windows：

定向广播可以跨路由，有网络位，其余位为255

全部为255的广播地址不可以跨路由

IP头总共20个字节

子网掩码确定了网络位和主机位 通过子网掩码与IP地址做与运算

netstat -n 查看当前连接线路及端口

-b 查看当前连接线路端口和程序

msconfig 查看当前系统启动服务

wf.msc 打开防火墙配置

ipsec 本地策略配置，详细操作查看相关教程

pathping 可以跟踪路径，计算丢包情况。相当于ping 加个i参数

IGMP协议 组播

网络分为：点到点通讯，广播，多播（组播）

ARP协议 将计算机的IP地址解析成MAC地址。RARP协议

arp -s IP MAC 绑定

ethereal——抓包工具

MAC地址决定下一跳给出口

IP地址决定最终计算机

10000000 128 子网划分的二分之一，向后移1位

11000000 192 子网划分的四分之一，向后移2位11100000 224 子网划分的八分之一，向后移3位11110000 24011111000 24811111100 25211111110 25411111111 255

A类 1-127 缺省的子网掩码255.0.0.0

B类 128-191 缺省的子网掩码255.255.0.0

C类 192-223 缺省的子网掩码255.255.255.0

D类 224-239

E类 240-255

保留的私网地址：

A 10.0.0.0B 172.16.0.0——172.31.0.0C 192.168.0.0 ——192.168.255.0

环回地址：127.0.0.1 无网络分配地址：169.254.0.0

判断一个类型的网，不是看子网掩码。

定长子网划分：划分成2个子网，子网掩码向后移1位，相当于2的1次方，网络位为192.168.0.0-192.168.0.126和192.168.0.128-192.168.0.254

划分成4个子网，子网掩码向后移2位，相当于2的2次方，网络位为192.168.0.0-192.168.0.62，192.168.0.64-192.168.0.126，192.168.0.128-192.168.190和192.168.0.192-192.168.0.254

划分成8个子网，子网掩码向后移3位，相当于2的3次方，网络位为192.168.0.0-192.168.0.30，192.168.0.32-192.168.0.62，192.168.0.64-192.168.0.94，192.168.0.96-192.168.0.126，192.168.0.128-192.168.0.158，1929.168.0.160-192.168.0.190，192.168.0.192-192.168.0.222，192.168.0.224-192.168.0.254

变长子网划分

每次计算后，得出能用的第一个IP地址和最后一个IP地址。

合并网络

将子网掩码向前移一位，合并网段不是相邻的都可以，可看如下规律

路由器组件

硬件分类：模块化路由器和非模块化路由器（固定端口）

flash 存放路由器的操作系统

RAM ROM 相当于计算机的biosNVRAM 保存操作配置CPU

GNS3 软件

show controllers serial 查看端口时钟DCE

ip address noshutdown

虚拟机网络管理与配置 总计10个虚拟交换机

通过gns3主机仿真本地网卡与软件线路进行通讯。

配置telnet命令

line vty 0 15passwordlogin

show usres显示在线人数

copy running startup 保存

service password-encryption 加密所有密码

IP host 主机名 + ipaddress 临时的域名解析（内网）

DNS配置

ip domain-lookup——启用域名解析ip name-server 8.8.8.8 ——DNS服务器

思科内部协议（CDP）显示邻居——使用二层地址通信

show cdp neighbors detail

网络畅通的条件，数据包能去能回

路由器直连的网络，不用告诉路由器如何转么，没有直连的网络需要告诉路由器到目标网络如何转发

静态路由

ip route 网段 子网掩码 下一路地址traceroute show ip route

路由汇总

网络是否可达，需要查看路由表ip route 0.0.0.0 0.0.0.0 下一路地址——默认路由

默认路由容易造成环路

route print=====netstat -r

两张网卡容易自动负载均衡，内网网卡不设网关，外网网卡设网关

丢包的原因可以分为两种，一种是路由问题，一种是堵塞

静态路由的缺点：1、网络变化无法自适应。2、不指定无法自找路径

动态路由：

RIP 使用跳数判断最佳路径，周期性的通告路由表（30s），最大跳数16。宣告直连端口网段debug ip ripundebug all 关闭route rip network 网段show ip protac 查看协议是否启用

EIGRP

router eigrp 编号 ——编号不一样的路由器不可以交换信息network 网段

交换部分

show mac-address-tables

交换机端口安全：

1、绑定数量 interface fastswitchprot mode access ——选择接口模式switchprot prot-security ——先执行此命令switchprot prot-security violation shutdown ——违返后的操作switchprot prot-security maximux 2 ——指定端口最大接入数量为2

2、绑定MAC

switchprot mode access ——选择接口模式

switchprot prot-security ——先执行此命令switchprot prot-security violation shutdown ——违返后的操作switchprot prot-security sticky ——将端口变为静态并绑定当前mac

生成树协议——（STP）

1、选择根交换机——比较优先级与mac

2、选择根端口——连接根交换机的端口3、选择指定端口——与根交换机相近的端口4、租断端口

show spanning-tree

no spanning-tree vlan1——关闭vlan1的生成树协议spanning-tree vlan 1 priority 4096或者其它 ——修改优先级

干道链路可传输所有Vlan

配置设备的方法：首先将步骤写清楚，然后再进行配置，最后进行检查

show vlan

switch mode access

switch access vlan 2

三层交换机配置trunk需要启用封装模式

switch trunk encapsulation dot1q

switch mode trunk

跨网段访问需要启用vlan IP

intface vlan IP地址（网关）

并启用路由：ip routing

网络安全

物理层安全

墙上不用的网线连接交换机的端口关闭数据链路层安全：ADSL拨号账号和密码 MAC地址绑定 端口设备连接数量控制网络层安全基于源IP地址 目标IP地址的控制传输层安全会话 LAND SYN洪水

应用层安全

登陆密码 漏洞

路由器是网络层安全

标准的ACl基于源地址进行控制show access-listaccess-list 10 permit 192.168.10.0 0.0.0.255或者access-list 10 permit any access-list 10 deny host 192.168.10.1(拒绝某个主机)进入端口绑定ip access-gruop 10 in/out

一般将拒绝的条件放在第一条

扩展的ACl

基于源地址，目标地址，协议，端口号进行控制

access-list 100 permit ip(指所有的端口) 192.168.0.0 0.0.0.255 any

access-list 100 permit tcp 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255 eq 80(访问80端口)access-list 100 permit icmp 192.168.0.0 0.0.0.255 any (可以使用ICMP协议)

telnet安全

将ACL绑定到telnet接口的命令access-class 10 in/out应用

NAT和PAT

NAT 不节省公网IP

静态NAT ——1个公网配1个私网地址

动态NAT——1个公网对N个私网地址，谁先拿到谁先用

PAT 端口地址转换

源端口和源IP地址都替换

debug ip packet ——跟踪数据包

debug ip nat——查看nat活动undebug all——关闭先配置内网网段access-list 100 permit 10.0.0.0 0.0.0.255再配置公网地址池ip nat pool adu (名称) 220.123.0.1 220.123.0.1 netmask 255.255.255.0绑定ip nat inside source list 100 pool adu overload(不加此项为NAT，加为PAT)最后指定路由的出口和入口(接口配置)ip nat outside(接口配置)ip nat inside

windows2003下配置NAT

附件——管理配置——路由和远程访问

windowsxp

网络连接——高级——共享

端口映射

配置命令

ip nat inside source static tcp 10.7.0.1 80 131.107.0.1 80 配置外网端口和内网端口(接口配置)ip nat outside(接口配置)ip nat inside

windows 下端口映射

网络连接——高级——共享——高级设置——端口配置