網絡工程師總結1、（1)、ＨFC的基本結構：電視頭端（接受各種信源的電視頻道)、長距離干線(高質量的同軸電纜)、放大器、饋線與下引線(普通的ＣATV同軸電纜)組成。傳統有線電視網絡重的放大器是單向地從頭端傳輸到用戶的模擬信號。經雙向傳輸改造，雙向傳輸服務成為也許。光纖結點通過同軸電纜下引線可認為500－2０23個用戶服務。HFC改善了信號質量,提高了傳輸的可靠性，線路可以使用的帶寬甚至高達1GHz電話撥號上網的速率一般是36.6-56.6kbps;本地電話公司提供的ISDＮ的速率是１28Kbps;使用ADSL專線上網的速率是1.8Mｂpｓ,傳輸距離不超過5ｋm，使用ＣabｌeModem，通過有線電視寬帶接入Iｎteｒnet的,數據傳輸速率可達10-3６Mbps有線電視網絡重要的優點是頻帶寬、速度快，重要的缺陷是存在回傳信道干擾,多用戶對有限帶寬的爭用影響接入速率、建設和雙向改造的造價高。（2)、電纜調制解調器CableMoｄem的分類:電纜調制解調器CableＭoｄem是一種專門運用有線電視網絡進行數據傳輸設計的，它把計算機與有線電視同軸電纜連接起來，運用頻分復用的方法將雙向信道分為上行信道(帶寬為200Kｂps－10M）和下行信道(帶寬最高可達36Mｂpｓ）。分類:從傳輸方式上分為雙向對稱式和非對稱式,對稱式速率為2-４Mbｐs,最高為10Mｂps,非對稱式速率為下行３0Mｂｐs,上行為50０kbps-2.56Mｂps.從數據傳輸方向上可以分為雙向和單向。從同步方式上可以分為同步和異步互換兩類。同步類似于Eｔhernet網，異步互換類似于ＡTＭ技術。從接入的角度可以分為個人CaｂleMｏdem和寬帶多用戶CaｂleMoｄeｍ（具有網橋功能，可以將一個計算機局域網接入)。從接口的角度分為外置式（缺：通過網卡連接計算機)、內置式和交互式機頂盒三種。2.802.11定義了使用紅外、調頻擴頻、直接序列擴頻技術，傳輸速率為1或2Mbps的無線局域網標準。８０２．1１b定義了使用直序擴頻技術,傳輸速率為1Mbps、２Mｂps、５.5Mbpｓ、11Mbps的無線局域網標準。802.11a將傳輸速率提高到了5４Mbpｓ.80２．11定義了物理層和媒體訪問控制ＭAＣ協議的規范8０2.11定義了兩種類型的設備：無線結點（由一臺接入設備上加一塊無線接口卡構成)和無線接入點(作用是提供無線和有線網絡之間的橋接，由一個無線輸出口和一個有線的網絡接口（８02．3接口）構成,橋接軟件符合802.1ｄ協議)。８02.11最初定義的三個物理層包含了兩個擴頻技術和一個紅外傳播規范,無線傳輸的頻率定義在２.4Ｇ的ＩＳM波段內,這個頻段屬于非注冊使用頻段。擴頻技術保證了802．１1的設備在這個頻段上的可用性和高可靠性的吞吐量，可以保證同其他使用同一頻段的設備互相不影響。802.1１標準定義的傳輸速率為1Mｂｐs 和２Mｂps，可以使用FＨSS(調頻擴頻和)ＤSＳS(直序擴頻)技術,兩者在運營機制上完全不同，使用這兩種技術的設備沒有互操作性。８02.１1無線局域網協議中，沖突檢測存在“Nｅar／Ｆar”（檢測沖突）現象，所以采用了新的協議CSMＡ/CA或者DＣF(分布式協調功能)，運用ACK信號來避免沖突。(只有當客戶端受到網絡上返回的ACK信號以后才干確認發送的數據已經對的的到達目的）。此外一個MＡC層的問題是“hｉddennode”問題,為此８02.11引入了一個Sｅｎd／Cleａｒtｏｓenｄ(RTS/CTＳ)選項。在8０2.11協議中，每一個在無線網絡中傳輸的數據報都被附加上了校驗位以保證他在傳輸中不會出現錯誤。802．11還具有分片的功能。802．11b運作模式分為點對點模式(最多可連接256臺主機)和基本模式（無線網絡擴充和有線網絡并存時，插上無線網卡的PC通過接入點與另一臺PC相連，一個接入點最多可連接102４臺PC)。８02.11b的典型解決方案:對等解決方案、單接入點解決方案（接入點相稱于有線網絡中的集線器,無線接入點可以連接周邊的無線網絡終端,形成星形網絡結構，同時通過１0ｂasｅ-t端口與有線網絡相連,所有無線終端都能訪問有線網絡的資源,并可通過路由器訪問Ｉｎternet)、多接入點解決方案(網絡規模較大，超過了單個接入點的覆蓋范圍，就得采用多個接入點)、無線中繼解決方案、無線冗余解決方案（兩個接入點放在同一位置)、多蜂窩漫游工作方式。3）.寬帶城域網保證服務質量規定的技術重要有：資源預留ＲSVP、區分服務ＤiffSｅrv與多協議標記互換MPLS.服務質量重要體現在延時、抖動、吞吐量和包丟失率。管理和運營寬帶城域網的關鍵技術重要有：帶寬管理、網絡管理、用戶管理、服務質量Q0Ｓ、記錄與計費、ＩP地址的分派與地址轉換、網絡安全。寬帶城域網在組建方案中,一定要按照電信運營級的規定,考慮設備冗余、線路冗余、路由冗余、系統故障的快速診斷和自動修復。同時寬帶城域網必須充足的考慮網絡襲擊的問題。４）彈性分組環ＲPＲ是直接在光纖上高效傳輸IP分組的傳輸技術。其標準是802.17環形結構是目前城域網的重要拓撲構型彈性分組環RＰR采用雙環結構,這一點與FDDＩ結構相同。兩個RPR結點之間裸光纖間的距離可達1０0kｍ，其中順時針傳輸的光纖叫外環,逆時針傳輸的光纖叫內環。內環和外環都可以采用記錄復用的方法傳輸IP分組，同時可以實現“自愈環”的功能。內環和外環都可以傳輸數據分組和控制分組。每一個結點都可以使用兩個方向的光纖與相鄰結點通信。ＲPR技術重要的特點：帶寬運用率高、公平性好(每一個結點都執行SＲＰ公平算法、加權公平法則和入口、出口速率限制)、快速保護和恢復能力強(50mｓ可以隔離出故障的結點和光線段）、保證服務質量(優先級)。路由器背板互換能力大于40G的稱為高端路由器,低于４0G的稱為中低端路由器。高端路由器一般用作核心層的主干路由器,公司級路由器一般用作匯聚層的路由器，低端路由器一般用作接入層的接入路由器。路由器的關鍵技術指標：吞吐量：指路由器的包轉發能力。設計兩個方面的內容:端口吞吐量和整機吞吐量。路由器的包轉發能力與路由器端口數量、端口速率、包長度和包類型有關。背板能力:高性能路由器一般采用是互換式結構。背板能力決定了路由器的吞吐量。丟包率:通常是衡量路由器超負荷工作時的性能指標之一。延時與延時抖動：與包長度和鏈路傳輸速率有關,高速路由器規定長度為1518Ｂ的IP包,延時小于１ms.延時抖動是指延時的變化量。突發解決能力:以最小幀間隔發送數據包而不引起丟失的最大發送速率來衡量。路由表容量:Ｉntｅrnet規定執行ＢGP協議的路由表一般要儲存數十萬條路由表項。高速路由器必須滿足存儲25萬個BGP對等實體地址和５0萬個IＧP鄰居的網絡地址。服務質量：重要體現在隊列管理機制、端口硬件隊列管理、支持Ｑ0S協議。網管能力：可靠性與可用性:路由器的冗余是為了保證設備的可靠性和可用性。重要體現在設備冗余、熱拔插組件、內部時鐘精度、無端障工作時間。路由器的冗余重要體現在接口冗余、電源冗余、時鐘板冗余、系統板冗余、整機設備冗余。典型的高端路由器的可靠性與可用性指標應當達成:無端障工作時間大于10萬個小時。系統故障恢復時間要小于30分鐘。系統具有自動保護和切換功能，主備用切換時間小于5０毫秒。SDH和ＡTM接口自動保護功能,切換時間小于５0毫秒。主解決器、主存儲器、互換矩陣、電源、總線管理器與網絡管理接口等重要設備需要有熱拔插冗余備份,顯卡規定有備份,并提供遠程測試診斷能力。系統內部不存在單故障點。6)互換機的重要技術指標:背板能力:全雙工端口帶寬:端口數端口速率２幀轉發速率：每秒鐘可以轉發的幀的最大數量機箱式互換機的擴張能力支持ＶＬAＮ能力:7．服務器的性能重要表現在:運算解決能力:磁盤存儲能力:表現在磁盤存儲容量與Ｉ/Ｏ服務速度上，而決定這兩個參數的因素又在于磁盤接口總線與硬盤兩個方面。系統高可用性：MTBF/（MTBF+MＴBR)其中MＴBＦ為平均無端障時間，MTBR為平均修復時間假如系統高可用性達成99．9%，那么每年的停機時間８.8小時;假如系統高可用性達成99．99％,那么每年的停機時間5３分鐘;假如系統的高可用性達成9９．９99%,那么每年的停機時間５分鐘。可管理性:可擴展性:8.略９.IP地址短缺的修復方法是NＡＴ網絡地址轉換，其設計的基本思緒是為每一個公司分派一個或少量的IP地址，用于傳輸Ｉnterｎet流量。在公司內部的每一臺主機分派一個不可以在Ｉnｔerｎeｔ上使用的保存的專用的IP地址。專用ＩＰ地址用于內部網絡的通信,假如需要訪問外部Iｎteｒnet主機，必須由運營網絡地址轉換的主機或是路由器將內部的專用IP地址轉換為全局的IＰ地址。NＡT方法的局限性：違反了ＩP地址結構模型的設計原則使IP協議由面向無連接變成了面向連接違反了基本的網絡分層結構模型的設計原則使得Ｐ2Ｐ應用實現出現困難同時存在對高層協議和安全性的影響問題網絡地址轉換時,傳輸層客戶進程的端標語也需要改變。ＮAＴ可以分為“一對一”和“多對多”兩類，其中一對一轉換方式屬于靜態ＮAT，多對多屬于動態NAT.10.1０.０.１１．０／270０0０１010000００0００0000１０11０00０000０1０.0.11.32／2７00００1０1００00０00000000１01１001０0000４/26００0010100０0００000000０１0110100000０00001010000０００00000010110/2５最長前綴匹配法進行路由選擇IPｖ6的重要特性:新的協議格式、巨大的地址空間、有效的分級尋址和路由結構、地址自動配置、內置的安全機制、更好的支持QｏS服務。ＩPv6地址長度為１28位,可以提供個ＩＰ地址。１28位中6４位作為子網地址空間64位作為局域網ＭAC地址空間。ＩPv6可以分為單播地址、組播地址、多播地址、特殊地址。為簡化主機配置,IＰv６支持地址自動配置。ＩＰv6地址表達方法為冒號十六進制表達法：128位地址按每1６位劃分為一個位段，每個位段轉換為一個4位的十六進制數,并用冒號隔開。IPv6中也許會出現多個二進制數0,通過壓縮某個位段中的前導0來簡化IPｖ６地址的表達,但不可把每個位段內部的0也壓縮掉。每個位段至少有一個數字。假如連續幾個位段的值都為0，那么這些0可以簡寫為“：：”,稱為雙冒號表達法。且在一個ＩPv6地址中雙冒號表達法只能出現一次。擬定:：之間代表了壓縮了多少位０可以數一下地址尚有多少個位段，然后用8減去這個數，再將結果乘以16．IＰv6不支持子網掩碼,只支持前綴長度表達法。外部網關協議ＢGP是不同自治系統的路由器之間互換路由信息的協議。BGP-4采用了路由向量路由協議,在配置ＢGＰ時,每個自治系統的管理員要選擇至一個路由器作為自治系統的“BGP發言人”，一系統的BＧP發言人要與另一個系統的BGP發言人要互換路由就要先建立TＣP連接，然后再此連接上互換BGP報文以此建立BGP會話。每個BGＰ發言人除了運營ＢGＰ協議外還必須運營該自治系統所使用的內部網關協議。BGＰ協議互換路由信息的結點數是以自治系統數為單位的。在ＢGＰ剛剛運營時，BＧP邊界路由器與相鄰的BＧＰ邊界路由器互換整個BGP路由表，但只要發生變化時只更新變化的部分。ＢＧP路由選擇協議的四種分組：打開open、更新update、保活keepａliｖｅ、告知nｏｔｉfication。撤消路由可以以此撤消很多條，而增長新路由時，每個更新報文只能增長一條。13．路由表的建立:當路由表剛啟動時,對其（V,Ｄ)路由表進行初始化。初始化的路由器只包含與該路由器直接相連的網絡的路由。初始(V,D)路由表中各路由的距離都為0.路由表信息的更新:在路由表建立之后,各路由器周期性地向外廣播其（V,D)路由表的內容。Ｒouter１接受到Routｅｒ2發送的(V，Ｄ)報文,按照如下的規則更新路由表:Rｏｕter1中沒有這一項,Roｕteｒ在路由器中增長這一項,由于要通過Ｒｏuter2轉發，距離D要加1。假如Ｒｏuter1中距離１比Ｒouter２中該項距離值加1還要大,則要修改該表項，其距離值應當是Rｏuter2中距離值加１.路由信息協議規定路由器周期性地向外發送路由刷新報文。路由刷新報文重要內容是由若干個(V,Ｄ）構成。(V，D）表中V代表矢量(Ｖectoｒ),標記該路由器可以達成的目的網絡或目的主機;Ｄ代表距離（dｉｓｔａnce）,指出該路由器到達目的網絡或目的主機的距離。距離Ｄ相應當路由器上的跳數（hopｃount）。其他路由器在接受到某個路由器的(Ｖ,D）報文后,按照最短途徑原則對各自的路由表進行刷新。與RIP相比較，OSPＦ具有以下特點:ＯSPF使用的是分布式鏈路狀態協議而RＩP使用的是距離向量協議。OSPＦ協議規定路由器發送的信息是本路由器和哪些路由器相鄰,以及鏈路狀態的度量（費用、距離、延時、帶寬）。OSPF規定當鏈路狀態發生變化是使用洪泛法向所有路由器發送信息,而ＲIP只向相鄰的幾個路由器發送信息。所有的路由器都最終能建立一個鏈路狀態數據庫，這個數據庫事實上就是全網的拓撲結構圖，且在全網范圍內保持一致。RIP雖然知道到所有網絡的距離和下一跳路由器,但不知道全網的拓撲結構。為了適應規模很大的網絡,是其更新過程收斂速度更快，OSPF協議將一個自治區域劃分為若干個更小的范圍,叫做區域。每個區域有一個32位的區域標記符(點分十進制),在一個區域內的路由器的個數不超過２00個。劃分區域的好處是將運用洪泛法將鏈路狀態信息的范圍局限在每一個區域內而不是整個自治系統。因此每一個區域內部的路由器只知道該區域內的完整拓撲結構而不知道其他區域的網絡拓撲結構。為了使每一個區域都和其他區域進行通信，OＳPF協議使用層次結構的區域劃分。它將一個自治系統內部提成主干區域和若干區域。主干區域的路由器稱為主干路由器,連接各個區域的路由器叫做區域邊界路由器。在主干區域內還要有一個路由器專門和該自治系統之外的其他自治系統互換路由信息,這樣的路由器叫做自治系統邊界路由器。ＯSPF協議執行過程中路由器的初始化過程中OSPF讓每一個路由器用數據庫描述分組和相鄰路由器互換本數據庫中已有的鏈路狀態摘要信息。在網絡運營過程中由于一個路由器的鏈路狀態只涉及相鄰路由器的狀態信息,因而與整個Inｔernet的規模無關。互換機的分類:互換機按多支持的局域網標準可以分為以太網互換機、ＦDＤI互換機、AＴM互換機、令牌環互換機。根據互換機所支持的傳輸速率和介質標準,以太網互換機可以分為快速以太網互換機（10０Mｂps）、千兆以太網互換機(1Gbps)、萬兆以太網互換機(10Gbpｓ)。按互換機的架構可以分為單臺互換機、堆疊互換機、箱體模塊化互換機。按互換機工作在ＯSI參考模型的層次分類:工作在數據鏈路層的二層互換機(沒有路由功能)，工作在網絡層的三層互換機,工作在傳輸層的四層互換機和多層互換機。１6.綜合布線系統常用的傳輸介質有雙絞線和光纜。雙絞線扭絞的目的是使對外的電磁輻射和遭受外界的電磁干擾減少到最小。UＴＰ是非屏蔽雙絞線，STP具有屏蔽作用。連接硬件涉及主件的連接器（適配器)，成對連接器及接插軟線，但不涉及某些應用系統對綜合布線系統用的連接硬件，也不涉及有源或無源電子線路的中間轉接器或其他器件。綜合布線采用的重要的連接部件分為建筑群配線架ＣD、大樓主配線架BD、樓層配線架ＦＤ、轉接點TP、通信引出端TO。ＦD和TP之間的水平線纜的最大長度不要超過90米。信息插座大體可以分為嵌入式安裝插座（雙絞線）、表面安裝插座、多介質信息插座（銅纜和光纖)。17．BＰDU數據包又兩種類型,一種是包含配置信息的配置ＢPDＵ(不超過3５個字節)，另一種是包含拓撲變化信息的拓撲變化告知BＰDU（不超過４個字節)。配置BPＤＵ中包含的BridｇeＩD是選取根網橋和根互換機的重要依據。BｒｉdgｅID最小的為根網橋或根互換機。BridｇeID與ＲootIＤ相同,他們都用８個字節表達，BrｉｄgeID有兩個字節的優先級和六個字節的互換機MAC地址組成。優先級的取值范圍為0-614４0，增量是4０96,值越小，優先級越高，一般互換機的默認設立為32768。ＢPDU攜帶了實現生成樹協議算法的有關信息，涉及RｏotID、ＲootＰatｈCost、BridgeＩD、PorｔID、Helloｔime、MaｘAｇe等。18.在互換設備之間實現Ｔrunk功能，必須遵守相同的ＶLAN協議。IＥEＥ80２．１Q可以使不同廠商的互換設備互連在一起,并提供Truｎk功能,使網絡更具開放性。虛擬網VLＡN是以互換式網絡為基礎,把網絡上終端設備劃分為若干個邏輯工作組,每個邏輯工作組就是一個VLAＮ。它是一個獨立的邏輯網絡，具有單一的廣播域，不受實際互換機區段的限制,也不受用戶實際物理位置和物理網段的限制。邏輯組的設定是在軟件中完畢的。虛擬網技術提供了動態組織工作環境的功能。ＶＬＡN的技術特性：工作在數據鏈路層。每個VLＡN都是一個獨立的邏輯網段，一個獨立的廣播域。ＶＬＡＮ的廣播信息只發送給同一個VLAN的成員，不發送給其他VLAN的成員。每個VLＡN都是一個獨立的邏輯網絡，他們都又唯一的子網號,VＬAN之間不能直接通信,是由于必須通過第三層的路由功能，而它只工作數據鏈路層。VLＡN通常用VＬANID(VLＡＮ號:由１2位組成，可以支持4096個VＬAN,1~1０0５是標準范圍,10２5~40９6是擴展范圍,可用于以太網的是2～1000,FDDI和TｏkeｎRing的是1002~1０05)和VLＡNｎame(ＶLAN名:32位標記符組成,可以是字母和數字)來標記,1是缺省VLAN，只能使用但不能刪除它。VLＡNTｒunｋ（虛擬局域網中繼技術）是互換機和互換機之間或互換機和路由器之間存在一條物理鏈路，而在這一條物理鏈路上傳輸多個VＬAN信息的技術。ＶLＡNTｒunｋ的標準機制是幀標簽。幀標簽為每個幀指定一個唯一的VＬAＮＩD作為辨認碼，表白該幀是屬于哪個ＶLＡN的。它在傳送數據幀到達網絡主干時，會在每個幀的表頭中放置一個唯一的辨認碼,互換機會解析與測試辨認碼。當數據幀從網絡主干轉發至目的終端之前，互換機先除掉這個辨認碼。劃分VＬAN的方法:基于端口劃分VLＡN(靜態VLＡN)基于MAC地址劃分VLＡN（動態ＶＬAN)：連接到每個互換設備的MＡC地址。需要一個保存VLＡN管理數據庫的VALN配置服務器。基于第三層協議類型或地址（動態VLAＮ）VTＰ是VLAN中繼協議，也稱VLAN干道協議。VTＰ具有三種工作模式:VＴPServer(維護ＶTP域中所有VLＡＮ表信息，可以建立、刪除或修改ＶLAＮ）、VＴPClｉent（維護所有VLＡＮ表信息,ＶLAN配置信息是從ＶTPServｅr中學到的，可是他不能建立、刪除和修改VLAN)、VＴPTｒansｐarent（相稱于是一個獨立的互換機，不從ＶTＰSeｒvｅr學習VＬAN的配置信息,不參與VTＰ工作,只擁有本設備上維護的VLAＮ配置信息，可以建立、刪除或修改本機上的VLＡN）。配置ｖtｐ域名：1.進入全局配置模式Switch－PHY－3548#coｎｆigｔSｗｉtch－PHY－3548(confｉg)＃2.配置vtp域名Ｓwiｔｃh-PHY-３548#vtp?domaiｎpkｕ(設立vtp域名為pｋu)配置vtp工作模式:Swｉtch－PHY-3548(config)#vtpmｏdeserveｒSwiｔｃh-ＰＨＹ-3548（confｉg）＃vtｐmodecｌientＳwitcｈ-PHY-3548(config)＃ｖtpmodetranｓｐａｒenｔ建立和刪除VLＡN:１.建立VLAN進入VＬＡN配置模式Sｗitｃh－ＰＨY-35４8#vlandataSwitch－ＰHＹ-３548(vlan)#建立VＬAＮSｗitch－ＰHY-3548(vlan）#vlａn１０00ｎamｅvlaｎ１00０退出并返回特權用戶模式Swiｔch-ＰHY－3548(vｌａn)#exit2.刪除Switch－ＰHＹ-３54８(vlan)#VLANnovlan100０3.修改VLＡNSwiｔch-PHY－354８(vlan)#ｖｌan1０0０naｍevlan１0０0為互換機端口分派VLＡN:進入互換機端口配置模式Swiｔch-ＰHY－3548#configuretSｗitch-PHY-3５48(config)＃inｔｆo/24Swｉtch-ＰHY－３５48(conｆｉｇ-iｆ）#為端口分派ＶLANＳwｉtch-ＰHY－3548(coｎfig-if）＃sｗitchportacｃessvｌan248VLＡNtｒunk的配置：進入互換機接口配置模式Ｓwitch－PHY-3548#ｃｏnｆiguｒeｔSwitch-PHY－3548(ｃonｆｉｇ-if)＃ｉntfｏ/２４配置VLANtrｕnk模式Ｓwitcｈ－PHY-354８（ｃonfiｇ-iｆ）#swｉtchpoｒtmodｅｔruｎk【ｓettrunk5/1ondｏｔ1q】封裝VLAＮ協議Ｓwiｔｃｈ－PＨY-354８（confｉg-ｉf)#sｗiｔchｐorttrunkencapｓulationｄoｔ1qSwitch－PHY-354８(confｉｇ-ｉf)#ｓwitcｈportｔruｎkencaｐsulaｔionislSwiｔch-PHY-3５48(coｎfｉg－ｉf）#switchpoｒttrunkenｃapsulatioｎnｅｇｏtiａteP(自動協商）設立允許中繼的VLANＳwｉtｃh-PHY-354８（confiｇ－ｉf）＃ｓwitcｈｐorttrunｋallowedｖlａn10，14Swiｔcｈ-PHＹ-3548（coｎｆｉg-ｉf)#switchporttruｎkaｌlowedvlan1０－2４Ｓwｉｔｃh-PHＹ-3548（cｏｎfig-if）#ｓwitｃｈpoｒｔｔｒunkａｌloweｄvlａneｘcept1０0-1000【settｒunk5/1vlan3７-４２在端口5／１的允許VLAN列表中添加３7～42號VLAN】【cｌeａrtｒunk5／243－３6從端口5／２4的允許VLAN列表中清除３～36VLAN】19.略20.生成樹協議ＳTP是一個二層鏈路管理協議，他的重要功能是保證網絡中沒有回路的情況下，允許在二層鏈路中提供冗余途徑，以保證網絡可靠、穩定的運營。目前最流行,應用最廣泛的STＰ協議是ＩEＥE．１D標準。STP的基本工作原理是：通過在互換機之間傳遞網橋協議數據單元ＢPＤU，并用生成樹算法對其進行比較計算。BridgeID有兩個字節的優先級和六個字節的互換機MAC地址組成。優先級的取值范圍為0-61４40，增量是40９６，值越小,優先級越高，一般互換機的默認設立為３276８。當優先級相同時，那么就要根據ＭAＣ地址決定根網橋，MAC地址小的路由器就是根網橋。2１.路由器的基本功能是路由選擇和分組轉發。路由選擇的核心是擬定下一跳路由器的ＩP地址。路由選擇算法根據各自的判斷準則為網絡上的路由產生一個權值,權值越小路由越佳。路由表的內容重要有目的網絡地址、下一跳路由器地址和目的端口、缺省路由信息。缺省路由又稱缺省網關,它是配置在主機上的TCP/IＰ屬性的一個參數。缺省網關是與主機在同一個子網的路由器的端口的ＩP地址。在數據分組通過每一個路由器轉發時,分組中的目的MAC地址是變化的,但它的目的網絡地址是不變的。22．路由器的硬件構成：CPU(中央解決器)、Meｍory（內存）、Ｓｔorａgｅ（存儲器)和Iｎterｆace(接口)。路由器的軟件為互聯網操作系統ＩＯS組成。ＣPＵ負責實現路由協議、途徑選擇計算、互換路由信息、查找路由表、分發路由表、維護各種表格以及轉發數據包。路由器內存用于保存路由器配置、路由器操作系統、路由協議軟件等。路由器內存重要有：只讀內存ＲOM(永久保存路由器的開機診斷程序、引導程序和操作系統軟件,重要任務是完畢路由器的初始化進程,具體涉及路由器啟動時的硬件診斷,裝入路由器操作系統IOS)、隨機存儲器RＡM(存儲路由表、快速互換緩存、ARP緩存、數據分組緩沖區和緩沖隊列、運營配置文獻,以及正在執行的代碼和一些臨時數據信息。)、閃存Ｆlａsｈ(存儲當前使用的操作系統映像文獻和一些微代碼)、非易失隨機存儲器NＶＲAＭ(存儲啟動配置文獻和備份配置文獻）路由器接口重要有局域網接口、廣域網接口和路由器配置接口。IP地址的動態分派使用動態主機配置協議DHCＰ，但仍然不能解決IP地址的沖突問題。ＤHCP采用的是客戶機/服務器(Cｌieｎt／Seｒｖer）工作模式ＤＨCP服務器重要完畢兩個功能:建立和管理ＩP地址池,接受并解決用戶提出的ＤＨＣP請求。ＤＨＣP客戶端的重要功能是提交DＨCＰ請求。DHCP協議允許使用備份DHCP服務器的功能。DHCP客戶從ＤHCＰ服務器申請ＩP地址的環節是:客戶機發送一個“ＤHCPＤＩＳCOVER”廣播包給服務器,服務器用一個“DHCPOFFER”單播數據包給予應答，并提供客戶機所需的TCP/IP的屬性配置參數（IP地址、子網掩碼、缺省網關、域名和域名服務器的IＰ地址)。然后主機發送一個“DHCPREQUＥST”廣播包給服務器,確認與此服務器建立地址租借關系，并通告其他的DHCP服務器。正常情況下,服務器會恢復一個“DHＣPＡＣK”廣播包給客戶機,這是一個確認互相關系的應答包。ＤHCP客戶機廣播“ＤHCP發現”消息時使用的源IP地址是0.0.０.0路由器互換機上ＤＨCPIP地址池的配置內容:IＰ地址池的子網地址和子網掩碼、缺省網關、域名和域名服務器的ＩＰ地址、IP地址的租用時間和取消地址池沖突記錄日記等參數。在全局配置模式下,配置IP地址池的名稱，并進入DHCPPool配置模式。Rouｔeｒ(confｉｇ)#ｉｐｄhcpｐｏolｔttRoｕｔer(dｈｃp-config)#Ｒoｕter(cｏnfig)#iｐdhcpｐool234Routeｒ(dhcp－ｃonfiｇ)#在ＤHＣPPｏoｌ配置模式下配置子網地址和子網掩碼的方法是：ｎetworｋ<網絡地址＞<子網掩碼＞Router(dhcp-coｎｆig)#ｎｅｔｗork２01.23．9８.0２55．２55.255.0Rouｔer(dｈcp-config)#Routeｒ(dhcp－cｏnｆig)＃nｅtwｏｒk201．23.98.0／2４Routeｒ（dhcp-config）#配置不用于動態分派的IＰ地址是在全局配置模式下Ｒouteｒ（confｉg)#ipdｈcpexｃluｄed-adｄｒess20１.23.9６.10(排除從201．23.96.2到201．23.96.１0的一段IＰ地址）Rｏｕｔｅｒ(coｎfig)#Rｏｕter(ｃonｆｉg）#ipdhｃpｅｘcluded-aｄｄreｓｓ２01.23．96.2１1（排除單個IP地址)Roｕter(ｃonfiｇ)＃配置IＰ地址池的缺省網關:在DＨＣPＰool配置模式下Rｏutｅr(ｄhcp-cｏnｆｉg）＃dｅfault－ｒouter命令中的網關地址最多允許配置8個。Router(dｈcp-ｃoｎfig）#配置IP地址池的域名:在DHCPPool配置模式下Rouｔｅr(dｈｃp-config)#ｄomａiｎ-nａｍepｋｕ.eｄu.cｎＲouter(dhcp-ｃoｎfig)#配置IＰ地址池的域名服務器的IＰ地址：在ＤHCPPｏol配置模式下Rｏuteｒ(dhcp-conｆig)＃dｎｓ-servｅraddrｅss2１２.1０5.129.27212．105.129．26【第一個是主域名服務器的IP地址后面的一個是輔助域名服務器域名的ＩP地址】Roｕter(dhｃp-confiｇ)#配置IＰ地址池的租用時間：設立租用時間為５個小時在DHＣPＰoｏl配置模式下Rｏuteｒ(dhcp-coｎfig)#leａsｅ05【可以以日、時、分、秒為單位也可以設立為無限時間inｆｉnｉtｅ】Rｏｕtｅr(dｈｃｐ-cｏｎfig)＃取消地址沖突記錄日記:在全局配置模式下Rouｔeｒ(config)#nｏiｐdhcｐcｏｎfliｃtlｏｇｇｉｎg２４.訪問控制列表重要有兩種類型，一種是標準訪問控制列表，另一種是擴展訪問控制列表。標準訪問控制列表只能檢查數據包的源地址。標準訪問控制列表的表號范圍是1~99,后來擴展到１3０0~1９99.擴展訪問控制列表可以檢查數據包的源地址和目的地址，還可以檢查制定的協議、端標語。擴展訪問控制列表的表號為100~199，后來擴展到202３~２699。在配置訪問控制列表時,“ａccesｓ-list”只能使用表號標記列表，而“ｉpaccess-ｌisｔ”既可以使用表號,也可以使用名字標記一個訪問控制列表。在配置了訪問控制列表之后,還必須配置其相應的接口才干控制數據流的流入或流出。在配置過濾準則時,要特別注意ACＬ的語句順序。在配置訪問控制列表的源地址和目的地址時,在允許和拒絕的IP地址后面,有一個參數是wｉlｄｃard-mａsｋ-通配符(或通配符掩碼）的意思，為３２位二進制表達，事實上是掩碼的反碼。通配符作用是指出訪問控制列表過濾的IP地址范圍。通配符為０表達檢查相應的某位,通配符為1表達忽略,不檢查相應的某位。配置訪問控制列表的具體環節是：一方面是定義一個標準的或是擴展的訪問控制列表，然后為訪問控制列表配置過濾準則,最后在配置訪問控制列表的應用接口。配置標準訪問控制列表：在全局配置模式下：Ｒouｔer(cｏｎfig)#access-list10ｐｅrｍit2１1.105.１30．００.0.0．255Ｒｏｕｔer(confｉg)#配置應用接口:Routｅr(ｃoｎfiｇ)#ｌinevty05Rｏuteｒ（confｉg-line)#acceｓs-ｃｌass10inaccess-ｃlass是控制路由器發起的telnet會話，不進行包過濾

acｃess-ｇｒoｕp是控制接口上進出的數據包流量用accesｓ-cｌass將訪問控制列表施加于ＶTY線路,或WEB接口,aｃcess-group則施加到接口用在不同的接口啊，在控制臺口與ＶＴＹ口用ACＣESS－CLASS,別的一般用IPAＣCESS-ＧＲOUＰ限制別人telneｔ你的時候用accｅｓs-cｌassliｎevty０４是什么意思?(重要解釋一下0

4)０-4指的是虛擬終端的五條虛擬線路,通過TEＬＮＥT可以連接查看訪問控制列表的配置信息:在特權用戶模式下:Ｒoutｅr#sｈowconfiguｒatioｎ查看訪問控制列表：在特權用戶模式下：Rｏｕteｒ#ｓｈaｃcesｓ-ｌisｔs只允許源地址為18２．10５.１３0.111和22２.1１２.7.5６的兩臺主機登錄路由器在全局配置模式下：Routeｒ(ｃoｎfig）#ａｃcess－ｌiｓt20ｐermit182.1０5.1３０.111Routｅr(confｉｇ)#ａccess-ｌｉsｔ２０permit222.112.7．56Rｏｕteｒ(config)#ａcｃess-ｌiｓt20denyany配置應用接口:Ｒouter(ｃonfig）#lｉnevtｙ05Rｏｕtｅｒ(config-lｉne）#ａccess－claｓs２0iｎ嚴禁地址為非法地址的數據包進入路由器或從路由器輸出在全局配置模式下：Roｕｔer（confiｇ)#accｅss-ｌist３0deny１０.０.0.０0.255.２55．２55logRｏuteｒ(config)#acｃess-ｌist3０deny192.16８.0.00．0．２55.255Router(confiｇ）＃acｃeｓs－list3０dｅnｙ127．0.0.0０.255.255.255Router(cｏｎfig)#aｃcess-ｌiｓｔ３0deny1７2.1６.0.00．15.255.255Rouｔeｒ(config)#accｅｓs－list30ｐermitanｙ配置應用接口：Rｏuteｒ(ｃonfｉｇ)#interfaceg0/１Ｒouｔer(cｏnｆig-if)#ｉｐaｃcess-gｒｏｕp３0ｉn配置擴展訪問控制列表：拒絕轉發所有IP地址進出的，端標語為1434的ＵDP協議數據包在全局配置模式下:Router(ｃonfig)#ａccess-lisｔ３0ｄｅnｙudpanyanyeq14３4Ｒｏuｔeｒ（coｎfiｇ)#acｃess-lｉst30permitipanyａｎyRouteｒ(confiｇ)#擴展訪問控制列表實現Rｏｕｔer(config）＃ｉpaｃｃess－ｌistｅxｔｅnded130(進入擴展訪問控制列表)Roｕｔeｒ(conｆig-ｅxt-nacl）#denｙudpanｙaｎyeq１434Rｏuter(conｆig-ext－nａcl)#pｅrｍitipanyanyRｏuteｒ（config-ext-naｃl)#配置應用接口：Ｒouter（ｃonfig）#inteｒｆaceｇ0／1Routｅr(confiｇ-if)＃iｐacceｓs－group1３0ｉnRoｕter(config-if）#ipａcｃeｓs－groｕp1３０ouｔ?Ｒoｕter(cｏnｆｉｇ－ｉf）#封禁某一臺主機在全局配置模式下：Roｕtｅr（ｃonfig）＃ａccess-ｌｉst110ｄenyｉphｏst202.112.60.２３0ａnｙｌogRoｕter(config)＃acｃｅss－list110denyipanyhost202．1１2．60.230loｇＲouｔｅｒ（ｃonfig)#acceｓs-list１10ｐerｍｉtipａnyany配置應用接口:Router(conｆig)#inteｒｆaceg0/1Ｒouter（config-if)#iｐaccesｓ-groｕp１10inRouter(ｃonｆiｇ-ｉｆ)#ipａcceｓs-groｕｐ11０out封禁ICMP協議,只允許１62.105.14１.0/24和202.38．97.0/24子網的ICMＰ數據包通過路由器。在全局配置模式下:Rｏuter(confiｇ)#access-lisｔ198perｍitｉcmp1６２．１０5.１4１.0０.０.０.２５５anyRoｕtｅr(cｏnｆig)#access-ｌiｓt１９8peｒmiticｍp２02.３8.9７.00.0.0.２55anyRouter(ｃonｆｉg)#access-list１９8ｄeｎｙicmpanyａnyRouｔer(ｃonfig)#acｃesｓ－ｌist19８ｐermiｔiｐanyａnｙ【是ｐｅｉmiｔiｐ還是peimiticmp】Ｒouter（coｎfｉｇ)＃配置應用接口:Ｒouter（ｃonfｉg)#interfaceg0/1Router(ｃonfig－iｆ)＃ｉpａｃceｓs－gｒｏup198inRouteｒ(coｎｆig-iｆ)＃iｐａｃｃｅss-grouｐ１９８oｕt用名字標記符訪問控制列表的配置方法:嚴禁源地址為非法地址的數據包進入路由器或從路由器輸出在全局配置模式下：Rouｔer(ｃonfig)#ipaccess－ｌisｔｓtanｄardｔeｓtＲouｔer(confｉg-ｓtd-nacl)#ｄeny１0.０.0.0０.２55.2５5.255lｏgRouter(confiｇ－stｄ-naｃl)＃ｄeny１９2.168.0.００．0.２55.255Router(cｏnｆig-ｓtｄ-nacl）#dｅnｙ127.0．０.０0.２5５.25５.2５5Ｒouter(conｆｉｇ-sｔd-nacｌ)＃deny1７2.16.０．0０．15．２55.255Rｏｕteｒ(conｆiｇ-sｔd-nacｌ)#ｐermiｔaｎy【是不是應當是pｅrmitｉpaｎyａny】配置應用接口:Router(ｃonfiｇ）#interfaceg0/1Routｅr（ｃonfig-iｆ)#ipacｃesｓ-ｇrｏｕptestinＲｏｕｔｅr（config-ｉf)#ｉpacceｓs－grouptestout嚴禁端標語為1434的UTP數據包和端標語為444的ＴCP數據包在全局配置模式下:Ｒouｔｅr(ｃonfiｇ)#iｐａcｃｅsｓ－ｌｉstextendedｂlｏck1434Rouｔeｒ(coｎｆｉg-ext-nacl)#denyｕtpaｎｙanyeq1434Ｒoｕter(ｃonfig-ｅxt-ｎａcｌ)#dｅnｙtcpａnyaｎｙeq４44Ｒouｔer(config-ext-nacl）#ｐermｉｔipａnyanyRoutｅｒ（coｎfｉｇ-ext-ｎａcl)#25.在一個大樓中或是很大的平面里面部署布線無線網絡時，可以布置多個接入點構成一套微蜂窩系統。微蜂窩系統允許用戶在不同的接入點覆蓋區域內任意漫游。隨著位置的變化,信號會由一個接入點自動切換到另一個接入點。整個漫游過程對用戶是透明的,雖然提供服務的接入點發生了變化,但對用戶的服務是不會中斷的。26.8０2.1１b運作模式分為點對點模式(最多可連接256臺主機)和基本模式(無線網絡擴充和有線網絡并存時，插上無線網卡的PC通過接入點與另一臺PC相連，一個接入點最多可連接1024臺PＣ）。無線局域網重要包含如下的硬件設備:無線網卡、無線接入點AP（一個AP可以連接30臺左右的無線網絡終端或者是其他的無線AＰ）、天線、以及無線網橋、無線路由器和無線網關。Ｃisco公司的Airoｎｅt1100系列接入點兼容IEＥＥ802.1１b和ＩEEE802.1１g,工作在2．4GHz頻段，使用Cisｃo公司的ＩOＳ操作系統。在安裝和配置無線接入點之前，先向網絡管理員詢問一下信息,用于配置無線接入點：系統名無線網絡中對大小寫敏感的服務集標記符假如沒有連接到ＤＨCP服務器，則需要為接入點指定一個ＩP地址假如接入點與ＰC不在同一個子網內，則需要子網掩碼和默認網關簡樸網絡管理協議集合名稱以及ＳNMP文獻屬性(假如使用ＳNＭＰ）將無線接入點連接至網絡的兩種方法：使用線內供電連接以太網和使用本地電源連接以太網。第一次配置無線接入點，一般采用本地配置方式。默認的IＰ地址是10.0．０.1,并成為小型的DHCＰ服務器。可認為下列設備分派多達20個的1０.０.0.x范圍的IP地址。連接在接入以太網端口上的PC機沒有配置SＳID或配置ＳSIＤ為tsunami,并且關閉所有安全配置的無線設備按照下列環節本地連接無線接入點：１.使用五類以太網電纜連接PC機和無線接入點,通過無線接入點的以太網端口進行配置，或將PC機置于無線接入點的電波覆蓋范圍內，安裝無線客戶端適配器,關閉所有安全設立，將ＳＳID配置為tsｕnmaｍi或不配置。2.給無線接入點加電3.確認PC機獲得了１0.０.0．x網段的地址4.打開互聯網瀏覽器５.在瀏覽器的地址欄輸入無線接入點的IP地址1０.0.0.1，然后回車，出現輸入網絡密碼對話框6．按Tａb鍵越過用戶名到密碼字段７.輸入大小寫敏感的密碼Cisｃo,擬定。出現接入點匯總狀態的頁面。點擊“ExｐressSｅｔｕp”進入快捷配置頁面。8．輸入各配置數據9.保存ＳSIＤ是客戶端設備用來訪問接入點的唯一標記。27.略28.DNS服務器配置的重要參數:正向查找區域：將域名映射到IＰ地址的數據庫,用于將域名解析為IP地址。反向查找區域：將IＰ地址映射到域名的數據庫,用于將IP解析為域名。將主機資源記錄手動添加到正向查找區域時,使用“更新相關的指針PＴＲ”選項,可以將指針記錄自動添加到反向查找區域中。資源記錄:區域中的一組結構化的記錄。常用的記錄涉及：主機地址（A)資源記錄,它將ＤＮS域名映射到ＩP地址;郵件互換器資源記錄(MX)，為郵件互換器主機提供郵件路由；別名資源記錄(CNAME)，將別名映射到標準DNS域名。轉發器:也是一個ＤＮS服務器，是本地DＮS服務器用于將外部DNＳ名稱的DNS查詢轉發給該DＮＳ服務器。在缺省情況下，Winｄows202３服務器沒有安裝DＮS服務器。DNＳ服務器的基本配置涉及正向查找區域、反向查找區域、增長資源記錄等。在安裝DNS服務時,1３個根DNS服務器被自動加入到系統中。主機資源記錄的生存默認值是3６00秒可以對DNS服務器進行簡樸查詢測試和遞歸查詢測試。使用命令行程序測試DNS服務器:開始-－-運營－--ｃmd---nslｏoｋup２9.在使用DHCP時,網絡上至少有一臺Ｗinｄoｗs2023服務器上安裝并配置了ＤＨＣＰ服務,網絡上要使用DＨCP服務的主機必須設立成使用DHCＰ自動獲得IP地址。作用域是指接受DHCP服務的網絡上的單個物理子網。客戶機的地址租約默認是8天，續訂由客戶端自動完畢。作用域激活后，DHCP服務器才可認為客戶機分派IP地址。ＤHCP服務器為一客戶機分派固定IP地址時,需要執行的操作是新建保存。釋放地址租約:ipconfｉｇ／releasｅ重新獲取地址租約:ｉｐｃｏｎfｉg/renewＤＨＣP服務器中常用的配置作用域選項有路由器選項和DNS服務器選項。30.瀏覽器與服務器之間傳送信息的協議是HＴTP，即超文獻傳輸協議，用于傳輸網頁等內容,使用TCP協議,默認端標語是80．在Ｗindoｗs2023中只要添加操作系統的集成組建IＩS就可以實現WEB服務。一個網站相應服務器上的一個目錄,建立WEB站點時必須為每個站點指定一個主目錄，當然也可以是默認的子目錄。設立網站選項中可以設立網站的標記、站點的連接限制以及啟用日記記錄并配置站點的日記記錄格式。若Web站點未設立默認內容文檔，訪問站點時必須提供首頁內容文獻名設立目錄安全選項卡可以選擇配置下列三種方法:身份認證和訪問控制、IＰ地址和域名限制、安全通信。設立性能選項卡可以設立影響帶寬使用的屬性,以及客戶端WEＢ連接的數量。IIS自動將帶寬限制設立成最小值1０２4byte/s.設立篩選器選項:ISAPI篩選器是在解決HＴTP請求選項中響應事件的程序。可以列出每個篩選器的狀態(可以啟用或是禁用）、名稱，以及加載到內存中的優先級。設立ＨTTＰ頭選項：可以在HＴＭL頁的標題中設立返回瀏覽器的值,還可以設立內容分級及定義MIME類型(MIME類型就是設定某種擴展名的文獻用一種應用程序來打開的方式類型，當該擴展名文獻被訪問的時候,瀏覽器會自動使用指定應用程序來打開。多用于指定一些客戶端自定義的文獻名,以及一些媒體文獻打開方式。）。設立自定義錯誤選項：可以使用IIS提供的一般默認ＨTTP1.1錯誤或具體的自定義錯誤文獻，或是創建自己的自定義錯誤文獻。這些值可以對所有站點進行全局設立,也可以在每個站點中單獨設立,IIS對于這些設立使用繼承模式。IIS6.0可以使用虛擬服務器的方法在一臺服務器上構建多個網站，各網站可以使用主機頭名稱、IP地址、非標準TＣP端標語來進行區分。此外還可以使用虛擬目錄的方法來發布多個網站。３１.ＦTP使用“客戶機/服務器”的工作方式。構建FTP服務器的軟件有IIＳ.6．0中集成的FTP服務、Ｓerv-UFTPＳerｖer。ＦTP服務器缺省的端標語是2１。服務器域的存儲位置對話框中,對于小的域選擇．INＩ文獻存儲,對于大的域(用戶數大于５０0）應選擇注冊表可以提供更高的性能。ＦTP服務器的選項涉及服務器選項、域選項、組選項和用戶選項。服務器選項涉及最大上傳速度和最大下載速度、最大用戶數量、檢查匿名用戶密碼、刪除部分已上傳的文獻、禁用反超時調度、攔截“ＦTP-BOUＮCE”襲擊和FＸＰ(ＦiｌeＥxｃhangeＰｒｏｔｏｃoｌ文獻互換協議ＦXＰ是一個服務器之間傳輸文獻的協議，這個協議控制著兩個支持FXP協議的服務器,在無需人工干預的情況下，自動地完畢傳輸文獻的操作。在我們的客戶機上，可以簡樸的發送一個傳輸的命令，即可控制服務器從另一個ＦＴP服務器上下載一個文獻，下載過程中，無須客戶機干預，客戶機甚至可以斷網關機。這種協議通常只合用于管理員作管理的用途，在一般的公開FTP服務器上，是不會允許FXＰ的，由于這樣會浪費服務器資源,并且有也許出現安全問題。)．域常規選項可以設立域內最大的同時在線用戶數、最小密碼長度、是否規定復雜密碼等選項。域虛擬途徑選項窗口可以將物理目錄映射為虛擬目錄，虛擬目錄建立完畢以后,并不是該域下的每個用戶都可以訪問,需要對用戶的途徑進行設立。域IP訪問選項：可以通過設立IP訪問來限制某些IP地址是否可以訪問FTP服務器。也可以針對每個用戶進行設立。域消息選項：域消息要事先創建并編輯。域記錄選項:可以選擇各種消息和記錄是否顯示在屏幕上、是否記錄在域的日記文獻中，還可以設立日記文獻的命名方法及創建規則。域上傳/下載率選項：可以添加用戶訪問服務器時不計入到上傳/下載率的文獻。用戶賬號選項:在此窗口中【禁用賬號】會臨時禁用一個賬號,而不需要將其刪除；選擇【自動】會將一個僅需要使用一段時間、以后不再使用的一個賬號,在指定日期刪除。用戶常規選項:可以設立最大上傳/下載率。用戶目錄訪問選項:訪問權限分為文獻（讀取、寫入、追加、刪除、執行）、目錄(列表、建立、移動)、子目錄三類。用戶上傳／下載率選項:規定FTP客戶端在下載信息的同時也要上傳文獻。可以設立各種計算方法。用戶配額選項可以限制用戶上傳信息占用的存儲空間。3２.電子郵件系統使用的協議重要有簡樸郵件傳送協議SMＴＰ，默認的TＣＰ端標語是2５，用于發送電子郵件。郵局協議POP3，默認的TCＰ端標語是110,訪問并讀取郵件服務器上的郵件信息。Inｔｅｒｎｅｔ消息訪問協議IMAＰ4,默認的端標語是143是用于客戶端管理郵件服務器上的郵件的協議。郵件系統的工作過程：用戶使用客戶端軟件創建新郵件。客戶端軟件使用ＳMTP協議將郵件發送到發放的郵件服務器上。發方的郵件服務器使用SＭTP協議將郵件發送到接受方的郵件服務器，接受方的郵件服務器將接受的郵件發送到用戶的郵箱里等待用戶解決。接受方客戶端軟件使用ＰOP3/IＭAＰ4協議從郵件服務器讀取郵件。安裝郵件服務器軟件之前要安裝IIS。在快速設立向導中，可以輸入新建用戶的信息,涉及用戶名、域名及用戶密碼。Winmail郵件管理工具涉及系統設立(對郵件服務器的系統參數設立,涉及SMTP、郵件過濾、更改管理員密碼)、域名設立（可以增長新的域，用于構建虛擬郵件服務器、刪除已有的域、還可以對域的參數進行修改）、用戶和組（增刪用戶、修改用戶的配置、管理用戶）、系統狀態和系統日記。Ｗｉnｍail郵件服務器允許用戶自行注冊新郵箱為了使其他郵件服務器將收件人的郵件轉發到該郵件服務器，需要建立郵件路由,即在DＮＳ郵件服務器中建立郵件服務器主機記錄和郵件互換器記錄。３3.數據備份從備份模式來看，可以分為物理備份和邏輯備份：從備份策略來看可以分為完全備份、增量備份和差異備份;根據備份服務器在備份過程中是否可以接受用戶響應和數據更新，又可以分為離線備份和熱備份。邏輯備份也可以稱作基于文獻的備份。它的缺陷是對于文獻的一個很小的改動也需要備份整個文獻。物理備份有稱基于快的備份或是基于設備的備份,文獻的恢復變得復雜和緩慢。它適合于指定一個特定的文獻系統來實現,并且不易移植。它的另一個缺陷是也許產生數據的不一致。完全備份增量備份差異備份空間使用最多最少少于完全備份備份速度最慢最快快于完全備份恢復速度最快最慢快于增量備份完全備份工作量大、成本高、備份時間長。但直觀、簡樸,也是最基本的備份方式。增量備份只備份相對于上一次備份操作以來新創建或者更新過的數據。但是在發生數據丟失和誤刪除操作時,恢復工作會變得比較麻煩,可靠性差。完全備份+增量本分+增量備份+增量備份+。。。差異備份備份上一次完全備份后產生和更新的所有新的數據。工作量小于完全備份，但大于增量備份。完全備份+差異備份。冷備份不接受用戶與應用對數據的更新，很好的解決了并發操作帶來是數據不一致問題。缺陷是備份時間較長。熱備份會產生數據不一致的現象。常用的備份設備有:磁盤陣列、光盤塔、光盤庫、磁帶機、磁帶庫、光盤網絡鏡像服務器。Ｗindows20２3備份程序支持的五種備份方法:副本備份：復制所有選中的文獻,但不將這些文獻標記為已備份（即不清除存檔屬性）。每日備份:已備份文獻在備份后不做標記。差異備份:備份后不標記為已備份文獻。增量備份:備份后標記文獻。正常備份：備份后標記文獻。根據防火墻的實現技術，防火墻可以分為包過濾路由器、應用級網關、應用代理和狀態檢測。防火墻的系統結構可以分為報過濾路由器結構、雙宿主主機結構(運營應用級網關軟件的計算機必須非常可靠-－-堡壘主機)、屏蔽主機結構、屏蔽子網結構（兩個過濾路由器、兩個堡壘主機）。當使用品有３個網絡接口的防火墻時，就會產生3個網絡：內部區域（內網)、外部區域(外網）、非軍事化區（DMZ)。CｉscoPIX5２5防火墻提供四種管理訪問模式：非特權模式（開機自檢進入,提醒符為ｐixfｉrｅwaｌl>)、特權模式(輸入ｅnaｂlｅ進入，提醒符為ｐixfirewalｌ#)、配置模式(在特權模式下輸入coｎｆiｇuretermｉnaｌ,提醒符為ｐixfirewaｌl(config)＃)、監視模式(防火墻在開機或重新啟動過程中按Esc鍵或是發送一個“Break”字符,提醒符為mｏniｔor＞，在監視模式下，可以進行操作系統映像更新、口令恢復等操作)。配置防火墻接口的名字,并指定安全級別:Pix525(cｏｎfig)#nａｍeｉfeｔｈerneｔ０ouｔｓidesｅcuｒity０Pix５2５(config）#namｅifｅtｈeｒnet1iｎｓidｅseｃurity1０0Pｉx５2５(config)#nａmｅifｅtｈｅrnetdmｚsecｕriｔy５0缺省情況下，etｈｅrnet0并命名為外部接口(ｏｕtsｉde），安全級別是0，etherneｔ1是內部接口(ｉnｓｉdｅ）,安全級別是100。安全級別取值范圍是０~９9，數字越大,安全級別就越高。配置以太網接口：Ｐｉx５25(ｃonfｉg)＃iｎｔｅrfaceｅthernｅt0auto采用自動協商方式Pｉｘ525（ｃoｎfig)#ｉnterfａceethｅrnet110０fulｌ采用100Mbps全雙工方式配置網卡的IＰ地址：Ｐix525(cｏnｆig)#ｉpadｄressｏutｓｉｄe2０2．１13．79.１2５４０防火墻在外網的ＩP地址是202．11３.79.1Pｉx525(coｎfig）＃ipaｄｄressiｎside192.168..0.1防火墻在內網的IP地址是1９2.１６８.．0．1指定要轉換的內部地址：naｔ作用是將內網的私有IP地址轉化為外網的公有IP地址。Pix５2５(config)#nat（iｎsｉｄe)１１92.1６8..0.１255.255.25５.０192.1６8..0．1這個網段內的主機可以訪問外網gloｂａｌ為指定外部ＩP地址范圍（地址池)。Pix525(cｏnｆig）#gｌobal(ｏutsｉde)1２01.113．79.1-2０2.１1３.79．1４設立外部地址池為201.11３.7９.1-2０2.113．79.14設立指向內網和外網的靜態路由ｒoutePix525(config）#routeｏutsidｅ00218.81.２0.１1配置靜態nａｔ：假如從外網發起一個會話,會話的目的地址是內網的ＩP地址,sｔatiｃ就把內部地址翻譯成一個指定的全局地址,允許這個會話建立。Pｉx5２5(conｆig)#statiｃ(insiｄe，ｏuｔside)２02.１13.７9.4192.168.０．4建立了內部IP地址１9２.168.0.4和外部ＩP地址202．11３.79.4之間的靜態映射。cｏnｄuit命令用來允許數據流從具有較低安全級別的接口流向具有較高安全級別的接口。Piｘ５25(confｉg）#conduitpermitｔcpｈｏst192.168．0．４ｅqwwwａny允許任何外部主機對全局地址的這臺主機進行httｐ訪問。fixuｐ是啟用、嚴禁、改變一個服務或是協議通過ＰIX防火墻，由fiｘup命令指定的端口是PIＸ防火墻要偵聽的服務。Pix525（ｃonfig）＃fｉxupprotocolｈtｔｐ80Ｐｉx525(ｃonfiｇ）#nｏfixｕｐprotoｃolｓtmｐ啟用http協議,并指定httｐ端標語是8０,禁用sｔmp協議。入侵檢測系統一般是由事件發生器、事件分析器、響應單元與事件數據庫組成。入侵檢測技術可以分為異常檢測（基于記錄異常檢測、基于神經網絡入侵異常檢測、基于數據采掘的異常檢測)、誤用檢測（基于模式匹配的誤用入侵檢測、基于模型推理的毋庸入侵檢測、基于專家系統的誤用入侵檢測、基于狀態遷移分析的誤用入侵檢測)兩種方式的結合。按照檢測的數據來源,入侵檢測系統可以分為:基于主機的入侵檢測系統(系統日記和應用程序日記為數據來源）和基于網絡的入侵檢測系統(網卡設立為混戰模式，原始的數據幀是其數據來源)。分布式入侵檢測系統的三種類型為層次型(存在單點失效）、協作型（存在單點失效）和對等型（無單點失效)。網絡入侵檢測系統一般有控制臺和探測器組成。網絡入侵檢測系統的探測器部署方法：網絡接口卡與互換設備的監控端口連接。在網絡中增長一臺監控器改變網絡的拓撲結構，通過集線器（共享式監聽方式）獲取數據包。通過一個分路器TＡP設備對交互式網絡中的數據包進行分析和解決。當需要多個監聽接口時：對于多端口探測器，可以將TＡP的引線分別直接接入探測器的監聽接口。對于不提供多端口的，可以將TAP的引線接到互換機或是集線器上。入侵防護系統整合了防火墻技術和入侵檢測技術,采用In-Linｅ工作模式。入侵防護系統重要有嗅探器、檢測分析組件、策略執行組件、狀態開關、日記系統和控制臺。嗅探器:負責接受數據包，對數據包協議類型進行解析,依據協議類型開辟緩沖區,保存接受到的數據包，并提交檢測分析組件進行分析解決。檢測分析組件：接受來之嗅探器的數據包，從中檢測襲擊事件的發生,通過特性匹配、流量分析和協議分析、會話重構等技術,并結合日記中的歷史記錄來分析襲擊的類型和特點。將通過度析得到的系統防護策略提交給策略執行組件，并將襲擊數據包信息、襲擊事件分析結果及相應策略提交至日記系統保存，并將告警信息提交控制臺。策略執行組件：負責執行分級保護策略,是對抗襲擊的核心部分。所有接受到的數據都要通過策略執行組件進行轉發。策略執行組件重要由簡樸的地址端口過濾、特性值匹配、會話阻斷、流量控制以及一些針對蠕蟲病毒和拒絕服務襲擊的特殊模塊組成。襲擊發生時，策略執行組件將按照組件內的策略集和檢測分析組件提供的防御策略進行防御。防御執行過程將在日記系統中進行記錄。日記系統：負責對整個系統的工作過程進行數據采集、記錄、統一分析和存儲管理。日記數據的來源是檢測分析組件和策略執行組件。控制臺和檢測分析組件是日記系統的使用者。他們根據需要通過數據庫管理系統和海量數據記錄分析系統提供數據。狀態開關：負責接受來之檢測分析組件的狀態轉換指令,并驅動策略執行組件轉換工作狀態,對分布式拒絕服務襲擊進行有效防御。控制臺：負責配置、管理、和控制IＰS系統中其他組件。控制臺收集來之各組件的工作狀態信息和來之檢測分析組件的報警信息,并且以適當方式呈現給管理員。入侵防護系統的分類：基于主機的入侵防護系統（安裝在受保護的主機系統中）、基于網絡的入侵防護系統（布置于網絡出口處,一般串聯于防火墻和路由器之間)和應用入侵防護系統（部署于應用服務區前端）。對于網絡入侵防護系統來說,入侵檢測的準確性和高性能是至關重要的。網絡管理命令:ipｃonfiｇ顯示當前TCＰ/IＰ設立hoｓｔnaｍe顯示當前主機名稱ARＰ顯示和修改ARP表項ＮBTSTAT顯示本機與遠程計算機的基于TCP/IP的ＮetBIOＳ的記錄及連接信息NET管理網絡環境、服務、用戶、登記等本地信息NＥＴSTAT顯示活動的TCP連接、偵聽的端口、以太網記錄信息、IP路由表和IP記錄信息。pｉnｇ通過發送ＩCMP報文并偵聽回應報文，來檢查與遠程或本地計算機的連接。默認情況下發送4個報文,每個報文包含6４個字節數據。tracert通過發送包含不同TTL報文并偵聽回應報文，來探測到達目的計算機的途徑pathpinｇ結合了ping和trａｃert命令的功能，將報文發送到所通過地所有路由器,并根據每跳返回的報文進行記錄。route顯示或修改本地IP路由表的網關條目。略常見的網絡入侵與襲擊的基本方法：木馬入侵：C/Ｓ結構，重要的感染途徑有:黑客入侵后植入;運用系統或軟件的漏洞植入；受到夾帶木馬的電子郵件,運營后植入；通過即時聊天軟件，發送具有木馬的鏈接或是文獻,接受者運營后被植入；在自己的網站上放置一些偽裝后的木馬程序,宣稱是好玩的或有用的工具等名目,讓不知道的人下載后運營后便可成功植入木馬。木馬植入后所進行的操作:如同使用資源管理器同樣對一些文獻或是電子郵件進行復制或是刪除等非法操作；轉向入侵,運用被黑者的計算機來進入其他計算機或是服務器進行各種黑客行為，也就是找個替罪羊；監控被黑者的計算機屏幕畫面的鍵盤操作來獲取各種密碼,例如進入各種會員網頁的密碼、撥號上網的密碼、網絡銀行的密碼、郵件密碼等；遠程遙控，操作對方的Ｗinｄows系統、程序、鍵盤。漏洞入侵:Uniｃode漏洞入侵、跨站腳本注入、ｓql注入入侵協議欺騙襲擊：針對網絡協議的缺陷假冒用戶身份截取信息獲得特權的襲擊方式。重要的協議欺騙襲擊有IP欺騙襲擊、ＡRＰ欺騙襲擊、DNS欺騙襲擊、源路由欺騙襲擊。口令入侵:緩沖區溢出漏洞襲擊：拒絕服務襲擊ＤoS:Ｓmｕrf襲擊:襲擊者冒充受害者主機的IP地址,向一個大的網絡發送ｅchoｒequeｓｔ的定向廣播包，此網絡的許多主機都作出回應,受害主機會收到大量的ecｈoreplｙ消息。SYNFlooding（同步泛濫技術(SYNflｏoｄing））:運用TCP連接的三次握手過程進行襲擊。使用無效的ＩP地址。DDoＳ分布式拒絕服務襲擊：襲擊者攻破了多個系統，并運用這些系統去集中襲擊其他目的，成百上千的主機發送大量的請求，受害設備由于無法解決而拒絕服務。PingofＤeaｔh:通過構造出重組緩沖區大小的異常的ＩCMP包進行襲擊。Tｅardrｏp：運用OＳ解決分片重疊報文的漏洞進行襲擊。Ｌand襲擊：向某個設備發送數據包，并將數據包的源地址和目的地址都設立成襲擊目的地址。3９.常用的漏洞掃描工具有IＳS、MicｒosoftBasｅlineSecuｒitｙAnalyｚer、X-Ｓcanｎer等。40.計算機病毒的重要特性：非授權可執行性、隱蔽性、傳染性、潛伏性、表現性或破壞性、可觸發性。計算機病毒按幾聲方式可以分為引導型病毒（寄生在磁盤引導區或主引導區。主引導區病毒有大麻病毒、２7０8病毒、火炬病毒。分引導區病毒有小球病毒、Girl病毒)、文獻型病毒（感染可執行文獻或是數據文獻,有15７5／1５91病毒、84８病毒感染．COM和.EXE等可執行文獻、Ｍacｒo／Cｏｎcept、Mａcrｏ/Atoms等宏病毒感染、新世紀病毒、One-hａlf病毒)和復合型病毒（Ｆliｐ病毒、新世紀病毒、One-halｆ病毒)。計算機病毒按照破壞性可以分為良性病毒(小球病毒、1575／1５9１病毒、救護車病毒、揚基病毒)和惡性病毒（黑色星期五病毒、火炬病毒、米開朗.基羅病毒)。惡意代碼：蠕蟲：是一個自我包含的程序,他可以傳播自身的功能或拷貝自身的片段到其他的計算機系統中。不需要把自身的附加在一段程序上，而是一個獨立的程序,可以積極運營。有兩種類型的蠕蟲病毒：宿主計算機蠕蟲和網絡蠕蟲。木馬:寄生在用戶的計算機系統中，盜用用戶信息，并通過網絡發送給黑客。沒有自我復制功能。傳播途徑重要有電子郵件、軟件下載和會話軟件。直接廣播地址:主機號全為1，它用來使路由器將一個分組以廣播方式發送給特定網絡上的所有主機。受限廣播地址：32位全為1的IP地址(25５.２55.２5５.25５）,用來將一個分組發送給本網絡上的所有主機。“這個網絡上的特定主機”地址：網絡號為全0,主機號為特定的值,這樣的分組限制在本