1、四级网络工程师概要四级网络工程师概要第一单元 网络规划与设计网络需求调研与系统设计的基本原则:(1)从充分调查入手,充分理解用户业务活动和用户信息需求。(2)在调查、分析的基础上,在充分考虑需求与约束(经费、工作基础与技术等方面)的前提之下,对网络系统组建与信息系统开发的可行性进行充分地论证,避免盲目性。(3)运用系统的观念,完成网络工程技术方案的规划和设计。(4)根据工程时间要求,将网络系统组建的任务按照设计、论证、实施、验收、用户培训、维护的不同阶段进行安排,大型网络系统的建设需要聘请专业的监理公司对项目执行的全过程进行监理。(5)强调各阶段文档资料的完整性与规范性。 网络需求分析1、网络
2、总体需求分析,根据应用软件的类型不同,可以分为3类:(1)MIS/OA/Web类应用,数据交换频繁,数据流量不大(2)FTP/CAD类应用,数据交换不频繁,数据流量大(3)多媒体数据流文件,数据交换频繁,数据流量大2、结构化布线需求分析通过对结点分布的实地考察,结合建筑物内部结构与建筑物之间的关系,连接的难易程度,确定中心机房、楼内各层的设备间、楼间连接技术、以及施工的造价,确定中心机房及各网段设备间的位置和用户结点的分布,确定结构化布线的需求、造价与方案。3、网络可用性与可靠性分析4、网络安全性需求分析5、网络工程造价估算 网络规划设计1、网络工程建设总体目标与设计原则网络工程建设必须首先明
3、确用户的实际需求,统一规划,分期建设,选择适合的技术,确保网络工程建设的选进性、可用性、可靠性、可扩展性与安全性。因此网络系统设计的原则是实用性、开放性、高可靠性、安全性、先进性与可扩展性。2、网络结构与拓扑构型设计方法大型和中型网络系统必须采用分层的设计思想,这是解决网络系统规模、结构和技术的复杂性的最有效方法。其中,核心层网络用于连接服务器集群、各建筑物子网交换路由器,以及与城域网连接的出口;汇聚层网络用于将分布在不同位置的子网连接到核心层网络,实现路由汇聚的功能;接入层网络将终端用户计算机接入到网络之中。核心路由器之间、路由器与汇聚路由器直接使用具有冗余链路的光纤连接。汇聚路由器与接入路
4、由器,接入路由器与用户计算机之间可以使用非屏蔽双绞线(UTP)连接。3、核心层网络结构设计核心层网络是整个网络系统的主干部分,应该是设计与建设的重点。主要技术标准是GE/10GE,核心设备是高性能交换路由器,连接路由器是具有冗余链路的光纤。4、汇聚层网络与接入层网络结构设计汇聚层网络用于将分布在不同位置的子网连接到核心层网络,实现路由汇聚的功能。接入层网络用于将终端用户计算机接入到网络之中。 网络设备与选型 设备选型的基本原则1、产品系列与厂商的选择2、网络的可扩展性考虑3、网络技术先进性考虑 路由器选型的依据1、路由器的分类高端:背板交换能力40Gbps中低端:背板交换能力40Gbps高端:
5、多个高速光端口,支持多协议标记交换(MPLS)协议中端:支持IP协议的同时,支持IPX、Vines等多种协议,支持防火墙、QoS、安全与VPN策略低端:支持局域网、ADSL、接入与PPP接入方式与协议2、路由器的关键技术指标(1)吞吐量,是指路由器的包转发能力。(2)背板能力,是路由器输入端与输出端之间的物理通道。传统的路由器采用的是共享背板的结构,高性能路由器一般采用交换式结构,背板能力决定吞吐量。(3)丢包率,是指在稳定的持续负荷情况下,由于包转发能力的限制而造成包丢失的概率。(4)延时与延时抖动,是指数据包的第一个比特进入路由器,到该帧的最后一个比特离开路由器所经历的时间,该时间间隔标志
6、着路由器转发包的处理时间。(5)突发处理能力,是以最小帧间隔发送数据包而不引起丢失的最大发送速率来衡量的。(6)路由表容量,路由器的一个重要任务就是建立和维护一个与当前网络链路状态与结点状态相适应的路由表。路由表容量指标标志着该路由器可以存储的最多的路由表项的数量。(7)服务质量,主要表现在列队管理机制、端口硬件队列管理和支持QoS协议上。(8)网管能力,表现在网络管理员可以通过网络管理程序和通用的网络管理协议SNMPv2等,对网络资源进行集中的管理与操作。(9)可靠性与可用性,表现在:设备的冗余、热拔插组件、无故障工作时间、内部时钟精度等方面。、交换机分类与主要技术指标1、交换机的分类(1)
7、从所支持的技术类型分类,可以分为10Mbps Ethernet交换机、Fast Ethernet交换机与1Gbps的GE交换机。(2)从内部结构分类,可以分为固定端口交换机与模块交换机。(3)从应用规模分类,可以分为:企业级交换机、部门级交换机与工作组级交换机。2、交换机主要的技术指标(1)背板带宽,是交换机输入端与输出端之间的物理通道。(2)全双工端口带宽,其计算方法:端口数*端口速率*2。背板带宽应该大于此值。(3)帧转发速率,是指交换机每秒钟能够转发的帧的最大数量。(4)机箱式交换机的扩张能力,可以选取不同类型的控制模块来达到支持不同类型的协议与不同端口带宽的目的。(GE模块,FE模块,
8、FDDI模块,ATM模块,Token Ring模块等)(5)支持VLAN能力,是用户需要关注的重要指标之一,大部分交换机支持802.1Q协议,有的则支持Cisco专用的组管理协议CGMP。VLAN的划分可以是基于端口的,也可以是基于MAC地址或IP地址的。3、交换机配置选择(1)机架插槽数,是指模块式交换机所能够安插的最大的模块数(2)扩展槽数,是指固定端口式交换机所带的扩展槽最多可以安插的模块数。(3)最大可堆叠数,是指一个堆叠单元中可以堆叠的最大的交换机数量。(4)端口密度与端口类型,密度是指一台交换机所能够支持的最小/最大的端口数,类型是指全双工端口/单工端口。(5)最小/最大GE端口数
9、,是指一台交换机所能够支持的最小/最大的1000Mbps 速率的端口数量。(6)支持的网络协议类型,固定配置的交换机只有一种协议(Ethernet协议),机架式交换机与带有扩展槽的交换机一般支持多种协议(如:GE/FE/FDDI/ATM等)(7)缓冲区大小,是来协调不同端口之间的速率匹配。(8)MAC地址表大小,用来存储连接在不同端口上的主机或设备的MAC地址。(9)可管理性,主要的网络管理协议与软件包括:IBM NetView/HP OPENVIEW/SNMP(10)设备冗余,对于管理卡、交换结构、接口单元、电源需要考虑冗余。4、网络综合布线方案设计 综合布线系统的定义 综合布线系统引入我国
10、,由于各国产品类型不同,综合布线系统的定义是有差异的。我国原邮电部于1997年9月发布的YDT 926.1-1997通信行业标准大楼通信综合布线系统第一部分:总规范中,对综合布线系统的定义为:“通信电缆、光缆、各种软电缆及有关连接硬件构成的通用布线系统,它能支持多种应用系统。即使用户尚未确定具体的应用系统,也可进行布线系统的设计和安装。综合布线系统中不包括应用的各种设备。” 目前所说的建筑物与建筑群综合布线系统,简称综合布线系统。它是指一幢建筑物内(或综合性建筑物)或建筑群体中的信息传输媒质系统。它将相同或相似的缆线(如对绞线、同轴电缆或光缆)、连接硬件组合在一套标准的且通用的、按一定秩序和内
11、部关系而集成为整体,因此,目前它是以CA为主的综合布线系统。今后随着科学技术的发展,会逐步提高和完善,形成能真正充分满足智能化建筑所需的要求。 综合布线系统的特点 综合布线系统是目前国内外推广使用的比较先进的综合布线方式,具有以下特点: (1)综合性、兼容性好 传统的专业布线方式需要使用不同的电缆、电线、接续设备和其它器材,技术性能差别极大,难以互相通用,彼此不能兼容。综合布线系统具有综合所有系统和互相兼容的特点,采用光缆或高质量的布线部件和连接硬件,能满足不同生产厂家终端设备传输信号的需要。 (2)灵活性、适应性强 采用传统的专业布线系统时,如需改变终端设备的位置和数量,必须敷设新的缆线和安
12、装新的设备,且在施工中有可能发生传送信号中断或质量下降,增加工程投资和施工时间,因此,传统的专业布线系统的灵活性和适应性差。在综合布线系统中任何信息点都能连接不同类型的终端设备,当设备数量和位置发生变化时,只需采用简单的插接工序,实用方便,其灵活性和适应性都强、且节省工程投资。 (3)便于今后扩建和维护管理 综合布线系统的网络结构一般采用星型结构,各条线路自成独立系统,在改建或扩建时互相不会影响。综合布线系统的所有布线部件采用积木式的标准件和模块化设计。因此,部件容易更换,便于排除障碍,且采用集中管理方式,有利于分析、检查、测试和维修,节约维护费用和提高工作效率。 (4)技术经济合理 综合布线
13、系统各个部分都采用高质量材料和标准化部件,并按照标准施工和严格检测,保证系统技术性能优良可靠,满足目前和今后通信需要,且在维护管理中减少维修工作,节省管理费用。采用综合布线系统虽然初次投资较多,但从总体上看是符合技术先进、经济合理的要求的。第二单元 IP基础一、 IP地址规划的基本步骤(1)判断用户对网络与主机数的需求(2)计算满足用户需求的基本网络地址结构(3)计算地址掩码(4)计算网络地址(5)计算网络广播地址(6)计算网络的主机地址二、地址规划的基本方法步骤一:判断网络与主机数量的需求(1)网络中最多可能使用的子网数量Nnet;(2)网络中最大网段已有的和可能扩展的主机数量Nhost。步
14、骤二:计算满足用户需求的基本网络地址结构(1)选择subnet ID字段的长度值X,要求Nnet=2的X次方例如:子网数为10,10=2的4平方,所以subnet ID4(2)选择host ID字段的长度值Y,要求Nhost=2的Y次方假设:子网主机数为12,12=2的4平方,所以host ID4注意:host ID字段值为全0表示的是该网络的net ID;host ID字段值为全1表示的是该网络的广播地址。(3)根据X+Y的值可以确定需要申请哪一类IP地址长度为8,选择C类地址,长度大于8bit则需要申请2个C类地址或B类地址了。步骤三、计算地址掩码没有划分子网的C类地址掩码为255.255
15、.255.0划分子网之后的地址掩码是将一个标准32位IP地址中高于host ID(Y位以上)的高位置1即可,根据上面的就可以做成11111111.11111111.11111111.11110000 换算成十进制就是255.255.255.240.如果这个C类地址为192.168.1.0 可以简单表示为192.168.1.0/28步骤四、计算网络地址由于地址设计时选择host ID长度Y4,那么每一个子网中最多有14个主机,也就是说相邻子网的主机地址增量值为16。一般不用192.168.1.0 192.168.1.240这两个地址号步骤五、计算网络广播地址不分子网的话就是192.168.1.2
16、55分子网就是下一个子网地址小1的地址,一般是本子网的最后一位。如192.168.1.1631,那么广播地址为192.168.1.31步骤六、计算网络的主机地址剔除网络地址和广播地址之外的网络地址都是主机可以使用的地址。如192.168.1.1631,那么主机地址为:192.168.1.1730第三单元 路由设计基础一、分组转发的基本概念分组转发是指在互联网络中路由器转发IP分组的物理传输过程与数据报转发机制。二、路由选择的基本概念1、路由选择算法的主要参数跳数,是以一个分组从源结点到达目的结点经过的路由器的个数。带宽,指链路的传输速率。延时,是指一个分组从源结点到达目的结点所花费的时间。负载
17、,是指单位时间内通过路由器或线路的通信量。开销,是指传输过程中的耗费,耗费通常与所使用的链路带宽相关。2、评价路由选择的依据(1)算法必须是正确、稳定和公平的(2)算法应该尽量简单(3)算法必须能够适应网络拓扑和通信量的变化(4)算法应该是最佳的3、路由选择算法的分类(1)静态路由表(2)动态路由表4、IP路由选择与路由汇聚的基本概念最流行的方法是将记录无类域间路由CIDR的路由表改造成一种层次型的数据结构,采用二叉树的特殊结构的树,或者以压缩的办法来达到快速查找的目的。自治系统与internet的路由选择协议1、Internet采用分层的路由选择协议,并且将整个Internet划分为许多较小
18、的自治系统。自治系统内部的路由选择称为域内路由选择;自治系统之间的路由选择称为域间路由选择。2、Internet路由选择协议分为两大类:内部网关协议(IGP)内部网关协议是在一个自治系统内部使用的路由选择协议,这与Internet中的其他自治系统选用什么路由选择协议无关。目前内部网关协议主要有:路由信息协议RIP和开放最短路径优先协议OSPF。外部网关协议(EGP)当源主机和目的主机处在不同的自治系统中,并且这两个自治系统使用不同的内部网关协议时,当分组传送到两个自治系统的边界时,就需要使用一种协议将路由选择信息传递到另一个自治系统中,这时就需要使用外部网关协议。目前外部网关协议主要是边界网关
19、协议BGP。 内部网关协议IGP 路由信息协议RIP一、路由信息协议RIP的基本概念是一种分布式、基于距离向量的路由选择协议,其特点是协议简单。二、路由信息协议的工作过程1、路由表的建立2、路由表信息的更新 开放最短路径优先协议OSPF一、最短路径优先协议OSPF的主要特点1、OSPF协议最主要的特征是使用分布式链路状态协议,而RIP使用的是距离向量协议。2、OSPF协议要求路由器发送的信息是本路由器与那些路由器相邻,以及链路状态的度量。链路状态的度量主要是指:费用、距离、延时、带宽等。3、OSPF协议要求当链路状态发生变化时用洪泛法向所有的路由器发送此信息,而RIP只向相邻的几个路由器交换路
20、由信息4、由于执行OSPF协议的路由器之间频繁地交换链路状态信息,因此所有的路由器最终都能建立一个链路状态数据库。这个数据库实际上就是全网的拓扑结构图,并且在全网范围内是保持一致的。5、为了适应规模很大的网络,并使更新过程收敛得更快,OSPF协议将一个自治系统再划分为若干个更小的范围,叫做区域area。在一个区域内的路由器数不超过200个。二、最短路径优先协议OSPF执行过程1、路由器的初始化过程2、网络运行过程 外部网关协议EGP主要为边界网关协议BGP,BGP-4采用了路由向量路由协议,在配置BGP时,每一个自治系统的管理员要选择至少一个路由器作为该自治系统的”BGP发言人”。BGP路由选
21、择协议的工作过程1、 边界路由器初始化过程2、BGP路由选择协议的四种分组打开分组、更新分组、保活分组、通知分组第四单元 网络系统安全设计一、网络安全的基本呢要素1、保密性:保证信息为授权者享用而不泄露给XX者2、完整性:数据完整性和系统完整性3、可用性:保证信息和信息系统随时为授权者提供服务4、可鉴别性:指对实体身份的鉴别,适用于用户、进程、系统、信息等5、不可否认性:无论发送方还是接收方都不能抵赖所进行的传输二、信息泄露与篡改信息泄露与篡改是信息在网络传输的过程中出现的安全问题。1、截获信息2、窃听信息3、篡改信息4、伪造信息三、网络攻击1、服务攻击2、非服务攻击3、非授权访问4、网络病毒
22、四、网络安全模型1、对发送的信息进行安全转换(信息加密),实现信息的保密性2、发送和接收双方共享的某些信息(加密密钥),这些信息除了对可信任的第三方外,对于其他用户是保密的。3、P2DR安全模型策略,防护,检测,响应五、网络安全规范网络安全只凭技术来解决是远远不够的,还必须依靠政府与立法机构制定并不断完善法律法规来进行制约。数据备份方法一、 备份模式1、逻辑备份2、物理备份二、备份策略1、完全备份2、增量备份3、差异备份三、冷备份与热备份冷备份又叫离线备份,用户不再更新数据的情况下备份热备份也称在线备份,或数据复制,即同步数据备份加密技术一、加密算法与解密算法二、对称密码体制数据加密标准DES
23、是最典型的对称加密算法。三、非对称密码体制常用加密算法主要有RSA公钥。RSA算法的安全性建立在大素数分解的基础上,素数分解是一个极其困难的问题。防病毒技术一、计算机病毒1、非授权可执行性2、隐蔽性3、传染性4、潜伏性5、表现性或破坏性6、可触发性其分类有:1、引导型病毒2、文件型病毒3、复合型病毒二、网络病毒1、传播方式多样,传播速度更快2、影响面更广3、破坏性更强4、难以控制和根治5、编写方式多样,病毒变种多6、智能化7、混合病毒三、恶意代码1、蠕虫2、木马防火墙技术一、防火墙的主要功能1、检查所有从外部网络进入内部网络和从内部网络流出到外部网络的数据包。2、执行安全策略,限制所有不符合安
24、全策略要求的数据包通过。3、具有防攻击能力,保证自身的安全性。二、防火墙的分类1、包过滤路由器2、应用级网关3、应用代理4、状态检测三、防火墙的系统结构1、包过滤路由器结构2、双宿主主机结构3、屏蔽主机结构4、屏蔽子网结构入侵检测技术一、入侵检测系统的基本功能监控分析用户和系统的行为检查系统的配置和漏洞评估重要的系统和数据文件的完整性对异常行为的统计分析,识别攻击类型,并向网络管理人员报警。对操作系统进行审计,跟踪管理,识别违反授权的用户活动二、入侵检测系统的结构1、事件发生器2、事件分析器3、响应单元4、事件数据库网络安全设计一、网络安全概论了解网络安全的基本概念: 互联网发展现状分析; 建
25、立安全机制的必要性; 网络安全解决方法; 管理黑客活动。二、网络攻击的目的、方法和原理了解网络攻进击的目的、方法和原理的基本概念: 网络攻击及网络安全设计的目的基本概念; 网络攻击的基本步骤; 常见攻击手法(口令入侵,植入特洛伊木马程序,WWW的欺骗技术,电子邮件攻击,通过一个节点攻击其他节点,网络监听,黑客软件,安全漏洞攻击,端口扫描攻击); 网络攻击手法的原理剖析(缓冲区溢出攻击的原理和防范措施,拒绝服务攻击的原理和防范措施); 网络安全设计的原则。三、服务器操作系统基础熟练掌握服务器系统的工作原理: 操作系统基本原理; 常见的操作系统分类及其典型代表; Windows Server 3的
26、安装和配置; Windows Server 3 安全特性基础。四、用户管理熟悉用户管理的理论和实践: 用户账户和组账户的概念和基本类型; 用户账户的管理(创建新用户账户,用户账户密码策略,设置用户账户属性,管理用户账户,创建和修改计算机账户); 组对象的管理(Windows Server 3默认组,创建组,设置组属性,删除组); 计算机组策略(组策略概述,创建组策略,组策略应用建议)。五、数据文件的安全管理熟练数据文件的安全管理方法: 磁盘管理的基本知识; 基本磁盘管理; 加密文件系统; 数据的备份与恢复。六、身份验证和证书服务熟练掌握身份验证和证书服务的方法: 身份验证的概念; 交互式登录的
27、原理及过程; 网络身份验证;Kerberos; 微软公钥基础设施; 数字证书; 证书模板; 配置证书模板; 信任模型概述。七、文件共享与打印服务熟练掌握文件共享与打印服务的方法: 访问控制概述; 文件共享; 管理打印服务。八、Internet信息服务熟练掌握Internet信息服务的方法: 安装Internet信息服务器; 创建和设置应用程序池; 设置与管理Web站点; 设置与管理FTP服务; IIS配置数据库管理。九、网络监视与调整熟练使用网络监视的工具: 系统监视器的使用; 网络监视器的使用; 事件查看器的使用; 性能日志和警报; 任务管理器。十、安全审核基本掌握安全审核的工作方法: Wi
28、ndows Server 3 的审核功能; 查看和备份日志; 配置高级审核策略; 配置对象审核策略。十一、终端服务掌握终端服务的基本内容: 安装终端服务器; 配置终端服务器; 远程桌面。十一、终端服务掌握终端服务的基本内容: 安装终端服务器; 配置终端服务器; 远程桌面。十二、网络传输安全掌握网络传输安全的要素: IPSec的部署; DHCP的配置和管理; 动态DNS的配置。第五单元 网络构建1、局域网组网技术一、局域网标准 IEEE802标准二、交换式局域网的基本概念,基于交换机三、虚拟局域网的基本概念VLAN将局域网中的结点按工作性质与需要划分成若干个“逻辑工作组”,则一个逻辑工作组就是一
29、个虚拟网络。2、综合布线的概念PDS是一种模块化的、灵活性极高的建筑物内或建筑群之间的信息传输通道。一、综合布线的特点:(1)兼容性(2)开放性(3)灵活性(4)可靠性(5)先进性(6)经济性二、综合布线系统的组成(1)工作区子系统(2)配线(水平)子系统(3)干线(垂直)子系统(4)设备间子系统(5)管理子系统(6)建筑群子系统三、综合布线系统设计等级(1)基本型(2)增强型(3)综合型3、综合布线系统标准(1)ANSI/TIA/EIA 568-A(2)TIA/EIA-568-B.1、TIA/EIA-568-B.2和TIA/EIA-568-B.3(1)网线制作方法直通线连接方式:T568A-
30、T568A、T568B-T568B 交叉线连接方式:T568A-T568B、T568B-T568A 反转线连接方式:T568A-8跟线全部逆序排列、T568B-8跟线全部逆序排列 T568A线序:绿白、绿、橙白、蓝、蓝白、橙、棕白、棕 T568B线序:橙白、橙、绿白、蓝、蓝白、绿、棕白、棕 10M/100M网速时仅仅使用到1、2、3、6四根线 1000M以上网速时需要使用到额外的4根线 同级设备相连是直连线 不同级设备相连是交叉线。 比如说路由器与路由器相连就是直连线 路由器和计算机相连也是直连线 而路由器与交换机相连是交叉线。(2)交换机配置与使用方法一、交换机的配置方式具体太多省略了配置IPSec协议IP_SECURITY协议(IPSec),是INTERNET工程任务组(IETF)为IP安全推荐的一个协议。通过相应的隧道技术,可实现VPN。IPSec有两种模式:隧道模式和传输模式。IPSec协议组还包括支持网络层安全性密钥管理要求的密码技术。ISAKMP配置MPLS协议二、无线网络设备安装
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1