终章：网络工程师

one day321

已于 2023-05-28 18:25:59 修改

阅读量408

点赞数

分类专栏：软考中级-网络工程师文章标签：集成学习开发语言

于 2023-05-09 19:43:15 首次发布

本文链接：https://blog.csdn.net/qq_55928086/article/details/130587302

版权

软考中级-网络工程师专栏收录该内容

8 篇文章 1 订阅

订阅专栏

第十章组网技术

根据考试大纲中相应的考核要求，在“组网技术”知识模块上，要求考生掌握以下方面的内容。
(1)交换机和路由器的基本概念：交换机和路由器的分类、端口，路由表。
(2)交换机配置：交换机配置方式、交换机的工作模式，基本配置， VLAN配置，VTP域的工作模式及配置。

(3)路由器配置：路由器配置方式、工作模式，接口配置，静态路由和默认路由配置，动态路由协议配置，读懂路由表。

(4) 访问控制列表：IP 访问控制列表的分类、作用及配置。

(5) IPSec配置： IPSec实现的工作流程、IPSec配置。

(6) IPv6配置： IPv6-over-IPv4 GRE 隧道配置、ISATAP 隧道配置。

(7) 配置广域网接入：配置 PPP 和 DCC、配置帧中继、配置 ISDN。

一、交换机和路由器

1.交换机基础

交换机可以根据不同的标准进行分类。按照网络构成方式来分的话，交换机分为三类：接入层交换机、汇聚层交换机和核心层交换机。按照OSI模型来划分的话，分为：二层交换机、三层交换机和四层交换机。还有一种按照硬件形态来划分，可以分成两类：盒式交换机和机框式交换机。盒式交换机是一种有固定端口数，有时也会带有少量扩展槽的交换机。机架式交换机是一种插槽式的交换机，这种交换机扩展性较好，可支持不同的网络类型，可支持更大端口密度的网络。

关于性能参数，有背板带宽、交换容量、包转发率（pps，三层转发）等等。背板带宽是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。背板带宽越高，所能处理数据的能力越强。背板带宽标志了交换机总的数据交换能力。

按照网络构成方式来分的话：那三种只是环境不同

接入层交换机、汇聚层交换机和核心层交换机并非是交换机的分类和属性，只是由其所执行的任务来划分的。它们没有固定要求，主要看网络环境的大小、设备的转发能力以及在网络结构中所处位置。例如，同一个二层交换机在不同的网络结构中，可能用在接入层，也可能用在汇聚层。当用在接入层时，该交换机被称为接入层交换机，同理，用在汇聚层时，该交换机被称为汇聚层交换机。

核心层可以提供最优的区间传输。它是网络主干部分，是整个网络性能的保障，其设备包括路由器、防火墙、核心层交换机等等。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格，它的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。因此，核心层设备采用双机冗余热备份是非常必要的，也可以使用负载均衡功能，来改善网络性能。网络的控制功能最好尽量少在骨干层上实施。

汇聚层可以提供基于策略的连接。它也被称为分布层，它是网络接入层和核心层的“中介”，用来连接核心层和接入层，处于中间位置，它在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中，应该采用支持三层交换技术和VLAN的交换机，以达到网络隔离和分段的目的。

接入层可以为多业务应用和其他的网络应用提供用户到网络的接入。通常将网络中直接面向用户连接或访问网络的部分称为接入层。因此接入层交换机具有低成本和高端口密度特性。接入层为用户提供了在本地网段访问应用系统的能力，主要解决相邻用户之间的互访需求，并且为这些访问提供足够的带宽，接入层还应当适当负责一些用户管理功能（如地址认证、用户认证等），以及用户信息收集工作（如IP地址、MAC地址、访问日志等）。

这三种类型交换机之间有不同之处：核心层交换机具有更高可靠性和吞吐量；汇聚层交换机必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路；而接入层交换机具有低成本和高端口密度特性。这三种类型交换机之间的性能对比结果是：核心层交换机>汇聚层交换机>接入层交换机。

端口类型：双绞线端口和光纤端口（这个要记一下两种光纤端口:GBIC、SFP端口）

2.路由器基础

路由器可以按照性能档次分为高、中、低档路由器。通常将路由器吞吐量大于40Gbps的路由器称为高档路由器，背吞吐量在25Gbps~40Gbps之间的路由器称为中档路由器，而将低于25Gbps的看作低档路由器。

路由器的端口类型有很多种，例如以太网接口、快速以太网接口、高速串行口等。此外，路由器还有两个配置端口，分别是“Console”和“AUX”，“Console”通常是用来进行路由器的基本配置时通过专用连线与计算机连用的，而“AUX”是用于路由器的远程配置连接用的。

路由器的端口：

- RJ-45端口：在这种端口上通过双绞线连接以太网。10Base-T的RJ-45端口标志为“ETH”，而100Base-TX的RJ-45端口标志为“10/100bTX”，这是因为快速以太网路由器采用10/100Mb/s自适应电路¹。
- **AUI端口**：这是一种D型15针连接器，用在令牌环网或总线型以太网中。路由器经AUI端口通过粗同轴电缆收发器连接10Base-5网络，也可以通过外接的AUI-to-RJ-45适配器连接10Base-T以太网，还可以借助其他类型的适配器实现与10Base-2细同轴电缆或10Base-F光缆的连接。
- **高速同步串口**：在路由器与广域网的连接中，应用最多的是高速同步串行口（Synchronous Serial Port），这种端口用于连接DDN、帧中继、X.25和PSTH等网络。通过这种端口所连接的网络两端要求同步通信，以很高的速率进行数据传输¹。
- **ISDN BRI端口**：这种端口通过ISDN线路实现路由器与Internet或其他网络的远程连接。ISDN BRI三个通道（2B+D）的总带宽为144kb/s，端口采用RJ-45标准，与ISDN NT1的连接使用RJ-45-to-RJ-45直通线¹。
- **异步串口**：异步串口（ASYNC）主要应用于与Modem或Modem池的连接，以实现远程计算机通过PSTN拨号接入¹。
- **Console端口**：Console端口通过配置专用电缆连接至计算机串行口，利用终端仿真程序（如Windows中的超级终端）对路由器进行本地配置。路由器的Console端口为RJ-45口。Console端口不支持硬件流控¹。
- **AUX端口**：对路由器进行远程配置时要使用“AUX”端口（Auxiliary Prot）。AUX端口在外观上与RJ-45端口一样，只是内部电路不同，实现的功能也不一样。通过AUX端口与Modem进行连接必须借助RJ-45 to DB9或RJ-45 to DB25适配器进行电路转换。AUX端口支持硬件流控¹。

举例来说，RJ-45 端口常用于家庭和办公室内部局域网中；AUI 端口常用于令牌环网或总线型以太网中；高速同步串行口常用于连接广域网；ISDN BRI 端口常用于远程网络连接；异步串行接口常用于拨号接入；Console 端口常用于本地配置路由器；AUX 端口常用于远程配置路由器。

路由器的操作系统：常用VRP5、VRP8。

访问路由器和交换机常用方式：

1.通过Console(控制台)端口接终端或运行终端仿真软件（第一次设置）

2.通过设备的AUX端口接Modem，

3.通过Telnet程序访问

4.通过浏览器访问

5.通过网管软件访问

交换机的配置：

PC和交换机之间使用Console电缆连接。尽管PC和交换机之间是直通线。但也可以用Console电缆连接。和下面路由器一样。

Console参数：端口速率：9600bps。无奇偶校验和流量控制。

默认配置都属于下Vlan1.

一.配置交换机的设备名称、管理VLAN、和TELNET

1. 配置管理VLAN并设置VLAN的IP。例如，将VLAN10置为管理VLAN，然后配置VLAN10的IP地址：

[Huawei]vlan 10
[Huawei-vlan10]management-vlan
[Huawei]interface Vlanif 10
[Huawei-Vlanif10]ip address 172.16.1.1 24

2. 开启telnet。开启telnet登录服务，默认是关闭的。配置登录的端口，端口介入协议为telnet。接入认证采用AAA：

[Huawei]telnet server enable
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]protocol inbound telnet
[Huawei-ui-vty0-4]authentication-mode aaa

3. 配置AAA认证。建立用户并设置密码，用户等级为15，用户采用telnet进行登录：

[Huawei]aaa
[Huawei-aaa]local-user admin password cipher admin123
[Huawei-aaa]local-user admin privilege level 15
[Huawei-aaa]local-user admin service-type telnet

二、配置交换机的接口，配置对象为接口隔离率、速率、双工等信息。

您可以使用以下华为命令来配置接口GE1/0/1和GE1/0/2的端口隔离功能，实现两个接口之间的二层数据隔离，三层数据互通：

[Huawei]system-view
[Huawei]interface GigabitEthernet 1/0/1
[Huawei-GigabitEthernet1/0/1]port-isolate enable group 1
[Huawei-GigabitEthernet1/0/1]quit
[Huawei]interface GigabitEthernet 1/0/2
[Huawei-GigabitEthernet1/0/2]port-isolate enable group 1
以上命令将接口GE1/0/1和GE1/0/2加入到端口隔离组1中，实现两个接口之间的二层数据隔离，三层数据互通。

您可以使用以下华为命令来配置交换机的接口隔离率、速率和双工：

配置接口速率。您可以根据自协商模式或非自协商模式来配置以太网接口速率。例如，在自协商模式下，配置以太网接口的接口速率：

[Huawei]system-view
[Huawei]interface interface-type interface-number
[Huawei]interface]negotiation auto
[Huawei]interface]auto speed {10 | 100 | 1000 | 2500 | 5000 | 10000} *

查看MAC地址表项的命令：

display mac-address

display interface vlanif5

mac-address static 目的MAC地址 interface-type interface-number vlan5

配置和管理VLAN

每一个VLAN对应一个广播域。

对虚拟局域网（VLAN）的配置和管理主要涉及链路和接口类型、GARP协议和VLAN的配置。以下是这几种的简要介绍：

1. 链路和接口类型：VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。

链路和接口类型，为了适应不同网络环境的组网需要，链路类型分为接入链路(Access Link)和干道链路(Trunk Link)两种链路类型。

接入链路只能承载1个VLAN的数据帧，用于连接交换机和用户终端。干道链路能承载多个不同VLAN的数据帧，用于交换机间互连或连接交换机与路由器。根据接口连接对象以及对收发数据帧处理的不同，以太网接口分为Access接口、Trunk接口、Hybrid接口和QinQ接口四种接口类型，分别用于连接终端用户、交换机与路由器以及公网与私网的互联等。

2. GARP协议：GARP（Generic Attribute Registration Protocol，通用属性注册协议）是一种用于在局域网中传输属性信息的协议。它可以用于支持VLAN和多播注册等应用。

3. VLAN的配置：

华为支持多种VLAN划分方法，包括基于接口、MAC地址、子网、网络层协议、匹配策略方式来划分VLAN。其中，基于接口划分VLAN是最简单且最常用的VLAN划分方法。以下是基于接口划分VLAN的配置步骤：

1. 执行命令`system-view`，进入系统视图。
2. 执行命令`vlan vlan-id`，创建VLAN并进入VLAN视图。
3. 执行命令`quit`，返回系统视图。
4. 执行命令`interface interface-type interface-number`，进入需要加入VLAN的以太网接口视图。
5. 执行命令`port link-type access`，配置接口类型为access。
6. 执行命令`port default vlan vlan-id`，配置接口的缺省VLAN并将接口加入到指定VLAN。

由于太多了的关系，后续关于命令的，拿书本自己记忆学。

遇到的问题：

BPDU（Bridge Protocol Data Unit，桥协议数据单元）属于生成树协议（Spanning Tree Protocol，STP）。生成树协议是一种用于防止网络环路的协议，它通过发送BPDU来交换信息并计算生成树拓扑结构。在生成树拓扑结构中，只有一条路径连接两个网络节点，从而避免了网络环路的产生。（前面有学），需要了解它的报文过滤功能。

路由器的配置：

在传统的以太网中，PC和路由器之间的连接通常使用交叉线（在这里，我们使用Console电缆连接，和上面交换机一样）。交叉线是一种特殊的网线，它的两端的接线顺序是不同的。它用于连接两台计算机或者连接计算机和路由器等不同类型的设备。

然而，现在许多现代设备都支持自动MDI/MDIX功能，这意味着它们能够自动检测并适应直连线或交叉线。因此，在这些设备中，您可以使用直连线或交叉线来连接PC和路由器。

缺省路由是一种特殊的静态路由，它用于指定当路由器无法找到与目的地址匹配的特定路由时应该采取的默认路径。下面是一个配置缺省路由的例子：
<Huawei> system-view
[Huawei] ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

在这个例子中，我们使用`ip route-static`命令来配置缺省路由。其中，`0.0.0.0 0.0.0.0`表示目的地址和掩码都为`0.0.0.0`，这是缺省路由的特殊标识。`192.168.1.1`表示下一跳地址，即当路由器无法找到与目的地址匹配的特定路由时，数据包将被发送到这个地址。

IGRP（Interior Gateway Routing Protocol，内部网关路由协议）是一种动态距离向量路由协议，它由思科公司在20世纪80年代中期设计推出。它使用跳数来确定到达一个网络的最佳路径，并使用延迟、带宽、可靠性和负载来确定最佳路由¹。

GARP（Generic Attribute Registration Protocol，通用属性注册协议），这是一种为处于同一交换网络内的交换机提供分发、传播、注册某种信息（如VLAN属性、组播地址等）的手段。

区别：IGRP是一种路由协议，用于在网络中确定到达目标网络的最佳路径；而GARP是一种用于在交换网络中分发、传播和注册信息的协议。

IS-IS（Intermediate System to Intermediate System，中间系统到中间系统）是一种链路状态路由协议。每台路由器都会生成一个LSP（Link State Packet，链路状态报文），它包含了该路由器所有使能IS-IS协议接口的链路状态信息。通过与相邻设备建立IS-IS邻接关系，互相更新本地设备的LSDB（Link State Database，链路状态数据库），可以使LSDB与整个IS-IS网络的其他设备的LSDB实现同步。然后根据LSDB运用SPF（Shortest Path First，最短路径优先）算法计算出IS-IS路由。

LSP是组成IS-IS链路状态数据库最基本的元素，它描述了路由器的接口及所连网络的信息，包括接口所连网络的子网、类型、开销等信息。

LSDB是IS-IS协议中子网无关功能的核心，它存储了整个网络的拓扑信息。每台IS-IS路由器都具备描述整个拓扑的一致的链路状态信息库。如果想要精通IS-IS协议原理，必须要理解链路状态数据库的构建、更新的操作过程。

IS-IS协议和OSPF协议之间的区别：

IS-IS协议中的LSP（Link State Packet，链路状态报文）和OSPF协议中的LSA（Link State Advertisement，链路状态通告）都是用来描述网络拓扑信息的数据包。它们都包含了路由器的链路状态信息，用于在网络中更新路由信息。但是，它们之间也存在一些区别。

首先，在报文结构上，LSP和LSA有一些不同。例如，LSP中有一个IS Type字段，表示路由器类型（如Level-1路由器或Level-2路由器），而LSA中有一个LS Type字段，表示LSA的类型（如Router LSA等）。此外，LSP和LSA中的Options字段也不同。在LSP中，Options字段包括P、ATT、OL等位，表示发出路由器所具备的能力；而在LSA中，Options字段包括E、MC、N/P、DC等位，也表示发出路由器所具备的能力。

其次，在泛洪过程上，IS-IS和OSPF也有所不同。IS-IS在广播网络中扩散LSP不进行收到确认，不可靠；而OSPF在所有类型网络中的扩散均可靠，通过LSAck来确认。

此外，在链路状态数据库LSDB上，IS-IS和OSPF也有所不同。IS-IS的一条LSP内容为一台路由器（DIS）承载的链路状态信息，一般包含多条链路状态；而OSPF的一条LSA内容按LSA Type分为两种情况：LSA-1/2描述区域内部链路状态信息，LSA-1可携带多条链路状态；LSA-3/4/5/7描述区域间或外部路由信息，非链路状态，为路由矢量。

3.配置广域网接入

需要用到广域网的接入服务，举例：PPP、帧中继FR、ISDN BRI连接（这些都是广域网的一些例子）。

Serial接口是一种通用的串行通信接口（前面、后面都提过，这个是高速同步串行通信接口），它通常用于连接计算机和其他设备，如调制解调器、路由器、交换机等。Serial接口支持RS-232、RS-422、RS-485等标准，可以实现点对点或多点通信。

在计算机网络中，Serial接口常用于连接WAN（Wide Area Network，广域网）设备，如连接路由器和调制解调器，或连接两台路由器之间的WAN链路。此外，Serial接口也可以用于连接其他类型的设备，如打印机、扫描仪等。

PPP配置：

MP-Group接口是一个专门用于MP（MultiLink PPP，多链路PPP）的逻辑接口。它可以将多个物理接口捆绑到一个MP-Group逻辑接口上，实现MP捆绑。这样，可以将多个PPP链路捆绑成一个逻辑链路，以增加带宽并提高链路的可靠性。

MP-Group接口通常应用在具有动态带宽需求的场合。它在链路层只支持PPP协议，在网络层只支持IP协议（可以直接配置IP地址，也可以通过协商获取IP地址）。

扩展介绍：

在华为设备上，可以使用以下命令来配置AAA（Authentication, Authorization, and Accounting，认证、授权和计费）认证方式：

system-view //进入系统视图
aaa //进入AAA视图
authentication-scheme scheme-name //创建一个认证方案并进入其视图
authentication-mode { local | radius | hwtacacs } //配置认证方式，可以选择本地认证、RADIUS认证或HWTACACS认证

例如，要创建一个名为`my-scheme`的认证方案，并配置其使用RADIUS服务器进行认证，可以使用以下命令：

system-view
aaa
authentication-scheme my-scheme
authentication-mode radius

此外，还可以在认证方案中配置其他参数，如超时时间、重试次数等。例如，要配置认证超时时间为5秒，可以使用以下命令：

system-view
aaa
authentication-scheme my-scheme
authentication-mode radius
authentication-timeout 5

完成AAA认证方案的配置后，还需要将其应用到相应的接口或域上。例如，要将`my-scheme`应用到`Ethernet0/0/1`接口上，可以使用以下命令：

system-view
interface Ethernet0/0/1
authentication-mode aaa //启用AAA认证
authentication-scheme my-scheme //应用my-scheme认证方案

CHAP（Challenge Handshake Authentication Protocol，挑战握手认证协议）是一种PPP（Point-to-Point Protocol，点对点协议）认证方式。在华为设备上，可以使用以下命令来配置CHAP认证：（TCP是三次握手，四次挥手，在第六章网络互连有讲）

system-view //进入系统视图
interface interface-type interface-number //进入要配置的接口视图
link-protocol ppp //配置接口使用PPP协议
ppp authentication-mode chap //配置接口使用CHAP认证

例如，要在`Serial1/0/0`接口上启用CHAP认证，可以使用以下命令：

system-view
interface Serial1/0/0
link-protocol ppp
ppp authentication-mode chap

此外，在进行CHAP认证时，还需要配置用户名和密码。可以在本地设备上配置用户名和密码，也可以在远程AAA服务器上进行配置。

要在本地设备上配置用户名和密码，可以使用以下命令：

system-view //进入系统视图
aaa //进入AAA视图
local-user user-name password { cipher | simple } password //创建一个本地用户并设置密码
local-user user-name service-type ppp //指定用户支持的服务类型为PPP

例如，要创建一个名为`my-user`的本地用户，并设置其密码为`my-password`，可以使用以下命令：

system-view
aaa
local-user my-user password cipher my-password
local-user my-user service-type ppp

完成本地用户的配置后，还需要在相应的接口上指定对端的用户名和密码。例如，要在`Serial1/0/0`接口上指定对端的用户名为`my-user`，密码为`my-password`，可以使用以下命令：

system-view
interface Serial1/0/0
link-protocol ppp
ppp authentication-mode chap
ppp chap user my-user //指定对端的用户名
ppp chap password cipher my-password //指定对端的密码

`dialer-rule`命令用于配置拨号规则，它可以指定哪些流量会触发拨号操作。在华为设备上，`dialer-rule`命令的语法如下：

dialer-rule rule-number { ip | ipv6 } { permit | deny } [ source { source-ip-address { source-mask | source-mask-length } | any } ] [ destination { destination-ip-address { destination-mask | destination-mask-length } | any } ] [ operator { equal | greater-equal | less-equal } port-number ]

其中，`rule-number`参数用于指定规则的编号；`ip`或`ipv6`参数用于指定IP协议版本；`permit`或`deny`参数用于指定是否允许匹配的流量触发拨号操作；其他参数用于指定流量的源地址、目的地址和端口号等信息。

例如，命令`dialer-rule 1 ip permit`表示创建一个编号为1的拨号规则，允许所有IPv4流量触发拨号操作。

需要注意的是，要使拨号规则生效，还需要在相应的接口上启用拨号功能，并应用拨号规则。例如，要在Dialer1接口上应用上述拨号规则，可以使用以下命令：

system-view
interface Dialer1
dialer enable //启用拨号功能
dialer-rule 1 //应用拨号规则

IPSec（Internet Protocol Security，互联网协议安全）是一种安全协议，它用于在IP网络中保护数据的安全性和完整性。IPSec通过在IP层对数据进行加密和认证，来保护网络通信的安全。

IPSec支持两种工作模式：传输模式和隧道模式。在传输模式下，IPSec只对数据包的有效载荷部分进行加密和认证；而在隧道模式下，IPSec会对整个数据包进行加密和认证，并在其外部封装一个新的IP头部。

IPSec主要由两个协议组成：AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）。AH协议用于对数据包进行认证，以确保数据的完整性和不可否认性；ESP协议用于对数据包进行加密，以保护数据的机密性。

IPSec广泛应用于VPN（Virtual Private Network，虚拟专用网络）技术中，可以用于建立安全的远程访问或站点到站点的连接。此外，IPSec还可以用于保护其他类型的网络通信，如VoIP（Voice over IP，基于IP的语音通信）等。

IKE（Internet Key Exchange，互联网密钥交换）是一种用于在IPSec（Internet Protocol Security，互联网协议安全）中协商安全关联（Security Association，SA）的协议。它通过在通信双方之间交换密钥和协商加密算法等参数，来建立和维护IPSec连接。

IKE协商分为两个阶段：第一阶段和第二阶段。在第一阶段，通信双方通过交换密钥和认证信息，建立一个安全的、双向的IKE SA（IKE Security Association）。IKE SA用于保护第二阶段的通信。

在第二阶段，通信双方通过IKE SA协商IPSec SA（IPSec Security Association）的参数，如加密算法、认证算法、密钥等。IPSec SA用于保护实际的数据通信。

IKE协商的过程可以简单概括为：通信双方首先通过第一阶段建立IKE SA，然后通过IKE SA协商IPSec SA的参数，最后使用IPSec SA保护数据通信。

在书上，我们介绍的建立隧道的方式是通过采用ACL方式建立IPSec隧道。

在华为设备的命令行界面中，有几条命令在配置IP地址时需要使用反掩码（Wildcard Mask）。反掩码是一种特殊的掩码，它与子网掩码相反，用0表示对应位需要匹配，用1表示对应位不需要匹配。

下面是一些在华为命令中需要使用反掩码的命令：

- `acl`命令：在配置ACL（Access Control List，访问控制列表）时，可以使用反掩码来指定IP地址范围。例如，要创建一个ACL，允许来自`192.168.1.0/24`网段的流量，可以使用以下命令：

  system-view
  acl 3000
  rule permit ip source 192.168.1.0 0.0.0.255

- `ospf network`命令：在配置OSPF（Open Shortest Path First，开放最短路径优先）协议时，可以使用反掩码来指定网络地址范围。例如，要在OSPF进程1中配置`192.168.1.0/24`网段，并指定区域为0，可以使用以下命令：

  system-view
  ospf 1
  area 0
  network 192.168.1.0 0.0.0.255

- `rip network`命令：在配置RIP（Routing Information Protocol，路由信息协议）协议时，也可以使用反掩码来指定网络地址范围。例如，要在RIP进程1中配置`192.168.1.0/24`网段，可以使用以下命令：

  system-view
  rip 1
  network 192.168.1.0 0.0.0.255

在华为设备上，可以使用ACL（Access Control List，访问控制列表）来指定需要通过IPSec隧道加密的流量。下面是一个简单的示例，说明如何使用ACL方式建立IPSec隧道。

假设有两台华为路由器，分别位于两个不同的网络中。我们希望通过IPSec隧道加密两个网络之间的通信。

首先，在两台路由器上分别创建一个ACL，用于指定需要加密的流量。例如，在路由器A上，可以使用以下命令创建一个名为`3000`的ACL，并允许来自本地网络的流量通过IPSec隧道：

system-view
acl 3000
rule permit ip source 192.168.1.0 0.0.0.255

在路由器B上，也可以使用类似的命令创建一个ACL。

接下来，在两台路由器上分别创建一个IPSec策略，并指定使用刚才创建的ACL。例如，在路由器A上，可以使用以下命令创建一个名为`ipsec-policy1`的IPSec策略，并应用ACL `3000`：

system-view
ipsec policy ipsec-policy1 10 isakmp
security acl 3000

在路由器B上，也可以使用类似的命令创建一个IPSec策略。

然后，在两台路由器上分别配置IKE和IPSec相关的参数，如预共享密钥、加密算法等。例如，在路由器A上，可以使用以下命令配置预共享密钥和加密算法：

system-view
ike peer ike-peer1
pre-shared-key cipher password
exchange-mode aggressive
remote-address 202.38.120.1
quit
ipsec proposal ipsec-proposal1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
quit
ipsec policy ipsec-policy1 10 isakmp
transform-set ipsec-proposal1
ike-peer ike-peer1

在路由器B上，也可以使用类似的命令配置IKE和IPSec相关的参数。

最后，在两台路由器上分别将IPSec策略应用到相应的接口上。例如，在路由器A上，可以使用以下命令将IPSec策略`ipsec-policy1`应用到GigabitEthernet0/0/1接口上：

system-view
interface GigabitEthernet0/0/1
ipsec policy ipsec-policy1

在路由器B上，也可以使用类似的命令将IPSec策略应用到相应的接口上。

完成以上配置后，两台路由器之间就建立起了一个基于ACL方式的IPSec隧道。当匹配ACL规则的流量经过接口时，它会被自动加密并通过IPSec隧道传输。

GRE隧道

是一种用于在公网上建立虚拟专用网络的技术。它可以将私有网络数据通过公网传输，但数据包会被封装在GRE数据包中，以便在公网上传输。在华为的命令中，可以使用`system-view`命令进入系统视图，然后使用`interface tunnel`命令创建Tunnel接口，并执行`tunnel-protocol`命令配置Tunnel接口的封装模式。接下来，可以使用`destination`命令为Tunnel接口配置目的地址。
<HUAWEI> system-view
[~HUAWEI] interface tunnel 2
[*HUAWEI-Tunnel2] tunnel-protocol gre
[*HUAWEI-Tunnel2] destination 10.1.1.1

上面的命令首先进入系统视图，然后创建编号为2的Tunnel接口。接着，使用`tunnel-protocol`命令将Tunnel接口的封装模式设置为GRE。最后，使用`destination`命令为Tunnel接口配置目的地址为10.1.1.1。

ISATAP、GRE、IPsec：

ISATAP（Intra-Site Automatic Tunnel Addressing Protocol，站间自动隧道寻址协议）

是一种用于在IPv4网络中建立IPv6隧道的技术。它通过将IPv4地址嵌入到IPv6地址中，并将IPv6数据包封装在IPv4中传输，实现了IPv6主机之间跨越IPv4内部网络的单播IPv6连通性。ISATAP过渡技术不要求隧道端节点必须具有全球惟一的IPv4地址，只要彼此间IPv4地址可以直达即可。

GRE隧道模式与ISATAP类似，也是一种用于在公网上建立虚拟专用网络的技术。不同的是，GRE隧道模式不仅支持IPv6数据包，还支持其他协议（如IPv4、OSI、MPLS等）的数据包。

与ISATAP不同，IPsec隧道模式是一种用于在公网上建立安全虚拟专用网络的技术。它通过在两个网络实体之间建立安全通道，对数据进行加密和认证，以保护数据的机密性和完整性。

总之，ISATAP、IPsec和GRE都是用于在公网上建立虚拟专用网络的技术，但它们各自有着不同的特点和应用场景。

举例说明它们的应用场景：

- ISATAP隧道模式：假设您的公司内部网络是IPv4网络，但您希望在内部网络中使用IPv6。您可以使用ISATAP隧道技术在内部IPv4网络中建立IPv6隧道，实现IPv6主机之间跨越IPv4内部网络的单播IPv6连通性。

- IPsec隧道模式：假设您的公司有两个办公室，分别位于不同的城市。您希望这两个办公室之间的数据传输是安全的。您可以使用IPsec隧道模式在两个办公室之间建立安全虚拟专用网络，对数据进行加密和认证，以保护数据的机密性和完整性。

- GRE隧道模式：假设您的公司有两个办公室，分别位于不同的城市。您希望这两个办公室之间能够互相访问彼此的私有网络资源。您可以使用GRE隧道模式在两个办公室之间建立虚拟专用网络，实现彼此私有网络资源的互相访问。

ACL配置：

关于ACL的分类，重点（书P526），需要记忆

rule deny tcp destination-port eq telnet source 172.16.11.3 0 destination 172.16.23.0 0.0.0.255是什么意思

这条规则表示拒绝来自源IP地址为172.16.11.3的TCP流量，目的端口为telnet（23），目的IP地址在172.16.23.0/24网段内的流量。换句话说，这条规则阻止了IP地址为172.16.11.3的主机使用telnet协议访问172.16.23.0/24网段内的任何主机。

`eq`是`equal`的缩写，意思是“等于”（书本P530的表10-14有提过）。在这条规则中，`destination-port eq telnet`表示目的端口必须“等于”telnet端口（即端口号为23）。因此，这条规则只会匹配目的端口为telnet的流量。

区分一下华为命令和思科命令，但也要区分是属于Windows系统的命令：

例如：

`route add`命令通常用于在Windows或Linux操作系统中添加静态路由，而不是在华为设备上。在华为设备上，您应该使用`ip route-static`命令来添加静态路由，而不是`route add`命令。

ISP接入（Internet Service Provider Access）是指通过互联网服务提供商（ISP）接入互联网。ISP是提供互联网接入服务的公司，它们通过各种方式（如拨号、DSL、光纤、卫星等）为个人和企业提供互联网接入服务。用户需要与ISP签订合同并支付费用，才能通过ISP接入互联网。

有些案例题目，题目给出的图形表示：ISP接入，其实就是运行商。

从下面开始结合视频学习：

交换机性能参数：比较重要的

交换容量：端口数*端口速率*2

包转发率：1.488Mpbs（交换机进行数据包转发的能力）

背板带宽：单位时间内所能传输的最大数据量。

MAC地址数：交换机MAC地址表可以存储最大的MAC地址数

网管交换机都有console接口

交换机类别：交换依据

2层交换机 MAC地址

3层交换机 IP地址

4层交换机 TCP/UDP端口

帧中继交换机 虚电路号（DLCI）

ATM交换机 虚电路标识VPI和VCI

补充：以太网交换机的交换方式有三种：（帧转发方式）

直通式交换、

存储转发式交换、

无碎片转发交换。（在第五章无线通信网的例题里面，讲了交换机的帧转发方式，建议去那看看）

配置交换机时，PC的串行口与路由器的console接口相连（前面讲了网管交换机都有console口）。默认速率是：9600b/s。

补充：交换机端口

交换机端口有很多，主要分为光纤端口、以太网端口、GBIC、SFP、万兆模块。

1. 光纤端口：光纤端口是用来连接光纤传输介质的接口。目前在局域网交换机中，光纤接口主要是SC类型，无论是在100Base-FX（多模光纤），还是在1000Base-FX（多模光纤）网络中。

2. 以太网端口：以太网端口是我们见的最多、应用最广的一种接口类型，它属于双绞线以太网接口类型。它不仅在最基本的10Base-T以太网网络中使用，还在目前主流的100Base-TX快速以太网和1000Base-TX千兆以太网中使用。（这个在第四章局域网与城域网讲的是以太网标准）

3. GBIC：GBIC是Giga Bitrate Interface Converter的缩写，是将千兆位电信号转换为光信号的接口器件。GBIC设计上可以为热插拔使用。GBIC是一种符合国际标准的可互换产品。采用 GBIC接口设计的千兆位交换机由于互换灵活，在市场上占有较大的市场分额。

4. SFP：SFP是SMALL FORM PLUGGABLE的缩写，可以简单的理解为GBIC的升级版本。SFP模块体积比GBIC模块减少一半，可以在相同的面板上配置多出一倍以上的端口数量。SFP模块的其他功能基本和GBIC一致。有些交换机厂商称SFP模块为小型化GBIC（MINI-GBIC）。

5. 万兆模块：万兆模块是指支持万兆以太网（10Gbps）速率的模块，常见的有XFP和XENPAK等类型。

二层交换机的过程：学习——转发过滤——消除stp（环路）。

三层交换机的过程：一次路由，多次交换。

交换机配置：第一次连接通过console连接（CLI）（前面学了）

CLI命令模式。

交换机指示灯的基本颜色：

颜色：含义：

红色故障/告警

黄色临界状态

绿色正常

蓝色指定用意

端口镜像配置：

1.基于端口的镜像

2.基于流的镜像（流，就是出入方向的数据流）

基于流的有基于ACL和基于MQC（复杂流分类）两种配置方式。前者只支持入方向（inbound接收报文）的流镜像。基于MQC方式配置复杂，但支持匹配的规则比基于ACL方式多，而且基于MQC方式的流镜像既支持入方向流镜像也支持出方向。

需要记一下接口名：

10/100Mbps，ethernet

10/100/1000Mbps，gigabitethernet

链路聚合端口，Eth-Trunk

交换机端口模式：三种模式（这里前面第五章有学，那里是叫做802.1q的以太网端口类型）

Access端口：连接终端，仅允许一个VLAN的帧通过（单个Vlan）

Trunk端口：连接其它交换机端口，允许多个VLAN的帧通过

Hybrid端口（混合模式）：连接其它交换机端口，连接终端，

注意这三个端口类型对于有无Tag报文的处理。

接收帧的处理：带有Tag报文（分情况）和没有带Tag报文（打上缺省vlan ID）的处理方式

发送帧的处理。access端口直接剥离数据帧中的VLAN标签，Trunk端口只有在数据帧中的VID与接口的PVID相等时才会剥离数据帧中的VLAN标签。（Trunk端口发出的数据帧只有一个VLAN的数据帧不带Tag。）

参照视频：8-4交换机配置基础之端口工作模式。

交换机与交换机互连一般是Trunk或Hybrid模式。

学习交换机的vlan配置：最好去第四章学习一下虚拟局域网VLAN（IEEE 802.1Q标准）

在前面，介绍了三种划分Vlan的方式，这里再介绍几种：根据IP组播划分VLAN、基于策略的VLAN。交换机只使用基于端口的划分。

分为批量创建和单个创建。

路由器接口：

Serial串口（高速同步串口）：用于连接DDN、帧中继、X.25、PSTN等网络（前面有讲，都是属于广域网的类型。这个接口也常用于广域网的连接）

Console接口（最基础最常用）。

例如：路由器连接帧中继网络的接口是：Serial串口。连接双绞线以太网的接口是：RJ-45。

Vlan有两种链路封装协议：IEEE 802.1q、QinQ技术

前面有学，而QinQ技术，在前面第四章也讲了，城域以太网：运营商网桥协议（IEE 802.1ad标准），被称为Q-in-Q技术。

IEEE 802.1Q是一种VLAN数据帧格式。它规定，在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签（又称VLAN Tag，简称Tag），用于标识数据帧所属的VLAN 。

QinQ（802.1Q-in-802.1Q），也叫做 VLAN Stacking 或Double VLAN，由IEEE 802.1ad标准定义，是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的目的。它可以使私网VLAN透传公网。

VLAN注册协议---GVRP协议（在第五章也讲了，书本p467有这个命令的配置。）

GVRP（GARP VLAN Registration Protocol）是一种VLAN注册协议，用于维护交换机中的VLAN动态注册信息，并传播该信息到其他交换机中。这样可以避免手工配置静态VLAN，提高工作效率。

GVRP协议有三种注册模式：Normal模式、Fixed模式和Forbidden模式。

STP的几种端口状态：下面是顺序

STP的工作过程：（在第四章生成树网桥的实现过程可以归纳为以下三个步骤，第四章也讲了）

1. 选择根网桥：选择根交换机的依据是网桥ID，网桥ID是由网桥优先级和网桥MAC地址组成的。（先看网桥优先级（优先级的值越小，优先级越高），再看网桥MAC地址）

2. 选择根端口：在每个非根交换机上选出一个根端口。首先比较交换机端口到根路径的成本。根路径成本低的为根端口。当根路径成本相同的时候，比较对端的网桥ID（前面是先比较网桥ID）。对端的网桥ID小的为根端口。当网桥ID相同的时候，比较对端的端口ID（就是比如两条线路，分别为端口1和端口2，那么端口1的成为根端口）。对端的端口ID较小的为根端口。

（顺序：根路径成本>网桥ID>端口IP），注意根路径成本这里：10Mpbs的路径成本是：100。100Mpbs的路径成本是：19。1000Mpbs的路径成本是：4。（速率越大、成本越低）

3. 选择指定端口并阻塞备用端口：

（顺序：根路径成本>网桥ID>端口IP），和上面一样，不同的是，指定端口是每一个网段上有一个（上面是必须在非根桥交换机上），且根桥端口均为指定端口。

前面三者都不是的被称为备用端口，也就阻塞掉。

路由器的主要功能是：进行路由处理（按特定算法选择最佳路径）和（IP）包转发。

包转发过程：

1.接收数据包的，检查、解释和处理IP版本号、头长度、头校验等数据报头，对数据报文的长度和完整性进行验证。

2.依据目的IP地址检查下一条（Next Hop）IP地址，修改TTL值，重新计算效验和。

3.新数据附加新数据链路层报头并转发。

路由器的端口：很多。（在第十章组网技术，介绍路由器时讲过。）

路由器分为静态路由表（管理员手工调制）和动态路由表。

display ip routing-table

路由设备通过路由表选择路由，通过FIB表指导报文转发。（至少有两个表）

需要了解一下路由的一些参数（display ip routing-table ）：

参数名解释

Route Flags （路由标记）参数R表示迭代路由，参数D表示路由下发到FIB表

Route Tables:Public 表示此路由表是公网路由表。

Routes 显示路由总数

Proto 路由协议

Pre 优先级，特别注意这个和协议的选择有关，DIRECT=0；OSPF=10;

STATIC=60；IGRP=80；ospfase=150；BGP=170.

display命令：

华为设备提供了多条 display 命令用于查看硬件部件、接口及软件的状态信息。这些状态信息可以为用户故障处理提供定位思路。以下是一些常用的 display 命令：

- `display current-configuration`：查看当前配置。（以及前面那个显示路由表）
- `display version`：查看系统软件版本。
- `display device`：查看所有在位设备的基本信息，包括电源模块和风扇模块的信息。
- `display interface`：查看接口当前运行状态和接口统计信息。
- `display cpu-usage`：显示CPU占用率的统计信息。
- `display memory-usage`：查看内存占用率信息。
- `display logbuffer`：查看日志缓冲区中的日志信息。
- `display alarm all`：查看所有活动的硬件告警信息。
- `display clock`：显示系统当前日期和时钟。

RIP协议基于UDP，端口号为520。（在第六章网络互连讲了这个协议。）

RIPv1基于广播，RIPv2基于组播（224.0.0.9）。

RIP路由的更新周期为30s，如果路由器180s没有回应，则删除路由表信息。最大跳数15条，16条表示不可达。递增。

OSPF（开放式最短路径优先）协议：（也在第六章讲了这个协议）

OSPF报文分为5类，默认Hello报文的发送间隔时间是10s，默认的无效间隔是40s，LSA每30min重传一次。

DR和BDR的选举（这个和STP生成树协议的指定端口和备份端口不一样。）前面知识点没有。

首先比较接口优先级（注意这个和STP比较根桥ID的优先级不一样。根桥ID的优先级是值越小，其优先级越高。）接口优先级值越大，优先级越高。选举为DR。范围是0-255（在根桥ID的优先级里面没有备注范围。），默认为1，优先级为0表示没有资格选举DR和BDR。

然后比较Route-Id大小，越大的成为DR，其次成为BDR。

OSPF网络类型：OSPF协议支持四种网络类型，分别是点到点网络、广播型网络、非广播多址网络（Non-Broadcast Multi-Access，NBMA）（例如X.25分组交换网）和点到多点网络。（前面章节学了，下面补充一些知识点）

OSPF网络类型特点

Point-to-Point（点到点）总是形成邻居关系，组播到224.0.0.5

Point-to-Multicast（点到多址）不选举DR/BDR，单播

Broadcast（广播）选举DR/BDR，组播到224.0.0.5，侦听224.0.0.6。(以太网、FDDI网)

NBMA（非广播）需要指定邻居，单播，（X.25、Frame Relay和ATM。广域网））

VirtualLink（虚链路）不发送Hello报文。单播

补充：BGP是边界网关协议，目前版本是BGP4，是一种增强的距离矢量路由协议（RIP是内部的距离矢量，而且RIP基于UDP）。基于TCP，端口号为179.

第十一章网络管理

考点分析：Windows基本管理、Linux基本管理、网络管理协议、网络故障诊断、管理工具与网络存储。

网络管理体系：

网络管理的五大功能：

根据国际标准化组织的定义，网络管理有五大功能：故障管理、配置管理、性能管理、安全管理和计费管理。

网络管理的五大功能包括：

1. 故障管理：监测网络故障，快速定位故障原因并解决问题。
2. 配置管理：对网络设备进行配置，维护网络拓扑结构。
3. 性能管理：监测网络的各种性能数据，进行阈值检查。
4. 安全管理：保护网络安全，防止未经授权的访问。
5. 计费管理：对网络资源的使用进行计费。

网络管理协议：

常用的网络管理协议包括SNMP、NIB-II、RMON等。都是基于TCP/IP协议。

SNMP简单网络管理协议：

简单网络管理协议（SNMP）是一种应用层协议，属于TCP/IP协议族，主要用在局域网中对设备进行管理。它应用最为广泛的是对路由器交换机等网络设备的管理，当然不仅限于网络设备。

基于UDP协议，由SNMP协议、管理信息库和管理信息结构组成。

SNMP分为管理端和代理端 (agent)，管理端的默认端口为UDP 162，主要用来接收Agent的消息如Trap告警消息；Agent端使用UDP 161端口接收管理端下发的消息如SET/GET指令等。

（这里区分一下：SNMP代理端的默认端口是UDP 161，用于接收管理端下发的消息如SET/GET指令等。而SNMP代理发送Trap报文的默认端口是UDP 162，这是因为Trap报文是由SNMP代理主动发送给管理端的，而不是由管理端下发给代理端的。因此，SNMP代理发送Trap报文时使用的是管理端的默认端口UDP 162，而不是代理端的默认端口UDP 161。简单的说就是，只要是管理站发送的消息，用的发送端口就是161，而代理站发送的消息，发送端口随机，接受端口用的是162.管理站>代理站）

SNMP协议目前在用的有3个版本，分别是V1， V2C ，V3，主要差异在安全性、消息封装格式、GET效率等方面。

SNMP V1中定义了5种类型的PDU：

Get (获取参数值，不能遍历table类型的参数组)，

GetNext (可获取table类型的参数值，一组参数，遍历获得)，

Set (设置参数值) 和Trap (发送告警)、

Response (GET操作的响应信息)。

SNMPv1使用团体字 (community)来作为身份认证信息。当Agent（代理）接收（UDP 161）到与其一样的团体字的管理端消息后才会进行消息应答。V1整个消息采用明文传送，通过wireshark/tcpdump等抓包工具可看到明文。

SNMPv2是SNMPv1的演进版：

SNMPv2是SNMPv1的演进版。Get，GetNext和Set操作与SNMPv1相同。然而，SNMPv2增加和加强了一些协议操作。在SNMPv2中，如果在get-request中需要多个请求值，如果有一个不存在，请求照样会被正常执行。而在SNMPv1中将响应一个错误消息。在v1中，Trap消息和其他几个操作消息的PDU不同。v2版本简化了trap消息，使trap和其他的get和set消息格式相同。SNMPv2还定义了两个新的协议操作：GetBulk和Inform。GetBulk操作被用于NMS高效地获取大量的块数据，如表中一行中的多行（一个UDP数据包应答）。GetBulk将请求返回的响应消息尽量多地返回。Inform操作允许一个NMS向其他NMS发送trap消息，再接收响应。

SNMPv2对SNMPv1的增强体现在三个方面：

管理信息结构的扩充、管理站之间的通信能力、新的协议操作

SNMP网络管理系统结构：

管理信息库（MIB）

网络管理技术：数据备份

数据备份策略：完全备份、增量备份、差分备份。

1. 完全备份（Full Backup）：对选定的所有文件夹进行备份，不依赖文件的存档属性来确定备份哪些文件。在备份过程中，任何现有的标记都被清除，每个文件都被标记为已备份。

2. 增量备份（Incremental Backup）：仅对上一次备份（包括完全备份、差异备份、增量备份）之后有变化的数据进行备份。增量备份过程中，只备份有标记的选中的文件和文件夹，它清除标记，即：备份后标记文件，换言之，清除存档属性。

3. 差分备份（Differential Backup）：仅对上一次完全备份之后有变化的数据进行备份。差分备份过程中，只备份有标记的那些选中的文件和文件夹。它不清除标记，也即备份后不标记为已备份文件。换言之，不清除存档属性。

网络管理技术：网络存储

网络存储技术主要利用网络技术实现信息的异地存储，即电子数据不再直接存储于服务器上，而是通过网络保存在与服务器相连的专门设备上。当前主要有3种存储方式：

1. 直连式存储（DAS：Direct Attached Storage）：存储设备通过电缆（通常是SCSI接口电缆）直接连接到服务器。I/O请求直接发送到存储设备。这种方式适用于连接单独的或两台小型集群的服务器。

2. 网络附加存储（NAS：Network Attached Storage）：NAS设备通常是集成了处理器和磁盘/磁盘柜，类似于文件服务器。连接到TCP/IP网络上（可以通过LAN或WAN），通过文件存取协议（例如NFS，CIFS等）存取数据。NAS将文件存取请求转换为内部I/O请求。

3. 存储区域网络（SAN：Storage Area Network）：存储设备组成单独的网络，大多利用光纤连接，采用光纤通道协议（Fiber Channel，简称FC）。服务器和存储设备间可以任意连接，I/O请求也是直接发送到存储设备。

而我在附加知识点所添加的操作系统：

里面是介绍的是，在设备管理中，数据传输控制通常有三种方式：程序控制方式，中断驱动方式和直接存储器访问（DMA）方式。（注意这个和网络存储是不一样的。它主要是负责内存和设备间的传输控制。）

常用接口标准：

ATA（也称为IDE）、

SATA（ATA的升级，串行总线）、

SCSI（用于服务器，支持热插拔）、

SAS（新型SISI技术，串行处理，支持热插拔，用于高端服务器存储系统，与SATA兼容）、

FC（光纤对接，支持热插拔）、

M.2（为超级笔记本制定的新一代接口标准，取代STAT接口）

存储介质：

机械硬盘（HDD）、固态硬盘（SSD、闪存，数据丢失后无法恢复）。

磁盘阵列技术：

磁盘阵列技术（RAID，Redundant Array of Independent Disks）是一种将多个独立的磁盘组合成一个大的磁盘系统，从而实现比单块磁盘更好的存储性能和更高的可靠性的技术。它通过将数据分布在多个磁盘上，可以提高数据传输速度和容错能力。

1.RAID 0

无数据校验的数据条带化技术。RAID 0性能最高，磁盘利用率100%，不提供数据冗余保护。

2.RAID 1

将数据完全一致地分别写到工作磁盘和镜像磁盘。磁盘空间利用率50%。具有最高安全性，成本也高。读写性能最低。

3.RAID 3

专用校验盘的并行访问阵列。至少需要三块磁盘，读性能和RAID 0一致，写性能就低。存储空间利用率高（n-1）/n。

4.RAID 5

它使用奇偶校验来提供冗余。每块磁盘上同时存储数据和校验数据。如果一个磁盘发生故障，可以使用其他磁盘上的数据和校验信息来重建丢失的数据。它比RAID 1更有效地利用了存储空间，但需要至少三个磁盘才能实现。兼顾存储性能、数据安全和存储成本等各方面因素，是目前综合性能最佳的数据保护解决方案。存储空间利用率：n-1

5.RAID 6

与RAID 5类似，但使用两个奇偶校验来提供更高的冗余。它可以容忍两个磁盘同时发生故障而不丢失数据。但是，它需要至少四个磁盘才能实现，并且写入性能低。存储空间利用率：n-2

特别：

RAID 10：也称为RAID 1+0。（先做镜像再做条化，本质是对虚拟磁盘实现镜像）

还有一种是RAID 0+1：（先做条化再做镜像，本质是对物理磁盘实现镜像）

RAID 0+1比RAID 1+0容错更高，磁盘利用率都是50%。

习题补充知识点：

补充RAID5的容量占比是：n*(n-1)。（n代表磁盘数量）

补充网络存储方式：前面只介绍了三种，再添加一种：

分布式存储：（它常用多副本技术实现数据冗余）

分布式存储是近年来比较热门的存储技术话题。它是将数据分散存储到多个存储服务器上，并将这些分散的存储资源构成一个虚拟的存储设备，实际上数据分散的存储在企业的各个角落。采用可扩展的系统结构，利用多台存储服务器分担存储负荷、定位存储信息，不但提高了系统的可靠性、可用性和存取效率，还易于扩展。

一个SNMP报文共有三个部分组成：公共SNMP首部、get/set首部、变量绑定。

公共SNMP首部包含：版本、共同体（团队名）、PDU(协议数据单元)。

补充：SNMP报文在管理站（Manager）和代理站（Agent）之间传送，图形参考（书本P563，图11-20）

管理站发送：GetRequest、SetRequest 都属于UDP 161

代理发送：Trap(UDP 162)、GetResponse

要学会计算存储系统的存储容量（例题网络管理与网络存储p8）

补充：记忆一个图，在例题p18的解析里面。关于各部分协议所在层。

Linux防火墙iptables命令：-P参数表示策略。-p参数表示协议。（区分大小写）

iptables是Linux平台下的包过滤防火墙，

补充：chmod命令中的777表示：可读、可写、可执行。相当于：--rwx--

某主机无法上网，查看“本地连接”属性中的数据发送情况，发现只有发送没有接收，造成主机网络故障的原因可能有：IP地址配置错误。

解析：只有发送没有接收，说明无法接收数据包。而TCP之间的连接负责传输数据，ip有问题，并不会影响TCP之间的连接传输，但会影响返回时接收回应。所以如果是TCP协议故障，会导致既无法发送也无法接收。

补充：Linux下的cp命令所含有的参数（好像前面的知识点，我只提供了Windows下的一些常用命令的详细参数的含义。现在补充）

Linux的cp命令主要用于复制文件或目录。它有一些常用的参数，包括：

- `-a`：此选项通常在复制目录时使用，它保留链接、文件属性，并复制目录下的所有内容。其作用等于dpR参数组合。
- `-d`：复制时保留链接。这里所说的链接相当于 Windows 系统中的快捷方式。
- `-f`：覆盖已经存在的目标文件而不给出提示。
- `-i`：与 -f 选项相反，在覆盖目标文件之前给出提示，要求用户确认是否覆盖，回答 y 时目标文件将被覆盖。（考过一次）
- `-p`：除复制文件的内容外，还把修改时间和访问权限也复制到新文件中。（考过一次）
- `-r`：若给出的源文件是一个目录文件，此时将复制该目录下所有的子目录和文件。
- `-l`：不复制文件，只是生成链接文件。（考过一次）

Linux的ls命令用于列出目标目录中所有的子目录和文件。它有一些常用的参数，包括：

- `-a`：列出目录中的全部文件，包括以 . 开头的隐含文件。
- `-l`：列举目录内容的细节，包括权限（模式）、所有者、组群、大小、创建日期、文件是否是到系统其它地方的链接，以及链接的指向。（详细信息）
- `-F`：在每一个列举项目之后添加一个符号。这些符号包括：/ 表明是一个目录；@ 表明是到其它文件的符号链接；* 表明是一个可执行文件。
- `-c`：将文件按修改时间顺序显示。
- `-R`：同时列出所有子目录层。
- `-S`：根据文件大小排序。

补充：chmod ugo +r

u代表文件所有者、g代表同组用户、o代表其它用户。r表示可读。

补充：SNMPv2增强管理站间的通信能力，SNMPv3达到了商业级安全要求。

在Linux中，要删除用户组group 1应使用：groupdel group1。

第十二章网络规划和设计

需要掌握

一、网络体系结构设计

网络项目整体流程：

1.需求分析：业务需求、用户需求、应用需求、通信需求、网络需求。

2.网络系统设计：物理拓扑设计、逻辑网络设计、网络安全设计

3.网络项目实施：设备、布线，配置

4.网络运行及维护：运行及维护

网络系统生命周期：（分为三种类型）

1.四阶段周期（每个阶段都有重叠）

2.五阶段周期（每个阶段都是一个工作环节）

3.六阶段周期（循环进行，侧重网络测试和优化）

网络规划设计的基本原则：

高可用性：充分考虑成本（这个常考，优先考虑高可用性原则）

技术先进性。

二、综合布线系统：（前面章节提过一次）

在第一部中的第五章：无线通信网。提过一次，这是关于无线局域网的技术。

综合布线系统 (Premises Distributed System，简称PDS)是一种集成化通用传输系统，在楼宇和园区范围内，利用双绞线或光缆来传输信息，可以连接电话、计算机、会议电视和监视电视等设备的结构化信息传输系统。

综合布线系统由六个子系统组成，它们是工作区子系统、水平干线子系统、管理子系统、垂直干线子系统、建筑群子系统和设备间子系统。

1. 工作区子系统：由终端设备连接到信息插座（30cm内）的连线 (或软线)组成。
2. 水平干线子系统：从楼层配线架到各信息插座的布线属于水平布线子系统。
3. 管理子系统：提供与其他子系统连接的手段，使整个综合布线系统及其所连接的设备、器件等构成一个完整的有机体。 （被称为配线间）
4. 垂直干线子系统（又称为干线子系统）：通过建筑物内部的传输电缆或光缆，把各接线间和二级交接间的信号传送到设备间，直至传送到最终接口，再通往外部网络。
5. 建筑群子系统：在建筑群范围内，利用双绞线或光缆来传输信息。
6. 设备间子系统：在设备间内部，利用双绞线或光缆来传输信息。