第一章
系统集成三大部分
- 网络系统
- 硬件系统
- 软件系统
系统集成的复杂性
系统集成的复杂性体现在:技术、成员、环境、约束四个方面,它们之间互为依存关系。
- 实现技术的集成性
- 成员目标的复杂性
- 应用环境的不确定性
- 约束条件的多样性
网络工程项目集成步骤
- 网络系统规划
- 网络系统设计
- 网络系统实施
- 网络系统验收
TCP/IP 体系结构
物联网总体结构
- 感知层
- 感知层包括传感器等数据采集设备,以及数据接入到网关之前的传感器网络
- 传送层
- 传送层建立在现有通信网络和互联网的基础上,综合使用移动互联网、有限宽带、无线局域网等技术。
- 应用层
- 应用层利用经过分析处理的感知数据,为用户提供丰富的特定服务
第二章
用户特点
- 用户是经过筛选的
- 用户是沉默的
- 用户是难以满足的
- 用户是可引导的
教育系统特点
对数据的可靠性要求较低,但是往往对宽带要求较高。网络技术较为单一,往往采用宽带以太网技术
网络扩展需求分析
- 用户业务的扩展性
- 网络性能的扩展性
- 网络结构的扩展性
- 网络设备的扩展性
- 网络软件的扩展性
第三章
蜂窝网络特点
采用频率复用方法,同一频率在分散的区域内被多次复用,使有限的带宽容纳大量用户。
- FDM(Frequency Division Multiplexing):频分复用是将可用频段分成若干条不同的频带,每条频带分配给一个用户,不同用户之间的频带不重叠,从而实现多用户同时使用同一信道进行通信的技术。
- TDM(Time Division Multiplexing):时分复用是将时间分成若干个时隙,每个时隙分配给一个用户,不同用户之间的时隙不重叠,从而实现多用户同时使用同一信道进行通信的技术。
- OFDM(Orthogonal Frequency Division Multiplexing):正交频分复用是一种基于频域的复用技术,它将整个频带分成若干个子载波,每个子载波之间正交,从而实现多用户同时使用同一信道进行通信的技术。
- CDMA(Code Division Multiple Access):码分复用是一种通过差异化编码实现用户信号的区分的技术,不同用户之间使用不同的编码方式,从而实现多用户同时使用同一信道进行通信的技术。
网络层次化设计模型
从内而外
- 核心层
- 数据告诉转发
- 汇聚层
- 数据流量聚合,路由聚合
- 接入层
- 用户接入,访问控制
STP 的作用
STP 是二层网络中用于消除环路的协议
- 通过阻断冗余链路来消除桥接网络中可能存在的路径回环
- 当前活动路径发生故障时,激活冗余备份链路,恢复网络连通性
服务子网设计模型
- 集中式服务设计模型
- 所有服务子网设计在网络核心层
- 分布式服务设计模型
- 网络服务集中,应用服务分散
VLAN 的特点
- 一个 VLAN 中所有设备都是在同一广播域内;广播不能跨越 VLAN 传播。
- 一个 VLAN 为一个逻辑子网;由被配置为此 VLAN 成员的设备组成, 不同 VLAN 通过路由器实现相互通信。
- VLAN 中成员多基于 Switch 端口号码,划分 VLAN 就是对 Switch 接口划分。
- VLAN 工作于 OSI 参考模型的第二层。
Trunk 的封装协议
- 802.1Q
- ISL
VLAN 间路由
由于 VLAN 隔离了二层广播域,也间接的隔离了各个 VLAN 之间的其他二层流量交换,这样导致属于不同 VLAN 之间的用户不能进行二层的通信。只能经过三层的路由转发才能将报文从一个 VLAN 转发到另外一个 VLAN。
第四章
浮动静态路由
浮动静态路由是一种静态路由的变种,它可以实现在出现故障或者链路负载过高的情况下,自动切换到备用路由,提高网络的可靠性和可用性。
在浮动静态路由中,通常会配置两条静态路由,一条为主路由,另一条为备用路由。主路由通常是网络的默认路由,备用路由则是在主路由故障或链路负载过高时使用的备用路由。备用路由的优先级比主路由低,一旦主路由出现问题,备用路由就会自动激活。
*看懂配置
OSPF
router-id 如何获取
如果没有通过命令指定 RID,将按照如下顺序自动生成一个 RID:
- 如果当前设备配置了 Loopback 接口,将选取所有 Loopback 接口上数值最大的 IP 地址作为 RID;
- 如果当前设备没有配置 Loopback 接口,将选取它所有已经配置 IP 地址且链路有效的接口上数值最大的 IP 地址作为 RID。
网络类型
- Broadcast
- NBMA(Non-Broadcast Multi-Access,非广播多点可达网络)
- P2MP(Point-to-MultiPoint,点到多点)
- P2P(Point-to-Point,点到点)
DR/BDR 的选举原则
首先比较 Hello 报文中携带的优先级
- 优先级最高的被选举为 DR,优先级次高的被选举为 BDR
- 优先级为 0 的不参与选举
优先级一致的情况下,比较 Router ID - Router ID 越大越优先
保持稳定原则 - 当 DR/BDR 已经选举完毕,就算一台具有更高优先级的路由器变为有效,也不会替换该网段中已经选举的 DR/BDR 成为新的 DR/BDR。
几种报文的作用
| OSPF 报文类型 | 作用 |
|---|---|
| Hello | 建立并维护邻居关系 |
| Database Description(DD) | 数据库内容的汇总(仅包含 LSA 摘要) |
| Link State Request(LSR) | 请求自己没有的或者比自己更新的链路状态详细信息 |
| Link State Update(LSU) | 链路状态更新信息 |
| Link State Acknowledge(LSAck) | 对 LSU 的确认 |
BGP 封装
传输层 TCP
BGP 常见属性配置及作用
Next-Hop
- 公认强制属性
- BGP 中的跳是“AS”
- 对于外部 BGP 和内部 BGP,下一跳是通告该路由器的邻居路由器的 IP 地址
- 对于多路访问型网络(如以太网),下一跳是路由器连接到该网络接口的 IP 地址。
Origin Code(路由条目来源属性)
- 公认强制属性
- 来源属性指出该路由条目的来源是什么路由协议类型
AS_Path
- 公认强制属性
- 用来描述到达该网络经过的所以 AS 有哪些功能
- 让 BGP 进程决策最优路径
- 防止环路
Local_Preference(本地优先级)
- 公认自由决定属性
- 告诉本地 AS 中的 BGP 路由器,从哪个出口出去才是最优路径。
Weight
- 私有属性
- 权值越大、优先级越高
MED
(多出口鉴别)属性告诉外部邻居 AS 中的 BGP 路由器,从哪个入口进入本地 AS 才是最优的。
第五章
阻塞式设计和非阻塞式设计
- 阻塞式设计
- 分层网络设计中,上层链路带宽大于或者等于下层链路带宽总和
- 非阻塞式设计
- 分层网络设计中,上层链路带宽低于下层链路带宽总和
按非阻塞式设计的网络汇聚节点负载轻,网络扩展性好,成本高
链路聚合
将交换机上的多个端口在物理上连接起来,在逻辑上捆绑在一起,形成一个有较大宽带的端口,实现均衡负载,提供冗余链路。
IEEE802.3ad 标准的 LACP(链路聚合控制协议)是一种实现链路动态聚合的协议,通过 LACPDU(链路聚合控制协议数据单元)与对方交换机交互信息。 LACP 协议不等于链路聚合技术
链路聚合条件
- 各链路的传输介质必须相同
- 各分离链路传输速率必须相同
- 各分离链路必须是全双工链路
- 各分离链路两端的参数必须一致
- 各分离链路的速率不小于 100M。
常见队列调度算法
- FIFO(先到先服务)算法
- REO(随机早期检测)算法
- PFQ(分组公平队列)
- WFQ(加权公平队列)
- PQ(优先级排队)
- RR(轮循调度)
第六章
网络可靠性计算方法
可靠性可以用无故障工作时间(MTBF)衡量。
网络可用性计算
串联型网络结构可用性计算
并联型网络结构可用性计算
例如
网络结构如图,计算路由器 ABCD 的整体可用性
路由器 ABC 间可用性$0.99\times0.97\times0.98=94.1%$
路由器 B+D 并联体的可用性$1-(1-0.97)\times(1-0.95)=99.85%$
路由器 ABC 间可用性$0.99\times0.9985\times0.98=96.9%$
VRRP
IETF 制定的 VRRP(虚拟路由器冗余协议)是一种容错协议(RFC-2338)。
RAID
RAID 级别是一种工业标准。
- RAID 0 采用无数据冗余的储存空间条带化技术
- RAID 1 采用了两块硬盘数据完全镜像的技术
- RAID 2、3、4、5 可以对硬盘中的数据进行纠错校验
网络存储技术类型
- 直接附加存储(DAS)
- 直接连接在服务器主机上的存储设备
- 网络附加存储(NAS)
- 连接在网络上的专用存储设备
- 存储区域网络(SAN)
- 在服务器和存储设备之间利用专用的光纤通道连接的网络系统
- JBOD 存储技术
- 是一个底板上安装多个磁盘的存储设备。支持热插拔,可以在不影响数据存储和服务器操作的同时增加或替换磁盘。
iSCSI 技术是什么
是在 IP 上运行的 SCSI 指令集,采用 TCP
三个集群系统类型
- 高可用集群
- HA 集群主要用于不可间断的服务环境
- 负载均衡集群
- LBC 主要用于高负载业务,由多个计算节点提供可伸缩的,高负载的服务器群组,以保证服务的均衡响应
- 高性能计算集群
- HPC 集群致力于开发超级计算机,研究并行算法和开发相关软件
第七章
DMZ(隔离区/非军事区)
概念
是设立在非安全系统与安全系统之间的缓冲区。
防火墙接口
- 内网接口
- 用于连接内部网络设备
- 外网接口
- 相当于主机接口,用于连接边界路由器等外部网关设备
- DMZ 接口
- 用于连接 DMZ 区的网络设备
IDS(入侵检测系统)
抓取网络上所有报文,分析处理后,报告异常和重要数据模式和行为模式,让网络安全管理员了解网络上发生的事,采取行动阻止可能发生的破坏。
分为实时入侵检测和事后入侵检测。
IDS 系统适合安装在网络边界区域,服务器群区域,网络主机区域。不适合在网络核心层。
IDS 问题:1.误报/漏报率高。2.没有主动防御功能。3.缺乏准确定位和处理机制。
IPS(入侵防御系统)
是一种主动,积极的入侵防御系统。检测入侵发生,实时终止入侵行为。一般部署在网络进出口。
部署方式:IDS 旁路式连接,IPS 串接式连接。串接工作模式保证所有网络数据必须经过 ISP 设备。
IPS 问题:1.单点故障。2.性能瓶颈。3.误报漏报。4.规则动态更新。5.总体拥有成本
常见对称加密算法
DES 加密算法,AES,RSA,Base64,MD5,SHA1
GAP 的特点
- GAP 由固态读写开关和存储介质系统组成
- GAP 连接在两个独立的网络系统中间
- 能抵御互联网绝大部分攻击
GRE VPN 配置
创建 Tunnel:接口,并进入其接口视图
[Router]interface tunnel interface-number指定 Tunneli 的源端
[Router-Tunnelo]source ip-address interface-type interface-number指定 Tunnell 的目的端
[Router-Tunnel0]destination ip-address设置 Tunnel 接口的 IP 地址
[Router-Tunnelo]ip address ip-address mask mask-length设置 Tunnel 接口报文的封装模式为 GRE
[Router-Tunnel0]tunnel-protocol gre设置 Tunneli 两端进行端到端校验
[Router-Tunnel0]gre checksum设置 Tunnel 接口的识别关键字
[Router-Tunnelo]gre key key-number配置 Tunnel 的 Keepalive 功能
[Router-Tunnelo]keepalive seconds times第十章
E1 速率
E1 链路采用 PCM(脉冲编码调制)信号,规定每秒有 8000 个 E1 帧通过 E1 链路,因此 E1 链路的数据传输速率为:8000x256bit=2.048Mbit/s。1 个 E1 帧有 32 个时隙,因此一条 E1 链路中有 32 个 64kbit/s(2.048Mbit÷32)的话音或数据信道。
E1 帧的周期为:T=1/f=1/8000=125μs
EPON 工作原理
- 下行传输。
- EPON 采用以太技术,因此不需复杂的协议转换。在下行方向上,光线路终端(OLT)通过 1:N(N=4-64)的无源光分路器(OBD),将以太帧广播给每个光网络单元(ONU)。
- 上行传输。
- 数据上行时采用了时分复用方式,每个 ONU 都分配到一个传输时隙,OUN 将数据包按时隙进行封装,然后发送到 OBD,OBD 在指定的时隙上传数据包给 OLT,上行信号采用时分复用方式避免了数据传输冲突。
第十一章
SDH 帧结构
ITU-TG709 规定,SDH 采用以字节为基础的矩形块状帧结构。基本帧结构为 STM-N(同步传输模块)
如图 11-1 所示,一个 STM-1 帧由 9 行 x270 列=2430Byte 组成前 9 列为系统开销,包括
- 再生段开销(RSOH)
- 指针开销(AU-PTR)
- 复用段开销(MSOH)
- 用户数据为后 261 列,其中第 1 列为通道开销(POH)
帧频
ITU-T 规定,对任何级别的 STM—N 帧,帧频都是 8000 帧/秒,帧周期恒为 125μs
CWDM(粗波分复用)
一般认为波长信道间距大于 1nm,且信道总数少于 18 个时。
