软考网络工程师下午考试知识点整理

设置端口为接入链路模式：switchport mode access
把某个端口分配：switchport access vlan11
no shuntdown开启端口

standby 1 ip 203.12.12.253 开启了冗余热备份（HSRP）并设虚IP地址
standby 1 priority 110 定义这个三层交换机在冗余热备份组1中的优先级为110
standby 1 preempt 设置切换许可，即抢占模式

优先级的范围：1-254
优先级0为系统保留给特殊用途
优先级255系统保留给IP地址拥有者
默认情况下 优先级的取值是100

ISL VLAN ID最大为1023

查询路由表的命令 show ip route

路由器的配置模式：
router(config) # 全局模式
router > 用户模式
router # 特权模式
router (config-if) # 局部配置模式（接口/端口配置模式）

接口使用帧中继封装格式，命令：encapsulation frame-delay

IPSec不是一个单独的协议，给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AH，封装安全载荷协议ESP，密钥管理协议IKE和用于网络认证及加密的一些算法。
IPSec规定了如何在对等层之间选择安全协议，确定安全算法，密钥交换，向上提供了访问控制，数据源认证，数据加密等网络安全服务

IPsec有隧道和传输两种工作方式
传输模式：为上层协议提供安全保护，保护IP包的有效载荷（保护的是上层协议如TCP UDP ICMP）
隧道模式：为整个IP包提供保护。
有新IP头的是隧道方式
有ESP的支持报文加密
端到端通信采用传输模式

IPSec安全体系
包括AH, ESP,ISAKMP/Oakley
IPSec认证头提供了数据完整性和数据源认证，不提供保密服务
AH包含对称密钥散列函数，使得第三方无法修改传输中的数据
AH为IP包提供信息源和报文完整性验证，不支持加密服务
IPSec封装安全负荷（ESP）提供了数据加密功能。ESP利用对称密钥对IP数据（如TCP包）进行加密。

IKE：
IKE 传送认证和加密数据之前，就协议，加密算法，使用的密钥进行协商，在密钥交换前还要对远程系统进行初始认证
IKE实际上是ISAKMP OAKLEY SKEME的混合体

在路由器R1中简历IKE策略：
R1(config)#crypto isakmp policy 110 进入isakmp配置模式
R1(config-isakmp)# encryption des 采用des加密算法
R1(config-isakmp)#hash md5 采用MD5散列算法
R1(config-isakmp)#authentication pre-share 认证采用预共享密钥
R1(config-isakmp)#group 1 参数1表示密钥使用768位密钥，参数2表示使用1024密钥
R1(config-isakmp)# lifetime 3600 安全关联生存期为1天

R2 R1之间采用预共享密钥 12345678建立IPsec安全关联
R1：crypt isakmp key 12345678 address+IP地址
R2：crypt isakmp key 12345678 address

设置名为testvpn的VPN，采用MD5认证，DES进行数据加密
crypto transform-set testvpn ah-md5-hmac esp-des esp-md5-hmac

crypto map名为test 优先级20 IPSec采用IKE自动协商
crypto map test 20 ipsec-isakmp

指定此VPN线路，对端的IP地址为192.168.1.1
set peer 192.168.1.1

IPSec传输模式的名字为testvpn
set transform-set testvpn

access-list 300 permit ip 192.168.100.0 0.0.0.255
crypto map vpntest 1 ipsec-isakmp 创建crypto map名字为vpntest
set peer 202.100.2.3
set transform-set link 指定传输模式为link
match address 300 指定应用访问控制列表
interface serial10/0
crypto map vpntest 将加密图应用到接口vpntest

默认路由是特殊的静态路由
当路由表中与目的地址之间没有匹配的表项时路由器能够做出的选择
默认路由大大简化路由器的配置，减轻管理员的工作负担，提高网络性能

ip nat inside指定与内部网络相连的内部端口
ip nat outside指定与外部网络相连的外部端口

解决无线AP安全，需要通过SSID和MAC地址过滤防止非法链接

无线网络加密方式：
WEP 有线等效私密
WPA/WPA2 （wifi protected access）使用TKIP，加密算法RC4
WPA-PSK/WPA2-PSK AES（高级加密算法）

单模多模
单模兼容多模
单模光纤：远程通讯，100M以太网以及1G千兆网，都支持5km的传输距离
多模光纤：10mbps-100mbps 2000m
1Gbps 550m
10Gbps 100m
基带同轴电缆
宽带同轴电缆
双绞线：100m以内
1类双绞线
5类双绞线
6类双绞线：传输速率1Mhz-250Mhz 提供两倍于超5嘞的带宽，适于传输速率高于1Gbps的应用
2km超出了双绞线，多模光纤距离

200m超出了双绞线距离

MPLS：IP数据报封装在MPLS数据包中
MPLS VPN有三种类型路由器：
P路由器：运营商网络主干路由器，根据分组的外层标签对VPN数据进行透明转发。相当于标签交换路由器（LSR），只维护到PE路由器的路由信息，不维护VPN相关路由信息
PE路由器：运行商边缘路由器，LER，将来自CE或标签交换路径（LSP）的VPN数据处理后进行转发，同时负责和其他PE交换信息
CE路由器：用户边缘设备，用户端路由器。CE通过连接一个或多个PE，为用户提供服务接入

debug：提供端口传输信息，节点产生的错误信息

POE的标准供电电压为48V

三种NAT-PT机制实现IPV4到IPV6地址之间的相互转换：
1。静态映射
2.动态映射
3. NAPT-PT机制

策略路由：
根据目的地址进行的策略：目的地址路由
根据源地址进行的策略：源地址路由

NAPT 网络地址和端口翻译 M:1
用一个公网IP地址将子网中的所有主机的IP地址都隐藏起来

conduct permit tcp host 202.134.135.99 eq www any
允许任意外网主机访问202.134.135.99提供的www服务

PAP使用明文身份验证
CHAP通过使用MD5和质询-响应机制提供一种加密身份验证

PPTP和L2TP是两种隧道协议，都是使用PP协议对数据进行封装，添加附加包头用于数据在互连网络上的传输

PPP会话拨号过程：
创建链路阶段，认证阶段，网络协商阶段
创建链路：由LCP创建链路，协商工作方式，认证方式，链路压缩。协商成功后，表示底层链路已经建立，进入到认证阶段。
认证阶段：PPP进行用户认证。支持PAP和CHAP两种认证方式。CHAP需要对通信双方进行认证，PAP是认证方对被认证方的身份进行确认，确认成功后进入网络协商阶段
有限的认证方式：口令字认证协议（PAP）挑战握手认证协议（CHAP）微软挑战握手认证协议（MS-CHAP）
网络协商阶段：成功后，通过PP链路发送报文。NCP协议交换数据报文、

创建PPP链路，用户验证，PPP回叫控制，调用网络层协议

linux系统的默认目录
每个目录的含义 P407

文件类型 d代表目录 -代表普通文件

更改文件的权限的命令 chmod
chmod [who] [opt] [mod]
chgrp改变文件所属群组
vi编辑文件
which查找文件

Linux系统中的Samba的主要配置文件/etc/samba/smb.conf
smb.conf文件中有3个主要部分：
全局参数字段
目录共享字段
打印机共享字段

inetd/xinetd是Linux系统中的一个重要服务
xinted负责网络服务的守护进程

r w x 可读 可写 可执行

RDU2对终端服务具有用户访问和来宾访问权限

Windows Server 2003的活动目录必须安装在NTFS分区，并且需要有DNS服务的支持
全局组可以访问域林中的任何资源的权限，域本地组只能访问本地域的资源，通用组可以授予多个域中的访问权限

netstat - nr显示路由信息
route add default gw 192.168.0.254添加网关为默认路由

/etc/fstab是一个重要的系统配置文件，存放系统中文件系统的信息。系统启动时，自动从这个文件读取信息，自动将此文件中指定的文件系统挂载到指定的目录。
超级用户可以通过Mount命令将分区加载到指定目录，从而该分区可以在Linux系统中使用

etc/profile每个用户登录时都会运行的环境变量设置

fdisk指令是Linux下通用的磁盘分区工具，可以操纵磁盘分区表，完成对硬盘分区进行管理的各种操作

默认路由：
变种的静态路由，当路由器在路由表里没有找到去往特定目标网络的路由条目时，自动将该目标网络的所有数据发送到默认路由指定的下一跳路由器

esp 3des sha1
IPSec采用ESP报文，加密算法采用3DES 认证算法采用SHA-1

Hosts文件：
用于存储计算机网络中节点信息的文件，将主机名映射到相应的IP地址，实现DNS功能，由计算机用户控制
windows系统下：c:\windows\system32\drivers\etc\

Linux服务器配置web服务之前，执行命令[root@root] rpm -qa | grep httpd 检查Apache软件包是否成功安装

RPM：red hat package manager
用于在Linux下安装，删除软件
RPM常用参数：
-vh显示安装进度
-U升级软件包
-qpl列出RPM软件包内的文件信息
-qpi列出RPM软件包的描述信息
-qf查找指定文件属于哪个RPM文件包
-Va校验素有RPM软件包，查找丢失的文件
-qa查找相应文件 例如rqm -qa mysql

WEB服务配置完成后，用service httpd start启动web服务

显示当前DNS缓存：ipconfig/displaydns
刷新DNS缓存：ipconfig/flushdns
更新所有DHCP租约并重新注册DNS域名：ipconfig/registerdns

Record T也字段为4，存储记录是MX
2，存储记录 IP地址对应的域名（反向解析）
12 PTR

perimit tcp host 192.168.1.2 host 10.10.1.10 eq telnet
使得内网主机192.168.1.2可以使用Telnet对web服务器进行维护

访问控制列表
可以用编号和名字来引用
用名字引用的ACL被称为命名ACL
扩展访问列表：能够基于目的地址，端口号和协议来控制数据报

标准ACL命令格式：
access-list access-list-number {perimit|deny] {source [source-wildcard] |any}
扩展ACL格式：
access-list access-list-number {perimit|deny} {protocol \ protocol-keyword} {source [source-wildcard] |any } {protocol-specific options} {destination [destination-wildcard] |any} {protocol-specific options} {log}
e.g. access-list 101 permit tcp any host 192.168.10.30
允许所有主机访问192.168.10.30
access-list 101 permit tcp 192.168.3.0 0.0.0.255 host 192.168.10.20
允许192.168.3.0访问192.168.10.20

int vlan 10
ip access-group 101 in 在vlan10的入方向上应用acl 101
access-list 102 deny any any 拒绝所有流量
int vlan 1
ip access-group 102 in 禁止非网络管理员访问网络设备和网管服务器

配置mac和ip绑定：
host pcl {
hardware
fixed-address
}

两台web服务器采用同一域名主要是对web服务实现负载均衡或防止单点失效

测试DNS服务器是否正常工作;nslookup ping

vsftpd：
应用层FTP协议
传输层TCP协议，默认端口号21
service vsftpd start
service vsftpd stop

利用windows系统开启ICS连接共享功能，实现企业内部用户代理上网需要两个网络连接（不一定是两张网卡）。需要再一个网络连接上开启ICS功能后，另一个网络连接自动分配192.168.0.1的地址，并且作为内部用户主机的网关

windows下DHCP服务器的默认地址租约是8天

DHCP作用域：添加保留
DHCP地址池：添加排除地址范围

DHCP功能配置：
ip dhcp excluded-address 192.168.2.1 192.168.2.2
ip dhcp pool_name
network 192.168.0.0 255.255.0.0 为所有客户机动态分配的地址段
domain-name csai.com 为客户机配置域后缀
dns-server 192.168.1.1
netbios-name-server 192.168.1.1 为客户机配置wins服务器，没有可以不用配置
lease 10 地址租约期限为10天
default-router 192.168.1.2 为客户机配置默认的网关地址

IIS下web服务配置，网站属性中“网站”选项卡中的IP地址选择“全部未分配”，则该web服务器任意IP地址（如果服务器有多个IP地址的话）都可以响应来自web客户端的请求

虚拟主机：
windos下web服务器实现虚拟主机，在一台计算机上运行多个网站
不同的IP地址
相同的IP地址，不同的TCP端口号
相同的IP地址，相同的TCP端口号，不同的主机头

防火墙配置：
PIX(config)#interface ethernet0 anto
interface ethernet1 100full
interface ethernet2 100full
ip address outside ip 掩码
ip address inside ip 掩码
ip address dmz ip 掩码
global (outside) 1 224.4.5.1-224.4.5.6 指定公网地址范围，定义地址池
nat (inside) 1 0.0.0.0 0.0.0.0 表示内网的所有主机都可以访问外网
route outside 0 0 224.4.5.2 设置默认路由

配置网关地址为Linux服务器的内网卡地址
指定DHCP服务器本身也是DNS服务器 P471

客户机地址租约时间到达默认租约时间的50Z%.DHCP客户端会向DHCP服务器单播DHCP request包，实现续约请求。同意DHCP ACK 不同意 DHCP NAK

windows环境下添加/删除静态或默认路由命令格式：
route add 0.0.0.0 mask 0.0.0.0 网关地址 //添加默认路由
route delete 0.0.0.0 删除默认路由
route delete 0.0.0.0 mask 0.0.0.0 删除默认路由
route add 192.168.1.0 mask 255.255.255.0 吓一跳地址（网关地址） //添加静态路由
route delete 192.168.1.0 //删除一条静态路由

windows下DHCP用命令行导入导出DHCP数据库的命令：
导出：netsh dhcp server export c:\dhcpbackup.txt
导出：netsh dhcp server import c:\dhcpbackup.txt
必须具有本地管理员组（Administrators组）权限才能导出数据

telent端口23

Linux系统目录结构
/etc 系统配置文件
/sbin 指令文件（用于root用户）
/home 用户主目录，新建用户后，该用户的源文件默认建立在此目录下
/boot 内核和启动文件
/dev 设备文件
/usr 应用程序放置目录
/mnt 光驱
/tmp 临时文件
/root root用户主目录
/opt 空文件夹
/proc 内存中实际参数和内核的映像，此文件夹的文件不宜改动
/lib 类库，用于动态加载内核
/lost+found 恢复误删除文件

在linux系统中，每张网卡都有其独有的配置文件，网卡配置文件根目录为/etc/sysconfig/network-scripts/
网卡参数配置文件配置完成后，需要重启网卡脚本，配置内容才能生效
/etc/rc.d/init.d/network restart //脚本启动

测试DNS服务器状态的命令：ping tracert nslookup
arp：维护和查看arp记录，与DNS无关
ipconfig：查看网卡参数，如IP地址，子网掩码，默认网关，DNS服务器地址等，不能测试DNS服务状态

网络服务：DNS DHCP WINS服务组件

宽带接入技术：
FTTx+PON HFC FTTx+LAN WLAN WiMax xDSL PLC
FTTx+PON 局端放置OLT，单根光纤到小区或大楼中心机房，中心机房经光分器连接到用户端ONU
HFC：基于有线电视网络的接入方式，允许用户通过有线电视网实现高速接入互联网。
优点速率较高，接入方式方便，可实现多类视频服务，高速下载
用户端要部署CableModem
FTTx+LAN：通过光纤接入到小区节点或者楼道，再由网线连接到各个共享点上的光纤，提供一定区域的高速互联接入。速率高，抗干扰能力强，缺点是一次性布线成本高
xDSL：本地环路提供数字服务，ADLS，ADLSMODEM
WiMax：全球微波互联接入 802.16 50km QOS保障，传输速率高，业务丰富
PLC：电力线通信技术，指利用电力线传输数据和媒体信号的一种通信方式，电力线载波

PON技术是未来FTTx的主要解决方案。GPON EPON
EPON结合以太网和PON，实现上下行1.25Gbps