CCNA安全笔记

01CCNA考试个人笔记1.选择题1.交换1.二层交换机：分割减少冲突，这里不是冲突域；收到未知的帧将会泛洪；2.MAC地址的作用：在二层唯一确定一台设备；使同一网络的不同设备可以通信；3.IEEE802.3标准规定了以太网的物理层和数据链路层的MAC子层；4.在交换机新建一个vlan，等于增加了一个广播域，冲突域的个数不变；5.vlan的作用：逻辑微分组、安全性、增加广播域；路由器一个接口是一个广播域，一个vlan也是一个广播域；交换机一个接口是一个冲突域；集线器的所有接口都在一个冲突域中；6.要想远程管理交换机，需要在交换机上配置ip default-gateway和interface vlan；7.查看Trunk的命令：show interface trunk和show interface switchport；8.交换机为什么从不学习广播地址？因为广播地址永远不会成为一个帧的源地址；9.Trunk链路的模式有auto、on和desirable；auto：不会主动发DTP信息；on：强制成为trunk，也主动发DTP信息；desirable：DTP主动模式，发DTP和对方协商；一端已经设置为auto模式，另一端必须设置为desirable模式才能协商成trunk；10.RSTP的优点：能够减少汇聚时间；比STP增加端口角色alternate和backup；在点到点链路提供比STP更快的传输和转发；11.VLAN的特点：微分段、安全性、灵活性；一个VLAN＝一个广播域＝逻辑网段(子网)；Trunk协议有两种，一种是通用的802.1Q协议，一种是cisco专用的ISL协议；12.VTP管理VLAN的范围是1~1005，而可以修改的VLAN范围是2~1002；13.要实现VLAN间路由，有三种接口需要配置：Access接口、Trunk接口、SVI接口；14.802.1Q native vlan是不做标记的，所以在trunk两边的native需要一致；15.哪一个环境下交换机在vlan出现多个相同的单播帧？拓扑中有不合适的冗余；in an improprely implemented redundant topology；16.EtherChannel中两个端口需要speed一致；在EtherChannel中，端口上那一项参数可以配置不一样？DTP negotiation settings；2.路由1.路由器的TTL值默认是255；2.距离矢量协议：周期性向邻居广播整个路由表；4.EIGRP建立邻居关系必须满足本个条件：收到Hello或ACK、具有匹配的As号、具有相同的度量(K值)；默认情况下，EIGRP是不支持VLSM的，我们可以通过关闭EIGRP的自动汇总来让EIGRP 支持VLSM；3.OSPF为什么要划分区域：减少路由表大小、限制LSA的扩散、加快OSPF收敛速度、增加OSPF稳定性；OSPF的BR的选举：优先级＋RouterID；链路状态协议的特点：提供查看拓扑的命令，show ip ospf database；计算最短路径；利用触发更新；邻居之间只能交换LSA，但不能交换路由信息；4.OSPF的进程号仅仅具有本地意义，进程号不同不影响邻居关系的建立；使用单区域OSPF的好处：减少了LSA的种类，不需要虚电路；5.哪一个OSPF命令可以把所有端口划分进area 0?network 0.0.0.0 255.255.255.255 area 06.PPP在进行认证配置的时候，用户名要是对端的用户名，但是password要是两边共享的password；3.综合1.CSU/DSU是用于连接终端和数字专线设备，Modem用于数字信号和模拟信号的转换，两者都属于DCE设备；路由器一般属于DTE设备；A CSU/DSU converts digital signals from a router to leased line.A modem convert digital signals from a router to a phone line.2.在半双工网络中才存在冲突域；3.Ipv6的任意播：closet、nearest、same dress for mutiple devices；one-to-one of nearest；4.查看CPU利用率：show process；5.默认网关的配置方法：ip route 0.0.0.0 0.0.0.0 s0/1ip default-network 0.0.0.06.反掩码加1就是块大小，块大小减1就是反掩码；7.IOS的存放位置只能是自身的flash或TFTP server中；8.网络工程师想要允许一个临时与一个特定的username远程用户和密码，这样用户可以访问整个网络，which ACL可以使用？动态ACL；9.静态ACL：一直在NA T表中；允许来自外部的链接；10.哪一个命令可以验证哪些接口受到了ACL的影响？show ip interface；show ip access-list，显示访问控制列表；show access-lists，显示当前所有ACL的内容；show interface [int]，查看某个接口的物理层和数据链路层的信息，如MAC地址，封装方式等；show ip interface [int]，提供路由器接口的第三层配置信息，如接口状态，IP地址，访问控制列表等；11.show interface fa0/1，出现错误报文，可能是因为双工不匹配或者链路状态不稳定等因素造成的；12.DHCP检测到地址冲突，会把这个地址移出地址池，这个地池将不再分配，直到管理员解决冲突；2.拖图题1. show ip interface如：FastEthernet0/0 is up, line protocol is down (disabled)第一个up/down涉及物理层，第二个up/down涉及数据链路层(clock rate或者封装问题)2. show interfaces [int] 查看的是某个interface的物理层和数据链路层的信息，它给出了硬件地址，逻辑地址和封装方式的信息。

CCNA网络笔记第一章，网际互连把一个大的网络划分为一些小的网络就称为网络分段，这些工作由路由器，交换机和网桥来按成。

引起LAN通信量出现足赛的可能原因如下:1．在一个广播域中有太多的主机2．广播风暴3．组播4．低的带宽路由器被用来连接各种网络，并将数据包从一个网络路由到另一个网络。

默认时，路由器用来分隔广播域，所谓广播域，是指王端上所有设备的集合，这些设备收听送往那个王端的所有广播。

尽管路由器用来分隔广播域，但重要的是要记住，路由器也用来分隔冲突域。

在网络中使用路由器有两个好处：1．默认时路由器不会转发广播。

2．路由器可以根据第三层（网络层）信息对网络进行过滤。

默认时，交换机分隔冲突域。

这是一个以太网术语，用来描述：某个特定设备在网段上发送一个数据包，迫使同一个网段上的其他设备都必须主要道这一点。

在同一时刻，如果两个不同的设备试图发送数据包，就会产生冲突域，此后，两个设备都必须重新发送数据包。

网际互连模型当网络刚开始出现时，典型情况下，只能在同一制造商的计算机产品之间进行通信。

在20世纪70年代后期，国际标准化组织创建了开放系统互联参考模型，也就是OSI七层模型。

OSI模型时为网络而构建的最基本的层次结构模型。

下面是分层的方法，以及怎样采用分层的方法来排除互联网络中的故障。

分层的方法参考模型时一种概念上的蓝图，描述了通信是怎样进行的。

他解决了实现有效通信所需要的所有过程，并将这些过程划分为逻辑上的组，称为层。

参考模型的优点OSI模型时层次化的，任何分层的模型都有同样的好处和优势。

采用OSI层次模型的优点如下，当然不仅仅是这些：1．通过网络组件的标准化，允许多个提供商进行开发。

2．允许各种类型网络硬件和软件相互通信。

3．防止对某一层所作的改动影响到其他的层，这样就有利于开发。

OSI参考模型OSI模型规范重要的功能之一，是帮助不能类型的主机实现相互之间的数据传输。

OSI模型有7个不同的层，分为两个组。

下面将讲述是IP路由部分，也是掌握的要点，相信大家会了解的很好。

首先，我将叙述的是何为路由、IP路由的过程，也许你已经听了很多次了，但这是基础。

Key words：routing11. The term routing is used for taking a packet from one device and sending it through the network to another device on a different network.路由这个术语是用来说明将数据包从一个设备通过网络发往另一个处在不同网络上设备。

其实路由其实不关心这些主机的，它们关心的只是网络和通向每个网络的最佳途径。

在下面我将举个事例来说明。

Key words：routed protocol routing protocolA routed protocol can be used to send user data (packets) through the established enterprise. Routed protocols are assigned to an interface and determine the method of packet delivery. Examples of routed protocols are IP and IPX.被动路由协议是通过已建好的方式来发送用户数据（数据包）。

已建好的方式看起来挺生硬，也许这里理解成网络更好。

被动路由协议被分派到接口上，并决定数据包的发送方式。

被动路由协议的例子IP和IPX。

A routing protocol is used by routers to dynamically find all the networks in the internetwork and to ensure that all routers have the same routing table. Basically, a routing protocol determines the path of a packet through an internetwork. Examples of routing protocols are RIP, IGRP, EIGRP, and OSPF.主动路由协议是路由器用来在互连网络上动态找寻所有网络，并确保所有路由器拥有相同的路由表。

CCNA SECURITY笔记A）命令级别：a) . Privilege exec level 1 clear line *privilege configure all level 5 router”all”就是把全局配置模式下的router这个命令下面的所有命令给于5级别。

如果不加all，则只有router 后面的命令在5级别可以使用。

意思是把原来exec下面的【包括#和>下面的，不论是原来是什么级别的命令clear line *】移动到1级别去。

将高级别的命令放到级别的时候也要有先后顺序的：比如：你要把router 这个命令放到level 1下面去，但是你没有把configure terminal放过去，你是看不到router 命令的。

因为路由器觉得router是在全名模式下的命令，你必须要进入全局模式下才可以敲入router.如下图：R1(config)>routerR1(config)>router os 1R1(config-router)>network 192.168.1.1 0.0.0.0 a 0虽然进入到全名模式也是>这个符号，但是也要进入这种全局模式。

才有router命令。

b) .View 命令集:将命令做成一集合，然后授权给某个用户使用。

控制力度更强。

则此用户只能使用此命令集中的命令。

Root view 比15级别更强Aaa new-modeEablesecretwang/enble pass wang配置进入到root view下面的密码Root view 可以创建删除VIEW,但是15级别不可以。

Enable view (进入root view)Parser view y uan(创建一个view)Secret yeslabccies配置y uan这个子view下面的密码Commands exec include show version使用本地数据库绑定VIEW先去掉aaa new-model 只是为了演示，其实一般都是用AAA做VIEW的授权User yuan password yuanUser yuan view yuanB ) CISCO路由器的加密级别0,5,6,70 是不加密5 是MD56是在做VPN的时候加密的6: key config-key password-encrypt wang1245passwor encryption aescryptiskmap key 0 yuan add 192.168.1.1最后变成：cryptoisakmp key 6 ZFSN\VVKfdcf\cBKKBLZWDgVXGD address 192.168.1.17是开启了service password-encrytionC) chatper认证不能够使用enable secret 加密1.security passwords min-length2.no service password-recovery 【让你无法找回running-config】就是让用户在重启的时候无法进入ROMMON下面中破解密码。

CCNA主要知识点（一）1、网络前言组建一个网络之前要考虑很多因素：费用、安全、网速、拓扑、可伸缩性、可靠性、可用性建立一个网络需要组件：计算机（运行有操作系统的：PC、文件服务器）、联网设备（交换机、路由器、防火墙）和介质（光纤、网线）2、网络拓扑结构用线缆、设备构建一个网络的时候，可以有各种类型的拓扑，所谓拓扑就是指设备之间的连接方式：点对点（point to point topology)：需要将很多设备链接在一起时不常见总线型（bus topology）:所有的设备通过一条线路进行通信星型(Star Topology)：用于链接许多设备的环境，不过中心设备的压力会很大，存在单点故障。

解决办法：扩展性的星形拓扑。

扩展的星型(Extended-Star Topology)：多个星形拓扑的组合，优点是减弱了中心设备的责任。

单环型(Ring T opology)：为了解决单点故障双环型(Dual-Ring Topology)：应用于冗余备份全互联(Full-Mesh T opology)：容错能力强大，费用昂贵部分互联(Partial-Mesh Topology)：只是核心设备进行互联，在容错和费用间均衡3，OSI参考模型OSI参考模型具有层次化优点：简化了相关的网络操作；提供不同厂商之间的标准接口；使各个厂商能够设计出相互操作的网络设备；把复杂的网络问题分解为小的简单问题，易于学习和操作。

第七层：应用层：提供人与应用程序交互的界面（登陆QQ时的窗口。

）第六层：表示层：定义信息是如何通过用户正在使用的界面传输并呈现给用户。

还可以提供加密以保护来自于应用层的数据信息。

第五层：会话层：负责启动链接的建立和终止，区分多个链接，负责对应用层、表示层和会话层出现的任何错误进行报告。

操作系统就在此层次。

第四层：传输层：建立、维持、终止两个设备之间的会话连接，提供可靠(TCP、三次握手：差错侦测、差错校正)或不可靠(UDP：只有差错侦测，实现实时数据)的连接；第三层：网络层：定义第三层地址；寻找到达目的地的最佳路径；跨区域进行协商；第二层：数据链路层：定义了在单个链路上如何传输数据，提供了物理地址/硬件地址，提供无连接和面向连接的服务；协商两端设备的0、1比特的一致第一层：物理层：定义设备接口的类型、连接设备之间的线缆的类型；对传输的信息进行电信号与模拟信号之间的转换，在两个网络设备之间提供透明的比特流传输。

CCNA笔记1[图]分类: 思科 | 标签: ciscoCCNA笔记1[图] - -最高3层定义了端用户如何进行互相通信;底部4层定义了数据是如何端到端的传输.最高3层,也称之为上层(upper对数据的操作诸如加密,压缩等等3.Session层:建立会话,分隔不同应用程序的数据4.Transport层:提供可靠和不可靠的数据投递;在错误数据重新传输前对其进行更正work层:提供逻辑地址,用于routers的路径选择6.Data根据MAC地址提供对传输介质的访问;实行错误检测,但是不实行错误更正7.Physical层:在设备之间传输比特(bit);定义电压,线速,针脚等物理规范然后数据开始传输;数据传输完毕以后,终止虚电路连接(virtual于是发送方继续发送数据.这就是流控制的用途而bridges是基于软件性质的延时：1个帧从进去的端口到达出去的端口所耗费的时间透明桥接(transparent bridging)：如果目标设备和帧是在同1个网段,那么层2设备将堵塞端口防止该帧被传送到其他网段;如果是和目标设备处于不同网段,则该帧将只会被传送到那个目标设备所在的网段每个和switches相连的网段必须是相同类型的设备,比如你不能把令牌环(Token Ring)上的主机和以太网上的主机用switches混合相连,这种方式叫做media translation,不过你可以用routers来连接这样不同类型的网络。

在LAN内使用switches比使用hubs的好处：1.插入switches的设备可以同时传输数据,而hubs不可以。

2.在switches中,每个端口处于1个单独的冲突域里,而hubs的所有端口处于1个大的冲突域里,可想而知,前者在LAN内可以有效的增加带宽.但是这2种设备的所有端口仍然处于1个大的广播域里。

再检查是否可以采用全双工模式,如果不行,则切换到半双工模式。

Ethernet当I/G位为1的时候,我们可以设想它为广播或多播.第46位叫做G/L位,也叫U/L位.当这个位为0的时候代表它是由IEEE分配的全局地址;当这个位为1的时候,代表本地管理地址(例如在DECnet 当中)UDP协议不2.TCP协议可靠;UDP协议不可靠3.TCP协议是面向连接;UDP协议采用无连接4.TCP协议负载较高;UDP协议低负载5.TCP协议的发送方要确认接受方是否收到数据段;UDP反之6.TCP协议采用窗口技术和流控制;UDP协议反之硬件地址也叫节点地址(nodeB类的为255.255.0.0;C类的为255.255.255.0C Address划分子网的几个捷径:1.你所选择的子网掩码将会产生多少个子网?:2的x次方-2(x代表掩码位,即2进制为1的部分)2.每个子网能有多少主机?: 2的y次方-2(y代表主机位,即2进制为0的部分)3.有效子网是?:有效子网号=256-10进制的子网掩码(结果叫做block size或base number)4.每个子网的广播地址是?:广播地址=下个子网号-15.每个子网的有效主机分别是?:忽略子网内全为0和全为1的地址剩下的就是有效主机地址.最后有效1个主机地址=下个子网号-2(即广播地址-1)子网掩码255.255.255.192(/26)1.子网数=2*2-2=22.主机数=2的6次方-2=623.有效子网?:block size=256-192=64;所以第一个子网为192.168.10.64,第二个为192.168.10.1284.广播地址:下个子网-1.所以2个子网的广播地址分别是192.168.10.127和192.168.10.1915.有效主机范围是:第一个子网的主机地址是192.168.10.65到192.168.10.126;第二个是192.168.10.129到192.168.10.190子网掩码255.255.192.0(/18)1.子网数=2*2-2=22.主机数=2的14次方-2=163823.有效子网?:block size=256-192=64;所以第一个子网为172.16.64.0,最后1个为172.16.128.04.广播地址:下个子网-1.所以2个子网的广播地址分别是172.16.127.255和172.16.191.2555.有效主机范围是:第一个子网的主机地址是172.16.64.1到172.16.127.254;第二个是172.16.128.1到172.16.191.254子网掩码255.255.255.224(/27)1.子网数=2的11次方-2=2046(因为B类地址默认掩码是255.255.0.0,所以网络位为8+3=11)2.主机数=2的5次方-2=303.有效子网?:block size=256-224=32;所以第一个子网为172.16.0.32,最后1个是172.16.255.193到172.16.255.223Variable减少路由表大小.使用VLSM时,所采用的路由协议必须能够支持它,这些路由协议包括RIPv2,OSPF,EIGRP和BGP. 关于更多的VLSM知识,可以去进行搜索Troubleshooting IP Address一些网络问题的排难：1.打开Windows里的1个DOS窗口,ping本地回环地址127.0.0.1,如果反馈信息失败,说明IP协议栈有错,必须重新安装TCP/IP协议。

第二章ISO七层模型七层功能介绍：应用层：提供用户接口表示层：数据表示过程（编码方式、加密方式）会话层：区分不同会话的数据流传输层：可靠或不可靠的数据传输、数据重传前的错误纠正网络层：提供路由器用来就定路径的逻辑寻址数据链路层：将比特流组合成帧、用MAC地址访问介质、发现错误（fcs）但不能纠正物理层：设备间接受或发送比特流（说明电压、线速和线缆、水晶头阵脚定义方式）物理层定义介质类型、连接器类型、信令类型，包含802.3、EIA/TIA.232、v3.5标准10base2——细缆以太网（base表示基带传输，10表示10M）10base5——粗缆以太网10baset——双绞线物理层设备：集线器、中继器（放大信号）、解码/编码器、传输介质连接器冲突（collision）冲突域（collision domain）广播域（broadcast domain）：广播帧传输的网络范围，一般是有路由器来界定边界（router 不转发广播）数据链路层数据链路层：(网桥和交换机)MAC子层：负责MAC寻址和定义解释访问控制方法MAC子层访问控制模式：1．争用式：冲突不可避免：CMSA/CD;FCFS2．轮流式：访问时间可预见，不发生冲突：令牌环LLC子层：为上层协议提供SAP服务访问点，并为数据加上控制信息，就是为与上层通信的时候提供了一个接口。

LLC子层协议：802.2：该协议只在LLC子层，为以太网和令牌环网提供通信功能SAP（server access point服务访问点）LLC子层为了网络层的各种协议提供服务（相应的接口），上层可能运行不同的协议，为区分不同的协议数据，需要采用服务访问点交换机每个端口都是一个冲突域，所有端口都是一个广播域；集线器每个端口都是一个冲突域网络层网络层：提供逻辑寻址功能广播信息控制多点发送信息控制路径优化流量管制逻辑寻址提供W AN连接传输层区分不同的上层应用建立应用间的端到端的链接定义流量控制为数据传输提供可靠或者是不可靠的链接服务（tcp、udp）协议数据单元PDU协议数据单元：（PDU，protocol data unit）简单地说就是表示数据在每层的名字上层：message 数据Transport layer：segment数据段Network layer：packet数据包Data-link layer：frame帧Physical layer：bit比特封装/解封装Llc：逻辑链路控制Fcs：帧校验序列。

CCNA 学习笔记第一章：网络1、网络特性：费用、安全、速度、拓扑、可伸缩性、可靠性、可用性。

同时，网络特性也是设计和维护网络时的因素。

2、连网场所术语：3、广域网服务的连接或电路的基本类型：电路交换、信源交换、分组交换、专用连接。

5、网络及其设备常见的威胁：物理安装（涉及4类威胁：硬件、电子、环境和维护）、侦查攻击、访问攻击和拒绝服务攻击（DoS 攻击）。

第二章：OSI 参考模型1、ISO （国际标准化组织）开发了一个参考模型：开放系统互连参考模型（OSI ）。

OSI 参考模型不是物理模型。

2、OSI 参考模型：⑴应用层：应用层封装了一组协议和服务，应用程序使用它就可以访问网络资源。

即提供了应用程序利用网络所需的协议和服务。

⑵表示层:负责定义信息是如何通过用户正式使用的界面传输并呈现给用户，定义了文本、图形、视频或音频信息的各种格式如何传输到应用层并由应用层使用的。

也就是说：表示层确定数据传输并呈现给用户的方式。

表示层协议和标准的实例包括：ASCII 、BMP 、GIF 、JPEG 、WAV ①SOHO ：用户在家或小型办公室办公 ②Branch office （分布）：LAN ③Mobile users （移动用户）：能从任何位置连网的用户 ④Corporate or central office （公司或总部）：公司中大部分用户所在以及资源存放的位子和MPEG。

⑶会话层：负责网络连接的建立、维持和终止。

实例包括RPC 和NFS。

⑷传输层：负责连接的建立、维持和终止的实际技术细节，提供可靠和不可靠的数据传输。

传输层具有的5个主要的功能：①建立、维持和终止两台设备之间的会话连接。

②可在改连接上提供可靠的或不可靠的数据传输。

③会将数据分为更小的、跟易于管理的多个部分。

④它会多路复用连接，允许同一网络设备上的多个应用程序同时发送和接收数据。

⑤课通过就绪/未就绪信号或窗口操作实现流控制，确保一台设备不会因过多的数据让连接上的其他设备溢出。

1、DMZ：隔离区2、二层攻击①MAC层攻击MAC地址泛洪：攻击者不断变换自己的MAC地址，一直发送，让MAC内存缓存溢出，转发性能大大降低解决：Ⅰ、基于源MAC地址允许流量端口安全，定义未授权地址，定义允许mac地址的个数，定义触发动作Shutdown：err-disable，Restrict：丢帧，发送SNMP trapprotect：丢帧，不发送SNMP trap手动指定MAC地址：动态学习MAC地址：默认也是一个，按上面方法修改Ⅱ、基于源MAC地址限制流量（三层交换机才支持）、拒绝某个vlan的某个mac针对MAC和VLAN两参数Ⅲ、阻止未知单播/组播流量当交换机收到位置单播/组播帧，而cam表中又没有该目的mac地址，正常情况下，是会向所有端口泛洪，但由于某些端口明显不可能是目的主机（如配置了端口安全的端口，只能学习一个mac地址，而又不是该目的mac，不可能是目的主机），没必要向该端口发送。

一般与port security连用②VLAN攻击Ⅰ、vlan hopping（跨越）攻击者pc与交换机端口协商成trunk，能接收到所有的vlan信息攻击者pc与交换机端口协商成trunk，再把数据标记双重vlan造成vlan跨越（基于802.1q）解决：只要把端口设为accessvlan安全：VLAN ACL：一般三层交换机才支持基于源mac、源ip识别，动作有转发、丢弃Ⅰ、基于IPVlan access-map调用ACLMatchAction再基于vlan调用access-mapⅡ、基于mac再清除arp表私有vlan分为primary vlan和secondary vlans，其中secondary vlan又分为隔离vlan和团体vlan，隔离vlan和团体vlan之间不能互访，但他们都能与primary vlan互访，隔离vlan内部不能互访，团体lan内部可以互访端口角色混杂端口：primary vlan端口host端口：隔离端口和团体端口配置要点：（只要在中心交换机上做）交换机VTP模式要设为transparent定义vlan做关联划端口、端口关联③欺骗攻击Ⅰ、DHCP欺骗DHCP先到先得，用第一个收到的回应（ARP是用后收到的）攻击主机伪装成DHCP服务器，pc请求时是广播，如果PC先收到的回应是攻击主机发出的，就被欺骗了解决DHCP snooping：把端口设为trusted或untrusted（默认所有都是untrusted）untrusted：可以收discovery消息，收到offer消息，直接drop；不发任何dhcp消息trusted：可收发任何dhcp消息配置开启DHCP snooping把上行端口和连接可信任的DHCP服务器端口设为trusted客户端：服务端：snooping是基于vlan的在合法的DHCP服务路由上，必须加一条命令，才能发出DHCP消息，为了形成一个绑定表路由器dhcp配置：ip dhcp excluded-address 最低ip 最高ip #不下放的ip段Ip dhcp pool mingziNetwork 192.168.1.0 255.255.255.0Default router 192.168.1.2Dns-service 202.96.128.68Lease 3 默认是1天Ⅱ、ARP欺骗攻击者频繁发送消息，告诉其他pc和路由，自己是网关，让他们指向自己的mac，把所有流量发送到自己解决：临时解决方案：绑定arp路由器上PC上根本解决方法：DAI（dynamic ARP inspection）：动态arp检测，必须结合DHCP snooping，交换机上启用也定义了两种接口Trusted：Untrusted（默认）：不收arp request该端口根据DHCP snooping形成的绑定表，对其发出的arp消息的地址进行查找与对比，如果IP变化了，而mac不变，就把信息丢掉（因为arp攻击者的mac不会变，而ip却经常变）④其他攻击Ⅰ、在不必要的端口关闭CDP：以免接口ip、vlan信息、vtp域名等信息被窥探全局关接口关Ⅱ、设置加密密码Ⅲ、telnet不安全，抓包就能抓到密码，现实内容也全部显示出来解决：用远程登录（show version带K的版本（安全版本）才支持SSH）用路由器名与域名生成RSA（自签名证书）默认允许所有远程登录，如果已经开了ssh，最好只开启这一个远程登录。

1.router,switch和bridge能够划分LAN。

2.router能够包交换，包过滤，网络间通信。

增加路由器能够减少碰撞冲突，但是无法是碰撞消失。

增加路由器使一个网络的广播域增加，但是广播域大小变小。

路由器不转发广播。

3.一个hub的所有接口是一个冲突域，一个广播域。

一个交换机的所有接口是一个广播域，但是每个接口是一个冲突域。

一个路由器的每个接口是一个广播域，也是一个冲突域。

4.增加一个路由器会使一个网络的广播域从一变为二，而这时网段一到网段二的链路层的数据包传输将需要路由，虽然整个网络的传输量减少了（广播域变小），但是网段间的传输效率确实降低了。

由于路由器的增加，冲突将大大减少（见2）。

5.路由器不转发广播，能够基于第三层的信息进行包过滤。

增加任何一个网络设备都会增加时延。

交换机的处理速度快于路由器，因为交换机工作于第二层，而路由器工作于第三层，需要寻找三层目的地址，效率低于交换机。

6.略7.见38.hub支持半双工模式，所有接口是一个冲突域，其接口的主机间通信经常发生碰撞。

9.见310.unicast address 单播地址，是指向一个特定主机发送广播，一般就是一个主机地址。

multicast address组播地址，所有的D段ip都是组播地址，他们不区分网络id和主机id。

eg：172.16.128.255/18她的实际广播地址是172.16.191.255，所以172.16.128.255是一个单播地址。

11.网桥和交换机都工作于第二层，交换机的端口数量一般比网桥多。

12.hub和repeater能够扩大一个网络的覆盖面积。

而交换机，路由器等虽然也能扩大面积但是同时也划分了网络。

13.CDP是一个cisco特有的协议。

为了转发CDP消息，接口必须支持SNAP头部。

任何LAN接口，HDLC,帧中继和ATM都支持CDP。

交换机和路由器都能够发现邻接路由器的三层地址细节，即使没有配置三层协议——因为CDP并不依靠任何三层协议。

CCNA复习知识点第一章：网际互联1、什么是互联网络当用路由器将两个或多个LAN或WAN连接起来，并用协议（如IP）配置逻辑网络寻址方案时，就创建了一个互联网络。

2、网络分段随着网络规模的不断增长，LAN中的流量拥塞会变得让人无法忍受。

解决这个问题的方法是，将一个很大的网络划分为一些小的网络，称为网络分段。

可使用路由器、交换机、和网桥来实现网络分段。

3、广播域所谓广播域是指网段上所有设备的集合，这些设备收听到送往那个网段的所有广播。

4、在网络中使用路由器的好处A：默认时路由器不会转发广播B：路由器可以根据第3层（网络层）信息（比如IP地址）对网络进行过滤5、路由器的四种功能数据包转发数据包过滤网络之间的通信路径选择）模型Application Layer：是实际应用程序之间的接口。

还负责识别并建立想要通信的计算机一方的可用性，并决定想要的通信是否存在足够的资源。

Presentation Layer：为应用层提供数据，并负责数据转换和代码的格式化。

如数据压缩、加密解密、多媒体操作等。

Session Layer ：负责建立、管理和终止表示层实体之间的会话连接。

提供3种不同的方式来组织它们之间的通信，单工、半双工和全双工。

使不同应用程序的数据与其他应用程序的数据保持隔离。

-----------------------------上三层定义了终端系统中的应用程序将如何彼此通信------------------------------------------------下四层定义了怎样进行端到端的数据传输-----------------------------------Transport Layer ：将数据分段并重组为数据流。

在互联网络的发送方主机和目的主机之间建立逻辑连接。

提供的功能有：流量控制、可靠的（面向连接的、窗口机制、确认）或不可靠的通信。

Network Layer ：负责设备寻址，跟踪网络中设备的位置，并决定传送数据的最佳路径，这意味着网络层必须在位于不同地区的互联设备之间传送数据流。

1.1.2 当今最常用的几例通信工具即时消息(IM)以先前的 Internet 中继聊天 (IRC) 服务为基础，同时合并了多个其他功能（如文件传输、语音和视频通信）。

1.3.2 网络要素下图显示了一个典型网络的各个要素，包括设备、介质和服务，它们通过规则结合在一起，共同作用来发送消息。

交换机—用于互连局域网的最常见设备防火墙—为网络提供安全保障路由器—当消息在网络中传输时，帮助定向消息无线路由器—家庭网络中常用的一种路由器网云—用于概述一组网络设备，其详细信息对于后续讨论可能并不重要串行链路—一种 WAN 互连形式，用闪电形状的线条表示协议是网络设备用于彼此通信的规则。

现在，联网的行业标准是 TCP/IP（传输控制协议/Internet 协议）协议族。

TCP/IP 协议指定了格式、编址和路由机制，从而确保消息可传递到正确的收件人。

1.4.1 网络体系结构描述网络体系结构的特征：容错能力、可扩展性、服务质量以及安全性。

1.4.5 提供网络安全保障维护通信完整性使用数字签名、哈希算法和校验和机制可以在整个网络中保证源完整性和数据完整性，从而防止未经授权地修改信息的情况。

2.1.1 通信要素通信的第一步是将消息或信息从一个人或设备发送给另一个人或设备。

人们使用许多不同的通信方式来交流观点。

所有这些方式都有三个共同的要素。

第一个要素是消息来源，即发送方。

消息来源是需要向其他人或设备发送消息的人或电子设备。

第二个通信要素是消息的目的地址，即接收方。

目的地址接收并解释消息。

第三个要素称为通道，包括提供消息传送途径的介质。

2.1.2 传达消息将数据划分为更小、更易于管理的片段，然后再通过网络发送。

将数据流划分为较小的片段称为分段。

消息分段主要有两个优点。

首先，通过从源设备向目的设备发送一个个小片段，就可以在网络上交替发送许多不同会话。

用于在网络上将交替发送的多个不同会话片段组合起来的过程称为多路复用。

第二，分段可以增强网络通信的可靠性。

实验:1. 配置ACL拒绝london去访问Denver采用标准:access-list 1 deny host 10.3.3.1access-list 1 permit any隐藏:access-list 1 deny any2. 配置ACL拒绝london去Ping通Denver(1)配置ACL允许london去telnet到Denver(2)源: 10.3.3.1目标: 172.16.3.1协议: ICMP (Internet Control Message protocol)源端口: None目标端口: None动作: Deny------------------------------------------------源: 10.3.3.1目标: 172.16.3.1协议: TCP源端口: None目标端口: 23动作: Permit-------------------------------------------------access-list 100 deny ICMP host 10.3.3.1 host 172.16.3.1access-list 100 permit TCP host 10.3.3.1 host 172.16.3.1 eq 23access-list 100 permit IP any any标准的访问控制列表应用的位置: 应用在离目标最近的一个接口扩展的访问控制列表应用的位置: 应用在离源最近的一个接口show ip interface serial 0 查看接口的acl的配置show ip access-lists 查看具体的列表条件与匹配信息====================================================================冗余的拓扑,会引起"广播风暴", "多份帧接收", "MAC地址表不稳定".生成树可以避免冗余所带来的环路问题.解决问题的根本: 将冗余的端口置为阻塞状态.处于阻塞状态的接口是不会接收/发送用户数据.=================================================================BPDU : Bridge Protocol Data Unit 桥协议数据单元其中包含：BridgeID = Bridge Priority + MAC addressBPDU 每两秒在交换机之间交换一次．周期性的．=================================================================以太网链路开销：10Gbps 21Gbps 4100Mbps 1910Mbps 100=================================================================1.每个网络选举一个根网桥BridgeID Lowest2.每个非根网桥选举一个根端口1) Bandwidth Cost Lowest 2) Recevied BridgeID Lowest3.每个网段选举一个指定端口BridgeID Lowest1) 根端口不参与指定端口的竞争2) 通常根网桥所有的接口为指定端口4.非指定端口被置与阻塞状态=================================================================生成树端口阻塞-> 侦听-> 学习-> 转发20s 15s 15s=================================================================show spanning-tree brief 查看生成树状态(3500xl)(2950/3550 : show spanning-tree)show spanning-tree interface fastEthernet 0/23 查看接口在生成树中的状态=================================================================了解spanning-tree vlan 1 priority ? 修改交换机的优先级更改接口的cost开销值interface fa0/24spanning-tree vlan 1 cost ??=================================================================VLAN 特性1.A vlan == A broadcast domain == A logic subnet2.不同的VLAN之间是不能直接的通信的.VLAN的特点:1.分段性: 广播域划分2.灵活性: VLAN可以跨越多台交换机3.安全性: 不同的VLAN的通信VLAN的实现方法：1.基于端口的实现, 静态VLAN2.基于MAC地址实现, 动态VLANTRUNK (干道): 使用了特殊的封装机制去传输多个VLAN的数据.=================================================================创建VLANvlan database 进入VLAN的数据库配置模式vlan 10 name cisco 创建一个名叫CISCO的10号VLANvlan 20 创建系统自命名的20号VLANapply 应用相关的配置exit 应用并退出VLAN的数据库配置模式注意: 默认情况下,所有的端口从属于vlan 1(管理VLAN或系统默认VLAN),同时VLAN1是不可以被删除的.将端口加入到指定的VLANinterface fastethernet 0/1 进入到快速以太网0/1接口switchport access vlan 10 将此端口加入到VLAN 10中.end 退出端口配置械=================================================================注意:1900仅支持ISL干道协议2950仅支持802.1Q的干道协议3550支持802.1Q和ISL的干道协议在2950创建一个802.1Q的干道interface fastethernet 0/1 进入fa0/1接口switchport mode trunk 更改接口模式为trunk工作模式在3550创建一个802.1Q的干道interface fastehternet 0/1 进入fa0/1接口switchport trunk encapsulation dot1q 需要选择是何种干道[dot1q|isl]switchport mode trunk 更改接口模式为trunk工作模式show interface trunk 查看当前交换机的TRUNK配置show interfaces fastethernet 0/1 switchport=================================================================VTP Vlan Trunk ProtocolVTP 是一个消息系统.能够确保网络上所有的在相同的管理域下面的交换机的VLAN 配置一致.VTP的消息通告,仅能够在TRUNK上传输.VTP有三种模式:1.Server模式<主>2.Client模式<次>3.TransParent模式<透明>VTP是采用多播方式去进行通告，VTP会每隔5分钟通告一次,即使这里没有任何的变化.VTP的交换机会同步最后一次的配置.=================================================================配置VTPvlan database 进入vlan配置模式vtp domain <string> 配置VTP的域名vtp password <string> 配置VTP的密码vtp server 配置此交换机为server模式[server|client |transparent]vtp pruning 启用修剪exit=================================================================show vtp status 查看VTP的状态=================================================================。

1：正确的理解什么是互连网络?将两个或多个LAN或WAN经过路由器互连起来，并用协议（如IP）逻辑的配置寻址方案，这样就创建了一个互连网络。

2：什么是网络分段network segmentation？网络分段的好处是什么？哪些设备可以实现网络分段？随着网络的不断增大，会使LAN的通信量出现拥塞，用户的响应就会缩小。

我们就可以将这个大的网络划分成若干个小的网络，这就叫做“网络分段”。

我们可以使用路由器、交换机、网桥实现网络分段。

3：引起LAN出现通信量阻塞的原因有哪些？1：在一个广播域中有太多的主机2：广播风暴3：低的带宽4：组播5：为网络的连通性添加集线器6：一个巨大的ARP或IPX通信量4：路由器的根本功能是什么？它的默认功能是什么？使用路由器的好处是什么？路由器的根本功能就是连接不同的网络，将数据包从一个网络路由到另一个网络。

它的默认功能是分割广播域，但它也同时分割冲突域。

路由器的每一个接口都有自己的广播域和冲突域。

使用路由器的两个好处是：它默认可以分割广播域，二是它可以根据第三层信息来过滤网路信息。

5：什么是广播域？什么是冲突域？广播域，是指网段上所有设备的集合。

当一个主机或一个服务器向一个网络上发送广播时，这个网络上的所有主机都会接收并处理这个广播，网络就变慢了。

如果有路由器就不一样了，当路由器的接口在接到这个广播时，路由器就会做出响应，“谢谢，不必了”，并丢弃这个广播包。

冲突域：网络中的某个设备向网络上发送信息时，会迫使网络上的其他所有设备都会注意到这点，同一时刻两个不同设备发送信息时就会出现冲突，此后两个设备都要重发数据包。

这种情况下，网络的效率不高。

所以在同一时刻，只允许一个设备发送信息。

在HUB中就会出现这种情况。

每个主机都连接在HUB上，只有一个冲突域和一个广播域。

交换机每个端口都有自己的冲突域。

6：交换机的功能是什么？交换机的默认功能是什么？交换机和路由器的区别在哪里？交换机不能创建互连网络，交换机的主要功能就是增强LAN的连接，为用户提供更多的带宽。

1.管理距离取值0-255，若管理距离为255，则永远不会加入路由表。

2.有类环境中路由器在数据层面收到一个数据包的查表原则：⏹路由器收到一个数据包，拆开二层帧头和帧尾；⏹提取其三层报头中的目的IPv4地址，将该地址主网化；⏹使用该主网化后的主类地址段和路由表做第一次匹配，查看路由表内是否拥有相同的主类分类；⏹如果有，则在该主类分类内找寻可以转发该报文的明细路由条目，有则转发，无则丢弃（无论该路由器是否有全0.0.0.0/0的缺省路由）；⏹如果没有，则查看该路由表内是否有全0.0.0.0/0的缺省路由，有则使用该路由条目转发，无则丢弃。

3.无类环境中路由器在数据层面收到一个数据包的查表原则：⏹路由器收到一个数据包，拆开二层帧头和帧尾；⏹提取其三层报头中的目的IPv4地址；⏹使用路由表中的每条路由条目的掩码和该目的IPv4地址做布尔逻辑与运算，得出的值和相应路由条目的前缀匹配，如果匹配则使用该路由条目转发；⏹做路由匹配的时候遵循最长匹配原则，如果路由表里所有明细路由条目都无法转发该表问，此时查看路由表内是否有全0.0.0.0/0的缺省路由，如果有，则使用缺省路由转发。

4.在Classful环境中，一台运行DV协议（RIPv1）的路由器在发送路由条目和接收路由条目前的判定原则：⏹发送：●一台路由器通过一个接口发送一条路由条目之前，会优先判定该路由条目的前缀和发送该路由条目的接口的IP地址是否在同一个主类网段；●如果在，则进一步判定该路由条目的掩码和发送接口的掩码是否等长，如果是则直接将该路由条目以明细形式发送出去，反之则直接丢弃；●如果不在，则直接按照该路由条目前缀所对应的自然类（即主类）掩码对该路由条目的前缀做布尔逻辑与运算，将计算后的主类网段路由发送出去（即在主类网络边界自动汇总）。

⏹接收：●一台路由器通过一个接口收到一条路由条目前会优先判定该路由条目的前缀和接收接口的IP地址是否在同一个主类网段；●如果是，则使用接收接口的子网掩码和该路由条目的前缀做布尔逻辑与运算，如果得出的值没有发生改变，则给该路由条目分配接收接口对应的掩码，如果发生改变则给该路由条目分配一个/32的主机掩码；●如果不是，则接收方会使用该路由条目的前缀所对应的自然类掩码和该路由条目的前缀做布尔逻辑与运算，如果得出的值没有发生改变，则给该路由条目赋予其对应的自然类掩码，如果发生改变则给该路由条目分配/32的主机掩码。

CCNA学习笔记（1-4章）封装：封装是在数据上加上包头和将数据中包在里面的过程。

OSI模型的七层协议以及每层的意义：从下往上：物理层：定义了实际的规范以及实际的bit流。

这其中包括电压大小，接口特性等码型编码（电压时序）、电气特性、机械、规程和功能。

常见的物理层接口：RS232(V.24）、v.35、DTE与DCE:DTE网络终端设备，DCE线路终端端接设备，接口，就是用于连接DTE与DCE的数据链路层：提供了物理链路上可靠的传输功能。

涉及到物理寻址和与其相应的逻辑寻址、网络拓扑、网络访问、错误检测、帧的顺序传送以及流量控制等问题。

常见的二层协议有：以太网，令牌环，ISDN，ppp帧中继，802.3的结构中数据帧的格式是：前导符，帧定界符，目的地址，源地址，长度，数据，FCS802.5中的令牌环网中，有两种数据帧，令牌（token）和数据帧（dataframe）MAC地址分由12个16进制数组成，其中前6位是由组织指定的，后面的6位是由厂家自行分配的。

网络层：网络层提供了两台主机之间的连接和路径选择。

常见的协议有：IP IPX appletalk传输层：传输层提供的是一条可靠的点到点的连接，向上屏蔽一切网络上传输的问题。

在发送段将将要发送的数据进行分段，在接收端完成数据段到数据流的重组。

常见的协议有：TCP ISDP SPX会话层：会话层的建立，管理和终止两个通信主机间的会话通信，常见的协议：NFS X-windows表示层：确保一个系统应用层发出的信息能北另一个系统的应用层读取，必要的时候翻译成一种通用的格式，一个标准的任务就是完成加密和解密，常见的的表示层的协议是：jepg TIFF应用层：为用户提供应用程序提供网络服务，如：HTTP TELNET广域网服务：(SLIP)串行线网际协议：是一个合法的物理层的协议，可以在网络之间建立一个串行的连接（RS232)ppp点到点协议：对SLIP进行了改进，以满足以太网的需要。