全国计算机等级考试三级网络技术

发布于 2019-02-22  190 次阅读


第1章 网络系统结构与设计
资源子网(主机),通信子网(通信设备)
局域网Lan 城域网Man 广域网Wan
广域网:综合业务数字网ISDN、公共电话交换网PSTN、数字数据网DDN、X.25分组交换网、帧中继、ATM、10Gbit/s的光以太网
城域网:FDDI 以光纤为介质,传输速率100Mbit/s,用于100Km内的局域网互联,支持双环结构,快速环自愈。
宽带城域网 三个平台一个出口:网络平台,业务平台,管理平台与城市宽带出口
管理平台:业务管理系统,网络管理系统
业务平台:语音,视频,数据,VPN等
网络平台:核心层,汇聚层,接入层
核心层:
将多个汇聚层连接起来,为汇聚层的网络提供高速转发,为整个城域网提滚一个高速、安全与具有QoS保障能力的数据传输环境
核心交换层实现与主干网络的互联,提供城市的宽带IP数据出口
核心交换层提供宽带城域网的用户访问Internet所需要的路由服务
汇聚层:
汇聚接入层用户的流量,进行数据分组传输的汇聚、转发与交换
根据汇聚接入层的用户的流量,进行本地路由、过滤、流量均衡、Qos优先级管理,以及安全控制、IP地址转换、流量整形等处理
根据处理结果把用户流量转发到核心交换层或本地进行路由处理
接入层:
解决‘最后一公里’问题,通过各种接入技术,连接最终用户,提供信息服务

宽带城域网组建原则
可管理性:用户身份认证、使用权限认证和计费功能 必须具备IP分配能力,能够支持动态和静态地址分配,支持NAT功能,提供宽带保证QoS保证
可运营性: 保证服务
可盈利性:定位用户群
可扩展性:组网的灵活性
网络管理:
带内管理:利用传统的电信网络 对设备进行数据配置 二层
带外管理: 利用IP网络及协议进行网络管理,利用简单网络管理协议SNMP
对汇聚层一下采用带内管理,对汇聚层以上采取带外管理

构建宽带城域网的技术与方案
基于10GE的城域网、基于SDH的城域网方案、基于ATM的城域网的方案
基于弹性分组环的宽带城域网
用于直接在光纤上高效传输IP的传输技术,以思科提出的动态分组传送 DPT为工作基础
RPR采用双环结构,内环和外环,两节点直接的裸光纤最大长度可达100Km,两环均采用‘自愈环’的功能,均可用传输数据分组与控制分组,且可用统计时分多路复用的方法传输IP分组
内环:逆时针 外环:顺时针
每个节点都执行SRP公平算法
数据帧只在源节点与目的节点之间的光纤上传输,最后由目的节点回收
RPR自愈环的功能,在50ms内,隔离故障节点和光纤段,可在没有专用宽带前提下提供SDH级的快速保护和恢复

光纤同轴混合网 HFC
HFC由有线电视头端、长距离干线、放大器、馈线和下引线组成, 双向传输系统,共享一根介质,使用Cable Modem 速率10-36Mbit/s
缺点:存在回传信道的干扰;多用户对有限宽带的争用出现拥塞;费用改造原有有线电视系统费用高
电缆调制解调器 Cable Modem :连接了用户计算机与有线电视同轴电缆。利用了频分多路复用的方法将双向信道分为:200kbit/s-10Mbit/s 上行信道;36Mbit/s的下行信道
在数据传输方向上,Cable Modem 可分为单向、双向两类
在传输方式上,Cable Modem 可分为双向对称式和非对称式传输两类
从同步方式上,Cable Modem 可分为类似以太网的同步交换和类似于ATM技术的异步交换两类
从接入的角度,Cable Modem 可分为个人Cable Modem和宽带多用户Cable Modem
从接口的角度,Cable Modem 可分为外置式、内置式和交互式机顶盒3种
光纤接入技术
光纤到路边 FTTC;光纤到小区 FTTZ;光纤到大楼 FTTB;光纤到办公室 FTTO;光纤到户FTTH;
无源光纤网是ITU基于无源光纤网的高速光纤接入系统
OC-3,155.520Mbit/s的对称业务 OC-1,51.84Mbps
上行OC-3,155.520Mibt/s;下行OC-12,622.080Mbit/s的不对称业务
传输介质可以是一根或两根单模光纤,双向传输通过波分复用实现

网络接入技术与方法
Internet接入服务有两种应用:一是为Internet内用服务商ICP 提供Internet接入服务;二是为普通用户提供Internet接入服务
三网融合:电信通信网、计算机网络、电视通信网
宽带接入技术的基本类型
数字用户线xDSL技术、光纤同轴混合网HFC、光纤接入技术、局域网接入技术以及无线接入技术
数字用户线xDSL:数字环路 指用户本地到电话交换机(中心局)的一对铜双绞线
非对称数字用户线ADSL, 上行 64kbit/s-640kbit/s 下行500kbit/s-7Mbit/s
高比特率数字用户线HDSL,上行1.554Mbit/s,下行1.554Mbit/s 对称
速率自适应数字用户线RADSL,上行2.3Mbit/s-51Mbit/s,下行2.3Mbit/s-51Mbit/s
甚高比特率数字用户线VDSL,上行64kbit/s-1.5Mbit/s,下行640Kbit/s-6Mbit/s

宽带无线接入技术
无线接入技术主要有IEEE 802.11标准的无线局域网WLAN接入、IEEE 802.16标准的无线城域网WMAN接入、以及Ad hoc接入技术
近距离采用IEEE 802.11标准的无线局域网技术,远距离采用IEEE 802.16标准的WiMAX技术,该技术可在50Km范围提供最高70Mbit/s的传输速率
IEEE 802.11标准重点解决局域网范围的移动节点通信问题,而IEEE 802.16标准是解决建筑物之间的数据通信问题
IEEE 802.11定义了使用红外、调频与直接序列扩频技术,数据传输速率为1Mbit/s或2Mbit/s
IEEE 802.11a将传输率提高的54Mbit/s
IEEE 802.11b定义了使用直接扩频技术,传输速率为1Mbit/s、2Mbit/s、5.5Mbit/s与11Mbit/s
IEEE 802.16标准建立采用全双工、宽带通信方式工作的基站
IEEE 802.16标准上增加了两个物理标准IEEE 802.16d与IEEE 802.16e
与IEEE 802.16标准工作组对应组织为WiMAX,最高传输速率为134Mbit/s,使用无线频段为10-66GHz

第2章 中小心网络系统规划
网络服务器采用的相关技术

热插拔技术:实现用户在不断电的情况下进行故障硬盘、板卡等部件的更换
集群技术:如果其中某台主机出现故障,该主机所运行的程序立即转移到其他主机运行,不影响系统的正常服务,但是系统的性能还是有一定影响的
高性能存储与智能I/O技术
衡量服务器性能与选型的重要指标之一就是存储能力。而磁盘容量和存取I/O速度又是评价高性能存储技术的主要指标
网络服务器的性能主要表现在:磁盘存储能力、运算处理能力、高可用性、可扩展性与可管理性等
系统的性能主要表现在:磁盘存储能力、运算处理能力、高可用性、可扩展性与可管理性等
系统高可用性=MTBF/(MTBF+MTBR) MTBF为平均无故障时间;MTBR为平均修复时间
如果系统高可用性可达99.9%,那么每年的停机=<8.8小时;99.99%,每年的停机时间=<53分钟;99.999%每年的停机时间=<5分钟 交换机的主要技术指标:背板带宽、全双工端口总带宽、交换方式、帧转发速率、延时、模块式或固定端口配置、支持VLAN能力等 全双工端口带宽:计算方法 端口X端口速率X2 背板带宽:交换机的背板是指交换机输入端与输出端之间的通道 高性能路由器一般采用交换式结构,而传统的路由器采用的是共享背板结构 帧转发速率:是指交换机每秒钟能够转发的帧的最大数量 支持VLAN能力 模块式交换机的扩展能力:可扩展性式模块式交换机的主要特点 背板交换能力大于40Gbit/s称作高端路由器;背板交换能力低于40Gbit/s称为中低端路由器 路由器的关键技术指标:吞吐量、背板能力、延时与延时抖动、丢包率、服务器质量、路由表容量、网管能力、可靠性与可用性 吞吐量:是指路由器的包装发能力,包括连个方面:端口吞吐量与整机吞吐量;端口吞吐量是指路由器具体的一个端口的包转发能力;而整机吞吐量是指路由器整机的包装发能力; 路由器的包转发能力与路由器的端口数量和速率、包类型、包长度关系密切 延时与延时抖动:延时是指从数据包的第一个字节进入路由器,到该帧的最后一个字节离开路由器其间所经历的时间。延时与包长度、链路传输速率有关,延时对网络性能影响很大,高速路由器一般要求长度为1518B的IP包,延时不大于1ms; 丢包率:是指连续的、稳定的负荷情况下,由于包转发能力的限制而造成的包丢失的概率。它常用作路由器超负荷工作时的性能衡量指标 突发处理能力:以最小帧间隔发送数据包而不引起丢失的最大发送速率来衡量; 服务质量:要表现在队里管理机制、端口硬件队列管理和支持Qos协议上 路由表容量:路由器是通过路由表来决定包转发路径的;路由表容量是指路由器可以存储最多的路由表项的数量 网管能力 可靠性与可用性 路由器的关键技术指标 无故障连续连续工作时间大于10万小时,且系统故障恢复时间小于30min 系统具有自动保护切换功能,主备用切换时间小于50ms SDH与ATM接口自动保护切换功能,切换时间小于50ms 路由器系统内部不存在单点故障 主处理器、主存储器、交换矩阵、电源、总线管理器与网络管理接口等主要部件需要有热拔插冗余备份 如果结点数为250-5000个,一般需要按3层结构来设计 如果结点数为100-500个,可以不必设计接入层网络,结点可直接通过汇聚层的路由器或交换机接入 如果节点数为5-250个,也可以不涉及接入层与汇聚层网络 层次之间的上联带宽与下级带宽之比一般控制在1:20 第3章 IP地址规划技术 标准分类的IP地址 两级IP可标记为:IP地址::={<网络号>,<主机号>}
网络号 net-id 标志主机所连接的网络;主机号 host-id 标志该主机
IPv4的的地址长度是32bit,点分十进制表示,取值范围为 0-255
A类地址范围 0-127,B类 128-191,C类地址 192-223,D类 224-239 保留地址,E类地址 240-254 保留
划分子网的三级地址结构
IP地址::={<网络号>,<子网号>,<主机号>}
从主机号借用若干位作为子网号,网络号为1,主机号为0
IP地址 AND 子网掩码 = 网络地址
子网掩码 A类 255.0.0.0 B类 255.255.0.0 C类 255.255.255.0
不常用特殊地址
直接广播地址:IP与子网掩码与运算 主机位全为1的地址
受限广播地址:32位全为1的IP地址 255.255.255.255
网络地址:IP与子网掩码与运算 主机位全为0
主机号:IP与子网掩码取反与运算 网络号全为0
回送地址:A类中的 127.0.0.0 测试本地

规划子网地址
子网数 2的N次方-2(全0全1不用) N为借用主机位数
主机数 2的M次方-2 M为主机位数

第4章 路由设计技术基础
路由选择协议:内部网关协议 RIP;内部网关协议 OSPF;外部网关协议 BGP
默认路由器:主机在网络中直接相连接的路由器,也称 为缺省路由或第一跳路由
目的路由器:目的主机直接相连的路由器
分组转发:是在互联网中路由器转发IP分组的数据转发机制,可分为直接转发和间接转发
路由选择的基本概念
跳数:分组从源节点到达目的节点所经过路由器个数
带宽:链路的传输速率,用来表示通信线路所能传送数据的能力
延时:分组从源节点到达目的节点所花费的时间
负载:单位时间内通过路由器或线路的通信量
可靠性:传输过程中的误码率,与网络质量和性能又密切的关系
开销:传输过程中的耗费,通常与所使用的链路带宽相关,一般来说,网络速率越高,其开销越高
静态路由表:人工方式建立,开销小,使用小型网络
动态路由表:系统自动运行动态路由选择协议而建立的路由表
路由汇聚:CIDR
自治系统AS定义:单一的技术管理下的一组路由器,使用同一种路由选择协议和共同的度量以确定分组在该AS内的路由,AS之间用另一种协议
内部网关协议 IGP:RIPv1,RIPv2和OSPF
外部网关协议 EGP:边界网关协议 BGP
RIP工作过程:
路由表初始化:路由器刚启动时,首先初始化(V,D)路由表。初始化的路由表只包含所有该路由器之间相连的网络。距离均为0
路由表更新:先修改R2路由器的所有项目:把 下一跳 字段都改为R2,并把距离字段的值+1
比较R1,R2路由表:若项目中不存在该项目则加到路由表中;
若下一跳地址相同,则把收到的项目替换原路由表中项目;若收到项目中的距离小于路由表中的距离,则进行更新
RIP:使用是距离向量协议;发送信息是本路由器所知道的全部信息;仅和相邻路由器交换信息;每个路由器虽然知道到达所有网络的距离及下一跳路由器,但不知道全网的拓扑图
OSPF:分布式链路状态协议;(链路状态:说明本来路由器和哪些路由器相邻,以及该链路的“度量”) 发送的是与本路由相邻的所有路由器的链路状态;用泛洪Flooding,向所有路由器发送此信息;所有路由器都有一个唯一的链路状态数据库来存储本区域的拓扑结构图
OSPF为了适应规模更大的网络,提高路由更新收敛速度,OSPF引入区域(Area)概念来将一个自治系统划分若干个更小范围
每个区域有一个32位的区域标识符
区域不能太大,在一个区域内的路由器最好不要超过200个
OSPF采用层次机构的区域划分:主干区域:上层的区域,标识符0.0.0.0,作用是连接其他在下层的区域
外部网关协议(EGP):边界网关协议(BGP)
BGP是不同自治系统的路由器之间交换路由信息的协议
自治系统之间交换‘可达性’信息

在配置BGP时,每一个自治系统的管理员要选择至少一个路由器作为该自治系统的‘BGP发言人’
一个BGP发言人与其他自治系统的BGP发言人要交换路由信息,就要先建立TCP连接,然后在此连接上交换BGP报文以建立BGP会话

BGP路由选择协议的四种报文
打开OPEN 报文:用来与相邻的另一个BGP发言人建立关系
更新UPDATE 报文:用来发送某一路由的信息,以及列出要撤销的多条路由
保活 KEEPALIVE 报文:用来确认打开报文和周期性地证实邻站关系
通知 NOTIFICATION 报文:用来发送检测到的差错

BGP发言人可以用‘更新分组’撤销以前曾经通知过的路由,也可以宣布增加新的路由
撤销路由可以一次撤销许多条,而增加新路由时,每个更新报文只能增加一条

第5章 局域网技术基础及应用

一、局域网标准
目前在使用的标准主要有 802.1、802.3、802.11、802.16等
IEEE 802局域网参考模型只对应IOS参考模型的数据链路层和物理层,它将数据链路层分为 逻辑链路控制子层LLC和介质访问控制子层 MAC
二、交换式局域网
交换式局域网的核心部件时交换机
交换机采用两种转发技术:快捷交换方式和存储转发交换方式
三、虚拟局域网技术
虚拟局域网 VLAN 是建立在交换技术的基础上的,如果将局域网中的节点按工作性质与需要划分为若干个“逻辑工作组”,则一个逻辑工作组就是一个虚拟局域网
VLAN 实现原理:与某一VLAN内成员发出的数据包经过交换机时,该交换机只发送给同一VLAN的其他成员,而不会发给该VLAN成员以外的计算机
划分VLAN的方法:基于交换机端口划分、基于MAC地址划分、基于网络地址划分、基于IP广播组的划分;
VLAN的优点:1.广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力;2.VLAN间不能直接通信,即一个VLAN内的用户不能和其他VLAN内的用户不能和其他VLAN的用户直接通信,而需要通过路由器或三次交换机等设备,增强了局域网的安全性;3.用VLAN可以将不同的用户划分到不同的工作组中,而且同一工作组的用户也不必局限于某一固定的物理范围内,从而使网络构建和维护更方便灵活
综合布线基本概念
一、综合布线组成:
工作区子系统:由配线子系统的信息插座模块、延申到终端设备处的连接线缆及适配器组成
水平布线子系统:由工作区的信息插座、信息插座模块至电信间配线设备的配线电缆和光缆,电信间的配线设备及设备缆线和跳线组成
垂直干线子系统:由设备间的配线设备和跳线以及设备间至各楼层配线间的连接线缆组成。它是组合布线系统的神经中枢,其主要功能是将主配线架系统与各楼层配线架系统连接起来
建筑群子系统:由连接多个建筑物之间的主干电缆和光缆、建筑群配线设备及设备缆线和跳线组成
设备间子系统:在每幢建筑物的适当地点进行网络管理和信息交换的场所
管理区子系统:包括交换间的配线设备、输入输出设备等组成部分。它设在每层配线设备的房间中,也可应用与设备间子系统
二、综合布线的优点
相比传统的布线系统,综合布线的优点:兼容性、灵活性、经济性、开放性、先进性、可靠性
三、综合布线的设计等级
基本型:用于配置标准低的场合,用铜芯双绞电缆
增强:用于配置标准中等场合,用铜芯双绞电缆
综合性:用于配置标准较高的场合,用光缆和铜芯双绞线混合组网
四、综合布线标准
1.北美标准ANSI/TIA/EIA-568-A
2.TIA/EIA-568-B.1、TIA/EIA-568-B.2和TIA/EIA-568-B.3
3.国际标准 ISO/IEC 11801
4.国内标准 GB/T 50311-2000和GB/T 50312-2000

局域网互联设备
中继器是一种最简单的网络互联设备,主要完成物理层的功能,负责在两个节点的物理层上按位传递信息,完成信号的复制、调整和放大功能
中继器的特点:
只能对传输介质上的信号进行接收、放大、整形和转发
作用只是增加传输距离,不会改变帧的结构和内容
所连接的几个网路段任属于这个局域网,只要该局域网中任一节点发送了数据,其他节点都可以接收到这个数据,它们共享1个冲突域。因此,中继器不属于网络互联设备
集线器是局域网中使用的连接设备,它具有多个端口,可以连接多台计算机,是基于广播完成数据转发的;在局域网中常以集线器为中心,将所有分散的工作站与服务器连接在一起,形成星型结构的局域网稀土。集线器的优点除了它能够互联多个终端外,还有在星型结构中当其中一个节点的线路发生故障时不会影响其他节点
集线器工作在物理层,执行的是CSMA/CD介质访问控制方法。一个集线器有多个端口,每一个端口通过RJ-45与网卡连接
所有节点通过双绞线连接到一个集线器上,从一个节点发送数据所有节点都能接收,那么所有节点共享一个冲突域
通过在网络链路中串接一个集线器可以监听该链路中的数据包,连接到一个集线器的多个节点不能同时发送数据帧,可以同时接收数据帧
网桥在数据链路层完成数据帧接收、转发与地址过滤功能,它用来实现多个局域网之间的数据交换
使用网桥实现数据链路层的互联时,允许互联网络的数据链路层与物理层协议不同
网桥依靠MAC表来确定帧是否需要转发,以及向何处转发
网桥能够互两个采用不同数据链路层协议、不同传输介质与不同传输速率的网络
网桥按照帧转发策略不同,分为透明网桥(802.1d)和源路由网桥802.5
生成树:在实际网路应用中,经常会出现环路情况。环路的出现,可能会导致一个帧在网络中被循环转发的现象,从而增加网络负荷、减低系统性能。透明网桥采用生成树算法,来防止这一现象发生
根据生成树算法指定的协议称为生成树协议STP,802.1d规定了STP协议,它能逻辑的阻断网络中存在的冗余链路,以消除路径中的环路,并可以在活动路径出现故障时,重新激活冗余链路来恢复网络的连通‘保证网络的正常工作
交换机是一种基于MAC地址识别,能完成封装转发数据包功能的网络设备
交换机的主要功能包括物理编址、支持网络拓扑结构、错误校验、帧序列以及流量控制
网桥和交换机区别:网桥端口不超过24个,交换机多达128个;网桥只有一个CPU,交换机采用多个CPU并发工作
网桥在发送数据帧前,通常要接收完整的数据帧并执行帧检测序列FCS后,才开始转发数据帧,交换机具有存储转发和直接转发两种转发方式
第5讲 以太网组网
标准的以太网采用IEEE 802.3X Type-y-name。其中x表示传输速率,单位为Mbis/s;y表示网段最大长度,单位为100m,type表示传输方式是基带还是频带,Name表示局域网的名称
10BASE-T以太网中,由于集线器是物理层互联设备,因而其连接的节点仍在一个冲突域中,同一时间只能有一个节点能够发送数据帧,其他站点则只能进行数据帧的接收
快速以太网协议标准 IEEE802.3u 该标准 在LLC和MAC子层 分别使用IEEE 802.2和 CSMA/CD ,但它重新定义了物理层标准,在保持传统以太网帧结构和介质访问控制方式不变的基础上,将传输速率提升至100Mbit/s,并提供10Mbit/s与100Mbit/s自动协商机制
100Base-t标准定义了一个介质无关接口 MII,MII将MAC子层和物理层分开,这样物理层实现100Mbit/s传输速率时,传输介质和信号编码方式不会影响MAC子层
MII功能包括:向上通过MAC子层的接口提供载波侦听信号与冲突检测信号;向下与集线器交换控制信息并支持10Mbit/s与100Mbit/s速率的接口
100BASE-TX:使用2对5类非屏蔽双绞线,一对用于数据发送,另一对用于接收;采用4B/5B编码方式,采用全双方式工作;最大网段长度为100m
100BASE-FX:使用两条光纤,一条用于数据发送,另一对用于接收;数据传输采用4B/5B NRZI编码方式;采用全双工,最大网段415m
100BASE-T4:使用4对3类非屏蔽双绞线,3对用于传输数据,一对用于检测冲突信号;数据传输采用8B/5T编码方式;采用半双工工作;最大网段长度为100m
半双工模式:即接收数据时不能同时发送,发送数据时不能同时接收
全双工模式:即同一时刻可以同时按接收和发送数据帧。支持全双工的快速以太网拓扑结构一定为星型,接收和发送的过程中形成的是点到点的连接方式
快速以太网由于采用了全双工模式点到点连接的方式,所以不存在介质访问冲突的问题,因此不需要采用CSMA/CD方法
快速以太网自动协商的功能包括:自动确定非屏蔽双绞线的对端设备使用的是全双工的100Mbit/s还是半双工的10Mbit/s
自动协商的功能只能在使用双绞线的以太网应用,并通过链路两端设备交换100BASE-T定义的 “基本链路代码字”来实现,协商过程所需时间要在500ms以内
自动协商的优先级为:100BASE-TX或100BASE-FX全双工模式、100BASE-T4\100BASE-TX半双工模式、10BASE-T全双工模式、10BASE-T半双工模式
一、综合布线网络结构设计
组合逻辑描述网络功能的拓扑结构,配置形式则说明传输线路与交换中心的连接情况,即网络单元的邻接关系
常用网络拓扑结构由:星型、环形、总线型和网状型,其中以星型网络拓扑结构最多
综合布线系统的连接设备主要由:通信引出端(TO)、转接点(TP)、楼层配线间 (FD)、楼内主配线架(BD)、建筑群配线架(CD)、其中TP为可选部件
二、传输介质
综合布线系统常用的传输介质有双绞线、光缆两类
双绞线:分为非屏蔽双绞线UTP、屏蔽双绞线STP
光纤:综合布线系统中常采用波长为0.85和1.30um两种
三、综合布线工程设备配置
综合布线工程的设备配置主要指各种配线架、布线子系统、传输介质和通信引出端(即信息插座)等的配置
综合布线子系统
一、建筑群子系统设计
建筑群子系统的通信线路的敷设主要有地下管道布线、直埋布线、架空布线和巷道布线
地下管道布线:采用由耐用腐蚀材料的管道,能对电缆提供最好的机械保护有效降低电缆受损维修风险
直埋电缆:除穿过基础墙的线缆外,电缆其余部分均不采用管道保护,该方法可以保持建筑物外貌
架空布线:电缆在建筑物间悬空,并通过电线杆支撑。电缆可采用自支撑电缆或将户外电缆系在钢丝绳上
巷道布线:利用建筑物间的地下巷道进行电缆敷设,可充分利用原有安全设施,且造价低
能够对线缆提供最佳机械保护的方式是地址管道布线
设备间子系统连接主配线区(电缆进线室、MDF交接箱)、程控交换机(PBX)或局域网交换机等设备,设备间子系统是综合布线系统的关键部分
管理子系统:设置在楼层配线间,是水平子系统电缆端接和主干系统电缆端标的场所
干线子系统即建筑物主馈电缆,包括干线连接线间至各远程通信接线间、设备间至网络端口、主设备和计算机中心之间、设备间至建筑子系统设施间的连接线缆,设备间的主干线缆
干线系统的设计原则
应选择干线线缆最短最合理、最安全和最经济的路由,应选择有盖的封闭通道敷设干线电缆
干线电缆可采用点对点端接,也可采用分支递减端接以及电缆连接的方法
干线子系统中的主干线路总容量,应该安装综合布线系统中的语音和数据信息共享的原则确定
干线子系统的连接方法
主要有点对点结合、分支结合两种。着两种连接方式根据建筑物结构特点及经济性等情况可单独采用,也可混合使用
点对点结合是最简单、最直接的线缆连接方式,每根干线电缆直接延伸到楼层配线间
分支节点采用一根通信容量较大的主馈电缆,再通过交接盒分成若干容量较小的电缆,分别连到各个楼层
水平子系统是综合布线分支部分,是综合布线工程中的最大、范围最广、最难施工的一个子系统。由通信引出端至楼层配线间以及它们之间的线缆组成。一般电缆长度不超过90m
水平子系统布线路由方式
走廊金属槽式桥架方式、天花板吊顶内敷设线缆方式、地板下敷设方式和墙面线槽方式,一般采用走廊金属槽式桥架方式布线
线缆选择
在水平布线子系统中,线缆选择方案主要由:采用4类、5类双绞线,满足10Mbit/s以及一下低速率数据和语音传输;采用5类或6类双绞线,满足10Mbit/s、100Mbit/s一下高速率数据传输;采用光纤或6类双绞线,满足100Mbit/s以上、宽带数据和复合信号传输;另外采用5类、6类双绞线和关纤混合布线时比较经济的方案
线缆总长度计算
总长度=平均电缆长度+备用部分+端接容差
平均电缆长度=(接线间到信息插座的最大距离+接线到信息插座的最小距离)/2、 备用部分一般为平均电缆长度的10%
信息插座由嵌入式安装插座、多介质信息插座(光纤和铜缆)和表面安装插座等类型可供选择。其中,嵌入式安装插座用于连接双绞线,多介质信息插座可用于连接铜缆和光纤,用以满足用户"光纤到桌面"的需要
工作区子系统适配器的选择应遵循如下:
当设备连接器采用不同与信息插座的连接时,可选择专用电缆或适配器
在单一信息插座上进行两项服务时,宜采用一线两用启或 "Y"形适配器
连接使用不同信号的数模转换或数据速率转换装置时,宜采用适配器
水平系统中选用的介质类别(电缆)与设备所需的介质类别(电缆)不同时,宜采用适配器
适配器具有转换不同数据速率的功能
多介质插座是用来连接光纤和铜缆的
终端有高速率要求时,水平子系统可采用 光纤到桌面
干线线缆敷设通常采用点对点结合分支两种方式
可在工作区子系统中的更改、增加、交换、扩展线缆的方式来改变线缆路由
第6章 交换机及其配置
交换机:工作在数据链路层,它根据进入端口的MAC帧的目的地址,对收到的帧进行转发,过滤
基本功能:建立和维护交换表,在源/目的的端口建立虚连接,完成数据帧的转发或过滤
交换表:保存设备目的的MAC地址与设备端口对应关系的表
交换表的内容:大型交换机:子网号 目的MAC地址 目的MAC地址对应的交换机端口号和支持的协议类型;小型接入交换机:目的MAC 地址类型 子网号 该目的MAC地址对应的交换机端口号/类型
显示小型交换表命令 show mac-address-table
显示大型交换表命令 show cam dynamic
交换表的建立
自学习:查找转发表中与收到的帧的源地址有无匹配的项目。若无,则增加(源地址、进入的接口和时间),若有 则把原有项目更新
交换表的保护与维护
交换机采用定时刷新技术来维护存放在高速缓存的、中的交换表
刷新交换表的方法:每次存储一个地址表项时,都盖上一个时间戳。这样就使得交换机中的转发表能反映当前的最新拓扑结构
交换表一般保存在交换机的一个高速缓存中,如思科交换机的交换表保存在一个称为可编址内容存储器CAM的高速缓存中
交换表的查看
查找转发表中与收到帧的目的地址有无相匹配的项目
如有,则转发表中给出的接口进行转发
若无,则通过所有其他接口(但进入网桥的接口除外)进行转发(Flood)
若转发表中给出的接口就是该帧进入网桥的接口,则应该丢弃这个帧
交换机的交换结构
软件执行交换结构:所有交换功能全部由软件控制执行
总线交换结构:该结构上交换机的各个模块共享一条公共总线,当前许多交换机产品都采用总线交换机结构,其应用比较广泛
共享存储器交换结构:由总线结构变形而来,使用共享式存储器来代替公用总线,比较适合小型交换机采用
矩阵交换机结构:交换功能由硬件实现
交换机交换模式
静态交换,动态交换:存储转发,直通转发(快速转发交换、碎片丢弃交换模式)
快速转发:也称直通交换 模式,交换机机在接收数据帧时,一旦检测到6个字节的目的地址就立即转发
碎片丢弃交换模式,也称作无分段交换模式,交换机接到数据帧时,先检查数据包的长度是否够64字节(512bit)。如果不够,则直接丢弃
存储转发交换模式:将接收到的整个数据帧保存在缓存区中,进行循环冗余码校验检查,在对错误数据帧进行处理后才能进行转发
虚拟局域网VLAN
虚拟局域网VLAN:是由一些局域网网网段构成的物理位置无关的逻辑组
VLAN工作在OSI模型的数据链路层
每个VLAN都是一个独立的逻辑网段,一个独立的广播域。VLAN的广播信息仅发送同一个VLAN成员
每个VLAN又是一个独立的逻辑网络,它们都有唯一的子网号。
VLAN之间不能直接通信,必须通过第三次路由功能完成
VLAN的标识
VLAN通常用VLAN ID(VLAN号)和VLAN name(VLAN名)标识
VLAN ID 用12位(Bit)表示,可以支持 4096个VLAN
其中1-1005是标准范围,1025-4096是扩展范围
其中用于以太网的VLAN ID 为 1-1000,1002-1005 是FDDI和Token Ring使用VLAN ID ,其他为保留ID号
VLAN name 用32字符表示,可以是字母和数字
VLAN 缺省的VLAN名为 (VLAN 00XXX) 其中XXX为ID号
VLAN Trunk 一个交换机内部实现多个VLAN通信,就需要VLAN隧道Trunk技术实现
虚拟局域网中继(VLAN Trunk) 在不同交换机之间,或交换机与路由器之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN成员能够互相通信
交换机之间互联用的端口就称为Trunk端口
VLAN Trunk的标准机制是帧标签,帧标签为每一个帧指定一个唯一的VLAN ID作为识别码。用来指明发送该帧的工作站属于哪一个虚拟局域网
在交换设备之间实现Trunk功能,必须遵守相同的VLAN协议,目前在交换机中常见的协议ISL(思科公司内部交换链路协议)、IEEE802.10和国际标准IEEE802.1Q
VLAN的划分方法
基于端口划分VLAN (静态VLAN )
基于MAC地址(动态VLAN) 根据每个主机的MAC地址来定义VLAN成员。实现这种划分方法需要一个VLAN 配置服务器用于保存VLAN管理数据库
优点是当用户位置移动时,VLAN不用重新配置
缺点是网络管理员要建立和维护一个VLAN管理数据库,但当终端用户数量较大时,其工作量也大
基于第三层协议类型或地址
网络协议或地址划分VLAN 是通过识别报文的网络层协议类型(如TCP/IP、IPX、DECnet)或网络地址(逻辑地址)进行划分VLAN
优点用户的物理位置改变了,不需要重新配置所属的VLAN,不需要附加帧标签来识别VLAN,可以减少网络的通信量,有利于组成基于应用的VLAN
缺点时要检查IP数据包包头,因而效率低

生成树协议 STP
主要功能:保证网络中没有回路(LOOP)的基础上,允许在第二层链路中提供冗余路径,以保证网络可靠、稳定地运行
STP的工作过程是通过在交换机之间传送网桥协议数据单元(PBDU),并经生成树算法计算而完成
BPDU数据包括两种类型:一种是包含配置信息的配置BPDU
另一种是包含拓扑变化信息的拓扑变化通知PBDU
配置BPDU最大35字节。6-27字节包含Root ID,Root Path Cost,Bridge ID,Port ID四个字段
Root ID和Bridge ID结构相同,都用8个字节标识,后6个字节为交换机MAC地址,前2字节为优先级值,优先级值越小,优先级越高
优先级取值范围为0-61440,增值量为5096,默认值为32768
选择根网桥是,如果优先级相同,那么就根据MAC地址的值决定根网桥,MAC地址的值最小为根网桥

交换机的配置
Console接口配置、Telenet配置、Web浏览器配置
>用户模式 #特权模式
配置交换机主机名
Catalyst 3548 IOS系统
进入全局模式
enable
config t
配置主机名
hostname XXXX

Catalyst 6500 OS系统
进入超级用户模式
enable
设置系统名称
set system name XXXX

改变系统时间
IOS系统
enable
clock set hh:mm:ss day month year

OS系统
enable
set time day of week mm/dd/yy hh:mm:ss

配置设备管理地址
IOS系统
enable
config t
interface VLAN1
ip address 192.168.1.1 255.255.255.255
格式 ip address IP地址 子网掩码
配置默认网关:
ip default-gateway 192.168.1.1
格式 ip default-gateway 默认路由

OS系统
enable
配置IP地址:
setinterface sc0 ip地址 子网掩码 直接广播地址
配置默认网关:
set ip route 0.0.0.0 默认网关

交换机端口通信方式配置(自适应、半双工、全双工)
IOS系统
进入端口配置模式:
interface 端口名
配置端口通信方式:
duplex auto 默认为自适应
duplex full 全双工
duplex half 半双工

OS系统
全局模式
配置端口通信模式:
set port duplex 模块号/端口号 full/half
设置5模块1端口全双工
set port duplex 5/1 full
设置5模块1-24 端口全双工
set port duplex 5/1-24 full
设置5模块1端口为半双工
set port duplex 5/1 half
设置5模块1-24 端口为半双工
set port duplex 5/1-24 half

交换机端口传输速率配置
IOS系统
进入端口配置模式:
interface 端口名
配置端口传输速率:
speed auto 设置为自动匹配速率
speed 10 设置为10Mbps
speed 100 设置为100Mbps

OS系统
超级用户模式
配置端口速率
set port speed 模块号/端口号 auto/端口速率(10,100,1000)
设置5模块1端口速率为自适应
set port speed 5/1 auto
设置5模块1-23 端口为自适应
set port speed 5/1-24 auto
设置5模块1端口为100Mbps
set port speed 5/1 100
设置5模块1-24端口为1000Mbps
set port speed 5/1-24 1000

直接广播地址:IP地址中的主机位置1

交换机VLAN 配置
建立与删除VLAN
IOS系统
进入VLAN 配置模式
vlan data
建立VLAN
vlan vlan_id name vlan_name
退出
exit
删除VLAN
no vlan 1000
修改VLAN (修改与建立相同)
vlan 1000 name v1000

OS系统
建立VLAN
set vlan vlan_id name vlan_name
删除VLAN
clear vlan vlan_id
clear vlan 999
修改VLAN(修改与建立相同)
set vlan 1000 name v1000

分配交换机端口到VLAN中
IOS系统
进入端口模式
config t
int f0/24
为端口分配VLAN
switchport access vlan vlan_num
switchport access vlan 248

OS系统
set vlan vlan_num mod/port

VLAN trunk的配置
设置交换机端口的VLAN Trunk 模式,为VLAN Trunk封装VLAN协议和设置VLAN Trunk 允许中继的VLAN

IOS系统
进入交换机端口配置模式
config t
int f0/24
配置VLAN Trunk
switchport mode trunk
封装VLAN协议
switchport trunk encapsulation dot1q (封装IEEE 802.1Q)
switchport trunk encapsulation isl (封装ISL协议)
switchport trunk encapsulation negotiate P (自动协商)
设置允许中继的VLAN
switchport trunk allow vlan 10,14
switchport trunk allow vlan 0-14
switchport trunk allow except 100-1000
axcept 是不允许中继到Trunk列表中

OS系统
配置VLAN Trunk 封装VLAN协议
set trunk mod/port mode type
设置端口1/24为VLAN Trunk模式 封装802.1Q
set trunk 1/24 on dot1q Port(s)1/24 trunk mode set to on
设置允许Trunk VLAN
set trunk mod/port vlan
set trunk 5/1 vlan 37-42
从端口5/24的允许VLAN列表中删除3-36
clear trunk mod/port vlan
clear trunk 5/24 3-36

配置VTP (VLAN Trunking Protocol)
VTP主要用于管理同一个域的网络范围内VLANs的建立、删除和重命名
VTP有三种工作模式:VTPServer、VTP Client和VTP Transparent
VTP Server:一个VTP域内的整个网络只设一个VTP Server,VTP Server 维护该VTP域中所有VLAN信息列表,也可以建立、删除或修改VLAN
VTP Client:也可以维护所有VLAN信息列表,但其VLAN的配置信息是从VTP Server学到的,不能建立、删除或修改VLAN
VTP Transparent:相当于一个独立交换机,它不参与VTP,也不从VTP学习VLAN的配置信息,而只拥有本设备上自己维护的VLAN信息。VTP Transparent 可以建立、删除和修改本机上的VLAN信息

配置VTP的任务:建立VTP域、设置VTP工作模式
在同一个域的所有交换机,必须运行相同版本的VTP,并具有相同的域名

iOS系统
进入全局配置模式
配置VTP域名
vtp domain pku (设置VTP域名为pku)
配置工作模式
vtp mode server (设置VTP Server模式,缺省值)
vtp mode client (设置VTP Client)
vtp mode transparent (设置VTP transparent模式)

OS系统
进入超级用户模式
配置VTP域名
set vtp domain pku (设置VTP域名为pku)
set vtp mode server (设置VTP Server模式,缺省值)
set vtp mode client (设置VTP Client模式)
set vtp mode transparent (设置VTP transparent模式)
set vtp mode off (VTP关闭)

交换机STP
打开或关闭STP
IOS系统
spanning-tree vlan 启用STP
no spanning-tree vlan 关闭STP

OS系统
set spanning-tree enable 启用STP
set spanning-tree disable 关闭STP

配置根网桥和备份网桥
IOS系统
设置主root (primary root)
spanning-tree vlan root primary
设置备份root (Second root)
spanning-tree vlan root secondary

OS系统
设置主root (primary root)
set spantree root
设置备份root (Second root)
set spantree root secondary

配置生成树优先级
生成树优先级的取值范围是0-61440,增量是4096
优先级的值越小,优先级越高
IOS系统
spanning-tree vlan priority <0-61440>
OS系统
set spanning priority

配置PortFast生成树可选功能
PortFast用于在接入层交换机端口上跳过正常的生成树操作,加快终端工作子介入到网络中的速度
它的功能是使交换机的端口跳过侦听和学状态,直接从阻塞状态进入到转发状态,该端口一般只能拥有连接单个交换机或服务器,不能连接集线器、集中器、交换机、网桥等网络设备
如果在配置了PortFast的交换机网络端口上连接了这些网络设备,可能会造成暂时的生成树循环(Spanning Tree Loops),因此一般所有连接计算机的端口上启用 PortFast,在所有连接交换机或末使用的端口上禁用PortFast

配置PortFast生成树可选功能
IOS系统
spanning-tree portfast default
OS系统
set spantree portfast enable (打开PostFast)
set spantree portfast disable (关闭PostFast)
set spantree poetfast default (缺省启用PostFast)

配置UplinkFast生成树可选功能
UplinkFast的功能是当生成树拓扑结构发生变化和使用上行链路组(uplink group)的冗余链路完成负载均衡时,提供快速收敛
即UplinkFast将处于阻塞状态(Blocking)的端口跳过侦听(listening)和学习(learning)两种状态,直接转换到转发(forward)状态,这个转换过程大概用时1-5min
UplinkFast实现快速收敛的条件为:
在交换机上必须启动了UplinkFast功能
至少一个处于Blocking的端口 (即有冗余链路)
链路失效必须发生在根端口(RootPort)上

IOS系统
spanning-tree uplinkfast (回车)
spanning-tree uplinkfast max-uodate-rate <0-32000>
其中 max-update-rate 的值时0-32000
单位时packet/s (每秒更新的包数)
OS系统
set spantree uplinkfast enable
set spantree uplinkfast enable rate station_uodate_rate

配置BackboneFast生成树可选功能
BackboneFast是针对UplinkFast功能的一种补充
因为UplinkFast功能主要用于对直接连接到汇聚交换机上的链路故障快速响应,但对于主干核心间的间接故障却无能为力
功能就是使阻塞端口不在等待生成树最大存活时间,二十直接将端口由侦听和学习状态转化为转发状态
这个转换任务大约需要30s,从而提高了在间接链路失效情况下的收敛速度
IOS系统
spanning-tree BackBoneFast (允许Backbonefast功能)
OS系统
set spantree backbonefast enable (允许backbonefast功能)
set spantree backbonefast disable (不允许backbonefast功能)

配置交换机BPDU FIlter生成树可选功能
BPDU Filter 会使交换机在指定端口上停止发送任何的BPDU报文,也不处理接收到的BPDU报文,将端口状态转换为转发状态
这样可以防止向主机发送不必要的BPDU报文,相当于关闭了STP功能
IOS系统
spanning-tree portfast bpdufilter default
OS系统
set spantree portfast bpdu-filter enable 所有端口启用
set spantree postfast bpdu-filter disable 关闭BPDU Filter
set spantree postfast bpdu-filter enable (打开BPDU Filter)
set spantree postfast bpdu-filter disable (关闭BPDU Filer)
set spantree postfast bpdu-filter default (缺省启用BPDU Filter)

第7章 路由器配置及使用
路由器是网络之间互联的设备,实现网络与网络之间的互联,从而组成更大规模的网络
工作在TCP/IP网络模型的网络层,对应OSI网路参考模型的第三层
路由器的硬件结构:CPU、闪存、ROM、RAM、非易失性RAM、接口
中央处理器CPU:负责实现路由协议、路径计算、交换路由表信息、查找路由表、分发路由表和维护各种表格,以及转发数据包等功能
CPU的处理能力与路由器的处理能力之间相关,它直接影响路由器的路由表查找时间、吞吐量和路由器的性能
闪存 Flash Memory :可擦写、可编程类型的ROM,主要用于存储路由器当前使用的炒作系统映像和微代码
只读存储器 只读不能修改,永久保存路由器的开机诊断程序、引导程序和操作系统软件。主要完成路由器的初始化过程
随机存储器 :可读可写,用来保存 路由表、ARP缓存、快速交换缓存、数据分组缓冲区和缓冲队列、运行配置文件,以及正在执行的代码和一些临时数据信息等
非易失性RAM:主要用于存储启动配置文件或佩服文件。在路由器启动时,从NVRAM装载路由器的配置信息。 NVRAM的容量小,通常只有32KB-128KB,但是存取速度非常快,而且保存在NVRAM的数据不会因为关机重启丢失
接口
广域网接口:高速同步串行接口、异步串行接口、ISDN的PRI或BRI接口等
局域网接口:以太网接口、快速以太网接口、自适应以太网接口、吉比特以太网接口、FDDI接口等标准网络接口
路由器配置接口:Consloe 和 AUX(辅助接口) AUX可以连接Modem,用拨号方式远程对路由器进行配置
用于存储操作系统映像文件和微代码的存储器是 FLASH

路由器工作原理
路由器的两个基本功能是路由选择和分组转发,路由器接收到数据后,通过路由选择获得将数据包转发到目的端口的路径,并沿着这个路径将数据包从源主机一跳经过若干路由器,发送到目的主机
路由选择 :路由器根据目的网络IP地址的网络部分,通过路由算法确定一条源节点到目的节点的最佳路径
路由选择的核心是确定下一跳路由器的IP地址
路由器指出路由器转发数据的最佳路径
路由表的内容包括:目的网络地址、下一跳路由器地址和目的端口等信息

IP解析MAC ARP协议
数据转发中 源IP和目的IP是不变的
show ip route 查看路由表信息
路由表第1列表示路由表项的来源
-"C"表示直连路由 (connected),表示目的网络直接与路由器的端口相连
-"S"表示 静态路由 static
-"I"表示使用IGRP内部网关路由协议学习到的路由信息
-"O"表示使用OSPF 开放式最短路径优先协议学习到的路由信息
路由表的第2列 表示的是目标网络地址和掩码长度
路由表的第3列[]中的前半部分是管理距离,后半部分为权值
路由表的第4列 表示的是目的端口和下一跳路由器的地址

管理距离(AD):用来表示路由可能从多种途径获得同一路由
管理距离与越小,说明路由可信度越高
静态路由的管理距离为1,说明手工输入的路由优先级高于其他的路由表

权值:某一个路由协议判别到达目的网络的最佳路径的方法
思科路由器常用的权值:带宽、负载、延迟、跳数、可靠新、代价、

路由器模式:
默认为用户模式route>;查看路由器相关信息
特权模式route#:enable ;管理时钟、错误检测、查看和保存配置文件、清除闪存等
全局配置模式router(config)#:config terminal;配置主机名、TFTP、超级口令、静态路由表、访问控制列表、IP记账和多点广播
进入接口模式:int f0/1
进入虚拟终端模式:line vty 0 15
进入路由协议配置模式:router rip
RXBOOT模式:在路由器开机60s内,在超级终端下,同时按Ctrl+Break键3-5s进入
当密码丢失时,可从该模式恢复
软件升级和手工引导
设置模式(setup):一问一答的方式对路由器的配置 超级模式下输入 setup

路由器配置方式:Console、Telnet远程登录、TFTP服务、AUX连接Modem 远端拨号配置、使用SNMP修改路由器配置

路由器基本配置
配置主机名(全局):hostname route-test
配置系统时钟(特权):calendar set hh:mm:ss <1-31>MONTH <1993-2035>
calendar set 20:26:00 3 may 2013
配置超级用户口令:config t
enable secret XXXX 明文密码
enable password 7 XXXX 加密密码
配置保存(超级用户):
write memory 保存到NVRAM
write network tftp 保存到TFTP
清除配置文件:write erase
退出:EXIT 从接口配置一级配置模式退到低一级配置模式
end 从配置模式直接退到特权用户模式
Ping:使用echo协议,测试连通性
traceroute(trace):不仅诊断连通性,还能跟踪目标网络转发路径上每一级路由器的工作状况 延迟时间 (最多30跳超过不可达)
如果在过程中路由器不可达,出现三个*,使用ctrl-shift-6退出
该命令可在用户模式或特权模式下使用
trace www.baidu.com
Telenet 命令:在用户模式或特权模式下使用
一般路由器可支持5个Telnet同时连接
telnet ip地址或主机名
Show命令:查看路由器配置情况、接口工作状态、路由表信息、路由器软、硬件版本、路由器资源利用和各协议工作信息等
用户或特权模式
show flash 查看flash
show version 查看硬件版本
show clock 查看系统时钟
show configuration 查看配置文件
show ip route 查看路由表
show ip protocols 查看IP路由协议信息

路由器接口配置
config t
interface 接口
配置接口带宽
bandwidth 100000 (kb/s)
配置接口描述信息
description link-to-lab
配置接口地址
ip address <子网掩码>
接口的开启与关闭
shutdown 关闭
no shutdown 启动

环回 Loopback接口配置
是一种虚拟的环回接口,没有实践物理接口,一旦配置后,总处于活动状态,它可以作为动态路由协议OSPF和BGP的 route id增强路由功能的稳定和可靠
一般进行路由器配置时,在每台路由器上配置一个环回接口,由于其总是处于激活状态,不会被关闭,因此路由器上其他接口出现故障时,网络管理员任然可以通过它进行登录,对路由器进行诊断
全局模式下
interface loopback 0
loopback 接口范围为 0-2 147 483 647
ip address 192.168.1.1 255.255.255.255
环回接口地址的掩码一般为4个255
no ip route-cache 禁用route-cache,适用单点发送数据包
no ip mroute-cache 禁用route-cache,适用与组播数据包

快速以太网接口配置
duplex half 设置工作模式为半双工
no ip directed-broadcast 禁用转发直接广播
no ip proxy-arp 取消路由代理的ARP请求
no shutdown 启动接口
exit 退出

千兆以太网接口配置
interface GigabitEthemet0/0
description To-lab 描述
ip address ip地址 子网掩码 配置IP
bandwidth 1000000 带宽
duplex full 全双工
no ip directerd-broadcast
no ip porxy-arp
no shoutdown
exit

广域网接口配置
异步串行接口配置
异步串行接口类型为Async 可简写为a
Async接口主要用于连接Modem设备,为用户提供拨号上网方式
Async配置
interface Async1 进入接口
ip unnumbered ethernet0 使用无编址IP
encapsulation PPP 封装协议为PPP
async default ip address 192.168.1.1 默认ip
async dynamic routing 设置动态路由
async mode interactive 配置PPP工作模式 异步模式交互
no shutdown

高速同步串行接口配置
高速同步串行接口类型为Serial 可简写为S,s
Serial接口用于帧中继、DDN转线、卫星、微波等广域网连接

interface Serial0/0 进入接口
description To-lab 描述
bandwidth 2048 (2M 单位Kbps)
ip address 192.168.1.1 255.255.255.0
encapsulation ppp 配置接口封装协议 可配置为HDLC或PPP协议 默认HDLC
no ip directed-broadcast 禁用路由转发直接广播
no ip proxy-arp 禁用路由代理arp
no shutdown
exit

POS接口配置
(Pack over SONET/SDH)是一种利用SONET/SDH提供高速率传输通道直接传送IP数据报的技术也是一种先进的广域网连接技术
POS使用的链路层协议主要由PPP和HDLC
目前POS可以提供155M、622M、2.5Gbps和10Gbps等多种速率接口
POS接口的配置任务:设置POS物理端口的帧类型 sdh|sonet
-设置POS物理端口的协议封装模式 ppp或chdlc
-设置POS物理端口的数据帧格式中的flag值 0表示SONET帧 2表示sdh帧
-强制POS物理端口的数据帧是否加扰
-设置POS物理端口的数据帧的CRC位数 16或32位等

interface POS0/1
desription To-lab
bandwidth 10000000
ip address 192.168.1.1 255.255.255.0
cec 16 (crc校验16和32)
pos framing sonet 设置帧格式 shd和sonet
no ip directed-broadcast
post flag s1 s0 0
(s1 s0=00 表示sonet帧的数据,s1 s0=10 (十进制2) 表示sdh帧的数据)

静态路由的配置
ip route <目的网络地址><子网掩码><下一跳路由器IP地址>
默认路由配置:
ip route 0.0.0.0 .0.0.0.0 下一跳地址
no route删除路由

动态路由配置
自治系统内部路由器称 内部路由,自治系统之间称 外部路由
内部路由协议通常使用路由信息协议(RIP),内部网关路由协议(IGRP)、增强内部网关路由协议(EIGRP)、开放式最短路径优先(OSPF)等路由选择协议
外部路由协议以BGP最为常见
RIP路由信息协议配置
RIP定时更新路由,每30s发送一次路由更新信息,更新速度比较慢
RIP选择具有最少"跳数hop数"度量的路由作为最佳路径
它所能接收的最长距离式15跳,若大于15跳,它认为地址不可达则丢弃该路由
RIP在路由更新报文中不能携带子网掩码信息,也就是不支持可变长子网掩码
RIP一般只能在小型网络中使用

RIP的配置
router rip 启动RIP协议
network <网络IP地址> 设置参与RIP协议的网络地址,不需要子网掩码
passive-interface 配置被动接口,该接口将被抑制路由更新,即路由跟新报文不再通过该路由器的接口
router rip
passive-interface FastEthemet0/1
exit

distribute-list 路由过滤 ,既可以过滤其接收的路由更新信息,也可以过滤输出的路由更新信息,即禁止了该接口参加rip
distribute-list <接口>
router rip 启用rip
distribute-list 10 in fastethemet0/1
end 直接退回到特权模式

distance 命令(配置管理距离)
用来配置或改变rip的管理距离,它用来测量路由的可信度,该值越小则可信度越高,RIP的缺省距离值是20,有效的管理距离值是1-255
全局模式下
router rip
distance 100 配置管理距离为100
exit

neighbor命令 (配置邻居路由器)
用于指定邻居路由器,RIP路由器不允许发送广播包或是在网络技术不支持广播的特殊情况下,路由器仍可以单播的方式向该邻居路由器发送路由更新信息
neighbor <邻居路由器的IP地址>
配置模式下
route rip
neighbour 131.55.101.2
exit

OSPF动态路由的配置
区域边界路由器 ABR,不同区域之间通过ABR传递路由信息
每个运行OSPF的接口必须指明属于某一个特定的区域,区域用区域号Area ID来标识
区域号是一个32位的无符号的整数,范围0-4294967295其中区域ID为0 也可以表示为0.0.0.0 时表示是主干区域

OSPF的基本配置
在全局模式下,使用 route ospf 命令启动OSPF进程
使用network ip <子网号><子网掩码的反码>area<区域号>定义参与OSPF的子网地址
使用area <区域号>range<子网地址><子网掩码>定义一个特定范围子网的聚合
配置参与ospf的网络地址
config#router ospf 10
network 192.168.1.0 0.0.255
area 0
exit
配置单个IP参与OSPF
router ospf 10
network 192.168.1.1 0.0.0.0
area 0
exit
使用area range 定义参与OSPF的子网地址
router ospf 10
area 0 range 212.37.123.0
255.255.255.0
exit
配置被动接口
router ospf 10
passive-interface ethernet0
exit
配置路由过滤
access-list 12 deny any
router ospf 10
distribute-list 10 out serial 0
end(直接退到用户特权模式)
配置管理距离
router ospf 10
distance 100
end

DHCP
DHCP采用客户机服务器C/S的工作模式
DHCP服务器主要完成两个功能
建立和管理IP地址池
接收并处理DHCP客户提出的DHCP请求
当DHCP服务器接收到一个DHCP请求时,首先查询地址池,为DHCP客户分配一个可用的IP地址,这个地址一定是空闲、未分配的IP地址。然后将该IP地址以及子网掩码、默认网关、域名和域名服务器的IP地址信息一并返回给DHCP客户
DHCP原理
1.DHCP服务器被动打开UDP端口67,等待客户端发来的报文
2.DHCP客户从UDP端口68发送DHCP发现报文(DHCPDISCOVER)
源地址0.0.0.0 目的地址255.255.255.255,默认DHCP discover等待时间为1S当客户机第一个DHCP DISCOVER封包送出去之后在1S内没有得到响应的话,就会第2次DISCOVER广播
客户端最多有四次广播,第一次1S其余三次等待时间分别是9S、13S、16S、
3.当DHCP服务器监听到客户端发出的DHCP DISCOVER广播后,将会对客户机做出应答。它会通过UDP端口回应客户一个DHCP OFFER广播包,提供一个IP地址
该广播包的源IP地址为DHCP服务器的IP地址,目标IP地址为255.255.255.255;包中还包含提供给客户机的IP地址、子网掩码及租期等信息
如果都没有得到DHCP服务器响应,客户端则会显示错误信息,宣告DHCPDISCOVER失败,之后系统会继续在5分钟之后在重复一次DHCP DISCOVER过程
4.DHCP协议允许网络上配置多台DHCP服务器,客户机将会收到网络上多台DHCP服务器的响应,但它只会挑选其中一个DHCP OFFER通常是最先抵达的那个,并向所选择的DHCP服务器发送DHCP请求报文
客户机发送一个HDCP REQUEST广播封包,告诉所有DHCP服务器它将接收那一台服务器提供的IP地址
同时客户端还会向网络发送一个ARP封包,确认网络上是否有其他机器在使用该地址
如果发现该IP已经被占用,客户机则会发送一个DHCP DECLINE封包给DHCP服务器,拒绝接收其DHCP OFFER并重新发送DHCP DISCOVER信息
5.被选择的DHCP服务器发送确认报文DHCP ACK进入已绑定状态,并可开始使用得到临时IP地址了
当DHCP 服务器收到客户端的DHCP REQUEST封包之后,向客户端发出一个DHCP ACK响应,确认该IP租约正式生效
客户在收到DHCP ACK包后,会使用该广播包中的信息来配置自己的TCP/IP从而租用过程结束,客户机可以在网络中通信

路由器上配置HDCP
IP地址池的建立
全局模式下 ip dhcp pool name为地址池的名称
地址池的子网地址与子网掩码配置
IP地址池配置模式下,执行network <网络地址><子网掩码>
<子网掩码>可采用标准的子网掩码表示 255.255.255.0 或 掩码前缀长度表示 /24
排除不用于动态分配的IP地址
ip dhcp excluded-address low-address [high-address]
low-address [high-address]表示要排除的IP地址范围或直接填写一个地址
配置缺省网关
default-router address address2 address8 最多可以设置8个,而客户端一般只使用一个在同一个子网中的路由器端口地址
配置IP地址池的域名系统
域名服务器DNS的配置方法为在地址池模式下
dns-server address 该命令允许最多8个域名服务器,一般windows客户端使用一个或两个
域名设置的配置方法 在地址池模式下
domain-name 其中为指定的域名名称
IP地址租用时间
是指客户端获得一个IP地址后,可以占用这个地址的最长时间,默认一天
配置方法
lease 加参数的方式,参数包括天数,小时,分,秒 还可设置永不过期 infinite
lease days hours minutes 或infinite
地址冲突记录日志取消
不配置DHCP数据库代理
全局模式
no ip dhcp confict logging

IP访问控制列表
ACL Access control list路由接口处控制路由数据包时被转发还是被阻塞来过滤网络通信流量
IP访问控制列表主要有两种类型,一类是标准访问控制列表,一类是扩展访问控制列表
标准访问控制列表只能检查数据包的源地址,根据源网络、子网或者主机的IP地址来决定对数据包的过滤
标准访问控制列表的表号范围时1-99,后来又扩展 扩展的表号时1300-1999
扩展访问控制列表可以检查数据包的源地址和目的地址,根据源网络或者目的的网络、子网主机的IP地址决定数据包的过滤操作
还可以检查指定的协议,根据数据包头中的协议类型进行过滤,比如UDP、ICMP协议、TCP协议和UDP协议
扩展访问控制列表的表示号范围是100-199 2000-2699

配置IP访问控制列表
1.访问列表配置
全局配置
Access-list access-list-number {permit|deny}{test-conditions} 源IP 子网掩码 反码
Permit或deny表示满足测试条件的数据包时如何被路由器处理的
2.把该访问控制列表应用到某以接口上
Router(config) interface g0/2
ip access-group access-list-number {in|out} 默认OUT
通配符的使用
32位数字 4个8位组
0表示检查数据包IP地址对应的比特位 1表示不检查
• 允许所有IP通过 0.0.0.0 255.255.255.255 any
access-list 1 permit 0.0.0.0 255.255.255.255
或者 access-list 1 permit permit any

与整个IP主机地址所有位相匹配时使用通配符 host
拒绝一个特定地址
access-list 1 deny 172.22.160.29 0.0.0.0
等于 access-lIst 1 deny host 172.33.160.29

删除访问控制列表
no acdess-list access-list-number
应用到接口后删除
no access-group
no access-list
每个端口、每个协议、每个反向上只能由一个访问控制列表

配置扩展IP访问控制列表
使用access-list
access-list access-list-number {permit|deny}
protocol source wildcard-mask destiantion wildcard-mask [operator] [operand]
operator操作由lt、gt、eq、neq、 小于 大于 等于 不等于
operand 是端口
应用到接口
ip access-group access-list-number {in|out}

第八章 无线局域网设备安装与调试
蓝牙
ISM频段 2.402-2.480GHZ
时分双工 TDD
同时支持电路交换个分组交换
1Mbit/s
异步信道速率:非对称连接 723.2kbit/s 57.6kbit/s 对称连接433kbit/s 全双工模式
同步信道速率:64kbit/s
信道间隔1Mhz
功率 0dBM 1mW 覆盖1-10m 20dBm 100mW 覆盖至100m
调频点 79/MHz ,k=0-78
调频速率 1600次/s
发送距离一般位1-10m 增加功率后可达百米

HiperLan
由HiperLan/1 和HiperLan/2
两者均采用5Ghz的射频频率,但上行速率不同,HiperLan/1上行速率可以到20Mbit/s HiperLan/2 与3G标准兼容 上行速率可到达54mbit/s
HiperLan/2 移动终端通过接入点AP接入固定网,而客户端和AP之间的空中接口由HiperLan/2协议来定义、
一个AP所覆盖的区域定义为一个小区,在室内一个小区的覆盖范围一般为30M,室外一般为150M
HiperLan/2采用先进的正交频率数字复用(OFDM),物理层传输速率最高达54mbit/s,第三层的传输速率最高可达25mbit/s
与其他无线网技术不同,在HiperLan/2网络中的数据传输是面向连接的

IEEE 802.11
定义了两种类型设备 :无线节点个无线接入点
无线接入点的作用是提供无线和有线网络之间的桥接
IEEE802.11物理层包括两个扩频技术和一个红外传播规范,无线传播的频道定义在2.4Ghz的ISM坡段内
802.11无线标准定义的传输速率是1mbit/s和2mbit/s 可以使用调频扩频 FHSS 和 直序扩频 DSSS技术
802.11 的MAC采用CSMA/CA 或者(DCF分布式协调功能 协议 ) CSMA/CA利用ACK信号来避免冲突的发生
802.11b 吞吐量5-7mbit/s 速率11mbit/s 33mbit/s 3信道*11 2.4GHZ ISM频段运行 有干扰
802.11a 吞吐量28-31mbit/s 速率54mbit/s 432mbit/s 8信道*54 在5GHz频段上 无干扰
802.11g 吞吐量28-31mbit/s(802.11g环境)10-12mit/s(802.11b混合) 速率 54mbit/s 2.4Ghz ISM频段 有干扰

IEEE 802.11b
有点对点模式和基本模式
点对点模式是无线网卡和无线网卡直接的通信模式 最多256PC
基本模式是IEEE802.11b最常用的方式 ,指无线网络规模扩充或无线和有线网络并存的通信方式 插上无线网卡的计算机与另一太计算机连接需要通过接入点 一个接入点最多可连接1024台PC(无线网卡)
支持百米为单位的范围,一般室外支持300m
IEEE802.B典型的组网方案有 对等方案 单接入点 多接入点 无线中继 无线冗余 和多蜂窝漫游

Cisco Aironet 1100
用于独立的无线网络的中心点或无线网络和有线网络之间的连接
兼容IEEE802.11b和IEEE802.11g工作在2.4G 使用IOS系统
第一次配置无线接入点,采用本地配置方式 无需将无线接入点连接到一个有线网络中 默认IP是10.0.0.1 并成为小型DHCP服务器
使用5类双绞线 连接PC机和无线接入点 不配置SSID或将SSID配置为tsunami
接入点可以为设备分配20多个10.0.0.X范围的IP地址

第9章 计算机网络环境及应用系统的安装与调试
DNS服务器
DNS服务器由解析器和域名服务器组成。域名服务器是指保存该网络中所有主机的域名和对应的IP地址,并具有将域名转换为IP地址功能的服务器。
它主要有两种形式:主服务器和转发服务器。一个域名可以对应多个IP地址,一个IP地址也可以对应多个域名。
DNS使用的TCP与UDP端口号都是53,主要使用UDP,服务器之间备份使用TCP。
DNS服务器按层次分为3种:一是根DNS服务器,在Internet上有13个根DNS服务器。
二是顶级域(Top Level Domain,TLD)服务器,这些服务器负责顶级域名(如com、edu、org等)和所有国家的
顶级域名(如cn、uk等)。三是权威DNS服务器,在Internet上具有公共可访问主机的每个组织结构必须提供公共可访问的DNS记录。
DNS服务器的主要参数
(1)正向查找区域。
将域名映射到IP地址的数据库,用于将域名解析为IP地址。在大部分的DNS查询请求中,客户端一般执行正向查找,即是在主机地址(A)资源记录中,根据主机的DNS域名查找其对应的IP地址。
(2)反向查找区域。
将IP地址映射到域名的数据库,用于将IP地址解析为域名。DNS服务器运行客户端使用已知的IP地址,查找计算机的域名。配置DNS服务器过程中,在将主机地址(A)资源记录手工添加到正向查找区域时,使用“创建相关的指针(PTR)记录”选项,可以将指针记录自动添加到反向查找区域中。
(3)资源记录。
区域中的一组结构化记录。常用的资源记录有3个:主机地址(A)资源记录,它将DNS域名映射到IP地址;别名(CNAME)资源记录,将别名映射到标准DNS域名;邮件交换器(MX)资源记录,为邮 件交换器主机提供邮件路由。
(4)转发器。
转发器也是一个DNS服务器,是本地DNS服务器,用于将外部DNS名称的DNS查询转发给该DNS服务器。
域名结构
通常 Internet 主机域名的一般结构为:主机名.三级域名.二级域名.顶级域名。顶级域名被分为如下3个部分。
●arpa是一个用作地址到名字转换的特殊域。
●7个3字符长的普通域,或者称之为组织域。
●所有2字符长的域均是基于ISO
3166定义的国家代码,这些域被称为国家域,或地理域。

DHCP概念及原理
1.DHCP的基本概念
动态主机配置协议(DHCP)是一个简化主机IP地址分配管理的协议。用户可以利用DHCP服务器管理动态的IP地址分配及其他相关的环境配置工作(如DNS、WINS、Gateway的设置)。
DHCP具备五项主要功能:支持动态地址分配、支持静态地址分配、租用地址、支持永久租用地址、恢复中止的租用地址。
2.DHCP的工作原理
(1)在客户端第一次登录网络时,获得IP地址的步骤。
①发出租用地址请求。当DHCP客户端第一次登录网络时,发现本机上没有IP地址,它就会向网络发出一个DHCP discover广播包。因为客户端还不知道自己属于哪一个网络,所以封包的源地址为0.0.0.0,目的地址则为255.255.255.255,然后再附上DHCP discover的信息,向网络进行广播。在DHCP discover将封包送出去之后,若一直得不到响应,客户端会以特定的时间间隔,重复一次DHCP discover的过程。
②提供IP地址。当DHCP服务器监听到客户端发出的DHCP discover广播后,它会从那些还没有租出的地址范围内,选择最前面的空置IP,连同其他TCP/IP 设定,响应给客户端一个DHCP
offer封包。由于客户端在开始的时候还没有IP 地址,所以在其 DHCP discover封包内会带有其MAC地址信息,并且有一个X ID 编号来辨别该封包,DHCP服务器响应的DHCP offer封包则会根据这些资料传递给要求租约的客户端。
③接受IP租约。如果客户端收到网络上多台DHCP服务器的响应,只会挑选其中一个DHCP offer(通常是最先抵达的那个),并且会向网络发送一个DHCP request广播封包,告诉所有DHCP服务器它将指定接受哪一台服务器提供的IP地址。同时,客户端还会向网络发送一个ARP封包,查询网络上面有没有其他机器使用该IP地址;如果发现该IP已经被占用,客户端则会送出一个DHCP decline封包给DHCP服务器,拒绝接受其DHCP offer,并重新发送DHCP discover信息。
④租约确认。当DHCP服务器接收到客户端的 DHCP request之后,会向客户端发出一个DHCP ACK响应,以确认IP租约的正式生效,也就结束了一个完整的DHCP工作过程。
(2)客户端第二次登录网络时,获得IP地址的步骤。
一旦DHCP客户端成功地从服务器那里取得DHCP租约之后,除非其租约已经失效并且IP地址也重新设定回0.0.0.0,否则就无须再发送DHCP discover信息了,客户端会直接使用已经租用到的IP地址向之前的DHCP服务器发出DHCP request信息,DHCP服务器会尽量让客户端使用原来的IP地址。如果没问题的话,直接响应 DHCP ACK确认则可。
如果该地址已经失效或已经被其他机器使用了,服务器则会响应一个DHCP NACK封包给客户端,要求其重新执行DHCP discover。
3服务器配置DHCP的主要参数和术语
(1)作用域。
作用域是网络上IP地址的完整连续范围。作用域通常定义为接受DHCP服务的网络上的单个物理子网。
(2)排除范围。
排除范围是指从DHCP作用域中排除出去的、有限的IP地址。使用排除范围,可以保证服务器不将这些范围内的地址分配给DHCP客户机。
(3)地址池。
在定义了作用域和排除范围后,剩余的、可用的地址就构成了“地址池”。服务器可将地址池内的IP地址动态分配给DHCP客户机。
(4)保留。
可使用“保留”创建DHCP服务器指派的永久地址租约,可以保留一些特定的IP地址供DHCP客户机永久使用,确保子网上指定的设备始终使用相同的IP地址。保留地址可以使用作用域地址范围内的任何一个IP地址,即使该IP地址处于排除范围之内。
(5)租约。
租约是由DHCP服务器指定的一段时间,在此时间内客户机可使用指派的IP地址。租约期满后,客户机需要向服务器更新指派给它的地址租约。租约期限决定了租约何时期满以及客户机需要向服务器对它进行更新的频率。
(6)选项。
选项是DHCP服务器在向DHCP客户机提供租约时可指派的其他客户机配置参数。例如,一些常用选项包含DNS服务器的IP地址、默认网关等。通常为每个作用域启用并配置这些选项类型。

WWW概念及原理
1.WWW的基本概念
WWW(World Wide Web),简称为“万维网”,是互联网上最流行的信息浏览检索工具。WWW分为Web客户端和Web服务器程序。WWW可以让Web客户端(常用浏览器)访问浏览Web服务器上的页面。WWW提供丰富的文本、图形、音频、视频等多媒体信息,并将这些内容集合在一起,使得用户可以方便地在各个页面之间进行浏览。由于WWW内容丰富,浏览方便,目前已经成为互联网最重要的服务。
2.WWW的工作流程
WWW采用客户机/服务器的工作模式,工作流程如下:
●Web浏览器向一个特定的Web服务器发出Web页面请求。
●Web服务器收到请求后,查找符合条件的Web页面,并将该页面信息回传给发送请求的Web浏览器。
●Web浏览器将接收到的Web页面展示给用户。
9.1.4E-mail概念及原理
1.E-mail的基本概念
E-mail(Electronic Mail)简称电子邮件。它是一种用电子手段进行信息交换的通信方式,也是互联网上最重要的网络应用之一。电子邮件的核心是邮件服务器。

E-mail工作过程如下:
●发送方使用客户端软件(如Outlook、Foxmail等)创建新的邮件。
●客户端软件使用SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)将该邮件发送到发送方的邮件服务器。
●发送方的邮件服务器使用SMTP协议将邮件发送到接收方的邮件服务器。
●接收方的邮件服务器将收到的电子邮件存储在接收方用户的邮箱中。
●接收方的客户端通过POP3/IMAP4协议,从邮件服务器对邮件进行读取。
2.Email的相关协议
电子邮件系统使用的协议主要有SMTP、POP3和IMAP。

其中,SMTP用于发送电子邮件,它默认TCP端口为25;POP(Post Office Protocol),即邮局协议,用于电子邮件的接收,它使用TCP的110端口。现在常用的是第三版,简称为POP3。用户可以使用POP3协议访问并读取邮件服务器上的邮件信息。

IMAP(Internet Message Access Protocol),即交互式数据消息访问协议。邮件客户端可以通过这种协议从邮件服务器上获取邮件信息、下载邮件等。IMAP协议运行在TCP/IP协议之上,默认使用的TUP端口为143,目前使用的是第四版,即IMAP4。它与POP3协议的主要区别是用户不必把所有的邮件全部下载,可以通过客户端直接对服务器上的邮件进行操作。邮件服务器安装后,可以使用telnet 192.168.0.35 25命令(假设邮件服务器地址是192.168.0.35)来测试SMTP服务是否正常工作,也可以通过端口110和143分别测试POP3和IMAP4服务。

3.Email服务器的主要参数
(1)用户。
使用者只有在邮件服务器上创建了用户之后,才可以通过客户端软件,使用创建的用户名、密码进行邮件收发等操作。
(2)组。
邮件组也是一个邮件地址,给一个邮件组发送邮件,就相当于给组内的所有成员发送邮件,即组内的所有成员都会收到该邮件。
(3)域。
通过邮件服务器软件可以创建多个虚拟邮件服务器,每个虚拟邮件服务器称作域(Domain)。通常情况下,一个邮件服务器只需要一个虚拟服务器。当一个服务器为多个域共享时就要创建多个虚拟服务器。对于用户而言,每个虚拟服务器就像一台独立的邮件服务器。

9.1.5FTP概念及原理
1.FTP的基本概念
FTP(File Transfer Protocol),即文件传送协议,它允许用户将本地计算机上的文件上传到服务器,或者允许用户从服务器上获得文件副本并将文件下载到本地计算机上。

2.FTP的工作原理
FTP使用“客户机/服务器”的工作方式,客户端需要在自己的计算机上安装FTP客户端软件。

在进行文件传送时,FTP客户机和服务器之间要建立两个连接:控制连接和数据连接。控制连接用于在客户端和服务器之间发送控制信息,例如用户名和口令、改变远程目录的命令、取来或放回文件的命令。当客户端向服务器发出连接(控制连接)请求时,服务器端的默认端口为21,同时将自己选择的端口告知服务器,用于建立数据连接,控制连接在整个会话期间一直打开,FTP客户端所发出的命令通过控制连接发给服务器端的控制进程,该进程用端口号20与客户提供的端口建立用于数据传送的TCP连接,数据传送完成后关闭该数据传送连接。
3.FTP服务器的主要参数
(1)命名用户。
在创建命名用户时,一般都要设置密码。用户在登录服务器上传、下载文件时,首先需要输入正确的用户名和密码。但是此类用户可以提供更多的访问权限。
(2)匿名用户。
在Serv-U FTP服务器中,对名为anonymous的用户自动识别为匿名用户,如果不设置密码且使用默认的端口号21,则网上的任何用户都可以使用该账户登录FTP服务器。但一般情况下,匿名用户只能下载文件。
(3)组。
为简化账户的权限管理,可以将大量的、具有相同访问权限的账户集中到一个组内。在Serv-U
FTP服务器中,可以在用户管理中创建用户组。对一个用户组赋予权限,就等同于给组内的每个账户赋予相同的权限。
(4)域。
在Serv-U FTP服务器中,可以创建多个虚拟服务器,每个虚拟的服务器也称作域,一个域是由IP地址和端口号唯一识别。

第10章 网络安全技术
1.信息安全威胁
信息在网络传输过程中,主要面临4类威胁,窃听、截获、篡改、伪造。
2.网络安全的基本要素

●机密性(Conf IDentiality):保证信息为授权者享用而不泄露给未经授权者。
●完整性(Integrity):只有得到允许的人才能修改数据,并能判断出数据是否已被篡改。

●可鉴别性(Authenticity):网络对用户、进程、系统和信息等实体进行身份鉴定。
●不可抵赖性(Nonrepudiation):数据的发送方和接收方都不能对数据传输的事实和传输的数据进行抵赖。
●可用性(Avalability):保证信息和信息系统随时为授权者提供服务,而不要出现被非授权者滥用却对授权者拒绝服务的情况。
3.网络攻击的种类:服务攻击、非服务攻击、非授权访问、网络病毒攻击。
4网络安全模型:动态网络安全过程的抽象描述。

(1)网络安全基本模型。
在图10-2所示的网络安全基本模型中,通信双方在网络上传输信息之前,需要在发送方和接收方之间建立网络传输的逻辑连接。信息安全传输包括两个方面。
① 发送方对发送的信息进行安全转换,如加密信息,以实现信息的保密。

② 发送方和接收方共享密钥等信息。这些信息可能仅有发送方和接收方知道,或者可信任的第三方知道。
为了实现信息的安全传输,通常需要一个可信任的第三方。第三方的作用是负责向通信双方分发秘密信息,并在双方发生争议时进行仲裁。
(2)P2DR模型。
P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型,也是动态安全模型的雏形。P2DR模型包括4个主要部分:Policy(策略)、Protection(防护)、Detection(检测)和 Response(响应)

数据备份技术
1.备份策略
数据备份策略决定了何时进行备份、如何进行备份以及出现故障时如何进行恢复。常用的备份策略有3种。
(1)完全备份。
完全备份(full backup)是指对用户指定的所有数据文件或整个系统进行全面备份,是一种常用的数据备份方式。

(2)增量备份。
与完全备份不同,增量备份(incremental
backup)只是备份那些自上次完全备份或增量备份后新创建的、被修改过的文件,即只备份所有发生变化的文件。

(3)差异备份。
差异备份(differential backup)与增量备份相似,只备份新创建的或修改过的数据。

空间使用上:完全备份最多,增量备份最少,差异备份少于完全备份。

备份速度上:完全备份最慢,增量备份最快,差异备份快于完全备份。

恢复速度上:完全备份最快,增量备份最慢,差异备份快于增量备份。
2.备份模式
(1)物理备份。
物理备份也被称为“基于块的备份”或“基于设备的备份”,是指将磁盘块上的数据直接复制到备份介质上的备份操作,在备份过程中忽略文件和结构。

物理备份的性能很好、速度很快,物理备份的主要缺点是:容易产生数据的不一致性,文件恢复速度慢且很复杂。
(2)逻辑备份。
逻辑备份也被称为“基于文件的备份”。基于文件的备份系统能够识别文件结构,并复制所有的文件和目录到备份介质上。基于文件的备份速度较慢。

3热备份与冷备份
(1)热备份。
热备份也称为在线备份,即同步备份数据,也就是系统或用户在对数据进行修改时也可进行备份。

(2)冷备份。
冷备份也称为离线备份,是指当执行备份操作时,服务器将不接受来自系统或用户的对数据的更新。

10.1.3防病毒技术
1.计算机病毒
(1)计算机病毒是指编制或者在计算机程序中插入的通过破坏计算机功能或者毁坏数据以达到影响计算机使用的目的,并能自我复制的一组计算机指令或者程序代码。

(2)计算机病毒的特征:① 非授权可执行性;② 传染性;③ 潜伏性;④ 破坏性;⑤ 隐蔽性;⑥ 可触发性。
(3)计算机病毒分类:
①按计算机病毒的破坏性可分为良性计算机病毒和恶性计算机病毒。
②按计算机病毒的寄生方式可分为引导型病毒、文件型病毒和混合型病毒。
2.网络病毒
网络病毒是指在网络上传播,并对网络系统进行破坏的病毒。其主要特征有:①播方式多样,传播速度更快,覆盖面更广;②破坏性极强;③编写方式多和网络病毒变种多;④难以控制和根治;⑤网络病毒目的性和针对性更强;⑥智能化,隐蔽化;⑦易出现混合病毒,该类型的病毒兼有病毒、蠕虫和黑客程序的功能,具有极强的破坏性。
3.恶意代码
恶意代码是一种程序,它通常是在不被察觉的情况下把代码寄宿到另一段程序中,进而通过运行有入侵性或破坏性的程序,来达到破坏被感染计算机和网络系统的目的。
(1)木马。
木马程序是目前比较流行的病毒文件,它不会自我繁殖并不具有自我复制的功能,即它并不“刻意”去感染其他文件,而是通过将自身伪装,吸引用户下载执行,向施种木马者提供打开被种木马者计算机的门户,使施种者可以任意毁坏、窃取被种者的文件,盗用用户信息,并通过网络发送给黑客,甚至远程操控被种者的计算机。
木马的传播途径有如下3种:
① 通过会话软件;
② 软件下载;
③ 通过电子邮件。
(2)蠕虫。
蠕虫是一段可以通过网络进行自我传播的破坏性程序或代码,其不需要用户的干预来触发执行。其通常利用系统漏洞进行传播,因而其可以直接获得对方系统的控制权而自动执行蠕虫代码或程序。
(3)后门。
后门是一个允许攻击者绕过系统中常规安全控制机制的程序,它按照攻击者自己的意图提供通道。后门的重点在于为攻击者提供进入目标计算机的通道。
(4)逻辑炸弹。
计算机中的“逻辑炸弹”是指在特定逻辑条件满足时,当实施破坏的计算机程序触发后会造成计算机数据丢失、计算机不能从硬盘或者软盘引导,甚至会使整个系统瘫痪,并出现物理损坏的虚假现象。

10.1.4防火墙技术
1.防火墙概述
防火墙指的是一个由软件和硬件设备组合而成的,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性的形象说法。
防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

2.防火墙基本功能
(1)检查所有从外部网络进入内部网络和从内部网络流出到外部网络的数据包。
(2)执行安全策略,限制所有不符合安全策略要求的数据包通过。
(3)具有防攻击能力,保证自身的安全性。
3.防火墙分类
根据防火墙采用的技术,可将防火墙分为包过滤(packet filtering)路由器、应用级网关、应用代理和状态检测等。
①包过滤路由器:在OSI网络参考模型的网络层和传输层,根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许数据包通过.

②应用级网关:在应用层上实现对用户身份的认证和访问操作分类检查及过滤,这些功能由应用级网关完成。③应用代理:隔离了用户主机与被访问服务器之间的数据包的交换通道。
4.防火墙体系结构
防火墙的经典体系结构主要有4种形式:包过滤路由结构、双宿主主机结构、屏蔽主机体系结构和屏蔽子网体系结构。
(1)包过滤路由器结构:是最简单的防火墙结构,便于管理,造价低。

(2)双宿主主机结构:是指以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络与内部网络的任务。

(3)屏蔽主机体系结构:是指由一个单独的包过滤路由器和内部网络上的堡垒主机共同构成防火墙,并通过数据包过滤实现内部、外部网络的隔离和对内网的保护。
(4)屏蔽子网体系结构:采用两个过滤路由器和两个堡垒主机来组成防火墙系统。

10.1.5加密技术
1.加密与解密

所谓加密就是利用密码学的方法对信息进行伪装,使得未授权者不能识别和理解其真正的含义,也不能伪造、篡改和破坏数据。

解密需在解密密钥的控制下进行,用于解密的一组数学变换称为解密算法。

(1)加密解密的基本流程。
(2)密钥。

密钥可以作为加密算法中的可变参数,它的改变可以改变明文和密文之间的函数对应关系。

密钥长度为N,则密钥组合数为2N个,所以密钥越长,使用穷举法破解需要尝试的密钥就越多、破解时间就越长,保密性越好。但是,密钥越长,加密和解密过程所需要的计算时间也将越长。加密的目标是要使破译密钥所需要的“花费”比该密钥所保护的信息价值还要大。
根据加密解密算法、密钥和工作方式的不同,将加密技术分为两大类:对称密钥技术、非对称密钥技术。
2.对称密钥技术
(2)常用加密算法。
对称密钥加密算法可分为两类:一类为序列算法(stream
algorithm),一次只对单个位(bit)或字节(byte)进行加密或解密运算;另一类为分组算法(block
algorithm),一次对一组固定长度(如64位)的字节进行加密或解密运算。
常见的对称密钥加密算法有如下几种。
①数据加密标准(Data Encryption Standard,DES)算法。

②国际数据加密(International Data Encryption Algorithm,IDEA)算法。

③其他,如RC2算法、RC4算法、Skipjack算法等。
3.非对称密钥技术
(1)工作原理如图10-10所示。

(2)常用加密算法包括:RSA算法、DSA算法、ECC椭圆曲线算法、PKCS算法与PGP算法等。
入侵检测系统

(1)入侵检测系统(Intrusion
Detection System,IDS)是对计算机和网络资源的恶意使用行为进行识别的系统。它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部用户的非授权行为,并采用相应的防护手段。
(2)入侵检测系统的功能。

●监视、分析用户和系统的行为。
●审计系统配置和漏洞。
●评估敏感系统和数据的完整性。
●对异常行为进行统计分析,识别攻击行为,并向网络管理人员报警。
●对操作系统进行审计、跟踪管理,识别违反授权的用户活动。
(3)入侵检测系统的结构:可分为4个组件,分别为事件发生器、事件分析器、响应单元和事件数据库。
(4)入侵检测系统的分类:根据数据来源和系统结构的不同,入侵检测系统可以分为基于主机的入侵检测系统和基于网络的入侵检测系统。
(6)分布式入侵检测系统:由分布在网络上的不同地理位置的检测部件组成,并分别进行数据采集和数据分析,通过中心控制系统来对数据进行汇总、分析以及产生入侵报警信号。

2.入侵防护系统
(1)入侵防护系统(Intrusion Prevention System,IPS),是将防火墙技术和入侵检测技术进行整合并采用Inline的工作模式的系统,该系统倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。
(2)入侵防护系统主要包括嗅探器、日志系统、检测分析组件、状态开关、策略执行组件和控制台6个部分。
(3)入侵防护系统主要分为基于主机的入侵防护系统、基于网络的入侵防护系统和应用入侵防护系统。
3.网络安全评估

(1)网络安全风险评估分析技术。
网络安全评估分析就是对网络进行安全检查,发现其中有没有可以被黑客利用的漏洞,对系统的安全状况进行评估、分析,对发现的问题提出解决的建议,从而提高网络系统安全性能的过程。

①基于应用的技术采用被动的、非破坏性的办法检测应用软件包的设置,发现安全漏洞。
②基于网络的技术采用积极的、非破坏性的办法来检验系统是否有可能被攻击。

(2)网络安全评估分析系统的结构。
在大型网络中,评估分析系统通常采用代理和控制台相结合的结构。这种结构适用于异构网络,容易检测不同的平台,不同的威胁环境,评估标准也可以不同。检测完成后一旦发现了漏洞,系统可有多种反应机制。报表机制可以生成综合的报表,列出所有的漏洞,有的系统还可以关闭这些漏洞。评估分析系统还融合了许多管理功能。通过一系列的报表可让系统管理员对这些结果做进一步的分析。
网络安全评估是提高网络系统安全强度的一种服务。网络安全评估包括漏洞检测、修复建议和整体建议等几个方面。

数据备份设备与软件的安装和配置
常用备份设备有:廉价冗余磁盘阵列(RAID)、磁带机(Tape Drive)、磁带、光盘库、光盘网络镜像服务器。Windows 2003备份程序支持的五种备份方式

①正常备份:将复制所有选中的文件,并且备份后标记每个文件。

②增量备份:只备份上次正常备份或增量备份后创建或改变的文件。
③差异备份:执行了正常备份和差异备份的组合,还原文件只要求执行上一次正常备份和最近一次的差异备份。
④每日备份:复制执行每日备份的当天所修改的所有选中的文件。已备份文件在备份后不做标记。
⑤副本备份:复制所有选中的文件,但不将这些文件标记为已经备份(即不清除存档属性)。

10.2.2实训环节2:网络版防病毒软件的安装与配置
1.网络版防病毒系统结构
网络版防病毒软件采用分布式的体系结构,整个防病毒体系是由4个相互关联的子系统组成:系统中心、服务器端、客户端、管理控制台。系统中心是网络防病毒系统的信息管理和病毒防护的自动控制核心。

2.网络版防病毒系统安装
网络版防病毒系统安装包括系统中心的安装、服务器端安装、客户端安装和管理控制台安装。

(1)系统中心的安装步骤。
①确认最终用户许可协议。
②选择需要安装的组件。
③输入软件产品的序列号。
④网络参数设置。
⑤选择安装的目标文件夹。
⑥设置提供客户端下载补丁包的共享目录和共享名称。
⑦输入系统管理员密码和客户端保护密码。
(2)服务器端和客户端的安装。

①本地安装:即直接利用安装程序在本地完成安装的方法。无论是客户端和服务器端都可以采用本地安装方式安装。
②远程安装:通过管理员控制台,可以给指定的系统客户端执行远程安装的操作。
③Web安装:可以将防病毒系统的安装包发布到企业的内部网(Intranet)中,客户端用户可通过浏览指定位置的网页来实现网络版的安装。
④脚本安装:很多网络版防病毒系统能够自动识别域服务器,并为域服务器配置登录脚本。

(3)控制台安装。
控制台的安装有通过光盘安装和远程安装两种方式,无论采用何种方式系统管理员都可以将管理控制台安装在其他计算机上。
3.网络版防病毒系统的主要参数配置
(1)扫描设置。

(2)系统升级设置。
(3)黑白名单设置。

10.2.3实训环节3:防火墙安装与配置
1.硬件防火墙的网络接口
(1)外部网络区域。
外部网络区域是指企业外部网络,也称为外网,如Internet、第三方网络等,是互联网络中不被信任的区域。

(2)内部网络区域。
内部网络是指企业内部网络,或者企业内部网络的一部分,也称为内网。它是互联网络中的信任区域,应受到防火墙的保护。

(3)非军事化区(DMZ)。
DMZ(Demilitarized Zone,也称停火区)是一个隔离的网络,或几个网络。

2.硬件防火墙的安装与配置

本节以Cisco PIX 525为例,说明硬件防火墙的配置过程。
(1)连接防火墙。
在防火墙加电启动后,将防火墙的Console口连接到计算机的串口上,在计算机上运行Windows系统的超级终端HyperTerminal程序,从Console口进入防火墙系统。
(2)PIX 525防火墙访问管理模式。
PIX防火墙提供如下4种管理访问模式。
①非特权模式。
PIX防火墙开机自检后,就是处于这种模式。系统显示为“pixfirewall>”。
②特权模式。
输入“enable”进入特权模式,可以改变当前配置。显示为“pixfirewall#”。
③配置模式。
输入“configure terminal”进入此模式,绝大部分的系统配置都在这里进行。显示为“pixfirewall(config)#”。
④监视模式。
在PIX防火墙在开机或重启过程中,按住Escape键或发送一个“Break”字符,即可进入监视模式,这里可以更新操作系统映象和进行口令恢复。显示为“monitor>”。
(3)PIX 525防火墙的基本配置。
PIX防火墙有6个基本配置命令:nameif、interface、ip address、nat、global、route。
①nameif:用于配置防火墙接口的名字,并指定安全级别。
配置示例:
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
若添加新的接口,语句可以这样写: Pix525(config)#nameif
pix/intf3security40 (安全级别值任取)。

在默认配置中,以太网0端口被命名为外部接口(outside),安全级别是0;以太网1端口被命名为内部接口(inside),安全级别是100。安全级别取值范围为1~99,数字越大安全级别越高。
②interface:配置以太网接口工作状态,常用的状态有auto、100full、shutdown等。
Pix525(config)#interface ethernet0 auto
Pix525(config)#interface ethernet1 100full
③ip address:配置内外网卡的IP地址。
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
上述命令表示,PIX 525防火墙在外网的IP地址是61.144.51.42,内网的IP地址是192.168.0.1。
④nat:指定要进行转换的内部地址。
NAT网络地址翻译的作用是将内网的私有IP转换为外网的公有IP。nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,而访问外网时需要利用global所指定的地址池。
nat命令的配置语法:nat (if_name) nat_ id local_ip [netmark]。
其中,if_name表示内网接口名字,例如inside。nat_ id用来标识全局地址池,使它与其相应的global命令相匹配。local_ip表示内网被分配的IP地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网IP地址的子网掩码。

例:Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0 ,表示只有172.16.5.0这个网段内的主机可以访问外网。
⑤global:指定外部地址范围。
global命令可把内网的IP地址翻译成外网的IP地址或一段地址范围。
global命令的配置语法:global (if_name) nat_id ip_addressip_address [netmark global_mask]。其中,if_name表示外网接口名字,例如outside。nat_ id用来标识全局地址池,与其相应的nat命令相匹配,ip_addressip_address表示翻译后的单个IP地址或一段IP地址范围。[netmark global_mask]表示全局IP地址的网络掩码。
例:设置外部地址池为61.144.51.42至61.144.51.48。

⑥route:设置指向内网和外网的静态路由,route命令可以定义一条静态路由。
route命令配置语法:route (if_name) 0 0 gateway_ip [metric]。
其中if_name表示接口名字,例如inside、outside。gateway_ip表示网关路由器的IP地址。[metric]表示到gateway_ip的跳数,通常默认是1。

例:配置一条到网络10.1.1.0的静态路由,静态路由的下一条路由器IP地址是172.16.0.1。
Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.0 1。

(4)PIX 525防火墙高级配置。
①static:配置静态IP地址翻译,static命令用于创建内部IP地址和外部IP地址之间的静态映射。
static命令配置语法:static (internal_if_name,external_if_name)
outside_ip_address inside_ ip_address。
其中,internal_if_name表示内部网络接口,安全级别较高,如inside。external_if_name为外部网络接口,安全级别较低,如outside等。outside_ip_address为正在访问的较低安全级别的接口上的IP地址。inside_ip_address为内部网络的本地IP地址。
例:Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8。
上述配置实例表示,IP地址为192.168.0.8的主机通过PIX防火墙建立的每个会话,都会被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部IP地址192.168.0.8和外部IP地址61.144.51.62之间的静态映射。
②conduit:管道命令。
conduit命令配置语法: conduit permit | deny global_ip port[port] protocol foreign_ip [netmask]。
其中, permit | deny 表示允许或拒绝访问;global_ip指的是先前由global或static命令定义的全局IP地址,如果global_ip为0,就用any代替;如果global_ip是一台主机,就用host命令参数。

例:配置允许任何外部主机对全局地址192.168.0.8的这台主机进行HTTP访问。
Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any。
③fixup:配置FIXUP协议。
fixup命令的作用是启用、禁止、改变一个服务或协议通过PIX防火墙的端口,由fixup命令指定的端口是PIX防火墙要侦听的服务。
例1:启用FTP协议,并指定FTP的端口号为21。
Pix525(config)#fixup protocol ftp 21

④telnet。
telnet配置语法:telnet local_ip [netmask]。
其中,local_ip 表示被授权通过telnet访问到PIX的IP地址。如果不设此项,PIX的配置方式只能由Console进行

10.2.4实训环节4:网络入侵检测系统的部署
1.网络入侵检测系统的组成结构
(1)探测器:主要功能是捕获网络数据包,对其进行分析,发现可疑事件时向控制台发送报警信息。
(2)控制台:可通过控制台提供的图形界面来进行数据查询、查看报警及配置传感器等操作。

2.网络入侵检测系统的常用部署方法
(1)网络入侵检测系统探测器的部署方法。
①将探测器直接连接到交换机的某个端口(监控端口)上,然后通过交换机mirror/span功能,将流经交换机所有其他端口的数据包全部复制到监控端口,入侵检测探测器从监控端口即可获取所有流经交换机的数据包并进行分析处理。
②入侵检测探测器通过一个TAP(分路器)设备对交换式网络中的数据包进行获取、分析、处理。

③在网络中增加一台集线器改变网络拓扑结构,通过集线器获取数据包。

(2)入侵检测系统与防火墙联合部署。
① 入侵检测系统部署在防火墙之内。
② 入侵检测系统部署在防火墙之外。
③ 防火墙内外都部署入侵检测系统探测器。

④将入侵检测系统探测器部署在其他位置。

第11章 网络管理技术
网络管理概念
网络管理是指对网络的运行状态进行检测和控制,以提供有效、可靠、安全、经济的网络服务。网络管理应完成两个任务,一是对网络的运行状态进行监测,二是对网络的运行状态进行控制。网络管理的主要目的是使网络中的各种资源得到更加有效的利用,保证网络的正常运行。
2.网络管理系统组成
网络管理系统一般由管理进程(Manager)、被管对象(Managed Object,MO)、代理进程(Agent)、管理信息库(Management Information Base,MIB)和网络管理协议五部分组成。
(1)管理进程(管理站):网络管理进程负责向管理代理发出管理操作的指令,并接收来自管理代理的信息。

(2)被管对象:通常将主机、网络互连设备等所有被管理的网络设备称为被管对象。

(3)代理进程:管理代理把来自网络管理站的命令或信息请求转换为本设备特有的指令,完成网络管理站的指示,或返回它所在设备的信息。

(4)网络管理协议。
网络管理协议是用于传输管理信息的一种传输协议,目前最有影响的网络管理协议是SNMP和CMIS/CMDP。
(5)管理信息库:是一个信息存储库,是对于通过网络管理协议可以访问的信息的精确定义,所有相关的被管对象的网络信息都放在MIB上。

目前,网络管理模型主要有OSI管理模型和SNMP管理模型。其中,SNMP管理模型的核心是简单网络管理协议;OSI管理模型的核心是公共管理信息协议(CMIP)。
3.网络管理功能
(1)配置管理。
主要任务包括配置设备的地理位置、名称和有关细节,记录并维护设备参数表;用适当的软件设置参数值并配置设备功能;初始化、启动和关闭网络及其相应设备;维护、增加和更新网络设备以及调整网络设备之间的关系。
(2)故障管理。

主要任务是及时发现和排除网络故障,其目的是保证网络能够提供连续、可靠、优质的服务。

(3)性能管理。

目的是维护网络服务质量(QoS)和网络运行效率,主要是测量和监控网络运行的状态。

(4)计费管理。

目的是测量和收集各种网络资源的使用情况,同时,还要进行网络资源利用率的统计和网络的成本效益核算。

(5)安全管理。
目的是提供信息的隐私、认证和完整性保护机制,使网络中的服务、数据以及系统免受入侵者的侵扰和破坏。

11.1.2网络管理模型
1.OSI管理模型
OSI管理模型由ISO公布,它指定系统管理模型作为一个管理进程的基本框架。在OSI管理模型中,网络管理站负责执行用户请求的特定管理功能,代理代表被管对象提供的服务,两者通过CMIP协议相互交换管理信息。

在OSI管理模型中,每一层都定义有相应的管理功能,它们由层管理实体(LME)来完成。系统管理应用进程(SMAP)通过系统管理接口(SMI)与管理信息库(MIB)和各层的管理系统相联系。
(1)SNMP基本概念。
SNMP是目前最常用的网络管理协议,由一系列协议组和规范组成,提供了一种从网络上的设备中收集网络管理信息的方法,SNMP是Internet组织用来管理TCP/IP互联网和以太网的网络管理协议。SNMP的体系结构包括SNMP管理站、SNMP代理、管理信息库,其管理模型为管理站/代理模式。

SNMP协议有3个版本:SNMP v1、SNMP v2、SNMP v3。
(2)SNMP管理站和管理代理。
SNMP采用分布式结构,一个管理站可以管理、控制多个代理,一个代理也可以被多个管理站所管理、控制。SNMP定义了管理进程和代理进程之间的关系,这个关系称为团体(community)。
(3)SNMP管理信息库MIB-2。
MIB经常被当作被管理对象的虚拟的数据库。它有两个版本:MIB-1和MIB-2。其中,MIB-2定义了系统组(system)、接口组(Interface)、地址转换组、IP组、ICMP组、TCP组、UDP组、EGP组、传输组(transmission)和SNMP等10个功能组。目前,SNMP使用的是MIB-2。
(4) SNMP支持的操作。
SNMP支持的操作主要有:获取(Get)、设置(Set)、通知(Notification),每种操作都有相应的PDU格式。
3.CMIP管理模型
CMIP(Common Management Information Protocol,通用管理信息协议)是国际标准化组织(ISO)在OSI通信模型基础上提出的网络管理协议。CMIP和通用管理信息服务(CMIS)配合使用,支持网络管理应用程序和管理代理之间的信息交换服务。CMIS定义了一个网络管理信息系统。CMIP提供的一个接口支持ISO和用户定义管理协议。
CMIP是在SNMP基础上设计的,对SNMP的缺陷进行了改进,是一种更加复杂、更加详细的网络管理协议。CMIP同样使用PDU变量对网络进行监控,但是相对于SNMP只具有5种PDU,CMIP进行了扩充,一共包括11种PDU。
CMIP采用面向对象技术组织所有的管理信息。每个被管理的设备都看作是一个对象,每个被管理的对象又包含若干硬件、软件元素。
CMIP还规定了管理站和代理之间的通信机制。通信方式主要有两种:轮询(polling)和事件报告。
4.SNMP模型和CMIP模型比较
(1)SNMP的特点。

①应用十分广泛,几乎所有的网络设备都支持SNMP。
②设计简单,既不需要复杂的实现过程,也不会占用太多的网络资源,易于在各种网络中实现。
③操作原语简洁。
④性能高,SNMP建立在无连接传输协议(UDP)的基础上,对网络性能影响小。
⑤可扩展性好,应用协议本身很简单,易于扩展和升级。
SNMP的缺点是非面向对象,无法处理各种细节信息以及不支持分布式管理等。
(2)CMIP的特点。
①每个变量不仅可以传递信息,而且还可以完成一定的网络管理任务,这样可以减少网络负载和网络管理者的工作负担。
②CMIP安全性高,它内置了安全管理设备,支持验证、访问控制和安全日志等安全防范措施。
CMIP的主要缺点是占用资源多、MIB过于复杂、可移植性差和产品价格高等。
(3)SNMP与CMIP的不同点。

● 在适用范围方面,SNMP适用于小型网络系统,如企业内部网络管理;CMIP适用于大型网络系统,如电信网络管理。
● 在传输要求方面,SNMP基于无连接的UDP协议,CMIP使用面向连接的传输协议。
● 在信息组织方面,SNMP采用简单变量表示管理对象,CMIP采用面向对象的信息建模方式。
● 在信息获取方面,SNMP主要采用轮询方式主动获取信息,CMIP主要采用报告方式被动获取信息。

11.1.3互联网控制报文协议ICMP
1.ICMP的基本概念
ICMP是Internet Control Message Protocol的缩写,即Internet控制报文协议。它是TCP/IP协议族的一个子协议,属于网络层协议,用于在IP主机、路由器之间传递控制消息和差错报告。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
在网络中经常会使用到ICMP协议,比如经常使用的用于检查网络通不通的Ping命令(Linux和Windows中均有),“Ping”的过程实际上就是ICMP协议工作的过程。还有其他网络命令,如跟踪路由的“Tracert”命令也是基于ICMP协议的。
ICMP消息被封装在IP数据包内,通过IP包传送的ICMP信息主要是涉及错误操作的报告和回送给源节点的关于IP数据包处理情况的消息。

2.ICMP的主要功能
(1)通告网络错误。当数据包在传输过程中,如果出现网络不可达(网络出现故障)、主机不可达(IP地址错误)、协议不可达(目的节点不支持数据包中指定的高层协议)、端口不可达(数据包指定的目的端口在目的节点无效)等错误,相关路由器或主机上的ICMP会向源节点发送一个“目标不可达(destination unreachable)”的ICMP报文。
(2)通告网络拥塞。当路由器或目标主机因缓存满来不及处理而丢弃IP数据包时,它会向发送数据包的源节点发出一个“源抑制”的ICMP报文。源节点收到这个报文后会降低发送速度。
(3)协助查找网络故障。ICMP支持Echo(回送)功能,在两个主机之间发送一个往返的数据包

(4)通告超时。每个IP数据包的包头部分有一个8比特的“生存期”(TTL)字段,取值范围是0~255。IP数据包在传输过程中,每经过一个路由器,该字段的值便减1。
(5)路由重定向。当一台主机向自己的默认网关路由器发送一个需要转发的数据包时,如果路由器查找路由表发现有更好的路由,就会向源主机发出“重定向”的ICMP报文。
(6)检查IP协议的错误。当路由器或其他主机收到一个IP包,发现它的包头中字段的值不正确,就会向源主机发送“参数错误”的ICMP报文。
(7)测量指定路径上的通信延迟。ICMP时间戳消息的使用方法与Echo消息非常相似。不同的是,其“请求”、“响应”消息均带有时间戳。
(8)获取子网掩码。一台主机可以发出一个包含“掩码请求”报文的广播包,默认网关路由器上的ICMP会向源主机发出一个“掩码应答”报文,把子网掩码通知它。
11.1.4Windows 2003网络管理
1.网络管理命令

①ipconfig命令:显示TCP/IP网络配置信息。
格式:ipconfig [/? | /all | /release [adapter] |
/renew [adapter]|
/flushdns |
/registerdns|/showclassid
adapter|/setclassid
adapter [
classidtoset]]
②hostname命令:显示当前主机名。
格式:hostname
③ARP命令:显示、删除、修改ARP条目信息。
格式:ARP-s inet_addr eth_addr [ if_addr]
ARP-d inet_addr [ if_addr]
ARP-a [ inet_addr][ -N if_addr]
常用参数说明如下。
●-s:添加一个ARP表项,将其IP地址(inet_addr)与MAC地址(eth_addr)关联。
●-d:删除inet_addr指定的ARP表项。
●-a:显示当前的ARP表项。
④NBTSTAT命令:显示本机与远程计算机基于TCP/IP的NetBIOS统计以及连接信息。
格式:NBTSTAT [[-a RemoteName][-A IP address][-c][-n]
[-r][-R][ -RR][-s][-S][ interval]]
常用参数说明如下。
●-a:列出指定名称的远程计算机的名称表。
●-A:列出指定IP地址的远程计算机的名称表。
●-c:列出远程NetBIOS名称缓存及其对应IP地址。
●-n:列出本地NetBIOS名称。
●-r:列出通过广播和WINS解析的名称。
●-S:列出会话及其目的IP地址。
⑤ NET命令:管理网络环境、服务、用户、登录等本地信息。
格式: NET [ACCOUNTS丨COMPUTER 丨 CONFIG 丨 CONTINUE丨FILE 丨 GROUP丨HELP 丨 HELPMSG丨LOCALGROUP 丨 NAME 丨 PAUSE 丨 PRINT 丨 SEND丨SESSION丨SHARE 丨 START 丨 STATISTICS 丨 STOP 丨 TIME 丨 USE 丨 USER 丨 VIEW ]
子命令说明如下。
●NET VIEW:显示域列表、计算机列表或指定计算机上共享资源的列表。
●NET USER:显示、创建或修改计算机上的用户账户。
●NET USE:显示、建立或取消计算机与共享资源的连接。
●NET START:显示或启动正在运行的服务。
●NET PAUSE:挂起一个Windows服务或资源。
●NET CONTINUE:重新激活一个被NET PAUSE命令挂起的Windows服务。
●NET STOP :终止 Windows 服务。
●NET STATISTICS:显示本地工作站或服务器服务的统计日志。
●NET SHARE:显示、建立或取消共享资源。
●NET SESSION:显示或中断本地服务器与其他计算机之间的会话。
●NET CONFIG:显示工作站或服务器服务的配置信息。
⑥NETSTAT命令:显示活动的TCP连接、侦听的端口、以太网统计信息、IP路由表和IP统计信息。
格式:NETSTAT [-a][-e][-n][-s][-p proto][-r][interval]
常用参数说明如下。
●-a:显示所有连接和侦听端口。
●-e:显示以太网统计信息。
●-P:显示指定协议的连接。
●-r:显示路由表内容。
●-s:显示协议统计信息。
⑦ping命令:通过发送ICMP报文,监听回应报文,从而检查与远程或本地计算机的连接。默认发送4个ICMP报文,每个报文包含64字节数据。
格式:ping [-t][-a][ -n count][ -Isize][ -f][ -i TTL][-v TOS]
[-r count][-s count][[-j host-list] | [-k
host-list]]
[-w timeout] destination-list
常用参数说明如下。
●-t:检査与指定计算机的连接,直至用户中断本次操作。
●-a:将IP地址解析为主机名。
●-n count:按照count指定的数量发送报文。
●-lsize:按照size指定的长度发送报文。
●-f:在报文中发送“不分段”标志,以保证数据包不被路由器分段。
●-w timeout:按照timeout给出的毫秒数设定等待应答的时间。
⑧tracert命令:通过发送包含不同TTL的ICMP报文并监听回应报文,来检测到达目的计算机的路径。
格式:tracert [-d][-h
maximum_hops][ -j host-list][-w timeout] target_name
常用参数说明如下。
●-d:不将IP地址解析为主机名。
●-h maximum_hops:指定最大跳数。
●-j host-list:按照host-list给出的主机列表指出的稀疏源路由来探测。
●-w timeout:按照timeout给出的毫秒数设定等待应答的时间。
⑨pathping命令:结合了ping和tracert命令的功能,将报文发送到所经过的所有路由器,并根据每条返回的报文进行统计。
格式:pathping [-n][-h maximum_hops][-g host-list][-p period]
[-q num_queries][-w timeout][-t][-R][-r] target_name
常用参数说明如下。
●-p period:指定两次ping之间的时间间隔。
●-q num_queries:指定对每跳的查询次数。
●-R:查看每跳是否支持RSVP协议。
⑩route命令:显示或修改本地IP路由表条目信息。
格式:route [-f][-p][command [destination][MASK
netmask][gateway]
[METRIC metric][IF interface]
常用参数说明如下。
●-f:清除路由表中所有的网关条目。如果与command指定的命令结合使用,路由表会在 先行命令之前被清除。
●-p:与add命令一起使用时,将使增加的路由表项永久有效,即使重新启动系统。
●command:指定下列任一个命令。
print:打印路由。
add:增加路由表项。
delete:删除路由表项。
change:修改路由表项。
●gateway: 指定网关的IP地址。
●METRIC:指定路由所需跳数。
2.管理工具

(1)用户管理。
域用户信息存储在域控制器的活动目录中,用户登录后可以根据权限访问整个域的资源。
(2)性能管理。
性能管理包括系统监视器、性能日志和警报两个功能。
(3)远程访问管理。

系统将本地主机作为路由和远程访问服务器。

11.1.5常见网络故障及其处理
1.常见的网络故障
网络故障可分为硬件故障和软件故障两种。其中,硬件故障主要包括网络设备(如路由器、交换机等)故障、主机(如服务器、工作站等)故障、通信线路(如光纤、双绞线等)故障和基础设施故障(如电源故障)等;软件故障主要包括网络操作系统故障、网络通信软件故障、网络应用软件故障和网络管理软件故障。
(1)网络设备故障。
网络设备故障的原因主要包括组成部件(如主控板等)故障、接口故障、配置不当、系统性能不足等。
(2)主机故障。
主机故障的原因常常包括组成部件(如主板、内存、硬盘、网卡和电源等)故障、内部线缆连接故障、配置失当、系统资源性能不足等。
(3)通信线路故障。
常见的通信线路故障包括线缆断开、信号衰减和干扰、接头松动、线缆长度过长(超过了其正常通信的最大长度)、线序错误、线缆短接、业务模板等。
(4)网络拥塞与拒绝服务。
网络拥塞是指部分或整个网络系统的性能严重低下,导致网络的传输速度缓慢。拒绝服务是指网络无法提供正常的服务。
网络拥塞和拒绝服务的主要原因是网络滥用和病毒攻击,如P2P滥用、计算机病毒、网络入侵与攻击等,应当引起人们的重视。
(5)软件系统故障。
常见的软件系统故障包括通信协议失配、操作系统版本失配、网络设备参数配置不合理、防火墙和入侵检测防御策略配置不合理、网管软件使用不当等。
2.网络故障检测与处理方法
当网络出现故障时,应尽快采取措施修复故障,恢复网络正常运行。常用的故障检测与处理步骤如下。
(1)故障排序。
当多个网络故障同时发生时,根据故障对网络系统和企业业务的影响程度,将故障进行优先级从高到低排序,首先解决影响面大、危害程度大的故障。
(2)信息收集。
为准确定位故障、分析故障原因,必须收集故障相关信息,包括故障现象描述、设备运行日志、用户报告、网络管理系统提供的数据等。
(3)原因分析。
根据收集的各方面信息,结合以往故障修复经验,综合进行分析,对故障进行定位,并初步确定可能产生故障的原因,将可能的故障点、可能的故障原因按可能性从大到小进行排序。
(4)故障诊断。
根据初步确定故障点、故障原因列表,按照顺序逐个进行测试,分析、确定真正的故障点和故障原因。
网络故障诊断过程中,常用替代法,即将可能造成故障的设备、部件用一个完好的、能够正常运行的设备、部件进行替代,或者将可能造成故障的设备、部件加入到正常运行的网络环境中,从而确定故障。
在故障诊断过程中,如果需要调整网络设备配置,一定要先对原配置进行备份,以便恢复。
(5)故障排除。
确定故障原因后,及时排除故障,并恢复相关配置。
(6)记录并总结。
故障排除后,应详细记录故障现象、产生原因、解决办法等信息,认真总结经验,为日后优化网络配置、解决网络故障积累经验。

11.1.6漏洞扫描
漏洞是指在计算机硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,使攻击者能够在未授权的情况下访问或破坏系统。

1.漏洞扫描技术
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,从而发现可利用的漏洞的一种安全检测(渗透攻击)技术。

漏洞扫描工具可完成的功能有:扫描、生成报告、分析并提出建议以及数据管理等。 。

漏洞扫描可以划分为ping扫描、端口扫描、OS探测、脆弱点探测、防火墙扫描五种主要技术,每种技术实现的目标和运用的原理各不相同。

按照TCP/IP协议族的结构,ping扫描工作在互联网络层;端口扫描、防火墙探测工作在传输层;OS探测、脆弱点探测工作在互联网络层、传输层、应用层。

ping扫描确定目标主机的IP地址,端口扫描探测目标主机所开放的端口,然后基于端口扫描的结果,进行OS探测和脆弱点扫描
2漏洞库CVE
CVE (Common Vulnerabilities & Exposures,公共漏洞和暴露)是个行业标准,它为每个漏洞和暴露确定了唯一的名称和标准化描述,可以成为评价相应入侵检测和漏洞扫描等工具产品和数据库的基准