2023年網(wǎng)絡(luò)工程師基礎(chǔ)知識_第1頁
2023年網(wǎng)絡(luò)工程師基礎(chǔ)知識_第2頁
2023年網(wǎng)絡(luò)工程師基礎(chǔ)知識_第3頁
2023年網(wǎng)絡(luò)工程師基礎(chǔ)知識_第4頁
2023年網(wǎng)絡(luò)工程師基礎(chǔ)知識_第5頁
已閱讀5頁,還剩137頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

網(wǎng)絡(luò)工程師應(yīng)當(dāng)掌握的44個路由器問題什么時候使用多路由協(xié)議?當(dāng)兩種不同的路由協(xié)議要互換路由信息時,就要用到多路由協(xié)議。當(dāng)然,路由再分派也可以互換路由信息。下列情況不必使用多路由協(xié)議:從老版本的內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol,IGP)升級到新版本的IGP。你想使用另一種路由協(xié)議但又必須保存本來的協(xié)議。你想終止內(nèi)部路由,以免受到其他沒有嚴(yán)格過濾監(jiān)管功能的路由器的干擾。你在一個由多個廠家的路由器構(gòu)成的環(huán)境下。什么是距離向量路由協(xié)議?距離向量路由協(xié)議是為小型網(wǎng)絡(luò)環(huán)境設(shè)計的。在大型網(wǎng)絡(luò)環(huán)境下,這類協(xié)議在學(xué)習(xí)路由及保持路由將產(chǎn)生較大的流量,占用過多的帶寬。假如在90秒內(nèi)沒有收到相鄰站點發(fā)送的路由選擇表更新,它才認(rèn)為相鄰站點不可達(dá)。每隔30秒,距離向量路由協(xié)議就要向相鄰站點發(fā)送整個路由選擇表,使相鄰站點的路由選擇表得到更新。這樣,它就能從別的站點(直接相連的或其他方式連接的)收集一個網(wǎng)絡(luò)的列表,以便進(jìn)行路由選擇。距離向量路由協(xié)議使用跳數(shù)作為度量值,來計算到達(dá)目的地要通過的路由器數(shù)。例如,RIP使用Bellman-Ford算法擬定最短途徑,即只要通過最小的跳數(shù)就可到達(dá)目的地的線路。最大允許的跳數(shù)通常定為15。那些必須通過15個以上的路由器的終端被認(rèn)為是不可到達(dá)的。距離向量路由協(xié)議有如下幾種:IPRIP、IPXRIP、AppleTalkRTMP和IGRP。什么是鏈接狀態(tài)路由協(xié)議?鏈接狀態(tài)路由協(xié)議更適合大型網(wǎng)絡(luò),但由于它的復(fù)雜性,使得路由器需要更多的CPU資源。它可以在更短的時間內(nèi)發(fā)現(xiàn)已經(jīng)斷了的鏈路或新連接的路由器,使得協(xié)議的會聚時間比距離向量路由協(xié)議更短。通常,在10秒鐘之內(nèi)沒有收到鄰站的HELLO報文,它就認(rèn)為鄰站已不可達(dá)。一個鏈接狀態(tài)路由器向它的鄰站發(fā)送更新報文,告知它所知道的所有鏈路。它擬定最優(yōu)途徑的度量值是一個數(shù)值代價,這個代價的值一般由鏈路的帶寬決定。具有最小代價的鏈路被認(rèn)為是最優(yōu)的。在最短途徑優(yōu)先算法中,最大也許代價的值幾乎可以是無限的。假如網(wǎng)絡(luò)沒有發(fā)生任何變化,路由器只要周期性地將沒有更新的路由選擇表進(jìn)行刷新就可以了(周期的長短可以從30分鐘到2個小時)。鏈接狀態(tài)路由協(xié)議有如下幾種:IPOSPF、IPXNLSP和IS-IS。一個路由器可以既使用距離向量路由協(xié)議,又使用鏈接狀態(tài)路由協(xié)議嗎?可以。每一個接口都可以配置為使用不同的路由協(xié)議;但是它們必須可以通過再分派路由來互換路由信息。(路由的再分派將在本章的后面進(jìn)行討論。)2、什么是訪問表?訪問表是管理者加入的一系列控制數(shù)據(jù)包在路由器中輸入、輸出的規(guī)則。它不是由路由器自己產(chǎn)生的。訪問表可以允許或嚴(yán)禁數(shù)據(jù)包進(jìn)入或輸出到目的地。訪問表的表項是順序執(zhí)行的,即數(shù)據(jù)包到來時,一方面看它是否是受第一條表項約束的,若不是,再順序向下執(zhí)行;假如它與第一條表項匹配,無論是被允許還是被嚴(yán)禁,都不必再執(zhí)行下面表項的檢查了。每一個接口的每一種協(xié)議只能有一個訪問表。支持哪些類型的訪問表?一個訪問表可以由它的編號來擬定。具體的協(xié)議及其相應(yīng)的訪問表編號如下:◎IP標(biāo)準(zhǔn)訪問表編號:1~99◎IP擴(kuò)展訪問表編號:100~199◎IPX標(biāo)準(zhǔn)訪問表編號:800~899◎IPX擴(kuò)展訪問表編號:1000~1099◎AppleTalk訪問表編號:600~699提醒在CiscoIOSRelease11.2或以上版本中,可以用有名訪問表擬定編號在1~199的訪問表。如何創(chuàng)建IP標(biāo)準(zhǔn)訪問表?一個IP標(biāo)準(zhǔn)訪問表的創(chuàng)建可以由如下命令來完畢:Access-listaccesslistnumber{permit|deny}source[source-mask]在這條命令中:◎accesslistnumber:擬定這個入口屬于哪個訪問表。它是從1到99的數(shù)字?!騪ermit|deny:表白這個入口是允許還是阻塞從特定地址來的信息流量?!騭ource:擬定源IP地址?!騭ource-mask:擬定地址中的哪些比特是用來進(jìn)行匹配的。假如某個比特是"1",表白地址中該位比特不用管,假如是"0"的話,表白地址中該位比特將被用來進(jìn)行匹配??梢允褂猛ㄅ浞韵率且粋€路由器配置文獻(xiàn)中的訪問表例子:Router#showaccess-listsStandardIPaccesslist1deny204.59.144.0,wildcardbits0.0.0.255ermitany3、什么時候使用路由再分派?路由再分派通常在那些負(fù)責(zé)從一個自治系統(tǒng)學(xué)習(xí)路由,然后向另一個自治系統(tǒng)廣播的路由器上進(jìn)行配置。假如你在使用IGRP或EIGRP,路由再分派通常是自動執(zhí)行的。4、什么是管理距離?管理距離是指一種路由協(xié)議的路由可信度。每一種路由協(xié)議按可靠性從高到低,依次分派一個信任等級,這個信任等級就叫管理距離。對于兩種不同的路由協(xié)議到一個目的地的路由信息,路由器一方面根據(jù)管理距離決定相信哪一個協(xié)議。5、如何配置再分派?在進(jìn)行路由再分派之前,你必須一方面:1)決定在哪兒添加新的協(xié)議。2)擬定自治系統(tǒng)邊界路由器(ASBR)。3)決定哪個協(xié)議在核心,哪個在邊界。4)決定進(jìn)行路由再分派的方向??梢允褂靡韵旅钤俜峙陕酚筛拢ㄟ@個例子是針對OSPF的):router(config-router)#redistributeprotocol[process-id][metricmetric-value][metric-typetype-value][subnets]在這個命令中:◎protocol:指明路由器要進(jìn)行路由再分派的源路由協(xié)議。重要的值有:bgp、eqp、igrp、isis、ospf、static[ip]、connected和rip。◎process-id:指明OSPF的進(jìn)程ID?!騧etric:是一個可選的參數(shù),用來指明再分派的路由的度量值。缺省的度量值是0。6、為什么擬定毗鄰路由器很重要?在一個小型網(wǎng)絡(luò)中擬定毗鄰路由器并不是一個重要問題。由于當(dāng)一個路由器發(fā)生故障時,別的路由器可以在一個可接受的時間內(nèi)收斂。但在大型網(wǎng)絡(luò)中,發(fā)現(xiàn)一個故障路由器的時延也許很大。知道毗鄰路由器可以加速收斂,由于路由器可以更快地知道故障路由器,由于hello報文的間隔比路由器互換信息的間隔時間短。使用距離向量路由協(xié)議的路由器在毗鄰路由器沒有發(fā)送路由更新信息時,才干發(fā)現(xiàn)毗鄰路由器已不可達(dá),這個時間一般為10~90秒。而使用鏈接狀態(tài)路由協(xié)議的路由器沒有收到hello報文就可發(fā)現(xiàn)毗鄰路由器不可達(dá),這個間隔時間一般為10秒鐘。距離向量路由協(xié)議和鏈接狀態(tài)路由協(xié)議如何發(fā)現(xiàn)毗鄰路由器?使用距離向量路由協(xié)議的路由器要創(chuàng)建一個路由表(其中涉及與它直接相連的網(wǎng)絡(luò)),同時它會將這個路由表發(fā)送到與它直接相連的路由器。毗鄰路由器將收到的路由表合并入它自己的路由表,同時它也要將自己的路由表發(fā)送到它的毗鄰路由器。使用鏈接狀態(tài)路由協(xié)議的路由器要創(chuàng)建一個鏈接狀態(tài)表,涉及整個網(wǎng)絡(luò)目的站的列表。在更新報文中,每個路由器發(fā)送它的整個列表。當(dāng)毗鄰路由器收到這個更新報文,它就拷貝其中的內(nèi)容,同時將信息發(fā)向它的鄰站。在轉(zhuǎn)發(fā)路由表內(nèi)容時沒有必要進(jìn)行重新計算。注意使用IGRP和EIGRP的路由器廣播hello報文來發(fā)現(xiàn)鄰站,同時像OSPF同樣互換路由更新信息。EIGRP為每一種網(wǎng)絡(luò)層協(xié)議保存一張鄰站表,它涉及鄰站的地址、在隊列中檔待發(fā)送的報文的數(shù)量、從鄰站接受或向鄰站發(fā)送報文需要的平均時間,以及在擬定鏈接斷開之前沒有從鄰站收到任何報文的時間。7、什么是自治系統(tǒng)?一個自治系統(tǒng)就是處在一個管理機(jī)構(gòu)控制之下的路由器和網(wǎng)絡(luò)群組。它可以是一個路由器直接連接到一個LAN上,同時也連到Internet上;它可以是一個由公司骨干網(wǎng)互連的多個局域網(wǎng)。在一個自治系統(tǒng)中的所有路由器必須互相連接,運營相同的路由協(xié)議,同時分派同一個自治系統(tǒng)編號。自治系統(tǒng)之間的鏈接使用外部路由協(xié)議,例如BGP。8、什么是BGP?BGP(BorderGatewayProtocol)是一種在自治系統(tǒng)之間動態(tài)互換路由信息的路由協(xié)議。一個自治系統(tǒng)的經(jīng)典定義是在一個管理機(jī)構(gòu)控制之下的一組路由器,它使用IGP和普通度量值向其他自治系統(tǒng)轉(zhuǎn)發(fā)報文。在BGP中使用自治系統(tǒng)這個術(shù)語是為了強(qiáng)調(diào)這樣一個事實:一個自治系統(tǒng)的管理對于其他自治系統(tǒng)而言是提供一個統(tǒng)一的內(nèi)部選路計劃,它為那些通過它可以到達(dá)的網(wǎng)絡(luò)提供了一個一致的描述。9、BGP支持的會話種類?BGP相鄰路由器之間的會話是建立在TCP協(xié)議之上的。TCP協(xié)議提供一種可靠的傳輸機(jī)制,支持兩種類型的會話:o外部BGP(EBGP):是在屬于兩個不同的自治系統(tǒng)的路由器之間的會話。這些路由器是毗鄰的,共享相同的介質(zhì)和子網(wǎng)。o內(nèi)部BGP(IBGP):是在一個自治系統(tǒng)內(nèi)部的路由器之間的會話。它被用來在自治系統(tǒng)內(nèi)部協(xié)調(diào)和同步尋找路由的進(jìn)程。BGP路由器可以在自治系統(tǒng)的任何位置,甚至中間可以相隔數(shù)個路由器。注意"初始的數(shù)據(jù)流的內(nèi)容是整個BGP路由表。但以后路由表發(fā)生變化時,路由器只傳送變化的部分。BGP不需要周期性地更新整個路由表。因此,在連接已建立的期間,一個BGP發(fā)送者必須保存有當(dāng)前所有同級路由器共有的整個BGP路由表。BGP路由器周期性地發(fā)送KeepAlive消息來確認(rèn)連接是激活的。當(dāng)發(fā)生錯誤或特殊情況時,路由器就發(fā)送Notification消息。當(dāng)一條連接發(fā)生錯誤時,會產(chǎn)生一個notificat(yī)ion消息并斷開連接。"-來自RFC11654、BGP操作。10、BGP允許路由再分派嗎?允許。由于BGP重要用來在自治系統(tǒng)之間進(jìn)行路由選擇,所以它必須支持RIP、OSPF和IGRP的路由選擇表的綜合,以便將它們的路由表轉(zhuǎn)入一個自治系統(tǒng)。BGP是一個外部路由協(xié)議,因此它的操作與一個內(nèi)部路由協(xié)議不同。在BGP中,只有當(dāng)一條路由已經(jīng)存在于IP路由表中時,才干用NETWORK命令在BGP路由表中創(chuàng)建一條路由。11、如何顯示在數(shù)據(jù)庫中的所有BGP路由?要顯示數(shù)據(jù)庫中的所有BGP路由,只需在EXEC命令行下輸入:showipbgppaths這個命令的輸出也許是:AddressHashRefcountMetricPat(yī)h0x297A9C020i12、什么是水平分割?水平分割是一種避免路由環(huán)的出現(xiàn)和加快路由匯聚的技術(shù)。由于路由器也許收到它自己發(fā)送的路由信息,而這種信息是無用的,水平分割技術(shù)不反向通告任何從終端收到的路由更新信息,而只通告那些不會由于計數(shù)到無窮而清除的路由。13、路由環(huán)是如何產(chǎn)生的?由于網(wǎng)絡(luò)的路由匯聚時間的存在,路由表中新的路由或更改的路由不可以不久在全網(wǎng)中穩(wěn)定,使得有不一致的路由存在,于是會產(chǎn)生路由環(huán)。14、什么是度量值?度量值代表距離。它們用來在尋找路由時擬定最優(yōu)路由。每一種路由算法在產(chǎn)生路由表時,會為每一條通過網(wǎng)絡(luò)的途徑產(chǎn)生一個數(shù)值(度量值),最小的值表達(dá)最優(yōu)途徑。度量值的計算可以只考慮途徑的一個特性,但更復(fù)雜的度量值是綜合了途徑的多個特性產(chǎn)生的。一些常用的度量值有:◎跳步數(shù):報文要通過的路由器輸出端口的個數(shù)。◎Ticks:數(shù)據(jù)鏈路的延時(大約1/18每秒)?!虼鷥r:可以是一個任意的值,是根據(jù)帶寬,費用或其他網(wǎng)絡(luò)管理者定義的計算方法得到的?!驇挘簲?shù)據(jù)鏈路的容量?!驎r延:報文從源端傳到目的地的時間長短?!蜇?fù)載:網(wǎng)絡(luò)資源或鏈路已被使用的部分的大小。◎可靠性:網(wǎng)絡(luò)鏈路的錯誤比特的比率?!蜃畲髠鬏攩卧∕TU):在一條途徑上所有鏈接可接受的最大消息長度(單位為字節(jié))。IGRP使用什么類型的路由度量值?這個度量值由什么組成?IGRP使用多個路由度量值。它涉及如下部分:◎帶寬:源到目的之間最小的帶寬值?!驎r延:途徑中積累的接口延時?!蚩煽啃裕涸吹侥康闹g最差的也許可靠性,基于鏈路保持的狀態(tài)?!蜇?fù)載:源到目的之間的鏈路在最壞情況下的負(fù)載,用比特每秒表達(dá)。◎MTU:途徑中最小的MTU值15、度量值可以修改或調(diào)整嗎?加一個正的偏移量。這個命令的完整結(jié)構(gòu)如下:可以使用OFFSET-LISTROUTER子命令為訪問表中的網(wǎng)絡(luò)輸入和輸出度量值添加一個正的偏移量。offset-list{in|out}offset[access-list]nooffset-list{in|out}offset[access-list]假如參數(shù)LIST的值是0,那么OFFSET參數(shù)將添加到所有的度量值。假如OFFSET的值是0,那么就沒有任何作用。對于IGRP來說,偏移量的值只加屆時延上。這個子命令也合用于RIP和hello路由協(xié)議。使用帶適當(dāng)參數(shù)的NOOFFSET-LIST命令可以清除這個偏移量。在以下的例子中,一個使用IGRP的路由器在所有輸出度量值的時延上加上偏移量10:offset-listout10下面是一個將相同的偏移量添加到訪問表121上的例子:offset-listout1012116、每個路由器在尋找路由時需要知道哪五部分信息?所有的路由器需要如下信息為報文尋找路由:◎目的地址:報文發(fā)送的目的主機(jī)。◎鄰站的擬定:指明誰直接連接到路由器的接口上。◎路由的發(fā)現(xiàn):發(fā)現(xiàn)鄰站知道哪些網(wǎng)絡(luò)?!蜻x擇路由:通過從鄰站學(xué)習(xí)到的信息,提供最優(yōu)的(與度量值有關(guān))到達(dá)目的地的途徑?!虮3致酚尚畔?路由器保存一張路由表,它存儲所知道的所有路由信息。17、Cisco路由器支持的路由協(xié)議與其他廠家設(shè)備的協(xié)議兼容嗎?除了IGRP和EIGRP,Cisco路由器支持的所有路由協(xié)議都與其他廠家實現(xiàn)的相同協(xié)議兼容。IGRP和EIGRP是Cisco的專利產(chǎn)品。18、RIP路由表的表項的信息說明了什么?RIP路由表的每一個表項都提供了一定的信息,涉及最終目的地址、到目的地的下一跳地址和度量值。這個度量值表達(dá)成目的終端的距離(跳步數(shù))。其他的信息也可以涉及。路由器問題補充:1、Cisco3600系列路由器目前是否支持廣域網(wǎng)接口卡WIC-2T和WIC-2A/S?Cisco3600系列路由器在12.007XK及以上版本支持WIC-2T和WIC-2A/S這兩種廣域網(wǎng)接口卡。但是需要注意的是:只有快速以太網(wǎng)混合網(wǎng)絡(luò)模塊可以支持這兩種廣域網(wǎng)接口卡。支持這兩種接口卡的網(wǎng)絡(luò)模塊如下所示:NM-1FE2W,NM-2FE2W,NM-1FE1R2W,NM-2W。而以太網(wǎng)混合網(wǎng)絡(luò)模塊不支持,如下所示:NM-1E2W,NM-2E2W,NM1E1R2W。19、Cisco3600系列路由器的NM(4A/S,NM(8A/S網(wǎng)絡(luò)模塊和WIC(2A/S廣域網(wǎng)接口卡支持的最大異/同步速率各是多少?這些網(wǎng)絡(luò)模塊和廣域網(wǎng)接口卡既可以支持異步,也可以支持同步。支持的最大異步速率均為115.2Kbps,最大同步速率均為128Kbps。20、WIC-2T與WIC-1T的電纜各是哪種?WIC-1T:DB60轉(zhuǎn)V35或RS232、449等電纜。如:CAB-V35-MT。WIC-2T:SMART型轉(zhuǎn)V35或RS232、449等電纜。如:CAB-SS-V35-MT。21、Cisco7000系列上的MCE1與Cisco2600/3600上的E1、CE1有什么區(qū)別?Cisco7000上的MCE1可配置為E1、CE1,而Cisco2600/3600上的E1、CE1僅支持自己的功能。22、Cisco2600系列路由器,是否支持VLAN間路由,對IOS軟件有何需求?Cisco(2600系列路由器中,只有Cisco2620和Cisco2621可以支持VLAN間的路由(百兆端口才支持VLAN間路由)。并且假如支持VLAN間路由,規(guī)定IOS軟件必須涉及IPPlus特性集。23、Cisco3660路由器與3620/3640路由器相比在硬件上有那些不同?不同點如下:*Cisco3660路由器基本配置涉及1或2個10/100M自適應(yīng)快速以太網(wǎng)接口;而Cisco3620/3640基本配置中不涉及以太網(wǎng)接口。*Cisco3660路由器支持網(wǎng)絡(luò)模塊熱插拔,而Cisco3620/3640不支持網(wǎng)絡(luò)模塊熱插拔。*Cisco3660的冗余電源為內(nèi)置,而Cisco3620/3640的冗余電源為外置的。24、為什么3640不能辨認(rèn)NM-1FE2W?需要將IOS升級到12.0.7T互換機(jī)問題關(guān)于互換機(jī)問題:1、Cat(yī)alyst35500XL/2950XL的堆疊是如何實現(xiàn)的?a.需要使用專門的堆疊電纜,1米長或50厘米長(CAB-GS-1M或CAB-GS-50CM)以及專門的千兆堆疊卡GigaStackGBIC(WS-X3550-XL)(該卡已含CAB-GS-50CM堆疊電纜)。b.可以選用2種堆疊方法:菊花鏈法(提供1G的帶寬)或點對點法(提供2G的帶寬)。c.2種方法都可以做備份。d.菊花鏈法最多可支持9臺互換機(jī)的堆疊,點對點法最多可支持8臺。2、Catalyst3550XL系列互換機(jī)做堆疊時,是否支持冗余備份?Cat(yī)alyst3550XL系列互換機(jī)的堆疊有兩種實現(xiàn)方法:菊花鏈方式和點到點方式。當(dāng)使用菊花鏈方式時,堆疊的互換機(jī)依次連接,互換機(jī)之間可以達(dá)成1Gbps的傳輸帶寬;當(dāng)使用點到點方式時,需要一臺單獨的Cat(yī)alyst3508G-XL互換機(jī),其余的互換機(jī)通過堆疊GBIC卡和堆疊線纜與3508G相連,這種方法最大可以達(dá)成2Gbps的全雙工傳輸帶寬。這兩種方法都分別支持堆疊的冗余連接。當(dāng)使用菊花鏈連接方式時,冗余連接是通過將最上面的互換機(jī)與最下面的互換機(jī)用堆疊線纜相連接完畢的。而當(dāng)使用點到點連接時,是通過使用第2臺3508互換機(jī)來完畢的。25、Catalyst3550XL的一個千兆口使用堆疊卡做堆疊后,此外一個千兆口是否可以連接千兆的互換機(jī)或千兆的服務(wù)器?可以。需使用1000Base-SXGBIC或1000Base-LX/LHGBIC。26、EthernetChannelTech.可以應(yīng)用在什么網(wǎng)絡(luò)設(shè)備之間?如何使用?可以應(yīng)用在互換機(jī)之間,互換機(jī)和路由器之間,互換機(jī)和服務(wù)器之間可以將2個或4個10/100Mbps或1000Mbps端口使用EthernetChannelTech.,達(dá)成最多400M(10/100Mbps端口)、4G(1000Mbps端口)或800M(10/100Mbps端口)、8G(1000Mbps端口)的帶寬。27、EthernetChannelTechnology有什么作用?增長帶寬,負(fù)載均衡,線路備份28、當(dāng)端口設(shè)立成EthernetChannel時,如何選擇線路?根據(jù)數(shù)據(jù)幀的以太網(wǎng)源地址和目的地址最后1位或2位做或運算,決定從哪條鏈路輸出。對于路由器來說是根據(jù)網(wǎng)絡(luò)地址做或運算,以決定鏈路的輸出。29、EthernetChannelTechnology與PAgP(PortAggregationProtocol)的區(qū)別?PAgP是EthernetChannel的增強(qiáng)版,它支持在EthernetChannel上的SpanningTreeProtocol和UplinkFast,并支持自動配置EthernetChannel的捆綁。最少需要的電源數(shù)12包轉(zhuǎn)發(fā)速率18Mpps18Mpps背板帶寬24Gbps60Gbps30、Cat(yī)alyst4000系列是否支持ISL?從SupervisorEngineSoftwareRelease5.1開始支持31、Catalyst4000互換機(jī)的冗余電源選項4008/2和4008/3有何區(qū)別?Catalyst4003互換機(jī)機(jī)箱上有兩個電源插槽,出廠時自身自帶一個電源,4008/2是專為其定制的冗余電源。Catalyst4006的機(jī)箱上有三個電源插槽,出廠時帶有2個電源供電,4008/3是為其定制的專用冗余電源。32、Catalyst4006的三層互換模塊是否不含以太網(wǎng)端口?不,Catalyst4006的三層互換模塊具有32個10/100自適應(yīng)端口和2個千兆端口。在4003上使用時可替代原有的WS-X4232-GB-RJ模塊,從而不影響網(wǎng)絡(luò)結(jié)構(gòu)。33、Cat(yī)alyst4000系列模塊化互換機(jī)使用千兆互換模塊時,如何選用目前存在的兩種互換模塊(產(chǎn)品編號如下)?WS-X4306-GBCatalyst4000GigabitEthernetModule,6-Ports(GBIC)WS-X4418-GBCatalyst4000GEModule,ServerSwitching18-Ports(GBIC)這兩個模塊的使用環(huán)境不同WS-X4306-GB是一個6口的千兆互換模塊,每個端口獨占千兆的帶寬,適合做網(wǎng)絡(luò)的主干,用來連接具有千兆接口的互換機(jī);也可以與具有千兆網(wǎng)卡的服務(wù)器相連。WS-X4418-GB是一個18口的千兆互換模塊,其中有兩個口是獨占千兆的帶寬,此外16個口共享8G的全雙工的帶寬,但每個端口可以突發(fā)到千兆。此模塊適合在服務(wù)器比較集中的地方連接千兆的服務(wù)器,而不適合連接網(wǎng)絡(luò)主干。34、Catalyst6000系列的背板帶寬和包轉(zhuǎn)發(fā)速率各為多少?Catalyst6500系列的背板帶寬可擴(kuò)展到256Gbps,包轉(zhuǎn)發(fā)速率可擴(kuò)展到150Mpps;Cat(yī)alyst6000系列作為一個經(jīng)濟(jì)有效的解決方案可提供到32Gbps的背板帶寬和15Mpps的包轉(zhuǎn)發(fā)速率。35、Catalyst6000系列的MSFC規(guī)定多少MDRAM?Catalyst6000系列IOS軟件存放在MSFC里,MSFC規(guī)定有128MDRAM。缺省配置已含128MDRAM。36、Catalyst6000系列上的插槽是否有限制?除第一個插槽專用于引擎,第二個插槽可用于備份引擎或線卡,其它插槽都用于線卡。37、Cat(yī)alyst6000系列有幾種引擎?Catalyst6000系列的引擎分為SupervisorEngine1和SupervisorEngine1A兩種,其中SupervisorEngine1A有兩個特定的備份引擎。其型號分別如下:型號描述WS-X6K-SUP1-2GECatalyst6000SupervisorEngine1引擎含兩個千兆端口(需購GBIC)WS-X6K-SUP1A-2GECatalyst6000SupervisorEngine1A引擎加強(qiáng)的QOS特性,含兩個千兆端口(需購GBIC)WS-X6K-SUP1A-PFCCatalyst6000SupervisorEngine1A引擎含兩個千兆端口(需購GBIC)和PFC卡WS-X6K-S1A-PFC/2Catalyst6000SupervisorEngine1A冗余引擎含兩個千兆端口(需購GBIC)和PFC卡WS-X6K-SUP1A-MSFCCatalyst6000SupervisorEngine1A引擎含兩個千兆端口(需購GBIC)和MSFC、PFC卡WS-X6K-S1A-MSFC/2Catalyst6000SupervisorEngine1A冗余引擎,含兩個千兆端口(需購GBIC)和MSFC、PFC卡38、Cat(yī)alyst6000系列上備份引擎與主引擎必須是一致的嗎?是的。Catalyst6000系列的備份引擎與主引擎必須是一致的,例如,不能將不帶MSFC&PFC的引擎給帶MSFC&PFC的引擎作備份。此外,WS-X6K-SUP1A-PFC和WS-X6K-SUP1A-MSFC有專門的備份引擎。主、備引擎的相應(yīng)關(guān)系如下:主引擎?zhèn)浞菀鎃S-X6K-SUP1-2GEWS-X6K-SUP1-2GEWS-X6K-SUP1A-2GEWS-X6K-SUP1A-2GEWS-X6K-SUP1A-PFCWS-X6K-S1A-PFC/2WS-X6K-SUP1A-MSFCWS-X6K-S1A-MSFC/239、Cat(yī)alyst6000系列支持的路由協(xié)議有哪些?Catalyst6000系列支持的路由協(xié)議有:OSPF,IGRP,EIGRP,BGP4,IS-IS,RIP和RIPII;對于組播PIM支持sparse和dense兩種模式;支持的非IP路由協(xié)議有:NLSP,IPXRIP/SAP,IPXEIGRP,RTMP,AppleTalkEIGRP和DECnetPhaseIV和V。40、Catalyst6000系列支持的網(wǎng)絡(luò)協(xié)議有哪些?MSM上支持6Mpps的IP、IP組播和IPX。引擎上的MSFC支持15Mpps的IP、IP組播、IPX以及AppleTalk、VINEs、DECnet.41、Catalyst6000上若引擎為SUP-1A-2GE,怎么實現(xiàn)三層互換的功能?用MSM實現(xiàn)。6000上只有具有MSFC的引擎才干通過MSFC實現(xiàn)三層互換功能,在6000上,MSFC是不能單獨訂購的。42、Catalyst?6000互換機(jī)和Catalyst?6500互換機(jī)有何區(qū)別?6000互換機(jī)是否可以升級到6500互換機(jī)?Catalyst?6000系列互換機(jī)的背板帶寬為32G,而6500系列互換機(jī)的背板帶寬最大可以擴(kuò)展到256G。由于這兩個系列的互換機(jī)使用的背板總線結(jié)構(gòu)不同,所以6000互換機(jī)不能升級到6500系列互換機(jī)。但這兩個系列互換機(jī)使用相同的互換模塊。43、Catalyst3508G是否也可以同Catalyst3524同樣采用菊花鏈堆疊模式?完全可以。44、在互換機(jī)之間配置Uplink-Fast時,是否需要關(guān)閉原有Spanning-Tree選項?不需要,Uplink-Fast事實上使用的是一種簡化的Spanning-Tree算法,與標(biāo)準(zhǔn)的Spanning-Tree兼容,因此不需關(guān)閉該功能。一個網(wǎng)管員必備的基礎(chǔ)知識今天,隨著計算機(jī)的廣泛應(yīng)用和網(wǎng)絡(luò)的流行,越來越多的單位和部門開始引入計算機(jī)網(wǎng)絡(luò)管理,從而相應(yīng)的需要更多的優(yōu)秀網(wǎng)管。已有幾年“腦齡"的你是不是也有成為網(wǎng)管的雄心壯志?在你成為一名合格的網(wǎng)管前,你必須先把下面的十個問題弄清楚?!镉嬎銠C(jī)網(wǎng)絡(luò)是什么?這是一方面必須解決的一個問題,絕對是核心概念。我們講的計算機(jī)網(wǎng)絡(luò),其實就是運用通訊設(shè)備和線路將地理位置不同的、功能獨立的多個計算機(jī)系統(tǒng)互連起來,以功能完善的網(wǎng)絡(luò)軟件(即網(wǎng)絡(luò)通信協(xié)議、信息互換方式及網(wǎng)絡(luò)操作系統(tǒng)等)實現(xiàn)網(wǎng)絡(luò)中資源共享和信息傳遞的系統(tǒng)。它的功能最重要的表現(xiàn)在兩個方面:一是實現(xiàn)資源共享(涉及硬件資源和軟件資源的共享);二是在用戶之間互換信息。計算機(jī)網(wǎng)絡(luò)的作用是:不僅使分散在網(wǎng)絡(luò)各處的計算機(jī)能共享網(wǎng)上的所有資源,并且為用戶提供強(qiáng)有力的通信手段和盡也許完善的服務(wù),從而極大的方便用戶。從網(wǎng)管的角度來講,說白了就是運用技術(shù)手段實現(xiàn)網(wǎng)絡(luò)間的信息傳遞,同時為用戶提供服務(wù)。★計算機(jī)網(wǎng)絡(luò)由哪幾個部分組成?計算機(jī)網(wǎng)絡(luò)通常由三個部分組成,它們是資源子網(wǎng)、通信子網(wǎng)和通信協(xié)議。所謂通信子網(wǎng)就是計算機(jī)網(wǎng)絡(luò)中負(fù)責(zé)數(shù)據(jù)通信的部分;資源子網(wǎng)是計算機(jī)網(wǎng)絡(luò)中面向用戶的部分,負(fù)責(zé)全網(wǎng)絡(luò)面向應(yīng)用的數(shù)據(jù)解決工作;而通信雙方必須共同遵守的規(guī)則和約定就稱為通信協(xié)議,它的存在與否是計算機(jī)網(wǎng)絡(luò)與一般計算機(jī)互連系統(tǒng)的主線區(qū)別。所以從這一點上來說,我們應(yīng)當(dāng)更能明白計算機(jī)網(wǎng)絡(luò)為什么是計算機(jī)技術(shù)和通信技術(shù)發(fā)展的產(chǎn)物了。★計算機(jī)網(wǎng)絡(luò)的種類怎么劃分?現(xiàn)在最常見的劃分方法是:按計算機(jī)網(wǎng)絡(luò)覆蓋的地理范圍的大小,一般分為廣域網(wǎng)(WAN)和局域網(wǎng)(LAN)(也有的劃分再增長一個城域網(wǎng)(MAN))。顧名思義,所謂廣域網(wǎng)無非就是地理上距離較遠(yuǎn)的網(wǎng)絡(luò)連接形式,例如著名的Internet網(wǎng),Chinanet網(wǎng)就是典型的廣域網(wǎng)。而一個局域網(wǎng)的范圍通常不超過10公里,并且經(jīng)常限于一個單一的建筑物或一組相距很近的建筑物。Novell網(wǎng)是目前最流行的計算機(jī)局域網(wǎng)。★計算機(jī)網(wǎng)絡(luò)的體系結(jié)構(gòu)是什么?在計算機(jī)網(wǎng)絡(luò)技術(shù)中,網(wǎng)絡(luò)的體系結(jié)構(gòu)指的是通信系統(tǒng)的整體設(shè)計,它的目的是為網(wǎng)絡(luò)硬件、軟件、協(xié)議、存取控制和拓?fù)涮峁?biāo)準(zhǔn)?,F(xiàn)在廣泛采用的是開放系統(tǒng)互連OSI(OpenSystemInterconnection)的參考模型,它是用物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳送層、對話層、表達(dá)層和應(yīng)用層七個層次描述網(wǎng)絡(luò)的結(jié)構(gòu)。你應(yīng)當(dāng)注意的是,網(wǎng)絡(luò)體系結(jié)構(gòu)的優(yōu)劣將直接影響總線、接口和網(wǎng)絡(luò)的性能。而網(wǎng)絡(luò)體系結(jié)構(gòu)的關(guān)鍵要素恰恰就是協(xié)議和拓?fù)洹D壳白畛R姷木W(wǎng)絡(luò)體系結(jié)構(gòu)有FDDI、以太網(wǎng)、令牌環(huán)網(wǎng)和快速以太網(wǎng)等。★計算機(jī)網(wǎng)絡(luò)的協(xié)議是什么?剛才說過網(wǎng)絡(luò)體系結(jié)構(gòu)的關(guān)鍵要素之一就是網(wǎng)絡(luò)協(xié)議。而所謂協(xié)議(Protocol)就是對數(shù)據(jù)格式和計算機(jī)之間互換數(shù)據(jù)時必須遵守的規(guī)則的正式描述,它的作用和普通話的作用如出一轍。依據(jù)網(wǎng)絡(luò)的不同通常使用Ethernet(以太網(wǎng))、NetBEUI、IPX/SPX以及TCP/IP協(xié)議。Ethernet是總線型協(xié)議中最常見的網(wǎng)絡(luò)低層協(xié)議,安裝容易且造價便宜;而NetBEUI可以說是專為小型局域網(wǎng)設(shè)計的網(wǎng)絡(luò)協(xié)議。對那些無需跨經(jīng)路由器與大型主機(jī)通信的小型局域網(wǎng),安裝NetBEUI協(xié)議就足夠了,但假如需要路由到此外的局域網(wǎng),就必須安裝IPX/SPX或TCP/IP協(xié)議。前者幾乎成了Novell網(wǎng)的代名詞,而后者就被著名的Internet網(wǎng)所采用。特別是TCP/IP(傳輸控制協(xié)議/網(wǎng)間協(xié)議)就是開放系統(tǒng)互連協(xié)議中最早的協(xié)議之一,也是目前最完全和應(yīng)用最廣的協(xié)議,能實現(xiàn)各種不同計算機(jī)平臺之間的連接、交流和通信★計算機(jī)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是什么?計算機(jī)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是指網(wǎng)絡(luò)中各個站點互相連接的形式,在局域網(wǎng)中明確一點講就是文獻(xiàn)服務(wù)器、工作站和電纜等的連接形式。現(xiàn)在最重要的拓?fù)浣Y(jié)構(gòu)有總線型拓?fù)?、星型拓?fù)?、環(huán)型拓?fù)湟约八鼈兊幕旌闲汀n櫭剂x,總線型其實就是將文獻(xiàn)服務(wù)器和工作站都連在稱為總線的一條公共電纜上,且總線兩端必須有終結(jié)器;星型拓?fù)鋭t是以一臺設(shè)備作為中央連接點,各工作站都與它直接相連形成星型;而環(huán)型拓?fù)渚褪菍⑺姓军c彼此串行連接,像鏈子同樣構(gòu)成一個環(huán)形回路;把這三種最基本的拓?fù)浣Y(jié)構(gòu)混合起來運用自然就是混合型了?!镉嬎銠C(jī)網(wǎng)絡(luò)建設(shè)中涉及到哪些硬件?計算機(jī)網(wǎng)絡(luò)的硬件系統(tǒng)通常由五部分組成:文獻(xiàn)服務(wù)器、工作站(涉及終端)、傳輸介質(zhì)、網(wǎng)絡(luò)連接硬件和外部設(shè)備。文獻(xiàn)服務(wù)器一般規(guī)定是配備了高性能CPU系統(tǒng)的微機(jī),它充當(dāng)網(wǎng)絡(luò)的核心。除了管理整個網(wǎng)絡(luò)上的事務(wù)外,它還必須提供各種資源和服務(wù)。而工作站可以說是一種智能型終端,它從文獻(xiàn)服務(wù)器取出程序和數(shù)據(jù)后,能在本站進(jìn)行解決,一般有有盤和無盤之分。接下來談?wù)剛鬏斀橘|(zhì),它是通信網(wǎng)絡(luò)中發(fā)送方和接受方之間的物理通路,在局域網(wǎng)中就是用來連接服務(wù)器和工作站的電纜線。目前常用的網(wǎng)絡(luò)傳輸介質(zhì)有雙絞線(多用于局域網(wǎng))、同軸電纜和光纜等。常用的網(wǎng)絡(luò)連接硬件有網(wǎng)絡(luò)接口卡(NIC)、集線器(HUB)、中繼器(Repeater)以及調(diào)制解調(diào)器(Modem)等。而打印機(jī)、掃描儀、繪圖儀以及其它任何可為工作站共享的設(shè)備都能被稱為外部設(shè)備?!镉嬎銠C(jī)網(wǎng)絡(luò)一般都裝哪些操作系統(tǒng)?我們都知道,網(wǎng)絡(luò)操作系統(tǒng)是整個網(wǎng)絡(luò)的靈魂,同時也是分布式解決系統(tǒng)的重要體現(xiàn),它決定了網(wǎng)絡(luò)的功能并由此決定了不同網(wǎng)絡(luò)的應(yīng)用領(lǐng)域即方向。目前比較流行的網(wǎng)絡(luò)操作系統(tǒng)重要有Unix、NetWare、WindowsNT和新興流行的Linux。Unix歷史悠久,發(fā)展到今天已經(jīng)相稱成熟,特別以安全可靠和應(yīng)用廣泛著稱;相比之下,NetWare以文獻(xiàn)服務(wù)及打印管理聞名,并且其目錄服務(wù)可以說是被業(yè)界公認(rèn)的目錄管理杰作;WindowsNT是能支持多種硬件平臺的真正的32位操作系統(tǒng),它保持了深受歡迎的Windows用戶界面,目前正被越來越多的網(wǎng)絡(luò)所應(yīng)用;而最新的Linux憑借其先進(jìn)的設(shè)計思想和自由軟件的身分正躋身優(yōu)秀網(wǎng)絡(luò)操作系統(tǒng)的行列?!镉嬎銠C(jī)網(wǎng)絡(luò)未來的發(fā)展趨勢如何?未來網(wǎng)絡(luò)的發(fā)展有三種基本的技術(shù)趨勢。一是朝著低成本微機(jī)所帶來的分布式計算和智能化方向發(fā)展,即Client/Server(客戶/服務(wù)器)結(jié)構(gòu);二是向適應(yīng)多媒體通信、移動通信結(jié)構(gòu)發(fā)展;三是網(wǎng)絡(luò)結(jié)構(gòu)適應(yīng)網(wǎng)絡(luò)互連,擴(kuò)大規(guī)模以至于建立全球網(wǎng)絡(luò)?!镉嬎銠C(jī)網(wǎng)管的具體業(yè)務(wù)有哪些?概括的說網(wǎng)管的業(yè)務(wù)內(nèi)容有三個方面:網(wǎng)絡(luò)建設(shè)、網(wǎng)絡(luò)維護(hù)和網(wǎng)絡(luò)服務(wù)。組建局域網(wǎng)(涉及規(guī)劃拓?fù)浣Y(jié)構(gòu)、物理硬件實現(xiàn)和網(wǎng)絡(luò)協(xié)議設(shè)立)、新增或升級網(wǎng)絡(luò)設(shè)備以及規(guī)劃網(wǎng)絡(luò)發(fā)展就是網(wǎng)絡(luò)建設(shè)的具體內(nèi)容;而一般的網(wǎng)絡(luò)維護(hù)則涉及網(wǎng)絡(luò)故障檢測和維修(涉及硬件和軟件),網(wǎng)絡(luò)安全的防護(hù)和管理;至于網(wǎng)絡(luò)服務(wù)則完全可以根據(jù)各種網(wǎng)絡(luò)目的的不同而有所區(qū)別,但最常見的都有遠(yuǎn)程登陸、文獻(xiàn)傳輸、電子郵件和資源共享等,當(dāng)然也可以側(cè)重一到幾個方面。此外,像網(wǎng)站中主頁的制作與更新,BBS站臺的建設(shè)與管理等等也都可納入網(wǎng)管的業(yè)務(wù)范圍??傊?所謂"網(wǎng)管"顧名思義就是建設(shè)并管理網(wǎng)絡(luò)的人員,他們的工作和任務(wù)就如同大酒店的員工同樣,通過經(jīng)營好酒店來款待從四周八方來的朋友。優(yōu)秀的網(wǎng)管沒有不說網(wǎng)管這項工作苦的,但假如你肯花時間、下功夫,你說不定也能做得非常杰出。但是,在你成為優(yōu)秀的網(wǎng)管前,可千萬要把今天講的這十個問題弄清楚噢!計算機(jī)網(wǎng)絡(luò)安全策略計算機(jī)網(wǎng)絡(luò)所面臨的威脅大體可分為兩種:一是對網(wǎng)絡(luò)中信息的威脅;二是對網(wǎng)絡(luò)中設(shè)備的威脅。影響計算機(jī)網(wǎng)絡(luò)的因素很多,有些因素也許是故意的,也也許是無意的;也許是人為的,也也許是非人為的;也許是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使有,歸結(jié)起來,針對網(wǎng)絡(luò)安全的威脅重要有三:1人為的無意失誤:如操作員安全配置不妥導(dǎo)致的安全漏洞,用戶安全意識不強(qiáng),用戶口令選擇不慎,用戶將自己的帳號隨意轉(zhuǎn)借別人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。2人為的惡意襲擊:這是計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅,敵手的襲擊和計算機(jī)犯罪就屬于這一類。此類襲擊又可以分為以下兩種:一種是積極襲擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動襲擊,它是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種襲擊均可對計算機(jī)網(wǎng)絡(luò)導(dǎo)致極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。3網(wǎng)絡(luò)軟件的漏洞和“后門”:網(wǎng)絡(luò)軟件不也許是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進(jìn)行襲擊的首選目的,曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件,這些事件的大部分就是由于安全措施不完善所招致的苦果。此外,軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)立的,一般不為外人所知,但一旦“后門”洞開,其導(dǎo)致的后果將不堪設(shè)想。計算機(jī)網(wǎng)絡(luò)的安全策略1物理安全策略物理安全策略的目的是保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線襲擊;驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作;保證筆記本電腦報價系統(tǒng)有一個良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進(jìn)入計算機(jī)控制室和各種偷竊、破壞活動的發(fā)生??酥坪头乐闺姶判孤?即TEMPEST技術(shù))是物理安全策略的一個重要問題。目前重要防護(hù)措施有兩類:一類是對傳導(dǎo)發(fā)射的防護(hù),重要采用對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導(dǎo)線間的交叉耦合。另一類是對輻射的防護(hù),這類防護(hù)措施又可分為以下兩種:一是采用各種電磁屏蔽措施,如對設(shè)備的金屬屏蔽和各種接插件的屏蔽,同時對機(jī)房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離;二是干擾的防護(hù)措施,即在計算機(jī)系統(tǒng)工作的同時,運用干擾裝置產(chǎn)生一種與計算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機(jī)系統(tǒng)的工作頻率和信息特性。2訪問控制策略訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的重要策略,它的重要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種安全策略必須互相配合才干真正起到保護(hù)作用,但訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。下面我們分述各種訪問控制策略。1入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶可以登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個環(huán)節(jié):用戶名的辨認(rèn)與驗證、用戶口令的辨認(rèn)與驗證、用戶帳號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過,該用戶便不能進(jìn)入該流行資訊。對網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗證是防止非法訪問的第一道防線。用戶注冊時一方面輸入用戶名和口令,服務(wù)器將驗證所輸入的用戶名是否合法。假如驗證合法,才繼續(xù)驗證用戶輸入的口令,否則,用戶將被拒之網(wǎng)絡(luò)之外。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應(yīng)不少于6個字符,口令字符最佳是數(shù)字、字母和其他字符的混合,用戶口令必須通過加密,加密的方法很多,其中最常見的方法有:基于單向函數(shù)的口令加密,基于測試模式的口令加密,基于公鑰加密方案的口令加密,基于平方剩余的口令加密,基于多項式共享的口令加密,基于數(shù)字署名方案的口令加密等。通過上述方法加密的口令,即使是系統(tǒng)管理員也難以得到它。用戶還可采用一次性用戶口令,也可用便攜式驗證器(如智能卡)來驗證用戶的身份。網(wǎng)絡(luò)管理員應(yīng)當(dāng)可以控制和限制普通用戶的帳號使用、訪問網(wǎng)絡(luò)的時間、方式。用戶名或用戶帳號是所有計算機(jī)系統(tǒng)中最基本的安全形式。用戶帳號應(yīng)只有系統(tǒng)管理員才干建立。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必須提交的“證件”、用戶可以修改自己的口令,但系統(tǒng)管理員應(yīng)當(dāng)可以控制口令的以下幾個方面的限制:最小口令長度、強(qiáng)制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。用戶名和口令驗證有效之后,再進(jìn)一步履行用戶帳號的缺省限制檢查。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。當(dāng)用戶對交費網(wǎng)絡(luò)的訪問“資費”用盡時,網(wǎng)絡(luò)還應(yīng)能對用戶的帳號加以限制,用戶此時應(yīng)無法進(jìn)入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對所有用戶的訪問進(jìn)行審計。假如多次輸入口令不對的,則認(rèn)為是非法用戶的入侵,應(yīng)給出報警信息。2網(wǎng)絡(luò)的權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。時尚控制用戶和用戶組可以訪問哪些目錄、子目錄、文獻(xiàn)和其他資源??梢灾付ㄓ脩魧@些文獻(xiàn)、目錄、設(shè)備可以執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽(IRM)可作為其兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、時尚資訊和時尚生活。繼承權(quán)限屏蔽相稱于一個過濾器,可以限制子目錄從父目錄那里繼承哪些權(quán)限。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類:(1)特殊用戶(即系統(tǒng)管理員);(2)一般用戶,系統(tǒng)管理員根據(jù)他們的實際需要為他們分派操作權(quán)限;(3)審計用戶,負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個訪問控制表來描述。3目錄級安全控制網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文獻(xiàn)、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文獻(xiàn)和子目錄有效,用戶還可進(jìn)一步指定對目錄下的子目錄和文獻(xiàn)的權(quán)限。對目錄和文獻(xiàn)的訪問權(quán)限一般有八種:系統(tǒng)管理員權(quán)限(Supervisor)、讀權(quán)限(Read)、寫權(quán)限(Write)、創(chuàng)建權(quán)限(Create)、刪除權(quán)限(Erase)、修改權(quán)限(Modify)、文獻(xiàn)查找權(quán)限(FileScan)、存取控制權(quán)限(AccessControl)。用戶對文獻(xiàn)或目的的有效權(quán)限取決于以下二個因素:用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限,這些訪問權(quán)限控制著用戶對服務(wù)器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完畢工作,同時又能有效地控制用戶對服務(wù)器資源的訪問怎么減肥,從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。4屬性安全控制當(dāng)用文獻(xiàn)、目錄和網(wǎng)絡(luò)設(shè)備時,網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文獻(xiàn)、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文獻(xiàn)、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限相應(yīng)一張訪問控制表,用以表白用戶對網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)立可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個方面的權(quán)限:向某個文獻(xiàn)寫數(shù)據(jù)、拷貝一個文獻(xiàn)、刪除目錄或文獻(xiàn)、查看目錄和文獻(xiàn)、執(zhí)行文獻(xiàn)、隱含文獻(xiàn)、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文獻(xiàn),防止用戶對目錄和文獻(xiàn)的誤刪除、、執(zhí)行修改、顯示等。5網(wǎng)絡(luò)服務(wù)器安全控制網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器報價的安全控制涉及可以設(shè)立口令鎖定服務(wù)器控制臺,以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù);可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。6網(wǎng)絡(luò)監(jiān)測和鎖定控制網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實行監(jiān)控,服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問,對非法的網(wǎng)絡(luò)訪問怎么封閉,服務(wù)器應(yīng)以圖形或文字或聲音等形式報警,以引起網(wǎng)絡(luò)管理員的注意。假如不法之徒試圖進(jìn)入網(wǎng)絡(luò),網(wǎng)絡(luò)服務(wù)器應(yīng)會自動記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù),假如非法訪問的次數(shù)達(dá)成設(shè)定數(shù)值,那么該帳戶將被自動鎖定。什么是域名從技術(shù)角度來看,域名是在Internet上解決IP地址相應(yīng)的一種方法。一個完整的域名由兩個或兩個以上部分組成,各部分之間用英文的句號“.”來分隔。如“ab”。其中“com”稱為“域尾”從商業(yè)角度看,域名已經(jīng)成為了“公司的網(wǎng)上商標(biāo)”,其重要性和商業(yè)價值已經(jīng)被全世界的公司所結(jié)識。和商標(biāo)相比域名具有更強(qiáng)的唯一性。2、什么是國際域名和國內(nèi)域名互聯(lián)網(wǎng)上的域名可謂千姿百態(tài),但從域名的結(jié)構(gòu)來劃分,總體上可把域名提成兩類,一類稱為“國際頂級域名”(簡稱“國際域名”),一類稱為“國內(nèi)域名”。一般國際域名的最后一個后綴是一些諸如.com,.net,.gov,.edu的”國際通用域”,這些不同的后綴分別代表了不同的機(jī)構(gòu)性質(zhì)。比如.com表達(dá)的是商業(yè)機(jī)構(gòu),.net表達(dá)的是網(wǎng)絡(luò)服務(wù)機(jī)構(gòu),.gov表達(dá)的是政府機(jī)構(gòu),.edu表達(dá)的是教育機(jī)構(gòu)3、什么是二級域名比如您注冊的域名是abc.com,那么他是由一個字符串加一個域名尾,中間用.號隔開。這就是一個頂級域名,假如在頂級域名前在由.隔開加上不同的字符,比如bbs.,那么我們就說bbs是頂級域名abc.com的一個主機(jī)名,bbs.abc.com就是一個二級域名。4、什么是子域名道理等同二級域名,但是比二級域名更加延伸,比如我們繼續(xù)擴(kuò)展該域名的主機(jī)名,設(shè)立主機(jī)名為bbs.at(yī),那么就可以建立一個三級域名:bbs.at(yī).a,當(dāng)然也可以建立四級域名bbs.at.go.abc.com,五級域名bbs.at.go.home.abc.com……,依次類推,可以建立無限級別的域名,我們統(tǒng)稱這些域名為頂級域名abc.com的子域名。5、什么是A記錄A(Address)記錄是用來指定主機(jī)名(或域名)相應(yīng)的IP地址記錄。用戶可以將該域名下的網(wǎng)站服務(wù)器指向到自己的webserver上。同時也可以設(shè)立您域名的子域名。6、什么是MX記錄MX記錄也叫做郵件路由記錄,用戶可以將該域名下的郵件服務(wù)器指向到自己的mailserver上,然后即可自行操控所有的郵箱設(shè)立。您只需在線填寫您服務(wù)器的IP地址,即可將您域名下的郵件所有轉(zhuǎn)到您自己設(shè)定相應(yīng)的郵件服務(wù)器上。簡樸的說,通過操作MX記錄,您才可以得到以您域名結(jié)尾的郵局。7、什么是CNAME別名CNAME(CanonicalName)記錄,通常稱別名指向。在這里,您可以定義一個主機(jī)別名,比如設(shè)立ftp.***.com,用來指向一個主機(jī)HYPERLINK"http://www.***.com,那么以后就可以用ftp.***.com來代替訪問www.***.com了。/"\t"_blank"http://www.***.com,那么以后就IGMP-Internet組管理協(xié)議(IGMP:InternetGroupManagementProtocol)Internet組管理協(xié)議(IGMP)是因特網(wǎng)協(xié)議家族中的一個組播協(xié)議,用于IP主機(jī)向任一個直接相鄰的路由器報告他們的組成員情況。IGMP信息封裝在IP報文中,其IP的協(xié)議號為2。IGMP具有三種版本,即IGMPv1、v2和v3。IGMPv1:主機(jī)可以加入組播組。沒有離開信息(leavemessages)。路由器使用基于超時的機(jī)制去發(fā)現(xiàn)其成員不關(guān)注的組。IGMPv2:該協(xié)議包含了離開信息,允許迅速向路由協(xié)議報告組成員終止情況,這對高帶寬組播組或易變型組播組成員而言是非常重要的。IGMPv3:與以上兩種協(xié)議相比,該協(xié)議的重要改動為:允許主機(jī)指定它要接受通信流量的主機(jī)對象。來自網(wǎng)絡(luò)中其它主機(jī)的流量是被隔離的。IGMPv3也支持主機(jī)阻止那些來自于非規(guī)定的主機(jī)發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包。IGMP協(xié)議變種有:距離矢量組播路由選擇協(xié)議(DVMRP:DistanceVectorMulticastRoutingProtocol)IGMP用戶認(rèn)證協(xié)議(IGAP:IGMPforuserAuthenticationProtocol)路由器端口組管理協(xié)議(RGMP:Router-portGroupManagementProtocol)協(xié)議結(jié)構(gòu)IGMPv3必須實現(xiàn)5種基本信息類型且與以前的版本相兼容:0x11:會員查詢0x22:第3版本會員報告0x12:第1版本會員報告0x16:第2版本會員報告0x17:第2版本離開組它用來在ip主機(jī)和與其直接相鄰的組播路由器之間建立、維護(hù)組播組成員關(guān)系。igmp不涉及組播路由器之間的組成員關(guān)系信息的傳播與維護(hù),這部分工作由各組播路由協(xié)議完畢。所有參與組播的主機(jī)必須實現(xiàn)igmp。參與ip組播的主機(jī)可以在任意位置、任意時間、成員總數(shù)不受限制地加入或退出組播組。組播路由器不需要也不也許保存所有主機(jī)的成員關(guān)系,它只是通過igmp協(xié)議了解每個接口連接的網(wǎng)段上是否存在某個組播組的接受者,即組成員。而主機(jī)方只需要保存自己加入了哪些組播組。igmp在主機(jī)與路由器之間是不對稱的:主機(jī)需要響應(yīng)組播路由器的igmp查詢報文,即以igmpmembershipreport報文響應(yīng);路由器周期性發(fā)送成員資格查詢報文,然后根據(jù)收到的響應(yīng)報文擬定某個特定組在自己所在子網(wǎng)上是否有主機(jī)加入,并且當(dāng)收到主機(jī)的退出組的報告時,發(fā)出特定組的查詢報文(igmp版本2),以擬定某個特定組是否已無成員存在。到目前為止,igmp有三個版本:igmp版本1(由rfc1112定義)、igmp版本2(由rfc2236定義)和igmp版本3。目前應(yīng)用最多的是版本2。igmp版本2對版本1所做的改善重要有:(1)共享網(wǎng)段上組播路由器的選舉機(jī)制共享網(wǎng)段表達(dá)一個網(wǎng)段上有多個組播路由器的情況。在這種情況下,由于此網(wǎng)段上運營igmp的路由器都能從主機(jī)那里收到成員資格報告消息,因此,只需要一個路由器發(fā)送成員資格查詢消息,這就需要一個路由器選舉機(jī)制來擬定一個路由器作為查詢器。在igmp版本1中,查詢器的選擇由組播路由協(xié)議決定;igmp版本2對此做了改善,規(guī)定同一網(wǎng)段上有多個組播路由器時,具有最小ip地址的組播路由器被選舉出來充當(dāng)查詢器。(2)igmp版本2增長了離開組機(jī)制祝貴論壇樣火熱越來越火,也希望這種以技術(shù)會友的方式作為宣傳能被貴論壇包容參考來源:\t"_blank"網(wǎng)絡(luò)設(shè)備的接口類型各種互換機(jī)的數(shù)據(jù)接口類型作為局域網(wǎng)的重要連接設(shè)備,以太網(wǎng)互換機(jī)成為應(yīng)用普及最快的網(wǎng)絡(luò)設(shè)備之一,同時,也是隨著這種快速的發(fā)展,互換機(jī)的功能不斷增強(qiáng),隨之而來則是互換機(jī)端口的更新?lián)Q代以及各種特殊設(shè)備連接端口不斷的添加到互換機(jī)上,這也使得互換機(jī)的接口類型變得非常豐富,為了讓大家對這些接口有一個比較清楚的結(jié)識,我們根據(jù)資料特地整理了一篇互換機(jī)接口的文章:1、RJ-45接口這種接口就是我們現(xiàn)在最常見的網(wǎng)絡(luò)設(shè)備接口,俗稱“水晶頭”,專業(yè)術(shù)語為RJ-45連接器,屬于雙絞線以太網(wǎng)接口類型。RJ-45插頭只能沿固定方向插入,設(shè)有一個塑料彈片與RJ-45插槽卡住以防止脫落。這種接口在10Base-T以太網(wǎng)、100Base-TX以太網(wǎng)、1000Base-TX以太網(wǎng)中都可以使用,傳輸介質(zhì)都是雙絞線,但是根據(jù)帶寬的不同對介質(zhì)也有不同的規(guī)定,特別是1000Base-TX千兆以太網(wǎng)連接時,至少要使用超五類線,要保證穩(wěn)定高速的話還要使用6類線。2、SC光纖接口SC光纖接口在100Base-TX以太網(wǎng)時代就已經(jīng)得到了應(yīng)用,因此當(dāng)時稱為100Base-FX(F是光纖單詞fiber的縮寫),但是當(dāng)時由于性能并不比雙絞線突出但是成本卻較高,因此沒有得到普及,現(xiàn)在業(yè)界大力推廣千兆網(wǎng)絡(luò),SC光纖接口則重新受到重視。光纖接口類型很多,SC光纖接口重要用于局網(wǎng)互換環(huán)境,在一些高性能千兆互換機(jī)和路由器上提供了這種接口,它與RJ-45接口看上去很相似,但是SC接口顯得更扁些,其明顯區(qū)別還是里面的觸片,假如是8條細(xì)的銅觸片,則是RJ-45接口,假如是一根銅柱則是SC光纖接口。3、FDDI接口FDDI是目前成熟的LAN技術(shù)中傳輸速率最高的一種,具有定期令牌協(xié)議的特性,支持多種拓?fù)浣Y(jié)構(gòu),傳輸媒體為光纖。光纖分布式數(shù)據(jù)接口(FDDI)是由美國國家標(biāo)準(zhǔn)化組織(ANSI)制定的在光纜上發(fā)送數(shù)字信號的一組協(xié)議。FDDI使用雙環(huán)令牌,傳輸速率可以達(dá)成100Mbps.CCDI是FDDI的一種變型,它采用雙絞銅纜為傳輸介質(zhì),數(shù)據(jù)傳輸速率通常為100Mbps.FDDI-2是FDDI的擴(kuò)展協(xié)議,支持語音、視頻及數(shù)據(jù)傳輸,是FDDI的另一個變種,稱為FDDI全雙工技術(shù)(FFDT),它采用與FDDI相同的網(wǎng)絡(luò)結(jié)構(gòu),但傳輸速率可以達(dá)成200Mbps.由于使用光纖作為傳輸媒體具有容量大、傳輸距離長、抗干擾能力強(qiáng)等多種優(yōu)點,常用于城域網(wǎng)、校園環(huán)境的主干網(wǎng)、多建筑物網(wǎng)絡(luò)分布的環(huán)境,于是FDDI接口在網(wǎng)絡(luò)骨干互換機(jī)上比較常見,現(xiàn)在隨著千兆的普及,一些高端的千兆互換機(jī)上也開始使用這種接口。4、AUI接口AUI接口專門用于連接粗同軸電纜,初期的網(wǎng)卡上有這樣的接口與集線器、互換機(jī)相連組成網(wǎng)絡(luò),現(xiàn)在一般用不到了。AUI接口是一種“D”型15針接口,之前在令牌環(huán)網(wǎng)或總線型網(wǎng)絡(luò)中使用,可以借助外接的收發(fā)轉(zhuǎn)發(fā)器(AUI-to-RJ-45),實現(xiàn)與10Base-T以太網(wǎng)絡(luò)的連接。5、BNC接口BNC是專門用于與細(xì)同軸電纜連接的接口,細(xì)同軸電纜也就是我們常說的“細(xì)纜”,它最常見的應(yīng)用是分離式顯示信號接口,即采用紅、綠、藍(lán)和水平、垂直掃描頻率分開輸入顯示器的接口,信號互相之間的干擾更小?,F(xiàn)在BNC基本上已經(jīng)不再使用于互換機(jī),只有一些初期的RJ-45以太網(wǎng)互換機(jī)和集線器中還提供少數(shù)BNC接口。6、Console接口可進(jìn)行網(wǎng)絡(luò)管理的互換機(jī)上一般都有一個“Console”端口,它是專門用于對互換機(jī)進(jìn)行配置和管理的。通過Console端口連接并配置互換機(jī),是配置和管理互換機(jī)必須通過的環(huán)節(jié)。由于其他方式的配置往往需要借助于IP地址、域名或設(shè)備名稱才可以實現(xiàn),而新購買的互換機(jī)顯然不也許內(nèi)置有這些參數(shù),所以Console端口是最常用、最基本的互換機(jī)管理和配置端口。不同類型的互換機(jī)Console端口所處的位置并不相同,有的位于前面板,而有的則位于后面板。通常是模塊化互換機(jī)大多位于前面板,而固定配置互換機(jī)則大多位于后面板。在該端口的上方或側(cè)方都會有類似“CONSOLE”字樣的標(biāo)記。除位置不同之外,Console端口的類型也有所不同,絕大多數(shù)互換機(jī)都采用RJ-45端口,但也有少數(shù)采用DB-9串口端口或DB-25串口端口。無論互換機(jī)采用DB-9或DB-25串行接口,還是采用RJ-45接口,都需要通過專門的Console線連接至配置方計算機(jī)的串行口。與互換機(jī)不同的Console端口相相應(yīng),Console線也分為兩種:一種是串行線,即兩端均為串行接口(兩端均為母頭),兩端可以分別插入至計算機(jī)的串口和互換機(jī)的Console端口;另一種是兩端均為RJ-45接頭(RJ-45toRJ-45)的扁平線。由于扁平線兩端均為RJ-45接口,無法直接與計算機(jī)串口進(jìn)行連接,因此,還必須同時使用一個RJ-45toDB-9(或RJ-45toDB-25)的適配器。通常情況下,在互換機(jī)的包裝箱中都會隨機(jī)贈送這么一條Console線和相應(yīng)的DB-9或DB-25適配器。7、CE1/PRI接口CE1/PRI接口擁有兩種工作方式:E1工作方式(也稱為非通道化工作方式)和CE1/PRI工作方式(也稱為通道化工作方式)。當(dāng)CE1/PRI接口使用E1工作方式時,它相稱于一個不分時隙、數(shù)據(jù)帶寬為2Mbps的接口,其邏輯特性與同步串口相同,支持PPP、幀中繼、LAPB和X.25等數(shù)據(jù)鏈路層協(xié)議,支持IP和IPX等網(wǎng)絡(luò)協(xié)議。當(dāng)CE1/PRI接口使用CE1/PRI工作方式時,它在物理上分為32個時隙,相應(yīng)編號為0~31,其中0時隙用于傳輸同步信息。對該接口有兩種使用方法:CE1接口和PRI接口。當(dāng)將接口作為CE1接口使用時,可以將除0時隙外的所有時隙任意提成若干組(channelset),每組時隙捆綁以后作為一個接口使用,其邏輯特性與同步串口相同,支持PPP、幀中繼、LAPB和X.25等數(shù)據(jù)鏈路層協(xié)議,支持IP和IPX等網(wǎng)絡(luò)協(xié)議。當(dāng)將接口作為PRI接口使用時,時隙16被作為D信道來傳輸信令,因此只能從除0和16時隙以外的時隙中隨意選出一組時隙作為B信道,將它們同16時隙一起捆綁為一個priset,作為一個接口使用,其邏輯特性與ISDNPRI接口相同,支持PPP數(shù)據(jù)鏈路層協(xié)議,支持IP和IPX等網(wǎng)絡(luò)協(xié)議,可以配置DCC等參數(shù)。路由器接口一、路由器接口路由器具有非常強(qiáng)大的網(wǎng)絡(luò)連接和路由功能,它可以與各種各樣的不同網(wǎng)絡(luò)進(jìn)行物理連接,這就決定了路由器的接口技術(shù)非常復(fù)雜,越是高檔的路由器其接口種類也就越多,由于它所能連接的網(wǎng)絡(luò)類型越多。路由器的端口重要分局域網(wǎng)端口、廣域網(wǎng)端口和配置端口三類,下面分別介紹。1.局域網(wǎng)接口常見的以太網(wǎng)接口重要有AUI、BNC和RJ-45接口,尚有FDDI、ATM、千兆以太網(wǎng)等都有相應(yīng)的網(wǎng)絡(luò)接口,下面分別介紹重要的幾種局域網(wǎng)接口。(1)。AUI端口AUI端口它就是用來與粗同軸電纜連接的接口,它是一種“D”型15針接口,這在令牌環(huán)網(wǎng)或總線型網(wǎng)絡(luò)中是一種比較常見的端口之一。路由器可通過粗同軸電纜收發(fā)器實現(xiàn)與10Base-5網(wǎng)絡(luò)的連接。但更多的則是借助于外接的收發(fā)轉(zhuǎn)發(fā)器(AUI-to-RJ-45),實現(xiàn)與10Base-T以太網(wǎng)絡(luò)的連接。當(dāng)然,也可借助于其他類型的收發(fā)轉(zhuǎn)發(fā)器實現(xiàn)與細(xì)同軸電纜(10Base-2)或光纜(10Base-F)的連接。(2)。RJ-45端口RJ-45端口是我們最常見的端口了,它是我們常見的雙絞線以太網(wǎng)端口。由于在快速以太網(wǎng)中也重要采用雙絞線作為傳輸介質(zhì),所以根據(jù)端口的通信速率不同RJ-45端口又可分為10Base-T網(wǎng)RJ-45端口和100Base-TX網(wǎng)RJ-45端口兩類。其中,10Base-T網(wǎng)的RJ-45端口在路由器中通常是標(biāo)記為“ETH”,而100Base-TX網(wǎng)的RJ-45端口則通常標(biāo)記為“10/100bTX”。10Base-T網(wǎng)RJ-45端口和10/100Base-TX網(wǎng)RJ-45端口。其實這兩種RJ-45端口僅就端口自身而言是完全同樣的,但端口中相應(yīng)的網(wǎng)絡(luò)電路結(jié)構(gòu)是不同的,所以也不能隨便接。(3)。SC端口SC端口也就是我們常說的光纖端口,它是用于與光纖的連接。光纖端口通常是不直接用光纖連接至工作站,而是通過光纖連接到快速以太網(wǎng)或千兆以太網(wǎng)等具有光纖端口的互換機(jī)。這種端口一般在高檔路由器才具有,都以“100bFX”標(biāo)注。2.廣域網(wǎng)接口在上面就講過,路由器不僅能實現(xiàn)局域網(wǎng)之間連接,更重要的應(yīng)用還是在于局域網(wǎng)與廣域網(wǎng)、廣域網(wǎng)與廣域網(wǎng)之間的連接。但是由于廣域網(wǎng)規(guī)模大,網(wǎng)絡(luò)環(huán)境復(fù)雜,所以也就決定了路由器用于連接廣域網(wǎng)的端口的速率規(guī)定非常高,在以太網(wǎng)中一般都規(guī)定在100Mbps快速以太網(wǎng)以上。下面介紹幾種常見的廣域網(wǎng)接口。1)。RJ-45端口運用RJ-45端口也可以建立廣域網(wǎng)與局域網(wǎng)VLAN(虛擬局域網(wǎng))之間,以及與遠(yuǎn)程網(wǎng)絡(luò)或Internet的連接。假如使用路由器為不同VLAN提供路由時,可以直接運用雙絞線連接至不同的VLAN端口。但要注意這里的RJ-45端口所連接的網(wǎng)絡(luò)一般就不太可有是10Base-T這種了,一般都是100Mbps快速以太網(wǎng)以上。假如必須通過光纖連接至遠(yuǎn)程網(wǎng)絡(luò),或連接的是其他類型的端口時,則需要借助于收發(fā)轉(zhuǎn)發(fā)器才干實現(xiàn)彼此之間的連接。2)。AUI端口AUI端口我們在局域網(wǎng)中也講過,它是用于與粗同軸電纜連接的網(wǎng)絡(luò)接口,其實AUI端口也被常用于與廣域網(wǎng)的連接,但是這種接口類型在廣域網(wǎng)應(yīng)用得比較少。在Cisco2600系列路由器上,提供了AUI與RJ-45兩個廣域網(wǎng)連接端口,用戶可以根據(jù)自己的需要選擇適當(dāng)?shù)念愋?。?。高速同步串口在路由器的廣域網(wǎng)連接中,應(yīng)用最多的端口還要算“高速同步串口”(SERIAL)了。這種端口重要是用于連接目前應(yīng)用非常廣泛的DDN、幀中繼(FrameRelay)、X.25、PSTN(模擬電話線路)等網(wǎng)絡(luò)連接模式。在公司網(wǎng)之間有時也通過DDN或X.25等廣域網(wǎng)連接技術(shù)進(jìn)行專線連接。這種同步端口一般規(guī)定速率非常高,由于一般來說通過這種端口所連接的網(wǎng)絡(luò)的兩端都規(guī)定實時同步。4)。異步串口異步串口(ASYNC)重要是應(yīng)用于Modem或Modem池的連接。它重要用于實現(xiàn)遠(yuǎn)程計算機(jī)通過公用電話網(wǎng)撥入網(wǎng)絡(luò)。這種異步端口相對于上面介紹的同步端口來說在速率上規(guī)定就松許多,由于它并不規(guī)定網(wǎng)絡(luò)的兩端保持實時同步,只規(guī)定能連續(xù)即可,重要是由于這種接口所連接的通信方式速率較低。5)。ISDNBRI端口因ISDN這種互聯(lián)網(wǎng)接入方式連接速度上有它獨特的一面,所以在當(dāng)時ISDN剛興起時在互聯(lián)網(wǎng)的連接方式上還得到了充足的應(yīng)用。ISDNBRI端口用于ISDN線路通過路由器實現(xiàn)與Internet或其他遠(yuǎn)程網(wǎng)絡(luò)的連接,可實現(xiàn)128Kbps的通信速率。ISDN有兩種速率連接端口,一種是ISDNBRI(基本速率接口);另一種是ISDNPRI(基群速率接口)。ISDNBRI端口是采用RJ-45標(biāo)準(zhǔn),與ISDNNT1的連接使用RJ-45-to-RJ-45直通線。3.路由器配置接口路由器的配置端口有兩個,分別是“Console”和“AUX”,“Console”通常是用來進(jìn)行路由器的基本配置時通過專用連線與計算機(jī)連用的,而“AUX”是用于路由器的遠(yuǎn)程配置連接用的。1.Console端口Console端口使用配置專用連線直接連接至計算機(jī)的串口,運用終端仿真程序(如Windows下的“超級終端”)進(jìn)行路由器本地配置。路由器的Console端口多為RJ-45端口。2.AUX端口AUX端口為異步端口,重要用于遠(yuǎn)程配置,也可用于拔號連接,還可通過收發(fā)器與MODEM進(jìn)行連接。AUX端口與Console端口通常同時提供,由于它們各自的用途不同樣CMD下的網(wǎng)絡(luò)安全配置自帶的關(guān)于網(wǎng)絡(luò)的命令行工具很多,比如大家熟悉的ping,tracert,ipconfig,telnet,ftp,tftp,netstat,尚有不太熟悉的nbtstat,pathping,nslookup,finger,route,netsh......這些命令又可提成三類:網(wǎng)絡(luò)檢測(如ping)、網(wǎng)絡(luò)連接(如telnet)和網(wǎng)絡(luò)配置(如netsh)。前面兩種相對簡樸,本文只介紹兩個網(wǎng)絡(luò)配置工具。netsh在遠(yuǎn)程shell中使用netsh一方面要解決一個交互方式的問題。前面說過,很多shell不能再次重定向輸出輸出,所以不能在這種環(huán)境下交互地使用ftp等命令行工具。解決的辦法是,一般交互式的工具都允許使用腳本(或者叫應(yīng)答文獻(xiàn))。比如ftp-s:filsh也是這樣:netsh-ffilename。netsh命令的功能非常多,可以配置IAS、DHCP、RAS、WINS、NAT服務(wù)器,TCP/IP協(xié)議,IPX協(xié)議,路由等。我們不是管理員,一般沒必要了解這么多,只需用netsh來了解目的主機(jī)的網(wǎng)絡(luò)配置信息。1,TCP/IP配置echointerfaceip>sechoshowconfig>>snetsh-fsdels由此你可以了解該主機(jī)有多個網(wǎng)卡和IP,是否是動態(tài)分派IP(DHCP),內(nèi)網(wǎng)IP是多少(假如有的話)。這個命令和ipconfig/all差不多。注意,以下命令需要目的主機(jī)啟動remoteaccess服務(wù)。假如它被禁用,請先通過導(dǎo)入注冊表解禁,然后netstartremoteaccess2,ARPechointerfaceip>sechoshowipnet>>snetsh-fsdels這個比arp-a命令多一點信息。3,TCP/UDP連接echointerfaceip>sechoshowtcpconn>>sechoshowudpconn>>snetsh-fsdels這組命令和netstat-an同樣。4,網(wǎng)卡信息假如netsh命令都有其他命令可代替,那它尚有什么存在的必要呢?下面這個就找不到代替的了。echerfaceip>sechoshowinterface>>snetsh-fsdelsnetsh的其他功能,比如修改IP,一般沒有必要使用(萬一改了IP后連不上,就"叫天不應(yīng)叫地不靈"了),所以所有略過。IPSec一方面需要指出的是,IPSec和TCP/IP篩選是不同的東西,大家不要混淆了。TCP/IP篩選的功能十分有限,遠(yuǎn)不如IPSec靈活和強(qiáng)大。下面就說說如何在命令行下控制IPSec。XP系統(tǒng)用ipseccmd,2023下用ipsecpol。遺憾的是,它們都不是系統(tǒng)自帶的。ipseccmd在xp系統(tǒng)安裝盤的SUPPORT\TOOLS\SUPPORT.CAB中,ipsecpol在2023ResourceKit里。并且,要使用ipsecpol還必須帶上此外兩個文獻(xiàn):ipsecutil.dll和text2pol.dll。三個文獻(xiàn)一共119KB。IPSec可以通過組策略來控制,但我找遍MSDN,也沒有找到相應(yīng)的安全模板的語法。已經(jīng)配置好的IPSec策略也不能被導(dǎo)出為模板。所以,組策略這條路走不通。IPSec的設(shè)立保存在注冊表中(HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local),理論上可以通過修改注冊表來配置IPSec。但很多信息以二進(jìn)制形式存放,讀取和修改都很困難。相比之下,上傳命令行工具更方便。關(guān)于ipsecpol和ipseccmd的資料,網(wǎng)上可以找到很多,因此本文就不細(xì)說了,只是列舉一些實用的例子。在設(shè)立IPSec策略方面,ipseccmd命令的語法和ipsecpol幾乎完全同樣,所以只以ipsecpol為例:1,防御rpc-dcom襲擊ipsecpol-pmyfirewall-rrpc-dcom-f*+0:135:tcp*+0:135:udp*+0:137:udp*+0:138:udp*+0:139:tcp*+0:445:tcp*+0:445:udp-nBLOCK-wreg-x這條命令關(guān)閉了本地主機(jī)的TCP135,139,445和udp135,137,138,445端口。具體含義如下:-pmyfirewall指定策略名為myfirewall-rrpc-dcom指定規(guī)則名為rpc-dcom-f......建立7個篩選器。*表達(dá)任何地址(源);0表達(dá)本機(jī)地址(目的);+表達(dá)鏡像(雙向)篩選。具體語法見ipsecpol-?-nBLOCK指定篩選操作是"阻塞"。注意,BLOCK必須是大寫。-wreg將配置寫入注冊表,重啟后仍有效。-x立刻激活該策略。2,防止被pingipsecpol-pmyfirewall-rantiping-f*+0::icmp-nBLOCK-wreg-x假如名為myfirewall的策略已存在,則antiping規(guī)則將添加至其中。注意,該規(guī)則同時也阻止了該主機(jī)ping別人。3,對后門進(jìn)行IP限制假設(shè)你在某主機(jī)上安裝了DameWareMiniRemoteControl。為了保護(hù)它不被別人暴破密碼或溢出,應(yīng)當(dāng)限制對其服務(wù)端口6129的訪問。ipsecpol-pmyfw-rdwmrc_block_all-f*+0:6129:tcp-nBLOCK-wregipsecpol-pmyfw-rdwmrc_pass_me-f9+0:6129:tcp-nPASS-wreg-x這樣就只有123.45.67.89可以訪問該主機(jī)的61

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150