东莞哪家网站建设,做ppt很有创意的网站,北京网站开发建设,免费详情页模板网站概念
OSPF
在划分区域之后#xff0c;OSPF网络中的非主干区域中的路由器对于到外部网络的路由#xff0c;一定要通过ABR(区域边界路由器)来转发#xff0c;既然如此#xff0c;对于区域内的路由器来说#xff0c;就没有必要知道通往外部网络的详细路由#xff0c;只要由…概念
OSPF
在划分区域之后OSPF网络中的非主干区域中的路由器对于到外部网络的路由一定要通过ABR(区域边界路由器)来转发既然如此对于区域内的路由器来说就没有必要知道通往外部网络的详细路由只要由ABR向该区域发布一条默认路由告诉区域内的其他路由器如果想要访问外部网络可以通过ABR。这样在区域内的路由器中就只需要为数不多的区域内路由、AS中其他区域的路由和一条指向ABR的默认路由而不用记录外部路由能使区域内的路由表简化降低对路由器的性能要求。这就是OSPF 路由协议中Stub Area末梢区域的设计理念。
RSVP
RSVP是在应用程序开始发送报文之前来为该应用申请网络资源的具有单向性、由接收者发起对资源预留的请求并维护资源预留信息。路由器为每一条流进行资源预留的时候会沿着数据传输方向逐跳发送资源请求报文Path消息其中包含自身对于带宽、延迟等参数的需求消息。收到请求的路由器在进行记录后再把资源请求报文继续发到下一跳。当报文到达目的地由接收方反向逐跳发送资源预留报文Resv消息给沿途的路由器进行资源预留。
DHCP
客户机会在租期过去50%时直接向为其提供IP地址的DHCP Server发送单播的DHCP REQUEST消息包。如果客户机接收到该服务器回应的DHCP ACK消息包客户机就根据包中所提供的新的租期以及其它已经更新的TCP/IP参数更新自己的配置IP租用更新完成。如果没有收到该服务器的回复则客户机继续使用现有的IP地址因为当前租期还有50%。
如果在租期过去50%时没有更新则客户机将在租期过去87.5%时再次向为其提供IP地址的DHCP联系发送广播的DHCP REQUEST消息包。如果还不成功到租约100%时客户机必须放弃这个IP地址重新申请。如果此时无DHCP可用客户机从169.254.0.0/16中随机选一个地址每隔5分钟再进行尝试。
DHCP DeclineDHCP客户端收到DHCP服务器回应的ACK报文后通过地址冲突检测发现服务器分配的地址冲突或由于其他原因导致不能使用则发送Decline报文通知服务器所分配的IP地址不可用。
单工、半双工、全双工
对端到端通信总线的信号传输方向与方式的分类定义如下
单工指A只能发信号而B只能接收信号通信是单向的半双工指A能发信号给BB也能发信号给A但这两个过程不能同时进行全双工在A给B发信号的同时B也可以给A发信号这两个过程可以同时进行互不影响
网络需求分析
网络需求分析包括网络总体需求分析、综合布线需求分析、网络可用性与可靠性分析、网络安全性分析需求分析、工程造价估算。
层次化网络设计模型
也叫网络分层设计模型可以帮助设计者按层次设计网络结构并对不同层次赋予特定的功能为不同层次选择正确的设备与系统。通常包括三层
核心层主要是实现骨干网络之间的优化传输骨干层设计任务的重点通常是冗余能力可靠性和高速传输。网络核心层将数据分组从一个区域高速地转发到另一个区域快速转发和收敛是其主要功能。网络的控制功能要尽量少的在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者所以对核心层的设计与网络设备的要求十分严格。如果需要连接因特网和外部网络核心层还应包括一条或多条连接到外部网络的线路。其他功能链路聚合、IP路由配置管理、IP组播、生成树、设置陷阱和报警、服务器群的高速连接等汇聚层位于接入层和核心层之间的部分称为汇聚层是多台接入层交换机的汇聚点它必须能够处理来自接入层设备的所有通信流量并提供到核心层的上行链路。因此汇聚层交换机与接入层交换机相比需要更高的行能更少的接口和更高的交换速率。其他功能访问列表控制、VLAN间的路由选择执行、分组过滤、组播管理、QoS、负载均衡、快速收敛等接入层网络中直接面向用户连接或访问网络的部分成为接入层接入层的目的是允许终端用户连接到网络因此接入层交换机具有低成本和高端口密度特性。其他功能用户接入与认证、二三层交换、QoS、MAC地址认证过滤、计费管理、收集用户信息如IP、Mac地址、访问日志
为了保证网络的层次性不能在设计中随意加入额外连接除去接入层其他层次应尽量采用模块化方式模块间的边界应非常清晰。
进行层次化网络设计时应是先从接入层开始设计然后逐级往核心层走。原因是接入层其实代表需求是因为有大量终端设备要接入并有速度上的要求基于负载、流量和行为的分析然后才有汇聚层要达到什么要求核心层得怎么设计。
一般情况下3个层次足够过多的层次会导致整体网络性能的下降提高网络的延迟但是方便网络故障排查和文档编写。
网络系统生命周期
也叫网络设计过程可以划分为五个阶段
需求规范进行网络需求分析有集中访谈和收集信息资料通信规范进行网络体系分析有网络内部通信流量分析逻辑网络设计逻辑网络设计图及文档确定逻辑的网络结构有网络IP地址分配方案制定具体的软硬件、广域网连接和基本服务。网络结构设计、物理层技术选择、局域网技术选择与应用、广域网技术选择与应用、地址设计与命名模型、路由选择协议、网络管理、网络安全物理网络设计确定物理的网络结构依据逻辑网络设计的要求确定设备的具体物理分布和运行环境。需要确定具体的软硬件连接设备布线和服务。设备选型、结构化布线、机房设计及物理网络设计相关的文档规范如软硬件清单费用清单实施进行网络设备安装调试以及网络运行时的维护工作
结构化布线系统
按照一般划分结构化布线系统包括六个子系统
建筑群主干子系统 提供外部建筑物与大楼内布线的连接点。EIA/TIA569标准规定网络接口的物理规格实现建筑群之间的连接设备子系统 EIA/TIA569标准规定设备间的设备布线。它是布线系统最主要的管理区域所有楼层的资料都由电缆或光纤电缆传送至此。通常此系统安装在计算机系统、网络系统和程控机系统的主机房内垂直主干子系统 它连接通讯室、设备间和入口设备包括主干电缆、中间交换和主交接、机械终端和用于主干到主干交换的接插线或插头。主干布线要采用星形拓扑结构接地应符合EIA/TIA607规定的要求。管理子系统 此部分放置电信布线系统设备包括水平和主干布线系统的机械终端和1或交换。水平支干线子系统 连接管理子系统至工作区包括水平布线、信息插座、电缆终端及交换。指定的拓扑结构为星形拓扑。水平布线可选择的介质有三种(UTP电缆、STP电缆及光缆),最远的延伸距离为90米除了90米水平电缆外工作区与管理子系统的接插线和跨接线电缆的总长可达10米。工作区子系统 工作区由信息插座延伸至站设备。工作区布线要求相对简单这样就容易移动、添加和变更设备。
综合布线
机房是系统集成工程中服务器和网络设备的“家”通常分为以下3类 智能建筑弱电总控机房工作包括布线、监控、消防、计算机机房、楼宇自控等 电信间、弱电间和竖井 数据中心机房包括企业自用数据中心、运营商托管或互联网数据中心大型的数据中心可达数万台服务器。
机房工程 机房工程结合机房的环境条件、消防与安全、室内装修、送配电、综合布线、空气调节、照明、接地等方面的内容。机房建设工程不仅仅是一个装饰工程更重要的 是一个集电工学、电子学、建筑装饰学、美学、暖通净化专业、计算机专业、弱电控制专业、消防专业等跨学科、跨专业领域的综合工程并涉及到计算机网络工 程PDS工程等专业技术的工程。 机房工程设计原则 1) 实用性和先进性。 2) 安全可靠性。 3) 灵活性和可扩展性。 4) 标准化。 5) 经济性投资保护。 6) 可管理性。 机房宜设于建筑物的第2、3层。 交流工作接地接地电阻不大于4Ω。 安全保护接地接地电阻不大于4Ω。 防静电接地接地电阻不大于4Ω。 《大楼通信综合布线系统》适用于跨越距离不超过3000米、建筑总面积不超过100万平方米的布线区域区域内的人员为50~5万人。 机房布线设计需要重点考虑以下几点 考虑机房环境的节能、环保、安全 适应冷热通道布置设备 列头柜的设置 敞开布线与线缆防火 长跳线短链路与性能测试 网络构架与外部网络多运营商之间的网络互通 高端产品应用的特殊情况 机房与布线系统接地。 综合布线系统Premises Distribution SystemPDS是楼宇和固区范围内在统一的传输介质上建立的可以连接电话、计算机、会议电视和监视电视等设备的结构化信息传输系统。综合布线领 域广泛遵循的标准是TIA/EIA 568 A。 综合布线系统分为六个子系统 1.工作区子系统它是工作区内终端设备连接到信息插座之间的设备组成包括信息插座、连接软线、适配器、计算机、网络集散器、电话、报警探头、摄像机、监视器、音响等。 2.水平子系统水平子系统是布置在同一楼层上一端接在信息插座另一端接在配线间的跳线架上它的功能是将干线子系统线路延伸到用户工作区将用户工作区引至管理间子系统并为用户提供一个符合国际标准满足语音及高速数据传输要求的信息点出口。 3.管理间子系统它是干线子系统和水平子系统的桥梁同时又可为同层组网提供条件。其中包括双绞线跳线架、跳线(有快接式跳线和简易跳线之分)。 4. 垂直干线子系统通常它是由主设备间至各层管理间特别是在位于中央点的公共系统设备处提供多个线路设施采用大对数的电缆馈线或光缆两端分别端接在设备间和管理间的跳线架上目的是实现计算机设备、程控交换机(PBX)、控制中心与各管理子系统间的连接是建筑物干线电缆的路由。 5.设备间子系统该子系统是由设备间中的电缆、连接跳线架及相关支撑硬件、防雷电保护装置等构成。可以说是整个配线系统的中心单元因此它的布放、造型及环境条件的考虑适当与否直接影响到将来信息系统的正常运行及维护和使用的灵活性。 6.建筑群子系统它是将多个建筑物的数据通信信号连接成一体的布线系统它采用架空或地下电缆管道或直埋敷设的室外电缆和光缆互连起来是结构化布线系统的一部分支持提供楼群之间通信所需的硬件。 综合布线常用公式 1RJ-45头的需求量mn4n415% m:表示RJ-45接头的总需求量n:表示信息点的总量n415%:表示留有的富余。 2信息模块的需求量mnn3% m表示信息模块的总需求量n:表示信息点的总量n3%表示富余量。 3每层楼用线量C[0.55(LS)6]*n L:本楼层离管理间最远的信息点距离S本楼层离管理间最近的信息点距离n:本楼层的信息点总数0.55备用系数。 网络规划、设计与实施 网络规划是要给网络建设和使用者做一个心中有数的设计结果。 网络规划率先考虑的有三个原则实用性原则、开放性原则和先进性原则。 方案设计实施过程中必须考虑的原则如下
可靠性原则。网络的运行是稳固的。安全性原则。包括选用安全的操作系统、设置网络防火墙、网络防杀病毒、数据加密和信息工作制度的保密。高效性原则。性能指标高软硬件性能充分发挥。可扩展性。能够在规模和性能两个方向上进行扩展。
网络控制
网络存储
DAS
直接连接存储Direct Attached Storage直连模式不易扩展。在服务器上外挂一组大容量硬盘存储设备与服务器主机之间采用SCSI通道连接带宽为10MB/s、20MB/S、40MB/S和80MB/S等。直连式存储直接将存储设备连接到服务器上这种方法难以扩展存储容量而且不支持数据容错功能当服务器出现异常时会造成数据丢失。
NAS
网络连接存储网络附属存储Network Attached Storage。有自己的文件系统可以用 TCT/IP 作为其网览传输协议用文件共享存取方式。是将存储设备通过标准的网络拓扑结构如以太网连接到一系列计算机上。它是一种专用数据存储服务器。它以数据为中心将存储设备与服务器彻底分离NAS 在网络中的独立设备分配 IP 地址通过网络来访问和存取。
将存储设备连接到现有的网络上提供数据存储和文件访问服务的设备。NAS服务器是在专用主机上安装简化的瘦操作系统只具有访问权限控制、数据保护和恢复等功能的文件服务器。NAS服务器内置与网络连接所需要的协议可以直接联网具有权限的用户都可以通过网络访问 NAS服务器中的文件。
SAN
存储区域网络Storage Area Network块级存储不是文件共享方式。
一种连接存储设备和存储管理子系统的专用网络专门提供数据存储和管理功能。SAN可以被看作是负责数据传输的后端网络而前端网络或称为数据网络则负责正常的TCP/IP传输。也可以把SAN看作是通过特定的互连方式连接的若干台存储服务器组成的单独的数据网络提供企业级的数据存储服务。
DNS解析
将域名翻译为可由计算机直接读取的IP地址。根据查询对象不同DNS解析可分为递归解析和迭代解析两种方式。
可提供域名服务的包括本地缓存、本地域名服务器、权限域名服务器、顶级域名服务器以及根域名服务器。DNS主机名解析的查找顺序是先查找客户端本地缓存如果没有成功则向DNS服务器发出解析请求。 本地缓存是内存中的一块区域保存着最近被解析的主机名及其IP地址映像。由于解析程序缓存常驻内存中所以比其他解析方法速度快。 当一个主机发出DNS查询报文时这个查询报文就首先被送往该主机的本地域名服务器。本地域名服务器离用户较近当所要查询的主机也属于同一个本地ISP时该本地域名服务器立即就能将所查询的主机名转换为它的IP地址而不需要再去询问其他的域名服务器。 每一个区都设置有域名服务器即权限服务器它负责将其管辖区内的主机域名转换为该主机的IP地址。在其上保存有所管辖区内的所有主机域名到IP地址的映射。 顶级域名服务器负责管理在本顶级域名服务器上注册的所有二级域名。当收到DNS查询请求时能够将其管辖的二级域名转换为该二级域名的IP地址。或者是下一步应该找寻的域名服务器的IP地址。 根域名服务器是最高层次的域名服务器。每一个根域名服务器都要存有所有顶级域名服务器的IP地址和域名。当一个本地域名服务器对一个域名无法解析时就会直接找到根域名服务器然后根域名服务器会告知它应该去找哪一个顶级域名服务器进行查询。
递归查询
最常见也是默认的一种解析方式。如果客户端配置的本地域名服务器Local DNS服务器不能解析的话则后面的查询过程全部由本地域名服务器代替DNS客户端进行查询直到本地域名服务器从权威域名服务器得到正确的解析结果然后由本地域名服务器告诉DNS客户端查询的结果。
在整个递归查询过程中除一开始客户端向本地域名服务器发起查询请求外其余各个环节均是以本地域名服务器为中心进行迭代查询DNS客户端一直处于等待状态直到本地域名服务器发回最终查询结果。相当于在整个查询环节中本地域名服务器承担中介代理的角色。
递归解析的查询过程大致如下
客户端向本机配置的本地域名服务器发起DNS域名查询请求本地域名服务器收到请求后会先查询本地缓存如果有记录值会直接返回给客户端如果没有记录则本地域名服务器会向根域名服务器发起请求根域名服务器收到请求后会根据所要查询域名中的后缀将所对应的顶级域名服务器如.com、.cn等返回给本地域名服务器本地域名服务器根据返回结果向所对应的顶级域名服务器发起查询请求对应的顶级域名服务器在收到DNS查询请求后也是先查询自己的缓存如果有所请求域名的解析记录则会直接将记录返回给本地域名服务器然后本地域名服务器再将记录返回给客户端完成整个DNS解析过程如果顶级域名服务器没有记录值就会将二级域名对应的服务器地址返回给本地域名服务器本地域名服务器再次对二级域名服务器发起请求如此类推直到最终对应区域的权威域名服务器返回结果给本地域名服务器。然后本地域名服务器将记录值返回给DNS客户端同时缓存本地查询记录以便在TTL值内用户再次查询时直接将记录返回给客户端
迭代查询
递归查询除在一开始客户端发起查询请求外其他环节都是由本地域名服务器代替客户端进行的。而迭代查询则是指所有查询工作全部由客户端自己进行除此之外整个查询路径和步骤与递归查询没有太大区别。 首先客户端向本地域名服务器发起请求如果本地域名服务器没有缓存记录客户端便会依次对根域名服务器、顶级域名服务器和二级域名服务器等发起迭代查询直到获得最终的查询结果。
在以下条件之一满足时就会采用迭代解析方式
在查询本地域名服务器时如果客户端的请求报文中没有申请使用递归查询即在DNS请求报文中的RD字段没有设置为1客户端在DNS请求报文中申请使用递归查询但所配置的本地域名服务器禁止使用递归查询即在应答DNS报文头部的RA字段设置为0
嗅探器
嗅探Sniffers是一种网络流量数据分析的手段常见于网络安全攻防技术使用也有用于业务分析领域。
https://dun.163.com/news/p/233ea1ba40a14791a5fb8d3b6847b663
80/20规则是指总流量的80%是网段内部的流量而总流量的20%是网段外部的流量。
网络隔离
常见的网络隔离技术
防火墙通过ACL进行网络数据包的隔离是最常见的隔离方法。局限于传输层以下的控制对于病毒、木马、蠕虫、等应用层的攻击毫无办法适合于网络隔离不合适大型双向访问业务网络隔离多重安全网关也叫统一威胁管理UTM被称为新一代防火墙能做到从网络层到应用层的全面检测。UTM功能有ACL防入侵防病毒内容过滤流量整形防DOSVLAN划分VLAN划分技术避免广播风暴解决有效数据传递问题通过划分VLAN隔离各个有安全性要求的部门。人工策略断开网络物理连接使用人工方式交换数据这种方式安全性最好。
IPv6
另起一篇参考
数据交换
数据交换方式分为线路交换和存储转发线路交换和存储转发的关键区别在于前者静态分配线路后者动态分配线路。 存储转发又分为报文交换和分组交换分组交换又分为虚电路和数据报两种方式。 线路交换交换switch的概念最早来源于电话系统。当用户发出电话呼叫时电话系统中的交换机在呼叫者和接收者之间寻找并建立一条客观存在的物理通路。一旦通路被建立起来便能够建立通话线路是由发送和接收端专享的直到通话的结束。这种数据交换的方式称为线路交换circuit switching。优点传输延迟小唯一的延迟是电磁信号的传播时间。一旦线路接通便不会发生冲突。缺点建立线路所需时间长。线路独享造成信道浪费。 报文交换不事先建立线路当发送方有数据块要发时把数据块作为一个整体也叫报文message交给交换设备IMP交换设备选择一条合适的空闲输出线将数据块通过该输出线发送出去。这个过程中交换设备的输入和输出线之间不建立物理连接在每个交换设备处报文首先被保存起来在适当时被转发出去。缺点对传输数据块大小不限制报文较大时IMP需要用硬盘进行缓存。单个大报文占用线路时间过长。 分组交换分组交换技术严格限制数据块大小的上限使分组可以在IMP的内存中存放保证任何用户都不能独占线路超过几十毫秒适合交互式通信。优点吞吐率高在具有多个分组的报文中第二个分组尚未接到之前第一个分组就可以继续往前传送减少延迟提高吞吐率。缺点存在拥塞报文分片与重组分组损失和失序等。分组交换是绝大多数计算机采用的技术也有极少数计算机采用报文交换但绝不采用线路交换。根据内部机制的不同分组交换子网分为两类一类采用面向连接connected oriented一类采用无连接connect less在有连接子网中连接成为虚电路virtual circuit类似电话系统中的物理线路无连接子网中的独立分组称为数据报datagram类似邮政系统中的电报。 信元交换技术是一种快速分组交换技术它结合电路交换技术延迟小和分组交换技术灵活的优点。信元是固定长度的分组ATM采用信元交换技术其信元长度为53字节。
攻击
计算机网络上的通信面临以下四种威胁
截获攻击者从网络上窃听他人的通信内容中断攻击者有意中断他人在网络上的通信篡改攻击者故意篡改网络中传送的报文伪造攻击者伪造信息在网络上的传送
以上的四种威胁可以划分为两大类即被动攻击和主动攻击。
截获信息的攻击属于被动攻击而中断、篡改和伪造信息的攻击称为主动攻击。流量分析也是主动攻击。
参考
