登錄
登入

心智圖資源庫思科認證CCNA網路基礎知識

思科認證CCNA網路基礎知識

思科認證有CCNA、CCDA、CCNP、CCDP、CCSP、CCIP、CCVP、CCIE（又分為針對路由和交換；語音；儲存網路；安全性；電信業者）等多種不同層級、不同內容、不同方向的各種認證，比較常用的、社會需求量比較大的是CCNA、CCNP、路由交換類CCIE三種認證。本文主要概括思科CCNA網路認知的知識

編輯於2023-06-25 11:38:03

WSCoUtCI

最近的作品檢視更多>>

思科認證CCNA網路基礎知識

WSCoUtCI

最近的作品檢視更多>>

推薦給您
大綱

《設備檔案傳輸與災難性復原》心智圖
- 15
WSUJfrxa
CCNA複習腦圖
- 8
WSCoUtCI

思科認證CCNA網路基礎知識

網路的概念

概念圖

網路實體元件

資源共享功能及其優勢

網路中的使用者應用

E-mail (Outlook POP3 Yahoo 等等）

Web 瀏覽器（ IE Firefox 等等）

即時通訊（ Yahoo IM Microsoft Messenger 等等）

協同工作（ Whiteboard Netmeeting WebEx 等等）

資料庫（檔案伺服器）

使用者應用程式對網路的影響

批量型應用程式

FTP TFTP 、庫存更新等

無需直接的人機交互

頻寬很重要，但不是關鍵

互動式應用程式

人機交互

庫存查詢、資料庫更新

因為人在等待機器的反應，因此反應時間非常重要，但不是關鍵

即時應用程式

VoIP 和視頻

人和人之間的交互

端對端的延遲是關鍵

網路的特性

速率

費用

安全性

可用性

可擴展性

可靠性

拓樸

網路拓撲

物理拓樸的種類

總線拓撲

訊號被總線上的所有設備接收

環形拓撲

訊號沿著環傳播。

單點故障。

雙環拓撲

訊號在相反的方向沿著環傳播。

比單環更具彈性。

星型拓撲

資料透過中心節點傳輸。

單點故障,但不至於象環形那樣一個影響其他

拓展星型拓撲

比星型拓樸更具彈性

部分連接拓撲

平衡容錯性和網路費用

全聯接拓撲

高度容錯、成本昂貴

對比

OSI七層模型

TCP/IP VS OSI模型

OSI參考模型定義每一層的網路功能。

物理層定義關於電的、機械的、程序性的和功能性的規程，用於激活、維持和去激活終端系統間的物理鏈路(線)

資料鏈結層定義資料如何進行格式化後傳輸，並控制如何存取實體媒體。

(Mac位址，交換器)

網路層為兩台主機間提供連通性和路徑選擇，即使它們位於不同位置的網路上

(IP位址，路由器)

傳輸層在發送方主機上分段數據，並在接收方主機上將資料重組。

TCP/UDP協定

會話層建立、管理並終止兩台通訊主機之間的會話。雙工

表示層確保一個系統應用層所發出的訊息能夠被另一個系統的應用層讀懂

影像媒體

應用層為使用者的應用提供網路服務，如e-mail、檔案傳輸和終端仿真

郵件

TCP/IP

TCP/IP是目前使用最廣泛的協議，其流行的原因在於它具有靈活的編址方案、在大部分作業系統和平台上的可用性、擁有豐富的工具、並且需要使用它才能連接到Internet。

TCP/IP協定堆疊包含網路存取層、網路層、傳輸層和應用層。

OSI模型和TCP/IP協定堆疊在結構和功能上是相似的，包括它們的

實體層、資料鏈結層、網路層和傳輸層。

OSI模型將TCP/IP協定棧的應用層分割成三個獨立的層（會話層、表示層和應用層）。

TCP/IP協定

網際協定(IP, Internet Protocol)的特徵

工作在OSI的網路層

無連線協定

每一個資料包是獨立處理的

層次型的編址

盡力傳輸

沒有資料恢復功能

IP PDU頭部

IP位址格式：點分十進位

IP位址範圍

127 (01111111) 是A類位址，保留用於環回測試，不能指派給網路。

私有IP位址-區域網

DHCP

DNS

TCP/IP協定棧中的一種應用將人易讀的名稱翻譯成IP位址的一種方法

TCP/UDP

UDP特徵

工作在OSI和TCP/IP模型的傳輸層

為應用程式提供到網路層的訪問，沒有可靠性機制帶來的額外開銷

是一種無連線協議

提供有限的錯誤檢測

提供盡力傳輸(Best-effort)

沒有資料恢復功能

不可靠，但是效率高

UDP頭部

TCP特徵

工作在TCP/IP的傳輸層

為應用程式提供到網路層的訪問

面向連線協定

全雙工的工作模式

錯誤偵測

資料包的排序

封包接收的確認

資料恢復功能

可靠，但是因需要三次握手而效率低

TCP頭部

三次握手

集線器(HUB)

整個Hub就是一個衝突域，因為所有資料包都被廣播到Hub的每個連接埠

交換器效率比HUB高，因為僅每個連接埠是一個衝突域，訊息傳遞是直接連接埠對連接埠的。

Hub對任何包都給廣播，交換器端口對端口傳遞。但是對廣播數據，交換器仍會廣播到每個端口

 一個分段是指由單一網路線所構成的網路連線。由於訊號的衰減，乙太網路線纜和分段的範圍是有實體距離限制的。  集線器(Hub)可以擴展網路分段；它接收比特流，放大電訊號，並將這些位元透過它的連接埠傳輸給網路中的其他裝置。  若同一時刻一個分段中2個或更多主機同時傳輸數據，將產生衝突，因為Hub就是一整個大衝突域。

交換式LAN技術

橋

工作在OSI模型的第二層

隔離衝突域，不隔離廣播域

更少的連接埠

轉發較慢

交換機

工作在OSI模型的第二層

轉送、過濾或廣播資料幀

更多的端口

轉發快速

區域網路交換器(LAN Switch)

更高的端口密度

更大的資料幀緩衝區

支援不同的連接埠速率

快速的內部交換

交換模式:

直通轉送(Cut-through)

快，不檢查

儲存轉送(Store-and-forward)

慢，存儲，檢查

無碎片轉送(Fragment-free)

直通轉發的一種

滿64 位元組才發

特性

注意

、交換器不管 IP 位址，只管 MAC 位址

、交換器中的 ARP 快取是連接埠到 MAC 位址的映射，與 IP 位址無關

、交換器中的 ARP 快取表借助轉送封包時讀取來源連接埠和來源 MAC 時不斷記錄，而不是透過ARP 廣播去詢問得到

資料幀交換

路由器

對比

VLAN

VLAN = 廣播域(Broadcast Domain) = 邏輯網路(子網路

廣播不會跨越VLAN

思科設備設定方法

支援多種配置方式。網路口，控制口，AUX遠端撥號

配置在裝置記憶體中生效。

思科IOS用戶介面功能

命令列介面(CLI)是用來輸入命令的。  不同設備上操作有所不同。  使用者在控制台(Console)指令模式輸入或黏貼命令。  不同指令模式有不同的提示符號。  回車(Enter)鍵能夠讓設備分析並執行該命令。  兩種主要的EXEC模式分別是使用者模式 (user mode)和特權模式(privileged mode)。

show running-config和show startupconfig指令

生成樹

STP

根橋選擇方法

對比橋ID （小的優先）

比較MAC位址（小的優先）

BLK的選取方法

優先阻塞頻寬低的鏈路

若頻寬相同，則關閉連接埠號碼較高的

配置命令

修改優先權來設定根橋

SW2(config)#spanning-tree vlan 1 priority ? <0-61440> bridge priority in increments of 4096

SW2(config)#spanning-tree vlan 1 priority 4096

查看生成樹優先權

SW2(config)#do show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address aabb.cc00.0600 Cost 100 Port 2 (Ethernet0/1) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address aabb.cc00.0700 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 15 sec Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- ------- ------------------------- Et0/1 Root LRN 100 128.2 Shr Et0/2 Altn BLK 100 128.3 Shr Et0/3 Desg FWD 100 128.4 Shr Et1/0 Desg FWD 100 128.5 Shr Et1/1 Desg FWD 100 128.6 Shr Et1/2 Desg FWD 100 128.7 Shr Et1/3 Desg FWD 100 128.8 Shr Et2/0 Desg FWD 100 128.9 Shr Et2/1 Desg FWD 100 128.10 Shr Et2/2 Desg FWD 100 128.11 Shr Et2/3 Desg FWD 100 128.12 Shr Et3/0 Desg FWD 100 128.13 Shr Et3/1 Desg FWD 100 128.14 Shr Et3/2 Desg FWD 100 128.15 Shr Et3/3 Desg FWD 100 128.16 Shr

MST

設定步驟

MST—一個實例一個生成樹

1、配置實例

2、配置MST版本號

3.配置MST name要一致

配置實例VLANx優先權

配置命令

SW1

SW1(config)#spanning-tree mode mst SW1(config)#spanning-tree mst configuration SW1(config-mst)#instance 1 vlan 1,3,5 SW1(config-mst)#instance 2 vlan 2,4,6 SW1(config-mst)#revision 1 SW1(config-mst)#name MST-1 SW1(config-mst)#exit SW1(config)#spanning-tree mst 1 root primary SW1(config)#spanning-tree mst 2 root secondary

SW1

SW2(config)#spanning-tree mode mst SW2(config)#spanning-tree mst configuration SW2(config-mst)#instance 1 vlan 1,12,3 SW2(config-mst)#instance 2 vlan 2,4,6 SW2(config-mst)#revision 1 SW2(config-mst)#name MST-1 SW2(config)#spanning-tree mst 2 root primary SW2(config)#spanning-tree mst 1 root secondary

查看MST配置資訊

SW2(config-mst)#show current Current MST configuration Name [MST-1] Revision 2 Instances configured 3 Instance Vlans mapped -------- ------------------------------------------ --------------------------- 0 11,13-4094 1 1,3,5,7,9,12 2 2,4,6,8,10 -------------------------------------------------- -----------------------------

PVST 與PVST-可以相容，PVST與MST不相容（MST基於實例生成樹，PVST基於VLAN生成樹，所以二者不可兼得

查看命令

生成樹查看指令

do show spanning-tree

生成樹安全（BPDU保護）

BPDU guard

access介面過濾BPDU，只要違反規則就會被過濾

IOU1(config)#int e0/0 IOU1(config-if)#switchport mode access IOU1(config-if)#spanning-tree bpduguard enable

BPDU filter

access介面過濾BPDU，收到BPDU預設過濾，但介面狀態不受影響

IOU1(config)#int e0/0 IOU1(config-if)#switchport mode access IOU1(config-if)#spanning-tree bpdufilter enable

root guard

根橋防護，在區域網路所有交換器的trunk上做

IOU1(config)#int e0/0 IOU1(config-if)#spanning-tree guard root

鏈路聚合技術

設定步驟

把需要做聚合的連接埠關閉

選擇聚合協議(手動 on / 自動 lacp）

開啟連接埠

（三層）關閉二層端口

（三層）配置IP位址

二層設定指令

SW2(config)#int ran e0/0-1 SW2(config-if-range)#shutdown SW2(config-if-range)#channel-group 1 mode on SW2(config-if-range)#no shutdown

三層設定指令

SW2(config)#int ran e0/0-2 SW2(config-if-range)#shutdown SW2(config-if-range)#channel-group 1 mode on Creating a port-channel interface Port-channel 1 SW2(config-if-range)#no shutdown SW2(config-if-range)#exit SW2(config)#int port-channel 1 SW2(config-if)#no switchport SW2(config-if)#ip address 192.168.1.1 255.255.255.0 SW2(config-if)#exit

交換器的故障排除

採用分層思想進行故障排除

交換器工作在OSI模型的第二層。

交換器提供物理介面。

交換器的問題通常表現在第一層和第二層。

存取交換器的管理功能時可能涉及到第三層問題。

交換器介質問題

介質問題通常源自於以下幾種可能性:

線纜損壞。

出現新的電磁幹擾源

TEMPEST

流量模式改變。

安裝新的設備。

過多的噪音

建議步驟：

使用 show interface 指令查看設備的 Ethernet 介面狀態。若輸出信

息顯示大量的CRC錯誤但是沒有很多的衝突，則意味著過多的噪音。

檢查線纜是否有損壞。

如果使用 100Base-TX ，則確認是否使用5類或超5類線纜。

遲衝突(

Late Collision

建議步驟：

使用協議分析器檢查遲衝突。在正確設計的乙太網路中不可能發生遲衝突。

遲衝突經常發生在以太網線太長或網路中存在太多的中繼器的情況下。

檢查一個分段中第一台和最後一台主機間的距離。

雙工問題（重要）

雙工模式：

一端設定為全雙工而另一端設定為半雙工，將導致錯誤。

一端設定為全雙工而另一端設定為自動協商：

如自動協商失敗，另一端將工作在半雙工模式

導致錯誤。

一端設定為半雙工而另一端設定為自動協商：

如自動協商失敗，另一端將工作在半雙工模式。

兩端均工作在半雙工，無錯誤。

兩端均設定為自動協商：

如協商失敗，一端工作在全雙工，另一端工作在半雙工。例如：

一個1G乙太網路介面預設工作在全雙工模式，而10/100M乙太網路介面預設工作在半雙工模式。

如協商失敗，雙方工作在半雙工模式。

兩端均為半雙工，無錯誤。

速率問題

速率模式:

一端設定成某種速率而另一端設定成另一種速率導致錯誤。

一端設定成較高的速率而另一端設定自動協商。

若自動協商失敗，配置為自動協商的一端將工作在它所能支援的最低速率

導致錯誤。

兩端均設定為自動協商：

兩端自動協商失敗，則雙方均工作在它所能支援的最低速率。

無錯誤

防火牆

預設連接埠

註冊埠

0-1023: 由IANA控制, 為已知服務所保留

1024-49151: 由IANA列出的已註冊的端口, 由普通用戶

執行的普通使用者進程或程式可以使用這些連接埠.

49152-65535: 動態和(或)專用連接埠.

駭客最偏好445端口

防火牆（重點）

防火牆體系結構

UTM

WAF

應用防火牆（WAF）和抗拒絕服務網關

Web應用防火牆是透過執行一系列針對HTTP/HTTPS的安全性策略來專門為

Web應用提供保護的一款產品。

WEB應用防火牆部暑於入口網站伺服器群組的前端，

透過抗掃描、防注入、防跨站腳本、防後門攻擊等安全策路加強門戶網站的安全防護能力，最大限度的杜絕網站被駭客入侵的可能

抗拒絕服務攻擊網關能夠及時發現背景流量中各種類型的攻擊流量，

針對攻擊類型迅速對攻古流量進行攔截，確保正常流量的通過。

NGFW

Gartner最快在2009年被定義為NGFW：

必須有標準的防火牆功能，

如網路位址轉換，狀態偵測，VPN和大企業需要的功能如-IPS、AV、

行為管理等功能PAN 是NGFW的始作佩者，並引入了App、 User、 Ccontent的概念

防火牆的4個規則

• Silent rule • 靜默規則，不記錄垃圾日誌和不重要的日誌，降低日誌量 • Stealth rule • 隱形規則，禁止非授權系統存取防火牆軟體 • Cleanup rule • 清理規則，將違反前面規則的行為記錄下來，是最後一個基本規則 • Negate rule • 否定規則，不允許管理員在防火牆裡設定any的廣泛規則，嚴格限制哪些系統可存取和如何存取

ACL

ACL應用

允許(Permit)或拒絕(Deny)流經路由器的封包。

允許或拒絕透過vty線路存取路由器。

若沒有使用ACL，封包將能夠被傳輸到網路中的任何部分

ACL原理

ACL配置

關鍵字

192.168.1.1 0.0.0.0，可以使用前面關鍵字的IP位址（host 192.168.1.1）來縮寫

0.0.0.0 255.255.255.255 忽略掉所有哦位址位，可用關鍵字any來縮寫表達式

in 入介面

out 出接口

標準ALC （1-99）

允許單一網段通過

R2(config)#access-list 1 permit 192.168.1.0 0.0.0.255 R2(config)#int e0/0 R2(config-if)#ip access-group 1 out

拒絕特定主機

config)#access-list 1 deny 192.168.1.2 0.0.0.0

config)#access-list 1 permit 0.0.0.0 255.255.255.255

允許除192.168.1.2外的所有主機（隱藏式拒絕所有）

config)#int e0/0

config-if)#ip access-group 1 out

拒絕特定網段

config)#access-list 1 deny 192.168.1.0 0.0.0.255

config)#access-list 1 permit any

config)#int e0/0

config-if)#ip access-group 1 out

控制VTY訪問

config)#access-list 1 permit 192.168.1.0 0.0.0.255

config)#line vty 0 4

config-vty)#access-class 1 in

命名ACL實例

config)#ip access-list standard name-acl

config-std-nacl)#deny host 192.168.1.1

config-std-nacl)#permit 192.168.0.0 0.0.255.255

config-std-nacl)#int e0/0

config-if)#ip access-group name-acl out

擴展ACL （100-199）

拒絕從特定網段流出的FTP流量

config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 21

config)#access-list 101 permit ip any any （允許除上外的所有通過）

config-std-nacl)#int e0/0

config-if)#ip access-group 101 out

NAT和PAT

網路位址轉換 (NAT，Network Address Translation)

 一個IP位址是本地或全域的。  本地(Local)IPv4位址僅在內部網路可見。  全域(Global)IPv4位址在外部網路可見

連接埠位址轉換 (PAT，Port Address Translation)

轉換內部(Inside)網路的來源位址

配置並檢查靜態NAT

ip nat inside source static local-ip global-ip

配置一個內部本機位址(inside local address)和一個內部全域位址 (inside global address)的靜態轉換關係。

ip nat inside

 標識此介面連接到內部網路(inside)

ip nat outside

 標識該介面連接外部網路(outside)

show ip nat translations

查看NAT轉換表

S-NAT

S-NAT（多對一）

config)#access-list 1 permit 192.168.1.0 0.0.0.255

config)#ip route 0.0.0.0 0.0.0.0 S2/0

config)#ip nat inside source list 1 interface S2/0 overload

S-NAT(多對多）

config)#ip nat source list 1 pool x-name

config)#ip nat pool x-name 172.16.16.1 172.16.16.2 netmask 255.255.255.0

S-NAT（靜態NAT）

config)#ip nat inside source ststic 192.168.1.1 172.16.16.1

ip nat 內部來源靜態內部網路位址外網位址

S-NAT（靜態PAT）

config)#ip nat source static tcp 172.16.16.2 80 int e0/0 80

ip nat 來源靜態服務外網位址連接埠號碼內部網路接入口內部網路對應埠

身份驗證協議

PPP驗證協議

PPP概述

 PPP使用LCP協定來控制連結參數的協商。  使用NCP協議，PPP能夠承載多種網路層協議

PPP會話的建立過程：

鏈路建立階段(由LCP協定協商)

驗證階段(可選)

存在2種PPP驗證協定：PAP和CHAP

網路層協定階段(由NCP協定協商)

PAP

 密碼以明文在線上發送  兩次握手(即透過2個訊息完成驗證)  無法防止重播攻擊

CHAP

 在線上發送的並非實際的密碼，而是雜湊(Hash)值，因為兩邊事先已經設定好一樣的密碼了，因此只要驗證Hash值即可，雖然username不同，但只驗證密碼。  三次握手(即透過3個訊息完成驗證)

 中央路由器會質詢遠端路由器，質詢呈現形式是加密金鑰，每個連線都唯一。遠端路由器用這個金鑰加密使用者名稱和密碼，提交給中央路由器。中央路由器收到後用發給那個連線的金鑰解密，驗證。

對比