背靠背帧数:缓存能力,最小帧间隔不丢包最大数据包数
路由表能力:容量大小
背板能力:输入输出间物理通道,传统路由器--共享背板;高性能--交互式结构
丢包率:超负荷工作性能
时延抖动:
内部时钟精度:AMT-电路仿真;POS路由器互联;误码率
冗余:可靠性可用性
网络管理类型与能力:SNMP
突发能力处理:最小帧间隔发送,不引起丢包的最大速率
可靠性与可用性:热拔插,无故障连续工作时间
路由器的服务质量主要体现在队列管理机制与支持的QOS协议类型上
宽带城域网
网络平台,业务平台,管理平台,城市宽带出口
核心交换层---连接汇聚层,分组转发
整个城域网高速安全具有QOS;
与主干网络互联,城市宽带IP数据出口
用户访问INTERNET的路由服务
汇聚层----汇接接入层流量,汇聚,转发,交换
本地路由,过滤,流量均衡
QOS优先级管理,安全控制
IP地址转换,流量整形
带内管理---管理信息与数据信息同一物理信道
带外-----不同信道
QOS技术---资源预留RSVP,区分服务DiffServ,协议标记交换MPLS
统计与计费---SNMP(带外)--MIB
NAT技术
RPR弹性分组环
自愈环;
50ms隔离;
每个节点SRP公平算法,平等带宽
双向:内环逆方向,外环顺方向,均可传输控制数据IP分组。
两个节点裸光纤最大长度100km
路由器指标
全双工线速转发能力:最小包长和间隔-双向传输不丢包
设备及端口吞吐量:包转发能力---端口数量,速率,包长度,类型
全国计算机等级考试四级网络工程师
1
2
接入技术
(1)ADSL--非对称,上行16-640kbps,下行1.5-8Mbps
HDSL--对称
VDSL---非对称,上行1.5-2.3Mbps,下行13-52Mbps
(2)HFC混合光线通州网络--带宽数据通信CATV---模拟技术
双线传输,上行---200k-10Mbps
光纤节点通过同轴电缆引出用户500-2000
CABLEMODEM---频分复用,将计算机与同轴电缆连接
(3)光纤接入,中继可达100km以上
SDV----波分,空分复用,数字
(4)无线接入
WLAN:定义了物理层与MAC协议
两类设备--无线节点与无线接入点(后者无线与有线连接桥梁)
CSMA/CA(利用ACK避免冲突)或DCF
WMAN:802.16
路由服务,10-60GHZ,70Mbps,WiMAX
IPV6
前导0可省,只能出现一个::
外部网关协议BGP
不同自治系统路由器交换路由信息
TCP可靠
节点数---自治系统数为单位
BGP-4采用路由向量协议
Open---建立链接;update---通告可达路由,撤销无效路由
Keepalive---周期性确保链接;Notification---差错通告
3
内部网关协议
(1)路由信息协议RIP
分布式,基于路由向量
路由刷新报文,若干(V,D)表,V为目的网络或主机
D为距离(最短路径原则)
周期性向外发送刷新报文
(2)开放最短路径优先协议OSPF
分布式状态链路协议
单一自制系统,变化--泛洪
让每一个路由器用数据库描述分组与相邻路由器交换数据库中的链路状态
摘要信息,分组交换获得全网链路数据,不保存完整路由表
链路状态度量主要指--费用,距离,延时,带宽
划分区域,使泛洪链路状态交换局限在区域内,加快收敛,并不知道其他区
域网络拓扑
一个区域内路由器不超过200个
32位区域标识符,所有路由器最终都能建立一个数据库,存放全网拓扑结
构
综合布线
终端有高速率要求时,水平子系统可采用光纤直接铺设到桌面
信息插座---嵌入式---连接双绞线
表面
多介质---铜缆与光纤
建筑群布线子系统----地下管道布线最佳保护
干线线缆铺设采用点对点和分支结合
管理子系统中更改,增加,交换,扩展线缆来改变线缆路由
双绞线扭绞---抗电磁干扰
STP双绞电缆---屏蔽层比UTP防辐射强
作为水平布线系统电缆,UTP长度在90m以内
4
工作区子系统适配器
设备与不同信息插座互连,专用电缆获适配器
单一信息插座进行2项服务,Y型适配器
水平子系统中选用电缆类别不通于设备所需电缆类别时,使用适配器
适配器可具有转换不通数据速率,不同信号的数模转换的功能
工作区内不同的电信终端设备,配备相应终端适配器
局域网设备
中继器:物理层,共享一个冲突域,不是网络互连设备
集线器:物理层,共享一个冲突域,只与上层通信
执行CSMA/CD介质访问控方法
通过在网络链路串接一个集线器可以侦听该链路中的数据包
网桥:数据链路层
不同数据链路层协议,传输介质,速率
接受,转发,地址过滤
帧转发策略:透明网络(生成树,核心根网桥选择)与源路由网络
MAC地址表---不同节点物理地址与网桥转发端口关系
交换机:数据链路层,
学习MAC地址
自动寻址交换
连接其上的网络独享全部带宽,无须竞争
SONET光缆基本速率
OC-1—51.8Mbit/s,OC-n,n倍51.8
5
网络需求分析:
总体需求分析,综合布线需求分析,网络可用性和可靠性分析,网络安全性
分析,网络工程造价分析
网络分层设计
方便分配与规划带宽
负载平衡
网络效率
上联带宽与下一级带宽之比1:20
以太网技术特征
按需求分配带宽
认证授权访问
计费
VPN,防火墙
支持MPLS,分等级QOS
光以太网是以分组为单位传输数据
生成树协议STP
STP是一个数据链路层的管理协议
在网桥和交换机上,通过计算简历一个稳定,无回路的树状结构网络
网桥协议数据单元携带了生成树算法的有关信息,包括RootID,RootPathCost,
BridgeID,PortID,MaxAge(核心:根桥--桥ID最小,orMAC地址最小)
BPDU配置信息,不超过35B
BPDU,拓扑信息变化,不超过4B
主要功能:在保证网络没有回路的前提下,允许第2层链路提供冗余路径
BackboneFast:阻塞端口无需等待直接从侦听和学习状态转化为转发转态,30s,
提高间接链路失效的收敛速度setspantreebackbonefastenable
6
UplinkFast:马上把阻塞状态端口切换到转发状态,不需侦听学习
PostFast:一般用于单个主机或服务器端口配置,否则产生暂时循环
BPDUFilter:指定端口转发状态,停止发BPDU,也不处理接受到的BPDU
不同子网,不同VLAN
必须通过第三层交换机的路由功能完成
VLAN协议
ISL,IEEE802.10,IEEE802.1Q
ISL是Cisco内部交换链路协议,不适用与3COM
IEEE802.1Q能将不通厂家交换机互联
VLANTrunk(protocol)VTP--两台交换机宽口都使用相同的VLAN协议
VLANID12位,1-4096.1-1005是交换机支持的标准范围,1是默认VLAN,
用于设备管理,不能删除
VLANname用32个字符表示
VLAN通常用VLANID与VLANname来表示
以太网的VLAN号范围是1-1000
默认VLAN名根据VLANID生成
VTP:
VLAN中继or干道协议
管理同一个域名网络范围内VLAN的建立,删除,重命名
工作模式:
VTPServer:一个VTP域内的整个网络只设一个
维护该VTP域内所有VLAN信息表,可建立删除,修改VLAN
VTPClient配置由Server学到
不能建删改VLAN
VTPTransparent:独立交换机,不学习,只拥有本设备自维护VLAN信息
802.1Q封装---settrunk
7
Settrunk3/1ondot1q
18.1Catalyst3548
novlan100
vlanname
Switchportacessvlan10%划分端口在VLAN10
Switchportmodetrunk%配置模式
Switchporttrunkencapsulationdot1q/isl/negotiablep%封装VLAN协议
Switchporttrunkallowedvlan10,14/10-14/except100-1000%允许中继的VLAN
Catalyst6500
Setvlan1283/20
Settrunk6/1ondot1qPort(s)1/2trunkmodesettoon
Settrunk6/1vlan13-33
Catalyst3548管理地址配置
InterfaceVLAN1
Ipaddress222.205.1.33255.255.255.0
Catalyst6500管理地址配置
Setinterfacesc0222.205.1.34255.255.255.0222.205.1.255
路由器配置
(1)静态路由
Iproute+目的网络地址+子网掩码+下一跳路由器IP地址“
若0.0.0.0+0.0.0.0+202.112.67.2(默认)
(2)RIP:
Routerrip
Network+网络地址
(3)OSPF:
Networkip+子网号+子网掩码反码+area+区域号%定义参与OSPF子网
Area+区域号+range+子网地址+子网掩码%子网聚合信息
8
多条最佳路径
管理距离越小,路由信息源可靠可信度越高
Connected0;static1;BGP20;EIBGP90;IGRP100;OSPF110;RIP120
扩展访问控制列表
100-199,2000-2699
Acesslist100+deny/permit+protocol+host(source)+wildcardmask+
destination(any)
wildcard-maskeq/lt/gt(大于)/neq80
如果封禁一台IP主机,则2个deny源和目的都封禁
交换机优先级增值1024
Cisco路由器
查看路由表--showiproute
Flash---存储路由器当前使用的操作系统印象文件和微代码
NVRAM:可读可写,启动配置文件或备份配置文件
ROM:永久保存开机诊断程序,引导程序,操作系统文件
RAM:路由表,快速交换缓存,ARP缓存,数据分组缓存区,缓冲队列,运
行配置文件,正在执行代码,临时数据信息
Writememory---NVRAM
Writenetworktftp----TFTP服务器中
DHCP
IpDHCPexcluded-addressIPIP
Network子网号,子网掩码
调整地址租用时间leasedayhourminuteorinfinite
DHCPIP池配置
9
配置IP池名称,进入DHCPPOOL配置模式,配置IP地址池子网地址,默认
网关,域名,域名服务器IP地址,IP地址租用时间,取消地址冲突记录日记等
参数
杂项重点
Bandwidthkbps
1G=1000M
1M=1000k
Lookback接口主要用于网络管理,分配一个IP地址作为管理地址,掩码为
255.255.255.255
RIP:
Routerrip
Network+网络地址
OSPF:
Networkip+子网号+子网掩码反码+area+区域号%定义参与OSPF子网
Area+区域号+range+子网地址+子网掩码%子网聚合信息
POS接口,posframingsdh(帧接口采用SDH)
访问控制列表
(1)标号105
(2)服务器集群----交换机接口号Gil/5
(3)端口号
(4)过滤inorout?
InterfaceGil/5
Ipaccess-group105in
Ipaccess-group105out
105与accesslist编号一致
Access-list105denytcpanyanyeq1444
Access-list105permitipanyany
10
802.11b
运行模式分为:点对点,基本
点对点---无线网卡之间,256台
基本:无线扩充,无线与有线并存,最常用,接入点,负责频段管理和漫游
指挥工作,1024台
部署无线网络时,可布置多个接入点构成一个微蜂窝网
允许一格用户在不同接入点覆盖区域漫游
位置变化,信号自动切换接入点
最高带宽11Mbps,一般5Mbps,1,2,5.5
无线路由器可链接同一逻辑网络AP,网桥在不通逻辑网络相连时用
无线计入点(AP0计入功能,和路由器第3层路径选择功能,NAT。一个IP
安装和配置无线接入点,需要向管理员询问:系统名,对大小写敏感的服务
集标识符,接入点与PC不在同一个子网时的子网掩码和默认网关,不需要询
问ISP(因特网提供商)
客户端设备用来访问接入点的唯一标识是SSID,SSID是无线网络中的服务集标
识符,区分大小写,BroadcastSSIDinBeacon,不指定SSID也可以访问接入网设
备
Aironet1100
第一次配置无线接入点一般采用本地配置
使用5类以太网电缆连接pc机与无线接入点,并给无线接入点加电
确认PC获得10.0.0.x
浏览器输入10.0.0.1
接入点总状态页面选择“expresssetup"进入快速配置界面
使用ciscoIOS操作系统
windows2003DNS服务器
默认情况下,该系统没有安装DNS服务器
11
DNS服务器必须配置固定IP地址
基本配置包括创建正向,反向查找区域,增加资源记录
Internet的根DNS服务器在安装时自动加入到系统中
主机资源记录的生存默认值是3600秒
DNS服务器属性对话框可以对DNS服务器进行简单的测试与递归查询测试
转发器是网络上的DNS服务器,用于外域名的DNS查询
允许客户机在发生更改时动态更新其资源记录
Nslookup可以测试正向与反向查找区域
ARP解析IP对应的MAC
Netstat监控TCP/IP网络,显示路由表,世界网络链接以及每一个网络接口
设备的状态信息
记录始授权机构SOA,名称服务器NS,主机资源记录A,指针PTR,
邮件交换资源记录MX,和别名CNAME,不记录FTP
DHCP服务器
地址租约期限最小单位分钟
地址租约续订由客户端软件自动完成
添加排除可以只输入一个地址
新建作用域必须激活才可为客户分配地址
租约期限默认8天
添加排除和保留时,不需要获得客户机的MAC地址
保留是指DHCP服务器指派的永久地址租约
客户机广播“DHCP发现”源IP是0.0.0.0
DHCP收到“DHCP发现”。广播“DHCOoffer"
客户机收到”DHCPoffer",请求IP地址
服务器广播“DHCP确认”。分配IP给客户机
WWW服务器
建立Web站点时,必须为该站指定一个主目录
12
访问,可以域名,也可IP
在一台服务器上可构建多个网站
在windows2003操作系统中添加组件IIS就可实现WEB站点
Web站点不需配置静态IP
在主目录选项卡中,不可配置主目录的读取和写入登权限
Web站点未设置默认内容文档,访问站点时必须提供首页内容的文件名
性能选项包括影响带宽使用的属性和客户端WEB连接的数量
使用IIS建立web站点,性能选项:
-------带宽限制,客户端web连接数量不受限制,受限制
链接超时时间限制不是该性能选项内容
用IIS6.0中用虚拟服务器构建多个网站时,由IP地址和TCP端口号唯一识别,
可用不同主机头名称,IP地址和非标准的TCP端口号构建多个网站。传输层协
议是相同的
Serv-UFTP
FTP服务器域创建完成后,需要添加用户才可访问
对用户数大于500的域,奖域放在注册表中可提高性能
通过设置IP访问可以控制某些IP对FTP服务器的访问
创建新域,域名必须是合格的域名
用户不可在FTP服务器自动注册新用户
用户名喂anonymous,自动判定为匿名用户
常规选项有:最大上传下载速度,最大用户数量,检查匿名用户密码,删除部
分已上传的文件,禁用反超时调度,拦截''FTP-BOUNCE"攻击和FXP(不允许两
个FTP服务器传送文件)
用户配额选项可限制用户上传信息占用存储空间
用户上传/下载选项,要求客户端在下载的同时,上传文件
域上传/下载选项,可允许添加用户访问服务器时不计入到上传下载率的文件
13
Winmail
Winmail服务器支持基于web的访问和管理
邮件管理工具包括系统设置,域名设置,用户和组,系统状态,系统日记,
不包括垃圾邮件过滤
在域名设置可以增加域和修改域参数
在用户和组管理界面中可以增删用户,修改用户配置
在快速设置向导中,可以输入用户名,域名,用户密码
为建立邮件路由,需要在DNS服务器中建立邮件服务器主机记录和邮件交换
记录
允许用户自行注册新邮箱
SMTP:主机与主机之间电子邮件交换
POP3:邮件读取协议
IMAP:存取
在域名管理界面中可以通过增加新的域构建虚拟服务器,而不是在系统设置中
系统设置--邮件过滤,更改管理员密码,SMTP设置
DHCP服务器作用域,长度域是指网络位
不可主动收回租约
已获租约服务器ping失败,可能是DNS服务器选项或者路由器选项配置错误
在客户分配地址前,应激活作用域
分配固定IP,绑定IP与MAC的保留操作
Ipconfig/release
备份:
副本,每日,差异,增量,正常,副本备份不标记
空间使用---完全--差异--增量多到少
速度----------完全,增量,差异快到慢
14
恶意代码
木马不自我复制
网络防病毒系统
管理控制台可以安装在服务器或用户
客户安装可以脚本登陆安装
升级可下载升级包后再手动升级
数据通信端口不固定(检测所有端口)
CiscoPIX525防火墙
Static静态NAT,本地IP与全局IP静态固定映射
NAT私有与共有
Global指定外部IP地址范围
Fixup启用,禁止,改变一个服务或协议通过PIX防火墙,指定端口是侦听
的服务
进行操作系统映像更新,口令恢复的模式是监视模式
非特模式;启动自检
特权模式:当前配置修改
配置模式;大部分配置
DMZ中的主机堡垒主机,web或mail服务器
入侵检测系统探测器
39.1获取网络流量:
(1)网络接口卡与交换设备的监控端口连接,镜像复制
(2)集线器,获取
(3)分路器
39.2分布式入侵:
层次性,协作性(单失),对等式(真正避免单点失效)
15
39.3基于网络:模式表达式,字节匹配
频率,穿越阀值
低级事件相关性
非常规现象
以太网上捕抓数据包,用网络协议分析,然后在规则解析模块中分析出来的
攻击特征库查找
入侵防护系统一般部署在应用服务器前段
基于主机的探测器在重要的系统服务中,工作站或者用户机器上欲行,监视
OS或系统级别的可疑活动
镜像检测,基于网络,探测器应在destination(镜像端口),source(被镜像端
口)
CiscoSNMP
接口断开或连接向管理站发出通知:snmptraplink-status
定义简单网络管理协议接入团体:snmp-servercommunitymanagero
UDP,161数据,162报警
网络嗅探:
TCPDUMPwirshark,ethercat,不可的是MRTG
命令
Netstat显示TCP,侦听端口,以太网统计,IP路由表,IP统计
Netview---计算机共享域,计算机或资源列表
Tracert---不通TTLICMP,探测路径
Ipconfig---显示TCP/IP配置
Nbtstat---NETBIOS统计
Pathping:statisticfor25seconds和ping差不多
16
安全评估:
ISS,MBSA,X-scanner
攻击
SYNflooding:TCP三次握手
Smurf:IP欺骗,ICMP回复
Land---源,目的都是攻击目标IP
DDOS:攻破多个系统,利用这些系统供其他目标
ICMP
超时:TTL为0
重定向:发现更好路由,5
时间戳请求:13
目标不可达:3
Ping,测试平均丢包率
用户信息
本地用户信息存储在本地计算机账户管理数据库中
域用户信息存储在域控制器的活动目录中
RAID
服务器不需要外加一个RAID卡就可实现RAID功能
RAID10是1,0组合
可提供SATA接口
多个磁盘接口通道
IPS---in-line模式
基于主机的入侵防护系统HIPS---系统内核
基于网路NIPS,漏报不会导致合法通信被阻断
应用入侵防护系统AIPS----服务器前段__
|
|
