网络工程师基础知识（2）

一、端口可以分为系统端口、登记端口、客户端使用端口。

(1) 系统端口。该端口的取值范围为[0,1023].

(2) 登记端口。登记端口是为没有熟知端口号的应用程序使用的，端口范围为[1024,49151]。这些端口必须在 IANA 登记以避免重复。

(3) 客户端使用端口。这类端口仅在客户进程运行时动态使用，使用完毕后进程会释放端口。该端口范围为[49152,65535]。

二、域名解析

        域名解析就是将域名解析为 IP 地址。域名解析的方法分为递归查询和选代查询。

(1) 递归查询。

        递归查询为最主要的域名查询方式。主机有域名解析的黑求时，首先查询本地域名服务器，如果成功，则由本地域名服务器反馈结果; 如果失败，则查询上一级域名服务器，然后由上一级域名服务器完成查询

(2) 迭代查询。

        当主机有域名解析的需求时，首先查询本地域名服务器，如果成功，则由本地域名服务器反馈结果:如果失败，本地域名服务器则直接向根域名服务器发起查询请求，由其给出一个顶级域名服务器的 IP 地址 A.A.A.A: 然后，本地域名服务器则直接向 A.A.A.A 顶级域名服务器发起查询请求，由其给出一个本地域名服务器 (或者权限服务器) 地址 B.B.B.B;如此迭代下去，直到得到结果 IP。

三、DHCP 的工作过程:

        (1) DHCP 客户端发送 IP 租用请求

        DHCP 客户机启动后发出一个 DHCPDISCOVER 广播消息，其封包的源地址为0.0.0.0，目标地址为 255.255.255.255。

        (2) DHCP 服务器提供 IP 租用服务。

        当 DHCP 服务器收到 DHCPDISCOVER 数据包后，通过 UDP 的67 号端口给客户机回应一个 DHCPOFFER 信息，其中包含一个还没有被分配的有效 IP 地址。

        (3) DHCP 客户端 IP 租用选择。

        客户机可能从不止一台 DHCP 服务器收到 DHCPOFFER 信息。客户机选择最先到达的 DHCPOFFER 并发送 DHCPREQUEST 消息包。

        (4) DHCP 客户端 IP 租用确认。

        DHCP 服务器向客户机发送一个确认 (DHCPACK) 信息，信息中包括 IP 地址、子网掩码、默认网关、DNS 服务器地址以及 IP 地址的租约(默认为 8 天)。 

四、FTP 协议有两种工作方式:主动式 (PORT) 和被动式(PASV)

        主动与被动是相对于服务器是否首先发起数据连接而言的。

(1) 主动式(PORT)

主动式 (PORT)的连接过程：

1)当需要传输数据时，客户端从一个任意的非系统端口 N(N>1024) 连接到 FTP服务器的 21 号端口(控制连接端口)。

2)客户端开始监听端口 N+1 并发送 FTP 命令“Port N+1”到 FTP 服务器

3) 服务器会从20 号数据端口向客户端指定的 N+1 号端口发送连接请求，并建立条数据链路来传送数据

(2) 被动式(PASV)

        在被动方式 FTP 中，命令连接和数据连接都由客户端发起，这样就可以解决从服各器到客户端的数据端口的入方向连接被客户端所在网络防火墙过滤掉的问题。被动式(PASV)的连接过程:

1)当需要传输数据时，客户端从一个任意的非系统端口 N(N>1024) 连接到 FTP51CT0学服务器的 21 号端口 (控制连接端口)

2) 客户端发送 PASV 命令，且服务器响应。

3) 服务器开启一个任意的非系统端口Y (Y>1024)4) 客户端从端口 N+1 连接到 FTP 服务器的Y号端口。 

五、安全等级保护

        网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

        等级保护中的安全等级划分，主要是根据受侵害的客体和对客体的侵害程度来划分的。

        等级保护工作可以分为五个阶段，分别是定级、备案、等级测评、安全整改、监督检查。

        其中，定级的流程可以分为五步，分别是确定定级对象、用户初步定级、组织专家评审、行业主管部门审核、公安机关备案审核。

        一般政府机关网站系统建议定级为 3 级,每年至少 1 年进行一次等保安全评测,网络日志保存 6 个月。

六、典型网络攻击形式

(1) SQL 注入。

        SQL 注入就是把 SQL 命令插入到 We 表单、域名输入栏或者页面请求的查询字符串中，最终达到欺骗服务器执行恶意的 SQL 命令。防护手段: 部署 WAF 防火墙,完善 web 系统代码如进行敏感词过，漏洞扫描发现及时封堵漏洞等

(2) 跨站攻击。

        跨站攻击 (Cross Site Script Execution，XSS): 恶意攻击者往 Web 页面里插入恶意 HTML 代码，当用户浏览该页时，嵌入到 Web 中的 HTML 代码会被执行，从而达到特殊目的。

        避免跨站攻击的方法有过滤特殊字符、限制输入字符的长度、限制用户上传 Flash文件、使用内容安全策略(CSP) 、增强安全意识等防范措施。 

七、数字签名的基本过程:

(1) A 使用“摘要”算法(如 SHA-1、MD5 等) 对发送信息进行摘要

(2) 使用 A 的私钥对消息摘要进行加密运算，将加密摘要和原文一并发给 B。

验证签名的基本过程：

1) B 接收到加密摘要和原文后，使用和 A一样的“摘要”算法对原文再次摘要生成新摘要；
2) 使用 A 公钥对加密摘要解密，还原成原摘要；
3) 两个摘要对比，一致则说明由 A 发出且没有经过任何算改。

        由此可见，数字签名功能有信息身份认证、信息完整性检查、信息发送不可否认性，但不提供原文信息加密，不能保证对方能收到消息，也不对接收方身份进行验证。 

八、 常见的 RAID 级别

(1) RAIDO

        无容错设计的条带磁盘阵列。数据并不是保存在一个硬盘上，而是分成数据块保存在不同驱动器上。因为将数据分布在不同驱动器上，所以数据吞吐率大大提高。如果是n块硬盘，则读取相同数据时间减少为 1/n。由于不具备余技术，如果块盘坏了，则阵列数据全部丢失。实现 RAIDO 至少需要 2 块硬盘。

(2) RAID1

        磁盘镜像，可并行读数据，由于在不同的两块磁盘写入相同数据，写入数据比RAIDO 慢点。安全性最好，但空间利用率为 50%，利用率最低。实现 RAID1 至少需要 2 块硬盘。

(3) RAID2

        使用了海明码校验和纠错。将数据条块化分布于不同硬盘上，现在几乎不再使用。
        实现 RAID2 至少需要 2 块硬盘。

(4) RAID3

        使用单独的一块校验盘进行奇偶校验。磁盘利用率=(n-1)/n，其中 n 为 RAID3 中的磁盘总数。实现 RAID3 至少需要 3 块硬盘。

(5) RAID5

        具有独立的数据磁盘和分布校验块的磁盘阵列，无专门的校验盘。RAID5 常用于I/0 较频繁的事务处理上。RAID5 可以为系统提供数据安全保障，虽然可靠性比RAID1 低，但是磁盘空间利用率要比 RAID1 高。RAID5 具有和 RAIDO 近似的数据读取速度，只是多了一个奇偶校验信息，写入数据的速度比对单个磁盘进行写入操作的速度稍慢。磁盘利用率=(n-1)/n,其中n为RAID5中的磁盘总数。实现RAID5至少需要 3 块硬盘。

(6) RAID6

        具有独立的数据硬盘与两个独立的分布校验方案，即存储两套奇偶校验码。因此安全性更高，但构造更复杂。磁盘利用率=(n-2)/n，其中n为 RAID6 中的磁盘总数。实现 RAID6 至少需要 4 块硬盘。

(7) RAID10

        高可靠性与高性能的组合。RAID10 是建立在 RAIDO 和 RAID1 基础上的，即先做镜像然后做条带化，这样既利用了 RAIDO 极高的读写效率，又利用了 RAID1 的高可靠性。磁盘利用率为 50%。实现 RAID10 至少需要 4 块硬盘。

 九、逻辑网络设计：分层化网络设计模型

分层化网络设计模型

        分层化网络设计模型可以帮助设计者按层次设计网络结构，并对不同层次赋予特定的功能，为不同层次选择正确的设备和系统。三层网络模型是最常见的分层化网络设计模型，通常划分为接入层、汇聚层和核心层。

(1) 接入层

        网络中直接面向用户连接或访问网络的部分称为接入层，接入层的作用是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。接入层的其他功能有用户接入与认证、二三层交换、QoS、MAC 地址过滤

(2) 汇聚层

        位于接入层和核心层之间的部分称为汇聚层，汇聚层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信流量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较需要更高的性能、更少的接口和更高的交换速率。汇聚层的其他功能有访问列表控制、VLAN 间的路由选择执行、分组过滤、组播管理、QoS、负载均衡、快速收敛等。

 (3) 核心层

        核心层的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络核心层将数据分组从一个区域高速地转发到另一个区域，快速转发和收敛是其主要功能。网络的控制功能最好尽量少地在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计及网络设备的要求十分严格。

十、 交换机的连接主要有三种方式，级联方式、堆叠方式和集群方式

        级联方式最简单，使用普通的双绞线连接交换机的普通接口即可，节约成本而且基本不受距离的限制。缺点是级连接口之间的带宽会限制交换机之间的速度。

        堆叠方式必须使用专用的堆叠电缆和堆叠接口连接，堆叠电缆只能在很短的距离内连接。成本较高，但是各个端口的带宽都是共享的交换机背板带宽，因此端口之间不存在带宽受限的问题。且通过堆叠方式，可以集中管理多台交换机，可以减少管理工作量。通常用于提高交换机端口密度。

        集群连接方式，就是将多台互相连接(级联或堆叠) 的交换机作为一台逻辑设备进行管理。集群中，一般只有一台起管理作用的交换机，称为命令交换机，它可以管理若干台其它交换机。在网络中，这些交换机只需要命令交换机占用一个 IP地址即可。