2022年三级网络工程师复习资料

第一章:网络系统统构造与设计基本原则计算机网络按地理范畴划分为局域网,城域网,广域网。局域网提供高数据传播速率10mbps-10gbps,低误码率高质量传播环境。局域网按介质访问控制办法角度分为共享介质式局域网和互换式局域网。局域网按传播介质类型角度分为有线介质局域网和无线介质。局域网初期计算机网络重要是广域网,分为主计算机与终端(负责数据解决)和通信解决设备与通信电路(负责数据通信解决)。计算机网络从逻辑功能上分为资源子网和通信子网。资源子网(计算机系统,终端,外网设备以及软件信息资源;负责全网数据解决业务,提供网络资源与服务。通信子网(通信解决控制机-即网络节点,通信线路及其她通信设备):负责网络数据传播,转发等通信解决任务网络接入(局域网,无线局域网,无线城域网,电话互换网,有线电视网)。广域网典型网络类型和技术:(公共电话互换网PSTN,综合业务数字网ISDN,数字数据网DDN,x.25分组互换网,帧中继网,异步传播网,GE千兆以太网和10GE光以太网)。互换局域网核心设备是局域网互换机以太网发展方向:(1)提高以太网数据传播速率(2)将一种大型局域网划分为各种用网桥或者路由器互联网络。(3)将共享式介质方式改为互换方式城域网概念:网络运营商在都市范畴内提供各种信息服务,以宽带光传播网络为开放平台,以TCP/IP合同为基本;密集波分复用技术推广导致广域网主干线路带宽扩展。现实意义上城域网一定是可以提供高传播率和保证服务质量(Qos)网络系统。城域网分为核心互换层(高速数据互换),边沿汇聚层(路由与流量汇聚),顾客接入层(顾客接入和本地流量控制)。设计一种宽带城域网将设计“三个平台一种出口”:网络平台,业务平台,管理平台与都市宽带出口。核心层基本功能:(设计重点:可靠性,可扩展性,开放性)连接汇聚层,为其提供高速分组转发,提供高速安全QoS保障传播环境;实现主干网络互联,提供都市宽带IP数据出口;提供顾客访问INTERNET需要路由服务。汇聚层基本功能:汇聚接入层顾客流量,数据分组传播汇聚,转发与互换;本地路由过滤流量均衡,QoS优先管理,安全控制,IP地址转换,流量整形;把流量转发到核心层或本地路由解决;组建运营宽带城域网原则:可运营性,可管理性,可赚钱性,可扩展性。管理和运营宽带城域网核心技术:带宽管理,服务质量QoS,网络管理,顾客管理,多业务接入,记录与计费,IP地址分派与地址转换,网络安全。宽带城域网在组建方案中一定要按照电信级运营规定(考虑设备冗余,线路冗余以及系统故障迅速诊断与自我恢复)。服务质量QoS技术:资源预留(RSVP),区别服务(DiffServ),多合同标记转换(MPLS)。管理带宽城域网3种基本方案:带内网络管理,带外网络管理,同步使用带内带外网络管理带内:运用老式电信网络进行网络管理,运用数据通信网或公共互换电话网拨号,对网络设备进行数据配备。带外:运用IP网络及SNMP合同进行网络管理,运用网络管理合同建立网络管理系统。对汇聚层及其以上设备采用带外管理,汇聚层如下采用带内管理。网络安全技术方面需要解决物理安全,网络安全和信息安全。宽带城域网基本技术与方案(SDH(同步数字系列)城域网方案;10GE城域网方案,基于ATM城域网方案)。光以太网由各种实现形式,最重要有10GE技术和弹性分组环技术。光以太网有如下特性:A:符合电信网络99.999%高运营可靠性。B:可以依照终端顾客实际需求来分派带宽。C:具备认证与授权功能,提供计费功能。D:支持VPN与防火墙,支持MPLS,提供分级别Qos网络服务。ITU规定光纤物理层接口速率:OC-x:光传播速率(OpticalCarrier,光传播一种单位)。最小单位OC-1传播速率为:51.840*xMbit/s。弹性分组环(RPR):直接在光纤上高效传播IP分组传播技术原则:IEEE802.17。基于cisco公司提出DPT技术。当前城域网重要拓扑构造:环形构造;核心层有3-10个结点城域网使用环形构造可以简化光纤配备功能:简化光纤配备;解决网络保护机制与带宽共享问题;提供点到多点业务。弹性分组环采用双环构造;RPR结点最大长度100km,顺时针为外环,逆时针为内环。内外环都可以用来传递数据与控制分组。可以在50ms内隔离浮现故障节点和光纤段RPR技术特点:每一种节点都执行SRP公平算法。运用记录复用方式传递IP分组。老式FDDI环网中,当源节点向目结点成功发送一种数据帧之后,这个数据帧要有源节点收回。而RPR环限制数据帧只在源节点与目的结点之间光纤段上传播,数据帧由目节点从环中收回。顾客接入网重要有三类:计算机网络,电信通信网,广播电视网。三网融合:计算机网络,电信通信网,广播电视网。顾客接入角度:接入技术(有线和无线),接入方式(家庭接入,校园接入,机关与公司人)。当前宽带接入技术:Ⅰ数字顾客线XDSL技术:运用本地电话互换中心铜双绞线,唯一几乎可以在全球范畴内向住宅和商业顾客提供接入网络。Ⅱ光纤同轴电缆混合网HFC技术:A)HFC是一种双向传播系统B)HFC改进了信号传播质量,提高了系统可靠性C)HFC光纤结点通过同轴电缆下引线可觉得500到个顾客服务D)HFC通过CableModem(电缆调制解调器,专门为有线电视网设计)将顾客计算机与同轴电缆连接起来(CableModem上行速率在200kbps~10mbps下行信道带宽高达36mbps.CableModem运用频分复用办法,将信道分为上行信道与下行信道)有线电视接入宽带,数据传播速率10mbps-36mbps。Ⅲ数字顾客线XDSL又叫数字顾客环路,基于电话铜双绞线高速传播技术技术分类:ADSL非对称数字顾客线速率不对称上行:64kbps~640kbps下行速率:500kbps~7Mbps-5.5km。RADSL速率自适应数字顾客线速率不对称1.5mbps/64kbps-5.5km。HDSL高比特率数字顾客线速率对称1.544mbps(没有距离影响)。VDSL甚高比特率数字顾客线速率不对51mbps/64kbps(没有影响)。Ⅳ无线接入分为无线局域网接入,无线城域网接入,无线Adhoc接入。局域网原则:802.3无线局域网接入:802.11无线城域网:802.16。(WiMAX,使用频率为10~60GHZ)以及正在发展Adhoc技术802.11:数据传播数率为1Mbps或者2Mbps。而802.11a将传播速率提高到了54Mbps.802.11b在802.11a与802.11之间802.11原则定义了无线局域网物理层与MAC层合同802.11原则定义了两类设备,即无线结点与无线接入点无线接入点在无线与有线网络之间起到桥接作用D)802.11原则在MAC层采用了CSMA/CA访问控制办法802.16:802.16a用于移动结点接入,802.16d用于固定节点接入,802.16e针对火车、汽车等移动物体无线通信原则问题。第二章:网络系统总体规划与设计办法:网络运营环境重要涉及机房和电源。机房是放置核心路由器,互换机,服务器等核心设备UPS系统供电:稳压,备用电源,供电电压智能管理。网络操作系统:NT,,NETWARE,UNIX,LINUX。网络应用软件开发与运营环境:网络数据库管理系统与网络软件开发工具。网络数据库管理系统:Oracle,Sybase,SQL,DB2。网络应用系统:电子商务系统,电子政务系统,远程教育系统,公司管理系统,校园信息服务系统,部门财务管理系统。:制定项目建设任务书后,拟定网络信息系统建设任务后,项目承担单位首要任务是网络顾客调查和网络工程需求分析需求分析是设计建设与运营网络系统核心。网络结点地理位置分布状况:(顾客数量及分布位置;建筑物内部构造状况调查;建筑物群状况调查)。网络需求详细分析:(网络总体需求设计;构造化布线需求设计;网络可用性与可靠性分析;网络安全性需求分析;网络工程造价分析)。大型与中型网络系统必要采用分层设计思想:层次之间上联带宽:下联带宽普通控制在1:20。结点2-250可不设计接入层和汇聚层。结点100-500可不设计接入层。结点250-5000普通需要3层构造设计。核心层网络普通承担整个网络流量40%-60%。汇聚层网络将分布在不同位置子网连接到核心层网络,实现路由汇聚功能。 原则GE(千兆以太网)10GE 10个互换机,每个有24个接口,接口原则是10/100mbps:那么上联带宽是24*100*10/20大概是2gbps。(3):高品位路由器(背板不不大于40gbps)高品位路由器普通采用互换式构造。高品位核心路由器:支持mpls中端路由器(背板不大于40gbps)。公司级路由器支持IPX,VINES,QoSVPN低端路由器(背板不大于40gbps)支持ADSLPPP。路由器核心技术指标:1:吞吐量(包转发能力)。2:背板能力(决定吞吐量)背板:router输入端和输出端物理通道老式路由采用共享背板构造,高性能路由采用互换式构造。3:丢包率(衡量router超负荷工作性能)。4:延时与延时抖动(第一种比特进入路由到该帧最后一种离开路由时间)高速路由规定1518BIP包,延时不大于1ms。语音、视频业务对延时抖动规定较高。5:突发解决能力。以最小帧间隔传送数据包而不引起丢失最大发送速率来衡量。6:路由表容量(INTERNET规定执行BGP合同路由要存储十万路由表项,高速路由应至少支持25万)。7:服务质量。8:网管能力。9:可靠性与可用性。路由器冗余:接口冗余,电源冗余,系统板冗余,时钟板冗余,整机设备冗余。热拨插是为了保证路由器可用性。高品位路由可靠性:无端障持续工作时间不不大于10万小时。系统故障恢复时间不大于30分钟。主备切换时间不大于50毫秒。SDH和ATM接口自动保护切换时间不大于50毫秒。部件有热拔插备份,线路备份,远程测试诊断。路由系统内不存在单故障点。互换机分类:从技术类型(10mbpsEthernet互换机;fastEthernet互换机;1gbpsGE互换机)。500个结点以上选用公司级互换机。300个结点如下选用部门级互换机。100个结点如下选用工作组级互换机。互换机技术指标:背板带宽(输入端和输出端得物理通道)。全双工端口带宽(计算:端口数*端口速率*2)。帧转发速率机箱式互换机扩张能力。支持VLAN能力(基于MAC地址,端口,IP划分)缓冲区协调不同端口之间速率匹配。网络服务器选型:网络服务器类型(文献服务器;数据库服务器;Internet通用服务器;应用服务器)。虚拟盘体分为(专用盘体,公用盘体与共享盘体)。共享硬盘服务系统缺陷:dos命令建立目录;自己维护;不以便系统效率低,安全性差。客户/服务器工作模式采用两层构造:第一层在客户结点计算机第二层在数据库服务器上。Internet通用服务器涉及(DNS服务器,E-mail服务器,FTP服务器,WWW服务器,远程通信服务器,代理服务器)。基于复杂指令集CISC解决器Intel构造服务器:长处:通用性好,配备简朴,性能价格比高,第三方软件支持丰富,系统维护方便缺陷:CPU解决能力与系统I/O能力较差(不适合伙为高并发应用和大型服务器)。基于精简指令集RISC构造解决器服务器与相应PC机比:CPU解决能力提高50%-75%(大型,中型计算机和超级服务器都采用RISC构造解决器,操作系统采用UNIX),因而采用RISC构造解决器服务器称UNIX服务器。按网络应用规模划分网络服务器基本级服务器1个CPU。工作组服务器1-2个CPU。部门级服务器2-4个CPU。(4)公司级服务器4-8个CPU。服务器采用有关技术对称多解决技术SMP(多CPU服务器负荷均衡)。集群Cluster(把一组计算机构成共享数据存储空间)。当服务器中一台主机浮现了故障,该主机上运营程序将及时转移到组内其她主机。非一致内存访问(NUMA)(结合SMPCluster用于多达64个或更多CPU服务器)。高性能存储与智能I/O技术(取决存取I/O速度和磁盘容量)。服务解决器与INTEL服务器控制技术。应急管理端口。热拨插技术网络服务器性能。Raid:原理是运用数组方式来作磁盘组,配合数据分散排列设计,提高数据安全性。运算解决能力。CPU内核:执行指令和解决数据。一级缓存:为CPU直接提供计算机所需要指令与数据二级缓存:用于存储控制器,存储器,缓存检索表数据后端总线:连接CPU内核和二级缓存。前端总线:互联CPU与主机芯片组。CPU50%定律:cpu1比cpu2服务器性能提高(M2-M1)/M1*50%M为主频。磁盘存储能力(磁盘性能参数:主轴转速;内部传播率,单碟容量,平均巡道时间;缓存)。系统高可用性99.9%---------------每年停机时间不大于等于8.8小时。99.99%-------------每年停机时间不大于等于53分钟。99.999%----------每年停机时间不大于等于5分钟。描述为:MTBF/(MTBF+MTBR)MTBF是平均无端障时间,MTBR是平均修复时间。服务器选型基本原则依照不同应用特点选取服务器。依照不同行业特点选取服务器。依照不同需求选取服务器配备。网路袭击两种类型:服务袭击和非服务袭击。服务袭击是指对为网络提供某种服务服务器发起袭击,导致该服务器回绝服务,使得网络工作不正常。非服务袭击不针对某项详细应用服务,而是针对网络层等底层合同进行。从黑客袭击手段上看分为8类:系统入侵类袭击;缓冲区溢出袭击,欺骗类袭击,回绝服务类袭击,防火墙袭击,病毒类袭击,木马程序袭击,后门袭击非服务袭击针对网络层等低层合同进行。网络防袭击研究重要解决问题:网络也许遭到哪些人袭击。袭击类型与手段也许有哪些。如何及时检测并报告网络被袭击。如何采用相应网络安全方略与网络安全防护体系网络合同漏洞是当今Internet面临一种严重安全问题。信息传播安全过程安全威胁(截取信息;窃听信息;篡改信息;伪造信息)。解决来自网络内部不安全因素必要从技术和管理两个方面入手。病毒基本类型划分为6种:引导型病毒;可执行文献病毒;宏病毒;混合病毒,特洛伊木马病毒;Iternet语言病毒。(木马普通是C/S架构,没有自我复制能力)网络系统安全必要涉及3个机制:安全防护机制,安全检测机制,安全恢复机制。网络系统安全设计原则:全局考虑原则。整体设计原则。有效性与实用性原则。级别性原则。自主性与可控性原则。安全有价原则。Unix是Internet中应用最广泛网络操作系统,TCP/IP合同是Internet使用最基本通信合同。第三章:IP地址规划设计技术无类域间路由技术需要在提高IP地址运用率和减少主干路由器负荷两个方面获得平衡。网络地址转换NAT最重要应用是专用网,虚拟专用网,以及ISP为拨号顾客提供服务。NAT更用应用于ISP,以节约IP地址。类地址:-55可用地址125个网络号7位。类地址:-55网络号14位。类地址:-55网络号21位容许分派主机号254个。类地址:-55组播地址。类地址:-55保存。特殊IP地址:直接广播地址:主机位全1。路由器将一种分组以广播方式发送给特定网络上所有主机。受限广播地址:55。一种分组以广播方式发送给本网络中所有主机。网络上特定主机地址:回送地址:专用地址全局IP地址是需要申请,专用IP地址是不需申请。专用地址:10;172.16-172.31;192.168.0-192.168.255。CIDR:无类域间路由NAT办法局限性违背IP地址构造模型设计原则。使得IP合同从面向无连接变成了面向连接。(3)违背了基本网络分层构造模型设计原则。有些应用将IP插入正文内容。Nat同步存在对高层合同和安全性影响问题。IP地址规划基本环节判断顾客对网络与主机数需求。计算满足顾客需求基本网络地址构造。计算地址掩码。计算网络地址。计算网络广播地址。计算机网络主机地址。CIDR地址一种重要特点:地址聚合和路由聚合能力规划内部网络地址系统基本原则。(1)简洁(2)便于系统扩展与管理(3)有效路由IPv6地址分为单播地址;组播地址;多播地址;特殊地址。128位每16位一段;000f可简写为f背面0不能省;::只能浮现一次。Ipv6不支持子网掩码,它只支持前缀长度表达法。分组中MAC地十是变化,目MAC地址改为下一跳路由器MAC地址,但目网络地址始终不变。第四章:网络路由设计默认路由成为第一跳路由或缺省路由发送主机默认路由器又叫做源路由器。目主机所连接路由叫做目路由。路由选取算法参数跳数;带宽(指链路传播速率);延时(源结点到目结点所耗费时间);负载(单位时间通过线路或路由通信量);可靠性(传播过程误码率);开销(传播耗费)与链路带宽关于。路由选取核心:路由选取算法算法特点:算法必要是对的,稳定和公平;算法应当尽量简朴;算法必要可以适应网络拓扑和通信量变化;算法应当是最佳。路由选取算法分类:静态路由选取算法(非适应路由选取算法)。特点:简朴开销小,但不能及时适应网络状态变化。动态路由选取算法(自适应路由选取算法)特点:较好适应网络状态变化,但实现复杂,开销大。一种自治系统最重要特点就是它有权决定在本系统内应采用何种路由选取合同。路由选取算法与路由选取合同是不同概念:主机、路由器通过路由选取算法去形成路由表,以拟定发送分组传播途径。而路由选取合同是由路由器用来完毕路由表建立和路由信息更新通信合同。路由选取合同:内部网关合同IGP(涉及路由信息合同RIP,开放最短途径优先合同OSPF)。外部网关合同EGP(重要是BGP)。RIP是内部网关合同使用得最广泛一种合同。(V,D)定期发送报文互换相邻路由信息。RIP向相邻路由发送自己已知对可以达到不同路由途径。特点:合同简朴,适合小自治系统,跳数不大于15。OSPF特点:OSPF使用分布式链路状态合同(RIP使用距离向量合同)。OSPF规定路由发送本路由与哪些路由相邻和链路状态度量(指费用、距离、延时、带宽等)信息(RIP和OSPF都采用最短途径优先指引思想,只是算法不同)。3.OSPF规定当链路状态发生变化时用洪泛法向所有路由发送此信息(RIP仅向相邻路由发送信息)。4.OSPF使得所有路由建立链路数据库即全网拓扑构造(RIP不懂得全网拓扑)OSPF将一种自治系统划分若干个社区域,为拉合用大网络,收敛更快。每个区域路由不超过200个。区域好处:洪泛法局限在区域,区域内部路由只懂得内部全网拓扑,却不懂得其她区域拓扑。链路状态数据库与路由表时不同。主干区域内部路由器叫主干路由器(涉及区域边界路由和自治系统边界路由)。每一种区域OSPF拥有一种32位区域标记符.BGP路由选取合同四种分组打开分组(open):打开分组用来与相邻另一种BGP发言人建立关系。自治系统通过BGP发言人互换路由信息。更新分组(update是核心):更新分组用来发送某一路由信息以及列出要撤销多条路由。保活分组(keepalive):周期性验证相邻边界路由器存在。告知分组(notification):告知分组用来发送检测到差错。BGP使用TCP数据报互换路由信息。当路由表中包括各种路由信息源时,依照缺省管理距离值,路由器在转发数据包时,会选取路由信息源是static。第五章:局域网技术IEEE802.3原则定义了以太网介质访问控制自从与物理层合同原则。互换机采用采用两种转发方式技术:快捷互换方式和存储转发互换方式。虚拟局域网VLAN组网定义办法:(互换机端标语定义;MAC地址定义;网络层地址定义;基于IP广播组)。综合布线系统构成:(工作区子系统;水平子系统;干线子系统(最重要子系统);设备间子系统;管理子系统;建筑物群子系统)。综合布线由不同系列和规格部件构成,其中涉及:传播介质、有关连接硬件(如配线架、连接器、插座、插头、适配器)以及电气保护设备等。多介质信息插座是用来连接铜芯双绞线和光纤。综合布线部件:(1):双绞线扭绞可以减少电磁干扰(2):与UTP(非屏蔽双绞线)相比,STP(屏蔽双绞线)防止对外电磁辐射能力更强(3):水平子系统可以实现光纤上桌,作为水平布线系统电缆时,UTP电缆长度普通应当在90米以内综合布线系统原则:ANSI/TIA/EIA568-A;TIA/EIA-568-B.1TIA/EIA-568-B.2TIA/EIA-568-B.3;ISO/IEC11801;GB/T50311-GB/T50312-。以太网速率始终在提高,但是以太网帧构造与介质访问控制办法没有发生变化,只是在物理层发生变化。IEEE802.310-BASE-5表达以太网10mbps基带传播使用粗同轴电缆,最大长度=500m。IEEE802.310-BASE-2200m。IEEE802.310-BASE-T使用双绞线。迅速以太网提高到100mbps。IEEE802.3U100-BASE-TX最大长度=100M。IEEE802.3U100-BASE-T4针对建筑物以及按构造化布线。IEEE802.3U100-BASE-FX使用2条光纤最大长度=425M。支持全双工模式迅速以太网拓扑构型一定是星形。自动协商功能是为链路两端设备选取10/100mbps与半双工/全双工模式中共有高性能工作模式,并在链路本地设备与远端设备之间激活链路;自动协商功能只能用于使用双绞线以太网,并且规定过程需要500ms内完毕中继器工作在物理层,不涉及帧构造,中继器不属于网络互联设备。10-BASE-5合同中,规定最多可以使用4个中继器,连接3个缆段,网络中两个结点最大距离为2800m。表达传播速率为10Mbps,基带传播,使用粗同轴电缆最大长度为500m;中继器:中继器工作在物理层,不对帧构造有任何修改。集线器特点:以太网是典型总线型构造;连接到一种集线器所有节点共享一种冲突域。工作在物理层执行CSMA/CD介质访问控制办法;多端口网桥在数据链路层完毕数据帧接受,转发与地址过滤功能,实现各种局域网数据互换。透明网桥IEEE802.1D特点:每个网桥自己进行路由选取,局域网各结点不负责路由选取,网桥对互联局域网各结点是透明。普通用于两个MAC层合同相似网段之间互联。透明网桥使用了生成树算法评价网桥性能参数重要是:帧过滤速率,帧转发速率。按照国际原则,综合布线采用重要连接部件分为建筑物群配线架(CD);大楼主配线架(BD);楼层配线架(FD),转接点(TP)和通信引出端(TO),TO到FD之间水平线缆最大长度不应超过90m。设备间室温应保持在10度到27度相对湿度保持在30%-80%。第六章:互换机及其配备局域网互换机基本功能:建立和维护一种表达MAC地址与互换机端口相应关系互换表。发送结点和接受结点之间建立一条虚连接。完毕数据帧转发或过滤。互换式网络系统带宽随着顾客增多、互换端口增多而增宽,其负载大小不会影响网络性能。互换表内容:目MAC,其所相应互换机端标语和所在虚拟子网(用VLANID表达)。FastEthernet(FE)表达迅速以太网,E表达原则以太网,GE表达千兆以太网。端标语0/2中0是模块号,2是端标语。显示互换表命令:大中型互换机:showcamdunamic小型互换机:showmac-address-table。增长互换表项:使用Flood技术,互换机把数据包发送给除源端口之外所有互换机端口。刷新互换表:每次存储一种地址表项,就盖上一种时间戳。每当互换表中一种地址被参照,该表项会被盖上一种时间戳,长时间未用会被移除。互换机互换构造软件执行互换构造(把数据帧由串行代码转换成并行代码)特点:互换速度慢,互换机堆叠困难,互换机端口较多导致性能下降。矩阵互换构造(完全由硬件完毕,由输入,输出,互换矩阵和控制解决)特点:互换速度快,延时小,构造紧凑,矩阵互换实现相对简朴,不易扩展,不利于管理。总线互换构造(时分多路复用技术)特点:性能好,便于堆叠扩展,易实现帧广播和监控管理,易实现各种输入对一种输出帧传送特点。应用广泛。共享存储器互换构造(无背板)特点:构造简朴,易实现适合小互换机采用。互换机有静态互换和动态互换两种方式,动态互换模式有存储转发和直通,直通互换模式又有迅速转发互换和碎片丢弃互换。总结说有3模式:迅速转发(普通也称直通互换模式,不提供检错纠错,适合小型互换机采用)。碎片丢失(又称无分段模式,提前过滤冲突碎片,提高宽带运用率)。存储转发(延时大,速度慢,可靠性高,可检错纠错,最为广泛应用)。堆叠互换机:2-10gbps6-8个堆叠数量有达16个箱体模块化互换机:2-20个。第二层互换机:没有路由功能互换机,仅能根据MAC地址完毕数据帧互换。它也可以划分VLAN,但是不同VLAN之间不能直接通信。第三层互换机:实现不同逻辑子网,不同VLAN之间通信。第三层互换机数据互换仍由第二层模块完毕。VLAN技术特性:工作在数据链路层。每个VLAN都是一种独立逻辑网段,一种独立广播域。VLAN之间不能直接通信,必要通过第三层路由功能完毕。VLAN标记,vlanid用12位bit表达,支持4096个vlan;1-1005是原则范畴,其中1-1000是用于以太网。1002~1005是FDDI和TokenRing使用VLANID。虚拟局域网中继(VLANTrunk)互换机与互换机之间、互换机与路由器之间存在一条物理链路,而在这一条物理链路上要传播各种VLAN信息一种技术。互换机之间实现trunk功能,必要遵守相似vlan合同,如思科isl。不同互换机之间必要也是统一vlan合同,如果是Cisco和其她厂商,应当使用802.1Q合同。划分vlan基于端口划分(静态划分,最通用);基于mac地址(动态划分);第三层合同类型或地址。按照网络层合同类型定义VLAN或者按照网络地址定义VLAN。互换机配备使用Console端口配备互换机,端口配备参数规定是:数据传播数率:9600bps数据位8位停止位1位duplexauto/full/half配备端口通信方式尚有配备方式:(1)使用AUX端口连接一台Modem,通过拨号远程配备路由器。(2)使用telnet远程登录到路由器上配备路由器。(3)使用TFTP服务,以拷贝配备文献、修改配备文献形式配备路由器。(4)通过网络管理合同SNMP修改路由器配备文献配备路由器.Switch>(enable)setportduplex<mod/port>full/half.speed10/100speedauto端口传播速率将互换机3/1到3/24端口传播速率设立为1GpsSetportspeed3/1-241000.Z这里单位是Mbps。配备互换机管理地址Setinterfacesc0<ip_addr><ip_mask><ip_addr>(broadcastaddress)如:setinterfacesc0VTP实现VLAN单一管理VTP是VLAN中继合同,也称为VLAN干道合同。可以使用VTP合同,把一台互换机配备成VTPServer,别的互换机配备成VTPClient,这样她们可以自动学习到server上VLAN信息。VTPServer可将VLAN配备信息传播到本域内其她所有互换机,可以建立删除或者修改ＶＬＡＮ;VTPClient不能建立、删除和修改VLAN配备信息VTPTransparent不传播也不学习其她互换机VLAN配备信息(不需要互换信息VTP设立为transparent),仅仅维护本机上面ＶＬＡＮ信息。在一种VTP域内,可设一种VTPServer,各种VTPClient和VTPTransparent配备ＶＴＰ环节:建立VTP域与设立VTP工作模式。Switch(config)#vtpdomaintodd设立域名Switch(config)#vtppasswordaaaSwitch(config)#vtpmodeclient/server/transparent虚拟局域网VLAN查看VLAN命令Switch#showvlan创立VLANSwitch#configterSwitch(config)#vlan2namevlan2Switch(config-vlan)#exitSwitch(config)#interfacerangefastEthernet0/11-24Switch(config-if-range)#switchportaccessvlan2为端口0分派vlan建立,修改:vlan1000namevlan1000删除:novlan1000(注意Vlan1不可以删除)vlaninterfacef0/1switchportaccessvlan1000Switch(config)#interfacevlan1Switch(config-if)#ipaddress00Switch(config-if)#noshSwitch(config-if)#exitSwitch(config)#ipdefault-gateway缺省路由是在config模式下配备Switch(config)#enablepasswordaaaSwitch(config)#linevty04远程登录也是在config模式下配备Switch(config)#linevty015Switch(config-line)#passwordaaaSwitch(config-line)#loginVLANTrunkSwitch(config-if)#switchportmodetrunkRouter(config)#interfacegigabitEthernet6/0Router(config-if)#noshRouter(config)#interfacegigabitEthernet6/0.1Router(config-subif)#encapsulationdot1Q1Router(config-subif)#ipaddress带路由模块互换机实现VLAN间路由两台互换机配备trunk:Conft Interfacef0/0 注意这里是小写Switchportmodetrunk将端口设立为trunk模式Switchporttrunkencapsulationdot1q(这是IEEE802.1Q)/islSwitchporttrunkallowedvlan1,4配备容许中继vlanSwitchporttrunkallowedvlan1-4(这个表达vlanid1到4)Switchporttrunkallowedexceptvlan1-2生成树(STP):二层链路管理合同,保证网络中没有回路基本上,容许在第二层链路中提供冗余途径,保证网络可靠稳定地运营。STP一方面选定一种根网桥,是整个生成树拓扑核心。然后拟定互换机冗余链路端口工作状态,让某些端口进入阻塞工作模式。阻塞端口仅可以收发BPDU,使生成备份链路,最后身成一种无环路树状构造网络。包括配备信息配备BPDU数据包长度不超过35字节。告知拓扑变化BPDU长度不超过4个字节。配备BPDU中具有BridgeID(2个字节优先级和6个字节互换机MAC构成),BridgeID最小成为根网桥或者根互换机。网桥合同数据单元BPDU携有RootID、RootPassCost、BridgeID等信息Spanning-treevlan2Nospanning-treevlan2打开与关闭树Spanning-treevlan2rootprimary设立主root根网桥Spanning-treevlan3rootsecondary设立备份root备份网桥Spanning-treevlan3priority8192设立优先级(0,4096,8192…到61440。值越小优先级越高,且优先级增量是4096)。配备可选功能:Spanning-treebackbonefast(按生成树普通规则,互换机C阻塞端口在转换成转发工作状态之前,需要等待大概30秒即一种生成树最大存活时间,而backbonefast功能就是使得阻塞端口不再等待这段时间。换言之,backbonefast可以提高间接链路失效时候收敛速度)。Spanning-treeuplinkfast(当生成树拓扑构造发生变化和在使用上连链路组冗余链路之间完毕负载平衡时候,提供迅速收敛。重要对于直接链路失效之后解决,加快了生成树收敛速度)。Spanning-treeuplinkfastmax-update-rate(0-3)Spanning-treeportfastdefault(使互换机或者端口跳过侦听学习阶段)Spanning-treeportfastbpdu-filterdefault(BPDUFilters会使互换机在指定端口上停止发送BPDUs,对于进入这个端口BPDUs也不做任何解决,同步立即将端口状态变为转发状态。)第七章:路由器原理及配备Internet就是用路由器加专线办法连接了成千上万个网络而构成。路由选取核心就是拟定下一跳路由器IP地址路由表是路由选取核心。(更新路由表时记得将距离加1)路由表重要内容:目网络地址,下一跳路由器地址和目端口等信息,缺省路由信息。(路由表项首字母为C表达直连网络,背面跟着是端标语;S表达静态路由)。缺省路由又称缺省网关,普通路由器缺省网关是指向连往Internet出口路由器。几种路由合同管理距离:直接连接:0静态路由:1外部BGP:20内部EIGRP:90。IGRP:100OSPF:110RIP:120外部EIGRP:170内部BGP:200未知:255。如果在一种路由器中有两条指定某网络路由信息,路由信息源一种来自静态路由,一种来自OSPF,这种状况下,路由器会选取静态路由给定路由信息,按照静态路由所指定途径进行数据转发。路由器工作模式:(顾客模式;特权模式;设立模式;全局配备模式;其她配备模式;RXBOOT模式)顾客模式:只读模式,可以使用pingtelnetshowversion等。特权模式:输入enable。全局配备模式:在特权模式下输入configureterminal;RXBOOT:此模式下恢复路由器密码。虚拟终端配备模式:配备远程登录密码。路由配备惯用命令Router#writememory保存到路由器NVRAM中Router#writenetworktftp保存到tftp服务器Router#writeerase删除路由器所有配备showinterface查看路由器接口showrunning-config查看路由配备密码接口IP地址ACLNATshowversion查看路由器版本配备寄存器值showiproute查看路由表showipprotocal查看路由器运营动态路由合同configtRouter(config)#Router(config)#hostnameRouter1Router1(config)#enablepasswordaaaRouter1(config)#enablesecretaaaa配备Telnet密码TCP23Router1(config)#linevty04Router1(config-line)#passwordaaa设立Telnet密码Router1(config-line)#login规定必要登录Telnet如果不需要密码执行如下命令Router1(config)#linevty04Router1(config-line)#nologinRouter1(config-line)#nopassword配备路由器接口IP地址Router1(config)#interfacefastEthernet0/0Router1(config-if)#ipaddressRouter1(config-if)#noshRouter1(config)#interfaceserial2/0Router1(config-if)#clockrate64000在DCE端配备时钟频率Router1(config-if)#ipaddressRouter1(config-if)#nosh管理Cisco互联网络路由器构造:中央解决器CPU;内存MENORY;存储器Storage;接口:INTERFACE。内存:RAM----相称于计算机内存;配备路由器设立默认是----RAM;NVRAM---相称于硬盘存储。ROM----相称于计算机BIOS,不能删除存储BootstarpPOST微型IOS。Flash------存储IOS。可擦写ROM;解析主机名Router(config)#iphostRouter0Router#telnetRouter0网络排错ipconfig/all查看计算机IP配备,涉及IP地址,子网掩码、网关DNS服务器设立。ping网关IP地址。ping8or测试到Internet网络层与否通。域名与否能解析成IP地址。80测试应用层与否畅通23默认端口。跟踪数据包途径和计算丢包状况。tracertip类似与计算机上pathping可以跟踪数据包途径不计算机丢包状况。路由器接口配备配备POS端口:POS端口是PacketoverSONET/SDH缩写,它是运用SONET/SDH提供高速传播通道直接传送IP数据包技术。POS接口配备在全局配备模式下:Router(config)#interfacePOS3/0Router(config-if)#descriptiontoNUPTRouter(config)#bandwidth2500000设立带宽,单位是kbpsRouter(config)#ipaddress852 Router(config-if)#crc32 设定CRC校验位可选16与32 Router(config-if)#posframingsdh 可选帧格式是sdh与sonetRouter(config-if)#noipdirected-broadcastRouter(config-if)#posflags1s02 (s1s0=00表达sonet数据,s1s0=10(十进制2)表达是SDH数据)Router(config-if)#noshutdownRouter(config-if)#exit静态路由管理员告诉路由器到各个网段如何转发。Router(config)#iproute<目网络地址><子网掩码><下一跳路由器IP地址>Router(config)#iproute(可以更改管理距离AD)。在某园区网中,路由器R1GE0/1(/30)与路由器R2GE0/1(/30相连,R2GE0/2(/30)与R3GE0/1(0/30)相连,R3GE0/2(3/30)直接与Internet上路由器相连,路由器R1缺省路由对的配备是iproute动态路由路由器自己来学习到各个网段如何转发。静态路由不能自动依照网络变换而变化规模小没有环。在计算机上添加路由表。routeaddmask添加路由表。routeprint显示计算机上路由表。netstat-r动态路由网络规模较大or具备网状构造网络。RIP周期性广播路由表30秒度量值是跳数15跳16跳以为不可到达。RIPv1广播传播路由信息支持等长子网不支持变长子网和不持续子网。RIPv2多播传播路由信息支持变长子网和不持续子网(关闭自动汇总)传播路由信息中包括了子网掩码信息。EIGRP相称于RIPv2支持变长子网关掉汇总,支持不持续子网。Router#configtRouter(config)#routerripRouter(config-router)#networkRip不支持可变长掩码,因而不需要给定掩码。Router(config-router)#network这边是列举出所有与该路由器相连网段。Router(config-router)#version2Router(config-router)#noauto-summaryRouter#showipprotocols显示配备所有动态路由合同。OSPF路由表由路由依照链路状态数据库算出来,不浮现环路,路由器之间更新是链路状态,度量值带宽。触发式更新。路由器三个表:邻居表,链路状态表,路由表。特性:有地区和自制系统构成最小化路由更新流量可扩展支持变长子网。跳数不受限原则开放原则。OSPF配备:配备格式:networkip<子网号><wildcard-mask>area<区域号>.或者Area<区域号>range<子网地址><子网掩码>Router(config)#routerospf110进程号Router(config-router)#network55area0区域号只有同一种区域接口才干互换链路状态信息。Router(config-router)#networkarea0查看路由表showiproute查看链路状态数据库:Router#showipospfdatabases查看邻居:Router#showipospfneighbor更改DRBDR选举优先级:Router(config-if)#ipospfpriority2DHCP配备:一方面配备静态地址,然后打开dhcppool然后放入动态分派地址静态地址分派格式:Router(config)#ipdhcpexcluded-address0(表达分派2~10静态地址)。配备IP地址租用时间用于调节DHCP服务器分派给DHCP顾客IP地址可以持续时间:Lease0330;表达3小时30分钟。Router>enableRouter#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#ipdhcppoolzhaoRouter(dhcp-config)#networkRouter(dhcp-config)#network/24Router(config)#ipdhcpexcluded-address0Router(config)#ipdhcpexcluded-address93Router(config)#ipdhcppoolzhaoRouter(dhcp-config)#default-routerRouter(dhcp-config)#domain-nameRouter(dhcp-config)#dns-serveraddress76Router(dhcp-config)#lease05dayhoursmin访问控制列表:适合所有网络层合同,如IPIPX功能;过滤流入流出数据包,限制网络流量,限制顾客和设备对网络访问,减少网络欺骗和回绝服务,提高网络安全性提供基于源地址,目地址,各种合同和端标语过滤准则。分类(原则访问控制列表1-991300-1999(仅检查数据包源地址);扩展访问列表100-199-2699(检查数据包源地址,目地址,使用合同和端标语))配备原则访问控制列表,在全局配备模式下:Access-listaccess-list-number{permit|deny}sourcewildcard-mask.通配符表达路由器应当检查哪些地址位,通配符为0表达检查相应地址位,通配符为1表达忽视不检查相应地址位。只容许xx子网内主机登陆路由器Router>enableRouter#configureterminal一方面拟定访问控制列表内容,然后拟定线路,最后拟定这个访问控制列表是用在对进入还是出去资源上。Router(config)#access-list10permit55Router(config)#linevty05Router(config-line)#access-class10in只容许xx主机登陆路由器Router(config)#access-list20permit11Router(config)#access-list20permit6Router(config)#access-list20denyanyanyRouter(config)#linevty05Router(config-line)#access-class20in禁止源地址是非法地址数据包进出路由Router(config)#access-list30deny55logRouter(config)#access-list30deny55Router(config)#access-list30permitanyRouter(config)#interfaceg0/1Router(config)#ipaccess-group30in回绝所有IP地址进出,端口为1434UDP合同数据包Router(config)#access-list130denyudpanyanyeq1434Router(config)#access-list130permitipanyanyRouter(config)#interfaceg0/1Router(config)#ipaccess-group130inRouter(config)#ipaccess-group130out配备扩展访问列表格式:Access-listaccess-list-number{permit|deny}protocolsourcewildcard-maskdestinationwildcard-mask[operator][operand].operand是端标语。access-listnumberpermittcp源地址源掩码目地址目掩码eq端口denyudplt(<)gt(>)neq不等于封闭一台主机Router(config)#access-list110denyiphost4anyRouter(config)#access-list110denyipanyhost4Router(config)#access-list110permitipanyanyRouter(config)#interfaceg6/0Router(config-if)#ipaccess-group110inRouter(config-if)#ipaccess-group110out进入扩展访问控制列表配备模式:Router(config)#ipaccess-listextended130Router(config-ext-nacl)#denyudpanyanyeq1434Router(config-ext-nacl)#permitipanyanyRouter(config-ext-nacl)#exRouter(config)#interfaceg6/0Router(config-if)#ipaccess-group130inRouter(config-if)#ipaccess-group130out格式基本同注意区别:ipaccess-listextendedlist-numberstandardnamepermitudp源地址源掩码目地址目掩码eq端口denytcplt/neq/gt第八章:无线局域网技术惯用无线原则:蓝牙原则,Hiperlan原则,IEEE802.11原则。蓝牙软件构造原则涉及核心和应用合同栈两个某些。工作频段在2.402GHZ到2.480GHZ。覆盖范畴是100米。异步信道非对称连接速率是723.2kbps/57.6bps,对称连接是433.9bps.同步信道速率是64kbps(3个全双工信道)。密钥最长128bit,以8bit一种单位递减。Hiperlan:工作在5GHZ,上行速率最多54Mbps,室内覆盖面积30米,室外覆盖面积150米,可支持面向连接传播服务。802.11b是使用最广泛原则。802.11定义了两种类型设备:无线节点和无线接入点。无线结点普通是在一台接入设备上加上一块无线网络接口卡构成。无线接入点作用是提供无线和有线网络之间桥梁。802.11b分为两种运作模式1:点对点模式:指无线网卡和无线网卡之间通信方式,最多可以连接256台PC。2:基本模式:指无线网络规模扩充或者无线和有线网络并存时候通信方式,这是802.11b最惯用方式。此时,插上无线网卡PC需要由接入点与另一台PC连接。接入点负责频段管理以及漫游等指挥工作,一种接入点最多可以连接1024台PC(无线网卡)。802.11b室内环境通信距离最远为100米,最大传播速率可以达到11Mbps.物理层采用GFSK,DSPSK,DQPSK调制方式。802.11b典型解决方案(对等解决方案;单接入点~;多接入点~;无线中继~;无线冗余~;多蜂窝漫游工作方式)。对等解决方案对等解决方案是一种最简朴应用方案,只要给每台电脑安装一块无线网卡,即可互相访问。如果需要与有线网络连接,可觉得其中一台电脑再安装一块有线网卡,无线网中其她电脑运用这台电脑作为网关,即可访问有线网络或共享打印机等设备。但对等解决方案是一种点对点方案,网络中电脑只能一对一互相传递信息,而不能同步进行多点访问。如果要实现像有线局域网互通功能,则必要借助接入点。单接入点解决方案接入点相称于有线网络中集线器。无线接入点可以连接周边无线网络终端,形成星型网络构造,同步通过10Base-T端口与有线网络相连,使整个无线网终端都能访问有线网络资源,并可通过路由器访问Internet。多接入点解决方案当网络规模较大,超过了单个接入点覆盖半径时,可以采用各种接入点分别与有线网络相连,从而形成以有线网络为主干多接入点无线网络,所有无线终端可以通过就近接入点接入网络,访问整个网络资源,从而突破无线网覆盖半径限制。无线中继解决方案无线接入点尚有此外一种用途,即充当有线网络延伸。例如在工厂车间中,车间具备一种网络接口连接有线网,而车间中许多信息点由于距离很远使得网络布线成本很高,尚有某些信息点由于周边环境比较恶劣,无法进行布线。由于这些信息点分布范畴超过了单个接入点覆盖半径,我们可以采用两个接入点实现无线中继,以扩大无线网络覆盖范畴。无线冗余解决方案对于网络可靠性规定较高应用环境,例如金融、证券等,接入点一旦失效,整个无线网络会瘫痪,将带来很大损失。因而,可以将两个接入点放置在同一位置,从而实现无线冗余备份方案。多蜂窝漫游工作方式在大楼中或者在很大平面里面布置无线网络时,可以布置各种接入点构成一套微蜂窝系统,这与移动电话微蜂窝系统十分相似。微蜂窝系统容许一种顾客在不同接入点覆盖区域内任意漫游,随着位置变换,信号会由一种接入点自动切换到此外一种接入点。整个漫游过程对顾客是透明,虽然提供连接服务接入点发生了切换,但对顾客服务却不会被中断。无线节点漫游时候数据传播速率会发生变化。惯用无线局域网设备:无线网卡:也称WLAN适配器,是无线局域网系统中最基本硬件。无线接入点也称无线AP,普通可以连接30台。无线局域网中AP唯一标记为SSID。CiscoAironet1100:(1)兼容IEEE802.11b和802.11g,工作在2.4GHZ.SSID区别大小写。(2)迅速配备:使用5类无屏蔽双绞线将PC机与Cisco机器连接,浏览器进入,然后点击ExpressSetup。:BroadcastSSIDinBeacon:设定容许设备不指定SSID而访问接入点。其中,YES是默认设立,容许设备不指定SSID而访问接入点,No表达必要指定SSID访问接入点。:RatioSSID:输入网络管理员提供SSID。第九章:网络服务系统安装与配备9.1DNS服务器Windows中查看dns服务器命令使nslookup。IP:DNS服务器配备固定IP地址。在Internet上存在着13个根域名服务器(A~M),这13个根域名服务器自动加入到系统中。转发器是网络上DNS服务器,用于将外部域名DNS查询转发给该DNS服务器。生存时间(TTL):指该记录被客户端查询到放在缓存中以备此后使用时间,默认值是3600秒。DNS服务器默认端口是53.9.2WWW服务器在一台服务器上可构建各种网站,由主机头,IP地址和TCP端标语唯一辨认,可用不同主机头名称,不同IP地址和非原则TCP端标语构建各种网站。传播层合同是相似。每一种网站相应了服务器上面一种目录。建立web站点之前,必要为该站指定一种目录访问,可以域名,也可IP。Web站点不需配备静态IP。在windows操作系统中添加组件IIS就可实现WEB站点在主目录选项卡中,不可配备主目录读取和写入登权限Web站点未设立默认内容文档时候,访问站点时必要提供首页内容文献名。性能选项涉及影响宽带使用属性和客户端WEB连接数量。网站选项可以设立网站标记并可以启用日记记录。目录安全选项可以选取配备身份验证和访问控制、IP地址和域名限制、安全通信。注意:当网站端口不是原则80端口时候,应当在访问网站时候输入相应端标语。9.3Serv-UFTPFTP使用C/S架构,客户机和服务器之间建立两个TCP连接:21号控制连接和20号数据连接。域:在一种物理服务器中可以构建各种虚拟服务器,每个虚拟服务器称为域,由IP地址和端标语唯一标记。配备域存储位置时候,对于顾客不不大于500域,可以将域放在注册表中提高性能,小域放在Ini文献中。配备服务器域名时候,可以使用域名或者IP地址进行描述。顾客名为anonymous,自动鉴定为匿名顾客.匿名顾客只提供下载服务。FTP服务器域创立完毕后,需要添加顾客才可访问,顾客不可在FTP服务器自动注册新顾客。(4)设立FTP服务器IP地址时候,IP地址可觉得空,意为服务器所有IP地址。当服务器有各种IP地址时候最佳设立IP地址为空。(5)通过设立IP访问可以控制某些IP对FTP服务器访问,可以在域选项,组选项和顾客选项中设立IP访问选项。服务器选项有:最大上传下载速度,最大顾客数量(只同步在线顾客数量),检查匿名顾客密码,删除某些已上传文献,禁用反超时调度,拦截‘FTP-BOUNCE”袭击和FXP(不容许两个FTP服务器传送文献)顾客配额选项可限制顾客上传信息占用存储空间顾客上传/下载选项,规定客户端在下载同步,上传文献域上传/下载选项,可容许添加顾客访问服务器不计入到上传下载率文献9.4.DHCP服务器:动态主机配备合同概念:作用域:网络上IP地址完整持续范畴。长度域是指网络位。只有在作用域激活之后,DHCP服务器才可觉得客户机分派IP地址。排除范畴:作用域内从DHCP服务中排除有限IP地址序列。输入排除起始IP地址和结束IP地址地址池:在定义了DHCP作用域并应用排除范畴之后,剩余地址在作用域内形成可用地址池。租约:DHCP服务器指定一段时间之后进行IP地址重新分派。租约到期之后客户端自动完毕续订。保存:可使用保存创立DHCP服务器指派永久地址租约。保存可以使用作用域地址内任何IP地址,虽然该地址同步还在某个排除范畴之内。在DHCP服务器中新建保存时候必要输入IP地址和MAC地址。不可积极收回租约已获租约服务器ping失败,也许是DNS服务器选项或者路由器选项配备错误在客户分派地址之前,应激活作用域分派固定IP,绑定IP与MAC保存操作Ipconfig/releaseDHCP客户机收回已经分派IP地址Ipconfig/allDHCP客户机查看自己网络连接信息9.5WinmailWinmail服务器支持基于web访问和管理,容许顾客自行注册新邮箱。邮件接受服务器类型重要有SMTP,POP3,IMAP4.SMTP:简朴邮件传播合同。TCP端标语为25。POP3:访问并且读取邮件服务器上邮件信息。TCP端标语110.IMAP4:用于客户端管理邮件服务器上邮件。TCP端标语143.邮件管理工具涉及系统设立,域名设立,顾客和组,系统状态,系统日记,不涉及垃圾邮件过滤。在域名设立可以增长域和修改域参数。在顾客和组管理界面中可以增删顾客,修改顾客配备。在迅速设立向导中,可以输入顾客名,域名,顾客密码。在域名管理界面中可以通过增长新域构建虚拟服务器,而不是在系统设立中。系统设立---邮件过滤,更改管理员密码,SMTP设立。邮件互换器设立:为建立邮件路由,需要在DNS服务器中建立邮件服务器主机和邮件互换记录邮件系统工作过程:(1)顾客使用客户端软件创立新邮件。(2)客户端软件使用SMTP将邮件发送到发送方邮件服务器。(3)发送方邮件服务器使用SMTP将邮件发送给接受方邮件服务器。(4)接受方客户端软件使用POP3/IMAP4合同从邮件服务器读取邮件。第十章:网络安全技术网络安全基本要素(保密性;完整性;可用性;可鉴别性;不可否认性)。信息泄露与篡改(截获信息;窃听信息;篡改信息;伪造信息)。网络袭击(服务袭击与非服务袭击)。服务袭击:指对网络提供各种服务服务器发起袭击,导致网络回绝服务,体当前消耗带宽,消耗计算资源,使系统和应用崩溃。SYN袭击时一种典型回绝服务袭击。非服务袭击:不针对某项应用服务,而是针对网络层等低合同进行源路由袭击和地址欺骗都属于这一类非服务袭击更为隐蔽,是种更为危险袭击手段。非授权访问以及网络病毒。当前70%病毒发生在网络上。设计一种网络安全方案时需要完毕四个基本任务。设计一种算法,执行安全有关转换。生成该算法秘密信息(如密匙)。研制秘密信息分发与共享办法。设定两个责任者使用合同,运用算法和秘密信息获得安全服务。P2DR安全模型涉及:方略防护检测响应。可信计算机系统评估准则TCSEC:4类7级别,D级系统安全规定最低,A1级规定最高。C级是顾客可以自定义访问控制规定自主保护类型。B级属于强制型安全保护类型。数据备份:完全备份:对整个系统或者顾客指定所有顾客文献数据进行一次全面备份。恢复速度最快空间使用最多备份速度最慢。增量备份:只备份上一次备份操作以来新创立或者更新过数据。恢复速度最慢空间使用至少备份速度最快。差别备份:只备份上一次完全备份操作后产生或者更新数据。中间性能(对于已备份文献不做标记)冷备份:又叫离线备份。指当执行备份操作时候,服务器将不接受来自顾客和应用对数据更新。恢复时间长投资少。热备份:同步数据备份,又称在线备份很大问题是数据有效性和完整性。加密技术:密码学涉及密码编码学与密码分析学密码体制是密码学研究重要内容。当前密码学基本原则:一切密码属于密匙之中。在设计加密系统时,加密算法是可以公开,真正需要保密是密钥。猜测每10六次方个密钥要用1微秒时间。数据加密原则DES是最典型对称加密算法,采用64位密钥长度,8位用于奇偶校验,顾客使用其中56位非对称加密技术:对信息加密解密使用不同密钥,用来加密密钥是可以公开,解密密钥是用来保密,又称公钥加密技术。计算机病毒重要特性:非授权可执行性;隐蔽性;传染性;潜伏性。计算机病毒分类:寄生方式(引导型,文献型,复合型)按破坏性(良性,恶性)。网络病毒特性:传播方式多样,传播速度更快;影响面更广;破坏性更强;难以控制和根治;编写方式多样,病毒变种多,智能化,混合病毒。恶意代码:蠕虫(计算机蠕虫是一种自我包括程序或程序集,可以传播自身并拷贝自身)分为宿主计算机蠕虫和网络蠕虫。木马(木马是没有自我复制功能恶意程序)木马传播途径:电子邮件,软件下载,通过会话软件。依照防火墙实现技术:可以将防火墙分为包过滤路由器,应用级网关,应用代理和状态检测等。包过滤路由器:制定一定包过滤规则,可以防止Cookie篡改袭击。应用级网关:在应用层实现对于顾客身份认证和访问操作分类检查和过滤。采用存储转发方式。当前市场上主流防火墙,普通都是状态检测防火墙。防火墙系统构造分为:包过滤路由器构造;双宿主主机构造;屏蔽主机构造;屏蔽子网构造。CiscoPIX525防火墙网络划分:(1)内部区域:互联网信任区域,应当受到防火墙保护。外部区域:互联网中不被信任区域。非军事化区域(DMZ):普通在ＤＭＺ中放置Web服务器,E-mail服务器等。对于外部顾客是可以访问。防火墙访问模式:(1)非特权模式:pixfirewell>特权模式,输入enable,pixfirewell#配备模式,输入”configureterminal”,pixfirewell(config)#监视模式:按下Escape或者输入“Break”,提示符“monitor>”可以进行操作系统映像更新、口令恢复操作等。防火墙配备:nameif配备防火墙接口名字并且指定安全级别,数字越大安全级别越高。Pix525(config)#nameifethernet0outsidesecurity0表达接口0作为外部接口Pix525(config)#nameifethernet1insidesecurity100表达接口1作为内部接口 Pix525(config)#nameifdmzsecurity50 表达堡垒主机安全级别为50interface配备以太网接口参数Pix525(config)#interfaceethernet0autoPix525(config)#interfaceethernet1100fullAuto选项表达接口采用自动协商方式,100full表达采用100Mbps全双工通信。ipaddress配备网卡IP地址Pix525(config)#ipaddressoutside40表达设定防火墙外网IPPix525(config)#ipaddressinsidenat指定要进行转换内部地址。指定内网访问外网主机,与global一起使用。Pix525(config)#nat(inside)1inside是默认内网接口名字1是idglobal指定外部IP地址范畴(地址池)。内网主机通过防火墙访问外网时候,防火墙将使用这段IP地址池为要访问外网主机分派一种全局IP地址。Pix525(config)#global(outside)1-4定义可分派全局ip地址设立指向内网和外网静态路由Pix525(config)#routeoutside001格式:if_name00ipm