【正文】 ermit tcp ip 端口 外部 ipdeny udp any icmp host+ipPix525(config)fixup protocol 80Pix525(config)no fixup protocol smtp啟動 協(xié)議 指定 80 禁止 smtp2012年9月全國計算機四級網(wǎng)絡工程師考試復習過關題目第一章過關練習一、選擇題1．計算機網(wǎng)絡從網(wǎng)絡覆蓋范圍上,可以分為局域網(wǎng)、廣域網(wǎng)與網(wǎng)絡安全基本要素（保密性；完整性；可用性；可鑒別性；不可否認性） 信息泄露與篡改（截獲信息；竊聽信息；篡改信息；偽造信息）網(wǎng)絡攻擊（服務攻擊與非服務攻擊） 服務攻擊：指對網(wǎng)絡提供各種服務的服務器發(fā)起攻擊，造成網(wǎng)絡拒絕服務，表現(xiàn)在消耗帶寬，消耗計算資源，使系統(tǒng)和應用崩潰SYN 攻擊時一種典型的拒絕服務攻擊非服務攻擊：不針對某項應用服務，而是針對網(wǎng)絡層等低協(xié)議進行的 源路由攻擊和地址欺騙都屬于這一類 非服務攻擊更為隱蔽，是種更為危險的攻擊手段非授權訪問以及網(wǎng)絡病毒目前 70%的病毒發(fā)生在網(wǎng)絡上設計一個網(wǎng)絡安全方案時 需要完成四個基本任務（1） 設計一個算法，執(zhí)行安全相關的轉(zhuǎn)換（2） 生成該算法的秘密信息（如密匙）（3） 研制秘密信息的分發(fā)與共享的方法（4） 設定兩個責任者使用的協(xié)議，利用算法和秘密信息取得安全服務P2DR 安全模型包括 ：策略防護檢測 響應數(shù)據(jù)備份：完全備份：恢復速度最快 空間使用最多 備份速度最慢增量備份：恢復速度最慢 空間使用最少 備份速度最快、 差異備份：中間性能冷備份： 又叫離線備份 恢復時間長 投資少熱備份 又稱在線備份 很大的問題是數(shù)據(jù)的有效性和完整性加密技術： 密碼學包括密碼編碼學與密碼分析學 密碼體制是密碼學研究的主要內(nèi)容現(xiàn)在密碼學基本原則：一切密碼屬于密匙之中。禁止源地址是非法地址的數(shù)據(jù)包進出路由 Router(config)accesslist 30 deny log Router(config)accesslist 30 deny Router(config)accesslist 30 permit anyRouter(config)interface g0/1Router(config)ip accessgroup 30 in觸發(fā)式更新。配置路由器的設置默認是RAM 。Telnet 如果不需要密碼執(zhí)行以下命令Router1(config)line vty 0 4Router1(configline)no loginRouter1(configline)no password虛擬局域網(wǎng) VLAN 查看VLAN 命令 Switchshow vlan 創(chuàng)建 VLAN Switchconfig t Switch(config)vlan 2Switch(configvlan)exSwitch(config)interface range fastEthernet 0/11 24Switch(configifrange)switchport access vlan 2 建立，修改： vlan 1000 name vlan1000刪除：no vlan 1000 vlan interface f0/1switchport access vlan 1000 Switch(config)interface vlan 1Switch(configif)ip address Switch(configif)no shSwitch(configif)exitSwitch(config)ip defaultgateway Switch(config)enable password aaa Switch(config)line vty 0 4 Switch(config)line vty 0 15Switch(configline)password aaaSwitch(configline)login每個 區(qū)域路由不超過 200 個區(qū)域好處：洪泛法局限在區(qū)域，區(qū)域內(nèi)部路由只知道內(nèi)部全網(wǎng)拓撲，卻不知道其他區(qū)域拓撲 主干區(qū)域內(nèi)部的路由器叫主干路由器（包括區(qū)域邊界路由和自治系統(tǒng)邊界路由） BGP 路由選擇協(xié)議的四種分組 打開分組；更新分組（是核心）；?；罘纸M；通知分組；第五章：局域網(wǎng)技術 OSPF 使用分布式鏈路狀態(tài)協(xié)議（RIP 使用距離向量協(xié)議）2.無類域間路由技術需要在提高 IP 地址利用率和減少主干路由器負荷兩個方面取得平衡網(wǎng)絡地址轉(zhuǎn)換 NAT 最主要的應用是專用網(wǎng)，虛擬專用網(wǎng)，以及 ISP 為撥號用戶 提供的服務NAT 更用應用于 ISP，以節(jié)約 IP 地址A 類地址： 可用地址 125 個 網(wǎng)絡號 7 位B 類地址： 網(wǎng)絡號 14 位C 類地址： 網(wǎng)絡號 21 位 允許分配主機號 254 個D 類地址： 組播地址E 類地址： 保留直接廣播地址：受限廣播地址：網(wǎng)絡上特定主機地址： 回送地址：專用地址全局 IP 地址是需要申請的，專用 IP 地址是不需申請的 專用地址：10 。帶外：利用 IP 網(wǎng)絡及協(xié)議進行網(wǎng)絡管理，利用網(wǎng)絡管理協(xié)議建立網(wǎng)絡管理系統(tǒng)。 廣域網(wǎng)典型網(wǎng)絡類型和技術：（公共電話交換網(wǎng)PSTN，綜合業(yè)務數(shù)字網(wǎng)ISDN，數(shù)字數(shù)據(jù)網(wǎng)DDN， 分組交換網(wǎng)，幀中繼網(wǎng)，異步傳輸網(wǎng)，GE千兆以太網(wǎng)和10GE光以太網(wǎng)) 交換局域網(wǎng)的核心設備是局域網(wǎng)交換機 城域網(wǎng)概念：網(wǎng)絡運營商在城市范圍內(nèi)提供各種信息服務，以寬帶光傳輸網(wǎng)絡為開放平臺，以 TCPIP 協(xié)議為基礎 密集波分復用技術的推廣導致廣域網(wǎng)主干線路帶寬擴展城域網(wǎng)分為核心交換層（高速數(shù)據(jù)交換），邊緣匯聚層（路由與流量匯聚），用戶接入層（用戶接入和本地流量控制） 層次結(jié)構優(yōu)點：層次定位清楚，接口開放，標準規(guī)范，便于組建管理 核心層基本功能：(設計重點：可靠性，可擴展性，開放性) 連接匯聚層，為其提供高速分組轉(zhuǎn)發(fā)，提供高速安全 QoS 保障的傳輸環(huán)境； 實現(xiàn)主干網(wǎng)絡互聯(lián)，提供城市的寬帶 IP 數(shù)據(jù)出口；提供用戶訪問 INTERNET 需要的路由服務； 匯聚層基本功能： 匯聚接入層用戶流量，數(shù)據(jù)分組傳輸?shù)膮R聚，轉(zhuǎn)發(fā)與交換；本地路由過濾流量均衡，QoS 優(yōu)先管理，安全控制，IP 地址轉(zhuǎn)換，流量整形； 把流量轉(zhuǎn)發(fā)到核心層或本地路由處理；組建運營寬帶城域網(wǎng)原則：可運營性，可管理性，可盈利性，可擴展性 管理和運營寬帶城域網(wǎng)關鍵技術：帶寬管理，服務質(zhì)量 QoS，網(wǎng)絡管理，用戶管理，多業(yè)務接入，統(tǒng)計與計費，IP 地址分配與地址轉(zhuǎn)換，網(wǎng)絡安全寬帶城域網(wǎng)在組建方案中一定要按照電信級運營要求（考慮設備冗余，線路冗余以及系統(tǒng)故障的快速診斷與自我恢復）服務質(zhì)量 QoS 技術：資源預留，區(qū)分服務，多協(xié)議標記轉(zhuǎn)換管理帶寬城域網(wǎng) 3 種基本方案：帶內(nèi)網(wǎng)絡管理，帶外網(wǎng)絡管理，同時使用帶內(nèi)帶外網(wǎng)絡管理 帶內(nèi)：利用傳統(tǒng)電信網(wǎng)絡進行網(wǎng)絡管理，利用數(shù)據(jù)通信網(wǎng)或公共交換電話網(wǎng)撥號，對網(wǎng)絡設備進行數(shù)據(jù)配置。網(wǎng)絡運行環(huán)境主要包括機房和電源 機房是放置核心路由器，交換機，服務器等核心設備 UPS 系統(tǒng)供電：穩(wěn)壓，備用電源，供電電壓智能管理網(wǎng)絡操作系統(tǒng)：NT,2000,NETWARE,UNIX,LINUX網(wǎng)絡應用軟件開發(fā)與運行環(huán)境：網(wǎng)絡數(shù)據(jù)庫管理系統(tǒng)與網(wǎng)絡軟件開發(fā)工具 網(wǎng)絡數(shù)據(jù)庫管理系統(tǒng)：Oracle，Sybase，SOL，DB2 網(wǎng)絡應用系統(tǒng)：電子商務系統(tǒng)，電子政務系統(tǒng)，遠程教育系統(tǒng)，企業(yè)管理系統(tǒng)， 校園信息服務系統(tǒng)，部門財務管理系統(tǒng)網(wǎng)絡需求調(diào)研和系統(tǒng)設計基本原則：共 5 點制定項目建設任務書后，確定網(wǎng)絡信息系統(tǒng)建設任務后，項目承擔單位首要任務是網(wǎng)絡用戶調(diào)查和網(wǎng)絡工程需求分析 需求分析是設計建設與運行網(wǎng)絡系統(tǒng)的關鍵 網(wǎng)絡結(jié)點地理位置分布情況：（用戶數(shù)量及分布的位置；建筑物內(nèi)部結(jié)構情況調(diào)查；建筑物群情況調(diào)查） 網(wǎng)絡需求詳細分析：（網(wǎng)絡總體需求設計；結(jié)構化布線需求設計；網(wǎng)絡可用性與 可靠性分析；網(wǎng)絡安全性需求分析；網(wǎng)絡工程造價分析）結(jié)點 2250 可不設計接入層和匯聚層 結(jié)點 100500 可不設計接入層結(jié)點 2505000 一般需要 3 層結(jié)構設計 核心層網(wǎng)絡一般承擔整個網(wǎng)絡流量的 40%60% 標準 GE 10GE 層次之間上聯(lián)帶寬：下聯(lián)帶寬一般控制在 1：2010 個交換機，每個有 24 個接口，接口標準是 10/100mbps：那么上聯(lián)帶寬是24*100*10/20 大概是 2gbps 高端路由器(背板大于 40gbps) 高端核心路由器：支持 mpls 中端路由器（背板小于 40gbps） 企業(yè)級路由器 支持 IPX,VINES，QoS VPN 低端路由器（背板小于 40gbps）支持 ADSL PPP 路由器關鍵技術指標：1：吞吐量（包轉(zhuǎn)發(fā)能力）2：背板能力（決定吞吐量）背板：router 輸入端和輸出端的物理通道 傳統(tǒng)路由采用共享背板結(jié)構，高性能路由采用交換式結(jié)構3：丟包率（衡量 router 超負荷工作性能）4：延時與延時抖動（第一個比特進入路由到該幀最后一個離開路由的時間） 高速路由要求 1518B 的 IP 包，延時小于 1ms5：突發(fā)處理能力6：路由表容量（INTERNET 要求執(zhí)行 BGP 協(xié)議的路由要存儲十萬路由表項，高 速路由應至少支持 25 萬）7：服務質(zhì)量 8：網(wǎng)管能力9：可靠性與可用性路由器冗余：接口冗余，電源冗余，系統(tǒng)板冗余，時鐘板冗余，整機設備冗余 熱撥插是為了保證路由器的可用性高端路由可靠性：（1） 無故障連續(xù)工作時間大于 10 萬小時（2） 系統(tǒng)故障恢復時間小于 30 分鐘（3） 主備切換時間小于 50 毫秒（4） SDH 和 ATM 接口自動保護切換時間小于 50 毫秒（5） 部件有熱拔插備份，線路備份，遠程測試診斷（6） 路由系統(tǒng)內(nèi)不存在單故障點交換機分類：從技術類型（10mbps Ethernet 交換機；fast Ethernet 交換機；1gbps 的 GE 交換機）從內(nèi)部結(jié)構（固定端口交換機；模塊化交換機—又叫機架式交換 機）500 個結(jié)點以上 選取企業(yè)級交換機300 個結(jié)點以下 選取部門級交換機100 個結(jié)點以下 選取工作組級交換機 交換機技術指標：（1） 背板帶寬（輸入端和輸出端得物理通道）（2） 全雙工端口帶寬（計算：端口數(shù)*端口速率*2）（3） 幀轉(zhuǎn)發(fā)速率（4） 機箱式交換機的擴張能力（5） 支持 VLAN 能力（基于 MAC 地址，端口，IP 劃分） 緩沖區(qū)協(xié)調(diào)不同端口之間的速率匹配網(wǎng)絡服務器類型（文件服務器；數(shù)據(jù)庫服務器；Internet 通用服務器；應用服務 器）虛擬盤體分為（專用盤體，公用盤體與共享盤體）共享硬盤服務系統(tǒng)缺點：dos 命令建立目錄；自己維護；不方便系統(tǒng)效率低，安 全性差客戶/服務器 工作模式采用兩層結(jié)構：第一層在客戶結(jié)點計算機 第二層在數(shù)據(jù) 庫服務器上Internet 通用服務器包括（DNS 服務器，Email 服務器，F(xiàn)TP 服務器，WWW 服 務器，遠程通信服務器，代理服務器）基于復雜指令集 CISC 處理器的 Intel 結(jié)構的服務器： 優(yōu)點：通用性好，配置簡單，性能價格比高，第三方軟件支持豐富，系統(tǒng)維護方 便 缺點：CPU 處理能力與系統(tǒng) I/O 能力較差（不適合作為高并發(fā)應用和大型服 務器）基于精簡指令集 RISC 結(jié)構處理器的服務器與相應 PC 機比：CPU 處理能力提高50%75%（大型，中型計算機和超級服務器都采用 RISC 結(jié)構處理器，操作系統(tǒng) 采用 UNIX）因此采用 RISC 結(jié)構處理器的服務器稱 UNIX 服務器按網(wǎng)絡應用規(guī)模劃分網(wǎng)絡服務器（1） 基礎級服務器 1 個 CPU（2） 工作組服務器 12 個 CPU（3） 部門級服務器 24 個 CPU（4） 企業(yè)級服務器 48 個 CPU服務器采用相關技術（1） 對稱多處理技術 SMP （多 CPU 服務器的負荷均衡）（2） 集群 Cluster（把一組計算機組成共享數(shù)據(jù)存儲空間）（3） 非一致內(nèi)存訪問（NUMA）（結(jié)合 SMP Cluster 用于多達 64 個或更多 CPU的服務器）（4） 高性能存儲與智能 I/O 技術（取決存取 I/O 速度和磁盤容量）（5） 服務處理器與 INTEL 服務器控制技術（6） 應急管理端口（7） 熱撥插技術 網(wǎng)絡服務器性能（1） 運算處理能力CPU 內(nèi)核：執(zhí)行指令和處理數(shù)據(jù)一級緩存：為 CPU 直接提供計算機所需要的指令與數(shù)據(jù) 二級緩存：用于存儲控制器，存儲器，緩存檢索表數(shù)據(jù) 后端總線：連接 CPU 內(nèi)核和二級緩存前端總線：互聯(lián) CPU 與主機芯片組CPU50%定律：cpu1 比 cpu2 服務器性能提高(M2M1)/M1*50% M 為主頻（2） 磁盤存儲能力（磁盤性能參數(shù)：主軸轉(zhuǎn)速；內(nèi)部傳輸率，單碟容量，平均 巡道時間；緩存）（3） %每