EqLlyHJ5w6,694hQRgLWm
CCNA 认证学习大纲CCNA 认证学习大纲 一、CCNA 学习大纲 1、OSI七层模型,每一层所涉及到的网络设备(比如:路由器、交换机等) 2、网络设备的工作原理以及基础的IOS系统基本命令 3、路由技术(RIP, IGRP, EIGRP, OSPF) 4、交换技术(VLAN, STP) 5、网络安全技术(ACL) 1、网络的定义是什么?
2、网络实现了什么,网络的意义是什么?
3、如何组件网络?
评估网络可用性: 带宽 延迟 网络按照范围分类: 常见的LAN 组网技术: 以太网(覆盖率: 99.99%) 令牌环(只有获取令牌的设备才能发包,令牌只能单向流动。带宽低、容错率差) FDDI 以太网是基于共享介质的, 【所有的中间系统: 都会对信号进行放大或重建】 集线器(工作在OSI物理层的设备): 共享带宽、 最大10M, 仅支持半双工模式 集线器可以理解为最早期的交换机,是 Layer1 层的设备,无法识别任何控制信息,转发机制为信号放大或重建 + 泛洪处理,并不会拆帧。 CSMA/CD帮助设备均衡共享带宽,可避免两台设备同时在网络介质上传输数据时发生冲突。所有连接在集线器上的设备,只能工作在半双工模式,不可以工作于全双工模式。 我觉得是集线器或者总线型网络的物理结构决定了它只能采用半双工的通信方式,同时要使用CSMA/CD来避免冲突!CSMA/CD和通信方式之间没有太必然的联系! 交换机(多端口网桥) Layer 2 层的设备,所有接口都支持全双工,工作在全双工模式, 1、接收到帧,首先运行CRC校验 2、放大信号 3、MAC地址学习 交换机工作原理:(广播未知帧, 转发已知帧) 转发 根据MAC地址表智能转发帧 学习 如果MAC地址表中无法找到,则学习接收帧的源MAC地址(交换机只知道从哪个端口进来的),以及物理port 广播 如果目标MAC地址在MAC地址表中不存在,交换机就向除该帧端口之外的其他端口广播 更新 交换机MAC地址表中的条目通常老化时间(aging time)为300s, 或者出现MAC与port对应不一致,就会更新。 如果交换机某个端口down掉,那么在该端口上学习到的所有MAC地址条目都会立即被删除。 CAM表是将这个交换机接口所连的PC的 cam表条目如何生成呢? 静态设定(永不会过期) 动态学习(agingtime),强烈建议 交换机如何解决冲突:(背板交换矩阵 + 背部总线) 交换机的一个端口与另一个端口通信时,都有一条独立的线路,所以不会产生冲突。多个端口向同一个端口发送数据时,由于端口有端口缓冲区,所以也不会冲突。 交换机背板交换矩阵,物理实现了各端口两两相连。 谈一谈以太网介质类型和连接类型。 介质:双绞线 屏蔽双绞线: STP 非屏蔽双绞线: UTP 常用的是UTP线缆, 按传输带宽分类: CAT 1, CAT 2 ... 前面的不介绍了, 只描述我们常用的: CAT 5, 最大支持100Mbit/s的传输。一般用于接入网络设备。 CAT 5E, 超5类线缆,支持1000Mbit/s的传输。 CAT 6,CAT 6E , CAT 7 , 传输带宽同CAT 5E 一致, 提高的仅仅是制作工艺。 目前: 双绞线无法实现万兆带宽传输。 介质:同轴电缆 提供最大带宽只有10Mbit/s,除了广电, 在当今网络环境中无任何应用场景。 介质:光纤 什么是单模光纤, 什么是多模光纤?
如何区分单模和多模光纤? 一般情况下,区别单模/多模光纤的最简单的方法是看光纤的颜色,黄颜色的是单模的,橙色的是多模的。 单模光纤: 多模光纤: 光口与电口 光口: 光信号, 可以接光纤的就是光口。交换机上的光口一般是成对出现,一个TX发送端,一个RX接收端。交换机上一般会额外插光模块。 交换机需要外接额外的光模块 光模块(optical module)由光电子器件、功能电路和光接口等组成,光电子器件包括发射和接收两部分。 单模光纤是典型的单工模式介质, 所以需要两根, 一根负责收, 一根负责发。 简单的说,光模块的作用就是光电转换,发送端把电信号转换成光信号,通过光纤传送后,接收端再把光信号转换成电信号。 光收发一体化模块主要功能是实现光电/电光变换,包括光功率控制、调制发送,信号探测、IV 转换以及限幅放大判决再生功能,此外还有防伪信息查询、TX-disable 等功能,常见的有:SFP、SFF、SFP+、GBIC、XFP 、1x9等。 GBIC: 通常只支持多模光纤。 SFP是SMALL FORM PLUGGABLE(小型可插拔)的缩写,可以简单的理解为GBIC的升级版本。SFP模块体积比GBIC模块减少一半,只有大拇指大小。可以在相同的面板上配置多出一倍以上的端口数量。SFP模块的其他功能基本和GBIC一致。有些交换机厂商称SFP模块为小型化GBIC(MINI-GBIC)。 既支持单模, 也支持多模。 电口:所谓电口也就是指的网口,千兆交换机网口有10M/100M/1000M。 10M 以太网(Ethernet) 100M 快速以太网(FastEthernet): 1000M 千兆以太网(GigabitEthernet): 五类线: 超五类线: 支持千兆以太网 六类线: 超六类线: 10/100M只需1,2(发送); 3,6(接收)芯即可,而千兆需要8芯全部使用。 这里需要提及的是, 我们知道 10/100M 线路, 只用到了 12, 36芯,POE交换机进行供电的时候, 可通过45,78芯供电或者12,36进行供电,根据不同生产厂家实现而有所不同。 那么如果是千兆线路, 如何使用POE进行供电呢? 千兆网卡连接到千兆的接口,却是百兆 ? 1、网卡驱动问题; 2、水晶头氧化; 广播: 一对多 组播: 一对多
单播 由于交换机学习CAM表的时候,是根据源MAC地址进行学习,所以广播地址和组播地址是没有办法学习到的。所以对于广播和组播帧, 交换机只能进行泛洪处理。 路由器: 默认情况下, 不允许广播和组播流量传播。 网段: 就是广播域。 园区网设备选型: 组千兆网络, 汇聚到核心至少万兆。 接入 - 汇聚: 土豪型解决方案: 全部采用思科的设备 接入层设备:二层, 选购原则: 端口密度高, 便宜
汇聚层交换机(三层):1、把接入层交换机汇聚。 2、定义策略
核心层:光口密集度,
屌丝型方案: 接入层:S1724 汇聚层:S5700 路由器内部组件 路由器由硬件和软件组成。硬件由中央处理单元(Central Processor Unit,CPU),只读存储器(Read Only Memory,ROM)、内存(Random Access Memory,RAM)、闪存(FLASH Memory)、非易失性内存(Nonvolatile 路由器非常类似PC,就是一台特殊功能的PC而已。 同样具备: CPU, 内存, 硬盘 RAM : ROM : Flash : NVRAM : 主要存储配置文件 startup-config, 与RAM不同的是,NVRAM是非易失性的 Configuration Register : Interfaces : CPU: 专用处理器 背板(Mother Board): 类比PC主板, Router Power-On Boot Sequence 启动顺序的目的: 设备启动三大步 检测硬件 加载IOS操作系统 加载配置文件 1、Perform power-on self-test (POST) 2、Load and run bootstrap code 3、Find the Cisco IOS Software (flash -> TFTP 4、Load the Cisco IOS Software(解压缩, 并加载操作系统 到 RAM) 5、Find the configuration(NVRAM -> TFTP 6、Load the configuration 7、Run the configured Cisco IOS Sosftware 我们现介绍下cisco最为核心的 internetwork operating system:
启动过程 启动过程分为四个主要阶段: 1. 执行 POST 2. 加载 bootstrap 程序 3. 查找并加载 Cisco IOS 软件 4. 查找并加载启动配置文件,或进入设置模式 1. 执行 POST
2. 加载 bootstrap 程序
注:此时,如果有连接到路由器的控制台,您会看到屏幕上开始出现输出内容。 3. 查找并加载 Cisco IOS
注:TFTP 服务器通常用作 IOS 的备份服务器,但也可充当存储和加载 IOS 的中心点。IOS 管理和 TFTP 服务器的使用将在后续课程讨论。
注::一旦 IOS 开始加载,您就可能在映像解压缩过程中看到一串井号 (#)
接口地址 路由信息 口令 网络管理员保存的其它配置 如果启动配置文件 startup-config 位于 NVRAM,则会将其复制到 RAM 作为运行配置文件 running-config。 注:如果 NVRAM 中不存在启动配置文件,则路由器可能会搜索 TFTP 服务器。如果路由器检测到有活动链路连接到已配置路由器,则会通过活动链路发送广播,以搜索配置文件。这种情况会导致路由器暂停,但是您最终会看到如下所示的控制台消息: %Error opening tftp://255.255.255.255/network-confg (Timed out)%Error opening tftp://255.255.255.255/cisconet.cfg (Timed out) 执行配置文件。 如果在 NVRAM 中找到启动配置文件,则 IOS 会将其加载到 RAM 作为 running-config,并以一次一行的方式执行文件中的命令。running-config 文件包含接口地址,并可启动路由过程以及配置路由器的口令和其它特性。 进入设置模式(可选)。 如果不能找到启动配置文件,路由器会提示用户进入设置模式。设置模式包含一系列问题,提示用户一些基本的配置信息。设置模式不适于复杂的路由器配置,网络管理员一般不会使用该模式。 当启动不含启动配置文件的路由器时,您会在 IOS 加载后看到以下问题: Would you like to enter the initial configuration dialog?[yes/no]:no 本课程不会使用设置模式配置路由器。当提示进入设置模式时,请始终回答 no。如果回答 yes 并进入设置模式,可随时按 Ctrl-C 终止设置过程。 不使用设置模式时,IOS 会创建默认的 running-config。默认 running-config 是基本配置文件,其中包括路由器接口、管理接口以及特定的默认信息。默认 running-config 不包含任何接口地址、路由信息、口令或其它特定配置信息。
show version 命令有助于检验和排查某些路由器基本硬件组件和软件组件故障。show version 命令会显示路由器当前所运行的 Cisco IOS 软件的版本信息、bootstrap 程序版本信息以及硬件配置信息(包括系统存储器大小)。 show version 命令的输出包括: IOS 版本Cisco Internetwork Operating System SoftwareIOS (tm) C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5) 此处便是 RAM 中的 Cisco IOS 软件版本,也正是路由器所用的软件版本。 ROM Bootstrap 程序 ROM:System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) 此处显示了存储于 ROM 存储器的系统 bootstrap 软件(最初用于启动路由器)的版本。 IOS 位置 System image file is "flash:c2600-i-mz.122-28.bin" 此处显示了 boostrap 程序在 Cisco IOS 中加载的位置,以及 IOS 映像的完整文件名。 CPU 和 RAM 大小 cisco 2621 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory 此行的第一部分显示的是该路由器的 CPU 类型。此行的最后一部分显示的是 DRAM 的大小。某些系列的路由器(如 2600)使用 DRAM 中的一段作为数据包存储器。数据包存储器用于缓冲数据包。 要确定路由器上的总 DRAM 大小,请将两个数字相加。在本例中,Cisco 2621 路由器有 60,416 KB(千字节)的可用 DRAM用于临时存储 Cisco IOS 和其它系统进程。其余 5,120 KB 专用作数据包存储器。二者相加之和为 65,536K,即总共 64 兆字节 (MB) 的 DRAM。 注:升级 IOS 时,可能需要升级 RAM 大小。 接口 2 FastEthernet/IEEE 802.3 interface(s)2 Low-speed serial(sync/async) network interface(s) 这一段输出显示的是路由器上的物理接口。在本例中,Cisco 2621 路由器有两个快速以太网接口和两个低速串行接口。 NVRAM 大小 32K bytes of non-volatile configuration memory. 这是路由器上 NVRAM 的大小。NVRAM 用于存储 startup-config 文件。 闪存大小 16384K bytes of processor board System flash (Read/Write) 这是路由器上闪存的大小。闪存用于永久存储 Cisco IOS。 注:升级 IOS 时,可能需要升级闪存大小。 配置寄存器 Configuration register is 0x2102
boot system 命令允许你指定路由器使用闪存中的哪个文件进行引导。记住,在默认情况下,路由器是使用在闪存中可以找到的第一个文件进行引导的。 但是boot system command 可以, 启动系统命令保存在NVRAM的启动配置文件中的,有些同学就迷糊了, 根据上述的启动流程,当读取到VNRAM中的配置文件时, IOS早就已经加载完成了,那还有什么用? 其实,NVRAM中的boot system command比较特殊, 只有它才会在 Find the Cisco IOS Software 之前执行。其他命令工作如常。 配置寄存器的值:
加载配置文件 IOS 是基于UNIX开发而成的,所以其借鉴了很多UNIX的思想和命令。 IOS 严重依赖于硬件平台, 交换机只能安装交换机的IOS,路由器仅能安装路由器IOS,不同版本、不同系列的交换机、路由器只能安装特定版本的IOS版本。 IOS 是分级的系统,不同权限级别可以做不同的操作,整个权限体系分为0 - 15级。
我们可以看到【用户模式:权限1】,【特权模式:权限15】。在特权模式下,能够做该IOS支持的任何操作。 用户模式 特权模式 全局配置模式: configure terminal(简写: config 特殊配置模式: interface 接口配置模式 子接口模式 :子接口允许你在路由器中创建逻辑接口 line 配置模式: 配置【管理】接口,管理员通过该接口进行设备网管 show 使用show 命令和debug命令验证路由器硬件和软件的运行情况。show 主要查看一些静态的配置文件, 而 debug 命令通常用于查看实时动态信息。 验证路由器配置以及排除路由器和网络故障时,show 必须慎用的debug 命令,最好不要用。 网络有问题的时候,如果打开debug,会产生更多的数据流量 debug会占用CPU和内存资源
网络设备是没有关机命令的,通常都是关闭电源。 我们对路由器配置进行的任何修改都会被保存在 running-config 运行配置文件中。如果再对运行配置完成修改后,没有执行 copy run start 命令,那么这个修改就会在路由器重新启动或掉电后丢失。
配置管理功能: 主机名 旗标 密码 接口描述 配置以上功能,都不能让路由器和交换机表现的更好或运行的更快, 但请相信我,只要花时间在每台网络设备上设置这些配置,你的工作将更轻松,因为如果这样做,排除网络故障和维护网络的工作将容易很多。
设置密码: 用于确保思科路由器安全的密码有5种: 控制台密码、辅助端口密码、远程登录(VTY)密码、启用密码(enable)和启用加密密码(enable secret)。 启用密码和启用加密密码控制用户进入特权模式,在用户执行enable命令时要求他提供密码。 其他3中密码用于控制用户通过控制台端口、辅助端口、和telnet进入用户模式。 请别忘了执行命令login, 否则将不会进行身份验证。 我们通过 telnet 或者 本地网管的方式登录网络设备,仅输入一个密码就可以。这很方便, 但是存在安全隐患, 而且 telnet 是以明文进行传输,账号密码容易被截取。如何提高设备安全性呢? aaa 认证: local 本地数据库认证 SSH 替代 telnet 登录 回退模式: exit end Ctrl + Z 路由器接口 非模块化路由器, 使用命令选择接口: interface 模块化路由器,使用命令选择接口: interface ISR系列路由器, 需要使用3个编号。第一个编号表示路由器本身,第二个编号为插槽号,第三个为端口号。 这看起来有点麻烦, 但实际上并不难。我们建议总是先查看运行配置输出: 启用接口 要禁用接口,我们可以使用接口配置命令: shutdown 要启动接口,我们可以使用命令: no 给接口配置IP地址
配置接口之后,别忘了使用 别忘了查看命令: show up , up up , down , administratively 交换安全 物理安全(网络设备、线缆本身安全、分布式部署、火灾) 逻辑安全(传输流量的安全) 认证 数据加密 完整性检查 衡量园区网安全主要是 二层交换的安全。 1、认证:配置密码 可采取: aaa 认证 本地用户认证 MD5, SHA-1 散列算法: 单向性,不可逆; 蝴蝶效应; 固定长度 2、端口安全
|