软考网工中级-精简笔记
计算机基础
硬件架构
计算机硬件系统是冯诺依曼设计的体系结构,由运算器、控制器、存储器、输入/输出设备,五大部件组成,运算器和控制器组成中央处理器CPU
控制器&运算器
指令执行过程:取址、译码、执行
- 控制器:负责访问程序指令,进行指令译码,并协调其他设备,通常由程序计数器PC、指令寄存器IR、指令译码器、状态/条件寄存器、时序发生器、微操作信号发生器组成
- 程序计数器PC:用于存放下一条指令所在单元的地址(存地址)
- 指令寄存器IR:存放当前从主存读出的正在执行的一条指令(存指令)
- 指令译码器:分析指令的操作码,以决定操作的性质和方法
- 微操作信号发生器:产生每条指令的操作信号,并将信号送往相应的部件进行处理,以完成指定的操作
- 运算器:负责完成算术、逻辑运算功能,通常由算术/逻辑运算单元ALU、 通用寄存器(存中间状态计算结果)、状态寄存器、多路转换器构成
指令集RISC与CISC
RISC精简指令集
- 对指令数目和寻址方式做精简,让指令的指令周期相同,更适合采用流水线技术,并行执行程度更好
- 广泛应用于小型机、移动终端设备
- 控制方式:绝大多数为组合逻辑控制,硬布线逻辑+微程序
- 流水线、 通用寄存器数量多、指令字长定长、指令系统简单精简
CISC复杂指令集
- 当下应用最广的Intel和AMD x86系列CPU用的都是CISC架构
- 控制方式:绝大多数通过微程序控制
- 通用寄存器数量少、指令字长变长、指令系统庞大复杂
位示图
例题1
某字长为32位的计算机文件管理系统采用位示图记录磁盘的使用情况,若磁盘的容量为300GB,物理块的大小为1MB,那么位示图的大小为()个字
1 | 1. 将GB转换为MB |
例题2
使用图像扫描仪以300DPI的分辨率扫描一幅3*4英寸的图片,可以得到()像素的数字图像
1 | 300DPI表示一英寸有300个像素点 |
例题3
有一副位图图像的分辨率是1024*768,保存为24位位图,请计算这张图片数据存储量
1 | 1024*768*24 = 18874368bit |
局域网城域网
以太网物理标准
快速以太网802.3u (100M)
T表示双绞线、F表示光纤、UTP非屏蔽双绞线、STP屏蔽双绞线
名称 | 传输介质 | 传输距离 |
---|---|---|
100Base-TX | 两对5类UTP、两对STP | 100m |
100Base-FX | 一对单模光纤、一对多模光纤 | 40KM、2KM |
100Base-T4 | 四对3类UTP | 100M |
100Base-T2 | 两对3类UTP | 100M |
千兆以太网3z、3ab(1000M)
千兆以太网编码:4B/5B、8B/9B
标准 | 名称 | 传输介质 | 距离 |
---|---|---|---|
802.3z | 1000Base-SX | 多模光纤 | 550M |
802.3z | 1000Base-LX | 单模或多模光纤 | 5000M |
802.3z | 1000Base-CX | 两对STP | 25m |
802.3ab | 1000Base-T | 四对UTP | 100M |
万兆以太网802.3ae(10G)
不再共享宽带,没有冲突检测
名称 | 传输介质 | 传输距离 |
---|---|---|
10GBase-S | 62.5um多模光纤 | 65m |
10GBase-L | 单模光纤 | 10KM |
10GBase-E | 单模光纤 | 40KM |
10GBase-LX4 | 单模光纤 | 10KM |
10GBase-LX4 | 多模光纤 | 300M |
以太网
以太网帧结构
- 目的地址6位、源地址6位、长度2位、数据46~1500位、CRC校验和4位
- 数据位不够46位时必须填充到46位
- 最小帧长度6+6+2+46+4=64;最大帧长度6+6+2+1500+4=1518
- 以太网最大利用率=1500/1518=98.8%,最小利用率=46/64=71.8%
- 先导字段10101010,帧开始标识10101011
帧中继
- 在二层建立虚链路,提供虚链路服务,本地标识符DLCI
- 面向连接、基于分组的透明传输、只做检错、拥塞控制,不做流量控制、重传机制
- 帧长可变(1600~4096字节);速率2~45Mbps
CSMA/CD
如果连续发生16次碰撞后就不再尝试发送
冲突发生后会立即停止发送,再发送一个干扰信号Jamming,使所有站点都停止发送;再等待一段随机的时间,重新监听再发送
- 非坚持型监听算法:随机延时后退,减小冲突概率、线路利用率低、增加了发送延时
- 1-坚持型监听算法:继续监听不等待,有空就发送;冲突概率大、线路利用率高
- P-坚持型监听算法:若信道空闲,以概率P发送
生成树STP
生成树协议使得在二层出现环路时,就会通过逻辑阻塞特定端口,从而打破环路,并在网络拓扑变更时及时收敛,保障网络冗余性
- 桥ID:由8个字节组成,2字节桥优先级、6字节MAC地址;桥优先级默认32768,越小越优先
- 路径开销:路径开销与端口带宽成反比,开销越小越优先
协议 | 名称 | 描述 |
---|---|---|
802.1d | 生成树协议STP | 慢,拓扑收敛30~50s |
802.1w | 快速生成树RSTP | 快,6s内完成收敛 |
802.1s | 多生成树MSTP | 实现多VLAN的负载分担 |
STP选举
- 确认根桥(RB):优先级和MAC地址最小的网桥
- 确认根端口(RP):距离根桥开销最小的端口
- 指定端口(DP):根桥的所有端口都是指定端口,阻塞端口对端也是指定端口,指定端口不会被阻塞
- 阻塞端口:被阻塞的端口(比较设备优先级或者MAC或接口到达根桥的最远,开销最大的)
如果知道指定端口的开销都相同时,就比较设备的优先级跟MAC地址,比较不出来就比较接口的编号(越小越优先)
城域网
802.1ad:双层标记,打了两层VLAN标签(用户、运行商),也叫QinQ技术
802.1ah:在数据帧上打MAC地址,也叫MAC-in-MAC技术
VLAN/802.1Q
802.1Q常用标签字段
- PRI(3位):表示优先级,0~7共8个优先级
- VID(12位):VLAN标识符,最多有4096个VLAN(0~4095),可用4094个(1~4094)
- VLAN标记对用户是透明的
vlan划分方式
- 静态:根据交换机接口划分VLAN
- 动态:根据MAC地址、策略、网络层协议、IP地址划分VLAN
OSI参考模型
网络互联 设备
设备层次 | 设备名称 | 工作原理 |
---|---|---|
物理层 | 中继器、集线器 | 放大信号、延长传输距离 |
数据链路层 | 网桥、交换机 | 基于MAC地址转发数据帧 |
网络层 | 路由器、三层交换机 | 基于目的IP地址转发数据包 |
四层以上设备 | 网关 | 基于传输层、应用层进行控制 |
集线器:将一个接口进入的数据放大后,泛洪给所有的接口;容易产生环路导致广播风暴
交换机:通过MAC地址表进行寻址,MAC地址表由MAC地址、接口、VLAN组成
路由器交换机的区别
- 路由器通常用作出口网关:常用的技术有NAT、IPSec、OSPF、PPPoE、静态路由等
- 交换机一般用在内部网络中:常用的技术有生成树协议、堆叠、链路聚合、ACL等
- 一般大型网络中交换机数量是庞大的,而路由器数量只有几个,主要用于出口
OSI七层
层次 | 功能 |
---|---|
应用层 | 各种应用协议 |
表示层 | 数据和信息的语法转换内码,数据压缩解压、加密解密 |
会话层 | 为通信双方指定通信方式,并创建、注销会话 |
传输层 | 可供可靠或不可靠的端到端连接 |
网络层 | 逻辑寻址:路由选择 |
数据链路层 | 将分组封装成帧;提供点到点的传输,差错控制 |
物理层 | 在媒介上传输比特流;提供机械和电气规约 |
TCP/IP四层
TCP层次 | OSI层次 | 网络协议 |
---|---|---|
应用层 | 应用层、表示层、会话层 | HTTP、FTP、SNMP、DNS等 |
传输层 | 传输层 | TCP、UDP |
网络层 | 网络层 | IP、ICMP、ARP、RARP、OSPF、IPSec、BGP、VRRP等 |
网络接口层 | 数据链路层、物理层 | PPP、PPTP、以太网 |
TCP/IP
IP
IPv4
- 基本IP头20字节,可变长度到60字节(20固定+40可变)
- 常见字段:生存周期TTL8位、协议8位、源IP地址32位、目的IP地址32位
IPv6
- 基本IP头40字节,不可变长;8组16进制表示
- 常见字段:跳数限制8位、协议8位、源IP地址128位、目的IP地址128位
- 过度技术:双栈技术、隧道技术、翻译技术
- 双栈技术:同时运行IPv4和IPv6
- 隧道技术:解决IPv6节点之间通过IPv4网络进行通信
- 翻译技术:解决纯IPv6节点与纯IPv4节点之间的通信
特殊IPv4地址地址
A类私有:10.0.0.0/8(10.0.0.1~10.255.255.255)1个A类
B类私有:172.16.0.0/12(172.16.0.1~172.16.31.255)16个B类
C类私有:192.168.0.0/24(192.168.0.1~192.168.255.255)256个C类
组播地址 | 描述 |
---|---|
224.0.0.1 | 所有主机 |
224.0.0.2 | 所有路由器 |
224.0.0.5 | 所有运行OSPF的路由器 |
224.0.0.6 | DR、BDR接收地址 |
224.0.0.9 | RIPv2更新地址 |
224.0.0.18 | VRRP组播地址 |
特殊IPv6地址
口诀:1聚2链3站
单播地址 | 描述 |
---|---|
前缀x001 | 全球可聚合单播地址(公网)如2001 |
前缀1111 1110 10 | 链路本地地址,结合MAC生成(链路) |
前缀1111 1110 11 | 站点本地地址(私网) |
组播地址 | 描述 |
---|---|
前缀1111 1111 | FF00开头地址 |
- 表示一组接口的标识符,通常是路由举例最近的接口
- 任意播地址不能作为源地址,只能作为目的地址,只能给路由器使用
地址总结 | 描述 |
---|---|
FF00:: | 组播地址 |
:: | 不确定地址 |
::1 | 回环地址 |
x001 | 可聚合全球单播地址(公网) |
FEC0:: | 站点本地地址(私网) |
FE80:: | 链路本地地址(结合MAC地址) |
2002:: | 6to4隧道地址 |
TCP
基础
- 面向连接、可靠传输、流控和窗口机制(在接收方)、三次握手、四次挥手
- 固定头部20字节,可拓展到60字节
- 常见字段:源端口16位、目的端口16位、窗口16位
三次握手
第一次握手ACK=0,其他都是1;seq最开始都是随机的,ack是对方的seq值+1
- 第一次握手时发送seq=x,SYN=1;发送方状态为SYN-SENT,接收方收到后为SYN-REVD
- 第二次握手时发送seq=y,ack=x+1,SYN=1,ACK=1;发送方状态为SYN-REVD,接收方收到后为Established
- 第三次握手时发送seq=x+1,ack=y+1,ACK=1;接收方收到后为Established
四次挥手
前提:双方传输完所有数据后,互相发送确认收到,才开始断开连接
- 第一次挥手表示断开:FIN=1,ACK=1
- 第二次挥手表示确认:ACK=1
- 第三次挥手表示断开(由2发出):FIN=1,ACK=1
- 第四次挥手表示确认:ACK=1
UDP
- 面向无连接、不可靠、头部长度8字节,比TCP精简了很多
- 源端口16位、目的端口16位、长度16位、检验码16位
常见端口
TCP
端口号 | 名称 |
---|---|
20/21 | FTP数据/控制 |
25 | SMTP发送邮件 |
80 | HTTP |
443 | HTTPS |
110 | POP3接收邮件 |
143 | IMAP同步邮件 |
179 | BGP |
UDP
端口号 | 名称 |
---|---|
53 | DNS |
67/68 | DHCP服务器/客户端 |
68 | TFTP |
161/162 | 网管协议客户端/服务器 |
500 | IKE |
520 | RIP |
数据通信技术
数据编码
曼切斯特编码
- 双相码,在每一个比特中间均有一个跳变;用0、1表示高低电平的转换;第一个波型不能判断出高低电平;在10M以太网中使用
差分曼切斯特编码
- 双向码,在令牌环网中使用;有跳变代表0,无跳变代表1(有0无1)
两种曼码
- 两种曼码的效率都是50%
- 两种曼码都是双向码,要求每一位都有电平转换,一高一低,必须翻转
- 两种编码的第一位都是未知数,一般先算出差分曼切斯特编码、再用差分曼切斯特编码推算出曼切斯特编码
- 都有自定时、检测错误的功能;将时钟和数据包含在信息流中,也称自同步码
其他编码
- 100Base-TX先4B/5B编码,再MLT-3编码
- 100Base-T先4B/5B编码,再NRZ-I编码
编码 | 效率 | 应用场景 |
---|---|---|
曼切斯特 | 50% | 以太网 |
差分曼切斯特 | 50% | 令牌环网 |
4B/5B | 80% | 百兆以太网 |
8B/10B | 80% | 千兆以太网 |
64B/66B | 98% | 万兆以太网 |
调制技术
记住波形对应的编码
数据传输系统
频分多路复用:无线电广播、ADSL、FDD-LTE
时分复用:T1/E1、SONET/SDH、WIFI、TDD-LTE
E1/T1:
- 每路电话64K;T1速率1.544M、E1速率2.048M
- E1把32个8位一组的数据样本组成125us的基本帧,其中30个子信道用于语音传输、2个子信道用于控制信令(CH0,CH16)
同步数字序列
记住第一行,然后每行都乘4
光纤级 | SDH对应 | 常用近似值 |
---|---|---|
OC-3 | STM-1 | 155Mbps |
OC-12 | STM-4 | 622Mbps |
OC-48 | STM-16 | 2.5Gbps |
OC-192 | STM-64 | 10Gbps |
计算题
内存芯片数量计算
公式方法
- 大值+1后减去小值,再转成十进制
- 单位换算:转换后单位是字节B,要转成KB(除以1024)
- 再算片:算出来的KB / 存储容量
例题1
在主存储器中,数据块是以字节位单位来标识的,即每个字一个地址,通常采用十六进制表示,例如内存地址编址从A4000H~CBFFFH,则内存大小为?
1 | 1. 大值+1 - 小值 |
例题2
内存按字节编址,地址A0000H到CFFFFH,一共有()字节,若用存储容量64K*8bit的存储芯片构成该内存地址,至少需要()片
1 | 1. 大值+1 - 小值 |
例题3
内存按字节编址,若用存储容量为32K*8bit的存储器芯片构成从A00000H到DFFFFH的内存,则至少需要()片芯片
1 | 1. 大值+1 - 小值 |
二进制指数退避算法
理论
- 检测到冲突后,马上停止数据的发送,并等待随机时间再发送数据
- 重传16次后就认为网络繁忙或故障,不再发送
- 下面的Randon里面的值是用在随机挑选一个作为重发时间
公式
等待的随机时间 = τ*Random[0,1,2,…2^k -1] ;k = min[重传次数,10]
简算公式:1/2^n,n=冲突次数
例题1
采用CSMA/CD进行介质访问,两个站点连续冲突3次后再次冲突的概率是多少?
1 | # 方法1:简算公式 1/2^冲突次数 |
1 | # 方法2 |
例题2
在CSMA/CD中,同一个冲突域中的主机连续经过3次冲突后,每个站点在接下来的信道空闲的时候立即传输的概率是?
1 | k = min[3,10] = 3 |
奈奎斯特、香农定理
基础与公式
奈奎斯特(无噪声):
- 信道带宽为W,最大码元速率为B=2W,单位是Baud比特
- W是模拟信道时,W = 最大带宽 - 最小带宽
- 当题目有采样周期的时候,就1/T,T是时间,注意单位换算,然后不要管带宽
- 极限速率R = Blog2^N = 2Wlog2^N,N是码元种类数
- QPSK=4,DPSK=2
香农定理(有噪声):
- 极限速率C=Wlog2^(1 + S/N),S是信号平均功率,N是噪声平均功率,S/N表示信噪比
- 噪声dB=10log10^(S/N),一般3dB = 100 (S/N)
例题1
某信道带宽为1MHz,采用4幅度8相位调制最大可以组成()种码元,若此信道信号的码元宽度为10微秒,则数据速率为()kb/s
1 | # 第一题 |
例题2
若8进制信号的信号速率是4800Baud,则信道的数据速率为()kbs
1 | 8进制N就是8,几进制N就是几 |
PCM、曼码编码效率
理论
- PCM数字化的三个步骤:采样、量化、编码
- 采样频率 ≥ 模拟信号的最高频率 * 2
- PCM计算不用代公式
例题1
对声音信号数字化时,由于语音的最高频率是4KHz,所以采样的频率是();对语音样本用128个等级量化,在数字信道上传输这种数字化后的语音信道速率是?
1 | # 第一题 |
例题2
假设模拟信号的频率范围为3~9MHz,采用频率必须大于()信号才不会失真
1 | 9 * 2 = 18MHz |
例题3
设信道带宽为5000Hz,采用PCM编码,采样周期为125us,每个样本量化后为256个等级,则信道速率为()
1 | # 看到采样周期就 1/T |
例题4
在异步传输中,1位起始位,7位数据位,2位停止位,1位校验位,每秒传输200字符,采用曼切斯特编码,有效速率为()kb/s,最大波特率为()Baud
1 | # 算有效速率 |
编码效率
编码 | 效率 | 用途 |
---|---|---|
曼切斯特编码 | 50% | 以太网 |
差分曼切斯特编码 | 50% | 令牌环 |
4B/5B | 80% | 百兆以太网 |
6B/8B | 80% | 千兆以太网 |
64B/66B | 97% | 万兆以太网 |
信道延迟
公式 注意单位换算!!!
总延迟 = 信道(线路)延迟 + 发送延迟
线路延迟 = 传输距离 / 传输速度+
发送延迟 = 数据帧大小bit / 数据速率
光缆:30W km/s = 300m/us;电缆:20W km/s = 200m/us;卫星:270ms
隐藏条件:以太网MTU最大1500B,帧默认1518B,回应帧64B
例题1
在相隔20KM的两地通过电缆以100Mb/s的速率传送1518字节长的以太帧,从开始发送到接收完成数据需要的时间约()
1 | # 算线路延迟 |
例题2
在1000米的100Base-T线路上,发送1000字节的数据,延迟是多少
1 | # 计算线路延迟 |
例题3
在地面相距2000公里的两地之间通过电缆传输4000比特长的数据包,数据速率为64kb/s,从开始到接收结束时间是()
1 | # 计算线路延迟 |
例题4
以太网的最大帧长1518字节,每个数据帧前面有8个字节的前导字段,帧间隔为9.6us,传输240000bit的IP数据报,采用100Base-TX网络,最短时间是()
1 | # 计算发送延迟 |
例题5
以太网的最大帧为1518字节,每个数据帧前面有8个字节的前导字段,帧间隔为9.6us,在100BASE-T网络中发送一帧的时间为()
1 | 1. 计算总传输 |
例题6
以100Mb/s以太网连接的站点A和站点B相距2000m,通过停机等待机制进行数据传输,传播速度为200m/us,最高的有效传输速率为()
1 | # 算信道延迟 |
例题7
通过卫星传送3000比特长的数据包,卫星速率50kb/s,需要用多少时间
1 | # 线路延迟 |
例题8
在异步通信中,每个字符包括1位起始位、7位数据位、1位奇偶位、2位终止位,每秒传送100个字符,则有效速率为()
1 | R=11 * 100 = 1100b/s # 传输速率 |
CRC
CRC循环冗余校验
- 只能检错不能纠错,遇到错请求重发
CRC算法
- 判断校验位数:生成式的最高次方是几,校验位就是几位
- 补齐数据位后的0:在数据为后面补0,校验位数几位就补几个0
- 提取多项式的系数:x^n
- 用第二步的结果除第三步(异或),余数就是CRC,CRC位数不够前面补0
海明码
理论
- 通过冗余数据位来检错和纠错
- 海明不等式:2^k -1 ≥ m+k;k是校验位个数、m是数据长度
- 奇偶校验:整个校验码中1的个数是奇数还是偶数,如使用偶校验是1的个数是奇数就补1,偶数就补0
- 海明码距 :两个字码之间不同的比特数
例题1
海明码,如果信息位6位,要求纠正1位错,按照海明码的编码规则,需要增加的校验位至少()位
A.3 B.4 C.5 D.6
1 | # 将选项代入公式2^k -1 ≥ k+m,选项成立就是对 |
最小帧
最小帧长计算公式:Lmin=2R * d/v R为网络数据速率、d为最大距离、v为传播速度
不冲突条件:发送时间 ≥ 传送时间 + 确认时间
例题1
采用CSMA/CD协议的基带总线,段长为1000M,数据速率为10Mb/s,信号传播速度为200m/us,该网络最小帧为()比特
1 | # 带入公式:2R * d/v |
例题2
在CSMA/CD以太网中,数据速率为100Mb/s,网段长2km,信号速率为200m/us,该网络最小帧长为()比特
1 | # 带入公式:2R * d/v |
网络安全
对称加密(分组算法)
算法 | 描述 |
---|---|
DES | 分组、每组64位、64位密文、56位密钥 |
3DES | 分组、112位密钥、2个密钥3次加密 |
IDEA | 分组、每组64位、128位密钥、可用软硬件实现、比DES快,用于PGP |
AES | 分组、每组128位、支持128、192、255位密钥,可用硬件实现 |
RC4 | 流加密、加密速度快、DES的10倍、用在wifi |
SM1、4 | 国产,分组和密码长度都是128比特 |
非对称加密(公钥密码)
算法 | 描述 |
---|---|
RSA | 512、1024位密钥 |
DH | 用在IPSec |
ECC | 椭圆曲线算法 |
SM2 | 国产 |
国产加密算法
算法 | 类型 | 描述 |
---|---|---|
SM1 | 对称加密 | 分组和密码长度都是128比特 |
SM2 | 非对称加密 | 非对称该有的功能都有 |
SM3 | 哈希算法 | 分组512位,输出256位哈希值 |
SM4 | 对称加密 | 分组和密码长度都是128比特 |
SM9 | 标识密码算法 | 公钥加密、密钥交换、数字签名等 |
哈希算法(摘要算法)
算法 | 描述 |
---|---|
MD5 | 512位数据块,产生128位信息摘要,常用于文件校验 |
SHA | 512位数据块,产生160位哈希值,比MD5安全 |
SM3 | 国产,分组512位,输出256位哈希值 |
PPP认证方式
- PAP:两次握手验证协议,口令以明文传送,被验证方首先发起请求
- CHAP:三次握手,认证过程不传送认证口令,传送HMAC散列值
被验证方就是客户端,主认证方就是认证服务器
对称加密算法
对称加密算法(共享密钥加密算法):加密和解密密钥相同
- 数据标准DES:一种分组加密,在加密前先把整个明文进行分组,每个分组64位,之后进行16轮迭代,产生一组64位密文数据,使用的密钥是56位
- 3DES:使用两个密钥,执行三次DES算法,密钥长度是112位
- 国际数据加密算法IDEA:128位密钥,把明文分为64位的块,进行8轮迭代;IDEA可以使用硬件或软件实现,比DES快
- 高级加密标准AES:支持128、192、256位三种密钥长度,可通过硬件实现
- 流加密算法RC4:加密速度快,是DES的10倍;常用在WIFI
非对称加密算法
非对称加密算法也叫公钥加密算法,每个实体有两个密钥:公钥公开、私钥自己保存
- 保密通信:公钥加密,私钥解密
- 数字签名:私钥加密,公钥解密
- 典型公钥加密算法:RSA
哈希Hash
将一段任意长度的数据经过一道计算,转换为一段定长的数据MD5 128位、SHA 160位
- 不可逆性(单向)、无碰撞性、雪崩效应
- 使用场景:验证文件的完整性(使用MD5)、加密密码、数字签名
MD5将报文按照512位进行分组,最后的到128位报文摘要
SHA将报文按照512位进行分组,产生160位散列值,比MD5安全但慢
数字签名
用于确认发送者身份和消息完整性的一个加密算法摘要
- 接收者能够核实发送者
- 发送者不能抵赖签名后的报文
- 接收者不能伪造对报文的签名
数字证书:数字证书包含用户公钥和CA用私钥进行的签名
PKI和Kerberos体系
Kerberos
Kerberos服务器(KDC)包含认证服务器AS、授权服务器TGS
- 客户向认证服务器AS请求许可凭证
- 认证服务器AS下发许可凭证
- 客户向授权服务器请求服务器凭证
- 授权服务器下发服务器凭据凭证
- 客户方请求服务器方(拿着授权信息)
- 服务器方再提供双向认证
PKI体系
包含CA颁发证书、RA审核用户身份
主流攻击(下午)
SQL注入
通过构建恶意SQL语句,获取数据库敏感信息或直接向数据库插入恶意语句
防范:对用户的输入做严格检查,防止恶意SQL输入;部署DBS数据库审计系统、WAF防护墙进行安全阻断
常见病毒
病毒类型 | 关键字 | 描述 |
---|---|---|
蠕虫病毒 | worm | 会传播 |
木马病毒 | Trojan | 会隐藏,c&c通信 |
宏病毒 | Macro | 感染word、excel |
IPSec
IPSec功能分为三类:认证头AH、封装安全负荷ESP、Internet密钥交换协议IKE
- 认证头AH:提供数据完整性和数据源认证,不提供数据保密服务,实现的算法有MD5、SHA(哈希)
- 封装安全负荷ESP:提供数据加密功能,加密算法有DES、3DES、AES等(对称加密)
- Internet密钥交换协议IKE:用于生成和分发在ESP和AH头中使用的密钥(非对称)
IPSec协议 | 功能 | 代表协议 |
---|---|---|
AH | 数据完整性和源认证 | MD5、SHA(哈希) |
ESP | 数据加密,也能提供AH的功能 | DES、3DES、AES(对称) |
IKE | 密钥生成、分发 | DH(非对称) |
记住:隧道模式使用新的IP头
IPSec的模式
- 站点到站点:站点到站点又称网关到网关,多个异地机构利用运营商网络建立IPSec隧道,将各自的内部网络联系起来
- 端到端:端到端又称PC到PC,即两个PC之间的通信由IPSec完成
- 端到站点:两个PC之间的通信由网关和异地PC之间的IPSec会话完成
防火墙&入侵检测&入侵防御
实现内部网络信任Trust、外部不可信任网络Untrust、军事缓冲区域DMZ之间的隔离与访问控制
防火墙有包过滤防火墙、状态化防火墙、应用层网关、应用层检测DPI
防火墙层次越高越安全、处理效率越低
防火墙区域
- 本地区域Local:防火墙本身
- 信任区域Trust:内部网络
- 非信任区域UnTrust:外部网络,如Internet
- 军事缓冲区域DMZ:放置公共服务器的地方,向外提供服务
入侵检测IDS是防火墙之后的第二个屏障
入侵检测IDS是旁路部署、入侵防御IPS是串行部署(FW后)、防火墙FW部署在出口与内网之间、WAF跟web服务器串联在一起(waf在前面)
入侵防御IPS是一种抢先的网络安全检测和防御系统,能检测出攻击并积极响应
- IPS不仅有入侵检测系统功能,还有拦截攻击并阻断攻击的功能(主动且全面深层次的防御)
- IDS只能检测到入侵并记录,再报告
网络操作系统
Windows
A-G-U-DL-P:用户账号A、全局组G、通用组U、域本地组DL、资源权限G
DNS
记录类型 | 说明 | 备注 |
---|---|---|
SOA | 起始授权机构记录,用于表示在众多NS记录中哪台是主服务器 | 设置数据版本、更新、过期时间的信息 |
A | 正向,把主机名解析为IP地址 | |
指针PTR | 反向,把IP地址计息为主机名 | |
名字服务器NS | 为一个域指定授权域名服务器,该域的所有子域也委派给这个服务器 | 如某个区域用ns1.a.com进行解析 |
邮件MX | 指明区域的邮件服务器以及优先级 | |
别名CNAME | 指定主机名的别名,把主机名解析到另一个主机名 |
DHCP
报文 | 传播方式 | 描述 |
---|---|---|
DHCP Discover | 广播 | 用于发现当前网络中的DHCP服务器 |
DHCP Offer | 单播 | 携带分配给客户端的IP地址 |
DHCP Request | 广播 | 告知服务器端自己将使用该IP地址 |
DHCP Ack | 单播 | 最终确认,告知客户端可以使用该IP地址 |
网络管理
体系结构
故障管理、配置管理、计费管理、性能管理、安全管理
故障管理:尽快发现故障、找出故障,以便采取补救措施
SNMP
- 应用层协议,通过UDP承载,端口161、162
- 被管理设备开启SNMPServer服务(161),管理设备开启SNMPTrap服务(162)
- 被管设备:都是通过UDP 161端口向管理设备交互
- 管理设备:用UDP162接收被管设备的trap信息;再用随机端口向被管设备的161发送请求
操作编号 | 分类 | 名称 | 用途 |
---|---|---|---|
0 | 网管找客户端 | get-request | 查询多个或一个变量值 |
1 | 网管找客户端 | get-next-request | 在MIB树上检索下一个变量 |
2 | 网管找客户端 | set-request | 多个或一个变量值的设置 |
3 | 客户端反馈 | get-response | 对get/set报文做出响应 |
4 | 客户端反馈 | trap | 向管理进程报告代理发生的事件 |
- SNMPv1:团体名明文传输,不安全
- SNMPv2:GetBulk、Inform
- SNMPv3:认证和加密传输、实现序列模块、认证模块(SHA、MD5算法)、加密模块(DES算法);没有防护拒绝服务、通信分析的能力
综合布线
各个子系统
- 工作区子系统:信息插座到计算机之间
- 水平子系统:信息插座到楼层配线间(到楼层机柜)
- 干线子系统:每个楼层的配线架(将每个楼层的配线间或机柜连接起来)
- 设备间子系统:机房
- 管理间子系统:每个楼层的配线架(配线间、楼层机柜)
- 建筑群子系统:每个建筑之间
设备接入分层
核心层:高速转发、服务器接入、路由选择
汇聚层:流量汇聚、设备/链路冗余、路由选择、策略控制
接入层:用户接入、接入安全、访问控制
无线通信网
WLAN通信技术
- 主要有:红外线、扩频、窄带微波技术
- 扩频:将信号散步到更宽的带宽上,以减少发送阻塞和干扰的机会
- 主要扩频技术:频率跳动扩频FHSS(蓝牙,安全)、直接序列扩频DSSS(WIFI)
WLAN网络分类
- 基础无线网络:用户通过无线接入点AP接入
- 特殊网络:用于军用、宿舍局域网等自组,如Ad Hoc网络
- 分布式无线系统:通过AC控制大量AP组成无线网
不重叠信道
- 2.4G:1~13共14个信道,1、6、11不重叠(间隔5)
- 5G:149、153、157、161、165 (间隔4)
802.11技术标准
2.4G | 5G | 2.4&5G |
---|---|---|
802.11 | 802.11a | 802.11n |
802.11b | 802.11ac | 802.11ax |
802.11g |
WLAN安全机制
- 隐藏SSID
- 物理地址过滤:在无线路由器设置黑白名单
- WEP认证和加密:PSK预共享密钥、RC4加密
- WAP:认证使用802.11x、使用RC4+TKIP,支持完整性认证和防重放攻击
- WAP2(802.11i):针对WAP优化,加密协议由RC4变为AES+CCMP
- 笔记本电脑、手机等智能设备应该使用Portal认证,监控、闸机等非智能设备应该使用MAC地址认证
无线布网
AP之间使用无线链路连接多个独立的局域网时,不方便布线时使用支持WDS无线桥接技术的AP进行接入
可以使用混合模式来同时使用2.4G跟5G频段
使用MIMO技术改造物理层,实现增加天线的数量来传输信息子流
RAID
容量计算
类型 | 最少块数 | 容量 |
---|---|---|
RAID0 | 2,不允许坏盘 | 100% |
RAID1 | 2,允许坏1块 | 总容量的一半 |
RAID3 | 3,允许坏1块 | 总容量 - 一块盘容量 |
RAID5 | 3,允许坏1块 | 总容量 - 一块盘容量 |
RAID6 | 4,允许坏2块 | (块数-2)*容量 |
RAID10 | 4,允许坏2块 | 总容量的一半 |
RAID50 | 6 | 总容量 - 2块盘容量 |
RAID60 | 8 | (块数-4)*容量 |
技术介绍
RAID提高读写性能、数据安全
RAID1、10是镜像冗余,其他都是校验冗余
类型 | 描述 |
---|---|
RAID0 | 容量叠加,无校验,利用率最高 |
RAID1 | 数据镜像,无校验,利用率低 |
RAID3 | 校验信息存放于专用的硬盘 |
RAID5 | 校验信息分部分布式存放 |
RAID6 | 分布式校验并提供两级冗余 |
RAID0+1 | 先做RAID0,再做RAID1,同时数据条带化、镜像 |
RAID10 | 同上,顺序不一样而已 |
RAID50 | 同上,先做RAID5再做RAID0,能有效提高RAID5的性能 |
动态路由协议
华为路由协议优先级
路由协议 | 优先级 |
---|---|
Direct | 0 |
OSPF | 10 |
IS-IS | 15 |
static | 60 |
RIP | 100 |
OSPF ASE | 150 |
OSPF NSSA | 150 |
IBGP | 255 |
EBGP | 255 |
RIP
计算跳数:最大跳数15跳,16跳表示不可达,一般用于小型网络中
几个时钟:30s周期性更细路由表、180s无更新表示不存在、240s删除路由表
支持等价负载均衡和链路冗余,使用UDP520端口
RIPv1 | RIPv2 |
---|---|
有类,不携带子网掩码 | 无类,携带子网掩码 |
广播更新 | 组播更新224.0.0.9 |
周期性更新30s | 触发更新 |
不支持VLSM、CIDR | 支持VLSM、CIDR |
不支持认证 | 提供明文和MD5认证 |
RIP防环机制
- 最大跳数:路由经过一个路由器就增加1跳,16跳表示不可达,直接丢弃
- 水平分割:一条路由信息不会发送给信息的来源
- 反向毒化的水平分割:把从邻居学到的路由信息设为16跳,再发送给那个邻居
- 抑制定时器、触发更新也能防止环路
OSPF
开放式最短路径优先协议,是一种状态链路协议;路由器之间交换链路状态信息LSA
每台OSPF路由器都知晓网络拓扑结构,采用SPF算法计算到达目的的最短路径;支持VLSM、手动路由汇总
- 快速收敛:在网络的拓扑结构发生变化后立即发送更新报文,使这一变化在自治系统中同步
- 无自环:使用SPF算法(也叫Dikstra算法)计算路由,不会产生环路
- 区域划分:允许网络被划分成区域来管理,链路状态数据库仅需要和区域内其他路由器保持一致,减小对路由器内存和CPU的消耗,同时区域间传送的路由信息减小,降低网络带宽占用
- 所有非骨干区域必须与骨干区域直连
- 触发更新、分层路由、支持大型网络
- 点对点网络上10秒发送一次Hello报文,NBMA网络每30秒发送一次,Deadtime是hello时间的4倍
Route ID
相同区域内RouteID不能一样
Route ID可通过手动配置或自动获取,自动获取如下:
- 先配置OSPF接口IP再宣告后,Route ID就是该接口IP地址
- 先配置OSPF接口IP,再配置环回地址,再宣告OSPF,Route ID就是环回地址的最大IP
- 如果第一步配置完成后,再配置环回地址,再重启OSPF进程,Route ID就就是环回地址的最大IP
OSPF Cost
ospf使用cost开销作为路由度量值,每一个激活OSPF的接口都有一个cost值
ospf接口cost = 100M/接口带宽
BGP
- 边界网关协议,用于不同自治系统AS之间,寻找最佳路由
- 通过TCP 179端口建立连接,支持VLSM、CIDR,是一种路径矢量路由;常用BGP4,BGP4+支持IPv6
- Open建立邻居关系,Keepalive周期性检测邻居存活
- 支持增量更新、支持认证、可靠传输、防止环路、自治通信、策略选路、支持无类、支持聚合
报文 | 描述 |
---|---|
Open | 建立邻居关系 |
Keepalive | 对Open答应,周期性确认邻居关系 |
Update | 发送新的路由信息 |
Notfication | 报告检测到的错误 |
故障排查
排查思路与方法
排查案例基础
排查案例进阶
配置
基础配置
Hybrid接口配置
1 | vlan batch 10 20 30 |
二层聚合链路
1 | # 创建聚合口 |
三层链路聚合
1 | int eth-trunk 1 |
AAA认证
1 | aaa |
SSH
1 | # 创建密钥 |
Telnet
1 | user-interface vty 0 4 |
端口安全
- 防止MAC地址泛洪攻击,可以限制接口能学习的最大MAC地址数量,也可以静态绑定接口与MAC地址或IP等
1 | int gi0/0/0 |
ACL
基本ACL2000~2999
- 仅用匹配报文的源地址
1 | acl 2000 |
1 | time-range work 09:00 to 17:00 working-day |
高级ACL3000~3999
- 可以使用报文中的源地址、目的地址、IP协议类型、ICMP类型、TCP源目端口号、UDP源目端口号、生效时间段等来定义规则
1 | acl 3000 |
应用ACL
1 | int 接口 |
前缀列表
1 | ip ip-prefex 前缀列表名 index 索引id 动作 匹配的IP 掩码 |
1 | ip ip-prefex test index 10 permit 10.0.0.0 255.255.255.0 |
VLAN技术
常见VLAN技术
- Super VLAN(VLAN聚合):实现速度用户共享网关IP地址
- MUX-VLAN:实现二层流量隔离,对网络资源的控制
- VXLAN:用于数据中心资源隔离和自动化
接口划分
1 | int gi0/0/0 |
MAC地址划分
1 | mac-vlan mac-address xxxx-xxxx-xxxx |
策略划分
1 | policy-vlan mac-address xxxx-xxxx-xxxx ip x.x.x.x prority 7 |
super vlan
1 | # vlan 2 3之间无法通信,vlan 2 23、vlan 3 23之间可以通信;开启arp代理后都能够通信 |
MUX VLAN
- 主vlan(Principal VLAN):可以与MUX VLAN内所有VLAN进行通信
- 隔离型从VLAN(Separate VLAN):只能与主vlan进行通信,和其他类型的VLAN完全隔离,包括自己;(只能配置一个)
- 互通型从VLAN(Group VLAN):可以和主VLAN通信,在同一组内的VLAN可以通信,不能和其他组的VLAN或隔离型从VLAN通信
1 | # 10能跟所有人通信,20只能跟10通信、也不能跟20的人通信,30能跟10、30通信,40能跟10、40通信 |
静态路由
浮动路由
1 | ip route-static 0.0.0.0 0 1.1.1.1 |
RIP
1 | rip 1 |
OSPF
常用
1 | ospf 1 route-id 1.1.1.1 |
在接口下宣告
1 | int gi0/0/0 |
ISIS
1 | isis 进程号 |
1 | # 接口认证:在接口上进行认证,对Level-1和Level-2的Hello报文进行认证 |
BGP
1 | bgp AS号 |
1 | route loop-detect bgp enable # 启用BGP防环 |
VRRP
1 | vlan 100 |
1 | # BFD联动 |
BFD
双向检测
1 | # 两边都要配置 |
单臂回声
1 | # 只配置一边 |
示例
1 | # vrrp |
1 | # 静态路由 |
1 | # OSPF |
NQA
STP
1 | int gi0/0/0 |
DHCP
DHCP地址池
1 | ip pool 地址池名 |
DHCP接口
1 | dhcp enable |
DHCP中继
1 | # 配置在用户端接口,注意路由要等通信 |
DHCP Snooping
1 | dhcp snooping enable # 全局开启dhcp snooping |
NAT
静态NAT
- 实现私网地址与公网地址一对一映射
1 | # 在接口视图下配置 |
1 | # 在全局下配置 |
动态NAT
1 | # 创建ACL,匹配需要上网的流量 |
NAPT端口映射
1 | # 静态映射,一般用于将内网服务器端口映射到外网 |
1 | # 动态映射:用于上网 |
RESY IP
- 将多个IP地址映射到公网出接口IP地址的不同端口上,一般用于动态的公网IP地址
1 | int gi0/0/0 |
防火墙
防火墙模式:透明模式、路由模式、混合模式
基本配置
1 | # 区域配置 |
1 | # 配置安全策略 |
1 | # 默认接口禁止PING,需要PING就打开 |
NAT
1 | # 配置地址池 |
1 | # 配置NAT策略 |
端口映射
- untrust区域默认访问不了DMZ区域,需要配置安全策略放行
1 | # 配置untrust区域到DMZ区域 |
1 | # 端口映射 |
IPSec
静态建立
- 配置感兴趣流
1 | acl 3000 |
- 配置IPSec安全提议
1 | ipsec proposal 安全提议名 |
- 配置安全策略
1 | ipsec policy 安全策略名 10 manual |
- 在接口上应用安全策略
1 | int gi0/0/0 |
- 排除NAT的ACL
1 | acl 3001 |
IKE动态建立
配置IKE提议
1 | ike proposal 编号 |
配置IKE对等体
1 | ike peer 对等体名 v1 # 创建对等体,使用ike v1协商对等体 |
配置IPSec提议
1 | ipsec proposal 提议名 |
配置IPSec策略
1 | ipsec policy 策略名 编号 isakmp # isakmp表示自动隧道 |
应用到接口
1 | int 出接口 |
ACAP
- 隧道转发模式:业务数据通过CAPWAP隧道的封装后再发送给AC,AC再转发给上层(业务数据走的CAPWAP隧道)
- 直接转发模式:业务数据不经过CAPWAP隧道,直接转发给上层(业务数据不经过AC)
- 创建业务、管理VLAN;AC上联口放行管理、业务VLAN;启用dhcp
1 | vlan batch 100 101 |
- 配置域模板,并配置国家代码
1 | wlan |
- 创建AP组,引用域模板
1 | wlan |
- 配置capwap隧道源接口或源地址
1 | capwap source int vlanif 100 # 指定capwap地址,就是刚才创建的管理vlan |
- 配置AP设备入网认证
1 | # 先查看AP的上线结果,然后根据mac地址绑定AP |
- 创建安全模板,配置用户认证方式
1 | wlan |
- 创建ssid模板,配置SSID名
1 | wlan |
- 配置VAP模板,设置为隧道模式,配置用户的VLAN,绑定安全模板、SSID模板
1 | wlan |
- 在ap组中绑定VAP模板
1 | wlan |
路由策略
route-policy
1 | # 创建acl |
Qos流控
1 | # 创建流分类 |
1 | # 创建流行为 |
1 | # 创建流策略 |
1 | # 在接口上应用策略 |
下午理论
出口负载均衡
- 基于目的地址的策略路由
- 基于源地址的策略路由
- 基于流量的负载均衡策略
- 基于应用协议的策略路由
- 流量根据链路带宽分担
- 流量根据链路优先级负载分担
传输线缆
光纤的优缺点
优点:带宽大、体积轻、传输距离远、抗电磁干扰、安全性高(防监听)
缺点:成本高、脆弱、需要使用转换设备(SPF光模块)
测试标准:
- 使用光功率计测试光纤的光衰,正常光衰在-25db
- 使用光时域反射计检测光纤的故障位置,发现光缆断裂点
- 回光损耗测试,光衰过大时可能是熔接问题、光纤弯度问题、光纤质量问题
双绞线的优缺点
优点:成本较低、灵活性好、抗拉伸
缺点:传输距离有限、带宽相对较低、安全性较低
测试标准:连通性、衰减、近端串扰、链路长度等
逻辑网络设计
- 核心层:负责高速转发,将多个汇聚层连接起来,提供Internet所需的路由服务
- 汇聚层:策略控制,实现资源访问控制和流量控制,数据转发和交换
- 接入层:用户接入
类别 | 路由器 | 三层交换机 |
---|---|---|
应用场景 | 网络出口、骨干网 | 局域网、园区网、城域网 |
功能 | NAT、PPPoE、SDH等 | VLAN、ACL、STP、堆叠等 |
性能 | 一般路由器性能低于交换机,骨干网核心路由器性能强 | 整体性能较高 |
成本 | 较高 | 低 |
总体 | 多面手,支持多种协议:以太网、SDH、ATM等 | 专用,以太网、FC、ATM、帧中继交换机 |
网络主要的冗余方案(设备和链路都要做冗余)
- 出口做冗余:多出口设备做主备、负载均衡
- 核心层:堆叠、VRRP、双电源、双引擎、多台核心层设备
- 汇聚层:与核心层之间做MSTP、链路聚合,堆叠
AC的部署位置
旁路部署:网络更可靠、扩展性更高、灵活、简化管理;缺点是延迟增加
直连部署:存在单点故障、性能瓶颈、扩展性不高、延迟更低
接入层部署:不能很好的利用AC的NAT等功能,稳定性差,与其他区域的工作站访问距离远导致效率低
综合布线标准
- 配线子系统应使用吊顶、墙体内穿管、桥架等方式敷设
- 建筑群之间的线缆使用地下管道敷设
- 线缆应远离高温和电磁干扰场所
- 管线弯管的半径应该符合规范要求
常见安全防护
DDOS
- 购买流量清洗服务
- 停用不必要的端口
- 使用防火墙上的防DDOS功能、部署IPS等
TCP泛洪
- 使用防火墙,用来将异常的TCP连接请求都丢弃或拒绝
- 使用负载均设备
- 使用IDS、IPS系统来检测和阻止这些流量
割接
核心交换机升级需要考虑的因素
- 设备性能:要满足业务高峰期的需要
- 接口满足业务需要,带宽满足业务高峰期需要,支持堆叠等
- 关键硬件冗余(风扇、引擎、电源),保证系统的可用性
- 适当考虑未来扩展
核心交换机网络割接的流程
- 对现网的核心交换机配置做备份
- 安装部署新的核心交换机,完成设备配置
- 将核心交换机接入路由器,测试网络连通性
- 将汇聚层交换机加入核心交换机,测试下面的设备能否联网
- 完成所有区域割接后,将旧的核心交换机下线
RIP版本的区别
RIPv1 | RIPv2 |
---|---|
有类路由标识符,不支持CIDR、VLSM | 无类路由标识符,支持CIDR、VLSM |
不支持传递子网掩码 | 支持传递子网掩码,能支持更精准的路由匹配和划分 |
使用广播更新,浪费带宽 | 使用组播、单播更新,减少网络流量和带宽的消耗 |
不支持路由认证 | 支持路由认证是,提高了安全性 |
最大15跳,限制了应用范围 | 支持多跳,更灵活、可扩展 |
RIP和OSPF的区别
RIP | OSPF | |
---|---|---|
算法原理 | 使用距离矢量算法 | 使用SPF最短路径优先算法 |
适用范围 | 适用小型网络 | 适用大中型网络 |
功能特性 | 配置简单,容易环路、收敛慢、可拓展性差 | 不会产生环路,负载分担 |
功能特性拓展OSPF:
- 采用组播形式收发报文,这样可以减少对其他不运行OSPF协议路由器的影响
- 支持无类域间路由CIDR
- 支持对等价路由进行负载分担
- 支持OSPF报文加密
OSPF宣告的优先级为10,引入的优先级为150;RIP的优先级为100
堆叠优缺点
优点
- 可靠性高
- 强大的拓展能力
- 简化配置和管理,对于上下游来说就相当于一台物理设备
缺点
- 对设备型号要求高,堆叠协议私有
- 需要专用的线缆做堆叠
- 堆叠成本高
VRRP
虚拟路由冗余协议,解决局域网中配置静态网关出现单点失效现象的路由协议,可以配置一个设备集群;
运行VRRP的一组路由器对外组成了一个虚拟路由器,其中一台路由器处于Master状态,另一台属于Backup状态;
当Master设备出现故障时,Backup设备就可以迅速变为Master进行服务,该切换对用户来说是透明的;
VRRP中可以配置一条心跳线来作为两设备之间相互检测对端状态的链路,当检测不到对端设备时,就会改本自身状态来接替对方(Backup变成Master)
光纤配线架基本功能
- 光纤固定
- 光纤熔接
- 光纤配接
- 光纤存储