① 关于网络安全与情报信息大队辅警面试问题
应当准备一些有关网络与信息安全的法规政策和管理知识
http://wenku..com/view/a037c3e7f8c75fbfc77db230.html
② 急!网络
企业网络工程解决方案
本方案是一个典型的大型企业网络工程解决方案,实际工程可以根据需要和可能,参照此方案灵活应用。
一、企业网络设计
(1)主干网设计
采用千兆以太网技术。千兆以太网技术特点是具有高速数据传输带宽,基本能满足高速交换及多媒体对服务质量的要求。易于网络升级、易于维护、易于管理,具有良好的价格比。
传输介质。千兆传输距离500m以内采用50/125多模光缆;千兆传输距离大于500m、小于5000m时采用9/125单模光缆;百兆传输距离2000m以内采用50/125多模光缆;百兆传输距离大于2000m采用9/125单模光缆。
交换机。主干交换机的基本要求:机箱式结构,便于扩展;支持多种网络方式,如快速以太网、千兆以太网等;高性能,高背板带宽及中心交换吞吐量;支持第二、第三交换,支持各种IP应用;高可靠性设计,如多电源/管理模块、热插拔;丰富的可管理能力等。
中心机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网,在中心交换机上配置第三层交换模块和网络监控模块。主干各结点采用1000Mbps连接,服务器采用双网卡链路聚合200Mbps连接,客户采用交换式10/1000Mbps连接。
(2)楼宇内局域网设计
要求采用支持802.1Q的10/100Mbps工作组以太网交换机,交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机,使10/100Mbps流量接至桌面。
(3)接入Internet设计
Internet接入系统由位于网络中心的非军事区(DMZ)交换机、WWW服务、E-mail服务、防火墙、路由器、Internet光纤接入组成。
(4)虚拟局域网VLAN设计
通过VLAN将相同业务的用户划分在一个逻辑子网内,既可以防止不同业务的用户非法监听保密信息、又可隔离广播风暴。不同子网的通信采用三层路由交换完成。
各工作组交换机采用基于端口的VLAN划分策略,划分出多个不同的VLAN组,分隔广播域。每个VLAN是一个子网,由子网中信息点的数量确定子网的大小。
同样在千兆/百兆以太网上联端口上设置802.1Q协议,设置通信干道(Truck),将每个VLAN的数据流量添加标记,转发到主干交换机上实现网络多层交换。
(5)虚拟专用网VPN设计
如果公司跨地区经营,自己铺设专线不划算,可以通过Internet采用VPN数据加密技术,构成企业内部虚拟专用网。
(6)网络拓扑结构。这部分待续
二、网络安全性设计
网络系统的可靠与安全问题:
a. 物理信息安全,主要防止物理通路的损坏和对物理通路的攻击(干扰等)。
b. 链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN、加密通信等手段。
c. 网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
d. 操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。
e. 应用平台的安全要求保证应用软件服务,如数据库服务、电子邮件服务器、Web服务器、ERP服务器的安全。
(1)物理安全
机房要上锁,出入人员要严加限制。注意不可让人从天花板、窗户进入房间。
机房电力要充足、制冷要合适,环境要清洁。
从工作站到配线柜的配线应该布在偷听设备接触不到的地方。配线不应该直接布在地板或天花板上,而应该隐藏在线槽或其他管道里。
应该包括诸如火灾、水灾等自然灾害后的恢复流程。如美国911世贸中心崩塌,大多数公司的数据得不到恢复。
(2)防火墙
防火墙应具管理简单、功能先进等特点,并且能够保证对所有系统实施“防弹”保护。 一个优秀的防火墙具有内网保护、灵活的部署、非军事区(DMZ)范围的保护、TCP状态提醒、包过滤技术、TCP/IP堆栈保护、网络地址翻译、VPN等功能。
(3)网络病毒
在网络中心主机安装一台网络病毒控制中心服务器,该服务器既要与Internet相连,又要与企业内网相连。该服务器通过Internet每每更病毒代码及相关文件,企业内部网络中的服务器、客户时刻处于网络病毒控制中心服务的监控下,更新本机的病毒代码库及相文件,对计算机的所有文件和内存实施动态、实时、定时等多种病毒防杀策略,以确保网络系统安全。
(4)网络容错
集群技术。一个服务器集群包含多台拥有共享数据存储空间的服务器,各服务器之间通过内部局域网进行相互通信。当其中一台服务器发生故障时,它所运行的应用程序将由其他的服务器自动接管。在大多数情况下,集群中所有的计算机都拥有一个共同的名称,集群系统内任意一台服务器都可被所有的网络用户所使用。
(5)安全备份与灾难恢复
企业信息管理最重要的资产不是网络硬件,而是网络运行的数据。
理想的备份系统是在软件备份的基础上增加硬件容错系统,使网络更加安全可靠。实际上,备份不仅仅是文件备份,而是整个网络的一套备份体系。备份应包括文件备份和恢复,数据库备份和恢复、系统灾难恢复和备份任务管理。
(6)网络入侵检测、报警、审计技术
入侵检测系统(IDS-Intrusin Detection System)执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。
常见的IDS产品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、启明星辰公司的天阗、上海金诺的网安、东软的网眼等。
(7)局域网信息的安全保护技术
密码采用9位以上,每周修改1次
采用多层交换网络的虚拟网划分技术,防止在内部网监听数据
采用NTFS磁盘分区加密技术,使网上邻居只能是信任用户
采用Windows域控制技术,对网络资源实行统一管理
采用SAN(Storage Area Network存储区域网络)与NAS(Network Attached Storage网络连接存储)保护数据。
SAN技术允许将独立的存储设备连接至一台或多台服务器,专用于服务器,而服务器则控制了网络其他部分对它的访问。
NAS将存储设备直接连接至网络,使网络中的用户和网络服务器可以共享此设备,网络对存储设备的访问则由文件管理器这一类设备进行管理。
利用SAN结合集群技术提高系统可靠性、可扩充性和抗灾难性;利用NAS文件服务统一存放管理全公司桌面系统数据。
(8)网络代理
采用Proxy对访问Internet实行统一监控。限制用户访问的时间、访问的内容、访问的网址、访问的协议等等,同时对用户的访问进行审计。
(9)邮件过滤技术。
采用具有过滤技术邮件管理系统,一般是针对“主题词”、“关键字”、“地址(IP、域名)”等信息过滤,防止非法信息的侵入。
(10)重视网络安全的教育,提高安全意识。
三、综合布线与机房设计
1. 把服务器、UPS、防火墙、路由器及中心交换机放置在中心机房,把各子系统的配线柜设置在各子系统所在的楼层。
2. 楼宇间光缆敷设
采用4芯以上的单模或多模室外金属光缆架空或埋地敷设。
3. 楼宇内UTP布线
采用AMP超五类UTP电缆、AMP超五类模块、AMP信息面板、配线架、AMP超五类UTP跳线实现垂直系统、水平子系统、工作区的布线。
4. 机房装修
(1)地板。铺设抗静电三防地板,规格600*600*27,板面标高0.20m,地板应符合GB6650-82《计算机机房用活动地板技术条件》
(2)吊顶。轻钢龙骨铝合金架顶棚、顶部矿棉吸声板饰面。
(3)墙面。涂刮防防瓷、墙壁面刷乳胶漆。
(4)窗户。加装塑钢推拉窗、木制窗帘盒、亚麻竖百叶窗帘。
(5)出入门。安装铝合金玻璃隔断推拉门。
(6)照明。采用高效格栅双管日光灯嵌入安装。
(7)配电。机房配电采用三相五线制,多种电源(动力三相380V、普通220V和UPS输出220V)配电箱。为UPS、空调机、照明等供电。配电箱设有空气开关,线路全部用铜芯穿PVC管。
(8)接地。根据要求设计接地系统,其直流接地电阻小于1Ω、工作保护地和防雷地接地电阻小于4Ω。为保证优良的接地性能,采用JD—1型接地和化学降阻剂,此外,考虑机房抗静电的需求,对抗静电活动地板进行可靠的接地处理,以保证设备和工作人员的安全要求。
(9)空调。主机房3P柜机;分机房1.5壁挂式空调机。
5. UPS后备电源。
采用分散保护,集中管理电源的策略,考虑APC公司提供的电源解决方案。
四、企业网应用系统
1. 应用服务器。IBM服务器首选,当然,也可以采用高档PC机,PC机的优点是便于更新换代。
2. 软件平台。采用Windows 2003(主要使用Domain域控制器,集成DNS服务),Redhat 9.0,Solaris 9.0(在unix/linux上运行Oracle数据库,SAP/R3系统,基于Lotus Domino/Notes的OA系统)
3. 数据库系统。采用Oracle大型数据库,或SQL Server2000数据库。
4. OA办公系统。基于Lotus Domino/Notes的OA系统,Lotus Domino集成Email/HTTP等服务。
5. 企业管理综合软件ERP。采用SAP/R3系统,一步解决未来企业国际化问题;或是用友ERP—U8系统。
6. 网络存储系统。
五、网络系统管理
1.交换机、路由器管理。设备均是Cisco产品,使用Cisco Works 2000。
2.网络综合管理。HP OpenView集成网络管理和系统管理。OpenView 实现了网络运作从被动无序到主动控制的过渡,使IT部门及时了解整个网络当前的真实状况,实现主动控制。OpenView系统产品包括了统一管理平台、全面的服务和资产管理、网络安全、服务质量保障、故障自动监测和处理、设备搜索、网络存储、智能代理、Internet环境的开放式服务等丰富的功能特性。
3.桌面系统管理。
这是一个网上我搜索到的
!
有没有经验啦~~
自己能不能独立完成啦~~~
做过项目吗~~~~
网络设备啦~~~~
网络产品啦~~~
不知道是不是随便说说`~~~~~~~~~~
这是某人10月初的一个面试题目,售后职位:高级网络工程师。面试官是三位CCIE,面试过程历时2个多小时,印象非常深刻。现在这个offer基本已经确定了,事主还在考虑诸如待遇及工作压力等情况再决定是否接这个offer.事主亦在其blog上张贴了面试题目,我故亦斗胆将其贴出。
1. 现在的6509及7609,SUP720交换带宽去到720G,是不是可以说7609/6509可以取代一部分GSR的地位?
2. isis level1 的路由表包括哪此路由?有多个level-1-2出口时,其它路由它从哪里学到,如何选路?
3. MPLS L3 VPN,如果我想让两个不同的VPN作单向互访,怎做?
4. 跨域的MPLS L3 VPN可以谈谈思路吗?
5. MPLS L3 VPN的一个用户,他有上internet的需求,如何实现?有几种实现方法?特点各是什么?
6. MPLS L3 VPN,如果我想让两个不同的VPN作单向互访,怎做?
7. L3 VPN与L2 VPN各自的特点是怎样?你觉得哪一种模式运营起来比较有前景?
8. ISIS与OSPF的区别谈一谈吧,各个方面。
9. 一个骨干网或城域网选ISIS及OSPF基于什么理由?
10. BGP选路原则常用是哪些?在骨干网与城域网间如何搭配一块使用?
11. 如果BGP加上max path,会在哪个BGP选路属性之前应用这个选项?
12. 为什么骨干网pop及城域网出口要作next-hop-self?
13. 两个AS之间,有四台路由器口字型互联,其中一台路由器上从EBGP学到一个网络,又从IBGP学到同一个网络,选路哪个?是哪个属性影响?如果我在IBGP过来那个加上MED小于从EBGP过来的,又选哪个?为什么?
14. local-pre与weight的区别是什么?
15. BGP能不能实现负载均衡?如果可以,有哪些方法?
16. 多个AS之间,可不可以比较MED?如可以,需要前提条件吗?如有,前提条件是什么?
17. MED能不能和AS内的IGP度量值结合起来?如可以,如何做?
18. 割接限定回退的时间还有十分钟,割接还未成功,局方已经催你回退了,但你觉得这些问题你再努力5分钟可能会解决,你的选择是什么?
19. 骨干网的QoS,如何部署?你认为什么骨干网什么情况下是有拥塞发生了?
20. 对于工程及维护来说,你觉得l3网络和l2网络哪个比较好?
21. L3网络与L2网络对环路的处理各是什么样的机制?
22. 一般情况下,L2交换机的生成树有多少数量?
23. 3550的生成树模式是什么?生成树数量是怎样的?
24. 跟据你的经验,GE的端口,当流量达到多少时,你可以认为是有拥塞发生了?2.5G POS口,当流量达到多少时,你可以认为有拥塞?
此外,中间问了对项目实施上的一些事件的处理方式,问了有没有一些失败的经历及体验,还有问及工作中碰过最棘手的事件是什么及如何处理等等。当然还有一些互相调戏平和气氛的对话。
③ 网络工程师面试题
网络工程师面试题 1: 交换机是如何转发数据包的?
交换机通过学习数据帧中的源MAC地址生成交换机的MAC地址表,交换机查看数据帧的目标MAC地址,根据MAC地址表转发数据,如果交换机在表中没有找到匹配项,则向除接受到这个数据帧的端口以外的所有端口广播这个数据帧。
2 简述STP的作用及工作原理.
作用:(1) 能够在逻辑上阻断环路,生成树形结构的拓扑;
(2) 能够不断的检测网络的变化,当主要的线路出现故障断开的时候,STP还能通过计算激活阻起到断的端口,起到链路的备份作用。
工作原理: STP将一个环形网络生成无环拓朴的步骤:
选择根网桥(Root Bridge)
选择根端口(Root Ports)
选择指定端口(Designated Ports)
生成树机理
每个STP实例中有一个根网桥
每个非根网桥上都有一个根端口
每个网段有一个指定端口
非指定端口被阻塞 STP是交换网络的重点,考察是否理解.
3:简述传统的多层交换与基于CEF的多层交换的区别
简单的说:传统的多层交换:一次路由,多次交换
基于CEF的多层交换:无须路由,一直交换.
4:DHCP的作用是什么,如何让一个vlan中的DHCP服务器为整个企业网络分配IP地址?
作用:动态主机配置协议,为客户端动态分配IP地址.
配置DHCP中继,也就是帮助地址.(因为DHCP是基于广播的,vlan 或路由器隔离了广播)
5:有一台交换机上的所有用户都获取不了IP地址,但手工配置后这台交换机上的同一vlan间的用户之间能够相互ping通,但ping不通外网,请说出排障思路.
1:如果其它交换机上的终端设备能够获取IP地址,看帮助地址是否配置正确;
2:此交换机与上连交换机间是否封装为Trunk.
3:单臂路由实现vlan间路由的话看子接口是否配置正确,三层交换机实现vlan间路由的话看是否给vlan配置ip地址及配置是否正确.
4:再看此交换机跟上连交换机之间的级连线是否有问题;
排障思路.
6:什么是静态路由?什么是动态路由?各自的特点是什么?
静态路由是由管理员在路由器中手动配置的固定路由,路由明确地指定了包到达目的地必须经过的路径,除非网络管理员干预,否则静态路由不会发生变化。静态路由不能对网络的改变作出反应,所以一般说静态路由用于网络规模不大、拓扑结构相对固定的网络。
静态路由特点
1、它允许对路由的行为进行精确的控制;
2、减少了网络流量;
3、是单向的;
4、配置简单。
动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由表的过程。是基于某种路由协议来实现的。常见的路由协议类型有:距离矢量路由协议(如RIP)和链路状态路由协议(如 OSPF)。路由协议定义了路由器在与其它路由器通信时的一些规则。动态路由协议一般都有路由算法。其路由选择算法的必要步骤
1、向其它路由器传递路由信息;
2、接收其它路由器的路由信息;
3、根据收到的路由信息计算出到每个目的网络的最优路径,并由此生成路由选择表;
4、根据网络拓扑的变化及时的做出反应,调整路由生成新的路由选择表,同时把拓扑变化以路由信息的形式向其它路由器宣告。
动态路由适用于网络规模大、拓扑复杂的网络。
动态路由特点:
1、无需管理员手工维护,减轻了管理员的工作负担。
2、占用了网络带宽。
3、在路由器上运行路由协议,使路由器可以自动根据网络拓朴结构的变化调整路由条目;
能否根据具体的环境选择合适的路由协议
7:简述有类与无类路由选择协议的区别
有类路由协议:路由更新信息中不含有子网信息的协议,如RIPV1,IGRP
无类路由协议:路由更新信息中含有子网信息的协议,如OSPF,RIPV2,IS-IS,EIGRP 是否理解有类与无类
8:简述RIP的防环机制
1.定义最大跳数 Maximum Hop Count (15跳)
2.水平分割 Split Horizon (默认所有接口开启,除了Frame-Relay的物理接口,可用sh ip interface 查看开启还是关闭)
3.毒化路由 Poizoned Route
4.毒性反转 Poison Reverse (RIP基于UDP,UDP和IP都不可靠,不知道对方收到毒化路由没有;类似于对毒化路由的Ack机制)
5.保持计时器 hold-down Timer (防止路由表频繁翻动)
6.闪式更新 Flash Update
7.触发更新 Triggered Update (需手工启动,且两边都要开 Router (config-if)# ip rip triggered )
当启用触发更新后,RIP不再遵循30s的周期性更新时间,这也是与闪式更新的区别所在。
RIP的4个计时器:
更新计时器(update): 30 s
无效计时器(invalid): 180 s (180s没收到更新,则置为possible down状态)
保持计时器(holddown): 180s (真正起作用的只有60s)
刷新计时器(flush): 240s (240s没收到更新,则删除这条路由)
如果路由变成possible down后,这条路由跳数将变成16跳,标记为不可达;这时holddown计时器开始计时。
在holddown时间内即使收到更优的路由,不加入路由表;这样做是为了防止路由频繁翻动。
什么时候启用holddown计时器: “当收到一条路由更新的跳数大于路由表中已记录的该条路由的跳数”
9:简述电路交换和分组交换的区别及应用场合. 电路交换连接
根据需要进行连接
每一次通信会话期间都要建立、保持,然后拆除
在电信运营商网络中建立起来的专用物理电路
分组交换连接
将传输的数据分组
多个网络设备共享实际的物理线路
使用虚电路/虚通道(Virtual Channel)传输
若要传送的数据量很大,且其传送时间远大于呼叫时间,则采用电路交换较为合适;当端到端的通路有很多段的链路组成时,采用分组交换传送数据较为合适。
10:简述PPP协议的优点. 支持同步或异步串行链路的传输
支持多种网络层协议
支持错误检测
支持网络层的地址协商
支持用户认证
允许进行数据压缩
11: pap和chap认证的区别
PAP(口令验证协议 Password Authentication Protocol)是一种简单的明文验证方式。NAS(网络接入服务器,Network Access Server)要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
CHAP(挑战-握手验证协议 Challenge-Handshake Authentication Protocol)是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrary challengestring)。远程客户必须使用MD5单向哈希算法(one-way hashing algorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。
CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replay attack)。在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免第3方冒充远程客户(remote client impersonation)进行攻击。
12:ADSL是如何实现数据与语音同传的?
物理层:频分复用技术.(高频传输数据,低频传输语音)具体讲解的话可以说明:调制,滤波,解调的过程.
13:OSPF中那几种网络类型需要选择DR,BDR?
广播型网络和非广播多路访问NBMA网络需要选.
14:OSPF中完全末梢区域的特点及适用场合
特点:不能学习其他区域的路由
不能学习外部路由
完全末梢区域不仅使用缺省路由到达OSPF自主系统外部的目的地址,而且使用这个缺省路由到达这个区域外部的所有目的地址.一个完全末梢区域的ABR不仅阻塞AS外部LSA,而且阻塞所有汇总LSA.
适用场合:只有一出口的网络.
15:OSPF中为什么要划分多区域?
1、减小路由表大小
2、限制lsa的扩散
3、加快收敛
4、增强稳定性
16:NSSA区域的特点是什么?
1.可以学习本区域连接的外部路由;
2.不学习其他区域转发进来的外部路由
17:你都知道网络的那些冗余技术,请说明.
交换机的冗余性:spanning-tree、ethernet-channel
路由的冗余性:HSRP,VRRP,GLBP.
(有必要的话可以详细介绍)
18:HSRP的转换时间是多长时间?
10s
19:标准访问控制列表和扩展访问控制列表的区别.
标准访问控制列表:基于源进行过滤
扩展访问控制列表: 基于源和目的地址、传输层协议和应用端口号进行过滤
20:NAT的原理及优缺点.
原理:转换内部地址,转换外部地址,PAT,解决地址重叠问题.
优点:节省IP地址,能够处理地址重复的情况,增加了灵活性,消除了地址重新编号,隐藏了内部IP地址.
缺点:增加了延迟,丢失了端到端的IP的跟踪过程,不能够支持一些特定的应用(如:SNMP),需要更多的内存来存储一个NAT表,需要更多的CPU来处理NAT的过程.
21: 对称性加密算法和非对称型加密算法的不同?
对称性加密算法的双方共同维护一组相同的密钥,并使用该密钥加密双方的数据,加密速度快,但密钥的维护需要双方的协商,容易被人窃取;非对称型加密算法使用公钥和私钥,双方维护对方的公钥(一对),并且各自维护自己的私钥,在加密过程中,通常使用对端公钥进行加密,对端接受后使用其私钥进行解密,加密性良好,而且不易被窃取,但加密速度慢.
22: 安全关联的作用?
SA分为两步骤:1.IKE SA,用于双方的对等体认证,认证对方为合法的对端;2.IPSec SA,用于双方认证后,协商对数据保护的方式.
23: ESP和AH的区别?
ESP除了可以对数据进行认证外,还可以对数据进行加密;AH不能对数据进行加密,但对数据认证的支持更好 .
24: snmp的两种工作方式是什么,有什么特点?
首先,SNMP是基于UDP的,有两种工作方式,一种是轮询,一种是中断.
轮询:网管工作站随机开端口轮询被管设备的UDP的161端口.
中断:被管设备将trap报文主动发给网管工作站的UDP的162端口.
特点:轮询一定能够查到被管设备是否出现了故障,但实时性不好.
中断实时性好(触发更新),但不一定能够将trap报文报告给网管工作站.
④ 网络工程师面试问题!
IDS 和IPS
从题库里找到的答案,加油!
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
我们做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:
(1)尽可能靠近攻击源
(2)尽可能靠近受保护资源
这些位置通常是:
•服务器区域的交换机上
•Internet接入路由器之后的第一台交换机上
•重点保护网段的局域网交换机上
防火墙和IDS可以分开操作,IDS是个临控系统,可以自行选择合适的,或是符合需求的,比如发现规则或监控不完善,可以更改设置及规则,或是重新设置!
IPS:侵入保护(阻止)系统
【导读】:侵入保护(阻止)系统(IPS)是新一代的侵入检测系统(IDS),可弥补 IDS 存在于前摄及假阳性/阴性等性质方面的弱点。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
侵入保护(阻止)系统(IPS)是新一代的侵入检测系统(IDS),可弥补 IDS 存在于前摄及假阳性/阴性等性质方面的弱点。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
IPS 的关键技术成份包括所合并的全球和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理 IPS 的控制台。如同 IDS 中一样,IPS 中也需要降低假阳性或假阴性,它通常使用更为先进的侵入检测技术,如试探式扫描、内容检查、状态和行为分析,同时还结合常规的侵入检测技术如基于签名的检测和异常检测。
同侵入检测系统(IDS)一样,IPS 系统分为基于主机和网络两种类型。
基于主机 IPS
基于主机的 IPS 依靠在被保护的系统中所直接安装的代理。它与操作系统内核和服务紧密地捆绑在一起,监视并截取对内核或 API 的系统调用,以便达到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境(如网页服务器的文件位置和注册条目),以便能够保护该应用程序使之能够避免那些还不存在签名的、普通的攻击。
基于网络的 IPS
基于网络的 IPS 综合了标准 IDS 的功能,IDS 是 IPS 与防火墙的混合体,并可被称为嵌入式 IDS 或网关 IDS(GIDS)。基于网络的 IPS 设备只能阻止通过该设备的恶意信息流。为了提高 IPS 设备的使用效率,必须采用强迫信息流通过该设备的方式。更为具体的来说,受保护的信息流必须代表着向联网计算机系统或从中发出的数据,且在其中:
指定的网络领域中,需要高度的安全和保护和/或
该网络领域中存在极可能发生的内部爆发
配置地址能够有效地将网络划分成最小的保护区域,并能够提供最大范围的有效覆盖率。
IDS和IPS争议有误区
【导读】:对于“IDS和IPS(IDP)谁更能满足用户需求”这个问题,给人一种二选一的感觉。经过了长时间的反复争论,以及来自产品开发和市场的反馈,冷静的业内人士和客户已经看到这根本不是一个二选一的问题。
对于“IDS和IPS(IDP)谁更能满足用户需求”这个问题,给人一种二选一的感觉。经过了长时间的反复争论,以及来自产品开发和市场的反馈,冷静的业内人士和客户已经看到这根本不是一个二选一的问题。
很显然,用户需要的不是单一的产品,也不是众多产品的简单堆砌。现在一个比较流行的说法就是“信息安全保障体系(系统)”,也就是用户的安全是要靠众多技术、产品、服务和管理等要素组合成一个完整的体系,来解决所面临的安全威胁,以保护信息资产和正常业务。
在安全保障框架中,不同的产品、服务、措施会在不同的地方发挥作用。比如,PKI和生物鉴别机制的优势在鉴别认证领域能够很好地发挥作用;入侵检测则在监测、监控和预警领域发挥优势;防火墙和IPS能在访问控制领域发挥长处;数据加密和内容过滤在内容安全领域独领风骚。讨论不同的安全技术领域哪个更加符合用户的需求,其实不如探讨让各种安全技术如何有效地协同工作。
IPS真的能够替代防火墙和IDS吗?提供IPS(IDP)的厂商常常声称,其IPS能够兼具防火墙的网关防御能力和入侵检测的深度检测,企图达到把IPS的作用上升到1+1>2的效果。但是很遗憾,实际上并不是这样。我们必须从技术本质上寻找解决办法。目前IPS能够解决的主要是准确的单包检测和高速传输的融合问题。
当然,检测和访问控制如何协同和融合,将会一直是业内研究的课题,也将会有更多更好的技术形态出现。不管叫什么名字,适合用户需求的就是最好的。
三个维度区分IDS与IPS
【导读】:3年前,当入侵防御技术(IPS)出现时,咨询机构Gartner曾经预言,IDS(入侵检测)即将死亡,将由IPS取代,当时曾引起媒体一片讨论。2006年,咨询机构IDC断言,IDS与IPS是两种不同的技术,无法互相取代。而今天,依然有很多用户不清楚两者之间的差别。
中国人民银行的张涨是IDS的骨灰级用户,对IDS玩得非常熟,但即使这样,他也仅仅是听说IPS而已,并没有真正使用和见过。他的担心是:IPS既然是网络威胁的阻断设备,误报、误阻影响网络的连通性怎么办?北京银行的魏武中也认为,如果在网络的入口处,串接了一串安全设备:IPS、防火墙/VPM以及杀病毒网关等,怎么保证网络的效率?是否会因增添一种新的设备而引起新的单点故障的风险?
事实上,这些疑问一直如影随形地伴随着IPS的诞生和发展。以至于,在很多用户的安全设备的采购清单中,一直在出现“IDS或IPS”的选择,这证明用户依然不了解这两种技术的差别。
启明星辰公司的产品管理中心总监万卿认为,现在是重新审视这两种技术的时候了。他认为,要从三个维度上认清这两种技术的不同。
从趋势看差别
2004年,Gartner的报告曾经预言IDS即将死亡,但无论从用户的需求还是从厂商的产品销售来看,IDS依然处于旺盛的需求阶段,比如,国内最大的IDS生产厂商启明星辰公司,今年上半年IDS的增长超过了50%,并且,公司最大的赢利来源依然是IDS,事实证明,IDS即将死亡的论断是错误的。
万卿认为,IDC的报告是准确的,IDS和IPS分属两种不同产品领域,前者是一种检测技术,而后者是一种阻断技术,只不过后者阻断攻击的依据是检测,因此要用到很多的检测技术,很多用户就此搞混了。
从理论上看,IDS和IPS是分属两个不同的层次,这与用户的风险防范模型有关,用户首先要查找到风险,才能预防和阻断风险。而IDS是查找和评估风险的设备,IPS是阻断风险的设备。防火墙只能做网络层的风险阻断,不能做到应用层的风险阻断。过去,人们曾经利用防火墙与IDS联动的方式实现应用层的风险阻断,但由于是联动,阻断时间上会出现滞后,往往攻击已经发生了才出现阻断,这种阻断已经失去了意义,IPS就此产生。
用一句话概括,IDS是帮助用户自我评估、自我认知的设备,而IPS或防火墙是改善控制环境的设备。IPS注重的是入侵风险的控制,而IDS注重的是入侵风险的管理。也许有一天,通过IDS,我们能确定到底在什么地方放IPS?到底在什么地方放防火墙?这些设备应该配备哪些策略?并可以通过IDS检测部署IPS/防火墙的效果如何。
IDS与IPS各自的应用价值与部署目标
【导读】:从2003年 Gartner公司副总裁Richard Stiennon发表的《入侵检测已寿终正寝,入侵防御将万古长青》报告引发的安全业界震动至今,关于入侵检测系统与入侵防御系统之间关系的讨论已经趋于平淡,2006年IDC年度安全市场报告更是明确指出入侵检测系统和入侵防御系统是两个独立的市场,给这个讨论画上了一个句号。可以说,目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢?笔者曾见过用户进行产品选择的时候在产品类型上写着“入侵检测系统或者入侵防御系统”。这说明用户还不能确定到底使用哪种产品,显然是因为对两类产品的区分不够清晰所致,其实从产品价值以及应用角度来分析就可以比较清晰的区分和选择两类产品。
从2003年 Gartner公司副总裁Richard Stiennon发表的《入侵检测已寿终正寝,入侵防御将万古长青》报告引发的安全业界震动至今,关于入侵检测系统与入侵防御系统之间关系的讨论已经趋于平淡,2006年IDC年度安全市场报告更是明确指出入侵检测系统和入侵防御系统是两个独立的市场,给这个讨论画上了一个句号。可以说,目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢?笔者曾见过用户进行产品选择的时候在产品类型上写着“入侵检测系统或者入侵防御系统”。这说明用户还不能确定到底使用哪种产品,显然是因为对两类产品的区分不够清晰所致,其实从产品价值以及应用角度来分析就可以比较清晰的区分和选择两类产品。
从产品价值角度讲:入侵检测系统注重的是网络安全状况的监管。用户进行网络安全建设之前,通常要考虑信息系统面临哪些威胁;这些威胁的来源以及进入信息系统的途径;信息系统对这些威胁的抵御能力如何等方面的信息。在信息系统安全建设中以及实施后也要不断的观察信息系统中的安全状况,了解网络威胁发展趋势。只有这样才能有的放矢的进行信息系统的安全建设,才能根据安全状况及时调整安全策略,减少信息系统被破坏的可能。
入侵防御系统关注的是对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后,可以在入侵防御系统中实施边界防护安全策略。与防火墙类产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。
从产品应用角度来讲:为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。
而为了实现对外部攻击的防御,入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。
IDS是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。IPS 能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
⑤ 计算机网络专业面试
1、2003个有几个版本,每个版本最新系统补丁包是什么啊?
2、 DNS的实现方法?
3、 WEB服务器的负载均衡?
4、 请问目前市面上常用几种网络操作系统的优缺点?
5、 请问你用过那些服务器?请讲述raid0、1、5的特点和优点?
6、 请列出下列协议的段口号:HTTP,HTTPS,DNS,FTP,TELNET,PPTP,SMTP,POP3?
7、 请问局域网内想要通过UNC路径或者NETBIOS名称访问对方计算机,需要在对方计算机上开放什么协议或者端口?
8、 OSI七层模型?TCP/IP模型?
9、 能否将WIN2000P升级成WIN2000S?
10、 怎样保证1个文档的安全性?
11、 说说你知道的防火墙及其应用?
12、 WINDOWS域的具体实现方式?客户机要加入到域该如何操作?
13、 请问你对AD熟悉吗?怎样组织AD资源?
14、 请简述操作主机(FSMO)的作用?
15、 请问PKI是什么啊?在WIN下怎样实现PKI?请简述证书申请的一个过程?
16、 请问你用过那些远程控制软件啊?
17、 怎样实现WINDOWS 群集?
18、 你知道哪几种邮件系统?请简述安装EXCHANG 2003的详细步骤?
19、 请问ISA 有几大功能?请简述用ISA发布网站的过程?
20、 请问怎样才能让SQL服务器更安全?
21、 请问在生产环境中你应该如何规划SQL数据库文件存放?
22、 当一台DC发生宕机,你应该如何处理?
23、 请问你如何把你的WINDOWS服务器做得更安全?
24、 如何备份和还原SQL 数据库?
25、 如何备份和还原EXCHANG数据库?
26、 你用过那些杀毒软件(网络版和单机版)?
27、 如果有一个小型企业网络需要你去规划,请讲述你的规划 思路?
28、 你知道那些入侵检测系统?你能独立部署的有那些?
29、 请问如何加强WEB服务器的安全?
30、 当有一台电脑出现故障,请问你怎样解决这个问题?
31、 你做过系统补丁升级吗?内网如果有一百台机器的话你怎样做系统补丁升级?
32、 网页出现乱吗是什么原因?
33、 Exchang2003安装成功默认能用foxmail收发邮件吗?如果能,为什么?如果不能,请说明原因?
34、 请问怎样才能统一更改整个公司的邮件地址(exchange环境)?
35、 请问你在生产环境中如何规划EXCHANGE服务器数据库的存放?
36、 请你写出10条以上保证你企业网络安全的措施。
37、 一台WINDOWS XP的客户机,登陆域的时需要十分钟,请问是什么原因?怎么解决阿?
38、 当用户反映去访问一台文件服务器非常慢,请问是什么原因?如何解决?
39、 当用户反映上网速度非常慢,请问什么原因?如何解决?
本文出自 51CTO.COM技术博客
一 计算机网络的定义,并谈谈你对网络的理解
把分布在不同地点且具有独立功能的多个计算机,通过通信设备和线路连接起来,在功能完善的网络软件运行下,以实现网络中资源共享为目标的系统。(理解略)
二 请描述osi七层模型,并简要概括各层功能
OSI是Open System Interconnect的缩写,这个模型把网络通信的工作分为7层,它们由低到高分别是物理层(Physical Layer),数据链路层(Data Link Layer),网络层(Network Layer),传输层(Transport Layer),会话层(Session Layer),表示层(Presen tation Layer)和应用层(Application Layer)。第一层到第三层属于OSI参考模型的低三层,负责创建网络通信连接的链路;第四层到第七层为OSI参考模型的高四层,具体负责端到端的数据通信。每层完成一定的功能,每层都直接为其上层提供服务,并且所有层次都互相支持,而网络通信则可以自上而下(在发送端)或者自下而上(在接收端)双向进行。当然并不是每一通信都需要经过OSI的全部七层,有的甚至只需要双方对应的某一层即可。物理接口之间的转接,以及中继器与中继器之间的连接就只需在物理层中进行即可;而路由器与路由器之间的连接则只需经过网络层以下的三层即可。总的来说,双方的通信是在对等层次上进行的,不能在不对称层次上进行通信。
OSI参考模型的各个层次的划分遵循下列原则:
1、同一层中的各网络节点都有相同的层次结构,具有同样的功能。
2、同一节点内相邻层之间通过接口(可以是逻辑接口)进行通信。
3、七层结构中的每一层使用下一层提供的服务,并且向其上层提供服务。
4、不同节点的同等层按照协议实现对等层之间的通信。
第一层:物理层(PhysicalLayer)
规定通信设备的机械的、电气的、功能的和过程的特性,用以建立、维护和拆除物理链路连接。具体地讲,机械特性规定了网络连接时所需接插件的规格尺寸、引脚数量和排列情况等;电气特性规定了在物理连接上传输bit流时线路上信号电平的大小、阻抗匹配、传输速率距离限制等;功能特性是指对各个信号先分配确切的信号含义,即定义了DTE和DCE之间各个线路的功能;规程特性定义了利用信号线进行bit流传输的一组操作规程,是指在物理连接的建立、维护、交换信息是,DTE和DCE双放在各电路上的动作系列。
在这一层,数据的单位称为比特(bit)。
属于物理层定义的典型规范代表包括:EIA/TIA RS-232、EIA/TIA RS-449、V.35、RJ-45等。
第二层:数据链路层(DataLinkLayer)
在物理层提供比特流服务的基础上,建立相邻结点之间的数据链路,通过差错控制提供数据帧(Frame)在信道上无差错的传输,并进行各电路上的动作系列。
数据链路层在不可靠的物理介质上提供可靠的传输。该层的作用包括:物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。
在这一层,数据的单位称为帧(frame)。
数据链路层协议的代表包括:SDLC、HDLC、PPP、STP、帧中继等。
第三层:网络层(Network Layer)
在计算机网络中进行通信的两个计算机之间可能会经过很多个数据链路,也可能还要经过很多通信子网。网络层的任务就是选择合适的网间路由和交换结点, 确保数据及时传送。网络层将数据链路层提供的帧组成数据包,包中封装有网络层包头,其中含有逻辑地址信息- -源站点和目的站点地址的网络地址。
如果你在谈论一个IP地址,那么你是在处理第3层的问题,这是“数据包”问题,而不是第2层的“帧”。IP是第3层问题的一部分,此外还有一些路由协议和地址解析协议(ARP)。有关路由的一切事情都在第3层处理。地址解析和路由是3层的重要目的。网络层还可以实现拥塞控制、网际互连等功能。
在这一层,数据的单位称为数据包(packet)。
网络层协议的代表包括:IP、IPX、RIP、OSPF等。
第四层:处理信息的传输层
第4层的数据单元也称作数据包(packets)。但是,当你谈论TCP等具体的协议时又有特殊的叫法,TCP的数据单元称为段(segments)而UDP协议的数据单元称为“数据报(datagrams)”。这个层负责获取全部信息,因此,它必须跟踪数据单元碎片、乱序到达的数据包和其它在传输过程中可能发生的危险。第4层为上层提供端到端(最终用户到最终用户)的透明的、可靠的数据传输服务。所为透明的传输是指在通信过程中传输层对上层屏蔽了通信传输系统的具体细节。
传输层协议的代表包括:TCP、UDP、SPX等。
第五层:会话层(Session Layer)
这一层也可以称为会晤层或对话层,在会话层及以上的高层次中,数据传送的单位不再另外命名,统称为报文。会话层不参与具体的传输,它提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。如服务器验证用户登录便是由会话层完成的。
第六层:表示层(Presentation Layer)
这一层主要解决拥护信息的语法表示问题。它将欲交换的数据从适合于某一用户的抽象语法,转换为适合于OSI系统内部使用的传送语法。即提供格式化的表示和转换数据服务。数据的压缩和解压缩, 加密和解密等工作都由表示层负责。
第七层:应用层(Application Layer)
应用层为操作系统或网络应用程序提供访问网络服务的接口。
应用层协议的代表包括:Telnet、FTP、HTTP、SNMP等。
三 请描述tcp/ip模型,并简要介绍各层功能
由于种种原因,OSI模型并没有成为真正应用在工业技术中的网络体系结构。在网络发展的最初期,网络覆盖的地域范围非常有限,而且主要用途也只是为了美国国防部和军方科研机构服务。随着民用化发展,网络通过电话线路连接到大学等单位,进一步需要通过卫星和微波网络进行网络扩展,军用网络中原有技术标准已经不能满足网络日益民用化和网络互连的需求,因此设计一套以无缝方式实现各种网络之间互连的技术标准就提到议事日程上来。这一网络体系结构就是后来的TCP/IP参考模型。
TCP/IP模型共分四层,分别为应用层、传输层、互联网层和主机到网络层。各层实现特定的功能,提供特定的服务和访问接口,并具有相对的独立性。
( 1) 主机到网络层
主机到网络层是TCP/IP模型中的第一层。它相当于OSI模型中的物理层和数据链路层,因为这一层的功能是将数据从主机发送到网络上。与应用邮政系统类比,主机到网络层中的比特流传输相当于信件的运送。
(2) 互联网层
互联网层是TCP/IP模型中的第二层。最初是希望当网络中部分设备不能正常运行时,网络服务不被中断,已经建立的网络连接依然可以有效地传输数据;换言之,只要源主机和目标主机处于正常状态,就要求网络可以完成传输任务。互联网层正是在这些苛刻的设计目标下选择了分组交换(Packer Switching)技术作为解决方案。
分组交换技术不仅使分组发送到任意的网络后可以独立地漫游到目标主机,而且可确保目标主机接收到顺序被打乱的分组后,将其传送到最高层重新排定分组顺序。互联网层定义了标准的分组格式和接口参数,只要符合这样的标准,分组就可以在不同网络间实现漫游。
(3) 传输层
传输层是TCP/IP模型中的第三层。其功能与OSI模型中的传输层相类似,TCP/IP模型中的传输层不仅可以提供不同服务等级、不同可靠性保证的传输服务,而且还可以协调发送端和接收端之间的传输速度差异。
(4) 应用层
应用层是TCP/IP模型中的第四层。与OSI模型不同的是,在TCP/IP模型中没有会话层和表示层。由于在应用中发现,并不是所有的网络服务都需要会话层和表示层的功能,因此这些功能逐渐被融合到TCP/IP模型中应用层的那些特定的网络服务中。应用层是网络操作者的应用接口,正像发件人将信件放进邮筒一样,网络操作者只需在应用程序中按下发送数据按钮,其余的任务都由应用层以下的层完成。
四 请简要叙述交换机和集线器的区别
最简单的区别就是HUB是广播式的,用户共享带宽;交换机是交互式的,每个用户独享带宽。
在当今这个全球网络化的网络时代,网络已成为人类生活的必须。作为局域网组建的重要设备:交换机和集线器,都起着局域网的数据传送“枢纽”的作用。那么,交换机和集线器到底有什么区别?
所谓交换机其实是从集线器技术发展而来的。如果用最简单的语言叙述交换机与集线器的区别,那就应该是智能与非智能的差别。集线器说白了只是连接多个计算机的 设备,它只能起到信号放大、传输的作用,但不能对信号中的碎片进行处理,所以在传输过程中非常容易出错。而交换机则可以看作是一种智能型的集线器,它除了 包括集线器的所有特性外,还具有自动寻址、交换、处理的功能。并且在传递过程中,只有发送源与接受源独立工作,其间不与其它端口发生关系,从而达到防止数 据丢失和提高吞吐量的目的。
下来我将从交换机与集线器的概念,种类,特点,OSI体系结构,工作方式等基本问题上对二者的区别进行分析说明。
1.交换机和集线器的概念
1.1. 交换机 交换机的英文名称之为“Switch”,它是集线器的升级换代产品,从外观上来看的话,它与集线器基本上没有多大区别,都是带有多个端口的长方形 盒状体。交换机是按照通信两端传输信息的需要,用人工或设备自动完成的方法把要传输的信息送到符合要求的相应路由上的技术统称。广义的交换机就是一种在通 信系统中完成信息交换功能的设备。
1.2.集线器 集线器(HUB)是计算机网络中连接多个计算机或其他设备的连接设备,是对网络进行集中管理的 最小单元。英文HUB就是中心的意思,像树的主干一样,它是各分支的汇集点。许多种类型的网络都依靠集线器来连接各种设备并把数据分发到各个网段。HUB 基本上是一个共享设备,其实质是一个中继器,主要提供信号放大和中转的功能,它把一个端口接收的全部信号向所有端口分发出去。
2.交换机和集线器的种类
交换机和集线器从不同的方面和角度有着不同的分类。
2.1.HUB集线器的种类
集线器有多种类型,各个种类具有特定的功能、提供不同等级的服务。
2.1.1.依据总线带宽的不同,HUB分为10M、100M和10M/100M自适应三种;若按配置形式的不同可分为独立型、模块化和堆叠式三种。
2.1.2.根据端口数目的不同主要有8口、16口和24口几种。
2.1.3.根据工作方式可分为智能型和非智能型两种。目前所使用的HUB基本是前三种分类的组合,如我们常在广告中看到的10M/100M自适应智能型、可堆叠式HUB等。
2.1.4.依据工作方式区分有较普遍的意义,可以进一步划分为被动集线器、主动集线器、智能集线器和交换集线器四种。
2.2.交换机的分类
2. 2.1.按照现在复杂的网络构成方式,网络交换机被划分为接入层交换机、汇聚层交换机和核心层交换机。其中,核心层交换机全部采用机箱式模块化设计,目前 已经基本都设计了与之相配备的1000BASE-T模块,核心层交换机的选购在本文中不做讨论。接入层支持1000BASE-T的以太网交换机基本上是固 定端口式交换机,以10/100Mbps端口为主,并且以固定端口或扩展槽方式提供1000BASE-T的上连端口。汇聚层1000BASE-T交换机同 时存在机箱式和固定端口式2种设计,可以提供多个1000BASE-T 端口,一般也可以提供1000BASE-X等其他形式的端口。接入层和汇聚层交换 机共同构成完整的中小型局域网解决方案。
2.2.2. 按照OSI的7层网络模型,交换机又可以分为第二层交换机、第三层交换机、第四层交换机 等等,一直到第七层交换机。基于MAC地址工作的第二层交换机最为普遍,用于网络接入层和汇聚层。基于IP地址和协议进行交换的第三层交换机普遍应用于网 络的核心层,也少量应用于汇聚层。部分第3层交换机也同时具有第四层交换功能,可以根据数据帧的协议端口信息进行目标端口判断。第四层以上的交换机称之为 内容型交换机,主要用于互联网数据中心,不在本文讨论范围之内。
2.2.3.按照交换机的可管理性,又可以分为可管理型交换机和非可管理型交换 机,它们的区别在于对SNMP、RMON等网管协议的支持。可管理型交换机便于网络监控,但成本也相对较高。大中型网络在汇聚层应该选择可管理型交换机, 在接入层视应用需要而定,核心层交换机全部是可管理型交换机。
3.交换机和集线器的特点
3.1.Hub的特点
在星型结构中,它是连接的中间结点,它起放大信号的作用。所有设备共享Hub的带宽,也就是说,如果hub的带宽是10M,连结了10了设备,每个设备就是1M,Hub所有端口共享一个MAC地址。
3.2.switch 的特点
用于星型结构时,它作为中心结点起放大信号的作用,端口不共享带宽,如果是一个10M的switch,那么每个端口的带宽就是10M,每个端口拥有自己的MAC地址。
交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流量控制。目前一些高档交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有路由和防火墙的功能。
交换机除了能够连接同种类型的网络之外,还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。如今许多交换机都能够提供支持快速以太网或FDDI等的高速连接端口,用于连接网络中的其它交换机或者为带宽占用量大的关键服务器提供附加带宽。
它是一个网络设备,拥有路由器的一部分功能,它可以决定接收到的数据向什么地方发送,它的速度比路由器要快。
4.交换机和集线器的主要区别
通过从上面各方面的分析我们可以知道交换机和集线器的主要区别分为四个方面,分别是在OSI体系结构,数据传输方式,带宽占用方式和传输模式上。
4.1. OSI体系结构上的区别 集线器属于OSI的第一层物理层设备,而交换机属于OSI的第二层数据链路层设备。也就意味着集线器只是对数据的传输起到同步、 放大和整形的作用,对数据传输中的短帧、碎片等无法进行有效的处理,不能保证数据传输的完整性和正确性;而交换机不但可以对数据的传输做到同步、放大和整 形,而且可以过滤短帧、碎片等。
4.2.数据传输方式上的区别
目前,80%的局域网(LAN)是以太网,在局域网中大量地使用了集线器(HUB)或交换机(Switch)这种连接设备。利用集线器连接的局域网叫共享式局域网,利用交换机连接的局域网叫交换式局域网。
4.2.1. 工作方式不同 我们先来谈谈网络中的共享和交换这两个概念。在此,我们打个比方,同样是10个车道的马路,如果没有给道路标清行车路线,那么车辆就只能在 无序的状态下抢道或占道通行,容易发生交通堵塞和反向行驶的车辆对撞,使通行能力降低。为了避免上述情况的发生,就需要在道路上标清行车线,保证每一辆车 各行其道、互不干扰。共享式网络就相当于前面所讲的无序状态,当数据和用户数量超出一定的限量时,就会造成碰撞冲突,使网络性能衰退。而交换式网络则避免 了共享式网络的不足,交换技术的作用便是根据所传递信息包的目的地址,将每一信息包独立地从端口送至目的端口,避免了与其它端口发生碰撞,提高了网络的实 际吞吐量。
共享式以太网存在的主要问题是所有用户共享带宽,每个用户的实际可用带宽随网络用户数的增加而递减。这是因为当信息繁忙时,多个用户都 可能同进“争用”一个信道,而一个通道在某一时刻只充许一个用户占用,所以大量的经常处于监测等待状态,致使信号在传送时产生抖动、停滞或失真,严重影响 了网络的性能。
交换式以太网中,交换机供给每个用户专用的信息通道,除非两个源端口企图将信息同时发往同一目的端口,否则各个源端口与各自的目的端口之间可同时进行通信而不发生冲突。
4.2.2. 工作机理不同 集线器的工作机理是广播(broadcast),无论是从哪一个端口接收到什么类型的信包,都以广播的形式将信包发送给其余的所有端口,由 连接在这些端口上的网卡(NIC)判断处理这些信息,符合的留下处理,否则丢弃掉,这样很容易产生广播风暴,当网络较大时网络性能会受到很大的影响。从它 的工作状态看,HUB的执行效率比较低(将信包发送到了所有端口),安全性差(所有的网卡都能接收到,只是非目的地网卡丢弃了信包)。而且一次只能处理一 个信包,在多个端口同时出现信包的时候就出现碰撞,信包按照串行进行处理,不适合用于较大的网络主干中。
交换机的工作就完全不同,它通过分析 Ethernet包的包头信息(其中包含了原MAC地址、目标MAC地址、信息长度等),取得目标MAC地址后,查找交换机中存储的地址对照表(MAC地 址对应的端口),确认具有此MAC地址的网卡连接在哪个端口上,然后仅将信包送到对应端口,有效的有效的抑制广播风暴的产生。
这就是Switch 同HUB最大的不同点。而Switch内部转发信包的背板带宽也远大于端口带宽,因此信包处于并行状态,效率较高,可以满足大型网络环境大量数据并行处理的要求。
4.3.带宽占用方式上的区别
集 线器不管有多少个端口,所有端口都是共享一条带宽,在同一时刻只能有二个端口传送数据,其他端口只能等待,同时集线器只能工作在半双工模式下;而对于交换 机而言,每个端口都有一条独占的带宽,这样在速率上对于每个端口来说有了根本的保障。当二个端口工作时并不影响其他端口的工作,同时交换机不但可以工作在 半双工模式下而且可以工作在全双工模式下。
4.4.传输模式上的区别
集线器只能采用半双工方式进行传输的,因为集线器是共享传输介质的, 这样在上行通道上集线器一次只能传输一个任务,要么是接收数据,要么是发送数据。而交换机则不一样,它是采用全双工方式来传输数据的,因此在同一时刻可以 同时进行数据的接收和发送,这不但令数据的传输速度大大加快,而且在整个系统的吞吐量方面交换机比集线器至少要快一倍以上,因为它可以接收和发送同时进 行,实际上还远不止一倍,因为端口带宽一般来说交换机比集线器也要宽许多倍。
举个简单的例子,比如说让两组人同时给对方互相传输一个文件,从一个 人传到另一个的时间为1分钟。如果是用集线器的话,需要的时间是4分钟。数据先从一个人传到对方那里,然后对方再传回来。接着才能是另一组做相同的工作, 这样算下来就是4分钟。但是用交换机的话速度就快多了,在相同情况下只需要1分钟就足够了。由于每个端口都是独立的,所以这两组人可以同时传输数据,再因 为交换机可以工作在全双工下,所以每两个人也可以同时传输,换句话说这4个人是在同一个时间内完成的工作。所以我们也可以把集线器和交换机的处理能力看做 串行处理与并行处理。
5.总结
综上所述,集线器的功能只是一个多端口的转发器,无论从哪个端口传出来的讯号都会整形再生放大后向所有的端 口广播出去,并且所有的端口都会挤用同一个共享信带的带宽,造成数据量大时所有端口的带宽大幅减少;而交换机相当于多端口桥,它为用户提供的是独占的点对 点的连接,数据包只发向目的端口而不会向所有端口发送,这样减少了信号在网络发生碰撞,而且交换机上的所有端口均有独享的信道带宽。
交换机是继集线器基础上开发的一新的网络连接设备,拥有着更好更强大的功能和优点,而且还有着很高的性价比,更适应当今网络的需求。通过以上分析,我们不难看出交换机与集线器相比的明显优势。我相信在不久的以后交换机将会彻底替代集线器。
本文出自 51CTO.COM技术博客
⑥ 计算机网络技术,面试什么
计算机网络工作的职责范围决定求职者要准备的技能,面试问题也是在这方面来展开。简单来说如下:
1、一般小型公司,主要面对硬件维护、网络维护,老板对电脑也不太懂,问题会有:
(1)有装机经验吗?
(2)会装系统吗?
(3)会设内网吗,像路由器、网络打印等会设吗?
2、有点规模的公司,IT系统有一定规模,问题会有:
(1)网络经验有哪些?(对方懂网络,要小心条理的回答)
(2)网络安全会处理吗?(如果有这方面的能力,工资会高一些)
(3)有用过VPN设备或防火墙吗?(公司里有这些设备需要维护)
3、软件类公司,这种公司里高手有的是,需要熟练技能。
(1)学的专业是什么,会那些语言?
(2)域的设置熟练吗?
(3)维护过服务器吗?
网管工作分别很大,从初级到精通,从维护小局域网到保证网络的稳定和安全,再高端的提供数据安全方案并实施,包括网络知识和阵列知识等。
⑦ 网站维护员的面试题目
1.网页维护:
(1)网页日常资料的收集、更新、维护;
(2)负责部分网站文档资料的整理和撰写;
(3)参与网站程序的开发、升级及维护工作;
(4)更新和参与制作网页广告和相关图片和动画;
(5)使用HTML编写电子邮件页面;
(6)负责对网页内容的监控;
2.网络管理及硬件维护:
(1)设计并优化网站数据库物理建设方案,制定数据库备份和恢复策略及工作流程与规范;
(2)负责网站的网络安全解决方案和安全服务的实施
(3)全面维护、操作、监控系统,以确保系统正常安全运行
(4)负责公司内部办公网络、电话及计算机等设备的维修、维护和网络安全管理;
3.分析与网站质量改善:
(1)网站资料报表统计,访客统计分析;
(2)对用户提出的网站新功能的开发需求协调整理,和网站设计公司或内部网站开发人员沟通协调;
(3)参与整个网站的构建,评估,改善和日常维护;
(4)负责控制网站运营和维护的计划和预算;
(5)市场部其它工作的协助。
建议你利用上面这些观点来准确搜索面试试题,至于网站维护员的面试题目你可以在 http://www.lookgz.com/thread-45949-1-1.html 面试试题之家这里找到,希望能够帮到你!
⑧ 网络方面都面试些什么内容
这是yahoo面试题,供你参考:
Question 1. (单选)
IP地址18.7.0.1属于:
1. A类地址
2. B类地址
3. C类地址
4. D类地址
Question 2. (单选)
FTP协议的端口号码是:
1. 21
2. 23
3. 25
4. 1080
Question 3. (多选)
正则表达式 ab?c 匹配的字符串是:
1. abcd
2. acd
3. abdc
4. abbc
Question 4. (多选)
UNIX程序运行时会自动打开的文件描述符包括:
1. 标准输入
2. 标准输出
3. 标准错误
4. 系统日志
Question 5. (多选)
下列可以用于进程间通信的技术有:
1. 管道
2. SOCKET
3. 共享内存
4. 消息队列
Question 6. (多选)
数据通信中数据传输速率是最重要的性能指标之一,它指单位时间内传送的二进制数据
位数,常用的计量单位是:
1. Kbps
2. Byte
3. MB
4. Mbps
Question 7. (单选)
互操作性是指在不同环境下的应用程序可以相互操作,交换信息。要使采用不同数据格式
的各种计算机之间能够相互理解,这一功能是由下面哪一层来实现的?
1. 应用层
2. 表示层
3. 会话层
4. 传输层
Question 8. (单选)
在UNIX的Shell程序中,可以使用位置变量。若要指明Shell引用的最近后台进程的号码,
可以使用位置变量
1. $$
2. $!
3. $#
4. $-
Question 9. (单选)
设二叉树根结点的层次为0,一棵深度(高度)为k的满二叉树和同样深度的完全二叉树各
有f个结点和c个结点,下列关系式不正确的是:
1. f>=c
2. c>f
3. f=2k+1-1
4. C>2k-1
Question 10. (单选)
某二叉树结点的对称序序列为A、B、C、D、E、F、G,后序序列为B、D、C、A、F、G、E
。该二叉树结点的前序序列为
1. E、G、F、A、C、D、B
2. E、A、C、B、D、G、F
3. E、A、G、C、F、B、D
4. E、G、A、C、D、F、B
Question 11. (单选)
某二叉树结点的对称序序列为A、B、C、D、E、F、G,后序序列为B、D、C、A、F、G、E
该二叉树对应的树林包括多少棵树?
1. 1
2. 2
3. 3
4. 4
Question 12. (单选)
假设就绪队列中有10个进程,系统将时间片设为200ms, CPU进行进程切换要花费10ms。
则系统开销所占的比率约为
1. 1%
2. 5%
3. 10%
4. 20%
Question 13. (单选)
长度相同但格式不同的2种浮点数,假设前者阶码长、尾数短,后者阶码短、尾数长,其
它规定均相同,则它们可表示的数的范围和精度为:
1. 两者可表示的数的范围和精度相同
2. 前者可表示的数的范围大但精度低
3. 后者可表示的数的范围大且精度高
4. 前者可表示的数的范围大且精度高
Question 14. (单选)
设有一个用数组Q[1..m”表示的环形队列,约定f为当前队头元素在数组中的位置,r为
队尾元素的后一位置(按顺时针方向),若队列非空,则计算队列中元素个数的公式应为
:
1. r-f
2. (m+r-f) mod m
3. (m-r+f)mod m
4. (m-r-f) mod m
Question 15. (单选)
计算机最主要的工作特点是
1. 存储程序与自动控制
2. 高速度与高精度
3. 可靠性与可用性
4. 有记忆能力
Question 16. (单选)
具有多媒体功能的微型计算机系统中,常用的CD-ROM是
1. 只读型大容量软盘
2. 只读型光盘
3. 只读型硬盘
4. 半导体只读存储器
Question 17. (单选)
下列字符中,ASCII码值最小的是
1. a
2. A
3. x
4. Y
Question 18. (单选)
当个人计算机以拨号方式接入Internet网时,必须使用的设备是
1. 网卡
2. 调制解调器(Modem)
3. 电话机
4. 浏览器软件
Question 19. (单选)
微机计算机硬件系统中最核心的部件是
1. 主板
2. CPU
3. 内存储器
4. I/O设备
Question 20. (单选)
下列关于系统软件的四条叙述中,正确的一条是
1. 系统软件与具体应用领域无关
2. 系统软件与具体硬件逻辑功能无关
3. 系统软件是在应用软件基础上开发的
4. 系统软件并不具体提供人机界面
Question 21. (单选)
在计算机网络中,表征数据传输可靠性的指标是
1. 传输率
2. 误码率
3. 信息容量
4. 频带利用率
Question 22. (单选)
以下哪一个不是栈的基本运算
1. 删除栈顶元素
2. 删除栈底元素
3. 判断栈是否为空
4. 将栈置为空栈
Question 23. (单选)
设有关系R(S,D,M),其函数依赖集F={S→D,D→M}。则关系R至多满足
1. 1NF
2. 2NF
3. 3NF
4. BCNF
Question 24. (单选)
网络协议的三个要素是语法、语义与
1. 工作原理
2. 时序
3. 进程
4. 服务原语
Question 25. (单选)
WWW的超链接中定位信息所在的位置使用的是
1. 超文本(hypertext)技术
2. 统一资源定位器(URL, Uniform Resource Locators)
3. 超媒体(hypermedia技术)
4. 超文本标注语言HTML
Question 26. (单选)
提高软件质量和可靠的技术大致可分为两大类:其中一类就是避开错误技术,但避开错
误技术无法做到完美无缺和绝无错误,这就需要
1. 测试
2. 消除错误
3. 避开错误
4. 容错
Question 27. (单选)
可行性研究要进行一次_____需求分析
1. 详细的
2. 全面的
3. 简化的、压缩的
4. 彻底的
Question 28. (多选)
以下哪些内容需要进行配置管理?
1. 代码
2. 需求
3. 详细设计
4. 项目例会记录
Question 29. (单选)
详细设计的结果基本决定了最终程序的
1. 代码规模
2. 运行速度
3. 质量
4. 可维护性
Question 30. (多选)
软件开发包括哪些过程?
1. 需求分析
2. 设计
3. 编码
4. 测试
Question 31. (多选)
C++编译器通常不进行( )的检查
1. 函数原型
2. 变量类型
3. 数组边界
4. 指针类型
Question 32. (多选)
在派生类中能直接访问基类的哪些成员?
1. 公有成员
2. 保护成员
3. 私有成员
4. 所有成员
Question 33. (单选)
已知f1 f2同一类两个成员函数,但f1不能调用f2;则下列哪种说法正确?
1. f1 f2都是静态函数
2. f1是静态,f2不是静态函数
3. f1不是静态函数,f2是静态函数
4. f1 f2都不是静态函数
Question 34. (单选)
X = ++i + ++j; X的值等于?
1. i + j + 3
2. i + j + 2
3. i + j + 1
4. i + j
Question 35. (单选)
设int x; 则经过()之后,语句*px=0;可以将变量x的值置为0。
1. int *px;
2. int const *px = &x;
3. int *const px=&x;
4. const int *px = &x;
Question 36. (单选)
使用操作符setw对数据进行格式输出时,需要包含( )文件
1. iostream.h
2. fstream.h
3. iomanip.h
4. stdlib.h
Question 37. (多选)
调用一成员函数时,下面列出的哪些情况使用动态联编(动态绑定)?
1. 通过对象调用一虚函数
2. 通过指针或引用调用一虚函数
3. 通过对象调用静态函数
4. 通过指针或引用调用一静态函数
Question 38. (单选)
假定C是一个类,要为其实现加号运算符重载成员函数,实现两个C类对象的加法,并返
回结果。该成员函数的声明应该为:
1. C operator+(C &a, C &b);
2. C operator+ (C &a)
3. operator+ (C a)
4. C& operator+(C a, C b)
Question 39. (多选)
关于类的构造函数,哪些说法是正确的?
1. 可以是虚函数
2. 返回类型只能是void
3. 一个类只能有一个构造函数
4. 没有任何返回类型
Question 40. (单选)
C++中,对于基类中的protected成员,当以protected方式派生一个新类时,该成员将成
为派生类的( )成员
1. private
2. protected
3. public
4. 非法
Question 41. (单选)
C++基类指针可以访问派生类对象,但不能访问派生类对象的( )成员
1. private
2. protected
3. public
4. 新增
Question 42. (多选)
const int *p说明不能修改 ( )
1. p指针
2. p指针指向的变量
3. p指针指向的数据类型
4. 上述A、B、C三者
Question 43. (多选)
下列定义中,哪些是错误的?
1. template T foo (int *T);
2. inline template void foo (T, unsigned int );
3. template T foo (U);
4. template foo (T, T);
Question 44. (单选)
考虑函数原型void test(int a,int b=7,char=&tquo;*&tquo;),下面的函数调用中,属于不合法调
用的是
1. test(5);
2. test(5,8);
3. test(6,&tquo;#&tquo;)
4. test(0,0.&tquo;*&tquo;);
Question 45. (多选)
下面关于iterator的用法,哪些是错误的?
const vector ivec;
vector svec;
list ilist;
1. vector::iterator it = ivec.begin();
2. list::iterator it = ilist.begin() + 2;
3. vector::iterator it = &svec[0];
4. for (vector::iterator it=svec.begin();it!=svec.end();++it) { …}
Question 46. (多选)
下面的函数声明中,哪些声明表示函数会抛出异常?
1. void funca (int) throw(string);
2. void funcb(int) throw ();
3. void funcc (int);
4. void funcd (int) throw (Exception);
Question 47. (单选)
有如下程序:
class BASE{
char c;
public:
BASE(char n):c(n){}
virtual~BASE(){cout< };
class DERIVED:public BASE{
char c;
public:
DERIVED(char n):BASE(n+1),c(n){}
~DERIVED(){cout< };
int main()
{ DERIVED(&tquo;X&tquo;);
return 0;
}
执行上面的程序将输出()
1. XY
2. YX
3. X
4. Y
Question 48. (多选)
下面哪些运算符不能被重载?
1. 作用域运算符“::”
2. 对象成员运算符“.”
3. 指针成员运算符“->”
4. 三目运算符“? :”
Question 49. (单选)
下面有关重载函数的说法中正确的是
1. 重载函数必须具有不同的返回值类型
2. 重载函数形参个数必须不同
3. 重载函数必须有不同的形参列表
4. 重载函数名可以不同
Question 50. (单选)
C++语言是从早期的C语言逐渐发展演变而来的.与C语言相比,它在求解问题方法上进行
的最大改进是
1. 面向过程
2. 面向对象
3. 安全性
4. 复用性
Question 51. (问答)
编写类String的构造函数、析构函数和赋值函数
已知类String的原型为:
class String
{
public:
String(const char *str = NULL); // 普通构造函数
String(const String &other); // 拷贝构造函数
~ String(void); // 析构函数
String & operate =(const String &other); // 赋值函数
private:
char *m_data; // 用于保存字符串
};
请编写String的上述4个函数。
Question 52. (问答)
请实现一个“先进先出(FIFO)”队列类;并写一段示例代码来演示如何使用您定义的
类完成队列的数据操作。
Question 53. (问答)
请编写代码完成如下功能:
1. 类Shape是纯虚基类,Circle和Squre都是Shape类的派生类;
2. 每个实例都有一个唯一的ID,该ID自动分配,全局统一。如在执行 Circle c1,c2;
Sqaure s1, s2;后,c1的id是1, c2的id是2,s1的id是3,s2的id是4。
3. 每个类实现方法area,计算该实例图形的面积
4. 为类重载cout操作符,输出的数据格式为“名字 id 图形面积”(如:Square 5 ar
ea=100)
5. 实现void displayShapes (Shape []pShape, int iShapeCount); 输出pShape数组中
没有Shape的信息。
6. 实现main函数,创建10个Circle实例,5个Square实例,调用displayShapes()函数输
出Shape信息。
Question 54. (问答)
通常类A的拷贝构造函数的原型写为A(const A&);,请问为什么参数一定要使用引用形式?
Question 55. (问答)
C++中的空类(没有定义任何成员的类,如:class Empty {};),默认产生哪些类成员