网规知识点汇集

*网络需求分析环节常被简化甚至忽略的主要原因《案》P46用户本身也不清楚具体需求是什么，或者需求渐渐增加而且经常发生变化，或者从用户角度提出的需求常不符合网络规划的实际情况等。需求分析是一项需要花费大量时间和精力，不能马上看到成果的工作,这往往使得分析师失去耐心和兴趣，产生急功近利的思想和行为。需求分析人员对待建网络业务本质的理解不足。网络需求分析是件烦琐、细致的工作，也是一项社交工程，需要分析人员和用户都具有较高的沟通、交流素质。需求分析阶段的资金投入不足。*一份需求分析报告主要包括哪些内容《案》P49综述：对网络工程项目的主要内容、重要性等进行一个简单的描述；需求分析阶段概述； ③需求数据总结；④按优先级排队的需求清单； ⑤申请批准部分等。*用户需求的关注点包括哪些内容《案》P53信息的及时传输；②响应时间的可预测；③网络可靠性和可用性高；④网络适应性强；⑤网络可伸缩性好；⑥网络安全性高；⑦低成本。*网络改造升级项目，新设计依赖和受限现有网络，进行需求分析时应注意哪几个方面的内容《案》P53现有网络拓扑结构；②采用的技术及其扩展性；③现有网络的位置信息及网络扩展接口需求信息；④关于容量、延迟及可靠性等方面的性能指标；⑤网络、系统和支持服务信赖；⑥互操作性信赖；⑦网络报废情况。需求说明书与通信规范说明书之间的区别与联系需求说明书描述的是新网络将来要做什么，通信规范说明书描述的是当前网络正在做什么，两者合起来为逻辑网络设计阶段提供两个基本的输入文档资料。网络需求分析阶段关注的网络级性能指标时延、吞吐量、响应时间、带宽、利用率、丢包率、时延抖动、网络效率、可用性、路由、安全性、可扩展性、可管理性、适应性通信量分析计算公式应用数据传输速率=平均事务量X每字节位数X每个会话事务数X平均用户数(峰值)X(1+增长率)/平均会话长度。*通信规范说明书的功能及其主要组成部分《案》P78功能：通信规范说明书描述的是当前网络正在做什么，它包含了估测或实测的网络通信容量，以及大量的统计表格，记录着准确的归纳、分析现存网络得到的结果，并结合需求说明书提出网络设计建议方案。组成：由执行情况概述、分析阶段概述、分析数据总结、设计目标建议、申请批准部分、修改注释部分等组成。QOS的网络级性能指标时延、吞吐量、响应时间、带宽、利用率、丢包率、时延抖动、网络效率、可用性、连接建立时间、故障检测和改正时间。包转换率、背板带宽、吞吐量端口的线速率(包转换率)=端口速率/((8+64+12)X8)背板带宽计算公式：=端口速率X端口数X2(即交换容量)=线速率X((8+64+12)X8)X端口数X2=满吞吐量X((8+64+12)X8)X2满端口的吞吐量：线速率X端口数=背板带宽/((8+64+12)X8X2)例16口全千兆吞吐量=1.488X16=23.8Mpps背板带宽=109X16X2=32Gbps千兆包转换率：1.488Mpps 2.5G的包转换率：4.68MppsUPS功率的计算例：功率为12KW,在线式的功率因数为0.8,则无功功率=12KW/0.8=15KWA,预留30%的富余量，则容量为=15X(1+30%)=20KWA实际功率=20KWAX0.8=16KW若直流电压为96V,则电流=16KW/96V=166.7A逻辑网络设计工作主要包括的内容《考》P273网络结构设计1） 层次化网络结构设计：中小型网络由核心层、接入层组成双层结构；大中型由核心层、汇聚层、接入层组成3层结构。核心层设计要点：①采用冗余，具高可靠性；②避免使用包过滤、策略路由等降低数据包转发处理的特性；③有限的和一致的覆盖范围；④接入外网的功能应在本层实现。汇聚层设计要点：①访冋、流量控制在本层实施；②隐藏搂入层信息；③协议转换；接入层设计要点：①提供用户接入；②部分管理功能2） 网络结构冗余设计3） 局域网结构设计：主要关注于数据链路层的交换机、网络层的路由器和三层交换机等的互连方式。4） 广域网结构设计：主要关注网络层的设备互连方式。物理层技术选择缆线类型；②网卡、光收发器等设备局域网技术选择1） 数据率选择：万兆骨干、千兆桌面或千兆骨干、百兆桌面2） VLAN：支持4096个，0一1005是标准范围，1025-4095是扩展范围，0、1、4095系统保留，1002-1005是FDDI、TokenRing使用。3） STP设计：P281-2824） 链路聚合技术：5） 冗余网关设计：VRRP、HSRP、GLBP6） 服务器冗余与负载均衡：负载服务均衡器、DNS服务器、NAT7） WLAN规划与设计：广域网技术选择1） 接入网技术：局域网、无线、xDSL、HFC、FTTx、PSTN、DDN2） 广域网互连技术：DDN、FR、SDH、MSTP、WDM、WiMAX3） 广域网性能优化：IP地址和DNS设计路由协议选择网络管理设计&网络安全设计:机房及物理线路安全、网络安全、系统安全、应用安全、数据容灾与恢复、安全管理体系*物理网络设计遵循的_般原则《案》P166所选择的设备应满足逻辑网络设计要求，并留有一定冗余综合考虑性价比设备应具有良好互操作性综合布线应考虑较长时间的发展需求综合布线方案应以实地勘测为依据*物理网络设计文档的作用及相关说明内容《案》P192作用：说明在什么样的特定物理位置实现逻辑网络设计方案中的相应内容，以及怎样有逻辑有步骤地实现每一步的设计。相关说明：详细说明了连接到网络设备的线缆的类型，网络中设备和连接器的布局，及它们间的连接情况。*网络设备选择时应遵循的几个原则《案》P191厂商选择：尽量选同一厂家，并采用产品线齐全、市场占有率高的产品可扩展性：主干设备应有一定扩展能力，低端设备够用即可根据方案需要选型：根据网络实际需求、端□类型等，尽量使用旧设备选择性价比高、可靠性高、质量过硬的产品，提高整个系统的可靠性可管理性：所选购的设备都应可网管的安全性：接入层、汇聚层的设备也应考虑安全防范冋题，网络安全设备应获得国家权威机构评测证书QoS控制能力：核心层能根据不同业务流的优先级和带宽进行控制标准性和开放性：设备必须支持业界通用的开放标准和协议物理网络设计的部分知识点水平布线系统线缆用量的总长度C=[(Lmax+Lmin)x0.55+6]xn不要近距离(小于15—20cm)平铺铜质线缆和电力线主机房面积A=NS,其中S为单台设备占用面积，取4.5一5.5。通道与设备间距离：两相对机柜正面距离不小于1.5m;侧面距墙0.5m;需维修用时1.2m;走道净宽1.2m机柜安装服务器数目4一5台，配线架间隔2U,托盘间隔6U网络设备大小为6一10U,不宜超过2台，4U/4台；1U/8台。各网络互联方案比较表《案》P149万案优点缺点铺设光缆损耗低、频带宽、速率高、信号稳定、传输可靠、抗干扰强、无中继达10km、专用性突出投资大、施工难度大、审批难度大微波频率咼、速率咼、工程简单、可跨越光纤无法覆盖区域、无中继达20畑成本高、信号沿直线传输、易受天气影响专线专用性突出、传输速度有保证、管理维护方便租用费用咼、通常为点对点传输ADSL+VPN利用现有电话线、安装简单、适用性强、成本低、费用低、VPN较安全带宽受限、信号不稳定*2.5GbpsRPR/POS环网相对于SDH具有哪些优势《案》P132通过多种宽带复用机制，环带宽的利用率高；通过二层环保护倒换功能，提供了快速的50ms环保护倒换功能；拓扑具有环自动发现功能，可以简化光纤配置，并易于提供点到多点的业务；公平性好，通过业务等级设置机制保证服务质量(Qos)等*P0S技术介绍、接口的配置参数及配置过程中需注意的相关问题《案》P424P0S是一种利用S0NET/SDH提供的高速传输通道直接传送IP数据包的网络连接技术。支持光纤介质，使用的数据链路层协议主要有PPP和HDLC。在路由器上插入一块P0S模块，就能提供P0S接口，可提供155Mbps、622Mbps、5Gbps、lOGbps速率。POS接口的配置参数：接口带宽、接口地址、链路层协议、帧格式、CRC校验和Flag等。在配置时需注意：有些参数必须与对端接口的参数保持一致。*对光纤进行测试的方法《案》P186连通性测试：确定是否存在断点端端损耗测试：确定光纤链路对光能的传输损耗，评定光纤质量和中继距离收发功率测试：用于评定已经建好投入使用、距离较远的光纤链路质量反射损耗测试：利用光的后向散射原理来测量光纤衰减、接头损耗、故障点定位等*光纤信号损耗公式及衰减系数《案》P98光纤信号损耗=光纤衰减X公里数+接头衰减X接头数量+连接器衰减X连接器数量+安全富余量光纤每公里最大衰减系数：850nm（多）=3dE/km,1300nm（多）dE/km,1300nm（单）二0.3dB/km,1550nm（单）二0.2dB/kmo*存储扩展技术的比较《案》P87表3-8存储扩展本质上是FC协议和通用网络协议之间的相互作用。相互作用3种形式：便用：一种协议直接使用另一种协议提供的功能为本协议的实现服务封装：一种协议直接作为另一种协议的负载<1±：将内层协议的部分或全部逻辑功能映射到外层协议对应的功能层次上，内层协议对外层协议不再透明，实现内外层协议的融合，充分利用两种协议的优点为传输提供服务。存储扩展主要技术：基于IP、基于SONET、基于WDM服务器负载均衡方法《案》P2961、 循环DNS技术:每个站点的请求被平均分配到集群服务器上，集群服务器的所有结点对于网络来说都是可见的。优点：易于实现、代价低廉。缺点：①不能根据服务器负载情况实现动态调度；②不具高可靠性，一旦一台服务器发生故障，会造成部分人无法访问。2、 负载均衡器（WSDPro,也称导向器）:通过虚拟IP地址，将用户请求重写头文件后，映射到集群中的服务器上。若某台服务器故障，请求将不再发往。优点：①对外服务的一致性；②通过故障恢复机制获得高可靠性；③可统计流量。缺点：费用较高，结构原理复杂，存在单点故障。3、 网络地址转换:一种网关，动态映射内部IP地址，有软、硬件两种方式。各类服务器角色对硬件需求优先级WEB静态：网络、内存、确盘、CPUWEB动态：内存、CPU、确盘、网络E-mail：内存、确盘、网络、CPUFTP：网络、内存、确盘文件服务器:网络、确盘、内存数据库：内存、磁盘、CPU应用虚拟化技术的优势《案》P309能有效提高服务器的资源利用率；②支持运行在不同操作系统上的多个业务共享同一台服务器；③降低硬件成本，节约场地，节能环保。网络高可用性的技术《案》P156设备级高可用性技术:硬件设备冗余、双主控引擎、单板热插拨、冗余电源、冗余风扇、设备间状态热备份等。网络级高可用性技术:以太网链路聚合等物理链路冗余技术，RPR、RRPP等环网技术、MSTP、SmartLink等二层路径冗余技术，VRRP、HSRP、GLBP.ECMP、动态路由快速收敛等三层路径冗余技术，快速故障检测技术，不间断转发技术，路径可用检查等。远程数据复制技术《案》P1561、 基于主机的数据复制:工作在主机的卷管理层，通过软件远程备份数据。这种方式占用主机CPU资源，对主机性能有一定影响。应用于小规模存储环境内，备份管理简单，速度快；缺点是不利于备份系统的共享。此备份方式对操作系统、应用等不透明。2、 基于存储设备的数据复制:指本地和远程的存储设置通过高速专用链路互连，嵌入智能软件，将对主机写操作实时复制到远端（同步或异步方式）实现数据一致性。这种方式不占用主机和网络资源，缺点是存储设备的兼容性不好。此备份方式对操作系统、应用透明，对存储设备不透明。3、 基于SAN的数据复制:通过存储区域在相关服务器和后台存储设备之间高速传输。通过存储网络直接与存储设备交换数据（同步方式），从而释放网络和服务器资源。这种方式对存储设备的兼容性无要求，对服务器、应用和存储设备透明。资源"瓶颈”的解决方案CPU资源成为系统的“瓶颈”：①增加CPU个数:②提高主频；③将WEE服务器与数据库服务器分开部署；④调整软件的设计与开发。网络带宽成为系统的"瓶颈”:①增加网络带宽；②压缩数据。ARP病毒的防范措施《案》P292找出中毒的计算机，断开其网络连接并查杀；②在内部网的每台主机上安装ARP防火墙；③主机上绑定网关的IP和MAC地址；④在三层交换机上进行IP和MAC地址绑定。在网络结构上实现负载均衡的方式1、 数据链路层上：主要通过链路聚合协议实现2、 网络层上：主要是通过路由协议的等价路径实现。RIPvl、v2均支持等价负载均衡，IGRP实施等价路径是以时间片轮转方式工作，EIGRP还支持非等价路径的负载均衡，OSPF具有快速收敛、无自环路由、区域层次化路由、等开销多路径等。选用NIDS产品需考虑的要点《案》P414价格； ②性能指标（如每秒抓包数等）;是否通过国家权威机构的评测；④特征库升级与维护的费用；反躲避能力； ⑥所支持的入侵特征数；⑦可伸缩性； ⑧后期维护的响应方法；⑨运行与维护产品的开销（如技术人员数量等）。IDS的优点1、 实时检测网络系统的非法行为2、 不占用系统任何资源3、 是一个独立的网络设备，做到对黑客不透明，因此安全性很高4、 及时实时监测、记录审计系统5、 主机IDS系统运行于保护系统之上，直接保护和恢复系统6、 与防火墙联动，更有效阻止非法入侵和破坏。IDS的分类1、 基于数据源的分类1） 基于主机HIDS：系统运行在被监测主机或服务器上，利用主机操作系统及应用程序的审核踪迹进行检测。特点：检测效率高、分析代价小、速度快不足：一定程度上依赖于系统的可靠性，主机日志提供的信息有限。2） 基于网络NIDS：收集来自网络层的信息，监视数据流，可以监视和检测网络层的攻击。放置于企业内部与外网的出口。2、 基于检测方法的分类1） 异常检测：根据使用者的行为或资源使用状况的正常程度来判断是否入侵，与系统相对无关，通用性较强，缺陷在于误检率高。2） 误用检测：根据已定义好的入侵模式，通过在实际安全审计数据中是否入侵来监测。也称为特征分析或基于知识的检测。检测准确度很高，缺陷在于检测范围受已有知识局限。误用检测用于数据网络包检测，异常检测用于系统日志分析是通用的做法。防火墙的功能基本：访问控制、内容控制、全面的日志功能、集中管理功能附加：流量控制、NAT、VPN防火墙的优点1）对内网实现集中安全管理 2）防止非授权用户进入内网3）监视网络的安全性并报警 4）部署NAT5）审计和记录网络的访问防火墙的缺点1） 限制或关闭一些网络服务，给使用带来不便2） 对来自内网的攻击无能为力3） 不能防范不经过防火墙的攻击4） 对用户不完全透明，会带来传输延迟、单点失效。5） 不能完全防止病毒6） 不能防止新的威胁和攻击。各安全技术知识点说明《案一》P104表3-21安全技术解决的问题不能解决的问题防火墙是建立在内外网边界上的过滤封锁机制，能防止外网未授权访问内网、外网攻击，内网未经授权访问外网不能有效防止内网攻击入侵检测实时应对来自内网已知攻击对未知攻击检测能力弱，误报率咼安全扫描及时发现安全漏洞依赖于数据库实时更新，不能主动防护日志审计在事件发生时或后发现女全冋题，有助于追查责任，定位故障，恢复系统无法在事前发现可能的攻击给出在网络层面的相关安全解决方案《案》P1641•在互联网出口部署防火墙，至少配置4个不同安全级别的端口，分别连接Internet、DMZ、分支路由及内网。入侵检测系统（IPS、IDS）部署于防火墙前后及重要服务器前，实时收集信息，并与防火墙等安全系统联动，以应对已知攻击。在内网部署漏洞检测（安全扫描）设备，及时发现网络安全漏洞。在内网安装网络版病毒防护系统，实时更新特征库，实现全网统一管理。在Internet出口链路部署上网行为管理设备，进行监控和审计。主流路由协议故障排错RIP的一般步骤：1） 检查从源到目的间所有路由的路由表，查看是否丢失表项。2） 若是，检查RIP的基本配置：①使用showiprip查看参数设置，观察RIP是否启动，相关接口是否使能，network命令设置的网段是否正确；②用debugiprip系列命令查看RIP的调试信息，观察RIP报文是否正确收发或失败的原因；③当RIP配置没有问题，应当考虑是否在接口上配置“Noipripwor艮'命令，是否是验证有问题，是否是引入的其他路由有问题，是否访问控制表配置不正确等。各种路由协议的总结和对比表《案》P98双核心路由核心交换机全互联结构的优势《案》P430核心层网络设备间采用全互联结构，提供完全的核心层设备冗余和链路冗余（最多3条链路失效）不存在单点故障，任何一台设备损坏不影响网络的运行两台多层交换机间可运行HSRP等冗余网关协议，保证一台故障仍可运行借助于路由算法、策略路由等技术，实现网络流量的负载均衡拓扑结构灵活、便于今后扩展*VRRP路由故障原因定位的具体排查步骤《案》P384P423检查两台核心交换机的VRRP配置是否一致；检查链路是否连通，在核心交换机上ping对端接口实际IP地址；查看互连端口的STP等状态是否正常；检查VRRP报文收发情况，可以适当增加Eackup等待延迟时间；查看VRRP协议报文互通的业务板和主控板CPU占用率情况，以排除是否有存在网络风暴；暂时关闭一些业务降低CPU的利用率以观察变化；寻求厂商技术工程师或其他有相关经验的工程师的进一步帮助与支持Loopback接口的主要作用《案》P203作为一台路由器的管理地址，子网掩码通常为24,使网络管理员可随时登录到路由器上，对路由器进行配置管理作为OSPF协议和EGP的RouterID,使路由功能更稳定、可靠。扁平纯路由架构简介《案》P134扁平纯路由架构不是简单的把三层结构压缩成二层，而是考虑网络规模的大小、业务的多样性、功能区的划分等多种因素，尽量简化网络层次，使趋近扁平。该模式并非物理连接层次的减少，而是网络逻辑层次的简化。核心层作为整个网络的控制层，提供集中管理功能和业务控制，要求设备性能强大；从接入层直接到核心层之间的设备都是使用二层功能，通过802.IQVLAN直接连接到核心路由器，接入层只需提供基本二层VLAN隔离功能，不涉及业务功能。三层交换架构和扁平纯路由架构对比《案》P135项目二层交换架构扁平纯路由架构设备要求核心层与汇聚层：性能较强的三层交换机；接入层：控制功能较强(退速、隔离、VLAN、802.lx等)的二层交换机核心层：高性能路由器，性能强大、接口丰富；接入层和汇聚层：只需支持VLAN功能的二层交换机，兼容多厂冏设备。架构特点内部数据父换直接通过接入或汇聚交换机转发，无须经过核心层，降低核心层超负荷风险，有效合理使用核心层资源。网络IP分配比较固定，且有规律，内容路由数量较少，组网模式采用全交换，满足高速数据交换。组网采用纯路由模式，在转发数据前，都需CPU去查找路由表。若数据量较多，则所有流量都需要经过宽带接入服务器(BRAS),增加BRAS的负担；且流量经过核心层转发，增加核心层的额外开销，增大了扩容核心层带宽的概率。准入认证方式米用802.lx或WEB认证方式，便于为不冋用户提供灵活接入，在接入层部署，针对端口管理，接入层设备存仕丿商要求。采用PPP0E认证，核心层部署，针对端口管理，需增加ERAS设备。上网行为管理设备的功能《案》P412表8-6上网行为分析； ②信息内容审计；③网页访问过滤;网络应用控制；⑤带宽流量管理；⑥日志管理。IPv4向IPv6过渡的技术1、 双协议栈：在主机或路由器同时装有IPv4和IPv6的两种协议栈。2、 隧道技术：当IPv6分组进入IPv4路由时，将IPv6分组作为高层数据封装成IPv4数据包在IPv4网络中传送，在离开IPv4网络时，IPv6数据被还原。IPv4数据包的源地址和目的地址作为IPv4网络的入口和出口地址。此技术只要求隧道的入出口支持，能充分利用现有设备，在过渡初期是一种简单方便的选择。3、 NAT-PT：通过NAT网关将一种IP网络地址转换为另一种IP网络地址，同时根据IPv4与IPv6的差异对数据包的首部进行修改以符合对方网络的格式要求，并对上层数据进行相应的修改。此技术可支持IPv4与Ipv6的互通，较为复杂。虚拟化技术的特点更高的资源利用率、降低管理成本、使用的灵活性、安全性、更高的可用性、更高的可扩展性、互操作性和投资保护、改进资源供应路由协议的比较RIP：基于向量-距离(V-D)算法，简单易实现，距离称为路由上的跳数。属于应用层协议，借助UDP发送。仅和相邻路由器交换所知的全部信息；每30秒交换一次。0SFP：基于链路状态(L-S)算法，属于网络层协议，直接由IP数据报发送。每个路由器使用洪泛法周期性向其它路由通告自己与相邻路由器的连接关第，使各路由器都可画出一张网络拓扑图。特点：支持区域划分，快速收敛，无路由自环问题，支持等价路径负载分担，VLSM,CIDR,身份认证。IGRP：动态距离向量路由协议，思科专有协议。使用组合用户配置尺度，包括延迟、带宽、可靠性和负载。每90秒发送一次路由更新广播。EIGRP：增强型IGRP,融合距离矢量和链路状态的优点。BGP：基于路径向量(PV)算法，交换路由的节点数是以AS数为单位，计算出的路由是一条完整的路径。使用TCP作为传输协议，是唯一处理因特网大小的协议。策略路由是其一项强大功能。工作流程：建立TCP会话连接，通过OPEN信息确定连接参数，当路由条自改变或失效时，才发现增量的触发性路由更新，由Update消息完成，Keepalive消息验证可用性，Notification消息通知错误。安全审计的工作流程1、 记录和搜集有关的审计信息，产生审计数据记录；2、 对数据记录进行安全违规分析，以检查安全违反与安全入侵原因；3、 对其分析产生相应的分析报表；4、 评估系统安全，形成网络安全审计报告，并提出改进意见。云数据中心的特点标准化、高密度、模块化以及集中化管理是云时代数据中心基础设施的4个主要特征。各年考试下午题考点整理2009年下半年-~*通信量分析及流量计算、路由冗余性分析 *配置题三网络规划优化SDH网、STM-1、伞可联、网络接口工作机制2010年上半年-~*光纤埋设方式、光纤产品选型、网络优化-~*网络故障分析、PPP捆绑技术、0SPF负载均衡、网络优化三安全设备选型、流量计算2010年下半年-~*VPN技术比较、闻图、MPLSVPN配置要点说明 *逻辑网络设计：网络整合、地址切换、路由整合三MSTP、VRRP自动切换、Radius认证2011年 •逻辑网络设计：网络随机构变大所做的改变，设计的内容及IP子网划分-~*逻辑网络设计、二层交换机相关、流量计算、冗余协议的比较三网络安全区域划分、防火墙、IDS2012年-~*IPv6：过渡技术、IP地址分配方式等-~*玄数据中心特点、虚拟化技术、传送网技术DWDM、闻图、存储方式DAS\NAS\SAN三画图、IPS'IDS、远程接入VPN、审计系统工作流程MPLSVPN知识点是一种基于MPLS技术的IP-VPN,可以把现在的IP网络分解成逻辑上隔离的网络，从而解决网络互连。在MPLSVPN承载平台中，P路由器是核心路由，其只负责依据MPLS标签完成数据包的高速转发，不与CE直接相连。PE路由器是核心网上的边缘路由器，与用户的CE路由器互连，负责VPN业务接入，负责待传送数据包的MPLS标签的生成和弹出，负责将数据包按标签发送给P路由器或接收来自P路由器的含标签数据包，负责发起根据路由建立交换标签的运作，是MPLSVPN的主要实现者。CE路由器直接与电信运营商相连，该设备上不存在任何带有MPLS标签的数据包，负责将用户网络的信息发送给PE路由器。MPLSVPN分成LayersMPLSVPN和Layer2MPLSVPN,其中前者使用MBGP在PE路由器间分发路由信息，又称BGP/MPLSVPNoMPLSVPN网络中，对VPN的所有处理都发生在PE路由器上。《考》P459MPLSVPN在控制层面上规划设计的基本思路《案》P132将所有的P、PE设备都放在一个域内启用0SPF协议，用于LDP标签的分发和建立LSP；将所有PE设备放在一个域内启用MBGP,用于VPN路由的发布和处理；PE路由器通过使用路由反射器来确保路由信息分发给所有PE路由器；在CE设备和PE路由器之间直接启用静态/默认路由；针对不同部门的业务系统划分不同的VPN,并通过在PE路由器上设置合理的RT等属性，对VPN间的互访与隔离实现有效控制。MPLSVPN在数据层面上的基本工作过程《案》P225当一个VPN业务分组由CE路由器发送给入口PE路由器时,PE路由器查找该子接口对应的虚拟路由转发表（VRF表），从VRF表中得到VPN标签、初始外层标签及到出口PE路由器的输出接口。当该VPN分组被打上两层标签之后，就通过入口PE路由器输出接口转发出去，然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE路由器之前的最后一个P路由器上，外层标签被弹出，P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给相应的CE路由器，从而实现了整个数据在MPLS骨干网中的转发过程。主要VPN技术比较《案》P114*VPN技术要求必须包括的内容《案》P151应提供灵活的组建方式，支持IPSecVPN和SSLVPN,保证系统兼容性支持多种认证方式：用户名+口令、证书、USE+证书+口令等支持隧道输入保障技术，可穿越网络和防火墙支持网络层以上的E/S和C/S应用必须能够为用户分配专用网络上的地址并确保安全对数据必须加密，确保未授权用户无法读取该信息应能提供审计功能IPSecAH与ESP头标功能比较表《案》P230项目AH头标ESP头标认证功能有有加密功能无有最低认证算法MD5或SHA-1MD5或SHA-1最低加密算法无DES-CBC重放攻击防御有有IPsec的通信过程《案》P2331、 IPsec过程启动：根据配置IPsec对等体中的IPsec安全策略，指定要被加密的数据流，启动IKE过程。2、 IKE阶段1：IKE认证IPsec对等体，协商IKE安全关联(SA),并为协商IPsec安全关联的参数建立一个安全传输道路。3、 IKE阶段2：IKE协商IPSec的SA参数，并在对等体中建立与之匹配的IPsecSA4、 数据传送：根据存储在SA数据库中的IPsec参数和密钥，在对等体间传送数据5、 IPsec隧道终止：通过删除或超时机制结束IPsecSAVPN在安全方面的几种关键技术1、隧道技术：在公用网建立一条数据通道；2、加解密技术；3：密钥管理技术：保证在公网上安全的传递密钥；4、身份认证技术：最常用的是使用者名称与密码认证方式。

“瘦”AP和“胖'AP组网模式的区别“瘦”AP“胖”AP管理AP由WNC统一集中管理，通过WNC配置、维护、管理整个无线网络；每个AP则只需要单独负责RF和通信的工作，数据传送到WNC后集中处理没有集中控制器设备，AP单独负担RF、通信、验证、加密等工作，缺乏统一管理，每个AP单独配置，随着WLAN规模增大，维护变得烦琐功能通过WNC对AP.SSID等统一管理，实现无缝漫游。支持多个SSID,针对不同用户或区域进行不同权限限制。亦可使用同一SSID,简化网络结构，方便管理无法实现无缝漫游，用户跨AP时会出现中断现象。每个AP只能拥有一个SSID,相邻AP使用同SSID会冲突。不能对用户进行不同权限控制安全接入AP无需由自身对用户验证和数据加密，并能满足用户扩展的安全需求AP单独对用户验证和数据加密，仅能做到基础安全，无法满足用户的扩展需求成本大规模部署成本低、运维管理成本低大规模部署成本高、运维管理成本高扩展性咼可扩展性，可将AP部署到任何地方，并能适应未来语音、视频监控等的扩展需求扩展性较差WLAN规划设计时需考虑的主要因素《案》P158考虑AP覆盖区域：不同射频带和吞吐量变化是影响范围的关键因素。考虑频率干扰：需要考虑其它使用2.4G自由频段设备的干扰，及网络内外部其它AP的干扰。考虑用户移动性：用户在移动中所要求的保持高带宽和低时延、无缝漫游等需求。考虑网络负载能力：考虑WLAN中的主要应用业务，根据用户数目及其最小带宽需求来计算AP数目，并预留冗余空间。合理借助自动化工具进行规划设计。通过自动化工具以辅助确定AP位置、频道分配、功率输出设置及其它配置属性。WNC具有什么功能自动探测、监控、管理无线AP、负责802.lx认证、动态密钥产生、漫游切换、端口隔离、带宽控制和ACL过滤等功能FCSAN/IPSAN的差别《案一》P381FCSAN使用专用光纤通道设备，IPSAN使用通用的IP网络及设备，因此比IPSAN速率高，但价格也高；可承接更多并发访问用户数，且在稳定性、安全性、高性能方面有较大优势。基于ISCSI标准的IPSAN提供了Initiator与目标端两方面的身份验证（使用CHAP>Kerberos等），能够阻止未经授权的访问，只允许那些可依赖的节点进行访问，可通过IPSec确保其数据的安全性，且IPSAN比比FCSAN具更好的伸缩性。双机冗余主要解决的是系统运行中的哪些问题，选择冗余热备产品时通常需考虑哪些问题《案一》P400采用双机冗余热备方式，当本地某个系统发生故障时，系统能够自动快速切换到正常系统，通过本地故障恢复确保系统持续提供服务。采用双机冗余热备方式，通常需要考虑的因素有：双机热备产品适用的规模；支持的操作系统；支持的数据库系统；对正常业务系统的性能影响；提供的GUI管理工具功能易用性；能够完全实现多应用多级切换，适用于多种应用并存的系统，某一应用的切换可以不对其他应用产生影响；集中管理配置能力；远程监控和管理能力；切换速度；磁盘管理方面的功能。路由器配置1、 设置主机名及口令Rl>enableRl#configureterminalR1(config)#hostnameRlRl(config)#enablesecrettestRl(config)#end2、 设置端口IP并激活Rl#configureterminalRl(config)#interfacefO/1Rl(config)#ipaddress*.*.*.*255.255.255.0Rl(config)#noshutdown3、 配置RIPRl(config)#routerripRl(config-router)#network*.*.*.*Rl(config-router)#version2Rl(config-router)noauto-summary(关闭自动汇总功能，rip2才有，主要是为了解决不连续子网互相访问的问题。)4、 配置IGRPRl(config)#routerigrpRl(config-router)#network*.*.*.*5、 配置EIGRPRl(config)#routereigrp10 启动EIGRP进程，进程号10Rl(config-router)#network*.*.*.*255.255.255.0Rl(config-router)#noauto—summary6、 配置OSPFR1(config)#routerospf100 启动OSPF进程，进程号100R1(config-router)#router-id*.*.*.*(