软考网络工程师资料.docxVIP

信息的加密：对称密钥：DES、IDEA、AES、RC2-5非对称密钥：RSA消息摘要：放在数据报的后面，并且和数据一块被加密传输，从而确保数据的完整性。算法有：MD5、SHA、HMAC数字签名：防止不可抵赖和确保完整性，算法有：RSA、DAS密钥管理：KMI：适用于封闭网，以传统的密钥管理中心为代表，分发密钥的安全性依赖于信道。PKI：适用与开放网，解决分发密钥时依赖信道的问题。隧道协议：第二层隧道协议：先把各种网络协议封装到PPP中，再把整个数据报装入隧道协议中。协议有：L2F、PPTP、L2TF第三层隧道协议：把各种网络协议直接装入隧道协议中，形成数据报依靠第三层协议进行传输。协议有：IPSEC、GRE第四层隧道协议：有SSL，可以和HTTP相结合。IPsec由2部分 三类协议组成Ipsec安全协议（AH/Esp）和密钥管理协议（IKE）AH：提供认证和数据完整性ESP：提供数据保密SL VPN只对隧道的数据进行加密，而不像IPsec一样对全部的数据进行加密。入侵检测（IDS）的分析方法：1. 异常检测：设定正常的行为，违反就是入侵。2. 非法操作检测：设定违反的行为，属于就是入侵。IPS：入侵防御系统：基于IDS，一端口数据进来，检测后，正常就通过，不正常就丢弃。IPS与防火墙的区别：防火墙只检测数据包的包头，不检测内容。IPS可以做到逐一字节的检查数据包。STP：生成树协议，解决局域网的环路问题。措施：1. 快速端口 portfast：只要设备接入，就立即进入转发状态，特性是要配置在指定的端口上。2. 快速上联 uplinefast：当连接主干交换机的上联端口有故障时就立即切换到冗余端口。3. 快速主干 backbonefast：当主干交换机之间的链路有故障时，直接进入监听状态。信道传输速率：1. 有噪声：使用香农定律：信噪比：=S/N S为信号功率，N为噪声功率通常情况下信噪比的值太大，通常使用分贝（DB）来描述。db=10log 10 *(S/N)若S/N=10. DB=10 若S/N=1000，DB=30V最大的传输速率=H*log 2（1+S/N） 其中的H为带宽,若带宽是3KHz，S/N=1000时则V=3000* log 2（1+1000）=3000 * 9.97=30Kbps。2. 无噪声：使用奈奎斯特定律码元与比特的关系，1位可以表示2码元，若码元取4个数，则要2位。V最大的传输速率=2H*log 2N N为码元个数若：1个无噪声的带宽为3KHz的传输二进制信号。包括8个离散数。N=8V=2*3000* log 28=18Kbps交换方式：通信网络中有许多中间结点，因此信息在传输时要经过这些中间节点，这些结点的转发方式就是交换方式。1. 电路交换：建立临时的通路。2. 报文交换：存储-转发。3. 分组交换：将整份报文分割成若干个定长的数据块。数字编码：用于局域网：曼彻斯特编码、差分曼彻斯特编码曼彻斯特编码：从高到底为1，从低到高为0，也可以相反，常用于以太网。差分曼彻斯特编码：遇1翻转，遇0不变。常用于令牌环网。用于广域网：4B/5B、8B/10B纠错、检错技术1. 海明码：海明距离：任意2个合法编码（码字）之间不同的二进制数位的个数叫作这个码字的海明距离。如1的码字为0110001，2为0110010,3为0110011则1与2的海明距离为2 。 1与3的海明距离为1。2与3的距离为1。若编码的海明距离为d。，则检错能力为=d-1个，纠错能力为=(m+n+1)2. CRC校验码：只检错，不纠错，容易采用硬件电路实现。若生成的多项式（发送方与接收方共同约定）为X4+X3+X+1 则二进制为11011，根据其幂次的值决定。然后信息除以多项式，得到的余数就是校验码。检查错误：（信息码+校验码）/多项式，整除就是对的。流量控制1. 停等协议：适用于单工通信，利用率：E=1/(2a+1) a为帧计算长度2. 滑动窗口协议：适用于双工通信 E=W/(2a+1)差错控制1. ACK：肯定应答2. NCK：否定应答3. 超时重发：4. ARQ:自动重发技术广域网技术：五种1. HDLC：高级数据链路控制协议、面向比特。帧校验字段是对标志字段以为的其他字段的校验和。三种帧类型“1） 信息帧（I帧）：承载了用户的数据。2） 管理帧（S帧）：进行流量和差错控制3） 无编号帧（U帧）：用于链路控制。2 X.25：分组交换数据网面向连接的，利用虚电路传递各个数据分组。3. 帧中继：只检错、不重传、只有拥塞机制核心协议时LAPD，与X.25类似。也是采用虚电路的方式提供面向连接。DLCI：数据链路连接标示符。不适用于对延迟较敏感的应用。4. ISDN：综合业务数据网1）基速率接口（ISDN-BRI）：2B+D, D为16Kbps。2）主速率接口（ISDN-PKI）：30B+2D，都为64Kbps。5.ATM：异步传输模式由于ATM通常在光纤的基础上建立的，因此它是不提供应答的，将少量的错误交给高层处理，对于偶然的信元错误时不重传的，对于要重传的通信由高层处理。vp-虚通路 vc-虚信道 ，VP由多个VC捆绑的。53字节的信元，由5字节的信元和48字节的数据组成。局域网技术：三种最核心的局域网技术：CSMA/CD 、令牌总线、令牌环CSMA/CD：载波监听多路访问/冲突检测应用于wlan的是CSMA/CS(载波监听多路访问/冲突避免)分类有：1. 非坚持型监听算法。2. 坚持监听算法3. P-坚持监听算法MAC的最小帧的长度为：64字节。最长为1518.城域网技术采用的是DQDB、FDDIDQDB：802.6协议，分布队列双总线，传输介质用的是光纤，每个站有2条总线，一条发送，一条接收。网络互联与协议交换机：数据链路层，根据物理地址进行转发，常适用局域网。路由器：网络层，根据逻辑地址进行转发，常适用于广域网。网关：高层，适用于局域网/城域网的互联。数据链路层的设备可以隔离物理层的冲突域，网络层的设备可以隔离数据链路层的广播。IPsec VPN配置(isakmp)R1(config)#crypto isakmp enable -启用IKER1(config)#crypto isakmp policy 20 -配置IKE策略20R1(config-isakmp)#authentication pre-share -在IKE协商过程中使用预共享密钥认证R1(config-isakmp)#exitR1(config)#crypto isakmp key 378 address -配置于对方IP的预共享密钥为378R3(对应方)配置R3(config)#crypto isakmp key 378 address -配置预共享密钥为378路由协议：1. 内部网关协议-IGP:包括RIP、OSPF、IGRP、EIGRP、IS-IS。2. 外部网关协议-BGP：包括BGP（利用TCP，面向连接）路由算法：1D-V：距离矢量算法：RIP(最大跳数15,30S一广播)，IGRP(不支持VLSM).2L-S：链路状态算法：OSPF（最短路径选择），IS-IS3平衡算法：EIGRPVLSM：可变长子网掩码CIDR：聚网-无类域间路由反子网掩码的有：OSPF、EIGRP、ACLOSPF 开放最短路径优先route(config)#route ospf 1route(config-router)#network 网络号 反码子网掩码 area ID -ID为0表示主干route(config-router)#network 55 area 0ACL：访问控制列表：有标准ACL和扩展ACL,子网为反码。执行时的原则：最小特权法、最靠近受控制对象、默认丢弃原则。标准ACL：deny：拒绝、permit ：允许标准:access-list id(199) deny|permit 源IP net-mask(反码) | host 源IP | any建立ACL列表，序列为2，拒绝 IP 192.168.00.25的主机通过扩展：access-list id(100199) deny|permit 协议 源IP 子网 目的IP 子网 option|略过定义扩展ACL，序列号101.拒绝IP6到48的tcp访问，端口为80把ACL添加到端口里，Switch(config-if)#ip access-group ACL的ID in|outin:进站，从外面到里面。一般是接收。out:出站，从里面到外面，一般是发送。VTP(Vlan Trunking Protocol) : VLAN中继协议，思科私有协议。VTP有三种模式：服务器模式：可以配置VLAN，并把这些信息广播到网上的其他交换机。客户模式：不能配置VLAN，只能被动的接收其他服务器的vlan信息。透明模式：可以配置VLAN，不能广播这些信息，但可以接收其他服务器的vlan信息。配置VTP协议switch#vlan database (进入vlan配置模式)switch(vlan)#vlan 2 name v2 (创建vlan2 并命名为v2)switch(vlan)#vtp server (设置本交换机为server模式)switch(vlan)#vtp domain vtpserver (设置域名)switch(vlan)#vtp pruning (启用修剪功能)switch(vlan)#exit 配置vlan trunk端口switch#config ter switch(config)#inter fa0/24 -进入端口24配置模式switch(config-if)#switchport mode trunk -设置当前端口为Trunk模式switch(config-if)#spanning-tree portfast -配置当前端口为快速端口switch(config-if)# switchport trunk allowed vlan all -设置允许从该端口交换数据的vlanswitch(config-if)# switchport trunk native vlan ID -允许本地switch(config-if)# switchport trunk encapsulation dot1q -封装采用dot1q（802.1q协议 ）将端口加入某个VLAN中switch#config terswitch(config)#inter fa0/23 -进入端口23配置模式switch(config-if)#switchport mode access -设置该端口为静态vlan访问模式switch(config-if)#switchport access vlan 2 -把端口加入到vlan2路由器的基本配置共有3个主模式：用户执行模式：用户只能发出有限的命令，这些命令对路由器的正常工作没有影响。特权模式：可以发出丰富的命令。以便控制和使用路由器。配置模式：创建和更高路由器的配置。route -用户执行模式提示符 routeenable -进入特权模式命令route# -特权模式提示符route#config terminal -进入配置模式route(config)# -全局配置模式route(config)#interface fastetheret0/1 -进入接口配置子模式route(config-if)# -接口配置子模式提示符配置默认路由Route(config)#hostname route -设置主机名route(config)#interface fa0/0route(config-if)#ip address -配置端口的IP地址route(config-if)#exitroute(config)#ip routing -启动路由器配置route(config)#ip route -配置默认路由route(config)#ip route -ip route 目的IP 目的子网掩码 下一跳的IP -IP地址和子网掩码都是0的时候，表示默认路由设置内部外部端口route(config)#inter fa0/1route(config-if)#in nat inside -设置为接内部网络route(config-if)#inter