计算机基础
硬件架构
计算机硬件系统是冯诺依曼设计的体系结构,由运算器、控制器、存储器、输入/输出设备,五大部件组成,运算器和控制器组成中央处理器CPU
控制器&运算器
指令执行过程:取址、译码、执行
- 控制器 :负责访问程序指令,进行指令译码,并协调其他设备,通常由程序计数器PC、指令寄存器IR、指令译码器、状态/条件寄存器、时序发生器、微操作信号发生器 组成
- 程序计数器PC :用于存放下一条指令所在单元的地址(存地址)
- 指令寄存器IR :存放当前从主存读出的正在执行的一条指令(存指令)
- 指令译码器:分析指令的操作码,以决定操作的性质和方法
- 微操作信号发生器:产生每条指令的操作信号,并将信号送往相应的部件进行处理,以完成指定的操作
- 运算器 :负责完成算术、逻辑运算功能,通常由算术/逻辑运算单元ALU、 通用寄存器 (存中间状态计算结果)、状态寄存器、多路转换器构成
指令集RISC与CISC
RISC精简指令集
- 对指令数目和寻址方式做精简,让指令的指令周期相同,更适合采用流水线技术,并行执行程度更好
- 广泛应用于小型机、移动终端设备
- 控制方式:绝大多数为组合逻辑控制,硬布线逻辑+微程序
- 流水线、 通用寄存器数量多、指令字长定长、指令系统简单精简
CISC复杂指令集
- 当下应用最广的Intel和AMD x86系列CPU用的都是CISC架构
- 控制方式:绝大多数通过微程序控制
- 通用寄存器数量少、指令字长变长、指令系统庞大复杂
位示图
例题1
某字长为32位 的计算机文件管理系统采用位示图记录磁盘的使用情况,若磁盘的容量为300GB ,物理块的大小为1MB,那么位示图的大小为()个字
PLAINTEXT
|-------------------------|----------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 | 1. 将GB转换为MB 300*1024 = 307200 2. 将磁盘容量除以物理块大小 307200 / 1 = 307200 3. 再除以计算机位数 307200 / 32 = 9600 |
例题2
使用图像扫描仪以300DPI的分辨率扫描一幅3*4英寸的图片,可以得到()像素的数字图像
PLAINTEXT
|---------------|--------------------------------------------------------|
| 1 2 3 | 300DPI表示一英寸有300个像素点 300*3 x 300*4 = 900 x 1200 |
例题3
有一副位图图像的分辨率是1024*768,保存为24位位图,请计算这张图片数据存储量
PLAINTEXT
|---------------|-------------------------------------------------------------------------------------------------------|
| 1 2 3 | 1024*768*24 = 18874368bit 18874368bit / 8 = 2359296B 2359296 / 1024 = 2304KB / 1024 = 2.25MB |
局域网城域网
以太网物理标准
快速以太网802.3u (100M)
T表示双绞线、F表示光纤、UTP非屏蔽双绞线、STP屏蔽双绞线
| 名称 | 传输介质 | 传输距离 |
|---|---|---|
| 100Base-TX | 两对5类UTP、两对STP | 100m |
| 100Base-FX | 一对单模光纤、一对多模光纤 | 40KM、2KM |
| 100Base-T4 | 四对3类UTP | 100M |
| 100Base-T2 | 两对3类UTP | 100M |
千兆以太网3z、3ab(1000M)
千兆以太网编码:4B/5B、8B/9B
| 标准 | 名称 | 传输介质 | 距离 |
|---|---|---|---|
| 802.3z | 1000Base-SX | 多模光纤 | 550M |
| 802.3z | 1000Base-LX | 单模或多模光纤 | 5000M |
| 802.3z | 1000Base-CX | 两对STP | 25m |
| 802.3ab | 1000Base-T | 四对UTP | 100M |
万兆以太网802.3ae(10G)
不再共享宽带,没有冲突检测
| 名称 | 传输介质 | 传输距离 |
|---|---|---|
| 10GBase-S | 62.5um多模光纤 | 65m |
| 10GBase-L | 单模光纤 | 10KM |
| 10GBase-E | 单模光纤 | 40KM |
| 10GBase-LX4 | 单模光纤 | 10KM |
| 10GBase-LX4 | 多模光纤 | 300M |
以太网
以太网帧结构
- 目的地址6位、源地址6位、长度2位、数据46~1500位、CRC校验和4位
- 数据位不够46位时必须填充到46位
- 最小帧长度6+6+2+46+4=64;最大帧长度6+6+2+1500+4=1518
- 以太网最大利用率=1500/1518=98.8%,最小利用率=46/64=71.8%
- 先导字段10101010,帧开始标识10101011
帧中继
- 在二层建立虚链路,提供虚链路服务,本地标识符DLCI
- 面向连接、基于分组的透明传输、只做检错、拥塞控制,不做流量控制、重传机制
- 帧长可变(1600~4096字节);速率2~45Mbps
CSMA/CD
如果连续发生16次碰撞后就不再尝试发送
冲突发生后会立即停止发送,再发送一个干扰信号Jamming,使所有站点都停止发送;再等待一段随机的时间,重新监听再发送
- 非坚持型监听算法:随机延时后退,减小冲突概率、线路利用率低、增加了发送延时
- 1-坚持型监听算法:继续监听不等待,有空就发送;冲突概率大、线路利用率高
- P-坚持型监听算法:若信道空闲,以概率P发送
生成树STP
生成树协议使得在二层出现环路时,就会通过逻辑阻塞特定端口,从而打破环路,并在网络拓扑变更时及时收敛,保障网络冗余性
- 桥ID:由8个字节组成,2字节桥优先级、6字节MAC地址;桥优先级默认32768,越小越优先
- 路径开销:路径开销与端口带宽成反比,开销越小越优先
| 协议 | 名称 | 描述 |
|---|---|---|
| 802.1d | 生成树协议STP | 慢,拓扑收敛30~50s |
| 802.1w | 快速生成树RSTP | 快,6s内完成收敛 |
| 802.1s | 多生成树MSTP | 实现多VLAN的负载分担 |
STP选举
- 确认根桥(RB):优先级和MAC地址最小的网桥
- 确认根端口(RP):距离根桥开销最小的端口
- 指定端口(DP):根桥的所有端口都是指定端口,阻塞端口对端也是指定端口,指定端口不会被阻塞
- 阻塞端口:被阻塞的端口(比较设备优先级或者MAC或接口到达根桥的最远,开销最大的)
如果知道指定端口的开销都相同时,就比较设备的优先级跟MAC地址,比较不出来就比较接口的编号(越小越优先)
城域网
802.1ad :双层标记,打了两层VLAN标签(用户、运行商),也叫QinQ技术
802.1ah :在数据帧上打MAC地址,也叫MAC-in-MAC技术
VLAN/802.1Q
802.1Q常用标签字段
- PRI(3位):表示优先级,0~7共8个优先级
- VID(12位):VLAN标识符,最多有4096个VLAN(0~4095),可用4094个(1~4094)
- VLAN标记对用户是透明的
vlan划分方式
- 静态:根据交换机接口划分VLAN
- 动态:根据MAC地址、策略、网络层协议、IP地址划分VLAN
OSI参考模型
网络互联 设备
| 设备层次 | 设备名称 | 工作原理 |
|---|---|---|
| 物理层 | 中继器、集线器 | 放大信号、延长传输距离 |
| 数据链路层 | 网桥、交换机 | 基于MAC地址转发数据帧 |
| 网络层 | 路由器、三层交换机 | 基于目的IP地址转发数据包 |
| 四层以上设备 | 网关 | 基于传输层、应用层进行控制 |
**集线器:**将一个接口进入的数据放大后,泛洪给所有的接口;容易产生环路导致广播风暴
交换机:通过MAC地址表进行寻址,MAC地址表由MAC地址、接口、VLAN组成
路由器交换机的区别
- 路由器通常用作出口网关:常用的技术有NAT、IPSec、OSPF、PPPoE、静态路由等
- 交换机一般用在内部网络中:常用的技术有生成树协议、堆叠、链路聚合、ACL等
- 一般大型网络中交换机数量是庞大的,而路由器数量只有几个,主要用于出口
OSI七层
| 层次 | 功能 |
|---|---|
| 应用层 | 各种应用协议 |
| 表示层 | 数据和信息的语法转换内码,数据压缩解压、加密解密 |
| 会话层 | 为通信双方指定通信方式,并创建、注销会话 |
| 传输层 | 可供可靠或不可靠的端到端连接 |
| 网络层 | 逻辑寻址:路由选择 |
| 数据链路层 | 将分组封装成帧;提供点到点的传输,差错控制 |
| 物理层 | 在媒介上传输比特流;提供机械和电气规约 |
TCP/IP四层
| TCP层次 | OSI层次 | 网络协议 |
|---|---|---|
| 应用层 | 应用层、表示层、会话层 | HTTP、FTP、SNMP、DNS等 |
| 传输层 | 传输层 | TCP、UDP |
| 网络层 | 网络层 | IP、ICMP、ARP、RARP、OSPF、IPSec、BGP、VRRP等 |
| 网络接口层 | 数据链路层、物理层 | PPP、PPTP、以太网 |
TCP/IP
IP
IPv4
- 基本IP头20字节,可变长度到60字节(20固定+40可变)
- 常见字段:生存周期TTL8位、协议8位、源IP地址32位、目的IP地址32位
IPv6
- 基本IP头40字节,不可变长;8组16进制表示
- 常见字段:跳数限制8位、协议8位、源IP地址128位、目的IP地址128位
- 过度技术:双栈技术、隧道技术、翻译技术
- 双栈技术:同时运行IPv4和IPv6
- 隧道技术:解决IPv6节点之间通过IPv4网络进行通信
- 翻译技术:解决纯IPv6节点与纯IPv4节点之间的通信
特殊IPv4地址地址
A类私有:10.0.0.0/8(10.0.0.1~10.255.255.255)1个A类
B类私有:172.16.0.0/12(172.16.0.1~172.16.31.255)16个B类
C类私有:192.168.0.0/24(192.168.0.1~192.168.255.255)256个C类
| 组播地址 | 描述 |
|---|---|
| 224.0.0.1 | 所有主机 |
| 224.0.0.2 | 所有路由器 |
| 224.0.0.5 | 所有运行OSPF的路由器 |
| 224.0.0.6 | DR、BDR接收地址 |
| 224.0.0.9 | RIPv2更新地址 |
| 224.0.0.18 | VRRP组播地址 |
特殊IPv6地址
口诀:1聚2链3站
| 单播地址 | 描述 |
|---|---|
| 前缀x001 | 全球可聚合单播地址(公网)如2001 |
| 前缀1111 1110 10 | 链路本地地址,结合MAC生成(链路) |
| 前缀1111 1110 11 | 站点本地地址(私网) |
| 组播地址 | 描述 |
|---|---|
| 前缀1111 1111 | FF00开头地址 |
- 表示一组接口的标识符,通常是路由举例最近的接口
- 任意播地址不能作为源地址,只能作为目的地址,只能给路由器使用
| 地址总结 | 描述 |
|---|---|
| FF00:: | 组播地址 |
| :: | 不确定地址 |
| ::1 | 回环地址 |
| x001 | 可聚合全球单播地址(公网) |
| FEC0:: | 站点本地地址(私网) |
| FE80:: | 链路本地地址(结合MAC地址) |
| 2002:: | 6to4隧道地址 |
TCP
基础
- 面向连接、可靠传输、流控和窗口机制(在接收方)、三次握手、四次挥手
- 固定头部20字节 ,可拓展到60字节
- 常见字段:源端口16位、目的端口16位、窗口16位
三次握手
第一次握手ACK=0,其他都是1;seq最开始都是随机的,ack是对方的seq值+1
- 第一次握手时发送seq=x,SYN=1;发送方状态为SYN-SENT,接收方收到后为SYN-REVD
- 第二次握手时发送seq=y,ack=x+1,SYN=1,ACK=1;发送方状态为SYN-REVD,接收方收到后为Established
- 第三次握手时发送seq=x+1,ack=y+1,ACK=1;接收方收到后为Established
四次挥手
前提:双方传输完所有数据后,互相发送确认收到,才开始断开连接
- 第一次挥手表示断开:FIN=1,ACK=1
- 第二次挥手表示确认:ACK=1
- 第三次挥手表示断开(由2发出):FIN=1,ACK=1
- 第四次挥手表示确认:ACK=1
UDP
- 面向无连接、不可靠、头部长度8字节,比TCP精简了很多
- 源端口16位、目的端口16位、长度16位、检验码16位
常见端口
TCP
| 端口号 | 名称 |
|---|---|
| 20/21 | FTP数据/控制 |
| 25 | SMTP发送邮件 |
| 80 | HTTP |
| 443 | HTTPS |
| 110 | POP3接收邮件 |
| 143 | IMAP同步邮件 |
| 179 | BGP |
UDP
| 端口号 | 名称 |
|---|---|
| 53 | DNS |
| 67/68 | DHCP服务器/客户端 |
| 68 | TFTP |
| 161/162 | 网管协议客户端/服务器 |
| 500 | IKE |
| 520 | RIP |
数据通信技术
数据编码
曼切斯特编码
- 双相码,在每一个比特中间均有一个跳变;用0、1表示高低电平的转换;第一个波型不能判断出高低电平;在10M以太网中使用
差分曼切斯特编码
- 双向码,在令牌环网中使用;有跳变代表0,无跳变代表1(有0无1)
两种曼码
- 两种曼码的效率都是50%
- 两种曼码都是双向码,要求每一位都有电平转换,一高一低,必须翻转
- 两种编码的第一位都是未知数,一般先算出差分曼切斯特编码、再用差分曼切斯特编码推算出曼切斯特编码
- 都有自定时、检测错误的功能;将时钟和数据包含在信息流中,也称自同步码
其他编码
- 100Base-TX先4B/5B编码,再MLT-3编码
- 100Base-T先4B/5B编码,再NRZ-I编码
| 编码 | 效率 | 应用场景 |
|---|---|---|
| 曼切斯特 | 50% | 以太网 |
| 差分曼切斯特 | 50% | 令牌环网 |
| 4B/5B | 80% | 百兆以太网 |
| 8B/10B | 80% | 千兆以太网 |
| 64B/66B | 98% | 万兆以太网 |
调制技术
记住波形对应的编码
数据传输系统
频分多路复用:无线电广播、ADSL、FDD-LTE
时分复用:T1/E1、SONET/SDH、WIFI、TDD-LTE
E1/T1:
- 每路电话64K ;T1速率1.544M、E1速率2.048M
- E1把32 个8位一组的数据样本组成125us 的基本帧,其中30个子信道用于语音传输、2个子信道用于控制信令(CH0,CH16)
同步数字序列
记住第一行,然后每行都乘4
| 光纤级 | SDH对应 | 常用近似值 |
|---|---|---|
| OC-3 | STM-1 | 155Mbps |
| OC-12 | STM-4 | 622Mbps |
| OC-48 | STM-16 | 2.5Gbps |
| OC-192 | STM-64 | 10Gbps |
计算题
内存芯片数量计算
公式方法
- 大值+1后减去小值,再转成十进制
- 单位换算:转换后单位是字节B,要转成KB(除以1024)
- 再算片:算出来的KB / 存储容量
例题1
在主存储器中,数据块是以字节位单位来标识的,即每个字一个地址,通常采用十六进制表示,例如内存地址编址从A4000H~CBFFFH,则内存大小为?
PLAINTEXT
|---------------------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 | 1. 大值+1 - 小值 CBFFF + 1 = CC000 CC000 - A4000 = 28000 2. 十六进制转十进制 28000H = 2*16^4 + 8*16^3 = 2*(2^4)^4 + 8*(2^4)^3 = 2*2^16 + 8*2^12 3. 将字节B转成KB(/1024) 2*2^16 + 8*2^12 ----------------- = 2*2^6 + 8*2^2 = 128 + 32 = 160KB 2^10 |
例题2
内存按字节编址,地址A0000H到CFFFFH,一共有()字节,若用存储容量64K*8bit的存储芯片构成该内存地址,至少需要()片
PLAINTEXT
|------------------------------------------------|---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | 1. 大值+1 - 小值 CFFFF + 1 = D0000 D0000 - A0000 = 30000 2. 十六进制转十进制 30000 = 3 * 16^4 = 3*(2^4)^4 = 3*2^16 3. 将字节B转KB 3*2^16 ---------- = 3*2^6 = 192KB 2^10 4. 分片 192KB --------- = 192/64 = 3片 64K * 8bit |
例题3
内存按字节编址,若用存储容量为32K*8bit的存储器芯片构成从A00000H到DFFFFH的内存,则至少需要()片芯片
PLAINTEXT
|------------------------------------------------|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | 1. 大值+1 - 小值 DFFFF + 1 = E0000 E0000 - A0000 = 40000 2. 十六进制转十进制 40000 = 4*16^4 = 4*(2^4)^4 = 4*2^16 3. 将B转KB 4*2^16 --------- = 4*2^6 = 256KB 2^10 4. 算片 256KB ------------- = 256/32 = 8片 32K*8bit |
二进制指数退避算法
理论
- 检测到冲突后,马上停止数据的发送,并等待随机时间再发送数据
- 重传16次后就认为网络繁忙或故障,不再发送
- 下面的Randon里面的值是用在随机挑选一个作为重发时间
公式
等待的随机时间 = τ*Random[0,1,2,...2^k -1] ;k = min[重传次数,10]
简算公式:1/2^n,n=冲突次数
例题1
采用CSMA/CD进行介质访问,两个站点连续冲突3次后再次冲突的概率是多少?
PLAINTEXT
|---------------|-----------------------------------------|
| 1 2 3 | # 方法1:简算公式 1/2^冲突次数 1/2^3 = 1/8 |
PLAINTEXT
|---------------|-------------------------------------------------------------------------------------------------------|
| 1 2 3 | # 方法2 k = min[3, 10] = 3 # 取最小的值 Random[0~2^3 -1] = Random[0,1,2,3,4,5,6,7] # 一共8个,所以是1/8 |
例题2
在CSMA/CD中,同一个冲突域中的主机连续经过3次冲突后,每个站点在接下来的信道空闲的时候立即传输的概率是?
PLAINTEXT
|-------------|---------------------------------------------------------------------------------------------------|
| 1 2 | k = min[3,10] = 3 Random[0~2^3 -1] = Random[0,1,2,3,4,5,6,7] # 一共是8个,立即传输表示随机值是0,所以还是1/8 |
奈奎斯特、香农定理
基础与公式
奈奎斯特(无噪声):
- 信道带宽为W,最大码元速率为B=2W ,单位是Baud比特
- W是模拟信道时,W = 最大带宽 - 最小带宽
- 当题目有采样周期 的时候,就1/T ,T是时间,注意单位换算 ,然后不要管带宽
- 极限速率R = Blog2^N = 2Wlog2^N,N是码元种类数
- QPSK=4,DPSK=2
香农定理(有噪声):
- 极限速率C=Wlog2^(1 + S/N),S是信号平均功率,N是噪声平均功率,S/N表示信噪比
- 噪声dB=10log10^(S/N),一般3dB = 100 (S/N)
例题1
某信道带宽为1MHz,采用4幅度8相位调制最大可以组成()种码元,若此信道信号的码元宽度为10微秒,则数据速率为()kb/s
PLAINTEXT
|------------------------------|-------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 | # 第一题 4*8 = 32种,N=32 # 第二题 1. 1/T 注意单位是微秒,要转成秒 1/10*10^-6 = 10^5 比特Baud 2. 带入公式S=Blog2^N S = 10^5log2^32 = 10^5 * 5 = 500000bit/s = 500kb/s |
例题2
若8进制信号的信号速率是4800Baud,则信道的数据速率为()kbs
PLAINTEXT
|---------------|-----------------------------------------------------------------------------------------|
| 1 2 3 | 8进制N就是8,几进制N就是几 带入公式 S=Blog2^N S=4800log2^8 = 4800 * 3 = 14400bit/s = 14.4kb/s |
PCM、曼码编码效率
理论
- PCM数字化的三个步骤:采样、量化、编码
- 采样频率 ≥ 模拟信号的最高频率 * 2
- PCM计算不用代公式
例题1
对声音信号数字化时,由于语音的最高频率是4KHz,所以采样的频率是();对语音样本用128个等级量化,在数字信道上传输这种数字化后的语音信道速率是?
PLAINTEXT
|-----------------------|-------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 | # 第一题 4 * 2 = 8KHz # 第二题 log2^128 = 7bit # 每个样本 7*8000 = 56Kbps # 每个样本 * 取样频率 |
例题2
假设模拟信号的频率范围为3~9MHz,采用频率必须大于()信号才不会失真
PLAINTEXT
|-----------|-----------------------|
| 1 | 9 * 2 = 18MHz |
例题3
设信道带宽为5000Hz,采用PCM编码,采样周期为125us,每个样本量化后为256个等级,则信道速率为()
PLAINTEXT
|-------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 | # 看到采样周期就 1/T 1/125 * 10^-6 = 1/125 10^6 = 0.008 * 10^6 = 8000bit/s # 单位从us转为了s # 带入公式S=Blog2^N S = 8000log2^256 = 8000 * 8 = 64000bit/s = 64kbit/s |
例题4
在异步传输中,1位起始位,7位数据位,2位停止位,1位校验位,每秒传输200字符,采用曼切斯特编码,有效速率为()kb/s,最大波特率为()Baud
PLAINTEXT
|-----------------------|---------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 | # 算有效速率 200 * 11 = 2200 * 7/11 = 1400 = 1.4k # 最大波特率(码元速率) R=Blog2^N 2200=Blog2^N 2200=Blog2^2 B=2200 |
编码效率
| 编码 | 效率 | 用途 |
|---|---|---|
| 曼切斯特编码 | 50% | 以太网 |
| 差分曼切斯特编码 | 50% | 令牌环 |
| 4B/5B | 80% | 百兆以太网 |
| 6B/8B | 80% | 千兆以太网 |
| 64B/66B | 97% | 万兆以太网 |
信道延迟
公式 注意单位换算!!!
总延迟 = 信道(线路)延迟 + 发送延迟
线路延迟 = 传输距离 / 传输速度+
发送延迟 = 数据帧大小bit / 数据速率
光缆:30W km/s = 300m/us;电缆:20W km/s = 200m/us;卫星:270ms
隐藏条件:以太网MTU最大1500B,帧默认1518B,回应帧64B
例题1
在相隔20KM的两地通过电缆以100Mb/s的速率传送1518字节长的以太帧,从开始发送到接收完成数据需要的时间约()
PLAINTEXT
|------------------------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 12 | # 算线路延迟 20000 ------------- = 100us 200m/us # 算发送延迟 1518 * 8 # 一字节=8比特 -------------- = 0.00012144s * 10^6 = 121.44us # 将结果秒转为微秒 100*10^6 # 100M换算成bit # 两个延迟相加 100 + 121.44 = 221.44us |
例题2
在1000米的100Base-T线路上,发送1000字节的数据,延迟是多少
PLAINTEXT
|------------------------------------|-------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 12 | # 计算线路延迟 1000m ----------- = 5us 200m/us # 计算发送延迟 1000 * 8 ---------------------- = 80us 100 * 10^6 * 10^-6 # M转b,s转us # 相加 80 + 5 = 85us |
例题3
在地面相距2000公里的两地之间通过电缆传输4000比特长的数据包,数据速率为64kb/s,从开始到接收结束时间是()
PLAINTEXT
|------------------------------------|------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 12 | # 计算线路延迟 2000 * 10^3 ----------------- = 10000us = 10ms 200m/us # 计算发送延迟 4000bit ---------------- = 62500us = 62.5ms 64*10^3*10^-6 # 相加 62.5 + 10 = 72.5ms |
例题4
以太网的最大帧长1518字节,每个数据帧前面有8个字节的前导字段,帧间隔为9.6us,传输240000bit的IP数据报,采用100Base-TX网络,最短时间是()
PLAINTEXT
|------------------------------------------------------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | # 计算发送延迟 1. 分片:一个以太网帧最大传输1500字节 240000bit/8 = 30000字节 30000/1500 = 20帧 2. 算传输总位数 (1518+8) *8 *20 = 244160bit # 总共要传输的比特数,*20是20帧 3. 计算发送延迟 244160 ---------------- = 2441.6us 100*10^6*10^-6 # M转bit,s转us 4. 计算帧间隔:发送的帧数量 * 帧间隔时间 20 * 9.6 = 19.2us 5. 相加 2441.6 + 19.2 = 2630.8us = 2.6308ms |
例题5
以太网的最大帧为1518字节,每个数据帧前面有8个字节的前导字段,帧间隔为9.6us,在100BASE-T网络中发送一帧的时间为()
PLAINTEXT
|-----------------------|-------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 | 1. 计算总传输 (1518 + 8) * 8 *1 ---------------- = 122.08us 100*10^6*10^-6 2. 加上帧间隔 122.08 + 9.6 = 131.68us |
例题6
以100Mb/s以太网连接的站点A和站点B相距2000m,通过停机等待机制进行数据传输,传播速度为200m/us,最高的有效传输速率为()
PLAINTEXT
|------------------------------------------------------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | # 算信道延迟 2000m ------------ = 10us 200m/us # 算发送延迟:发送按以太网最大1518字节,停机等待是回应一个64字节的数据 1518 * 8 ------------- = 121.44us # 最大以太网帧 100*10^6*10^-6 64*8 -------------- = 5.12us # 回复延迟 100*10^6*10^-6 # 计算总时间 121.44 + 5.12 + 10*2 = 146.56us # 以太网传输比特 / 总时间 = 有效时间 1518*8 / 146.56 ≈ 82.86Mb/s |
例题7
通过卫星传送3000比特长的数据包,卫星速率50kb/s,需要用多少时间
PLAINTEXT
|------------------------------|-----------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 | # 线路延迟 卫星发送时间为270ms # 计算速率 3000b --------- = 0.06s = 60000us = 60ms 50kb/s # 相加 60 + 270 = 330ms |
例题8
在异步通信中,每个字符包括1位起始位、7位数据位、1位奇偶位、2位终止位,每秒传送100个字符,则有效速率为()
PLAINTEXT
|-------------|-------------------------------------------------------------------|
| 1 2 | R=11 * 100 = 1100b/s # 传输速率 1100 * 7/11 = 700b/s # 有效速率 |
CRC
CRC循环冗余校验
- 只能检错不能纠错,遇到错请求重发
CRC算法
- 判断校验位数:生成式的最高次方是几,校验位就是几位
- 补齐数据位后的0:在数据为后面补0,校验位数几位就补几个0
- 提取多项式的系数:x^n
- 用第二步的结果除第三步(异或),余数就是CRC,CRC位数不够前面补0
海明码
理论
- 通过冗余数据位来检错和纠错
- 海明不等式:2^k -1 ≥ m+k;k是校验位个数、m是数据长度
- 奇偶校验:整个校验码中1的个数是奇数还是偶数,如使用偶校验是1的个数是奇数就补1,偶数就补0
- 海明码距 :两个字码之间不同的比特数
例题1
海明码,如果信息位6位,要求纠正1位错,按照海明码的编码规则,需要增加的校验位至少()位
A.3 B.4 C.5 D.6
PLAINTEXT
|-----------------|-----------------------------------------------------------------------------------|
| 1 2 3 4 | # 将选项代入公式2^k -1 ≥ k+m,选项成立就是对 2^3 -1 ≥ 3+6 # 不成立 2^4 -1 ≥ 4+6 # 成立,结果是4 |
最小帧
最小帧长计算公式:Lmin=2R * d/v R为网络数据速率、d为最大距离、v为传播速度
不冲突条件:发送时间 ≥ 传送时间 + 确认时间
例题1
采用CSMA/CD协议的基带总线,段长为1000M,数据速率为10Mb/s,信号传播速度为200m/us,该网络最小帧为()比特
PLAINTEXT
|-------------|---------------------------------------------------------------------|
| 1 2 | # 带入公式:2R * d/v 2*10*10^6 * 1000/200*10^6 = 20 * 5 = 100b |
例题2
在CSMA/CD以太网中,数据速率为100Mb/s,网段长2km,信号速率为200m/us,该网络最小帧长为()比特
PLAINTEXT
|-------------|-------------------------------------------------------------------------|
| 1 2 | # 带入公式:2R * d/v 2*100*10^6 * 2000/200*10^6 = 200 * 10 = 2000b |
网络安全
对称加密(分组算法)
| 算法 | 描述 |
|---|---|
| DES | 分组、每组64位、64位密文、56位密钥 |
| 3DES | 分组、112位密钥、2个密钥3次加密 |
| IDEA | 分组、每组64位、128位密钥、可用软硬件实现、比DES快,用于PGP |
| AES | 分组、每组128位、支持128、192、255位密钥,可用硬件实现 |
| RC4 | 流加密、加密速度快、DES的10倍、用在wifi |
| SM1、4 | 国产,分组和密码长度都是128比特 |
非对称加密(公钥密码)
| 算法 | 描述 |
|---|---|
| RSA | 512、1024位密钥 |
| DH | 用在IPSec |
| ECC | 椭圆曲线算法 |
| SM2 | 国产 |
国产加密算法
| 算法 | 类型 | 描述 |
|---|---|---|
| SM1 | 对称加密 | 分组和密码长度都是128比特 |
| SM2 | 非对称加密 | 非对称该有的功能都有 |
| SM3 | 哈希算法 | 分组512位,输出256位哈希值 |
| SM4 | 对称加密 | 分组和密码长度都是128比特 |
| SM9 | 标识密码算法 | 公钥加密、密钥交换、数字签名等 |
哈希算法(摘要算法)
| 算法 | 描述 |
|---|---|
| MD5 | 512位数据块,产生128位信息摘要,常用于文件校验 |
| SHA | 512位数据块,产生160位哈希值,比MD5安全 |
| SM3 | 国产,分组512位,输出256位哈希值 |
PPP认证方式
- PAP:两次握手验证协议,口令以明文传送,被验证方首先发起请求
- CHAP:三次握手,认证过程不传送认证口令,传送HMAC散列值
被验证方就是客户端,主认证方就是认证服务器
对称加密算法
对称加密算法(共享密钥加密算法):加密和解密密钥相同
- 数据标准DES :一种分组加密,在加密前先把整个明文进行分组,每个分组64位 ,之后进行16轮迭代,产生一组64位密文数据 ,使用的密钥是56位
- 3DES :使用两个密钥 ,执行三次DES 算法,密钥长度是112位
- 国际数据加密算法IDEA :128位密钥 ,把明文分为64位的块,进行8轮迭代;IDEA可以使用硬件或软件实现,比DES快
- 高级加密标准AES :支持128、192、256位三种密钥长度,可通过硬件实现
- 流加密算法RC4 :加密速度快,是DES的10倍;常用在WIFI
非对称加密算法
非对称加密算法也叫公钥加密算法,每个实体有两个密钥:公钥公开、私钥自己保存
- 保密通信:公钥加密,私钥解密
- 数字签名:私钥加密,公钥解密
- 典型公钥加密算法:RSA
哈希Hash
将一段任意长度的数据经过一道计算,转换为一段定长的数据MD5 128位、SHA 160位
- 不可逆性(单向)、无碰撞性、雪崩效应
- 使用场景:验证文件的完整性(使用MD5)、加密密码、数字签名
MD5 将报文按照512位 进行分组,最后的到128位报文摘要
SHA 将报文按照512位 进行分组,产生160位散列值,比MD5安全但慢
数字签名
用于确认发送者身份 和消息完整性 的一个加密算法摘要
- 接收者能够核实发送者
- 发送者不能抵赖签名后的报文
- 接收者不能伪造对报文的签名
数字证书 :数字证书包含用户公钥和CA用私钥进行的签名
PKI和Kerberos体系
Kerberos
Kerberos服务器(KDC)包含认证服务器AS 、授权服务器TGS
- 客户向认证服务器AS请求许可凭证
- 认证服务器AS下发许可凭证
- 客户向授权服务器请求服务器凭证
- 授权服务器下发服务器凭据凭证
- 客户方请求服务器方(拿着授权信息)
- 服务器方再提供双向认证
PKI体系
包含CA颁发证书 、RA审核用户身份
主流攻击(下午)
SQL注入
通过构建恶意SQL语句,获取数据库敏感信息或直接向数据库插入恶意语句
防范:对用户的输入做严格检查,防止恶意SQL输入;部署DBS数据库审计系统、WAF防护墙进行安全阻断
常见病毒
| 病毒类型 | 关键字 | 描述 |
|---|---|---|
| 蠕虫病毒 | worm | 会传播 |
| 木马病毒 | Trojan | 会隐藏,c&c通信 |
| 宏病毒 | Macro | 感染word、excel |
IPSec
IPSec功能分为三类:认证头AH、封装安全负荷ESP、Internet密钥交换协议IKE
- 认证头AH:提供数据完整性和数据源认证,不提供数据保密服务,实现的算法有MD5、SHA(哈希)
- 封装安全负荷ESP:提供数据加密功能,加密算法有DES、3DES、AES等(对称加密)
- Internet密钥交换协议IKE:用于生成和分发在ESP和AH头中使用的密钥(非对称)
| IPSec协议 | 功能 | 代表协议 |
|---|---|---|
| AH | 数据完整性和源认证 | MD5、SHA(哈希) |
| ESP | 数据加密,也能提供AH的功能 | DES、3DES、AES(对称) |
| IKE | 密钥生成、分发 | DH(非对称) |
记住:隧道模式使用新的IP头
IPSec的模式
- 站点到站点 :站点到站点又称网关到网关,多个异地机构利用运营商网络建立IPSec隧道,将各自的内部网络联系起来
- 端到端 :端到端又称PC到PC,即两个PC之间的通信由IPSec完成
- 端到站点 :两个PC之间的通信由网关和异地PC之间的IPSec会话完成
防火墙&入侵检测&入侵防御
实现内部网络信任Trust、外部不可信任网络Untrust、军事缓冲区域DMZ之间的隔离与访问控制
防火墙有包过滤防火墙、状态化防火墙、应用层网关、应用层检测DPI
防火墙层次越高越安全、处理效率越低
防火墙区域
- 本地区域Local:防火墙本身
- 信任区域Trust:内部网络
- 非信任区域UnTrust:外部网络,如Internet
- 军事缓冲区域DMZ:放置公共服务器的地方,向外提供服务
入侵检测IDS是防火墙之后的第二个屏障
入侵检测IDS是旁路部署、入侵防御IPS是串行部署(FW后)、防火墙FW部署在出口与内网之间、WAF跟web服务器串联在一起(waf在前面)
入侵防御IPS是一种抢先的网络安全检测和防御系统,能检测出攻击并积极响应
- IPS不仅有入侵检测系统功能,还有拦截攻击并阻断攻击的功能(主动且全面深层次的防御)
- IDS只能检测到入侵并记录,再报告
网络操作系统
Windows
A-G-U-DL-P:用户账号A、全局组G、通用组U、域本地组DL、资源权限G
DNS
| 记录类型 | 说明 | 备注 |
|---|---|---|
| SOA | 起始授权机构记录,用于表示在众多NS记录中哪台是主服务器 | 设置数据版本、更新、过期时间的信息 |
| A | 正向,把主机名解析为IP地址 | |
| 指针PTR | 反向,把IP地址计息为主机名 | |
| 名字服务器NS | 为一个域指定授权域名服务器,该域的所有子域也委派给这个服务器 | 如某个区域用ns1.a.com进行解析 |
| 邮件MX | 指明区域的邮件服务器以及优先级 | |
| 别名CNAME | 指定主机名的别名,把主机名解析到另一个主机名 |
DHCP
| 报文 | 传播方式 | 描述 |
|---|---|---|
| DHCP Discover | 广播 | 用于发现当前网络中的DHCP服务器 |
| DHCP Offer | 单播 | 携带分配给客户端的IP地址 |
| DHCP Request | 广播 | 告知服务器端自己将使用该IP地址 |
| DHCP Ack | 单播 | 最终确认,告知客户端可以使用该IP地址 |
网络管理
体系结构
故障管理、配置管理、计费管理、性能管理、安全管理
故障管理:尽快发现故障、找出故障,以便采取补救措施
SNMP
- 应用层协议,通过UDP承载,端口161、162
- 被管理设备开启SNMPServer服务(161),管理设备开启SNMPTrap服务(162)
- 被管设备:都是通过UDP 161端口向管理设备交互
- 管理设备:用UDP162接收被管设备的trap信息;再用随机端口向被管设备的161发送请求
| 操作编号 | 分类 | 名称 | 用途 |
|---|---|---|---|
| 0 | 网管找客户端 | get-request | 查询多个或一个变量值 |
| 1 | 网管找客户端 | get-next-request | 在MIB树上检索下一个变量 |
| 2 | 网管找客户端 | set-request | 多个或一个变量值的设置 |
| 3 | 客户端反馈 | get-response | 对get/set报文做出响应 |
| 4 | 客户端反馈 | trap | 向管理进程报告代理发生的事件 |
- SNMPv1:团体名明文传输,不安全
- SNMPv2:GetBulk、Inform
- SNMPv3:认证和加密传输、实现序列模块、认证模块(SHA、MD5算法)、加密模块(DES算法);没有防护拒绝服务、通信分析的能力
综合布线
各个子系统
- 工作区子系统:信息插座到计算机之间
- 水平子系统:信息插座到楼层配线间(到楼层机柜)
- 干线子系统:每个楼层的配线架(将每个楼层的配线间或机柜连接起来)
- 设备间子系统:机房
- 管理间子系统:每个楼层的配线架(配线间、楼层机柜)
- 建筑群子系统:每个建筑之间
设备接入分层
核心层:高速转发、服务器接入、路由选择
汇聚层:流量汇聚、设备/链路冗余、路由选择、策略控制
接入层:用户接入、接入安全、访问控制
无线通信网
WLAN通信技术
- 主要有:红外线、扩频、窄带微波技术
- 扩频:将信号散步到更宽的带宽上,以减少发送阻塞和干扰的机会
- 主要扩频技术:频率跳动扩频FHSS(蓝牙,安全)、直接序列扩频DSSS(WIFI)
WLAN网络分类
- 基础无线网络:用户通过无线接入点AP接入
- 特殊网络:用于军用、宿舍局域网等自组,如Ad Hoc网络
- 分布式无线系统:通过AC控制大量AP组成无线网
不重叠信道
- 2.4G:1~13共14个信道,1、6、11不重叠(间隔5)
- 5G:149、153、157、161、165 (间隔4)
802.11技术标准
| 2.4G | 5G | 2.4&5G |
|---|---|---|
| 802.11 | 802.11a | 802.11n |
| 802.11b | 802.11ac | 802.11ax |
| 802.11g |
WLAN安全机制
- 隐藏SSID
- 物理地址过滤:在无线路由器设置黑白名单
- WEP认证和加密:PSK预共享密钥、RC4加密
- WAP :认证使用802.11x、使用RC4+TKIP,支持完整性认证和防重放攻击
- WAP2(802.11i) :针对WAP优化,加密协议由RC4变为AES+CCMP
- 笔记本电脑、手机等智能设备应该使用Portal认证 ,监控、闸机等非智能设备应该使用MAC地址认证
无线布网
AP之间使用无线链路连接多个独立的局域网时,不方便布线时使用支持WDS无线桥接技术的AP进行接入
可以使用混合模式来同时使用2.4G跟5G频段
使用MIMO技术改造物理层,实现增加天线的数量来传输信息子流
RAID
容量计算
| 类型 | 最少块数 | 容量 |
|---|---|---|
| RAID0 | 2,不允许坏盘 | 100% |
| RAID1 | 2,允许坏1块 | 总容量的一半 |
| RAID3 | 3,允许坏1块 | 总容量 - 一块盘容量 |
| RAID5 | 3,允许坏1块 | 总容量 - 一块盘容量 |
| RAID6 | 4,允许坏2块 | (块数-2)*容量 |
| RAID10 | 4,允许坏2块 | 总容量的一半 |
| RAID50 | 6 | 总容量 - 2块盘容量 |
| RAID60 | 8 | (块数-4)*容量 |
技术介绍
RAID提高读写性能、数据安全
RAID1、10是镜像冗余,其他都是校验冗余
| 类型 | 描述 |
|---|---|
| RAID0 | 容量叠加,无校验,利用率最高 |
| RAID1 | 数据镜像,无校验,利用率低 |
| RAID3 | 校验信息存放于专用的硬盘 |
| RAID5 | 校验信息分部分布式存放 |
| RAID6 | 分布式校验并提供两级冗余 |
| RAID0+1 | 先做RAID0,再做RAID1,同时数据条带化、镜像 |
| RAID10 | 同上,顺序不一样而已 |
| RAID50 | 同上,先做RAID5再做RAID0,能有效提高RAID5的性能 |
动态路由协议
华为路由协议优先级
| 路由协议 | 优先级 |
|---|---|
| Direct | 0 |
| OSPF | 10 |
| IS-IS | 15 |
| static | 60 |
| RIP | 100 |
| OSPF ASE | 150 |
| OSPF NSSA | 150 |
| IBGP | 255 |
| EBGP | 255 |
RIP
计算跳数:最大跳数15跳,16跳表示不可达,一般用于小型网络中
几个时钟:30s周期性更细路由表、180s无更新表示不存在、240s删除路由表
支持等价负载均衡和链路冗余,使用UDP520端口
| RIPv1 | RIPv2 |
|---|---|
| 有类,不携带子网掩码 | 无类,携带子网掩码 |
| 广播更新 | 组播更新224.0.0.9 |
| 周期性更新30s | 触发更新 |
| 不支持VLSM、CIDR | 支持VLSM、CIDR |
| 不支持认证 | 提供明文和MD5认证 |
RIP防环机制
- 最大跳数:路由经过一个路由器就增加1跳,16跳表示不可达,直接丢弃
- 水平分割:一条路由信息不会发送给信息的来源
- 反向毒化的水平分割:把从邻居学到的路由信息设为16跳,再发送给那个邻居
- 抑制定时器、触发更新也能防止环路
OSPF
开放式最短路径优先协议,是一种状态链路协议;路由器之间交换链路状态信息LSA
每台OSPF路由器都知晓网络拓扑结构,采用SPF算法计算到达目的的最短路径;支持VLSM、手动路由汇总
- 快速收敛:在网络的拓扑结构发生变化后立即发送更新报文,使这一变化在自治系统中同步
- 无自环:使用SPF算法(也叫Dikstra算法)计算路由,不会产生环路
- 区域划分:允许网络被划分成区域来管理,链路状态数据库仅需要和区域内其他路由器保持一致,减小对路由器内存和CPU的消耗,同时区域间传送的路由信息减小,降低网络带宽占用
- 所有非骨干区域必须与骨干区域直连
- 触发更新、分层路由、支持大型网络
- 点对点网络上10秒发送一次Hello报文,NBMA网络每30秒发送一次,Deadtime是hello时间的4倍
Route ID
相同区域内RouteID不能一样
Route ID可通过手动配置或自动获取,自动获取如下:
- 先配置OSPF接口IP再宣告后,Route ID就是该接口IP地址
- 先配置OSPF接口IP,再配置环回地址,再宣告OSPF,Route ID就是环回地址的最大IP
- 如果第一步配置完成后,再配置环回地址,再重启OSPF进程,Route ID就就是环回地址的最大IP
OSPF Cost
ospf使用cost开销作为路由度量值,每一个激活OSPF的接口都有一个cost值
ospf接口cost = 100M/接口带宽
BGP
- 边界网关协议,用于不同自治系统AS之间,寻找最佳路由
- 通过TCP 179端口建立连接,支持VLSM、CIDR,是一种路径矢量路由;常用BGP4,BGP4+支持IPv6
- Open建立邻居关系,Keepalive周期性检测邻居存活
- 支持增量更新、支持认证、可靠传输、防止环路、自治通信、策略选路、支持无类、支持聚合
| 报文 | 描述 |
|---|---|
| Open | 建立邻居关系 |
| Keepalive | 对Open答应,周期性确认邻居关系 |
| Update | 发送新的路由信息 |
| Notfication | 报告检测到的错误 |
故障排查
排查思路与方法
排查案例基础
排查案例进阶
配置
基础配置
Hybrid接口配置
PLAINTEXT
|---------------------------|---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 | vlan batch 10 20 30 int gi0/0/0 port hybrid pvid vlan 10 # 配置接口pvid port hybrid untagged vlan 10 20 # 配置允许通过的vlan,该接口不允许vlan30通过(不允许除10 20 外的通过) int gi0/0/1 port link-type hybrid port hybrid tagged vlan 10 20 # 上联口封装 |
二层聚合链路
PLAINTEXT
|------------------------------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 12 | # 创建聚合口 int eht-trunk 1 mode manual load-balance # 手动分担模式 # 将接口加入聚合组 int gi0/0/1 eth-trunk 1 # 将聚合组转换为trunk,放行指定vlan int eth-trunk 1 port link-type trunk port trunk allow-pass vlan 10 |
三层链路聚合
PLAINTEXT
|-----------------------|---------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 | int eth-trunk 1 mode manual load-balance undo portswitch # 关闭二层接口 ip address 10.0.0.0 24 int gi0/0/0 eth-trunk 1 |
AAA认证
PLAINTEXT
|-----------------|----------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 | aaa local-user 用户名 password cipher 密码 local-user 用户名 service-type 服务类型 # 如ssh、telnet local-user 用户名 privilege level 级别 # 指定用户的权限等级,0~15越大越优先 |
SSH
PLAINTEXT
|------------------------------------------|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 | # 创建密钥 rsa local-key-pair create # 选择ssh user-interface vty 0 4 authentication-mode aaa protocol inbound ssh # 开启ssh服务 ssh service enable # 客户端开启ssh ssh client first-time enable stelnet -l 用户名 服务器IP地址 # 连接 |
Telnet
PLAINTEXT
|-----------------|--------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 | user-interface vty 0 4 authentication-mode password 密码 # 使用密码登录 authentication-mode aaa # 使用aaa登录 proticol inbound telnet # 指定远程登录方式为telnet |
端口安全
- 防止MAC地址泛洪攻击,可以限制接口能学习的最大MAC地址数量,也可以静态绑定接口与MAC地址或IP等
PLAINTEXT
|-----------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 | int gi0/0/0 port-security enable port-security max-mac-num 2 # 设置该接口最大能学习到的MAC地址数为2 port-security mac-address sticky port-security mac-address sticky xxxx-xxxx-xxxx vlan xx # 静态绑定MAC地址 user-bind static ip-address 11.11.11.11 mac-address xxxx-xxxx-xxxx interface gi0/0/0 # 也可以选择静态MAC地址绑定,在全局下 |
ACL
基本ACL2000~2999
- 仅用匹配报文的源地址
PLAINTEXT
|-------------|-----------------------------------------------|
| 1 2 | acl 2000 rule 5 permit source 源地址 反掩码 |
PLAINTEXT
|---------------|------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 | time-range work 09:00 to 17:00 working-day acl 2000 rule 5 permit source 192.168.1.0 0.0.0.255 time-range work |
高级ACL3000~3999
- 可以使用报文中的源地址、目的地址、IP协议类型、ICMP类型、TCP源目端口号、UDP源目端口号、生效时间段等来定义规则
PLAINTEXT
|-----------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 | acl 3000 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 100.0.0.1 0 rule 10 deny tcp source 192.168.10.0 0.0.0.255 destination 100.0.0.1 0 destination-port eq 80 rule 15 deny udp source 192.168.10.0 0.0.0.255 destination 100.0.0.1 0 destination-port eq dns |
应用ACL
PLAINTEXT
|-----------------|-------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 | int 接口 traffic-filter 方向 acl acl编号 traffic-filter inbound acl 3000 traffic-filter outbound acl 3000 |
前缀列表
PLAINTEXT
|-----------|---------------------------------------------------|
| 1 | ip ip-prefex 前缀列表名 index 索引id 动作 匹配的IP 掩码 |
PLAINTEXT
|-------------------|-----------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 | ip ip-prefex test index 10 permit 10.0.0.0 255.255.255.0 route-policy 10 permit node 10 if-match ip-prefex test import ospf route-policy 10 |
VLAN技术
常见VLAN技术
- Super VLAN(VLAN聚合):实现速度用户共享网关IP地址
- MUX-VLAN:实现二层流量隔离,对网络资源的控制
- VXLAN:用于数据中心资源隔离和自动化
接口划分
PLAINTEXT
|---------------|-----------------------------------------------------------------|
| 1 2 3 | int gi0/0/0 port link-type access port default vlan 100 |
MAC地址划分
PLAINTEXT
|-----------|---------------------------------------------|
| 1 | mac-vlan mac-address xxxx-xxxx-xxxx |
策略划分
PLAINTEXT
|-----------|---------------------------------------------------------------------|
| 1 | policy-vlan mac-address xxxx-xxxx-xxxx ip x.x.x.x prority 7 |
super vlan
PLAINTEXT
|------------------------------------|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 12 | # vlan 2 3之间无法通信,vlan 2 23、vlan 3 23之间可以通信;开启arp代理后都能够通信 # 创建vlan,将接口划分到vlan,聚合vlan vlan batch 2 3 23 # 23为聚合后的超级vlan vlan 23 aggregate-vlan # 开启vlan聚合 access-vlan 2 3 # 将需要聚合的vlan加进来 # 再对聚合后的vlan配置IP地址,再开启arp代理 int vlanif 23 ip address 23.0.0.1 24 arp-proxy inter-sub-vlan-proxy enable # arp代理 |
MUX VLAN
- 主vlan(Principal VLAN):可以与MUX VLAN内所有VLAN进行通信
- 隔离型从VLAN(Separate VLAN):只能与主vlan进行通信,和其他类型的VLAN完全隔离,包括自己;(只能配置一个)
- 互通型从VLAN(Group VLAN):可以和主VLAN通信,在同一组内的VLAN可以通信,不能和其他组的VLAN或隔离型从VLAN通信
PLAINTEXT
|---------------------------------|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 | # 10能跟所有人通信,20只能跟10通信、也不能跟20的人通信,30能跟10、30通信,40能跟10、40通信 vlan batch 10 20 30 40 vlan 10 mux-vlan # 主vlan subordinate separate 20 # 隔离型从VLAN subordinate group 30 40 # 互通性从VLAN int gi0/0/0 port link-type access port default vlan 20 port mux-vlan enable # 在接口下开启mux-vlan(所有相关vlan的接口) |
静态路由
浮动路由
PLAINTEXT
|-------------|--------------------------------------------------------------------------------------------|
| 1 2 | ip route-static 0.0.0.0 0 1.1.1.1 ip route-static 0.0.0.0 0 2.2.2.2 preference 100 |
RIP
PLAINTEXT
|---------------------|---------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 | rip 1 version 2 network 1.0.0.0 default-route originate # 重发布默认路由 import-route direct # 重发布直连路由 summary # 自动聚合 |
OSPF
常用
PLAINTEXT
|---------------------------------------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | ospf 1 route-id 1.1.1.1 asbr-summary 路由条目 掩码 # 在asbr上配置路由汇总 area 0 network 192.168.1.0 0.0.0.255 import-route rip import-route bgp permit-ibgp # 允许引入IBGP路由 default-route-advertise # 重发布默认路由(黑洞路由或本地有默认路由时) default-route-advertise always # 重发布默认路由,下一跳指向自己 authentication-mode md5 1 密码 # 区域认证 abr-summary 路由条目 掩码 # 在abr上配置路由汇总(聚合) slient-interface 接口 # 静默接口,会宣告但不会发送OSPF报文,主要指向客户端接口 silent-interface vlan vlan号 # 同上 nssa # 开启NSSA区域 nssa no-summary # 开启Totally NSSA区域:只在ABR上配置,其他路由器上开启NSSA区域即可 stub # 开启Totally Stub完全末节区域 stub no-summary # 开启完全末节区域:只在ABR上配置,其他路由器上开启Stub区域即可 |
在接口下宣告
PLAINTEXT
|---------------------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 | int gi0/0/0 ospf enable 进程号 area 区域号 # 接口下宣告 ospf authentication-mode md5 1 密码 # 接口认证 ip ospf cost ospf dr-priority 优先级 # dr的优先级,0不选举,越小越优先 ospf network-type p2p # 网络类型修改为点到点,或者broadcast、nbma、p2mp类型 |
ISIS
PLAINTEXT
|------------------------------------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | isis 进程号 network-entity NET网络实体名称 # 配置网络实体名称 is-name 名称 # isis路由器名称 is-level {level-1|level-2|level-1-2} # 配置全局Level级别 summary 网段 掩码 类别 # 不指定类别默认汇总2类 default-route-advertise level-1 # 下发L1的缺省路由 default-route-advertise match default level-1 # 下发L1的缺省路由 default-route-advertise match default level1-2 # 下发L1、 L2缺省路由 import ospf cost-type internal cost 10 level-1 # 将ospf引入到L1路由 int 接口 isis enable 进程号 # 接口开启isis isis dis-priority 优先级 [level-1 | level-2] # 修改DIS优先级,缺省64 isis circuit-type p2p # 将接口网络类型修改为P2P,默认广播类型 isis cost cost值 # 修改接口cost值,默认64 |
PLAINTEXT
|---------------------------------|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 | # 接口认证:在接口上进行认证,对Level-1和Level-2的Hello报文进行认证 int 接口 isis authentication-mode simple cipher 密码 # 配置密码 # 区域认证: isis 进程号 area-authentication # 路由域认证 isis 进程号 domain-authentication |
BGP
PLAINTEXT
|---------------------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 | bgp AS号 route-id 路由器ID peer 对等体地址 as-number 对等体AS号 peer 对等体地址 connect-interface 本地源接口 # 如果使用环回地址建立对等体,就要指定本地源接口 peer 对等体地址 ebgp-max-hop 跳数 # EBGP最大跳数为1,使用环回地址建立EBGP就要修改EBGP跳数 peer 对等体地址 ignore # 暂时停止对等体的会话 network IP地址 掩码 # 宣告网段 peer 对等体地址 next-hop-local # 指定邻居的下一跳地址为自己 peer 对等体地址 next-hop-invariable # 让邻居的下一跳地址不变 |
PLAINTEXT
|-----------|-------------------------------------------------|
| 1 | route loop-detect bgp enable # 启用BGP防环 |
VRRP
PLAINTEXT
|---------------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 | vlan 100 int vlan 100 ip address 10.0.0.253 24 vrrp vrid 100 virtual-ip 10.0.0.254 vrrp vrid 100 priority 优先级 # 默认优先级100,越大越优先 vrrp vrid 100 track int 接口 reduced 减去的优先级 # 指定接口Down后,就减去优先级,转为备用 vrrp vrid 100 preempt-mode timer delay 延迟值 # 抢占模式,指定N秒后抢占回来 vrrp vrid 100 preempt-mode disable # 禁止抢占模式 |
PLAINTEXT
|------------------------------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 | # BFD联动 bfd # 开启BFD bfd bfd名称 peer-ip 对端IP地址 source-ip 本地IP地址 discriminator local 本地标识符 discriminator remote 对方标识符 commit # 启用该BFD int vlan 100 vrrp vrid 100 track bfd-session bfd会话ID reduced 优先级 # 检测到断开后就降低vrrp优先级 |
BFD
双向检测
PLAINTEXT
|---------------------|------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 | # 两边都要配置 bfd bfd bfd名称 peer-ip 对端IP地址 source-ip 本地IP地址 disciminator local 本地标识符 disciminator remote 对方标识符 commit # 启用该BFD |
单臂回声
PLAINTEXT
|-----------------|----------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 | # 只配置一边 bfd bfd bfd名称 peer-ip 对端IP地址 intface 接口 source-ip 本地IP地址 one-arm-echo discriminator local 本地标识符 # 只需要配置一边 |
示例
PLAINTEXT
|---------------|---------------------------------------------------------------------------------|
| 1 2 3 | # vrrp int vlan 100 vrrp vrid 100 track bfd-session bfd会话ID reduced 优先级 |
PLAINTEXT
|-------------|-------------------------------------------------------------------------------|
| 1 2 | # 静态路由 ip route-static 0.0.0.0 0.0.0.0 1.1.1.1 track bfd-session bfd名 |
PLAINTEXT
|---------------|------------------------------------------------|
| 1 2 3 | # OSPF ospf 1 bfd all-interface enable |
NQA
STP
PLAINTEXT
|-----------------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 | int gi0/0/0 stp edged-port enable # 边缘端口,不经过STP计算 stp mode stp stp priority 4096 # 配置优先级为4096,默认32768 stp root primary # 配置为根桥,优先级等于0 stp root secondary # 配置设备为根桥 |
DHCP
DHCP地址池
PLAINTEXT
|---------------------------------|---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 | ip pool 地址池名 network 192.168.10.0 mask 255.255.255.0 gateway-list 192.168.10.254 dns-list 1.2.4.8 exclude-ip-address 起始IP 结束IP lease 1 static-bind ip-address xx.xx.xx.xx mac-address xxxx-xxxx-xxxx dhcp enable int gi0/0/1 dhcp select global |
DHCP接口
PLAINTEXT
|-----------------------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 | dhcp enable int gi0/0/1 dhcp select interface dhcp server gateway-list 192.168.10.254 dhcp server dns-list 1.2.4.8 dhcp server exclude-ip-address 起始IP 结束IP dhcp server static-bind ip-address xx.xx.xx.xx mac-address xxxx-xxxx-xxxx |
DHCP中继
PLAINTEXT
|-------------------|----------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 | # 配置在用户端接口,注意路由要等通信 dhcp enable int vlanif 100 dhcp select relay dhcp relay service-ip dhcp服务器地址 |
DHCP Snooping
PLAINTEXT
|---------------------|-----------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 | dhcp snooping enable # 全局开启dhcp snooping int gi0/0/1 dhcp snooping enable int gi0/0/2 dhcp snooping trusted # 将指定接口配置为信任口(就是上联dhcp服务器的接口) |
NAT
静态NAT
- 实现私网地址与公网地址一对一映射
PLAINTEXT
|-----------------|-----------------------------------------------------------------------------------------|
| 1 2 3 4 | # 在接口视图下配置 int gi0/0/0 nat static enable nat static global 公网IP地址 inside 私网IP地址 |
PLAINTEXT
|-----------------|---------------------------------------------------------------------------------------|
| 1 2 3 4 | # 在全局下配置 nat static global 公网IP地址 inside 私网IP地址 int gi0/0/0 nat static enable |
动态NAT
PLAINTEXT
|------------------------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 | # 创建ACL,匹配需要上网的流量 acl 2000 rule permit source 192.168.10.0 0.0.0.255 # 创建地址池 nat address-group 地址池ID 起始公网IP地址 结束公网IP地址 # 创建映射 int gi0/0/0 nat outbound acl编号 address-group 地址池ID no-pat # no-pat表示不进行端口转换 |
NAPT端口映射
PLAINTEXT
|---------------|------------------------------------------------------------------------------------------------------------|
| 1 2 3 | # 静态映射,一般用于将内网服务器端口映射到外网 int gi0/0/0 nat server protocol tcp global 公网IP地址 公网端口 inside 私网IP地址 私网端口 |
PLAINTEXT
|-----------------------|---------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 | # 动态映射:用于上网 acl 2000 rule permit source 192.168.10.0 0.0.0.255 nat address-group 地址池ID 起始公网IP地址 结束公网IP地址 int gi0/0/0 nat outbound acl编号 address-group 地址池ID |
RESY IP
- 将多个IP地址映射到公网出接口IP地址的不同端口上,一般用于动态的公网IP地址
PLAINTEXT
|-------------|----------------------------------------|
| 1 2 | int gi0/0/0 nat outbound acl编号 |
防火墙
防火墙模式:透明模式、路由模式、混合模式
基本配置
PLAINTEXT
|---------------|---------------------------------------------------------------------------------------|
| 1 2 3 | # 区域配置 firewall zone 区域名 # trust、untrust、dmz add interface 接口 # 将指定接口加入指定区域 |
PLAINTEXT
|-------------------------|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 | # 配置安全策略 security-policy rule name 安全策略名 source-zone 源区域名 destination-zone 目的区域名 source-address 源IP地址 掩码 destination-address 目的IP地址 掩码 action 动作 # permit、deny |
PLAINTEXT
|---------------|---------------------------------------------------------------------------------|
| 1 2 3 | # 默认接口禁止PING,需要PING就打开 int gi0/0/0 service-manage ping permit # 允许PING |
NAT
PLAINTEXT
|-----------------|-------------------------------------------------------------------------|
| 1 2 3 4 | # 配置地址池 nat address-group 地址池名 mode pat section 0 起始IP地址 结束IP地址 |
PLAINTEXT
|---------------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 | # 配置NAT策略 nat-policy rule name nat策略名 source-zone 源区域名 # 一般是trust、dmz destination-zone 目的区域名 # 一般是untrust source-address 源IP地址 掩码 destination-address 目的IP地址 掩码 # 默认是any,不用配置 action source-nat address-group 地址池名 action source-nat easy-ip # 不用地址池,跟上面的方法二选一 |
端口映射
- untrust区域默认访问不了DMZ区域,需要配置安全策略放行
PLAINTEXT
|-----------------------|---------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 | # 配置untrust区域到DMZ区域 security-policy rule name 安全策略名 source-zone untrust destination-zone dmz destination-address 服务器IP地址 掩码 # 可选 action permit |
PLAINTEXT
|-------------|-------------------------------------------------------------------------------|
| 1 2 | # 端口映射 nat server 可选策略名 protocol 协议 global 公网IP地址 端口 inside 私网IP地址 端口 |
IPSec
静态建立
- 配置感兴趣流
PLAINTEXT
|-------------|-------------------------------------------------------------------------------|
| 1 2 | acl 3000 rule 5 permit ip source 本地需要加密的IP网段 反掩码 destination 对端网段 反掩码 |
- 配置IPSec安全提议
PLAINTEXT
|---------------|---------------------------------------------------------------------------------------------------------------------|
| 1 2 3 | ipsec proposal 安全提议名 esp authentication-algorithm sha2-256 # 认证算法 esp encryption-algorithm aes-128 # 加密算法 |
- 配置安全策略
PLAINTEXT
|---------------------------|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 | ipsec policy 安全策略名 10 manual security acl 感兴趣流编号 proposal 安全提议名 tunnel local 隧道本地地址 tunnel remote 隧道对端地址 sa spi inbound esp SA编号 # 入方向的SA编号(SA随意,两端反过来就行) sa string-key inbound esp cipher 密码 # 入反向的SA认证密钥 sa spi outbound esp SA编号 # 出方向的SA编号,同上 sa string-key outbound esp cipher 密码 # 出方向SA认证密钥,同上 |
- 在接口上应用安全策略
PLAINTEXT
|-------------|----------------------------------------|
| 1 2 | int gi0/0/0 ipsec policy 安全策略名 |
- 排除NAT的ACL
PLAINTEXT
|---------------|-------------------------------------------------------------------------------------------------------------|
| 1 2 3 | acl 3001 rule deny ip source 源地址 反掩码 destination 目的地址 反掩码 rule permit ip source any destination any |
IKE动态建立
配置IKE提议
PLAINTEXT
|-----------------|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 | ike proposal 编号 authentication-algorithm sha # 配置认证算法sal1 encryption-algorithm aes-cbc-128 # 配置机密算法位AES,128位 dh group14 # 密钥交换协议采用DH,group14表示2014bit DH交换组 |
配置IKE对等体
PLAINTEXT
|-------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 | ike peer 对等体名 v1 # 创建对等体,使用ike v1协商对等体 pre-shared-key cipher 密码 # 配置预共享密钥 ike-proposal ike提议编号 # 指定ike提议 local-address 本地IP地址 remote-address 对端IP地址 |
配置IPSec提议
PLAINTEXT
|---------------|---------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 | ipsec proposal 提议名 esp authentication-algorithm sha2-256 # 认证算法采用sha2-256 esp encryption-algorithm aes-128 # 加密算法采用aes-128 |
配置IPSec策略
PLAINTEXT
|-----------------|---------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 | ipsec policy 策略名 编号 isakmp # isakmp表示自动隧道 security acl 感兴趣流编号 ike-peer 对等体名 # 指定对等体,刚才创建的那个 proposal ipsec提议名 # 指定IPSec提议 |
应用到接口
PLAINTEXT
|-------------|---------------------------------------|
| 1 2 | int 出接口 ipsec policy ipsec策略名 |
ACAP
- 隧道转发模式:业务数据通过CAPWAP隧道的封装后再发送给AC,AC再转发给上层(业务数据走的CAPWAP隧道)
- 直接转发模式:业务数据不经过CAPWAP隧道,直接转发给上层(业务数据不经过AC)
- 创建业务、管理VLAN;AC上联口放行管理、业务VLAN;启用dhcp
PLAINTEXT
|---------------------|------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 | vlan batch 100 101 dhcp enable int vlanif 100 ip address 100.0.0.254 24 # 管理VLAN(AP的IP) dhcp select interface |
- 配置域模板,并配置国家代码
PLAINTEXT
|---------------|---------------------------------------------------------------------------------------------------|
| 1 2 3 | wlan regulatory-domain-profile name china # 创建域模板,名为china country-code CN # 国家代码为中国(默认) |
- 创建AP组,引用域模板
PLAINTEXT
|---------------|-------------------------------------------------------------------------------------------------|
| 1 2 3 | wlan ap-group name test # ap组名为test regulatory-domain-profile china # 指定域模板为刚才创建的china |
- 配置capwap隧道源接口或源地址
PLAINTEXT
|-------------|----------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 | capwap source int vlanif 100 # 指定capwap地址,就是刚才创建的管理vlan capwap source ip-address 100.0.0.254 # 上面的代码二选一,这个是直接指定capwap隧道的IP地址 |
- 配置AP设备入网认证
PLAINTEXT
|---------------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 | # 先查看AP的上线结果,然后根据mac地址绑定AP display ap all # ap设备入网认证 wlan ap auth-mode mac-auth # 指定ap上线认证方式为MAC地址认证 ap-id 1 ap-mac xxxx-xxxx-xxxx # 绑定AP的MAC地址,指定AP的ap-id ap-group test # 将该AP加入test组 ap-name ap1 # 将ap的名字配置为安ap1 |
- 创建安全模板,配置用户认证方式
PLAINTEXT
|-----------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 | wlan security-profile name sec_work # 创建安全模板,名为sec_work security 认证方式 模式 pass-phrase 密码 加密算法 # 配置wlan相关的认证方式、密码、算法 security wpa-wpa2 psk pass-phrase 12345678 aes # 密码为12345678 |
- 创建ssid模板,配置SSID名
PLAINTEXT
|---------------|--------------------------------------------------------------------------------------|
| 1 2 3 | wlan ssid-profile name ssid_work # ssid的模板名为ssid_work ssid wifi名 # 配置wifi名 |
- 配置VAP模板,设置为隧道模式,配置用户的VLAN,绑定安全模板、SSID模板
PLAINTEXT
|---------------------|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 | wlan vap-profile name vap_work # VAP模板名为vap-work forward-mode tunnel # 配置转发模式为隧道,默认为直接转发模式direct-forward service-vlan vlan-id 101 # 指定业务网段为101 security-profile sec_work # 指定安全模板为sec_work ssid-profile ssid_work # 指定ssid的模板为ssid_work |
- 在ap组中绑定VAP模板
PLAINTEXT
|---------------|-----------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 | wlan ap-group name test vap-profile vap_work wlawn 1 radio 0 # 为ap组test绑定vap vap_work,射频为2.4G(0为2.4G、1为5G、all为全部) |
路由策略
route-policy
PLAINTEXT
|---------------------------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 1 2 3 4 5 6 7 8 9 10 11 | # 创建acl acl 2000 rule permit source 192.168.10.0 0.0.0.255 # 将acl与route-policy绑定 route-policy 路由策略编号 permit node 10 if-match acl acl编号 # 将route-policy应用到路由 ospf 1 import direct route-policy 路由策略编号 |
Qos流控
PLAINTEXT
|---------------|------------------------------------------------------------|
| 1 2 3 | # 创建流分类 traffic classifer 流分类编号 if-match acl acl编号 |
PLAINTEXT
|-----------------|-------------------------------------------------------------------------------------------------|
| 1 2 3 4 | # 创建流行为 traffic behavior 流行为编号 redirect ip-nexthop 下一跳地址 行为 # permit或deny,与上面的下一跳二选一就行 |
PLAINTEXT
|---------------|---------------------------------------------------------------------|
| 1 2 3 | # 创建流策略 traffic policy 流策略编号 classifer 流分类编号 behavior 流行为编号 |
PLAINTEXT
|---------------|-------------------------------------------------------------------------------|
| 1 2 3 | # 在接口上应用策略 int gi0/0/0 traffic-policy 流策略编号 方向 # 方向:outbound、inbound |
下午理论
出口负载均衡
- 基于目的地址的策略路由
- 基于源地址的策略路由
- 基于流量的负载均衡策略
- 基于应用协议的策略路由
- 流量根据链路带宽分担
- 流量根据链路优先级负载分担
传输线缆
光纤的优缺点
优点:带宽大、体积轻、传输距离远、抗电磁干扰、安全性高(防监听)
缺点:成本高、脆弱、需要使用转换设备(SPF光模块)
测试标准:
- 使用光功率计 测试光纤的光衰 ,正常光衰在**-25db**
- 使用光时域反射计 检测光纤的故障位置,发现光缆断裂点
- 回光损耗测试,光衰过大时可能是熔接问题、光纤弯度问题、光纤质量问题
双绞线的优缺点
优点:成本较低、灵活性好、抗拉伸
缺点:传输距离有限、带宽相对较低、安全性较低
测试标准:连通性、衰减、近端串扰、链路长度等
逻辑网络设计
- 核心层:负责高速转发,将多个汇聚层连接起来,提供Internet所需的路由服务
- 汇聚层:策略控制,实现资源访问控制和流量控制,数据转发和交换
- 接入层:用户接入
| 类别 | 路由器 | 三层交换机 |
|---|---|---|
| 应用场景 | 网络出口、骨干网 | 局域网、园区网、城域网 |
| 功能 | NAT、PPPoE、SDH等 | VLAN、ACL、STP、堆叠等 |
| 性能 | 一般路由器性能低于交换机,骨干网核心路由器性能强 | 整体性能较高 |
| 成本 | 较高 | 低 |
| 总体 | 多面手,支持多种协议:以太网、SDH、ATM等 | 专用,以太网、FC、ATM、帧中继交换机 |
网络主要的冗余方案(设备和链路都要做冗余)
- 出口做冗余:多出口设备做主备、负载均衡
- 核心层:堆叠、VRRP、双电源、双引擎、多台核心层设备
- 汇聚层:与核心层之间做MSTP、链路聚合,堆叠
AC的部署位置
旁路部署:网络更可靠、扩展性更高、灵活、简化管理;缺点是延迟增加
直连部署:存在单点故障、性能瓶颈、扩展性不高、延迟更低
接入层部署:不能很好的利用AC的NAT等功能,稳定性差,与其他区域的工作站访问距离远导致效率低
综合布线标准
- 配线子系统应使用吊顶、墙体内穿管、桥架等方式敷设
- 建筑群之间的线缆使用地下管道敷设
- 线缆应远离高温和电磁干扰场所
- 管线弯管的半径应该符合规范要求
常见安全防护
DDOS
- 购买流量清洗服务
- 停用不必要的端口
- 使用防火墙上的防DDOS功能、部署IPS等
TCP泛洪
- 使用防火墙,用来将异常的TCP连接请求都丢弃或拒绝
- 使用负载均设备
- 使用IDS、IPS系统来检测和阻止这些流量
割接
核心交换机升级需要考虑的因素
- 设备性能:要满足业务高峰期的需要
- 接口满足业务需要,带宽满足业务高峰期需要,支持堆叠等
- 关键硬件冗余(风扇、引擎、电源),保证系统的可用性
- 适当考虑未来扩展
核心交换机网络割接的流程
- 对现网的核心交换机配置做备份
- 安装部署新的核心交换机,完成设备配置
- 将核心交换机接入路由器,测试网络连通性
- 将汇聚层交换机加入核心交换机,测试下面的设备能否联网
- 完成所有区域割接后,将旧的核心交换机下线
RIP版本的区别
| RIPv1 | RIPv2 |
|---|---|
| 有类路由标识符,不支持CIDR、VLSM | 无类路由标识符,支持CIDR、VLSM |
| 不支持传递子网掩码 | 支持传递子网掩码,能支持更精准的路由匹配和划分 |
| 使用广播更新,浪费带宽 | 使用组播、单播更新,减少网络流量和带宽的消耗 |
| 不支持路由认证 | 支持路由认证是,提高了安全性 |
| 最大15跳,限制了应用范围 | 支持多跳,更灵活、可扩展 |
RIP和OSPF的区别
| RIP | OSPF | |
|---|---|---|
| 算法原理 | 使用距离矢量算法 | 使用SPF最短路径优先算法 |
| 适用范围 | 适用小型网络 | 适用大中型网络 |
| 功能特性 | 配置简单,容易环路、收敛慢、可拓展性差 | 不会产生环路,负载分担 |
功能特性拓展OSPF:
- 采用组播形式收发报文,这样可以减少对其他不运行OSPF协议路由器的影响
- 支持无类域间路由CIDR
- 支持对等价路由进行负载分担
- 支持OSPF报文加密
OSPF宣告的优先级为10,引入的优先级为150;RIP的优先级为100
堆叠优缺点
优点
- 可靠性高
- 强大的拓展能力
- 简化配置和管理,对于上下游来说就相当于一台物理设备
缺点
- 对设备型号要求高,堆叠协议私有
- 需要专用的线缆做堆叠
- 堆叠成本高
VRRP
虚拟路由冗余协议,解决局域网中配置静态网关出现单点失效现象的路由协议,可以配置一个设备集群;
运行VRRP的一组路由器对外组成了一个虚拟路由器,其中一台路由器处于Master状态,另一台属于Backup状态;
当Master设备出现故障时,Backup设备就可以迅速变为Master进行服务,该切换对用户来说是透明的;
VRRP中可以配置一条心跳线 来作为两设备之间相互检测对端状态的链路,当检测不到对端设备时,就会改本自身状态来接替对方(Backup变成Master)
光纤配线架基本功能
- 光纤固定
- 光纤熔接
- 光纤配接
- 光纤存储