① "國之重器"深度解析 | CENI核心能力之確定性網路服務能力
國家重大科技基礎設施——未來網路試驗設施CENI,作為國家綜合性研究和公共試驗平台,具備四大核心能力。本期重點解析CENI的核心能力之一——確定性網路服務能力。
傳統乙太網,盡管因其簡單的網路連接機制、充沛的帶寬以及可擴展性和兼容性而廣泛使用,卻在共享網路環境中無法實現對傳送時延和抖動的准確控制。對於智能駕駛、車聯網、智慧交通、工業控制、遠程手術、無人駕駛、VR游戲等新興業務來說,需要精確控制端到端時延和抖動,傳統乙太網已難以滿足需求。因此,建立新一代網路,提供「准時、准確」數據傳輸服務,實現確定時延、確定抖動、確定丟包率能力,成為當務之急。這即是CENI核心技術之一——確定性網路技術,提供差異性SLA和可承諾的確定性服務質量。
確定性網路技術並非單一技術,而是一系列協議和機制的集合。通過網路切片、顯性路由、資源預留、時鍾/頻率同步、周期映射、門控優先順序隊列調度、幀搶占、流量過濾和整形、多發選收等技術,分別保障確定性帶寬、低時延、低抖動、高可靠等QoS指標。簡單來說,它既兼容了乙太網這條大馬路,又借鑒了工業網路里全網同步、時隙規劃、控制發包/邊緣的思想,從而達到定點發車,長距傳輸,定長停靠,時延可預期的效果。
CENI提供從「大概率保證服務質量」到「確定性地提供轉發」的能力,為工業企業提供低時延、低抖動、高可靠網路接入服務,更能滿足產業互聯網及工業互聯網對網路性能的苛刻要求。
在確定性網路技術方面,國家正大力發展工業互聯網新基建,致力於實現工業環境下的人、機、物全面互聯,網路作為底層基礎設施成為垂直行業數字化轉型的關鍵需求。面向工業、能源、車聯網等垂直領域,確定性網路技術能夠提供確定性服務,尤其在工業互聯網領域,其應用前景極為廣闊。
依託自研的確定性網路技術,CENI已建成並運行覆蓋山東16市、5600公里的確定性網路。經中國信息通信研究院測試,該網路核心節點時延抖動控制在0.02毫秒以內,主要性能指標達到國際領先水平。實際應用中,CENI能實現遠程操縱數百公里外醫院的手術機器人,完成對患者病灶的精準切除;在礦山開采中,輕松遠程遙控操縱礦車進行開采運輸作業;為智能化煤礦鋪就「高速公路網」,提高煤礦開采數據可視化、開采過程透明化、開采設備智能化……
未來網路將深化應用探索,持續攻克融合發展壁壘,以滿足智能化更高的服務需求,助力網路強國和製造強國建設邁上新台階。在不遠的將來,隨著確定性網路技術的成熟,只需要幾分鍾的配置時間,即可擁有一條從北京到南京、穩定可靠的、端到端時延10ms的超級高鐵線路。
② 計算機網路設計教程(第二版)習題解答陳明
網路工程需求分析完成後,應形成網路工程需求分析報告書,與用戶交流、修改,並通過用戶方組織的評審。網路工程設計方要根據評審意見,形成可操作和可行性的階段網路工程需求分析報告。有了網路工程需求分析報告,網路系統方案設計階段就會「水到渠成」。網路工程設計階段包括確定網路工程目標與方案設計原則、通信平台規劃與設計、資源平台規劃與設計、網路通信設備選型、網路伺服器與操作系統選型、綜合布線網路選型和網路安全設計等內容。
2.1
網路工程目標和設計原則
1.網路工程目標
一般情況下,對網路工程目標要進行總體規劃,分步實施。在制定網路工程總目標時應確定採用的網路技術、工程標准、網路規模、網路系統功能結構、網路應用目的和范圍。然後,對總體目標進行分解,明確各分期工程的具體目標、網路建設內容、所需工程費用、時間和進度計劃等。
對於網路工程應根據工程的種類和目標大小不同,先對網路工程有一個整體規劃,然後在確定總體目標,並對目標採用分步實施的策略。一般我們可以將工程分為三步。
1)
建設計算機網路環境平台。
2) 擴大計算機網路環境平台。
3)
進行高層次網路建設。
2.網路工程設計原則
網路信息工程建設目標關繫到現在和今後的幾年內用戶方網路信息化水平和網上應用系統的成敗。在工程設計前對主要設計原則進行選擇和平衡,並排定其在方案設計中的優先順序,對網路工程設計和實施將具有指導意義。
1)
實用、好用與夠用性原則
計算機與外設、伺服器和網路通信等設備在技術性能逐步提升的同時,其價格卻在逐年或逐季下降,不可能也沒必要實現所謂「一步到位」。所以,網路方案設計中應採用成熟可靠的技術和設備,充分體現「夠用」、「好用」、「實用」建網原則,切不可用「今天」的錢,買「明、後天」才可用得上的設備。
2)
開放性原則
網路系統應採用開放的標准和技術,資源系統建設要採用國家標准,有些還要遵循國際標准(如:財務管理系統、電子商務系統)。其目的包括兩個方面:第一,有利於網路工程系統的後期擴充;第二,有利於與外部網路互連互通,切不可「閉門造車」形成信息化孤島。
3)
可靠性原則
無論是企業還是事業,也無論網路規模大小,網路系統的可靠性是一個工程的生命線。比如,一個網路系統中的關鍵設備和應用系統,偶爾出現的死鎖,對於政府、教育、企業、稅務、證券、金融、鐵路、民航等行業產生的將是災難性的事故。因此,應確保網路系統很高的平均無故障時間和盡可能低的平均無故障率。
4)
安全性原則
網路的安全主要是指網路系統防病毒、防黑客等破壞系統、數據可用性、一致性、高效性、可信賴性及可靠性等安全問題。為了網路系統安全,在方案設計時,應考慮用戶方在網路安全方面可投入的資金,建議用戶方選用網路防火牆、網路防殺毒系統等網路安全設施;網路信息中心對外的伺服器要與對內的伺服器隔離。
5)
先進性原則
網路系統應採用國際先進、主流、成熟的技術。比如,區域網可採用千兆乙太網和全交換乙太網技術。視網路規模的大小(比如網路中連接機器的台數在250台以上時),選用多層交換技術,支持多層幹道傳輸、生成樹等協議。
6)
易用性原則
網路系統的硬體設備和軟體程序應易於安裝、管理和維護。各種主要網路設備,比如核心交換機、匯聚交換機、接入交換機、伺服器、大功率長延時UPS等設備均要支持流行的網管系統,以方便用戶管理、配置網路系統。
7)
可擴展性原則
網路總體設計不僅要考慮到近期目標,也要為網路的進一步發展留有擴展的餘地,因此要選用主流產品和技術。若有可能,最好選用同一品牌的產品,或兼容性好的產品。在一個系統中切不可選用技術和性能不兼容的產品。比如,對於多層交換網路,若要選用兩種品牌交換機,一定要注意他們的VLAN幹道傳輸、生成樹等協議是否兼容,是否可「無縫」連接。這些問題解決了,可擴展性自然是「水到渠成」。
2.2
網路通信平台設計
1.網路拓撲結構
網路的拓撲結構主要是指園區網路的物理拓撲結構,因為如今的區域網技術首選的是交換乙太網技術。採用乙太網交換機,從物理連接看拓撲結構可以是星型、擴展星型或樹型等結構,從邏輯連接看拓撲結構只能是匯流排結構。對於大中型網路考慮鏈路傳輸的可靠性,可採用冗餘結構。確立網路的物理拓撲結構是整個網路方案規劃的基礎,物理拓撲結構的選擇往往和地理環境分布、傳輸介質與距離、網路傳輸可靠性等因素緊密相關。選擇拓撲結構時,應該考慮的主要因素有以下幾點。
1)
地理環境:不同的地理環境需要設計不同的物理網路拓撲,不同的網路物理拓撲設計施工安裝工程的費用也不同。一般情況下,網路物理拓撲最好選用星型結構,以便於網路通信設備的管理和維護。
2)
傳輸介質與距離:在設計網路時,考慮到傳輸介質、距離的遠近和可用於網路通信平台的經費投入,網路拓撲結構必須具有在傳輸介質、通信距離、可投入經費等三者之間權衡。建築樓之間互連應採用多模或單模光纜。如果兩建築樓間距小於90m,也可以用超五類屏蔽雙絞線,但要考慮屏蔽雙絞線兩端接地問題。
3)
可靠性:網路設備損壞、光纜被挖斷、連接器松動等這類故障是有可能發生的,網路拓撲結構設計應避免因個別結點損壞而影響整個網路的正常運行。若經費允許,網路拓撲結構的核心層和匯聚層,最好採用全冗餘連接,如圖6-1所示。
網路拓撲結構的規劃設計與網路規模息息相關。一個規模較小的星型區域網沒有匯聚層、接入層之分。規模較大的網路通常為多星型分層拓撲結構,如圖6-1所示。主幹網路稱為核心層,用以連接伺服器、建築群到網路中心,或在一個較大型建築物內連接多個交換機配線間到網路中心設備間。連接信息點的「毛細血管」線路及網路設備稱為接入層,根據需要在中間設置匯聚層。
圖6-1
網路全冗餘連接星型拓撲結構圖
分層設計有助於分配和規劃帶寬,有利於信息流量的局部化,也就是說全局網路對某個部門的信息訪問的需求根少(比如:財務部門的信息,只能在本部門內授權訪問),這種情況下部門業務伺服器即可放在匯聚層。這樣局部的信息流量傳輸不會波及到全網。
2.主幹網路(核心層)設計
主幹網技術的選擇,要根據以上需求分析中用戶方網路規模大小、網上傳輸信息的種類和用戶方可投入的資金等因素來考慮。一般而言,主幹網用來連接建築群和伺服器群,可能會容納網路上50%~80%的信息流,是網路大動脈。連接建築群的主幹網一般以光纜做傳輸介質,典型的主幹網技術主要有100Mbps-FX乙太網、l
000Mbps乙太網、ATM等。從易用性、先進性和可擴展性的角度考慮,採用百兆、千兆乙太網是目前區域網構建的流行做法。
3.匯聚層和接入層設計
匯聚層的存在與否,取決於網路規模的大小。當建築樓內信息點較多(比如大於22個點)超出一台交換機的埠密度,而不得不增加交換機擴充埠時,就需要有匯聚交換機。交換機間如果採用級連方式,則將一組固定埠交換機上聯到一台背板帶寬和性能較好的匯聚交換機上,再由匯聚交換機上聯到主幹網的核心交換機。如果採用多台交換機堆疊方式擴充埠密度,其中一台交換機上聯,則網路中就只有接入層。
接入層即直接信息點,通過此信息點將網路資源設備(PC:等)接入網路。匯聚層採用級連還是堆疊,要看網路信息點的分布情況。如果信息點分布均在距交換機為中心的50m半徑內,且信息點數已超過一台或兩台交換機的容量,則應採用交換機堆疊結構。堆疊能夠有充足的帶寬保證,適宜匯聚(樓宇內)信息點密集的情況。交換機級連則適用於樓宇內信息點分散,其配線間不能覆蓋全樓的信息點,增加匯聚層的同時也會使工程成本提高。
匯聚層、接入層一般採用l00Base-Tx快速變換式乙太網,採用10/100Mbps自適應交換到桌面,傳輸介質是超五類或五類雙絞線。Cisco
Catalyst
3500/4000系列交換機就是專門針對中等密度匯聚層而設計的。接入層交換機可選擇的產品根多,但要根據應用需求,可選擇支持l~2個光埠模塊,支持堆疊的接入層變換機。
4.廣域網連接與遠程訪問設計
由於布線系統費用和實現上的限制,對於零散的遠程用戶接入,利用PSTN電話網路進行遠程撥號訪問幾乎是惟一經濟、方便的選擇。遠程撥號訪問需要設計遠程訪問伺服器和Modem設備,並申請一組中繼線。由於撥號訪問是整個網路中惟一的窄帶設備,這一部分在未來的網路中可能會逐步減少使用。遠程訪問伺服器(RAS)和Modem組的埠數目一一對應,一般按一個埠支持20個用戶計算來配置。
廣域網連接是指園區網路對外的連接通道.一般採用路由器連接外部網路。根據網路規模的大小、網路用戶的數量,來選擇對外連接通道的帶寬。如果網路用戶沒有www、E-mail等具有internet功能的伺服器,用戶可以採用ISDN或ADSL等技術連接外網。如果用戶有WWW、E-mail等具有internet功能的伺服器,用戶可採用DDN(或E1)專線連接、ATM交換及永久虛電路連接外網。其連接帶寬可根據內外信息流的大小選擇,比如上網並發用戶數在150~250之問,可以租用2Mbps線路,通過同步口連接Internet。如果用戶與網路接入運營商在同一個城市,也可以採用光纖10Mbps/100Mbps的速率連接Internet。外部線路租用費用一般與帶寬成正比,速度越快費用越高。網路工程設計方和用戶方必須清楚的一點就是,能給用戶方提供多大的連接外網的帶寬受兩個因素的制約,一是用戶方租用外連線路的速率,二是用戶方共享運營商連接Internet的速率。
5.無線網路設計
無線網路的出現就是為了解決有線網路無法克服的困難。無線網路首先適用於很難布線的地方(比如受保護的建築物、機場等)或者經常需要變動布線結構的地方(如展覽館等)。學校也是一個很重要的應用領域,一個無線網路系統可以使教師、學生在校園內的任何地方接入網路。另外,因為無線網路支持十幾公里的區域,因此對於城市范圍的網路接入也能適用,可以設想一個採用無線網路的ISP可以為一個城市的任何角落提供高達10Mbps的互聯網接入。
6.網路通信設備選型
1)
網路通信設備選型原則
2)
核心交換機選型策略
3)
匯聚層/接入層交換機選型策略
4)
遠程接入與訪問設備選型策略
2.3
網路資源平台設計
1.伺服器
2.伺服器子網連接方案
3.網路應用系統
2.4
網路操作系統與伺服器配置
1.網路操作系統選型
目前,網路操作系統產品較多,為網路應用提供了良好的可選擇性。操作系統對網路建設的成敗至天重要,要依據具體的應用選擇操作系統。一般情況下,網路系統集成方在網路工程項目中要完成基礎應用平台以下三層(網路層、數據鏈路層、物理層)的建構。選擇什麼操作系統,也要看網路系統集成方的工程師以及用戶方系統管理員的技術水平和對網路操作系統的使用經驗而定。如果在工程實施中選一些大家都比較生疏的伺服器和操作系統,有可能使工期延長,不可預見性費用加大,可能還要請外援做系統培訓,維護的難度和費用也要增加。
網路操作系統分為兩個大類:即面向IA架構PC伺服器的操作系統族和UNIX操作系統家族。UNIX伺服器品質較高、價格昂貴、裝機量少而且可選擇性也不高,一般根據應用系統平台的實際需求,估計好費用,瞄準某一兩家產品去准備即可。與UNIX伺服器相比,Windows
2000 Advanced Server伺服器品牌和產品型號可謂「鋪天蓋地」,
一般在中小型網路中普遍採用。
同一個網路系統中不需要採用同一種網路操作系統,選擇中可結合Windows 2000 Advanced
Server、Linux和UNIX的特點,在網路中混合使用。通常WWW、OA及管理信息系統伺服器上可採用Windows 2000 Advanced
Server平台,E-mail、DNS、Proxy等Internet應用可使用Linux/UNIX,這樣,既可以享受到Windows 2000 Advanced
Server應用豐富、界面直觀、使用方便的優點,又可以享受到Linux/UNIX穩定、高效的好處。
2.Windows 2000 Server
伺服器配置
首先,應根據需求階段的調研成果,比如網路規模、客戶數量流量、資料庫規模、所使用的應用軟體的特殊要求等,決定Windows 2000
Advanced Server伺服器的檔次、配置。例如,伺服器若是用於部門的文件列印服務,那麼普通單處理器Windows 2000Advanced
Server伺服器就可以應付自如;如果是用於小型資料庫伺服器,那麼伺服器上至少要有256MB的內存:作為小型資料庫伺服器或者E-mail、Internet伺服器,內存要達到512MB,而且要使用ECC內存。對於中小型企業來說,一般的網路要求是有數十個至數百個用戶,使用的資料庫規模不大,此時選擇部門級伺服器。1路至2路CPU、512-1024MB
ECC內存、三個36GB(RAID5)或者五個36GB硬碟(RAID5)可以充分滿足網路需求。如果希望以後擴充的餘地大一些,或者伺服器還要做OA伺服器、MIS伺服器,網路規模比較大,用戶數據量大,那麼最好選擇企業級伺服器,即4路或8路SMP結構,帶有熱插拔RAID磁碟陣列、冗餘風扇和冗餘電源的系統。
其次,選擇Windows
2000 Advanced Server伺服器時,對伺服器上幾個關鍵部分的選取一定要把好關。因為Windows 2000 Advanced
Server雖然是兼容性相對不錯的操作系統,但兼容並不保證100%可用。Windows 2000 Advanced
Server伺服器的內存必須是支持ECC的,如果使用非ECC的內存,SQL資料庫等應用就很難保證穩定、正常地運行。Windows 2000 Advanced
server伺服器的主要部件(如主板、網卡)一定要是通過了微軟Windows 2000 Advanced Server認證的。只有通過了微軟Windows
2000 Advanced Server部件認證的產品才能保證其在Windows 2000 Advanced
Server下的100%可用性。另外,就是伺服器的電源是否可靠,因為伺服器不可能是跑幾天歇一歇的。
第三,在升級已有的windows 2000
Advanced Server伺服器時.則要仔細分析原有網路伺服器的瓶頸所在,此時可簡單利用Windows 2000 Advanced
Server系統中集成的軟體工具,比如Windows 2000 Advanced
Server系統性能監視器等。查看系統的運行狀況,分析系統各部分資源的使用情況。一般來說,可供參考的Windows 2000 Advanced
Server伺服器系統升級順序是擴充伺服器內存容量、升級伺服器處理器、增加系統的處理器數目。之所以這樣是因為,對於Windows 2000 Advanced
Server伺服器上的典型應用(如SQL資料庫、OA伺服器)來說,這些服務佔用的系統主要資源開銷是內存開銷,對處理器的資源開銷要求並小多,通過擴充伺服器內存容量提高系統的可用內存資源,將大大提高伺服器的性能。反過來,由於多處理器系統其本身佔用的系統資源開銷大大高於單處理器的佔用。所以相對來說,增加系統處理器的升級方案,其性價比要比擴充內存容量方案差。因此,要根據網路應用系統實際情況來確定增加伺服器處理器的數目,比如網路應用伺服器要處理大量的並發訪問、復雜的演算法、大量的數學模型等。
3.伺服器群的綜合配置與均衡
我們所謂的PC伺服器、UNIX伺服器、小型機伺服器,其概念主要限於物理伺服器(硬體)范疇。在網路資源存儲、應用系統集成中。通常將伺服器硬體上安裝各類應用系統的伺服器系統冠以相應的應用系統的名字,如資料庫伺服器、Web伺服器、E-mail伺服器等,其概念屬於邏輯伺服器(軟體)范疇。根據網路規模、用戶數量和應用密度的需要,有時一台伺服器硬體專門運行一種服務,有時一台伺服器硬體需安裝兩種以上的服務程序,有時兩台以上的伺服器需安裝和運行同一種服務系統。也就是說,伺服器與其在網路中的職能並不是一一對麻的。網路規模小到只用l至2台伺服器的區域網,大到可達十幾台至數十台的企業網和校園網,如何根據應用需求、費用承受能力、伺服器性能和不同服務程序之間對硬體佔用特點、合理搭配和規劃伺服器配製,最大限度地提高效率和性能的基礎上降低成本,是系統集成方要考慮的問題。
有關伺服器應用配置與均衡的建議如下。
1)
中小型網路伺服器應用配置
2)
中型網路伺服器應用配置
3)
大中型網路或ISP/ICP的伺服器群配置
2.5
網路安全設計
網路安全體系設計的重點在於根據安全設計的基本原則,制定出網路各層次的安全策略和措施,然後確定出選用什麼樣的網路安全系統產品。
1.網路安全設計原則
盡管沒有絕對安全的網路,但是,如果在網路方案設計之初就遵從一些安全原則,那麼網路系統的安全就會有保障。設計時如不全面考慮,消極地將安全和保密措施寄託在網管階段,這種事後「打補丁」的思路是相當危險的。從工程技術角度出發,在設計網路方案時,應該遵守以下原則。
1)
網路安全前期防範
強調對信息系統全面地進行安全保護。大家都知道「木桶的最大容積取決於最短的一塊木板」,此道理對網路安全來說也是有效的。網路信息系統是一個復雜的計算機系統,它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性,尤其是多用戶網路系統自身的復雜性、資源共享性,使單純的技術保護防不勝防。攻擊者使用的是「最易滲透性」,自然在系統中最薄弱的地方進行攻擊。因此,充分、全面、完整地對系統的安全漏洞和安全威脅進行分析、評估和檢測(包括模擬攻擊),是設計網路安全系統的必要前提條件。
2)
網路安全在線保護
強調安全防護、監測和應急恢復。要求在網路發生被攻擊、破壞的情況下,必須盡可能快地恢復網路信息系統的服務。減少損失。所以,網路安全系統應該包括3種機制:安全防護機制、安全監測機制、安全恢復機制。安全防護機制是根據具體系統存在的各種安全漏洞和安全威脅採取的相應防護措施,避免非法攻擊的進行:安全監測機制是監測系統的運行,及時發現和制止對系統進行的各種攻擊;安全恢復機制是在安全防護機制失效的情況下,進行應急處理和及時地恢復信息,減少攻擊的破壞程度。
3)
網路安全有效性與實用性
網路安全應以不能影響系統的正常運行和合法用戶方的操作活動為前提。網路中的信息安全和信息應用是一對矛盾。一方面,為健全和彌補系統缺陷的漏洞,會採取多種技術手段和管理措施:另一方面,勢必給系統的運行和用戶方的使用造成負擔和麻煩,「越安全就意味著使用越不方便」。尤其在網路環境下,實時性要求很高的業務不能容忍安全連接和安全處理造成的時延。網路安全採用分布式監控、集中式管理。
4)
網路安全等級劃分與管理
良好的網路安全系統必然是分為不同級別的,包括對信息保密程度分級(絕密、機密、秘密、普密),對用戶操作許可權分級(面向個人及面向群組),對網路安全程度分級(安全子網和安全區域),對系統結構層分級(應用層、網路層、鏈路層等)的安全策略。針對不同級別的安全對象,提供全面的、可選的安全演算法和安全體制,以滿足網路中不同層次的各種實際需求。
網路總體設計時要考慮安全系統的設計。避免因考慮不周,出了問題之後「拆東牆補西牆」的做法。避免造成經濟上的巨大損失,避免對國家、集體和個人造成無法挽回的損失。由於安全與保密問題是一個相當復雜的問題。因此必須注重網路安全管理。要安全策略到設備、安全責任到人、安全機制貫穿整個網路系統,這樣才能保證網路的安全性。
5)
網路安全經濟實用
網路系統的設計是受經費限制的。因此在考慮安全問題解決方案時必須考慮性能價格的平衡,而且不同的網路系統所要求的安全側重點各不相同。一般園區網路要具有身份認證、網路行為審計、網路容錯、防黑客、防病毒等功能。網路安全產品實用、好用、夠用即可。
2.網路信息安全設計與實施步驟
第一步、確定面臨的各種攻擊和風險。
第二步、確定安全策略。
安全策略是網路安全系統設計的目標和原則,是對應用系統完整的安全解決方案。安全策略的制定要綜合以下幾方面的情況。
(1)
系統整體安全性,由應用環境和用戶方需求決定,包括各個安全機制的子系統的安全目標和性能指標。
(2)
對原系統的運行造成的負荷和影響(如網路通信時延、數據擴展等)。
(3) 便於網路管理人員進行控制、管理和配置。
(4)
可擴展的編程介面,便於更新和升級。
(5) 用戶方界面的友好性和使用方便性。
(6)
投資總額和工程時間等。
第三步、建立安全模型。
模型的建立可以使復雜的問題簡化,更好地解決和安全策略有關的問題。安全模型包括網路安全系統的各個子系統。網路安全系統的設計和實現可以分為安全體制、網路安全連接和網路安全傳輸三部分。
(1)
安全體制:包括安全演算法庫、安全信息庫和用戶方介面界面。
(2) 網路安全連接:包括安全協議和網路通信介面模塊。
(3)
網路安全傳輸:包括網路安全管理系統、網路安全支撐系統和網路安全傳輸系統。
第四步、選擇並實現安全服務。
(1)
物理層的安爭:物理層信息安全主要防止物理通路的損壞、物理通路的竊聽和對物理通路的攻擊(干擾等)。
(2)
鏈路層的安全:鏈路層的網路安全需要保證通過網路鏈路傳送的數據不被竊聽。主要採用劃分VLAN(區域網)、加密通信(遠程網)等手段。
(3)網路層的安全:網路層的安全需要保證網路只給授權的客戶使用授權的服務,保證網路傳輸正確,避免被攔截或監聽。
(4)
操作系統的安全:操作系統安全要求保證客戶資料、操作系統訪問控制的安令,同時能夠對該操作系統上的應用進行審計。
(5)
應用平台的安全:應用平台指建立在網路系統之上的應用軟體服務,如資料庫伺服器,電子郵件伺服器,Web伺服器等。由於應用平台的系統非常復雜,通常採用多種技術(如SSL等)來增強應用平台的安全性。
(6)
應用系統的安全:應用系統是為用戶提供服務,應用系統的安全與系統設計和實現關系密切。應用系統使用應用平台提供的安全服務來保證基本安全,如通信內容安全、通信雙方的認證和審計等手段。
第五步、安全產品的選型
網路安全產品主要包括防火牆、用戶身份認證、網路防病系統統等。安全產品的選型工作要嚴格按照企業(學校)信息與網路系統安全產品的功能規范要求,利用綜合的技術手段,對產品功能、性能與可用性等方面進行測試,為企業、學校選出符合功能要求的安全產品。
一個完整的設計方案,應包括以下基本內容:
1.設計總說明
對系統工程起動的背景進行簡要的說明:主要包括:
(1)
技術的普及與應用
(2)
業主發展的需要(對需求分析書進行概括)
2.設計總則
在這一部分闡述整個系統設計的總體原則。主要包括:
(1)
系統設計思想
(2) 總體目標
(3)
所遵循的標准
3.技術方案設計
對所採用的技術進行詳細說明,給出全面的技術方案。主要包括:
(1) 整體設計概要
(2)
設計思想與設計原則
(3) 綜合布線系統設計
(4) 網路系統設計
(5) 網路應用系統平台設計
(6)
伺服器系統安全策略
4.預算
對整個系統項目進行預算。主要內容包括:列出整個系統的設備、材料用量表及費用;成本分析;以綜合單價法給出整個系統的預算表。
5.項目實施管理
對整個項目的實施進行管理控制的方法。主要包括:
(1)
項目實施組織構架及管理
(2) 獎懲體系
(3) 施工方案
(4) 技術措施方案
(5) 項目進度計劃
③ 全國計算機等級考試三級網路技術知識點
全國計算機等級考試三級網路技術知識點
Internet的應用范圍由最早的軍事、國防,擴展到美國國內的學術機構,進而迅速覆蓋了全球的各個領域,運營性質也由科研、教育為主逐漸轉向商業化。以下是我整理的全國計算機等級考試三級網路技術知識點,希望大家認真閱讀!
第一章:網路系統統結構與設計的基本原則
計算機網路按地理范圍劃分為區域網,城域網,廣域網;
區域網提高數據傳輸速率 10mbps-10gbps,低誤碼率的高質量傳輸環境
區域網按介質訪問控制方法角度分為共享介質式區域網和交換式區域網
區域網按傳輸介質類型角度分為有線介質區域網和無線介質
區域網早期的計算機網路主要是廣域網,分為主計算機與終端(負責數據處理)和通信處理設備與通信電路(負責數據通信處理)
計算機網路從邏輯功能上分為資源子網和通信子網
資源子網(計算機系統,終端,外網設備以及軟體信息資源): 負責全網數據處理業務,提供網路資源與服務
通信子網(通信處理控制機—即網路節點,通信線路及其他通信設備):負責網路數據傳輸,轉發等通信處理任務 網路接入(區域網,無線區域網,無線城域網,電話交換網,有線電視網)
廣域網投資大管理困難,由電信運營商組建維護,廣域網技術主要研究的是遠距離,高服務質量的寬頻核心交換技術,用戶接入技術由城域網承擔。
廣域網典型網路類型和技術:(公共電話交換網PSTN,綜合業務數字網ISDN,數字數據網DDN,x.25 分組交換網,幀中繼網,非同步傳輸網,GE千兆乙太網和10GE光乙太網)
交換區域網的核心設備是區域網交換機
城域網概念:網路運營商在城市范圍內提供各種信息服務,以寬頻光傳輸網路為開放平台,以 TCPIP 協議為基礎 密集波分復用技術的推廣導致廣域網主幹線路帶寬擴展
城域網分為核心交換層(高速數據交換),邊緣匯聚層(路由與流量匯聚),用戶接入層(用戶接入和本地流量控制)
層次結構優點:層次定位清楚,介面開放,標准規范,便於組建管理
核心層基本功能:(設計重點:可靠性,可擴展性,開放性) 連接匯聚層,為其提供高速分組轉發,提供高速安全 QoS 保障的傳輸環境; 實現主幹網路互聯,提供城市的寬頻 IP 數據出口;提供用戶訪問 INTERNET 需要的路由服務;
匯聚層基本功能: 匯聚接入層用戶流量,數據分組傳輸的匯聚,轉發與交換;本地路由過濾流量均衡,QoS 優先管理,安全控制,IP 地址轉換,流量整形; 把流量轉發到核心層或本地路由處理;
組建運營寬頻城域網原則:可運營性,可管理性,可盈利性,可擴展性
管理和運營寬頻城域網關鍵技術:帶寬管理,服務質量 QoS,網路管理,用戶管理,多業務接入,統計與計費,IP 地址分配與地址轉換,網路安全
寬頻城域網在組建方案中一定要按照電信級運營要求(考慮設備冗餘,線路冗餘以及系統故障的快速診斷與自我恢復)
服務質量 QoS 技術:資源預留,區分服務,多協議標記轉換
管理帶寬城域網 3 種基本方案:帶內網路管理,帶外網路管理,同時使用帶內帶外網路管理 帶內:利用傳統電信網路進行網路管理,利用數據通信網或公共交換電話網撥號,對網路設備進行數據配置。
帶外:利用 IP 網路及協議進行網路管理,利用網路管理協議建立網路管理系統。對匯聚層及其以上設備採用帶外管理,匯聚層一下採用帶內管理
寬頻城域網要求的管理能力表現在電信級的接入管理,業務管理,網路安全
網路安全技術方面需要解決物理安全,網路安全和信息安全。
寬頻城域網基本技術與方案(SDH 城域網方案;10GE 城域網方案,基於 ATM 城域網方案)
光乙太網由多種實現形式,最重要的有 10GE 技術和彈性分組環技術
彈性分組環(RPR):直接在光纖上高效傳輸 IP 分組的傳輸技術 標准:IEEE802.17
目前城域網主要拓撲結構:環形結構;核心層有 3—10 個結點的城域網使用環形結構可以簡化光纖配置功能:簡化光纖配置;解決網路保護機制與帶寬共享問題;提供點到多點業務
彈性分組環採用雙環結構;RPR 結點最大長度 100km,順時針為外環,逆時針為內環
RPR 技術特點:(帶寬利用率高;公平性好;快速保護和恢復能力強;保證服務 質量)
用戶接入網主要有三類:計算機網路,電信通信網,廣播電視網
接入網接入方式主要為五類:地面有線通信系統,無線通信和移動通信網,衛星通信網,有線電視網和地面廣播電視網
三網融合:計算機網路,電信通信網,電視通信網
用戶接入角度:接入技術(有線和無線),接入方式(家庭接入,校園接入,機關與企業人)
目前寬頻接入技術: 數字用戶線 XDSL 技術
光纖同軸電纜混合網 HFC 技術
光纖接入技術,
無線接入技術,
區域網技術
無線接入分為無線區域網接入,無線城域網接入,無線 Ad hoc 接入
區域網標准:802.3 無線區域網接入:802.11無線城域網:802.16
數字用戶線 XDSL 又叫 數字用戶環路 ,基於電話銅雙絞線高速傳輸技術 技術分類:
ADSL 非對稱數字用戶線速率不對稱1.5mbps/64kbps-5.5km
RADSL 速率自適應數字用戶線 速率不對稱1.5mbps/64kbps-5.5km
HDSL 高比特率數字用戶線速率對稱 1.544mbps(沒有距離影響)
VDSL 甚高比特率數字用戶線 速率不對 51mbps/64kbps(沒有影響)
光纖同軸混合網 HFC 是新一代有線電視網
電話撥號上網速度 33.6kbps—56.6kbps
有線電視接入寬頻,數據傳輸速率 10mbps—36mbps
電纜數據機 Cable modem 專門為利用有線電視網進行數據傳輸而設計
上行信道:200kbps-10mbps下行信道: 36mbps 類型:
傳輸方式(雙向對稱傳輸和非對稱式傳輸)
數據傳輸方向(單向,雙向) 同步方式(同步和非同步交換)
接入角度(個人 modem 和寬頻多用戶 modem)
介面角度(外置式,內置式和互動式機頂盒)
無源光網路技術(APON)優點 系統穩定可靠 可以適應不同帶寬,傳輸質量的要求
與 CATV 相比,每個用戶可佔用獨立帶寬不會發生擁塞 接入距離可達 20km—30km
802.11b 定義直序擴頻技術,速率為 1mbps 2mbps 5.5mbps 11mbps 802.11a 提高到 54mbps
第二章 :網路系統總體規劃與設計方法
網路運行環境主要包括機房和電源
機房是放置核心路由器,交換機,伺服器等核心設備 UPS 系統供電:穩壓,備用電源,供電電壓智能管理
網路操作系統:NT,2000,NETWARE,UNIX,LINUX
網路應用軟體開發與運行環境:網路資料庫管理系統與網路軟體開發工具
網路資料庫管理系統:Oracle,Sybase,SOL,DB2
網路應用系統:電子商務系統,電子政務系統,遠程教育系統,企業管理系統, 校園信息服務系統,部門財務管理系統
網路需求調研和系統設計基本原則:共 5 點
制定項目建設任務書後,確定網路信息系統建設任務後,項目承擔單位首要任務是網路用戶調查和網路工程需求分析 需求分析是設計建設與運行網路系統的關鍵
網路結點地理位置分布情況:(用戶數量及分布的位置;建築物內部結構情況調查;建築物群情況調查)
網路需求詳細分析:(網路總體需求設計;結構化布線需求設計;網路可用性與 可靠性分析;網路安全性需求分析;網路工程造價分析)
結點 2-250可不設計接入層和匯聚層
結點 100-500 可不設計接入層
結點 250-5000 一般需要 3 層結構設計
核心層網路一般承擔整個網路流量的 40%-60%
標准 GE 10GE 層次之間上聯帶寬:下聯帶寬一般控制在 1:20
10 個交換機,每個有 24 個介面,介面標準是 10/100mbps:那麼上聯帶寬是24*100*10/20 大概是 2gbps
高端路由器(背板大於 40gbps)高端核心路由器:支持 mpls 中端路由器(背板小於 40gbps)
企業級路由器支持 IPX,VINES,
QoS VPN 低端路由器(背板小於 40gbps)支持 ADSL PPP
路由器關鍵技術指標:
1:吞吐量(包轉發能力)
2:背板能力(決定吞吐量)背板:router 輸入端和輸出端的物理通道 傳統路由採用共享背板結構,高性能路由採用交換式結構
3:丟包率(衡量 router 超負荷工作性能)
4:延時與延時抖動(第一個比特進入路由到該幀最後一個離開路由的時間) 高速路由要求 1518B 的 IP 包,延時小於 1ms
5:突發處理能力
6:路由表容量(INTERNET 要求執行 BGP 協議的路由要存儲十萬路由表項,高 速路由應至少支持 25 萬)
7:服務質量 8:網管能力
9:可靠性與可用性
路由器冗餘:介面冗餘,電源冗餘,系統板冗餘,時鍾板冗餘,整機設備冗餘
熱撥插是為了保證路由器的可用性
高端路由可靠性:
(1) 無故障連續工作時間大於 10 萬小時
(2) 系統故障恢復時間小於 30 分鍾
(3) 主備切換時間小於 50 毫秒
(4) SDH 和 ATM 介面自動保護切換時間小於 50 毫秒
(5) 部件有熱拔插備份,線路備份,遠程測試診斷
(6) 路由系統內不存在單故障點
交換機分類:從技術類型(10mbps Ethernet 交換機;fast Ethernet 交換機;1gbps 的 GE 交換機)從內部結構(固定埠交換機;模塊化交換機—又叫機架式交換 機)
500 個結點以上選取企業級交換機
300 個結點以下選取部門級交換機
100 個結點以下選取工作組級交換機
交換機技術指標:
(1) 背板帶寬(輸入端和輸出端得物理通道)(2) 全雙工埠帶寬(計算:埠數*埠速率*2)
(3) 幀轉發速率(4) 機箱式交換機的擴張能力
(5) 支持 VLAN 能力(基於 MAC 地址,埠,IP 劃分) 緩沖區協調不同埠之間的速率匹配
網路伺服器類型(文件伺服器;資料庫伺服器;Internet 通用伺服器;應用服務 器)
虛擬盤體分為(專用盤體,公用盤體與共享盤體)
共享硬碟服務系統缺點:dos 命令建立目錄;自己維護;不方便系統效率低,安 全性差
客戶/伺服器 工作模式採用兩層結構:第一層在客戶結點計算機 第二層在數據 庫伺服器上
Internet 通用伺服器包括(DNS 伺服器,E-mail 伺服器,FTP 伺服器,WWW 服 務器,遠程通信伺服器,代理伺服器)
基於復雜指令集 CISC 處理器的 Intel 結構的伺服器: 優點:通用性好,配置簡單,性能價格比高,第三方軟體支持豐富,系統維護方 便 缺點:CPU 處理能力與系統 I/O 能力較差(不適合作為高並發應用和大型服 務器)
基於精簡指令集 RISC 結構處理器的伺服器與相應 PC 機比:CPU 處理能力提高
50%-75%(大型,中型計算機和超級伺服器都採用 RISC 結構處理器,操作系統 採用 UNIX)
因此採用 RISC 結構處理器的伺服器稱 UNIX 伺服器
按網路應用規模劃分網路伺服器
(1) 基礎級伺服器 1 個 CPU(2) 工作組伺服器 1-2 個 CPU(3) 部門級伺服器 2-4 個 CPU
(4) 企業級伺服器 4-8 個 CPU
伺服器採用相關技術
(1) 對稱多處理技術 SMP (多 CPU 伺服器的負荷均衡)
(2) 集群 Cluster(把一組計算機組成共享數據存儲空間)
(3) 非一致內存訪問(NUMA)(結合 SMP Cluster 用於多達 64 個或更多 CPU的'伺服器)
(4) 高性能存儲與智能 I/O 技術(取決存取 I/O 速度和磁碟容量)
(5) 服務處理器與 INTEL 伺服器控制技術
(6) 應急管理埠
(7) 熱撥插技術 網路伺服器性能
(1) 運算處理能力
CPU 內核:執行指令和處理數據
一級緩存:為 CPU 直接提供計算機所需要的指令與數據 二級緩存:用於存儲控制器,存儲器,緩存檢索表數據 後端匯流排:連接 CPU 內核和二級緩存
前端匯流排:互聯 CPU 與主機晶元組
CPU50%定律:cpu1 比 cpu2 伺服器性能提高(M2-M1)/M1*50% M 為主頻
(2) 磁碟存儲能力(磁碟性能參數:主軸轉速;內部傳輸率,單碟容量,平均 巡道時間;緩存)
(3) 系統高可用性99.9%---------------每年停機時間小於等於 8.8 小時
99.99%-------------每年停機時間小於等於 53 分鍾
99.999%---------- 每年停機時間小於等於5 分鍾
伺服器選型的基本原則
(1) 根據不同的應用特點選擇伺服器
(2) 根據不同的行業特點選擇伺服器
(3) 根據不同的需求選擇伺服器的配置
網路攻擊兩種類型:服務攻擊和非服務攻擊
從黑客攻擊手段上看分為 8 類:系統入侵類攻擊;緩沖區溢出攻擊,欺騙類 攻擊,拒絕服務類攻擊,防火牆攻擊,病毒類攻擊,木馬程序攻擊,後門攻擊 非服務攻擊針對網路層等低層協議進行
網路防攻擊研究主要解決的問題:
(1) 網路可能遭到哪些人的攻擊
(2) 攻擊類型與手段可能有哪些
(3) 如何及時檢測並報告網路被攻擊
(4) 如何採取相應的網路安全策略與網路安全防護體系 網路協議的漏洞是當今 Internet 面臨的一個嚴重的安全問題
信息傳輸安全過程的安全威脅(截取信息;竊qie聽信息;篡改信息;偽造信息)
解決來自網路內部的不安全因素必須從技術和管理兩個方面入手
病毒基本類型劃分為 6 種:引導型病毒;可執行文件病毒;宏病毒;混合病毒, 特洛伊木馬病毒;Iternet 語言病毒
網路系統安全必須包括 3 個機制:安全防護機制,安全檢測機制,安全恢復機制
網路系統安全設計原則:
(1) 全局考慮原則(2) 整體設計的原則(3) 有效性與實用性的原則(4) 等級性原則
(5)自主性與可控性原則(6)安全有價原則
第三章: IP 地址規劃設計技術
無類域間路由技術需要在提高 IP 地址利用率和減少主幹路由器負荷兩個方面取得平衡
網路地址轉換 NAT 最主要的應用是專用網,虛擬專用網,以及 ISP 為撥號用戶 提供的服務
NAT 更用應用於 ISP,以節約 IP 地址
A 類地址:1.0.0.0-127.255.255.255 可用地址 125 個 網路號 7 位
B 類地址:128.0.0.0-191.255.255.255 網路號 14 位
C 類地址:192.0.0.0-223.255.255.255 網路號 21 位允許分配主機號 254 個
D 類地址:224.0.0.0-239.255.255.255 組播地址
E 類地址:240.0.0.0-247.255.255.255 保留
直接廣播地址:
受限廣播地址:255.255.255.255
網路上特定主機地址:
回送地址:專用地址
全局 IP 地址是需要申請的,專用 IP 地址是不需申請的
專用地址:10; 172.16- 172.31 ;192.168.0-192.168.255
NAT 方法的局限性
(1) 違反 IP 地址結構模型的設計原則
(2) 使得 IP 協議從面向無連接變成了面向連接
(3) 違反了基本的網路分層結構模型的設計原則
(4) 有些應用將 IP 插入正文內容
(5) Nat 同時存在對高層協議和安全性的影響問題
IP 地址規劃基本步驟
(1) 判斷用戶對網路與主機數的需求
(2) 計算滿足用戶需求的基本網路地址結構
(3) 計算地址掩碼
(4) 計算網路地址
(5) 計算網路廣播地址
(6) 計算機網路的主機地址
CIDR 地址的一個重要的特點:地址聚合和路由聚合能力 規劃內部網路地址系統的基本原則
(1) 簡潔(2) 便於系統的擴展與管理(3) 有效的路由
IPv6 地址分為 單播地址;組播地址;多播地址;特殊地址
128 位每 16 位一段;000f 可簡寫為 f 後面的 0 不能省;::只能出現一次
Ipv6 不支持子網掩碼,它只支持前綴長度表示法
第四章:網路路由設計
默認路由成為第一跳路由或預設路由 發送主機的默認路由器又叫做源路由器;
目的主機所連接的路由叫做目的路由
路由選擇演算法參數
跳數 ;帶寬(指鏈路的傳輸速率);延時(源結點到目的結點所花費時間); 負載(單位時間通過線路或路由的通信量);可靠性(傳輸過程的誤碼率);開銷(傳輸耗費)與鏈路帶寬有關
路由選擇的核心:路由選擇演算法 演算法特點:
(1) 演算法必須是正確,穩定和公平的
(2) 演算法應該盡量簡單
(3) 演算法必須能夠適應網路拓撲和通信量的變化
(4) 演算法應該是最佳的
路由選擇演算法分類: 靜態路由選擇演算法(非適應路由選擇演算法)
特點:簡單開銷小,但不能及時適應 網路狀態的變化
動態路由選擇演算法(自適應路由選擇演算法)
特點:較好適應網路狀態的變化,但 實現復雜,開銷大
一個自治系統最重要的特點就是它有權決定在本系統內應採取何種路由選擇協議
路由選擇協議:
內部網關協議 IGP(包括路由信息協議 RIP,開放最短路徑優先 協議 OSPF);
外部網關協議 EGP(主要是 BGP)
RIP 是內部網關協議使用得最廣泛的一種協議;
特點:協議簡單,適合小的自治 系統,跳數小於 15
OSPF 特點:
1. OSPF 使用分布式鏈路狀態協議(RIP 使用距離向量協議)
2. OSPF 要求路由發送本路由與哪些路由相鄰和鏈路狀態度量的信息(RIP 和 OSPF都採用最短路徑優先的指導思想,只是演算法不同)
3. OSPF 要求當鏈路狀態發生變化時用洪泛法向所有路由發送此信息(RIP 僅向相 鄰路由發送信息)
4. OSPF 使得所有路由建立鏈路資料庫即全網拓撲結構(RIP 不知道全網拓撲) OSPF 將一個自治系統劃分若干個小的區域,為拉適用大網路,收斂更快。每個 區域路由不超過 200 個
區域好處:洪泛法局限在區域,區域內部路由只知道內部全網拓撲,卻不知道其他區域拓撲 主幹區域內部的路由器叫主幹路由器(包括區域邊界路由和自治系統邊界路由)
BGP 路由選擇協議的四種分組 打開分組;更新分組(是核心);保活分組;通知分組;
第五章:區域網技術
交換機採用採用兩種轉發方式技術:快捷交換方式和存儲轉發交換方式
虛擬區域網 VLAN 組網定義方法:(交換機埠號定義;MAC 地址定義;網路層地址定義;基於 IP 廣播組)
綜合布線特點:(兼容性;開放性;靈活性;可靠性;先進性;經濟性)
綜合布線系統組成:(工作區子系統;水平子系統;干線子系統;設備間子系統;管理子系統;建築物群子系統)
綜合布線系統標准:
(1) ANSI/TIA/EIA 568-A
(2) TIA/EIA-568-B.1 TIA/EIA-568-B.2TIA/EIA-568-B.3
(3) ISO/IEC 11801
(4) GB/T 50311-2000GB/T50312-2000
IEEE802.3 10-BASE-5 表示乙太網 10mbps 基帶傳輸使用粗同軸電纜,最大長度=500m
IEEE802.3 10-BASE-2200m
IEEE802.3 10-BASE-T使用雙絞線
快速乙太網 提高到 100mbps
IEEE802.3U 100-BASE-TX最大長度=100M
IEEE802.3U 100-BASE-T4針對建築物以及按結構化布線
IEEE802.3U 100-BASE-FX使用 2 條光纖 最大長度=425M
支持全雙工模式的快速乙太網的拓撲構型一定是星形
自動協商功能是為鏈路兩端的設備選擇 10/100mbps 與半雙工/全雙工模式中共有的高性能工作模式,並在鏈路本地設備與遠端設備之間激活鏈路;自動協商功能只能用於使用雙絞線的乙太網,並且規定過程需要 500ms 內完成
中繼器工作在物理層,不涉及幀結構,中繼器不屬於網路互聯設備
10-BASE-5 協議中,規定最多可以使用 4 個中繼器,連接 3 個纜段,網路中兩個 結點的最大距離為 2800m
集線器特點:
(1) 乙太網是典型的匯流排型結構
(2) 工作在物理層 執行 CSMA/CD 介質訪問控制方法
(3) 多埠 網橋在數據鏈路層完成數據幀接受,轉發與地址過濾功能,實現多個區域網的數據交換
透明網橋 IEEE 802.1D 特點:
(1) 每個網橋自己進行路由選擇,區域網各結點不負責路由選擇,網橋對互聯 區域網各結點是透明
(2) 一般用於兩個 MAC 層協議相同的網段之間的互聯
透明網橋使用了生成樹演算法 評價網橋性能參數主要是:幀過濾速率,幀轉發速率
按照國際標准,綜合布線採用的主要連接部件分為建築物群配線架(CD); 大樓主配線架(BD);樓層配線架(FD),轉接點(TP)和通信引出端(TO),TO 到 FD 之間的水平線纜最大長度不應超過 90m;
設備間室溫應保持在 10 度到 27 度 相對濕度保持在 30%-80%
[ 全國計算機等級考試三級網路技術知識點 ]相關文章:
1.2017年全國計算機等級考試三級網路技術知識點積累
2.2017年全國計算機三級網路技術真題附帶答案
3.2017年全國計算機三級網路技術真題及答案
4.全國計算機三級網路技術真題及答案2017
5.2017年全國計算機等級考試知識點
6.全國計算機等級考試一級b知識點
7.2017全國計算機考試三級網路技術考試大綱
8.2017年全國計算機三級網路技術考試試題
9.2017全國計算機三級網路技術考試試題及答案
10.2017年全國計算機三級網路技術考試選擇題
;④ 計算機網路操作系統與管理解答題和問答題,共兩題,不要太多,簡述就行 (5)網路連接需要哪些組件 (
第1章 網路操作系統導論一.填空題(1)操作系統是( 用戶) 與計算機之間的介面,網路操作系統可以理解為( 網路用戶) 與計算機網路之間的介面。(2)網路通信是網路最基本的功能,其任務是在( 源主機) 和 (目標主機) 之間實現無差錯的數據傳輸。(3)1964年,巴蘭(Baran)在美國蘭德(Rand)公司的「論分布式通信」的研究報告中首次提出了(分組)的概念。(4)Web服務、大型資料庫服務等都是典型的(客戶/伺服器)模式,是近年來流行的應用模式。二、問答題(2)網路操作系統有哪些基本功能?答:共享資源管理、網路通信、網路服務、網路管理、互操作能力(3)選擇網路操作系統構建計算機網路時應考慮哪些問題?答:網路操作系統的選擇應遵循以下一般原則:1標准化2可靠性3安全性4網路應用服務的支持5易用性選擇網路操作系統時還應考慮以下因素:1首先要考慮的是成本因素2其次要考慮網路操作系統的可集成性因素3可擴展性是選擇網路操作系統時要考慮的另外一個因素。第2章Windows Server 2003安裝與基本配置一.填空題(1)Windows Server 2003有四個版本,分別是(標准版、 企業版 、 數據中心版 、 WEB版 )。(2)某中型企業,准備購買Windows Server 2003,伺服器上欲發布網頁,同時作為SQL伺服器,考慮到伺服器的負載和冗餘問題,應使用 企業 版。(3)某企業規劃有兩台Windows Server 2003和50台Windows 2000Professional,每台伺服器最多隻有15個人能同時訪問,最好採用 每伺服器 授權模式。(4)MMC有作者 和 用戶 模式。(5)在設備管理中,如一硬體設備上的圖標上有「×」標記,表示設備被禁用 。二、選擇題 (1)有一台伺服器的操作系統是Windows 2000 Server,文件系統是NTFS,無任何分區,現要求對該服務進行Windows Server 2003的安裝,保留原數據,但不保留操作系統,應使用下列(B)種方法進行安裝才能滿足需求。A、在安裝過程中進行全新安裝並格式化磁碟B、對原操作系統進行升級安裝,不格式化磁碟C、做成雙引導,不格式化磁碟D、重新分區並進行全新安裝(2)現要在一台裝有Windows 2000 Server操作系統的機器上安裝Windows Server 2003,並做成雙引導系統。此計算機硬碟的大小是10.4GB,有兩個分區:C盤4GB,文件系統是FAT;D盤6.4GB,文件系統是NTFS。為使計算機成為雙引導系統,下列那個選項是最好的方法?(D)A、安裝時選擇升級選項,並選擇D盤作為安裝盤。B、安裝時選擇全新安裝,並且選擇C盤上與Windows作為Windows Server 2003的安裝目錄C、安裝時選擇升級安裝,並且選擇C盤上與Windows不同的目錄作為Windows Server 2003的安裝目錄D、安裝時選擇全新安裝,並選擇D盤作為安裝盤。(3)某公司計劃建設網路系統,該網路有兩台伺服器,安裝Windows Server 2003操作系統;40台工作站,安裝Windows XP,則Windows Server 2003的許可協議應選擇何種模式比較合理?(A)A、選擇每伺服器模式B、選擇每客戶模式C、選擇混合模式D、忽略該選項第3章域與活動目錄一.填空題(1)域樹中的子域和父域的信任關系是 雙向的 、 可傳遞的 。(2)活動目錄存放在 域控制器 中。(3)Windows Server 2003伺服器的三種角色是 域控制器 、成員伺服器、 獨立伺服器。(4)獨立伺服器上安裝了 活動目錄 就升級為域控制器。 (5)域控制器包含了由這個域的 賬戶 、 密碼 以及屬於這個域的計算機等信息構成的資料庫。 (6)活動目錄中的邏輯單元包括 域 、 域樹 、域林和組織單元。二、簡答題(1)為什麼需要域?答:為了更好的實現資源的共享的控制,提高數據的傳輸安全性,增強網路的管理能力。(2)域與域之間創建信任關系的目的是什麼?答:信任關系是兩個域控制器之間實現資源互訪的重要前提,任何一個Windows Server 2003域被加入到域目錄樹後,這個域都會自動信任父域,同時父域也會自動信任這個新域,而且這些信任關系具備雙向傳遞性。由於這個信任關系的功能是通過所謂的Kerberos安全協議完成的,因此有時也被稱為隱含的信任關系。(3)為什麼在域中常常需要DNS伺服器答:在TCP/IP網路中,DNS是用來解決計算機名字和IP地址的映射關系的。活動目錄和DNS密不可分,它使用DNS伺服器來登記域控制器的IP、各種資源的定位等,因此在一個域林中至少要有一個DNS伺服器存在。(4)活動目錄存放了何種信息?答:活動目錄是一種目錄服務,它存儲有關網路對象(如用戶、組、計算機、共享資源、列印機各聯系人等)的信息,並將結構化數據存儲作為目錄信息邏輯和分層組織的基礎,使管理員比較方便地查找並使用這些網路信息。第4章用戶與組的管理一.填空題(1)根據伺服器的工作模式分為 本地組 和 域組 。(2)賬戶的類型分為 本地賬戶 、 域賬戶 、 內置賬戶 。(3)工作組模式下,用戶賬戶存儲在伺服器的 本地SAM 中;域模式下,用戶賬戶存儲在 域SAM 中。(4)打開組策略編輯器的命令是 gpedit.msc 。 (5)在Windows Server 2003中,最多可以設置 約1700 組策略。 (6)軟體發布的形式包括 軟體布置 、分配軟體、發布軟體 。其中軟體布置使用組策略指定如何在組織內安裝和刪除軟體。分配軟體是當用戶分配軟體時,該軟體將會出現在用戶桌面上;發布軟體是通過「添加/刪除程序」來進行安裝,也可以能過文檔激活來安裝。 二、選擇題 (1)在設置域賬戶屬性時(C)項目不能被設置。A、賬戶登錄時間B、賬戶的個人信息C、賬戶的許可權D、指定賬戶登錄域的計算機(2)下列(C)賬戶名不是合法的賬戶名。A、abc_123 B、windows bookC、dictionar* D、abdkeofFHEKLLOP(3)Windows Server 2003組策略無法完成下列(A)設置。A、操作系統安裝B、應用程序安裝C、控制面板D、操作系統版本更新三、簡答題(1)簡述通用組,全局組和本地域組的區別。答:(一)、成員的區別,通用組是所有域的用戶、全局組、通用組,不包括任何域的本地域組。全局組是同一域的用戶。全局組。本地域組是所有域的用戶、全局組、通用組、同一域的本地域組。(二)、許可權范圍的區別。通用組和全局組是所有域,而本地域組是同一域。(三)、轉換的區別。通用組可以轉換為本地域組,可以轉換為全局組(只要該組的成員不含通用組)。全局組可以轉換為通用組(只要該組不是隸屬於任何一個全局組)。本地域組可以轉換為通用組(只要該組的成員不含本地域組)(2)簡述工作組和域的區別。答:(一)創建方式不同:工作組可以由任何一個計算機管理員來創建,而域只能由域控制器來創建。(二)安全機制不同:在域中有可以登錄該域的賬戶,這些由域管理員來建立;在工作組中不存在工作組賬戶,只有本機上的賬戶和密碼。(三)登錄方式不同:在工作組方式下,計算機啟動後自動就在工作組中;登錄域時要提交域用戶名和密碼,只有用戶登錄成功之後才被賦予相應的許可權。(3)組策略設置的兩種類型是什麼?如何使用?答:類型:計算機配置和用戶配置使用:計算機配置用於管理控制計算機特定項目的策略,包括桌面外觀、安全設置,操作系統下運行、文件部署、應用程序分配、計算機啟動和關機腳本運行。這些配置應用到特定的計算機上,當該計算機啟動後,自動應用設置的組策略。用戶配置用於管理控制更多用戶特定項目的管理策略,包括應用程序配置、桌面配置、應用程序分類、計算機啟動和關機腳本運行等。當用戶登錄到計算機時,就會應用用戶配置組策略。第5章文件系統管理一.填空題 (1)運行Windows Server 2003的計算機的磁碟分區可以使用三種: FAT16 、FAT32 、 NTFS 類型的文件系統(2)共享許可權分 完全控制 、 更改 、 讀取 。(3)FAT16限制文件名不能超過 8 字元,擴展名不能超過 3 字元,這樣短的文件名通常不足以用來提供有意義的文件名。(4)分布式文件系統(Distributed File System,DFS)為整個企業網路上的文件系統資源提供了一個 邏輯樹 結構。(5)在同一NTFS分區上將文件移動到新文件夾,該文件夾將保留原來許可權。二、簡答題(3)什麼是分布式文件系統?它有什麼特點和好處?答:分布式文件系統,為整個企業網路上的文件系統資源提供了一個邏輯樹結構,用戶可以拋開文件的實際物理位置,僅通過一定的邏輯關系就可以查找和訪問網路的共享資源。用戶能夠像訪問本地文件一樣,訪問分布在網路上多個伺服器上的文件。第6章磁碟管理一.填空題(1)Windows Server 2003將磁碟存儲類型分為兩種:基本磁碟存儲和動態磁碟存儲。(2)Windows 2000 Server和Windows XP使用的文件系統都根據簇的大小組織磁碟。(3)系統管理員可以為訪問伺服器資源的客戶機設置磁碟配額,也就是限制它們一次性訪問伺服器資源的卷空間數量。這樣做的目的在於防止同一時刻某個客戶過量地佔用伺服器和網路資源,導致其他客戶無法訪問伺服器和使用網路。(4)帶區卷又稱為RAID-0 技術,RAID-1又稱為 鏡像 卷,RAID-5又稱為 具有奇偶校驗的帶區卷。二、選擇題 (1)一個基本磁碟上最多有( D )主分區。A、一個B、二個C、三個D、四個(2)要啟用磁碟配額管理,Windows Server 2003驅動器必須使用(B)文件系統。A、FAT16或FAT32 B、只使用NTFSC、NTFS或FAT 32 D、只使用FAT32(3)磁碟碎片整理可以(B)。A、合並磁碟空間B、減少新文件產生碎片的可能C、清理回收站的文件D、檢查磁碟壞扇區三、問答題(2)區別幾種動態卷的工作原理和創建方法?答:一、簡單卷: 動態卷中的最基本的單位,地位與基本磁碟中的主磁碟分區相當。可以從一個動態磁碟內選擇未指派空間來創建簡單卷,並且必要時可以將該簡單卷擴大,不過簡單卷必須在同一個物理磁碟上,無法跨越到另一個磁碟。創建簡單卷的步驟: 步驟一,啟動「計算機管理」控制台,選擇「磁碟管理」選項,右擊一塊未指派的空間,在彈出菜單中選擇「新建卷」。步驟二,在彈出的「歡迎使用新建卷向導」對話框中單擊「下一步」按鈕。選擇「簡單」選項,單擊「下一步」。 步驟三,在對話框中設置簡單卷的大小,單擊「下一步」 步驟四,在「指派驅動器號和路徑」對話框中指定一個磁碟驅動器號來代表該簡單卷。 步驟五,單擊「下一步」,在「格式化分區」的對話框,進行選擇文件系統,設置卷標等設置。 步驟六,單擊「下一步」,在「正在完成創建卷向導」對話框,單擊「完成」系統開始對該卷進行格式化,完成之後可在管理窗口中的磁碟列表中看到屬性的變化。二、擴展簡單卷: 其容量可以擴展,可以只能將未指派的本磁碟上並到簡單卷上。創建擴展卷的步驟: 步驟一,打開「計算機管理」控制台,選擇「磁碟管理」,右擊要擴展的簡單卷,在彈出菜單中選擇「擴展卷」。 步驟二,打開「擴展卷向導」對話框,單擊「下一步」按鈕,打開選擇磁碟對話框,這里可以選擇要擴展的空間來自哪個磁碟,設置擴展的磁碟空間大小。 步驟三,單擊「下一步」,出現「完成卷擴展向導」對話框,單擊「完成」按鈕。在磁碟管理控制台中可以看出磁碟的空間變化。三、跨區卷: 跨區卷是幾個(大於一個)位於不同物理磁碟的未指派空間組合成的一個邏輯卷。創建一個跨區卷可參照如下步驟: 步驟一,打開「計算機管理」控制台,選擇「磁碟管理」,滑鼠右鍵單擊幾個磁碟中未指派空間中的任何一個,在彈出菜單中選擇「創建卷」,打開「創建卷向導」,單擊「下一步」。出現 「選擇卷類型」的對話框,選擇「跨區卷」。 步驟二,單擊「下一步」,在 「選擇磁碟」對話框中,選擇加入跨區卷的磁碟,並設置好每個磁碟加入多大的空間。 步驟三,單擊「下一步」,類似於創建簡單卷,接著要設置驅動器號和路徑以及格式化設置。完成上述操作,在管理窗口的卷列表中可以看到相應卷的「布局」為「跨區」, H:卷為「跨區」、「動態」、「NTFS」卷。四;帶區卷: 與跨區卷類似,帶區卷也是幾個(大於一個)分別位於不同磁碟的未指派空間所組合成的一個邏輯卷。不同的示,帶區卷的每個成員的容量大小相同,並且數據寫入是以64KB為單位平均寫到每個磁碟內。單純從速度方面考慮,帶區卷是Server 2003所有磁碟管理功能中,運行速度最快的卷。帶區卷功能類似於磁碟陣列RAID 0(條帶化存儲,存取速度快,但不具有容錯能力)標准。帶區卷不具有擴展容量的功能。創建帶區卷的過程與創建跨區卷的過程類似,唯一的區別就是在選擇磁碟時,參與帶區卷的空間必須一樣的大小,並且最大值不能超過最小容量的參與該卷的未指派空間。創建完成之後,如果有3個容量為300MB的空間加入了帶區卷,則最後生成的帶區卷的容量為900MB。五,鏡像卷:鏡像卷是由一個動態磁碟內的簡單卷和另一個動態磁碟內的未指派空間組合而成,或者由兩個未指派的可用空間組合而成,然後給予一個邏輯磁碟驅動器號。這兩個區域存儲完全相同的數據,當一個磁碟出現故障時,系統仍然可以使用另一個磁碟內的數據,因此,它具備容錯的功能。但它的磁碟利用率不高,只有50%。它可以包含系統卷和啟動卷。鏡像卷的創建有兩種形式,可以用一個簡單卷與另一磁碟中的未指派空間組合,也可以由兩個未指派的可用空間組合。鏡像卷的創建類似於前面幾種動態卷的創建過程。六,RAID-5卷:它有一點類似於帶區卷,也是由多個分別位於不同磁碟的未指派空間所組成的一個邏輯卷。具有一定的容錯能力。其功能類似於磁碟陣列RAID-5標准。RAID-5卷至少要由3個磁碟組成,系統在寫入數據時,以64KB為單位。RAID-5卷的磁碟空間有效利用率為(n-1)/n,其中n為磁碟的數目 。創建RAID-5卷的步驟如下: 步驟一,打開「計算機管理」控制台,選擇「磁碟管理」,滑鼠右鍵單擊任一個未指派空間,在彈出菜單中選擇「創建卷」,打開「歡迎使用創建卷向導」對話框。 步驟二,單擊「下一步」按鈕,選擇「RAID-5卷」單選按鈕。 步驟三,單擊「下一步」按鈕,在「選擇磁碟」對話框,系統默認會以其中容量最小的空間為單位,用戶也可以自己設定容量。 步驟四,單擊「下一步」按鈕。類似前面創建其他動態卷,指派驅動器號和路徑、設置格式化參數之後,即可完成RAID-5卷的創建。創建完成後在管理控制台中可以看到「布局」屬性為「RAID-5」的邏輯卷。第14章 配置路由訪問伺服器一.填空題(1)路由器是一種連接多個網路或網段的網路設備,它實現了在IP層的數據包交換,從而實現了不同網路地址段的互聯通信。(2)路由器利用網路層定義的「邏輯」上的網路地址(即IP地址)來區別不同的網路,實現網路的互連和隔離,保持各個網路的獨立性。(3)路由方式分為兩類:一類是靜態路由方式,在路由器上人工配置路由表,實現路徑選擇;另一類是動態路由方式,通過動態路由協議在路由器之間交換路由表,確定路由選擇。(4)網路地址轉換NAT(NetworkAddress Translation)就是將在內部專用網路中使用的內部地址(不可路由)在路由器處替換成合法地址 (可路由),從而使內網可以訪問外部公共網上的資源。(5)與RIP相對,OSPF是開放式最短路徑優先 協議,而RIP是距離向量路由 協議。。