第一章
1、按覆盖的地理范围划分,计算机网络可以分为局域网、城域网和广域网。
2、局域网提供高数据传输速率10Mbps-10Gbps,低误码率的高质量数据传输环境。
3、从介质访问控制方法划分,局域网可以分为共享介质式局域网和交换式局域网。
4、典型的计算机网络从逻辑上可以分为两部分:资源子网与通信子网。
5、在早期的ARPANET中承担通信控制处理机功能的设备是接口报文处理机(Interface Message Processor)IMP,它是路由器的雏形。
6、广域网技术研究的重点的宽带核心交换技术。
7、由城域网承担用户接入的任务,广域网技术主要研究远距离、宽带、高服务质量的核心交换技术。
8、局域网发展的三个方向:a、提高以太网的数据传输速率(10Mbps,100Mbps(FE),1Gbps(GE),10Gbps(10GE));b、将一个大型局域网划分为多个用网桥或路由器互联的网络。C、将共享介质方式改为交换方式。交换局域网的核心设备是局域网交换机。
9、早期的城域网首选技术是光纤环网,其典型产品是光纤分布式数据接口(FDDI).设计FDDI的目的是为了提供高速、高可靠和大范围的局域网互联。FDDI采用光纤作为传输介质,传输速率为100Mbps,可以用于100Km内的局域网互联。FDDI采用双环结构,具有快速环自愈能力的FDDI与IEEE802.5令牌环网络在技术上有很多相似之处。FDDI在MAC层采用802.5单令牌环网络介质访问控制MAC协议,在LLC层采用IEEE802.2协议,以适应城域网主干网的建设需要。
10、宽带城域网的结构涉及“三个平台与一个出口”,分别为:网络平台、业务平台与管理平台,一个出口为城市宽带出口。网络平台又包括核心交换层、边缘汇聚层与用户接入层。
11、核心层主要提供高速数据交换功能,汇聚层主要承担路由与流量汇聚功能,接入层主要承担用户接入与本地流量控制的功能。
12、组建与成功运营一个宽带城域网要考虑以下几个原则:可运营型、可管理性、可盈利性和可扩展性。
13、可运营型即必须提供7*24的电信级或准电信级宽带服务。其首先要解决技术选择和设备选型的问题。设备不一定是最先进的,但一定是最合适的。
14、宽带城域网的管理主要包括:带宽管理、服务质量、网络管理、用户管理、多业务接入、统计与计费、IP地址分配与地址转换、网络安全。
15、宽带城域网保证服务质量的技术有:预留资源(RSVP)、区分服务(DiffServ)和多协议标志交换(MPLS)。统计与计费一般采用SNMP(网络管理协议)的MIB(管理信息库)来实现。
解决IP资源耗尽的当前方法是采用公网ip与私有ip与NAT(地址转换技术)相结合,最终解决办法是采用IPV6.
16、构建宽带城域网的方法有三种:基于SDH的宽带城域网方案、基于10GE的宽带城域网方案和基于ATM的宽带城域网方案。
17、用于宽带城域网的光以太网有多种实现方式,其中最为重要的两种是基于10GE技术与弹性分组环技术。
18、10Gbps光以太网的优势:a、以太网与DWDM的技术已经非常成熟,成本很低。b、10Mpbs-10Gps都已经标准化,100Gbps正在研究,可以满足不同层次的需求。c、采用统一的技术方便管理和人员培训。
19、弹性分组环(RPR)是基于动态分组传输技术的(DPT),其标准是IEEE802.17。环形结构是目前城域网的主要拓扑结构。弹性分组环网络采用双环结构这一点与FDDI相同,在RPR环中,两个结点的裸光纤最大距离为100Km,将顺时针的环称为外环,逆时针的环称为内环,外环和内环都可用统计复用传输和控制分组,同时可以实现环自愈能力。每一个结点都可以从两个方向的光纤与临近结点通信,这样做除了高效利用光纤带宽外,还有一个目的是加速控制分组传输,实现环自愈能力,保证城域网系统的可靠性和服务质量。
20、RPR技术的主要特点是:宽带利用率高:SDH(50%);FDDI数据帧由发送结点收回,RPR由接收结点收回。公平性好:相同优先级的数据帧分配相同的环通道访问能力,执行SRP公平算法。快速保护和回复能力强:50ms内,隔离出现故障的结点和光线段。保证服务质量。
21、三网融合指的是:计算机网络、电信通信网和广播电视网。
22、802.11:1Mbps,2Mbps;802.11b:1Mbps,2Mbps;5.5Mbps;11Mbps;802.11a:54Mbps.
23、宽带城域网在组建方案中一定要按照电信级运行的要求,考虑设备冗余、线路冗余、路由冗余,以及系统故障的快速诊断与自动恢复。
第二章
1、基于网络的信息系统主要包括以下几个部分:网络运行环境、网络系统、网络操作系统、网络应用软件开发与运行环境、网络应用系统、网络安全系统和网络管理系统。
2、网络运行环境包括机房和电源两部分。
3、网络系统包括网络传输基础设施和网络设备。
4、网络应用软件开发与运行环境包括网络数据库管理系统与网络软件开发工具。
5、网络需求详细分析包括:网络总体需求分析、综合布线需求分析、网络可用性与可靠性分析、网络安全性、以及分析网络工程造价估算。
6、网络系统的拓扑结构是否需要分为三层的经验数据是:如果节点数为250-5000采用三层网络结构,100-500可以不用设计用户接入层,而直接让用户通过汇聚层的路由器或交换机接入网络;5-250可以不用设计接入层和交换层网络。
7、核心层承担整个网络流量的40%-60%,其技术标准主要是GE/10GE,核心设备是高性能交换路由器,连接核心路由器的是具有冗余链路的光纤。核心层有两种连接方案:(a)通过冗余链路直接连接两台核心路由器;(b)采取专用服务器交换机,同时采用链路冗余的办法间接连接两台核心路由器。方案a的优点是有效利用核心路由器带宽,缺点是要使用的端口较多,成本较高;方案b的优点是分担核心路由器的带宽,缺点是容易形成带宽瓶颈,以及存在单点故障的风险。
8、在一般规模的网络系统中,尤其是一期工程的建设中,人们经常采用多个并行的GE/10GE交换机堆叠的方式来扩展端口密度,由一台交换机通过光端口向上级联,将汇聚层与接入层合并成一层。
9、网络系统分层设计的好处是可以方便地分配与规划带宽,有利于均衡负荷,提高网络效率。根据实际经验总结:层次之间上联带宽与下一级带宽之比一般在1:20.
10、网络关键设备选型的基本原则是:a、选择成熟的主流产品,最好是一家厂商的产品。 b、主干设备一定要留有一定的余量,注意系统的可扩展性。c、对于新组建网络一定要在总体规划的基础上选择新技术、新标准与新产品,避免因小失大。
10、路由器一般根据背板的交换能力来划分,背板交换能力大于40Gbps的路由器称作高端路由器,小于40Gbps的称为中低端路由器。
11、支持500个以上结点的大型应用可以选择企业级交换机;支持300个以下的选择部门级交换机;支持100个以下的选择工作组级交换机。
12、全双工端口带宽的计算方法是:端口数*端口速率*2.在交换机选型中一个重要的数据是背板带宽/全双工端口的总带宽的比值。值越高交换机就越趋近于高性能线速无阻塞交换,交换机性能就越好,造价就越高。
13、Internet/Interanet通用服务器主要包括:DNS服务器、WWW服务器、Ftp服务器、E-Mail服务器,以及远程通信服务器、代理服务器等。
14、路由器的可靠性与可用性表现在:设备冗余、热拔插组件、无故障工作时间、内部时钟精度等方面。路由器的冗余表现在:接口冗余、电源冗余、系统板冗余、时钟板冗余、整机设备冗余等方面。
15、高端路由器一般用作主干路由器,企业级路由器一般用作汇聚级路由器,低端路由器一般用于接入路由器。
16、从内部结构分类,可以分为固定端口交换机与模块式交换机。
17、网络服务器的类型可以分为:文件服务器、数据库服务器、Internet通用服务器与应用服务器。应用服务器是基于B/S工作模式的。
18、基础服务器一般是只有1个CPU,工作组级服务器一般支持1-2个CPU,部门级服务器一般支持2-4个CPU,企业级服务器一般支持4-8个CPU.
19、分布式内存访问技术是将对称多处理技术(SMP)与集群技术结合起来,用于多达64个或更多的CPU的服务器之中,以获得更高的性价比。
20、服务器的性能主要表现在:运算处理能力、磁盘访问能力、高可用性、数据吞吐能力、可管理性与可扩展性。
21、网络系统安全必须包括3个机制:安全防护机制、安全监测机制与安全恢复机制。
第三章
1、IP地址经历了四个阶段:标准分类的IP地址、划分子网的三级地址结构、构成超网的无类域间路由技术(CIDR)和网络地址转换NAT技术。
2、标准分类的IP地址由网络号和主机号组成,共32位,采用点分十进制的方法表示。主要包括A类地址、B类地址、C类地址和特殊地址。A类地址首位为0,网络号为7位,可表示27个网络,其中第一个和最后一个留作特殊用途,10.为保留地址,所以共有125个可用,主机号有24位,但是全0和全1有特殊用途,所以每个网络号拥有224-2个主机。B类地址以10开头,网络号为14位,可表示214个网络,主机号为16位,可拥有216-2个主机,C类地址以110开头,网络号为21位,可表示221个网络,主机号为8位,可拥有28-2个主机。特殊地址主要包括:直接广播地址、受限广播地址、“这个网络上特定主机”地址和回送地址。直接广播地址为主机号全1,用以向特定网络上的所有主机发送分组,受限广播地址为32位全1,用以向本网络所有主机发送分组使用,“这个网络上的特定主机”是网络号全零,主机号为本网络指定主机的地址,用以向本网络特定主机发送分组,回送地址是127.0.0.0,用于软件测试,ping就是基于此。
3、划分子网的三级地址结构为:网络号+子网号+主机号。
4、构成超网的CIDR技术的两个特点:(1)采用网络前缀代替网络号+主机号的结构,形成新的二级网络地址结构,即IP地址可表示<网络前缀>+<主机号>(2)CIDR可以将网络前缀相同的连续IP地址组成一个CIDR地址块。CIDR地址的一个重要特点是地址汇聚与路由汇聚的能力。
5、IP规划的几种情况:
IP地址划分(根据需求计算并申请网络地址):根据需要子网数确定网络号位数根据主机数确定主机号位数,由这两项选择使用哪一类IP地址,并计算出子网掩码,然后计算网络地址、广播地址、主机地址。最终要体现出的是网络地址-主机地址-定向广播地址。
子网划分方法(根据IP地址划分子网):依然要根据子网个数和主机个数确定子网号和主机号位数,然后计算子网掩码,然后列出子网地址段
可变长子网掩码地址规划:子网长度不同,根据需求分析应该为每个子网分配的子网号长度、主机号长度,计算子网掩码,列出ip地址段。
CIDR地址规划方法:根据需要划分的网络个数确定还要增加几位网络前缀,然后列出地址段。
内部网络专用IP地址规划与网络地址转换NAT方法:首选A类地址、不要拘泥于数值上的划分,可以根据四段每一段进行十进制的划分。
6、IPV6地址长度为128位,分为单播地址、组播地址、多播地址和特殊地址。如果某一段全为0则可以缩写为0,多个连续的0可以缩写为0::0,但是在地址中只能出现一次。
第四章 路由设计基础
1、分组转发分为直接转发和间接转发两类。若源主机与目的主机在同一个网络或路由器与目的主机在同一个网络则为直接转发,否则为间接转发。
2、从路由选择算法对网络拓扑和通信量变化的自适应能力的角度来划分,可分为静态路由选择算法与动态路由选择算法两大类。
3、CIDR使得路由选择变成了从匹配结果中选择具有最长网络前缀的路由的过程,这就是“最长前缀匹配”的路由选择原则。
4、Internet将路由选择协议分为两大类:内部网关协议(IGP)和外部网关协议(EGP)。目前内部网关协议主要有RIP(路由信息协议Routing Information Protocol)和OSPF(开放式最短路径优先协议,Opening Shortest Path First),外部网关协议主要是边界网关协议(BGP,Border Gateway Protocol)。
5、RIP是一种分布式、基于距离向量的路由选择协议;一个计算题:路由信息协议的工作过程:初始化的路由器只包含所有与该路由器直接相连的网络的路由,其它均为0;更新和维护:路由表建立以后,各路由器会周期地向外广播其路由表的内容。当一个路由器收到路由表内容时就与在自己的路由表中寻找,如果没有就将该路由项加上与该路由器的跳数,加入自己的路由表中,如果有则比较,取较小者。
6、OSPF使用分布式链路状态协议,当链路状态发生变化时用洪泛法向所有路由器发送此信息,一个区域内路由器的个数不超过200个。BGP-4采用了路由向量(path vector)路由协议。BGP发言人之间的通信需要先建立TCP连接。
7、BGP协议的工作过程:打开分组、更新分组、保活分组、通知分组。其基本过程是BGP发言人发出打开分组,相邻的BGP发言人发送保活分组响应,然后定期发送(每30s)发送保活分组以确认连接,当网络拓扑结构或流量发生变化时,发送更新分组以更新,可以一次删除多个路由表项,但是每次只能增加一个路由表项。
第五章局域网技术
1、IEEE802局域网参考模型对应于OSI参考模型的数据链路层和物理层。但是将数据链路层拆分为LLC(逻辑链路控制子层)和MAC(介质访问控制子层)。
2、交换机采用两种交换方式技术:快捷转发交换方式和存储转发交换方式。
3、在传统网络中,逻辑工作组容易受其所在网段的物理位置的限制,但有了交换式局域网则可采用虚拟局域网VLAN技术加以改善。VLAN可以有以下四种定义方式:基于交换机端口定义的虚拟局域网、基于MAC地址定义的虚拟局域网、基于网络层地址定义的虚拟局域网和基于IP广播组定义的虚拟局域网。
4、综合布线系统分为六个子系统,分别为:工作区子系统、配线(水平)子系统、干线(垂直)子系统、设备间子系统、管理子系统和建筑群子系统。
5、综合布线系统设计等级:基本型(1)、增强型(2)和综合性。
6、以太网组网的基本方法:IEEE802.3标准定义了以太网MAC层和物理层的协议标准。Mac层均采用CSMA/CD方法和相同的帧结构。但不同的以太网在物理层的实现方式却不同。传统以太网的物理层标准定义方式为IEEE802.3 x Type-y name。其中x表示传输速率单位为Mbps,Type表示传输方式是基带还是频带,y为网段最大长度单位是100m,name表示局域网名称。
7、要组建一个以太网局域网,则局域网LLC子层采用IEEE802.2标准,MAC子层采用CSMA/CD方法,物理结构取决于它选用的物理层标准,以太网可以选择10BASE-5,10BASE-2和10BASE-T。目前主流使用的是10BASE-T,使用无屏蔽双绞线、集线器和RJ-45接口。
8、集线器是对“共享介质”的一种改革,并且没有破坏CSMA/CD方法。它仍工作在物理层,所有的结点都在一个冲突域中。从结点和集线器的无屏蔽双绞线的最大长度为100m。
9、快速以太网的物理层标准有100BASE-TX,100BASE-T4和100BASE-FX.100BASE-TX采用两对5类分屏蔽双绞线,最大长度为100m,一对双绞线用于发送,一对双绞线用于接收,采用4B/5B编码方法,全双工工作方式。100BASE-T4采用4对3类非屏蔽双绞线,最大长度为100m,3对用于发送,1对用于冲突检测,编码采用8B/6T,半双工工作方式。100BASE-FX采用两根光纤,最大长度415m,一根用于发送,一根用于接收,编码采用4B/5B-NRZI编码方式,全双工。
10、支持全双工模式的快速以太网的拓扑结构一定是星型的。
11、自动协商功能只能用于使用双绞线的以太网,并且规定自动协商过程需要在500ms内完成。按工作模式性能从高到低,这些协议的优先级从高到低的排序是:100BASE-TX或100BASE-FX全双工,100BASE-T4,100BASE-TX半双工,10BASE-T全双工、10BASE-T半双工。
12、自动协商功能是链路两端设备通过交换100BASE-T定义的“基本链路代码字”来实现。
13、中继器是为了增加同轴电缆长度的设备,它工作在物理层不属于网络互联设备。10BASE-5中规定最多可以使用4个中继器连接最多3个网段,最大长度为2800m。
14、网桥工作在数据链路层,作用主要是a实现异构网络的互联b通过接收、转发和地址过滤的方式实现互联网络的通信。
15网桥的分类根据帧转发策略可以分为透明网桥和源路由网桥。根据端口可以分为双端口网桥和多端口网桥。根据网桥的连接线路可以分为普通局域网网桥、无线网桥与远程网桥。
16、网桥最重要的工作是建立和维护MAC地址表,其内容包括:站地址,端口和时间。
17透明网桥有以下三个特点:(1)网桥负责路由选择,结点不负责,网桥对结点透明(2)透明网桥用于连接两个MAC层协议相同的网段(3)即插即用,安装方便。
18、为了防止链路出现回路采用STP(spanning tree protocol,802.1d)。选择ID最小的网桥作为根网桥,非根网桥与根网桥最近的端口称为根端口,一个网段与根网桥最近的端口称为指定端口,其他称为阻塞端口。
19、网桥最主要面临的问题是帧转发率低与广播风暴,影响其性能的主要参数是:帧转发率与帧过滤率。
20、交换机与网桥的主要区别是主要功能都采用硬件完成,端口最多128(网桥24)。
21、综合布线采用的主要连接部件分为:建筑群配线架(CD),大楼配线架(BD)、楼层配线架(FD),转结点(TP),通信引出端(TO)。综合布线处记住90m。
22、水平子系统导线选型10Mbps 4-5类双绞线,10-100Mbps 5-6类双绞线,100Mbps 6类双绞线。
23、水平子系统布线一般采用走廊金属布线。
24、干线线缆敷设经常采用两种结合方式,即点对点结合和分支结合。
第六章 交换机及其配置
1、交换机是数据链路层的网络设备。其基本功能有三个:a、建立和维护交换表(目的MAC地址,端口,所在VLAN)。b、在发送端和接收端建立一个虚连接。c、完成数据帧的转发或过滤。
2、交换机和透明网桥都是通过自学习的方式来自动地建立和维护交换表。
3、交换机要丢弃的数据帧是目的地址与源地址相同的或者出于安全机制考虑不能转发的。
4、交换表建立的过程:开始空白,有数据帧进入则查找目的地址是否在交换表中,在则转发,不在则广播报文,拥有该地址的网络会回应报文,交换机将该记录加入表中。表的维护通过时间戳来完成。添加或引用时便会更新时间戳,定期删除某个时间戳以前的项。
5、在一些中高端交换机中,通常把交换表保存在CAM(content-addressable memory)中,可以通过交换机的show cam命令查看,大中型为show cam dynamic ,小型为show mac-address-table。
6、交换机的交换结构分为软件执行交换结构(早期)、矩阵交换结构(较少)、总线交换结构(应用比较广泛)和共享存储器交换结构(小型交换机)。
7、交换机的交换模式主要分静态交换和动态交换,动态交换又分为快速转发、碎片丢弃和存储转发。三个的转发时机分别为:获得目的MAC后(14B),获得前64B后,获得整个数据帧。
8、VLAN的特点:a、工作在数据链路层b每个VLAN都是一个独立的网段,独立的广播域c每个都有各自唯一的子网号,通信需要第三层的路由功能。
9、VLAN通常用VLAN ID和VLAN name表示。VLAN ID为12位0-1005为标准范围,1025-4096为扩展范围,其中1-1000为以太网VLAN ID.1002-1005为FDDI和Toke Ring的VLAN ID.VLAN name为32个字符表示,可以是字母和数字。缺省为VLAN00xxx 。
10、VLAN Trunk技术是交换机与交换机之间、交换机与路由器之间存在的一条物理链路,而在这一条物理链路上要传输多个VLAN信息的一种技术。VLAN Trunk采用帧标签的方式,每个帧标签指定一个唯一的VLAN ID。划分VLAN的方法分为基于端口、MAC地址、第三层协议类型或地址。
11、生成树协议是一个二层链路管理协议。STP的基本原理是通过在交换机之间发送网桥协议数据单元(BPDU)并使用生成树算法进行的。BPDU每隔2秒发送一次。BPDU分为两种:一种是配置BPDU(不超过35字节)和拓扑变化通知BPDU(小于4字节),优先级增量为4096,越小优先级越高。
12、交换机的配置方式主要有三种:通过控制(console)端口配置,通过telnet远程登录交换机,通过交换机发布Web服务配置。
13、通过控制端口配置需要一台提供超级终端软件的计算机和一根RJ-45到9针或25针异步串行接口的电缆。接口配置阐述为:传输速率9600,数据位8位,停止位1位
14、通过Telnet配置交换机需要满足的条件是:(1)作为模拟终端的计算机与交换机都必须与网络连通,它们之间能够互相通信(2)计算机必须有交换机的访问权限(3)交换机必须预先配置好设备管理地址(ip、掩码、网关)(4)交换机必须配置好控制远程登录的密码。
15、通过浏览器配置交换机的条件:(1)在用于配置的计算机和被管理的交换机上都已经配置好了IP地址,它们之间能够通过网络进行通信。(2)被管理交换机必须支持HTTP服务,并以启动该服务。(3)在用于管理的计算机中必须安装有支持Java的Web浏览器(4)在用于管理的计算机上,需要下载并安装Java-plugin(5)在被管理的交换机上,需拥有管理权限的用户账号和密码。
16、STP的配置任务包括:打开或关闭交换机的STP,设置STP的根网桥和备份网桥,配置生成树优先级、配置路径代价和配置STP可选功能等。
17、VTP有三种工作模式:VTP Server 、VTP Client和VTP Transparent.Server一般一个域中只有一个。用于设置因此不需要学习VLAN信息,Transparent相当于一个独立交换机不参与VTP工作,Client不能建立、删除或修改VLAN,它只能从Sserver学习VLAN配置。
第八章 无线局域网设别安装与调试
1、常用的无线局域网标准主要包括:蓝牙标准、HiperLAN标准和IEEE802.11标准。
2、因为蓝牙技术可以方便地嵌入到单一的CMOS芯片中,因此它特别适用于小型的移动通信设备。
3、蓝牙软件结构标准包括核心和应用协议栈两大部分。工作在2.402-2.480GHZ的ISM波段,标准速率1Mbps。
4、HiperLAN中一个AP所覆盖的区域称为一个小区,一个小区的覆盖范围在室内一般为30m,在室外一般为150m。采用5G射频频率,HiperLan/1上行速度20Mbps,HiperLAN/2上行速度可达54Mbps,它与3G兼容。
5、HiperLAN/2面向连接的特性有利于实现对Qos的支持。
6、IEEE802.11定义了两种类型的设备,无线结点和无线接入点,工作在2.4GHZ的ISM波段内。速度为1Mbps,2Mbps。
7、IEEE802.3为传统局域网的协议,IEEE802.3u为快速以太网的协议标准,IEEE802.1d为透明网桥的协议标准,IEEE802.1q为VLAN的协议标准,IEEE802.5为令牌环网络的协议标准。
8、IEEE802.11无线局域网协议中,冲突检测存在一定的问题(Near/Far现象),因为不能一边发送一边接收,所以无法使用CSMA/CD,将其改为CSMA/CA或DCF.另一个问题无线MAC层的问题是“hidden node”的问题,这个问题通过RTS/CTS解决。
9、目前无线网络的标准有IEEE802.11b,IEEE802.11a,IEEE802.11g等,IEEE802.11b仍是使用最广泛的标准。IEEE802.11b带宽最高可达11Mbps,而实际中还可采用5.5Mbps,2Mbps和1Mpbs。
10、IEEE802.11b运作模式基本分为两种:点对点模式(ad hoc,无线网卡与无线网卡之间的通信方式,最多256台),基本模式(无线网络规模扩充或无线和有线网络并存时的通信方式,是802.11b最常用的工作模式,最多1024台)。
11、IEEE802.11b的典型解决方案:对等解决方案、单接入点解决方案、多接入点解决方案、无线中继解决方案、无线冗余解决方案和多蜂窝无缝漫游解决方案。
12、无线局域网主要包括如下硬件设备:无线网卡、无线接入点AP、天线、无线网桥、无线路由器和无线网关。其中AP一般可连接30台左右的无线网络终端。
13、Aironet 1100 系列接入点是一款无线局域网接发器,主要用于独立无线网络的中心点或无线网络和有线网络之间的连接点。这款接入点设备主要是为企业办公环境而设计,兼容IEEE802.11b与IEEE802.11g,工作在2.4GHz频段,使用IOS操作系统。
14、在安装和配置无线接入点之前,先向网络管理员询问以下信息,用于配置无线接入点:系统名;无线网络中对大小写敏感的服务集标识(SSID);如果没有连接到DHCP服务器,则需要为接入点指定一个唯一的IP;如果接入点与PC不在同一个子网中,则需要子网掩码和默认网关;简单网络管理协议(SNMP)集合名称以及SNMP文件属性(如果使用SNMP). 15、可以用下面两种方法将无线接入点连至网络:使用线内供电连接以太网和使用本地电源连接以太网。
16、第一次配置无线接入点,一般采用本地配置方式,即无需将无线接入点连接到一个有线的网络中。这时,因为没有连接到DHCP服务器而无法获得IP地址,它的默认IP地址是10.0.0.1并成为小型的DHCP服务器。在这种情况下,接入点可以为下列这些设备分配多达20个10.0.0.x范围的IP地址。(1)连接在连接点以太网端口上的PC机(2)没有配置SSID或SSID配置为tsunami,并且关闭所有安全配置的无线设备。
17、按照下列步骤本地连接无线接入点:(1)使用五类以太网电缆连接PC机和无线接入点,通过接入点的以太网端口进行配置,或将PC机置于无线接入点的电波覆盖范围内,安装无线客户端适配器,关闭所有安全设置,不配置SSID或SSID配置为tsunami,这样就可以无线地配置接入点。(2)给无线接入点加电。(3)确认PC机获得了10.0.0.x网段的地址。(4)打开互联网浏览器。(5)在地址栏中输入无线接入点的IP地址10.0.0.1,然后按回车键。(6)按Tab键越过用户名段到密码字段。(7)输入大小写敏感的密码Cisco然后按回车键,或者点击确定键,这时会出现接入点汇总状态页面。点击“Express Setup”进入快速设置页面。(8)、要输入的各个配置数据的信息:System Name :系统名称:无线接入点的标识。 Configuration Server Protocol:配置服务协议:设置Ip分配方式.DHCP为动态分配。Static IP为手工分配IP。IP Subnet Mask:子网掩码。Default Gateway:默认网关。SSID(Radio Service Set ID):区分大小写,是客户端设备用来访问接入点的唯一标识。Broadcast SSID in Beacon:设定允许设备不指定SSDI而访问接入点。
第九章 计算机网络信息服务系统的安装与配置
1、常用的服务有:DNS服务、DHCP服务、WWW服务、FTP文件传输服务、E-mail电子邮件服务。
2、DNS服务器的分类:(1)根DNS服务器:有13个(标号a-m).(2)顶级域名服务器(TLD)(com、org…和cn)。(3)权威DNS服务器。
3、DNS服务器配置的主要参数:正向查找区域、反向查找区域、资源记录和转发器。
4、将主机(A)资源记录手动添加到正向查找区域时,使用“创建相关的指针(PTR)记录”选项,可以将指针记录自动添加到反向查找区域中。
5、资源记录主要有:主机地址(A)资源记录:将DNS域名映射到IP地址;邮件交换器(MX)资源记录,为邮件交换器主机提供邮件路由;别名(CNAME)资源记录:将别名映射到标准DNS域名。
6、DCHP工作原理:DHCP客户机广播“DHCP discover” (0.0.0.0-255.255.255.255).DHCP服务器在收到该消息后,向网络广播“DHCP offer”(DHCP server的ip-255.255.255.255),客户机收到该报文后发送“DHCP request”(0.0.0.0-255.255.255.255),服务器收到该报文后发送“DHCP ACK” (DHCP server的ip-255.255.255.255).
7、当DHCP服务器负责多个网段的IP地址分配时,使用如下原则:如果收到不是从DHCP中继发来的”DHCP 发现”消息,会选择收到“DHCP 发现”消息的子网所处的网段分配IP地址;否则会选择转发“DHCP 发现”消息的DHCP中继所处子网的网段(即有中继就分配中继所在网段)。
8、DHCP服务器配置的术语、主要参数包括:作用域、排除范围、地址池、租约、保留和选项。
9、浏览器与服务器之间传送信息的协议是HTTP协议,用于传输网页等内容,使用TCP协议,默认端口号为80.
10、服务器在进行文件传送时要求用户输入账号和密码,但是可以使用“匿名FTP服务”来使用户不用输入密码。
11、FTP服务使用C/S工作方式。在进行文件传送时,FTP客户机和服务器之间建立两个连接控制连接和数据连接。当客户端向服务器发出连接(控制连接)请求时,服务器端的默认端口是21,同时将自己选择的端口告知服务器,用于建立数据连接,控制连接在整个会话期间一直打开,FTP客户端所发出的命令通过控制连接发送给服务器端的控制进程,控制进程在收到客户端的请求后,创建一个数据传输进程,该进程用端口20与客户端提供的端口建立用于数据传送的TCP连接,数据传送完成后关闭该数据传送的连接。
12、FTP服务器配置的主要参数有:域(一个域由ip地址和端口号唯一识别)、匿名用户、命名用户和组。
13、电子邮件系统使用的协议主要有:简单邮件传送协议(SMTP,端口25);邮局协议第三版(POP3,端口110);Internet消息访问协议版本4(IMAP4,端口143),可以用telnet IP port的方法测试服务是否正常。
14、邮件系统的工作过程如下:(1)用户使用客户端软件创建新邮件(2)客户端软件是SMTP协议将邮件发送到发方的邮件服务器;(3)发放邮件服务器使用STMP协议将邮件发送到接收方的邮件服务器,接收方的邮件服务器将收到的邮件存储在用户的邮箱中待用户处理(4)接受方客户端软件使用POP3/IMAP4协议从邮件服务器读取邮件。
15、E-mail服务器的主要参数为:域、用户和组。
16、(1)安装DNS服务时,根DNS服务器会被自动加到系统中。
(2)使用”nslookup“对DNS服务器进行测试,如果仅测试域名到地址的转换功能使用ping域名命令即可。
17、DNS服务器和DHCP服务器都需要固定的IP地址。
18、DHCP默认的租约期限设置为8天,最小单位为分钟,租约到期前客户端需要续订,续订工作由客户端自动完成,作用域激活后DHCP服务器才能为客户机分配IP地址。DHCP服务器中常用的选项有路由器选项和DNS服务器选项。
19、测试DHCP服务器使用ipcongfig /all命令,释放租约地址使用ipconfig /release命令,重新获得租约使用ipconfig /renew命令。
20、一个网站对应服务器上的一个目录。建立Web站点时,必须为每一个站点指定一个主目录,当然也可以是虚拟的子目录。未设置默认内容文档时,访问站点应提供首页内容的文件名。
21、可以选择配置下列三种方法的安全访问权限访问:身份验证和访问控制;IP地址和域名限制;安全通信。
22、IIS自动将带宽限制上限设置成最小值1024byte/s。
23、IIS6.0可以使用虚拟服务器的方法在一台服务器上构建多个网站:主机头名称、IP地址、非标准TCP的端口号。
24、FTP服务器的选项包括服务器选项、域选项、组选项和用户选项。FTP服务器的域创建完成后需要添加用户才能被客户端访问。
25、可以用两种方法测试FTP服务器:浏览器和命令行ftp域名。
26、由于Winmail邮件服务器支持基于Web方式的访问和管理,因此在安装邮件服务器软件前要安装IIS.
27.为了能够使其他邮件服务器将邮件转发到该邮件服务器,需要建立邮件路由,即在DNS服务器中建立邮件服务器主机资源记录和邮件交换器资源记录。
第十章 网络安全技术
1、 网络安全的基本要素主要包括:保密性、完整性、可用性、可鉴别性和不可否认性。
2、 信息泄露与篡改:截获信息、窃听信息、篡改信息和伪造信息。
3、 在Internet中对网络的攻击可以分为2种基本类型,即服务攻击(造成拒绝服务Dos,典型的是SYN)与非服务攻击(对网络层等底层协议进行攻击)。
4、 信息的安全传输包括两个基本部分:(1)对发送的信息进行安全转换(如信息加密),实现信息的保密性。或者附加一些特征信息,以便进行发送方身份验证。(2)发送和接收双方共享的某些信息(如加密密钥),这些信息除了对可信任的第三方外,对于其他用户是保密的。为了信息的安全传输,通常需要一个可信任的第三方。第三方的作用是负责向通信双方发秘密信息,并在双方发生争议时进行仲裁。
5、 设计一个网络安全方案时,需要完成以下四个基本任务:(1)设计一个算法,执行安全相关的转换(2)生成该算法的秘密信息(如密钥)(3)研制秘密信息的分发和共享的方法(4)设定两个责任者使用的协议,利用算法和秘密信息取得安全服务。
6、 P2DR安全模型:策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)。
Add、可信计算机系统评估标准(TCSEC)将计算机系统安全分为4类7个等级,即D、C1、C2、B1、B2、B3、A1.其中D级系统的安全要求最低,A1级系统的安全等级最高。D级为非安全保护类,不能用于多用户环境下的重要信息处理,C类系统是用户能定义访问控制要求的自主保护类型,B级为强制型安全保护类型,用户不能分配权限,只有网络管理员可以为用户分配权限,A1有C3级系统基本一致,在安全审计、安全测试、配置管理等方面提出了更高的要求
7、 备份方法从备份模式来看,可以逻辑备份和物理备份,从备份策略来看可以分为完全备份、增量备份和差异备份。恢复速度由快到慢是完全备份,差异备份、增量备份。备份文件由多到少为完全备份、差异备份、增量备份。
8、 密码学分为密码编码学和密码分析学。
9、 在设计加密系统时,加密算法是可以公开的,真正需要保密的是密钥,对于同一个加密算法,密码的位数越长,破译的难度也就越大,安全性也就越好。
10、 对称加密技术使用相同的密钥对信息进行加密与解密,因此又被称为密钥密码学。当网络中有N个用户相互之间进行加密通信,则需要有N*(N-1)个密钥。数据加密标准DES是典型的对称加密算法,采用64位密钥长度,其中8位用于奇偶校验,用户可以使用其余的56位。
11、非对称加密技术对信息的加密与解密使用不同的密钥,用来加密的密钥是可以公开的,用来解密的私钥是需要保密的,因此又被称为公约加密技术。非对称加密技术可以大大简化密钥的管理,网络中n个用户之间进行通信加密,仅仅需要使用n对(2n个)密钥就可以了。常用的加密算法RSA、DSA、PKCS、PGP等。
12、计算机病毒的主要特征:非授权可执行性、隐蔽性、传染性、潜伏性、表现性或破坏性、可触发性。
13、计算机病毒分类:按寄生方式可以分为引导型病毒(磁盘引导区或主引导区)、文件型病毒和复合型病毒。按照破坏性可以分为良性病毒和恶性病毒。
14、与计算机病毒不同,蠕虫不需要把自身附加在宿主程序上,而是一个独立的程序,能够主动运行。有两种蠕虫:宿主计算机蠕虫和网络蠕虫。
15、根据防火墙的实现技术,可以将防火墙分为包过滤路由器、应用级网关、应用代理和状态检测。包过滤规则一般是基于部分或全部报文的内容。包过滤路由器有时也被称为屏蔽路由器。
16、多宿主主机是具有多个网络连接口卡的主机,每个网络接口与一个网络连接。由于他具有在不同网络之间交换数据的“路由”能力,因此也被称为“网关”。但是如果将多宿主主机用在应用程序的用户身份认证与服务器请求合法性检查上,那么这一类可以起到防火墙作用的多宿主主机就叫做应用级网关或应用网关。
17、应用代理与应用级网关不同之处在于:应用代理完全接管了用户与服务器的访问,隔离了用户与被访问的服务器之间的数据包的交换通道。而应用级网关采用的是存储转发的方式。
18、防火墙的系统结构分为包过滤路由器结构、双宿主主机结构、屏蔽主机结构和屏蔽子网结构。
19、入侵检测技术可以分为异常检测、误用检测及两种方式的结合。
20、异常检测主要包括基于统计异常检测、基于数据挖掘的异常检测、基于神经网络入侵检测等。
21、按照检测的数据来源,入侵检测系统可以分为:基于主机的入侵检测系统和基于网络的入侵检测系统。
22、入侵防护系统的分类:基于主机的入侵防护系统、基于网络的入侵防护系统(一般串联在防火墙与路由器之间)和应用入侵防护系统。
23、在运行中输入“ntbackup”开启备份使用程序。Windows2003的五种备份方法:副本备份、每日备份、差异备份、增量备份、正常备份。
24、网络版防病毒系统的基本安装对象包括系统中心的安装、服务器端的安装、客户端的安装和管理控制台的安装。安装方式主要有本地安装、客户端安装、Web安装和脚本登录安装。
25、扫描设置通常包括文件类型、扫描病毒类型、优化选项、发现病毒后的处理方式、清除病毒失败后的处理方式、杀毒结束后的处理方式和病毒隔离系统的设置。
26、Cisco PIX 525型防火墙的访问模式:非特权模式(几乎什么都做不了),特权模式(基本信息配置和大部分信息的查看),配置模式(大部分信息的配置),监视模式(系统影像更新、口令恢复等。)
27、outside为外部端口,安全级别为0,inside为内部端口,安全级别为100,安全级别的取值范围为1-99,值越大越安全。
26、入侵检测系统的探测器可以通过三种方式部署在被检测的网络中:(1)网络接口卡与交换设备的监控端口连接,通过交换设备的Span/Mirror功能将流向个端口的数据包复制一份给监控端口,入侵检测传感器从监控端口获取数据包进行分析和处理(流量镜像)。(2)在网络中增加一台集线器改变网络的拓扑结构,通过集线器获得数据包。(3)入侵检测传感器通过一个TAP(分路器)设备对交换式网络中的数据包进行分析和处理。
第十一章 网络管理技术
1、 网络管理系统一般由管理进程(Manager)、被管对象(MO)、代理进程(Agent)、管理信息库(MIB)和网络管理协议(SNMP和CMIP)五部分组成。
2、 网络管理被分为五大部分:配置管理、性能管理、记账管理、故障管理和安全管理。
3、 OSI管理模型由ISO发布,管理站和代理之间通过CMIP相互交换管理信息,通过GDMO标准定义被管对象提供的服务,在这个模型中每一层中都定义有相应的管理功能,它们由层管理实体(LME)来完成。系统管理应用进程(SMAP)通过系统管理接口(SMI)与管理信息库(MIB)与各层的管理系统相联系。CMIP采用面向对象的模型来组织管理信息。这样会形成一个树形结构,其中的每一个结点可以用对象标识符OID描述。CMIP还规定了管理站与代理之间的通信机制。他们之间的信息交换通过发送“协议数据单元(PDU)”完成。通信方式主要有两种:轮询(polling)和事件报告。
4、 SNMP有三个基本组成部分:管理站、代理和MIB,其管理模块是一个Manager/Agent模型。Manager通过SNMP定义的PDU向Agent发出请求,而Agent将得到MIB值通过SNMP协议传送给Manager。与OSI的定义不同之处是,SNMP模型的定义比较简单,并不在每层都定义有管理实体,只在TCP/IP协议层上进行定义。
5、 SNMP有三个版本版本1是最基本最简单也是当前最主要的。版本2不完善。版本3刚推出还没有完全推广。SNMP采用一种分布式的结构。一个管理站可以管理控制多个代理;反之,一个代理也可以被多个管理站所管理、控制、为此,SNMP采用了“团体”这个概念来实现一些简单的安全控制。一个团体由一个代理和若干个管理控制该代理的管理站,它们之间发送、接收报文时必须用团体名进行认证,只有团体名正确、认证通过,报文才能接收。SNMP的管理信息库被称为MIB-2.,其管理对象可以分为两大类:标量对象和表对象。其数据类型中简单类型包括整数(32位)、八个一组的字符和对象标识符。
6、 SNMP的主要操作有获取(get)、设置(set)、通知(notifications)
7、 SNMP与CMIP的比较:
SNMP优点:简单,易于实现、支持广泛、操作原于简捷、性能高。缺点:SNMP建立在无连接的传输协议之上,另外它是非面向对象的,不支持分布式管理。
CMIP 优点:每个变量不仅传递消息,而且还完成一定的网络管理任务,这样可减少管理者的负担并减少网络负载;安全性高,它拥有验证、访问控制和安全日志。缺点:占用资源多、MIB过于复杂,在CMIP之上缺少可一直使用的API以及相应的产品价格高。
两者MIB的定义都采用ASN.1,但是两者的不同点是:(1)SNMP使用广泛,适用于小型设备时成本低、效率高,一般用于计算机网络管理;CMIP适用于大型系统,一般用于电信网络管理。(2)、SNMP采用轮询方式获取信息,而CMIP则采用报告方式。(3)、对传输服务的要求方面,SNMP基于无连接的UDP协议,而CMIP使用面向连接的传输。(4)CMIP采用面向对象的信息建模方式,而SNMP则是用简单的变量表示管理对象。
8、 ICMP工作在网络层,是一种管理协议。当某个源节点发送一个IP数据包,但是目标主机或其所属的网络不可达,或是目标主机虽然可达但协议不可到达,或者端口不可到达,相关路由器或主机上的ICMP会向源节点发出一个“目标不可达(destination unreachable)”的ICMP报文。当某一个源节点发出一个IP数据包,但是目标主机或路由器的缓存已满,只能将数据包丢弃,则每丢弃一个包的同时,ICMP便向源节点发送一个“源抑制”的ICMP报文。ICMP支持Echo(回送)功能。每一个IP包的包头部分有一个生存期(TTL)字段,如果减少为0则发送(time exceeded)的ICMP报文。当一个主机向自己的缺省网关路由器发送一个IP报文,如果路由器发现有更好的路由,就像源主机发送“重定向”ICMP报文。包头值错误,向源主机发送“参数错误”的ICMP报文,一台主机可以发出一个包含“掩码请求报文的广播报文,缺省路由就发送一个”掩码应答“报文,把子网掩码通知它。
9、 漏洞扫描技术通常也分为基于主机和基于网络的的两种扫描器。公共漏洞和暴漏(CVE)是个行业标准。
10、ipconfig 显示当前TCP/IP网络设置 ;hostname显示当前主机名称;arp 显示和修改arp表;NBTSTAT显示本机与远程计算机的基于TCP/IP的NetBIOS的统计及连接信息;Net 管理网络环境、服务、用户、登录等本地信息;NETSTAT 显示活动的TCP连接、侦听端口、以太网统计信息、IP路由表与IP统计信息。Ping通过发送ICMP报文并监听回应来检查与远程或本地计算机的连接。Tracert通过发送包含不同TTL的ICMP报文并监听回应报文,来探测到达目标计算机的路径。Pathping,结合了ping和tracert的功能,将报文发送到经过的所有路由器,并根据每条返回的报文进行统计。Route 显示或修改本地IP路由表的条目。
11、设置SNMP服务最重要的是创建或修改对SNMP一个团体的访问控制,它在全局配置模式下执行:(config)#snmp-server community <团体名> [view <视阈名>] [ro|rw] [<访问控制号>]
其中访问控制号为1-99的整数。
12、常见的Dos攻击包括:
(1)smurf攻击:攻击者冒充受害主机的IP地址,向一个大的网络发送echo request的定向广播包,此网络很多主机都会做出回应,受害主机会受到大量的echo reply。
(2)SYN Flooding:利用三次握手过程进行攻击,攻击者主机使用无效的IP地址,与受害主机进行TCP三次握手。在完成第二步后,受害主机就会处于开放会话请求之中,但会话并未真正完成。会话主机必须等待连接超时,之后才清除未完成的会话,在此期间,受害主机将会连续接到这种会话的请求,最终因耗尽用来管理会话的资源而停止响应。
(3)Ddos(分布式拒绝服务攻击):攻击者攻破多个系统,并利用这些系统去集中攻击其他目标。成千上百的主机发送大量的请求,受害设备因为无法处理而拒绝服务。
(4)Ping of Death:通过构造出重组缓冲区大小的异常的ICMP包进行攻击。
(5)TearDrop:通过OS处理分片重叠的漏洞进行攻击
(6)Land攻击:向某个设备发送数据包,并将数据包的源IP和目的IP都设置成攻击目标的地址。