第二章
网络管理五大基本功能
1、网络故障管理
故障管理是用来维护网络正常运行的。当网络中某个功能失效时,网络管理器必须迅速查找到故障并及时排除。
网络故障管理包括故障检测、隔离和纠正等,包括以下典型功能:
- 告警报告;
- 事件报告管理;
- 日志控制;
- 测试管理。
2、网络配置管理
配置管理就是用来支持网络服务的连续性而对管理对象进行的定义、初始化、控制、鉴别和检测,以适应系统要求。
配置管理的主要功能:
(1)将资源与其资源名称对应起来;
(2)收集和传播系统现有资源的状况及其现行状态;
(3)对系统日常操作的参数进行设置和控制;
(4)修改系统属性;
(5)更改系统配置初始化或关闭某些资源;
(6)掌握系统配置的重大变化;
(7)管理配置信息库;
(8)设备的备用关系管理。
3、网络计费管理
计费管理是用来对使用管理对象的用户进行流量计算、费用核算、费用的收取。
计费管理的功能:
(1)统计资源利用率
(2)确定费率
(3)计费数据管理与维护
(4)计费数据采集
(5)计费政策制定
(6)计费政策比较与决策支持
(7)计费数据分析与费用计算
(8)计费数据查询
(9)计费控制
4、网络性能管理
网络性能管理用于对管理对象的行为和通信活动的有效性进行管理。
网络性能管理的主要功能:
(1)工作负荷监测、收集和统计数据;
(2)判断、报告和报警网络性能;
(3)预测网络性能的变化趋势;
(4)评价和调整性能指标、操作模式和网络管理对象的配置。
5、网络安全管理
安全管理就是按照一定的策略来控制对网络资源的访问,以保证网络资源不被非法访问,并确保未授权用户无法访问重要信息
安全管理基本内容为:
- 安全告警管理
- 安全审计跟踪功能管理
- 安全访问控制管理
第三章
网络管理逻辑架构:管理对象、管理进程、管理信息库、网络管理协议
网络管理四大要素:网络管理者、网管代理、网络管理协议、管理信息库
网络管理模式:集中式网络管理模式、分布式网络管理模式、混合网络管理模式
DNS域名空间:是由树状结构组织的分层域名组成的集合(一般是四级架构)
DNS域名空间树的最上面是一个无名的根(root)域,在根域之下就是顶级域名,所有的顶级域名都由InternetNIC控制,顶级域名主要分为两类:组织性域和地域性域。顶级域名之下是二级域名
域名标识:主机名.三级域名.二级域名.顶级域名
根域:位于域名空间最顶层,一般用一个 “.” 表示
顶级域:一般代表一种类型的组织机构或国家地区,如 net、com、org、edu、gov、mil、cn、jp、hk
二级域:用来标明顶级域内的一个特定的组织,如 .cn 顶级域名下面设置的二级域名:.com.cn、.net.cn、.edu.cn …
子域:二级域下所创建的各级域统称为子域,
主机:主机位于域名空间最下层,就是一台具体的计算机,如 www、mail、都是具体的计算机名字
第四章
简述SNMPv1的5种基本操作及用途。
- GetRequest操作:管理进程用来从代理进程处提取一个或多个参数值。
- GetNextRequest操作:从代理进程处提取一个或多个参数的下一个参数值。
- SetRequest操作:设置(或改变)代理进程的一个或多个参数值。
- GetResponse操作:返回的一个或多个参数值。这个操作是由代理进程发出的。它是前面3种操作的响应操作。
- Trap操作:代理进程主动发出的报文,通知管理进程有某些异常事件的发生。
SNMP网络管理系统组成:SNMP管理站、SNMP代理、SNMP协议和SNMP管理信息库(SNMP-MIB)
第五章
访问控制基本模型:自主访问控制、强制访问控制、基于角色的访问控制
带有组和通配符的访问控制列表:
访问控制表中的主体标识为:
主体标识=ID.GN
其中,ID是主体标识符,GN是主体所在组的组名。
第一个和第二个表项说明属于INFO组的所有主体都对客体Oj具有“读“和“执行”的权利,但只有INFO组的Liu才额外具有“写”的权限;第三个表项说明无论那一组中的Zhang都可以“读”客体Oj;最后一个表项说明其他所有的主体,无论属于哪个组,都不具备对Oj有任何访问权限。
强制访问控制的两种策略:
- 保障信息完整性策略:低级别的主体可以读高级别客体的信息(不具保密性),但低级别的主体不能写高级别的客体(保障信息完整),采用的是上读/下写策略。
- 保障信息机密性策略:低级别的主体不可以读高级别客体的信息(保密),但低级别的主体可以写高级别的客体(完整性可能破坏),采用的是下读/上写策略。
简述URL格式。
protocol://hostname[:port]/path/[parameters][?query]#fragment
protocol(协议):指的是传输协议,对于Web而言,常用的传输协议是HTTP协议。
hostname(主机名):指的是存放信息资源的服务器的域名系统或IP地址。
port端口号:可选,省略时使用协议的默认端口。
path(路径):指的是Web服务器存放信息资源的相对路径,path下的[parameters]指的是信息资源的路径参数。
query(查询):以get方式传递参数,用于给服务端动态脚本程序传递参数。
fragment(信息片断):字符串,用于指定网络资源中的片断。
第六章
二层以太网端口类型(华为交换机为例)
(1)Access端口
-
- 用来连接用户主机的二层以太网端口
- 仅可以加入一个VLAN中
- Access端口发送的以太网帧是Untagged(不带标签)的
(2)Trunk端口
-
- 一般作为交换机之间连接的端口
- 可以属于多个VLAN
- 所发送的以太网帧都是带标签的,除了发送VLAN ID与PVID一致的VLAN帧。
(3)Hybrid端口
-
- Access端口和Trunk端口的混合体
- 既可以连接用户主机,又可以连接其他交换机、路由器设备。
- 允许一个或多个VLAN的帧通过,并可选择以带标签或者不带标签的方式发送数据帧。
IP地址分类、每类地址适合什么样网络
A类用于超大型网络(千万节点)、B类用于中等规模的网络(上万节点)、C类用于小网络(最多254个节点)。D类是组播地址、E类是保留用于试验和将来使用的
子网划分计算作业题:
对于C类IP地址段192.168.1.0/24,若使用它的第4个字节的前2位来划分子网,求:
(1)子网掩码是多少?
(2)可以划分出几个子网?每个子网的网络地址是什么?
(3)每个子网的可用主机地址范围是多少?
1、借2位主机位来划分子网,也就是子网掩码是26位,即
11111111.11111111.11111111.11000000,转换成十进制就是255.255.255.192
2、划分的子网数为2^2即4个。网络地址为:192.168.1.0、192.168.1.64、192.168.1.128、
192.168.1.192
3、每个子网的主机地址范围
192.168.1.1-62、
192.168.1.65-126、
192.168.1.129-190、
192.168.1.193-254
VAN划分基本原则:
(1)基于端口划分的VLAN
按VLAN交换机上的物理端口和内部PVC端口来划分。
- 优点:定义成员简单,将所有端口定义为相应的VLAN组即可。
- 缺点:成员移动需重新配置VLAN。
- 适用场景:任何大小但位置比较固定的网络。
(2)基于MAC地址划分VLAN
根据每个用户主机的MAC地址来划分。
- 优点:当用户的物理位置发生改变,不需要重新配置VLAN,提高了用户的安全性和接入的灵活性。
- 缺点:需要预先定义网络中所有成员。
- 适用场景:小型局域网。
(3)基于网络层协议划分VLAN
按网络层协议来划分VLAN,可分为IP、IPX、DECnet、AppleTalk等VLAN网络。
- 优点:当用户的物理位置发生改变,不需要重新配置VLAN。
- 缺点:消耗交换机较多的资源,速度上稍具劣势。
- 适用场景:适用于需要同时运行多协议的网络。
(4)基于子网划分划分VLAN
根据数据帧中的源IP地址和子网掩码来划分VLAN。
- 优点:当用户的物理位置发生改变,不需要重新配置VLAN。可以减少网络通信量,可使广播域跨越多个交换机。
- 缺点:网络中的用户分布需要有规律,且多个用户在同一个网段。
- 适用场景:适用于对安全需求不高、对移动性和简易管理需求较高的场景中。
(5)基于策略划分VLAN
基于策略的VLAN能实现多种分配,包括端口、MAC地址、IP地址、网络层协议等。
- 优点:网络管理人员可根据自己的管理模式或需求选择划分方式。
- 缺点:针对每一条策略都需要手工配置。
- 适用场景:适用于需求比较复杂的环境。
第七章
使用Ping命令进行网络检测的步骤:
-
- ping127.0.0.1(本地循环地址):TCP/IP是否正常工作
- ping本机IP:网卡是否正常工作
- ping局域网内其他IP:网络线路是否故障
- ping路由器(默认网关):路由器是否故障
- ping远程IP:
- Ping网站
第八章
802.1x认证体系结构:
- 客户端一般是一个用户终端系统,该终端系统通常需要安装一个客户端软件,用户通过启动这个客户端软件发起802.1X协议的认证过程。
- 认证系统是支持802.1X协议的网络设备。 认证系统的每个物理端口包含受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoLAN协议帧,保证客户端始终可以发送或接收认证信息。而受控端口只有在认证通过的状态下才打开,用于传递业务信息帧。
- 认证服务器通常为Radius服务器,该服务器可以存储有关用户的认证、计费、业务信息。
Web认证基本过程:
1、在认证之前,认证设备将未认证用户发出的所有HTTP 请求都拦截下来,并重定向到Web认证服务器去,这样在用户的浏览器上将弹出一个认证页面;
2、在认证过程中,用户在认证页面上输入认证信息(用户名、口令、校验码等)与Web认证服务器交互,完成身份认证的功能;
3、 在认证通过后,Web认证服务器将通知认证设备该用户已通过认证,认证设备将允许用户访问相关的互联网资源。
第九章
数字签名实例
设用户A要将其身份代号(即P=2)发送给用户B。
RSA算法签名过程:
第1步:计算用户A的公钥和私钥
设p=3, q=11
通过计算得:n=33,φ(n)=20,e=3, d=7
用户A的公钥PKA=(3, 33) ,私钥SKA=(7,33)。
第2步:计算用户B的公钥和私钥
设p=5,q=11
通过计算得:n=55,φ(n)=40, e=7,d=23,
用户B的公钥PKB=(7, 55),私钥SKB=(23,55)
第3步:数字签名和加密
C= EPKB( DSKA(P))=EPKB(27 mod 33)=EPKB(29)=297 mod 55=39
第4步:解密及核实签名。
P= DPKA(DSKB(C)=DPKA(3923 mod 55)=DPKA(29)=293 mod 33=2
(D:数字签名,E:加密,SKA:A的私钥,PKB:B的公钥)
RSA密钥生成算法具体如下:
(1)随机选取两个素数,作为p和q.
(2)计算n=q*p,φn=(q-1)*(p-1);
(3)随机选取e,使e 与φn互质.
(4)计算d,使d*e mod φn=1.
(5)得到公钥(e,n)和私钥(d,n)。
互质:公约数是只有1的两个非零自然数
对称密码体制的密钥分配技术
1、无中心密钥分配模式:
第1步:A向B发出建立会话密钥的请求和一个一次性随机数N1;
第2步:B用与A共享的主密钥对应答的消息加密,并发送给A,应答的消息中包括B选取的会话密钥、B的身份、f(N1)和另一个一次性随机数N2;
第3步:A用新建立的会话密钥加密f(N2)并发送给B。
2、中心化密钥分配模式:
第1步:A向KDC发出会话密钥请求。请求包括A与B的身份及一次性随机数N1。
第2步:KDC对A的请求发出应答。应答是用A与KDC的共享主密钥加密的。消息中包含一次性会话密钥K、一次性随机数N1、A要转发给B的部分:包括一次性会话密钥K和A的身份(用B与KDC的共享主密钥加密的)。
第3步:A存储会话密钥,并向B转发从KDC的应答中得到的应该转发给B的部分。B收到后,得到会话密钥K。
第4步:B用会话密钥K加密另一个一次性随机数N2,并将加密结果发送给A。
第5步:A用会话密钥K加密f(N2),并将加密结果发送给B。
第十章
慢启动算法工作过程(论述题)
基本思想:当TCP开始在网络中传输数据或发现数据丢失并开始重发时,首先慢慢的对网络实际容量进行试探,避免由于发送了过量的数据而导致阻塞。
基本概念:拥塞窗口(cwnd):发送方在收到对方的ACK确认报文前允许发送的数据量。
具体过程:当新建连接时,cwnd初始化为1个最大报文段(MSS)大小,发送端开始按照cwnd大小发送数据,每经过一个传输轮次,就把cwnd的值增加1倍。这样cwnd的值就随着网络往返时间(RTT)呈指数级增长,直至等于设定的阈值(ssthresh)。
差错检验——奇偶校验码计算
1、垂直奇偶校验法
2、水平奇偶校验法
第十一章
IPV6地址分配原则:
1、唯一性原则。被分配出去的IPv6地址必须保证在全球范围内是唯一的,以保证每台主机都能被正确的识别。
2、可记录性原则。已分配出去的地址块必须记录在数据库中,为定位网络故障提供依据。
3、可聚集性原则。地址空间应该尽量划分为层次,以保证聚集性,缩短路由表长度。同时,对地址的分配要尽量避免地址碎片出现。
4、节约性原则。地址申请者必须提供完整的书面报告,证明它确实需要这么多地址。同时,应该避免闲置被分配出去的地址。
5、公平性原则。所有的团体,无论其所处地理位置或所属国家,都具有公平地使用IPv6全球单播地址的权利。
6、可扩展性原则。考虑到网络的高速增长,必须在一段时间内留给地址申请者足够的地址增长空间,而不需要它频繁地向上一级组织申请新的地址。
综合题目——Ipsec协议基本框架
传输模式使用原来的IP头部,将AH或ESP头部插入IP头部与TCP端口之间,为上层协议提供安全保护,传输模式保护的是数据报中的有效载荷。实现了主机之间端到端的安全保障。优点是对原始数据包的长度增加很少,因此占用系统开销也较小。
隧道模式首先为原来IP数据报增加AH或ESP头部,然后再在外部添加一个新IP头部。原来的IP数据报通过这个隧道从IP网络的一端传递到另一端,途中所经过的路由器只检查最外面的IP头部(新的),而不检查原来的IP数据。通常是网关到网关的。安全性较高,但对系统的开销大。
通过消息认证(如MD5)产生的校验值保证数据完整性
通过在待认证的数据中加入一个共享密钥实现数据源身份认证
通过AH/ESP头部的序列号产生的序列号防止重放攻击
通过加密算法提供数据保密性,通过安全性网关提供有限的业务流机密性
AH的功能:
1、为IP数据报提供了数据完整性服务
2、数据源身份认证功能
3、提供了防重放攻击能力
AH传输模式: AH验证含头部的整个IP包,因此不能修改源/目的IP地址。若包经过NAT网关传送,其源/目的IP地址必将改变。即AH传输模式不能穿越NAT,不能使用私网地址。
AH头部插入到IP头部和传输层协议之间
AH传输模式的实现
2、不能使用私有IP地址,必须用公有IP地址资源;
3、暴露子网内部拓扑。
AH隧道模式:
AH头部插入到新IP头部和原始IP头部之间。
AH隧道模式的实现
优点:
1、子网所有用户都可透明享受安全网关提供的安全保护;
2、子网内部可使用私有IP地址,无须公有IP地址;
3、子网内部的拓扑结构被保护。
缺点:
1、增大网关的处理负荷,容易形成通信瓶颈;
2、对内部诸多安全问题(如篡改等)不可控。
ESP主要功能:
1、为IP数据报提供数据的保密性(通过加密实现)
2、提供有限业务流的机密性
3、数据源身份认证
4、防重放攻击
ESP传输模式:
ESP头部插入到IP头部和传输层协议之间。
ESP传输模式的实现
优点:
1、内网中其他用户不能理解或篡改11和21主机之间的传输内容;
2、分担IPSec处理负荷,避免IPSec处理的瓶颈问题。
缺点:
1、实现传输模式的主机都必须安装IPSec协议,服务对端用户不透明(内存、处理时间);
ESP隧道模式:
ESP头部插入到新IP头部和原始IP头部之间,对整个IP包进行加密。
对于隧道模式, 入侵者只能确定隧道的起点和终点, 而无法确定数据报实际的源地址与目的地址, 所以隧道模式能提供更好的安全性。
ESP隧道模式的实现
第十三章
综合题
网络数据备份技术:怎么备份、备份哪些内容,对数据库进行哪些操作、备份后怎么恢复
数据备份 一般分为完全备份、差异备份、事务日志备份、增量备份几大类。
1、完全备份(Full Backup)
完全备份就是对整个系统进行完全备份,包括系统和数据。
好处:就是很直观,当发生数据丢失的灾难时,只要用灾难发生之前一天的备份磁盘,就可以恢复丢失的数据。
不足之处:重复的数据占用了大量的磁盘空间,这对用户来说就意味着增加成本;其次,由于需要备份的数据量相当大,因此备份所需时间较长。
完全备份的特点:最常见的备份类型。备份完整数据,恢复方便。备份耗时久,且反复备份,占用存储空间较多。
2、增量备份(Incremental Backup)
每次备份的数据只是相当于上一次备份后增加的和修改过的数据。
优点:没有重复的备份数据,即节省磁带空间,又缩短了备份时间。
缺点:当发生灾难时,恢复数据比较麻烦、备份可靠性也差。在这种备份下,各磁带间的关系就象链子一样,一环套一环,其中任何一盘磁带出了问题都会导致整条链子脱节。
增量备份的特点:备份数据量小,备份速度快。相对而言,所需恢复时间比完全备份或差异备份所需时间长。
3、差异备份(Differential Backup)
每次备份的数据是相对于上一次完全备份之后新增加的和修改过的数据。
差分备份在避免了另外两种策略缺陷的同时,又具有了它们的所有优点
差异备份的特点:备份数据量小,备份速度比完全备份快。相对而言,恢复数据所耗费的时间比完全备份时间长。
4、事务日志备份
事务备份是将已发生的所有修改和执行每次修改的事务的一连串记录进行备份。
事务日志备份的特点:使用事务日志备份,可将数据恢复到精确的故障点。
使用日志备份的优点:可将数据库一直还原到没有发生数据丢失的故障点处
使用日志备份的缺点:
- 日志备份文件数量多
- 日志备份做的越多,还原时间越长,管理复杂性也越高