计算机三级网络技术相关知识点整理
计算机三级网络技术相关知识点整理
Reference
- (Bilibili)[合集] 这些技巧助你一周通过计算机三级网络技术(无基础)
- 什么是BGP
- 【网络协议详解】——BGP协议(学习笔记)
- BGP协议总结(比较详细,好理解)
- 路由协议之OSPF总结(比较详细,好理解)
- 路由选择协议 RIP、OSPF、BGP 详解
- RIP协议及距离向量算法(详解)
- 网络安全技术详解:防火墙与入侵检测和防御系统(IDS/IPS)
- 弹性分组环RPR
- 集线器与交换机有什么区别?一文带你了解
- 运维常说的 5个9、4个9、3个9 的可靠性,到底是什么???
- 【计算机三级】网路技术学习笔记 第六章 交换机及其配置
- NAT(地址转换技术)详解
- 计算机网络:NAT基本原理
- NAT地址转换(超详细解说版)
- IEEE 802.11
- 什么是IEEE 802.11——无线局域网标准?
- 常用网络协议整理笔记(四) —DHCP协议
- TCSEC介绍
- 网络中的QOS技术
- 网络综合布线七大子系统详解(图解)
- 计算机三级网络技术最全知识点总结【8】
- ICMP协议详解
- FTP 文件传输协议:概念、工作原理;上传下载操作步骤
- 计算机三级网络技术(八)
- 计算机三级网络技术(七)
- 这是我见过对DNS最通俗易懂的解释了
- 网络管理常用命令之Pathping 命令使用详解(图文)
- 计算机三级网络技术复习知识点总结
- 网络层次架构:核心层、汇聚层、接入层,解密网络的脉络!
- 三级网络技术–宽带接入技术–XDSL
- 计算机网络七:中继器、集线器、交换机、路由器、网桥和网关
- 路由表的更新算法(解题思路)
- 最新24年计算机三级网络技术速过指南之校园网部署的解题方法与思路,包拿分教程
- 计算机三级网络技术大题详解,教你快速拿到60分
- 计算机三级网络技术-----DHCP报文分析
- 【考前冲刺】计算机三级网络技术之综合题-sniffer抓包分析
- 最新计算机等级考试三级网络技术应用题——20分全部收入囊中攻略!
- 计算机三级网络技术知识汇总【2】
- 计算机三级网络技术知识点汇总【8】
- 计算机三级网络技术知识汇总【11】
- hiperlan
注:本文的架构参考CSDN博主@Tanecious.的相关文章进行整理
选择题
一、路由选择协议
首先我们需要了解路由选择域的概念,其是指一组使用相同路由协议或策略进行路由决策的网络设备集合,我们通常将其称之为一个自治系统AS(Autonomous System),可以简要地理解为就是几个路由器组成了一个小团体。
而不论是小团体内部还是不同的小团体之间都显然需要有一种规则来进行通信,于是我们得到了内部网关协议和外部网关协议的概念。
“值得一提的是,尽管一个 AS 内部使用了路由选择协议,但是一个 AS 对其他 AS 还是相当于两个普通的路由器在通信。”
1. 内部网关协议IGP(Interior Gateway Protocol)
在IGP发展的过程中,主要出现了两种协议,即RIP和OSPF。
1) 路由信息协议RIP(Routing Information Protocol)
首先要介绍的是,RIP是一种分布式的、基于距离向量的路由选择协议。所谓距离向量算法是一种在网络中计算和选择最优路径的算法,其核心思想为:
- 每个路由器会维护一张路由表,其中将记录该路由器到其它网络的距离(用跳数表示)和下一跳地址。
- 路由器会定期与邻居路由器交换路由信息(即距离向量),并以此来更新自己的路由表。
- 用跳数来表示数据包从出发地到目的地之间经过的路由器数量。特别地,从一路由器到直接连接的跳数为1。
但是需要注意的是,在RIP中一条路由最多只能包含15个路由器,因此距离为16表示网络不可达。这也就意味着RIP协议只适用于小型互联网。
2) 开放最短路径优先OSPF(Open Shortest Path First)
为了克服RIP只能应用于小型互联网的缺点,开放最短路径优先协议得以被开发,所谓“最短路径优先”即意味着该协议采用最短路径算法。
为了更好地管理大型互联网,OSPF将一个AS继续划分为了若干个更小的范围,即区域,这使得路由更新收敛速度得以提高。而每一个区域都有一个32位的用点分十进制表示的区域标识符。此外,每个区域内路由器的数量不超过200个。
其中主干区域的标识符规定为0.0.0.0。
和RIP的距离向量算法不同的是,OSPF采用的是分布式的链路状态协议,主要具有以下几个特点:
- 一个OSPF区域内的每个路由器都会在本地存储一个链路状态数据库,其中包含着本区域内的所有路由器的链路状态信息(拓扑结构图,而非一张完整的路由表),这使得路由器可以独立地计算出到达任意目的地的路径,而不是像RIP一样走一步看一步。
- 当链路状态发生变化时,路由器通过洪泛法向所有的(不是相邻的)路由器发送更新信息。
此外,我们在使用OSPF计算最短路径的时候,需要引入链路状态度量来衡量成本,那么我们可以考虑的就有费用、距离、延时和带宽等,但是没有路径和收敛时间,这两者都是RIP协议中距离向量的参数。
2. 外部网关协议EGP(External Gateway Protocol)
而EGP一般我们强调的就是BGP,且目前最常用的是BGP-4。
1) 边界网关协议BGP(Boreder Gateway Protocol)
众所周知的是,在计算机通信协议栈中,ICP和UDP的一大区别就在于前者是有连接的而后者是无连接的,从这一角度出发,一个BGP发言人应使用TCP而不是UDP与其他AS的BGP发言人交换路由信息。同时,BGP需要TCP来保证自身的稳定性。
我们再来详细了解一下关于BGP发言人的相关概念:在配置BGP时,每个AS的管理员要选择至少一个路由器作为该自治系统的“BGP发言人”。那么也就不难理解,BGP协议交换路由信息的节点数是以AS为单位的,BGP交换路由信息的节点数不小于AS数。
而和RIP的距离向量协议、OSPF的链路状态协议不同的是,BGP采用路由向量协议,这有效防止了路由环路的发生。
此外,在BGP-4中规定了以下4种消息类型:
| 类型 | 报文名称 |
|---|---|
| 1 | OPEN(打开) |
| 2 | UPDATE(更新) |
| 3 | NOTIFICATION(通知) |
| 4 | KEEPALIVE(保活) |
以下是关于这几种消息类型的注意事项:
- OPEN消息是TCP连接建立后发送的第一个消息,随后两个BGP发言人需要周期性地交换KEEPALIVE消息来确认双方的相邻关系。
- UPDATE消息用来在对等体之间交换路由信息,既可以发布也可以撤销多条不可达路由信息。且使用UPDATE更新路由时,一个报文只能增加一条路由。
- 当BGP检测到错误状态时就会向对等体发出NOTIFICATION消息,之后BGP连接就会中断。
二、计算机安全
1. 入侵检测系统(IDS)
IDS是一种通常以被动方式工作的系统,在监测到潜在威胁后会发出警报。根据网络拓扑结构的不同,IDS的探测器可以通过以下三种方式部署在被检测网络当中:
- 利用交换设备的镜像功能,使交换设备将流向各端口的数据包复制一份给监控端口以进行数据分析和处理。
- 在网络中增加一台集线器改变网络拓扑结构。
- 增加一个TAP分路器设备对交换式网络中的数据包进行分析和处理。
IDS也具有以下几种模式:
- 层次式:将数据收集的工作分布在整个网络中
- 协作式:各数据分析模块可以相对独立地进行决策
- 对等式:真正避免了单点故障的方式
2. 入侵防御系统(IPS)
入侵防御系统IPS(Intrusion Prevention System)是一种在入侵检测系统IDS(Intrusion Detection System)基础上发展而来的。IPS在IDS的基础上增加了主动响应功能,不仅能够监测威胁,还能够主动阻止或减轻攻击的影响。
IPS工作在In-Line(内联)模式,这意味着其直接部署在网络流量的传输路径上,实时监控并处理数据包。这也使得IPS具备嗅探功能(“嗅探功能”是指通过网络接口捕获并分析流经网络的数据包的技术。)。
根据部署位置和工作方式的不同,IPS可以分为以下几个类型:
- 基于主机的HIPS(Host-based IPS):HIPS部署在受保护的主机系统当中,能够监控主机的系统调用、文件访问和进程行为,阻挡攻击。
- 基于网络的NIPS(Network-based IPS):NIPS部署在网络边界,一般串联于防火墙和路由器之间(即被保护的链路中)。NIPS对攻击的误报(不是漏报)会导致合法的通信被阻断。
- 基于应用的AIPS(Application-based IPS):AIPS一般部署在受保护的应用服务器前端。
3. 常见的网络攻击类型
常见的网络攻击类型主要有以下几种:
| 攻击类型 | 原理简述 |
|---|---|
| DDoS 攻击 | 利用已经攻占的多个系统向目标攻击,被害设备面对大量请求无法正常处理而拒绝服务 |
| Land 攻击 | 向某个设备发送数据包,并将数据包的源 IP 地址和目的地址都设置成攻击目标的地址 |
| Smurf 攻击 | 利用 ICMP 广播地址放大攻击流量,淹没目标服务器 |
| SYN Flooding | 利用 TCP 三次握手过程,使受害主机处于会话请求之中,直至连接超时停止响应 |
| SQL 注入 | 插入恶意 SQL 代码,操纵数据库查询。 |
| Ping of Death | 发送超大的 ICMP 数据包,导致目标系统崩溃。 |
| Cookie 篡改| 修改客户端 Cookie 数据,伪造用户身份或权限。|
| DNS 欺骗 | 伪造 DNS 响应,诱导用户访问恶意网站。|
| Tear Drop 攻击| 发送特制分片 IP 数据包,导致目标系统崩溃。|
其中需要注意的有:
- 由于SQL注入攻击是利用了系统漏洞,所以防火墙无法阻断
- 基于网络的防护系统也无法阻断Cookie篡改和DNS欺骗,因为它们不是通过阻塞网络或者耗费网络资源来进行攻击的。同理,基于网络的防护系统可以阻断Smurf攻击。
- Tear doop、Smurf攻击可以被路由器阻止
4. 漏洞扫描技术和工具
主要有以下几种漏洞扫描技术和工具:
- 主动扫描:主动扫描是指通过向目标系统发送特定的探测包或请求,主动收集目标系统的漏洞信息。它是一种积极的扫描方式,能够快速发现目标系统的漏洞,但也因此具有一定的侵入性,会对目标系统造成一定影响。
- 被动扫描:被动扫描是指通过监听网络流量,分析目标系统的行为和通信模式,间接发现漏洞。这和同样处于被动的状态的IDS有相似性。
- X-Scanner:X-Scanner是一款国产的漏洞扫描工具,采用多线程方式对制定IP地址段进行安全漏洞扫描。由于X-Scanner运行在Windows平台下,因此只能检测运行Windows系统的硬件。
- ISS的System Scanner:通过依附于主机上的扫描器代理侦测主机内部的漏洞,是主动扫描而非被动扫描。
- CVE:CVE是一个公开的漏洞数据库,为已知的漏洞和暴露提供唯一的标识符,也就是说CVE为每个漏洞确定了唯一的名称和标准化的描述。
- MBSA:微软的安全评估工具。
5. Cisco PIX 525防火墙
PIX防火墙中定义了以下四种模式:
- 非特权模式:默认登录后进入非特权模式,其权限最低,只能执行基本的查看命令和有限的测试命令
- 特权模式:在非特权模式中输入
enable命令后进入,权限较高,可以查看设备的所有状态信息 - 监视模式:也称为“维护模式”,在设备启动时按下
Escape或Break健进入,用于设备故障恢复或密码重置。在监视模式中,可以更新操作系统映像和口令恢复。 - 配置模式:在特权模式下输入
configure terminal命令进入,权限最高,可以修改设备的配置
此外在Cisco PIX 525防火墙中,接口的命名和安全级别是预定义的,用于区分不同网络区域的安全等级: - Ethernet0:外部接口(Outside),连接到外部路由器或互联网服务提供商(ISP),安全级别为0
- Ethernet1:内部接口(inside),连接到内部交换机或核心网络设备,安全级别为100
- Ethernet2:中间接口(dmz),连接DMZ(非军事区)网络,用于放置对外提供服务的服务器(如 Web 服务器、邮件服务器),安全级别为50。
其中安全级别是一个用来衡量接口的可信程度的数值,数值越高该接口所连接的网络越可信。默认情况下,高安全级别接口的流量可以访问低安全级别接口。如果想要反向流动的话需要使用conduit命令。
说到命令,Cisco PIX525的常见命令还有以下几种: - nat:地址转换命令,将内网的私有IP转换为外网公网IP。
- global:指定公网地址范围并定义地址池。
- fixup:启用或禁止一个服务或者协议。
- static:配置静态IP地址翻译,使内部地址与外部地址一一对应。
6. 可信计算机系统评估准则TCSEC
TCSEC(Trusted Computer System Evaluation Criteria,可信计算机系统评估标准)是一套重要的计算机系统安全评估标准。它起源于20世纪70年代的美国国防科学委员会,并在1985年由美国国防部正式公布,因此也被称为“橙皮书”。
TCSEC的重要性不仅在于其具体的分级标准,还在于它为后来的IT安全评估标准如ITSEC和CC(通用准则)奠定了基础。这些标准现已被国际标准化组织采纳为ISO 15408,广泛应用于欧洲及全球范围内。
| 等级 | 类别 | 子级 | 名称 | 标准描述 |
|---|---|---|---|---|
| D | 最小保护 | - | 最小保护(Minimal Protection) | 未通过任何安全评估的系统,不能用于多用户环境下重要信息处理。 |
| C | 自主保护 | C1 | 自主安全保护 | 提供基本的访问控制,用户和数据分离。 |
| C2 | 受控访问保护 | 更严格的访问控制,支持审计功能,能够追踪用户活动。 | ||
| B | 强制保护 | B1 | 标记安全保护 | 引入强制访问控制(MAC),数据标记和基于标签的访问控制。 |
| B2 | 结构化保护 | 更强的安全策略,支持隐蔽通道分析和更严格的系统设计。 | ||
| B3 | 安全域 | 高度安全的系统设计,支持最小特权原则和全面的审计功能。 | ||
| A | 验证保护 | A1 | 验证设计 | 最高安全级别,要求形式化验证和严格的安全设计流程。 |
7. 三种备份方式比较
现在主要的备份方式有完全备份、差异备份和增量备份三种:
- 完全备份:备份所有选定的数据,无论数据是否发生变化。
- 差异备份:备份自上次完全备份以来发生变化的所有数据。
- 增量备份:备份自上次备份(无论是完全备份、差异备份还是增量备份)以来发生变化的数据。
此外还需要了解一个备份数的概念,它通常指的是为同一个数据保留的备份版本的数量,通过保存多个时间点的备份副本,确保在数据丢失、损坏或误操作时能够灵活恢复到不同时间点的状态。
| 特性 | 完全备份 | 差异备份 | 增量备份 |
|---|---|---|---|
| 备份数据量 | 最大 | 中等 | 最小 |
| 备份时间 | 最长 | 中等 | 最短 |
| 恢复速度 | 最快 | 较快 | 较慢 |
| 恢复复杂度 | 最简单 | 较简单 | 最复杂 |
| 存储空间占用 | 最大 | 中等 | 最小 |
| 备份数 | 4份 | 1全备+6差异 | 1全备+6增量 |
8. 加密通信
常见的密码方法可以分为两类,一类是对称密码,另一类是非对称密码:
- 对于对称密码而言,如果网络中有N个用户,则需要密钥的个数是N*(N-1)个。
- 对于非对称密码而言,如果网络中有N个用户,需要的密钥个数为2N个。
三、城域网结构与设计
1. 城域网的结构
和OSI模型类似,城域网的三层网络结构是采用层次化架构的三层网络,它将网络分为了核心层、汇聚层和接入层:
- 接入层(Access Layer):这是用户设备(如计算机、手机、打印机等)接入网络的入口。接入层负责提供用户接入、认证、安全策略等功能,同时也执行本地流量处理。交换机在这一层起到关键作用,将用户设备连接到网络。
2. 汇聚层(Distribution Layer):汇聚层位于接入层和核心层之间,承担连接不同接入层子网的任务。在汇聚层,流量聚合和筛选,同时进行部门间的隔离(通过虚拟局域网或VLAN技术)。
3. 核心层(Core Layer):核心层是网络的主干,负责高速数据传输和流量交换。它连接不同的汇聚层和提供网络的高可用性和冗余。核心层需要具备高带宽、低延迟和高可用性的特点。
其中,对用户流量进行路由处理的是核心交换层。
2. 城域网QoS技术
无论是语音还是视频,在IP网上都以IP数据包方式传输,其所需带宽完全可以由宽带多业务网络满足。但为了保证在其它数据的干扰下,或在高峰拥塞期间,在多对一的流量汇聚点上,满足关键业务的带宽、时延、抖动和丢包等要求,就需要网络提供必要的QoS(服务质量保证)技术。
主要考察的技术有以下三种:
- 资源预留(RSVP, Resource Reservation Protocol):RSVP 是一种信令协议,用于在IP网络中为特定数据流预留资源(如带宽)。
- 区分服务(DiffServ, Differentiated Services):DiffServ 是一种基于分类的QoS技术,通过将数据包分为不同类别并为每类分配优先级,实现服务质量保障。它适用于大规模网络,扩展性较好。
- 多协议标记交换(MPLS, Multiprotocol Label Switching):MPLS 是一种基于标签的转发技术,通过为数据包添加标签,实现高效的路由和流量工程(Traffic Engineering),同时支持QoS。
3. NAT技术
…以至于二十世纪90年代初,网络专家们意识到,这样大手大脚下去,IPv4地址很快就要耗光了。于是,人们开始考虑IPv4的替代方案,同时采取一系列的措施来减缓IPv4地址的消耗。正是在这样一个背景之下,本期的主角闪亮登场,它就是网络地址转换——NAT。
NAT是一项神奇的技术,说它神奇在于它的出现几乎使IPv4起死回生。在IPv4已经被认为行将结束历史使命之后近20年时间里,人们几乎忘了IPv4的地址空间即将耗尽这样一个事实——在新技术日新月异的时代,20年可算一段漫长的历史。更不用说,在NAT产生以后,网络终端的数量呈加速上升趋势,对IP地址的需求剧烈增加。此足见NAT技术之成功,影响之深远。
我们首先需要来了解一下所谓公有IP和私有IP的概念:
- 公有IP地址:公有IP地址是全球唯一的,用于在互联网上标识设备。它由**互联网编号分配机构(IANA)**及其下属机构(如RIRs)统一分配和管理。
- 私有IP地址:私有IP地址用于内部网络(如家庭、企业局域网),不能在互联网上直接路由。它们由网络管理员自由分配,无需向IANA申请。
需要注意的是,IANA专门保留了3块IP地址作私有地址用:
| 起始地址 | 结束地址 |
|---|---|
| 10.0.0.0 | 10.255.255.255 |
| 172.16.0.0 | 172.16.255.255 |
| 192.168.0.0 | 192.168.255.255 |
这也就解释了前段时间一道课内阶段测试题的答案:
其中NAT技术主要分为:
- 静态NAT技术:即一个公网IP地址对应一个私有IP地址。
- 动态NAT技术:即同一个公网IP地址分配给不同的私网用户使用,但是时间必须错开,它包含一个公有IP地址池和一张动态地址映射表。
而计算机三级网络技术中有关NAT的主要考察知识点就是动态地址转换表。下边我们直接以真题为例进行分析:
此外还有一种情况:
当内部网络的一个专用地址需要访问外网的时候,NAT会将其转换为Internet上唯一的外部公用地址+端口号,也就是58.73.1.1, 1423。而外部网络相应这个访问请求的时候也只能是响应这个转换过后的外部公用地址。因此本题答案为58.73.1.1:1423。
4. RPR弹性分组环
弹性分组环(RPR, Resilient Packet Ring)是一种采用环形拓扑且是互逆双环拓扑(见下图)的网络架构,广泛应用于城域网(MAN)或广域网(WAN)。其中,两个RPR节点之间的裸光纤最大长度可达100公里。
和前边提到过的技术类似,RPR也是基于前置基数发展而来的,其前身为光纤分布式数据接口FDDI(Fiber Distributed Data Interface)。FDDI是早期的环形网络技术(同样是双环),主要应用于较小的局域网(LAN)当中。在传统的FDDI环当中,当源节点向目的节点发送一个数据帧时,这个数据帧将由源节点从环中收回。但在RPR环中,这个数据帧将由目的节点从环中收回。
提高带宽利用率:
FDDI 的问题:在 FDDI 中,数据帧必须由源节点收回,即使数据已经到达目的节点,帧仍然会在环上继续传输,直到返回源节点。这导致带宽浪费,尤其是在长距离环网中。
RPR 的优势:RPR 中,目的节点在接收到数据帧后立即将其从环中移除,释放了后续环路的带宽,使得其他节点可以立即使用这些空闲带宽。这种机制显著提高了环网的带宽利用率。
正常情况下,RPR中的两个环会同时工作,其中外环沿顺时针方向,内环沿逆时针方向,当一个环损坏时就由另一个环承担所有数据帧的传输工作。
着眼于环上的每一个节点,RPR技术通过公平算法来控制各个节点,进而使得RPR及其节点具备以下特性:
- RPR环上的各个节点共享带宽。
- RPR可以对不同的业务数据分配不同的优先级,优先级高的业务将被分配更高的带宽,这使得RPR可以在光纤上高效传输IP分组。
- RPR环上的每一个节点都执行SRP算法(空间复用协议,Spatial Reuse Protocol)。SRP算法是实现公平算法的重要基础,其将帮助实现带宽的高效利用。
由以上特性可得整个RPR环处于一种十分高效的动态分配当中,这也要求RPR的内外环都采用统计复用的方法传输和控制分组。所谓统计复用,指的就是根据实际需求分配资源,允许多个数据流共享同一传输通道,按需使用带宽,从而提高利用率。
此外,RPR提供了环自愈保护的功能:
“(5)环自愈保护。当RPR环中出现严重故障或者发生光纤中断后,中断处的两个站点就会发出控制帧,沿光纤方向通知各个节点。正要发送数据的站点接收到这个消息后,立即把要发送的数据倒换到另一个方向的光纤上。一般来说,在环保护切换时,要按照业务流的不同服务等级、根据相同目标一起倒换原则依次向反向光纤倒换业务。RPR和SDH一样,能保证业务的倒换时问少于50ms。”
其中提到的SDH是指同步数字体系(Synchronous Digital Hierarchy),是一种在RPR之前发展出来的技术,同样具有50ms级的环自愈保护功能。但其技术核心是同步传输(时分复用),与采用统计复用的RPR相较而言带宽利用率较低。
5.数字用户线xDSL接入技术
xDSL是一种基于电话线的宽带接入技术,通过调制解调器将数字信号转换为模拟信号,在一对铜双绞线上传输。它能够在现有的电话线上实现高速数据传输,同时不影响电话服务。而xDSL技术包括以下几种变种:
- 非对称数字用户线ADSL:ADSL的上下行传输速率不对称,为64~640kbps(上行)/1.5~6Mbps(下行)。
- 高比特率数字用户线HDSL:HDSL的上下行传输速率对称,为1.544Mbps。
6. 光纤同轴电缆混合网HFC
此外我们再梳理一些关于光纤同轴电缆混合网HFC的相关知识点:
- 根据命名不难发现HFC是一种混合网络技术,其使用光纤作为主干传输介质而将同轴电缆作为最后一公里的接入介质。
- HFC是一个双向传输系统,支持上行和下行通信。
- HFC中应用到了电缆调制解调器,即Cable Modem。所谓调制,就是将基带信号转换为适合再特定信道中传输的高频信号的过程,在HFC中就是在发送端将数据调制为同轴电缆允许的频率发送出去。而解调则为调制的逆过程。
- Cable Modem利用频分多路复用方法将信道分为上行信道与下行信道。
- Cable Modem是处于同轴电缆上的,它将用户计算机与同轴电缆连接起来。
- Cable Modem传输方式分为对称式和非对称式两类。
7. 光纤接入技术
ITU:International Telecommunication Union(国际电信联盟),是联合国下属的专门机构,负责制定全球电信标准。ITU 标准在光纤通信中广泛使用,特别是在 SDH(同步数字体系) 和 SONET(同步光网络) 技术中。
而OC:Optical Carrier(光载波),是 SONET 标准中用于表示光纤传输速率的等级,其定义了光纤网络中信号的传输速率,通常用于北美地区的 SONET 网络。
| ITU标准 | 传输速率 |
|---|---|
| OC-3 | 155.52Mbps |
| OC-12 | 622.08Mbps |
一个比较好记忆的方法是OC-1的传输速率是51.84Mbps,其它标准基于此倍增即可。
四、局域网设计与设备
1. 综合布线系统
其中需要注意的知识点有:
- 建筑群子系统可以是多种布线方式的任意组合,但不能只是一种布线方式的单一选择。其中,地下管道布线是最理想的方式。
- 嵌入式插座是用来连接双绞线的。关于双绞线,其分为UDP(非屏蔽双绞线)和STP(屏蔽双绞线)。两者虽都具有避免电磁干扰的功能,但前者是基于双绞线本身的结构,而后者则是基于屏蔽层的使用。也正因此,STP 比 UTP 贵、复杂、抗干扰能力强、辐射小。
- 多介质插座用来连接铜缆和光纤,满足用户“光纤到桌面”的需求。
- 水平布线子系统的电缆长度在90m以内。
- 干线线缆铺设经常采用点对点结合和分支结合两种方式。
以下是在建筑群布线子系统中可采用的四种铺设方式:
- 巷道布线法:利用建筑物之间的地下巷道铺设电缆。由于地下巷道中存在热水管道,有烫伤电缆的可能性。
- 架空布线法:利用原有的电线杆布线。显然,成本低但安全性不高。
- 直埋布线法:该方法除了部分电缆外,其余部分都没有管道保护,容易受到破坏。是对线缆保护最不利的方式。
- 管道布线法:在管道和入孔组成的地下系统中进行布线,为电缆提供了最好的机械保护。
2. 集线器
集线器是一种运作在OSI模型(见下图)中的物理层中的一种网络硬件,可以让其链接的设备工作在同一网段。
作为在物理层中工作的设备,即纯硬件网络底层设备,集线器仅对数据传输起到同步、放大和整型的作用。它采用CSMA/CD(Carrier Sense Multiple Access with Collision Detection,载波侦听多路访问/冲突检测)介质访问控制机制,这使得其具有以下功能:
- 载波侦听:在发送数据之前,设备会先侦听共享介质上是否有其它设备正在发送数据。
- 多路访问:多个设备共享同一介质,任何设备都可以在介质空闲时发送数据。
- 冲突检测:如果两个或多个设备同时检测到介质空闲并开始发送数据,就会发生冲突。设备会等待一段随机时间(称为退避时间)后重新尝试发送。
综合这些功能,我们可以得到:在集线器中每次只有一个节点能够发送数据,而其它节点都处于接收数据的状态(当然多个节点可以同时接收)。
同时,集线器采用广播模式,即其不是基于MAC/网卡/IP地址完成数据转发的,而是信源节点利用一对发送线将数据通过集线器内部的总线广播出去的。这也意味着,在某个端口工作的时候,其它所有端口都能收听到信息(连接到一个集线器的所有节点是共享同一个冲突域的)。
3. 中继器
中继器同样是一个工作在物理层的连接设备,其适用于完全相同的两类网络的互连。中继器对在线路上的信号具有放大再生功能,能够扩大网络传输的距离。
(判断正误)中继器工作在MAC层。
错误,MAC层是数据链路层的一个子层,而中继器显然工作在物理层。4. 网桥
网桥工作在数据链路层,这意味着它具备了一定处理传输数据的能力。
简单的说网桥就是个硬件网络协议翻译器,假设你有2台电脑,一台兼容机安装windows,一台是Apple安装OS2,那么两台电脑之间是默认网络协议是不同的,兼容机可能只会说TCP/IP,苹果机只会说Apple talk,就好象两个外国人都不会说对方的语言,怎么办?找个翻译,网桥就是翻译。
而根据转发策略可以将网桥分为透明网桥和源路由网桥:
- 透明网桥:透明网桥在转发数据帧时,不需要发送方或接收方进行任何配置或修改。透明网桥一般用在两个MAC层协议相同的网段之间的互联。
- 源路由网桥:源路由网桥要求发送方在数据帧中指定完整的传输路径。
5. 交换机
和上文中提到的集线器类似,交换机(Switch)也是一种实现不同设备之间通信的设备,可以将多台数据终端设备连接在一起,构成星状结构的网络。但是交换机已经是OSI模型中第二层数据链路层的设备了,这意味着交换机不但可以对数据的传输做到同步、放大和整形,而且可以过滤短帧、碎片等,从而保证数据传输的完整性和正确性。
交换机的基本功能为:
- 建立和维护一个表示MAC地址与交换机端口对应关系的交换表。交换机会采用盖时间戳的方法刷新交换表。
- 在发送节点和接收节点之间,建立一条虚连接。即发送方所连的交换机端口(源端口)到接收方所连的交换机端口(目的端口)之间建立虚连接。
- 完成数据帧的转发或过滤。
1) 交换机的交换模式
总体来说,交换机的交换方式有静态交换和动态交换两种:
- 静态交换:由人工来完成端口之间传输通道的建立。
- 动态交换(最常用):依据目的地的MAC地址查询交换表(不是IP地址),由表中给出的输出端口来建立传输通道(一个数据帧传送完成后自动断开)。
- 直通模式:
- 快速转发交换模式:也叫直通交换模式,交换机在接收了帧的前14个字节后就会立刻转发该数据帧。
- 碎片丢弃交换模式:这种交换模式将在转发数据帧前先过滤掉大部分数据报错误的碎片。(如果帧的长度小于64,则被视为碎片,交换机直接丢弃;而任何大于64字节的数据帧都被交换机视为有效帧,进行转发)
- 存储转发模式:在这种模式下交换机将会将接收到的整个数据帧都保存在缓冲区中,然后在检验数据有效性之后再行转发。
- 直通模式:
2) 虚拟局域网技术
VLAN(Virtual Local Area Network,虚拟局域网) 是一种将物理局域网(LAN)划分为多个逻辑子网的技术。通过 VLAN,网络管理员可以在同一物理网络基础设施上创建多个独立的广播域,从而提高网络的安全性、灵活性和管理效率。以下是需要注意的相关知识点:
- 由于VLAN依靠具有VLAN功能的交换机建立,因此其和交换机一同处在数据链路层当中。同理,VLAN是以交换式网络为基础的。
- VLAN可隔离广播信息,每个VLAN为一个广播域,也就是一个独立的逻辑网段,VLAN中的广播信息,只能发送给这个VLAN内部的成员,并不发送给其他VLAN成员。如果VLAN之间想要互相通信的话就必须通过路由器。
- VLAN通常用VLAN ID(vlan号,12bit)和VLAN name(vlan名,32个字符)来标识,若创建一个VLAN时没有给定名字,则系统自动使用的缺省VLAN名为VLAN00XXX(XXX即为vlan号)。可用于Ethernet的VLANID是1~1000。
- VLAN的划分不受实际交换机区段的限制,也不受用户所在的物理位置和物理网段的限制。
3) 交换机带宽
带宽是指在一定时间内,网络或设备能够传输的最大数据量。
来看一道真题:
一台交换机具有24个10/100Mbps端口和2个1000Mbps端口,如果所有端口都工作在全双工状态,那么交换机总带宽应为
A)4.4Gbps
B)6.4Gbps
C)6.8Gbps
D)8.8Gbps
还有另一种题型:
一台接入屋交换机具有16个100/1000Mbps全双工下联端口,它的上联端口带宽至少应为
A) 0.8Gbps
B) 1.6Gbps
C) 2.4Gbps
D) 3.2Gbps
这时题目中出现了上下联端口的区别,我们需要记住的是:在网络系统分层设计中,层次之间的上连带宽与下一级带宽之比一般控制在1:20,因此此题的答案是3.2Gbps/20 = 1.6Gbps。
4) 交换机的VTP工作模式
VTP(VLAN Trunking Protocol,VLAN干道协议) 是 Cisco 交换机用于在局域网中自动同步 VLAN 信息的协议。通过 VTP,管理员可以在一个交换机上配置 VLAN,并自动将这些配置传播到其他交换机,从而简化 VLAN 管理。VTP 有三种工作模式:
- 服务器模式(Server):其为VLAN配置的源头在服务器模式下,交换机可以创建、修改和删除 VLAN,并将这些更改传播到其他交换机。
- 客户端模式(Client):客户端模式交换机不能创建、修改或删除 VLAN,只能接收服务器模式交换机发送的 VLAN 信息。
- 透明模式(Transparent):透明模式交换机可以创建、修改和删除 VLAN,但这些更改不会传播到其他交换机。且透明模式交换机会转发 VTP 消息,但不会根据这些消息更新自己的 VLAN 数据库。
5) 二层交换机和三层交换机
二层交换机和三层交换机的命名由来即其所在的网络层级的不同,二层交换机处于数据链路层(Layer 2),是基于MAC地址进行数据转发的(二层交换机维护一个表示MAC地址与交换机端口对应关系的交换表);而三层交换机处于网络层(Layer 3),是基于IP地址进行数据路由的。不难发现,三层交换机带一些路由器的功能。
6) 交换机中使用到的技术
- 生成树协议STP:生成树协议是一个运行在交换机和网桥设备上的二层链路管理协议,其主要功能和目的是通过建立一个稳定的树状结构网络来保证网络中没有回路。一般来说,它允许在第二层中提供冗余路径,以保证网络可靠地运行。而IEEE 802.11d是最早的STP标准,同时也是应用最为广泛的STP标准。此外,STP通过比较交换机的优先级来确定根桥,优先级的范围为0~61440,步长为4096。
此外,在生成树协议STP工作的时候,交换机之间会传递网桥协议数据单元BPDU,其数据包有两种类型:- 包含配置信息的配置BPDU,长度不超过35个字节
- 包含拓扑变化信息的拓扑变化通知BPDU,不超过4个字节
- Flood:当交换表中没有接收帧的目的MAC地址时,交换机采用Flood技术转发该帧。
6. 小结
综上所述,无线设备主要有以下四大种类:
- 无线网卡:也叫VLAN适配器,是无线局域网中最基本的硬件,主要用来实现点对点的通信,从而组成一个最小的局域网。
- 无线接入点:即无线AP(Access Point),这种设备的基本功能是集合无线或者有线终端,其作用类似于集线器和交换机。
- 无线网桥:主要用于连接几个不同的网段,从而实现较远距离的通信。
- 无线路由器:无线路由器是具有无线路由功能的AP,一般情况下具有NAT功能。
采用点对点模式(Ad hoc)建立一个小型无线局域网时应选用的无线设备是:
A)无线网卡
B)无线接入点
C)无线网桥
D)无线路由器
根据小结内容不难发现此题答案为无线网卡。
五、中小型网络系统
1. 核心层网络设计
中小型网络系统的主题部分是核心层网络,其采用的技术标准是GE/10GE,能够承担整个网络系统流量的40%-60%。
其设计方式一般如下图所示:
这两种设计方式的共同点是都采用了冗余电路的光纤连接了两个核心路由器,但是它们之间亦有区别:
- 图(a):直接利用了核心路由器的带宽,但是占用的核心路由器端口较多(流量压力大),而高端路由器的端口价格很高,所以设备成本会升高。(成本高)
- 图(b):在采用链路冗余的同时还增加了一台交换机,这样一来可以分担核心路由器的带宽,但是也容易形成带宽瓶颈,存在单点故障的潜在危险。(可靠性低容易坏)
六、无线局域网技术与设备
1.IEEE通信协议
计算机三级网络技术主要考察的IEEE协议有IEEE 802.11和IEEE 802.16两种。802.11标准的重点在于解决局域网范围内移动结点的通信问题,而802.16标准的重点是解决建筑物之间的数据通信问题(城市范围内的宽带无线接入问题)。
1) IEEE 802.11
IEEE 802.11是IEEE 802标准委员会(IEEE 802 LAN/MAN Standards Committee)下属的无线局域网工作组,也指代由该组织制定的无线局域网标准。
最初的IEEE 802.11标准中定义了三种物理层技术,分别是两个扩频技术(通过将信号扩展到更宽的频带上传输,以提高抗干扰能力和安全性)和一个红外传播规范(作为在某些特定场景中的补充技术):
- 跳频扩频(FHSS):最大传输速率为2Mbps
- 直接序列扩频(DSSS):支持1Mbps和2Mbps
- 红外(IR):支持1Mbps和2Mbps
因此不难看出,最初的IEEE 802.11技术中定义的传输速率是1Mbps和2Mbps。
而自上世纪90年代该技术提出之后,也经历了一系列的发展与更新,下面是IEEE 802.11三种协议的比较:
| 协议 | 802.11b | 802.11a | 802.11g |
|---|---|---|---|
| 工作频段 | 2.4Ghz | 5Ghz | 2.4Ghz |
| 最大传输速率 | 11Mbps | 54Mbps | 54Mbps |
| 实际吞吐量 | 5~7Mbps | 28~31Mbps | 28~31Mbps(纯802.11g环境) / 10~12Mbps(与802.11b混合环境) |
| 最大容量 | 33Mbps(3信道*11) | 432Mbps(8*54) | 162Mbps(3*54) |
此外还需要注意几个名词或概念的理解:
- UNII波段:
UNII 波段(Unlicensed National Information Infrastructure)是 5 GHz 频段的一部分,因此在上表中频段为2.4Ghz的版本并未使用UNII波段。 - RTS/CTS机制:RTS/CTS(Request to Send / Clear to Send)是 IEEE 802.11 标准中用于解决隐藏节点问题的机制。该机制在 MAC 子层定义,用于减少数据帧冲突。
- IEEE 802.11d 是当前最流行的 STP(生成树协议)标准
- IEEE 802.11定义了两种类型的设备:
- 无线结点:即支持IEEE 802.11标准的设备,通常是一台接入设备上加入一块无线网络接口卡(据此实现点对点通信)构成的
- 无线接入点:无线接入点的作用是提供有线和无线网络之间的桥接
- 802.11b的运行模式:
- 点对点模式:点对点模式是指无线网卡和无线网卡之间的通信方式,这种连接方式对于小型网络来说是非常方便的,最多可以连接256台PC。
- 基本模式:基本模式是指无线网络规模扩充或无线和有线网络并存时的通信方式,也是IEEE 802.11b现在最普及的方式。这时接入点负责频段管理及漫游等指挥工作,一个接入点最多可以连接1024台PC。
2) IEEE 802.16
| 协议版本 | 适用结点 | 备注 |
|---|---|---|
| 802.16a | 固定结点接入 | - |
| 802.16d | 固定结点接入 | IEEE 802.16a 的修订版本 |
| 802.16e | 固定或移动结点接入 | - |
2. 蓝牙系统
蓝牙是一种工作在ISM(工业、科学和医疗)频段,亦即2.402~2.480GHz频段,上的开放性的、短距离无线通信技术标准。其主要参数和技术指标如下:
- 蓝牙采用跳频扩频(FHSS)技术来减少干扰,以每秒1600次的速率在其79个信道(2.402~2.480共79个)间切换。
- 此外,根据应用场景类型的不同,蓝牙又分为了同步信道和异步信道两种不同的通信模式:
- 同步信道:数据以固定的时间间隔传输以保证时效性,因此适合语音等对延迟敏感的数据,其传输速率为64kbps。
- 异步信道:数据不以固定的间隙进行传输,适合非事实性应用
- 非对称模式:上行和下行速率可以不同,为723.2 kbps(下行) / 57.6 kbps(上行)。
- 对称模式:上行和下行速率相同,为433.9 kbps。
- 在理想情况下,如果蓝牙的发射功率为100mw时,其最大传输距离为100米。
3. HiperLAN技术与标准
HiperLAN (High Performance Radio LAN)是一种在欧洲应用的无线局域网通讯标准的一个子集。HiperLAN有两种规格:HiperLAN/1和HiperLAN/2,这两种标准均被欧洲电信标准协会(ETSI)采用。
HiperLAN/1和HiperLAN/2的技术标准如下所示:
| HiperLAN/1 | HiperLAN/2 | |
|---|---|---|
| 射频频率 | 5GHZ | 5GHZ |
| 上行速率 | 20Mbps | 50Mbps |
而关于HiperLAN/2还有以下几个考点:
- 覆盖范围:HiperLAN/2在室内的覆盖范围一般为30m,在室外一般为 150m。
- 面向连接:与其他无线局域网技术不同,在HiperLAN/2网络中数据的传输是面向连接的。
- 高传输速率:HiperLAN/2采用先进的OFDM调制技术。
4. Cisco Aironet 1100
Cisco Aironet 1100是无线局域网收发器的一种,主要是用于独立无线网络的中心点或无线网络和有线网络之间的连接点。兼容IEEE802.11b和IEEE802.11g,工作在2.4GHz频段, 使用的是IOS操作系统。
1)将接入点接入网络
在安装无线接入点之前,会先向网络管理员询问以下信息:
- 系统名
- 无线网络中对大小写敏感的服务集标识符(SSID),这是客户端设备用来访问接入点的唯一标识。
- SNMP集合名称及其文件属性
- 如果没有连接到DHCP服务器,则需要为接入点指定一个唯一的IP地址
- 如果接入点与PC不在同一个子网内,则需要子网掩码和默认网关
2)配置无线接入点
第一次配置无线接入点的时候一般采用本地配置方式(无需将无线接入点连接到一个有线的网络中,不需要配置SSID),默认的IP地址是10.0.0.1,并将成为一个小型的DHCP服务器。这时接入点可以为设备分配多达20个10.0.0.x范围内的IP地址。
接下来则要按照以下方法配置接入点:
- 使用5类双绞线将一台PC机连接到Aironet 1100的以太网端口
- 确认PC机获得了10.0.0.x网段地址
- 打开浏览器
- 在URL栏中输入10.0.0.1,接下来会出现密码框
- 按
Tab键越过用户名字到密码字段 - 输入大小写敏感的密码后按回车键,接下来会出现接入点汇总状态的页面。单击
Express Setup进入快速配置页面 - 输入各项配置数据
七、网络信息系统与服务器系统
1. DHCP协议
动态主机配置协议DHCP(Dynamic Host Configuration Protocol)是一种使用UDP协议工作的应用在局域网中的网络协议,能够动态地自动地为用户分配IP地址。
DHCP主要有以下几种分配IP地址的方法:
- 动态IP地址分配:DHCP服务器从一个IP地址池中动态分配IP地址给客户端。当客户端释放IP地址或租约过期时,该IP地址可以被重新分配给其他客户端。这是最常见的DHCP分配方式。
- 静态IP地址分配:DHCP服务器将特定的IP地址分配给特定的客户端MAC地址。这意味着客户端每次连接到网络时都会获得相同的IP地址。这对于需要固定IP地址的服务器或其他关键设备很有用。
- 保留IP地址分配:这是一种介于动态和静态分配之间的方式。DHCP服务器保留一些IP地址,仅分配给特定的MAC地址,但仍然允许这些IP地址在客户端断开连接后被释放。
和交换表、路由表类似,DHCP服务器中会维护一个租约表,其中记录了当前DHCP所有分配的租约期信息:
- 静态租约表:对应一个静态租约存储文件,server运行时从文件中读取静态租约表。
- 动态租约表:对应一个周期存储文件,server周期性将租约表存进该文件,在程序开始时将会读取上次存放的租约表。
当客户端向服务器请求的时候,DHCP服务器会先查找租约表,若存在对应的表项就返回,否则就从IP地址池中选择可用IP地址返回,并将其记录下来。
关于DHCP服务器配置的术语和主要参数如下:
- 作用域:作用域是DHCP服务器分配给客户端的IP地址范围。它定义了可分配的IP地址池,而不负责IP地址的分配。此外,在修建作用域后必须激活才可以为客户机分配地址。当DHCP服务器负责多个网段IP地址分配时,需要配置多个作用域。当新建一个作用域的时候,必须键入的信息是起始IP地址和结束IP地址。
- 排除范围:排除范围是作用域内不分配给客户端的IP地址段。添加排除范围时,只需要排除起始IP和结束IP即可。
- 租约:租约是客户端从DHCP服务器获取IP地址的使用期限。注意要将此概念与用户的上网时间区别开来。租约期限决定了客户端向服务器更新租约的频率。此外,客户机的地址租约续订是由客户端软件自动完成的。
- 保留:保留是将作用域地址范围内的任何IP地址(可以使用被排除的IP地址序列)固定分配给特定客户端(通过MAC地址识别),确保了子网上指定的硬件设备始终可使用相同的IP地址。
- 新建保留:新建保留时需输入保留名称、IP地址、MAC地址、描述和支持类型等项目。
(判断正误)一个作用域可负责多个网段IP地址的分配。
这道题需要搞清楚的有两点,一是作用域并不负责IP地址的分配,负责IP地址分配的是DHCP服务器;第二点是当DHCP服务器要负责多个网段的IP地址分配的时候,需要配置多个作用域。
2. DNS服务器
DNS是域名系统(Domain Name System)的简称,因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP地址。
DNS服务器配置的主要参数有:
- 正向查找域:正向查找域用于将域名解析为IP地址
- 反向查找域:反向查找域用于将IP地址解析为域名
- 资源记录
- 主机地址(A):将域名解析为IPv4地址
- 别名(CNAME):将域名指向另一个域名,就例如本网站
loquattree.xyz在配置DNS解析的时候就会在增加一条www.loquattree.xyz的别名来满足大多数人的输入习惯 - 邮件交换器(MX):指定邮件服务器的地址
- 转发器:转发器也是一个DNS服务器,用于将无法解析的查询请求转发到其他 DNS 服务器
DNS服务器按层次分为3类服务器:
- 根DNS服务器:根DNS服务器是 DNS 层次结构的最高层,负责管理全球 DNS 系统的根域(.)。 安装DNS服务时,根服务器将被自动安装到系统当中。
- 顶级域(TLD)服务器:顶级域服务器负责管理顶级域名(如 .com、.org、.net 等)以及国家代码顶级域名(如 .cn、.uk 等)
- 权威DNS服务器:权威DNS服务器是负责管理特定域名(如 example.com)的 DNS 服务器
在进行域名解析的时候,查询顺序为:客户机的缓存、本地DNS服务器、本地DNS服务器缓存、权威DNS服务器。
DNS服务器中有以下几种常见的命令:
- ipconfig:可以显示当前的TCP/IP网络配置,可以用来清空DNS缓存。
- netstat:用于显示网络连接、路由表、接口统计信息等。
- pathping:返回两部分内容,第一部分显示到达目的地经过了哪些路由,第二部分显示了路径中每个路由器上数据包丢失方面的信息,可以用来检测本机配置的DNS服务器是否工作正常。
- route:用于显示和操作本地IP路由表条目,可以修改主机默认网关设置。
- nslookup:用于查询 DNS 记录,是 DNS 服务器管理和故障排查的常用工具,可以测试正向和反向查找区域。
- ping:测试网络连通性,可以测试正向查找区域。
除此之外,还可以通过调控动态更新和生存时间来配置DNS服务器:
- 动态更新:动态更新允许客户机在发生更改时动态更新其资源记录,减少了对资源记录的手动管理,适用于频繁更改位置并使用DHCP获取IP地址的客户端。DNS动态更新选项卡中有:
- 不允许动态更新
- 只允许安全的动态更新
- 允许安全的和非安全的动态更新
- 生存时间:指该记录被客户端查询到,放在缓存中的持续时间。
此外,在计算机三级网络技术中常见的Windows 2003操作系统中默认情况下是不安装DNS服务的,而可配置的是DNS转发器。
(判断正误)DNS服务器的IP地址可以由DHCP服务器动态分配。
错误,由于DNS服务器会被频繁访问,故其IP地址应该是静态设置的固定地址。3. Winmail邮件服务器
Webmail 服务器是邮件系统中的一个重要组成部分,它允许用户通过浏览器(如 Chrome、Firefox)访问和管理邮件,而无需安装专门的邮件客户端(如 Outlook、Thunderbird),其工作流程为:
- 用户在客户端创建新邮件
- 客户端软件使用SMTP(发送邮件)协议将邮件发到发件方的邮件服务器
- 发件方邮件服务器使用SMTP协议将邮件发到收件方的邮件服务器
- 收件方邮件服务器将收到的邮件存储待处理
- 收件方客户端软件使用POP3或IMAP4(收取邮件)协议从邮件服务器中读取邮件。
以下是关于Winmail服务器的一些基本概念:
- Winmail 邮件服务器支持基于 Web 方式的访问和管理,因此在安装邮件服务器软件之前要安装 IIS(Internet Information Services,微软开发的 Web 服务器软件,用于在 Windows 系统上托管网站和 Web 应用程序)。同时,Winmail 用户使用浏览器查看邮件会 使用到 HTTP 协议。
- Winmail服务器允许用户自行注册新邮箱(格式为
用户名@域名),其域名是服务器固定的,并不能自行设置。但Winmail用户不可以使用Outlook等客户端注册新邮箱。 - Winmail服务器的管理工具主要包括系统设置、域名设置、快速设置向导:
- 系统设置中可以进行SMTP设置、邮件过滤和更改管理员密码等操作
- 域名设置中可以修改域的参数,用于增加新域、构建虚拟邮件服务器、删除已有的域。此外,在域名设置中可以决定是否允许自行注册新用户。
- 在Winmail快速设置向导中创建新用户时,需要输入新建用户的信息,包括用户名、域名及用户密码(不是系统邮箱的密码、管理员密码),可选择是否允许客户通过 Winmail 注册新邮箱。
- 建立邮件路由,即邮件从发件人传递到收件人的过程(经过的路径选择和转发机制),须在DNS服务器中建立邮件服务器主机记录和邮件交换器记录。
4. WWW服务器
总体来说,WWW服务器采用了B/S模式应用模式,即浏览器/服务器模式,该结构统一采用Web浏览器作为客户端,分为了三层架构。以下是主要考点:
- 在创建不同的网站服务器时,能够作为网络标识的有IP地址、TCP端口号和主机头三部分。
- 同一台服务器可以构建多个网站,每个网站对应服务器上的一个目录,因此建立Web站点时必须为一个站点指定一个主目录。可以是一个虚拟目录(必须在主目录下),但一定要有一个目录。
5. 文件传输协议FTP与Serv-U FTP服务器
FTP(File Transfer Protocol)是一种文件传输协议,用来上传和下载,实现远程共享文件,和统一管理文件。FTP允许用户在两台计算机之间传输文件,其中一台计算机充当服务器,另一台计算机充当客户端。
FTP协议可以传输所有文件,而Serv-U FTP服务器则是一款支持FTP的服务器软件,其基本配置管理原则符合FTP协议的要求,相关知识点如下所示:
- 初始状态下是没有设置管理员密码的,可以直接进入管理程序
- FTP服务器的默认端口为21,但也可以在该端口损坏的情况下选择其它端口
- FTP服务器可以构建多个由IP地址和端口号识别的虚拟服务器,这就是说每个虚拟服务器由IP地址和端口号唯一识别,而不是只单单靠IP地址唯一识别。
- 服务器选项不提供IP访问选项,用户常规选项中不包含用户主目录。
- FTP服务器可以使用动态IP地址,使用动态IP地址时,服务器IP地址应配置为空,为空代表全部IP地址,服务器有多个IP地址时,IP地址为空比较方便(不需分别添加,空不是 0.0.0.0)。
- 新用户的添加与注册必须由管理员来操作,不能自行注册新用户。
- FTP服务器的域创建完成之后需要添加用户才能被客户端访问,而用户中有命名用户和匿名用户的区别。添加匿名用户时用户名必须为"anonymous",如果添加的是匿名用户,系统将不会要求输入密码。
- 用户上传下载选项要求 FTP 客户端在下载信息的同时也要上传文件。(不是配置用户的上传和下载的速率)
6. 服务器技术
服务器组中常见的技术有:
- RAID:RAID是一种把多块独立的硬盘(物理硬盘)按不同的方式组合起来形成一个硬盘组(逻辑硬盘),从而提供更高的存储性能的技术
- Cluster:Cluster集群是指一组连接起来的电脑,它们共同工作对外界来说就像一个电脑一样。在集群中当服务器组中一台主机出现故障之后,程序会立即转移到其它主机中运行。
- RISC:精简指令集计算机系统
- CISC:复杂指令集计算机系统
而服务器可据此分类为:
- 基于CISC处理器的Intel结构(IA)的PC服务器。
- 基于RISC处理器(大型服务器采用UNIX操作系统)的服务器。
7. 服务器性能
| 可用性 | 停机时间(年) |
|---|---|
| 99.9% | |
| 99.99% | |
| 99.999% |
其计算原理为:
3个9:(1-99.9%)*365*24=8.76小时,表示该系统在连续运行1年时间里最多可能的业务中断时间是8.76小时。
4个9:(1-99.99%)*365*24=0.876小时=52.6分钟,表示该系统在连续运行1年时间里最多可能的业务中断时间是52.6分钟。
5个9:(1-99.999%)*365*24*60=5.26分钟,表示该系统在连续运行1年时间里最多可能的业务中断时间是5.26分钟。
八、路由器、路由表及其配置
1. 路由器的性能指标
- 吞吐量:路由器的吞吐量是指它的包转发能力,这与路由器的端口数量和速率、包类型、包长度关系密切。
- 背板能力:背板是路由器输入端与输出端之间的物理通道,背板能力决定了路由器的吞吐量。高性能的路由器一般采用交换式结构,而传统的路由器采用的是共享背板的结构。
- 丢包率:丢包率一般用来衡量路由器在超负荷工作时的性能。
- 延时与抖动:延时是指数据包的第一个比特进入路由器到其最后一个比特离开路由器所经历的时间;而抖动则是指不同数据包之间延时的不同。抖动是高衰量高速路由器的主要指标。
- 突发处理能力:我们一般用以最小帧间隔发送数据包而不引发丢失的最大发送速率来衡量突发处理能力。
2. 高端路由器的可用性指标
- 无故障连续工作时间大于10万个小时
- 系统故障恢复时间小于30分钟
- 系统具有自动保护切换功能,主备用切换时间小于50ms
- SDH与ATM接口有自动保护切换功能,切换时间小于50ms
- 路由器系统内部不存在单点故障
- 主要部件具有热插拔冗余备份
3. 路由器的工作模式
- 用户模式:登录到路由器时,输入正确密码就可以进入用户模式。在此模式下只能执行ping、telnet和show version等简单命令。
- 特权模式:输入enable和超级用户密码就可以进入特权模式。在此模式下可以查看和保存配置文件、清除闪存、处理并完成路由的冷启动等。
- 路由协议配置模式:用于对路由协议的详细配置。
- 全局配置模式:可以配置路由器的主机名、超级用户口令、TFTP服务器、**静态路由(ip route)**等。
4. 路由器的内存
- 只读存储器(ROM):用于永久保存路由器的开机诊断程序、引导程序和操作系统软件。
- 随机存储器(RAM):用于路由器操作系统运行期间,主要存储路由表、快速交换缓存、ARP缓存等。
- 非易失性随机存储器(NVRAM):用于存储启动配置文件或备份配置文件。
- 闪存(Flash):用于存储路由器当前使用的操作系统映像软件和一些微代码。
5. 路由表的更新算法
以官方给出的样题为例:
由于我们的目的是要更新R1的路由表,所以我们要首先把图(b)这个R2视角的报文转换为R1视角。由于R1和R2是相邻的两个路由器,所以在新表中距离直接加一即可。此外,再在新表中再新加一列下一跳路由器,这里显然全部都是R2。得到的新表表©如下所示:
| 目的网络 | 距离 | 下一跳路由器 |
|---|---|---|
| 10.0.0.0 | 3 | R2 |
| 20.0.0.0 | 4 | R2 |
| 30.0.0.0 | 5 | R2 |
| 40.0.0.0 | 5 | R2 |
将此表与原表表(a)对比,如果表©中的距离比表(a)中的短那么就更新,反之则保持不变。更新后的数值分别为0、4、4、3,说明①大于等于4。而②③的更新值都比表©中小,这就说明这两个值是保持不变的。
那么根据以上情况,只有C)5、4、3符合。
6. 琐碎知识点
- 环回接口(loopback)是一个虚拟接口,没有一个实际的物理接口与之对应。如果要将其作为一台路由器的管理地址,网络管理员可以为其分配一个IP地址作为管理地址,其掩码应为255.255.255.255。此外,Loopback永远处于激活状态。
九、网络管理技术
1. 互联网控制消息协议ICMP
一个新搭建好的网络,往往需要先进行一个简单的测试,来验证网络是否畅通;但是IP协议并不提供可靠传输。如果丢包了,IP协议并不能通知传输层是否丢包以及丢包的原因。所以我们就需要一种协议来完成这样的功能–ICMP协议。
ICMP(Internet Control Message Protocol)的功能主要有:
- 确认IP包是否成功到达目标地址
- 如果IP包未能成功到达目标地址,通知出发主机在发送过程中IP包被丢弃的原因
收到"Echo请求"报文的目的节点必须向源节点发出"Echo应答"报文。
不难发现,ICMP消息是封装在IP数据包当中的。
2. SNMP管理模型
SNMP(简单网络管理协议)管理模型是Internet组织用于管理TCP/IP互联网和以太网的标准框架,基于UDP传输。该模型由三个核心部分组成:
- 管理站(Manager):负责监控和控制网络设备,通常运行网络管理软件,向代理发送请求并接收响应。
- 代理(Agent):驻留在被管理的网络设备(如路由器、交换机等)中,负责收集设备信息并响应管理站的请求。
- 管理信息库(MIB):存储被管理设备的各种信息,管理站通过SNMP协议访问这些信息。
SNMP管理模型采用Manager/Agent模型,类似于Client/Server模式。管理站通过SNMP定义的PDU向代理发送请求,而代理会将得到的MIB值返回给管理站。
1) 管理信息库MIB-2
MIB-2采用树形结构描述,相当于管理数据库,每个MIB-2对象都有一个唯一的对象标识符(OID)。而其中的对象值的数据类型有以下几种:
- 简单类型:
- 整数(32位)
- 8个一组的字符串和OID
- 应用类型:
- IP地址
- 计数器类型:计数器类型是一个非负的整数,从0开始逐步增加但不能减少。可以一直增加到最大,然后回到0再从头开始。
- 计量器类型:这一类型和计数器类型类似,但其既可以增加也可以减小,而且增加到最大值以后并不归0,而是不再继续增大。
- 时钟类型:用来记录某个事件从开始发生到目前位置所经历的时间,单位是0.01s。
2) SNMP支持的操作
- 获取(get):用于管理站向代理查询被管设备上的MIB数据。
- 设置(set):用于管理站命令代理对被管设备上MIB库中的对象值进行设置,只有在read-write模式下才能够实现该操作。
- 通知(Notification):用于代理主动向管理站报告被管理对象的某些变化。又可以继续分为以下两种类型:
- 自陷(Trap):管理站不会回复。
- 通知(Inform):管理站会回复一条确认信息。
综合题
一、IP表格的填写
以样题为例:
1. 地址类别
| 类别 | 范围 |
|---|---|
| A | 1~127 |
| B | 128~191 |
| C | 192~223 |
2. 主机号
将IP地址中的网络号全部置为0得到的即为主机号。
3. 受限广播地址
此外,受限广播地址指的是255.255.255.255,此答案是固定的。
二、校园网部署
这一题一共有15个左右的考点,一般会从中抽取4~5个考点进行考察:
1. crc 32
这个考点的形式一般如下图所示:
当然也有可能是crc ___ 的形式,这时候只要确保整体是crc 32即可。
而需要知道的是,这一命令行是用来配置CRC的校验功能的,可以用来检测数据在传输过程中是否丢失。
2. network ___ area 0 与 area 0 range
这两个考点的形式一般如下图所示:
在路由器的OSPF配置模式下(OSPF是一个分层路由协议,可以将网络划分为不同的区域),network ip <子网号><通配符掩码> area <区域号>命令可以将子网分配到特定的OSPF区域当中。而子网号指的是IP地址和子网掩码按位与之后得到的结果。此外,通配符掩码(Wildcard Mask)和子网掩码正相反,用于指定哪些位需要匹配,哪些位可以忽略。
同一模式下,area <区域号> range <子网号><子网掩码>命令则用来定义某一特定范围子网的聚合,可以减少路由表中的条目数,提高路由器的工作效率。
因此对于network ___ area 0类型的题目:
- 若目标路由器在校园网内,则命令格式为
network <校园网聚合后的ip地址> <校园网聚合后的通配符掩码> area 0 - 若目标路由器在校园网外,则命令格式为
network <该路由器的ip地址> <该路由器的通配符掩码> area 0
对于area 0 range ______类型的题目:
- 若目标路由器在校园网内,则命令格式为
area 0 range <校园网聚合后的ip地址> <校园网聚合后的子网掩码> - 若目标路由器在校园网外,则命令格式为
area 0 range <该路由器的ip地址> <该路由器的通配符掩码>
3. ip dhcp excluded address
这个考点的形式一般如下图所示:
配置子网时,如果不想让某些IP地址参与DHCP地址分配,可以使用ip dhcp excluded address <被排除的起始IP地址> <被排除的终止IP地址>命令将目标IP地址排除。
所以这一空应填excluded address。
4. lease租赁命令
这个考点的形式一般如下图所示:
在默认情况下,用户在DHCP服务器中的租赁时间为1天。但是也可以在DHCP Pool配置模式下,使用lease {day [hours] [minutes] | infinite}命令来更改租用时长(infinite指的是无限时间)。
如果题目中要求的租赁时间为5小时30分钟,则这一空中就应该填上0 5 30。
接下来以一道有两个子网号的题为例:
5. pos framing 帧格式
在配置路由器时,pos framing命令可以用来设置POS端口的帧格式,而帧格式题目中都会给出。因此46题的答案为framing。
6. pos flag命令
该命令的格式为pos flag s1s0 <数值>,当s1s0=00时表示SONET帧的数据,当s1s0=10(十进制下的2)时表示SDH帧的数据,因此47题的答案为s1s0 2。
7. router ospf 65
router ospf 65命令是用于在路由器上启用并配置OSPF路由协议的命令。该题目的考察形式可能是router ospf ,也有可能是 65,按情况填写即可。故48题答案为router ospf。
8. ip route
ip route命令用于在路由器或者三层交换机上手动配置静态路由,可以指定数据包从源到目的地的路径。其格式为ip route <目标网络的IP地址> <目标网络的子网掩码> <下一跳路由器的IP地址>。
而在计算机三级的考察中,这条命令一般有两条考察情景:
- 一是要配置的路由器是校园网内的路由器,这时路由器们都处在同一个子网下,可以直接通信,无需配置路由,因此前两个参数可以设置为
0.0.0.0,而下一跳地址即为子网外路由器的IP地址。故50题的答案为0.0.0.0 0.0.0.0 202.112.8.197。 - 二是要配置的路由器在校园网外,在给出的例题的这种校园网内有多个IP地址的情况下(不是路由器的IP地址,而是云状物里的IP地址),第一个参数
目标网络的IP地址不需要聚合,因为可能要执行ip route命令多次。但第二个参数目标网络的子网掩码则要填聚合后的IP的子网掩码。(类似地,在49题中,此中要填的子网掩码或通配符掩码也要填聚合后的)
9. ip address
注意区分ip address和ip route:
- 前者的命令格式是
ip address <该路由ip> <该路由掩码> - 后者的命令格式是
ip route <目标网络的IP地址> <目标网络的子网掩码> <下一跳路由器的IP地址>
也还有一种情况是带loopback的ip address,如下图所示:
则此时答案为192.167.166.6 255.255.255.255。
10. bandwidth
bandwidth命令是用来配置带宽的,其单位为Kbps。而题目中一般会给出以Gbps为单位的带宽配置要求,这两者之间的转换进制为10^6,对应作答即可。
11. 打开端口
这个考点的形式一般如下图所示:
no shutdown命令用来打开端口。
12. async(异步)
这个考点的形式一般如下图所示:
async default ip address <ip>命令用来配置异步串行接口命令。
13. 封禁端口号
定义一条“封禁所有目的端口号为1034的UDP数据包进入校园网”的命令为:
1 | |
三、校园网类天选题型一:Catalyst6500的命令解析
这个考点的形式一般如下图所示:
- 刚开机时交换机要进入特权模式,故此题答案为
enable。 - 设置VLAN信息,先设置jszx140的,配置格式为
set vlan <VLANID> <端口号>,故答案为130 5/2。 - 同上,答案为
222 5/8。 - 这里是要启动IEEE 802.1q协议,配置格式为
set trunk <交换机端口号> on dot1q,故答案为3/8 on dot1q。 - 这里是要配置运行两个计算机的信息通过,答案为
3/8 vlan 130,222。
四、校园网类天选题型二:办公网与商务网的综合运用
这个考点的形式一般如下图所示:
- 这里是要排除IP地址,故答案为
ip dhcp excluded-address。 - 这里是要为地址池命名,故答案为
ip dhcp pool。 - 配置语句为
network <地址池地址> <地址池子网掩码>。 - 这里是要配置缺省网关地址,故答案为
default-router。 - 地址租用,不再赘述。
注:如果要配置DNS服务器的域名,则配置命令为dns-server <DNS服务器地址>。
五、DHCP报文分析
这道题一般有以下几个考点:
1. DHCP的工作流程
2. 对第二条报文的分析
这个考点的形式一般如下图所示:
- 对于第52题,我们要知道offer命令是由DHCP服务器发往客户端的。而在之前的request命令中,客户端是采用广播的方式向DHCP服务器发送请求的。也就是说,此时的客户端地址即为其广播地址。而52题所在的位置是DLC(数据链路控制)头部,也就是说这一部分是在数据链路层传播的,而数据链路层的传播途径是基于MAC地址的。所以52题的答案为客户端的广播MAC地址,为
ffffffffffff。 - 53题同理,也应该填入客户端的广播地址,但此时已经到达IP地址部分,所以应填入IP地址形式的广播地址,为
255.255.255.255。 - 根据最开始的示意图不难发现,DHCP的工作过程是通过UDP实现的,而且端口为67和68,与54题是正好对应的。因此此处应填入
UDP。 - 55题要求填入服务器的IP地址,而在offer命令当中服务器IP地址即为其源地址,根据上下报文不难发现答案为
192.168.0.1。
3. 一共有5条报文的情况
这个考点的形式一般如下图所示:
这种题型的特殊点在于在除了先前提到的4种报文之外,又多了一种release报文(编号1所示,此时报文的源地址和目标地址仍为正常的客户机地址和DHCP服务器地址)。当客户端不再需要当前分配的IP地址时就会发送一条这样的报文,而DHCP服务器在收到Release报文之后就会将该IP地址标记为可用状态,并更新自身的地址池。
而随后进行的正常环节种,由于客户端还没有配置IP地址,它就只能采用广播通信的方式来进行报文发送,因此源地址和目标地址分别为0.0.0.0和255.255.255.255,随后也一直采用的是广播通信。
- 因此,51题和52题的答案均为
255.255.255.255。
4. 零碎知识点
- Hardware address length:这一条指网络硬件地址的长度,即6 bytes的Mac地址,故答案形式应为
DHCP:Hardware address length = 6 bytes。
六、sniffer抓包工具
以样题为例:
-
对于56题,我们首先需要知道前4条报文是进行DNS解析的,和前文中提到过的DHCP工作流程类似,第5条报文肯定是客户端向服务器发送需要解析DNS的请求,那么此时
Source Address即为客户端地址,Dest Address即为服务器地址。此时它们分别为202.113.64.137和202.113.64.129,不难发现它们前28位相同,故此题答案为28。 -
57题要求填入执行的协议。我们首先要明白两点,一是该GUI下方的信息指的是阴影的第18条报文的具体信息;二是这道题一般会考察三种命令:
- tracert命令:当Summary中出现和题目中类似的
Time to live(TTL,表示数据包在网络中可经过的最大跳数)字眼的时候我们可以确定执行的是tracert命令。这是由于该命令通过逐步增加TTL值,利用ICMP超时消息来追踪数据包的路径。当TTL衰减为0时,路由器就会丢弃此包,路由器上的ICMP就会发出一个“超时”的ICMP报文。 - ping命令:当Summary中出现
echo reply的字眼的时候可以确定执行的是ping命令(如下图所示)。这是由于ping命令的工作原理是通过发送ICMP Echo Request报文,并等待目标主机返回ICMP Echo Reply报文。
因此这道题执行的协议是
ICMP。- ftp命令:执行
ftp协议本身。
- tracert命令:当Summary中出现和题目中类似的
-
58题应填入目标地址的域名,前4条报文结束对DNS服务器的访问之后即开始访问目标地址,根据第9条报文发现答案为
mail.tj.edu.cn。 -
59题,域名服务器即为DNS服务器,其IP地址为第5条报文的目的地址
202.113.64.3。 -
60题,
tracert mail.tj.edu.cn。
下面将继续根据真题分析还没提到的考点:
-
56题,URL的地址。这类题目要填出目标地址的域名并不困难,但URL和域名的不同之处在于其还有协议名。而要确定协议名是
http,https还是ftp,可以根据端口号进行判断,它们的端口号依次为80,443和21。也可以在报文的详细信息中的Destination port一栏中找到对应的信息。故此题答案为https://mail.lb.pku.edu.cn。 -
58题,这里考察的是TCP的三次握手,其过程如下图所示:
因此,①应该为第27条报文中的`SEQ`值加一,为`486042695`;②应该为第29条报文中的`ACK`值减一,为`1327742113`。
-
59题,考察的协议号与协议名的对应关系如下所示:
故此题答案为`6`。协议号 协议名 1 IMCP 6 TCP 17 UDP
- 58题,第18条报文是SYN报文,其对应的Flags是
02,故答案为02。 - 60题,当需要回放捕获的数据包时,可以使用Sniffer内置的
数据包生成器。
这道题初看很难有思路,因为虽然直到这段报文是在一个Reply的过程中的,但具体是offer还是ack似乎就无从下手了。但实际上我们可以根据倒数第五行的DHCP:Message Type=5来判断具体的报文类型。以下是具体的参考:
| Message Type | 对应的报文类型 |
|---|---|
| 1 | DHCP Discover |
| 2 | DHCP Offer |
| 3 | DHCP Request |
| 4 | DHCP Decline |
| 5 | DHCP Ack |
| 6 | DHCP Negative Acknowledgment |
因此不难判断此报文是Ack阶段的,其余的问题也就迎刃而解了。
应用题
一、最常见的一种题型
1. 路由聚合
这道题的考察形式一般如下所示:
首先简单介绍一下路由器中S端口和E端口的区别,前者是基于点对点或点对多点连接的,用于广域网连接;后者则是基于广播和多播通信的,用于局域网连接。
其次是目的网络的求法,其顺序如下图所示:
分别将对应的IP网段聚合即可。
其中的三路由聚合比较特殊,有以下几个注意事项:
- 子网掩码的最大长度为29位,高于29位时要限制在29位。
- 最后的被划分的区域不能全为0或者全为1,如果出现这种情况要对应地缩短子网掩码长度,直到满足条件为止。
2. 设备功能
- 如果需要监听路由器A和B之间的所有流量,可以在该链路中串入一个分路器。
- 如果要检测发送到服务器群的数据包,如果发现恶意数据包,系统发出警报并阻断攻击,这种设备是IPS。
- 如果想将图中网络接入Internet,那么在跟路由器的上联口应串入专用设备,那么这个设备必须具有的功能是NAT功能。
- 如果该网络采用Windows 2003域用户管理功能来实现网络资源的访问控制,那么域用户信息应该存在区域控制器的
Active Directory当中。 - 出现“第三方监控”和“某路由器的运行状态”,协议为
SNMP。
3. 设备的安装位置
这道题的考察形式一般如下所示:
4. 可新增路由器数量
这道题的考察形式一般如下所示:
如果要求路由器RF可再接入的路由器的数量的话,基本原理就是求出还剩多少个可用的IP地址:首先是进行三路由聚合,得到RF的E0口聚合后的IP地址为10.7.1.72/29,也就是说主机地址的位数有3位。那么除去RF、RC和RD已经占有的三位,以及全0和全1不可用的两位,那么答案就是8-3-2=3。
5. 防火墙的配置
- 部分内网需要访问外网,需要使用的两个配置命令依次是
nat和global。 - 若允许内网的FTP服务器向外网提供服务,需要使用的配置命令为
fixup protocol ftp。 - 若需要为内网的一个服务器配置一个公网IP,配置命令为
static。
二、天选题型
这道题的考察形式一般如下所示:
- 显然是
路由器,因为路由器能够根据IP地址进行数据包的路由选择,这是连接到互联网所必需的。 位置2,在网络架构中,防火墙通常放置在网络的边界上,即局域网与外部网络的连接点,这样可以确保所有流量都能经过防火墙的检查。Gi2/16。新增集线器或TAP分流,不再赘述。