四级网络工程师重点.docx

1、四级网络工程师重点四级网络工程师重点背靠背帧数：缓存能力，最小帧间隔不丢包最大数据包数路由表能力：容量大小背板能力：输入输出间物理通道，传统路由器-共享背板；高性能-交互式结构丢包率：超负荷工作性能时延抖动：内部时钟精度：AMT-电路仿真；POS 路由器互联；误码率冗余：可靠性可用性网络管理类型与能力：SNMP突发能力处理：最小帧间隔发送，不引起丢包的最大速率可靠性与可用性：热拔插，无故障连续工作时间路由器的服务质量主要体现在队列管理机制与支持的QOS 协议类型上宽带城域网网络平台，业务平台，管理平台，城市宽带出口核心交换层-连接汇聚层，分组转发整个城域网高速安全具有QOS；与主干网络互联，城

2、市宽带IP 数据出口用户访问INTERNET 的路由服务汇聚层-汇接接入层流量，汇聚，转发，交换本地路由，过滤，流量均衡QOS 优先级管理，安全控制IP 地址转换，流量整形带内管理-管理信息与数据信息同一物理信道带外-不同信道QOS 技术-资源预留RSVP，区分服务DiffServ, 协议标记交换MPLS统计与计费-SNMP(带外）-MIBNAT 技术RPR 弹性分组环自愈环；50ms 隔离；每个节点SRP 公平算法，平等带宽双向：内环逆方向，外环顺方向，均可传输控制数据IP 分组。两个节点裸光纤最大长度100km路由器指标全双工线速转发能力：最小包长和间隔-双向传输不丢包设备及端口吞吐量：包

3、转发能力-端口数量，速率，包长度，类型全国计算机等级考试四级网络工程师12接入技术(1) ADSL-非对称，上行16-640kbps,下行1.5-8MbpsHDSL-对称VDSL-非对称，上行1.5-2.3Mbps,下行13-52Mbps(2) HFC 混合光线通州网络-带宽数据通信CATV-模拟技术双线传输，上行-200k-10Mbps光纤节点通过同轴电缆引出用户500-2000CABLE MODEM-频分复用，将计算机与同轴电缆连接(3)光纤接入，中继可达100km 以上SDV-波分，空分复用，数字(4)无线接入WLAN：定义了物理层与MAC 协议两类设备-无线节点与无线接入点(后者无线与

4、有线连接桥梁）CSMA/CA（利用ACK 避免冲突）或DCFWMAN：802.16路由服务， 10-60GHZ， 70Mbps, WiMAXIPV6前导0 可省，只能出现一个:外部网关协议BGP不同自治系统路由器交换路由信息TCP 可靠节点数-自治系统数为单位BGP-4 采用路由向量协议Open-建立链接；update-通告可达路由，撤销无效路由Keepalive-周期性确保链接；Notification-差错通告3内部网关协议(1)路由信息协议RIP分布式，基于路由向量路由刷新报文，若干（V,D）表，V 为目的网络或主机D 为距离（最短路径原则）周期性向外发送刷新报文(2)开放最短路径优先协

5、议OSPF分布式状态链路协议单一自制系统，变化-泛洪让每一个路由器用数据库描述分组与相邻路由器交换数据库中的链路状态摘要信息，分组交换获得全网链路数据，不保存完整路由表链路状态度量主要指-费用，距离，延时，带宽划分区域，使泛洪链路状态交换局限在区域内，加快收敛，并不知道其他区域网络拓扑一个区域内路由器不超过200 个32 位区域标识符，所有路由器最终都能建立一个数据库，存放全网拓扑结构综合布线终端有高速率要求时，水平子系统可采用光纤直接铺设到桌面信息插座-嵌入式-连接双绞线表面多介质-铜缆与光纤建筑群布线子系统-地下管道布线最佳保护干线线缆铺设采用点对点和分支结合管理子系统中更改，增加，交换，

6、扩展线缆来改变线缆路由双绞线扭绞-抗电磁干扰STP 双绞电缆-屏蔽层比UTP 防辐射强作为水平布线系统电缆，UTP 长度在90m 以内4工作区子系统适配器设备与不同信息插座互连，专用电缆获适配器单一信息插座进行2 项服务，Y 型适配器水平子系统中选用电缆类别不通于设备所需电缆类别时，使用适配器适配器可具有转换不通数据速率，不同信号的数模转换的功能工作区内不同的电信终端设备，配备相应终端适配器局域网设备中继器：物理层，共享一个冲突域，不是网络互连设备集线器：物理层，共享一个冲突域，只与上层通信执行CSMA/CD 介质访问控方法通过在网络链路串接一个集线器可以侦听该链路中的数据包网桥：数据链路层不

7、同数据链路层协议，传输介质，速率接受，转发，地址过滤帧转发策略：透明网络（生成树，核心根网桥选择）与源路由网络MAC 地址表-不同节点物理地址与网桥转发端口关系交换机：数据链路层，学习MAC 地址自动寻址交换连接其上的网络独享全部带宽，无须竞争SONET 光缆基本速率OC-1 51.8 Mbit/s, OC-n, n 倍51.85网络需求分析：总体需求分析，综合布线需求分析，网络可用性和可靠性分析，网络安全性分析，网络工程造价分析网络分层设计方便分配与规划带宽负载平衡网络效率上联带宽与下一级带宽之比1:20以太网技术特征按需求分配带宽认证授权访问计费VPN,防火墙支持MPLS，分等级QOS光以

8、太网是以分组为单位传输数据生成树协议STPSTP 是一个数据链路层的管理协议在网桥和交换机上，通过计算简历一个稳定，无回路的树状结构网络网桥协议数据单元携带了生成树算法的有关信息，包括RootID, RootPathCost,BridgeID, PortID, MaxAge（核心：根桥-桥ID 最小，or MAC 地址最小）BPDU 配置信息，不超过35BBPDU，拓扑信息变化，不超过4B主要功能：在保证网络没有回路的前提下，允许第2 层链路提供冗余路径BackboneFast: 阻塞端口无需等待直接从侦听和学习状态转化为转发转态，30s，提高间接链路失效的收敛速度set spantree b

9、ackbonefast enable6UplinkFast: 马上把阻塞状态端口切换到转发状态，不需侦听学习PostFast: 一般用于单个主机或服务器端口配置，否则产生暂时循环BPDU Filter:指定端口转发状态，停止发BPDU，也不处理接受到的BPDU不同子网，不同VLAN必须通过第三层交换机的路由功能完成VLAN协议ISL, IEEE 802.10, IEEE 802.1QISL 是Cisco 内部交换链路协议，不适用与3COMIEEE 802.1Q 能将不通厂家交换机互联VLAN Trunk(protocol) VTP-两台交换机宽口都使用相同的VLAN 协议VLAN ID 12

10、位， 1-4096. 1-1005 是交换机支持的标准范围，1 是默认VLAN，用于设备管理，不能删除VLAN name 用32 个字符表示VLAN 通常用VLAN ID 与VLAN name 来表示以太网的VLAN 号范围是1-1000默认VLAN 名根据VLAN ID 生成VTP：VLAN 中继or 干道协议管理同一个域名网络范围内VLAN 的建立， 删除，重命名工作模式：VTP Server :一个VTP 域内的整个网络只设一个维护该VTP 域内所有VLAN 信息表，可建立删除，修改VLANVTP Client 配置由Server 学到不能建删改VLANVTP Transparent:

11、独立交换机，不学习，只拥有本设备自维护VLAN 信息802.1Q 封装-set trunk7Set trunk 3/1 on dot1q18.1 Catalyst 3548no vlan 100vlan name Switchport acess vlan 10 %划分端口在VLAN10Switchport mode trunk %配置模式Switchport trunk encapsulation dot1q/ isl/negotiable p %封装VLAN 协议Switchport trunk allowed vlan 10,14/10-14/except 100-1000 %允许中继的

12、VLANCatalyst 6500Set vlan 128 3/20Set trunk 6/1 on dot1 qP ort(s) 1/2 trunk mode set to onSet trunk 6/1 vlan 13-33Catalyst 3548 管理地址配置Interface VLAN1Ip address 222.205.1.33 255.255.255.0Catalyst 6500 管理地址配置Set interface sc0 222.205.1.34 255.255.255.0 222.205.1.255路由器配置(1)静态路由Ip route +目的网络地址+子网掩码+下一

13、跳路由器IP 地址“若0.0.0.0 +0.0.0.0+202.112.67.2（默认）(2)RIP:Router ripNetwork+网络地址(3)OSPF：Network ip+子网号+子网掩码反码+area+区域号%定义参与OSPF 子网Area+区域号+range+子网地址+子网掩码%子网聚合信息8多条最佳路径管理距离越小，路由信息源可靠可信度越高Connected 0；static 1； BGP 20； EIBGP 90; IGRP 100 ; OSPF 110; RIP 120扩展访问控制列表100-199， 2000-2699Acess list 100 +deny/permi

14、t+protocol+host(source)+wildcardmask+destination(any)wildcard-mask eq/lt/gt(大于）/neq 80如果封禁一台IP 主机，则2 个deny 源和目的都封禁交换机优先级增值1024Cisco 路由器查看路由表-show ip routeFlash-存储路由器当前使用的操作系统印象文件和微代码NVRAM:可读可写，启动配置文件或备份配置文件ROM：永久保存开机诊断程序，引导程序，操作系统文件RAM：路由表，快速交换缓存，ARP 缓存，数据分组缓存区，缓冲队列，运行配置文件，正在执行代码，临时数据信息Write memory-

15、NVRAMWrite network tftp-TFTP 服务器中DHCPIp DHCP excluded-address IP IPNetwork 子网号，子网掩码调整地址租用时间lease day hour minute or infiniteDHCP IP 池配置9配置IP 池名称，进入DHCP POOL 配置模式，配置IP 地址池子网地址，默认网关，域名，域名服务器IP 地址，IP 地址租用时间，取消地址冲突记录日记等参数杂项重点Bandwidth kbps1G=1000M1M=1000kLookback 接口主要用于网络管理，分配一个IP 地址作为管理地址，掩码为255.255.25

16、5.255RIP:Router ripNetwork+网络地址OSPF：Network ip+子网号+子网掩码反码+area+区域号%定义参与OSPF 子网Area+区域号+range+子网地址+子网掩码%子网聚合信息POS 接口， pos framing sdh （帧接口采用SDH）访问控制列表（1）标号105(2)服务器集群-交换机接口号Gil/5（3）端口号(4)过滤in or out?Interface Gil/5Ip access-group 105 inIp access-group 105 out105 与access list 编号一致Access-list 105 deny

17、tcp any any eq 1444Access-list 105 permit ip any any10802.11b运行模式分为：点对点，基本点对点-无线网卡之间，256 台基本：无线扩充，无线与有线并存，最常用，接入点，负责频段管理和漫游指挥工作，1024 台部署无线网络时，可布置多个接入点构成一个微蜂窝网允许一格用户在不同接入点覆盖区域漫游位置变化，信号自动切换接入点最高带宽11Mbps, 一般5Mbps, 1,2, 5.5无线路由器可链接同一逻辑网络AP，网桥在不通逻辑网络相连时用无线计入点(AP0 计入功能，和路由器第3 层路径选择功能，NAT。一个IP安装和配置无线接入点，需要

18、向管理员询问：系统名，对大小写敏感的服务集标识符，接入点与PC 不在同一个子网时的子网掩码和默认网关， 不需要询问ISP（因特网提供商）客户端设备用来访问接入点的唯一标识是SSID，SSID 是无线网络中的服务集标识符，区分大小写，Broadcast SSID in Beacon, 不指定SSID 也可以访问接入网设备Aironet1100第一次配置无线接入点一般采用本地配置使用5 类以太网电缆连接pc 机与无线接入点，并给无线接入点加电确认PC 获得10.0.0.x浏览器输入10.0.0.1接入点总状态页面选择“express setup进入快速配置界面使用cisco IOS 操作系统win

19、dows 2003 DNS 服务器默认情况下，该系统没有安装DNS 服务器11DNS 服务器必须配置固定IP 地址基本配置包括创建正向，反向查找区域，增加资源记录Internet 的根DNS 服务器在安装时自动加入到系统中主机资源记录的生存默认值是3600 秒DNS 服务器属性对话框可以对DNS 服务器进行简单的测试与递归查询测试转发器是网络上的DNS 服务器，用于外域名的DNS 查询允许客户机在发生更改时动态更新其资源记录Nslookup 可以测试正向与反向查找区域ARP 解析IP 对应的MACNetstat 监控TCP/IP 网络，显示路由表，世界网络链接以及每一个网络接口设备的状态信息记

20、录始授权机构SOA， 名称服务器NS， 主机资源记录A，指针PTR，邮件交换资源记录MX，和别名CNAME， 不记录FTPDHCP服务器地址租约期限最小单位分钟地址租约续订由客户端软件自动完成添加排除可以只输入一个地址新建作用域必须激活才可为客户分配地址租约期限默认8 天添加排除和保留时，不需要获得客户机的MAC 地址保留是指DHCP 服务器指派的永久地址租约客户机广播“DHCP 发现” 源IP 是0.0.0.0DHCP 收到“DHCP 发现”。广播“DHCO offer客户机收到”DHCP offer,请求IP 地址服务器广播“DHCP 确认”。分配IP 给客户机WWW服务器建立Web 站点

21、时，必须为该站指定一个主目录12访问，可以域名，也可IP在一台服务器上可构建多个网站在windows 2003 操作系统中添加组件IIS 就可实现WEB 站点Web 站点不需配置静态IP在主目录选项卡中，不可配置主目录的读取和写入登权限Web 站点未设置默认内容文档，访问站点时必须提供首页内容的文件名性能选项包括影响带宽使用的属性和客户端WEB 连接的数量使用IIS 建立web 站点，性能选项：-带宽限制，客户端web 连接数量不受限制，受限制链接超时时间限制不是该性能选项内容用IIS 6.0 中用虚拟服务器构建多个网站时，由IP 地址和TCP 端口号唯一识别，可用不同主机头名称，IP 地址和

22、非标准的TCP 端口号构建多个网站。传输层协议是相同的Serv-U FTPFTP 服务器域创建完成后，需要添加用户才可访问对用户数大于500 的域，奖域放在注册表中可提高性能通过设置IP 访问可以控制某些IP 对FTP 服务器的访问创建新域，域名必须是合格的域名用户不可在FTP 服务器自动注册新用户用户名喂anonymous，自动判定为匿名用户常规选项有：最大上传下载速度，最大用户数量，检查匿名用户密码，删除部分已上传的文件，禁用反超时调度，拦截FTP-BOUNCE攻击和FXP（不允许两个FTP 服务器传送文件）用户配额选项可限制用户上传信息占用存储空间用户上传/下载选项，要求客户端在下载的同

23、时，上传文件域上传/下载选项，可允许添加用户访问服务器时不计入到上传下载率的文件13WinmailWinmail 服务器支持基于web 的访问和管理邮件管理工具包括系统设置，域名设置，用户和组，系统状态，系统日记，不包括垃圾邮件过滤在域名设置可以增加域和修改域参数在用户和组管理界面中可以增删用户，修改用户配置在快速设置向导中，可以输入用户名，域名，用户密码为建立邮件路由，需要在DNS 服务器中建立邮件服务器主机记录和邮件交换记录允许用户自行注册新邮箱SMTP：主机与主机之间电子邮件交换POP3：邮件读取协议IMAP：存取在域名管理界面中可以通过增加新的域构建虚拟服务器，而不是在系统设置中系统设

24、置-邮件过滤，更改管理员密码，SMTP 设置DHCP服务器作用域，长度域是指网络位不可主动收回租约已获租约服务器ping 失败，可能是DNS 服务器选项或者路由器选项配置错误在客户分配地址前，应激活作用域分配固定IP，绑定IP 与MAC 的保留操作Ipconfig/release备份：副本，每日，差异，增量，正常， 副本备份不标记空间使用-完全-差异-增量多到少速度-完全，增量，差异快到慢14恶意代码木马不自我复制网络防病毒系统管理控制台可以安装在服务器或用户客户安装可以脚本登陆安装升级可下载升级包后再手动升级数据通信端口不固定（检测所有端口）Cisco PIX525防火墙Static 静态N

25、AT，本地IP 与全局IP 静态固定映射NAT 私有与共有Global 指定外部IP 地址范围Fixup 启用，禁止，改变一个服务或协议通过PIX 防火墙，指定端口是侦听的服务进行操作系统映像更新，口令恢复的模式是监视模式非特模式;启动自检特权模式：当前配置修改配置模式;大部分配置DMZ 中的主机堡垒主机，web 或mail 服务器入侵检测系统探测器39.1 获取网络流量:(1)网络接口卡与交换设备的监控端口连接，镜像复制(2)集线器，获取(3)分路器39.2 分布式入侵:层次性，协作性(单失），对等式（真正避免单点失效）1539.3 基于网络：模式表达式，字节匹配频率，穿越阀值低级事件相关性

26、非常规现象以太网上捕抓数据包，用网络协议分析，然后在规则解析模块中分析出来的攻击特征库查找入侵防护系统一般部署在应用服务器前段基于主机的探测器在重要的系统服务中，工作站或者用户机器上欲行，监视OS 或系统级别的可疑活动镜像检测，基于网络，探测器应在destination(镜像端口），source(被镜像端口）Cisco SNMP接口断开或连接向管理站发出通知：snmp trap link-status定义简单网络管理协议接入团体： snmp-server community manage roUDP, 161 数据， 162 报警网络嗅探：TCPDUMP wirshark , ethercat

27、, 不可的是MRTG命令Netstat 显示TCP,侦听端口，以太网统计，IP 路由表，IP 统计Net view-计算机共享域，计算机或资源列表Tracert-不通TTL ICMP，探测路径Ipconfig-显示TCP/IP 配置Nbtstat-NETBIOS 统计Pathping:statistic for 25 seconds 和ping 差不多16安全评估：ISS, MBSA, X-scanner攻击SYN flooding:TCP 三次握手Smurf: IP 欺骗，ICMP 回复Land-源，目的都是攻击目标IPDDOS： 攻破多个系统，利用这些系统供其他目标ICMP超时: TTL 为0重定向：发现更好路由，5时间戳请求：13目标不可达：3Ping ,测试平均丢包率用户信息本地用户信息存储在本地计算机账户管理数据库中域用户信息存储在域控制器的活动目录中RAID服务器不需要外加一个RAID 卡就可实现RAID 功能RAID10 是1 ，0 组合可提供SATA 接口多个磁盘接口通道IPS-in-line模式基于主机的入侵防护系统HIPS-系统内核基于网路NIPS，漏报不会导致合法通信被阻断应用入侵防护系统AIPS-服务器前段_