三级网络技术(五)
无线局域网设备安装与调试
蓝牙技术的基本概念
蓝牙技术是一种支持设备短距离通信的无线电技术,它的通信距离一般为10m以内。蓝牙技术能在包括移动电话、PDA、无线耳机、笔记本电脑、相关外设等众多设备之间进行无线信息交换。蓝牙技术的标准是IEEE802.15,工作在2.4GHz 频带,带宽为1Mb/s。
蓝牙技术是由东芝、爱立信、IBM、Intel和诺基亚于1998年5月共同提出的近距离无线数字通信的技术标准。
蓝牙系统的主要参数和技术指标
-
工作频段:ISM频段2.402GHz-2.480GHz
-
双工方式:TDD。
-
业务类别:同时支持电路交换及分组交换业务。
-
标称数据速率:1 Mbps
-
异步信道速率:非对称连接 723.2kbps/57.6kbps。对称连接433.9kbps(全双工模式)
-
同步信道速率:64kbps
-
信道间隔:1 MHz。
-
信道数:79
-
发射功率级范围:0dBm(1 mW),覆盖1-10m,20dBm(100mW),覆盖扩展至100m。
-
跳频频点数:79个频点/MHz (2402+k(MHz),k=0,1,2…78)。
-
跳频速率:1600次/s
-
工作模式:Active/Sniff/Hold/Pack
-
信道间隔:1 MHz。
-
信道数:79
-
发射功率级范围:0dBm(1 mW),覆盖1-10m,20dBm(100mW),覆盖扩展至100m。
-
跳频频点数:79个频点/MHz (2402+k(MHz),k=0,1,2…78)。
-
跳频速率:1600次/s
-
工作模式:Active/Sniff/Hold/Pack
HiperLan技术与标准(10下、12下)
一、HiperLan技术的基本概念
HiperLan是一种在欧洲应用的无线局域网通信标准的一个子集,有HiperLan/1和HiperLan/2两种标准。
HiperLan/1采用5GHz射频频率,上行速率可达20Mb/s。HiperLan/2同样采用5GHz射频频率,上行速率可达54Mb/s。 HiperLan/2系统同3G标准兼容。
在HiperLan/2的典型网络拓扑结构中,移动终端通过接入点接入固定网。一个AP所覆盖的区域范围在室内一般为30米,在室外一般是150米。
HiperLan/2的主要技术特点
高速数据传输 :采用OFDM调制技术。
面向连接
QoS
自动频率分配
安全性
移动性
网络与应用无关
省电
IEEE802.11标准的基本概念(10下、11上、12上、13上)
IEEE802.11标准是第一代无线局域网WLAN标准之一,1997年6月被IEEE认可。
IEEE802.11标准定义了两种类型的设备:无线结点和无线接入点。无线节点通常是在一台接入设备上加上一块无线网络接口卡构成。无线接入点的作用是提供无线和有线网络之间的桥接。
802.11定义了使用红外、调频扩频、直接序列扩频技术,传输速率为1或2Mbps的无线局域网标准。两个扩频技术,一个红外规范。 FHSS(调频扩频)和DSSS(直序扩频)
无线传输频道定义在24.G.Hz的ISM波段内。
802.11定义了使用红外、调频扩频、直接序列扩频技术,传输速率为1或2Mbps的无线局域网标准。两个扩频技术,一个红外规范。 FHSS(调频扩频)和DSSS(直序扩频)
无线传输频道定义在24.G.Hz的ISM波段内。
802.11g协议
它是在802.11b协议的基础上改进的协议,支持2.4GHz工作频率以及DSSS技术 ,它可以实现11Mb/s传输速率,同时保持着对802.11b的兼容,又可以实现54Mb/s高传输速率 。
| 属性 | 802.11b | 802.11a | 802.11g |
|---|---|---|---|
| 批准的IEEE标准 | 是 | 是 | 是 |
| Wi-Fi联盟认证 | 是 | 是 | 否 |
| 最大传输速率 | 11 Mb/s | 54Mb/s | 54Mb/s |
| 实际吞吐量 | 5~7Mb/s | 28~31Mb/s | 2831Mb/s(全部在802.11g环境)1012Mb/s(与802.11b客户端混合环境) |
| 最大容量 | 33 Mb/s 3信道*11 | 432 Mb/s 8信道*54 | 162 Mb/s 3信道*54 |
| 属性 | 802.11b | 802.11a | 802.11g |
|---|---|---|---|
| 与802.11b的后向兼容性 | 是在2.4GHz ISM频段上运行,客户端以8.2.11b的速度在802.11b和802.11g Aps上运行 | 否在5GHz UNI频段上运行 | 是在2.4GHz ISM频段上运行,客户端以8.2.11b的速度在802.11bAps上运行,以8.2.11g的速度在802.11g Aps上运行 |
| 与其他设备之间的干扰 | 是如无线电话、蓝牙、微波炉 | 否 | 是如无线电话、蓝牙、微波炉 |
| 室内距离 | 30m | 与802.11b和802.11g 相比,在30m内有更快的速度 | 与802.11b相比,在30m内有更快的速度 |
| 功能 | 优点 |
|---|---|
| 速度 | 2.4GHz直接序列扩频技术提供最大为11Mb/s的数据传输速率,无需直线传播 |
| 动态速率转换 | 当射频情况变差时,降低数据传输速率为5.5Mb/s、2Mb/s、1Mb/s |
| 使用范围 | 802.11b支持以100m为单位的范围(在室外为300m,办公环境中最远为100m) |
| 可靠性 | 与Ethernet类似的连接协议和数据包确认提供可靠的数据传送和网络带宽的有效使用 |
| 互用性 | 与以前标准不同的是,802.11b只允许一种标准的信号发送技术,WECA将认证产品的互用性 |
| 功能 | 优点 |
|---|---|
| 电源管理 | 802.11b网络接口卡可转到休眠模式,接入点将信息缓冲到客户,延长了笔记本电脑的电池寿命 |
| 漫游支持 | 当用户在楼房或公司部门之间移动时,允许在接入点之间进行无缝连接 |
| 加载平衡 | 802.11b NIC更改与之连接的接入点,以提高性能(如:在当前的接入点流量较拥挤,或发出低质量的信号时) |
| 可伸缩性 | 最多三个接入点可以同时定位于有效使用范围中,以支持上百个用户同时进行语言和数据支持 |
| 安全性 | 内置式鉴定和加密 |
| 功能 | 优点 |
|---|---|
| 电源管理 | 802.11b网络接口卡可转到休眠模式,接入点将信息缓冲到客户,延长了笔记本电脑的电池寿命 |
| 漫游支持 | 当用户在楼房或公司部门之间移动时,允许在接入点之间进行无缝连接 |
| 加载平衡 | 802.11b NIC更改与之连接的接入点,以提高性能(如:在当前的接入点流量较拥挤,或发出低质量的信号时) |
| 可伸缩性 | 最多三个接入点可以同时定位于有效使用范围中,以支持上百个用户同时进行语言和数据支持 |
| 安全性 | 内置式鉴定和加密 |
IEEE802.11b的基本运作模式(08上、09上、10上、11上、13上)
802.11b运作模式基本分为两种:点对点模式和基本模式。
点对点模式是指无线网卡和无线网卡之间的通信方式。只要PC插上无线网卡即可与另一具有无线网卡的PC连接,对于小型的无线网络来说,是一种方便的连接方式,最多可连接256台PC。
基本模式是指无线网络规模扩充或无线和有线网络并存时的通信方式,这是802.11b最常用的方式。此时,插上无线网卡的PC需要由接入点与另一台PC连接。接入点负责频段管理及漫游等指挥工作,一个接入点最多可连接1024台PC(无线网卡)。当无线网络节点扩增时,网络存取速度会随着范围扩大和节点的增加而变慢,此时添加接入点可以有效控制和管理频宽与频段。无线网络需要与有线网络互连,或无线网络节点需要连接和存取有线网的资源和服务器时,接入点可以作为无线网和有线网之间的桥梁。
常用的无线局域网设备
1.无线网卡
无线网卡在无线局域网中的作用相当于有线网卡在有线局域网中的作用。两台计算机只要各自插上无线网卡,就可以实现通信。
2.无线接入点
无线接入点也称为无线AP,它是在无线局域网环境中,进行数据发送和接收的集中设备,它的作用相当于有线网络中的集线器。通常,一个AP能够连接30台左右的无线网络终端或者其他的无线AP。
3.天线
天线的功能是使无线信号有较大的信噪比,以提高数据传输的稳定性和可靠性,一般都要将AP连接上天线上。一般分为室内天线和室外天线。
4.无线网桥、路由器及网关
无线网桥主要用于连接几个不同的网段,实现较远距离的无线数据通信。无线路由器和无线网关是具有路由功能的AP,一般情况下它具有NAT功能,因此可以用它建立一个更小的无线局域网。
无线接入点的安装与调试
Aironet 1100系列接入点概述
Cisco公司的Aironet 1100系列接入点是一款无线局域网收发器,主要用于独立无线网络的中心点或无线网络和有线网络之间的连接点。它兼容IEEE 802.11b和IEEE 802.11g,工作在2.4GHz频率段。使用IOS操作系统。
将接入点接入网络
-
安装和配置AP之前,先向网络管理员询问以下信息:
系统名
无线网络中对大小写敏感的服务集标识符(SSID)
如果没有连接到DHCP服务器,则需要为接入点指定一个唯一的IP地址。
如果接入点与PC不在同一个子网内,则需要子网掩码和默认网关
简单网络管理协议(SNMP)集合名称以及SNMP文件属性(如果使用SNMP) -
可以用线内供电连接以太网和使用本地电源。
-
第一次配置无线接入点,一般采用本地配置方式,即无需将无线接入点连接到一个有线的网络中。它的默认IP地址是10.0.0.1,并成为小型的DHCP服务器。可以为下列设备分配20个10.0.0.x范围的IP地址:
连接在接入点以太网端口上的PC机。
没有配置SSID或SSID配置为tsunami,并且关闭所有安全配置的无线设备。
使用五类以太网电缆连接PC机和无线接入点
给无线接入点加电
确认PC获得了10.0.0.x网段的地址
打开浏览器,在浏览器的地址栏输入10.0.0.1,按回车键
按Tab键越过用户名字段,输入大小写敏感的密码Cisco,然后确认。 点击“Express Setup”进入快速配置页面,在各输入框中填入相关的配置信息。
使用五类以太网电缆连接PC机和无线接入点
给无线接入点加电
确认PC获得了10.0.0.x网段的地址
打开浏览器,在浏览器的地址栏输入10.0.0.1,按回车键
按Tab键越过用户名字段,输入大小写敏感的密码Cisco,然后确认。 点击“Express Setup”进入快速配置页面,在各输入框中填入相关的配置信息。
计算机网络信息服务系统的安装与配置
DNS
当DNS客户机提出查询请求时,首先查询本地缓存中查找。如果没有符合条件的记录,则产生一个查询请求发给本地DNS服务器。本地DNS服务器,当本地DNS服务器接到查询后,首先在该服务器管理的区域的资源记录中查找,如果找到该记录,则将解析结果返回DNS客户机;如果没有满足查询请求的记录,服务器在本地的缓存中查找;如果找到相应记录,则结果过程结束,否则按系统设置将查询请求发送到其他DNS服务器查询;客户机如果在规定的时间内未收到查询响应,会尝试其他的DNS服务器或再次查询。
DNS服务器配置的主要参数
1.正向查找区域(10上)
域名->IP地址;(A)资源记录
2.反向查找区域
IP地址->域名;添加(A)资源记录时,使用“添加PTR记录”自动添加到反向查找区域
3.地址资源记录
一组结构化的记录,包括(A)、MX、CNAME
4.转发器(11上、11下)
本地DNS服务器用于将外部DNS名称的DNS查询转发给该DNS服务器
DNS相关知识点汇总:
1.DNS服务器的基本配置包括正向查找区域、反向查找区域与资源纪录的创建。(P220-221)10下考题
2.转发器是网络上的DNS服务器,用于外部域名的DNS查询。 (P221) 11上、11下考题
3.DNS服务器本机的IP必须静态配置。(P226)09上考题
4.允许客户机在发生更改时动态更新其资源记录,对于频繁改变位置并使用DHCP 获取IP 地址的 DNS客户端,为减少对其资源记录的手动管理。 (P227-228)13上考题
DNS相关知识点汇总:
5.主机资源记录的生存时间(TTL)指记录被客户端查询到,存放在缓存中的持续时间,默认值是3600秒。(P231)10上、12下考题
6.DNS服务器中的根DNS服务器不需管理员手工配置。(P232)08下、09下考题
7.通过DNS服务器监视对话框可以对DNS服务器进行简单测试与递归查询测试(P233了解)
8.使用nslookup命令可以测试正向和反向查找区域(P234)08上考题
9.清空DNS缓存(DNS cache)的是ipconfig/flushdns 13上考题
10.缺省情况下Windows 2003系统没有安装DNS服务.
DHCP
dhcp配置信息
1.作用域:作用域是一个网络中的所有可分配的 IP 地址的连续范围。作用域主要用来定义网络中单一的物理子网的 IP 地址范围。
2.排除范围:排除范围是不用于分配的 IP 地址序列。它保证在这个序列中的 IP 地址不会被 DHCP 服务器分配给客户机。
3.地址池:在用户定义了 DHCP 范围及排除范围后,剩余的地址形成了一个地址池,地址池中的地址可以动态的分配给网络中的客户机使用
4.租约:租约是 DHCP 服务器指定的时间长度,在这个时间范围内客户机可以使用所获得的 IP 地址。当客户机获得 IP 地址时租约被激活。在租约到期前客户机常常需要向服务器更新 IP 地址的租约。(自动更新11下)
5.保留地址:用户可以利用保留地址创建一个永久的地址租约。保留地址保证子网中的指定硬件设备始终使用同一个 IP 地址。可以使用作用域的任何地址,包括排除范围内的地址。(11上)
6.选项类型:选项类型是 DHCP 服务器给 DHCP 工作站分配服务租约时分配的其它客户配置参数。经常使用的 选项包括:默认网关的 IP 地址(路由器), WINS 服务器, 及 DNS 服务器的IP地址。
dhcp知识点
1.DHCP工作原理(四次交互)。P221 08下考题
2.添加排除时必须输入起始IP地址和结束IP地址。(不需MAC地址)P236-237 09上、09下、10下、12上考题
3.新建作用域后必须激活才可为客户机分配地址。P237
4.地址租约期限决定客户机使用所获得IP地址的时间长短,最小可调整单位是分钟,客户端自动续约。11下考题
5.保留是指DHCP服务器指派的永久地址租约,添加保留地址时需获得客户机的MAC地址信息。可以使用排除地址范围。 P222,P23910上考题
6.DHCP中继。12下考题
7.ipconfig /all 、ipconfig/release、 ipconfig /renew命令。P24013上考题
www
5.保留是指DHCP服务器指派的永久地址租约,添加保留地址时需获得客户机的MAC地址信息。可以使用排除地址范围。 P222,P23910上考题
6.DHCP中继。12下考题
7.ipconfig /all 、ipconfig/release、 ipconfig /renew命令。P24013上考题
建立Web站点时要对每一个站点指定一个目录。也可以是一个虚拟目录。(必须设置主目录11下)
4.选择“文档”选项卡,来设置默认的网站文档。比如设置“index.html”,则浏览器访问网站时能自动打开“index.html”网页;这里设置为“index.html”,点击【添加(D)】
FTP
文件传送协议(FTP)允许用户从服务器上获取文件副本并下载到本地计算机上,或将本地计算机上的一个文件上传到服务器。
不需要用户登录就能自由下载文件的FTP服务成为匿名FTP服务。
FTP的传输层使用TCP协议,服务器端提供的端口号21用于数据连接,端口号20用于数据传送。
ftp服务器配置参数
1.域:FTP可建立多个虚拟服务器,每个虚拟服务器成为域,一个域是由IP地址和端口号唯一识别的。 (12上考题)
2.匿名用户:对名为anonymous的用户自动识别为匿名用户,不设置密码。
3.命名用户:创建时设置密码,此类用户一般提供更多的访问权限。
4.组:用户组就是将多个命名用户组织在一起,它们拥有相同的权限,这些权限只需在组的选项中设置即可。
完整的电子邮件地址(例如,[email protected])由两部分构成,第一部分为信箱名(user1),第二部分为邮件服务器的域名(mail.abc.com)中间用@隔开。发送方的邮件服务器在发送邮件时根据第二部分来确定要连接的接收方邮件服务器;接收邮件服务器软件则使用信箱名来选择对应的邮箱将收到的邮件存储起来。
电子邮件系统使用的协议主要有:SMTP,用于发送电子邮件,默认的TCP端口为25;POP3,默认的TCP端口为110;IMAP4,默认的TCP端口为143。用户访问并读取邮件服务器上的邮件使用POP3或IMAP4协议。
E-mail工作流程
客户使用客户端软件创建新的邮件。
客户端软件使用SMTP协议将该邮件发送到发送方的邮件服务器。
发送方的邮件服务器将邮件使用SMTP协议发送到接收方的邮件服务器,接收方的邮件服务器将收到的邮件存储在接收方用户的邮箱中。
接收方的客户通过POP3/IMAP4协议使用客户端软件对邮件进行读取。
网络安全技术
Windows 2003 server备份工具
③差异备份:从上次的正常备份或增量备份后,创建或修改的差异备份副本文件,备份后不标记为已备份文件。
④增量备份:只备份上一次正常备份或增量备份后创建或改变的文件。备份后标记。
⑤正常备份:复制所有选中文件,并且备份后标记每个文件。
加密算法与解密算法
非对称加密技术中N个用户之间进行通信加密,仅需要n对密钥就可以了。
防病毒技术
恶意代码
1.蠕虫
蠕虫是是一个自我包含的程序,它能够传播自身的功能或拷贝自身的片段到其他计算机系统(通常是通过网络连接)。
2.木马(10上)
“木马”通常寄生在用户计算机系统中,盗用用户信息,并通过网络发送给黑客。与病毒不同之处在于没有自我复制功能。
传播途径:电子邮件、软件下载、会话软件。
网络版放病毒系统安装
对于大多数的网络版的防病毒系统,服务器端和客户端通常可以采用本地安装、远程安装、Web安装、脚本安装等方式进行安装。
网络版防病毒系统的主要参数配置
1.系统升级
从网站升级、从上级中心升级、从网站上下载 手动数据包。
2.扫描设置
3.黑白名单设置
4.端口设置
为了使网络版防病毒软件的通信数据能顺利的通过防火墙,通常系统都会提供用于数据通信端口设置的界面。(非固定端口)
防火墙技术
火墙在网络之间通过执行控制策略来保护网络系统,防火墙包括硬件和软件两部分。防火墙根据其实现技术可以分为:包过滤路由器、应用网关、应用代理和状态检测4类。
基本配置方法(以cisco PIX525为例)必考
1.访问模式
①非特权模式。 PIX防火墙开机自检后,就是处于这种模式。系统显示为 pixfirewall>
②特权模式。 输入enable进入特权模式,可以改变当前配置。显示为 pixfirewall#
③配置模式。 输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为 pixfirewall(config)#
④监视模式。 PIX防火墙在开机或重启过程中,按住Escape键或发送一个“Break”字符,进入监视模式。这里可以更新操作系统映象和口令恢复。显示为 monitor>
基本配置命令
①nameif:配置防火墙接口的名字,并指定安全级别
②interface:配置以太口参数
③ip address:配置内外网卡的IP地址
④nat:指定要进行转换的内部地址
⑤Global
指定一个外网的ip地址或一段地址范围。Global命令的配置语法:
⑥route:设置指向内网和外网的静态路由
⑦static:(09上)掌握概念与作用
配置静态NAT,如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。语法:
static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address
⑧Conduit(管道命令)(11上)掌握概念与作用
使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA.阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。
⑨fixup(10上)掌握概念与作用
fixup命令作用是启用、禁止、改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。
Pix525(config)#fixup protocol ftp 21
//启用ftp协议,并指定ftp的端口号为21
Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080
//为http协议指定80和1080两个端口。
Pix525(config)#no fixup protocol smtp 80
//禁用smtp协议。
入侵检测技术
入侵检测系统分类(10上)
按照检测的数据来源,入侵检测系统可以分为:基于主机的入侵检测系统(系统日志和应用程序日志为数据来源)和基于网络的入侵检测系统(网卡设置为混杂模式,原始的数据帧是其数据来源)。
五、分布式入侵检测系统(09下)
分布式入侵检测系统的三种类型为层次型(存在单点失效)、协作型(存在单点失效)和对等型(无单点失效)。
入侵防护系统(IPS)
1.入侵防护系统的基本概念
入侵防护系统(Intrusion Prevention System,IPS)整合了防火墙技术和入侵检测技术,采用In-Line工作模式。
2.入侵防护系统的基本结构
入侵防护系统是要包括:嗅探器、检测分析组件、策略执行组件、状态开关、日志系统和控制台6个部分。
入侵防护系统的基本分类 P302(08下、09下、10下、11上、12下、13上,应用题可能考1小题)
(1)基于主机的入侵防护系统(HIPS):安装在受保护的主机系统中,检测并阻拦正对本机的威胁和供给。
基于网络的入侵防护系统(NIPS):布置于网络出口处,一般串联与防火墙与路由器之间,网络进出的数据流都必须通过它,从而保护整个网络的安全。如果检测到一个恶意的数据包时,系统不但发出警报,还将采取响应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。NIPS对攻击的误报会导致合法的通信被阻断。
入侵防护系统的基本分类
(3)应用入侵防护系统(AIPS):一般部署于应用服务器前端,从而将基于主机的入侵防护系统功能延伸到服务器之前的高性能网络设备上,进而保证了应用服务器的安全性。防止的入侵包括cookie篡改、SQL注入等漏洞
网络入侵检测系统常用部署方法
TAP是一种容错方案,它提供全双工或半双工 10/100/1000M网段上观察数据流量的手段,其优点为:
TAP是容错的,如果发生电源故障,原先监控的网段上的通信部受影响。
TAP不会影响数据流
TAP阻止建立于入侵检测系统的直接连接,从而保护它不受攻击
网络安全评估分析技术
1.基于应用的技术(被动)
2.基于网络的技术(主动)
网络安全风险评估技术通常用来进行穿透实验和安全审计。
网络安全评估分析系统结构
通常采用控制台和代理相结合的结构。
1.数据备份与还原(各备份方式的空间占用、时间、恢复速度,是否标记)
2.加密技术(对称与非对称)
3.防火墙技术(PIX的基本配置)
4.考点4:入侵检测技术(IPS与IDS,重点是分类与部署)
5.计算机病毒防范(了解)
6.网络安全评估(了解)
网络管理技术
SNMP和CMIP的不同点
①SNMP有广泛的适用性,且在用于小规模设备时成本低、效率高,而CMIP更适用于大型网络。
②SNMP主要基于轮训方式获得信息,CMIP主要采用报告方式。
③SNMP基于UDP,CMIP使用面向连接的传输。
④CMIP采用面向对象的信息建模方式,SNMP用简单的变量表示管理对象。
互联网控制报文协议ICMP
ICMP工作在网络层,是一种管理协议,用于在IP主机、路由器之间传递控制消息和差错报告。
ICMP消息被封装在IP数据包内,通过IP包传送的ICMP信息主要是设计错误操作的报告和会送给源节点的关于IP数据包处理的消息。