计算机基础

硬件架构

计算机硬件系统是冯诺依曼设计的体系结构,由运算器、控制器、存储器、输入/输出设备,五大部件组成,运算器和控制器组成中央处理器CPU

控制器&运算器

指令执行过程:取址、译码、执行

  • 控制器:负责访问程序指令,进行指令译码,并协调其他设备,通常由程序计数器PC、指令寄存器IR、指令译码器、状态/条件寄存器、时序发生器、微操作信号发生器组成
    • 程序计数器PC:用于存放下一条指令所在单元的地址(存地址
    • 指令寄存器IR:存放当前从主存读出的正在执行的一条指令(存指令
    • 指令译码器:分析指令的操作码,以决定操作的性质和方法
    • 微操作信号发生器:产生每条指令的操作信号,并将信号送往相应的部件进行处理,以完成指定的操作
  • 运算器:负责完成算术、逻辑运算功能,通常由算术/逻辑运算单元ALU、 通用寄存器(存中间状态计算结果)、状态寄存器、多路转换器构成

指令集RISC与CISC

RISC精简指令集

  • 对指令数目和寻址方式做精简,让指令的指令周期相同,更适合采用流水线技术,并行执行程度更好
  • 广泛应用于小型机、移动终端设备
  • 控制方式:绝大多数为组合逻辑控制,硬布线逻辑+微程序
  • 流水线、 通用寄存器数量多、指令字长定长、指令系统简单精简

CISC复杂指令集

  • 当下应用最广的Intel和AMD x86系列CPU用的都是CISC架构
  • 控制方式:绝大多数通过微程序控制
  • 通用寄存器数量少、指令字长变长、指令系统庞大复杂

位示图

例题1

某字长为32位的计算机文件管理系统采用位示图记录磁盘的使用情况,若磁盘的容量为300GB,物理块的大小为1MB,那么位示图的大小为()个字

1
2
3
4
5
6
7
8
1. 将GB转换为MB
300*1024 = 307200

2. 将磁盘容量除以物理块大小
307200 / 1 = 307200

3. 再除以计算机位数
307200 / 32 = 9600

例题2

使用图像扫描仪以300DPI的分辨率扫描一幅3*4英寸的图片,可以得到()像素的数字图像

1
2
3
300DPI表示一英寸有300个像素点

300*3 x 300*4 = 900 x 1200

例题3

有一副位图图像的分辨率是1024*768,保存为24位位图,请计算这张图片数据存储量

1
2
3
1024*768*24 = 18874368bit
18874368bit / 8 = 2359296B
2359296 / 1024 = 2304KB / 1024 = 2.25MB

局域网城域网

以太网物理标准

快速以太网802.3u (100M)

T表示双绞线、F表示光纤、UTP非屏蔽双绞线、STP屏蔽双绞线

名称 传输介质 传输距离
100Base-TX 两对5类UTP、两对STP 100m
100Base-FX 一对单模光纤、一对多模光纤 40KM、2KM
100Base-T4 四对3类UTP 100M
100Base-T2 两对3类UTP 100M

千兆以太网3z、3ab(1000M)

千兆以太网编码:4B/5B、8B/9B

标准 名称 传输介质 距离
802.3z 1000Base-SX 多模光纤 550M
802.3z 1000Base-LX 单模或多模光纤 5000M
802.3z 1000Base-CX 两对STP 25m
802.3ab 1000Base-T 四对UTP 100M

万兆以太网802.3ae(10G)

不再共享宽带,没有冲突检测

名称 传输介质 传输距离
10GBase-S 62.5um多模光纤 65m
10GBase-L 单模光纤 10KM
10GBase-E 单模光纤 40KM
10GBase-LX4 单模光纤 10KM
10GBase-LX4 多模光纤 300M

以太网

以太网帧结构

  • 目的地址6位、源地址6位、长度2位、数据46~1500位、CRC校验和4位
  • 数据位不够46位时必须填充到46位
  • 最小帧长度6+6+2+46+4=64;最大帧长度6+6+2+1500+4=1518
  • 以太网最大利用率=1500/1518=98.8%,最小利用率=46/64=71.8%
  • 先导字段10101010,帧开始标识10101011

帧中继

  • 在二层建立虚链路,提供虚链路服务,本地标识符DLCI
  • 面向连接、基于分组的透明传输、只做检错、拥塞控制,不做流量控制、重传机制
  • 帧长可变(1600~4096字节);速率2~45Mbps

CSMA/CD

如果连续发生16次碰撞后就不再尝试发送

冲突发生后会立即停止发送,再发送一个干扰信号Jamming,使所有站点都停止发送;再等待一段随机的时间,重新监听再发送

  • 非坚持型监听算法:随机延时后退,减小冲突概率、线路利用率低、增加了发送延时
  • 1-坚持型监听算法:继续监听不等待,有空就发送;冲突概率大、线路利用率高
  • P-坚持型监听算法:若信道空闲,以概率P发送

生成树STP

生成树协议使得在二层出现环路时,就会通过逻辑阻塞特定端口,从而打破环路,并在网络拓扑变更时及时收敛,保障网络冗余性

  • 桥ID:由8个字节组成,2字节桥优先级、6字节MAC地址;桥优先级默认32768,越小越优先
  • 路径开销:路径开销与端口带宽成反比,开销越小越优先
协议 名称 描述
802.1d 生成树协议STP 慢,拓扑收敛30~50s
802.1w 快速生成树RSTP 快,6s内完成收敛
802.1s 多生成树MSTP 实现多VLAN的负载分担

STP选举

  1. 确认根桥(RB):优先级和MAC地址最小的网桥
  2. 确认根端口(RP):距离根桥开销最小的端口
  3. 指定端口(DP):根桥的所有端口都是指定端口,阻塞端口对端也是指定端口,指定端口不会被阻塞
  4. 阻塞端口:被阻塞的端口(比较设备优先级或者MAC或接口到达根桥的最远,开销最大的)

如果知道指定端口的开销都相同时,就比较设备的优先级跟MAC地址,比较不出来就比较接口的编号(越小越优先)

城域网

802.1ad:双层标记,打了两层VLAN标签(用户、运行商),也叫QinQ技术

802.1ah:在数据帧上打MAC地址,也叫MAC-in-MAC技术

VLAN/802.1Q

802.1Q常用标签字段

  • PRI(3位):表示优先级,0~7共8个优先级
  • VID(12位):VLAN标识符,最多有4096个VLAN(0~4095),可用4094个(1~4094)
  • VLAN标记对用户是透明的

vlan划分方式

  • 静态:根据交换机接口划分VLAN
  • 动态:根据MAC地址、策略、网络层协议、IP地址划分VLAN

OSI参考模型

网络互联 设备

设备层次 设备名称 工作原理
物理层 中继器、集线器 放大信号、延长传输距离
数据链路层 网桥、交换机 基于MAC地址转发数据帧
网络层 路由器、三层交换机 基于目的IP地址转发数据包
四层以上设备 网关 基于传输层、应用层进行控制

集线器:将一个接口进入的数据放大后,泛洪给所有的接口;容易产生环路导致广播风暴

交换机:通过MAC地址表进行寻址,MAC地址表由MAC地址、接口、VLAN组成

路由器交换机的区别

  1. 路由器通常用作出口网关:常用的技术有NAT、IPSec、OSPF、PPPoE、静态路由等
  2. 交换机一般用在内部网络中:常用的技术有生成树协议、堆叠、链路聚合、ACL等
  3. 一般大型网络中交换机数量是庞大的,而路由器数量只有几个,主要用于出口

OSI七层

层次 功能
应用层 各种应用协议
表示层 数据和信息的语法转换内码,数据压缩解压、加密解密
会话层 为通信双方指定通信方式,并创建、注销会话
传输层 可供可靠或不可靠的端到端连接
网络层 逻辑寻址:路由选择
数据链路层 将分组封装成帧;提供点到点的传输,差错控制
物理层 在媒介上传输比特流;提供机械和电气规约

TCP/IP四层

TCP层次 OSI层次 网络协议
应用层 应用层、表示层、会话层 HTTP、FTP、SNMP、DNS等
传输层 传输层 TCP、UDP
网络层 网络层 IP、ICMP、ARP、RARP、OSPF、IPSec、BGP、VRRP等
网络接口层 数据链路层、物理层 PPP、PPTP、以太网

TCP/IP

IP

IPv4

  • 基本IP头20字节,可变长度到60字节(20固定+40可变)
  • 常见字段:生存周期TTL8位、协议8位、源IP地址32位、目的IP地址32位

IPv6

  • 基本IP头40字节,不可变长;8组16进制表示
  • 常见字段:跳数限制8位、协议8位、源IP地址128位、目的IP地址128位
  • 过度技术:双栈技术、隧道技术、翻译技术
    • 双栈技术:同时运行IPv4和IPv6
    • 隧道技术:解决IPv6节点之间通过IPv4网络进行通信
    • 翻译技术:解决纯IPv6节点与纯IPv4节点之间的通信

特殊IPv4地址地址

A类私有:10.0.0.0/8(10.0.0.1~10.255.255.255)1个A类

B类私有:172.16.0.0/12(172.16.0.1~172.16.31.255)16个B类

C类私有:192.168.0.0/24(192.168.0.1~192.168.255.255)256个C类

组播地址 描述
224.0.0.1 所有主机
224.0.0.2 所有路由器
224.0.0.5 所有运行OSPF的路由器
224.0.0.6 DR、BDR接收地址
224.0.0.9 RIPv2更新地址
224.0.0.18 VRRP组播地址

特殊IPv6地址

口诀:1聚2链3站

单播地址 描述
前缀x001 全球可聚合单播地址(公网)如2001
前缀1111 1110 10 链路本地地址,结合MAC生成(链路)
前缀1111 1110 11 站点本地地址(私网)
组播地址 描述
前缀1111 1111 FF00开头地址
  • 表示一组接口的标识符,通常是路由举例最近的接口
  • 任意播地址不能作为源地址,只能作为目的地址,只能给路由器使用
地址总结 描述
FF00:: 组播地址
:: 不确定地址
::1 回环地址
x001 可聚合全球单播地址(公网)
FEC0:: 站点本地地址(私网)
FE80:: 链路本地地址(结合MAC地址)
2002:: 6to4隧道地址

TCP

基础

  • 面向连接、可靠传输、流控和窗口机制(在接收方)、三次握手、四次挥手
  • 固定头部20字节可拓展到60字节
  • 常见字段:源端口16位、目的端口16位、窗口16位

三次握手

第一次握手ACK=0,其他都是1;seq最开始都是随机的,ack是对方的seq值+1

  1. 第一次握手时发送seq=x,SYN=1;发送方状态为SYN-SENT,接收方收到后为SYN-REVD
  2. 第二次握手时发送seq=y,ack=x+1,SYN=1,ACK=1;发送方状态为SYN-REVD,接收方收到后为Established
  3. 第三次握手时发送seq=x+1,ack=y+1,ACK=1;接收方收到后为Established

四次挥手

前提:双方传输完所有数据后,互相发送确认收到,才开始断开连接

  1. 第一次挥手表示断开:FIN=1,ACK=1
  2. 第二次挥手表示确认:ACK=1
  3. 第三次挥手表示断开(由2发出):FIN=1,ACK=1
  4. 第四次挥手表示确认:ACK=1

image-20231016172058706

UDP

  • 面向无连接、不可靠、头部长度8字节,比TCP精简了很多
  • 源端口16位、目的端口16位、长度16位、检验码16位

常见端口

TCP

端口号 名称
20/21 FTP数据/控制
25 SMTP发送邮件
80 HTTP
443 HTTPS
110 POP3接收邮件
143 IMAP同步邮件
179 BGP

UDP

端口号 名称
53 DNS
67/68 DHCP服务器/客户端
68 TFTP
161/162 网管协议客户端/服务器
500 IKE
520 RIP

数据通信技术

数据编码

曼切斯特编码

  • 双相码,在每一个比特中间均有一个跳变;用0、1表示高低电平的转换;第一个波型不能判断出高低电平;在10M以太网中使用

差分曼切斯特编码

  • 双向码,在令牌环网中使用;有跳变代表0,无跳变代表1(有0无1

两种曼码

  • 两种曼码的效率都是50%
  • 两种曼码都是双向码,要求每一位都有电平转换,一高一低,必须翻转
  • 两种编码的第一位都是未知数,一般先算出差分曼切斯特编码、再用差分曼切斯特编码推算出曼切斯特编码
  • 都有自定时、检测错误的功能;将时钟和数据包含在信息流中,也称自同步码

image-20231021105358699

image-20231021105412214

其他编码

  • 100Base-TX先4B/5B编码,再MLT-3编码
  • 100Base-T先4B/5B编码,再NRZ-I编码
编码 效率 应用场景
曼切斯特 50% 以太网
差分曼切斯特 50% 令牌环网
4B/5B 80% 百兆以太网
8B/10B 80% 千兆以太网
64B/66B 98% 万兆以太网

调制技术

记住波形对应的编码

image-20231021110154672

数据传输系统

频分多路复用:无线电广播、ADSL、FDD-LTE

时分复用:T1/E1、SONET/SDH、WIFI、TDD-LTE

E1/T1:

  • 每路电话64KT1速率1.544M、E1速率2.048M
  • E1把32个8位一组的数据样本组成125us的基本帧,其中30个子信道用于语音传输、2个子信道用于控制信令(CH0,CH16

同步数字序列

记住第一行,然后每行都乘4

光纤级 SDH对应 常用近似值
OC-3 STM-1 155Mbps
OC-12 STM-4 622Mbps
OC-48 STM-16 2.5Gbps
OC-192 STM-64 10Gbps

计算题

内存芯片数量计算

公式方法

  1. 大值+1后减去小值,再转成十进制
  2. 单位换算:转换后单位是字节B,要转成KB(除以1024)
  3. 再算片:算出来的KB / 存储容量

例题1

在主存储器中,数据块是以字节位单位来标识的,即每个字一个地址,通常采用十六进制表示,例如内存地址编址从A4000H~CBFFFH,则内存大小为?

1
2
3
4
5
6
7
8
9
10
11
1. 大值+1 - 小值
CBFFF + 1 = CC000
CC000 - A4000 = 28000

2. 十六进制转十进制
28000H = 2*16^4 + 8*16^3 = 2*(2^4)^4 + 8*(2^4)^3 = 2*2^16 + 8*2^12

3. 将字节B转成KB(/1024)
2*2^16 + 8*2^12
----------------- = 2*2^6 + 8*2^2 = 128 + 32 = 160KB
2^10

例题2

内存按字节编址,地址A0000H到CFFFFH,一共有()字节,若用存储容量64K*8bit的存储芯片构成该内存地址,至少需要()片

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
1. 大值+1 - 小值
CFFFF + 1 = D0000
D0000 - A0000 = 30000

2. 十六进制转十进制
30000 = 3 * 16^4 = 3*(2^4)^4 = 3*2^16

3. 将字节B转KB
3*2^16
---------- = 3*2^6 = 192KB
2^10

4. 分片
192KB
--------- = 192/64 = 3片
64K * 8bit

例题3

内存按字节编址,若用存储容量为32K*8bit的存储器芯片构成从A00000H到DFFFFH的内存,则至少需要()片芯片

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
1. 大值+1 - 小值
DFFFF + 1 = E0000
E0000 - A0000 = 40000

2. 十六进制转十进制
40000 = 4*16^4 = 4*(2^4)^4 = 4*2^16

3. 将B转KB
4*2^16
--------- = 4*2^6 = 256KB
2^10

4. 算片
256KB
------------- = 256/32 = 8片
32K*8bit

二进制指数退避算法

理论

  • 检测到冲突后,马上停止数据的发送,并等待随机时间再发送数据
  • 重传16次后就认为网络繁忙或故障,不再发送
  • 下面的Randon里面的值是用在随机挑选一个作为重发时间

公式

等待的随机时间 = τ*Random[0,1,2,…2^k -1] ;k = min[重传次数,10]

简算公式:1/2^n,n=冲突次数

例题1

采用CSMA/CD进行介质访问,两个站点连续冲突3次后再次冲突的概率是多少?

1
2
3
# 方法1:简算公式 1/2^冲突次数

1/2^3 = 1/8
1
2
3
# 方法2
k = min[3, 10] = 3 # 取最小的值
Random[0~2^3 -1] = Random[0,1,2,3,4,5,6,7] # 一共8个,所以是1/8

例题2

在CSMA/CD中,同一个冲突域中的主机连续经过3次冲突后,每个站点在接下来的信道空闲的时候立即传输的概率是?

1
2
k = min[3,10] = 3
Random[0~2^3 -1] = Random[0,1,2,3,4,5,6,7] # 一共是8个,立即传输表示随机值是0,所以还是1/8

奈奎斯特、香农定理

基础与公式

奈奎斯特(无噪声)

  • 信道带宽为W,最大码元速率为B=2W,单位是Baud比特
  • W是模拟信道时,W = 最大带宽 - 最小带宽
  • 当题目有采样周期的时候,就1/T,T是时间,注意单位换算,然后不要管带宽
  • 极限速率R = Blog2^N = 2Wlog2^N,N是码元种类数
  • QPSK=4,DPSK=2

香农定理(有噪声):

  • 极限速率C=Wlog2^(1 + S/N),S是信号平均功率,N是噪声平均功率,S/N表示信噪比
  • 噪声dB=10log10^(S/N),一般3dB = 100 (S/N)

例题1

某信道带宽为1MHz,采用4幅度8相位调制最大可以组成()种码元,若此信道信号的码元宽度为10微秒,则数据速率为()kb/s

1
2
3
4
5
6
7
8
9
10
# 第一题
4*8 = 32种,N=32

# 第二题
1. 1/T 注意单位是微秒,要转成秒

1/10*10^-6 = 10^5 比特Baud

2. 带入公式S=Blog2^N
S = 10^5log2^32 = 10^5 * 5 = 500000bit/s = 500kb/s

例题2

若8进制信号的信号速率是4800Baud,则信道的数据速率为()kbs

1
2
3
8进制N就是8,几进制N就是几
带入公式 S=Blog2^N
S=4800log2^8 = 4800 * 3 = 14400bit/s = 14.4kb/s

PCM、曼码编码效率

理论

  • PCM数字化的三个步骤:采样、量化、编码
  • 采样频率 ≥ 模拟信号的最高频率 * 2
  • PCM计算不用代公式

例题1

对声音信号数字化时,由于语音的最高频率是4KHz,所以采样的频率是();对语音样本用128个等级量化,在数字信道上传输这种数字化后的语音信道速率是?

1
2
3
4
5
6
7
# 第一题
4 * 2 = 8KHz


# 第二题
log2^128 = 7bit # 每个样本
7*8000 = 56Kbps # 每个样本 * 取样频率

例题2

假设模拟信号的频率范围为3~9MHz,采用频率必须大于()信号才不会失真

1
9 * 2 = 18MHz

例题3

设信道带宽为5000Hz,采用PCM编码,采样周期为125us,每个样本量化后为256个等级,则信道速率为()

1
2
3
4
5
# 看到采样周期就 1/T
1/125 * 10^-6 = 1/125 10^6 = 0.008 * 10^6 = 8000bit/s # 单位从us转为了s

# 带入公式S=Blog2^N
S = 8000log2^256 = 8000 * 8 = 64000bit/s = 64kbit/s

例题4

在异步传输中,1位起始位,7位数据位,2位停止位,1位校验位,每秒传输200字符,采用曼切斯特编码,有效速率为()kb/s,最大波特率为()Baud

1
2
3
4
5
6
7
# 算有效速率
200 * 11 = 2200 * 7/11 = 1400 = 1.4k

# 最大波特率(码元速率) R=Blog2^N
2200=Blog2^N
2200=Blog2^2
B=2200

编码效率

编码 效率 用途
曼切斯特编码 50% 以太网
差分曼切斯特编码 50% 令牌环
4B/5B 80% 百兆以太网
6B/8B 80% 千兆以太网
64B/66B 97% 万兆以太网

信道延迟

公式 注意单位换算!!!

总延迟 = 信道(线路)延迟 + 发送延迟

线路延迟 = 传输距离 / 传输速度+

发送延迟 = 数据帧大小bit / 数据速率

光缆:30W km/s = 300m/us;电缆:20W km/s = 200m/us;卫星:270ms

隐藏条件:以太网MTU最大1500B,帧默认1518B,回应帧64B

例题1

在相隔20KM的两地通过电缆以100Mb/s的速率传送1518字节长的以太帧,从开始发送到接收完成数据需要的时间约()

1
2
3
4
5
6
7
8
9
10
11
12
# 算线路延迟
20000
------------- = 100us
200m/us

# 算发送延迟
1518 * 8 # 一字节=8比特
-------------- = 0.00012144s * 10^6 = 121.44us # 将结果秒转为微秒
100*10^6 # 100M换算成bit

# 两个延迟相加
100 + 121.44 = 221.44us

例题2

在1000米的100Base-T线路上,发送1000字节的数据,延迟是多少

1
2
3
4
5
6
7
8
9
10
11
12
# 计算线路延迟
1000m
----------- = 5us
200m/us

# 计算发送延迟
1000 * 8
---------------------- = 80us
100 * 10^6 * 10^-6 # M转b,s转us

# 相加
80 + 5 = 85us

例题3

在地面相距2000公里的两地之间通过电缆传输4000比特长的数据包,数据速率为64kb/s,从开始到接收结束时间是()

1
2
3
4
5
6
7
8
9
10
11
12
# 计算线路延迟
2000 * 10^3
----------------- = 10000us = 10ms
200m/us

# 计算发送延迟
4000bit
---------------- = 62500us = 62.5ms
64*10^3*10^-6

# 相加
62.5 + 10 = 72.5ms

例题4

以太网的最大帧长1518字节,每个数据帧前面有8个字节的前导字段,帧间隔为9.6us,传输240000bit的IP数据报,采用100Base-TX网络,最短时间是()

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
# 计算发送延迟
1. 分片:一个以太网帧最大传输1500字节
240000bit/8 = 30000字节
30000/1500 = 20帧

2. 算传输总位数
(1518+8) *8 *20 = 244160bit # 总共要传输的比特数,*20是20帧

3. 计算发送延迟
244160
---------------- = 2441.6us
100*10^6*10^-6 # M转bit,s转us

4. 计算帧间隔:发送的帧数量 * 帧间隔时间
20 * 9.6 = 19.2us

5. 相加
2441.6 + 19.2 = 2630.8us = 2.6308ms

例题5

以太网的最大帧为1518字节,每个数据帧前面有8个字节的前导字段,帧间隔为9.6us,在100BASE-T网络中发送一帧的时间为()

1
2
3
4
5
6
7
1. 计算总传输
(1518 + 8) * 8 *1
---------------- = 122.08us
100*10^6*10^-6

2. 加上帧间隔
122.08 + 9.6 = 131.68us

例题6

以100Mb/s以太网连接的站点A和站点B相距2000m,通过停机等待机制进行数据传输,传播速度为200m/us,最高的有效传输速率为()

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
# 算信道延迟
2000m
------------ = 10us
200m/us

# 算发送延迟:发送按以太网最大1518字节,停机等待是回应一个64字节的数据

1518 * 8
------------- = 121.44us # 最大以太网帧
100*10^6*10^-6

64*8
-------------- = 5.12us # 回复延迟
100*10^6*10^-6

# 计算总时间
121.44 + 5.12 + 10*2 = 146.56us

# 以太网传输比特 / 总时间 = 有效时间
1518*8 / 146.56 ≈ 82.86Mb/s

例题7

通过卫星传送3000比特长的数据包,卫星速率50kb/s,需要用多少时间

1
2
3
4
5
6
7
8
9
10
# 线路延迟
卫星发送时间为270ms

# 计算速率
3000b
--------- = 0.06s = 60000us = 60ms
50kb/s

# 相加
60 + 270 = 330ms

例题8

在异步通信中,每个字符包括1位起始位、7位数据位、1位奇偶位、2位终止位,每秒传送100个字符,则有效速率为()

1
2
R=11 * 100 = 1100b/s		# 传输速率
1100 * 7/11 = 700b/s # 有效速率

CRC

CRC循环冗余校验

  • 只能检错不能纠错,遇到错请求重发

CRC算法

  1. 判断校验位数:生成式的最高次方是几,校验位就是几位
  2. 补齐数据位后的0:在数据为后面补0,校验位数几位就补几个0
  3. 提取多项式的系数:x^n
  4. 用第二步的结果除第三步(异或),余数就是CRC,CRC位数不够前面补0

海明码

理论

  • 通过冗余数据位来检错和纠错
  • 海明不等式:2^k -1 ≥ m+k;k是校验位个数、m是数据长度
  • 奇偶校验:整个校验码中1的个数是奇数还是偶数,如使用偶校验是1的个数是奇数就补1,偶数就补0
  • 海明码距 :两个字码之间不同的比特数

例题1

海明码,如果信息位6位,要求纠正1位错,按照海明码的编码规则,需要增加的校验位至少()位

A.3 B.4 C.5 D.6

1
2
3
4
# 将选项代入公式2^k -1 ≥ k+m,选项成立就是对

2^3 -1 ≥ 3+6 # 不成立
2^4 -1 ≥ 4+6 # 成立,结果是4

最小帧

最小帧长计算公式:Lmin=2R * d/v R为网络数据速率、d为最大距离、v为传播速度

不冲突条件:发送时间 ≥ 传送时间 + 确认时间

例题1

采用CSMA/CD协议的基带总线,段长为1000M,数据速率为10Mb/s,信号传播速度为200m/us,该网络最小帧为()比特

1
2
# 带入公式:2R * d/v
2*10*10^6 * 1000/200*10^6 = 20 * 5 = 100b

例题2

在CSMA/CD以太网中,数据速率为100Mb/s,网段长2km,信号速率为200m/us,该网络最小帧长为()比特

1
2
# 带入公式:2R * d/v
2*100*10^6 * 2000/200*10^6 = 200 * 10 = 2000b

网络安全

对称加密(分组算法)

算法 描述
DES 分组、每组64位、64位密文、56位密钥
3DES 分组、112位密钥、2个密钥3次加密
IDEA 分组、每组64位、128位密钥、可用软硬件实现、比DES快,用于PGP
AES 分组、每组128位、支持128、192、255位密钥,可用硬件实现
RC4 流加密、加密速度快、DES的10倍、用在wifi
SM1、4 国产,分组和密码长度都是128比特

非对称加密(公钥密码)

算法 描述
RSA 512、1024位密钥
DH 用在IPSec
ECC 椭圆曲线算法
SM2 国产

国产加密算法

算法 类型 描述
SM1 对称加密 分组和密码长度都是128比特
SM2 非对称加密 非对称该有的功能都有
SM3 哈希算法 分组512位,输出256位哈希值
SM4 对称加密 分组和密码长度都是128比特
SM9 标识密码算法 公钥加密、密钥交换、数字签名等

哈希算法(摘要算法)

算法 描述
MD5 512位数据块,产生128位信息摘要,常用于文件校验
SHA 512位数据块,产生160位哈希值,比MD5安全
SM3 国产,分组512位,输出256位哈希值

PPP认证方式

  • PAP:两次握手验证协议,口令以明文传送,被验证方首先发起请求
  • CHAP:三次握手,认证过程不传送认证口令,传送HMAC散列值

被验证方就是客户端,主认证方就是认证服务器

对称加密算法

对称加密算法(共享密钥加密算法):加密和解密密钥相同

  • 数据标准DES:一种分组加密,在加密前先把整个明文进行分组,每个分组64位,之后进行16轮迭代,产生一组64位密文数据,使用的密钥是56位
  • 3DES:使用两个密钥,执行三次DES算法,密钥长度是112位
  • 国际数据加密算法IDEA128位密钥,把明文分为64位的块,进行8轮迭代;IDEA可以使用硬件或软件实现,比DES快
  • 高级加密标准AES:支持128、192、256位三种密钥长度,可通过硬件实现
  • 流加密算法RC4加密速度快,是DES的10倍;常用在WIFI

非对称加密算法

非对称加密算法也叫公钥加密算法,每个实体有两个密钥:公钥公开、私钥自己保存

  • 保密通信:公钥加密,私钥解密
  • 数字签名:私钥加密,公钥解密
  • 典型公钥加密算法:RSA

哈希Hash

将一段任意长度的数据经过一道计算,转换为一段定长的数据MD5 128位、SHA 160位

  • 不可逆性(单向)、无碰撞性、雪崩效应
  • 使用场景:验证文件的完整性(使用MD5)、加密密码、数字签名

MD5将报文按照512位进行分组,最后的到128位报文摘要

SHA将报文按照512位进行分组,产生160位散列值,比MD5安全但慢

数字签名

用于确认发送者身份消息完整性的一个加密算法摘要

  • 接收者能够核实发送者
  • 发送者不能抵赖签名后的报文
  • 接收者不能伪造对报文的签名

数字证书数字证书包含用户公钥和CA用私钥进行的签名

PKI和Kerberos体系

Kerberos

Kerberos服务器(KDC)包含认证服务器AS授权服务器TGS

  1. 客户向认证服务器AS请求许可凭证
  2. 认证服务器AS下发许可凭证
  3. 客户向授权服务器请求服务器凭证
  4. 授权服务器下发服务器凭据凭证
  5. 客户方请求服务器方(拿着授权信息)
  6. 服务器方再提供双向认证

PKI体系

包含CA颁发证书RA审核用户身份

主流攻击(下午)

SQL注入

通过构建恶意SQL语句,获取数据库敏感信息或直接向数据库插入恶意语句

防范:对用户的输入做严格检查,防止恶意SQL输入;部署DBS数据库审计系统、WAF防护墙进行安全阻断

常见病毒

病毒类型 关键字 描述
蠕虫病毒 worm 会传播
木马病毒 Trojan 会隐藏,c&c通信
宏病毒 Macro 感染word、excel

IPSec

IPSec功能分为三类:认证头AH、封装安全负荷ESP、Internet密钥交换协议IKE

  • 认证头AH:提供数据完整性和数据源认证,不提供数据保密服务,实现的算法有MD5、SHA(哈希)
  • 封装安全负荷ESP:提供数据加密功能,加密算法有DES、3DES、AES等(对称加密)
  • Internet密钥交换协议IKE:用于生成和分发在ESP和AH头中使用的密钥(非对称)
IPSec协议 功能 代表协议
AH 数据完整性和源认证 MD5、SHA(哈希)
ESP 数据加密,也能提供AH的功能 DES、3DES、AES(对称)
IKE 密钥生成、分发 DH(非对称)

记住:隧道模式使用新的IP头

IPSec的模式

  • 站点到站点:站点到站点又称网关到网关,多个异地机构利用运营商网络建立IPSec隧道,将各自的内部网络联系起来
  • 端到端:端到端又称PC到PC,即两个PC之间的通信由IPSec完成
  • 端到站点:两个PC之间的通信由网关和异地PC之间的IPSec会话完成

防火墙&入侵检测&入侵防御

实现内部网络信任Trust、外部不可信任网络Untrust、军事缓冲区域DMZ之间的隔离与访问控制

防火墙有包过滤防火墙、状态化防火墙、应用层网关、应用层检测DPI

防火墙层次越高越安全、处理效率越低

防火墙区域

  • 本地区域Local:防火墙本身
  • 信任区域Trust:内部网络
  • 非信任区域UnTrust:外部网络,如Internet
  • 军事缓冲区域DMZ:放置公共服务器的地方,向外提供服务

入侵检测IDS是防火墙之后的第二个屏障

入侵检测IDS是旁路部署、入侵防御IPS是串行部署(FW后)、防火墙FW部署在出口与内网之间、WAF跟web服务器串联在一起(waf在前面)

入侵防御IPS是一种抢先的网络安全检测和防御系统,能检测出攻击并积极响应

  • IPS不仅有入侵检测系统功能,还有拦截攻击并阻断攻击的功能(主动且全面深层次的防御)
  • IDS只能检测到入侵并记录,再报告

网络操作系统

Windows

A-G-U-DL-P:用户账号A、全局组G、通用组U、域本地组DL、资源权限G

DNS

记录类型 说明 备注
SOA 起始授权机构记录,用于表示在众多NS记录中哪台是主服务器 设置数据版本、更新、过期时间的信息
A 正向,把主机名解析为IP地址
指针PTR 反向,把IP地址计息为主机名
名字服务器NS 为一个域指定授权域名服务器,该域的所有子域也委派给这个服务器 如某个区域用ns1.a.com进行解析
邮件MX 指明区域的邮件服务器以及优先级
别名CNAME 指定主机名的别名,把主机名解析到另一个主机名

DHCP

报文 传播方式 描述
DHCP Discover 广播 用于发现当前网络中的DHCP服务器
DHCP Offer 单播 携带分配给客户端的IP地址
DHCP Request 广播 告知服务器端自己将使用该IP地址
DHCP Ack 单播 最终确认,告知客户端可以使用该IP地址

网络管理

体系结构

故障管理、配置管理、计费管理、性能管理、安全管理

故障管理:尽快发现故障、找出故障,以便采取补救措施

SNMP

  • 应用层协议,通过UDP承载,端口161、162
  • 被管理设备开启SNMPServer服务(161),管理设备开启SNMPTrap服务(162)
  • 被管设备:都是通过UDP 161端口向管理设备交互
  • 管理设备:用UDP162接收被管设备的trap信息;再用随机端口向被管设备的161发送请求
操作编号 分类 名称 用途
0 网管找客户端 get-request 查询多个或一个变量值
1 网管找客户端 get-next-request 在MIB树上检索下一个变量
2 网管找客户端 set-request 多个或一个变量值的设置
3 客户端反馈 get-response 对get/set报文做出响应
4 客户端反馈 trap 向管理进程报告代理发生的事件

image-20231021114526734

  • SNMPv1:团体名明文传输,不安全
  • SNMPv2:GetBulk、Inform
  • SNMPv3:认证和加密传输、实现序列模块、认证模块(SHA、MD5算法)、加密模块(DES算法);没有防护拒绝服务、通信分析的能力

综合布线

各个子系统

  • 工作区子系统:信息插座到计算机之间
  • 水平子系统:信息插座到楼层配线间(到楼层机柜)
  • 干线子系统:每个楼层的配线架(将每个楼层的配线间或机柜连接起来)
  • 设备间子系统:机房
  • 管理间子系统:每个楼层的配线架(配线间、楼层机柜)
  • 建筑群子系统:每个建筑之间

设备接入分层

核心层:高速转发、服务器接入、路由选择

汇聚层:流量汇聚、设备/链路冗余、路由选择、策略控制

接入层:用户接入、接入安全、访问控制

无线通信网

WLAN通信技术

  • 主要有:红外线、扩频、窄带微波技术
  • 扩频:将信号散步到更宽的带宽上,以减少发送阻塞和干扰的机会
  • 主要扩频技术:频率跳动扩频FHSS(蓝牙,安全)、直接序列扩频DSSS(WIFI)

WLAN网络分类

  • 基础无线网络:用户通过无线接入点AP接入
  • 特殊网络:用于军用、宿舍局域网等自组,如Ad Hoc网络
  • 分布式无线系统:通过AC控制大量AP组成无线网

不重叠信道

  • 2.4G:1~13共14个信道,1、6、11不重叠(间隔5)
  • 5G:149、153、157、161、165 (间隔4)

802.11技术标准

2.4G 5G 2.4&5G
802.11 802.11a 802.11n
802.11b 802.11ac 802.11ax
802.11g

WLAN安全机制

  1. 隐藏SSID
  2. 物理地址过滤:在无线路由器设置黑白名单
  3. WEP认证和加密:PSK预共享密钥、RC4加密
  4. WAP:认证使用802.11x、使用RC4+TKIP,支持完整性认证和防重放攻击
  5. WAP2(802.11i):针对WAP优化,加密协议由RC4变为AES+CCMP
  6. 笔记本电脑、手机等智能设备应该使用Portal认证,监控、闸机等非智能设备应该使用MAC地址认证

无线布网

AP之间使用无线链路连接多个独立的局域网时,不方便布线时使用支持WDS无线桥接技术的AP进行接入

可以使用混合模式来同时使用2.4G跟5G频段

使用MIMO技术改造物理层,实现增加天线的数量来传输信息子流

RAID

容量计算

类型 最少块数 容量
RAID0 2,不允许坏盘 100%
RAID1 2,允许坏1块 总容量的一半
RAID3 3,允许坏1块 总容量 - 一块盘容量
RAID5 3,允许坏1块 总容量 - 一块盘容量
RAID6 4,允许坏2块 (块数-2)*容量
RAID10 4,允许坏2块 总容量的一半
RAID50 6 总容量 - 2块盘容量
RAID60 8 (块数-4)*容量

技术介绍

RAID提高读写性能、数据安全

RAID1、10是镜像冗余,其他都是校验冗余

类型 描述
RAID0 容量叠加,无校验,利用率最高
RAID1 数据镜像,无校验,利用率低
RAID3 校验信息存放于专用的硬盘
RAID5 校验信息分部分布式存放
RAID6 分布式校验并提供两级冗余
RAID0+1 先做RAID0,再做RAID1,同时数据条带化、镜像
RAID10 同上,顺序不一样而已
RAID50 同上,先做RAID5再做RAID0,能有效提高RAID5的性能

动态路由协议

华为路由协议优先级

路由协议 优先级
Direct 0
OSPF 10
IS-IS 15
static 60
RIP 100
OSPF ASE 150
OSPF NSSA 150
IBGP 255
EBGP 255

RIP

计算跳数:最大跳数15跳,16跳表示不可达,一般用于小型网络中

几个时钟:30s周期性更细路由表、180s无更新表示不存在、240s删除路由表

支持等价负载均衡和链路冗余,使用UDP520端口

RIPv1 RIPv2
有类,不携带子网掩码 无类,携带子网掩码
广播更新 组播更新224.0.0.9
周期性更新30s 触发更新
不支持VLSM、CIDR 支持VLSM、CIDR
不支持认证 提供明文和MD5认证

RIP防环机制

  1. 最大跳数:路由经过一个路由器就增加1跳,16跳表示不可达,直接丢弃
  2. 水平分割:一条路由信息不会发送给信息的来源
  3. 反向毒化的水平分割:把从邻居学到的路由信息设为16跳,再发送给那个邻居
  4. 抑制定时器、触发更新也能防止环路

OSPF

开放式最短路径优先协议,是一种状态链路协议;路由器之间交换链路状态信息LSA

每台OSPF路由器都知晓网络拓扑结构,采用SPF算法计算到达目的的最短路径;支持VLSM、手动路由汇总

  • 快速收敛:在网络的拓扑结构发生变化后立即发送更新报文,使这一变化在自治系统中同步
  • 无自环:使用SPF算法(也叫Dikstra算法)计算路由,不会产生环路
  • 区域划分:允许网络被划分成区域来管理,链路状态数据库仅需要和区域内其他路由器保持一致,减小对路由器内存和CPU的消耗,同时区域间传送的路由信息减小,降低网络带宽占用
  • 所有非骨干区域必须与骨干区域直连
  • 触发更新、分层路由、支持大型网络
  • 点对点网络上10秒发送一次Hello报文,NBMA网络每30秒发送一次,Deadtime是hello时间的4倍

Route ID

相同区域内RouteID不能一样

Route ID可通过手动配置或自动获取,自动获取如下:

  1. 先配置OSPF接口IP再宣告后,Route ID就是该接口IP地址
  2. 先配置OSPF接口IP,再配置环回地址,再宣告OSPF,Route ID就是环回地址的最大IP
  3. 如果第一步配置完成后,再配置环回地址,再重启OSPF进程,Route ID就就是环回地址的最大IP

OSPF Cost

ospf使用cost开销作为路由度量值,每一个激活OSPF的接口都有一个cost值

ospf接口cost = 100M/接口带宽

BGP

  • 边界网关协议,用于不同自治系统AS之间,寻找最佳路由
  • 通过TCP 179端口建立连接,支持VLSM、CIDR,是一种路径矢量路由;常用BGP4,BGP4+支持IPv6
  • Open建立邻居关系,Keepalive周期性检测邻居存活
  • 支持增量更新、支持认证、可靠传输、防止环路、自治通信、策略选路、支持无类、支持聚合
报文 描述
Open 建立邻居关系
Keepalive 对Open答应,周期性确认邻居关系
Update 发送新的路由信息
Notfication 报告检测到的错误

故障排查

排查思路与方法

排查案例基础

排查案例进阶

配置

基础配置

Hybrid接口配置

1
2
3
4
5
6
7
8
9
vlan batch 10 20 30

int gi0/0/0
port hybrid pvid vlan 10 # 配置接口pvid
port hybrid untagged vlan 10 20 # 配置允许通过的vlan,该接口不允许vlan30通过(不允许除10 20 外的通过)

int gi0/0/1
port link-type hybrid
port hybrid tagged vlan 10 20 # 上联口封装

二层聚合链路

1
2
3
4
5
6
7
8
9
10
11
12
# 创建聚合口
int eht-trunk 1
mode manual load-balance # 手动分担模式

# 将接口加入聚合组
int gi0/0/1
eth-trunk 1

# 将聚合组转换为trunk,放行指定vlan
int eth-trunk 1
port link-type trunk
port trunk allow-pass vlan 10

三层链路聚合

1
2
3
4
5
6
7
int eth-trunk 1
mode manual load-balance
undo portswitch # 关闭二层接口
ip address 10.0.0.0 24

int gi0/0/0
eth-trunk 1

AAA认证

1
2
3
4
aaa
local-user 用户名 password cipher 密码
local-user 用户名 service-type 服务类型 # 如ssh、telnet
local-user 用户名 privilege level 级别 # 指定用户的权限等级,0~15越大越优先

SSH

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 创建密钥
rsa local-key-pair create

# 选择ssh
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh

# 开启ssh服务
ssh service enable

# 客户端开启ssh
ssh client first-time enable
stelnet -l 用户名 服务器IP地址 # 连接

Telnet

1
2
3
4
user-interface vty 0 4
authentication-mode password 密码 # 使用密码登录
authentication-mode aaa # 使用aaa登录
proticol inbound telnet # 指定远程登录方式为telnet

端口安全

  • 防止MAC地址泛洪攻击,可以限制接口能学习的最大MAC地址数量,也可以静态绑定接口与MAC地址或IP等
1
2
3
4
5
6
7
int gi0/0/0
port-security enable
port-security max-mac-num 2 # 设置该接口最大能学习到的MAC地址数为2
port-security mac-address sticky
port-security mac-address sticky xxxx-xxxx-xxxx vlan xx # 静态绑定MAC地址

user-bind static ip-address 11.11.11.11 mac-address xxxx-xxxx-xxxx interface gi0/0/0 # 也可以选择静态MAC地址绑定,在全局下

ACL

基本ACL2000~2999

  • 仅用匹配报文的源地址
1
2
acl 2000
rule 5 permit source 源地址 反掩码
1
2
3
time-range work 09:00 to 17:00 working-day
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255 time-range work

高级ACL3000~3999

  • 可以使用报文中的源地址、目的地址、IP协议类型、ICMP类型、TCP源目端口号、UDP源目端口号、生效时间段等来定义规则
1
2
3
4
acl 3000
rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 100.0.0.1 0
rule 10 deny tcp source 192.168.10.0 0.0.0.255 destination 100.0.0.1 0 destination-port eq 80
rule 15 deny udp source 192.168.10.0 0.0.0.255 destination 100.0.0.1 0 destination-port eq dns

应用ACL

1
2
3
4
int 接口
traffic-filter 方向 acl acl编号
traffic-filter inbound acl 3000
traffic-filter outbound acl 3000

前缀列表

1
ip ip-prefex 前缀列表名 index 索引id 动作 匹配的IP 掩码
1
2
3
4
5
ip ip-prefex test index 10 permit 10.0.0.0 255.255.255.0
route-policy 10 permit node 10
if-match ip-prefex test

import ospf route-policy 10

VLAN技术

常见VLAN技术

  • Super VLAN(VLAN聚合):实现速度用户共享网关IP地址
  • MUX-VLAN:实现二层流量隔离,对网络资源的控制
  • VXLAN:用于数据中心资源隔离和自动化

接口划分

1
2
3
int gi0/0/0
port link-type access
port default vlan 100

MAC地址划分

1
mac-vlan mac-address xxxx-xxxx-xxxx

策略划分

1
policy-vlan mac-address xxxx-xxxx-xxxx ip x.x.x.x prority 7

super vlan

1
2
3
4
5
6
7
8
9
10
11
12
# vlan 2 3之间无法通信,vlan 2 23、vlan 3 23之间可以通信;开启arp代理后都能够通信

# 创建vlan,将接口划分到vlan,聚合vlan
vlan batch 2 3 23 # 23为聚合后的超级vlan
vlan 23
aggregate-vlan # 开启vlan聚合
access-vlan 2 3 # 将需要聚合的vlan加进来

# 再对聚合后的vlan配置IP地址,再开启arp代理
int vlanif 23
ip address 23.0.0.1 24
arp-proxy inter-sub-vlan-proxy enable # arp代理

MUX VLAN

  • 主vlan(Principal VLAN):可以与MUX VLAN内所有VLAN进行通信
  • 隔离型从VLAN(Separate VLAN):只能与主vlan进行通信,和其他类型的VLAN完全隔离,包括自己;(只能配置一个)
  • 互通型从VLAN(Group VLAN):可以和主VLAN通信,在同一组内的VLAN可以通信,不能和其他组的VLAN或隔离型从VLAN通信
1
2
3
4
5
6
7
8
9
10
11
# 10能跟所有人通信,20只能跟10通信、也不能跟20的人通信,30能跟10、30通信,40能跟10、40通信
vlan batch 10 20 30 40
vlan 10
mux-vlan # 主vlan
subordinate separate 20 # 隔离型从VLAN
subordinate group 30 40 # 互通性从VLAN

int gi0/0/0
port link-type access
port default vlan 20
port mux-vlan enable # 在接口下开启mux-vlan(所有相关vlan的接口)

静态路由

浮动路由

1
2
ip route-static 0.0.0.0 0 1.1.1.1
ip route-static 0.0.0.0 0 2.2.2.2 preference 100

RIP

1
2
3
4
5
6
rip 1
version 2
network 1.0.0.0
default-route originate # 重发布默认路由
import-route direct # 重发布直连路由
summary # 自动聚合

OSPF

常用

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
ospf 1 route-id 1.1.1.1
asbr-summary 路由条目 掩码 # 在asbr上配置路由汇总
area 0
network 192.168.1.0 0.0.0.255
import-route rip
import-route bgp permit-ibgp # 允许引入IBGP路由
default-route-advertise # 重发布默认路由(黑洞路由或本地有默认路由时)
default-route-advertise always # 重发布默认路由,下一跳指向自己
authentication-mode md5 1 密码 # 区域认证
abr-summary 路由条目 掩码 # 在abr上配置路由汇总(聚合)
slient-interface 接口 # 静默接口,会宣告但不会发送OSPF报文,主要指向客户端接口
silent-interface vlan vlan号 # 同上

nssa # 开启NSSA区域
nssa no-summary # 开启Totally NSSA区域:只在ABR上配置,其他路由器上开启NSSA区域即可
stub # 开启Totally Stub完全末节区域
stub no-summary # 开启完全末节区域:只在ABR上配置,其他路由器上开启Stub区域即可

在接口下宣告

1
2
3
4
5
6
int gi0/0/0
ospf enable 进程号 area 区域号 # 接口下宣告
ospf authentication-mode md5 1 密码 # 接口认证
ip ospf cost
ospf dr-priority 优先级 # dr的优先级,0不选举,越小越优先
ospf network-type p2p # 网络类型修改为点到点,或者broadcast、nbma、p2mp类型

ISIS

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
isis 进程号
network-entity NET网络实体名称 # 配置网络实体名称
is-name 名称 # isis路由器名称
is-level {level-1|level-2|level-1-2} # 配置全局Level级别
summary 网段 掩码 类别 # 不指定类别默认汇总2类
default-route-advertise level-1 # 下发L1的缺省路由
default-route-advertise match default level-1 # 下发L1的缺省路由
default-route-advertise match default level1-2 # 下发L1、 L2缺省路由
import ospf cost-type internal cost 10 level-1 # 将ospf引入到L1路由


int 接口
isis enable 进程号 # 接口开启isis
isis dis-priority 优先级 [level-1 | level-2] # 修改DIS优先级,缺省64
isis circuit-type p2p # 将接口网络类型修改为P2P,默认广播类型
isis cost cost值 # 修改接口cost值,默认64
1
2
3
4
5
6
7
8
9
10
11
# 接口认证:在接口上进行认证,对Level-1和Level-2的Hello报文进行认证
int 接口
isis authentication-mode simple cipher 密码 # 配置密码

# 区域认证:
isis 进程号
area-authentication

# 路由域认证
isis 进程号
domain-authentication

BGP

1
2
3
4
5
6
7
8
9
bgp AS号
route-id 路由器ID
peer 对等体地址 as-number 对等体AS号
peer 对等体地址 connect-interface 本地源接口 # 如果使用环回地址建立对等体,就要指定本地源接口
peer 对等体地址 ebgp-max-hop 跳数 # EBGP最大跳数为1,使用环回地址建立EBGP就要修改EBGP跳数
peer 对等体地址 ignore # 暂时停止对等体的会话
network IP地址 掩码 # 宣告网段
peer 对等体地址 next-hop-local # 指定邻居的下一跳地址为自己
peer 对等体地址 next-hop-invariable # 让邻居的下一跳地址不变
1
route loop-detect bgp enable		# 启用BGP防环

VRRP

1
2
3
4
5
6
7
8
9
vlan 100

int vlan 100
ip address 10.0.0.253 24
vrrp vrid 100 virtual-ip 10.0.0.254
vrrp vrid 100 priority 优先级 # 默认优先级100,越大越优先
vrrp vrid 100 track int 接口 reduced 减去的优先级 # 指定接口Down后,就减去优先级,转为备用
vrrp vrid 100 preempt-mode timer delay 延迟值 # 抢占模式,指定N秒后抢占回来
vrrp vrid 100 preempt-mode disable # 禁止抢占模式
1
2
3
4
5
6
7
8
9
10
# BFD联动

bfd # 开启BFD
bfd bfd名称 peer-ip 对端IP地址 source-ip 本地IP地址
discriminator local 本地标识符
discriminator remote 对方标识符
commit # 启用该BFD

int vlan 100
vrrp vrid 100 track bfd-session bfd会话ID reduced 优先级 # 检测到断开后就降低vrrp优先级

BFD

双向检测

1
2
3
4
5
6
# 两边都要配置
bfd
bfd bfd名称 peer-ip 对端IP地址 source-ip 本地IP地址
disciminator local 本地标识符
disciminator remote 对方标识符
commit # 启用该BFD

单臂回声

1
2
3
4
# 只配置一边
bfd
bfd bfd名称 peer-ip 对端IP地址 intface 接口 source-ip 本地IP地址 one-arm-echo
discriminator local 本地标识符 # 只需要配置一边

示例

1
2
3
# vrrp
int vlan 100
vrrp vrid 100 track bfd-session bfd会话ID reduced 优先级
1
2
# 静态路由
ip route-static 0.0.0.0 0.0.0.0 1.1.1.1 track bfd-session bfd名
1
2
3
# OSPF
ospf 1
bfd all-interface enable

NQA

STP

1
2
3
4
5
6
7
int gi0/0/0
stp edged-port enable # 边缘端口,不经过STP计算

stp mode stp
stp priority 4096 # 配置优先级为4096,默认32768
stp root primary # 配置为根桥,优先级等于0
stp root secondary # 配置设备为根桥

DHCP

DHCP地址池

1
2
3
4
5
6
7
8
9
10
11
ip pool 地址池名
network 192.168.10.0 mask 255.255.255.0
gateway-list 192.168.10.254
dns-list 1.2.4.8
exclude-ip-address 起始IP 结束IP
lease 1
static-bind ip-address xx.xx.xx.xx mac-address xxxx-xxxx-xxxx

dhcp enable
int gi0/0/1
dhcp select global

DHCP接口

1
2
3
4
5
6
7
dhcp enable
int gi0/0/1
dhcp select interface
dhcp server gateway-list 192.168.10.254
dhcp server dns-list 1.2.4.8
dhcp server exclude-ip-address 起始IP 结束IP
dhcp server static-bind ip-address xx.xx.xx.xx mac-address xxxx-xxxx-xxxx

DHCP中继

1
2
3
4
5
# 配置在用户端接口,注意路由要等通信
dhcp enable
int vlanif 100
dhcp select relay
dhcp relay service-ip dhcp服务器地址

DHCP Snooping

1
2
3
4
5
6
dhcp snooping enable		# 全局开启dhcp snooping
int gi0/0/1
dhcp snooping enable

int gi0/0/2
dhcp snooping trusted # 将指定接口配置为信任口(就是上联dhcp服务器的接口)

NAT

静态NAT

  • 实现私网地址与公网地址一对一映射
1
2
3
4
# 在接口视图下配置
int gi0/0/0
nat static enable
nat static global 公网IP地址 inside 私网IP地址
1
2
3
4
# 在全局下配置
nat static global 公网IP地址 inside 私网IP地址
int gi0/0/0
nat static enable

动态NAT

1
2
3
4
5
6
7
8
9
10
# 创建ACL,匹配需要上网的流量
acl 2000
rule permit source 192.168.10.0 0.0.0.255

# 创建地址池
nat address-group 地址池ID 起始公网IP地址 结束公网IP地址

# 创建映射
int gi0/0/0
nat outbound acl编号 address-group 地址池ID no-pat # no-pat表示不进行端口转换

NAPT端口映射

1
2
3
# 静态映射,一般用于将内网服务器端口映射到外网
int gi0/0/0
nat server protocol tcp global 公网IP地址 公网端口 inside 私网IP地址 私网端口
1
2
3
4
5
6
7
# 动态映射:用于上网
acl 2000
rule permit source 192.168.10.0 0.0.0.255

nat address-group 地址池ID 起始公网IP地址 结束公网IP地址
int gi0/0/0
nat outbound acl编号 address-group 地址池ID

RESY IP

  • 将多个IP地址映射到公网出接口IP地址的不同端口上,一般用于动态的公网IP地址
1
2
int gi0/0/0
nat outbound acl编号

防火墙

防火墙模式:透明模式、路由模式、混合模式

基本配置

1
2
3
# 区域配置
firewall zone 区域名 # trust、untrust、dmz
add interface 接口 # 将指定接口加入指定区域
1
2
3
4
5
6
7
8
# 配置安全策略
security-policy
rule name 安全策略名
source-zone 源区域名
destination-zone 目的区域名
source-address 源IP地址 掩码
destination-address 目的IP地址 掩码
action 动作 # permit、deny
1
2
3
# 默认接口禁止PING,需要PING就打开
int gi0/0/0
service-manage ping permit # 允许PING

NAT

1
2
3
4
# 配置地址池
nat address-group 地址池名
mode pat
section 0 起始IP地址 结束IP地址
1
2
3
4
5
6
7
8
9
# 配置NAT策略
nat-policy
rule name nat策略名
source-zone 源区域名 # 一般是trust、dmz
destination-zone 目的区域名 # 一般是untrust
source-address 源IP地址 掩码
destination-address 目的IP地址 掩码 # 默认是any,不用配置
action source-nat address-group 地址池名
action source-nat easy-ip # 不用地址池,跟上面的方法二选一

端口映射

  • untrust区域默认访问不了DMZ区域,需要配置安全策略放行
1
2
3
4
5
6
7
# 配置untrust区域到DMZ区域
security-policy
rule name 安全策略名
source-zone untrust
destination-zone dmz
destination-address 服务器IP地址 掩码 # 可选
action permit
1
2
# 端口映射
nat server 可选策略名 protocol 协议 global 公网IP地址 端口 inside 私网IP地址 端口

IPSec

静态建立

  1. 配置感兴趣流
1
2
acl 3000
rule 5 permit ip source 本地需要加密的IP网段 反掩码 destination 对端网段 反掩码
  1. 配置IPSec安全提议
1
2
3
ipsec proposal 安全提议名
esp authentication-algorithm sha2-256 # 认证算法
esp encryption-algorithm aes-128 # 加密算法
  1. 配置安全策略
1
2
3
4
5
6
7
8
9
ipsec policy 安全策略名 10 manual
security acl 感兴趣流编号
proposal 安全提议名
tunnel local 隧道本地地址
tunnel remote 隧道对端地址
sa spi inbound esp SA编号 # 入方向的SA编号(SA随意,两端反过来就行)
sa string-key inbound esp cipher 密码 # 入反向的SA认证密钥
sa spi outbound esp SA编号 # 出方向的SA编号,同上
sa string-key outbound esp cipher 密码 # 出方向SA认证密钥,同上
  1. 在接口上应用安全策略
1
2
int gi0/0/0
ipsec policy 安全策略名
  1. 排除NAT的ACL
1
2
3
acl 3001
rule deny ip source 源地址 反掩码 destination 目的地址 反掩码
rule permit ip source any destination any

IKE动态建立

配置IKE提议

1
2
3
4
ike proposal 编号
authentication-algorithm sha # 配置认证算法sal1
encryption-algorithm aes-cbc-128 # 配置机密算法位AES,128位
dh group14 # 密钥交换协议采用DH,group14表示2014bit DH交换组

配置IKE对等体

1
2
3
4
5
ike peer 对等体名 v1		# 创建对等体,使用ike v1协商对等体
pre-shared-key cipher 密码 # 配置预共享密钥
ike-proposal ike提议编号 # 指定ike提议
local-address 本地IP地址
remote-address 对端IP地址

配置IPSec提议

1
2
3
ipsec proposal 提议名
esp authentication-algorithm sha2-256 # 认证算法采用sha2-256
esp encryption-algorithm aes-128 # 加密算法采用aes-128

配置IPSec策略

1
2
3
4
ipsec policy 策略名 编号 isakmp			# isakmp表示自动隧道
security acl 感兴趣流编号
ike-peer 对等体名 # 指定对等体,刚才创建的那个
proposal ipsec提议名 # 指定IPSec提议

应用到接口

1
2
int 出接口
ipsec policy ipsec策略名

ACAP

  • 隧道转发模式:业务数据通过CAPWAP隧道的封装后再发送给AC,AC再转发给上层(业务数据走的CAPWAP隧道)
  • 直接转发模式:业务数据不经过CAPWAP隧道,直接转发给上层(业务数据不经过AC)
  1. 创建业务、管理VLAN;AC上联口放行管理、业务VLAN;启用dhcp
1
2
3
4
5
6
vlan batch 100 101
dhcp enable

int vlanif 100
ip address 100.0.0.254 24 # 管理VLAN(AP的IP)
dhcp select interface
  1. 配置域模板,并配置国家代码
1
2
3
wlan
regulatory-domain-profile name china # 创建域模板,名为china
country-code CN # 国家代码为中国(默认)
  1. 创建AP组,引用域模板
1
2
3
wlan 
ap-group name test # ap组名为test
regulatory-domain-profile china # 指定域模板为刚才创建的china
  1. 配置capwap隧道源接口或源地址
1
2
capwap source int vlanif 100		# 指定capwap地址,就是刚才创建的管理vlan
capwap source ip-address 100.0.0.254 # 上面的代码二选一,这个是直接指定capwap隧道的IP地址
  1. 配置AP设备入网认证
1
2
3
4
5
6
7
8
9
# 先查看AP的上线结果,然后根据mac地址绑定AP
display ap all

# ap设备入网认证
wlan
ap auth-mode mac-auth # 指定ap上线认证方式为MAC地址认证
ap-id 1 ap-mac xxxx-xxxx-xxxx # 绑定AP的MAC地址,指定AP的ap-id
ap-group test # 将该AP加入test组
ap-name ap1 # 将ap的名字配置为安ap1
  1. 创建安全模板,配置用户认证方式
1
2
3
4
wlan
security-profile name sec_work # 创建安全模板,名为sec_work
security 认证方式 模式 pass-phrase 密码 加密算法 # 配置wlan相关的认证方式、密码、算法
security wpa-wpa2 psk pass-phrase 12345678 aes # 密码为12345678
  1. 创建ssid模板,配置SSID名
1
2
3
wlan
ssid-profile name ssid_work # ssid的模板名为ssid_work
ssid wifi名 # 配置wifi名
  1. 配置VAP模板,设置为隧道模式,配置用户的VLAN,绑定安全模板、SSID模板
1
2
3
4
5
6
wlan
vap-profile name vap_work # VAP模板名为vap-work
forward-mode tunnel # 配置转发模式为隧道,默认为直接转发模式direct-forward
service-vlan vlan-id 101 # 指定业务网段为101
security-profile sec_work # 指定安全模板为sec_work
ssid-profile ssid_work # 指定ssid的模板为ssid_work
  1. 在ap组中绑定VAP模板
1
2
3
wlan
ap-group name test
vap-profile vap_work wlawn 1 radio 0 # 为ap组test绑定vap vap_work,射频为2.4G(0为2.4G、1为5G、all为全部)

路由策略

route-policy

1
2
3
4
5
6
7
8
9
10
11
# 创建acl
acl 2000
rule permit source 192.168.10.0 0.0.0.255

# 将acl与route-policy绑定
route-policy 路由策略编号 permit node 10
if-match acl acl编号

# 将route-policy应用到路由
ospf 1
import direct route-policy 路由策略编号

Qos流控

1
2
3
# 创建流分类
traffic classifer 流分类编号
if-match acl acl编号
1
2
3
4
# 创建流行为
traffic behavior 流行为编号
redirect ip-nexthop 下一跳地址
行为 # permit或deny,与上面的下一跳二选一就行
1
2
3
# 创建流策略
traffic policy 流策略编号
classifer 流分类编号 behavior 流行为编号
1
2
3
# 在接口上应用策略
int gi0/0/0
traffic-policy 流策略编号 方向 # 方向:outbound、inbound

下午理论

出口负载均衡

  1. 基于目的地址的策略路由
  2. 基于源地址的策略路由
  3. 基于流量的负载均衡策略
  4. 基于应用协议的策略路由
  5. 流量根据链路带宽分担
  6. 流量根据链路优先级负载分担

传输线缆

光纤的优缺点

优点:带宽大、体积轻、传输距离远、抗电磁干扰、安全性高(防监听)

缺点:成本高、脆弱、需要使用转换设备(SPF光模块)

测试标准:

  • 使用光功率计测试光纤的光衰,正常光衰在-25db
  • 使用光时域反射计检测光纤的故障位置,发现光缆断裂点
  • 回光损耗测试,光衰过大时可能是熔接问题、光纤弯度问题、光纤质量问题

双绞线的优缺点

优点:成本较低、灵活性好、抗拉伸

缺点:传输距离有限、带宽相对较低、安全性较低

测试标准:连通性、衰减、近端串扰、链路长度等

逻辑网络设计

  1. 核心层:负责高速转发,将多个汇聚层连接起来,提供Internet所需的路由服务
  2. 汇聚层:策略控制,实现资源访问控制和流量控制,数据转发和交换
  3. 接入层:用户接入

image-20231027160221997

类别 路由器 三层交换机
应用场景 网络出口、骨干网 局域网、园区网、城域网
功能 NAT、PPPoE、SDH等 VLAN、ACL、STP、堆叠等
性能 一般路由器性能低于交换机,骨干网核心路由器性能强 整体性能较高
成本 较高
总体 多面手,支持多种协议:以太网、SDH、ATM等 专用,以太网、FC、ATM、帧中继交换机

网络主要的冗余方案(设备和链路都要做冗余)

  1. 出口做冗余:多出口设备做主备、负载均衡
  2. 核心层:堆叠、VRRP、双电源、双引擎、多台核心层设备
  3. 汇聚层:与核心层之间做MSTP、链路聚合,堆叠

AC的部署位置

旁路部署:网络更可靠、扩展性更高、灵活、简化管理;缺点是延迟增加

直连部署:存在单点故障、性能瓶颈、扩展性不高、延迟更低

接入层部署:不能很好的利用AC的NAT等功能,稳定性差,与其他区域的工作站访问距离远导致效率低

综合布线标准

  1. 配线子系统应使用吊顶、墙体内穿管、桥架等方式敷设
  2. 建筑群之间的线缆使用地下管道敷设
  3. 线缆应远离高温和电磁干扰场所
  4. 管线弯管的半径应该符合规范要求

常见安全防护

DDOS

  • 购买流量清洗服务
  • 停用不必要的端口
  • 使用防火墙上的防DDOS功能、部署IPS等

TCP泛洪

  • 使用防火墙,用来将异常的TCP连接请求都丢弃或拒绝
  • 使用负载均设备
  • 使用IDS、IPS系统来检测和阻止这些流量

割接

核心交换机升级需要考虑的因素

  1. 设备性能:要满足业务高峰期的需要
  2. 接口满足业务需要,带宽满足业务高峰期需要,支持堆叠等
  3. 关键硬件冗余(风扇、引擎、电源),保证系统的可用性
  4. 适当考虑未来扩展

核心交换机网络割接的流程

  1. 对现网的核心交换机配置做备份
  2. 安装部署新的核心交换机,完成设备配置
  3. 将核心交换机接入路由器,测试网络连通性
  4. 将汇聚层交换机加入核心交换机,测试下面的设备能否联网
  5. 完成所有区域割接后,将旧的核心交换机下线

RIP版本的区别

RIPv1 RIPv2
有类路由标识符,不支持CIDR、VLSM 无类路由标识符,支持CIDR、VLSM
不支持传递子网掩码 支持传递子网掩码,能支持更精准的路由匹配和划分
使用广播更新,浪费带宽 使用组播、单播更新,减少网络流量和带宽的消耗
不支持路由认证 支持路由认证是,提高了安全性
最大15跳,限制了应用范围 支持多跳,更灵活、可扩展

RIP和OSPF的区别

RIP OSPF
算法原理 使用距离矢量算法 使用SPF最短路径优先算法
适用范围 适用小型网络 适用大中型网络
功能特性 配置简单,容易环路、收敛慢、可拓展性差 不会产生环路,负载分担

功能特性拓展OSPF:

  • 采用组播形式收发报文,这样可以减少对其他不运行OSPF协议路由器的影响
  • 支持无类域间路由CIDR
  • 支持对等价路由进行负载分担
  • 支持OSPF报文加密

OSPF宣告的优先级为10,引入的优先级为150;RIP的优先级为100

堆叠优缺点

优点

  • 可靠性高
  • 强大的拓展能力
  • 简化配置和管理,对于上下游来说就相当于一台物理设备

缺点

  • 对设备型号要求高,堆叠协议私有
  • 需要专用的线缆做堆叠
  • 堆叠成本高

VRRP

虚拟路由冗余协议,解决局域网中配置静态网关出现单点失效现象的路由协议,可以配置一个设备集群;

运行VRRP的一组路由器对外组成了一个虚拟路由器,其中一台路由器处于Master状态,另一台属于Backup状态;

当Master设备出现故障时,Backup设备就可以迅速变为Master进行服务,该切换对用户来说是透明的;

VRRP中可以配置一条心跳线来作为两设备之间相互检测对端状态的链路,当检测不到对端设备时,就会改本自身状态来接替对方(Backup变成Master)

光纤配线架基本功能

  1. 光纤固定
  2. 光纤熔接
  3. 光纤配接
  4. 光纤存储