系统的可用性用平均无故障时间(MTTF),,可维护性用平均维修时间(MTTR)来度量,即系统发生故障后维修和重新恢复正常运行平均花费的时间。计算机系统的可用性定义为:MTTF/(MTTF+MTTR)100%。,这里要记住几个常用的数字。 如果系统高可用性达到99.9%,那么每年的停机的时间<=8.8小时;达到99.99%,停机时间<=53分钟;达到99.999%,停机时间<=*5分钟。
ip地址聚合
IP地址聚合2
局域网设备
中继器是物理层的连接设备,工作在物理层。其原因为: ①中继器只能起到对传输介质上信号波形的接收、放大、整形和转发的作用;②中继器的工作不涉及帧结构,不对帧的内容做任何处理。
集线器 又被称为多端口中继器,工作在物理层,连接到一个集线器的所有结点共享一个冲突域。
集线器基于MAC地址完成数据帧转发,这种说法是错误的,这种说法是错误的,这种说法是错误的。
由于连接到一个集线器的所有结点共享一个冲突域,因此连接到集线器的结点发送数据时,仍然要执行CSMA/CD介质访问控制方法。
在获得发送数据的权利之后,信源结点利用一对发送线将数据通过集线器内部的总线广播出去。如果在网络链路中串接一个集线器,可以监听该链路中广播的数据包。
网桥 网桥的主要性能指标包括帧转发速率和帧过滤速率。
网桥最重要的维护工作是构建和维护MAC地址表。
交换机交换机在源端口与目的端口间建立虚连接。
交换机基于MAC地址识别完成数据转发。
综合布线系统
STP电缆价格比UTP(双绞线)要贵,而且对安装施工的要求较高,但是STP比UTP的抗电磁干扰能力好。
建筑群布线子系统所采用的铺设方式主要有架空布线、巷道布线、直埋布线、地下管道布线,或者是这4种铺设方式的任意组合。其中地下管道布线的铺设方式能够对线缆提供最佳的机械保护,是最理想的方式。
多介质插座是用来连接UTP和STP的。这种说法是错误的。多介质信息插座用来连接铜缆和光纤,用以解决用户对”光纤到桌面”的需求。
在综合布线系统中,水平布线子系统多采用5类(或超5类,或6类)4对非屏蔽双绞线。双绞线电缆长度应该在90m以内,信息插座应在内部作固定线连接。
交换机
交换表:
交换表的内容包括:目的MAC地址、该地址所对应的交换机端口号以及所在的虚拟子网。
显示交换表内容的命令:Cisco大中型交换机使用”show cam dynamic”
交换机:
小型交换机使用”show mac-address-table”
交换表中没有接收帧的目的MAC地址时,交换机用Flood技术转发该帧
交换机采用盖时间戳的方法刷新交换表。
交换机的配置方式:1.使用控制(Console)端口配置交换机。
2.使用telent配置交换机。
3.使用浏览器配置交换机。
交换机端口配置:
注意区分Catalyst 3500和Cisco IOS系统,前者是config 后者是config-if
CAT-OS配置的时候都需要添加set
删除VLAN用的命令是clear,不是delete
VLAN 1 是默认的vlan,只能使用,不能删除,不能修改。
以太网的vlan范围是2-1000。
为交换机端口分配VLAN,
例题:
1)cisco交换机端口分配VLAN的配置:
如下图所示,Cisco 3548交换机A与B之间需传输名为VL1
0(ID号为10)和VL15(ID号为15)的VLAN信息。下列为交换机A的g0/1端口分配VLAN的配置,正确的是(A)。
A) Switch-3548(config)#interface g0/1
Switch-3548(config-if)#switchport mode trunk
Switch-3548(config-if)#switchport trunk allowed vlan 10,15
B) Switch-3548(config)#interface g0/1
Switch-3548(config-if)#switchport mode trunk
Switch-3548(config-if)#switchport trunk access vlan 10,15
C) Switch-3548(config)#interface g0/1
Switch-3548(config-if)#switchport mode trunk
Switch-3548(config-if)#switchport allowed vlan vl10,vl15
D) Switch-3548(config)#interface g0/1
Switch-3548(config-if)#switchport mode trunk
Switch-3548(config-if)#switchport trunk allowed vlan 10-15
题中为交换机A的g0/1端口分配VLAN的配置。以Cisco 3548交换机为例:
步骤一:进入交换机端口配置模式(config)#interface g0/1
步骤二:配置VLAN Trunk模式(config-if)#switchport mode trunk
步骤三:为端口分配VLAN(config-if)#switchport trunk allowed vlan 10,15
2)telnet配置方式:
Cisco 3548交换机采用telnet远程管理方式进行配置,其设备管理地址是222.38.12.23/24,缺省路由是222.38.12.1。下列对交换机预先进行的配置,正确的是()。
A) Switch-3548(config)#interface vlan1
Switch-3548(config-if)#ip address 222.38.12.23 255.255.255.0
Switch-3548(config-if)#ip default-gateway 222.38.12.1
Switch-3548(config-if)#exit
Switch-3548(config)#line vty 0 4
Switch-3548(config-line)#password 7 ccc
Switch-3548(config-line)#exit
B) Switch-3548(config)#interface vlan1
Switch-3548(config-if)#ip address 222.38.12.23 255.255.255.0
Switch-3548(config-if)#exit
Switch-3548(config)#ip default-gateway 222.38.12.1
Switch-3548(config)#line vty 0 4
Switch-3548(config-line)#password 7 ccc
Switch-3548(config-line)#exit
C) Switch-3548(config)#interface vlan1
Switch-3548(config-if)#ip address 222.38.12.23 255.255.255.0
Switch-3548(config-if)#exit
Switch-3548(config)#ip default-route 222.38.12.1
Switch-3548(config)#line vty 0 4
Switch-3548(config-line)#password 7 ccc
Switch-3548(config-line)#exit
D) Switch-3548(config)#interface vlan1
Switch-3548(config-if)#ip address 222.38.12.23 255.255.255.0
Switch-3548(config-if)#exit
Switch-3548(config)#ip default-gateway 222.38.12.1
Switch-3548(config)#line aux 0 4
Switch-3548(config-line)#password 7 ccc
Switch-3548(config-line)#exit
交换机telnet远程管理方式进行配置。以Cisco 3548交换机为例:
步骤一:进入端口配置模式(config)#interface vlan1
步骤二:配置端口通信IP地址与子网掩码(config-if)#ip address 222.38.12.23 255.255.255.0
步骤三:退出(config-if)#exit
步骤四:配置缺省路由(config)#ip default-gateway 222.38.12.1
步骤五:配置远程登录口令(config)#line vty 0 4
(config-line)#password 7 ccc
步骤六:退出(config-line)#exit
3)将Cisco 6500第4模块第1端口的通信方式设置为半双工,第2~24端口的通信方式设置为全双工:
Switch-6500>(enable)set port duplex 4/1 half
Switch-6500>(enable)set port duplex 4/2-24 full
注意常用来是错误的选项为set interface duplex 4/1 half,set port duplex 4/2-4/24 full,以及顺序错误,这三种。
交换机VLAN的配置:
虚拟专用网VLAN技术
VLAN技术特性:工作在OSI参考模型的第二层(数据链路层)。
3COM交换机使用的是IEEE802.1Q,不支持ISl协议(私有协议)。
16.路由器
路由器的内存:只读内存ROM,随机存储器RAM,非易失性随机存读器NVRAM,闪存Flash。
从NVRAM加载配置信息命令为configure memory。
将路由器配置保存在NVRAM中命令为write memory
1)路由器的配置方法:
Cisco路由器第3模块第1端口通过E1标准的DDN专线与一台远程路由器相连,端口的IP地址为195.112.41.81/30,远程路由器端口封装PPP协议。下列路由器的端口配置,正确的是(A)。
A) Router(config)#interface s3/1
Router(config-if)#bandwidth 2048
Router(config-if)#ip address 195.112.41.81 255.255.255.252
Router(config-if)#encapsulation ppp
Router(config-if)#exit
B) Router(config)#interface a3/1
Router(config-if)#bandwidth 2000
Router(config-if)#ip address 195.112.41.81 255.255.255.252
Router(config-if)#encapsulation ppp
Router(config-if)#exit
C) Router(config)#interface s3/1
Router(config-if)#bandwidth 2
Router(config-if)#ip address 195.112.41.81 255.255.255.252
Router(config-if)#encapsulation ppp
Router(config-if)#exit
D) Router(config)#interface s3/1
Router(config-if)#bandwidth 2048
Router(config-if)#ip address 195.112.41.81 255.255.255.252
Router(config-if)#encapsulation hdlc
Router(config-if)#exit
题中路由器的端口配置方法如下:
步骤一:进入第3模块第1端口配置模式(config)#interface s3/1。
步骤二:设置带宽,其中E1速率为2.048Mbit/s,所以设置带宽为2048(config-if)#bandwidth 2048。
步骤三:配置端口通信IP地址与子网掩码(config-if)#ip address 195.112.41.81 255.255.255.252。
步骤四:设置远程路由器端口封装PPP协议,(config-if)#encapsulation PPP。
步骤五:退出(config-if)#exit。
配置扩展访问控制列表命令格式如下:
Access-list access-list-number {permit | deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]
注:access-list-number是访问控制列表号。permit是语句匹配时允许通过,deny是语句不匹配时,拒绝通过。source是源IP地址,protocol是值得数据包遵守的协议,也就是数据类型。soure-wildcard是通配符,log是可选项,生成有关分组匹配情况的日志消息,发到控制台。题中拒绝转发所有IP地址进与出方向的、端口号为1434的UDP数据包:deny udp any any eq 1434;拒绝转发所有IP地址进与出方向的、端口号为4444的TCP数据包:deny tcp any any eq 4444。允许其他端口和其他类型的数据包:permit ip any any。由于要根据数据包头中的协议类型进行过滤,所以选用扩展访问控制列表,扩展访问控制列表的表号范围是100~199,后来又扩展的表号是2000~2699。
3)Cisco路由器DHCP地址池的配置:
在Cisco路由器上建立一个名为zw246的DHCP地址池,地址池的IP地址是176.115.246.0/24,其中不用于动态分配的地址有176.115.246.2-176.115.246.10,缺省网关为176.115.246.1,域名为tj.edu.cn,域名服务器地址为176.115.129.26,地址租用时间设定为6小时30分钟。下列DHCP地址池的配置,正确的是(C)。
A) Router(config)#ip dhcp pool zw246
Router(dhcp-config)#ip dhcp excluded-address 176.115.246.2 176.115.246.10
Router(dhcp-config)#network 176.115.246.0 255.255.255.0
Router(dhcp-config)#default-router 176.115.246.1
Router(dhcp-config)#domain-name tj.edu.cn
Router(dhcp-config)#dns-server address 176.115.129.26
Router(dhcp-config)#lease 0 6 30
B) Router(config)#ip dhcp excluded-address 176.115.246.2-10
Router(config)#ip dhcp pool zw246
Router(dhcp-config)#network 176.115.246.0 255.255.255.0
Router(dhcp-config)#default-router 176.115.246.1
Router(dhcp-config)#domain-name tj.edu.cn
Router(dhcp-config)#dns-server address 176.115.129.26
Router(dhcp-config)#lease 0 6 30
C) Router(config)#ip dhcp excluded-address 176.115.246.2 176.115.246.10
Router(config)#ip dhcp pool zw246
Router(dhcp-config)#network 176.115.246.0 255.255.255.0
Router(dhcp-config)#default-router 176.115.246.1
Router(dhcp-config)#domain-name tj.edu.cn
Router(dhcp-config)#dns-server address 176.115.129.26
Router(dhcp-config)#lease 0 6 30
D) Router(config)#ip dhcp excluded-address 176.115.246.2 176.115.246.10
Router(config)#ip dhcp pool zw246
Router(dhcp-config)#network 176.115.246.0 255.255.255.0
Router(dhcp-config)#default-router 176.115.246.1
Router(dhcp-config)#domain-name tj.edu.cn
Router(dhcp-config)#dns-server address 176.115.129.26
步骤一:首先排除不用于动态分配的地址(config)#ip dhcp excluded-address 176.115.246.2 176.115.246.10
步骤二:配置一个名为zw246的DHCP地址池(config)#ip dhcp pool zw246
步骤三:配置IP地址池的子网地址和子网掩码(dhcp-config)#network 176.115.246.0 255.255.255.0
步骤四:配置缺省网关(dhcp-config)#default-router 176.115.246.1
步骤五:配置IP地址池的域名(dhcp-config)#domain-name tj.edu.cn
步骤六:配置域名服务器的IP地址 (dhcp-config)#dns-setver address 176.115.129.26
步骤七:配置租借期为6小时30分钟(dhcp-config)#lease 0 6 30,格式为:lease 天数 小时数 分钟数
17.无线局域网设备安装与调试
1)802.11标准
IEEE802.11b是在无线标准IEEE802.11的基础上推出的第二代无线局域网协议标准。802.11无线局域网运作模式可以分为两种:点对点(Ad Hoc)模式和基本(Infrastructure)模式。
点对点模式指无线网卡和无线网卡之间的直接通信方式。只要PC插上无线网卡即可与另一具有无线网卡的PC连接,这是一种便捷的连接方式,最多可连接256个移动结点,而不是512台PC。
基本模式指无线网络规模扩充或无线和有线网络并存的通信方式,这也是802.11最常用的方式。此时,插上无线网卡的移动结点需通过接入点AP(Access Point)与另一台移动结点连接。接入点负责频段管理及漫游管理等工作,一个接入点最多可连接1024个移动结点。
无线路由器具有NAT功能,广域网与局域网中的计算机交换数据时要通过路由器或网关的NAT(网络地址转换)进行IP地址的转换。
18.计算机网络信息服务系统的安装与配置
1)DNS服务器
DNS服务器负责域名解析,由于DNS服务器会被频繁访问,故其IP地址应该是静态设置的固定地址。
在安装DNS服务时,这些根DNS服务器被自动加入到系统中,因此不需要管理员手工配置。
主机记录的生存时间指该记录被客户端查询到,存放在缓存中的持续时间。
转发器是网络上的DNS服务器,用于将外部 域名的DNS查询转发给该DNS服务器,即用于外部域名的DNS查询。
2)DHCP服务器
作用域是网络上IP地址的连续范围,新建作用域后必须激活才可为客户机分配地址。
地址池是作用域除保留外剩余的IP地址(错误)
地址池是作用域应用排除范围之后剩余的IP地址(正确)
客户机的地址租约续订是由客户端软件自动完成。
保留地址可以使用作用域地址范围中的任何IP地址。
3)www服务器
Web站点可以配置静态IP地址,也可以配置动态IP地址。
而同一台服务器可以构建多个网站。
访问Web站点时可以使用站点的域名,也可以使用站点的IP地址。
建立Web站点时必须为每个站点指定一个主目录,也可以是虚拟的子目录。
4)FTP服务器
新用户的添加与注册必须由管理员来操作,不能自行操作。
配置服务器域名时,可以使用域名或其它描述。
服务器IP地址可为空,当服务器有多个IP地址或使用动态IP地址时,IP地址为空会比较方便。
添加名为”anonymous”的用户时,系统会自动判定为匿名用户。
5)E-mail服务器
Winmail邮件服务器可以允许用户使用Outlook创建在服务器中已经建立好的邮件账户,但并不支持用户使用OutLook自行注册新邮箱。
用户自行注册新邮箱时需输入邮箱名、密码等信息,而域名是服务器固定的,并不能自行设置。
为建立邮件路由,需在DNS服务器中建立邮件服务器主机记录和邮件交换器记录。
19.网络安全技术
1)安全评估
网络安全风险评估系统是一种集网络安全检测、风险评估、修复、统计分析和网络安全风险集中控制管理功能于一体的网络安全设备。网络安全评估包括漏洞检测、修复建议和整体建议等几个方面。网络安全评估技术常被用来进行穿透实验和安全审计。X-Scanner采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,对系统进行安全评估。ISS的System Scanner通过依附于主机上的扫描器代理侦测主机内部的漏洞,采用的是主动采用积极的、非破坏的扫描方式。被动扫描工作方式类似于IDS。
2)数据备份
3)入侵检测系统
入侵检测系统(Intrusion Detection System,简称IDS)是一种被动的扫描方式,将探测器部署在链路中对网络性能影响最大。
4)可信计算机系统评估准则TCSEC
(最小保护)D级:该级的计算机系统除了物理上的安全设施外没有任何安全措施,任何人只要启动系统就可以访问系统的资源和数据,如DOS,Windows的低版本和DBASE均是这一类(指不符合安全要求的系统,不能在多用户环境中处理敏感信息)。
(自主保护类)C1级:具有自主访问控制机制、用户登录时需要进行身份鉴别。
(自主保护类)C2级:具有审计和验证机制((对TCB)可信计算机基进行建立和维护操作,防止外部人员修改)。如多用户的UNIX和ORACLE等系统大多具有C类的安全设施。
(强制安全保护类)B1级:引入强制访问控制机制,能够对主体和客体的安全标记进行管理。
B2级:具有形式化的安全模型,着重强凋实际评价的手段,能够埘隐通道进行限制。(主要是对存储隐通道)
B3级:具有硬件支持的安全域分离措施,从而保证安全域中软件和硬件的完整性,提供可信通道。对时间隐通道的限制。
A1级:要求对安全模型作形式化的证明,对隐通道作形式化的分析,有可靠的发行安装过程。(其安全功能,依次后面包含前面的)。
因此用户能定义访问控制要求的自主保护类型系统属于C类。
5)路由器过滤功能
路由器通常具有包过滤功能,可以将从某一端口接收到的符合一定特征的数据包进行过滤而不再转发。Teardrop是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包。包过滤路由器可以对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。从而阻断Teardrop攻击。
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。cookie篡改(cookie poisoning)是攻击者修改cookie(网站用户计算机中的个人信息)获得用户未授权信息,进而盗用身份的过程。SQL注入是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
6)Window环境下的命令
Windows中route命令用于在本地IP路由表中显示和修改条目,在Windows中可以通过route add命令来添加和修改默认网关;ipconfig命令用于显示所有适配器的基本 TCP/IP 配置;NET命令权限很大,主要用于管理本地或者远程计算机的网络环境,以及各种服务程序的运行和配置;NBTSTAT命令用于查看当前基于NRTBIOS的TCP/IP连接状态,通过该工具可以获得远程或本地机器的组名和机器名。