《CCNA总结》由会员分享,可在线阅读,更多相关《CCNA总结(9页珍藏版)》请在金锄头文库上搜索。
1、1.以太网所使用的规则是以太网所使用的规则是 载波侦听多路访问载波侦听多路访问/冲突检测冲突检测 (CSMA/CD) 技术技术: CSMA/CD 仅用于集线器中常用的半双工通信仅用于集线器中常用的半双工通信 1)载波侦听载波侦听 2)多路访问多路访问 3)冲突检测冲突检测 4)堵塞信号和随机回退堵塞信号和随机回退 2.以太网通信以太网通信 1)单播:只有一个发送方和一个接收方。单播传输是单播:只有一个发送方和一个接收方。单播传输是 LAN 和和 Internet 中最主要的传输形式。单播传输的例子包括中最主要的传输形式。单播传输的例子包括 HTTP、SMTP、FTP 和和 Telnet 2)广
2、播:帧从一个地址发送到所有其它地址广播传输的示例有地址解析协广播:帧从一个地址发送到所有其它地址广播传输的示例有地址解析协 议议 (ARP) 发送到发送到 LAN 上所有计算机的地址解析查询上所有计算机的地址解析查询 3)组播:帧发送到一组特定的设备或客户端组播:帧发送到一组特定的设备或客户端 网络协作业务会议的视频和网络协作业务会议的视频和 语音传输。语音传输。 3.前导码实现发送设备与接收设备之间的同步。前导码实现发送设备与接收设备之间的同步。 4.半双工:一个发,另一个収半双工:一个发,另一个収 单项数据流单项数据流 冲突可能性高冲突可能性高 集线器连接集线器连接 5.全双工:同时发送和
3、接収全双工:同时发送和接収 双向数据流双向数据流 仅限点对点仅限点对点 连接到专用交换端口连接到专用交换端口 无冲突无冲突 冲突检测电路禁用冲突检测电路禁用 交换机交换机 6. 交换机端口设置:交换机端口设置: auto 选项设置双工模式自动协商。启用自动协商时,两个端口通过通选项设置双工模式自动协商。启用自动协商时,两个端口通过通 信来决定最佳操作模式。对于快速以太网和信来决定最佳操作模式。对于快速以太网和 10/100/1000 端口,默认端口,默认 为为 auto full 选项设置全双工模式。对于选项设置全双工模式。对于 100BASE-FX 端口,默认为端口,默认为 full hal
4、f 选项设置半双工模式。选项设置半双工模式。 7. 冲突域是指发出的帧可能产生冲突的网络区域冲突域是指发出的帧可能产生冲突的网络区域 交换机分割交换机分割 8.广播域:相连交换机的集合构成了一个广播域广播域:相连交换机的集合构成了一个广播域 路由器分割路由器分割 9. 延时:一个帧或一个数据包从源工作站到达最终目的地所用的时间延时:一个帧或一个数据包从源工作站到达最终目的地所用的时间 来源:来源: 网卡延时:源网卡在导线上发送电压脉冲需要时间,目的网卡解释这些网卡延时:源网卡在导线上发送电压脉冲需要时间,目的网卡解释这些 脉冲也需要时间,脉冲也需要时间,10BASE-T 网卡的延迟通常为大约网
5、卡的延迟通常为大约 1 毫秒毫秒 传播延时:信号在电缆上传输需要时间传播延时:信号在电缆上传输需要时间 中网络设备增加时,延时也会随之延长中网络设备增加时,延时也会随之延长 10. 交换机数据包转发方法:交换机数据包转发方法: 存储转发交换:当交换机收到帧时,它将数据存储在缓冲区中,直到收存储转发交换:当交换机收到帧时,它将数据存储在缓冲区中,直到收 下完整的帧。计算循环冗余校验下完整的帧。计算循环冗余校验 (CRC),检查帧长度,有效则转发,检查帧长度,有效则转发 直通交换:在收到整个帧之前就转发直通交换:在收到整个帧之前就转发 11. LAN 交换机可分为对称或非对称两类交换机可分为对称或
6、非对称两类 对称交换提供同带宽端口之间的交换连接。对称交换可优化为合理分配流对称交换提供同带宽端口之间的交换连接。对称交换可优化为合理分配流量负载,例如在点对点桌面环境中。量负载,例如在点对点桌面环境中。 非对称非对称 LAN 交换机提供不同带宽端口之间的交换连接。需要缓冲交换机提供不同带宽端口之间的交换连接。需要缓冲 优点:优点: 防止产生瓶颈,灵活防止产生瓶颈,灵活 12.两种内存缓冲方法:两种内存缓冲方法: 1)基于端口的内存缓冲:帧存储在链接到特定传入端口的队列中。有可基于端口的内存缓冲:帧存储在链接到特定传入端口的队列中。有可 能因为一个目的端口繁忙而造成单个帧拖延内存中所有帧的传输
7、。能因为一个目的端口繁忙而造成单个帧拖延内存中所有帧的传输。 2)基于共享内存缓冲:将所有帧都放入交换机上所有端口共享的公共内基于共享内存缓冲:将所有帧都放入交换机上所有端口共享的公共内 存缓冲区中存缓冲区中 13.第第 2 层交换:只根据层交换:只根据 OSI 数据链路层(第数据链路层(第 2 层)层)MAC 地址执行交换和地址执行交换和 过滤。过滤。 14. 第第 3 层交换机不仅使用第层交换机不仅使用第 2 层层 MAC 地址信息来作出转发决策,而且还地址信息来作出转发决策,而且还 可以使用可以使用 IP 地址信息。还能够执行第地址信息。还能够执行第 3 层路由功能,从而省去了层路由功能
8、,从而省去了 LAN 上上 对专用路由器的需要。比较:对专用路由器的需要。比较:15.配置命令历史记录缓冲区:配置命令历史记录缓冲区: show history16.交换机启动顺序:交换机启动顺序: 1)交换器从交换器从 NVRAM 中加载启动加载器软件中加载启动加载器软件 执行低级执行低级 CPU 初始化初始化 执行执行 CPU 子系统的加电自检子系统的加电自检 (POST) 初始化系统主板上的闪存文件系统。初始化系统主板上的闪存文件系统。 将默认操作系统软件映像加载到内存中,并启动交换机。将默认操作系统软件映像加载到内存中,并启动交换机。 2)操作系统使用操作系统使用 config.tex
9、t(存储在闪存存储在闪存)文件运行文件运行 启动加载器可帮助从操作系统崩溃中恢复:启动加载器可帮助从操作系统崩溃中恢复: 操作系统无法使用时,用于直接访问交换机操作系统无法使用时,用于直接访问交换机 在操作系统加载之前访问存储在闪存中的文件在操作系统加载之前访问存储在闪存中的文件 可执行恢复操作可执行恢复操作 17.基本交换机配置:基本交换机配置: 1)管理接口管理接口:2)配置管理接口:配置管理接口:3)配置默认网关:配置默认网关:4)配置双工和速度:配置双工和速度:5)配置配置 Web 接口接口6)查看查看 mac 地址表:地址表:show mac-address-table 配置静态配置
10、静态 mac: mac-address-table static mac 地址地址 vlan 99 端口号端口号 7)验证交换机配置验证交换机配置8)备份配置备份配置恢复配置恢复配置9)将配置文件备份到将配置文件备份到 TFTP 服务器服务器10) 清除配置信息:清除配置信息:erase nvram 11) 配置控制台访问配置控制台访问移除口令:移除口令:no password 配置配置 vty12)配置执行模式口令)配置执行模式口令配置加密口令:配置加密口令:service password-encryption 1)配置登录标语配置登录标语2)配置配置 Telnet 和和 SSH Teln
11、et 最常用的访问方法最常用的访问方法 发送明文消息流发送明文消息流 不安全不安全SSH 应作为常用访问方法应作为常用访问方法 发送加密消息流发送加密消息流 安全安全配置配置 Telne:配置配置 SSHip domain-namedomain_name 命令配置交换机的主机域命令配置交换机的主机域 crypto key generate rsa 命令生成命令生成 RSA 密钥对密钥对 crypto key zeroize rsa 删除删除 RSA 密钥对密钥对 transport input ssh 命令以将交换机限制为仅允许命令以将交换机限制为仅允许 SSH 连接。连接。 18.常见的安全
12、攻击常见的安全攻击 1)MAC 地址泛洪:地址泛洪:MAC 地址表的大小有限。地址表的大小有限。MAC 泛洪利用这一限制用虚泛洪利用这一限制用虚 假源假源 MAC 地址轰炸交换机,直到交换机地址轰炸交换机,直到交换机 MAC 地址表变满。交换机随后地址表变满。交换机随后 进入称为进入称为“失效开放失效开放”(fail-open) 的模式,开始像集线器一样工作,并将的模式,开始像集线器一样工作,并将 数据包广播到网络上的所有机器。因此,攻击者可看到从受害主机发送到数据包广播到网络上的所有机器。因此,攻击者可看到从受害主机发送到 无无 MAC 地址表条目的另一台主机的所有帧。地址表条目的另一台主机
13、的所有帧。 2)欺骗攻击:攻击者窃取网络流量办法是伪装有效欺骗攻击:攻击者窃取网络流量办法是伪装有效 DHCP 服务器发出的响应服务器发出的响应 攻击者在网段上激活一台攻击者在网段上激活一台 DHCP 服务器服务器 客户端广播一条请求,要求获得客户端广播一条请求,要求获得 DHCP 配置的信息配置的信息 伪冒伪冒 DHCP 服务器在合法服务器在合法 DHCP 服务器响应之前先响应,分配由攻击服务器响应之前先响应,分配由攻击 者定义的者定义的 IP 配置信息配置信息 主机数据包被重定向至攻击者的地址,因为该地址模拟客户端得到的错主机数据包被重定向至攻击者的地址,因为该地址模拟客户端得到的错 误误
14、 DHCP 地址的默认网关地址的默认网关另一种称为另一种称为 DHCP 耗竭攻击的耗竭攻击的 DHCP 攻击。攻击者攻击。攻击者 PC 不断更不断更 改其源改其源 MAC 地址,并不断向真实地址,并不断向真实 DHCP 服务器请求服务器请求 IP 地址。地址。 如果成功,这种如果成功,这种 DHCP 攻击将造成真实攻击将造成真实 DHCP 服务器的所有待服务器的所有待 租地址分配殆尽,从而阻止真实用户(租地址分配殆尽,从而阻止真实用户(DHCP 客户端)获取客户端)获取 IP 地地 址。址。 3)CDP 攻击:攻击:Cisco 发现协议发现协议 (CDP) 是是 Cisco 的专有协议,路由器
15、不会传的专有协议,路由器不会传 播播 CDP,CDP 包含有关设备的信息,如包含有关设备的信息,如 IP 地址、软件版本、平台、性能和地址、软件版本、平台、性能和 本机本机 VLAN。如果攻击者得到这些信息,他们就可以利用这些信息来查找漏洞。如果攻击者得到这些信息,他们就可以利用这些信息来查找漏洞 以攻击网络,通常的攻击形式是拒绝服务以攻击网络,通常的攻击形式是拒绝服务 (DoS) 攻击。攻击。 4)Telnet 攻击:攻击: 5)暴力密码攻击:限制暴力密码攻击漏洞的最简单办法是频繁更改密码、)暴力密码攻击:限制暴力密码攻击漏洞的最简单办法是频繁更改密码、 使用强密码、限制可通过使用强密码、限
16、制可通过 vty 链路通信的人员链路通信的人员 6)DoS 攻击妨碍管理员执行交换机管理功能。攻击妨碍管理员执行交换机管理功能。Cisco IOS 更新修订版中附更新修订版中附 带的安全补丁带的安全补丁 19 DHCP 侦听:侦听: 1). DHCP 侦听将端口标识为可信和不可信,可信端口可发送所有侦听将端口标识为可信和不可信,可信端口可发送所有 DHCP 消消 息;不可信端口只能发送请求息;不可信端口只能发送请求 2)DHCP 侦听使交换机能够建立映射客户端侦听使交换机能够建立映射客户端 mav 地址、地址、IP 地址、地址、VLAN 和和 端口的端口的 DHCP 绑定表绑定表 3)ip dhcp snooping 全局配置命令启用全局配置命令启用 DHCP 侦听。侦听。 4)ip dhcp snooping vlan number number 命令对特定命令对特定 VLAN 启用启用 DHCP 侦听。侦听。 5)ip dhcp snooping trust 命
