计算机网络工程实用教程(第3版)石炎生 郭观七 编著 复习资料 聊城大学计算机学院考试科目
2018年计算机学院计算机网络工程考试试题及答案
如对您有帮助,请点个赞
一、单选题10x1
1、网络工程是采用信息系统工程方法
2、Hub、Switch、Router、Gateway
二、多选题5x2
1、VPN的应用类型
2、防火墙的部署模式
3、光纤的特点
4、交换机、路由器的管理方式
5、服务器的应用模式
三、填空题5x2
1、负载均衡
2、进入全局配置模式的完整命令 config terminal
3、堆叠
四、简述题6x7
1、六种综合布线系统
2、三种网络存储技术
3、基于端口的VLAN、基于MAC地址的VLAN、基于IP的VLAN
4、网络工程建设步骤
5、网络工程三层网络拓扑结构
6、交换机配置命令
7、访问控制列表的工作原理
五、问答题
1(4+4)
交换机
交换数据帧的工作原理:
构造MAC地址表的工作原理:
2(5+3+2)
有一张图
(1)列出X到Y的所有路由
(2)采用RIP协议,列出可选路由
(3)采用OSPF协议,列出可选路由
六、计算题
4个LAN分别含有主机:2、38、46、56
202.207.175.0划分子网并写出子网掩码。
LAN1 202.207.175.0/30
LAN2 202.207.175.64/26
LAN3 202.207.175.128/26
LAN4 202.207.175.192/26
第一章网络工程基础
1.1网络工程
网络工程:是采用信息系统工程方法,在完善的组织机构指导下,根据用户对数据、语音、视频等方面的应用需求,按照计算机网络系统的标准、规范和技术,详细规划设计网络系统建设方案,将计算机网络设备、语音设备、视频设备以及相关软件进行系统集成,建成一个满足用户需求、高效快速、安全稳定的计算机网络系统。
网络工程:就是组建计算机网络系统。
1.2网络工程建设的组织机构
网络工程建设的组织机构为三方结构:工程甲方、工程乙方、工程监理方。
工程甲方是网络工程中的用户,即网络工程的建设方或投资方。
工程乙方是计算机网络工程的承建者。
工程监理方提供工程监理服务的机构就是监理方。
1.3网络工程建设内容:
a.网络规划与设计
b.网络工程综合布线
c.网络设备安装与系统集成
d.网络应用部署与软件安装
e.网络工程竣工验收与技术培训
互联设备与OSI的对应关系
中继器(Repeater)又称重发器,其作用是对电缆上传输的数据信号再生放大,再重发到其它电缆段上。
集线器(HUB)是对网络进行集中管理的设备,工作于物理层,采用共享型模式,是一个共享设备,其实质是一个多接口的中继器。功能:信号的再生与转发,碰撞检测与通告。
网桥也称桥接器,是连接两个局域网的存储转发设备,用它可以完成具有相同或相似体系结构网络系统的连接,是一个局域网与另一个局域网之间建立连接的桥梁。功能:中继功能,地址过滤与“自学习”,数据接收、存储与转发。
网桥与中继器的区别:
网桥可以实现不同类型的局域网互联,而中继器只能实现以太网间的相连。
网桥可以实现大范围的局域网互联,而中继器只能将5段以太网相连,且不能超过一定距离。
网桥可以隔离错误帧,提高网络性能。而中继器互联的以太网区段,随着用户的增多,冲突加大,网络性能将会降低。
网桥的引入可以提高局域网的安全性。
交换机(Switch)是一个具有简化、低价、高性能和高端口密集特点的交换产品。主要用于连接局域网中的网络设备;交换机又称为多端口的高速网桥;交换机优点:分割冲突(碰撞)域——减少了冲突;允许建立多个连接——提高了网络总体带宽;减少每个网段中的站点数——提高了站点平均拥有带宽;允许全双工连接——提高带宽;交换机一般作为LAN核心主干连接设备,应用在高网络通信流量、对网络响应速度要求比较高的场合,如图像处理、视频流等。交换机只能分隔冲突域,但不能分隔广播域。
路由器(Router)是一种多类型端口设备,它可以连接不同传输速率并运行于各种环境的局域网和广域网,也可以采用不同的协议。功能:网络互联,数据处理,网络管理,协议转换。可分隔广播域。
网关(Gateway)又称网间连接器、协议转换器,是将两个使用不同协议的网络段连接在一起的设备。其作用就是对两个使用不同协议的网络段中的数据进行互相翻译转换。目前主要有三种类型的网关:它们是协议网关、应用网关和安全网关。
网络安全设备:防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、上网行为管理系统、安全审计系统。
1.4网络工程的建设过程
网络工程的建设过程可分为:网络规划与设计,工程实施与系统集成,工程竣工验收与技术培训。
图中的实线表示组织方必须参与其过程,虚线表示组织方可以参与也可不参与其过程。
第二章网络工程综合布线
2.1综合布线系统
综合布线系统(PremisesDistribution System, 缩写PDS,简称综合布线)是用数据和通信电缆、光缆、各种软电缆及有关连接硬件构成的通用布线系统。
是指按标准的、统一的和简单的结构化方式编制和布置的建筑物(或建筑群)内各种系统的通信线路,包括计算机网络系统、电话系统、电视系统、广播系统、监控系统、消防报警系统等。
综合布线系统采用模块化设计和物理分层星型拓扑结构,主要应用于传输数据、语音、图像、多媒体业务、以及各种控制信号。
综合布线系统的基本形式:
基本型综合布线系统
特点:能够满足用户数据和语音等基本使用要求,不考虑未来发展需求。
增强型综合布线系统
特点:具有较强的扩展功能,既能够满足用户数据和语音等使用要求,同时考虑未来发展需求。
综合型综合布线系统
特点:引入光缆,适用于规模较大的智能楼宇
2.2综合布线系统常用线缆
2.2.1双绞线
双绞线(TwistedPairwire, TP)由两根(一对)具有绝缘保护层的22、23、24、26号绝缘铜导线按照一定密度互相扭绞而成。
每对导线在每英寸长度上相互缠绕的次数决定了抗干扰的能力和通信的质量。
为了降低信号干扰的程度,双绞线的扭绞长度一般控制在3.8cm(1.5英寸)到14cm(5.5英寸)标准范围内,并按逆时针(左手)方向扭绞,相邻线对的扭绞长度在1.27cm(1/2英寸)以上。
分类:
非屏蔽双绞线 (Unshielded Twisted Pair,UTP)
屏蔽双绞线 (Shielded Twisted Pair,STP)
非屏蔽双绞线(Unshielded Twisted Pair, UTP)只在塑料绝缘封套内包裹绝缘铜导线对,没有屏蔽层,每对导线相互缠绕。
UTP具有较高的数据传输速率(如:五类UTP在100m内可达到100Mbps,六类UTP在100m内可达到1000Mbps);
UTP价格相对便宜,重量轻、易弯曲、具有阻燃性、易安装,组网灵活。
屏蔽双绞线(Shielded Twisted Pair,STP)使用金属箔或金属网包裹网线内部的信号线,在屏蔽层外面再包裹绝缘外皮。
根据屏蔽方式的不同,屏蔽双绞线又分为:
STP(ShieldedTwisted-Pair):是指每条线对都有各自屏蔽层。
FTP(Foil Twisted-Pair):是所有线对采用整体屏蔽。
STP具有较高的数据传输速率,如:五类STP在100m内可达到155Mbps。
抗干扰性好。
安装时需要专用连接器和工具。
双绞线的规格型号
综合布线工程常用的双绞线
超五类UTP双绞线的最大传输距离为100m
突破100传输极限的方法:加装交换机或HUB,可以延伸至500米
2.2.2光纤
光纤(Fiber Optic Cable)也称为光导纤维,以光脉冲的形式来传输信号。
光纤的裸纤由纤维芯、包层和涂层组成。
光纤的分类:
(1)按照制造光纤所用的材料分
a.石英玻璃光纤
b.多成分玻璃光纤
c.塑料包层石英芯光纤
d.全塑料光纤
d.氟化物光纤
目前通信中普遍使用的是石英玻璃光纤和多成分玻璃光纤。
(2)按照光在光线中的传输模式分
a.多模MMF 多束光纤以不同的反射角传播
多模光纤(Multi Mode Fiber,MMF):
以发光二极管或激光作光源。
纤芯较粗,纤芯直径有50μm和62.5μm两种规格。
包层外直径均为125μm。
适用于短距离与低速通信,传输距离一般在2km以内。
b.单模SMF 单束光线沿直线传播
单模光纤(Single Mode Fiber,SMF):
以激光作光源。
纤芯较细,纤芯直径有8.3μm、9μm和10μm三种规格。
包层外直径均为125μm。
适用于长距离与高速通信,传输距离一般在2km以上。
(3)按最佳传输频率窗口分
常规型单模光纤:光纤生产厂家将光纤传输频率最佳化在单一波长的光上,如:1310nm。
色散位移型单模光纤:光纤生产厂家将光纤传输频率最佳化在两个波长的光上,如:1310nm和1550nm。
(4)按光纤的工作波长分
850nm波长区:多模通信所用的800~900nm 短波段。
1300nm波长区:单模或多模通信所用的1250nm~1350nm长波段。
1500nm波长区:单模通信所用的1530nm~1580nm长波段。
目前计算机网络主干线路和室外连接光纤的工作波长通常采用850nm、1310nm和1550nm三种波长。
(5)按折射率分布情况分
跳变式光纤:纤芯的折射率和包层的折射率都是一个常数。在纤芯和包层的交界面,折射率呈阶梯型变化。
渐变式光纤:纤芯的折射率随着半径的增加按一定规律减小,在纤芯与包层交界处减小为包层的折射率。纤芯的折射率的变化近似于抛物线。
光纤传输原理:
利用光的反射
光从一种介质入射到另一种介质时会产生折射。折射量取决于两种介质的折射率。当从光密介质进入光疏介质,且当入射角≥临界值时产生全反射,不会泄漏。
光传输系统:光源、介质、光检测器
光源: 850nm/1300nm/1500nm发光二极管 / 激光二极管
介质: 光纤
光检测器: 光电二极管
单向传输,双向需两根光纤
光纤特点:
依靠光波承载信息
速率高,通信容量大
仅受光电转换器件的限制(>100Gb/s)
传输损耗小,适合长距离传输
抗干扰性能极好,保密性好
轻便
2.2.3同轴电缆
同轴电缆分类
基带同轴电缆:一条电缆只用于一个信道,50Ω,用于数字传输。
宽带同轴电缆:一条电缆同时传输不同频率的多路模拟信号,75Ω,用于模拟传输。300~450MHz,100km,需要放大器。
细同轴电缆
特性阻抗:50Ω,直径D=1.02cm
传输速率:10Mbps
每段长度:185m,可采用4个中继器延伸网段。
最大传输长度:925m
2.2.4大对数双绞线电缆
大对数双绞线电缆:简称大对数线,由25对或100对3类具有绝缘保护层的双绞线组成。目前已有5类大对数线。
大对数线:分为屏蔽和非屏蔽两种类型。
2.3综合布线系统组成与规范
2.3.1综合布线系统组成
传统综合布线系统
综合布线系统
2.3.2工作子系统
工作子系统:从终端设备到信息插座的整个区域。(双绞线≤10m)
2.3.3水平干线子系统
水平干线子系统:各个楼层弱电间的配线架到工作区信息插座之间所安装的线缆。(双绞线≤90m)
2.3.4管理子系统
管理子系统:管理子系统设置在楼层的弱电间内,由各种交连设备(双绞线跳线架、光纤跳线架)以及集线器和交换机设备组成。交连方式取决于网络拓扑结构和工作设备的要求。(双绞线跳线,光纤跳线)
2.3.5干线子系统
干线子系统:干线子系统是建筑物的主干线缆,实现各楼层设备间子系统的互联。干线子系统通常由垂直的大对数铜缆或光纤组成,一端接在设备间的配线架上,另一端接在楼层弱电间的管理配线架上。
2.3.6设备子系统
设备子系统:建筑物的设备间是网络管理人员值班的场所,设备间子系统由建筑物的进户线、交换设备、电话、计算机、适配器以及保安设施组成,实现中央主配线架与不同设备之间的连接。
2.3.7建筑群子系统
建筑群子系统:(园区子系统),它是连接各个建筑物的通信系统。多采用光纤。
2.4综合布线系统工程施工技术
网络中心机房需求:P24
第三章交换机技术与应用
3.1交换机概述
3.1.1交换机的分类:
按交换机的结构划分:固定端口交换机、模块化交换机。
按网络互连层次划分:核心层交换机、汇聚层交换机、接入层交换机。
按外观进行划分:机箱式、机架式、桌面型。
交换机的工作原理:
交换机的工作是执行两个基本操作:
交换数据帧——将从某一端口收到的数据帧转发到该帧的目的地端口;
维护交换操作——在交换机内部构造和维护动态MAC地址表。
交换:是指将数据帧(报文)从接入端口转发到目的端口的过程。
1.交换数据帧
在交换机中保存一张动态MAC地址表来映射MAC 地址与相应的接口,这张表是通过检查进入接口帧的源MAC 地址而建立起来的;
当交换机接收到一个数据帧时,首先检查该帧的源和目的MAC地址,然后与系统内部的动态MAC地址表进行比较,若数据帧的源MAC地址不在该表中,则将该源MAC地址及其对应的端口号加入MAC地址表中;
如果目的MAC地址在该表中,则将数据帧发送到相应的目的端口,
如果目的MAC地址不在表中,则将目的MAC地址加入到MAC地址表中,并将该数据帧发送到所有其他端口。
数据帧在交换机内的交换过程
①当主机D发送广播帧时,交换机从E3端口接收到目的地址为ffff.ffff.ffff (广播地址) 的数据帧,则向E0、E1、E2和E4端口转发该数据帧
②当主机D与主机E通信时,交换机从E3端口接收到目的地址为0260.8c01.5555的数据帧,查找MAC地址表后发现0260.8c01.5555并不在表中,则交换机把地址0260.8c01.5555加入MAC地址表,并向E0、E1、E2和E4端口转发该数据帧。
③当主机D与主机F通信时,交换机从E3端口接收到目的地址为0260.8ec01.6666的数据帧,查找MAC地址表后发现0260.8c01.6666也位于E3端口,即与源地址处于同一网桥端口,交换机不转发该数据帧,而是直接丢弃。
④当主机D与主机A通信时,交换机从E3端口接收到目的地址为0260.8c01.1111的数据,查找MAC地址表后发现0260. 8c01.1111位于E0端口,所以交换机将数据帧转发至E0端口,这样主机A即可收到该数据帧。
⑤如果在主机D与主机A通信的同时,主机B也正在向主机C发送数据,交换机同样会把主机B发送的数据帧转发到连接主机C的E2端口。这时E1和E2之间,以及E3和E0之间,通过交换机内部的硬件交换电路,建立了两条链路,这两条链路上的数据通信互不影响,因此网络也不会产生冲突。所以,主机D和主机A之间的通信独享一条链路,主机C与主机B之间也独享一条链路。而这样的链路仅在通信双方有需求时才会建立,一旦数据传输完毕,相应的链路也随之拆除。
2.构造和维护MAC地址表
MAC地址表的建立和维护过程
(1)在交换机加电启动进行初始化时
其MAC地址表为空的。当自检成功后,交换机开始侦测各端口连接的设备;
如图所示,一旦A、B、C互相访问,以及A、B、C访问F,期间的数据流必然会以广播的形式被交换机接收到,当交换机接收到数据后,首先把数据帧的源MAC地址给拆下来,如果在交换机内部的存储器中没有A、B、C、F的MAC地址,交换机会自动把这些地址记录并存储下来,同时,把这些MAC地址所表示的设备和交换机的端口对照起来。
保存下来的这些信息被称为MAC地址表。
2)当计算机和交换机加电、断电或迁移时
每当增加MAC地址表项时,均在该项中注明帧的到达时间。每当目的地址已在表中的帧到达时,将以当前时间更新该项。(这样,从表中每项的时间即可知道该机器最后帧到来的时间)。
交换机中有一个进程定期地扫描MAC地址表,清除时间早于当前时间若干分钟的全部表项。
如果从一个物理网段上卸下一台计算机,连到另一个物理网段上,则在几分钟内,它即可重新开始正常工作而无需人工干预。
这个算法同时也意味着,如果机器在几分钟内无动作,那么发给它的帧将不得不散发,一直到它自己发送出一帧为止。
3)MAC地址表更新
交换机中的内存有限,能够记忆的MAC地址数也有限,交换机设定一个自动老化时间,若某个MAC地址在设定时间内不再出现,交换机将自动把该MAC地址从地址表中清除。当下一次该MAC地址出现时,将被当做新地址处理。
交换机的基本功能:
a.地址学习(Address Learning)
交换机通过监听所有流入的数据帧,对其源MAC地址进行检验,形成一个MAC地址到其相应端口号的映射,并且将这一映射关系存储到其MAC地址表中。
b. 转发/过滤决定( forward/filterdecisions)
交换机根据数据帧的MAC地址进行数据帧的转发操作,同时能够过滤(即丢弃)非法侵入的数据帧。
转发/过滤遵循的规则
如果数据帧的目的MAC地址是广播地址或者组播地址,则向交换机所有端口转发(数据帧来的端口除外);
如果数据帧的目的地址是单播地址,但这个地址并不在MAC地址表中,那么也向所有的端口转发(数据帧来的端口除外);
如果数据帧的目的地址在MAC地址表中,那么就根据地址表转发到相应的端口;
如果数据帧的目的地址与数据帧的源地址在同一个物理网段上,它就会丢弃这个数据帧,不会发生交换。
c. 避免环路(loop Avoidance)
交换机通过使用生成树协议(Spanning–tree protocol),来管理局域网内的环境,避免数据帧在网络中不断绕圈子的现象产生,即避免环路。
网络出现环路后,很容易产生广播风暴和MAC地址系统失效,致使网络瘫痪。
交换机存在的问题:
a.广播风暴
b.MAC地址系统失效
交换机的交换方式
a.直通方式
b.存储转发
c.碎片隔离
3.2交换机配置基础
3.2.1交换机为用户提供了四种管理方式(又称访问方式):
1.通过(Console)带外对交换机进行管理;
2.通过Telnet对交换机进行远程管理;
3.通过Web对交换机进行远程管理;
4.通过SNMP工作站对交换机进行远程管理。
带外管理:Console配置
带内管理:
采用带内管理方式应具备的条件:
a.管理主机与交换机具有网络可连通性;
b.交换机配置了管理VLAN的IP地址;
c.交换机内开启了相应的管理服务;
d.交换机内设置了授权用户或没有限制用户访问
3.2.2交换机配置命令简介
命令模式:用户模式、特权模式、全局配置模式
编辑快捷键
3.2.3交换机基本配置命令:略。
3.3交换机的互联技术
3.3.1交换机级联
多台交换机的互连有两种方法:级联(Uplink)与堆叠(Stack)
交换机级联:是通过交换机上的RJ45电口或光纤接口将两台或多台交换机连接起来。
3.3.2交换机堆叠
交换机堆叠:是利用交换机的堆叠模块,通过堆叠线将两台或多台交换机连接起来。
级联的优缺点
级联的优点:
(1)级联式结构化网络有利于综合布线,交换机可以不受地理位置的限制,它是目前主流的连接技术之一。
(2)易理解,易安装,可以方便的实现大量端口的接入。
(3)通过统一的网管平台,可以实现对全网络设备的统一管理。
级联的缺点:
交换机不能无限制级联,级联层数超过一定数量时,层次之间存在较大的收敛比时,导致网络性能严重下降,还可能会引起广播风暴。
堆叠的优缺点:
堆叠的优点:
(1)通过堆叠,可以扩展端口密度,因为堆叠的端口数是由堆叠所有成员设备的端口相加得到,所有的端口可以当作一个设备的端口。
(2)方便用户的管理操作。通过堆叠,用户可以将一组交换机作为一个逻辑对象,通过一个IP来管理,减少IP地址的占用并方便管理。
(3)扩展上链带宽。如8台S2126G/S2150G交换机堆叠,上链可以有8个千兆端口,8个千兆口形成聚合端口,带宽可以达到8Gbps。
堆叠的缺点:
堆叠交换机的数目有限制,一般最多8台。
要求堆叠成员离自己的位置足够近,一般在同一机柜中。
堆叠和级联的区别:
(1)实现的方式不同
级联是通过双绞线或光纤在任何厂商的交换机之间实现。堆叠只能在同一厂商且具有堆叠功能的交换机之间才可实现。
(2)设备数目限制不同
交换机级联在理论上没有级联数目限制,而堆叠各个厂商的设备会标明最大堆叠个数。
(3)连接后性能不同
级联有上下级关系,级联的接口类型与性能不同,多个设备级联会产生级联瓶颈。
堆叠是通过交换机的背板连接起来的,是建立在芯片级上的连接,任意两端口之间的延时是相等的。
(4)连接后逻辑属性不同
多台交换机堆叠在一起,从逻辑上来说,它们属于同一个设备。而级联的设备逻辑上是独立分层设备。
(5)连接距离限制不同
级联的距离可以达到数千米,而堆叠线缆最长只有几米,一般堆叠的交换机处于同一个机柜中
3.4交换机的VLAN技术
3.41 VLAN概述
VLAN(VirtualLocal Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地分成一个个网段,从而实现虚拟工作组的技术。
利用交换机可以实现VLAN,但并不是所有的交换机都具有VLAN功能。
VLAN的特征:
① VLAN不受网络物理位置的限制,可跨越多个物理网络或多台交换机,可将网络用户按其功能或用途划分成多个逻辑工作组,每一组为一个VLAN。
② VLAN可隔离广播信息,每个VLAN为一个广播域,可以通过划分VLAN的方法来限制广播域,以防止广播风暴的发生。如果要实现不同VLAN之间的主机通信,则必须通过一台路由器或者三层交换机。
③划分VLAN可有效提升带宽,因为日常的信息交流绝大部分被限制在一个VLAN内部,使带宽得到有效利用。
④VLAN均由软件实现定义与划分,建立与重组VLAN十分灵活,当一个VLAN中增加、删除和修改用户的时候不必从物理位置上调整网络。
3.4.1VLAN的分类:
(1) 基于端口的VLAN
优点:定义VLAN成员时非常简单,适于任何大小的网络。
缺点:如果用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。
(2) 基于MAC地址的VLAN
优点:当用户物理位置移动时,VLAN不用重新配置。
缺点:初始化时,所有的用户都必须进行配置,如果用户多的话,配置是非常繁琐的,通常适用于小型局域网
(3) 基于IP地址的VLAN
优点:
当某一用户主机的IP地址改变时,交换机能够自动识别,重新定义VLAN,不需要管理员干预。
有利于在VLAN交换机内部实现路由,也有利于将动态主机配置(DHCP)技术结合起来。
缺点:一是由于IP地址可以人为地、不受约束地自由设置。二是效率要比基于MAC地址的VLAN差,因为查看三层IP地址比查看MAC地址所消耗的时间多。
(4)基于网络层协议划分VLAN
(5)根据IP组播划分VLAN
VLAN中的端口
一个VLAN是以vlan-id来标识的,最多支持4093个VLAN,vlan-id为1~4094,其中VLAN 1是出厂默认设置的VLAN,若没有对交换机进行配置,则所有与交换机连接的设备都属于VLAN1。VLAN1是不可删除的VLAN。
VLAN端口有两种类型:Access和Trunk。
一个端口缺省工作在第二层模式,一个二层端口的缺省类型是Access端口。
3.4.2VLAN基本配置
略
第四章路由器技术与应用
4.1路由器概述
路由器的基本功能:
1. 协议转换
2. 寻址(选择最优路径)
3. 分组转发
路由器的工作原理:
工作站A需要向工作站B传送信息,并假定工作站B的IP地址为10.120.0.5,它们之间需要通过路由器R1、R2、R3、R4、R5,其分布如下图所示。
① 工作站A将工作站B的地址10.120.0.5连同数据信息以数据帧的形式发送给R1。
② 路由器R1收到工作站A的数据帧后,先从报头中取出地址10.120.0.5,并根据路由表计算出发往工作站B的最佳下一跳路径:
R1-> R2->R5->B
并将数据帧发往路由器R2。
③ 路由器R2重复路由器R1的工作,并将数据帧转发给路由器R5。
④ 路由器R5同样取出目的地址,发现10.120.0.5就在该路由器所连接的网段上,于是将该数据帧直接交给工作站B。
⑤ 工作站B收到工作站A的数据帧,一次通信过程宣告结束
4.2路由器配置基础
4.2.1路由器的管理方式:
(1)通过Console端口进行本地配置
(2)通过AUX口连接Modem进行远程配置
(3)通过Telnet程序进行本地或远程管理。
(4)预先编辑好配置文件,通过TFTP服务器进行远程管理。
(5)通过Ethernet上的SNMP网管工作站进行远程管理。
4.2.2路由器配置命令简介
常见命令模式:用户模式、特权模式、全局模式、接口模式、路由配置模式、接口配置模式、线路配置模式
4.3路由器连接与接口配置
4.3.2接口配置类型及其共性配置
4.3.3LAN接口设置
4.3.4WAN接口设置
4.3.5逻辑接口设置
4.4路由协议及其配置
4.4.3RIP路由协议
RIP基于距离矢量路由算法,是分布式的距离向量协议
RIP的工作原理:
RIP协议使用跳数(hop Count)计算距离,与该路由器直接连接的网络的跳数定义为1(或0),每经过一个路由器跳数加1,最大跳数为15,跳数为16时,RIP协议认为目的地不可达。
抵达目的地的跳数最少的路径为最优路径。
每个路由器使用UDP协议520端口,每隔30s向与它相邻的路由器广播含有自己路由表信息的数据分组,接到广播的路由器将收到的信息更新自身的路由表。(更新定时器)
如果经过180s,即6个更新周期,没有收到来自某一路由器的路由更新信息,则将所有来自此路由器的路由信息标志为不可达。(失效定时器)
如果经过240s,即8个更新周期,仍未收到路由更新信息,就将这些路由信息从路由表中删除。(删除定时器)
RIP协议的要点:
和哪些路由器交换信息?
仅和相邻路由器交换信息
交换什么信息?
路由器交换机的信息是当前本路由器的路由表。
在什么时候交换信息?
按固定时间间隔交换信息 每隔30s
概述为:每隔30s仅和相邻路由器交换本地路由器的路由表。
RIP协议的优缺点
(1)优点:
实现简单,收敛(convergence)过程较快,开销较少。
收敛过程是指在自治系统中所有的结点都得到正确的路由选择信息的过程。
(2)缺点:
RIP协议规定的最大距离为 15(16为不可达), 从而限制了网络的规模,只适合中小型网络使用。
RIP的路由更新信息不包含网络掩码部分,它要求网络使用相同的掩码,因而造成地址浪费,不利于地址资源的合理使用。
当网络出现故障时,要经过比较长的时间才能将此信息传送到所有的路由器,即收敛速度较慢(时间经常大于5分钟),不利于网络的扩大与发展。
RIP协议使用整个路由表作为路由更新信息,因此会占用大量网络带宽。
RIP在决定最佳路径的时候只考虑跳步计数,而不考虑网络连接速度、可靠性和延迟等参数。
4.4.4OSPF路由协议
OSPF(Open Shortest Path First,开放最短路径优先)是分布式的链路状态协议
“最短路径优先”——是因为使用了 Dijkstra 提出的最短路径算法SPF
OSPF要点
使用洪泛法向本自治系统中所有路由器发送信息。
发送的信息就是与本路由器相邻的所有路由器的链路状态。“链路状态”就是说明本路由器都和哪些路由器相邻,以及该链路的“度量值”(metric)。
只有当链路状态发生变化时,路由器才用洪泛法向所有路由器发送此信息。
为了使 OSPF 能够用于规模很大的网络,OSPF 将一个自治系统再划分为若干个更小的范围,叫作区域。
每一个区域都有一个 32 位的区域标识符(用点分十进制表示)。
在一个区域内的路由器一般不超过 200 个。
OSPF区域划分:
为了使每一个区域能够和本区域以外的区域进行通信,OSPF 使用层次结构的区域划分。
在上层的区域叫作主干区域(backbone area)。
主干区域的标识符规定为0.0.0.0。(area 0)
主干区域的作用是用来连通其他在下层的区域。
采用分层次划分区域的方法能够使每一个区域内部交换路由信息的通信量大大减少,因而使OSPF能够用于规模很大的自治系统。
4.5三层交换技术
4.6访问控制列表
访问控制列表(AccessControl List,ACL) 也称为访问列表(accesslists),是应用在路由器接口的有序指令列表,通过指令定义一些准则,对经过该接口上的数据分组进行转发(接受)或丢弃(拒绝)控制。
访问列表的准则可以针对数据流的源地址、目标地址、端口号、协议或其他信息等特定指示条件来决定。
访问控制列表的作用:
a. ACL可以限制网络流量、提高网络性能。
b. ACL提供对通信流量的控制手段。
c. ACL是提供网络安全访问的基本手段。
d. ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
访问控制列表的分类
(1)标准访问控制列表
标准ACL只检查数据分组的源地址,不需要身份认证。
(2)扩展访问控制列表
扩展ACL既可检查数据分组的源地址,也检查数据分组的目的地址,同时还可以检查数据分组的特定协议类型、端口号等,不需要身份认证
(3)动态访问控制列表
动态访问列表是用户通过身份认证后动态创建的,实现动态地过滤数据分组。
4.6.2访问控制列表的工作原理
1.传统访问控制列表的工作原理
当路由器的接口接收到一个数据分组时,首先会检查访问控制列表,如果在访问列表中有拒绝和允许的操作,则被拒绝的数据分组将会被丢弃,允许的数据分组进入路由选择状态。
对进入路由选择状态的数据再根据路由器的路由表执行路由选择,如果路由表中没有到达目标网络的路由,那么相应的数据分组就会被丢弃;如果路由表中存在到达目标网络的路由,则数据分组被送到相应的网络接口。
2.动态访问控制列表的工作原理
动态ACL默认情况是禁止数据流通过的,当用户需要访问内部网络资源时,必须先远程telnet 到路由器上进行身份认证,路由器对用户经用户名和口令认证通过以后,便关闭Telnet会话,并在向内的访问列表中增加一个动态表项,该表项允许来自用户所在工作站的数据分组通过,从而达到访问内部网络资源的目的。
4.7网络地址转换技术
NAT分为两种类型
基本网络地址转换(BasicNetwork Address Transform,BNAT),习惯上还是称为NAT。
网络地址端口转换(NetworkAddress Port Transform,NAPT)
基本概念:
① 内部本地地址(InsideLocal Address):
指本网络内部主机的IP地址。该地址通常是未注册的私有IP地址。
② 内部全局地址(InsideGlobal Address):
指内部本地地址在外部网络表现出的IP地址。它通常是注册的公有IP地址,是NAT对内部本地地址转换后的结果。
③ 外部本地地址(OutsideLocal Address):
指外部网络的主机在内部网络中表现的IP地址。
④ 外部全局地址(OutsideGlobal Address):
指外部网络主机的IP地址。
⑤ 内部源地址NAT:把 Inside Local Address 转换为 Inside GlobalAddress。这也是我们通常所说的NAT。在数据报送往外网时,它把内部主机的私有IP地址转换为注册的公有IP地址,在数据报送入内网时,把公有地址转换为内部的私有IP地址。
⑥ 外部源地址NAT:把 Outside Global Address 转换为 Outside LocalAddress。这种转换只是在内部地址和外部地址发生重叠时使用。
网络地址转换的工作原理
NAT就是在局域网内部网络中使用私有地址,而当内网中的主机要与外网(Internet)进行通信时,就在网关处将内部私有地址替换成Internet的公有地址,从而使该主机在Internet上正常使用。
采用NAT技术可以通过一个公有IP地址,把整个局域网中的计算机接入Internet中。
一个公有IP地址,在同一时间只能由一台私有IP地址的计算机使用网络地址端口转换的工作原理
NAPT负责将某些内网IP地址的计算机向外部网络发出的TCP/UDP数据分组的源IP地址转换为NAPT自己的公网IP地址,源端口转为NAPT自己的一个端口。目的IP地址和端口不变,并将IP数据分组发给路由器,最终到达外部的计算机。
NAPT实现了多台私有IP地址的计算机可以同时通过一个公网IP地址来访问Internet的功能。
静态NAT——就是建立内部本地地址和内部全局地址的一对一永久映射。当外部网络需要通过固定的全局可路由地址访问内部主机时,静态NAT就显得十分重要。(一对一)
动态NAT ——则是在外部网络中定义了一组公有地址组建成一个地址池,当内网的客户机访问外网时,从地址池中取出一个地址为它建立临时的NAT映射,这个映射关系会一直保持到会话结束。(多对少)
NAPT——实现了多台私有IP地址的计算机可以同时通过一个公网IP地址来访问Internet的功能。(多对一)
第五章网络安全技术与应用
5.1网络安全体系与技术
5.2防火墙技术
5.2.3防火墙的部署模式
a.路由模式
如果防火墙以第三层对外连接,则认为防火墙工作在路由(Route)模式下,此时所有接口都要配置IP地址。
局限:第一,工作于路由模式时,防火墙各网口所接的局域网必须是不同的网段,如果其中所接的局域网位于同一网段时,那么它们之间的通信将无法进行;
第二,如果用户试图在一个已经形成了的网络里添加防火墙,而此防火墙又只能工作于路由方式,则需要对网络拓扑进行修改,与防火墙所接的主机(或路由器)的网关都要指向防火墙,路由器需要更改路由配置等。如果用户的网络非常复杂时,设置时就会很麻烦。
b.透明模式
若防火墙通过第二层(数据链路层)对外连接,则防火墙工作在透明模式(也可以称为桥模式)下,此时不需要对其接口配置IP地址
c.混杂模式
若防火墙同时具有工作在路由模式和透明模式的接口,即某些接口具有IP地址,某些接口无IP地址,则防火墙工作在混合模式下。
5.2.4防火墙的命令配置
配置与管理两种方式:Console口、web管理。
常用配置命令:
配置文件的上传与下载:
下载命令:copytftp A.B.C.D RemoteFile config
导出命令:copy(running-config|startup-config) tftp A.B.C.D RemoteFile
5.3虚拟专用网技术
VPN的作用原理:虚拟专用网络(Virtual Private Network,VPN)是指将物理上分布在不同地点的局域网,通过公共网络(Internet)构建成一个逻辑上的专用网络,实现安全可靠、方便快捷的通信。
VPN安全技术:
a. 隧道技术
b. 加密技术
c. 认证技术
d. QoS技术
5.3.3VPN的应用类型
a. Access VPN(远程访问VPN)
Access VPN(简称远程访问VPN)又称为拨号VPN(即VPDN),是企业员工或企业的小分支机构通过公网远程访问企业内部网络而构筑的虚拟网。
因远程用户一般是一台计算机,而不是网络,因此该类型的VPN是一种主机到网络的拓扑结构。
Access VPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网的远程访问
AccessVPN解决方案
如果企业的内部人员移动或有远程办公需要,或者商家要提供安全的B2C访问服务,就可以考虑使用Access VPN。
Access VPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。
公司往往要制定一种“透明的访问策略”
b. IntranetVPN (内部VPN)
Intranet VPN(简称内部VPN)是企业的总部与分支机构之间通过公网构筑的虚拟网。
Intranet VPN是一种网络到网络以对等方式连接的拓扑结构。Intranet VPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。
Intranet VPN解决方案
如果要进行企业内部各分支机构网络的互联,使用Intranet VPN是很好的方式。
这种方案的优点是:可以减少WAN的费用。能使用灵活的拓扑结构,包括全网络连接。新的站点能更快、更容易地被连接。
通过WAN设备供应商的连接冗余,可以延长网络的可用时间。带来的风险也最小,因为公司通常认为他们的分支机构是可信的,并将它作为公司网络的扩展。
c. ExtranetVPN (外联网VPN)
Extranet VPN(简称外联网VPN)是企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通过公网来构筑的虚拟网。
Extranet VPN是一种网络到网络以对等方式连接的拓扑结构。
Extranet VPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。
Extranet VPN解决方案
如果是提供B2B之间的安全访问服务,则可以考虑Extranet VPN。
Extranet VPN对用户的吸引力在于:能容易地对Extranet VPN进行部署和管理,Extranet VPN的连接可以使用与部署Intranet VPN和Access VPN相同的架构和协议进行部署。
主要的不同是接入许可,Extranet VPN的用户被许可只有一次机会连接到其合作人的网络。
5.4入侵检测技术
5.4.1入侵检测技术概述
入侵检测系统本质上是一种“嗅探设备”,其功能主要如下:
监测并分析用户和系统的活动;
核查系统配置和漏洞;
评估系统关键资源和数据文件的完整性;
识别已知的攻击行为;
统计分析异常行为;
操作系统日志管理,并识别违反安全策略的用户活动。
5.4.3 IDS的部署方式(并联)
a.单核心部署
b.双核心部署
c.双网口部署
d.汇聚层检测部署
第六章服务器技术与应用
6.1服务器概述
6.1.3服务器应用模式
a. C/S模式
Client/Server(C/S)应用系统基本运行关系:体现为“请求/响应”的应答模式。每当用户需要访问服务器时就从客户端发出“请求”,服务器接受“请求”并“响应”,然后执行相应的服务,把执行结果送回给客户端,由它进一步处理后再提交给用户。
显示逻辑和事务处理逻辑部分均被放在客户端,数据处理逻辑和数据库放在服务器端。
b. B/S模式
B/S(Browser/Server)模式是一种以Web技术为基础的新型的网络管理信息系统平台模式。
在三层体系结构下,表示层、功能层、数据层被分割成三个相对独立的单元:客户机(Web浏览器)、具有应用程序扩展功能的Web服务器、数据库服务器。
浏览器将客户机的数据请求以表单(Form)参数形式传递给Web服务器,并向Web服务器请求调用一个ASP文件(或JSP、PHP文件),通过ADO对象调用ODBC,实现对数据库的操作,结果以HTML文件的形式传给浏览器。
c. B/A/S模式
B/A/S(Browser/Application/Server)模式是在三层B/S体系结构的基础上,应用微软提出的分布式Internet应用结构(Windows Distributed Internet Applications Architecture)技术,利用组件对象模型(Component Object Model,COM)的组件对象在中间层进行事务逻辑服务,处理各种复杂的商务逻辑计算和演算规则,这种进行事务逻辑服务的中间层为应用服务器,这样就将三层B/S结构扩展为四层B/A/S模式体系结构
三层B/S与二层C/S结构相比,具有如下优点:
开放的标准
较低的开发和维护成本
使用简单,界面友好
客户端消肿
系统灵活
保障系统的安全性
6.2常用网络服务器
6.3服务器部署方式
6.3.2负载均衡技术与部署
负载均衡的含义
负载均衡(Load Balance)技术又称网络负载均衡(NLB)技术,简称负载均衡,它是建立在现有网络结构之上,采用硬件设备或软件,将通信量及信息处理工作智能地分配到一组设备(如:服务器)的不同设备上,或将数据流量均衡地分配到多条链路上,从而扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
负载均衡设备的实现原理:是把多台服务器的地址映射成一个对外的服务IP地址,我们通常称之为VIP,可以直接将服务器IP映射成VIP地址,也可以将服务器IP:Port映射成VIP:Port,不同的映射方式会采取相应的健康检查,这个过程对用户端是透明的,因为他们访问的还是一个服务器IP地址,那么用户的访问到达负载均衡设备后,如何把用户的访问分发到合适的服务器就是负载均衡设备要做的工作了。
负载均衡技术分类
1)按应用的地理结构分
本地负载均衡(Local Load Balance)
全局负载均衡(Global Load Balance,也叫地域负载均衡)
2)按应用的网络层次分
第四层负载均衡
第七层负载均衡
3)按所采用的设备对象分
软件负载均衡
硬件负载均衡
服务器负载均衡的部署方式:
a. 路由模式
路由模式中,服务器区域、负载均衡与核心交换机连接区域设置不同的网段,服务器区域的网关需要指向负载均衡设备。
b. 透明模式
透明(Transparent)模式中,服务器和负载均衡设备同一网段;通过二层透传,服务器的流量需要经过负载均衡设备。
c. 单臂模式
单臂模式(One-arm)中,通常服务器网关指向核心交换,为保证流量能够正常处理,负载均衡设备需要同时做源地址和目标地址NAT转换
6.4服务器存储备份技术
6.4.3磁盘阵列
磁盘阵列RAID(Redundant Array of Independent Disk,独立磁盘冗余阵列)是一种把多块独立的硬盘(物理硬盘)按不同方式组合起来形成一个硬盘组(逻辑硬盘),从而提供比单个硬盘更高的存储性能和提供数据冗余的技术。
组成磁盘阵列的不同方式称为RAID的级别(RAID Levels),主要有:0、1、2、3、4、5、6、7等级别,其中,RAID 2、RAID 4和RAID 6由于技术复杂,硬盘利用率很低,目前基本不再使用。
RAID 0采用条带化结构,将多个硬盘并列起来,成为一个大硬盘,在存放数据时,将数据按磁盘的个数进行分段,并写入相应的磁盘中。
RAID 0速度是最快的,但没有数据冗余功能不能用于安全性较高的场合,磁盘利用率100%
RAID 1采用镜像结构,将两组相同的独立硬盘互作镜像,实现100%的数据冗余,即在主硬盘上存放数据的同时也在镜像硬盘上写一样的数据。
RAID 1具有很高的数据安全性,但是其磁盘容量的利用率却只有50%。
RAID 3采用带奇偶校验码的并行传送结构,将数据按字节条块化分段存储于数据硬盘中,并使用单独硬盘作为校验盘存放数据的奇偶校验位。
RAID 3利用单独的校验盘来保护数据虽然没有镜像的安全性高,但是总容量只减少了一个硬盘的容量
RAID 3最少需要3个硬盘,如果某个数据硬盘损坏,只要将坏硬盘换掉,RAID控制系统则会根据校验盘的数据校验位和其他数据盘在新盘中重建数据。磁盘利用率(n-1)/n
RAID 5采用分布式奇偶校验独立磁盘结构,也是采用数据的奇偶校验位来保证数据的安全,但不是使用单独硬盘来存放数据的校验位,而是在所有磁盘上交叉地存取数据及奇偶校验信息。这样,任何一个硬盘损坏,都可以根据其他硬盘上的校验位来重建损坏的数据。
硬盘的利用率与RAID 3相同 磁盘利用率(n-1)/n。
RAID 5更适合于小数据块和随机读写的数据。
RAID 7采用优化的高速数据传送磁盘结构,是一种全新的RAID标准。RAID7不仅仅是一种技术,而实际上是一种存储计算机(Storage Computer),自身带有智能化实时操作系统和存储管理软件工具,可完全独立于主机运行,不占用主机CPU资源。
RAID 7通过使用存储计算机操作系统(Storage Computer Operating System)来初始化和安排磁盘阵列的所有数据传输,可以把数据转换成磁盘阵列需要的模式,传输到相应的存储硬盘上。
RAID 10是将镜像和条带进行两级组合的级别,第一级是RAID 1镜像对,第二级为RAID 0。
这种组合提高了读/写速率,并允许硬盘损坏,因此RAID 10也是一种应用比较广泛的RAID阵列。
RAID 10和RAID 1一样只有1/2的磁盘利用率,最小硬盘数为4个。磁盘利用率50%
6.5网络存储技术
6.5.1 DAS技术 直接附加存储(Direct Attached Storage,DAS)
DAS是指将存储设备通过SCSI线缆或光纤通道直接连接到服务器上。
DAS 本身没有任何的操作系统,它直接接收服务器的读写请求,通过服务器连接网络向用户提供服务
DAS适用于以下几种情况:
① 业务应用系统单一或较少的单位,只需部署1~2台服务器和存储设备。
② 服务器在地理分布上很分散,通过SAN或NAS在它们之间进行互连非常困难。
③ 存储系统必须被直接连接到应用服务器上。
④ 包括许多数据库应用和应用服务器在内的应用,它们需要直接连接到存储器上。
6.5.2 NAS技术 网络附加存储(Network Attached Storage,NAS)
NAS是指将存储设备通过本身的网络接口连接在网络上。
在NAS存储结构中,存储系统不再通过I/O总线附属于某个服务器,而直接通过网络接口与网络直接相连,用户可以通过网络访问。
NAS采用集中式数据存储模式,将存储设备与服务器完全分离,通过网络直接向用户提供服务。
6.5.3 SAN技术 存储区域网络(Storage Area Network,SAN)
SAN是一种采用光纤通道(FibreChannel,FC)或iSCSI 技术,将服务器和存储设备组建成专用存储区域网络,实现数据的高速存取。
三种类型:FC-SAN、IP-SAN、IB-SAN
第七章网络规划与设计
7.1网络规划与设计基础
7.2网络建设需求分析
7.3网络系统逻辑设计
7.3.2 网络拓扑结构
1.层次模型拓扑结构
a.接入层
b.汇聚层
c.核心层
2.网络接入模式
a. ASDL共享介入
b. 光纤接入
c. 卫星接入
3.无线网络覆盖连接方式
a. 无线AP模式
b. 无线客户端模式
c. 点对点桥接模式
d. 无线中继模式
7.3.5 IP地址分配方案
划分公有IP地址
划分私有IP地址
划分子网(计算)猜测