.简述网络端口的组成与使用情况
端口大全
端口:0
服务:Reserved
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
端口:1
服务:tcpmux
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
端口:7
服务:Echo
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19
服务:Character Generator
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
端口:21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
端口:23
服务:Telnet
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
端口:31
服务:MSG Authentication
说明:木马Master Paradise、Hackers Paradise开放此端口。
端口:42
服务:WINS Replication
说明:WINS复制
端口:53
服务:Domain Name Server(DNS)
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此_blank"防火墙常常过滤或记录此端口。
端口:67
服务:Bootstrap Protocol Server
说明:通过DSL和Cable modem的_blank"防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。 HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
端口:69
服务:Trival File Transfer
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
端口:79
服务:Finger Server
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。
端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。
端口:99
服务:Metagram Relay
说明:后门程序ncx99开放此端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
端口:110
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:113
服务:Authentication Service
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过_blank"防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在_blank"防火墙另一边与E-MAIL服务器的缓慢连接。许多_blank"防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
端口:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。
端口:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在 Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口:443
服务:Https
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
端口:456
服务:[NULL]
说明:木马HACKERS PARADISE开放此端口。
端口:513
服务:Login,remote login
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
端口:544
服务:[NULL]
说明:kerberos kshell
端口:548
服务:Macintosh,File Services(AFP/IP)
说明:Macintosh,文件服务。
端口:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
端口:555
服务:DSF
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
端口:568
服务:Membership DPA
说明:成员资格 DPA。
端口:569
服务:Membership MSN
说明:成员资格 MSN。
端口:635
服务:mountd
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于 2049端口。
端口:636
服务:LDAP
说明:SSL(Secure Sockets layer)
端口:666
服务:Doom Id Software
说明:木马Attack FTP、Satanz Backdoor开放此端口
端口:993
服务:IMAP
说明:SSL(Secure Sockets layer)
端口:1001、1011
服务:[NULL]
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
端口:1024
服务:Reserved
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
端口:1025、1033
服务:1025:network blackjack 1033:[NULL]
说明:木马netspy开放这2个端口。
端口:1080
服务:SOCKS
说明:这一协议以通道方式穿过_blank"防火墙,允许_blank"防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于_blank"防火墙外部的攻击穿过 _blank"防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。
端口:1170
服务:[NULL]
说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
端口:1234、1243、6711、6776
服务:[NULL]
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。
端口:1245
服务:[NULL]
说明:木马Vodoo开放此端口。
端口:1433
服务:SQL
说明:Microsoft的SQL服务开放的端口。
端口:1492
服务:stone-design-1
说明:木马FTP99CMP开放此端口。
端口:1500
服务:RPC client fixed port session queries
说明:RPC客户固定端口会话查询
端口:1503
服务:NetMeeting T.120
说明:NetMeeting T.120
端口:1524
服务:ingress
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了 _blank"防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个 SHELL。连接到600/pcserver也存在这个问题。
端口:1600
服务:issd
说明:木马Shivka-Burka开放此端口。
端口:1720
服务:NetMeeting
说明:NetMeeting H.233 call Setup。
端口:1731
服务:NetMeeting Audio Call Control
说明:NetMeeting音频调用控制。
端口:1807
服务:[NULL]
说明:木马SpySender开放此端口。
端口:1981
服务:[NULL]
说明:木马ShockRave开放此端口。
端口:1999
服务:cisco identification port
说明:木马BackDoor开放此端口。
端口:2000
服务:[NULL]
说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。
端口:2001
服务:[NULL]
说明:木马Millenium 1.0、Trojan Cow开放此端口。
端口:2023
服务:xinuexpansion 4
说明:木马Pass Ripper开放此端口。
端口:2049
服务:NFS
说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
端口:2115
服务:[NULL]
说明:木马Bugs开放此端口。
端口:2140、3150
服务:[NULL]
说明:木马Deep Throat 1.0/3.0开放此端口。
端口:2500
服务:RPC client using a fixed port session replication
说明:应用固定端口会话复制的RPC客户
端口:2583
服务:[NULL]
说明:木马Wincrash 2.0开放此端口。
端口:2801
服务:[NULL]
说明:木马Phineas Phucker开放此端口。
端口:3024、4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:3128
服务:squid
说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、 8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
端口:3129
服务:[NULL]
说明:木马Master Paradise开放此端口。
端口:3150
服务:[NULL]
说明:木马The Invasor开放此端口。
端口:3210、4321
服务:[NULL]
说明:木马SchoolBus开放此端口
端口:3333
服务:dec-notes
说明:木马Prosiak开放此端口
端口:3389
服务:超级终端
说明:WINDOWS 2000终端开放此端口。
端口:3700
服务:[NULL]
说明:木马Portal of Doom开放此端口
端口:3996、4060
服务:[NULL]
说明:木马RemoteAnything开放此端口
端口:4000
服务:QQ客户端
说明:腾讯QQ客户端开放此端口。
端口:4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:4590
服务:[NULL]
说明:木马ICQTrojan开放此端口。
端口:5000、5001、5321、50505
服务:[NULL]
说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。
端口:5400、5401、5402
服务:[NULL]
说明:木马Blade Runner开放此端口。
端口:5550
服务:[NULL]
说明:木马xtcp开放此端口。
端口:5569
服务:[NULL]
说明:木马Robo-Hack开放此端口。
端口:5632
服务:pcAnywere
说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。
端口:5742
服务:[NULL]
说明:木马WinCrash1.03开放此端口。
端口:6267
服务:[NULL]
说明:木马广外女生开放此端口。
端口:6400
服务:[NULL]
说明:木马The tHing开放此端口。
端口:6670、6671
服务:[NULL]
说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
端口:6883
服务:[NULL]
说明:木马DeltaSource开放此端口。
端口:6969
服务:[NULL]
说明:木马Gatecrasher、Priority开放此端口。
端口:6970
服务:RealAudio
说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
端口:7000
服务:[NULL]
说明:木马Remote Grab开放此端口。
端口:7300、7301、7306、7307、7308
服务:[NULL]
说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。
端口:7323
服务:[NULL]
说明:Sygate服务器端。
端口:7626
服务:[NULL]
说明:木马Giscier开放此端口。
端口:7789
服务:[NULL]
说明:木马ICKiller开放此端口。
端口:8000
服务:OICQ
说明:腾讯QQ服务器端开放此端口。
端口:8010
服务:Wingate
说明:Wingate代理开放此端口。
端口:8080
服务:代理端口
说明:WWW代理开放此端口。
端口:9400、9401、9402
服务:[NULL]
说明:木马Incommand 1.0开放此端口。
端口:9872、9873、9874、9875、10067、10167
服务:[NULL]
说明:木马Portal of Doom开放此端口。
端口:9989
服务:[NULL]
说明:木马iNi-Killer开放此端口。
端口:11000
服务:[NULL]
说明:木马SennaSpy开放此端口。
端口:11223
服务:[NULL]
说明:木马Progenic trojan开放此端口。
端口:12076、61466
服务:[NULL]
说明:木马Telecommando开放此端口。
端口:12223
服务:[NULL]
说明:木马Hack'99 KeyLogger开放此端口。
端口:12345、12346
服务:[NULL]
说明:木马NetBus1.60/1.70、GabanBus开放此端口。
端口:12361
服务:[NULL]
说明:木马Whack-a-mole开放此端口。
端口:13223
服务:PowWow
说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。
端口:16969
服务:[NULL]
说明:木马Priority开放此端口。
端口:17027
服务:Conducent
说明:这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。
端口:19191
服务:[NULL]
说明:木马蓝色火焰开放此端口。
端口:20000、20001
服务:[NULL]
说明:木马Millennium开放此端口。
端口:20034
服务:[NULL]
说明:木马NetBus Pro开放此端口。
端口:21554
服务:[NULL]
说明:木马GirlFriend开放此端口。
端口:22222
服务:[NULL]
说明:木马Prosiak开放此端口。
端口:23456
服务:[NULL]
说明:木马Evil FTP、Ugly FTP开放此端口。
端口:26274、47262
服务:[NULL]
说明:木马Delta开放此端口。
端口:27374
服务:[NULL]
说明:木马Subseven 2.1开放此端口。
端口:30100
服务:[NULL]
说明:木马NetSphere开放此端口。
端口:30303
服务:[NULL]
说明:木马Socket23开放此端口。
端口:30999
服务:[NULL]
说明:木马Kuang开放此端口。
端口:31337、31338
服务:[NULL]
说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。
端口:31339
服务:[NULL]
说明:木马NetSpy DK开放此端口。
端口:31666
服务:[NULL]
说明:木马BOWhack开放此端口。
端口:33333
服务:[NULL]
说明:木马Prosiak开放此端口。
端口:34324
服务:[NULL]
说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。
端口:40412
服务:[NULL]
说明:木马The Spy开放此端口。
端口:40421、40422、40423、40426、
服务:[NULL]
说明:木马Masters Paradise开放此端口。
端口:43210、54321
服务:[NULL]
说明:木马SchoolBus 1.0/2.0开放此端口。
端口:44445
服务:[NULL]
说明:木马Happypig开放此端口。
端口:50766
服务:[NULL]
说明:木马Fore开放此端口。
端口:53001
服务:[NULL]
说明:木马Remote Windows Shutdown开放此端口。
端口:65000
服务:[NULL]
说明:木马Devil 1.03开放此端口。
什么是指连入网络的不同档次不同型号的微机
一、贵公司网络概况
由于贵公司网络速度慢、达不到办公的正常速率。根据我司的勘察目前贵公司的网络架构年限较长,布线杂乱、设备陈旧老化且布线骨干基础网络设备已经无法承载互联网迅猛发展的当下业务应用。因此对网络重新布线、设备更改已显得格外重要。
二、网络现状及建议方案
1、贵公司分A、B两栋办公楼。A栋分三层共20个房间左右需求网络。B栋分三层共两个大办公室需求网络。弱电机房在A栋,贵公司宽带进线为一根在A楼。
2、建议宽带从A栋办公楼移到B栋办公楼弱电机房,从而减少到企业级网关的传输距离,并且方便今后的日常维护。
3、贵司现有的无线组网是员工私自安装的家用型无线路由器。由于无线路由器多为经济型家用路由器,相互之间对网络干扰比较大,影响贵司主干网络。建议使用企业级双频无线AP。
4、我司为贵公司推荐的网络设备品牌为华三,华三品牌在国内是一线品牌。
二、电话现状及建议方案
1、贵公司分A、B两栋办公楼。A栋分三层共20个房间左右需求电话通讯。B栋分三层共两个大办公室需求电话通讯。
2、建议电话采用集团电话程控系统,实现内部分机,每位员工设置一个指定分机号码,内部通讯免费,外面拨打公司电话通一前台或指定某一位员工接听,再转接给公司内部员工,这样公司所有员工都可以实现内部通讯及拨打外部电话。
我司为贵公司推荐的网络设备品牌为国威。
三、施工结构
1、网络配线系统
公司办公楼共有AB两栋楼,每栋楼3层,考虑方便管理建议AB两栋楼各设置一个机房,A楼没有预设场地放机柜可放壁挂的机柜,(建议每层楼放一个壁挂的小机柜或者放一个立式的主机柜),主机房预设在B楼的2层,A栋楼一层大概30个有线网络接口,无线网络接口2个无线AP使用,二层大概15个有有线网络接口,无线网络接口2个无线AP使用,三层大概15个有线网络接口,无线网络接口2个无线AP使用,A栋楼合计60个有线网络接口,B栋楼一层由于是厂房就没有预设网络接口,二层大概45个有线网络接口,无线网络接口2个无线AP使用,三层大概30个有线网络接口,无线网络接口2个无线AP使用,B栋楼合计70个有线网络接口,无线网络接口2个无线AP使用。AB两栋楼合计大概有线网络接口130个端口,无线端口合计10个端口。
2、电话配线系统
公司办公楼共有AB两栋楼,每栋楼3层,考虑方便管理建议AB两栋楼各设置一个电话配线箱,主配线箱预设在B楼的2层,A栋楼一层大概30个有电话接口,二层大概15个有电话接口,三层大概15个有电话接口, A栋楼合计60个有电话接口,B栋楼一层由于是厂房就没有预设网络接口,二层大概45个有电话接口,三层大概30个有电话接口, B栋楼合计70个有电话接口。
3、布线需求情况
网络配线系统
中心机房设在B楼的2层,A楼主机房与B楼机房之间用光仟连接。机房到终端采用千兆网络,外光纤进入主机房。
电话配线系统
主配线箱设在B楼的2层,A楼主机房与B楼机房之间用100对室外电话大对数电缆连接。配线箱到终端采用4*0.5电话线连接,外线由电信接入主机房。
大对数打线排列标准
布线方案的设计原则建设的指导思想和原则是:
适应发展,规模适当,逐步发展,保持先进。建成一个具有一定规模容量,技术较先进、功能齐全、运行高效、使用方便、安全可靠、质量优良,适应全方位、多层次需求的现代化网络。设计简单、结构灵活、可塑性好,便于更新调整和扩展升级;具有前瞻性,网络建成后能满足公司大楼的需要。
四、符合国际标准
本布线方案符合最新的国际布线标准ISO/IEC11801,并符合美国TIA/EIA-586布线标准。
信息插口
防尘;含有插口盖板。
超六类千兆接口模块;保证其耐用性和可靠性。
三类电话RJ11接口模块;保证其耐用性和可靠性。
面板标记;保证用户使用的方便性。
五、网络设计原则
工厂的网络设计我们遵循以下几个方面设计:
1、稳定可靠的网络
具有运行稳定的网络才是可靠的网络。而网络的可靠运行取决于诸多因素,如网络的设计,产品的选择等。
2、易扩展的网络
网络系统要有可扩展性和可升级性。随着业务的增长,规模的增加,需要网络有很好的可扩展性,并能随着技术的发展不断升级。
3、安全的网络
网络系统应具有良好的安全性。由于网络系统内连接不同的终端,因此安全管理十分重要。交换机应支持VLAN的划分,以便于隔离不同子网的设备;路由器能设置各种访问控制等;还可以使用防火墙对应用服务进行管控。
六、网络系统架构
办公内网系统结构图
整体网络架构如下:
整个网络系统,我们采用千兆互联。
化工厂的办公内网核心交换机使用H3C S5560S万兆级交换机,配备光电接口,为服务器和接入层交换机提供接入端口;出口层使用H3C F1000AK系列防火墙与外界互联,同时还具备入侵检测、防病毒的能力。由于网络规模不大,楼层较少,为了节省成本,其他楼层所使用S500PV3-EI系列的三层交换机通过千兆双绞线与核心交换机互联。
无线网络通用无线控制器AC+Fit AP 的组网方式部署。这种部署方式具有集中管理功能,所有的关于无线网络的配置都可以通过配置无线控制器来统一完成,无线WiFi每层楼面放置2台千兆双频无线AP,使用AC控制器+POE供电交换机+FITAP的方式部署无线网络。。
全网均采用H3C可管理型交换机,支持VLAN的划分,以便于隔离不同子网的设备;后期无线设备上线,可以单独划分出一个VLAN给无线用户WIFI上网,通过出口防火墙配合,达到有线用户走互联网线路A, 无线用户走互联网线路B的分流效果。
出口防火墙
在系统总体安全规划设计中,我们将按照安全风险防护与安全投资之间的平衡原则(主要包括层次化的综合防护原则和不同层次重点防护原则),提出以下的安全风险和防护措施,从而建立起全防御体系的信息安全框架。
安全边界的建立可以通过防火墙来实现。在局域网的出口处,我们建议采用1台H3C SecPath 系列防火墙,通过建议防火墙安全策略控制,可以防止“黑客”对企业网络系统的非法侵入、过滤不安全服务以及规划网络信息的流向。控制哪些用户能够登录到内部网并获取相关网络资源,控制准许哪些用户入网和准许他们对哪些工作站进行访问。
防火墙策略的配置我们建议如下:
• 配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范;
• 配置防火墙全面安全防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等;
• 防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;
• 由外往内的访问控制规则:
• 在防火墙上设置允许VPN协议数据包穿越防火墙,满足移动用户通过IPSec VPN和分支机构VPN网关访问内网的需求;
• 通过防火墙的访问控制策略,拒绝任何来自Internet对内网的访问数据,保证任何Internet数据都不能主动进入内部网,屏蔽所有来自Internet的攻击行为;
七、由内往外的访问控制规则:
1、通过防火墙的访问控制策略,对内部用户访问Internet进行基于IP地址的控制,初步实现控制内部用户能否访问Internet,能够访问什么样的Inertnet资源;
2、通过配置防火墙提供的IP/MAC地址绑定功能,以及身份认证功能,提供对内部用户访问Internet的更严格有效的控制能力,加强内部用户访问Internet控制能力;
3、 通过配置防火墙提供的SMTP邮件过滤功能和HTTP内容过滤,实现对用户访问Internet的细粒度的访问控制能力,实现基本的用户访问Internet的行为管理;
4、防火墙是以网络层为核心的防护措施,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop, …)、端口扫描(port scanning)、IP欺骗(ip spoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。
核心层
配置1台H3C S5560S系列核心交换机,用于提供数据库服务器、应用服务器、存储等设备的连接。H3C S5560S系列核心交换机具有强大的硬件性能和丰富的特性,可以满足研发人员对网络的挑剔需求。
接入层
楼层接入交换机采用H3C S5000PV3系列交换机,通过千兆链路上联至核心交换机;接入层交换机为终端用户提供高端口密度,以及高速宽带接入,保证所有端口均达到线速转发。
八、布线系统总体方案
方案说明
整个布线系统由工作区子系统、水平子系统、管理子系统、垂直干线子系统构成,以下按各个子系统分别进行说明。
1、工作区子系统
本楼布线工作区子系统由各个楼层构成,在楼层相应的墙上安装六类网络和三类电话信息插座。每个信息插座可根据需要设数据点,分布在各楼层办公室内。安装明装墙式RJ45和RJ11插座。每层信息插口都是一个标准的RJ45六类RJ11电话2个插口,并具有防尘弹簧盖板,同时能够标识出插口的类型。可支持高速信息传输。不同型号的微机及电脑终端通过RJ45标准跳线可方便的连接到数据信息插座上,不同型号的电话终端通过RJ11标准跳线可方便的连接到数据信息插座上。
底盒(明装盒)采用我国标准的86型底盒。统一安装高度为离地0.3米。
2、水平子系统
水平子系统由各分管配线间至各个工作区之间的线缆构成。
高速网络数据信息点全部采用超六类非屏蔽双绞线(UTP),支持高速信息传输。非屏蔽双绞线线缆具有很强的抗干扰性,使系统具有很高的可靠性和高传输率,能够满足未来的需求。
通讯数据信息点全部采用4*0.5电话电缆非屏蔽双绞线(UTP),参考邮电YD/T630-93标准。非屏蔽双绞线线缆具有很强的抗干扰性,使系统具有很高的可靠性和高传输率,能够满足未来的需求。
水平线各层的配线间经走廊天花板或墙面明装管或槽,引向工作区各信息点。从配线间内接线端子与信息插座之间均为点到点端接,任何改变系统的操作(如增减用户,用户地址改变等)都不影响整个系统的运行,为系统线路故障检修提供极大方便。
3、管理子系统
管理子系统由分别由设在每栋的机房,及主配线间构成。
各楼层分配线到此楼的弱电机柜配接,。
B楼主机房同时管理AB两栋楼的主干电缆的跳接,A楼的所有的信息点数据部分通过超六类4对UTP电缆接入A楼弱电机柜的数据主配线架,再由A楼弱电机柜通过单模4芯光仟到B楼主机房进行管理及分配,B楼的所有的信息点数据部分通过超六类4对UTP电缆接入主机房的数据主配线架。
计算机中心的数据主配架,设有标准机柜。机柜上安装配线架,用来管理数据配置,并留有足够的空间,以安装用户网络设备。
4、垂直主干线子系统
数据网络系统干线,从A楼弱电柜到B楼主机房采用4芯单模光仟线缆进行数据传输。
通讯电话系统主干线,从A楼配线箱到B楼配线箱采用100对电话电缆线进行通讯数据传输
九、 工程材料清单及报价
见附表
十、方案综述
由于本方案是办公用楼,故根据不同的需求选用不同的终端,而作为整栋大楼则面向未来高速网络技术的发展对布线系统的严格要求,具有很强的适应性、扩展性、可靠性和长远效益。
1、施工顺序
总体要求前期施工进行线穿线铺设、测试工作,后期配合设备安装,最终完成系统整体调试直至正常运行。
2、施工顺序:
管线安装---穿线校线-系统现场元器件安装--局部调试--系统全面调试--运行。
3、施工工艺技术要求
1) 严格按图纸施工,在保证系统功能质量的前提下,提高工艺标准要求,确保施工质量。
2) 信息点位置准确、无遗漏。
3) 管路两端设备处导线应根据实际情况留有足够的冗余。导线两端应按照图纸提供的线号用标签进行标识,根据线色来进行端子接线,并应在图纸上进行标识,作为施工资料进行存档。
4) 设备安装牢固、美观、预装设备、竖成列,墙装设备端正一致,资料整理正规完整无遗漏,各种现场变更手续齐全有效。
4、电缆(线)的敷设
在弱电系统中,大多信号型号都是直流电压、电流信号或数字信号,故对电缆(线)的敷设工作应注意以下几点:
1) 电缆敷设必须设专人指挥,在敷设前向全体施工人员交底,说明敷设电缆的根数,始未端的编号,工艺要求及安全注意事项。
2) 放线前对管路进行检查,穿线前应进行管路清扫、打磨管口。清除管内杂物及积水,有条件时应使用0.25Mpa压缩空气吹入滑石粉凤保证穿线质量。所有金属线槽盖板、护边均应打磨,不留毛刺,以免划伤电缆。
3) 在管内穿线时,要避免电缆受到过度拉引,每米的拉力不能超过7公斤以便保护线对绞距。
4) 布放线缆时,线缆不能放成死角或打结,以保证线缆的性能良好,水平线槽中敷设电缆时,电缆应顺直,尽量避免交叉;
5) 做好放线保护,不能伤保护套和踩踏线缆;
6) 留线长度:楼层配线间、设备间端留长度(从线槽到地面再返上)铜缆3--5m,信息出口端予留长度0.4m;
7) 线缆敷设时,两端应做好标记,线缆标记要表示清楚,在一根线缆的两端必须有一致的标识,线标应清晰可读。标线号时要求以左手拿线头,线尾向右,以便于以后线号的确认。
8) 匝绑:施工穿线时作好临时绑扎,避免垂直拉紧后再绑扎,以减少重力下垂对线缆性能的影响。主干线穿完后进行整体绑扎,要求绑扎间距=1.5M。光缆应时行单独绑扎。绑扎时如有弯曲应满足不小于10CM的变曲半径;
9) 电缆在安装时要进行必要的检查,不可有损伤屏蔽层。
10) 填写好放线记录表:记录中主干铜缆给定的编号应明确楼层号、序号;
11) 电缆敷设完毕后,两端必须留有足够的长度,各拐弯处、直线段应整理后得到指挥人员的确认符合设计要求方可掐断。
12) 线槽内线布放完毕后应盖好槽盖,满足防火、防潮、防鼠害之要求。
5、机柜(箱)内接线
1) 按设计方案进行机架、机柜安装,安装螺丝必须拧紧;
2) 机架、机柜安装应与进线位置对准;安装时,应调整好水平、垂直度,偏差不应大于3mm;
3) 按供货商提供的安装图、设计方案进行配线架安装,
4) 核对电缆编号无误
5) 端接前,机柜内线缆应作好绑扎,绑扎要整齐美观。应留有1米左右的移动余量;
6) 剥除电缆护套时应采用专用开线器,不得乔伤缘层,电缆中间不得产生断接现象;
7) 端接前须准备好配线架端接表,电缆端接依照接表进行;
8) 来自现场进入机柜(箱)内的电缆首先要进行校验编号。
9) 来自现场进入机柜(箱)内的电缆要进行固定。
10) 来自现场进入机柜(箱)内的电缆,应留有一定的余量。
11) 来自现场进入机柜(箱)内的电缆不容许有接头。
12) 接线完毕,由第二人进行复检确认,以免接线错误造成系统设备损坏。
6、工程调试
检查、校验、测试线路和并作好记录。
十一、确保工程施工质量的技术组织措施
质量管理的标准
按ISO9001质量标准建立和完善的质量体系,确保工程安装质量符合设计规定要求;并针对设计、开发、生产、安装、服务过程制定质量措施,确保工程项目、产品质量满足合同规定要求。该质量体系将适用于本工程实施的全过程。
质量管理的环节
在整个布线系统施工过程中,切实抓好以下环节:
1) 施工图的规范化和制图的质量标准
2) 管线施工的质量检查和监督
3) 配线规格的审查和质量要求
4) 配线施工的质量检查和监督
5) 现场设备或前端设备的质量检查和监督
6) 系统验收的步骤和方法
7) 系统验收的质量标准
8) 系统操作于运行管理的规范要求
9) 系统的保养和维修的规范与要求
质量活动实施和控制的方法
(1) 设备、材料进场时,应由管理公司、监理单位及本公司管理人员对照合同对进场设备的型号、质量、数量进行审定。不符合合同要求的产品决不能进场。
(2) 完善项目管理制度,明确责任划分,该项目由工程项目经理全面负责。严格按图纸施工,在保证系统功能质量的前提下,提高工艺标准要求,确保施工质量。
(3) 建立质量检查制度,现场管理人员将定期进行质量检查并贯穿到整个施工过程中。
(4) 各分项工程应严格按操作规程作业,各分组负责人对自己所承担的工程负全面责任。
(5) 在施工过程中由工程项目经理及各分组负责人,每天不定期检查,发现质量问题当场口头传达解决。次日如再次发现同样的问题并未解决则再次口头传达限期解决;如若还不能解决,则给予书面通知并进行奖金扣罚,扣罚金额大小由工程项目经理酌情而定。
十二、确保安全生产的技术组织措施
我们将采取必要措施加强对施工队伍的人身安全、设备安全的教育,对每一道安装工序要设专人负责,严把各种材料进场质量关、设备验收关、安装质量关。采取动态管理与静态管理相结合的方法,实时控制各道工序。
1) 加强安全生产和消防工作。公司所有现场施工的人员均需接受安全生产和消防保卫的教育,以提高安全生产和消防保卫的思想意识,自我保护意识。
2) 必须严格执行公司有关安全规程、条理,严格遵守现场的有关安全生产的规章制度,服从现场安全人员的检查。
3) 设备、材料应按工程进度计划进入现场,坚持谁施工谁清理的原则,使整个工作区达到文明施工。
4) 使用高凳时,应防止安全稳固,并采取安全监护措施。
5) 使用手持电动工具,在线路首端必须接漏电保护器。
6) 严禁盗窃建设单位或其他上岗单位的物品、工具和材料。经发现,视情节轻重给予经济出发和纪律处分,情节严重者送现场保卫部门或公安机关处理。
7) 加强施工现场成品和半成品保护,如由损坏照价赔偿。
8) 施工中间严禁引酒,防止酒后滋事及意外事故的发生。
9) 工作现场严禁吸烟,防止火灾发生。
10) 机房及贵重设备安装应实现通知相关单位加门加锁,加强成品保护。
è 调试阶段应注意:
(1) 严禁不经检查立即上电。
(2) 严格按照图纸、资料检查各分项工程的设备安装、线路敷设是否与图纸相符.
逐个检查各设备、点位的安装情况和接线情况,如有不合格填写质量反馈单,并做好相应的记录。
涉及其他施工单位者,要事先通知到位并做好记录
十三、确保文明施工的技术组织措施
1) 遵守国家法律及当地政府的相关规定与条理。
2) 维护用户的利益与形象。
3) 施工作业时严禁打斗、说笑、乱扔工具和杂物,严禁吸烟,严禁擅自离开施工现场,严禁带电作业。如必修带电作业时,应穿绝缘谢,同时应有人监护。
4) 保持施工和生活场所的清洁卫生、文明施工,严禁随地丢废弃物,施工后的场地垃圾做到人走场净。
5) 施工人员不在工地食宿。
十四、确保工期的技术组织措施
1) 技术准备
(1) 我公司工程设计人员与用户及有关设计单位进行技术联络;
(2) 组织施工图的会审、交底工作,相关人员阅读和熟悉施工图纸;
(3) 检查前期线管预埋,桥架安装情况;
(4) 了解熟悉响应设备安装配合情况;
(5) 了解需配合的其他单位所供设备、材料进场情况。
2) 安装前准备工作
(1) 组织项目管理人员做好施工方案的编制工作;
(2) 做好施工所用的机械器具的维护、保养工作;
(3) 做好主要施工机械器具的配置、准备工作;
(4) 明确双方材料、设备供应的范围,完成设备成套,制定材料、设备供应计划;
(5) 组织设备、材料、机具、人员进场;
(6) 根据现场的实际情况,确定设立临时生活设施、临时办公室、库房、通勤交通等;
(7) 做好施工前的相关的工程监督申报工作,随时做好工程质量的动态监督工作;
(8) 系统进入安全施工阶段后将会出现多工种交叉立体作业的局面,都要在这个时期为各自的利益抢工期、抢进度,相互之间的碰状在所难免,因此,多方面的协调工作显得尤为重要。
(9) 在与其它专业发生交叉作业矛盾时,请示用户协调解决。
(10) 线路敷设完毕后,将桥架盖同时盖好,避免其它交叉作业的破坏。
(11) 所有与各专业之间的协调均应在工程实施前由项目经理与各专业负责人达成协议,并形成书面报告作为执行标准。
(12) 现场管理人员随时调整工期安排,保证物料供应及人员调配。
(13) 必要时,更新施工设备、测试设备。
十五、竣工验收
竣工验收
竣工验收是对整个综合布线系统的综合性验收,及对整个系统的安装质量与线缆的性能进行验收。
十六、售后服务及技术支持
售后服务期
在工程验收合格之日起,及进入售后服务期。售后服务期包括质量保证期和质量维护期
质量保证期
从工程验收合格之日起及进入质量保证期。在质量保证期内,属于保修范围的质量问题,乙方将免为维修或更换产品。本工程质保期为1年,1年之内免费提供上门维护及检修服务。
质量维护期
在质量保证期之后,及自行进入质量维护期。在质量维护期内进行的维护服务将根据公司所定的产品价格及维护情况进行合理收费。本工程维护期为4年。
维护人员
合格的工作人员能迅速圆满完成所有工作。维护人员首先选择原工程调试人员。激素专家为工程维护提供咨询服务。
接受用户意见
接收用户来信、电话、传真,在2小时内作出答复或处理意见。48小时内赶到用户现场,使用户满意。并做好相应的用户信息记录。
定期联络
定期主动对用户保证一年联络。
信息反馈
收集质量信息、填写“信息反馈单”反映至售后服务部。为维护提供信息。
维护保养和故障维修
制定各子系统维护保养表,指导用户技术人员进行保养,并收集维护保养信息,以便及早发现故障隐患,采取相应措施,防患于未然。
当现场发生故障时,售后服务部将组织进行故障维修。并把相应信息填入用户服务记录中。
故障维修
当系统运行出现现场技术人员无法排除的故障,可直接电话通知我有限公司售后服务部,公司将派出具备故障排除技能的工程师到现场。
完,欢迎指导!
网络工程师考试大纲(2)
网络工程师考试大纲
3. 网络技术
3.1 网络体系结构
·Internet、Intranet和Extranet的基本概念(I)
·C/S、B/S的基本概念(I)
·ISO OSI/RM
七层协议的功能可以概括为以下7句话。
应用层:为网络用户提供颁布式应用环境和编程环境(I)
表示层:提供统一的网络数据表示,包括信源编码和数据压缩等(I)
会话层:对会话过程的.控制,包括会话过程同步控制和会话方向控制(I)
传输层:提供端到端的数据传输控制功能(I)
网络层:在通信子网中进行路由选择和通信流控制(I)
数据链路层:在相邻结点之间可靠地传送数据帧(I)
物理层:透明地传输比特流(I)
3.2 TCP/IP协议簇
3.2.1 应用层协议(FTP、HTTP、POP3、DHCP、Telnet、SMTP)
·功能、连接、过程和端口(II)
·SNMP协议的体系结构(管理器和代理、轮询和陷入)(I)
3.2.2 传输层协议(TCP、UDP)
·协议数据单元:TCP/UDP报文中的主要字段及其功能(II)
·连接的建立和释放(三次握手协议、连接状态、SYN、ACK、RST、MSL)(II)
·流量控制(可变大小的滑动窗口协议、字节流和报文流的区别)(II)
3.2.3 网络层协议IP
·A、B、C、D类IP地址及子网掩码,单播/组播/广播地址,公网/私网地址(III)
·VLSM和CIDR技术,NAT/NAPT技术(III)
·ARP请求/响应,路由器代理ARP,ARP表,地址绑定(III)
·ICMP的报文类型(目标不可达到、超时、源抑制、ECHO请求/响应、时间戳请求/响应等)(II)
3.2.4 数据链路层协议
·PPP协议:帧格式,LCP协议和NCP协议,认证协议(PAP和CHAP)(I)
·PPPoE和PPPoA(I)
3.3 数据通信基础
3.3.1 信道特性
·波特率、带宽和数据速率(II)
·Nyquist定理和Shannon定理,简单计算(II)
3.3.2 调制和编码
·ASK、FSK、PSK、QAM、QPSK(I)
·抽样定理、PCM (I)
·NRZ-I、AMI、伪3进制编码、曼彻斯特编码、差分曼彻斯特编码、4B/5B和8B/6B编码(II)
·波特率和数据速率、编码效率(II)
3.3.3 同步控制
·异步传输的效率(I)
·面向字符的同步控制协议(BSC),传输控制字符(I)
·面向比特的同步控制协议(HDLC)、帧标志、字节计数法、字符填充法、比特填充法、物理符号成帧法(I)
3.3.4 多路复用
·频分多路FDM、离散多间DMT(I)
·统计时分多路复用的简单的计算(I)
·E1和T1信道的数据速率、子速率(II)
·同步光纤传输标准SONET/SDH(II)
·WDM、DWDM(I)
3.3.5差错控制
·CRC编码、CRC校验(II)
·海明码、冗余位的计算、监督关系式(I)
3.3.6传输介质
·STP,3类、5类、6类UTP(宽带和数据速率)(I)
·RG-58和RG-11基带同轴电缆、CATV同轴电缆(I)
·多模光纤MMF(线径62.5/125μm和50/125μm,波长850nm和1300nm,多模突变型与多模渐变型)(I)
·单模光纤SMF(线径8.3/125μm,波长1310/1550nm)(I)
·无线电波(VHF、UHF、SHF、ISM频带)(I)
·卫星微波通信(C、Ku、Ka波段、VSAT)(I)
·激光、红外线(I)
3.3.7物理层协议
·V.28协议 (Ⅰ)
·V.35 (Ⅰ)
·V.24和RS-232 (Ⅰ)
3.4局域网
3.4.1 IEEE802体系结构
·802.1、802.2、802.3、802.5、802.11、802.15、802.16 (Ⅰ)
·LLC服务和帧结构 (Ⅰ)
3.4.2以太网
·CSMA/CD协议、帧结构、MAC地址 (Ⅰ)
·10BASE-2、10BASE-T (Ⅰ)
·最小帧长、最大帧长 (Ⅰ)
·网络跨距 (Ⅰ)
3.4.3网络连接设备
·网卡、中继器、集线器、网桥、以太网交换机 (Ⅱ)
3.4.4高速以太网
·802.3u、802.3z、802.3ae、802.3ab (Ⅱ)
3.4.5虚拟局域网
·静态/动态VLAN (Ⅲ)
·接入链路和中继链路 (Ⅲ)
·VLAN帧标记802.1q (Ⅲ)
·VTP协议和VTP修剪 (Ⅲ)
3.4.6无线局域网
·无线接入点AP和Ad Hoc网络 (Ⅱ)
·扩频通信技术DSSS和HFSS (Ⅱ)
·CSMA/CA协议 (Ⅱ)
·802.11a/802.11b/802.11g (Ⅰ)
·认证技术WPA和802.11i (Ⅰ)
3.5网络互连
3.5.1网络互连设备
·基本概念
·中继器、集线器、交换机、路由器和网关的体系结构 (Ⅰ)
·广播域和冲突域 (Ⅰ)
·以太网交换机的工作原理:存储转发/直通式/无碎片直通式交换 (Ⅱ)
·以太网交换机
分类:核心交换机、接入交换机、三层交换机、模块化交换机 (Ⅱ)
堆叠和级联 (Ⅱ)
光口和电口、GBIC端口、SFP端口 (Ⅰ)
背板带宽和包转发率 (Ⅰ)
链路汇聚技术(802.3ad) (Ⅱ)
·IP路由器
分类:主干路由器、接入路由器、企业级路由器 (Ⅰ)
端口:RJ-45端口、AUI端口、高速同步串口、ISDN BRI端口、异步串口(ASYNC)、Console端口、AUX端口 (Ⅱ)
内存:ROM、RAM、Flash RAM、NVRAM (Ⅰ)
操作系统IOS:命令行界面CLI,命令模式(Setup模式、用户模式、特权模式、配置模式),加电自检(POST)、引导程序(bootstrap)、启动配置文件(startup config)、运行配置文件(running config),TFTP服务器 (Ⅰ)
·防火墙
包过滤防火墙 (Ⅱ)
电路级网关防火墙(SOCKS协议) (Ⅱ)
应用网关防火墙 (Ⅱ)
代理服务器 (Ⅱ)
认证服务器 (Ⅱ)
DMZ (Ⅲ)
·ACL配置命令 (Ⅲ)
3.5.2交换技术
·电路交换 (Ⅰ)
PSTN,PBX,V.90 (Ⅰ)
ISDN,PRI和BRI (Ⅰ)
·分组交换:虚电路和数据报,X.25、LAP-B (Ⅰ)
·租用线路服务(DDN) (Ⅰ)
·帧中继 (Ⅰ)
PVC和SVC (Ⅰ)
CIR和EIR (Ⅰ)
LAP-F、DLCI和显式拥塞控制 (Ⅰ)
帧长和数据速率 (Ⅰ)
DSU/DCU (Ⅰ)
X.21、V.35、G.703和G.704接口 (Ⅰ)
·ATM
VPC和VCC (Ⅰ)
信元结构 (Ⅰ)
CBR、VBR、ABR和UBR (Ⅰ)
AAL (Ⅰ)
3.5.3接入技术
·DSL技术 (Ⅰ)
·HDSL (Ⅰ)
·VDSL (Ⅰ)
·ADSL(虚拟拨号和准专线接入、DSLAM) (Ⅲ)
·FTTx+LAN (Ⅲ)
·HFC:CATV网络和Cable Modem (Ⅲ)
·无线接入 (Ⅲ)
3.6 Internet服务
·Web服务器、HTML和XML、浏览器、URL、DNS (Ⅰ)
·邮件服务器(SMTP和POP3) (Ⅰ)
·FTP、匿名FTP、主动/被动FTP (Ⅱ)
·TFTP (Ⅰ)
·Telnet (Ⅰ)
·电子商务和电子政务 (Ⅰ)
3.7网络操作系统
·网络操作系统的功能、分类和特点 (Ⅰ)
·文件系统FAT16/FAT32/NTFS/ext3 (Ⅰ)
·网络设备驱动程序:ODI、NDIS (Ⅰ)
·Windows Server 2003网络架构 (Ⅱ)
·ISA2004:VPN服务器、远程访问属性、用户拨入权限、访问规则 (Ⅲ)
·Red Hat Linux:文件系统目录结构、用户与组管理、进程管理、网络配置与管理 (Ⅲ)
3.8网络管理
·网络管理功能域(安全、配置、故障、性能和计费管理) (Ⅰ)
·网络管理协议(CMIS/CMIP、SNMP、RMON、MIB-Ⅱ) (Ⅰ)
·网络管理命令(ping、ipconfig、netstat、arp、tracert、nslookup) (Ⅱ)
·网络管理工具(NetXray、Sniffer) (Ⅱ)
·网络管理平台(OpenView、NetView、Sun NetMa-nager) (Ⅰ)
4.网络安全基础
4.1安全技术
4.1.1保密
·私钥/公钥加密(DES、3DES、IDEA、RSA、D-H算法) (Ⅱ)
4.1.2安全机制
·认证(实体认证、身份认证、数字证书X.509) (Ⅱ)
·数字签名 (Ⅱ)
·数据完整性(SHA、MD5、HMAC) (Ⅱ)
4.1.3安全协议
·虚拟专用网 (Ⅰ)
·L2TP和PPTP (Ⅰ)
·安全协议(IPSec、SSL、PGP、HTTPS和SSL) (Ⅲ)
4.1.4病毒防范与入侵检测
·网络安全漏洞 (Ⅱ)
·病毒、蠕虫和木马 (Ⅱ)
·恶意软件 (Ⅱ)
·入侵检测 (Ⅱ)
4.2访问控制技术
4.2.1访问控制
·防火墙 (Ⅰ)
·Kerberos、Radius (Ⅰ)
·802.11x认证 (Ⅰ)
·DDoS (Ⅱ)
·AAA系统(Authentication/Authorization/Accounting) (Ⅰ)
4.2.2可用性
·文件、数据库的备份和恢复 (Ⅱ)
5.标准化知识
5.1信息系统基础设施标准化
5.1.1标准
·国际标准(ISO、IEC、IEEE、EIA/TIA)与美国国家标准(ANSI) (Ⅰ)
·中国国家标准(GB) (Ⅰ)
·行业标准与企业标准 (Ⅰ)
5.1.2安全性标准
·信息系统安全措施 (Ⅰ)
·CC标准 (Ⅰ)
·BS7799标准 (Ⅰ)
5.2标准化组织
·国际标准化组织(ISO、IEC、IETF、IEEE、IAB、W3C) (Ⅰ)
·美国标准化组织 (Ⅰ)
·欧洲标准化组织 (Ⅰ)
·中国国家标准化委员会 (Ⅰ)
6.信息化基础知识
·全球信息化趋势、国家信息化战略、企业信息化战略和策略 (Ⅰ)
·互联网相关的法律、法规知识 (Ⅰ)
·个人信息保护规则 (Ⅰ)
·远程教育、电子商务、电子政务等基础知识 (Ⅰ)
·企业信息资源管理基础知识 (Ⅰ)
7.计算机专业英语
·具有工程师所要求的英语阅读水平 (Ⅱ)
·掌握本领域的英语术语 (Ⅱ)
考试科目2:网络系统设计与管理
1.网络系统分析与设计
1.1网络系统的需求分析
·功能需求(待实现的功能) (Ⅱ)
·性能需求(期望的性能) (Ⅱ)
·可靠性需求 (Ⅱ)
·安全需求 (Ⅱ)
·管理需求 (Ⅱ)
1.2网络系统的设计
·拓扑结构设计 (Ⅱ)
·信息点分布和通信量计算 (Ⅱ)
·结构化布线(工作区子系统、水平子系统、主干子系统、设备间子系统、建筑群子系统、管理子系统) (Ⅱ)
·链路冗余和可靠性 (Ⅱ)
·安全措施 (Ⅱ)
·网络设备的选型(成本、性能、容量、处理量、延迟) (Ⅲ)
1.3通信子网的设计
·核心交换机的选型和配置 (Ⅲ)
·汇聚层的功能配置 (Ⅲ)
·接入层交换机的配置和部署 (Ⅲ)
1.4资源子网的设计
·网络服务 (Ⅰ)
·服务器选型 (Ⅱ)
1.5网络系统的构建和测试
·安装工作(事先准备、过程监督) (Ⅱ)
·测试和评估(连接测试、安全性测试、性能测试) (Ⅱ)
·转换到新网络的工作计划 (Ⅱ)
2.网络系统的运行、维护和管理
2.1用户管理
·用户接入认证和IP地址绑定 (Ⅱ)
·用户行为审计 (Ⅱ)
·计费管理 (Ⅱ)
2.2网络维护和升级
·网络优化策略 (Ⅱ)
·设备的编制 (Ⅱ)
·外部合同要点 (Ⅱ)
·内部执行计划 (Ⅱ)
2.3数据备份与恢复
·备份策略 (Ⅱ)
·数据恢复 (Ⅱ)
·RAID (Ⅱ)
2.4网络系统管理
·利用工具监视网络性能和故障 (Ⅲ)
·性能监视
CPU利用率 (Ⅰ)
带宽利用率 (Ⅰ)
流量分析 (Ⅰ)
通信量整形 (Ⅰ)
连接管理 (Ⅰ)
·安全管理
内容过滤 (Ⅱ)
入侵检测 (Ⅱ)
网络防毒 (Ⅱ)
端口扫描 (Ⅱ)
2.5故障恢复分析
·故障分析要点(LAN监控程序) (Ⅱ)
·排除故障要点 (Ⅱ)
·故障报告撰写 (Ⅰ)
3.网络系统实现技术
3.1网络协议
·商用网络协议(SNA/APPN、IPX/SPX、Apple、Talk、TCP/IP、IPv6) (Ⅰ)
·应用协议(XML、CORBA、COM/DCOM、EJB) (Ⅰ)
3.2可靠性设计
·硬件可靠性技术 (Ⅰ)
·软件可靠性技术 (Ⅰ)
·容错技术 (Ⅰ)
·通信质量 (Ⅰ)
3.3网络设施
3.3.1接入技术
·ADSL Modem的连接和配置 (Ⅱ)
·帧中继接入 (Ⅱ)
·FTTx+LAN (Ⅱ)
·PPP (Ⅱ)
3.3.2交换机的配置
·设备选型(端口类型、包转发率pps、背板带宽、机架插槽、支持的协议) (Ⅲ)
·核心层、汇聚层和接入层 (Ⅲ)
·三层交换机、MPLS (Ⅲ)
·级连和堆叠 (Ⅲ)
·命令行接口 (Ⅲ)
·Web方式访问交换机和路由器 (Ⅲ)
·静态和动态VALN (Ⅲ)
·VLAN中继协议和VTP修剪,VTP服务器 (Ⅲ)
·DTP(Dynamic Trunk Protocol)协议和中继链路的配置 (Ⅲ)
·生成树协议(STP)和快速生成树协议(RSTP) (Ⅲ)
·STP的负载均衡 (Ⅲ)
3.3.3路由器的配置
·静态路由的配置和验证 (Ⅲ)
·单臂路由器的配置 (Ⅲ)
·RIP协议的配置 (Ⅲ)
·静态地址转换和动态地址转换、端口转换 (Ⅲ)
·终端服务器的配置 (Ⅲ)
·单区域/多区域OSPF协议的配置 (Ⅲ)
·不等量负载均衡 (Ⅲ)
·广域网接入、DSU/DCU (Ⅱ)
·ISDN接入 (Ⅰ)
·PPP协议和按需拨号路由(DDR)的配置 (Ⅱ)
·帧中继接入的配置 (Ⅱ)
3.3.4访问控制列表
·标准ACL (Ⅲ)
·扩展ACL (Ⅱ)
·ACL的验证和部署 (Ⅲ)
3.3.5虚拟专用网的配置
·IPSec协议 (Ⅲ)
·IKE策略 (Ⅲ)
·IPSec策略 (Ⅲ)
·ACL与IPSec兼容 (Ⅲ)
·IPSec的验证 (Ⅱ)
3.4网络管理与网络服务
3.4.1 IP网络的实现
·拓扑结构与传输介质 (Ⅲ)
·IP地址和子网掩码、动态分配和静态分配 (Ⅲ)
·VLSM、CIDR、NAPT (Ⅲ)
·IPv4和IPv6双协议站 (Ⅱ)
·IPv6的过渡技术(GRE隧道、6to4隧道、NAT-PT)(Ⅱ)
·DHCP服务器的配置(Windows、Linux)(Ⅲ)
3.4.2网络系统管理
·网络管理命令(ping、ipconfig、winipcfg、netstat、arp、tracert、nslookup)(Ⅱ)
·Windows终端服务与远程管理 (Ⅱ)
3.4.3 DNS
·URL和域名解析 (Ⅱ)
·DNS服务器的配置(Windows)(Ⅲ)
·Linux BIND配置 (Ⅱ)
3.4.4 E-mail
·电子邮件服务器配置(Windows)(Ⅲ)
·电子邮件的安全配置 (Ⅱ)
·Linux SendMail服务器配置 (Ⅱ)
3.4.5 WWW
·虚拟主机 (Ⅲ)
·Windows Web服务器配置 (Ⅲ)
·Linux Apache 服务器配置 (Ⅲ)
·WWW服务器的安全配置 (Ⅱ)
3.4.6代理服务器
·Windows代理服务器的配置 (Ⅲ)
·Linux Squid服务器的配置 (Ⅱ)
·Samba服务器配置 (Ⅱ)
3.4.7 FTP服务器
·FTP服务器的访问(Ⅲ)
·FTP服务器的配置(Ⅲ)
·NFS服务器的配置(Ⅱ)
3.4.8网络服务
·因特网广播、电子商务、电子政务 (Ⅰ)
·主机服务提供者、数据中心 (Ⅰ)
3.5网络安全
3.5.1访问控制与防火墙
·Windows活动目录安全策略的配置 (Ⅱ)
·ACL命令和过滤规则 (Ⅱ)
·防火墙配置 (Ⅱ)
3.5.2 VPN配置
·IPSec和SSL (Ⅱ)
3.5.3 PGP (Ⅰ)
3.5.4病毒防护
·病毒的种类 (Ⅱ)
·ARP欺骗 (Ⅲ)
·木马攻击的原理,控制端和服务端 (Ⅲ)
4.网络新技术
4.1光纤网
·无源光纤网PON(APON、EPON) (Ⅰ)
4.2无线网
·移动电话系统(WCDMA、CDMA2000、TD-SCDMA) (Ⅰ)
·无线接入(LMDS、MMDS) (Ⅰ)
·蓝牙接入 (Ⅰ)
4.3主干网
·IP over SONET/SDH (Ⅰ)
·IP over Optical (Ⅰ)
·IP over DWDM (Ⅰ)
·IP over ATM (Ⅰ)
4.4网络管理
·通信管理网络TMN (Ⅰ)
·基于CORBA的网络管理 (Ⅰ)
4.5网络存储
·RAID (Ⅱ)
·DAS (Direct Attached Storage) (Ⅰ)
·SAN (Storage Area Network)、iSCSI、FC SAN、IP SAN (Ⅰ)
·NAS (Network Attached Storage)、网络数据管理协议NDMP (Ⅰ)
·系统容灾和恢复 (Ⅰ)
4.6网络应用
·Web服务(WSDL、SOAP、UDDI) (Ⅰ)
·Web 2.0、P2P (Ⅰ)
·网络虚拟存储 (Ⅰ)
·网格计算 (Ⅰ)
·IPv6新业务 (Ⅰ) ;
UTP、STP是什么
1、UTP:非屏蔽双绞线(UTP:Unshielded Twisted Pair),是一种数据传输线,由四对不同颜色的传输线互相缠绕所组成,每对相同颜色的线传递著来回两方向的电脉冲,这样的设计是利用了电磁感应相互抵销的原理来屏蔽电磁干扰。UTP广泛用于以太网(局域网)和电话线中。
非屏蔽双绞线无金属屏蔽材料,只有一层绝缘胶皮包裹,价格相对便宜,组网灵活,更易于安装。
2、屏蔽双绞线(英语:Shielded Twisted Pair,STP),是一种广泛用于数据传输的铜质双绞线。
在物理结构上,屏蔽双绞线比非屏蔽双绞线多了全屏蔽层和/或线对屏蔽层,通过屏蔽的方式,减少了衰减和噪音,从而提供了更加洁净的电子信号,和更长的电缆长度,但是屏蔽双绞线价格更加昂贵,重量更重并且不易安装。
扩展资料:
非屏蔽双绞线电缆具有以下优点:
1、无屏蔽外套,直径小,节省所占用的空间;
2、重量轻,易弯曲,易安装;
3、将串扰减至最小或加以消除;
4、具有阻燃性;
5、具有独立性和灵活性,适用于结构化综合布线。
参考资料:百度百科_非屏蔽双绞线
百度百科_屏蔽双绞线
网络测试仪都有什么功能
链路状态指示 识别设备功能,确定实际连接速度/双工状态。在主测试端口接入UTP 电缆,将电缆另一端正常接入网络设备,相应链路指示灯即显示当前线缆所在端口的速率以及双工状态。 电缆诊断 nLink-ex网络测试仪使用时域反射(TDR)技术,可以在单端接入的情况下,判断电缆故障,包括开路,短路和不正确终结,并定位故障点所在位置和显示电缆长度。线缆状态分为: 开路(Open)--另一端未接或断开,显示NLink 到断点位置的距离。 短路(Short) --线对在显示长度所在位置短路。 在线(online)--线对正常终结(正确连接到已经启动的以太网网卡) 测试失败(Fail)—未确定的故障或未知电缆,无法获取测试数据。 POE测试nLink 会自动模拟不同功率级别的PD 设备,并获取PSE 设备的供电电压波形,根据不同的设备环境,此过程可能需要数秒。检测结束后,nLink 在屏幕上绘出PSE 供电输出的电压波形。 测试POE PSE端的供电可用性,供电类型,供电标准,支持的功率级别以及电压水平,支持IEEE802.3af(12.95W)和IEEE802.3at(25.5W)标准。线序扫描 快速扫描双绞线布线图并以绘图形式显示。在启用线速扫描功能前,将以太网UTP 电缆的两端分别插入左侧主测试端口和右侧辅助接口,使用切换键将光标切换至Start 按钮后按OK 键,nLink 将在在功能界面中绘出线缆两端线序连接顺序。PING 可扩展的Ping ICMP连通性测试,根据用户定义信息,如包字节,TTL,Timeout,重复对指定IP节点进行连通性和可靠性测试。 拓扑检测 同时持续监控网络拓扑中多个(最多32个)IP节点连通性能,在接点发生故障时告警并记录。测试结果显示及状态: 注:在启用拓扑检测功能后,主测试端口将自动配置为10/100M 自适应速率。端口闪烁 使交换机/集线器指示灯按一定频率闪烁,用于快速识别远端节点在交换机/集线器端口位置。 数据管理 通过Web 方式查看保存的测试结果时,需要进入此功能页面。并可以选择清空已经保存的测试结果。
全国等级考试网络工程师大概考核内容分布
一、网络规划与设计
网络需求调研与系统设计的基本原则:
(1)从充分调查入手,充分理解用户业务活动和用户信息需求。
(2)在调查、分析的基础上,在充分考虑需求与约束(经费、工作基础与技术等方面)的前提之下,对网络系统组建与信息系统开发的可行性进行充分地论证,避免盲目性。
(3)运用系统的观念,完成网络工程技术方案的规划和设计。
(4)根据工程时间要求,将网络系统组建的任务按照设计、论证、实施、验收、用户培训、维护的不同阶段进行安排,大型网络系统的建设需要聘请专业的监理公司对项目执行的全过程进行监理。
(5)强调各阶段文档资料的完整性与规范性。
1、网络需求分析
1、网络总体需求分析,根据应用软件的类型不同,可以分为3类:
(1)MIS/OA/Web类应用,数据交换频繁,数据流量不大
(2)FTP/CAD类应用,数据交换不频繁,数据流量大
(3)多媒体数据流文件,数据交换频繁,数据流量大
2、结构化布线需求分析
通过对结点分布的实地考察,结合建筑物内部结构与建筑物之间的关系,连接的难易程度,确定中心机房、楼内各层的设备间、楼间连接技术、以及施工的造价,确定中心机房及各网段设备间的位置和用户结点的分布,确定结构化布线的需求、造价与方案。
3、网络可用性与可靠性分析
4、网络安全性需求分析
5、网络工程造价估算
2、网络规划设计
一、网络工程建设总体目标与设计原则
网络工程建设必须首先明确用户的实际需求,统一规划,分期建设,选择适合的技术,确保网络工程建设的选进性、可用性、可靠性、可扩展性与安全性。因此网络系统设计的原则是实用性、开放性、高可靠性、安全性、先进性与可扩展性。
二、网络结构与拓扑构型设计方法
大型和中型网络系统必须采用分层的设计思想,这是解决网络系统规模、结构和技术的复杂性的最有效方法。
其中,核心层网络用于连接服务器集群、各建筑物子网交换路由器,以及与城域网连接的出口;汇聚层网络用于将分布在不同位置的子网连接到核心层网络,实现路由汇聚的功能;接入层网络将终端用户计算机接入到网络之中。核心路由器之间、路由器与汇聚路由器直接使用具有冗余链路的光纤连接。汇聚路由器与接入路由器,接入路由器与用户计算机之间可以使用非屏蔽双绞线(UTP)连接。
三、核心层网络结构设计
核心层网络是整个网络系统的主干部分,应该是设计与建设的重点。主要技术标准是GE/10GE,核心设备是高性能交换路由器,连接路由器是具有冗余链路的光纤。
四、汇聚层网络与接入层网络结构设计
汇聚层网络用于将分布在不同位置的子网连接到核心层网络,实现路由汇聚的功能。
接入层网络用于将终端用户计算机接入到网络之中。
3、网络设备与选型
一、设备选型的基本原则
1、产品系列与厂商的选择
2、网络的可扩展性考虑
3、网络技术先进性考虑
二、路由器选型的依据
1、路由器的分类
高端:背板交换能力40Gbps
中低端:背板交换能力40Gbps
高端:多个高速光端口,支持多协议标记交换(MPLS)协议
中端:支持IP协议的同时,支持IPX、Vines等多种协议,支持防火墙、QoS、安全与VPN策略
低端:支持局域网、ADSL、接入与PPP接入方式与协议
2、路由器的关键技术指标
(1)吞吐量,是指路由器的包转发能力。
(2)背板能力,是路由器输入端与输出端之间的物理通道。传统的路由器采用的是共享背板的结构,高性能路由器一般采用交换式结构,背板能力决定吞吐量。
(3)丢包率,是指在稳定的持续负荷情况下,由于包转发能力的限制而造成包丢失的概率。
(4)延时与延时抖动,是指数据包的第一个比特进入路由器,到该帧的最后一个比特离开路由器所经历的时间,该时间间隔标志着路由器转发包的处理时间。
(5)突发处理能力,是以最小帧间隔发送数据包而不引起丢失的最大发送速率来衡量的。
(6)路由表容量,路由器的一个重要任务就是建立和维护一个与当前网络链路状态与结点状态相适应的路由表。路由表容量指标标志着该路由器可以存储的最多的路由表项的数量。
(7)服务质量,主要表现在列队管理机制、端口硬件队列管理和支持QoS协议上。
(8)网管能力,表现在网络管理员可以通过网络管理程序和通用的网络管理协议SNMPv2等,对网络资源进行集中的管理与操作。
(9)可靠性与可用性,表现在:设备的冗余、热拔插组件、无故障工作时间、内部时钟精度等方面。
三、交换机分类与主要技术指标
1、交换机的分类
(1)从所支持的技术类型分类,可以分为10Mbps Ethernet交换机、Fast Ethernet交换机与1Gbps的GE交换机。
(2)从内部结构分类,可以分为固定端口交换机与模块交换机。
(3)从应用规模分类,可以分为:企业级交换机、部门级交换机与工作组级交换机。
2、交换机主要的技术指标
(1)背板带宽,是交换机输入端与输出端之间的物理通道。
(2)全双工端口带宽,其计算方法:端口数*端口速率*2。背板带宽应该大于此值。
(3)帧转发速率,是指交换机每秒钟能够转发的帧的最大数量。
(4)机箱式交换机的扩张能力,可以选取不同类型的控制模块来达到支持不同类型的协议与不同端口带宽的目的。(GE模块,FE模块,FDDI模块,ATM模块,Token Ring模块等)
(5)支持VLAN能力,是用户需要关注的重要指标之一,大部分交换机支持802.1Q协议,有的则支持Cisco专用的组管理协议CGMP。VLAN的划分可以是基于端口的,也可以是基于MAC地址或IP地址的。
2、交换机配置选择
(1)机架插槽数,是指模块式交换机所能够安插的最大的模块数
(2)扩展槽数,是指固定端口式交换机所带的扩展槽最多可以安插的模块数。
(3)最大可堆叠数,是指一个堆叠单元中可以堆叠的最大的交换机数量。
(4)端口密度与端口类型,密度是指一台交换机所能够支持的最小/最大的端口数,类型是指全双工端口/单工端口。
(5)最小/最大GE端口数,是指一台交换机所能够支持的最小/最大的1000Mbps 速率的端口数量。
(6)支持的网络协议类型,固定配置的交换机只有一种协议(Ethernet协议),机架式交换机与带有扩展槽的交换机一般支持多种协议(如:GE/FE/FDDI/ATM等)
(7)缓冲区大小,是来协调不同端口之间的速率匹配。
(8)MAC地址表大小,用来存储连接在不同端口上的主机或设备的MAC地址。
(9)可管理性,主要的网络管理协议与软件包括:IBM NetView/HP OPENVIEW/SNMP
(10)设备冗余,对于管理卡、交换结构、接口单元、电源需要考虑冗余。
4、网络综合布线方案设计
1、综合布线系统的定义
综合布线系统引入我国,由于各国产品类型不同,综合布线系统的定义是有差异的。我国原邮电部于1997年9月发布的YD/T 926.1-1997通信行业标准《大楼通信综合布线系统第一部分:总规范》中,对综合布线系统的定义为:“通信电缆、光缆、各种软电缆及有关连接硬件构成的通用布线系统,它能支持多种应用系统。即使用户尚未确定具体的应用系统,也可进行布线系统的设计和安装。综合布线系统中不包括应用的各种设备。”
目前所说的建筑物与建筑群综合布线系统,简称综合布线系统。它是指一幢建筑物内(或综合性建筑物)或建筑群体中的信息传输媒质系统。它将相同或相似的缆线(如对绞线、同轴电缆或光缆)、连接硬件组合在一套标准的且通用的、按一定秩序和内部关系而集成为整体,因此,目前它是以CA为主的综合布线系统。今后随着科学技术的发展,会逐步提高和完善,形成能真正充分满足智能化建筑所需的要求。
2.综合布线系统的特点
综合布线系统是目前国内外推广使用的比较先进的综合布线方式,具有以下特点:
(1)综合性、兼容性好
传统的专业布线方式需要使用不同的电缆、电线、接续设备和其它器材,技术性能差别极大,难以互相通用,彼此不能兼容。综合布线系统具有综合所有系统和互相兼容的特点,采用光缆或高质量的布线部件和连接硬件,能满足不同生产厂家终端设备传输信号的需要。
(2)灵活性、适应性强
采用传统的专业布线系统时,如需改变终端设备的位置和数量,必须敷设新的缆线和安装新的设备,且在施工中有可能发生传送信号中断或质量下降,增加工程投资和施工时间,因此,传统的专业布线系统的灵活性和适应性差。在综合布线系统中任何信息点都能连接不同类型的终端设备,当设备数量和位置发生变化时,只需采用简单的插接工序,实用方便,其灵活性和适应性都强、且节省工程投资。
(3)便于今后扩建和维护管理
综合布线系统的网络结构一般采用星型结构,各条线路自成独立系统,在改建或扩建时互相不会影响。综合布线系统的所有布线部件采用积木式的标准件和模块化设计。因此,部件容易更换,便于排除障碍,且采用集中管理方式,有利于分析、检查、测试和维修,节约维护费用和提高工作效率。
(4)技术经济合理
综合布线系统各个部分都采用高质量材料和标准化部件,并按照标准施工和严格检测,保证系统技术性能优良可靠,满足目前和今后通信需要,且在维护管理中减少维修工作,节省管理费用。采用综合布线系统虽然初次投资较多,但从总体上看是符合技术先进、经济合理的要求的。
一、 IP地址规划的基本步骤
(1)判断用户对网络与主机数的需求
(2)计算满足用户需求的基本网络地址结构
(3)计算地址掩码
(4)计算网络地址
(5)计算网络广播地址
(6)计算网络的主机地址
二、地址规划的基本方法
步骤一:判断网络与主机数量的需求
(1)网络中最多可能使用的子网数量Nnet;
(2)网络中最大网段已有的和可能扩展的主机数量Nhost。
步骤二:计算满足用户需求的基本网络地址结构
(1)选择subnet ID字段的长度值X,要求Nnet=2的X次方
例如:子网数为10,10=2的4平方,所以subnet ID=4
(2)选择host ID字段的长度值Y,要求Nhost=2的Y次方
假设:子网主机数为12,12=2的4平方,所以host ID=4
注意:host ID字段值为全0表示的是该网络的net ID;host ID字段值为全1表示的是该网络的广播地址。
(3)根据X+Y的值可以确定需要申请哪一类IP地址
长度为8,选择C类地址,长度大于8bit则需要申请2个C类地址或B类地址了。
步骤三、计算地址掩码
没有划分子网的C类地址掩码为255.255.255.0
划分子网之后的地址掩码是将一个标准32位IP地址中高于host ID(Y位以上)的高位置1即可,根据上面的就可以做成11111111.11111111.11111111.11110000 换算成十进制就是255.255.255.240.如果这个C类地址为192.168.1.0 可以简单表示为192.168.1.0/28
步骤四、计算网络地址
由于地址设计时选择host ID长度Y=4,那么每一个子网中最多有14个主机,也就是说相邻子网的主机地址增量值为16。
一般不用192.168.1.0 192.168.1.240这两个地址号
步骤五、计算网络广播地址
不分子网的话就是192.168.1.255
分子网就是下一个子网地址小1的地址,一般是本子网的最后一位。
如192.168.1.16~31,那么广播地址为192.168.1.31
步骤六、计算网络的主机地址
剔除网络地址和广播地址之外的网络地址都是主机可以使用的地址。
如192.168.1.16~31,那么主机地址为:192.168.1.17~30
路由设计基础
一、分组转发的基本概念
分组转发是指在互联网络中路由器转发IP分组的物理传输过程与数据报转发机制。
二、路由选择的基本概念
1、路由选择算法的主要参数
跳数,是以一个分组从源结点到达目的结点经过的路由器的个数。
带宽,指链路的传输速率。
延时,是指一个分组从源结点到达目的结点所花费的时间。
负载,是指单位时间内通过路由器或线路的通信量。
开销,是指传输过程中的耗费,耗费通常与所使用的链路带宽相关。
2、评价路由选择的依据
(1)算法必须是正确、稳定和公平的
(2)算法应该尽量简单
(3)算法必须能够适应网络拓扑和通信量的变化
(4)算法应该是最佳的
3、路由选择算法的分类
(1)静态路由表
(2)动态路由表
4、IP路由选择与路由汇聚的基本概念
最流行的方法是将记录无类域间路由CIDR的路由表改造成一种层次型的数据结构,采用二叉树的特殊结构的树,或者以压缩的办法来达到快速查找的目的。
自治系统与internet的路由选择协议
1、Internet采用分层的路由选择协议,并且将整个Internet划分为许多较小的自治系统。
自治系统内部的路由选择称为域内路由选择;
自治系统之间的路由选择称为域间路由选择。
2、Internet路由选择协议分为两大类:
内部网关协议(IGP)
内部网关协议是在一个自治系统内部使用的路由选择协议,这与Internet中的其他自治系统选用什么路由选择协议无关。目前内部网关协议主要有:路由信息协议RIP和开放最短路径优先协议OSPF。
外部网关协议(EGP)
当源主机和目的主机处在不同的自治系统中,并且这两个自治系统使用不同的内部网关协议时,当分组传送到两个自治系统的边界时,就需要使用一种协议将路由选择信息传递到另一个自治系统中,这时就需要使用外部网关协议。目前外部网关协议主要是边界网关协议BGP。
内部网关协议IGP
一、路由信息协议RIP的基本概念
是一种分布式、基于距离向量的路由选择协议,其特点是协议简单。
二、 路由信息协议的工作过程
1、路由表的建立
2、路由表信息的更新
一、最短路径优先协议OSPF的主要特点
1、OSPF协议最主要的特征是使用分布式链路状态协议,而RIP使用的是距离向量协议。
2、OSPF协议要求路由器发送的信息是本路由器与那些路由器相邻,以及链路状态的度量。链路状态的度量主要是指:费用、距离、延时、带宽等。
3、OSPF协议要求当链路状态发生变化时用洪泛法向所有的路由器发送此信息,而RIP只向相邻的几个路由器交换路由信息
4、由于执行OSPF协议的路由器之间频繁地交换链路状态信息,因此所有的路由器最终都能建立一个链路状态数据库。这个数据库实际上就是全网的拓扑结构图,并且在全网范围内是保持一致的。
5、为了适应规模很大的网络,并使更新过程收敛得更快,OSPF协议将一个自治系统再划分为若干个更小的范围,叫做区域area。在一个区域内的路由器数不超过200个。
二、最短路径优先协议OSPF执行过程
1、路由器的初始化过程
2、网络运行过程
外部网关协议EGP
主要为边界网关协议BGP,BGP-4采用了路由向量路由协议,在配置BGP时,每一个自治系统的管理员要选择至少一个路由器作为该自治系统的”BGP发言人”。
BGP路由选择协议的工作过程
1、 边界路由器初始化过程
2、BGP路由选择协议的四种分组
打开分组、更新分组、保活分组、通知分组
7、网络系统安全设计
一、网络安全的基本呢要素
1、保密性:保证信息为授权者享用而不泄露给未经授权者
2、完整性:数据完整性和系统完整性
3、可用性:保证信息和信息系统随时为授权者提供服务
4、可鉴别性:指对实体身份的鉴别,适用于用户、进程、系统、信息等
5、不可否认性:无论发送方还是接收方都不能抵赖所进行的传输
二、信息泄露与篡改
信息泄露与篡改是信息在网络传输的过程中出现的安全问题。
1、截获信息
2、窃听信息
3、篡改信息
4、伪造信息
三、网络攻击
1、服务攻击
2、非服务攻击
3、非授权访问
4、网络病毒
四、网络安全模型
1、对发送的信息进行安全转换(信息加密),实现信息的保密性
2、发送和接收双方共享的某些信息(加密密钥),这些信息除了对可信任的第三方外,对于其他用户是保密的。
3、P2DR安全模型
策略,防护,检测,响应
五、网络安全规范
网络安全只凭技术来解决是远远不够的,还必须依靠政府与立法机构制定并不断完善法律法规来进行制约。
数据备份方法
一、 备份模式
1、逻辑备份
2、物理备份
二、备份策略
1、完全备份
2、增量备份
3、差异备份
三、冷备份与热备份
冷备份又叫离线备份,用户不再更新数据的情况下备份
热备份也称在线备份,或数据复制,即同步数据备份
加密技术
一、加密算法与解密算法
二、对称密码体制
数据加密标准DES是最典型的对称加密算法。
三、非对称密码体制
常用加密算法主要有RSA公钥。RSA算法的安全性建立在大素数分解的基础上,素数分解是一个极其困难的问题。
防病毒技术
一、计算机病毒
1、非授权可执行性
2、隐蔽性
3、传染性
4、潜伏性
5、表现性或破坏性
6、可触发性
其分类有:
1、引导型病毒
2、文件型病毒
3、复合型病毒
二、网络病毒
1、传播方式多样,传播速度更快
2、影响面更广
3、破坏性更强
4、难以控制和根治
5、编写方式多样,病毒变种多
6、智能化
7、混合病毒
三、恶意代码
1、蠕虫
2、木马
防火墙技术
一、防火墙的主要功能
1、检查所有从外部网络进入内部网络和从内部网络流出到外部网络的数据包。
2、执行安全策略,限制所有不符合安全策略要求的数据包通过。
3、具有防攻击能力,保证自身的安全性。
二、防火墙的分类
1、包过滤路由器
2、应用级网关
3、应用代理
4、状态检测
三、防火墙的系统结构
1、包过滤路由器结构
2、双宿主主机结构
3、屏蔽主机结构
4、屏蔽子网结构
入侵检测技术
一、入侵检测系统的基本功能
监控分析用户和系统的行为
检查系统的配置和漏洞
评估重要的系统和数据文件的完整性
对异常行为的统计分析,识别攻击类型,并向网络管理人员报警。
对操作系统进行审计,跟踪管理,识别违反授权的用户活动
二、入侵检测系统的结构
1、事件发生器
2、事件分析器
3、响应单元
4、事件数据库
网络安全设计
一、网络安全概论
了解网络安全的基本概念:
互联网发展现状分析;
建立安全机制的必要性;
网络安全解决方法;
管理黑客活动。
二、网络攻击的目的、方法和原理
了解网络攻进击的目的、方法和原理的基本概念:
网络攻击及网络安全设计的目的基本概念;
网络攻击的基本步骤;
常见攻击手法(口令入侵,植入特洛伊木马程序,WWW的欺骗技术,电子邮件攻击,通过一个节点攻击其他节点,网络监听,黑客软件,安全漏洞攻击,端口扫描攻击);
网络攻击手法的原理剖析(缓冲区溢出攻击的原理和防范措施,拒绝服务攻击的原理和防范措施);
网络安全设计的原则。
三、服务器操作系统基础
熟练掌握服务器系统的工作原理:
操作系统基本原理;
常见的操作系统分类及其典型代表;
Windows Server 3的安装和配置;
Windows Server 3 安全特性基础。
四、用户管理
熟悉用户管理的理论和实践:
用户账户和组账户的概念和基本类型;
用户账户的管理(创建新用户账户,用户账户密码策略,设置用户账户属性,管理用户账户,创建和修改计算机账户);
组对象的管理(Windows Server 3默认组,创建组,设置组属性,删除组);
计算机组策略(组策略概述,创建组策略,组策略应用建议)。
五、数据文件的安全管理
熟练数据文件的安全管理方法:
磁盘管理的基本知识;
基本磁盘管理;
加密文件系统;
数据的备份与恢复。
六、身份验证和证书服务
熟练掌握身份验证和证书服务的方法:
身份验证的概念;
交互式登录的原理及过程;
网络身份验证;Kerberos;
微软公钥基础设施;
数字证书;
证书模板;
配置证书模板;
信任模型概述。
七、文件共享与打印服务
熟练掌握文件共享与打印服务的方法:
访问控制概述;
文件共享;
管理打印服务。
八、Internet信息服务
熟练掌握Internet信息服务的方法:
安装Internet信息服务器;
创建和设置应用程序池;
设置与管理Web站点;
设置与管理FTP服务;
IIS配置数据库管理。
九、网络监视与调整
熟练使用网络监视的工具:
系统监视器的使用;
网络监视器的使用;
事件查看器的使用;
性能日志和警报;
任务管理器。
十、安全审核
基本掌握安全审核的工作方法:
Windows Server 3 的审核功能;
查看和备份日志;
配置高级审核策略;
配置对象审核策略。
十一、终端服务
掌握终端服务的基本内容:
安装终端服务器;
配置终端服务器;
远程桌面。
十二、网络传输安全
掌握网络传输安全的要素:
IPSec的部署;
DHCP的配置和管理;
动态DNS的配置。
二、网络构建
1、局域网组网技术
一、局域网标准 IEEE802标准
二、交换式局域网的基本概念,基于交换机
三、虚拟局域网的基本概念VLAN
将局域网中的结点按工作性质与需要划分成若干个“逻辑工作组”,则一个逻辑工作组就是一个虚拟网络。
2、综合布线的概念PDS是一种模块化的、灵活性极高的建筑物内或建筑群之间的信息传输通道。
一、综合布线的特点:
(1)兼容性(2)开放性(3)灵活性(4)可靠性(5)先进性(6)经济性
二、综合布线系统的组成
(1)工作区子系统
(2)配线(水平)子系统
(3)干线(垂直)子系统
(4)设备间子系统
(5)管理子系统
(6)建筑群子系统
三、综合布线系统设计等级
(1)基本型(2)增强型(3)综合型
3、综合布线系统标准
(1)ANSI/TIA/EIA 568-A
(2)TIA/EIA-568-B.1、TIA/EIA-568-B.2和TIA/EIA-568-B.3
(1)网线制作方法
直通线连接方式:T568A--T568A、T568B--T568B
交叉线连接方式:T568A--T568B、T568B--T568A
反转线连接方式:T568A--8跟线全部逆序排列、T568B--8跟线全部逆序排列
T568A线序:绿白、绿、橙白、蓝、蓝白、橙、棕白、棕
T568B线序:橙白、橙、绿白、蓝、蓝白、绿、棕白、棕
10M/100M网速时仅仅使用到1、2、3、6四根线
1000M以上网速时需要使用到额外的4根线
同级设备相连是直连线
不同级设备相连是交叉线。
比如说路由器与路由器相连就是直连线
路由器和计算机相连也是直连线
而路由器与交换机相连是交叉线。
(2)交换机配置与使用方法
一、交换机的配置方式
具体太多省略了~~
配置IPSec协议
IP_SECURITY协议(IPSec),是INTERNET工程任务组(IETF)为IP安全推荐的一个协议。通过相应的隧道技术,可实现VPN。IPSec有两种模式:隧道模式和传输模式。
IPSec协议组还包括支持网络层安全性密钥管理要求的密码技术。ISAKMP
配置MPLS协议
4、无线网络设备安装与调试
三、网络环境与应用系统的安装调试
1、网络环境配置
2、WWW服务器安装调试
3、E-mail服务器安装调试
4、FTP服务器安装调试
5、DNS服务器安装调试
四、网络安全技术与网络管理
1、网络安全
(1)网络防病毒软件与防火墙的安装与使用
(2)网站系统管理与维护
(3)网络攻击防护与漏洞查找
(4)网络数据备份与恢复设备的安装与使用
(5)其他网络安全软件的安装与使用
2、网络管理
(1)管理与维护网络用户帐户
(2)利用工具软件监控和管理网络系统
(3)查找与排除网络设备故障
(4)常用网络管理软件的安装与使用
0条大神的评论