网络架设篇技术方案

1.一条网线如何连接两台电脑，两层含义，一是指一条网线直联两台电脑，二是指一条网线的一端分接两台电脑
答案：前者做交叉线，不一定按标准，只要两边网卡1236一收一发对应就行；后者1236连一主机，4578连另一主机，另一头1236和4578要叠加后接入交换机，请测试，这里的疑问是另一头1236和4578到底要不要叠加

双绞线两种布线标准:
EIA/TIA568A: 绿白-1(TX+) 绿-2(TX-) 橙白-3(RX+) 蓝-4 蓝白-5 橙-6(RX-) 棕白-7 棕-8
EIA/TIA568B：橙白-1(TX+) 橙-2(TX-) 绿白-3(RX+) 蓝-4 蓝白-5 绿-6(RX-) 棕白-7 棕-8

双绞线几种做法：
直通线：Straight-through，两个水晶头都是568A或568B，一般用于PC to Switch/Hub，Router to Switch/Hub
交叉线：Cross-over，一头是568A，另一头是568B，一般用于Switch to Switch，Hub to Hub，Host to Host，Switch to Hub，Host to Router
全反线：Rolled，用于主机串口和路由器或交换机console口的连接
自环线：直接13, 26短接，用于网卡环路检测

直通线线序：
Host to Hub/Switch
1 <------------>1
2 <------------>2
3 <------------>3
6 <------------>6

交叉线线序：
Hub/Switch to Hub/Switch
1 <------------>3
2 <------------>6
3 <------------>1
6 <------------>2

全反线线序：
Host to Router/Switch
1 <------------>8
2 <------------>7
3 <------------>6
4 <------------>5
5 <------------>4
6 <------------>3
7 <------------>2
8 <------------>1

2.异地主机如何通过电话线直接进行连接，两种情况，一是利用公网电话线，二是直接拉的电话线
答案：电话线通讯肯定要调制解调器的，对于前者，办法一是和电信拨号上网一样，一端建立拨号服务，另一端拨号进来即可；办法二是两边都拨号到公网时，一端建立VPN服务，另一端连进来即可；对于后者，如距离较近可直接做对等连接，一端做接收端，另一端做连接端。

注意本人没用过电话线连接，请各位帮忙测试

3.双网卡，能上网，不能访问内网，且内网有多网段时如何处理
答案：主机设置多网关时会导致路由表寻址上的问题，办法一是清除内网网卡的网关，适用于内网只有一个网段情况；办法二是在主机上设置静态路由，适于内网有多个网段的情况；办法三是在路由器上添加静态路由，适于有内网有大量主机的情况。

如果不想利用静态路由就采用扩大掩码的办法；如果主机只有单块网卡，就采用配双地址的办法
注意外网和内网处于同一网段时，存在优先级问题

主机路由配置相关命令：
rem 显示主机路由
route print
rem 清除本机路由
route -f
rem 添加静态路由，比如外网是拨号上网，内网网卡网关192.168.0.1，该网关转发192.168.*.*所有数据包
route add 192.168.0.0 mask 255.255.0.0 192.168.0.1

4.跨网段如何实现互访
答案：跨网段互访先要解决线路接法的问题，接法一是直接用网线将两子网所在交换机连在一起；接法二是直接用交换机或网桥将两子网所在交换机连在一起；接法三是直接用路由器或三层交换机将两子网所在交换机连在一起；接法四是用双网卡主机把两子网所在交换机连在一起；接法五是通过公网把两子网所在路由器连在一起；接法六是通过无线网桥把两子网无线设备连在一起；接法七是通过电话线把两子网调制解调器连在一起；接法八是通过光纤把两子网所在的光纤收发器连在一起；其它的还可以扩展到蓝牙、红外、USB等等

如此多的接法，其实解决办法是不用管如何连接，只用管连接介质工作在网络协议的哪一层，因为跨网段互访主要是征对网络层数据包转发的问题

办法一：路由器做法，通过路由表转发数据包这是最基本的办法，当然这里有硬路由和软路由的区别
办法二：最笨的办法，利用链路层广播通讯的原理，直接扩大掩码使之处于同一网段
办法三：最直接的办法，直接利用双网卡，或者同一网卡配多个地址办法，当然还可以利用IPV6直接寻址
办法四：最衰的做法，利用NAT共享上网存在地址转换的原理，直接用路由器进行级联，实现下层子网对上层子网的无限制访，而上层子网只能利用端口映射对层子网主机做有限制的访问，类似单向路由功能，还实现了子网屏蔽
办法五：想不到的做法，就是利用MAC地址直接跨网段通讯，这就是所谓的低层路由器
最后办法：最不可思议的做法，就是你直接重新编写网络协议驱动，利用广播组播网段，或者直接修改网络数据包，让信息按你的规则传输开来

5.测线仪检测发现某些灯不亮，该重做哪一头水晶头
答案：测线仪接收和发射两端，在发现某些灯不亮时肯定先把水晶头并在一起检查线序；如线序无误，再检查水晶头触片是否压紧的问题，一般重手法多卡几下，用好的水晶钳可以增加成功的机率；否则你今天运气不好，占占卜先，当然也不能排除网线中间有折断的可能哦

另注意用测线仪的接收端直接连接通电的网卡或交换机插槽等时并不是所有灯都亮的

6.集线器、交换机、路由器、防火墙、网关、网桥等等网络设备的区别
答案：由于电子产品更新换代较快，如今常用的网络设备都是多功能交换机、多功能路由器和多功能防火墙等等

中继器：工作在物理层，一般只有两个端口，用于网络信号的放大和再生，主要用于延长介质的传输路离

集线器：工作在物理层，一般有多个端口，用于网络信号的放大再生和信息分发，每一端口的信号都会被复制到所有端口，冲突十分严重；集线器相当于多个中继器并在一起

网桥：是连接两个局域网的存储转发设备，用于相同或相似体系结构的网络系统的连接；网桥工作在链接层，根据MAC地址来转发帧，相当于低层路由器；网桥将广播域划分为较小的冲突域，通过寻址和路径选择来转发信息，但广播域没有变

交换机：传统交换机是指以太网交换机，工作在链路层，用于替代共享式集线器；交换机内部存有Mac地址表，根据Mac地址对数据帧进行端口转发和过滤；交换机解决了冲突域的问题，但仍存在广播域，二层交换机相当于多个网桥并在一起；三层交换机是指具有路由功能的交换机，数据交换速度较快，具有一次路由，多次转发功能，三层交换机内部存有arp 表；四层交换机依据应用端口号，由源端和终端IP地址、TCP和UDP端口共同决定数据传输，四层交换机直接指向物理服务器，为每个服务组设立虚IP地址以支持某种应用

路由器：工作在网络层，主要用于数据包的存储和转发，路由器内部存有路由表；路由器不仅隔离冲突域，还隔离了广播域，路由器的介入使得交换机划分的实际或虚拟网段得以通讯

网关：把信息重新进行包装以适应目标网络环境的要求，用于不同体系统结构和环境之间的通信；网关工作在传输层，根据端口号来转发数据包，具有协议转换功能

防火墙：工作在网络层、传输层及以上，用于协助确保信息通讯安全的设备；防火墙由应用规则、验证工具、包过滤和应用网关组成，依据应用规则对数据包进行允许或拒绝

另注意一般工作在高层协议的网络设备必然支持低层的网络协议，否则无法完成数据包的收发和处理

7.如何绘制网络拓扑图，根据根据公司现有的规模如何组建网络
答案：绘制网络拓扑图常用的工具是powerpoint和visio，直接下载思科或华为图标库资源即可；公司网络的组建一般依据公司规模的大小、实际的地理及楼层分布、实际的网络需求和预计的投资成本等因素来决定

中小企业在100台主机以内时，直接2层交换网络用于内网通讯，通过代理或路由共享上网，实现跨网段访问，内网按工作组管理即可，一般网络的瓶颈都在于外网出口、服务器和异地或移动主机的连网上，对于布线困难时也可采用无线连网方案

中型企业在500台主机左右时，一般内网按3层交换网络进行组建，出口配置专用防火墙和路由器，一般有专门的机房，出口和骨干网络一般采用光纤进行布线，内网一般划分为多个虚拟网段，采用域来进行管理

大中型企业在超过1000 台主机以上时，一般按分子公司跨地区进行分布式管理，一般重点放在城际通讯、异地网络的接入以及集中或分布式管理上面

8. 电信分配多IP地址如何配置并启用
答案：外网有多个地址时一般直接配置为地址池即可，对于内网有多个服务时分别对外网地址和端口分别进行映射即可

9.如何共享上网，尤其在上网有限制的情况下
答案：共享上网一般采用路由共享上网或代理共享上网，考虑到实际情况，连接的方案较多，仅列举几个常见例子

实例一：两台主机，一台路由器，直接通过路由器共享上网，这是最简单的办法

实例二：两台主机，一台交换机，在没限制时，两台主机可直接同时拨号上网；在有限制时，办法一是用 Homeshare等自动切换拨号；办法二是一台主机做代理服务器，另一台主机通过该代理主机上网，比如CCProxy等；办法三是一台主机做Nat服务器，另一台主机通过该Nat服务器上网，比如ICS、RRAS、Sysgate等

实例三：在没有路由器和交换机但有一主机有双网卡时，直接交叉线连接两台主机，双网卡主机搭建Nat服务器或代理服务器，另一台主机通过双网卡主机上网

实例四：两台笔记本通过双绞线上网，两笔记本直接过点无线点对点连接，一台笔记本搭建Nat服务器或代理服务器，另一台笔记本通过该笔记本上网

实例五：两台笔记本通过无线共享上网，两笔记本直接通过交叉线连接，一台笔记本搭建Nat服务器或代理服务器，另一台笔记本通过该笔记本上网

对于XP而言，一般内置有ICS服务，但ICS限制内网网关只能是192.168.0.1，所以在共享主机的出口地址不能是该网段，另XP的RAS服务需要命令行安装并配置才能使用；如是2003，可直接在界面下配置并启用ICS或RRAS服务，注意ICS和RRAS存在冲突

10.内网多网段时如何共享上网，如何做端口映射
答案：这里有两个问题，多网段互访是跨网段访问问题，内网访问外网是地址转换问题，一般路由器既有数据包转发，又有数据包转换功能

11.路由器级联时如何做端口映射，路由器级联时允许下下级网段重复上上级的网段吗
答案：路由器级联时，外网访问下下级的路由器上的主机时，要求所有上上级的路由器一一做好端口映射；路由器级联时当下下级网段重复上上级网段时，下下级网段是不能访问上上级的网段的，但能访问其它上级的网段，且上上级的网段通过端口映射也是不能访问下下级的网段的，请各位测试

端口映射的原理：外网网址:外网端口 <--- 1级内网网址:内网端口 <--- 2级内网地址:端口 ...
注意端口映射最多允许65536个，端口映射只适于进行有限的访问，不能实现对任意端口的访问
注意端口映射不允许多个地址:端口重复，不允许直接的上下级网段重复

12.路由器当交换机使用
答案：一般宽带路由器不使用wan口，关闭 dhcp时就相当于普通的交换机，只不过需浪费一个端口不能使用；如不关闭dhcp时，需要更改dhcp地址池为同一网段，并添加静态路由指向同一个出口，否则可能由于多个dhcp广播导致路由混乱

13.采用多个路由器组网问题，要求能共享上网，且能互相访问
答案：一般路由器用于外网出口，不建议放在内网使用，否则有可能因为路由和广播导致内网不稳定的因素

办法一：交换机做法，把路由器当交换机使用，这种办法最简单，且网段一致，不存在互访问题
办法二：路由器做法，路由器间采用级联的办法，这种办法共享上网方便，但上一级路由无法访问下一级路由，除非做有限的端口映射
办法三：交换机直接连接两个路由器lan口，两路由器wan口同时上联其它网段，两只路由器添加对应静态路由可实现交换机下主机对两个路由器上联的网段的有选择的访问

14.相距较远两栋大楼如何联网
答案：首先考虑距离的远近，再考虑是否好布线，再考虑联网的质量和成本

办法一：直接拉双绞线，在不到100米时加交换机增强信号后转发
办法二：直接拉光纤，距离近用多模光纤，距离远用单模光纤
办法三：架设无线，距离较远或障碍物较多时，可采用大功率路由器或进行无线桥接
办法四：直接利用电话线拨号连接
办法五：直接连接外网并架设VPN隧道

15.多台笔记本如何直接通过无线网卡组网
答案：笔记本无线网卡是点对点连接，不能实现多对多连接，也即无线网卡同时只能连接或发射一个信号

16.直接通过笔记本共享上网
答案：笔记本一般由于同时带有有线和无线两块网卡，便于共享连网；如另一台主机只有有线网卡，直接交叉线或通过交换机连接即可；如另一台主机带有无线网卡，可考虑用点对点连接，然后笔记本通过有线网卡拨号即可

17.无线路由当无线AP使用
答案：类似路由器当交换机使用，wan口不用，关闭 dhcp即可，如开启dhcp时，需改为同一网段，且添加静态路由指向同一出口

18.无线路由是否有连接数限制
答案：无线路由器发射无线信号为球面波，只有辐射距离的远近，没有连接数限制说法，当然，连接数过多对无线路由芯片处理能力要求较高

19. 连不上无线信号到底是怎么回事
答案：连不上无线有多种可能情况，一是信号太弱的问题；二是网卡工作频段与无线路由工作频段不一致；三是有同名无线信号源干扰；四是对加密信号支持不完善；五是无线网卡驱动本身或连接无线的工具存在兼容性或冲突问题

无线信号增强的办法：
办法一：把笔记本靠近无线信号源，这是地球人都想得到的；由于钢筋混凝土对信号的屏蔽，因此一般把路由器或笔记本放空旷的高处时效果较好，天气原因也会影响信号的强弱
办法二：换大功率，芯片功能较好的无线网卡或路由器
办法三：无线网卡还可以采用外置加长USB线距离，尤其是加装定向或全向天线时效果会更好

20.无线破解的几个问题，一是wpa/wpa2加密的问题，二是关闭 ssid的问题，三是关闭dhcp的问题，四是路由器密码如何破解，五是拨号密码如何破解
答案：由于wep本身加密上的漏洞，一般不存在无法破解的问题，网上讨论较多的是有无客户端，-1攻击无效，信号太弱等情况

wpa/wpa2：破解的关键一是抓握手包，二是合适的字典，三是快速的破解工具
关闭ssid：直接用无线嗅控工具直接扫描即可
关闭dhcp：一是在有客户端通讯时采用抓包的方法，二是用程序不停尝试所有网段，内网保留地址段毕竟有限
路由密码：一是断掉路由，在对方试图登录路由时抓包破解，二是间接控制对方，利用社会工程学手段，三是暴力破解，关键在于字典和工具
拨号密码：很多人对拨号和路由密码弄得糊里糊涂的，这里提出来只是让大家分清楚根本是两个东西

21.在山区乡下如何上网方便
答案：首先网络接入技术一方面当地电信提供的信息通讯手段紧密相关，另一方面你的主机得满足各种接入手段，如果三网都不能覆盖，在什么条件都不具备时，你就得制造条件

办法一：利用电话线直接进行宽带或窄带拨号上网，或者直接拨号到远方提供拨号服务的主机，间接上网也未必不可
办法二：利用有线电视线路的同轴电缆上网
办法三：利用利用卫星进行信号中转，比如利用CDMA、GPRS等技术联网
办法四：利用手机等可以连网的设备间接上网

在电信工作的朋友请介绍下更多有效的连接方案先


22.公司搬迁，网络如何搬迁
答案：除非搬迁后网络结构改变不大，否则一般都需要重新组网和连网的。在搬迁时只要注意网络设备、服务器、连网介质和终端设备等一一清点清楚即可，要求贴上标签并封装好，拆装时注意电源、磕碰等危险，轻拿轻放，分清责任即可

23.如何远程控制公司服务器，尤其是在两边都是内网，两边都没固定地址的情况下
答案：远程控制公司的服务器的手段较多，问题的关键在于内网和动态地址的限制

一是远程协助：一般双方客户端通过公网服务器上线后建立类似点对点的连接，安全便利的穿透内网，比如QQ、MSN、KDT等
二是主动控制：要求公司服务器开通远程，做好端口映射和动态域名解析即可，常用的远程控制手段像3389、4899、5631、5800等等
三是反向控制：反向连接要求己方做好端口侦听、端口映射和动态域名解析，让对方直接主动连接实现远程控制
四是安全隧道：要求公司直接建立VPN服务，做好端口映射和动态域名解析即可

24.如何架设VPN，VPN连接是否是建立在已有连接上的，VPN连接需要做端口映射吗，VPN连接两个网段如何实现互访
答案：虚拟专用网络是指通过一个公用网络建立一个临时的、安全的连接

一般而言VPN连接是需要建立在已有连接基础上才行的，有可能存这这种情况，A不能连到C，但A能连到B，B能连到C，此时A和B，B和C用隧道连接起来时，就可以达到A直连C的目的

VPN架设时一般要求内外网卡，如外接路由器，是需要建立端口映射才行的；VPN只是实现网络的连接，并不支持跨网段的互访，这是路由器的问题

VPN两种协议端口：
一是PPTP：TCP 1723
二是L2TP：微软L2TP是over IPSec的，在通过IKE协商密钥时发现NAT网关就会抛弃ESP隧道转为NAT-T加密封装，各协议端口为：
L2TP    UDP  1701
ESP    UDP  50
IKE    UDP  500
NAT-T  UDP  4500

25.VLAN 是什么，VLAN是为隔离，还是为互访
答案：虚拟局域网是将局域网从逻辑划分为不的网段，实现虚拟工作组的数据交换技术；VLAN主要应用于交换机和路由器中，只有支持VLAN协
议的交换机才具有此功能

VLAN根据MAC地址将同一物理局域网内的不同用户逻辑地划分成不同的广播域，VLAN内部的广播和单播流量都不会转发到其他VLAN中

网络工作组的划分不仅可以突破共享网络中的地理位置，还可以有效地限制广播风暴的产生；跨VLAN网段的访问需要路由实现，通过路由器或三层交换机来完成