msconfig 微软配置,有服务和启动; 服务是计算机一开机就运行,启动时用户登录启动的程序;
凡是安装后或者更改配置后需要重启的,就是一开机就会打开。
流氓软件解决方法
1 一般不要用超级用户下载程序
2 使用msconfig在服务中查找,在查找之前先屏蔽微软程序查找分析
3 查找用户的程序(或者任务管理器在进程页面名称上右键将命令行显示出来删除可以程序即可)
传输层 可靠传输 建立会话 流量控制 差错检查(点对点的差错检查)
不可靠传输 不建立会话 节省服务器资源
网络层
网络排错方法
物理层排除连接问题 1>看是否是网线问题(可以在网卡上看收发是否有一个为0,或者直接换一个好的网线),不行进行2
2> 网卡页面关闭启动一下网卡,不行进行3
3>在设备管理器->网络适配器他,找到对应驱动进行卸载(注意注意!!!!,不要勾选删除设备的驱动软件);
再最上方右键扫描变更的硬件改动,再将刚刚卸载的驱动安装一下。
数据链路层 MAC地址冲突 ASDL上网拨号 有时候不同可能网速端口没有设置自适应或者双方设置同方式同网速
网络层 网关设置错误等等
应用程序问题 例如IE浏览器代理设置错误
网络安全
数据链路层安全 MAC地址认证 ADSL上网拨号 划分VLAN
网络层安全 路由器ACL
传输层安全 端口安全
CMD界面有时不能复制,选中直接enter,需要粘贴的位置再右键就可以了
网卡 MAC 物理地址 硬件地址 不可以更改,前3组是厂家号
有时不想让别人知道真的MAC地址可以再网卡上->属性->配置来修改网络地址,就会告诉电脑用这个mac,真实的是不会变得
查看mac地址 ipconfig /all
网络设备
集线器HUB 不安全 共享带宽,就是傻瓜式转发,只要有发送数据就转发给除自己的所有端口的半双工设备
网桥 例如两个集线器之间接了一个网桥,同一个集线器上的设备进行数据收发,第一次会到另一个集线器,
到下一次在访问该设备(网桥会mac学习通过源mac学习,知道了再同一方向,不会再去另一方发送)
交换机:可以理解成多网桥组成的设备,具有mac地址学习; 基于MAC地址转发数据,全双工
路由器:负责再不同网段转发数据(可理解类似手机区号),隔离 广播:隔离目标MAC地址全为1
第2章TCP/IP协议
网络层协议IP、ARP、RARP、ICMP协议,传输层TCP/UDP协议,除了这6个协议其他都是TCP/IP模型中的应用层协议
传输层的两个协议
TCP可靠传输 分段传输 建立会话(消耗系统资源,发送后先不能删除,等确认该段收到才能删除) 丢失重传
UDP不可靠传输 99%的都可以一个数据包就能完整表达意思
应用层协议
http:TCP+80端口 ftp: TCP+21、20 https: TCP+443
SMTP简单右键传输协议: TCP+25 POP3:TCP+110
RDP远程桌面协议:TCP+3389 DNS:UDP+53
netstat -ano 可以显示进程号 netstat -anb需要管理员权限,可以查看谁打开的程序
服务和端口的关系
服务侦听端口listen,一直在看该端口是否有过来的没
服务端根据数据包的目标端口来区分客户端请求的服务
服务停止 侦听的端口关闭
查看侦听的端口
netstat -anb b必须以管理员身份运行
netstat -anb | find "3389" 查看侦听3389的状态
判断端口服务是否打开 telnet ip地址 端口号 可以进入黑窗就说明该端口打开了
网络安全
在server服务器上使用TCP/IP筛选实现端口筛选
wf.msc进入新建站点选择端口设置就可以针对端口实现网络安全
msconfig 进入微软配置小工具,工具选项卡就是平时输入的命令
dameware远程控制软件,安装到本机后想要控制其他电脑,账户密码输一下,对方没有下载就会下载安装
有时会遇到一设备ping另一设备通,另一设备ping该设备不同,说明另一设备开启防火墙了
设置防火墙意思是不搭理对方请求,自己访问对方可以收发(有时防火墙关了,主机发现启用,但不是ping不同,进入防火墙进站规则,找到)
也可以养成习惯 ping -a ip地址 看是否解析主机名,有主机名不通,说明防火墙开了
网络安全
1 使用TCP/IP进行端口筛选,使用cmd进入wf.msc配置进出站规则(进入防火墙界面后,点击高级设置即可进入规则将回显请求ICMPv4-in启用);
网络层协议
IP协议 选择最佳路径的协议(RIP,OSPF,EIGRP,BGP)
ICMP:测试网络状态的协议。
pathping+ip 跟踪路径可以看到在哪不通,计算每经过的设备的丢包率来判断此处是否堵塞(网比较卡)。
pathping使用的原理是ttl值(向下走几次),来获取ip地址
arp地址解析协议,通过对方ip获取封装目标mac地址
arp -a 查看arp缓存
MAC地址决定下一跳到那个设备
IP地址决定最终到达的计算机
第3章 IP地址
ip地址4个都是255的是不能跨路由进行广播的,有明确网络号的可以跨路由进行广播。例如10.255.255.255就可以
ABC类网络各有一段私有地址,以10.开头开头的所有地址;以172.16到172.31的和192.168开头的。
169.254(该地址不能上网,家中网络出现该问题多拨号几次就可以了)开头的说明DHCP没有正确分配IP地址,是window自己分配的。
同一局域网的私有地址可以远程桌面访问
网关地址一般设置是该网络的第一个可用地址或者最后一个可用地址。
区分ABC类地址是看前8位的范围,子网掩码只能说明是否在同一网段是否进行了划分
第4节配置思科路由器ciscoIOS
E是普通的ethernet网口FE是100M网口,GE是1000M网口,TE是广域网网口。
交换机或者路由器进行配置输入enable(进入特权模式该模式下才能配置设备,进入后#开头),disable推出特权模式
命令不知道按?,往下看命令直接enter就行。空格键一屏一屏的翻。
show interface
show running-config
show version查看路由器版本
config terminal 配置东西要进入配置终端
interface ethernet 1/0 进入1槽的第0个网口,进入后括号内显示config-if,if代表interface接口的意思,接口配置。
ip address ip地址 子网掩码 设置网口的ip地址
no shutdown 启用该网口(shutdown是不启用该网口),任何命令前都可以加上no 进行取消操作
设置进入配置的密码#下 enable password 密码 该密码可以在show running-config时可以看密码(不安全)
enable secret 密码 在show running-config不可以看到密码,有该密码时,又不安全密码的失效
在#下执行service password-encryption 只要设置密码都会加密
Cisco路由器配置应许telnet
(config)# line vty 0 15 设置最多连接16个虚拟终端
(config-line)# password aaa 设置telnet连接密码是aaa
(config-line)#login 设置必须登录
设置telnet不用登录设置
(config)# line vty 0 15 设置最多连接16个虚拟终端
(config-line)# no password
(config-line)#no login
我们也可以在一个路由器telnet另一个路由器直接telnet ip地址
Password required, but none set 说明登录需要密码,但没有设置,或者更改配置不要密码no password
保存路由器配置在#下执行 copy running-config startup-config,没有这个指令会重启设备啥都没有!!!
域名解析命令
(config)# ip host R2 192.168.0.1 192.168.0.1的域名是R2
(config)#ip domain-lookup 启用域名查找功能
(config)#ip name-server 8.8.8.8 设置询问的域名服务器
广域网(一般设备上是serial的是广域网接口)比以太网多了一个时钟频率,一个发送一个接收,频率越大带宽越高;
设置的DCE数据控制设备,接收的DTE数据终端设备
DCE控制设备需要设置时钟频率。 clock rate 频率 设置始终频率(频率是固定好的需要选择,不知道可以 clock rate ?检索查看)
show controllers serial 2/0 看广域网口2/0是否是数据控制设备
虚拟机VMware 编辑->虚拟网络编辑器,有添加网络,里面有多少,说明就可以最多有多少交换机。
子网ip是选择的vm网络对应的网段,即交换机的子网网络号;
下方有1个:将主机虚拟适配器连接到此网络即勾选后应用保存,会在笔记本上生成对应的网卡(会分配该交换机一个ip),
删除网卡则取消该选项,应用保存即可。
虚拟机和主机发现ping一方,一方通,一方不同,显示网络超时
1 看是否共享设置是否启用发现该主机
2 是否开启了防火墙(一般开启防火墙是unreachable)
3 进入防火墙入栈规则,找到文件和打印共享(回显请求 – ICMPv4-In),启动即可
第5章静态路由
网络畅通的条件:数据包有去有回(经过的路由器都必须知道到目标地址如何转发,回来也是)。
路由器直连的 不需要告诉路由器路由。
路由器没有直连的网络,需要人为设置静态路由(即告诉到目标地址如何转发)。
在当前设备上配置需要到别的设备上的路由,路由表就是目标地址与路由表中的下一网段是否在同一网段,走路由器那个网口可以到
路由器可以通过的网络是本路由器下各个网口的集合+路由表可以到达的网络
添加(删除在前面加no)路由命令 ip route 需要添加的路由网段 子网掩码 下一跳网络地址
例如: ip route 192.168.1.0 255.255.255.0 192.168.0.2 到1.0网段下一跳的网口是192.168.0.2(走下一个路由器的网口和直连路由器该网口一个网段)
查看经过路由 traceroute ip地址
查看路由表命令 show ip route
WINDOWS上添加默认路由(命令不知道都可route /?就会出来提示)
route add 0.0.0.0 mask 0.0.0.0 192.168.0.1
查看路由表 route print 或者netstat -r
有时候PC连接2个网口,一个是局域网,一个internet网,上网发送请求,会有一半的几率(负载均衡)去另一边出现丢包,
此时需要设置路由表,去局域网网的路由时啥,其他都走默认路由0.0.0.0 0.0.0.0 网关ip即可。
PC双网卡都设置网关(默认路由),可能会出现丢包现象,需要添加路由解决该问题(这就是AB网设置路由一个10.175.0.0,一个10.175.128.0的原因)。
网关是本网卡直连的出口(例如PC一个连接网线internet,通过一个网线连接另一个PC,本PC的第二网卡不需要设置网关,
只需要配置ip地址和子网掩码,另一个连接的PC需要访问外网必须设置网关即第一个PC的第2网口的ip地址)
网络排错
检查经过的所有路由器是否能去能回和两边的终端设备是否加gateway(不同网段必须加网关)
区分网络堵塞还是负载均衡导致的,看ping的时间和TTL值,时间几秒,TTL值很大就是网络堵塞造成的。
第6章动态路由
RIP路由协议, 跳数(经过路由器个数) 30秒会动态更新路由表 最大条数16,超过16跳认为目标不可达;
RIP动态路由协议,相当于给每一个端口设置RIP模式,与其相连的路由器端口都需要设置RIP模式
只要与其相连的端口有路由变化就会广播给其设置该模式的端口
(config)#router rip 设置路由器为RIP模式
(config-router)network 192.168.1.0 设置本路由器下所有网口的网段(有几个network几个)加入RIP模式
#show ip route 查看路由表
#show ip protocol
EIGRP增强内部网关路由协议
同时有EIRGP和RIP协议时,增强内部网关路由协议EIGRG的优先级更高先生效,直连时0,人工是1,越小优先级越高
EIGRP优先级90 OSPF优先级110 RIP优先级120
(config)#router eigrp 10 设置路由器为EIRIP模式(10是编号,具有相同编号直连的接口可以共享路由表)
(config-router)network 192.168.1.0 设置本路由器下所有网口的网段(有几个network几个)加入EIRIP模式
network的使用方法: 1 可以将每个网口网关分别network一下
2 或者看是属于ABC类中的那一网段,如果A网看第一个255的部分是否可以涵盖所有,不能则一个一个写;
同理BC网分别写前2段或者3段是否可以涵盖。
OSPF
第7章交换(和局域网息息相关)
集线器 不安全 冲突域 带宽共享
交换机 基于目标地址转发 通过MAC地址每个端口学习建立MAC地址表 端口独享带宽 广播全FF的会转发交换机所有的口上
Switch(config)#interface fastEthernet 0/4
Switch(config-if)#switchport mode access 交换口模式是接主机的口
Switch(config-if)#switchport port-security 启用端口安全
Switch(config-if)#switchport port-security violation shutdown 违反端口安全就关闭
Switch(config-if)#switchport port-security maximum 2 设置最多连接2个主机
设置端口指定到对应mac地址上网
Switch(config)#interface range fastethernet 0/1 - 24 进入范围是1到24 网口
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport port-security
Switch(config-if-range)#switchport port-security violate shutdown
Switch(config-if-range)#switchport port-security mac-address sticky 设置成静态的mac地址,不在学习mac地址表
生成树协议:为了高可用冗余交换机成环,但会引发网络风暴,
通过RP端口、DP端口、NP端口(冗余时该端口不能用,除非另一端不能用才能通过该口转发,需要几十秒左右才能生效)。
交换机只有一个mac地址,该mac用于远程或者设置交换机配置使用
生成树步骤:
1、选择根路由器
2、剩下的路由器距离根路由器最近的端口是RP端口
3、每个链路(网口)选择DP指定端口(可以暂时理解成与RP端口网线直连的网口是DP指定端口)
4、剩下冗余的端口都是NP非指定端口(即冗余正常时不同,否则过几十秒可以通过)
查看交换机端口
Switch#show spanning-tree
更改成为根交换机的优先级,值越小优先级越高(优先级一样,那个mac地址小那个时根交换机)
Switch(config)#spanning-tree vlan 1 priority 4096
关闭生成树协议
Switch(config)#no spanning-tree vlan 1
Vlan虚拟局域网,Vlan相同相当于在同一个交换机;相同vlan在不同交换机,连接的交换机需要设置成干道链路trunk,
用来给不同的Vlan打标签,进行转发(实现在不同交换机相同的Vlan通信,不同的Vlan想要通信想要通信需要3层设备设置路由才能通)。
!!!所有交换机没有设置前所有端口都默认是Vlan 1 !!!
在使用Cisco packet tracer时同种设备相连使用交叉线(像虚线那根)
接入层交换机1创建Vlan步骤
1 创建Vlan
2 将接口添加到Vlan 2
3 将另一端连接汇聚层的网口G 1/1 设置成干路链路
汇聚层3层交换机VLAN1和2设置
1 创建Vlan 2和1
2 将分别连接其他交换机的两路端口G0/1,G0/2设置成干路链路
通过路由实现不同Vlan通信
1将interface vlan 1 IP地址(需要添加的ip)
2将interface vlan 2 IP地址(需要添加的ip)
三层交换机上的配置
Switch(config)#ip routing //启用路由功能!!!!!!!!!!!!!!!!!!
Switch(config)#interface gigabitEthernet 0/2
Switch(config-if)#switchport trunk encapsultion dot1q //设置封装标签模式时dot1q(不同的交换机该模式一般不同)
Switch(config-if)#switchport mode trunk //设置3层交换机该端口为trunk模式
Switch(config)#interface vlan 2 //设置进入vlan是2的所有网口
Switch(config-if)#ip address 192.168.1.1 255.255.255.255.0 //设置逻辑上连接的网口ip即网关
同理vlan 1 也是这样操作
//查看Vlan
Switch(config)#show vlan
//创建Vlan 2
Switch(config)Vlan 2
//批量将网口设置Vlan 2
Switch(config)#interface range fastethernet 0/13 - 24 //批量设置13到24网口
Switch(config-if-range)#switchport mode access //设置为access模式
Switch(config-if-range)#switchport access vlan 2 //将该范围内接口模式为接入层access的网口都设置为vlan2
VTP(vlan trunk proctol)Vlan干道协议,用来解决许多交换机都要设置vlan的问题
在交换机之间传递Vlan管理信息,只能在模式时server上添加Vlan
Switch(config)#vtp domain mingzi 每个需要管理Vlan的交换机都需要执行相同的名字密码
Switch(config)#vtp password mima
Switch(config)#vtp mode client
第8章 网络安全
物理层安全
数据链路层安全:如ADSL拨号上网,Mac地址绑定、交换机端口连接数量控制 创建Vlan等
网络层安全:基于源ip和目标ip进行控制
传输层安全 会话攻击 LAND攻击 syn洪水攻击
应用层安全 登录密码
网络层安全
标准的ACL(1-99):基于源地址进行控制,acl设置的表先后顺序是有影响的,前面的满足后边的就不判断了
Router(config)#no access-list 10 //取消原来的设置10的acl
Router(config)#access-list 10 deny host 192.168.2.2
Router(config)#access-list 10 permit 192.168.2.2 0.0.0.255 //0.0.0.255是反掩码
Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255
//需要使用acl的网口进行添加acl
Router(config)#interface ethernet 1/0
Router(config-if)#ip access-group 10 out 使用10的访问控制列表ACL,出来out检查
//如果只有一个网段不让通过
Router(config)#access-list 20 deny 192.168.3.0 0.0.0.255
Router(config)#access-list 20 permit any
访问控制列表
扩展的ACL(100-199): 基于协议 源地址 目标地址 端口号进行控制
Router(config)#access-list 100 permit ip 192.168.2.0 any //192.168.2.0可以访问任何网络
Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 10.0.0.0 255.255.255.0 eq 80 //192.168.1.0的网段可以访问10.0.0.0端口号为80的网段
Router(config)#access-list 100 permit icmp 192.168.3.0 0.0.0.255 any //3.0网段可以ping通所有网络
将ACL绑定到物理网口
Router(config-if)#ip access-group 10 in
将ACL绑定到远程连接终端VTY(虚拟终端,如telnet,ssh等)
Router(config)#line vty 0 15 //设置0到15共计16个最大连接终端数量
Router(config-line)#access-class 10 in
第9章 NAT和PAT
局域网的ip访问internet无法返回,应为有很多的局域网一样的,需要使用NAT,PAT,静态映射,端口映射等
NAT(最初目的是将私有网络的IP地址映射到公网地址)
PAT
静态映射
端口映射
NAT的3中类型
1 静态NAT是为了在本地和全球地址间应许一对一的映射
2 动态NAT实现一个未注册的ip地址到注册ip池中的一个ip地址
3 服用时最流行的NAT配置类型,也叫端口地址映射(PAT);
通过PAT,可实现上千用户使用一个真实的全球ip地址连接到互联网
地址转换技术:内网可以主动访问外网,外网不能主动访问内网
NAT可以节省公网ip地址 缺点:相对于公网地址路由转发慢的多
内网地址ping自己连接进入外网的公网地址,不访问公网外其它ip,直接单ping这个地址不做地址转换
严格意义上的NAT是一个内网ip对应一个公网ip;
我们常说的NAT
其实是PAT端口地址转换,多个局域网ip通过一个公网ip上网;
PAT端口地址转换:替换源ip地址和源端口号进行实现
PAT设置
Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255
//再设置公网的地址池pool
Router(config)#ip nat pool xjq 131.107.0.1 131.107.0.1 netmask 255.255.255.0 pool池的名字xjq, 131.107.0.1分别是第一个和最后一个公网地址
//再将公网地址池与私网列表关联
Router(config)#ip nat inside source list 10 pool xjq overload //写overload是设置PAT
//再需要直连上公网的网口设置
Router(config)#interface serial 1/0
Router(config)#ip nat outside
//设置连接内网那一段路由器的网口
Router(config)#interface ethernet 1/0
Router(config)#ip nat inside
//想要查看NAT地址转换替换过程
Router#debug ip nat
//查看包是否通过该路由
Router#debug ip packet
端口映射 允许使用公网地址访问私网地址的服务器
Router(config)#ip nat inside source static tcp 10.0.0.6 80 131.107.0.1 80 //相当于直接http://131.107.0.1:80就直接到10.0.0.06:80的内容了
Router(config)#interface serial 1/0
Router(config)#ip nat outside
//设置连接内网那一段路由器的网口
Router(config)#interface ethernet 1/0
Router(config)#ip nat inside
win10的NAT设置时将公网的网卡,属性共享,将需要使用的网络选择即可(充当路由了)
扫一扫
958
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
