網絡工程師考試總結1.（1）、HFC的基本結構：電視頭端（接受各種信源的電視頻道）、長距離干線（高質量的同軸電纜）、放大器、饋線與下引線（普通的CATV同軸電纜）組成。傳統有線電視網絡重的放大器是單向地從頭端傳輸到用戶的模擬信號。經雙向傳輸改造，雙向傳輸服務成為可能。光纖結點通過同軸電纜下引線可以為500-2000個用戶服務。HFC改善了信號質量，提高了傳輸的可靠性，線路可以使用的帶寬甚至高達1GHz電話撥號上網的速率一般是36.6-56.6kbps；本地電話公司提供的ISDN的速率是128Kbps；使用ADSL專線上網的速率是1.8Mbps,傳輸距離不超過5km，使用CableModem，通過有線電視寬帶接入Internet的，數據傳輸速率可達10-36Mbps有線電視網絡主要的優點是頻帶寬、速度快，主要的缺點是存在回傳信道干擾，多用戶對有限帶寬的爭用影響接入速率、建設和雙向改造的造價高。（2）、電纜調制解調器CableModem的分類：電纜調制解調器CableModem是一種專門利用有線電視網絡進行數據傳輸設計的，它把計算機與有線電視同軸電纜連接起來，利用頻分復用的方法將雙向信道分為上行信道（帶寬為200Kbps-10M）和下行信道(帶寬最高可達36Mbps)。分類：從傳輸方式上分為雙向對稱式和非對稱式，對稱式速率為2-4Mbps，最高為10Mbps,非對稱式速率為下行30Mbps，上行為500kbps-2.56Mbps.從數據傳輸方向上可以分為雙向和單向。從同步方式上可以分為同步和異步交換兩類。同步類似于Ethernet網，異步交換類似于ATM技術。從接入的角度可以分為個人CableModem和寬帶多用戶CableModem（具有網橋功能，可以將一個計算機局域網接入）。從接口的角度分為外置式（缺：通過網卡連接計算機）、內置式和交互式機頂盒三種。2.802.11定義了使用紅外、調頻擴頻、直接序列擴頻技術，傳輸速率為1或2Mbps的無線局域網標準。802.11b定義了使用直序擴頻技術，傳輸速率為1Mbps、2Mbps、5.5Mbps、11Mbps的無線局域網標準。802.11a將傳輸速率提高到了54Mbps.802.11定義了物理層和媒體訪問控制MAC協議的規范802.11定義了兩種類型的設備：無線結點（由一臺接入設備上加一塊無線接口卡構成）和無線接入點（作用是提供無線和有線網絡之間的橋接，由一個無線輸出口和一個有線的網絡接口（802.3接口）構成，橋接軟件符合802.1d協議）。802.11最初定義的三個物理層包含了兩個擴頻技術和一個紅外傳播規范，無線傳輸的頻率定義在2.4G的ISM波段內，這個頻段屬于非注冊使用頻段。擴頻技術保證了802.11的設備在這個頻段上的可用性和高可靠性的吞吐量，可以保證同其他使用同一頻段的設備相互不影響。802.11標準定義的傳輸速率為1Mbps 和2Mbps，可以使用FHSS(調頻擴頻和)DSSS（直序擴頻）技術，兩者在運行機制上完全不同，使用這兩種技術的設備沒有互操作性。802.11無線局域網協議中，沖突檢測存在“Near/Far”（檢測沖突）現象，所以采用了新的協議CSMA/CA或者DCF(分布式協調功能)，利用ACK信號來避免沖突。（只有當客戶端受到網絡上返回的ACK信號以后才能確認發送的數據已經正確的到達目的）。另外一個MAC層的問題是“hiddennode”問題，為此802.11引入了一個Send/Cleartosend(RTS/CTS)選項。在802.11協議中，每一個在無線網絡中傳輸的數據報都被附加上了校驗位以保證他在傳輸中不會出現錯誤。802.11還具有分片的功能。802.11b運作模式分為點對點模式（最多可連接256臺主機）和基本模式（無線網絡擴充和有線網絡并存時，插上無線網卡的PC通過接入點與另一臺PC相連，一個接入點最多可連接1024臺PC）。802.11b的典型解決方案：對等解決方案、單接入點解決方案（接入點相當于有線網絡中的集線器，無線接入點可以連接周邊的無線網絡終端，形成星形網絡結構，同時通過10base-t端口與有線網絡相連，所有無線終端都能訪問有線網絡的資源，并可通過路由器訪問Internet）、多接入點解決方案(網絡規模較大，超過了單個接入點的覆蓋范圍，就得采用多個接入點)、無線中繼解決方案、無線冗余解決方案（兩個接入點放在同一位置）、多蜂窩漫游工作方式。3）.寬帶城域網保證服務質量要求的技術主要有：資源預留RSVP、區分服務DiffServ與多協議標記交換MPLS.服務質量主要體現在延時、抖動、吞吐量和包丟失率。管理和運營寬帶城域網的關鍵技術主要有：帶寬管理、網絡管理、用戶管理、服務質量Q0S、統計與計費、IP地址的分配與地址轉換、網絡安全。寬帶城域網在組建方案中，一定要按照電信運營級的要求，考慮設備冗余、線路冗余、路由冗余、系統故障的快速診斷和自動修復。同時寬帶城域網必須充分的考慮網絡攻擊的問題。4）彈性分組環RPR是直接在光纖上高效傳輸IP分組的傳輸技術。其標準是802.17環形結構是目前城域網的主要拓撲構型彈性分組環RPR采用雙環結構，這一點與FDDI結構相同。兩個RPR結點之間裸光纖間的距離可達100km，其中順時針傳輸的光纖叫外環，逆時針傳輸的光纖叫內環。內環和外環都可以采用統計復用的方法傳輸IP分組，同時可以實現“自愈環”的功能。內環和外環都可以傳輸數據分組和控制分組。每一個結點都可以使用兩個方向的光纖與相鄰結點通信。RPR技術主要的特點：帶寬利用率高、公平性好（每一個結點都執行SRP公平算法、加權公平法則和入口、出口速率限制）、快速保護和恢復能力強（50ms可以隔離出故障的結點和光線段）、保證服務質量（優先級）。路由器背板交換能力大于40G的稱為高端路由器，低于40G的稱為中低端路由器。高端路由器一般用作核心層的主干路由器，企業級路由器一般用作匯聚層的外部網關協議BGP是不同自治系統的路由器之間交換路由信息的協議。BGP-4采用了路由向量路由協議，在配置BGP時，每個自治系統的管理員要選擇至一個路由器作為自治系統的“BGP發言人”，一系統的BGP發言人要與另一個系統的BGP發言人要交換路由就要先建立TCP連接，然后再此連接上交換BGP報文以此建立BGP會話。每個BGP發言人除了運行BGP協議外還必須運行該自治系統所使用的內部網關協議。BGP協議交換路由信息的結點數是以自治系統數為單位的。在BGP剛剛運行時，BGP邊界路由器與相鄰的BGP邊界路由器交換整個BGP路由表，但只要發生變化時只更新變化的部分。BGP路由選擇協議的四種分組：打開open、更新update、保活keepalive、通知notification。撤銷路由可以以此撤銷很多條，而增加新路由時，每個更新報文只能增加一條。13.路由表的建立：當路由表剛啟動時，對其（V,D）路由表進行初始化。初始化的路由器只包含與該路由器直接相連的網絡的路由。初始（V,D）路由表中各路由的距離都為0.路由表信息的更新：在路由表建立之后，各路由器周期性地向外廣播其（V,D）路由表的內容。Router1接受到Router2發送的（V,D）報文，按照如下的規則更新路由表：Router1中沒有這一項，Router在路由器中增加這一項，由于要經過Router2轉發，距離D要加1。如果Router1中距離1比Router2中該項距離值加1還要大，則要修改該表項，其距離值應該是Router2中距離值加1.路由信息協議要求路由器周期性地向外發送路由刷新報文。路由刷新報文主要內容是由若干個（V,D）構成。（V,D）表中V代表矢量（Vector）,標識該路由器可以達到的目的網絡或目的主機；D代表距離（distance），指出該路由器到達目的網絡或目的主機的距離。距離D對應該路由器上的跳數（hopcount）。其他路由器在接收到某個路由器的（V,D）報文后，按照最短路徑原則對各自的路由表進行刷新。與RIP相比較，OSPF具有以下特點：OSPF使用的是分布式鏈路狀態協議而RIP使用的是距離向量協議。OSPF協議要求路由器發送的信息是本路由器和哪些路由器相鄰，以及鏈路狀態的度量（費用、距離、延時、帶寬）。OSPF要求當鏈路狀態發生變化是使用洪泛法向所有路由器發送信息，而RIP只向相鄰的幾個路由器發送信息。所有的路由器都最終能建立一個鏈路狀態數據庫，這個數據庫實際上就是全網的拓撲結構圖，且在全網范圍內保持一致。RIP雖然知道到所有網絡的距離和下一跳路由器，但不知道全網的拓撲結構。為了適應規模很大的網絡，是其更新過程收斂速度更快，OSPF協議將一個自治區域劃分為若干個更小的范圍，叫做區域。每個區域有一個32位的區域標識符（點分十進制），在一個區域內的路由器的個數不超過200個。劃分區域的好處是將利用洪泛法將鏈路狀態信息的范圍局限在每一個區域內而不是整個自治系統。因此每一個區域內部的路由器只知道該區域內的完整拓撲結構而不知道其他區域的網絡拓撲結構。為了使每一個區域都和其他區域進行通信，OSPF協議使用層次結構的區域劃分。它將一個自治系統內部分成主干區域和若干區域。主干區域的路由器稱為主干路由器，連接各個區域的路由器叫做區域邊界路由器。在主干區域內還要有一個路由器專門和該自治系統之外的其他自治系統交換路由信息，這樣的路由器叫做自治系統邊界路由器。OSPF協議執行過程中路由器的初始化過程中OSPF讓每一個路由器用數據庫描述分組和相鄰路由器交換本數據庫中已有的鏈路狀態摘要信息。在網絡運行過程中由于一個路由器的鏈路狀態只涉及相鄰路由器的狀態信息，因而與整個Internet的規模無關。交換機的分類：交換機按多支持的局域網標準可以分為以太網交換機、FDDI交換機、ATM交換機、令牌環交換機。根據交換機所支持的傳輸速率和介質標準，以太網交換機可以分為快速以太網交換機（100Mbps）、千兆以太網交換機(1Gbps)、萬兆以太網交換機(10Gbps)。按交換機的架構可以分為單臺交換機、堆疊交換機、箱體模塊化交換機。按交換機工作在OSI參考模型的層次分類：工作在數據鏈路層的二層交換機（沒有路由功能），工作在網絡層的三層交換機，工作在傳輸層的四層交換機和多層交換機。16.綜合布線系統常用的傳輸介質有雙絞線和光纜。雙絞線扭絞的目的是使對外的電磁輻射和遭受外界的電磁干擾減少到最小。UTP是非屏蔽雙絞線，STP具有屏蔽作用。連接硬件包括主件的連接器（適配器），成對連接器及接插軟線，但不包括某些應用系統對綜合布線系統用的連接硬件，也不包括有源或無源電子線路的中間轉接器或其他器件。綜合布線采用的主要的連接部件分為建筑群配線架CD、大樓主配線架BD、樓層配線架FD、轉接點TP、通信引出端TO。FD和TP之間的水平線纜的最大長度不要超過90米。信息插座大致可以分為嵌入式安裝插座（雙絞線）、表面安裝插座、多介質信息插座（銅纜和光纖）。17.BPDU數據包又兩種類型，一種是包含配置信息的配置BPDU（不超過35個字節），另一種是包含拓撲變化信息的拓撲變化通知BPDU（不超過4個字節）。配置BPDU中包含的BridgeID是選取根網橋和根交換機的主要依據。BridgeID最小的為根網橋或根交換機。BridgeID與RootID相同，他們都用8個字節表示，BridgeID有兩個字節的優先級和六個字節的交換機MAC地址組成。優先級的取值范圍為0-61440，增量是4096，值越小，優先級越高，一般交換機的默認設置為32768。BPDU攜帶了實現生成樹協議算法的有關信息，包括RootID、RootPathCost、BridgeID、PortID、Hellotime、MaxAge等。18.在交換設備之間實現Trunk功能，必須遵守相同的VLAN協議。IEEE802.1Q可以使不同廠商的交換設備互連在一起，并提供Trunk功能，使網絡更具開放性。虛擬網VLAN是以交換式網絡為基礎，把網絡上終端設備劃分為若干個邏輯工作組，每個邏輯工作組就是一個VLAN。它是一個獨立的邏輯網絡，具有單一的廣播域，不受實際交換機區段的限制，也不受用戶實際物理位置和物理網段的限制。邏輯組的設定是在軟件中完成的。虛擬網技術提供了動態組織工作環境的功能。VLAN的技術特征：工作在數據鏈路層。每個VLAN都是一個獨立的邏輯網段，一個獨立的廣播域。VLAN的廣播信息只發送給同一個VLAN的成員，不發送給其他VLAN的成員。每個VLAN都是一個獨立的邏輯網絡，他們都又唯一的子網號，VLAN之間不能直接通信，是因為必須通過第三層的路由功能，而它只工作數據鏈路層。VLAN通常用VLANID(VLAN號：由12位組成，可以支持4096個VLAN,1~1005是標準范圍，1025~4096是擴展范圍，可用于以太網的是2~1000，FDDI和TokenRing的是1002~1005）和VLANname(VLAN名：32位標識符組成，可以是字母和數字)來標識,1是缺省VLAN,只能使用但不能刪除它。VLANTrunk（虛擬局域網中繼技術）是交換機和交換機之間或交換機和路由器之間存在一條物理鏈路，而在這一條物理鏈路上傳輸多個VLAN信息的技術。VLANTrunk的標準機制是幀標簽。幀標簽為每個幀指定一個唯一的VLANID作為識別碼，表明該幀是屬于哪個VLAN的。它在傳送數據幀到達網絡主干時，會在每個幀的表頭中放置一個唯一的識別碼，交換機會解析與測試識別碼。當數據幀從網絡主干轉發至目標終端之前，交換機先除掉這個識別碼。劃分VLAN的方法：基于端口劃分VLAN(靜態VLAN)基于MAC地址劃分VLAN（動態VLAN）：連接到每個交換設備的MAC地址。需要一個保存VLAN管理數據庫的VALN配置服務器。基于第三層協議類型或地址（動態VLAN）VTP是VLAN中繼協議，也稱VLAN干道協議。VTP具有三種工作模式：VTPServer（維護VTP域中所有VLAN表信息，可以建立、刪除或修改VLAN）、VTPClient(維護所有VLAN表信息，VLAN配置信息是從VTPServer中學到的，可是他不能建立、刪除和修改VLAN)、VTPTransparent（相當于是一個獨立的交換機，不從VTPServer學習VLAN的配置信息，不參與VTP工作，只擁有本設備上維護的VLAN配置信息，可以建立、刪除或修改本機上的VLAN）。配置vtp域名：1.進入全局配置模式Switch-PHY-3548#configtSwitch-PHY-3548(config)#2.配置vtp域名Switch-PHY-3548#vtp domainpku(設置vtp域名為pku)配置vtp工作模式：Switch-PHY-3548(config)#vtpmodeserverSwitch-PHY-3548(config)#vtpmodeclientSwitch-PHY-3548(config)#vtpmodetransparent建立和刪除VLAN：1.建立VLAN進入VLAN配置模式Switch-PHY-3548#vlandataSwitch-PHY-3548(vlan)#建立VLANSwitch-PHY-3548(vlan)#vlan1000namevlan1000退出并返回特權用戶模式Switch-PHY-3548(vlan)#exit2.刪除Switch-PHY-3548(vlan)#VLANnovlan10003.修改VLANSwitch-PHY-3548(vlan)#vlan1000namevlan1000為交換機端口分配VLAN:進入交換機端口配置模式Switch-PHY-3548#configuretSwitch-PHY-3548(config)#intfo/24Switch-PHY-3548(config-if)#為端口分配VLANSwitch-PHY-3548(config-if)#switchportaccessvlan248VLANtrunk的配置：進入交換機接口配置模式Switch-PHY-3548#configuretSwitch-PHY-3548(config-if)#intfo/24配置VLANtrunk模式Switch-PHY-3548(config-if)#switchportmodetrunk【settrunk5/1ondot1q】封裝VLAN協議Switch-PHY-3548(config-if)#switchporttrunkencapsulationdot1qSwitch-PHY-3548(config-if)#switchporttrunkencapsulationislSwitch-PHY-3548(config-if)#switchporttrunkencapsulationnegotiateP(自動協商)設置允許中繼的VLANSwitch-PHY-3548(config-if)#switchporttrunkallowedvlan10,14Switch-PHY-3548(config-if)#switchporttrunkallowedvlan10-24Switch-PHY-3548(config-if)#switchporttrunkallowedvlanexcept100-1000【settrunk5/1vlan37-42在端口5/1的允許VLAN列表中添加37~42號VLAN】【cleartrunk5/243-36從端口5/24的允許VLAN列表中清除3~36VLAN】19.略20.生成樹協議STP是一個二層鏈路管理協議，他的主要功能是保證網絡中沒有回路的情況下，允許在二層鏈路中提供冗余路徑，以保證網絡可靠、穩定的運行。目前最流行，應用最廣泛的STP協議是IEEE.1D標準。STP的基本工作原理是：通過在交換機之間傳遞網橋協議數據單元BPDU，并用生成樹算法對其進行比較計算。BridgeID有兩個字節的優先級和六個字節的交換機MAC地址組成。優先級的取值范圍為0-61440，增量是4096，值越小，優先級越高，一般交換機的默認設置為32768。當優先級相同時，那么就要根據MAC地址決定根網橋，MAC地址小的路由器就是根網橋。21.路由器的基本功能是路由選擇和分組轉發。路由選擇的核心是確定下一跳路由器的IP地址。路由選擇算法根據各自的判斷準則為網絡上的路由產生一個權值，權值越小路由越佳。路由表的內容主要有目的網絡地址、下一跳路由器地址和目的端口、缺省路由信息。缺省路由又稱缺省網關，它是配置在主機上的TCP/IP屬性的一個參數。缺省網關是與主機在同一個子網的路由器的端口的IP地址。在數據分組通過每一個路由器轉發時，分組中的目的MAC地址是變化的，但它的目的網絡地址是不變的。22.路由器的硬件構成：CPU(中央處理器)、Memory（內存）、Storage（存儲器）和Interface（接口）。路由器的軟件為互聯網操作系統IOS組成。CPU負責實現路由協議、路徑選擇計算、交換路由信息、查找路由表、分發路由表、維護各種表格以及轉發數據包。路由器內存用于保存路由器配置、路由器操作系統、路由協議軟件等。路由器內存主要有：只讀內存ROM(永久保存路由器的開機診斷程序、引導程序和操作系統軟件，主要任務是完成路由器的初始化進程，具體包括路由器啟動時的硬件診斷，裝入路由器操作系統IOS)、隨機存儲器RAM（存儲路由表、快速交換緩存、ARP緩存、數據分組緩沖區和緩沖隊列、運行配置文件，以及正在執行的代碼和一些臨時數據信息。）、閃存Flash（存儲當前使用的操作系統映像文件和一些微代碼）、非易失隨機存儲器NVRAM（存儲啟動配置文件和備份配置文件）路由器接口主要有局域網接口、廣域網接口和路由器配置接口。IP地址的動態分配使用動態主機配置協議DHCP，但仍然不能解決IP地址的沖突問題。DHCP采用的是客戶機/服務器（Client/Server）工作模式DHCP服務器主要完成兩個功能：建立和管理IP地址池，接受并處理用戶提出的DHCP請求。DHCP客戶端的主要功能是提交DHCP請求。DHCP協議允許使用備份DHCP服務器的功能。DHCP客戶從DHCP服務器申請IP地址的步驟是：客戶機發送一個“DHCPDISCOVER”廣播包給服務器，服務器用一個“DHCPOFFER”單播數據包給予應答，并提供客戶機所需的TCP/IP的屬性配置參數（IP地址、子網掩碼、缺省網關、域名和域名服務器的IP地址）。然后主機發送一個“DHCPREQUEST”廣播包給服務器，確認與此服務器建立地址租借關系，并通告其他的DHCP服務器。正常情況下，服務器會恢復一個“DHCPACK”廣播包給客戶機，這是一個確認相互關系的應答包。DHCP客戶機廣播“DHCP發現”消息時使用的源IP地址是路由器交換機上DHCPIP地址池的配置內容：IP地址池的子網地址和子網掩碼、缺省網關、域名和域名服務器的IP地址、IP地址的租用時間和取消地址池沖突記錄日志等參數。在全局配置模式下，配置IP地址池的名稱，并進入DHCPPool配置模式。Router(config)#ipdhcppooltttRouter(dhcp-config)#Router(config)#ipdhcppool234Router(dhcp-config)#在DHCPPool配置模式下配置子網地址和子網掩碼的方法是：network<網絡地址><子網掩碼>Router(dhcp-config)#networkRouter(dhcp-config)#Router(dhcp-config)#network/24Router(dhcp-config)#配置不用于動態分配的IP地址是在全局配置模式下Router(config)#ipdhcpexcluded-address0（排除從到0的一段IP地址）Router(config)#Router(config)#ipdhcpexcluded-address11(排除單個IP地址)Router(config)#配置IP地址池的缺省網關：在DHCPPool配置模式下Router(dhcp-config)#default-router命令中的網關地址最多允許配置8個。Router(dhcp-config)#配置IP地址池的域名：在DHCPPool配置模式下Router(dhcp-config)#domain-nameRouter(dhcp-config)#配置IP地址池的域名服務器的IP地址：在DHCPPool配置模式下Router(dhcp-config)#dns-serveraddress76【第一個是主域名服務器的IP地址后面的一個是輔助域名服務器域名的IP地址】Router(dhcp-config)#配置IP地址池的租用時間：設置租用時間為5個小時在DHCPPool配置模式下Router(dhcp-config)#lease05【可以以日、時、分、秒為單位也可以設置為無限時間infinite】Router(dhcp-config)#取消地址沖突記錄日志：在全局配置模式下Router(config)#noipdhcpconflictlogging24.訪問控制列表主要有兩種類型，一種是標準訪問控制列表，另一種是擴展訪問控制列表。標準訪問控制列表只能檢查數據包的源地址。標準訪問控制列表的表號范圍是1~99，后來擴展到1300~1999.擴展訪問控制列表可以檢查數據包的源地址和目的地址，還可以檢查制定的協議、端口號。擴展訪問控制列表的表號為100~199，后來擴展到2000~2699。在配置訪問控制列表時，“access-list”只能使用表號標識列表，而“ipaccess-list”既可以使用表號，也可以使用名字標識一個訪問控制列表。在配置了訪問控制列表之后，還必須配置其相應的接口才能控制數據流的流入或流出。在配置過濾準則時，要特別注意ACL的語句順序。在配置訪問控制列表的源地址和目的地址時，在允許和拒絕的IP地址后面，有一個參數是wildcard-mask-通配符（或通配符掩碼）的意思，為32位二進制表示，實際上是掩碼的反碼。通配符作用是指出訪問控制列表過濾的IP地址范圍。通配符為0表示檢查相應的某位，通配符為1表示忽略，不檢查相應的某位。配置訪問控制列表的具體步驟是：首先是定義一個標準的或是擴展的訪問控制列表，然后為訪問控制列表配置過濾準則，最后在配置訪問控制列表的應用接口。配置標準訪問控制列表：在全局配置模式下：Router(config)#access-list10permit55Router(config)#配置應用接口：Router(config)#linevty05Router(config-line)#access-class10inaccess-class是控制路由器發起的telnet會話，不進行包過濾

access-group是控制接口上進出的數據包流量用access-class將訪問控制列表施加于VTY線路，或WEB接口，access-group則施加到接口用在不同的接口啊，在控制臺口與VTY口用ACCESS-CLASS，別的一般用IPACCESS-GROUP限制別人telnet你的時候用access-classlinevty04是什么意思？（主要解釋一下0

4）0-4指的是虛擬終端的五條虛擬線路，通過TELNET可以連接查看訪問控制列表的配置信息：在特權用戶模式下：Router#showconfiguration查看訪問控制列表：在特權用戶模式下：Router#shaccess-lists只允許源地址為11和6的兩臺主機登錄路由器在全局配置模式下：Router(config)#access-list20permit11Router(config)#access-list20permit6Router(config)#access-list20denyany配置應用接口：Router(config)#linevty05Router(config-line)#access-class20in禁止地址為非法地址的數據包進入路由器或從路由器輸出在全局配置模式下：Router(config)#access-list30deny55logRouter(config)#access-list30deny55Router(config)#access-list30deny55Router(config)#access-list30deny55Router(config)#access-list30permitany配置應用接口：Router(config)#interfaceg0/1Router(config-if)#ipaccess-group30in配置擴展訪問控制列表：拒絕轉發所有IP地址進出的，端口號為1434的UDP協議數據包在全局配置模式下：Router(config)#access-list30denyudpanyanyeq1434Router(config)#access-list30permitipanyanyRouter(config)#擴展訪問控制列表實現Router(config)#ipaccess-listextended130(進入擴展訪問控制列表)Router(config-ext-nacl)#denyudpanyanyeq1434Router(config-ext-nacl)#permitipanyanyRouter(config-ext-nacl)#配置應用接口：Router(config)#interfaceg0/1Router(config-if)#ipaccess-group130inRouter(config-if)#ipaccess-group130out Router(config-if)#封禁某一臺主機在全局配置模式下：Router(config)#access-list110denyiphost30anylogRouter(config)#access-list110denyipanyhost30logRouter(config)#access-list110permitipanyany配置應用接口：Router(config)#interfaceg0/1Router(config-if)#ipaccess-group110inRouter(config-if)#ipaccess-group110out封禁ICMP協議，只允許/24和/24子網的ICMP數據包通過路由器。在全局配置模式下：Router(config)#access-list198permiticmp55anyRouter(config)#access-list198permiticmp55anyRouter(config)#access-list198denyicmpanyanyRouter(config)#access-list198permitipanyany【是peimitip還是peimiticmp】Router(config)#配置應用接口：Router(config)#interfaceg0/1Router(config-if)#ipaccess-group198inRouter(config-if)#ipaccess-group198out用名字標識符訪問控制列表的配置方法：禁止源地址為非法地址的數據包進入路由器或從路由器輸出在全局配置模式下：Router(config)#ipaccess-liststandardtestRouter(config-std-nacl)#deny55logRouter(config-std-nacl)#deny55Router(config-std-nacl)#deny55Router(config-std-nacl)#deny55Router(config-std-nacl)#permitany【是不是應該是permitipanyany】配置應用接口：Router(config)#interfaceg0/1Router(config-if)#ipaccess-grouptestinRouter(config-if)#ipaccess-grouptestout禁止端口號為1434的UTP數據包和端口號為444的TCP數據包在全局配置模式下：Router(config)#ipaccess-listextendedblock1434Router(config-ext-nacl)#denyutpanyanyeq1434Router(config-ext-nacl)#denytcpanyanyeq444Router(config-ext-nacl)#permitipanyanyRouter(config-ext-nacl)#25.在一個大樓中或是很大的平面里面部署布線無線網絡時，可以布置多個接入點構成一套微蜂窩系統。微蜂窩系統允許用戶在不同的接入點覆蓋區域內任意漫游。隨著位置的變化，信號會由一個接入點自動切換到另一個接入點。整個漫游過程對用戶是透明的，雖然提供服務的接入點發生了變化，但對用戶的服務是不會中斷的。26.802.11b運作模式分為點對點模式（最多可連接256臺主機）和基本模式（無線網絡擴充和有線網絡并存時，插上無線網卡的PC通過接入點與另一臺PC相連，一個接入點最多可連接1024臺PC）。無線局域網主要包含如下的硬件設備：無線網卡、無線接入點AP（一個AP可以連接30臺左右的無線網絡終端或者是其他的無線AP）、天線、以及無線網橋、無線路由器和無線網關。Cisco公司的Aironet1100系列接入點兼容IEEE802.11b和IEEE802.11g，工作在2.4GHz頻段，使用Cisco公司的IOS操作系統。在安裝和配置無線接入點之前，先向網絡管理員詢問一下信息，用于配置無線接入點：系統名無線網絡中對大小寫敏感的服務集標識符如果沒有連接到DHCP服務器，則需要為接入點指定一個IP地址如果接入點與PC不在同一個子網內，則需要子網掩碼和默認網關簡單網絡管理協議集合名稱以及SNMP文件屬性（如果使用SNMP）將無線接入點連接至網絡的兩種方法：使用線內供電連接以太網和使用本地電源連接以太網。第一次配置無線接入點，一般采用本地配置方式。默認的IP地址是，并成為小型的DHCP服務器。可以為下列設備分配多達20個的10.0.0.x范圍的IP地址。連接在接入以太網端口上的PC機沒有配置SSID或配置SSID為tsunami,并且關閉所有安全配置的無線設備按照下列步驟本地連接無線接入點：1.使用五類以太網電纜連接PC機和無線接入點，通過無線接入點的以太網端口進行配置，或將PC機置于無線接入點的電波覆蓋范圍內，安裝無線客戶端適配器，關閉所有安全設置，將SSID配置為tsunmami或不配置。2.給無線接入點加電3.確認PC機獲得了10.0.0.x網段的地址4.打開互聯網瀏覽器5.在瀏覽器的地址欄輸入無線接入點的IP地址，然后回車，出現輸入網絡密碼對話框6.按Tab鍵越過用戶名到密碼字段7.輸入大小寫敏感的密碼Cisco,確定。出現接入點匯總狀態的頁面。點擊“ExpressSetup”進入快捷配置頁面。8.輸入各配置數據9.保存SSID是客戶端設備用來訪問接入點的唯一標識。27.略28.DNS服務器配置的主要參數：正向查找區域：將域名映射到IP地址的數據庫，用于將域名解析為IP地址。反向查找區域：將IP地址映射到域名的數據庫，用于將IP解析為域名。將主機資源記錄手動添加到正向查找區域時，使用“更新相關的指針PTR”選項，可以將指針記錄自動添加到反向查找區域中。資源記錄：區域中的一組結構化的記錄。常用的記錄包括：主機地址（A）資源記錄，它將DNS域名映射到IP地址；郵件交換器資源記錄(MX)，為郵件交換器主機提供郵件路由；別名資源記錄(CNAME)，將別名映射到標準DNS域名。轉發器：也是一個DNS服務器，是本地DNS服務器用于將外部DNS名稱的DNS查詢轉發給該DNS服務器。在缺省情況下，Windows2003服務器沒有安裝DNS服務器。DNS服務器的基本配置包括正向查找區域、反向查找區域、增加資源記錄等。在安裝DNS服務時，13個根DNS服務器被自動加入到系統中。主機資源記錄的生存默認值是3600秒可以對DNS服務器進行簡單查詢測試和遞歸查詢測試。使用命令行程序測試DNS服務器：開始---運行---cmd---nslookup29.在使用DHCP時，網絡上至少有一臺Windows2003服務器上安裝并配置了DHCP服務，網絡上要使用DHCP服務的主機必須設置成使用DHCP自動獲得IP地址。作用域是指接受DHCP服務的網絡上的單個物理子網。客戶機的地址租約默認是8天，續訂由客戶端自動完成。作用域激活后，DHCP服務器才可以為客戶機分配IP地址。DHCP服務器為一客戶機分配固定IP地址時，需要執行的操作是新建保留。釋放地址租約：ipconfig/release重新獲取地址租約：ipconfig/renewDHCP服務器中常用的配置作用域選項有路由器選項和DNS服務器選項。30.瀏覽器與服務器之間傳送信息的協議是HTTP，即超文件傳輸協議，用于傳輸網頁等內容，使用TCP協議，默認端口號是80.在Windows2003中只要添加操作系統的集成組建IIS就可以實現WEB服務。一個網站對應服務器上的一個目錄，建立WEB站點時必須為每個站點指定一個主目錄，當然也可以是默認的子目錄。設置網站選項中可以設置網站的標識、站點的連接限制以及啟用日志記錄并配置站點的日志記錄格式。若Web站點未設置默認內容文檔，訪問站點時必須提供首頁內容文件名設置目錄安全選項卡可以選擇配置下列三種方法：身份認證和訪問控制、IP地址和域名限制、安全通信。設置性能選項卡可以設置影響帶寬使用的屬性，以及客戶端WEB連接的數量。IIS自動將帶寬限制設置成最小值1024byte/s.設置篩選器選項：ISAPI篩選器是在處理HTTP請求選項中響應事件的程序。可以列出每個篩選器的狀態（可以啟用或是禁用）、名稱，以及加載到內存中的優先級。設置HTTP頭選項：可以在HTML頁的標題中設置返回瀏覽器的值，還可以設置內容分級及定義MIME類型(MIME類型就是設定某種擴展名的文件用一種應用程序來打開的方式類型，當該擴展名文件被訪問的時候，瀏覽器會自動使用指定應用程序來打開。多用于指定一些客戶端自定義的文件名，以及一些媒體文件打開方式。)。設置自定義錯誤選項：可以使用IIS提供的一般默認HTTP1.1錯誤或詳細的自定義錯誤文件，或是創建自己的自定義錯誤文件。這些值可以對所有站點進行全局設置，也可以在每個站點中單獨設置，IIS對于這些設置使用繼承模式。IIS6.0可以使用虛擬服務器的方法在一臺服務器上構建多個網站，各網站可以使用主機頭名稱、IP地址、非標準TCP端口號來進行區分。另外還可以使用虛擬目錄的方法來發布多個網站。31.FTP使用“客戶機/服務器”的工作方式。構建FTP服務器的軟件有IIS.6.0中集成的FTP服務、Serv-UFTPServer。FTP服務器缺省的端口號是21。服務器域的存儲位置對話框中，對于小的域選擇.INI文件存儲，對于大的域（用戶數大于500）應選擇注冊表可以提供更高的性能。FTP服務器的選項包括服務器選項、域選項、組選項和用戶選項。服務器選項包括最大上傳速度和最大下載速度、最大用戶數量、檢查匿名用戶密碼、刪除部分已上傳的文件、禁用反超時調度、攔截“FTP-BOUNCE”攻擊和FXP(FileExchangeProtocol文件交換協議FXP是一個服務器之間傳輸文件的協議，這個協議控制著兩個支持FXP協議的服務器，在無需人工干預的情況下，自動地完成傳輸文件的操作。在我們的客戶機上，可以簡單的發送一個傳輸的命令，即可控制服務器從另一個FTP服務器上下載一個文件，下載過程中，無須客戶機干預，客戶機甚至可以斷網關機。這種協議通常只適用于管理員作管理的用途，在一般的公開FTP服務器上，是不會允許FXP的，因為這樣會浪費服務器資源，而且有可能出現安全問題。).域常規選項可以設置域內最大的同時在線用戶數、最小密碼長度、是否要求復雜密碼等選項。域虛擬路徑選項窗口可以將物理目錄映射為虛擬目錄，虛擬目錄建立完成以后，并不是該域下的每個用戶都可以訪問，需要對用戶的路徑進行設置。域IP訪問選項：可以通過設置IP訪問來限制某些IP地址是否能夠訪問FTP服務器。也可以針對每個用戶進行設置。域消息選項：域消息要事先創建并編輯。域記錄選項：可以選擇各種消息和記錄是否顯示在屏幕上、是否記錄在域的日志文件中，還可以設置日志文件的命名方法及創建規則。域上傳/下載率選項：可以添加用戶訪問服務器時不計入到上傳/下載率的文件。用戶賬號選項：在此窗口中【禁用賬號】會臨時禁用一個賬號，而不需要將其刪除；選擇【自動】會將一個僅需要使用一段時間、以后不再使用的一個賬號，在指定日期刪除。用戶常規選項：可以設置最大上傳/下載率。用戶目錄訪問選項：訪問權限分為文件（讀取、寫入、追加、刪除、執行）、目錄（列表、建立、移動）、子目錄三類。用戶上傳/下載率選項：要求FTP客戶端在下載信息的同時也要上傳文件。可以設置各種計算方法。用戶配額選項可以限制用戶上傳信息占用的存儲空間。32.電子郵件系統使用的協議主要有簡單郵件傳送協議SMTP，默認的TCP端口號是25，用于發送電子郵件。郵局協議POP3,默認的TCP端口號是110，訪問并讀取郵件服務器上的郵件信息。Internet消息訪問協議IMAP4，默認的端口號是143是用于客戶端管理郵件服務器上的郵件的協議。郵件系統的工作過程：用戶使用客戶端軟件創建新郵件。客戶端軟件使用SMTP協議將郵件發送到發放的郵件服務器上。發方的郵件服務器使用SMTP協議將郵件發送到接受方的郵件服務器，接受方的郵件服務器將接受的郵件發送到用戶的郵箱里等待用戶處理。接受方客戶端軟件使用POP3/IMAP4協議從郵件服務器讀取郵件。安裝郵件服務器軟件之前要安裝IIS。在快速設置向導中，可以輸入新建用戶的信息，包括用戶名、域名及用戶密碼。Winmail郵件管理工具包括系統設置（對郵件服務器的系統參數設置，包括SMTP、郵件過濾、更改管理員密碼）、域名設置（可以增加新的域，用于構建虛擬郵件服務器、刪除已有的域、還可以對域的參數進行修改）、用戶和組（增刪用戶、修改用戶的配置、管理用戶）、系統狀態和系統日志。Winmail郵件服務器允許用戶自行注冊新郵箱為了使其他郵件服務器將收件人的郵件轉發到該郵件服務器，需要建立郵件路由，即在DNS郵件服務器中建立郵件服務器主機記錄和郵件交換器記錄。33.數據備份從備份模式來看，可以分為物理備份和邏輯備份：從備份策略來看可以分為完全備份、增量備份和差異備份；根據備份服務器在備份過程中是否可以接受用戶響應和數據更新，又可以分為離線備份和熱備份。邏輯備份也可以稱作基于文件的備份。它的缺點是對于文件的一個很小的改動也需要備份整個文件。物理備份有稱基于快的備份或是基于設備的備份，文件的恢復變得復雜和緩慢。它適合于指定一個特定的文件系統來實現，并且不易移植。它的另一個缺點是可能產生數據的不一致。完全備份增量備份差異備份空間使用最多最少少于完全備份備份速度最慢最快快于完全備份恢復速度最快最慢快于增量備份完全備份工作量大、成本高、備份時間長。但直觀、簡單，也是最基本的備份方式。增量備份只備份相對于上一次備份操作以來新創建或者更新過的數據。但是在發生數據丟失和誤刪除操作時，恢復工作會變得比較麻煩，可靠性差。完全備份+增量本分+增量備份+增量備份+。。。差異備份備份上一次完全備份后產生和更新的所有新的數據。工作量小于完全備份，但大于增量備份。完全備份+差異備份。冷備份不接受用戶與應用對數據的更新，很好的解決了并發操作帶來是數據不一致問題。缺點是備份時間較長。熱備份會產生數據不一致的現象。常用的備份設備有：磁盤陣列、光盤塔、光盤庫、磁帶機、磁帶庫、光盤網絡鏡像服務器。Windows2003備份程序支持的五種備份方法：副本備份：復制所有選中的文件，但不將這些文件標記為已備份（即不清除存檔屬性）。每日備份：已備份文件在備份后不做標記。差異備份：備份后不標記為已備份文件。增量備份：備份后標記文件。正常備份：備份后標記文件。根據防火墻的實現技術，防火墻可以分為包過濾路由器、應用級網關、應用代理和狀態檢測。防火墻的系統結構可以分為報過濾路由器結構、雙宿主主機結構（運行應用級網關軟件的計算機必須非常可靠---堡壘主機）、屏蔽主機結構、屏蔽子網結構（兩個過濾路由器、兩個堡壘主機）。當使用具有3個網絡接口的防火墻時，就會產生3個網絡：內部區域（內網）、外部區域（外網）、非軍事化區（DMZ）。CiscoPIX525防火墻提供四種管理訪問模式：非特權模式（開機自檢進入，提示符為pixfirewall>）、特權模式(輸入enable進入，提示符為pixfirewall#)、配置模式(在特權模式下輸入configureterminal,提示符為pixfirewall(config)#)、監視模式(防火墻在開機或重新啟動過程中按Esc鍵或是發送一個“Break”字符，提示符為monitor>，在監視模式下，可以進行操作系統映像更新、口令恢復等操作)。配置防火墻接口的名字，并指定安全級別：Pix525(config)#nameifethernet0outsidesecurity0Pix525(config)#nameifethernet1insidesecurity100Pix525(config)#nameifethernetdmzsecurity50缺省情況下，ethernet0并命名為外部接口（outside），安全級別是0，ethernet1是內部接口（inside），安全級別是100。安全級別取值范圍是0~99，數字越大，安全級別就越高。配置以太網接口：Pix525(config)#interfaceethernet0auto采用自動協商方式Pix525(config)#interfaceethernet1100full采用100Mbps全雙工方式配置網卡的IP地址：Pix525(config)#ipaddressoutside40防火墻在外網的IP地址是Pix525(config)#ipaddressinside192.168..0.1防火墻在內網的IP地址是192.168..0.1指定要轉換的內部地址：nat作用是將內網的私有IP地址轉化為外網的公有IP地址。Pix525(config)#nat(inside)1192.168..0.1192.168..0.1這個網段內的主機可以訪問外網global為指定外部IP地址范圍（地址池）。Pix525(config)#global(outside)1-4設置外部地址池為-4設置指向內網和外網的靜態路由routePix525(config)#routeoutside001配置靜態nat：如果從外網發起一個會話，會話的目的地址是內網的IP地址，static就把內部地址翻譯成一個指定的全局地址，允許這個會話建立。Pix525(config)#static(inside,outside)建立了內部IP地址和外部IP地址之間的靜態映射。conduit命令用來允許數據流從具有較低安全級別的接口流向具有較高安全級別的接口。Pix525(config)#conduitpermittcphosteqwwwany允許任何外部主機對全局地址的這臺主機進行http訪問。fixup是啟用、禁止、改變一個服務或是協議通過PIX防火墻，由fixup命令指定的端口是PIX防火墻要偵聽的服務。Pix525(config)#fixupprotocolhttp80Pix525(config)#nofixupprotocolstmp啟用http協議，并指定http端口號是80，禁用stmp協議。入侵檢測系統一般是由事件發生器、事件分析器、響應單元與事件數據庫組成。入侵檢測技術可以分為異常檢測（基于統計異常檢測、基于神經網絡入侵異常檢測、基于數據采掘的異常檢測）、誤用檢測（基于模式匹配的誤用入侵檢測、基于模型推理的毋庸入侵檢測、基于專家系統的誤用入侵檢測、基于狀態遷移分析的誤用入侵檢測）兩種方式的結合。按照檢測的數據來源，入侵檢測系統可以分為：基于主機的入侵檢測系統（系統日志和應用程序日志為數據來源）和基于網絡的入侵檢測系統（網卡設置為混戰模式，原始的數據幀是其數據來源）。分布式入侵檢測系統的三種類型為層次型（存在單點失效）、協作型（存在單點失效）和對等型（無單點失效）。網絡入侵檢測系統一般有控制臺和探測器組成。網絡入侵檢測系統的探測器部署方法：網絡接口卡與交換設備的監控端口連接。在網絡中增加一臺監控器改變網絡的拓撲結構，通過集線器（共享式監聽方式）獲取數據包。通過一個分路器TAP設備對交互式網絡中的數據包進行分析和處理。當需要多個監聽接口時：對于多端口探測器，可以將TAP的引線分別直接接入探測器的監聽接口。對于不提供多端口的，可以將TAP的引線接到交換機或是集線器上。入侵防護系統整合了防火墻技術和入侵檢測技術，采用In-Line工作模式。入侵防護系統主要有嗅探器、檢測分析組件、策略執行組件、狀態開關、日志系統和控制臺。嗅探器：負責接受數據包，對數據包協議類型進行解析，依據協議類型開辟緩沖區，保存接受到的數據包，并提交檢測分析組件進行分析處理。檢測分析組件：接受來之嗅探器的數據包，從中檢測攻擊事件的發生，通過特征匹配、流量分析和協議分析、會話重構等技術，并結合日志中的歷史記錄來分析攻擊的類型和特點。將經過分析得到的系統防護策略提交給策略執行組件，并將攻擊數據包信息、攻擊事件分析結果及相應策略提交至日志系統保存，并將告警信息提交控制臺。策略執行組件：負責執行分級保護策略，是對抗攻擊的核心部分。所有接受到的數據都要通過策略執行組件進行轉發。策略執行組件主要由簡單的地址端口過濾、特征值匹配、會話阻斷、流量控制以及一些針對蠕蟲病毒和拒絕服務攻擊的特殊模塊組成。攻擊發生時，策略執行組件將按照組件內的策略集和檢測分析組件提供的防御策略進行防御。防御執行過程將在日志系統中進行記錄。日志系統：負責對整個系統的工作過程進行數據采集、記錄、統一分析和存儲管理。日志數據的來源是檢測分析組件和策略執行組件。控制臺和檢測分析組件是日志系統的使用者。他們根據需要通過數據庫管理系統和海量數據統計分析系統提供數據。狀態開關：負責接受來之檢測分析組件的狀態轉換指令，并驅動策略執行組件轉換工作狀態，對分布式拒絕服務攻擊進行有效防御。控制臺：負責配置、管理、和控制IPS系統中其他組件。控制臺收集來之各組件的工作狀態信息和來之檢測分析組件的報警信息，并且以適當方式呈現給管理員。入侵防護系統的分類：基于主機的入侵防護系統（安裝在受保護的主機系統中）、基于網絡的入侵防護系統（布置于網絡出口處，一般串聯于防火墻和路由器之間）和應用入侵防護系統（部署于應用服務區前端）。對于網絡入侵防護系統來說，入侵檢測的準確性和高性能是至關重要的。網絡管理命令：ipconfig顯示當前TCP/IP設置hostname顯示當前主機名稱ARP顯示和修改ARP表項NBTSTAT顯示本機與遠程計算機的基于TCP/IP的NetBIOS的統計及連接信息NET管理網絡環境、服務、用戶、登記等本地信息NETSTAT顯示活動的TCP連接、偵聽的端口、以太網統計信息、IP路由表和IP統計信息。ping通過發送ICMP報文并偵聽回應報文，來檢查與遠程或本地計算機的連接。默認情況下發送4個報文，每個報文包含64個字節數據。tracert通過發送包含不同TTL報文并偵聽回應報文，來探測到達目的計算機的路徑pathping結合了ping和tracert命令的功能，將報文發送到所經過地所有路由器，并根據每跳返回的報文進行統計。route顯示或修改本地IP路由表的網關條目。略常見的網絡入侵與攻擊的基本方法：木馬入侵：C/S結構，主要的感染途徑有：黑客入侵后植入；利用系統或軟件的漏洞植入；受到夾帶木馬的電子郵件，運行后植入；通過即時聊天軟件，發送含有木馬的鏈接或是文件，接收者運行后被植入；在自己的網站上放置一些偽裝后的木馬程序，宣稱是好玩的或有用的工具等名目，讓不知道的人下載后運行后便可成功植入木馬。木馬植入后所進行的操作：如同使用資源管理器一樣對一些文件或是電子郵件進行復制或是刪除等非法操作；轉向入侵，利用被黑者的計算機來進入其他計算機或是服務器進行各種黑客行為，也就是找個替罪羊；監控被黑者的計算機屏幕畫面的鍵盤操作來獲取各種密碼，例如進入各種會員網頁的密碼、撥號上網的密碼、網絡銀行的密碼、郵件密碼等；遠程遙控，操作對方的Windows系統、程序、鍵盤。漏洞入侵：Unicode漏洞入侵、跨站腳本注入、sql注入入侵協議欺騙攻擊：針對網絡協議的缺陷假冒用戶身份截取信息獲得特權的攻擊方式。主要的協議欺騙攻擊有IP欺騙攻擊、ARP欺騙攻擊、DNS欺騙攻擊、源路由欺騙攻擊。口令入侵：緩沖區溢出漏洞攻擊：拒絕服務攻擊DoS：Smurf攻擊：攻擊者冒充受害者主機的IP地址，向一個大的網絡發送echorequest的定向廣播包，此網絡的許多主機都作出回應，受害主機會收到大量的echoreply消息。SYNFlooding（同步泛濫技術（SYNflooding））:利用TCP連接的三次握手過程進行攻擊。使用無效的IP地址。DDoS分布式拒絕服務攻擊：攻擊者攻破了多個系統，并利用這些系統去集中攻擊其他目標，成百上千的主機發送大量的請求，受害設備因為無法處理而拒絕服務。PingofDeath：通過構造出重組緩沖區大小的異常的ICMP包進行攻擊。Teardrop：利用OS處理分片重疊報文的漏洞進行攻擊。Land攻擊：向某個設備發送數據包，并將數據包的源地址和目的地址都設置成攻擊目標地址。39.常用的漏洞掃描工具有ISS、MicrosoftBaselineSecurityAnalyzer、X-Scanner等。40.計算機病毒的主要特征：非授權可執行性、隱蔽性、傳染性、潛伏性、表現性或破壞性、可觸發性。計算機病毒按幾聲方式可以分為引導型病毒（寄生在磁盤引導區或主引導區。主引導區病毒有大麻病毒、2708病毒、火炬病毒。分引導區病毒有小球病毒、Girl病毒）、文件型病毒（感染可執行文件或是數據文件，有1575/1591病毒、848病毒感染.COM和.EXE等可執行文件、Macro/Concept、Macro/Atoms等宏病毒感染、新世紀病毒、One-half病毒）和復合型病毒（Flip病毒、新世紀病毒、One-half病毒）。計算機病毒按照破壞性可以分為良性病毒（小球病毒、1575/1591病毒、救護車病毒、揚基病毒）和惡性病毒（黑色星期五病毒、火炬病毒、米開朗.基羅病毒）。惡意代碼：蠕蟲：是一個自我包含的程序，他能夠傳播自身的功能或拷貝自身的片段到其他的計算機系統中。不需要把自身的附加在一段程序上，而是一個獨立的程序，能夠主動運行。有兩種類型的蠕蟲病毒：宿主計算機蠕蟲和網絡蠕蟲。木馬：寄生在用戶的計算機系統中，盜用用戶信息，并通過網絡發送給黑客。沒有自我復制功能。傳播途徑主要有電子郵件、軟件下載和會話軟件。直接廣播地址：主機號全為1，它用來使路由器將一個分組以廣播方式發送給特定網絡上的所有主機。受限廣播地址：32位全為1的IP地址（55），用來將一個分組發送給本網絡上的所有主機。“這個網絡上的特定主機”地址：網絡號為全0，主機號為特定的值，這樣的分組限制在本網內部，由相應的主機接收。回送地址：，用于網路軟件測試和本地進程通信。專用地址：~55；172.16~172.31；192.138.0~192.168.255最初在描述劃分子網的RFC文檔中規定了不使用第一個和最后一個網絡地址。一個子網的定向廣播地址是比下個子網號小1的地址。111111111100000000000000000000000111100110101111000101010000100101111001100000000000000000000000/10（網絡地址）11111111110000000000000000000000011110011010111100010101000010010111100110111111111111111111111155（直接廣播地址）54（最后一個可用的IP地址）175=128+0+32+0+8+4+2+110101111192=128+64+0+0+0+0+0+01100000032+0+8+4+2+1=47（主機號）2.路由器是連接不同邏輯子網的網絡互連設備。路由表的內容主要包括目的網絡地址及其對應的目的端口或下一跳路由器地址和缺省路由信息。路由表項內容：第一列是路由源碼，他說明路由表項是通過什么方式，采用什么路由選擇協議獲得的。其中C表示為直連；S表示為靜態路由；I使用IGRP內部網關協議獲得路由信息；O使用OSPF開放最短路徑優先協議獲得路由信息；R使用RIP路由信息協議獲得路由信息；i使用IS-IS內部網關協議獲得路由信息；B使用BGP外部網關協議獲得路由信息；E使用EGP外部網關協議獲得路由信息。第二列是目的網絡地址和掩碼第三列是目的端口或是下一跳路由器地址：如果是直連，則給出的是目的端口；如果有下一跳路由器，則這個字段給出的就是目的端口。S*/0【1/0】via17為缺省路由表項，該行信息說明這是一條靜態路由，是由管理員手工配置的。其目的網絡為的下一跳路由器地址是17，即他的缺省路由是17。這里“0”地址表示路由信息沒有直接顯示在路由表里的所有網絡。第一列仍然是路由源碼第二列表示路由類型：E1OSPF外部路由類型1；E2OSPF外部路由類型2.第三列仍然是目的網絡及其掩碼第四列前面的值是管理距離，后面的值是權值或成本：管理距離用于衡量路由表中給定的路由信息源的“可信度”。管理距離的值越小，路由信息源的可信度越高。直接連接的可信度越高，其次是靜態路由。【OE1/24[110/3]via45,00:13:43,Vlan1】權值是路由器通過路徑選擇算法為網絡上的路徑產生一個數字。路由器根據這個值確定最佳路徑。一般來說，權值愈小，路徑愈佳。路由器的工作模式：用戶模式：Router>特權模式：在用戶模式下，輸入“enable”和超級用戶密碼，就可以進入特權模式。Router#設置模式：當通過Console端口進入一臺剛出廠的沒有任何配置的路由器時，控制臺就會進入設置模式。全局配置模式：在特權模式下，輸入“configureterminal”就可以進入全局配置模式。Router（config）#其他配置模式：在全局配置模式下，進入接口配置模式：Router（config）#intf0/2在全局配置模式下，進入虛擬終端配置模式：Router（config）#linevty015在全局配置模式下，進入RIP路由協議配置模式：Router（config）#routerripRXBOOT模式：為路由器的維護模式，在密碼丟失時，可以進入RXBOOT模式以恢復密碼。路由器的配置方式：1.使用控制端口配置（Console）配置。2.使用AUX端口連接一臺Modem,通過撥號遠程配置路由器。3.使用telnet遠程登錄到路由器上進行配置。4.使用TFTP服務，以拷貝配置文件、修改配置文件的方式，對路由器進行配置（在特權用戶模式下，用write和copy命令拷貝配置文件到TFTPServer;）。5.通過網絡管理協議SNMP修改路由配置文件的形式，對路由器進行配置。配置路由器的主機名：在全局配置模式下，Router(config)#hostnameRouter-phyRouter-phy(config)#配置超級用戶口令：Router(config)#enablesecretphy123Router(config)#enablepassword7phy123Router(config)#設置系統時鐘：在特權用戶模式下：Router#calendarset10:24:0022march2007退出命令exit：從端口配置模式返回全局配置模式，還是從全局配置模式返回到特權配置模式，都可以使用exit一級一級的退出，也可以使用end命令，直接返回特權用戶模式。Router(config-if)#exitRouter(config)#exitRouter#Router(config)#endRouter#保存配置write：在特權用戶模式下，Router#writemomory(保存到路由器的NVRAM中)