计算机三级网络技术知识点总汇汇编

第1章网络系统结构与设计的基本原则1.计算机网络按地理范围划分为局域网、城域网与广域网三种类型

2.局域网具有较高的数据传输速率（10Mbps-10Gbps）与低误码率；提供高质量传输环境。

3.CSMA/CD是子网内部所采用的介质访问控制方法；交换局域网的核心设备是局域网交换机。

4.局域网按介质访问控制方法角度分为共享介质式局域网和交换式局域网。5.城域网概念：网络运营商在城市范围内提供各种信息服务，以宽带光传输网络为开放平台，以TCP/IP协议为基础

6.完整的宽带城域网主要包括网络平台、业务平台、管理平台和城市宽带出口即“三个平台与一个出口”。

7.宽带城域网的网络平台从逻辑上分为核心交换层（高速数据交换）、边缘汇聚层（路由与流量汇聚）与用户接入层（用户接入和本地流量控制）。

8.核心层基本功能：（1）实现主干网络互联，提供城市的宽带IP数据出口；（2）提供用户访问Internet需要的路由服务；（3）(设计重点：可靠性、可扩展性与开放性)连接汇聚层，为其提供高速分组转发，提供高速安全Qos保障的传输环境。

9.汇聚层基本功能：（1）汇接接入层的用户流量，进行数据分组传输的汇聚、转发与交换；（2）根据接入层的用户流量，进行本地路由、过滤、流量均衡、QoS优先级管理，以及安全控制、IP地址转换、流量整形等处理；（3）根据处理结果把用户流量转发到核心交换层或本地进行路由处理。

10.组建运营宽带城域网基本原则：可管理性、可运营性、可盈利性和可扩展性。

111.管理和运营宽带城域网关键技术：带宽管理，服务质量QoS，网络管理，用户管理，多业务接入，统计与计费，IP地址分配与地址转换，网络安全

12.目前宽带城域网保证服务质量QoS要求的技术主要有：资源预留（RSVP）、区分服务（DiffServ）与多协议标记交换（MPLS）。

13.管理带宽城域网3种基本方案：带内网络管理、带外网络管理及同时使用带内和带外网络管理“带内”与“带外”网络管理的区分以传统的电信网络为基准。带内：利用传统的电信网络进行网络管理，利用数据通信网或公共交换电话网拨号，对网络设备进行数据配置。带外：利用IP网络及协议进行网络管理，利用网络管理协议SNMP建立网络管理系统。使用原则：汇聚层以下采用带内管理，对汇聚层及其以上设备采用带外管理。

14.网络安全技术方面需要解决物理安全、网络安全和信息安全。

15.宽带城域网在组建方案中一定要按照电信级运营要求，考虑设备冗余、线路冗余、路由冗余，系统故障的快速诊断与自我恢复以及网络防攻击问题。

16.宽带城域网基本技术与方案主要有3类：基于SDH的城域网方案、基于10GE的城域网方案和基于ATM的城域网方案。

17.光以太网由多种实现形式，最重要的有10GE技术和弹性分组环技术。

18.弹性分组环（RPR）：直接在光纤上高效传输IP分组的传输技术标准：IEEE802.1719.目前城域网主要拓扑结构：环形结构；核心层有3~10个结点的城域网使用环形结构可以简化光纤配置功能：简化光纤配置；解决网络保护机制与带宽共享问题；提供点到多点业务

20.与FDDI相同，弹性分组环（RPR）采用双环结构；RPR结点最大长度100km；顺时针为外环，逆时针为内环，外环和内环都可以传输数据和控制分组且皆可用统计复用的方法传输IP分组。

221.RPR技术特点：公平性好（RPR的每一个节点都执行SRP公平算法）；带宽利用率高（在RPR环中，源节点向目的节点成功发出的数据帧要由目的节点从环中收回）；保证服务质量（RPR环可以对不同的业务分配不同的优先级）；快速保护和恢复能力强大（RPR环能够在50ms内实现自愈）。

22.三网融合：计算机网络、电信通信网和电视通信网（广播电视网）

23.从用户接入的角度，宽带接入可以分为：接入技术（有线和无线）和接入方式（家庭接入、校园接入、机关与企业人）

24.目前宽带接入技术：数字用户线（XDSL）技术、光纤同轴电缆混合网（HFC）技术、光纤接入技术、宽带无线接入技术与无线网格网（WMW）技术。25.XDSL技术按上行与下行速率分为速率对称与非对称两类。

XDSL技术非对称数字用户线（ADSL）高比特率数字用户线（HDSL）下/上行速率（距离5.5km）1.5mbps/64kbps1.544mbps（距离不影响）对称否是否否线对数1212甚高比特率数字用户线（VDSL）51mbps/64kbps(距离不影响)速率自适应数字用户线（RADSL）1.5mbps/64kbps26.ADSL技术的特点：用户不需要进行电缆的重新铺设（不需要专门为获得ADSL）27.光纤同轴混合网（HFC）是新一代有线电视网络。HFC就是一个双向传输系统。28.电缆调制解调器CableModem专门为利用有线电视网进行数据传输而设计，CableModem连接了用户计算机与有线电视同轴电缆。利用频分复用的方法将双向信道分为：上行信道：200kbps-10mbps

下行信道：36mbps；传输方式（双向对称传输和

非对称式传输）；数据传输方向（单向、双向）；同步方式（同步和异步交换）29.OC-3,155.520Mbps的对称业务（OC-3，51.84×3；OC-12，51.84×12）上行OC-3,155.520Mbps；下行OC-12,622.080Mbps的不对称业务

330.无线接入技术主要有IEEE802.11标准的无线局域网IEEE802.16（WLAN）接入、标准的无线城域网（WMAN）接入与无线Adhoc接入。

31.802.11定义了使用红外、调频扩频与直接序列扩频技术，数据传输速率为1mbps802.11b定义了使用直序扩频技术，或2mbps的无线局域网标准。传输速率为1mbps、2mbps、5.5mbps与11mbps的无线局域网标准。802.11a将提高传输速率到54mbps。

第2章网络系统总体规划与设计方法1.网络运行环境主要包括机房和电源。

2.机房是放置核心路由器、交换机、服务器等核心设备，包括各建筑物中放置路由

器、交换机与布线设备间、配线间等场所；UPS系统需要具备稳压、供电电压与备用电源的智能管理能力。

3.网络操作系统：WindowsNTServer、Windows2000Server、NetWare、UNIX与

Linux

4.网络数据库管理系统：Sybase、Oracle、MSSQLServer与DB25.网络需求调研和系统设计基本原则：共5点（P31）

6.制定项目建设任务书后，确定网络信息系统建设任务后，项目承担单位首要任务

是网络用户调查和网络工程需求分析；需求分析是设计建设与运行网络系统的关键。

7.网络结点地理位置分布情况：用户数量及分布的位置、建筑物内部结构情况调查、

建筑物群情况调查。

8.网络需求详细分析主要包括：网络总体需求设计；综合布线需求设计；网络可用

性与可靠性分析；网络安全性需求分析；网络工程造价估算分析9.节点数目与层次需求标准：

4节点2-250节点100-500

可不设计接入层和汇聚层

可不设计接入层

节点250-5000一般需要3层结构设计

备注：节点可直接通过汇聚层的路由器或交换机接入。

10.核心层网络的技术标准主要是GE/10GE，核心设备是高性能交换路由器，连接

核心核路由器的是具有冗余链路的光纤。核心层网络一般承担整个网络流量的40%-60%。

11.服务器集群接入到核心路由器的两种设计方案的比较（P35）12.层次之间上联带宽：下联带宽一般控制在1：20

例：10个交换机，每个有24个接口，接口标准是10/100Mbps：那么上联带宽是24×100×10/20=1.2Gbps，留有一个余量后，大概是2Gbps。

13.高端路由器(背板大于40Gbps)高端核心路由器：支持MPLS（多协议标记交换）

协议等；中端路由器（背板小于40Gbps）企业级路由器：支持IPX、VINES等QoS、:多种协议，并支持防火墙、安全与VPN策略；低端路由器（背板小于40gbps）支持局域网、ADSL接入与PPP接入方式与协议。14.路由器关键技术指标：

（1）吞吐量（包转发能力）路由器的吞吐量与路由器的端口数量和速率、包类型、包长度关系密切。

（2）背板能力（决定吞吐量）背板：路由器（router）输入端和输出端的物理通道高性能路由采用交换式结构而传统路由采用共享背板结构。（3）丢包率（衡量路由器（router）超负荷工作性能）

（4）延时与延时抖动（延时：第一个字节进入路由到该帧最后一个字节离开路由器经历的时间）高速路由器一般要求长度为1518B的IP包，延时不大于1ms。

5注意:延时的变化量就是延时抖动。由于数据包对延时抖动要求不高，所以一般不把延时抖动作为衡量高速路由器的主要指标，但是语音、视频业务对延时抖动要求却较高。

（5）突发处理能力：以最小帧间隔发送数据包而不引起丢失的最大发送速率来衡量突发处理能力。（单位：速率）

（6）路由表容量（Internet要求执行BGP协议的路由器要存储数十万条路由表项，高速路由应支持至少25万条路由）

（7）服务质量（主要表现在队列管理机制、端口硬件队列管理和支持Qos协议上）（8）网管能力（9）可靠性与可用性

15.路由器冗余是为了保证设备的可靠性与可用性，具体表现在：接口冗余、电源冗

余、系统板冗余、时钟板冗余、整机设备冗余等方面。例：热拨插是为了保证路由器的可用性16.高端路由可靠性：

（1）无故障连续工作时间（MTBF）大于10万小时（2）系统故障恢复时间小于30min（3）主备切换时间小于50ms

（4）SDH和ATM接口自动保护切换时间小于50ms（5）部件有热拔插备份，线路备份，远程测试诊断（6）路由系统内不存在单故障点17.交换机分类：

从技术类型：（10mbpsEthernet交换机；fastEtherne交换机；1gbps的GE交换机）从内部结构：（固定端口交换机；模块式交换机又叫机架式交换机）18.交换机类别与支持的网络规模一览表：

6交换机级别企业级交换机部门级交换机工作组级交换机19.交换机技术指标：

采用的相关的交换机类型

模块式交换机

固定端口交换机/模块式交换机

固定端口交换机

节点数目

500个以上节点的大型应用300个以下节点的中型应用100个以下节点的小型应用

（1）背板带宽（输入端和输出端得物理通道）

（2）全双工端口带宽（计算：端口数×端口速率×2）（P40）（3）帧转发速率（4）机箱式交换机的扩张能力

（5）支持VLAN能力（基于端口、MAC地址或IP地址）缓冲区协调不同端口之间的速率匹配

20.按网络应用规模划分网络服务器（1）基础级服务器1个CPU（3）部门级服务器2-4个CPU

（2）工作组服务器1-2个CPU（4）企业级服务器4-8个CPU

21.基于复杂指令集（CISC）处理器的Intel结构的PC服务器：优点：配置简单且

通用性好，第三方软件支持丰富，系统维护方便，性价比高。缺点：CPU处理能力与系统I/O能力较差，不适合作为高并发应用和大型服务器。

22.基于精简指令集RISC结构处理器的服务器与相应PC机比：CPU处理能力提高

了50%-75%。大型，中型计算机和超级服务器都采用RISC结构处理器，操作系统采用UNIX，因此采用RISC结构处理器的服务器称UNIX服务器。23.服务器采用相关技术

（1）对称多处理（SMP）技术（多CPU服务器的负荷均衡）

（2）集群（Cluster）（把一组计算机组成共享数据存储空间；当服务器组中一台主机出现故障，该主机上运行的程序将立即转移到组内其他主机。）

7（3）非一致内存访问（NUMA）（结合SMPCluster用于多达64个或更多CPU的服务器）

（4）高性能存储与智能I/O技术（取决存取I/O速度和磁盘容量；采用RAID技术可提高磁盘的存取速度和吞吐量，也可以提高磁盘的容错能力）（5）服务处理器与Intel服务器控制（ISC）技术（6）应急管理端口（RMP）

（7）热拨插技术（热拨插功能可以实现用户在不断电的情况下进行故障硬盘、板卡等不见得更换。）24.网络服务器性能（1）运算处理能力

CPU内核：执行指令和处理数据

一级缓存：为CPU直接提供计算机所需要的指令与数据二级缓存：用于存储控制器，存储器，缓存检索表数据后端总线：连接CPU内核和二级缓存前端总线：互联CPU与主机芯片组

CPU50%定律：cpu1比cpu2服务器性能提高(M2-M1)/M1*50%其中M为主频（2）磁盘存储能力（磁盘性能参数：主轴转速；内部传输率，单碟容量，平均巡道时间；缓存）（3）系统高可用性=MTBFMTBFMTBR（MTBF为平均无故障时间；MTBR为平均修复时间）系统高可用性99.9%---------------每年停机时间小于等于8.8小时系统高可用性99.99%-------------每年停机时间小于等于53分钟系统高可用性99.999%-----------每年停机时间小于等于5分钟25.服务器选型的基本原则

8（1）根据不同的应用特点选择服务器（2）根据不同的行业特点选择服务器（3）根据不同的需求选择服务器的配置

26.信息传输安全过程的安全威胁（截取信息；窃听信息；篡改信息；伪造信息）27.网路攻击两种类型：服务攻击和非服务攻击

从黑客攻击手段上看分为8类：系统入侵类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务类攻击、防火墙攻击、病毒类攻击、木马程序攻击与后门攻击。网络防攻击研究主要解决的问题：（1）网络可能遭到哪些人的攻击（2）攻击类型与手段可能有哪些（3）如何及时检测并报告网络被攻击

（4）如何采取相应的网络安全策略与网络安全防护体系网络协议的漏洞是当今Internet面临的一个严重的安全问题

28.病毒基本类型划分为6种：引导型病毒；可执行文件病毒；宏病毒；混合病毒，

特洛伊木马病毒；Internet语言病毒（联网的微型机病毒的传播速度是单机的20倍，网络服务器消除病毒所花费的时间是单机的40倍）

29.网络系统安全必须包括3个机制：安全防护机制、安全检测机制与安全恢复机制30.网络系统安全设计原则：

（1）全局考虑原则（2）整体设计的原则（4）等级性原则

（3）有效性与实用性的原则

（5）自主性与可控性原则（6)安全有价原则

第3章IP地址规划技术1.IP地址是由网络号和主机号组成，长度为32bit（位），用点分十进制方法表示。

9一般把IP地址分为4个8位字段，每个8位位段用0~255之间的一个十进制表示。这些数之间用点（.）隔开，格式为×.×.×.×。

2.三级层次的IP地址：netID（网络号）-subnetID（子网号）-hostID（主机号）3.无类域间路由（CIDR）技术需要在提高IP地址利用率和减少主干路由器负荷两

个方面取得平衡

4.网络地址转换（NAT）最主要的应用是专用网，虚拟专用网，以及ISP为拨号用

户提供的服务，NAT更用应用于ISP，以节约IP地址5.IP地址分类（P57）

A类地址：1.0.0.0-127.255.255.255可用地址125个网络号7位B类地址：128.0.0.0-191.255.255.255网络号14位

C类地址：192.0.0.0-223.255.255.255网络号21位允许分配主机号254个D类地址：224.0.0.0-239.255.255.255组播地址E类地址：240.0.0.0-247.255.255.255保留6.特殊地址形式

直接广播地址：（与广播地址相同，主机号全是1（二进制））受限广播地址：255.255.255.255

网络上特定主机地址：（网络号全为0且主机号确定）回送地址：专用地址7.全局IP地址是需要申请的，专用IP地址是不需申请的

专用IP地址

类ABC地址范围10.0.0.0~10.255.255.255172.16.0.0~172.31.255.255192.168.0.0~192.168.255.25510总数1162568.子网掩码（简称掩码）的结构与形式跟IP地址一样，也由32位的二进制组成，

用点分十进制法表示。子网掩码与IP地址的对应关系是IP地址中网络号所在的位对应的子网掩码中的相应位为1，IP地址中主机号所在的位对应的子网掩码中的相应位为0。例：

网络号

主机号

IP地址：11000010110000000000001010000001子网掩码：11111111111111111111111111100000

网络号

子网号主机号

标准的C类地址的24位网络号是不变的，如果需要划分出6个子网，只能借用原8位主机号中的3位（23>6），该子网的主机号就剩下了5位。此例中子网掩码为255.255.255.224，该IP地址（194.192.2.129）所在的网络的网络号为194.192.2.128（子网掩码与IP地址做“逻辑与”运算的结果），主机号为1。子网掩码另一种表示方法：网络号/27

9.CIDR地址的一个重要的特点：地址聚合和路由聚合能力规划内部网络地址系统

的基本原则（1）简洁（2）便于系统的扩展与管理（3）有效的路由

10.A类、B类与C类IP地址中，主机号全为1的地址为广播地址，无类域间路由

中的广播地址采用同一原则。例：网络135.35.0.0/16的广播地址就是将16位的主机号置1，即135.35.255.255；网络135.35.0.0/28的广播地址就是将4位的主机号置1，即135.35.0.15。11.NAT方法的局限性（了解）

（1）违反了基本的网络分层结构模型的设计原则（2）违反IP地址结构模型的设计原则（3）NAT影响高层协议及其安全性

11（4）使得IP协议从面向无连接变成了面向连接（5）有些应用将IP插入正文内容12.IP地址规划基本步骤

（1）判断用户对网络数与主机数的需求（2）计算满足用户需求的基本网络地址结构（3）计算地址掩码（4）计算网络地址（5）计算网络广播地址（6）计算机网络的主机地址13.地址规划的基本方法（P63）（1）判断客户需求的网络数与主机数

依据网络总体设计中得到的物理拓扑设计参数，首先确定网络中最多可能使用的子网数量Nnet；然后确定网络中最大网段已有的和可能扩展到的主机数量Nhost。（2）满足用户需求的基本网络地址结构

①选择subnetID字段的长度值X，要求Nnet2X。

2【说明】如果子网数量Nnet=3，则由于243，所以取subnetID字段的长度值X为

2。

②选择hostID字段的长度值Y，要求Nhost2Y。

【说明】如果子网主机数量Nhost=20，则由于253220，所以取hostID字段的长度值Y为5。

注意：由于主机号全0,表示的是该网络的网络号，全1表示该网络的广播地址，所以hostID字段的长度值Y为5，最多可用的主机号只有25-230个。③根据X+Y的值可以确定需要申请的IP地址的种类

12注意：以上两个【说明】中的实例得到的X为2，Y为5，总长度为7，小于8bit,所以一个C类地址段就可以满足要求。否则，需要申请2个C类地址或一个B类地址。14.规划子网地址（应用题可能1小题）P6515.实训环节345（P67）

16.IPv6地址分为单播地址、组播地址、多播地址与特殊地址等四类。17.IPv6地址表示方法

IPv6的128位地址按每16位一段，每一段被转换为一个4位的十六进制数，并用冒号“：”隔开，这种表示法称为冒号十六进制表示法。形成冒号十六进制的步骤：

（1）用二进制格式表示128位的一个IPv6地址

（2）将这个128位的地址按每16位为一个位段，划分为8个位段（3）将每个位段转换成十六进制数，并用冒号“：”隔开

（4）若某个IPv6地址中出现多个连续的二进制数0，可以通过压缩某个位段中的前导0来简化IPv6地址的表示

（5）如果某个IPv6地址中包含了一长串0，在以冒号十六进制表示法表示时，可以将连续的位段值都为0的地方简写为“：：”

615A:0000：0000：0000：02EA:000F:FE0C:9C5B简写615A::2EA:000F:FE0C:9C5B例：

18.IPv6地址表示法需注意的问题

（1）使用零压缩法时，只能压缩前导0。不能把位段内的有效0压缩掉。例：AC04:A0：0：0：0：0：0：5不可以简写成AC4：A::5（2）双冒号“：：”只能出现一次

（3）Ipv6不支持子网掩码，它只支持前缀长度表示法

13第4章网络路由设计1.路由选择算法参数

（1）跳数（指一个分组从源结点到达目的结点经过的路由器的个数）（跳数越少的路径越好）

（2）带宽：（指链路的传输速率）

（3）延时：（源结点到目的结点所花费时间）（4）负载：（单位时间通过线路或路由的通信量）

（5）可靠性：（传输过程的误码率）（误码率越小，其可靠性越高）（6）开销：（传输耗费）与链路带宽有关2.算法特点：

（1）算法必须是正确，稳定和公平的（2）算法应该尽量简单

（3）算法必须能够适应网络拓扑和通信量的变化（4）算法应该是最佳的3.路由选择算法分类:

静态路由选择算法（非适应路由选择算法）

特点：简单开销小，但不能及时适应网络状态的变化（网络结构发生变化时，路由器无法自动地更新），由人工方式建立的。动态路由选择算法（自适应路由选择算法）

特点：较好适应网络状态的变化（当某个路由器出现故障时或某条链路中断时，动态路由选择协议就会自动更新所有路由器中的路由表），但实现复杂，开销大。4.IP路由选择与路由汇聚（P84）应用题5.路由选择协议：

14内部网关协议IGP

（1）路由信息协议RIP（一种分布式的、基于距离向量的路由协议）

RIP是内部网关协议使用得最广泛的一种协议。特点：协议简单，适合小的自治系统，跳数小于15

（2）开放最短路径优先协议OSPF（一种链路状态路由协议）

（3）中间系统到中间系统IS-IS（一个域内两个路由器之间传送分组提供动态路由）（4）内部网关路由协议IGRP（一种距离向量路由协议，Cisco公司私有协议））外部网关协议EGP（主要是边界网关协议BGP（采用路由向量协议））外部网关协议是不同自治系统的路由器之间交换路由信息的协议。6.内部网关协议（P89）选择题

7.开放最短路径优先（OSPF）协议特点:

（1）OSPF使用分布式链路状态协议（RIP使用距离向量协议）

OSPF要求路由发送本路由与哪些路由相邻和链路状态度量的信息（2）（RIP和OSPF都采用最短路径优先的指导思想，只是算法不同））OSPF的链路状态“度量”主要是指距离、费用、带宽、延时等。

（3）OSPF要求当链路状态发生变化时用洪泛法向所有路由发送此信息（RIP仅向相邻路由发送信息）

（4）OSPF使得所有路由建立链路数据库即全网拓扑结构（RIP不知道全网拓扑）（5）OSPF将一个自治系统划分若干个小的区域，为了提高路由更新时的收敛速度，每个区域有一个32位的区域标识符，在一个区域的路由器数不超过200个区域好处：洪泛法局限在区域，区域内部路由只知道内部全网拓扑，却不知道其他区域拓扑主干区域内部的路由器叫主干路由器（包括区域边界路由和自治系统边界路由）

158.注意：OSPF只是一个协议的名字，它并不意味着其他的路由选择协议不是“最

短路径优先”。实际上，所有在自治系统（AS）内部使用的路由选择目标都是找到最短路径。（最短路径算法SPF）

9.BGP-4采用了路由向量路由协议，每个自治系统要选择至少一个路由器作为自治

系统的“发言人”，一个BGP发言人与其他自治系统的发言人交换路由信息要先建立TCP连接10.BGP有4种分组类型：

（1）打开（open）分组：用来建立关系；

（2）更新（update）分组：用来通告可达路由和撤销无效路由；（3）保活（keepalive）分组：周期性地确保连接的有效性；（4）通告（notification）分组：用来发送检测到的差错。

11.两个BGP发言人彼此要周期性地（一般是每隔30秒）交换“保活分组”。“更新

分组”是BGP协议的核心。

第5章局域网技术1.交换机采用采用两种转发方式技术：快捷交换方式和存储转发交换方式2.虚拟局域网VLAN组网定义方法：（交换机端口号定义；MAC地址定义；网络层

地址定义；基于IP广播组）

3.综合布线系统组成：（工作区子系统；水平子系统；干线子系统；设备间子系统；

管理子系统；建筑物群子系统）P100

4.综合布线特点（优点）：（兼容性；开放性；灵活性；可靠性；先进性；经济性）

P101

5.综合布线的设计等级：

16（1）基本型综合布线系统：适用于综合布线系统中配置标准较低的场合，用铜芯双绞线电缆组网。

（2）增强型综合布线系统：适用于综合布线系统中配置标准中等的场合，用铜芯双绞线电缆组网。

（3）综合型综合布线系统：适用于综合布线系统中配置标准较高的场合，用铜芯双绞线电缆和光缆混合组网。6.综合布线系统标准：

（1）ANSI/TIA/EIA-568-A（北美标准）

（2）TIA/EIA-568-B.1、TIA/EIA-568-B.2和TIA/EIA-568-B.3标准（3）ISO/IEC11801（国际标准）

（4）GB/T50311-2000和GB/T50312-2000（国内标准）7.中继器工作在物理层8.中继器的特点

（1）只能对传输介质上的信号进行接收、放大、整形和转发；（2）只能增加传输距离，不会改变帧的结构和内容；（3）中继器不属于网络互联设备

9.10-BASE-2协议中规定细缆以太网（传输介质为细同轴电缆）站点间最长距离为

200m，每段节点数最大为30；10-BASE-5协议中规定粗缆以太网站点间最长距离为500m，每段节点数最大为100；

10.“5-4-3规则”：可以使用4个中继器以端到端的方式连接5个网段，但是只有其

中的3个网段可以连接主机（计算机）11.集线器的特点：

（1）以太网是典型的总线型结构

17（2）集线器工作在物理层，执行CSMA/CD介质访问控制方法，一个集线器上的所有节点共享一个冲突域。

（3）一个集线器有多个端口，网桥在数据链路层完成数据帧接受，转发与地址过滤功能，实现多个局域网的数据交换

补充知识点：①通过在网络链路中串接一个集线器可监听该链路中的数据包。②连接到一个集线器的多个节点不能同时发送数据帧，可以同时接收数据帧。

12.网桥工作在数据链路层，用来实现多个局域网之间的数据交换。在使用网桥实现

数据链路层的互联时，允许互联网的数据链路层和物理层协议的不同。网桥的最MAC地址表中记录不同节点的物理重要的维护工作是构建和维护MAC地址表，地址与网桥转发端口关系。13.网桥的主要特征：

（1）网桥能够互联两个采用不同数据链路层协议、不同传输介质与不同传输速率的网络。

（2）网桥以接收、存储、地址过滤与转发的方式实现互联的网络之间的通信。14.网桥分类：

（1）按照网桥的连接线路不同，分为普通局域网网桥、远程网桥和无线网桥（2）按照端口数不同，分为双端口网桥和多端口网桥（3）按照帧转发策略不同，分为透明网桥和源路由网桥15.透明网桥IEEE802.1d特点：

（1）每个网桥自己进行路由选择，局域网各结点不负责路由选择，网桥对互联局域网各结点是透明

（2）一般用于两个MAC层协议相同的网段之间的互联

16.帧转发速率低与广播风暴是网桥存在的两个主要问题；帧转发速率和帧过滤速率

18是评价网桥性能的主要参数。

17.交换机与网桥的不同主要表现在网桥通常是在一台典型的个人计算机上配置而

成，其内部只有一个CPU，通过软件方式完成网桥的接收、存储、地址过滤与转发等功能；交换机使用为帧转发设计的专用集成电路芯片ASIC，或采取多个CPU并发工作的计算机结构。网桥的端口是以共享存储空间方式来连接，而交换机则以硬件方式实现多个端口的并发连接。18.快速以太网（提高到100mbps）的物理层标准：

（1）100-BASE-TX使用2对5类非屏蔽双绞线，一对用于数据发送，另一对用于接收；采用4B/5B编码方式；采用全双工方式工作；最大网段长度为100m（2）100-BASE-FX使用2条光纤，一对用于数据发送，另一对用于接收；采用5B/5NRZI编码方式；采用全双工方式工作；最大网段长度为415m（3）100-BASE-T4使用4对3类非屏蔽（UTP）双绞线，3对用于数据发送，一对用于检测冲突信号；针对建筑物以及按结构化布线；采用8B/5T编码方式；采用半双工方式工作；最大网段长度为100m（快速以太网协议标准IEEE802.3U）

19.支持全双工模式的快速以太网的拓扑构型一定是星型

20.自动协商功能是为链路两端的设备选择10/100mbps与半双工/全双工模式中共有

的高性能工作模式，并在链路本地设备与远端设备之间激活链路；自动协商功能只能用于使用双绞线的以太网，并且规定过程需要500ms内完成21.自动协商的优先级顺序为：100BASE-TX或100BASE-FX全双工模式、

100BASE-T4、100BASE-TX半双工模式、10BASE-T全双工模式、10BASE-T半双工模式

22.综合布线系统（PDS）主要部件

19布线系统中采用的主要部件可以分为传输介质和连接设备两大类。（1）传输介质:综合布线系统中常用的传输介质为双绞线和光缆。

双绞线扭绞的目的是是对外的电磁辐射和遭受的外部电磁干扰减少到最小；双绞线可分为非屏蔽双绞线（UTP）和屏蔽双绞线（STP）；STP比非UTP要贵，而且对安装施工的要求较高，但是STP比UTP的抗电磁干扰能力好。

（2）连接设备:按照国际标准，综合布线采用的主要连接部件分为建筑群配线架（CD）、大楼主配线架（BD）、楼层配线架（FD）、转接点（TP）和通信引出端（TO）。23.综合布线系统子系统设计（1）建筑群子系统设计

建筑群子系统由两个及两个以上建筑物的电话、数据、电视系统组成一个建筑群综合布线系统，包括电缆、光缆和入楼处线缆上过流过压的电气保护设备等相关硬件。

建筑群通信线缆路由方式及特点

类型意义注意事项地下管道布线（最好）采用由耐腐蚀材料的管道，能对埋设管道需低于45cm，应电缆提供最好的机械保护，有效预留至少2个备用管道降低电缆受损维修风险直埋布线可保持建筑物的外貌电缆直埋处应距地面不少于60cm架空布线该方式安全性、保密性、灵活性较差，且影响美观，故不是理想的布线方式巷道布线可充分利用原有安全设施，且造价低20（2）设备间子系统

设备间室温应保持在10~27C,相对湿度保持在30%-80%（3）管理子系统（4）干线（垂直）子系统

干线子系统即建筑物主馈电缆，是综合布线的神经中枢。a.干线子系统的设计原则：

①应选择干线线缆最短、最合理、最安全和最经济的路由，应选择有盖的封闭通道敷设干线电缆

②干线电缆可采用点对点端接

③干线子系统中的主干线路总容量，应按照综合布线系统中语言和数据信息共享的原则确定

b.干线子系统的连接方法①点对点结合

最简单、最直接的线缆连接方法；优点：主干线路由上采用容量小、重量轻的电缆独立引线，没有其他配线的接续设备接入，发生故障容易判断和测试，有利于维护管理；缺点：主干电缆条数多、工程造价增加、占用干线通道空间较大，影响美观。②分支结合

优点：主干电缆条数较少、节省干线通道空间、工程造价较低；缺点：电缆容量过于集中，若电缆发生障碍，波及范围较大。（5）水平（配线）子系统设计

TO到FD之间的水平线缆最大长度不应超过90m（6）工作区子系统设计

工作区子系统指从终端设备出线到信息插座的整个区域。

21信息插座有嵌入式安装插座（暗座）、多介质信息插座（光纤和铜缆）和表面安装插座等类型

适配器的选用原则：

①当设备连接器采用不同于信息插座的连接器时，可选择专用电缆或适配器②在单一信息插座上进行两项服务时，宜采用一线两用器或“Y”形适配器③连接使用不同信号的数模转换或数据速率转换装置时，宜采用适配器

④水平子系统中选用的介质类别（电缆）与设备所需的介质类别（电缆）不同时，宜采用适配器（电缆类型不同）

第6章交换机及其配置1.局域网交换机（Switch）是一种基于MAC地址识别，完成转发数据帧功能的一

种网络连接设备。它工作在数据链路层，根据进入端口数据帧中的MAC地址进行数据帧的过滤、转发。

2.交换机作为汇聚中心，能将多台数据终端设备连接在一起，构成星状结构的网络。

与用集线器组成的共享式局域网不同，用交换机组成的网络称为交换式局域网。交换机局域网具有独占传输通道、独享信道带宽，同时允许多对站点进行通信、系统带宽等于所有带宽之和等特性。3.局域网交换机基本功能：

（1）建立和维护一个表示MAC地址与交换机端口对应关系的交换表（2）发送结点和接收结点之间建立一条虚连接【即发送方所连的交换机端口（源端口）到接收方所连的交换机端口（目的端口）之间建立虚连接】（3）完成数据帧的转发或过滤4.交换机的内容包括目的MAC地址及其所对应的交换机端口号和所在的虚拟子

22网。虚拟子网用VLANID号表示。

5.交换机采用Flood技术建立一个新的交换表项；交换机采用盖时间戳的方法刷新

交换表。

6.显示交换机命令：Cisco大中型交换机：showcamdynamic；小型交换机：show

mac-address-table7.交换机的交换结构

（1）软件执行交换结构(软件执行交换结构是借助CPU和RAM硬件环境，由特定的软件来完成数据帧交换的一种交换结构。先把数据帧由串行代码转换成并行代码，然后数据帧由并行代码转换成串行代码)特点：交换速度慢，交换机堆叠困难，交换机端口较多导致性能下降

（2）矩阵交换结构（完全由硬件完成，由输入、输出、交换矩阵和控制处理）优点：交换速度快、延时小、结构紧凑、矩阵交换实现相对简单；缺点：不易扩展、不利于管理

（3）总线交换结构（时分多路复用TDM技术）特点：性能好，便于堆叠扩展，易实现帧广播和监控管理，易实现多个输入对一个输出的帧传送的特点。

（4）共享存储器交换结构（无背板）优点：结构简单、易实现；缺点：在交换机端口数量和存储容量扩展到一定程度时，内存操作会产生延时；适合小型交换机8.交换机有静态交换和动态交换两种方式，动态交换模式有存储转发和直通，直通

交换模式又有快速转发交换和碎片丢弃交换总结说有3模式：

（1）快速转发（通常也称直通交换模式，交换机在接收数据帧时，一旦检测到6个字节（2个字节数）的目的地址就立即进行转发操作；不提供数据帧检错纠错，适合小型交换机采用）

236（2）碎片丢弃（又称无分段模式，通过判断数据帧的长度是否达到64字节来进行的，小于64字节的数据帧都经被将为冲突碎片，而任何大于64字节的数据帧都经被将为有效帧，进行转发；提前过滤冲突碎片，提高宽带利用率）

（3）存储转发（将接收到的整个数据帧保存在缓冲区中，然后进行循环冗余码校验检查，在对错误数据帧进行处理后，采取出数据帧的目的地址，进行转发操作。延时大，速度慢，可靠性高，可检错纠错，同时可以支持不同速率的端口，最为广泛应用）

堆叠交换机：2-10gbps6-8个堆叠数量有达16个的箱体模块化交换机：2-20个9.虚拟局域网（VLAN）是在交换式网络的基础上，将连接在网络中用户的终端设

备划分为多个逻辑工作组，每个逻辑工作组就是一个VLAN。（VLAN是一个网络设备或用户的逻辑组是一个独立的逻辑网络、单一的广播域，它可以不受实际交换机区段和用户所在物理位置的限制）该逻辑组的设定是在交换机中通过软件完成的。

10.VLAN技术特性：

（1）工作在数据链路层，即OSI参考模型的第二层。

（2）每个VLAN都是一个独立的逻辑网段，一个独立的广播域，VLAN中只能发送给这个VLAN内部的成员。

（3）每个VLAN都具有唯一的子网号。VLAN之间不能直接通信，必须通过路由器或第三层交换机功能完成

11.VLAN标识，IEEE802.1Q协议规定，VLANID（Vlan号）用12位（bit）表示，

4096个VLAN；1-1005是标准范围，1006-1024是保留范围，1025-4096支持（212）是扩展范围，其中1-1000是用于以太网。如思科交换机中，VLANname采用32个字符表示，可以是字母和数字。若创建一个VLAN时，没有给定名字，则系统

24按默认方式，自动给出命名，默认为VLAN00+VLANID，如VLANID为100，其默认VLAN名为VLAN00100

12.虚拟中继器（VLANTrunk）是在交换机与交换机之间、交换机与路由器之间存在

的物理链路上传输多个VLAN信息的一种技术；VLANTrunk的标准机制是帧标签；在交换设备之间实现Trunk功能，必须遵守相同的VLAN协议；以太网交换机中常用的IEEE802.1Q国际标准、ISL（思科私有）和IEEE802.10协议；其中IEEE802.1Q协议能使不同商家的交换设备互连在一起，并提供Trunk功能，因此得到广泛的应用。13.划分VLAN方法

（1）基于端口划分（静态划分，最通用）（2）基于MAC地址划分（动态的划分）（3）第三层协议类型或地址划分

14.根据生成树算法所制定的协议即称为生成树协议（STP）。生成树协议能够逻辑地

阻断网络中存在的冗余链路，以消除路径中的环路，并可以在活动路径出现故障时，重新激活冗余链路来恢复网络的连通，保证网络的正常工作。

15.目前应用最广泛的STP标准是IEEE802.1D，STP是一个二层链路管理协议。STP

运行在交换机和网桥设备上。在STP工作过程中要确定交换机冗余链路端口的工作状态，一些端口进入转发状态，另一些端口进入阻塞状态。其中被阻塞的端口仍然是一个激活的端口，但它只能接收和读取（网桥协议数据单元）BPDU而不能接收和转发数据帧。

16.配置BPDU最大为35字节。STP协议中进行生成树运算时，网桥的BridgeID包

括优先级和MAC地址两部分。MAC地址占后6个字节，优先级（值越小，优先级越高）占前2个字节；优先级的取值范围为0~61440，默认取值范围为32768

25优先级。若优先级值相同，MAC地址的值最小的被选为根网桥。例：A.00-d0-01-84-a7-e0

B.00-d0-02-85-a7-f0C.00-d0-03-86-a7-fa

→

确定根交换机为A

17.默认情况下，交换机每2秒定时（周期性）发送一次BPDU，当检测到网络拓扑

变化或故障发生时，也会发送新的BPDU，以及时进行生产树的更新。18.实训任务P134

第7章路由器及其配置1.路由器的硬件关键部件：

2.路由器工作在TCP/IP网络模型的网络层，对应于OSI网络参考模型的第三层，

因此，路由器也常称为网络层互连设备。

3.中央处理器（CPU）也称微处理器，它将直接影响路由器的路由表查找时间、吞

吐量和路由器的性能。

4.闪存（FlashMemory）是一种可擦写的、可编程类型的只读存储器（ROM）。负

26责保存路由器当前使用的操作系统影像文件和路由器的微码。保存的数据不会因为关机或路由器重启而丢失。

5.只读存储器（ROM）不能修改其中保存的内容，主要用来永久地保存路由器的开机诊断程序、引导程序和操作系统软件。6.随机存储器（RAM）【（内存）】是可读可写的存储器，保存的数据会因为关

机或路由器重启而丢失。

7.非易失性RAM（NVRAM）是一个可读可写的存储器，主要用于存储自动配置文

件或备份配置文件。通常存储量只有32KB~128KB,保存的数据不会因为关机或路由器重启而丢失。

8.路由器的接口主要有3种：局域网接口、广域网接口和路由器配置接口（路由器

AUX可以连接Modem，的配置接口有控制接口Console（RJ-45）和辅助接口AUX。用拨号的方式远程地对路由器进行配置）

路由器的接口编号规则：接口类型+模块编号+“/”+端口号，如FastEthernet1/1（可简写成f1/1）表示第1号模块的第1号快速以太网接口。

9.一般来说，权值越小，路由越佳。路由选择的核心就是确定下一跳路由器的IP

地址；路由表是路由选择的核心。

10.分组转发（分组交换）即沿找好的最佳路径传送信息分组。

11.分组转发思想：目的IP地址，全程不变；目的MAC地址，逐跳修改。（P162）12.路由表主要内容：目的网络地址、下一跳路由器地址、目的端口等信息和默认（缺

省）路由信息

缺省路由又称缺省网关，一般路由器的缺省网关是指向连往Internet出口的路由器13.

N种路由协议管理距离

27路由信息来源直接静态OSPFRIP14.路由器工作模式

管理距离01110120（1）用户模式：router>（不能对路由器的配置做任何修改）

（2）特权模式：router#（大多数用于测试网络、检查系统、查看和保存配置等，但不能对端口及网络协议进行配置。最常用操作包括管理系统时钟、进行错误检测、查看和保存配置文件、清除闪存、处理并完成路由器的冷启动等操作）

（3）全局配置模式：router（config）#（用户可以配置路由器的主机名、TFTP服务器、超级用户口令、静态路由、访问控制列表、IP记账和多点广播等）其他配置模式：Router#configureterminal

在全局配置模式下，进入接口配置模式Router(config)#intf0/1Router(config-if)#

在全局配置模式下，进入虚拟终端配置模式Router(config)#linevty015Router(config-line)#

在全局配置模式下，进入RIP路由协议配置模式Router(config)#routerripRouter(config-router)#

28（4）RXBOOT模式:>（恢复密码）

（5）设置（SETUP）模式：（新路由器第一次进行配置时）

在配置路由器远程登录口令时，路由器必须进入的工作模式是虚拟终端模式。

第8章无线局域网设备安装与调试1.常用无线标准：蓝牙标准、HiperLan标准和IEEE802.11标准2.蓝牙软件结构标准包括核心和应用协议栈两个部分3.蓝牙标准1.1版本的主要参数和技术指标（P207）4.HiperLAN欧洲应用无线标准之一HiperLAN/1和HiperLAN/2的特点：①均采用5GHz的射频频率

②HiperLAN/1上行速率可以达到20Mbps,HiperLAN/2上行速率可以达到54Mbps。5.HiperLAN/2网路中，移动终端（MT）通过接入点（AP）接入固定网，而MT与

AP之间的空中接口即由HiperLAN/2协议来定义。一个AP所覆盖的区域定义为一个小区，在室内一个小区的覆盖范围一般为30m，在室外一般为150m。6.HiperLAN/2主要技术特点：

高速数据传输（利用正交频率数字复用（OFDM）的调制技术来发射模拟信号）；面向连接；QoS支持；自动频率分配；安全性支持；移动性支持；网络与应用独立；功耗低

7.IEEE802.11定义了两种类型的设备：一种是无线节点，另一个称为无线接入点（提

供无线和有线网络之间的桥接）

8.IEEE802.11最初定义的三个物理层包括了两个扩频技术和一个红外传播规范。

IEEE802.11无线标准定义的传输速率是1Mbps和2Mbps，可以使用FHSS（调频

29扩频）和DSSS（直序扩频）技术，FHSS和DSSS技术在运行机制上是完全不同的，所以采用这两种技术的设备没有互操作性。IEEE802.11标准中，MAC层的CSMA/CA协议利用ACK信号避免冲突的发生。9.IEEE802.11协议种类P210

10.IEEE802.11b分为两种运作模式（点对点模式；基本模式）

11.点对点模式是无线网卡和无线网卡之间的通信方式，适用于小型的无线网络，最

多可连接256台PC；基本模式是IEEE802.11b最常用的方式，一个接入点最多可连接1024台PC（无线网卡）。

12.802.11b典型解决方案（对等解决方案；单接入点方案；多接入点方案；无线中

继方案；无线冗余方案；多蜂窝漫游工作方式【与移动电话相同，部署多个接入点，自动切换，服务器不中断】等）

13.无线局域网设计(需求调研；需求分析；初步设计；详细设计；执行和实施设计；

资料归档)

14.无线接入点也称无线AP,一般可以连接30台。

15.无线网桥有三种工作方式：点对点，点对多点，中继连接。无线网桥可以用于连

接两个或多个独立（不同）的网络段。

16.无线路由器包括网络地址转换（NAT）功能。（将两栋楼的局域网互连为一个逻

辑网络）具有三层功能。

17.天线分为室内天线和室外天线，无线天线对所接收或发送的信号进行增益（放大）18.Cisco公司的Aironet1100系列接入点设备主要是为企业办公环境而设计，主要用

于独立无线网络的中心点或无线网络和有线网络之间的连接点。它兼容IEEE802.11b和IEEE802.11g，Aironet1100系列接入点使用Cisco工作在2.4GHz频段。的IOS操作系统。

3019.在安装无线接入点之前，先向网络管理员询问以下信息，用于配置无线接入点（1）系统名

（2）简单网络管理协议（SNMP）集合名称以及SNMP文件属性。

（3）如果没有连接到DHCP服务器，则需要为接入点指定一个唯一的IP地址。（不能动态获取，必须静态设置）

（4）如果接入点与PC不在同一个子网内，则子网掩码和默认网关。（5）无线网络中对大小写敏感的服务集标识符（SSID）（区分字母大小写）SSID是客户端设备用来访问接入点（AP）的唯一标识。

第9章计算机网络环境及应用系统的安装与调试1.DNS服务器的基本配置包括正向查找区域、反向查找区域与资源记录的创建。2.转发器是网络上的DNS服务器，用于外部域名的DNS查询。3.DNS服务器本机的IP必须静态配置。

4.允许客户机在发生更改时动态更新其资源记录，对于频繁改变位置并使用DHCP

获取IP地址的DNS客户端，为减少对其资源记录的手动管理。

5.主机资源记录的生存时间（TTL）指记录被客户端查询到，存放在缓存中的持续

时间，默认值是3600秒。

6.DNS服务器中的根DNS服务器不需管理员手工配置。

7.通过DNS服务器监视对话框可以对DNS服务器进行简单测试与递归查询测试。

（了解）

8.使用nslookup命令可以测试正向和反向查找区域。9.清空DNS缓存(DNScache)的是ipconfig/flushdns（超纲）

3110.缺省情况下Windows2003系统没有安装DNS服务。11.DHCP工作原理（四次交互）。

12.添加排除时必须输入起始IP地址和结束IP地址。（不需MAC地址）13.新建作用域后必须激活才可为客户机分配地址。

14.地址租约期限决定客户机使用所获得IP地址的时间长短，最小可调整单位是分

钟，客户端自动续费。

15.保留是指DHCP服务器指派的永久地址租约，添加保留地址时需获得客户机的

MAC地址信息。可以使用排除地址范围。

16.在DHCP客户机的命令行窗口中，使用ipconfig/all命令，可以查看客户机获得的

IP地址及其他配置信息情况；在DHCP客户机的命令行中执行ipconfig/release命令，可以释放已经获得的地址租约；在DHCP客户机的命令行中执行ipconfig/renew命令，可以重新从DHCP服务器获得新的地址租约。17.建立Web站点时，必须为该站点指定一个主目录，也可以是虚拟子目录。18.Web站点必须设置网站的默认文档后才能自动打开“default.html”或“index.html”

等页面。

19.在网站的选项中的可设置网站的标识、连接限制以及启用日志记录格式。Web站

点可设置静态的IP地址或全选“全部未分配”。

20.目录安全选项可选择配置身份验证和访问控制、IP地址和域名限制、安全通信。21.使用IIS建立Web站点设置选项时性能选项，可设置影响带宽使用的属性及客户

端Web连接的数量。（无时间）

22.网站性能选项中，带宽限制该网站的可使用带宽。

23.测试所建立的网站的步骤（访问Web站点的方法）：①使用IP地址测试网站；②

使用域名测试网站。

3224.在IIS6.0中用虚拟服务器构建多个网站的方法；可以为服务器上的每个站点配置

唯一的标识或虚拟目录。标识包括：使用不同的主机头、使用不同的IP地址、使用非标准TCP端口号。

25.电子邮件系统的核心是邮件服务器。通常完整的电子邮件由两部分构成，第一部

分为信箱名，第二部分为服务器的域名，中间用@隔开。电子邮件系统使用的协议主要有：简单邮件传送协议（SMTP），该协议用于发送电子邮件，SMTP默认的TCP端口为25；邮局协议目前使用的是第三版本的邮局协议，即POP3协议，SMTP默认的TCP端口为110，用户使用POP3协议可访问并读取邮件服务器上Internet消息访问协议IMAP是用于客户端管理邮件服务器上邮件的的邮件信息；

协议，目前使用的版本是4，即IMAP4，默认的TCP端口为143。26.邮件系统工作过程：

（1）用户使用客户端软件创建新邮件；

（2）客户端软件使用SMTP（简单邮件传输协议）将邮件发到发送方的邮件服务器；（3）发送方的邮件服务器使用SMTP协议将邮件发送到接收方的邮件服务器，接收方的邮件服务器将收到的邮件存储在用户的邮箱中，等待用户处理；

（4）接收方的客户端通过POP3/IMAP4协议，从邮件服务器对邮件进行读取。27.E-mail服务器的管理配置：

（1）在快速设置向导中，输入新建用户的信息，包括用户名、域名及用户密码；系统除了创建信箱外，还会自动创建域，并可选择是否运行客户端并通过Webmail注册新邮箱。

（2）使用WinmailMailServer管理工具来管理邮件服务器

①Winmail邮件管理工具包括【系统设置】、【域名设置】、【用户和组】、【系统状态】和【系统日志】等项目；

33②【系统设置】可以对邮件服务器的系统参数进行设置，包括SMTP、邮件过滤、更改管理员密码等项目；

③【域名设置】可以增加新的域，用于构建虚拟邮件服务器、删除已有的域，还可以对域的参数进行修改，例如是否在本区域中自行注册新用户等；④【用户和组】可进行增删用户、修改用户的配置、管理用户等操作；（3）邮件交换机的配置

为了能够使其他邮件服务器将收件人为用户名@mail.abc.com的邮件转发到该邮件服务器。需要建立邮件路由，即在DNS服务器中建立邮件服务器主机记录和邮件交换器记录。

（4）测试E-mail服务器

①在Outlook中创建账号（非注册新邮箱）接收邮件服务器的类型可以为POP3、IMAP、HTTP②在Outlook中创建、发送并接收邮件

第10章网络安全技术1.网络安全基本要素（保密性；完整性；可用性；可鉴别性；不可否认性）2.4种攻击类型（截获信息；窃听信息；篡改信息；伪造信息）3.网络攻击：（服务攻击与非服务攻击）

（1）服务攻击（DOS）常被称为拒绝服务攻击，主要手段包括消耗网络带宽、消耗目标机器的计算资源、迫使目标机器缓冲区满、迫使系统和应用崩溃等。（SYN攻击是一种典型的拒绝服务攻击）

（2）非服务攻击：不针对某项应用服务，而是针对网络层等低协议进行的。源路由攻击和地址欺骗都属于这一类，非服务攻击更为隐蔽，是种更为危险的攻击手段

344.非授权访问是指存储在联网计算机中的信息或服务被未授权的网络用户非法使

用，或者被授权访问越权滥用。5.P2DR模型包括：

①策略Policy（网络安全策略一般包括总体安全策略和具体安全策略）策略是模型的核心。

②防护（预防措施）③检测

④响应（紧急响应和恢复处理【系统恢复和信息恢复】）

6.可信计算机系统评估准则（TCSEC）将计算机系统安全等级分为A、B、C、D这

4类，共有7级。即D、C1、C2、B1、B2、B3与A1。其中，D级系统的安全要求最低，A1级系统的安全要求最高。

D级系统属于非安全保护类，C类系统是它不能用于多用户环境下的重要信息处理。B类系统属于强制型安全保护系统，用户能定义访问控制要求的自主保护类型。即用户不能分配权限，只有管理员可以为用户分配。一般的UNIX系统通常能满足C2标准。7.

3种备份策略的比较完全备份

空间使用备份速度恢复速度

最多最慢最快

增量备份最少最快最慢

差异备份少于完全备份快于完全备份快于增量备份

完全备份：恢复速度最快空间使用最多备份速度最慢增量备份：恢复速度最慢空间使用最少备份速度最快、差异备份：中间性能

358.（1）冷备份：又叫离线备份恢复时间长，投资少

（2）热备份：又称在线备份很大的问题是数据的有效性和完整性，在备份时数据必须一致性，否则会导致数据不可用。

9.计算机病毒的主要特征：非授权可执行性；传染性；潜伏性；破坏性；隐蔽性；

可触发性；（P278）

10.计算机病毒分类:寄生方式（引导型病毒；文件型病毒；复合型病毒）按破坏性

（良性计算机病毒；恶性计算机病毒）

11.网络病毒特征：传播方式多样，传播速度更快；影响面更广；破坏性更强；难以

控制和根治；编写方式多样，病毒变种多，智能化，混合病毒12.恶意代码：

（1）蠕虫（计算机蠕虫是一个自我包含的程序或程序集，能够传播自身并拷贝自身）分为宿主计算机蠕虫和网络蠕虫

（2）木马（与病毒不同在于，木马没有自我复制功能的恶意程序）木马传播途径：通过电子邮件，软件下载，会话软件

13.根据防火墙的实现技术：可以将防火墙分为包过滤路由器、应用级网关、应用代

理和状态检测等

（目前市场上的主流防火墙，一般都是状态检测防火墙）

14.防火墙系统结构分为：包过滤路由器结构；双宿主主机结构；屏蔽主机体系结构；

屏蔽子网体系结构

15.加密技术：密码学包括密码编码学与密码分析，密码体制是密码学研究的主要内

容

16.现在密码学基本原则：一切密码属于密匙之中。在设计加密系统时，加密算法是

可以公开的，真正需要保密的是密钥

3617.猜测每10的六次方个密钥要用1微秒的时间

18.数据加密标准DES是最典型的对称加密算法，采用64位密钥长度，8位用于奇

偶校验，用户使用其中的56位非对称加密技术：对信息加密解密使用不同的密钥，用来加密的密钥是可以公开的，解密的密钥是用来保密的，又称公钥加密技术。

19.对称加密技术中N个用户之间进行通信加密，则需要N×（N-1）个密钥；不对称

加密技术中N个用户之间进行通信加密，仅需要2N个（N对）密钥。20.入侵检测系统（IDS）是对计算机和网络资源的恶意使用行为进行识别的系统。21.入侵检测技术有异常检测、误用检测以及两种方式的结合。

22.根据数据来源和系统结构的不同，入侵检测系统可以分为基于主机的入侵检测系

统（HIDS）和基于网络的入侵检测系统（NIDS）。

23.分布式入侵检测系统有层次式（存在单点失效）、协作式（存在单点失效）和对

等式（无单点失效）3种类型。

24.入侵防护系统（IPS）是将防火墙技术和入侵检测技术进行整合并采用In-line的

工作模式的系统。

25.入侵防护系统主要包括嗅探器、日志系统、检测分析组件、状态开关、策略执行

组件和控制台6个部分。26.入侵防护系统的主要分类：

（1）基于主机的入侵防护系统（HIPS）可以监视内核的系统调用。

（2）基于网络的入侵防护系统（NIPS）一般串联于防火墙与路由器之间，对攻击的误报（漏报不会）会导致合法的通信被阻断。

（3）应用入侵防护系统（AIPS）能够阻断SQL注入、缓冲区溢出、畸形数据包、cookie篡改、参数篡改以及其他已知漏洞攻击。

3727.磁盘阵列有多个级别，称为RAID级别，目前主要有RAID0、RAID1、RAID3、

RAID5等，也可以几种独立方式组合，如RAID10就是RAID0和RAID1的组合。磁盘阵列需要磁盘阵列控制器，RAID控制器的磁盘接口通常是SCSI，不过目前也有一些RAID阵列卡提供IDE接口。

28.网络版防病毒系统通常包括系统中心（核心）、服务器端、客户端和管理控制台。29.管理控制台既可以安装到服务器上也可以安装在客户机上。

30.对于绝大多数网络版防病毒系统，服务器端和客户端都可以采用本地安装、远程

安装、Web安装和脚本安装这几种方式进行安装。31.控制台的安装有通过光盘安装和远程安装两种方式。32.网络版防病毒系统的主要参数配置：

（1）扫描设置一般包括文件类型、扫描病毒类型、优化选项、发现病毒后的处理方式、清除病毒失败后的处理方式、杀毒结束后的处理方式和病毒隔离系统的设置。（2）网络版防病毒系统升级方式：①从网站升级

②从上级中心升级

③从网站下载手动升级包

（3）在黑白名单设置中，可以指定允许或禁止在系统中心注册的IP地址。（4）为了使网络版防病毒软件的通信数据能顺利的通过防火墙，通常系统都会提供用于数据通信端口设置的界面。（非固定端口）33.CiscoPIX525防火墙访问管理模式：①非特权模式

PIX防火墙开机自检后，就是处于这种模式。系统显示为“pixfirewall>”。②特权模式

输入“enable”进入特权模式，也可以改变当前配置。系统显示为“pixfirewall#”。③配置模式

38输入“configureterminal”进入此模式，绝大部分的系统配置都在这里进行。系统显示为“pixfirewall(config)#”。④监视模式

在PIX防火墙在开机或重启过程中，按住Escape键或发送一个“Break”字符，即可进入监视模式，这里可以更新操作系统映像和进行口令恢复。显示为“monitor>”。34.PIX防火墙有6个基本配置命令：nameif、interface、ipaddress、nat、global、route。①nameif：用于配置防火墙接口的名字，并指定安全级别配置示例：

pix525(config)#nameifethernet0outsidesecurity0pix525(config)#nameifethernet1insidesecurity100pix525(config)#nameifdmzsecurity50

注意：在默认配置中，以太网0端口被命名为外部接口（outside），安全级别是0；以太网1端口被命名为内部接口（inside），安全级别是100。安全级别取值范围为1~99，数字越大安全级别越高。

②interface：配置以太网接口工作状态，常用的状态有auto、100full、shutdown等③ipaddress：配置内外网卡的IP地址④nat：指定要进行转换的内部地址⑤global：指定外部地址范围

⑥route：设置指定内网和外网的静态路由35.PIX525防火墙高级配置：

①static：配置静态IP地址翻译，static命令用于创建内部IP地址和外部IP地址之间的静态映射。

②conduit：管道命令（用来允许数据流从具有较低安全级别的接口流向具有较高安

39全级别的接口）

③fixup：配置FIXUP协议，fixup命令用于启动或禁止一种服务或协议的配置。

第11章网络管理技术1.网络管理系统组成P308和网络管理功能P309（了解）

2.SNMP采用分布式结构，一个管理站可以管理、控制多个代理，一个代理也可以被多个管理站所管理、控制。SNMP定义了管理进程和代理进程之间的关系，这个关系称为团体（community）。

3.MIB-2库中计数器（counter）类型的值只能增加不能减少；MIB-2库中计量器类

型的值可以增加也可以减少。

4.Cisco的管理对象标识符（OID）都是由1.3.6.1.4.1.9开头的。

5.SNMP支持的操作主要有：获取（Get）【用于管理站向代理查询被管理设备上的

MIB库数据，分为Get和GetNext两个操作】、设置（Set）【用于管理站命令代理对被管理设备上MIB库中的对象值进行设置】、通知（Notification）【用于代理主动向管理站报告被管理对象的某些变化。该操作又可以分为自陷（Trap）和通知（Inform）两类】

6.CMIP还规定了管理站和代理之间的通信机制。通信方式主要有两种：轮询

（polling）和事件报告。7.SNMP和CMIP的区别：

（1）在适用范围方面，SNMP适用于小型网络系统（成本低，效率高），如企业内部网络管理；CMIP适用于大型网络系统，如电信网络管理

（2）在传输要求方面，SNMP基于无连接的UDP协议，CMIP使用面向连接的传

40输协议（TCP）。

（3）在信息组织方面，SNMP采用简单变量表示管理对象，CMIP采用面向对象的信息建模方式。

（4）在信息获取方面，SNMP主要采用轮询方式主动获取信息，CMIP主要采用报告方式被动获取信息。

8.ICMP工作在物理层，用于在IP主机、路由器之间传递控制信息和差错报告。9.当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情

况时，会自动发送ICMP消息。我们可以通过ping命令发送ICMP回应请求消息并记录收到ICMP回应回复消息，通过这些消息来对网络或主机的故障诊断提供参考依据。所以ping命令的执行过程实际上就是运用ICMP工作的过程。还有其他的网络命令，如跟踪路由的trace命令也是基于ICMP命令的。ICMP消息被封装在IP数据包内，通过IP传送的ICMP消息主要是涉及错误操作的报告和回送给源结点的关于IP数据包处理情况的消息。

10.pathping命令可以用于检测本机配置的域名服务器是否工作正常。11.收集故障信息：

（1）该计算机使用真实IP地址

（2）该计算机能够使用域名访问自己校园网的WWW服务器（内网、DNS）（3）该计算机与校园网的WWW服务器不在同一个网段（VLAN）（网关）（4）在同一网段的其他计算机能正常访问www.mircosoft.com12.开展故障测试P33213.常见的网络攻击方法：（1）口令入侵

41（2）拒绝服务攻击（Dos）即攻击者通过发送大量合法的请求或数据来占用和消耗过多的服务资源，使得网络服务不能响应正常请求。常见的Dos攻击有：

①死亡之ping（pingofDeath）

②SYN洪泛滥（SYNFlooding）是利用TCP连接的三次握手过程进行攻击。③Smurf攻击（大量主机收到ICMP）④分布式拒绝服务攻击（DDos）

⑤Teardrop攻击指利用OS处理分片重叠报文的漏洞进行攻击。⑥Land攻击

（3）木马攻击（C/S结构，不自身复制）（4）缓冲区溢出攻击

（5）漏洞攻击（比较典型的漏洞入侵有：SQL注入入侵、跨站脚本入侵、Unicode漏洞入侵等）网络防火墙不能够阻挡漏洞攻击

（6）协议欺骗攻击（常见的协议欺骗攻击有：ARP欺骗攻击、IP欺骗攻击、DNS欺骗攻击【引导用户访问一个错误的站点】、源路由欺骗攻击）14.漏洞扫描分为两种：被动扫描和主动扫描15.常见的漏洞扫描工具（1）ISS扫描器（主动扫描）

①互联网扫描器（InternetScanner）[网络设备]②系统扫描器（SystemScanner）[基于主机]③数据库扫描器（DatabaseScanner）

（2）MBSA（微软公司提供的免费安全评估工具）（3）X-Scanner（采用多线程方式）

42