2023年網(wǎng)規(guī)考試重點(diǎn)記憶_第1頁(yè)
2023年網(wǎng)規(guī)考試重點(diǎn)記憶_第2頁(yè)
2023年網(wǎng)規(guī)考試重點(diǎn)記憶_第3頁(yè)
2023年網(wǎng)規(guī)考試重點(diǎn)記憶_第4頁(yè)
2023年網(wǎng)規(guī)考試重點(diǎn)記憶_第5頁(yè)
已閱讀5頁(yè),還剩7頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

2023年網(wǎng)規(guī)考試重點(diǎn)知識(shí)點(diǎn)一、網(wǎng)絡(luò)體系結(jié)構(gòu)熟悉TCP/IP和0SI參考模型的各種著名協(xié)議的工作層次以及調(diào)用關(guān)系。二、信道特性尼奎斯特定理:B=2W,R=Blog2N。香農(nóng)定理:C=Wlog2(l+S/N)o注意分貝dB和S/N的轉(zhuǎn)換:dB=10logl0(S/N)。三、PCM尼奎斯特取樣定理:如果取樣速率大于模擬信號(hào)最高頻率的2倍,則可以用得到的樣本中恢復(fù)原來(lái)的模擬信號(hào)。四、編碼曼徹斯特編碼是一種雙相碼,在曼徹斯特編碼中,每一位的中間有一跳變,位中間的跳變既作時(shí)鐘信號(hào),又作數(shù)據(jù)信號(hào);差分曼徹斯特編碼在每個(gè)時(shí)鐘周期的中間都有一次電平跳變,這個(gè)跳變做同步之用。在每個(gè)時(shí)鐘周期的起始處:跳變則說(shuō)明該比特是0,不跳變則說(shuō)明該比特是1。編碼效率都是50%。4B/5B編碼、8B/10B編碼編碼效率80%。MLT-3編碼規(guī)則如下:1?如果下一比特是0,則輸出值與前面的值相同;2?如果下一比特是1,則輸出值就要有一個(gè)轉(zhuǎn)變:如果前面輸出的值是+V或-V,則下一輸出為0;如果前面輸出的值是0,則下一輸出的值與上一個(gè)非0值符號(hào)相反。各種網(wǎng)絡(luò)編碼規(guī)則:100Base-FX:4B/5B和NRZ-I編碼100Base-TX:MLT-3編碼100Base-T4(8B/6T編碼)1000BASE-X:8B/10B編碼1000BASE-T:4D-PAM5編碼1000BASE-TX:8B/10B編碼五、時(shí)分復(fù)用技術(shù)的標(biāo)準(zhǔn)E1的一個(gè)時(shí)分復(fù)用幀(其長(zhǎng)度T=125us)共劃分為32相等的時(shí)隙,時(shí)隙的編號(hào)為CH0~CH31。其中時(shí)隙CHO用作幀同步,時(shí)隙CH16用來(lái)傳送信令。因此PCM一次群E1的數(shù)據(jù)率就是2.048Mbit/soT1:采用同步時(shí)分復(fù)用技術(shù)將24個(gè)話音通路復(fù)合在一條L544Mbps的高速信道上。

六、碼距六、碼距碼距是一個(gè)編碼系統(tǒng)的碼距就是整個(gè)編碼系統(tǒng)中任意(所有)兩個(gè)碼字的最小距離。在一個(gè)碼組內(nèi)為了檢測(cè)e個(gè)誤碼,要求最小碼距應(yīng)該滿足:d>=e+lo在一個(gè)碼組內(nèi)為了糾正t個(gè)誤碼,要求最小碼距應(yīng)該滿足:d>=2t+l七、校驗(yàn)碼海明校驗(yàn)m+k+l=2k,其中M為信息位,K是校驗(yàn)位。CRC校驗(yàn)碼,需根據(jù)CRC生成多項(xiàng)進(jìn)行,最高嘉次決定CRC校驗(yàn)碼位數(shù),模二除算余數(shù)。但CRC并不自動(dòng)糾錯(cuò),通常是請(qǐng)求重傳。八、光纖多模光纖和單模光纖的區(qū)別,主要在于光的傳輸方式不同,當(dāng)然帶寬容量也不一樣。在應(yīng)用中,選擇多模還是單模的最常見(jiàn)決定因素是距離。如果只有550米之內(nèi),考試中首選多模。九、CSMA/CD協(xié)議最短數(shù)據(jù)幀長(zhǎng)(bit) 任意兩點(diǎn)間的最長(zhǎng)距離(m)數(shù)據(jù)傳輸速率(bps)≥2x信號(hào)傳播速度(200m/us)以太網(wǎng)采用截?cái)喽M(jìn)制指數(shù)退避算法來(lái)解決碰撞問(wèn)題。十、MAC地址組播MAC:01-00-5E-00-00-00到01-00-5E-7F-FF-FF。廣播MAC:廣播地址就是FFFF.FFFF.FFFF。網(wǎng)卡可以設(shè)置為混雜模式,也就是可以接收任意巾貞。十一、以太網(wǎng)幀結(jié)構(gòu)、沖突域、廣播域以太幀的幀長(zhǎng)度為64-1518字節(jié),不足64的會(huì)以填充字段加以填充。沖突域和廣播域:第一層設(shè)備不劃分沖突域、第二層設(shè)備劃分沖突域、第三層設(shè)備劃分廣播域。十二、設(shè)備的性能指標(biāo)包轉(zhuǎn)發(fā)率:交換機(jī)的包轉(zhuǎn)發(fā)率標(biāo)志了交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包能力的大小。單位一般為pps(包每秒),包轉(zhuǎn)發(fā)率=千兆端口*L488Mpps+百兆端口*0.1488Mpps+其余端口數(shù)*相應(yīng)包轉(zhuǎn)發(fā)數(shù)。背板帶寬:計(jì)算公式為端口數(shù)*相應(yīng)端口速率*2(全雙工模式)。十三、堆疊、群集、級(jí)聯(lián)華為交換機(jī)中堆疊技術(shù)為iStack(智能堆疊);集群技術(shù)稱之為CSS(集群交換機(jī)系統(tǒng)),需要堆疊模塊、堆疊線纜、統(tǒng)一管理。智能堆疊iStack主要適用于需要更高端口密度和交換性能的中低端的交換機(jī)中,而高端的交換機(jī)采用的是更高級(jí)的性能擴(kuò)展技術(shù)集群交換系統(tǒng)CSS,不再支持iStack。這兩種交換機(jī)管理技術(shù)在工作內(nèi)部資料,禁止傳播內(nèi)部資料,禁止傳播內(nèi)部資料,禁止傳播內(nèi)部資料,禁止傳播原理、配制方法和功能支持上存在許多相似性,但iStack堆疊中可以支持的成員交換機(jī)更多(最多9臺(tái)),CSS只支持兩臺(tái)交換機(jī)的集群。級(jí)聯(lián):普通雙絞線,任意設(shè)備、單獨(dú)管理十四、VLAN的分類靜態(tài)VLAN、基于MAC地址的劃分、基于網(wǎng)絡(luò)協(xié)議的分類。搞清楚Access、Trunk、HybridH種鏈路類型的區(qū)別、以及VLAN的配置。十五、GVRPGVRP的端口注冊(cè)模式有以下三種:Normal模式、Fixed模式、Forbidden模式。十六、鏈路聚合鏈路聚合的作用:根據(jù)需要靈活的增加網(wǎng)絡(luò)設(shè)備之間的帶寬;增加網(wǎng)絡(luò)設(shè)備之間連接的可靠性;節(jié)約成本。十七、STPSTP的基本原理是,通過(guò)在交換機(jī)之間傳遞網(wǎng)橋協(xié)議數(shù)據(jù)單元BPDU,把交換環(huán)路破壞,BPDU里面有一些主要字段:根網(wǎng)橋ID、根路徑成本、發(fā)送網(wǎng)橋ID、端口ID等等。十八、RSTPRSTP主要從二個(gè)方面實(shí)現(xiàn)快速收斂:邊緣端口、根端口和指定端口的快速切換。十九、MSTPMSTP是多生成樹協(xié)議,能夠讓不同VLAN的流量沿著各自的路徑轉(zhuǎn)發(fā),從而利用冗余鏈路提供了更好的負(fù)載分擔(dān)機(jī)制。二十、IP數(shù)據(jù)報(bào)格式一個(gè)IP數(shù)據(jù)報(bào)時(shí)由首部和數(shù)據(jù)兩部分所組成的。首部的前一部分為固定長(zhǎng)度,共20字節(jié)。二十一、分類的IP地址A類網(wǎng)絡(luò)號(hào)8位,L0.0.0至!]55。B類網(wǎng)絡(luò)號(hào)16位,到55oC類網(wǎng)絡(luò)號(hào)24位,到55。D類組播地址:-55E類保留地址:-54二十二、地址的類型單播地址:實(shí)現(xiàn)1對(duì)1通信的地址,典型的A、B、C類地址都屬于單播地址。組播地址:組播報(bào)文的目的地址使用D類IP地址,實(shí)現(xiàn)1對(duì)1組的通信。廣播地址:實(shí)現(xiàn)1對(duì)所有的通信:二十三、劃分子網(wǎng)劃分子網(wǎng)的方法是從網(wǎng)絡(luò)中的主機(jī)號(hào)借用若干位作為子網(wǎng)號(hào)。于是兩級(jí)的IP地址變?yōu)槿?jí)IP地址:網(wǎng)絡(luò)號(hào)、子網(wǎng)號(hào)和主機(jī)號(hào)。二十四、路由匯聚路由匯聚是用來(lái)解決路由表的內(nèi)容冗余問(wèn)題,使用路由聚合能夠縮小路由表的規(guī)模,減少路由表的內(nèi)存。提高路由器數(shù)據(jù)轉(zhuǎn)發(fā)的效率。路由器查找路由表的時(shí)候會(huì)從匹配結(jié)果中選擇具有最長(zhǎng)網(wǎng)絡(luò)前綴的路由。這叫做最長(zhǎng)前綴匹配。二十五、ARPARP作用:通過(guò)IP查找MAC。ARP請(qǐng)求分組:廣播發(fā)送。ARP響應(yīng)分組:?jiǎn)尾セ貞?yīng)。ARP-S,ARP-a、ARP-d等命令。二十六、ICMP為了能夠更加有效的轉(zhuǎn)發(fā)IP數(shù)據(jù)報(bào)和提高交付成功的機(jī)會(huì),在網(wǎng)際層使用了網(wǎng)際控制報(bào)文協(xié)議ICMP,ICMP協(xié)議作為IP數(shù)據(jù)報(bào)中的數(shù)據(jù),封裝在IP數(shù)據(jù)包中發(fā)送。主要有終點(diǎn)不可達(dá)、源站抑制、時(shí)間超過(guò)、參數(shù)問(wèn)題、改變路由。注意:PING、Tracer^Pathping作用和原理。二十七、三層交換為了實(shí)現(xiàn)VLAN間通信,可通過(guò)配置邏輯的三層接口-VLANIF接口來(lái)實(shí)現(xiàn)。二十八、VRRPVRRP也叫虛擬路由器冗余協(xié)議,為IP網(wǎng)絡(luò)提供了容錯(cuò)和增強(qiáng)的路由選擇功能。注意VRRP的配置、心跳線、負(fù)載均衡。二十九、靜態(tài)路由、浮動(dòng)靜態(tài)路由和默認(rèn)路由iproute-staticip-addressmasknexthop-address優(yōu)先級(jí)。三十、RIPRIP規(guī)定一條路徑上最多只能包含15個(gè)路由器。因此,距離為16會(huì)認(rèn)為不可達(dá),所以只適合與小型網(wǎng)絡(luò)。每隔30秒發(fā)整張路由表的副表給鄰居路由器。RIP協(xié)議路由環(huán)路問(wèn)題的解決方法有最大度量值、水平分隔、路由中毒、反向下毒、保持時(shí)間、觸發(fā)更新。注意:RIPvl和v2版本的區(qū)別,RIPvl是有類別路由協(xié)議,它只支持以廣播方式發(fā)布協(xié)議報(bào)文。RIPvl的協(xié)議報(bào)文無(wú)法攜帶掩碼信息,它只能識(shí)別A、B、C類這樣的標(biāo)準(zhǔn)分類網(wǎng)段的路由,RIPx/2是一種無(wú)類別路由協(xié)議。使用的組播地址。支持MD5認(rèn)證。HH—、OSPFOSPF協(xié)議的工作流程:尋找鄰居:OSPF路由器周期性(默認(rèn)10秒)的從其啟動(dòng)OSPF協(xié)議的每一個(gè)接口以組播地址發(fā)送HELLO包;建立鄰接關(guān)系:只有建立了可靠鄰接關(guān)系的路由器才相互傳遞鏈路狀態(tài)信息;鏈路狀態(tài)信息傳遞:建立鄰接關(guān)系的OSPF路由器之間將交互LSA;計(jì)算路由:各路由器將根據(jù)LSDB的信息用SPF算法獨(dú)立計(jì)算出路由。OSPF區(qū)域類型:主干區(qū)域、末梢區(qū)域、完全末梢區(qū)域、非完全末梢區(qū)域的概念。OSPF的選路原則:第一步:(1)域內(nèi)路由優(yōu)于域間路由(2)域間路由優(yōu)于外部路由(3)0E1的路由優(yōu)于0E2的路由。第二步:在類型相同的情況下,Cost越小越優(yōu)先;第三步如果路由類型和鏈路開銷都一樣,那么這兩條路由就形成等價(jià)路由。OSPF靜默端口:為了使OSPF的路由信息不被其他路由器獲得,可以禁止接口發(fā)送OSPF報(bào)文。接口被禁止發(fā)送協(xié)議報(bào)文后,這個(gè)接口就叫做靜默接口或者被動(dòng)接口。三十二、TCPTCP的三次握手過(guò)程和四次斷開過(guò)程。TCP利用滑動(dòng)窗口機(jī)制可以很方便地在TCP連接上實(shí)現(xiàn)對(duì)發(fā)送方的流量控制。TCP擁塞控制:幾種擁塞控制方法包括:慢開始、擁塞避免、快重傳和快恢復(fù)。三十四、DNS域名服務(wù)器的類型:根域名服務(wù)器、頂級(jí)域名服務(wù)器、權(quán)限域名服務(wù)器、區(qū)域名服務(wù)器。域名服務(wù)器的類型又分為主域名服務(wù)器、輔助域名服務(wù)器、轉(zhuǎn)發(fā)域名服務(wù)器、緩存域名服務(wù)器。DNS解析的過(guò)程:遞歸解析:主機(jī)向本地域名服務(wù)器的查詢一般都是采用遞歸查詢。迭代解析:本地域名服務(wù)器向根域名服務(wù)器的查詢的迭代查詢。三十五、DHCPDHCP報(bào)文是承載于UDP上的高層協(xié)議報(bào)文,采用67(DHCP服務(wù)器)和68(DHCP客戶端)兩個(gè)端口號(hào)。DHCPDISCOVER數(shù)據(jù)包,封包的源地址為,目標(biāo)地址為55。DHCPDecline:DHCP客戶端收至!)DHCP服務(wù)器回應(yīng)的ACK報(bào)文后,通過(guò)地址沖突檢測(cè)發(fā)現(xiàn)服務(wù)器分配的地址沖突或者由于其他原因?qū)е虏荒苁褂茫瑒t發(fā)送Decline報(bào)文,通知服務(wù)器所分配的IP地址不可用。租約:客戶機(jī)會(huì)在租期過(guò)去50%的時(shí)候,直接向?yàn)槠涮峁㊣P地址的DHCPServer發(fā)送DHCPREQUEST消息包三十六、電子郵件SMTPsPOP3的作用范圍、MIME即多用途互聯(lián)網(wǎng)郵件擴(kuò)展,是目前互聯(lián)網(wǎng)電子郵件普遍遵循的郵件技術(shù)規(guī)范。三十七、網(wǎng)絡(luò)管理SNMP使用的是無(wú)連接的UDP協(xié)議,在運(yùn)行代理程序的服務(wù)器端用161端口來(lái)接收Get或Set報(bào)文和發(fā)送響應(yīng)報(bào)文,但運(yùn)行管理程序的客戶端則使用熟知端口162來(lái)接收來(lái)自各代理的Trap報(bào)文。SNMPV3最大的改進(jìn)就在于安全性。三十八、HDLCHDLC是一種面向比特的鏈路層協(xié)議。PPP是面向字符的。PPP過(guò)程分為三個(gè)階段:創(chuàng)建階段、認(rèn)證階段和網(wǎng)絡(luò)協(xié)商階段。PAP認(rèn)證過(guò)程非常簡(jiǎn)單,二次握手機(jī)制。使用明文格式發(fā)送用戶名和密碼。CHAP認(rèn)證比PAP認(rèn)證更安全,三次握手機(jī)制,因?yàn)镃HAP不在線路上發(fā)送明文密碼,而是發(fā)送經(jīng)過(guò)摘要算法加工過(guò)的隨機(jī)序列,也被稱為"挑戰(zhàn)字符串”。三十九:SDHSTS03、0C3STM-l:155.520Mbpso四十:PONPON是一種基于光纖長(zhǎng)距離的以太網(wǎng)接入技術(shù)。PON采用點(diǎn)對(duì)多點(diǎn)架構(gòu),下行的數(shù)據(jù)流采用廣播方式,OLT數(shù)據(jù)流推送到所有的ONU處;上行的數(shù)據(jù)流采用時(shí)分多址(TDMA)技術(shù),把上行的時(shí)間分成了許多的時(shí)間片,根據(jù)ONU分配的帶寬和業(yè)務(wù)的優(yōu)先級(jí)給ONU的上行數(shù)據(jù)流分配不同的時(shí)間片。四H■-、DSLADSL是非對(duì)稱數(shù)字用戶線路的簡(jiǎn)稱,理論上,ADSL可在5km的范圍內(nèi),在一對(duì)銅纜雙絞線上提供最高1Mbps的上行速率和最高8Mbps的下行速率。目前,DMT已成為ANSI制訂的ADSL的調(diào)制標(biāo)準(zhǔn)。四十二、HFCHFC是將光纜敷設(shè)到小區(qū),然后通過(guò)光電轉(zhuǎn)換結(jié)點(diǎn),利用有線電視CATV的總線式同軸電纜連接到用戶,提供綜合電信業(yè)務(wù)的技術(shù)。四十三、WLAN以太網(wǎng)供電POE技術(shù)是交換機(jī)POE模塊通過(guò)以太網(wǎng)線路為無(wú)線AP供電。IEEE802.3af(15.4W)成為了首個(gè)PoE供電標(biāo)準(zhǔn),規(guī)定了以太網(wǎng)供電標(biāo)準(zhǔn),是PoE應(yīng)用的主流實(shí)現(xiàn)標(biāo)準(zhǔn)。IEEE802.3af允許兩種用法,應(yīng)用空閑腳供電時(shí),4、5腳連接為正極,7、8腳連接為負(fù)極。應(yīng)用數(shù)據(jù)腳供電時(shí),將DC電源加在傳輸變壓器的中點(diǎn),不影響數(shù)據(jù)的傳輸。在這種方式下線對(duì)1、2和線對(duì)3、6可以為任意極性。三種無(wú)線加密方式,分別是WEP、WPA/WPA2、WPA-PSK/WPA2-PSKo認(rèn)證方式有:MAC地址過(guò)濾、Portal認(rèn)證、802.1X認(rèn)證。WIFI工作在2.4GHZ的時(shí)候,這個(gè)頻段被劃分為14個(gè)交疊的,錯(cuò)列的22MHz的無(wú)線載波信道,相鄰信道中心頻率間隔為5MHZ,可以使用(1、6、11),(2、7、12),(3、8、13),(4、9、14)這4組互不干擾的信道來(lái)進(jìn)行無(wú)線覆蓋。我們國(guó)家1-13信道被允許使用。由于有隱蔽站和暴露站問(wèn)題,DCF使用的媒體接入方法是載波偵聽(tīng)多路訪問(wèn)/沖突避免(CSMA/CA)策略。AP通過(guò)三層網(wǎng)絡(luò)連接時(shí)的注冊(cè)流程-option43方式:DHCPServer向FitAP下發(fā)DHCP-Offer報(bào)文中攜帶option43字段,此字段中就包含AC的IP地址信息。四十四、IPV6IPV6:128位的地址空間、不再使用IPv4中的選項(xiàng),改為擴(kuò)展首部。IPv6協(xié)議的基本報(bào)頭40字節(jié)。IPV6地址類型分為單播、組播和任播。全局單播IPv6地址:2000::/3、鏈路本地單播地址:FE80::/64oIPV4和IPV6的過(guò)渡方案:雙協(xié)議棧、隧道技術(shù)、NAT/PTO四十五、QOSQOS三種類型:盡力而為服務(wù)模型、綜合服務(wù)模型、區(qū)分服務(wù)模型。綜合服務(wù)模型的RSVP協(xié)議:接收方向路由器申請(qǐng)預(yù)留資源。四十六、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)云計(jì)算五種基本屬性:按需自助服務(wù),廣泛的網(wǎng)絡(luò)接入、資源池、快速?gòu)椥?、可?jì)量服務(wù)。大數(shù)據(jù)具備"5V"特點(diǎn):大容量、多樣性、價(jià)值化、快速度、真實(shí)性。NB-loT是新興的物聯(lián)網(wǎng)技術(shù),NB-I0T的特點(diǎn):覆蓋廣、海量連接、低功耗、移動(dòng)性做了簡(jiǎn)化。四十七、虛擬化虛擬化主要在效率、隔離、可靠性、成本方面、兼容性、擴(kuò)展性、遷移方面有很大的優(yōu)勢(shì)。受攻擊、性能降低、系統(tǒng)維護(hù)難度、技術(shù)人員成本是缺陷。N:1:M優(yōu)勢(shì)在于節(jié)省資源和提高效率。請(qǐng)掌握服務(wù)器虛擬化、存儲(chǔ)虛擬化、桌面虛擬化的特點(diǎn)。四十八、SDN和區(qū)塊鏈SDN就是控制和轉(zhuǎn)發(fā)分離、網(wǎng)絡(luò)可編程,集中化控制。控制器通過(guò)南向接口管理網(wǎng)絡(luò)設(shè)備,通過(guò)北向接口支持業(yè)務(wù)層的各種應(yīng)用程序,也就是網(wǎng)絡(luò)可編程。區(qū)塊鏈就是一種去中心化的分布式賬本數(shù)據(jù)庫(kù)。涉及到去中心化、加密技術(shù)、認(rèn)證算法、共識(shí)算法,區(qū)塊鏈技術(shù)想要全面應(yīng)用于現(xiàn)實(shí)社會(huì)中,關(guān)鍵是要解決高耗能、數(shù)據(jù)存儲(chǔ)空間及大規(guī)模交易處理等問(wèn)題。四十九、網(wǎng)絡(luò)攻擊ARP欺騙攻擊防御:綁定MAC和IP、ARP防火墻。DNS欺騙攻擊防御:入侵檢測(cè)、DNSSECoDHCP欺騙防御:DHCPSnoopingo拒絕服務(wù)攻擊防御:定期檢查服務(wù)器漏洞、部署CDN、關(guān)閉不必要的服務(wù)或端口、利用網(wǎng)絡(luò)安全設(shè)備(防火墻、流量清洗設(shè)備、IPS、WAF)來(lái)加固網(wǎng)絡(luò)的安全性。SQL注入攻擊防御:使用參數(shù)化的過(guò)濾性語(yǔ)句、使用專業(yè)的漏洞掃描工具、使用IPS、WAF等設(shè)備。XSS防御:驗(yàn)證所有輸入數(shù)據(jù),對(duì)所有輸出數(shù)據(jù)進(jìn)行適當(dāng)?shù)木幋a,也可以部署一些專用的WEB防護(hù)設(shè)備、IPS設(shè)備。五十、數(shù)據(jù)加密對(duì)稱加密算法:DES(56)、3DES(112)、AES(128、192、256)、RC-5。公鑰加密算法:RSA、EC&背包加密、Rabin五十一、數(shù)字簽名數(shù)字簽名三點(diǎn)功能:報(bào)文鑒別、報(bào)文的完整性、不可否認(rèn)性。五十二、報(bào)文摘要MD5:對(duì)報(bào)文運(yùn)算,得出128位的MD5報(bào)文摘要代碼。SHA和MD5相似,但碼長(zhǎng)為160位。五十三、對(duì)稱密鑰的分配密鑰分配方式是設(shè)立密鑰分配中心KD&目前用的最多的密鑰分配協(xié)議是Kerberos。Kerberos使用兩個(gè)服務(wù)器:鑒別服務(wù)器AS、票據(jù)授權(quán)服務(wù)器TGS。注意加密時(shí)間戳是為了防止重放攻擊。五十四、數(shù)字證書數(shù)字證書的格式遵循X.509V3標(biāo)準(zhǔn),CA對(duì)用戶公鑰的認(rèn)證。五十五、SSL、PGP、S/MIMESSL可以對(duì)萬(wàn)維網(wǎng)客戶與服務(wù)器之間傳送的數(shù)據(jù)進(jìn)行加密和鑒別。PGP和S/MIME保護(hù)電子郵件的安全。五十六、PKIPKI的核心是數(shù)字證書,證書在使用過(guò)程中會(huì)因密碼泄露、客戶更名等原因而被撤銷。CA-般采用證書撤消列表CRL管理失效證書。五十七、網(wǎng)閘對(duì)于政務(wù)網(wǎng)的安全需求是在公網(wǎng)和外網(wǎng)之間實(shí)行邏輯隔離,在內(nèi)網(wǎng)和外網(wǎng)之間實(shí)行物理隔離(網(wǎng)閘)。沒(méi)有連接,來(lái)自外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊就無(wú)從談起。五十八、防火墻包過(guò)濾防火墻:工作在0SI的第三層(網(wǎng)絡(luò)層)和第四層(傳輸層),因此包過(guò)濾的防火墻的一個(gè)非常明顯的優(yōu)勢(shì)就是速度,而對(duì)數(shù)據(jù)報(bào)所攜帶的內(nèi)容沒(méi)有任何形式的檢查。防火墻能夠工作在三種模式下:路由模式、透明模式、混合模式。另外注意大多情況下防火墻以直路方式連接到網(wǎng)絡(luò)環(huán)境內(nèi)部資料,禁止傳播內(nèi)部資料,禁止傳播中,與直路部署方式相比,防火墻旁掛部署的優(yōu)點(diǎn)主要在于:可以在不改變現(xiàn)有網(wǎng)絡(luò)物理拓?fù)涞那闆r下,將防火墻部署到網(wǎng)絡(luò)中;可以有選擇地將通過(guò)匯聚交換機(jī)的流量引導(dǎo)到防火墻上。在華為防火墻中,每個(gè)安全區(qū)域都有一個(gè)安全級(jí)別,用1-100表示,數(shù)字越大,代表這個(gè)區(qū)域越可信。默認(rèn)情況下,LOCAL區(qū)域安全級(jí)別100、Trust區(qū)域?yàn)?5,DMZ為50,Untrust區(qū)域?yàn)?。安全域間的數(shù)據(jù)流動(dòng)具有方向性,包括入方向(Inbound)和出方向(Outbound)。入方向:數(shù)據(jù)由低優(yōu)先級(jí)的安全區(qū)域向高優(yōu)先級(jí)的安全區(qū)域傳輸。出方向:數(shù)據(jù)由高優(yōu)先級(jí)的安全區(qū)域向低優(yōu)先級(jí)的安全區(qū)域傳輸。五十九、ACL默認(rèn)在每個(gè)ACL中最后一行都隱藏有拒絕所有或者允許所有,這個(gè)規(guī)則可以自行調(diào)整,在華為設(shè)備中一般是允許所有通過(guò)。訪問(wèn)列表一般有基礎(chǔ)訪問(wèn)列表(華為ACL的編號(hào)為為2000-2999、只能基于源IP地址進(jìn)行判定是否允許或拒絕數(shù)據(jù)包通過(guò))、高級(jí)訪問(wèn)列表(ACL編號(hào)是3000-3999、可以根據(jù)源IP地址、目的IP地址、IP報(bào)文承載的協(xié)議類型、端口號(hào)等三四層信息制定規(guī)則)兩種。高級(jí)訪問(wèn)控制列表應(yīng)該盡量放置在接近數(shù)據(jù)流的源的地方,基礎(chǔ)的訪問(wèn)控制列表應(yīng)該盡量放置在接近數(shù)據(jù)流的目的地方。六十、IDS和IPSIDS入侵檢測(cè)系統(tǒng)與防火墻不同,沒(méi)有也不需要跨接在任何鏈路上,只是一個(gè)旁路監(jiān)聽(tīng)設(shè)備。部署的位置:服務(wù)器區(qū)域的交換機(jī)上;核心交換機(jī)上。IPS的設(shè)計(jì)思想是要兼有檢測(cè)入侵和對(duì)入侵做出反應(yīng)兩項(xiàng)功能,IPS一般是以串聯(lián)的形式直接嵌入到網(wǎng)絡(luò)流量中的,這有別于IDS的并聯(lián)方式。IPS的缺點(diǎn)就是:IPS會(huì)對(duì)數(shù)據(jù)包做重組,會(huì)對(duì)數(shù)據(jù)的傳輸層,網(wǎng)絡(luò)層,應(yīng)用層中各字段做分析并與簽名庫(kù)做比對(duì),如果沒(méi)有問(wèn)題,才轉(zhuǎn)發(fā)出去。IPS規(guī)劃在這個(gè)位置會(huì)加大網(wǎng)絡(luò)的延遲。同時(shí),網(wǎng)絡(luò)中部署一個(gè)IPS會(huì)存在有單點(diǎn)故障。六H六H—、VPNL2TP和PPTP有不同之處,比如PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò),L2Tp要求面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接;IPSec包括認(rèn)證頭協(xié)議AH、封裝安全負(fù)載協(xié)議ESP、密鑰管理協(xié)議IKE。認(rèn)證頭協(xié)議AH不能加密,只對(duì)數(shù)據(jù)報(bào)進(jìn)行驗(yàn)證、保證報(bào)文的完整性,不能穿越NAT網(wǎng)絡(luò)。IPsec封裝安全負(fù)載(ESP):AH+力口密,能兼容NAT。IPSec有兩種操作模式:傳輸模式和隧道模式。在傳輸模式中,兩個(gè)需要通信的終端計(jì)算機(jī)運(yùn)行IPsec協(xié)議,把整個(gè)傳輸層報(bào)文段都保護(hù)起來(lái)。隧道模式是對(duì)整個(gè)IP數(shù)據(jù)包提供安全傳輸機(jī)制。建立SA的過(guò)程分兩個(gè)階段。建立加密隧道、傳輸加密的數(shù)據(jù)流。在階段1,IKE提供了兩種模式的選擇:主模式和野蠻模式。主現(xiàn)在默認(rèn)采用的都是主模式。階段2只有一個(gè)模式,快速模式。IPSECVPN的具體配置流程:配置安全ACL=配置安全提議-配置IKE-配置安全策略-在接口應(yīng)用安全策略。MPLSVPN網(wǎng)絡(luò):區(qū)分不同公司相同地址的數(shù)據(jù):VRF+RD,PE到PE的路由取舍用的是RT。如何在PE之間傳遞各VRF中的路由以及相應(yīng)的RT,需要用到MP-

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論