计算机网络模块高级

牧歌2024/5/13...大约 14 分钟

计算机网络模块

image.png|950

层次化网络设计

层次化网络设计应该遵循一些简单的原则，这些原则可以保证设计出来的网络更加具有层次的特性：

（1）在设计时，设计者应该尽量控制层次化的程度，一般情况下，由核心层、汇聚层、接入层三个层次就足够了，过多的层次会导致整体网络性能的下降，并且会提高网络的延迟，但是方便网络故障排查和文档编写。

（2）在接入层应当保持对网络结构的严格控制，接入层的用户总是为了获得更大的外部网络访问带宽，而随意申请其他的渠道访问外部网络是不允许的。

（3）为了保证网络的层次性，不能在设计中随意加入额外连接，额外连接是指打破层次性，在不相邻层次间的连接，这些连接会导致网络中的各种问题，例如缺乏汇聚层的访问控制和数据报过滤等。

（4）在进行设计时，应当首先设计接入层，根据流量负载、流量和行为的分析，对上层进行更精细的容量规划，再依次完成各上层的设计。

（5）除去接入层的其他层次，应尽量采用模块化方式，每个层次由多个模块或者设备集合构成，每个模块间的边界应非常清晰。

通常，大中型网络系统采用分层的设计思想，可以方便地分配与规划带宽，有利于均衡负荷，提高网络效率，是解决网络系统规模、结构和技术的复杂性的有效方法。大中型企业网、校园网或机关办公网基本上都采用3层网络结构。其中，核心层网络用于连接服务器集群、各建筑物子网交换路由器，以及与城域网连接的出口；汇聚层网络用于将分布在不同位置的子网连接到核心层网络，实现路由汇聚的功能；接入层网络用于将终端用户计算机接入到网络中。

通常，核心层设备之间，核心层设备与汇聚层设备之间直接使用具有冗余链路的光纤连接；汇聚层设备与接入层设备之间，接入层设备与用户计算机之间可以视情况而选择价格低廉的非屏蔽双绞线(UTP)连接。

网络层次化路由

层次化路由的含义是指对网络拓扑结构和配置的了解是局部的，一台路由器不需要知道所有的路由信息，只需要了解其管辖的路由信息，层次化路由选择需要配合层次化的地址编码。而子网或超网就属于层次化地址编码行为。

子网的分类

一个B类网络的子网掩码为255.255.224.0，则这个网络被划分成了（）个子网。

A、2
B、4
C、6
D、8

正确答案: D 子网掩码255.255.224.0的二进制表示为11111111.11111111.11100000.00000000，比正常的B类子网掩码为255.255.0.0多出了3位“1”，所以把B类网络划分成了8个子网。

网闸

网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议"摆渡"，且对固态存储介质只有"读"和"写"两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使"黑客"无法入侵、无法攻击、无法破坏，实现了真正的安全。

使用安全隔离网闸意义是：

（一）当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，用户必须使用开关在内外网之间来回切换，不仅管理起来非常麻烦，使用起来也非常不方便，如果采用防火墙，由于防火墙自身的安全很难保证，所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入，安全性无法保证。在这种情况下，安全隔离网闸能够同时满足这两个要求，弥补了物理隔离卡和防火墙的不足之处，是最好的选择。

（二）对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。

（三）安装了相应的应用模块之后，安全隔离网闸可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。

例题：在网络规划中，政府内外网之间应该部署网络安全防护设备。在下图中部署的设备A是（），对设备A的作用描述错误的是（请作答此空）。

image.png|950

A、双主机系统，即使外网被黑客攻击瘫痪也无法影响到内网
B、可以防止外部主动攻击
C、采用专用硬件控制技术保证内外网的实时链接
D、设备对外网的任何响应都是对内网用户请求的应答

答案 C

管理距离

管理距离是指一种路由协议的路由可信度。每一种路由协议按可靠性从高到低，依次分配一个信任等级，这个信任等级就叫管理距离。

在自治系统内部，如RIP协议是根据路径传递的跳数来决定路径长短也就是传输距离，而像EIGRP协议是根据路径传输中的带宽和延迟来决定路径开销从而体现传输距离的。这是两种不同单位的度量值，我们没法进行比较。为了方便比较，我们定义了管理距离。这样我们就可以统一单位从而衡量不同协议的路径开销从而选出最优路径。正常情况下，管理距离越小，它的优先级就越高，也就是可信度越高。

对于两种不同的路由协议到一个目的地的路由信息，路由器首先根据管理距离决定相信哪一个协议。AD值越低，则它的优先级越高。一个管理距离是一个从0--255的整数值，0是最可信赖的，而255则意味着不会有业务量通过这个路由。

利用TCP/IP漏洞攻击常见方式

Land攻击：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。
CPing of Death：攻击者向被攻击者发送一个超过65536字节的数据包ping包，由于接收者无法处理这么大的ping包而造成被攻击者系统崩溃、挂机或重启。
DTeardrop攻击：利用IP包的分段/重组技术在系统实现中的一个错误，即在组装IP包时只检查了每段数据是否过长，而没有检查包中有效数据的长度是否过小，当数据包中有效数据长度为负值时，系统会分配一个巨大的存储空间，这样的分配会导致系统资源大量消耗，直至重新启动。

网络系统生命周期

可以划分为5个阶段，实施这5个阶段的合理顺序是需求规范、通信规范、逻辑网络设计、物理网络设计、实施阶段。

PTR记录

在客户机上运行nslookup查询某服务器名称时能解析出IP地址，查询IP地址时却不能解析出服务器名称，解决这一问题的方法是（　）。

A、清除DNS缓存
B、刷新DNS缓存
C、为该服务器创建PTR记录
D、重启DNS服务

答案：C PTR记录是反向记录，通过IP查询域名。

DHCP客户端

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址、网关地址、DNS服务器地址等信息，并能够提升地址的使用率。

DHCP协议采用UDP作为传输协议，客户端发送广播消息到服务器的68号端口，服务器回应广播消息给客户端的67号端口。

DHCP客户端从DHCP服务器获取IP地址，主要通过：发现、提供、选择、确认，四个阶段进行。

如果网络中有多个DHCP服务器发送OFFER报文，客户端只根据第一个收到的OFFER报文，返回REQUEST报文。

在网络范围内可能存在多个DHCP服务器，各自负责不同的网段，也可能由同一个DHCP服务器，负责多个不同网段的地址分配。

DHCP客户端收到DHCP服务器回应的ACK报文后，通过地址冲突检测发现服务器分配的地址冲突或者由于其他原因导致不能使用，则发送Decline报文，通知服务器所分配的IP地址不可用。

5G

2019 年我国将在多地展开5G试点,届时将在人口密集区为用户提供 1Gbps 的用户体验速率

IPV6

组成

由8个16进制构成

省写规则

遵守如下规则可以省写：

高位0可以省略（多次）
一段0可用1个0表示（多次）
连续多段0可用省略用::表示（1次）

示例如下：

image.png|950

TLS安全协议

TLS安全协议的基本概念，TLS (（Transport Layer Security Protocol)全称为传输层安全协议，用于在两个通信应用程序之间提供保密性和数据完整性，通常位于某个可靠的传输协议（例如TCP)上面,与具体的应用无关。所以—般把==TLS协议归为传输层安全协议==。

DNS查询

image.png|950

DNS查询过程分为两种查询方式：递归查询和迭代查询。

递归查询的查询方式为：当用户发出查询请求时，本地服务器要进行递归查询。这种查询方式要求服务器彻底地进行名字解析，并返回最后的结果——IP地址或错误信息。如果查询请求在本地服务器中不能完成，那么服务器就根据它的配置向域名树中的上级服务器进行查询，在最坏的情况下可能要查询到根服务器。每次查询返回的结果如果是其他名字服务器的IP地址，则本地服务器要把查询请求发送给这些服务器做进一步的查询。

迭代查询的查询方式为：服务器与服务器之间的查询采用迭代的方式进行，发出查询请求的服务器得到的响应可能不是目标的IP地址，而是其他服务器的引用(名字和地址)，那么本地服务器就要访问被引用的服务器，做进一步的查询。如此反复多次，每次都更接近目标的授权服务器，直至得到最后的结果——目标的IP地址或错误信息。

根域名服务器为众多请求提供域名解析，若采用递归方式会大大影响性能。