一. 网络系统结构与设计的基本原理
1.1 宽带城域网
-
宽度城域网涉及”三个平台和一个出口“:网络平台、业务平台、管理平台与城市宽带出口
-
网络平台的层次结构:核心层、汇聚层、接入层
-
核心层: 1)为汇聚层的网络提供高速分组转发
2)提供城市的带宽IP出口
3) 访问Internet所需要的路由访问
-
汇聚层:1)汇聚接入层的用户流量
2)进行本地路由
3)用户流量转发到核心交换层或本地进行路由处理
-
接入层: 1)连接最终用户
-
-
保证QoS要求的技术主要有:
- 资源预留(RSVP)
- 区分服务(DiffServ)
- 多协议标记交换(MPLS)
1.2 弹性分组环RPR技术
- RPR常考点:
- 是一种直接在光纤上高效传输IP分组的技术
- 采用双环结构,裸光纤最大长度可以达到100km
- 顺时针传输的叫做外环,逆时针的叫做内环
- 内环和外环都可以传输数据分组与控制分组
- 当源节点成功发送一个数据帧之后,这个数据帧由目的结点从环中收回
- 每个结点都执行SRP公平算法
- 能够在50ms自愈
1.3 各种接入技术的特点
- 根据速率分为对称性和非对称性
- 非对称ADSL速率:上行速率:64~640kbps, 下行:500kbps~7Mbps, 线对数:1
- 对称HDSL速率:1.544Mbps,线对数:2
1.4 光纤同轴电缆混合网HFC(电缆调制解调器Cable Modem)
- HFC是一个双向传输系统
- Cable Modem把计算机与有线电视同轴电缆连接起来
- Cable Modem采用频分复用
- Cable Modem分为双向对称式传输和非对称式传输
1.5 光纤接入技术
- 无线接入技术: 802.11标准的无线局域网(WLAN)、802.16标准的无线城域网(WMAN),远距离采用802.16标准的WiMAX技术
- 802.16两个标准:802.16d主要针对固定的无线网络,802.16e针对火车等移动物体的无线通信,最高传输速率134Mbps
- 802.11b传输速率:1、2、5.5、11Mbps
- 802.11a传输速率:54Mbps
二. 中小型网络系统总体规划
2.1 路由器关键技术指标
- 吞吐量:包转发能力,与端口数量、端口速率、包长度、包类型有关
- 背板能力:高性能使用:交换式结构,传统使用:共享式结构,背板能力决定吞吐量
- 丢包率:衡量路由器超负荷工作的指标之一
- 延时与延时抖动:高速路由器延时要求小于1ms, 语音、视频业务对延时抖动要求高
- 高端路由器指标应达:
- 无故障连续工作时间(MTBF)大于10万小时
- 系统故障恢复时间小于30分钟
- 系统具有自动保护切换功能,主备用切换时间小于50毫秒
- SDH与ATM接口,切换时间小于50毫秒
- 路由器系统内不存在单故障点
2.2 服务器采用的相关技术
- 对称多处理(SMP)技术:在多CPU结构的服务器中均衡负荷
- 集群技术:如果一台主机出现故障,它所运行的程序将转移到其他主机,不会出现服务崩溃现象,提高了服务器的可靠性、可用性和容灾能力
- 独立磁盘冗余阵列(RAID)技术:提高硬盘的存储能力和吞吐量,通过磁盘容错处理,提高系统的可靠性
- 热拔插功能:在不切断电源的情况下,更换存在故障的硬盘、板卡等部件
- 系统的高可靠性:
- 99.9%:停机时间≤8.8小时
- 99.99%: 停机时间≤53分钟
- 99.999%:停机时间≤5分钟
三. IP地址规划
- 专用IP地址:10.0.0.0-10.255.255.255,172.16-172.31、192.168.0~192.168.255
- IPv6在使用压缩时,::双冒号在一个地址中只能出现一次
四. 路由设计基础
4.1 内部网关协议IGP
4.1.1 路由信息协议RIP
- 跳数一般小于15
- 报文主要内容由(V,D)组成的表,V代表“矢量”,D代表“距离”
4.1.2 最短路径优先协议OSPF
- 最短路径算法采用SPF
- OSPF是使用分布式链路状态协议
- 链路状态量主要指费用、距离、延时、带宽
- 链路状态发生变化时用洪泛法向所有路由器发送此信息
- OSPF可以将一个自治系统在划分为若干个更小的范围,叫做区域,每个区域有32位的区域标识符,一个区域路由器不超过200个
- 划分区域的好处:将链路状态信息局限在一个区域内而不是整个自治系统,每个区域只知道该区域内的完整拓扑结构
- OSPF每隔一段时间更新一次链路状态
4.2 外部网关协议BGP
- 是在不同自治系统的路由器之间交换路由信息协议
- BGP-4采用路由向量路由协议,BGP发言人要先建立TCP连接
- BGP协议的四组分组:
- ①打开(open)分组:与另一个BGP发言人建立关系
- ②更新(updata)分组:发送某一路由的信息,以及列出要撤销的多条路由
- ③保活(keepalive)分组:确认打开分组,以及周期证实相邻边界路由器存在
- ④通知(notification)分组:发送检测到的差错
- BGP发言人周期(30秒)交换“保活分组
五. 局域网技术
- 集线器工作在物理层:
- 采用CSMA/CD介质访问控制方法
- 连接在一个集线器上的结点都属于一个冲突域
- 连接在一个集线器的多个结点不能同时发送数据帧,可以同时接受数据帧
- 中继器完成物理层 的功能,负责在两个节点的物理层上传递信息
- 网桥工作在数据链路层:
- 采用不同数据链路层协议,不同传输介质与不同传输速率的网络
- 网桥最重要的维护工作是构建和维护MAC地址表,以及如何进行转发
- 生成树协议(STP):可以消除路径中的环路,在路径出现故障时,重新激活冗余链路来恢复网络的连通,保证网络的正常工作
- 交换机在多个端口之间建立并发连接
5.1 综合布线系统子系统设计
- 多介质信息插座(光纤和铜缆)
- 嵌入式安装插座用来连接双绞线
- 双绞线电缆长度应在90m以内
- 建筑群子系统布线最好的机械保护:管道内布线法
六. 交换机
6.1 交换机的交换模式
- 快速转发:
- 一旦检测到6个字节,目的地址就立即进行转发操作
- 数据帧将无法经过校验、纠错,即被直接转发
- 转储转发:
- 数据帧先存储起来,然后进行循环冗余码校验检查,在对错误帧进行处理后,才取出数据帧的目的地址,进行转发操作
- 同时它可以支持不同速度的端口间的转换,保持高速端口与低速端口间的协同工作
- 碎片丢弃:
- 通过判断这个数据帧的长度是否达到64字节,小于64字节的数据帧都将被视为冲突碎片,而等于或大于64字节的数据帧都被视为有效帧
6.2 虚拟局域网VLAN技术
- 逻辑组都是一个独立的逻辑网段和广播域,不受用户所在的物理位置和物理网段的限制
- VLAN工作在OSI参考模型的第2层数据链路层
- 广播的信息只发送给该VLAN中的节点
- 各自有唯一不同的子网号,VLAN只能通过第3层路由才能进行通信而不能直接完成通信
- VLAN ID由IEEE 802.1Q标准规定由12位二进制数,其中2~1000用于以太网,1是缺省VLAN,只能使用但不能删除
- VLAN name由32位字符表示,可以是字母或数字,如VLAN ID是111,则其缺省VLAN名为VLAN00111
6.3 生成树协议STP
- 生成树协议STP是一个二层的链路管理协议
- 生成树协议STP,并制定出了相关的IEEE 802.1D标准
- 进入阻塞(blocking)工作模式,只能接收和读取BPDU,不能接收和转发数据帧
- BPDU数据包有两种类型,一种是包含配置信息的配置BPDU(不超过35字节),另一种是包含拓扑变化信息的拓扑变化通知BPDU(不超过4字节)
- BackboneFast生成树,当间接链路失效(骨干链路失效) 使堵塞的端口不再等待生成树最大存活时间,直接将端口由侦听->学习->转发状态的转换,大约需要30s时间。提高了间接链路失效情况下的收敛时间
- UplinkFast生成树,提高了直接链路失效情况下的收敛时间
6.4 VTP的三种模式
- VTP Server:维护该VTP域内的所有VLAN信息列表,可以建立、删除和修改VLAN。一般,一个VTP域内只设定一个VTP Server
- VTP Client:同步学习VTP Server的VLAN信息列表,不可以建立、删除和修改VLAN
- VTP Transparent:不参与VTP工作,不同步学习VTP Server的VLAN信息列表,可以建立、删除和修改VLAN
七. 路由器
7.1 路由器结构(基本没考)
- 中央处理器:CPU负责实现路由协议、路径选择计算、交换路由信息、查找路由表、分发路由表和维护各种表格,以及转发数据包等功能
- 内存:
- 只读内存:ROM中包括开机开机诊断程序、引导程序和操作系统软件,不能修改其中保存的内容
- 随机存储器(RAM):RAM是可读可写存储器,存储运行过程中产生的中间数据,RAM还用来存储路由器的运行配置文件
- 非易失性随机存储器(NVRAM):NVRAM是可读可写存储器,是用来存储路由器的启动配置文件
- 闪存(FLASH):是可擦写的ROM,它主要负责保存操作系统的映像文件和一些微代码
7.2 工作模式
- RXBOOT模式:恢复密码
- AUX,通过远程拨号配置路由器
- 使用**控制端口(Console)**配置路由器
7.3 配置记忆
- access-list(子网掩码反码): 格式
access-list access-list-number {permit | deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]
八. 无线局域网设备
8.1 蓝牙技术
- 通信技术一般在10m以内
- 蓝牙技术的标准是IEEE802.15,工作在2.4GHz 频带,带宽为1Mb/s
- 工作频段:ISM频段2.402GHz-2.480GHz
- 异步信道速率:非对称连接 723.2kbps/57.6kbps。对称连接433.9kbps(全双工模式)
- 同步信道速率:64kbps
- 发射功率级范围:0dBm(1 mW),覆盖1-10m,20dBm(100mW),覆盖扩展至100m
8.2 IEEE802.11标准
- IEEE802.11标准定义了两种类型的设备:无线结点和无线接入点
- 无线接入点的作用是提供无线和有线网络之间的桥接
- 802.11 两个扩频技术,一个红外规范
- 802.11b协议: 在2.4GHz频率下,最大速率11Mb/s,有1、2、5.5、11Mb/s速率
- 802.11a协议:在5GHz频率下,最大速率54Mb/s,传输距离在10~100m
- 802.11g协议:支持2.4GHz工作频率,同时保持着对802.11b的兼容,又可以实现54Mb/s高传输速率
8.3 IEEE802.11b的基本运作模式
- 两种模式:点对点模式和基本模式
- 点对点模式是指无线网卡和无线网卡之间的通信方式,最多可连接256台PC
- 基本模式是指无线网络规模扩充或无线和有线网络并存时的通信方式,一个接入点最多可连接1024台PC(无线网卡),接入点可以作为无线网和有线网之间的桥梁
8.4 无线接入点
- Aironet 1100系列接入点是一款无线局域网收发器,它兼容IEEE 802.11b和IEEE 802.11g,工作在2.4GHz频率段。使用IOS操作系统
- 如果没有连接到DHCP服务器,则需要为接入点指定一个唯一的IP地址
- 它的默认IP地址是10.0.0.1
- 点击 “Express Setup”进入快速配置页面
- 大小写区分,SSID是客户端设备用来访问接入点的唯一标识
九. 计算机网络信息服务
9.1 DNS域名系统
- 转发器: 本地DNS服务器用于将外部DNS名称的DNS查询转发给该DNS服务器
- nslookup测试DNS服务器
- DNS服务器本机的IP必须静态配置
- 主机资源记录的生存时间(TTL)指记录被客户端查询到,存放在缓存中的持续时间,默认值是3600秒
- 清空DNS缓存(DNS cache)的是ipconfig/flushdns
- 缺省情况下Windows 2003系统没有安装DNS服务
9.2 www的基本概念与工作原理
- 协议是HTTP,使用TCP协议,默认端口号为80
- 建立Web站点时要对每一个站点指定一个目录。也可以是一个虚拟目录
- 设置网站选项:可设置网站的标识、站点的连接限制、日志记录与日志记录格式
- 设置目录安全选项:三种方法:身份验证和访问控制;IP地址和域名限制;安全通信
- 设置性能选项:可设置影响带宽使用的属性、客户端WEB连接的数量
9.3 FTP服务
- FTP的传输层使用TCP协议,服务器端提供的端口号21用于数据连接,端口号20用于数据传送
- 匿名用户:对名为anonymous的用户自动识别为匿名用户,不设置密码
- IP地址可为空,意为服务器的所有IP地址
- 在“域端口号”中输入该服务器的端口号。默认的端口号为“21”,也可以设置自己想要的端口号
- “.INI文件存储”一般是应用于较小的域,对于用户数大于500的较大的域,应该选择注册表以提供更高的性能
- 用户的添加与管理在服务端创建
- 如果是匿名用户,则输入用户名“anonymous”,注意:要手工添加
- 最大上传速度,最大下载速度:指整个FTP服务器占用的带宽
- 最大用户数量:同时在线的最大用户数
9.4 E-mail服务
- SMTP发送邮件,POP3和IMAP4访问并读取
- 管理配置:
- 系统设置:包括SMTP、邮件过滤、更改密码
- 域名设置:可以增加新的域,用于构建虚拟邮件服务器、删除已有的域,还可以对域参数进行修改,例如是否允许在本域中自行注册新用户等
十. 网络安全技术
10.1 数据备份与还原
必考:
恢复速度:完全备份>差异备份>增量备份
- 对称加密算法中N个用户之间进行加密通信时,则需要N (N-1)个密钥,非对称加密技术中N个用户之间进行通信加密,仅需要N对密钥就可以了
10.2 防火墙
- 监视模式:更新操作系统映像和口令恢复
- static配置命令用于实现内部和外部地址固定映射
- coduit(管道命令) 用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口
- fixup命令作用是启用、禁止、改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务
10.3 入侵防护系统(IPS)
- 入侵防护系统采用In-Line工作模式
- 入侵防护系统是要包括:嗅探器…
- 入侵防护系统的基本分类 :
- 基于主机的入侵防护系统(HIPS):安装在受保护的主机系统中
- 基于网络的入侵防护系统(NIPS):布置于网络出口处
- 应用入侵防护系统(AIPS):一般部署于应用服务器前端,防止的入侵包括cookie篡改、SQL注入等漏洞
- 入侵检测传感器通过一个TAP(分路器)设备对交换式网络中的数据包进行分析和处理
十一. 网络管理技术
11.1 SNMP管理模型
- SNMP支持的操作:get、set、nofitfications
- SNMP有广泛的适用性,且在用于小规模设备时成本低、效率高,而CMIP更适用于大型网络
- SNMP基于UDP,CMIP使用面向连接的传输
11.2 其他常考知识点
-
ICMP消息被封装在IP数据包内
-
Net View: 显示域列表、计算机列表或指定计算机的共享资源列表
-
Pathping命令:结合了ping和tracert的功能,将报文发送到所经过地所有路由器,并根据每跳返回的报文进行统计
-
常见的网络数据监听工具有Sniffer Pro、Ethereal、TCPdump等
-
拒绝服务攻击:
- Smurf 攻击:攻击者冒充受害者主机的IP地址,向一个大的网络发送echo request的定向广播包,此网络的许多主机都作出回应,受害主机会收到大量的echo reply消息
- SYN Flooding:利用TCP三次握手过程进行攻击,使用无效的IP地址
- 分布式拒绝服务攻击:攻击者攻破了多个系统,并利用这些系统去集中攻击其他目标,成百上千的主机发送大量的请求,受害设备因为无法处理而拒绝服务
- Land 攻击:向某个设备发送数据包,并将数据包的源地址和目的地址都设置成攻击目标地址