【文章內(nèi)容簡(jiǎn)介】 tream 8 Mbps downstream 768 Kbps upstream 內(nèi)容概要 ? Inter簡(jiǎn)介 —一個(gè)全局的視圖 ? OSI參考模型 vs. TCP/IP協(xié)議集 ? 以太網(wǎng)原理 —集線器 vs. 交換機(jī) ? IP協(xié)議 —編址、路由、訪問控制、地址翻譯 ? 高層應(yīng)用 —DNS、 HTTP、 FTP、 Email ? 傳輸介質(zhì)與結(jié)構(gòu)化布線 ? 網(wǎng)絡(luò)管理 ? 網(wǎng)絡(luò)管理經(jīng)驗(yàn)分享 IP地址 特殊用途的 IP地址 1. 全 0的網(wǎng)絡(luò)號(hào)碼，這表示“本網(wǎng)絡(luò)”或“我不知道號(hào)碼的這個(gè)網(wǎng)絡(luò)”。 2. 全 1的網(wǎng)絡(luò)號(hào)碼。 3. 全 0的主機(jī)號(hào)碼，這表示該 IP地址就是網(wǎng)絡(luò)的地址。 4. 全 1的主機(jī)號(hào)碼，表示廣播地址，即對(duì)該網(wǎng)絡(luò)上所有的主機(jī)進(jìn)行廣播。 5. 全 0的 IP地址，即 。 6. 網(wǎng)絡(luò)號(hào)碼為 .，這里 。這樣的網(wǎng)絡(luò)號(hào)碼用作本地軟件回送測(cè)試（ Loopback test）之用。 7. 全 1地址 ，這表示“向我的網(wǎng)絡(luò)上的所有主機(jī)廣播”。原先是使用 。 8. 私有地址： IP地址重要特點(diǎn) I. IP地址是一種非等級(jí)的地址結(jié)構(gòu)。這就是說，和電話號(hào)碼的結(jié)構(gòu)不一樣， IP地址不能反映任何有關(guān)主機(jī)位置的地理信息。 II. 當(dāng)一個(gè)主機(jī)同時(shí)連接到兩個(gè)網(wǎng)絡(luò)上時(shí)（作路由器用的主機(jī)即為這種情況），該主機(jī)就必須同時(shí)具有兩個(gè)相應(yīng)的 IP地址，其網(wǎng)絡(luò)號(hào)碼 id是不同的，這種主機(jī)成為多地址主機(jī)（ multihomed host） . III. 按照 Inter的觀點(diǎn)，用集線器或交換機(jī)連接起來的若干個(gè)局域網(wǎng)仍為一個(gè)網(wǎng)絡(luò)，因此這些局域網(wǎng)都具有同樣的網(wǎng)絡(luò)號(hào)碼 id. IV. 在 IP地址中，所有分配到網(wǎng)絡(luò)號(hào)碼 id的網(wǎng)絡(luò)（不管是小的局域網(wǎng)還是很大的廣域網(wǎng)）都是平等的。 IP地址的表示 IP地址的分配 Addressing Without Subs 一個(gè)網(wǎng)絡(luò)內(nèi)主機(jī)數(shù)目過多，會(huì)影響機(jī)器的效率，給維護(hù)帶來困難。 劃分子網(wǎng) Sub Addressing Sub Mask 子網(wǎng)掩碼 Decimal Equivalents of Bit Patterns ?Subs not in use—the default 網(wǎng)絡(luò)號(hào)的計(jì)算 ? Network number extended by eight bits 網(wǎng)絡(luò)號(hào)的計(jì)算 網(wǎng)絡(luò)號(hào)的計(jì)算 ? Network number extended by ten bits ARP（ Address Resolve Protocol）地址解析協(xié)議 ? 作用：查找目的主機(jī)的 MAC地址 ? 源站點(diǎn)在網(wǎng)絡(luò)中廣播 ARP請(qǐng)求，目的站點(diǎn)收到請(qǐng)求后發(fā)送單播的 ARP應(yīng)答，告訴源站點(diǎn)自己的 MAC地址，源站點(diǎn)將所得到的目的站點(diǎn)的 IP地址與 MAC地址對(duì)存入本機(jī) ARP表，之后將待發(fā)送 IP包封裝在以太幀中發(fā)給目的站點(diǎn)。 ? 源站點(diǎn)在發(fā)送 IP包前，先比較自己與目的站點(diǎn)的網(wǎng)絡(luò)號(hào)是否相同，若相同，則調(diào)用 ARP過程查對(duì)方的 MAC地址，直接將包發(fā)給對(duì)方；若不同，則查找缺省網(wǎng)關(guān)的 MAC地址，先將包發(fā)給路由器，由路由器選擇合適路徑將包轉(zhuǎn)發(fā)到目的主機(jī)。 TCP/IP 地址轉(zhuǎn)換 Domain Name System Query 域名查詢 IP Address IP地址 Network Address Host Address Host Name Network Name Amanders . Domain Name 域名 Address Resolution Protocol Query 地址解析查詢 00C017 850022 MAC Address 物理地址 VariableLength Sub Mask 可變長(zhǎng)子網(wǎng)掩碼 ? Sub : ? Sub with one mask (/27) ? Then further sub one of the unused /27 subs into multiple /30 subs VLSM中網(wǎng)絡(luò)號(hào)的計(jì)算 VLSM Example Route Summarization路由匯聚 ? Routing protocols can summarize addresses of several works into one address ? CIDR(Classless InterDomain Routing) 無類域間路由 Summarizing Within an Octet VLSM掩碼表示舉例 ? Supports hostspecific routes, blocks of works, default routes ? Routers use the longest match /32 Host /27 Sub /24 Network /16 Block of Networks /0 Default ?為轉(zhuǎn)發(fā)數(shù)據(jù)包，路由器需要： ? 發(fā)現(xiàn)可能的路由 ? 選擇最優(yōu)路由 ? 維護(hù)路由信息 路由 ? Routers must learn destinations that are not directly connected. 路由表 ?Static Route靜態(tài)路由 ? 網(wǎng)絡(luò)管理員手工配置 ?Dynamic Route動(dòng)態(tài)路由 ?由路由協(xié)議依據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和流量變化情況自動(dòng)生成 靜態(tài)路由 vs. 動(dòng)態(tài)路由 Static Route Example ? This is a unidirectional route. You must have a route configured in the opposite direction. Default Routes 缺省路由 ? This route allows the stub work to reach all unknown works beyond router A. ? 交換路由信息 ? 維護(hù)路由表 路由協(xié)議 Routing Protocols ? 路由器使用路由協(xié)議交互路由信息。路由協(xié)議分為兩種：內(nèi)部網(wǎng)關(guān)協(xié)議和外部網(wǎng)關(guān)協(xié)議。 ? 外部網(wǎng)關(guān)協(xié)議 — 在自治系統(tǒng)（ AS）之間進(jìn)行路由，包括邊界網(wǎng)關(guān)協(xié)議 BGP（ Border Gateway Protocol ）。 ? 內(nèi)部網(wǎng)關(guān)協(xié)議 — 運(yùn)行在自治系統(tǒng)內(nèi)部，包括： ? RIP (Routing Information Protocol) ? IGRP (Interior Gateway Routing Protocol) ? EIGRP (Enhanced Interior Gateway Routing Protocol) ? OSPF (Open Shortest Path First) ? An autonomous system is a collection of works under a mon administrative domain. ? IGPs operate within an autonomous system. ? EGPs connect different autonomous systems. Autonomous Systems: Interior or Exterior Routing Protocols 數(shù)據(jù)在路由器中傳輸?shù)倪^程 ? 數(shù)據(jù)從源發(fā)送時(shí)進(jìn)行封裝，成為 bit流。 數(shù)據(jù)在路由器中傳輸?shù)倪^程 ? 到達(dá)路由器前的幀格式 數(shù)據(jù)在路由器中傳輸?shù)倪^程 ? 源端的路由器解封裝數(shù)據(jù)包，察看源、目的地的 IP地址 數(shù)據(jù)在路由器中傳輸?shù)倪^程 ? 查詢路由表得到下一跳地址 Routing Table S C C 數(shù)據(jù)在路由器中傳輸?shù)倪^程 ? 再封裝成 PPP的幀，通過串行口發(fā)往下一跳路由器 數(shù)據(jù)在路由器中傳輸?shù)倪^程 ? 經(jīng)過下一跳路由器的解封裝、查詢路由表，將數(shù)據(jù)再進(jìn)行封裝發(fā)往目的地。 Application Presentation Session Transport Network Data Link Physical Application Presentation Session Transport Network Data Link Physical Router Switch Hub 集線器，交換機(jī)，路由器 中繼器 /集線器 ?工作在物理層 ?轉(zhuǎn)發(fā)所有的幀，包括錯(cuò)誤幀 ?不能分隔開碰撞區(qū)域 ?不能隔離廣播域 ?不影響物理或網(wǎng)絡(luò)地址 網(wǎng)橋 /交換機(jī) ?工作在數(shù)據(jù)鏈路層 ?有選擇地轉(zhuǎn)發(fā)幀 ?不轉(zhuǎn)發(fā)錯(cuò)誤幀 ?可以隔離碰撞域 ?不隔離廣播域 ?不影響物理或網(wǎng)絡(luò)地址 路由器 ?工作在網(wǎng)絡(luò)層 ?有選擇地轉(zhuǎn)發(fā)幀 ?不轉(zhuǎn)發(fā)錯(cuò)誤幀 ?可以隔離碰撞域 ?可以隔離廣播域 ?可以對(duì)協(xié)議濾波 ?可以影響物理地址但不影響網(wǎng)絡(luò)地址 ICMP（ Inter Control Messages Protocol） ? IP協(xié)議在差錯(cuò)控制中的作用？ ? ICMP用于傳遞網(wǎng)絡(luò)層的控制信息，提供差錯(cuò)報(bào)告。 ? ICMP不會(huì)生成自己的差錯(cuò)消息。 目標(biāo)不可達(dá) ? ICMP實(shí)現(xiàn)的主要功能有 ： ? 向 源主機(jī) 發(fā)送目的主機(jī)不可到達(dá)信息 ? 回聲請(qǐng)求 /應(yīng)答 (ping) ? 出現(xiàn)情況： ? 當(dāng)目的地網(wǎng)絡(luò)不可達(dá)時(shí) ? 當(dāng)目標(biāo)主機(jī)不可達(dá)時(shí) ? 當(dāng)協(xié)議不可達(dá)時(shí) ? 當(dāng)端口不可達(dá)時(shí) ACL（ Access Control List）訪問控制列表 ? ACLs是一系列運(yùn)用到網(wǎng)絡(luò)地址或者上層協(xié)議上的允許或拒絕指令的集合。 ACL指令 ? 一個(gè) ACL就是一組指令，規(guī)定數(shù)據(jù)報(bào)如何： ? 進(jìn)入路由器的某個(gè)端口 ? 在路由器內(nèi)的轉(zhuǎn)送 ? 離開路由器的某個(gè)端口 ? ACL允許控制哪些客戶端可以訪問的網(wǎng)絡(luò)。在 ACL中的條件可以是： ? 篩選某些主機(jī)允許或者禁止訪問的部分網(wǎng)絡(luò) ? 允許或者禁止用戶訪問某一類協(xié)議，如 FTP， HTTP等。 ACL指令 ? ACL指令的放置順序是很重要的。當(dāng)路由器在決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報(bào)的時(shí)候， Cisco的 IOS軟件，按照 ACL中指令的順序依次檢查數(shù)據(jù)報(bào)是否滿足某一個(gè)指令條件。 當(dāng)檢測(cè)到某個(gè)指令條件滿足的時(shí)候，就不會(huì)再檢測(cè)后面的指令條件。 ? 在每一個(gè)路由器的端口，可以為每一個(gè)支持的 Routed Protocols創(chuàng)建 ACL。對(duì)于某些協(xié)議，可以創(chuàng)建多個(gè) ACL：一個(gè)用于過濾進(jìn)入端口的數(shù)據(jù)流 inbound，一個(gè)用于過濾流出端口的數(shù)據(jù)流 outbound。 Inbound or Outbound ? Inbound or Outbound ? 進(jìn)入路由器的 Inbound，離開路由器的 outbound Outgoing Packet E0 S0 Ining Packet Access List Processes Permit? Source and Destination Protocol ACL的工作流程 ACL的配置 ? 創(chuàng)建一個(gè) ACL訪問控制 Router(config) accesslist access_list_number {permit|deny} {test_conditions} ? 將訪問控制綁定到接口上 Router(configif) {protocol} accessgroup access_list_number ? 關(guān)閉訪問控制列表 Router(config) no accesslist access_list_number ACL綁定到接口 ? ACL可以指定到一個(gè)或者多個(gè)端口。根據(jù)配置，可以過濾進(jìn)入或流出的數(shù)據(jù)流。 ? 對(duì)流出的數(shù)據(jù)流使用 ACL更有效，因此也更常使用。 ? 如果是針對(duì)進(jìn)入數(shù)據(jù)流的 ACL，路由器將檢查每一個(gè)數(shù)據(jù)報(bào)，看是否滿足 ACL的條件，然后才將允許的數(shù)據(jù)報(bào)發(fā)送到送出端口。 標(biāo)準(zhǔn) ACL ? 標(biāo)準(zhǔn) ACL ? 檢查源地址 ? 可以允許或者拒絕整套協(xié)議棧 ? 標(biāo)準(zhǔn) ACL（數(shù)字 1到 99），可以提供數(shù)據(jù)流過濾控制。它是基于源地址和通配掩碼。標(biāo)準(zhǔn)ACL可以允許或禁止整套 IP協(xié)議。 標(biāo)準(zhǔn) ACL指令 ? 使用標(biāo)準(zhǔn)版本的 accesslist全局配置命令來定義一個(gè)帶有數(shù)字的標(biāo)準(zhǔn) ACL。這個(gè)命令用在全局配置模式下。 ? Router(config) accesslist accesslistnumber {deny | permit} source [sourcewildcard ] ? 例如： accesslist 1 permit ? 使用這個(gè)命令的 no形式，可以刪除一個(gè)標(biāo)準(zhǔn) ACL。語法是：