NCRE全国计算机三级网络技术
1 考试模板
1.1 选择题
1-4(第一章)
5-7(第二章)
8-11(第三章)
12-14(第四章)
15-16(第五章)
17-20(第六章)
21-24(第七章)
25-27(第八章)
28-32(第九章)
33-34(第十章)
35-40(第十一章)
1111 1111 255
1111 1110 254
1111 1101 253
1111 0000 240
1110 0000 224
1010 0000 160
1001 1111 159
0011 1110 62
1.2 综合题
1.2.1 
A类地址段是1.0.0.0~127.255.255.255,B类地址段是 128.0.0.0~191.255.255.255,C类地址段是 192.0.0.0~223.255.255.255
1.2.2
1.2.3 DHCP协议工作流程(报文分析)
ipconfig/all命令可以查看客户机client获得的地址租约及其他配置信息情况
ipconfig/release命令可以释放已获得的地址租约
ipconfig/renew命令可以重新从DHCP服务器获得新的地址租约
DHCP发现 (DHCP discover)
DHCP供给 (DHCP offer)
DHCP请求 (DHCP request)
DHCP确认 (DHCP ack)
DHCP回复 (DHCP reply)
Boot record type:引导记录类型
Message type:消息类型
Relay Agent(中继代理)
Requested IP Address = 请求IP地址通常为客户端地址
1.2.3.1 做题知识点
DHCP服务器的“DHCP确认”消息采用广播方式发送,DHCP的广播方式采用的是UDP连接。(第七套)
由捕获的报文分析可知,HOPS的值为0,说明没有中,并且DHCP 服务器的“DHCP 确认”消息是广播的,所以应答地址为0.0.0.0。(第七套)
1.2.4 Sniffer抓包分析
Sniffer的网络监听模块提供的主要功能包括:
Dashboard:实时显示网络的数据传输率、宽带利用率和出错率,并可以提供各种统计数据的图形化显示。
Host Table:以表格或图形方式显示网络中各节点的数据传输情况。
Matrix: 实时显示网络冬节点的连接信息,并提供统计功能。
Protocol Distribution: 统计网络流量中各和协议和应用的分布情况,统计信息可以通过表格或图形方式显示。
Application Response Time: 实时监测客户端与服务器的应用连接响应时间。当发现响应超时,就会发出报警。
1.2.4.1 DNS域名解析
DNS服务器的IP地址
功能:DNS,服务的默认端口是53.
主机的IP地址是:
解析的域名:
1.2.4.2 TCP连接过程(三次握手)
第一次握手:初始序列号:seq=x SYN=1
第二次握手:初始序列号(Initial sequence number):seq=y,确认号:ack=x+1
第三次握手:序列号(Next expected Seq number):seq=x+1,确认号(Acknowledment number):ack=y+1
1.2.4.3 FTP命令
1.2.4.4 ping命令
功能:通过发送ICMP报文,监听回应报文,从而检查与远程或本地计算机的连接主要测试一个给定的目的是否可达。默认发送4个ICMP报文,每个报文包含64字节数据
ping命令使用格式: ping -t -a -n count -l size
-t代表让用户所在的主机不断向目标主机发送数据
-a代表以IP地址格式来显示目标主机的网络地址
n count代表指定要ping多少次具体次数由后面的count来指定
-l size代表指定发送到目标主机的数据包的大小。
Eco(ping)
1.2.4.5 tracert 命令
功能:通过发送包含不同TTL的ICMP报文并监听回应报文来检测到达目的计算机的路径,主要是跟踪通往给定目的地的路由器列表
Time-to-live
1.2.4.6 
例题
1.3 
应用题
1.3.1 填表部分
3,4部分,有3个IP地址,所以分配的IP地址肯定需要2”-2>=3,如果IP地址已经分配了端口号,那么需要另取位数才不会引起端口号的冲突。1.2.5.6所使用的方法一样。
1.3.2 填空部分
考点内容: 聚合IP地址简化路由表项,根据实现功能在网络接入相应设备划分(IPS,TAP,HUG),实现功能所执行命令(nat和global,static,netflow,fixup)
高级配置命令
网络入侵检测系统
1.3.3 划分子网部分
| X.X.X.P+1 | X.X.X.P+2ⁿ-2(设为q) | |
| X.X.X.q+3 | q+2ⁿ-2(设为k) | |
| X.X.X.k+3 | k+2ⁿ-2 |
2 其他
- 网络系统分层设计的另一个好处是可以方便地分配和规划带宽,有利于均衡负荷,提高网络效率。根据实际经验总结:层次之间的上联带宽与下一级带宽之比一般控制在1:20。(第二章)
- IPv6不支持子网掩码,它只支持前缀长度表示法。(第三章)
- 相同的目的网络,短的路径加一跳后小于原来长的路径,则更新路由表。(第四章路由表更新)
3 第一章
3.1 宽带城域网技术
1.宽带城域网保证服务质量QoS要求的技术有:资源预留(RSVP)、区分服务(DiffServ)与多协议标记交换(MPLS)。网络服务质量表现在延时、抖动、吞吐量与丢包率。
2.宽带城域网以TCP/IP路由协议为基础。能够为用户提供带宽保证,实现流量工程。
3.可以利用NAT技术解决IP地址资源不足的问题。
4.利用传统的电信网络进行网络管理称为“带内”,而利用IP网络及协议进行网络管理的则称为“带外”。对汇聚层及其以上设备采取带外管理,而对汇聚层以下采用带内管理。
5.宽带城域网带外网络管理是指利用网络管理协议SNMP建立网络管理系统。
6.网络业务包括Internet接入业务、内容提供业务、视频与多媒体业务、数据专线业务、语音业务等。
7.设计一个宽带城域网将涉及“三个平台一个出口”,即网络平台、业务平台、管理平台和城市宽带出口
8.核心交换层的基本功能:
①核心交换层将多个汇聚层连接起来,为汇聚层的网络提供高速分组转发,为整个城市提供一个高速、安全与具有QoS保障能力的数据传输环境。
②核心交换层实现与主干网络的互联,提供城市的宽带IP出口。
③核心交换层提供宽带城域网的用户访问Internet所需要的路由访问。
9.汇聚层的基本功能是:
①汇接接入层的用户流量,进行数据分组传输的汇聚、转发与交换;
②根据接入层的用户流量,进行本地路由、过滤、流量均衡、QoS优先级管
理, 以及安全控制、IP地址转换、流量整行等处理。
③根据处理结果把用户流量转发到核心交换层或在本地进行路由处理。
3.2 光以太网技术特征
- 光以太网设备与线路符合电信网络99.999%的高运行可靠性
- 能够根据终端用户的实际应用需求分配带宽
- 具有保护用户和网络资源安全的认证与授权功能
- 支持MPLS(多协议标签交换)
- 提供分等级的QoS网络服务
- 提供计费功能
- 能够方便、快速、灵活地适应用户和业务的扩展
- 支持VPN和防火墙
- 光以太网技术不是以信元为单位传输数据,ATM网络才是
3.3 各种接入技术
- 光纤传输系统的中继距离可达100km以上。
2. Cable Modem(电缆调制解调器)利用频分复用(FDM)的方法将信道分为上行信道和下行信道,把用户计算机与有线电视同轴电缆连接起来。Cable Modem的传输速率可以达到10~36Mbps。
3. ADSL使用一对铜双绞线,具有非对称技术特性。
4. 宽带接入技术主要有:数字用户线xDSL技术、光纤同轴电缆混合网HFC技术(双向传输系统)、光纤接入技术、无线接入技术与局域网接入技术。(没有SDH)
5. 无线接入技术主要有:WLAN、WiMAX、WiFi、WMAN和Ad hoc。(没有APON、EPON、SDH等)
6. APON、DWDM、EPON是光纤接入技术。
7. “三网融合”中的三网是指计算机网络、电信通信网和广播电视网。
8. HFC接入方式采用共享式的传输方式HFC网上的用户越多,每个用户实际可用的带宽就越窄。(非独享)
9. 按IEEE 802.16标准建立的无线网络,基站之间采用全双工、宽带通信方式工作。
10. 将传输速率提高到54Mbps的是802.11a和802.11g,802.11b将传输速度提高到11Mbps。
11. 远距离无线宽带接入网采用802.16标准。IEEE 802.15标准专门从事WPAN(无线个人局域网)标准化工作,是适用于短程无线通信的标准。
3.3.1 xDSL
| XDSL | 上/下行速率(距离 5.5km) | 上/下行速率(距离3.6km) | 是否对称 | 线对数 |
|---|---|---|---|---|
| ADSL | 64kbit/s /1.5Mbit/s | 640kbit/s /6Mbit/s | 否 | 1 |
| HDSL | 1.544Mbit/s | 1.544Mbit/s | 是 | 2 |
| VDSL | 2.3Mbit/s/ 51Mbit/s | 2.3Mbit/s/ 51Mbit/s | 否 | 2 |
| RADSL | 64kbit/s/ 1.5Mbit/s | 640kbit/s /6Mbit/s | 否 | 1 |
ADSL 的技术特点上行速率在64 ~640kbit/s,下行速率在 500kbit/s ~7Mbit/s(?)。用户可以根据需要自行选择。
3.4 RPR(弹性分组环)
- RPR与FDDI一样使用双环结构。
2. RPR环中每一个节点都执行SRP公平算法(不是DPT、MPLS)。
3. 传统的FDDI环,当源结点向目的节点成功发送一个数据帧之后,这个数据帧由源结点从环中回收。但RPR环,这个数据帧由目的结点从环中回收。
4. RPR环限制数据帧只在源节点和目的节点之间的光纤段上传输。
5. RPR采用自愈环设计思路,能在50ms(不是30ms)时间内隔离故障结点和光纤段。
6. RPR可以对不同的业务数据分配不同的优先级,是一种用于直接在光纤上高效传输IP分组的传输技术。
7. 两个RPR结点间的裸光纤最大长度可达100公里。
8. RPR的外环(顺时针)和内环(逆时针)都可以用统计复用的方法传输分组和控制分组(不是频分复用)。
4 第二章
4.1 服务器技术
- 热插拔功能允许用户在不切断电源的情况下更换硬盘、板卡、电源、内存等(不能更换主板、主背板)。
2. 集群技术中,如果一台主机出现故障,不会影响正常服务,但会影响系统性能。
3. 磁盘性能表现在储存容量和I/O速度。
4. 服务器总体性能取决于CPU数量、CPU主频、系统内存、网络速度(只写CPU数量错)。
5. RAID技术可以提磁盘存储容量但是不能提高容错能力。
6. 采用RISC结构处理器的服务器通常使用UNIX系统(不是Windows、Android)。
7. 分布式内存访问(NUMA)技术将对称多处理器(SMP)和集群(Cluster)技术结合起来。
8. 对称多处理技术可以在多CPU结构的服务器中均衡负载。
9. 通常用平均无故障时间(MTBF)来度量系统的可靠性,用平均维修时间(MTBR)来度量系统的可维护性,系统的可用性定义为:可用性=MTBF/(MTBF+MTBR),路由器的可用性可用MTBF描述。
10.为了提高网络服务器的性能,各种服务器都在设计中采用了不同的技术,主要有对称多处理(SMP)技术、集群(Cluster)技术、非一致内存访问(NUMA)技术、高性能存储与智能I0技术、服务处理器与Internet服务器控制(ISC)技术、应急管理端口(EMP)技术和热拔插技术。
11.一年为525600分钟
4.2 路由器技术
- 路由器的包转发能力与端口数量、端口速率、包长度和包类型有关。(没有端口类型)
2. 丢包率是衡量路由器超负荷工作时的性能指标之一。(路由表容量不是)
3. 吞吐量是指路由器的包转发能力,包括端口吞吐量与整机吞吐量。背板能力决定路由器吞吐量。(不是吞吐量决定了路由器的背板能力)
4. 传统路由器一般采用共享背板的结构,高性能路由器一般采用交换式的结构。
5. 突发处理能力是以最小帧间隔发送数据包而不引起丢失的最大发送速率来衡量的,不单单是以最小帧间隔值来衡量的。
6. 语音视频业务对延时抖动要求较高。
7. 路由器的服务质量主要表现在队列管理机制、端口硬件队列管理和支持的QoS协议类型上。(不是包转发效率)
8. 路由器通过路由表来决定包转发路径。
9. 路由器的队列管理机制是指路由器的队列调度算法和拥塞管理机制。
10.高端路由器的可靠性与可用性指标的描述:无故障连续工作时间大于10万个小时。系统故障恢复时间小于30分钟。系统具有自动保护切换功能,主备切换时间小于50毫秒。SDH和ATM接口具有自动保护切换功能,切换时间小于50毫秒。
11.路由器的性能指标主要包括吞吐量、背板能力、丢包率、时延与时延抖动、突发处理能力、路由表容量、服务质量、网管能力、可靠性和可用性,(没有最大可堆叠数)
5 第三章
6 
第四章
6.1 BGP
- BGP是边界网关协议,是外部而不是内部网关协议(是不同自治系统(AS)的路由器之间使用的协议)。
2. 一个BGP发言人使用TCP(不是UDP)与其他自治系统的BGP发言人交换路由信息。
3. BGP协议交换路由信息的节点数是以自治系统数为单位的,BGP交换路由信息的节点数不小于自治系统数。
4. BGP采用路由向量协议,而RIP采用距离向量协议。
5. BGP发言人通过update而不是notification分组通知相邻系统,使用update分组更新路由时,一个报文只能增加一条路由。
6. open分组用来与相邻的另一个BGP发言人建立关系;两个BGP发言人需要周期性地(不是不定期)交换keepalive分组来确认双方的相邻关系。
7. BGP路由选择协议执行中使用的四个分组为打开(open)、更新(update)、**保活(keepalive)和通知(notification)**分组。
6.2 OSPF
- OSPF是内部网关协议的一种,采用最短路径算法,使用分布式链路状态协议。
2. 对于规模很大的网络,OSPF通过划分区域来提高路由更新收敛速度。路由信息在同一个区域内传播,区域边界路由器负责接受从其他区域来的信息。每个区域有一个32位的区域标识符,区域内路由器不超过200个。
3. 一个OSPF区域内每个路由器的链路状态数据库包含着本区域(不是全网)的拓扑结构信息,不知道其他区域的网络拓扑。
4. 链路状态“度量”主要指费用、距离、延时、带宽等,没有路径。
5. 当链路状态发生变化时用洪泛法向所有(不是相邻)路由器发送此信息。
6. 链路状态数据库中保存的是全网的拓扑结构图,而非一个完整的路由表,也不是只保存下一跳路由器的数据。
7. 为确保链路状态数据库一致,OSPF每隔一段时间(不确定)刷新一次数据库中的链路状态
8.区域用数字标识(ID),区域ID是一个32位无符号数值。ID可以用十进制整数和点分十进制数表示形式。
OSPF可适用于多路径互联网环境
OSPF可适用于大规模互联网环境
OSPF可适用于动态互联网环境
6.3 RIP
路由信息协议(RIP)是内部网关协议中使用最广泛的一种协议,它是一种分布式、基于距离向量的路由选择协议,其特点是协议简单。它要求路由器周期性地向外发送路由刷新报文。路由刷新报文主要内容是由若干个(V,D)组成的表。其中,V代表矢量,标识该路由器可以到达的目标网络(或目的主机),D代表距离,指出该路由器到达目标网络(或目标主机)的距离。距离D对应该路由器上的跳数。其他路由器在接收到某个路由器的(V,D)报文后,按照最短路径原则对各自的路由表进行刷新。
RIP规定,一条有限的路径长度不得超过15,超过15则意味路径为无限长,即路径不存在。
执行RIP协议路由器在接收到更新报文后按照最短路径原则更新路由表
OSPF和RIP协议都采用了“最短路径优先”的指导思想
RIP定时更新路由,默认每隔30秒钟更新一次
RIP路由配置模式下,用"passive-interface"命令可配置被动接口
RIP限制的最大路由器跳数是15,如果超过15,则意味着路径不可到达
RIP缺省的管理距离值是120,在路由配置模式下可用distance命令重新设置该值
为了解决慢收敛问题,RIP协议采用限制路径最大“距离”对策、水平分割对策、保持对策、带触发刷新的毒性逆转对策。
RIP可适用于动态互联网环境
RIP可适用于多路径互联网环境
7 第五章
7.1 综合布线系统PDS
- 双绞线可以避免电磁干扰。
2. 嵌入式插座用来连接双绞线(5类)。(不是连接楼层配线架)
3. 多介质插座用来连接铜缆和光纤(写其他的错),满足用户“光纤到桌面”的需求。
4. 建筑群子系统可以是多种布线方式的任意组合(“一般用双绞线连接”错)。
5. STP(屏蔽双绞线)比UTP(非屏蔽双绞线)成本高、复杂,但抗干扰能力强、辐射小。
6. 作为水平布线系统电缆时,UTP电缆长度通常应该在90米以内。
7. 管理子系统设置在楼层配线间内,提供与其他子系统连接的手段。
8. 对于高速率终端可采用光纤直接到桌面的方案。
9. 适配置是用于连接不同信号的数模转换或数据速率转换装置。
10. 在建筑群布线子系统所采用的铺设方式中,能够对线缆保护最有利的方式是地下管道布线(管道内布线),较好的是巷道布线,最不利的是直埋布线。
11. ISO/IEC18011不是综合布线系统的标准。
12. 综合布线采用在管理子系统中更改、增加、交换、扩展线缆的方式来改变线缆路由。
13. 干线线缆铺设经常采用点对点结合和分支结合两种方式。
14.PDS工程的设备配置是指各种配线架、布线子系统、传输介质和信息插座等的配置
15.当在单一信息插座上进行两项服务时,宜采用Y形适配置
16.综合布线系统的网络拓扑结构是由各种网络单元组成的,并按照技术性能要求和经济合理原则进行组合和配置。组合配置包括组合逻辑和配置形式。(组合逻辑描述网络功能的体系结构;配置形式描述网络单元的邻接关系,)即说明交换中心(或节点)和传输链路的连接情况。
17.综合布线系统标准有:TR41.8.1工作组于1995年发布的ANSITIA/EIA68-A,定义了语音与数据通讯布线系统:TIA/EIA-568-B.1、TIA/EIA-568-B2和TIAEIA-568-B3是ANSI/TIA/EIA568之后的三个版本。GB/T50311-2000和GB/T50312-2000是我国制定的综合布线系统工程的国家标准。
7.2 集线器(HUG)
- 工作在物理层,连接到一个集线器的所有结点共享/属于(不是独立)一个冲突域。
2. 每次只有一个结点能够发送数据,而其他的结点都处于接收数据的状态(多个节点可以同时接受数据帧)。连接到集线器的节点发送数据时,该节点将执行CSMA/CD(不是CA)介质访问控制方法。
3. 在网络链路中串接一个集线器可以监听该链路中的数据包。
4. 集线器不是基于MAC地址/网卡地址/IP地址完成数据转发(基于MAC地址的是网桥或交换机等),而是信源结点利用一对发送线将数据通过集线器内部的总线广播出去。
5. 集线器使用双绞线连接工作站。
6. 使用Sniffer在网络设备的一个端口上能够捕捉到与之属于同一VLAN的不同端口的所有通信流量的设备是集线器。
7.在网络中部署IDS时,可以使用集线器替代分路器(TAP)
7.3 局域网设备
以太网Ethernet物理层标准命名方法(x Type-y Name)的正确描述:、x表示以Mbps为单位的传输速率;Type表示数据传输方式是基带还是频带;IEEE 802.3 10Base-5采用基带传输;y表示网段的最大长度,单位为100m
三层交换机和路由器工作在网络层
7.3.1 中继器
中继器是物理层的连接设备,工作在物理层。其原因为: 中继器只能起到对传输介质上信号波形的接收、放大、整形和转发的作用。
中继器的工作不涉及帧结构,不对帧的内容做任何处理。
7.3.2 网桥
1.网桥的主要性能指标包括转发速率和帧过滤速率。
2.网桥工作在链路层,根据转发策略可分为透明网桥和源路由网桥,透明网桥一般用在两个MAC层协议相同的网段之间的互联。透明网桥标准STP定义在IEEE 802.1d中。
3.完成数据(frame)的转发,主要目的是在连接的网络间提供透明的通信。网桥的转发是依据数据中的源地址和目的地址来判断一个帧是否应转发和转发到哪个端口。帧中的地址称为“MAC”地址或“硬件”地址,一般就是网卡所带的地址。MAC地址表中记录不同节点的物理地址与网桥转发端口关系。如果没有MAC地址表,网桥无法确定是否需要转发,以及如何进行转发。
4.网桥最重要的维护工作是构建和维护MAC地址表。
7.3.3 交换机
1.交换机在源端口与目的端口间建立虚连接。二层交换机工作于数据链路层,它建立和维护一个表示MAC地址与交换机端口对应关系的交换表。
2.交换机是一种工作在数据链路层的网络设备。交换机根据进入端口数据中的MAC地址,过滤、转发数据,它是基于MAC地址识别、完成转发数据帧功能的一种网络连接设备。
3.交换机具有三种交换模式:
快速转发直通式,交换机接收到的前14个字节时就立刻转发数据帧。
碎片丢弃式,它缓存每个帧的前64个字节,检查冲突过滤碎片。
存储转发式,转发之前将整个帧读取到内存里。(第六章)
4.交换机4种交换结构特点:
矩阵交换结构缺点:不易拓展,不方便性能监控。
总线交换结构缺点:对总线的带宽结构要求高。
共享存储器交换结构缺点:延时随着规模扩大而增加,成本较高
软件执行交换结构缺点:交换速度慢,堆叠困难
5.箱体模块化交换机具有最好的性能、最好的灵活性和很好的安全性及扩展性
6.交换机的交换模式分为静态交换和动态交换两种
7. 在一些中高端交换机中,通常把交换表保存在可编址内容存器(CAM) 中。交换表中没有接收的目的MAC地址时,通过Food技术的广播航,交换机得到新的MAC地址与其对应的端口号,建立一个新的表项.
8 第六章
8.1 VLAN
1.常见的虚拟子网(VLAN)划分方法包括:基于端口的划分VLAN、基于MAC地址的划分VLAN和基于第三层协议类型或地址的划分VLAN。
基于端口的划分VLAN法就是按照交换机端口定义VLAN成员,每个交换机端口属于一个VLAN。
基于MAC地址的划分VLAN方法是按每个连接到交换机设备MAC地址(物理地址定义VLAN成员。
基于第三层协议类型或者地址划分VLAN方法允许按照网络层协议类型定义VLAN成员,也可以按照网络地址(逻辑地址)定义VLAN成员。
2.HUB是通过工作于OSIRM参考模型的物理层和数据链路层的MAC(介质访问控制)子层,因此对于HUB上连接的交换机划分VLAN不可能采用逻辑地址或者网络层协议。
3.VLAN工作在OSI参考模型的第二层(数据链路层),而不是网络层。VLAN之间通信必须通过路由器。
4.VLAN以交换式网络为基础。
5.VLAN是一个网络设备或用户的逻辑组,该逻辑组是一个独立的逻辑网络、单一的广播域,而这个逻辑组的设定不受实际交换机区段的限制,也不受用户所在的物理位置和物理网段的限制。
6.建立不给定名字的VLAN,系统自动按缺省的VLAN名(VLAN00xxx)建立,“xxx”是VLAN ID。
7.IEEE802.1Q标准规定,用于标识VLAN的VLAN ID用12bit(位、比特)表示。(以太网的ID范围1-1000 2-1000都是正确的,1作为管理地址,不用于分配)
8.按每个连接到交换机设备的MAC地址定义VLAN成员是种动态VLAN。
9.VLAN ID标准范围是11005,某些交换机只支持标准范围。扩展范围是10254096(有些题是1025~4094)。
10.在VLAN ID标准范围内,可用于Ethernet的VLAN ID为11000或21000。1002~1005是FDDI和Token Ring使用的。
11.VLAN使用一个VLAN名(VLAN name)和VLAN号(VLAN ID)来标识的。VLAN名用1~32个字符表示,它可以是字母和数字。
12.ID为1的VLAN是系统默认VLAN,通常用于设备管理,用户只能使用这个VLAN,但不能执行删除操作,即无法执行"no vlan 1”命令。2~1000用于Ethernet VLANs,可以建立、使用和删除这些VLAN。1002~1005是预留给FDDI和Token Ring VLANs使用的,1025~4094是扩展的VLAN ID,其他为保留ID号。
8.2 STP(生成树协议)
1.IEEE制定的最早的STP标准是IEEE802.1D。IEEE 802.1d是当前流行的STP(生成树协议)标准。透明网桥标准STP定义在IEEE 802.1d标准中。
2.在交换机之间传递网桥协议数据单元BPDU,其数据包有两种类型:一种是包含配置信息的配置BPDU(不超过/小于35个字节),另一种是包含拓扑变化信息的拓扑变化通知BPDU(不超过/小于4个字节)。
3.STP在交换机之间传递BPDU数据包,默认每2秒定时发送一次。在网络发生故障或拓扑结构产生变化时也发送新的BPDU。
4.阻塞端口是一个激活端口,只能接收和读取BPDU,不能接受和转发数据流。
5.生成树协议是一个二层链路管理协议。
6.STP运行在交换机和网桥设备上(不是运行在路由器上),它通过计算建立一个稳定的树状结构网络。
7.BridgeID用8个字节表示,由2个字节的优先级值和6个字节的交换机MAC地址组成。优先级值的增值量是4096。优先级的取值范围是0-61440,一般默认值为32768。BridgeID值最小的成为根网桥或根交换机。
8. 网桥协议数据单元BPDU携带的实现生成树算法的信息包括Root ID、 Root Path Cost、Bridge ID、Port ID、Hello time、Max Age等
9. STP配置中,
配置Backbonefast生成树,主要通过接收到的BPDU数据包的优劣,反应出网络中链路是否失效,并使阻塞端口不再等待生成树的最大存活时间,直接将端口由侦听和学习直接转换为转发状态,提高了链路失效下的收敛速度。
配置uplinkfast生成树用于在生成树拓扑结构发生变化和在使用上链路组的几条链路之间完成负载平衡时,提高转换时的收敛速度。
配置PortFast生成树用于在接入层交换机端口上跳过正常的生成树操作,加快了终端工作站进入到转发状态。
BPDU Fiter的功能是使交检机在指定的端口上停止发送BPDUS,同时立刻将端口状态转换为转发状态。
8.3 VTP(VLAN中继协议)
1.VTP(VLAN Trunking Protocol):也被称为虚拟局域网干道协议。它是思科私有协议。
2.Catalyst 6500设置VTP域名的语句是:set vtp domain<域名>
3.Catalyst 6500设置VTP工作模式语句是:
set vtp mode<工作模式名称>(Server模式,Client模式,Transparent模式)
Server模式维护该VTP域中所有VLAN信息列表,可以建立、删除或修改VLAN,
Client模式也维护VTP域中所有VLAN信息列表,但其VLAN的配置信息是从Server模式学到的,且不能建立、删除、修改VLAN
Transparent模式不参与VTP工作,不从Server模式学习VLAN的配置信息,而拥有本设备上自己维护的VLAN信息,可以建立、删除和修改本机上的VLAN信息。
8.4 交换机配置
8.4.1 交换机Catalyst3548和Catalyst6500配置比较
8.4.1.1 交换表命令
1、35xx型号的显示交换表命令是show mac-address-table,其它的型号显示交换表的命令是show cam dynamic
2、35xx型号的交换表由四部分组成,其他型号的交换表由三部分组成
8.4.1.2 系统时间设置
Catalyst 6500用set time 语句,格式:星期 月日年 时分秒
Catalyst 3548用clock set语句,格式:时分秒 日月年
8.4.1.3 删除vlan
35xx型号删除的关键词是“no”
65xx系列的型号是“clear”
8.4.1.4 传输vlan信息
35xx型号的禁止传送关键词是“except”,65xx型号的禁止传送关键词是“clear”
35xx型号的要求传送关键词用“allowed”,65xx型号的传送关键词用“set”
8.4.1.5 管理地址设置和缺省路由
35xx型号设置设备管理地址关键词是“vlan1”和“address”,65xx型号设置设备管理地址关键词是“sc0”
35xx型号设置缺省路由关键词是“default-gateway”,65xx设置缺省路由关键词是“route”
8.4.2 Catalyst6500(Catalyst OS (CatOs)系统)
Switch- 6500> (enable)set interface sc0< ip mask>< ip addr> (broadcast address) 配置ip地址
Switch- 6500> (enable)set ip route 0.0.0.0 194.56.9.161 配置缺省路由
Switch-6500> (enable) set port duplex 4/5 full
Switch-6500> (enable) set port speed 4/5 1000
Switch-6500> (enable) set vtp domain bupt
Switch-6500>((enable) set vtp mode transparent
Switch-6500>(enable) set vlan 101 name vl101
Switch-6500>(enable) set vlan 102 name vl102
Switch-6500> (enable) set trunk 4/5 on dot1g
Switch-6500> (enable) set trunk 4/5 vlan 101-102
8.4.3 Catalyst 3548
配置STP
Cisco-3548(config)#spanning-tree vlan priority<0-61440>
Cisco-3548(config)#int f0/1
Cisco-3548(config-if)#spanning-tree portfast 配置接口为portfast,当有设备接入时立即进入转发状态
配置vlan
Switch-3548 (vlan)#vanevlan ID>name 建立VLAN
Switch-3548 (config-if)#int 接口
Switch-3548 (config-if)# switchport access vlan 为端口分配VLAN
Switch-3548 (config-if)# switchport mode trunk 配置vlan trunk模式
Switch-3548 (config-if)# #switchport trunk allowed vlan 10,15 设需允许中的VLAN
9 第七章
-路由器的配置和使用
1.通配符(wildcard-mask):32位2进制表示,是子网掩码的反码,与地址总是成对出现。通配符的作用是指出访问控制列表过滤的P地址范围,也就是路由器在进行基于源P地址和目的卫地址过滤时,通配符告诉路由器应该检查哪些地址位,忽略哪些地址位。通配符为“0”,表示检查相应的地址位,通配符为“1”表示忽略,不检查相应的地址位。
2.从NVRAM加载配置信息命令为configure memory
将路由器配置保存在NVRAM中命令为write memory
3. ROM主要用来永久保存路由器的开机诊断程序、引导程序和操作系统软件。RAM主要存储路由表、各种缓存和运行配置文件等临时信息,关机和重启后数据自动丢失。NVRAM主要用于存储启动配置文件或备份配置文件。Flash闪存主要用于存储路由器当前使用的操作系统映像文件和一些微代码。
4.思科路由器的配置接口有控制接口ConsoleRJ-45)和辅助接口AUX (AUXiliary)。AUX可以连接Modem,用拨号的方式远程地对路由器进行配置。
5.DNN专线,通常需要Serial接口连接.E1端口标准的速率为2.048Mbit/s
9.1 Access-list
- 在路由器上使用访问控制列表(Access Control List,ACL)时需要注意ACL语句的顺序。路由器执行ACL语句是按照配置的ACL中的条件语句,从第一条开始顺序执行,数据包只有在跟第一个判断条件不匹配时,才能与ACL中的下一个语句进行比较,配置完之后要加exit保存配置结果。
- access-list语法格式是: Router (config)#access-list access-list-number permit(允许)或deny(禁止) 协议名protocol 源端地址source 源端反掩码wildcard-mask 目的端地址destination 目的端反掩码wildcard-mask 操作[operator] 操作数[operand](指端口号)
操作:lt小于、gt大于、eq等于、neq不等于
- IP标准访问控制列表的表号范围是: 1-99,1300-1999。标准访问控制列表只能检查数据包的源地址。
- 扩展访问控制列表的表号范围是: 100-199,2000-2699。扩展访问控制列表可以检查数据包的源地址和目的地址,还可以检查指定的协议,根据数据包头的协议类型进行过滤。
- 配置完访问控制列表之后,还应该在接口上配置数据包的进和出。语法格式是: ip access-group ACL表号(该表号应该与第2步中的表号一致)in/out(in代表数据进入,out代表数据的输出)。
- access-list命令要求只能使用表号标识列表,而ip access-list命令,既可以使用表号,也可以使用名字标识一个访问控制列表
9.1.1 例题
1.封禁ICMP协议,只转发212.78.170.166/27所在子网的所有站点的ICMP数据包,正确的access-list配置是()。
Router (config)#access-list 110 permit icmp 212.78.170.160 0.0.0.31 any
Router (config)#access-list 110 deny icmp any any
Router (config)#access-list 110 permit ip any any
2.在一台Cisco路由器的g0/1端口上,封禁所有端口号为1434的UDP数据包,正确的access-list的配置是()。
Router(config)#access-list 130 deny udp any any eq 1434
Router(config)#access-list 130 permit ip any any
Router(config)#interface g0/1
Router(config-if)#ip access-group 130 in
Router(config-if)#ip access-group 130 out
Router(config-if)#
3.只封禁一台地址为193.62.40.230主机的access-list的正确配置是()。
access-list 110 deny ip host 193.62.40.230 any
access-list 110 deny ip any host 193.62.40.230
access-list 110 permit ip any any
4.一台Cisco路由器R1的第3模块第1端口通过DDN的E1专线与一台远程路由器R2的第4模块第2端口相连,在R1的端口上封装PPP协议。为R1和2端口分配的P地址分别为193.42.91.201/30和193.42.91.202/30。下列R2的端口配置正确的是()。
Router(config)#interface s4/2
Router(config-if)#bandwidth 2048
Router(config-if)#ip address 193.42.91.202 255.255.255.252
Router(config-if)#encapsulation ppp
Router(config-if)#exit
- 在一台Cisco路由器的g0/3端口封禁端口号为4444的TCP数据包,只允许166.105.130.0/24和202.112.8.0/30子网的4444端口的TCP数据包通过路由器,正确的access-list配置是()。
Router(config)#ip access-list extended(扩展) block 4444
Router(config-ext-nacl)#permit tcp 166.105.130.0 0.0.0.255 any eq 4444
Router(config-ext-nacl)#permit tcp 202.112.8.0 0.0.0.3 any eq 4444
Router(config-ext-nacl)#deny tcp any any eq 4444
Router(config-ext-nacl)#permit tcp any any
Router(config)#interface g0/3
Router(config-if)#ip access-group block 4444 in
Router(config-if)#ip access-group block 4444 out
6.在一台Cisco路由器上使用show access-lists命令得到下列信息Standard IP access list test
deny 10.0.0.0.wildcard bits 0.255.255.2551ogdeny 192.168.0.0.wildcard bits 0.0.255.255deny 127.0.0.0,wildcard bits 0.255.255.255deny 172.16.0.0.wildcard bits 0.15.255.255
permit any路由器access-lists的正确配置是()。
Router(config)#ip access-list standard(标准) test
Router(config-std-nacl)#deny 10.0.0.0 0.255.255.255 1og
Router(config-std-nacl)#deny 192.168.0.0 0.0255.255
Router(config-std-nacl)#deny 127.0.0.0 0.255.255.255
Router(config-std-nacl)#deny 172.16.0.0 0.15.255.255
Router(config-std-nacl)#permit any
7.在一台Cisco路由器上执行show access-lists命令显示如下一组限制远程登录的访问控制列表信息Standard IP access list 40permit 167.112.75.89 (54 matches)
permit 202.113.65.56 ( 12 matches)deny any ( 1581 matches)根据上述信息,正确的access-list的配置是()
Router (config)#access-list 40 permit 167.112.75.89
Router (config)#access-list 40 permit 202.113.65.56
Router (config)#access-list 40 deny any
Router (config)#line vty 0 5
Router (config-line)#access-class 40 in
8.在Cisco路由器的g0/1端口上禁止源地址为某些特定地址段的数据包进/出路由器,下列access-list的正确配置是()。
Router(config)#access-list 99 deny 10.0.0.0 0.255255.255
Router(config)#access-list 99 deny 192168.0.0 0.0.255.255
Router(config)#access-list 99 deny 127.0.0.0 0.255.255.255
Router(config)#access-list 99 deny 172.16.0.0 015255.255
Router(config)#access-list 99 permit any
Router(config)#interface g0/1
Router(config-if)#ip access-group 99 in
Router(config-if)#ip access-group 99 out
Router(config-if)#exit
Router(config)#
9.某校园网采用RIPv1路由协议,通过一台Cisco路由器R1互连2个子网,地址分别为213.33.56.0和213.33.56.128,掩码为255.255.255.128,并要求过0/1接口输出的路由更新信息。那么R1正确的路由协议配置是()
Router (config)#router rip
Router (config-router)#passive-interface g0/1
Router (config-router)#network 213.3356.0
- 使用名字标识访问控制列表的配置方法,在Cisco路由器的g0/3接口封禁端口号为1434的UDP数据包和端口号为4444的TCP数据包,正确的访问控制列表的配置是()。
Router(config)#ip access-list extended WINSOI
Router(config-ext-nacl)#deny udp any any eq 1434
Router(config-ext-nacl)#deny tcp any any eq 4444
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
Router(config)#interface g0/3
Router(config-if)#ip access-group WINSOL in
Router(config-if)#ip access-group WINSOL out
用名字标识访问控制列表的配置方法:
全局配需模式: Router(config)#ip access-list extended
在扩展或标准访问控制模式下配需过滤准则: Router(config-ext-nacl)# permit deny protocol source wildcard-mask destination wildcard-mask operator operand
拒绝转发端口号为1434的UDP数据包: deny udp any any eg 1434
拒绝转发端口号为4444的TCP 数据包: deny tcp any any eq 4444
允许其他端口和其他类型的数据包: permit ip any any
退出全局配置模式: Router(config-ext-nacl)#exit
进入应用端口配置模: Router(config)interface g0/3
允许其他IP数据包通过: Router(config-if)#ip access-group in|out
9.2 路由表
- 在路由器中建立并维护各种传输路径的相关数据——路由表(Routing Table),表中包含的信息主要有目的网络地址以及其对应的目的端口或下一跳路由器地址和默认(缺省)路由的信息。
- 在路中信息表中,每行第一个字母表示的是路由协议的类型。字母C代表的是直连(Connected),表示目的网络直接与路由器的端口相连,
路由表第2列是目的网络地址和掩码。
路由表第3列是目的端口或下一跳路由器地址,如果是直连,则下一跳应该是目的路由器的端口,如果是静态路由,下一跳应该填写下一个路由器的IP地址。路由表[xxhy]如([110/20])x值是管理距离的值,一般来说管理距离值越小,其可信度越高,代表的是权值(metric)或成本,一般来说权值越小,路径越佳。
- 一层交换机处于虚拟局域网,所以用来链接的是虚拟局域网号。例如:ipaddr/sub is directly connected,VLAN id
- 三层交换机和Cisco路由器的路由表不一样
9.3 广域网接口配置
9.3.1 异步串行接口配置。
异步串行接口的接口类型为Async,可简写为a。Async接口主要用于连接Modem设备,为网络用户提供拨号上网服务。如Cisco 2511路由器可以提供16个异步串行接口、一个Ethernet接口。Async接口的配置如下:
router-test (config)#interface Async1
router-test (config-if)#ip unnumbered ethernet0
router-test (config-if) #encapsulation ppp (封装协议为PPP
router-test (config-if) #async default ip address 192.168.1.1
router-test (config-if) #async dynamic routing
router-test (config-if) #async mode interactive(配置异步口的PPP工作方式)
router-test (config-if) #no shutdown
router-test (config-if) #exit
router-test (config) #exit
router-test #
9.3.2 高速同步串行接口配置。
高速同步串行接口的接口类型为Serial,可简写为s。Serial接口主要用于帧中继、DDN专线、卫星、微波等广域网连接。Serial接口需要配置的主要参数有接口带宽、接口协议和接口的IP地址等。
router-test (config)#interface Serial0/0
router-test (config-if)#description To-lab4
router-test(config-if) #bandwidth 2048(配置接口带宽为2M,单位是kbit/s)router-test (config-if) #ip address 192.168.4.1 255.255.255.252
router-test (config-if)#encapsulation ppp (封装HDLC或PPP协议,HDLC为默认)
router-test (config-if)#no ip directed-broadcast
router-test (config-if) #no ip proxy-arp
router-test (config-if ) #no shutdown
router-test (config-if) #exit
router-test (config )#exit
router-test #
(3)POS接口的配置
POS接口的配置任务包括:在POS接口模式下设置POS物理端口的帧类型 (sdh,sonet);在POS接口模式下设置POS物理端口的协议封装模式 (ppp或chdlc),在POS接口模式下设置POS物理端口的数据帧格式中的flag值 (0表示SONET帧,2表示sdh帧),强制POS物理端口数据是否加扰,设置POS物理端口数据帧的CRC校验位数 (16位或32位)等。
在全局配置模式下,配置操作如下:router-test (config)#interface POSO/
router-test (config-if) #description To-lab5
router-test (config-if) #bandwidth 10000000
router-test (config-if) #ip address 192.168.51 255.255255252
router-test (config-if) #crc16 (可选的crc校验位是16和32)
router-test (config-if)#pos framing sonet (可选的帧格式是sdh和sonet)
router-test (config-if) #no ip directed-broadcast
router-test (config-if #pos flag s1s0 0 (s1s0-00表示是sonet帧的数据, sls0=10(+进制2)表示是sdh的数据)
router-test (config-if) #no shutdown
router-test (config-if) #exit
router-test (config)# exit
router-test #
10 第八章
10.1 IEEE
- IEEE802.11的三个物理层定义包括了两个扩频技术(FHSS、DSSS)和一个红外传播规范,两种扩频技术运行机制完全不同,没有互操性。
2. 802.11无线传输频道定义在2.4GHz ISM频段,定义的传输速率是1Mbps和2Mbps。
3. IEEE802.11在MAC子层引入了一个RTS/CTS选项。
4. 802.11定义了两种类型的设备:无线结点和无线接入点。
- 无线接入点AP的作用是提供无线和有线网络之间的桥接,而非无线结点。
- IEEE802.11的运作模式分为点对点模式和基本模式。
点对点模式是指无线网卡和无线网卡之间的通信方式。只要PC插上无线网卡即可与另一具有无线网卡的PC连接,它最多可以允许256台PC连接。
基本模式是指无线网络规模扩充或无线和有线网络并存时的通信方式,,插上无线网卡的PC需要由接入点与另一台PC连接。接入点负责频段管理及漫游等指挥工作,一个接入点最多可连接1024台PC。
7.在802.11中对CSMA/CD进行了一些调整,采用了新的协议CSMA/CA或者DCF
8. 802.11b采用CSMA/CA介质访问控制方法,允许无线节点之间采用对等通信方式,室内环境通信距离最远为100米
9. IEEE802.11b标准使用的是开放的2.4GHZ频段,无须申请就可以直接使用。
11. IEEE802.1d是当前最流行的STP(生成树协议)标准。
12. 802.11标准的重点在于解决局域网范围的移动结点通信问题,802.16标准的重点是解决建筑物之间的数据通信问题,802.16a增加了非视距和对无线网格网结构的支持,用于固定结点接入。
13. IEEE802.11运行在2.4GHz ISM频段,最大传输速率是1~2Mbps;
14. IEEE802.11b运行在2.4GHz ISM频段,最大传输速率是11Mbps,最大容量是33Mbps;
15. IEEE802.11a运行在5GHz UNII频段,最大传输速率是54Mbps,最大容量是432Mbps;
16. IEEE802.11g运行在2.4GHz ISM频段,最大传输速率是54Mbps,实际吞吐量是28~31Mbps,最大容量是162Mbps。
10.2 蓝牙
- 工作频段在2.402 GHz~2.480 GHz的ISM频段
2. 同步信道速率64kbps。(3个全双工通道)
3. 跳频速率为1600次/秒,频点数是79个频点/MHz。
4. 非对称的异步信道速率为723.2kbps/57.6kbps,对称的异步信道速率为433.9kbps(全双工)。
5. 发射功率为0dBm(1mW)时,覆盖1~10米,20dBm(100mW)时覆盖100米。
6. 信道间隔为1MHz。
7. 标称数据速率是1Mbps。
8. 话音编码方式为CVSD或对数PCM。
9.密钥以8bit为单位增长,最长128bit
10.数据连接方式包括面向连接业务SCO和无连接业务ACL
10.3 无线网络HiperLAN/2协议
HiperLAN 是应用在欧洲的无线局域网通信标准集合中的一种,包括HiperLAN/和HiperLAN/2两类,均采用5GhZ射频频率,中HiperLAN/1上行速率可以达到20Mbit/s; HiperLAN/2与3G标准兼容,上行速率可以达到54Mbit/s
HiperLAN/2网络中,移动终端(MT)通过接入点(Access Point AP)接入固定网。而MT与AP之间的空中接口即由HiperLAN/2协议来定义。室内30m,室外150m.
10.4 无线局域网设备
无线接入点也被称为无线AP,这个设备的基本功能是集合无线或者有线终端,其作用类似于有线局域网中的集线器和交换机,将其加入更多功能则可成为无线网桥、无线路由器和无线网关,从而实现较远距离无线数据通信。一个无线AP一般可以连接30台左右的无线网络终端或者其他的无线AP,并且还可以让系统中的所有无线网络终端在数个AP中进行无线漫游,而无线终端不要进行额外配置。
无线网卡:无线局域网中最基本的硬件,主要实现点对点通信。在采用对等解决方案建立无线局域网时,仅需要无线网卡即可实现相互访问。
无线网桥:主要用于连接几个不同的网段,实现较远距离的无线通信。
无线路由器:无线路由器是具有无线路由功能的AP(Access Point,接入点),一般情况下具有NAT功能,可以用它建立一个小的无线局域网。
10.5 Cisco Aironet 1100 系列接入点设备
Cisco Aironet 1100 系列接入点设备是一款无线局域网收发器,主要用于独立无线网络的中心点或无线网络和有线网络之间的连接点。是无线接入点。
Cisco Aironet 1100系列接入点兼容802.11b与802.11g协议,工作在2.4GHz段,使用Cisco OS操作系统。
无线接入点可作为小型的DHCP服务器为一些设备分配多达20个10.0.0.x的地址
第一次配置无线接入点一般采用本地配置方式,采用本地配置方式时,可将PC机通过以太网接口(RJ-45)可采用5类UTP线缆或无线方式连接接入点,在采用无线连接配置接入点时,不配置SSID或SSID配置为tsunami。
在给无线接入点加电后,PC机立获得10.0.0.x网段的地址,打开PC机的浏览器,在浏览器的地址栏输入无线接入点的默认地址10.0.0.1,然后按回车键。这时将出现输入网络密码对话框,按Tab键越过用户名字段到密码字段。输入大小写敏感的密码Cisco然后按回车键,来到接入点汇总状态页面,点击“Express Setup”可进入快速配置页面。
快速配置时在"Radio Service Set ID"选项中输入SSID。"Broadcast SSID in Beacon"可以设定允许设备不指定SSID而访问接入点。Yes选项是默认设置,允许设备不指定SSID而访问接入点,No选项表示设备必须指定SSID访问接入点。System Name是无线接入点的标识,IPAddress用于设置或改变接入点的IP地址,Default Gateway用于输入网络管理员提供的默认网关IP地址, Configuration Server Protocol的Static IP表示由DHCP服务器手工分配IP地址。Radio Service SetID (SSID): 输入网络管理员提供的SSID,注意要区分大小写
服务集标识符SSID (Service Set ID entifier)用于区分不同的网络,最多可以由32个区分大小写的字符组成。无线网卡设置了不同的SSID就可以进入不同的网络,SSID通常有AP广播出来,通过无线终端操作系统自带的扫描功能可以扫描当前区域内的SSID。出于安全考虑可以不广播SSID,此时用户就要手工设置SSI才能进入相应的网络。换言之,SSID就是一个局域网的名称,只有名称设为相同SSID的值的无线设备才能互相通信。所以,SSID是客户端设备用来访问接入点的唯一标识。
10.6 AC(无线统一网络)
无线统一网络AC不能给AP供电,提供防护,不能管理POE交换机的端口电源功率。可以
动态地分配信道: AC根据区域内其他活动的接入点为每个AP选择并配置RF信道
优化发射功率:AC根据所需的覆盖范围设置每个AP的发射功率,发射功率还将定期地自动调整
自我修复无线覆盖范围:如果某个AP出现故障,将自动调高周围AP的发射功率,以覆盖出现的空洞
灵活的客户端漫游:客户端可在第二层或第三层漫游,且切换时间非常短
动态地客户端负载均衡
RF监控
安全性管理。
11 第九章
11.1 DNS服务器
- 允许客户机在发生更改时动态更新其资源记录。
2. DNS服务器中的根服务器(13个)被自动加入到系统中,不需管理员手工配置。
3. 主机记录的生存时间(TTL)指该记录被客户端查询到,放在缓存中的持续时间。
4. DNS服务器配置的主要参数(1)正向查找域(2)反向查找域(3)资源记录(4)转发器
5. 转发器是网络上的DNS服务器(不是路由器),用于外域名的DNS查询(用于将外部域名的DNS查询转发给该DNS服务器),可配置。
6. 反向查找区域用于将IP地址解析为域名,在反向查找区域中可以手工增加主机的指针记录。
7. 正向查找区域用于将域名解析为IP地址,正向查找区域自动增加主机的指针记录。
8. DNS服务器的IP地址不是由DHCP服务器动态分配的,其IP地址应该是静态设置的固定地址。
9. DNS服务器中常用的资源记录包括:主机地址资源记录;邮件交换器资源记录;别名资源记录(没有FTP服务器记录)。别名资源记录用于将别名映射到标准DNS域名。
10. 缺省情况下,Windows 2003系统中未安装DNS服务。
11. DNS服务器按层次分为3类服务器:根DNS服务器、顶级域(TLD)服务器、权威DNS服务器。
13.DNS客户机进行域名解析时,首先查询的是客户机的缓存。
14.DNS动态更新选项卡可选选项有不允许动态更新、只允许安全的动态更新、允许安全的和非安全的动态更新。
11.2 DHCP服务器
11.2.1 作用域
作用域是用于网络的可用IP地址的完整连续范围并不负责IP地址分配 ,定义了作用域并应用排除范围之后,必须激活才可为客户机分配地址,
地址池是作用域应用排除范围之后剩余的IP地址。
服务器可为多个网段分配IP地址,多个网段IP地址,则需要配置多个作用域、地址池。
在DHCP服务器中新建作用域时,在租约期限中不可调整的时间单位是周。(租约期限中限制默认为8天0时0分。)
作用域配置信息有作用域IP地址范围、作用域名称、保留、排除。 (无DHCP服务器地址)
新建作用域时,必须输入的信息是起始IP地址和结束IP地址。
11.2.2 排除
排除是DHCP服务器不分配的IP地址,是从作用域内排除的有限IP地址序列
排除范围是作用域内从DHCP服务中排除的有限IP地址序列。
添加排除连续地址段时必须输入起始IP地址和结束IP地址。如果想排除一个单独的IP地址,只需要输入起始IP地址(结束IP地址省略)。
★添加排除时不需要获取客户机的MAC地址信息。 (添加保留时需要)
11.2.3 租约
租约是客户机可使用指派的IP地址期间DHCP服务器指定的时间长度(不能控制用户上网时间) 。
租约期限决定租约何时期满以及客户端需要向服务器对它进行更新的频率。
11.2.4 保留
使用保留创建通过DHCP服务器的永久地址租约指派,客户端可以释放该租约。
保留地址可以使用作用域地址范围中的任何IP地址(包括被排出的IP地址序列)。
“保留”确保了子网上指定的硬件设备始终可使用相同的IP地址。
新建保留:新建(添加) 保留时需输入保留名称、IP地址、MAC地址、描述和支持类型等项目(无子网掩码),可以选择的支持类型是BOOTP,DHCP。
11.2.5 续约
11.默认的地址租约期限为8天,租约到期前客户端需要续订,续订是由客户端软件自动完成。地址租约期限的最小可调整单位是分钟。
12.客户机与DHCP服务器在同一网段时,采用DHCP消息收到的子网所处的网段分配IP地址。不在同网段时,选择转发“DHCP发现”消息的中继所在的子网网段(需修改该消息中的相关字段) 。收到非中继转发的“DHCP发现”消息时,会选择收到“DHCP发现”消息的子网所处的网段分配IP地址 (不是任选)。
11.3 www服务器
1.Web站点可以配置静态和动态IP地址。
2.建立Web站点时必须为该站点指定一个主目录(不一定在本地计算机/服务器),也可以是虚拟的子目录。
3.设置Web站点时,不是设置网站的默认文档后才能被访问。设置了默认页面,访问时才会直接(自动)打开default.html等设置的默认页面。如果没有设置默认内容文档,访问站点时需要提供首页内容的文件名。
4.访问Web站点时可以使用站点的域名或站点的IP地址。
5.性能选项包括:
影响带宽使用的属性
客户端Web连接的数量(不包括超时时间)。
网站性能选项中,带宽限制选项限制该网站的可使用带宽;网站连接选项可设置客户端Web连接数量。
6.主目录选项卡中,可配置主目录的读取和写入等权限,可设置用于存放网页的文件路径。
7.目录安全选项卡可以选择配置身份验证和访问控制、IP地址和域名限制、安全通信三种方法。(不可配置主目录的访问权限)
8.网站选项包括
网站的标识(描述、IP地址、TCP端口号,SSL端口)
设置站点的连接限制
网站连接的超时时间
启用日志记录并配置站点的日志记录格式。
网站的连接超时选项是指HTTP连接的保持时间。
网站的带宽选项能限制该网站可使用的网络带宽。
9.作为网络标识的有IP地址、非TCP端口号、主机头、网站描述。(没有主目录)
10.在Windows2003中添加操作系统组件IIS就可实现Web服务,建立Web站点前必须安装。
11. Web站点可以动态获取IP地址。在一台服务器上可构建多个网站。
12. 缺省情况下Windows2003系统没有安装DNS服务。
13.网络访问权限选项卡中的选项有读取、运行脚本、执行、写入、和浏览
11.4 FTP服务器
- 初始状态下没有设置管理员密码,可以直接进入Serv-U管理程序。
2. FTP服务器缺省端口号为21,但是有时因为某种原因则不能使用21号端口,但可以选择其他合适的端口号。
3. FTP服务器可以使用动态IP地址,使用动态IP地址时,服务器IP地址应配置为空,为空代表全部IP地址,服务器有多个IP地址时,IP地址为空比较方便(不需分别添加,空不是0.0.0.0)。
4. 服务器可构建多个由IP地址和端口号识别的虚拟服务器,每个虚拟服务器(域)由IP地址和端口号唯一识别,而不是只依靠IP地址。
5. 向服务器中添加“anonymous”,系统自动判定为匿名用户。而不是创建新域时自动添加一个“anonymous”匿名。
6. 服务器最大用户数是指服务器允许同时在线的最大用户数量。
7. 用户上传下载选项要求FTP客户端在下载信息的同时也要上传文件。(不是配置用户的上传和下载的速率)
8. 服务器选项不提供“IP访问选项”。 用户常规选项中不包含“用户主目录”。
9. 配置域存储位置时,小的域应选择INI文件存储而大的域应选择注册表存储。
10. 配置服务器域名时,可以使用域名或其它描述。(不是必须使用该服务器的域名,不必是合格的域名)
11. 需要拥有管理员操作权限的用户,才能在Serv-U FTP服务器中注册用户。(用户不可在服务器中自行注册新用户)
12. FTP服务器的域创建完成后需要添加用户,才能被客户端访问。用户包括匿名用户和命名用户。添加匿名用户时用户名必须为"anonymous",如果添加的是匿名用户,系统将不会要求输入密码。
13. Serv-U中可以限制用户名上传信息占用存储空间的选项是用户配额选项。
14. 服务器可构建多个由IP地址和端口号识别的虚拟服务器。
15. Serv-UFTP服务器最大上传或下载速度是指整个服务器占用的带宽。
16. 选择拦截“FTP BOUNCE”和FXP后,则不允许在两个FTP服务器间传输文件
17. 对用户数大于500的域,将域存放在注册表中可提供更高的性能。
18. 访问FTP服务器除了可以使用专用的客户端外,如cuteFTP,还可以使用浏览器。
19. 检查匿名用户密码选项是指使用匿名用户登录时需用电子邮件地址作为登录密码。
20.FTP服务的描述:使用FTP可以传送任何类型的文件,
传送文件时客户机和服务器间需建立控制连接和数据连接,客户端发起的连接是控制连接,服务器端的默认端口为21,服务器端在接收到客户端发起的控制连接时,控制进程创建一个数据传送进程,其端口为20,与客户端提供的端口建立数据传输的TCP连接
21.SecureCRT命令用于测试FIP服务器是否正常工作
11.5 Winmail(邮件服务器)
- Winmail邮件服务器支持基于Web方式的访问和管理,因此在安装邮件服务器软件之前要安装IIS。
2. Winmail邮件服务器允许用户自行注册新邮箱,需输入邮箱名、密码等信息,而域名是服务器固定的,并不能自行设置。但Winmail用户不可以使用Outlook自行注册新邮箱。
3. 在Winmail快速设置向导(不是系统设置)中创建新用户时,输入新建用户的信息,包括用户名、域名及用户密码(不是系统邮箱的密码、管理员密码),可选择是否允许客户通过Winmail注册新邮箱。
4. 建立邮件路由时,需在DNS服务器中建立该邮件服务器主机记录和邮件交换器记录(缺一不可)。
5. 发送邮件时通常采用SMTP协议(使用传输层协议TCP),接收/读取邮件时通常采用POP3或者IMAP协议。Winmail用户使用浏览器查看邮件会使用到HTTP协议。CMIP不属于电子邮件系统协议。
6. 邮件交换器记录的配置只能在服务器上,不能通过浏览器配置。
7. 管理工具包括系统设置、域名设置、用户和组设置、系统状态和系统日志等项目。(不包含邮件管理)
8. 在域名设置中(不是系统设置),可以增加新的域,用于构建虚拟邮件服务器、删除已有的域。域名设置是可设置Winmail邮件服务器是否允许自行注册新用户的选项。
9. 系统设置包括SMTP设置、邮件过滤、更改管理员密码等。(没有域名设置)
10. 使用Outlook等客户端软件只能访问Winmail邮件服务器,不能管理Winmail邮件服务器。
11. POP3用于访问并读取邮件服务器上的邮件信息。IMAP用于客户端管理邮件服务器上邮件的协议。
12 第十章
12.1 三种备份策略
Windows 2003对已备份文件在备份后不做标记的备份方法是副本备份
数据恢复时使用备份数最少的方式是完全备份,使用备份数最多的方式是增量备份
12.2 Cisco PIX 525防火墙
12.2.1 访问管理模式
Pixfirewall(非特权模式)
Pixfirewall#(特权模式)
Pixfirewall(config) #(配置模式)
监视模式:PIX防火墙在开机或重启的过程中,按住“Escape”键或发送一个“Break“字符,进入监视模式,该模式下可以更新操作系统映像和口令恢复。
12.2.2 六个基本配置命令
Pix525(config)#nameif 接口 接口名 安全级别
Pix525(config)#nameif pix/intf3security40
12.2.3 高级配置命令
static命令 的作用是配置静态IP地址翻译,使内部地址与外部地址一一对应;
nat命令的作用是地址转换命令,将内网的私有ip转换为外网公网ip;
global命令的作用是指定公网地址范围、定义地址池;
fixup命令的作用是启用或禁止一个服务或协议, 通过指定端口设置PIX防火墙要侦听listen服务的端口。
conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的进入方向的会话。对于向内部接口的连接,将联合使用static和conduit命令来指定会话的建立
12.3 网络入侵检测系统
12.3.1 IDS(分布式入侵检测系统)
入侵检测系统(Intrusion Detection System,简称IDS) 是一种被动的扫描方式, 将探测器部署在链路中对网络性能影响最大。
可以分为层次式、协作式、对等式等类型。其中,对等模型的应用使得分布式IDS真正避免了单点故障的发生。层次式IDS将数据收集的工作分布在整个网络中。协作式IDS的各数据分析模块可以相对独立地进行决策,与层次式IDS相比,具有更大的自主性。出现单点故障影响最严重的是集中式。
根据网络拓扑结构的不同,入侵检测系统的探测器可以通过三种方式部署在被检测的网络中:网络接口卡与交换设备的监控端口连接,通过交换设备的Span/Mirroi功能将流向各端口的数据包复制一份给监控端口,入侵检测传感器从监控端口获取数据包进行分析和外理:在网络中增加一台集线器改变网终拓扑结构:通过一个TAP(分路器)设备对交换式网络中的数据包进行分析和处理。
12.3.2 IPS(入侵防护系统)
整合了防火墙技术和入侵检测技术,工作在In-Line(内联)模式,像入侵检测系统IDS一样具备嗅探功能。所有接收到的数据包都要经过入防护系统检查之后决定是否放行,或执行缓存、抛弃策略,发生攻击时及时发出警报,并将网络攻击事件及所采取的措施和结果进行记录。
IPS主要分为基于主机的IPS(HIPS)、基于网络的IPS(NIPS)和应用IPS(AIPS)。
HIPS部署于受保护的主机系统中,可以监视内核的系统调用,阻挡攻击。
NIPS布置于网络出口处,一般串联于防火墙与路由器之间(串接在被保护的链路中)。NIPS对攻击的误报(不是漏报)会导致合法的通信被阻断。
AIPS(应用入侵防护系统)一般部署在应用服务器前端
12.4 网络攻击
- SYN Flooding攻击:使用无效的IP地址,利用TCP连接的三次握手过程,使得受害主机处于开放会话的请求之中,直至连接超时。在此期间,受害主机将会连续接受这种会话请求,最终因耗尽资源而停止响应。
2. DDos攻击:利用攻破的多个系统发送大量请求去集中攻击其他目标,受害设备因为无法处理而拒绝服务。
3. SQL注入攻击:属于利用系统漏洞,基于网络的入侵防护系统和基于主机入侵防护系统都难以阻断。防火墙(基于网络的防护系统)无法阻断这种攻击。
4. Land攻击:向某个设备发送数据包,并将数据包的源IP地址和目的地址都设置成攻击目标的地址。
5. 协议欺骗攻击:通过伪造某台主机的IP地址窃取特权的攻击。有以下几种:(1)IP欺骗攻击。(2)ARP欺骗攻击。(3)DNS欺骗攻击。(4)源路由欺骗攻击。
6. DNS欺骗攻击:攻击者采用某种欺骗手段,使用户查询服务器进行域名解析时获得一个错误的IP地址,从而可将用户引导到错误的Internet站点。
7. IP欺骗攻击:通过伪造某台主机的IP地址骗取特权,进而进行攻击的技术。
8. Cookie篡改攻击:通过对Cookie的篡改可以实现非法访问目标站点,基于网络的入侵防护系统无法阻断。
9. Smurf攻击:攻击者冒充受害主机的IP地址,向一个大的网络发送echorequest的定向广播包,此网络的许多主机都做出回应,受害主机会收到大龄的echo reply消息。基于网络的入侵防护系统可以阻断Smurf攻击。
10. 基于网络的防护系统无法阻断Cookie篡改、DNS欺骗、SQL注入。
11. 基于网络的入侵防护系统和基于主机入侵防护系统都难以阻断的是跨站脚本攻击(xss)、SQL注入攻击
12.跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息
13.路由器通常具有包过滤功能,可以将从某一端口接收到的符合一定特征的数据包进行过滤而不再转发。Teardro是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的P包。包过滤路由器可以对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。从而阻断Teardrop攻击。
12.基于主机的入侵防护系统可以阻断缓冲区溢出,改变登录口令,改变动态链接库以及其他试图从操作系统夺取控制权的入侵行为。
基于网络的入侵防护系统主要进行包过滤保护,如丢弃含有攻击性的数据包或者阻断连接。
应用入侵防护系统能够阻止,如Cookie算改、SQL代码嵌入、参数算改、缓冲区溢出、强制浏览、畸形数据包和数据类型不匹配等攻击。选项B属于应用入侵防护系统功能.
12.5 加密算法
- 非对称加密算法,网络中N个用户之间进行加密通信,需要N对密匙,即2N个密钥,常见的非对称加密有RSA、DSA、PKCS、PGP。
- 对称加密算法,N个用户则需要N(N-1)个密钥,常见的对称加密算法有IDES、 IDEA、RC2、RC4、Skipjack。
「即非对称2N,对称N(N-1)个密匙」
12.6 RAID
- RAID卡可以提供多个磁盘接口通道,比如一些RAID卡提供2个甚至4个磁盘接口通道。
- RAID10融合了RAID0的高速和RAID1的安全,是RAID0和RAID1的组合。
- 有些服务器主板中自带RAID控制器,所以服务器不一定需要外加—个RAID卡才能实现RAID功能。
- RAID控制器的磁盘接口通常是SCSI接口,也支持IDE接口、SATA接口等。
- RAID卡可以提供多个磁盘接口通道。
- RAID5可靠性优于RAID1
12.7 
网络安全的等级
可信计算机系统评估准则(TESEC)将计算机系统的安全可信度从低到高分为四类,共七个级别: D级,最小保护,该级的计算机系统除了物理上的安全设施外没有任何安全措施,任何人只要启动系统就可以访问系统的资源和数据; C1级,自主保护类,具有自主访问控制机制,用户登录时需要进行身份鉴别; C2级,自主保护类,具有审计和验证机制; B1级,强制安全保护类,引入强制访问控制机制,能够对主体和客体的安全标记进行管理; B2级,结构保护,要求计算机系统所有的对象都加标签,而且给设备分配单个或多个安全级别; B3级,具有硬件支持的安全域分离措施,从而保证安全域中软件和硬件的完整性,提供可信通道; A1级,要求对安全模型作形式化的证明,对隐通道作形式化的分析,有可靠的发行安装过程。
基于网络的入侵检测系统采用的基本识别技术:模式匹配、频率或阈值、事件的相关性和统计意义上的非正常现象检测。
常见网络版防病毒系统是由系统中心、客户端、服务器端与管理控制台组成。管理控制台既可以安装在服务端也可以安装在客户端,系统的数据通信端口可以设定。
13 第十一章
1.协议欺骗攻击方式有以下几种:
(1) IP欺骗攻击。(2) ARP欺骗攻击。(3) DNS欺骗攻击。(4) 源路由欺骗攻击。其中IP欺骗攻击是通过伪造某台主机的IP地址骗取特权,进而进行攻击的技术。
13.1 
ICMP(互联网控制消息协议)
ICMP消息封装在IP数据包内而非TCP数据包内。
13.2 Windows2003控制台命令
ipconfig命令显示当前TCP/IP网络配置。/all查看客户机获取的地址租约及其他配置信息情况。/release命令可以释放已获得的地址租约。/renew命令可以重新从DHCP服务器获得新的地址租约.
Netstat命令显示活动的TCP连接、倾听的端口、以太网统计信息、IP路由表和IP统计信息,-a 将显示出所有连接和侦听端口。netstat -r用于显示路由表内容机列表或指定计算机上共享资源的列表
NBtstat命令用于显示本机与远程计算机的基于TCP IP的NetBIOS的统计及连接信息。其后带上“a", 显示结果将使用远程计算机的名称列出名称表。nbtstat -r功能是列出通过广播和WINS解析的名称。-s 列出会话及其目的IP地址。
Nslookup (域名查询)是一个用于查询Internet或名信息或诊断DNS服务器问题的工具。Pathping结合了ping路由表和IP统计信息。将报文发送到所经过地所有路由器,并根据每一跳返回的报文进行统计
tracert命令的功能通过发送包含不同TTL的ICMP报文并监听回应报文,来探测到达目的计算机的路径。跟踪和查看到目标节点的网络跳数和连接状况
net view命令:用于显示域列表、计算机列表或指定计算机上共享资源的列表。
route命令用于在本地ip路由表中显示和修改条目,在Windows中可以通过route add命来添加和修改默认网关,route -f是用于清除路由表中所有的网关条目。
nslookup命令可以测试正向和反向查找区域,用于测试域名与IP地址相互解析的功能;
arp命用于显示或修改地址转换协议(ARP)表项
ping命令可以测试正向查找区域,能通过发送ICMP报文并监听回应报文,来检查与远程或本地计算机的连接
net statistics命令用于显示本地工作站或服务器服务的统计日志。
13.2.1 例题
13.3 SNMP
简单网络管理协议(Simple Network Management Protocol)
13.3.1 操作和描述
- SNMP的主要操作有获取(get)、设置(set)、通知(notification),每种作都有相应的PDU操作.
- 只有在团体字的访问模式是read-write的条件下才能实现Set操作
- 当出现自陷情况时,代理站会向管理发出包含团体字和TrapPDU的报文
- 当管理站需要查询时,就向某个代理发出包含团体字和GetRequestPDU的报文
- 代理使用Inform方式执行Notification操作时需要收到管理站发出的—条确认消息
- 向管理站发出—条Inform通知而未收到确认消息时,会再次发送
- 由1.3.6.1.4.1.9.开头的标识符(OID)定义的是私有管理对象
- MIB-2库中计量器类型的值可以增加也可以减少,计数器类型的值是一个非负整数只能从0开始逐步增加,不能减少
- SNMP管理模型中,Manager通过SNMP定义的PDU向Agent发出请求
- SNMP定义比较简单,并不在每层都定义有管理实体,只在TCP/IP协议层上洗行定义,并基于UDP传输
11.管理站向路由器按照团体字traps发送自陷消息
使用团体字informs发送通知
13.4 其他
在大型网络中评估分析系统通常采用控制台和代理结合的结构。
网络安全评估技术常被用来进行穿透实验和安全审计。
13.4.1 用作安全评估的工具:
ISS扫描器:用于自动对网络设备安全漏洞的检查和分析。
MBSA:微软的安全评估工具,可以对IE、Outlook和Office等系统的安全报告。
X- Scanner:在Windows下,针对Windows NT/Windows 2000和Windows XP操作系统的安全进行全面细致的评估。
13.4.2 漏洞扫描工具:
漏洞扫描器的主要评价指标包括:速度、能够发现的漏洞数量、是否支持可定制的攻击方法、报告、更新周期。
CVE为每个漏洞确定了唯一的名称和标准化的描述
X-Scanner采用多线程方式对指定IP地址段进行安全漏洞扫描
ISS的System Scanner通过依附于主机上的扫描器代理侦测主机内部的漏洞,采用的是主动采用积极的、非破坏的扫描方式.
13.4.3 常用的网络嗅探器:
Sniffer:
Iris:
TCPdump:可以将网络中传送的数据包的"头"完全截获下来提供分析。它支持针对网络层、协议、主机、网络或需口的过滤,并提供and、or、not等逻辑语句来去掉无用的信息。
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
13.4.4 漏洞扫描技术
扫描分为被动和主动两种:
被动扫描对网络上流量进行分析,不产生额外的流量,不会导致系统的崩溃,其工作方式类似于IDS。
主动扫描则更多地带有入侵的意味,可能会影响网络系统的正常运行。
13.4.5 于Cisco路由器中Netow的基本配置
配置Netflow输出目标,即采集服务器的IP地址和监听端口
Router ( config) #ip flow-export destination 202.113.79.25 99962
配置输出版本5或7
Router ( config) ip flow-export version 5|7
查看Netflow的配置信息
Router ( config) #show ip flow export
查看Netflow采集到的信息
Router (config) #show ip cache flow
13.4.6 网络管理软件
MRTG(Multi Router Tramic Grapher)是一个监控网络链路流量负载的工具软件,通过snmp协议得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户,以非常直观的形式显示流量负载。
Netview
Solarwinds