1、1网络复习笔记第1章 故障处理方法一、网络的复杂性一般网络包括路由、拨号、交换、视频、WAN(ISDN、帧中继、ATM、)、LAN、VLAN、二、故障处理模型1、 界定问题(Define the Problem)详细而精确地描述故障的症状和潜在的原因2、 收集详细信息(Gather Facts)R信息来源:关键用户、网络管理系统、路由器/交换机1) 识别症状 :2) 重现故障:校验故障依然存在3) 调查故障频率:4) 确定故障的范围:有三种方法建立故障范围由外到内故障处理(Outside-In Troubleshooting):通常适用于有多个主机不能连接到一台服务器或服务器集由内到外故障处理
2、(Inside-Out Troubleshooting):半分故障处理(Divide-by-Half Troubleshooting)3、 考虑可能情形(Consider Possibilities)考虑引起故障的可能原因4、 建立一份行动计划(Create the Action Plan)5、 部署行动计划(Implement the Action Plan)用于纠正网络故障原因。从最象故障源处,想出处理方法每完成一个步骤,检查故障是否解决6、 观察行动计划执行结果(Observe Results)7、 如有行动计划不能解决问题,重复上述过程(Iterate as Needed)三、记录所做
3、修改在通过行动计划解决问题后,建议把记录作为故障处理的一部分,记录所有的配置修改。第2章 网络文档一、网络基线解决网络问题的最简单途径是把当前配置和以前的配置相比较。基线文档由不同的网络和系统文档组成,它包括:网络配置表网络拓扑图ES 网络配置表ES 网络拓扑图创建网络的注意事项:1) 确定文档覆盖的范围;2) 保持一致:收集网络中所有设备的相同信息;3) 明确目标:了解文档的用途;4) 文档易于使用和访问;5) 及时维护更新文档。二、网络配置表网络配置表的通常目标是提供网络中使用的硬件和软件组成的列表,其组成有:分级 项目杂项信息 设备名、设备型号、CPU 类型、FLASH、DRAM、接口描
4、述、用户名口令第1层 介质类型、速率、双工模式、接口号、连接插座或端口第2层 MAC 地址、STP 状态、STP 根桥、速端口信息、VLAN、Etherchannel 配置、封装、中继状态、接口类型、端口安全、VTP 状态、VTP 模式第3层 IP 地址、IPX 地址、HSRP 地址、子网掩码、路由协议、ACL、隧道信息、环路接口在多数情形下,存储这些信息的最佳方式是电子表格或数据库,电子表格用于较小的网络,数据库用于较大的网络。三、网络拓扑图网络拓扑图是图示网络的各组成部分之间如何在逻辑上和物理上相互连接。1、网络拓扑图的组成分级 项目2杂项信息 设备名、设备型号、设置间连接、接口描述第1层
5、 介质类型、接口号第2层 MAC 地址、VLAN、封装、中继状态、接口类型、DLCI第3层 IP 地址、子网掩码、路由协议对于大型的网络,可以制作多个网络拓扑图,每个网络拓扑图反映一个分离的部分。2、建立网络拓扑图发现网络配置信息1、收集路由器和第3层交换机网络配置信息show version ;显示设备型号、Flash、DRAM、IOS 版本show ip interface brief ;显示接口简要信息(类型、状态、协议状态、IP 地址)show interface e0/0 ;显示某接口详细信息(MAC、IP、MASK、)show ip protocols ;显示 IP 路由协议信息s
6、how ip interface e0/0 ;显示接口的 IP 协议信息(状态、IP 地址、ACL、)2、收集交换机配置信息交换机网络配置表包含的信息:设备名、型号、位置、Flash、DRAM、CATOS 版本、管理地址、VTP 域、VTP 模式、端口号、端口速率、端口双工、VLAN、STP 状态、速端口状态、中继状态、show version ;显示 IOS 或 CATOS 版本、DRAM、Flashshow vtp domain ;(CatOS)显示 VTP 域和 VTP 模式show vtp status ;(IOS)show interface ;(CatOS)显示管理接口信息show
7、 port ;(CatOS)显示每个端口的简要信息(号、VLAN、双工、)show interface ;(IOS)show trunk ;(CatOS)显示中继信息(模式、封装、允许端口、剪裁、)show interface trunk ;(IOS)show spantree 45 ;(CatOS)显示端口的 STP 模式、类型、状态、速端口、)show spanning-tree 45 ;(IOS)3、发现相邻 CISCO 设备的信息CDP(Cisco Discovery Protocol)是 CISCO 的专用协议,用于识别直接相邻的 CISCO 设备信息,CDP 工作在第2层。Show
8、 cdp neighbor ;显示相邻 CISCO 设备的简要信息(ID、相邻接口、平台、)Show cdp neighbor detail;显示相邻 CISCO 设备的详细信息(包含第3层信息)创建网络文档的过程1、 LOGIN ;登录到设备进入特权模式。2、 接口发现 ;发现关于设备的所需信息3、 Document ;在网络配置表中记录发现的信息。4、 Diagram ;从网络配置表传输所需信息到网络拓扑图5、 设备发现 ;判断是否有相邻设备没有记录文档。一、ES 网络配置表ES 网络配置表是 ES 的硬件和软件组成的列表。ES 网络配置常包括以下项目:分级 项目杂项信息 系统名、系统厂商
9、/型号、CPU 速率、RAM、存储器、系统功能第1、2层 介质类型、接口速率、VLAN、MAC、网络接头第3层 IP 地址、缺省网关、子网掩码、WINS、DNS、第7层 操作系统(版本)、基于网络的应用程序、高带宽应用程序、低延时应用程序、特定考虑二、ES 网络拓扑图ES 网络拓扑图的典型项目有:系统名、网络连接、物理位置、系统目标、VLAN、IP 地址、子网掩码、操作系统、网络应用程序大多数 ES 网络拓扑图都建立在网络拓扑图中,其中还可加入 ES 网络配置表数据的子集。三、收集 ES 网络配置信息通用命令:1) ping host/ip-address ;发送和接收 ICMP 响应,校验网
10、络的连通性2) arp -a ;查看修改 ES 的 MAC-IP 映射表(同一子网)3) telnet host/ip-address ;登录远程 ES 或特定 TCP 端口Windows 平台命令1) ipconfig /all ;查看修改 ES 的 IP 信息(适用所有 Windows 平台)32) winipcfg ;查看修改 ES 的 IP 信息(仅适用于 Win9x 平台)3) tracert host/ip-address ;校验到主机的连接并显示路径上的设备 IP4) route print ;显示本设备 IP 路由表的内容5) netstat ;显示当前网络连接Unix、Lin
11、ux 和 Mac OS 系统命令1) ifconfig -a ;查看 UNIX 和 MAC 主机的 IP 信息2) traceroute host/ip ;3) route n ;4) cat /etc/resolv.conf ;查看 DNS 服务器信息第三章 局域网基础早期局域网的特点:从局域网应用角度看,局域网主要技术特点是:决定局域网的主要技术要素是:网络拓扑,传输介质与介质访问控制方法。局域网从介质访问控制方法分为:共享介质局域网与交换式局域网。局域网拓扑构型总线局域网的介质访问控制方式采用的是“共享介质”方式。主要特点介质访问控制方法是控制多个结点利用公共传输介质发送和接受数据的方法
12、。环形拓扑构型星型拓扑中存在中心结点,每个结点通过点与点之间的线路与中心结点连接,任何两结点之间的通信都要通过中心结点转接。局域网传输介质有同轴电缆、双绞线、光纤与无线通信信道。双绞线光纤共享介质访问控制方式主要为:1 带有冲突检测的载波侦听多路访问 CSMA/CD 方法。2 令牌总线方法(TOKEN BUS)。3 令牌环方法(TOKEN RING)。IEEE802IEEE802参考模型:IEEE802参考模型是美国电气电子工程师协会在1980年2月制订的,称为 IEEE802标准,这个标准对应于 OSI 参考模型的物理层和数据链路层,但它的数据链路层又划分为逻辑链路控制子层(LLC)和介质访
13、问控制子层(MAC)。a.802.1标准:包含了局域网体系结构、网络互连、以及网络管理与性能测试。b.802.2标准:定义了逻辑链路控制(LLC)子层功能及其服务。c.802.3标准:定义了 CSMA/CD 总线介质访问控制子层和物理层规范。d.802.4标准:定义了令牌总线(Token Bus)介质访问控制子层与物理层的规范。e.802.5标准:定义了令牌环(Token Ring)介质访问控制子层与物理层的规范。IEEE802.2标准定义的共享局域网有三类:1 采用 CSMA/CD 介质访问控制方法的总线型局域网。2 采用 TOKEN BUS 介质访问控制方法的总线型局域网。3 采用 TOK
14、EN RING 介质访问控制方法的环型局域网。ETHERNET(以太网)的核心技术是它的随机争用型介质访问方法,即 CSMA/CD 介质访问控制方法。最早使用随机争用技术的是夏威夷大学的校园网。CSMA/CD 的发送流程可以简单的概括为1先听先发2边听边发3冲突停止4随机延迟后重发。冲突检测是发送结点在发送的同时,将其发送信号波形与接受到的波形相比较。TOKEN BUS(令牌总线方法)是一种在总线拓扑中利用“令牌”作为控制结点访问公共传输介质的确定型介质访问控制方法。所谓正常稳态操作是网络已经完成初始化,各结点进入正常传递令牌与数据,并且没有结点要加入与撤除,没有发生令牌丢失或网络故障的正常工
15、作状态。令牌传递规定由高地址向低地址,最后由低地址向高地址传递。令牌总线网在物理上是总线网,而在逻辑上是环网。交出令牌的条件:1 该结点没有数据帧等待发送。2 该结点已经发完。3 令牌持有最大时间到。环维护工作:1环初始化2新接点加入环3接点从环中撤出4环恢复5优先级令牌总线的特点TOKEN RING4IEEE802.5标准对其改进CSMA/CD 与 TOKEN BUS、TOKEN RING 的比较ETHERNET 物理地址的基本概念高速局域网的方案共享介质局域网可分为 Ethernet,Token Bus,Token Ring 与 FDDI 以及在此基础上发展起来的100Mbps Fast
16、Ethernet、1Gbps 与10Gbps Gigabit Ethernet。交换式局域网可分为 Switch Ethernet 与 ATM LAN,以及在此基础上发展起来的虚拟局域网。光纤分布式数据接口 FDDI 是一种以光纤作为传输介质的高速主干网。FDDI 主要技术特点:(1)使用基于 IEEE802.5的单令牌的环网介质访问控制 MAC 协议;(2)使用 IEEE802.2协议,与符合 IEEE802标准的局域网兼容;(3)数据传输速率为100Mbps,连网的结点数小于等于1000,环路长度为100km;(4)可以使用双环结构,具有容错能力;(5)可以使用多模或单模光纤;(6)具有动
17、态分配带宽的能力,能支持同步和异步数据传输.100Mbps Fast Ethernet1Gbps Gigabit EthernetGigabit Ethernet 的传输速率比 Fast Ethernet(100Mbps)快10倍,达到1000Mbps,将传统的 Ethernet 每个比特的发送时间由100ns 降低到1ns。10Gbps Gigabit Ethernet交换局域网的基本结构局域网交换机工作原理“端口号/MAC 地址映射表”的建立与维护根据交换机的帧转发方式,交换机可以分为3类:1 直接交换方式。2 存储转发交换方式。3 改进直接交换方式。局域网交换机的特性:1 低交换传输延迟
18、。2 高传输带宽。3 允许10Mbps/100Mbps。4 局域网交换机可以支持虚拟局域网服务。虚拟网络(VLAN)是建立在交换技术基础上的。虚拟网络是建立在局域网交换机或 ATM 交换机上的,它以软件的形式来实现逻辑组的划分与管理,逻辑工作组的结点组成不受物理位置的限制。对虚拟网络成员的定义方法上,有以下4种:1 用交换机端口号定义虚拟局域网。(最通用的办法)2 用 MAC 地址定义虚拟局域网。3 用网络层地址定义虚拟局域网。(例如用 IP 地址来定义)。4 IP 广播组虚拟局域网。这种虚拟局域网的建立是动态的,它代表一组 IP 地址。无线局域网的应用红外无线局域网的主要特点扩频无线局域网无
19、线局域网标准IEEE 802.3物理层标准类型10 BASE-5是 IEEE 802.3物理层标准中最基本的一种。它采用的传输介质是阻抗为50偶的基带粗同轴电缆。网卡是网络接口卡 NIC 的简称,它是构成网络的基本部件。网卡分类:按网卡支持的计算机种类:标准以太网卡。PCMCIA 网卡(用于便携式计算机)。按网卡支持的传输速率分类:普通的10Mbps。高速的100Mbps 网卡。10/100Mbps 自适应网卡。1000Mbps 网卡。按网卡支持的传输介质类型分类:双绞线网卡。粗缆网卡。细缆网卡。光纤网卡。普通的集线器两类端口:一类是用于连接接点的 RJ-45端口,这类端口数可以是8,12,1
20、6,24等。另一类端口可以是用于连接粗缆的 AUI 端口,用于连接细缆的 BNC 端口,也可以是光纤连接端口,这类端口称为向上连接端口。按传输速率分类:1。10Mbps 集线器。2。100Mbps 集线器。3。10Mbps/100Mbps 自适5应集线器。按集线器是或能够堆叠分类:1。普通集线器。2。可堆叠式集线器。按集线器是或支持网管功能:1。简单集线器。2。带网管功能的集线器。局域网交换机专用端口,共享端口。局域网交换机可以分为:1 简单的10Mbps 交换机。2 10Mbps/100Mbps 自适应的局域网交换机。3大型局域网交换机。双绞线组网方法采用多集线器的级联结构时,通常采用以下两
21、种方法:1.使用双绞线,通过集线器的 RJ-45端口实现级联。2.使用同轴电缆或光纤,通过集线器的向上连接端口实现级联。快速以太网组网方法千兆以太网组网方法结构化布线系统包括结构化布线系统与传统的布线系统最大的区别在于:结构化布线系统的结构与当前所连接的设备位置无关。结构化布线系统先预先按建筑物的结构,将建筑物中所有可能放置计算机及其外部设备的位置都布好了线,然后再根据实际所连接的设备情况,通过调整内部跳线装置,将所有计算机设备以及外部设备连接起来。智能大楼一个完善的智能大楼系统除了结构化布线系统以外,还应该包含以下几种系统:1 办公自动化系统。2 通信自动化系统。3 楼宇自动化系统。4 计算
22、机网络。结构化布线系统的应用环境:1建筑物综合布线系统;2智能大楼布线系统;3工业布线系统建筑物综合布线系统的主要特点是:1 由于建筑物综合布线系统支持各种系统与设备的集成,能与现在所有的语音,数据系统一起工作,从而可以保护用户在硬件,软件,培训方面的投资。2 建筑物综合布线系统有助于将分散的布线系统,合并成一组统一的,标准的布线系统中。3 建筑物综合布线系统的结构化设计,使用户自己能够容易的排除故障,增强了系统安全性,便于管理。4 采用高性能的非屏蔽双绞线与光纤的建筑物综合布线系统,能够支持高达100Mbps,甚至更高的数据传输速率。智能大楼布线系统工业布线系统是专门为工业环境设计的布线标准
23、与设备。网络互连的动力同种局域网使用网桥就可以将分散在不同地理位置的多个局域网互连起来。异型局域网也可以用网桥互连起来,ATM 局域网与传统共享介质局域网互连必须解决局域网仿真问题。路由器或网关是实现局域网与广域网、广域网与广域网互连的主要设备。数据链路层互连的设备是网桥。网桥在网络互连中起到数据接收,地址过渡与数据转发的作用,它是实现多个网络系统之间的数据交换。网络层互连的设备是路由器。如果网络层协议不同,采用多协议路由器。传输层以上各层协议不同的网络之间的互连属于高层互连。实现高层互连的设备是网关。高层互连的网关很多是应用层网关,通常简称为应用网关。所谓网络互连,是将分布在不同地理位置的网
24、络,设备相连接,以构成更大规模的互联网络系统,实现互联系统网络资源的共享。网络互连的要求网络互连的问题网络互连的功能有以下两类:1 基本功能。2 扩展功能。网桥是在数据链路层上实现不同网络互连的设备。网桥的基本特征网桥在局域网中经常被用来将一个大型局域网分成既独立又能互相通信的多个子网的互连结构,从而可以改善各个子网的性能与安全性。6基于这两种标准(IEEE802.1,802.5)的网桥分别是:1 透明网桥(各网桥);2 源路选网桥(源结点)路由器是在网络层上实现多个网络互连的设备。需要每个局域网网络层以上高层协议相同,数据链路层与物理层协议可以不同。网关可以完成不同网络协议之间的转换。实现协
25、议转换的方法主要是:1 直接将网络信息包格式转化成输出网络信息包格式 N(N-1);2 将输入网络信息包的格式转化成一种统一的标准网间信息包的格式 2N。一个网关可以由两个半网关构成。第四章 网络操作系统网络操作系统,是能利用局域网低层提供的数据传输功能,为高层网络用户提供共享资源管理服务,提供各种网络服务功能的局域网系统软件。单机操作系统网络操作系统(NOS)是指能使网络上各个计算机方便而有效的共享网络资源,为用户提供所需要的各种服务的操作系统软件。两方面的功能:因此,NOS 使连网的计算机能够方便而有效的共享网络资源,为网络用户提供所需要的各种服务的软件与协议的集合。网络操作系统的基本任务
26、是:屏蔽本地资源与网络资源的差异性,为用户提供各种基本网络服务功能,完成网络共享系统资源的管理,并提供网络操作系统的安全性服务。当前的网络操作环境网络操作系统分为两类:面向任务型 NOS 与通用型 NOS。通用型又可以分为:变形系统与基础级系统。网络操作系统经历了从对等结构与非对等结构演变的过程。对等结构网络操作系统非对等结构网络操作系统,将连网结点分为以下两类:1 网络服务器。2 网络工作站。虚拟盘体可以分为以下三类:专用盘体,共用盘体与共享盘体。基于文件服务的网络操作系统,分为两部分:1 文件服务器。2 工作站软件。局域网软硬件的典型构成典型的局域网可以看成由以下三个部分组成:网络服务器,
27、工作站与通信设备。网络操作系统的基本功能有:1 文件服务;2 打印服务;3 数据库服务;4 通信服务;5 信息服务;6 分布式服务;7 网络管理服务;8 Internet/Internet 服务。Windows 2000Windows NT SERVER 操作系统是以“域”为单位实现对网络资源的集中管理。主域控制器与后备域控制器。Windows NT 的特点:内置4种标准网络协议:1.TCP/IP 协议。2.Microsoft 公司的 MWLink 协议。3.NetBIOS 的扩展用户接口(NetBEUI)。4.数据链路控制协议。Windows NT:优缺点Windows2000 Server
28、 操作系统NetWareNetWare 操作系统是以文件服务器为中心的,它由三个部分组成:文件服务器内核,工作站外壳与低层通信协议。7服务器与工作站之间的连接是通过通信软件,网卡,传输介质来实现的。通信软件包括网卡驱动程序和通信协议软件。工作站运行的重定义程序 NetWare Shell 负责对用户命令进行解释。NetWare 的文件系统在 NetWare 环境中,访问一个文件的路径为: 文件服务器名/卷名:目录名子目录名文件名用户分为:1 网络管理员。通过设置用户权限来实现网络安全保护措施。2 组管理员。3 网络操作员。4 普通网络用户。NetWare 的安全保护方法NetWare 操作系统
29、的系统容错技术主要是以下三种:1 三级容错机制。第一级系统容错 SFT I 采用了双重目录与文件分配表,磁盘热修复与写后读验证等措施。第二级系统容错 SFT II 包括硬盘镜像与硬盘双工功能。第三级系统容错 SFT III 提供了文件服务器镜像功能。2 事务跟踪系统:NetWare 的事务跟踪系统用来防止在写数据库记录的过程中因为系统故障而造成数据丢失。3 UPS 监控NetWare 的优缺点IntranetWare 操作系统IntranetWare 操作系统的主要特点:1 IntranetWare 操作系统能建立功能强大的企业内部网络。2 IntranetWare 操作系统能保护用户现有的投
30、资。3 IntranetWare 操作系统能方便的管理网络与保证网络安全。4 IntranetWare 操作系统能集成企业的全部网络资源。5 IntranetWare 操作系统能大大减少网络管理的开支。Linux 操作系统:低价格,源代码开放,安装配置简单。Unix 网络操作系统第五章 因特网基础因特网主要作用:丰富的信息资源(www);便利的通信服务(E-MAIL);快捷的电子商务(中国最早的商务平台8488).因特网主干网:ANSNET。从网络设计者角度考虑,因特网是计算机互联网络。从使用者角度考虑,因特网是信息资源网。因特网中的通信线路归纳起来主要有两类:有线线路和无线线路。因特网主要由
31、通信线路,路由器,服务器和客户机,信息资源四部分组成。所有连接在因特网上的计算机统称为主机。服务器就是因特网服务与信息资源的提供者.客户机是因特网服务和信息资源的使用者。TCP/IP 协议就是将它们维系在一起的纽带,TCP/IP 是一个协议集,它对因特网中主机的寻址方式,主机的命名机制,信息的传输规则,以及各种服务功能做了详细约定。IP(通信规则)主要是负责为计算机之间传输的数据报寻址,并管理这些数据报的分片过程。运行 IP 协议的网络层可以为其高层用户提供如下三种服务:1. 不可靠的数据投递服务;2. 面向无连接的传输服务;3. 尽最大努力投递服务。IP 地址由两部分组成,1.网络号和2.主
32、机号。只要两台主机具有相同的网络号,不论它们物理位置,都属于同一逻辑网络。A 类 IP 地址用于大型网络;B 类 IP 地址用于中型网络;C 类用于小规模网络,最多只能连接256台设备;D 类 IP 用于多目的地址发送;E 类则保留为今后使用。再次划分 IP 地址的网络号和主机号部分用子网屏蔽码来区分。IP 数据报的格式可以分为报头区和数据区两大部分,其中数据区包括高层需要传输的数据,报头区是为了正确传输高层数据而增加的控制信息。因特网中,需要路由选择的设备一般采用表驱动的路由选择算法。路由表有两种基本形式:1.静态路由表;2.动态路由表。动态路由表是网络中的路由器互相自动发送路由信息而动态建
33、立的。TCP 为应用层提供可靠的数据传输服务。TCP 是一个端到端的传输协议,因为它可以提8供一条从一台主机的一个应用程序到远程主机的另一个应用程序的直接连接.(虚拟连接)端口就是 TCP 和 UDP 为了识别一个主机上的多个目标而设计的。因特网的域名由 TCP/IP 协议集中的域名系统进行定义。因特网中的这种命名结构只代表着一种逻辑的组织方法,并不代表实际的物理连接。借助于一组既独立又协作的域名服务器来完成,因特网存在着大量域名服务器,每台域名服务器保存着域中主机的名字与 IP 地址的对照表,这组名字服务器是解析系统的核心。域名解析两方式:1.递归解析.2.反复解析。因特网提供的基本服务主要
34、有:1.电子邮件 E-MAIL;2.远程登陆 Telnet;3.文件传输 FTP;4.WWW 服务。电子邮件服务采用客户机/服务器工作模式。用户发送和接收邮件需要借助于安装在客户机中的电子邮件应用程序来完成。电子邮件应用程序应具有如下两个最为基本的功能:1. 创建和发送电子邮件2. 接收,阅读,管理邮件电子邮件应用程序在向邮件服务器传送邮件时使用简单邮件传输协议 SMTP,从邮件服务器读取时候可以使用 POP3协议或 IMAP 协议。当使用电子邮件应用程序访问 IMAP 服务器时,用户可以决定是或将邮件拷贝到客户机中,以及是或在 IMAP 服务器中保留邮件副本,用户可以直接在服务器中阅读和管理
35、邮件。电子邮件由两部分组成:邮件头和邮件体(实际传送的内容)。远程终端协议,既 Telnet 协议,Telnet 协议是 TCP/IP 协议的一部分,它精确的定义了本地客户机与远程服务器之间交互过程。因特网提供的远程登陆服务可以实现:1. 本地用户与远程计算机上运行程序相互交互。2. 用户登陆到远程计算机时,可以执行远程计算机上的任何应用程序,并且能屏蔽不同3. 型号计算机之间的差异。4. 用户可以利用个人计算机去完成许多只有大型机才能完成的任务.网络虚拟终端:提供了一种标准的键盘定义,用来屏蔽不同计算机系统对键盘输入的差异性。因特网用户使用的 FTP 客户端应用程序通常有三种类型,既传统的
36、FTP 命令行,浏览器和 FTP 下载工具。这种在文本中包含与其他文本的连接特征,形成了超文本的最大特点:无序性。选择热字的过程,实际上就是选择某种信息链接线索的过程。超文本传输协议 HTTP 是 WWW 客户机与 WWW 服务器之间的应用层传输协议。HTTP 会话过程包括以下4个步凑:1.连接.2.请求.3.应答.4.关闭。URL 由三部分组成:协议类型,主机名与路径及文件名。WWW 服务器所存储的页面是一种结构化的文档,采用超文本标记语言 HTML 书写而成。HTML 主要特点是可以包含指向其他文档的链接项,既其他页面的 URL;可以将声音,图象,视频等多媒体信息集合在一起。对于机构来说,
37、主页通常是 WWW 服务器的缺省页,既用户在输入 URL 时只需要给出 WWW服务器的主机名,而不必指定具体的路径和文件名,WWW 服务器会自动将其缺省页返回给用户。搜索引擎是因特网上的一个 WWW 服务器,它的主要任务是在因特网中主动搜索其他 WWW服务器中的信息并对其自动索引,将索引内容存储在可供查询的大型数据库中。网络新闻组是一种利用网络进行专题讨论的国际论坛,到目前为止 USENET 仍是最大规模的网络新闻组。ISP 一方面为用户提供因特网接入服务,另一方面为用户提供各种类型的信息服务。用户的计算机可以通过各种通信线路连接到 ISP,但归纳起来可以划分为两类:电话线路和数据通信线路。调
38、制解调器在通信的一端负责将计算机输出的数字信息转换成普通电话线路能够传输9的信号,在另一端将从电话线路接受的信号转化成计算机能够处理的数字信号。通过电话线路介入因特网的费用通常由三部分组成:开户费,因特网使用费(连接费用和占用磁盘空间费用)和电话费。第六章 网络安全技术网络管理包括五个功能:配置管理,故障管理,性能管理,计费管理和安全管理。网络管理的目标:网络管理员的职责:管理者实质上是运行在计算机操作系统之上的一组应用程序,管理者从各代理处收集信息,进行处理,获取有价值的管理信息,达到管理的目的.代理位于被管理的设备内部,它把来自管理者的命令或信息请求转换为本设备特有的指令,完成管理者的指示
39、,或返回它所在设备的信息。管理者和代理之间的信息交换可以分为两种:从管理者到代理的管理操作;从代理到管理者的事件通知。配置管理的目标是掌握和控制网络的配置信息。现代网络设备由硬件和设备驱动组成。故障就是出现大量或严重错误需要修复的异常情况。故障管理是对计算机网络中的问题或故障进行定位的过程。故障管理的步骤:故障管理最主要的作用是通过提供网络管理者快速的检查问题并启动恢复过程的工具,使网络的可靠性得到增强。故障标签就是一个监视网络问题的前端进程。性能管理的目标是衡量和呈现网络特性的各个方面,使网络的性能维持在一个可以接受的水平上。性能管理包括监视和调整两大功能。性能管理的作用:记费管理的目标是跟
40、踪个人和团体用户对网络资源的使用情况,对其收取合理的费用。记费管理的主要作用是网络管理者能测量和报告基于个人或团体用户的记费信息,分配资源并计算用户通过网络传输数据的费用,然后给用户开出帐单。安全管理的目标是按照一定的策略控制对网络资源的访问,保证重要的信息不被未授权用户访问,并防止网络遭到恶意或是无意的攻击。安全管理是对网络资源以及重要信息访问进行约束和控制。在网络管理模型中,网络管理者和代理之间需要交换大量管理信息,这一过程必须遵循统一的通信规范,我们把这个通信规范称为网络管理协议。网络管理协议是高层网络应用协议,它建立在具体物理网络及其基础通信协议基础上,为网络管理平台服务。目前使用的标
41、准网络管理协议包括:简单网络管理协议 SNMP,公共管理信息服务/协议 CMIS/CMIP,和局域网个人管理协议 LMMP 等。管理节点一般是面向工程应用的工作站级计算机,拥有很强的处理能力。代理节点可以是网络上任何类型的节点。SNMP 是一个应用层协议,它使用传输层和网络层的服务向其对等层传输信息。SNMP 采用轮循监控方式。CMIP 的优点是安全性高,功能强大,不仅可用于传输管理数据,还可以执行一定的任务。信息安全包括3个方面:物理安全、安全控制、安全服务。物理安全是指在物理媒介层次上对存储和传输的信息的安全保护。安全控制是指在操作系统和网络通信设备上对存储和传输信息的操作和进程进行控制和
42、管理,主要是在信息处理层次上对信息进行初步的安全保护。安全服务是指在应用层对信息的保密性;完整性和来源真实性进行保护和鉴别,满足用户的安全需求,防止和抵御各种安全威胁和攻击。信息安全系统的设计原则:美国国防部和国家标准局的可信计算机系统评估准则(TCSEC)定义了4个级别:A;B;C;D1 D1级。D1级计算机系统标准规定对用户没有验证。例如 DOS,WINDOS3.X 及 WINDOW 95(不在工作组方式中)。Apple 的 System7。X。2 C1级提供自主式安全保护,它通过将用户和数据分离,满足自主需求。3 C2级为处理敏感信息所需要的最底安全级别。C2级别进一步限制用户执行一些命
43、令或访问某些文件的权限,而且还加入了身份验证级别。例如 UNIX 系统。XENIX。Novell 3。0或更高版本。Windows NT。104 B1级是第一种需要大量访问控制支持的级别。安全级别存在保密,绝密级别。5 B2要求计算机系统中的所有对象都要加上标签,而且给设备分配安全级别。6 B3级要求用户工作站或终端通过可信任途径连接到网络系统。而且这一级采用硬件来保护安全系统的存储区。B3级系统的关键安全部件必须理解所有客体到主体的访问。7 A1 最高安全级别,表明系统提供了最全面的安全。欧洲准则国际通用准则网络安全从本质上讲就是网络上的信息安全。凡是涉及到网络信息的保密性,完整性,可用性,
44、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是指网络系统的硬件;软件及其系统中的数据受到保护,不会由于偶然或恶意的原因而遭到破坏;更改;泄露,系统连续;可靠;正常地运行,网络服务不中断.网络安全的基本要素是实现信息的机密性、完整性、可用性和合法性。网络安全应包括以下几个方面:物理安全,人员安全,符合瞬时电磁脉冲辐射标准(TEM-PEST);信息安全,操作安全,通信安全,计算机安全,工业安全.保证安全性的所有机制包括以下两部分:1 对被传送的信息进行与安全相关的转换。2 两个主体共享不希望对手得知的保密信息。网络安全的基本任务安全威胁是某个人、物,事或概念对某个资源的机密性,完
45、整性,可用性或合法性所造成的危害。安全威胁分为故意的和偶然的两类。故意威胁又可以分为被动和主动两类。1基本威胁2渗入威胁和植入威胁。渗入威胁:假冒,旁路控制,授权侵犯。植入威胁:特洛伊木马,陷门。3潜在威胁4病毒是能够通过修改其他程序而感染它们的一种程序,修改后的程序里面包含了病毒程序的一个副本,这样它们就能继续感染其他程序。网络反病毒技术包括预防病毒,检测病毒和消毒三种技术。具体实现方法包括对网络服务器中的文件进行频繁地扫描和检测,在工作站上用防病毒芯片和对网络目录以及文件设置访问权限等。安全攻击1中断是系统资源遭到破坏或变的不能使用。这是对可用性的攻击。2截取是未授权的实体得到了资源的访问
46、权。这是对保密性的攻击。3修改是未授权的实体不仅得到了访问权,而且还篡改了资源。这是对完整性的攻击。4捏造是未授权的实体向系统中插入伪造的对象。这是对真实性的攻击。主动攻击和被动攻击被动攻击的特点是偷听或监视传送。其目的是获得正在传送的信息。被动攻击有:泄露信息内容和通信量分析等。主动攻击涉及修改数据流或创建错误的数据流,它包括假冒,重放,修改信息和拒绝服务等。假冒是一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。重放涉及被动捕获数据单元以及后来的重新发送,以产生未经授权的效果。修改消息意味着改变了真实消息的部分内容,或将消息延迟或重新排序,导致未授权的操作。拒绝服务的禁止对
47、通信工具的正常使用或管理。这种攻击拥有特定的目标。另一种拒绝服务的形式是整个网络的中断,这可以通过使网络失效而实现,或通过消息过载使网络性能降低。防止主动攻击的做法是对攻击进行检测,并从它引起的中断或延迟中恢复过来。从网络高层协议角度看,攻击方法可以概括为:服务攻击与非服务攻击。服务攻击是针对某种特定网络服务的攻击。非服务攻击不针对某项具体应用服务,而是基于网络层等低层协议进行的。非服务攻击利用协议或操作系统实现协议时的漏洞来达到攻击的目的,是一种更有效的攻击手段。安全策略的组成安全管理原则。网络信息系统安全管理三个原则:1 多人负责原则。2 任期有限原则。113 职责分离原则。安全管理的实现
48、保密学是研究密码系统或通信安全的科学,它包含两个分支:密码学和密码分析学。需要隐藏的消息叫做明文。明文被变换成另一种隐藏形式被称为密文。这种变换叫做加密。加密的逆过程称为解密。对明文进行加密所采用的一组规则称为加密算法。对密文解密时采用的一组规则称为解密算法。加密算法和解密算法通常是在一组密钥控制下进行的,加密算法所采用的密钥成为加密密钥,解密算法所使用的密钥叫做解密密钥。密码系统通常从3个独立的方面进行分类:1 按将明文转化为密文的操作类型分为:置换密码和易位密码。2 按明文的处理方法可分为:分组密码(块密码)和序列密码(流密码)。3 按密钥的使用个数分为:对称密码体制和非对称密码体制。置换
49、密码和易位密码所有加密算法都是建立在两个通用原则之上:置换和易位。分组密码(块密码)和序列密码(流密码)对称加密和非对称加密如果发送方使用的加密密钥和接受方使用的解密密钥相同,或从其中一个密钥易于的出另一个密钥,这样的系统叫做对称的,单密钥或常规密码系统。如果发送放使用的加密密钥和接受方使用的解密密钥不相同,从其中一个密钥难以推出另一个密钥,这样的系统就叫做不对称的,双密钥或公钥加密系统。数据加密技术可以分为3类:对称型加密,不对称型加密和不可逆加密。对称加密使用单个密钥对数据进行加密或解密。不对称加密算法其特点是有两个密钥,只有两者搭配使用才能完成加密和解密的全过程。不对称加密的另一用法称为“数字签名” 。不可逆加密算法的特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样输入的输入数据经过同样的不可逆算法才能得到同样的加密数据。从通信网络的传输方面,数据加密技术可以分为3类:链路加密方式,节点到节点方式和端到端方式。链路加密方式是一般网络通信安全主要采用的方式。节点到节点加密方式是为了解决在节点中数据是明文的缺点,在中间节点里装有加,解密的保护装置,由这个装置来完成一个密钥向另一个密钥的变换。在端到端加密方式中,由发送方加密的数据在没有到达最终目的节点之前是不被解密的。链路加密方式和端到端加密方式的区别试图发现明文或密钥的过程叫做密码分
