网络规划师复习资料

2、网络物理隔离具有以下3个特征：1）内网与永不连接

2）每一次数据交换都需要经过数据写入和数据读出两个过程

3）内网和在同一时刻最多只能有一个物理隔离设备建立非TCP/IP协议的数据连接。3、一个优秀的消息摘要函数应具有以下特点

1）所有输入报文获取输出摘要的时间非常短2）根据输出无法还原输入消息3）输出摘要的长度是固定的。

4、信息安全管理制度主要包括管理制度、制定和发布、评审和修订3个方面的控制点。

一级管理制度要求：主要明确了制定日常常用的管理制度，并对管理制度的制订和发布提出了基本要求二级管理制度要求：在控制点增加了评审和修订，管理制度增加了总体方针和安全策略，以及对各类重要操作建立规程的要求，并且管理的制定和发布要求组织认证。

三级管理制度要求：在二级要求的基础上，要求机构形成信息安全管理制度体系，对管理制度的制定要求和发布过程进一步严格和规范。对安全制度的评审和修订要求领导小组的负责。

四级管理制度的要求：在三级要求的基础上，主要考虑了对带有密级信息安全管理制度的管理和日常维护等。

5、在IPv6数据报中，流是从特定源结点到目的结点之间的数据报序列，源结点希望中间路由器对该数据报序列进行特殊处理。一个流由源IP地址和非零的流标记唯一标识。

6、网络规划设计的约束因素主要来自于、经费预算、时间和应用目标检查等方面。

7、UDP（用户数据包协议）：不提供数据传送的可靠机制、流控制及错误恢复功能。SNMP、DNS、网络文件系统（NFS）、简单文件传输系统（TFTP）等应用层协议提供服务。SNMP是一个异步请求响应协议。基于TCP/IP协议簇的以太网MAC帧的最大MTU（最大传输单元）值为1500，数据报分片最大有效长度为14字节。

8、IPV6地址中双冒号之间被压缩0的位数N问题的一种解决方法：先数一个IPv6地址中位段的个数x，N=（8-x)*16

9、IP交换机的信令使用了流管理协议（IFMP)和交换机管理协议（GSMP)，其中IFMP报文封装在IPv4分组中广播发送，GSMP可变长度报文封装在AAL5协议数据单元中。

10、综合服务（IntServ）P2中定义了3种服务类型：Qos保证服务型（GS)、受控负载服务型（CLS）、尽力而为型（BES)区分服务（Diffserv）：优质服务型和确保服务型是两种典型服务。P25811、系统级管理的主要任务不允许未经许可的用户进入系统，从而也防止了他人非法使用系统中各类资源（文件）

用户级安全管理通过管理所有用户的分类和对指定用户分配访问权、不同的用户对不同文件设置不同的存取权限来实现。

目录级安全管理是为了保护系统中各种目录而设计的，它与用户权限无关。

1文件级安全管理通过系统管理员或文件主对文件属性的设置来控制用户对文件的访问。如可以设置文件属性

12、目前，VPN技术主要采用隧道技术（Tuneling)、加密技术（Encryption&Decryption)、密钥管理技术（KeyManagement）和使用者与设备身份认证技术（Authentication）来保证内部数据通过Internet的安全传输。隧道技术是一种将分组封装化的技术，它要求发送方和接收方的VPN设备的认证方式、加密和封装化规程必需相同；加密功能使第三方不能在Internet上窃取、篡改封装化分组；认证功能是指在VPN设备间确认通信对象的功能、防止第三方伪装。

通常、利用L2F、PPTP及L2TP协议在数据链路层实现VPN应用利用IPSecGRE协议在网络层实现应用

利用安全套接层（TLS）协议在传输层和应用层之间实现应用。在应用层(传输层？）利用SSL协议实现VPN的安全应用,SSL协议主要包括：记录协议、告警协议、握手协议

SSL位于HTTP层和TCP之间，建立用户与服务器间的加密通信，默认监听端口是TCP协议中的443点对点隧道协议（PPTP）是一种支持多协议虚拟专用网络的网络技术。

L2TP是由IETF整合PPTP与L2F而形成。L2TP与PPTP之间的主要区别在于：

1）PPTP只适用于IP网络，L2TP只要求隧道提供点到点的连接，既适用于IP网络也适用于非IP网络2）PPTP只能建立单一的隧道，L2TP支持两端使用多隧道3）PPTP不支持隧道验证，L2TP支持隧道验证4）PPTP不支持首部压缩，L2TP可以提供首部压缩。

13、网络认证协议Kerberos5使用3DES加密等更强的算法替换了以前版本的DES加密算法。

RSA是一种基于大数分解的公钥加密算法

如：公钥（e=7,n=20),私钥是(d=3,n=20),用公钥对消息M=3加密，得到密文是：1）M^e=3^7=2187

2)M^e被n除的模余数，即得到密文2187/20=109-----7因此密文是7

例2：RSA的加密算法，如果选定了用于加解密的两个素数，13、31，则每个分组的位数是13*31=4032^n<403<=2^(n+1)因此n=8MD5是一种应用于消息摘要的认证算法

握手认证协议（CHAP）采用MD5算法来计算只有认证系统和远程设备知道的散列值。RC4是一种密钥长度可变的流加密算法

14、BGP-4采用了路径向量（PathVector）路由协议，它与RIP、OSPF协议都有很大的区别。在配置BGP时，每个自治系统的管理员选择一个路由器（通常是BGP边界路由器）作为该自治系统的“BGP发言人”。一个BGP发言人与其它自治系统的BGP发言人要交换路由信息，就要先建立TCP连接，在此连接上交换BGP（Keepalive保活报文)报文以建立BGP会话。利用BGP会话交换路由信息，如增加了新的路由或撤销过时的路由、以及报告出错的情况等，使用TCP连接提供了可靠的服务，可以简化路由选择协议。

15、SDH网络是一个基于时分多路复用技术的数字传输网络，它统一T1载波与E1载波体系，且净负荷与网络是同步的，降低了复用设备的复杂性。时分复用TDM：SDH、ATM、帧中继、X.25等

波分复用WDM：数字电视电缆，以太无源光网络（EPON）频分复用FDM：ADSL、HFC（光纤同轴电缆混合网）。ADSL采用QAM、QMT编码。HFC采用QPSK、QAM编码，是一个基于有线电视网络（CATV）的双向传输系统。

在常见的城域网/广域网连接方案中T1、E1、T3、STM-1、STM-4、STM-等属于同步时分复用线路。OC-3、OC-12、OC-96等属于异步时分复用线路。16、OSPF多区域设计的优点1、降低了SPF的计算频率

22、减小了路由表

3、降低了通告LSA的开销

4、将不稳定在一个特定的区域内

17、CSMA/CD协议中的3种监听算法，优缺点如下：

1）非坚持监听算法：不能及时抢占信道，但降低了冲突的概率。2）1-坚持监听算法：能及时抢占信道，但增加了冲突的概率

3）P-坚持监听算法：能及时抢占信道，又能降低冲突的概率，但算法复杂

18、MPLS网络中包含标记交换路由器（LSR）和标记边缘路由器（LER)，这两种设备都具有IP功能和MPLS功能，都通过标记协议（LDP）给标准路由协议生成的路由表赋予标记信息并发布出去。负责为网络添加/删除标记的是标记边缘路由器。

注意：MPLS没有建立连接阶段，使用数据驱动方法产生转发表项，使用色线来避免环路。1）发现消息：采用UDP传输，用于通告和维护网络中某个LSR的存在

2）会话消息：TCP传输，用于建立、维护和中止两个相邻LSR交换标记绑定信息的会话。3）公告消息：TCP传输，用于建立、修改和删除标记绑定4）通知消息：TCP传输，用于提供错误信息。19、MPLS的工作过程：

1、MPLS域中的各LSR使用专门的标记分配协议LDP交换报文，找出标记交换路径LSP、据此构造分组转发表

2、分组进入到MPLS域时，MPLS入口节点为分组打上标记，并按照转发表进行转发到下一个LSR3、之后的所有LSR都按照标记进行转发，每经过一个LSR要更换一个新的标记

4、当分组离开MPLS网络时，MPLS出口节点把分组的标记删除，然后按照一一般分组进行转发20、存储区域网络(SAN)是一种特殊的高速专用网络，它连接网络服务器和磁盘阵列或备份磁带库等存储设备。SAN置于LAN之下，而不涉及LAN。利用SAN不仅可以提供大容量的存储数据，而且在地域上可以分散，并缓解了大量数据传输对局域网的影响。SAN允许任何服务器连接到任何存储阵列，不管数据存放在那里，服务器都可以存取所需的数据。

SAN1.0是以硬件设备为导向的技术框架，给光纤通道和iSCSI存储协议带来了很大的影响。很难实现整体的系统动态优化。

网络连接存储（NAS）将存储设备连接到现有的网络上，并提供数据和文件服务。NAS将存储设备通过标准的网络拓扑结构连接，与客户之间通信使用NFS协议或CIFS协议来进行。它并不包括标准的UNIX和WindowsNT文件服务器。因为它们不是完整的总控文件服务器方案。

与NAS相比，SAN具有两个突出的特点：1）SAN具有无限扩展的能力2）SAN具有更高的连接速度和处理能力。SAN采用了为大规模数据传输而专门设计的光纤通道技术。

21、多重安全网关也称为UTM（统一威胁管理），实现从网络层到应用层的全面检查。它采用架桥策略，主要是采用安全检查方式，不更改应用协议（即业务协议直接通过），数据不重组，所以适合办公网与Internet的隔离，也适合涉密网络之间的隔离。

22、地址解析协议（ARP）完成IP地址到MAC地址的转换功能

ARP和RARP的协议数据单元均封装在以太网的数据帧中传送。

密码认证协议（PAP）使用双向握手方式为同级系统提供身份认证功能。在建立连接时进行握手。在建立连接之后，远程设备将一个用户ID/密码对（无加密）发送到认证系统。根据用户ID/密码对正确与否，认证系统继续连接或者结束连接。当使用CHAP时，总是对用户ID和密码进行加密，而当使用PAP时，从不对用户ID和密码进行加密。

323、网络系统安全设计包括预防、检测、反应与应急处理，根据整体设计的原则，网络系统安全必需包括安全防护机制、安全检测机制、安全恢复机制。

24、组播路由协议分为域内组播路由协议和域间路由组播协议两类。

域内组播路由协议又分为：密集模式和稀疏模式两种类型

密集模式主要有：距离矢量路由协议（DVMRP)、开放最短路径优先的组播扩展协议（MOSPF）、协议组播-密集模式协议（PIM-DM)

稀疏模式主要有基于核心树（CBT）路由协议、协议组播-稀疏模式（PIM-SM）路由协议25、现在计算机网络更多地使用TDM而不是FDM是因为TDM可以用于数字传输，而FDM不行。26、OSPF协议支持4种网络类型：广播多址网络（多路访问）、NBMA（非广播多路访问）、点到点网络、点到多点网络

广播多址网络：以太网（Ethernet）、令牌网、FDDI非广播多路访问（NBMA）：帧中继（FrameRelay）、X.25、ATM等，特点是任意两点可达，形成路由间的全通

点到点网络:封装为HDLC、PPP协议的串行链路、帧中继、ATM中的点到点子接口

点到多点网络包括运行帧中继、X.25、ATM等协议的网络，其特点是非任意两点可达，路由器之间形成部分连通。

27、在IP数据报分片后，由目的主机负责对分片进行重组。其好处是：、

1）减少分片途径的路由器的计算量2）路由器可以为每个分片选择路由

3）每个分片到达目的地所经过的路径可以不同

28、网络工程文档的编制有助于提高设计效率；按照规范要求生成一套文档的过程，就是按照网络分析与设计规范完成网络项目分析与设计的过程；网络工程文档可作为检查项目设计进度和设计质量的依据；是设计人员在一定阶段的工作成果和结束标识。

29、IP电话网关具有号码查询、通信连接建立、信号调制、信号压缩、路由寻址等基本功能，但不具有协议转换功能。

30、重复服务器对系统资源要求不高，但是，如果服务器需要在较长时间内才能完成一个请求任务，那么其它的请求必需等待很长时间才能得到响应。该解决方案一般用于处理可在预期时间内处理完的请求，针对面向无连接的客户机/服务器模型。

并发服务器解决方案具有实时性和灵活性的特点。由于主服务器经常牌守护状态，多个客户机同时请求的任务分别由不同的服务器并发执行，因此请求不会长时间得不到响应。但由于创建从服务器会增加系统开销，因此该解决方案通常对主机的软、硬件资源要求较高，一般用于处理不能在预期时间内处理完的请求，针对面各连接的客户机/服务器模型。31、信息安全策略的设计与实施步骤

1）确定安全需求。如确定安全需求范围、评估面临的风险等2）制订可实现的安全目标

3）制订安全规划。如制订本地网络安全规划、制订远程网络安全规划、制订Internet安全规划等。4）制订系统的日常维护计划。

432、在信息安全体系中，数字签名技术用于防止信息抵赖，加密技术用于防止信息被窃取，完整性技术用于防止信息被篡改，认证技术用于防止信息被假冒。

33、对于AH或ESP协议，源主机在向目标主机发送数据报之前，需要先进行握手且建立网络逻辑连接，该逻辑通道称为安全协定（SA）。这样，IPSec将互联网的传统的无连接网络层改造成了有逻辑连接的层。SA定义的逻辑连接是一个单向连接，如果两个主机想彼此间发送安全数据报，则需要建立两个SA，一个传输方向上一个SA。SA唯一定义一个三元组，包括安全协议（AH或ESP）标识符、IP目的地址和安全参数索引（SPI）。原则上目的地址可以是一个单播地址、一个IP广播地址或一个多播组地址。P671

IPsec的安全体系中在三种协议：AHESPISAKMPAH、ESP是安全协议，ISAKMP是密钥管理协议

AH协议为IP包提供数据源认证、数据完整性和抵抗重放攻击

ESP协议提供数据保密、数据源认证、无连接完整性、抵抗重放攻击保护和有限的数据流保密密钥管理协议提供双方交流时的共享安全信息

34、网络信息系统的安全管理主要基于：多人负责原则、任期有限原则、职责分离原则。35、若设帧出错的概率为P，Pb为误码率，L为帧长，则P=1-(1-Pb)^L36、SET交易过程：持卡人注册、商家注册、购买请求、付款授权、付款结算

37、不管网络工程规模如何，都存在一个可扩展的总体安全框架，安全管理体系是整个安全架构的基础。38、RPR（弹性分组环）是一种用于直接在光纤上高效传输IP分组的传输技术。在RPR中，两个RPR节点之间的裸光纤的最大长度可以达到100Km。

RPR采用双环结构，顺时针传输叫内环，逆时针传输叫外环，都可以用统计时分复用（ATDM）的方法传输数据分组与控制分组。

特点１）带宽利用率高

２）公平性好，每一个节点都执行SRP公平算法

３）快速保护和恢复能力强，能够在５０ｍｓ的时间内隔离出现故障的节点和光纤段。4）保证服务质量（Qos），对不同的业务数据分配不同的优先级，以保证高优先级信息的可靠传输。

5）拓扑具有自动发现功能，可以简化光纤配置，并易于提供点到多点的业务。

具有空间复用、环自愈保护、自动拓扑识别、多等级QOS服务、带宽公平机制和拥塞控制机制、物理层介质等技术特点。P365

39、按服务器的处理器架构，可把服务器划分为RISC（精简指令集）架构服务器和IA（英特尔架构）服务器。后者包括CISC（复杂指令系统计算）架构服务器和VLIW（超长指令集架构）服务器两种。RISC的指令系统相对简单，只要求硬件执行很有限且最常用的那部分指令。RISC架构服务器采用的是封闭的发展策略，即由单个厂商提供解决方案，硬件和软件都由这个厂商完成。

IA架构的服务器采用了开放的体系，有大量硬件和软件的支持者，主要以IA-32架构，多数被中、低档服务器采用。

VLIW架构采用了先进的EPIC（清晰并行指令）设计，也即IA-架构，最大优点是简化了处理器的结构，删除了处理器内部许多复杂的控制电路，目前基于这种架构的微处理器主要有Intel的IA-AMD

5公司的X86-两种。

RISC是简单指令，也只能执行４条指令CICS通常只能执行1-3条指令２０条指令的是VLIW

40、如果要求系统可用性达到99.99%，则每年的停机时间必须少于：365*24*60*（1-0.9999）=52.56分钟

41、网络视频会议造型原则

1）关键设备选用基于IP的网络产品，符合当前视频会议的发展方向2）系统具备多媒体通信平台的特性，可扩展性强，能满以后的需要

3）视频方面，支持MPEG-4的压缩技术、多种视频格式、多分屏显示及任意切换。如要求是高清则需要支持H.2视频标准。

4）音频方面，语音清晰流畅，支持语音双向传输。42、IPS提供主动、实时防护，能检测网络层、传输层、应用层的内容。对网络流量中的数据包进行检测，对攻击性流量进行自动拦截。如果检测到攻击企图，就会自动地将经过的数据包丢掉或采取措施阻断攻击源，而不把攻击流量放进内部网络。

串接式部署是IPS和IDS区别的主要特征。串接式工作保证所有网络数据都经过IPS设备，IPS检测数据流中的恶意代码、核对策略，在未转发到服务器之间，将信息包或数据流拦截。由于IPS是在线操作，因而能保证处理方法适当而且可预知。

IPS分为三类：基于主机的入侵防护（HIPS）、基于网络的入侵防护（NIPS）、应用入侵防护（AIP）必须具有以下特征：

1）嵌入式运行

2）深入分析和控制。3）入侵特征库4）高效处理能力。IPS与防火墙的主要区别

1）传统的防火墙只对网络层和传输层进行检查，而不检查应用层2）防火墙的包过滤技术不会针对每一个字节进行检查

3）IPS不仅可以做到对流量进行逐字节的检查，而且还可以将经过的数据包还原为完整的数据流，通过对数据流的监控来发现正在进行的网络攻击。P6

43、自主型访问控制（DAC）模型的特点是：授权的实施主体（可以授权的主体、管理授权的客体、授权组）自主负责赋予和回收其它主体对客体资源的访问权限。DAC模型通常采用访问控制矩阵和访问控制列表来存放不同的访问控制信息。从而达到对主体访问权限的目的。

MAC强制型访问控制，是一种多级访问控制策略。特点是：系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体和受控对象分配不同的安全级别属性，在实施访问控制时，系统先对访问主体和受控对象的安全级别进行比较，再决定访问主体是否能够访问该受控对象。

基于角色的访问控制（RBAC)是将访问许可权分配给一定的角色，用户通过饰演不同的角色来获得角色所拥有的访问许可权。RBAC从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问权限与相联系，这点与传统的MAC和DAC将权限直接授予用户的方式不同，通过给用户分配合适的角色将用户与访问权限相联系。

基于任务的访问控制（TBAC）以面向任务的观点，从任务（活动）的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。在TBAC中，对象的访问权限控制不是静止不变的，而是随着执行任务的环境发生变化，即：TBAC从工作流中的建模，可以依据任务和任务状态的不同，对权限进行动态的管理。P6

4、物理隔离技术：有5代

1、完全的隔离2、硬件卡隔离3、数据传播隔离4、空气开关隔离5、安全通道隔离，通过专用通信硬件和专有通信协议等安全机制，解决了以前隔离存在的问题，联营有效地把内外部网络隔离开来，而且高效地实现了风数据的安全交换，透明支持多种网络应用，是当前的发展方向。特征：内、永不连接、内部主机和外部主机在同一时间最多只有一个同固态存储介质建立非TCP/IP协议的数据连接。每一次数据交换都需要经过数据写入和数据读出两个过程

目前网闸采用的主要技术是GAP，这是一种由带有多种控制功能的专用硬件在电路上切断网络之间和链路层连接，同时能够在网络间进行安全适度的应用数据交换的网络安全设备。三类：实时开关、单向连接、网络切换器

防火墙、多重安全网关、VPN隔离等技术均属于基于软件保护的逻辑隔离技术。45、安全审计系统就是根据一定的安全策略记录和分析历史操作事件及数据，发现能够改进系统运行性能和系统安全的地方。主要作用有：1）包括对潜在的攻击者起到震慑和警告的作用2）检测和制止对安全系统的入侵3）发现计算机滥用的情况4）为系统管理员提供运行日志、从而发现系统入侵行为和潜在的漏洞及对已经发生的系统攻击行为提供有效的追纠证据。网络安全审计系统所实现的功能1监视网络上的反常行为2收集操作系统和应用系统内部所产生的审计数据3实时报警4网络控制5审计数据维护和查询加密，权限控制6规则制定7附加功能

46、一、网络需求分析是网络开发过程的起始部分，在该阶段应明确客户所需的网络服务和性能。是用来获取网络系统的需求和业务需求的方法，该过程是网络开发的基础，是开发过程的关键阶段。

业务需求、用户需求、应用需求、计算机平台需求、网络需求

二、通信规范说明书描述的是当前网络正在做什么。通信规范说明书包含了估测或实测的网络通信量以及大量的统计表格，记录准确归纳和分析现存网络得到的结果，并根据该结果和需求说明书提出网络设计建议方案。由以下内容组成：

执行情况概述、分析阶段概述、分析数据总结、设计目标建议、申请批准部分、修改说明书。执行情况概述应包括：对项目的简单概述、设计过程中各个阶段的清单、项目各个阶段的状态，包括已完成的阶段和现在正进行的阶段。

分析数据总结：逻辑网络图、通信流量估计（当前和将来）、基准测量结果、CPU利用率统计结果网络设计目标为使新的网络满足需求分析，应在设计目标中说明那些是必需被纠正的问题，那些是添加的新功能，根据需求说明书和通信规范说明书，提出的生一项建议都应该有依据，每一项建议都必须能解决一个问题或者是满足一种业务需求，也即新的网络设计应该达到的目标，以及为什么要达到这样的目标。

三、网络逻辑结构设计的工作任务是基于用户需求描述中的网络行为、性能等要求，根据网络用户的分类、分布形成特定的网络结构。主要包括以下内容：网络拓扑结构设计、物理层技术选择、局域网技术选择与应用、广域网技术选择与应用、地址设计和命名模型、路由协议选择、网络管理模式与工具选择、网络安全设计、撰写逻辑设计文档。

四、物理网络设计是网络设计过程中，紧随逻辑网络设计的部分，通过对逻辑网络设计的物理化，提供了网络神话所必需的信息。物理网络设计的输入是需求说明书、通信规范说明书、逻辑网络设计说明书。

物理网络设计系统是为所设计的逻辑网络设计特定的物理环境平台，主要包括：结构化系统设计、机房环境设计、设备选型和网络实施。

逻辑网络设计的商业目标、技术需要和网络通信特征等因素都会影响到物理网络设计。五、网络测试P470

747、数据报交换是一种分组交换方式，无连接服务，主要有以下几个特点：

1）同一报文的不同分组可以经过不同的传输路径到达通信子网，选择路由2）同一报文的不同分组到达目的节点可能出现乱序、重复和丢失3）每个分组在传输过程中都必需带有目的地址和源地址

4）数据传输的延迟比较大，适用于突发性通信，不适于长报文、会话式通信。不能提供可靠的服务质量

5）不容易进行拥塞控制虚电路是面向连接的服务

每个分组都含有一个虚电路号、所有分组都经过此路由，容易进行拥塞控制，数据量大，延时长48、

不涉及会话层和表示层

49、宽带城域网保证服务质量Qos的技术要求有：资源预留（RSVP）、区分服务（Diffserv）、多协议标记交换（MPLS）

50、分布式拒绝服务是一种分布、协作的规模攻击方式，其基本原理是利用合理的服务请求来占用过多的服务资源，从而合合法用户无法响应。1）更新补丁

2）尽量使用稳定版本的操作系统

3）IP地址的访问，并根据IP地址进行过滤4）使用工具软件监测不正常的流量

5）SYN的最大连接数，或在路由器上SYN数据包流量6）缩短SYN连接的时间

87）关闭不使用的端口8）启用防火墙

9）提供更高级别的身份认证

51、香农定理最高传输速率C=Wlog2^(S/N+1)

W:信道带宽S:信号的平均功率（信号强度）N：噪声的平均功率（噪声强度）S/N：信号比也即功率比

分贝（dB）与S/N的关系如下：1dB=10*lg(S/N)30dB也即S/N=1000

奈奎斯特准则C=2W*log2NN:信号状态个数

例：在无噪声情况下，线路带宽是2K，采用4个相位，每个相位具有4种振幅QAM调制技术，则该通信线路最大传输速率是：

4个相位*4种振幅=16信号状态个数C=2*3*log2N=2*3*log216=6*4=24K

52、M-资源N-进程W每个进程利用的资源数

为了不产生死锁，必需M>=N（W-1）+1

53、HDLC：HighLevelDataLinkControlprotocol，高级数据链路控制协议是基于的一种数据链路层协议，是面向比特的数据链路传输规程，具有透明传输、可靠性高、传输效率高、灵活性强等特点。一旦接收端收到数据，便能立即进行传输。采用的帧同步方法是使用比特填充的首尾定界法。半双工或者全双工

链路访问过程平衡（LAPB）是数据链路层协议，负责管理在X.25中DTE设备与DCE设备之间的通信和数据包帧的组织过程。LAPB是源于HDLC的一种面向位的协议，它实际上是ABM（平衡的异步方式类别）方式下的HDLC。LAPB能够确保传输帧的无差错和正确排序。

Session对象是一个将浏览者信息记录在服务器端的对象，每一个连接者都可以在服务器端拥有属于自己的Session对象。55、层次主要功能PD名称SAP名称应用层语义转换，实现多个进程相互通信的同时，完成报文（用户用户界面

一系列业务处理所需要的服务功能数据）

表示层实现数据转换（包括格式转换、压缩、加密等），——

提供标准的应用接口、公用的通信服务、公共数据表示方法

会话层建立通信的逻辑名字与物理名字之间的联系，提——

供进程之间建立、管理和终止会话的方法，处理同步与恢复等问题。

传输层提供端到端间可靠的、透明的数据传输，保证报数据段端点（端口）

文顺序的正确性、数据的完整性

网络层在源节点—目的节点之间进行路由选择、拥塞控数据报（分IP

制、顺序控制、传送包，保证报文的正确性，网组）

9络层控制着通信子网的运行，因此也称为通信子网层

MAC数据链在链路上提供点到点的透明帧传输，并进行差错帧

路层控制、流量控制等服务，为网络层提供可靠无误

的数据。

物理层通过机械、电气、功能和规程等特性实现实体之比特网络接口

间正确的透明的位流传输，工作有：线路配置、（网卡接确定数据传输形式、对信号进行编码、连接传输口）介质

61、L/R>=2S/V

L：数据帧长度也即位数

R：网络的传输速率就是发送速率是在高速链路上数据的传输速率这不是由传输媒介所决定的而是由发送数据的源决定

S：两个站点之间的距离

V：在线缆中的传播速度就是在比特位在具体的物理媒介中的传输速度

62、TDM技术广泛应用于计算机网络在内的数字通信系统，而模拟系统的传输一般采用FDM技术。TDM也可以传输模拟信号，FDM可以更有效的利用介质。这两种技术都是提高线路利用率，并没有扩大信道容量。空分多址技术（SDMA）也即是中国移动用的，可以增大通信容量。

OFDM正交频分复用，属于多载波调制技术，基本思想是：将信道分成若干个正交子信道，在每个子信道上使用一个载波进行调制，在接收端通过快速傅里叶变换来分隔并行传输的各个子波，从而减少信道之间的相互干扰。CDMA是基于扩频通信理论的调制和多址连接技术。63、常见DOS攻击类型表类型说明预防措施或解决方案SYN利用tcp连接的三次握手进程进行攻击，使受害主机通过修改注册表中相关的Flooding（同处于开放会话请求之中，直到连接超时，在此期间，键值来防御步包风暴）受害主机连续收到这种会话请求，最终因资源耗尽而停止响应。表现为大量TIME_WAIT连接Land攻击向某台服务器发送数据包，并将该数据包的源IP地址及时更新补丁和目的IP地址都设置成被攻击服务器IP地址Teardrop攻利用OS处理分片重叠报文的漏洞进行攻击，基于及时更新补丁、丢弃病态UDP，对于Windows系统会导致蓝屏死机，并显示分组、在防火墙上设置分击STOP0x0000000A错误段重组功能分布式拒绝攻击者攻破了多个系统，并利用这些系统去集中攻击关闭不必要的服务，服务DDOS其它目标，成百上千的主机发送大量的请求，被攻击同时打开的Syn半连接数主机上有大量等待的TCP连接，网络中充斥着大量目，缩短Syn半连接的的无用的数据包，源地址为假，受害主机因无法处理timeout时间，及时更新而拒绝服务系统补丁，在防火墙上禁防范的一种：在路由器上使用CiscoExpress止对主机的非开放服务的Forwarding（CEF）、使用unicastreverse-path、访访问、启用防火墙的防问控制列表（ACL）过滤、为路由器建立logserverDDoS的属性、严格对外开放的服务器的向外访问。PingDeathof通过构造出重组缓冲区大小异常的ICMP包进行攻在防火墙上过滤掉ICMP击，主机出现内存分配错误而导致TCP/IP堆栈崩溃，报文，或者在服务器上禁导致死机止Ping，并且只在必要时10Smurf攻击攻击者冒充受害主机的IP，向一个大的网络发送echo才打开ping服务request的定向广播包，此网络的很多主机都会做出反应，因此受害主机会收到大量的回应包、以太无源光网络（EPON）采用点到多点结构，无源光纤传输，在以太网之上提供多种业务。它在物理层采用了无源光网络（PON）技术，在链路层使用以太网协议，利用PON的拓扑结构实现了以太网的接入。其信号传输模式为：采用P2MP（点到多点）模式，下行为TDM广播方式，上行为TDMA（时分多址）方式。实现的关键技术之一就是测距。采用突发接收技术来解决OLT（光线路终端）获得距离远的ONU（光网络单元）的信号弱、距离近的信号强的问题。65、距离向量路由选择算法（如RIP）存在的一个主要问题是会形成路由环路，纠正该环路的方式有：1）设置最大跳数，设置一个最大跳步数如16，即当路由器的度量值达到16就认为目标网络不可达。2）水平分割法。路由器不把从邻居接收到路由信息再发送到给该邻居节点，也即不可逆向发布。3）反向路由毒化：当路由器检测到一条链路失效时，指定该路由器的试题值为无穷大，并且网络中的路由器违反水平分割原则，可以对中毒路由器逆向发布，使得中毒路由信息可以很快的传遍整个网络。4）抑制计时器，通常将抑制计时器的时间间隔（90s）设为路由更新周期（30s)的3倍。66、主机号与子网号计算，给出一个简单的计算方法例：某网络子网掩码255.255.255.192，计算机ip200.200.200.224算得其子网地址200.200.200.192主机号和子网号分别是：计算：求解重点运算在于子网掩码中非255和非0的部分，此题中是192，分解成10进制，即为128+然后再把IP地址中的224分解成128++32,去掉这里面与子网掩码相同的部分，剩下的就是主机号320————128——192——256子网号是3网络号为200.200.200.19267、运行IPV4协议的网络层为其高层提供3种服务：1）不可靠的数据报投递服务，2）面向无连接的传输服务3）尽最大努力的投递服务68、IPV6将128位分为两个部分，第一部分是可变长度的类型前缀，定义了地址的目的，第二部分是地址的其它部分，长度可变常见的类型前缀:1)001全球单播地址2）1111110唯一本地单播地址3）1111111010链路本地单播地址4）11111111组播地址在IPV6网络中，一台主机的一张网卡接入网络，至少需要3个地址，1）接口的链路本地单播地址，用于收发本地链路两端的单播通信2）接口的全球单播地址，用于在Internet上传送数据3）回送地址::1,用于用户的回环测试，不能分配给任何物理接口，都是由系统自动分配的。IPV6扩展了地址的分组概念，使用了3级1）第1级表示多个ISP的集合，也即全球共知的网络拓扑2）第2级为本地网络，即站点拓扑，表示一个机构内部子网的层次结构3）第3级唯一标识一个网络接口IPV6组播地址和任意播地址都不可以用做IPV6分组的源地址，组播地址不能用做任何寻路头标，任意播地址不能分给主机，它只能分配给路由器。特殊地址：：不能分给任何节点，只能出现在分组中的源地址中，也不能做目的地址，不能出现在路由头标中IPv6不支持子网掩码，用前缀长度表示法表示——地址/前缀长度在IPv6协议中，一个数据流由源地址、目的地址、流标号唯一标识IPv4/IPv6过渡技术：1）双协议栈2）隧道技术3）NAT-PT网络地址转换-协议转换技术69、减少STP协议收敛时间的方法：1）使用Backbonefast功能提高主干交换机之间的链路有故障时，切换到备链路的收敛速度2）使用Uplinkfast功能，提高接入层交换机连接到主干交换机的链路时，切换到备份链路的收敛速度3）使用Portfast功能加快终端工作站接入网络的速度4）采用快速生成树协议。1170、等效采用eqv修改采用mod非等效采用neq等同采用idt

71、MSTP网络的主要特征

1）具有标准的SDH传送节点所具有的功能

2）具有TDM业务、ATM业务、以太业务的接入功能3）具有TDM、ATM、以太业务的传送功能4）具有ATM、以太业务的带宽统计复用功能

5）具有ATM、以太业务的映射到SDH虚容器的指配功能

MSTP网络的主要特点1）业务的带宽配置灵活

2）可以根据业务的需要工作在子接口模式

3）可以工作在全双工、半双式和自适应模式，具有MAC地址自动学习功能4）QOS设置，可以规定各端口共享同一带宽的优先级及所占有带宽的额度5）可以对每个客户运行生成树协议

MSTP技术的优势

1）解决了SDH线路的效率不高的问题

2）解决ATM/IP对于TDM业务承载效率低、成本高的问题3）解决了QOS效率不高的问题

4）解决了ARP技术组网问题，实现了双重保护

5）增强数据业务的网络概念，提高网络监测、维护能力6）降低业务选型风险7）降低投资

8)适应全业务需要

121、网络系统集成项目可行性研究的内容包括;1)投资必要性2)技术可行性3)财务可行性4)组织可行性5)经济可行性6)风险因素及对策

应用需求中的”应用”特指客户单位的业务活动所涉及的网络应用和网络服务.应用需求收集工作应考虑1)应用服务的类型2)应用服务的位置3)数据存储的位置4)平均用户数5)使用频率6)平均事务大小7)峰值时段8)平均会话长度9)使用方法10)需求增长率11)可靠性和可用性需求12)网络响应等

2、网络需求分析是开发过程中最关键的阶段，在实际中，网络需求分析环节常被简化甚至忽略，主要原因是

1）从用户角度分析。需求分析阶段需要直接面对的就是需求收集的困难，用户往往也不清楚具体需求是什么，或者需求渐渐增加而且经常发生变化，或者是从用户角度提出的需求不符合网络规划的实际情况等。

2）从需求分析人员角度分析。需求分析是一项需要大量时间和精力的繁琐工作，不可能很快就会产生明确的需求，也不能马上看到项目建设的成果，这往往就会让规划师失去兴趣。需求分析人员对待建网络业务本质的理解常常受到以往类似项目经验的影响，则会出现对业务本质的理解不充分，没有创新等现象。

3）从需求分析自身角度分析。网络需求分析是很繁琐、细致的工作，也是一项社交工作，需要分析人员和用户都具有较高的沟通技巧，收集信息不仅需要进行多方面的交流还需要进行归纳解释，这个期间很容易出现不同类型用户间的需求的矛盾，特别是网络用户和网络管理员之间的分岐等。4）从项目管理角度分析，可能存在项目中用于需求分析阶段的资金投入不足等。3、一份需求报告要包括以下内容：

1）综述，即对网络工程项目的主要内容、重要性进行一个简单的描述。2）需求分析阶段概述3）需求数据总结

4）按优先级排队的需求清单5）申请批准部分

4、业务需求信息说明1）信息的及时传输2）响应时间的可预测3）网络可靠性和可用性4）网络适用性强5）网络的可伸缩性好6）网络安全性高7）低成本等。

5、网络改造新网络设计依赖于和受限于现有网络，必须与现有网络的约束相适应，需要注意以下几点：1）现有网络的拓扑分析

2）收集调查现有网络采用的技术及其扩展性等（网络可伸缩性）

3）收集调查现有网络的位置信息及扩展接口需求信息等（位置依赖）。4）获取现有网络关于容量、延迟及可靠性等方面的性能指标（性能约束）

5）网络、系统和支持服务依赖（即编址策略、命名策略、路由协议、数据备份及容灾、监测及管理等）

6）互操作性依赖。7）网络报废情况。

6、业务需求是指待建网络系统主要做什么，支持那些业务类型等。通过业务需求信息的收集和分析，可以获取网络规划设计的初始条件，从而帮助确定网络规划与设计方向、设计目的和设计约束。

137、业务需求需要收集的信息内容

1）主要相关人员2、关键时间点3）网络投资规模4）业务活动类型5）预测增长率6）网络的可靠性和可用性7）网络的安全性要求8）WEB站点和Intenert连接需求9）远程访问需求10）其它需求8、业务应用网络流量分析应用数据传输速率=平均事务量大小*每位字节数(8）*每会话事务数*平均用户数（或峰值用户数）/平均会话长度（秒）

9、通信规范说明书描述的是当前网络正在做什么，它包含了估测或实测的网络通信容量，以及大量的统计表格，记录着准确的归纳，分析现存网络得到的结果，并结合需求说明书提出网络设计建议方案。通信规范说明书主要由执行情况概述、分析情况概述、分析数据总结、设计目标建议、申请批准部分、修改注释部分等组成。

10、在路由规划设计中，如何提高路由收敛速度

1）快速检测技术机制（如BFD技术等）2）路由条目数优化3）路由增量算法（ISPF）4）路由表快速感知时间参数11、中国的公网IPv6地址分配主要是2001和3FFE开头

12、在对网络资源进行命名时，要遵循以下原则：1）命名要简短，能见名知义2）不要使用连接符、下划线、空格等特殊字符3）可以包含物理位置代码4）不要区分大小写

13、在IPv6网络中，DNS服务器的部署要考虑以下内容1）创建新的IPv6DNS服务器，增加IPv6域名记录2）增加IPV4DNS服务器和IPv6DNS服务器的迭代记录3）升级原有的IPv4DNS服务器为双栈，增加相关的IPv6域名记录4）部署NAT-PT，连接IPv4DNS服务器和IPv6DNS服务器。

用户部署需要考虑：1）向双栈及IPv6主机下发IPv6DNS服务器地址2）双栈主机由操作系统和应用程序选择使用IPV4DNS服务器还是IPv6DNS服务器解析。

14、提供数据安全的虚拟专网VPN设备应符合以下要求。包含以下内容：

1）应提供灵活的VPN网络组建方式，支持IPSecVPN和SSLVPN，保证系统的兼容性。2）支持多种认证方式，支持用户名+口令，证书、USB+证书+口令三因素认证方式。3）支持隧道传输保障技术，可以穿越防火墙和网络。4）支持网络层以上的B/SC/S应用

5）必须能够为用户分配专用网络上的地址并确保地址的安全性。

6）对通过互联网传递的数据必须进行加密，确保网络其它未授权的用户无法读取信息7）应能提供审计功能。

15、无线网络建设需考虑：

1）AP覆盖范围，不同射频带和吞吐量变化而造成的波传播特性、自由空间路径损耗、信号多路径效应是影响WLAN覆盖范围的关键因素。

2）考虑频带干扰。需要考虑无线电话、微波炉、蓝牙设备、等使用自由2.4G频段设备的干扰，以及网络内部的干扰。

3）考虑用户移动性的需求。考虑用户在移动中所要求的高带宽、低时延、无缝连接的需求。

4）网络负载能力。考虑WLAN中的主要业务应用，根据用户数及其最小带宽需求计算AP数目，并留有适当的冗余。

5）合理借助自动化工具进行规划设计。通过工具辅以确定AP位置、数目、频道分配、功率大小等。

1416、网络级高可用技术1）以太网链路聚合

2）RPR、RRPR等环网技术

3）MSTP、SmartLink等二层路径冗余技术

4）VRRP、HSRP、GLBP、动态路由快速收敛等三层路径冗余技术5）快速故障检测6）不间断转发技术7）路径可用性检查17、

18、

19、水平干线子系统线缆用量总长=(（Lmax+Lmin)*0.55+6)*n常见机房建设标准《电子信息系统机房设计规范》《电子信息系统机房施工有主验收规范》《计算机场地站安全要求》《计算机场地站技术条件》《供配电系统设计规范》《建筑防雷设计规范》《建筑与建筑群综合布线系统工程设计规范》《建筑与建筑群综合布线工程施工与验收规范》《计算机机房用活动地板技术规范》

20、物理网络设计应遵循的基本原则

1）所选择的设备应满足逻辑网络设计的要求，并留有一定的冗余2）综合考虑性价比3）设备应具有良好的操作性4）综合布线应考虑较长时间（15年、20年）的发展需求5）综合布线方案应以实地勘测为依据

21、网络设备选型，在网络升级或改造网络设备时，应遵循的基本原则：

151）厂商的选择。尽可能选择同一厂商的产品，并采用产品线齐全、有技术认证、市场占有率高的产品

2）兼顾可扩展性。主干设备应留有一定的扩展能力，低端设备够用即可3）根据方案需要选型，尽量让旧设备纳入到新系统中

4）选择性价比高、可靠性高、质量过硬的产品，以提高整个系统的可靠性。5）可管理性，所选设备应可网管的

6）安全性。接入层、汇聚屋的网络设备应考虑到访问控制、带宽控制等安全防范问题。网络安全设备应有国家权威部门的评测证书。

7）Qos控制能力。核心层路由交换设备应有线速数据交换能力、优先级控制、带宽控制能力。8）标准性和开放性。支持通用开放标准和协议。22、光纤线路测试方法：

1）连通性测试。用于确定光纤中是否有断点

2）端到端损耗测试。用于确定光纤链路对光能的传输损耗，以评定光纤的质量和确定光纤系统的中继距离。

3）收发功率测试。评定已建好投入使用、传输距离比较远的光纤链路质量

4）反射损耗测试。利用光的反向散射原理来测量光纤衰减、接头损耗、故障点定位等。23、网络配置

1、解决IBGP的水平分割的两种方法

1）路由器全互联建立邻居关系2）路由反射器24、路由反射器的反射规则：

将AS内的BGP路由器分为server、client、non-client建了以后

1）.从client学的到的路由会发给其他client以及non-client2.）从EBGP邻居学到的路由会发给其他client和non-client

3.）从non-client学到的路由会发给其他client,但不会发给non-client25、瘦AP无线网络

1）PoE交换机，通过其以太口为AP提供直流电，避免铺设电力线，简化无线网络的部署成本。2）无线交换机，自动探测、监控、管理无线AP，负责802.1X认证，动态密钥产生、漫游切换、带宽控制和ACL过滤等功能26、改进WEB性能的措施

1）部署多台服务器组成Web服务器集群，采用循环DNS负责均衡技术或者采用基于WSDPro导向器的负载均衡提供服务

2）增加WEb交换机，为数据中心设备（包括WEb服务器、防火墙、高速缓冲服务器和网关）提供管理、路由和负载均衡传输。

27、QOs机制是确定、设置和确保优先级别的机制，对于基于IP的通信量，存在两种标准Qos区分服务（Diffserv）和综合服务（IntServ)或叫集成服务

区分服务（DiffServ）综合服务（IntServ）性能保证机制的边缘路由器对业务流进行分对端到端的行为进行控制，使

基本思想类并填写标记，核心路由器得网络中各元素能够控制和实

根据分组的标记及SLA和现这些行为，以使得延迟得到PHB将其放入不同的队列有效控制转发

基于流量行为，在基于每一基于单个端到端的应用提供跳会聚流量方面提供Qos支Qos支持持

16通信类型应用场合

本质是将网络中传输的业务优点是：可扩展性、特别是对量分成多类，按不同方式进较大规模网络的网络环境行处理，从而避免了在网络中为每一个单个应用流建立状态信息

优质保证服务、确保服务尽力而为服务、Qos保证服务、受控负载服务

较好，可扩展到大中开型网低速链路、网络管理员能够控络制的端到端路径环境应用于核心层的通信量的分应用于接入层的单一流。类汇聚和转发在分布层位于应用层和核心的

边界执行两种服务间的转换。

对于跨越核心网络的应用流，其性能将从接入/分布网络中的Intserv变化到核心网络的DiffServ，单独的状态作为可扩展性的代价可能会丢失。但是保留在接入或者分布网络中的应用流仍然可以充分利用IntServ的长处。而且更重要的是IntServ可以用于核心网络中作为界定通信量类型的资源所用的信令机制。

28、为减少网络STP的协议收敛时间几种相应改进措施

1）使用Backbonefast功能提高主干交换之间链路故障时，切换到备份链路的收敛速度

2）使用Uplinkfast功能提高接入交换机连接主干交换机的主链路故障时，切换到备份链路的收敛速度3）使用Portfast功能加快终端工作站接入网络的速度4）采用快速生成树协议RSTP29、

瘦AP胖AP

管理通过无线控制器WNC对AP、没有集中的控制器设备

SSID等进行统一管理

功能能为覆盖范围内的每一个AP配无法实现真正的无缝漫游，每个

置相同的SSID，也可以提供多AP只能拥有一个SSId，不能对个SSID，针对不同的用户或者用户进行不同的权限控制不同的覆盖区域，进行不同的权限控制

安全用户验证和用户数据传输的加每个接入AP对接入用户仅能进

密由WNC完成，能满足用户扩行的用户验证和数据传输加展的安全性要求（如AAA等功密能）

成本大规模部署成本低，运维管理成大规模部署成本高，运维管理成

本低本高

扩展性具有高度的可扩展性无扩展性、可扩展性差

30、RMONMIB监测，计算以太网段的子网利用率=（Packets*（12+8）*8+Octets*8）/Interval*R

P：所捕获的分组数O所捕获的字节数R该网段的传输速率I：时间长度31、安全审计的作用：

171、对潜在的攻击者起到震慑或警告的作用2）检测和制止对安全系统的入侵3）发现计算机的滥用情况

4）为系统管理员提供系统运行的日志，从而能发现系统入侵行为和潜在的漏洞，以及对已经发生的系统攻击行为提供有效的追究证据32、安全审计的基本功能：1）监视网络上的异常行为

2）收集操作系统和应用系统内部产生的审计数据3）实时报警4）网络控制

5）审计数据维护、查询加密、权限控制6）规则制定

7）其它的功能，如审计接口等33、安全审计的一般流程

1）记录和收集有关的审计信息，产生审计数据记录

2）对数据记录进行安全违规分析，以检查安全违反与安全入侵的原因3）参其分析产生相应的分析报表4）评估系统安全并提出改进建议

审计工具：行为审计、内容审计、主机审计、数据库审计等34、安全管理策略遵循的三个原则

1）严格的法律、法规是保障信息安全的坚强后盾

2）先进的网络安全技术与安全产品是信息安全的根本保证3）先进严格的安全管理是确保信息安全策略实施的基础

35、去年案例的知识点总结一下：1、IPv4到IPv6的过渡技术

2、IPv6网络中的IP地址的分配方式3、IPv6网络中的路由选择4、云计算的特点5、虚拟化技术的种类6、两地三中心的理解7、存储的三种方式及特点8、IDS与IPS的比较

9、广域网链路接入的方式及设备的选择10、安全审计的流程36、上网行为管理功能

对数据包进行监控和审计、提供用户上网行为分析、信息内容审计、网页访问过滤、网络应用控制、带宽流量管理、日志管理等，还防止计算机病毒和木马的感染和传播

37、MPLSVPN是基于MPLS技术的IP-VPN，可以会对不同部门的业务系统划分不同的VPN，并通过在PE路由器上设置合理的RT属性，对VPN之间的互访与隔离实现有效的控制，从而将现有的IP网络分解成逻辑上隔离的网络，有效解决企业互连、中相同不同部门的互连问题，也可以用来提供新业务，为解决IP地址不足、Qos需求、专用网络提供较好的解决途径

18