【正文】 ermit tcp ip 端口 外部 ipdeny udp any icmp host+ipPix525(config)fixup protocol 80Pix525(config)no fixup protocol smtp啟動(dòng) 協(xié)議 指定 80 禁止 smtp2012年9月全國(guó)計(jì)算機(jī)四級(jí)網(wǎng)絡(luò)工程師考試復(fù)習(xí)過關(guān)題目第一章過關(guān)練習(xí)一、選擇題1．計(jì)算機(jī)網(wǎng)絡(luò)從網(wǎng)絡(luò)覆蓋范圍上,可以分為局域網(wǎng)、廣域網(wǎng)與網(wǎng)絡(luò)安全基本要素（保密性；完整性；可用性；可鑒別性；不可否認(rèn)性） 信息泄露與篡改（截獲信息；竊聽信息；篡改信息；偽造信息）網(wǎng)絡(luò)攻擊（服務(wù)攻擊與非服務(wù)攻擊） 服務(wù)攻擊：指對(duì)網(wǎng)絡(luò)提供各種服務(wù)的服務(wù)器發(fā)起攻擊，造成網(wǎng)絡(luò)拒絕服務(wù)，表現(xiàn)在消耗帶寬，消耗計(jì)算資源，使系統(tǒng)和應(yīng)用崩潰SYN 攻擊時(shí)一種典型的拒絕服務(wù)攻擊非服務(wù)攻擊：不針對(duì)某項(xiàng)應(yīng)用服務(wù)，而是針對(duì)網(wǎng)絡(luò)層等低協(xié)議進(jìn)行的 源路由攻擊和地址欺騙都屬于這一類 非服務(wù)攻擊更為隱蔽，是種更為危險(xiǎn)的攻擊手段非授權(quán)訪問以及網(wǎng)絡(luò)病毒目前 70%的病毒發(fā)生在網(wǎng)絡(luò)上設(shè)計(jì)一個(gè)網(wǎng)絡(luò)安全方案時(shí) 需要完成四個(gè)基本任務(wù)（1） 設(shè)計(jì)一個(gè)算法，執(zhí)行安全相關(guān)的轉(zhuǎn)換（2） 生成該算法的秘密信息（如密匙）（3） 研制秘密信息的分發(fā)與共享的方法（4） 設(shè)定兩個(gè)責(zé)任者使用的協(xié)議，利用算法和秘密信息取得安全服務(wù)P2DR 安全模型包括 ：策略防護(hù)檢測(cè) 響應(yīng)數(shù)據(jù)備份：完全備份：恢復(fù)速度最快 空間使用最多 備份速度最慢增量備份：恢復(fù)速度最慢 空間使用最少 備份速度最快、 差異備份：中間性能冷備份： 又叫離線備份 恢復(fù)時(shí)間長(zhǎng) 投資少熱備份 又稱在線備份 很大的問題是數(shù)據(jù)的有效性和完整性加密技術(shù)： 密碼學(xué)包括密碼編碼學(xué)與密碼分析學(xué) 密碼體制是密碼學(xué)研究的主要內(nèi)容現(xiàn)在密碼學(xué)基本原則：一切密碼屬于密匙之中。禁止源地址是非法地址的數(shù)據(jù)包進(jìn)出路由 Router(config)accesslist 30 deny log Router(config)accesslist 30 deny Router(config)accesslist 30 permit anyRouter(config)interface g0/1Router(config)ip accessgroup 30 in觸發(fā)式更新。配置路由器的設(shè)置默認(rèn)是RAM 。Telnet 如果不需要密碼執(zhí)行以下命令Router1(config)line vty 0 4Router1(configline)no loginRouter1(configline)no password虛擬局域網(wǎng) VLAN 查看VLAN 命令 Switchshow vlan 創(chuàng)建 VLAN Switchconfig t Switch(config)vlan 2Switch(configvlan)exSwitch(config)interface range fastEthernet 0/11 24Switch(configifrange)switchport access vlan 2 建立，修改： vlan 1000 name vlan1000刪除：no vlan 1000 vlan interface f0/1switchport access vlan 1000 Switch(config)interface vlan 1Switch(configif)ip address Switch(configif)no shSwitch(configif)exitSwitch(config)ip defaultgateway Switch(config)enable password aaa Switch(config)line vty 0 4 Switch(config)line vty 0 15Switch(configline)password aaaSwitch(configline)login每個(gè) 區(qū)域路由不超過 200 個(gè)區(qū)域好處：洪泛法局限在區(qū)域，區(qū)域內(nèi)部路由只知道內(nèi)部全網(wǎng)拓?fù)?，卻不知道其他區(qū)域拓?fù)?主干區(qū)域內(nèi)部的路由器叫主干路由器（包括區(qū)域邊界路由和自治系統(tǒng)邊界路由） BGP 路由選擇協(xié)議的四種分組 打開分組；更新分組（是核心）；?；罘纸M；通知分組；第五章：局域網(wǎng)技術(shù) OSPF 使用分布式鏈路狀態(tài)協(xié)議（RIP 使用距離向量協(xié)議）2.無(wú)類域間路由技術(shù)需要在提高 IP 地址利用率和減少主干路由器負(fù)荷兩個(gè)方面取得平衡網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 最主要的應(yīng)用是專用網(wǎng)，虛擬專用網(wǎng)，以及 ISP 為撥號(hào)用戶 提供的服務(wù)NAT 更用應(yīng)用于 ISP，以節(jié)約 IP 地址A 類地址： 可用地址 125 個(gè) 網(wǎng)絡(luò)號(hào) 7 位B 類地址： 網(wǎng)絡(luò)號(hào) 14 位C 類地址： 網(wǎng)絡(luò)號(hào) 21 位 允許分配主機(jī)號(hào) 254 個(gè)D 類地址： 組播地址E 類地址： 保留直接廣播地址：受限廣播地址：網(wǎng)絡(luò)上特定主機(jī)地址： 回送地址：專用地址全局 IP 地址是需要申請(qǐng)的，專用 IP 地址是不需申請(qǐng)的 專用地址：10 。帶外：利用 IP 網(wǎng)絡(luò)及協(xié)議進(jìn)行網(wǎng)絡(luò)管理，利用網(wǎng)絡(luò)管理協(xié)議建立網(wǎng)絡(luò)管理系統(tǒng)。 廣域網(wǎng)典型網(wǎng)絡(luò)類型和技術(shù)：（公共電話交換網(wǎng)PSTN，綜合業(yè)務(wù)數(shù)字網(wǎng)ISDN，數(shù)字?jǐn)?shù)據(jù)網(wǎng)DDN， 分組交換網(wǎng)，幀中繼網(wǎng)，異步傳輸網(wǎng)，GE千兆以太網(wǎng)和10GE光以太網(wǎng)) 交換局域網(wǎng)的核心設(shè)備是局域網(wǎng)交換機(jī) 城域網(wǎng)概念：網(wǎng)絡(luò)運(yùn)營(yíng)商在城市范圍內(nèi)提供各種信息服務(wù)，以寬帶光傳輸網(wǎng)絡(luò)為開放平臺(tái)，以 TCPIP 協(xié)議為基礎(chǔ) 密集波分復(fù)用技術(shù)的推廣導(dǎo)致廣域網(wǎng)主干線路帶寬擴(kuò)展城域網(wǎng)分為核心交換層（高速數(shù)據(jù)交換），邊緣匯聚層（路由與流量匯聚），用戶接入層（用戶接入和本地流量控制） 層次結(jié)構(gòu)優(yōu)點(diǎn)：層次定位清楚，接口開放，標(biāo)準(zhǔn)規(guī)范，便于組建管理 核心層基本功能：(設(shè)計(jì)重點(diǎn)：可靠性，可擴(kuò)展性，開放性) 連接匯聚層，為其提供高速分組轉(zhuǎn)發(fā)，提供高速安全 QoS 保障的傳輸環(huán)境； 實(shí)現(xiàn)主干網(wǎng)絡(luò)互聯(lián)，提供城市的寬帶 IP 數(shù)據(jù)出口；提供用戶訪問 INTERNET 需要的路由服務(wù)； 匯聚層基本功能： 匯聚接入層用戶流量，數(shù)據(jù)分組傳輸?shù)膮R聚，轉(zhuǎn)發(fā)與交換；本地路由過濾流量均衡，QoS 優(yōu)先管理，安全控制，IP 地址轉(zhuǎn)換，流量整形； 把流量轉(zhuǎn)發(fā)到核心層或本地路由處理；組建運(yùn)營(yíng)寬帶城域網(wǎng)原則：可運(yùn)營(yíng)性，可管理性，可盈利性，可擴(kuò)展性 管理和運(yùn)營(yíng)寬帶城域網(wǎng)關(guān)鍵技術(shù)：帶寬管理，服務(wù)質(zhì)量 QoS，網(wǎng)絡(luò)管理，用戶管理，多業(yè)務(wù)接入，統(tǒng)計(jì)與計(jì)費(fèi)，IP 地址分配與地址轉(zhuǎn)換，網(wǎng)絡(luò)安全寬帶城域網(wǎng)在組建方案中一定要按照電信級(jí)運(yùn)營(yíng)要求（考慮設(shè)備冗余，線路冗余以及系統(tǒng)故障的快速診斷與自我恢復(fù)）服務(wù)質(zhì)量 QoS 技術(shù)：資源預(yù)留，區(qū)分服務(wù)，多協(xié)議標(biāo)記轉(zhuǎn)換管理帶寬城域網(wǎng) 3 種基本方案：帶內(nèi)網(wǎng)絡(luò)管理，帶外網(wǎng)絡(luò)管理，同時(shí)使用帶內(nèi)帶外網(wǎng)絡(luò)管理 帶內(nèi)：利用傳統(tǒng)電信網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)管理，利用數(shù)據(jù)通信網(wǎng)或公共交換電話網(wǎng)撥號(hào)，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行數(shù)據(jù)配置。網(wǎng)絡(luò)運(yùn)行環(huán)境主要包括機(jī)房和電源 機(jī)房是放置核心路由器，交換機(jī)，服務(wù)器等核心設(shè)備 UPS 系統(tǒng)供電：穩(wěn)壓，備用電源，供電電壓智能管理網(wǎng)絡(luò)操作系統(tǒng)：NT,2000,NETWARE,UNIX,LINUX網(wǎng)絡(luò)應(yīng)用軟件開發(fā)與運(yùn)行環(huán)境：網(wǎng)絡(luò)數(shù)據(jù)庫(kù)管理系統(tǒng)與網(wǎng)絡(luò)軟件開發(fā)工具 網(wǎng)絡(luò)數(shù)據(jù)庫(kù)管理系統(tǒng)：Oracle，Sybase，SOL，DB2 網(wǎng)絡(luò)應(yīng)用系統(tǒng)：電子商務(wù)系統(tǒng)，電子政務(wù)系統(tǒng)，遠(yuǎn)程教育系統(tǒng)，企業(yè)管理系統(tǒng)， 校園信息服務(wù)系統(tǒng)，部門財(cái)務(wù)管理系統(tǒng)網(wǎng)絡(luò)需求調(diào)研和系統(tǒng)設(shè)計(jì)基本原則：共 5 點(diǎn)制定項(xiàng)目建設(shè)任務(wù)書后，確定網(wǎng)絡(luò)信息系統(tǒng)建設(shè)任務(wù)后，項(xiàng)目承擔(dān)單位首要任務(wù)是網(wǎng)絡(luò)用戶調(diào)查和網(wǎng)絡(luò)工程需求分析 需求分析是設(shè)計(jì)建設(shè)與運(yùn)行網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵 網(wǎng)絡(luò)結(jié)點(diǎn)地理位置分布情況：（用戶數(shù)量及分布的位置；建筑物內(nèi)部結(jié)構(gòu)情況調(diào)查；建筑物群情況調(diào)查） 網(wǎng)絡(luò)需求詳細(xì)分析：（網(wǎng)絡(luò)總體需求設(shè)計(jì)；結(jié)構(gòu)化布線需求設(shè)計(jì)；網(wǎng)絡(luò)可用性與 可靠性分析；網(wǎng)絡(luò)安全性需求分析；網(wǎng)絡(luò)工程造價(jià)分析）結(jié)點(diǎn) 2250 可不設(shè)計(jì)接入層和匯聚層 結(jié)點(diǎn) 100500 可不設(shè)計(jì)接入層結(jié)點(diǎn) 2505000 一般需要 3 層結(jié)構(gòu)設(shè)計(jì) 核心層網(wǎng)絡(luò)一般承擔(dān)整個(gè)網(wǎng)絡(luò)流量的 40%60% 標(biāo)準(zhǔn) GE 10GE 層次之間上聯(lián)帶寬：下聯(lián)帶寬一般控制在 1：2010 個(gè)交換機(jī)，每個(gè)有 24 個(gè)接口，接口標(biāo)準(zhǔn)是 10/100mbps：那么上聯(lián)帶寬是24*100*10/20 大概是 2gbps 高端路由器(背板大于 40gbps) 高端核心路由器：支持 mpls 中端路由器（背板小于 40gbps） 企業(yè)級(jí)路由器 支持 IPX,VINES，QoS VPN 低端路由器（背板小于 40gbps）支持 ADSL PPP 路由器關(guān)鍵技術(shù)指標(biāo)：1：吞吐量（包轉(zhuǎn)發(fā)能力）2：背板能力（決定吞吐量）背板：router 輸入端和輸出端的物理通道 傳統(tǒng)路由采用共享背板結(jié)構(gòu)，高性能路由采用交換式結(jié)構(gòu)3：丟包率（衡量 router 超負(fù)荷工作性能）4：延時(shí)與延時(shí)抖動(dòng)（第一個(gè)比特進(jìn)入路由到該幀最后一個(gè)離開路由的時(shí)間） 高速路由要求 1518B 的 IP 包，延時(shí)小于 1ms5：突發(fā)處理能力6：路由表容量（INTERNET 要求執(zhí)行 BGP 協(xié)議的路由要存儲(chǔ)十萬(wàn)路由表項(xiàng)，高 速路由應(yīng)至少支持 25 萬(wàn)）7：服務(wù)質(zhì)量 8：網(wǎng)管能力9：可靠性與可用性路由器冗余：接口冗余，電源冗余，系統(tǒng)板冗余，時(shí)鐘板冗余，整機(jī)設(shè)備冗余 熱撥插是為了保證路由器的可用性高端路由可靠性：（1） 無(wú)故障連續(xù)工作時(shí)間大于 10 萬(wàn)小時(shí)（2） 系統(tǒng)故障恢復(fù)時(shí)間小于 30 分鐘（3） 主備切換時(shí)間小于 50 毫秒（4） SDH 和 ATM 接口自動(dòng)保護(hù)切換時(shí)間小于 50 毫秒（5） 部件有熱拔插備份，線路備份，遠(yuǎn)程測(cè)試診斷（6） 路由系統(tǒng)內(nèi)不存在單故障點(diǎn)交換機(jī)分類：從技術(shù)類型（10mbps Ethernet 交換機(jī)；fast Ethernet 交換機(jī)；1gbps 的 GE 交換機(jī)）從內(nèi)部結(jié)構(gòu)（固定端口交換機(jī)；模塊化交換機(jī)—又叫機(jī)架式交換 機(jī)）500 個(gè)結(jié)點(diǎn)以上 選取企業(yè)級(jí)交換機(jī)300 個(gè)結(jié)點(diǎn)以下 選取部門級(jí)交換機(jī)100 個(gè)結(jié)點(diǎn)以下 選取工作組級(jí)交換機(jī) 交換機(jī)技術(shù)指標(biāo)：（1） 背板帶寬（輸入端和輸出端得物理通道）（2） 全雙工端口帶寬（計(jì)算：端口數(shù)*端口速率*2）（3） 幀轉(zhuǎn)發(fā)速率（4） 機(jī)箱式交換機(jī)的擴(kuò)張能力（5） 支持 VLAN 能力（基于 MAC 地址，端口，IP 劃分） 緩沖區(qū)協(xié)調(diào)不同端口之間的速率匹配網(wǎng)絡(luò)服務(wù)器類型（文件服務(wù)器；數(shù)據(jù)庫(kù)服務(wù)器；Internet 通用服務(wù)器；應(yīng)用服務(wù) 器）虛擬盤體分為（專用盤體，公用盤體與共享盤體）共享硬盤服務(wù)系統(tǒng)缺點(diǎn)：dos 命令建立目錄；自己維護(hù)；不方便系統(tǒng)效率低，安 全性差客戶/服務(wù)器 工作模式采用兩層結(jié)構(gòu)：第一層在客戶結(jié)點(diǎn)計(jì)算機(jī) 第二層在數(shù)據(jù) 庫(kù)服務(wù)器上Internet 通用服務(wù)器包括（DNS 服務(wù)器，Email 服務(wù)器，F(xiàn)TP 服務(wù)器，WWW 服 務(wù)器，遠(yuǎn)程通信服務(wù)器，代理服務(wù)器）基于復(fù)雜指令集 CISC 處理器的 Intel 結(jié)構(gòu)的服務(wù)器： 優(yōu)點(diǎn)：通用性好，配置簡(jiǎn)單，性能價(jià)格比高，第三方軟件支持豐富，系統(tǒng)維護(hù)方 便 缺點(diǎn)：CPU 處理能力與系統(tǒng) I/O 能力較差（不適合作為高并發(fā)應(yīng)用和大型服 務(wù)器）基于精簡(jiǎn)指令集 RISC 結(jié)構(gòu)處理器的服務(wù)器與相應(yīng) PC 機(jī)比：CPU 處理能力提高50%75%（大型，中型計(jì)算機(jī)和超級(jí)服務(wù)器都采用 RISC 結(jié)構(gòu)處理器，操作系統(tǒng) 采用 UNIX）因此采用 RISC 結(jié)構(gòu)處理器的服務(wù)器稱 UNIX 服務(wù)器按網(wǎng)絡(luò)應(yīng)用規(guī)模劃分網(wǎng)絡(luò)服務(wù)器（1） 基礎(chǔ)級(jí)服務(wù)器 1 個(gè) CPU（2） 工作組服務(wù)器 12 個(gè) CPU（3） 部門級(jí)服務(wù)器 24 個(gè) CPU（4） 企業(yè)級(jí)服務(wù)器 48 個(gè) CPU服務(wù)器采用相關(guān)技術(shù)（1） 對(duì)稱多處理技術(shù) SMP （多 CPU 服務(wù)器的負(fù)荷均衡）（2） 集群 Cluster（把一組計(jì)算機(jī)組成共享數(shù)據(jù)存儲(chǔ)空間）（3） 非一致內(nèi)存訪問（NUMA）（結(jié)合 SMP Cluster 用于多達(dá) 64 個(gè)或更多 CPU的服務(wù)器）（4） 高性能存儲(chǔ)與智能 I/O 技術(shù)（取決存取 I/O 速度和磁盤容量）（5） 服務(wù)處理器與 INTEL 服務(wù)器控制技術(shù)（6） 應(yīng)急管理端口（7） 熱撥插技術(shù) 網(wǎng)絡(luò)服務(wù)器性能（1） 運(yùn)算處理能力CPU 內(nèi)核：執(zhí)行指令和處理數(shù)據(jù)一級(jí)緩存：為 CPU 直接提供計(jì)算機(jī)所需要的指令與數(shù)據(jù) 二級(jí)緩存：用于存儲(chǔ)控制器，存儲(chǔ)器，緩存檢索表數(shù)據(jù) 后端總線：連接 CPU 內(nèi)核和二級(jí)緩存前端總線：互聯(lián) CPU 與主機(jī)芯片組CPU50%定律：cpu1 比 cpu2 服務(wù)器性能提高(M2M1)/M1*50% M 為主頻（2） 磁盤存儲(chǔ)能力（磁盤性能參數(shù)：主軸轉(zhuǎn)速；內(nèi)部傳輸率，單碟容量，平均 巡道時(shí)間；緩存）（3） %每