选择题

1、网络系统结构与设计原则

  • ASDL上行64K640K、下行500k7M、具有非对称特性、可以通过 PSTN 接入 Internet
  • OC-1 51.86
  • 广域网的主要技术:diffserveMPLSRSVP
  • 核心层提供Internet网络出口
  • RPR每一个节点执行SRP公平算法,外(顺时针)内(逆时针),都可以用于传输分组和控制分组,数据帧从目的节点回收,两个 RPR 结点间的裸光纤最大长度可达 100公里
  • 802.11.a 54M 802.11.b 11M
  • Cable Modem采用频分复用分出上下行信道
  • 光以太网技术不是以信元为单位传输的

2、中小型网络系统总体规划与设计方法

  • 高性能路由器一般采用交换式的结构,决定着路由器的吞吐量

  • 网络系统分层设计中层次之间上联带宽与下联带宽的比例一般控制在1:20

  • 路由器的主要技术指标包括:

    1、吞吐量:指包转发能力,涉及两个内容--端口吞吐量和整机吞吐量,与路由器端口数量、**端口速率**、包长度、包类型有关。
    2、**背板能力**:是路由器输入输出的物理通道,高性能路由器采用交换式结构,决定着路由器的**吞吐量**。
    3、**丢包率**,衡量路由器超负荷工作能力的指标之一。
    4、延时和延时抖动:高速路由器要求长度为1518B的IP包延时小于1ms,语音、视频业务对延时抖动要求较高。
    5、突发处理能力:以最小帧间隔发送而不引起丢失的最大发送速率。
    6、服务质量:表现在队列管理机制、端口硬件队列管理、支持QoS协议上,其中队列管理机制指队列调度算法和拥塞管理机制。
    7、可靠性与可用性:无故障连续工作时间大于**10**万小时,系统故障恢复时间小于**30**分钟,所有的自动切换在**50ms**内完成。
    

    ​ 8、突发处理能力不是以最小帧间隔值来衡量的

  • RAID:独立磁盘冗余阵列,将多个独立的磁盘组成一个整体,提高存取速度,提高系统可靠性。

    **Cluster**:集群,向一组独立的计算机提供高速通信线路,组成一个共享数据存储空间的服务器系统,同时如果一台主机出现了故障,它所运行的程序将立即转移到其他主机。    
    
  • 交换机

    • 基本功能是维护一个表示 MAC 地址和交换机端口对应关系的交换表

    • 具有三种交换模式:1.快速转发直通式,接收到前 14 个字节就转发数据;

      ​ 2.碎片丢弃式,缓存前 64 个字节;

      ​ 3.储存转发式,转发之前读取整个帧

    • 三层交换机是具有部分路由器功能的交换机,用于加快大型局域网内部的数据交换

3、IP地址规划设计技术

image-20210903104734207

  • 外网访问主机的URL为左上的S
  • IPv6不可用子网掩码表示网络号长度

4、路由器设计基础

  • OSPF (最短路径优先协议)

    • 区域内每个路由器包含本区域的完整网络拓扑,而不是全网的情况(拓扑的意思是链接形式和位置关系之类的)

    ​ 1.OSPF是开放系统最短路径优先协议。
    ​ 2.OSPF使用分布式链路状态协议。
    ​ 3.OSPF要求路由器发送的信息是本路由器与哪些路由器相邻,以及链路的度量值(OSPF使用的度量值包括费用、距离、延时、带宽)。
    ​ 4.OSPF使用洪泛法发送信息,向所有路由发送
    ​ 5.OSPF协议要求让路由器建立一个链路状态数据库,该数据库实际上是全网的拓扑结构图
    ​ 6.OSPF将一个自治系统划分为多个区域(area),每个区域有一个32位的区域标识符,每个区域内的路由器通常不超过200个
    ​ 7.使用OSPF的路由器只需要建立本区域内的链路状态数据库,负责各区域之间通信的路由器叫做区域边界路由器,只需要将来自本区域的信息发送给下一个区域的区域边界路由器,同样不需要获取其他区域的链路状态数据库。

  • RIP (路由信息协议)

    • RIP 是内部网关协议中使用最广泛的一种协议,它是一种分布式、基于距离向量的路由选择协议,要求路由器周期性地向外发送路由刷新报文
    • 路由刷新报文主要内容是由若干个(V,D)组成的表。V 标识该路由器可以到达的目标网络(或目的主机);D 指出该路由器到达目标网络(或目标主机)的距离。距离D对应该路由器上的跳数。其他路由器在接收到某个路由器的(V,D)报文后,按照最短路径原则对各自的路由表进行刷新
  • BGP (边界网关协议)

    • 使用 TCP(不是UDP)与其他自治系统的 BGP 发言人交换信息

    • BGP 采用路由向量协议,而 RIP 采用距离向量协议

    • BGP协议有四种分组:open(与相邻的另一个BGP发言人建立关系)、update(发送要更新的某一条路由信息或要删除的多条路由信息)、keepalive(周期性的证实相邻的边界路由器存在)、notification(发送监测到的错误)。

5、局域网技术

  • 嵌入式插座用来连接双绞线

  • 多介质插座用来连接铜缆和光纤,满足用户“光纤到桌面”的需求

  • 建筑群子系统可以是多种布线方式的任意组合,地下管道布线是最理想的方式

  • STP 比 UTP 贵、复杂、抗干扰能力强、辐射小

  • 集线器

​ 连接到集线器的结点(结点,不是集线器)执行CSMA/CD,当一个结点发送数据时,所有结点都能接收到。
​ 集线器工作在物理层,连接到一个集线器的所有结点共享一个冲突域
​ 附加知识点:IP地址工作在网络层,MAC地址(物理地址)工作在数据链路层,而集线器运行在物理层,对应的层次不同的就是错误的

  • 综合布线

    • 关于传输介质(线缆):通常使用光纤和双绞线。双绞线特点是价格低廉,传输距离上限100米(为留有余量,综合布线时通常认为是90米),传输速率上限1Gbps,当双绞线无法满足需求时,就改用光纤(光纤各项参数均高于双绞线,只是价格也高于双绞线)。
    • 关于插座,大体分为嵌入式插座(连接双绞线用)、表面安装插座和多介质信息插座(连接铜缆和光纤,而双绞线和同轴电缆都属于铜缆)。
    • 关于干线线缆的铺设:有两种方式:点对点结合(最简单直接)和分支结合(由干线电缆中一根很大的主馈电缆完成,通过交接盒分出若干小电缆。)
    • 关于管理子系统:可以在管理子系统中更改、增加、交换、扩展线缆用于改变线缆路由。
    • 布线方式有四种:
      架空布线--优点只有成本低,其他方面均不理想。
      **巷道布线**--利用建筑物之间的地下巷道布线,成本略高于架空布线,需要考虑如何避免线缆,可利用巷道原本的保护设施。
      直埋布线--除穿过基础墙的部分外,电缆的其他部分没有管道保护。可保持建筑物原貌,线缆应埋在地下60cm以下。
      **管道布线**--在建筑物下铺设管网,能保持建筑物原貌,并对线缆提供最好的机械保护。
      **架空布线和直埋布线对线缆的保护不好**,但直埋布线除了考虑线缆在地下的被腐蚀程度高于架空布线外,还要考虑施工挖掘造成的误损。
      
  • 以太网物理层标准命名。
    命名法是IEEE 802.3 x Type-y Name。其中x表示传输速率,单位Mbps;y表示网段最大长度,**单位100m**;Type表示传输方式是基带还是频带;Name表示局域网名称。
    
  • 交换机的交换结构有以下四种:
    1)软件执行交换结构:结构灵活,速度慢,堆叠困难,端口越多性能越弱。
    2)矩阵交换结构:完全硬件实现,速度快、延时小、结构紧凑、实现相对简单、不易扩展、不利于性能监控和运行管理。
    3)总线交换:使用多路复用TDM技术,性能好、便于堆叠扩展、易实现广播、易实现监控管理,但是对总线带宽要求较高。
    4)共享存储器交换结构:结构简单易于实现,成本高,适合小型交换机。
    
  • 无线接入点(AP):集合无线或者有线终端(类似于集线器和交换机),负责频段管理和漫游工作(SSID 是客户端设备用 来访问接入点的唯一标识)
  • 无线路由器:具有无线路由功能和 NAT 功能的 AP ,可用来建立小的无线局域网。
  • 无线网桥:用于连接几个不同的网段,实现较远距离的无线通信(网桥最重要的维护工作是构建和维护 MAC 地址表)
  • 无线网卡:实现点对点通信,安装于各终端节点

6、交换机及其配置

  • 小型交换表 : show mac-address-table 目的MAC、类型、VLAN、目的端口(Fast Eth0/3)

    • image-20210922102638917
  • 大型交换表:show cam dynamic VLAN、目的MAC、交换机端口(2/5[ALL])

    • image-20210922102657693
  • 交换模式:快速转发(直通,14字节)、碎片丢弃(64字节)、存储转发(全部)

  • VLAN

    • 工作在数据链路层(OSI参考模型的第二层)

    • 可隔离广播信息,每个VLAN为一个广播域

    • 不同VLAN中的主机不能直接通信,必须经过路由器或三层交换机

    • VLAN ID12bit表示,11005标准,10061024保留,1025~4096扩展

    • 能用于以太网的为1~1000,其中1为默认(不能删除)

    • VLAN name用32个字符表示(可数字/字母),默认为VLAN00xxx

  • STP生成树协议

    • 生成树协议是工作于OSI模型第二层的链路管理协议,运行在第二层链路中提供冗余路径,最早的标准是IEEE 802.1D
    • 运行在交换机和网桥设备上
    • Bridge ID由2字节的优先级(0~61400)和6字节的交换机MAC地址组成。
    • 交换机优先级的增量是4096,即每次变化的值必须是4096的整数倍,同时值越小优先级越高。交换机的优先级默认为(32768
    • BPDU包含两种:配置BPDU(<=35字节),拓扑变化通知BPDU(<=4字节)
    • Bridge ID最小的为根网桥,当优先值相同时,那么就根据MAC地址的值确定根网桥,MAC地址最小的为根网桥。BPDU每隔2s发送一次。
  • 链路失效时,交换机们会重新构建生成树,但是在构建时,需要经历20s(BPDU最大生存时间)+15s(listening)+15s(learning),快速生成树技术可以省掉前20s的时间,提高收敛速度。

    快速生成树技术主要包含:
    1、backbonefast:网中链路失效时。
    2、uplinkfast:直连链路失效时。
    3、portfast:只适用于端口连接单个主机的时候。
    4、BPDU Filter:强行要求端口转为转发状态。
    
  • 交换机有三种配置方式:
    1、使用Console控制端口进行本地配置。第一次配置只能采取这种方式。
    2、使用Telnet远程登录到交换机进行配置。
    3、使用Web,利用浏览器进行配置。

  • VLAN(虚拟局域网)技术
    VLAN的划分有三种方法:基于端口号、基于MAC地址,基于第三层地址。
    由题意可知,4台计算机都连接在交换机的同一端口之下,所以无法基于端口号划分。由于题目没有提到第三层地址,所以第三层地址备选。
    MAC地址是被固化到网卡芯片上的,每块网卡都具有全球唯一的MAC地址,可以实现题目所要求的vlan划分。
    
  • 配置交换机

    • 设置系统时间

      • 35系列:clock set 时分秒 日月年
      • 65系列:set time 星期几 月日年 时分秒
    • 配置设备管理地址与缺省路由

      • 35:ip address <IP地址><子网掩码>

        ​ ip default-gateway<缺省路由IP地址>

      • 65:set interface sc0 <IP地址><子网掩码><直接广播地址>

        ​ set ip route 0.0.0.0 <缺省路由IP地址>

    • 端口配置

      • 35:shutdown(关闭)、 no shutdown(开启)

        ​ duplex full(设置为全双工)

        ​ duplex half(设置为半双工)

        ​ speed 10 (设置端口速率为10Mbit/s)

      • 65:命令格式为set port name <mod/port> (name为端口描述)

        ​ set port disable <mod/port> (关闭端口)

        ​ set port enable <mod/port> (开启端口)

        ​ set port duplex <mod/port> full(设置为全双工)

        ​ set port duplex <mod/port> half(设置为半双工)

        ​ set port speed <mod/port> 10(设置端口速度为10Mbit/s)

    • VLAN的配置

      • 35:vlan name (建立)

        ​ no vlan 100 (删除ID为100的)

      • 65:set vlan name (建立)

        ​ clear vlan 100 (删除ID为100的)

    • VLAN Trunk的配置

      • 35:switchport trunk encapsulation dotlq(封装模式为802.1Q

        ​ switchport trunk encapsulation isl(封装ISL协议)

        ​ switchport trunk allowed vlan 1,10 (允许VLAN 1和VLAN 10)

        ​ switchport trunk allowed vlan except 11-20 (不允许VLAN 11到VLAN 20)

      • 65:set trunk 1/24 on dotlq(封装模式为802.1Q

        ​ set trunk 1/24 vlan 11-20 (允许)

        ​ clear trunk 1/24 vlan 11-20 (不允许)

  • 交换机VTP的设置

    • server:维护该VTP域中所有的VLAN信息列表,可建立、删除或修改VLAN
    • client:信息只能从server学习到,不能建立、删除或修改VLAN
    • transparent:相当于一个独立的交换机,只能建立、删除或修改VLAN

7、路由器及其配置

  • 存储器:

    • Flash 主要用于存储当前使用的操作系统映像文件和微代码
    • NVRAM 主要存储启动配置文件备份配置文件
    • RAM 主要存储路由表、快速交换缓存、ARP 缓存、数据分组缓冲区和缓冲队列、运行配置文件等
    • ROM 主要用来永久保存路由器的开机诊断程序引导程序和操作系统软件
  • 路由表:

    • C:直连,0
    • S:静态,1
    • I:IGRP,100
    • O:OSPF,110
    • B: 200
  • via+目的IP地址

  • 0.0.0.0/0

  • image-20210922103705680

  • RIP协议衡量路由信息好坏的依据是跳数(从自身开始抵达目的地所需要经过的路由器个数);每隔30s向外广播一次路由表;最大跳数15次,16次即网络不可达;默认AD值120;可以使用passive-interface命令配置被动接口,被动接口将不会向外发送路由信息。

  • access-list

    • deny 在permit前
    • 协议在any前
    • ip access-list允许用名字但access-list不行
    • 标准1-99,1300-1999
    • 扩展100-199,2000-2699
    • access list ACL_ID permit或deny 源IP 反掩码
  • weite memory 保存在NVRAM

  • 执行ip route命令需进入全局配置模式

  • 查看配置信息需特权模式

  • 当路由表包含多种路由信息,会选择connected

8、无线局域网设备安装与调试

  • 配置接入点之前,需要从管理员处获取的信息如下:

    1、系统名称
    2、SSID
    3、如果没有连接到DHCP,则需为接入点指定一个唯一的IP地址
    4、接入点与PC不在同一子网内的话,需要子网掩码和默认网关
    5、SNMP集合名称以及相关文件属性。
    
  • 蓝牙

    • ISM频段2.402~2.480GHz

    • **异步: ** 非对称 733.2kbit/s / 57.6kbit/s

      对称 433.9kbit/s

    • 同步 : 64kbit/s、跳频 1600次/s

    • 1mW(1~10m),100mW(100m)

  • HiperLAN

    • 采用5G的射频频率
    • HiperLAN/1上行20Mbit/s,HiperLAN/2(3G标准)上行54Mbit/s
    • 室内30m,室外150m
    • 面向连接,采用OFDM调制技术
  • 802.11标准

    image-20210907093845837

    • 点对点:只需要无线网卡256台PC
    • 基本模式:无线接入点,1024台PC
    • 无线网桥:连接两个局域网并保持其在同一网段
    • 无线路由器:可建立局域网,有NAT功能
    • 对等将无线局域网与有线局域网相连方法是在其中一台计算机上再安装一块以太网网卡
  • 安装无线接入点

    • 线内供电:

    • 本地电源:

      1.连接以太网接口

      2.电源接入“48V DC”接口

      3.电源模块另一端接到AC 100~250V电源插座

  • 配置无线接入点

    • 第一次一般采用本地配置方式
    • 默认IP 10.0.0.1,PC机可分配到10.0.0.X
    • 使用双绞线连接
    • 浏览器访问10.0.0.1,出现登录对话框
    • 用户名为空,密码为Cisco
    • 单机“Express Setup”进入快速配置页面

image-20210907095048155

image-20210907095101337

9、计算机网络信息服务系统的安装与配置

  • 配置FTP服务器。
    1、默认没有管理员密码。
    2、创建域时需要配置**IP地址**(用户只能通过该IP地址访问FTP服务器,为空则意味服务器的所有IP地址)、**域名**(仅是用于对服务器的描述的名字,不是真正的域名)、**端口号**、**域存储位置**(低于500用.ini文件,高于500用注册表)。
    3、用户管理中,只允许由管理员添加新用户,添加用户后才能被客户端访问,用户包括匿名用户(**用户名anonymous,密码为空**)和命名用户,密码长度最多8字符。
    4、常用选项中,勾选拦截“FTP BOUNCE” 和FXP,则不允许在两个FTP服务器间传输文件。
    不允许用户自行注册。
    
  • 配置FTP服务器。
    1、通常来说,除DHCP必须是静态IP外,其余服务器要求IP地址不变,可以用静态IP也可以通过DHCP的保留地址来配置,而动态分配的IP地址则是每次申请到的IP可能会不同。
    2、**添加**用户后才能被客户端访问,用户包括匿名用户(**用户名anonymous,密码为空**)和命名用户,密码长度最多8字符。
    3、创建域时需要配置IP地址、域名、端口号、域存储位置(低于500用.ini文件,高于500用注册表)。
    4、限制(不允许)某些IP地址能否访问FTP服务器可以通过设置IP访问来实现。
    
  • 配置E-mail服务器。
    1、Winmail支持web和客户端两种方式。
    2、邮件管理工具包括系统设置、域名设置、用户合租、系统状态、系统日志等。
    3、系统设置可以对邮件服务器的系统参数进行设置,例如SMTP、邮件过滤、管理员密码等。
    4、**域名设置**可以对域进行新建(用于构建虚拟邮件服务器)、删除、修改,例如**是否允许**在本域中自行注册新用户。
    5、建立邮件路由,需要在DNS服务器里建立邮件服务器主机记录和邮件交换器记录
    增加新的域,看字面理解就能知道那是域名设置的工作范畴。
    
  • 配置E-mail服务器。
    1、Winmail的邮箱可以在服务器端由管理员创建,**也可以由用户自行注册**。
    2、邮件保存在收件人的信箱中。
    3、**IMAP和POP3**协议是用于收邮件的,发邮件用的是SMTP。
    4、建立邮件路由时,需要在DNS服务器里建立邮件服务器主机记录和邮件交换器记录
    
  • 配置DNS服务器。
    DNS中的正向查找区域负责查找某域名所对应的IP地址,而DNS服务器的测试可以使用**nslookup**(**正向反向均可测试**)和ping(只能测试正向),当解析出对应的内容后即代表解析成功。
    
    ​ DNS 服务器中的根服务器自动加入到系统中,不需管理员手工配置
  • 配置WWW服务器。
    1、主目录的访问权限在主目录选项中进行设置。
    2、网站选项可设置网站的标识和连接限制。
    3、主目录选项卡中,可以设置用于存放网页的文件路径。
    4、性能选项可设置影响带宽使用的属性及客户端连接的数量。
    
    • Web 站点可以配置静态动态 IP 地址
    • 访问 Web 站点时可以使用站点的域名或站点的 IP 地址
    • 建立 Web 站点时必须为该站点指定一个主目录好,也可以是虚拟的子目录
    • Web 站点的性能选项包括影响带宽使用的属性和客户端 Web 连接的数量
    • 在 Web 站点的主目录选项卡中,可配置主目录的读取和写入等权限
  • 配置WWW服务器。
    网站选项可以设置的内容包括:描述、IP地址、TCP端口、连接超时时间、是否启用日志记录。
    网络连接数量是性能选项中的。
    
  • DHCP相关命令:
    查看DHCP信息--ipconfig  /all
    释放地址租约--ipconfig  /release
    重新获取地址租约--ipconfig  /renew
    
    • 添加保留时需在 DHCP 客户机上获得其 MAC 地址信息(添加排除时不需从客户端获得 MAC 地址)
    • 不添加排除和保留时,服务器可将地址池内的 IP 地址动态指派给 DHCP 客户机
    • 地址池是作用域应用排除范围之后剩余的 IP 地址
    • 保留是指确保 DHCP 客户端永远可以得到同一 IP 地址,客户端可以释放该租约
    • 收到非中继转发的“DHCP发现”消息时,选择收到该消息的子网所处的网段分配 IP 地址

10、网络安全技术

  • outside(0),inside(100),DMZ(50)
  • 系统的数据通信端口是可配置的
  • PIX分为四种访问模式:非特权模式(其实就是用户模式)、特权模式(用户模式下输入enable后进入)、配置模式(特权模式下输入configure terminal进入,绝大多数系统配置都在这里做)以及监视模式(可以进行操作系统映像更新和口令恢复)。
  • RSA、DSA、ECC非对称** (2n)、DES、IDEA、RC2、Skipjack对称(*n(n-1)**)
  • IPS具备嗅探功能
  • 对等式能够真正避免单点故障
  • 应用入侵防护系统可以阻挡多种入侵,例如cookie篡改、SQL代码嵌入、参数篡改、缓冲器溢出、强制浏览等等(就是说基于网络的和基于主机的难于阻断)。
  • 基于网络的入侵检测系统通常采用混杂模式,采用的技术包括:模式匹配、频率或阈值、事件的相关性、统计意义上的非正常现象检测。
  • 误报(不是漏报)
  • 网络攻击
    • DDos 攻击:利用已经攻占的多个系统向目标攻击,被害设备面对大量请求无法正常处理而拒绝服务
    • SYN Flooding 攻击:利用 TCP 三次握手过程,使受害主机处于会话请求之中,直至连接超时停止响应
    • SQL 注入攻击:属于利用系统漏洞,防火墙(基于网络的防护系统)无法阻断
    • Land攻击:向某个设备发送数据包,并将数据包的源 IP 地址和目的地址都设置成攻击目标的地址
    • 基于网络的防护系统也无法阻断 Cookie篡改 和 DNS欺骗
    • Tear doop 、Smurf 攻击可以被路由器阻止

11、网络管理技术

  • 网络管理命令。
    nbtstat -a--使用远程计算机的名称列出名称表
    nslookup--用于正向和反向的DNS解析
    **netstat** -a--显示所有连接和侦听端口
    net view--显示域列表、计算机列表或指定计算机上共享资源的列表
    
  • ICMP消息类型
    • 3:目标不可达
    • 4:源抑制
    • 5:重定向
    • 11:超时
  • 管理站使用udp端口(整个snmp都基于UDP协议而非TCP,默认162)
  • 如果指定当一个接口断开或连接时向管理站发出通知,那么在该接口的配置模式下正确的配置命令是snmp trap link-status。
  • 用于显示域列表、计算机列表的命令是net view
  • sniffer抓包

    • 问在某路由器上,最多还可链接的路由器数量是多少。如果所在子网掩码是 /29 就填 3,是 /28 就填 11
    • 问串接一种设备能监听路由器之间的流量,写 TAP
    • 问串接一种设备能提供安全保护,一般是 IPS
    • 问防火墙访问外网设置,分别填 natglobal