安全性设计主要步骤:确定网络上的各类资源;针对网络资源,分别分析它们的安全性威胁;分析安全性需求和折衷方案;开发安全性方案;定义安全策略;开发实现安全策略的过程;开发和选用适当的技术实现策略;实现技术策略和安全过程;测试安全性,发现问题及时修正;建立审计日志,响应突发事件,更新安全性计划和策略。安全防护选择:必须选择安全防护来减轻相应的威胁。管理者决定可承受风险的级别,采用省钱的安全防护措施将损失减少到可接受的级别。安全防护的几种方法:减少威胁发生的可能性、减少威胁发生后造成的影响、威胁发生后的恢复。备用设备:对于关键部位的路由器或交换机需要冗余。有些厂商为了满足这种冗余设计的需求,设计、制造了具有双背板、双电源、双引擎的设备,这种设备实际上能被看作两立的设备。备用路径:为防止路径故障,必须提供一条备用路径。备用路径由独立备用链路构成。备用路径的容量通常比主路径的要小,且使用不同技术。如果需要一条与主路径性能完全相同的备用路径,即使价格昂贵也应当这样去设计。若路径中断不可接受,应采用主路径与备用路径间自动切换技术。若允许短暂中断,也可手动重新启动备用路径的方法。备份链路除了用于冗余外,还可用于负载平衡。拨号安全性:对ntranet而言,拨号访问是造成系统安全威胁的重要原因。提高拨号访问安全性,应当综合采用防火墙技术、物理安全性、鉴别和授权机制、审计技术以及加密技术等。鉴别和授权是拨号访问安全性最重要的功能。在这种情况使用安全卡提供的一次性口令是最好的方法。测量现有网络的流量:方式:(主动式通过主动发送的测试分组序列来测量网络行为、被动式通过被动俘获流经测试点的分组来测量网络行为)。垂直干线子系统:是高层建筑垂直连接的各种传输介质的组合,它将各个楼层的水平布线子系统连接起来,是结构化布线的骨干部分。传输介质安装在沿着贯穿建筑物各个楼层的竖井之内,垂直竖井在每个楼层有连接水平子系统的分支房间。层次型冗余拓扑结构:为避免单点故障,可在设计中采用冗余的路由器或交换机。平面结构可以满足低成本和良好的可用性目标,但要求网络的范围较小。冗余结构可以满足可扩展性、高可用性和低时延目标。层次型网络设计原则:原则1:控制分层企业网拓扑结构的范围。在大多数情况下,需核心层、汇聚层和接入层三个主要层次。原则2:先设计接入层,其次设计汇聚层,最后是核心层。测试计划:测试目标和验收标准、所要进行测试的种类、网络设备和所需的其他资源、测试脚本、测试项目的时间划分和阶段划分。测试网络系统性能的主要步骤:输入被测网络设备参数;根据测试要求建立监测域,并为这些域设置测试策略;激活监测域,系统将自动收集该监测域范围的网络系统性能参数,并能自动产生各种报表;如果该网络系统没有流量,可使用该系统提供的功能,产生各种强度的测试流量,并在这种情况下,测试网络系统的性能指标。多层交换的概念:多层交换技术是在网络模型中的第三层实现了数据包的高速转发;解决了企业网划分子网之后,子网之间必须依赖路由器进行通信的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题;一个具有三层交换功能的设备,实际上是一个带有第三层路由功能的第二层交换机,是二者的有机结合单模光纤和多模光纤的异同:单模光纤(光线是以直线方式传输,频率单一,没有折射现象,传输损耗小;通常芯径小于10μm)、多模光纤(光线是以波浪式传输,同时传输几种颜色的光;通常芯径在50μ之间)。电源系统接地设计:所谓接地就是设备的某一部分与土壤之间作良好的电气连接,这就叫作“接地”,与土壤直接接触的金属导体叫作接地体或接地极,连接接地体或设备接地部分的导线叫作地线。接地是以接地电流易于流动为目的,所以接地电阻越低接地电流越易于流动,通常要求接地电阻越低越好,说明接地效恶意软件:恶意软件就是恶意的程序代码,通常是以某种方式悄然安装在计算机系统内的软件。这些程序代码具有一些人们所不希望的功能,影响网络系统的数据安全性和资源可用性。可以分为大类:病毒、蠕虫、特洛伊木马、恶意远程程序、追踪Cookie。访问服务器:是一种特殊的路由器,它能为远程PC用户接入企业网提供服务。可以为专用硬件设备,也可是在PC机上插入多串行口卡后运行专用软件而成;用户通过调制解调器经电话线或ISDN等线路与访问服务器连接,再经该访问服务器接入企业网。用于零散用户远程入网;提供的安全特性:鉴别用户身份,即需要输入用户名和口令、回叫安全特性。分析网络应用目标:工作步骤(从企业高层管理者开始收集商业需求;收集用户群体需求;收集支持用户和用户应用的网络需求)、明确网络设计目标、明确网络设计项目范围、明确用户的网络应用。分析网络应用约束:政策约束(与用户讨论他们的办公政策和技术发展路线;要与用户就协议、标准、供应商等方面的政策进行讨论)、预算约束(预算应包括设备采购、购买软件、维护和测试系统、培训工作人员以及设计和安装系统的费用等;还应考虑信息费用及可能的外包费用)、时间约束(项目进度表规定了项目最终期限和重要阶段;用户负责管理项目进度,但设计者必须确认就该日程表是否可行)、应用目标检查表(通过填入检查表确定是否了解用户的应用目标及所关心的事项)。分析和确定当前网络通信量和未来网络容量需求的方法:需要通过基线网络来确定通信数量和容量、需要估算网络流量及预测通信增长量的实际操作方法、参数的估算为网络设计提供了依据。负载平衡:冗余的主要目标是满足可用性需求,另一个目标就是能够通过并行链路支持负载平衡来提高性能。按照获取系统状态信息与否,负载平衡算法可以分为静态算法和动态算法两类。静态算法适合用于网络负载变化不剧烈,包含静态内容较多的集群系统。动态算法利用系统当前状态信息作决定,负载均衡性方面较好,但开销较大。风险分析:风险指损失的程度;风险分析的目的是帮助选择安全防护措施,将风险降到可接受的程度;大多数风险分析的方法先都要对资产进行确认和评估;可分为定量的或定性的方法;选择一系列节约费用的控制方法或安全防护方法,为信息提供必要级别的保护;网络资产可以包括网络主机,网络互联设备以及网络上的数据,以及知识产权、商业秘密和公司名誉。分析安全性的折衷方案:保护该网的费用是否比恢复的费用要少。折衷必须在安全性目标和可购买性、易用性、性能和可用性目标之间做出权衡,安全管理增加了管理工作量;安全管理还会影响网络性能;往往需要减少网络冗余,增加单故障点。防火墙的定义:防火墙是把一个组织的内部网络与整个nternet隔离开的软件和硬件的组合,它允许一些数据分组通过,禁止另一些数据分组通过。防火墙允许网络管理员控制对外部网络和被管理网络内部资源之间的访问,这种控制是通过管理流入和流出这些资源的流量实现的。分析网络通信流量特征:辨别网络通信的源点和目的地、分析源点和目的地之间数据传输的方向和对称性。广播域:是指广播分组直接到达的区域。光纤电缆及特点:光缆的芯是一种传输光束的细而柔韧的光导纤维,外层是涂覆层,最外层是塑料的保护层。光缆中传输的是光波,外界的电磁干扰与噪声都不能对光信号造成影响。传输过程中,首先需要将电 信号转换成光信号再通过光缆传输,然后再经过光信号转换成电信号输出。数据的发送端或接收端需要有 光电转换装置设备进行处理。光缆的数据传输速率可达几十Gpbs,传输距离可达几十 km并具有低误码率。 工作区终端子系统:工作区布线是由终端设备到信息插座的连线组成,就是从通信的引出端到工作站之 间的连接线。布线通常属于非永久性的,根据用户的需要随时可以移动、增加或改变,既便于连接也易于 管理;种类、数量视应用而定。 管理子系统:由各个楼层的配线架构成,实现垂直子系统与水平布线子系统之间的连接。管理子系统也称 配线系统,它就像一个楼层调度室。由它来灵活调整一层中各个房间的设备移动和网络拓扑结构的变更。 供电系统的负荷计算:一个用电系统,分为照明用电、空调用电和设备用电。负载功率有实测法和估算法 两种:实测法即指在通电的情况下,测量负载电流。如果负载为单相时,则为相电流与相电压乘积的 倍作为负载功率。估算法则是将各个单项负载功率加起来,所得的和再乘以一个保险系数可取13作为总的负载功率。 供电方式:市电直接供电方式、UPS 系统供电、综合式供电方式。 接入网类型:拨号接入、xDSL接入、光纤同轴混合网接入 、光纤接入、无线接入。 交换机类型:根据物理结构可分为(独立式;堆叠式;模块化)、根据功能可分为(智能式;直通式;存储 转发式)。 交换机组成:是一台专门用于通信的计算机,它由交换机硬件系统和交换机操作系统组成。硬件包括:中 央处理器、随机存储器、只读存储器、可读写存储器和外部端口等。 交换机 STP 功能:发现环路的存在、冗余链路中的一个设为主链路,其他设为备用链路,只通过主链路交 换流量、定期检查链路的状况,如果主链路发生故障,将流量切换到备用链路。 聚合端口注意事项:交换机最大聚合端口数是有限制的、聚合的端口的速度必须一致,必须属于同一个VLAN, 使用的传输介质相同,必须属于网络的同一层次,并与聚合端口也要在同一层次、配置后的聚合端口可以 像普通的端口一样接受管理和使用。 交换机级联及作用:指在两台交换机的普通端口之间连接网线,将交换机连接在一起,实现相互之间的通 信。可解决一台交换机端口数量不足的问题,也能够延伸网络的覆盖范围。 交换机级联的方式:普通端口级联、级联端口的级联。 交换机堆叠:堆叠是把交换机的背板带宽通过专用模块聚集在一起,从而使得堆叠交换机集合能够作为一 个整体进行管理。只有可管理的、模块化的特定交换机才具有堆叠管理功能。 交换机堆叠的模式:菊花链式堆叠是一种基于级联结构的堆叠技术,通过堆叠端口或模块首尾相联;星型 堆叠技术需要堆叠中心,所有的堆叠主机都通过专用的高速堆叠端口,也可以是通用的高速端口,上行到 统一的堆叠中心。 结构化布线系统:结构化布线系统是一种跨学科、跨行业的系统工程,能够满足综合性的应用。布线系统 所采用的结构,通常要根据技术要求、地理环境和用户分布等情况而定,设计的目标是在满足使用的技术 指标的情况下,使系统布线合理,造价经济,施工及维护方便。 结构化布线系统的特点:具有良好的综合性和兼容性、适应性强,使用灵活、易于扩容,便于维护、具有 科学性和经济实用性。 结构化布线系统的应用场合:智能化建筑的布线系统、商业贸易类型的布线系统、机关办公类型的布线系 结构化布线;子系统、水平布线子系统、垂直干线子系统、管理子系统、设备间子系统、建筑群子系统。 建筑群子系统:是将一个建筑物中的电缆延伸到建筑群的另一些建筑物中的通信设备和装置上。支持提供 楼群之间通信所需要的硬件传输介质。采用介质优先考虑光缆。布线通常有通过地下管道布线和架空布线 两种方式,它与户内系统的连接进入设备间子系统。 结构化布线系统的设备部件:传输介质、介质间的连接部件(双绞线连接设备、同轴电缆连接设备、光缆 连接设备)、配线接续设备(配线架)。 结构化布线系统的工程设计:对用户通信要求的评估;实地勘察建筑群或建筑物的地理环境;根据地理环 境选择传输介质、网络设备;绘制网络工程布局、配置蓝图;进行工程造价估算。 结构化布线系统标准:EI ATI 568商业建筑电信布线 建筑物通用布线的国际标准、 EI ATI TSB-67非屏蔽双绞线系统传输性能验收规范、EI ATI 569民用建筑建筑通信通道和空间标准、 EI ATI 民用建筑中有关通信接地标准(民用建筑通信管理标准)。结构化布线系统的测试:分为验证测试和鉴别测试两类(验证测试就是测试线缆的基本安装情况;鉴别测 试则是在满足正确连接的同时,测试其电气特性是否达到设计要求等)、测试的内容通常包括(线缆长度、 特性阻抗、噪声、衰减、近端串扰)。 结构化布线系统的测试:线缆检测工具、线缆测试工具。 机房的总体设计要考虑哪些方面:对机房的要求主要考虑面积、地面、墙壁、顶棚、门窗和照明等。机房 位置的选址(通常选择在高层大楼的中层为宜);机房面积的确定(通常网络系统机房面积设计应为设备占 用面积的 倍的关系);计算机网络系统机房装饰设计(机房地面、机房墙面、机房顶棚、机房门窗、机房照明)。 机房的环境设计要考虑哪些方面:通常需要考虑的因素有:电源、灰尘、温度与湿度、腐蚀和电磁干扰等。 机房温度与湿度的环境:开机时的机房温度通常要求在 15~30,停机时的机房温度要求在 5~35;一 般湿度保持在20%~80%。 机房空调容量的设计要考虑哪些方面:空调容量的设计,通常需要考虑设备发热、机房照明的发热、机房 人员的热量、机房外围结构和空气流通等因素。 机房供电设计:电网电压要稳定;要求电网电压杂波少、干扰小;防止工业控制系统交变电磁场的辐射干 扰;电网必须在一定的时间内不间断地连续供电;最好不要与大容量的感性负载电网并联运行,以防止高 压涌流;电网的频率漂移要小;计算机网络系统所用的电源要有良好的接地。 接地方式:交流接地(是将交流电电源的地线与大地相接)、直流接地(将直流电源输出端的一个极负极 或正极与大地相接)、保护接地(通常是指各种设备的外壳接地)。 简单网络管理协议:实际上既是一种网络管理协议,也代表了一个标准化的因特网网络管理框架,使得对 各种因特网设备的监视和控制成为可能。健壮和简单,开放且实现容易,从而易于推广应用。公共管理信 息协议CMI 是OSI网络管理体系结构中的重要标准,它应用OSI 协议栈网络及大型电信网管理部分场合。 可用带宽:沿着该路径当时能够传输的最大带宽。开发安全方案:安全方案是一个总体文档,它指出一个机构怎样做才能满足安全性需求。计划详细说明了 时间、人员和其他开发安全规则所需要的资源。应当参考网络拓扑结构,并包括一张它所提供的网络服务 列表。应当根据用户的应用目标和技术目标,帮助用户估计需要哪些服务。应当避免过度复杂的安全策略。 一个重要方面是对参与实现网络安全性人员的认定。 开发安全策略:安全策略是所有人员都必须遵守的规则,规定了用户、管理人员和技术人员保护技术和信 息资源的义务,也指明了完成这些义务要通过的机制。是网络安全员和网络管理员的任务,并广泛征求各 方面的意见。网络安全的设计者应当与网络管理员密切合作,充分理解安全策略是如何影响网络设计的。 开发出了安全策略之后,由高层管理人员向所有人进行解释,并由相关人员认可。安全策略是一个不断变 化的文档。 开发安全过程:开发安全过程实现安全策略。该过程定义了配置、登录、审计和维护的过程;安全过程是 为端用户、网络管理员和安全管理员开发的;安全过程指出了如何处理偶发事件;需要安排用户和管理员 培训安全过程。 链路聚合技术和弹性链路:链路聚合可将多个物理连接当作一个单一的逻辑连接来处理,它允许两个交换机之间通过多个端口并行连接同时传输数据,以提供更高的带宽、更大的吞吐量。 路由器:路由器前面板上具有两个百兆以太网端口及其对应的指示灯,通常具有较少的物理链路端口,如 果用两根双绞线分别将该路由器的两个以太端口与两台交换机相连,就可以将位于两个不同子网的计算机 互联起来。 路由器工作原理:路由器通过处理I 分组,形成一个虚拟通信网络,将异构的多种通信网络互连起来,并使网络具有可扩展性。路由器在网络层工作的两个过程:找到分组相应的出口,这可通过查 找选路表即可;将分组从入口送到出口,这取决于路由器的体系结构。 路由器的三种交换结构的比较:经内存交换(若内存带宽为每秒可写进或读出B 个分组,则总的转发吞吐 量必然小于B2)、经一根总线交换(总线;秒,则用于接入网或企业网的路由器来说,通 过总线交换通常是足够的)、经一个互联网络交换(使用一个更复杂的互联网络,具有最高的吞吐量)。 联网的物理介质:比特: 在传送器接收器对间传播、物理介质:位于传送器接收器间的东西、导引型介质: 信息在固体介质中传播、非导引型介质: 信息自由传播。 链路环路的不良后果:会引发诸如广播风暴、多重帧复制以及MAC 地址表的不稳定性等严重后果。 路由:即为一个特定的“节点-链路”集合,该集合是由路由器中的选路算法决定的。选路算法决定分组所 采用的路径。路由的变动将使时延、丢包率等指标有较大变化。I 网络路由是动态的,但是相对稳定。利用率:指定设备在使用时所能发挥的最大能力。在网络分析与设计中,通常考虑CPU 利用率和链路利用 路由器首次加电时的配置:由于其内部没有任何配置信息,路由器会自动进入setup 配置模式中,用户只 需回答I OS 不断提出的问题,便可轻松地完成路由器的初步配置,Setup 配置模式只能配置有限的功能,也 可以按Ctrl 组合键中断Setup配置方式,转而采用命令行模式配置路由器。 路由器命令模式:用户模式“Router ”、特权模式“Router #”、全局配置模式“Routerconfig#”。 碰撞域:描述了一组共享网络访问媒体的网络设备覆盖的区域。配置交换机的过程:要将该计算机与交换机相联,并使两者能够交互信息、计算机要向被配置的交换机发 送配置命令、交换机的 OS能够理解这些配置命令,并改变交换机运行状态,从而达到了配置交换机的目 瓶颈带宽:两台主机之间路径上的最小带宽链路的值。配置 RIP 选路协议:启用RI 进程关联的网络Routerconfig# router rip!启用RI 选路协议Routerconfig-router# network network-number!定义关联网络 要用命令指定RI v1和版本2 版本: Routerconfig# router rip!启用RI 选路协议Routerconfig-router# version 协议版本Routerconfig-router# network network-number!定义关联网络 配置 OSPF:先启动OSPF 协议,并配置路由器的网络地址和区域信息 Router#confi gure terminal Routerconfig# router ospf!启动OSPF 路由进程 定义接口所属区域如下: Routerconfig-router#network wildcard area area-id 需要定义与该OSPF 路由进程关联I 地址所属的OSPF区域。OSPF 路由进程只在属于 地址范围的接口发送、接收OSPF报文,并且对外通告该接口的链路状态。 配置 HDLC 协议:在路由器中,连接广域网接口的数据链路层协议都默认为HDLC,可通过如下命令查询路 由器状态 RouterA configureterminal RouterA(confi g)#interface serial 12 RouterA #show interface serial 12 !查看RA serial 12 接口的状态 如该接口封装的是PPP 协议而不是HDLC 协议,需要修改为HDLC 协议 在接口配置状态下,使用命令“encapsulation”完成 RouterA configureterminal RouterA confi interfaceserial 12 RouterA confi g-if# encapsulation HDLC 把该接口封装为HDLC协议 RouterA confi g-if#no shutdown 全双工技术:交换机每个端口只连接了一台主机,而且收发线路是分开的,只要参与通信的收发方不超过两个就不会碰撞。用一对千兆以太网线路连接两台百兆交换机,由于这两台交换机之间只有这一对线路, 因此不会发生碰撞的,因此即使线路较长它们之间可采用双工方式进行无碰撞的通信。 确定流量边界:首先要分析产生流量的应用特点和分布情况,因而需要搞清现有应用和新应用的用户组和 数据存储方式、要将企业网分成易于管理的若干区域、网络结构图上标注出工作组和数据存储方式的情况, 定性地分析出网络流量的分布情况、辨别出逻辑网络边界和物理网络边界来,进而找出易于进行管理的域 确认和鉴定:确认是指一种技术确认,用以证明为应用或计算机系统所选择的安全防护或控制是合适的,并且运行正常。鉴定是指对操作、安全性纠正或对某种行为终止的官方授权。 地址、采用何种选路协议、采用何种网络管理方案、以及在网络安全方面的考虑。 如何进行配电系统设计:通常要求不间断地供电,即建立不停电系统,采用一类供电,也可以采用两路供 电系统,一旦一路停电,立即自动切换到另一路供电系统。 如何保障供电系统的安全:用电设备过载:配电系统的设计时,对用电的负荷量要留有充分的余地。防止 因用电过负荷使电力线发热而可能引发的电源火灾,同时UPS 和交流稳压电源的功率与负载功率相比,要 有一定的余量。电气保护措施:电力线进入机房时,入口处要有保护措施;对静电干扰也要有防止措施; 电气保护还包括过压保护和过流保护等。 冗余服务器:服务器用于存放数据资源。冗余服务器指重复配置系统的一些部件,当系统发生故障时,冗 余配置的部件介入并承担故障部件的工作,由此减少系统的故障时间。 入侵检测:入侵检测用于识别未经授权使用计算机系统资源的行为;识别有权使用计算机系统资源但滥用 特权的行为;识别未成功的入侵尝试行为。即使一个系统中不存在某个特定的漏洞,入侵检测系统仍然可 以检测到特定的攻击事件,并自动调整系统状态对未来可能发生的侵入做出警告预报。它是一种利用入侵 留下的痕迹来有效地发现来自外部或内部的非法入侵的技术。它以探测、控制为技术本质,起着主动防御 的作用。 入侵检测系统的类型:基于主机的 IDS:早期用于审计用户的活动,如用户的登录、命令操作行和应用程 序使用等。一般主要使用操作系统的审计跟踪日志作为输入。基于网络的 IDS:在网络中某点被动地监听网 络上传输的原始流量,通过对俘获的网络分组进行处理,从中得到有用信息。 RAID 级别:RAID 是无数据冗余的存储空间条带化,具有成本低、读写性能极高以及存储空间利用率高等特点;RAID 是两块硬盘数据的完全镜像,其优点是安全性好、技术简单、管理方便以及读写性能较好;RAID 0+1 综合了RAID 的特点,独立磁盘配置成RAID0,两套完整的RAID 应用最广泛,各块独立硬盘进行条带化分割,具有数据安全、读写速度快和空间利用率高等优点。容错电源:没有电力,网络就会瘫痪;电压过高或过低,网络设备就会损坏,特别是如果服务器遭受破坏, 损失就可能难以估计。据统计,大量的计算机损坏是由电涌引起的。有几种设备能够保持电源的稳定供给: 电涌抑制器、稳压电源、交流滤波器或不间断电源UPS。 生成树算法:复杂LAN中,交换机可能连接了多个网段,会在网络中形成回路,为提高网络可靠性,可能 需要在网络中放冗余交换机。交换机中采用了I EEE 8021D 规范,该算法防止形成逻辑上的回路,即使出现 了物理回路。这意味着我们的设计中可以不顾及交换机可能出现的环路。 实现 VLAN 的方式及标准:基于端口的 VLAN、基于 MAC 地址的 VLAN、基于协议的 VLAN、基于网络地址 的VLAN、基于定义规则的VLAN。建议在801d 网桥基础上的8021q 和8021p 是两个IEEE 标准,它为801d 增加了更多的智能。 三层交换的基本过程:如果三层交换模块已知 MAC地址,则向 广播一个ARP 请求,B 回复其MAC 地址,三层交换模块保存此地址并回复A,同时将B 的MAC 地址发送到二层交换引擎 的MAC 地址表中。此后,当A 间的数据分组全部由二层交换高速处理。仅路由过程才需要三层处理,绝大部分数据都通过二层交换转发,因此三层交换机的速度很快,同时价格也较低。 四层交换机:四层交换支持细粒度的网络调整,以及对通信流的优先级划分。四层交换根据TCPUDP 端口 号进一步确定通信量的转发目的地。为了改善I 交换技术进行标准化,IETF 制定 了多协议标签交换。 双绞线及特点:双绞线是目前结构化布线中最常用的传输媒体,是由两根相互绝缘的铜导线按照一定的规 格互相缠绕在一起而成的网络传输介质,外部包裹屏蔽层或塑橡外皮而构成。原理:如果外界电磁信号在 两条导线上产生的干扰大小相等而相位相反,那么这个干扰信号就会相互抵消。特点:四对(或两对)放 在一起,而且每对线使用不同颜色以便区分,在每对中的两根线也有不同颜色的区别;是一种价格便宜、 安装方便和可靠性高的传输媒体,适用于短距离传输。分为屏蔽双绞线与非屏蔽双绞线两种。 生成树协议:主要思想:当网络中存在备份链路时,只允许主链路激活,如果主链路失效,备份链路才会 被打开。STP 协议的本质:利用图论中的生成树算法,在网络的物理结构没有改变的情况下,而在逻辑上 切断环路,阻塞某些交换机端口,以解决环路所造成的严重后果。 三层交换机的特点:能实现同一场点不同子网之间的信息高速传输,同时具二层交换机和三层路由器的优 水平布线子系统:是建筑物平面楼层的分支系统,它一端来自垂直干线的楼层配线间的配线架,另一端与工作区的用户信息插座相连。该子系统是由楼层配线架至各个通信引出端为止的通信线路。传输介质中间 不宜有转接点 。布线通常有暗管预埋,墙面引线;或地下管槽,地面出线两种。 设备间子系统:是一幢楼中集中安装大型通信设备、主机、网络服务器、网络互连设备和配线接续设备的 场所。在这里监视、管理建筑物内整个网络系统。设备间子系统所连接的设备主要是服务的提供者,并包 含大量的与用户连接的端子。该机房担负户外系统与户内系统的汇合,同时集中了所有系统的传输介质、 公用设备和配线接续设备等。 审计:为有效地分析网络安全性和响应安全性事件,安全过程应当收集有关的网络活动数据。这种收集数 据的过程就被称为审计。对于使用安全性策略的网络,审计数据应当包括任何个人获得鉴别和授权的所有 尝试。收集的数据应当包括试图登录和注销的用户名以及改变前后的访问权限。审计记录中的每一个等级 项都应当有时间戳。审计过程不应收集口令。审计的进一步扩展是安全性评估。 数据备份和容错设计:如果我们通过有效而简单的数据备份,就能具有更强的数据恢复能力,很容易找回 失去的数据;而如果有了坚实的容错手段,数据丢失也许就不会发生了。数据备份:备份通常要按日、按 周或按月做备份;对最为重要的文件进行更为频繁的备份。 数据存储方式:存储区域网络SAN:是储存资料所要流通的网域, 基于光纤信道,采用光纤通道标准协 议。因特网数据中心IDC:为I CP、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器 托管、空间租用、网络批发带宽以及动态服务器主页、电子商务等业务。 实现和测试原型系统的方法:作为实验室中的测试网络、与运行的网络集成,利用空闲时间进行测试、与 运行的网络集成,在正常工作时间内测试。 投标书的内容:工程概况、投标方概况、网络系统技术方案、应用系统设计方案、项目实施进度计划、培训维修维护计划、设备清单及报价。 吞吐量:在单位时间内传输无差错数据的能力。吞吐量可针对某个特定连接或会话定义,也可以定义网络 总的吞吐量。 网络系统的需求分析有哪些方面:网络系统的需求(确定该网络系统要支持的业务;要完成的网络功能;要达到的性能)、用户需求分析的三个方面(网络的应用目标;网络的应用约束;网络的通信特征)、全面 细致地勘察整个网络环境。 物理网络设计包含哪些方面:网络环境的设计(结构化布线系统设计;网络机房系统设计;供电系统的设 计)、网络设备选型(具体采用哪种网络技术、哪个厂商生产的哪个型号设备)。 网络设备安装测试与验收如何进行:加电并连接到服务器和网络上进行检查;当网络系统构建好后,需要 进行系统测试;系统测试的目的主要是检查网络系统是否达到了预定的设计目标,能否满足网络应用的性 能需求,使用的技术和设备的选型是否合适;网络测试通常包括网络协议测试、布线系统测试、网络设备 测试、网络系统测试、网络应用测试和网络安全测试等多个方面。 文档的作用:提高系统设计过程中的能见度;提高设计效率;作为设计人员在一定阶段的工作成果和结束 标志;记录设计过程中的有关信息,便于协调以后的系统设计、使用和维护;提供对系统的运行、维护和 培训的有关信息;便于潜在用户了解系统的性能、性能等各项指标。 文档管理和维护:系统开发小组应设一位文档管理员、开发小组成员保存个人文档、新旧版本管理和控制、 修改主文档,应按照:提议—评议—审核—批准—实施的步骤严格控制、项目结束后,应收回开发人员的 个人文档。 网桥及其特点:可将两个或多个地址兼容的网段连接起来。特点:具有过滤功能,减少网络拥塞、网桥扩 展了LAN 的有效长度、防止错误扩散、提高了安全性、为了提供容错能力,可以用多个网桥连接网段;用 了“生成树算法”,有效防止回路的产生。 网络丢包率丢分组率:在某时段内在两点间传输中丢失分组与总的分组发送量的比率。丢包的主要原因 是路由器的缓存队列溢出。 网络效率:为产生所需的输出要求的系统开销。明确了发送通信需要多大的系统开销,不论这些系统开销 是由哪种原因所致。提高网络性能的方法:尽可能提高MAC 层允许的最大长度的帧、使用长帧要求链路具 有较低的差错率。 网络拓扑图:一个图G 是两个不相交的集所组成的有序对V, E,其中V 是顶点集,而E 素的无序对集合的一个子集。图的边表示一个网络或子网,图的顶点表示路由器等互连设备。该图只说明网络的几何形状,而不表明子网或互连设备的具置。首要问题是确定网络和互连点,明确网络的大小 和范围,以及所需要的网络互连类型,但不必是具体的设备。 网状拓扑结构:提供了完全冗余和良好的性能;使用和维护代价很高,它在性能优化、排错和升级方面也 较困难;限制了连接到路由器PC 的数量。 网络结构冗余设计:通过重复设置网络链路和互连设备来满足网络的可用性需求。冗余是提高网络可靠性 和可用性目标的最重要方法。在企业网核心层和汇聚层均可实现冗余。 无类别域间选路:32 比特的I 地址被划分为两部分,并且也具有点分十进制数形式abcdx,其中x指示 了在地址的第一部分中的比特数目。x 最高比特构成了I 地址的网络部分,并且经常被称为该地址的前缀。一个地址的剩余32-x 比特能被认为用于区分该组织内部设备的,所有设备具有相同的网络前缀。设某CIDR 化的地址abcd21 的前21 比特定义了该组织的网络前缀,对该组织中的所有主机的I P地址来说是共同的, 其余的11 比特标识该组织内的主机。 网络层地址分配原则:在分配地址之前设计结构化寻址模型;为寻址模型的扩充预留地址空间;以分层方 式分配地址块,以改进可扩展性和可用性;为避免移动带来的问题,应根据网络物理位置分配地址块;分 配网络地址时尽可能使用有意义的编号;可授权网管理水平较高地区管理自己的网络、子网;为满足灵活 性而使配置最小,端系统使用动态寻址;为满足安全性和适应性,使用NAT 专用地址。 网络风险评估:风险管理包括一些物质的、技术的、管理控制及过程活动的范畴,根据此范畴可得到合算 的安全性解决方法。对计算机系统所受的偶然或故意的攻击,风险管理试图达到最有效的安全防护。一个 风险管理程序包括四个基本部分:风险评估或风险分析、安全防护选择、确认和鉴定、应急措施。 物理安全性:指将资源保护在加锁的门里来限制对网络关键资源的访问,也指保护资源免受自然灾害的侵 害,它是一个当然的需求,很容易熟视无睹而忘记对它进行设计,非常重要。网络安全性设计要考虑:网 络设备放置的问题、网络数据的异地备份问题。 网络服务安全性:内部网络服务可以使用鉴别和授权、分组过滤、审计日志、物理安全性和加密等安全手 段。不论用户是通过控制台端口还是通过网络访问这些设备,都需要注册I 和口令。有权查看或修改配置的管理员可使用安全等级更高的第二级口令,可使用TACACS 来管理中心中的大量路由器和交换机用户的I 地址和口令。TACACS还提供审计功能。限制使用SNMPv3 以下的set 操作修改管理和配置数据。 网络物理隔离:集中上因特网:在专门的办公室,用指定专人负责的专用计算机,供大家访问因特网。这 些专用计算机不得用于处理涉密内容。完全冗余的主机:使用具有双主板、双硬盘和双网卡的主机;启动 时,选择某台机器与某网络相连。该法节省空间、安全保密,但不够方便。 网络工程验收的内容:确定验收测试内容、制定验收测试方案、确定验收测试指标、安排验收测试进度、 分析并提交验收测试数据。 网络验收的内容:布线系统的验收、机房电源的验收、网络系统的验收、应用系统的验收等。 网络工程文档通常包括以下内容:结构化布线系统相关文档、设备技术文档、设计与配置资料、用户培训 及使用手册、各种签收单。 网络维护的目的:通过某种方式对网络状态进行调整,使网络能正常、高效地运行。当网络出现故障时能 够及时发现并得到处理,保持网络系统的协调高效地运行。 网络维护的措施:建立完整的网络技术档案、常规网络维护、紧急现场维护、重大活动现场保障。 系统集成的好处:较高的质量水准、系统建设速度快、交钥匙解决方案、标准化配置。系统集成模型的指导作用:系统集成四层模型较全面地覆盖了完成设计和管理实施网络信息系统的全过程。 该模型与实际工作的主要过程一致,简明、易操作。按照此系统集成四层模型来规划和设计网络信息系统, 便于划分子系统和确定接口参数,便于管理和控制网络信息系统的质量,使网络信息系统成为有机的整体, 更有效地实现网络信息系统的应用目标。 虚拟局域网 VLAN 及其特点:在 LAN 交换机基础上,采用网络管理软件构建的可以跨越不同网段、不同网 络技术的端到端逻辑网络,只有构成VLAN 的站点直接与支持VLAN 的LAN 交换机端口相连,才能实现VLAN 功能。优点:限制广播,提高交换机性能、简化网络管理、简化网络结构,保护网络、提高网络的数 据安全性。 响应时间:从服务请求发出到接收到相应响应所花费的时间,它经常用来特指客户机向主机交互地发出请 求并得到响应信息所需要的时间。 选路算法的目的:选路算法的目的是简单的,即给定一组路由器以及连接路由器的链路,选路算法要找到 一条从源路由器到目的路由器 “好的”路径。 选路算法分类:全局性的还是分散式、静态的还是动态的、负载敏感的还是负载迟钝的。 信息安全性的 个方面:安全攻击(危及由某个机构拥有的信息安全的任何行为)、安全机制(设计用于检测、防止或从安全攻击中恢复的机制)、安全服务(目标是对抗安全攻击,它们利用一个或多个安全机制来 提供该服务)。 系统容错技术:容错是指系统在部分出现故障的情况下仍能提供正确功能的能力。RAID 技术通过冗余具有 可靠性和可用性方面的优势,RAI 分为几级,不同的级实现不同的可靠性,但是工作的基本思想是相同的,即用冗余来保证在个别驱动器故障的情况下,仍然维持数据的可访问性。 选择网络安全解决方案:与因特网的连接应当采用一种多重安全机制来保证其安全性,包括火墙、入侵检 测系统、审计、鉴别和授权甚至物理安全性;提供公用信息的公用服务器如Web 服务器和FTP 服务器,可 以允许无鉴别访问,但是其他的服务器一般都需要鉴别和授权机制;即使是公用服务器也应当放在非军事 区中,用防火墙对其进行保护。 以太网原理:以太网的工作原理为CSMACD。目前使用的以太网采用了IEEE 8023 标准。CSMACD 的要点: 发前先听、边发边听、发现冲突、立即停发、转发强化。 因特网中常用的选路协议:自治系统内部选路协议有(RI P、OSPF、IGRP 增强型I GRP)、自治系统间选路协 议则是BGP。 异地容灾系统:关键技术包括网络技术、存储技术与解决方案。网络技术:无论 ATM 网络还是光纤网络, 都已经广泛应用于存储技术领域,RAI 和磁盘等技术已经成熟,存储区域网络也已经得到认可。实现异地容灾两类方式:基于主机系统的数据复制;基于存储系统的远地镜像。 用户服务安全性:用户服务包括端系统、应用程序、主机、文件服务器、数据库服务器和其他服务等。提 供这些服务的服务器通常能够提供鉴别和授权功能。如果用户关心使用该系统的人员的话,端系统也可以 提供该功能。 验收的工作流程:包括测试验收和鉴定验收等两种验收方式。当网络工程项目完成后,系统集成商和用户 双方要组织测试验收。测试验收要在有资质的专门测试机构或有关专家进行的网络工程测试基础上,由有 关专家和系统集成商及用户进行共同认定,并在验收文档上签字认可。验收通过后,为了防止网络工程出 现未能及时发现的问题,还需要设定半年或一年的质保期。用户应留有约 10%的网络工程尾款,直至质保 期结束后再支付。开云 开云体育平台开云 开云体育平台
