国家计算机等级考试四级网络工程师考点总结

.wd.网络工程师考试总结1.1、HFC的 基本构造：电视头端承受各种信源的电视频道、长距离干线高质量的同轴电缆、放大器、馈线与下引线普通的CATV同轴电缆组成。传统有线电视网络重的放大器是单向地从头端传输到用户的模拟信号。经双向传输改造，双向传输服务成为可能。光纤结点通过同轴电缆下引线可以为500-2000个用户服务。HFC改善了信号质量，提高了传输的可靠性，线路可以使用的带宽甚至高达1GHz 拨号上网的速率一般是36.6-56.6kbps；本地 公司提供的ISDN的速率是128Kbps；使用ADSL专线上网的速率是1.8Mbps,传输距离不超过5km，使用Cable Modem，通过有线电视宽带接入Internet的，数据传输速率可达10-36Mbps有线电视网络主要的优点是频带宽、速度快，主要的缺点是存在回传信道干扰，多用户对有限带宽的争用影响接入速率、建设和双向改造的造价高。 2、电缆调制解调器Cable Modem的分类：电缆调制解调器Cable Modem是一种专门利用有线电视网络进展数据传输设计的，它把计算机与有线电视同轴电缆连接起来，利用频分复用的方法将双向信道分为上行信道带宽为200Kbps-10M和下行信道(带宽最高可达36Mbps)。分类：从传输方式上分为双向对称式和非对称式，对称式速率为2-4Mbps，最高为10Mbps,非对称式速率为下行30Mbps，上行为500kbps-2.56Mbps. 从数据传输方向上可以分为双向和单向。 从同步方式上可以分为同步和异步交换两类。同步类似于Ethernet网，异步交换类似于ATM技术。 从接入的角度可以分为个人Cable Modem和宽带多用户Cable Modem具有网桥功能，可以将一个计算机局域网接入。从接口的角度分为外置式缺：通过网卡连接计算机、内置式和交互式机顶盒三种。2.802.11定义了使用红外、调频扩频、直接序列扩频技术，传输速率为1或2Mbps的无线局域网标准。 802.11b定义了使用直序扩频技术，传输速率为1Mbps、2Mbps、5.5Mbps、11Mbps的无线局域网标准。802.11a将传输速率提高到了54Mbps.802.11定义了物理层和媒体访问控制MAC协议的标准802.11定义了两种类型的设备：无线结点由一台接入设备上加一块无线接口卡构成和无线接入点作用是提供无线和有线网络之间的桥接，由一个无线输出口和一个有线的网络接口802.3接口构成，桥接软件符合802.1d协议。802.11最初定义的三个物理层包含了两个扩频技术和一个红外传播标准，无线传输的频率定义在2.4G的ISM波段内，这个频段属于非注册使用频段。扩频技术保证了802.11的设备在这个频段上的可用性和高可靠性的吞吐量，可以保证同其他使用同一频段的设备相互不影响。802.11标准定义的传输速率为1Mbps和2Mbps，可以使用FHSS(调频扩频和)DSSS直序扩频技术，两者在运行机制上完全不同，使用这两种技术的设备没有互操作性。802.11无线局域网协议中，冲突检测存在“Near/Far检测冲突现象，所以采用了新的协议CSMA/CA或者DCF(分布式协调功能)，利用ACK信号来防止冲突。只有当客户端受到网络上返回的ACK信号以后才能确认发送的数据已经正确的到达目的。另外一个MAC层的问题是“hidden node问题，为此802.11引入了一个Send/Clear to send(RTS/CTS)选项。在802.11协议中，每一个在无线网络中传输的数据报都被附加上了校验位以保证他在传输中不会出现错误。802.11还具有分片的功能。802.11b运作模式分为点对点模式最多可连接256台主机和 基本模式无线网络扩大和有线网络并存时，插上无线网卡的PC通过接入点与另一台PC相连，一个接入点最多可连接1024台PC。802.11b的典型解决方案：对等解决方案、单接入点解决方案接入点相当于有线网络中的集线器，无线接入点可以连接周边的无线网络终端，形成星形网络构造，同时通过10base-t端口与有线网络相连，所有无线终端都能访问有线网络的资源，并可通过路由器访问Internet、多接入点解决方案(网络规模较大，超过了单个接入点的覆盖范围，就得采用多个接入点)、无线中继解决方案、无线冗余解决方案两个接入点放在同一位置、多蜂窝漫游工作方式。3. 宽带城域网保证服务质量要求的技术主要有：资源预留RSVP、区分服务DiffServ与多协议标记交换MPLS. 服务质量主要表达在延时、抖动、吞吐量和包丧失率。管理和运营宽带城域网的关键技术主要有：带宽管理、网络管理、用户管理、服务质量Q0S、统计与计费、IP地址的分配与地址转换、网络安全。宽带城域网在组建方案中，一定要按照电信运营级的要求，考虑设备冗余、线路冗余、路由冗余、系统故障的快速诊断和自动修复。同时宽带城域网必须充分的考虑网络攻击的问题。4 弹性分组环RPR是直接在光纤上高效传输IP分组的传输技术。其标准是802.17环形构造是目前城域网的主要拓扑构型弹性分组环RPR采用双环构造，这一点与FDDI构造一样。两个RPR结点之间裸光纤间的距离可达100km，其中顺时针传输的光纤叫外环，逆时针传输的光纤叫内环。内环和外环都可以采用统计复用的方法传输IP分组，同时可以实现“自愈环的功能。内环和外环都可以传输数据分组和控制分组。每一个结点都可以使用两个方向的光纤与相邻结点通信。RPR技术主要的特点：带宽利用率高、公平性好每一个结点都执行SRP公平算法、加权公平法那么和入口、出口速率限制、快速保护和恢复能力强50ms可以隔离出故障的结点和光线段、保证服务质量优先级。5） 路由器背板交换能力大于40G的称为高端路由器，低于40G的称为中低端路由器。高端路由器一般用作核心层的主干路由器，企业级路由器一般用作会聚层的路由器，低端路由器一般用作接入层的接入路由器。路由器的关键技术指标：吞吐量：指路由器的包转发能力。设计两个方面的内容:端口吞吐量和整机吞吐量。路由器的包转发能力与路由器端口数量、端口速率、包长度和包类型有关。背板能力：高性能路由器一般采用是交换式构造。背板能力决定了路由器的吞吐量。丢包率：通常是衡量路由器超负荷工作时的性能指标之一。延时与延时抖动：与包长度和链路传输速率有关，高速路由器要求长度为1518B的IP包，延时小于1ms.延时抖动是指延时的变化量。突发处理能力：以最小帧间隔发送数据包而不引起丧失的最大发送速率来衡量。路由表容量：Internet要求执行BGP协议的路由表一般要储存数十万条路由表项。高速路由器必须满足存储25万个BGP对等实体地址和50万个IGP邻居的网络地址。服务质量：主要表达在队列管理机制、端口硬件队列管理、支持Q0S协议。网管能力： 可靠性与可用性：路由器的冗余是为了保证设备的可靠性和可用性。主要表达在设备冗余、热拔插组件、内部时钟精度、无故障工作时间。路由器的冗余主要表达在接口冗余、电源冗余、时钟板冗余、系统板冗余、整机设备冗余。典型的高端路由器的可靠性与可用性指标应该到达：1. 无故障工作时间大于10万个小时。2. 系统故障恢复时间要小于30分钟。3. 系统具有自动保护和切换功能，主备用切换时间小于50毫秒。4. SDH和ATM接口自动保护功能，切换时间小于50毫秒。5. 主处理器、主存储器、交换矩阵、电源、总线管理器与网络管理接口等主要设备需要有热拔插冗余备份，显卡要求有备份，并提供远程测试诊断能力。6. 系统内部不存在单故障点。6 交换机的主要技术指标：1. 背板能力：2. 全双工端口带宽:端口数端口速率23. 帧转发速率：每秒钟能够转发的帧的最大数量4. 机箱式交换机的扩张能力5. 支持VLAN能力：7.服务器的性能主要表现在：1. 运算处理能力：2. 磁盘存储能力：表现在磁盘存储容量与I/O服务速度上，而决定这两个参数的因素又在于磁盘接口总线与硬盘两个方面。3. 系统高可用性：MTBF/(MTBF+MTBR)其中MTBF为平均无故障时间，MTBR为平均修复时间如果系统高可用性到达99.9%，那么每年的停机时间8.8小时；如果系统高可用性到达99.99%，那么每年的停机时间53分钟；如果系统的高可用性到达99.999%，那么每年的停机时间5分钟。4. 可管理性：5. 可扩展性：8.略9.IP地址短缺的修复方法是NAT网络地址转换，其设计的 基本思路是为每一个公司分配一个或少量的IP地址，用于传输Internet流量。在公司内部的每一台主机分配一个不能够在Internet上使用的保存的专用的IP地址。专用IP地址用于内部网络的通信，如果需要访问外部Internet主机，必须由运行网络地址转换的主机或是路由器将内部的专用IP地址转换为全局的IP地址。NAT方法的局限性：1. 违反了IP地址构造模型的设计原那么2. 使IP协议由面向无连接变成了面向连接3. 违反了 基本的网络分层构造模型的设计原那么4. 使得P2P应用实现出现困难5. 同时存在对高层协议和安全性的影响问题 网络地址转换时，传输层客户进程的端口号也需要改变。NAT可以分为“一对一和“多对多两类，其中一对一转换方式属于静态NAT，多对多属于动态NAT.10. 10.0.11.0/27 00001010 00000000 00001011 00000000 10.0.11.32/27 00001010 00000000 00001011 00100000 10.0.11.64/26 00001010 00000000 00001011 01000000 00001010 00000000 00001011 0 10.0.11.0/25 最长前缀匹配法进展路由选择IPv6的主要特征：新的协议格式、巨大的地址空间、有效的分级寻址和路由构造、地址自动配置、内置的安全机制、更好的支持QoS服务。IPv6地址长度为128位，可以提供个IP地址。128位中64位作为子网地址空间64位作为局域网MAC地址空间。IPv6可以分为单播地址、组播地址、多播地址、特殊地址。为简化主机配置，IPv6支持地址自动配置。IPv6地址表示方法为冒号十六进制表示法：128位地址按每16位划分为一个位段，每个位段转换为一个4位的十六进制数，并用冒号隔开。IPv6中可能会出现多个二进制数0，通过压缩某个位段中的前导0来简化IPv6地址的表示，但不可把每个位段内部的0也压缩掉。每个位段至少有一个数字。如果连续几个位段的值都为0，那么这些0可以简写为“：，称为双冒号表示法。且在一个IPv6地址中双冒号表示法只能出现一次。确定：之间代表了压缩了多少位0可以数一下地址还有多少个位段，然后用8减去这个数，再将结果乘以16.IPv6不支持子网掩码，只支持前缀长度表示法。11. 外部网关协议BGP是不同自治系统的路由器之间交换路由信息的协议。BGP-4采用了路由向量路由协议，在配置BGP时，每个自治系统的管理员要选择至一个路由器作为自治系统的“BGP发言人，一系统的BGP发言人要与另一个系统的BGP发言人要交换路由就要先建设TCP连接，然后再此连接上交换BGP报文以此建设BGP会话。每个BGP发言人除了运行BGP协议外还必须运行该自治系统所使用的内部网关协议。BGP协议交换路由信息的结点数是以自治系统数为单位的。在BGP刚刚运行时，BGP边界路由器与相邻的BGP边界路由器交换整个BGP路由表，但只要发生变化时只更新变化的局部。BGP路由选择协议的四种分组：翻开open、更新update、保活keepalive、通知notification。撤销路由可以以此撤销很多条，而增加新路由时，每个更新报文只能增加一条。13. 路由表的建设：当路由表刚启动时，对其V,D路由表进展初始化。初始化的路由器只包含与该路由器直接相连的网络的路由。初始V,D路由表中各路由的距离都为0.路由表信息的更新：在路由表建设之后，各路由器周期性地向外播送其V,D路由表的内容。Router1 承受到Router2发送的V,D报文，按照如下的规那么更新路由表：Router1中没有这一项，Router在路由器中增加这一项，由于要经过Router2转发，距离D要加1。如果Router1中距离1比Router2中该项距离值加1还要大，那么要修改该表项，其距离值应该是Router2中距离值加1.路由信息协议要求路由器周期性地向外发送路由刷新报文。路由刷新报文主要内容是由假设干个V,D构成。V,D表中V代表矢量Vector,标识该路由器可以到达的目的网络或目的主机；D代表距离distance，指出该路由器到达目的网络或目的主机的距离。距离D对应该路由器上的跳数hop count。其他路由器在接收到某个路由器的V,D报文后，按照最短路径原那么对各自的路由表进展刷新。14. 与RIP相对比，OSPF具有以下特点：OSPF使用的是分布式链路状态协议而RIP使用的是距离向量协议。OSPF协议要求路由器发送的信息是本路由器和哪些路由器相邻，以及链路状态的度量费用、距离、延时、带宽。OSPF要求当链路状态发生变化是使用洪泛法向所有路由器发送信息，而RIP只向相邻的几个路由器发送信息。所有的路由器都最终能建设一个链路状态数据库，这个数据库实际上就是全网的拓扑构造图，且在全网范围内保持一致。RIP虽然知道到所有网络的距离和下一跳路由器，但不知道全网的拓扑构造。为了适应规模很大的网络，是其更新过程收敛速度更快，OSPF协议将一个自治区域划分为假设干个更小的范围，叫做区域。每个区域有一个32位的区域标识符点分十进制，在一个区域内的路由器的个数不超过200个。划分区域的好处是将利用洪泛法将链路状态信息的范围局限在每一个区域内而不是整个自治系统。因此每一个区域内部的路由器只知道该区域内的完整拓扑构造而不知道其他区域的网络拓扑构造。为了使每一个区域都和其他区域进展通信，OSPF协议使用层次构造的区域划分。它将一个自治系统内局部成主干区域和假设干区域。主干区域的路由器称为主干路由器，连接各个区域的路由器叫做区域边界路由器。在主干区域内还要有一个路由器专门和该自治系统之外的其他自治系统交换路由信息，这样的路由器叫做自治系统边界路由器。OSPF协议执行过程中路由器的初始化过程中OSPF让每一个路由器用数据库描述分组和相邻路由器交换本数据库中已有的链路状态摘要信息。在网络运行过程中由于一个路由器的链路状态只涉及相邻路由器的状态信息，因而与整个Internet的规模无关。15. 交换机的分类：交换机按多支持的局域网标准可以分为以太网交换机、FDDI交换机、ATM交换机、令牌环交换机。根据交换机所支持的传输速率和介质标准，以太网交换机可以分为快速以太网交换机100Mbps、千兆以太网交换机(1G bps)、万兆以太网交换机(10 Gbps)。按交换机的架构可以分为单台交换机、堆叠交换机、箱体模块化交换机。按交换机工作在OSI参考模型的层次分类：工作在数据链路层的二层交换机没有路由功能，工作在网络层的三层交换机，工作在传输层的四层交换机和多层交换机。16. 综合布线系统常用的传输介质有双绞线和光缆。双绞线扭绞的目的是使对外的电磁辐射和遭受外界的电磁干扰减少到最小。UTP是非屏蔽双绞线，STP具有屏蔽作用。 连接硬件包括主件的连接器适配器，成对连接器及接插软线，但不包括某些应用系统对综合布线系统用的连接硬件，也不包括有源或无源电子线路的中间转接器或其他器件。 综合布线采用的主要的连接部件分为建筑群配线架CD、大楼主配线架BD、楼层配线架FD、转接点TP、通信引出端TO。FD和TP之间的水平线缆的最大长度不要超过90米。 信息插座大致可以分为嵌入式安装插座双绞线、外表安装插座、多介质信息插座铜缆和光纤。17. BPDU数据包又两种类型，一种是包含配置信息的配置BPDU不超过35个字节，另一种是包含拓扑变化信息的拓扑变化通知BPDU不超过4个字节。配置BPDU中包含的Bridge ID是选取根网桥和根交换机的主要依据。Bridge ID最小的为根网桥或根交换机。Bridge ID与Root ID一样，他们都用8个字节表示，Bridge ID有两个字节的优先级和六个字节的交换机MAC地址组成。优先级的取值范围为0-61440，增量是4096，值越小，优先级越高，一般交换机的默认设置为32768。BPDU携带了实现生成树协议算法的有关信息，包括Root ID、 Root Path Cost、 Bridge ID 、Port ID 、Hello time 、Max Age等。18. 在交换设备之间实现Trunk功能，必须遵守一样的VLAN协议。IEEE802.1Q可以使不同厂商的交换设备互连在一起，并提供Trunk功能，使网络更具开放性。虚拟网VLAN是以交换式网络为根基，把网络上终端设备划分为假设干个逻辑工作组，每个逻辑工作组就是一个VLAN。它是一个独立的逻辑网络，具有单一的播送域，不受实际交换机区段的限制，也不受用户实际物理位置和物理网段的限制。逻辑组的设定是在软件中完成的。虚拟网技术提供了动态组织工作环境的功能。VLAN的技术特征：工作在数据链路层。每个VLAN都是一个独立的逻辑网段，一个独立的播送域。VLAN的播送信息只发送给同一个VLAN的成员，不发送给其他VLAN的成员。每个VLAN都是一个独立的逻辑网络，他们都又唯一的子网号，VLAN之间不能直接通信，是因为必须通过第三层的路由功能，而它只工作数据链路层。VLAN通常用VLAN ID(VLAN号：由12位组成，可以支持4096个VLAN,11005是标准范围，10254096是扩展范围，可用于以太网的是21000，FDDI和Token Ring的是10021005和VLAN name(VLAN名：32位标识符组成，可以是字母和数字)来标识,1是缺省VLAN,只能使用但不能删除它。VLAN Trunk虚拟局域网中继技术是交换机和交换机之间或交换机和路由器之间存在一条物理链路，而在这一条物理链路上传输多个VLAN信息的技术。VLAN Trunk的标准机制是帧标签。帧标签为每个帧指定一个唯一的VLAN ID作为识别码，说明该帧是属于哪个VLAN的。它在传送数据帧到达网络主干时，会在每个帧的表头中放置一个唯一的识别码，交换时机解析与测试识别码。当数据帧从网络主干转发至目标终端之前，交换机先除掉这个识别码。划分VLAN的方法：基于端口划分VLAN(静态VLAN)基于MAC地址划分VLAN动态VLAN：连接到每个交换设备的MAC地址。需要一个保存VLAN管理数据库的VALN配置服务器。基于第三层协议类型或地址动态VLANVTP是VLAN中继协议，也称VLAN干道协议。VTP具有三种工作模式：VTP Server维护VTP域中所有VLAN表信息，可以建设、删除或修改VLAN、 VTP Client(维护所有VLAN表信息，VLAN配置信息是从VTP Server中学到的，可是他不能建设、删除和修改VLAN)、 VTP Transparent相当于是一个独立的交换机，不从VTP Server学习VLAN的配置信息，不参与VTP工作，只拥有本设备上维护的VLAN配置信息，可以建设、删除或修改本机上的VLAN。配置vtp域名：1.进入全局配置模式 Switch-PHY-3548#config t Switch-PHY-3548(config)# 2.配置vtp域名 Switch-PHY-3548#vtp domain pku (设置vtp域名为pku)配置vtp工作模式：Switch-PHY-3548(config)#vtp mode server Switch-PHY-3548(config)#vtp mode client Switch-PHY-3548(config)#vtp mode transparent建设和删除VLAN：1.建设VLAN 进入VLAN配置模式 Switch-PHY-3548#vlan data Switch-PHY-3548(vlan)# 建设VLANSwitch-PHY-3548(vlan)#vlan1000namevlan1000 退出并返回特权用户模式 Switch-PHY-3548(vlan)#exit 2.删除Switch-PHY-3548(vlan)#VLAN no vlan1000 3.修改VLAN Switch-PHY-3548(vlan)#vlan 1000 name vlan1000为交换机端口分配VLAN: 进入交换机端口配置模式 Switch-PHY-3548#configure tSwitch-PHY-3548(config)#int fo/24Switch-PHY-3548(config-if)#为端口分配VLANSwitch-PHY-3548(config-if)#switchport access vlan248VLAN trunk的配置：进入交换机接口配置模式Switch-PHY-3548#configure tSwitch-PHY-3548(config-if)#intfo/24 配置VLAN trunk模式Switch-PHY-3548(config-if)#switchport mode trunk【set trunk 5/1 on dot1q】 封装VLAN协议 Switch-PHY-3548(config-if)#switchport trunk encapsulation dot1q Switch-PHY-3548(config-if)#switchport trunk encapsulation isl Switch-PHY-3548(config-if)#switchport trunk encapsulation negotiate P(自动协商)设置允许中继的VLAN Switch-PHY-3548(config-if)#switchport trunk allowed vlan 10,14Switch-PHY-3548(config-if)#switchport trunk allowed vlan10-24Switch-PHY-3548(config-if)#switchport trunk allowed vlan except100-1000 【set trunk 5/1 vlan 37-42在端口5/1的允许VLAN列表中添加3742号VLAN】【clear trunk 5/24 3-36 从端口5/24的允许VLAN列表中去除336VLAN】19.略20.生成树协议STP是一个二层链路管理协议，他的主要功能是保证网络中没有回路的情况下，允许在二层链路中提供冗余路径，以保证网络可靠、稳定的运行。目前最流行，应用最广泛的STP协议是IEEE.1D标准。STP的 基本工作原理是：通过在交换机之间传递网桥协议数据单元BPDU，并用生成树算法对其进展对比计算。Bridge ID有两个字节的优先级和六个字节的交换机MAC地址组成。优先级的取值范围为0-61440，增量是4096，值越小，优先级越高，一般交换机的默认设置为32768。当优先级一样时，那么就要根据MAC地址决定根网桥，MAC地址小的路由器就是根网桥。21.路由器的 基本功能是路由选择和分组转发。路由选择的核心是确定下一跳路由器的IP地址。路由选择算法根据各自的判断准那么为网络上的路由产生一个权值，权值越小路由越佳。路由表的内容主要有目的网络地址、下一跳路由器地址和目的端口、缺省路由信息。缺省路由又称缺省网关，它是配置在主机上的TCP/IP属性的一个参数。缺省网关是与主机在同一个子网的路由器的端口的IP地址。在数据分组通过每一个路由器转发时，分组中的目的MAC地址是变化的，但它的目的网络地址是不变的。22. 路由器的硬件构成：CPU(中央处理器)、Memory内存、Storage存储器和Interface接口。路由器的软件为互联网操作系统IOS组成。CPU负责实现路由协议、路径选择计算、交换路由信息、查找路由表、分发路由表、维护各种表格以及转发数据包。路由器内存用于保存路由器配置、路由器操作系统、路由协议软件等。路由器内存主要有：只读内存ROM(永久保存路由器的开机诊断程序、引导程序和操作系统软件，主要任务是完成路由器的初始化进程，具体包括路由器启动时的硬件诊断，装入路由器操作系统IOS)、随机存储器RAM存储路由表、快速交换缓存、ARP缓存、数据分组缓冲区和缓冲队列、运行配置文件，以及正在执行的代码和一些临时数据信息。、闪存Flash存储当前使用的操作系统映像文件和一些微代码、非易失随机存储器NVRAM存储启动配置文件和备份配置文件路由器接口主要有局域网接口、广域网接口和路由器配置接口。23. IP地址的动态分配使用动态主机配置协议DHCP，但仍然不能解决IP地址的冲突问题。DHCP采用的是客户机/服务器Client/Server工作模式DHCP服务器主要完成两个功能：建设和管理IP地址池，承受并处理用户提出的DHCP请求。DHCP客户端的主要功能是提交DHCP请求。DHCP协议允许使用备份DHCP服务器的功能。DHCP客户从DHCP服务器申请IP地址的步骤是：客户机发送一个“DHCPDISCOVER播送包给服务器，服务器用一个“DHCPOFFER单播数据包给予应答，并提供客户机所需的TCP/IP的属性配置参数IP地址、子网掩码、缺省网关、域名和域名服务器的IP地址。然后主机发送一个“DHCPREQUEST播送包给服务器，确认与此服务器建设地址租借关系，并通告其他的DHCP服务器。正常情况下，服务器会恢复一个“DHCPACK播送包给客户机，这是一个确认相互关系的应答包。DHCP 客户机播送“DHCP 发现消息时使用的源IP地址是0.0.0.0路由器交换机上DHCP IP地址池的配置内容：IP地址池的子网地址和子网掩码、缺省网关、域名和域名服务器的IP地址、IP地址的租用时间和取消地址池冲突记录日志等参数。在全局配置模式下，配置IP地址池的名称，并进入DHCP Pool配置模式。 Router(config)#ip dhcp pool ttt Router(dhcp-config)#Router(config)#ip dhcp pool 234Router(dhcp-config)#在DHCP Pool配置模式下配置子网地址和子网掩码的方法是：network Router(dhcp-config)#network201.23.98.0 255.255.255.0Router(dhcp-config)#Router(dhcp-config)#network 201.23.98.0/24Router(dhcp-config)# 配置不用于动态分配的IP地址是 在全局配置模式下Router(config)#ip dhcp excluded-address 201.23.96.2 201.23.96.10排除从201.23.96.2到201.23.96.10的一段IP地址Router(config)#Router(config)#ip dhcp excluded-address 201.23.96.211(排除单个IP地址)Router(config)#配置IP地址池的缺省网关：在DHCP Pool配置模式下Router(dhcp-config)#default-router201.23.98.1 命令中的网关地址最多允许配置8个。Router(dhcp-config)#配置IP地址池的域名：在DHCP Pool配置模式下Router(dhcp-config)#domain-Router(dhcp-config)#配置IP地址池的域名服务器的IP地址：在DHCP Pool配置模式下Router(dhcp-config)#dns-server address 212.105.129.27 212.105.129.26 【第一个是主域名服务器的IP地址 后面的一个是辅助域名服务器域名的IP地址】Router(dhcp-config)#配置IP地址池的租用时间：设置租用时间为5个小时 在DHCP Pool配置模式下Router(dhcp-config)#lease0 5【可以以日、时、分、秒为单位也可以设置为无限时间 infinite】Router(dhcp-config)#取消地址冲突记录日志：在全局配置模式下 Router(config)#no ip dhcp conflict logging24. 访问控制列表主要有两种类型，一种是标准访问控制列表，另一种是扩展访问控制列表。标准访问控制列表只能检查数据包的源地址。标准访问控制列表的表号范围是199，后来扩展到13001999.扩展访问控制列表可以检查数据包的源地址和目的地址，还可以检查制定的协议、端口号。扩展访问控制列表的表号为100199，后来扩展到20002699。在配置访问控制列表时，“access-list只能使用表号标识列表，而“ip access-list既可以使用表号，也可以使用名字标识一个访问控制列表。在配置了访问控制列表之后，还必须配置其相应的接口才能控制数据流的流入或流出。在配置过滤准那么时，要特别注意ACL的语句顺序。在配置访问控制列表的源地址和目的地址时，在允许和拒绝的IP地址后面，有一个参数是wildcard-mask-通配符或通配符掩码的意思，为32位二进制表示，实际上是掩码的反码。通配符作用是指出访问控制列表过滤的IP地址范围。通配符为0表示检查相应的某位，通配符为1表示忽略，不检查相应的某位。配置访问控制列表的具体步骤是：首先是定义一个标准的或是扩展的访问控制列表，然后为访问控制列表配置过滤准那么，最后在配置访问控制列表的应用接口。配置标准访问控制列表：在全局配置模式下：Router(config)#access-list 10 permit 211.105.130.0 0.0.0.255Router(config)# 配置应用接口：Router(config)#line vty 0 5Router(config-line)#access-class 10inaccess-class是控制路由器发起的telnet会话，不进展包过滤access-group是控制接口上进出的数据包流量用access-class将访问控制列表施加于VTY线路，或WEB接口，access-group那么施加到接口用在不同的接口啊，在控制台口与VTY口用ACCESS-CLASS，别的一般用IP ACCESS-GROUP限制别人telnet你的时候用access-classline vty 0 4是什么意思主要解释一下040-4指的是虚拟终端的五条虚拟线路，通过TELNET可以连接查看访问控制列表的配置信息：在特权用户模式下：Router#show configuration查看访问控制列表：在特权用户模式下：Router#sh access-lists只允许源地址为182.105.130.111和222.112.7.56的两台主机登录路由器 在全局配置模式下：Router(config)#access-list20 permit182.105.130.111Router(config)#access-list 20permit222.112.7.56 Router(config)#access-list20deny any 配置应用接口： Router(config)#line vty 0 5 Router(config-line)#access-class20in制止地址为非法地址的数据包进入路由器或从路由器输出在全局配置模式下：Router(config)#access-list 30deny 10.0.0.0 0.255.255.255 logRouter(config)#access-list30 deny192.168.0.0 0.0.255.255Router(config)#access-list30deny 127.0.0.0 0.255.255.255Router(config)#access-list 30deny 172.16.0.0 0.15.255.255 Router(config)#access-list30permit any 配置应用接口：Router(config)#interface g0/1 Router(config-if)#ip access-group30 in配置扩展访问控制列表：拒绝转发所有IP地址进出的，端口号为1434的UDP协议数据包 在全局配置模式下：Router(config)#access-list30denyudpany any eq 1434Router(config)#access-list 30 permit ip any any Router(config)#扩展访问控制列表实现 Router(config)#ip access-list extended 130 (进入扩展访问控制列表) Router(config-ext-nacl)#deny udp any any eq1434 Router(config-ext-nacl)#permit ip any any Router(config-ext-nacl)# 配置应用接口： Router(config)#interface g0/1 Router(config-if)#ip access-group 130 inRouter(config-if)#ip access-group 130out Router(config-if)#封禁某一台主机 在全局配置模式下：Router(config)#access-list 110deny ip host202.112.60.230any logRouter(config)#access-list110deny ip any host 202.112.60.230log Router(config)#access-list 110permit ip any any 配置应用接口：Router(config)#interface g0/1Router(config-if)#ip access-group110in Router(config-if)#ip access-group110 out封禁ICMP协议，只允许162.105.141.0/24和202.38.97.0/24子网的ICMP数据包通过路由器。 在全局配置模式下：Router(config)#access-list 198 permiticmp 162.105.141.0 0.0.0.255 anyRouter(config)#access-list198 permit icmp 202.38.97.0 0.0.0.255anyRouter(config)#access-list 198deny icmpany anyRouter(config)#access-list198permit ip any any 【是peimit ip还是peimit icmp】Router(config)# 配置应用接口： Router(config)#interface g0/1 Router(config-if)#ip access-group198inRouter(config-if)#ip access-group198out用名字标识符访问控制列表的配置方法：制止源地址为非法地址的数据包进入路由器或从路由器输出 在全局配置模式下： Router(config)#ip access-list standard testRouter(config-std-nacl)#deny 10.0.0.0 0.255.255.255 logRouter(config-std-nacl)#deny192.168.0.0 0.0.255.255 Router(config-std-nacl)#deny 127.0.0.0 0.255.255.255 Router(config-std-nacl)#deny 172.16.0.0 0.15.255.255 Router(config-std-nacl)#permit any【是不是应该是permit ip any any】配置应用接口：Router(config)#interface g0/1 Router(config-if)#ip access-group test in Router(config-if)#ip access-group test out制止端口号为1434的UTP数据包和端口号为444的TCP数据包 在全局配置模式下： Router(config)#ip access-list extended block1434 Router(config-ext-nacl)#deny utp any any eq1434 Router(config-ext-nacl)#deny tcp any any eq444 Router(config-ext-nacl)#permit ip any any Router(config-ext-nacl)#25. 在一个大楼中或是很大的平面里面部署布线无线网络时，可以布置多个接入点构成一套微蜂窝系统。微蜂窝系统允许用户在不同的接入点覆盖区域内任意漫游。随着位置的变化，信号会由一个接入点自动切换到另一个接入点。整个漫游过程对用户是透明的，虽然提供服务的接入点发生了变化，但对用户的服务是不会中断的。26. 802.11b运作模式分为点对点模式最多可连接256台主机和 基本模式无线网络扩大和有线网络并存时，插上无线网卡的PC通过接入点与另一台PC相连，一个接入点最多可连接1024台PC。无线局域网主要包含如下的硬件设备：无线网卡、无线接入点AP一个AP可以连接30台左右的无线网络终端或者是其他的无线AP、天线、以及无线网桥、无线路由器和无线网关。Cisco公司的Aironet 1100系列接入点兼容IEEE 802.11b和IEEE 802.11g，工作在2.4GHz频段，使用Cisco公司的IOS操作系统。在安装和配置无线接入点之前，先向网络管理员询问一下信息，用于配置无线接入点： 系统名 无线网络中对大小写敏感的服务集标识符 如果没有连接到DHCP服务器，那么需要为接入点指定一个IP地址 如果接入点与PC不在同一个子网内，那么需要子网掩码和默认网关 简单网络管理协议集合名称以及SNMP文件属性如果使用SNMP将无线接入点连接至网络的两种方法：使用线内供电连接以太网和使用本地电源连接以太网。第一次配置无线接入点，一般采用本地配置方式。默认的IP地址是10.0.0.1，并成为小型的DHCP服务器。可以为以下设备分配多达20个的10.0.0.x范围的IP地址。 连接在接入以太网端口上的PC机 没有配置SSID或配置SSID为tsunami,并且关闭所有安全配置的无线设备按照以下步骤本地连接无线接入点：1. 使用五类以太网电缆连接PC机和无线接入点，通过无线接入点的以太网端口进展配置，或将PC机置于无线接入点的电波覆盖范围内，安装无线客户端适配器，关闭所有安全设置，将SSID配置为tsunmami或不配置。2. 给无线接入点加电3.确认PC机获得了10.0.0.x网段的地址4.翻开互联网浏览器5.在浏览器的地址栏输入无线接入点的IP地址10.0.0.1，然后回车，出现输入网络密码对话框6.按Tab键越过用户名到密码字段7.输入大小写敏感的密码Cisco,确定。出现接入点汇总状态的页面。点击“Express Setup进入快捷配置页面。8.输入各配置数据9.保存SSID是客户端设备用来访问接入点的唯一标识。27.略28. DNS服务器配置的主要参数： 正向查找区域：将域名映射到IP地址的数据库，用于将域名解析为IP地址。 反向查找区域：将IP地址映射到域名的数据库，用于将IP解析为域名。将主机资源记录手动添加到正向查找区域时，使用“更新相关的指针PTR选项，可以将指针记录自动添加到反向查找区域中。 资源记录：区域中的一组构造化的记录。常用的记录包括：主机地址A资源记录，它将DNS域名映射到IP地址；邮件交换器资源记录(MX)，为邮件交换器主机提供邮件路由；别名资源记录(CNAME)，将别名映射到标准DNS域名。 转发器：也是一个DNS服务器，是本地DNS服务器用于将外部DNS名称的DNS查询转发给该DNS服务器。在缺省情况下，Windows 2003服务器没有安装DNS服务器。DNS服务器的 基本配置包括正向查找区域、反向查找区域、增加资源记录等。在安装DNS服务时，13个根DNS服务器被自动参加到系统中。主机资源记录的存在默认值是3600秒可以对DNS服务器进展简单查询测试和递归查询测试。使用命令行程序测试DNS服务器：开场-运行-cmd-nslookup29. 在使用DHCP时，网络上至少有一台Windows 2003服务器上安装并配置了DHCP服务，网络上要使用DHCP服务的主机必须设置成使用DHCP自动获得IP地址。作用域是指承受DHCP服务的网络上的单个物理子网。客户机的地址租约默认是8天，续订由客户端自动完成。作用域激活后，DHCP服务器才可以为客户机分配IP地址。DHCP服务器为一客户机分配固定IP地址时，需要执行的操作是新建保存。释放地址租约：ipconfig/release重新获取地址租约：ipconfig/renewDHCP服务器中常用的配置作用域选项有路由器选项和DNS服务器选项。30. 浏览器与服务器之间传送信息的协议是 ，即超文件传输协议，用于传输网页等内容，使用TCP协议，默认端口号是80.在Windows2003中只要添加操作系统的集成组建IIS就可以实现WEB服务。一个网站对应服务器上的一个目录，建设WEB站点时必须为每个站点指定一个主目录，当然也可以是默认的子目录。设置网站选项中可以设置网站的标识、站点的连接限制以及启用日志记录并配置站点的日志记录格式。假设Web站点未设置默认内容文档，访问站点时必须提供首页内容文件名设置目录安全选项卡可以选择配置以下三种方法：身份认证和访问控制、IP地址和域名限制、安全通信。设置性能选项卡可以设置影响带宽使用的属性，以及客户端WEB连接的数量。IIS自动将带宽限制设置成最小值1024byte/s.设置筛选器选项：ISAPI筛选器是在处理 请求选项中响应事件的程序。可以列出每个筛选器的状态可以启用或是禁用、名称，以及加载到内存中的优先级。设置 头选项：可以在HTML页的标题中设置返回浏览器的值，还可以设置内容分级及定义MIME类型(MIME类型就是设定某种扩展名的文件用一种应用程序来翻开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来翻开。多用于指定一些客户端自定义的文件名，以及一些媒体文件翻开方式。)。设置自定义错误选项：可以使用IIS提供的一般默认 1.1错误或详细的自定义错误文件，或是创立自己的自定义错误文件。这些值可以对所有站点进展全局设置，也可以在每个站点中单独设置，IIS对于这些设置使用继承模式。IIS 6.0可以使用虚拟服务器的方法在一台服务器上构建多个网站，各网站可以使用主机头名称、IP地址、非标准TCP端口号来进展区分。另外还可以使用虚拟目录的方法来发布多个网站。31. FTP使用“客户机/服务器的工作方式。 构建FTP服务器的软件有IIS.6.0中集成的FTP服务、Serv-U FTP Server。 FTP服务器缺省的端口号是21。服务器域的存储位置对话框中，对于小的域选择.INI文件存储，对于大的域用户数大于500应选择注册表可以提供更高的性能。 FTP服务器的选项包括服务器选项、域选项、组选项和用户选项。服务器选项包括最大上传速度和最大下载速度、最大用户数量、检查匿名用户密码、删除局部已上传的文件、禁用反超时调度、拦截“FTP-BOUNCE攻击和FXP(File Exchange Protocol 文件交换协议FXP是一个服务器之间传输文件的协议，这个协议控制着两个支持FXP协议的服务器，在无需人工干预的情况下，自动地完成传输文件的操