宽带城域网
宽带城域网保证服务质量QoS要求的技术有:资源预留(RSVP)、区分服务(DiffServ)与多协议标记交换(MPLS),
PSTN为公共交换电话网络,是一种全球语音通信电路交换网络
属于广域网QoS技术是RSVP
链路状态度量主要包括费用、距离、延时、带宽
RPR技术:
RPR中每一个节点都执行SRP公平算法,与FDDI一样使用双环结构。
RPR采用自愈环设计思路,能在50ms时间内实现自愈
RPR环中,源节点向目的节点成功发出的数据帧要由目的结点从环中收回,提高环带宽的利用率
RPR沿顺时针传输的光纤环叫做外环,沿逆时针传输的光纤叫做内环,内环和外环都可以用统计复用的方法传输IP分组
两个RPR节点之间的裸光纤最大长度可以达到100公里
接入技术:
三网融合指计算机网络,电信通信网,广播电视网
目前宽带接入技术有:xDSL,HFC,光纤接入技术,无线接入技术和局域网接入技术。
其中无线接入又可以分为无线局域网接入,无线城域网接入与无线Ad hoc接入
无线接入技术:WLAN WiMAX WiFi WMAN(无线城域网) Ad hoc
Cable Modem 利用频分多路复用方法将信道分为上行信道和下行信道,传输方式分为对称式和非对称式
Cable Modem的传输速率可以达到10~36Mbps
802.11b将传输速率提高到11Mbps
802.11b带宽最高可达11Mbps,802.11a的最大带宽是54Mbps
提供用户访问的Internet所需要的路由服务的是核心交换层。
按照ITU标准,OC-3的传输速度是155.52Mbps OC-12:622.080Mbps
xDSL技术
采用ADSL技术可以通过PSTN接入Internet
ADSL Modern用于连接计算机
ADSL使用一对铜双绞线,上行下行速率不相同
ADSL技术在现有用户电话线上同时支持电话业务和数字业务
ADSL技术提供非对称宽带特性
ADSL上行传输速率64kbps~640kbps
HDSL上行传输速率为1.544Mbps
光纤同轴电缆混合网(HFC)
HFC是一个双向传输系统
HFC通过Cable Modem(电缆调制解调器)把用户计算机与有线电视同轴电缆连接起来
服务器技术:
集群系统中一台主机出现故障不会是整个网络无法工作,但会影响系统的性能
服务器总体性能不仅仅取决与CPU数量,而且与CPU主频、系统内存、网络速度都有关系
RAID是磁盘阵列技术在一定程度上可以提高磁盘存储容量但是不能提高容错能力
采用RISC结构处理器的服务器通常不采用Windows操作系统,采用UNIX系统
RISC精简指令集计算机是一种执行较少类型计算机指令的微处理器,
非统一内存访问(分布式内存访问)(NUMA)技术将对称多处理器(SMP)和集群(Cluster)技术结合起来
热插拔允许在不切断电源的情况下,更换存在故障的硬盘,板卡
如果系统可靠性达到99.9%,那么每年的停机时间小于等于8.8小时,系统可靠性达到99.99%:53分 系统可靠性达到99.999%:5分钟
99.9=8.8小时(528分钟) 99.99=53分钟 99.999=5分钟
B/S模式应用服务器
网络应用建立在web服务的基础上
B/S结构(浏览器,服务器模式),采用三层架构,该结构统一采用web浏览器作为客户端。
B/S结构将系统功能实现的核心部分集中到服务器上,使得系统的开发,维护和使用简便化
Web浏览器通过服务器访问数据库服务器,将复杂的业务逻辑部分集中在服务器上
路由器技术
路由器的可用性可用MTBF描述
路由器的性能指标主要包括吞吐量、背板能力、丢包率、时延与时延抖动、突发处理能力、路由表容量、服务质量、网管能力,可靠性和可用性。
丢包率是衡量路由器超负荷工作时的性能指标之一。
背板能力决定了路由器的吞吐量。
语音,视频业务对时延抖动要求较高
突发处理能力是以最小帧间发送数据包而不引起丢失的最大速率来衡量的
路由器的工作模式
用户模式:只读,可执行ping , telnet, show version
特权模式:查看保存配置文件,清除闪存
路由协议配置模式:用于对路由协议的详细配置
全局配置模式:可以配置路由器的主机名,超级用户口令,ip route 访问控制列表 多点广播 TFTP服务器
全双工端口带宽的计算方法是:端口数*端口速率*2
中继器工作在物理层
典型的高端路由器的可靠性与可用指标:
无故障连续工作(MTBF)大于10万个小时;
系统故障恢复时间小于30分钟;
系统具有自动保护切换功能,主备用切换时间小于50ms;
SDH与ATM接口自动保护切换功能,切换时间小于50ms
路由器系统内部不存在单点故障
外部网关协议BGP:
不同AS之间使用的路由协议是BGP
路由信息发生变化时,BGP发言人通过update通知相邻AS
Open报文用来与相邻的另一个BGP发言人建立关系
BGP-4采用路由向量协议
外部网关协议是不同的自治系统的路由器之间交换路由信息的协议。
BGP协议交换路由信息的节点数是以自治系统数为单位的,所以不会小于自治系统数。
一个BGP发言人与其他自治系统中BGP发言人交换路由信息使用TCP连接
OSPF:
OSPF区域内每个路由器的链路状态包含着本区域而不是全网的拓扑结构信息
每一个OSPF区域拥有一个32位的区域标识符
在一个区域内的路由器数目不超过200个; 一个OSPF区域内部的路由器不知道其他区域的网络拓扑
OSPF协议要求当链路发生变化时用洪泛法向所有路由器发送此信息
链路状态“度量”主要指费用,距离,延时,带宽
交换机的基本功能是建立和维护一个表示MAC地址与交换机端口对应关系的交换表
集线器:
连接到一个集线器的所有结点共享一个冲突域,
这些节点执行CSMA/CD介质访问控制方法
通过网络链路中串接一个集线器可以监听该链路中的数据包
集线器处于物理层,所以每次只能有一个结点能够发送数据,其他节点处于接收数据的状态
二层交换机工作于数据链路层,三层交换机与路由器工作在网络层,监控一个端口只能获得这个端口与其他端口之间的通信流量;
三层交换机是具有路由功能的二层交换机
使用Sniffer在网络设备的一个端口上能够捕捉到与之属于同一VLAN的不同端口的所有通信流量,这中设备是集线器
中继器只能起到对传输介质上信号波形的接收、放大、整形与转发的作用;中继器的工作不涉及帧结构,不对帧的内容做任何处理。
综合布线系统:
STP比UTP成本高,抗电磁干扰能力强
双绞线扭绞的目的是使电磁干扰减少到最小,嵌入式安装插座用来连接双绞线,
多介质插座是用来连接铜缆和光纤
对于建筑群子系统来说,它们之间连接一般用双绞线,光缆和电器保护设备;
管道内布线是最理想的方式;可以是架空,巷道,直埋地下管道
双绞线电缆长度应该在90m以内
管理子系统设置在楼层配线间内
Catalyst 6500 交
换机时间配置:set time [mm/dd/yy] [hh:mm:ss]
交换机
局域网交换机的三个基本功能是:
建立和维护一个表示MAC地址和交换机端口对应关系的交换表;
发送点(源端口)和接受点(目的端口)之间建立一条虚连接
完成数据帧的转发或过滤
将Cisco路由器的配置保存在NVRAM中,正确的命令 Router#write memory
Cisco大中型交换机使用“show cam dynamic”命令显示交换表内容;小型交换机使用“show mac-address-table”显示交换表内容
在一些高端交换机中,交换表通常被保存在CAM存储器中;
交换表采用盖时间戳的方法刷新交换表
交换表中没有接收帧的目的MAC地址时,交换机用Flood技术转发该帧;
交换表的内容包括目的MAC地址、该地址所对应的交换机端口号以及所在的虚拟子网;
交换机工作在数据链路层,允许多站点并发通信
交换机根据进入端口数据帧中的MAC地址,过滤,转发数据帧,他是基于MAC地址识别
完成转发数据帧功能的一种网络连接设备
交换机具有三种交换模式:
快速转发直通式,交换接收到帧的前14个字节就立即转发;
碎片丢弃式,它缓存每个帧的前64个字节,检查冲突过滤碎片;
存储转发式:转发之前将整个帧读取到内存里
STP生成树结构
STP无论是根的确定,还是树状结构的生成,主要依靠BPDU提供的信息
在配置BPDU的Bridge ID中,优先级的取值范围时0~61440
拓扑变化通知BPDU数据包的长度不超过4个字节
配置BPDU数据包的长度小于等于35个字节
VLAN:
VLAN工作在数据链路层,以交换式网络为基础,VLAN之间通信必须通过路由器
建立VLAN的命令格式:vlan 21 name vl21
为端口分配VLAN的命令格式为:switchport access vlan 21
Cisco路由器用于查看路由表信息的命令是 show ip route
通过拨号远程配置Cisco路由器时,应使用的接口是AUX
loopback接口:
loopback是一个虚拟接口,没有一个实际的物理接口与之对应
网络管理员为loop back分配一个IP地址,其掩码应为255.255.255.255
loopback永远处于**状态,可用于网络管理
配置交换机Catalyst 6500管理IP地址命令格式:Switch-6500>(enable)set interface sc0
路由器分组转发过程中,数据包中包含目的主机网络地址(IP地址)和下一跳路由物理地址(MAC地址),转发时,
MAC地址是变化的(指向下一跳),但目的网络地址始终不变(与最终目的地址相同)。
进入vty配置模式后,Router(config line)#
进入接口配置模式:interface <>
封装ppp协议,
配置异步串行接口IP地址:#async default ip address <ip_addr>网络号加一可用
配置同步串行接口IP地址:IP address <ip_addr><ip_mask>
HiperLAN/2协议:
采用5GHz工作频段
上行速率最多可达54Mbps
室内最大覆盖范围30米,室外150米;
可支持面向连接的传输服务
采用OFDM调制技术
IEEE802.16协议
802.16主要用于解决城市地区范围内的宽带无线接入问题
802.16a增加了非视距和对无线网格网结构的支持,用于固定结点接入
802.16d用于固定结点接入
802.16e用于固定或移动结点接入
IEEE802.11标准
属性:
|
属性 |
IEEE802.11b |
IEEE802.11a |
IEEE802.11g |
|
最大数据传输率 |
11Mbps |
54Mbps |
54Mbps |
|
实际吞吐量 |
5~7Mbps |
28~31Mbps |
10~12Mbps |
|
最大容量 |
33Mbps |
432Mbps |
162Mbps |
IEEE 802.11最初定义三个物理层包括(FHSS,DSSS)两个扩频技术和一个红外传播规范,无线传输的频道定义在2.4GHzde
ISM波段内,传输速率是1Mbps和2Mbps ,可以使用FHSS和DSSS技术,在MAC层引入了一个新的RTS/CTS选项
IEEE802.11b的基本运作模式
点对点模式是指无线网卡和无线网卡之间的通信方式,最多可连接256台PC
基本模式是无线和有线网络并存的通信方式,最多可连接1024台PC
无线接入点的作用是提供无线和有线网络之间的桥接
定义了无线结点和无线接入点两种类型的设备
MAC层的CSMA/CA协议利用ACK信号避免冲突的发生
室内环境通信距离最远100米
无线路由器是具有NAT功能的无线局域网设备
蓝牙系统:
蓝牙技术的同步信道速率是64kbps,工作频段在2.402GHz~2.480GHz的ISM频段,标称数据速率是1Mbps
对称连接的异步信道速率是433.9kbps
扩展覆盖范围是100米
非对称连接的异步信道速率是433.9kbps/57.6kbps
Windows Server 2003系统中,清空DNS缓存的命令是ipconfig
无线局域网设备
无线接入点AP负责频段管理和漫游等工作
无线接入点实现CSMA/CD介质访问控制算法
无线网桥用于连接多个网段
无线路由器一般都具有路由和NAT功能
无线接入点也就是无线AP,用于集合无线或者有线终端,作用类似于集线器和交换机。
无线路由器是具有路由功能的AP,用于建立一个更小的无线局域网。
无线网桥主要用于连接几个不同的网段,实现较远距离的无线数据通信。
无线网卡,用于两个拥有无限网卡的计算机间点对点通信,组成一个最小的无线局域网
配置Cisco Aironet 1100接入点
SSID是客户端设备用来访问接入点的唯一标识,区分大小写
接入点加电后,确认PC机获得了10.0.0.x网段的地址
Cisco Aironet 1100通过PC机浏览器访问时,在浏览器的地址栏里输入无线接入点的IP地址10.0.0.1,可以出现网络密码对话框
第一次配置使用的默认IP地址10.0.0.1
支持 802.11b与802.11g协议;
工作在2.4GHz频段;
使用Cisco IOS操作系统
第一次配置无线接入点一般采用本地配置方式,此时因为没有链接到DHCP服务器而无法获得IP地址
在采用无线连接配置接入点时,不配置SSID或SSID配置为tsunami
在PC的浏览器输入接入点的IP地址和密码后,出现接入点汇总状态页面
动态更新允许DNS客户端在发生更改的任何时候,都能使用DNS服务器注册和动态的更新其资源记录,适用频繁改变
位置并使用DHCP获取IP地址的DNS客户端
使用5类UTP电缆将一台PC机连接到Aironet 1100的以太网端口
ipconfig/release 命令可以释放已获得的地址租约,使其IP Address和SUbnet Mask均为0.0.0.0
Windows 2003系统下www服务器配置
网站性能选项中,带宽限制选型限制该网站的可使用带宽,以控制该站点允许的流量,
性能选项可设置影响带宽使用的属性及客户端Web连接的数量和超时时间
网站连接选项可通过微调框限制客户端
建立web站点时,必须为每个站点指定一个主目录,也可以是虚拟的子目录 ,只有设置了默认页面,访问时才会直接打开default.html页面
Web站点可以配置静态或动态IP地址
访问Web站点时,可以使用站点域名,也可以使用站点的IP地址
同一台服务器可以构建多个网站,每个网站对应服务器上的一个目录,建立Web站点必须为该站点指定一个主目录
当Web站点未设置默认内容文档,访问站点时应提供首页内容的文件名,仍然可以访问该网站,设置默认文档后使用浏览器访问网站时能够自动打开网页
网站选项可设置网站的标识,并可启用日志记录
Web站点的性能选项包括影响带宽使用的属性和客户端Web连接的数量
网络标识:IP地址,TCP端口号、主机头
Windows 2003系统下DNS服务器
DNS服务器中的根DNS服务器不需管理员手工配置
主机记录的生存时间指该记录被客户端查询到,存放在缓存中的持续时间。
转发器也是一个DNS服务器,是本地DNS服务器用于将外部DNS名称的DNS查询转发给
该DNS服务器;转发器是网络上的DNS服务器,用于外部域名的DNS查询
动态更新允许客户机在发生更改时动态更新其资源记录
Windows 2003系统下DHCP服务器参数
配置参数:资源记录,正向查找区域,反向查找区域 转发器
DHCP服务器添加排除可以输入要排除的IP地址范围的起始IP地址和结束IP地址,如果想排除一个单独的IP地址只需输入起始IP地址
保留地址可以使用作用域地址范围中的任何IP地址
租约期限决定客户端向服务器更新租约的频率
作用域是网络上IP地址的完整连续范围,并不负责IP地址分配
地址池是作用域应用排除范围之后剩余的IP地址
保留确保子网上指定设备始终使用相同的IP地址
客户机的地址租约续订是由客户端软件自动完成的
DHCP服务器负责多个网段IP地址分配时,需要配置多个作用域
客户机与DHCP服务器不在一个网段时,需DHCP中继转发DHCP消息
DHCP中继转发DHCP发现消息时,需修改消息中的相关字段,因为客户机已经拥有IP地址,且DHCP地址已经被告知,因此可以采用端到端的传递方式
IIS6.0
可以使用虚拟服务器的方法在一台服务器上构建多个网站
可以为每个网站创建唯一的主目录并存储在本地服务器
在网站的配置选项中能够限制网站可使用的网络带宽
多个网站通过标识符进行区分,标识符包括主机名称、IP地址和非标准TCP端口号
Serv-U FTP服务器配置管理:
服务器每个虚拟服务器称作域,域由IP地址和端口号唯一识别
初始状态下没有设置管理员密码,可直接进入管理程序,
配置服务器的IP地址时,可为空,若为空则代表服务器的所有IP地址。
每个虚拟服务器由IP地址和端口号唯一识别;
最大用户数是指同时在线的用户数量;
在用户名称文本对话框输入anonymous,系统自动判定匿名用户
用户上传/下载率选项要求FTP客户端在下载信息同时也要上传文件
服务器最大上传或下载速度是指整个服务器占用的带宽
配置服务器域名,可以使用域名或其他描述;
配置服务器域端口号时,可使用端口21或其它合适的端口号
配置域存储位置时,小的域应选择.INT文件存储而大的域应选择注册表存储
使用FTP可以传送任何类型的文件
传送文件时客户机和服务器间需建立控制连接和数据连接
客户端发起的连接是控制连接,服务器端的默认端口为21
服务器端在接受客户端发起的控制连接时,控制进程创建一个数据传送进程,与客户端提供的端口建立数据传输的TCP连接。
邮件接收服务器POP3,HTTP IMAP 而SMTP是发送邮件服务器
Winmail邮件服务器配置
Winmail快速设置向导中创建新用户时,输入新建用户的信息,包括用户名
域名及用户密码(不是系统邮箱的密码),系统除了创建信箱用户名@mail.abc.com<mailto:用户名@mail.abc.com>外,还会自动创建名为mail.abc.com的域,并可选择是否允许通过Winmail注册新邮箱
Winmail 邮件服务器支持基于web方式的访问和管理
在域名设置中可修改域的参数(可以增加新域,删除已有域);在系统设置中可修改邮件服务器的系统参数(SMTP,邮件过滤,更改管理员密码),快速设置向导中可以设置
是否允许自行注册新用户
建立邮件路由时,需在DNS服务器中建立邮件服务器主机记录和邮件交换器记录
邮件系统工作过程:1、用户使用客户端软件创建新邮件。3、客户端软件使用SMTP协议
将邮件发到发方的邮件服务器。3、发方邮件服务器使用SMTP协议将邮件发送到接收方的邮件服务器。4、接收方的邮件服务器将收到的邮件存储在用户的邮箱中待用户处理。5、接收方客户端软件使用POP3或IMAP4协议从邮件服务器读取邮件
入侵监测系统探测器获取网络流量的方法:利用交换设备的镜像功能;在网络链路中串接一台分路器,集线器
Window 2003对已备份文件在备份的方法:完全,增量、差异、副本
副本备份:复制所有选中的文件,但不将这些文件标记为已备份,即不清除存档属性
完全备份是指对整个系统或用户指定的所有文件数据进行一次全面的备份;
增量备份只是备份相对上一次备份操作以来新创建或者更新过的数据;
差异备份即备份上一次完全备份后产生和更新的所有新的数据
恢复速度由慢到快:增量备份,差异备份,完全备份
备份速度由慢到快:完全备份 差异备份 增量备份
空间使用由多到少 完全备份 差异备份 增量备份
防火墙的访问模式有非特权模式,特权模式,配置模式,监视模式,其中监视模式可以进行操作系统映像更新,口令恢复等操作
应用入侵防护系统(AIPS)一般部署在受保护的服务器前端。
根据可信计算机系统评估准则(TESEC),用户能定义访问控制要求的自主保护类型系统属于C类
D级:最小保护;C1,C2:自主保护类;B1级强制安全保护类,B2:结构保护,B3:具有硬件支持的安全域分离措施,A1:要求对安全模型
作形式化证明
ICMP:ICMP消息封装在IP数据包内而非TCP数据包内
SNMP:UDP端口号缺省为162,system为管理站团体字,几乎所有网络设备和操作系统都支持SNMP, 基于UDP传输 被Solar winds Netview MRTG支持
Wirwshark是一个网络封包分析软件。
Conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口
Cisco PIX525的常用命令:nameif、interface ipaddress nat global route static等。其中static命令的作用是配置静态IP地址翻译,使内部地址与外部地址一一对应;nat的作用是地址转换命令,将内网的IP转换为外网公网IP;
Global 是指定公网地址范围,定义地址池; fixup命令的作用是启用或禁止一个服务或协议,通过指定端口设置PIX防火墙要侦听listen服务的端口。
安全评估
ISS扫描器:用于自动对网络设备安全漏洞的检查和分析
MBSA是微软的安全评估工具
X-Scanner这是在Windows下,针对NT/2000/XP的安全进行全面细致的评估
WSUS是个微软推出的网络化的补丁分发方案,支持微软公司全部产品的更新。
IPS
NIPS应该串接在被保护的链路中,布置于网络出口,一般串联于防火墙与路由器之间
HIPS可以监视内核的系统调用,阻挡攻击
AIPS一般部署于应用服务器的前端
攻击:
DNS欺骗攻击:攻击者采用某种手段,使用户访问某网站时获得一个其他网站的IP地址,从而将用户的访问引导到其他网站
DDoS攻击是指攻击者能够攻破多个系统,利用这些系统集中攻击其他目标,大量请求使被害设备因为无法处理而拒绝服务;
Land攻击是指向某个设备发送数据包,把源IP地址和目的IP地址均设为攻击目标地址;
Smurf攻击指攻击者冒充被害主机IP地址向大型网络发送echo request 定向广播包,此网络大量主机应答,是受害主机收到大量
echo reply消息
SYN Flooding攻击:攻击者使用无效的IP地址,利用TCP连接的三次握手,使得受害主机处于开放会话的请求之中
直至连接超时,在此期间,受害主机将会连续接收这种会话请求,最终耗尽资源而停止响应
SQL注入攻击利用主机应用系统漏洞进行攻击
校园网内的一台计算机只能使用IP地址而无法使用域名访问某个外部服务器,应该是DNS服务器故障或配置不正确,没有提供正常域名
解析服务,被访问服务器名字解析的DNS服务器有故障,目的端口为53的访问请求被限制
ipconfig显示当前TCP/IP网络配置,netstat显示本机与远程计算机的TCP/IP的NeTBIOS的统计及连接信息;pathping将报文
发送到所经过地所有路由器,并根据每一跳返回的报文进行统计,可用于检测本机配置的DNS服务器是否工作正常;route显示或修改本地IP路由表条目
Windows环境下可以用来修改主机默认网关设置的命令是 route
Ipconfig/all用于显示全部的TCP/IP网络配置
Nbtstat -a用于显示使用远程计算机统计和连接信息。
Netstat -a用于显示主机上活动的TCP连接状况,
net view用于显示域列表,计算机列表或指定计算机上共享资源列表
地址类别
A类:1.0.0.0~127.255.255.255 子网掩码:255.0.0.0
B类:128.0.0.0~191.255.255.255 子网掩码:255.255.0.0
C类:192.0.0.0~223.255.255.255 子网掩码:255.255.255.0
直接广播地址是主机号全为1的IP地址
主机号是IP地址的网络号置0
子网内最后一个可用IP地址:广播地址的前一位
子网内第一个可用IP地址:网络地址加1
Pos framing sonet(0)/sdh(2)
discover:offer
Request:ACK
网络入侵监测系统的探测器可以通过三种方法部署在被检测网络中
邮件传输协议所使用的端口是6
Bandwidth 命令设置接口带宽,带宽单位kbps 10Gbps=10000000kbps
配置端口命令格式:pos flag s1s0 数值(s1s0=00表示SONET帧的数据,s1s0=10表示SDH帧的数据)
全局配置模式下,使用“ip route”命令来配置静态路由;“no ip route”来删除静态路由配置;
命令格式:IP route <目的网络地址><子网掩码><下一跳路由器的IP地址>
使用“router ospf <Process ID>”命令可以启动OSPF进程
在路由器的OSPF配置模式下,使用“network IP <子网号><反掩码>area<区域号>”
命令参与OSPF的子网地址,或使用“area<区域号>range<子网地址><子网掩码>”
