网络知识.docx
《网络知识.docx》由会员分享,可在线阅读,更多相关《网络知识.docx(12页珍藏版)》请在冰豆网上搜索。
网络知识
双绞线的标准接法
在网络组建过程中,双绞线的接线质量会影响网络的整体性能。
双绞线在各种设备之间的接法也非常有讲究,应按规范连接。
本文主要介绍双绞线的标准接法及其与各种设备的连接方法,目的是使大家掌握规律,提高工作效率,保证网络正常运行。
1、双绞线的标准接法
双绞线一般用于星型网络的布线,每条双绞线通过两端安装的RJ-45连接器(俗称水晶头)将各种网络设备连接起来。
双绞线的标准接法不是随便规定的,目的是保证线缆接头布局的对称性,这样就可以使接头内线缆之间的干扰相互抵消。
超五类线是网络布线最常用的网线,分屏蔽和非屏蔽两种。
如果是室外使用,屏蔽线要好些,在室内一般用非屏蔽五类线就够了,而由于不带屏蔽层,线缆会相对柔软些,但其连接方法都是一样的。
一般的超五类线里都有四对绞在一起的细线,并用不同的颜色标明。
双绞线有两种接法:
EIA/TIA568B标准和EIA/TIA568A标准。
具体接法如下(图1):
T568A线序
12345678
绿白绿橙白蓝蓝白橙棕白棕
T568B线序
12345678
橙白橙绿白蓝蓝白绿棕白棕
直通线:
两头都按T568B线序标准连接。
交叉线:
一头按T568A线序连接,一头按T568B线序连接。
我们平时制作网线时,如果不按标准连接,虽然有时线路也能接通,但是线路内部各线对之间的干扰不能有效消除,从而导致信号传送出错率升高,最终影响网络整体性能。
只有按规范标准建设,才能保证网络的正常运行,也会给后期的维护工作带来便利。
设备之间的连接方法
1.网卡与网卡
10M、100M网卡之间直接连接时,可以不用Hub,应采用交叉线接法。
2.网卡与光收发模块
将网卡装在计算机上,做好设置;给收发器接上电源,严格按照说明书的要求操作;用双绞线把计算机和收发器连接起来,双绞线应为交叉线接法;用光跳线把两个收发器连接起来,如收发器为单模,跳线也应用单模的。
光跳线连接时,一端接RX,另一端接TX,如此交叉连接。
不过现在很多光模块都有调控功能,交叉线和直通线都可以用。
光纤收发器基本网络连接图如图2所示。
3.光收发模块与交换机
用双绞线把计算机和收发器连接起来,双绞线为直通线接法。
4.网卡与交换机
双绞线为直通线接法。
5.集线器与集线器(交换机与交换机)
两台集线器(或交换机)通过双绞线级联,双绞线接头中线对的分布与连接网卡和集线器时有所不同,必须要用交叉线。
这种情况适用于那些没有标明专用级联端口的集线器之间的连接,而许多集线器为了方便用户,提供了一个专门用来串接到另一台集线器的端口,在对此类集线器进行级联时,双绞线均应为直通线接法。
用户如何判断自己的集线器(或交换机)是否需要交叉线连接呢?
主要方法有以下几种:
查看说明书
如果该集线器在级联时需要交叉线连接,一般会在设备说明书中进行说明。
查看连接端口
如果该集线器在级联时不需要交叉线,大多数情况下都会提供一至两个专用的互连端口,并有相应标注,如“Uplink”、“MDI”、“OuttoHub”,表示使用直通线连接。
实测
这是最管用的一种方法。
可以先制作两条用于测试的双绞线,其中一条是直通线,另一条是交叉线。
之后,用其中的一条连接两个集线器,这时注意观察连接端口对应的指示灯,如果指示灯亮表示连接正常,否则换另一条双绞线进行测试。
6.交换机与集线器之间
交换机与集线器之间也可通过级联的方式进行连接。
级联通常是解决不同品牌的交换机之间以及交换机与集线器之间连接的有效手段。
对于扩充端口的数量还有另一种方式是堆叠。
堆叠是扩展端口最快捷、最便利的方式,但不是所有的交换机都支持堆叠。
堆叠通常需要使用专用的堆叠电缆,还需要专门的堆叠模块。
另外,同一组堆叠交换机必须是同一品牌,并且在物理连接完毕之后,还要对交换机进行设置,才能正常运行。
对于堆叠的接法,这里不再深究,有兴趣的读者可进一步查阅相关资料。
ICMP,IGMP,TCP监听,UDP监听和NETBIOS小介绍
ICMP:
关闭时无法进行PING的操作,即别人无法用PING的方法来确定你的存在。
当有ICMP数据流进入机器时,除了正常情况外一般是有人利用专门软件进攻你的机器,这是一种在Internet上比较常见的攻击方式之一。
主要分为Flood攻击和Nuke攻击两类。
ICMPFlood攻击通过产生大量的ICMP数据流以消耗您的计算机的CPU资源和网络的有效带宽,使得您的计算机服务不能正常处理数据,进行正常运作;ICMPNuke攻击通过Windows的内部安全漏洞,使得连接到互联网络的计算机在遭受攻击的时候出现系统崩溃的情况,不能再正常运作。
也就是我们常说的蓝屏炸弹。
该协议对于普通用户来说,是很少使用到的,建议关掉此功能。
IGMP:
和ICMP差不多的协议,除了可以利用来发送蓝屏炸弹外,还会被后门软件利用。
当有IGMP数据流进入你的机器时,有可能是DDOS的宿主向你的机器发送IGMP控制的信息,如果你的机器上有DDOS的Slave软件,这个软件在接收到这个信息后将会对指定的网站发动攻击,这个时候你的机器就成了黑客的帮凶。
TCP监听:
关闭时,你机器上所有的TCP端口服务功能都将失效。
这是一种对付特洛依木马客户端程序的有效方法,因为这些程序也一种服务程序,由于关闭了TCP端口的服务功能,外部几乎不可能与这些程序进行通讯。
而且,对于普通用户来说,在互联网上只是用于WWW浏览,关闭此功能不会影响用户的操作。
但要注意,如果你的机器要执行一些服务程序,如FTPSERVER,HTTPSERVER时,一定要使该功能正常,而且,如果你用ICQ来接受文件,也一定要将该功能正常,否则,你将无法收到别人的ICQ信息。
另外,关闭了此功能后,也可以防止大部分的端口扫描。
UDP监听:
失效时,你机器上所有的UDP服务功能都将失效。
不过好象通过UDP方式来进行蓝屏攻击比较少见,但有可能会被用来进行激活特洛依木马的客户端程序。
注意,如果你使用了ICQ,就不可以关闭此功能。
NETBIOS:
有人在尝试使用微软网络共享服务端口(139)端口连接到您的计算机,如果您没有做好安全措施,可能是在你自己不知道和并没有允许的情况下,你的计算机里的私人文件就会在网络上被任何人在任何地方进行打开、修改或删除等操作。
将NETBIOS设置为失效时,你机器上所有共享服务功能都将关闭,别人在资源管理器中将看不到你的共享资源。
注意:
如果在失效前,别人已经打开了你的资源,那么他仍然可以访问那些资源,直到他断开了这次连接。
建议:
在局域网中打开该功能,在互联网关闭。
三层交换知识
所谓冲突,就是在总线上同时有多个机器在传送数据,从而造成数据包的冲突和碰撞,这在以太网中是不允许的,因此,以太网中引入了CSMA/CD冲突检测机制,CSMA/CD是英文carriersensemultipleaccess/collisiondetected的缩写,可把它翻成“载波侦察听多路访问/冲突检测”。
这个机制的工作原理就是每台机器在总线上发送数据之前要侦听是否有其他数据在总线上传送,如果有就等待,否则就会发出准备传送数据的信息,其它机器侦听到这个信息就会暂停自己的数据传送。
可以说所有在这个总线上的机器在一个冲突域内,因为他们是互相争夺总线带宽的,是共享机制,因此又叫做带宽域。
集线器(HUB)所有的端口都在一个冲突域,所有的机器都可以侦听到其它机器是否在发送数据,也可以接受到其它机器发出的数据,所以说HUB是共享带宽的,在满载的情况下是不能保证所有机器都能得到端口的标称带宽的,而且利用其可以接收到其它机器发送的数据的特点,我们可以用sniffer等软件监控网络中的数据。
交换机的好处在于其可以隔离冲突域,每个端口就是一个冲突域,因此在一个端口单独接计算机的时候,该计算机是不会与其它计算机产生冲突的,也就是带宽是独享的,交换机能做到这一点关键在于其内部的总线带宽是足够大的,可以满足所有端口的全双工状态下的带宽需求,并且通过类似电话交换机的机制保护不同的数据包能够到达目的地,可以把HUB和交换机比喻成单排街道与高速公路。
HUB和交换机都工作于OSI的第二层。
IP广播是属于OSI的第三层,是基于TCP/IP协议的,其产生和原理这里就不多讲了,大家可以看看TCP/IP协议方面的书籍。
交换机是无法隔离广播的,就像HUB无法隔离冲突域一样,因为其是工作在OSI第二层的,无法分析IP包,但我们可以使用路由器来隔离广播域,路由器的每个端口可以看成是一个广播域,一个端口的广播无法传到另外一个端口(特殊设置除外),因此在规模较大,机器较多的情况下我们可以使用路由器来隔离广播。
下面开始归入正题。
通常,只有通过划分子网才可以隔离广播,但是VLAN的出现打破了这个定律,用二层的东西解决三层的问题很是奇怪,但是的确做到了。
VLAN中文叫做虚拟局域网,它的作用就是将物理上互连的网络在逻辑上划分为多个互不相干的网络,这些网络之间是无法通讯的,就好像互相之间没有连接一样,因此广播也就隔离开了。
VLAN的实现原理非常简单,通过交换机的控制,某一VLAN成员发出的数据包交换机只发个同一VLAN的其它成员,而不会发给该VLAN成员以外的计算机。
使用VLAN的目的不仅仅是隔离广播,还有安全和管理等方面的应用,例如将重要部门与其它部门通过VLAN隔离,即使同在一个网络也可以保证他们不能互相通讯,确保重要部门的数据安全;也可以按照不同的部门、人员,位置划分VLAN,分别赋给不同的权限来进行管理。
VLAN的划分有很多种,我们可以按照IP地址来划分,按照端口来划分、按照MAC地址划分或者按照协议来划分,常用的划分方法是将端口和IP地址结合来划分VLAN,某几个端口为一个VLAN,并为该VLAN配置IP地址,那么该VLAN中的计算机就以这个地址为网关,其它VLAN则不能与该VLAN处于同一子网。
如果两台交换机都有同一VLAN的计算机,怎么办呢,我们可以通过VLANTrunk来解决。
如果交换机1的VLAN1中的机器要访问交换机2的VLAN1中的机器,我们可以把两台交换机的级联端口设置为Trunk端口,这样,当交换机把数据包从级联口发出去的时候,会在数据包中做一个标记(TAG),以使其它交换机识别该数据包属于哪一个VLAN,这样,其它交换机收到这样一个数据包后,只会将该数据包转发到标记中指定的VLAN,从而完成了跨越交换机的VLAN内部数据传输。
VLANTrunk目前有两种标准,ISL和802.1q,前者是Cisco专有技术,后者则是IEEE的国际标准,除了Cisco两者都支持外,其它厂商都只支持后者。
VLAN的默认设置是VLAN之间不允许通讯的,要想实现VLAN间的通讯,必须使用路由器,但是路由器是三层设备,不仅仅涉及到硬件设计还有其中的软件设计,因此价格昂贵,而且路由器要把每一个数据包的目的地址与自己的路由表项对比来决定数据包的去向,处理速度十分缓慢(相对于LAN的速度来说),要在大型的网络核心里使用路由器来进行VLAN的数据交换会使整个网络的效率大打折扣,于是人们将交换机的快速交换能力和路由器的路由寻址能力结合起来,出现的三层交换的概念。
第三层交换工作在OSI七层网络模型中的第三层即网络层,是利用第三层协议中的IP包的包头信息来对后续数据业务流进行标记,具有同一标记的业务流的后续报文被交换到第二层数据链路层,从而打通源IP地址和目的IP地址之间的一条通路。
这条通路经过第二层链路层。
有了这条通路,三层交换机就没有必要每次将接收到的数据包进行拆包来判断路由,而是直接将数据包进行转发,将数据流进行交换。
三层交换机与二层交换机的连接见最下面的图,所有VLAN间的数据流都通过三层交换机转发。
三层交换与路由的最大区别在于:
路由要对每一个数据包进行路由转发,而三层交换只对每次通讯的握手连接进行路由查找,对真正的用户数据只进行二层转发,速度快了很多。
三层交换机既然具有路由能力,也就支持常用的路由协议,例如静态路由,RIP,OSPF等,可以把三层交换机做为纯粹的多以太网端口路由器使用。
另外,三层交换机中的软件与路由器中的也大不相同,只是保留了部分对于LAN有用处的功能,例如访问控制列表,省略掉了很多控制功能,路由效率大大提高。
局域网实现VLAN实例
局域网实现VLAN实例计算机网络技术的发展犹如戏剧舞台,你方唱罢我登台。
从传统的以太网(10Mb/s)发展到快速以太网(100Mb/s)和千兆以太网(1000Mb/s)也不过几年的时间,其迅猛的势头实在令人吃惊。
而现在中大型规模网络建设中,以千兆三层交换机为核心的所谓“千兆主干跑、百兆到桌面”的主流网络模型已不胜枚举。
现在,网络业界对“三层交换”和VLAN这两词已经不感到陌生了。
一、什么是三层交换和VLAN要回答这个问题我们还是先看看以太网的工作原理。
以太网的工作原理是利用二进制位形成的一个个字节组合成一帧帧的数据(其实是一些电脉冲)在导线中进行传播。
首先,以太网网段上需要进行数据传送的节点对导线进行监听,这个过程称为CSMA/CD(CarrierSenseMultipleAccesswithCollisionDetection带有冲突监测的载波侦听多址访问)的载波侦听。
如果,这时有另外的节点正在传送数据,监听节点将不得不等待,直到传送节点的传送任务结束。
如果某时恰好有两个工作站同时准备传送数据,以太网网段将发出“冲突”信号。
这时,节点上所有的工作站都将检测到冲突信号,因为这时导线上的电压超出了标准电压。
这时以太网网段上的任何节点都要等冲突结束后才能够传送数据。
也就是说在CSMA/CD方式下,在一个时间段,只有一个节点能够在导线上传送数据。
而转发以太网数据帧的联网设备是集线器,它是一层设备,传输效率比较低。
冲突的产生降低了以太网的带宽,而且这种情况又是不可避免的。
所以,当导线上的节点越来越多后,冲突的数量将会增加。
显而易见的解决方法是限制以太网导线上的节点,需要对网络进行物理分段。
将网络进行物理分段的网络设备用到了网桥与交换机。
网桥和交换机的基本作用是只发送去往其他物理网段的信息。
所以,如果所有的信息都只发往本地的物理网段,那么网桥和交换机上就没有信息通过。
这样可以有效减少网络上的冲突。
网桥和交换机是基于目标MAC(介质访问控制)地址做出转发决定的,它们是二层设备。
我们已经知道了以太网的缺点及物理网段中冲突的影响,现在,我们来看看另外一种导致网络降低运行速度的原因:
广播。
广播存在于所有的网络上,如果不对它们进行适当的控制,它们便会充斥于整个网络,产生大量的网络通信。
广播不仅消耗了带宽,而且也降低了用户工作站的处理效率。
由于各种各样的原因,网络操作系统(NOS)使用了广播,TCP/IP使用广播从IP地址中解析MAC地址,还使用广播通过RIP和IGRP协议进行宣告,所以,广播也是不可避免的。
网桥和交换机将对所有的广播信息进行转发,而路由器不会。
所以,为了对广播进行控制,就必须使用路由器。
路由器是基于第3层报头、目标IP寻址、目标IPX寻址或目标Appletalk寻址做出转发决定。
路由器是3层设备。
在这里,我们就容易理解三层交换技术了,通俗地讲,就是将路由与交换合二为一的技术。
路由器在对第一个数据流进行路由后,将会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此映射表直接从二层进行交换而不是再次路由,提供线速性能,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率。
采用此技术的交换机我们常称为三层交换机。
那么,什么是VLAN呢?
VLAN(VirtualLocalAreaNetwork)就是虚拟局域网的意思。
VLAN可以不考虑用户的物理位置,而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组,每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。
同一个VLAN中的成员都共享广播,形成一个广播域,而不同VLAN之间广播信息是相互隔离的。
这样,将整个网络分割成多个不同的广播域(VLAN)。
一般来说,如果一个VLAN里面的工作站发送一个广播,那么这个VLAN里面所有的工作站都接收到这个广播,但是交换机不会将广播发送至其他VLAN上的任何一个端口。
如果要将广播发送到其它的VLAN端口,就要用到三层交换机。
二、如何配置三层交换机创建VLAN
以下的介绍都是基于Cisco交换机的VLAN。
Cisco的VLAN实现通常是以端口为中心的,与节点相连的端口将确定它所驻留的VLAN。
将端口分配给VLAN的方式有两种,分别是静态的和动态的.
形成静态VLAN的过程是将端口强制性地分配给VLAN的过程。
即我们先在VTP(VLANTrunkingProtocol)Server上建立VLAN,然后将每个端口分配给相应的VLAN的过程。
这是我们创建VLAN最常用的方法。
动态VLAN形成很简单,由具体的机器决定自己属于哪个VLAN。
即我们先建立一个VMPS(VLANMembershipPolicyServer)VLAN管理策略服务器,里面包含一个文本文件,文件中存有与VLAN映射的MAC地址表。
交换机根据这个映射表决定将端口分配给何种VLAN。
这种方法有很大的优势,但创建数据库是一项非常艰苦而且非常繁琐的工作。
下面以实例说明如何在一个典型的快速以太局域网中实现VLAN。
所谓典型局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机(不一定具备三层交换能力)。
我们假设核心交换机名称为:
COM;分支交换机分别为:
PAR1、PAR2、PAR3,分别通过Port1的光线模块与核心交换机相连;并且假设VLAN名称分别为COUNTER、MARKET、MANAGING……
需要做的工作:
1、设置VTPDOMAIN(核心、分支交换机上都设置)
2、配置中继(核心、分支交换机上都设置)
3、创建VLAN(在server上设置)
4、将交换机端口划入VLAN
5、配置三层交换
1、设置VTPDOMAIN。
VTPDOMAIN称为管理域。
交换VTP更新信息的所有交换机必须配置为相同的管理域。
如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。
COM#vlandatabase进入VLAN配置模式
COM(vlan)#vtpdomainCOM设置VTP管理域名称COM
COM(vlan)#vtpserver设置交换机为服务器模式
PAR1#vlandatabase进入VLAN配置模式
PAR1(vlan)#vtpdomainCOM设置VTP管理域名称COM
PAR1(vlan)#vtpClient设置交换机为客户端模式
PAR2#vlandatabase进入VLAN配置模式
PAR2(vlan)#vtpdomainCOM设置VTP管理域名称COM
PAR2(vlan)#vtpClient设置交换机为客户端模式
PAR3#vlandatabase进入VLAN配置模式
PAR3(vlan)#vtpdomainCOM设置VTP管理域名称COM
PAR3(vlan)#vtpClient设置交换机为客户端模式
注意:
这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数,同步本VTP域中其他交换机传递来的最新的VLAN信息;Client模式是指本交换机不能创建、删除、修改VLAN配置,也不能在NVRAM中存储VLAN配置,但可同步由本VTP域中其他交换机传递来的VLAN信息。
2、配置中继为了保证管理域能够覆盖所有的分支交换机,必须配置中继。
Cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的ISL标签。
ISL(Inter-SwitchLink)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和进行配置。
在核心交换机端配置如下:
COM(config)#interfacegigabitEthernet2/1
COM(config-if)#switchport
COM(config-if)#switchporttrunkencapsulationisl配置中继协议
COM(config-if)#switchportmodetrunk
COM(config)#interfacegigabitEthernet2/2
COM(config-if)#switchport
COM(config-if)#switchporttrunkencapsulationisl配置中继协议
COM(config-if)#switchportmodetrunk
COM(config)#interfacegigabitEthernet2/3
COM(config-if)#switchport
COM(config-if)#switchporttrunkencapsulationisl配置中继协议
COM(config-if)#switchportmodetrunk
在分支交换机端配置如下:
PAR1(config)#interfacegigabitEthernet0/1
PAR1(config-if)#switchportmodetrunk
PAR2(config)#interfacegigabitEthernet0/1
PAR2(config-if)#switchportmodetrunk
PAR3(config)#interfacegigabitEthernet0/1
PAR3(config-if)#switchportmodetrunk
……
此时,管理域算是设置完毕了。
3、创建VLAN一旦建立了管理域,就可以创建VLAN了。
COM(vlan)#Vlan10nameCOUNTER创建了一个编号为10名字为COUNTER的VLAN
COM(vlan)#Vlan11nameMARKET创建了一个编号为11名字为MARKET的VLAN
COM(vlan)#Vlan12nameMANAGING创建了一个编号为12名字为MANAGING的VLAN
……
注意,这里的VLAN是在核心交换机上建立的,其实,只要是在管理域中的任何一台VTP属性为Server的交换机上建立VLAN,它就会通过VTP通告整个管理域中的所有的交换机。
但如果要将具体的交换机端口划入某个VLAN,就必须在该端口所属的交换机上进行设置。
4、将交换机端口划入VLAN
例如,要将PAR1、PAR2、PAR3……分支交换机的端口1划入COUNTERVLAN,端口2划入MARKETVLAN,端口3划入MANAGINGVLAN……
PAR1(config)#interfacefastEthernet0/1配置端口1
PAR1(config-if)#switchportaccessvlan10归属COUNTERVLAN
PAR
升级会员 