计算机四级网络工程师要点.docx
《计算机四级网络工程师要点.docx》由会员分享,可在线阅读,更多相关《计算机四级网络工程师要点.docx(61页珍藏版)》请在冰点文库上搜索。
计算机四级网络工程师要点
计算机四级网络工程师要点
帧中继网不是基于点对点连接的窄带公共数据网,是一种数据报交换
技术,使用逻辑连接。
核心交换层结构设计重点是可靠性,可扩展性与开放性。
汇聚层进行本地路由,过滤,流量均衡及安全控制等处理。
IEEE已经对速率从10Mbps,100Mbps,1Gbps,10Gbps的技术标准
化了,但100Gbps的仍在研究中。
IEEE802.16建立的无线网络,要求基站之间采用全双工,宽带方式
工作。
管理和运营宽带城域网的关键技术是:
带宽管理,服务质量,网络管
理,用户管理,多业务接入,统计与计费,IP地址的分配转换,网
络安全等。
网络互连设备主要有中继器,集线器,路由器,交换机等。
网络接入
设备有网卡,调制解调器等。
网络服务器不包括DOS,DOS属于工作站操作系统。
拨号上网的速率通常为33.6kbps。
广域网是一种公共数据网络。
PON非对称业务的下行传输速率是622.080Mbps。
CableModem上行速率在200kbps-10Mbps
RPR能够在50ms内隔离出现故障的结点和光纤段,两个RPR结点之
间的裸光纤最大长度为100公里,内环和外环都可以传输数据分组和
控制分组,环中的每一个结点都执行SRP公平算法。
BPDU数据包有两种类型:
一种是包含配置信息的配置BPDU(不超过
35B),一种是包含拓扑变化信息的拓扑变化通知BPDU(不超过4B)
支持信息系统的网络包括网络传输基础设施和网络设备;网络应用软
件与运行环境包括:
网络数据管理系统与网络软件开发工具。
网络开发工具包括数据库开发工具,web应用开发工具与标准开发工
具。
Web应用开发工具主要有HTML/XML标准文档开发工具。
标准开
发工具包括:
Java,VisualBasic,Delphi。
大型网络系统的建设需要聘请专业的监理公司对项目执行的全过程
进行监理。
为确保网络的可用性和安全性,可采取:
关键数据采用磁盘双工,双
机容错,异地备份与恢复措施及保证关键设备的冗余。
接入层网络用于将终端用户计算机接入到网络中。
主干设备一定要留有一定的余量,使系统具有可扩展性。
路由器的冗余:
接口冗余,电源冗余,系统板冗余,时钟冗余与整机
设备冗余。
交换机可分为固定端口交换机和模块式交换机。
支持500个以上结点可选取企业级交换机,300一下可选取部门级交
换机,100以下为工作组交换机。
局域网交换机的多个“端口”有自己的专用带宽,并且可以连接不同
的网段,可并行工作从而大大提高了信息吞吐量。
文件服务器采用集中方式管理共享文件。
部门级服务器一般支持的CPU数目是2-4
集群技术是一组独立的计算机提供高速通信线路,组成一个共享数据
与存储空间的服务器系统,提高了系统的数据处理能力。
对称多处理
技术可以在多CPU结构的服务器中均衡负荷,提高工作效率。
配置管理的目标是掌握和控制网络和系统的配置信息以及网络内各
设备的状态和连接关系。
宽带城域网在组建方案中一定要按照电信级运营的要求,考虑设备冗
余,线路冗余,路由冗余以及“系统故障的快速诊断与自动恢复”
宽带城域网的用户管理包括:
用户认证,接入管理与计费管理。
宽带城域网必须具备IP地址分配能力,能够支持动态和静态地址分
配,支持网络地址转换NAT功能。
核心层网络一般要求承担整个网络流量的40%-60%
网络应用软件开发与运行环境包括:
网络数据库管理系统与网络软件
开发工具。
网络需求详细分析包括:
网络总体需求分析,综合布线需求分析,网
络可用性与可靠性分析,网络安全性需求以及网络工程造价估算。
网络关键设备选型原则:
产品系列与厂商的选择;网络的可扩展性考
虑;网络技术先进性考虑。
地址转换技术研究始于1996年。
某个子网有14台主机,则该子网的子网掩码为255.255.255.224
Internet上的地址有域名和IP地址两种表示形式。
IPv6采用冒号十六进制。
CIDR地址的一个重要特点是:
地址聚合和
路由聚合。
用于软件测试盒本地进程间通信的PING程序使用回送地址
127.0.0.0
根据网络总体设计中物理拓扑设计的参数,确定以下两个主要数据:
网络中最多可能有的子网数量,网络中最大网段已有的和可能扩展的
主机数量。
CIDR特点:
地址聚合和路由聚合
变长子网掩码;网络地址转换NAT;
中继器工作在物理层,网桥工作在数据链路层,路由器工作在网络层。
自治系统将Internet的路由分为两层:
第一层路由器和第二层路由
器。
路由收敛是指网络设备的路由表与网络拓扑结构保持一致。
RIP基于
距离矢量路由算法。
OSPF也有跳数限制,最大跳数为65536.链路状态发生变化时用洪泛
法向所有路由器发送此信息。
在主干区域内“自治系统边界路由器”专门和该自治系统之外的其他
自治系统交换路由信息。
BGP的最新版本是BGP4,与1995年颁布。
CIDR协议路由选择为:
最长前缀匹配选择。
在网络中,一台主机通常是与一台路由器相连接,这台路由器就是该
主机的“默认路由器”
Internet中自治系统最重要的特点就是它有权决定在本系统应采用
何种“路由选择”协议
自治系统之间的路由选择使用的是“域间路由选择”协议。
更新分组时BGP协议的核心
BGP协议交换路哟信息的结点数是以自治系统数位单位的。
综合布线由不同系列和规格的部件组成,但不包括路由器,网卡。
综合布线的首要特点是兼容性。
适用于配置标准中等的场合综合布线系统的等级是增强型。
增强型综合布线系统的配置要求:
每个工作区有两个或以上信息插座,
配线电缆为两条4对双绞电缆,采用夹接式或插接交接硬件,干线电
缆至少有两对电缆线。
具有网络管理功能的独立集线器是基础集线器。
透明网桥刚接到局域网时,其MAC地址表是空的。
在水平子系统的设计中,对于100M以下,10M以上的高速数据的传
输,可以采用的导线类型是5类或6类双绞线;对于10M一下,采用
4类或5类双绞线;对于100M以上,采用光纤或6类双绞线。
干线子系统设计中线缆选择的依据是:
信息类型,传输速率及信息的
带宽和容量。
虚拟局域网建立基础是交换技术。
在互连的网络设备中,交换机与网桥相比,区别在于:
交换机连接的
网段比网桥的多。
局域网中任何一个结点出现故障都不会影响整个网络的工作,局域网
的拓扑结构是:
总线型结构。
决定局域网特性的几个主要技术中,最重要的是介质访问控制方法。
网桥通常将一个大型局域网分成既独立又能相互通信的多个子网的
互连结构。
千兆以太网和快速以太网的区别只是相应的物理协议。
网桥中为例防止网络中出现环状结构,使用的算法是生成树。
集线器构成一个冲突域,网桥和交换机可能分割冲突域,路由器可能
分割广播域。
干线子系统是综合布线系统的神经中枢。
在双绞线组网方式中,以太网的中心连接设备是集线器。
根据生成树协议,每个网段会有一个指定端口,这个端口是激活的。
除此之外的该网段上的所有端口都处于阻塞状态。
透明网桥的MAC地址表要记录三类信息:
站地址,端口和时间。
所有连接在一个集线器上的结点共享一个冲突域。
FastEthernet自动协商过程要求在500ms内完成
100BASE-T4使用4对3类非屏蔽双绞线,最大长度为100m,三对双
绞线用于数据传输,一对用于冲突检测。
数据传输采用半双工方式。
综合布线优越性表现在:
兼容性,开放性,灵活性,先进性,经济型
与可靠性。
综合布线采用的主要连接部件分为建筑群配线架,大楼主配线架,楼
层配线架,转接点和通信引出端。
透明网桥特点:
透明网桥由每个网桥自己来进行路由选择;透明网桥
一般用于两个MAC层协议相同的网段之间的互联;透明网桥的最大优
点是容易安装。
100BASE-T为质量较差的3类非屏蔽双绞线设计的快速以太网协议标
准。
结构化综合布线方案中,100m包括跳线,工作区和设备区接线在内
的总长度。
局域网交换机建立和维护一个表示目的MAC地址与交换机端口对应
关系的交换表,根据进入端口数据帧中的MAC地址,转发数据帧或丢
弃。
建立虚拟交换网的主要原因是使广播流量最小化。
IEEE802.1q中,VLANID用12位表示,但并不是所有的交换机都可
以支持4096个VLAN,一部分只支持1-1005.
同一个VLAN中的两台主机可以跨越多台交换机。
虚拟局域网中继协议VTP用于在交换机之间交换不同VLAN信息。
虽
然交换机的默认工作模式是VTPServer,但是其VTP域的名称是NULL,
所以无法将其配置信息广播给其他交换机。
在交换机之间实现TRUNK功能,必须遵守相同的VLAN协议。
CMS网络管理界面可以完成的基本管理功能是:
查看交换机运行状态,
VLAN配置,端口配置。
如果要彻底退出交换机的配置模式,输入的命令是:
Ctrl+Z。
使用telnet配置交换机必背条件:
网络连通;权限;配置好管理地
址,如ip,子网掩码,缺省路由;密码。
在STp工作过程中,被阻塞的端口仍然是一个激活的端口。
配置路由器的HTTP用户认证方式时,默认配置是:
enable。
在Catalyst3500系统配置交换机端口时,默认通信方式是自适应。
Console的接口标准是RJ-45.
快速转发交换模式在交换机接受到帧中6个字节的目的地址后便立
即转发数据帧。
在大,中型交换机中,显示交换机的命令是:
showcamdynamic。
在使用共享存储器交换结构的交换机中,数据帧的交换功能是通过共
享存储器RAM实现的。
CSM网络管理界面可以完成以下基本管理功能:
查看交换机运行状态,
VLAN配置,端口配置。
在CSM网络管理界面,单击“topology”,看到该交换机与其他交换
机连接的拓扑图。
可用于Ethernet的VLANID为1-1000,1002-1005是FDDi和Token
Ring使用的VLANID
局域网交换机通过一种自学习的方法,自动地建立和维护一个记录着
目的MAC地址与设备端口映射关系的交换表。
使用远程登录Telnet对交换机进行配置时,可以利用网上的任意一
台计算机,以模拟终端的方式远程登录到交换机上实现。
STP的配置任务有:
打开或关闭交换机的STP,设置STP根网桥,备
份根网桥,配置生成树优先级,配置路径代价,配置STP可选功能。
生成树优先级增量是4096
三层交换机之间没能自适应,两个交换机之间的连接速度是10M/s,
半双工传输方式。
将三层交换机之间的LAN端口强制设置成非自协商,100Mbps,全双
工模式。
TFTP是一种简化的文件传输协议,没有权限控制。
Loopback可以作为OSPF和BGP的routerid,但是不能作为RIP的
routerid。
保存在闪存中的数据在关机或路由器重启时不户丢失。
RIP使用广播方式发送路由更新信息。
IGRP的作用范围是自治系统内。
两主机A和B通过一路由器R互连,A和R之间与B和R之间的数据
帧是不同的,但IP数据报是相同的。
路由器和计算机一样具有中央处理器,内存,存储器等硬件系统,没
有图形用户界面,没有键盘输入设备。
路由表内容包括:
目的网络地址,下一跳路由器地址和目的端口等信
息,还包括缺省路由器的路由信息。
路由器的接口主要有三类:
局域网接口,广域网接口和路由器配置接
口。
一台主机的缺省网关是主机在同一个子网的路由器端口的IP地址。
查看路由器的配置信息和路由表,分别使用showconfiguration和
showiproute
DHCP客户的IP地址应配置为自动获取。
扩展访问控制列表的表号范围是100-199
在pathping命令中,指定两次ping之间时间间隔的选项是-P
“DHCP发现”报文源地址是0.0.0.0,目标地址是255.255.255.255
与DHCP服务器配置有关的原因有:
作用域选项中“DNS服务器选项”
或“路由器选项”有误。
Writememory命令可以将路由器的配置保存到NVRAM
如果DNS服务器需要解析它来自本身的Internet服务提供商的名称,
则必须进行“转发域名服务器”配置。
默认情况下DNS服务器禁用的选项是调试日志
Aironet1100系列接入点兼容的是IEEE802.11b和IEEE802.11g,不
兼容IEEE802.16.
SystemName表示系统名称,无线接入点的标识。
第一次配置无线接入点,一般采用本地配置模式,即无须将无线接入
点接到一个有限的网络中。
无线局域网的设计中文档的产生过程与整个设计和实施过程保持严
格地一致。
IEEE802.11b只允许一种标准的信号发送技术。
HiperLAN/2的速率在物理层最高可达54Mbps。
IEEE802.11在MAC层引入了新的RTS/CTS选项,是为了解决hidde
node问题。
在HiperLAN/2的典型网络拓扑结构中,一个小区的覆盖范围在室内
为30m,在室外为150m
IEEE802.11b典型解决方案有:
对等解决方案,单接入点解决方案,
多接入点解决方案,无线中继解决方案。
Aironet1100主要为企业办公环境设计,兼容802.11b和802.11g,
工作在2.4GHz,使用IOS操作系统。
主要用于独立无线网络的中心
点或无线网络和有线网络之间的连接点。
无线局域网硬件设备主要包括:
无线网卡,无线接入点AP,天线,
无线网桥,无线路由器与无线网关。
蓝牙的软件体系是一个独立的操作系统,不与任何操作系统捆绑。
蓝
牙软件结构标准包括核心和应用协议两部分,蓝牙协议核心部分主要
定义蓝牙的技术细节,应用协议则为全球兼容性奠定了基础。
无线AP的桥接软件需符合IEEE802.1d桥接协议规范。
蓝牙系统的跳频速率为1600次/s
802.11b网卡可转到休眠模式,接入点将信息缓冲到客户。
在基于IEEE802.11标准的无线局域网主要技术中,正交频分复用技
术克服了多路信道干扰。
若要求节点在同一个逻辑网络,应选用的无线设备是“无线网桥”
当使用IIS管理器将站点配置成使用带宽限制时,系统将自动安装数
据包计划程序,并且IIS自动将带宽限制设置成最小值1024bps。
FTP是基于客户-服务器结构通信的,作为服务器一方的进程,通过
侦听端口21得知有服务请求,在一次会话中,存在2个TCP连接。
WEB站点的默认文档中依次有index.htm,default.htm,default.asp,
最前面的优先级最高。
WEB服务器上的文本,图像和声音等信息都是以独立的文件存储的。
发送邮件通常用SMTP协议,而接收邮件通常用POP3协议或IMAP。
必须要等FTP服务器的域创建完成并且添加用户后,客户端才可以访
问。
在小型的并且不接入Internet的网络中,采用静态的方法进行域名
解析,即由hosts文件完成,完成动态名字解析的系统称为DNS。
在处理HTTP请求过程中响应事件的程序是“ISAPI筛选器”。
IIS6.0使用虚拟服务器的方法在一台服务器上可以创建多个网站。
FTP服务器配置参数有:
域,匿名用户,命名用户,组。
常见的邮件服务器软件可以构建多个虚拟邮件服务器,每个邮件服务
器称作“域”
设置IIS安全性功能之前确认用户的用户标识,可以选择配置三种方
法:
身份验证和访问控制,IP地址和域名限制与安全通信。
IIS6.0使用虚拟服务器的方法在一台服务器上可以构建多个网站。
FTP服务器的基本配置完成后,需对选项进行配置,包括服务器选项,
域选项,组选项和用户选项。
在DNS服务器中,输入172.16.1的ID,默认对应的区域文件名为
“1.16.172.in-addr.arpa.dns”
显示域列表,计算机列表的DOS命令式netview
网络防攻击主要问题需要研究的几个问题:
网络可能遭到哪些人的攻
击?
攻击类型与手段可能有哪些?
如何及时检测并报告网络被攻击?
如何采取相应的网络安全策略与网络安全防护体系?
窃取是攻击保密性。
D类的安全要求最低,属于非安全保护类。
C类系统是用户能定义访
问控制要求的自主保护类型。
B类系统属于强制性安全保护类。
A类
级别最高。
破密者面临的从易到难排列依次为:
选择明文,已知明文,仅知密文。
没有自我复制功能的病毒是特洛伊木马病毒。
网络病毒影响对象既有单一的PC,也有具有通信机制的工作站。
为了防范Internet上网络病毒对企业内部网络的攻击及传输,通常
在企业内部可设置防病毒过滤网关。
防火墙不具有风险评估,修复,统计分析和安全风险集中控制等功能。
通常将防火墙的系统结构分为包过来路由器结构,双宿主主机结构,
屏蔽主机结构和屏蔽子网结构。
记录网络攻击事件并采取相应措施是入侵防护系统的内容,不是入侵
检测系统的功能。
状态检测保留防火墙状态连接表,并将网络的数据当成一个个的会话,
利用状态表跟踪每一个会话状态。
异常检测的优点是检测完整性高,检测能力强,较少依赖于特定的操
作系统环境。
缺点是误警率高,需要不断在线学习。
分布式入侵防护系统分为层次式,协作式及对等式。
入侵防护系统分为基于主机,基于网络和应用入侵防护系统。
光盘库是一种带有自动换盘机构的光盘网络共享设备。
磁带库是基于磁带的备份系统,适用于数据要求量很大的中,小型企
业。
磁带库通过存储局域网络SAN系统可形成网络存储系统。
磁盘阵列是指将多个类型,容量,接口,甚至品牌一致的专用硬盘或
普通硬盘连成一个阵列,使其能以某种快速,准确和安全的方式来读
写磁盘数据。
它将多个数据选择性地备份在多个磁盘上,从而能提高
系统的数据吞吐率,免除单块磁盘故障所带来的灾难性后果。
CD-ROM光盘塔是由多个SCSI接口的CD-ROM驱动器串联而成,光盘
预先放置在CD-ROM驱动器中。
光盘库是一种带有自动换盘机构的光盘网络共享设备。
光盘网络镜像服务器是最新开发的在网络上实现光盘信息共享的网
络存储设备。
网络系统安全包括5个基本要素:
保密性,完整性,可用性,可鉴别
性和不可否认性。
网络安全模型的P2DR模型中,核心是策略。
即策略,防护,检测,
响应。
冷备份又称为离线备份,热备份又称为在线备份。
信息传输过程中,可能存在4种攻击类型:
截获信息,窃听信息,篡
改信息及伪造信息。
按照寄生方式,计算机病毒可以分为“引导型病毒,文件型病毒及混
合型病毒”。
防火墙分为包过滤路由器,应用级网关,应用代理和状态检测。
屏蔽主机结构:
屏蔽主机结构防火墙系统由屏蔽路由器与堡垒主机构
成。
入侵检测系统通用框架一般由事件发生器,事件分析器,响应单元和
事件数据库。
网络版防病毒系统通常是由系统中心,服务器端,客户端,管理控制
台等子系统组成。
网络安全风险评估系统分为基于应用和基于网络的两种评估技术。
基于网络的入侵防护系统布置于网络出口处,一般串联于防火墙与路
由器之间。
引导型病毒指寄生在磁盘引导区或主引导区。
应用入侵防护系统防止诸多入侵,包括Cookie篡改,SQL代码嵌入,
参数篡改,缓冲器溢出,强制浏览,畸形数据包,数据类型不匹配以
及已知“漏洞”
网络版防病毒系统的基本安装对象包括:
系统中心的安装,服务器端
的安装,客户端的安装和管理控制台的安装。
扫描设置通常包括文件类型,扫描病毒类型,优化选项,发现病毒后
的处理方式,清除病毒失败后的处理方式,杀毒结束后的处理方式和
病毒隔离系统的设置。
在SNMP中,trap操作是代理进程主动向管理站发送报文,用来通报
重要事件的发生,而管理站对这种报文不必有所应答。
网络管理主要设计网络服务提供,网络维护和网络处理三个方面的内
容。
SNMP和CMIP使用相同的抽象语法符号。
SNMPv1的管理信息库定义的应用数据类型timeticks的单位是0.01s。
网络管理分为5个功能域:
配置管理,性能管理,记账管理,故障管
理和安全管理。
SNMP的管理模型是基于manager/server模式的,并不是在每层都有
管理实体,只有在TCP/IP协议层上定义。
CMIP采用面向对象的传输,而SNMP是基于无连接的UDP。
ICMP不能纠正差错,只是报告差错。
差错处理需要由高层协议上完
成,其不能保证所有的IP数据包都能传输到目的主机。
用于通告网络拥塞的ICMP报文是:
源抑制。
Netstat命令用来显示活动的TCP连接,侦听的端口,以太网的统计
信息,IP路由表和IP统计信息。
在Windows2003中,用于管理网络环境,服务,用户,登录等本地信
息的命令是:
net。
网络管理软件可能完成的功能有:
网络性能监控,拓扑管理,IP地
址管理,探测功能。
组用户可以分为:
本地组,全局组,通用组。
公共管理信息协议规定在管理站和代理之间的信息交换通过发送PDU,
通信方式与轮询和事件报告两种。
SNMP一般用于计算机网络管理,CMIP用于电信网络管理。
SNMP中团体由一个代理和多个控制管理该代理的管理站组成,每个
团体的各管理站只能按照规定的访问模式访问“视域”规定范围内的
对象。
MIB-2库中的管理对象可分为:
标量对象和表对象。
域用户管理是通过工具“ActiveDitectory用户和计算机”实现的。
Windows2003中,性能管理包括系统监视器和性能日志和警报。
使用SNM管理的网络管理系统,核心步骤是在管理站和代理上实施正
确的SNMP的设置,特别是团体的设置。
漏洞扫描应分为被动和主动两种。
X-scanner采用多线程方式。
MBSA可以分析本机的安全性。
一个基于主机的漏洞扫描系统通过依附于主机上的扫描器代理侦测
主机“内部”的漏洞。
Snifferpro的historysample收集一段时间内的各种网络流量信
息,通过这些信息可以建立网络运行状态的基线,设置网络异常的报
警“阈值”
InternetScanner执行预定的或事件驱动的网络探测,包括对网络
通信服务,操作系统,路由器,电子邮件,web服务器,“防火墙”
和应用程序的检测,从而能识别被入侵者利用来非法进入网络的漏洞。
WSUS“实时”连接。
SNMP团体的访问控制设置中的访问控制表号是一个1-99的整数
ICMP报文封装在IP数据单元中。
SNMP和CMIP采用的抽象语法符号相同。
在Windows2003中有本地用户和域用户两种类型。
本地用户信息存储
在本地计算机的“账户管理数据库中”,用户登录后只能根据权限访
问本地计算机。
域用户信息存储在域控制器的活动目录中,用户登录
后可以根据权限访问整个域中的资源。
安装并配置SNMP代理程序,
升级会员 