网络管理复习.docx

1、网络管理复习OSI模型：物理层，数据链路层，网络层，传输层，会话层，表示层，应用层TCP/IP模型：自下而上依次为网络接口层、网际层、传输层和应用层 网络接口层：定义了与物理网络的接口规范，负责收发IP数据包 网际层：实现不同主机间的通信，包括形成IP数据包和寻址 传输层：提供端到端的通信，包括TCP和UDP 应用层：支持应用服务，向用户提供常用的应用协议 以下几个原因使得简单地人工进行网络检测和管理变得很困难;1网络规模增大 2网络复杂性增大 3网络的应用多样化 根本的解决方法： 研究和开发自动化的网络管理系统，采用先进的网络管理技术 管理功能分为管理站（Manager）和代理（Agent）

2、两个部分网络管理实体（NME）:每个网络节点都包含的一组与管理有关的软件一个网络管理系统从逻辑上可以认为是由管理对象、管理进程和管理协议三个部分组成的，管理信息库是管理进程的一部分。在OSI管理标准中，将开放系统的管理功能划分为五个功能域：配置管理 ,性能管理 ,故障管理 ,安全管理 ,记账管理 OSI把网络管理分为系统管理和层管理NAT使用路由器或网关将数据包的信源和信宿的IP地址进行转换，从而隐藏内网机器真实的IP，可避免来自外网的直接攻击。NAT一般在防火墙中完成，其方式有1对1、1对多、多对多方式。使用后两者可节约IP。Internet控制消息协议ICMP是用于报告错误并代表IP对消息

3、进行控制。ICMP协议针对IP包无法传输时提供一种报告机制，这种差错报告帮助了发送方了解为什么无法传递，网络发生了什么问题，确定应用程序后续操作。 ICMP可看成IP层的一部分，实际是把原来IP数据报的开头8B数据发送回信源主机进行数据报到达的确认。ICMP包的构成部分见课本P15页ARP（地址解析协议）的作用就是查询IP地址所对应的MAC地址的协议，以太网设备以48位的MAC地址作为信源和信宿的地址。工作工程如下：1. 源主机发送IP时，首先在ARP表中检索得到目的主机的MAC地址，然后由数据链路层实体把目标主机MAC地址装配到数据帧中发送出去。2. 目标主机收到数据帧后剥掉帧头的地址信息，

4、将数据提交给网络层实体。3. 当源宿不在同一子网中时，源主机加入帧头的不是目标主机的MAC，而是路由器的MAC地址RARP（Reverse Address Resolution Protocol）协议：作用与ARP功能相反，是把MAC地址映射到IP地址。主要用于IP地址动态分配的网络中。 TCP连接建立是通过三次握手协议来实现TCP与UDP区别: 1.TCP（传输控制协议）是实现端到端连接，进行系统间高可靠通信的协议，是面向连接的协议。2.TCP还具有数据包的顺序号管理和流量控制功能。3.传输控制协议TCP是传输层协议，它提供可靠、双工、面向连接的端到端数据流传送服务。4.TCP连接以信源的端

5、口号为起点，终止于信宿的端口号，采用三次握手协议建立和释放连接5.TCP实现数据包的高可靠传输，进行数据包错误和丢失检测，如有错误或丢失则自动重传。6.TCP具有数据包的顺序号和流量控制功能。UDP（User Datagram Protocol）协议：1.用户数据报协议UDP是 无连接的传输层协议，提供不可靠的信息传送服务。2.UDP因不建立连接效率较高，适用于发送少量数据的应用程序或应用程序保证可靠性的情况，如SNMP，DNS。 SNMP体系结构见P21页，从被管理设备中收集数据有两种方法：轮询和基于中断的方法 FAT是File Allocation Table（文件分配表）的缩写，它是存储

6、磁盘空间信息的结构。它存储了关于每个文件的信息，以便以后检索文件。FAT文件系统最初起源于DOS，并被用于DOS、所有的Windows版本、UNIX、LINUX和OS/2系统支持。因为其被广泛支持，所以它最大的优点是它的兼容性。它主要用于小型磁盘和简单文件结构的简单文件系统。NTFS是New Technology File System（NT文件系统）是缩写，它是Windows 2003 server 支持的第三种文件系统。Windows 2003 server所推荐使用的NTFS文件系统提供了FAT和FAT32文件系统所没有的、全面的性能，可靠性和兼容性。NTFS文件系统的设计目标就是用来在

7、很大的硬盘上能够很快地执行诸如：读、写和搜索这样的标准文件操作，甚至包括像文件系统恢复这样的高级操作。NTFS的优点： 更为安全的文件保障，提供文件加密，能够大大提高信息的安全性。 更好的磁盘压缩功能。 支持最大达2TB的大硬盘，并且随着磁盘容量的增大，NTFS的性能不像FAT那样随之降低。 可以赋予单个文件和文件夹权限：对同一个文件或者文件夹为不同用户可以指定不同的权限；可以为单个用户设置权限。 恢复能力：用户在NTFS卷中很少需要运行磁盘修复程序。在系统崩溃事件中，NTFS文件系统使用日志文件和复查点信息自动恢复文件系统的一致性。 NTFS文件夹的B-Tree结构使得用户在访问较大文件夹中

8、的文件时，速度甚至较访问卷中较小文件文中的文件还快。 可以在NTFS卷中压缩单个文件和文件夹。且用户不需要使用解压软件将这些文件展开，而直接读写压缩文件。 支持活动目录和域：可以帮助用户方便灵活地查看和控制网络资源。 支持稀疏文件：应用程序生成的一种特殊文件，它的文件尺寸非常大，但实际上只需要很少的磁盘空间；NTFS只需要给这种文件实际写入的数据分配磁盘存储空间。 支持磁盘配额：可以管理和控制每个用户所能使用的最大磁盘空间。 远程存储，通过使可移动媒体（如磁带）更易访问，从而扩展了磁盘空间。（简答题）DNS域名解析的方法：两种测试方法1非互动查询 2互动查询 命令都为nslookup1. 当

9、DNS 客户机需要查询程序中使用的名称时，它会查询 DNS 服务器来解析该名称。DNS 查询以各种不同的方式进行解析。 客户机有时也可通过使用以前查询获得的缓存信息就地应答查询。 DNS 服务器可使用其自身的资源记录信息缓存来应答查询。 2. DNS 域名解析的方法主要有：递归查询法、叠代查询法和反向查询法。递归查询法： 如果 DNS 服务器无法解析出 DNS 客户机所要求查询的域名所对应的 IP地址时，DNS服务器代表 DNS 客户机来查询或联系其它 DNS 服务器， 以完全解析该名称，并将应答返回给客户机，这个过程称为递归查询法。 采用递归查询法进行解析，无论是否解析到服务器的 IP地址，

10、都要求 DNS 服务器给予DNS 客户机一个明确的答复，要么成功要么失败。 DNS 服务器向其它 DNS 服务器转发请求域名的过程与 DNS 客户机无关， 是 DNS 服务器自己完成域名的转发过程。叠代查询法 为了克服递归查询中所有的域名解析任务都落在 DNS 服务器上的缺点，可以想办法让DNS 客户机也承担一定的 DNS 域名解析工作，这就是叠代查询法。 采用叠代查询法解析时， DNS 服务器如果没有解析出 DNS 客户机的域名，就将可以查询的其它 DNS 服务器的 IP地址告诉 DNS 客户机， DNS 客户机再向其它 DNS 服务器发出域名解析请求，直到有明确的解析结果。 如果最后一台

11、DNS 服务器也无法解析，则返回失败信息。反向查询法：递归查询和叠代查询都是正向域名解析，即从域名查找 IP地址。 DNS 服务器还提供反向查询功能，即通过 IP地址查询域名。DNS域名解析的过程：DNS 域名采用客户机服务器模式进行解析。客户机由网络应用软件和 DNS 客户机软件构成。DNS 服务器上有两部分资料，一部分是自己建立和维护的域名数据库，存储的是由本机解析的域名；另外一部分是为了节省转发域名的开销而设立的域名缓存，存储的是从其它 DNS 服 DNS 服务器解析的历史记录。流量监测原理TCP/IP网络流量的采集方式包括网络监听（截获）方法和流量过滤统计方法。以太网的最大特点是共享通

12、信媒体，位于网络内的任意一台主机都可以监听到网络中传输的所有数据包。以太局域网中所有位于网络内部的主机共享同一通信媒体，相互间通过竞争方式来进行通信。具体见P34页Web网络管理系统有两种基本的实现方法： 1、代理方式 2、嵌入方式 以上两种方法区别：前者在一个内部工作站上运行web服务器（代理）。此工作站轮流与端点设备通信。后者将web功能嵌入到网络设备中，每个设备都有自己的web地址，管理员可通过浏览器直接访问并管理该设备。Windows 2000 以应用程序日志、系统日志和安全日志三种日志方式记录事件事件查看器显示可以显示的事件类型：1）错误2）警告3）信息4）成功审核5）失败审核IP策

13、略：IP策略控制保证通讯安全的方式和时间。每个规则均包含筛选器列表和一组安全措施，这些措施与该列表匹配后进行。在右边策略列表中双击某个策略，可以打开属性设置对话框。（过程见PPT复习）（简答题考密码策略有关问题）帐户策略：帐户策略设置密码策略和帐户锁定策略。网络安全的目标是保证网络中的信息安全：1.数据的完整性。保证计算机系统上的数据和信息处于一种完整和未损害的状态，只能由许可当事人更改。2.系统的保密性。保证系统远离危险的状态和特性，既为防止蓄意破坏，犯罪，攻击而对数据进行为授权访问的状态火行为，只能由许可的当事人访问。3.数据的可获性。不能阻止被许可的当事人使用。4.信息的不可抵赖性。信息

14、不能被信息提供人员否认。5.信息的可信任性。信息不能被他人伪冒。美国国防部 可信计算机系统评估准则 ：D1 C1 C2 B1 B2 B3 A1D1 无安全限度 C1 最低安全限度 C2 基本保护能力 Win2k/NT，Netware，Unix B1/B2 中等安全保护 B3/A1 最高安全等级计算机信息系统安全保护等级划分准则（GB17859-1999） 五级1 用户自主保护级 2 系统审计保护级3 安全标记保护级 4 结构化保护级5 访问验证保护级数据备份：三种备份操作：1.全盘备份2.增量备份3.差异备份存储媒介和技术：1.冷备份2.热备份 完全备份：备份全部选中的文件夹，并不依赖文件的存

15、档属性来确定备份那些文件。（ 在备份过程中，任何现有的标记都被清除，每个文件都被标记为已备份，换言之，清除存档属性）。 差异备份：差异备份是针对完全备份：备份上一次的完全备份后发生变化的所有文件。（差异备份过程中，只备份有标记的那些选中的文件和文件夹。它不清除标记，既：备份后不标记为已备份文件，换言之，不清除存档属性）。 增量备份：增量备份是针对于上一次备份（无论是哪种备份）：备份上一次备份后，所有发生变化的文件。（增量备份过程中，只备份有标记的选中的文件和文件夹，它清除标记，既：备份后标记文件，换言之，清除存档属性。） 数据传输安全系统：依加密实现的通信层次分，有链路加密（OSI网络层以下的

16、加密）节点加密、端到端加密（传输前对文件加密，位于OSI网络层以上的加密）三种。常用：链路加密和端到端加密。（掌握）拒绝服务攻击（DoS）：一个用户占据了大量的共享资源，使系统没有剩余的资源给其他用户再提供服务的一种攻击方式称为拒绝服务攻击。拒绝服务的类型：1.使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。2.过载一些系统服务或者消耗一些资源拒绝服务攻击的方式：1.IP欺骗DoS攻击2.带宽DoS攻击3.自身消耗的DoS攻击4.利用服务漏洞5.日志DoS 6.发送垃圾函件 7.塞满硬盘 8.合理利用策略分布式拒绝服务攻击：DDOS( Distributed Denial O

17、f Service Attacks)攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的， DDoS就是利用更多的傀儡机来发起进攻。缓冲区溢出：是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。缓冲区溢出的原理：通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。 向一个有限空间的缓冲区中拷贝了过长的字符串，带来了两种后果，一是过长的字符串覆盖了相临的存储单元而造成程序瘫痪，甚至造成宕机、系统或

18、进程重启等；二是利用漏洞可以让攻击者运行恶意代码，执行任意指令，甚至获得超级权限等。网络监听：局域网采用广播方式，黑客在某个广播域中任何地方可以监听到所有的信息包并进行分析就能获取局域网上传输的重要信息。发现方法：1.用正确的IP地址和错误的MAC地址ping，查看其是否有反应。2.使用反监听工具，如antisniffer（掌握）反监听工具工作原理（如antisniffer）：发送一个目的地址为：FF-FF-FF-FF-FF-FE（系统会认为属于广播地址）的ARP请求，对于普通模式（广播等）的网卡，这个地址不 是广播地址，就会直接抛弃，而如果处于混杂模式，那么ARP请求就会被系统核心当作广 播

19、地址处理，然后提交给sniffer程序。系统核心就会应答这个ARP请求。防范口令攻击不建议使用的口令：1.口令和用户名相同2.口令和用户名中的某几个邻近的数字或字母3.口令为连续或相同的数字或字母4.将用户名颠倒或加前后缀作为口令5.使用姓氏的拼音或单位名称的缩写作为口令6.使用自己或亲友的生日作为口令7.使用常用英文单词作为口令8.口令长度小于6位（名词解释题）计算机病毒：1.蠕虫病毒是一种通过网络传播的恶性病毒，它除具有病毒的一些共性外，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及与黑客技术相结合等等。2.完整的木马病毒程序一般由两个部分组成，一

20、个是服务器程序，一个是控制程序，被病毒感染的计算机会自动运行服务器程序。蠕虫病毒常见的传播方式有2种：1.利用系统漏洞传播2.利用电子邮件传播木马程序通常通过伪装自己的方式进行传播，常见的伪装方式有： 伪装成小程序，通常会起一个很诱人的的名字。数据加密技术：DES（对称加密）采用了散布、混乱等基本技巧，构成算法的基本单元是置换、代替和模2加。算法结构公开，安全性由密钥保证加密速度快，可用硬件芯片实现，适合于大量数据加密。非对称加密算法-RSA：公钥密码中收发双方使用的密钥互不相同，且几乎不可能相互推导RSA算法基于数论事实：将两个大素数相乘十分容易，但是想分解它们的乘积却极端困难。RSA的优点

21、是不需要密钥分配，但缺点是速度慢。实际应用中可将常规密码和公钥密码结合使用。（掌握）公钥体制模型防火墙：是网络系统安全保护中最常用的技术。防火墙系统是一种网络安全部件，可以是硬件，也可能是软件和硬件的集合。防火墙处于被保护网络和其他网络的边界，接受进出被保护网络的数据包，并根据防火墙所配置的访问控制策略进行过滤或做出其他操作。按照防火墙对内外来往数据的处理方法，可以将防火墙分为两大体系：包过滤防火墙和代理防火墙（应用层网关防火墙）。安全扫描的发展趋势：1.使用插件技术（Plugin，或叫做功能模块技术）2.使用专用脚本语言3.由安全扫描程序到安全评估专家系统入侵检测步骤：1.信息收集 2.数据

22、分析 3.响应（被动响应和主动响应）黑客诱骗技术：通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。又称为蜜罐(Honeypot)系统。利用蜜罐技术可以收集黑客在目标系统中的行为，如攻击手段，攻击目的，攻击水平，黑客的活动范围和下一步将要攻击的目标等，进而获取用来加强系统的保护的信息。虚拟专用网VPN：是指在公共网络基础设施特别是Internet上建成的专用数据通信网络。数ping是最常用的测试工具，用来检测本地主机的TCP/IP配置以及与另一台主机的连通状态。tracert通过向目标主机发送不同TTL值的数据包，跟踪从本地计算机到目标主机之间的路由，显示所经过的网关

23、的IP地址和主机名。netstat命令的功能是显示网络连接、路由表和网络端口信息，可以让用户得知目前都有哪些网络连接正在运作。检查系统是否有非法连接以及利用系统漏洞的病毒或木马程序时常用此命令。ipconfig可以查看和修改网络中的TCP/IP协议的有关配置，如IP地址、子卡掩码、网关、网卡的MAC地址等。 路由表：路由器通过把数据包中的目的IP地址同它的内部表格登记项比较，做出交换决策。这个表格就是路由表。路由表的生成方法：1.静态路由表是系统管理员事先固定设置好的路由表，称之为静态(Static)路由表.2. 动态(Dynamic)路由表是路由器根据网络系统的运行情况而自动调整的路由表。为

24、了解决路由环路的问题，距离向量路由协议必须采取措施来阻止这种循环。（1）定义一个最大值（Maximum Hop Count） （2）水平分割（Split Horizon）（3）路由中毒（Route Poisoning）（4）保持定时器（Hold-Down Timers）（5）触发更新（Triggered Updates）路由器配置见课本P122和PPT（综合题10分）（掌握）生成树协议（STP，Spanning-Tree Protocol）；生成树协议的目的是通过把特定的端口设置为阻塞(Blocking)状态，来避免交换环路。这就是交换机的第二个重要功能环路避免。（掌握）生成树协议的操作步骤：

25、 （1）选择根桥(Root Bridge) （2）对每一个非根桥（Nonroot bridge）选择一个根端口（Root port） （3）每个段选举一个指派端口（Designated port）生成树协议示例 交换机端口状态的变化过程是这样的：阻塞侦听学习转发 交换机的交换方式：（1）直通(Cut-through) 交换机检查目标地址后立即转发（2）存储转发(Store and forward)收到完整的帧后，并校验无误后转发3）碎片避免(Fragment free，modified cut-through)先检查前64B，无误后转发。因为在10M网中，冲突一般发生在前64B，一般由于交换机

26、与集线器的连接中。 三种交换方式比较：1.直通最快 2.存储转发最慢 3. 存储转发最有效（名词解释）局域网（LAN）：通常被定义为一个单独的广播域，主要使用Hub，网桥，或交换机等网络设备连接同一网段内的所有节点。同处一个局域网之内的网络节点之间可以不通过网络路由器直接进行通信；而处于不同局域网段内的设备之间的通信则必须经过网络路由器。 VLAN在交换机上的实现方法，可以大致划分为4类 （1）基于端口划分的VLAN （2）基于MAC地址划分VLAN（3）基于网络层划分VLAN （4）根据IP组播划分VLAN（填空题）在一个VTP 环境里，一台交换机可以是以下3 种不同的角色：VTP 服务器、

27、一台VTP客户机、或者工作在透明模式。Vlan间路由的方法：1多以太网接口路由器路由2单以太网接口路由器路由（单臂路由）3.三层交换机路由基本磁盘（Basic Disk）是经常使用的磁盘类型，在默认安装情况下，系统就使用基本磁盘。基本磁盘通过分区（Partition）管理磁盘空间，分区可以包含主分区和扩展分区，而在扩展分区中又可以划分出一个或多个逻辑分区，通过这样的方式组织磁盘资源，而物理硬盘上没有划分为分区的空间是不能使用的。 动态磁盘是在Windows 2000 中开始引入的一种磁盘管理方式，利用动态磁盘可以实现很多基本磁盘不能或不容易实现的功能。在动态磁盘上，不使用分区划分容量，而是使用

28、卷（Volume）来描述动态磁盘上的每一个空间划分。与分区的作用相同，卷也要赋予一个盘符，并且也要经过格式化之后才能使用 动态磁盘有以下优点：(1) 磁盘空间划分数目不受限制 (2) 可以动态调整卷 卷的分类：（非磁盘阵列卷 ） 1.简单卷 2.跨区卷（磁盘阵列卷）3带区卷 4.镜像卷5.RAID-5卷简单卷(Simple Volume)：要求必须是建立在同一硬盘上的连续空间中，但在建立好之后可以扩展到同一磁盘中的其他非连续空间中。 （掌握）跨区卷：可以将来自多个硬盘（最少2个，最多32个）中的空间置于一个跨区卷中，用户在使用的时候感觉不到是在使用多个硬盘。但向跨区卷中写入数据必须先将同一跨区

29、卷中的第一个硬盘中的空间写满，才能再向同一个跨区卷中的下一个磁盘空间中写入数据，每块硬盘用来组成跨区卷的空间不必相同。 带区卷可以将来自多个硬盘（最少2个，最多32个）中的相同空间组合成一个卷。向带区卷中写入数据时，数据按照64KB分成一块，这些大小为64KB的数据块被分散存放于组成带区卷的各个硬盘空间中。该卷具有很高的文件读写效率，但不支持容错功能。若某个成员发生故障，则整个带区卷的数据会丢失。带区卷中的成员，要求其容量必须相同，并且来自不同的物理硬盘。镜像卷是将同一份数据做两个相同的拷贝，并且每一份拷贝存放在不同的硬盘中。当向其中一个卷作修改（写入或删除）时，另一个卷也完成相同的操作。当一

30、个硬盘出故障时，仍可从另一个硬盘中读取数据，因而有很好的容错能力。镜像卷可读性能好，但是磁盘利用率很低（50%）。RAID-5卷：该卷具有容错能力 ，在向RAID-5卷中写入数据时，系统会通过特殊的算法计算出任何一个带区校验块的存放位置。这样就可以确保任何对校验块进行的读写操作都会在所有的RAID磁盘中均衡，从而消除了产生瓶颈的可能。当一块硬盘中出现故障时，可以利用其他硬盘中的数据和校验信息恢复失去的数据。RAID-5卷的读效率很高，写入效率一般。RAID-5卷不对存储的数据进行备份，而是把数据和相对应的奇偶校验信息存储到组成RAID-5的磁盘上。RAID-5卷需要至少3块硬盘，最多32块。N

31、etBIOS名称解析方法：1检查NetBIOS名称缓存，当之前访问过某台电脑则对放的IP就会存储在NetBIOS缓存中，可以通过nbtstat c查看 2.广播，利用发送广播信息的方式来查找对放的IP地址 3.直接向Wins服务器查询（记住）WINS 工作步骤：对于 NetBIOS 名称解析，WINS 客户端通常执行下面一系列常见步骤来解析名称： 1 客户端检查查询的名称是否是它所拥有的本地 NetBIOS 计算机名称。2 客户端检查远程名称的本地 NetBIOS 名称缓存。为远程客户端解析的所有名称存放在该缓存中，并将保留 10 分钟的时间。3 客户端将 NetBIOS 查询转发到已配置的主

32、 WINS 服务器中。如果主 WINS 服务器应答查询失败（因为该主 WINS 服务器不可用，或因为它没有名称项），该客户端将按照列出和配置使用的顺序尝试与其他已配置的 WINS 服务器联系。4 客户端将 NetBIOS 查询广播到本地子网。5 如果配置客户端以使用 Lmhosts 文件，则客户将检查与查询匹配的 Lmhosts 文件。6 如果将其配置成单个客户端，则客户端会尝试 Hosts 文件然后尝试 DNS 服务器。WINS的解析机制: WINS客户机主要使用4种不同的工作模式进行名称解析： 1.B节点方式 (broadcast node) 客户机之间不通过WINS服务器，只会以广播方式查询IP地址 ； 广播消息在网络上频繁出现会增加网络的负担，消耗带宽，网络通信效率低