當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

软考中级网络工程师全面学习笔记第2版(5万字)+配套视频及课件

發布時間：2023/12/14 编程问答 26 豆豆

生活随笔收集整理的這篇文章主要介紹了软考中级网络工程师全面学习笔记第2版(5万字)+配套视频及课件小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

作者：BSXY_19計科_陳永躍 BSXY_信息學院注：未經允許禁止轉發任何內容

如果覺得在該軟件或瀏覽器下不方便查看可進行資源下載，資源鏈接如下：
第一版軟考中級網絡工程師全面學習筆記(近4萬字)

第二版說明：
中級網工考試筆記第2版+高清網絡協議神圖+常見編碼圖+網工常見診斷命令實踐圖+配套視頻及其課件+相應模擬器和相應資源，wei：ych520cyy （7.7即可，不誠勿加可以去其他地方自找找看，驗證消息為：中級網工）
注：軟件分享及資源說明，請看前言及資源下載說明

軟考中級網工考試筆記（涉及表格用圖片代替_5萬字左右）

前言及資源下載說明
第一章計算機基礎知識
- 一、數據表示
- - （一）定點和浮點和整數
  - （二）原/反/補碼
  - （三）取值范圍
- 二、邏輯計算機
- 三、計算機系統的組成與體系
- - （一）中央處理器CPU
  - （二）組成原理
  - （三）硬件基礎
  - （四）計算機系統基礎
  - （五）設備管理
- 四、總線系統
- 五、指令系統
- 六、CISC與RISC指令
- 七、計算機分類（Flynn）
- 八、存儲系統
- - （一）硬盤
  - （二）Cache
  - （三）RAID技術
  - （四）主存儲器
  - （五）存儲系統的存取方式
  - （六）內部存儲與外部存儲
- 九、磁盤整列RAID
- 十、云計算與系統可靠性
第二章計算機網絡概論
- 一、計算機網絡概論
- 二、計算機網絡分類
- 三、網絡協議體系結構
- 四、計算機網絡傳輸過程
第三章知識產權與標準化
- 一、知識產權
第四章數據通信基礎
- 一、數據通信
- 二、數據通信計算
- 三、通信傳輸介質
- 四、數據調制與編碼
- 五、數據通信方式
- 六、數字傳輸標準
- 七、數據交換技術
- 八、多路復用技術
- 九、數據檢錯糾錯
第五章廣域通信網
- 一、廣域網概念和分類
- 二、公共交換電話網PSTN
- 三、公共數據網X.25
- 四、幀中繼網FR
- 五、綜合業務數據網ISDN
- 六、異步傳輸模式ATM
第六章局域網和城域網
- 一、局域網體系和標準
- 二、數據鏈路LLC和MAC
- 三、交換式以太網
- 四、高速以太網
- 五、虛局域網VLAN
- 六、局域網互聯
- 七、生成樹網橋
- 八、源路由網橋
- 九、城域網簡介
第七章無線通信網
- 一、無線移動通信
- 二、無線局域網
- 三、無線個人網
第八章網絡互聯與互聯網
- 一、網絡互聯設備
- 二、因特網協議IP
- 三、控制報文協議ICMP
- 四、無線城域網
- 五、IP與子網掩碼
- 六、地址解析協議ARP
- 七、內部路由協議RIP
- 八、內部路由協議OSPF
- 九、外部路由協議BGP
- 十、傳輸層協議TCP
- 十一、傳輸層協議UDP
- 十二、常用應用層協議
- 十三、路由器技術NAT
- 十四、路由器VLSM和CIDR
- 十五、路由器技術QoS
- 十六、路由器技術MPLS
- 十七、路由器技術組播
- 十八、路由技術ACL
- 十九、DHCP協議
第九章下一代互聯網
- 一、IPV6基礎知識
- 二、IPV6過渡技術
- 三、移動IP和IPV6
- 四、IPV6路由協議
第十章網絡安全與應用
- 一、網絡安全基礎
- 二、信息加密技術
- 三、數字簽名技術
- 四、密鑰管理技術
- 五、虛擬專用網VPN(IPSec)
- 六、應用層安全協議
- 七、防火墻技術
- 八、計算機病毒 & 防范
- （一）病毒與木馬
- （二）病毒防治方式
- 九、IDS與IPS
- 十、網絡故障
第十一章網絡應用服務器
- 一、網絡服務器
- 二、進程管理
- （一）死鎖問題
- （二）其他
- 三、server 2008基礎
- 四、Linux基礎
- 五、WEB服務器安裝配置
- 六、FTP服務器安裝配置
- 七、Apache服務器
- 八、DNS服務器安裝 & 配置
- 九、DHCP服務器安裝配置
- 十、Linux Samba簡介
- 十一、windows 2008安全策略
- - （一）Windows 2008安全策略
  - （二）Windows五種身份認證
第十二章組網技術
- 一、交換路由基礎知識
- - （一）交換機
  - （二）路由器
- 二、交換機VLAN實驗
- 三、RIP與BDF聯動實驗
- 四、動態路由IS-IS實驗
第十三章網絡管理
- 一、網絡管理結構
- 二、簡單網管協議SNMP
- 三、結構化布線系統
- 四、管理信息庫MIB
- 五、網絡管理工具和命令
- 六、網絡存儲技術
第十四章網絡規劃與設計
- 一、網絡設計基礎
- 二、通信流量分析
- 三、邏輯網絡設計
- 四、物理網絡設計
- 五、網絡需求分析
第十五章命令圖和協議
- 一、網絡協議神圖
- 二、常用命令圖
- - （一）netstat
  - （二）nslookup
  - （三）route print
  - （四）tracert

前言及資源下載說明

如果覺得在該軟件或瀏覽器下不方便查看可進行資源下載，資源鏈接如下：
第一版軟考中級網絡工程師全面學習筆記(近4萬字)

由于第二版（中級網工考試筆記第2版+高清網絡協議神圖+常見編碼圖+網工常見診斷命令實踐圖+配套視頻及其課件+相應模擬器和相應資源）wei：ych520cyy（7.7即可，不誠勿加可以去其他地方自找找看，驗證消息為：中級網工）

可能你從其他地方購買的或是其他的來的各種筆記都是幾個甚至幾十個文件排版也相當不好的文件讓你去自己慢慢閱讀，慢慢找。這里筆記只有一個文件且體積小也可以編輯，如果是用著WPS云文檔也可上傳到自己的云文檔中，排版的也還可以，即便是打印出來也可以很好的進行閱讀與查看

視頻及課件說明：課件和視頻呢也是別人錄制好了的，特別是版本2呢是2018年剛改革之后（第五版教材）的，也是可以看的，內容呢也是依據最近辦教材的考綱來錄制的，版本1視頻同理也是依據最新第五版教材來錄制的教學視頻。

相關軟件分享(有效期7個月)：
eNSP模擬器配套軟件_多做幾個實驗真的對下午題很有優勢；

typroa筆記軟件(離線)_用于下午考試用的筆記_有一個記筆記的習慣真的太重要了；

flowus(線上)_最好的一點是可以分享筆記，也可以吧別人的筆記拷貝到自己空間(我漸漸的由typroa轉到FlowUS筆記)；

截圖軟件Snipaste(綠色版無需安裝)_對于在線上學習的東西得有一個好的截圖軟件_重點F1/F3，也可以百度一下花1分鐘熟悉一下該軟件
這是之前記錄的筆記，用這兩個軟件記錄的筆記可對比一下，都差不多一個是需要線上的一個是線下的：

第一章計算機基礎知識

一、數據表示

（一）定點和浮點和整數

定點表示法表示的數(稱為定點數)常分為定點整數和定點小數兩種
定點表示法中，小數點不需要占用一個存儲位
浮點表示法用階碼和尾數來表示數，稱為浮點數
在總位數相同的情況下，浮點表示法可以表示更大的數
定點整數的最大值為：2^n-1-1
定點小數的最大值為：1-2^-(n-1)
定點小數精確范圍：源碼和反碼：-(1-2^-(n-1) ) ~ 1-2^-(n-1)；補碼：-1~1-2^-(n-1)；

（二）原/反/補碼

正數:0；負數:1；原碼–>數值的二進制

（三）取值范圍

二、邏輯計算機

黑盒測試注重于測試軟件的功能性需求，黑盒測試試圖發現以下類型的錯誤：功能錯誤或遺漏、界面錯誤數據結構或外部數據庫訪問錯誤、性能錯誤、初始化和終止錯誤
白盒測試中，白盒可以發現：代碼路徑中的錯誤、死循環、邏輯錯誤
白盒測試方法，應根據程序的內部邏輯和指定的覆蓋標準確定測試數據

三、計算機系統的組成與體系

（一）中央處理器CPU

ALU運算器、通用寄存器、狀態寄存器、程序技術器、累加器等部件都是屬于CPU中的部件
CPU產生每條指令的操作信號并將操作信號送往相應的部件進行控制
程序計數器PC除了存放指令地址，不可以臨時存儲算術/邏輯運算結果
CPU中的控制器決定計算機運行過程的自動化
指令譯碼器是CPU控制器中的部件
在CPU中用于跟蹤指令地址的寄存器是==(程序計數器（PC）(屬于CUP的控制器組成部件)==
通用寄存器常用于暫存運算器需要的數據或運算結果
地址寄存器(MAR)和數據寄存器(MDR)用于訪問內存時的地址和數據暫存
==指令寄存器（IR）==用于暫存正在執行的指令
在CPU中，常用來為ALU執行算術邏輯運算提供數據并暫存運算結果的寄存器是(累加寄存器)中
計算機CPU對其訪問速度最快的是（通用寄存器）
加法器是算術邏輯運算單元的部件
指令系統采用不同的尋址方式的目的是（擴大尋址控件并提高編程靈活性）
為便于實現多級中斷嵌套，使用（堆棧）來保護斷點和現場最有效
CPU的中斷響應時間指的是（從發出中斷請求到開始進入中斷處理程序）
最大吞吐率取決于流水線中最慢一段所需的時間
如果流水線出現斷流，加速比會明顯下降
要使加速比和效率最大化應該對流水線各級采用相同的運行時間
流水線采用異步控制并不會給流水線性能帶來改善，反而會增加控制電路的復雜性

（二）組成原理

I/O接口編制分為：統一編制，單獨編制。統一編制通過訪問內存單元的指令訪問I/O接口。單獨編制需要設置專門的I/O指令訪問I/O接口
在計算機系統中采用總線結構，便于實現系統的積木化構造，同時可以（減少信息傳輸的數量）
流水線方式不可以提高指令的執行速度
總線寬度是指總線的線數，即數據信號的并行傳輸能力，也體現總線占用的物理空間和成本；總線的帶寬是指總線的最大數據傳輸率，即每秒傳輸的數據總量?？偩€寬度與時鐘頻率共同決定了總線的帶寬
帶寬(MB/S）=時鐘頻率(MHz)/時鐘周期×總線寬度(bit)/8
并行總線適合近距離高速數據傳輸
串行總線適合長距離數據傳輸
單總線結構在一個總線上適應不同種類的設備，但無法達到高的性能要求
專用總線在設計上可以與連接設備實現最佳匹配
中間代碼可以用樹和圖表示

（三）硬件基礎

SSD實質上是（Flash）存儲器
固態硬盤常見的的接口有：SATA、PCle、M.2
(相聯存儲器)是指按內容訪問的存儲器
閃存掉電后信息不會丟失、屬于非易失性存儲器；以塊為單位進行刪除操作；在嵌入式系統中用來代替ROM存儲器

（四）計算機系統基礎

計算機指令一般包括操作碼和地址碼兩部分，為分析執行的一條指令，其中操作碼和地址碼都應存入指令寄存器（IR）中
指令寄存器的位數取決于( 指令字長 )
指令周期：取出并執行一條指令所需時間
總線周期：CPU從存儲器或者I/O接口存取一個字節所需時間
時鐘周期：CPU處理動作的最小單位
相互關系：一個指令周期可以劃分一個或多個總線周期；一個總線周期可以劃分幾個時鐘周期

（五）設備管理

若某計算機系統的I/0接口與主存采用統一編制，則輸入操作是通過==（訪存）==指令來完成的

四、總線系統

總線系統一把可分為：數據總線DB、地址總線AB、控制總線
廣義地講，任何連接兩個以上電子元器件的導線都可以稱為總線。通?？煞譃?類:
①芯片內總線。用于在集成電路芯片內部各部分的連接。
②元件級總線。用于一塊電路板內各元器件的連接。
③內總線，又稱系統總線。用于構成計算機各組成部分(CPU、內存和接口等)的連接。
④外總線，又稱通信總線。用計算機與外設或計算機與計算機的連接或通信。
連接處理機的處理器、存儲器及其他部件的總線屬于內總線，按總線上所傳送的內容分為數據總線、地址總線和控制總線
CUP響應DMA請求是在一個總線周期結束時
DMA工作方式下，在主存與外設之間建立直接的數據通信
總線：并行總線適合近距離高速數據傳輸；串行總線適合長距離數據傳輸；專用總線在設計上可以與連接設備實現最佳匹配

五、指令系統

1、指令由操作碼和地址碼組成，指令長度分為固定長度和可變長度兩種
2、立即尋址：指令的地址碼字段給出的不是操作數的地址而是操作數本身。其特點是訪問一次存儲器就可同時去除指令和操作數
3、變址尋址：操作數的地址由某個變址寄存器的內容和位移量相加
4、直接尋址（寄存器尋址）：指令的地址碼字段給出操作數所在存儲單元地址（寄存器號）
5、間接尋址（寄存器間接尋址）：操作數的地址是主存（寄存器）中的存儲單元的內容

六、CISC與RISC指令

七、計算機分類（Flynn）

八、存儲系統

（一）硬盤

磁盤調度管理中，通常先進行移臂調度，再進行旋轉調度
SSD 固態硬盤的存儲介質分為兩種，一種是采用閃存（FLASH 芯片）作為存儲介質，這種是主流。另外一種是采用 DRAM 作為存儲介質。

（二）Cache

Cache的功能：提高CPU數據輸入輸出的速率，突破所謂的“馮諾依曼瓶頸”，即CPU與存儲系統間數據傳送寬帶限制
在計算機的存儲體系中，Cache是訪問速度最快的層次
使用Cache改善系統性能的依據是程序的局部性原理
如果以h代表Cache的訪問命中率，t1表示Cache的周期時間，t2表示主存儲器時間，以讀操作為例，使用“Cache+主存儲器”的系統平均周期為t3，則：
t3=h×t1+(1-h)×t2
其中（1-h）又稱為失效率（未命中率）
Cache的設計思想是在合理成本下提高命中率
Cache和主存之間的映射交換，由硬件自動完成。

（三）RAID技術

RAID 0磁盤利用率100%
RAID 1利用率50%，
RAID3，磁盤利用率（n-1）/n，有特定的奇偶校驗盤，可靠性較高
RAID 5磁盤利用率(N-1)/N，N最小取3，沒有特定校驗盤，校驗數據分散存放在各個盤上。可靠性較高。
RAID 6磁盤利用率(N-2)/N，N最小為4。
RAID10： RAID1 和 RAID0 的結合，先鏡像再條帶化
RAID01：RAID0 和 RAID1 的結合，先條帶化再進行鏡像

（四）主存儲器

主存儲器簡稱為主存、內存，設在主機內或主機板上，用來存放機器當前運行所需要的程序和數據，以便向CPU提供信息。相對于外存，其特點是容量小速度快。
主存儲器主要由存儲體、控制線路、地址寄存器、數據寄存器和地址譯碼電路等部分組成。
計算機系統的主存主要是由（DRAM）構成
計算機采用分級存儲體系的主要目的是為了解決存儲容量、成本和速度之間的矛盾
隨機訪問存儲器(RAM)有兩類：靜態的(SRAM)和動態的(DRAM), SRAM 比DRAM速度更快，但也貴得多。SRAM用來作為高速緩沖存儲器(Cache), DRAM 用來作為主存及圖形系統的幀緩沖區。
EEPROM是電可擦除可編程只讀存儲器。
SAN是一種連接存儲管理子系統和存儲設備的專用網絡。SAN分為FC SAN和IP SAN，其中FC SAN采用光纖信道技術互聯；IP SAN采用以太網技術互聯；SAN可以被看作是數據傳輸的后端網絡，而前端網絡則負責正常的TCP/IP傳輸

（五）存儲系統的存取方式

（六）內部存儲與外部存儲

常見的虛擬存儲器由（主存-輔存）兩級存儲器組成
棧區和堆區也稱為動態數據區，全局變量的存儲空間時候靜態數據區
一個運行的程序對應一個進程，需要相應的存儲空間；一個進程可以包含一或多個線程

九、磁盤整列RAID

1、RAID0技術：

可以同時對多個磁盤做讀寫動作，但不具備備份和容錯能力，價格便宜，寫入速度快，但是可靠性最差，磁盤利用率100%（條帶）
優缺點/領域：不會占用太多CPU資源設計、使用和配置比較簡單；無冗余，不能用于對數據安全性要求高的環境；視頻生成和編輯、圖像編輯
2、RAID1技術：
使用磁盤鏡像技術，使用效率不高，但是可靠性高,利用率為50%
優缺點/領域：具有100%數據冗余；開銷大，空間利用率只有50%在寫性能反面提升不大；金融、財務等高可用、高安全的數據存儲環境

十、云計算與系統可靠性

云計算的模式主要有三種：IaaS(基礎設施即服務)；SaaS(軟件即服務)；PaaS(平臺即服務)
失效率:產生故障的概率。
平均無故障時間MTBF :相鄰兩個故障間隔時間的平均值,越大越好。
平均故障修復時間MTTR :修復一次故障所時間的平均值,越小越好。
可用性:系統的可靠性。

第二章計算機網絡概論

一、計算機網絡概論

1．計算機網絡是通過通信線路和通信設備連接的許多的分散獨立工作的計算機系統，遵從一定的協議用軟件實現資源共享的系統
2．組成分為硬件、軟件、協議三部分，協議為計算機網絡中進行數據交換而建立的規則、標準或約定的集合
3．協議分為國際標準OSI/RM七層協議和公認標準TCP/IP四層協議(或五層)。TCP/IP協議簇，包括一系列常用協議

二、計算機網絡分類

1．(1)按分布范圍：分為局域網、城域網、廣域網。(2)按拓撲結構：分為星型、環型、樹型等。(3)其他分類：公用網與專用網；通信網ISP與信息網ICP；校園網與企業網；骨干網與接入網；有線網與無線網等
2．局(LAN)、城(MAN)、廣(WAN)域網對比

三、網絡協議體系結構

1．OSI/RM（開放系統互聯參考模型）七層是應用層、表示層、會話層、傳輸層、網絡層、數據鏈路層、物理層。
2．TCP/IP（因特網傳輸協議）四層是應用層、傳輸層、互聯網層、網絡接口層。也有五層說法，網絡接口層分為物理層、數據鏈路層。

四、計算機網絡傳輸過程

1．網絡數據傳輸過程——解封裝、數據封裝

第三章知識產權與標準化

一、知識產權

1．構成保護計算機軟件著作權的兩部基本法律是：《中華人民共和國著作權》《計算機軟件保護條例》

第四章數據通信基礎

一、數據通信

1．基本概念：信源、信道、信宿；數字信號、模擬信號；模擬通信、數字通信（信道中傳送）
2．光纖傳輸測試指標中，回波消耗是指信號反射引起的衰減

二、數據通信計算

1．模擬信道帶寬計算：W=f2-f1,其中f1是低頻，f2是高頻。物理介質做成，帶寬就固定了
2．數字信道帶寬計算：尼奎斯特定律（無噪聲）：
W:帶寬 B:碼元速率、波特率 n:信號量（位bit） N:碼元種類 R:數據速率（bit/s）

碼元速率：B=2W
碼元種類：n=log2N
數據速率：R=Blog2N=2Wlog2N
對數計算：N=4,log24=log2(22)=2
3．數字信道帶寬計算：香農定律（有噪聲）
C:數據速率 W:信道帶寬 S：信號平均功率 N：噪聲的平均功率 S/B:信噪比（一般dB表示）
香農定律：C=Wlog2(1+S/N)
信噪比公式：dB=10lg(S/N)
4．數據速率?=每秒鐘傳送X個字符×(a+b+c+d)；其中，每秒鐘傳輸的X字符=有效速率/b位數據位；其中B=1/T;1s=106us;eg:周期為125us,即B=1000000/125=8000Hz
5．采用曼徹斯特編碼方式的數字通信中，波特率是數據速率的2倍，曼徹斯特編碼不需要額外傳輸同步信號
6．常用單位換算和數據
1B=8b
1s=103ms=106us
通信換算進率1000 1G=1000M 存儲換算進率1024 1G=1024M
電纜延遲：200m/us(光速300m/us的70%)(200km/ms,200000km/s)

三、通信傳輸介質

1．同軸電纜：分為粗同軸電纜、細同軸電纜。傳送距離長，信號穩定，常用語電視監視系統，音響設備傳送音。數字信號（基帶），模擬信號（帶寬）
2．光纖（光纜）:分為單模光纖SMF(采用ILD激光二極管)、多模光纖MMF（采用LED發光二極管）對比：單模：高貴細遠
3．在FTTx組網方案中的光纖覆蓋范圍對比：FTTH>FTTB>FTTC>FTTN
4．FTTN(Node)是光纖到節點，FTTC(Curb)是光纖到路邊，FTTH(Home)是光纖到用戶，FTTZ(Zone)是光纖到小區，FTTB(Building)是光纖到大樓,FTTD(Desk)到桌面,FTTO(Office)到辦公室，FTTF(Floor)到樓層
5．無線信道：分無線電波和紅外光波

四、數據調制與編碼

1．模擬信道調制：分為調幅ASK（高低）、調頻FSK（疏密）、調相PSK（屁股）、正交調幅QAM

2．數字信道編碼：分為采用（2倍）、量化（等級）、編碼（二進制）三個步驟
3．常見調制技術與默認碼元數：n=log2N

4．單極性碼：正電壓表示1，另外一種狀態表示0；極性編碼：正電壓和負電壓表示；歸零碼RZ，有正電平、負電平、零電平，正電平代表1，負電平表示0；曼徹斯特編碼：負電平到正電平的跳變代表1，反之代表0，反之亦可；差分曼徹斯特編碼：比特開始位置沒電平跳變表示1，有電平跳轉表示0；雙極性編碼：零電平代表0，正負電平表示1，連續的1必須跳轉
5．單擊性碼、極性碼、雙極性碼、歸零碼、雙相碼、不歸零碼、曼徹斯特編碼(不需要額外的傳輸同步信號)、差分曼徹斯特編碼

6．E1信道的數據速率是（2.048Mb/s），E1的控制開銷占2/32,數據開銷為30/32,E1基本幀的傳送時間為125us,其中每個話音信道的數據速率是(64Kb/s)，有效的是54Kb/s；T1載波的數據速率是==1.544Mb/s
7．==各種編碼效率：

Manchester編碼是一種雙相碼，運用在不太快以太網中，提供了比特同步信息
==4B/5B效率80%==用于百兆以太網,用于100Base-FX(采用的編碼技術為4B/5B+NRZI)、100Base-TX、FDDI
8B/10B效率80% 用于千兆以太網
8B/6T:編碼效率為80%，用于100Base-T4
曼碼和差分曼碼效率50%，曼碼用于不太快的以太網，差分用于令牌環網
BAMI:2/3
NRZI:100%

五、數據通信方式

1．通信方向：單工（電視）、全雙工（手機）、半雙工（對講機）
2．傳輸方式：異步傳輸（發郵件什么時候下載都可以，不需要同步）（數據小、距離遠、速率慢）、同步傳輸（兩端同時工作）（數據大、距離近、高速率）

六、數字傳輸標準

1．T1標準：1.544Mbps、125us=8000次。1.544Mbps=[24*(7+1)+1]8000。T2=4T1;T3=7T2;T4=6T3(T476)（美國和日本采用的標準）
2．E1標準（時分復用TDM）：2.048Mbps、125us=8000次。2.048Mbps=3288000。CH0和CH16控制信令，30個話音數據。E2=4E1;E3=4E2;E4=4E3(口訣：E444)（中國和歐洲）
3．SONET標準(美國制定)和SDH標準(國際標準)：用于光纖網絡。155.520（OC-3:155.520 155Mbps;OC-12:155.5204 4*155Mbps；OC-1:OC-3除以3）

七、數據交換技術

1．電路交換：優點：獨占性、實時性，適合傳輸大量的數據；缺點：需建立一條物理連接，利用率低（早期的電話系統）
2．報文交換：優點：不需要專用通達，線路利用率高，存儲轉發節點可校驗糾錯；缺點：有通信時延。比如物流包裹
3．分組交換：優點：利用率更高、可選路徑、數據率轉換、支持優先級；缺點：時延、開銷大。比如郵局寄信。又分為數據報和虛電路
4．

分組數據報：單向傳送、無連接的。如普通信
分組虛電路：交互式、邏輯鏈接。如掛號信

八、多路復用技術

1．頻分復用FDM：不同的頻率，子信道隔離頻帶防串擾，如CATV，WIFI。
2．時分復用TDM：不同的時間，輪流占用，如手槍、手機。分為同步時分T1、E1；統計時分，如ATM。
3．波分復用WDM：不同的波長，如光纖。

九、數據檢錯糾錯

1．檢錯碼：奇偶校驗看1的個數是奇數/偶數。只能檢錯不能糾錯。移動通信廣泛采用。
2．海明碼是一種可以糾正錯誤的差錯編碼；循環冗余校驗碼只能檢測出錯誤，而不能糾正錯誤；奇偶校驗碼在1的個數的奇偶性沒有發生變化時是檢測不出錯誤的。
3．一對有效碼字之間的海明距離是( 兩個碼字之間不同的比特數 )
4．海明碼：在數據位m后面增加冗余校驗位k，組成信息m+k，則滿足m+k＜2k-1可糾正一位錯誤(一位一位糾正可）。不但檢錯還能糾錯。

碼距d:也叫海明距離，兩個碼字之間不同的最小的位數（比特數）
可以查出多少位錯誤：≤d-1
可以糾正多少位錯誤：<d/2
5．CRC碼：冗余循環校驗碼，是一種循環碼，通過循環位移，實現檢錯，硬件容易實現，廣泛用于于局域網。只能檢錯不能糾錯

第五章廣域通信網

一、廣域網概念和分類

1．廣域網是指長距離跨地區的各種局域網、計算機、終端互聯在一起，組成一個資源共享的通信網絡。
2．傳統廣域網和現代廣域網

3．X.25、FRN、ATM：分組交換；ADSL用于連接公共交換電話網PSTN：電路交換網
4．無光源網絡：

二、公共交換電話網PSTN

1．公共交換電話網PSTN：利用電話線上網，早期是電話+“貓”撥號上網。
2．調制解調器Modem：俗稱“貓”，作用是把電話線里面的模擬信號和數字信號互相轉換，V.90標準可以達到56Kb/s。（電話貓、電視貓、電力貓、光纖貓等）
3．數據終端設備DTE，如用戶的計算機、電話等。數據電路設備DCE，如調制解調器。DTE和DCE兩端要同步

三、公共數據網X.25

1．X.25使用分組交換，分為三層：物理層、鏈路層、分組層。對應于OSI的低三層。采用虛擬電路、面向連接的。采用后退N幀ARQ、滑動窗口默認2。
2．流量控制技術：協調收發端流量。==假設沒有傳輸錯誤的流控技術：==停等協議。發送一幀，等到應答，再發送；如果不應答，一直等。類似銀行柜臺存錢，一個個存錢
3．==假設沒有傳輸錯誤的流控技術：==滑動窗口協議。連續發送多個幀而無需應答。類似銀行ATM機，一沓一沓存錢
4．差錯控制技術：檢查和糾正傳輸錯誤。

①肯定應答：收到肯定應答信號ACK繼續發送。
②否定應答重發：收到否定應答信號NAK重發出錯幀。
③超時重發：超過規定時間重發該幀。這種技術稱為自動請求重發ARQ。
5．ARQ分為三種：停等ARQ、選擇重發ARQ、后退N幀ARQ。
停等ARQ：是停等流控和ARQ結合。類似銀行柜臺存錢，手續齊全辦理，叫號等時間長下一位，忘帶身份證不辦理。
選擇重發ARQ：是滑動窗口和ARQ結合。類似銀行ATM一沓一沓存錢，這張是假幣，選擇這一張重發。如衛星通信
后退N幀ARQ：也是滑動窗口和ARQ結合。類似銀行驗鈔機一沓一沓數錢，這張是假幣，選擇這一張包括后面的都要重發
6．各種流控和差錯利用率計算如下。
①常數a值的計算：a=(d/v)/(L/R)=(RT)/L=(Rd/v)/L
R=數據速率，d=線路長度，v=傳播速度，L=幀長，T=傳播遲延
②效率E值的計算：停等協議：E=1/(2a+1)
滑動窗口：E=W/(2a+1
③窗口W值的計算：選擇ARQ：W≤2k-1
后退ARQ：W≤2k-1
高級數據鏈路控制協議HDLC：面向比特的。通常使用CRC-16、CRC-32校驗。幀邊界01111110 “兩頭踢皮球”。用戶數據字段INFO大小.不固定固定大小的滑動窗口協議用在數據鏈層的HDLC中
HDLC協議中，幀的編號和應答存放在控制字段中
在HDLC協議中，如果監控幀中采用SERJ應答，表明差錯控制機制為選擇重發/選擇性拒接ARQ
00–接收就緒(RR)；01–拒接(REJ)；10–接收未就緒；11–選擇拒接(SREJ）
采電HDLC協議進行數據傳輸時，RNR5表明下一個接收的幀編號應為5，但接收器末準備好，暫停接收

四、幀中繼網FR

1．幀中繼FR是X.25演變改進的。

工作在OSI的低兩層，即物理層和鏈路層。
在第二層建立虛電路（與X.25一樣，也支持永久虛電路PVC和交換虛電路SVC），承載數據業務，因而第三層被簡化了。也是分組交換。
提供面對連接的服務；一種高效的數據鏈路技術；利用了光纖通信和數字網絡技術的優勢
FR只做檢錯，不再重傳，沒有流控，只有擁塞控制，檢錯交高層。
2．幀中繼主要優點有
基于分組（幀）交換的透明傳輸，可提供面向連接的服務
幀長可變，長度可達1600~4096字節，可以承載各種局域網的數據幀。
數據速率可這2~45Mbps
既可以接需要提供帶寬，也可以應付突發的數據傳輸
沒有流控和重傳機制，開銷很少

五、綜合業務數據網ISDN

1．綜合業務數據網ISDN：基于電路交換，把數據、聲音、視頻信號三合一傳輸。

ISDN兩種速率：
N-ISDN基本速率BRI(2B+D)(主要是家庭)(144Kb/s)
N-ISDN基群速率（主速率接口）PRI(30B+D)(主要是企業)(2048Kb/s)（組成ISDN稱為：B-ISDN PRI（寬帶-ISDN-基群速率））（B代表寬帶，N代表窄帶）
B信道數據信道；D信道控制信道
2B+D=264+16=144Kb/s
30B+D=3064+64=1.984Mb/s（近似E1）

六、異步傳輸模式ATM

1．異步傳輸模式ATM:最早是B-ISDN標準的一部分，分為四層模式

2．ATM規定了4類用戶業務：
3．VPI用來表示不同虛擬路徑，CIR用來約束數據速率
4．ATM采用53字節信元分組交換，使用統計時分TDM。采用雙絞線或光纖，典型數據速率155M，面向連接，使用虛電路的虛通路VPI和==虛信道VCI
5.ATM業務類型

第六章局域網和城域網

一、局域網體系和標準

1、局域網的概念：單一機構擁有計算機網絡，中等規模地理范圍，實現設備互聯、信息交換和資源共享
2、LAN/MAN的IEEE802標準，重點掌握：802.3(CSMA/CD)、802.11(無線局域網)、802.16(無線城域網)

3、CSMA/CD是IEEE802.3的核心算法
4、IEEE802.3規定的最小幀長為64字節
5、城域網的特征：以光傳輸網為基礎；融合無線城域網；支持電信、電視與IP業務
6、城域網管理中：利用傳統電信網進行的網絡管理稱為“帶內”管理；利用IP協議進行的網絡管理稱為“帶外”管理；匯聚層以下采用帶內管理
7、802.11在MAC層采用了CSMA/CA算法

二、數據鏈路LLC和MAC

1、邏輯鏈路控制LLC：目的是屏蔽不同的介質訪問控制方法，以向高層(網絡層)提供統一的服務和接口。LLC地址是SAP(服務訪問點)。這個標準與HDLC是兼容的，無幀校驗字段，放到了MAC層。同時提供目標地址和源地址字段。

當源地址/目的地址中：I/G=0是單地址，等于1是組地址；
當控制字段中C/R=0是命令，等于1是響應
在LLC2中，管理幀I：信息；管理幀中RR:接收準備好；RNR接收未準備好；REJ:拒接
2、介質訪問控制MAC：其中，長度字段表示數據實際長度，最大1500。同時還可以表示上層協議類型，1501以上的值,如圖是以太網幀格式：

其中長度：可以表示數據字段長度也可以表示上層協議的類型
3、MAC地址：采用16進制數表示，共6B(48位),有IEEE和廠家燒制到網卡上
4、以太網結構中填充字段的作用是保持最小幀長
5、CSMA/CD協議：載波監聽多路訪問/沖突檢測。是分布式介質訪問控制方法

6、最小幀長計算：為了檢測到沖突。L=2R×d/v其中，R為網絡數據速率，d為最大段長，v為信號傳播速度。
7、二進制后退指數算法

考慮網絡負載變化；
后退次數和負載大小有關。
重發次數最大為16，然后上報高層協議。

三、交換式以太網

1、概念:以太網：早期的802.3局域網，10Mbps。來源于光在空氣中傳播的介質“以太（ether）”，由此得名“以太網”寓意無處不在的網絡。
2、交換式以太網核心部件是交換機，有一個高速底板，插上一些插槽，插槽上有一些連接器，用于連接10M網卡的主機。如：E0/0，F0/1，（插槽/接口）；G0/0/0（插槽/模塊/接口）
E：以太網，F：快速以太網，G吉比特以太網
3、以太網采用了二進制指數后退算法，特點是網絡負載越重，可能后退的時間越長
4、以太網交換機連接的一組工作站，組成了一個廣播域，但不是一個沖突域
5、雙絞線分為交叉雙絞線和直通雙絞線；同種設備連接用交叉雙絞線(PC和路由器，服務器與服務器等)；不同種設備用直通線(PC與交換機，服務器與交換機)
6、鏈路聚合是多個物理鏈路聚合合成一個邏輯鏈路

四、高速以太網

1、快速以太網：802.3u標準，速率可到 100M，100Base-T/F規范。FLP快速鏈路脈沖；T表示非屏蔽雙絞線，C表示屏蔽雙絞線，F表示光纖

2、千兆以太網：802.3z標準，速率可到 1Gbps，兼容10M/100M以太網。幀突發

3、萬兆以太網：802.3ae標準，速率可達萬兆（10Gbps），只支持光纖，只支持全雙工，不再采用CSMA/CD，可用于城域網

4、光以太網：利用光纖的帶寬有事，結合以太網成熟的技術，為新一代的寬帶城域網提供技術支持。光以太網具備的特征有：（1）能夠根據用戶的需求分配帶寬；（2）具有認證和授權功能；（3）提供計費功能；（4）支持VPN和防火墻，保證網絡安全；（5）支持MPLS,提供QoS服務；（6）方便快速靈活的適應用戶和業務的拓展

五、虛局域網VLAN

1、虛擬局域網VLAN概念：根據管理功能、組織機構或應用類型，對物理網絡進行分段而形成的邏輯網絡，與用戶的物理位置無關
2、不通VLAN在不同廣播域，切割廣播域，減少廣播提高網絡性能，增加網絡安全，使網絡易于維護，更具邏輯性，
3、在運營商中，一般會有多個用戶和不同的業務流需要融合。運營商常用外層VLAN區分不同的業務流，在ONU或家庭網關處采用內層VLAN來區分不同的用戶；這種處理方式要求運營商網絡或用戶局域網中的交換機都支持802.1q協議，同時通過802.1ad（運營商網橋協議）來實現靈活的QinQ技術
4、VLAN劃分方式：①靜態分配VLAN：基于端口。②動態分配VLAN：基于MAC地址(2層)、網絡層IP(3層)、規則策略(高層)等。
5、如果校園網中辦公室用戶沒有移動辦公的需求，采用基于交換機端口的VLAN劃分方法比較合理；如果有的用戶需要移動辦公，采用基于MAC地址的VLAN劃分方法比較合適
6、VLAN劃分的好處：①控制網絡流量，抑制廣播風暴。②提高網絡安全性，不同VLAN之間可做控制。③網絡管理靈活，用戶可以隨地接入網絡
7、不同VLAN之間通信：需要路由器或三層交換機
8、VLAN標準802.1q(dot1q)：在原來的以太幀中增加了4B的控制信息，其中包含12位VLAN標識符VID?？捎?094個VLAN。

9、VLAN兩種端口：接入端口Access（通過單個VLAN）和中繼端口Trunk（通過多個VLAN）
10、雙絞線與光纖：

雙絞線：最大衰減值回波耗損限值近端串擾衰減值開路/短路是否錯對
光纖：最大衰減值回波耗損限值波長窗口參數時延長度
近端串擾僅用于雙絞線測試
波長窗口參數和回波損耗限值僅用于光纖的
最大衰減限指既可是光纖也可是雙絞線
11、VLAN的一些敘述：
一個新的交換機默認配置的是VLAN 1
一個VLAN能跨越多個交換機
各個VLAN屬于不同的廣播域（一個VLAN就是一個廣播域）
VLAN對分組進行過濾，增強了網絡的安全性
12、WLAN接入安全控制中，采用的安全措施有SSID訪問控制、物理地址過濾、WPA2安全認證、更改默認設置、更新AP
13、在缺省配置是交換機所有端口屬于同一個VLAN中，
14、VLAN標記中
不同交換機之間的相同VLAN必須通過中繼端口連接才能互相通信
交換機根據目標地址和VLAN標記進行轉發決策
進入目的網段時，交換機刪除VLAN標記，恢復原來的幀結構
VLAN標記對用戶是透明的
VLAN簡化了在網絡中增加、移除和移動主機的操作
15、VLAN ID必填，由12bit表示，范圍是1-4096,其中1是缺省VLAN,一直存在不能刪除；1-1000可用于以太網，1002可用于FDDI和令牌環，1025-4096是擴展的VLAN ID

六、局域網互聯

1、局域網互聯設備：2層網橋（生成樹、源路由）、3層交換機、路由器。網橋要求3層以上協議相同，1、2層協議不同可互聯。

2、網橋如果從端口收到一個數據幀，則將其源地址記入該端口的數據庫的方式來知道網絡端口連接了哪些網站；當網橋連接的局域網出現環路時，運行生成樹協議阻塞一部分端口

七、生成樹網橋

1、生成樹網橋：又叫透明網橋，IEEE802.1d，生成樹算法?；舅枷胧窃诰W橋之間傳遞BPDU，比較參數，根據STP打開好端口，阻塞差端口，沿著好的端口建立路徑。邊走邊拐彎。用于以太網。

2、生成樹網橋步驟：①確定根橋②確定根端口③確定指定橋④確定指定端口⑤阻塞剩余端口⑥形成無環網絡(上圖)
3、出現像以上路由環路可能會產生：（1）廣播風暴（2）MAC地址表不穩定（3）幀復制的現象
4、生成樹網橋計算數據：

確定根橋ID：優先級+MAC地址，都選最小(網橋ID由2字節的網橋優先級和6字節的MAC地址組成)
優先級0~65535，默認32768(±4096)
確定根端口：優先級+編號，都選最小的
優先級0~255，默認128
三小原則：優先級、MAC地址、通路費用
最小交換機ID（BID或橋ID）就包含了優先級和MAC地址兩個參數了
5、生成樹端口的四種狀態：
Blocking(阻塞)：接收BPDU，不學習MAC地址，不轉發數據幀。20S
Listening(偵聽)：接收BPDU,==不學習MAC地址，不轉發數據幀，但交換機向其他交換機通告該端口，參與選舉根端口或指定端口
Learning(學習)：接收BPDU,學習MAC地址，不轉發數據幀。
Forwarding(轉發)：正常轉發數據幀。
阻塞→20秒→偵聽→15秒→學習→15秒→轉發
6、生成樹種類和標準：
多生成樹MSTP-IEEE 802.1s
快速生成樹RSTP-IEEE 802.1w
生成樹STP-IEEE 802.1d
端口認證基于用戶-IEEE 802.1x(基于MAC地址)
口訣記憶：多快生口，是s我w弟d兄x
7、生成樹協議STP使用了網橋優先級和MAC地址來選舉根網橋
8、生成樹協議STP協議的作用是防止二層環路；運行在交換機和網橋上
9、網橋協議數據單元（BPDU）包含兩種：配置BPDU<=35B；拓撲變化通知BPDU<=4B
10、Bridge ID用8個字節表示；阻塞的端口仍然是一哥激活端口，但它只能接受BPDU
11、快速生成樹技術主要包含：（1）backonefast:網中鏈路失效時；（2）uplinkfast:直連鏈路失效時；（3）portfast:只適合用于端口連接單個主機妝發狀態；（4）BPUD Filter:強行要求端口轉發為轉發狀態

八、源路由網橋

1、源路由網橋：IEEE 802.5，基本思想是發送探測幀到目的節點，返回路徑以后沿著路徑再傳送。發送幀在這條路徑上就傳送，不在這條路徑上就發送廣播，查詢路徑，選擇最優路徑再傳送。選好路再走。令牌環網。

九、城域網簡介

1、什么是城域網？城域網比局域網傳輸距離遠，能夠覆蓋整個城市。能夠提供分組傳輸的數據、語音和視頻等多媒體業務。更大的傳輸容量，更高的傳輸效率。
2、城域以太網：①以太網專用線、②以太網虛擬專線、③以太局域網服務（E-LAN）最看好
3、無線城域網標準：WiMAX(802.16d固定、802.16e移動)、WiMAXII(802.16m4G)
Q-in-Q:運營商網橋協議(PBP)IEEE802.1ad(基于技術是在以太幀中插入運營商VLAN標記字段)。MAC-in-MAC:運營商主干網橋(PBB)IEEE802.1ah

第七章無線通信網

一、無線移動通信

1、4G：至少100Mbps，下1Gbps，上 500Mbps，使用正交頻分多。包含TDD和FDD兩種制式。選定的多路復用技術是OFDM(正交頻分多路復用)

二、無線局域網

1、無線局域網WLAN：兩大陣營：①IEEE 802.11面向數據無連接。②歐洲郵電委HIPERLAN，面向語音有連接。奧迪A5

2、802.11的擴頻技術就是：用偽隨機序列對代表數據的模擬信號進行調頻
3、調頻擴頻技術的特點：（1）抗干擾性能好；（2）隱蔽性強，干擾小；（3）易于實現碼分多址；
4、擴頻技術：（1）擴頻通信減少了干擾并有利于通信保密；（2）每一個信號比特可以用N個碼片比特來傳輸；（3）信號散布到更寬的頻帶上降低了信道阻塞的概率；
5、擴頻通信減少了干擾并有利于通信保密
6、擴展頻譜通信的主要思想是將信號散步到更寬的帶寬上以減少阻塞和干擾的機會
7、無線局域網WLAN：兩種結構：①基礎設施網絡、②特殊網絡Ad Hoc

8、無線局域網WLAN：兩種AP(數鏈層作用是無線接入)(室內30m，室外150m)

胖AP(FAT)一般指無線路由：胖AP多用于家庭和小型網絡，功能比較全，一般一臺設備就能實現接入、認證、路由、VPN、地址翻譯,甚至防火墻功能
瘦AP(FIT)一般指無線網關或網橋：瘦AP多用于要求較高的場合，要實現認證一般需要認證服務器或者支持認證功能的交換機配合
9、無線局域網WLAN：三種技術：①紅外線，②擴展頻譜，③窄帶微波
紅外線(IR)分為：定向光束紅外線、全向廣播紅外線，漫反射紅外線。
擴展頻譜分為：頻率跳動FHSS、直接序列DSSS。
窄帶微波(RF)分為：申請許可證RF，免許可證RF
CSMA/CA：載波監聽多路訪問沖突避免，解決隱蔽終端問題
傳數據先檢測，如果探測到網絡中沒有數據，則等待一個IFS時間，再隨機選擇一個時間片繼續探測，如果無線網路中還沒有活動的話，就將數據發送出去
送出數據前，先送一段小小的請求報文給目標端，收到目標端回應后，在傳送大量的數據，確保不會碰撞，開銷最小
10、三種幀間隔IFS：優先級訪問控制
DIFS（分布式協調IFS）最長，優先級最低
PIFS（點協調IFS）中等長度，優先級居中
SIFS（短IFS）最短，優先級最高立即響應
超級幀：點協調輪詢終端。應答幀：分布式
DIFS用在CSMA/CA協議中，只要MAC層有數據要發送，就監聽信道是否空閑。如果信道空閑，等待DIFS時段后開始發送；如果信道忙，就繼續監聽，直到可以發送為止。
11、無線加密協議WEP：認證和加密，明文的。無線保護接入WPA/WPA2：802.1x認證、RC4加密和TKIP數據完整性
12、無線局域網通常采用的加密方式是WPA2,其安全加密算法是AES和TKIP
13、為了彌補WEP協議的安全缺陷，WPA安全認證方案增加的機制是臨時秘鑰完整性協議
14、Ad Hoc網絡：節點之間對等。每個節點既是主機，又是路由器。形成自組織網MANET。MANET的特點就是：網絡拓撲結構是動態變化的；電源能量限制了無線終端必須以最節能的方式工作；每個節點既是主機又是路由器
15、MANET中的路由協議:

16、DSDV路由協議：目標排序的距離矢量協議，扁平式先驗式，利用序列號解決環路
17、AODV路由協議：按需分配的距離矢量協議，扁平式，反應式，開銷少，適合快速變化的網絡。
18、無線網的安全：隱藏SSID、MAC過濾、WEP/WPA/WPA2、802.11i四個方面
19、802.11i標準制定的無線網絡加密協議WPA是一個基于TKIP算法的加密方案
20、無線網絡加密協議WRAP是一個基于AES算法的加密方案
21、802.11i采用的加密算法是AES
22、802.11i：臨時秘鑰TKIP(RC4)、強制加密協議CCMP(AES128)、任選加密WARP。802.1x
23、802.1X起源于802.11標準，最初的目的主要是解決無線局域網用戶的接入認證問題;如果不能通過驗證的話，就無法訪問局域網中的資源，相當于物理斷開
24、WEP：RC4加密，CRC-32校驗，24初始向量+40比特字符串構成64比特的WEP密鑰，24初始向量+104比特字符串=128；WPA的設計中包含了認證、加密和數據完整性校驗三個組成部分。48初始向量+80字符串=128密鑰。RC4加密，相比起WEP采用了臨時秘鑰以減少安全風險
25、WIFI6支持完整版的MU-MIMO；理論吞吐量最高可達9.6Gbps；遵從協議802.11ax；
26、漫游是由無線客戶端主動發起的，決定權在無線客戶端這一方面，而并不在無線設備（AP接入控制器、AC無線接入點）這一方面；漫游分為二層漫游和三層漫游；三層漫游必須在同一個SSID；客戶端在AP間漫游，AP可以處于不同的VLAN
27、無線AP有兩種工作模式，中繼模式時網絡SSID號均一致，而在橋接模式時網絡SSID號不同
28、組播報文對無線網絡空口的影響主要是(擁塞)，隨著業務數據轉發的方式不同，組播報文的抑制分別在(AP交換機接口)和(AC流量模板)配置
29、AP發射功率的單位是dbm，天線增益的單位是dbi,這兩個值越高，說明無線設備的信號穿透越強

三、無線個人網

1、無線個人網WPAN：小范圍，10米左右，手持設備。IEEE 802.15.1/2/3/4標準
2、藍牙(Bluetooh）技術IEEE 802.15.1：1主設備、7從設備。數據速率1Mbps
3、藍牙技術中：

工作頻段——2.402-2.480GHz
異步信道速率——非對稱為723.2Kbps/57.6Kbps，對稱433.9Kbps
同步信道速率——64Kbps
信道間隔——1MHz 信道數——79
4、4個重要協議：RF無線電頻率協議、鏈路控制協議LCP、鏈路管理協議LMP和鏈路控制自適應協議L2CAP。
5、ZigBee(蜜蜂網)技術IEEE 802.15.4：全功能設備FFD，簡單功能設備RFD，RFD之間不能通信。一般用于物聯網，采用AODV協議
被動式紅外傳感器是一種簡單功能設備，接受協調器的控制
協調器也可以運行某些應用，發起和接受其他設備的通信請求
簡單功能設備之間不能相互通信，只能與協調器通信

第八章網絡互聯與互聯網

一、網絡互聯設備

1、常用網絡互聯設備：
1層物理層：中繼器、集線器
2層鏈路層：網橋、交換機
3層網絡層：路由器、三層交換機
4層以上高層：網關

2、網絡互聯設備：①中繼器Repeater、集線器Hub（又叫多端口中繼器），傳輸比特01，放大信號，延長傳輸距離。

3、網絡互聯設備：②網橋Bridge、交換機Switch又叫多端口網橋，傳輸幀，有源地址、目的地址，有自己的物理地址MAC地址
4、網絡互聯設備：③路由器Router，選擇網絡路徑，傳輸分組，有自己的邏輯地址IP地址。

5、在網絡層采用分層編制方案的好處是為了減少了路由表的長度
6、交換機獲取與其端口連接設備的MAC地址中，交換機檢查端口流入分組的源地址
7、無源網絡優勢有：

設備簡單，安裝維護費用低，投資相對較小
組網靈活，支持多種拓撲結構
安裝方便，不要另外租用或建造機房
8、網橋查看每個端口出現的幀，將其源地址記入該端口的數據庫，這樣就可以了解各個端口連接了哪些網站
9、當網橋連接的局域網出現環路時，所有的網橋通過運行生成樹協議，阻塞一部分端口，使得不再出現環路
10、部署無線控制器設備，實現各會議室的無線網絡統一管理，無縫漫游：部署無線認證設備，實現內部用戶使用用戶名和密碼認證登錄，外來訪客通過掃描二維碼或者手機短信驗證登錄無線網絡：部署POE交換機設備，實現無線AP的接入和供電；大型會議室部署高密吸頂式AP設備，實現高密度人群的無線訪問；在小型會議室借助86線盒部署面板式AP設備，實現無線訪問。
11、PoE也稱為以太網供電，是在現有的以太網Cat.5布線基礎架構不作任何改動的情況下，利用現有的標準五類、超五類和六類雙紋線在為基于IP的終端(如IP電話機、無線局城網接入點AP、網絡攝像機等)同時提供電功率和數據傳輸。
12、完整的PoE系統由供電端設備(PSE)和受電端設備(PD)兩部分組成。依據IEEE 802.3af/at標準，有兩種供電方式，使用空閑腳供電和使用數據腳供電；當使用空閑腳供電時，雙絞線的==(4、5)線對為正極、(7、8)線對為負極為PD設備供電==。當使用數據腳供電時，將DC電源加在傳輸變壓器的中點，不影響數據的傳輸。在這種方式下線對1、2和線對3、6可以為任意極性。
13、POE的標準供電電壓值為48V
14、在核心交換機上配置VLAN，可以實現無線網絡和辦公區網絡、服務器區網絡邏輯隔離；部署上網行為管理設備，可以對所有用戶的互聯網訪問進行審計和控制，阻止并記錄非法訪問：部署防火墻設備，實現服務器區域的邊界防護，防范來自無線區域和辦公區域的安全威脅；在路由器上配置基于源地址的策略路由(因為目的都是訪問互聯網，基于源地址才能區分)，實現無線區域用戶通過運營商1訪問互聯網，辦公區域和服務器區域通過運營商2訪問互聯網
15、區分NAS和SAN。插網線跑網絡協議的叫NAS，比如NFS/CIFS設備；跑存儲協議的叫SAN，比如光纖交換機下的光纖盤柜。簡單區分就是插RJ45的就是NAS,插光纖的就是SAN(不全部)
16、在不增加網絡設備的前提下，要防止外網用戶對本網絡進行攻擊，只能在路由器上配置Nat策略，對于外部網絡顯示的是一個公網IP或者是一段公網IP，從而隱藏內部網絡
17、從題干中的關鍵詞“使用web頁面進行認證后上網”可以知道這是一種基于web portal的認證方式，這種方式最大的特點是不需要安裝客戶端，直接使用瀏覽器訪問網絡之前，會強制定位到web認證頁面
18、網絡設備旁路部署和直連部署的區別：相較于以旁路方式部署，將AC直連部署存在的問題是==(對AC的吞吐率和數據處理能力要求比較高，AC容易成為整個無線網絡帶寬的瓶頸)；如果將AC部署在接入層設備上，往往由于接入層設備性能較差，穩定性不好，也不會配置冗余的電源、線路等提升可靠性的條件；
19、網卡的工作模式有直接、廣播、多播和混雜四種模式==，缺省的工作模式為直接和廣播，即它只接收廣播幀和發給自己的幀。網絡管理機在抓包時，需要把網卡置于混雜模式，這時網卡將接受同一子網內所有站點所發送的數據包，這樣就可以達到對網絡信息監視的目的

二、因特網協議IP

1、TCP/IP協議簇：分為4個層次；主要協議，STDD

2、松散路由與嚴格路由

松散路由：必須經過源站指定的路由器
嚴格路由：只能進過遠端指定的路由器，不能進過源端沒有指定的路由器
3、路由的協議管理距離：
直連端口——0
靜態路由——1
IGRP——100
OSPF——110
IS-IS——115
RIP——120
4、常用的協議封裝和協議號：
ARP–>以太幀中傳送（鏈路層）
ICMP–>IP 1
OSPF–>IP 89
RIP–>UDP 520
BGP–>TCP 179
5、TCP/IP協議常見的協議端口號

6、IP協議：因特網協議，網絡層最重要的協議。無連接的、不可靠的，數據包交換

7、IP協議數據單元，幾個重要字段
標識符：用于分段和重轉配
IHL：IP頭長度，20字節(32位字計)
服務類型：區分優先級、可靠度
總長度：包含IP頭在內(字節數)
頭檢驗和：只校驗IP頭，不包括數據
源地址：IP地址；目的地址：IP地址
生存期：路由器個數+1，超過定值丟棄,防止數據報在網絡中無限轉發
用戶數據：MAC幀長1518，MTU1500，1518-14-4-20=1480，再-20=1460
8、IP私有地址：不能用于公網，只能在內部局域網使用，它們在Internet上也不會被路由，但可以通過NAT等技術與公網通信。下表為標準A、B、C類私有IP地址塊
9、幾種IP特殊地址：具有特殊意義
0.0.0.0：不確切地址，一般設備剛啟動尚無IP臨時使用，表示本機。也叫默認路由地址
255.255.255.255：限制(受限)廣播地址，==同一廣播域內的主機，表示本網所有主機。“大廣播”
127.0.0.1：回環(送)地址==，別名Localhost，向自己發送測試數據。用于測試。
169.254.x.x：自動專用地址，==找不到DHCP服務器，主機給自己分配的一個IP
==單播地址：單個IP、主機地址
網絡地址：主機號各位全為0，表示本網絡整個網絡，不分配
廣播地址：主機號各位全為1，發送給特定網絡的所有主機，不分配。也叫直接廣播地址，也叫子網廣播地址，“小廣播”
組播地址：224.0.0.1，從224.0.0.0到239.255.255.255，表示一個組內的主機
10、TCP/IP網絡中最早使用的動態路由協議是(RIP)協議，這種協議基于(距離矢量)算法來計算路由
11、在交換網絡中VTP協議的作用是將VLAN信息傳播到整個網絡中,讓同一管理域中的所有交換機共享vlan配置信息
12、靜態修剪就是手工剪掉中繼鏈路上不活動的VLAN
13、動態修剪使得中繼鏈路上所有共享的VLAN都是活動的
14、動態/靜態修剪要求在VTP域中的所有交換機都配置成服務器模式

三、控制報文協議ICMP

1、ICMP協議：因特網控制報文協議，網絡層的協議，協議號為1。傳送有關通信控制和差錯報文。就像偵查員、探子。封裝在IP包中，因而也不可靠。ICMP的校驗和是整個ICMP，也是必需有的
2、ICMP協議的功能包括(報告通信故障),當網絡通信出現擁塞時，路由器發出ICMP(源抑制)報文。
3、確定一個網絡是否可以連通，主機應該發送ICMP回聲請求

ICMP差錯報告格式中，除了類型、代碼和校驗碼外，還需要加上出錯報文的前64比特以便源主機定位出錯報文

四、無線城域網

1、無線城域網IEEE 802.16：WiMAX：802.16d（無線固定），802.16e（無線移動）。WiMAX II：802.16m（4G）。比Wi-Fi覆蓋范圍更大，數據速率更高，更好的可擴展性和安全性，實現電信級的服務
2、關鍵技術：正交頻分多路復用OFDM、多輸入多輸出MIMO、頻分/時分雙工FDD/TDD
3、網絡中有無線節點的接入，在安全管理方面采取得措施有：修改屏蔽SSID、MAC地址過濾、加密方式的注意

五、IP與子網掩碼

1、子網掩碼：屏蔽IP地址的網絡部分的“全1”比特模式。將某個IP地址劃分成網絡地址和主機地址兩部分。子網掩碼不能單獨存在，它必須結合IP地址一起使用
2、A、B、C地址劃分：

3、IP地址中私有地址：分別為10.0.0.0/8；172.16.0.0_{172.31.0.0/16；192.168.0.0}192.168.255.0/24
4、0.0.0.0不能作為目標地址；廣播地址不能作為源地址；127.0.0.1既可以作為源地址又可以作為目標地址
5、路由協議是通過執行一個算法來完成路由選擇的一種協議
6、動態路由協議可以分為距離向量路由協議和鏈路狀態路由協議
7、路由器之間可以通過路由協議學習網絡的拓撲結構

六、地址解析協議ARP

1、地址解析協議ARP(二層以太幀中)：IP查詢MAC地址，詢問/回答機制。ARP緩存表、ARP欺騙、 ARP病毒、代理ARP、反向RARP

2、地址解析協議ARP：緩存表：開始-運行-cmd，輸入arp -a（-s、-d等）回車
3、顯示所有的ARP緩存表是arp -a；靜態添加是arp -s；清楚ARP緩存是arp -d；
4、ARP請求采用廣播方式發送
5、ARP Request采用廣播發送；ARP Response采用單播傳送
6、ARP表用于緩存設備的IP地址與Mac地址的對應關系，采用ARP表的好處是==（限制網絡廣播數量）==
7、地址解析協議ARP：代理ARP，有路由器充當第三方代理，進行ARP請求/回答；（由一個路由器代替遠端目標回答ARP請求）
8、所謂“代理ARP”是指由(離源主機最近的路由器)假裝目標主機回答源主機的ARP請求
9、反向地址解析協議RARP：由MAC查找IP，常用語無盤工作站，設備沒有硬盤，無法記錄IP，剛啟動時發送一個廣播，用MAC去獲取IP。==需要一臺RARP服務器，記錄MAC與IP的對應關系。
10、==ARP欺騙和ARP病毒：假如向某一主機發送偽裝ARP應答報文，使其發送的信息無法到達預期的主機或到達錯誤的主機，這就構成了一個ARP欺騙。例如：網管軟件獲取全網MAC地址。病毒偽裝網關MAC收集信息

七、內部路由協議RIP

1、網絡層路由協議：選擇轉發數據路徑

2、路由信息協議RIP：距離矢量算法，TCP/IP網絡中最早使用的動態路由，計算跳數，最大15跳，16跳不可達。30s更新、 180s不存在、240s刪除“口訣168”。支持等費用負載均衡和鏈路冗余。使用UDP的520端口。

3、兩種版本：RIPV1和RIPV2區別，適合小型網絡。

4、路信息由協議RIP：防止環路的辦法

最大跳數：當一個路由條目發送出去會自加1跳，跳數最大為16跳，意味著不可達
水平分割：一條路由信息不會發送給信息的來源（不把從某鄰居節點獲得的路由信息在發送給該鄰居節點）
反向毒化的水平分割：把從鄰居學習到的路由信息設為16跳，在發送給那個鄰居。更安全
抑制定時器和觸發更新也可以防止環路
距離矢量路由協議的路由器，根據鄰居發來的信息更新自己的路由表
在距離矢量路由協議中，每一個路由器接收的路由信息來源于它的鄰居路由器

八、內部路由協議OSPF

1、開放最短路徑優先協議OSPF：鏈路狀態算法，路由器之間通過網絡接口狀態LSA來更新和建立鏈路狀態數據庫（鄰居表），包括：連通、距離、時延、帶寬等狀態，Dijkstra的SPF算法（計算最短路徑）。鏈路狀態算法用于計算路由表。觸發更新、分層路由。支持大型網絡，區域ID的取值范圍是1~65535
2、鏈路狀態協議的特點：

提供了整個網絡的拓撲視圖
計算到達的各個目標最短通路
具有事件觸發的路由更新功能
OSPF為減少洪泛鏈路狀態的信息量，可以將自治系統劃分為更小的區域
3、簡化原理：發Hello報文建立鄰接關系（鄰居表）—形成鏈路狀態數據庫（拓撲表）—SPF(鏈路狀態)算法形成計算機路由表

4、支持可變長子網掩碼(VLSM)和路由匯聚功能
5、OSPF要選定一個指定的路由器(DR),指定路由器的功能就是發送鏈路狀態公告
6、OSPF采用觸發更新，和30分鐘周期更新。支持不連續子網和CIDR
7、單個OSPF網絡只有區域0
8、OSPF區域類型：主干區域(32位)，Area 0.0.0.0或者Area 0來表示

9、開放最短路徑優先協議OSPF：根據物理連接和拓撲結構，分為以下網絡類型：

10、OSPF路由器分類：根據不同區域之間功能分為：BR(骨干)、IR、ABR、ASBR

11、OSPF的五種報文類型：Hello報文默認10s更新一次，40s失效，目標地址是224.0.0.5所有路由器。用于發現建立鄰居、還用于選出區域內的指定路由器DR和備份指定路由器BDR（DR/BDR組播地址是224.0.0.6）

12、RIP定時發布路由信息，而OSPF在網絡拓撲發生變化是發布路由信息；RIP的路由信息發送給鄰居，而OSPF路由信息發送給整個網絡路由器；都是內部路由協議
13、OSPF協議中DR的作用范圍是一個網段
14、OSPF協議相對于RIP1的優勢在于：沒有跳數的限制、支持可變長子網掩碼(VLSM)、支持網絡規模大、收斂速度快（如果是和RIP2比較，則RIP2支持可變長子網掩碼(VLSM)）
15、在一個區域OSPF擁有一個32位的區域標識符；在一個區域內部的路由器不知道其他區域的網絡拓撲
16、在OSPF的鏈路狀態“度量”主要指費用、距離、延時、帶寬（沒有收斂時間）
17、在OSPF中，一個路由器的鏈路狀態只涉及與相鄰路由器的連通狀態

九、外部路由協議BGP

1、邊界網關協議BGP：是外部網關協議，主要功能就是控制路由策略，不同自治系統AS之間。尋找較好的路由策略。通過TCP的179端口建立連接。支持子網VLSM和CIDR，是一種路徑矢量協議。目前最新BGP4，而BGP4+支持IPV6

2、BGP的四種報文：Open建立鄰居，Keepalive周期性探測鄰居存活。BGP協議使用keep-alive報文周期性的證實鄰居站的連通性每一個自治系統要選擇至少一個路由器作為該自治系統的“BGP發言人”。增量更新，支持認證?？煽總鬏?#xff0c;防止環路，防止區域間路由循環。自治通信，策略選路。支持無類、支持聚合。

3、PGP是一種電子郵件加密軟件包它提供數據加密和數字簽名兩種服務，采用(RSA公鑰證書)進行身份認證，使用(IDEA)(128位密鑰)進行數據加密，使用(MD5)進行數據完整性驗證
4、BGP使用keepalive周期性的發送存活消息（60s）維持鄰居關系
5、安全電子郵件使用PGP協議
6、BGP4相比RIP存在很多優勢例如：
7、==可以跨設備建立鄰居關系
8、提供了豐富的路由屬性，進行選路
9、可以管理全球的路由器
10、==BGP4的特點：

BGP4網關向對等實體(Peer)發布可以到達的AS列表
BGP4網關采用逐跳路由(hop-by-hop)模式發布路由信息
BGP4可以通過路由匯聚功能形成超級網絡(Supemet)
11、BGP將TCP用作其傳輸協議，運行在TCP的179端口上（目的端口）

十、傳輸層協議TCP

1、TCP協議：傳輸控制協議，面向字節流按順序、連接、可靠、全雙工，可變滑動窗口、差錯控制用后退N幀ARQ協議、緩沖累積傳送。協議號6

2、TCP協議：傳輸控制協議，下面是TCP段(段頭)，TCP頭(傳輸頭)，TCP包頭(報頭)格式：

3、TCP協議：幾個重要字段

源端口、目的端口：16位，2^16（0-65535）
4、URG：緊急指針有效
5、ACK：應答順序號有效
6、PSH：推進功能有效
7、RST：復位為初始狀態
8、SYN：建立同步連接
9、FIN：結束釋放連接
10、校驗和：包括TCP段頭、數據、偽段頭
11、TCP三次握手及其協議狀態：

LISTEN 服務器等待連接過來的狀態(被動打開)
SYN_SENT 客戶端發起連接（主動打開），之后如果SYN超時或服務器不存在–>CLOSED
SYN_RCVD 服務器收到SYN包的時候就是此狀態
ESTABLISHED 完成三次握手，進入連接建立狀態，說明可以進行數據傳輸了
12、SYN標志字段置“1”發生在連接請求與響應階段；當出現錯誤連接時RST標志字段置“1”；當連接終止請求時FIN標志字段置“1”；ACK標志字段置“1”表明此TCP段帶有捎帶應答。
13、TCP使用三次握建立連接，可以防止出現錯誤連接；流控協議是可變大小的滑動窗口協議。
14、TCP擁塞控制：報文到達速率大于路由器的轉發速率，產生擁塞。解決方法有：
①重傳計時器
②慢啟動（慢開始）
③擁塞避免
④快速重傳
⑤可變滑動窗口
⑥選擇重發ARQ
TCP擁塞控制：超時重傳計時器，重傳是保證TCP可靠的重要措施。TCP每發送一個報文段，就對這個報文段設置一次計時器。只要計時器設置的時間到了，但還沒有收到確認，就重傳這一報文段
重傳時間要設置的合理，一般和往返時間、平均時延、時間偏差等有關。大多數采取觀察最近一段時間的報文時延來估算往返時間
15、TCP擁塞控制：慢啟動，發送方在接收到確認之前逐步擴大窗口的大小。1、2、4、8等按指數規律翻倍，最后達到門限閾值。出現超時，將擁塞窗口回到1，再次開始慢啟動

17、TCP擁塞控制：擁塞避免，窗口達到門限閾值以后，進入擁塞避免階段，TCP采用線性增加方式放大窗口，按照+1遞增。發生擁塞，門限閾值減半。再發生再減半。按指數規律乘倍減半

18、TCP擁塞控制：快速重傳，發送端一連收到3個重復的ACK，就重傳，不等計時器

十一、傳輸層協議UDP

1、UDP協議(無順序號)：用戶數據報協議，無連接的、不可靠的、不保證順序的、無差錯流控機制。校驗和包括：UDP頭部(8字節)、數據、偽頭部。協議號17

2、UDP協議：UDP報文格式如下：少量傳輸數據，高層程序負責解決數據排序、差錯控制等。開銷少（頭部8個字節），網絡管理常使用

3、TCP（適合遠程）支持數據傳輸，UDP支持音視頻傳輸
4、UDP協議在IP層之上提供了端口尋址的能力

十二、常用應用層協議

1、電子郵件協議：SMTP簡單郵件傳輸協議，負責將郵件上傳到服務器，采用TCP的25端口，C/S工作。僅傳送ASCII碼文本

2、電子郵件協議：S/MIME多用途互聯網郵件擴展協議，負責將多媒體郵件安全上傳到服務器，包含文本、圖像、音頻、視頻以及其他應用程序專用的數據,MIME不能提供運用層安全

3、電子郵件協議：POP3郵局協議，負責將郵件下載到客戶機，采用TCP的110端口，C/S工作。用戶從服務器讀取郵件后，服務器就刪除該郵件

4、電子郵件協議：IMAP4互聯網消息訪問協議，提供摘要瀏覽，選擇下載。采用TCP的143端口，C/S工作。用戶從服務器讀取郵件后，服務器仍會保存該郵件，可以反饋服務器實現同步

5、電子郵件協議：PGP電子郵件加密協議，包括加密、鑒別、簽名和郵件完整性等技術。使用IDEA(128位)加密數據，RSA加密密鑰，MD5認證。
6、PEM增強保密郵件協議，使用多種加密方法提供機密性、認證和信息完整性的因特網電子郵件協議，采用每個報文一次一密的方法加密。其他和PGP功能差不多。
7、文件傳輸協議：FTP，負責文件通過服務器上下傳送。采用TCP的兩條連接：數據連接20端口，控制連接21端口，C/S工作。合法訪問和匿名訪問(anonymous)。

9、文件傳輸協議：FTP，有主動模式(PORT/Standard)和被動模式(PASV/Passive)。區別是：服務器主動20傳數據，被動隨機端口（主動愛你，被動隨機）

10、遠程登錄協議：Telnet，TCP/IP終端仿真協議，登錄到遠程主機上操作，網絡虛擬終端NVT支持異構主機，采用TCP的23端口，C/S工作，采用NVT格式實現客戶端和服務器的數據傳輸

11、超文本傳輸協議：HTTP，萬維網WWW(Web)服務器提供全球的、分布的、動態的、多平臺的、交互的、多媒體信息。TCP的80端口，B/S工作。統一資源定位器URL

十三、路由器技術NAT

1、路由器技術NAT：網絡地址翻譯，解決IP短缺，路由器內部和外部地址進行轉換。

靜態地址翻譯轉換：靜態NAT（一對一）
動態地址翻譯轉換：動態NAT（多對少）
網絡地址翻譯端口轉換(地址偽裝)：NAPT（多對一）

2、路由器技術NAT：靜態NAT，內外一對一轉換，用于web服務器，ftp服務器等固定IP的主機服務器

3、路由器技術NAT：動態NAT，內外多對少轉換，用于內部局域網較多用戶訪問外部網絡。外部需要地址池（pool）

4、路由器技術NAT：網絡地址端口轉換：NAPT(PAT)（多對一）內外多對一轉換，使用外部一個IP，多個端口號對應內部IP。也稱為IP偽裝，可以隱藏內部主機。

5、地址偽裝是指，把多個內部地址翻譯成一個外部地址和多個端口號
6、網絡地址和端口翻譯(NATP)就是用于把內部的所有地址映射到一個外部地址，好處就是隱藏了內部網絡的IP地址
7、地址映射方式有：全相聯方式、直接方式和組相聯方式

十四、路由器VLSM和CIDR

1、路由器技術VLSM：可變長子網掩碼。在有類的IP地址的基礎上，從它們的主機號部分借出相應的位數來做網絡號，也就是增加網絡號的位數，子網劃分
2、VLSM是把標準網絡分割成更小的子網的技術，而CIDR是把幾個標準網絡合并成一個大網絡的技術
3、路由器技術CIDR：無類域間路由，解決路由縮放問題，采用/比特位，無類不區分A、B、C類，稱為CIDR地址塊，路由匯聚。

十五、路由器技術QoS

1、路由器技術QoS(網絡層)：網絡服務質量。將網絡數據流分成不同的等級，提供不同的服務。有集成服務(IntServ)和區分服務(DiffServ)模型兩種標準

2、路由器技術QoS：集成服務(IntServ)分成三種：保證質量的服務(有關協議是RSVP特點是由接收方向路由器預約資源,從源到目標單向預約)、控制負載的服務、盡力而為的服務（目前因特網提供的服務）

3、QoS是網絡的一種安全機制，主要用來解決網絡延遲和阻塞等問題.它主要有三種工作模式，分別為區分服務模型、集成服務模型及盡力而為服務模型。其中使用比較普遍的方式是盡力而為服務模型
4、路由器技術QoS：區分服務(DiffServ)不再使用資源預約，而是區分不同的業務流。分為三種：盡力服務BE(000000)、優質服務AF、加速服務EF(101110)
5、區分服務(DiffServ)：區分服務代碼點DSCP，利用IP包頭的服務類型字段ToS。逐跳行為PHB：逐級跳的轉發方式，每個PHB對應一種轉發方式
6、Qos表現在延時、抖動、吞吐量和丟包率幾個方面，采用的技術有RSVP、DiffServ、MPLS

十六、路由器技術MPLS

1、路由器技術MPLS：多協議標簽交換，屬于2.5層，MPLS包頭的位置應該插入在以太幀頭與IP頭之間一般認為是第三層交換，硬件交換、速度快，叫一次路由，多次交換。用標簽交換代替復雜的路由運算
2、路由器技術：MPLS基本原理。標記邊緣路由器LER，標記交換路由器LSR

3、路由器技術：MPLS轉發等價類(FEC)，把等價的通信流匯聚轉發。標記具有局部性。提供QoS、粒度控制、負載均衡等
4、路由器可以根據轉發目標把多個IP流聚合在一起，組成一個轉發等價類
5、MPLS技術主要是為了提高路由器轉發速率而提出的，其核心思想是利用標簽交換取代復雜的路由運算和路由交換；該技術實現的核心就是把IP數據報封裝在MPLS數據包
6、MPLS VPN有CE路由器、PE路由器、P路由器組成，P路由器是MPLS核心網中的路由器，負責高速轉發；PE路由器是MPLS核心網上的邊緣路由器，負責傳送數據報的MPLS標簽的生成和彈出，還將發起根據路由建立交換標簽的動作；CE路由器是直接與運營商相連的用戶端路由器
7、路由器根據轉發目標把多個IP流聚合在一起組成轉發等價類

十七、路由器技術組播

1、路由器技術：IP組播，有一個源向一組主機發送信息，D類地址。(一個IP地址代表一個主機，稱為單播地址)

2、路由器技術：IP組播用途，用于視頻點播、網絡電視、視頻會議等點到多點的業務。IP組播地址分為三類

保留組播：224.0.0.0~224.0.0.255(預留的組播地址)用于路由協議，如224.0.0.1代表所有主機，224.0.0.2代表所有路由器
用戶組播：224.0.1.0~238.255.255.255(公用組播地址)，全球范圍分配，類似公網IP，可用于Internet
==本地組播：==239.0.0.0~239.255.255.255(本地管理組地址,僅在特定的本地范圍內有效)本地子網分配，類似私網IP
224.0.2.0-238.255.255.255可為用戶可用的組播地址（臨時組播地址），全網范圍內有效
3、路由器技術：常考IP組播地址
224.0.0.1->所有主機的地址
224.0.0.2->所有組播路由器的地址
224.0.0.3->沒有分配
==224.0.0.4->DVMRP路由器 ==
224.0.0.5->所有OSPF路由器
224.0.0.6->OSPF的DR/BDR
224.0.0.9->RIP-2路由器
24.0.0.12->DHCP 服務器/中繼代理
224.0.0.13->所有pim路由器
組播服務發送信息只需要發送一個分組，組內所有成員即可全部收到
4、路由器技術：IP組播地址與MAC地址：組播MAC地址：01-00-5e-xx-xx-xx
5、IP組播協議：IGMP因特網組管理協議，管理主機加入或離開組播組。IGMP封裝在IP中，協議號2(ICMP的協議號就是1)。IGMPv3報文：分為三種:
成員資格詢問報文：組播路由器發出，詢問是否有主機加入組播
成員資格報告報文：主機加入組播組
組記錄報文：記錄組播的狀態和信息

6、IP組播路由協議：用來建立組播樹，是實現組播傳輸的關鍵技術。源分發樹和共享分發樹

8、IP組播路由協議：名詞解釋:
PIM：協議無關組播
PIM-DM：密集模式PIM
DVMRP：距離矢量組播路由協議
MOSPF：組播開放式最短路徑優先
CBT：基于核心的樹
PIM-SM：稀疏模式PIM
9、PIM-DM：密集模式PIM。用于組播成員集中，且較多，如局域網:
采取“泛洪擴散-修剪丟棄”維護組播分發樹。使用“推”的機制，先給你，可以不要。
關鍵技術是利用反向通路，使用自己找回來的路徑
使用源分發樹：以組播源為根節點構造到所有組播組成員的生成樹，通常也稱為最短路徑樹（SPT）
10、PIM-SM：稀疏模式PIM，用于組播成員較少，且稀疏分布，如廣域網:
采用選擇性的建立和維護分布樹。只有發送請求的才會收到數據。使用“拉”的機制，你要了，才會給你
使用共享分發樹：確定一個匯聚點。先發給匯聚點，再有匯聚點發給其他路由器

十八、路由技術ACL

1、ACL：訪問控制列表，可以根據源地址、目標地址、源端口、目標端口、協議信息對數據包進出過濾控制
2、兩個方向：入口inbound是指數據流進入路由器(進門)、出口outbound是指數據流從路由器流出(出門)。兩種動作：允許permit、拒絕deny
3、標準訪問控制列表是根據IP報的源地址來對IP報文進行過濾，擴展訪問控制列表是根據IP報文的源地址、目的地址上層協議和時間等來對IP報文進行過濾。一般地，標準訪問控制列表放置在靠近數據目的地的位置，擴展訪問控制列表放置在靠近數據源端的位置
4、ACL的分類

訪問控制列表ACL可以通過編號或名稱來引用==，標準ACL==只能根據數據包的源地址進行過濾，擴展ACL可以根據源地址、目的地址以及端口號進行過濾。

十九、DHCP協議

無法做到提高域名解析速度

當客戶機發送dhcpdiscover報文時采用廣播發送
DHCP服務可以服務與一個網段，也可以通過DHCP中繼服務多個子網
客戶端要自動獲取IP，此時并不知道DHCP服務器在哪
在一個網段中可以配置多臺DHCP服務器

第九章下一代互聯網

一、IPV6基礎知識

1、IPV6概念：下一代互聯網NGI，目前是第6版。IPV6分組有1個固定頭部和n個擴展頭部(任選)以及上層協議的負載組成。如下圖
2、IPV6固定頭部(40字節共320位)：各字段解釋含義：

版本0110，4位，代表IPV6
通信類型：8位，IP分組優先級，同服務類型
流標記：20位，標記特殊處理的分組
負載長度：16位，除了固定，擴展和負載
下一頭部：8位，指明擴展頭部或高層協議
跳數限制：8位，檢測路由循環減1變為0丟棄
源地址：128位，發送端的地址
目標地址：128位，接收端的地址
3、IPV6擴展頭部類型：6種任選，作用是保留IPV4某些字段的功能，但只是特殊設備來檢查處理，而不是每個都要處理。
IPV6擴展頭部格式：第1個字節：是下一頭部選擇符，指明下一頭部類型。0逐跳選項，60目標選項，43源路由選擇，44分段，51認證，50封裝安全負荷，59沒有下一頭部
第2個字節：擴展頭部長度。以8個字節計數，不包含前8個字節，如果是8字節，則字段為0，如果是16字節，則字段為1，如果是24字節，則字段為2

任選部分：編碼成TLV的形式，T類型1個字節，L長度，V數據
4、IPV6擴展頭部分組封裝順序如下：（IPv6跳槽記）
（1）IPv6頭部
（2）逐跳選項頭
（3）目標選項頭（第一個目標節點要處理的信息）
（4）路由選擇頭
（5）分段頭
（6）認證頭
（7）封裝安全負荷頭
（8）目標選項頭（最后的目標節點要處理的信息）
（9）上層協議頭部
5、ipv6?？记熬Y（格式前綴用于表示地址類型或子網地址）：
全球單播前綴：001
鏈路本地前綴：FE80(1111 1110 10)
站點本來前綴：FEC0(1111 1110 11)
不確定地址：0:0:0:0:0:0:0:0（不能分配給任何節點）
環回地址：0:0:0:0:0:0:0:1（向自身發送ipv6分組）
2000::/3全局單播地址
FC00::/7唯一的本地單播地址范圍
FE80::/10鏈路本地單播地址范圍
FF00::/8組播地址范圍
2002::/16保留供6to4隧道技術使用
6、IPV6地址分類：①單播地址、②任意播地址、③組(多)播地址
單播地址：標識一個接口，目的地址為單播地址的報文會被送到被標識的接口
組播地址：標識多個接口，目的地址為組播地址的報文會被送到被標識的==所有接口
任播地址：標識多個接口，目的地址為任播地址的報文會被送到最近的一個被標識的接口；不能用作源地址，只能用做目標地址==，且只能分配給路由器。代表一組接口的標識符，任意播地址是在單播地址空間中分配的，組成是子網前綴+全0
IPV6沒有定義廣播地址
7、單播地址：4類：可聚合全球單播、鏈路本地地址、站點本地地址、特殊單播地址
①可聚合全球單播（相當于公網IPv4）：前綴001(/3)。2000(/3)
②鏈路本地地址（相當于自動專用IP）：前綴 1111 1110 10(/10或/64),用于同一鏈路的相鄰結點間的通信。鏈路本地地址相當于IPv4中的自動專用IP地址(APIPA)，可用于鄰居發現，并且總是自動配置的，包含鏈路本地地址的分組不會被路由器轉發
③站點本地地址（相當于私有IP）：格式前綴 1111 1110 11(/10或/48或/64)相當于IPv4中的私網地址
④特殊單播地址：不確定地址0:0:0:0:0:0:0:0，回環地址0:0:0:0:0:0:0:1。
9、組播地址：格式前綴1111 1111(/8)，還包括標志、范圍、組ID字段

10、任播地址：僅用作目標，且只分配給路由器。默認路由器接口都被分配任意播地址。子網-路由器任意播地址，子網前綴必須固定，其余位置全0
11、一個IPv6包可以有多個擴展頭，擴展頭應該依照如下順序：逐跳選項頭->路由選擇->分片->鑒別->封裝安全有效載荷->目的站選項
12、IPV6地址配置：默認自動配置有2種：
①全狀態自動配置：動態主機配置協議DHCP實現了IP地址的自動配置
②無狀態自動配置：①獲得鏈路本地地址：鏈路本地地址前綴1111 1110 10后加網卡MAC地址，產生一個鏈路本地地址，并發出一個 ICMPv6請求，確認唯一性。②獲得可聚合全球單播地址：向本地鏈路中所有組播ICMPv6 路由器請求，主機獲得單播前綴001后加自己的接口ID，自動配置單播地址
13、IPV6和IPV4的比較

14、IPV6地址相比IPV4改進：4個方面：
①擴展尋址能力：擴展到128位，支持多級地址層次，改進組播，增加任意播更實用
②簡化報頭格式：IP頭部字段有12個減少為8個，中間路由器有6個減少為4個，提高效率
③改進路由選項：路由選項放在擴展頭部，僅在需要時插入路由選項，更靈活，更流暢
④提供流標記：對某些分組進行特別處理，可以提供特別的服務質量，更好的傳送數據

二、IPV6過渡技術

1、IPV6向IPV4過渡技術：有3種技術：

①隧道技術：用于解決IPV6網絡節點之間通過IPV4網絡進行通信的問題。（時空隧道）
優點：充分利用現有網絡投資，過渡初期實現方便。缺點：路由器隧道出入口負載重，實現復雜，不利于大規模應用
技術：有6to4隧道、6over4隧道、ISATAP隧道
6to4地址形式：2002:IPv4:子網ID::接口ID
②協議翻譯技術：使得純IPV6節點之間和純IPV4節點之間可以通信。（英漢互譯）
優點：不需要升級改造，開啟NAT-PT即可。缺點：轉換不能完全保持原有含義，缺乏安全性
技術：有SIIT翻譯、NAT-PT翻譯、TRT翻譯
③雙協議棧技術：使得IPV4和IPV6共存于同一設備和同一網絡中。（英漢雙語）
優點：網絡規劃相對簡單，可以充分發揮安全性、路由約束和流支持。缺點：對設備要求較高，維護大量協議和數據，升級改造投資大、建設周期比較長。
技術：有BIS雙棧、BIA雙棧
靜態模式提供一對一的IPv6地址和IPv4地址的映射；動態模式也提供一對一的映射，==但是使用一個IPv4地址池；NAPT-PT(網絡地址端口轉換)==提供多個有NAT-PT前綴的IPv6地址和一個源IPv4地址間的多對一動態映射

三、移動IP和IPV6

1、移動IP的概念：移動主機在移動的同時，能夠在任何地方使用他的家鄉地址進行聯網
2、移動主機通過在無線通信網中漫游來保持網絡連接
3、移動IP的原理：移動主機分配一個家鄉地址作為永久標識。如果到外地賦予一個轉交地址，家鄉地址會獲得外地的轉交地址
4、實現的關鍵技術就時移動主機具有一個家鄉網絡地址并獲取一個外地轉交地址

四、IPV6路由協議

1、IPV6路由協議：定義了5種路由協議:

RIPng：RIPv2的擴展，UDP521端口
OSPFv3：OSPFv2的擴展，做了較大改進
BGP4+：BGP4的擴展，用來支持IPV6
ICMPv6：ICMP的擴展，集成了ARP功能
IS-IS：中間系統到中間系統，IS-IS屬于內部網關路由協議。IS-IS是一種鏈路狀態協議，與TCP/IP網絡中的OSPF協議非常相似，使用最短路徑優先算法進行路由計算。

第十章網絡安全與應用

一、網絡安全基礎

1、網絡安全威脅和漏洞類型：竊聽；病毒；假冒；木馬；重放；誹謗；流量分析；非授權訪問；破壞完整；拒絕服務
2、安全需求可劃分為物理安全(如機房安全)、網絡安全(入侵檢測)、系統安全(漏洞補丁管理)和應用安全(數據庫安全)
3、漏洞：物理、軟件、不兼容、其他等
4、網絡安全信息數據五大特征:

完整性：信息數據完整不破壞
保密性：信息數據需授權不泄露
可用性：信息數據攻擊后迅速恢復可用
不可否認性：信息數據參與者補課否認不可抵賴，身份真實有效。
可控性：信息數據可以管控傳播范圍
5、網絡安全基本技術:
數據加密：數據按照規則打亂，重新組合
數字簽名：證明發送者簽發，也可==完整性，==使用公鑰體質產生的一堆公鑰和私鑰
身份認證：用戶合法性，身份真實沒假冒
防火墻：控制內外數據進出，阻擋病毒木馬
入侵檢測：采用異常檢測特征保護網絡
網絡隔離：內外網隔離分開使用，如網閘
6、主動攻擊，攻擊者試圖突破網絡的安全防線（如重放攻擊、IP地址欺騙、拒接服務）。被動攻擊，攻擊者通過監視所有信息流以獲得某些秘密（如流量分析，系統干涉）
7、拒絕服務:主要是針對TCP連接進行攻擊的，通過發送大量的建立連接請求，使得服務端窮于應付，無法提供正常的網絡服務
8、暴力攻擊:是窮舉式猜測用戶密碼
9、網絡偵察:是探測遠端系統的漏洞，以便利用漏洞進行入侵
10、特洛伊木馬:是通過遠端控制，對目標系統實施內部破壞或盜竊用戶機密數據。

二、信息加密技術

1、現代信息加密技術：對稱和非對稱:
對稱算法有：==DES(共享密鑰)==數據加密標準、3DES(共享密鑰)三重DES加密、IDEA國際數據加密算法、AES高級加密標準、RC4流加密算法第四版2人等
非對稱算法有：RSA(基于大素數分解3人)、ECC(橢圓曲線密碼學)、Elgamal（基于離散對數1人）
2、（1）分組加密，也叫塊加密，一次加密明文中的一個塊。具有代表性的塊加密算法有DES，AES，3DES等。（2）序列加密，也叫流加密，一次加密明文中的一個位。是指利用少量的密鑰（制亂元素）通過某種復雜的運算（密碼算法）產生大量的偽隨機位流，用于對明文位流的加密。
3、現代信息加密技術對稱密鑰總結表：

4、RC5:適合大量的明文消息進行加密傳輸

私鑰用來簽名和解密，公鑰用來認證和加密，數字證書是對用戶公鑰的認證確保公鑰可信(所以數字證書中包含了用戶的公鑰)
①選兩個大素數p和q
②令n=p*q，z=(p-1)(q-1)
③符合公式ed=1（mod z），e公鑰，d私鑰
mod為模運算，也就是取余數計算，例如：ed=1（mod z）可變形為==（ed）/ z余數為1==
如：按RSA算法，若選兩奇數P=5，Q=3，公鑰 E=7，則私鑰為（）
這里p=5，q=3。n=pq=15， z=(p-1)（q-1）=8。根據ed=1（mod z），也就是（ed）/ z余數為1。即：（7d）/ 8 …1，把答案6、7、8、9帶入只有答案7滿足條件

三、數字簽名技術

1、數字簽名技術：數字簽名用于確認發送者身份和消息完整性。滿足三個條件：①接收者能夠核實發送者。②發送者事后不能抵賴。③接收者不能偽造簽名

2、用戶B收到用戶A帶數字簽名的消息M，為了驗證M的真實性，首先需要從CA獲取用戶的數字證書，并利用CA的公鑰驗證證書的真偽，然后利用A的公鑰驗證M的真實性
3、服務器證書的步驟順序如下：①生成證書請求文件；②提交證書申請；③從CA導出證書文件；④在IIS服務器上導入并安裝證書

四、密鑰管理技術

1、密鑰管理體系：KMI、PKI、SPK

KMI：密鑰管理基礎結構，第三方KDC，秘密物理通道，適用于封閉的內網使用
PKI：公鑰基礎結構，不依賴秘密物理通道。適用于開放的外網
SPK：適用于規?；瘜Ｓ镁W
2、其他
加密：PKB；解密：SKB
典型的公鑰加密(公開)算法有：RSA、ECC、DSA、背包加密、Rabin算法
DES是私鑰加密

五、虛擬專用網VPN(IPSec)

1、VPN技術：虛擬專用網，①建立在公網上。②虛擬性，沒有專用物理連接。③專用性，非VPN用戶無法訪問
2、VPN四個關鍵技術：①隧道技術。②加解密技術。③密鑰管理技術。④身份認證技術
3、VPN三種應用解決方案：

①內聯網VPN（Intranet VPN）：企業內部用于連通總部和分布各個LAN
②外聯網VPN（Extranet VPN）：企業外部用于實現企業與客戶、銀行、供應商互通
③遠程接入VPN（Access VPN）：解決遠程用戶出差訪問企業內部網絡
4、L2TP數據包的封裝格式是:
==PPP點對點協議、PPTP點對點隧道協議、L2TP第二層隧道協議；==能控制數據鏈路的建立；能夠分配和管理廣域網的IP地址；能夠有效的進行檢錯
IPSec IP安全性、GRE通用路由封裝協議
SSL/TLS安全套接層
6、PPP、PPTP、L2TP技術對比匯總

7、PPP中的==LCP:==用于建立和配置數據鏈路；NCP:用于協議網絡層參數，例如動態分配IP地址等。
8、PPTP與L2TP的區別比較（二層的）:
①PPTP要求IP網絡，L2TP適用各種網絡
②PPTP只能建立1條隧道，L2TP建立多條
③PPTP包頭占用6字節，L2TP占用4字節
④PPTP不支持隧道驗證，L2TP支持
9、寬帶接入通常采用PPPoE進行認證。PPP協議一般包括三個協商階段，LCP協議用于建立和測試數據鏈路；NCP協議用于協商網絡層參數；chap協議用于通信雙方確認對方的身份
10、IPSec（三層）：IP安全性，在IP層通過加密與數據源驗證，來保證數據包傳輸安全
①認證頭AH，用于數據完整和數據源認證、防重放,不提供數據加密服務
②封裝安全負荷ESP，提供數據保密、數據完整、輔助防重放
③密鑰交換協議IKE，生成分發密鑰（該策略由SA進行定義）
11、IPSec兩種模式：傳輸模式和隧道模式

12、SSL安全套接層：和TLS（傳輸層安全標準）是雙胞胎。在傳輸層上4.5層套接安全協議。SSL/TLS被稱為HTTPS，工作在傳輸層，對傳輸層、應用層都可以控制

13、SSL和IPSec的區別比較：
①IPSec在網絡層建立隧道，適用于固定的VPN。SSL是通過應用層的web連接建立的，適合移動用戶遠程訪問公司的VPN
②IPSec工作在網絡層，靈活性小。SSL工作在傳輸層，靈活性大
14、主機路由的掩碼為：255.255.255.255
15、IPSec可對數據進行完整性保護，提供用戶身份認證服務，可對數據加密傳輸
16、兩臺計算機通過IPSec協議通信之前必須先進行協商，協商結果稱為SA (安全關聯)。IKE(密鑰)協議將協商工作分為兩個階段，第一階段協商主模式SA==(又稱IKE SA)，新建一個安全的、經過身份驗證的通信管道，之后在第二階段中協商快速模式SA(又稱IPSec SA)后，便可以通過這個安全的信道來通信==。使用display ike sa命令，可以查看協商結果
17、在Windows Server 2008 R2網關上配置IPSec策略，包括：創建IPSec策略、創建篩選器列表、配置隧道規則、進行策略指派 4個步驟
18、IPSEC中安全關聯（security Associations）三元組是<安全參數索引SPI，目標IP地址，安全協議>
19、該技術根據連接主體的不同，針對移動辦公和家庭用戶可以采用的連接方式為遠程訪問的VPN連接方式。針對分支機構長期性的使用可以采用站點到站點的VPN連接方式
20、IPsec傳輸模式和隧道模式，實現端到端的傳輸應選擇傳輸模式

六、應用層安全協議

1、應用層安全協議：PGP，電子郵件加密軟件包，是一款軟件，把RSA公鑰體系的高保密和傳統加密體系的高速度巧妙結合起來，成為最流行的電子郵件加密系統。可以用來加密件防止非授權者閱讀，還能數字簽名，防止篡改
2、PGP提供2種服務：數據加密和數字簽名，使用RSA對公鑰證書加密認證，IDEA(128位密鑰)進行數據加密，MD5進行完整性驗證

加密算法：支持IDEA、CAST、3DES算法對消息進行加密；采用ElGamal或RSA算法用接收方的公鑰加密會話密鑰
數據簽名：采用SHA-1、MD5消息摘要算法計算消息的摘要值（散列碼），用發送者的私鑰按DSS或RSA算法加密消息摘要
PGP廣泛應用的特點：①能夠在各種平臺上免費使用，眾多廠商支持。②基于比較安全的加密算法(RSA、IDEA、MD5)。③應用領域廣泛，可加密文件，也可用于個人安全通信。④不是政府或標準化組織開發和控制的。⑤網民普遍喜歡這種自由化的軟件包
3、安全電子交易協議SET：保障購物安全，以信用卡為基礎，在線交易的標準。安全性高，保證信息傳輸的機密性、真實性、完整性和不可否認性。工作流程如下

4、SET是安全協議和報文格式集合，融合了SSL、STT、SHTTP、PKI等加密簽名認證等。采用公鑰密碼體制和X.509數字證書。成為目前公認的信用卡網上交易的國際標準
5、SET提供3種服務：①保證客戶交易信息的保密性和完整性。②確保商家和客戶交易行為的不可否認性。③確保商家和客戶的合法性
6、雙重簽名技術：消費者對訂單信息和支付信息進行簽名，商家看不到消費者賬號信息，銀行看不到消費者訂購信息。但可確認是真實的
7、應用層安全協議Kerberos(刻薄肉絲)：是一項認證服務，3A(AAA)認證有驗證、授權和記賬。防重放、保護數據完整性。AS認證服務器，TGS票據授予服務器，V應用服務器

V4時間戳，V5序列號?？谠E：無T加T，有T加1
8、基于Kerberos的網關模型：用戶初始登錄以后，用戶名和密碼長期保存在內存中，用戶登錄新應用（申請新票據）時，系統會自動提取用戶名和密碼，用戶不需要再輸入

9、用戶向認證服務器AS申請初始票據–>認證服務器AS向用戶發放票據授予票據–>用戶向TGS請求回話票據–>TGS驗證用戶身份后發放給用戶回話票據Kav–>用戶向應用服務器請求登錄–>應用服務器向用戶驗證時間戳

七、防火墻技術

1、防火墻的定義：來源于建筑物“防火墻”一詞，位于兩個或多個網絡之間，執行訪問控制策略，過濾進出數據包的一種軟件或硬件設備，通過流經的數據流進行分析和檢查，可實現對數據包的過濾、保存用戶訪問網絡的記錄和服務器代理功能
2、防火墻的要求：①所有進出網絡的通信流量都必須經過防火墻。②只有內部訪問策略授權的通信才能允許通過。③防火墻本身具有很強的高可靠性

3、防火墻的主要功能：①訪問控制功能。②內容控制功能。③全面的日志功能。④集中管理功能。⑤自身的安全功能
4、防火墻的附加功能：①流量控制。②網絡地址轉換NAT。③虛擬專用網VPN
5、防火墻的局限性：①關閉限制了一些服務帶來不便。②對內部的攻擊無能為力。③帶來傳輸延遲單點失效等。④還有其他局限
6、防火墻的技術分類：包過濾防火墻；代理防火墻；狀態化包過濾防火墻3類等
7、防火墻的分類：以下幾種常見方式：

個人防火墻：保護單個主機，有瑞星防火墻、天網防火墻、費爾防火墻等
企業防火墻：對整個網絡實時保護，有賽門鐵克防火墻、諾頓防火墻、思科防火墻、華為防火墻、Juniper防火墻等)
軟件防火墻：有瑞星防火墻、天網防火墻、微軟ISA Server、卡巴斯基防火墻等
硬件防火墻：思科防火墻、Juniper防火墻等
8、防火墻的體系結構：①雙宿主機模式：防火墻具有兩個網卡接口，通過包過濾代理訪問網絡。這是比較簡單的一種結構。一般可以根據IP地址和端口號進行過濾

9、防火墻的體系結構：②屏蔽子網模式：又叫過濾子網模式，兩個包過濾路由器中間建立一個隔離的子網，定義為DMZ網絡，也稱為非軍事化區域。這是目前防火墻最常用的一種模式?？梢杂懈呒壍墓δ?br />
10、防火墻設備中，配置雙出口鏈路有提高總帶寬、鏈路冗余、鏈路負載均衡作用。通過配置鏈路聚合來提高總帶寬，通過配置策略路由來實現鏈路負載均衡(防火墻設備集成了傳統防火墻與路由功能才行)
11、防火墻的工作模式：路由模式、透明模式、混合模式3種：
路由模式：如果防火墻以第三層對外連接（接口具有IP地址），則認為防火墻工作在路由模式下
透明模式：若防火墻通過第二層對外連接（接口無IP地址），則防火墻工作在透明模式下
混合模式：若防火墻同時具有工作在路由模式和透明模式的接口（某些接口具有IP地址，某些接口無IP地址），則為混合模式下
12、防火墻的訪問規則：3種接口
①內網接口（Inbound）連接內網和內網服務器
②外網接口（Outbound）連接外部公共網絡
③中間接口（DMZ）連接對外開放服務器
1、Inbound可以訪問任何Outbound和dmz區域
2、dmz可以訪問Outbound區域
3、Outbound訪問dmz需配合static(靜態地址轉換)
4、Inbound訪問dmz需要配合acl(訪問控制列表)
13、防火墻工作層次越高，工作效率越低，安全性越高（高低高/地高低）
①工作層次。這是決定防火墻效率及安全的主要因素。一般來說，工作層次越低，則工作效率越高，但安全性就低了；反之，工作層次越高，工作效率越低，則安全性越高。
②防火墻采用的機制。如果采用代理機制，則防火墻具有內部信息隱藏的特點，相對而言，安全性高，效率低；如果采用過濾機制，則效率高，安全性卻降低了

八、計算機病毒 & 防范

（一）病毒與木馬

1、病毒：一段可執行的程序代碼，通過其他可執行程序啟動和感染傳播，可自我復制，難以清除，破壞性強（強盜）
2、木馬：一種潛伏在計算機里并且秘密開放一個甚至多個數據傳輸通道的遠程控制程序。C/S結構，客戶端也稱為控制端。偷偷盜取賬號、密碼等信息。（間諜）
3、惡意代碼：又稱惡意軟件。也稱為廣告軟件、間諜軟件，沒有作用卻會帶來危險。（惡搞）
4、常見病毒木馬的特征分類：

1.文件宏病毒：感染office文件，前綴Macro或者word/excel等
2.蠕蟲病毒：前綴Worm通過系統漏洞傳播(震網病毒、熊貓燒香、歡樂時光)
3.木馬病毒：前綴Trojan，黑客病毒前綴Hack，往往成對出現(強調控制操作)
4.系統病毒：前綴Win32、PE、Win95等
5.腳本病毒：前綴Script，腳本語言編寫的，通過網頁傳播
6.引導區病毒：（破壞的是引導盤、文件目錄等）
7.黑客病毒：Hack
5、黑客與駭客：黑客技術高超，幫助測試建設網絡。駭客專門搞破壞或惡作劇
6、黑客攻擊：①拒絕服務攻擊。②緩沖區溢出攻擊。③漏洞攻擊。④網絡欺騙攻擊。⑤網絡釣魚。⑥僵尸網絡等
7、預防攻擊：安裝殺毒軟件、硬件防火墻和UTM統一威脅安全管理設備，合理設置安全策略，制定應急預案等

（二）病毒防治方式

安裝殺毒軟件及網絡防火墻（斷開網絡），及時更新病毒庫
及時更新操作系統的補丁
不去安全性得不到保證的網站
從網絡下載文件后及時殺毒
關閉多余端口，做到使電腦在合理的使用范圍之內
及時備份數據

九、IDS與IPS

1、入侵檢測系統IDS：安裝部署位置通常是：①服務器區域的交換機上。②Interner接入路由器之后的第一臺交換機上。③其他重點保護網段的交換機上（通常是并聯、不斷網），常用的三種方法是：模式匹配、數據完整性分析、統計分析

2、入侵防御系統IPS：位于防火墻之后的第二道安全屏障，是防火墻的的有力補充。通過對網絡關鍵點收集信息并對其分析，檢測到攻擊企圖，就會自動將攻擊包丟掉或采取措施阻擋攻擊源，切斷網絡（通常是串聯、會斷網）

3、IPS/IDS和防火墻區別：防火墻一般只檢測網絡層和傳輸層的數據包，不能檢測應用層的內容。IPS/IDS可以檢測字節內容
4、IPS和IDS的區別：IPS是串接在網絡中，會切斷網絡。IDS是旁路式并聯在網絡上，不切斷網絡
5、IDS/IPS：連接在需要把交換機端口配置成鏡像端口上，可以檢測到全網流量
6、屬于入侵檢測技術的如：專家系統、模型檢測、簡單匹配
7、IPS分為三類：

基于主機的防護系統（HIPS）,安裝在受保護的主機系統中，通過監視內核的系統調用，檢測并阻擋針對本機的威脅和攻擊
基于網絡的防護系統（NIPS）,布置與網絡出口處，一般串聯與防火墻與路由器之間，對攻擊的誤報會造成合法的通信被阻斷，導致拒絕服務
應用入侵防護系統（AIPS）一般部署與服務器前端

十、網絡故障

1、網絡故障診斷設備：

網絡尋線儀：尋網線（比如機房沒有做好標簽哪一根線對應哪一臺電腦）
可見光檢測筆：一般也叫紅光筆，光纖尋線
光時域反射計：測試光纖通不通，光纖的損耗值，判斷故障可能的點在哪里，現在有一些包含了光功率的功能
光功率計：測試光信號的功率，看功率的衰減

第十一章網絡應用服務器

一、網絡服務器

1、網絡操作系統：用統一的方法管理各主機之間的通信和資源的共享

主要功能：網絡通信、共享資源、網絡管理、網絡服務、互操作、網絡接口
四大特征：并發、資源共享、虛擬、異步性
安全性：用戶賬號、時間限制、地點限制、磁盤空間限制、傳輸介質、加密審計等
2、網絡服務器Windows Server 2008：微軟基于Windows XP/NT5.1開發的服務器操作系統。新增功能：①網站IIS7.0。②虛擬機化Hyper- V。③可靠可擴展。④管理中心增強
3、網絡服務器Red Hat Enterprise Linux 7.0：紅帽子，是開放源代碼的產品，是Linux操作系統的一種。因為它具備最好的圖形界面,無論是安裝、配置還是使用都十分方便，而且運行穩定，適合做服務器
4、網卡的工作模式有直接、廣播、多播和混雜四種模式.缺省的工作模式為廣播和直接模式。即它只接收廣播幀和發給自己的幀。網絡管理機在抓包時，需要把網卡置于混雜模式，這時網卡將接受同一子網內所有站點所發送的數據包，這樣就可以達到對網絡信息監視的目的
5、在NTFS文件系統下，為了預防用戶無限制的使用磁盤空間，可以使用磁盤配置管理。啟動磁盤配置時，設置的兩個參數分別是空間限制和警告等級
6、Internet共享打印使用的協議是IPP
7、Server設備打“？”的含義是未安裝驅動，設備打“×”的含義是設備被禁用
8、1394網絡適配器能連接視頻設備、數碼設備等(了解)
9、建立域控制器DC(Domain Controller),需要通過命令行方式運行（dcpromo）命令；域中的DC和DNS配置在同一設備時，需要將獨立服務器的首個DNS與DC的IP地址配置為（相同）；DHCP服務加入DC需要（授權），否則服務報錯。
10、域名綁定127.0.0.1 webtest.com 的含義是(在hosts表中建立webtest.com與127.0.0.1的對應關系)。在建立安全站點時，需要在WEB 服務器上啟用（SSL）功能，并且綁定創建好的證書
11、若更新驅動程序后無法正常運行，可以在該選項卡頁面通過（回退驅動程序）操作將以前的驅動程序恢復
12、在"驅動程序’選項卡中會顯示驅動程序提供商、驅動程序日期、驅動程序版本和（數字簽名）信息

二、進程管理

（一）死鎖問題

一進一出等待，一進兩出是運行，兩進一出是就緒
資源m個，n個進程互斥使用，每個進程對資源的最大需求為w。則m≥n+w-1
計算發生死鎖的最小值i:
（i-1）×進程數+1>互斥資源R

（二）其他

中斷向量可提供中斷服務程序的入口地址

三、server 2008基礎

1、Windows Server 2008本地用戶與組

用戶：就是包含用戶名、密碼、權限以及說明
用戶組：具有相同性質的用戶歸結在一起，統一授權，組成用戶組
用戶組分類：全局組、本地組、特殊組
2、常見用戶和組的權限，列表如下

3、活動目錄中的工作組：①全局組：來自本域用于全林。②通用組：來自全林用于全林。③域本地組：來自全林用于本域
4、僅用于分發電子郵件且沒有啟用安全性的是通信組
5、Win 2003遠程桌面服務的默認端口是32768。對外提供服務使用RDP協議
6、Windows 2008 R2遠程桌面服務：
①遠程桌面會話主機，RD(遠程主機)的服務端
②遠程桌面Web訪問，提供通過Web瀏覽器或者APP訪問
③遠程桌面授權，給RD客戶端頒發許可證
④遠程桌面網關，可以給RD客戶機通過外網連接網
⑤遠程桌面連接代理，支持連接APP 程序或虛擬機
⑥遠程桌面虛擬化主機，集成了 Hyper-V
7、CIFS通用Internet文件系統(windows), NFS網絡文件系統(Linux)

四、Linux基礎

1、Linux用戶和組：Linux是一個多用戶、多任務的分時操作系統。每個文件和程序必須屬于某一個用戶，每個用戶對應個賬號。其中最重要的一個超級用戶root
2、對于==/etc/fstab文件中列出的Linux分區，系統啟動時會自動掛載==。超級用戶可通過mount命令將分區加載到指定目錄，從而該分區才在Linux系統中可用
3、掛載點必須是一個目錄
4、超級用戶root承擔了系統管理的一切任務，可以控制所有的程序，訪問所有文件，使用系統中的所有功能和資源
5、其他用戶和組都是有root來創建的
6、/etc/hosts文件添加記錄格式是：IP地址主機名別名（別命可以沒有）如：192.167.1.100 zhujiming.com web80
7、
8、Linux文件目錄管理：文件格式有EXT2、EXT3、EXT5等。采用樹型根目錄結構，用/表示。其他所有目錄都是從根目錄出發生成的
9、Linux用戶和組3個重要配置文件

10、網絡管理配置文件：

11、配置命令：

ifconfig，網絡接口(網卡)命令
route，配置路由命令
ping，網絡測試命令
netstat，網絡查詢命令
12、用戶管理:

13、目錄結構:

14、基本操作命令:

五、WEB服務器安裝配置

1、Windows Server 2008 R2 IIS服務簡介：互聯網信息服務。微軟Windows平臺下的一種Web（網頁）服務組件，其中包括Web服務器、FTP服務器、管理工具
2、Web網站映射多個獨立域名的方法有多種，通常包括多IP(為計算機安裝多網卡)、不同的主機頭以及不同的端口號。
3、兩臺Web服務器采用同一域名有兩個好處：對Web服務實現負載均衡；當某一臺服務器產生故障時可以由另一臺提供服務，可防止單點失效。
4、每個Web站點都具有唯一的，由三部分組成的標識符，用來接收和響應請求，分別是IP地址、端口號和域名(主機頭名)
5、若電子閱覽室的客戶機訪問Web服務器時，出現“HTTP錯誤401.1-未經授權：訪問由于憑據無效被拒絕?！爆F象，則需要在控制面板一>管理工具一>計算機管理—>本地用戶和組，將IUSR_機器名賬號啟用來解決此問題。
6、若出現“HTTP錯誤401.2-未經授權：訪問由于服務器配置被拒絕?！钡默F象，造成錯誤的原因是身份驗證設置的問題，一般應將其設置為匿名身份認證.

六、FTP服務器安裝配置

1、選擇IIS管理器中的FTP站點—新建—虛擬目錄，分別設置FTP用戶與別名、目錄名的對應關系
2、Linux的文件傳輸服務是通過vsftpd提供的，該服務使用的應用層協議是FTP協議，傳輸層協議是TCP協議，默認的傳輸層端口號為21。
3、vsftpd服務可以通過命令行啟動或停止，啟動該服務的命令service vsftpd start，停止該服務的命令是service vsftpd start，程序的主配置文件為vsftpd.conf

七、Apache服務器

1、Apache服務器：跨平臺，也是Linux下最流行的WEB服務器
2、Apache服務器可采用RPM和源碼編譯兩種方式進行安裝，守護進程是 httpd
3、Linux服務器配置Web服務之前，執行命令[root@root] rpm -qa | grep httpd的目的是確認Apache軟件包是否已經成功安裝。Web服務器配置完成后，可以用命令service httpd start 來啟動Web服務
4、Apache服務器的主配置文件是httpd.conf，該文件所在的目錄為==/etc/httpd/conf/，用于對Apache服務器進行功能和性能的配置==管理

八、DNS服務器安裝 & 配置

1、DNS協議：域名解析協議，用于把主機域名解析為對應的IP地址。是一個分布式數據庫，C/S工作方式。主要基于UDP協議，少數使用TCP，端口號都是53。常用域名如下

3、DNS協議：DNS服務器，專門用來域名解析，采用C/S結構，域名和IP一一對應。分層式命名空間，例如：www.edu.dtwlxy.com.
4、按照空間層次劃分域名服務器：根域名、頂級域名、權限域名、本地域名
5、一個合法的域名只能是由數字、字母、下劃線組成，并不能以下劃線開始和結束
6、可用于測試DNS服務狀態的命令有ping、nslookup、tracert
7、windows中可通過DNS Client服務來阻止對域名解析cache的訪問
8、DNS通知是一個種推進機制，作用是使得輔助域名服務器及時更新信息
9、DNS解析順序：本地緩存記錄-區域記錄-轉發域名服務器-根域名服務器
10、按照作用劃分域名服務器

11、DNS協議：解析順序工作原理：

①查本地緩存，兩種來源:本地hosts文件和以前本機進行的DNS查詢記錄
②查本地首選DNS服務器和備用DNS服務器
③如果找不到就請求遠方的DNS服務器(轉發或根DNS)
④根DNS指定一個頂級DNS，下一級DNS，本地DNS，返回客戶端
⑤轉發至上一級DNS服務器，如果不能解析，找根DNS重復④
兩種查詢方法：遞歸一查到底（1,2,9,10）;迭代多次回頭
12、本地hosts>本地緩存>首選DNS>備用DNS>緩存DNS>主DNS>轉發DNS>輔助DNS>根DNS,如果還是沒有得到解析的話就是使用NetBIOS名字解析
13、根域名服務器采用的迭代查詢，中介域名服務器采用的是遞歸查詢
14、DNS記錄類型：
A:IP地址，主機地址(正向解析，域名->ip,指定主機名或域名對應的IP地址記錄)（record type=1）
NS：權威名稱服務器（record type=2）
CNAME:別名的正則名稱（record type=5）
SOA:標記權威區域的開始，指明區域主服務器和管理員郵件地址（record type=6）
PTR:域名指針(IP地址映射)(IP地址解析為主機名)(反向解析ip->域名)（record type=12）
MX:郵件交換（record type=4）
HINFO:記錄提供電腦或操作系統的類型==(主機描述)（record type=13）==
正向解析：域名->ip地址
15、DNS服務的安全配置有：
①轉發器、高級選項卡等
②禁用遞歸、啟用循環、啟用網絡掩碼排序、保護緩存防止污染
③新建主機、新建別名等
16、DNS其他考點：
DNS查詢方向：正向查詢A，反向查詢PTR
DNS區域復制：主輔：完全復制，漸增復制
DNS通知：推進(主→輔)、安全機制(通知)
17、DNS的域名空間是由樹狀結構組織的分層域名；輔助域名服務器定期從主域名服務器獲得更新數據；轉發域名服務器負責所有非本地域名的查詢
18、DNS使用分布式來處理網絡中多個主機和IP地址的轉換
19、Linux DNS服務器BIND：
/etc/named.conf 主配置文件
/var/named/wl.com.bd 正向區域文件（名稱=>地址）
/var/named/192.168.100.bd 反向區域文件（地址=>名稱）
/etc/resolve.conf 客戶端配置文件

九、DHCP服務器安裝配置

1、DHCP協議：動態主機配置協議，可以自動為局域網內的主機分配一個IP地址,若一直得不到回應，DHCP客戶端總共會廣播4次請求
2、DHCP的好處：①管理員可以迅速地驗證IP地址和其他配置參數，而不用去檢查每個主機。②DHCP不會從一個范圍里同時租借相同的lP地址給兩臺主機。③可以為每個DHCP范圍（或者說所有的范圍）設置若干選項（例如默認網關、DNS和WINS服務器的地址）
3、DHCP協議工作原理和過程：

(1)當DHCP客戶端首次啟動時DHCP服務器發送一個DhcpDiscover數據包（廣播）
(2)DHCP服務器接收到Dhcpdiscover數據包向主機提供(dhcpOffer(臨時未分配))
(3)該DHCP服務器向客戶端發送一個確認==(dhcpAck)（默認情況是8天）==
(4)當租約期過了一半時（50%即是4天向服務器發送Dhcprequest,服務器同意的話就發送DHCPACK，不同意就發送DhcpNack），客戶端將和設置它的TCP/IP配置的DHCP服務器更新租約.過了87.5%時無法與當初的DHCP服務器聯系上停止使用該IP
當租約期滿后，DHCP客戶向服務器發送一個Dhcprequest重新租用IP
4、DHCP服務器拒接客戶端的IP地址請求時發送DhcpNack，客戶端拒絕發送DhcpDecline
5、DHCP作用域：

作用域：常規等選項卡
作用域選項：配置選項（DNS、網關等）
6、地址池：新建排除范圍（分發中不包括）
7、保留：新建保留（分發但會綁定）
8、篩選器：指定接受的DHCP
9、服務器上面的網關和DNS都是空著的不需要設置
10、Lniux DHCP服務器配置
DHCP服務主配置文件&路徑：/etc/dhcpd.conf
Linux服務器的對應配置文件名稱是dhcpd.conf，該文件的缺省目錄是==/etc==
ipconfig /all 自動獲得IP地址
ipconfig /release 釋放IP地址
ipconfig /renew 重新得到新的IP地址

十、Linux Samba簡介

1、Samba服務器：Samba是Linux上實現和Windows系統局域網上共享文件和打印機的一種通信協議，由服務器及客戶端程序構成。支持SMB/CIFS協議，實現共享資源
2、最主要的一個配置文件smb.conf，可以使用vi編輯器修改。守護進程：smbd。啟動samba服務service smb start（restart、stop）。啟動腳本/etc/rc.d/init.d/smb start（restart）
3、配置文件smb.conf三個主要部分：全局設置global、共享目錄設置homes、共享打印機設置printers

十一、windows 2008安全策略

（一）Windows 2008安全策略

1、安全策略的概念：實現定義好的一系列應用計算機的行為準則。保護網絡上的數據資源。本地策略用于單個計算機，組策略用于域范圍內
2、IPSec策略設置：用于兩個網絡NetA和NetB之間建立安全的通信傳輸。通過設置篩選器實現對進入外出的數據包進行IP、端口、協議方面的過濾控制。①創建IPSec策略。②創建篩選器列表。③配置隧道規則。④指派
3、安全Web站點配置：HTTPS在HTTP的基礎上加入了SSL協議，即數字證書驗證

一、安裝證書服務：開始–管理工具–服務器管理器–角色–添加加色–AD證書服務–證書頒發機構–獨立–根–新建私鑰–直到完成安裝
二、配置CA證書。①創建申請文件。②申請證書。③頒發證書。④下載證書。⑤保存證書(獲取服務器證書的步驟順序)
三、配置HTTPS。①綁定CA證書。②啟用SSL。③實現安全訪問
使用組策略：A-G-DL-P中:A表示用戶賬號；G表示全局組；DL表示域本地組；P表示資源權限
4、集成windows身份驗證是安全級別最高的驗證方法

（二）Windows五種身份認證

匿名認證：不需要提供經過身份認證的用戶憑證
基本身份認證：用戶必須輸入ID,訪問是基本用戶ID的，但該方式的用戶ID和密碼以明文形式在網絡上傳輸
集成windows身份驗證：使用了KerberosV5，能夠提供較高的安全級別
摘要身份驗證：該方式需要用戶ID和密碼，可提供中等安全級別，與基本身份驗證相同，但克服可基本身份驗證的缺點

第十二章組網技術

一、交換路由基礎知識

（一）交換機

1、交換機簡介和分類：交換機（Switch）意為“開關”是一種用于電（光）信號轉發的網絡設備。它可以為接入交換機的任意兩個網絡節點提供獨享的電信號通路。工作于第2層或3層。最常見的交換機是以太網交換機。下圖是華為的Huawei S2700系列以太網交換機
2、按照VTP協議，交換機的運行模式有（服務器模式，客戶機模式，透明模式）
3、網橋和交換機：都是軟硬件結合，都有廣播和沖突域，區別就是交換機比網橋的端口多，轉發速度更快；（所以說交換機是多端口的網橋）
4、集合器(物理層)與網橋(鏈路層):都能檢測沖突域；
5、交換機進行數據包轉發的能力稱為包轉發率，也稱端口吞吐率，指交換機進行數據包轉發的能力，單位為pps，交換機的背板帶寬是指交換機端口處理器和數據總線之間單位時間內所能傳輸的最大數據量
6、交換機分類：

7、若交換機需要與車間1接入層交換機進行互連，其連接方式有堆疊和級聯；其中堆疊方式可以共享使用交換機背板帶寬，級聯方式可以使用雙絞線將交換機連接在一起。
8、對匯聚層交換機的端口進行端口聚合，端口默認模式是access，進行端口聚合時應配置為trunk模式
9、若備份路由設備長時間沒有收到主路由設備發送的組播報文，則將自己的狀態轉為Master為了,避免二層廣播風暴，需要在接入與匯聚設備上配置MSTP(了解)
10、交換機典型三級：①接入層交換機，如S2700。②匯聚層交換機，S3700。③核心層交換機，如S5700
11、交換機性能參數和計算公式：

包轉發率=千兆端口數×1.488Mpps+百兆端口數×0.1488Mpps+其余端口×相應包轉發pps
背板帶寬：總帶寬=端口數×端口速率×2（全雙工）
12、交換機是一種由高速硬件構成的多端口網橋，交換機的初始MAC地址表為空，收到一個數據幀時將其源地址添加到自己的MAC地址表中，通過這種逆向學習算法逐步建立地址表，當收到的幀的目標地址不在MAC地址表中時，交換機將其廣播發送到所有輸出端口
13、交換機通過讀取輸入幀中的源地址添加相應的MAC地址表項
14、交換機的MAC地址表項是動態變化的；交換機的初始MAC地址表為空
15、在缺省配置時交換機所有端口(屬于統一VLAN)，不同VLAN的數據幀必須通過(路由器)傳輸。
16、Win XP,win server2008的TTL初始值為128；FreeBSD的TTL初始值為255；iOS12.4的初始值為64

（二）路由器

1、路由器簡介和分類：路由器（Router）用來連接不同的局域網，路由器可以學習和傳播各種路由信息。路由器工作在第3層網絡層，具有局域網和廣域網兩種接口
2、查看路由信息結果中，標記S表示靜態路由，標記C表示直聯，標記R表示采用RIP路由協議
3、路由器出廠時，默認的串口封裝協議是HDLC
4、路由器根據IP數據報中的目的IP地址對應路由器中的路由表進行尋徑
5、路由器根據功能、性能、應用分為：

①骨干路由器：主干網絡互連，模塊化、熱備份、雙電源等冗余技術。如國家級、省級骨干網互連。如NE40E以上系列
②企業級路由器：用于一個企業出入口，提供多種功能，完成企業組網。可實現數據、語音、視頻等應用。如AR3600系列
③接入級路由器：邊緣路由器，小型企業，或者部門組網。如AR2200系列
6、路由器上的一些常見端口：
①Serial端口(同步串口)：高速同步串口，與廣域網連接，可連接DDN、幀中繼、X.25、PSTN等網絡（路由SFP端口通過光纖連接廣域網）；鏈接終端和數字專線的設備CSU/DSU被集成在路由器的同步串口
②Console端口：初次配置控制臺端口，利用終端仿真程序，如超級終端、SecureCRT對路由器進行本地配置
③RJ-45端口：以太網口，通過雙絞線連接局域網，有的標識ETH，有的標識為10/100bTX(路由器就是通過RJ-45鏈接以太網交換機的)
④AUX端口(異步串口)：遠程配置路由器，連接Modem
Console端口：Console端口通過專用電纜連接至計算機串行口，利用終端仿真程序對路由器進行本地配置。路由器的Console端口為RJ-45口
SFP端口：通過光纖連廣城網，小型機架可插拔設備SFP是GBIC的升級版本，其功能基本和GBIC一樣，但體積減少一半
路由器連接幀中繼網絡的接口是Serial接口，連接雙絞線以太網的接口是RJ-45接口
7、廣播域和沖突域
沖突域：在同一個沖突域中的每一個節點都能收到所有被發送的幀。交換機能分隔沖突域。一個端口一個沖突域
廣播域：網絡中能接收任一設備發出的廣播幀的所有設備的集合。路由器能分隔廣播域。一個端口一個廣播域

8、有多個路由進行選擇時，通過比較各個路由的管理距離走近路來決定
9、VLAN之間通信就需要路由器的支持
10、路由器出廠時，默認的串口封裝協議是HDLC

二、交換機VLAN實驗

1、交換機GVRP：VLAN注冊協議，在VLAN增加、刪除、調整時，自動發廣播，保持全網所有的交換機VLAN信息是一致的
2、GVRP是GARP的一種應用，由IEEE制定；交換機之間的協議報文交互必須在VLAN Trunk鏈路上進行；GVRP配置時需要在每一臺交換機上建立VLAN
3、GVRP把交換機分為3種注冊模式

①Normal模式：VLAN增刪改，廣播保持一致
②Fixed模式：只傳播手動配置的VLAN信息
③Forbidden模式：只傳播VLAN1不傳其他VLAN
交換機默認：透明模式，VLAN1，所有端口
優先級：默認：60；RIP：100；直連：0；OSPF:10；ISIS:15

三、RIP與BDF聯動實驗

1、BFD：雙向轉發檢測，可以提供毫秒級的檢測，可以實現鏈路的快速檢測，BFD通過與上層路由協議聯動。當主鏈路發生故障時，業務流量會快速切換到另一條路徑進行傳輸

四、動態路由IS-IS實驗

1、IS-IS：中間系統-中間系統，路由器稱為中間系統IS。和OSPF協議很類似,屬于內部網關路由協議，是一種鏈路狀態協議。
2、Net-Entity：網絡實體。運行IS-IS的路由器必須配置一個網絡實體地址。格式為：SEL服務訪問點
3、IS-IS 在路由域內采用兩級的分層結構。骨干區域與非骨干區域。并定義了路由器的三種角色：區域內Level-1、區域間Level-2、同屬于Level-1-2。默認路由器接口為Level-1-2
4、IS-IS 路由協議將自治系統分為骨干區域和非骨干區域
5、IS-IS路由協議中Level-2路由器可以和不同區域的Level-2或者Level-2路由器形成鄰居關系

第十三章網絡管理

一、網絡管理結構

1、網絡管理模型：包括網絡監測和網絡控制兩部分。以下是一個網絡管理模型。分為管理站，被管理代理、管理信息庫MIB三部。MIB采用管理信息結構SMI（ASN.1國際標準的子集）
2、兩種管理結構：

集中式：集中控制整個網絡。平衡優化網絡。適用小網絡
分布式：靈活性和伸縮性，適用中、大型網絡
3、兩種通信機制：
輪詢：是一種請求-響應式的交互方式。管理站向代理發出請求，代理做出響應，從信息管理庫取出信息，返回給管理站。類似領導安排工作
事件報告：代理根據管理站的要求，向管理站主動發送狀態報告。類似員工匯報工作
4、網絡管理中的五大管理功能：
①計費管理：計算收取用戶使用網絡服務費用
②安全管理：提供信息的保密、認證和完整性
③性能管理：性能檢測、性能分析、性能管理
④配置管理：監測和控制網絡的狀態以及配置
⑤故障管理：發現和糾正網絡故障，維護網絡的
正常運行。包括報警、檢測、定位、測試、恢復以及日志記錄等
5、網絡管理協議五種標準：
①ISO制定：CMIS/CMIP公共管理信息服務規范
②基于TCP/IP：簡單網絡管理協議SNMP V1、SNMP V2、SNMP V3三種版本
③基于局域網：遠程監控網絡RMON，RMON-1、RMON-2兩個版本
④IEEE制定：基于物理層和數據鏈路層==CMOL
⑤ITU-T：電信網絡管理標準TMN==
6、安全措施
物理線路安全：防雷
網絡安全措施：入侵檢測、流量控制、數字簽名，數據加密，身份認證
系統安全措施：漏洞發現和補丁管理
7、檢測故障命令：
Show 命令可查看系統的安裝情況與網絡的正常運行狀況
Ping 命令確定網絡連通
Tracert 命令跟蹤路由器包傳輸
Debug 命令能夠提供端口傳輸信息，節點產生的錯誤消息
8、常見網絡運維工具
光時域反射計根據光的后向散射與菲涅耳反向原理制作，利用光在光纖中傳播時產生的后向散射光來獲取衰減的信息，可用于測量光纖衰減、接頭損耗、光纖故障點定位以及了解光纖沿長度的損耗分布情況等，是光纜施工、維護及監測中必不可少的工具

二、簡單網管協議SNMP

1、SNMP：簡單網絡管理協議：應用層協議，采用UDP，不會增加網絡負擔，UDP實現網絡管理效率高。UDP161（代理）、UDP162（管理站）
2、采用UD實現網絡管理不會太多增加網絡負載
3、SNMPv1：四種報文①GetRequest、②GetNextRequest、③SetRequest、④Trap、⑤GetResponse。其中④用于事件報告⑤用于代理站。采用團體明文認證
4、SNMPv2：又叫SNMPv2c，支持集中，也支持分布式管理：增強改進3方面：①管理里信息結構的擴充。②管理站之間的通信能力。③新的協議操作。Get BulkRequest塊操作一大批的數據、InformRequest通信請求（增強了功能）
5、SNMPv3：把管理和代理統一叫做實體（包括引擎和應用），并提供認證和加密?；谟脩舻陌踩Ｐ?#xff0c;把安全威脅分為主要的和次要的。基于視圖的訪問控制模型，劃分安全級別。（增強了安全性）,新增了認證和加密
6、在SNMP協議中，代理收到管理站的一個GET請求后，若不能提供該實例的值，則會返回下一個實例的值
7、RMON和SNMP的主要區別就是：RMON提供了整個子網的管理信息，而SNMP管理信息庫只包含本地設備的管理信息
8、報文摘要算法生成報文摘要的目的是防止發送的報文被篡改
9、在SNMP協議中，當代理收到一個GET請求時，如果有一個值不可或者不能提供，則返回該實例的下一個值
10、從代理到管理站的SNMP報文的命令為:trap、Get-Response；從管理站到代理的SNMP報文有Get-Request、Get-Next-Request、Set-Request

三、結構化布線系統

(1)交流工作接地電阻不應大于4Ω;
(2)安全工作接地電阻不應大于4Ω;
(3)直流工作接地電阻應按計算機系統具體要求確定;
(4)防雷保護地接地電阻不應大于10Ω;
(5)對于屏蔽系統若采用聯合接地，其接地電阻不應大于1Ω。

四、管理信息庫MIB

1、管理信息庫MIB-2的10個功能組：

system:關于系統的總體信息
interface：系統到子網接口的信息
at(address translation):描述Internet到子網的地址映射
ip：關于系統中IP的實現和運行信息
icmp：關于系統的ICMP的實現和運行信息
tcp：關于系統中的TCP的實現和運行信息
udp：關于系統的UDP
egp：關于系統中的EGP的實現和運行信息
dot3:有關每個系統接口的傳輸模式
snmp：關于系統中SNMP的實現和運行信息
2、MIB-2中，IP組對象為接受的IP數據報總數，數據類型為計數器類型
3、遠程網絡監控RMON的管理信息庫：
先事件組再警報組
先主機組再N臺主機組
先過濾組再捕獲組
4、RMON監視器
RMON的管理信息庫提供整個子網的管理信息
RMON的管理信息庫屬于MIB-2的一部分
RMON監視器可以對每個分組進行統計和分析
RMON監視器包含MIB-2的功能
5、網絡管理?？剂悴考煽啃杂嬎?#xff1a;

輪詢設備和時間計算

五、網絡管理工具和命令

1、Tracert是路由跟蹤，確定IP數據報訪問目標所采用時用；arp用來顯示和修改arp緩存中的值；ipconfig顯示當前TCP/IP配置的設置值；netstat可以顯示路由表
2、ipconfig/all:顯示主機TCP/IP配置的詳細信息；/release：DHCP客戶端手共釋放IP地址；/renew：DHCP客戶端手工向服務器刷新新請求；/flushdns:清除本地DNS緩存內容；/displaydns:顯示本地DNS內容
3、ping，利用ICMP報文來測試網絡的連通性、是否丟包、名稱解析等。ping -a解析域名；ping -f不要拆分分段；ping -l指定數據包大小；ping -n 指定回顯數據報的數據次數；ping-r記錄路由；ping -t連通性(持續ping)，直到終止
4、netstat命令用于顯示TCP連接，語法如下netstat [-a] [-e] [-n] [-o] [-p Protocol] [-r] [-s] [Interval]

-a:顯示所有活動的TCP連接，以及正在監聽的TCP和UDP端口
-e:顯示以太網統計信息
-n:顯示活動的TCP連接，地址和端口號以數字形式表示
-o:顯示活動的TCP連接以及每個連接對應的進程ID。在Windows任務管理器中可以找到與進程ID對應的應用。這個參數可以與-a、-n和-p聯合使用
-p Protocol:用標識符Protocol指定要顯示的協議，可以是TCP、UDP、TCPv6或者UDPv6。如果與參數-s聯合使用，則可以顯示協議TCP、UDP, ICMP、IP、TCPv6、UDPv6, ICMPv6或IPv6的統計數據
-s:顯示每個協議的統計數據。默認情況下，統計TCP、UDP、ICMP和IP協議發送和接收的數據包、出錯的數據包、連接成功或失敗的次數等。如果與-p參數聯合使用，可以指定要顯示統計數據的協議
-r:顯示IP路由表的內容，其作用等價于路由打印命令route print
Interval:說明重新顯不信息的時間間隔，鍵入Ctrl+C則停止顯示。如果不使用這個參數，則只顯示一次
5、arp。用于顯示和修改ARP緩存中的表項。-s參數可以綁定IP和MAC以防止ARP病毒，如arp -s 192.168.1.1 AA-00-4F-2A-9C。但重啟后會丟失，如果寫入注冊表是個永久的辦法
-a:顯示所有接口的當前ARP緩存表
-d:刪除ARP緩存表項
-s:綁定ARP表項，如IP和MAC綁定
6、代理ARP是指由離目標主機最近的交換機假裝目標主機回答源主機的ARP請求
7、交換機常用命令
dis patch：查看補丁信息display patch-information ；
dis trap：查看告警信息 display trapbuffer ；
dis int br：查看接口開啟情況 display interface brief ；
dis cu：查看當前配置 display current-configuration 。
virtual-cable-test：電纜測試
display transceiver interface：顯示設備光模塊接口的狀態信息，用于對光功率參數的檢測判斷是否存在介質故障
display device：顯示設備狀態
display interface：顯示端口配置信息

8、其他命令：

pathping：把ping和tracert結合起來，探測路徑、延時、丟包率
nbtstat：用來顯示NetBIOS的名稱緩存
route：顯示修改本地IP路由表。add添加、delete刪除、change修改、print顯示路由表（同netstat -r）
netsh：命令行腳本程序，可修改計算機的網絡配置
net：管理網絡服務
nslookup。用來測試DNS服務器域名解析的。交互式和非交互式
traceroute是路由跟蹤命令用于分組到達目標路勁上經過的各個路由器
netstat可用于顯示IP、TCP、UDP、ICMP等協議的統計數據；
sniffer能夠使用網絡接口處于雜收模式，從而可截獲網絡上傳輸的分組
winipcfg在Windows中顯示網絡適配器和主機的有關信息；
tracert可以發現數據包到達目標主機所經過的路由器和到達時間。通常配合-d使用
Tracert、Netstat及Route print均可以獲得網關IP地址信息
Nslookup用來檢查提供域名的服務器地址；ping加域名地址可測試域名成功與否；tracert也可用于進行DNS故障診斷；arp是地址協議，用于IP地址與MAC的映射

六、網絡存儲技術

1、網絡存儲技術：RAID，廉價磁盤冗余陣列。RAID0~RAID50多種。RAID卡

2、網絡存儲技術：

3、RAID2.0的優點有：自動負載均衡，降低了存儲系統整體故障率；快速重構，降低了雙盤失效率和數據丟失的風險；自檢愈合，保證了系統可靠性。
4、網絡存儲技術：NAS網絡接入存儲。將存儲設備連接到現有的網絡上來提供數據存儲和文件訪問服務的設備。NAS服務器是在專用主機上安裝簡化了的瘦操作系統（只具有訪問權限控制、數據保護和恢復等功能）的文件服務器。NAS服務器內置了與網絡連接所需要的協議，可以直接聯網
5、網絡存儲技術：SAN存儲區域網絡。是一種連接存儲設備和存儲管理子系統的專用網絡，專門提供數據存儲和管理功能。SAN可以被看作是負責數據傳輸的后端網絡，而前端網絡則負責正常的TCP/IP傳輸。用戶也可以把SAN看作是通過特定的互連方式連接的若干臺存儲服務器組成。分為2種結構：IP-SAN（遠離）與FC-SAN,FCSAN部署成本更高，傳輸速率更高。
6.默認網關的地址是子網中的廣播地址的話，不能ping通任何遠程設備

第十四章網絡規劃與設計

一、網絡設計基礎

1、網絡系統生命周期：從構思到淘汰。
2、四階段周期（重疊）：能夠快速適用新的需求變化，成本低，靈活性好，適用網絡規模較小，需求較為明確，網絡結構簡單的工程項目。（口訣：小明花錢少）

3、五階段周期（瀑布）：比較死板，不靈活，較為嚴謹，適用于網絡規模大，需求較為明確，需求變更較小的網絡工程。常用此模型。（口訣：大明看瀑布）

4、六階段周期（測試）：偏重于測試和優化，適合大型網絡，適合經常變更

5、網絡開發過程：其中，通信規范分析又叫現有網絡體系分析。以便在升級時盡量保護已有的投資(5個階段)

（1）需求規范：對現有資源進行分析，確定網絡的邏輯結構。集中訪談的信息資料。確定需求，包括：商業，用戶，應用，計算機平臺。理解網絡應該具有的功能和性能
（2）通信規范：根據需求和通信規范，分析各個網絡的通信流量。估計和測量通信量及設備和利用率。網絡內部的通信流量分布。
（3）邏輯網絡設計：根據需求規范和通信規范，實施資源分配和安全規劃。選擇符合需求的設計。網絡IP地址分配方案。根據用戶的需求，選擇特定的網絡技術，網絡互連設備和拓撲結構。網絡結構設計。物理層技術選擇。確定路由選擇協議。
（4）物理網絡設計：依據邏輯網絡設計的要求，確定設備的具體物理分布和運行環境。將物理設計應用到物理空間。設備列表清單。結構化布線設計。
（5）文檔規范：安裝和維護。實現物理網絡設計。
6、確定新網絡所需的通信量和通信模式屬于通信規范階段；確定 IP 地址分配方案屬于邏輯網絡階段；明確網絡物理結構和布線方案屬于物理網絡設計階段；確定網絡投資規模屬于需求規范階段
7、PERT不能清晰秒速各個任務之間的并行情況，甘特圖不能清晰描述各個問題之間的依賴關系

二、通信流量分析

1、通信流量模式分析：對等模式、C/S模式、B/S模式
2、對等模式：雙向對等，如QQ、BT、P2P等
3、C/S模式：S→C流量大，如VOD、Web服務器、ERP。C→S流量大，如SNMP。雙向流量大，如FTP、郵件服務器、數據庫服務器
4、B/S模式：S→B流量大，而web服務器與數據庫則屬于雙向流量大
5、通信流量計算公式：分為兩種：

某個業務應用網絡流量的計算公式為：應用的數據傳輸速率 = 平均事務量大小 × 每字節位數 × 每個會話事務數 × 平均用戶數 / 平均會話長度
考慮峰值用戶數和應用增長率等因素后公式為：應用的數據傳輸速率 = 平均事務量大小 × 每字節位數 × 每個會話事務數 × 峰值用戶數 × (1+增長率) / 平均會話長度

三、邏輯網絡設計

1、邏輯網絡設計工作主要內容

網絡結構的設計
物理層技術的選擇
局域網技術的選擇與運用
廣域網技術的選擇與運用
地址設計和命名模型
路由選擇協議
網絡管理
網絡安全
邏輯網絡設計文檔
2、局域網結構設計：單核心局域網結構
單核心簡單、投資少、地理范圍小，適合小型網絡
缺點是單點故障，導致全網失效。擴展能力有限
3、桌面用戶不應與核心連接
4、局域網結構設計：雙核心局域網結構
可做負載均衡熱備，如HSRP、VRRP、GLBP?？煽啃愿摺⒖蔁崆袚Q、接入方便、服務器直連核心，高速訪問
投資高、維護技術高
5、局域網結構設計：三層次局域網結構
核心層：高速轉發，將多個匯聚層連接起來；提供寬帶城域網的用戶訪問Internet所需的路由服務
6、匯聚層：策略控制、實現資源訪問控制和流量控制，數據轉發和交換
7、接入層：用戶接入
8、廣域網結構設計：線纜調制解調器接入網，廣電網絡屬于這種，借助CATV有線電視實現
HCF網絡實現帶寬接入時，局端設備用于控制和管理用戶的設備是CMTS，客戶Cable Modem（大貓）
Cable Modem利用頻分復用的方法將信道分為上行信道和下行信道
下行50Mbps，上行3Mbps
采用HFC技術，光纖/同軸纜混合傳輸
HFC是雙向傳輸系統；由有線電視頭端、長距離干線、放大器、饋線和下引線組成
9、廣域網結構設計：數字用戶環路遠程接入網xDSL，電信網絡屬于這種，借助電話線實現。
局端DSLAM，客戶端ADSL Modem（小貓）
ADSL：下行8Mbps
SDSL：下1.544M
HDSL：下2.048M
VDSL：下行50Mbps
口訣：RCAV不對稱的
10、廣域網結構設計：同步數字體系接入網SDH
STM-1：155.520M
IP over SDH
11、PDH兼容：63個2M
12、MPLS VPN接入網：利用MPLS實現
P設備：核心高速轉發
PE設備：邊緣路由標簽
CE設備：連客戶端
13、VRRP:VRRP技術實現冗余備份和容錯選擇功能，交換機A與交換機B之間的連接線稱為心跳線，其作用是為了防止VRRP協議報文(心跳報文)所經過的鏈路不通或不穩定，傳遞VRRP協議報文
14、在寬帶接入中，FTTx是速度最快的一種有線接入方式，而PON（Passive Optical Network）技術是未來FTTx的主要解決方案。PON目前有兩種主要的技術分類，分別是GPON和EPON，EPON是以太網技術和PON技術的結合，它可以實現上下行1.25Gbps的速率
15、GPON速率高達2.5Gbps,能提供足夠的帶寬以滿足網絡日益增長的對高帶寬的需求，同時非對稱性更能適應帶寬數據業務市場；技術相對復雜，設備成本較高；能提供Qos的全業務保障，同時承載多種不同的幀，有良好的服務等級、支持Qos保證和全業務接入的能力；GPON比EPON帶寬更大，它的業務承載更高效、分光能力更強，可以傳輸更大帶寬業務，實現更多用戶接入

四、物理網絡設計

1、建筑物綜合布線系統PDS

（1）工作區子系統：指由中端設備到信息插座的整個區域（信息插座一般離地面30cm）
（2）水平布線子系統（不得超過90m）（從電桿拉出來的）
（3）干線子系統（豎起來像電桿）
（4）設備間子系統（機房，樓層中間）
（5）管理子系統（樓層配線間）
（6）建筑群子系統
2、綜合布線性能參數：雙絞線、光纖
衰減值：由于絕緣損耗、連接電阻等因素，造成信號沿鏈路傳輸損失
近端串擾：當信號在一個線對上傳輸時，會同時將一小部分信號感應到其他線對上，這種感應信號成為串擾
光纖：包括連通性、輸入/輸出功率、衰減/損耗，一般應在20db以內，超過25db不通
3、在診斷光纖故障的儀表中，設備（光時域反射計）可在光纖的一端就測得光纖的損耗

五、網絡需求分析

1、軟件設計必須依據軟件的需求來進行，結構化分析的結果為結構化設計提供了最基本的輸入信息，其關系為：根據加工規格說明和控制規格說明進行過程設計；根據數據字典和實體關系圖進行數據設計；根據數據流圖進行接口設計；根據數據流圖進行體系結構設計。
2、軟件設計方式

瀑布模式：適用于求明確
V模型：瀑布模型變種，它說明測試活動是如何與分析與設計相聯系
原型模型：快速構造整個系統或系統一部分
螺旋模型：開發活動和風險管理結合，控制風險并減到最小

第十五章命令圖和協議

一、網絡協議神圖

二、常用命令圖

（一）netstat

（二）nslookup

（三）route print

（四）tracert

總結

以上是生活随笔為你收集整理的软考中级网络工程师全面学习笔记第2版(5万字)+配套视频及课件的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。