2025年网络工程师四级备考攻略核心考点梳理与实战演练

网络工程师总结

1、（1）、HFC的基本构造：

电视头端（接受多种信源的电视频道）、长距离干线（高质量的同轴电缆）、放大器、馈

线与下引线（一般的CATV同轴电缆）构成。

老式有线电视网络重的放大器是单向地从头端传播到顾客的模拟信号。经双向传播改

造，双向传播服务成为也许。

光纤结点通过同轴电缆下引线可认为500-个顾客服务。

HFC改善了信号质量，提高了传播的可靠性，线路可以使用的带宽甚至高达1GHz

电话拨号上网的速率一般是36.6-56.6kbps；当地电话企业提供的ISDN的速率是

128Kbps；使用ADSL专线上网的速率是1.8Mbps,传播距离不超过5km,使用CableModem,

通过有线电视宽带接入Internet的，数据传播速率可达10-36Mbps

有线电视网络重要的长处是频带宽、速度快，重要的缺陷是存在回传信道干扰，多顾

客对有限带宽的争用影响接入速率、建设和双向改造的造价高。

（2）、电缆调制解调器CableModem的分类:

电缆调制解调器CableModem是一种专门运用有线电视网络进行数据传播设计的，它把

计算机与有线电视同轴电缆连接起来，运用频分复用的措施将双向信道分为上行信道（带宽

为200Kbps10M）和下行信道（带宽最高可达36Mbp5）。

分类:从传播方式上分为双向对称式和非对称式，对称式速率为2-4Ubps,最高为IQUbps,

非对称式速率为下行30Mbps,上行为500kbps-2.56Mbps.

从数据传播方向上可以分为双向和单向。

从同步方式上可以分为同步和异步互换两类。同步类似于Ethernet网，异步互

换类似于ATM技术。

从接入的角度可以分为个人CableModem和宽带多顾客CableModem（具有网桥

功能，可以将一种计算机局域网接入）。

从接口的角度分为外置式（缺：通过网卡连委计算机）、内置式和交互式机顶盒

三种。

2.

802.11定义了使用红外、调频扩频、直接序列扩频技术，传播速率为1或2Mbps的无

线局域网原则。

802.11b定义了使用直序扩频技术，传播速率为1Mbps、2Mbps、5.5Mbps、11Mbps的无

线局域网原则。

802.11a将传播速率提高到了54Mbps.

802.11定义了物理层和媒体访问控制MAC协议的规范

802.11定义了两种类型的设备：无线结点（由一台接入设备上加一块无线接口卡构成）

和无线接入点（作用是提供无线和有线网络之间的桥接，由一种无线输出口和一种有线的网

络接口（802.3接口）构成，桥接软件符合802.Id协议）。

802.11最初定义的三个物理层包括了两个扩频技术和一种红外传播规范，无线传播的

频率定义在2.4G的ISU波段内，这个频段属于非注册使用频段。扩频技术保证了802.11

的设备在这个频段上的可用性和高可靠性的吞吐量，可以保证同其他使用同一频段的设备互

相不影响。

802.11原则定义的传播速率为1Mbps和2Mbps,可以使用FHSS（调频扩频和）DSSS

（直序扩频）技术，两者在运行机制上完全不一样，使用这两种技术的设备没有互操作性。

802.11无线局域网协议中，冲突检测存在“Near/Far”（检测冲突）现象，因此采用了

新的协议CSMA/CA或者DCF（分布式协调功能），运用ACK信号来防止冲突。（只有当客户端

受到网络上返回的ACK信号后来才能确认发送的数据已经对的的抵达目的）。

此外一种MAC层的问题是"hiddennode”问题,为此802.11引入了一种Scnd/Clcarto

send（RTS/CTS）选项。

在802.11协议中，每一种在无线网络中传播的数据报都被附加上了校验位以保证他在

传播中不会出现错误。802.11还具有分片的功能。

802.11b运作模式分为点对点模式（最多可连接256台主机）和基本模式（无线网络扩

充和有线网络并存时，插上无线网卡的PC通过接入点与另一台PC相连，一种接入点最多可

连接1024台PC）o

802.11b的经典处理方案：对等处理方案、单接入点处理方案（接入点相称于有线网络

中的集线器，无线接入点可以连接周围的无线网络终端，形成星形网络构造，同步通过

10base-t端口与有线网络相连，所有无线终端都能访问有线网络的资源，并可通过路由器

访问Internet）.多接入点处理方案（网络规模较大，超过了单个接入点的覆盖范围，就得

采用多种接入点）、无线中继处理方案、无线冗余处理方案（两个接入点放在同一位置）、多

蜂窝漫游工作方式。

3）.宽带城域网保证服务质量规定的技术重要有：资源预留RSVP、辨别服务DiffServ

与多协议标识互换MPLS.

服务质量重要体目前延时、抖动、吞吐量和包丢失率。

管理和运行宽带城域网的关键技术重要有：带宽管理、网络管理、顾客管理、服务质

量QOS、记录与计费、IP地址的分派与地址转换、网络安全。

宽带城域网在组建方案中，一定要按照电信运行级的规定，考虑设备冗余、线路冗余、

路由冗余、系统故障的迅速诊断和自动修复。同步宽带城域网必须充足的考虑网络袭击的问

题。

4）弹性分组环RPR是直接在光纤上高效传播IP分组的传播技术。其原则是802.17

环形构造是目前城域网的重要拓扑构型

弹性分组环RPR采用双环构造，这一点与FDDI构造相似。两个RPR结点之间裸光纤间

的距离可达100km,其中顺时针传播的光纤叫外环，逆时针传播的光纤叫内环。内环和外环

都可以采用记录复用的措施传播IP分组，同步可以实现“自愈环”的功能。内环和外环都

可以传播数据分组和控制分组。每一种结点都可以使用两个方向的光纤与相邻结点通信。

RPR技术重要的特点：带宽运用率高、公平性好（每一种结点都执行SRP公平算法、加

权公平法则和入口、出口速率限制）、迅速保护和恢复能力强（50ms可以隔离出故障的结点

和光线段）、保证服务质量（优先级）。

5）路由器背板互换能力不小于40G的称为高端路由器，低于40G的称为中低端路由器。

高端路由器一般用作关键层的主干路由器，企业级踌由器一般用作汇聚层的路由器，低

端路由器一般用作接入层的接入路由器。

路由器的关键技术指标：

吞吐量：指路由器的包转发能力。设计两个方面的内容：端口吞吐量和整机吞吐量。路

由器的包转发能力与路由器端口数量、端口速率、包长度和包类型有关。

★背板能力：高性能路由器一般采用是互换式构造。背板能力决定了路由器的吞吐量。

丢包率：一般是衡量路由器超负荷工作时的性能指标之一。

延时与延时抖动：与包长度和链路传播速率有关，高速路由器规定长度为1518B的IP

包，延时不不小于1ms.延时抖动是指延时的变化量。

突发处理能力：以最小帧间隔发送数据包而不引起丢失的最大发送速率来衡量。

路由表容量：Intemet规定执行BGP协议的路由表一般要储存数十万条路由表项。高

速路由器必须满足存储25万个BGP对等实体地址和50万个IGP邻居的网络地址。

服务质量：重要体目前队列管理机制、端口硬件队列管理、支持Q0S协议。

网管能力：

可靠性与可用性：路由器的冗余是为了保证设备的可靠性和可用性。重要体目前设备冗

余、热拔插组件、内部时钟精度、无端障工作时间。路由器的冗余重要体目前接口冗余、电

源冗余、时钟板冗余、系统板冗余、整机设备冗余。

经典的高端路由器的可靠性与可用性指标应当到达：

1.无端障工作时间不小于10万个小时。

2.系统故障恢复时间要不不小于30分钟。

3.系统具有自动保护和切换功能，主备用切换时间不不小于50毫秒。

4.SDH和ATM接口自动保护功能，切换时间不不小于50毫秒。

5.主处理器、主存储器、互换矩阵、电源、总线管理器与网络管理接口等重要设备需

要有热拔插冗余备份，显卡规定有备份，并提供远程测试诊断能力。

6.系统内部不存在单故障点。

6)(24xl(X)+4xlO(X))x2=12800

互换机的重要技术指标：

1.背板能力：

★2.全双工端口带宽:端口x数端口速率x2

3.帧转发速率：每秒钟可以转发的帧的最大数量

4.机箱式互换机的扩张能力

5.支持VLAN能力：

7.服务器的性能重要表目前：

1.运算处理能力：

2.磁盘存储能力：表目前磁盘存储容量与I/O服务速度上，而决定这两个参数的原因

又在于磁盘接口总线与硬盘两个方面。

★3.系统高可用性：MTBF/(MTBF+MTBR)其中MTBF为平均无端障时间，MTBR为平均修复

时间

假如系统高可用性到达99.9%,那么每年的停机时间48.8小时；假如系统高可用

性到达99.99%,那么每年的停机时间＜53分钟；假如系统的高可用性到达99.999%,

那么每年的停机时间45分钟。

4.可管理性：

5.可扩展性：

8.略

★9.IP地址短缺的修复措施是NAT网络地址转换，其设计的基本思绪是为每一种企业分派一

种或少许的IP地址，用于传播Internet流量。在企业内部的每一台主机分派一种不可以在

Internet上使用的保留的专用的IP地址。专用IP地址用于内部网络的通信，假如需要访

问外部Internet主机，必须由运行网络地址转换的主机或是路由器将内部的专用IP地址转

换为全局的IP地址。

NAT措施的局限性：

1.违反了IP地址构造模型的设计原则

2.使IP协议由面向无连接变成了面向连接

3.违反了基本的网络分层构造模型的设计原则

4.使得P2P应用实现出现困难

路由信息协议规定路由器周期性地向外发送路由刷新报文。路由刷新报文重要内容是由

若干个（V,D）构成。（V,D）表中V代表矢量（Vector），标识该路由器可以到达的目的网络

或目的主机；I）代表距离（distance）,指出该路由器抵达目的网络或目的主机的距离。距

离D对应当路由器上的跳数（hopcount）o其他路由器在接受到某个路由器的（V.D）报文

后，按照最短途径原则对各自的路由表进行刷新。

★14.与RIP相比较，OSFF具有如下特点：

OSPF使用的是分布式链路状态协议而RIP使用的是距离向量协议。

OSPF协议规定路由器发送的信息是本路由器和哪些路由器相邻，以及链路状态的度量

（费用、距离、延时、带宽工

OSPF规定当链路状态发生变化是使用洪泛法向所有路由器发送信息，而R1P只向相邻

的几种路由器发送信息。

所有的路由器都最终能建立一种链路状态数据库，这个数据库实际上就是全网的拓扑

构造图，且在全网范围内保持一致。RIP虽然懂得到所窄网络的距离和下一跳路由器，但不

懂得全网的拓扑构造。

为了适应规模很大的网络，是其更新过程收敛速度更快，OSPF协议将一种自治区域划

分为若干个更小的范围，叫做区域。每个区域有一种32位的区域标识符（点分十进制），在

一种区域内的路由器的个数不超过200个。划分区域的好处是将运用洪泛法将链路状态信息

的范围局限在每一种区域内而不是整个自治系统。因此句一种区域内部的路由器只懂得该区

域内的完整拓扑构造而不懂得其他区域的网络拓扑构造。

为了使每一种区域都和其他区域进行通信，OSPF协议使用层次构造的区域划分。它将

一种自治系统内部提成主干区域和若干区域。主干区域的路由器称为主干路由器，连接各个

区域的路由器叫做区域边界路由器。在主干区域内还要有一种路由器专门和该自治系统之外

的其他自治系统互换路由信息，这样的路由器叫做自治系统边界路由器。

OSPF协议执行过程中路由器的初始化过程中OSPF让每一种路由器用数据库描述分组

和相邻路由器互换本数据库中已经有的链路状态摘要信息。在网络运行过程中由于一种路由

器的链路状态只波及相邻路由器的状态信息，因而与整个Internet的规模无关。

15.互换机的分类：

互换机按多支持的局域网原则可以分为以太网互换矶、FDDI互换机、ATM互换机、令牌

环互换机。根据互换机所支持的传播速率和介质原则，以太网互换机可以分为迅速以太网互

换机（100Mbps）,千兆以太网互换机（1Gbps）、万兆以太网互换机（10Gbps）o

按互换机的架构可以分为单台互换机、堆叠互换机,箱体模块化互换机。

按互换机工作在0SI参照模型的层次分类：工作在数据链路层的二层互换机（没有路由

功能），工作在网络层的三层互换机，工作在传播层的匹层互换机和多层互换机。

16.综合布线系统常用的传播介质有双绞线和光缆。双绞线扭绞的目的是使对外的电磁辐

射和遭受外界的电磁干扰减少到最小。UTP是非屏蔽双线线，STP具有屏蔽作用。

连接硬件包括主件的连接器（适配器），成对连接器及接插软线，但不包括某些应用系

统对综合布线系统用的连接硬件，也不包括有源或无源电子线路的中间转接器或其他器件。

综合布线采用的重要的连接部件分为建筑群配线架CD、大楼主配线架BD、楼层配线架

FD、转接点TP、通信引出端TO。FD和TP之间的水平线缆的最大长度不要超过90米。

信息插座大体可以分为嵌入式安装插座（双绞线）、耒面安装插座、多介质信息插座（铜

缆和光纤）。

17.BPDU数据包又两种类型，一种是包括配置信息的配置BPDU（不超过35个字节），另一

种是包括拓扑变化信息的拓扑变化告知BPDU（不超过4个字节）。配置BPDU中包括的Bridge

ID是选用根网桥和根互换机的重要根据。BridgeID最小的为根网桥或根互换机。BridgeID

与RootID相似，他们都用8个字节表达，Bridge【I）有两个字节的优先级和六个字节的互

换机MAC地址构成。优先级的取值范围为0-61440,增量是4096,值越小，优先级越高，一

般互换机的默认设置为32768。

BPDU携带了实现生成树协议算法的有关信息，包括RootID、RootPathCostsBridge

ID、PortID、Hollotime、MaxAge等。

18.在互换设备之间实现Trunk功能，必须遵守相似的VLAN协议。IEEE802.1Q可以使不一

样厂商的互换设备互连在一起，并提供Trunk功能，使网络更具开放性。

虚拟网VLAN是以互换式网络为基础，把网络上终端设备划分为若干个逻辑工作组，每

个逻辑工作组就是一种VLAN.它是一种独立的逻辑网络，具有单一的广播域，不受实际互

换机区段的限制，也不受顾客实际物理位置和物理网段的限制。逻辑组的设定是在软件中完

毕的。虚拟网技术提供了动态组织工作环境的功能。

VLAN的技术特性：

工作在数据链路层。

每个VLA,都是一种独立的逻辑网段，一种独立的广播域。VLAN的广播信息只发送给同

一种VLAN的组员，不发送给其他VLAN的组员。

每个VLAN都是一种独立的逻辑网络，他们都又唯一的子网号，VLAN之间不能直接通信，

是由于必须通过第三层的路由功能，而它只工作数据链路层。

VLAN一般用VLANID（VLAN号：由12位构成，可以支持4096个VLAN,「1005是原则范

围，1025~4096是扩展范围,可用于以太网的是2^1000,FDDI和TokenRing的是1002〜1005）

和VLANname（VLAN名：32位标识符构成，可以是字母知数字）来标识，1是缺省VLAN,只能

使用但不能删除它。

VLANTrunk（虚拟局域网中继技术）是互换机和互换机之间或互换机和路由器之间存

在一条物理链路，而在这一条物理链路上传播多种VLAN信息的技术。

VLANTrunk的原则机制是帧标签。帧标签为每个帧指定一种唯一的VLANID作为识别

码，表明该帧是属于哪个VLAN的。它在传送数据帧抵达网络主干时，会在每个帧的表头中

放置一种唯一的识别码，互换机会解析与测试识别码。当数据帧从网络主干转发至目的终端

之前，互换机先除掉这个识别码。

划分VLAN的措施：

基于端口划分VLAN（静态VLAN）

基于MAC地址划分VLAN（动态VLAN）：连接到每个互换设备的MAC地址。需要一种保

留VLAN管理数据库的VALN配置服务器。

基于第三层协议类型或地址（动态VLAN）

VTP是VLAN中继协议，也称VLAN干道协议。VTP具有三种工作模式：VTPServer（维

护VTP域中所有VLAN表信息，可以建立、删除或修改VLAN）、VTPClient（维护所有VLAN

表信息,VLAN配置信息是从VTPServer中学到的，可是他不能建立、删除和修改VLAN）、VTP

Transparent（相称于是一种独立的互换机，不从VTPServer学习VLAN的配置信息，不参

与VTP工作，只拥有本设备上维护的VLAN配置信息，可以建立、删除或修改本机上的VLAN）。

配置vtp域名：1.进入全局配置模式

Switch-PHY-3548（config）#

2.配置vtp域名Switch-PHY-3548#vtpdomainpku（设置vtp

域名为pku）

配置vtp工作模式：

S»vitch-PHY-3548（config）ftvtpmodeclient

Switch-PHY-3548（config）#vtpmodetransparent

建立和删除VLAN：1.建立VLAN进入VLAN配置模式Switch-PHY-3548#vlandata

Switch-PHY-3548(vlan)#

建立VLANSwitch-PHY-3548(vlan)#vlan1000namevlan1000

退出并返回特权顾客模式

2.删除Siich?ll\：：.nS(vl=\1..Ano■.1000

3.修改VLAN1000r'vlar.1000

为互换机端口分派VLAN：进入互换机端口配置模式、「一

Switch-PHY-3548(config)ttint

fo/24

Switch-PHY-3548(config-if)#

为端口分派VLANSwitch-PHY-3548(config-if)Hswitchport

accessvlan248

VLANtrunk的配置：进入互换机接口配置模式

Switch-PHY-3548(config-if)#int

fo/24

配置VLANtrunk模式

[settrunk5/1ondotIq]

封装VLAN协议

trunkencapsulationdotlq

Switch-PHY-3548(config-if)#switchport

trunkencapsulationisl

Switch-PHY-3548(config-if)#switchporttrunk

(自动协商)

设置容许中继的VLANSwihPHY-3548(confiif)ttswitchporttrunkallowedv1an

10,14

Switch-PHY-3548(config-if)#switchporttrunkallowed

vlan10-24

Switch-PHY-3548(config-if)ttswitchporttrunkallowedvlan

except100-1000

[settrunk5/1vlan37-42在端口5/1的容许VLAN列表中添

加37~42号VLAN][cleartrunk5/243-36从端口5/24的容许VLAN列表中清除3~36VLAN】

19.略

20.生成树协议STP是一种二层链路管理协议，他的重要功能是保证网络中没有回路的状况

下，容许在二层链路中提供冗余途径，以保证网络可靠、稳定的运行。

目前最流行，应用最广泛的STP协议是IEEE.1D原则。

STP的基本工作原理是：通过在互换机之间传递网桥协议数据单元BPDU,并用生成树

算法对其进行比较计算。

BridgeII)有两个字节的优先级和六个字节的互换机MAC地址构成。优先级的取值范围

为0-61440,增量是4096,值越小，优先级越高，一般互换机的默认设置为32768。当优先

级相似时，那么就要根据MAC地址决定根网桥，MAC地址小的路由器就是根网桥。

21.

m.，56.2/NA

WK2O<Wk«<M.7cO

00^0<024S-«7-A

2224.S4,V24

22J.4.57.L24RI

WJO-02-l5->>7-Of

|&>d>O2出&画

址

切457,224

|：2?二，2?又1『(---1R?>243t”4

0(X：l-3a-4b.i>^SS

J<--------

路由器的基本功能是路由选择和分组转发。

路由选择的关键是确定下一跳路由器的IP地址。

路由选择算法根据各自的判断准则为网络上的路由产生一种权值，权值越小路由越

佳。

路由表的内容重要有目的网络地址、下一跳路由器地址和目的端口、缺省路由信息。

缺省路由又称缺省网关，它是配置在主机上的TCP/IP属性的一种参数。缺省网关

是与主机在同一种子网的路由器的端口的IP地址。

在数据分组通过每一种路由器转发时，分组中的目的MAC地址是变化的，但它的目

的网络地址是不变的。

22.路由器的硬件构成：CPU（中央处理器）、Memory（内存）、Storage（存储器）和Interface

（接口）。

路由器的软件为互联网操作系统I0S构成。

CPU负责实现路由协议、途径选择计算、互换路由信息、查找路由表、分发路由表、维

护多种表格以及转发数据包。

路由器内存用于保留路由器配置、路由器操作系统、路由协议软件等。路由器内存重

要有：只读内存ROM（永久保留路由器的开机诊断程序、引导程序和操作系统软件，重要任

务是完毕路由器的初始化进程，详细包括路由器启动时的硬件诊断，装入路由器操作系统

10S）、随机存储器RAM（存储路由表、迅速互换缓存、ARP缓存、数据分组缓冲区和缓冲队

列、运行配置文献，以及正在执行的代码和某些临时数据信息。）、闪存Flash（存储目前使

用的操作系统映像文献和某些微代码）、非易失随机存储器NVRAM（存储启动配置文献和备

份配置文献）

路由器接口重要有局域网接口、广域网接口和路由器配置接口。

23.IP地址的动态分派便用动态主机配置协议DHCP,但仍然不能处理IP地址的冲突问题。

DHCP采用的是客户机/服务器（Client/Server）工作模式

DHCP服务器重要完毕两个功能：建立和管理IP地址池，接受并处理顾客提出的DHCP

祈求。

DHCP客户端的重要功能是提交DHCP祈求。

DHCP协议容许使用备份DHCP服务器的功能。

DHCP客户从DHCP服务器申请IP地址的环节是：客户机发送一种“DHCPDISCOVER”广

播包给服务器，服务器用一种“DHCPOFFER”单播数据包予以应答，并提供客户机所需的

TCP/IP的属性配置参数（IP地址、子网掩码、缺省网关、域名和域名服务器的IP地址）。

然后主机发送一种“DHCP花QUEST'广播包给服务器，确认与此服务器建立地址租借关系，

并通告其他的DHCP服务器。正常状况下，服务器会恢复一种“DHCPACK”广播包给客户机，

这是一种确认互相关系的应答包。

DHCP客户机广播“DHCP发现”消息时使用的源IP地址是0.0.0.0

路由器互换机上DHCPIP地址池的配置内容：IP地址池的子网地址和子网掩码、缺省

网关、域名和域名服务器的IP地址、IP地址的租用时间和取消地址池冲突记录日志等参数。

在下，配置IP地址池的名称，并进入DHCPPool配置模式。

Router(config)#ipdhcppoolttt

Router(dhcp-config)#

Router(config)#ipdhcppool234

Router(dhcp-config)#

在下配置子网地址和子网掩码的措施是：

network〈网络地址》＜子网掩码＞

Router(dhcpconfig)^network201.23.98.0255.255.255.0

Router(dhcp-config)#

Router(dhcp-config)4network/24

Router(dhcp-config)#

配置不用于动态分派的IP地址是在下

201.23.96.2201.23.96.10(排除从

201.23.96.2到201.23.96.10的一段IP地址)

Router(config)#

201.23.96.21：(排除单个IP地址)

Router(config)#

配置IP地址池的缺省网关：在下

,201.23.98.1命令中的网关地址最多容许配

置8个。

Router(dhcp-config)#

配置IP地址池的域名：在下

Router(dhcp-conf,ig)#domain-namepku.edu.cn

Router(dhcp-config)#

配置IP地址池的域名服务器的IP地址：在下

s212.105.129.27212.105.129.26【第一种是

主域名服务器的IP地址背面的一种是辅助域名服务器域名的IP地址】

Router(dhcp-config)#

配置IP地址池的租用时间：设置租用时间为5个小时在下

,05【可以以日、时、分'秒为单位也可以设置为无限时间

infinite]

Router(dhcp-config)#

取消地址冲突记录E志：在下Mr

logging

24.访问控制列表重要有两种类型，一种是原则访问控制列表，另一种是扩展访问控制列

表。原则访问控制列表只能检查数据包的源地址。原则方问控制列表的表号范围是r99,

后来扩展到13001999.扩展访问控制列表可以检查数据包的源地址和目的地址，还可以检

查制定的协议、端口号。扩展访问控制列表的表号为100~199,后来扩展到~2699。

在配置访问控制列表时，“access-list”只能使用表号标识列表，而“ipaccess-list”

既可以使用表号，也可以使用名字标识一种访问控制列表。在配置了访问控制列表之后，还

必须配置其对应的接口才能控制数据流的流入或流出。

在配置过滤准则时，要尤其注意ACL的语句次序。

在配置访问控制列表的源地址和目的地址时，在容许和拒绝的IP地址背面，有一种参

数是wildcard-mask-通配符(或通配符掩码)的意思，为32位二进制表达，实际上是掩码

的反码。通配符作用是指出访问控制列表过滤的IP地址范围。通配符为。表达检查对应的

某位，通配符为1表达忽视，不检查对应的某位。

配置访问控制列表的详细环节是：首先是定义一种原则的或是扩展的访问控制列表，

然后为访问控制列表配置过滤准则，最终在配置访问控制列表的应用接口。

配置原则访问控制列表：在下：

Router(config)#access-list10permit0.0.0.255

Router(config)ft

配置应用接口：4>।"i..'

Router(config-1ine)#access-c1ass10in

access-class是控制路由器发起的telnet会话，不进行包过滤

access-group是控制、接口上进出的数据包流量

用accessclass将访问控制列表施加于VTY线路，或WED接口，accessgroup则施加

到接口

用在不一样的接口啊，在控制台口与VTY口用ACCESS-CLASS,别的一般用IPACCESS-CROUP

限制他人telnet你的时候用access-class

linevty()4是什么意思？(重要解释一下()4)

0-4指的是虚拟终端的五条虚拟线路，通过TELNET可以连接

查看访问控制列表的配置信息：在下：

查看访问控制列表：在下：

只容许源地址为182.105.130.111和222.112.7.56的两台主机登录路由器

在下：miI182.105.130.Ill

Router(config)#access-list20permit222.112.7.56

Router(config)0access-ist20denyany

配置应用接口：

Router(config-]ine)#access-class20in

严禁地址为非法地址的数据包进入路由器或从路由器输出

在下：-list30deny10.0.0.0

55log

Router(config)#access-list30deny192.168.0.0

0.0.255.255

Router(config)#access-list30deny127.G.0.0

0.255.255.255

Router(config)#access-list30deny172.16.0.0

0.15.255.255

Router(config)^access-二ist30permitany

配置应用接口：

Rout.er(config-if)#ipaccess-group30in

配置扩展访问控制列表:

拒绝转发所有IP地址进出的，端口号为1434的UDP协议数据包

在下：

Router(config)#access-list30permitipanyany

Router(config)#

扩展访问控制列表实现Routci'(config)#ipaccess-listextended130（进

入扩展访问控制列表）

Router(config-ext-nacl)itdenyudpanyanyec1434

Router(config-ext-nac1)ttpermitipanyany

Router(config-ext-nacl)#

配置应用接口：

Router(config-if)ipaccess-group130in

Router(configif)#ipaccessgroup130out

Router(config-if)#

封禁某一台主机

在下：110

202.112.60.230anylog

Router(config)#acccss-list110denyipanyhost

202.112.60.230log

Router(config)#access-list110permitipanyary

配置应用接口：1

Router(config-if)#ipaccess-group110in

Router(config-if)#ipaccess-group110out

封禁ICMP协议,只容许162.105.141.0/24和202.38.97.0/24子网的ICMP数据包通

过路由器。在下：

Router(config)^access-1ist198permitiemp162.105.141.00.0.0.255any

Router(config)#access-list198permitiemp202.38.97.00.0.0.255any

Router(config)Uaccess-Iist198denyiempanyany

Router(config)#access-list198permitipanyany【是peimitip还是peimitiemp]

Router(config)#

配置应用接口：1',g0.1

Router(config-if)#ipaccess-group198in

Router(config-if)#ipaccess-group198out

用名字标识符访问控制列表的配置措施：

严禁源地址为非法地址的数据包进入路由器或从路由器输出

在下：

Router(config)ftipaccess-1iststandardtest

Router(config-std-nacl)^deny10.0.0.00.255.255.255log

Router(config-std-nac1)ttdeny192.168.0.00.0.255.255

Router(config-std-nacl)ttdeny127.0.0.00.255.255.255

Router(config-std-nac1)ttdeny172.16.0.00.15.255.255

Router(config-std-nacDepermitany【是不是应当是permiIipanyany]

配置应用接口：

Router(config-if')#ipaccess-grouptestin

Router(config-if)Sipaccess-grouptestout

严禁端口号为1434的UTP数据包和端口号为444的TCP数据包

在下：

Router(config)ipaccess-1istextendedblockl434

Router(config-ext-nac1)tidenyutpanyanyeq1434

Router(configextnacD0dcnytepanyanycq444

Router(conTig-ext-nacDtipermitipanyany

Router(config-ext-nacl)

25.在一种大楼中或是很大的平面里面布署布线无线网络时，可以布置多种接入点构成一

套微蜂窝系统。微蜂窝系统容许顾客在不一样的接入点覆盖区域内任意漫游。伴随位置的变

化，信号会由一种接入点刍动切换到另一种接入点。整个漫游过程对顾客是透明的，虽然提

供服务的接入点发生了变化，但对顾客的服务是不会中断的。

26.802.11b运作模式分为点对点模式(最多可连接256台主机)和基本模式(无线网络

扩充和有线网络并存时，插上无线网卡的PC通过接入点与另一台PC相连，一种接入点最多

可连接1024台PC)o

无线局域网重要包括如下的硬件设备：无线网卡、无线接入点AP(一种AP可以连接

30台左右的无线网络终端或者是其他的无线AP)、天线、以及无线网桥、无线路由器和无线

网关。

Cisco企业的Aironet1100系列接入点兼容IEEE802.11b和IEEE802.11g,工作在

2.4GHz频段,使用Cisco企业的IOS操作系统。

在安装和配置无线接入点之前，先向网络管理员问询一下信息，用于配置无线接入点：

系统名

无线网络中对大小写敏感的服务集标识符

假如没有连接到DHCP服务器，则需要为接入点指定一种IP地址

假如接入点与PC不在同一种子网内，则需要子网掩码和默认网关

简朴网络管理协议集合名称以及5NMP文献属性(假如使用SNMP)

将无线接入点连接至网络的两种措施：使用线内供电连接以太网和使用当地电源连接

以太网。

第一次配置无线接入点，一般采用当地配置方式。默认的IP地址是10.0.0.1,并成为

小型的DHCP服务器。可认为下列设备分派多达20个的1().0.0.x范围的IP地址。

连接在接入以太网端口上的PC机

没有配置SSID或配置SSID为tsunami,并且关闭所有安全配置的

无线设备

按照下列环节当地连接无线接入点：

1.使用五类以太网电缆连接PC机和无线接入点，通过无线接入点的以太网端口进行配

置，或将PC机置于无线接入点的电波覆盖范围内，安装无线客户端适配器，关闭所有安全

设置，将SSI1)配置为tsunmami或不配置。

2.给无线接入点加电

3.确认PC机获得了10.0.0.x网段的地址

4.打开互联网浏览器

5.在浏览器的地址栏输入无线接入点的IP地址10.0.0.1,然后回车，出现输入网络密

码对话框

6.按Tab键越过顾客名到密码字段

7.输入大小写敏感的密码Cisco,确定。出现接入点汇总状态的页面。点击“Express

Setup”进入快捷配置页面。

8.输入各配置数据

9.保留

SSID是客户端设备用来访问接入点的唯一标识。

27.略

28.DNS服务器配置的重要参数:

正向查找区域：将域名映射到1P地址的数据库，用于将域名解析为IP地址。

反向查找区域：将IP地址映射到域名的数据库，用于将IP解析为域名。将主机资源

记录手动添加到正向查找区域时，使用“更新有关的指针PTR”选项，可以将指针记录自动

添加到反向查找区域中。

资源记录：区域中的一组构造化的记录。常用的记录包括：主机地址(A)资源记录，

它将DNS域名映射到IP也址；邮件互换器资源记录(MX),为邮件互换器主机提供邮件路由；

别名资源记录(CNAME),将别名映射到原则DNS域名。

转发器：也是一种)NS服务器，是当地DNS服务器用于将外部DNS名称的DNS查询转

发给该DNS服务器。

在缺省状况下，Windows服务器没有安装DNS服务器。

DNS服务器的基本配置包括正向查找区域、反向查找区域、增长资源记录等。

在安装DNS服务时，13个根DNS服务器被自动加入到系统中。

主机资源记录的生存默认值是3600秒

可以对DNS服务器进行简朴查询测试和递归查询测试。

使用命令行程序测试DNS服务器：开始—运行—cmd—nslookup

29.在使用DHCP时，网络上至少有一台Windows服务器上安装并配置了DHCP服务，网络

上要使用DHCP服务的主机必须设置成使用DHCP自动获得IP地址。

作用域是指接受DHCP服务的网络上的单个物理子网。

客户机的地址租约默认是8天，续订由客户端自动完毕。

作用域激活后，DHCP服务器才可认为客户机分派IP地址。

DHCP服务器为一客户机分派固定IP地址时，需要执行的操作是新建保留。

释放地址租约：ipconfig/release

重新获取地址租约：ipconfig/renew

DHCP服务器中常用的配置作用域选项有路由器选项和DNS服务器选项。

30.浏览器与服务器之间传送信息的协议是HTTP,即超文献传播协议，用于传播网页等内

容，使用TCP协议，默认端口号是80.

在Windows中只要添加操作系统的集成组建IIS就可以实现WEB服务。

一种网站对应服务器上的一种目录，建立WEB站点时必须为每个站点指定一种主目录，

当然也可以是默认的子目录。

设置网站选项中可以设置网站的标识、站点的连接限制以及启用日志记录并配置站点

的日志记录格式。

若Web站点未设置默认内容文档，访问站点时必须提供首页内容文献名

设置目录安全选项卡可以选择配置下列三种措施：身份认证和访问控制、IP地址和域

名限制、安全通信。

设置性能选项卡可以设置影响带宽使用的属性，以及客户端WEB连接的数量。

I1S自动将带宽限制设置成最小值1024byte/s.

设置筛选器选项：ISAPI筛选器是在处理HTTP祈求选项中响应事件的程序。可以列出

每个筛选器的状态（可以启用或是禁用）、名称，以及加载到内存中的优先级。

设置HTTP头选项：可以在HTML页的标题中设置返回浏览器的值，还可以设置内容分

级及定义MIME类型（MIME类型就是设定某种扩展名的文献用一种应用程序来打开的

方式类型，当该扩展名文献被访问的时候，浏览器会自动使用指定应用程序来打开。

多用于指定某些客户端自定义的文献名，以及某些媒体文献打开方式。）。

设置自定义错误选项：可以使用IIS提供的一般默认HTTP1.1错误或详细的自定义错

误文献，或是创立自己的刍定义错误文献。这些值可以对所有站点进行全局设置，也可以在

每个站点中单独设置，IIS对于这些设置使用继承模式。

IIS6.0可以使用虚拟服务器的措施在一台服务器上构建多种网站，各网站可以使用主

机头名称、IP地址、非原则TCP端口号来进行辨别。此外还可以使用虚拟目录的措施来公

布多种网站。

31.FTP使用“客户机/服务器”的工作方式。

构建FTP服务器的软件有HS.6.0中集成的FTP服务、Serv-U0

FTP服务器缺省的端口号是21。

服务器域的存储位置对话框中，对于小的域选择.INI文献存储，对于大的域（顾客数不

小于500）应选择注册表可以提供更高的性能。

FTP服务器的选项包括服务器选项、域选项、组选项和顾客选项。服务器选项包括最大

上传速度和最大下载速度、最大顾客数量、检查匿名顾客密码、删除部分已上传的文献、禁

用反超时调度、拦截袭击和FXP（Protocol文献互换协议

FXP是一种服务器之间传播文献的协议，这个协议控制着两个支持FXP协议的服务器，

在无需人工干预的状况下，自动地完毕传播文献的操作。在我们的客户机上，可以简朴的发