四级网络工程师总结.docx

核心层网络承担整个网络流量的40%~60% 802.11 无线协议， 802.11a、802.11b（最广泛、但速率最慢）、802.11g 早期城域网是光纤环网，使用FDDI，速率100Mbps， 距离100KM，双环结构。 密集波分复用DWDM技术导致广域网主干线路带宽扩展。 城域网① 基于SONET/SDH的传统电信网。经济因素 ② 10G 以太网。成本、可扩展性、易用性 ③ 弹性分组环RPR。2结点最大长度100km，顺外环，逆内环，统计复用，50ms内自愈。当源节点成功发送一个数据帧后，该帧直接由目的节点从环中收回。  速率： ADSL 上行64kbps~640kbps，下行500kbps~7Mbps HDSL对称的 VDSL最快 上行2.3Mbps， 下行51Mbps 有效传输距离3~5.5km Cable Modem 对称式：2Mbps~4Mbps，最高10Mbps。 非对称式：下行30Mbps，上行500kbps~2.56Mbps。 有同步和异步两种交换方式。 无源光纤网PON有2种业务： 对称：155.520Mbps 非对称：上行155.520Mbps，下行622.080Mbps 采用波分复用WDM 802.11无线局域网:使用红外、跳频扩频FHSS、直序扩频DSSS技术，速率有1Mbps、2Mbps、5.5Mbps、11Mbps。 802.11b 最大11Mbps，实际5~7Mbps，最大容量：33Mbps直序扩频 2.4GHz 802.11a 最大54Mbps，实际28~31Mbps，最大容量：432Mbps 5GHz 802.11g 最大54Mbps，实际28~31Mbps，如果在802.11b的混合环境，就只有10~12Mbps，最大容量162Mbps。2.4GHz 802.16无线城域网 802.16是点对多点 802.16a增加了非视距和对无线网格网的支持 802.16 + 802.16a = 802.16d针对固定的无线网络部署 802.16e针对火车这些移动物体。 802.1d是透明网桥标准，定义了生成树协议STP 802.3是传统以太网协议标准 802.3u是快速以太网协议标准 802.3z是千兆以太网协议标准 802.3ae是万兆以太网协议标准 3层结构：250~5000 2层结构：100~500 1层结构：5~250 高速路由器要求长度为1518B的IP包时延要小于1ms 结点500以上选用企业级交换机 结点300以下选用部门级交换机 结点100左右选用工作组级交换机。 路由器可以分为高端路由器（核心）、中端路由器（企业级）、低端路由器。 背板交换能力大于40Gbps的是高端路由器。低于40Gbps的称为中低端路由器。 基础级服务器 1个CPU 工作组级服务器 1~2个CPU 部门级服务器 2~4个CPU 企业级服务器 4~8个CPU CPU50%定律：（M2 – M1）/ M1 * 50% 系统可用性99.9% 停机小于8.8小时 系统可用性99.99% 停机小于53分钟 系统可用性99.999% 停机小于5分钟 RFC1812提出2层IP地址结构 RFC940提出3层IP地址结构 RFC1519提出无类域间路由 RFC2993、RFC3022、2663、3027、3235提出NAT技术 RFC2373定义了IPv6地址分类 RFC1518对全局地址和专用IP地址的范围和使用做出了规定 专用地址： A类 10.0.0.0~10.255.255.255 B类 172.16.0.0~172.31.255.255 C类 192.168.0.0~192.168.255.255 地址范围： A类 0.0.0.0~127.255.255.255 B类 128.0.0.0~191.255.255.255 C类 192.0.0.0~223.255.255.255 D类 224.0.0.0~255.255.255.255 组播 当运行RIP协议开始时，各路由距离是0。 BGP协议的核心分组是 update分组 BackboneFast用于间接链路失效，30s UplinkFast 用于直接链路失效，1~5mins PortFast 用于终端加入时 BPDU Filter用于停止发送BPDUs，也不处理BPDUs。 带内管理 以传统电信网络为基准 带外管理 以IP网络及协议进行管理 核心层采用带外管理、汇聚层以下采用带内管理。 RIP默认管理距离为120 OSPF默认管理距离为110 直接连接是0、静态路由是1 设置Trunk的交换机端口默认权值是128 公钥加密系统中，如果是发给一个人的加密信息，那么发送者用接收者的公钥加密，接受者用本身的私钥解密；如果是发给公共的，那么发送者用自身的私钥加密，接收者用发送者的公钥解密。 IPv6： IPv6有4类地址：单播、组播、任意播、特殊地址。（没有广播地址） 单播地址：和IPv4一样 组播地址：最高字节是0FFH（1111 1111） 任意播地址：和单播类似 IPv6表示IPv4地址：前80位为0 自动协商优先级： ① 100BASE-Tx 全双工，100BASE-FX 全双工 ② 100BASE-T4 半双工 ③ 100BASE-Tx 半双工 ④ 10BASE-Tx 全双工 ⑤ 10BASE-T4 半双工 VLAN隔离广播域、隔离冲突域。 交换机隔离冲突域，共享广播域。 蓝牙系统的标准速率是1Mbps，同步为64kbps，异步对称为433.9kbps，非对称为下723.2kbps上57.6kbps。覆盖范围可以1~100m 防火墙的nat命令用于指定要进行转换的内部地址。 防火墙的global名利用于指定外部IP地址范围。 netstat显示当前所有连接及状态信息 nslookup查看当前DNS服务器 区域名 + .dns Land攻击 向某设备发送数据包，源IP和目的IP设为攻击目标的地址。 Teardrop攻击 利用OS处理分片重叠报文攻击 DDoS 分布式拒绝服务攻击 Ping of Death 缓冲区异常 Smurf攻击 冒充受害者主机，发送大量echo request广播包，受害主机会收到大量回复。 SYN Flooding攻击 利用TCP连接3次握手攻击 MIB-2库简单类型：整数、8个一组的字符串、对象标识符 陷阱默认团体名是public RIP 使用UDP OSPF使用IP BGP使用TCP SNMP使用UDP Telnet使用TCP FTP使用TCP TFTP使用UDP OSPF中具有最高路由器ID的路由器称为DR，备份路由器称为BDR。 HiperLAN/1 上行20Mbps HiperLAN/2 上行54Mbps FTP的网络ID不能是具体的IP地址 DHCP服务器默认备份时间间隔是60分钟 Cisco路由器作为ISO DHCP Server默认租用时间是1天 DHCP服务器默认的租约期限是8天 RIP更新周期为30秒 OSPF每隔30分钟刷新一次数据库 BGP每隔30秒交换保活分组 主机资源记录的生存时间是3600秒 多个域名使用多个虚拟主机 DNS服务器可以设置成 ①只缓存服务器 ②非递归服务器 ③条件转发器 ④转发服务器 DNS区域有主要区域、辅助区域、存根区域 主要区域可以创建直接在此服务器上更新的区域的副本。 区域名 + .dns 辅助区域从它的主DNS服务器复制所有信息。主DNS服务器可以是Active Directory区域、主要区域、辅助区域。 存根区域包含标识该区域的权威DNS服务器所需的资源记录。包括：邮件交换器MX、名称服务器NS、起始授权机构SOA、主机资源记录A、别名资源记录CNAME。 DNS主机记录用于静态地建立主机名与IP地址之间的对应关系。 DNS别名记录可以使通过另外一台主机名称来访问该主机 DNS的网络ID不能是具体的IP地址。 DNS域只有一个主域名服务器，辅助域名服务器作为备份服务器提供服务。 缓存域名服务器提供域名快速解析服务。 DNS服务器支持负载平衡技术，在服务器属性的“高级”选项卡中，勾选“启用循环”，并在正向搜索区域添加每个Web服务器的主机记录。 透明网桥的MAC地址表要记录：源MAC地址，端口号，帧到达时间 一台新的交换机的所有端口默认属于同一VLAN，即VLAN 1.同一VLAN的数据帧必须通过Trunk链路传输。VLAN 1又称为本征VLAN 入侵检测系统的探测器可以通过以下3种方式部署在被检测的网络中： ① 流量镜像方式 ② 用集线器改变网络拓扑结构 ③ 通过分路器TAP对数据包进行分析和处理 SNMP管理模型由管理结点和代理结点组成。 发送SNMP请求报文并对SNMP报文进行解析的服务是SNMP Service 监听被管主机发来的陷入报文的服务是SNMP Trap Service SNMP服务默认的团体名是public。该团体名用于SNMPv1简单的用户认证机制，在SNMPv1通信过程中是采用明文传输的。 网络管理结点上同时运行着代理服务程序snmp.exe和陷入服务程序snmptrap.exe。其中，代理服务程序负责接收SNMP请求报文。陷入服务程序负责监听发送给本机的陷入报文。 代理节点运行SNMP代理程序snmp.exe用于接收和发送SNMP数据包。 被管节点上必须安装和配置SNMP代理程序，并通过团体设置允许该网络管理站对其进行SNMP访问。 常用SNMP报文有GetRequest、GetNextRequest、GetBulkRequest、Response。 SNMP和CMIP的管理目标和基本组成部分相同，两者采用相同的抽象语法符号。 SNMP和CMIP的不同点： ① 信息检索方式不同 ② 信息获得方式不同 ③ 数据传送方式不同 ④ 管理对象表示方法不同 网络版防病毒系统的系统中心是核心。 SSH协议用来取代Telnet、FTP等网络应用，可以避免被sniffer检测。 IP地址和MAC地址绑定可以防止ARP攻击。 网络的扩展性考虑：主干设备要有一定的余量，低端设备以够用为原则。 构造生成树要先选择BridgeID最小的网桥做根网桥。 根网桥是整个生成树拓扑结构的核心。 非根网桥都需要从它的端口中选出一个到达根网桥路径最短的端口作为根端口。 网桥存在帧转发速率低和广播风暴两个问题，评价网桥性能的参数主要有：帧过滤速率、真转发速率。 VLAN0、1、4095被系统保留，用户不能使用。 进行交换机VLAN配置时，应从VLAN2开始定义VLAN名称。 VLAN 1不能被创建、删除、修改。 默认路由是静态路由的一个特例。默认路由的配置是ip route 0.0.0.0 0.0.0.0 下一跳地址 Telnet协议端口号23 FTP控制连接端口号21 FTP数据连接端口号20 SMTP端口号25 POP3端口号110 SSL端口号443 入侵检测技术分为异常检测、误用检测2种 异常检测：检测完整性较高，误警率较高 误用检测：检测准确性较高 无线加密协议WEP采用RC4加密技术，用户的加密密钥必须和AP的密钥相同才可以获取资源。（encryption） 无线局域网根据是否有无线接入点AP分为基础设施网络和Ad Hoc特殊网络 当使用多个无线AP时，为防止信号干扰，需要调整AP配置中的Channel值。 无线终端要与AP通信时，AP将检测其ESSID是否与AP内部的ESSID相同，如果不同就拒绝服务。 核心层交换机不应该进行具体数据包的运算ACL过滤，而应该交给汇聚层交换机来做。 VLAN 隔离广播域、冲突域 连接于不同交换机上、属于同一VLAN的数据帧必须通过中继链路Trunk传输。交换机之间通过VTP协议交换信息。 VLAN可以 ①基于端口划分、②基于MAC地址划分、③基于网络层划分、④基于策略划分  OSPF协议中的区域0是一个OSPF网络中必须具有的区域，称为主干区域。 OSPF配置中，具有最高路由ID的路由器是DR，一旦DR失效，备份指定路由器BDR将成为DR。 OSPF让每一个路由器用数据库描述分组和相邻路由器交换本数据库中已有的链路状态摘要信息。 802.11采用CSMA/CA协议或DCF机制解决Near/Far问题 802.11引入RTS/CTS选项间接解决hidden node问题 FTP的匿名用户是anonymous 综合布线中，非屏蔽双绞线距离≤100米（包括跳线、工作区和设备区接线在内的总长度） 多模光纤≤550米 单模光纤≤3km 综合布线首要的特点是它的兼容性。 综合布线系统由 ①工作区子系统 ②配线子系统 ③干线子系统 ④设备间子系统 ⑤管理子系统 ⑥建筑群子系统 组成。 默认情况下，交换机的每个端口都要经历生成树的4个阶段：阻塞、侦听、学习、转发。 ping是一种基于ICMP协议的Echo请求与Echo应答消息，通过传输一系列的数据包，以测量平均往返次数并计算丢包率，从而判断源节点和目的节点之间链路的连通情况。 宽带城域网保证服务质量QoS的技术有 ①资源预留RSVP ②区分服务DiffServ ③多协议标记交换MPLS BGP协议有4组分组 ① 打开分组 一开始发送 ② 保活分组 周期性发送 ③ 更新分组 核心 ④ 通知分组 交换机动态交换模式：① 快速转发6字节 ② 碎片丢弃64字节 ③ 存储转发 就无线网络环境而言，需要把终端或移动PC考虑到设计以及网络费用中。 蓝牙5家厂商：英特尔、爱立信、诺基亚、东芝、IBM 兴趣组：微软、摩托罗拉、3Com、朗讯 应用程序服务器——Internet信息服务——文件传输协议FTP ——SMTP Service 网络服务——动态主机配置协议DHCP ARP攻击原理，当主机收到一个ARP应答包后，不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对于的关系替换掉原先的ARP缓存表里的相应信息。 当网络感染ARP木马时，主机或网关所对应的MAC地址就会被修改。 FTP的数据链路端口默认是控制链路端口 – 1 FTP协议有 ①PORT方式（主动式）、②PASV方式（被动式）两种工作模式 PORT方式是客户机向服务器的FTP端口发送连接请求，建立控制连接，告诉服务器自己的数据端口，服务器主动连接客户机，建立数据连接。 PASV方式是客户机向服务器的FTP端口发送连接请求，建立控制连接，服务器告知客户机自己的数据端口，被动等待客户机的数据连接。 FTP的文件权限有：读取、写入、追加、删除、执行。 FTP的目录权限有：列表、建立、移动。 在规划用户隔离模式FTP站点的目录结构时，FTP站点主目录下的子文件夹名称必须为LocalUser，且在旗下创建的用户文件夹必须与相关的用户账户使用完全相同的名称。 如果想允许匿名用户登录用户隔离模式的FTP站点，则必须在LocalUser文件夹下创建一个名为public的文件夹。 一个LAN通过路由器接入WAN，通常可通过路由器的串口进行点对点的连接。 邮件服务器通过域来提供邮件服务的，域用户信息存储于活动目录中。 网络流量被监听的端口称为“源端口”，连接监听设备的端口称为“镜像端口” 专用地址划分内部网络地址时要遵循的原则：①简捷 ②有效的路由 ③便于系统的扩展和管理。 Windows系统只能按照一套IIS组件，使用虚拟目录和多个Web服务端口可以实现多个网站的发布，但其域名是相同的。 虚拟主机是使用特殊的软硬件技术，把一台主机分成若干台“虚拟”的主机。每一台虚拟主机都具有独立的域名和IP地址或共享IP地址。 基于复杂指令集CISC处理器的服务器优点：通用性好，性价比高，软件丰富 缺点：CPU处理能力和系统IO差，不适宜做并发应用和数据库服务器。 基于精简指令集RISC处理器的服务器优点：CPU处理能力提高50%~75%。 交换机可以分为固定端**换机和模块式交换机（机架式交换机）。 局域网标准主要包括：蓝牙、HiperLAN、IEEE802.11 网络系统安全必须包括 ①安全防护机制 ②安全检测机制 ③安全恢复机制 网桥连接两个局域网段，起到隔离冲突域，共享广播域的功能。 蓝牙软件结构标准包括核心和应用协议栈两部分。 蓝牙协议核心部分主要定义蓝牙的技术细节。 蓝牙的应用协议栈则为全球兼容性奠定了基础。 蓝牙协议主要由 核心协议、蓝牙电缆替换协议、电话传送控制协议、Internet应用相关协议4层组成。 一个网站对应服务器的一个目录。建立Web站点时必须为每个站点指定一个主目录，也可以是虚拟子目录。 木马病毒侵入主机的启动组、win.ini、system.ini、注册表。 文件服务器以集中方式管理共享文件。 自治系统内部的主干路由器完成第一层区域的主机之间的分组交换。 交换机与交换机之间的连接模式有 ①级连模式和 ②堆叠模式。 堆叠模式分为菊花链堆叠和矩阵堆叠 堆叠模式的优点：扩充带宽、提高网络性能、不受5-4-3规则约束、 缺点是：必须同一品牌、不支持即插即用、不存在拓扑管理、不能分布式布置。 离线备份很好地解决了备份时并发更新带来的数据不一致问题。但恢复时间比较长。 内网地址无须DNS解析。 嵌入式安装插座是用来连接双绞线的，多介质信息插座是用来连接铜缆和光纤的。 要实现无线与有线局域网的互通功能，则必须借助无线接入点AP 访问控制列表用于过滤流入和流出路由器接口的数据包。它是一种基于接口的控制列表。IP访问控制列表由至少一个permit和多个deny语句组成。 IIS6.0可以用虚拟服务器的方法在一台服务器上构建多个网站。同一服务器上的多个网站可以使用主机头名称、非标准TCP端口号、IP地址来进行区分。 客户进程和服务器进程之间的TCP连接3次握手过程如下： ① 客户机向服务器发送请求报文段：SYN = 1 ACK = 0 SEQ = n ② 服务器发出应答报文：SYN = 1 ACK = n+ 1 SEQ = m ③ 客户机发送确认报文：ACK = m + 1； 高性能路由器一般采用交换式结构。 几个IP地址的路由汇聚结果就是将这几个IP地址写成二进制形式，然后抽取其中相同的部分，剩下的补0. BPDU数据包有两种类型：①包含配置信息的配置BPDU（35B） ②包含拓扑变化信息的通知BPDU（4B） 在配置BPDU包中的BridgeID信息，是选取根网桥或根交换机的主要依据。BridgeID最小的成为根网桥或根交换机。BridgeID由优先级值2B和交换机MAC地址6B组成。其中优先级值的取值范围是0~61440，增量为4096.交换机的默认优先级是32768 第一次配置Cisco Aironet 1100时，可以将PC置于无线接入点的覆盖范围内，安装无线网卡及其驱动程序，关闭所有安全设置，不配置SSID或SSID配置为tsunami。 DHCP服务器可以主动回收相关的地址租约。 基于网络的入侵防护系统 = 防火墙 + 入侵检测系统 + 防病毒。 NIPS部署于网络出口处，串联于路由器、三层交换机或防火墙之间。第1章 网络系统结构与设计的基本原则 　　局域网的技术特点主要表现在： 　　1、有限的地理范围，适用于机关、校园和工厂。 　　2、高数据传输速率（10Mbps-10Gbps）、低误码率。 　　3、易建立、维护与扩展。城域网：介于广域网与局域网之间的一种高速网络。几十公里范围。 　　广域网：也称远程网，几十到几千公里范围。覆盖几个国家或地区，甚至横跨几个洲，形成国际性的远程计算机网络。 　　早期的计算机网络主要是广域网。典型的计算机网络从逻辑功能上可以分为资源子网和通信子网。终端是用户访问网络的界面。通信控制处理机在网络拓扑结构中被称为网络结点。构成现代网络系统的基本单元是互联的广域网、城域网和局域网。 　　城域网：指网络运营商在城市范围内提供各种信息服务业务的所有网络，它是以宽带光传输网络为开放平台，以TCP/IP协议为基础，通过各种网络互联设备，实现语音、数据、图像、多媒体视频、IP电话、IP接入和各种增值服务业务与智能业务，并与广域计算机网络、广播电视网、电话交换网互联互通的本地综合业务网络。 　　城域网发展的主要业务： 　　1、高速上网服务。 　　2、网络互联服务。 　　3、电子政务与电子商务服务。 　　4、智能社区服务。 　　5、网上教育与远程医疗服务。 　　6、带宽与管道出租 　　三个平台与一个出口是指：网络平台、业务平台、管理平台与城市宽带出口。 　　网络平台分为：核心交换层、边缘汇聚层与用户接入层。核心层主要承担高速数据交换的功能。 　　汇聚层主要承担路由与流量汇聚的功能。接入层主要承担用户接入与本地流量控制的功能。 　　从世界各国城域网组建和运营的经验来看，制约宽带城域网的关键在于各类结点的带宽管理与业务调度能力。 　　基本原则：必须能够保证网络的可运营性、可管理性、可盈利性和可扩展性。宽带城域网的可管理性 　　组建的宽带城域网一定是可管理的。作为一个实际运营的宽带城域网，它不同于公众提供宽带业务的局域网，而需要有足够的网络管理能力。这种能力表现在电信级的接入管理、业务管理、网络安全、计费能力、IP 地址分配、服务质量（QOS）保证等方面。 　　RPR技术主要具有以下几个特点：1、带宽的利用率高2、公平性好3、快速保护和恢复能力强4、保证服务质量QOS我国信息产业部对接入服务有明确界定，将它作为“电信业务的第二类增值电信业务”.INTERNET接入服务是指利用接入服务器和相应的软硬件资源建立业务结点，并利用公用电信基础设施将业务结点与INTERNET骨干网相连接，以便为各类用户提供接入INTERNET的服务。 　　INTERNET接入服务业务主要有两种应用：一是为INTERNET内容提供商提供INTERNET接入服务，他们利用INTERNET从事信息提供、网上交易、在线应用等服务；二是为普通上网用户提供INTERNET接入服务，这类用户需要上网获得相关服务。目前，可以作为用户接入网的主要有三类：计算机网络、电信通信网与广播电视网。-------数学会聚，三网融合。主要数字用户线XDSL技术可分为： 　　1、非对称数学用户线ADSL。 　　2、高比特率数字用户线HDSL。 　　3、速率自适应数字用户线RADSL。 　　4、甚高比特率数字用户线VDSL。 　　无线接入技术主要有：802.11标准的无线局域网WLAN接入、802.16标准的无线城域网WMAN接入，以及正在发展的AD HOC接入技术。802.11标准与无线局域网WLAN 802.16定义了使用红外、跳频扩频与直接序列扩频技术，数据传输速率为1Mbps或者2Mbps的无线局域网标准。802.11标准的重点在于解决局域网范围的移动结点通信问题，802.16标准的重点是解决建筑物之间数据通信问题。 802.11b定义了使用直序扩频技术，传输速率为1Mbps、2Mbps 、5Mbps与11 Mbps的无线局域网标准。 802.11a将传输速度提高到54Mbps. 　　宽带城域网要求能够提供高传输速率和服务质量保证。宽带城域网必须具备IP地址分配能力，能够支持动态和静态地址分配，支持网络地址转换NAT功能。 第2章 中小型网络系统总体规划与设计方法 　　网络运行环境是指保障网络系统安全、可靠与正常运行所必需的基本设施与设备条件。它主要包括机房与电源两个部分。机房是放置核心路由器、交换机、服务器等核心设备的场所，同时也包括各个建筑物中放置路由器、交换机与布线设施的设备间、配线间等场所。关键的网络设备对供电条件的要求是很高的，必须保证由专用的UPS系统供电。支持信息系统的网络包括网络传输基础设施、网络设备两部分。网络操作系统利用网络通信设施所提供的数据传输功能，为高层网络用户提供共享资源管理服务，以及其他网络服务功能。主要包括网络性能分析，存储管理，网络状态监控。网络应用软件开发与运行环境包括网络数据库管理系统与网络软件开发工具。 　　在用户单位制定项目建设任务书之后，并且确定网络信息系统建设任务之后，项目承担单位的首要任务就是网络用户调查和网络工程需求分析。网络需求分析的目的是从实际出发，通过现场实地调研，收集第一手资料，对已经存在的网络系统或新建的网络系统有一个系统的认知，取得对整个工程的总体认识，确定总体目标和阶段性目标，为系统总体设计打下基础。需求分析是设计、建设与运行网络系统的关键。网络应用需求调查就是要明晰用户建网的目的、要求与应用。 　　在确定网络规模、布局与拓扑结构之前，还需要对网络结点地理位置分布情况进行调查。（先调查，后布局） 　　1、用户数量及分布的位置2、建筑物内部结构情况调查3、建筑物群情况调查 　　INTERNET/INTRANET服务主要包括：WEB服务、E-MAIL服务、FTP服务、IP电话服务、网络电视会议服务、电子商务服务、公共信息资源的在线查询服务。数据库服务包括：关系数据库管理系统、非结构化数据库管理系统、企业专用管理信息系统。网络基础服务系统包括：网络管理和服务软件，网络安全管理软件。 　　网络需求详细分析主要包括：网络总体需求分析、综合布线需求分析、网络可用性与可靠性分析、网络安全性需求，以及分析网络工程造价估算。 　　网络工程造价估算1、网络设备，如路由器、交换机、集线器、网卡。2、网络基础设施，如UPS电源、机房装修、双绞线与光纤等。3、远程通信线路与接入城域网的租用线路。4、服务器与客户端设备，如服务器群、网络打印机等。 　　5、系统集成费用、用户培训费用与系统维护费用。 　　大型和中型网络系统必须采用分层的设计思想，这是解决网络系统规模、结构和技术的复杂性的最有效方法。 　　一个利用新一代网络技术组建的大中型企业网、校园网或机关办公网基本上都采用了3层网络结构。其中，核心层网络用于连接服务器集群、各建筑物子网交换路由器，以及与城域网连接的出口；汇聚层网络用于将分布在不同位置的子网连接到核心层网络，实现路由汇聚的功能；接入层网络用于将终端用户计算机接入到网络之中。典型的系统的核心路由器与核心路由器、核心路由器与汇聚路由器直接使用具有冗余链路的光纤连接；汇聚路由器与接入路由器之间、接入路由器与用户计算机之间可以视情况而选择价格较低的非屏蔽双绞线UTP连接。是否需要分成3层组建的经验数据是：如果结点数为250-5000个，一般需要按3层结构来设计；如果结点数为100-500个，可以不必设计接入层网络，结点可直接通过汇聚层的路由器或交换机接入；如果结点数为5-250个，也可以不设计接入层网络与汇聚层网络。 　　核心层网络一般要承担整个网络流量的40%-60%目前应用于核心层网络的技术标准主要是GE/10GE,核心设备是高性能交换路由器，连接核心路由器的是具有冗余链路的光纤。 　　核心网络系统分层设计的另一个好处是可以方便地分配与规划带宽，有利于均衡负荷，提高网络效率。根据实际经验总结：层次之间的上联带宽与下一级带宽之比一般控制在1:20. 　　在网络设备的选取时，主干设备一定要留有一定的余量，注意系统的可扩展性。路由器一般是根据路由器背板交换能力来划分的。背板交换能力大于40Gbps的称做高端路由器。背板交换能力低于40Gbps的称做中低端路由器。高端路由器一般用作核心层的主干路由器，企业级路由器一般用于汇聚层的路由器，低端路由器一般用于接入层的接入路由器。 　　路由器的吞吐量涉及两个方面的内容：端口吞吐量与整机吞吐量。端口吞吐量是指路由器的具体一个端口的包转发能力，而整机吞吐量是指路由器整机的包转发能力。高速路由器一般要求长度为1518B的 IP包，延时要小于1ms. 　　路由器是通过路由表来决定包转发路径的。高速路由器应该能够支持至少25万条路由。 　　路由器的冗余表现在：接口冗余、电源冗余、系统板冗余、时钟板冗余、整机设备冗余等方面。 　　Internet通用服务器包括：DNS、E-MAIL、FTP、WWW以及远程通信服务器、代理服务器。 　　典型的高端路由器的可靠性与可用性指标应该达到：系统故障恢复时间小于30分钟。 　　交换机从应用规模分类，可以分为：企业级、部门级与工作组级交换机 　　一般的企业级交换机都是模块式交换机；部门级交换机可是是固定端口，也可以是模块式；工作级交换机是固定端口交换机。从应用规模上看，支持500个以上结点的大型应用可以选取企业级交换机；支持300个以下结点的中型应用要选取部门级交换机；支持100个结点以下小型应用要选取工作组级交换机。 　　背板是交换机输入端与输出端之间的物理通道。背板带宽越宽，交换机数据处理能力就越快，数据包转发延迟越小，性能越优越。全双工端口带宽的计算方法是：端口数X端口速率X2 　　VLAN的划分可以是基于端口的，也可以是基于MAC地址或IP地址的。 　　对于作为主干设备的交换机需要注意选择；是否每个端口都有独立的缓冲区，模块或端口是否设计有独立的输入、输出缓冲区，以及缓冲区的队列调度算法。 　　主要的网络管理协议与软件包括IBM NnetView、HP OPENVIEW、SNMP等。 　　非对等结构网络操作系统软件分为两部分，一部分运行在服务器上，另一部分运行在工作站上。硬盘服务器将共享的硬盘空间划分成多个虚拟盘体，虚拟盘体可以分为以下三个部分：专用盘体、公用盘体与共享盘体。 　　网络操作系统分为以下两部分：文件服务器与工作站软件。 　　Internet/Intranet通用服务器主要包括：DNS服务器、E-MAIL服务器、FTP服务器、WWW服务器，以及远程通信服务器、代理服务器等。基于复杂指令集CISC处理器的INTEL结构的PC服务器的优点：通用性好，配置简单，性能价格比高，第三方支持软件丰富，系统维护方便。基于精简指令集RISC结构处理器的服务器与相应的PC服务器相比，CPU处理能力能够提高50%-75%.集群计算技术可以大大提高服务器的可靠性、可用性与容灾能力。硬盘性能的参数包括：主轴转速、内部传输率、单碟容量、平均巡道时间与缓存。系统高可用性=MTBF / （MTBF+MTBR） 　　MTBF为平均无故障时间，MTBR为平均修复时间。 　　服务器选型的基本原则1、根据不同的应用特点选择服务器2、根据不同的行业特点选择服务器3、根据产品的成熟程度选择服务器。在INTERNET中，对网络的攻击可以分为两种基本类型，即服务攻击与非服务攻击。从黑客攻击的手段上看，又可以大致分为以下8种：系统入侵类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务类攻击、防火墙攻击、病毒类攻击、木马程序攻击与后门攻击。 　　服务攻击是指对为网络提供某种服务的服务器发起攻击，造成该服务器的“拒绝服务”,使网络工作不正常。TCP/IP缺乏认证、保密措施。 　　非服务攻击不针对某项具体应用服务，而是针对网络层等低层协议进行的。 　　网络服务是通过各种协议来完成的。目前保证协议安全性，有两种基本的方法：一种是用形式化方法来证明一个协议是安全的；另一种是设计者用经验来分析协议的安全性。形式化证明方法是人们所希望的，但一般的协议安全性也是不可判定的。网络协议的漏洞是当今INTERNET面临的一个严重的安全问题。黑客的攻击手段和方法多种多样，一般可以分为主动攻击和被动攻击。网络中的信息安全主要包括两个方面：信息存储安全与信息传输安全。 　　信息存储安全是指如何保证静态存储在联网计算机中的信息不会被未授权的网络用户非法使用。 　　信息传输安全是指如何保证信息在网络传输的过程中不被泄露与不被攻击。信息传输安全过程的安全威胁主要有：截获信息、窃听信息、篡改信息与伪造信息。保证网络系统中信息安全的主要技术是数据的加密与解密。 　　在密码学中，将源信息称为明文。将明文变换成密文的过程称为加密，而将密文经过逆变换恢复成明文的过程称为解密。 　　目前，全球出现的数万种病毒按基本类型可划分为6种，即引导型病毒、可执行文件病毒、宏病毒、混合病毒、特洛伊木马型病毒与INTERNET语言病毒。灰色软件包括间谍程序、广告程序、后门程序、下载程序、植入程序等 　　网络系统安全设计的原则 　　1、全局考虑的原则-整体安全性取决于最薄弱环节。2、整体设计的原则---网络系统安全设计包括预防、检测、反应与应急处理，因此网络系统安全必须包括3个机制：安全防护机制、安全检测机制与安全恢复机制。3、有效性与实用性的原则-网络安全与网络使用是矛盾的两个方面。4、等级性原则 5、自主性与可控性原则6、安全有价原则-网络安全系统的造价是与系统的规模、复杂程序有关。 第3章 IP地址规划设计技术 　　一、IPV4标准分类的IP地址： 10.0.0.1 A:0 B:10 C:110 　　IP 地址设计的最初目的是希望每个IP地址都能惟一地、确定地识别一个网络与一台主机。 　　常用的A类B类和C类IP地址采用包括“网络号-主机号”的两级的层次结构。A类地址的网络号长度为7bit.D类地址为组播地址（224-239） 　　二、划分子网的三级地址结构：网络号-子网号-主机号。 　　研究划分IP 地址新技术的动力实际上有两个：一是技术的需要，二是IP地址的商业价值。B类地址的网络长度为14位，网络号总数为16384,主机号为16位，每个B类网络可以有65536个主机号。C类地址主机号为254个。 　　三、特殊地址形式特殊的IP地址包括：直接广播地址、受限广播地址、“这个网络上特定主机”地址与回送地址。 　　1、直接广播地址：如201.161.20.255 主机号为全1。 　　2、受限广播地址：如255.255.255.255。 　　3、“这个网络上的特定主机”地址：网络号为全0,主机号为确定的值。如0.0.0.21。 　　4、回送地址：如127.0.0.0. 　　四、网络地址规划需要按以下6步进行： 　　1、判断用户对网络与主机数的需求。 　　2、计算满足用户需求的基本网络地址结构。 　　3、计算地址掩码。 　　4、计算网络地址。 　　5、计算网络广播地址。 　　6、计算网络的主机地址。 　　五、子网地址规划需要回答以下5个基本问题： 　　1、这个被选定的子网掩码可以产生多少个子网。2、每个子网内部可以有多少个合法的子网号。3、这些合法的主机地址是什么？4、每个子网的广播地址是什么？5、每个子网内部合法的网络号是什么？ 　　六、规划内部网络地址系统的基本原则1、简洁2、便于系统的扩展与管理3、有效的路由 　　七、IPV6地址的主要特征IPV6的主要特征可总结为：新的协议格式、巨大的地址空间、有效的分级寻址和路由结构、地址自动配置、内置的安全机制、更好地支持QOS服务。 　　八、IPV6地址分类 21DA:0000:0000:0000:02AA:000F:FE08:9C5A. 　　IPV6地址分为：单播地址、组播地址、多播地址与特殊地址等基本四类。 　　IPV4地址采用点分十进制表示法；IPV6采用冒号十六进制表示法。 　　九、IPV6地址表示时需要注意的问题 　　1、在使用零压缩法时，不能把一个位段内部的有效0也压缩掉。2、：：双冒号在一个地址中只能出现一次。 　　3、在地址FF02:3::5中有3个位段，然后用8减去这个数，再将结果乘以16,即（8-3）X1