- QoS:保證服務質量。主要技術:資源預留(RSVP),區分服務(Diff-Serv)與多協議標記交換(MPLS)。
- 網絡管理:帶內網絡管理和帶外網絡管理。
- 寬帶無線接入技術:802.11 標準的無線局域網WLAN,802.16標準的無線城域網WMAN 其中,802.11傳輸速率爲1M或2M,802.11b爲1,2,5.5,11M 802.11a爲54M 802.16是70M。
- 光纖接入技術:ITU標準 OC-3,155.520M的對稱業務, 上行OC-3,155.520M,下行OC-12,622.080M的不對稱業務。
- 三網融合 “三網融合”中的三網是指計算機網絡、電信通信網和廣播電視網。
- 寬帶接入技術:數字用線xDSL技術,光纖同軸電纜混合網HFC技術,光纖接入技術,無線接入技術以及局域網接入技術。注意:SDH指的是同步數字體系,不屬於具體的網絡接入技術。
- 三個平臺一個出口:網絡平臺,業務平臺與管理平臺,城市寬帶出口。
- Cluster 集羣是指一組連接起來的電腦,它們共同工作對外界來說就像一個電腦一樣,一般用於單個電腦無法完成的高性能計算中。在集羣中當服務器組中一臺主機出現故障後,程序立即轉移到其他主機中運行,一臺主機出現故障時雖不會使整個網絡無法工作,但仍然會影響系統的性能。
RAID是一種把多塊獨立的硬盤(物理硬盤)按不同的方式組合起來形成一個硬盤組(邏輯硬盤),從而提供比單個硬盤更高的存儲性能和提供數據備份技術。
RISC指的是精簡指令集計算機系統。
CISC 複雜指令集計算機系統 。 - 路由器的性能指標主要包括吞吐量、背板能力、丟包率、時延與時延抖動、突發處理能力、路由表容量、服務質量、網管能力、可靠性和可用性。
系統的可用性用平均無故障時間(MTTF),,可維護性用平均維修時間(MTTR)來度量,即系統發生故障後維修和重新恢復正常運行平均花費的時間。計算機系統的可用性定義爲:MTTF/(MTTF+MTTR)100%。,這裏要記住幾個常用的數字。 如果系統高可用性達到99.9%,那麼每年的停機的時間<=8.8小時;達到99.99%,停機時間<=53分鐘;達到99.999%,停機時間<=*5分鐘。
IP 地址
局域網設備
中繼器是物理層的連接設備,工作在物理層。其原因爲: ①中繼器只能起到對傳輸介質上信號波形的接收、放大、整形和轉發的作用;②中繼器的工作不涉及幀結構,不對幀的內容做任何處理。
集線器 又被稱爲多端口中繼器,工作在物理層,連接到一個集線器的所有結點共享一個衝突域。
集線器基於MAC地址完成數據幀轉發,這種說法是錯誤的,這種說法是錯誤的,這種說法是錯誤的。
由於連接到一個集線器的所有結點共享一個衝突域,因此連接到集線器的結點發送數據時,仍然要執行CSMA/CD介質訪問控制方法。
在獲得發送數據的權利之後,信源結點利用一對發送線將數據通過集線器內部的總線廣播出去。如果在網絡鏈路中串接一個集線器,可以監聽該鏈路中廣播的數據包。
網橋 網橋的主要性能指標包括幀轉發速率和幀過濾速率。
網橋最重要的維護工作是構建和維護MAC地址表。
交換機交換機在源端口與目的端口間建立虛連接。
交換機基於MAC地址識別完成數據轉發。綜合佈線系統
STP電纜價格比UTP(雙絞線)要貴,而且對安裝施工的要求較高,但是STP比UTP的抗電磁干擾能力好。
建築羣佈線子系統所採用的鋪設方式主要有架空佈線、巷道佈線、直埋佈線、地下管道佈線,或者是這4種鋪設方式的任意組合。其中地下管道佈線的鋪設方式能夠對線纜提供最佳的機械保護,是最理想的方式。
多介質插座是用來連接UTP和STP的。這種說法是錯誤的。多介質信息插座用來連接銅纜和光纖,用以解決用戶對”光纖到桌面”的需求。
在綜合佈線系統中,水平佈線子系統多采用5類(或超5類,或6類)4對非屏蔽雙絞線。雙絞線電纜長度應該在90m以內,信息插座應在內部作固定線連接。交換機
交換表:
交換表的內容包括:目的MAC地址、該地址所對應的交換機端口號以及所在的虛擬子網。
顯示交換表內容的命令:Cisco大中型交換機使用”show cam dynamic”
交換機:
小型交換機使用”show mac-address-table”
交換表中沒有接收幀的目的MAC地址時,交換機用Flood技術轉發該幀
交換機採用蓋時間戳的方法刷新交換表。
交換機的配置方式:1.使用控制(Console)端口配置交換機。
2.使用telent配置交換機。
3.使用瀏覽器配置交換機。
交換機端口配置:
注意區分Catalyst 3500和Cisco IOS系統,前者是config 後者是config-if
CAT-OS配置的時候都需要添加set
刪除VLAN用的命令是clear,不是delete
VLAN 1 是默認的vlan,只能使用,不能刪除,不能修改。
以太網的vlan範圍是2-1000。
爲交換機端口分配VLAN,
例題:
1)cisco交換機端口分配VLAN的配置:
如下圖所示,Cisco 3548交換機A與B之間需傳輸名爲VL1
0(ID號爲10)和VL15(ID號爲15)的VLAN信息。下列爲交換機A的g0/1端口分配VLAN的配置,正確的是(A)。
A) Switch-3548(config)#interface g0/1
Switch-3548(config-if)#switchport mode trunk
Switch-3548(config-if)#switchport trunk allowed vlan 10,15
B) Switch-3548(config)#interface g0/1
Switch-3548(config-if)#switchport mode trunk
Switch-3548(config-if)#switchport trunk access vlan 10,15
C) Switch-3548(config)#interface g0/1
Switch-3548(config-if)#switchport mode trunk
Switch-3548(config-if)#switchport allowed vlan vl10,vl15
D) Switch-3548(config)#interface g0/1
Switch-3548(config-if)#switchport mode trunk
Switch-3548(config-if)#switchport trunk allowed vlan 10-15
題中爲交換機A的g0/1端口分配VLAN的配置。以Cisco 3548交換機爲例:
步驟一:進入交換機端口配置模式(config)#interface g0/1
步驟二:配置VLAN Trunk模式(config-if)#switchport mode trunk
步驟三:爲端口分配VLAN(config-if)#switchport trunk allowed vlan 10,15
2)telnet配置方式:
Cisco 3548交換機採用telnet遠程管理方式進行配置,其設備管理地址是222.38.12.23/24,缺省路由是222.38.12.1。下列對交換機預先進行的配置,正確的是()。
A) Switch-3548(config)#interface vlan1
Switch-3548(config-if)#ip address 222.38.12.23 255.255.255.0
Switch-3548(config-if)#ip default-gateway 222.38.12.1
Switch-3548(config-if)#exit
Switch-3548(config)#line vty 0 4
Switch-3548(config-line)#password 7 ccc
Switch-3548(config-line)#exit
B) Switch-3548(config)#interface vlan1
Switch-3548(config-if)#ip address 222.38.12.23 255.255.255.0
Switch-3548(config-if)#exit
Switch-3548(config)#ip default-gateway 222.38.12.1
Switch-3548(config)#line vty 0 4
Switch-3548(config-line)#password 7 ccc
Switch-3548(config-line)#exit
C) Switch-3548(config)#interface vlan1
Switch-3548(config-if)#ip address 222.38.12.23 255.255.255.0
Switch-3548(config-if)#exit
Switch-3548(config)#ip default-route 222.38.12.1
Switch-3548(config)#line vty 0 4
Switch-3548(config-line)#password 7 ccc
Switch-3548(config-line)#exit
D) Switch-3548(config)#interface vlan1
Switch-3548(config-if)#ip address 222.38.12.23 255.255.255.0
Switch-3548(config-if)#exit
Switch-3548(config)#ip default-gateway 222.38.12.1
Switch-3548(config)#line aux 0 4
Switch-3548(config-line)#password 7 ccc
Switch-3548(config-line)#exit
交換機telnet遠程管理方式進行配置。以Cisco 3548交換機爲例:
步驟一:進入端口配置模式(config)#interface vlan1
步驟二:配置端口通信IP地址與子網掩碼(config-if)#ip address 222.38.12.23 255.255.255.0
步驟三:退出(config-if)#exit
步驟四:配置缺省路由(config)#ip default-gateway 222.38.12.1
步驟五:配置遠程登錄口令(config)#line vty 0 4
(config-line)#password 7 ccc
步驟六:退出(config-line)#exit
3)將Cisco 6500第4模塊第1端口的通信方式設置爲半雙工,第2~24端口的通信方式設置爲全雙工:
Switch-6500>(enable)set port duplex 4/1 half
Switch-6500>(enable)set port duplex 4/2-24 full
注意常用來是錯誤的選項爲set interface duplex 4/1 half,set port duplex 4/2-4/24 full,以及順序錯誤,這三種。
交換機VLAN的配置:
虛擬專用網VLAN技術
VLAN技術特性:工作在OSI參考模型的第二層(數據鏈路層)。
3COM交換機使用的是IEEE802.1Q,不支持ISl協議(私有協議)。
16.路由器
路由器的內存:只讀內存ROM,隨機存儲器RAM,非易失性隨機存讀器NVRAM,閃存Flash。
從NVRAM加載配置信息命令爲configure memory。
將路由器配置保存在NVRAM中命令爲write memory
1)路由器的配置方法:
Cisco路由器第3模塊第1端口通過E1標準的DDN專線與一臺遠程路由器相連,端口的IP地址爲195.112.41.81/30,遠程路由器端口封裝PPP協議。下列路由器的端口配置,正確的是(A)。
A) Router(config)#interface s3/1
Router(config-if)#bandwidth 2048
Router(config-if)#ip address 195.112.41.81 255.255.255.252
Router(config-if)#encapsulation ppp
Router(config-if)#exit
B) Router(config)#interface a3/1
Router(config-if)#bandwidth 2000
Router(config-if)#ip address 195.112.41.81 255.255.255.252
Router(config-if)#encapsulation ppp
Router(config-if)#exit
C) Router(config)#interface s3/1
Router(config-if)#bandwidth 2
Router(config-if)#ip address 195.112.41.81 255.255.255.252
Router(config-if)#encapsulation ppp
Router(config-if)#exit
D) Router(config)#interface s3/1
Router(config-if)#bandwidth 2048
Router(config-if)#ip address 195.112.41.81 255.255.255.252
Router(config-if)#encapsulation hdlc
Router(config-if)#exit
題中路由器的端口配置方法如下:
步驟一:進入第3模塊第1端口配置模式(config)#interface s3/1。
步驟二:設置帶寬,其中E1速率爲2.048Mbit/s,所以設置帶寬爲2048(config-if)#bandwidth 2048。
步驟三:配置端口通信IP地址與子網掩碼(config-if)#ip address 195.112.41.81 255.255.255.252。
步驟四:設置遠程路由器端口封裝PPP協議,(config-if)#encapsulation PPP。
步驟五:退出(config-if)#exit。
配置擴展訪問控制列表命令格式如下:
Access-list access-list-number {permit | deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]
注:access-list-number是訪問控制列表號。permit是語句匹配時允許通過,deny是語句不匹配時,拒絕通過。source是源IP地址,protocol是值得數據包遵守的協議,也就是數據類型。soure-wildcard是通配符,log是可選項,生成有關分組匹配情況的日誌消息,發到控制檯。題中拒絕轉發所有IP地址進與出方向的、端口號爲1434的UDP數據包:deny udp any any eq 1434;拒絕轉發所有IP地址進與出方向的、端口號爲4444的TCP數據包:deny tcp any any eq 4444。允許其他端口和其他類型的數據包:permit ip any any。由於要根據數據包頭中的協議類型進行過濾,所以選用擴展訪問控制列表,擴展訪問控制列表的表號範圍是100~199,後來又擴展的表號是2000~2699。
3)Cisco路由器DHCP地址池的配置:
在Cisco路由器上建立一個名爲zw246的DHCP地址池,地址池的IP地址是176.115.246.0/24,其中不用於動態分配的地址有176.115.246.2-176.115.246.10,缺省網關爲176.115.246.1,域名爲tj.edu.cn,域名服務器地址爲176.115.129.26,地址租用時間設定爲6小時30分鐘。下列DHCP地址池的配置,正確的是(C)。
A) Router(config)#ip dhcp pool zw246
Router(dhcp-config)#ip dhcp excluded-address 176.115.246.2 176.115.246.10
Router(dhcp-config)#network 176.115.246.0 255.255.255.0
Router(dhcp-config)#default-router 176.115.246.1
Router(dhcp-config)#domain-name tj.edu.cn
Router(dhcp-config)#dns-server address 176.115.129.26
Router(dhcp-config)#lease 0 6 30
B) Router(config)#ip dhcp excluded-address 176.115.246.2-10
Router(config)#ip dhcp pool zw246
Router(dhcp-config)#network 176.115.246.0 255.255.255.0
Router(dhcp-config)#default-router 176.115.246.1
Router(dhcp-config)#domain-name tj.edu.cn
Router(dhcp-config)#dns-server address 176.115.129.26
Router(dhcp-config)#lease 0 6 30
C) Router(config)#ip dhcp excluded-address 176.115.246.2 176.115.246.10
Router(config)#ip dhcp pool zw246
Router(dhcp-config)#network 176.115.246.0 255.255.255.0
Router(dhcp-config)#default-router 176.115.246.1
Router(dhcp-config)#domain-name tj.edu.cn
Router(dhcp-config)#dns-server address 176.115.129.26
Router(dhcp-config)#lease 0 6 30
D) Router(config)#ip dhcp excluded-address 176.115.246.2 176.115.246.10
Router(config)#ip dhcp pool zw246
Router(dhcp-config)#network 176.115.246.0 255.255.255.0
Router(dhcp-config)#default-router 176.115.246.1
Router(dhcp-config)#domain-name tj.edu.cn
Router(dhcp-config)#dns-server address 176.115.129.26
步驟一:首先排除不用於動態分配的地址(config)#ip dhcp excluded-address 176.115.246.2 176.115.246.10
步驟二:配置一個名爲zw246的DHCP地址池(config)#ip dhcp pool zw246
步驟三:配置IP地址池的子網地址和子網掩碼(dhcp-config)#network 176.115.246.0 255.255.255.0
步驟四:配置缺省網關(dhcp-config)#default-router 176.115.246.1
步驟五:配置IP地址池的域名(dhcp-config)#domain-name tj.edu.cn
步驟六:配置域名服務器的IP地址 (dhcp-config)#dns-setver address 176.115.129.26
步驟七:配置租借期爲6小時30分鐘(dhcp-config)#lease 0 6 30,格式爲:lease 天數 小時數 分鐘數
17.無線局域網設備安裝與調試
1)802.11標準
IEEE802.11b是在無線標準IEEE802.11的基礎上推出的第二代無線局域網協議標準。802.11無線局域網運作模式可以分爲兩種:點對點(Ad Hoc)模式和基本(Infrastructure)模式。
點對點模式指無線網卡和無線網卡之間的直接通信方式。只要PC插上無線網卡即可與另一具有無線網卡的PC連接,這是一種便捷的連接方式,最多可連接256個移動結點,而不是512臺PC。
基本模式指無線網絡規模擴充或無線和有線網絡並存的通信方式,這也是802.11最常用的方式。此時,插上無線網卡的移動結點需通過接入點AP(Access Point)與另一臺移動結點連接。接入點負責頻段管理及漫遊管理等工作,一個接入點最多可連接1024個移動結點。
無線路由器具有NAT功能,廣域網與局域網中的計算機交換數據時要通過路由器或網關的NAT(網絡地址轉換)進行IP地址的轉換。
18.計算機網絡信息服務系統的安裝與配置
1)DNS服務器
DNS服務器負責域名解析,由於DNS服務器會被頻繁訪問,故其IP地址應該是靜態設置的固定地址。
在安裝DNS服務時,這些根DNS服務器被自動加入到系統中,因此不需要管理員手工配置。
主機記錄的生存時間指該記錄被客戶端查詢到,存放在緩存中的持續時間。
轉發器是網絡上的DNS服務器,用於將外部 域名的DNS查詢轉發給該DNS服務器,即用於外部域名的DNS查詢。
2)DHCP服務器
作用域是網絡上IP地址的連續範圍,新建作用域後必須激活纔可爲客戶機分配地址。
地址池是作用域除保留外剩餘的IP地址(錯誤)
地址池是作用域應用排除範圍之後剩餘的IP地址(正確)
客戶機的地址租約續訂是由客戶端軟件自動完成。
保留地址可以使用作用域地址範圍中的任何IP地址。
3)www服務器
Web站點可以配置靜態IP地址,也可以配置動態IP地址。
而同一臺服務器可以構建多個網站。
訪問Web站點時可以使用站點的域名,也可以使用站點的IP地址。
建立Web站點時必須爲每個站點指定一個主目錄,也可以是虛擬的子目錄。
4)FTP服務器
新用戶的添加與註冊必須由管理員來操作,不能自行操作。
配置服務器域名時,可以使用域名或其它描述。
服務器IP地址可爲空,當服務器有多個IP地址或使用動態IP地址時,IP地址爲空會比較方便。
添加名爲”anonymous”的用戶時,系統會自動判定爲匿名用戶。
5)E-mail服務器
Winmail郵件服務器可以允許用戶使用Outlook創建在服務器中已經建立好的郵件賬戶,但並不支持用戶使用OutLook自行註冊新郵箱。
用戶自行註冊新郵箱時需輸入郵箱名、密碼等信息,而域名是服務器固定的,並不能自行設置。
爲建立郵件路由,需在DNS服務器中建立郵件服務器主機記錄和郵件交換器記錄。
19.網絡安全技術
1)安全評估
網絡安全風險評估系統是一種集網絡安全檢測、風險評估、修復、統計分析和網絡安全風險集中控制管理功能於一體的網絡安全設備。網絡安全評估包括漏洞檢測、修復建議和整體建議等幾個方面。網絡安全評估技術常被用來進行穿透實驗和安全審計。X-Scanner採用多線程方式對指定IP地址段(或單機)進行安全漏洞檢測,對系統進行安全評估。ISS的System Scanner通過依附於主機上的掃描器代理偵測主機內部的漏洞,採用的是主動採用積極的、非破壞的掃描方式。被動掃描工作方式類似於IDS。
2)數據備份
3)入侵檢測系統
入侵檢測系統(Intrusion Detection System,簡稱IDS)是一種被動的掃描方式,將探測器部署在鏈路中對網絡性能影響最大。
4)可信計算機系統評估準則TCSEC
(最小保護)D級:該級的計算機系統除了物理上的安全設施外沒有任何安全措施,任何人只要啓動系統就可以訪問系統的資源和數據,如DOS,Windows的低版本和DBASE均是這一類(指不符合安全要求的系統,不能在多用戶環境中處理敏感信息)。
(自主保護類)C1級:具有自主訪問控制機制、用戶登錄時需要進行身份鑑別。
(自主保護類)C2級:具有審計和驗證機制((對TCB)可信計算機基進行建立和維護操作,防止外部人員修改)。如多用戶的UNIX和ORACLE等系統大多具有C類的安全設施。
(強制安全保護類)B1級:引入強制訪問控制機制,能夠對主體和客體的安全標記進行管理。
B2級:具有形式化的安全模型,着重強凋實際評價的手段,能夠塒隱通道進行限制。(主要是對存儲隱通道)
B3級:具有硬件支持的安全域分離措施,從而保證安全域中軟件和硬件的完整性,提供可信通道。對時間隱通道的限制。
A1級:要求對安全模型作形式化的證明,對隱通道作形式化的分析,有可靠的發行安裝過程。(其安全功能,依次後麪包含前面的)。
因此用戶能定義訪問控制要求的自主保護類型系統屬於C類。
5)路由器過濾功能
路由器通常具有包過濾功能,可以將從某一端口接收到的符合一定特徵的數據包進行過濾而不再轉發。Teardrop是基於UDP的病態分片數據包的攻擊方法,其工作原理是向被攻擊者發送多個分片的IP包。包過濾路由器可以對接收到的分片數據包進行分析,計算數據包的片偏移量(Offset)是否有誤。從而阻斷Teardrop攻擊。
跨站腳本攻擊(也稱爲XSS)指利用網站漏洞從用戶那裏惡意盜取信息。cookie篡改(cookie poisoning)是攻擊者修改cookie(網站用戶計算機中的個人信息)獲得用戶未授權信息,進而盜用身份的過程。SQL注入是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。
6)Window環境下的命令
Windows中route命令用於在本地IP路由表中顯示和修改條目,在Windows中可以通過route add命令來添加和修改默認網關;ipconfig命令用於顯示所有適配器的基本 TCP/IP 配置;NET命令權限很大,主要用於管理本地或者遠程計算機的網絡環境,以及各種服務程序的運行和配置;NBTSTAT命令用於查看當前基於NRTBIOS的TCP/IP連接狀態,通過該工具可以獲得遠程或本地機器的組名和機器名。