网络工程师教材第6章

第六章：交流机及其设置装备摆设局域网交流机根基功能：(1) 成立和维护一个暗示MAC 地址与交流机端口对应关系的交流表(2) 发送结点和领受结点之间成立一条虚毗连(3) 完成数据帧的转发或过滤显示交流机呼吁：大中型交流机：show cam dunamic 小型交流机：show mac-address-table交流机的交流结构(1) 软件执行交流结构(把数据帧由串行代码转换成并行代码)特点：交流速度慢，交流机堆叠坚苦，交流机端口较多导致机能下降(2) 矩阵交流结构(完全由硬件完成，由输入，输出，交流矩阵和节制措置) 特点：交流速度快，延时小，结构紧凑，矩阵交流实现相对简单，不易扩展，晦气于打点(3) 总线交流结构(时分多路复用手艺)特点：机能好，便于堆叠扩展，易实现帧广播和监控打点，易实现多个输入对一个输出的帧传送的特点。

应用普遍(4) 共享存储器交流结构(无背板)特点：结构简单，易实现适合小交流机采用交流机有静态交流和动态交流两种体例，动态交流模式有存储转发和纵贯，纵贯交流模式又有快速转发交流和碎片丢弃交流总结说有3 模式：快速转发(凡是也称纵贯交流模式，不供给检错纠错，适合小型交流机采用)碎片丢失踪(又称无分段模式，提前过滤冲突碎片，提高宽带操作率)存储转发(延时大，速度慢，靠得住性高，可检错纠错，最为普遍应用)堆叠交流机：2-10gbps 6-8 个堆叠数目有达16 个的箱体模块化交流机：2-20 个VLAN 手艺特征：工作在数据链路层每个VLAN 都是一个自力的逻辑网段，一个自力的广播域VLAN 之间不能直接通信，必需经由过程第三层路由功能完成VLAN 标识，vlan id 用12 位bit 暗示，撑持4096 个vlan ;1-1005 是尺度规模，其中1-1000 是用于以太网交流机之间实现trunk 功能，必需遵守不异的vlan 和谈，如思科isl 划分vlan(1) 基于端口划分(静态划分，最通用)(2) 基于mac 地址(动态的划分)(3) 第三层和谈类型或地址交流机设置装备摆设duplex auto/full/half 设置装备摆设端口通信体例speed 10/100 speed auto 端口授输速度VTP 实现VLAN 的单一打点Switch(config)#vtp domain todd 设置域名Switch(config)#vtp password aaaSwitch(config)#vtp mode client /server/transparent虚拟局域网VLAN查看VLAN 呼吁Switch#show vlan建树VLAN Switch#config t Switch(config)#vlan 2Switch(config-vlan)#exSwitch(config)#interface range fastEthernet 0/11 - 24Switch(config-if-range)#switchport access vlan 2成立，改削：vlan 1000 name vlan1000删除：no vlan 1000vlan interface f0/1switchport access vlan 1000Switch(config)#interface vlan 1Switch(config-if)#ip address 192.168.0.100 255.255.255.0 Switch(config-if)#no shSwitch(config-if)#exitSwitch(config)#ip default-gateway 192.168.0.1Switch(config)#enable password aaaSwitch(config)#line vty 0 4Switch(config)#line vty 0 15Switch(config-line)#password aaaSwitch(config-line)#loginVLAN TrunkSwitch(config-if)#switchport mode trunkRouter(config)#interface gigabitEthernet 6/0Router(config-if)#no shRouter(config)#interface gigabitEthernet 6/0.1Router(config-subif)#encapsulation dot1Q 1Router(config-subif)#ip address 192.168.0.1 255.255.255.0 带路由模块的交流机实现VLAN 间路由两台交流机设置装备摆设trunk：Conf tInterface f0/0Switchport mode trunkSwitchport trunk encapsulation dot1q/islSwitchport trunk allowed vlan 1,4Switchport trunk allowed vlan 1-4Switchport trunk allowed except vlan 1-2生成树(STP)Spanning-tree vlan 2No spanning-tree vlan 2 打开与封锁树Spanning-tree vlan 2 root primary 设置主root根网桥Spanning-tree vlan 3 root secondary 设置备份root 备份网桥Spanning-tree vlan 3 priority 8192 设置优先级(0，4096，8192.。

计算机四级网络工程师教材引言计算机网络是当今社会中不可或缺的一部分，它连接了世界各地的计算机和设备，使得人与人、人与信息之间可以实时交流和共享。

作为计算机专业的学生，学习计算机网络工程成为我们的必修课程之一。

本教材旨在为计算机四级网络工程师提供所需的知识和技能，使他们能够设计、配置和维护各种规模的网络环境。

第一章：计算机网络概述在本章中，我们将介绍计算机网络的基本概念和主要组成部分。

我们将探讨网络的分类、拓扑结构以及常用的网络协议。

此外，我们还会讨论网络安全和隐私保护的重要性，并介绍一些常见的网络安全攻击类型和防御措施。

第二章：物理层与数据链路层在这一章中，我们将深入了解计算机网络的物理层和数据链路层。

我们将讨论物理层的基本原理和常用的调制解调器技术。

接着，我们将深入研究数据链路层的功能和协议，包括帧同步、差错检测和纠错码等。

我们还将介绍以太网和无线局域网，讨论它们的工作原理和配置技术。

第三章：网络层和传输层在本章中，我们将研究计算机网络的网络层和传输层。

我们将详细介绍IP协议和路由选择算法，讨论网络层的寻址和分组转发技术。

接着，我们将深入研究传输层的功能和协议，包括TCP和UDP。

我们还会介绍一些重要的网络服务，如网络地址转换（NAT）和网络负载平衡等。

第四章：应用层协议在这一章中，我们将学习计算机网络的应用层协议。

我们将详细介绍HTTP、FTP、SMTP和DNS等常见的应用层协议。

我们将讨论这些协议的功能和工作原理，并介绍一些常见的网络应用程序和服务。

第五章：网络管理和安全在本章中，我们将学习网络管理和安全的基础知识。

我们将介绍网络管理的概念和任务，包括配置管理、性能管理和故障管理等。

接着，我们将深入研究网络安全的重要性和挑战，讨论密码学、防火墙和入侵检测系统等常见的安全技术和工具。

第六章：网络设计与实施在这一章中，我们将学习网络设计和实施的基本原则和方法。

我们将介绍网络设计的常见步骤和流程，包括需求分析、拓扑规划和设备选择等。

第6章广域网基本要求：了解广域网的特点、服务类型及实现方式；了解常见的广域网设备；了解若干典型的广域网协议和技术，包括PPP、ISDN、ATM、帧中继和SDH技术等。

本章难点：无教学时数与实验：３－４学时，无实验。

上一章我们学习了关于局域网的知识，本章将介绍有关广域网技术的知识。

广域网是一个地理覆盖范围超过局域网的数据通信网络。

如果说局域网技术主要是为实现共享资源这个目标而服务，那么广域网则主要是为了实现广大范围内的远距离数据通信，因此广域网在网络特性和技术实现上与局域网存在明显的差异。

6.１广域网概述6.1.1 广域网的特点与局域网相比，广域网的特点非常明显。

首先是广域网的地理覆盖范围至少在上百公里以上，远远超出局域网通常为几公里到几十公里的小覆盖范围；其次，如前所述，局域网主要是为了实现小范围内的资源共享而设计的，而广域网则主要用于互连广泛地理范围内的局域网；第三，局域网通常采用基带传输方式，而广域网为了实现远距离通信通常要采用载波形式的频带传输或光传输。

第四，与局域网的私有性不同，广域网通常是由公共通信部门来建设和管理的，他们利用各自的广域网资源向用户提供收费的广域网数据传输服务，所以其又被称为网络服务提供商，用户如需要此类服务需要向广域网的服务提供商提出申请；第五，在网络拓扑结构上，广域网更多的采用网状拓扑，其原因在于广域网由于其地理覆盖范围广，因此网络中两个节点在进行通信时，数据一般要经过较长的通信线路和较多的中间节点，这样以来中间节点设备的处理速度、线路的质量以及传输环境的噪声都会影响广域网的可靠性，采用基于网状拓扑的网络结构，可以大大提高广域网链路的容错性。

6.1.2 广域网服务的实现模型当用户向服务提供商申请广域网服务时，需要购买一些连接广域网所需的基本设备，图6.1给出了实现广域网服务的一般模型，图中相关设备和术语的说明如下：z用户端设备CPE(customer premises equipment)：物理上放置在用户一侧的设备，包括属于用户的设备或服务提供商放置在用户侧的设备。

四级网络工程师计算机网络部分第六章知识点第6章网络管理与网络安全6.1 网络管理1.2个任务：网络运行状态监测与控制2.目的：有效、可靠、安全、经济(、开放、综合)地服务3.对象：硬件、软件资源4.网络管理的5个功能：配置管理：建立故障管理：任务:发现和排除网络故障；包括：障碍管理、故障恢复、预防保障；过程：检测故障、隔离故障、纠正故障性能管理：维护网络质量与运营效率，包括:性能监测、性能分析、性能管理控制、性能数据库维护、启动故障管理系统计费管理：记录资源使用，控制与监测费用和代价，并估算安全管理：系统、数据、业务5.网络管理者—网管代理模型：通信方式----管理操作、事件通知管理模式----集中式、分布式网络管理6.简单网络管理协议SNMP模型组成：主从关系、收集数据方法:轮询、基于中断、陷入制导轮询管理者、代理、SNMP(代理协议)、MIB(在被关节点内部)7.公共管理信息协议CMIP管理：联系控制协议ACP操作与事件报告：远程操作协议ROP传输的是：协议数据单元PDU8.SNMP与CMIP的特点：共同点----应用层协议、均采用管理者代理模型不同点：SNMP用轮询监控、协议简单(实现、理解、排错)、安全性差CMIP用委托监控、实时性强、安全性好协议复杂、代理负荷重6.2 信息安全技术概述1.信息安全的概念及目标：概念----信息网络的硬件、软件及其系统中的数据受到保护目标----真实、完整、保密、可用、不可抵赖、可控制、可审查2.策略：先进安全技术、严格安全管理、严格法律法规3.安全准则(可信任计算机标准评估准则TCSEC)：由美国国防部国家计算机安全中心NCSC制定分四类7级，由D(1)、C(2)、B(3)至A(1)安全性逐步增强4.常见OS符合那个级别的安全要求：D1----Dos、Win95C2----Windows NT、Netware、Unix、Linux5.我国GB安全准则：自主保护级---->不危害国家安全、社会秩序、经济建设、公共利益指导保护级---->造成一定损害监督保护级---->造成较大损害强制保护级---->造成严重损害专控保护级---->造成特别严重损害6.3 网络安全问题与安全策略1.信息固有属性：传播、共享、自增值2.网络安全的概念、要素和目的：概念----网络系统的部件、程序、数据的安全性，它通过网络信息存储、传输和使用过程体现目的----信息存贮安全、信息传输安全3.常见的安全威胁及其影响的安全要素：监听、信息泄露---->保密性伪装、假冒---->真实性篡改---->完整性重放---->可控性DOS---->可用性否认---->防抵赖措施:社会法律和教育、技术、审计与管理4.OSI安全框架由国际电信联盟(ITU-T)制定，关注安全攻击、安全机制、安全服务5.网络攻击的分类：被动攻击----窃听与检测，有:信息内容泄露、流量分析难发现、可预防、加密，不影响系统资源主动攻击----伪装、消息篡改、重放、拒绝服务DoS、分布式拒绝服务DDoS易检测、难预防从网络高层划分：服务攻击----针对特定的网络服务(Mail Bomb)非服务攻击----针对网络底层协议(NetXRay)利用协议或操作系统漏洞实现，更为隐蔽，常被忽略6.安全机制X.800使系统免受侦听、组织安全攻击机恢复系统的体制7.安全服务7.4 加密技术1.密码编码学独立特征：转换类型----代换、置换(易位)密钥个数----双方相同(对称、单密钥、传统)双方不同(非对称、双钥、公钥)明文处理方法----分组(广泛)、流(序列)攻击密码体制：密码分析学、穷举攻击2.代换和置换(栅栏技术)算法基本原理代换:Caesar密码、单表代换密码、playfair密码、Hill密码、多表代换密码、一次一密一般来说，加密算法起码要经受得住已知明文攻击无条件安全：无论有多少密文，都不能推出明文计算上安全：代价超过价值、时间超过生命期3.对称密码5个基本成分：明文、加密算法、密钥、密文、解密算法①数据加密标准(DES):64位分组长度、64位密文、56位密钥应用算法:置换、循环左移、异或②3DES:多个密钥、DES三次加密③高级加密标准(AES):密钥长度128、192或256位；分组长度128位④Blowfish算法:分组长度64位；算法：密钥扩展、数据加密、加法和异或⑤RC5算法:分组大小、密钥大小、加密轮数均可变算法:异或、加法、循环4.公钥密码:数学函数算法组成:明文、加密算法、公钥和私钥、密文、解密算法公钥体制的应用:加密/解密、数字签名、密钥交换①RSA算法:数据加密、数字签名i.2个大质数ii.n=pq;z=(p-1)(q-1)iii.e<n,e与z互质< p="">iiii.找到d(ed-1)%z==0iiiii.公钥(n,e)私钥(n,d)加密(m< p="">解密:m=cd%n②ElGamal算法:公钥密码体制与椭圆曲线加密体系密文长度为明文的2倍，会在密文中生成随机数k③背包加密算法(MH)5.密钥管理：KDC(密钥分发中心，网络实体)----对称密钥及私钥的分发CA(认证中心)----公钥的认证，含在数字证书中6.理解非对称加密过程：(发送方)加密----接收方公钥(接受方)解密----接收方私钥6.5 认证技术1.信息保护手段：加密、认证2.认证的目的及种类：目的----信源识别、完整性验证种类----消息认证、数字签名、身份认证3.消息认证:完整性校验让接收者检验收到的消息是否真实的方法，单这种校验不一定是实时的认证内容:①政事信源、信宿②消息是否受到偶然或有意的篡改③序号与时间的正误(防止重放攻击)方法:①认证来源:密钥+发送者识别符、使用通行字②认证完整性:消息认证码(MAC)、篡改控制码(MDC)③序号与时间:流水作业号、随机数认证法、时间戳模式:单向/双向验证认证函数:信息加密函数信息认证码(MAC)、散列函数:(MD5:填充、附加、初始化累加器、主循环;SHA-1:哈希(Hash)算法) 4.数字签名：防止通信双方攻击、防止抵赖公钥数字签名:RSA、ElGamal、Fiatshamir、DES/DSA、椭圆曲线数字签名算法特殊数字签名:盲签名、代理签名、群签名、不可否认签名、公平盲签名美国—离散对数—DES数字签名创建:创建公/私钥对→发送公钥→函数运算→私钥加密→函数输出验证:分离消息与数字签名→公钥解密→相同函数运算→比较输出5.身份验证口令认证:防止口令猜测，可限制不成功登陆次数一次性口令方案:S/Key协议与令牌口令认证方案持证认证:如磁卡、智能卡etc.常与个人识别码(PIN)同用生物识别:虹膜、指纹、手形、声音etc.6.身份认证协议一次一密S/Key协议X.509认证协议(国际电报与电话咨询委员会CCITT)Kerberos认证协议6.6 安全技术应用1.两种形式：①面向网络的服务:网络层②面向应用的服务:流行用Kerberos的Telnet、NFS、rlogin；用于加密电子邮件的PEM 与PGP实现简单、端到端保障2.安全电子邮件-PGPPGP(相当好的私密性)5种服务:鉴别、机密性、压缩、电子邮件的兼容性、分段利用四种密钥:一次性会话的常规密钥、公开密钥、私有密钥、基于口令短语的常规密钥3.安全电子邮件-S/MIMES/MIME(安全/通用Internet邮件扩充)功能:加密的数据、签名的数据、透明签名、签名并加密的数据4.网络层安全-IP安全协议IPSec身份认证头(AH)协议----源身份认证、数据完整性封装安全负载(ESP)协议----身份认证、数据完整性、秘密性5.Web安全威胁:Web服务器安全威胁、Web浏览器安全威胁、浏览器与服务器之间网络通信的安全威胁Web流量安全性:①网络级:使用IPSec安全协议②传输级:TCP上使用安全套接层(SSL)或运输层安全(TLS)③应用级:嵌入应用程序中(如安全电子交易SET)6.7 入侵检测与防火墙1.入侵者2大最广泛的网络安全威胁:入侵者、病毒入侵者分为:假冒者、非法者、秘密用户2.入侵检测技术：可分为统计异常检测----阀值检测、基于轮廓基于规则检测----异常检测、渗透检测具体方案:审计记录:原有的审计记录、专门用于检测的审计记录统计异常检测基于规则的入侵检测分布式入侵检测3.防火墙特性设计目标:全部通信过滤、授权通过、免疫渗透控制访问与执行站点安全策略的四种技术:服务控制、方向控制、用户控制、行为控制功能:单个的阻塞点、提供安全与监视的场所、Internet功能平台、IPSec平台4.防火墙的分类：包过滤路由器(统一处理)----简单、透明、处理速度快应用级网关/代理服务器----针对特定应用、开销大电路级网关*堡垒主机:安全临界点，为应用级网关与电路级网关的服务平台5.防火墙不能防:绕过它的连接、内部的攻击、病毒6.防火墙的使用范围：VLAN之间、外网与内网之间、总部网与分支机构网络之间6.8 计算机病毒问题与防护1.计算机病毒:一个程序或一段可执行代码破坏性、传染性、潜伏性、复制能力2.生命周期:潜伏阶段→繁殖阶段→触发阶段→执行阶段3.种类寄生病毒、存储器驻留病毒、引导区病毒、隐形病毒、多态病毒4.常见病毒①宏病毒Microsoft Excel/Word②电子邮件病毒:嵌入Word宏③特洛伊木马/黑客病毒:非为服务器程序和控制器程序、无复制能力④计算机蠕虫:分布式传输特定的信息或错误主程序/引导程序自我复制，主动传播5.反病毒软件第一代，简单的扫描程序第二代，启发式扫描程序第三代，行为陷阱第四代，全方位保护6.类属解密GD扫描器的组成：CPU模拟器、病毒签名扫描器、模拟控制模块<></n,e与z互质<>。

第6章网络互连与互联网练习3●试题1内部网关协议RIP是一种广泛使用的基于（35）的协议。

RIP规定一条通路上最多可包含的路由器数量是（36）。

（35）A．链路状态算法 B．距离矢量算法C．集中式路由算法 D．固定路由算法（36）A．1个 B．16个 C．15个 D．无数个●试题2以下协议中支持可变长子网掩码（VLSM）和路由汇聚功能（Route Summarization）的是（37）。

（37）A．IGRP B．OSPF C．VTP D．RIPv1●试题3关于OSPF拓扑数据库，下面选项中正确的是（38）。

（38）A．每一个路由器都包含了拓扑数据库的所有选项B．在同一区域中的所有路由器包含同样的拓扑数据库C．使用Dijkstra算法来生成拓扑数据库D．使用LSA分组来更新和维护拓扑数据库●试题4 OSPF协议使用（39）分组来保持与其邻居的连接。

（39）A．Hello B．Keepalive C．SPF（最短路径优先）D．LSU（链路状态更新）●试题5下面有关边界网关协议BGP4的描述中，不正确的是（40）。

（40）A．BGP4网关向对等实体（Peer）发布可以到达的AS列表B．BGP4网关采用逐跳路由（hop-by-hop）模式发布自己使用的路由信息C．BGP4可以通过路由汇聚功能形成超级网络（Supernet）D．BGP4报文直接封装在IP数据报中传送●试题6 在 RIP 协议中，默认的路由更新周期是（36）秒。

（36）A．30 B．60 C．90 D．100●试题7在距离矢量路由协议中，可以使用多种方法防止路由循环，以下选项中，不属于这些方法的是（37）。

（37）A．垂直翻转（flip vertical） B．水平分裂（split horizon）C．反向路由中毒（poison reverse） D．设置最大度量值（metric infinity）●试题8关于外部网关协议 BGP ，以下选项中，不正确的是（38）。