【www.shanpow.com--热门范文】
【一】:共享式以太网
共享式以太网中,所有的终端主机都处于同一个冲突域中,局域网中的所有接入终端共享总线的带宽。1973年5月
美国施乐公司 定义的以太网。
标准以太网10兆以太网
100兆以太网
10g以太网。
同轴电缆 和hub 共享式以太网。
集线器 物理星形
交换式以太网 网桥 bridge
交换机 switch 在交换式以太网中,交换机的每个端口处于独立的冲突域中,终端聚集独占端口的带宽。
把hub比喻成一条车道 swithch比喻成立交桥
Mac地址表初始化
Pca发出数据帧
交换机把pca的震中的源地址mac_a与接收到此帧的端口e1、0、1关联起来。 交换机把pca的帧从所有其他端口发送出去
Mac地址表学习过程
做实验。插一台pc,查交换机的地址表。
Mac地址表一般是4k
作业 思考题 交换机有mac地址
Hub有没有mac地址
广播域
一个24口hub有几个广播域 1个
一个24口交换机有几个广播域 默认 一个
路由器有几个广播域 2个
三层交换机工作在网络层 多个广播域
路由器可以屏蔽广播
在二层交换机上 屏蔽广播
Vlan 一个vlan等于一个广播域
二层交换机 如何隔离广播 划分vlan
在进入交换机端口时,附加缺省vlan标签
出交换机端口时,去掉vlan标签.
至允许缺省vlan通过,仅接收和发送多个vlan的数据帧
Access端口无标签
Hybrid 端口和trunk端口的不同之处在于:
Hybrid端口
Trunk端口只允许缺省vlan的以太网帧不带标签.\
带有vlan标签的以太网帧在交换机间传递
问题,什么时候不带标签 pvid 端口缺省的vlanid号(pvid的值=报文标签)就擦掉
缺省vlan以太网帧不带标签
一般用于交换机直接连
Access 和trunk
混杂模式 hybrid 混杂模式 根据命令带不带标签
不同的vlan 可以通吗
Hybrid 口
Vlan的基本配置
Switch vlan vlan-id
Switch port interface-list to
配置trunk端口
[Switch-ethernet1/0/1] port link-type trunk
[switch-ethernet 1/0/1]port trunk permit vlan
]vlan-id-list} all
设置trunk端口的缺省vlan
Switchethernet 1/0/1
配置hybrid 端口
配置端口的链路类型为hybrid
Swithch-ethernet1/0/1 port link-type hybrid
允许指定的vlan通过当前hybrid端口
Swithch-ethernet1//0/1 port
划分vlan 配置trunk
Sys
Sys name swa
Vlan 10
Port e1/0/1 to e1/0/10
Vlan 20
Port e1/0/11/ e1/0/23
Interface e1/0/24
Port link-type trunk
Port trunk permit vlan 10 20
Sys
Sys name swb
Vlan 10
Port e1/0/1 to e1/0/10
Vlan 20
Port e1/0/11/ e1/0/23
Interface e1/0/24
Port link-type trunk
Port trunk permit vlan 10 20
允许指定的VLAN通过当前Trunk端口 port trunk permit vlan { vlan-id-list | all }
设置Trunk端口的缺省VLAN
port trunk pvid vlan vlan-id
<Switch>display vlan
VLAN function is enabled.
Total 3 VLAN exist(s).
Now, the following VLAN exist(s):
1(default), 2, 10
<Switch> display vlan 2
VLAN ID: 2
VLAN Type: static
Route interface: not configured
Description: VLAN 0002
Tagged Ports: none
Untagged Ports:
Ethernet1/0/1 Ethernet1/0/3 Ethernet1/0/4
<Switch> display interface ethernet 1/0/1 ......
PVID: 1
Mdi type: auto
Port link-type: access
Tagged VLAN ID : none
Untagged VLAN ID : 1
Port priority: 0
【二】:共享式以太网采用了(
1.共享式以太网采用了( )协议以支持总线型的结构
ICMP
ARP
SPX
D. CSMA/CD A. B. C.
2.一台IP地址为10.110.9.113/21 主机在启动时发出的广播IP是
10.110.9.255
10.110.15.255
10.110.255.255
D. 10.255.255.255 A. B. C.
3.关于交换机的交换机制描述正确的是:(本题3项正确)
A. 直通式(Cut-Through):交换机一旦确定目的MAC和正确的端口号后即开始转发收到的数据
B. 存储转发式(Sore&Forward):交换机在转发一个数据帧之前,除要确认目的MAC和端口号外,还要接收并处理完整的帧
C. 在改进型的直通式:交换机在接收到数据帧的64个字节后,才开始转发该帧
D. 直通式转发数据帧的效率低,存储转发式转发数据帧的效率高
4.在以太网交换机中哪种转发方法延迟最小
全双工
Cut-through
Store-and-forward
D. 半双工 A. B. C.
5.采用CSMA/CD技术的以太网上的两台主机同时发送数据,产生碰撞时,主机应该做何处理
产生冲突的两台主机停止传输,在一个随机时间后再重新发送
B. 产生冲突的两台主机发送重定向信息,各自寻找一条空闲路径传输帧报文www.shanpow.com_共享式以太网。
C. 产生冲突的两台主机停止传输,同时启动计时器,15秒后重传数据
D. 主机发送错误信息,继续传输数据 A.
6.集线器一般用于哪种网络拓扑中:
总线形
B. 星形网络
C. 环形网络
D. 树形网络 A.
7.下列关于三层交换的理解正确的是:(本题3项正确)
三层交换就是在交换机中增加了三层路由器的部分功能,合而为一
B. 三层交换技术=二层交换技术+三层转发技术
C. 三层技术的实质是一次路由,多次交换,利用硬件实现三层路由
D. 三层交换的实现可以分为采用硬件实现和软件实现两种 A.
8.100M端口的全线速包(64字节)转发能力是多少:
A. 144880pps
B. 1448800pps
C. 14488000pps
D. 100000000pps
9.下面的聚合端口的配置中有错误,请指出:
interface 后的关键字应该是port-channel
B. 接口配置中应该使用port-channel来指定所属的channel组
C. 不应该推出channel-group的配置模式,直接在此模式下进行配置
D. 指定端口时应该使用port 1/11而不是ethernet 1/11 A.
10.
A. 以下关于TRUNK功能的描述正确的是(本题2项正确) 使用TRUNK功能,是为了隔离广播
B. 使用TRUNK功能可以方便的实现流量的负荷分担
C. 使用TRUNK功能可以成倍拓展交换机之间或者与服务器之间的通信带宽
D. 使用TRUNK功能时,由于网络产生回路,可能会引发网络风暴
11.
A. 关于生成树协议链路故障检测,下面说法哪个是错误的 网络拓扑结构稳定后,指定端口会每隔HelloTime时间发送一个BPDU报文
B. 网络拓扑结构稳定后,网络中会不断的传递BPDU报文
C. 当端口在一定时间内没有收到新鲜的配置消息,则其先前收到的配置消息就会超时,
从而可以检测到链路发生故障
D. 发送端口每隔HelloTime发送一个配置消息,如果链路发生故障时,该配置消息就会
发送不出去,从而发送端口能够检测到链路故障
12.
A.
B.
C.
D. SNMP依赖于( )工作 IP ARP TCP UDP
13.
A. 下列协议属于传输层的有(本题2项正确) TCP协议
B. UDP协议
C. Telnet协议
D. Syslog协议
14. 一台主机通过网络发送数据给另一台主机,数据穿过网络的过程中,数据格
式依次为:
原始数据,数据位,数据帧,数据段,数据包,原始数据
B. 原始数据,数据帧,数据包,数据位,数据段,原始数据
C. 原始数据,数据位,数据包,数据段,数据帧,原始数据
D. 原始数据,数据位,数据帧,数据包,数据段,原始数据 A.
15.
A. 以下关于MAC地址的说法中正确的是:(本题3项正确) MAC地址的一部分字节是各个厂家从IEEE得来的www.shanpow.com_共享式以太网。
B. MAC地址一共有6个字节,它们从出厂时就被固化在网卡中
C. MAC地址也称做物理地址,或通常所说的计算机的硬件地址
D. 局域网中的计算机在判断所收到的广播帧是否_为自己应该接收的方法是,判断帧的
MAC地址是否与本机的硬件地址相同
16. 网卡的主要功能包括:(本题3项正确)
接收来自总线的数据,并进行分段
B. 为数据附加自己的包含校验和及网卡地址的报头
C. 将数据转换为可通过网络介质发送的信号
D. 缓存需要发送以及接收到的数据,根据网络和总线的繁忙与否完成流控的功能 A.
17. 交换机的主要功能是对数据帧的过滤和转发,其过滤机制主要包括:(本题
3项正确)
广播过滤,自动学习并更新ARP地址表,将本地数据流限定在所属的网段内
B. VLAN过滤,过滤从一个VLAN发往另一个VLAN的数据帧
C. MAC地址过滤,手动设定需过滤的MAC地址
D. 依据生成树协议进行的过滤 A.
18. 介于直通式交换和存储转发方式交换之间的碎片隔离交换方式,检查数据包
的长度为:
64个Bit
B. 64个Byte
C. 48个Bit
D. 48个Byte A.
19. 下面的描述正确的是:(本题3项正确)
A. DCS3426的每个端口都可以工作在全双工模式下
B. 全双工模式下,交换机的端口流量控制方式可采用:IEEE802.3x
C. 全双工模式下,媒质访问控制将采用CSMA/CD技术
D. 光纤支持全双工模式时,必须要有两条线路
20. 关于VLAN的划分,下面描述正确的是:
A. DCS3652支持基于MAC地址的VLAN划分方法
B. DCS3652支持基于端口的VLAN划分方法
C. DCS3652支持支持基于协议的VLAN划分方法
D. DCS3652支持基于子网的VLAN划分
21. 下面的描述正确的是:(本题2项正确)
A. DCS3628S支持端口和IP地址捆绑
B. DCS3628S支持端口和MAC地址捆绑
C. DCS3628S支持IEEE802.1Q协议,因此两台DCS3628S级联时,可以通过给共用端口打上
TAG标记,使得跨两台DCS3628S之间不同VLAN间的通信成为可能
D. DCS3628S支持IEEE802.1Q协议,因此两台DCS3628S级联时,可以通过给共用端口打上
TAG标记,使得跨两台DCS3628S之间相同VLAN间的通信成为可能
22. 由于某工程师忘记了其在DCS-3628S/DCS-3652上设置的登录密码,如何来
登录这台设备?(本题2项正确)
A. 使用用户名为:tiger,密码为: tiger123来登录
B. 使用用户名为:ResetSystem,密码为: tiger123来登录
C. 使用用户名为:ResetSystem,密码为:空格来登录
D. 使用用户名为:tiger,密码为:ResetSystem来登录
23.
A. 本地网络上的主机通过下列所述的哪种方式查找其它的网络设备? 端口号
B. 硬件地址
C. 默认网关
D. 逻辑网络地址
24. 传输层协议端口号小于( )的已保留与现有服务一一对应,此数字以上的
端口号可自由分配
A.
B.
C.
D. 100 199 1024 2048
25. 下列关于DCS-2000系列端口隔离的配置策略的理解正确的是:(本题2项正确)
当没有模块插入时,第一个RJ-45端口为上连端口,其余端口均隔离
B. 当只有一块扩展模块时,此模块的端口为上连端口,所有RJ-45端口均隔离
C. 当插入2块扩展模块时,第二个槽中的模块中接口为上连,其余的都为隔离端口
D. 当插入2块扩展模块时,二个槽中的模块均为上连,其余的都为隔离端口 A.
26. 下列对私有VLAN的混杂端口(promiscuous port)、群体端口(community port)和隔离端口(isolated port)的理解正确的是:(本题2项正确)
混杂端口可以与同一VLAN内的所有端口通信
B. 群体端口只可以与同一secondary VLAN内的端口通信,不能与其他任何端口通信
C. 隔离端口除了能与同一VLAN内的混杂端口通信之外,不可以与任何其他端口通信
D. 在端口配置模式中用命令switchport mode privated-vlan promiscuous或switchport mode privated-vlan host指定此端口是混杂端口或是群组端口 A. 27.
A. 下列对端口地址绑定的理解正确的是:(本题3项正确) 实质上是将端口和其所连接的物理设备的MAC地址进行静态的配置,形成一个静态的MAC地址表,而不是象常规的那样由交换机动态学习得到
B. 静态指定后,即便在其他端口学到了这个MAC地址,交换机也将忽视后续学到的动态映射
C. 端口聚合组不可以作为一个整体与MAC地址进行绑定
D. 可以选择在重新启动设备时,这种静态的绑定失效
28.
A. SCSI总线能够允许的最大硬盘空间是: 10GB
B. 8GB
C. 9.2GB
D. 8.4GB
29.
A. 下列哪一条命令可以阻塞任意网段的RIP广播报文 access-list 101 deny tcp any 255.255.255.255
B. access-list 101 deny udp any any eq 520
C. access-list 101 deny udp any any eq 53
D. access-list 10 deny udp any 255.255.255.255
30.
A. 关于共享式以太网说法不正确的是 不需要进行冲突检测
B. 仅能实现半双工流量控制
C. 利用CSMA/CD介质访问机制
31.
A. 关于桥的ID,下面描述不正确的是 桥的ID是由桥的优先级+桥的MAC地址构成
B. 桥的ID是直接可以配置的,并且可以配置为任意值
C. 桥的ID直接决定了该桥能否成为根桥
D. 桥的ID是无法进行配置的,通过配置网桥的优先级可以改变桥的ID 32.
A. 下面四种端口状态中,那种状态不是快速生成树协议所维护的端口状态 Blocking状态(即Discarding状态)
B. Listening状态
C. Learning状态
D. Forwarding状态
33.
A. 以太网使用的物理介质主要有(本题3项正确) 同轴电缆
B. 双绞线
C. 光缆
D. V.24电缆
34.
A. 为了扩大网络范围,可以使用( )连接多根电缆,放大信号 中继器
B. HUB
C. 路由器
D. 网桥
35.
A. 在生成树的实现中,端口的优先级的缺省值为 0
B. 16
C. 128
D. 255
36.
A. 为什么说共享介质的以太网存在一定的安全隐患 一个冲突域内的所有主机都能够看到其他人发送的数据帧,即使目的MAC地址并
非自己
B. 所有的用户都在同一网段
C. 一些拥有较高权限的用户可以查找到网段内的其它用户,获得敏感数据
D. 共享介质的以太网容易产生冲突问题,导致帧报文丢失
37.
A.
B.
C.
D.
E.
F.
G.
H. 以下为局域网协议的有(本题3项正确) PPP X.25 SLIP EthernetII FrameRelay EthernetSNAP PPP-Multilink IEEE802.3
38.
A. 下列叙述中有误的选项为 基于MAC地址划分VLAN的缺点是初始化时,所有的用户都必须进行配置
B. 基于MAC地址划分VLAN的优点是当用户物理位置移动时,VLAN不用重新配置
C. 基于MAC地址划分VLAN的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的
交换机的某个端口,那么就必须重新定义
D. 基于子网划分VLAN的方法可以提高报文转发的速度
39.
A. 神州数码LinkManager可以对哪三类事件进行配置和管理?(本题3项正确) 系统事件,比如UP事件、DOWN事件、IP与MAC地址绑定事件
【三】:关于国家计算机四级网络工程师的介绍
最近有网友想了解下国家计算机四级网络工程师,所以小编就整理了相关资料分享给大家,具体内容如下.希望大家参考参考!!!
国家计算机四级网络工程师
网络工程师是通过学习和训练,掌握网络技术的理论知识和操作技能的网络技术人员。网络工程师能够从事计算机信息系统的设计、建设、运行和维护工作。2013年全国计算机等级考试改革,下半年开始执行无纸化考试。
简介
全国计算机等级考试四级网络工程师,简称四级网络工程师。
从2010年的11月起,中国计算机等级考试取消了以往的四级考试。将四级分为三种,其中的一种就是计算机网络工程师。
它主要考察考核网络系统规划与设计的基础知识及中小型网络的系统组建、设备配置调试、网络系统现场维护与管理的基本技能。它要求四级网络工程师合格考生应具有网络系统规划、设计的基本能力,掌握中小型网络系统组建、设备配置调试的基本技术,掌握中小型网络系统现场维护与管理的基本技术。可以从事计算机网络规划、设计、组建与管理的相关工作。
2013年NCRE全国计算机等级考试调整,四级网络工程证书面向已持有三级网络技术证书的考生,考核计算机专业课程。
获证条件:通过四级科目的考试,并已经(或同时)获得三级网络技术证书。
考试时间和形式:四级网络工程师考试总时间为 90 分钟,单课程没有时间要求;考试形式为无纸化。
NCRE 所有级别证书均无时效限制,三、四两个级别的成绩可保留一次。考生一次考试可以同时报考多个科目。如:考生同时报考了二级 C、三级网络技术、四级网络工程师三个科目,结果通过了三级网络技术、四级网络工程师考试,但没有通过二级 C 考试,将不颁发任何证书,三级网络技术、四级网络工程师两个科目成绩保留一次。下一次考试考生报考二级 C 并通过,将一次获得三个级别的证书;若没有通过二级 C,将不能获得任何证书。同时,三级网络技术、四级网络工程师两个科目成绩自动失效。
考试大纲
2013计算机等级考试四级网络工程师考试大纲
新的四级网络工程师考试需要考两门课程:四级计算机网络和四级操作系统原理,其考试大纲分别如下:
全国计算机等级考试四级计算机网络考试大纲(2013年版)
1.理解计算机网络的基本概念。
2.掌握局域网的基本工作原理。
3.掌握TCP/IP及其相关协议。
4.掌握Internet基本服务类型。
5.掌握较为新型的网络技术应用。
6.理解网络管理与网络安全原理。
全国计算机等级考试四级操作系统原理考试大纲(2013年版)
1.掌握操作系统的基本概念、基本结构及运行机制。
2.深入理解进程线程模型,深入理解进程同步机制,深入理解死锁概念及解决方案。
3.掌握存储管理基本概念,掌握分区存储管理方案,深入理解虚拟页式存储管理方案。
4.深入理解文件系统的设计、实现,以及提高文件系统性能的各种方法。
5.了解I/O设备管理的基本概念、I/O软件组成,掌握典型的I/O设备管理技术。
6.了解操作系统的演化过程、新的设计思想和实现技术。
考试方式
上机考试,总分50分,与四级其他一门课程合计考试时长90分钟。
包含:单选题30分,多选题20分。
考试合格要求两门科目都必须大于等于30分
全国计算机等级考试四级计算机网络考试大纲(2013年版)
考试内容
计算机网络部分
一、网络技术基础
1.计算机网络的形成与发展。
www.shanpow.com_共享式以太网。 2.计算机网络的基本概念。
3.分组交换技术。
4.网络体系结构与网络协议。
5.互联网应用的发展。
二、局域网技术
1.局域网与城域网的基本概念。
2.共享式以太网。
3.高速局域网的工作原理。
4.交换式局域网与虚拟局域网。
5. 无线局域网。
三、Internet基础
1. Internet的构成与接入。
2. IP协议与服务。
3.IP地址与IP数据报。
4.差错与控制报文。
5.路由与路由选择。
6. 组播技术。
7. IPv6协议。
8. TCP协议和UDP协议。
9.NAT的基本工作原理。
四、Internet基本服务
1.应用进程通信模型。
2. 域名系统。
3.远程登录服务。
4.FTP服务。
5.电子邮件系统。
6.Web服务系统。
五、新型网络应用
1.即时通信系统。
2.文件共享系统。
3. IPTV。
4. VoIP。
5.网络搜索技术。
6.社交网络应用。
六、网络管理与网络安全
1. 网络管理。
2.网络安全基础。
3. 加密技术。
4. 认证技术。
5.安全技术应用。
6.入侵检测与防火墙。
7. 计算机病毒。
操作系统原理部分
一、操作系统概述
1.操作系统基本概念、特征、分类
2.操作系统主要功能
3.操作系统发展演化过程,典型操作系统
4.操作系统结构设计,典型的操作系统结构
二、操作系统运行机制
1.内核态与用户态
2.中断与异常
3.系统调用接口
4.存储系统
5.I/O系统
6.时钟(Clock)
三、进程线程模型
1.并发环境与多道程序设计
2.进程的基本概念,进程控制块(PCB)
3.进程状态及状态转换
4.进程控制:创建、撤消、阻塞、唤醒,fork()的使用
5.线程基本概念,线程的实现机制,Pthread线程包的使用
6.进程的同步与互斥:信号量及PV操作,管程
7.进程间通信
8.处理机调度
四、存储管理方案
1.存储管理基本概念,存储管理基本任务
2.分区存储管理方案
3.覆盖技术与交换技术
4.虚存概念与虚拟存储技术
5.虚拟页式存储管理方案
五、文件系统设计与实现技术
1.文件的基本概念、文件逻辑结构、文件的物理结构和存取方式
2.文件目录的基本概念,文件目录的实现
3.文件的操作,目录的操作
5.文件系统的可靠性和安全性
6.文件系统的性能问题
7.Windows 的文件系统FAT,UNIX 的文件系统
六、I/O 设备管理
1.设备与设备分类
2.I/O 硬件组成
3.I/O 软件的特点及结构
4.典型技术:通道技术,缓冲技术,SPOOLing 技术
5.I/O 性能问题及解决方案
七、死锁
1.基本概念:死锁,活锁,饥饿
2.死锁预防策略
3.死锁避免策略
4.死锁检测与解除
5.资源分配图
【四】:保证局域网安全的三大办法
目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。事实上,Internet上许多免费的黑客工具都把以太网侦听作为其最基本的手段。
局域网安全
当前,保证局域网安全的解决办法有以下几种:
1.网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
目前,一般的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:普遍使用的DEC MultiSwitch 900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。
2.以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
3.VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机(包括普遍采用的DEC MultiSwitch 900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(SwitchPort Analyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在一次外部网设计中,就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪“英雄有用武之地”。
【五】:关于计算机与网络安全论文有哪些
今天小编给大家分享喜爱计算机与网络安全论文具体有哪些~下面请大家仔细参考参考。
计算机与网络安全论文一:
在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏。因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有治理方面的问题,两方面相互补充,缺一不可。
一、计算机网络安全的概念
国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和治理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的熟悉和要求也就不同。从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾难、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有治理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
二、计算机网络安全现状
计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。在Internet网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在一周内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门、Rootkits、DOS和Sniffer是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。
三、计算机网络安全的防范措施
1、加强内部网络治理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最轻易和最经济的方法之一。网络治理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。
在网络上,软件的安装和治理方式是十分关键的,它不仅关系到网络维护治理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络治理员集中设置和治理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全治理的一部分,并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。
2、网络防火墙技术
是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的非凡网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被答应,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
3、安全加密技术
加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
4、网络主机的操作系统安全和物理安全措施
防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判定是否有入侵事件发生,假如有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
总之,网络安全是一个综合性的课题,涉及技术、治理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业
计算机与网络安全论文二:
关于计算机网络安全问题的研究和探讨
〔摘要〕随着计算机网络越来越深入到人们生活中的各个方面,计算机网络的安全性也就变得越来越重要。计算机网络的技术发展相当迅
速,攻击手段层出不穷。而计算机网络攻击一旦成功,就会使网络上成千上万的计算机处于瘫痪状态,从而给计算机用户造成巨大的损失。
因此,认真研究当今计算机网络存在的安全问题,提高计算机网络安全防范、意识是非常紧迫和必要的。
〔关键词〕安全问题;相关技术;对策
1几种计算机网络安全问题
1.1 TCP/IP协议的安全问题目前网络环境中广泛采用的TCP/IP协议。互联网技术屏蔽了底层网络硬件细节,使得异种网络之间可以互相通信,正因为其开放性,TCP/IP协议本身就意味着一种安全风险。由于大量重要的应用程序都以TCP作为它们的传输层协议,因此TCP的安全性问题会给网络带来严重的后果。
1.2网络结构的安全问题
互联网是一种网间网技术。它是由无数个局域网连成的巨大网络组成。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器的重重转发,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦测,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。加之互联网上大多数数据流都没有进行加密,因此黑客利用工具很容易对网上的电子邮件、口令和传输的文件进行破解,这就是互联网所固有的安全隐患。
1.3路由器等网络设备的安全问题
路由器的主要功能是数据通道功能和控制功能。路由器作为内部网络与外部网络之间通信的关键设备,严格说来,所有的网络攻击都要经过路由器,但有些典型的攻击方式就是利用路由器本身的设计缺陷展开的,而有些方式干脆就是在路由器上进行的。
2计算机网络安全的相关技术
计算机网络安全的实现有赖于各种网络安全技术。从技术上来说,网络安全由安全的操作系统、安全的应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件无法确保信息网络的安全性。目前成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。
2.1防火墙技术
所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的用于分隔被保护网络与外部网络的系统。“防火墙”一方面阻止外界对内部网络资源的非法访问,另一方面也可以防止系统内部对外部系统的不安全访问。实现防火墙的主要技术有:数据包过滤、应用级网关、代理服务和地址转换。
2.2数据加密技术
从密码体制方面而言,加密技术可分为对称密钥密码体制和非对称密钥密码体制,对称密钥密码技术要求加密、解密双方拥有相同的密钥,由于加密和解密使用同样的密钥,所以加密方和解密方需要进行会话密钥的密钥交换。会话密钥的密钥交换通常采用数字信封方式,即将会话密钥用解密方的公钥加密传给解密方,解密方再用自己的私钥将会话密钥还原。对称密钥密码技术的应用在于数据加密非对称密钥密码技术是加密、解密双方拥有不同的密钥,在不知道特定信息的情况下,加密密钥和解密密钥在计算机上是不能相互算出的。加密、解密双方各只有一对私钥和公钥。非对称密钥密码技术的应用比较广泛,可以进行数据加密、身份鉴别、访问控制、数字签名、数据完整性验证、版权保护等。
2.3入侵检测技术
入侵检测系统可以分为两类,分别基于网络和基于主机。基于网络的入侵检测系统主要采用被动方法收集网络上的数据。目前,在实际环境中应用较多的是基于主机的入侵检测系统,它把监测器以软件模块的形式直接安插在了受管服务器的内部,它除了继续保持基于网络的入侵检测系统的功能和优点外,可以不受网络协议、速率和加密的影响,直接针对主机和内部的信息系统,同时还具有基于网络的入侵检测系统所不具备的检查特洛伊木马、监视特定用户、监视与误操作相关的行为变化等功能。
2.4防病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,其扩散速度也越来越快,对计算机网络系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,它们主要注重于所谓的“单机防病毒”,即对本地和本工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源感染,网络防病毒软件会立刻检测到并加以删除。
3建议采取的几种安全对策
3.1网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。
3.2以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包还是会被同一台集线器上的其他用户所侦听,所以应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。
3.3 VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。在集中式网络环境下,通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。当然,计算机网络安全不是仅有很好的网络安全设计方案就万事大吉,还必须要有很好的网络安全的组织结构和管理制度来保证。要通过组建完整的安全保密管理组织机构,制定严格的安全制度,指定安全管理人员,随时对整个计算机系统进行严格的监控和管理。
