网络管理与维护期末复习

网络工程基础+网络知识回顾

网络工程的三大建设阶段：①网络工程规划与设计阶段，主要工作是对用户建设网络系统进行详细调研，在此基础上规划设计网络系统建设技术方案。技术方案完成后交由专家论证，广泛征求用户意见

②网络工程测试与实施阶段：主要对网络系统建设工程现场进行实地勘测，根据网络建设技术方案制定工程实施方案

③网络工程竣工（验收与培训）阶段：主要工作是对建成的网络系统进行试运行和调试，对用户和相关人员进行技术培训

网络工程组织机构涉及的三方：①工程建设方（网络工程的建设与投资）、工程承建方（承担网络工程建设任务）、工程监理方（提供网络工程建设监理服务的机构）

---

提出网络工程建设项目和详细需求，对工程项目进行可行性论证
组织工程项目建设经费，编制工程项目招标书
组织或委托招标公司进行工程项目招标，签订工程建设合同
验收产品、协助施工、工程质量监督，组织工程竣工验收
组织管理和技术人员参加乙方组织的培训，对网络系统进行试运行

---

根据甲方的招标书，编制投标书，若中标，签订工程合同
进行详细的用户需求调查进行网络工程规划，设计制订网络工程实施方案

网络产品选型，网络系统集成
对系统进行测试,系统试运行准备工程竣工验收
为甲方培训网络管理人员

---

网络建设项目可行性论证帮助用户做好需求分析。

为用户控制工程进度。帮助用户控制工程质量。
帮助用户做好网络的各项测试工作。协同甲方和乙方做好网络工程竣工验收。

---

远端两方通信的过程

OSI/RM七层网络体系架构分为几层？每层的作用？每层对应的设备？各种设备对应的功能？

应用层：处理网络应用

表示层：数据表示

会话层：主机间通信

传输层：端到端的连接

网络层：寻址和最短路径（路由器，防火墙，三层交换机）

数据链路层：介质访问（接入）（网桥、交换机）

物理层：二进制传输（集线器，中继器）

中继器：在比特级别对信号进行放大和重定时

集线器：多接口中继器，实现信号放大和数据转发

网桥，交换机：网桥是连接一个局域网到另一个局域网的桥梁，作用是扩展网络和通信手段；交换机就是多端口的交换机；网桥对数据帧的转发决策有：丢弃，转发，扩散，广播

源地址学习：每个操作都要记录下发送端的MAC地址，以备其他主机的访问

交换机的转发策略与网桥一样，交换机的工作原理与网桥一样。

路由器：为经过路由器的每个IP数据包寻找一条最佳传输路径，并将该数据有效地传送到目的站点

子网划分CIDR

路由器收到一个目的IP地址，应该怎么做？

将mudiIP地址与路由表项的各个网络地址的子网掩码与运算，得到网络地址。将网络地址与该条目的网络地址进行匹配，不匹配就匹配下一条条目

无线网络设备包括

无线网卡

无线接入点

无线路由器

无线天线

无线局域网的拓扑结构？怎么体现它们之间的协同关系？

常见的应用服务器有哪几种，各自实现什么功能

交换基础

交换机的接口类型

        Console口，光纤接口，AUI接口，RJ45接口。BNC接口

交换机的互连方式

        级联：交换机之间通过以太网接口连接起来，单链路带宽瓶颈，延时较大

        堆叠：通过堆叠线缆将交换机的背板连接起来，扩大级联带宽，解决带宽瓶颈，延时小，共同维持一张MAC地址表

        一般而言，较远距离用级联降低成本。小范围的交换机之间使用堆叠

 交换机的管理方式       

        带外管理：PC与交换机直接相连（初始化管理）

        带内管理：通过Telnet对交换机进行远程管理，通过Web对交换机进行远程管理，通过SNMP工作站对交换机进行远程管理

配置模式

        EXEC模式：①用户模式（简单测试命令和交换机信息的查看）②特权模式（查看、管理交换机配置信息）

        配置模式：①全局配置模式（配置交换机的整体参数）、②接口配置模式（配置交换机的接口参数）

        配置特权模式的密码：enable secret level N 0 030704或enable password 030704

配置文件的管理         

        存储器：①RAM，保存路由器的运行参数；②ROM，出厂前已固化，保存路由器的基本信息；③NVRAM，可擦写存储器，断电后不易丢失；④Flash，断电后不易丢失保存路由器的操作系统

企业中的交换技术要求

        接入层采用二层交换机，并且要分隔广播域（VLAN）

        接入层交换机分别通过2条上行链路连接到2台核心交换机。由三层交换机实现VLAN间路由（双核心，VLAN间路由）

        2台核心交换机之间也采用双链路（端口聚合）

        接入层交换机的ACCESS端口实现对允许连接数量的控制，提高网络的安全性（端口安全）

        提高整个网络的可靠性，避免环路造成的广播风暴（生成树）

、

广播风暴

        危害：导致网络带宽被耗尽，无法正常通信；导致交换机“瘫痪”或“假死”

        VLAN：隔离广播域。实现相同VLAN间可以通信，而不同VLAN间的主机不能通信

        VLAN的逻辑划分方法：按照职能部门、按照地理位置

        

port-VLAN基于端口划分VLAN（适用于隔离广播域）

        一个端口只属于一个VLAN，默认情况下所有端口都在VLAN1里。

        配置思路：先进入端口，将端口设置为access模式，然后将端口划分进想要划分的VLAN

TagVLAN（适用于跨交换机相同VLAN通信）

        特点：传输多个VLAN的信息，要求同一VLAN跨越不同的交换机，要求Trunk至少要100M

        802.1Q工作特点：数据帧传输对用户是完全透明的，Trunk上默认会转发交换机上存在的所有VLAN的数据；交换机会在Trunk口转发数据前给数据打上Tag的标签，到达另一交换机后再剥去次标签

        配置思路：进入端口，设置模式为Trunk模式

VLAN间路由

        实现方式：三层交换机、单臂路由

        三层交换机：工作在网络层，目的是加快大型局域网内部的数据交换

        三层交换机与路由器的区别：三层交换机实现一次路由，多次转发。对于数据包转发等规律性的过程由硬件完成，而路由信息更新，路由表维护等功能由软件实现；三层交换机是以太网那个三层交换机，只用于局域网内的高速交换，而路由器可用于广播域的数据交换

        两者的应用场合：路由器应用于广域网的数据交换；三层交换机用于内部局域网之间的流量转发

        三层交换机与路由器的相同点：都能转发数据包，从一个网络端口传输到另一个网络端口6

 怎么理解一次路由多次转发

        位于VLAN 1 的PC向位于VLAN 2的PC发送一个数据，由于设置了TagVLAN，当数据包到达三层交换机的时候，会携带VLAN 1的标签。三层交换机查看源MAC地址有没有在自己表中，没有就记录学习到表中（接口---MAC—VLAN 1），再查看目的MAC地址，发现不是在同一个广播域中，将数据流中第一个数据包交给三层引擎进行处理，三层引擎查看目的IP，进行路由寻址，完成后重新进行二层封装，并通过对应接口转发，当VLAN 2的PC回应三层交换机时，此时在三层交换机形成的三层交换条目表：0/1 1.1 11-11 vlan 1、0/2 2.1 22-11 vlan 2 下一次当vlan 1 的这台PC再向VLAN 2的那台PC发送数据时，直接进行二层转发，不会经过路由，称为一次路由多次交换。

三层交换机的SVI：即交换机的虚拟接口，实现路由的每一个VLAN都要创建一个SVI，从而形成三层交换机的直连路由。三层交换机上的每个LVAN的SVI就是每个VLAN中主机的默认网关地址

三层交换机实现VLAN间路由的配置思路：①在二层交换机与三层交换机创建需要进行VLAN间路由的VLAN，并在二层交换机中将不同的端口划入不同的VLAN；②在三层交换机中，为每个VLAN配置SVI形成三层交换机的路由表项；③配置与二层交换机的直连端口为Trunk模式，同时配置二层交换机与三层交换机的直连端口为Trunk模式

单臂路由实现VLAN间路由的配置思路：①在二层交换机中创建需要VLAN间路由的VLAN，同时将对应的端口划入VLAN；②开启路由器接口，进入子接口并配置802.1q协议（对子接口进行描述，封装802.1q协议，配置子接口的IP地址）；③在交换机中，将与路由器直连的端口配置为Trunk口

链路冗余的缺点：造成网络环路，广播风暴，MAC地址漂移等现象

生成树协议：通过生成树算法形成一个没有环路的网络；作用：提供冗余链路，解决网络环路问题

        操作步骤：①选择根交换机（MAC地址+优先级）最小

        ②选择根端口（RPC最小，上行交换机BID最小，上行交换机端口ID最小）

        ③选择指派端口（每条链路选择一个指派端口，根交换机上的所有端口都是指派端口，根路径成本最低，端口所在的交换机的BID最小，上行交换机的BID）

        ④根端口和指派端口进入Forwarding状态，其他不在生成树的端口都处于Discading状态

        生成树端口的四种状态：①阻塞态，不学习MAC地址，不转发数据帧

        ②监听，不学习MAC地址，不转发数据帧，但会转发BPDU数据帧

        ③学习，接收BPDU，学习MAC地址，不转发数据。帧

        ④转发，正常转发数据帧

          RSTP：快速收敛

        MSTP：能够快速收敛，也能解RSTP中不同VLAN必须运行在同一颗生成树上的问题，通过多颗生成树实现负载均衡

端口聚合：将交换机的多个端口在物理上连接起来，逻辑上绑定起来；作用：提供冗余链路的同时，实现负载分担，而不必阻塞其中部分端口

        配置：①组端口速度一致

        ②组端口属于同一个VLAN

        ③使用传输介质相同

        ④组端口必须属于同一层次，且与AP在同一层次

生成树和端口聚合都提供了冗余，生成树多用于解决二层链路环路，端口聚合多用于上联（汇聚层到核心层，增加冗余同时增大带宽；或者应用双核心的时候采用端口聚合）

端口安全

        应用场合：①防止端口私接主机，造成设备瘫痪；②防止ARP欺骗

        基本功能：限制交换机端口的最大连接数，端口的安全地址绑定

        安全违例：①安全端口记得安全地址数目达到允许的最大个数；②安全端口收到一个源地址不属于端口上的安全地址的包

        安全违例的处理：①Protect丢弃；②Restrict：发送Trap通知；③关闭端口并发送Trap通知

        端口安全只能在access端口上配置

        

路由基础

路由器的工作原理：将数据报转发到正确的目的地，并在转发过程选择最优路径；①查表，寻找目的网络；②根据目的网络地址的对应端口转发

路由表的生成方式：①直连路由，给路由器的接口上配置IP地址就形成了直连路由；②静态路由，由网络管理员在路由器上手工添加路由信息来实现路由；③动态路由，根据网络结构或流量的变化，路由协议会自动的调整路由信息

在DCE端必须配置时钟频率

路由器的管理方式：①带外管理；②带内管理（Telnet，Web，SNMP）

静态路由的缺陷：①网络管理员难以了解整个网络的拓扑结构；②网络的拓扑结构和链路状态发生改变时不具有自适应性

直连路由、静态路由、动态路由的使用场合

动态路由协议

        RIP：距离距离矢量算法，采用跳数来衡量到达目的网络的路由距离，距离16则被视为不可达；收敛速度慢，可能存在路由环路周期性发送全部路由信息，占用大量带宽；只适用于小型网络

        OSPF：链路状态路由协议，以路径开销最短作为最优路径凭据。组播发送路由信息，路由收敛速度快，采用SPF算法避免路由环路，支持变长子网掩码，可适用于大型复杂网络

路由器接口IP地址配置原则

        ①物理网络端口要有一个IP地址        

        ②相邻路由器的相邻端口的IP地址必须在同一网络上        

        ③同一路由器的不同端口的IP地址必须在不同IP网段上

        ④所有路由器的两个非相邻端口必须都不在同一网段上

NAT技术

        解决什么问题：地址耗尽问题（公有地址越来越少）

        静态NAPT/NAT：内网向外网提供信息服务的主机或服务器，需要永久的一对一的地址映射关系

        动态NAPT/NAT：内网主机只需要访问外网服务，只需要临时的一对一的IP地址映射关系

        NAT与NAPT的区别：NAT提供一对一的转换，将内部地址池的一个私有地址转换成外部地址池中的一个公有地址；NAPT是多对一的转换，将内部地址池的多个私有地址+不同端口号 映射为外部网络的一个IP地址+不同端口号

ACL技术

        解决什么问题：网络安全和控制访问的问题；怎么解决：参考工作原理

        ACL的作用：①内网部署安全策略，保证内网安全权限的资源访问；②内网访问外网时，进行安全的数据过滤；③防止常见病毒，木马对用户的破坏

        ACL工作原理：当一个数据包进入路由器的某个接口时，路由器首先检查是否存在记录，不存在直接丢弃，否则检查入栈接口是否应用了ACL，如果有就按照ACL进行匹配，成功后执行转发或禁止转发；或检查出栈接口是否应用了ACL;如果都没有应用就直接转出

        标准ACL：根据源IP地址规则定义，编号1-99

        扩展ACL：根据源目IP，源目端口，协议，时间等规则定义

        在部署标准ACL时，需要将其放置到距离目标近的位置，否则可能会阻断正常的通信。（即到目标的上行设备做ACL）；一个端口在一个方向上只能应用一组ACL

路由表项

        路由表项的来源 目的网络地址、下一跳路由器端口地址、发送端口号、距离

        管理距离——值路由的可信度，用来选择哪个IP路由；越低学习到的路由就越可信

        度量值——路由的可到达性，决定路由协议的优先级

路由重分布

        指不同路由协议之间交换路由转发信息的技术，执行路由重分布的路由器成为边界路由器

        重分布原则：位于路由选择表中才能被重分布

策略路由

        解决什么问题

        应用场景：双出口上网

网络安全

常见的网络安全技术

        防火墙技术：安全隔离技术，通过在两个安全策略不同的网络之间设置防火墙来控制两个网络之间的互访行为

        入侵检测技术：是指通过对网络信息流的提取和分析，发现非正常访问模式的技术。主要有基于用户行为模式、系统行为模式和入侵特征的检测

        虚拟专网技术：VPN彩印隧道技术，将内部网络的数据加密封装后，通过虚拟的公网隧道进行传输

        漏洞扫描技术：漏洞扫描是针对特定信息网络中存在的漏洞进行的

        防病毒技术

        上网行为管理技术

 防火墙的功能：①过滤进出网络的数据包；②管理进出网络的访问行为；③封堵某些禁止的访问行为；④记录通过防火墙的信息内容和活动；⑤对网络攻击进行检测和告警

防火墙的基本技术：①包过滤技术，在网络层对数据包实施有选择地通过。静态包过滤技术是根据定义好的过滤规则审查每个数据包，以便确定是否与每一条包过滤规则匹配；动态包过滤技术采用动态设置包过滤规则，避免了静态包过滤所具有的问题；主要应用在路由设备，工作站和屏蔽路由器上

②应用网关代理技术，针对特别的网络应用服务协议过滤，并能够对数据包进行分析形成报告；自适应代理技术结合了应用代理技术的安全性和包过滤技术的高速度

③状态检测技术，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态；状态检测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态

防火墙的局限性：①会限制有用的网络服务；②无法防护内部用户的攻击；③Internet防火墙无法防范通过防火墙以外的其他途径的攻击；④Internet防火墙也不能完全防止传送已感染病毒的软件或文件；⑤防火墙无法防范数据驱动型的攻击；⑥不能防范新的网络安全问题

防火墙的体系结构：①屏蔽路由器体系结构，可以由包过滤路由器实现，也可以用主机来实现

②双宿主机体系结构，由一台装有两块网卡的堡垒主机所做的防火墙实现。双宿主机不能转发任何TCP/IP流量，所以它可以彻底堵塞住内部和外部不可信网络间的任何IP流量，堡垒主机上运行着防火墙软件，可以控制数据包从一个网络流向另一个网络，这样内部网络中的计算机就可以访问外部网络

③屏蔽主机体系结构，由同时部署的包过滤路由器和堡垒主机组成。其中包过滤路由器作为第一道防线，堡垒主机作为第二道防线。其中根据堡垒主机的连接方式可以分为双连点的堡垒主机，具有两个网络接口（一个连接内网，一个连接包过滤路由器），单连点的堡垒主机（只有一个网络接口）

④屏蔽子网体系结构，使用两个包过滤路由器和一个堡垒主机在内部网络和外部网络之间建立“非军事区”DMZ;DMZ称为屏蔽子网，将内部网络和外部网络分开，内部网络和外部网络都能够访问DMZ,但禁止它们穿过DMZ通信，从而迫使源于内网主机的业务流和源于外网主机的业务流都必须经过堡垒主机

防火墙的工作模式：①路由模式，防火墙以第三层对外连接，则认为防火墙工作在路由模式下，需要为每个接口配置IP地址；

路由模式下的缺陷：①各网口所配置的网段必须不一样，否则无法通信；②在形成的网络添加防火墙需要对网络拓扑进行修改，设备配置也需要修改

②透明模式，防火墙以第二层对外连接，用户意识不到防火墙的存在，可以将其加入已经存在的网络中，可以不用修改拓扑结构和设备配置

③混合模式，同时具有工作在路由模式和透明模式的接口，即某些接口具有IP地址。则防火墙工作在·混合模式下；配置IP地址的接口所在的安全区域是三层接口，接口上启动VRRP双击热备；二层区域只需要保证相关接口与连接的外部用户同属一个子网

防护墙的安全策略设计原则：①除非明确允许，否则将禁止某种服务；②除非明确禁止，否则允许某种服务

---

引入入侵检测的目的：无法防范内部用户的攻击，Internet防火墙无法防范通过防火墙以外的其他途径的攻击；Internet防火墙也不能完全防止传送已感染病毒的软件或文件；

入侵检测系统的功能：①检测并分析用户和系统的活动，核查系统配置和漏洞

②评估关键资源和数据文件的完整性；③识别已知的攻击行为；④统计分析异常行为；⑤操作系统日志管理

IDS的类型：①主机型入侵检测系统HIDS，检测的主要是主机系统和系统本地用户，检测原理是根据主机的审计数据和系统日志发现可疑事件

②网络型入侵检测系统NIDS，通过分析主机之间网线上传输的信息来工作。常常利用“混杂模式”来监视和分析，可以检测到主机型检测系统检测不到的攻击行为；

③混合入侵检测系统，结合上述两种

IDS的两种检测技术：①基于误用的入侵检测技术，误用检测是假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。若匹配，则认为是“入侵”行为；

误用检测技术可以将现有的入侵方法检查出来，但对新的入侵方法无能为力，难点在于如何设计入侵活动的特征。

②基于异常的入侵检测技术，假设入侵者活动异常于正常主体的活动，建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当其违反统计规律时就认为该活动可能是“入侵”行为；异常检测的优点之一是因具有抽象系统正常行为从而具有检测系统异常行为的能力，能够检测新的入侵行为

IDS的部署方式：①单核心部署，连接核心交换机，时时获得网络流量，检测外网针对内网的攻击

②双核心部署，双线路冗余备份，检测外网对内网的攻击，检测带宽滥用，检测DoS攻击，检测内网蠕虫病毒传播

③双网口备份模式部署，检测外网针对内网的攻击，检测带宽滥用，检测内网蠕虫病毒传播

④汇聚层检测部署，检测内网的攻击，检测内网的DoS,检测内网病毒传播

---

     VPN的安全技术

        隧道技术，在公用网络上建立一条数据隧道，让数据包通过这条隧道传输

        加密技术，包括加密。解密和密钥管理技术

        认证技术，最常用的是使用者名称与密码或卡片式认证方式

        QoS技术，向用户提供端到端的服务质量保证

VPM的应用类型

        ①Access VPN，称为拨号VPN，企业员工或企业分支通过公网远程访问企业内部网络而构建的虚拟网

        ②Intranet VPN，企业内部与分支机构之间通过公网构建的虚拟网

        ③Extranet VPN，外联网

---

上网行为管理

        上网行为管理系统：针对单位与企业员工在工作时间从事非工作上网行为，进行的软件系统或硬件产品。

       怎么对员工进行管理的：通过上网行为管理系统审计记录员工上网行为，同时建立管理策略阻断员工违规上网行为，方法如下①封锁特定应用的网络服务器IP，达到应用无法连接到服务器的效果实现行为封锁；②通过协议分析识别上网行为身份，进行特定协议的拦截，实现行为封锁

        流量审计是怎么进行的：上网行为管理系统拥有上网行为审计和网络安全防护的双重应用功能，借助共享公共框架的系统平台可以完成行为审计，流量审计

        部署方式：网关模式部署，网桥模式部署，旁路模式部署

服务器技术

        常用的网络服务器

        ①DNS服务器；②Web服务器；③DHCP服务器；④FTP服务器；⑤E-mail服务器；⑥数据库服务器；⑦代理服务器

        DNS服务器：通过数据库记录主机名与IP地址的对应关系，采用C/S模式为客户机提供IP地址解析服务；当网络中的计算机想要向其他主机通信时候，首先用域名向DNS服务器查询此主机的IP地址，才能获取网络资源

        Web服务器：为用户提供位于网络中的某种信息资源

        DHCP服务器：提供自动分配IP地址并传送相关参数

        FTP服务器：实现FTP服务

        E-mail服务器：承担电子邮件传递，存储，查询的服务器

        数据库服务器：为用户的某一方面应用提供高速存储，数据查询，数据更新等操作

        代理服务器：代理网络用户去获得网络信息，是网络信息的中转站，位于浏览器和Web服务器之间

        各种服务器的部署思路

        

---

网络规划设计

网络规划与设计的原则

        ①开放性和标准化原则

        ②先进性和实用性原则

        ③可靠性和可扩展性原则

        ④安全性和客观理性原则

        ⑤灵活性和可维护性原则

        ⑥经济性和效益性原则

网络系统设计包括

        ①网络类型与规模

        ②网络拓扑结构

        ③网络互连模式

        ④IP地址分配方案

        网络冗余

        网络运行实用技术

层次化思想

        接入层：是最终用户与网络的接口，主要实现带宽共享，交换带宽，MAC层过滤，网段划分

        汇聚层：把大量来自接入层的访问路径进行汇聚和集中，实现通信量的收敛，主要实现地址的聚集，部门和工作组的接入，VALN间的通信，传输介质的转换以及安全控制；汇聚层交换机与核心层交换机之间采用冗余方式，与接入层交换机通过级联

        核心层：承担所有流量，应该快速交换数据分组而不应该进行具体的数据分组的运算