计算机网络知识

IP地址详解

局域网：一般称为内网
简单局域网的构成：交换机、网线、PC
交换机：用来组建内网的局域网的设备

1.IP地址

IP地址就是一个唯一标识，是一段网络编码（二进制）
IP地址的范围：0-255

2.子网掩码

局域网通信规则：在同一个局域网中，所有的IP必须在同一网段中才可以互相通信
IP地址构成：网络位+主机位（网络位相同的IP地址，为同一网段）
子网掩码：用来确定IP地址的网络位
子网掩码如何确定网络位：与255对应的数字为网络位，与0对应的数字为主机位

3.IP地址分类

A类：1-126默认子网掩码：255.0.0.0
B类：128-191默认子网掩码：255.255.0.0
C类：192.223默认子网掩码：255.255.255.0
D类：224-239组播地址
E类：240-254科学使用
回环地址：127.0.0.1（本地）

4.网关

网关：一个网络的出口（Gateway=GW）一般网关是在路由器上
路由器：可用连接内外网的设备

PC向外发包：
1.首先判断目标IP地址与自己是否在同一网段
2.如在同一网段，则直接发出去，而不找网关
3.如不在同一网段，则直接发包给网关

5.DNS

域名查询命令：nslookup

小知识

IP：10.1.1.1
子网掩码：255.255.255.0
可用IP地址：254个
网段：10.1.1.0
广播地址：10.1.1.255

IP：10.1.1.1
子网掩码：255.255.0.0
可用IP地址：10.1.0.1-10.1.255.254
网段：10.1.0.0
广播地址：10.1.255.255

广播：网段内
组播：组内

批处理编写

@echo off：只输出内容
pause：暂停
title：头名字
%userprofile%：当前用户的地址

一直打开1.txt

:d
start C:\1.txt
goto d

输入输出

set /p a=输出的值：
echo %a%

DHCP部署与安全

自动分配IP地址

相关概念

地址池/作用域（IP、子网掩码、网关、DNS、租期）

DHCP原理

四个步骤：

1.发送DHCP Discovery广播包
2.响应DHCP Offer广播包
3.客户机发送DHCP Request广播包
4.发送DHCP ACK广播包

部署DHCP服务器

1.IP地址固定（服务器必须固定IP地址）
2.安装DHCP服务插件
3.新建地址池/作用域及地址池/作用域选项
4.激活
5.客户机验证

DHCP攻击与防御

攻击：频繁的发送伪装DHCP请求，直到将DHCP地址池资源耗尽
防御：在交换机（管理型）的端口上做动态MAC地址绑定

攻击：伪装DHCP服务器攻击，hack通过将自己部署为DHCP服务器，为客户机提供非法IP地址
防御：在交换机上，除合法的DHCP服务器所在接口外，全部设置为禁止发送DHCP offer包

DNS部署与安全

域名服务：提供域名解析服务

域名组成

主机名.域名称为完全限定域名（FQDN）

DNS解析种类

1.按照查询方式：

递归查询：客户机与本地DNS服务器之间
迭代查询：本地DNS服务器与根等其他DNS服务器的解析过程

2.按照查询内容：

正向解析：已知域名，解析IP地址
反向解析：已知IP地址，解析域名

WEB服务器和FTP服务器

WEB服务器也称为网页服务器或HTTP服务器，使用的协议为HTTP或HTTPS

PKI

作用：通过加密技术和数字签名保证信息的安全
组成：数字证书、CA、RA、公钥加密技术

信心安全三要素：
机密性、完整性、身份验证/操作的不可否认性

公钥加密技术
作用：实现对信息加密、数字签名等安全保障
加密算法：
	1.对称加密算法
		加解密的密钥一致
	2.非对称加密算法
		通信双方各自产生一对公私钥
		双方各自交换公钥
		公钥和私钥为互相加解密关系

OSI与TCP/IP五层模型

同层使用相同协议，下层为上层提供服务

OSI七层模型

应用层、表示层、会话层、传输层、网络层、数据链路层、物理层

TCP/IP五层模型

应用层、传输层（TCP协议）、网络层（IP协议）、数据链路层、物理层

数据的封装与解封装过程

交换机工作原理

收到一个数据帧后，首先学习帧中的源MAC地址来形成MAC地址表，然后检查帧中的目标MAC地址，并匹配MAC地址表，MAC地址表的老化时间默认是300秒（可修改）

1.如表中有匹配项，则单播转发
2.如表中无匹配项，则除接受端口外广播转发

交换机的端口：
E：10Mb
F：100Mb
G：1000Mb
Te：10000Mb

F0/1
0模块号
1接口号

接口速率自适应：1000/100/10M自适应
速率工作模式可以为10，100，1000任何一种状态

端口状态：up/down
down3中可能：
1.人工down掉
2.速率不匹配
3.双工模式不匹配（双工duplex）
	双工模式：单工、半双工、全双工

交换机基本工作模式及命令

1.第一次配置网络设备，需要使用console线
2.在PC需要使用“超级终端”或其他软件

用户模式：
switch>
可以查看交换机的基本简单信息，且不能做任何修改配置！

特权模式：
switch#
可以查看所有配置，且不能修改配置，但可以做测试、保存、初始化等操作

全局配置模式：
switch(config)#
默认不能查看配置，但是可以修改配置，且全局生效

接口配置模式：
switch(config-if)#
默认不能查看配置，但是可以修改配置，且对该端口生效

console口/线/控制台模式：
switch(config-line)#
默认不能查看配置，但是可以修改配置，且对console口生效

命令：
enable：进入特权模式
configure terminal：进入全局配置模式
interface f0/1：进入f0/1接口配置模式
line console 0：进入控制台模式
exit：退出一级
end：直接退到特权模式
？：帮助
hostname sw1：进入全局配置模式，编号交换机sw1
password 123456：进入控制台模式，设置用户密码为123456
login：进入控制台模式，设置每次登陆都要输入密码
ctrl+u：光标前全部删除
ctrl+a：定位光标到行首
ctrl+e：定位光标到行尾
reload：重启交换机
show：查看配置文件
show mac-address-table：查看地址表
show IP int brief：查看接口状态列表
enable secret 密码：设置密文特权密码的命令
do sh ip int b：接口列表状态

为3层接口配置IP并开启命令

int f0/1
ip add 10.1.1.254 255.255.255.0
no shutdown

不同网段的IP通过路由器转发

设置好两台交换机的网段，配置两台PC的IP和子网掩码，配置网关，打开接口

为交换机配置管理IP

conf t
int vlan 1
IP add 10.1.1.1 255.255.255.0
no shut

为交换机配置网关

```php
ip default-gateway 20.1.1.254

路由原理

路由：跨越从源主机到目标主机的一个互联网络来转发数据包的过程
路由根据路由表，交换机根据MaC地址表
0.0.0.0/0所有网段
直连、默认、静态、浮动

do sh ip route：查看路由表
show ip int b：查看接口列表

静态路由

conf t
ip route 目标网段 子网掩码 下一跳IP
如：ip route 10.1.1.0 255.255.255.0 20.1.1.0

默认路由

conf t
ip route 0.0.0.0 0.0.0.0 下一跳IP

浮动路由

在静态或默认路由后加空格+数字（正整数）

直连路由

路由器的工作原理

收到数据帧后，先检查帧头的目标Mac地址，如果不是自己的就丢掉，解封装然后将IP包输送到路由器内部，检查目标IP并匹配路由表，如果没有丢弃，如果有转发IP包路由到出接口，封装帧首先将出接口的mac地址作为源mac封装好，然后检查arp缓存表检查是否有下一跳的mac地址，如果有将提取并作为目标mac地址封装到帧中，没有，则发送arp广播请求下一跳的mac地址，并获取到对方的mac地址，再记录缓存，并封装帧，最后将帧发送出去。

VLAN

虚拟局域网：
		1.广播/广播域

广播的危害

增加网络/终端负担
传播病毒
安全性

如何控制广播？

控制广播=隔离广播域
1.路由器隔离广播（物理隔离广播）
缺点：成本高、不灵活
2.采用新的技术VLAN来控制广播（交换机上实现、通过逻辑隔离划分的广播域）

VLAN是干嘛的？

控制广播，逻辑隔离广播域

VLAN类型

1.静态VLAN（手工配置）
基于端口划分的VLAN

2.动态VLAN（手工配置）
基于Mac地址划分的VLAN

3.采用802.1x端口认证
基于账号来划分的VLAN

静态VLAN命令

1.创建VLAN conf t vlan ID,ID,ID-ID [name 自定义名称] exit 
2.查看VLAN表 show vlan b 
3.将端口加入到VLAN int f0/x switchport access vlan ID exit 

交换机端口链路类型

1.接入端口：也称为access端口，一般用于连接PC，只能属于某1个VLAN，也只能传输1个VLAN的数据 
2.中继端口：也成为trunk端口，一般用于连接其他交换机，属于公共端口，允许所有VLAN的数据通过 

trunk

公共链路：不属于某个VLAN，但是需要打标签来区分不同的VLAN

作用

允许所有VLAN通过trunk链路

trunk标签

1.ISL标签：cisco私有的，标签大小30字节26+4
2.802.1q标签：公有协议，所有厂家都支持，标签大小4字节，属于内部标签

配置trunk命令

int f0/x
switchport trunk encapsulation dot1q/isl
switchport mode trunk/access
exit

单臂路由

设置单臂路由

conf t
int f0/0.1
encapsilation dot1q 10
ip add 10.1.1.254 255.255.255.0
no shut
exit

int f0/0.2
encapsilation dot1q 20
ip add 20.1.1.254 255.255.255.0
no shut
exit

int f0/0
no shut

1.1个网段=1个VLAN（这样设置）
2.不同VLAN间通信是靠路由来实现得

ICMP协议与单臂实验

网络层：IP  ARP  ICMP
IP：
1：ICMP    
6：TCP
17：UDP
ICMP协议端口号：没有端口号

ICMP作用

网络探测与回馈机制
1.网络探测
2.路由跟踪
3.错误反馈

ICMP协议的封装格式

ICMP头：ICMP类型、代码
ICMP类型字段：
8：ping请求
0：ping应答
3：目标主机不可达
11：TTL超时（可能是路由环路）

路由跟踪

windows：tracert IP地址
linux或路由：traceroute IP地址

三层路由器上部署DHCP服务器

部署：

conf t
IP dhcp excluded-address 10.1.1.1									排除地址
IP dhcp pool 名称
network 10.1.1.0 255.255.255.0
default-router 10.1.1.254
dns-server 40.1.1.1
lease 1 0 0															租期一天
exit

删除：

no IP dhcp excluded-address 10.1.1.1
no IP dhcp pool 名称

路由器转发DHCP给某VLAN

int f0/0.1
ip helper-address 40.1.1.1
exit

单臂路由的缺点

1.网络瓶颈
2.容易发生单点物理故障（所有的子接口依赖于总物理接口）
3.VLAN间通信的每一个帧都进行单独路由

三层交换技术

conf t
ip routing			开启三层路由功能
int vlan 10			定义一个虚拟端口

三层交换机

1.三层交换机 = 三层路由 + 二层交换机
2.三层路由引擎是可以关闭或开启的
3.三层交换机的优点：
与单臂路由相比：
（1）解决了网络瓶颈问题
（2）解决了单点故障（虚拟接口不依赖与物理端口）
（3）