软考中级网络工程师全面学习笔记(近4万字)
如果觉得在该软件或浏览器下不方便查看可进行资源下载,资源链接如下:中级网工考试笔记+高清网络协议神图+常见编码图+网工常见诊断命令实践图+简单网工知识点100条
中级网工考试笔记(涉及表格用图片代替4万字左右)
- 第一章 计算机基础知识
-
- 一、数据表示
-
- (一) 定点和浮点和整数
- 二、逻辑计算机
- 三、计算机系统组成与体系
-
- (一)中央处理器CUP
- (二)组成原理
- (三)硬件基础
- (四)计算机系统基础
- (五)设备管理
- 四、总线系统
- 五、指令系统
- 六、CISC与RISC指令
- 七、计算机分类(Flynn)
- 八、流水线
- 九、存储系统
-
- (一)硬盘
- (二)Cache
- (三)RAID技术
- (四)主存储器
- (五)存储系统的存取方式
- (六)内部存储与外部存储
- 十、系统的可靠性
- 第二章 计算机网络
-
- 一、计算机网络概率
- 二、计算机网络的分类
- 三、网络协议协议结构
- 四、计算机网络传输过程
- 第三章 知识产权与标准化
-
- 一、知识产权
- 第四章 数据通信基础
-
- 一、数据通信
- 二、数据通信计算
- 三、通信传输介质
- 四、数据调制与编码
- 五、数据通信方式
- 六、数据交换方式
- 七、多路复用技术
- 八、数字传输标准
- 九、数据检错纠错
- 第五章 广域网通信网
-
- 一、广域网概念和分类
- 二、公共交换电话网PSTN
- 三、公共数据网X.25
- 四、帧中继网FR
- 五、综合业务数据网ISDN
- 六、异步传输模式ATM
- 第六章 局域网和城域网
-
- 一、局域网体系和标准
- 二、数据链路LLC和MAC
- 三、交换式以太网
- 四、高速以太网
- 五、虚拟局域网 VLAN
- 六、局域网互联
- 七、生成树网桥
- 八、源路由网桥
- 九、城域网
- 第七章 无线通信网
-
- 一、无线移动通信
- 二、无线局域网
- 三、无线个人网
- 第八章 网络互联与互联网
-
- 一、网络互联设备
- 二、因特网协议IP
- 三、控制报文协议ICMP
- 四、无线城域网
- 五、IP与子网掩码
- 六、地址解析协议ARP
- 七、内部路由协议RIP
- 八、内部路由协议OSPF
- 九、外部路由协议BGP
- 十、传输层协议TCP
- 十一、传输层协议UDP
- 十二、常用应用层协议
- 十三、路由器技术NAT
- 十四、路由器VLSM和CIDR
- 十五、路由器技术QoS
- 十六、路由器技术MPLS
- 十七、路由器技术组播
- 十八、路由技术ACL
- 十九、DHCP协议
- 第九章 下一代互联网
-
- 一、IPV6基础知识
- 二、IPV6过渡技术
- 三、移动IP和IPV6
- 四、IPV6路由协议
- 第十章 网络安全与运用
-
- 一、网络安全基础
- 二、信息加密技术
- 三、数字签名技术
- 四、秘钥管理技术
- 五、虚拟专用网VPN(IPSec)
- 六、运用层安全协议
- 七、防火墙技术
- 八、病毒与木马
- 九、IDS与IPS
- 第十一章 网络应用服务器
-
- 一、网络服务器
- 二、进程管理
-
- (一)死锁问题
- (二)其他
- 三、server 2008基础
- 四、Linux 基础
- 五、web服务器安装配置
- 六、FTP服务器安装配置
- 七、Apache服务器
- 八、DNS服务器安装 & 配置
- 九、DHCP服务器安装配置
- 十、Linux Samba 简介
- 十一、Windows 2008 安全策略
- 第十二章 组网技术
-
- 一、交换路由基础知识
-
- (一)交换机
- (二)路由器
- 二、交换机VLAN实验
- 三、RIP与BDF联动实验
- 四、动态路由IS-IS实验
- 第十三章 网络管理
-
- 一、网络管理结构
- 二、简单网管协议SNMP
- 三、结构化布线系统
- 四、管理信息库MIB
- 五、网络管理工具和命令
- 六、网络存储技术
- 七、网络故障诊断
- 第十四章 网络规划与设计
-
- 一、网络设计基础
- 二、通信流量分析
- 三、逻辑网络设计
- 四、物理网络设计
- 五、网络需求分析
- 第十五章 命令图和协议
-
- 一、网络协议神图
- 二、常用命令图
-
- (一)netstat
- (二)nslookup
- (三)route print
- (四)tracert
第一章 计算机基础知识
一、数据表示
(一) 定点和浮点和整数
- 定点表示法表示的数(称为定点数)常分为定点整数和定点小数两种
- 定点表示法中,小数点不需要占用一个存储位
- 浮点表示法用阶码和尾数来表示数,称为浮点数
- 在总位数相同的情况下,浮点表示法可以表示更大的数
- 定点整数的最大值为:2n-1-1
- 定点小数的最大值为:1-2-(n-1)
二、逻辑计算机
- 黑盒测试注重于测试软件的功能性需求,黑盒测试试图发现以下类型的错误:功能错误或遗漏、界面错误数据结构或外部数据库访问错误、性能错误、初始化和终止错误
三、计算机系统组成与体系
(一)中央处理器CUP
- ALU运算器、通用寄存器、状态寄存器、程序技术器、累加器等部件都是属于CPU中的部件
- CPU产生每条指令的操作信号并将操作信号送往相应的部件进行控制
- 程序计数器PC除了存放指令地址,不可以临时存储算术/逻辑运算结果
- CPU中的控制器决定计算机运行过程的自动化
- 指令译码器是CPU控制器中的部件
- 在CPU中用于跟踪指令地址的寄存器是(程序计数器(PC)(属于CUP的控制器组成部件)
- 通用寄存器常用于暂存运算器需要的数据或运算结果
- 地址寄存器(MAR)和数据寄存器(MDR)用于访问内存时的地址和数据暂存
- 指令寄存器(IR)用于暂存正在执行的指令
- 在CPU中,常用来为ALU执行算术逻辑运算提供数据并暂存运算结果的寄存器是(累加寄存器)中
- 计算机CPU对其访问速度最快的是(通用寄存器)
- 加法器是算术逻辑运算单元的部件
- 指令系统采用不同的寻址方式的目的是(扩大寻址控件并提高编程灵活性)
- 为便于实现多级中断嵌套,使用(堆栈)来保护断点和现场最有效
- CPU的中断响应时间指的是(从发出中断请求到开始进入中断处理程序)
- 最大吞吐率取决于流水线中最慢一段所需的时间
- 如果流水线出现断流,加速比会明显下降
- 要使加速比和效率最大化应该对流水线各级采用相同的运行时间
- 流水线采用异步控制并不会给流水线性能带来改善,反而会增加控制电路的复杂性
(二)组成原理
- I/O接口编制分为:统一编制,单独编制。统一编制通过访问内存单元的指令访问I/O接口。单独编制需要设置专门的I/O指令访问I/O接口
- 在计算机系统中采用总线结构,便于实现系统的积木化构造,同时可以(减少信息传输的数量)
- 流水线方式不可以提高指令的执行速度
- 总线宽度是指总线的线数,即数据信号的并行传输能力,也体现总线占用的物理空间和成本;总线的带宽是指总线的最大数据传输率,即每秒传输的数据总量。总线宽度与时钟频率共同决定了总线的带宽。
- 带宽(MB/S)=时钟频率(MHz)/时钟周期×总线宽度(bit)/8
- 并行总线适合近距离高速数据传输
- 串行总线适合长距离数据传输
- 单总线结构在一个总线上适应不同种类的设备,但无法达到高的性能要求
- 专用总线在设计上可以与连接设备实现最佳匹配
(三)硬件基础
- SSD实质上是(Flash)存储器
- (相联存储器)是指按内容访问的存储器
(四)计算机系统基础
- 计算机指令一般包括操作码和地址码两部分,为分析执行的一条指令,其中操作码和地址码都应存入指令寄存器(IR)中
- 指令寄存器的位数取决于( 指令字长 )。
(五)设备管理
- 若某计算机系统的I/0接口与主存采用统一编制,则输入操作是通过(访存)指令来完成的
四、总线系统
- 1.广义地讲,任何连接两个以上电子元器件的导线都可以称为总线。通常可分为4类:
- ①芯片内总线。用于在集成电路芯片内部各部分的连接。
- ②元件级总线。用于一块电路板内各元器件的连接。
- ③内总线,又称系统总线。用于构成计算机各组成部分(CPU、内存和接口等)的连接。
- ④外总线,又称通信总线。用计算机与外设或计算机与计算机的连接或通信。
- 连接处理机的处理器、存储器及其他部件的总线属于内总线,按总线上所传送的内容分为数据总线、地址总线和控制总线
- CUP响应DMA请求是在一个总线周期结束时
- 总线:并行总线适合近距离高速数据传输;串行总线适合长距离数据传输;专用总线在设计上可以与连接设备实现最佳匹配
五、指令系统
1、指令由操作码和地址码组成,指令长度分为固定长度和可变长度两种
2、立即寻址:指令的地址码字段给出的不是操作数的地址而是操作数本身。其特点是访问一次存储器就可同时去除指令和操作数
3、变址寻址:操作数的地址由某个变址寄存器的内容和位移量相加
4、直接寻址(寄存器寻址):指令的地址码字段给出操作数所在存储单元地址(寄存器号)
5、间接寻址(寄存器间接寻址):操作数的地址是主存(寄存器)中的存储单元的内容
六、CISC与RISC指令
七、计算机分类(Flynn)
八、流水线
执行指令三个阶段:取指–>分析- >执行
流水线周期等于执行时间最长的那个指令周期(最大值)★
流水线执行时间=(t取指+t分析+ t执行) +(总指令数- 1)*流水线周期★
未采用流水线执行时间=(t取指+t分析+ t执行) *总指令数
流水线建立之后,接下来每一个流水线周期后都会完成-条指令★
例:-条指令为取指、分析和执行取值时间为t,分析时间为2t,执行时间为t为例,那么流水
线周期为?执行3条指令的全部时间为:
九、存储系统
(一)硬盘
- 磁盘调度管理中,通常先进行移臂调度,再进行旋转调度
(二)Cache
- Cache的功能:提高CPU数据输入输出的速率,突破所谓的“冯诺依曼瓶颈”,即CPU与存储系统间数据传送宽带限制
- 在计算机的存储体系中,Cache是访问速度最快的层次
- 使用Cache改善系统性能的依据是程序的局部性原理
- 如果以h代表Cache的访问命中率,t1表示Cache的周期时间,t2表示主存储器时间,以读操作为例,使用“Cache+主存储器”的系统平均周期为t3,则:
- t3=h×t1+(1-h)×t2
- 其中(1-h)又称为失效率(未命中率)
- Cache的设计思想是在合理成本下提高命中率
- Cache和主存之间的映射交换,由硬件自动完成。
(三)RAID技术
- RAID 0磁盘利用率100%
- RAID 1利用率50%,
- RAID 5磁盘利用率(N-1)/N,N最小取3。
- RAID 6磁盘利用率(N-2)/N,N最小为4。
(四)主存储器
- 主存储器简称为主存、内存,设在主机内或主机板上,用来存放机器当前运行所需要的程序和数据,以便向CPU提供信息。相对于外存,其特点是容量小速度快。
- 主存储器主要由存储体、控制线路、地址寄存器、数据寄存器和地址译码电路等部分组成。
- 计算机系统的主存主要是由(DRAM)构成
- 计算机采用分级存储体系的主要目的是为了解决存储容量、成本和速度之间的矛盾
- 随机访问存储器(RAM)有两类:静态的(SRAM)和动态的(DRAM), SRAM 比DRAM速度更快,但也贵得多。SRAM用来作为高速缓冲存储器(Cache), DRAM 用来作为主存及图形系统的帧缓冲区。SRAM将每个位存储在一个双稳态的存储器单元中,DRAM将每个位存储为对一个电容的充电,由于电容非常小,在10〜l00ms时间内会失去电荷,所以需要周期性地刷新充电以保持信息。
- EEPROM是电可擦除可编程只读存储器。
(五)存储系统的存取方式
(六)内部存储与外部存储
- 常见的虚拟存储器由(主存-辅存)两级存储器组成
- 栈区和堆区也称为动态数据区,全局变量的存储空间时候静态数据区
十、系统的可靠性
失效率:产生故障的概率。
平均无故障时间MTBF :相邻两个故障间隔时间的平均值,越大越好。
平均故障修复时间MTTR :修复一次故障所时间的平均值,越小越好。
可用性:系统的可靠性。
第二章 计算机网络
一、计算机网络概率
1.计算机网络是通过通信线路和通信设备连接的许多的分散独立工作的计算机系统,遵从一定的协议用软件实现资源共享的系统
2.组成分为硬件、软件、协议三部分,协议为计算机网络中进行数据交换而建立的规则、标准或约定的集合
3.协议分为国际标准OSI/RM七层协议和公认标准TCP/IP四层协议(或五层)。TCP/IP协议簇,包括一系列常用协议
二、计算机网络的分类
1.(1)按分布范围:分为局域网、城域网、广域网。(2)按拓扑结构:分为星型、环型、树型等。(3)其他分类:公用网与专用网;通信网ISP与信息网ICP;校园网与企业网;骨干网与接入网;有线网与无线网等
2.局(LAN)、城(MAN)、广(WAN)域网对比
三、网络协议协议结构
1.OSI/RM(开放系统互联参考模型) 七层是应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。
2.TCP/IP(因特网传输协议)四层是应用层、传输层、互联网层、网络接口层。也有五层说法,网络接口层分为物理层、数据链路层。
3.7层协议图:
四、计算机网络传输过程
1.网络数据传输过程——解封装、数据封装
第三章 知识产权与标准化
一、知识产权
第四章 数据通信基础
一、数据通信
1.基本概念:信源、信道、信宿;数字信号、模拟信号;模拟通信、数字通信(信道中传送)
2.光纤传输测试指标中,回波消耗是指信号反射引起的衰减
二、数据通信计算
1.模拟信道带宽计算:W=f2-f1,其中f1是低频,f2是高频。物理介质做成,带宽就固定了
2.数字信道带宽计算:尼奎斯特定律(无噪声):
W:带宽 B:码元速率、波特率 n:信号量(位bit) N:码元种类 R:数据速率(bit/s)
- 码元速率:B=2W
- 码元种类:n=log2N
- 数据速率:R=Blog2N=2Wlog2N
- 对数计算:N=4,log24=log2(22)=2
3.数字信道带宽计算:香农定律(有噪声)
C:数据速率 W:信道带宽 S:信号平均功率 N:噪声的平均功率 S/B:信噪比(一般dB表示) - 香农定律:C=Wlog2(1+S/N)
- 信噪比公式:dB=10lg(S/N)
4.数据速率(R)=每秒钟传送X个字符×(a+b+c+d);其中,每秒钟传输的X字符=有效速率/b位数据位;其中B=1/T;1s=106us;eg:周期为125us,即B=1000000/125=8000Hz
5.采用曼彻斯特编码方式的数字通信中,波特率是数据速率的2倍
6.常用单位换算和数据 - 1B=8b
- 1s=103ms=106us
- 通信换算进率1000 1G=1000M 存储换算进率1024 1G=1024M
- 电缆延迟:200m/us(光速300m/us的70%)(200km/ms,200000km/s)
卫星延迟:270ms(来回)
三、通信传输介质
1.同轴电缆:分为粗同轴电缆、细同轴电缆。传送距离长,信号稳定,常用语电视监视系统,音响设备传送音。数字信号(基带),模拟信号(带宽)
2.光纤(光缆):分为单模光纤SMF(采用ILD激光二极管)、多模光纤MMF(采用LED发光二极管)对比:单模:高贵细远
3.无线信道:分无线电波和红外光波
四、数据调制与编码
1.模拟信道调制:分为调幅ASK(高低)、调频FSK(疏密)、调相PSK(屁股)、正交调幅QAM
2.数字信道编码:分为采用(2倍)、量化(等级)、编码(二进制)三个步骤
3.常见调制技术与默认码元数:n=log2N
4.单击性码、极性码、双极性码、归零码、双相码、不归零码、曼彻斯特编码(不需要额外的传输同步信号)、差分曼彻斯特编码
5.E1信道的数据速率是(2.048Mb/s),E1的控制开销占2/32,数据开销为30/32,E1基本帧的传送时间为125us,其中每个话音信道的数据速率是(64Kb/s),有效的是54Kb/s T1载波的数据速率是==1.544Mb/s
6.==各种编码效率:
- Manchester编码是一种双相码,运用在以太网中,提供了比特同步信息
- ==4B/5B效率80%==用于百兆以太网,用于100Base-FX、100Base-TX、FDDI
- 8B/10B效率80% 用于千兆以太网
- 8B/6T:编码效率为80%,用于100Base-T4
- ==曼码和差分曼码效率50%==用于以太网
- BAMI:2/3
- NRZI:100%
五、数据通信方式
1.通信方向:单工(电视)、全双工(手机)、半双工(对讲机)
2.传输方式:异步传输(发邮件什么时候下载都可以,不需要同步)(数据小、距离远、速率慢)、同步传输(两端同时工作)(数据大、距离近、高速率)
六、数据交换方式
1.电路交换:优点:独占性、实时性,适合传输大量的数据;缺点:需建立一条物理连接,利用率低(早期的电话系统)
2.报文交换:优点:不需要专用通达,线路利用率高,存储转发节点可校验纠错;缺点:有通信时延。比如物流包裹
3.分组交换:优点:利用率更高、可选路径、数据率转换、支持优先级;缺点:时延、开销大。比如邮局寄信。又分为数据报和虚电路
- 分组数据报:单向传送、无连接的。如普通信
- 分组虚电路:交互式、逻辑链接。如挂号信
七、多路复用技术
1.频分复用FDM:不同的频率,子信道隔离频带防串扰,如CATV,WIFI。
2.时分复用TDM:不同的时间,轮流占用,如手枪、手机。分为同步时分T1、E1; 统计时分,如ATM。
3.波分复用WDM:不同的波长,如光纤。
八、数字传输标准
1.T1标准:1.544Mbps、125us=8000次。1.544Mbps=[24*(7+1)+1]8000。T2=4T1;T3=7T2;T4=6T3(T476)(美国和日本采用的标准)
2.E1标准(时分复用TDM):2.048Mbps、125us=8000次。2.048Mbps=3288000。CH0和CH16控制信令,30个话音数据。E2=4E1;E3=4E2;E4=4E3(口诀:E444)(中国和欧洲)
3.SONET标准(美国制定)和SDH标准(国际标准):用于光纤网络。155.520(OC-3:155.520 155Mbps;OC-12:155.5204 4*155Mbps;OC-1:OC-3除以3)
九、数据检错纠错
1.检错码:奇偶校验看1的个数是奇数/偶数。只能检错不能纠错。移动通信广泛采用。
2.一对有效码字之间的海明距离是( 两个码字之间不同的比特数 )
3.海明码:在数据位m后面增加冗余校验位k,组成信息m+k,则满足m+k<2k-1可纠正一位错误(一位一位纠正可)。不但检错还能纠错。
码距d:也叫海明距离,两个码字之间不同的最小的位数(比特数)
可以查出多少位错误:≤d-1
可以纠正多少位错误:
第五章 广域网通信网
一、广域网概念和分类
1.广域网是指长距离跨地区的各种局域网、计算机、终端互联在一起,组成一个资源共享的通信网络。
2.传统广域网和现代广域网
二、公共交换电话网PSTN
1.公共交换电话网PSTN:利用电话线上网,早期是电话+“猫”拨号上网。
2.调制解调器Modem:俗称“猫”,作用是把电话线里面的模拟信号和数字信号互相转换,V.90标准可以达到56Kb/s。(电话猫、电视猫、电力猫、光纤猫等)
3.数据终端设备DTE,如用户的计算机、电话等。数据电路设备DCE,如调制解调器。DTE和DCE两端要同步
三、公共数据网X.25
1.X.25使用分组交换,分为三层:物理层、链路层、分组层。对应于OSI的低三层。采用虚拟电路、面向连接的。采用后退N帧ARQ、滑动窗口默认2。
2.流量控制技术:协调收发端流量。==假设没有传输错误的流控技术:==停等协议。发送一帧,等到应答,再发送;如果不应答,一直等。类似银行柜台存钱,一个个存钱
3.==假设没有传输错误的流控技术:==滑动窗口协议。连续发送多个帧而无需应答。类似银行ATM机,一沓一沓存钱
4.差错控制技术:检查和纠正传输错误。
- ①肯定应答:收到肯定应答信号ACK继续发送。
- ②否定应答重发:收到否定应答信号NAK重发出错帧。
- ③超时重发:超过规定时间重发该帧。这种技术称为自动请求重发ARQ。
5.ARQ分为三种:停等ARQ、选择重发ARQ、后退N帧ARQ。 - 停等ARQ:是停等流控和ARQ结合。类似银行柜台存钱,手续齐全办理,叫号等时间长下一位,忘带身份证不办理。
- 选择重发ARQ:是滑动窗口和ARQ结合。类似银行ATM一沓一沓存钱,这张是假币,选择这一张重发。如卫星通信
- 后退N帧ARQ:也是滑动窗口和ARQ结合。类似银行验钞机一沓一沓数钱,这张是假币,选择这一张包括后面的都要重发
6.各种流控和差错利用率计算如下。 - ①常数a值的计算:a=(d/v)/(L/R)=(RT)/L=(Rd/v)/L
R=数据速率,d=线路长度,v=传播速度,L=帧长,T=传播迟延 - ②效率E值的计算:停等协议:E=1/(2a+1)
滑动窗口:E=W/(2a+1 - ③窗口W值的计算:==选择ARQ:W≤2k-1
- 后退ARQ:W≤2k-1
高级数据链路控制协议HDLC:面向比特的==。通常使用CRC-16、CRC-32校验。帧边界01111110 “两头踢皮球”。用户数据字段INFO大小.不固定固定大小的滑动窗口协议用在数据链层的HDLC中
- 在HDLC协议中,如果监控帧中采用SERJ应答,表明差错控制机制为选择重发
- 采电HDLC协议进行数据传输时,RNR5表明下一个接收的帧编号应为5,但接收器末准备好,暂停接收
四、帧中继网FR
1.帧中继FR是X.25演变改进的。
- 工作在OSI的低两层,即物理层和链路层。
- 在第二层建立虚电路(与X.25一样,也支持永久虚电路PVC和交换虚电路SVC),承载数据业务,因而第三层被简化了。也是分组交换。
- 提供面对连接的服务;一种高效的数据链路技术;利用了光纤通信和数字网络技术的优势
- FR只做检错,不再重传,没有流控,只有拥塞控制,检错交高层。
2.帧中继主要优点有
- 基于分组(帧)交换的透明传输,可提供面向连接的服务
- 帧长可变,长度可达1600~4096字节,可以承 载各种局域网的数据帧。
- 数据速率可这2~45Mbps
- 既可以接需要提供带宽,也可以应付突发的数据传输
- 没有流控和重传机制,开销很少
五、综合业务数据网ISDN
1.综合业务数据网ISDN:基于电路交换,把数据、声音、视频信号三合一传输。
- ISDN两种速率:
N-ISDN基本速率BRI(2B+D)(主要是家庭)(144Kb/s)
N-ISDN基群速率(主速率接口)PRI(30B+D)(主要是企业)(2048Kb/s)(组成ISDN称为:B-ISDN PRI(宽带-ISDN-基群速率))(B代表宽带,N代表窄带) - B信道数据信道;D信道控制信道
2B+D=264+16=144Kb/s
30B+D=3064+64=1.984Mb/s(近似E1)
六、异步传输模式ATM
1.异步传输模式ATM:最早是B-ISDN标准的一部分,分为四层模式
2.ATM采用53字节信元分组交换,使用统计时分TDM。采用双绞线或光纤,典型数据速率155M,面向连接,使用虚电路的虚通路VPI和虚信道VCI
3.ATM业务类型
第六章 局域网和城域网
一、局域网体系和标准
1、局域网的概念:单一机构拥有计算机网络,中等规模地理范围,实现设备互联、信息交换和资源共享
2、LAN/MAN的IEEE802标准,重点掌握:802.3(CSMA/CD)、802.11(无线局域网)、802.16(无线城域网)
二、数据链路LLC和MAC
1、逻辑链路控制LLC:目的是屏蔽不同的介质访问控制方法,以向高层(网络层)提供统一的服务和接口。LLC地址是SAP(服务访问点)。这个标准与HDLC是兼容的,无帧校验字段,放到了MAC层。同时提供目标地址和源地址字段。
1、当源地址/目的地址中:I/G=0是单地址,等于1是组地址;
当控制字段中C/R=0是命令,等于1是响应
在LLC2中,管理帧I:信息;管理帧中RR:接收准备好;RNR接收未准备好;REJ:拒接
2、介质访问控制MAC:其中,长度字段表示数据实际长度,最大1500。同时还可以表示上层协议类型,1501以上的值
3、MAC地址:采用16进制数表示,共6B(48位),有IEEE和厂家烧制到网卡上
4、CSMA/CD协议:载波监听多路访问/冲突检测。是分布式介质访问控制方法
5、最小帧长计算:为了检测到冲突。L=2R×d/v其中,R为网络数据速率,d为最大段长,v为信号传播速度。
6、二进制后退指数算法
- 考虑网络负载变化;
- 后退次数和负载大小有关。
- 重发次数最大为16,然后上报高层协议。
三、交换式以太网
1、概念:以太网:早期的802.3局域网,10Mbps。来源于光在空气中传播的介质“以太(ether)”,由此得名“以太网”寓意无处不在的网络。
2、交换式以太网核心部件是交换机,有一个高速底板,插上一些插槽,插槽上有一些连接器,用于连接10M网卡的主机。如:E0/0,F0/1,(插槽/接口);G0/0/0(插槽/模块/接口)
E:以太网,F:快速以太网,G吉比特以太网
3、以太网交换机连接的一组工作站,组成了一个广播域,但不是一个冲突域
4、双绞线分为交叉双绞线和直通双绞线;同种设备连接用交叉双绞线(PC和路由器,服务器与服务器等);不同种设备用直通线(PC与交换机,服务器与交换机)
四、高速以太网
1、快速以太网:802.3u标准,速率可到 100M,100Base-T/F规范。FLP快速链路脉冲;T表示双绞线,F表示光纤
2、千兆以太网:802.3z标准,速率可到 1Gbps,兼容10M/100M以太网。帧突发
3、万兆以太网:802.3ae标准,速率可 达万兆(10Gbps),只支持光纤,只支持全双工,不再采用CSMA/CD,可用于城域网
五、虚拟局域网 VLAN
1、虚拟局域网VLAN概念:根据管理功能、组织机构或应用类型,对物理网络进行分 段而形成的逻辑网络,与用户的物理位置无关
2、VLAN划分方式:①静态分配VLAN:基于端口。②动态分配VLAN:基于MAC地址(2层)、网络层IP(3层)、规则策略(高层)等。
3、VLAN划分的好处:①控制网络流量,抑制广播风暴。②提高网络安全性,不同VLAN之间可做控制。③网络管理灵活,用户可以随地接入网络
4、不同VLAN之间通信:需要路由器或三层交换机
5、VLAN标准802.1q(dot1q):在原来的以太帧中增加了4B的控制信息,其中包含12位VLAN标识符VID。可用4094个VLAN。
6、VLAN两种端口:==接入端口Access(通过单个VLAN)和中继端口Trunk(通过多个VLAN)
7、==双绞线与光纤:
- 近端串扰仅用于双绞线测试
- ==波长窗口参数和回波损耗限值仅用于光纤的
- 最大衰减限指既可是光纤也可是双绞线==
8、VLAN的一些叙述: - 一个新的交换机默认配置的是VLAN 1
- 一个VLAN能跨越多个交换机
- 各个VLAN属于不同的广播域(一个VLAN就是一个广播域)
- VLAN对分组进行过滤,增强了网络的安全性
9、WLAN接入安全控制中,采用的安全措施有SSID访问控制、物理地址过滤、WPA2安全认证
10、VLAN标记中 - 交换机根据目标地址和VLAN标记进行转发决策
- 进入目的网段时,交换机删除VLAN标记,恢复原来的帧结构
- VLAN标记对用户是透明的
六、局域网互联
1、局域网互联设备:2层网桥(生成树、源路由)、3层交换机、路由器。网桥要求3层以上协议相同,1、2层协议不同可互联。
七、生成树网桥
1、生成树网桥:又叫透明网桥,IEEE802.1d,生成树算法。基本思想是在网桥之间传递BPDU,比较参数,根据STP打开好端口,阻塞差端口,沿着好的端口建立路径。边走边拐弯。用于以太网。
2、生成树网桥步骤:①确定根桥②确定根端口③确定指定桥④确定指定端口⑤阻塞剩余端口⑥形成无环网络(上图)
3、生成树网桥计算数据:
- 确定根桥ID:优先级+MAC地址,都选最小(网桥ID由2字节的网桥优先级和6字节的MAC地址组成)
优先级0~65535,默认32768(±4096) - 确定根端口:优先级+编号,都选最小的
优先级0~255,默认128 - 三小原则:优先级、MAC地址、通路费用
- 最小交换机ID(BID或桥ID)就包含了优先级和MAC地址两个参数了
4、生成树端口的四种状态: - Blocking(阻塞):接收BPDU,不学习MAC地址,不转发数据帧。20S
- Listening(侦听):接收BPDU,==不学习MAC地址,不转发数据帧,但交换机向其他交换机通告该端口,参与选举根端口或指定端口
- Learning(学习):接收BPDU,学习MAC地址==,不转发数据帧。
- Forwarding(转发):正常转发数据帧。
- 阻塞→20秒→侦听→15秒→学习→15秒→转发
5、生成树种类和标准: - 多生成树MSTP-IEEE 802.1s
- 快速生成树RSTP-IEEE 802.1w
- 生成树STP-IEEE 802.1d
- 端口认证 基于用户-IEEE 802.1x
- 口诀记忆:多快生口,是s我w弟d兄x
6、生成树协议STP使用了网桥优先级和MAC地址来选举根网桥
7、生成树协议STP协议的作用是防止二层环路
8、
八、源路由网桥
1、源路由网桥:IEEE 802.5,基本思想是发送探测帧到目的节点,返回路径以后沿着路径再传送。发送帧在这条路径上就传送,不在这条路径上就发送广播,查询路径,选择最优路径再传送。选好路再走。令牌环网。
九、城域网
1、什么是城域网?城域网比局域网传输距离远,能够覆盖整个城市。能够提供分组传输的数据、语音和视频等多媒体业务。更大的传输容量,更高的传输效率。
2、==城域以太网:①以太网专用线、②以太网虚拟专线、③以太局域网服务(E-LAN)最看好
3、==无线城域网标准:WiMAX(802.16d固定、802.16e移动)、WiMAXII(802.16m4G)
Q-in-Q:运营商网桥协议(PBP)IEEE802.1ad。MAC-in-MAC:运营商主干网桥(PBB)IEEE802.1ah
第七章 无线通信网
一、无线移动通信
1、4G:至少100Mbps,下1Gbps,上 500Mbps,使用正交频分多。包含TDD和FDD两种制式。选定的多路复用技术是OFDM(正交频分多路复用)
二、无线局域网
1、无线局域网WLAN:两大阵营:①IEEE 802.11面向数据无连接。②欧洲邮电委HIPERLAN,面向语音有连接。奥迪A5
2、无线局域网WLAN:两种结构:①基础设施网络、②特殊网络Ad Hoc
3、无线局域网WLAN:两种AP(数链层作用是无线接入)
- 胖AP(FAT)一般指无线路由:胖AP多用于家庭和小型网络,功能比较全,一般一台设备就能实现接入、认证、路由、VPN、地址翻译,甚至防火墙功能
- 瘦AP(FIT)一般指无线网关或网桥:瘦AP多用于要求较高的场合,要实现认证一般需要认证服务器或者支持认证功能的交换机配合
4、无线局域网WLAN:三种技术:①红外线,②扩展频谱,③窄带微波 - 红外线(IR)分为:定向光束红外线、全向广播红外线,漫反射红外线。
- 扩展频谱分为:频率跳动FHSS、直接序列DSSS。
- 窄带微波(RF)分为:申请许可证RF,免许可证RF
- CSMA/CA:载波监听多路访问冲突避免,==解决隐蔽终端问题
- 传数据先检测==,如果探测到网络中没有数 据,则等待一个IFS时间,再随机选择一个时间片继续探测,如果无线网路中还没有活动的 话,就将数据发送出去
- 送出数据前,先送一段小小的请求报文给目标端,收到目标端回应后,在传送大量的数 据,确保不会碰撞,开销最小
5、三种帧间隔IFS:优先级访问控制 - DIFS(分布式协调IFS)最长,优先级最低
- PIFS(点协调IFS)中等长度,优先级居中
- SIFS(短IFS)最短,优先级最高立即响应
- 超级帧:点协调轮询终端。应答帧:分布式
- DIFS用在CSMA/CA协议中,只要MAC层有数据要发送,就监听信道是否空闲。如果信道空闲,等待DIFS时段后开始发送;如果信道忙,就继续监听,直到可以发送为止。
6、无线加密协议WEP:认证和加密,明文的。无线保护接入WPA/WPA2:802.1x认证、RC4加密和TKIP数据完整性
7、无线局域网通常采用的加密方式是WPA2,其安全加密算法是AES和TKIP
8、为了弥补WEP协议的安全缺陷,WPA安全认证方案增加的机制是临时秘钥完整性协议
9、Ad Hoc网络:节点之间对等。每个节点既是主机,又是路由器。形成自组织网MANET。MANET的特点就是:网络拓扑结构是动态变化的;电源能量限制了无线终端必须以最节能的方式工作;每个节点既是主机又是路由器
10、MANET中的路由协议:
11、DSDV路由协议:目标排序的距离矢量协议,扁平式先验式,利用序列号解决环路
12、AODV路由协议:按需分配的距离矢量协议,扁平式,反应式,开销少,适合快速变化的网络。
13、无线网的安全:隐藏SSID、MAC过滤、WEP/WPA/WPA2、802.11i四个方面
14、802.11i:临时秘钥TKIP(RC4)、强制加密协议CCMP(AES128)、任选加密WARP。802.1x
15、WEP:RC4加密,CRC-32校验,24初始向量+40比特字符串构成64比特的WEP密钥,24初始向量+104比特字符串=128;WPA的设计中包含了认证、加密和数据完整性校验三个组成部分。48初始向量+80字符串=128密钥。RC4加密,相比起WEP采用了临时秘钥以减少安全风险
16、WIFI6支持完整版的MU-MIMO;理论吞吐量最高可达9.6Gbps;遵从协议802.11ax;
17、漫游是由无线客户端主动发起的,决定权在无线客户端这一方面,而并不在无线设备(AP接入控制器、AC无线接入点)这一方面;漫游分为二层漫游和三层漫游;三层漫游必须在同一个SSID;客户端在AP间漫游,AP可以处于不同的VLAN
三、无线个人网
1、无线个人网WPAN:小范围,10米左右,手持设备。IEEE 802.15.1/2/3/4标准
2、蓝牙(Bluetooh)技术IEEE 802.15.1:1主设备、7从设备。数据速率1Mbps
3、4个重要协议:RF无线电频率协议、链路控制协议LCP、链路管理协议LMP和链路控制自适应协议L2CAP。
4、ZigBee(蜜蜂网)技术IEEE 802.15.4:全功能设备FFD,简单功能设备RFD,RFD之间不能通信。一般用于物联网,采用AODV协议
- 被动式红外传感器是一种简单功能设备,接受协调器的控制
- 协调器也可以运行某些应用,发起和接受其他设备的通信请求
- 简单功能设备之间不能相互通信,只能与协调器通信
第八章 网络互联与互联网
一、网络互联设备
1、常用网络互联设备:
1层物理层:中继器、集线器
2层链路层:网桥、交换机
3层网络层:路由器、三层交换机
4层以上高层:网关
2、网络互联设备:①中继器Repeater、集线器Hub(又叫多端口中继器),传输比特01,放大信号,延长传输距离。
3、网络互联设备:②网桥Bridge、交换机Switch,又叫多端口网桥,传输帧,有源地址、目的地址,有自己的物理地址MAC地址
4、网络互联设备:③路由器Router,选择网络路径,传输分组,有自己的逻辑地址IP地址。
5、在网络层采用分层编制方案的好处是为了减少了路由表的长度
6、交换机获取与其端口连接设备的MAC地址中,交换机检查端口流入分组的源地址
7、无源网络优势有:
- 设备简单,安装维护费用低,投资相对较小
- 组网灵活,支持多种拓扑结构
- 安装方便,不要另外租用或建造机房
8、网桥查看每个端口出现的帧,将其源地址记入该端口的数据库,这样就可以了解各个端口连接了哪些网站
9、当网桥连接的局域网出现环路时,所有的网桥通过运行生成树协议,阻塞一部分端口,使得不再出现环路
二、因特网协议IP
1、TCP/IP协议簇:分为4个层次;主要协议,STDD
2、松散路由与严格路由
- 松散路由:必须经过源站指定的路由器
- 严格路由:只能进过远端指定的路由器,不能进过源端没有指定的路由器
3、常用的协议封装和协议号: - ARP–>以太帧中传送(链路层)
- ICMP–>IP 1
- OSPF–>IP 89
- RIP–>UDP 520
- BGP–>TCP 179
4、TCP/IP协议常见的协议端口号
5、IP协议:因特网协议,网络层最重要 的协议。无连接的、不可靠的,数据包交换
6、IP协议数据单元,几个重要字段 - IHL:IP头长度,20字节(32位字计)
- 服务类型:区分优先级、可靠度
- 总长度:包含IP头在内(字节数)
- 头检验和:只校验IP头,不包括数据
- 源地址:IP地址;目的地址:IP地址
- 生存期:路由器个数+1,超过定值丢弃,防止数据报在网络中无限转发
- 用户数据:MAC帧长1518,MTU1500,1518-14-4-20=1480,再-20=1460
7、IP私有地址:不能用于公网,只能在内部局域网使用,它们在Internet上也不会被路由,但可以通过NAT等技术与公网通信。下表为标准A、B、C类私有IP地址块
8、几种IP特殊地址:具有特殊意义 - 0.0.0.0:不确切地址,一般设备刚启动尚无IP临时使用,表示本机。也叫默认路由地址
- 255.255.255.255:限制(受限)广播地址,同一广播域内的主机,表示本网所有主机。“大广播”
- 127.0.0.1:回环(送)地址,别名Localhost,向自己发送测试数据。用于测试。
- 169.254.x.x:自动专用地址,找不到DHCP服务器,主机给自己分配的一个IP
- 单播地址:单个IP、主机地址
- 网络地址:主机号各位全为0,表示本网络 整个网络,不分配
- 广播地址:主机号各位全为1,发送给特定 网络的所有主机,不分配。也叫直接广播地址,也叫子网广播地址,“小广播”
组播地址:224.0.0.1,从224.0.0.0到239.255.255.255,表示一个组内的主机
9、在交换网络中VTP协议的作用是将VLAN信息传播到整个网络中
10、静态修剪就是手工剪掉中继链路上不活动的VLAN
11、动态修剪使得中继链路上所有共享的VLAN都是活动的
12、动态/静态修剪要求在VTP域中的所有交换机都配置成服务器模式
三、控制报文协议ICMP
1、ICMP协议:因特网控制报文协议,网络层的协议,协议号为1。传送有关通信控制和差错报文。就像侦查员、探子。封装在IP包中,因而也不可靠。ICMP的校验和是整个ICMP,也是必需有的
2、ICMP协议的功能包括(报告通信故障),当网络通信出现拥塞时,路由器发出ICMP(源抑制)报文。
3、确定一个网络是否可以连通,主机应该发送ICMP回声请求
四、无线城域网
1、无线城域网IEEE 802.16:WiMAX:802.16d(无线固定),802.16e(无线移动)。WiMAX II:802.16m(4G)。比Wi-Fi覆盖范围更大,数据速率更高,更好的可扩展 性和安全性,实现电信级的服务
2、关键技术:正交频分多路复用OFDM、多输入多输出MIMO、频分/时分双工FDD/TDD
五、IP与子网掩码
1、子网掩码:屏蔽IP地址的网络部分的“全1”比特模式。将某个IP地址划分成网络地址和主机地址两部分。子网掩码不能单独存在,它必须结合IP地址一起使用
A、B、C地址划分:
3、0.0.0.0不能作为目标地址;广播地址不能作为源地址;127.0.0.1既可以作为源地址又可以作为目标地址
4、路由协议是通过执行一个算法来完成路由选择的一种协议
5、动态路由协议可以分为距离向量路由协议和链路状态路由协议
6、路由器之间可以通过路由协议学习网络的拓扑结构
六、地址解析协议ARP
1、地址解析协议ARP(二层以太帧中):IP查询MAC地址,询问/回答机制。ARP缓存表、ARP欺骗、 ARP病毒、代理ARP、反向RARP
2、地址解析协议ARP:缓存表:开始-运行-cmd,输入arp -a(-s、-d等)回车
3、显示所有的ARP缓存表是arp -a;静态添加是arp -s;清楚ARP缓存是arp -d;
4、ARP请求采用广播方式发送
5、ARP表用于缓存设备的IP地址与Mac地址的对应关系,采用ARP表的好处是==(限制网络广播数量)==
6、地址解析协议ARP:代理ARP,有路由器充当第三方代理,进行ARP请求/回答;(由一个路由器代替远端目标回答ARP请求)
7、所谓“代理ARP”是指由(离源主机最近的路由器)假装目标主机回答源主机的ARP请求
8、反向地址解析协议RARP:有MAC查找IP,常用语无盘工作站,设备没有硬盘,无法记录IP,刚启动时发送一个广播,用MAC去获取IP。==需要一台RARP服务器,记录MAC与IP的对应关系。
9、==ARP欺骗和ARP病毒:假如向某一主机发送伪装ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。例如:网管软件获取全网MAC地址。病毒伪装网关MAC收集信息
七、内部路由协议RIP
1、网络层路由协议:选择转发数据路径
2、路由信息协议RIP:距离矢量算法,TCP/IP网络中最早使用的动态路由,计算跳数,最大15跳,16跳不可达。30s更新、 180s不存在、240s删除“口诀168”。支持等费用负载均衡和链路冗余。使用UDP的520端口。
3、两种版本:RIPV1和RIPV2区别,适 合小型网络。
4、路信息由协议RIP:防止环路的办法
- 最大跳数:当一个路由条目发送出去会自加1跳,跳数最大为16跳,意味着不可达
- 水平分割:一条路由信息不会发送给信息的来源(不把从某邻居节点获得的路由信息在发送给该邻居节点)
- 反向毒化的水平分割:把从邻居学习到的路由信息设为16跳,在发送给那个邻居。更安全
- 抑制定时器和触发更新也可以防止环路
八、内部路由协议OSPF
1、开放最短路径优先协议OSPF:链路状态算法,路由器之间通过网络接口状态LSA来更新和建立链路状态数据库(邻居表),包括:连通、距离、时延、带宽等状态,Dijkstra的SPF算法(计算最短路径)。触发更新、分层路由。支持大型网络,区域ID的取值范围是1~65535
2、链路状态协议的特点:
- 提供了整个网络的拓扑视图
- 计算到达的各个目标最短通路
- 具有事件触发的路由更新功能
- OSPF为减少洪泛链路状态的信息量,可以将自治系统划分为更小的区域
3、简化原理:发Hello报文建立邻接关系(邻居表)—形成链路状态数据库(拓扑表)—SPF(链路状态)算法形成计算机路由表
4、支持可变长子网掩码(VLSM)和路由汇聚功能
5、OSPF要选定一个指定的路由器(DR),指定路由器的功能就是发送链路状态公告
6、OSPF采用触发更新,和30分钟周期更新。支持不连续子网和CIDR
7、单个OSPF网络只有区域0
8、OSPF区域类型:主干区域(32位),Area 0.0.0.0或者Area 0来表示
9、开放最短路径优先协议OSPF:根据物理连接和拓扑结构,分为以下网络类型:
10、OSPF路由器分类:根据不同区域之间功能分为:BR(骨干)、IR、ABR、ASBR
11、OSPF的五种报文类型:Hello报文默认10s更新一次,40s失效,目标地址是224.0.0.5所有路由器。用于发现建立邻居、还用于选出区域内的指定路由器DR和备份指定路由器BDR(DR/BDR组播地址是224.0.0.6)
12、RIP定时发布路由信息,而OSPF在网络拓扑发生变化是发布路由信息;RIP的路由信息发送给邻居,而OSPF路由信息发送给整个网络路由器;都是内部路由协议
13、OSPF协议中DR的作用范围是一个网段
OSPF协议相对于RIP1的优势在于:没有跳数的限制、支持可变长子网掩码(VLSM)、支持网络规模大、收敛速度快(如果是和RIP2比较,则RIP2支持可变长子网掩码(VLSM))
九、外部路由协议BGP
1、边界网关协议BGP:是外部网关协议,主要功能就是控制路由策略,不同自治系统AS之间。寻找较好的路由策略。通过TCP的179端口建立连接。支持子网VLSM和CIDR,是一种路径矢量协议。目前最新BGP4,而BGP4+支持IPV6
2、BGP的四种报文:Open建立邻居,Keepalive周期性探测邻居存活。BGP协议使用keep-alive报文周期性的证实邻居站的连通性每一个自治系统要选择至少一个路由器作为该自治系统的“BGP发言人”。增量更新,支持认证。可靠传输,防止环路,防止区域间路由循环。自治通信,策略选路。支持无类、支持聚合。
3、PGP是一种电子邮件加密软件包它提供数据加密和数字签名两种服务,采用(RSA公钥证书)进行身份认证,使用(IDEA)(128位密钥)进行数据加密,使用(MD5)进行数据完整性验证
4、BGP4相比RIP存在很多优势例如:
5、==可以跨设备建立邻居关系
6、提供了丰富的路由属性,进行选路
7、可以管理全球的路由器
8、==BGP4的特点:
- BGP4网关向对等实体(Peer)发布可以到达的AS列表
- BGP4网关采用逐跳路由(hop-by-hop)模式发布路由信息
- BGP4可以通过路由汇聚功能形成超级网络(Supemet)
十、传输层协议TCP
1、TCP协议:传输控制协议,面向字节流按顺序、连接、可靠、全双工,可变滑动窗口、差错控制用后退N帧ARQ协议、缓冲累积传送。协议号6
2、TCP协议:传输控制协议,下面是TCP段(段头),TCP头(传输头),TCP包头(报头)格式:
3、TCP协议:几个重要字段
- 源端口、目的端口:16位,2^16(0-65535)
4、URG:紧急指针有效
5、ACK:应答顺序号有效
6、PSH:推进功能有效
7、RST:复位为初始状态
8、SYN:建立同步连接
9、FIN:结束释放连接
10、校验和:包括TCP段头、数据、伪段头
11、TCP三次握手及其协议状态:
LISTEN 服务器等待连接过来的状态
SYN_SENT 客户端发起连接(主动打开),之后如果SYN超时或服务器不存在–>CLOSED
SYN_RCVD 服务器收到SYN包==的时候就是此状态
ESTABLISHED 完成三次握手,进入连接建立状态,说明可以进行数据传输了
13、TCP拥塞控制:报文到达速率大于路由器的转发速率,产生拥塞。解决方法有:
①重传计时器
==②慢启动(慢开始)
③拥塞避免
④快速重传
⑤可变滑动窗口
⑥选择重发ARQ
TCP拥塞控制:超时重传计时器,重传是保证TCP可靠的重要措施。TCP每发送一个报文段,就对这个报文段设置一次计时器。只要计时器设置的时间到了,但还没有收到确认,就重传这一报文段
重传时间要设置的合理,一般和往返时间、平均时延、时间偏差等有关。大多数采取观察最近一段时间的报文时延来估算往返时间
14、TCP拥塞控制:慢启动,发送方在接收到确认之前逐步扩大窗口的大小。1、2、4、8等按指数规律翻倍,最后达到门限阈值。出现超时,将拥塞窗口回到1,再次开始慢启动
16、TCP拥塞控制:拥塞避免,窗口达到门限阈值以后,进入拥塞避免阶段,TCP采用线性增加方式放大窗口,按照+1递增发生拥塞,门限阈值减半。再发生再减半。按指数规律乘倍减半
17、TCP拥塞控制:快速重传,发送端一连收到3个重复的ACK,就重传,不等计时器
十一、传输层协议UDP
1、UDP协议(无顺序号):用户数据报协议,无连接的、不可靠的、不保证顺序的、无差错流控机制。校验和包括:UDP头部(8字节)、数据、伪头部。协议号17
2、UDP协议:UDP报文格式如下:少量传输数据,高层程序负责解决数据排序、差错控制等。开销少(头部8个字节),网络管理常使用
TCP(适合远程)支持数据传输,UDP支持音视频传输
十二、常用应用层协议
1、电子邮件协议:SMTP简单邮件传输协议,负责将邮件上传到服务器,采用TCP的25端口,C/S工作。仅传送ASCII码文本
2、电子邮件协议:S/MIME多用途互联网邮件扩展协议,负责将多媒体邮件安全上传到服务器,包含文本、图像、音频、视频以及其他应用程序专用的数据,MIME不能提供运用层安全
3、电子邮件协议:POP3邮局协议,负责将邮件下载到客户机,采用TCP的110端口,C/S工作。用户从服务器读取邮件后,服务器就删除该邮件
4、电子邮件协议:IMAP4互联网消息访问协议,提供摘要浏览,选择下载。采用TCP的143端口,C/S工作。用户从服务器读取邮件后,服务器仍会保存该邮件,可以反馈服务器实现同步
5、电子邮件协议:PGP电子邮件加密协议,包括加密、鉴别、签名和邮件完整性等技术。使用IDEA(128位)加密数据,RSA加密密钥,MD5认证。
6、PEM增强保密邮件协议,使用多种加密方法提供机密性、认证和信息完整性的因特网电子邮件协议,采用每个报文一次一密的方法加密。其他和PGP功能差不多。
7、文件传输协议:FTP,负责文件通过服务器上下传送。采用TCP的两条连接:数据连接20端口,控制连接21端口,C/S工作。合法访问和匿名访问(anonymous)。
9、文件传输协议:FTP,有主动模式(PORT/Standard)和被动模式(PASV/Passive)。区别是:服务器主动20传数据,被动随机端口(主动爱你,被动随机)
10、远程登录协议:Telnet,TCP/IP终端仿真协议,登录到远程主机上操作,网络虚拟终端NVT支持异构主机,采用TCP的23端口,C/S工作
11、超文本传输协议:HTTP,万维网WWW(Web)服务器提供全球的、分布的、动态的、多平台的、交互的、多媒体信息。TCP的80端口,B/S工作。统一资源定位器URL
十三、路由器技术NAT
1、路由器技术NAT:网络地址翻译,解决IP短缺,路由器内部和外部地址进行转换。
- 静态地址翻译转换:静态NAT(一对一)
- 动态地址翻译转换:动态NAT(多对少)
- 网络地址翻译端口转换:NAPT(多对一)
2、路由器技术NAT:静态NAT,内外一对一转换,用于web服务器,ftp服务器等固定IP的主机服务器
3、路由器技术NAT:动态NAT,内外多对少转换,用于内部局域网较多用户访问外部网络。外部需要地址池(pool)
4、路由器技术NAT:网络地址端口转换:NAPT(PAT)(多对一)内外多对一转换,使用外部一个IP,多个端口号对应内部IP。也称为IP伪装,可以隐藏内部主机。
5、地址伪装是指,把多个内部地址翻译成一个外部地址和多个端口号
十四、路由器VLSM和CIDR
1、路由器技术VLSM:可变长子网掩码。在有类的IP地址的基础上,从它们的主机号部分借出相应的位数来做网络号,也就是增加网络号的位数,子网划分
2、VLSM是把标准网络分割成更小的子网的技术,而CIDR是把几个标准网络合并成一个大网络的技术
3、路由器技术CIDR:无类域间路由,解决路由缩放问题,采用/比特位,无类不区分A、B、C类,称为CIDR地址块,路由汇聚。
十五、路由器技术QoS
1、路由器技术QoS(网络层):网络服务质量。将网络数据流分成不同的等级,提供不同的服务。有集成服务(IntServ)和区分服务(DiffServ)两种标准
2、路由器技术QoS:集成服务(IntServ)分成三种:保证质量的服务(有关协议是RSVP)、控制负载的服务、尽力而为的服务(目前因特网提供的服务)
3、路由器技术QoS:区分服务(DiffServ)不再使用资源预约,而是区分不同的业务流。分为三种:尽力服务BE(000000)、优质服务AF、加速服务EF(101110)
4、区分服务(DiffServ):区分服务代码点DSCP,利用IP包头的服务类型字段ToS。逐跳行为PHB:逐级跳的转发方式,每个PHB对应一种转发方式
十六、路由器技术MPLS
1、路由器技术MPLS:多协议标签交换,属于2.5层,MPLS包头的位置应该插入在以太帧头与IP头之间一般认为是第三层交换,硬件交换、速度快,叫一次路由,多次交换。==用标签交换代替复杂的路由运算
2、==路由器技术:MPLS基本原理。标记边缘路由器LER,标记交换路由器LSR
3、路由器技术:MPLS转发等价类(FEC),把等价的通信流汇聚转发。标记具有局部性。提供QoS、粒度控制、负载均衡等
4、路由器可以根据转发目标把多个IP流聚合在一起,组成一个转发等价类
十七、路由器技术组播
1、路由器技术:IP组播,有一个源向一组主机发送信息,D类地址。(一个IP地址代表一个主机,称为单播地址)
2、路由器技术:IP组播用途,用于视频点播、网络电视、视频会议等点到多点的业务。IP组播地址分为三类
- 保留组播:224.0.0.0~224.0.0.255用于路由协议,如224.0.0.1代表所有主机,224.0.0.2代表所有路由器
- 用户组播:224.0.1.0~238.255.255.255,全球范围分配,类似公网IP
- 本地组播:239.0.0.0~239.255.255.255本地子网分配,类似私网IP
3、路由器技术:常考IP组播地址
4、224.0.0.1->所有主机的地址
5、224.0.0.2->所有组播路由器的地址
6、224.0.0.3->没有分配
7、224.0.0.4->DVMRP路由器
8、224.0.0.5->所有OSPF路由器
9、224.0.0.6->OSPF的DR/BDR
10、224.0.0.9->RIP-2路由器
11、24.0.0.12->DHCP 服务器/中继代理
12、224.0.0.13->所有pim路由器
13、路由器技术:IP组播地址与MAC地址:组播MAC地址:01-00-5e-xx-xx-xx
14、IP组播协议:IGMP因特网组管理协议,管理主机加入或离开组播组。IGMP封装在IP中,协议号2(ICMP的协议号就是1)。IGMPv3报文:分为三种:
成员资格询问报文:组播路由器发出,询问是否有主机加入组播 - 成员资格报告报文:主机加入组播组
- 组记录报文:记录组播的状态和信息
15、IP组播路由协议:用来建立组播树,是实现组播传输的关键技术。==源分发树和共享分发树
17、IP组播路由协议:名词解释: - PIM:协议无关组播
- PIM-DM:密集模式PIM
- DVMRP:距离矢量组播路由协议
- MOSPF:组播开放式最短路径优先
- CBT:基于核心的树
- PIM-SM:稀疏模式PIM
18、PIM-DM:密集模式PIM。用于组播成员集中,且较多,如局域网: - 采取“泛洪扩散-修剪丢弃”维护组播分发树。使用“推”的机制,先给你,可以不要。
- 关键技术是利用反向通路,使用自己找回来的路径
- 使用源分发树:以组播源为根节点构造到所有组播组成员的生成树,通常也称为最短路径树(SPT)
19、PIM-SM:稀疏模式PIM,用于组播成员较少,且稀疏分布,如广域网: - 采用选择性的建立和维护分布树。只有发送请求的才会收到数据。使用“拉”的机制,你要了,才会给你
使用共享分发树:确定一个汇聚点。先发给汇 聚点,再有汇聚点发给其他路由器
十八、路由技术ACL
1、ACL:访问控制列表,可以根据源地址、目标地址、源端口、目标端口、协议信息对数据包进出过滤控制
2、两个方向:入口inbound是指数据流进入路由器(进门)、出口outbound是指数据流从路由器流出(出门)。两种动作:允许permit、拒绝deny
3、ACL的分类
十九、DHCP协议
- 无法做到提高域名解析速度
- 当客户机发送dhcpdiscover报文时采用广播发送
- DHCP服务可以服务与一个网段,也可以通过DHCP中继服务多个子网
- 客户端要自动获取IP,此时并不知道DHCP服务器在哪
- 在一个网段中可以配置多台DHCP服务器
第九章 下一代互联网
一、IPV6基础知识
1、IPV6概念:下一代互联网NGI,目前是第6版。IPV6分组有1个固定头部和n个扩展头部(任选)以及上层协议的负载组成。如下图
2、IPV6固定头部(40字节共320位):各字段解释含义:
版本0110,4位,代表IPV6
通信类型:8位,IP分组优先级,同服务类型
流标记:20位,标记特殊处理的分组
负载长度:16位,除了固定,扩展和负载
下一头部:8位,指明扩展头部或高层协议
跳数限制:8位,检测路由循环减1变为0丢弃
源地址:128位,发送端的地址
目标地址:128位,接收端的地址
3、IPV6扩展头部类型:6种任选,作用 是保留IPV4某些字段的功能,但只是特殊设备 来检查处理,而不是每个都要处理。
IPV6扩展头部格式:第1个字节:是下一头部选择符,指明下一头部类型。0逐跳选项,60目标选项,43源路由选择,44分段,51认证,50封装安全负荷,59没有下一头部
第2个字节:扩展头部长度。以8个字节计数,不包含前8个字节,如果是8字节,则字段为0,如果是16字节,则字段为1,如果是24字节,则字段为2
任选部分:编码成TLV的形式,T类型1个字节,L长度,V数据。
4、IPV6扩展头部分组封装顺序如下:(IPv6跳槽记)
(1)IPv6头部
(2)逐跳选项头
(3)目标选项头(第一个目标节点要处理的信息)
(4)路由选择头
(5)分段头
(6)认证头
(7)封装安全负荷头
(8)目标选项头(最后的目标节点要处理的信息)
(9)上层协议头部
5、ipv6常考前缀(格式前缀用于表示地址类型或子网地址):
全球单播前缀:001
链路本地前缀:FE80(1111 1110 10)
站点本来前缀:FEC0(1111 1110 11)
不确定地址:0:0:0:0:0:0:0:0
环回地址:0:0:0:0:0:0:0:1
6、IPV6地址分类:①单播地址、②任意播地址、③组(多)播地址
单播地址:标识一个接口,目的地址为单播地 址的报文会被送到被标识的接口
组播地址:标识多个接口,目的地址为组播地址的报文会被送到被标识的所有接口
任播地址:标识多个接口,目的地址为任播地址的报文会被送到最近的一个被标识的接口;不能用作源地址,只能用做目标地址,且只能分配给路由器。代表一组接口的标识符,任意播地址是在单播地址空间中分配的,组成是子网前缀+全0
IPV6没有定义广播地址
单播地址:4类:可聚合全球单播、链路本地地址、站点本地地址、特殊单播地址
①可聚合全球单播(相当于公网IPv4):前缀001(/3)。2000(/3)
②链路本地地址(相当于自动专用IP):前缀 1111 1110 10(/10或/64),用于同一链路的相邻结点间的通信。链路本地地址相当于IPv4中的自动专用IP地址(APIPA),可用于邻居发现,并且总是自动配置的,包含链路本地地址的分组不会被路由器转发
③站点本地地址(相当于私有IP):格式前缀 1111 1110 11(/10或/48或/64)相当于IPv4中的私网地址
④特殊单播地址:不确定地址0:0:0:0:0:0:0:0, 回环地址0:0:0:0:0:0:0:1。
9、组播地址:格式前缀1111 1111(/8), 还包括标志、范围、组ID字段
10、任播地址:仅用作目标,且只分配给路由器。默认路由器接口都被分配任意播地址。子网-路由器任意播地址,子网前缀必须固定,其余位置全0
11、一个IPv6包可以有多个扩展头,扩展头应该依照如下顺序:逐跳选项头->路由选择->分片->鉴别->封装安全有效载荷->目的站选项
12、IPV6地址配置:默认自动配置有2种:
①全状态自动配置:动态主机配置协议DHCP实现了IP地址的自动配置
②无状态自动配置:①获得链路本地地址:链路本地地址前缀1111 1110 10后加网卡MAC地址,产生一个链路本地地址,并发出一个 ICMPv6请求,确认唯一性。②获得可聚合全球单播地址:向本地链路中所有组播ICMPv6 路由器请求,主机获得单播前缀001后加自己的接口ID,自动配置单播地址
13、IPV6和IPV4的比较
14、IPV6地址相比IPV4改进:4个方面:
①扩展寻址能力:扩展到128位,支持多级地址层次,改进组播,增加任意播更实用
②简化报头格式:IP头部字段有12个减少为8个,中间路由器有6个减少为4个,提高效率
③改进路由选项:路由选项放在扩展头部,仅在需要时插入路由选项,更灵活,更流畅
④提供流标记:对某些分组进行特别处理,可以提供特别的服务质量,更好的传送数据
二、IPV6过渡技术
1、IPV6向IPV4过渡技术:有3种技术:
①隧道技术:用于解决IPV6网络节点之间通过IPV4网络进行通信的问题。(时空隧道)
优点:充分利用现有网络投资,过渡初期实现方便。缺点:路由器隧道出入口负载重,实现复杂,不利于大规模应用
技术:有6to4隧道、6over4隧道、ISATAP隧道
②协议翻译技术:使得纯IPV6节点之间和纯IPV4节点之间可以通信。(英汉互译)
优点:不需要升级改造,开启NAT-PT即可。缺点:转换不能完全保持原有含义,缺乏安全性
技术:有SIIT翻译、NAT-PT翻译、TRT翻译
③双协议栈技术:使得IPV4和IPV6共存于同一设备和同一网络中。(英汉双语)
优点:网络规划相对简单,可以充分发挥安全性、路由约束和流支持。缺点:对设备要求较高,维护大量协议和数据,升级改造投资大、建设周期比较长。
技术:有BIS双栈、BIA双栈
三、移动IP和IPV6
1、移动IP的概念:移动主机在移动的同时,能够在任何地方使用他的家乡地址进行联网
2、移动主机通过在无线通信网中漫游来保持网络连接
3、移动IP的原理:移动主机分配一个家乡地址作为永久标识。如果到外地赋予一个转交地址,家乡地址会获得外地的转交地址
四、IPV6路由协议
1、IPV6路由协议:定义了5种路由协议:
RIPng:RIPv2的扩展,UDP521端口
OSPFv3:OSPFv2的扩展,做了较大改进
BGP4+:BGP4的扩展,用来支持IPV6
ICMPv6:ICMP的扩展,集成了ARP功能
IS-IS:中间系统到中间系统,IS-IS属于内部网关路由协议。IS-IS是一种链路状态协议,与TCP/IP网络中的OSPF协议非常相似,使用 最短路径优先算法进行路由计算。
第十章 网络安全与运用
一、网络安全基础
1、网络安全威胁和漏洞类型:窃听;病毒;假冒;木马;重放;诽谤;流量分析;非授权访问;破坏完整;拒绝服务
2、安全需求可划分为物理安全(如机房安全)、网络安全(入侵检测)、系统安全(漏洞补丁管理)和应用安全(数据库安全)
3、漏洞:物理、软件、不兼容、其他等
4、网络安全信息数据五大特征:
完整性:信息数据完整不破坏
保密性:信息数据需授权不泄露
可用性:信息数据攻击后迅速恢复可用
不可否认性:信息数据参与者补课否认不可抵赖,身份真实有效。
可控性:信息数据可以管控传播范围
5、网络安全基本技术:
数据加密:数据按照规则打乱,重新组合
数字签名:证明发送者签发,也可完整性,使用公钥体质产生的一堆公钥和私钥
身份认证:用户合法性,身份真实没假冒
防火墙:控制内外数据进出,阻挡病毒木马
入侵检测:采用异常检测特征保护网络
网络隔离:内外网隔离分开使用,如网闸
6、主动攻击,攻击者试图突破网络的安全防线(如重放攻击、IP地址欺骗、拒接服务)。被动攻击,攻击者通过监视所有信息流以获得某些秘密(如流量分析,系统干涉)
7、拒绝服务:主要是针对TCP连接进行攻击的,通过发送大量的建立连接请求,使得服务端穷于应付,无法提供正常的网络服务
8、暴力攻击:是穷举式猜测用户密码
9、网络侦察:是探测远端系统的漏洞,以便利用漏洞进行入侵
10、特洛伊木马:是通过远端控制,对目标系统实施内部破坏或盗窃用户机密数据。
二、信息加密技术
1、现代信息加密技术:对称和非对称:
对称算法有:DES数据加密标准、3DES(共享密钥)三重DES加密、IDEA国际数据加密算法、AES高级加密标准、RC4流加密算法第四版2人等
非对称算法有:RSA(基于大素数分解3人)、ECC(椭圆曲线密码学)、Elgamal(基于离散对数1人)
2、(1)分组加密,也叫块加密,一次加密明文中的一个块。具有代表性的块加密算法有DES,AES,3DES等。(2)序列加密,也叫流加密,一次加密明文中的一个位。是指利用少量的密钥(制乱元素)通过某种复杂的运算(密码算法)产生大量的伪随机位流,用于对明文位流的加密。
3、现代信息加密技术对称密钥总结表:
4、RC5:适合大量的明文消息进行加密传输
私钥用来签名和解密,公钥用来认证和加密
①选两个大素数p和q
②令n=pq,z=(p-1)(q-1)
③符合公式ed=1(mod z),e公钥,d私钥
mod为模运算,也就是取余数计算,例如:ed=1(mod z)可变形为==(ed)/ z余数为1==
如:按RSA算法,若选两奇数P=5,Q=3,公钥 E=7,则私钥为()
这里p=5,q=3。n=pq=15, z=(p-1)(q-1)=8。根据ed=1(mod z),也 就是(ed)/ z余数为1。即:(7*d)/ 8 …1,把答案6、7、8、9带入只有答案7满足条件
三、数字签名技术
1、数字签名技术:数字签名用于确认发送者身份和消息完整性。满足三个条件:①接收者能够核实发送者。②发送者事后不能抵赖。③接收者不能伪造签名
四、秘钥管理技术
1、密钥管理体系:KMI、PKI、SPK
KMI:密钥管理基础结构,第三方KDC,秘密物理通道,适用于封闭的内网使用
PKI:公钥基础结构,不依赖秘密物理通道。适用于开放的外网
SPK:适用于规模化专用网
2、其他
加密:PKB;解密:SKB
典型的公钥加密算法有:RSA、ECC、DSA、背包加密、Rabin算法
DES是私钥加密
五、虚拟专用网VPN(IPSec)
1、VPN技术:虚拟专用网,①建立在公网上。②虚拟性,没有专用物理连接。③专用性,非VPN用户无法访问
2、VPN四个关键技术:①隧道技术。②加解密技术。③密钥管理技术。④身份认证技术
3、VPN三种应用解决方案:
①内联网VPN(Intranet VPN):企业内部用于连通总部和分布各个LAN
②外联网VPN(Extranet VPN):企业外部用于实现企业与客户、银行、供应商互通
③远程接入VPN(Access VPN):解决远程用户出差访问企业内部网络
4、VPN在七层协议中使用的技术汇总:
PPP点对点协议、PPTP点对点隧道协议、L2TP第二层隧道协议
IPSec IP安全性、GRE通用路由封装协议
SSL/TLS安全套接层
5、PPP、PPTP、L2TP技术对比汇总
6、PPP中的LCP:用于建立和配置数据链路;NCP:用于协议网络层参数,例如动态分配IP地址等。
7、PPTP与L2TP的区别比较(二层的):
①PPTP要求IP网络,L2TP适用各种网络
②PPTP只能建立1条隧道,L2TP建立多条
③PPTP包头占用6字节,L2TP占用4字节
④PPTP不支持隧道验证,L2TP支持
8、IPSec(三层):IP安全性,在IP层通过加密与数据源验证,来保证数据包传输安全
①认证头AH,用于数据完整和数据源认证、防重放,不提供数据加密服务
②封装安全负荷ESP,提供数据保密、数据完整、辅助防重放
③密钥交换协议IKE,生成分发密钥
9、IPSec两种模式:传输模式和隧道模式
10、SSL安全套接层:和TLS(传输层安全标准)是双胞胎。在传输层上4.5层套接安全协议。SSL/TLS被称为HTTPS,工作在传输层,对传输层、应用层都可以控制
11、SSL和IPSec的区别比较:
①IPSec在网络层建立隧道,适用于固定的VPN。SSL是通过应用层的web连接建立的,适合移动用户远程访问公司的VPN
②IPSec工作在网络层,灵活性小。SSL工作在传输层,灵活性大
12、主机路由的掩码为:255.255.255.255
13、IPSec可对数据进行完整性保护,提供用户身份认证服务,可对数据加密传输
六、运用层安全协议
1、应用层安全协议:PGP,电子邮件加密软件包,是一款软件,把RSA公钥体系的高保密和传统加密体系的高速度巧妙结合起来,成为最流行的电子邮件加密系统。可以用来加密件防止非授权者阅读,还能数字签名,防止篡改
2、PGP提供2种服务:数据加密和数字签名,使用RSA对公钥证书加密认证,IDEA(128位密钥)进行数据加密,MD5进行完整性验证
加密算法:支持IDEA、CAST、3DES算法对消息进行加密;采用ElGamal或RSA算法用接收方的公钥加密会话密钥
数据签名:采用SHA-1、MD5消息摘要算法计算消息的摘要值(散列码),用发送者的私钥按DSS或RSA算法加密消息摘要
PGP广泛应用的特点:①能够在各种平台上免费使用,众多厂商支持。②基于比较安全的加密算法(RSA、IDEA、MD5)。③应用领域广泛,可加密文件,也可用于个人安全通信。④不是政府或标准化组织开发和控制的。⑤网民普遍喜欢这种自由化的软件包
3、安全电子交易协议SET:保障购物安全,以信用卡为基础,在线交易的标准。安全性高,保证信息传输的机密性、真实性、完整 性和不可否认性。工作流程如下
4、SET是安全协议和报文格式集合,融合了SSL、STT、SHTTP、PKI等加密签名认证等。采用公钥密码体制和X.509数字证书。成为目前公认的信用卡网上交易的国际标准
5、SET提供3种服务:①保证客户交易信息的保密性和完整性。②确保商家和客户交易行为的不可否认性。③确保商家和客户的合法性
6、双重签名技术:消费者对订单信息和支付信息进行签名,商家看不到消费者账号信息,银行看不到消费者订购信息。但可确认是真实的
7、应用层安全协议Kerberos(刻薄肉丝):是一项认证服务,3A(AAA)认证有验证、授权和记账。防重放、保护数据完整性。AS认证服务器,TGS票据授予服务器,V应用服务器
V4时间戳,V5序列号。口诀:无T加T,有T加1
8、基于Kerberos的网关模型:用户初始登录以后, 用户名和密码长期保存在内存中,用户登录新应用(申 请新票据) 时,系统 会自动提 取用户名 和密码, 用户不需 要再输入
七、防火墙技术
1、防火墙的定义:来源于建筑物“防火墙”一词,位于两个或多个网络之间,执行访问控制策略,过滤进出数据包的一种软件或硬件设备,通过流经的数据流进行分析和检查,可实现对数据包的过滤、保存用户访问网络的记录和服务器代理功能
2、防火墙的要求:①所有进出网络的通信流量都 必须经过防火墙。②只有内部访问策略授权的通信才能允许通过。③防火墙本身具有很强的 高可靠性
3、防火墙的主要功能:①访问控制功能。②内容控制功能。③全面的日志功能。④集中管理功能。⑤自身的安全功能
4、防火墙的附加功能:①流量控制。②网络地址转换NAT。③虚拟专用网VPN
5、防火墙的局限性:①关闭限制了一些服务带来不便。②对内部的攻击无能为力。③带来传输延迟单点失效等。④还有其他局限
6、防火墙的技术分类:包过滤防火墙;代理防火墙;状态化包过滤防火墙3类等
7、防火墙的分类:以下几种常见方式:
个人防火墙:保护单个主机,有瑞星防火墙、天网防火墙、费尔防火墙等
企业防火墙:对整个网络实时保护,有赛门铁克防火墙、诺顿防火墙、思科防火墙、华为防火墙、Juniper防火墙等)
软件防火墙:有瑞星防火墙、天网防火墙、微软ISA Server、卡巴斯基防火墙等
硬件防火墙:思科防火墙、Juniper防火墙等
防火墙的体系结构:①双宿主机模式:防火墙具有两个网卡接口,通过包过滤代理访问网络。这是比较简单的一种结构。一般可以根据IP地址和端口号进行过滤
防火墙的体系结构:②屏蔽子网模式:又叫过滤子网模式,两个包过滤路由器中间建立一个隔离的子网,定义为DMZ网络,也称为非军事化区域。这是目前防火墙最常用的一种模式。可以有更高级的功能
10、防火墙的工作模式:路由模式、透明模式、混合模式3种:
路由模式:如果防火墙以第三层对外连接(接口具有IP地址),则认为防火墙工作在路由模式下
透明模式:若防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下
混合模式:若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP地址,某些接口无IP地址),则为混合模式下
11、防火墙的访问规则:3种接口
①内部接口(Inbound)连接内网和内网服务器
②外部接口(Outbound)连接外部公共网络
③中间接口(DMZ)连接对外开放服务器
1、Inbound可以访问任何Outbound和dmz区域
2、dmz可以访问Outbound区域
3、Outbound访问dmz需配合static(静态地址转 换)
4、Inbound访问dmz需要配合acl(访问控制列表)
12、防火墙工作层次越高,工作效率越低,安全性越高(高低高/地高低)
①工作层次。这是决定防火墙效率及安全的主要因素。一般来说,工作层次越低,则工作效率越高,但安全性就低了;反之,工作层次越高,工作效率越低,则安全性越高。
②防火墙采用的机制。如果采用代理机制,则防火墙具有内部信息隐藏的特点,相对而言,安全性高,效率低;如果采用过滤机制,则效率高,安全性却降低了
八、病毒与木马
1、病毒:一段可执行的程序代码,通过其他可执行程序启动和感染传播,可自我复制,难以清除,破坏性强(强盗)
2、木马:一种潜伏在计算机里并且秘密开放一个甚至多个数据传输通道的远程控制程序。C/S结构,客户端也称为控制端。偷偷盗取账号、密码等信息。(间谍)
3、恶意代码:又称恶意软件。也称为广告软件、间谍软件,没有作用却会带来危险。(恶搞)
4、常见病毒木马的特征分类:
①文件宏病毒:感染office文件,前缀Macro或者word/excel等
②蠕虫病毒:前缀Worm通过系统漏洞传播(震网病毒、熊猫烧香、欢乐时光)
③木马病毒:前缀Trojan,黑客病毒前缀Hack,往往成对出现(强调控制操作)
④系统病毒:前缀Win32、PE、Win95等
⑤脚本病毒:前缀Script,脚本语言编写的,通过网页传播
引导区病毒:(破坏的是引导盘、文件目录等)
5、黑客与骇客:黑客技术高超,帮助测试建设网络。骇客专门搞破坏或恶作剧
6、黑客攻击:①拒绝服务攻击。②缓冲区溢出攻击。③漏洞攻击。④网络欺骗攻击。⑤网络钓鱼。⑥僵尸网络等
预防攻击:安装杀毒软件、硬件防火墙和UTM统一威胁安全管理设备,合理设置安全策略,制定应急预案等
九、IDS与IPS
1、入侵检测系统IDS:安装部署位置通常是:①服务器区域的交换机上。②Interner接入路由器之后的第一台交换机上。③其他重点保护网段的交换机上(通常是并联、不断网),常用的三种方法是:模式匹配、数据完整性分析、统计分析
2、入侵防御系统IPS:位于防火墙之后的第二道安全屏障,是防火墙的的有力补充。通过对网络关键点收集信息并对其分析,检测到攻击企图,就会自动将攻击包丢掉或采取措施阻挡攻击源,切断网络(通常是串联、会断网)
3、IPS/IDS和防火墙区别:防火墙一般只检测网络层和传输层的数据包,不能检测应用层的内容。IPS/IDS可以检测字节内容
4、IPS和IDS的区别:IPS是串接在网络中,会切断网络。IDS是旁路式并联在网络上,不切断网络
5、IDS/IPS:连接在需要把交换机端口配置成镜像端口上,可以检测到全网流量
第十一章 网络应用服务器
一、网络服务器
1、网络操作系统:用统一的方法管理各主机之间的通信和资源的共享
主要功能:网络通信、共享资源、网络管理、网络服务、互操作、网络接口
四大特征:并发、资源共享、虚拟、异步性
安全性:用户账号、时间限制、地点限制、磁 盘空间限制、传输介质、加密审计等
2、网络服务器Windows Server 2008: 微软基于Windows XP/NT5.1开发的服务器操作系统。新增功能:①网站IIS7.0。②虚拟机化Hyper- V。③可靠可扩展。④管理中心增强
3、网络服务器Red Hat Enterprise Linux 7.0:红帽子,是开放源代码的产品,是Linux操作系统的一种。因为它具备最好的图形界面,无论是安装、配置还是使用都十分方便,而且运行稳定,适合做服务器
二、进程管理
(一)死锁问题
- 计算发生死锁的最小值i:
(i-1)×进程数+1>互斥资源R
(二)其他
- 中断向量可提供中断服务程序的入口地址
三、server 2008基础
1、Windows Server 2008本地用户与组
用户:就是包含用户名、密码、权限以及说明
用户组:具有相同性质的用户归结在一起,统一授权,组成用户组
用户组分类:全局组、本地组、特殊组
常见用户和组的权限,列表如下
3、活动目录中的工作组:①全局组:来自本域用于全林。②通用组:来自全林用于全林。③域本地组:来自全林用于本域
4、仅用于分发电子邮件且没有启用安全性的是通信组
5、Windows 2008 R2远程桌面服务:
①远程桌面会话主机,RD(远程主机)的服务端
②远程桌面Web访问,提供通过Web浏览器或者APP访问
③远程桌面授权,给RD客户端颁发许可证
④远程桌面网关,可以给RD客户机通过外网连接网
⑤远程桌面连接代理,支持连接APP 程序或虚拟机
⑥远程桌面虚拟化主机,集成了 Hyper-V
四、Linux 基础
1、Linux 用户和组:Linux是一个多用户、多任务的分时操作系统。每个文件和程序必须属于某一个用户,每个用户对应个账号。其中最重要的一个超级用户root
2、超级用户root承担了系统管理的一切任务,可以控制所有的程序,访问所有文件,使用系统中的所有功能和资源
3、其他用户和组都是有root来创建的
4、/etc/hosts文件添加记录格式是:IP地址 主机名 别名(别命可以没有)如:192.167.1.100 zhujiming.com web80
6、Linux文件目录管理:文件格式有EXT2、EXT3、EXT5等。采用树型根目录结构,用/表示。其他所有目录都是从根目录出发生成的
7、Linux用户和组3个重要配置文件
8、网络管理配置文件:
9、配置命令:
ifconfig,网络接口(网卡)命令
route,配置路由命令
ping,网络测试命令
netstat,网络查询命令
10、用户管理:
11、目录结构:
12、基本操作命令:
五、web服务器安装配置
1、Windows Server 2008 R2 IIS服务简介:互联网信息服务。微软Windows平台下的一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、管理工具
2、Web网站映射多个独立域名的方法有多种,通常包括多IP(为计算机安装多网卡)、不同的主机头以及不同的端口号。
六、FTP服务器安装配置
七、Apache服务器
1、Apache服务器:跨平台,也是Linux下最流行的WEB服务器
2、Apache服务器可采用RPM和源码编译两种方式进行安装,守护进程是 httpd
3、Apache服务器的主配置文件是httpd.conf,用于对Apache服务器进行功能和性能的配置管理
八、DNS服务器安装 & 配置
1、DNS协议:域名解析协议,用于把主机域名解析为对应的IP地址。是一个分布式数据库,C/S工作方式。主要基于UDP协议,少数使用TCP,端口号都是53。常用域名如下
2、DNS协议:DNS服务器,专门用来域名解析,采用C/S结构,域名和IP一一对应。分层式命名空间,例如:www.edu.dtwlxy.com.
3、按照空间层次划分域名服务器:根域名、顶级域名、权限域名、本地域名
4、一个合法的域名只能是由数字、字母、下划线组成,并不能以下划线开始和结束
5、windows中可通过DNS Client服务来阻止对域名解析cache的访问
6、DNS通知是一个种推进机制,作用是使得辅助域名服务器及时更新信息
7、DNS解析顺序:本地缓存记录-区域记录-转发域名服务器-根域名服务器
8、按照作用划分域名服务器
9、DNS协议:解析顺序工作原理:
①查本地缓存,两种来源:本地hosts文件和以前本机进行的DNS查询记录
②查本地首选DNS服务器和备用DNS服务器
③如果找不到就请求远方的DNS服务器(转发或根DNS)
④根DNS指定一个顶级DNS,下一级DNS,本地DNS,返回客户端
⑤转发至上一级DNS服务器,如果不能解析,找根DNS重复④
两种查询方法:递归一查到底(1,2,9,10);迭代多次回头
10、DNS记录类型:
- A:IP地址,主机地址(正向解析,域名->ip,指定主机名或域名对应的IP地址记录)
- NS:权威名称服务器
- CNAME:别名的正则名称
- SOA:标记权威区域的开始,指明区域主服务器和管理员邮件地址
- PTR:域名指针(IP地址映射)(IP地址解析为主机名)(反向解析ip->域名)
- MX:邮件交换
- HINFO:记录提供电脑或操作系统的类型==(主机描述)==
- 正向解析:域名->
11、DNS服务的安全配置有: - ①转发器、高级选项卡等
- ②禁用递归、启用循环、启用网络掩码排序、保护缓存防止污染
- ③新建主机、新建别名等
12、DNS其他考点: - DNS查询方向:正向查询A,反向查询PTR
- DNS区域复制:主辅:完全复制,渐增复制
- DNS通知:推进(主→辅)、安全机制(通知)
13、Linux DNS服务器BIND: - /etc/named.conf 主配置文件
- /var/named/wl.com.bd 正向区域文件(名称=>地址)
- /var/named/192.168.100.bd 反向区域文件(地址=>名称)
- /etc/resolve.conf 客户端配置文件
九、DHCP服务器安装配置
1、DHCP协议:动态主机配置协议,可以自动为局域网内的主机分配一个IP地址,若一直得不到回应,DHCP客户端总共会广播4次请求
2、DHCP的好处:①管理员可以迅速地验证IP地 址和其他配置参数,而不用去检查每个主机。②DHCP不会从一个范围里同时租借相同的lP地址给两台主机。③可以为每个DHCP范围(或者说所有的范围)设置若干选项(例如默认网关、DNS和WINS服务器的地址)
3、DHCP协议工作原理和过程:
(1)当DHCP客户端首次启动时DHCP服务器发送一个DhcpDiscover数据包(广播)
(2)DHCP服务器接收到Dhcpdiscover数据包向主机提供(dhcpOffer(临时未分配))
(3)该DHCP服务器向客户端发送一个确认(dhcpAck)(默认情况是8天)
(4)当租约期过了一半时(50%即是4天),客户端将和设置它的TCP/IP配置的DHCP服务器更新租约.过了87.5%时无法与当初的DHCP服务器联系上停止使用该IP
当租约期满后,DHCP客户向服务器发送一个Dhcprequest重新租用IP
4、DHCP服务器拒接客户端的IP地址请求时发送DhcpNack,客户端拒绝发送DhcpDecline
5、DHCP作用域:
- 作用域:常规等选项卡
- 作用域选项:配置选项(DNS、网关等)
6、==地址池:新建排除范围(分发中不包括)
7、保留:新建保留(分发但会绑定)
8、筛选器:指定接受的DHCP
9、==Lniux DHCP服务器配置 - DHCP服务主配置文件路径:/etc/dhcpd.conf
- ipconfig /all 自动获得IP地址
- ipconfig /release 释放IP地址
- ipconfig /renew 重新得到新的IP地址
十、Linux Samba 简介
1、Samba服务器:Samba是Linux上实现和Windows系统局域网上共享文件和打印机的一种通信协议,由服务器及客户端程序构成。支持SMB/CIFS协议,实现共享资源
2、最主要的一个配置文件smb.conf,可以使用vi编辑器修改。守护进程:smbd。启动samba服务service smb start(restart、stop)。启动脚本/etc/rc.d/init.d/smb start(restart)
3、配置文件smb.conf三个主要部分:全局设置global、共享目录设置homes、共享打印机设置printers
十一、Windows 2008 安全策略
1、安全策略的概念:实现定义好的一系列应用计算机的行为准则。保护网络上的数据资源。本地策略用于单个计算机,组策略用于域范围内
2、IPSec策略设置:用于两个网络NetA和NetB之间建立安全的通信传输。通过设置筛选器实现对进入外出的数据包进行IP、端口、协议方面的过滤控制。①创建IPSec策略。②创建筛选器列表。③配置隧道规则。④指派
3、安全Web站点配置:HTTPS在HTTP的基础上加入了SSL协议,即数字证书验证
一、安装证书服务:开始–管理工具–服务器管 理器–角色–添加加色–AD证书服务–证书颁发机构–独立–根--新建私钥–直到完成安装
二、配置CA证书。①创建申请文件。②申请证书。③颁发证书。④下载证书。⑤保存证书
三、配置HTTPS。①绑定CA证书。②启用SSL。③实现安全访问
使用组策略:A-G-DL-P中:A表示用户账号;G表示全局组;DL表示域本地组;P表示资源权限
第十二章 组网技术
一、交换路由基础知识
(一)交换机
1、交换机简介和分类:交换机(Switch)意为“开关”是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。工作于第2层或3层。最常见的交换机是以太网交换机。下图是华为的Huawei S2700系列以太网交换机
2、按照VTP协议,交换机的运行模式有(服务器模式,客户机模式,透明模式)
3、网桥和交换机:都是软硬件结合,都有广播和冲突域,区别就是交换机比网桥的端口多,转发速度更快;(所以说交换机是多端口的网桥)
4、集合器(物理层)与网桥(链路层):都能检测冲突域;
5、交换机分类:
6、交换机典型三级:①接入层交换机,如S2700。②汇聚层交换机,S3700。③核心层交换机,如S5700
7、交换机性能参数和计算公式:
包转发率=千兆端口数×1.488Mpps+百兆端口 数×0.1488Mpps+其余端口×相应包转发pps
背板带宽:总带宽=端口数×端口速率×2(全双工)
8、交换机是一种由高速硬件构成的多端口网桥,交换机的初始MAC地址表为空,收到一个数据帧时将其源地址添加到自己的MAC地址表中,通过这种逆向学习算法逐步建立地址表,当收到的帧的目标地址不在MAC地址表中时,交换机将其广播发送到所有输出端口
9、交换机通过读取输入帧中的源地址添加相应的MAC地址表项
10、交换机的MAC地址表项是动态变化的
11、在缺省配置时交换机所有端口(属于统一VLAN),不同VLAN的数据帧必须通过(路由器)传输。
(二)路由器
1、路由器简介和分类:路由器(Router)用来连接不同的局域网,路由器可以学习和传播各种路由信息。路由器工作在第3层网络层,具有局域网和广域网两种接口
2、查看路由信息结果中,标记S表示静态路由,标记C表示直联,标记R表示采用RIP路由协议
3、路由器出厂时,默认的串口封装协议是HDLC
4、路由器根据功能、性能、应用分为:
①骨干路由器:主干网络互连,模块化、热备份、双电源等冗余技术。如国家级、省级骨干网互连。如NE40E以上系列
②企业级路由器:用于一个企业出入口,提供多种功能,完成企业组网。可实现数据、语音、视频等应用。如AR3600系列
③接入级路由器:边缘路由器,小型企业,或者部门组网。如AR2200系列
5、路由器上的一些常见端口:
①Serial端口(同步串口):高速同步串口,与广域网连接,可连接DDN、帧中继、X.25、PSTN等网络(路由SFP端口通过光纤连接广域网)
②Console端口:初次配置控制台端口,利用终端仿真程序,如超级终端、SecureCRT对路由器进行本地配置
③RJ-45端口:以太网口,通过双绞线连接局域网,有的标识ETH,有的标识为10/100bTX
④AUX端口(异步串口):远程配置路由器,连接Modem
Console端口:Console端口通过专用电缆连接至计算机串行口,利用终端仿真程序对路由器进行本地配置。路由器的Console端口为RJ-45口
SFP端口:通过光纤连广城网,小型机架可插拔设备SFP是GBIC的升级版本,其功能基本和GBIC一样,但体积减少一半
6、广播域和冲突域
冲突域:在同一个冲突域中的每一个节点都能收到所有被发送的帧。交换机能分隔冲突域。一个端口一个冲突域
广播域:网络中能接收任一设备发出的广播帧的所有设备的集合。路由器能分隔广播域。一个端口一个广播域
7、路由器常见显示命令:
8、有多个路由进行选择时,通过比较各个路由的管理距离走近路来决定
9、> (用户执行模式);# (特权模式);(config)# (配置模式)
10、VLAN之间通信就需要路由器的支持
二、交换机VLAN实验
1、交换机GVRP:VLAN注册协议,在VLAN增加、删除、调整时,自动发广播,保持全网所有的交换机VLAN信息是一致的
2、GVRP是GARP的一种应用,由IEEE制定;交换机之间的协议报文交互必须在VLAN Trunk链路上进行;GVRP配置时需要在每一台交换机上建立VLAN
3、GVRP把交换机分为3种注册模式
①Normal模式:VLAN增删改,广播保持一致
②Fixed模式:只传播手动配置的VLAN信息
③Forbidden模式:只传播VLAN1不传其他VLAN
交换机默认:透明模式,VLAN1,所有端口
三、RIP与BDF联动实验
1、BFD:双向转发检测,可以提供毫秒级的检测,可以实现链路的快速检测,BFD通过与上层路由协议联动。当主链路发生故障时,业务流量会快速切换到另一条路径进行传输
四、动态路由IS-IS实验
1、IS-IS:中间系统-中间系统,路由器称为中间系统IS。和OSPF协议很类似,属于内部网关路由协议,是一种链路状态协议。
2、Net-Entity:网络实体。运行IS-IS的路由器必须配置一个网络实体地址。格式为:SEL服务访问点
3、IS-IS在路由域内采用两级的分层结构。骨干区域与非骨干区域。并定义了路由器的三种角色:区域内Level-1、区域间Level-2、同属于Level-1-2。默认路由器接口为Level-1-2
4、IS-IS 路由协议将自治系统分为骨干区域和非骨干区域
5、IS-IS路由协议中Level-2路由器可以和不同区域的Level-2或者Level-2路由器形成邻居关系
第十三章 网络管理
一、网络管理结构
1、网络管理模型:包括网络监测和网络控制两部分。以下是一个网络管理模型。分为管理站,被管理代理、管理信息库MIB三部。MIB采用管理信息结构SMI(ASN.1国际标准的子集)
2、两种管理结构:
集中式:集中控制整个网络。平衡优化网络。适用小网络
分布式:灵活性和伸缩性,适用中、大型网络
3、两种通信机制:
轮询:是一种请求-响应式的交互方式。管理站 向代理发出请求,代理做出响应,从信息管理库取出信息,返回给管理站。类似领导安排工作
事件报告:代理根据管理站的要求,向管理站 主动发送状态报告。类似员工汇报工作
4、网络管理中的五大管理功能:
①计费管理:计算收取用户使用网络服务费用
②安全管理:提供信息的保密、认证和完整性
③性能管理:性能检测、性能分析、性能管理
④配置管理:监测和控制网络的状态以及配置
⑤故障管理:发现和纠正网络故障,维护网络的
正常运行。包括报警、检测、定位、测试、恢复以及日志记录等
5、网络管理协议五种标准:
①ISO制定:CMIS/CMIP公共管理信息服务规范
②基于TCP/IP:简单网络管理协议SNMP V1、SNMP V2、SNMP V3三种版本
③基于局域网:远程监控网络RMON,RMON-1、RMON-2两个版本
④IEEE制定:基于物理层和数据链路层CMOL
⑤ITU-T:电信网络管理标准TMN
6、安全措施
物理线路安全:防雷
网络安全措施:入侵检测、流量控制
系统安全措施:漏洞发现和补丁管理
二、简单网管协议SNMP
1、SNMP:简单网络管理协议:应用层协议,采用UDP,不会增加网络负担,UDP实现网络管理效率高。UDP161(代理)、UDP162(管理站)
2、采用UD实现网络管理不会太多增加网络负载
3、SNMPv1:四种报文①GetRequest、②GetNextRequest、③SetRequest、④Trap、⑤GetResponse。其中④用于事件报告⑤用于代理站。采用团体明文认证
4、SNMPv2:又叫SNMPv2c,支持集中,也支持分布式管理:增强改进3方面:①管理里信息结构的扩充。②管理站之间的通信能力。③新的协议操作。Get BulkRequest块操作一大批的数据、InformRequest通信请求(增强了功能)
5、SNMPv3:把管理和代理统一叫做实体(包括引擎和应用),并提供认证和加密。基于用户的安全模型,把安全威胁分为主要的和次要的。基于视图的访问控制模型,划分安全级别。(增强了安全性)
6、在SNMP协议中,代理收到管理站的一个GET请求后,若不能提供该实例的值,则会返回下一个实例的值
7、RMON和SNMP的主要区别就是:RMON提供了整个子网的管理信息,而SNMP管理信息库只包含本地设备的管理信息
三、结构化布线系统
- (1)交流工作接地电阻不应大于4Ω;
- (2)安全工作接地电阻不应大于4Ω;
- (3)直流工作接地电阻应按计算机系统具体要求确定;
- (4)防雷保护地接地电阻不应大于10Ω;
(5)对于屏蔽系统若采用联合接地,其接地电阻不应大于1Ω
四、管理信息库MIB
1、管理信息库MIB-2的10个功能组:
system:关于系统的总体信息
interface:系统到子网接口的信息
at(address translation):描述Internet到子网的地址映射
ip:关于系统中IP的实现和运行信息
icmp:关于系统的ICMP的实现和运行信息
tcp:关于系统中的TCP的实现和运行信息
udp:关于系统的UDP
egp:关于系统中的EGP的实现和运行信息
dot3:有关每个系统接口的传输模式
snmp:关于系统中SNMP的实现和运行信息
2、MIB-2中,IP组对象为接受的IP数据报总数,数据类型为计数器类型
3、远程网络监控RMON的管理信息库:
先事件组再警报组
先主机组再N台主机组
先过滤组再捕获组
4、RMON监视器
RMON的管理信息库提供整个子网的管理信息
RMON的管理信息库属于MIB-2的一部分
RMON监视器可以对每个分组进行统计和分析
RMON监视器包含MIB-2的功能
5、网络管理常考零部件可靠性计算:
轮询设备和时间计算
五、网络管理工具和命令
1、ipconfig/all:显示主机TCP/IP配置的详细信息;/release:DHCP客户端手共释放IP地址;/renew:DHCP客户端手工向服务器刷新新请求;/flushdns:清除本地DNS缓存内容;/displaydns:显示本地DNS内容
2、ping,利用ICMP报文来测试网络的连通性、是否丢包、名称解析等。ping -a解析域名;ping -f不要拆分分段;ping -l指定数据包大小;ping -n 指定回显数据报的数据次数;ping-r记录路由;ping -t连通性(持续ping),直到终止
3、netstat命令用于显示TCP连接,语法如下netstat [-a] [-e] [-n] [-o] [-p Protocol] [-r] [-s] [Interval]
- -a:显示所有活动的TCP连接,以及正在监听的TCP和UDP端口
- -e:显示以太网统计信息
- -n:显示活动的TCP连接,地址和端口号以数字形式表示
- -o:显示活动的TCP连接以及每个连接对应的进程ID。在Windows任务管理器中可以找到与进程ID对应的应用。这个参数可以与-a、-n和-p联合使用
- -p Protocol:用标识符Protocol指定要显示的协议,可以是TCP、UDP、TCPv6或者UDPv6。如果与参数-s联合使用,则可以显示协议TCP、UDP, ICMP、IP、TCPv6、UDPv6, ICMPv6或IPv6的统计数据
- -s:显示每个协议的统计数据。默认情况下,统计TCP、UDP、ICMP和IP协议发送和接收的数据包、出错的数据包、连接成功或失败的次数等。如果与-p参数联合使用,可以指定要显示统计数据的协议
- -r:显示IP路由表的内容,其作用等价于路由打印命令route print
- Interval:说明重新显不信息的时间间隔,键入Ctrl+C则停止显示。如果不使用这个参数,则只显示一次
4、arp。用于显示和修改ARP缓存中的表项。-s参数可以绑定IP和MAC以防止ARP病毒,如arp -s 192.168.1.1 AA-00-4F-2A-9C。但重启后会丢失,如果写入注册表是个永久的办法 - -a:显示所有接口的当前ARP缓存表
- -d:删除ARP缓存表项
- -s:绑定ARP表项,如IP和MAC绑定
5、交换机常用命令 - dis patch:查看补丁信息display patch-information ;
- dis trap:查看告警信息 display trapbuffer ;
- dis int br:查看接口开启情况 display interface brief ;
- dis cu:查看当前配置 display current-configuration 。
- virtual-cable-test:电缆测试
- display transceiver interface:显示设备光模块接口的状态信息,用于对光功率参数的检测判断是否存在介质故障
- display device:显示设备状态
- display interface:显示端口配置信息
6、其他命令:
- pathping:把ping和tracert结合起来,探测路径、延时、丢包率
- nbtstat:用来显示NetBIOS的 名称缓存
- route:显示修改本地IP路由表。add添加、delete删除、change修改、print显示路由表(同netstat -r)
- netsh:命令行脚本程序,可 修改计算机的网络配置
- net:管理网络服务
- nslookup。用来测试DNS服务器域名解析的。交互式和非交互式
- traceroute是路由跟踪命令用于分组到达目标路劲上经过的各个路由器
- netstat可用于显示IP、TCP、UDP、ICMP等协议的统计数据;
- sniffer能够使用网络接口处于杂收模式,从而可截获网络上传输的分组
- winipcfg在Windows中显示网络适配器和主机的有关信息;
- tracert可以发现数据包到达目标主机所经过的路由器和到达时间。通常配合-d使用
- Tracert、Netstat及Route print均可以获得网关IP地址信息
Nslookup用来检查提供域名的服务器地址;ping加域名地址可测试域名成功与否;tracert也可用于进行DNS故障诊断;arp是地址协议,用于IP地址与MAC的映射
六、网络存储技术
1、网络存储技术:RAID,廉价磁盘冗余阵列。RAID0~RAID50多种。RAID卡
2、网络存储技术:
3、网络存储技术:NAS网络接入存储。将存储设备连接到现有的网络上来提供数据存储和文件访问服务的设备。NAS服务器是在专用主机上安装简化了的瘦操作系统(只具有访问权限控制、数据保护 和恢复等功能)的文件服务器。NAS服务器内置了与网络连接所需要 的协议,可以直接联网
4、网络存储技术:SAN存储区域网络。是一种连接存储设备和存储管理子系统的专用 网络,专门提供数据存储和管理功能。SAN可以被看作是负责数据传输的后端网络,而前端网络则负责正常的TCP/IP传输。用户 也可以把SAN看作是通过特 定的互连方式连接的若干台 存储服务器组成。分为2种 结构:IPSAN(远离)与FCSAN
七、网络故障诊断
1、默认网关的地址是子网中的广播地址的话,不能ping通任何远程设备
第十四章 网络规划与设计
一、网络设计基础
1、网络系统生命周期:从构思到淘汰。
2、四阶段周期(重叠):能够快速适用新的需求变化,成本低,灵活性好,适用网络规模较小,需求较为明确,网络结构简单的工程项目。(口诀:小明花钱少)
3、五阶段周期(瀑布):比较死板,不灵活,较为严谨,适用于网络规模大,需求较为明确,需求变更较小的网络工程。常用此模型。(口诀:大明看瀑布)
4、六阶段周期(测试):偏重于测试和优化,适合大型网络,适合经常变更
5、网络开发过程:其中,通信规范分析又叫现有网络体系分析。以便在升级时尽量保护已有的投资
二、通信流量分析
1、通信流量模式分析:对等模式、C/S模式、B/S模式
2、对等模式:双向对等,如QQ、BT、P2P等
3、C/S模式:S→C流量大,如VOD、Web服务器、ERP。C→S流量大,如SNMP。双向流量大,如FTP、邮件服务器、数据库服务器
4、B/S模式:S→B流量大,而web服务器与数据 库则属于双向流量大
5、通信流量计算公式:分为两种:
某个业务应用网络流量的计算公式为:应用的 数据传输速率 = 平均事务量大小 × 每字节位 数 × 每个会话事务数 × 平均用户数 / 平均会话长度
考虑峰值用户数和应用增长率等因素后公式为: 应用的数据传输速率 = 平均事务量大小 × 每 字节位数 × 每个会话事务数 × 峰值用户数 × (1+增长率) / 平均会话长度
三、逻辑网络设计
1、逻辑网络设计工作主要内容
- 网络结构的设计
- 物理层技术的选择
- 局域网技术的选择与运用
- 广域网技术的选择与运用
- 地址设计和命名模型
- 路由选择协议
- 网络管理
- 网络安全
- 逻辑网络设计文档
2、局域网结构设计:单核心局域网结构 - 单核心简单、投资少、地理范围小,适合小型网络
- 缺点是单点故障,导致全网失效。扩展能力有限
3、==桌面用户不应与核心连接
4、==局域网结构设计:双核心局域网结构 - 可做负载均衡热备,如HSRP、VRRP、GLBP。可靠性高、可热切换、接入方便、服务器直连核心,高速访问
- 投资高、维护技术高
5、局域网结构设计:三层次局域网结构 - 核心层:高速转发
6、==汇聚层:策略控制、实现资源访问控制和流量控制
7、接入层:用户接入
8、==广域网结构设计:线缆调制解调器接入网,广电网络属于这种,借助CATV有线电视实现 - HCF网络实现带宽接入时,==局端设备用于控制和管理用户的设备是CMTS,客户Cable Modem(大猫)
- ==下行50Mbps,上行3Mbps
9、==采用HFC技术,光纤/同轴缆混合传输
10、==广域网结构设计:数字用户环路远程接入网xDSL,电信网络属于这种,借助电话 线实现。 - 局端DSLAM,客户端ADSL Modem(小猫)
- ADSL:下行8Mbps
- SDSL:下1.544M
- HDSL:下2.048M
- VDSL:下行50Mbps
- 口诀:RCAV不对称的
11、广域网结构设计:同步数字体系接入网SDH - ==STM-1:155.520M
- ==IP over SDH
12、PDH兼容:63个2M
13、MPLS VPN接入网:利用MPLS实现 - P设备:核心高速转发
- PE设备:边缘路由标签
- CE设备:连客户端
四、物理网络设计
1、建筑物综合布线系统PDS
(1)工作区子系统:指由中端设备到信息插座的整个区域(信息插座一般离地面30cm)
(2)水平布线子系统(不得超过90m)(从电杆拉出来的)
(3)干线子系统(竖起来像电杆)
(4)设备间子系统(机房,楼层中间)
(5)管理子系统(楼层配线间)
(6)建筑群子系统
2、综合布线性能参数:双绞线、光纤
衰减值:由于绝缘损耗、连接电阻等因素,造成信号沿链路传输损失
近端串扰:当信号在一个线对上传输时,会同时将一小部分信号感应到其他线对上,这种感应信号成为串扰
光纤:包括连通性、输入/输出功率、衰减/损耗,一般应在20db以内,超过25db不通
在诊断光纤故障的仪表中,设备(光时域反射计)可在光纤的一端就测得光纤的损耗
五、网络需求分析
1、软件设计必须依据软件的需求来进行,结构化分析的结果为结构化设计提供了最基本的输入信息,其关系为:根据加工规格说明和控制规格说明进行过程设计;根据数据字典和实体关系图进行数据设计;根据数据流图进行接口设计;根据数据流图进行体系结构设计。
2、软件设计方式
瀑布模式:适用于求明确
V模型:瀑布模型变种,它说明测试活动是如何与分析与设计相联系
原型模型:快速构造整个系统或系统一部分
螺旋模型:开发活动和风险管理结合,控制风险并减到最小
第十五章 命令图和协议
一、网络协议神图
二、常用命令图
(一)netstat
(二)nslookup
(三)route print
(四)tracert
