文章目錄

• • 物理層（Physic Layer）
  • 數據鏈路層（2層 Data Link Layer）
  • • • 1、幀結構：
      • 2、幀格式：
      • 3、工作在數據鏈路層的設備： 交換機/網卡
      • 4、交換機基本的工作原理：MAC地址表
      • 5、交換機的端口：
      • 6、交換機5大基本工作模式及命令（支持縮寫，思科）
      • 9、快捷鍵
      • 10、交換機開機動作
  • 網絡層（3層）
  • • • 1、IP包頭分析
      • 2、路由器
      • 3、路由器基本的原理：路由表，ip協議
      • 4、路由器的工作原理
      • 5、ARP協議
      • 6、ICMP協議
  • VLAN：Virtual LAN（虛擬局域網）
  • HSRP（Hot Standby Router Protocol）
  • ACL
  • NAT(Network Address Translations)

物理層（Physic Layer）

1、設備（介質）：網線/光纖/空氣
2、比特bit
8bit=1Byte
1024B=1KB
1024KB=1MB
1024MB=1GB
1024GB=1TB
1024TB=1PB
3、信號
電信號（模擬信號：抗干擾能力弱：放大器、數字信號：抗干擾能力強：中繼器）
光信號
4、光纖
單模光纖、多模光纖：傳播距離遠的話單模好一點，近距離兩者差不多
5、網線/雙絞線
5類雙絞線
超5類雙絞線
6類雙絞線：基于超5類增強抗干擾能力
7類雙絞線

T568A：白綠、綠、白橙、藍、白藍、橙、白棕、棕
T568B：白橙、橙、白綠、藍、白藍、綠、白棕、棕
網線的用途分類：
1）交叉線：一端為A，一端為B。同種設備（3層及以上的設備可視為同種設備）之間使用！
2）直通線：兩端都為A或B（市面上都是B）。異種設備之間使用！
3）全反線：一端為A，另一端為反A，也稱為console線

數據鏈路層（2層 Data Link Layer）

1、幀結構：

2、幀格式：

802.3：有線網卡
802.11：無線網卡

類型：0x0800:IP協議、0x0806:ARP協議，長度：2字節
作用：識別上層協議，為上層提供服務
MAC地址：全球唯一，長度：48位，6字節

3、工作在數據鏈路層的設備： 交換機/網卡

4、交換機基本的工作原理：MAC地址表

檢查幀頭，根據源MAC地址動態的生成MAC地址表，再匹配目標MAC地址，如沒有則廣播轉發幀，有則單播轉發
老化時間：PC1和交換機1斷開連接，等待300秒后MAC地址表里的數據會自動消失
這時PC2連接到了PC1原來的端口，則交換機1會立即更新PC2的綁定記錄

例如：PC1給PC4發送信息

1）首先將幀由PC1經過端口F0/1發送到交換機1中
2）交換機1檢查MAC地址表中沒有這個記錄，然后將源MAC地址與接口的對應記錄添加到表中并廣播轉發
3）PC2收到之后會當作垃圾丟掉，交換機2收到后會檢查自己的MAC地址表，發現沒有則添加相應的記錄并除接收端外廣播轉發
4）PC3收到后會當作垃圾丟掉，PC4則成功收到幀，并進行解封裝后收到消息

PC4回復PC1的消息

1）PC4將幀經由F0/1端口發送到交換機2
2）交換機2檢查MAC地址表中沒有源MAC地址這個記錄，然后將源MAC地址與端口的對應記錄添加到表中并發現有目標MAC地址的記錄，然后將幀經F0/2接口單播轉發至交換機1
3）交換機1發現沒有源MAC地址的記錄，然后將相應的記錄添加至表中，再檢查到有目標MAC地址的記錄，單播轉發至PC1，解封裝后收到信息

5、交換機的端口：

E:10Mb
F:100Mb
G:1000Mb
Te:10000Mb

F0/1:0是模塊號，1是端口號
接口速率自適應：1000/100/10Mb自適應
速率工作模式可以是1000/100/10任何一種狀態

端口狀態：up/down
down的三種可能：
1）人工down掉
2）速率不匹配down掉
3）雙工模式不匹配（雙工duplex）
雙工模式：單工、半雙工、全雙工

6、交換機5大基本工作模式及命令（支持縮寫，思科）

第一次配置網絡設備，需要使用console線，在pc上需要使用“超級終端”軟件。

1）用戶模式：
switch>
可以查看交換機的基本簡單信息，但不能做任何修改配置！

2）特權模式：用戶模式輸入命令enable簡化---->en命令進入特權模式
switch#
可以查看交換機的所有配置，不能修改配置，但是可以做測試、保存、初始化等操作

reload:重啟，內存中的數據都會丟失
show:查看，例如show mac-address-table:查看MAC地址表，show ip interface brief:查看接口狀態列表
write|cpoy running-config startup-config:將設置保存到硬盤
erase startup-config:清空配置文件
特權模式的命令前面加do后都可以在其他模式使用，但是不能自動補全了

3）全局配置模式：特權模式下輸入configure terminal簡化---->conf t進入全局配置模式
switch(config)#
默認不能查看配置，可以修改配置，且全局生效！

hostname 新用戶名：修改用戶名，立即生效
enable password 新密碼|enable secret 新密碼：設置明文/密文（在running-config文件中是否加密）特權密碼，兩個同時配置明文密碼失效
no ip domain-lookup:關閉自動解析功能
ip defalut-gateway ip:配置網關
line vty 0 4:全局配置模式中，進入虛擬終端，開啟遠程控制，默認打開23（telnet），可以有4個同時控制
int vlan 1:全局配置模式下，進入虛擬端口，配置遠程控制telnet，可以給這個端口（有一臺虛擬pc）配IP，然后就可以同網段遠程管理了，跨網段的話還需要配置網關

4）接口配置模式：全局配置模式下輸入interface 接口名簡化---->int 接口名進入接口模式
switch(config-if)#
默認不能查看配置，可以修改配置，且對該接口生效！

exit:退出一級
end:直接退到特權模式
shutdown:手工關閉接口
no 以前配置的命令:刪除這條命令，在哪模式配的在哪刪
ip address ip 子網掩碼：為3層端口配IP（只有3層及3層以上的設備才有IP地址，另外3層設備的端口默認是人工關閉的，需要手動開啟no shut，2層設備的端口默認是開啟的）

5）console口/線/控制臺模式：全局配置模式下輸入line console 0---->line co 0進入console口模式
switch(config-line)#
默認不能查看配置，可以修改配置，且對console口生效！

password 密碼：設置用戶密碼
login：開啟身份驗證
exit

7、字母+？可以提示命令
8、Tab補全鍵

9、快捷鍵

ctrl+u：快速刪除光標前所有的字符
ctrl+a：快速定位光標到行首
ctrl+e：快速定位光標到行尾

10、交換機開機動作

先去硬盤中查找有無startup-config文件，如果沒有，則在內存中創建一個新的running-config文件，如果存在，則復制到內存中并改名為running-config。真正有效的是running-config文件，startup-config文件只是為了保證關機不消失。

網絡層（3層）

1、IP包頭分析

長度：20（最小）-60字節

版本（4bit）：表示IPV4或者IPV6
首部長度（4bit）：單位是4字節，表示IP包頭的長度
優先級與服務類型（8bit）：前3位表示優先級，中間4位表示服務類型，最后一位沒啟用
總長度（16bit）：IP包的長度

IP分片（網絡層，為了防止DDOS攻擊現在一般在應用層進行）：一個幀只能存1500個字節的上三層數據，所以總長度超過1500要進行分片。分幾片就復制幾份IP包頭，IP包頭除底下這三個值（還原的時候看）不一樣之外，其他都一樣。

標識符（16bit）：標識同一個報文內的所有分片。
標志（3bit）：第一位沒啟用一直是0；第二位是1則代表沒分片，0代表分片；第三位是1則代表不是最后一個分片，0代表是最后一片。
段偏移量（13bit）：決定分片的先后順序（一般是1480*（n-1），n表示第幾片）。

TTL（8bit）：Time To Live：存活時間，0-255，防止一個數據包在網絡上永久的循環下去（每經過一臺路由器就減一）
協議號（8bit）：和類型的作用一樣，用來標識上層封裝的協議是誰，6是TCP，17是UDP，1是ICMP
首部校驗和（16bit）：校驗的是IP包頭

原地址（32bit）：IP地址
目標地址（32bit）：IP地址

2、路由器

路由：跨越源主機到目標主機的一個互聯網絡來轉發數據包的過程（路由器為IP包選擇路徑的過程）
路由器：擁有路由能力的機器，作用：連接不同網段的（內網與外網）

3、路由器基本的原理：路由表，ip協議

路由條目存儲的是網段和端口的對應關系
直連路由條目：配好IP，開啟端口之后就會自動形成，用C表示
靜態路由條目：手工配置的，用S表示ip route 目標網段 子網掩碼 下一跳IP地址
默認路由條目：用S*表示，網段和子網掩碼都為0，表示所有網段，適合邊緣路由器ip route 0.0.0.0 0.0.0.0 下一跳IP地址
浮動路由條目：作為備用選項，配置管理距離值，優先級低的會隱藏起來ip route 目標網段 子網掩碼 下一跳IP地址 管理距離值
路由表里有相應的路由條目才會進行轉發，沒有則丟棄，進行反饋

管理距離值：在路由表里C的默認值為0，S默認為1，S*默認為無窮大
優先級和管理距離值成反比

路由器的一些命令

show ip route:特權模式，查看路由表
ip domain-name 域名：全局模式下，起個域名（不是真的域名只是叫這個而已）
crypto key generate rsa 長度:全局模式下，生成rsa的密鑰對

line vty 0 4:全局配置模式中，進入虛擬終端，開啟遠程控制，默認打開23（telnet），可以有4個同時控制
password 新密碼：設置telnet連接密碼
login:啟用密碼驗證
transport input 協議名:可以切換遠程控制協議
login local:啟用本地數據庫驗證
username xxx password xxx:全局配置模式下，創建用戶名和密碼

4、路由器的工作原理

一個幀到達路由，路由器首先檢查目標MAC地址是不是自己，如果不是則丟棄，如果是則解封裝，并將IP包送到路由器內部

路由器檢查IP包頭中的目標IP，并匹配路由表，如果匹配失敗則丟棄并向源IP回饋錯誤信息，成功則將IP包路由到出接口

封裝幀，首先將出接口的MAC地址作為源MAC地址封裝，然后檢查ARP緩存表，檢查是否有下一跳MAC地址，如果有，提起并作為目標MAC地址封裝到幀中，如果沒有，則發送ARP廣播請求下一跳的MAC地址，并獲取到對方的MAC地址，再記錄緩存并封裝幀，再將幀發送出去

5、ARP協議

1、廣播與廣播域

• 廣播：將廣播地址作為目的地址的數據幀
• 廣播域：網絡中能接收到同一個廣播所有節點的集合（越小越好）

交換機不能隔離廣播域，路由器可以（圈代表廣播域）

2、MAC廣播地址：FF-FF-FF-FF-FF-FF（所有）
3、IP廣播地址：255.255.255.255（全局廣播）、網段廣播：主機位為255

4、什么是ARP協議
ARP：Adress Resolution Protocol：地址解析協議
作用：在內網將已知的IP地址解析成MAC地址

5、ARP原理

• 發送ARP廣播請求

  • PC1發送數據給PC2，查看緩存沒有PC2的MAC地址，PC1發送ARP請求消息（廣播）
    ARP報文內容：我是10.1.1.1 我的mac：AA 誰是10.1.1.3 你的mac：？

• 接收ARP單播應答

  • 所有主機收到ARP請求消息，PC2回復ARP應答（單播），其他主機丟棄

PC1將PC2的MAC保存在緩存中，發送數據

內網通信請求的是目標主機的MAC地址，外網通信請求的是網關（路由器）的MAC地址

ARP報文：28字節

Windows系統中的ARP命令：arp -a：查看本機的ARP緩存表 arp -d：清除ARP緩存 arp -s：ARP綁定Cisco系統中的ARP命令：Router#show arp:查看本機的ARP緩存表 Router#clear arp-cache:清除ARP緩存 Router(config)#arp ip地址 MAC地址 arpa:ARP綁定

ARP緩存表是后來居上（后響應的ARP報文會覆蓋原來的數據），ARP協議沒有身份驗證機制，不管是單播還是廣播都會存進緩存中
6、ARP攻擊原理
通過發送偽造的虛假的ARP廣播或者單播報文以及虛假偽造的MAC地址來進行攻擊
目的：終止通信/斷網，容易被發現

7、ARP欺騙原理
中間人攻擊
通過發送偽造的虛假的ARP廣播或者單播報文和自己的MAC地址來實現欺騙
目的：監聽、竊取、篡改、控制流量，但不中斷通信！

• ARP欺騙主機
  

• ARP欺騙網關
  

也可以說是攻擊者通過虛假偽造的ARP報文對受害者進行ARP緩存投毒

8、ARP攻擊的防御

靜態ARP綁定：手工雙向綁定
缺點：工作量大！建議用在公司的主要服務器上

ARP防火墻：以毒攻毒，自動綁定網關靜態ARP，（主動防御）然后一直給網關發包
缺點：網關受不了了，增加網絡負擔，成功率不是100%

硬件級的防御：
DAI技術：D：DHCP、AI：ARP檢測偵察技術（依賴于DHCP記錄表），將攻擊拍死在萌芽之中
交換機支持端口做動態ARP綁定（配合DHCP服務器）或做靜態綁定

cont fip dhcp snoopingip arp inspect #檢查偵測

6、ICMP協議

作用：網絡探測與回饋機制，適用于任何協議
1.網絡探測
2.路由跟蹤 Windows：tracert ip地址、Linux或路由：traceroute ip地址
3.錯誤反饋

ICMP封裝格式：

ICMP頭：ICMP類型、代碼
ICMP類型：8代表ping請求、0代表ping應答、3代表目標主機不可達、11代表TTL超時
代碼：目標主機不可達時分類

VLAN：Virtual LAN（虛擬局域網）

廣播的危害:增加網絡/終端負擔，傳播病毒，安全性

如何控制廣播？
控制廣播=隔離廣播域
路由器隔離廣播（物理隔離）:缺點：成本高、不靈活

1、VLAN是干什么的？
采用新的技術VLAN來控制廣播，VLAN技術是在交換機上實現的，且是通過邏輯隔離劃分的廣播域
不同VLAN之間不能通信，交換機首先查看是從哪個端口出來的然后比對VLAN表看是在哪個VLAN，然后再根據MAC地址表轉發，經過端口時會再次查看VLAN表進行比對，不是同一VLAN則丟棄幀
2、一個VLAN=一個廣播域=一個網段
VLAN是二層技術
3、VLAN 的類型

• 靜態VLAN：手工配置，基于端口劃分的VLAN

• 動態VLAN：手工配置，基于MAC地址劃分的VLAN

4、靜態VLAN命令
每個交換機都有默認的VLAN1，所有端口默認都在VLAN1中

1）創建VLAN： conf tvlan ID,ID,ID-IDname 自定義名稱exit 2）查看VLAN表: enshow vlan brief 3）將端口加入到VLAN： int f0/xswitchport access vlan id

5、Trunk：解決跨交換機的相同VLAN通信的問題
中繼鏈路：不屬于任何VLAN，同時允許任何VLAN的數據從這里通過
通過在數據幀加上標簽（交換機上）來區分不同VLAN的數據

標簽：802.1q標簽：公有協議，所有廠家都支持，標簽大小4字節，屬于內部標簽。

交換機端口鏈路類型：

接入端口：access，一般連接pc，只能允許某一個VLAN的數據通過

中繼端口：trunk，一般連接其他交換機，屬于公共端口，允許所有VLAN的數據通過

配置trunk命令：

int f0/xswitchport trunk encapsulation dot1q/islswitchport mode trunkexit

6、單臂路由：解決不同VLAN之間無法通信的問題

第一步：配置路由器的接口，3層接口無法設置trunk

cont f int f0/0.1 #進入子接口encapsulation dot1q 10 #設置只能識別vlan10這個標簽ip add 10.1.1.254 255.255.255.0 #設置ip，配置網關no shutexit int f0/0.2encapsulation dot1q 20ip add 20.1.1.254 255.255.255.0 no shutexit int f0/0 no shut

第二步：將F0/3設為trunk端口

int f0/3switchport trunk encapsulation dot1qswitchport mode trunkexit

原理：

PC1（左）給PC2（右）發信息，首先查看是否在同一網段，發現不是則發給網關，發現沒有網關的mac地址，則發送ARP廣播請求網關的mac地址，得到網關的mac地址后發送至交換機，交換機查看vlan表發現是vlan10來的數據，然后查看MAC地址表進行轉發，經過端口F0/3時加上標簽10，f0/0.1收到數據后轉給f0/0.2,f0/0.2加上標簽20后發往交換機，交換機進行轉發。

單臂路由缺點：1.網絡瓶頸、2.容易發生單點物理故障（所有子接口依賴于總物理接口）、3.vlan間通信的每一個幀都要進行單獨路由

DHCP中繼
可以讓DHCP廣播包單播轉發給DHCP服務器
在路由器上配置：哪個VLAN需要幫助就在哪個接口上配，只有DHCP服務器所在的接口不用配

int f0/xip helper-address dhcp服務器ipexit

在三層路由器上部署DHCP服務器：

conf tip dhcp excluded-address 10.1.1.1 10.1.1.99 #排除地址池的IPip dhcp pool v10network 10.1.1.0 255.255.255.0defalut-router 10.1.1.254dns-server 40.1.1.1exit

7、三層交換技術
實現不同VLAN的通信，代替單臂路由

1）三層交換機=三層路由器+二層交換機
2）三層路由引擎可以自由關閉

conf tip routing #開啟no ip routing #關閉

3）三層交換機的優點：
與單臂路由相比：解決了網絡瓶頸問題、解決了單點故障（虛擬接口不再依賴物理接口）、一次路由永久交換

4）三層交換機上開啟虛接口（配置VLAN的網關）

int vlan 10 #10代表給VLAN10配網關ip add 10.1.1.254 255.255.255.0no shutexit

5）二層端口升級為三層端口,可以連接外網

int f0/xno switchportexit

HSRP（Hot Standby Router Protocol）

HSRP：Cisco私有的協議
VRRP：公有的協議
原理都差不多一樣

熱備份路由協議：實際上備份的是網關，在路由器上配置

作用：在一個網關出現故障的時候，可以自動的切換到另一個備份網關上面，繼續上網

原理：員工網關指向虛擬路由器，由虛擬路由器轉發給活躍路由器

兩個網關加入同一個HSRP組：id1-255，無大小之分

加入同一個組之后在這個組里會產生一個虛擬路由器（也連接到這個局域網），配置虛擬IP地址standby 1 ip xxxxx

HSRP組里的成員：
虛擬路由器（老大，無優先級）
活躍路由器
備份路由器
其他路由器

HSRP優先級：1-255standby 1 priority 優先級
默認為100，越大優先級越高

HSRP組成員通過定時發送hello包來交流，默認每隔3秒
hello時間3秒，堅持時間10秒（得不到回信備份路由器就篡位了）

占先權preempt：不用等堅持時間standby 1 preempt
當檢測不到對方（路由器網關接口壞了）或檢測到對方優先級比自己低，立即搶占活躍路由的名分。

配置跟蹤track，跟蹤外網的端口狀態，一旦外網端口down掉就自降優先級！

STP協議：生成樹協議
交換機物理環路，會產生廣播風暴，STP協議會邏輯down掉一個接口，取消環路

ACL

Access Control List：訪問控制列表，一種包過濾技術，基于三層IP包頭的IP地址、四層TCP/UDP頭部的端口號[5層數據]來過濾

ACL在路由器上配置，也可以在防火墻上配置（一般稱為策略）

ACL主要分為兩大類：標準ACL/擴展ACL

標準ACL：
表號：1-99
特點：只能基于源IP對包進行過濾
命令：

創建ACL表： conf taccess-list 表號 permit/deny 源IP或網段 反子網掩碼注釋：反子網掩碼就是將子網掩碼的0和1（二進制）倒置，其實算下來也就是將0和255倒置255.0.0.0---------0.255.255.255255.255.0.0---------0.0.255.255255.255.255.0---------0.0.0.255反子網掩碼的作用：用來匹配，與0對應的需要嚴格匹配，與1對應的忽略例如：access-list 1 deny 10.1.1.3 0.0.255.255 拒絕所有源IP為10.1開頭的access-list 1 deny 10.1.1.3 0.0.0.0 拒絕所有源IP為10.1.1.3的主機簡寫：access-list 1 deny host 10.1.1.3 access-list 1 deny 10.1.1.3 0.0.255.255 拒絕所有人簡寫：access-list 1 deny any 將ACL表應用到接口 int f0/xip access-group in/outexit查看ACL表： show ip access-list 表號刪除ACL表： no access-list 表號

擴展ACL：
表號：100-199
特點：可以基于源IP、目標IP、端口號、協議等對包進行過濾
命令：

創建ACL表： conf tacc 100 permit/deny 協議 源IP或源網段 反子網掩碼 目標IP或目標網段 反子網掩碼 [eq 端口號] 注釋：協議：TCP/UDP/IP/ICMP

原理：
ACL表必須應用到接口的進或出的方向才生效！
一個接口的一個方向只能有一張ACL表！
進還是出方向取決于流量控制總方向
ACL表是嚴格自上而下檢查每一條，所以要注意書寫順序，越嚴格就越靠前
每一條是由條件和動作（permit允許、deny拒絕）組成，當流量沒有滿足某條件，則繼續檢查下一條

先判斷ACL寫的位置（哪個路由器的哪個接口的哪個方向？？？）
標準ACL盡量寫在靠近目標的地方
擴展ACL盡量寫在靠近源IP的地方
再考慮如何寫？
首先判斷最終要允許還是拒絕所有，然后將嚴格的控制寫在前面

一般情況下，標準或擴展ACL表一旦編寫好，無法修改或刪除某一條，也無法修改順序，無法在中間添加，只能在最后一條添加新的條目，或者刪了ACL重新寫一個表

命名ACL：
作用：可以對標準或者擴展ACL進行自定義命名
優點：自定義命名更加容易辨認，也便于記憶，可以任意修改或刪除某一條，也可以往中間插入

conf tip access-list extended(擴展)/standard(標準) 自定義名稱 直接進入表內部（可以進入任何表中用名字）內部直接從動作開始寫刪除是按照標號來的 no 10插入也是，先寫標號 ，再從動作開始寫

NAT(Network Address Translations)

NAT：網絡地址轉換，主要是實現公私有IP地址的轉換，一般是在路由器外網接口或防火墻上來完成，不建議在三層交換機上配置！
作用：解決ipv4地址嚴重不夠用了的問題 A B C三類可用

IP地址分為公網IP和私網IP
公網IP只能在公網上使用，私網IP只能在內網使用
公網上不允許出現私有IP！！!
私有IP可以重復在內網使用

私有地址范圍：在ABC三類中拿一些出來

1) 10.0.0.0/8 以10開頭的（前8位二進制數字） 2）172.16.0.0/16 - 172.31.0.0/16 以172.16開頭的到172.31開頭的 3）192.168.0.0/16 以192.168開頭的

NAT三大類：
靜態NAT：公司內部服務器使用，1對1映射，（靜態PAT，端口映射技術，手動在NAT地址轉換表配置IP和端口的對應）

動態NAT
PAT（Port Adress Translation：端口地址轉換也叫端口復用技術）
通過端口號來區分內網不同的人的，路由器自己生成的

命令：

定義內外網接口：內到外的數據：轉換源IP、外到內的數據：轉換目標IP端口號范圍：0-65535 int f0/0ip nat inside/outsideexit配置PAT： 定義內部地址池： acc 1 permit 192.168.0.0 0.0.255.255 做PAT動態映射： conf tip nat inside source list 1 int f0/1 overlode 做匹配使用配置靜態端口轉換： conf tip nat inside source static tcp 192.168.1.3 80 100.1.1.2 80查看NAT表：sh ip nat translation

總結

以上是生活随笔為你收集整理的物理层（网线）、数据链路层（交换机）、网络层（IP协议、ARP协议、ICMP协议、路由器）、VLAN（虚拟局域网）、HSRP协议、ACL、NAT的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。