锦慈的技术博客

整套教程从基础网络中涉及的各种定义、TCP/IP协议的发展和应用、动静态路由原理和练习实验、交换网络中各类协议和练习实验、访问控制列表和练习实验、VPN原理和练习实验等内容。每章节内容从发展历史、理论要求、实践应用都做了详细的文字描述，必要时采用了各类配图加以理解，并设计了练习实验和练习题目。其中实验部分采用思科 Cisco Packet Tracer 6.2 网络模拟器设计搭建，配以详细的拓扑图和命令配置信息。文末附上CCNA学习、网络协议学习参考资料，可自取！

主机之间一对一组的通讯模式，也就是加入了同一个组的主机可以接受到此组内的所有数据，网络中的交换机和路由器只向有需求者复制并转发其所需数据。主机之间一对所有的通讯模式，网络对其中每一台主机发出的信号都进行无条件复制并转发，所有主机都可以接收到所有信息（不管你是否需要），由于其不用路径选择，所以其网络成本可以很低廉。但由于总线型的拓扑结构中，任意的节点发生故障，都会导致网络的阻塞。树形拓扑是总线拓扑的扩充形式，传输介质是不封闭的分支电缆，树形拓扑和总线拓扑一样，一个站点发送数据，其他站点都能接收。

Hub本身不能识别数据包的目的地址，当集线器接收到数据包时，它以广播的方式播送到各个端口，由每一台主机通过验证数据包的目的地址来决定是否接收。多模光纤中传输的模式多达数百个，各个模式的传播常数和群速率不同，使光纤的带宽窄，色散大，损耗也大，只适于中短距离和小容量的光纤通信系统。可以通过检查收到的数据包的目的地址，并从MAC地址表中查得目的设备所在的端口，将数据包传送到目的端口。广域网的作用范围通常为几十到几千公里，是互联网的核心部分，其任务是通过长距离运送主机所发送的数据。，只能传一种模式的光纤。

由于网络体系结构的不同，不同公司的设备很难互相连通。为了使不同体系结构的计算机网络都能互连，国际标准化组织ISO于1977年成立了专门机构研究该问题并随后推出了OSI七层模型协议，然而到了 20世纪90年代初期，虽然整套的0SI国际标准都已经制定出来了，但由于基于TCP/IP的互联网己抢先在全球相当大的范围成功地运行了，而与此同时却几乎找不到有什么厂家生产出符合0SI标准的商用产品。网络层（互联网层）：处理分组在网络中的活动，提供独立于硬件的逻辑寻址,实现物理地址与逻辑地址的转换，比如分组的选路。

其中，前三个字节是由IEEE的注册管理机构RA负责给不同厂家分配的代码(高位24位)，也称为"编制上唯一的标识符"(Organizationally Unique Identifier)，后三个字节(低位24位)由各厂家自行指派给生产的适配器接口，称为扩展标识符(唯一性)。给主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址，并且请求任何收到此请求的RARP服务器分配一个IP地址。如果信道忙，则继续监听，当传输中的最后一比特通过后，在继续等待一段时间，以提供适当的。

数据报每经过一个路由器，路由器都要重新计算一下首部检验和，若首部未发生变化，则此结果必为 0，于是就保留这个数据报。对于网络号相的设备，无论实际所处的物理位置如何，它们都是处在同一个网络中。在首部的固定部分的后面是一些可选字段，其长度是可变的。IPv4 软件在存储器中维持一个计数器，每产生一个数据报，计数器就加 1，并将此值赋给标识字段。表示数据报在网络中的寿命，英文缩写是 TTL（Time To Live），功能是“跳数限制”。地址的网络号码字段用来标识一个网络，网络号码字段的前几位用来区分。

当一个单位的主机很多而且分布在很广的地理范围时，为了便于管理，可将单位内部的主机号码再进一步划分为多个子网。通过子网划分，整个网络地址可以划分成更多的小网络。子网的划分是网络内部的行为，从外部看，这个单位只有一个网络号码。只有当外部的报文进入到本单位范围后，本单位的路由设备才根据子网号码再进行选路，找到目的主机。

UDP协议，即用户数据报协议（User Datagram Protocol），是一个简单的面向数据报的传输层协议。UDP协议只在IP数据报服务商增加了很少一点的功能，就是复用和分用，以及差错检测的功能。发送方的UDP对应用程序交下来的报文，在添加首部后就向下交付给IP层。既不拆分，也不合并，而是保留这些报文的边界，因此，应用程序需要选择合适的报文大小。UDP长度：UDP报文的字节长度（包括首部和数据）。不保证可靠的交付，主机不需要维持复杂的链接状态表。UDP校验和: 检验UDP首部和数据部分的正确性。

三次握手耳熟能详，四次挥手估计就不太熟悉，所谓四次挥手（Four-Way Wavehand）即终止TCP连接，就是指断开一个TCP连接时，需要客户端和服务端总共发送4个包以确认连接的断开。

其实，DNS是internet的一项服务，一般叫域名服务或者域名解析服务，主要提供网站域名与IP地址的相互转换的服务。域名解析分文争相解析与反向解析，正向解析是将主机名转换成IP地址的过程，域名的反向解析是将IP地址转换成主机名的过程。协议并不是一个可靠的协议，它不保证数据被送达，那么，保证数据送达的工作应该由其他的模块来完成。简单文件传输协议，用来在客户机与服务器之间进行简单文件传输的协议，提供不复杂、开销不大的文件传输服务。协议大致分为两类，一种是查询报文，一种是差错报文。远程登录协议，进行远程访问。

采用绘图方式详细介绍主机间二层通信和三层通信时TCP/IP协议的主要作用

路由器运行rip之后，会首先发送路由信息更新（请求），收到更新的路由器会给予回复，就会把自己路由表的所有条目通告给请求的路由器，请求的路由器收到响应之后，根据自己路由表中的情况有选择的进行学习：当自己的路由表中，有更好的（跳数最小的）路由条目时，就会拒绝接收；运行ospf的路由器会互相传递lsa，路由器会把收到的lsa放到lsdb中，通过spf算法，以自己为根，生成一个最多路径树（到其他的路由器都只有开销最小的路），然后通过路由计算之后，放到我们的路由表中。v1是有类的路由协议，v2是无类的路由协议，

路由器转发数据包时，只根据目标IP地址的网络部分，查找路由表，选择合适的接口，将数据包发送出去。这样，路由器把知道如何传送的IP包转发出去，不知道的IP包送给缺省网关，通过不断的转发，数据包最终将送到目的地，送不到目的地的则被丢弃。当路由器收到一个目标网络没有在路由表中列出的包的时候，它并不发送广播寻找目标网络，而是直接丢弃。最长匹配原则：当路由器收到一个IP数据包时，会将数据包的目的IP地址与自己本地路由表中的表项进行bit by bit的逐位查找，直到找到匹配度最长的条目，这叫最长匹配原则。

Cisco Packet Tracer7.0版本及以上均需要用户名登录，平台提供的实验环境中双击模拟器打开之后会出现如下界面，点击最右选项confirm guest可免除登录。

路由的基本命令

在因特网中，IP地址是能使连接到网上的所有计算机网络实现相互通信的一套规则，规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统，只要遵守IP协议就可以与因特网互连互通。第一步：根据拓扑图，配置PC0的地址使 192.168.1.2，R1的地址使192.168.1.1（图示路由器2911）至此实验完结，此实验是让大家学会怎么配置PC和路由器接口的地址，后续文档将不再重复。第二步：验证PC0到R1互连接口的通信（此步骤很重要，必须验证）安装模拟器的Windows系统。

学习静态路由的配置方法

学习缺省路由路由的配置方法

交换机的工作原理交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射，并将其写入MAC地址表中。交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较，以决定由哪个端口进行转发。如数据帧中的目的MAC地址不在MAC地址表中，则向所有端口转发，这一过程称为泛洪（flood广播帧和组播帧向所有的端口转发。4.1.2 交换机环路的危害广播风暴。

核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用在核心层中，应该采用高带宽的千兆以上交换机。汇聚层必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。三层网络架构采用层次化模型设计，即将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

高可用性指的是通过尽量缩短因日常维护操作和突发的系统崩溃(非计划)所导致的停机时间，以提高系统和应用的可用性。它与被认为是不间断操作的容错技术有所不同。构成计算机网络系统的三大要素是:网络系统，服务器系统，存储系统。网络系统包括防火墙，路由器等网络设备，服务器系统主要指用户使用的各种服务器系统，存储系统，则是用户最主要的数据存储放的地点。

交换机最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。当发现主机的MAC地址与交换机上指定的MAC地址不同时 ，交换机相应的端口将down掉。//当主机MAC地址数超过100时，交换机继续工作，但来自新的主机的数据帧将丢失。上面的配置根据MAC地址来允许流量，下面的配置则是根据MAC地址来拒绝流量。//限制此端口允许通过的MAC地址数为1。//配置MAC地址。

思科模拟器默认将初始状态下开启STP，所以按照拓扑将设备连接后，会发现其中一个端口亮红灯，这是因为该端口被阻塞掉了。cisco默认的stp是pvst （per vlan stp ）它是基于每个vlan建立一个生成树，缺点：不能快速迁移。即使是在点对点链路或边缘端口，也必须等待2倍的forward delay的时间延迟，网络才能收敛。安装模拟器的Windows系统。了解STP桥和端口角色的选举。4.6.1 配置STP。

学习VLAN的创建删除

学习思科私有协议VTP的配置方法，观察VTP三种工作模式的通信方式

学习配置单臂路由

HSRP(Hot StandbyRouter Protocol 热备份路由器协议)是Cisco的专有协议，原理与VRRP类似。HSRP把多台路由器组成一个“热备份组”，形成一个虚拟路由器。这个组内只有一个路由器是Active(活动)的，并由它来转发数据包，如果活动路由器发生了故障，备份路由器将成为活动路由器。从网络内的主机来看，网关并没有改变。

ACL全称访问控制列表（Access Control List），是用来限制网络流量、提高网络性能；提供对通信流量的控制手段；提供网络访问的基本安全手段。

动态ACL是能够自动创建动态访问表项的访问列表。传统的标准访问列表和扩展的访问列表不能创建动态访问表项。一旦在传统访问列表中加入了一个表项，除非手工删除，该表项将一直产生作用。而在动态访问表中，可以根据用户认证过程来创建特定的、临时的访问表项，一旦某个表项超时，就会自动从路由器中删除。

认识标准访问控制列表。PC0 可以TELNET Router0 ,其它拒绝

认识访问控制列表。PC1可以访问www,不能访问FTP，PC2没有限制

学习自反ACL的配置方法, 在本实验中针对udp流量进行过滤，只可使内网R1环回口ping通外网R3，反之则不通。

学习基于上下文ACL的配置方法，理解其工作原理

Network Address Translation，即网络地址转换，是一种将私有(保留)地址转化为合法IP地址的转换技术。NAT技术的提出背景: 合法的IP地址资源日益短缺 一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换 地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用 地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务

学习NAT的配置方法，PC1、PC2能访问4.4.4.4的WWW

学习动态NAT的配置方法，PC能访问4.4.4.4的WWW

学习PAT的配置方法，PC1、PC2能访问4.4.4.4的WWW

而密钥通常来说是通过双方协商，以物理的方式传递给对方，或者利用第三方平台传递给对方，一旦这过程出现了密钥泄露，不怀好意的人就能结合相应的算法拦截解密出其加密传输的内容。密钥长64位，密钥事实上是56位参与DES运算（第8、16、24、32、40、48、56、64位是校验位，使得每个密钥都有奇数个1），分组后的明文组和56位的密钥按位替代或交换的方法形成密文组。公钥和私钥是成对存在，公钥是从私钥中提取产生公开给所有人的，如果使用公钥对数据进行加密，那么只有对应的私钥才能解密，反之亦然。

数字签名综合使用了消息摘要和非对称加密技术，可以保证接受者能够核实发送者对报文的签名，发送者事后不抵赖报文的签名，接受者不能篡改报文内容和伪造对报文的签名。是一种通用的证书格式，它的第三个版本目前使用广泛，证书内容包括：版本、序列号、签名算法标识、签发者、有效期、主体、主体公开密钥、数字签名是指发送方以电子形式签名一个消息或文件，签名后的消息或文件能在网络中传输，并表示签名人对该消息或文件的内容负有责任。，消息摘要长度固定且比原始信息小得多，一般情况下，消息摘要是不可逆的，即从消息摘要无法还原原文。

PPP更像是一种应用，类似一个拨号上网的应用软件，拨号成功后，本地主机就可以正常上网，可以使用TCP/IP协议，而完全感觉不到PPP的存在。Internet上，在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，好比通过安全隧道，到达目的地，而不用为隧道的建设付费，但是它并不需要真正的去铺设光缆之类的物理线路。将原始IP数据包封装进GRE协议，GRE协议成为封装协议（Encapsulation Protocol），封装的包头IP地址为虚拟直连链路两端的IP地址。