1518字節(jié)。2.6.1、快速以太網(wǎng)(100Mb/s),標(biāo)準(zhǔn)為IEEE802.3u100BaseTX:使用2對5類UTP,一對用于接收，一對用于發(fā)送。為能夠檢測到?jīng)_突，采取保持最短幀長(64字節(jié))不變，將介質(zhì)長度減少到100米，幀間間隔為0.96us(傳統(tǒng)以太網(wǎng)為9.6us),采用4B/5B編碼傳統(tǒng)(傳統(tǒng)以太網(wǎng)采用曼2.6.2、千兆以太網(wǎng)(1000Mb/s),標(biāo)準(zhǔn)為IEEE802.3z在1000Mbps的模式下，允許有全雙工和半雙工兩種工作方式，與傳統(tǒng)以太網(wǎng)采用的1000BaseTX:使用4對5類UTP,最大段長100米1000BaseCX:使用2對STP,傳輸長度25米1000BaseLX:使用多模光纖傳輸距離550米，使用單模光纖傳輸距離為5千米。1000BaseSX:使用多模光纖傳輸距離550米2.6.3、萬兆以太網(wǎng)(10Gb/s),標(biāo)準(zhǔn)為IEEE802.3ae與傳統(tǒng)以太網(wǎng)采用的相同幀格式、最小和最大幀長。僅支持全雙工模式，不采用CSMA/CD協(xié)議，僅支持單?；蚨嗄９饫w，不支持雙絞線。定義了兩種物理層：一種是局域網(wǎng)物理層，另一種是廣域網(wǎng)的物理層。VLAN(虛擬局域網(wǎng)),是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。VLAN技術(shù)解決了局域網(wǎng)互聯(lián)時(shí)無法限制廣播的問題，每個(gè)VLAN一個(gè)廣播域，同一VLAN內(nèi)的主機(jī)通信跟一個(gè)LAN內(nèi)一樣，不同VLAN之間不能通信，如果需要通信，需要增加路由設(shè)備(三層交換機(jī)或者路由器)。2、基于MAC地址的劃分3、基于網(wǎng)絡(luò)層的劃分5、基于規(guī)則劃分(1)控制網(wǎng)絡(luò)流量，有助于控制廣播風(fēng)暴，減小沖突域、提高帶寬利用率(2)提高網(wǎng)絡(luò)安全性。(3)靈活的管理網(wǎng)絡(luò)，可以突破地理位置限制而根據(jù)管理功能來劃分網(wǎng)絡(luò)。交換機(jī)支持的封裝協(xié)議有dotlq和ISL兩種。ISL最多支持1024個(gè)vlan;而dotlq支持4096個(gè)vlan,其中兩個(gè)保留，因此可用4094個(gè)路另一端的交換機(jī)不僅要根據(jù)目標(biāo)地址，還要根據(jù)數(shù)據(jù)VLANVTP協(xié)議可以在一臺交換機(jī)上配置所有VLAN信VTP透明模式(transparent):透明模式下可以創(chuàng)建、刪除、修改VLAN信息，但不廣播自己的VLAN信息，它可以接收服務(wù)器發(fā)來的VLAN信息，但不使用，而是直接轉(zhuǎn)發(fā)給別VTP修剪：靜態(tài)修剪動態(tài)修剪動態(tài)修剪：允許交換機(jī)之間共享VLAN信息，也允許交換機(jī)從中繼鏈路上動態(tài)的剪除不活動的VLAN,使所得的所有VLAN都是活動的。當(dāng)一臺交換機(jī)端口加入新的VLAN時(shí)，則立即向周邊交換機(jī)發(fā)送VTP報(bào)文，通知其他交換機(jī)，有新的VLAN加入。根橋的確定：(1)交換機(jī)ID最小(2字節(jié)的優(yōu)先級和6字節(jié)MAC地址組成)(2)優(yōu)先級值越小優(yōu)先級越高，優(yōu)先級高的的為根橋(3)優(yōu)先級相同，MAC地址最小的為根橋根端口確定：(1)最小路徑開銷的端口為根端口(2)如果路徑開銷相同，取端口標(biāo)識最小的為根端口。端口開銷規(guī)定：10G端口開銷為2;1000M端口開銷為4;100M端口開銷為19;10M端口開銷為100阻塞：僅監(jiān)聽BPDU,不轉(zhuǎn)發(fā)數(shù)據(jù)幀，也不學(xué)習(xí)接受幀的MAC地址，延時(shí)20s,防止啟動交換機(jī)過程中產(chǎn)生交換環(huán)路。延時(shí)15s。此時(shí)不學(xué)習(xí)MAC幀的地址，不轉(zhuǎn)發(fā)數(shù)據(jù)幀。地址表，但不轉(zhuǎn)發(fā)數(shù)據(jù)幀，該狀態(tài)維持15s。協(xié)議的信息),也可以轉(zhuǎn)發(fā)數(shù)據(jù)幀Portfast(端口快速),使端口從阻塞狀態(tài)快速恢復(fù)到轉(zhuǎn)發(fā)狀態(tài)，以達(dá)到快速收斂的目Uplinkfast(上行快速)使端口從阻塞狀態(tài)快速恢復(fù)到轉(zhuǎn)發(fā)狀態(tài)，只用于接入層交換機(jī)的阻塞上行級聯(lián)端口(但不一定是uplink口),。存儲轉(zhuǎn)發(fā)式交換：交換機(jī)完整接收數(shù)據(jù)并對數(shù)據(jù)進(jìn)行差錯檢測，如果正確，根據(jù)目的地址將數(shù)據(jù)轉(zhuǎn)發(fā)出去。優(yōu)點(diǎn)是具備差錯檢測能力和支持不同輸入輸出速率端口之碎片過濾式交換：該方式是直通式轉(zhuǎn)發(fā)的改進(jìn)。在接收到數(shù)據(jù)后，判斷數(shù)據(jù)包長度是否夠64字節(jié)，小于64字節(jié)丟棄，大于64字節(jié)則發(fā)送。(1)端口類型雙絞線端口RJ-45,可提供100M和1000M兩種。SC端口，千兆光纖端口。GBIC端口，千兆光電轉(zhuǎn)換接口SPF端口，是GBIC端口的升級，功能相同。(2)傳輸模式：雙工，半雙工，自適應(yīng)(3)包轉(zhuǎn)發(fā)率，指交換機(jī)數(shù)據(jù)包轉(zhuǎn)發(fā)的能力包轉(zhuǎn)發(fā)率=千兆口數(shù)×1.488Mpps+百兆口數(shù)×0.1488Mpps(4)背板帶寬交換機(jī)端口總帶寬=端口數(shù)×2×端口速率(5)MAC地址數(shù)，指交換機(jī)的MAC地址表中可以存儲的MAC地址數(shù)量。(6)VLAN表項(xiàng)，反映一臺交換機(jī)所能支持的最大VLAN數(shù)。(7)機(jī)架插槽數(shù)，指安裝最大模塊數(shù)。2.9無線局域網(wǎng)(1)基于基礎(chǔ)設(shè)施網(wǎng)絡(luò)：該方式所有無線終端通過AP訪問骨干網(wǎng)絡(luò)或者互訪。AP如同網(wǎng)橋，完成802.11與802.3MAC協(xié)議之間的轉(zhuǎn)換。(2)特殊網(wǎng)絡(luò)(AdHoc):該方式是一種點(diǎn)對點(diǎn)的網(wǎng)絡(luò)，不需要有線網(wǎng)絡(luò)和AP,以無線網(wǎng)卡連接的終端設(shè)備之間可以互聯(lián)通信。802.11工作在2.4Ghz頻率，2Mb/s802.11b工作在2.4Ghz頻率，11Mb/s802.11g工作在2.4Ghz頻率，54Mb/s802.11a工作在5.2Ghz頻率，54Mb/s802.11h工作在5.2Ghz頻率802.11n利用MIMO技術(shù)和OFDM(頻分多路復(fù)用)結(jié)合在一起，理論上可提供300Mbps甚至是600Mbps的傳輸速率無線局域網(wǎng)的關(guān)鍵技術(shù)B、紅外頻譜不受管制C、紅外線可以被淺色物體漫反射。缺點(diǎn)：室內(nèi)環(huán)境可能因陽光或照明而產(chǎn)生強(qiáng)烈的光線，這將成為紅外接收器的噪聲。使得必須使用高能發(fā)送器，限制使用范圍。主要有以下3種技術(shù)：定向光束紅外線全向廣播紅外線漫反射紅外線將信號散步到更寬的帶寬上以減少阻塞和干擾的機(jī)會，其分為跳頻和直接序列兩種。原理：輸入數(shù)據(jù)首先進(jìn)入信道編碼器，產(chǎn)生一個(gè)接近某中央頻譜的較窄帶寬的模擬信號，然后用一個(gè)偽隨機(jī)序列對信號進(jìn)行調(diào)制。調(diào)制的結(jié)果是大大的拓寬了信號的帶寬。跳頻：信號按照看似隨機(jī)的無線電頻譜發(fā)送，每一個(gè)分組采用不同的發(fā)送頻率。監(jiān)聽者只能收到一些無法理解的信號，干擾信號也只能破壞一部分傳輸信號。行，然后所有的碼片用傳統(tǒng)的數(shù)字調(diào)制器發(fā)送。分為2類：一類是申請?jiān)S可證的窄帶RF;另一類是免申請?jiān)S可證的窄帶RF無線局域網(wǎng)訪問控制機(jī)制主要解決隱蔽終端和暴露站問題。最常用的加密手段有WEP(共享密鑰),WPA/WPA2,WPA-PSK/WPA2-PSK這三種算法中安全性最好的WPA-PSK/WPA2-PSK,其加密過程采用了TKIP和AES算法AP安裝與配置(1)安裝在高處，盡量避免障礙物，特別是金屬物體。(2)盡量處于房間中央。(1)首先輸入AP的管理員密碼SSID,用來標(biāo)識不同的無線網(wǎng)絡(luò)。然后根據(jù)AP預(yù)設(shè)的IP地址和掩碼設(shè)置客戶端的地址和掩碼，這樣打開AP后，無線網(wǎng)卡將自行尋找。(2)使用AP配置界面設(shè)置IP分配方式，它提供“靜態(tài)分配”和“動態(tài)分配”兩(3)配置安裝加密功能。默認(rèn)情況下AP是不加密。(4)避免信號干擾的方法對每個(gè)無線局域網(wǎng)采用不同的非重疊的信道。3.0結(jié)構(gòu)化布線結(jié)構(gòu)化布線由6個(gè)子系統(tǒng)組成：工作區(qū)子系統(tǒng)：有終端到信息插座的整個(gè)區(qū)域。包括信息插座、跳線、適配器。原則：信息插座與電源插座保持在30-150cm的距離信息插座據(jù)地面一般在30cm,面積為9m2UTP/STP布線距離為10m水平子系統(tǒng)：各個(gè)樓層的接線間配線架到工作區(qū)信息插座之間的電纜構(gòu)成。在結(jié)構(gòu)化布線中，水平子系統(tǒng)起支線作用，它將用戶端通過線纜連接至配線架上。UTP/STP布線距離為90m管理子系統(tǒng)：對布線電纜進(jìn)行端接和配線管理的子系統(tǒng)，通常設(shè)置在樓層的配線間內(nèi)。由交聯(lián)設(shè)備(雙絞線配線架、光纖配線架)、集線器和交換機(jī)等交換設(shè)備組成。干線子系統(tǒng)(垂直子系統(tǒng)):連接管理間和設(shè)備間的子系統(tǒng)。一般由多對數(shù)的光纜和雙絞線組成。語音系統(tǒng)采用三類大對數(shù)雙絞線，數(shù)據(jù)通信采用高品質(zhì)五類雙絞線也可以采用光纜。布線距離光纖一般2000米，STP為800米，UTP為700米。建議每1.5米設(shè)置一個(gè)線纜支撐點(diǎn)。要求：濕度要求在20%-80%,溫度20-30℃綜合考慮配電、安全接地和消防等因素建筑群子系統(tǒng)：由連接樓群之間的通信傳輸介質(zhì)和各種支持設(shè)備組成。布線距離光纖一般2000米，STP為800米，UTP為700米。3.1網(wǎng)絡(luò)開發(fā)過程網(wǎng)絡(luò)生命周期至少包括系統(tǒng)構(gòu)思與計(jì)劃、分析和設(shè)計(jì)、運(yùn)行和維護(hù)的過程。常見的迭代周期分為四階段周期、五階段周期、六階段周期。網(wǎng)絡(luò)開發(fā)過程根據(jù)五階段迭代周期模型可被分為五個(gè)階段：需求分析、現(xiàn)有網(wǎng)絡(luò)分析、確定網(wǎng)絡(luò)邏輯結(jié)構(gòu)、確定網(wǎng)絡(luò)物理結(jié)構(gòu)、安裝與維護(hù)。需求分析：收集不同用戶的網(wǎng)絡(luò)需求，主要包括，業(yè)務(wù)需求、用戶需求、應(yīng)用需求、計(jì)算機(jī)平臺需求、網(wǎng)絡(luò)通信需求和未來需求。需求分析產(chǎn)生一份需求規(guī)范，需要管理者與設(shè)計(jì)者簽字，這是規(guī)避網(wǎng)絡(luò)建設(shè)風(fēng)險(xiǎn)的關(guān)現(xiàn)有網(wǎng)絡(luò)分析：主要目的是描述資源分布，以便在升級時(shí)保護(hù)已有的投資該階段給出一份通信規(guī)范說明文檔，作為下一階段的輸入。主要包括：(1)現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(2)現(xiàn)有網(wǎng)絡(luò)容量，新網(wǎng)絡(luò)所需通信量和通信模式(3)詳細(xì)統(tǒng)計(jì)數(shù)據(jù)，直接反映現(xiàn)有網(wǎng)絡(luò)新能的測量值(4)Internet接口以及廣域網(wǎng)提供的服務(wù)質(zhì)量報(bào)告(5)限制因素列表，如電纜和設(shè)備清單確定網(wǎng)絡(luò)邏輯結(jié)構(gòu)：根據(jù)需求規(guī)范和通信規(guī)范確定比較適宜的網(wǎng)絡(luò)邏輯結(jié)構(gòu)，并實(shí)施后續(xù)的資源分配規(guī)劃、安全規(guī)劃等內(nèi)容(1)網(wǎng)絡(luò)邏輯設(shè)計(jì)圖(2)IP地址分配方案(3)安全管理方案(4)具體軟硬件、廣域網(wǎng)連接設(shè)備和基本網(wǎng)絡(luò)服務(wù)(5)招聘和培訓(xùn)網(wǎng)絡(luò)員工的具體說明(6)如硬件費(fèi)用、服務(wù)提供費(fèi)用和培訓(xùn)費(fèi)用的估算確定網(wǎng)絡(luò)物理結(jié)構(gòu)：對設(shè)備的具體物理分布、運(yùn)行環(huán)境等的確定來使網(wǎng)絡(luò)的物理連接符合邏輯設(shè)計(jì)要求(1)網(wǎng)絡(luò)物理結(jié)構(gòu)圖和布線方案(2)設(shè)備和部件的詳細(xì)列表清單(3)軟硬件和安裝費(fèi)用估算(4)安裝日程表、說明服務(wù)的時(shí)間和期限(5)安裝后的測試計(jì)劃(6)用戶的培訓(xùn)計(jì)劃安裝與維護(hù)：根據(jù)前面的工程結(jié)果實(shí)施環(huán)境準(zhǔn)備、設(shè)備安裝調(diào)試的過程網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)：經(jīng)典的三層模型，是將網(wǎng)絡(luò)分為核心、匯聚和接入層核心層：提供不同區(qū)域或者下層的高速連接和最優(yōu)傳輸路徑，主要設(shè)備是高端路由器設(shè)計(jì)原則：采用冗余組件設(shè)計(jì)，具有高可靠性、高帶寬和高吞吐率。盡量避免數(shù)據(jù)包過濾和策略路由等降低數(shù)據(jù)包轉(zhuǎn)發(fā)處理的機(jī)制，已實(shí)現(xiàn)數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。匯聚層：將網(wǎng)絡(luò)業(yè)務(wù)連接到接入層，并且實(shí)施安全、流量負(fù)載和路由相關(guān)策略。主要設(shè)備是實(shí)現(xiàn)策略的路由器或者交換機(jī)。匯聚層向核心層隱藏接入層的信息，匯聚層主要完成協(xié)議轉(zhuǎn)換、策略路由、流量控制等接入層：為終端用戶訪問網(wǎng)絡(luò)提供接入。主要設(shè)備是低端交換機(jī)。設(shè)計(jì)原則：接入層主要解決相鄰用戶之間的互訪，同時(shí)還負(fù)責(zé)一些用戶管理功能(如地址認(rèn)證、用戶認(rèn)證、計(jì)費(fèi)管理)和用戶信息收集(IP與MAC綁定、訪問日志)單點(diǎn)故障：通過重復(fù)設(shè)置網(wǎng)絡(luò)組件來避免因單個(gè)組件失效而導(dǎo)致應(yīng)用失效。傳輸速率=平均事務(wù)量大小×每位字節(jié)數(shù)×每個(gè)會話事物數(shù)×平均用戶數(shù)/網(wǎng)絡(luò)安全的設(shè)計(jì)原則從工程技術(shù)角度，網(wǎng)絡(luò)安全應(yīng)設(shè)計(jì)遵循以下原則(1)信息安全與保密的“木桶原則”。強(qiáng)調(diào)對信息均衡、全面地進(jìn)行安全保護(hù)。充分、全面、完整的對系統(tǒng)的安全漏洞和安全威脅進(jìn)行分析、評估和檢測使設(shè)計(jì)網(wǎng)絡(luò)安全系統(tǒng)的必要前提條件(2)安全系統(tǒng)的整體性原則。強(qiáng)調(diào)安全防護(hù)、檢測和應(yīng)急恢復(fù)。要求在網(wǎng)絡(luò)發(fā)生被攻擊情況下，盡快的恢復(fù)信息中心的服務(wù)，減少損失。(3)安全系統(tǒng)的有效性和實(shí)用性原則。網(wǎng)絡(luò)安全以不影響正常運(yùn)行和合法用戶的操作活動為前提(4)安全系統(tǒng)的“等級性”原則。良好的安全系統(tǒng)必須劃分不同的等級(6)安全有價(jià)原則?？紤]網(wǎng)絡(luò)安全問題解決方案時(shí)必須考慮性能和價(jià)格的平衡。不同的網(wǎng)絡(luò)安全側(cè)重點(diǎn)不同。網(wǎng)絡(luò)設(shè)備選型原則：(1)盡可能選擇同一廠家產(chǎn)品。這樣的設(shè)備在互連性、協(xié)議的互操作性、技術(shù)支持和價(jià)格等方面有優(yōu)勢。(2)主干設(shè)備應(yīng)考慮預(yù)留一定的擴(kuò)展能力，低端設(shè)備夠用即可。如果舊網(wǎng)改造，應(yīng)盡可能保留用戶原有網(wǎng)絡(luò)投資，減少在資金投入的浪費(fèi)。(4)選擇性價(jià)比高、質(zhì)量過硬的產(chǎn)品一、廣域網(wǎng)技術(shù)1、公共交換電話網(wǎng)Internet在網(wǎng)絡(luò)層采用數(shù)據(jù)包服務(wù)，數(shù)據(jù)鏈路層采用協(xié)議SLIP協(xié)議(串行鏈路網(wǎng)際協(xié)議，主要用于低速交互型業(yè)務(wù)，僅支持IP協(xié)議，無差錯控制)和PPP協(xié)議，PPPOA和PPPOE均屬于PPP協(xié)議的子集，PPPOA應(yīng)用于ATM專用網(wǎng)絡(luò)，PPPOE應(yīng)用于以太網(wǎng)，目前大多采用PPPOE模式DTE:用戶的數(shù)據(jù)終端或計(jì)算機(jī)叫做數(shù)據(jù)終端設(shè)備DTEDCE:在通信網(wǎng)絡(luò)的一邊有個(gè)設(shè)備管理網(wǎng)絡(luò)的接口，這個(gè)設(shè)備叫做DCE,DCE通常指調(diào)制解調(diào)器，主要提供建立、維持和拆除電路以及波形變化和編碼等功能。1.1調(diào)制解調(diào)器CCITTV.29建議的modem以9600b/s的速率進(jìn)行全雙工或半雙工傳輸，它采用正交調(diào)幅(QAM)由4種幅度8種相位結(jié)合產(chǎn)生16種碼元，因而在2400的波特率下可得到9600b/s(2400×log1?)的數(shù)據(jù)速CCITTV.32建議的modem采用網(wǎng)格編碼調(diào)制TCM技術(shù)，這種modem的數(shù)據(jù)速率為9600b/s。CCITTV.33建議的modem對6比特組進(jìn)行幅度相位編碼，增加1個(gè)冗余位，形成7比特的網(wǎng)格編碼，因而在2400的波特率下可得到14400b/s(2400×log;?)的數(shù)據(jù)速率。ITU的V.90建議的modem下行數(shù)據(jù)速率為56KB/s,上行速率33.6KB/s。這種modem采用非對稱工作1.2公共數(shù)據(jù)網(wǎng)X.25(也稱分組交換網(wǎng))X.25采用的是面向連接的虛電路服務(wù)X.25物理層采用X.21協(xié)議，主要定義物理網(wǎng)絡(luò)之間的物理、電器、功能和過程特性。X.25的數(shù)據(jù)鏈路層(鏈路訪問層)采用LAPB協(xié)議，該協(xié)議是HDLC協(xié)議的一部分，主要描述用戶主機(jī)和分組交換機(jī)之間的數(shù)據(jù)可靠傳輸，包括幀格式定義和差錯控制。X.25的網(wǎng)絡(luò)層(分組層)采用PLP協(xié)議，該層主要定義分組、尋址、流量控制和擁塞控制等問題。其主要功能是允許用戶建立虛電路(支持交換虛電路SVC和永久虛電路PVC)和在已建的虛電路上傳輸最大長度為128字節(jié)的數(shù)據(jù)報(bào)文。一個(gè)DTE設(shè)備最多建立4095條虛電路。兩個(gè)X.25網(wǎng)絡(luò)互連使用X.75協(xié)議。X.25的流量和差錯控制機(jī)制與HDLC相似。其默認(rèn)窗口大小為2。差錯控制采用后退N幀ARQ協(xié)議。X.25由于復(fù)雜的差錯校驗(yàn)機(jī)制，導(dǎo)致傳輸效率受到限制，同時(shí)傳輸速率不快，一般為64kb/s,但主要A、可以在一條物理鏈路上開放多條虛電路供多個(gè)用戶使用；B、具有動態(tài)路由功能和復(fù)雜完備的誤碼糾錯功能；C、可以滿足不同速率和不同型號的終端與計(jì)算機(jī)間、計(jì)算機(jī)與計(jì)算機(jī)間以及局域網(wǎng)和局域網(wǎng)間的數(shù)據(jù)通信。HDLC協(xié)議時(shí)一種面向比特的同步數(shù)據(jù)鏈路控制協(xié)議，由6個(gè)字段組成。其用一種特殊的位模式01111110作為幀的邊界標(biāo)志。地址8位信息FCS(16或者32為)HDLC定義了三種幀：信息幀(I幀)、管理幀(S幀)、無編號幀(U幀),其中控制字段第一位或者前兩位用于區(qū)別三種不同的幀(I幀控制字段第一位為0,S幀前兩位為01,U幀前兩位為11)1.3流量控制與差錯控制1.3.1、停等協(xié)議：發(fā)送站發(fā)送一幀，然后等待應(yīng)答信號后再發(fā)送下一幀；接收站每收到一幀都回一個(gè)應(yīng)答信號ACK,表示愿意接受下一幀，如果接受站不送信號則發(fā)送站必須等待。線路利用率其中t,傳播時(shí)延，信號在線路上傳播的時(shí)間；t,傳輸時(shí)延，數(shù)據(jù)幀加載到線路上所需時(shí)間；d為線纜長度v為信號傳播速率；L為幀長R為數(shù)據(jù)速率1.3.2、滑動窗口協(xié)議：如果接收端維持能容納W個(gè)幀的緩沖區(qū)(即窗口大小為W),那么發(fā)送端可以連續(xù)發(fā)送W個(gè)幀而不必等待應(yīng)答信號，但在收到接收端的應(yīng)答信號前，則滑動窗口不滑動。接收端收到一個(gè)幀時(shí)，就發(fā)送一個(gè)應(yīng)答信號，并把滑動窗口滑動到i=W-i+1的位置，表明i之前的已正確接收，期待接收后續(xù)W個(gè)幀。則線路利用率1.3.3、差錯控制ARQ技術(shù)：利用差錯檢測技術(shù)自動的對丟失幀和錯誤幀請求重發(fā)的技術(shù)如果收到否定應(yīng)答信號NAK后重發(fā)該幀；如果在一定時(shí)間內(nèi)未收到應(yīng)答信號必須重發(fā)。、連續(xù)ARQ協(xié)議：分為選擇重發(fā)ARQ和后退N幀ARQ兩種。其中選擇重發(fā)ARQ只重發(fā)出錯的幀，后面的幀被緩存。這種協(xié)議窗口大小的最大值應(yīng)為幀編號數(shù)的一半，即W≤2-;后退N幀ARQ是從出錯處重發(fā)已發(fā)過的N個(gè)幀其窗口大小為W≤2?-11.4幀中繼frame-relay(也稱快速分組交換網(wǎng))幀中繼工作在物理層和數(shù)據(jù)鏈路層，其在數(shù)據(jù)鏈路層建立虛電路，用幀方式承載數(shù)據(jù)業(yè)務(wù)。幀中繼的幀只進(jìn)行檢錯和擁塞控制。幀中繼支持交換虛電路SVC和永久虛電路PVC,但相對來說永久虛電路PVC用的較多。幀中繼協(xié)議為LAP-D(D信道鏈路規(guī)程),LAP-D幀頭和幀尾都是一個(gè)字節(jié)的幀標(biāo)志字段01111110,信息字段可變，默認(rèn)最大長度為1600字節(jié)，該協(xié)議增加了擁塞控制。DLCI低位為1表示向前擁塞控制；BECN位為1表示與傳送方向相反的方向上出現(xiàn)擁塞；DE(優(yōu)先丟棄比特位)位為1幀中繼主要優(yōu)點(diǎn)：A、基于分組交換的透明傳輸，可提供面向連接的服務(wù)B、幀長可變，長度1600-4096字節(jié)，可承載各種局域網(wǎng)的數(shù)據(jù)幀C、速率可達(dá)2-45Mb/sD、既可按需提供帶寬，也可應(yīng)付突發(fā)數(shù)據(jù)傳輸缺點(diǎn)：不適于對延遲敏感的應(yīng)用(音頻、視頻),無法保證可靠提交。1.5ATM(異步傳輸)ATM以異步時(shí)分復(fù)用為基礎(chǔ)，每個(gè)時(shí)間片沒有固定的占有者，各子信道的信息按照優(yōu)先級和排隊(duì)規(guī)則按需分配時(shí)間片。為區(qū)分信息所屬，在信息頭部增加報(bào)頭。報(bào)頭和信息構(gòu)成ATM的信元，信元大小為53字節(jié)，其中信頭5字節(jié)，數(shù)據(jù)域48字節(jié)。差錯控制和流量控制放在高層處理。1.5.1、ATM網(wǎng)絡(luò)工作在物理層和數(shù)據(jù)鏈路層，其中數(shù)據(jù)鏈路層被分為ATM適配子層(AAL)和ATM子元流和比特流的轉(zhuǎn)換。A、信元匯聚和分揀；C、信元頭的拆裝和信元速率調(diào)整。AAL主要定義高層PDU和信元中數(shù)據(jù)域的拆裝方法。主要目的是將高層數(shù)據(jù)轉(zhuǎn)換為適合ATM網(wǎng)絡(luò)傳輸?shù)母袷紺CITT通信業(yè)務(wù)分類A級支持有實(shí)時(shí)性要求的恒定位速率業(yè)務(wù)CBR,采用面向連接的工作方式，比特率恒定，要求同步；AAL1支持此類業(yè)務(wù)，常用業(yè)務(wù)為64KB/s的話音、固定碼率的非壓縮視頻。B級支持有實(shí)時(shí)性要求的可變位速率業(yè)務(wù)VBR,采用面向連接的工作方式，比特率可變，要求同步。AAL2支持此類業(yè)務(wù)，常用業(yè)務(wù)為壓縮的語音通信和壓縮的視頻通信。C級支持無實(shí)時(shí)性要求的可變速率業(yè)務(wù)ABR,采用面向連接工作方式，比特率可變，不要求同步。AAL3/4支持此類業(yè)務(wù)，適用于文件傳遞和數(shù)據(jù)網(wǎng)業(yè)務(wù)。D級支持面向無連接的數(shù)據(jù)傳輸業(yè)務(wù)UBR,采用無連接工作方式，比特流可變，不要求同步。AAL3/4和AAL5均支持此類業(yè)務(wù)，適用于數(shù)據(jù)報(bào)業(yè)務(wù)和數(shù)據(jù)網(wǎng)業(yè)務(wù)ATM通信管理采取的主要措施(1)連接準(zhǔn)入控制是防止網(wǎng)絡(luò)因超載而出現(xiàn)擁塞的第一道防線；(2)參數(shù)控制來避免用戶濫用資源而引起網(wǎng)絡(luò)擁塞(3)通信量整形用來平滑通信量、減小信元堆積、公平分配資源、減小延遲。ISDN即支持線路交換也支持分組交換，其系統(tǒng)組成為：設(shè)備終端TE、網(wǎng)絡(luò)終端NT、適配器TA。TE(終端設(shè)備)分為TE1和TE2。TE1(標(biāo)準(zhǔn)ISDN設(shè)備)直接和NT相連；TE2(稱為非ISDN設(shè)備)需經(jīng)過TA(終端適配器)與NT相連。NT分為NT1和NT2。NT1是第一網(wǎng)絡(luò)終端，被放在用戶設(shè)備和ISDN之間，起到插板作用，同時(shí)還具有管理和維護(hù)功能。NT2僅具有集線和交換功能。ISDN分為窄帶ISDN(N-ISDN)和寬帶ISDN(B-ISDN,關(guān)鍵技術(shù)為ATM,采用五類雙絞線和光纖傳基本速率接口(2B+D):2條速率64kb/s的B信道(話音和數(shù)據(jù)信道)和1條速率16kb/s的D信道(信令信道)組成，合計(jì)144kb/s。允許用戶使用模擬電話進(jìn)行數(shù)據(jù)的存數(shù)字通信。一次群速率接口(30B+2D):B信道和D信道(信令信道)速率均為64kb/s,享有高達(dá)2.048Mb/s的窄帶ISDN分為三層，多路復(fù)用屬于物理層功能，數(shù)據(jù)鏈路層采LAPDADSL:非對稱DSL技術(shù)，下行速率1～8Mb/s,上行速率512kb/s～1Mb/s,傳輸距離3-5千米。同時(shí)和G.Lite(速率較低，僅為下行1.5Mb/s,上行速率512Kb/s,不需安裝分離器，適用于家庭)兩種。信(64Kb/s-12Mb/s)。HFC網(wǎng)綜合運(yùn)用了模擬和數(shù)字傳輸技術(shù)、同軸和光纖技術(shù)的寬帶接入網(wǎng)絡(luò)，它由光纖干線網(wǎng)(星型)和同軸分配網(wǎng)(樹型)組成。HFC利用電纜調(diào)制解調(diào)器(CableModem),在發(fā)送端對數(shù)據(jù)進(jìn)行調(diào)制，在接收端CableModem采用頻分復(fù)用技術(shù)，將信道分為上行信道(10Mb/s)和下行信道(30Mb/s),一般安裝在用戶端，不是成對的使用。采用MAC(媒體訪問控制協(xié)議)協(xié)議。使用CableModem遠(yuǎn)程接入需要依賴于運(yùn)營商一端的線纜調(diào)制解調(diào)器終結(jié)設(shè)備CMTS,該設(shè)備向CableModem提供高速連接。CMTS的以太網(wǎng)口可以直接與以太網(wǎng)相連，同時(shí)可以通過中繼線路連接PSTN網(wǎng)絡(luò)；在HFC區(qū)域中，可以借助光電收發(fā)器、光電轉(zhuǎn)換器完成信號的中繼和傳遞，連接至CableModem。A、僅需要一個(gè)光纖節(jié)點(diǎn)進(jìn)行信號轉(zhuǎn)發(fā)、轉(zhuǎn)換，節(jié)省器件；B、具有1000MHZ的帶寬，可傳輸電話語音業(yè)務(wù)、高速數(shù)據(jù)業(yè)務(wù)和個(gè)人通信業(yè)務(wù)。C、比傳統(tǒng)的CATV網(wǎng)絡(luò)具有更高的資源利用率。FTTx是指接入網(wǎng)絡(luò)光纖化，范圍從區(qū)域電信機(jī)房的局端設(shè)備到用戶終端設(shè)備。2.0寬帶無線接入802.11工作在2.4Ghz頻率，2Mb/s802.11b工作在2.4Ghz頻率，11Mb/s802.11g工作在2.4Ghz頻率，54Mb/s802.11a工作在5.2Ghz頻率，54Mb/s802.11h工作在5.2Ghz頻率802.11n利用MIMO技術(shù)和OFDM(頻分多路復(fù)用)結(jié)合在一起，理論上可提供300Mbps甚至是600Mbps的PoE(PowerOverEthernet)技術(shù)使用一條以太電纜同時(shí)提供以太網(wǎng)信號和直流電源。主要完成對無線AP、IP電話機(jī)、安全網(wǎng)絡(luò)攝像機(jī)等終端傳輸數(shù)字信號和提供直流電源。提供44V-57V的直流電壓，功率一般控制在15.4W。SDH主要有兩種方式：IPoverSDH:該方式以SDH網(wǎng)絡(luò)作為IP網(wǎng)絡(luò)的物理傳輸網(wǎng)絡(luò)，使用鏈路適配器和幀協(xié)議(PPP)對數(shù)據(jù)包進(jìn)行封裝，然后按字節(jié)同步方式將封裝后的數(shù)據(jù)包映射到SDH網(wǎng)絡(luò)中進(jìn)行傳送。IPoverSDH為PDH(準(zhǔn)同步數(shù)字系列):這種方式的STM-1中封裝63個(gè)E1信道，可同時(shí)為63個(gè)用戶提供2Mb/s的E1采用分時(shí)復(fù)用技術(shù)，共有32個(gè)時(shí)隙，每個(gè)時(shí)隙提供64Kb/s的數(shù)據(jù)速率，其中30個(gè)時(shí)隙用于傳輸T1信道采用時(shí)分復(fù)用技術(shù)，共有24個(gè)時(shí)隙，每個(gè)時(shí)隙提供56Kb/s的數(shù)據(jù)速率。二層協(xié)議：主要是對傳統(tǒng)撥號協(xié)議PPP的擴(kuò)展。典型協(xié)議為L2TPPPTP密鑰管理協(xié)議IKE:IKE完成兩個(gè)任務(wù)：(1)安全關(guān)聯(lián)的集中化管理，減少連接時(shí)間(2)密鑰生成和MPLS技術(shù)主要是為了提高路由器轉(zhuǎn)發(fā)速度提出的。核心思想是利用標(biāo)簽交換取代路由運(yùn)算和路由交換。其技術(shù)實(shí)現(xiàn)的核心是在IP數(shù)據(jù)包之外封裝一個(gè)32位的MPLS包頭(MPLS標(biāo)簽被插入在以太幀頭和MPLSVPN承載平臺由PE路由器、CE路由器和P路由器組成，其中P路由器是MPLS核心網(wǎng)中的路由器，PE路由器是MPLS核心網(wǎng)上的邊緣路由器，與CE路由器相連，負(fù)責(zé)待傳數(shù)據(jù)包的MPLS標(biāo)簽生成和第四章因特網(wǎng)網(wǎng)絡(luò)地址：主機(jī)為全為0的地址廣播地址：主機(jī)位全為1的地址狹義Internet是指由上述網(wǎng)絡(luò)中采用IP協(xié)議的網(wǎng)絡(luò)互聯(lián)而成的，狹義Intrenet加上所有能通過路由選擇至目的站的網(wǎng)絡(luò)，便構(gòu)成了廣義Intrenet。優(yōu)點(diǎn)：Intrenet體系結(jié)構(gòu)具有良好擴(kuò)充性，因?yàn)樗跇湫徒Y(jié)構(gòu)，具有層次性和單向依賴性。缺點(diǎn)：對核心網(wǎng)關(guān)結(jié)構(gòu)依賴嚴(yán)重，一旦出現(xiàn)故障，整個(gè)Intenet的工作將受到影響，這種結(jié)構(gòu)將逐漸被對等主干結(jié)構(gòu)所取代。中繼器：主要是對接受信號進(jìn)行再生和發(fā)送，其不解釋也不改變接收到數(shù)字信號。工作在物理層。集線器：是一個(gè)多端口的中繼器。網(wǎng)橋：通過分析幀地址字段，來決定是否將收到的幀發(fā)送到另一個(gè)網(wǎng)段上。其工作在數(shù)據(jù)鏈路層。交換機(jī)：是一個(gè)多端口網(wǎng)橋。路由器：工作在網(wǎng)絡(luò)層，主要完成協(xié)議轉(zhuǎn)換。網(wǎng)關(guān)：對不同的傳輸層、會話層、表示層和應(yīng)用層的協(xié)議進(jìn)行翻譯和轉(zhuǎn)換。沖突域：連接在同一導(dǎo)線上的所有工作站的集合。中繼器和集線器連接的所有節(jié)點(diǎn)處在同一沖突域中，網(wǎng)橋、交換機(jī)和路由器可以分割沖突域。廣播域：指接受同樣廣播消息的節(jié)點(diǎn)的集合。網(wǎng)橋和交換機(jī)連接的所有節(jié)點(diǎn)處在同一廣播域，路由器和三層交換設(shè)備可以分割廣播域。IP協(xié)議時(shí)Internet中網(wǎng)絡(luò)層協(xié)議，提供無連接的服務(wù)IP協(xié)議控制傳輸?shù)膮f(xié)議單元稱為IP數(shù)據(jù)報(bào)。IP數(shù)據(jù)報(bào)中包括收/發(fā)雙方的IP地址。IP協(xié)議提供不可靠、無連接的、盡力投遞的數(shù)據(jù)報(bào)投遞服務(wù)。一個(gè)IP地址由網(wǎng)絡(luò)號和主機(jī)號組成，由4個(gè)字節(jié)共32位二進(jìn)制數(shù)組成。一般用點(diǎn)分十進(jìn)制表示。IP地址分類第一字節(jié)十進(jìn)制范圍二進(jìn)制固定高位二進(jìn)制網(wǎng)絡(luò)網(wǎng)絡(luò)數(shù)二進(jìn)制主機(jī)數(shù)主機(jī)數(shù)088組播地址留給實(shí)驗(yàn)用(1)網(wǎng)絡(luò)地址第一個(gè)數(shù)字不能為127,127的地址用于測試連接。(2)網(wǎng)絡(luò)地址不能全為0,也不能全為255。(3)只有A、B、C類的IP地址可以分配給計(jì)算機(jī)或者網(wǎng)絡(luò)設(shè)備。私有地址(不允許出現(xiàn)在互聯(lián)網(wǎng)上)嚴(yán)格講這不是一個(gè)ip地址，在本網(wǎng)絡(luò)上的本主機(jī)?？勺鲈吹刂?。本機(jī)地址，用于測試TCP/IP協(xié)議能否正常工作。55限制廣播地址。同一廣播域的所有主機(jī)，這個(gè)地址不被路由轉(zhuǎn)發(fā)?？梢宰瞿康牡?69.254.X.X(自動專有地址)當(dāng)DHCP服務(wù)器出現(xiàn)故障或者響應(yīng)時(shí)間太長而超出系統(tǒng)規(guī)定時(shí)間，Windows會分配一個(gè)這樣的地址。是一個(gè)組播地址。指所有主機(jī)；指所有路由器；OSPF路由協(xié)議專用。子網(wǎng)(subnet):在TCP/IP網(wǎng)絡(luò)上用路由器連接起來的網(wǎng)段。同一子網(wǎng)內(nèi)的IP地址必須有相同的無類別IP地址(classless):引入子網(wǎng)劃分后的IP地址子網(wǎng)掩碼：與IP地址成對出現(xiàn)，子網(wǎng)掩碼中為1的部分表示網(wǎng)絡(luò)號，為0的部分表示主機(jī)位。可變長度子網(wǎng)掩碼(VLSM):允許一個(gè)網(wǎng)絡(luò)使用不同的子網(wǎng)掩碼適應(yīng)不同規(guī)模的網(wǎng)絡(luò)。子網(wǎng)數(shù)=2*(k為子網(wǎng)借用位數(shù))例：/16規(guī)劃為250個(gè)主機(jī)的網(wǎng)絡(luò)/24,則可用子網(wǎng)數(shù)=224-16-2個(gè)可用主機(jī)數(shù)=2”-2(n為主機(jī)位數(shù))有效IP地址范圍：在一個(gè)網(wǎng)段中除去前面一個(gè)網(wǎng)絡(luò)地址和后面一個(gè)廣播地址后剩余的地址范圍使用路由匯聚時(shí)，路由匹配結(jié)果應(yīng)選擇最長網(wǎng)絡(luò)前綴的路由(即，子網(wǎng)掩碼最長的作為路由)IP數(shù)據(jù)報(bào)由頭部和數(shù)據(jù)部分組成，頭部由兩部分組成，其中頭部固定部分為20字節(jié)，頭部可變部分長度為4字節(jié)的整數(shù)倍。ARP協(xié)議(報(bào)文封裝在以太網(wǎng)幀中傳送)網(wǎng)絡(luò)層協(xié)議如果主機(jī)A向主機(jī)B發(fā)送數(shù)據(jù)，主機(jī)A向自己的ARP緩存表中尋找主機(jī)B對應(yīng)的MAC地址，如果有，直接發(fā)送；如果沒有，主機(jī)A向網(wǎng)絡(luò)中發(fā)送廣播，主機(jī)B收到廣播后，就會將主機(jī)A的MAC寫入ARP址，)主機(jī)A收到應(yīng)答后會更新其ARP緩存表，并發(fā)送數(shù)據(jù)。ICMP報(bào)文控制協(xié)議(報(bào)文封裝在IP數(shù)據(jù)報(bào)中數(shù)據(jù)部分傳送)ICMP報(bào)文控制協(xié)議屬于網(wǎng)絡(luò)層協(xié)議差錯控制報(bào)文：目標(biāo)不可達(dá)：不能把IP數(shù)據(jù)報(bào)送達(dá)目標(biāo)主機(jī)，發(fā)送該報(bào)文超時(shí)：IP數(shù)據(jù)報(bào)的生存期已超時(shí)(TTL=0),發(fā)出該報(bào)文參數(shù)問題：當(dāng)判斷出IP數(shù)據(jù)報(bào)頭部字段或語義出錯，發(fā)送該報(bào)文回送請求：測試兩點(diǎn)之間線路是否暢通(ping命令)IPV6數(shù)據(jù)報(bào)包有一個(gè)40字節(jié)的基本首部，其后允許有0個(gè)或多個(gè)擴(kuò)展首部，然后是數(shù)據(jù)部分。擴(kuò)展首部和數(shù)據(jù)部分統(tǒng)稱為有效載荷。IPV6使用了兩種安全性擴(kuò)展，即IP身份驗(yàn)證頭和IP封裝安全性凈荷IPV6地址空間采用128位地址長度。其表示方法有：(1)IPV6地址長度128位，采用冒號分開十六進(jìn)制表示。(2)某些IPV6地址中有一長串0,此時(shí)可將連續(xù)的0壓縮為一個(gè)0。也可以將連續(xù)多個(gè)0000用雙冒號替代。21DA:0:0:0:C2:EFO:EA(3)0壓縮只能出現(xiàn)1次全0的地址表示為(::)表示為一個(gè)未指明的地址，不能將該地址分給一個(gè)接口或者目的地址?；丨h(huán)地址：(::1)用于標(biāo)識一個(gè)回環(huán)接口，相當(dāng)于IPV4中的。ping::1可以測試本地IPV6協(xié)議棧是否正常。兼用IPV4地址(::)用于使用公共IPV4地址的IPV6網(wǎng)絡(luò)。IPV4地址映射用于僅支持IPV4的節(jié)點(diǎn)表示IPV6地址2.5TCP傳輸控制協(xié)議和UDP用戶數(shù)據(jù)報(bào)協(xié)議UDP用戶數(shù)據(jù)報(bào)首部數(shù)據(jù)首部數(shù)據(jù):216個(gè)不同的端口。2.5.2TCP協(xié)議支持面向連接的、可靠的、面向流的投遞服務(wù)TCP模塊之間進(jìn)行全雙工的數(shù)據(jù)流交換。位位固定首部(發(fā)送順序號)序號(按收順序號)確認(rèn)IP首部數(shù)據(jù)偏移2.5.3TCP三次握手，目的是防止產(chǎn)生錯誤連接TCP進(jìn)行流量控制的方法是采用可變大小的滑動窗口協(xié)議2.5.4TCP連接狀態(tài)詳解Listen:偵聽對方建立連接請求的狀態(tài)SYN-SENT:已主動發(fā)出建立連接請求SYN-RECEIVED:收到對方的連接建立請求。FIN-WAIT等待對方的連接釋放請求局域網(wǎng)(網(wǎng)絡(luò)訪問層)2.6.1端口號分類保留端口號1-1023,固定的分給一些應(yīng)用協(xié)議使用。常用如下端口號傳輸層協(xié)議用途FTP數(shù)據(jù)FTP控制注冊端口號1024-49151,需要在IANA注冊防止重復(fù)動態(tài)端口號49152-65535,用來分配給請求通信的客戶進(jìn)程2.7域名系統(tǒng)DNSHosts表：是一個(gè)沒有擴(kuò)展名的文本文件。其中存放一些常用的主機(jī)域名和其對應(yīng)的IP地址映射，文件中每一行對應(yīng)一個(gè)條目。DNS系統(tǒng)：規(guī)定域名中的標(biāo)號由英文字母和數(shù)字組合而成，每個(gè)標(biāo)號不能超過63個(gè)字符，為方便記憶一般不超過12個(gè)字符。當(dāng)有進(jìn)程提出DNS查詢時(shí)，DNS客戶端先使用本地緩存的信息來解析，如果可服務(wù)器發(fā)出查詢請求，服務(wù)器收到請求后先檢查本地配置區(qū)域中是否有所需查詢信息，如果有則作出應(yīng)答，如果沒有，服務(wù)器則檢查能否通過其緩存的查詢信息來解析，如果有則作出應(yīng)答。服務(wù)器查詢，直到查詢到該信息為止。(服務(wù)器默認(rèn)配置)服務(wù)器查詢該信息，而是將上級DNS服務(wù)器地址告訴給客戶端，由客戶端向上級DNS服務(wù)器查詢該信息。DNS對象類型與資源記錄A:A:域名到IP地址的映射。NS:指明授權(quán)服務(wù)器>ip地址CNAME:允許多個(gè)域名指向同一臺服務(wù)器(別名)2.8遠(yuǎn)程登錄協(xié)議Telnet端口23用戶在本地使用虛擬終端(NVT)通過TCP連接可以登錄到遠(yuǎn)程的主機(jī)或服務(wù)器，像使用本地主機(jī)一樣使用遠(yuǎn)程資源。其他協(xié)議FTP文件傳輸服務(wù)控制端口21數(shù)據(jù)端口20Get:從遠(yuǎn)端傳送文件至本地主機(jī)Openip打開FTPDir顯示服務(wù)端那些文件可以下載!dir顯示客戶端目錄文件Put上傳文件List:請求遠(yuǎn)端返回當(dāng)前目錄下的目錄和文件Lcd:改變當(dāng)前本地主機(jī)的工作目錄Bye推出服務(wù)器使用UDP端口67,客戶端使用UDP端口68客戶機(jī)向網(wǎng)絡(luò)中廣播DHCPdiscover數(shù)據(jù)包服務(wù)器當(dāng)租約期過一半時(shí)(50%)重新向服務(wù)器發(fā)送DHCPrequest數(shù)據(jù)包，以便繼續(xù)租用原來IP,如果租約成功，更新租約，否則繼續(xù)使用原來IP。當(dāng)租約過一半沒有租約成功，則在剩下的租約期限再過的擴(kuò)展Get:讀取一個(gè)網(wǎng)頁Head:讀取頭部信息Post:把消息加載到指定的網(wǎng)頁上NAT把內(nèi)部私有地址轉(zhuǎn)換成為外部全局地址，主要分為靜態(tài)NAT、動態(tài)NAT和端口復(fù)用NAPT2.9網(wǎng)關(guān)協(xié)議自治系統(tǒng)內(nèi)部網(wǎng)關(guān)之間交換路由信息執(zhí)行內(nèi)部網(wǎng)關(guān)協(xié)議IGP;不同的自治系統(tǒng)之間交換路由信息執(zhí)行外部網(wǎng)關(guān)協(xié)議EGP外部網(wǎng)關(guān)協(xié)議最新的外部網(wǎng)關(guān)協(xié)議EGP叫做邊界網(wǎng)關(guān)協(xié)議BGP。BGP報(bào)文通過TCP連接傳送(端口179)。BGP屬于距離矢量路由算法協(xié)議采用增量更新，觸發(fā)更新周期性的發(fā)送Keepalive信息驗(yàn)證TCP連接支持路由匯總CIDR技術(shù)Networknetwork-numbermasknetwork-maskRIP原理與配置命令(rip基于Bellman-Ford算法)RIP屬于距離矢量算法的路由選擇協(xié)議，通過廣播方式周期性(30s)的通告路由表，其最大跳步數(shù)為15跳。(1)RIPv1不支持可變長度子網(wǎng)掩碼(VLSM),而RIPv2支持VLSM;(2)RIPv2支持明文和MD5密文認(rèn)證；(3)RIPv1采用廣播方式更新路由，而RIPv2采用組播方式更新路由，組播地址;(4)RIPv2采用觸發(fā)更新方式來加速路由收斂。給該信息的來源方。(6)RIPv2支持路由匯總CIDR1、最大度量值，最大跳步數(shù)為15,當(dāng)為16時(shí)，認(rèn)為網(wǎng)絡(luò)不可達(dá)，丟棄數(shù)據(jù)包。2、水平分割來避免路由環(huán)路，即，一條路由信息不會發(fā)給該信息的來源方。3、路由中毒。標(biāo)記該路由為無窮大，中毒路由被發(fā)給鄰居路由器，通知該路由失效。4、反向下毒。當(dāng)鄰居路由器被成功下毒后，鄰居路由器會向毒源方向下毒。5、保持時(shí)間，讓路由器保持down狀態(tài)一段時(shí)間，直到所有路由器均學(xué)習(xí)到該路由的狀態(tài)，同時(shí)在保持時(shí)間為超時(shí)是，不再接收鄰居路由器發(fā)來關(guān)于該路由的更新信息基本配置命令Routerrip//啟用RIP路由進(jìn)程Version2//聲明RIP版本為第二版Network//發(fā)布直連網(wǎng)段，可以寫上掩碼，不寫RIP會根據(jù)接口IP自動判斷0SPF原理與配置命令(ospf基于Dijkstra算法)OSPF開放式最短路徑優(yōu)先協(xié)議，是一種鏈路狀態(tài)路由協(xié)議。OSPF主要優(yōu)點(diǎn)(3)OSPF采用觸發(fā)更新，收斂速度快三張表：鄰居表拓?fù)浔砺酚杀鞳SPF網(wǎng)絡(luò)一般劃分為兩個(gè)邏輯的級別層次：骨干區(qū)域一般記為area0,非運(yùn)行OSPF的路由器通過鄰接的路由器發(fā)送hello報(bào)文，來發(fā)現(xiàn)鄰居路由器，路由器核實(shí)hello報(bào)文后，宣布鄰居關(guān)系。DR指定路由器，擔(dān)任LSA信息集中點(diǎn)BDR備份指定路由器。LSA信息第二集中點(diǎn)，通過計(jì)時(shí)器監(jiān)視DR的更新活路由器優(yōu)先級(默認(rèn)為1)高的為DR,優(yōu)先級相同則為routerID大的為優(yōu)先級為0不參加選舉，優(yōu)先級影響一個(gè)選區(qū)進(jìn)程，但不強(qiáng)制更新已生效Hello報(bào)文采用組播方式發(fā)送，地址為,其大小為50字節(jié)。在OSPF網(wǎng)絡(luò)中，路由器定時(shí)發(fā)出Hello分組與特定的鄰居進(jìn)行聯(lián)系，默認(rèn)情況下40s沒收到該分組就認(rèn)為對方不存在了。OSPF協(xié)議支持4種網(wǎng)絡(luò)類型，分別是廣播多址、非廣播多路訪問、點(diǎn)對點(diǎn)、點(diǎn)對多。其中廣播多址網(wǎng)絡(luò)包括Ethernet和FDDI;非廣播多路訪問包括基本配置命令Routerospfprocess-id//啟動ospf進(jìn)程N(yùn)etworkaddress反掩碼areaarea-idipospfpriority10//范圍為0-255ipospfcost200//范圍1-65535Routerospf50Network55area0//發(fā)布的直連網(wǎng)段Networkarea0//發(fā)布的時(shí)直連IP地址，此時(shí)反掩碼應(yīng)寫為新廣播，如果270s沒有收到路由更新，則認(rèn)為路由不可訪問，630s后清除該IGRP采用帶寬、延遲、可靠性和負(fù)載作為度量標(biāo)準(zhǔn)，量度最小的做最佳路徑，不支持VLSM和不連續(xù)子網(wǎng)?；九渲妹頝etworknetwork-number//發(fā)布直連網(wǎng)段Bandwidth帶寬單位為KbpsClockrate時(shí)鐘EIGRP基本配置命令Noauto-summary//處理不連續(xù)子網(wǎng)時(shí)關(guān)閉匯總常見路由協(xié)議管理距離RIP管理距離120,IGRP管理距離100,EIGRP管理距離90,0SPF管理距離為110,直連網(wǎng)段管理距離為0第五章路由器與交換配置路由器基本配置命令Route>//用戶模式enable//進(jìn)入特權(quán)模式configterminal//進(jìn)去全局配置模式hostnameroutel//設(shè)置路由器的名稱為routelnoipdomain-lookup//取消域名解析ipsubnet-zero//支持零子網(wǎng)lineconsole0//進(jìn)入控制臺線路配置模式(超級終端)password123//設(shè)置console登錄密碼為123Login//要求登錄時(shí)輸入口令linevty04//進(jìn)入虛擬終端線路配置模式(telnet)password123//設(shè)置VTY登錄密碼為123login//要求登錄時(shí)輸入口令exit//退出當(dāng)前模式copyrunning-configstartup-config//將更改保存到nvramservicepassword-encryption//對所有密碼加密interfacefa0/0//進(jìn)入fa0/0接口配置模式ipaddress//設(shè)置接口IP地址noshutdown//激活接口clockrate9600//設(shè)置時(shí)鐘頻率iprouting//允許路由配置。沒有該語句將導(dǎo)致配置的路由無效。Noiprouting//禁用路由配置iproute目標(biāo)網(wǎng)段子網(wǎng)掩碼下一跳入口IP地址//靜態(tài)路由iproute下一跳入口IP地址//默認(rèn)路由end//退出到特權(quán)模式(與ctrl+z一樣)showiproute//查看路由表showipprotocol//查看路由協(xié)議showipinterfacebrief//查看端口簡要信息Interfacetunnel0//啟用通道0Tunnelsources1/0//通道源地址為s1/0,(本端路由器接口)Ipv6address2005:AAAA::1/64//ipvIpv6riptestenable//在路由器通道0上啟用rip,并命名為testIpv6riptestenable//在路由器f0/0上啟用rip,并命名為testVersion2//設(shè)置rip版本為第2版Routereigrp100//啟動eigrp協(xié)議進(jìn)程，100為自治系統(tǒng)號Noauto-sumary//取消路由協(xié)議自動匯總Routerospf1//啟動ospf協(xié)議進(jìn)程，1為進(jìn)為Frame-relayinterface-dlci100//設(shè)置dlci編號為100DLCI之間的映射，并允許廣播(另外一種配置)源地址目的地址//手動定義轉(zhuǎn)換映射關(guān)系ipnatinside//定義內(nèi)部接口ipnatoutside//定義外部接口Ipnatpoolcisco25.9netmask//定義目的地址范圍access-list1permit55//定義訪問控制列表使用pool名為cisco地址池內(nèi)的公網(wǎng)ip動態(tài)復(fù)用地址轉(zhuǎn)換ipnatinsidesourcelist1interfacefa0/2overloadnat于list1,使用fa0/2上的公網(wǎng)ip轉(zhuǎn)換，overload使用端口轉(zhuǎn)換ipnatinside//定義內(nèi)部接口ipnatoutside//定義外部接口標(biāo)準(zhǔn)訪問控制列表僅檢查源地址，列表號為1-99;擴(kuò)展訪問控標(biāo)準(zhǔn)訪問控制列表僅檢查源地址，列表號為1-99;擴(kuò)展訪問控(1)允許網(wǎng)絡(luò)地址通過，但拒絕通過(2)禁止主機(jī)A()遠(yuǎn)程登錄路由器B()Switch>//用戶模式enable//進(jìn)入特權(quán)模式enablesecret123//設(shè)置使能密碼(以密文顯示，權(quán)限高)password123//設(shè)置console登錄密碼為1233030//設(shè)置路由器超時(shí)時(shí)間為30分鐘，30秒后自動彈出到用戶模式，設(shè)置為00則永遠(yuǎn)不超時(shí)。后一個(gè)30的單位是秒。password123//設(shè)置VTY登錄密碼為123ipaddress//ip地址為speed100//設(shè)置帶寬為100Mbpsbandwidth單位為KbpsVtpversion2//啟用版本2的vtpVtpdomain305//設(shè)置域名為305Vtpdomainserver/client/transparent//設(shè)置交換機(jī)為服務(wù)器模式(客戶模式或者透明模式)Vtppruning//啟動VTP修剪功能Spanning-treevlan2rootsecondary//設(shè)置為從根交換機(jī)Spanning-treevlan2priority4096//修改交換機(jī)優(yōu)先級。數(shù)值為4096Spanning-treevlan2port-priority10//端口優(yōu)先級為10,默認(rèn)值是128,取值范圍是0-255Spanning-treevlan2cost30//設(shè)置vlan2生成樹路權(quán)值為30Spanning-treeport-fast//設(shè)置端口為快速端口(1)創(chuàng)建VLAN1和VLAN2并將1-8口分配給VLAN1,9-23口分給VLAN2,將24口設(shè)置為干道Enable//進(jìn)入特權(quán)模式vlandatabase//進(jìn)入VLAN配置模式Configterminal//進(jìn)入配置模式Switchportmodeaccess//設(shè)置這組接口為接入模式Switchportaccessvlan3//將組接口分配給VLAN3下的接口Interfacefa0/24//進(jìn)入接口配置模式Switchportmodetrunk//設(shè)置24口為中繼模式//查看vlan信息vlan;而dotlq支持4096個(gè)vlan,其中兩個(gè)保留，因此可用4094個(gè)(2)兩臺交換機(jī)，劃分VLAN1和VLAN2,交換機(jī)A為服務(wù)器模式，交換機(jī)B為客戶模式。24口為干道模式Vtpdomain305//設(shè)置域名為Vtpmodeserver//設(shè)置本交換機(jī)為服務(wù)器模式Cyptoisakmpenable/ikeCyptoisakmppolicy1//配置IKE策略，1為策略號，自定義Group1//1的參數(shù)密鑰長度為768位，2的參數(shù)密鑰長度為1024位，默認(rèn)為DES算法Authenticationpre-share//采用預(yù)先共享密碼認(rèn)證方式Lifetime86400//調(diào)整SA周期，單位是Cyptomaptt10ipsec-isakmp//設(shè)置加密圖，名稱為tt,序號為10,使用IKEmatchaddress130//設(shè)置匹配130的訪問列表Interfaceeth0auto//設(shè)置eth0為自適應(yīng)網(wǎng)卡類型Interfaceeth1100fullshutdown//關(guān)掉此接口ipaddressinside255.25nat(inside)100//啟用nat,內(nèi)網(wǎng)所有主機(jī)訪問外網(wǎng)//使用網(wǎng)段2-8為內(nèi)網(wǎng)提供IP地址//訪問外網(wǎng)時(shí)，所有主機(jī)統(tǒng)一使用2地址安全級別低的接口內(nèi)網(wǎng)本地接口Static(inside,outside)//創(chuàng)建內(nèi)網(wǎng)地址與外網(wǎng)地址2之間的映射Static(dmz,outside)//創(chuàng)建dmz地址與外網(wǎng)地址之間的映射Conduitpermittcphosteqwwwany//允許任何外部對全局地址主機(jī)進(jìn)行http訪問(主機(jī)提供http服務(wù))Conduitdenytcpanyeqftphost9//禁止外部主機(jī)9Fixupprotocolftp21//啟用ftp協(xié)議并指定端口為21Fixupprotocolhttp8080//指定http協(xié)議運(yùn)行的端口為80和8080通常為1,路由00681//指向邊界路由器68的默認(rèn)1//創(chuàng)建一條從網(wǎng)絡(luò)到的靜態(tài)路由Interfacebri0//進(jìn)入BIR接口配置模式Encapsulationppp//封裝協(xié)議為PPPDialer-group1//設(shè)置撥號組號1,把bri0接口與撥號列表1相關(guān)聯(lián)Dialer-list1protocolippermit//設(shè)置撥號列表1號碼的映射(對端IP和ISDN號)希望部分IP走A線路,另一部分走B線路Setipnext-hop//執(zhí)行動作是送往Setipnext-hop//執(zhí)行動作是送往第六章網(wǎng)絡(luò)安全一、網(wǎng)絡(luò)安全威脅據(jù)完整性破壞、非授權(quán)訪問、陷門和木馬、病毒和誹謗。網(wǎng)絡(luò)安全措施：數(shù)據(jù)加密、數(shù)字簽名、身份認(rèn)證、防火墻和入侵檢測。1.1數(shù)據(jù)加密基本思想：通過變換信息的表現(xiàn)形式來偽裝需要保護(hù)的敏感信息，非授權(quán)者不能了解被加密的內(nèi)容。信息安全的核心是密碼技術(shù)，密碼技術(shù)的目的是研究數(shù)據(jù)保密一個(gè)加密系統(tǒng)采用的基本工作方式成為密碼體制，密碼體制的基本要素是密碼算法和密鑰，其中密碼算法分為加密算法和解密算法，密鑰分為加密密鑰和解密密鑰。1.1.1密碼體制分為對稱密碼體制和非對稱密碼體制。對稱密碼體制：加密密鑰和解密密鑰相同，或者從一個(gè)可以導(dǎo)出另一個(gè)，擁有加密能力就擁有解密能力。對稱密碼體制的保密強(qiáng)度高，開放性差，需要可靠的密鑰傳遞渠道。要求發(fā)送和接收數(shù)據(jù)的雙方使用相同的對稱密鑰對明文進(jìn)行加密和解密DES:屬于對稱密碼體制，將分組為64位的明文加密稱64為密文。其密鑰長度為56位附加8為奇偶校驗(yàn)。加密過程執(zhí)行16個(gè)加密循環(huán)。三重DES:使用兩個(gè)密鑰，執(zhí)行三次DES算法，在第一和第三層使用相同的密鑰，其主密鑰長度為112位。IDEA:屬于對稱密碼體制，將分組為64位的明文加密成64為密文。使用128位密鑰，加密過程執(zhí)行17個(gè)加密循環(huán)。AES支持128、192和256位三種密鑰長度。非對稱密碼體制：又稱公開密鑰，加密和解密是分開的，即，加密密鑰公非對稱密碼體制適用于開放的使用環(huán)境，密鑰管理簡單，但工作效率低于對稱密碼體制，常用于實(shí)現(xiàn)數(shù)字簽名與驗(yàn)證。加密密鑰公開稱為公鑰，解密密鑰隱藏在個(gè)體中稱為私鑰。私鑰帶有個(gè)人特性，可以解決數(shù)據(jù)的簽名驗(yàn)證問題。公鑰用于加密和認(rèn)證，私鑰用于解密和簽名該算法特點(diǎn)實(shí)現(xiàn)效率低，不適用于長明文加密，長與對稱密碼體制相結(jié)合已知兩個(gè)奇數(shù)p,q,公鑰e,求d兩個(gè)數(shù)同余運(yùn)算r=p×q根據(jù)Euler函數(shù)z=(p-1)(q-1)取小于r的整數(shù)e并且與z沒有公約數(shù)。這里e已知。找到d滿足ed-1能被z整除1.1.2加密的基本方法：置換和異位置換：改變明文內(nèi)容的表現(xiàn)形式，但內(nèi)容元素的相對位置不變。數(shù)據(jù)加密的方式：鏈路加密、節(jié)點(diǎn)到節(jié)點(diǎn)加密、端到端加密節(jié)點(diǎn)到節(jié)點(diǎn)加密：解決了節(jié)點(diǎn)中數(shù)據(jù)是明文的缺點(diǎn)。在中間節(jié)點(diǎn)中裝有加密與解密保護(hù)裝置，由其來完成密鑰的變換。是密文。通常使用對稱密鑰1.2數(shù)字簽名認(rèn)證分為實(shí)體認(rèn)證和消息認(rèn)證，主要是解決網(wǎng)絡(luò)通信過程中通信雙方身份實(shí)體認(rèn)證：識別對方身份防止假冒，可采用數(shù)字簽名。消息認(rèn)證：驗(yàn)證消息在傳送或存儲過程中有沒有被篡改，可采于公鑰認(rèn)證1.2.1數(shù)字簽名數(shù)字簽名應(yīng)滿足3點(diǎn)：(1)接收者能夠核實(shí)發(fā)送者(2)發(fā)送者事后不可抵賴對報(bào)文的簽名(3)接收者不能偽造對報(bào)文的簽名AP節(jié)發(fā)送方A先利用自己的私鑰D,對消息P進(jìn)行加密，得到D(P),以此代表然后將密文傳送給B,接收方B收到密文先用自己的私鑰D進(jìn)行解密，得到D;(P),B從CA中獲得A的公鑰E對密文D(P)進(jìn)行解密，得到消息，如果與P相同，則認(rèn)為簽名有效，否則認(rèn)為簽名無效。數(shù)字簽名可以利用DES、公鑰密碼體制來實(shí)現(xiàn)，常用方法是建立在公鑰密1.2.2報(bào)文摘要MD5算法以任意長的報(bào)文作為輸入，輸出產(chǎn)生一個(gè)128位報(bào)文。位，產(chǎn)生160位的報(bào)文摘要。數(shù)字證書：一個(gè)經(jīng)認(rèn)證中心CA數(shù)字簽名的包含公開密鑰擁有者信息和公開密鑰的文件。用戶使用自己的私鑰進(jìn)行解密和簽名，使用公鑰進(jìn)行加密和驗(yàn)X.509證書標(biāo)準(zhǔn)包括：版本號、序列號、簽名算法、發(fā)行者、有效期、主題名、公鑰、發(fā)行者ID、主體ID、擴(kuò)充域和認(rèn)證機(jī)構(gòu)的簽名。證書