计算机三级网络技术知识总结

1、网络技术知识总结1 计算机网络1.1 宽带城域网QoS技术包括：DiffServ（区分服务）、RSVP（资源预留）、MPLS（多协议标记交换）；1.2 三网融合：计算机网络、电信通信网、广播电视网；1.3 宽带接入技术：xDSL技术、光纤同轴电缆HFC技术、光纤接入技术、局域网接入技术；1.4 无线接入技术：无线局域网WLAN（802.11 WIFI联盟）、无线城域网WMAN（WiMax联盟）、无线Ad hoc（WMN WSN）；2 宽带城域网2.1 核心层（核心交换）2.1.1 多个汇聚层连接起来，为汇聚层提供高速分组转发，为整个城域网提供一个高速、安全和具有QoS保障能力的数据传输环境；2

2、.1.2 实现与主干网络的互联，提供城市宽带IP数据出口；2.1.3 提供宽带城域网的用户访问Internet所需的路由服务；2.2 汇聚层（汇聚接入）2.2.1 汇聚接入层的用户流量，进行数据分组传输的汇聚、转发和交换；2.2.2 根据接入层的用户流量，进行本地路由的过滤、流量均衡、QoS优先级管理，以及安全控制、IP地址转换、流量整形等处理；2.2.3 根据处理结果把用户流量转发到核心交换层或在本地进行路由处理；2.3 接入层2.3.1 解决最后一公里，通过各种接入技术，连接最终用户，为覆盖范围大的用户提供访问Internet及其它服务；3 xDSL3.1 xDSL：用户到本地电话交换中心

3、的一对铜双绞线；3.2 Modem：用于传输数字信号（原本铜双绞线只能传输模拟信号），速率56Kbps；3.3 HDSL：上行1.544Mbps；3.4 ADSL：非对称数字用户线，上行64-640Kbps，下行500K-7Mbps；3.5 ADSL可通过PSTN接入Internet；4 HFC4.1 HFC是双向传输系统；4.2 HFC光纤节点是将光纤干线和同轴分配线相互连接，通过同轴电缆下引线为用户服务；4.3 HFC为有线电视用户提供了一种Internet接入方式；5 Cable Modem5.1 利用频分复用的方法将信道分为上行和下行；5.2 分成双向对称传输和非对称传输，对称2-4M

4、bps，最高10Mbps，非对称下行30Mbps，上行500K-2.56Mbps；5.3 Cable Modem将用户计算机与有线电视用户线连接起来；6 RPR6.1 RPR弹性分组环采用双环结构，与FDDI相同；6.2 沿顺时针传输的光纤环叫做外环，逆时针叫做内环；6.3 外环和内环都可以传输数据分组和控制分组；6.4 RPR是一种直接在光纤上高效传输IP分组的传输技术；6.5 源节点成功传输数据帧后，该数据帧由目的节点回收（FDDI由源节点回收）；6.6 自愈时间50ms，隔离故障节点和光纤段，提供SDH级快速保护和恢复；6.7 对于所有光纤传输：裸光纤最大长度可达100KM，即中继距离1

5、00KM；6.8 每个节点执行SRP公平算法；6.9 可以对不同业务分配不同优先级；7 WMAN 802.167.1 城市范围的无线宽带城域网7.2 802.16 固定设备7.3 802.16a 固定设备7.4 802.16d 固定设备7.5 802.16e 固定/移动设备（火车汽车等）8 服务器技术8.1 SMP对称多处理技术，用于多CPU结构，均衡负载；8.2 Cluster集群技术，如果一台主机出现故障，它所运行程序将立即转移到其它主机；8.3 NUMA非一致内存访问技术，将SMP和Cluster结合，可以使众多服务器像单一系统一样运行；8.4 热拔插技术，允许用户在不切断电源的情况下，

6、更换存在故障的硬盘板卡等；8.5 I/O高性能存储和智能I/O技术，高性能存储指标：存取I/O速度和存储容量；8.6 RAID，独立磁盘冗余阵列，提高容量、容错和可靠性；9 应用服务器9.1 在客户与服务器之间采用B/S模式，将网络应用建立在Web服务器基础上；9.2 B/S结构采用三层结构，C/S结构采用二层结构；9.3 同意采用Web浏览器作为客户端；9.4 B/S浏览器通过应用服务器、应用程序访问数据服务器；10 服务器10.1 CISC：复杂指令集；10.2 RISC：精简指令集，UNIX操作系统；11 综合布线11.1 UTP非屏蔽双绞线，成本低；11.2 STP、FTP、SFTP都

7、有屏蔽层，抗电磁干扰能力强，成本高；11.3 双绞线绞扭的目的是使对外的电磁辐射和遭外部的电磁干扰干扰减小；11.4 嵌入式插座连接双绞线，多介质信息插座连接铜缆和光纤，用于解决“光纤到桌面”问题；11.5 水平布线子系统电缆长度应该在90M以内；11.6 管理子系统提供了与其它子系统连接的方式；11.7 建筑子系统包括架空布线（不理想）、管道布线（易受热水干扰，不想理）、直埋布线、管道内布线（较理想）等；11.8 适配器用于转换不同电缆类别（介质）、不同信号的数模转换或数据速率；11.9 标准：ANSI/TIA/EIA 568-A、TIA/EIA-568-B.1 B.2 B.3、GB/T 5

8、0311-2000 50312-2000，注意ISO不是标准；11.10 建筑子系统由光缆、电缆和入楼处线缆上过流过压的电气保护设备等硬件组成；11.11 管理子系统设置在楼层配线间，是水平配线子系统电缆端接的场所，也是主干系统电缆端接的场所；12 集线器12.1 连接到集线器的节点发送数据时采用CDMA/CD算法，即集线器需要运行CDMA/CD介质访问控制算法；12.2 连接到集线器的所有节点共享冲突域；12.3 可以通过在链路中串联集线器方式监听数据；12.4 可以通过集线器接收属于不同VLAN的所有消息；13 路由协议13.1 AS：自治系统；13.2 协议分为：内部网关协议（IGP）、

9、外部网关协议（EGP）；13.3 内部网关协议包括：路由信息协议（RIP）、开放最短路径协议（OSPF）；13.4 外部网关协议包括：边界网关协议（BGP）；14 RIP14.1 适用于较小的自治系统，跳数通常小于15；14.2 要求路由器周期性向外发送路由刷新报文；14.3 路由刷新报文主要由若干个（V,D）组成的表，V表示路由器可以到达的目的网络或目的主机，D表示距离；14.4 根据基于距离向量的路由选择协议更新路由表；14.5 当链路状态发生变化时，只需要向相邻的路由器更新链路状态；15 OSPF15.1 采用最短路径算法（SPF）；15.2 链路状态度量可以是：费用、距离、延时、带宽；

10、15.3 对于规模很大的网络，OSPF通过划分区域来提高路由的更新收敛速度；15.4 每一个区域内部的路由器只知道本区域的完整拓扑，不知道其它区域的；15.5 当链路状态发生变化时，使用洪泛法向全网更新链路状态；15.6 链路状态数据库包含全网的拓扑结构；16 BGP16.1 外部网关协议是不同的自治系统的路由器之间交换路由信息的协议；16.2 BGP-4采用路由向量路由协议；16.3 BGP使用TCP连接，提供可靠的服务，可以简化路由选择协议；16.4 BGP协议交换路由信息的结点数是以自治系统为单位的，主要比自治系统中的网络数少很多；16.5 BGP包括四种分组：16.5.1 打开分组op

11、en：用来与相邻的另一个BGP发言人建立关系；16.5.2 更新分组update：用来发送某一路由信息，以及列出要撤销的多条路由，适用于路由信息发生变化时；16.5.3 保活分组keepalive：用来确认打开报文，以及周期性证实相邻边界路由器存在；16.5.4 通知分组notification：用来发送检测到的差错；17 交换机17.1 显示交换表命令：17.1.1 大中型：show cam dynamic；17.1.2 小型：show mac-address-table；17.2 交换模式：17.2.1 快速转发式：收到6个字节目的MAC立即转发，14字节MAC头；17.2.2 碎片丢弃交

12、换模式：收到64字节后立即转发；17.2.3 存储转发式：收到完整数据帧后立即转发；17.3 VLAN17.3.1 最多支持4096个VLAN；17.3.2 VLAN ID采用12bit表示，以太网可用范围1-1000；17.3.3 VLAN Name默认为VLAN00XXX；17.4 STP17.4.1 协议标准802.1d；17.4.2 通过BPDU在交换机间传送，并利用生成树算法；17.4.3 首先选择一个根网桥，根网桥优先级最高，当优先级相同时，选择MAC地址小的为根网桥；17.4.4 BPDU包括配置型（<=35字节）和拓扑变化通知（<=4字节）；17.4.5 BPDU中

13、Bridge ID由2个字节优先级和6个字节交换机MAC地址组成；17.4.6 优先级范围0-61440（215），以4096递增，数值越小，优先级越高；17.5 高级配置17.5.1 Backbone fast：当一个交换机的根端或阻塞端口接收劣质BPDU时，网络中可能有故障。Backbone fast功能使阻塞端口直接进入转发状态，跳过20s的等待生成树最大存活时间；17.5.2 Uplinkfast：当生成树拓扑结构发生变化，和在使用上联链路（uplink group）的冗余链路之间完成负载平衡；17.5.3 PortFast：用于在接入层交换机端口上跳过正常的生成树操作，加快终端接入网

14、络的速度；17.5.4 BPDU Filter：使交换机指定端口停止发送BPDUs，对该端口接收的BPDUs不再处理，同时接收端口转为转发状态；18 路由器18.1 基本概念：18.1.1 丢包率通常是衡量路由器超负荷工作时的性能指标；18.1.2 背板能力决定了吞吐量；18.1.3 传统路由器使用背板，高性能路由器使用交换式；18.1.4 突发处理能力用最小间隔且不丢帧的速率衡量；18.2 高性能路由器可靠性和可用性指标：18.2.1 无故障连续工作时间大于10万小时；18.2.2 系统故障恢复时间小于30分钟；18.2.3 系统具有自动保护切换功能，主备切换小于50ms；18.2.4 SD

15、H与ATM接口自动保护切换功能，切换时间小于50ms；18.2.5 内部不允许存在单故障点；18.3 路由表第一列路由源码，如果为*，表示缺省路由表项，其目的地址为/0，如S* /01/0 via 2；18.4 路由器结构18.4.1 中央处理器18.4.2 内存：包括只读内存ROM、随机存储器RAM、非易失随机存储器NVRAM、闪存Flash；18.4.3 ROM：永久保存路由器的开机诊断程序、引导程序和操作系统软件；18.4.4 RAM：可读可写，运行期间使用，关机或重启后数据丢失；18.4.5 NVRAM：存储启动配置文件或备份配置文件

16、；18.4.6 Flash：存储路由器当前使用的操作系统映像文件和一些微代码；18.5 工作模式18.5.1 用户模式：console或telnet方式登录，输入密码后进入，只读模式，不能修改，不能查看路由器配置，可用ping、telnet、show version等；18.5.2 特权模式：输入enable和超级用户密码进入，管理系统时钟、错误检测、查看保存配置文件、清除闪存、处理完成冷启动等；18.5.3 设置模式：console方式，刚出厂没有任何设置时进入；18.5.4 全局配置模式：在特权模式下输入configure terminal进入，配置主机名、超级用户口令、TFTP服务器、静

17、态路由、访问控制、多点广播、IP记账等；18.5.5 其他配置模式：如接口配置模式、虚拟终端配置模式、RIP路由协议配置模式，以上模式均需要从全局配置模式进入；18.5.6 RXBOOT模式：维护模式，如密码丢失可进入该模式；18.6 配置方式18.6.1 Console端口配置；18.6.2 拨号远程配置：AUX端口连接modem；18.6.3 telnet远程登录配置；18.6.4 TFTP拷贝修改配置文件；18.6.5 SNMP修改路由配置；18.7 基本配置命令行18.7.1 （全局配置模式）配置主机名：#hostname Router-phy；18.7.2 （全局配置模式）配置超级用

18、户名：#enable secret phy123；#enable password 7 phy123；18.7.3 （特权模式）设置系统时钟：#calendar set hh:mm:ss <1-31> MONTH <1993-2035；18.8 公用命令行18.8.1 （特权模式以上）Exit：退出命令，用于返回上一级；18.8.2 （特权模式以上）End：退出命令，直接返回特权模式；18.8.3 （特权模式）Write：保存命令；18.8.4 （特权模式）write memory：保存到NVRAM；18.8.5 （特权模式）write network tftp：保存到TFT

19、P服务器；18.8.6 （特权模式）erase：删除命令，删除全部配置；18.8.7 （用户模式）Telnet：检测命令，在一台路由器远程登录，检测另一台路由器，命令：telnet +路由器名/IP；18.8.8 （用户模式/特权模式）ping：用过echo协议判别网络的联通情况，命令：ping+路由器/主机名或IP；18.8.9 （用户模式/特权模式）trace：查询网络上数据传输流向，与ping相同技术，跟踪每一步转发， 命令：trace+路由器/主机名或IP；18.8.10 （用户模式）show：查询如系统时钟、flash使用情况、系统软件和硬件版本，命令：show flash查看fla

20、sh，sh clock查看系统时钟，sh version查看软硬件版本；18.8.11 （特权模式）show：查看路由器配置、IP相关信息、路由器信息和IP协议统计信息。命令：#sh configuration查看路由器信息，#sh ip route查看路由表，#sh ip protocols查看IP路由协议详细信息；18.9 接口基本配置18.9.1 进入接口配置：#int g6/0，#interface f2/3；18.9.2 配置接口描述：#description ABC DEF；18.9.3 配置接口带宽：#bandwidth 250000（kbps）；18.9.4 配置接口IP：#i

21、p address <IP地址> <子网掩码>；18.9.5 接口开启和关闭：#shutdown，#no shutdown；18.10 局域网接口配置18.10.1 标准以太网：Ethernet，简写e；18.10.2 快速以太网：FastEthernet，简写f；18.10.3 千兆以太网：GigabitEthernet，简写g；18.11 广域网接口配置18.11.1 异步串行接口：Async，简写a，封装PPP协议；18.11.2 高速同步串行接口：Serial，简写s，主要用于DDN专线、帧中继、卫星、微波等广域网，带宽为2048kbps，封装HDLC或PPP协

22、议，默认HDLC协议；18.11.3 POS接口：Packet over SONET/SDH，一种利用SONET/SDH提供的高速传输通道直接传送IP数据包的技术，支持光纤，最高支持10Gbps，可选CRC校验位是16和32，可选帧格式是sonet和sdh，flag s1 s0为0表示sonet，为2表示sdh；18.12 Loopback接口18.12.1 虚拟接口，没有实际物理连接与之对应；18.12.2 接口有效值：0-2147483647；18.12.3 网络管理员为loopback接口分配IP地址作为管理地址，掩码为55；18.12.4 不会被关闭，永久处于

23、激活状态，用于网络管理；18.13 静态配置18.13.1 静态配置在全局配置模式下进行；18.13.2 ip route：配置静态路由；18.13.3 no ip route：删除静态路由；18.13.4 格式：ip route <目的网络地址> <子网掩码> <下一跳路由器IP>；18.13.5 缺省路由的目的网络地址和子网掩码均为；18.14 RIP动态配置18.14.1 RIP动态配置在全局模式下进行；18.14.2 #router rip 进入RIP配置模式；18.14.3 #network <IP_Addr> 由于RIP

24、不支持可变长掩码，所以只需要输入IP地址；18.14.4 #passive-interface ethernet 0 将路由器该接口设置为被动接口，该接口不需要将路由信息发送出去；18.15 OSPF动态配置18.15.1 OSPF动态配置在全局配置模式下进行；18.15.2 #router ospf <进程号> 进入OSPF配置；18.15.3 #network <子网号> <掩码反码> area <区域号> 或者 area <区域号> range <子网号> <掩码> 定义参与OSPF的子网地址；18.15

25、.4 #passive-interface ethernet 0 设置被动接口；18.16 DHCP服务器配置18.16.1 DHCP服务器配置在全局模式下进入DHCP Pool模式进行；18.16.2 #ip dhcp pool <name> 定义地址池名称，进入DHCP pool模式；18.16.3 #network <子网地址> 掩码|掩码长度 如#network 或 #network /24 定义地址池的子网地址和掩码；18.16.4 #ip dhcp excluded-address &

26、lt;起始地址> 结束地址 定义不用于动态分配的IP地址，必须在全局模式下使用，即不能进入DHCP Pool模式；18.16.5 #default-router address addresses 定义缺省网关；18.16.6 #domain-name <name> 定义地址池域名；18.16.7 #dns-server address addresses 定义DNS服务器IP地址；18.16.8 #lease day hour minutes | infinite 定义地址租用时间，如#lease 0 5 30，租用5小时30分钟；18.17 IP访问控制列表配置18.17

27、.1 表号范围：1-99，1300-19999：基于IP标准访问控制列表，即根据MAC头信息过滤；18.17.2 表号范围：100-199，2000-2699：基于IP扩展访问控制列表，即根据IP、TCP、UDP头信息过滤；18.17.3 #access-list <表号> permit | deny <子网地址> <掩码反码> 定义允许或禁止的子网地址和掩码，如#access-list 10 permit 55；18.17.4 #access-list <表号> permit | deny any，表示

28、允许所有或禁止所有子网地址；18.17.5 #access-list <表号> permit | deny <协议名称> <源地址> <掩码反码> <目的地址> <掩码反码> 操作 操作数，操作包括eq等于、lt小于、gt大于、neq不等于，如禁止端口号为1434的UDP协议数据包：#access-list 130 deny udp any any eq 1434， #access-list 130 permit ip any any，封禁一台主机：#access-list 110 deny ip host 202.112

29、.60.230 any log，#access-list 110 deny ip any host 30 log， 封禁ICMP协议，只允许/24和/24子网的ICMP数据包通过：#access-list 198 permit icmp 55 any，#access-list 198 permit icmp 55 any，#access-list 198 deny icmp any any,#access-list 198 permit ip

30、any any，18.17.6 #ip access-list extended | standard <表号|表名>，可以用表号，也可以用事先定义好的表名，进入扩展或标准访问控制模式；#permit | deny <协议名称> <源地址> <掩码反码> <目的地址> <掩码反码> 操作 操作数，再进行相应配置，可以理解成上面一步的分为两步进行，如禁止端口号为1434的UDP协议数据包：#ip access-list extended 130，#deny udp any any eq 1434，#permit ip any

31、 any，19 802.1119.1 三种常用协议的速率：19.1.1 802.11b 最大传输速率 11Mbps 实际吞吐量 5-7Mbps 最大容量 33Mbps 3信道*11；19.1.2 802.11a 最大传输速率 54Mbps 实际吞吐量 28-31Mbps 最大容量 432Mbps 8信道*54；19.1.3 802.11g 最大传输速率 54Mbps 实际吞吐量 28-31Mbps（与b混合10-12Mbps） 最大容量 162Mbps 3信道*54；19.2 定义了两种类型设备：无线结点、无线接入点；19.3 无线结点通常是无线网络接口卡，无线接入点提供无线和有线的网络桥接；

32、19.4 最初定义的物理层包括：两种扩频技术（FHSS调频扩频、DSSS直接序列扩频）和一个红外传播规范；19.5 定义的传输速率：1Mbps和2Mbps；19.6 MAC层对CDMA/CD进行一些调整，采用CDMA/CA或DCF；19.7 MAC层引入RTS/CTS（Send/Cluster to Send）选项；19.8 无线传输的频段定义在2.4GHz的ISM波段；19.9 802.11b、802.11g均工作在2.4GHz，802.11a工作在5GHz的UNI频段；19.10 802.11b19.10.1 运行模式：点到点模式、基本模式；19.10.2 点到点模式：无线网卡之间，PC&

33、lt;->PC（都插着网卡），最多256台；19.10.3 基本模式：无线网络规模扩充或无线和有线网络并存的通信方式，最常用，PC<->PC需通过接入点，一个接入点最多支持1024个无线网卡；19.10.4 室内通信距离最远100M，室外300M；20 常用无线设备20.1 无线路由器、无线网关：具有路由功能的AP，具有NAT功能，适用于建立小型WLAN；20.2 无线网桥：连接几个不同网段，适用于远距离（如楼宇间）；20.3 无线网卡：WLAN适配器，点到点传输，或通过AP连接，最小的WLAN；20.4 无限接入点：AP，类似集线器或交换机，最多1024个无线网卡，负责频段

34、管理和漫游；21 HiperLAN21.1 HiperLAN/1采用5G射频频率，上行20Mbps；21.2 HiperLAN/2采用5G射频频率，上行54Mbps，兼容3G标准；21.3 HiperLAN/2拓扑中，移动终端通过接入点（AP）接入固定网，一个AP覆盖30M室内，50M室外；21.4 HiperLAN/2采用OFDM调制技术；21.5 HiperLAN/2面向连接；22 Aironet 1100接入点22.1 RJ45以太网接口；22.2 工作频率：2.4GHz；22.3 Cisco IOS操作系统；22.4 兼容802.11b和802.11g；22.5 访问，

35、进入汇总状态页面；22.6 PC机配置10.0.0.X网段；22.7 Express Setup进入快速配置模式；22.8 SSID区分大小写，是客户端设备用来访问接入点的唯一标识；22.9 Broadcast SSID in Beacon默认为Yes，即允许设备不制定SSID而访问；23 蓝牙23.1 工作频段：ISM频段（非注册，不需要申请许可证） 2.402-2.480GHz；23.2 双工方式：TDD；23.3 标称数据速率：1Mbps；23.4 同步信道速率：64Kbps（3个全双工）；23.5 异步信道速率：非对称：723.2Kbps/57.66Kbps，对称：433.9Kbps（

36、全双工模式）；23.6 信道数：79；23.7 信道间隔：1MHz；23.8 业务类别：同时支持电路交换和分组交换；23.9 覆盖范围：100M；24 DNS服务器24.1 DNS：域名解析，主机名称->IP地址称为名字解析；24.2 必须使用静态分配的IP地址；24.3 缺省情况下，Windows 2003 Server没有安装DNS服务；24.4 服务器分类：根NDS服务器、顶级域（TLD）服务器、权威DNS服务器；24.5 服务器主要参数：正向查找区域、反向查找区域、资源记录、转发器；24.5.1 正向查找区域：将域名映射到IP地址的数据库，用于将域名解析成IP地址。客户端查找域名

37、，服务器返回IP地址；24.5.2 反向查找区域：将IP地址映射到域名的数据库，用于将IP地址解析成域名；24.5.3 资源记录：区域中一组结构化的记录，包括：主机地址（A）资源记录（将DNS域名映射到IP）、邮件交换区（MX）资源记录（为邮件服务器主机提供邮件路由）、别名（CNAME）资源记录（将别名映射到标准DNS域名）；24.5.4 转发器也是一个DNS服务器，是本地DNS服务器用于将外部DNS名称的DNS查询转发给该DNS服务器；24.6 正向/反向查找区域设置中，“动态更新”允许NDS客户端在发生更改的任何时候，使用DNS服务器注册和动态更新其资源记录，减少手动管理，是用于频繁移动或

38、改变位置并使用DHCP获取IP地址的客户端；24.7 资源记录设置中，生存时间TTL指该记录被客户端查询到，存放在缓存中的持续时间，默认3600s；24.8 资源记录手动添加到正向区域时，使用“创建相关的指针（PTR）记录”选项，可将指针记录自动添加到反向查找区域中；24.9 根服务器自动安装；24.10 转发器设置中，IP地址是网络上的DNS服务器；24.11 测试包括查询测试和递归测试；24.12 命令行：nslookup进行测试，输入域名返回IP或输入IP返回域名；也可以用ping 测试能否返回IP；24.13 命令行：ipconfig/flushdns用于清除DNS缓存；25 DHCP

39、服务器25.1 DHCP：动态主机配置协议；25.2 工作流程：25.2.1 client广播“DHCP发现”消息，此时广播帧中源地址为（因为还没有分配IP地址）；25.2.2 server收到后，广播“DHCP供给”消息，其中包括提供给client的IP地址和其他配置；25.2.3 client收到后，如果接受，广播“DHCP请求”消息向server请求IP地址；25.2.4 server广播“DHCP确认”消息，将IP地址分配给client；25.3 当DHCP为多个网段的IP分配时，有以下原则：如果收到不是从DHCP中继发来的“DHCP发现”消息，会选择收到“DHCP发现”

40、消息所处的子网网段分配IP地址；否则，会选择中继所在的网段，该情况下client已有IP，所以中继会修改消息中字段，采用直传方式转发消息（不广播）；25.4 作用域：网络上IP地址的完整连续范围。接受DHCP服务的网络上的单个物理子网，当DHCP服务器负责多个网段IP地址分配时，需要配置多个作用域；25.5 排除范围：作用域内从DHCP服务中排除的有限IP地址序列，确保这范围内不会提供给client；25.6 地址池：作用域并排除范围后，剩下的可以地址；25.7 租约：服务器指定一段时间，client在租约内使用IP，租约过后需要重新申请，默认租约为8天，续约由客户端自动完成；25.8 保留：

41、永久地址租约，可使用作用域的任一地址，包括排除范围；25.9 选项：服务器提供租约时的其他配置参数；25.10 测试：25.10.1 命令行：ipconfig/all查看client获取的地址租约和其他配置信息；25.10.2 命令行：ipconfig/release释放已获取的地址租约，释放后的IP和掩码均为；25.10.3 命令行：ipconfig/renew重新从DHCP服务器申请租约；25.11 新建作用域：需要输入起止IP地址、子网掩码；25.12 新建排除范围：需要输入起止IP地址；25.13 新建保留：需要输入保留名称、IP地址、MAC地址、描述等，支持类型包括DH

42、CP、BOOTP或两者；26 WWW服务器26.1 工作流程：浏览器向一个特定Web服务器发送Web页面请求，Web服务器收到后找到符合条件的Web页面，并将Web页面传送给Web浏览器；26.2 协议Http，使用TCP协议，默认端口80；26.3 Windows 2003中添加IIS（Internet Information Server）组件，即可实现Web服务；26.4 一个网站对应服务器的一个目录，建立Web站点必须为每个站点描述一个主目录，也可以是虚拟子目录；26.5 如果设置了默认文档，浏览器会自动打开default.html或index.html；26.6 设置安装选项包括三种

43、方法：身份验证和访问控制、IP地址和域名限制、安全通信；26.7 性能包括：带宽使用和客户端Web连接的数量；26.8 当使用IIS管理器将站点配置成使用带宽限制时，IIS自动将带宽限制设置为最小值1024byte/s；26.9 IIS 6.0可以使用虚拟服务器的方法在一个服务器上构建多个网站；26.10 一个服务器建立多个网络时，每个站点都有唯一的标识：主机头名称、IP地址、非标准TCP端口号中任一个；除了上述三种，也可以使用虚拟目录创建多个站点；26.11 网络的连接超时选项是指Http连接的保持时间；26.12 网络选项卡可设置网站的标识、站点的连接限制以及应用日志记录并配置站点的日志记

44、录格式；27 FTP服务器27.1 FTP进行文件传送，文件可以是任何格式的文件；27.2 进行文件传送时，需要输入账号和密码，不需要密码的FTP服务器称为匿名FTP服务；27.3 工作方式为C/S，客户端需要安装FTP客户程序；27.4 文件传送时需要建立控制链接和数据链接；27.4.1 控制链接默认端口号21，整个会话过程一直打开状态；27.4.2 数据链接默认端口号20，数据传送时才打开；27.5 主要参数：域、匿名用户、命名用户、组；27.5.1 域：Serv_U FTP可构建多个虚拟服务器，每个虚拟服务器都称为域，一个域由IP地址和端口号作为唯一识别；27.5.2 匿名用户：名为an

45、onymous自动识别，如使用默认端口号21且不设置密码，任何用户都可登录；27.5.3 命名用户：创建时需要输入密码；27.5.4 组：Serv_U FTP提供用户组管理，对具有相同权限的命名用户分组；27.6 创建域时，域名配置为任何描述即可，IP地址可为空，即服务器上的所有IP地址，适用于服务器有多个IP地址或动态IP地址的情况，此时默认端口号21（可用范围1-65535）；27.7 配置域存储位置时，小的域应选择.ini文件，大的域（500+）应选择注册表；27.8 常用选项：27.8.1 服务器选项：最大上传速度/最大下载速度：指整个服务器默认使用所有可用的带宽；27.8.2 服务器

46、选项：最大用户数量：同时在线的用户数；27.8.3 用户选项：用户上传/下载率：要求FTP客户端在下载信息的同时上传文件；28 WinMail服务器28.1 工作流程：用户使用客户端软件创建新邮件，客户端使用SMTP将邮件发送到发方德邮件服务器，发方的邮件服务器使用SMTP将邮件发送至接收方的邮件服务器，接收方存储到用户的邮箱中，接收方客户端利用POP3/IMAP4从邮件服务器读取邮件；28.2 电邮包括：信箱名/邮箱名+域名，中间用连接；28.3 WinMail服务器管理器在域参数中可设置允许用户注册新邮箱，注册邮箱需输入信箱名和密码；28.4 为建立邮件路由，需在DNS服务器中建立邮件服务

47、器主机记录和邮件交换记录；28.5 WinMail快速设置中创建新用户需输入用户名、域名和密码；28.6 WinMail基于Web方式访问和管理，所以事先需要安装IIS，所以用户查看邮件通过HTTP协议；28.7 域名设置包括：新增、删除和修改域参数；28.8 系统设置服务器的系统参数，包括：SMTP、邮件过滤、更改管理密码；28.9 电子邮件协议主要包括：SMTP、POP3、Internet IMAP4；29 TCSEC29.1 可信计算基系统评估准则；29.2 D级：最低，非安全保护类，不能用于多用户环境下处理重要信息；29.3 C级：用户能定义访问控制要求的自主保护类型；29.4 B级：

48、强制型安全保护类型；29.5 A级：在安全审计、测试、配置提出更高要求；29.6 UNIX一般为C2级，部分为B1级；30 Cisco PIX525防火墙30.1 内部网络：0；外部网络：100；DMZ：1-99；30.2 命令：30.2.1 Static：配置静态IP地址翻译，使内部地址与外部地址一一对应；30.2.2 Nat：地址转换命令，将内网的私有IP转换成公有IP；30.2.3 Global：指定公网的地址范围、地址池；30.2.4 Fixup：启用或禁止一个服务或协议，通过指定站口设置PIX防火墙；30.2.5 Condnit：允许数据从具有较低安全级别的接口流向具有较高安全级别的

49、接口；30.3 访问模式：30.3.1 非特权模式：上电默认；30.3.2 特权模式：enable，进入特权模式；30.3.3 配置模式：configure terminal，进入配置模式；30.3.4 监控模式：开机或重启过程中，按住escape或发送break，进入监控模式，该模式用于操作系统镜像更新、口令设置；31 SNMP31.1 SNMP：简单网络管理协议；31.2 面向无连接，UDP传输；31.3 SNMP操作有get、set、notification，每种都有对应的PDU模式；31.4 Get：获取、查询，用于管理站向代理查询被管理设备的MIB库数据；31.5 Set：设置，用于

50、管理站命令代理对被管理设备的MIB库数据进行设置，仅当团体字的访问模式为read-write才能使用Set；31.6 Notification：通知，用于代理主动向管理站报告被管理设备的某些变化；31.6.1 Trap：自陷、中断，代理向管理站发送含有团体名和trap PDU的报文后，管理站不必回应；31.6.2 Inform：代理发送报文后，管理站需要响应；31.7 MIB-2库中计数器类型的值只能增不能减，计量器类型可增可减；31.8 Cisco私有定义的管理对象，其标识符（OID）由.4.1.9开头；31.9 Cisco路由器设置SNMP：31.9.1 Snmp-serve

51、r enable traps <通知类型><通知选项> 设置路由器上的SNMP代理具有发出通知的功能；31.9.2 Snmp-server host <主机名或IP地址> traps|informs version <团体名> udp端口号通知类型 设置接收通知的管理器，缺省UDP端口号为162；31.9.3 Snmptrap link status 设置指定接口断开或链接时向管理站发出通知；31.9.4 Snmp-server community <团体名>view<视域名>ro|rw<访问控制表号> 创建或

52、修改对SNMP团体的访问控制32 ICMP32.1 面向连接，包含在IP包内；32.2 超时：TTL：8bit，0-255，当减到0后，路由器丢弃该数据并发出超时报文；32.3 Echo报文：收到Echo请求报文后必须向源节点发送Echo应答报文；32.4 目标不可达：由于网络某些故障，或目标主机虽然可达但协议不可达（如不支持高层协议），或端口不可达（如目的端口无效），相关主机或路由器向源节点发送目标不可达报文；32.5 ICMP主要类型：32.5.1 类型0：Echo应答；32.5.2 类型3：目标不可达；32.5.3 类型8：Echo请求；32.5.4 类型11：超时；33 安全评估33.

53、1 大型网络中评估分析系统通常采用控制台和代理相结合的结构；33.2 网络评估分析技术常常被用于进行穿透试验和安全审计；33.3 安全评估内容包括：漏洞检测、风险评估、安全审计；33.4 加密包括对称和非对称；33.4.1 对称加密，N个用户之间需要N*(N-1)个密钥；33.4.2 非对称加密，RSA算法，N个用户之间需要2*N个密钥；33.5 网络安全评估技术可分为基于应用和基于网络两种；33.5.1 基于应用：被动；33.5.2 基于网络：主动；33.6 恢复差异备份只需要2个备份纪录；33.7 Windows 2003对已备份文件在备份后不做标记的备份方法是：副本备份；33.8 RAI

54、D33.8.1 磁盘阵列是一种数据备份设备，也是一种数据备份技术；33.8.2 RAID10是RAID0和RAID1的组合；33.8.3 磁盘阵列需要有磁盘阵列控制器，有的服务器自带，如果没有，在配置RAID时需要外加RAID卡插入PCI插槽内；33.8.4 支持SATA接口；33.9 网络版防病毒系统33.9.1 服务器端和客户端通常可以采用本地安装、远程安装、Web安装、脚本安装等方式安装；33.9.2 控制台可以通过光盘安装，也可以远程安装；33.9.3 系统管理员可以将管理控制台远程安装在其他计算机上；33.9.4 系统升级方法包括：从网站升级、从上级中心升级、从网站下载手动升级包；3

55、3.9.5 通信端口可设置；33.10 漏洞扫描技术包括：33.10.1 X-Scanner：采用多线程方式，对指定的IP地址或主机进行安全漏洞扫描；33.10.2 ISS：采用主动方式扫描（IDS入侵检测技术采用被动方式扫描）；33.10.3 MBSA：不能用网络嗅探，其它Ethereal、TCPdump、Wireshark均可以；33.11 ISS包括：33.11.1 Internet扫描器：对网络设备进行主动的安全漏洞检测和分析；33.11.2 系统扫描器：依附于主机上的扫描器代理检测主机内部漏洞；33.11.3 数据库扫描器；33.12 漏洞扫描器主要指标：速度，能够发现的漏洞数量，是

56、否支持可定制的攻击方式，报告，更新周期；33.13 CVE：漏洞库，行业标准，为每个漏洞和暴露确定了唯一的名称和标准化报告；34 IPS34.1 IPS：入侵防护系统；34.2 分类：基于主机的入侵防护系统HIPS，基于网络的入侵防护系统NIPS，基于应用的入侵防护系统AIPS；34.3 HIPS：一般安装在受保护的主机系统中，监视内核的系统调用，阻挡攻击；34.4 NIPS：一般布置在网络出口处，串联在防火墙和路由器之间，但误报可能导致合法的通信被阻断，或导致延迟，成为网络的瓶颈；34.5 AIPS：一般部署在应用服务器前端，可阻断cookie篡改、SQL代码嵌入、参数篡改、缓冲器溢出、强制

57、浏览、畸形数据包、数据类型不匹配以及其它已知漏洞等；35 网络入侵与攻击35.1 木马入侵；35.2 漏洞入侵：Unicode漏洞入侵、跨站脚本入侵、SQL注入入侵；35.3 协议欺骗入侵：35.3.1 IP欺骗攻击；35.3.2 ARP欺骗攻击；35.3.3 DNS欺骗攻击（使用户获取一个错误的IP地址，引导到错误的Internet站点或电子邮件发到未知的服务器中）；35.3.4 源路由欺骗攻击；35.4 口令入侵；35.5 拒绝服务入侵DoS：35.5.1 Smurf攻击：攻击者冒充被害主机IP，向一个大网络发送echo request定向广播包，受害主机将收到大量echo reply；35.5.2 SYN Flooding：利用TCP三次握手进行攻击，使用无效IP与受害主机进行握手，不断超时后