admin 管理员组

文章数量: 887021

作者:BSXY_19计科_陈永跃_24年3月更
BSXY_信息学院
注:未经允许禁止转发任何内容

注:资源说明,请看前言及资源下载说明

软考中级网工考试笔记(涉及表格用图片代替_5万字左右)

  • 前言及资源下载说明
  • 第一章 计算机基础知识
    • 一、数据表示
      • (一)定点和浮点和整数
      • (三)取值范围
    • 二、逻辑计算机
    • 三、计算机系统的组成与体系
      • (一)中央处理器CPU
      • (二)组成原理
      • (三)硬件基础
      • (四)计算机系统基础
      • (五)设备管理
    • 四、总线系统
    • 五、指令系统
    • 六、CISC与RISC指令
    • 七、计算机分类(Flynn)
    • 八、存储系统
      • (一)硬盘
      • (二)Cache
      • (三)RAID技术
      • (四)主存储器
      • (五)存储系统的存取方式
      • (六)内部存储与外部存储
    • 九、磁盘整列RAID
    • 十、云计算与系统可靠性
  • 第二章 计算机网络概论
    • 一、计算机网络概论
    • 二、计算机网络分类
    • 三、网络协议体系结构
    • 四、计算机网络传输过程
  • 第三章 知识产权与标准化
    • 一、知识产权
  • 第四章 数据通信基础
    • 一、数据通信
    • 二、数据通信计算
    • 三、通信传输介质
    • 四、数据调制与编码
    • 五、数据通信方式
    • 六、数字传输标准
    • 七、数据交换技术
    • 八、多路复用技术
    • 九、数据检错纠错
  • 第五章 广域通信网
    • 一、广域网概念和分类
    • 二、公共交换电话网PSTN
    • 三、公共数据网X.25
    • 四、帧中继网FR
    • 五、综合业务数据网ISDN
    • 六、异步传输模式ATM
  • 第六章 局域网和城域网
    • 一、局域网体系和标准
    • 二、数据链路LLC和MAC
    • 三、交换式以太网
    • 四、高速以太网
    • 五、虚局域网VLAN
    • 六、局域网互联
    • 七、生成树网桥
    • 八、源路由网桥
    • 九、城域网简介
  • 第七章 无线通信网
    • 一、无线移动通信
    • 二、无线局域网
    • 三、无线个人网
  • 第八章 网络互联与互联网
    • 一、网络互联设备
    • 二、因特网协议IP
    • 三、控制报文协议ICMP
    • 四、无线城域网
    • 五、IP与子网掩码
    • 六、地址解析协议ARP
    • 七、内部路由协议RIP
    • 八、内部路由协议OSPF
    • 九、外部路由协议BGP
    • 十、传输层协议TCP
    • 十一、传输层协议UDP
    • 十二、常用应用层协议
    • 十三、路由器技术NAT
    • 十四、路由器VLSM和CIDR
    • 十五、路由器技术QoS
    • 十六、路由器技术MPLS
    • 十七、路由器技术组播
    • 十八、路由技术ACL
    • 十九、DHCP协议
  • 第九章 下一代互联网
    • 一、IPV6基础知识
    • 二、IPV6过渡技术
    • 三、移动IP和IPV6
    • 四、IPV6路由协议
  • 第十章 网络安全与应用
    • 一、网络安全基础
    • 二、信息加密技术
    • 三、数字签名技术
    • 四、密钥管理技术
    • 五、虚拟专用网VPN(IPSec)
    • 六、应用层安全协议
    • 七、防火墙技术
    • 八、计算机病毒 & 防范
    • (一)病毒与木马
    • (二)病毒防治方式
    • 九、IDS与IPS
    • 十、网络故障
  • 第十一章 网络应用服务器
    • 一、网络服务器
    • 二、进程管理
    • (一)死锁问题
    • (二)其他
    • 三、server 2008基础
    • 四、Linux基础
    • 五、WEB服务器安装配置
    • 六、FTP服务器安装配置
    • 七、Apache服务器
    • 八、DNS服务器安装 & 配置
    • 九、DHCP服务器安装配置
    • 十、Linux Samba简介
    • 十一、windows 2008安全策略
      • (一)Windows 2008安全策略
      • (二)Windows五种身份认证
  • 第十二章 组网技术
    • 一、交换路由基础知识
      • (一)交换机
      • (二)路由器
    • 二、交换机VLAN实验
    • 三、RIP与BDF联动实验
    • 四、动态路由IS-IS实验
  • 第十三章 网络管理
    • 一、网络管理结构
    • 二、简单网管协议SNMP
    • 三、结构化布线系统
    • 四、管理信息库MIB
    • 五、网络管理工具和命令
    • 六、网络存储技术
  • 第十四章 网络规划与设计
    • 一、网络设计基础
    • 二、通信流量分析
    • 三、逻辑网络设计
    • 四、物理网络设计
    • 五、网络需求分析
  • 第十五章 命令图和协议
    • 一、网络协议神图
    • 二、常用命令图
      • (一)netstat
      • (二)nslookup
      • (三)route print
      • (四)tracert

前言及资源下载说明

第二版说明:
中级网工考试笔记第2版+高清网络协议神图+常见编码图+网工常见诊断命令实践图+配套视频及其课件+相应模拟器和相应资源 获取方式如下:

公众号(小猿网),回复“中级网工”即可

资源为收费资源,如不符合您的消费观,
还请您见谅

由于公众号可能目前没有太大的曝光度,搜索时可能
不是置顶的公众号。这时可以多往下滑一下找到该公
众号,或者直接到文章结尾处获取公众号二维码即可

可能你从其他地方购买的或是其他的来的各种笔记都是几个甚至几十个文件排版也相当不好的文件让你去自己慢慢阅读,慢慢找。这里笔记只有一个文件且体积小也可以编辑,如果是用着WPS云文档也可上传到自己的云文档中,排版的也还可以,即便是打印出来也可以很好的进行阅读与查看

排版:

第一章 计算机基础知识

一、数据表示

(一)定点和浮点和整数

  • 定点表示法表示的数(称为定点数)常分为定点整数和定点小数两种
  • 定点表示法中,小数点需要占用一个存储位
  • 浮点表示法用阶码尾数来表示数,称为浮点数
  • 在总位数相同的情况下,浮点表示法可以表示更大的数
  • 定点整数的最大值为:2n-1-1
  • 定点小数的最大值为:1-2-(n-1)
  • 正数:0;负数:1;原码–>数值的二进制
  • 原码和反码表示范围:-127~+127 补码和移码表示范围:-128~+127

(三)取值范围

  • 注:上文中出现的数据的取值范围可能不一定是用n-1来表数据,上表中把所有的n-1改为n也可能会出现,如:定点整数的原/反范围为-(2n-1-1)2n-1-1,这时也可以变换写成-(2n-1)2n-1

二、逻辑计算机

  • 黑盒测试注重于测试软件的功能性需求,黑盒测试试图发现以下类型的错误:功能错误或遗漏界面错误数据结构或外部数据库访问错误、性能错误、初始化和终止错误
  • 白盒测试中,白盒可以发现:代码路径中的错误、死循环、逻辑错误
  • 白盒测试方法,应根据程序的内部逻辑指定的覆盖标准确定测试数据

三、计算机系统的组成与体系

(一)中央处理器CPU

  • ALU运算器、通用寄存器、状态寄存器、程序技术器、累加器等部件都是属于CPU中的部件
  • CPU产生每条指令的操作信号并将操作信号送往相应的部件进行控制
  • 程序计数器PC除了存放指令地址,不可以临时存储算术/逻辑运算结果
  • CPU中的控制器决定计算机运行过程的自动化
  • 指令译码器是CPU控制器中的部件
  • 在CPU中用于跟踪指令地址的寄存器是==(程序计数器(PC)(属于CUP的控制器组成部件)==
  • 通用寄存器常用于暂存运算器需要的数据或运算结果
  • 地址寄存器(MAR)和数据寄存器(MDR)用于访问内存时的地址和数据暂存
  • ==指令寄存器(IR)==用于暂存正在执行的指令
  • 在CPU中,常用来为ALU执行算术逻辑运算提供数据并暂存运算结果的寄存器是(累加寄存器)中
  • 计算机CPU对其访问速度最快的是(通用寄存器
  • 加法器是算术逻辑运算单元的部件
  • 指令系统采用不同的寻址方式的目的是(扩大寻址控件并提高编程灵活性
  • 为便于实现多级中断嵌套,使用(堆栈)来保护断点和现场最有效
  • CPU的中断响应时间指的是(从发出中断请求到开始进入中断处理程序
  • 最大吞吐率取决于流水线中最慢一段所需的时间
  • 如果流水线出现断流,加速比会明显下降
  • 要使加速比和效率最大化应该对流水线各级采用相同的运行时间
  • 流水线采用异步控制并不会给流水线性能带来改善,反而会增加控制电路的复杂性

(二)组成原理

  • I/O接口编制分为:统一编制,单独编制。统一编制通过访问内存单元的指令访问I/O接口。单独编制需要设置专门的I/O指令访问I/O接口
  • 在计算机系统中采用总线结构,便于实现系统的积木化构造,同时可以(减少信息传输的数量
  • 流水线方式不可以提高指令的执行速度
  • 总线宽度是指总线的线数,即数据信号的并行传输能力,也体现总线占用的物理空间和成本;总线的带宽是指总线的最大数据传输率,即每秒传输的数据总量。总线宽度与时钟频率共同决定了总线的带宽
  • 带宽(MB/S)=时钟频率(MHz)/时钟周期×总线宽度(bit)/8
  • 并行总线适合近距离高速数据传输
  • 串行总线适合长距离数据传输
  • 单总线结构在一个总线上适应不同种类的设备,但无法达到高的性能要求
  • 专用总线在设计上可以与连接设备实现最佳匹配
  • 中间代码可以用树和图表示

(三)硬件基础

  • SSD实质上是(Flash)存储器
  • 固态硬盘常见的的接口有:SATA、PCle、M.2
  • (相联存储器)是指按内容访问的存储器
  • 闪存掉电后信息不会丢失、属于非易失性存储器;以块为单位进行删除操作;在嵌入式系统中用来代替ROM存储器

(四)计算机系统基础

  • 计算机指令一般包括操作码和地址码两部分,为分析执行的一条指令,其中操作码地址码都应存入指令寄存器(IR)中
  • 指令寄存器的位数取决于( 指令字长 )
  • 指令周期:取出并执行一条指令所需时间
  • 总线周期:CPU从存储器或者I/O接口存取一个字节所需时间
  • 时钟周期:CPU处理动作的最小单位
  • 相互关系:一个指令周期可以划分一个或多个总线周期;一个总线周期可以划分几个时钟周期

(五)设备管理

  • 若某计算机系统的I/0接口与主存采用统一编制,则输入操作是通过==(访存)==指令来完成的

四、总线系统

  • 总线系统一把可分为:数据总线DB、地址总线AB、控制总线
  • 广义地讲,任何连接两个以上电子元器件的导线都可以称为总线。通常可分为4类:
  • ①芯片内总线。用于在集成电路芯片内部各部分的连接。
  • ②元件级总线。用于一块电路板内各元器件的连接。
  • ③内总线,又称系统总线。用于构成计算机各组成部分(CPU、内存和接口等)的连接。
  • ④外总线,又称通信总线。用计算机与外设或计算机与计算机的连接或通信。
  • 连接处理机的处理器、存储器及其他部件的总线属于内总线,按总线上所传送的内容分为数据总线、地址总线和控制总线
  • CUP响应DMA请求是在一个总线周期结束时
  • DMA工作方式下,在主存与外设之间建立直接的数据通信
  • 总线:并行总线适合近距离高速数据传输;串行总线适合长距离数据传输;专用总线在设计上可以与连接设备实现最佳匹配

五、指令系统

1、指令由操作码地址码组成,指令长度分为固定长度可变长度两种
2、立即寻址:指令的地址码字段给出的不是操作数的地址而是操作数本身。其特点是访问一次存储器就可同时去除指令和操作数
3、变址寻址:操作数的地址由某个变址寄存器的内容位移量相加
4、直接寻址(寄存器寻址):指令的地址码字段给出操作数所在存储单元地址(寄存器号)
5、间接寻址(寄存器间接寻址)操作数的地址主存(寄存器)中的存储单元的内容

六、CISC与RISC指令

七、计算机分类(Flynn)

八、存储系统

(一)硬盘

  • 磁盘调度管理中,通常进行移臂调度,进行旋转调度
  • SSD 固态硬盘的存储介质分为两种,一种是采用闪存(FLASH 芯片)作为存储介质,这种是主流。另 外一种是采用 DRAM 作为存储介质。

(二)Cache

  • Cache的功能:提高CPU数据输入输出的速率,突破所谓的“冯诺依曼瓶颈”,即CPU与存储系统间数据传送宽带限制
  • 在计算机的存储体系中,Cache是访问速度最快的层次
  • 使用Cache改善系统性能的依据是程序的局部性原理
  • 如果以h代表Cache的访问命中率,t1表示Cache的周期时间,t2表示主存储器时间,以读操作为例,使用“Cache+主存储器”的系统平均周期为t3,则:
  • t3=h×t1+(1-h)×t2
  • 其中(1-h)又称为失效率(未命中率)
  • Cache的设计思想是在合理成本下提高命中率
  • Cache和主存之间的映射交换,由硬件自动完成。

(三)RAID技术

  • RAID 0磁盘利用率100%
  • RAID 1利用率50%,
  • RAID3,磁盘利用率(n-1)/n,有特定的奇偶校验盘,可靠性较高
  • RAID 5磁盘利用率(N-1)/N,N最小取3,没有特定校验盘,校验数据分散存放在各个盘上。可靠性较高。
  • RAID 6磁盘利用率(N-2)/N,N最小为4。
  • RAID10: RAID1 和 RAID0 的结合,先镜像再条带化
  • RAID01:RAID0 和 RAID1 的结合,先条带化再进行镜像

(四)主存储器

  • 主存储器简称为主存、内存,设在主机内或主机板上,用来存放机器当前运行所需要的程序和数据,以便向CPU提供信息。相对于外存,其特点是容量小速度快。
  • 主存储器主要由存储体控制线路、地址寄存器、数据寄存器和地址译码电路等部分组成
  • 计算机系统的主存主要是由(DRAM)构成
  • 计算机采用分级存储体系的主要目的是为了解决存储容量、成本和速度之间的矛盾
  • 随机访问存储器(RAM)有两类:静态的(SRAM)和动态的(DRAM), SRAM 比DRAM速度更快,但也贵得多。SRAM用来作为高速缓冲存储器(Cache), DRAM 用来作为主存及图形系统的帧缓冲区。
  • EEPROM是电可擦除可编程只读存储器。
  • SAN是一种连接存储管理子系统存储设备的专用网络。SAN分为FC SAN和IP SAN,其中FC SAN采用光纤信道技术互联;IP SAN采用以太网技术互联;SAN可以被看作是数据传输的后端网络,而前端网络则负责正常的TCP/IP传输

(五)存储系统的存取方式

(六)内部存储与外部存储

  • 常见的虚拟存储器由(主存-辅存)两级存储器组成
  • 栈区堆区也称为动态数据区,全局变量的存储空间时候静态数据区
  • 一个运行的程序对应一个进程,需要相应的存储空间;一个进程可以包含一或多个线程

九、磁盘整列RAID

1、RAID0技术:

  • 可以同时对多个磁盘做读写动作,但不具备备份和容错能力,价格便宜,写入速度快,但是可靠性最差,磁盘利用率100%(条带)
  • 优缺点/领域:不会占用太多CPU资源设计、使用和配置比较简单;无冗余,不能用于对数据安全性要求高的环境;视频生成和编辑、图像编辑
    2、RAID1技术:
  • 使用磁盘镜像技术,使用效率不高,但是可靠性高,利用率为50%
  • 优缺点/领域:具有100%数据冗余;开销大,空间利用率只有50%在写性能反面提升不大;金融、财务等高可用、高安全的数据存储环境

十、云计算与系统可靠性

  • 云计算的模式主要有三种:IaaS(基础设施即服务);SaaS(软件即服务);PaaS(平台即服务)
  • 失效率:产生故障的概率。
  • 平均无故障时间MTBF :相邻两个故障间隔时间的平均值,越大越好。
  • 平均故障修复时间MTTR :修复一次故障所时间的平均值,越小越好。
  • 可用性:系统的可靠性。

第二章 计算机网络概论

一、计算机网络概论

1.计算机网络是通过通信线路和通信设备连接的许多的分散独立工作的计算机系统,遵从一定的协议用软件实现资源共享的系统
2.组成分为硬件、软件、协议三部分,协议为计算机网络中进行数据交换而建立的规则、标准或约定的集合
3.协议分为国际标准OSI/RM七层协议和公认标准TCP/IP四层协议(或五层)。TCP/IP协议簇,包括一系列常用协议

二、计算机网络分类

1.(1)按分布范围:分为域网、域网、广域网。(2)按拓扑结构:分为型、型、型等。(3)其他分类:公用网与专用网;通信网ISP与信息网ICP;校园网与企业网;骨干网与接入网;有线网与无线网等
2.局(LAN)、城(MAN)、广(WAN)域网对比

三、网络协议体系结构

1.OSI/RM(开放系统互联参考模型) 七层是应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。
2.TCP/IP(因特网传输协议)四层是应用层、传输层、互联网层、网络接口层。也有五层说法,网络接口层分为物理层、数据链路层。


四、计算机网络传输过程

1.网络数据传输过程——解封装、数据封装

第三章 知识产权与标准化

一、知识产权


1.构成保护计算机软件著作权的两部基本法律是:《中华人民共和国著作权》《计算机软件保护条例》

第四章 数据通信基础

一、数据通信

1.基本概念:信源、信道、信宿;数字信号、模拟信号;模拟通信、数字通信(信道中传送)
2.光纤传输测试指标中,回波消耗是指信号反射引起的衰减

二、数据通信计算

1.模拟信道带宽计算:W=f2-f1,其中f1是低频,f2是高频。物理介质做成,带宽就固定了
2.数字信道带宽计算:尼奎斯特定律(无噪声):
W:带宽 B:码元速率、波特率 n:信号量(位bit) N:码元种类 R:数据速率(bit/s)

  • 码元速率:B=2W
  • 码元种类:n=log2N
  • 数据速率:R=Blog2N=2Wlog2N
  • 对数计算:N=4,log24=log2(22)=2
    3.数字信道带宽计算:香农定律(有噪声)
    C:数据速率 W:信道带宽 S:信号平均功率 N:噪声的平均功率 S/B:信噪比(一般dB表示)
  • 香农定律:C=Wlog2(1+S/N)
  • 信噪比公式:dB=10lg(S/N)
    4.数据速率®=每秒钟传送X个字符×(a+b+c+d);其中,每秒钟传输的X字符=有效速率/b位数据位;其中B=1/T;1s=106us;eg:周期为125us,即B=1000000/125=8000Hz
    5.采用曼彻斯特编码方式的数字通信中,波特率是数据速率的2倍,曼彻斯特编码
    不需要额外传输同步信号

    6.常用单位换算和数据
  • 1B=8b
  • 1s=103ms=106us
  • 通信换算进率1000 1G=1000M 存储换算进率1024 1G=1024M
  • 电缆延迟:200m/us(光速300m/us的70%)(200km/ms,200000km/s)

三、通信传输介质

1.同轴电缆:分为粗同轴电缆、细同轴电缆。传送距离长,信号稳定,常用语电视监视系统,音响设备传送音。数字信号(基带),模拟信号(带宽)
2.光纤(光缆):分为单模光纤SMF(采用ILD激光二极管)、多模光纤MMF(采用LED发光二极管)对比:单模:高贵细远
3.在FTTx组网方案中的光纤覆盖范围对比:FTTH>FTTB>FTTC>FTTN
4.FTTN(Node)是光纤到节点,FTTC(Curb)是光纤到路边,FTTH(Home)是光纤到用户,FTTZ(Zone)是光纤到小区,FTTB(Building)是光纤到大楼,FTTD(Desk)到桌面,FTTO(Office)到办公室,FTTF(Floor)到楼层
5.无线信道:分无线电波红外光波

四、数据调制与编码

1.模拟信道调制:分为调幅ASK(高低)调频FSK(疏密)调相PSK(屁股)正交调幅QAM


2.数字信道编码:分为采用(2倍)、量化(等级)、编码(二进制)三个步骤
3.常见调制技术与默认码元数:n=log2N

4.单极性码:正电压表示1,另外一种状态表示0;极性编码:正电压和负电压表示;归零码RZ,有正电平、负电平、零电平,正电平代表1,负电平表示0;曼彻斯特编码:负电平到正电平的跳变代表1,反之代表0,反之亦可;差分曼彻斯特编码:比特开始位置没电平跳变表示1,有电平跳转表示0;双极性编码:零电平代表0,正负电平表示1,连续的1必须跳转
5.单击性码、极性码、双极性码、归零码、双相码、不归零码、曼彻斯特编码(不需要额外的传输同步信号)、差分曼彻斯特编码

6.E1信道的数据速率是(2.048Mb/s),E1的控制开销占2/32,数据开销为30/32,E1基本帧的传送时间为125us,其中每个话音信道的数据速率是(64Kb/s),有效的是54Kb/s;T1载波的数据速率是==1.544Mb/s
7.==各种编码效率:

  • Manchester编码是一种双相码运用在不太快以太网中,提供了比特同步信息
  • ==4B/5B效率80%==用于百兆以太网,用于100Base-FX(采用的编码技术为4B/5B+NRZI)、100Base-TX、FDDI
  • 8B/10B效率80% 用于千兆以太网
  • 8B/6T:编码效率为80%,用于100Base-T4
  • 曼码和差分曼码效率50%,曼码用于不太快的以太网,差分用于令牌环网
  • BAMI:2/3
  • NRZI:100%

五、数据通信方式

1.通信方向:单工(电视)、全双工(手机)、半双工(对讲机)
2.传输方式:步传输(发邮件什么时候下载都可以,不需要同步)(数据小、距离远、速率慢)、步传输(两端同时工作)(数据大、距离近、高速率

六、数字传输标准

1.T1标准:1.544Mbps、125us=8000次。1.544Mbps=[24*(7+1)+1]8000。T2=4T1;T3=7T2;T4=6T3(T476)(美国和日本采用的标准)
2.E1标准(时分复用TDM):2.048Mbps、125us=8000次。2.048Mbps=3288000。CH0和CH16控制信令30个话音数据。E2=4E1;E3=4E2;E4=4E3(口诀:E444)(中国和欧洲)
3.SONET标准(美国制定)和SDH标准(国际标准):用于光纤网络。155.520(OC-3:155.520 155Mbps;OC-12:155.520
4 4*155Mbps;OC-1:OC-3除以3)

七、数据交换技术

1.电路交换:优点:独占性、实时性,适合传输大量的数据;缺点:需建立一条物理连接,利用率低(早期的电话系统)
2.报文交换:优点:不需要专用通达,线路利用率高,存储转发节点可校验纠错;缺点:有通信时延。比如物流包裹
3.分组交换:优点:利用率更高、可选路径、数据率转换、支持优先级;缺点:时延、开销大。比如邮局寄信。又分为数据报和虚电路
4.

  • 分组数据报:单向传送、无连接的。如普通信
  • 分组虚电路:交互式、逻辑链接。如挂号信

八、多路复用技术

1.频分复用FDM:不同的频率子信道隔离频带防串扰,如CATV,WIFI。
2.时分复用TDM:不同的时间,轮流占用,如手枪、手机。分为同步时分T1、E1; 统计时分,如ATM
3.波分复用WDM:不同的波长,如光纤

九、数据检错纠错

1.检错码:奇偶校验看1的个数是奇数/偶数只能检错不能纠错。移动通信广泛采用。
2.海明码是一种可以纠正错误的差错编码;循环冗余校验码只能检测出错误,而不能纠正错误;奇偶校验码在1的个数的奇偶性没有发生变化时是检测不出错误的。
3.一对有效码字之间的海明距离是( 两个码字之间不同的比特数 )
4.海明码:在数据位m后面增加冗余校验位k,组成信息m+k,则满足m+k<2k-1可纠正一位错误(一位一位纠正可)。不但检错还能纠错

  • 码距d:也叫海明距离,两个码字之间不同的最小的位数(比特数)
  • 可以查出多少位错误:≤d-1
  • 可以纠正多少位错误:<d/2
    5.CRC码:冗余循环校验码,是一种循环码,通过循环位移,实现检错,硬件容易实现,广泛用于于局域网。只能检错不能纠错

第五章 广域通信网

一、广域网概念和分类

1.广域网是指长距离跨地区的各种局域网、计算机、终端互联在一起组成一个资源共享的通信网络。
2.传统广域网和现代广域网

3.X.25、FRN、ATM:分组交换;ADSL用于连接公共交换电话网PSTN:电路交换网
4.无光源网络:

二、公共交换电话网PSTN

1.公共交换电话网PSTN:利用电话线上网,早期是电话+“猫”拨号上网。
2.调制解调器Modem:俗称“猫”作用是把电话线里面的模拟信号和数字信号互相转换,V.90标准可以达到56Kb/s。(电话猫、电视猫、电力猫、光纤猫等)
3.数据终端设备DTE,如用户的计算机、电话等。数据电路设备DCE,如调制解调器。DTE和DCE两端要同步

三、公共数据网X.25

1.X.25使用分组交换,分为三层:物理层、链路层、分组层。对应于OSI的低三层。采用虚拟电路、面向连接的。采用后退N帧ARQ、滑动窗口默认2
2.流量控制技术:协调收发端流量。==假设没有传输错误的流控技术:==停等协议。发送一帧,等到应答,再发送;如果不应答,一直等。类似银行柜台存钱,一个个存钱
3.==假设没有传输错误的流控技术:==滑动窗口协议。连续发送多个帧而无需应答。类似银行ATM机,一沓一沓存钱
4.差错控制技术:检查和纠正传输错误。

  • 肯定应答:收到肯定应答信号ACK继续发送
  • 否定应答重发:收到否定应答信号NAK重发出错帧。
  • 超时重发:超过规定时间重发该帧。这种技术称为自动请求重发ARQ。
    5.ARQ分为三种:停等ARQ、选择重发ARQ、后退N帧ARQ。
  • 停等ARQ:是停等流控和ARQ结合。类似银行柜台存钱,手续齐全办理,叫号等时间长下一位,忘带身份证不办理。
  • 选择重发ARQ:是滑动窗口和ARQ结合。类似银行ATM一沓一沓存钱,这张是假币,选择这一张重发。如卫星通信
  • 后退N帧ARQ:也是滑动窗口和ARQ结合。类似银行验钞机一沓一沓数钱,这张是假币,选择这一张包括后面的都要重发
    6.各种流控和差错利用率计算如下。
  • ①常数a值的计算:a=(d/v)/(L/R)=(RT)/L=(Rd/v)/L
    R=数据速率,d=线路长度,v=传播速度,L=帧长,T=传播迟延
  • ②效率E值的计算:停等协议:E=1/(2a+1)
    滑动窗口:E=W/(2a+1
  • ③窗口W值的计算:选择ARQ:W≤2k-1
  • 后退ARQ:W≤2k-1
  • 高级数据链路控制协议HDLC:面向比特的。通常使用CRC-16、CRC-32校验。帧边界01111110 “两头踢皮球”。用户数据字段INFO大小.不固定固定大小的滑动窗口协议用在数据链层的HDLC中
  • HDLC协议中,帧的编号和应答存放在控制字段中
  • 在HDLC协议中,如果监控帧中采用SERJ应答,表明差错控制机制为选择重发/选择性拒接ARQ
  • 00–接收就绪(RR);01–拒接(REJ);10–接收未就绪;11–选择拒接(SREJ)
  • 采电HDLC协议进行数据传输时,RNR5表明下一个接收的帧编号应为5,但接收器末准备好,暂停接收

四、帧中继网FR

1.帧中继FR是X.25演变改进的。

  • 工作在OSI的低两层,即物理层和链路层
  • 在第二层建立虚电路(与X.25一样,也支持永久虚电路PVC和交换虚电路SVC),承载数据业务,因而第三层被简化了。也是分组交换
  • 提供面对连接的服务;一种高效的数据链路技术;利用了光纤通信和数字网络技术的优势
  • FR只做检错不再重传没有流控只有拥塞控制检错交高层
    2.帧中继主要优点有
  • 基于分组(帧)交换的透明传输,可提供面向连接的服务
  • 帧长可变,长度可达1600~4096字节,可以承载各种局域网的数据帧。
  • 数据速率可这2~45Mbps
  • 既可以接需要提供带宽也可以应付突发的数据传输
  • 没有流控和重传机制开销很少

五、综合业务数据网ISDN

1.综合业务数据网ISDN:基于电路交换,把数据、声音、视频信号三合一传输。

  • ISDN两种速率:
    N-ISDN基本速率BRI(2B+D)(主要是家庭)(144Kb/s)
    N-ISDN基群速率(主速率接口)PRI(30B+D)(主要是企业)(2048Kb/s)(组成ISDN称为:B-ISDN PRI(宽带-ISDN-基群速率))(B代表宽带,N代表窄带
  • B信道数据信道;D信道控制信道
    2B+D=264+16=144Kb/s
    30B+D=30
    64+64=1.984Mb/s(近似E1)

六、异步传输模式ATM

1.异步传输模式ATM:最早是B-ISDN标准的一部分,分为四层模式

2.ATM规定了4类用户业务:
3.VPI用来表示不同虚拟路径,CIR用来约束数据速率
4.ATM采用53字节信元分组交换,使用统计时分TDM。采用双绞线或光纤,典型数据速率155M,面向连接,使用虚电路的虚通路VPI和==虚信道VCI
5.ATM业务类型

第六章 局域网和城域网

一、局域网体系和标准

1、局域网的概念:单一机构拥有计算机网络,中等规模地理范围,实现设备互联、信息交换和资源共享
2、LAN/MAN的IEEE802标准,重点掌握:802.3(CSMA/CD)、802.11(无线局域网)、802.16(无线城域网)

3、CSMA/CD是IEEE802.3的核心算法
4、IEEE802.3规定的最小帧长为64字节
5、城域网的特征:以光传输网为基础;融合无线城域网;支持电信、电视与IP业务
6、城域网管理中:利用传统电信网进行的网络管理称为“带内”管理;利用IP协议进行的网络管理称为“带外”管理;汇聚层以下采用带内管理
7、802.11在MAC层采用了CSMA/CA算法

二、数据链路LLC和MAC

1、逻辑链路控制LLC:目的是屏蔽不同的介质访问控制方法,以向高层(网络层)提供统一的服务和接口LLC地址是SAP(服务访问点)。这个标准与HDLC是兼容的,无帧校验字段,放到了MAC层。同时提供目标地址和源地址字段。

当源地址/目的地址中:I/G=0是单地址,等于1是组地址;
当控制字段中C/R=0是命令,等于1是响应
在LLC2中,管理帧I:信息;管理帧中RR:接收准备好;RNR接收未准备好;REJ:拒接
2、介质访问控制MAC:其中,长度字段表示数据实际长度,最大1500。同时还可以表示上层协议类型,1501以上的值,如图是以太网帧格式:

其中长度:可以表示数据字段长度也可以表示上层协议的类型
3、MAC地址:采用16进制数表示,共6B(48位),有IEEE和厂家烧制到网卡上
4、以太网结构中填充字段的作用是保持最小帧长
5、CSMA/CD协议:载波监听多路访问/冲突检测。是分布式介质访问控制方法

6、最小帧长计算:为了检测到冲突。L=2R×d/v其中,R为网络数据速率,d为最大段长,v为信号传播速度
7、二进制后退指数算法

  • 考虑网络负载变化;
  • 后退次数和负载大小有关
  • 重发次数最大为16,然后上报高层协议。

三、交换式以太网

1、概念:以太网:早期的802.3局域网,10Mbps。来源于光在空气中传播的介质“以太(ether)”,由此得名“以太网”寓意无处不在的网络。
2、交换式以太网核心部件是交换机,有一个高速底板,插上一些插槽,插槽上有一些连接器,用于连接10M网卡的主机。如:E0/0,F0/1,(插槽/接口);G0/0/0(插槽/模块/接口)
E:以太网,F:快速以太网,G吉比特以太网
3、以太网采用了二进制指数后退算法特点是网络负载越重,可能后退的时间越长
4、以太网交换机连接的一组工作站,组成了一个广播域,但不是一个冲突域
5、双绞线分为
交叉
双绞线和直通双绞线;同种设备连接用交叉双绞线(PC和路由器,服务器与服务器等);不同种设备用直通线(PC与交换机,服务器与交换机)
6、链路聚合是多个物理链路聚合合成一个逻辑链路

四、高速以太网

1、快速以太网:802.3u标准,速率可到 100M,100Base-T/F规范。FLP快速链路脉冲;T表示非屏蔽双绞线,C表示屏蔽双绞线,F表示光纤


2、千兆以太网:802.3z标准,速率可到 1Gbps,兼容10M/100M以太网。帧突发

3、万兆以太网:802.3ae标准,速率可达万兆(10Gbps),只支持光纤,只支持全双工不再采用CSMA/CD,可用于城域网


4、光以太网:利用光纤的带宽有事,结合以太网成熟的技术,为新一代的宽带城域网提供技术支持。光以太网具备的特征有:(1)能够根据用户的需求分配带宽;(2)具有认证和授权功能;(3)提供计费功能;(4)支持VPN和防火墙,保证网络安全;(5)支持MPLS,提供QoS服务;(6)方便快速灵活的适应用户和业务的拓展

五、虚局域网VLAN

1、虚拟局域网VLAN概念:根据管理功能、组织机构或应用类型,对物理网络进行分 段而形成的逻辑网络,与用户的物理位置无关
2、不通VLAN在不同广播域,切割广播域,减少广播提高网络性能,增加网络安全,使网络易于维护,更具逻辑性,
3、在运营商中,一般会有多个用户和不同的业务流需要融合。运营商常用外层VLAN区分不同的业务流,在ONU或家庭网关处采用内层VLAN来区分不同的用户;这种处理方式要求运营商网络或用户局域网中的交换机都支持802.1q协议,同时通过802.1ad(运营商网桥协议)来实现灵活的QinQ技术
4、VLAN划分方式:①静态分配VLAN:基于端口。②动态分配VLAN:基于MAC地址(2层)、网络层IP(3层)、规则策略(高层)等
5、如果校园网中办公室用户没有移动办公的需求,采用基于交换机端口的VLAN划分方法比较合理;如果有的用户需要移动办公,采用基于MAC地址的VLAN划分方法比较合适
6、VLAN划分的好处①控制网络流量,抑制广播风暴。②提高网络安全性,不同VLAN之间可做控制。③网络管理灵活,用户可以随地接入网络
7、不同VLAN之间通信:需要路由器或三层交换机
8、VLAN标准802.1q(dot1q)在原来的以太帧中增加了4B的控制信息,其中包含12位VLAN标识符VID。可用4094个VLAN。

9、VLAN两种端口:接入端口Access(通过单个VLAN)和中继端口Trunk(通过多个VLAN)
10、双绞线与光纤:

  • 双绞线:最大衰减值 回波耗损限值 近端串扰衰减值 开路/短路 是否错对
  • 光 纤:最大衰减值 回波耗损限值 波长窗口参数 时延 长度
  • 近端串扰仅用于双绞线测试
  • 波长窗口参数和回波损耗限值仅用于光纤的
  • 最大衰减限指既可是光纤也可是双绞线
    11、VLAN的一些叙述:
  • 一个新的交换机默认配置的是VLAN 1
  • 一个VLAN能跨越多个交换机
  • 各个VLAN属于不同的广播域(一个VLAN就是一个广播域)
  • VLAN对分组进行过滤,增强了网络的安全性
    12、WLAN接入安全控制中,采用的安全措施有SSID访问控制物理地址过滤WPA2安全认证、更改默认设置、更新AP
    13、在缺省配置是交换机所有端口属于同一个VLAN中,
    14、VLAN标记中
  • 不同交换机之间的相同VLAN必须通过中继端口连接才能互相通信
  • 交换机根据目标地址和VLAN标记进行转发决策
  • 进入目的网段时,交换机删除VLAN标记,恢复原来的帧结构
  • VLAN标记对用户是透明的
  • VLAN简化了在网络中增加、移除和移动主机的操作
    15、VLAN ID必填,由12bit表示,范围是1-4096,其中1是缺省VLAN,一直存在不能删除;1-1000可用于以太网,1002可用于FDDI和令牌环,1025-4096是扩展的VLAN ID

六、局域网互联

1、局域网互联设备:2层网桥(生成树、源路由)、3层交换机、路由器。网桥要求3层以上协议相同,1、2层协议不同可互联。

2、网桥如果从端口收到一个数据帧,则将其源地址记入该端口的数据库的方式来知道网络端口连接了哪些网站;当网桥连接的局域网出现环路时,运行生成树协议阻塞一部分端口

七、生成树网桥

1、生成树网桥:又叫透明网桥IEEE802.1d,生成树算法。基本思想是在网桥之间传递BPDU,比较参数,根据STP打开好端口,阻塞差端口,沿着好的端口建立路径。边走边拐弯。用于以太网

2、生成树网桥步骤:①确定根桥②确定根端口③确定指定桥④确定指定端口⑤阻塞剩余端口⑥形成无环网络(上图)
3、出现像以上路由环路可能会产生:(1)广播风暴 (2)MAC地址表不稳定 (3)帧复制的现象
4、生成树网桥计算数据:

  • 确定根桥ID:优先级+MAC地址都选最小(网桥ID由2字节的网桥优先级和6字节的MAC地址组成)
    优先级0~65535,默认32768(±4096)
  • 确定根端口:优先级+编号,都选最小的
    优先级0~255,默认128
  • 三小原则:优先级、MAC地址、通路费用
  • 最小交换机ID(BID或桥ID)就包含了优先级和MAC地址两个参数了
    5、生成树端口的四种状态:
  • Blocking(阻塞):接收BPDU,不学习MAC地址,不转发数据帧。20S
  • Listening(侦听):接收BPDU,==不学习MAC地址,不转发数据帧,但交换机向其他交换机通告该端口,参与选举根端口或指定端口
  • Learning(学习):接收BPDU,学习MAC地址,不转发数据帧。
  • Forwarding(转发):正常转发数据帧。
  • 阻塞→20秒→侦听→15秒→学习→15秒→转发
    6、生成树种类和标准
  • 多生成树MSTP-IEEE 802.1s
  • 快速生成树RSTP-IEEE 802.1w
  • 生成树STP-IEEE 802.1d
  • 端口认证 基于用户-IEEE 802.1x(基于MAC地址)
  • 口诀记忆:多快生口,是s我w弟d兄x
    7、生成树协议STP使用了网桥优先级和MAC地址来选举根网桥
    8、生成树协议STP协议的作用是防止二层环路;运行在交换机和网桥上
    9、网桥协议数据单元(BPDU)包含两种:配置BPDU<=35B;拓扑变化通知BPDU<=4B
    10、Bridge ID用8个字节表示;阻塞的端口仍然是一哥激活端口,但它只能接受BPDU
    11、快速生成树技术主要包含:(1)backonefast:网中链路失效时;(2)uplinkfast:直连链路失效时;(3)portfast:只适合用于端口连接单个主机妆发状态;(4)BPUD Filter:强行要求端口转发为转发状态

八、源路由网桥

1、源路由网桥:IEEE 802.5,基本思想是发送探测帧到目的节点,返回路径以后沿着路径再传送。发送帧在这条路径上就传送,不在这条路径上就发送广播,查询路径,选择最优路径再传送。选好路再走。令牌环网。

九、城域网简介

1、什么是城域网?城域网比局域网传输距离远,能够覆盖整个城市。能够提供分组传输的数据、语音和视频等多媒体业务。更大的传输容量,更高的传输效率。
2、城域以太网:①以太网专用线、②以太网虚拟专线、③以太局域网服务(E-LAN)最看好
3、无线城域网标准:WiMAX(802.16d固定、802.16e移动)、WiMAXII(802.16m4G)
Q-in-Q:运营商网桥协议(PBP)IEEE802.1ad(基于技术是在以太帧中插入运营商VLAN标记字段)。MAC-in-MAC:运营商主干网桥(PBB)IEEE802.1ah

第七章 无线通信网

一、无线移动通信

1、4G:至少100Mbps,下1Gbps,上 500Mbps,使用正交频分多。包含TDD和FDD两种制式。选定的多路复用技术是OFDM(正交频分多路复用)

二、无线局域网

1、无线局域网WLAN:两大阵营:①IEEE 802.11面向数据无连接。②欧洲邮电委HIPERLAN面向语音有连接。奥迪A5

2、802.11的扩频技术就是:用伪随机序列对代表数据的模拟信号进行调频
3、调频扩频技术的特点:(1)抗干扰性能好;(2)隐蔽性强,干扰小;(3)易于实现码分多址;
4、扩频技术:(1)扩频通信减少了干扰并有利于通信保密;(2)每一个信号比特可以用N个码片比特来传输;(3)信号散布到更宽的频带上降低了信道阻塞的概率;
5、扩频通信减少了干扰并有利于通信保密
6、扩展频谱通信的主要思想是将信号散步到更宽的带宽上以减少阻塞和干扰的机会
7、无线局域网WLAN:两种结构:①基础设施网络、②特殊网络Ad Hoc

8、无线局域网WLAN:两种AP(数链层作用是无线接入)(室内30m,室外150m)

  • 胖AP(FAT)一般指无线路由:胖AP多用于家庭和小型网络,功能比较全,一般一台设备就能实现接入、认证、路由、VPN、地址翻译,甚至防火墙功能
  • 瘦AP(FIT)一般指无线网关或网桥瘦AP多用于要求较高的场合,要实现认证一般需要认证服务器或者支持认证功能的交换机配合
    9、无线局域网WLAN:三种技术:①红外线,②扩展频谱,③窄带微波
  • 红外线(IR)分为:定向光束红外线、全向广播红外线,漫反射红外线。
  • 扩展频谱分为:频率跳动FHSS、直接序列DSSS。
  • 窄带微波(RF)分为:申请许可证RF,免许可证RF
  • CSMA/CA:载波监听多路访问冲突避免解决隐蔽终端问题
  • 传数据先检测,如果探测到网络中没有数 据,则等待一个IFS时间,再随机选择一个时间片继续探测,如果无线网路中还没有活动的 话,就将数据发送出去
  • 送出数据前,先送一段小小的请求报文给目标端,收到目标端回应后,在传送大量的数 据,确保不会碰撞,开销最小
    10、三种帧间隔IFS:优先级访问控制
  • DIFS(分布式协调IFS)最长优先级最低
  • PIFS(点协调IFS)中等长度,优先级居中
  • SIFS(短IFS)最短优先级最高立即响应
  • 超级帧:点协调轮询终端。应答帧:分布式
  • DIFS用在CSMA/CA协议中,只要MAC层有数据要发送,就监听信道是否空闲。如果信道空闲,等待DIFS时段后开始发送;如果信道忙,就继续监听,直到可以发送为止。
    11、无线加密协议WEP:认证和加密,明文的。无线保护接入WPA/WPA2:802.1x认证、RC4加密和TKIP数据完整性
    12、无线局域网通常采用的加密方式是WPA2,其
    安全加密算法是AES和TKIP

    13、为了弥补WEP协议的安全缺陷,WPA安全认证方案增加的机制是临时秘钥完整性协议
    14、Ad Hoc网络
    节点之间对等。每个节点既是主机又是路由器形成自组织网MANET。MANET的特点就是:网络拓扑结构是动态变化的;电源能量限制了无线终端必须以最节能的方式工作;每个节点既是主机又是路由器
    15、MANET中的路由协议:

    16、DSDV路由协议:目标排序的距离矢量协议,扁平式先验式,利用序列号解决环路
    17、AODV路由协议:按需分配的距离矢量协议,扁平式,反应式,开销少,适合快速变化的网络。
    18、无线网的安全:隐藏SSID、MAC过滤、WEP/WPA/WPA2、802.11i四个方面
    19、802.11i标准制定的无线网络加密协议WPA是一个基于TKIP算法的加密方案
    20、无线网络加密协议WRAP是一个基于AES算法的加密方案
    21、802.11i采用的加密算法是AES
    22、802.11i:临时秘钥TKIP(RC4)、强制加密协议CCMP(AES128)、任选加密WARP。802.1x
    23、802.1X起源于802.11标准,最初的目的主要是解决无线局域网用户的接入认证问题;如果不能通过验证的话,就无法访问局域网中的资源,相当于物理断开
    24、WEP:RC4加密,CRC-32校验,24初始向量+40比特字符串构成64比特的WEP密钥,24初始向量+104比特字符串=128;WPA的设计中包含了认证、加密和数据完整性校验三个组成部分。48初始向量+80字符串=128密钥。RC4加密,相比起WEP采用了临时秘钥以减少安全风险
    25、WIFI6支持完整版的MU-MIMO;理论吞吐量最高可达9.6Gbps;遵从协议802.11ax;
    26、漫游是由无线客户端主动发起的,决定权在无线客户端这一方面,而并不在无线设备(AP接入控制器、AC无线接入点)这一方面;漫游分为二层漫游和三层漫游;三层漫游必须在同一个SSID;客户端在AP间漫游,AP可以处于不同的VLAN
    27、无线AP有两种工作模式,中继模式时网络SSID号均一致,而在桥接模式时网络SSID号不同
    28、组播报文对无线网络空口的影响主要是(拥塞),随着业务数据转发的方式不同,组播报文的抑制分别在(AP交换机接口)和(AC流量模板)配置
    29、AP发射功率的单位是dbm,天线增益的单位是dbi,这两个值越高,说明无线设备的信号穿透越强

三、无线个人网

1、无线个人网WPAN:小范围,10米左右,手持设备。IEEE 802.15.1/2/3/4标准
2、蓝牙(Bluetooh)技术IEEE 802.15.1:1主设备、7从设备。数据速率1Mbps
3、蓝牙技术中:

  • 工作频段——2.402-2.480GHz
  • 异步信道速率——非对称为723.2Kbps/57.6Kbps,对称433.9Kbps
  • 同步信道速率——64Kbps
  • 信道间隔——1MHz 信道数——79
    4、4个重要协议:RF无线电频率协议、链路控制协议LCP、链路管理协议LMP和链路控制自适应协议L2CAP。
    5、ZigBee(蜜蜂网)技术IEEE 802.15.4:全功能设备FFD,简单功能设备RFD,RFD之间不能通信。一般用于物联网,采用AODV协议
  • 被动式红外传感器是一种简单功能设备,接受协调器的控制
  • 协调器也可以运行某些应用,发起和接受其他设备的通信请求
  • 简单功能设备之间不能相互通信,只能与协调器通信

第八章 网络互联与互联网

一、网络互联设备

1、常用网络互联设备:
1层物理层:中继器、集线器
2层链路层:网桥、交换机
3层网络层:路由器、三层交换机
4层以上高层:网关


2、网络互联设备:①中继器Repeater、集线器Hub(又叫多端口中继器)传输比特01放大信号,延长传输距离

3、网络互联设备:②网桥Bridge交换机Switch又叫多端口网桥,传输帧有源地址、目的地址,有自己的物理地址MAC地址
4、网络互联设备:③路由器Router选择网络路径,传输分组,有自己的逻辑地址IP地址

5、在网络层采用分层编制方案的好处是为了减少了路由表的长度
6、交换机获取与其端口连接设备的MAC地址中,交换机检查端口流入分组的源地址
7、无源网络优势有:

  • 设备简单,安装维护费用低,投资相对较小
  • 组网灵活,支持多种拓扑结构
  • 安装方便不要另外租用或建造机房
    8、网桥查看每个端口出现的帧,将其源地址记入该端口的数据库,这样就可以了解各个端口连接了哪些网站
    9、当网桥连接的局域网出现环路时,所有的网桥通过运行生成树协议,阻塞一部分端口,使得不再出现环路
    10、部署无线控制器设备,实现各会议室的无线网络统一管理,无缝漫游:部署无线认证设备,实现内部用户使用用户名和密码认证登录,外来访客通过扫描二维码或者手机短信验证登录无线网络:部署POE交换机设备,实现无线AP的接入供电;大型会议室部署高密吸顶式AP设备,实现高密度人群的无线访问;在小型会议室借助86线盒部署面板式AP设备,实现无线访问。
    11、PoE也称为以太网供电,是在现有的以太网Cat.5布线基础架构不作任何改动的情况下,利用现有的标准五类、超五类和六类双纹线在为基于IP的终端(如IP电话机、无线局城网接入点AP、网络摄像机等)同时提供电功率和数据传输
    12、完整的PoE系统由供电端设备(PSE)和受电端设备(PD)两部分组成。依据IEEE 802.3af/at标准,有两种供电方式,使用空闲脚供电和使用数据脚供电;当使用空闲脚供电时,双绞线的==(4、5)线对为极、(7、8)线对为负极为PD设备供电==。当使用数据脚供电时,将DC电源加在传输变压器的中点,不影响数据的传输。在这种方式下线对1、2和线对3、6可以为任意极性。
    13、POE的标准供电电压值为48V
    14、在核心交换机上配置VLAN,可以实现无线网络和办公区网络、服务器区网络逻辑隔离;部署上网行为管理设备,可以对所有用户的互联网访问进行审计和控制,阻止并记录非法访问:部署防火墙设备,实现服务器区域的边界防护,防范来自无线区域和办公区域的安全威胁;在路由器上配置基于源地址的策略路由(因为目的都是访问互联网,基于源地址才能区分),实现无线区域用户通过运营商1访问互联网,办公区域和服务器区域通过运营商2访问互联网
    15、区分NAS和SAN。插网线跑网络协议的叫NAS,比如NFS/CIFS设备;跑存储协议的叫SAN,比如光纤交换机下的光纤盘柜。简单区分就是插RJ45的就是NAS,插光纤的就是SAN(不全部)
    16、在不增加网络设备的前提下,要防止外网用户对本网络进行攻击,只能在路由器上配置Nat策略对于外部网络显示的是一个公网IP或者是一段公网IP,从而隐藏内部网
    17、从题干中的关键词“使用web页面进行认证上网”可以知道这是一种基于web portal的认证方式,这种方式最大的特点是不需要安装客户端,直接使用浏览器访问网络之前,会强制定位到web认证页面
    18、网络设备旁路部署和直连部署的区别:相较于以旁路方式部署,将AC直连部署存在的问题是==(对AC的吞吐率和数据处理能力要求比较高,AC容易成为整个无线网络带宽的瓶颈);如果将AC部署在接入层设备上,往往由于接入层设备性能较差,稳定性不好,也不会配置冗余的电源、线路等提升可靠性的条件;
    19、网卡的工作模式有
    直接、广播、多播和混杂四种模式==,缺省的工作模式为直接和广播,即它只接收广播帧和发给自己的帧。网络管理机在抓包时,需要把网卡置于混杂模式,这时网卡将接受同一子网内所有站点所发送的数据包,这样就可以达到对网络信息监视的目的

二、因特网协议IP

1、TCP/IP协议簇:分为4个层次;主要协议,STDD

2、松散路由与严格路由

  • 松散路由:必须经过源站指定的路由器
  • 严格路由:只能进过远端指定的路由器,不能进过源端没有指定的路由器
    3、路由的协议管理距离:
  • 直连端口——0
  • 静态路由——1
  • IGRP——100
  • OSPF——110
  • IS-IS——115
  • RIP——120
    4、常用的协议封装和协议号:
  • ARP–>以太帧中传送(链路层)
  • ICMP–>IP 1
  • OSPF–>IP 89
  • RIP–>UDP 520
  • BGP–>TCP 179
    5、TCP/IP协议常见的协议端口号

    6、IP协议:因特网协议,网络层最重要 的协议。无连接的、不可靠的数据包交换

    7、IP协议数据单元,几个重要字段
  • 标识符:用于分段和重转配
  • IHL:IP头长度,20字节(32位字计)
  • 服务类型:区分优先级、可靠度
  • 总长度:包含IP头在内(字节数)
  • 头检验和:只校验IP头,不包括数据
  • 源地址:IP地址;目的地址:IP地址
  • 生存期:路由器个数+1,超过定值丢弃,防止数据报在网络中无限转发
  • 用户数据:MAC帧长1518,MTU1500,1518-14-4-20=1480,再-20=1460
    8、IP私有地址:不能用于公网,只能在内部局域网使用,它们在Internet上也不会被路由,但可以通过NAT等技术与公网通信。下表为标准A、B、C类私有IP地址块
    9、几种IP特殊地址:具有特殊意义
  • 0.0.0.0不确切地址,一般设备刚启动尚无IP临时使用表示本机。也叫默认路由地址
  • 255.255.255.255限制(受限)广播地址,==同一广播域内的主机,表示本网所有主机。“大广播”
  • 127.0.0.1:回环(送)地址==,别名Localhost,向自己发送测试数据。用于测试
  • 169.254.x.x自动专用地址,==找不到DHCP服务器,主机给自己分配的一个IP
  • ==单播地址:单个IP、主机地址
  • 网络地址主机号各位全为0,表示本网络 整个网络,不分配
  • 广播地址主机号各位全为1,发送给特定 网络的所有主机,不分配。也叫直接广播地址,也叫子网广播地址,“小广播”
    组播地址:224.0.0.1,从224.0.0.0到239.255.255.255,表示一个组内的主机
    10、TCP/IP网络中最早使用的动态路由协议是(RIP)协议,这种协议基于(距离矢量)算法来计算路由
    11、在交换网络中VTP协议的作用是将VLAN信息传播到整个网络中,让同一管理域中的所有交换机共享vlan配置信息
    12、静态修剪就是手工剪掉中继链路上不活动的VLAN
    13、动态修剪使得中继链路上所有共享的VLAN都是活动的
    14、动态/静态修剪要求在VTP域中的所有交换机都配置成服务器模式

三、控制报文协议ICMP

1、ICMP协议:因特网控制报文协议网络层的协议,协议号为1。传送有关通信控制和差错报文。就像侦查员、探子。封装在IP包中因而也不可靠ICMP的校验和是整个ICMP,也是必需有的
2、ICMP协议的功能包括(报告通信故障),当网络通信出现拥塞时,路由器发出ICMP(源抑制)报文。
3、确定一个网络是否可以连通,主机应该发送ICMP回声请求


ICMP差错报告格式中,除了类型、代码和校验码外,还需要加上出错报文的前64比特以便源主机定位出错报文

四、无线城域网

1、无线城域网IEEE 802.16:WiMAX:802.16d(无线固定),802.16e(无线移动)WiMAX II:802.16m(4G)。比Wi-Fi覆盖范围更大,数据速率更高,更好的可扩展 性和安全性,实现电信级的服务
2、关键技术:正交频分多路复用OFDM、多输入多输出MIMO、频分/时分双工FDD/TDD
3、网络中有无线节点的接入
,在安全管理方面采取得措施有:修改屏蔽SSID、MAC地址过滤、加密方式的注意

五、IP与子网掩码

1、子网掩码:屏蔽IP地址的网络部分的“全1”比特模式。将某个IP地址划分成网络地址和主机地址两部分。子网掩码不能单独存在,它必须结合IP地址一起使用
2、A、B、C地址划分:

3、IP地址中私有地址:分别为10.0.0.0/8;172.16.0.0172.31.0.0/16;192.168.0.0192.168.255.0/24
4、0.0.0.0不能作为目标地址;广播地址不能作为源地址;127.0.0.1既可以作为源地址又可以作为目标地址
5、路由协议是通过执行一个算法来完成路由选择的一种协议
6、动态路由协议可以分为距离向量路由协议和链路状态路由协议
7、路由器之间可以通过路由协议学习网络的拓扑结构

六、地址解析协议ARP

1、地址解析协议ARP(二层以太帧中)IP查询MAC地址,询问/回答机制。ARP缓存表、ARP欺骗、 ARP病毒、代理ARP、反向RARP

2、地址解析协议ARP:缓存表:开始-运行-cmd,输入arp -a(-s、-d等)回车
3、显示所有的ARP缓存表是arp -a;静态添加是arp -s;清楚ARP缓存是arp -d;
4、ARP请求采用广播方式发送
5、ARP Request采用广播发送;ARP Response采用单播传送
6、ARP表用于缓存设备的IP地址与Mac地址的对应关系,采用ARP表的好处是==(限制网络广播数量)==
7、地址解析协议ARP:代理ARP,有路由器充当第三方代理,进行ARP请求/回答;(由一个路由器代替远端目标回答ARP请求)
8、所谓“代理ARP”是指由(离源主机最近的路由器)假装目标主机回答源主机
的ARP请求
9、反向地址解析协议RARP:由MAC查找IP,常用语无盘工作站,设备没有硬盘,无法记录IP,刚启动时发送一个广播,用MAC去获取IP。==需要一台RARP服务器,记录MAC与IP的对应关系。
10、==ARP欺骗和ARP病毒:假如向某一主机发送伪装ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。例如:网管软件获取全网MAC地址。病毒伪装网关MAC收集信息

七、内部路由协议RIP

1、网络层路由协议:选择转发数据路径

2、路由信息协议RIP:距离矢量算法,TCP/IP网络中最早使用的动态路由,计算跳数,最大15跳,16跳不可达。30s更新、 180s不存在、240s删除“口诀168”。支持等费用负载均衡和链路冗余。使用UDP的520端口。

3、两种版本:RIPV1和RIPV2区别,适 合小型网络。

4、路信息由协议RIP防止环路的办法

  • 最大跳数:当一个路由条目发送出去会自加1跳,跳数最大为16跳,意味着不可达
  • 水平分割:一条路由信息不会发送给信息的来源(不把从某邻居节点获得的路由信息在发送给该邻居节点)
  • 反向毒化的水平分割:把从邻居学习到的路由信息设为16跳,在发送给那个邻居。更安全
  • 抑制定时器和触发更新也可以防止环路
  • 距离矢量路由协议的路由器,根据邻居发来的信息更新自己的路由表
  • 在距离矢量路由协议中,每一个路由器接收的路由信息来源于它的邻居路由器

八、内部路由协议OSPF

1、开放最短路径优先协议OSPF:链路状态算法,路由器之间通过网络接口状态LSA来更新和建立链路状态数据库(邻居表),包括:连通、距离、时延、带宽等状态,Dijkstra的SPF算法(计算最短路径)。链路状态算法用于计算路由表。触发更新、分层路由。支持大型网络,区域ID的取值范围是1~65535
2、链路状态协议的特点:

  • 提供了整个网络的拓扑视图
  • 计算到达的各个目标最短通路
  • 具有事件触发的路由更新功能
  • OSPF为减少洪泛链路状态的信息量,可以将自治系统划分为更小的区域
    3、简化原理:发Hello报文建立邻接关系(邻居表)—形成链路状态数据库(拓扑表)SPF(链路状态)算法形成计算机路由表

    4、支持可变长子网掩码(VLSM)和路由汇聚功能
    5、OSPF要选定一个指定的路由器(DR),指定路由器的功能就是发送链路状态公告
    6、OSPF采用触发更新,和30分钟周期更新支持不连续子网和CIDR
    7、单个OSPF网络只有区域0
    8、OSPF区域类型:主干区域(32位),Area 0.0.0.0或者Area 0来表示

    9、开放最短路径优先协议OSPF:根据物理连接和拓扑结构,分为以下网络类型:

    10、OSPF路由器分类:根据不同区域之间功能分为:BR(骨干)、IR、ABR、ASBR

    11、OSPF的五种报文类型Hello报文默认10s更新一次,40s失效目标地址是224.0.0.5所有路由器。用于发现建立邻居还用于选出区域内的指定路由器DR和备份指定路由器BDRDR/BDR组播地址是224.0.0.6

    12、RIP定时发布路由信息,而OSPF在网络拓扑发生变化是发布路由信息;RIP的路由信息发送给邻居,而OSPF路由信息发送给整个网络路由器;都是内部路由协议
    13、OSPF协议中DR的作用范围是一个网段
    14、OSPF协议相对于RIP1的优势在于:没有跳数的限制、支持可变长子网掩码(VLSM)、支持网络规模大、收敛速度快(如果是和RIP2比较,则RIP2支持可变长子网掩码(VLSM))
    15、在一个区域OSPF拥有一个32位的区域标识符;在一个区域内部的路由器不知道其他区域的网络拓扑
    16、在OSPF的链路状态“度量”主要指费用、距离、延时、带宽(没有收敛时间)
    17、在OSPF中,一个路由器的链路状态只涉及与相邻路由器的连通状态

九、外部路由协议BGP

1、边界网关协议BGP:是外部网关协议,主要功能就是控制路由策略不同自治系统AS之间。寻找较好的路由策略。通过TCP的179端口建立连接支持子网VLSM和CIDR,是一种路径矢量协议。目前最新BGP4,而BGP4+支持IPV6

2、BGP的四种报文:Open建立邻居,Keepalive周期性探测邻居存活。BGP协议使用keep-alive报文周期性的证实邻居站的连通性每一个自治系统要选择至少一个路由器作为该自治系统的“BGP发言人”。增量更新,支持认证。可靠传输,防止环路,防止区域间路由循环。自治通信,策略选路。支持无类、支持聚合。

3、PGP是一种电子邮件加密软件包它提供数据加密和数字签名两种服务,采用(RSA公钥证书)进行身份认证,使用(IDEA)(128位密钥)进行数据加密,使用(MD5)进行数据完整性验证
4、BGP使用keepalive周期性的发送存活消息(60s)维持邻居关系
5、安全电子邮件使用PGP协议
6、BGP4相比RIP存在很多优势例如:
7、==可以跨设备建立邻居关系
8、提供了丰富的路由属性,进行选路
9、可以管理全球的路由器
10、==BGP4的特点:

  • BGP4网关向对等实体(Peer)发布可以到达的AS列表
  • BGP4网关采用逐跳路由(hop-by-hop)模式发布路由信息
  • BGP4可以通过路由汇聚功能形成超级网络(Supemet)
    11、BGP将TCP用作其传输协议,运行在TCP的179端口上(目的端口)

十、传输层协议TCP

1、TCP协议:传输控制协议面向字节流按顺序、连接、可靠、全双工,可变滑动窗口、差错控制用后退N帧ARQ协议、缓冲累积传送。协议号6

2、TCP协议:传输控制协议,下面是TCP段(段头),TCP头(传输头),TCP包头(报头)格式:

3、TCP协议:几个重要字段

  • 源端口、目的端口:16位,2^16(0-65535)
    4、URG:紧急指针有效
    5、ACK:应答顺序号有效
    6、PSH:推进功能有效
    7、RST:复位为初始状态
    8、SYN:建立同步连接
    9、FIN:结束释放连接
    10、校验和:包括TCP段头、数据、伪段头
    11、TCP三次握手及其协议状态:

LISTEN 服务器等待连接过来的状态(被动打开)
SYN_SENT 客户端发起连接(主动打开),之后如果SYN超时或服务器不存在–>CLOSED
SYN_RCVD 服务器收到SYN包的时候就是此状态
ESTABLISHED 完成三次握手,进入连接建立状态,说明可以进行数据传输了
12、SYN标志字段置“1”发生在连接请求与响应阶段;当出现错误连接RST标志字段置“1”;当连接终止请求FIN标志字段置“1”;ACK标志字段置“1”表明此TCP段带有捎带应答
13、TCP使用三次握建立连接,可以防止出现错误连接;流控协议是可变大小的滑动窗口协议。
14、TCP拥塞控制:报文到达速率大于路由器的转发速率,产生拥塞。解决方法有:
①重传计时器
②慢启动(慢开始)
③拥塞避免
④快速重传
⑤可变滑动窗口
⑥选择重发ARQ

TCP拥塞控制:超时重传计时器,重传是保证TCP可靠的重要措施。TCP每发送一个报文段,就对这个报文段设置一次计时器。只要计时器设置的时间到了,但还没有收到确认,就重传这一报文段
重传时间要设置的合理,一般和往返时间、平均时延、时间偏差等有关
。大多数采取观察最近一段时间的报文时延来估算往返时间
15、TCP拥塞控制:慢启动发送方在接收到确认之前逐步扩大窗口的大小。1、2、4、8等按指数规律翻倍,最后达到门限阈值出现超时,将拥塞窗口回到1,再次开始慢启动

17、TCP拥塞控制:拥塞避免窗口达到门限阈值以后,进入拥塞避免阶段,TCP采用线性增加方式放大窗口,按照+1递增发生拥塞,门限阈值减半。再发生再减半。按指数规律乘倍减半

18、TCP拥塞控制:快速重传发送端一连收到3个重复的ACK,就重传,不等计时器

十一、传输层协议UDP

1、UDP协议(无顺序号):用户数据报协议无连接的、不可靠的、不保证顺序的、无差错流控机制校验和包括:UDP头部(8字节)、数据、伪头部协议号17

2、UDP协议:UDP报文格式如下:少量传输数据高层程序负责解决数据排序、差错控制等。开销少头部8个字节),网络管理常使用


3、TCP(适合远程)支持数据传输,UDP支持音视频传输
4、UDP协议在IP层之上提供了端口寻址的能力

十二、常用应用层协议

1、电子邮件协议:SMTP简单邮件传输协议,负责将邮件上传到服务器,采用TCP的25端口,C/S工作。仅传送ASCII码文本

2、电子邮件协议:S/MIME多用途互联网邮件扩展协议,负责将多媒体邮件安全上传到服务器,包含文本、图像、音频、视频以及其他应用程序专用的数据,MIME不能提供运用层安全

3、电子邮件协议:POP3邮局协议,负责将邮件下载到客户机,采用TCP的110端口C/S工作用户从服务器读取邮件后,服务器就删除该邮件

4、电子邮件协议:IMAP4互联网消息访问协议提供摘要浏览,选择下载。采用TCP的143端口,C/S工作。用户从服务器读取邮件后,服务器仍会保存该邮件,可以反馈服务器实现同步

5、电子邮件协议:PGP电子邮件加密协议包括加密、鉴别、签名和邮件完整性等技术。使用IDEA(128位)加密数据,RSA加密密钥,MD5认证
6、PEM增强保密邮件协议,使用多种加密方法提供机密性、认证和信息完整性的因特网电子邮件协议,采用每个报文一次一密的方法加密。其他和PGP功能差不多。
7、文件传输协议:FTP,负责文件通过服务器上下传送。采用TCP的两条连接:数据连接20端口,控制连接21端口,C/S工作合法访问和匿名访问(anonymous)。

9、文件传输协议:FTP,有主动模式(PORT/Standard)和被动模式(PASV/Passive)。区别是:服务器主动20传数据,被动随机端口(主动爱你,被动随机)

10、远程登录协议:Telnet,TCP/IP终端仿真协议,登录到远程主机上操作,网络虚拟终端NVT支持异构主机,采用TCP的23端口,C/S工作,采用NVT格式实现客户端和服务器的数据传输

11、超文本传输协议:HTTP万维网WWW(Web)服务器提供全球的、分布的、动态的、多平台的、交互的、多媒体信息TCP的80端口,B/S工作统一资源定位器URL

十三、路由器技术NAT

1、路由器技术NAT:网络地址翻译解决IP短缺,路由器内部和外部地址进行转换

  • 静态地址翻译转换:静态NAT(一对一)
  • 动态地址翻译转换:动态NAT(多对少)
  • 网络地址翻译端口转换(地址伪装):NAPT(多对一)

    2、路由器技术NAT:静态NAT,内外一对一转换,用于web服务器,ftp服务器等固定IP的主机服务器

    3、路由器技术NAT:动态NAT,内外多对少转换,用于内部局域网较多用户访问外部网络。外部需要地址池(pool)

    4、路由器技术NAT:网络地址端口转换:NAPT(PAT)(多对一)内外多对一转换,使用外部一个IP,多个端口号对应内部IP。也称为IP伪装,可以隐藏内部主机

    5、地址伪装是指,把多个内部地址翻译成一个外部地址和多个端口号
    6、网络地址和端口翻译(NATP)就是用于把内部的所有地址映射到一个外部地址,好处就是隐藏了内部网络的IP地址
    7、地址映射方式有:全相联方式、直接方式和组相联方式

十四、路由器VLSM和CIDR

1、路由器技术VLSM:可变长子网掩码。在有类的IP地址的基础上,从它们的主机号部分借出相应的位数来做网络号,也就是增加网络号的位数,子网划分
2、VLSM是把标准网络分割成更小的子网的技术而CIDR是把几个标准网络合并成一个大网络的技术
3、路由器技术CIDR:无类域间路由,解决路由缩放问题,采用/比特位,无类不区分A、B、C类,称为CIDR地址块,路由汇聚

十五、路由器技术QoS

1、路由器技术QoS(网络层):网络服务质量。将网络数据流分成不同的等级提供不同的服务。有集成服务(IntServ)和区分服务(DiffServ)模型两种标准


2、路由器技术QoS:集成服务(IntServ)分成三种:保证质量的服务(有关协议是RSVP特点是由接收方向路由器预约资源,从源到目标单向预约)、控制负载的服务、尽力而为的服务(目前因特网提供的服务)

3、QoS是网络的一种安全机制,主要用来解决网络延迟和阻塞等问题.它主要有三种工作模式,分别为区分服务模型、集成服务模型及尽力而为服务模型。其中使用比较普遍的方式是尽力而为服务模型
4、路由器技术QoS:区分服务(DiffServ)不再使用资源预约而是区分不同的业务流。分为三种:尽力服务BE(000000)、优质服务AF、加速服务EF(101110)
5、区分服务(DiffServ):区分服务代码点DSCP利用IP包头的服务类型字段ToS。逐跳行为PHB:逐级跳的转发方式,每个PHB对应一种转发方式
6、Qos表现在延时、抖动、吞吐量和丢包率几个方面,采用的技术有RSVP、DiffServ、MPLS

十六、路由器技术MPLS

1、路由器技术MPLS:多协议标签交换,属于2.5层,MPLS包头的位置应该插入在以太帧头与IP头之间一般认为是第三层交换,硬件交换、速度快,叫一次路由,多次交换用标签交换代替复杂的路由运算
2、路由器技术:MPLS基本原理。标记边缘路由器LER,标记交换路由器LSR

3、路由器技术:MPLS转发等价类(FEC),把等价的通信流汇聚转发。标记具有局部性。提供QoS、粒度控制、负载均衡等
4、路由器可以根据转发目标把多个IP流聚合在一起,组成一个转发等价类
5、MPLS技术主要是为了提高路由器转发速率而提出的,其核心思想是利用标签交换取代复杂的路由运算和路由交换;该技术实现的核心就是把
IP数据报封装在MPLS数据包

6、MPLS VPN有CE路由器、PE路由器、P路由器组成,P路由器是MPLS核心网中的路由器,负责高速转发PE路由器是MPLS核心网上的边缘路由器,负责传送数据报的MPLS标签的生成和弹出,还将发起根据路由建立交换标签的动作CE路由器是直接与运营商相连的用户端路由器
7、路由器根据转发目标把多个IP流聚合在一起组成转发等价类

十七、路由器技术组播

1、路由器技术:IP组播,有一个源向一组主机发送信息,D类地址。(一个IP地址代表一个主机,称为单播地址)

2、路由器技术:IP组播用途,用于视频点播、网络电视、视频会议等点到多点的业务IP组播地址分为三类

  • 保留组播:224.0.0.0~224.0.0.255(预留的组播地址)用于路由协议,如224.0.0.1代表所有主机,224.0.0.2代表所有路由器
  • 用户组播:224.0.1.0~238.255.255.255(公用组播地址),全球范围分配,类似公网IP,可用于Internet
  • ==本地组播:==239.0.0.0~239.255.255.255(本地管理组地址,仅在特定的本地范围内有效)本地子网分配,类似私网IP
  • 224.0.2.0-238.255.255.255可为用户可用的组播地址(临时组播地址),全网范围内有效
    3、路由器技术:常考IP组播地址
  • 224.0.0.1->所有主机的地址
  • 224.0.0.2->所有组播路由器的地址
  • 224.0.0.3->没有分配
  • ==224.0.0.4->DVMRP路由器 ==
  • 224.0.0.5->所有OSPF路由器
  • 224.0.0.6->OSPF的DR/BDR
  • 224.0.0.9->RIP-2路由器
  • 24.0.0.12->DHCP 服务器/中继代理
  • 224.0.0.13->所有pim路由器
  • 组播服务发送信息只需要发送一个分组,组内所有成员即可全部收到
    4、路由器技术:IP组播地址与MAC地址:组播MAC地址:01-00-5e-xx-xx-xx
    5、IP组播协议:IGMP因特网组管理协议管理主机加入或离开组播组IGMP封装在IP中,协议号2(ICMP的协议号就是1)。IGMPv3报文:分为三种:
    成员资格询问报文:组播路由器发出,询问是否有主机加入组播
  • 成员资格报告报文:主机加入组播组
  • 记录报文:记录组播的状态和信息

    6、IP组播路由协议:用来建立组播树,是实现组播传输的关键技术源分发树和共享分发树

    8、IP组播路由协议:名词解释:
  • PIM:协议无关组播
  • PIM-DM:密集模式PIM
  • DVMRP:距离矢量组播路由协议
  • MOSPF:组播开放式最短路径优先
  • CBT:基于核心的树
  • PIM-SM:稀疏模式PIM
    9、PIM-DM:密集模式PIM。用于组播成员集中,且较多,如局域网:
  • 采取“泛洪扩散-修剪丢弃”维护组播分发树。使用“”的机制,先给你,可以不要
  • 关键技术是利用反向通路,使用自己找回来的路径
  • 使用源分发树:以组播源为根节点构造到所有组播组成员的生成树,通常也称为最短路径树(SPT
    10、PIM-SM:稀疏模式PIM,用于组播成员较少,且稀疏分布,如广域网:
  • 采用选择性的建立和维护分布树。只有发送请求的才会收到数据。使用“”的机制,你要了,才会给你
  • 使用共享分发树:确定一个汇聚点。先发给汇 聚点,再有汇聚点发给其他路由器

十八、路由技术ACL

1、ACL:访问控制列表可以根据源地址、目标地址、源端口、目标端口、协议信息对数据包进出过滤控制
2、两个方向:入口inbound是指数据流进入路由器(进门)、出口outbound是指数据流从路由器流出(出门)。两种动作:允许permit、拒绝deny
3、标准访问控制列表是根据IP报的源地址来对IP报文进行过滤扩展访问控制列表是根据IP报文的源地址、目的地址上层协议时间等来对IP报文进行过滤。一般地,标准访问控制列表放置在靠近数据目的地的位置扩展访问控制列表放置在靠近数据源端的位置
4、ACL的分类

  • 访问控制列表ACL可以通过编号或名称来引用==,标准ACL==只能根据数据包的源地址进行过滤,扩展ACL可以根据源地址、目的地址以及端口号进行过滤。

十九、DHCP协议

  • 无法做到提高域名解析速度

  • 当客户机发送dhcpdiscover报文时采用广播发送
  • DHCP服务可以服务与一个网段,也可以通过DHCP中继服务多个子网
  • 客户端要自动获取IP,此时并不知道DHCP服务器在哪
  • 在一个网段中可以配置多台DHCP服务器

第九章 下一代互联网

一、IPV6基础知识

1、IPV6概念:下一代互联网NGI,目前是第6版。IPV6分组有1个固定头部和n个扩展头部(任选)以及上层协议的负载组成。如下图
2、IPV6固定头部(40字节共320位):各字段解释含义:

  • 版本0110,4位,代表IPV6
  • 通信类型:8位,IP分组优先级,同服务类型
  • 流标记:20位,标记特殊处理的分组
  • 负载长度:16位,除了固定,扩展和负载
  • 下一头部:8位,指明扩展头部或高层协议
  • 跳数限制:8位,检测路由循环减1变为0丢弃
  • 源地址:128位,发送端的地址
  • 目标地址:128位,接收端的地址
    3、IPV6扩展头部类型:6种任选,作用 是保留IPV4某些字段的功能,但只是特殊设备 来检查处理,而不是每个都要处理。
  • IPV6扩展头部格式:第1个字节:是下一头部选择符,指明下一头部类型。0逐跳选项,60目标选项,43源路由选择,44分段,51认证,50封装安全负荷,59没有下一头部
  • 第2个字节:扩展头部长度。以8个字节计数,不包含前8个字节,如果是8字节,则字段为0,如果是16字节,则字段为1,如果是24字节,则字段为2

    任选部分:编码成TLV的形式,T类型1个字节,L长度,V数据
    4、IPV6扩展头部分组封装顺序如下:(IPv6跳槽记
  • (1)IPv6头部
  • (2)逐跳选项头
  • (3)目标选项头(第一个目标节点要处理的信息)
  • (4)路由选择头
  • (5)分段头
  • (6)认证头
  • (7)封装安全负荷头
  • (8)目标选项头(最后的目标节点要处理的信息)
  • (9)上层协议头部
    5、ipv6常考前缀(格式前缀用于表示地址类型或子网地址):
  • 全球单播前缀:001
  • 链路本地前缀:FE80(1111 1110 10)
  • 站点本来前缀:FEC0(1111 1110 11)
  • 不确定地址:0:0:0:0:0:0:0:0(不能分配给任何节点)
  • 环回地址:0:0:0:0:0:0:0:1(向自身发送ipv6分组)
  • 2000::/3全局单播地址
  • FC00::/7唯一的本地单播地址范围
  • FE80::/10链路本地单播地址范围
  • FF00::/8组播地址范围
  • 2002::/16保留供6to4隧道技术使用
    6、IPV6地址分类:①单播地址、②任意播地址、③组(多)播地址
  • 单播地址:标识一个接口,目的地址为单播地 址的报文会被送到被标识的接口
  • 组播地址:标识多个接口,目的地址为组播地址的报文会被送到被标识的==所有接口
  • 任播地址:标识多个接口,目的地址为任播地址的报文会被送到最近的一个被标识的接口;不能用作源地址,只能用做目标地址==,且只能分配给路由器。代表一组接口的标识符,任意播地址是在单播地址空间中分配的,组成是子网前缀+全0
  • IPV6没有定义广播地址
    7、单播地址:4类可聚合全球单播、链路本地地址、站点本地地址、特殊单播地址
  • ①可聚合全球单播(相当于公网IPv4):前缀001(/3)。2000(/3)
  • ②链路本地地址(相当于自动专用IP):前缀 1111 1110 10(/10或/64),用于同一链路的相邻结点间的通信。链路本地地址相当于IPv4中的自动专用IP地址(APIPA),可用于邻居发现,并且总是自动配置的,包含链路本地地址的分组不会被路由器转发
  • ③站点本地地址(相当于私有IP):格式前缀 1111 1110 11(/10或/48或/64)相当于IPv4中的私网地址
  • ④特殊单播地址:不确定地址0:0:0:0:0:0:0:0, 回环地址0:0:0:0:0:0:0:1。
    9、组播地址:格式前缀1111 1111(/8), 还包括标志、范围、组ID字段

    10、任播地址:仅用作目标,且只分配给路由器。默认路由器接口都被分配任意播地址。子网-路由器任意播地址子网前缀必须固定,其余位置全0
    11、一个IPv6包可以有多个扩展头,扩展头应该依照如下顺序逐跳选项头->路由选择->分片->鉴别->封装安全有效载荷->目的站选项
    12、IPV6地址配置:默认自动配置有2种
  • 全状态自动配置:动态主机配置协议DHCP实现了IP地址的自动配置
  • 无状态自动配置:①获得链路本地地址:链路本地地址前缀1111 1110 10后加网卡MAC地址,产生一个链路本地地址,并发出一个 ICMPv6请求,确认唯一性。②获得可聚合全球单播地址:向本地链路中所有组播ICMPv6 路由器请求,主机获得单播前缀001后加自己的接口ID,自动配置单播地址
    13、IPV6和IPV4的比较

    14、IPV6地址相比IPV4改进:4个方面
  • 扩展寻址能力:扩展到128位,支持多级地址层次,改进组播,增加任意播更实用
  • 简化报头格式:IP头部字段有12个减少为8个,中间路由器有6个减少为4个,提高效率
  • 改进路由选项路由选项放在扩展头部仅在需要时插入路由选项,更灵活,更流畅
  • 提供流标记:对某些分组进行特别处理,可以提供特别的服务质量,更好的传送数据

二、IPV6过渡技术

1、IPV6向IPV4过渡技术:有3种技术

  • 隧道技术:用于解决IPV6网络节点之间通过IPV4网络进行通信的问题。(时空隧道
    优点:充分利用现有网络投资,过渡初期实现方便。缺点:路由器隧道出入口负载重,实现复杂,不利于大规模应用
    技术:有6to4隧道、6over4隧道、ISATAP隧道
    6to4地址形式:2002:IPv4:子网ID::接口ID
  • 协议翻译技术:使得纯IPV6节点之间和纯IPV4节点之间可以通信。(英汉互译
    优点:不需要升级改造,开启NAT-PT即可缺点:转换不能完全保持原有含义,缺乏安全性
    技术:有SIIT翻译、NAT-PT翻译、TRT翻译
  • 双协议栈技术:使得IPV4IPV6共存于同一设备和同一网络中。(英汉双语
    优点:网络规划相对简单,可以充分发挥安全性、路由约束和流支持。缺点:对设备要求较高,维护大量协议和数据,升级改造投资大、建设周期比较长
    技术:有BIS双栈、BIA双栈
  • 静态模式提供一对一的IPv6地址和IPv4地址的映射;动态模式也提供一对一的映射,==但是使用一个IPv4地址池;NAPT-PT(网络地址端口转换)==提供多个有NAT-PT前缀的IPv6地址和一个源IPv4地址间的多对一动态映射

三、移动IP和IPV6

1、移动IP的概念:移动主机在移动的同时,能够在任何地方使用他的家乡地址进行联网
2、移动主机通过在无线通信网中漫游来保持网络连接
3、移动IP的原理:移动主机分配一个家乡地址作为永久标识。如果到外地赋予一个转交地址家乡地址会获得外地的转交地址
4、实现的关键技术就时移动主机具有一个家乡网络地址并获取一个外地转交地址

四、IPV6路由协议

1、IPV6路由协议:定义了5种路由协议:

  • RIPng:RIPv2的扩展,UDP521端口
  • OSPFv3:OSPFv2的扩展,做了较大改进
  • BGP4+:BGP4的扩展,用来支持IPV6
  • ICMPv6:ICMP的扩展,集成了ARP功能
  • IS-IS:中间系统到中间系统,IS-IS属于内部网关路由协议。IS-IS是一种链路状态协议,与TCP/IP网络中的OSPF协议非常相似,使用 最短路径优先算法进行路由计算。

第十章 网络安全与应用

一、网络安全基础

1、网络安全威胁和漏洞类型:窃听;病毒;假冒;木马;重放;诽谤;流量分析;非授权访问;破坏完整;拒绝服务
2、安全需求可划分为理安全(如机房安全)、络安全(入侵检测)、统安全(漏洞补丁管理)和用安全(数据库安全)
3、漏洞:物理、软件、不兼容、其他等
4、网络安全信息数据五大特征:

  • 完整性:信息数据完整不破坏
  • 保密性:信息数据需授权不泄露
  • 可用性:信息数据攻击后迅速恢复可用
  • 不可否认性:信息数据参与者补课否认不可抵赖,身份真实有效。
  • 可控性:信息数据可以管控传播范围
    5、网络安全基本技术:
  • 数据加密:数据按照规则打乱,重新组合
  • 数字签名证明发送者签发,也可==完整性,==使用公钥体质产生的一堆公钥和私钥
  • 身份认证用户合法性,身份真实没假冒
  • 防火墙控制内外数据进出阻挡病毒木马
  • 入侵检测:采用异常检测特征保护网络
  • 网络隔离:内外网隔离分开使用,如网闸
    6、主动攻击,攻击者试图突破网络的安全防线(如重放攻击、IP地址欺骗、拒接服务)。被动攻击,攻击者通过监视所有信息流以获得某些秘密(如流量分析,系统干涉)
    7、拒绝服务:主要是针对TCP连接进行攻击的,通过发送大量的建立连接请求,使得服务端穷于应付,无法提供正常的网络服务
    8、暴力攻击:是穷举式猜测用户密码
    9、网络侦察:是探测远端系统的漏洞,以便利用漏洞进行入侵
    10、特洛伊木马:是通过远端控制,对目标系统实施内部破坏或盗窃用户机密数据。

二、信息加密技术

1、现代信息加密技术:对称和非对称:
对称算法有:==DES(共享密钥)==数据加密标准、3DES(共享密钥)三重DES加密、IDEA国际数据加密算法、AES高级加密标准、RC4流加密算法第四版2人等
非对称算法有:RSA(基于大素数分解3人)、ECC(椭圆曲线密码学)、Elgamal(基于离散对数1人)
2、(1)分组加密,也叫块加密,一次加密明文中的一个块。具有代表性的块加密算法有DES,AES,3DES等。(2)序列加密,也叫流加密,一次加密明文中的一个位。是指利用少量的密钥(制乱元素)通过某种复杂的运算(密码算法)产生大量的伪随机位流,用于对明文位流的加密。
3、现代信息加密技术对称密钥总结表:

4、RC5:适合
大量的明
文消息进行加密传输

  • 私钥用来签名和解密,公钥用来认证和加密,数字证书是对用户公钥的认证确保公钥可信(所以数字证书中包含了用户的公钥)
  • ①选两个大素数p和q
  • ②令n=p*q,z=(p-1)(q-1)
  • ③符合公式ed=1(mod z),e公钥,d私钥
    mod为模运算,也就是取余数计算,例如:e
    d=1(mod z)可变形为==(ed)/ z余数为1==
    如:按RSA算法,若选两奇数P=5,Q=3,公钥 E=7,则私钥为()
    这里p=5,q=3。n=pq=15, z=(p-1)(q-1)=8。根据ed=1(mod z),也 就是(ed)/ z余数为1。即:(7
    d)/ 8 …1,把答案6、7、8、9带入只有答案7满足条件

三、数字签名技术

1、数字签名技术:数字签名用于确认发送者身份和消息完整性。满足三个条件:①接收者能够核实发送者。②发送者事后不能抵赖。③接收者不能伪造签名

2、用户B收到用户A带数字签名的消息M,为了验证M的真实性,首先需要从CA获取用户的数字证书,并利用CA的公钥验证证书的真伪,然后利用A的公钥验证M的真实性
3、服务器证书的步骤顺序如下:①生成证书请求文件;②提交证书申请;③从CA导出证书文件;④在IIS服务器上导入并安装证书

四、密钥管理技术

1、密钥管理体系:KMI、PKI、SPK

  • KMI:密钥管理基础结构第三方KDC秘密物理通道,适用于封闭的内网使用
  • PKI:公钥基础结构不依赖秘密物理通道。适用于开放的外网
  • SPK:适用于规模化专用网
    2、其他
  • 加密:PKB;解密:SKB
  • 典型的公钥加密(公开)算法有:RSA、ECC、DSA、背包加密、Rabin算法
  • DES是私钥加密

五、虚拟专用网VPN(IPSec)

1、VPN技术:虚拟专用网,①建立在公网上。②虚拟性没有专用物理连接。③专用性,非VPN用户无法访问
2、VPN四个关键技术:①隧道技术。②加解密技术。③密钥管理技术。④身份认证技术
3、VPN三种应用解决方案

  • 内联网VPN(Intranet VPN):企业内部用于连通总部和分布各个LAN
  • 外联网VPN(Extranet VPN):企业外部用于实现企业与客户、银行、供应商互通
  • 远程接入VPN(Access VPN):解决远程用户出差访问企业内部网络
    4、L2TP数据包的封装格式是:
  • ==PPP点对点协议、PPTP点对点隧道协议、L2TP第二层隧道协议;==能控制数据链路的建立;能够分配和管理广域网的IP地址;能够有效的进行检错
  • IPSec IP安全性、GRE通用路由封装协议
  • SSL/TLS安全套接层
    6、PPP、PPTP、L2TP技术对比汇总

    7、PPP中的==LCP:==用于建立和配置数据链路;NCP:用于协议网络层参数,例如动态分配IP地址等。
    8、PPTP与L2TP的区别比较(二层的):
  • PPTP要求IP网络,L2TP适用各种网络
  • PPTP只能建立1条隧道,L2TP建立多条
  • PPTP包头占用6字节,L2TP占用4字节
  • PPTP不支持隧道验证,L2TP支持
    9、宽带接入通常采用PPPoE进行认证。PPP协议一般包括三个协商阶段,LCP协议用于建立和测试数据链路;NCP协议用于协商网络层参数;chap协议用于通信双方确认对方的身份
    10、IPSec(三层):IP安全性在IP层通过加密与数据源验证,来保证数据包传输安全
  • 认证头AH,用于数据完整和数据源认证、防重放,不提供数据加密服务
  • 封装安全负荷ESP,提供数据保密数据完整、辅助防重放
  • 密钥交换协议IKE,生成分发密钥(该策略由SA进行定义)
    11、IPSec两种模式:传输模式和隧道模式

    12、SSL安全套接层:和TLS(传输层安全标准)是双胞胎。在传输层上4.5层套接安全协议SSL/TLS被称为HTTPS工作在传输层,对传输层、应用层都可以控制

    13、SSL和IPSec的区别比较:
  • IPSec在网络层建立隧道,适用于固定的VPN。SSL是通过应用层的web连接建立的,适合移动用户远程访问公司的VPN
  • IPSec工作在网络层,灵活性小。SSL工作在传输层,灵活性大
    14、主机路由的掩码为:255.255.255.255
    15、IPSec可对数据进行完整性保护,提供用户身份认证服务,可对数据加密传输
    16、两台计算机通过IPSec协议通信之前必须先进行协商,协商结果称为SA (安全关联)。IKE(密钥)协议将协商工作分为两个阶段,第一阶段协商模式SA==(又称IKE SA)新建一个安全的、经过身份验证的通信管道,之后在第二阶段中协商快速模式SA(又称IPSec SA)后,便可以通过这个安全的信道来通信==。使用display ike sa命令,可以查看协商结果
    17、在Windows Server 2008 R2网关上配置IPSec策略,包括:创建IPSec策略、创建筛选器列表、配置隧道规则、进行策略指派 4个步骤
    18、IPSEC中安全关联(security Associations)三元组是<安全参数索引SPI,目标IP地址,安全协议>
    19、该技术根据连接主体的不同,针对移动办公和家庭用户可以采用的连接方式为远程访问的VPN连接方式。针对分支机构长期性的使用可以采用站点到站点的VPN连接方式
    20、IPsec传输模式和隧道模式,实现端到端的传输应选择传输模式

六、应用层安全协议

1、应用层安全协议:PGP电子邮件加密软件包,是一款软件,把RSA公钥体系的高保密和传统加密体系的高速度巧妙结合起来,成为最流行的电子邮件加密系统。可以用来加密件防止非授权者阅读,还能数字签名,防止篡改
2、PGP提供2种服务数据加密和数字签名,使用RSA对公钥证书加密认证,IDEA(128位密钥)进行数据加密,MD5进行完整性验证

  • 加密算法:支持IDEA、CAST、3DES算法对消息进行加密;采用ElGamal或RSA算法用接收方的公钥加密会话密钥
  • 数据签名:采用SHA-1、MD5消息摘要算法计算消息的摘要值(散列码),用发送者的私钥按DSS或RSA算法加密消息摘要
  • PGP广泛应用的特点:①能够在各种平台免费使用,众多厂商支持。②基于比较安全的加密算法(RSA、IDEA、MD5)。③应用领域广泛,可加密文件,也可用于个人安全通信。④不是政府或标准化组织开发和控制的。⑤网民普遍喜欢这种自由化的软件包
    3、安全电子交易协议SET:保障购物安全以信用卡为基础,在线交易的标准。安全性高,保证信息传输的机密性、真实性、完整 性和不可否认性。工作流程如下

    4、SET是安全协议和报文格式集合,融合了SSL、STT、SHTTP、PKI等加密签名认证等。采用公钥密码体制和X.509数字证书。成为目前公认的信用卡网上交易的国际标准
    5、SET提供3种服务:①保证客户交易信息保密性和完整性。②确保商家和客户交易行为的不可否认性。③确保商家和客户的合法性
    6、双重签名技术:消费者对订单信息和支付信息进行签名商家看不到消费者账号信息银行看不到消费者订购信息可确认是真实
    7、应用层安全协议Kerberos(刻薄肉丝):是一项认证服务3A(AAA)认证有验证、授权和记账。防重放、保护数据完整性。AS认证服务器,TGS票据授予服务器,V应用服务器

    V4时间戳,V5序列号。口诀:无T加T,有T加1
    8、基于Kerberos的网关模型:用户初始登录以后, 用户名和密码长期保存在内存中,用户登录新应用(申 请新票据) 时,系统 会自动提 取用户名 和密码, 用户不需 要再输入

    9、用户向认证服务器AS申请初始票据–>认证服务器AS向用户发放票据授予票据–>用户向TGS请求回话票据–>TGS验证用户身份后发放给用户回话票据Kav–>用户向应用服务器请求登录–>应用服务器向用户验证时间戳

七、防火墙技术

1、防火墙的定义:来源于建筑物“防火墙”一词,位于两个或多个网络之间,执行访问控制策略过滤进出数据包的一种软件或硬件设备,通过流经的数据流进行分析和检查,可实现对数据包的过滤、保存用户访问网络的记录和服务器代理功能
2、防火墙的要求:①所有进出网络的通信流量都 必须经过防火墙。②只有内部访问策略授权的通信才能允许通过。③防火墙本身具有很强的 高可靠性

3、防火墙的主要功能:①访问控制功能。②内容控制功能。③全面的日志功能。④集中管理功能。⑤自身的安全功能
4、防火墙的附加功能:①流量控制。②网络地址转换NAT。③虚拟专用网VPN
5、防火墙的局限性:①关闭限制了一些服务带来不便。②对内部的攻击无能为力。③带来传输延迟单点失效等。④还有其他局限
6、防火墙的技术分类:包过滤防火墙代理防火墙状态化包过滤防火墙3类等
7、防火墙的分类:以下几种常见方式:

  • 个人防火墙:保护单个主机,有瑞星防火墙、天网防火墙、费尔防火墙等
  • 企业防火墙:对整个网络实时保护,有赛门铁克防火墙、诺顿防火墙、思科防火墙、华为防火墙、Juniper防火墙等)
  • 软件防火墙:有瑞星防火墙、天网防火墙、微软ISA Server、卡巴斯基防火墙等
  • 硬件防火墙:思科防火墙、Juniper防火墙等
    8、防火墙的体系结构:①双宿主机模式:防火墙具有两个网卡接口通过包过滤代理访问网络。这是比较简单的一种结构。一般可以根据IP地址和端口号进行过滤

    9、防火墙的体系结构:②屏蔽子网模式又叫过滤子网模式,两个包过滤路由器中间建立一个隔离的子网定义为DMZ网络,也称为非军事化区域。这是目前防火墙最常用的一种模式。可以有更高级的功能

    10、防火墙设备中,配置双出口链路提高总带宽、链路冗余、链路负载均衡作用。通过配置链路聚合来提高总带宽,通过配置策略路由来实现链路负载均衡(防火墙设备集成了传统防火墙与路由功能才行)
    11、防火墙的工作模式路由模式、透明模式、混合模式3种:
  • 路由模式:如果防火墙以第三层对外连接接口具有IP地址),则认为防火墙工作在路由模式下
  • 透明模式:若防火墙通过第二层对外连接接口无IP地址),则防火墙工作在透明模式下
  • 混合模式:若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP地址,某些接口无IP地址),则为混合模式下
    12、防火墙的访问规则:3种接口
  • 内网接口(Inbound)连接内网和内网服务器
  • 外网接口(Outbound)连接外部公共网络
  • 中间接口(DMZ连接对外开放服务器
  • 1、Inbound可以访问任何Outbound和dmz区域
  • 2、dmz可以访问Outbound区域
  • 3、Outbound访问dmz需配合static(静态地址转 换)
  • 4、Inbound访问dmz需要配合acl(访问控制列表)
    13、防火墙工作层次越高,工作效率越低,安全性越高(高低高/地高低)
  • ①工作层次。这是决定防火墙效率及安全的主要因素。一般来说,工作层次越低,则工作效率越高,但安全性就低了;反之,工作层次越高,工作效率越低,则安全性越高。
  • ②防火墙采用的机制。如果采用代理机制,则防火墙具有内部信息隐藏的特点,相对而言,安全性高,效率低;如果采用过滤机制,则效率高,安全性却降低了

八、计算机病毒 & 防范

(一)病毒与木马

1、病毒:一段可执行的程序代码,通过其他可执行程序启动和感染传播,可自我复制,难以清除,破坏性强(强盗)
2、木马:一种潜伏在计算机里并且秘密开放一个甚至多个数据传输通道的远程控制程序。C/S结构,客户端也称为控制端。偷偷盗取账号、密码等信息。(间谍)
3、恶意代码:又称恶意软件。也称为广告软件、间谍软件,没有作用却会带来危险。(恶搞)
4、常见病毒木马的特征分类:

  • 1.文件病毒:感染office文件,前缀Macro或者word/excel等
  • 2.蠕虫病毒:前缀Worm通过系统漏洞传播(震网病毒、熊猫烧香、欢乐时光)
  • 3.木马病毒:前缀Trojan,黑客病毒前缀Hack,往往成对出现(强调控制操作)
  • 4.系统病毒:前缀Win32、PE、Win95
  • 5.脚本病毒:前缀Script,脚本语言编写的,通过网页传播
  • 6.引导区病毒:(破坏的是引导盘、文件目录等)
  • 7.黑客病毒:Hack
    5、黑客与骇客:黑客技术高超,帮助测试建设网络。骇客专门搞破坏或恶作剧
    6、黑客攻击:①拒绝服务攻击。②缓冲区溢出攻击。③漏洞攻击。④网络欺骗攻击。⑤网络钓鱼。⑥僵尸网络
    7、预防攻击:安装杀毒软件、硬件防火墙和UTM统一威胁安全管理设备,合理设置安全策略,制定应急预案

(二)病毒防治方式

  • 安装杀毒软件及网络防火墙(断开网络),及时更新病毒库
  • 及时更新操作系统的补丁
  • 不去安全性得不到保证的网站
  • 从网络下载文件后及时杀毒
  • 关闭多余端口,做到使电脑在合理的使用范围之内
  • 及时备份数据

九、IDS与IPS

1、入侵检测系统IDS:安装部署位置通常是:①服务器区域的交换机上。②Interner接入路由器之后的第一台交换机上。③其他重点保护网段的交换机上通常是并联、不断网),常用的三种方法是:模式匹配、数据完整性分析、统计分析

2、入侵防御系统IPS位于防火墙之后的第二道安全屏障,是防火墙的的有力补充。通过对网络关键点收集信息并对其分析检测到攻击企图,就会自动将攻击包丢掉或采取措施阻挡攻击源,切断网络通常是串联、会断网

3、IPS/IDS和防火墙区别防火墙一般只检测网络层和传输层的数据包不能检测应用层的内容IPS/IDS可以检测字节内容
4、IPS和IDS的区别:IPS是串接在网络中,会切断网络IDS是旁路式并联在网络上,不切断网络
5、IDS/IPS:连接在需要把交换机端口配置成镜像端口上可以检测到全网流量
6、属于入侵检测技术的如:专家系统、模型检测、简单匹配
7、IPS分为三类:

  • 基于主机的防护系统(HIPS),安装在受保护的主机系统中,通过监视内核的系统调用,检测并阻挡针对本机的威胁和攻击
  • 基于网络的防护系统(NIPS),布置与网络出口处,一般串联与防火墙与路由器之间,对攻击的误报会造成合法的通信被阻断,导致拒绝服务
  • 应用入侵防护系统(AIPS)一般部署与服务器前端

十、网络故障

1、网络故障诊断设备:

  • 网络寻线仪:寻网线(比如机房没有做好标签哪一根线对应哪一台电脑)
  • 可见光检测笔:一般也叫红光笔,光纤寻线
  • 光时域反射计:测试光纤通不通,光纤的损耗值,判断故障可能的点在哪里,现在有一些包含了光功率的功能
  • 光功率计:测试光信号的功率,看功率的衰减

第十一章 网络应用服务器

一、网络服务器

1、网络操作系统:用统一的方法管理各主机之间的通信和资源共享

  • 主要功能:网络通信共享资源网络管理、网络服务、互操作、网络接口
  • 四大特征:并发资源共享虚拟异步
  • 安全性:用户账号、时间限制、地点限制、磁盘空间限制、传输介质、加密审计等
    2、网络服务器Windows Server 2008: 微软基于Windows XP/NT5.1开发的服务器操作系统。新增功能:①网站IIS7.0。②虚拟机化Hyper- V。③可靠可扩展。④管理中心增强
    3、网络服务器Red Hat Enterprise Linux 7.0:红帽子,是开放源代码的产品,是Linux操作系统的一种。因为它具备最好的图形界面,无论是安装、配置还是使用都十分方便,而且运行稳定,适合做服务器
    4、网卡的工作模式有直接、广播、多播和混杂四种模式.缺省的工作模式为广播和直接模式。即它只接收广播帧和发给自己的帧。网络管理机在抓包时,需要把网卡置于混杂模式,这时网卡将接受同一子网内所有站点所发送的数据包,这样就可以达到对网络信息监视的目的
    5、在NTFS文件系统下,为了预防用户无限制的使用磁盘空间,可以使用磁盘配置管理。启动磁盘配置时,设置的两个参数分別是空间限制警告等级
    6、Internet共享打印使用的协议是IPP
    7、Server设备打“?”的含义是未安装驱动,设备打“×”的含义是设备被禁用
    8、1394网络适配器能连接视频设备、数码设备等(了解)
    9、建立域控制器DC(Domain Controller),需要通过命令行方式运行(dcpromo)命令;域中的DC和DNS配置在同一设备时,需要将独立服务器的首个DNS与DC的IP地址配置为(相同);DHCP服务加入DC需要(授权),否则服务报错。
    10、域名绑定127.0.0.1 webtest 的含义是(在hosts表中建立webtest与127.0.0.1的对应关系)。在建立安全站点时,需要在WEB 服务器上启用(SSL)功能,并且绑定创建好的证书
    11、若更新驱动程序后无法正常运行,可以在该选项卡页面通过(回退驱动程序)操作将以前的驱动程序恢复
    12、在"驱动程序’选项卡中会显示驱动程序提供商、驱动程序日期、 驱动程序版本和(数字签名)信息

二、进程管理

(一)死锁问题

  • 一进一出等待,一进两出是运行,两进一出是就绪
  • 资源m个,n个进程互斥使用,每个进程对资源的最大需求为w。则m≥n+w-1
  • 计算发生死锁的最小值i:
  • (i-1)×进程数+1>互斥资源R

(二)其他

  • 中断向量可提供中断服务程序的入口地址

三、server 2008基础

1、Windows Server 2008本地用户与组

  • 用户:就是包含用户名、密码、权限以及说明
  • 用户组:具有相同性质的用户归结在一起,统一授权,组成用户组
  • 用户组分类:全局组本地组特殊组
    2、常见用户和组的权限,列表如下

    3、活动目录中的工作组:①全局组:来自本域用于全林。②通用组:来自全林用于全林。③域本地组:来自全林用于本域
    4、仅用于分发电子邮件且没有启用安全性的是通信组
    5、Win 2003远程桌面服务的默认端口是32768。对外提供服务使用RDP协议
    6、Windows 2008 R2远程桌面服务:
  • ①远程桌面会话主机,RD(远程主机)的服务端
  • ②远程桌面Web访问,提供通过Web浏览器或者APP访问
  • ③远程桌面授权,给RD客户端颁发许可证
  • ④远程桌面网关,可以给RD客户机通过外网连接网
  • ⑤远程桌面连接代理,支持连接APP 程序或虚拟机
  • ⑥远程桌面虚拟化主机,集成了 Hyper-V
    7、CIFS通用Internet文件系统(windows), NFS网络文件系统(Linux)

四、Linux基础

1、Linux用户和组:Linux是一个多用户、多任务的分时操作系统。每个文件和程序必须属于某一个用户,每个用户对应个账号。其中最重要的一个超级用户root
2、对于==/etc/fstab文件中列出的Linux分区,系统启动时会自动挂载==。超级用户可通过mount命令将分区加载到指定目录,从而该分区才在Linux系统中可用
3、挂载点必须是一个目录
4、超级用户root承担了系统管理的一切任务,可以控制所有的程序,访问所有文件,使用系统中的所有功能和资源
5、其他用户和组都是有root来创建的
6、/etc/hosts文件添加记录格式是:IP地址 主机名 别名(别命可以没有)如:192.167.1.100 zhujiming web80
7、
8、Linux文件目录管理:文件格式有EXT2、EXT3、EXT5等。采用树型根目录结构,用/表示。其他所有目录都是从根目录出发生成的
9、Linux用户和组3个重要配置文件

10、网络管理配置文件:

11、配置命令:

  • ifconfig,网络接口(网卡)命令
  • route,配置路由命令
  • ping,网络测试命令
  • netstat,网络查询命令
    12、用户管理:

    13、目录结构:

    14、基本操作命令:

五、WEB服务器安装配置

1、Windows Server 2008 R2 IIS服务简介:互联网信息服务。微软Windows平台下的一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、管理工具
2、Web网站映射多个独立域名的方法有多种,通常包括多IP(为计算机安装多网卡)不同的主机头以及不同的端口号
3、两台Web服务器采用同一域名有两个好处:对Web服务实现负载均衡;当某一台服务器产生故障时可以由另一台提供服务,可防止单点失效
4、每个Web站点都具有唯一的,由三部分组成的标识符,用来接收和响应请求,分别是IP地址、端口号和域名(主机头名)
5、若电子阅览室的客户机访问Web服务器时,出现“HTTP错误401.1-未经授权:访问由于凭据无效被拒绝。”现象,则需要在控制面板一>管理工具一>计算机管理—>本地用户和组,将IUSR_机器名账号启用来解决此问题。
6、若出现“HTTP错误401.2-未经授权:访问由于服务器配置被拒绝。”的现象,造成错误的原因是身份验证设置的问题,一般应将其设置为匿名身份认证.

六、FTP服务器安装配置

1、选择IIS管理器中的FTP站点—新建—虚拟目录,分別设置FTP用户与别名、目录名的对应关系
2、Linux的文件传输服务是通过vsftpd提供的,该服务使用的应用层协议是FTP协议,传输层协议是TCP协议,默认的传输层端口号为21。
3、vsftpd服务可以通过命令行启动或停止,启动该服务的命令service vsftpd start,停止该服务的命令是service vsftpd start,程序的主配置文件为vsftpd.conf

七、Apache服务器

1、Apache服务器:跨平台,也是Linux下最流行的WEB服务器
2、Apache服务器可采用RPM和源码编译两种方式进行安装,守护进程是 httpd
3、Linux服务器配置Web服务之前,执行命令[root@root] rpm -qa | grep httpd的目的是确认Apache软件包是否已经成功安装。Web服务器配置完成后,可以用命令service httpd start 来启动Web服务
4、Apache服务器的主配置文件是httpd.conf,该文件所在的目录为==/etc/httpd/conf/,用于对Apache服务器进行功能和性能的配置==管理

八、DNS服务器安装 & 配置

1、DNS协议:域名解析协议,用于把主机域名解析为对应的IP地址。是一个分布式数据库,C/S工作方式。主要基于UDP协议,少数使用TCP,端口号都是53。常用域名如下

3、DNS协议:DNS服务器,专门用来域名解析,采用C/S结构,域名和IP一一对应分层式命名空间,例如:www.edu.dtwlxy.
4、按照空间层次划分域名服务器:根域名、顶级域名、权限域名、本地域名
5、一个合法的域名只能是由数字、字母、下划线组成,并不能以下划线开始和结束
6、可用于测试DNS服务状态的命令有ping、nslookup、tracert
7、windows中可通过DNS Client服务来阻止对域名解析cache的访问
8、DNS通知是一个种推进机制,作用是使得辅助域名服务器及时更新信息
9、DNS解析顺序:本地缓存记录-区域记录-转发域名服务器-根域名服务器
10、按照作用划分域名服务器

11、DNS协议:解析顺序工作原理:

  • 查本地缓存,两种来源:本地hosts文件和以前本机进行的DNS查询记录
  • 查本地首选DNS服务器和备用DNS服务器
  • ③如果找不到就请求远方的DNS服务器(转发或根DNS)
  • 根DNS指定一个顶级DNS,下一级DNS,本地DNS,返回客户端
  • ⑤转发至上一级DNS服务器,如果不能解析,找根DNS重复④
    两种查询方法:递归一查到底(1,2,9,10);迭代多次回头
    12、本地hosts>本地缓存>首选DNS>备用DNS>缓存DNS>主DNS>转发DNS>辅助DNS>根DNS,如果还是没有得到解析的话就是使用NetBIOS名字解析
    13、根域名服务器采用的迭代查询,中介域名服务器采用的是递归查询
    14、DNS记录类型:
  • A:IP地址,主机地址(正向解析,域名->ip,指定主机名或域名对应的IP地址记录)(record type=1)
  • NS:权威名称服务器(record type=2)
  • CNAME:别名的正则名称(record type=5)
  • SOA:标记权威区域的开始,指明区域主服务器和管理员邮件地址(record type=6)
  • PTR:域名指针(IP地址映射)(IP地址解析为主机名)(反向解析ip->域名)(record type=12)
  • MX:邮件交换(record type=4)
  • HINFO:记录提供电脑或操作系统的类型==(主机描述)(record type=13)==
  • 正向解析:域名->ip地址
    15、DNS服务的安全配置有:
  • ①转发器、高级选项卡等
  • 禁用递归、启用循环、启用网络掩码排序、保护缓存防止污染
  • ③新建主机、新建别名等
    16、DNS其他考点:
  • DNS查询方向:正向查询A,反向查询PTR
  • DNS区域复制:主辅:完全复制,渐增复制
  • DNS通知:推进(主→辅)、安全机制(通知)
    17、DNS的域名空间是由树状结构组织的分层域名;辅助域名服务器定期从主域名服务器获得更新数据;转发域名服务器负责所有非本地域名的查询
    18、DNS使用分布式来处理网络中多个主机和IP地址的转换
    19、Linux DNS服务器BIND:
  • /etc/named.conf 主配置文件
  • /var/named/wl.bd 正向区域文件(名称=>地址)
  • /var/named/192.168.100.bd 反向区域文件(地址=>名称)
  • /etc/resolve.conf 客户端配置文件

九、DHCP服务器安装配置

1、DHCP协议:动态主机配置协议可以自动为局域网内的主机分配一个IP地址,若一直得不到回应,DHCP客户端总共会广播4次请求
2、DHCP的好处:①管理员可以迅速地验证IP地 址和其他配置参数,而不用去检查每个主机。②DHCP不会从一个范围里同时租借相同的lP地址给两台主机。③可以为每个DHCP范围(或者说所有的范围)设置若干选项(例如默认网关、DNS和WINS服务器的地址)
3、DHCP协议工作原理和过程:

(1)当DHCP客户端首次启动时DHCP服务器发送一个DhcpDiscover数据包(广播
(2)DHCP服务器接收到Dhcpdiscover数据包向主机提供(dhcpOffer(临时未分配))
(3)该DHCP服务器向客户端发送一个确认==(dhcpAck)(默认情况是8天)==
(4)当租约期过了一半时(50%即是4天向服务器发送Dhcprequest,服务器同意的话就发送DHCPACK,不同意就发送DhcpNack),客户端将和设置它的TCP/IP配置的DHCP服务器更新租约.了87.5%无法与当初的DHCP服务器联系上停止使用该IP
当租约期满后,DHCP客户向服务器发送一个Dhcprequest重新租用IP
4、DHCP服务器拒接客户端的IP地址请求时发送DhcpNack,客户端拒绝发送DhcpDecline
5、DHCP作用域:

  • 作用域:常规等选项卡
  • 作用域选项:配置选项(DNS、网关等)
    6、地址池:新建排除范围(分发中不包括)
    7、保留:新建保留(分发但会绑定)
    8、筛选器:指定接受的DHCP
    9、服务器上面的网关和DNS都是空着的不需要设置
    10、Lniux DHCP服务器配置
  • DHCP服务主配置文件&路径:/etc/dhcpd.conf
  • Linux服务器的对应配置文件名称是dhcpd.conf,该文件的缺省目录是==/etc==
  • ipconfig /all 自动获得IP地址
  • ipconfig /release 释放IP地址
  • ipconfig /renew 重新得到新的IP地址

十、Linux Samba简介

1、Samba服务器:Samba是Linux上实现和Windows系统局域网上共享文件和打印机的一种通信协议,由服务器及客户端程序构成。支持SMB/CIFS协议,实现共享资源
2、最主要的一个配置文件smb.conf,可以使用vi编辑器修改守护进程:smbd。启动samba服务service smb start(restart、stop)。启动脚本/etc/rc.d/init.d/smb start(restart)
3、配置文件smb.conf三个主要部分:全局设置global、共享目录设置homes、共享打印机设置printers

十一、windows 2008安全策略

(一)Windows 2008安全策略

1、安全策略的概念:实现定义好的一系列应用计算机的行为准则保护网络上的数据资源。本地策略用于单个计算机,组策略用于域范围内
2、IPSec策略设置:用于两个网络NetA和NetB之间建立安全的通信传输。通过设置筛选器实现对进入外出的数据包进行IP、端口、协议方面的过滤控制。①创建IPSec策略。②创建筛选器列表。③配置隧道规则。④指派
3、安全Web站点配置:HTTPS在HTTP的基础上加入了SSL协议,即数字证书验证

  • 一、安装证书服务:开始–管理工具–服务器管 理器–角色–添加加色–AD证书服务–证书颁发机构–独立–根–新建私钥–直到完成安装
  • 二、配置CA证书①创建申请文件。②申请证书。③颁发证书。④下载证书。⑤保存证书(获取服务器证书的步骤顺序)
  • 三、配置HTTPS。①绑定CA证书。②启用SSL。③实现安全访问
  • 使用组策略:A-G-DL-P中:A表示用户账号;G表示全局组;DL表示域本地组;P表示资源权限
    4、集成windows身份验证是安全级别最高的验证方法

(二)Windows五种身份认证

  • 匿名认证:不需要提供经过身份认证的用户凭证
  • 基本身份认证:用户必须输入ID,访问是基本用户ID的,但该方式的用户ID和密码以明文形式在网络上传输
  • 集成windows身份验证:使用了KerberosV5,能够提供较高的安全级别
  • 摘要身份验证:该方式需要用户ID和密码,可提供中等安全级别,与基本身份验证相同,但克服可基本身份验证的缺点

第十二章 组网技术

一、交换路由基础知识

(一)交换机

1、交换机简介和分类:交换机(Switch)意为“开关”是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。工作于第2层或3层。最常见的交换机是以太网交换机。下图是华为的Huawei S2700系列以太网交换机
2、按照VTP协议,交换机的运行模式有(服务器模式,客户机模式,透明模式)
3、网桥和交换机:都是软硬件结合,都有广播和冲突域,区别就是交换机比网桥的端口多转发速度更快;(所以说交换机是多端口的网桥)
4、集合器(物理层)与网桥(链路层):都能检测冲突域;
5、交换机进行数据包转发的能力称为包转发率,也称端口吞吐率,指交换机进行数据包转发的能力,单位为pps,交换机的背板带宽是指交换机端口处理器和数据总线之间单位时间内所能传输的最大数据量
6、交换机分类:

7、若交换机需要与车间1接入层交换机进行互连,其连接方式有堆叠和级联;其中堆叠方式可以共享使用交换机背板带宽级联方式可以使用双绞线将交换机连接在一起
8、对汇聚层交换机的端口进行端口聚合,端口默认模式是access,进行端口聚合时应配置为trunk模式
9、若备份路由设备长时间没有收到主路由设备发送的组播报文,则将自己的状态转为Master为了,避免二层广播风暴,需要在接入与汇聚设备上配置MSTP(了解)
10、交换机典型三级:①接入层交换机,如S2700。②汇聚层交换机,S3700。③核心层交换机,如S5700
11、交换机性能参数和计算公式:

  • 包转发率=千兆端口数×1.488Mpps+百兆端口 数×0.1488Mpps+其余端口×相应包转发pps
  • 背板带宽:总带宽=端口数×端口速率×2(全双工)
    12、交换机是一种由高速硬件构成的多端口网桥,交换机的初始MAC地址表为空,收到一个数据帧时将其源地址添加到自己的MAC地址表中,通过这种逆向学习算法逐步建立地址表,当收到的帧的目标地址不在MAC地址表中时,交换机将其广播发送到所有输出端口
    13、交换机通过读取输入帧中的源地址添加相应的MAC地址表项
    14、交换机的MAC地址表项是动态变化的;交换机的初始MAC地址表为空
    15、在缺省配置时交换机所有端口(属于统一VLAN)不同VLAN的数据帧必须通过(路由器)传输。
    16、Win XP,win server2008的TTL初始值为128;FreeBSD的TTL初始值为255;iOS12.4的初始值为64

(二)路由器

1、路由器简介和分类:路由器(Router)用来连接不同的局域网,路由器可以学习和传播各种路由信息。路由器工作在第3层网络层,具有局域网和广域网两种接口
2、查看路由信息结果中,标记S表示静态路由,标记C表示直联,标记R表示采用RIP路由协议
3、路由器出厂时,默认的串口封装协议是
HDLC

4、路由器根据IP数据报中的目的IP地址对应路由器中的路由表进行寻径
5、路由器根据功能、性能、应用分为:

  • 骨干路由器:主干网络互连,模块化、热备份、双电源等冗余技术。如国家级、省级骨干网互连。如NE40E以上系列
  • 企业级路由器:用于一个企业出入口,提供多种功能,完成企业组网可实现数据、语音、视频等应用。如AR3600系列
  • 接入级路由器:边缘路由器,小型企业,或者部门组网。如AR2200系列
    6、路由器上的一些常见端口:
  • Serial端口(同步串口):高速同步串口,与广域网连接,可连接DDN、帧中继、X.25、PSTN等网络(路由SFP端口通过光纤连接广域网);链接终端和数字专线的设备CSU/DSU被集成在路由器的同步串口
  • Console端口:初次配置控制台端口,利用终端仿真程序,如超级终端、SecureCRT对路由器进行本地配置
  • RJ-45端口:以太网口,通过双绞线连接局域网,有的标识ETH,有的标识为10/100bTX(路由器就是通过RJ-45链接以太网交换机的)
  • AUX端口(异步串口):远程配置路由器,连接Modem
  • Console端口:Console端口通过专用电缆连接至计算机串行口,利用终端仿真程序对路由器进行本地配置。路由器的Console端口为RJ-45口
  • SFP端口:通过光纤连广城网,小型机架可插拔设备SFP是GBIC的升级版本,其功能基本和GBIC一样,但体积减少一半
  • 路由器连接帧中继网络的接口是Serial接口,连接双绞线以太网的接口是RJ-45接口
    7、广播域和冲突域
  • 冲突域:在同一个冲突域中的每一个节点都能收到所有被发送的帧。交换机能分隔冲突域。一个端口一个冲突域
  • 广播域:网络中能接收任一设备发出的广播帧的所有设备的集合。路由器能分隔广播域。一个端口一个广播域

    8、有多个路由进行选择时,通过比较各个路由的管理距离走近路来决定
    9、VLAN之间通信就需要路由器的支持
    10、路由器出厂时,默认的串口封装协议是HDLC

二、交换机VLAN实验

1、交换机GVRP:VLAN注册协议,在VLAN增加、删除、调整时,自动发广播,保持全网所有的交换机VLAN信息是一致的
2、GVRP是GARP的一种应用,由IEEE制定;交换机之间的协议报文交互必须在VLAN Trunk链路上进行;GVRP配置时需要在每一台交换机上建立VLAN
3、GVRP把交换机分为3种注册模式

  • Normal模式:VLAN增删改,广播保持一致
  • Fixed模式:只传播手动配置的VLAN信息
  • Forbidden模式:只传播VLAN1不传其他VLAN
  • 交换机默认:透明模式,VLAN1所有端口
  • 优先级:默认:60;RIP:100;直连:0;OSPF:10;ISIS:15

三、RIP与BDF联动实验

1、BFD:双向转发检测,可以提供毫秒级的检测,可以实现链路的快速检测,BFD通过与上层路由协议联动。当主链路发生故障时,业务流量会快速切换到另一条路径进行传输

四、动态路由IS-IS实验

1、IS-IS:中间系统-中间系统,路由器称为中间系统IS。和OSPF协议很类似,属于内部网关路由协议,是一种链路状态协议。
2、Net-Entity:网络实体。运行IS-IS的路由器必须配置一个网络实体地址。格式为:SEL服务访问点
3、IS-IS 在路由域内采用两级的分层结构骨干区域与非骨干区域。并定义了路由器的三种角色:区域内Level-1、区域间Level-2、同属于Level-1-2。默认路由器接口为Level-1-2
4、IS-IS 路由协议将自治系统分为骨干区域和非骨干区域
5、IS-IS路由协议中Level-2路由器可以和不同区域的Level-2或者Level-2路由器形成邻居关系

第十三章 网络管理

一、网络管理结构

1、网络管理模型:包括网络监测和网络控制两部分。以下是一个网络管理模型。分为管理站,被管理代理、管理信息库MIB三部。MIB采用管理信息结构SMI(ASN.1国际标准的子集)
2、两种管理结构:

  • 集中式:集中控制整个网络。平衡优化网络。适用小网络
  • 分布式:灵活性和伸缩性,适用中、大型网络
    3、两种通信机制:
  • 轮询:是一种请求-响应式的交互方式。管理站 向代理发出请求,代理做出响应,从信息管理库取出信息,返回给管理站。类似领导安排工作
  • 事件报告:代理根据管理站的要求,向管理站 主动发送状态报告。类似员工汇报工作
    4、网络管理中的五大管理功能:
  • 费管理:计算收取用户使用网络服务费用
  • 全管理:提供信息的保密、认证和完整性
  • 能管理:性能检测、性能分析、性能管理
  • 置管理:监测和控制网络的状态以及配置
  • 障管理:发现和纠正网络故障,维护网络的
  • 正常运行。包括报警、检测、定位、测试、恢复以及日志记录等
    5、网络管理协议五种标准:
  • ISO制定:CMIS/CMIP公共管理信息服务规范
  • ②基于TCP/IP:简单网络管理协议SNMP V1、SNMP V2、SNMP V3三种版本
  • ③基于局域网:远程监控网络RMON,RMON-1、RMON-2两个版本
  • IEEE制定:基于物理层和数据链路层==CMOL
  • ⑤ITU-T:电信网络管理标准TMN==
    6、安全措施
  • 物理线路安全:防雷
  • 网络安全措施:入侵检测、流量控制、数字签名,数据加密,身份认证
  • 系统安全措施:漏洞发现和补丁管理
    7、检测故障命令:
  • Show 命令可查看系统的安装情况与网络的正常运行状况
  • Ping 命令确定网络连通
  • Tracert 命令跟踪路由器包传输
  • Debug 命令能够提供端口传输信息,节点产生的错误消息
    8、常见网络运维工具
  • 光时域反射计根据光的后向散射与菲涅耳反向原理制作,利用光在光纤中传播时产生的后向散射光来获取衰减的信息,可用于测量光纤衰减、接头损耗、光纤故障点定位以及了解光纤沿长度的损耗分布情况等,是光缆施工、维护及监测中必不可少的工具

二、简单网管协议SNMP

1、SNMP简单网络管理协议应用层协议,采用UDP,不会增加网络负担,UDP实现网络管理效率高。UDP161(代理)、UDP162(管理站)
2、采用UD实现网络管理不会太多增加网络负载
3、SNMPv1:四种报文①GetRequest、②GetNextRequest、③SetRequest、④Trap、⑤GetResponse。其中④用于事件报告⑤用于代理站。采用团体明文认证
4、SNMPv2:又叫SNMPv2c,支持集中,也支持分布式管理:增强改进3方面:①管理里信息结构的扩充。②管理站之间的通信能力。③新的协议操作。Get BulkRequest块操作一大批的数据、InformRequest通信请求(增强了功能)
5、SNMPv3:把管理和代理统一叫做实体(包括引擎和应用),并提供认证和加密。基于用户的安全模型,把安全威胁分为主要的和次要的。基于视图的访问控制模型,划分安全级别。(增强了安全性),新增了认证和加密
6、在SNMP协议中,代理收到管理站的一个GET请求后,若不能提供该实例的值,则会返回下一个实例的值
7、RMON和SNMP的主要区别就是:RMON提供了整个子网的管理信息,而SNMP管理信息库只包含本地设备的管理信息
8、报文摘要算法生成报文摘要的目的是防止发送的报文被篡改
9、在SNMP协议中,当代理收到一个GET请求时,如果有一个值不可或者不能提供,则返回该实例的下一个值
10、从代理到管理站的SNMP报文的命令为:trap、Get-Response;从管理站到代理的SNMP报文有Get-Request、Get-Next-Request、Set-Request

三、结构化布线系统

  • (1)交流工作接地电阻不应大于4Ω;
  • (2)安全工作接地电阻不应大于;
  • (3)直流工作接地电阻应按计算机系统具体要求确定;
  • (4)防雷保护地接地电阻不应大于10Ω;
  • (5)对于屏蔽系统若采用联合接地,其接地电阻不应大于

四、管理信息库MIB

1、管理信息库MIB-210个功能组

  • system:关于系统的总体信息
  • interface:系统到子网接口的信息
  • at(address translation):描述Internet到子网的地址映射
  • ip:关于系统中IP的实现和运行信息
  • icmp:关于系统的ICMP的实现和运行信息
  • tcp:关于系统中的TCP的实现和运行信息
  • udp:关于系统的UDP
  • egp:关于系统中的EGP的实现和运行信息
  • dot3:有关每个系统接口的传输模式
  • snmp:关于系统中SNMP的实现和运行信息
    2、MIB-2中,IP组对象为接受的IP数据报总数,数据类型为计数器类型
    3、远程网络监控RMON的管理信息库:
  • 先事件组再警报组
  • 先主机组再N台主机组
  • 先过滤组再捕获组
    4、RMON监视器
  • RMON的管理信息库提供整个子网的管理信息
  • RMON的管理信息库属于MIB-2的一部分
  • RMON监视器可以对每个分组进行统计和分析
  • RMON监视器包含MIB-2的功能
    5、网络管理常考零部件可靠性计算:

    轮询设备和时间计算

五、网络管理工具和命令

1、Tracert是路由跟踪,确定IP数据报访问目标所采用时用;arp用来显示和修改arp缓存中的值;ipconfig显示当前TCP/IP配置的设置值;netstat可以显示路由表
2、ipconfig/all:显示主机TCP/IP配置的详细信息;/release:DHCP客户端手共释放IP地址;/renew:DHCP客户端手工向服务器刷新新请求;/flushdns:清除本地DNS缓存内容;/displaydns:显示本地DNS内容
3、ping,利用ICMP报文来测试网络的连通性、是否丢包、名称解析等。ping -a解析域名;ping -f不要拆分分段;ping -l指定数据包大小;ping -n 指定回显数据报的数据次数;ping-r记录路由;ping -t连通性(持续ping),直到终止
4、netstat命令用于显示TCP连接,语法如下netstat [-a] [-e] [-n] [-o] [-p Protocol] [-r] [-s] [Interval]

  • -a:显示所有活动的TCP连接,以及正在监听的TCP和UDP端口
  • -e:显示以太网统计信息
  • -n:显示活动的TCP连接,地址和端口号以数字形式表示
  • -o:显示活动的TCP连接以及每个连接对应的进程ID。在Windows任务管理器中可以找到与进程ID对应的应用。这个参数可以与-a、-n和-p联合使用
  • -p Protocol:用标识符Protocol指定要显示的协议,可以是TCP、UDP、TCPv6或者UDPv6。如果与参数-s联合使用,则可以显示协议TCP、UDP, ICMP、IP、TCPv6、UDPv6, ICMPv6或IPv6的统计数据
  • -s:显示每个协议的统计数据。默认情况下,统计TCP、UDP、ICMP和IP协议发送和接收的数据包、出错的数据包、连接成功或失败的次数等。如果与-p参数联合使用,可以指定要显示统计数据的协议
  • -r:显示IP路由表的内容,其作用等价于路由打印命令route print
  • Interval:说明重新显不信息的时间间隔,键入Ctrl+C则停止显示。如果不使用这个参数,则只显示一次
    5、arp。用于显示和修改ARP缓存中的表项-s参数可以绑定IP和MAC以防止ARP病毒,如arp -s 192.168.1.1 AA-00-4F-2A-9C。但重启后会丢失如果写入注册表是个永久的办法
  • -a:显示所有接口的当前ARP缓存表
  • -d:删除ARP缓存表项
  • -s:绑定ARP表项,如IP和MAC绑定
    6、代理ARP是指由离目标主机最近的交换机假装目标主机回答源主机的ARP请求
    7、交换机常用命令
  • dis patch:查看补丁信息display patch-information ;
  • dis trap:查看告警信息 display trapbuffer ;
  • dis int br:查看接口开启情况 display interface brief ;
  • dis cu:查看当前配置 display current-configuration 。
  • virtual-cable-test:电缆测试
  • display transceiver interface:显示设备光模块接口的状态信息,用于对光功率参数的检测判断是否存在介质故障
  • display device:显示设备状态
  • display interface:显示端口配置信息

8、其他命令:

  • pathping:把ping和tracert结合起来,探测路径、延时、丢包率
  • nbtstat:用来显示NetBIOS的 名称缓存
  • route:显示修改本地IP路由表。add添加、delete删除、change修改、print显示路由表(同netstat -r)
  • netsh:命令行脚本程序,可 修改计算机的网络配置
  • net:管理网络服务
  • nslookup。用来测试DNS服务器域名解析的。交互式和非交互式
  • traceroute是路由跟踪命令用于分组到达目标路劲上经过的各个路由器
  • netstat可用于显示IP、TCP、UDP、ICMP等协议的统计数据;
  • sniffer能够使用网络接口处于杂收模式,从而可截获网络上传输的分组
  • winipcfg在Windows中显示网络适配器和主机的有关信息
  • tracert可以发现数据包到达目标主机所经过的路由器和到达时间。通常配合-d使用
  • Tracert、Netstat及Route print均可以获得网关IP地址信息
  • Nslookup用来检查提供域名的服务器地址;ping加域名地址可测试域名成功与否;tracert也可用于进行DNS故障诊断;arp是地址协议,用于IP地址与MAC的映射

六、网络存储技术

1、网络存储技术:RAID,廉价磁盘冗余阵列。RAID0~RAID50多种。RAID卡

2、网络存储技术:

3、RAID2.0的优点有:自动负载均衡,降低了存储系统整体故障率;快速重构,降低了双盘失效率和数据丢失的风险;自检愈合,保证了系统可靠性。
4、网络存储技术:NAS网络接入存储。将存储设备连接到现有的网络上来提供数据存储和文件访问服务的设备。NAS服务器是在专用主机上安装简化了的瘦操作系统(只具有访问权限控制、数据保护 和恢复等功能)的文件服务器。NAS服务器内置了与网络连接所需要 的协议,可以直接联网
5、网络存储技术:SAN存储区域网络。是一种连接存储设备和存储管理子系统的专用 网络,专门提供数据存储和管理功能。SAN可以被看作是负责数据传输的后端网络,而前端网络则负责正常的TCP/IP传输。用户也可以把SAN看作是通过特定的互连方式连接的若干台 存储服务器组成。分为2种结构:IP-SAN(远离)与FC-SAN,FCSAN部署成本更高,传输速率更高
6.默认网关的地址是子网中的广播地址的话,不能ping通任何远程设备

第十四章 网络规划与设计

一、网络设计基础

1、网络系统生命周期:从构思到淘汰
2、四阶段周期(重叠):能够快速适用新的需求变化成本低,灵活性好适用网络规模较小需求较为明确网络结构简单的工程项目。(口诀:小明花钱少)

3、五阶段周期(瀑布):比较死板,不灵活,较为严谨,适用于网络规模大,需求较为明确,需求变更较小的网络工程。常用此模型。(口诀:大明看瀑布)

4、六阶段周期(测试):偏重于测试和优化,适合大型网络,适合经常变更

5、网络开发过程:其中,通信规范分析又叫现有网络体系分析。以便在升级时尽量保护已有的投资(5个阶段)

  • (1)需求规范:对现有资源进行分析,确定网络的逻辑结构。集中访谈的信息资料。确定需求,包括:商业,用户,应用,计算机平台。理解网络应该具有的功能和性能
  • (2)通信规范:根据需求和通信规范,分析各个网络的通信流量。估计和测量通信量及设备和利用率。网络内部的通信流量分布
  • (3)逻辑网络设计:根据需求规范和通信规范,实施资源分配和安全规划。选择符合需求的设计。网络IP地址分配方案。根据用户的需求,选择特定的网络技术,网络互连设备和拓扑结构。网络结构设计。物理层技术选择。确定路由选择协议。
  • (4)物理网络设计:依据逻辑网络设计的要求,确定设备的具体物理分布和运行环境。将物理设计应用到物理空间。设备列表清单结构化布线设计
  • (5)文档规范:安装和维护。实现物理网络设计。
    6、确定新网络所需的通信量通信模式属于通信规范阶段;确定 IP 地址分配方案属于逻辑网络阶段;明确网络物理结构和布线方案属于物理网络设计阶段;确定网络投资规模属于需求规范阶段
    7、PERT不能清晰秒速各个任务之间的并行情况,甘特图不能清晰描述各个问题之间的依赖关系

二、通信流量分析

1、通信流量模式分析:对等模式、C/S模式、B/S模式
2、对等模式:双向对等,如QQ、BT、P2P等
3、C/S模式:S→C流量大,如VOD、Web服务器、ERP。C→S流量大,如SNMP双向流量大,如FTP、邮件服务器、数据库服务器
4、B/S模式:S→B流量大,而web服务器与数据 库则属于双向流量大
5、通信流量计算公式:分为两种:

  • 某个业务应用网络流量的计算公式为:应用的 数据传输速率 = 平均事务量大小 × 每字节位 数 × 每个会话事务数 × 平均用户数 / 平均会话长度
  • 考虑峰值用户数和应用增长率等因素后公式为: 应用的数据传输速率 = 平均事务量大小 × 每 字节位数 × 每个会话事务数 × 峰值用户数 × (1+增长率) / 平均会话长度

三、逻辑网络设计

1、逻辑网络设计工作主要内容

  • 网络结构的设计
  • 物理层技术的选择
  • 局域网技术的选择与运用
  • 广域网技术的选择与运用
  • 地址设计和命名模型
  • 路由选择协议
  • 网络管理
  • 网络安全
  • 逻辑网络设计文档
    2、局域网结构设计:单核心局域网结构
  • 单核心简单、投资少、地理范围小,适合小型网络
  • 缺点是单点故障,导致全网失效。扩展能力有限
    3、桌面用户不应与核心连接
    4、局域网结构设计:双核心局域网结构
  • 可做负载均衡热备,如HSRP、VRRP、GLBP。可靠性高、可热切换、接入方便、服务器直连核心,高速访问
  • 投资高、维护技术高
    5、局域网结构设计:三层次局域网结构
  • 核心层:高速转发,将多个汇聚层连接起来;提供宽带城域网的用户访问Internet所需的路由服务
    6、汇聚层:策略控制、实现资源访问控制和流量控制,数据转发和交换
    7、接入层:用户接入
    8、广域网结构设计:线缆调制解调器接入网广电网络属于这种,借助CATV有线电视实现
  • HCF网络实现带宽接入时,局端设备用于控制和管理用户的设备是CMTS,客户Cable Modem(大猫)
  • Cable Modem利用频分复用的方法将信道分为上行信道和下行信道
  • 下行50Mbps,上行3Mbps
  • 采用HFC技术,光纤/同轴缆混合传输
  • HFC是双向传输系统;由有线电视头端、长距离干线、放大器、馈线和下引线组成
    9、广域网结构设计:数字用户环路远程接入网xDSL电信网络属于这种,借助电话 线实现。
  • 局端DSLAM,客户端ADSL Modem(小猫)
  • ADSL:下行8Mbps
  • SDSL:下1.544M
  • HDSL:下2.048M
  • VDSL:下行50Mbps
  • 口诀:RCAV不对称
    10、广域网结构设计:同步数字体系接入网SDH
  • STM-1:155.520M
  • IP over SDH
    11、PDH兼容:63个2M
    12、MPLS VPN接入网:利用MPLS实现
  • P设备:核心高速转发
  • PE设备:边缘路由标签
  • CE设备:连客户端
    13、VRRP:VRRP技术实现冗余备份和容错选择功能,交换机A与交换机B之间的连接线称为心跳线,其作用是为了防止VRRP协议报文(心跳报文)所经过的链路不通或不稳定传递VRRP协议报文
    14、在宽带接入中,FTTx是速度最快的一种有线接入方式,而PON(Passive Optical Network)技术是未来FTTx的主要解决方案。PON目前有两种主要的技术分类,分别是GPON和EPON,EPON是以太网技术和PON技术的结合,它可以实现上下行1.25Gbps的速率
    15、GPON速率高达2.5Gbps,能提供足够的带宽以满足网络日益增长的对高带宽的需求,同时非对称性更能适应带宽数据业务市场;技术相对复杂,设备成本较高;能提供Qos的全业务保障,同时承载多种不同的帧,有良好的服务等级、支持Qos保证和全业务接入的能力;GPON比EPON带宽更大,它的业务承载更高效、分光能力更强,可以传输更大带宽业务,实现更多用户接入

四、物理网络设计

1、建筑物综合布线系统PDS

  • (1)工作区子系统:指由中端设备到信息插座的整个区域(信息插座一般离地面30cm)
  • (2)水平布线子系统(不得超过90m)(从电杆拉出来的)
  • (3)干线子系统(竖起来像电杆)
  • (4)设备间子系统(机房,楼层中间)
  • (5)管理子系统(楼层配线间)
  • (6)建筑群子系统
    2、综合布线性能参数:双绞线、光纤
  • 衰减值:由于绝缘损耗、连接电阻等因素,造成信号沿链路传输损失
  • 近端串扰:当信号在一个线对上传输时,会同时将一小部分信号感应到其他线对上,这种感应信号成为串扰
  • 光纤:包括连通性、输入/输出功率、衰减/损耗,一般应在20db以内,超过25db不通
    3、在诊断光纤故障的仪表中,设备(光时域反射计)可在光纤的一端就测得光纤的损耗

五、网络需求分析

1、软件设计必须依据软件的需求来进行,结构化分析的结果为结构化设计提供了最基本的输入信息,其关系为:根据加工规格说明和控制规格说明进行过程设计;根据数据字典和实体关系图进行数据设计;根据数据流图进行接口设计;根据数据流图进行体系结构设计
2、软件设计方式

  • 瀑布模式:适用于求明确
  • V模型:瀑布模型变种,它说明测试活动是如何与分析与设计相联系
  • 原型模型:快速构造整个系统或系统一部分
  • 螺旋模型:开发活动和风险管理结合,控制风险并减到最小

第十五章 命令图和协议

一、网络协议神图



二、常用命令图

(一)netstat

(二)nslookup

(三)route print

(四)tracert



该资源为收费资源,如不符合您的消费观,
还请您见谅

本文标签: 万字 课件 网络工程师 学习笔记 软考