2019年软考网络工程师考点一:局域网技术
VTP协议
在VTP域中有个很重要的概念就是交换机的模式,分别是服务器模式、客户端模式、透明模式。
服务器模式的交换机可以添加、修改、删除VLAN以及VLAN的参数,服务器模式的交换机会向自己所连接的干道链路发送VTP消息。
客户端模式的交换机不能添加、修改、删除VLAN以及VLAN的参数,只能学习服务器模式的交换机里VLAN的信息,并把该信息向自己所有的干道链路接口转发。
透明模式的交换机也可以添加、修改、删除VLAN以及VLAN的参数,但不会把这些信息向VTP域中的其他交换机进行转发。
交换机使用配置修订号表示VLAN信息的修改。
VTP Pruning主要是减少不必要的广播,保留带宽。
GVRP协议
设备开启GVRP功能后,能够接收来自其他设备的VLAN注册信息,并动态更新本地VLAN注册信息。
GVRP的端口注册模式有以下三种:
(1)Normal模式:允许该端口动态注册或注销VLAN,传播动态VLAN和静态VLAN信息。
(2)Fixed模式:禁止该端口动态注册或注销VLAN,只传播静态VLAN信息,不传播动态VLAN信息。
(3)Forbidden模式:禁止该端口动态注册或注销VLAN,不传播除VLAN1以外的任何VLAN信息。
STP协议
交换环路会造成广播风暴、帧复制、MAC地址表震荡等问题。所以用到STP协议进行破环。STP的基本原理是,通过在交换机之间传递网桥协议数据单元BPDU,把环路破坏。
BPDU里面有一些主要字段:根网桥ID、根路径成本、发送网桥ID、端口ID等等。
生成树算法的三个步骤
1、选举根网桥(root bridge)
BID最小的交换机作为根桥。
2、选择跟端口(root ports RP)
STP协议会在每个非根网桥上建立一个根端口。选择依据是从上之下。
(1)端口到根网桥最低的根路径开销成本。根路径开销成本和带宽有关,带宽越大,开销越小。
(2)直连的网桥ID最小。
(3)对端的端口ID最小。
3、选择指定端口(designated ports DP)
STP会在每个网段分别建立一个指定端口,根网桥上的所有端口都是指定端口。
(1)根路径成本最低(端口所在交换机到根交换机的路径成本)
(2)所在的交换机的网桥ID的值较小
(3)自身端口ID的值较小
端口的状态:
阻塞:不发送BPDU,但接受BPDU。交换机刚启动,维持20秒阻塞状态。
监听:交换机开始相互学习BPDU里的信息。
学习:开始计算生成树协议,允许交换机学习MAC地址。
当学习状态结束后,所有应该进入转发状态的交换机端口变成转发状态,所有应该进入阻塞状态的端口进入阻塞状态。
RSTP协议:能更快的收敛网络。
RSTP主要从二个方面实现快速收敛:
(1)边缘端口。
需要用户手动把和终端连接的端口配置为边缘端口。直接就进入转发状态。
(2)根端口和指定端口的快速切换
根端口和指定端口这两个角色在RSTP中被保留,阻塞端口分成备份和替换端口角色。
链路聚合
以太通道又叫做链路聚合技术,聚合链路也能叫做Eth-trunk链路。
链路聚合的作用:根据需要灵活的增加网络设备之间的带宽;增加网络设备之间连接的可靠性;节约成本。
两台交换机之间形成以太网通道可以静态绑定聚合也可以用协议自动协商(LACP和PAgP)。
2019年软考网络工程师考点二:网络互联技术
CIDR
CIDR使用“斜线记法”,即在IP地址后面加上斜线“/”,然后写上网络前缀所占的位数(也就是子网掩码中1的个数)。这个网络前缀可以有任何长度。
案例:例如128.14.32.0/20,其中前20位为网络前缀,后12位为主机号。另外我们还可以计算出这个地址块的最小可用地址和最大可用地址。
计算过程:128.14.32.0/20= 10000000 00001110 00100000 00000000
128.14.32.0/20 地址块的最小可用地址:
10000000 00001110 00100000 00000001
128.14.32.0/20 地址块的最大可用地址:
10000000 00001110 00101111 11111110
128.14.32.0/20 地址块的最小可用地址:128.14.32.1
128.14.32.0/20 地址块的最大可用地址:128.14.47.254
路由汇聚
路由汇聚是用来解决路由表的内容冗余问题,使用路由聚合能够缩小路由表的规模,减少路由表的内存。提高路由器数据转发的效率。
如:假设有4个路由:172.18.129.0/24、172.18.130.0/24、172.18.132.0/24、172.18.133.0/24,则能覆盖这4个路由的是:172.18.128.0/21。
解答:129==》10000 001
130==》10000 010
132==》10000 100
133==》10000 101
上下比较第3B的后三位发生变化,则视为主机位,因此新的网络位位数为:8+8+5=21位。
汇聚后的网络地址即把主机位全部置0,为172.18.10000 000.0/21,亦即172.18.128.0/21,也称之为超网ID或超网网络地址。
还要需要注意:
路由器查找路由表的时候会从匹配结果中选择具有最长网络前缀的路由。这叫做最长前缀匹配,这时因为网络前缀越长,其地址块就越小,路由就越具体。
IP数据报格式
一个IP数据报时由首部和数据两部分所组成的。首部的前一部分为固定长度,共20字节。
常考的几个字段:
(1)版本:占4位,指的是IP协议的版本。目前广泛使用的IP协议版本号为4。
(2)首部长度,典型的IP数据报首部长度是20字节。那么首部长度这个字段的值就是5。
(3)区分服务:默认情况下一直没有使用过,是用在QOS中。
(4)总长度:总长度指首部和数据之和的长度,超过下层MTU值的时候,必须分片,其中以太网的MTU为1500字节。
(5)标识:相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。
(6)标志:标志字段中的最低位为MF MF=1表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。
标志字段中间的一位记为DF,意思是“不能分片”。只有当DF=0时,才允许分片。
(7)片偏移:分片在原分组中的相对位置片,偏移以8个字节为偏移单位。
(8)生存时间:表明数据报在网络中的生命。路由器在转发数据报之前就把TTL值减1。值减小到零,就丢弃这个数据报,不再转发。数据报在网络中能经过的路由器的理论最大数值是255。是由发送端设置这个字段。
(9)协议:目的主机的IP层知道应将数据部分上交给哪个上层协议。
(10)首部校验和(11)源地址(12)目的地址
(13)选项字段用来支持其他功能。
(14)首部不是4字节整数倍的时候,就用全0的填充字段补齐成为4字节的整数倍。
ARP协议
ARP作用:通过IP查找MAC。
ARP请求分组:广播发送。
ARP响应分组:单播回应。
以及ARP -s,ARP-a、ARP-d等命令。
ICMP协议
为了能够更加有效的转发IP数据报和提高交付成功的机会,在网际层使用了网际控制报文协议ICMP,ICMP协议作为IP数据报中的数据,封装在IP数据包中发送。
终点不可达:主机或路由器无法交付数据报的时候就向源点发送终点不可达报文。比如中间路由器设置了ACL或者目的端口和进程不相符。
源站抑制:当路由器或主机由于拥塞而丢弃数据报时,就向源站发送源站抑制报文,让发送端放慢速度。
时间超过:当路由器收到生存时间为零的数据报时,除丢弃该数据报外,还要向源站发送时间超过报文。当目的站在预先规定的时间内不能收到一个数据报的全部数据报片时,就将已收到的数据报片都丢弃,并向源站发送时间超过报文。
参数问题:当路由器或目的主机收到的数据报的首部中的字段的值不正确时,就丢弃该数据报,并向源站发送参数问题报文
改变路由(重定向):路由器将改变路由报文发送给主机,让主机知道下次应将数据报发送给另外的路由器。
回送请求和回答:ICMP回送请求报文是由主机或路由器向一个特定的目的主机发出的询问。收到此报文的主机必须给源主机或路由器发送ICMP回送回答报文。主要是用来测试目的站是否可达以及了解其有关状态。
时间戳请求和回答:主要是请某个主机或路由器回答当前的日期和时间。
2019年软考网络工程师考点三:网络管理技术
网管命令
另外注意熟悉Route print或netstat -r命令后路由表的内容。
Linux系统
Linux操作系统与传统的网络操作系统的最大区别是:Linux开放源码。
目录结构:
/:根目录,一般根目录下只存放目录,不要直接有文件存放。根目录是启动时,系统第一个载入的分区,所有启动会用到的文件都存放在这个分区中。
/bin:可执行二进制文件的目录,如常用的命令ls、tar、mv、cat等都放在这个目录中。
/boot:放置Linux系统启动时用到的一些文件。
/dev:存放Linux系统下的设备文件,访问该目录下某个文件,相当于访问某个设备。
/etc:系统配置文件存放的目录。
/home:系统默认的用户家目录,新增用户账号时,用户的家目录都存放在此目录下。
/lib:系统使用的函数库的目录,程序在执行过程中,需要调用一些额外的参数,这就需要函数库的协助。
/lost+fount:系统异常产生错误时,会将一些遗失的片段放置于此目录下。
/mnt:是被系统管理员使用,手动挂载一些临时媒体设备的目录。/dev/下面的文件是设备文件,是Linux启动,找到的硬件设备。而/mnt是用来挂载设备的,比如光驱,软驱,挂载后,就可以看挂载设备中的内容了。
/opt:给主机额外安装软件所摆放的目录。就像我们平时在安装Windows软件的默认program files 的一样。
/proc:目录本身是一个虚拟文件系统,此目录的数据都在内存中,如系统核心,外部设备,网络状态,由于数据都存放于内存中,所以不占用磁盘空间。
/root:系统管理员root的家目录。
/sbin:放置系统管理员使用的可执行命令。
/tmp:一般用户或正在执行的程序临时存放文件的目录,任何人都可以访问。
/var:放置系统执行过程中经常变化的文件,如随时更改的日志文件
基本操作命令:
Linux系统的用户可以分为两类,一类是根用户,也叫做系统管理员用户或超级用户,其用户名为root,UID为0。根用户是系统的所有者,对系统拥有最高的权力,可以在系统中进行任意的操作。还有1类是普通用户,除根用户以外的所有其他用户都是普通用户,只能使用根用户所分配的权限。
用户账户:/etc/passwd(用户账号文件)和/etc/shadow(用户口令文件)
文件权限:
chmod命令:用于更改文件对于某类用户的操作权限
chown命令:用于设置文件的属主和属组
进程管理:
在Linux下可以通过top,ps,pstree等命令查看进程。Kill命令结束进程:kill 进程的PID。
ifconfig:是Linux系统中最常用的一个用来设置网络设备的工具。
配置静态路由命令:
route add [–net | -host] [网段地址/主机地址] netmask [掩码] [gw 网关地址/dev 接口]
加参数-p的话,变成持久路由,进入主机的注册表。
SSH:因为Telnet远程登录工具是采用明文传送密码和数据,所以存在严重的安全问题。所以在实际应用中并不推荐。SSH是一种建立在TCP之上的网络协议,允许通信双方通过一种安全的通道交换数据,保证了数据的安全。
例如:ssh –l abc 10.10.1.29
网络管理功能
2019年软考网络工程师考点四:操作系统、系统开发
文件管理
用户在对文件进行访问时,要给出文件所在的路径。路径又分相对路径和绝对路径。绝对路径是指从根目录开始的路径,也称为完全路径;相对路径是指从用户工作目录开始的路径。应该注意到,在树型目录结构中到某一确定文件的绝对路径和相对路径均只有一条。绝对路径是确定不变的,而相对路径则随着用户工作目录的变化而不断变化。
具体可以参考视频的案例掌握这个知识点
用户要访问一个文件时,可以通过路径名来引用。例如,在图中,如果当前路径是D1,则访问文件f2的绝对路径是/D1/W2/f2,相对路径是W2/f2。如果当前路径是W1,则访问文件f2的绝对路径仍然是/D1/W2/f2,但相对路径变为../W2/f2。
../”来表示上一级目录,“../../”表示上上级的目录,以此类推。
设备管理
设备管理的主要任务之一是控制设备和内存或CPU之间的数据传送,常用的数据传送控制方式一般分为五种:
程序查询方式:要求CPU不断使用指令检测方法来获取外设工作状态。由于CPU的速度远远高于I/O设备,导致CPU的绝大部分时间都处于等待I/O设备过程中,造成CPU的运行效率极低。
程序中断方式:某一外设的数据准备就绪后,它“主动”向CPU发出中断请求信号,请求CPU暂时中断目前正在执行的程序转而进行数据交换;当CPU响应这个中断时,便暂停运行主程序,自动转去执行该设备的中断服务程序;当中断服务程序执行完毕(数据交换结束)后,CPU又回到原来的主程序继续执行。
DMA存取方式:一种完全由硬件执行I/O数据交换的工作方式。它既考虑到中断的响应,同时又要节约中断开销。此时,DMA控制器代替CPU完全接管对总线的控制,数据交换不经过CPU,直接在内存和外围设备之间成批进行。
I/O通道控制方式:通道是一个特殊功能的处理器,代替CPU管理控制外设的独立部件。
输入输出处理机方式:采用专用的小型通用计算机,可完成I/O通道所完成的I/O控制,还可完成码制转换、格式处理,检错纠错能操作,具有相应的运算处理部件、缓冲部件,还可形成I/O程序锁必需的程序转移手段。
软件开发模型
瀑布模型:瀑布模型也称为生命周期法,是生命周期法中最常用的开发模型,它把软件开发的过程分为软件计划、需求分析、软件设计、程序编码、软件测试和运行维护6个阶段,规定了它们自上而下、相互衔接的固定次序,瀑布模型是强调一开始精准的捕获需求和设计的。
V模型:V模型是瀑布模型的变种,它主要是说明测试活动是如何与分析和设计相联系的。注意视频中和开发阶段的对应关系。
喷泉模型:该模型的各个阶段没有明显的界限,开发人员可以同步进行开发。
原型化模型:对于许多需求不够明确的项目,比较适合采用该模型。原型技术有分为三类:抛弃式、演化式和递增式。
螺旋模型:螺旋模型将瀑布模型和演化模型相结合,它综合了两者的优点,并增加了风险分析。
软件设计
在结构化方法中,模块化是一个很重要的概念,两个标准来衡量,我们的目标是高内聚、低耦合。
软件测试
软件测试方法一般分为两大类,即动态测试和静态测试。
动态测试是指通过运行程序发现错误,分为黑盒测试法、白盒测试法和灰盒测试法。
黑盒法。把被测试对象看成一个黑盒子,测试人员完全不考虑程序的内部结构和处理过程,只在软件的接口处进行测试,依据需求规格说明书,检查程序是否满足功能要求。
白盒法。把测试对象看做是一个打开的盒子,测试人员需了解程序的内部结构和处理过程,以检查处理过程的细节为基础,对程序中尽可能多的逻辑路径进行测试,检验内部控制结构和数据结构是否有错
灰盒法。灰盒测试是一种介于白盒测试与黑盒测试之间的测试。
静态测试是指被测试程序不在机器上运行,而是采用人工检测和计算机辅助静态分析的手段对程序进行检测。静态分析中进行人工测试的主要方法有桌前检查(程序员自查)、代码审查和代码走查。
项目管理
甘特图的优点在于标明了各任务的计划进度和当前进度,能动态地反映项目进展;其缺点在于难以反映多个任务之间存在的复杂逻辑关系。
PERT图是一种网络模型,描述一个项目任务之间的关系。可以明确表达任务之间的依赖关系,即哪些任务完成后才能开始另一些任务,以及如期完成整个工程的关键路径,但是不能清晰地描述各个任务之间的并行关系。
PERT图:
在网络图中的某些活动可以并行地进行,所以完成工程的最少时间是从开始顶点到结束顶点的最长路径长度,从开始顶点到结束顶点的最长(工作时间之和最大)路径为关键路径,关键路径上的活动为关键活动。
关键路线法沿着项目进度网络路线进行正向与反向分析,从而计算出所有计划活动理论上的最早开始与完成日期、最迟开始与完成日期。
松弛时间是不影响完工前提下可能被推迟完成的最大时间,在关键路径上的任务的松弛时间为0。松弛时间=关键路径的时间-(包含某活动最长路径所需要的时间)
知识产权
直接参看我们的讲义。
2019年软考网络工程师考点五:数据通信基础
信道特性
尼奎斯特定理:在理想信道的情况下最高码元的传输速率的公式:B=2W,(W为信道的带宽,一般信道都有一个最高的信号频率,最低的信号频率,只有在这两个频率之间的信号才能通过这个信道,这两个频率的差值就叫做这个信道的带宽,单位是Hz)。
香农用信息论的理论推导出了带宽受限且有噪声干扰的信道的极限信息传输速率C=Wlog2(1+S/N)香农定理中。注意分贝dB和S/N的转换:dB=10log10(S/N)。
调制技术
调制就是进行波形变换。更严格的讲,就是进行频谱变换,将基带数字信号的频谱变换为适合在模拟信道中传输的频谱,主要用ASK、FSK、PSK几种。熟悉结合讲义熟悉几种调制技术的波形图。
DPSK(差分相移键控):是调制信号前后码元之间载波相对相位的变化来传递信息。又分为2DPSK和4DPSK。
QPSK(正交相移键控或四相相移键控):四相相移调制是利用载波的四种不同相位差来表示输入的数字信息,规定了四种载波相位
QAM:(正交振幅调制),其幅度和相位同时变化。
注意这个知识点比较容易结合R=Blog2N来考察。
PCM
模拟数据必须转变为数字信号,才能在数字信道上传送,这个过程称为“数字化”。
取样:尼奎斯特取样定理:如果取样速率大于模拟信号最高频率的2倍,则可以用得到的样本中恢复原来的模拟信号。
量化:量化,就是把经过抽样得到的瞬时值将其幅度离散,离散值的个数决定了量化的精度。
编码:将量化后的离散值变成相应的二进制代码
例如对声音数字化的时候,由于话音的最高频率为4kHz,所以取样频率是8kHz。对话音样本量化用128个等级,因而每个样本用7位二进制数字来表示。在数字信道传送这种数字化的话音信号的速率为7*8000=56Kbps。
数字编码和编码效率
熟悉各种编码的规律和方案,尤其是曼彻斯特编码和差分曼彻斯特编码。
极性码就是使用了两极(正极表示0,负极表示1);双极性码则是使用了正负两极和零电平(其中有一种典型的双极性码是信号交替反转编码AMI,它用零电平表示0,1则使电平在正、负极间交替翻转)。
归零码就是指码元中间的信号回归到0电平。不归零码则不回归零(而是当1时电平翻转,0时不翻转),这也称之为差分机制。值的注意的是这里讲的不归零码实际是不归零反转码,还有一种就是常规的不归零码,就是用高电平表示1,低电平表示0。
曼彻斯特编码是一种双相码,在曼彻斯特编码中,每一位的中间有一跳变,位中间的跳变既作时钟信号,又作数据信号;从高到低跳变表示"0",从低到高跳变表示"1"。(注意:某种教程中关于此部分内容有相反的描述,也是正确的),因此它也可以实现自同步,常用于以太网(802.3 10M以太网)。
差分曼彻斯特编码在 每个时钟周期的中间都有一次电平跳变,这个跳变做同步之用。 在每个时钟周期的起始处:跳变则说明该比特是0,不跳变则说明该比特是1。这里有个技巧记忆,主要看两个相邻的波形,如果后一个波形和前一个的波形相同,则后一个波形表示0,如果波形不同,则表示1。
使用曼码和差分曼码时,每传输1bit的信息,就要求线路上有2次电平状态变化,编码效率只有50%。
4B/5B编码、8B/6T编码和8B/10B编码的比较如表所示。
其中4B/5B这种编码的特点是将欲发送的数据流每4bit作为一个组,然后按照4B/5B编码规则将其转换成相应5bit码, 并且由NRZ-I方式传输。
复用技术
2019年软考网络工程师考点六:网络管理技术、网络安全
SNMP协议
简单网络管理协议SNMP中的管理程序和代理程序按客户机/服务器方式工作。管理程序运行SNMP客户程序,而代理程序运行SNMP服务器程序。在被管对象上运行的SNMP服务器程序不停的监听来自管理站的SNMP客户程序的请求或命令。一旦收到了,就立即返回管理站所需要的信息或执行某个操作。
网络管理系统可访问的被管设备的状态信息等都保存在管理信息库MIB中。MIB是一个树形结构。
在SNMPv1版本,只验证团体名,属于同一团体的管理站和被管理站才能互相作用。类似于密码的作用。
SNMPv2c也采用团体名认证。在兼容SNMPv1的同时又扩充了SNMPv1的功能:它提供了更多的操作类型(GetBulk和inform操作)。
SNMPv3最大的改进就在于安全性。
SNMP使用的是无连接的UDP协议,因此在网络上传送SNMP报文的开销很小,但UDP是不保证可靠交付的。同时SNMP使用UDP的方法有些特殊,在运行代理程序的服务器端用161端口来接收Get或Set报文和发送响应报文(客户端使用临时端口),但运行管理程序的客户端则使用熟知端口162来接收来自各代理的Trap报文。
SNMP定义了一些常见的协议数据单元。
(1)Get-Request:管理者从代理读取一个或一组变量的值。
(2)Get-NextRequest:管理者从代理的MIB树上读取下一个变量的值。
(3)Set-Request:管理者对代理的一个或多个MIB变量的值进行设置。
(4)Get-Response:代理向管理者发送对之前报文的响应,并提供差错码、差错状态等信息。
(5)Trap:代理向管理者报告代理中发生的异常事件。
SNMPv2协议增加了GetbulkRequest消息、Inform-Request消息。GetBulkRequest管理站一次读取代理处MIB中大量成块数据, 高效率地从代理处获取大量管理对象数据。该消息在检索大量管理信息时使所需要的协议交换数目大大减少。InformRequest消息实现管理进程之间互相通信,也就是由管理站发起,向另一个管理站报告状态或数据。
网络存储
网络存储技术:DAS、NAS、SAN。
1.DAS技术
直连外挂存储DAS存储设备是通过电缆(通常是SCSI接口电缆)连接到服务器上的。DAS依赖于服务器,不带有任何存储操作系统。服务器本身容易成为系统瓶颈,对于存在多个服务器的系统来说,设备分散,不便管理;数据备份操作复杂。
2.NAS技术
网络附加存储NAS是为网络数据存储而开发的一种文件服务器来连接所存储设备。缺点是不适合数据库存储、传输速率低成为瓶颈、可扩展性受到设备大小的限制。
3、SAN
SAN(存储区域网络)和NAS不同,它不是把所有的存储设备集中安装在一个专门的NAS服务器中,而是通过网络方式连接存储设备和应用服务器的存储架构。
其中FC SAN需要部署光纤网络,还需要购买光纤交换机,因此组网部署稍显复杂,存储服务器上通常配置两个网络接口适配器:一个用来连接IP网络的普通网卡NIC、服务器通过此网卡和客户端交互;另一个网络适配器是和FC-SAN连接的主机总线适配器HBA,服务器通过HBA和FC-SAN中的存储设备通信。
iSCSI协议出现以后,才真正实现了IP SAN。由于基于全以太网架构,组网部署较为简单,且成本较低,但性能和FC-SAN相比较差,网络可靠性一般,适用于中小规模的非关键性存储业务。
网络安全要素
网络安全要素包括信息的保密性、完整性、可用性、可控性、可审查性等。
网络攻击
网络攻击划分为两大类,即被动攻击和主动攻击。在上述情况中,截获信息的攻击属于被动攻击,而中断、篡改和伪造信息的攻击称为主动攻击。
从网络高层的角度划分,攻击方法又可以分为服务攻击和非服务攻击两类。其中,服务攻击是针对某种特定网络服务的攻击,比如针对E-mail、WWW服务进行的攻击;非服务攻击是基于网络层等底层协议进行的攻击,比如ARP地址欺骗攻击等。
拒绝服务DoS攻击:借助于网络系统或网络协议的缺陷和漏洞进行的网络攻击,让目标系统受到某种程度的破坏而不能继续提供正常的服务甚至服务中断。分布式拒绝服务DDoS:攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。防范DDOS攻击:定期检查服务器漏洞、部署CDN、关闭不必要的服务或端口、利用网络安全设备来加固网络的安全性。
SQL注入攻击:用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。 防止SQL注入攻击:使用参数化的过滤性语句、要避免使用解释程序,避免出现一些详细的错误消息、使用专业的漏洞扫描工具、使用IPS、WAF等设备。
XSS跨站脚本攻击:利用网站漏洞从用户那里恶意盗取信息。XSS防御:验证所有输入数据,有效检测攻击、对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行、也可以部署一些专用的WEB防护设备、IPS设备。
计算机病毒
病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
病毒前缀是指一个病毒的种类,我们常见的有Script(代表脚本病毒)、Trojan(代表木马病毒)、Worm(代表蠕虫病毒)、Harm(代表破坏性程序)、Macro/WM/WM97/XM/XM97(代表宏病毒)、Win32/W32(代表系统病毒),一般DOS类型的病毒是没有前缀的。
计算机病毒的预防方法:
1、安装杀毒软件及网络防火墙(或者断开网络),及时更新病毒库;
2、及时更新操作系统的补丁;
3、不去安全性得不到保障的网站;
4、从网络下载后文件及时杀毒;
5、关闭多余端口,做到使电脑在合理的使用范围之内;
6、不要使用修改版的软件,如果一定要用,请在使用前查杀病毒&木马,以确保安全。
2019年软考网络工程师考点七:数据通信基础、网络体系结构
差错控制
码距是一个编码系统的码距就是整个编码系统中任意(所有)两个码字的最小距离。
1.在一个码组内为了检测e个误码,要求最小码距应该满足: d>=e+1
2.在一个码组内为了纠正t个误码,要求最小码距应该满足: d>=2t+1
奇偶校验码:
信息位+校验位,其中1的个数为偶数个(偶校验),1的个数为奇数个(奇校验)。
海明码:
m+k+1<=2k,其中M为信息位,K是校验位。
要计算海明校验码,首先要知道海明码是放置在二的幂次位上的,即“1,2,4,8,16…”,而对于信息位为m的原始数据,需加入k位的校验码,它满足m+k+1<2k。然后根据监督表达式,计算出校验位,并依次填充到相应的校验位。校验位与信息位的校验关系也分奇校验与偶校验两种。例如:以信息码101101100,并采用偶校验,如图所示:
海明码的监督关系式有:
Bit 1= B3B5B7B9B11B13 =101010 = 1
Bit 2= B3B6B7B10B11=11111 = 1
Bit 4= B5B6B7B12B13=01100 = 0
Bit 8= B9B10B11B12B13=01100 = 0
由监督式可以看出,信息位B3受校验位B1、B2的监督,信息位B5受校验位B1、B4的监督,信息位B6受校验位B2、B4的监督,信息位B7受校验位B1、B2、B4的监督,依此类推,假设有14位,那么第14位应该受B2、B4、B8校验位监督。
循环冗余校验码(CRC)
要计算CRC校验码,需根据CRC生成多项进行。例如:原始报文为11001010101,其生成多项式为:X4+X3+X+1。在计算时,是在原始报文的后面添加若干个0(个数为生成多项式的最高次幂数,它也是最终校验位的位数。上式中,校验位数应该为4)作为被除数,除以生成多项式所对应的二进制数(由生成多项式的幂次决定,此题中除数应该为11011),最后使用模除,得到的余数为校验码,如下式所示:
然后将0011添加到原始报文的后面,便形成经CRC校验数据:110010101010011。
要检查信息是否传输错误,只需用待检查的信息码除以生成式,如果能够整除,说明传输无误,否则,传输错误,但CRC并不自动纠错,通常是请求重传。
网络概念
计算机网络中实现网络通信功能的设备及其软件的集合称为网络的通信子网,而把网络中实现资源共享功能的设备及其软件的集合称为资源子网。
计算机网络的性能:
速率:主机在信道上传送数据的速率,单位bps。
带宽:1,信道的频带宽度。2,在计算机网络中,表示从某点到某点的最高数据率。
吞吐量:单位时间内通过某个网络的数据量。
时延:从网络中一端到另一端所需要的时间。传输时延=帧长/信道带宽。传播时延=信道长度/电磁波在电缆中的传播速度,其中电缆一般是200000km/s,如果是卫星通信,传播时延直接按270ms来算。
网络协议的三个要素:
语法(Syntax):涉及数据及控制信息的格式、编码及信号电平等。
语义(Semantics):需要发出何种控制信息,完成何种动作和做出的响应。
定时(Timing):涉及速度匹配和排序等。
OSI参考模型
物理层:
物理层考虑的是怎么才能在连接各种计算机的传输媒介中透明传送数据比特流,
数据链路层:
负责在两个相邻的节点间的线路上无差错的传送以帧为单位的数据
网络层:
网络层的任务就是要选择合适的路由,这就是网络层的寻址功能。
传输层:
任务是根据通信子网的特性最佳的利用网络资源,并以可靠和经济的方式为两个端系统的之间建立一条传输连接,透明的传输报文。
会话层:
会话层虽然不参与具体的数据传输,但它对数据进行管理
表示层:
在开放系统互连OSI模型中的第六层,向应用进程提供信息表示方式
应用层:
在开放系统互连OSI模型中的最高层,为应用程序提供服务以保证通信。
数据的封装和解封装
封装就是网络节点把要传送的数据用特定的协议打包后传送。多数协议是通过在原有数据之前加上封装头来实现封装的,一些协议还要在数据之后加上封装尾,而原有的数据就成为载荷。在发送方,OSI七层模型的每一层都对上层数据进行封装,以保证数据能够正确无误的传到目的地;而在接收方,每一层又对本层的封装数据进行解封装,并传给上层,以便数据被上层所理解。
(N)层实体向(N+1)层实体提供服务,(N+1)层实体向(N)层实体请求服务,从概念上讲,这是通过位于(N)层和(N+1)层的界面上的服务访问点(N)SAP来实现的。
另外熟悉各种著名协议的工作层次以及调用关系。
2019年软考网络工程师考点八:局域网技术
以太网CSMA/CD
以太网的核心技术是带冲突检测的载波侦听多路访问(CSMA/CD)方法。
CSMA/CD的发送流程可以简单的概括为4点:
1.载波侦听过程
根据监听到介质状态后采取的回避策略可将CSMA分为下面几种:
非坚持型CSMA
① 信道空闲,立即发送。
当监听到信道忙的时候,不再坚持监听,而是随机延后一段时间再来监听
缺点:很可能在再次监听之前信道已空闲了,与其它站的冲突概率最低,但产生严重信道浪费。
坚持型CSMA(1-坚持CSMA)
① 信道空闲,立即发送。
② 当监听到信道忙状态时,就坚持监听,直到信道空闲,立即发送一帧。
③ 假如有冲突发生,则等待一段随机长的时间后再监听信道。
缺点:当某站要送数据时,先监听信道,若信道忙,若两个或两个站同时监听到信道空闲,立即发送,必定冲突,即冲突概率为1,故称之为1-坚持型。
2.冲突检测
CSMA/CD总线网络中最短帧长的计算关系式:
3.发现冲突、停止发送
4.随机延迟重发
以太网采用截断二进制指数退避算法来解决碰撞问题。这种算法让发生碰撞的站在停止发送数据后,不是等待信道变为空闲后就立即再发送数据,而是推迟一个随机的时间。这样做是为了使的重传时再次发生冲突的概率减少,当重传此数达16次仍不能成功时,则表明同时打算发送数据的站太多,以至连续发生冲突,则丢弃该帧,并向高层报告。整个过程请参考视频。
以太网MAC地址
以太网地址用来识别一个以太网上的某个单独的设备或一组设备,这个地址又叫做物理地址或者MAC地址。
MAC采用十六进制数表示,共六个字节(48位)。IEEE规定MAC地址第一个字段的最低位为I/G位。I/G位标志这个地址是单播地址还是组播地址。而广播地址就是FFFF.FFFF.FFFF。
注意:以太网卡有过滤功能,网卡只把发送给自己的帧接收,解封装后交给上层处理,而不是发给自己的帧会丢弃。不过,有些网卡可以设置为混杂模式,也就是可以接收任意帧,而不考虑这帧是不是发给自己的。这类网卡经常用于一些网络协议分析工具中
以太网帧结构
以太网帧的格式如图所示,包含的字段有前同步码、帧开始界定符、目的地址、源地址、数据类型、数据及帧校验序列)等。目的地址和源地址都是MAC地址,表示发出数据帧的源设备和要到达的设备。类型表示上层交给IP还是IPX,最后是一个帧校验序列,用来检查数据帧在传输过程中是不是出现了查错,发现查错后,直接丢弃该帧,可以由高层协议发起重传。
以太帧的帧长度为64-1518字节。以太网定义的V2帧结构和IEEE 802.3定义的帧结构是不同的,主要在于IEEE 802.3类型字段修改为长度字段。
以太网传输介质
双绞线:为了保证最佳的兼容性,普遍采用EIA/TIA 568B标准来制作网线。
568B:白橙 | 橙 | 白绿 | 蓝 | 白蓝 | 绿 | 白棕 | 棕
其中其实真正通信的只有四芯,1-2-3-6。
直线(直通线):两端同时采用一个标准。用于不同类设备之间(就是DTE-DCE)互连。
DTE 类设备:PC、路由器、交换机uplink口、HUB级联口
DCE 类设备:交换机普通口、HUB普通口。(DTE和DCE的区别是DCE主动与DTE协调时钟频率,DTE会根据协调的时钟频率工作)
反线(交叉线):一端采用568A,一端采用568B,用于同类设备之间互连(PC-PC,交换机-交换机)
光纤:
多模光纤:很多不同角度的入射的光线在一条光纤中传输。适合用于近距离传输,一般约束在550M。
单模光纤:如光纤的直径减小到只有一个光的波长,使光纤一直向前传播,而不会产生多次反射,这样的光纤就成为单模光纤。单模光纤传输距离数十公里而不必要采用中继器。
高速以太网
百兆以太网、千兆以太网的传输介质标准需要记忆。
100M以太网的新标准还规定了以下三种不同的物理层标准。
100BASE-TX支持2对5类UTP或2对1类STP。1对5类非屏蔽双绞线或1对1类屏蔽双绞线就可以发送,而另1对双绞线可以用于接收,因此100BASE-TX是一个全双工系统,每个节点都可以同时以100Mbps的速率发送与接收。
100BASE-T4支持4对3类UTP,其中有3对用于数据传输,1对用于冲突检测。100BASE-T4是快速以太网的早期实现。 它需要四对铜质双绞线,但这些双绞线只需要是3类而不是TX所要求的5类。
100BASE-FX支持2芯的多模或单模光纤。100BASE-FX主要是用做高速主干网,从节点到集线器(HUB)的距离可以达到2km,是一种全双工系统。
100BASE-T2:随着数字信号处理技术和集成电路技术的发展,只用2对3类UTP线就可以传送100Mbps的数据,因而针对100Base-T4不能实现全双工的缺点,IEEE开始制定100Base-T2标准。
1000 Base-T标准使用的是5类非屏蔽双绞线,双绞线长度可以达到100m。
1000Base-X是基于光纤通道的物理层,使用的媒体有三种:
1000 Base-CX标准使用的是屏蔽双绞线,双绞线长度可以达到25m;
1000 Base-LX标准使用的是波长为1300nm的单模光纤,光纤长度可以达到3 000m;
1000 Base-SX标准使用的是波长为850nm的多模光纤,光纤长度可以达到300~550m。
其中前三项标准是IEEE 802.3z,而1000 Base-T的标准是IEEE 802.3ab。
万兆以太网只工作在全双工方式。
冲突域和广播域
连接同一冲突域的设备有Hub,Reperter或者其他进行简单复制信号的设备。
像Hub,交换机等这些第一,第二层设备连接的节点被认为都是在同一个广播域。
交换机交换模式
以太网交换机是利用“端口/MAC地址映射表”进行数据交换的,交换机的“地址学习”是通过读取帧的源地址并记录帧进入交换机的端口号进行的。
根据交换机的帧转发方式,交换机可以分为3类:直接交换方式、存储转发交换方式、无碎片转发方式。他们之间的区别注意结合讲义视频理解。
堆叠和级联
交换机之间的连接不外乎两种方式,一是堆叠,一是级联。他们之间的区别注意结合讲义理解。
2019年软考网络工程师考点九:局域网技术
VLAN
VLAN的分类:
静态VLAN:基于端口的VLAN,网络管理员们需要在交换机上一个一个的端口配置,配置哪些端口属于哪个VLAN。随着移动办公的用户越来越多,不可能随时去对交换机的端口VLAN做配置,所以我们要采用动态VLAN的划分方式。
动态VLAN:
基于MAC地址的分类:当一台主机接入网络的时候,会查询数据库表主机属于哪个VLAN,再根据主机的MAC分配到相应的VLAN中去,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置起来是非常繁琐的,用户一旦更换网卡设备,必须重新配置。另外还有基于网络协议的分类、基于IP组播、基于策略、基于用户定义等等。
VTP协议
在VTP域中有个很重要的概念就是交换机的模式,分别是服务器模式、客户端模式、透明模式。
服务器模式的交换机可以添加、修改、删除VLAN以及VLAN的参数,服务器模式的交换机会向自己所连接的干道链路发送VTP消息。
客户端模式的交换机不能添加、修改、删除VLAN以及VLAN的参数,只能学习服务器模式的交换机里VLAN的信息,并把该信息向自己所有的干道链路接口转发。
透明模式的交换机也可以添加、修改、删除VLAN以及VLAN的参数,但不会把这些信息向VTP域中的其他交换机进行转发。
交换机使用配置修订号表示VLAN信息的修改。
VTP Pruning主要是减少不必要的广播,保留带宽。
GVRP协议
设备开启GVRP功能后,能够接收来自其他设备的VLAN注册信息,并动态更新本地VLAN注册信息。
GVRP的端口注册模式有以下三种:
(1)Normal模式:允许该端口动态注册或注销VLAN,传播动态VLAN和静态VLAN信息。
(2)Fixed模式:禁止该端口动态注册或注销VLAN,只传播静态VLAN信息,不传播动态VLAN信息。
(3)Forbidden模式:禁止该端口动态注册或注销VLAN,不传播除VLAN1以外的任何VLAN信息。
STP协议
交换环路会造成广播风暴、帧复制、MAC地址表震荡等问题。所以用到STP协议进行破环。STP的基本原理是,通过在交换机之间传递网桥协议数据单元BPDU,把环路破坏。
BPDU里面有一些主要字段:根网桥ID、根路径成本、发送网桥ID、端口ID等等。
生成树算法的三个步骤
1、选举根网桥(root bridge)
BID最小的交换机作为根桥。
2、选择跟端口(root ports RP)
STP协议会在每个非根网桥上建立一个根端口。选择依据是从上之下。
(1)端口到根网桥最低的根路径开销成本。根路径开销成本和带宽有关,带宽越大,开销越小。
(2)直连的网桥ID最小。
(3)对端的端口ID最小。
3、选择指定端口(designated ports DP)
STP会在每个网段分别建立一个指定端口,根网桥上的所有端口都是指定端口。
(1)根路径成本最低(端口所在交换机到根交换机的路径成本)
(2)所在的交换机的网桥ID的值较小
(3)自身端口ID的值较小
端口的状态:
阻塞:不发送BPDU,但接受BPDU。交换机刚启动,维持20秒阻塞状态。
监听:交换机开始相互学习BPDU里的信息。
学习:开始计算生成树协议,允许交换机学习MAC地址。
当学习状态结束后,所有应该进入转发状态的交换机端口变成转发状态,所有应该进入阻塞状态的端口进入阻塞状态。
RSTP协议:能更快的收敛网络。
RSTP主要从二个方面实现快速收敛:
(1)边缘端口。
需要用户手动把和终端连接的端口配置为边缘端口。直接就进入转发状态。
(2)根端口和指定端口的快速切换
根端口和指定端口这两个角色在RSTP中被保留,阻塞端口分成备份和替换端口角色。
链路聚合
以太通道又叫做链路聚合技术,聚合链路也能叫做Eth-trunk链路。
链路聚合的作用:根据需要灵活的增加网络设备之间的带宽;增加网络设备之间连接的可靠性;节约成本。
两台交换机之间形成以太网通道可以静态绑定聚合也可以用协议自动协商(LACP和PAgP)。
2019年软考网络工程师考点十:网络安全、网络规划设计
加密方式
数据加密技术是网络通信安全所依赖的基本技术。按照网络层次的不同,数据加密方式划分,主要有链路加密、节点加密、端到端的加密三种。
在采用链路加密的网络中,每条通信链路上的加密是独立实现的。通常对每条链路使用不同的加密密钥。其最大的缺点就在于中间结点暴漏了信息的内容。通常用硬件在物理层实现。
节点加密是对链路加密的改进,只是把加密算法加载到节点的加密模块中。在协议栈的传输层上面进行加密。
端到端加密是在源点和终点中对传送的协议数据单元进行加密和解密,报文的安全性不会因中间结点的不可靠而受到影响。端到端的加密在传输层以上的各层来实现。
网闸技术
对于政务网的安全需求是在公网和外网之间实行逻辑隔离,在内网和外网之间实行物理隔离。
网闸其实就是模拟人工数据倒换,利用中间数据倒换区,分时地与内外网连接,但一个时刻只与一个网络连接,保持“物理的分离”,实现数据的倒换。
在网闸工作时候,会经过一个剥离-检测-重新封装的过程,首先会把数据包做剥离分解,然后对静态的裸数据做安全审查,再用特殊的内部协议封装后转发,到达对端网络后再重新按照TCP/IP进行封装。
防火墙技术
华为防火墙默认分为4个安全区域。
(1)Trust区域:本区域内的网络受信程度高,通常用来定义内部用户所在的网络。
(2)DMZ区域:本区域内的网络受信程度中等,通常用来定义公共服务器所在的区域。
(3)Untrust区域:本区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。
(4)LOCAL区域,防火墙自身所在的区域
在华为防火墙中,每个安全区域都有一个安全级别,用1-100表示,数字越大,代表这个区域越可信。默认情况下,LOCAL区域安全级别100、Trust区域为85,DMZ为50,Untrust区域为5。
安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。
入方向:数据由低优先级的安全区域向高优先级的安全区域传输。
出方向:数据由高优先级的安全区域向低优先级的安全区域传输。
防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。注意三种模式的区别。
防火墙的分类:
包过滤防火墙的工作是通过查看数据包的源地址、目的地址或端口来实现的,由于防火墙只是工作在OSI的第三层(网络层)和第四层(传输层),因此包过滤的防火墙的一个非常明显的优势就是速度,缺点由于无法对数据报的内容进行核查,一次无法过滤或审核数据报的内容。
应用型代理防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品
动态包过滤防火墙。对于新建立的应用连接,状态检测型防火墙先检查预先设置的安全规则,允许符合规则的连接通过;记录下该连接的相关信息,生成状态表;对该连接的后续数据包,只要是符合状态表,就可以通过,更加灵活。
大型的网络放一个路由器到防火墙前面主要是路由器的接口丰富,适合广域网的多种不同类型的接口链路,而防火墙接口单一。但具体做题的时候,要根据设备的接口去看。关键是看DMZ这个接口。
入侵检测IDS和入侵防御IPS
IDS(入侵检测系统)就是对网络、系统的运行状况依照一定的安全策略进行监视,尽可能发现各种攻击企图。IDS的部署位置:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。以旁路模式接入。
IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。IPS一般是以串联的形式直接嵌入到网络流量中的。
入侵检测系统使用的方法有异常检测和误用检测两种。其中异常检测能检测出未知的入侵行为
2019年软考网络工程师考点十一:局域网技术、广域网技术
WLAN
无线局域网的两种基本的网络拓扑:Ad hoc网和基础设施网络。
Ad hoc整个网络没有固定的基础设施AP,每个节点都是移动的,动态地保持与其它节点的联系。与传统网络的协议相比,Ad hoc网络路由协议的更加复杂。
基础设施网络需要通过接入点(AP)。
无线AP通常可以分为胖AP(Fat AP)和瘦AP(Fit AP)两类。
胖AP一般还同时具有数据加密、拨号、QOS、用户认证、网络管理、DHCP等多方面功能。胖AP一般应用于小型的无线网络建设无需AC的配合。
瘦AP仅保留无线接入的部分,瘦AP作为无线局域网的一个部件,是不能独立工作的,必须配合AC的管理才能成为一个完整的系统。AP一般应用于中大型的无线网络建设。
无线AP往往还具有通过交换机POE模块对其供电。
无线局域网标准:
IEEE 802.11工作在2.4GHz情况下定义了14个信道,每个信道的频带宽度是22MHz。为了最大限度利用频带资源,可以使用(1、6、11),(2、7、12),(3、8、13),(4、9、14)这4组互不干扰的信道来进行无线覆盖。一般情况下就是用1、6、11这3个信道的组合。
无线局域网采用CSMA/CA协议解决信道争用问题。
无线局域网认证技术包括MAC地址认证、802.1X认证、PSK认证、Portal认证等手段。注意区别。
无线加密:三种方式WEP、WPA、WPA2。
其中WPA2采用了AES加密算法,安全性最高。
综合布线系统
结构化布线系统分为六个子系统:工作区子系统、水平布线子系统、干线子系统、设备间子系统、管理子系统、建筑群子系统。
注意:通过课堂上的示意图理解几个子系统的概念:
广域网技术
电路交换的缺点在于电路利用率低,经过连接建立、数据传输、电路拆除3个阶段。
分组交换采用存储转发传输方式,分为数据报分组交换和虚电路分组交换。
数据报分组交换:数据包的传输彼此独立,互不影响,可以按照不同的路由机制到达目的地,并重新组合。网络只是尽力地将分组交付给目的主机,但不保证所传送的分组不丢失,也不保证分组能够按发送的顺序到达接收端。所以网络提供的服务是不可靠的,也不保证服务质量。服务质量交给对端主机的高层处理。
虚电路分组交换:先建立一个逻辑连接,所有分组沿相同的路径进行交换转发,通信结束后再拆除该逻辑连接。网络提供的服务是可靠的,也保证服务质量。
一些广域网协议体系:
X.25是一个使用电话或者ISDN设备作为网络硬件设备来架构广域网的ITU-T网络协议。它的物理层,数据链路层和网络层都是按照OSI体系模型来架构的。通过建立虚电路,实现可靠交付。
帧中继( Frame Relay)在第二层建立虚拟电路,用帧方式承载数据业务,第三层被简化。并且帧中继只做检错,不重传,没有滑动窗口式的流控机制,只有拥塞控制,把复杂的检错交给高层处理,因此适合突发性业务。在虚连接中,用数据链路连接标识(DLCI)来表示该网络中的虚电路。
ATM异步传输网络,采用面向连接的传输方式,将数据分割成固定长度的信元(53B),通过异步时分复用技术,在虚连接上实现快速交换的技术。ATM的典型数据速率为155Mbps。
流量和差错控制
选择重发ARQ
(有噪声环境的双工通信)它是滑动窗口协议与自动请求重发技术的结合,当收到否定应答(NAK)时,只重发出错的帧。为了避免异常,其最大值就小于帧编号总数的一半,即W发=W收≤2K-1
后退N帧ARQ
(有噪声环境的双工通信)也是滑动窗口协议与自动请求重发技术的结合,只是当收到否定应答(NAK)时,将从出错处重发已发出过的N个帧。为了避免异常,必须限制发送窗口的大小W≤2K-1(K为帧编号的位数)
HDLC
HDLC是一种面向比特的链路层协议,HDLC帧格式包括标志字段、地址字段、控制字段、数据和校验和。
标志字段(01111110):用于确定帧的起始和结束,以进行帧同步和准确识别长度可变的帧。
HDLC采用比特填充法使一个帧中两个标志字段之间不会出现6个连续的1
具体做法是:在发送端,在加标志字段之前,先对比特串扫描,若发现5个连续的1,立即在其后加一个0。在接收端收到帧后,去掉头尾的标志字段,对比特串进行扫描,当发现5个连续的1时,立即删除其后的0。
默认时,Cisco路由器的串口是采用Cisco HDLC封装的。
HDLC的帧类型:定义了承载用户数据的信息帧(I帧),进行流量和差错控制的管理帧(S帧)和用于链路控制的无编号帧(U帧)三种帧类型。而信息帧除了可以承载用户数据之外,还可以捎带肯定管理信息,当没有足够的信息帧捎带时,则需要发送专门的管理帧来完成。
2019年软考网络工程师考点十二:广域网技术、网络互联
PPP
PPP是面向字符。PPP协议一般包括三个协商阶段:LCP(链路控制协议)阶段,认证阶段,NCP(网络层控制协议)阶段。
(1)链路控制协议LCP:主要用于管理PPP数据链路,包括进行链路层参数的协商,建立、拆除和监控数据链路等。
(2)认证阶段,开始PAP或CHAP认证,PAP认证过程非常简单,二次握手机制。使用明文格式发送用户名和密码。CHAP认证采用三次握手机制,比PAP认证更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,安全性比PAP要高,具体区别请查看视频:
https://www.educity.cn/zhibo/v311040.html
(3)网络协商阶段NCP:在这一阶段,运行PPP的双方发送NCP报文来选择和配置网络协议,双方会协商彼此使用的网络层协议(IP或IPX),同时还会选择对应的网络层地址。如果协商成功,则PPP链路建立成功。
PPoE是以太网上的点对点协议,是将PPP协议封装在以太网框架中的一种网络隧道协议。由于协议中集成PPP协议,所以实现出传统以太网不能提供的身份验证、加密以及压缩等功能。多用在ADLS拨号、光纤接入等环境中。
SONET/SDH
XDSL技术
xDSL技术把0~4000hz的低端频谱都留给传统电话使用,把原来没有使用的高端频谱留给用户上网使用。
对称:
HDSL:高速率数字用户线路。
SDSL:对称数字用户线路。
IDSL:基于ISDN的数字用户线路。
非对称:
ADSL:非对称数字用户线路。
VDSL:甚高速数字用户环路,目前传输速率最高,最新标准可以达到100Mbps。适合用于用户相对集中的园区网络高速接入。
RADSL:速率自适应数字用户线路。
UDSL:超高速数字用户环路。
其中ADSL的关键技术主要包括DMT调制技术(DMT)和频分复用技术,ADSL的用户端在原来电话终端的基础上,增加了一个POTS分频(分离)器和ADSL Modem。POTS分频器实际上由低通滤波器和高通滤波器合成的设备。ADSL Modem的作用是完成数据信号的调制和解调,以便数字信号能在模拟信道上传输。
HFC技术
HFC是将光缆敷设到小区,然后通过光电转换结点,利用有线电视CATV的总线式同轴电缆连接到用户,用户端需要使用一个称为Cable Modem(电缆调制解调器)的设备。在HFC网络中各种广播和电视信号采用副载波采频分复用方式实现传输介质的共享。
PON技术
无源光网络(PON):“无源”是指在服务提供商和客户之间不需要电源和有源的电子组件。它仅由光纤、分路器、接头和连接器组成。只有局端和用户侧设备为有源设备,中间的光分配网采用稳定性高、体积小、成本低的无源光分支器,不需要提供电源、空调等机房设备,只需要安装在光接线箱货光配线架的适当位置即可,相比较有源光网络AON,可以避免了电磁干扰和雷电影响,减少了线路和外部设备的故障率,降低相应的运维成本。
在无源光网络中,按照承载的内容来分类的话主要分为EPON和GPON。
EPON采用以太网封装方式,非常适于承载IP业务,符合网络IP化的发展趋势。可提供上下行对称的1.25Gbit/s线路传输速率,相比较其他GPON技术,EPON在技术成熟度和设备价格方面具有优势,EPON的缺陷,难以承载TDM业务,包括话音或电路型数据专线等业务。
GPON更注重多业务的支持能力(TDM、IP、CATV),上连业务接口和下连用户接口更加丰富。GPON的下行最大传输速率高达2.5Gbit/s,上行最大传输速率可达1.244Gbit/s。
PON的网络架构:
光分配网络(ODN)功能是完成OLT与ONU之间光信号的传输和功率分配,同时提供光路监控等功能。光线路终端OLT设备是重要的局端设备。在应用上,根据光网络单元ONU到达的位置,可以将光纤接入网(OAN)分为光纤到路边(Fibe To The Curb,FTTC)、光纤到大楼(Fibe To The Building,FTTB)和光纤到户(Fibe To The Home,FTTH)或光纤到办公室(Fibe To The Office,FTTO)等。
IP地址
32位的二进制代码分为两部分:网络号和主机号。
A类网络号8位,1.0.0.0 到126.255.255.255。
B类网络号16位,128.0.0.0到191.255.255.255。
C类网络号24位,192.0.0.0到223.255.255.255。
D类组播地址:224.0.0.0-239.255.255.255
E类保留地址:240.0.0.0-255.255.255.254
具体如下:
其中一个网络中能够容纳的主机数目,是由主机位决定的,并且主机位不能全0和全1,全0是一个网络地址代表一个网络,全1是一个广播地址。
例如:一个C类网络,能够容纳的主机数目是2的8次方-2=254台主机。
另外1.30的公开课也是针对这个知识点做了专题讲解:
https://www.educity.cn/shipin/v4256.html
地址的类型
单播地址:实现1对1通信的地址,典型的A、B、C类地址都属于单播地址。
组播地址:组播报文的目的地址使用D类IP地址,实现1对1组的通信,其中考试中涉及到的有:
224.0.0.1:所有主机的地址
224.0.0.2:所有组播路由器的地址
224.0.0.5:ospf路由器
224.0.0.6:ospf dr指定路由器
224.0.0.9:rip-2路由器
广播地址:实现1对所有的通信:
受限广播地址255.255.255.255,路由器收到目的IP地址为255.255.255.255的IP包,不会对此IP包转发。
直接广播地址:有有效的网络号,主机位全为1的地址。
特殊的IP地址
2019年软考网络工程师考点十三:服务器的配置
Windows 2008服务器配置
Windows 2008 平台的WEB、FTP、DNS、DHCP服务,主要是考操作界面,熟悉步骤。
参考操作视频:https://www.educity.cn/shipin/v318413.html的第八章。
Linux服务器配置
1、DHCP配置:
在Linux下配置DHCP,主要工作是对相关文件进行解析。DHCP默认的配置文件是/etc/dhcpd.conf,注意看懂讲义中的例子。
开启服务命令:service dhcpd start
2、DNS的配置
在Linux系统下,默认支持两种方法来进行域名解析,一种是Host表,另外一种就是域名服务DNS。Host表文件名是/etc/hosts, Hosts表的格式左边是一个IP地址,右边是该IP地址对应的名称。
DNS服务器的IP地址都存放在/etc/resolv.conf文件中。
由于Host表和DNS解析在Linux系统中是共存的,因此需要指定使用它们的名称解析的顺序。在Linux系统中,这个次序是由/etc/host.conf文件决定的。其中讲义的例子说明先用Host文件进行解析,再用DNS进行解析。
BIND的主配置文件named.conf。默认在/etc目录下。这个文件只包括BIND的基本配置,而不包含任何的DNS区域数据,安装程序并不会自动生成这个文件,需要用户自行创建。
acl语句:
定义一个命名的访问列表,里面包含了一些用IP地址表示的主机。这个访问列表可以在其他语句中引用。格式:acl acl-name {IP地址}。
Option语句:
设置被整个BIND程序使用的全局选项。其中directory是指定服务器的工作目录。Allow-query是用来设置DNS服务器为哪些客户端提供查询服务,可以在后面的{}里面放置命名的acl。
View语句:
定义视图功能,允许DNS服务器根据客户端的不同有区别的返回关于域名的查询结果。
Zone语句:
定义了DNS服务器所管理的区,也就是哪一些域的域名是授权给该DNS服务器回答的,一共有5种类型的区。
Master:主域名服务器,用来保存整个区域的数据信息。
Slave:辅助域名服务器,其备份作用。
Stub:只复制主域的NS记录,不是整个区数据。并且不是标准DNS的功能,只是BIND程序提供的功能。
Forward:转发域名服务器。
Hint:定义了一套最新的根DNS服务器的地址,如果没有定义,DNS服务器会使用内建的DNS服务器的地址。
根服务器文件named.ca,在有的版本的Linux系统中是named.root文件。里面包含了互联网上的根域名服务器的名字和IP地址。
正向区域文件:里面的A记录、NS记录、MX记录参考讲义。
反向区域文件,注意PTR记录。
开启BIND服务命令:service named start
3、Samba服务器的配置
Samba是为Linux-Windows互连共享资源而设计的程序。主要用于不同操作平台间文件和打印机共享。
Samba服务的配置文件是etc/samba /smb.conf。此文件中用“#”和“;”表示注释语句。smb.conf文件有三个主要部分:
(1)全局参数字段(gobal):主机共享时的整体设置。
(2)目录共享字段(homes):定义一般参数,如建立共享文件目录等。
(3)打印机共享字段(printers):打印机的配置和共享。
[global]
workgroup=CSAIGROUP#此参数设置服务器所要加入工作组名称,系统默认为MYGROUP。
Netbios name=LinuxSir #此参数在配置文件中未列出,需手动添加,用于设置显示在“网上邻居”中的主机名。
Server string=LinuxSamba# 此参数描述Samba服务器的一些信息,这些注释信息会显示在“网上邻居”中。
security=[user|share|Server|Domain]
#此可选参数用于设置Samba服务器的安全模式。
#user模式:当主机访问Samba服务器时,需要输入用户名与密码,该用户必须属于服务器注册用户。
#share模式:当主机访问Samba服务器时,不需要输入用户名与密码,即对所有主机或用户共享。
#Server模式:需要输入用户名与密码,验证用户信息由另一服务器负责,而非Samba服务器。
#Domain模式:与Server模式类似,使用域中的服务器来验证用户信息。
Host allow=192.168.1.192.168.2.127.
# 此参数设置哪些IP允许访问该服务器,本例中允许的网段分别是:192.168.1.0,192.168.2.0,127.0.0.0。
另外还有文件和打印共享设置,具体参考讲义。
至于FTP配置和Apache服务器直接参看讲义。
2019年软考网络工程师考点十四:网络互联
子网划分
划分子网的方法是从网络中的主机号借用若干位作为子网号。于是两级的IP地址变为三级IP地址:网络号、子网号和主机号。
子网掩码也是32位,由一连串的1和一连串的0组成,子网掩码中的1对应IP地址的网络号和子网号,子网掩码中的0对应主机号。路由器将子网掩码和收到数据报的目的IP地址逐位相“与”,得出了所要找的子网网络地址。
举例:标准C类网络192.168.1.0/24,要分成3个子网,每个子网分配给一个部门 。而且要满 足每个子网支持的主机数目为50台以上。应如何对此C类地址进行子网划分?
解答:此题需要利用到两个公式
公式1:2n,该公式计算子网个数,n为需要扩展的网络位。
公式2:2m-2,该公式计算每个子网下有效的主机IP数,m表示主机位位数。
2n>=3,所以n>=2。此时m=8-2=6, 26-2=62>50,满足每个子网的要求。
此时可得此时子网的网络位为24+2=26位,子网掩码为”/26”或255.255.255.192。
192.168.1. _ _ 000000/26,对子网位填值可以得到4个子网。
192.168.1. 00 000000/26、 192.168.1. 01 000000/26、
192.168.1. 10 000000/26、 192.168.1. 11 000000/26
对应192.168.1.0/26、192.168.1.64/26、192.168.1.128/26、192.168.1.192/26四个网络ID。
对应了192.168.1.0/26而言,其网络位是26位,主机位是6位。第四字节八位组展开:
192.168.1.00 000000 主机位全零,是网络ID,不是一个有效主机地址
192.168.1.00 000001 192.168.1.1/26,是网络ID下的第一个有效地址
192.168.1.00 000010 192.168.1.2/26,是网络ID下的第二个有效地址
192.168.1.00 000011
……….
……….
192.168.1.00 111110 192.168.1.62/26,是网络ID下的最后一个有效地址
192.168.1.00 111111 主机位全1,是此网络ID的广播地址
因此网络ID为192.168.1.0/26,其广播地址为192.168.1.63/26。
有效主机IP数量是2m-2=26-2=62。
CIDR
CIDR使用“斜线记法”,即在IP地址后面加上斜线“/”,然后写上网络前缀所占的位数(也就是子网掩码中1的个数)。这个网络前缀可以有任何长度。
案例:例如128.14.32.0/20,其中前20位为网络前缀,后12位为主机号。另外我们还可以计算出这个地址块的最小可用地址和最大可用地址。
计算过程:128.14.32.0/20= 10000000 00001110 00100000 00000000
128.14.32.0/20 地址块的最小可用地址:
10000000 00001110 00100000 00000001
128.14.32.0/20 地址块的最大可用地址:
10000000 00001110 00101111 11111110
128.14.32.0/20 地址块的最小可用地址:128.14.32.1
128.14.32.0/20 地址块的最大可用地址:128.14.47.254
路由汇聚
路由汇聚是用来解决路由表的内容冗余问题,使用路由聚合能够缩小路由表的规模,减少路由表的内存。提高路由器数据转发的效率。
如:假设有4个路由:172.18.129.0/24、172.18.130.0/24、172.18.132.0/24、172.18.133.0/24,则能覆盖这4个路由的是:172.18.128.0/21。
解答:129==》10000 001
130==》10000 010
132==》10000 100
133==》10000 101
上下比较第3B的后三位发生变化,则视为主机位,因此新的网络位位数为:8+8+5=21位。
汇聚后的网络地址即把主机位全部置0,为172.18.10000 000.0/21,亦即172.18.128.0/21,也称之为超网ID或超网网络地址。
还要需要注意:
路由器查找路由表的时候会从匹配结果中选择具有最长网络前缀的路由。这叫做最长前缀匹配,这时因为网络前缀越长,其地址块就越小,路由就越具体。
IP数据报格式
一个IP数据报时由首部和数据两部分所组成的。首部的前一部分为固定长度,共20字节。
常考的几个字段:
(1)版本:占4位,指的是IP协议的版本。目前广泛使用的IP协议版本号为4。
(2)首部长度,典型的IP数据报首部长度是20字节。那么首部长度这个字段的值就是5。
(3)区分服务:默认情况下一直没有使用过,是用在QOS中。
(4)总长度:总长度指首部和数据之和的长度,超过下层MTU值的时候,必须分片,其中以太网的MTU为1500字节。
(5)标识:相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。
(6)标志:标志字段中的最低位为MF MF=1表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。
标志字段中间的一位记为DF,意思是“不能分片”。只有当DF=0时,才允许分片。
(7)片偏移:分片在原分组中的相对位置片,偏移以8个字节为偏移单位。
(8)生存时间:表明数据报在网络中的生命。路由器在转发数据报之前就把TTL值减1。值减小到零,就丢弃这个数据报,不再转发。数据报在网络中能经过的路由器的理论最大数值是255。是由发送端设置这个字段。
(9)协议:目的主机的IP层知道应将数据部分上交给哪个上层协议。
(10)首部校验和(11)源地址(12)目的地址
(13)选项字段用来支持其他功能。
(14)首部不是4字节整数倍的时候,就用全0的填充字段补齐成为4字节的整数倍。
2019年软考网络工程师考点十五:网络互联
ARP
ARP作用:通过IP查找MAC。
ARP请求分组:广播发送。
ARP响应分组:单播回应。
以及ARP -s,ARP-a、ARP-d等命令。
注意整个过程。
ICMP协议
为了能够更加有效的转发IP数据报和提高交付成功的机会,在网际层使用了网际控制报文协议ICMP,ICMP协议作为IP数据报中的数据,封装在IP数据包中发送。
终点不可达:主机或路由器无法交付数据报的时候就向源点发送终点不可达报文。比如中间路由器设置了ACL或者目的端口和进程不相符。
源站抑制:当路由器或主机由于拥塞而丢弃数据报时,就向源站发送源站抑制报文,让发送端放慢速度。
时间超过:当路由器收到生存时间为零的数据报时,除丢弃该数据报外,还要向源站发送时间超过报文。当目的站在预先规定的时间内不能收到一个数据报的全部数据报片时,就将已收到的数据报片都丢弃,并向源站发送时间超过报文。
参数问题:当路由器或目的主机收到的数据报的首部中的字段的值不正确时,就丢弃该数据报,并向源站发送参数问题报文
改变路由(重定向):路由器将改变路由报文发送给主机,让主机知道下次应将数据报发送给另外的路由器。
回送请求和回答:ICMP回送请求报文是由主机或路由器向一个特定的目的主机发出的询问。收到此报文的主机必须给源主机或路由器发送ICMP回送回答报文。主要是用来测试目的站是否可达以及了解其有关状态。
时间戳请求和回答:主要是请某个主机或路由器回答当前的日期和时间。
ping一般作为测试连通性使用,用的回送请求和回答报文。例如IP包在服务器中发送前设置的TTL是64,你使用ping命令后,得到服务器反馈的信息,其中的TTL为56,说明途中一共经过了8道路由器的转发。一些操作系统的默认TTL:
WINDOWS NT/2000 TTL:128
WINDOWS 95/98 TTL:32
UNIX TTL:255
LINUX TTL:64
WIN7以上 TTL:64
Tracert命令用来显示数据包到达目标主机所经过的路径(路由器),并显示到达每个节点(路由器)的时间。是通过发送一连串TTL值不同的包实现的。
pathping 命令是一个路由跟踪工具,是PING和Tracert的结合。
IPV6
IPv6和IPv4是不兼容的,但和其他的TCP/IP协议兼容。
IPV6地址特点:
(1)更大的地址空间:把原来32位地址扩展到128位,采用16进位表示,每4位构成一组,每组间用一个冒号隔开。
(2)扩展的地址层次结构:IPv6地址空间很大,因此可以划分为更多的层次。取消了IPv4的网络号、主机号和子网掩码的概念,IPv6用前缀、接口标识符、前缀长度取代,也没有A、B、C类地址的概念。
(3)灵活的首部格式:IPv6定义了很多可选的扩展首部。可提供比IPv4更多的功能。基本首部长度是40字节。
(4)改进的选项:允许数据报含有有选项的控制信息,IPv4的选项是固定不变的。
(5)允许协议继续扩充:因为网络技术不断的变化。
(6)支持即插即用:即使没有DHCP服务器也可以实现地址的自动分配。
(7)支持资源的预分配:IPv6支持视频图像等要求有一定带宽和时延的应用。
IPv6基本报头结构说明:
IPv6协议对其报头定义了8个字段。
(1)版本:长度为6位,对于IPv6,本字段的值必须为6。
(2)通信量类:长度为8位,区分不同的IPv6数据报的类别或优先级。
(3)流标号:长度为20位,用于标识属于同一业务流的包(和资源预分配挂钩)。
(4)有效净荷长度:长度为16位,除基本首部以外的字节数。
(5)下一个首部:长度为8位,指出了IPv6头后所跟的头字段中的协议类型(指出高层是TCP还是UDP)。
(6)跳数限制:长度为8位,每转发一次该值减1,到0则丢弃,用于高层设置其超时值。
(7)源地址:长度为128位,指出发送方的地址。
(8)目标地址:长度为128位,指出接收方的地址。
IPv6地址表示中注意零压缩的概念。双冒号只能出现一次,前导的0也可以省略。
IPv6地址类型
单播:
(1)可聚合的全球单播地址:全球路由选择前缀占48位,前三位为001,子网标识符:占16位,接口标识符64位。
(2)链路本地单播地址的格式前缀为1111 1110 10,即FE80::/64;其后是64位的接口ID。
组播:IPv6组播地址的格式前缀为1111 1111,其后面是4位的Flag(标志)、4位的Scope(范围域)和Group ID(组ID)。
任播:与组播地址不同的是,发送到任播地址的数据报文被传送给此地址所标识的一组接口中距离源节点最近的一个接口。
IPv4-IPv6过渡
双协议栈技术就是指在一台设备上同时启用IPv4协议栈和IPv6协议栈。
隧道技术: IPv6隧道就是把IPv6报文封装在IPv4报文中,可以穿越IPv4网络进行通信。适用于IPV6信息孤岛通过IPv4骨干网的通信。
NAT-PT是带协议转换功能的网络地址转换器,通过修改协议报头来转换网络地址,实现互联互通。NAT-PT网络地址转换协议是一种纯IPv6节点和IPv4节点间的互通方式。
QOS
QOS的三种模型:
(1)Best-Effort service(尽力而为服务模型):网络尽最大的努力来发送报文。
(2)Int-Serv服务模型(综合服务模型)
资源预留协议RSVP的特点是具有单向性、由接收者发起对资源预留的请求,并维护资源预留信息。
(3)Diff-Serv服务模型(区分服务)
区分服务中,根据服务要求对不同业务的数据进行分类,对报文按类进行优先级标记,然后有差别地提供服务。可以利用IP包的服务类型字段进行分类。
TCP和UDP
传输层上有两个主要的协议:一个是可靠的、面向连接的传输控制协议(TCP),另一个是不可靠的、无连接的用户数据报协议(UDP)。
报文格式:
TCP的报文格式字段:
源端口:进程的发送端口
目的端口:进程的接收端口
序号:字节流当中的每一个字节都按顺序编号。
确认号:期望接收到对方下一个报文段的第一个数据字节的序号。
数据偏移:TCP报文的首部长度
保留:今后使用
URG:当等于1的时候,告诉系统有紧急数据传送,应该尽快。
ACK:确认号,当ACK=1起作用。在连接建立后,所有的传送报文段都把ACK置为1。
PSH:推送,PSH为1就指示接收方在接收到该报文段以后,应尽快将这个报文段交给应用程序,而不是在接收缓存区排队,不用等到整个缓存满了之后再交付。
复位RST:RST=1,表明TCP连接出现严重错误,需要释放连接,重新建立。或者用于拒绝非法的报文段和拒绝连接请求。
同步SYN:在连接建立时同步需要。SYN=1,ACK=0,表明是连接请求,如果SYN=1,ACK=1,表示同意建立连接。
终止FIN:用来释放连接。FIN=1,发送方已经发送完连接,要求释放。
窗口:接收窗口。
校验和:TCP校验和覆盖TCP首部和TCP数据,接收方检测到校验和有差错,则TCP段会被直接丢弃。注意IP首部中的校验和只覆盖IP的首部,不覆盖IP数据报中的任何数据。
紧急指针:紧急数据的字节数。
三次握手过程:
(1)A的TCP客户进程首先向B发出连接请求报文段,这时首部中的同步位SYN=1,同时选择一个初始序号seq=x。TCP规定,SYN报文段(SYN=1的报文段)不能携带数据,但要消耗一个序号。这时候,客户进程进入同步已发送状态。
(2)B收到这个连接请求之后,如同意建立连接,则向A发送确认。在确认报文段中应把SYN位和ACK位都置1,确认号是ack=x+1,同时也为自己选择一个初始序号seq=y。请注意,这个报文段也不能携带数据,但同样要消耗一个序号。这时TCP服务器进程进入同步收到状态。
(3)TCP客户进程收到B的确认后,还要向B给出确认,确认报文段的ACK置1,确认号ack=y+1,则自己的序号seq=x+1。TCP协议规定,ACK报文段可以携带数据,但如果不携带数据则不消耗序号。在这种情况下,下一个数据报文段的序号依然是seq=x+1。这时,TCP连接已经建立,A进入已建立连接状态。
断开的话是四次断开。
DNS
域名中的标号都有英文和数字组成,每一个标号不超过63个字符(为了记忆方便,一般不会超过12个字符),也不区分大小写字母。标号中除连字符(-)外不能使用其他的标点符号。
(1)国家顶级域名nTLD:cn代表中国,us代表美国,uk代表英国,等等。
(2)通用顶级域名gTLD: com(公司企业),net(网络服务机构),org(非营利组织),int(国际组织),gov(政府部门),mil(军事部门)。
(3)基础结构域名(infrastructure domain):这种顶级域名只有一个,即arpa;用于反向域名解析,因此称为反向域名。
2019年软考网络工程师考点十六:网络互联技术
DNS
域名解析方式:
HOST表:操作系统内置,默认为空。
DNS系统:分布式的数据库来处理地址转换。
域名服务器的类型:
根域名服务器:知道所有顶级域名服务器的域名和IP地址。只要本地域名服务器无法解析的话,都要先求助于根域名服务器。
顶级域名服务器:知道所有在顶级域名服务器下的二级域名。
权限域名服务器:负责某一个区的域名服务器,当顶级域名服务器还没有搞定的情况下,就会告诉应该找哪一个权限域名服务器。
区域名服务又分为主域名服务器、辅助域名服务器、转发域名服务器、缓存域名服务器。
主域名服务器负责维护一个区域所有域名信息,为特定域名的所有信息的权威来源,可以修改信息。
辅助域名服务器:当主域名服务器出现故障,关机或负载过重等情况,辅助域名服务器作为备份服务器来提供域名解析服务。
转发域名服务器:本地DNS服务器无法对DNS客户端的解析请求进行本地解析时,可以配置本地DNS服务器转发DNS器,把客户发送的解析请求到其他的DNS服务器
缓存域名服务器:为了提高DNS查询效率,并减轻服务器的负荷和减少因特网上的DNS查询报文数量,在域名服务器中广泛使用了高速缓存,用来存放最近查询过的域名以及从何处获得域名映射信息的记录。
DNS解析的过程:
本地解析:DNS客户端平时得到的查询记录都保存在DNS缓存中。
直接解析:本地域名服务器解析。先自己的区域数据文件,再查看DNS服务器缓存。
递归解析:主机向本地域名服务器的查询一般都是采用递归查询。所谓递归查询就是:如果主机所询问的本地域名服务器不知道被查询的域名的IP地址,那么本地域名服务器就以DNS客户的身份,向其它根域名服务器继续发出查询请求报文(即替主机继续查询),而不是让主机自己进行下一步查询。因此,递归查询返回的查询结果或者是所要查询的IP地址,或者是报错,表示无法查询到所需的IP地址。
迭代解析:本地域名服务器向根域名服务器的查询的迭代查询。迭代查询的特点:当根域名服务器收到本地域名服务器发出的迭代查询请求报文时,要么给出所要查询的IP地址,要么告诉本地服务器:“你下一步应当向哪一个域名服务器进行查询”。然后让本地服务器进行后续的查询。根域名服务器通常是把自己知道的顶级域名服务器的IP地址告诉本地域名服务器,让本地域名服务器再向顶级域名服务器查询。顶级域名服务器在收到本地域名服务器的查询请求后,要么给出所要查询的IP地址,要么告诉本地服务器下一步应当向哪一个权限域名服务器进行查询。最后,知道了所要解析的IP地址或报错,然后把这个结果返回给发起查询的主机。
DNS资源记录:
SOA记录:SOA资源记录表明此DNS名称服务器是为该DNS域中的数据的信息的最佳来源。
NS记录:用于标识区域的DNS服务器,有几台提供服务。
A记录:也称为主机记录,是域名到IPV4地址的映射,用于正向解析。
AAAA记录:将域名指向一个IPv6地址。
PTR记录:IP地址到DNS名称的映射,用于反向解析。
MX记录: 邮件交换记录
CNAME记录:别名记录,这种记录允许您将多个域名映射到同一台计算机。
FTP
因特网上提供FTP服务的计算机一般都支持匿名访问,它允许用户以“anonymous”作为用户名,以自己的E-mail地址作为口令,这样就可登录到支持FTP的计算机上,下载其公共数据文件。
FTP主动模式(PORT):
主动模式下,FTP客户端从任意的非特殊的端口(N > 1023)连入到FTP服务器的命令端口--21端口。然后客户端在N+1(N+1 >= 1024)端口监听。服务器会反过来连接用户本地指定的数据端口。
FTP被动方式(PASV):
被动模型下,命令连接和数据连接都由客户端,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P >1024),并发送PORT命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。
DHCP
DHCP报文是承载于UDP上的高层协议报文,采用67(DHCP服务器)和68(DHCP客户端)两个端口号。
1. 寻找DHCP Server。
DHCPDISCOVER数据包,封包的源地址为0.0.0.0,目标地址为255.255.255.255。
2. 提供IP地址租用
通过UDP 68端口响应给客户机一个DHCP OFFER数据包,这个报文只是告诉DHCP客户端可以提供IP地址。如果有多台DHCP服务器的,客户端接收最先到达的DHCP OFFER数据包。
3. 接受IP租约
客户端会向网络发送一个DHCP REQUEST广播数据包,诉所有DHCP Server它将接受哪一台服务器提供的IP地址。
4. 租约确认
当DHCP Server接收到客户机的DHCP REQUEST之后,会广播返回给客户机一个DHCP ACK消息包,表明已经接受客户机的选择,并将这一IP地址的合法租用以及其他的配置信息都放入该广播包发给客户机。
其他的DHCP报文:
DHCP Decline:DHCP客户端收到DHCP服务器回应的ACK报文后,通过地址冲突检测发现服务器分配的地址冲突或者由于其他原因导致不能使用,则发送Decline报文,通知服务器所分配的IP地址不可用。
租约:
客户机会在租期过去50%的时候,直接向为其提供IP地址的DHCP Server发送DHCP REQUEST消息包。
如果在租期过去50%的时候没有更新,则客户机将在租期过去87.5%的时候再次向为其提供IP地址的DHCP联系。如果还不成功,到租约的100%时候,客户机必须放弃这个IP地址,重新申请,发DHCP discover广播包。如果此时无DHCP可用,客户机会使用169.254.0.0/16中随机的一个地址,并且每隔5分钟再进行尝试。
另外在网络中无须每个子网一个DHCP服务器,可以用中继代理转发广播请求给DHCP服务器。
Telnet
为了解决不同操作系统对键盘定义的差异性,Telnet协议定义了网络虚拟终端 NVT。
另外目前操作系统当中的远程桌面是从远程登录协议发展而来,通俗的讲他就是图形化的Telnet,默认是3389端口。
Telnet是一个明文传送协议,用户名和密码都明文在互联网上传送,具有一定的安全隐患,因此目前通常使用SSH代替Telnet进行远程管理。
电子邮件
注意讲义的电子邮件协议示意图,掌握SMTP、POP3的作用范围以及HTTP协议。
除此之前还有IMAP即交互式邮件存取协议,它是和POP3类似邮件访问标准协议之一。
MIME即多用途互联网邮件扩展,是目前互联网电子邮件普遍遵循的邮件技术规范。在MIME的支持下,图像、声音、动画等二进制文件都可方便的通过电子邮件来进行传递。
2019年软考网络工程师考点十七:网络管理技术
网管命令
另外注意熟悉Route print或netstat -r命令后路由表的内容。
Linux系统
Linux操作系统与传统的网络操作系统的最大区别是:Linux开放源码。
目录结构:
/:根目录,一般根目录下只存放目录,不要直接有文件存放。根目录是启动时,系统第一个载入的分区,所有启动会用到的文件都存放在这个分区中。
/bin:可执行二进制文件的目录,如常用的命令ls、tar、mv、cat等都放在这个目录中。
/boot:放置Linux系统启动时用到的一些文件。
/dev:存放Linux系统下的设备文件,访问该目录下某个文件,相当于访问某个设备。
/etc:系统配置文件存放的目录。
/home:系统默认的用户家目录,新增用户账号时,用户的家目录都存放在此目录下。
/lib:系统使用的函数库的目录,程序在执行过程中,需要调用一些额外的参数,这就需要函数库的协助。
/lost+fount:系统异常产生错误时,会将一些遗失的片段放置于此目录下。
/mnt:是被系统管理员使用,手动挂载一些临时媒体设备的目录。/dev/下面的文件是设备文件,是Linux启动,找到的硬件设备。而/mnt是用来挂载设备的,比如光驱,软驱,挂载后,就可以看挂载设备中的内容了。
/opt:给主机额外安装软件所摆放的目录。就像我们平时在安装Windows软件的默认program files 的一样。
/proc:目录本身是一个虚拟文件系统,此目录的数据都在内存中,如系统核心,外部设备,网络状态,由于数据都存放于内存中,所以不占用磁盘空间。
/root:系统管理员root的家目录。
/sbin:放置系统管理员使用的可执行命令。
/tmp:一般用户或正在执行的程序临时存放文件的目录,任何人都可以访问。
/var:放置系统执行过程中经常变化的文件,如随时更改的日志文件。
基本操作命令:
Linux系统的用户可以分为两类,一类是根用户,也叫做系统管理员用户或超级用户,其用户名为root,UID为0。根用户是系统的所有者,对系统拥有最高的权力,可以在系统中进行任意的操作。还有1类是普通用户,除根用户以外的所有其他用户都是普通用户,只能使用根用户所分配的权限。
用户账户:/etc/passwd(用户账号文件)和/etc/shadow(用户口令文件)
文件权限:
chmod命令:用于更改文件对于某类用户的操作权限
chown命令:用于设置文件的属主和属组
进程管理:
在Linux下可以通过top,ps,pstree等命令查看进程。Kill命令结束进程:kill 进程的PID。
ifconfig:是Linux系统中最常用的一个用来设置网络设备的工具。
配置静态路由命令:
route add [–net | -host] [网段地址/主机地址] netmask [掩码] [gw 网关地址/dev 接口]
加参数-p的话,变成持久路由,进入主机的注册表。
SSH:因为Telnet远程登录工具是采用明文传送密码和数据,所以存在严重的安全问题。所以在实际应用中并不推荐。SSH是一种建立在TCP之上的网络协议,允许通信双方通过一种安全的通道交换数据,保证了数据的安全。
例如:ssh –l abc 10.10.1.29
网络管理功能
SNMP协议
简单网络管理协议SNMP中的管理程序和代理程序按客户机/服务器方式工作。管理程序运行SNMP客户程序,而代理程序运行SNMP服务器程序。在被管对象上运行的SNMP服务器程序不停的监听来自管理站的SNMP客户程序的请求或命令。一旦收到了,就立即返回管理站所需要的信息或执行某个操作。
网络管理系统可访问的被管设备的状态信息等都保存在管理信息库MIB中。MIB是一个树形结构。
在SNMPv1版本,只验证团体名,属于同一团体的管理站和被管理站才能互相作用。类似于密码的作用。
SNMPv2c也采用团体名认证。在兼容SNMPv1的同时又扩充了SNMPv1的功能:它提供了更多的操作类型(GetBulk和inform操作)。
SNMPv3最大的改进就在于安全性。
SNMP使用的是无连接的UDP协议,因此在网络上传送SNMP报文的开销很小,但UDP是不保证可靠交付的。同时SNMP使用UDP的方法有些特殊,在运行代理程序的服务器端用161端口来接收Get或Set报文和发送响应报文(客户端使用临时端口),但运行管理程序的客户端则使用熟知端口162来接收来自各代理的Trap报文。
SNMP定义了一些常见的协议数据单元。
(1)Get-Request:管理者从代理读取一个或一组变量的值。
(2)Get-NextRequest:管理者从代理的MIB树上读取下一个变量的值。
(3)Set-Request:管理者对代理的一个或多个MIB变量的值进行设置。
(4)Get-Response:代理向管理者发送对之前报文的响应,并提供差错码、差错状态等信息。
(5)Trap:代理向管理者报告代理中发生的异常事件。
SNMPv2协议增加了GetbulkRequest消息、Inform-Request消息。GetBulkRequest管理站一次读取代理处MIB中大量成块数据, 高效率地从代理处获取大量管理对象数据。该消息在检索大量管理信息时使所需要的协议交换数目大大减少。InformRequest消息实现管理进程之间互相通信,也就是由管理站发起,向另一个管理站报告状态或数据。
网络存储
网络存储技术:DAS、NAS、SAN。
1.DAS技术
直连外挂存储DAS存储设备是通过电缆(通常是SCSI接口电缆)连接到服务器上的。DAS依赖于服务器,不带有任何存储操作系统。服务器本身容易成为系统瓶颈,对于存在多个服务器的系统来说,设备分散,不便管理;数据备份操作复杂。
2.NAS技术
网络附加存储NAS是为网络数据存储而开发的一种文件服务器来连接所存储设备。缺点是不适合数据库存储、传输速率低成为瓶颈、可扩展性受到设备大小的限制。
3、SAN
SAN(存储区域网络)和NAS不同,它不是把所有的存储设备集中安装在一个专门的NAS服务器中,而是通过网络方式连接存储设备和应用服务器的存储架构。
其中FC SAN需要部署光纤网络,还需要购买光纤交换机,因此组网部署稍显复杂,存储服务器上通常配置两个网络接口适配器:一个用来连接IP网络的普通网卡NIC、服务器通过此网卡和客户端交互;另一个网络适配器是和FC-SAN连接的主机总线适配器HBA,服务器通过HBA和FC-SAN中的存储设备通信。
iSCSI协议出现以后,才真正实现了IP SAN。由于基于全以太网架构,组网部署较为简单,且成本较低,但性能和FC-SAN相比较差,网络可靠性一般,适用于中小规模的非关键性存储业务。
网络安全要素
网络安全要素包括信息的保密性、完整性、可用性、可控性、可审查性等。
网络攻击
网络攻击划分为两大类,即被动攻击和主动攻击。在上述情况中,截获信息的攻击属于被动攻击,而中断、篡改和伪造信息的攻击称为主动攻击。
从网络高层的角度划分,攻击方法又可以分为服务攻击和非服务攻击两类。其中,服务攻击是针对某种特定网络服务的攻击,比如针对E-mail、WWW服务进行的攻击;非服务攻击是基于网络层等底层协议进行的攻击,比如ARP地址欺骗攻击等。
拒绝服务DoS攻击:借助于网络系统或网络协议的缺陷和漏洞进行的网络攻击,让目标系统受到某种程度的破坏而不能继续提供正常的服务甚至服务中断。分布式拒绝服务DDoS:攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。防范DDOS攻击:定期检查服务器漏洞、部署CDN、关闭不必要的服务或端口、利用网络安全设备来加固网络的安全性。
SQL注入攻击:用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。 防止SQL注入攻击:使用参数化的过滤性语句、要避免使用解释程序,避免出现一些详细的错误消息、使用专业的漏洞扫描工具、使用IPS、WAF等设备。
XSS跨站脚本攻击:利用网站漏洞从用户那里恶意盗取信息。XSS防御:验证所有输入数据,有效检测攻击、对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行、也可以部署一些专用的WEB防护设备、IPS设备。
计算机病毒
病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
病毒前缀是指一个病毒的种类,我们常见的有Script(代表脚本病毒)、Trojan(代表木马病毒)、Worm(代表蠕虫病毒)、Harm(代表破坏性程序)、Macro/WM/WM97/XM/XM97(代表宏病毒)、Win32/W32(代表系统病毒),一般DOS类型的病毒是没有前缀的。
计算机病毒的预防方法:
1、安装杀毒软件及网络防火墙(或者断开网络),及时更新病毒库;
2、及时更新操作系统的补丁;
3、不去安全性得不到保障的网站;
4、从网络下载后文件及时杀毒;
5、关闭多余端口,做到使电脑在合理的使用范围之内;
6、不要使用修改版的软件,如果一定要用,请在使用前查杀病毒&木马,以确保安全。