三级网络技术--知识点
1.RPR
RPR (弹性分组环)中每一个节点都执行SRP 公平算法,与FDDI 一样使用双环结构。 内环和外环都可以用于传输数据分组和控制分组。顺时针传输的为外环,逆时针传输的为内环。
当源节点成功发送数据帧之后,该数据帧由目的节点从环中回收。
RPR 能在50ms 之内隔离出故障结点和光纤段。
RPR 可以对不同的业务数据分配不同的优先级。
两个RPR 节点之间的裸光纤最大长度为100公里。
RPR 用统计复用的方法传输IP 地址。
2. 汇聚层的基本功能:
(1)汇聚接入层的用户流量,进行数据分组传输的汇聚、转发和交换。
(2)根据接入层的用户流量,进行本地路由、过滤、流量均衡、QoS 优先级管理,以及安全控制、IP 地址转换、流量整形等处理。
(3)根据处理结果把用户流量转发到核心交换层或本地路由进行处理。
3. 按照ITU 标准,OC-3的传输速度是155.52Mbps ;OC-12的传输速度是622.08Mbps 。
4. 服务器技术
评价高性能存储技术的指标主要是I/O速度和磁盘存储容量。
集群(Cluster )系统中一台主机出现故障时,程序立即转移到其他主机中运行,不会使整个网络无法工作,但会影响其性能。 服务器总体性能不仅仅取决于CPU 数量,而且与CPU 主频、系统内存和网络速度等都有关系。
路由器的可用性可用MTBF 直接描述,而系统的可用性则以MTBF
MTBF +MTBR来描述。
对称多处理技术可以在多CPU 结构的服务器中均衡负荷。
采用RISC 结构处理器的服务器通常不采用Windows 操作系统,通常使用UNIX 。 采用RAID 技术在一定程度上可以提高磁盘的存储容量,但不能提高其容错能力。
有些服务器主板中自带RAID 控制器,并提供相应接口;没有自带RAID 控制器的服务器主板则需要外加一个RAID 卡。
RAID 控制器的磁盘接口通常是SCSI 接口,也支持IDE 接口和SATA 接口。
B/S模式应用服务器的网络应用建立在Web 服务的基础上,统一采用Web 浏览器作为客户端,只用Web 浏览器就可以访问不同的客户端程序。 5.BGP
一个BGP 发言人与其他自治系统中的BGP 发言人要交换路由信息就要先建立TCP 连接。 BGP 四种分组(更新分组是核心)
打开分组(open ):用来与相邻的另一个BGP 发言人建立关系。 更新分组(update ):用来发送某一组路由信息,以及列出要撤销的多条路由。
保活分组(keepalive ):用来确认打开报文,以及周期性地证实相邻边界路由器的存在。 通知分组(notification ):用来发送检测到的差错。 6.OSPF
OSPF 将一个自治系统划分为若干个区域,每一个区域有一个32位的区域标识符,在一个区域内的路由器数目不超过200个。
区域内部的路由器只知道本区域的完整拓扑结构,而不知道其他区域的网络拓扑情况。 OSPF 协议要求当链路发生变化时用洪泛法向所有路由器发送此信息。
OSPF 使用分布式链路状态协议,链路状态的度量主要是指费用、距离、延时、带宽等。
链路状态数据库中保存的是本区域全网的拓扑结构图,而非全网完整的路由表。
7. 集线器
集线器工作在物理层,以广播的形式进行数据转发,即不基于MAC 地址或IP 地址转发数据。链路中串联集线器可以监听该链路中的数据包。
每次只能有一个结点发送数据,其他结点都处于接收数据状态。
连接到一个集线器的结点共享一个冲突域,执行CSMA/CD介质访问控制方法。
8. 交换机有3种交换模式
(1)快速转发直通式,收到帧的前14个字节就立刻转发数据。
(2)碎片丢弃式,缓存每个帧的前64个字节。
(3)存储转发式,将整个帧读取到内存里。
无线网桥主要用于连接几个不同的网段,实现较远距离的无线数据通信。
10. IEEE802.11b
(1)点对点模式是无线网卡和无线网卡之间的通信方式,最多可允许256台PC 连接。
(2)基本模式是无线网络规模扩充或无线和有线网络并存时的通信方式,最多可接入1024台PC
(3)采用对等解决方案建立无线局域网时,仅需要无线网卡即可实现相互访问。如需要与有线网络连接,则其中一台电脑需要再安装一块以太网网卡。
(4)多蜂窝漫游工作方式中,整个漫游过程对用户是透明的。
(5)IEEE802.11b 网卡处于休眠模式时,接入点将信息缓冲到客户。
11.Cisco Aironet 1100无线接入点
(1)使用5类UTP 电缆将PC 机连接到无线接入点,并通过以太网端口进行配置。
(2)第一次配置无线接入点一般采用本地配置方式,默认的IP 地址是10.0.0.1。
(3)采用无线连接配置接入点时,不配置SSID 或SSID 配置为tsunami 。
(4)在PC 浏览器中输入接入点的IP 地址和密码后,出现接入点汇总页面。
(5)输入密码进入接入点汇总状态页面,并点击“Express Setup”进入快速配置页面。
(6)Cisco Aironet 1100系列接入点兼容802.11b 和802.11g 协议,工作在2.4GHz 频段,使用Cisco IOS操作系统。
(7)无线局域网中,客户端设备用来访问接入点的唯一标识是SSID 。
(8)无线接入点也就是无线AP ,用于集合无线或者有线终端,作用类似于集线器和交换机。
(9)无线路由器是具有路由功能的AP ,用于建立一个更小的无线局域网。
(10)无线网桥主要用于连接几个不同的网段,实现较远距离的无线数据通信。例如:将两栋楼内的局域网互联为一个逻辑网络。 12.ipconfig/release命令可以释放已获得的地址租约,使其IP Address和Subnet Mask均为0.0.0.0。 13.WWW 服务器配置
网站性能选项中,带宽限制选项(带宽选项)限制该网站的可使用带宽,网站连接选项可设置客户端Web 连接数量。
在Windows2003中添加操作系统组件IIS 就可实现Web 服务。
建立Web 站点时,必须为每个站点制定一个主目录,也可以是虚拟的子目录。
设置Web 站点时,只有设置了默认页面,访问时才会直接打开default.html 等设置的默认页面。
网站连接超时选项是指HTTP 链接的保持时间,由网站选项设置。
若没有设置默认内容文档,访问站点时若能提供首页内容的文件名,同样可以访问该网站。 网站选项可设置网站的标识,并可启用日志记录。
目录安全选项可选择配置身份验证和访问控制、IP 地址和域名限制、安全通信。
性能选项可设置影响带宽使用的属性及客户端Web 连接的数量。
网站访问权限选项卡中的选项有读取、运行脚本、执行、写入和浏览。 14.Serv-U FTP
初始状态下没有设置管理员密码,可以直接进入Serv-U 管理程序,以设置或更改管理员密码。
FTP 服务器缺省端口号为21,也可以设置选定的端口号。当客户机向服务器发起连接请求时,服务器端的默认端口为21。
若创建新域,在添加用户时,当用户名为“anonymous ”时会被系统判定为匿名用户。 Serv-U FTP服务器中的每个虚拟服务器由IP 地址和端口号唯一识别。 Serv-U FTP服务器中的最大用户数是指同时在线的用户数量。 Serv-U FTP服务器最大上传或下载速度是指整个服务器占用的带宽。
Serv-U FTP服务器的选项中,服务器选项不提供“IP 访问选项”,域选项、组选项、用户选项都能提供“IP 访问选项”。
配置服务器域名时,可以使用域名或其他描述。
配置服务器域存储位置时,小的域应选择.INI 文件存储,大的域应选择注册表存储。
配置服务器的IP 地址时,IP 地址可以为空,表示服务器所有的IP 地址,当服务器有多个IP 地址或使用动态IP 地址时,IP 地址为空会比较方便。
用户配额选项可以限制用户名上传信息占用存储空间。
选择拦截“FTP BOUNCE”和FXP 后,则不允许在两个FTP 服务器间传输文件。
只有拥有管理员操作权限的用户,才能在Serv-U FTP服务器中注册新用户。
服务器端在接收到客户端发起的控制连接时,控制进程创建一个数据传送进程,其端口为20。
15.Winmail 邮件服务器
Winmail 邮件服务器支持基于Web 方式的访问和管理,安装邮件服务器软件之前要安装IIS 。 在域名设置中可以修改域的参数,也可以增加新的域、删除已有域等。
在系统设置中可以修改邮件服务器的系统参数,包括SMTP 、邮件过滤和更改管理员密码等。 建立邮件路由时,需在DNS 服务器中建立邮件服务器主机记录和邮件交换器记录。 邮件系统工作过程:
发方客户端软件 发方邮件服务器 收方邮件服务器POP3/IMAP4SMTP 协议SMTP 协议 收方客户端软件 涉及到IP 分配、路由的服务,会用到DNS 协议与TCP 协议。
Winmail 邮件管理工具包括系统设置、域名设置等。 在域名设置选项组中的域名管理界面,可以通过增加新的域构建虚拟邮件服务器。
Winmail 快速设置向导中创建新用户时,输入新建用户的信息,包括用户名、域名及用户密码(不是系统邮箱的密码)。并可选择是否允许客户通过Winmail 自行注册新邮箱。 域名是服务器固定的,并不能自行设置。
Winmail 邮件服务器可以允许用户使用Outlook 创建在服务器中已经建立好的邮件账户,但并不支持用户使用OutLook 自行注册新邮件。
16.Cisco PIX 525防火墙操作模式
PIX 防火墙开机自检后,即处于非特权模式。
特权模式可以改变当前设置。
配置模式下可以进行绝大部分的系统配置。
监视模式下可以进行操作系统映像更新、口令恢复等操作。 17. 入侵防护系统(IPS )
入侵防护系统整合了防火墙技术和入侵检测技术,采用In-line 工作模式
基于主机的入侵防护系统(HIPS )安装在受保护的主机系统中。
基于网络的入侵防护系统(NIPS )布置在网络出口处,一般串联于防火墙与路由器之间。 基于应用的入侵防护系统(AIPS )一般布置在应用服务器前端。
NIPS 对攻击的误报将导致合法通信被阻断,甚至导致拒绝服务。
18. 根据可信计算机系统评估准则(TCSEC )划分的计算机系统安全等级
D 级,只有物理上的安全设施,只要启动系统就可以访问资源和数据,不能用于多用户环境下的信息处理。
C 级,用户能定义访问控制要求的自主保护类型
C1级,具有自主访问控制机制,用户登录时需要进行身份鉴别
C2级,具有审计和验证机制
B1级,强制安全保护类,引入强制访问控制机制,能够对主体和客体的安全标记进行管理 B2级,结构保护,要求计算机中所有对象都加标签,而且给设备分配单个或多个安全级别 B3级,具有硬件支持的安全域分离措施,保证安全域中软件和硬件的完整性
A1级,对安全模型作形式化的证明 19. 网络入侵与攻击
漏洞入侵有Unicode 漏洞入侵、跨站脚本入侵、sql 注入入侵等。
协议欺骗攻击 IP 欺骗攻击:通过伪造某台主机的IP 地址骗取特权,进而进行攻击。
ARP 欺骗攻击:利用ARP 协议漏洞,通过伪造IP 地址和MAC 地址实现攻击。
DNS 欺骗攻击:使用户查询DNS 服务器进行域名解释时获得一个错误的IP 地址,将用户
引导到错误的Internet 站点,或者发送一个电子邮件到一个未授权的邮件服务器。
源路由欺骗攻击:通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作。
缓冲区溢出漏洞攻击:缓冲区溢出可以造成程序运行失败、系统崩溃等后果,还可以利用它得到系统控制权,进行非法操作。 拒绝服务攻击
Smurf 攻击:攻击者冒充受害主机的IP 地址,向一个大的网络发送echo request 的定向广播包,受害主机会收到大量的echo reply消息。
SYN Flooding :利用TCP 连接的三次握手过程进行攻击。无效IP 地址,连接超时,资源耗尽。
分布式拒绝服务攻击(DDoS ):攻破多个系统,并利用这些系统去集中攻击其他目标。 Ping of Death:通过构造出重组缓冲区大小的异常的ICMP 包进行攻击。
Teardrop :利用OS 处理分片重叠报文的漏洞进行攻击。
Land 攻击:向某个设备发送数据包,并将数据包的源IP 地址和目的IP 地址都设置成攻击目标。
拒绝服务攻击可以被基于网络的入侵防护系统阻断。
20.Windows 命令
ipconfig :显示当前TCP/IP网络配置
ipconfig /all:显示全部的TCP/IP网络配置。
ipconfig/flushdns:清除DNS 缓存
net :主要用于管理本地或者远程计算机的网络环境,以及各种服务程序的运行和配置
netstat :显示与IP 、TCP 、UDP 和ICMP 协议的相关数据(侦听端口、以太网统计信息等) netstat-a :显示所有与IP 、TCP 、UDP 和ICMP 协议的相关数据
netstat-r :显示路由表内容
nbtstat :刷新NetBIOS 名称缓存以及使用Windows Internet名称服务注册的名称
nbtstat-a :显示本机与远程计算机的基于TCP/IP的NetBIOS 的统计及连接信息,显示结果使用远程计算机的名称列出名称表。
nbtstat-r :列出通过广播和WINS 解析的名称
pathping :将报文发送到所经过的所有路由器,并根据每一跳返回的报文进行统计;可检测本机配置的域名服务器是否工作正常;可以用于检测网络连通情况和探测到达目的计算机的路径
tracert-r :用于IPv6环境中探测到达目的计算机的路径
route :显示或修改本地IP 路由表条目
route add:添加和修改默认网关
route-f :清除路由表中所有的网关条目
nslookup :监测网络中DNS 服务器是否能够正确实现域名解析
net view:显示域列表、计算机列表或指定计算机上的共享资源列表
arp-a :显示当前主机的地址转换协议表项。
21. 宽带城域网技术
宽带城域网保证服务质量QoS 要求的技术主要有资源预留(RSVP )、区分服务(DiffServ )和多协议标记交换(MPLS )。
网络业务包括Internet 接入业务、数据专线业务、语音业务、视频与多媒体业务以及内容提供业务等。
网络服务质量表现在延时、抖动、吞吐量和丢包率。
利用传统的电信网络进行网络管理成为“带内”;利用IP 网络及协议进行网络管理称为“带外”。
核心交换层的基本功能 连接多个汇聚层,为整个城市提供高速、安全与具有QoS 保障功能的数据传输环境。 实现与主干网络的互联,提供城市的宽带IP 出口。
提供用户访问Internet 所需要的路由访问。
宽带城域网可以利用NAT 技术解决IP 地址资源不足的问题。 22.HFC (P23)
HFC 是一个双向传输系统,使用户通过有线电视宽带接入Internet 的一种重要方式。 HFC 采用共享式的传输方式,信号的发送、接收使用同一个上行和下行信道。 光纤节点通过同轴电缆下引线可以为500~2000个用户服务。
Cable Modem把用户计算机与有线电视同轴电缆连接起来。
Cable Modem的传输方式可以分为对称式传输和非对称式传输两类。
Cable Modem利用频分复用的方法将双向信道分为上行信道与下行信道。
Cable Modem的传输速率可以达到10~36Mbps
宽带接入技术主要有以下几种:xDSL 技术、HFC 技术、光纤接入技术、无线接入技术与局域网接入技术。
23. 核心层网络结构设计
采取链路冗余直接连接两台核心路由器,直接利用核心路由器的带宽,但占用较多端口,设备成本上升。
采用专用服务器交换机的同时采取链路冗余,间接连接两台核心路由器,可以分担核心路由器的带宽,但容易形成带宽瓶颈,并存在单点故障的潜在危险。
24. 交换机
交换机的基本功能是建立和维护一个表示MAC 地址与交换机端口对应关系的交换表。 交换机根据接收数据包中的MAC 地址过滤和转发数据。
交换机可将多台数据终端设备连接在一起,构成星状结构的网络。
交换机允许多对站点进行并发通信。
交换机采用盖时间戳的方法刷新交换表。
Cisco 大中型交换机使用"show cam dynamic" 命令显示交换表内容;小型交换机使用"show mac-address-table" 命令显示交换表内容。
交换表中没有接收到的帧的目的MAC 地址时,交换机用Flood 技术转发该帧。 25. 综合布线
高速终端可采用光纤直接到桌面的方案。
建筑群子系统是连接各建筑物之间的缆线,有双绞线、光缆,还有电气保护设备。 管理子系统设置在楼层配线间内。
多介质插座用来连接铜缆和光纤,嵌入式插座用来连接5类或超5类双绞线。
水平布线子系统电缆长应该在90米以内,信息插座应在内部做固定线连接。 STP 是有屏蔽层双绞线,UTP 是非屏蔽双绞线。
建筑群子系统可以是架空布线、巷道布线、直埋布线、地下管道布线,其中地下管道布线的铺设方式能够对线缆提供最佳的机械保护,是最理想的方式。
干线线缆铺设经常采用点对点结合和分支结合两种方式。
用户可以在管理子系统中更改、增加、交换、扩展线缆用于改变线缆路由。
在单一信息插座上进行两项服务时,宜采用Y 型适配器。
组合配置包括组合逻辑和配置形式,组合逻辑描述网络功能的体系结构;配置形式描述网络
单元的邻接关系。
26. 生成树协议(STP )
生成树协议标准是IEEE802.11D 。 BPDU 数据包有两种类型:配置BPDU (不超过35个字节)和拓扑变化通知BPDU (不超过4个字节)。
配置BPDU 中的Bridge ID信息,是选取根网桥或根交换机的主要依据。
Bridge ID由2个字节的优先级值和6个字节的交换机MAC 地址组成。
优先级取值范围是0~61440,增量是4096,默认值为32768,优先值越小,优先级越高。
27.VTP 有三种工作模式:VTP server、VTP client、VTP transparent
VTP server可以建立、删除和修改VLAN 。
VTP client的配置信息是从VTP server学到的,VTP client不能建立、删除和修改VLAN 。 VTP transparent不从VTP server学习VLAN 的配置信息,可以建立、删除和修改本机上的VLAN 。 28.VLAN
VLAN 工作在OSI 参考模型的数据链路层。
交换设备之间实现Trunk 功能,必须遵守相同的VLAN 协议。IEEE802.1Q 协议可使不同厂家的交换设备互连,是实现VLAN Trunk的唯一协议标准。 VLAN 技术划分逻辑工作组时不受位置和网段的限制,可将不同物理位置或网段的PC 机分配到同一个VLAN 中提高网络的安全性和管理性。
ID 为1的VLAN 是缺省VLAN ,用于设备管理,用户只可使用这个VLAN ,但不能删除它。
29.Cisco 路由器
Cisco 路由器用于查看路由表信息的命令是show ip route。 30.loopback 接口
loopback 接口没有一个实际的物理接口与之对应,也没有与其他网络节点相连接的物理链路
loopback 接口永远处于激活状态,网络管理员可以随时登陆到路由器上,对路由器进行配置管理。
网络管理员为loopback 接口分配一个IP 地址作为管理地址,其掩码为255.255.255.255。 loopback 接口号的有效值为0~2147483647。
31. 蓝牙系统技术指标
工作频段:ISM 频段2.402~2.480GHz
双工方式:TDD
业务类别:电路交换及分组交换业务
标称数据速率:1Mbps
异步信道速率:非对称连接723.2 kbps/57.6 kbps
对称连接433.9 kbps(全双工模式)
同步信道速率:64 kbps(3个全双工信道)
信道间隔:1 MHz
信道数:79
发射功率及覆盖:0dBm ,覆盖1~10m;20dBm ,覆盖100m
跳频频点数:79个频点/MHz
跳频速率:1600次/s
密钥:以8bit 为单位增减,最长128bit
32.DHCP 服务器
作用域是网络上IP 地址的完整连续范围
添加排除的IP 地址范围,只需排除起始IP 地址和结束IP 地址
租约是(DHCP 服务器指定的)客户机可以使用指派的IP 地址的时间段
保留创建永久地址租约,确保制定的硬件设施始终可使用相同的IP 地址。保留的地址可以是作用域地址范围中的任何IP 地址。
新建(添加)保留时需输入保留名称、IP 地址、MAC 地址、描述和支持类型等项目。
每一个作用域都需要设置可分配的IP 地址,DHCP 服务器负责多个网段IP 地址分配时需配置多个作用域。
收到非中继转发的“DHCP 发现”消息时,会选择收到“DHCP 发现”消息的子网所处的网段分配IP 地址。
不添加排除和保留时,服务器可将地址池内的IP 地址动态指派给DHCP 客户机。 客户机的地址租约续订是由客户端软件自动完成。
新建作用域后必须激活才可为客户机分配地址。
33. 入侵检测系统探测器获取网络流量的三种方法:
利用交换设备的镜像功能 在网络链路中增加一台集线器
在网络链路中增加一台分路器(TAP )
34.
35.ICMP
收到“Echo 请求”报文的目的节点必须向源节点发出“Echo 应答”报文。
ICMP 消息被封装在TCP 数据包内。
当数据包中指定的主机、协议、端口或节点无效或不可达时,源节点会收到一个“目标不可达”的报文。
IP 包的TTL 值减为0时路由器发出“超时“报文。
ICMP
36. APON 是ATM 和PON 相结合的产物,PON 即为无源光纤网络,属于有线接入技术。 APON 、EPON 、SDH 、WAP 是有线接入技术。
无线接入技术主要有WLAN 、WiMAX 、Wi-Fi 、WMAN 、Ad hoc。
光纤传输的中继距离可达100km 以上。
37. 高端路由器的可靠性与可用性指标:
无故障连续工作大于10万个小时
系统故障恢复时间小于30分钟
系统主备用切换时间小于50ms
SDH 与ATM 接口自动保护切换功能,切换时间小于50ms
主要部件有热拔插冗余备份,线卡要求有备份,并提供远程测试诊断能力。
路由器系统内部不存在单点故障。
38. 局域网设备
第二层交换机工作在数据链路层;第三层交换机工作在网络层。
集线器工作在物理层;路由器工作在网络层;中继器工作在物理层。
交换机在源端口与目的端口之间建立虚连接。
网桥的主要性能指标包括帧转发率和帧过滤速率。
网桥转发数据的依据是MAC 地址表。
39.HiperLAN
一个AP 所覆盖的区域称为一个小区,覆盖范围在室内为30m ,室外为150m 。
HiperLAN/1采用5G 射频频率,上行速率可达20Mbps 。
HiperLAN/2采用5GHz 工作频段,上行速率可达54Mbps 。
HiperLAN/2采用OFDM 调制技术。
40.DNS 服务器配置的主要参数
正向查找域:将域名映射到IP 地址数据库,将域名解析为IP 地址
反向查找域:将IP 地址映射到域名数据库,将IP 地址解析为域名
资源记录:包括主机地址(A )资源记录、邮件交换器(MX )资源记录、别名(CNAME )资源记录
转发器:本地DNS 服务器用于将外部DNS 名称的DNS 查询转发给该DNS 服务器,即用于外部域名的DNS 查询。
安装DNS 服务时,根服务器被自动加入到系统中。
生存时间(TTL )是该记录被查询后放到缓存中的持续时间,默认值为3600秒。
DNS 动态更新选项卡可选选项包括不允许动态更新、只允许安全的动态更新以及允许安全的和非安全的动态更新三个选项。
在Internet 上有13个根DNS 服务器,不需要在配置DNS 服务器时管理员手工配置。 动态更新允许客户机在发生更改时动态更新其资源记录。
DNS 服务器负责域名解析,由于DNS 服务器会被频繁访问,故其IP 地址应该是静态设置的固定地址。
41.IIS6.0
IIS6.0可以使用虚拟服务器在一台服务器上构建多个网站。
多个网站通过标识符进行区分,标识符包括主机头名称、IP 地址、非标准TCP 端口号。 可以为每个网站创建唯一的主目录并存储在本地服务器。
在网站配置选项中能够限制网站可使用的网络带宽。
42. 邮件服务器
POP 、IMAP 、HTTP 是接收邮件服务器类型,SMTP 是发送邮件服务器类型。
43. 防病毒工具必须能够针对网络中各个可能的病毒入口进行防护,故不能部署在网络出口的位置。 具备入侵防御功能的设备通常部署在服务器前或网络出口两个位置。
44. 漏洞扫描
被动扫描的工作方式类似于IDS ;主动扫描带有入侵的意味,会影响网络系统的正常运行。
系统扫描器(System Scanner)是系统层上通过依附于主机上的扫描器代理侦测主机内部的漏洞。
X-Scanner 采用多线程方式对指定IP 地址段进行安全漏洞扫描,提供了图形界面和命令行两种操作方式。
漏洞扫描工具的主要性能指标包括速度、漏洞数量及更新周期、是否支持定制攻击等。 CEV 为每个漏洞和暴露确定了唯一的名称和标准化的描述,用户可以用CVE 作为评判工具的标准,也可以参照CVE 字典和相应的数据库建立自己的风险评估指标体系。
基于网络的漏洞扫描器主要扫描设定网络内的服务器、路由器、交换机和防火墙的设备的安全漏洞。
分布式入侵检测系统(IDS )可以分为层次式、协作式和对等式等类型
层次式IDS 将数据收集的工作分布在整个网络中。
协作式IDS 的各数据分析模块可以相对独立地进行决策,具有更大的自主性。
对等式IDS 能真正避免单点故障的发生。
入侵检测系统(IDS )是一种被动的扫描方式,将探测器部署在链路中对网络性能影响最大。
45. IEEE802.16
802.16标准的重点是解决建筑物之间的数据通信问题。
802.16d 主要针对固定的无线网络部署;802.16e 则针对火车、汽车等移动物体的无线通信标准问题。
IEEE802.16定义了宽带无线城域网接入标准,提供用户访问Internet 所需要的路由服务。 传输速率为32~134Mbps,使用10~66 GHz无线频段。
与IEEE802.16标准工作组对应的论坛组织是WiMAX 。
按IEEE802.16标准建立的无线网络,基站之间采用全双工、宽带通信方式工作。
46.xDSL
47. 路由器配置方式
使用控制端口配置
使用AUX 端口连接一台Modem ,通过拨号远程配置路由器
使用telnet 远程登录到路由器上配置路由器
使用TFTP 服务,以拷贝配置文件、修改配置文件的形式配置路由器
通过网络管理协议SNMP 修改路由器配置文件的方式,对路由器进行配置
49. ROM 是只读存储器,用来永久保存路由器的开机诊断程序、引导程序和操作系统软件,主要任务是完成路由器的初始化进程。
Flash 是可擦写的ROM ,存储路由器当前使用的操作系统映像文件和一些微代码,保存的数据不会因为关机或路由器重启而丢失。
RAM 是可读可写存储器,存储路由表、各种缓存和运行配置文件等临时信息,关机和重启后数据自动丢失。
NVRAM 是可读可写存储器,存储启动配置文件或备份配置文件。
50.SNMP 操作
只有当团体字的访问模式是read-write (rw )的条件下才能实现Set 操作。
当管理站需要查询时,就向某个代理发出包含团体字和GetRequestPDU 的报文 当出现自陷情况时,代理会向管理站发出包含团体字和TrapPDU 的报文
代理向管理站发出一条Inform 通知而未收到确认消息时,会再次发送。
当SNMP 管理站收到一条Inform 通知后需要向发送者回复一条确认消息。
SNMP 主要操作有主要有获取(get )、设置(set )、通知(notification )。
MIB-2库中计量器类型的值可以增加也可以减少。MIB-2库中计数器类型的值只能增加不能减少。
由1.3.6.1.4.1.9. 开头的标识符(OID )定义的是私有管理对象。
SNMP 只在TCP/IP协议层上进行定义,并基于UDP 传输。
SNMP 管理模型中,Manager 通过SNMP 定义的PDU 向Agent 发出请求。 51. 网络需求详细分析包括网络总体需求分析、综合布线需求分析、网络可用性和可靠性分析、网络安全性需求分析以及网络工程造价估算。
52.RIP
RIP 是内部网管协议中的一种分布式、基于距离向量的路由选择协议。
RIP 要求路由器周期性地向外发送路由刷新报文。
路由刷新报文内容是由(V ,D )组成的表,其中V 标识该路由器可以到达的目标网络;D 指出该路由器到达目标网络的距离,对应该路由器上的跳数。
路由器接收到(V ,D )后按照最短路径原则更新路由表。
53. 采用RSA 算法,网络中N 个用户之间进行加密通信,需要密钥个数为2N 个。
54. 路由器技术指标
吞吐是指路由器的包转发能力
背板能力决定了路由器的吞吐量
语音、视频业务对延时抖动要求较高
突发处理能力是以最小帧间隔发送数据包而不引起丢失的最大发送速率来衡量。
55.IPv6地址表示方法
(1)IPv6的128位地址按每16位划分为一个位段,每个位段转换成一个4位的十六进制数,并用冒号隔开,称为冒号十六进制表示法。
(2)IPv6地址可能会出现多个二进制数0,可以通过压缩某个位段的前导0来简化,例如:“00D3”可简写为“D3”;“02AA ”可简写为“2AA ”;但“FE08”不可简写为“FE8”。
(3)若几个连续位段的值都为0,那么这些0就可以简写为“::”,称为双冒号表示法。
(4)压缩0时,不能把一个位段内部的有效0压缩掉。如:不能将FF02:30:0:0:0:0:0:5简写为FF2:3::5,应该简写成FF02:30::5。(ps :压前不压后)
(5)双冒号“::”在一个地址中只能出现一次。
56.
57.
58.
59.
60.
地址聚合的几道题:
1. IP 地址块202.113.79.128/27、202.113.79.160/27和202.113.79.192/27经过聚合后可用的地址数为()
A) 64
B) 92
C) 126
D) 128
答案:C
解析:地址块202.113.79.128/27可表示为11001010 01110001 01001111 10000000地址块202.113.79.160/27可表示为11001010 01110001 01001111 10100000地址块 202.113.79.192/27可表示为11001010 01110001 01001111 11000000从以上三个地址块的二进制形式中可以看出,前25位时完全相同的。因此三个地址块聚合后是202.113.79.128,聚合后的主机位是7位,可用地址数是27-2=126个。因此,选C 。
2. IP 地址块59.67.159.0/26、59.67.159.64/26和59.67.159.128/26聚合后可用的地址数为()
A) 126
B) 186
C) 188
D) 254
答案:C
解析:由题意可知,地址59.67.159.0/26与59.67.159.64/26可以合并网段为59.67.159.0/25,这与59.67.159.128/26无法聚合,所以可用的地址数为59.67.159.0/125网段的27-2=126和59.67.159.128/26为地址数64-2=62相加。答案为C 。
3. IP 地址块202.113.79.0/27、202.113.79.32/27和202.113.79.64/26经过聚合后可分配的IP 地址数为()
A) 62
B) 64
C) 126
D) 128
答案:C
解析:经过子网聚合,IP 地址块为202.113.79.0/25,去掉第一个IP 和最后一个IP 即得128-2=126。
4. 某企业产品部的IP 地址块为211.168.15.192/26,市场部的为211.168.15.160/27,财务部的为211.168.15.128/27,这三个地址块经聚合后的地址为()
A) 211.168.15.0/25
B) 211.168.15.0/26
C) 211.168.15.128/25
D) 211.168.15.128/26
答案:C
解析:产品部的网络前缀为211.168.15.11000000(最后一个部分为二进制表示),市场部的网络前缀为:211.168.15.10100000,财务部的网络前缀为211.168.15.10000000,三个地址块聚合后的前25位相同(找相同的部分),因此,聚合后的网络地址为211.168.15.128/25。
5. IP地址块59.81.1.128/28、59.81.1.144/28和59.81.1.160/28经过聚合后可用的地址数为()
A) 40
B) 42
C) 44
D) 46
答案:C
解析:地址块59.81.1.128/28 00111011 01010001 00000001 10000000
地址块59.81.1.144/28 00111011 01010001 00000001 10010000
地址块59.81.1.160/28 00111011 01010001 00000001 10100000
前两个地址块的前27位相同,可以聚合,结果为 202.113.79.128/27,共30个可用地址,另一个地址块不能汇聚,可用地址为14个,所以共44个。
6. (1)若某大学分配给计算机系的IP 地址块为202.113.16.224/27,分配给自动化系的IP 地址块为202.113.16.192/27,那么这两个地址块经过聚合后的地址为()
A) 202.113.16.0/24
B) 202.113.16.192/26
C) 202.113.16.128/26
D) 202.113.16.128/24
答案:B
解析:地址聚合计算办法:取两个网络前缀共同的部分,即为聚合后的地址。计算机系的IP 地址块为202.113.16.224/27,其二进制表示为:11001100.01110001.00010000.11100000/27,自动化系的IP 地址块为202.113.16.192/27,其二进制表示为:11001100.01110001.00010000.11000000/27,这两个IP 地址的子网掩码均为255.255.255.224(11111111.11111111.11111111.11000000),向前一位,掩码编程25个1就能实现成为一个网段,即两个IP 地址可聚合为202.113.16.192/26。
(2)若某大学分配给计算机系的IP 地址块为202.113.16.128/26,分配给自动化系的IP 地址块为202.113.16.192/26,那么这两个地址块经过聚合后的地址为()
A) 202.113.16.0/24
B) 202.113.16.0/25
C) 202.113.16.128/25
D) 202.113.16.128/24
答案:C
解析:地址聚合计算办法:取两个网络前缀共同的部分,即为聚合后的地址。计算机系的
IP 地址块为202.113.16.128/26,其二进制表示为:11001100.01110001.00010000.10000000/26,自动化系的IP 地址块为202.113.16.192/26,其二进制表示为:11001100.01110001.00010000.11000000/26,这两个IP 地址的子网掩码均为255.255.255.192(11111111.11111111.11111111.11000000),向前一位,掩码编程25个1就能实现成为一个网段,即两个IP 地址可聚合为202.113.16.128/25。
7. 某公司分配给人事部的IP 地址块为159.167.159.224/27,分配给培训部的IP 地址块为159.167.159.208/28,分配给销售部的IP 地址块为159.167.159.192/28,那么这三个地址块经过聚合后的地址为
A) 159.167.159.192/25
B) 159.167.159.224/25
C) 159.167.159.192/26
D) 159.167.159.224/26
答案:C
解析:159.167.159.224/27的二进制表示为10011111.10100111.10011111.11100000 159.167.159.208/28的二进制表示为10011111. 10100111.10011111.11010000 159.167.159.192/28的二进制表示为10011111. 10100111.10011111.11000000 三者共同部分的二进制表示为10011111. 10100111.10011111.11000000
因此,经路由聚合后的超网IP 地址块为159.167.159.192/26
8. IP 地址块202.111.15.128/28、202.111.15.144/28和202.111.15.160/28经过聚合后可用的地址数为()。
A) 40
B) 42
C) 44
D) 46
答案:C
解析:202.111.15.128/28=(11001010. 01101111.00001111.10000000)
202.111.15.144/28=(11001010. 01101111.00001111.10010000)
202.111.15.160/28=(11001010. 01101111.00001111.10100000)
前两个IP 地址段可以聚合,聚合后的地址块为202.111.15.128/27,主机号5位,最多提供25-2=30个可用IP 地址。第三个地址块网络号与前两个地址块聚合后的网络号前26位不相同,不能聚合,此网段最多提供24-2=14个可用IP 地址,因此总共可以提供的可用地址数为44。故C 选项正确。
9. IP地址块202.113.79.0/27、202.113.79.32/27和202.113.79.64/27经过聚合后可用的地址数为()。
A) 64
B) 92
C) 94
D) 126
答案:B 。
解析:IP 地址块202.113.79.0/27和202.113.79.32/27经过聚合后为202.113.79.0/26,其中全0和
65全1不能用,因此可用地址数为2-2=62个,而202.113.79.64/27无法聚合,可用地址数为2-2=30
个。所以总共可用的地址数为62+30=92个。因此B 选项正确。
10.
答案:
解析: 11. 答案: 解析: 12. 答案: 解析: 13. 答案: 解析: