网络工程知识点

1、网络工程知识点互联网概述计算机网络定义：由自主计算机互连起来的集合体。硬件：计算机、通信设备、接口设备和传输介质。软件：通信协议和应用软件。广域网拓扑结构通常有：网状拓扑结构和环形拓扑结构。局域网拓扑结构通常有：星形、环形、总线形和树形四种。计算机网络体系结构是指网络的层次和协议，目前主要有两大网络体系结构：OSI七层理论模型和 TCP/IP应用模型。OSI七层模型意义：1优化网络，将复杂的网络简单化。2定义良好的协议规范集，并有许多可选部分完成类似的任务。3提供一种标准，更适合网络的扩展和发展。4本层的服务不涉及其它层，可以 减少开销。TCP/IP网络模型共分为四层：网络接口层（以太网/令牌

2、网/X.25/ATM网/帧中继网X网际层（核心 是 IPX 传输层（TCP/UDP）和应用层（SMTP/TELNET/SNMP/HTTP/FTP）。计算机网络组网技术包括： 传输技术：包括有线（ADSL、E1、DDN、SDH）和无线（WLAN、蜂窝、微波、蓝牙、红外） 两大类。 承载技术：有针对局域网（以太网和WLAN）和广域网（HDLC、PPP等）两种主要技术。 路由技术:路由技术包括区域内部采用的内部网关协议IGP（如RIP、OSPF、IS-IS、IGRP、EIGRP） 和外部网关协议EGP（ BGP）两种。计算机网络管理技术涉及： 网络安全：主要技术有VPN技术防火墙技术：是指一种将内部

3、网和公共网隔离开的技术。 VPN技术：VPN分为重叠模型的VPN （用户自己建立端节点之间的VPN链路）和对等 模型的VPN （网络运营商在主干网上建立VPN链路）。 网络管理和维护：有5大功能：故障管理、配置管理、性能管理、安全管理和计费管理。防火墙网络管理的方式主要包括基于SNMP的网络管理和基于RMON标准的网络管理。网络可靠性主要包括路由器的HSRP （热备份路由协议）和VRRP （虚拟路由器冗余协议）。计算机网络应用技术包括文件服务器、C/S模式、B/S模式和对等网模式。传输技术ADSL使用正交幅度调制（QAM X无载波幅相调制（CAP）和李三多音频调制（DMT）三种技术。ADSLM

4、oden分为两类：桥接式和路由式。E1/T1数字中继主要使用同轴电缆进行传输，E1的数据帧由32个时隙组成，每个时隙传送8bit数 据，一帧共256bit，每秒传输8000帧，因此E1的数据传输率为256*8000=2.048Mbit/s。E1的应用主要有传输语音（需要使用E1的成帧方式）和传输数据（使用部成帧的E1）两类。DDN即数字数据网，基本单位为结点，结点之间采用光纤连接，构成网状拓扑，用户的终端设备通过数据终端单元（DTU ）与DDN结点连接。DDN承载IP有两种方式，1,DDN提供透明信道，然后在此信道上封装HDLC/PPP等穿行协议；2, 提供X.25等协议接口。SDH标准定义了

5、一套可进行同步信息传输、复用、分插和交叉连接的标准化数字信号的结构域等级。SDH比PDH拥有更好的网络自愈保护功能，非常适合传输电路交换的传统语音业务。SDH网络一般包括终端复用器（TM X分插复用器（ADM X再生中继器（REC）和数字交叉连接（DXC） 等4种设备。TM用于SDH网络的终端结点，ADM用于转接站点处，REC包括两种，纯光REC用于光功率放大 和延长信号的传输距离，电REC用于再生信号，消除噪声然后进行电光转换将信号传送出去，DXC 完成信号的交叉连接功能。解决SDH传输以太网业务的资源浪费，通常采用两种技术：1，虚级联，即将多个相邻的虚容器（VC） 合并为一个更大的VC，以

6、承载速率为单个VC整数倍的数据业务。2,链路容量调整机制（LCAS）。3，POS/EoS，即在SDH网络上传输IP数据包（通常采用PPP封装）和直接在SDH上传输以太网 包（通常采用PAPS封装和GFP封装）。蜂窝移动通信主要有 GSM/CDMA2000/WCDMA/TD-SCDMA。GSM系统主要包括3个子系统：网络交换系统（NSS）;基站子系统（BSS）;操作与支持子系统（OSS）（移动台（MS）通常被认为是BSS的一部分。）。网络交换系统（NSS）通常包括：归属位置寄存器（HLR）;移动交换中心（MSC）;拜访位置寄存器（VLR）;鉴权中心（AUC）和设备识别寄存器（EIR）。HLR是G

7、SM系统中最重要的数据库，记录每个手机用户的相关数据。MSC是以程控交换机为基础的交换设备，能处理更多的七号信令和移动通信处理能力。VLR是一个动态数据库，当移动用户离开本MSC服务区时，VLR会向用户所在的新的HLR获取用 户数据，并告知HLR。AUC是归属位置寄存器的一个功能单元，存储着用户鉴权信息和加密密钥，保证通信安全。EIR管理每个机卡分离的裸机信息，在EIR数据库中，可以记录相应的黑白名单，对手机进行鉴别。基站子系统（BSS）主要由基站控制器（BSC）和基站收发信机（BTS）组成。一个MSC可以连接多 个BSC，这个接口为A接口； 一个BSC可以连接多个BTS，这个接口为Abis接

8、口。一个MSC所控制的所有BTS小区就组成了 MSC的服务区。操作系统与支持子系统：为操作维护中心和网络管理中心，负责拳王的通信质量及运行管理，记录和 收集全网运行中的各种数据。由OMC-R和 OMC-S组成。OMC-R :负责基站子系统的管理；OMC-S :负责网络交换子系统的管理。MS与系统的连接是通过BTS的无线信道来完成的。GSM逻辑信道分为业务信道（TCH）和控制信道（CCH）。业务信道：携带用户的数字化语音或数据；控制信道：在移动站和基站之间传输信令和同步等信息。GSM可提供语音业务和数据业务，数据业务又分为：电路型数据业务：工作简单、但浪费资源，速率较低；分组型数据业务（GPRS

9、）:系统容量提高，速率较高。GSM电路型数据业务两种传输模式：透明模式（T模式）：主要用于传输速率较低的情况下；非透明模式（NT模式）：分组型数据业务：采用分组交换和分组传输来提供数据业务。承载技术承载网路分为3中：1，点到点网络；2,广播网络；3，非广播多路访问网络（NBMA）。以太网是一种基带局域网技术，使用同轴电缆作为网络媒体，采用载波监听多路访问和冲突检测（CSMA/CD）算法作为媒体访问控制技术。以太网数据链路层分为：LLC子层：和上层协议进行通信，识别网络层并把网络层的包转换成帧。MAC子层：通畅分为帧的封装/解封和媒体访问控制，错误检查功能。VLAN是一种将局域网设备从逻辑上划分

10、成一个个网段，从而实现虚拟工作组的数据交换技术，其划 分策略主要有：基于端口的划分：按VLAN交换机上的物理端口分成若干组，每个组构成一个虚拟网；基于MAC地址的划分：按工作主机的MAC地址，构建虚拟工作组；基于网络协议的划分：按网络层协议，如IP、IPX等VLAN网络；基于子网的划分：按着IPV4、IPV6划分，每个VLAN对应一段独立的IP网段；VLAN的互连链路主要有以下三种：接入链路（access link）:普通以太网接入VLAN交换机；中继链路（trunk link）:连接两个VLAN交换机；混合链路（hybrid link）:同时承载标记数据和非标记数据。PPP是点对点之间的数据

11、传输封装技术，支持IP、IPX和AppleTalk等多种网络协议。可以工作在不 同的物理层，同步线路，异步线路和以太网。PPP又划分为：链路控制子层（LCP）:位于物理层之上，负责设备之间链路的创建、维护和终止；网络控制子层（NCP）:主要完成点对点通信设备之间网络网络子层所需参数的配置。PPP认证协议通常有：口令认证协议（PAP）:种两次握手认证协议，采用明文方式在网络上传输用户名和口令；挑战握手认证协议（CHAP）:一种三次握手认证协议，在网络上传输用户名、但不传输口令。PPP的建立分为三个阶段：链路建立阶段：当物理层检测到线路可用时，链路层激活，PPP设备两端开始发送LCP报文， 并等待

12、响应，当链路层协商完毕后就进入LCP开启状态。认证阶段：采用PAP或者CHAP认证，将自己的身份发送给认证服务器，通过验证进入下一阶 段；网络层协商阶段：通过NCP来协商PPP链路之上的网络层协议需要的参数。PPoE用户可通过帧中继、X.25等方式接入认证服务器，从而建立点到点的连接。它提供了在以太网 环境下PC主机和远端宽带接入服务器BRAS的连接关系。PPPoE的建立分为两个阶段：发现阶段：PC主机搜寻宽带接入服务器BRAS，并确定其中一个建立关系；会话阶段：PPP的LCP、认证、NCP的过程。IEEE定义了 WLAN的媒体访问控制层（MAC）和物理层（PHY）,采用载波侦听多路访问/冲突

13、避免（CSMA/CA ）方式进行信道共享。无线局域网设备报考两种：接入点（AP ）和站点（STA）。而其组网结果通常有：独立基本服务组（IBSS）:一种对等网络形式，所有站点在网络通信的地位是平等的；扩展服务组（ESS）:由多个基本服务组构成，每个BSS都有一个无线访问点AP提供通信服务， 简称ESS网络，不同BSS通过AP之间的分布系统（DS）互连，站点可以在多个BSS之间移动。路由技术路由技术包括静态路由和动态路由，具体详见下表：RIP ：最古老的,也是使用最广泛的艮臆一矢量路由协也距离矢星T IGRP:思科私有的蹈由协波，现已破淘赤检由+心？J七EIGRP :高密德矢星路由协议，IGRP

14、的扩展。l浏积笛田州乂 二O$PF :在内部网绢中使用最多的路由协说I瞄态_IS-IS :国外的路由协议。蹈由协波N1直连路由协议：路由器直连接口的路由，路由器目动产生直连接口的路由，其ID值为4I苗态路由协波:管理员手劫曹瘴的路由，其I口值为L动态路由根据是否处于同一自治域（AS）分为：RIP :内部同关协议IGP） OSPF:-同T启治域动态路由协叔Yr BGP1外部网关网SUEGP） -iL不同目治域之间路由代价（或费用）是用管理距离和费用来表示，管理距离是根据路由的来源确定路由的优先级。常 见路由的优先级如下：直连路由：管理距离为0 ；静态路由管理距离为：1； OSPF路由管理距离为：

15、 110 ； RIP的管理距离为:120 ； EIGRP的管理距离内部为：90，外部为:170o物理地址为数据链路层使用的地址，而IP地址为网络层和以上的各层使用的地址。RIP协议是基于距离矢量算法的内部动态路由协议，利用度量来跟踪它和所有已知目的地间的距离， 且定时地和邻居交换网络拓扑的整体信息。路由数据库由与系统直连实体的描述完成初始化，通过从相邻路由器收到的报文进行修改和维护；且 数据库中的路由已是目前通过报文交换得到的最佳路由。RIP的缺点：缺乏安全性和可靠性：由于RIP采用广播更新，任何网络设备都能接受到路由更新；缺乏最优选择：单纯的靠跳数来选择缺乏时延等其他因素作为指标；占用带宽：

16、由于每次路由更新就广播整个路由表，会占用大量的带宽，增加网络开销；环路产生：RIP可能会产生环路。由于RIP的缺点，它不适合用于大型网路，但可以采用以下四种优化措施：抑制计时；当一条路由信息无效后，就在一定时间内不再接受与这条路由目的地相同的路由更 新；水平分割：在路由传递过程中，记录信息来源的接口，不再把此条路由信息发至来源接口；路由毒化：当一条路由信息无效后，不立刻删除，而是将度量值改为16，然后广播出去；触发更新：当路由表发生变化时，不等待30秒的更新周期，而是立刻将自身的路由信息广播出 去。OSPF（开放最短路由优先）是一种基于链路状态算法的分层次路由协议，层次中最大的实体是AS（自

17、治系统）。OSPF有两个互相关联的主要部分组成：Hello协议：检测邻居并维护邻接关系；可靠泛洪：却把同一域中的所有OSPF路由器始终具有一致的链路状态数据库，该数据库构成 了对域的网络拓扑和链路状态的映射。OSPF协议中路由器手机所在网络区域上的各路由器的链路状态信息（Link-State），生成链路状态数 据库（Link-State Database），利用最短路径优先算法（SPF最常见的是Dijkstra算法），独立的计 算出打到任意目的地的路由。OSPF协议将网络分割成一个主干连接的一组相互独立的部分，这些相互独立的部分称为区域 （Area），主干部分称为主干区域。邻接关系是指OSPF

18、路由器以交换路由信息为目的，在所有选择的相邻路由器之间建立的一种关系。OSPF路由表发生变化时，通过洪泛（Flooding）过程通告网络上其他路由器，如果没有发生变化其 默认自动更新时间为30min。RIP与OSPF的比较：OSPF根据接口的吞吐率、拥塞情况、可靠性等作为路由的代价，而非单纯的跳数；OSPF可使用大规模的网络；路由变化收敛速度更快；无路由环路；支持区域划分和路由分级管理；支持以组播形式而非广播形式发送协议报文；RIP是利用UDP作为其传输协议，而OSPF直接在IP上进行传输。BGP采用可靠的TCP进行传输，使用TCP的179端口建立连接。其考虑延时、拥塞等技术因素，也 考虑政治

19、、安全、经济等方面的因素，因此有时也称为路径适量协议。自治系统（AS）被认为是在相同的管理控制下的一组设备。路由重发布允许不同路由协议之间交换路由信息。相关路由器的度量：RIP :跳数；IGRP和EIGRP :带宽、延时、可靠性和负载；IS-IS和OSPF :开 销。NAT将不可路由的私有内部地址转换成可路由的共有地址，NAT改善了网络的私密性和安全性，其 对外隐藏了网络内部的IP地址。NAT的优点：NAT让内部网络可使用私有地址，以节省公有地址；NAT提高了连接到公有网络的灵活性；NAT提供了一致的内部网络编制方案；NAT提供了网络安全性。NAT的缺点：真实通信的设备往往很难找到，看起来只是

20、与NAT设备通信；NAT增加了延时；NAT隐藏了端到端的IP地址；NAT的存在导致失去了跟踪端到端的IP流量能力； NAT的存在使得故障排除更加困难。网络安全VPN的基本原理是利用隧道技术，把数据封装到隧道协议中，利用已有的公网建立专用数据传输通 道，从而实现点到点的连接。VPN按照实现原理划分为：重叠 VPN : GRE VPN，L2TP VPN 和 IPSec VPN 等技术；对等 VPN：CE-to-EC。GRE VPN采用GRE封装，使用隧道技术，两个站点的路由器之间通过公网连接彼此的物理接口，并 通过物理接口进行传输数据。两个路由器之间建立虚拟接口，从而建立点对点虚拟连接。L2TP使

21、用两种信息类型：控制信息：用于隧道和呼叫的建立、维持和清除；数据信息：用于封装隧道所携带的PPP帧。IPSec协议包括安全协议、密钥管理协议、安全关联以及加密、认证算法等。IPSec具有以下功能：作为一个隧道协议实现了 VPN通信；保证数据来源可靠；保证数据的完整性；保证数据的机密性。AH为IP数据报提供了三种服务：无连接的数据完整性验证：通过散列函数（MD5）验证来保证；数据源身份认证：通过加入一个共享密钥来实现；防重放攻击：AH头部中的序列号来防止重放攻击。ESP除了提供AH提供的三种服务（可选）夕卜，还提供：数据报加密：可对一个IP数据报全部进行加密，或者只加密载荷部分；数据流加密：源端

22、支持IPSec的路由器将IP整个数据报加密。IKE协议负责密钥管理，定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的 方法。AH协议工作在隧道模式的时候被保护的是协议数据或完整的IP数据报，需要对整个证据进行验证； AH协议工作在传输模式的时候被保护的是端到端的通信。IPSec VPN有两种模式：传输模式：保护的是IP数据报的载荷，通常用于两台主机之间的通信。隧道模式：保护的是整个原始IP，通常只要IPSec双方有一方是安全网关或者路由器，就必须 采用隧道模式。防火墙是指两个网络之间实施访问控制策略的一组设备。具有以下作用：管理进、出网络的访问；保护网络中脆弱的服务；内部地址

23、隐藏；日志和统计；监测和报警防火墙硬件架构技术主要有3种：Intel X86架构：有点是灵活性高，利用指令集和软件完成各种各样的工作；ASIC处理技术：以单一功能的集成电路完成进程处理，具备高可靠性和强大处理能力，灵活性 不够；网络处理器（NP）:具有优化的体系结构和指令集，很强的编程能力，可扩展服务。防火墙具体可分为：包过滤型：工作在OSI模型的网络层和传输层，它根据数据报头原地址、目的地址、端口号和 协议类型等标识确定是否允许通过。包括简单包过滤型防火墙和状态检测型包过滤防火墙。应用代理型：工作在OSI模型的应用层，它完全阻隔”了网络通信流，对每种应用服务编制 专门的代理程序，时间监视和控

24、制应用层通信流的作用。包括应用网关型防火墙和自适用代理 型防火墙。防火墙规则通常有3部分组成：规则号：在访问控制列表中的顺序，保证数据包匹配的次序；过滤域：通常有源IP地址、源端口、目的IP地址、目的端口和协议等；动作域：通常为接受or拒绝。网络管理与维护网络管理是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作。通常有基于SNMP 的网络管理和基于RMON标准的网络管理。SNMP采用无证实传输成UDP，目标是保证管理信息在网络中任意两点之间传送，SNMP体系由网络管 理站和网管代理组成。SNMP的网络管理由3部分组成：管理信息库（MIB）：指明了网络元素能够被管理进程查询和设置

25、的信息，它是被管设备中标准标 量定义的集合，由对象命名树构成；管理信息结构（SMI）：通过定义一个宏，规定了管理对象的表示方法；SNMP本身：SNMP采用get，get-next，set三种操作方式代替了复杂的命令集；get request :从代理进程处提取一个活多个参数值；get-next request:从代理处提取紧跟当前参数值的下一个参数值；set request :设置代理进程的一个或多个参数值；get response :代理返回一个或多个参数值；trap :代理主动发出报文，通知管理进程有某些情况发生。SNMP v1 和 SNMP v2 的区别：SNMP v1只支持TCP/IP

26、网络，SNMP v2可运行在多种网络协议之上；SNMP v1缺乏安全机制，SNMP v2增强了安全机制；SNMP v1只适合于集中式管理，SNMP v2支持分布式管理。SNMP v3主要有三个模块：信息处理和控制模块：负责产生信息和分析信息，并判断信息在传输过程中是否要经过代理服务 器；本地处理模块：访问控制和处理打包的数据和中断；用户安全模块：负责身份验证和数据保密服务。SNMP的缺陷：SNMP轮询机制可扩展性差，并会占用大量网络带宽；SNMP协议不支持分布式管理，而采用集中式管理。RMON由SNMP MIB扩展而来，是对SNMP标准基本体系的重要补充，RMON定义标准的网络监视功 能和接口

27、。RMON具有以下功能：RMON可以通过提供有关通信流的有用信息，用来监视和管理会话；RMON可以收集统计信息，从而进行相关分析；RMON可以捕获数据分组和进行数据过滤；RMON可以统计带宽使用情况，从而进行报警灯异常提醒。RMON监视系统由两部分组成：探测器（监视器或代理）和管理站。虚拟路由冗余协议（VRRP）是一种网络容错协议，可以消除静态默认路由环境中存在的缺陷，也就是 防止静态路由的单点失效。VRRP是将网络中的一组路由器构成一个虚拟的路由器从而实现冗余,控制虚拟路由器IP地址的VRRP 路由器称为活动路由器，且只有活动路由器才可以周期性的使用多播发送VRRP通告报文。为保证VRRP的

28、安全，提供以下两种安全认证机制：明文认证：加入时需要提供相同的VRID和明文密码；IP头认证：提供了更高的安全性，可以防止报文重放和修改等攻击。热备份路由器协议（HSRP）将多台路由器组成一个热备份组，形成一个虚拟路由器，终端主机将各自 的数据报转发到该虚拟路由器上。HSRP的特点：高度可靠性：有效负载均衡：不存在单点故障问题：HSRP和VRRP的区别：VRRP允许在参与VRRP组的设备之间建立认证机制；VRRP允许虚拟路由器使用真实的物理路由器的IP地址，而HSRP则必须单独配置IP地址作为虚 拟路由器对外表现的IP地址，且不能是组中任何一个成员的接口地址；VRRP状态机比HSRP简单；HS

29、RP有3中报文，而VRRP只有一种报文；HSRP将报文承载在UDP上，而VRRP将报文承载在TCP上。网络应用网络服务模式是指网络上计算机处理信息的方式。通常有：文件服务器模式（FS）：又称专用服务器；客户机/服务器模式（C/S）:是一种集中管理与开放式、协作式处理并存的模式，其将应用划分为前端（客户机部分）和后端（服务器部分）；浏览器/服务器模式（B/S）:采用web服务器，通过web浏览器即可；对等网（P2P）：无需特定的服务器和网络操作系统。C/S模式的优点：集中式管理：由服务器进行统一管理，安全性较好，效率较高；性价比高：客户端可以节省大量开销：可扩展性好：只需要对服务器进行扩展和部署，不需要客户端进行任何修改：抗灾难性能好，可靠性高：服务器采用备份，客户端失效对系统稳定性影响不大：安全性好：服务器端增加安全验证，客户端和服务器之间采用私有传输协议。C/S模式的缺点：管理困难：C/S属于分散式处理，比集中式更为复杂；客户端资源浪费：只使用服务器一部分，却需要安装整个客户端软件；兼容性差：客户端程序无法重用。