CCNA Discovery 企业中的路由和交换简介
实验 3.1.4
应用基本的交换机安全措施
目标
? 配置口令以确保对 CLI 的访问受到保护。 ? 删除交换机的 http 服务器状态,以确保安全。 ? 配置端口安全性。 ? 禁用未使用的端口。
?
将未知主机连接到安全端口,以测试安全配置。
背景/准备工作
参照拓扑图,搭建一个类似的网络。 本实验需要以下资源:
? 一台 Cisco 2960 或同类交换机
? 两台基于 Windows 的 PC ,其中至少一台装有终端仿真程序 ?
至少一根 RJ-45 转 DB-9 连接器控制台电缆
设备编号 IP 地址 子网掩码 默认网关 使能加密口令
vty 和控制台口令 PC 1 192.168.1.3 255.255.255.0192.168.1.1 PC 2 192.168.1.4
255.255.255.0
192.168.1.1
PC 3 192.168.1.5 255.255.255.0192.168.1.1
Switch1
192.168.1.2 255.255.255.0
192.168.1.1 class
cisco
?两根直通以太网电缆(分别将 PC1 和 PC2 连接到交换机)
?对 PC 命令提示符的访问权
?对 PC 网络 TCP/IP 配置的修改权
注意:确保已经擦除交换机的启动配置。有关擦除交换机和路由器配置的说明,请参见 Academy Connection 中 Tools(工具)部分的 Lab Manual(实验手册)。
步骤 1:将 PC1 连接到交换机
a. 将 PC1 连接到快速以太网交换机端口 Fa0/1。使用表中所示的 IP 地址、掩码和网关配置 PC1。
b. 建立从 PC1 到交换机的终端仿真会话。
步骤 2:将 PC2 连接到交换机
a. 将 PC2 连接到快速以太网交换机端口 Fa0/4。
b. 使用表中所示的 IP 地址、掩码和网关配置 PC2。
步骤 3:配置 PC3 但不连接
本实验还需要第三台主机。
a. 使用 IP 地址 192.168.1.5、子网掩码 255.255.255.0 和默认网关 192.168.1.1 配置 PC3。
b. 暂时不要将此 PC 连接到交换机,因为它要用来测试安全性。
步骤 4:在交换机上执行初始配置
a. 将交换机的主机名配置为 Switch1。
Switch>enable
Switch#config terminal
Switch(config)#hostname Switch1
b. 将特权执行模式口令设置为 cisco。
Switch1(config)#enable password cisco
c. 将特权执行模式加密口令设置为 class。
Switch1(config)#enable secret class
d. 配置控制台和虚拟终端线路的口令,并且要求在登录时输入。
Switch1(config)#line console 0
Switch1(config-line)#password cisco
Switch1(config-line)#login
Switch1(config-line)#line vty 0 15
Switch1(config-line)#password cisco
Switch1(config-line)#login
Switch1(config-line)#end
e. 退出控制台会话,然后重新登录。
进入特权执行模式需要输入什么口令? ___________________________________________
为什么?
___________________________________________________________________________
步骤 5:配置 VLAN 1 上的交换机管理接口
a. 进入 VLAN 1 的接口配置模式。
Switch1(config)#interface vlan 1
b. 为管理接口设置 IP 地址、子网掩码和默认网关。
Switch1(config-if)#ip address 192.168.1.2 255.255.255.0
Switch1(config-if)#no shutdown
Switch1(config-if)#exit
Switch1(config)#ip default-gateway 192.168.1.1
Switch1(config)#end
为什么接口 VLAN 1 需要此 LAN 中的 IP 地址?
________________________________________________________________________________
默认网关有何作用?
________________________________________________________________________________ 步骤 6:检查管理 LAN 设置
a. 检查交换机 VLAN 1 上管理接口的 IP 地址与 PC1 及 PC2 的 IP 地址是否在同一本地网络中。使用
show running-config 命令查看交换机的 IP 地址配置。
b. 检查 VLAN 1 上的接口设置。
Switch1#show interface vlan 1
此接口的带宽是多少? ____________________________________________________________
VLAN 状态是什么?
VLAN 1 为 __________,线路协议为__________。
步骤 7:禁止交换机成为 http 服务器
关闭交换机用作 http 服务器的功能。
Switch1(config)#no ip http server
步骤 8:检验连通性
a. 要检查主机和交换机的配置是否正确,请从主机 ping 交换机 IP 地址。
ping 是否成功?_________________________________________________________________
如果 ping 命令失败,则重新检查配置和连接。确保使用了正确的电缆,且连接稳固。检查主机和交换
机配置。
b. 保存配置。
步骤 9:记录主机 MAC 地址
确定并记录 PC 网络接口卡的第 2 层地址。在每台计算机的命令提示符窗口中输入ipconfig /all。
PC1 __________________________________________________
PC2 __________________________________________________
PC3 __________________________________________________
步骤 10:确定交换机获取到哪些 MAC 地址
在特权执行模式提示符下,使用 show mac-address-table命令来确定交换机到底获取到了哪些 MAC 地址。
Switch1#show mac-address-table
一共有多少个动态地址?_______________________________________________________
现在表中一共有多少个 MAC 地址?_______________________________________________
这些 MAC 地址是否与主机 MAC 地址相符?_________________________________________
步骤 11:查看show mac-address-table选项
查看show mac-address-table命令提供的选项。
Switch1(config)#show mac-address-table ?
可以使用哪些选项? ____________________________________________________________
_____________________________________________________________________________
步骤 12:设置静态 MAC 地址
在 FastEthernet 0/4 接口上设置静态 MAC 地址。使用在步骤 9 中记录的 PC2 的地址。MAC 地址
00e0.2917.1884 仅做示例说明用。
Switch1(config)#mac-address-table static 00e0.2917.1884 vlan 1
interface fastethernet 0/4
步骤 13:检查结果
a. 检查 MAC 地址表条目。
Switch1#show mac-address-table
现在表中有多少个动态 MAC 地址? ________________
现在表中有多少个静态 MAC 地址? ________________
b. 从 MAC 地址表中删除静态条目。
Switch1(config)#no mac-address-table static 00e0.2917.1884 vlan 1
interface fastethernet 0/4
步骤 14:列出端口安全选项
a. 确定用于在 FastEthernet 0/4 接口上设置端口安全的可选参数有哪些。
Switch1(config)#interface fastethernet 0/4
Switch1(config-if)#switchport port-security ?
可以使用哪些可选参数? _________________________________________________
b. 配置端口安全,使交换机端口 FastEthernet 0/4 只接受一台设备。
Switch1(config-if)#switchport mode access
Switch1(config-if)#switchport port-security
Switch1(config-if)#switchport port-security mac-address sticky
c. 退出配置模式并检查端口安全设置。
Switch1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/4 1 0 0 Shutdown
--------------------------------------------------------------------------- 如果 PC2 以外的主机尝试连接到 Fa0/4,会发生什么情况?
________________________________________________________________________
步骤 15:限制每个端口的主机数目
a. 在 FastEthernet 0/4 接口上,将端口安全最大 MAC 数设置为 1。
Switch1(config-if)#switchport port-security maximum 1.
b. 断开连接到 FastEthernet 0/4 接口的 PC,将 PC3 连接到 FastEthernet 0/4 接口。PC3 已经获得 IP 地
址 192.168.1.5,并且尚未连接到交换机。可能必须 ping 交换机地址 192.168.1.2 来生成一些流量。
记录观察到的任何情况。 ________________________________________________________
_____________________________________________________________________________
步骤 16:配置端口,使其在出现安全违规时关闭
a. 接口应在发生安全违规时关闭。为使端口安全关闭,请输入以下命令:
Switch1(config-if)#switchport port-security violation shutdown 端口安全还可以使用哪些操作选项? ________________________________________________
_____________________________________________________________________________
b. 如有必要,请从 PC3 192.168.1.5 ping 交换机地址 192.168.1.2。此计算机现已连接到 FastEthernet
0/4 接口,这就确保从 PC 到交换机可以通信。
c. 记录观察到的任何情况。
_____________________________________________________________________________
_____________________________________________________________________________
d. 检查端口安全设置。
Switch1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/4 1 1 0 Shutdown
---------------------------------------------------------------------------
步骤 17:显示端口 0/4 的配置信息
如果只想查看快速以太网端口 0/4 的配置信息,在特权执行模式提示符下输入 show interface
fastethernet 0/4。
Switch1#show interface fastethernet 0/4
接口的状态是什么?
FastEthernet0/4 为 __________,线路协议为 __________。
步骤 18:重新激活端口
a. 如果端口因安全违规事件而关闭,则使用shutdown / no shutdown命令来重新激活它。
b. 在带有原端口 0/4 的主机和新的主机间切换使用,多次尝试重新激活此端口。
c. 插上原主机,对接口应用 no shutdown命令,然后使用命令提示符执行 ping 操作。
ping 必须重复多次;或者使用ping 192.168.1.2 –n200命令。此命令将 ping 数据包的数量从 4 个
更改为 200 个。然后更换主机并重试。
步骤 19:禁用未使用的端口
禁用交换机上所有未使用的端口。
Switch1(config)#interface range Fa0/5 - 24
Switch1(config-if-range)#shutdown
Switch1(config)#interface range gigabitethernet0/1 - 2
Switch1(config-if-range)#shutdown
步骤 20:思考
a. 为什么要在交换机上启用端口安全? _________________________________________________
_______________________________________________________________________________
b. 为什么要禁用交换机上未使用的端口? ________________________________________________
_______________________________________________________________________________
路由器获知到的第一条路径 仅使用路由器获知到的前两条路径路由器获知到的最后一条路径 所有四条路径 对于为防止路由环路而通过毒性反转实现的水平分割方法,哪两项叙述正确?(选择两项。)所有 Cisco IOS 都会默认启用此方法。 会将一个表示无穷大度量的值分配给路由以将其毒化。 将毒化路由更新发回该更新的发送接口。 指示路由器将可能会影响路由的更改保持一段特定的时间。 限制数据包在被丢弃之前能够在网络中传输的跳数。 在两台路由器能够使用 OSPF 形成邻居邻接关系之前必须完成哪两项任务?(选择两项。)路由器必须选举出指定路由器。 路由器必须在网络类型方面达成一致。 路由器必须使用相同的 dead 时间间隔。 路由器必须交换链路状态请求。 路由器必须交换数据库描述数据包。 下列路由器组件和操作的配对中,哪两项是正确的?(选择两项。) D RAM - 加载 bootstrap R AM - 存储操作系统 闪存 - 启动时执行诊断 N VRAM - 存储配置文件 R OM - 存储备份配置文件 P OST - 运行硬件模块诊断 下列关于无类路由协议的陈述,哪两项是正确的?(选择两项。) 无类路由协议可用于不连续子网。 无类路由协议可在路由更新中转发超网路由。 无类路由协议无法在路由表中实施有类路由。 无类路由协议仅使用跳数度量。 无类路由协议的路由更新中不包含子网掩码。
请参见图示。在图示的其中一台设备上运行了show cdp neighbors命令。根据此信息,可推断出哪两项结论?(选择两项。)在路由器上运行了该命令。 A BCD 是一台非 CISCO 设备。 两台设备间存在第 3 层连通性。 A BCD 支持路由功能。 A BCD 连接到相邻设备的 Fa0/0 接口。 请参见图示。网络连接有三台路由器:R1、R2 和 R3。图中显示了所有三台路由器的路由。从该输出可以得到什么结论? R1 和 R3 通过 S0/0/0 接口相连。 R1 S0/0/0 接口的 IP 地址为 10.1.1.2。 R2 S0/0/1 接口的 IP 地址为 10.3.3.2。 R2 连接到 R3 的 S0/0/1 接口。√ D
CCNA Security笔记 Cisco ASA5500(VTM)集成了PIX、VPN3000、IPS功能 硬件IPS:(4240)入侵防护系统 CSA:基于主机的IPS 功能:限制用户行为,对应用程序进行控制 ISR增强特性:(ISR1800/2800/3825/3845) 1、无线模块 2、硬件IPS模块 3、Web Cache 4、NAM(网络分析模块) Role-based CLI views配置: 1、激活AAA:aaa new-model 2、配置enable secret:enable secret huda 3、进入Root View模式R1#enable view root Password:cisco 4、配置View“test”:R1(config)#parser view test定义用户 5、R1(config-view)#secret huda定义密码 6、R1(config-view)#command exec include ping定义可使用的命令
IOS安全保护,防止恶意删除,命令配置: Router(config)secret boot-image(加密隐藏保护IOS)Router(config)secret boot-config(加密备份配置) 注意:只有Console口才能禁用和恢复。 Rommon1>bootflash:c2800nm-adventerprisek9-mz.124.15. T5.bin Secure boot-config restore flash:/secure.cfg Router#copy flash:/secure.cfg running-config Cisco IOS Login Enhancements(防止恶意猜密码,DOS攻击)配置实例: Login block-for600attempts3with60(任何人60S内密码输错3次将挂起600S),只有permit用户不受这个限制 Login delay2 Login quiet-mode access-class block.ssh.new Login on-failure trap every3 Login on-success trap Ip access-list standard block.ssh.new Permit137.78.5.5
1 Refer to the exhibit. Which Layer 2 protocol could be used inside nework A and network C? IP TCP UDP Ethernet 2
Refer to the exhibit. Which set of devices contains only intermediary devices? A, B, D, G A, B, E, F C, D, G, I G, H, I, J 3 Refer to the exhibit. The headers added at each layer are shown. Which layer adds the destination and source process num ensure that data is delivered to the correct application? physical layer data link layer network layer
transport layer 4The Layer 4 header contains which type of information to aid in the delivery of data? service port number host logical address device physical address virtual connection identifier 5Which fiber connector supports full-duplex Ethernet? 6Which device should be used for routing a packet to a remote network? access switch DHCP server
01CCNA考试个人笔记 1.选择题 1.交换 1.二层交换机:分割减少冲突,这里不是冲突域;收到未知的帧将会泛洪; 2.MAC地址的作用:在二层唯一确定一台设备;使同一网络的不同设备可以通信; 3.IEEE802.3标准规定了以太网的物理层和数据链路层的MAC子层; 4.在交换机新建一个vlan,等于增加了一个广播域,冲突域的个数不变; 5.vlan的作用:逻辑微分组、安全性、增加广播域; 路由器一个接口是一个广播域,一个vlan也是一个广播域;交换机一个接口是一个冲突域;集线器的所有接口都在一个冲突域中; 6.要想远程管理交换机,需要在交换机上配置ip default-gateway和interface vlan; 7.查看Trunk的命令:show interface trunk和show interface switchport; 8.交换机为什么从不学习广播地址?因为广播地址永远不会成为一个帧的源地址; 9.Trunk链路的模式有auto、on和desirable; auto:不会主动发DTP信息; on:强制成为trunk,也主动发DTP信息; desirable:DTP主动模式,发DTP和对方协商; 一端已经设置为auto模式,另一端必须设置为desirable模式才能协商成trunk; 10.RSTP的优点:能够减少汇聚时间;比STP增加端口角色alternate和backup;在点到点链路提供比STP更快的传输和转发; 11.VLAN的特点:微分段、安全性、灵活性;一个VLAN=一个广播域=逻辑网段(子网);Trunk协议有两种,一种是通用的802.1Q协议,一种是cisco专用的ISL协议; 12.VTP管理VLAN的范围是1~1005,而可以修改的VLAN范围是2~1002; 13.要实现VLAN间路由,有三种接口需要配置:Access接口、Trunk接口、SVI接口; 14.802.1Q native vlan是不做标记的,所以在trunk两边的native需要一致; 15.哪一个环境下交换机在vlan出现多个相同的单播帧?拓扑中有不合适的冗余; in an improprely implemented redundant topology; 16.EtherChannel中两个端口需要speed一致; 在EtherChannel中,端口上那一项参数可以配置不一样?DTP negotiation settings; 2.路由 1.路由器的TTL值默认是255; 2.距离矢量协议:周期性向邻居广播整个路由表; 4.EIGRP建立邻居关系必须满足本个条件:收到Hello或ACK、具有匹配的As号、具有相同的度量(K值); 默认情况下,EIGRP是不支持VLSM的,我们可以通过关闭EIGRP的自动汇总来让EIGRP 支持VLSM; 3.OSPF为什么要划分区域:减少路由表大小、限制LSA的扩散、加快OSPF收敛速度、增加OSPF稳定性; OSPF的BR的选举:优先级+RouterID; 链路状态协议的特点:提供查看拓扑的命令,show ip ospf database;计算最短路径;利用触发更新;邻居之间只能交换LSA,但不能交换路由信息; 4.OSPF的进程号仅仅具有本地意义,进程号不同不影响邻居关系的建立;
1、要求: (1)VTP域名为benet;密码为123;启用修剪; (2)配置2台3层交换机为VTP的server模式;配置2层交换机为VTP的client模式; (3)设置SW-3L-1是VLAN 2-6的生成树根网桥;设置SW-3L-2是VLAN 7-11的生 成树根网桥;在2层交换机上配置速端口与上行速链路; (4)配置路由器接口的IP地址;配置路由器启动RIP路由协议;配置路由器上的默认路 由,指向10.1.1.1/24; (5)在3层交换机上配置各VLAN的IP地址;配置两台3层交换机之间的 EthernetChannel; (6)配置3层交换机的路由接口;在3层交换机上配置RIP路由协议 (1)(2)
○1SW1-3L 配置vtp域名benetpassword 123 Server模式 SW2-3L同样配置 ○2SW1-3L启用修剪SW2-3L同样配置 ○3SW3-2L配置vtp的client模式、SW4-2L、SW5-3L、SW6-3L相同配置 (3)设置SW-3L-1是VLAN 2-6的生成树根网桥;设置SW-3L-2是VLAN 7-11的生成树根网桥;在2层交换机上配置速端口与上行速链路; ○1SW-3L-1是VLAN 2-6的生成树根网桥;; ○2设置SW-3L-2是VLAN 7-11的生成树根网桥
○3SW3-2L配置速端口与上行链路,SW4-2L、SW5-2L 、SW6-2L上同样配置 (4)配置路由器接口的IP地址;配置路由器启动RIP路由协议;配置路由器上的默认路由,指向10.1.1.1/24 ○1路由器上配置ip地址 ○2路由器上配置默认路由和RIP
邮件用户代理(MAU)用于发送邮件并将受到的邮件放到客户端的邮箱里,接受和放松是两个独立的进程。通过MUA 程序,我们可以发送邮件,也可以把接收到的邮 件保存在客户端的邮箱中 邮件传送代理(MTA) 进程用于发送电子邮件。MTA 从MUA 处或者另一台电子邮件服务器上的MTA 处接收信息。根据消息标题的内容,MTA 决定如何将该消息发送到目的地。如果邮件的目的地址位于本地服务器上,则该邮件将转给MDA。如果邮件的目的地址不在本地服务器上,则MTA 将电子邮件发送到相应服务器上的MTA 上。邮件分发代理(MDA) MDA 从MTA 处接收所有的邮件,并放到相应的用户邮箱中。 SMB(服务消息块) 是应用层协议,主要是用于对文件、打印机、串行端口的共享以及网络基点之间的各种通信。 默认路由管理距离最低但优先级最低 单出口路由只需要配置默认路由就可以了 表示层 表示层有三个主要功能: 对应用层数据进行编码与转换,从而确保目的设备可以通过适当的应用程序理解源 设备上的数据; 采用可被目的设备解压缩的方式对数据进行压缩; 对传输数据进行加密,并在目的设备上对数据解密。 应用层(第七层)是最高层。该层为用于通信的应用程序和用于消息传输的底层网络提供接口。应用层协议用于在源主机和目的主机上运行的程序之间进行数据交换 会话层 会话层,顾名思义,它就是用于在源应用程序和目的应用程序之间创建并维持对话。 会话层用于处理信息交换,发起对话并使其处于活动状态,并在对话中断或长时间 处于空闲状态时重启会话。 物理层的三个基本功能是:-物理组件-数据编码-信号 使用代码组的优点有:-降低比特电平错误-限制传输到介质中的效能-帮助甄别数据比特和控制比特-更有效地检测介质错误 以太网MAC地址为协助确定以太网中的源地址和目的地址,创建了称为介质访问控制(MAC) 地址的唯一标识符。MAC 编址作为第2 层PDU 的一部分添加上去 载波侦听多路访问/冲突检测(CSMA/CD) 用来检测和处理冲突,并管理通信的恢复。 不管介质速度如何,将比特发送到介质并在介质上侦听到它都需要一定的时间。这段时间称为碰撞槽时间 以太网MAC 子层主要有两项职责:1.数据封装 2.介质访问控制 传输层的主要功能包括1分段和重组2会话多路复用3面向连接的会话4可靠传 输5有序的数据重构6流量控制 网络的划分依据包括以下因素:1地理位置 2 用途 3 所有权 大型网络的常见问题是:性能下降安全问题地址管理 常用的路由协议包括:1路由信息协议(RIP)2强型内部网关路由协议(EIGRP)3开放最短路径优先(OSPF) 尽管路由协议能为路由器提供最新的路由表,但也需要付出代价。首先,交换路由信息增加了消耗网络带宽的开销。 路由表的原则-3 条法则: 1每台路由器根据其自身路由表中的信息独立作出决策. 2一台路由器的路由表中包含某些信息并不表示其它路由器也包含相同的信息
第一章:正确答案:2.4.5 解析:由于不需要使用网络设备和专用服务器,对等网络易于创建,复杂性更低,且成本更少。而且对等网络也没有集中管理。这种网络安全性更低,不可扩展,而且那些同时充当客户端和服务器的设备可能性能更差 正确答案:1 解析: 正确答案: 解析:选择网络介质的条件包括:所选介质可以成功传送信号的距离、要安装所选介质的环境、必须传输的数据量和速度以及介质和安装的成本。 正确答案:3和4 解析:终端设备上的应用程序可以生成数据,更改数据内容并且负责启动封装过程。 正确答案:1和4 解析:终端设备会发出通过网络传输的数据。中间设备会在链路发生故障时通过备用路径传输数据,并且会过滤数据传输以增强安全性。网络介质提供网络消息的传输通道。 正确答案:4
解析:外联网是公司外部的人或企业合作伙伴访问数据的网络区域。内部网只描述通常仅供内部人员访问的网络区域。当设备连接到有线网络时,有线 LAN 会受 BYOD(自带设备)影响。使用大学无线 LAN 的设备多为平板电脑和智能手机。大学生主要使用无线 WAN 来访问他们的手机运营商网络。 . 正确答案:2 解析:由于通过 Internet 可以联系在线供应商,所以家庭用户通过 Internet 进行网上购物。内联网基本上是仅供内部使用的局域网。外联网是外部合作伙伴访问组织内部特定资源的网络。家庭用户并不一定使用 LAN 来访问 Internet。例如,PC 可以通过调制解调器直接连接到 ISP。 正确答案:1 解析:内部网这个术语用于表示一个组织的私有局域网和广域网连接。内部网的设计旨在仅允许该组织的成员、员工或其他获得授权的人员进行访问。 正确答案:2和4 解析:电缆和 DSL 均能实现高带宽、始终联网,并提供到主机计算机或 LAN 的以太网连接。
CCNA中文笔记第7章:VLAN 作者:红头发 Chapter7 Virtual LANs(VLANs) VLAN Basics 如何在1个交换性的网络里,分割广播域呢答案是创建VLAN.VLAN是连接到定义好了的switch的端口的网络用户和资源的逻辑分组.给不同的子网分配不同的端口,就可以创建更小的广播域.默认情况下,在某个VLAN中的主机是不可以与其他VLAN通信的,除非你使用router来创建VLAN间的通信 VLAN的一些特点: 1.网络的增加,移动和改变,只需要在适当的VLAN中配置合适的端口 2.安全,因为不同VLAN的用户不能互相通信,除非依靠router来做VLAN间的通信 3.因为VLAN可以被认为是按功能划分的逻辑分组,所以VLAN和物理位置,地理位置无关 4.VLAN增加安全性 5.VLAN增加广播域的数量,而减小广播域的大小 Broadcast Control 每种协议都会有广播的现象发生,至于发生不频率,次数,一般由以下几点决定: 1.协议类型 2.在网络上运行的应用程序 3.这些服务如何的被使用 Security 安全性是VLAN的1大特点,不同VLAN的用户不能互相通信,除非依靠router 来做VLAN间的通信
Flexibility and Scalability VLAN的灵活性和可扩展性: 1.可以不管物理位置如何,把适当的端口分配到适当的 VLAN中就可以了.可以把VLAN理解正下面的样子: 2.当VLAN增加的太大以后,你可以划分更多的VLAN,来减少广播消耗掉更多带宽的影响,在VLAN中的用户越少,被广播影响的就越少,来比较下下面2个图,明显可以发现,图2,即VLAN的具有更高的灵活性和可扩展性,如下: VLAN Memberships 手动由管理员分配端口划分的VLAN叫静态VLAN(static VLAN);使用智能管理软件,动态划分VLAN的叫动态VLAN(dynamic VLAN) Static VLANs Dynamic VLANs 动态VLAN:使用智能管理软件,可以基于MAC地址,协议,甚至应用程序来动态创建VLAN.Cisco设备管理员可以使用VLAN管理策略服务器(VLAN Management Policy Server,VMPS)的服务来建立个MAC地址数据库,来根据这个动态创建VLAN,VMPS数据库把MAC地址映射VLAN上 Identifying VLANs 当帧在网络中被交换,switches根据类型对其跟踪,加上根据硬件地址来判断如何对它们进行操作.有1点要记住的是:在不同类型的连接中,帧被处理的方式也不一样 要 交换环境中的2种连接类型: 1.access links:指的是只属于一个VLAN,且仅向该VLAN转发数据帧的端口,也叫做native VLAN.switches把帧发送到access-link设备之前,移去任何的VLAN信息.而且
下列哪个端口号范围为服务器上运行的应用程序常用的服务而保留? 0 到255 0 到1023 1024 到49151 49152 到65535 以下哪组 .0 以下哪个OSI协议层提供面向连接的可靠数据通信服务? 应用层 演示文稿 会话 传输层 n etwork 何时必须使用clock rate 命令配置路由器串行接口? 当该接口充当DTE设备时 当该接口计时器已经清除时 当连接的DTE设备关闭时
当该接口充当DCE设备时 下列哪些是私有IP地址的地址范围?(选择三项。) 10.0.0 请参见图示。每条介质链路都已标记。应该使用哪种类型的电缆连接不同设备? 连接 1 - 全反电缆 连接 2 - 直通电缆 连接 3 - 交叉电缆 连接 1 - 交叉电缆 连接 2 - 全反电缆 连接 3 - 交叉电缆 连接 1 - 直通电缆 连接 2 - 交叉电缆 连接 3 - 交叉电缆 连接 1 - 直通电缆 连接 2 - 交叉电缆 连接 3 - 直通电缆 连接 1 - 交叉电缆 连接 2 - 直通电缆 连接 3 - 交叉电缆
请参见图示。I 主机的默认网关。 主机的IP地址 主机的首选域名服务器。 主机的主页IP地址 存在一个广播域。 需要两个逻辑地址范围 显示了三个广播域。 需要四个网络。 存在五个冲突域。 哪些类型的介质不受EMI和RFI影响?(选择两项) 10 Base-T 10 Base-2 -ID! 忌Commend Prompr 请参见图示。对图示拓扑可以得出哪两项结论?(选择两项)
10 Base-5 100 Base-FX 100 Base TX 1000 Base LX 请参见图示。下列关于图中所示IP配置的陈述,哪三项是正确的?(选择三项) 分配给该计算机的地址代表私有地址。 该计算机无法在本地网络外通信。 此计算机的网络可支持126台主机。 该计算机地址的前缀是/27。 分配给该计算机的IP地址可在Internet上路由。 分配给该计算机的IP地址是广播地址。 由于发生安全规规事件,必须更改路由器口令。从以下配置项可获知什么信息?(选择两项。) Router(config)# line vty 0 3 Router(config-line)# password c13c0 Router(config-line)# login
课程安排: D1,路由基础汇总,EIGRP协议介绍及配置 D2,OSPF协议介绍及基本配置 D3,OSPF协议介绍及高级配置 D4,多协议互操作及路由控制(收发过滤) D5,BGP协议介绍及配置 资料推荐: 模拟器,Packet Tracer、GNS3(调用IOS) 远程登录,cmd、putty、secureCRT 路由基础: 路由,一条路由表示一个网段 路由器,运行路由协议、生成路由表、根据路由表转发报文。 路由协议,共享路由信息的方式 路由表,收集不同方式获取的路由,组成路由表 路由协议: 作用范围:自治系统AS(1-65535) IGP,一个AS内传递路由。RIP EIGRP OSPF EGP,AS间传递路由。BGP 传递路由方式: 距离矢量路由协议, 路由器间分享路由表
RIP EIGRP BGP 链路状态路由协议, 路由器间分享直连链路信息(确保可达,可靠) OSPF 路由传递是否携带掩码: 有类,RIPv1 IGRP 不携带掩码,自动汇总 无类,RIPv2 EIGRP OSPF BGP 携带掩码,支持VLSM,支持手动汇总 路由注入路由表: 管理距离值小,度量值小 管理距离值,衡量协议(路由获取方式)优劣 直连0,静态1,EIGRP5\90\170,OSPF110,BGP20\200 RIP120 度量值,衡量路径优劣 RIP,跳数hop,1-15 EIGRP,带宽、延时、可靠性、负载 OSPF,开销(与带宽成反比) 查找路由表: 最长匹配,掩码最长 递归查找,找到出接口 Show ip route 192.168.1.0/24 serial 1/0 //递归查找
第一章: 正确答案:2.4.5 解析:由于不需要使用网络设备和专用服务器,对等网络易于创建,复杂性更低,且成本更少。 而且对等网络也没有集中管理。这种网络安全性更低,不可扩展,而且那些同时充当客户端和服务器的设备可能性能更差 正确答案:1 解析:
正确答案: 3.5 解析:选择网络介质的条件包括:所选介质可以成功传送信号的距离、要安装所选介质的环境、必须传输的数据量和速度以及介质和安装的成本。 正确答案:3和4 解析:终端设备上的应用程序可以生成数据,更改数据内容并且负责启动封装过程。 正确答案:1和4 解析:终端设备会发出通过网络传输的数据。中间设备会在链路发生故障时通过备用路径传输数据,并且会过滤数据传输以增强安全性。网络介质提供网络消息的传输通道。
正确答案:4 解析:外联网是公司外部的人或企业合作伙伴访问数据的网络区域。内部网只描述通常仅供内部人员访问的网络区域。当设备连接到有线网络时,有线LAN 会受BYOD(自带设备)影响。使用大学无线LAN 的设备多为平板电脑和智能手机。大学生主要使用无线WAN 来访问他们的手机运营商网络。 . 正确答案:2 解析:由于通过Internet 可以联系在线供应商,所以家庭用户通过Internet 进行网上购物。内联网基本上是仅供内部使用的局域网。外联网是外部合作伙伴访问组织内部特定资源的网络。家庭用户并不一定使用LAN 来访问Internet。例如,PC 可以通过调制解调器直接连接到ISP。 正确答案:1 解析:内部网这个术语用于表示一个组织的私有局域网和广域网连接。内部网的设计旨在仅允许该组织的成员、员工或其他获得授权的人员进行访问。
CCNA 第一学期答案 1、 下列哪一个OSI 层负责管理数据段? 应用层 表示层 会话层 传输层 2、 请参见图示。图中所示为客户端之间发送电子邮件的过程。以下哪一列表正确地标识了图中各编号阶段使用的组件或协议? 1.MUA 2.MDA 3.MTA 4.SMTP 5.MTA 6.POP 7.MDA 8.MUA 1.MUA 2.POP 3.MDA 4.SMTP 5.MTA 6.MDA 7.SMTP 8.MUA 1.MUA 2.POP 3.SMTP 4.MDA 5.MTA 6.SMTP 7.POP 8.MUA 1.MUA 2.SMTP 3.MTA 4.SMTP 5.MTA 6.MDA 7.POP 8.MUA 3、 第 4 层报头包含帮助数据传输的哪一类信息? 服务端口号 主机逻辑地址 设备物理地址 虚拟连接标识符 4、
哪个OSI 层提供面向连接的可靠数据通信服务? 应用层 表示层 会话层 传输层 网络层 5、 当OSI 模型下层执行无连接协议时,通常使用什么来确认数据已收到并请求重传丢失的数据? IP UDP 以太网 无连接确认 面向连接的上层协议或服务 6、 下列哪三项是CSMA/CD 的特征?(选择三项。) 设备会侦听介质,并且仅当无法检测到介质上存在其它信号时才会传输数据。 介质上的所有设备均可侦听所有通信。 设备根据配置的优先级来进行通信。 发生冲突后,引起冲突的设备会优先尝试传输数据。 发生冲突时,所有设备会在一段时间内停止传输数据,该段时间的长度随机决定。 CSMA/CD 使用令牌系统来避免冲突。 6、 在封装过程中,传输层添加什么标识符? 源IP 地址和目的IP 地址
CCNA笔记 第一章,网际互连 把一个大的网络划分为一些小的网络就称为网络分段,这些工作由路由器,交换机和网桥来按成。 引起LAN通信量出现足赛的可能原因如下: 1.在一个广播域中有太多的主机 2.广播风暴 3.组播 4.低的带宽 路由器被用来连接各种网络,并将数据包从一个网络路由到另一个网络。 默认时,路由器用来分隔广播域,所谓广播域,是指王端上所有设备的集合,这些设备收听送往那个王端的所有广播。尽管路由器用来分隔广播域,但重要的是要记住,路由器也用来分隔冲突域。 在网络中使用路由器有两个好处: 1.默认时路由器不会转发广播。 2.路由器可以根据第三层(网络层)信息对网络进行过滤。 默认时,交换机分隔冲突域。这是一个以太网术语,用来描述:某个特定设备在网段上发送一个数据包,迫使同一个网段上的其他设备都必须主要道这一点。在同一时刻,如果两个不同的设备试图发送数据包,就会产生冲突域,此后,两个设备都必须重新发送数据包。 网际互连模型 当网络刚开始出现时,典型情况下,只能在同一制造商的计算机产品之间进行通信。在20世纪70年代后期,国际标准化组织创建了开放系统互联参考模型,也就是OSI七层模型。 OSI模型时为网络而构建的最基本的层次结构模型。下面是分层的方法,以及怎样采用分层的方法来排除互联网络中的故障。 分层的方法 参考模型时一种概念上的蓝图,描述了通信是怎样进行的。他解决了实现有效通信所需要的所有过程,并将这些过程划分为逻辑上的组,称为层。 参考模型的优点 OSI模型时层次化的,任何分层的模型都有同样的好处和优势。 采用OSI层次模型的优点如下,当然不仅仅是这些: 1.通过网络组件的标准化,允许多个提供商进行开发。 2.允许各种类型网络硬件和软件相互通信。 3.防止对某一层所作的改动影响到其他的层,这样就有利于开发。
1 出于维护目的,已将路由器从网络中移除。并已将新的 Cisco IOS 软件映像成功下载到服务器并复制到路由器的闪存中。应该在进行什么操作后再将路由器放回网络中运行? 备份新的映像。 将运行配置复制到 NVRAM。 从闪存中删除之前版本的 Cisco IOS 软件。 重新启动路由器并检验新的映像是否成功启动。 答案说明最高分值 correctness of response Option 4 2 2 请参见图示。管理员尝试在路由器上配置 IPv6 的 EIGRP,但收到如图所示的错误消息。配置 IPv6 的 EIGRP 之前,管理员必须发出什么命令? no shutdown eigrp router-id 100.100.100.100 ipv6 unicast-routing ipv6 eigrp 100 ipv6 cef 答案说明最高分值 correctness of response Option 3 2
3 IPv6 EIGRP 路由器使用哪个地址作为 hello 消息的来源? 32 位路由器 ID 接口上配置的 IPv6 全局单播地址 所有 EIGRP 路由器组播地址 接口 IPv6 本地链路地址 答案 说明 最高分值 correctness of response Option 4 2 4 下列关于 EIGRP 确认数据包的说法,哪两项是正确的?(请选择两项。) 发送该数据包是为了响应 hello 数据包。 该数据包用于发现接口上连接的邻居。 该数据包作为单播发送。 该数据包需要确认。 该数据包不可靠。 答案 说明 最高分值 correctness of response Option 3 and Option 5 are correct. 2 5 何时发送 EIGRP 更新数据包? 仅在必要时 当获取的路由过期时
ccna读书笔记进行搜索 troubleshooting ip address 一些网络问题的排难: 1.打开windows里的1个dos窗口,ping本地回环地址,如果反馈信息失败,说 明ip协议栈有错,必须重新安装tcp/ip协议。 2.如果1成功,ping本机ip地址,如果反馈信息失败,说明你的网卡不能和ip 协议栈进行通信。(written by 红头发,chinaitlab bbs) 第三篇:ccna培训读书笔记 ccna培训笔记总结 1、 ccna基础:熟悉一些常用的网络设备、熟悉常用的网络电缆、熟悉简单的lan技术和拓扑结构、熟悉简单的wan技术和拓扑结构、知道一些简单的宽带 技术、精通osi参考模型、熟悉tcp/ip参考模型、会进行ip地址计算 2、 ccna:routing and switching supportccnp:routing and switching support ccie:routing and switchingsecuritycommunications and services 3、 ciscoios 执行模式: user exec(用户执行模式) privilege exec(特权模式) 4、熟悉应用交换机命令行帮助工具:上下文提示帮助(提供命令列表和具体命令可供选择的参数)、历史命令缓存(重新回放原来输入的命令,对比较复杂的命令尤其有效)、控制台错误信息(如果输入命令错误,指出错误原因,并提示你修改) 5、 configuration mode(配置模式):global configuration mode(全局配置模式)和 interface configuration mode(接口配置模式) 6、为交换机命名hostname sw1、配置管理地址ip address 配置ip地址、配置缺省网关 ip default- 、使用show命令显示交换机的配置 show version、show running-configuration、show interface type/nummber(0/1)、show ip 7、路由器启动后如果在nvram中发现配置文件,其就会进入用户模式提示符,如果没有发现,就会进入setup初始化状态 8、 enable secret(安全使能密钥)和enable password(使能密钥)不能相同,如果设定安全使能密钥的话,使能密钥就没什么用了
CCNA1 ENetwork Final Exam - CCNA Exploratio n: 网络基 础知识(版 本 4.0) 1下列有关网络层编址的陈述中哪三项是正确的?(选择三项。)网络层编址使用分层式结构。 使用长度为48 位的地址。 以太网交换机可以使用它来作出转发决定。 它不支持广播。 其使用的编址方法可以识别地址的网络部分。 网络层编址可以区分每台主机。 2 请参见图示。在PC 上发出所示的命令。IP 地址代表什么? 主机的IP 地址 主机的默认网关 主机的主页IP 地址 主机的首选域名服务器 网站的IP 地址。 3哪三个地址属于公有IP 地址?(选择三项。) 4数据链路层有哪两项功能?(选择两项) 分割和记录数据。 在源主机和目的主机上运行的程序之间进行数据交换。 控制数据如何传递到介质中。 生成信号以表示每个帧中的比特。 使用帧头和帧尾封装每个数据包,以便在本地介质中进行传输。
5 请参见图示。主机A 要访问Internet。哪项第2 层地址和第3 层地址的组合可以让主机A 实现此访问? 目的MAC:,默认网关: 目的MAC:,默认网关: 目的MAC:,默认网关: 目的MAC:,默认网关: 6下列哪三项是CSMA/CD 的特征?(选择三项。) 设备会侦听介质,并且仅当无法检测到介质上存在其它信号时才会传输数据。 介质上的所有设备均可侦听所有通信。 设备根据配置的优先级来进行通信。 发生冲突后,引起冲突的设备会优先尝试传输数据。 发生冲突时,所有设备会在一段时间内停止传输数据,该段时间的长度随机决定。 CSMA/CD 使用令牌系统来避免冲突。 7下列哪三个IPv4 地址代表子网的有效网络地址?(选择三项。) 8 请参见图示。用记号来表示每条介质链路。用来连接不同设备的正确电缆类型是什么? 连接1 - 直通电缆,连接2 - 直通电缆,连接3 - 交叉电缆 连接1 - 直通电缆,连接2 - 交叉电缆,连接3 - 全反电缆 连接1 - 交叉电缆,连接2 - 全反电缆,连接3 - 直通电缆 连接1 - 交叉电缆,连接2 - 直通电缆,连接3 - 交叉电缆 连接1 - 直通电缆,连接2 - 全反电缆,连接3 - 交叉电缆 9
网络的三层架构: 1.接入层: 提供网络接入点, 相应的设备端口相对密集. 主要设备:交换机,集线器. 2.汇聚层: 接入层的汇聚点, 能够提供路由决策.实现安全过滤,流量控制.远程接入. 主要设备:路由器. 3.核心层: 提供更快的传输速度, 不会对数据包做任何的操作 ================================================================ OSI七层网络模型: Protocol data unit 1.物理层: 速率,电压,针脚接口类型 Bit 2.数据链路层: 数据检错,物理地址MAC Frame 3.网络层: 路由(路径选择),逻辑的地址(IP) Packet 4.传输层: 可靠与不可靠传输服务, 重传机制. Segment 5.会话层: 区分不同的应用程序的数据.操作系统工作在这一层 DATA 6.表示层: 实现数据编码, 加密. DATA 7.应用层: 用户接口 DATA Bit, Frame, Packet, Segment 都统一称为: PDU(Protocol Data Unit) ================================================================物理层: 1.介质类型: 双绞线, 同轴电缆, 光纤 2.连接器类型: BNC接口, AUI接口, RJ45接口, SC/ST接口 3.双绞线传输距离是100米. 4.HUB集线器: 一个广播域,一个冲突域.泛洪转发. 共享带宽. 直通线: 主机与交换机或HUB连接 交叉线: 交换机与交换机,交换机与HUB连接 全反线(Rollback): 用于对CISCO的网络设备进行管理用. ================================================================数据链路层:
CCNA SECURITY笔记 A)命令级别: a) . Privilege exec level 1 clear line * privilege configure all level 5 router ”all”就是把全局配置模式下的router这个命令下面的所有命令给于5级别。 如果不加all,则只有router 后面的命令在5级别可以使用。 意思是把原来exec下面的【包括#和>下面的,不论是原来是什么级别的命令clear line *】移动到1级别去。 将高级别的命令放到级别的时候也要有先后顺序的: 比如:你要把router 这个命令放到level 1下面去,但是你没有把configure terminal放过去,你是看不到router 命令的。因为路由器觉得router是在全名模式下的命令,你必须要进入全局模式下才可以敲入router. 如下图:R1(config)>router R1(config)>router os 1 R1(config-router)>network 192.168.1.1 0.0.0.0 a 0 虽然进入到全名模式也是>这个符号,但是也要进入这种全局模式。才有router命令。 b) .View 命令集:将命令做成一集合,然后授权给某个用户使用。控制力度更强。 则此用户只能使用此命令集中的命令。 Root view 比15级别更强 Aaa new-mode Eablesecretwang/enble pass wang配置进入到root view下面的密码 Root view 可以创建删除VIEW,但是15级别不可以。 Enable view (进入root view) Parser view y uan(创建一个view) Secret yeslabccies配置y uan这个子view下面的密码 Commands exec include show version 使用本地数据库绑定VIEW 先去掉aaa new-model 只是为了演示,其实一般都是用AAA做VIEW的授权 User yuan password yuan User yuan view yuan B ) CISCO路由器的加密级别0,5,6,7 0 是不加密 5 是MD5 6是在做VPN的时候加密的 6: key config-key password-encrypt wang1245 passwor encryption aes cryptiskmap key 0 yuan add 192.168.1.1 最后变成:cryptoisakmp key 6 ZFSN\VVKfdcf\cBKKBLZWDgVXGD address 192.168.1.1 7是开启了service password-encrytion C) chatper认证不能够使用enable secret 加密
CCNA网络小菜鸟笔记 第一章,网际互连 把一个大的网络划分为一些小的网络就称为网络分段,这些工作由路由器,交换机和网桥来按成。 引起LAN通信量出现足赛的可能原因如下: 1.在一个广播域中有太多的主机 2.广播风暴 3.组播 4.低的带宽 路由器被用来连接各种网络,并将数据包从一个网络路由到另一个网络。 默认时,路由器用来分隔广播域,所谓广播域,是指王端上所有设备的集合,这些设备收听送往那个王端的所有广播。尽管路由器用来分隔广播域,但重要的是要记住,路由器也用来分隔冲突域。 在网络中使用路由器有两个好处: 1.默认时路由器不会转发广播。 2.路由器可以根据第三层(网络层)信息对网络进行过滤。 默认时,交换机分隔冲突域。这是一个以太网术语,用来描述:某个特定设备在网段上发送一个数据包,迫使同一个网段上的其他设备都必须主要道这一点。在同一时刻,如果两个不同的设备试图发送数据包,就会产生冲突域,此后,两个设备都必须重新发送数据包。 网际互连模型 当网络刚开始出现时,典型情况下,只能在同一制造商的计算机产品之间进行通信。在20世纪70年代后期,国际标准化组织创建了开放系统互联参考模型,也就是OSI七层模型。 OSI模型时为网络而构建的最基本的层次结构模型。下面是分层的方法,以及怎样采用分层的方法来排除互联网络中的故障。 分层的方法 参考模型时一种概念上的蓝图,描述了通信是怎样进行的。他解决了实现有效通信所需要的所有过程,并将这些过程划分为逻辑上的组,称为层。 参考模型的优点 OSI模型时层次化的,任何分层的模型都有同样的好处和优势。 采用OSI层次模型的优点如下,当然不仅仅是这些: 1.通过网络组件的标准化,允许多个提供商进行开发。 2.允许各种类型网络硬件和软件相互通信。 3.防止对某一层所作的改动影响到其他的层,这样就有利于开发。 OSI参考模型 OSI模型规范重要的功能之一,是帮助不能类型的主机实现相互之间的数据传输。 OSI模型有7个不同的层,分为两个组。上面三层定义了中断系统中的应用程序将被彼此通
PDU 封装的正确顺序是什么? 此试题参考以下领域的内容: Introduction to Networks ? 3.3.1 数据封装 建立融合网络有何用途? 为所有终端设备提供高速连接 确保平等对待所有类型的数据包 实现数据网络基础架构设备的容错能力和高可用性 降低部署和维护通信基础设施的成本 随着技术的发展,各个公司现在可以将不同的网络整合到一个平台之上,称为融合网络。在融合网络中,语音、视频和数据通过同一网络传输,从而使人们不必再创建和维护各个单独的网络。这也降低了提供和维护通信网络基础设施相关的成本。 此试题参考以下领域的内容:
Introduction to Networks ? 1.3.1 融合网络 请参见图示。哪个区 有可能是图中所示的公司网络的外联网? 区域A 区域B 区域C 区域D 外联网是外部实体访问其他公司的数据的平台。其形式可能是产品供应商所使用的库存服务器,也可 能是外部实体用来访问当天客户数量的当前信息的Web 服务器。Internet 用云和区域 A 表示。 内部网通常仅供内部人员使用。区域 B 和 D 均是内部网的示例。 答案说明最高分值
此试题参考以下领域的内容: Introduction to Networks ? 1.2.3 Internet 主机正在访问远程网络的FTP 服务器。中间网络设备在此对话中起到哪三个作用?(请三项。) 重新生成数据信号 充当客户端或服务器 提供传输消息的通道 应用安全设置来控制数据流 出现错误时通知其他设备 用作消息的源或目标 中间设备负责管理数据传输,包括跟踪数据路径,出现故障时寻找备用路径并通知其他设备,以及应 用安全和优先级策略。收到数据信号时,中间设备会“清理”并重新传输数据。中间设备不创建数据信 号,而是通过网络介质互连最终用户。 此试题参考以下领域的内容: Introduction to Networks