网络互连技术路由交换与远程访问第二版复习总结.docx

1、网络互连技术路由交换与远程访问第二版复习总结第一章 网络技术基础回顾1、OSI七层模型，哪七层？各层的作用？OSI包括物理层（Physical Layer）、数据链路层（Data Link Layer）、网络层（Network Layer）、传输层（Transport Layer）、会话层（Session Layer）、表示层（Presentation Layer）、应用层（Application Layer）物理层：为上层协议提供了一个传输数据的物理介质。数据单位为比特（bit）数据链路层：实现在不可靠的物理介质上提供可靠的传输。如：物理地址寻址、数据的成帧、流量控制、数据的检错和重发等。数

2、据单位为帧（frame）数据链路层协议：HDLC，PPP，帧中继等网络层：对子网间的数据包进行路由选择。数据单位为数据包（packet）网络层协议：IP等。传输层：端到端，即主机到主机的层次。将上层数据分段并提供端到端的（主机到主机的）、可靠的或不可靠的传输，此外还要处理端到端的差错控制和流量控制等问题。数据单位为数据段（segment）传输层协议：TCP，UDP等。会话层：管理主机之间的会话进程，即负责建立、管理、终止进程之间的会话表示层：对上层数据或信息进行变化以保证一个主机的应用层信息可以被另一个主机的应用程序理解。包括数据的加密、压缩、格式转换等。应用层：为操作系统或网络应用程序提供访

3、问网络服务的接口。 应用层协议：Telnet，FTP，HTTP，SNMP等。2、TCP/IP模型哪些层？各层的作用？TCP/IP模型包括应用层、传输层、网络互连层、主机到网络层主机到网络层：没有真正描述这一层的实现只要求能够提供给其上层一个访问接口。具体的实现方法随着网络类型的不同而不同。网络互连层：是整个TCP/IP协议栈的核心，功能是将分组发往目标网络或主机。 网络层定义了分组格式和协议，即网际协议（Internet Protocol . IP） 网络层除完成路由功能外，也可完成异构网互连，拥塞控制等功能。传输层：使源端主机和目标端主机上的对等实体可以进行会话。在传输层定义了两种服务质量不

4、同的协议。即TCP（传输控制协议）和UDP（用户数据报协议） TCP是面向连接的，可靠的协议。它把报文分解为多个段进行传输，在目的站再重新装配这些段，必要时重新发送没有收到的段。 UDP协议遵循“尽力而为”，由于对发送的段不进行校验和确认，因此它是“不可靠”的，无连接协议。应用层：应用层面向不同的网络应用引入了不同的应用层协议。3、ARP协议作用，工作过程？ARP协议作用：在局域网内的通信，必须在数据帧头中指定通信目标的MAC地址。而为了获取MAC地址，TCP/IP协议下使用的是ARP（地址解析协议）。为了正确地向目的主机传送报文，必须把目的主机的IP地址转换成为MAC地址。工作过程：以主机A

5、（1.1.1.1）向主机B（1.1.1.2）发送数据为例。 当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。 如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标IP地址，主机A就会在网络上发送一个广播，这表示向同一网段内的所有主机发出这样的询问：“我是1.1.1.1，我的硬件地址是“主机A的MAC地址”、请问IP地址为1.1.1.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“1.1.1.2的MAC地址是22-22-22-22-22-22”。这样，

6、主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。4、ICMP协议作用，Ping命令的使用？ICMP（Internet Control Messages Protocol，网间控制报文协议）允许主机或路由器报告差错情况和提供有关异常情况的报告。IP协议可以借助ICMP协议以实现可靠传输和差错控制。Ping命令的使用：Ping命令利用ICMP回射请求报文和回射应答报文来测试目标系统是否可达。源主机向目标主机发送了ICMP回射请求数据包后，它期待着目标主机的回答。 目标主机在收到一个ICMP回射请求数据包后，它会交换源、目的主机的地址，然后将收到的ICMP回射请求数据包中的数据部分原封

7、不动地封装在自己的ICMP回射应答数据包中，然后发回给发送ICMP回射请求的一方。如果校验正确，发送者便认为目标主机的回射服务正常，也即物理连接畅通。第二章 IP编址1、 IP地址，子网掩码的概念？A,B,C类标准子网掩码。IP地址：在Internet网络中为了区别不同的计算机，需要为每一个连网的主机分配一个唯一的标识该主机的32位逻辑地址，即IP地址。 IP地址目前有两个版本，IPv4和IPv6。 根据TCP/IP协议规定，IP地址是由32位（4个字节）二进制数组成。如： 11010010 01001001 10001100 00000010子网掩码：子网掩码只有一个作用，就是将某个IP地址

8、划分成网络地址和主机地址两部分。子网掩码不能单独存在，它必须结合IP地址一起使用。子网掩码1的部分代表网络号，掩码为0的部分代表主机号。A类、B类、C类的标准子网掩码：A类：255.0.0.0 B类：255.255.0.0 C类：255.255.255.02、 网络号，广播地址，有线广播地址。0.0.0.0网络号：广播地址：当一个设备向网络上所有的设备发送数据时，就产生了广播。 IP广播有两种形式，一种叫直接广播，另一种叫有限广播。有限广播：将广播限制在最小的范围内 构成：32位全为“1”，255.255.255.255 这个地址代表了本网段内的所有主机 这个地址不会被路由器转发 发送有限广播

9、不需要知道网络号，在主机不知道本机所处的网络时只能采用有限广播方式 3、 非标准子网掩码VLSM可变长子网掩码（Variable Length Subnet Mask，VLSM）。VLSM规定了如何在一个进行了子网划分的网络中的不同部分使用不同的子网掩码。VLSM的实质就是在已经划分的子网中进一步再划分更小的子网。4、 CIDR技术无类域间路由（Classless Inter-Domain Routing，CIDR）：不使用传统的有类网络地址的概念，即不再区分A、B、C类网络地址。在分配IP地址段时也不再按照有类网络地址的类别进行分配，而是将IP网络地址空间看成是一个整体，并划分成连续的地址块

10、，然后采用分块的方法进行分配。在CIDR技术中，使用子网掩码中表示网络号二进制位的长度来区分一个网络地址块的大小，称为CIDR前缀。第三章 路由器基本配置1、 路由器的硬件组成，各部分的作用？路由器的硬件组成：中央处理单元（Central Processor Unit，CPU）、只读存储器（Read Only Memory，ROM）、内存（Random Access Memory，RAM）、闪存（FLASH Memory）、非易失性内存（Nonvolatile RAM，NVRAM）、控制台端口（CONsole Port）、辅助端口（AUXiliary Port）、接口（Interface）、线

11、缆（Cable）中央处理单元：也称为中央处理器。作为路由器的中枢CPU主要负责执行路由器操作系统（OS）的指令，以及解释、执行用户输入的命令。同时，CPU还完成与计算有关的工作。例如，维护路由表及做出路由选择等。中央处理器的处理能力对路由器的性能有很大影响。只读存储器：包括开机自检程序（Power On Self Test，POST）、系统引导程序以及路由器操作系统的精简版本。路由器在启动的时候首先执行的部分，负责让路由器进入正常工作状态。内存：也称为随机存储器。它用来存储用户的数据包队列以及路由器在运行过程中产生的中间数据，如路由表、ARP缓冲区等。此外，RAM还存储路由器正在运行的配置文件

12、。闪存：主要负责保存操作系统IOS的映像文件，维持路由器的正常工作。 如果路由器中安装了容量足够大的闪存，便可以保存多个IOS的映像文件，以提供重启动功能。非易失性内存：用来存储路由器的启动配置文件。 在路由器断电时，其内容仍能保持。控制台端口：用于与计算机或终端设备进行连接，通过特定的软件来进行路由器的配置。不同的路由器可能有着不同形式的控制台端口。辅助端口：与控制台端口类似，主要用于远程配置，常用来连接调制解调器以实现对路由器的远程管理。接口：是数据包进出路由器的通道。同一台路由器上不同接口的地址应属于不同网络。路由器通过接口在物理上把处于不同逻辑地址的网络连接起来。不同路由器可能有着不同

13、种类、不同数量的接口。常见的两种基本接口类型为局域网接口和广域网接口。每个接口都有自己的名称和编号，接口的全明由它的类型标识和至少一个数字组成，如局域网接口ethernet 0，串行接口serial 0等。缆线：用来连接其他设备的电缆连接线。不同类型的接口需要使用不同类型的电缆。2、 路由器的配置方式：1 级终端配置，初始配置。 对于第一次安装的路由器必须采用此方法配置。用路由器附带的控制台电缆连接路由器和终端（一般为PC机），将控制台电缆的一端连接到路由器的控制台端口，另一端连接到计算机的串行接口COM1或COM2等。 在工作站端启动“超级终端”应用程序，并为此连接输入一个名称（没有特殊要求

14、，有一定的代表意义即可）。通过Telnet进行配置当为路由器的某个接口设置了IP地址后，可以通过虚拟终端从任何地点Telnet到路由器上对其进行配置。3、 路由器的配置模式：Router （普通）用户模式Router# 特权用户模式Router（config）# 全局配置模式Router（config-if）# 接口配置模式Router（config-router）# 路由协议配置模式 模式之间如何转换？用户模式：是只读模式，用户可以浏览关于路由器的某些信息，但不能进行任何修改。命令提示符Router表明用户正处在用户模式下特权模式：可以使用所有的配置命令，命令提示符Router#表明用户正处

15、在特权模式下。 当第一次启动成功后，Cisco路由器会出现用户模式提示符Router。如果想进入特权模式，键入enable命令，这时，路由器的命令提示符变为Router#。再输入exit或者disable，可从当前配置模式退到上一级配置模式。例如：RouterenableRouter#exitRouter全局配置模式：配置路由器的全局参数，如路由器的名称等，命令提示符Router（config）#表明用户正处在全局配置模式下。例如：Router # configure terminalRouter（config）#接口配置模式：在全局模式下输入“interface端口号”就可以进入路由器端口配

16、置模式。该模式为端口配置参数。命令提示符Router（config-if）#表明用户正处在接口配置模式下。例如：Router（config）# interface fastethernet 0Router（config-if）#路由协议配置模式：主要用来对运行在路由器上的各种路由协议的各个参数进行配置，如命令提示符Router（config-router）#表明用户正处在路由协议配置模式下。例如：Router（config）# router ripRouter（config-router）#4、 常用的路由器配置命令：1 enable：普通用户模式命令，用于转换到特权用户模式。 2 disab

17、le：特权用户模式命令，用于转换到普通用户模式。3 hostname name：全局配置模式命令，用于设置路由器名称，也就是出现在路由器CLI提示符中的名字。4 enable secret password：全局配置模式命令，用于设置路由器的加密使能密码。当用户处于普通模式而想进入特权用户模式时，需要提供此密码。此密码会以MD5的形式加密，因此当用户查看配置文件时，无法看到明文形式的密码。5 enable password password：全局配置模式命令，用于设置路由器的使能密码。当用户处于普通用户模式而想进入特权用户模式时，需要提供此密码。此密码没有经过加密，当用户查看配置文件时，可以看

18、到明文形式的密码。当设置了加密使能密码时，此密码无效。6 Configure terminal：特权配置模式命令，用于进入全局配置模式。7 interface type slot/number：全局配置模式命令，用于进入接口配置模式。在低端的、非模块化的路由器中可以通过接口编号进行直接引用。例如，第一个同步串行接口可以通过下面的接口命令进行引用：interface serial 0在2600系列、3600系列等模块化路由器中，插入到路由器槽中的适配卡通常拥有一组接口。因此，引用接口时需要使用槽号（slot）和接口号。可以使用下面的格式指定某个特定的串行接口：interface serial s

19、lot # / port#在Cisco7200、7500等系列设备中，因为多个接口可以在一个端口适配卡上，而多个端口适配卡可以插在一个网络模块槽上。在这种情形下，可以使用下面的命令格式引用某个特定的串行接口：interface serial slot # / port adaptor # / port#8 ip address ip-address subnet-mask：接口配置模式命令，用于设置接口的IP地址。9 shutdown：接口配置模式命令，shutdown命令可以用于临时将某个接口关闭。当执行此命令后不久，系统会在终端控制台显示信息，通知接口转换为关闭状态，此时，该接口处于“管理

20、性关闭”（administratively down）状态。10 no shutdown：接口配置模式命令。当为某个接口配置了IP地址后，该接口并不会立刻自动启动并开始工作，而是处于“管理性关闭”状态（逻辑环回接口等除外）。必须手动启动（激活）接口。当执行此命令后不久，系统会在终端控制台显示信息，通知接口被启动的结果。11 exit：此命令用于退到前一个路由器配置模式，如从接口配置模式退到全局配置模式或者从全局配置模式退到特权用户模式等。12 end：此命令用于直接退回到特权配置模式。第四章 路由器的安全管理1、 标准的访问列表，扩展的访问列表，命名的访问列表的定义方法以及将IP访问控制列表应

21、用到具体接口的方法。扩展的访问列表：可以检测数据报第三层和第四层报头中的其他字段，包括源IP地址、目的IP地址、网络层报头中的协议字段以及位于传输层报头中的端口号等，在控制流量时具有更细致的功能。命名的访问列表：它利用由字母和数字符号字符串所组成的名称来识别访问列表，取代编号访问列表所使用的数字表示法。2、 标准的访问列表，扩展的访问列表的区别。扩展访问列表中有更多的匹配项。扩展访问列表可以检测数据报第三层和第四层报头中的其他字段，包括源IP地址、目的IP地址、网络层报头中的协议字段以及位于传输层报头中的端口号等，在控制流量时具有更细致的功能3、 通配符掩码，host，any关键字代表的含义。

22、可以使用通配符掩码0.0.0.0是匹配特定主机IP，也可以IP地址前加上host关键字表示匹配特定主机IP。当使用一个IP地址和通配符掩码255.255.255.255时，关键字any会被用来取代这两个参数，any意味着任何IP地址都会被匹配。R1(config)#access-list 1 deny 192.168.1.2 0.0.0.0 host192.168.1.2R1(config)#access-list 1 permit 0.0.0.0 255.255.255.255 any4、 标准ACL要尽量靠近目的端。标准的访问列表只能实现简单的过滤功能，在实际工作中使用不多。适用于只对数据

23、包的源地址进行规则匹配且访问列表过滤规则相对固定的网络。5、 扩展ACL要尽量靠近源端。编号的扩展的访问列表提供更多的匹配项来实现更细致的过滤功能。适用于需要匹配数据报中源IP地址、目的IP地址，网络层报头中的协议字段以及位于传输层报头中的端口号等复杂情况，且访问列表过滤规则相对固定的网络。例子1、 配置一个标准访问列表，拒绝来自特定主机192.168.1.2的数据包，允许其他所有的流量解：配置命令：R1#configure terminalR1(config)#access-list 1 deny 192.168.1.2 0.0.0.0R1(config)#access-list 1 per

24、mit 0.0.0.0 255.255.255.255R1(config)#endR1#show access-lists 1显示结果为：Standard IP access list 1 deny 192.168.1.2 permit any2、 配置一个标准访问列表，禁止来自特定子网192.168.1.0/24的包，允许其他的所有流量。解：配置命令：R1#configure terminalR1(config)#access-list 9 deny 192.168.1.0 0.0.0.255R1(config)#access-list 9 permit anyR1(config)#endR

25、1#show access-lists 9显示结果为：Standard IP access list 9 deny 192.168.1.0，wildcard bits 0.0.0.255 permit any3、 Access-list 101 deny tcp host 192.168.3.100 eq 80 anyAccess-list 101 deny tcp host 192.168.3.100 any eq 80答：禁止来自主机192.168.3.100的80号端口的TCP报文到任何主机。禁止来自主机192.168.3.100的TCP报文到任何主机的80号端口。4、 配置一个标准命名

26、访问列表，拒绝来自特定主机192.168.1.2的数据包，允许其他所有的流量为标准型命名访问列表取名deny_host192.168.1.2解：S1#configure terminalS1(config)#ip access-list standard deny_host192.168.1.2S1(config-std-nacl)# deny host192.168.1.2S1(config-std-nacl)#permit anyS1(config-std-nacl)#endS1#show ip access-lists deny_host192.168.1.25、 配置一个命名扩展访问列

27、表，拒绝IP地址为192.168.1.2的主机telnet到整个192.168.2.0/24网络。为扩展型命名访问列表deny_192.168.1.2_to_telnet解：S1#configure terminalS1(config)#ip access-list extended deny_192.168.1.2_to_telnetS1(config-ext-nacl)#deny tcp host 192.168.1.2 192.168.2.0 0.0.0.255 eq 23S1(config-ext-nacl)#permit ip any any S1(config-ext-nacl)#

28、endS1#show access-lists deny_192.168.1.2_to_telnet选择题：1、标准访问控制列表应被放置的最佳位置是在（B） A、越靠近数据包的源越好 B、越靠近数据包的目的地越好 C、无论放在什么位置都行 D、入接口方向的任何位置2、标准访问控制列表的数字标识范围是（B） A、1-50 B、1-99 C、1-100 D、1-1993、标准访问控制列表以（B）作为判别条件。 A、数据包的大小 B、数据包的源地址 C、数据包的端口号 D、数据包的目的地址4、IP扩展访问列表的数字标示范围是多少？（C） A、0-99 B、1-99 C、100-199 D、101-2

29、005、下面哪个操作可以使访问控制列表真正生效：（A） A、将访问控制列表应用到接口上B、定义扩展访问控制列表 C、定义多条访问控制列表的组合D、用access-list命令配置访问控制列表6、访问控制列表（ACL）分为标准和扩展两种。下面关于ACL的描述中，错误的是（C） A、标准ACL可以根据分组中的IP源地址进行过滤 B、扩展ACL可以根据分组中的IP目标地址进行过滤 C、标准ACL可以根据分组中的IP目标地址进行过滤 D、扩展ACL可以根据不同的上层协议信息进行过滤7、使配置的访问列表应用到接口上的命令是什么？（D） A、access-group B、access-list C、ip

30、access-list D、ip access-group8、在配置访问控制列表的规则时，关键字“any”代表的通配符掩码是什么（C） A、0.0.0.0 B、所使用的子网掩码的反码 C、255.255.255.255 D、无此命令关键字9、“ip access-group”命令在接口上缺省的应用方向是什么（B） A、in B、out C、具体取决于接口应用哪个访问控制列表 D、无缺省值10、通配符掩码和子网掩码之间的关系是（B）A、两者没有什么区别B、通配符掩码和子网掩码恰好相反C、一个是十进制的，另一个是十六进制的D、两者都是自动生成的11、下列哪一个通配符掩码与子网172.16.64.0/27的所有主机匹配（C）A、255.255.255.0 B、255.255.224.0C、0.0.0.31 D、0.0.31.25512、在访问控制列表中地址和掩码为168.18.64.0 0.0.3.255表示的IP地址范围是（B）A、168.18.67.0168.18.70.255B、168.18.64.0168.18.67.255C、168.18.63.0 168.18.64.255D、168.18.64.255 168.18.67.25513、下面关于访问控制列表的配置命令，正确的是（