即8ns、9ns、4ns、8ns的流水线,操作周期至少为9ns
存储容量算法:A0000H到DFFFFH
DFFFF+1-A0000=40000=00110000000000000000=11000000K=256K最后需乘8字节的换算
三态模型
a:就绪(双箭头指向就绪)
b:运行(调度箭头指向运行)c:阻塞
程序死锁
若在系统中有若干互斥资源R,6个并发进程,每个进程都需要2个资源R,那么使系统不发生死锁的资源R的最少数目为[6*(2-1)]+1=7
即:
资源数=[并发进程数*(每个进程所需资源数-1)]+1
相对路径和绝对路径
绝对路径:从盘符开始的路径,例如C:\windows\system32\cmd.exe
相对路径:是从当前路径开始的路径,例如当前路径为C:\windows,要描述上述相对路径,即system32\
系统开发和运行
①瀑布模型:需求明确。缺点是过于理想,缺乏灵活性,容易产生需求偏差
②快速原型模型:建造一个快速原型,减少由于软件需求不明确带来的风险,最后摒弃原型
③演化模型:也是原型化开发,但不会摒弃原型,演化过程中,原型逐步演化成最终软件④增量模型:增量模型有利于快速开发软件
⑤螺旋模型:综合瀑布模型和演化模型的优点,增加风险分析。适用于大型复杂的系统⑥喷泉模型:迭代和无间隙特性。系统某个部分常常重复工作多次
软件设计模块化:高内聚低耦合
软件测试:α测试:内测β测试:公测
黑盒测试:功能测试,检查程序功能是否按照需求规格说明书正常工作
白盒测试:结构测试、逻辑驱动测试。通过测试证明每种内部操作是否符合设计规格要求
项目管理
Gantt图:
优点:清晰的描述每个任务从何时开始,从何时结束,和各个任务之间的并行性
缺点:不能清晰的反映出各个任务之间的依赖关系,难以确定整个项目的关键所在
PERT图:
优点:给出了每个任务之间的关系,确定项目关键所在缺点:不能反映任务间的并行关系
软件知识产权
著作权、署名权、专利申请、商标申请
2.数据通信基础
曼切斯特码的特点是在每个比特的中间有电平翻转
曼切斯特码高→低为0,低→高为1,(相反也允许)编码效率50%
差分曼切斯特码有0无1,编码效率50%
4B/5B编码使用不归零码(NRZ-1),编码效率80%
ASK、FSK不考
考PSK、DPSK
正交幅度调制QAM:两个幅度相同但相位差90°的模拟信号合成一个模拟信号
数据速率R=B*Log2(N)
N=DPSK前的系数,码元速率B=2W,
电缆传送速率20km/s光缆传送速率30km/s
采样频率至少为信号频率两倍保证不失真f=1/T>2fmax
T1用于美国和日本
T1载波数据速率1.544Mb/s每个信道数据速率56KbpsT2=4T1,T3=7T2,T4=6T3
1476关系
E1用于其他地区
E1载波数据速率2.048Mb/s每个信道数据速率64Kb/sE2=4E1,E3=4E2,E4=4E3
1444关系
CH0和CH16两个子信道传送控制信令
其他30个子信道用于话音传送数据,采样周期125μs
循环冗余校验CRC多项式计算
信息码字后面+最高次方个数的0再除以多项式每个次方前系数排列的余数为效验码CRC不具备纠错能力
海明码纠错m+k+1≤2kk冗余位,m数据位
海明码既检错,也纠错
选择重发ARQ协议,发送窗口W发=W收≤2k-1
后退N帧协议,发送窗口W发≤2k-1
-1选上退下
SDH基本速率155.52Mbps
OC-1速率为51.840Mbps
STM-1等同于OC-3速率为155.52Mbps
3.广域网通信
ISDN用户接口:①BRI基本速率2B+D(B=64kbit/s,D=16kbit/s)
②PRI基群速率30B+D(B、D均为64kbit/s)B用于传输用户数据、D用于传输信令控制接口
HDLC
HDLC面向比特的同步链路控制协议,HDLC是一种同步链路控制协议采用01111110标志作为帧界定符
帧中继FR:①PVC永久虚链路②SVC交换式虚链路
帧中继网络的虚电路建立在数据链路层,这种虚电路的特点是没有流量控制功能,但具有拥塞控制功能。
ATM中的AAL5仿真LAN不提供固定比特率服务ATM网络的协议数据单元是信元
4.局域网与城域网
CSMA/CD:①非坚持监听:介质利用率低,冲突概率低②1-坚持监听:介质利用率高,冲突概率高③P-坚持监听
最小帧长Lmin=2R*d/v(R为网络数据速率;v为信号传播速度)
在以太网发生冲突时采用退避机制冲突次数最少的设备优先传输数据。MAC帧结构
以太网帧中的填充字段作用是维持64字节最小帧长
以太网出于对冲突检测的考虑,需设置数据帧的最小帧
冲突时槽=2S/0.7C+2tphy+8tR(S网段长度、C光速、tphy物理时延、tR中继器时延)802.3u快速以太网
802.3z和802.3ab千兆以太网
802.3z定义的帧突发发生,这种方式是指定一个站可以连续发送多个帧。用以保证传输站点连续发送一系列帧而不中途放弃对传输媒体的控制。该方式仅适用于半双工模式。802.3z:1000Base-SX、1000Base-LX、1000Base-CX
802.ab:1000Base-T
802.3ae万兆以太网属于点到点链路,没有CSMA/CD冲突检测,帧结构和传统一样且支持全双工模式
单模光纤特点高速度、长距离、高成本、细芯线
多模光纤传输距离极短
光纤使用WDM波分复用技术同时传输多路信号
Base-LX传输距离长LongBase-SX传输距离短Shot
VLAN虚拟局域网
静态分配VLAN:为交换机端口指定所属VLAN
动态分配VLAN:MAC、网络层地址或协议、IP、策略来划分VLAN
802.1q
发送数据包在原来的以太帧头部的源地址后面增加了一个4字节的802.1q标签,之后接原来的以太网的长度或者类型域。
STP生成树协议802.1d
STP协议中,网桥ID由2字节的优先级和6字节的MAC地址组成。STP是数据链路层协议,起消除环路作用
①确定根桥Root(交换机ID最小的)
②确定其他交换机的根端口RP(根桥对面的所有端口,都是根端口RP)③指定端口DP、非指定端口(根桥上没有根端口,都是指定端口DP)④阻塞非指定端口
对于STP生成树协议
端口有disableblockinglisteninglearingforwarding五种端口工作模式802.1w快速生成树协议RSTP
802.1s多生成树协议MSTP
城域以太网802.1adQ-in-Q
将用户VLAN嵌套在城域以太网内的VLAN中传送,所有用户的MAC地址在城域以太网中都可见,使得网络安全受到威胁。
802.1ahMac-in-Mac
为解决802.ad的问题,提出802.ah。
采用二层技术,没有复杂的信令机制,维护成本低,被认为是城域以太网最终解决方案。
POE的标准供电电压是48V。通过交换机的以太口为AP提供直流电。链路聚合控制协议LACP是基于IEEE802.3ad标准的协议。
5.无线通信网
802.11标准
协议名称
频段
调制技术
数据速率
802.11
1997
2.4GHzISM频段
DBPSK
1Mb/s
DQPSK
2Mb/s
802.11b
1998
CCK
5.5Mb/s、11Mb/s
802.11a
1999
5GHzU-NII频段
OFDM
54Mb/s
802.11g
2003
802.11n
2009
2.4GHz或5GHz
OFDM+MIMO
300-600Mb/s
802.11ac
2012
5GHz
1Gbps
OFDM正交频分复用MIMO多入多出
记忆点:
a、ac、n都含5GHzb、g、n都含2.4Ghz
802.11定义的两种无线网络拓扑结构
①基础设施网络:无线终端通过接入点访问骨干网设备,或者相互访问②ADHoc网络:无需接入点,终端和终端直接互访的网络
WLAN通信技术①红外线IR
②扩展频谱:跳动扩展频谱FHSS和直接序列扩展频谱DSSS
③窄带微波技术RF
无线信道:中欧使用13个信道,美国使用11个信道,日本使用14个信道(但第14个信道仅仅支持802.11b协议)
CSMA/CA:
移动ADHoc网络
特点:每一个节点既是主机,又是路由器DSDV是距离矢量路由协议(扁平式)
AODV按需分配的距离矢量协议适用于快速变化的ADHoc网络环境
WLAN安全①SSID访问控制
关闭/禁用SSID广播,隐藏SSID②物理地址过滤
MAC地址白名单
③WEP
RC4流加密技术,CRC-32校验保护数据正确性。密钥长度64或128位。
④WPA
使用802.1x协议对用户MAC地址进行认证
WPA采用可动态改变密钥的临时密钥完整性协议TKIP,通过更频繁的变换密钥来减少风险
WPA强化了数据完整性保护,使用报文完整性编码来检测伪造的数据包WPA在报文认证码中包含有帧计数器,可以防止重放攻击
⑤WPA2
802.11i标准发布后,WIFI联盟按照新的安全标准重新认证的最新方案,最为安全。
802.11i
TKIP只是短期解决方案,仍然使用RC4加密方法,但是能弥补WEP的安全缺陷
重新定义新的加密协议,称为CCMP,是基于AES的加密方法,拥有128位密钥,提供比RC4更强的加密性能
无论使用TKIP还是CCMP进行加密,都采用802.1x协议认证。
无线个人网WPAN802.15.1蓝牙技术
802.15.4速率更低、距离更近的无线个人网。ZigBee使用
蓝牙技术:
RF模块采用2.4GHz的ISM频段实现跳频通信FHSS,信号速率1Mbps,数据速率1Mbps
ZigBee网络:
基于802.15.4组网标准,定义的低速无线个人网包含两类设备:
全功能设备FFD:可以作为一般的设备、协调器或PAN协调器。类似于路由器简单功能设备RFD:只能作为设备使用。类似于终端
FFD可以与RFD和其他FFD通信,而RFD只能与FFD通信,RFD之间不能互相通信ZigBee采用的路由算法也是AODV按需分配的距离适量协议
4G网络
2013年12月4日,工信部向三大运营商发放4G牌照。移动、联通、电信获得TD-LTE网络经营许可。2015年2月27日,向联通、电信发放FDD-LTE牌照。
TD-LTE与FDD-LTE的区别是频分上下行信道的方式不同。
6.网络互连与互联网
物理层设备:中继器、集线器
数据链路层设备:网桥、交换机
网络层设备:路由器、三层交换机
交换机隔离冲突域,路由器隔离广播域
IP地址、子网、VLSM的计算
IP协议数据单元
TCP报头20字节,IP报头20字节(32位字);
以太网帧最多包含1500字节,去除20字节IP包头,20字节TCP包头,剩余TCP中数据部分为1460字节。
IP协议使用4个字段处理分片和重装配(题型中IPv4协议头中的标识符字段作用就是分段和重分配)
①报文ID字段②数据长度字段、③偏置值
④M标志
ICMP协议
ICMP属于网络层协议,报文封装在IP协议数据单元中传送,主要用于网络设备和节点之间的控制和差错报告报文的传输。
ICMP报文类型(常考):①目标不可达(类型3)②超时(类型11)
③回声(请求/相应,类型8/0)
TCP协议
前20字节固定,以下各种控制信息为三次握手的主要控制信息。建立连接采用三次握手,释放连接采用四次挥手。TCP三次握手可防止出现错误连接。
ACK:确认号字段有效标志
RST:连接复位为初始状态,通常用于连接故障后的恢复SYN:对顺序号同步,用于连接的建立
FIN:数据发送完,连接可以释放。ACK=Seq+1
三次握手
四次挥手
TCP拥塞控制
TCP通过滑动窗口实现流控机制
TCP的拥塞控制涉及重传计时器管理和窗口管理,目的是与流控机制配合,缓解互联网中的通信紧张状态。
*慢启动
让发送方实体在接受到确认之前逐步扩展窗口的大小,而不是一开始就采用很大的窗口,被称之为慢启动过程。(案例待更新)
UDP协议
传输层协议,提供无连接传输服务,不可靠但开销小。网络管理方面大多使用UDP协议。UDP有校验和字段,但没有校验功能,相比于TCP头部而言,UDP头部没有顺序号
传输层端口号分类:
保留/著名端口:1-1023,分配给常用应用层协议,标准端口注册端口:1024-49151
动态端口:49152-65535,,短暂端口
常用常考端口号
端口号
传输层协议
用途
说明
20
TCP
FTP,数据
文件传输协议(数据连接)
21
FTP,控制
文件传输协议(控制连接)
23
Telnet
远程终端
25
SMTP
简单邮件传输协议
53
TCP/UDP
DNS
域名系统
67
UDP
DHCP服务器
动态主机配置
68
DHCP客户机
动态主机配置客户机端口
69
TFTP
简单文件传输协议
80
HTTP
超文件传输协议
443
HTTPS
HTTP的安全
110
POP3
邮局协议
143
IMAP
交互邮件访问协议
161
SNMP
简单网络管理协议-管理代理
162
SNMP-trap
简单网络管理协议-管理站
179
BGP
边界网关路由协议
89(协议号)
基于IP(网络层)
OSPF
最短路径开放优先协议
520
RIP
路由信息协议
3389
RDP
远程桌面管理协议
DNS的逻辑机构是一个分层的域名树,Internet网络信息中心管理着域名树的根,称根域根域下面是顶级域,分为国家顶级域和通用顶级域。
edu(教育)、gov(政府)、mil(军事),仅限于美国使用。
ARP地址分解协议
ARP协议的功能是通过目标主机的IP地址,查询目标主机的MAC地址,实现了IP地址和MAC地址的映射,保证通信的顺利进行。ARP的协议数据单元封装在以太帧中传送。
ARP协议使用一种询问/回答机制。
ARP报文:请求广播,应答单播
RARP为反向ARP协议,为MAC地址查找IP地址。
网关协议
动态路由协议:1.内部网关协议IGP:①链路状态:OSPF
②距离矢量:RIP、RIPv2、IGRP
③混合型:EIGRP
2.外部网关协议EGP:①EGP②BGP
自治系统AS:类似于OSPF中的区域,在BGP中代表区域。IGP:自治系统内部的网关之间执行内部网关协议。
EGP:在不同自治系统中的网关之间交换路由信息。
BGP:
BGP的4种报文,通过TCP连接传送
报文类型
功能描述
打开(Open)
建立邻居关系
更新(Update)
发送新的路由信息
保持活动状态(Keepalive)
对Open的应答/周期性确认邻居关系
通告(Notification)
报告检测到的错误
RIP:
RIPv1和v2区别:
RIPv2有3个方面的改进
①RIPv1使用广播方式发布路由更新。RIPv2则改为组播方式进行路由更新,使用的组播
地址是224.0.0.9。采用了触发更新的机制来加速路由收敛。②RIPv2为无类别协议,支持VLSM和CIDR。
③RIPv2支持认证,使用经过散列的口令字来限制路由更新的传播。
距离矢量协议的几种避免环路的机制:
①设置最大度量值:距离值为最大值时表示网络不可达,停止距离值的增加。RIP的最大值16,IGRP为256。
③反向毒化:对水平分割的改进。把从邻居学习到的路由费用设置为无限大,并立即发送
给该邻居。
④触发更新:为了加速收敛,在路由表发生变化时,路由器立即向邻居发送路由更新信息
OSPF:
基于链路状态的路由协议。即在网络拓扑发生变化时才发布路由信息,而距离矢量协议则是周期性发送路由信息。
OSPF区域
标准区域:可以接收任何链路更新信息和路由汇总信息。
主干区域:连接各个区域的传输网络,其他区域都通过主干区域交换路由信息。
存根区域:不接收本地自治系统以外的路由信息,对自治系统以外的目标采用默认路由
0.0.0.0
不完全存根区域NSAA:类似于存根区域,但允许接收类型7的链路状态公告发送的外部
路由信息,而且要把类型7转换为类型5。
OSPF类型
①点对点:两个单点直接交换路由信息
②广播多址网络:以太网和其他具有共享介质的局域网都属于该类型,一条路由信息可以
广播给所有路由器。
③非广播多址网络NBMA:通过组播方式发布路由更新
④点到多点网络:非广播网络当做多条点对点,把一条信息发送到不同的目标
OSPF路由器
内部路由器:所有接口在同一区域内的路由器,只维护一个链路状态数据库主干路由器:具有连接主干区域接口的路由器
区域边界路由器ABR:连接多个区域的路由器,一般作为一个区域的出口。为每一个连接区域建立一个链路状态数据库,负责将所连接区域的路由摘要信息发送到主干区域,主干区域上的ABR负责将这些信息发送到各个区域。
自治系统边界路由器ASBR:至少拥有一个连接外部自治系统接口的路由器,负责将外部非OSPF网络的路由信息传入OSPF网络内。
OSPF链路状态公告:OSPF路由器之间通过链路状态公告LSA交换网络拓扑信息,LSA包含连接的接口、链路的度量值等。
OSPF报文
类型
分组名
功能
1
Hello
用于发现相邻的路由器
2
数据库描述DBD
表示发送者的链路状态数据库内容
3
链路状态请求LSR
向对方请求链路状态信息
4
链路状态更新LSU
向邻居路由器发送链路状态通告
5
链路状态应答LSAck
对链路状态更新报文的应答
OSPF的优缺点
链路状态协议的优点:①使用分层的网络结构,减小LSA的传播范围,同时也减小了网络
拓扑变化时影响所有路由器的可能性。
②链路状态协议使用组播共享路由信息,发布的是增量式的更新消息。只在网络拓扑出现变化时才发出更新报文,使网络带宽的利用和资源消耗变得更有效。
③支持无类别路由和路由汇总功能,支持VLSM和CIDR技术。④使用路径最短优先SPF算法不会在路由表中出现环路。
链路状态协议的缺点:比距离矢量协议对CPU和存储器的要求更高。
NAT
NAT主要解决IP地址短缺的问题,在子网外部使用少量的全局地址,通过路由器进行内部和外部地址的转换。从而节约地址资源。
NAT的三类技术:
①静态NAT:1对1
②动态地址翻译:多对多(m:n)
动态地址翻译的好处是节约了全局IP地址(公网地址),并且不需要改变子网内部的任何配置,只需要在边界路由器中设置一个动态地址变换表就可以工作了。
③NAPT伪装(PAT)多对1(m:1)
把多个内部地址翻译成一个外部地址和多个端口号
VLSM和CIDR的计算:省略,多做题找计算方法即可
MPLS多协议交换标签
理论上MPLS支持任何第2层和第3层协议,MPLS报头的位置介于第2层和第3层之间,可称为第2.5层。
MPLSVPN的一些基本概念
P:核心层设备,提供商路由器,服务提供商是不连接任何CE路由器的骨干网路由器设备,
它相当于标签交换路由器(LSR)。负责依据MPLS标签完成数据包高速转发。
PE:边缘设备,服务提供商骨干网的边缘路由器,PE路由器连接CE路由器和P路由器,是
最重要的网络节点。MPLS标签的生成和弹出。
CE:用户边缘设备,服务提供商所连接的用户端路由器,CE路由器通过连接一个或多个PE路由器,为用户提供服务接入。CE路由器通常是一台IP路由器。CE上不存在任何带有标签的数据包。
IP组播
D类地址:224.0.0.0至239.255.255.255之间的IP地址,划分成3类
①224.0.0.0至224.0.0.255:被保留地址,用于路由协议、维护管理协议等
224.0.0.1
子网中所有的主机
224.0.0.2
子网中所有路由器
224.0.0.5
224.0.0.6
OSPF指定路由器
224.0.0.9
所有RIPv2路由器
224.0.0.12
DHCP服务器或中继代理
224.0.0.13
所有支持PIM的路由器
②224.0.1.0至238.255.255.255:用于全球范围的组播地址分配
③239.0.0.0至239.255.255.255:有限范围内使用的组播地址,可在本地子网中使用
IGMP组播管理协议
①为了加入一个组,主机要发送成员资格报告报文。
②维护一个当前活动的组播地址列表,组播路由器要周期性的发送IGMP通用询问报文,封装在以224.0.0.1(所有主机)位目标地址的IP数据报中。
③组播路由器无须知道组播组中的每一个主机的地址,对于一个组播组,它只需要知道至少有一个组播成员处于活动状态就可以了。利用这种机制,每个组只有一个成员对组播路由器的询问返回报告报文。
④当一个主机离开一个组时,它向(所有路由器)224.0.0.2发送一个组离开报告。
组播路由协议
建立组播树是实现组播传输的关键技术,利用组播路由协议生成的组播树是以组播源为根的最小生成树
源专用树:最短通路树SPT共享分布树:约会点树RPT
a.密集模式路由协议DMRP:组播成员密集的分布在整个网络。并且有足够的带宽,允许周
期性的通过泛洪传播来建立和维护分布树。
b.稀疏模式路由协议SMRP:适用于带宽小、组播成员分布稀疏的互连网络
IPQoS服务
通常QoS提供以下三种服务模型:①尽力而为服务
②集成服务③区分服务
RSVP资源预约协议:目标到源单向预约。(通过接收方请求路由器来预约资源)
文件传输协议FTP
控制连接默认端口21,数据连接默认端口20。
访问FTP服务器两种方式:①提供合法的用户名和口令
②匿名访问,用户名Anonymous,口令是格式为电子邮件地址
邮件协议SMTP、POP3和IMAP
①SMTP:简单邮件传输协议,用于主机和主机之间的电子邮件交换。使用TCP连接,端口
号25。
②POP3(110)和IMAP(143)协议是邮件读取协议。
③MIME:是SMTP邮件的扩中,定义了新的报文结构和编码规则,声音、图形、表格、二
进制数据等的编码格式。多媒体。
HTTP超文本传输协议
端口号80,GET是HTTP协议提供的少数操作方法中的一种,含义是读取一个网页。常用的还有HEAD(读网页头信息)和POST(把消息加到指定的网页上)。
P2P应用
P2P是一种对等通信网络模型。在这种模式中,没有客户机和服务器的区别。
7.下一代互联网
IPv6
IPv6地址128位。采用冒号分隔的十六进制数表示。
每个字段开始的0可以省略,如0123可以简写成123;其次,一个或多个0000可以用一对冒号代替。有效零位不可简化,双冒号只能出现一次。
IPv4和IPv6比较和区别
IPv4地址
IPv6地址
点分十进制表示
带冒号的十六进制,0压缩
A、B、C、D、E5类
不分类
组播地址224.0.0.0/4
组播地址FF00::/8前缀11111111
广播地址(主机位全1)
任意播(限子网内部)子网前缀+全0
默认地址0.0.0.0
不确定地址::
回环地址127.0.0.1
回环地址::1
公共地址
可聚合全球单播地址FP=001
私网地址10.0.0.0/8;
172.16.0.0/12;192.168.0.0/16
站点本地地址FEC0::/10
自动专用IP地址169.254.0.0/16
链路本地地址FE80::/10
可聚合全球单播地址:在全球范围内有效,相当于IPv4公用地址,其格式前缀为001
链路本地地址:有效范围仅限于本地,相当于IPv4中的自动专用IP地址169.254.x.x,其格式前缀为1111111010FE8
站点本地地址:相当于IPv4只用的私有地址192.168.x.x,其格式前缀为1111111011FEC记忆点:1聚2链3站有(001为1,010为2,011为3)
移动IP
移动IP是指移动主机在离开家乡网络的远程站点可以联网工作
实现移动IP的关键技术是移动主机具有一个家乡网络地址并获取一个外地转交地址
IPv4向IPv6的过渡①隧道技术
隧道是将IPv6报文封装在IPv4报文中,让IPv6数据包穿过IPv4网络进行的通信。
②NAT-PT翻译技术
纯IPv6节点和纯IPv4节点间的通信
③双栈技术
适用于同时实现IPv6和IPv4两个协议栈主机之间的通信
ISATAP隧道技术中,ISATAP地址前64位是向ISATAP路由器发送请求得到的,后64位由两部分构成,前32位是0:5EFE,后32位是IPv4单播地址。
8.网络安全
网络安全威胁
网络攻击
被动攻击、主动攻击、物理临近攻击、内部人员攻击、分发攻击
加密技术
加密算法
分组长度
密钥长度
备注
共享密钥
(对称加密)
DES
64位
56位
分组加密
3DES
112位
IDEA
128位
AES
128、192、256位
RC4
/
64、128位
流加密
RC5
可变
Blowfish
*主动攻击者可以对基于共享密钥的认证方式进行重放攻击
报文摘要算法(防止发送的报文被篡改)
算法
明文分组大小
报文摘要长度
报文摘要算法
MD5(Hash哈希)
512位
SHA
160位
认证
①基于共享密钥的认证
主动攻击者可以对基于共享密钥的认证方式进行重放攻击②Needham-Schroeder认证协议
多次提问-响应,预防重放攻击③基于公钥的认证
能排除重放攻击数字签名
用于确认发送者身份和消息完整性的一个加密的消息摘要①基于密钥的数字签名
②基于公钥的数字签名
数据发送方使用自己的私钥加密,接收方利用发送方的公钥解密。数字签名的主要功能是保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。
报文摘要
报文摘要算法MD5:明文512位分组,最后得到128位MD报文摘要代码安全散列算法SHA:512位分组,散列值160位
散列式报文认证码HMAC:利用对称密钥生产报文认证码的散列算法,提供数据完整性和
数据源身份认证
公钥体系中,私钥用于解密和签名,公钥用于加密和认证。
证书链
A从证书发放机构X1处获取了证书,B从X2处获取了证书。如果A不知道X2的公钥,他虽然能读取B的证书,但却无法验证用户B证书中X2的签名,因此B的证书对A来说是没有用处的。只有两个证书发放机构X1和X2彼此间安全的交换了公开密钥后,才可以。①A从目录中获取由X1签署的X2的证书X1《X2》,因为A知道X1的公开密钥,所以能
验证X1的证书,并从中得到X2的公开密钥
②A再从目录中获取由X2签署的B的证书X2《B》,并由X2的公开密钥对此加以验证,然
后从中得到B的公开密钥。
A通过X1《X2》X2《B》来获取B的公开密钥B通过X2《X1》X1《A》来获取A的公开密钥
虚拟专用网
①第二层隧道协议
PPTP和L2TP,是将数据封装在点对点(PPP)协议的帧中在因特网上传输的。为二层协议。
②PPP协议
认证协议有PAP和CHAP
口令认证协议PAP:简单的明文认证方式,采用二次握手机制。
挑战—握手验证协议CHAP:采用三次握手认证系诶,不传送用户密码,而是传送由用户密码生成的散列值(哈希值HASH)。
L2TP数据包封装格式
IPUDPL2TPPPP
IPSec
IPSec是IETF定义的一组协议,用于在网络层增强IP网络的安全性
IPSec的功能可以划分为三类:
认证头(AH):提供数据完整性和数据源认证,但不提供保密服务封装安全负荷(ESP):提供数据加密功能
Internet密钥交换协议IKE
IPSec加密和认证过程中所使用的密钥由IKE机制来生成和分发。
IPSec的两种工作模式:隧道模式和传输模式
①隧道模式(用于站点到站点的VPN):用户的整个IP数据包被用来计算附加报头,且被加
密,附加报头和加密用户数据被封装在一个新的IP数据包中。(更安全)
②传输模式(用于主机到主机的VPN):只是传输层(如TCP、UDP)数据被用来计算附加报头,附加报头和被加密的传输层数据被放置在原IP报头后面。
SSL
SSL是传输层安全协议,用于实现Web安全通信。
之后IETF推出了传输层安全标准TLS,对SSL进行了扩展,SSL/TLS在Web安全通信中被
称为HTTPS,端口号为443。
S-HTTP
是面向报文的安全通信协议,和HTTPS非相同协议。
S-HTTP的语法与HTTP一样,而报文头有所区别,报文体进行了加密。为了和HTTP报文区别,S-HTTP使用了协议指示器Secure-HTTP/1.4
PGP
PGP是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术。PGP提供数据加密和数字签名两种服务。
使用IDEA对数据加密,生成128位密钥,再用RSA对该密钥进行加密,实现高保密性。使用MD5进行数据完整性验证。
S/MIME
添加在邮件系统的用户代理中,用于提供安全的电子邮件传输服务。S/MIME提供的安全服务有报文完整性验证、数字加密和数据签名。
安全电子交易SET
用于电子商务的行业规范。
应用在Internet上,以信用卡为基础的电子付款系统规范,目的是为了保证网络交易的安全。Kerberos认证
防火墙
防火墙实现内部网络与外部不可信任网络之间或是内部网络不同网络安全区域之间的隔离与访问控制,保证网络系统和网络服务的可控性。有效阻挡来自Internet的外部攻击。
园区网防火墙定义的安全三区域
Trust信任区域(企业内网)、Untrust非信任区域(公网Internet)、DMZ区域
病毒
病毒名称的一般格式:<病毒前缀>.<病毒名>.<病毒后缀>
病毒前缀:病毒的种类,不同种类的病毒前缀不同。木马:Trojan、蠕虫:Worm
病毒名:病毒的家族特征。CIH病毒家族名为CIH、震荡波蠕虫家族名为Sasser
病毒后缀:用来区别某个家族病毒的不同变种,Worm.Sasser.b就是震荡波蠕虫变种b
常见类型的病毒:
①系统病毒:前缀Win32、PE、Win95、W32、W95:感染操作系统exe和dll,通过文件
传播,例如CIH病毒。
②蠕虫病毒:前缀为Worm。特性:通过网络或系统漏洞进行传播,阻塞网络。例如冲击波③木马病毒:前缀为Torjan,黑客病毒前缀为Hack。泄露用户信息,盗取账户。
④脚本病毒:前缀为Script,特征:使用脚本语言编写,通过网页进行传播。
⑤宏病毒:特殊脚本病毒,前缀Macro,第二前缀Word、Word97、Excel、Excel97等。特征:感染office文件,通过office通用模板进行传播。
9.服务器
活动目录AD需要DNS服务器支持,必须安装在NTFS分区。选择开始运行,执行dcpromo.exe
A-G-U-DL-P
A:用户账号
G:全局组*来自本地,访问任何
U:通用组*来自任何,访问任何
DL:域本地组*来自任何,访问本地P:资源访问权限
Windows系统中,用户组默认权限从高到低:Administrator---powerusers---users---everyone
IIS6.0安全级别最高的验证:集成Windows身份验证基本身份验证安全级别低
Servers2008内置的远程桌面功能,只允许不超过2个用户连接到服务器。远程桌面服务RDP-Tcp网络适配器可以设置最大连接数
MMC管理控制台
是集成管理网络、计算机、服务及其他系统组件的管理工具
Linux系统/根目录
inetd/xinetd(网络服务守护进程)服务的默认配置文件为inetd.conf/xinetd.conf,默认目
录/etc
vsftp服务的主配置文件是vsftpd.conf,默认目录为/etc/vsftpd
samba(文件传输共享打印)服务的主配置文件是smb.conf,默认在/etc/samba目录下
网络接口配置命令
[root@redhat-64~]#ifconfigeno1678003210.0.252.198netmask255.255.255.0up
ifconfigeno16780032或ifconfig可以显示配置add增加
del删除
-rwxrwx---
文件类型用户权限用户组权限其他用户权限
r:可读w:可写x:可执行
文件类型:d代表目录、-代表普通文件、c代表字符设备文件、l代表链接文件
DHCP
DHCP客户端获取动态地址的四次交互,均采用广播通信方式。客户端的广播报文的源IP地址为0.0.0.0
DHCPServer和DHCPClient位于不同子网时,需采用DHCP中继,中继点是客户端的默认网关接口
DHCPClient如果收到多个offer报文,会接受第一个收到的offer报文,拒绝后续的offer
DHCP服务器拒绝客户端发送DHCPNackDHCP客户端拒绝服务器发送DHCPDecline
169.254.0.0DHCP内部地址,为DHCP获取失败或者服务器错误终端未获取地址成功所使用的内部地址。
DNS域名解析顺序:本地缓存——(主域名服务器)区域记录——转发域名服务器——根
域名服务器
*浏览器地址栏输入一个正确的网址后,本地主机将首先在本地DNS缓存中查询该网址对应的IP地址,无法解析,才通过本地hosts文件进行解析。
10.组网技术
参考华为30个试验手册的命令
11.网络管理
5大功能域:配置管理、故障管理、计费管理、性能管理、安全管理
SNMP是应用层协议,传输层基于UDP,因为UDP效率高,开销小,不太多的增加网络负载。
SNMPv1
一个管理站可以管理多个代理,管理站和代理也可以存在多对一的关系。
SNMPv2增加了SNMPv2Trap操作,并且定义了GetBulk和Inform两个新的协议操作。GetBulk操作用来快速获取大块数据。Inform操作允许一个NMS(网络管理系统)向另一个NMS发送Trap信息/并接受一个响应消息。
SNMPv2增加了两种新的数据类型Unsigned32和Counter64。
SNMPv2提供3种访问管理信息的方法
①管理站和代理之间的请求/响应通信【管理站向代理发出通信请求】②管理站和管理站之间的请求/响应通信
③代理系统到管理站的非确认通信,由代理向管理站发送陷入报文,报告异常情况。
SNMPv3
重新定义了网络管理框架和安全机制,即SNMPv3增加了认证和加密的功能。并将前两版中的管理站和代理统称为SNMP实体(SNMPentity)。
SNMP管理对象树结构从上至下读取1.3.6.1.4
RMON
通常用于监视整个网络通信情况的设备叫做网络监视器或分析器。RMON定义了远程网络监视的管理信息库
RMON的目标就是监视子网范围内的通信,从而减少管理站和被管理系统之间的通信负担
RMON提供整个子网的管理信息
SNMP管理信息库只包含本地设备的管理信息
网络存储技术
RAID0故障率高,非冗余,速度最快。
RAID1磁盘对组成,安全性高,但磁盘利用率只有50%
RAID2和3类似利用率为(n-1)/n
RAID5与RAID3不同的是,进行纠错的校验信息分布在各个数据盘上,无专门校验盘RAID10是0和1的组合形式,也成RAID0+1,是存储性能和数据安全的兼顾方案。
存储方式
DAS、NAS、SAN
其中属于网络化存储的是NAS和SAN
FC-SAN和IP-SAN
FC-SAN通过光纤的连接方式进行的网络存储IP-SAN通过以太网连接方式进行的网络存储
12.网络规划和设计
结构化布线系统:
由工作区子系统、水平子系统、管理子系统、干线子系统、设备间子系统、建筑群子系统(园区子系统)组成,结构如图所示:
网络系统分析
网络系统生命周期5阶段
需求规范、通信规范、逻辑网络设计、物理网络设计、实施阶段。
通信流量分析
80/20规则:80/20规则是基于80%是在某个网段中流动,只有20%通信流量访问其他网段。
20/80规则:翻转,80%流量分配给远程,20%流量在本地。层次化网络结构:核心层、汇聚层、接入层
广域网PSTN
ISDN的两种用户接口:
BRI:2B+D(B=64kbit/s,D=16kbit/s)PRI:30B+D(B、D均为64kbit/s)
xDSL技术
SDSL、HDSL、为对称,记忆点:“SHI”是对称
其他ADSL、VDSL、RDSL都是非对称VDSL速率最快
SDH是基于光纤的同步数字传输网络STM-1传输速率为155.520Mbps
STM-4传输速率为4*155.520=622.080MbpsSTM-16传输速率为16*155.520=2488.320Mbps