ccna学习笔记---第4章IOS介绍

《路由与交换基础》教学大纲文件状态：[]草稿[]正式[]修改[√]草稿文件[]正式文件[]修改正式文件文件标识：审核：当前版本：1.0批准：编制：南湖教务标一阶段编号：完成日期：2004年9月课时：72课时授课方式：理论课（36）+实践课（36）课程名称：路由与交换基础目录第一部分大纲说明 (3)一、课程的性质和任务 (3)二、课程的目的 (3)三、学员对象及要求 (3)五、学习资料 (3)第二部分教学进度 (3)一、学时分配 (3)二、分班、授课场地及设备建议 (4)第三部分教学内容 (5)第四部分考核与实践 (8)第一部分大纲说明一、课程的性质和任务本课程是思科公司的职业认证体系的第一步（CCNA、CCNP、CCIE），它对网络的各个方面提供了详尽的阐述与讨论，其内容主要包括网际互联的原理，路由器、交换机的组成与运作，各类网络协议的讨论，交换技术和虚拟局域网的应用、安全信息的设置以及广域网的各类技术等。

二、课程的目的本课程主要针对欲从事网络工作的相关人员进行培训。

学完本课程后，学员应能够独立完成网络管理员的日常工作（网络设备的基本操作能力和分析、排除网络常见故障的能力）。

三、学员对象及要求。

双N标准一学期的学员及短期CCNA的学员。

五、学习资料《C C N A学习指南(中文版)(640－801)》及相关学员手册等第二部分教学进度一、学时分配本课程共需36个学时。

课时分配如下表：学时章节理论课所需设备1－3 1 ×4－6 1-2 ×7－9 2 ×10－12 3 ×13－15 4 ×路由器16－18 5 ×路由器19－21 6 ×路由器22－24 7 ×交换机25-27 8 ×交换机和路由器(2611型) 28-30 9 ×路由器31-33 10 ×路由器34-36 11 ×二、分班、授课场地及设备建议1、每班学员人数应以30人为标准。

下列关于网络安全的说法中哪两项正确？（选择两项。

）保护网络免受内部威胁侵害具有较低的优先级，因为由公司员工带来的安全风险较低。

无论是能自己编写攻击代码的资深黑客，还是从 Internet 下载攻击程序的入门攻击者都可能对网络安全造成严重威胁。

假设一家公司将其 web 服务器部署在防火墙之外，并充分备份 web 服务器，则无需采取其它安全措施来保护 web 服务器，因为即使它被攻击了也不会造成损失。

公众认可的网络操作系统（例如 UNIX）和网络协议（例如 TCP/IP）可采用默认设置工作，因为它们没有内在的安全缺陷。

保护网络设备免受水电等外在因素造成的物理破坏是安全策略的必要组成部分。

下列关于网络攻击的陈述，哪两项是正确的？（选择两项。

）强网络口令可防范大多数DoS 攻击。

蠕虫需要人的参与才能扩散，而病毒不需要。

侦测攻击本质上始终是电子攻击，例如ping 扫描或端口扫描。

暴力攻击会尝试使用字符集组合来搜索每个可能的口令。

内部设备不应该完全信任DMZ 中的设备，应该对DMZ 和内部设备之间的通信进行身份验证以防范端口重定向等攻击。

用户无法访问公司服务器。

系统日志显示服务器运行缓慢，因为它正在收到具有高优先级的虚假服务请求。

这是什么类型的攻击？侦测访问DoS蠕虫病毒特洛伊木马IT 主管发起了一项活动，旨在提醒用户避免打开来源可疑的电子邮件。

该IT 主管意在保护用户免受哪种DoSDDoS病毒访问侦测下列关于预防网络攻击的说法中哪两项正确？（选择两项。

）现代服务器和PC 操作系统具有可以信赖的默认安全设置。

入侵防御系统可以记录可疑的网络活动，但在没有用户干预的情况下无法对抗正在进行的攻击。

物理安全威胁的防范包括控制对设备控制台端口的访问、标识关键电缆、安装UPS 系统以及提供温湿控制。

防止网络钓鱼攻击的最好方法是采用防火墙设备。

更改默认的用户名和口令并禁用或取消不必要的服务有助于加强设备安全性。

入侵检测发生在“安全轮”的哪个阶段？保护监控测试改进侦测安全策略必须实现哪两个目标？（选择两项。

chapter 1L1：物理层PDU：bits 比特流作用：传输比特流（01000100101010...）介质：同轴电缆： coaxial cable 传输距离 500米双绞线（TP）：twisted-pair cable 传输距离 100米非屏蔽双绞线（UTP）：室内屏蔽双绞线（STP）：室外（环境干扰强）直通线：AA BB 链接异性端口：pc-hub pc-sw sw-router交叉线：AB 链接同性端口:pc-pc router-router pc-router sw-sw反线：1-8 8-1 用于本地连接的console 控制线网线的两种制作方式：568A:白绿绿白橙篮白蓝橙白棕棕568B:白橙橙白绿篮白蓝绿白棕棕 1236 网线使用DCE：数据终端设备，需要配置clock rate DTE：数据终结设备对应传输介质的支持传输距离：1）1000base-cx 使用的是铜缆。

最大传输距离25米2）100Base-Tx/Fx100Base-Tx以5类非屏蔽双绞线为传输介质（最大传输距离是100米）100Base-Fx以光纤为传输介质（2000米）。

3）1000base-SX（MMF多模）：最长传输距离是550米4）1000base-LX：可以使用单模光纤也可以使用多模光纤使用多模光纤的最大传输距离为550m，使用单模光纤的最大传输距离为3千米5）1000base-zx（单模）：最长传输距离是70KM以太网 Ethernent传输模式：单工:只能发或者收半双工：即可以收也可以发，但是同一时间只能收或者发列如对讲机全双工：同一时间既可以收也可以发列如手机Auto：中继器（Repeater）：对信号放大，双绞线的传输距离只有100M，使用中继器可以延长传输距离。

hub ：多口中继，一个数据帧从一个入口进，会发送到HUB的所有其他端口而不进行过滤。

L2：数据链路层PDU：frame 帧作用：成帧，差错控制设备：网桥（bridge）：基于MAC地址转发，根据mac-port表，数据包只发到和MAC地址相对应的port端口交换机（switch）：多口网桥，独享带宽L2层编制：MAC地址MAC地址构成：48bit，12位十六进制数可以通过ipconfig/all 查询电脑的mac地址L2表：MAC-port表（mac地址表）冲突域：不可避免的数据冲突范围，由中继、hub链接构成并扩大，见到L2层端口截止，每一个交换机端口形成一个冲突域HUB：所有端口都在一个冲突域，是增加了冲突域的范围交换机：没一个端口都是一个冲突域，是增加了冲突域的数量，减少了冲突域的范围HUB：是共享带宽 10M 所有端口共享10M交换机：独享带宽 10M 每个端口同时有10ML3：网络层 PDU：packet 包作用：逻辑编制：ip地址、路由（路径的选择）IP地址与mac地址的区别？Mac地址通信：同一个网络，mac通信跨网络通信：ip地址IP地址：版本v4；32bit；点分是进制法 192.168.0.1IP=网络位+主机位掩码：mask：连续的1+连续的0，来确定IP地址的网络位+主机位，1位对应网络位，0位对应主机位。

CCNA介绍_学习指南教程CCNACCNA证书CCNA认证标志着具备安装、配置、运行中型路由和交换网络，并进行故障排除的能力。

获得CCNA认证的专业人士拥有相应的知识和技能，能够通过广域网与远程站点建立连接，消除基本的安全威胁，了解无线网络接入的要求。

CCNA培训包括（但不限于）以下这些协议的使用：IP、EIGRP、串行线路接口协议、帧中继、RI Pv2、VLAN、以太网和访问控制列表（ACL）。

CCNA徽标CCNA 1-4思科认证网络工程师（CCNA）是思科职业认证的第一步，最低要求为280个学时。

该课程的侧重点是解决在科学、通讯和社会研究等领域的网络应用中的问题。

CCNA考前图解说明学员将学习如何在局域网和广域网（LAN和WAN）的多协议网络中安装和配置思科交换机和路由器，提供一级故障排除服务并改善网络的性能和安全性。

此外，本课程还提供了关于正确应用网络软件工具和保养、维护硬件设备的相关培训。

CCNA面向高中和高中以上程度的学员，包含以下内容：CCNA1－网络基础完成CCNA1课程后，学员将了解以下网络基础知识：网络基础概念以太网技术基础网络模型，七层OSI TCI/IP 网络传输介质，例如铜缆、光纤、无线、IP、寻址、路由。

CCNA2－路由器和路由基础完成CCNA2课程后，学员将了解以下路由器和路由知识：IOS管理路由器配置基础路由协议TCP/IP基本概念访问控制表网络故障排除技能CCNA3－数据交换基础和中间路由完成CCNA3课程后，学员将了解以下数据交换和中间路由知识：VLSM基础RIP第二版OSPF、EIGRP基础交换机配置生成树协议虚拟局域网虚拟中继协议虚拟局域网间路由CCNA4－广域网技术完成CCNA4课程后，学员将了解到以下SAN技术基础知识：扩展IP地址、NAT和PAT DHCP协议ISDN和DDR 帧中继PPP 网络管理协议基础、SNMP行业标准认证CCNA课程将为学员通过CCNA认证奠定基础。

第四章TACAS+4.1. 用户登录集中鉴权提问 使用集中的鉴权方式对用户登录设备进行控制回答Router1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router1(config)#aaa new-modelRouter1(config)#aaa authentication login default group tacacs+Router1(config)#aaa authentication enable default group tacacs+Router1(config)#tacacs-server host 172.25.1.1Router1(config)#tacacs-server key COOKBOOKRouter1(config)#endRouter1#注释 部署集中化鉴权就不需要在每台设备上配置用户名密码了，改密码也变得简单了 4.2. 限制特定命令的执行权限提问 对设备可执行命令权限进行基于用户的授权回答Router1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router1(config)#aaa new-modelRouter1(config)#aaa authorization exec default group tacacs+Router1(config)#aaa authorization commands 15 default group tacacs+Router1(config)#tacacs-server host 172.25.1.1Router1(config)#tacacs-server key neoshiRouter1(config)#endRouter1#注释 无4.3. TACACS+服务器无法访问提问 防止出现TACACS+服务器故障导致所有用户都不能登录回答Router1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router1(config)#aaa new-modelRouter1(config)#aaa authentication login default group tacacs+ enableRouter1(config)#aaa authentication enable default group tacacs+ enableRouter1(config)#aaa authorization commands 15 default group tacacs+ if-authenticatedRouter1(config)#tacacs-server host 172.25.1.1Router1(config)#tacacs-server key COOKBOOKRouter1(config)#endRouter1#注释 在认证服务器出现故障的情况下使用enable密码作为备份，同时建议使用if-authenticated参数在你配置授权的时候4.4. 在特定端口禁用TACACS+鉴权提问 为了方便禁止在控制口使用TACACS+鉴权回答Router1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router1(config)#aaa new-modelRouter1(config)#aaa authentication login default group tacacs+ local Router1(config)#aaa authentication login NEOSHI lineRouter1(config)#line con 0Router1(config-line)#login authentication NEOSHIRouter1(config-line)#endRouter1#注释4.5. 记录用户行为提问 记录用户输入的配置命令和时间回答Router1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router1(config)#aaa new-modelRouter1(config)#aaa accounting commands 1 default stop-only group tacacs+ Router1(config)#aaa accounting commands 15 default stop-only group tacacs+ Router1(config)#endRouter1#注释 下面是一条日志记录，很详尽吧Fri Jan 3 11:08:47 2006 toronto ijbrown tty66 172.25.1.1 stop task_id=512 start_time=1041610127 timezone=EST service=shell priv-lvl=15 cmd=configure terminal <cr>4.6. 记录系统事件提问 记录系统事件回答Router1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router1(config)#aaa new-modelRouter1(config)#aaa accounting exec default start-stop group tacacs+Router1(config)#aaa accounting connection default start-stop group tacacs+Router1(config)#aaa accounting system default stop-only group tacacs+Router1(config)#endRouter1#注释 除了可以记录用户输入命令以外还提供了exec（用户开始和中止exec会话的时间记录），connection （用户发起外部连接的时间，地址，数据包 多少等信息记录比如telnet ssh等）和system（系统重启，禁用AAA等系统信息）等三种系统事件的记录4.7. 设置TACACS+消息的源地址提问 发送TACACS+消息时只使用特定的源地址回答Router1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router1(config)#ip tacacs source-interface Loopback0Router1(config)#endRouter1#注释 所有本设备的记录都来自于同一地址方便对日志进行汇总和统计<!--[if !supportLists]-->4.8. <!--[endif]-->TACACS+服务器配置文件样本 注释 可以使用思科免费的TACACS+服务器也可以使用商业的服务器，配置方式略。

思科网络网管员指南第一章:设备管理方式管理系统文件管理系统文件基本上就是备份IOS镜像,配置文件等,一般使用TFTP或者FTP方式.TFTP基于UDP端口69,是一个简化的FTP协议.但是有一些权限比如缺乏安全性,有16MB文件大小的限制,使用UDP缺乏可靠性,新的IOS版本开始支持FTP,TCP端口21的传输协议,尽管也是类似Telnet的明文传输.注意:关于TFTP传输文件大小限制的讨论参见我的blog.Windows下的TFTP Server: Solarwind’s TFTP, 3Com TFTP DaemonGUI界面很简单的配置Linux下的TFTP ServerLinux下有内置的TFTP服务器,由xinetd或者inetd来控制.首先要修改inetd.conf指定你的TFTP目录.创建相应的目录和修改权限(mkdir /tftpboot, chmod 666 /tftpboot, chown nobody /tftpboot),创建文件(linux下的tftpd 有安全特性,必须要求所要传输的文件要存在于TFTP目录: touchrouter-config.cfg, chmod a+wr *),重启进程生效(/etc/inetd restart). IOS下的TFTP Server思科设备可以配置为TFTP Server来共享自己的IOS镜像.例子如下:Router#show flashPCMCIA flash directory:File Length Name/status1 10685392 /c1600-osy56i-l.121-16.bin[10685456 bytes used, 6091760 available, 16777216 total]16384K bytes of processor board PCMCIA flash (Read ONLY)Router#conf tRouter(config)#tftp-server flash:c1600-osy56i-l.121-16.binWindows下的FTP服务器:IIS这个有点复杂了..暂略.Linux 下的FTP 服务器:vsFTP,WUFtp,Proftp Vsftp 安装略,修改vsftpd.conf注意:只要记住copy 是源文件地址到目标文件地址的命令格式就可以了.为了解决FTP 的安全传输的问题,从12.2T 开始思科开始支持Secure Copy Protocol (SCP).通过配置ip scp server enable 来实现,详细解释参考思科网站.第二章 网络连通性介绍系统内置的一些测试工具比如Ping,Traceroute,whois,nslookup 等.尽管很简单很基础,但是里面还是有些值 得注意的问题,还将介绍一个小案例.网络连通性基本测试工具Ping 可以说是再平常不过的测试工具了,主要用来测试两点间的连通性,Round-Trip 的延迟和丢包率等. Windows 下Ping 的使用 Ping /?可以显示ping 的各种参数,不过我相信没几个人看完这些参数的.下面介绍几个有用的参数.Ping 缺省认为1000毫秒为超时,使用-w 参数可以修改此超时时间,比如在有些无线环境中Roundtrip 时间就很长,如果使用缺省值ping 就可能会出现Request timed out 情况.-t 参数可以保持持久ping,Ctrl-Break 可以保持命令继续执行看当前的汇总,Ctrl-c 则是停止命令. -a 解析主机名-f用来设置DF位,-l用来设置数据载荷的大小.通常用来检测网络的MTU.注意:MTU为最大传输单元,不同的网络情况此值都有不同,特别是在配置VPN的时候很重要,因为数据头有很多额外的开销.如果用户数据包大于MTU就会在传输中被分段.Windows下缺省Ping数据包大小为56字节,一般不会出现MTU问题,但是用户应用数据一般就不会只有这么小,所以要使用-l来测试.注意:MTU是数据载荷大小和IP头大小的和,而在windows下ping的IP头为28字节,所以最终的MTU大小应为-l的值和28之和.Linux下Ping的使用Linux下ping跟windows下略有不同,缺省就是持续ping,-c参数可以指定ping 的次数.类似于windows的MTU问题,-M do是设置DF位,-c来设置数据载荷的大小.注意:Linux下ping的IP头为28字节.IOS下ping的使用IOS下的Ping在用户模式和特权模式下都有,相应的权限不同,除了可以针对IP 协议以外,也支持IPX,AppleTalk等协议.缺省是5个包,每个包的大小为100字节,超时为2秒,使用流出端口的地址作为包的源地址.没有持续ping的参数,可以变相的通过将ping的次数设为最大值9999999来实现.可以通过组合键Ctrl-Shift-6加x来实现ping的中断.由于特权模式下的ping参数是通过对话的形式实现,所以不需要过多介绍.注意:在平常的网络中可能由于安全的限制只能使用特定的源地址进行ping(比如设备的loopback地址),而缺省这里使用的流出端口地址可能是被禁止的,所以需要通过特权模式的ping来设定源地址来避免这种情况.Ping的变种Fping:一般ping只能一次测试一个主机,fping可以同时测试多个主机.基于linux的,可以在这里下载.Hping:ping是基于ICMP Echo Request的.而有些网络的防火墙禁止了ICMP,Hping可以提供基于TCP,UDP等协议来测试远端主机的连通性.也是基于linux的,在此下载.SmokePing:此软件可以给你图形化的显示网络性能比如延时,丢包率等等.在此下载.Ping的测试步骤(这个好像CCNA爱考)1.Ping 127.0.0.1 确认本地的TCP/IP堆栈工作正常2.Ping 本机IP地址确认网卡和链路工作正常3.Ping 网络网关确认网关之间路由正常4.Ping 远端主机确认和远端主机连通TraceRoute使用TTL的特性来检查网络的连通性,提供了网络路径等Ping所不能提供的更详细排错信息.Windows下tracert的使用Windows下是基于ICMP Echo Request协议的,可以使用-d参数来禁止地址翻译,-h指定最大跳数,-w指定超时时间.Linux下traceroute的使用Linux下是基于UDP协议(当然也可以使用-I参数来恢复使用ICMP协议),一般第一个包使用端口33434,后面的包的端口依次增加来减少被禁止的可能,当然此端口可以使用-p参数来修改,-n禁止地址解析增加输出速度.IOS下traceroute的使用IOS下的traceroute跟ping比较类似也是分不同模式,也通过对话选择形式进行参数调整.缺省3个包使用UDP端口33434,超时时间为3秒,使用流出端口的地址作为包的源地址.网络连通性高级测试工具尽管有很多网络工具可以供网管使用,这里仅仅介绍一些系统内置的工具. Whois:提供域名信息的工具,linux内置,尽管现在也有win下的版本Nslookup:针对DNS服务器的查询域的MX,A,CNAME记录.win和linux下都可以使用,set query=all,或者mx等可以查询全部或者部分的信息.在Linux下还有一个类似的dig命令,提供的输出更多,更易懂,并且所有的参数可以通过一个命令行完成,方便制作脚本.常用命令格式为dig @dns-server targetdomain query-type.Netstat是一个可以在win和linux下使用的获得端口,连接,路由等网络信息的工具.Win下的netstat:不加参数显示当前活动的TCP连接,后面可以加数字(秒)得到不停刷新的信息.-n显示地址而不是域名,-a显示所有的连接,在xp和2003还有一个新的-o的参数可以显示相应连接的PID(process identification).-e显示接口的摘要信息,-o显示协议的摘要信息.-r显示系统路由信息,相同于route print命令.Linux下的netstat:不加参数会显示当前活动的所有连接包括Unix Sockets信息-atuwp参数可以去掉socket信息,-t参数显示当前活动的TCP连接,-c可以周期性的自动刷新.-n等同于win下的.-i显示接口的摘要信息,-s显示协议的摘要信息,-r显示路由表,相同于route命令.Nbstat:win下的Arp:Win和Linux下查询MAC地址和IP地址映射信息的工具.-a显示arp表,-s 指定一个静态的映射,-d删除一个映射.案例一般情况下我们认为只要能Ping通就代表网络没有问题了,对于有少量的丢包也认为是正常现象,其实有时候问题就隐藏在这些小量丢包的后面.有一个企业网络,客户老是抱怨使用改企业的内部应用老是有问题,而内部人员则没有发现什么问题.从内部ping也很正常,后来尝试持续ping边缘路由器,发现虽然能通但是隔30秒就会time out一两次.开始被认为是正常现象,后来研究发现ping 使用的ICMP的包,而对ICMP包的处理在路由器上的优先级是很低的,如果路由器出现CPU负荷过高就会不相应ICMP,进而导致time out.去边缘路由器show cpu 一看果然CPU利用率90%,检查配置发现没有开启ip route-cache,并且路由器每隔30秒会收到上游发送的BGP路由,从而导致路由器停止处理数据包,出现服务无法相应的状况.开启路由器快速交换后解决问题.小小的Ping发现了网络大问题.第四章Syslog服务讲述Syslog的架构和如何在思科的网络环境下部署Linux和Win下的ang=EN-US>syslog服务器,以及相应思科设备的配置.Syslog简介Syslog协议允许设备向消息收集器发送相应的事件信息.使用UDP端口514,不需要确认,大小为1024字节.包含Facility,Severity,Hostname,Timestamp,Message五种信息.Facility是syslog对信息源的大致分类,比如该事件来源于操作系统,进程等,用整数表示.其中16-17的local use可以为哪些没有被明确定义的进程或者应用所使用,通常思科IOS设备,CatOS交换机,VPN3000使用Facility Local7发送syslog信息,PIX防火墙使用local4,当然这些缺省值是可以修改的.Severity 信息源或者1位数字进行分类.Hostname 设备名或者IP地址,如果多接口使用传送信息端口的IP地址. Timestamp 时间戳是本地时间,IOS允许添加时区信息,前面加个特殊字符比如*,格式如下: MMM DD HH:MM:SS Timezone *.Message 信息.Syslog服务器的部署内置syslogd的配置/etc/syslog.conf文件控制syslogd的配置.里面有根据facility和severity 来定义的规则,格式为facility.severitydestination-file-path,里面缺省的记录系统的信息不需要更改.对于思科设备来说facility从local0到local7,severity为前面提到的debug,info,notice,warning,err,crit,alert,emerg和none.为了方便定义规一个复杂的例子如下:local6.*;local6.!=err /var/log/allexcepterror.log 写入所有facility为local6的信息到all*.log文件,只排除severity为err的信息缺省情况下syslogd只能接收来自本地的syslog信息,如果要接收远端的syslog信息,启动的时候要加上-r选项配置基于linux的syslog-ng服务器由于内置syslogd的有facility分类笼统,信息过滤弱等缺陷,推荐使用syslog-ng来替代.去该网站下载安装后通过修改/etc/syslog-ng文件来进行软件的配置.该文件包含5个部分:options,source,destination,filter和log.Options 定义全局选项,格式为options { option1(value);option2(value); ... };Source 定义守护进程收集信息的源,格式为source identifier{ source-driver(params); source-driver(params); ... };Destination 定义所收集信息经过过滤后保存的地方,格式为destination identifier { destination-driver(params); destination-driver(params);例子destination hosts { file("/var/log/host/$DATE" create_dirs(yes)); }; 按照日期来保存文件,如果没有相应的目录为自动创建.Filter 定义过滤规则,格式为filter identifier { expression; };Log 把source,filter,destination合并,实现来自某个source的信息符合特定的filter后送到所定义的destination.格式为log { source(s1);source(s2); ...filter(f1); filter(f2); ...destination(d1); destination(d2); ...flags(flag1[, flag2...]); };配置基于Windows的syslog服务器Kiwi Syslog是一个免费的图形化syslog服务软件,安装配置比较简单.配置思科设备对syslog的支持路由器下syslog支持的配置配置示例:Router(config)#logging 192.168.0.30 配置syslog服务器地址,可以定义多个Router(config)#service timestamps debug datetime localtime show-timezone msecRouter(config)#service timestamps log datetime localtime show-timezone msec syslog信息包含时间戳Router(config)#logging facility local3 定义facility级别,缺省为local7,可以设置从local0到local7Router(config)#logging trap warning 定义severity级别缺省为infor级别Router(config)#endRouter#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)Console logging: level debugging, 79 messages loggedMonitor logging: level debugging, 0 messages loggedBuffer logging: disabledTrap logging: level warnings, 80 message lines loggedLogging to 192.168.0.30, 57 message lines logged交换机下syslog支持的配置配置示例:Console> (enable) set logging timestamp enable 定义信息包含日期戳Console> (enable) set logging server 192.168.0.30 指定服务器地址,最多可以指定3个Console> (enable) set logging server facility local4 定义facility级别,缺省为local7,Console> (enable) set logging server severity 4 定义severity级别除了前面提到的路由器上的severity级别以外还有一些交换机特有的Console> (enable) set logging server enable 启用syslog服务Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4PIX防火墙下syslog支持的配置配置示例:Firewall(config)# loggin timestamp 定义信息包含日期戳Firewall(config)# logging host 192.168.0.30 服务器地址,可以指定以udp或者tcp来发送信息,对于思科的PIX FW syslog 软件只发送tcp.Firewall(config)# logging facility 21 定义facility级别,防火墙使用两位字符,local0对应16,依次类推,缺省为20也就是local4Firewall(config)# logging trap 7 定义severity级别,7为debug,0为emer,1为alert.Firewall(config)# logging on 启用syslogFirewall(config)# no logging message 111005 抑制特定的syslog信息Firewall(config)# exitFirewall# show loggingSyslog logging: enabledFacility: 21Timestamp logging: enabledStandby logging: disabledConsole logging: disabledMonitor logging: disabledBuffer logging: disabledTrap logging: level debugging, 6 messages loggedLogging to inside 192.168.0.30History logging: disabledDevice ID: disabledVPN Concentrator下syslog支持的配置在web管理界面下Configuration > System > Events > Syslog Servers通过add来增加syslog server的地址和facility级别. Configuration > System > Events > General下通过severity to syslog的下拉菜单选择发送信息的serverity级别.然后保存修改.。

第一章OSI七层网络参考模型1.1计算机网络的产生与发展1.2计算机网络的定义1.3计算机网络的分类1.4OSI七层网络参考模型OSI参考模型的优点：1.4.1物理层（Physical Layer）1物理层的功能：完成相邻节点之间原始的比特流的传输；2物理层的介质1)同轴电缆（Coax cable）粗缆：IEEE 10BASE-5标准IEEE：国际电子和电气工程师协会10：最大传输带宽为10MbpsBASE：基带传输方式5：最大的传输距离为500M使用AUI连接器；细缆：IEEE 10BASE-2标准（185M）使用BNC连接器。

2）双绞线（Twisted-pair）使用RJ-45连接器；RJ-11按抗干扰能力：UTP（非屏蔽双绞线）和STP（屏蔽双绞线）UTP按类别：1-7类，5类线缆最流行双绞线的制作标准：TIA/EIA 568A和TIA/EIA 568B双绞线的应用：直通线/平行线/直连线（Straight-Through Cable）：主机与交换机、交换机与路由器以太网接口采用直通线互连。

交叉线（Crossover Cable）：主机与主机、交换机与交换机、路由器与路由器以太网接口、主机与路由器以太网接口都采用交叉线互连。

反转线（Rollover Cable）：连接到网络设备的Console端口（控制台端口）来配置设备使用。

3）光缆（Fiber-Optic Cable）分为单模光纤（single-mode）和多模光纤（Multimode）一般有SC和ST两种连接器最连接器4）无线电波3物理层的设备DTE（数据终端设备）：包括计算机、终端等。

DCE（数据通讯设备）：调制解调器、基带Modem等。

中继器（Repeater）：将信号放大以延长数据的传输距离。

集线器（HUB）：多端口的中继器1.4.2数据链路层（Data Link Layer）数据帧(Frame)1数据链路层的功能成帧（帧同步）、差错控制、流量控制、链路管理2数据链路层提供的服务1)网桥（Bridge）2)交换机（Switch）1.4.3网络层（Network Layer）数据包/分组(Packet)1网络层的功能2网络层的IP数据包3网络层的设备——路由器（Router）1.4.4传输层（Transport Layer）数据段(Segment)1传输层的功能2传输层进行流量控制的类型：缓冲（Buffering）、窗口（Windowing）、避免拥塞（Congestion A voidance）1.4.5会话层（Session Layer）1.4.6表示层（Presentation Layer）1.4.7应用层（Application Layer）1.5数据的封装和解封装封装（Encapsulation）：解封装（De-capsulation）1.6组建局域网1.6.1IEEE 802局域网标准系列1.6.2IEEE 802参考模型1 LLC（Logical Link Control，逻辑链路控制）子层PDU（Protocol Data Unit，协议数据单元）2 MAC（Media Access Control，介质访问控制）子层1.6.3 局域网的类型1 以太网（Ethernet）2 光纤分布式数据接口（FDDI）3 异步传输模式（A TM）4 令牌环网（Token Ring）1.6.4 局域网的拓扑结构1.6.5 组建以太网1 用集线器组建以太网冲突域（Collision Domain）：所有可能发生冲突的范围。

CCNA复习知识点第一章：网际互联1、什么是互联网络当用路由器将两个或多个LAN或WAN连接起来，并用协议（如IP）配置逻辑网络寻址方案时，就创建了一个互联网络。

2、网络分段随着网络规模的不断增长，LAN中的流量拥塞会变得让人无法忍受。

解决这个问题的方法是，将一个很大的网络划分为一些小的网络，称为网络分段。

可使用路由器、交换机、和网桥来实现网络分段。

3、广播域所谓广播域是指网段上所有设备的集合，这些设备收听到送往那个网段的所有广播。

4、在网络中使用路由器的好处A：默认时路由器不会转发广播B：路由器可以根据第3层（网络层）信息（比如IP地址）对网络进行过滤5、路由器的四种功能数据包转发数据包过滤网络之间的通信路径选择）模型Application Layer：是实际应用程序之间的接口。

还负责识别并建立想要通信的计算机一方的可用性，并决定想要的通信是否存在足够的资源。

Presentation Layer：为应用层提供数据，并负责数据转换和代码的格式化。

如数据压缩、加密解密、多媒体操作等。

Session Layer ：负责建立、管理和终止表示层实体之间的会话连接。

提供3种不同的方式来组织它们之间的通信，单工、半双工和全双工。

使不同应用程序的数据与其他应用程序的数据保持隔离。

-----------------------------上三层定义了终端系统中的应用程序将如何彼此通信------------------------------------------------下四层定义了怎样进行端到端的数据传输-----------------------------------Transport Layer ：将数据分段并重组为数据流。

在互联网络的发送方主机和目的主机之间建立逻辑连接。

提供的功能有：流量控制、可靠的（面向连接的、窗口机制、确认）或不可靠的通信。

Network Layer ：负责设备寻址，跟踪网络中设备的位置，并决定传送数据的最佳路径，这意味着网络层必须在位于不同地区的互联设备之间传送数据流。

Cisco指导：IOS命令大全（一）预览说明:预览图片所展示的格式为文档的源格式展示,下载源文件没有水印,内容可编辑和复制Cisco指导：IOS命令大全（一）最近Cisco已经公布CCNA 640-801考试大纲，该考试已经在6月30日生效。

为了给广大考生提供复习方便，以下收集全套CCNA IOS配置命令，希望对您的学习考试有所帮助！给出一个帮助屏幕0.0.0.0 255.255.255.255 通配符命令;作用与any命令相同access-class 将标准的IP访问列表应用到VTY线路access-list 创建-个过滤网络的测试列表any 指定任何主机或任何网络;作用与0.0.0.0 255.255.255.255命令相同Backspace 删除一个字符Bandwidth 设置--个串行接口止的带宽Banner 为登录到本路由器上的用户创建--个标志区cdp enable 打开-个特定接口的CDPcdp holdtime 修改CDP分组的保持时间cdp run 打开路由器上的CDPcdp timer 修改CDP更新定时器clear counters 清除某一接口上的统计信息、clear line 清除通过Telnet连接到路由器的连接clear mac-address-table 清除该交换机动态创建的过滤表clock rate 提供在串行DCE接口上的时钟config memory 复制startup-config到running-config config network 复制保存在TFTP主机上的配置到running-config config terminal 进人全局配置模式并修改running-configconfig-register 告诉路由器如何启动以及如何修改配置寄存器的设置copy flash tftp 将文件从闪存复制到TFTP主机copy run start copy running-config startup-config的快捷方式，将配置复制到NVRAM中copy run tftp 将running-config文件复制到TFTP主机Copy tftp flash 将文件从TFTP主机复制到闪存Copy tftp run 将配置从TFTP主机复制为running-config文件Ctrl+A 移动光标到本行的开始位置Ctrl+D 删除一个字符Ctrl+E 移动光标到本行的末尾Ctrl+F 光标向前移动一个字符Ctrl+R 重新显示一行Ctrl+Shitf+6 then X 当telnet到多个路由器时返回到原路由器Ctrl+U 删除一行Ctrl+W 删除一个字CTRL+Z 结束配置模式并返回EXEC(执行状态)debug dialer 显示呼叫建立和结束的过程debug frame-relay lmi 显示在路由器和帧中继交换机之间的lmi交换信息debug ip igrp events 提供在网络中运行的IGRP路由选择信息的概要debug ip igrp transactions 显示来自相邻路由器要求更新的请求消息和由路由器发到相邻路由器的广播消息debug ip rip 发送控制台消息显示有关在路由器接口上收发RIP数据包的信息debug ipx 显示通过路由器的RIP和SAP信息debug isdn q921 显示第层进程debug isdn q931 显示第三层进程delete nvram 删除1900交换机-NVRAM的内容delete vip 删除交换机的VTP配置description 在接口上设置---个描述dialer idle-timeout number 告诉BRI线路如果没有发现触发DDR的流量什么时候断开dialer list number protocol 为DDR链路指定触发DDR的流量protocol permit/deny dialer load-threshold number设置描述什么时候在ISDN链路上启闭第二个BRI的参数inbound/outbound/either Dialer map protocol address代替拨号串用于作ISDN网络中提供更好的安全性name hostname numberdialer string 设置用于拨叫BRl接口的电话号码disable 从特权模式返回用户模式disconnect 从原路由器断开同远楞路由豁的连接dupler 设置一个接口的双工enable 进入特权模式enable password 设置不加密的启朋口令enable password level 1 设置用户模式口令enable password level 15 设置启用模式口令enable secret 设置加密的启用秘密口令如果设置则取代启用口令encapsulation 在接口上设置帧类型encapsulation frame-relay 修改帧中继串行链路上的封装类型encapsulation frame-relay 将封装类型设置为因特网工程任务组(IETF，Internet Enginering Task Force)类型。

书读百遍，其义自见历经几个月的自学，CCNA终于告一个阶段了。

我并不聪明，但我勇于探索新的学习方法，找到了一条适合自己的路，这本笔记是我边看边学时自己总结的，再加之平时做题总结，考后我进行了修正，发到网上，希望能给CCNA的学友们带来一点帮助。

非常感谢91lab和chinaitlab上的众多坛友，还有“NA冲刺NP菜菜（Travel）”QQ群的网友们，是他们给了我很多帮助，使我能顺利通过NA。

特别感谢“幽灵刺客”、“潜龙勿用”等网友，还有一些其他论坛上的网友，得以补全我的笔记。

像最后“基本ISDN的DDR拨号网络”的操作，幽灵刺客总结的很好。

借此我把我的学习资料也发布出来，大家共享，哪怕能带来微薄的帮助，我也满足了。

笔记中存在的错误，希望大家批语指正。

人人为我，我为人人吗！愿大家在知识的海洋里共游！千山岛主2006年4月11日CCNA 讲义（640-801）注意：na的考试中使用的FLSM，也就子网位全零或者全一的不可用，但是实际工程中是可用的，所以正确的公式应该是2的n次方。

* 在思科的网络中，如果要使用全0或全1的子网地址，则需要在分配子网之前，运行如下命令：Router(config)# ip subnet-zero ；启用全0和全1的网络Router(config)# no ip subnet-zero ；禁止使用全0的子网第一课 OSI/ISO一、宏观网络上的认识：Access Layer 接入层提供用户的接入Distribution Layer 分布层（多个路由器）Core Layer 核心层（核心交换机）二、OSI/ISO 七层模型：Application user interface ：Telnet / FTPPresentation 高层（Upper）Application LayerSessionTransport Layer TCP/UDP/SPX 数据段（Segment）Network Layer IP / IPX 数据包 (Packet)Data Link Layer Data Flow Layers 802.3 / 802.2 /HDLC 帧 (Frame)Physical Layer EIA/TIA-232 V.35 位 (Bits)Presentation 如加密ASCII EBCDIC JPEG 把数据变为计算机能识别的格式Session 操作系统本地位---帧----数据包----数据段----数据流FCS--- Frame Check Sequence 帧检测序列号只有在数据链路层有。

思科CCNA认证网络工程师学习指南一、书籍简介《思科CCNA认证详解与实验指南(200-120)》以描述思科CA/CCDA的认证知识为重点，以思科公司最新发布的考试大纲为前提，全面涵盖了认证领域的相关内容，其中包括网络基础知识、网络设备的工作原理、网络协议的工作原理、思科路由器与交换机的基本配置、路由技术、交换技术、远程接入技术、思科IOS特性、思科网络设备的硬件组成与IOS镜像管理、IPv6技术、认证试题分析等。

《思科CCNA认证详解与实验指南(200-120)》突破了传统的写作方式，采用“浅入深出、取证原理、演示应用”的原则体现整本书的逻辑，并配置开发了相关的教学资源，开发的教学录像与本书的知识点成“一对一”的关系，可以说是将思科CA的教学课堂放到了书上，为CA的学员节省了上千元的培训费。

另外，考虑到读者在学习CA认证时，没有实验设备的问题，本书提供了一套“网络仿真学”方案，为CA学员解决因为实验设备不足造成的实验限制和实验困难。

在本书的最后一个章节中，将CA认证的技术知识与实际的网络工程岗位集成，引导学员如何使用CA认证的知识去解决实际的故障，彻底告别了“Paper”的认证方式。

《思科CCNA认证详解与实验指南(200-120)》的写作方法就是读者的学习方法，本书的实验方法就是读者的工作岗位，本书对网络原理技术的取证方法就是将理论的瞬间变成永恒的经典!二、书籍信息出版社：电子工业出版社ISBN：版次：1开本：16开出版时间：2022-07-01页数：736正文语种：中文三、书籍目录第1章简介思科CCNA认证的体系结构1.1 简介思科的认证体系等级CCNA/CCNP/CCIE1.2 关于思科认证体系的考试过程1.3 关于思科认证体系结构的学习方式1.4 CCNA与面向实战工作的关联和认证者的行业后续发展建议 1.5 建立一个必需的学习原则：没被取证的理论就不是真理1.6 没有专业的网络实验室的解决方案1.7 用正确的心态来完成认证的学习、感受分享、寄语本章小结第2章计算机网络基础2.1 理解计算机网络2.1.1 计算机网络的分类2.1.2 理解计算机网络服务结构2.1.3 理解计算机网络拓扑2.1.4 理解IEEE 802的各个标准2.1.5 理解以太网的介质访问协议(CSMA/CD)2.1.6 CCNA认证中CSMA/CD试题分析(见随书光盘)2.2 理解计算机的MAC地址2.2.1 理解MAC地址的构成2.2.2 理解MAC地址的I/G位2.2.3 CCNA认证中MAC部分试题分析(见随书光盘)2.3 理解IP地址的作用与意义2.3.1 IP地址的定义与分类2.3.2 理解子网掩码与IP子网的划分2.3.3 计算一个IP子网内的主机数2.3.4 理解默认网关2.3.5 理解可变长子网掩码(VLSM)与无类域间的路由(CIDR)2.3.6 演示：区分网络ID、主机ID、子网掩码与网关2.3.7 演示：VLSM的基本应用与特性2.3.8 实战：IP地址规划的经典案例2.3.9 深入分析IP通信过程中的两组特殊地址2.3.10 CCNA认证中IP地址规划与设计部分试题分析(见随书光盘) 2.4 理解计算机网络的体系结构2.4.1 理解OSI开放式七层模型2.4.2 联动分析：OSI七层模型传输数据的过程2.4.3 演示：取证OSI七层模型传输数据的原理过程2.4.4 CCNA认证中OSI七层模型的试题分析(随书光盘)本章小结第3章理解网络设备工作原理3.1 中继器工作原理3.2 集线器工作原理3.3 网桥工作原理3.4 二层交换机工作原理3.4.1 通过区别集线器、二层交换机理解冲突域3.4.2 CCNA认证中网桥与二层交换机的试题分析(见随书光盘)3.5 路由器工作原理3.5.1 理解路由器工作原理必须扩展到数据链路层的问题3.5.2 CCNA认证中路由器的试题分析(见随书光盘)3.6 三层交换机工作原理本章小结第4章详解并取证网络协议的工作原理4.1 理解数据链路层协议4.1.1 理解ARP的工作原理4.1.2 关于RARP(Reverse Address Resolution Protocol)4.1.3 理解免费ARP4.1.4 演示：取证ARP协议的工作过程4.1.5 演示：取证计算机和思科路由器上的免费ARP工作过程 4.1.6 CCNA认证中ARP协议的试题分析(见随书光盘)4.2 理解网络层部分协议4.2.1 理解IP报文的结构4.2.2 演示：取证IP报文的结构4.2.3 理解ICMP协议的工作原理4.2.4 演示：取证ICMP报文的结构4.2.5 CCNA认证中ICMP协议的试题分析(见随书光盘)4.3 理解传输层部分协议4.3.1 理解TCP/IP协议的工作原理4.3.2 演示：取证TCP/IP协议的三次握手过程4.3.3 CCNA认证中TCP协议的试题分析(见随书光盘)4.3.4 理解UDP协议的工作原理4.3.5 演示：取证UDP报文的结构4.3.6 CCNA认证中UDP协议的试题分析(见随书光盘)4.4 理解应用层协议4.4.1 理解HTTP协议4.4.2 理解FTP协议4.4.3 理解FTP的主动模式4.4.4 理解FTP的被动模式4.4.5 关于FTP两种模式引发防火墙与ACL过滤时故障4.4.6 CCNA认证中FTP协议的试题分析(见随书光盘)4.4.7 简述应用层的其他协议POP3、SMTP4.5 关于知名协议端口号本章小结第5章入门思科的网络设备5.1 简介思科的数据通信产品5.1.1 认识思科路由器5.1.2 认识思科交换机5.1.3 认识思科设备上的模块及编号原则5.2 理解如何配置思科网络设备5.2.1 简介思科网络设备的配置方法5.2.2 演示：通过控制线配置与管理思科网络设备5.3 完成思科设备上的基本配置5.3.1 理解思科网络设备的配置模式5.3.2 演示：配置时间、重命名思科网络设备、接口IP地址、查看运行状态5.3.3 演示：保存、备份与删除设备配置5.3.4 演示：设置enable用户的密码5.3.5 关于配置指令缩写与帮助提示功能5.4 CCNA认证中路由器入门配置的试题分析(见随书光盘)本章小结第6章理解并实施路由技术6.1 路由技术的理论知识6.1.1 路由技术的概念6.1.2 路由技术的分类6.1.3 演示：在思科路由器上配置静态路由6.1.4 演示：在思科路由器上配置默认路由6.1.5 关于配置静态路由和默认路由的注意事项6.1.6 CCNA认证中静态路由的试题分析(见随书光盘)6.2 理解并配置动态路由协议RIP6.2.1 理解RIP路由更新报文的结构6.2.2 理解并取证：动态路由协议RIP的工作原理6.2.3 概述RIP两个版本的区别6.2.4 理解 RIPv1使用广播更新路由和RIPv2使用组播更新路由的区别 6.2.5 理解为什么RIPv2支持VLSM，而RIPv1不支持6.2.6 理解关于RIP的路由度量值6.2.7 演示：动态路由协议RIPv1的配置6.2.8 演示：动态路由协议RIPv2的配置6.2.9 理解RIPv1对连续的VLSM子网支持的一个特殊实例6.2.10 演示：RIP的路由归纳与默认路由公告6.2.11 演示：RIP的等价负载均衡6.2.12 理解并配置：RIP的安全认证过程6.2.13 理解关于动态路由协议产生的环路与收敛问题6.2.14 什么是路由环路与收敛时间6.2.15 关于水平分割、计数到无穷大、触发更新6.2.16 理解和配置RIP的定时器6.2.17 CCNA认证中动态路由协议RIP的试题分析(见随书光盘)6.3 理解基于链路状态的动态路由协议OSPF6.3.1 链路状态路由与矢量路由的区别6.3.2 从人类生活的角度类比并理解RIP与OSPF的区别6.3.3 理解并取证：动态路由协议OSPF的工作原理6.3.4 当OSPF工作在不同的网络类型时是不是所有网络都必须选举DR 6.3.5 关于OSPF路由器中链路状态特性的取证6.3.6 理解OSPF的度量值6.3.7 为什么链路状态路由协议收敛较快6.3.8 演示：动态路由协议OSPF的配置6.3.9 演示：取证在以太网上OSPF的DR与BDR选举原理6.3.10 演示：OSPF自动公告默认路由6.3.11 理解并取证：OSPF协议的安全认证过程6.3.12 CCNA认证中动态路由协议OSPF的试题分析(见随书光盘)6.4 理解动态路由协议EIGRP6.4.1 关于EIGRP的特性6.4.2 理解EIGRP的功能组件6.4.3 理解EIGRP的消息类型6.4.4 理解并取证：动态路由协议EIGRP的工作原理6.4.5 理解并取证：EIGRP的邻居表、拓扑表、路由表6.4.6 理解：弥散更新算法(DUAL)6.4.7 演示：动态路由协议EIGRP的配置6.4.8 理解关于EIGRP的路由度量值6.4.9 演示：基于EIGRP的非等价负载均衡6.4.10 演示：EIGRP的路由归纳与默认路由公告6.4.11 理解并配置：EIGRP的安全认证过程6.4.12 CCNA认证中EIGRP部分试题分析(见随书光盘) 6.5 理解路由协议的管理特性6.5.1 理解路由协议的本地管理距离6.5.2 演示：使用本地管理距离完成动态路由协议的管理 6.5.3 理解浮动路由的基本原理6.5.4 演示：浮动路由的配置6.5.5 CCNA认证中管理距离部分试题分析(见随书光盘) 6.5.6 理解简单的路由再发布6.5.7 演示：静态路由、RIP、OSPF、EIGRP的路由再发布 6.5.8 理解并配置：被动接口(Passive-interface)本章小结第7章理解并实施交换技术7.1 理解园区交换技术的基本知识7.1.1 理解园区交换网络的模型7.1.2 理解园区交换网络的连接介质7.1.3 交换机接口的双工模式与协商过程7.1.4 关于网络连接中的直通线、交叉线、反转线7.1.5 CCNA部分双工、线缆介质类型试题分析(见随书光盘)7.1.6 理解园区交换网络的流量规划原则7.1.7 理解堆叠交换机与常规交换机的区别7.2 理解虚拟局域网(VLAN)7.2.1 理解传统局域网规划的局限性7.2.2 理解虚拟局域网(VLAN)7.2.3 理解：VLAN的通信原理、VLAN干道、VLAN的标记与VTP协议7.2.4 VTP干道协议及其工作模式7.2.5 理解VTP裁剪模式(VTP Pruning)7.2.6 理解并取证：802.1Q、ISL、VTP的报文结构7.2.7 理解802.1Q的Native VLAN(本地VLAN)7.2.8 理解：静态VLAN与动态VLAN7.2.9 演示：虚拟局域网(VLAN)的基本配置(VLAN划分、Trunk、VTP) 7.2.10 CCNA认证中VLAN、VTP、Trunk试题分析(见随书光盘)7.3 理解园区交换网络的生成树(STP)技术7.3.1 理解生成树(STP)技术的工作原理7.3.2 演示：人工如何干预STP计算的默认状态7.3.3 演示：两台交换机成环后的STP计算原则7.3.4 演示并取证：BPDU报文结构7.3.5 理解：生成树收敛过程中的端口状态7.3.6 理解：CST(公共生成树)7.3.7 理解：PVST(基于每个VLAN的生成树)7.3.8 理解：PVST+(基于每个VLAN的增强型生成树)7.3.9 理解：RSTP(快速生成树)7.3.10 理解：MST(多生成树)7.3.11 CCNA认证中生成树(STP)试题分析(见随书光盘)7.4 理解VLAN间的路由7.4.1 实现VLAN间路由的基本架构7.4.2 演示：使用外部路由器架构完成VLAN间的单臂路由7.4.3 演示：配置三层交换机完成VLAN间的路由7.4.4 演示：配置三层交换机的物理接口完成路由7.4.5 CCNA认证中VLAN间路由试题分析(见随书光盘)本章小结第8章理解并实施远程接入技术8.1 简述思科远程接入的方案8.1.1 概述电路交换网络(PSTN/ISDN)8.1.2 概述分组交换网络―帧中继与某.258.1.3 概述分组交换网络―ATM8.1.4 概述租用线路―专线8.1.5 概述数字用户线路(DSL)8.1.6 概述虚拟专用网(VPN)8.1.7 CCNA认证中远程接入方案试题分析(见随书光盘)8.2 思科设备上点对点专线的配置8.2.1 理解DTE和DCE8.2.2 CCNA中DTE和DCE试题分析(见随书光盘)8.2.3 理解广域网上数据的封装形式8.2.4 最初的SLIP协议8.2.5 理解PPP协议的组件8.2.6 理解并取证：PPP协议中LCP的工作原理8.2.7 理解并取证：PPP协议中NCP的工作原理8.2.8 演示：思科路由器上PPP链路的配置8.2.9 理解与配置：HDLC(High-Level Data Link Control)8.2.10 CCNA认证中点对点接入(PPP、HDLC)的试题分析(见随书光盘) 8.3 理解PPP的安全认证8.3.1 理解并取证：PPP的PAP认证的工作原理8.3.2 演示：PPP的PAP认证配置8.3.3 理解并取证：PPP的CHAP认证的工作原理8.3.4 演示：PPP的CHAP认证配置8.3.5 关于CCNA认证中PPP安全的试题分析(见随书光盘)8.4 思科设备上帧中继(Frame-Relay)网络的配置8.4.1 理解并取证：帧中继的工作原理8.4.2 演示：思科设备基于物理接口帧中继(Frame-Relay)的配置8.4.3 演示：思科设备子接口类型帧中继的配置8.4.4 理解帧中继的逆向解析功能(Frame-Relay Inverse-ARP)8.4.5 演示：区别帧中继动态解析与静态映射的差异8.4.6 关于CCNA认证中帧中继(Frame-Relay)的试题分析(见随书光盘) 8.5 解决路由协议运行在帧中继远程接入环境中的常见问题8.5.1 演示：关于RIP运行在半网状帧中继环境中的水平分割管理方案8.5.2 演示：关于EIGRP运行在半网状帧中继环境中的水平分割管理方案 8.5.3 理解OSPF运行在NBMA中的各种解决方案的配置8.5.4 演示：在半网状的NBMA中静态指定OSPF邻居，中心路由器永远为DR的方案8.5.5 演示：在半网状的NBMA中使用ip ospf network point-to-multipoint的方案8.5.6 演示：在全网状的NBMA中使用ip ospf network broadcast的方案 8.5.7 总结：OSPF部署到NBMA网络的建议思想与注意事项8.6 思科设备上DSL网络的配置8.6.1 理解DSL的基本分类8.6.2 以ADSL为例理解DSL网络的物理架构8.6.3 关于在ADSL网络中使用PPPoE协议8.6.4 理解并取证PPPoE的工作原理8.6.5 演示：PPPoE服务端、拨号计算机、拨号路由器的配置8.7 思科设备上VPN的配置8.7.1 理解：VPN的类型与VPN设备8.7.2 简述VPN协议PPTP、L2TP、IPSec8.7.3 理解：VPN网络的数据机密性、完整性、认证、密钥交换 8.7.4 初识IPSec协议8.7.5 IPSec的AH(认证头部)与ESP(封装安全性载荷)8.7.6 关于IPSec的安全关联8.7.7 理解IKE (Internet Key E某change)的作用8.7.8 简述IPSec的工作过程8.7.9 演示：基于思科IOS路由器场对场的IPSec-VPN的配置8.7.10 关于CCNA认证中VPN的试题分析(见随书光盘)本章小结第9章实施网络管理与应用功能9.1 配置思科IOS的管理功能特性9.1.1 理解并取证：Telnet远程管理协议的工作原理9.1.2 演示：思科路由器的Telnet远程管理9.1.3 理解并取证：SSH远程管理协议的工作原理9.1.4 演示：思科路由器SSH的远程管理9.1.5 演示：思科交换机的Telnet与SSH管理9.1.6 演示：使用SDM软件管理思科路由器9.1.7 关于CCNA认证中Telnet/SSH试题分析(见随书光盘)9.2 配置思科设备上的应用功能特性9.2.1 理解并取证：DHCP的.工作原理9.2.2 演示：思科路由器上DHCP服务的配置9.2.3 理解自动专用寻址地址(APIPA)9.2.4 关于DHCP服务器的冲突检测9.2.5 演示：思科路由器上DHCP帮助地址的配置9.2.6 理解：思科DHCP如何将多个地址池分配给不同接口的子网 9.2.7 理解并取证：理解思科的邻居发现协议(CDP)9.2.8 演示：思科网络设备上CDP的配置9.2.9 理解并配置：建立主机名与DNS名称解析9.2.10 关于 CCNA认证中DHCP、CDP、DNS的试题分析(见随书光盘) 9.3 配置思科设备的网络地址翻译(NAT)功能9.3.1 理解并取证：网络地址翻译(NAT)――静态NAT的工作原理9.3.2 理解并取证：网络地址翻译(NAT)――动态NAT的工作原理9.3.3 理解并取证：网络地址翻译(NAT)――PAT的工作原理9.3.4 理解NAT的地址类型9.3.5 演示：NAT-PAT代理内部网络访问Internet9.3.6 演示：动态NAT完成网络地址翻译9.3.7 演示：使用静态NAT配置内部网络服务器提供对外服务能力9.3.8 演示：外部全局地址与外部局部地址的使用案例9.3.9 关于CCNA认证中NAT的试题分析(见随书光盘)9.3.10 理解并实施简单网络管理协议(SNMP)9.3.11 理解并实施思科的NetFlow功能9.4 思科的高可用性服务9.4.1 理解并实施HSRP9.4.2 理解并实施VRRP9.4.3 理解并实施GLBP本章小结第10章实施网络安全10.1 简述网络安全的概念10.1.1 认识常见的网络威胁10.1.2 理解网络安全区域10.1.3 理解思科的IOS防火墙10.1.4 理解基于思科IOS的IDS/IPS10.1.5 关于CCNA认证中网络安全概念的试题分析(见随书光盘)10.2 配置思科设备上的访问控制功能10.2.1 理解基础的访问控制列表(ACL)10.2.2 演示：标准ACL的配置10.2.3 演示：扩展ACL的配置10.2.4 关于ACL的其他书写形式与应用注意事项10.2.5 演示：命名ACL的配置10.3 配置思科设备上的高级访问控制功能10.3.1 演示：带时间ACL的配置10.3.2 演示：动态ACL的配置10.3.3 演示：自反ACL的配置10.3.4 演示：基于上下文的访问控制(IOS防火墙的配置) 10.3.5 关于CCNA认证中ACL的试题分析(见随书光盘)10.4 配置设备访问的安全10.4.1 演示：限制VTY(Telnet)的访问10.4.2 演示：限制Console线的访问10.4.3 演示：设置密码长度限制、密码加强10.4.4 演示：交换机端口安全的配置10.4.5 关于CCNA认证中设备访问的试题分析(见随书光盘) 10.5 配置思科的日志系统10.5.1 演示：配置控制台日志并保存到Buffered区域10.5.2 演示：配置日志发送到VTY虚拟终端10.5.3 演示：配置日志发送到Syslog日志服务器本章小结第11章理解思科网络设备的硬件构造与IOS镜像管理11.1 理解思科路由器的硬件组成11.1.1 认识路由器的中央处理器(CPU)11.1.2 认识路由器的主存储器――内存11.1.3 认识路由器的ROM11.1.4 认识路由器的启动Flash11.1.5 认识路由器的Flash存储器11.1.6 认识路由器的非易失性内存(NVRAM)11.1.7 关于思科路由器的寄存器11.1.8 关于思科路由器的启动过程11.2 配置思科IOS镜像管理11.2.1 演示：为思科2500/2600系列的路由器升级IOS镜像11.2.2 演示：为思科2950系列的交换机升级IOS镜像11.2.3 演示：思科路由器到路由器的IOS镜像管理11.2.4 演示：配置思科设备的启动顺序11.3 理解并区别思科不同版本的IOS11.4 忘记密码后恢复思科设备密码的方案11.5 关于CCNA认证中硬件组成与IOS镜像管理的试题分析(见随书光盘)本章小结第12章理解下一代IP地址――IPv612.1 初识下一代IP地址12.1.1 理解并取证：IPv6与IPv4在报文结构上的区别12.1.2 关于IPv6的扩展首部与数据分片的问题12.1.3 演示：一个最简单的IPv6实验12.1.4 演示：使用协议分析器取证IPv6的报文结构12.1.5 理解IPv6的地址表达形式12.1.6 理解IPv6的地址分类12.1.7 演示：在Windows不同版本操作系统的计算机上安装IPv6协议与基本配置12.1.8 演示：关于在思科路由器上IPv6本地链路地址的配置12.1.9 演示：IPv6本地站点地址的配置12.1.10 演示：IPv6全球单播地址的配置12.2 IPv6的组播地址12.2.1 理解IPv6的组播地址12.2.2 理解请求节点的组播地址12.2.3 理解IPv6的组播地址与MAC地址的映射关系12.2.4 演示：取证分析IPv6组播地址的构成原理12.2.5 演示：取证分析IPv6组播地址与MAC地址的映射关系12.3 理解IPv6的通信过程12.3.1 理解IPv6通信过程中ICMPv6的重要作用12.3.2 理解IPv6主机使用ICMPv6替代IPv4环境中的ARP协议12.3.3 演示：取证IPv6主机使用ICMPv6的邻居请求与邻居公告消息原理 12.3.4 理解ICMPv6前缀请求与前缀公告消息12.3.5 演示：取证ICMPv6前缀请求与前缀公告消息原理12.4 关于IPv6的路由协议12.4.1 理解并配置：IPv6的静态路由与默认路由12.4.2 理解并配置：IPv6的RIPng12.4.3 理解并配置：IPv6的OSPFv312.5 概述IPv4过渡到IPv6的方案12.5.1 简述使用双协议栈过渡方案12.5.2 简述使用IPv4兼容地址12.5.3 简述使用IPv6to4隧道技术的过渡方案12.5.4 简述使用NAT-PT将IPv4过渡到IPv6的方案12.5.5 简述使用Teredo技术的过渡方案12.5.6 简述使用ISATAP 技术的过渡方案12.5.7 简述使用GRE技术的过渡方案12.6 关于CCNA认证中IPv6的试题分析(见随书光盘)本章小结第13章思科CCNA故障与实战项目测试13.1 故障排除13.1.1 演示：网络掩码长度引发的次优路径故障分析与排除13.1.2 演示：RIP路由更新的故障分析与排除13.1.3 演示：OSPF的邻居关系故障分析与排除13.1.4 演示：EIGRP非等价负载均衡的故障分析与排除 13.1.5 关于交换机网络通信故障排除13.2 将CCNA的知识应用到综合实战项目中。

CCNP课程内容简介第一门：BSIN(Building Scalable Cisco Internetworks)建立可升级的Cisco网络预备知识:1.OSI 参考模型和分层模型的工作原理2.网络互连基础3.配置及操作Cisco IOS 设备4.TCP/IP 原理,配置可路由协议,如:RIP5.理解距离向量路由协议的原理,配置RIP和IGRP6.决定何时使用静态路由和缺省路由及在Cisco路由器上如何配置查看并解释Cisco路由器上的路由表7.建立WAN串行连接8.在物理端口和子端口上配置Frame Relay PVC9.配置IP的标准和扩展访问列表10.使用各种工具(如 debug show 等命令)检验Cisco 路由器的配置建议通过或学习过ICND(即CCNA)课程目标:1.在采用中央控制地址,以简化分支办公室的IP地址管理的网络中,选择并配置适当的设备2.在要求可扩展路由的网络中,包括链路状态协议(Link State) 和重定向,实现相关技术3.在和ISP的BGP网络有一个或多个入口时正确配置边缘路由器以正确接入BGP网络4.配置适当的访问表以控制对网络和设备的访问,或减轻过载数据流量5.在可扩展的互连网中,配置多种可路由协议和多种路由协议课程概要:主要介绍规划中的技术和技巧,如何在日趋增长的网络中管理访问权限和控制过载数据流量,如何用路由器控制LAN和WAN上的数据流量,以及如何把企业网接入ISP(Internet Service Provider)第一章:课程介绍第二章:路由规则第三章:扩展IP地址第四章:配置单域OSPF第五章:OSPF多域互连第六章:配置EIGRP第七章:配置IS-IS第八章:配置基本的BGP第九章:在扩展的网络中实现BGP第十章:优化路由更新操作第十一章:在网络互连中实现扩展性第二门：BCRAN（Building Cisco Remote Access Networks）建立Cisco远程访问网络预备知识熟悉通用的网络术语和概念，并应具备以下技能或经验：1.基本的Cisco 路由器操作和配置2.TCP/IP原理和配置3.路由协议（RIP,IGRP）4.可路由协议（IP,IPX）5.标准和扩展访问列表6.PPP原理及在串行连接上配置PPP7.Frame Relay 帧中继在ISDN BRI 上配置 Legacy DDR 及其原理8.网络互联基础9.使用各种工具（Debug,Show 等命令检验Cisco路由器的配置课程目标1.通过课程培训，能够连接、配置、故障分析排除在WAN 环境中远端网络的各种因素。

第4章1 网络接入层1OSI 模型的哪一层负责指定特定介质类型使用的封装方法应用层传输层数据链路层物理层封装是数据链路层的一种功能。

不同介质类型需要采用不同的数据链路层封装。

答案说明最高分值correctness of response2 points for Option 30 points for any other option22 2 下列哪种说法正确描述了物理层的信令?异步发送信号意味着无需时钟信号即可传输信号.在信令中 1 始终代表电压0 始终代表没有电压.无线编码包括发送一系列点击来划定帧。

信令是一种将数据流转换成预定义代码的方法.除了表示是否存在电压外也可使用许多方法在铜缆上表示0 或1 信号。

无线网络技术的运行频率远远超出人类可听的范围并且不使用点击。

编码或线路编码是一种将数据位流转换为预定义代码的方法.答案说明最高分值correctness of response2 points for Option 10 points for any other option23 3 下列哪两项是物理层协议使用帧编码技术的原因请选择两项。

降低介质上的冲突数量甄别数据位和控制位提供更好的介质错误校正识别帧的开始和结束位置提高介质吞吐量编码技术可将数据位流转换为发送方和接收方都能识别的预定义代码。

使用预定义模式有助于区别控制位和数据位并提供良好的介质错误检测.答案说明最高分值correctness of responseOption 2 and Option 4 are correct。

1 point for each correct option.20 points if more options are selected than required.44 快速以太网的吞吐量为80 Mb/s.同一时期用于建立会话、确认和封装的流量开销是15 Mb/s.该网络的实际吞吐量是多少15 Mb/s95 Mb/s55 Mb/s65 Mb/s80 Mb/s实际吞吐量就是给定时间内传输的可用数据吞吐量减去用于建立会话、确认和封装的流量开销后的结果.因此如果吞吐量为80Mb/s而流量开销为15 Mb/s则实际吞吐量为80 - 15 = 65 Mb/s.答案说明最高分值correctness of response2 points for Option 40points for any other option255 网络管理员发现一些新安装的以太网电缆传输的数据信号损坏和失真.新的布线接近天花板上的荧光灯和电子设备。