【文章內(nèi)容簡(jiǎn)介】 服務(wù)器申請(qǐng)IP地址?！駝?chuàng)建DHCP服務(wù)器中繼代理：給多個(gè)物理網(wǎng)段的計(jì)算機(jī)分配IP地址。第十一章 主干網(wǎng)與接入網(wǎng)技術(shù)一、主干網(wǎng)新技術(shù)IPoverSONET/SDH●SDH的網(wǎng)絡(luò)元素主要有同步光纖線路系統(tǒng)、終端復(fù)用器（TM）、分插復(fù)用器（ADM）和同步數(shù)字交叉連接設(shè)備（DXC）。SDH每秒傳送8KB SDH幀?！馡PoverSDH采用HDLC的幀格式?！馡PoverSDH具有比其他傳輸方式更高的傳輸效率，更適合于組建專門承載IP業(yè)務(wù)的數(shù)據(jù)網(wǎng)絡(luò)。簡(jiǎn)化了網(wǎng)絡(luò)體系結(jié)構(gòu)、提高了傳輸效率。二、常見(jiàn)接入網(wǎng)技術(shù)大類接入技術(shù)用戶速率技術(shù)特點(diǎn)其他PSTN撥號(hào)接入300~56Kb/s(,下行為56Kb/s)通過(guò)調(diào)制技術(shù)(ASK,FSK,PSK及其結(jié)合)在模擬信道上進(jìn)行數(shù)據(jù)通信常用的設(shè)備是MODEM，速度的提高依賴于調(diào)制技術(shù)的發(fā)展IDSNISDN BRI 2B+D1664~128Kb/s使用TDM技術(shù)將可用的信道分成一定數(shù)量的固定大小時(shí)隙能夠?qū)崿F(xiàn)按需撥號(hào)、按需分配帶寬(1B數(shù)據(jù)、1B語(yǔ)音，或2B數(shù)據(jù))ISDN PRI 23B+D64 30B+D64 使用TDM(時(shí)分復(fù)用)技術(shù)，復(fù)用更多的信道，適用于更大的數(shù)據(jù)通信通帶用于數(shù)字語(yǔ)音服務(wù)等，也可以用于寬帶需求的數(shù)據(jù)通信應(yīng)用xDSLHDSL　　　　高速數(shù)字用戶環(huán)路對(duì)稱xDSL技術(shù)，T1使用2條線路(使用CAP編碼)，E1使用3條線路(使用2B1Q編碼)，3~5km典型應(yīng)用于PBX網(wǎng)絡(luò)連接、蜂窩基站、數(shù)字環(huán)路載波系統(tǒng)、交互POPs、因特網(wǎng)服務(wù)、專用數(shù)據(jù)網(wǎng)SDSL它是HDSl的單線版本，也稱為“單線數(shù)據(jù)用戶線”ADSL 非對(duì)稱數(shù)字用戶環(huán)路上行：512K~1Mb/s 下行：1~8Mb/s使用FDM和回波技術(shù)抵消技術(shù)實(shí)現(xiàn)頻帶分隔，線路編碼為DMT和CAP，最大傳輸距離是5000m非對(duì)稱的xDSL技術(shù)，適用于VOD、因特網(wǎng)接入、LAN接入、多媒體接入等RADSL 速率自適應(yīng)用戶數(shù)字線下行：640K~12Mb/s 下行：128K~1Mb/s支持同步和非同步傳輸，支持?jǐn)?shù)據(jù)和語(yǔ)音同時(shí)傳輸，可根據(jù)雙絞線的質(zhì)量?jī)?yōu)劣和距離動(dòng)態(tài)調(diào)整適用于質(zhì)量千差萬(wàn)別的農(nóng)村、山區(qū)等區(qū)域，且不怕下雨、高溫等反常天氣VDSL可在較短的距離上獲得極高的速度。當(dāng)傳輸距離為300~1000m時(shí)，下行速度可達(dá)52Mb/s；~。，下行速度就降到13Mb/s；~電話接入；同軸電纜接入；光纖接入；無(wú)線接入；三、其他知識(shí)點(diǎn)接口層協(xié)議●常見(jiàn)接口層協(xié)議：SLIP協(xié)議、PPP協(xié)議、PPPOE協(xié)議（PPPoE的過(guò)行包含發(fā)現(xiàn)和PPP會(huì)話兩個(gè)階段）?！馪AP和CHAP認(rèn)證：如果采用PPP協(xié)議，那么可以用PAP和CHAP對(duì)呼叫方進(jìn)行認(rèn)證。第十二章 系統(tǒng)及網(wǎng)絡(luò)安全基礎(chǔ)一、系統(tǒng)與數(shù)據(jù)安全基礎(chǔ)系統(tǒng)安全基礎(chǔ)知識(shí)●安全的基本要素：機(jī)密性、完整性、可用性、可控性、可審查性。對(duì)于網(wǎng)絡(luò)及網(wǎng)絡(luò)交易而言，信息安全的基本需求是機(jī)密性、完整性和不可抵賴性?！窬W(wǎng)絡(luò)安全設(shè)計(jì)原則：木桶原則、整體性原則、有效性與實(shí)用性原則、等級(jí)性原則。信息加密技術(shù)●密碼學(xué)包括密碼編碼學(xué)、密碼分析學(xué)和密鑰密碼學(xué)?！駥?duì)稱密鑰技術(shù)：是指加密系統(tǒng)的加密密鑰和解密密鑰相同。常用的對(duì)稱密鑰算法有DES和IDEA?！穹菍?duì)稱密鑰技術(shù)（也稱公鑰算法）：是指加密系統(tǒng)的加密密鑰和解密密鑰完全不同，并且不可能從任何一個(gè)推導(dǎo)出另一個(gè)。最常用的非對(duì)稱密鑰技術(shù)就是RSA。認(rèn)證技術(shù)●RADIUS協(xié)議：用戶接入NAS，NAS向RADIUS服務(wù)器發(fā)送AccessRequire，其中用戶密碼經(jīng)過(guò)MD5加密；如果合法，RADIUS服務(wù)器給NAS返回AccessAccept數(shù)據(jù)包，否則造回AccessReject數(shù)據(jù)包，拒絕用戶訪問(wèn)……RADIUS服務(wù)器和NAS服務(wù)器通過(guò)UDP協(xié)議進(jìn)行通信。數(shù)字證書密鑰管理體制。二、網(wǎng)絡(luò)安全技術(shù)與協(xié)議虛擬專用網(wǎng)（VPN）●VPN是一個(gè)虛信道，它可用來(lái)連接兩個(gè)專用網(wǎng)，通過(guò)可靠的加密技術(shù)方法保證其安全性。一個(gè)VPN技術(shù)方案中包括VPN隧道技術(shù)、密碼技術(shù)和服務(wù)質(zhì)量保證技術(shù)。●常見(jiàn)的隧道技術(shù)分兩類：一類是二層隧道技術(shù)，包括PPTP和L2TP；另一類是三層隧道技術(shù)，主要代表是IPSee、移動(dòng)IP協(xié)議和虛擬隧道協(xié)議（VTP）。防火墻●防火墻的組成：包括安全操作系統(tǒng)、過(guò)濾器、網(wǎng)關(guān)、域名服務(wù)、函件處理五個(gè)部分。●防火墻的結(jié)構(gòu)：屏蔽路由器（也稱包過(guò)濾型防火墻）、雙穴主機(jī)（也稱為雙宿網(wǎng)關(guān)防火墻）、屏蔽主機(jī)防火墻、屏蔽子網(wǎng)防火墻。SSL/SET和SHTTP●SSL，安全套接層，是工作在傳輸層的安全協(xié)議。它包括協(xié)商層和記錄層兩部分?！馭HTTP是對(duì)HTTP協(xié)議的擴(kuò)展，目的是保證商業(yè)貿(mào)易的傳輸安全，工作在應(yīng)用層。PGP技術(shù)Kerberos●Kerberos認(rèn)證過(guò)程分三個(gè)階段，6個(gè)步驟：第一階段，認(rèn)證服務(wù)交換、客戶端獲取授權(quán)服務(wù)器訪問(wèn)許可票據(jù)；第二階段，票據(jù)許可服務(wù)交換，客戶端獲得應(yīng)用服務(wù)訪問(wèn)許可票據(jù)；第三階段，客戶端與應(yīng)用服務(wù)器認(rèn)證交換，客戶端最終獲得應(yīng)用服務(wù)。●Kerberos在Windows Server2003中的應(yīng)用：在Windows Server 2003中的“集成Windows身份驗(yàn)證”就使用了Kerberos V5。網(wǎng)絡(luò)攻擊與入侵檢測(cè)技術(shù)●常見(jiàn)網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)鏈路層。MAC地址欺騙：把機(jī)器的MAC地址改成其信任主機(jī)的MAC地址；ARP欺騙：修改IP地址和MAC地址的映射關(guān)系，使發(fā)送給正確主機(jī)的數(shù)據(jù)包發(fā)送給另外一臺(tái)由攻擊者控制的主機(jī)。網(wǎng)絡(luò)層。IP地址欺騙：攻擊者假冒他人IP地址發(fā)送數(shù)據(jù)包，……淚滴攻擊：發(fā)送兩段或多段數(shù)據(jù)包，并使偏移量故意出錯(cuò)，……從而造成系統(tǒng)崩潰；ICMP攻擊：發(fā)送過(guò)大的ICMP數(shù)據(jù)包，完成IP地址掃描，大量的ping命令使對(duì)方帶寬或資源耗盡等；RIP路由欺騙：……。傳輸層。TCP初始化序號(hào)預(yù)測(cè)：通過(guò)預(yù)測(cè)初始序號(hào)來(lái)偽造TCP數(shù)據(jù)包；TCP端口掃描；Land攻擊：TCP會(huì)話劫持；SYN flooding；RST和FIN攻擊。應(yīng)用層安全。電子郵件攻擊；DNS欺騙；緩沖區(qū)溢出攻擊；特洛伊木馬。拒絕服務(wù)（DOS）攻擊?！袢肭謾z測(cè)技術(shù)：技術(shù)核心包括兩方面：一是提取特征數(shù)據(jù)；二是判斷行為的性質(zhì)。入侵檢測(cè)系統(tǒng)通常包括數(shù)據(jù)源、分析引擎、響應(yīng)系統(tǒng)三個(gè)基本模塊。病毒防護(hù)技術(shù)第十三章 網(wǎng)絡(luò)管理技術(shù)一、網(wǎng)絡(luò)管理協(xié)議規(guī)范OSI網(wǎng)絡(luò)管理標(biāo)準(zhǔn)●網(wǎng)絡(luò)管理包括配置管理、故障管理、性能管理、安全管理、計(jì)費(fèi)管理等5大功能。SNMP協(xié)議規(guī)范●SNMP主要包括管理信息庫(kù)（MIB）、管理信息結(jié)構(gòu)（SMI）和管理通信協(xié)議（SNMP）三個(gè)部分。其管理模型則是由管理進(jìn)程（Manager）、代理（Agent）、管理信息庫(kù)三個(gè)部分組成。●MIB由系統(tǒng)內(nèi)許多被管理的對(duì)象及屬性組成。采用樹型結(jié)構(gòu)組織?！馭NMP使用UDP作為傳輸協(xié)議，是一種異步的請(qǐng)求/響應(yīng)協(xié)議，其默認(rèn)端口有兩個(gè)：一是用于數(shù)據(jù)傳送與接收的161號(hào)端口；另一個(gè)是用于報(bào)警（Tarp）信息接收的162端口。其他網(wǎng)管協(xié)議規(guī)范二、網(wǎng)絡(luò)操作系統(tǒng)與配置Windows網(wǎng)絡(luò)配置域的管理域模型主域個(gè)數(shù)賬戶管理信任關(guān)系主域模型1個(gè)主域是賬戶域其他域均信任該域多主域模型少量所有網(wǎng)絡(luò)賬戶均建立在其中一個(gè)主域上主域間相互信任完全信任模型多個(gè)分離域間完全信任●Windows2000操作系統(tǒng)放棄了NT中的域管理方式，采用目錄管理技術(shù)，即活動(dòng)目錄（AD）服務(wù)。AD的邏輯單元包括域、組織單元、域樹、域林?！?支持的主要網(wǎng)絡(luò)協(xié)議協(xié)議說(shuō)明工作層NetBeUINetBIOS擴(kuò)展用戶接口協(xié)議，小型快捷，但不具有路由選擇功能會(huì)話層IPX/SPXNovell Netware網(wǎng)絡(luò)協(xié)議網(wǎng)絡(luò)層/傳輸層TCP/IP標(biāo)準(zhǔn)、可路由、可靠的協(xié)議傳輸層/網(wǎng)絡(luò)層DHCP動(dòng)態(tài)IP地址配置協(xié)議　WINS完成IP地址和NetBIOS進(jìn)行映射　Windows網(wǎng)絡(luò)配置命令：Winipcfg：Windows下的IP地址配置命令；ipconfig命令：用于顯示TCP/IP配置；ping命令：基于ICMP協(xié)議，用于把一個(gè)測(cè)試數(shù)據(jù)包發(fā)送到規(guī)定的地址，如果一切正常則返回成功響應(yīng)。Nbtatat：用于顯示NetBIOS協(xié)議的統(tǒng)計(jì)，以及NetBIOS地址與IP地址的對(duì)應(yīng)關(guān)系；netstat：網(wǎng)絡(luò)狀態(tài)查看命令；tracert：用于查看分組傳鏈路路徑。UNIX/Linux網(wǎng)絡(luò)配置●系統(tǒng)結(jié)構(gòu)：可分三層：最內(nèi)層是系統(tǒng)核心，中間層是Shell（殼）、庫(kù)函數(shù)，最外層是應(yīng)用程序?！馤inux支持多種分區(qū)格式，其采用的是ext2和ext3，在安裝時(shí)至少需要一個(gè)根分區(qū)（/）和一個(gè)交換分區(qū)（swap），交換分區(qū)通常是計(jì)算機(jī)內(nèi)存容量的兩倍。在Linux中，無(wú)論操作系統(tǒng)管理幾個(gè)磁盤分區(qū)，目錄樹只有一個(gè)?！窬W(wǎng)絡(luò)配置命令：Netconf：圖形化的網(wǎng)絡(luò)參數(shù)配置命令。Ifconfig：用來(lái)顯示和設(shè)置網(wǎng)絡(luò)設(shè)備的工具。Route：用來(lái)查看和設(shè)置Linux系統(tǒng)的路由信息，以實(shí)現(xiàn)與其他網(wǎng)絡(luò)的通信PingTraceroute：與Windows下的tracert命令類似。Netsata：功能十分強(qiáng)大的查看網(wǎng)絡(luò)狀態(tài)的工具。三、其他知識(shí)點(diǎn)完全備份：備份系統(tǒng)中所有數(shù)據(jù)增量備份：只備份上次備份后有變化的數(shù)據(jù)差分備份(也稱為累計(jì)備份)：是指?jìng)浞萆洗瓮耆珎浞菀院笥凶兓臄?shù)據(jù)。第十四章 網(wǎng)絡(luò)系統(tǒng)分析與設(shè)計(jì)一、網(wǎng)絡(luò)需求分析網(wǎng)絡(luò)需求分析的任務(wù)需求分析的幾個(gè)方面：功能需求、通信需求、性能需求（包括容量、利用率、最優(yōu)利用率、吞吐量、可提供負(fù)載、精確度、效率、延遲、延時(shí)變化量、響應(yīng)時(shí)間、最優(yōu)網(wǎng)絡(luò)利用率、端到端的差錯(cuò)率、精確度、網(wǎng)絡(luò)效率等）、可靠性需求、安全需求、維護(hù)與運(yùn)行需求、管理需求?？尚行苑治觯杭夹g(shù)可行性、經(jīng)濟(jì)可行性、社會(huì)可性行。現(xiàn)有網(wǎng)絡(luò)分析與描述：服務(wù)器的數(shù)量與位置、客戶機(jī)的數(shù)量和位置、同時(shí)訪問(wèn)的數(shù)量、每天的用戶數(shù)、每次使用的時(shí)間、每次數(shù)據(jù)傳輸?shù)臄?shù)據(jù)量、網(wǎng)絡(luò)擁塞的時(shí)間段、采用的協(xié)議、通信模式。二、網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的任務(wù)確定網(wǎng)絡(luò)總體目標(biāo)：網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)標(biāo)準(zhǔn)確定總體設(shè)計(jì)原則：實(shí)用性原則、開(kāi)放性原則、高可用性/可靠性原則、安全性原則、先進(jìn)性原則、易用性原則、可擴(kuò)展性原則。通信子網(wǎng)規(guī)劃與設(shè)計(jì)：拓?fù)浣Y(jié)構(gòu)與網(wǎng)絡(luò)總體規(guī)劃、核心層、分布、接入層設(shè)計(jì)、遠(yuǎn)程接入訪問(wèn)的規(guī)劃與設(shè)計(jì)。資源子網(wǎng)規(guī)劃設(shè)計(jì)：服務(wù)器接入服務(wù)器接入方式接入方式說(shuō)明適用千兆以太網(wǎng)端口接入需要配置千兆網(wǎng)卡，其性能好、數(shù)據(jù)吞吐量大企業(yè)級(jí)數(shù)據(jù)服務(wù)器、流媒體服務(wù)器和較密集的應(yīng)用服務(wù)器并行快速以太網(wǎng)冗余接入采用兩塊以上100Mb/s專用高速網(wǎng)卡，支持負(fù)載均衡數(shù)據(jù)業(yè)務(wù)量較大的部門級(jí)服務(wù)器，以及較小規(guī)模的企業(yè)級(jí)服務(wù)器普通接入采用一塊專用網(wǎng)卡接入，最經(jīng)濟(jì)、簡(jiǎn)捷，但可用性低數(shù)據(jù)業(yè)務(wù)量不是太大的服務(wù)器服務(wù)器子網(wǎng)連接連接方式優(yōu)點(diǎn)缺點(diǎn)直接接入核心交換機(jī)直接使用核心交換機(jī)的高帶寬占用太多的核心交換端口在兩臺(tái)核心交換機(jī)上外接一臺(tái)專用服務(wù)器子網(wǎng)交換機(jī)分擔(dān)帶寬，減少核心交換機(jī)端口占用，提供充足的端口密度容易形成帶寬瓶頸，存在單點(diǎn)故障設(shè)備選型網(wǎng)絡(luò)操作系統(tǒng)與服務(wù)器資源設(shè)備網(wǎng)絡(luò)安全設(shè)計(jì)分級(jí)設(shè)計(jì)在分級(jí)模型中，包括了核心層、分布層和訪問(wèn)層三層。核心層常用的技術(shù)包括：FDDI、ATM(需要通過(guò)LANE仿真技術(shù)才可在局域網(wǎng)中使用)、100BaseFx、千兆以太網(wǎng)。分布層是直接連接信息點(diǎn)，并使網(wǎng)絡(luò)資源設(shè)備接入網(wǎng)絡(luò)的部分。(取決是否擴(kuò)充互聯(lián)[堆疊、級(jí)聯(lián)])。接入層是直接與桌面連接的交換機(jī)、集線器校園網(wǎng)設(shè)計(jì)企業(yè)網(wǎng)設(shè)計(jì)第十五章 組網(wǎng)技術(shù)一、園區(qū)網(wǎng)與局域網(wǎng)技術(shù)園區(qū)網(wǎng)設(shè)計(jì)園區(qū)網(wǎng)設(shè)計(jì)經(jīng)常使用的技術(shù)技術(shù)說(shuō)明路由技術(shù)(第三層交換)是連接LAN的一項(xiàng)關(guān)鍵技術(shù)，現(xiàn)在也可以使用第三層交換來(lái)實(shí)現(xiàn)千兆以太網(wǎng)擁有很高的帶寬，并且為已安裝了的介質(zhì)提供了向后兼容性，是骨干網(wǎng)的良好選擇以太網(wǎng)交換提供了二層交換功能，每個(gè)連接都提供了專用的以太網(wǎng)段令牌環(huán)交換提供與以太網(wǎng)交換相同的技術(shù)，可以用做透明網(wǎng)橋或源路由網(wǎng)橋ATM交換技術(shù)可以為聲音、圖像及數(shù)據(jù)提供高速交換功能FDDI在千兆太網(wǎng)出現(xiàn)前，經(jīng)常使用FDDI作為骨干網(wǎng)，連接多個(gè)LAN電纜性能 纜線項(xiàng)目 銅纜光纖同軸電纜雙絞線單模光纖多模光纖距離限制300米100米小于25公里小于2公里長(zhǎng)處便宜安裝容易傳輸能力最強(qiáng)在園區(qū)內(nèi)常用缺陷 易連接失效 〉185M需中繼比同軸電纜稍貴些實(shí)現(xiàn)昂貴，且具有里需要衰減器距離受限，易受干擾，性能不可測(cè)合適的拓?fù)淇偩€星型　　●用交換機(jī)/網(wǎng)橋解決介質(zhì)爭(zhēng)用(沖突域)問(wèn)題，用三層設(shè)備（路由器或三層交換機(jī)）分解廣播域。橋接和路由選擇對(duì)比項(xiàng)目橋接/交換路由選擇工作層第二層第三層尋址方案MAC(物理)網(wǎng)絡(luò)地址(邏輯)處理廣播的方式廣播阻塞防止循環(huán)的方法生成樹無(wú)法防止管理控制MAC層網(wǎng)絡(luò)層優(yōu)點(diǎn)配置簡(jiǎn)單、延遲短可擴(kuò)展性好，易于排錯(cuò)缺點(diǎn)擴(kuò)展性差、難以排錯(cuò)配置復(fù)雜、延遲高、吞吐量小●在接入層交換機(jī)的選配中，應(yīng)考慮幾個(gè)方面的因素：局域網(wǎng)技術(shù)、速率、端口密度、上聯(lián)端口類型?！裨诜植紝咏粨Q機(jī)的選配中，應(yīng)考慮幾個(gè)方面的因素：網(wǎng)絡(luò)速率、端口密度、上聯(lián)端口類型、交換機(jī)背板、