2017年软考网络工程师整理笔记

《2017年软考网络工程师整理笔记》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记网络工程师笔记 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记目录网络基础-3-第一章数据通信基础-5-第二章局域网技术-9-第三章广域网和接入网技术-28-第四章因特网-39-第五章路由器与交换配置-54-第六章网络安全-75-第七章网络管理-85-第八章计算机基础知识-102- 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记第一章数据通信基础一、基本概念码元速率：单位时间内通过信道传送的码元个数，如果信道带宽为T秒，则码元速率。若无噪声的信道带宽为W，码元携带的信息量n与码元种类N关系为，则极限数据速率为有噪声的极限数据速率为其中W为带宽，S为信号平均功率，N为噪声平均功率，为信噪比电波在电缆中的传播速度为真空中速率的2/3左右，即20万千米/秒编码：单极性码：只有一个极性，正电平为0，零电平为1；级性码：正电平为0，负电平为1；双极性码：零电平为0，正负电平交替翻转表示1。这种编码不能定时，需要引入时钟归零码：码元中间信号回归到零电平，正电平到零电平转换边为0，负电平到零电平的转换边为1。这种码元自定时不归零码：码元中间信号不归零，1表示电平翻转，0不翻转。双相码：低到高表示0，高到底表示1。这种编码抗干扰性好，实现自同步。曼彻斯特码：低到高表示0，高到底表示1。相反亦可。码元中间电平转换既表示数据，又做定时信号。用于以太网编码，编码效率为50%差分曼彻斯特码：每一位开始处是否有电平翻转，有电平翻转表示0，无电平翻转表示1。中间的电平转换作为定时信号。用于令牌环网，编码效率为50%。ASK、FSK和PSK码元种类为2，比特位为1。DPSK和QPSK码元种类为4，比特位为2。QAM码元种类为16。一路信号进行FSK调制时，若载波频率为fc,调制后的信号频率分别为f1和f2(f1nslookupSettype=ptr>ip地址将IP地址转换为域名MX：邮件交换CNAME:允许多个域名指向同一台服务器（别名）SOA：DNS数据库的来源2.8远程登录协议Telnet端口23用户在本地使用虚拟终端（NVT）通过TCP连接可以登录到远程的主机或服务器，像使用本地主机一样使用远程资源。其他协议FTP文件传输服务控制端口21数据端口20FTP常用命令：Get：从远端传送文件至本地主机Openip打开FTPDir显示服务端那些文件可以下载！dir显示客户端目录文件Put上传文件List：请求远端返回当前目录下的目录和文件Lcd：改变当前本地主机的工作目录Bye推出DHCP服务过程：工作在UDP基础上应用层协议，采用客户机/服务器模式，服务器使用UDP端口67，客户端使用UDP端口68向网络中广播DHCPdiscover数据包数据报中附加来源地址0.0.0.0，目的地址255.255.255.255客户机服务器 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记服务器收到DHCPdiscover数据包通过广播DHCPoffer数据包作出响应，包含IP，mac，租约期等服务器收到DHCPrequest数据包后，便向客户机提供包含IP地址及其它设置的DHCPpack的确认信息。租约期默认为8天选择第一个收到DHCPoffer包作出响应，发送DHCPrequest广播包，告诉所有DHCP,它将采用哪个服务器的IP地址。同时客户机还发送ARP数据报，查询网络中是否有该IP地址，如果该IP被占用将会发出DHCPdecline数据报给服务器，拒绝其DHCPoffer，并重新发送DHCPdiscover当租约期过一半时（50%）重新向服务器发送DHCPrequest数据包，以便继续租用原来IP，如果租约成功，更新租约，否则继续使用原来IP。当租约过一半没有租约成功，则在剩下的租约期限再过一半（87.5%）时，发出DHCPdiscover广播包，向其它服务器获取新的租约。DHCP是BOOTP协议的扩展HTTP协议提供的主要操作：Get：读取一个网页Head：读取头部信息Post：把消息加载到指定的网页上NAT把内部私有地址转换成为外部全局地址，主要分为静态NAT、动态NAT和端口复用NAPT2.9网关协议自治系统内部网关之间交换路由信息执行内部网关协议IGP；不同的自治系统之间交换路由信息执行外部网关协议EGP外部网关协议最新的外部网关协议EGP叫做边界网关协议BGP。BGP特点BGP报文通过TCP连接传送（端口179）。BGP属于距离矢量路由算法协议采用增量更新，触发更新周期性的发送Keepalive信息验证TCP连接支持路由汇总CIDR技术BGP三张表：邻居表、BGP转发表、路由表 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记BGP具体有四种报文：Open报文：用于建立邻居关系Update报文：用于发送新的路由信息Keepalive报文：用于对open的应答和周期性的确认邻居关系通告报文：用于报告检测到的错误基本配置命令：Routerbgp64512(自治系统号)Neighbor{ip-address|peer-group-nameremote-asautonomous-system}Networknetwork-numbermasknetwork-mask例：Routerbgp65102Neighbor192.168.0.1remote-as65101Network172.16.4.0mask255.255.0.0RIP原理与配置命令（rip基于Bellman-Ford算法）RIP属于距离矢量算法的路由选择协议，通过广播方式周期性（30s）的通告路由表，其最大跳步数为15跳。RIP有两个版本分别为RIPv1和RIPv2。区别在：（1）RIPv1不支持可变长度子网掩码（VLSM），而RIPv2支持VLSM；（2）RIPv2支持明文和MD5密文认证；（3）RIPv1采用广播方式更新路由，而RIPv2采用组播方式更新路由，组播地址224.0.0.9；（4）RIPv2采用触发更新方式来加速路由收敛。（5）RIPv2采用水平分割方法来消除路由循环，即，一条路由信息不会发给该信息的来源方。（6）RIPv2支持路由汇总CIDR1、最大度量值，最大跳步数为15，当为16时，认为网络不可达，丢弃数据包。2、水平分割来避免路由环路，即，一条路由信息不会发给该信息的来源方。3、路由中毒。标记该路由为无穷大，中毒路由被发给邻居路由器，通知该路由失效。4、反向下毒。当邻居路由器被成功下毒后，邻居路由器会向毒源方向下毒。5、保持时间，让路由器保持down状态一段时间，直到所有路由器均学习到该路由的状态，同时在保持时间为超时是，不再接收邻居路由器发来关于该路由的更新信息基本配置命令 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记Routerrip//启用RIP路由进程Version2//声明RIP版本为第二版Network192.168.5.0//发布直连网段，可以写上掩码，不写RIP会根据接口IP自动判断OSPF原理与配置命令（ospf基于Dijkstra算法）OSPF开放式最短路径优先协议，是一种链路状态路由协议。OSPF主要优点（1）OSPF没有跳数限制。（2）OSPF支持VLSM和CIDR（3）OSPF采用触发更新，收敛速度快三张表：邻居表拓扑表路由表OSPF网络一般划分为两个逻辑的级别层次：骨干区域一般记为area0，非骨干区域运行OSPF的路由器通过邻接的路由器发送hello报文，来发现邻居路由器，路由器核实hello报文后，宣布邻居关系。DR指定路由器，担任LSA信息集中点BDR备份指定路由器。LSA信息第二集中点，通过计时器监视DR的更新活动。DR与BDR选举路由器优先级（默认为1）高的为DR，优先级相同则为routerID大的为DR,一般routerID为最大的IP地址，如果有回环口，则回环口IP优先为ID。优先级为0不参加选举，优先级影响一个选区进程，但不强制更新已生效的DR和BDR路由器。Hello报文采用组播方式发送，地址为224.0.0.5，其大小为50字节。LSA，链路状态通告，LSU，链路状态更新包。在OSPF网络中，路由器定时发出Hello分组与特定的邻居进行联系，默认情况下40s没收到该分组就认为对方不存在了。OSPF协议支持4种网络类型，分别是广播多址、非广播多路访问、点对点、点对多。其中广播多址网络包括Ethernet和FDDI；非广播多路访问包括FrameRelay、帧中继、X.25和ATM；点对点网络包括PPP、HDLC和Lapb。 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记基本配置命令Routerospfprocess-id//启动ospf进程Networkaddress反掩码areaarea-idipospfpriority10//范围为0-255ipospfcost200//范围1-65535例：Routerospf50Network10.0.0.00.255.255.255area0//发布的直连网段Network10.1.1.20.0.0.0area0//发布的时直连IP地址，此时反掩码应写为0.0.0.0IGRP原理与配置命令IGRP是距离矢量路由协议，由cisco公司设计，每90s发送一次路由更新广播，如果270s没有收到路由更新，则认为路由不可访问，630s后清除该路由。IGRP采用带宽、延迟、可靠性和负载作为度量标准，量度最小的做最佳路径，不支持VLSM和不连续子网。基本配置命令Routerigrp109//109自治系统号Networknetwork-number//发布直连网段Bandwidth带宽单位为KbpsClockrate时钟EIGRP是cisco在IGRP基础上的一种新的改进型协议，其度量值有：带宽、延迟、可靠性、负载、最大传输单元。支持VLSM和CIDREIGRP基本配置命令Routereigrp109//109自治系统号Networknetwork-number//发布直连网段，网段是子网时带反掩码Noauto-summary//处理不连续子网时关闭汇总常见路由协议管理距离RIP管理距离120，IGRP管理距离100，EIGRP管理距离90，OSPF管理距离为110，直连网段管理距离为0 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记第五章路由器与交换配置路由器基本配置命令Route>//用户模式enable//进入特权模式configterminal//进去全局配置模式hostnameroute1//设置路由器的名称为route1enablesecret123//设置enable加密口令为123（以密文显示，权限高）enablepassword123//设置enable口令（以明文显示，两者同时配置，前者生效）noipdomain-lookup//取消域名解析ipclassless//开启IP无类别策略。目的是告诉路由器，当收到无法转发的数据包时将其传递给默认路由，而不是简单的丢弃，与默认路由一起使用。ipsubnet-zero//支持零子网lineconsole0//进入控制台线路配置模式(超级终端)password123//设置console登录密码为123exec-timeout3030//设置路由器超时时间为30分钟，30秒后自动弹出到用户模式，设置为00则永远不超时。Login//要求登录时输入口令linevty04//进入虚拟终端线路配置模式（telnet）exec-timeout3030//设置路由器超时时间为30分钟，30秒后自动弹出到用户模式，设置为00则永远不超时。后一个30的单位是秒。password123//设置VTY登录密码为123login//要求登录时输入口令exit//退出当前模式copyrunning-configstartup-config//将更改保存到nvramservicepassword-encryption//对所有密码加密interfacefa0/0//进入fa0/0接口配置模式ipaddress192.168.1.1255.255.255.0//设置接口IP地址noshutdown//激活接口interfaces0//进入s0接口 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记ipaddress192.168.2.2255.255.255.0clockrate9600//设置时钟频率noshutdownexitiprouting//允许路由配置。没有该语句将导致配置的路由无效。Noiprouting//禁用路由配置iproute目标网段子网掩码下一跳入口IP地址//静态路由iproute0.0.0.00.0.0.0下一跳入口IP地址//默认路由exitend//退出到特权模式（与ctrl+z一样）showiproute//查看路由表showinterfacefa0/0//查看fa0/0接口信息showipprotocol//查看路由协议showipinterfacebrief//查看端口简要信息IPV6配置ConfigterminalHostnameR1Ipv6unicast-routing//开启ipv6单播路由Interfacef0/0Ipv6address2005:CCCC::1/64NoshutdownExitInterfaceserial0/2/0Ipv6address2007:CCCC::1/64Clockrate128000ExitIpv6route2004:CCCC::/64serial0/2/0IPV6GRE隧道配置Interfacetunnel0//启用通道0Tunnelsources1/0//通道源地址为s1/0，（本端路由器接口）Tunneldestinaltion202.100.2.2//通道目的地址，（对端路由器地址） 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记Ipv6address2005:AAAA::1/64//为通道配置ipv6地址Tunnelmodegreipv6//通道模式为ipv6的gre隧道Ipv6riptestenable//在路由器通道0上启用rip，并命名为testInterfacef0/0Ipv6riptestenable//在路由器f0/0上启用rip，并命名为testIPV6NET-PT(静态)ConfigterminalInterfacee0Ipaddress192.17.5.1255.255.255.0Ipv6nat//在接口上启用nat-PInterfacee1Ipv6address2001:aaaa::1/64Ipv6natExitIpv6natprefix2001:aaaa:0:0:0:1::/96//说明在ipv6域内使用的ipv6前缀Ipv6natv4v6source2001:aaaa::2192.17.5.200//将源ipv6地址输出的ipv6数据包转成ipv4数据包Ipv6natv4v6source192.17.5.22001:aaaa:0:0:0:1::8//将源ipv4地址输出的ipv4数据包转成ipv6数据包IPV6NET-PT(动态)ConfigterminalInterfacee0Ipaddress192.17.5.1255.255.255.0Ipv6nat//在接口上启用nat-PInterfacee1Ipv6address2001:aaaa::1/64Ipv6natExitIpv6natprefix2001:aaaa:0:0:0:1::/96//说明在ipv6域内使用的ipv6前缀Ipv6natv6v4poolipv4-pool192.17.5.10192.17.5.20prefix-length24//指定名为ipv4-pool的ipv4地址池 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记Ipv6natv6v4sourcelistipv6poolipv4-pool//配置NAT-PT映射RIP配置Routerrip//启动rip协议Version2//设置rip版本为第2版Network192.168.1.0//发布直连网段Noauto-sumary//取消路由协议自动汇总ipsplit-horizon//配置水平分割Exitinterfacefa0/0//进入接口配置模式ipripsendversion12//该接口发送ver1和ver2报文ipripreceiveversion12//该接口接收ver1和ver2报文IGRP配置Interfacefa0/0Ipaddress192.168.3.1255.255.255.0Nokeepalive//不监测keepalive信号，即不连接设备时可激活该接口ExitInterfaceserial0Ipaddress192.168.4.1255.255.255.0Bandwidth1544//设置带宽为1.544MbpsClockrate512000ExitRouterigrp100Network192.168.3.0Network192.168.4.0EIGRP配置Routereigrp100//启动eigrp协议进程，100为自治系统号Network192.168.1.0//发布直连网段Network172.16.4.40.0.0.3//此处地址为子网地址，需写出反掩码Network172.16.4.120.0.0.3Noauto-sumary//取消路由协议自动汇总Ospf配置 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记Routerospf1//启动ospf协议进程，1为进程号Network192.168.1.00.0.0.255area0//发布直连网段Network192.168.2.10.0.0.0area0//发布的网络为端口地址时，反掩码为0.0.0.0Showipospf//查看ospf信息Frame-relay配置Interfaces0//进入s0接口配置模式Encapsulationframe-relay//对串口s0进行frame-relay封装frame-relaylmi-typeansi//设置帧中继的lmi类型Interfaces0.1point-to-point//进入子接口配置模式Ipaddress192.168.1.1255.255.255.0Frame-relayinterface-dlci100//设置dlci编号为100Frame-relaymapip192.168.1.2100broadcast//设置ip地址与帧中继DLCI之间的映射，并允许广播（另外一种配置）NAT配置目的地址源地址静态natConfigterminalipnatinsidesourcestatic192.168.1.225.98.192.2//手动定义转换映射关系ipnatinsidesourcestatic192.168.1.325.98.192.3ipnatinsidesourcestatic192.168.1.425.98.192.4ipaddress192.168.1.1255.255.255.0ipnatinside//定义内部接口interfacefa0/2ipaddress25.98.192.254255.255.255.0ipnatoutside//定义外部接口动态natConfigterminalIpnatpoolcisco25.98.192.225.98.192.254netmask255.255.255.0//定义目的地址范围 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记access-list1permit10.1.1.20.0.0.255//定义访问控制列表ipnatinsidesourcelist1poolcisco//启用nat，私有地址来源于list1，使用pool名为cisco地址池内的公网ip进行转换interfacefa0/1ipaddress10.1.1.1255.255.255.0ipnatinsideinterfacefa0/2ipaddress25.98.192.1255.255.255.0ipnatoutside动态复用地址转换Configterminalaccess-list1permit10.1.1.20.0.0.255ipnatinsidesourcelist1interfacefa0/2overload//启用nat，私有地址来源于list1，使用fa0/2上的公网ip转换，overload使用端口转换ipaddress10.1.1.1255.255.255.0ipnatinside//定义内部接口interfacefa0/2ipaddress25.98.192.254255.255.255.0标准访问控制列表仅检查源地址，列表号为1-99；扩展访问控制列表不仅要检查源地址，也检查包的目的地址，也可以检查协议类型、端口号和其它参数ipnatoutside//定义外部接口访问控制列表ACL（1）允许网络地址172.16.0.0通过，但拒绝172.16.19.2通过ConfigterminalAccess-list1denyhost172.16.19.2Access-list1permit172.16.0.00.0.255.255Interfacefa0/1Ipaccess-group1out(2)禁止主机A（172.16.16.2）远程登录路由器B（172.16.17.1）Access-listnumberpermit|denyprotocolsourcedestinationConfigterminal 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记Access-list110denytcphost172.16.16.2host172.16.17.1eqtelnetAccess-list110permitipanyanyInterfacefa0/1Ipaccess-group110out(3)允许主机A（172.16.16.2）远程登录路由器B（172.16.17.1）ConfigterminalAccess-list110permittcphost172.16.16.2host172.16.17.1eqtelnetInterfacefa0/1Ipaccess-group110out交换机基本配置命令Switch>//用户模式enable//进入特权模式configterminal//进入全局配置模式hostnamesw1//设置交换机的名称为sw1enablesecret123//设置使能密码（以密文显示，权限高）enablepassword123//设置使能口令（以明文显示，与使能密码同时使用时，使能密码有效）noipdomain-lookup//取消域名解析lineconsole0//进入控制台线路配置模式(超级终端)password123//设置console登录密码为123exec-timeout3030//设置路由器超时时间为30分钟，30秒后自动弹出到用户模式，设置为00则永远不超时。Login//要求登录时输入口令linevty04//进入虚拟终端线路配置模式（telnet）exec-timeout3030//设置路由器超时时间为30分钟，30秒后自动弹出到用户模式，设置为00则永远不超时。后一个30的单位是秒。password123//设置VTY登录密码为123login//要求登录时输入口令exitinterfacevlan1//进入vlan1配置模式 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记ipaddress192.168.1.1255.255.255.0//ip地址为192.168.1.1noshutdown//启用该接口exitipdefault-gateway192.168.1.254//设置默认网关为192.168.1.254ipname-server192.168.2.1//设置域名服务器ipdomain-namewqs.com//设置域名interfacefa0/1speed100//设置带宽为100Mbpsbandwidth单位为Kbpsduplexfull//设置为全双工模式VTP配置Vlandatabase//进入vlan配置模式Vtpversion2//启用版本2的vtpVtpdomain305//设置域名为305Vtpdomainserver/client/transparent//设置交换机为服务器模式（客户模式或者透明模式）Vtppassword123//配置vtp口令Vtppruning//启动VTP修剪功能Vlan1nameaa//创建VLAN1名为aaVlan2namebb//创建VLAN2名为bbVlan3namecc//创建VLAN3名为ccExitShowvtpstatus//查看VTP配置信息生成树协议STPCongfigterminalSpanning-treevlan2rootprimary//配置为根交换机Spanning-treevlan2rootsecondary//设置为从根交换机Spanning-treevlan2priority4096//修改交换机优先级。数值为4096的倍数，值越小，优先级越高。Interfacefa0/1Spanning-treevlan2port-priority10//端口优先级为10，默认值是128，取值范围是0-255 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记Spanning-treevlan2cost30//设置vlan2生成树路权值为30Spanning-treeport-fast//设置端口为快速端口（1）创建VLAN1和VLAN2并将1-8口分配给VLAN1，9-23口分给VLAN2，将24口设置为干道Enable//进入特权模式vlandatabase//进入VLAN配置模式Vlan3nameshichang//建立VLAN3并命名为shichangVlan4nameyingxiao//建立VLAN4并命名为yingxiaoexitConfigterminal//进入配置模式Interfacerangefa0/1-8//进入组配置模式Switchportmodeaccess//设置这组接口为接入模式Switchportaccessvlan3//将组接口分配给VLAN3下的接口Interfacerangefa0/9-23SwitchportmodeaccessSwitchportaccessvlan4Interfacefa0/24//进入接口配置模式Switchportmodetrunk//设置24口为中继模式Switchporttrunkencapsulationdot1q//设置trunk封装switchporttrunkallowedvlanall//设置允许从该接口交换数据vlanEndShowvlan//查看vlan信息注：交换机支持的封装协议有dot1q和ISL两种。ISL最多支持1024个vlan；而dot1q支持4096个vlan，其中两个保留，因此可用4094个（2）两台交换机，划分VLAN1和VLAN2，交换机A为服务器模式，交换机B为客户模式。24口为干道模式交换机A:enableVlandatabaseVtpdomain305//设置域名为 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记Vtpmodeserver//设置本交换机为服务器模式Vlan1nameaa//建立VLAN1并命名为aaVlan2namebb//建立VLAN2并命名为bbexitConfigterminalInterfacerangefa0/1-8SwitchportmodeaccessSwitchportaccessvlan1Interfacerangefa0/9-23SwitchportmodeaccessSwitchportaccessvlan2Interfacefa0/24SwitchportmodetrunkSwitchporttrunkencapsulationdot1q//设置trunk封装switchporttrunkallowedvlanall//设置允许从该接口交换数据vlan交换机B:EnableVlandatabaseVtpdomain305Vtpmodeclient//设置本交换机为客户模式exitConfigterminalInterfacerangefa0/1-8SwitchportmodeaccessSwitchportaccessvlan1Interfacerangefa0/9-23SwitchportmodeaccessSwitchportaccessvlan2Interfacefa0/24SwitchportmodetrunkSwitchporttrunkencapsulationdot1q//设置trunk封装 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记switchporttrunkallowedvlanall//设置允许从该接口交换数据vlan（3）VLAN间路由交换机:enablevlandatabasevlan10vlan20exitconfigterminalinterfaceE0/1swichportmodeaccessswitchportaccessvlan10noshutdowninterfaceE0/2switchportmodeaccessswitchportaccessvlan20noshutdowninterfaceE0/3switchportmodetrunkswitchporttrunkencapsulationdot1qswitchporttrunkallowedvlanall//设置允许从该接口交换数据vlannoshutdown路由器configterminalinterfacee0/0.1//进入子接口配置模式encapsulationdot1q10//设置封装模式ipaddress192.168.0.1255.255.255.0interfacee0/0.2encapsulationdot1q20ipaddress10.10.10.1255.255.255.0exit 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记interfacee0/0duplexfullnoshutdown（4）stp配置交换机A的fa0/0对应trunk1，其vlan1-3（pathcost18），vlan4-5（pathcost30）；fa0/1对应trunk2，其vlan1-3（pathcost30），vlan4-5（pathcost18）。交换机A：ConfigterminalInterfacefa0/0switchportmodetrunkswitchporttrunkencapsulationdot1qswitchporttrunkallowedvlanallSpanning-treevlan3cost18Spanning-treevlan2cost18Spanning-treevlan1cost18Spanning-treevlan4cost30Spanning-treevlan5cost30exitInterfacefa0/1switchportmodetrunkswitchporttrunkencapsulationdot1qswitchporttrunkallowedvlanallSpanning-treevlan1cost30Spanning-treevlan2cost30Spanning-treevlan3cost30Spanning-treevlan4cost18Spanning-treevlan5cost18VPN配置 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记以R1为例ConfigterminalCyptoisakmpenable//启用ikeCyptoisakmppolicy1//配置IKE策略，1为策略号，自定义Group1//1的参数密钥长度为768位，2的参数密钥长度为1024位,默认为DES算法Authenticationpre-share//采用预先共享密码认证方式Lifetime86400//调整SA周期，单位是秒Cyptoisakmpkey123456address202.96.1.2//设置对等体的共享密钥为123456。202.96.1.2为对端路由器地址，根据实际修改Cyptoipsectransform-settestah-md5-hmacesp-des//设置名为test的交换集，ah的散列算法为md5，esp加密算法为desCyptomaptt10ipsec-isakmp//设置加密图，名称为tt，序号为10，使用IKE来建立IPSEC安全关联，以保护由该加密图所指定的数据流Setpeer202.96.1.2//标识对方路由器的合法ip地址Settransform-settest//将加密图用于交换集Access-list130permithost202.96.1.1host202.96.1.2matchaddress130//设置匹配130的访问列表interfacetunnel0//定义隧道接口ipaddress192.168.1.1255.255.255.0//定义隧道接口IPnoipdirected-broadcast 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记tunnelsource202.96.1.1//定义隧道接口源地址tunneldestination202.96.1.2//定义隧道借口目的地址crytomaptt//将加密图应用于此端口interfaces0ipaddress202.96.1.1255.255.255.252noipdirected-broadcastcrytomaptt//将加密图应用于此端口Interfacee0/1Ipaddress210.1.1.1255.255.255.0noipdirected-broadcastInterfacee0/2Ipaddress172.10.1.1255.255.0.0noipdirected-broadcastipclasslessiproute0.0.0.00.0.0.0202.96.1.2iproute172.10.1.2255.255.0.0192.168.1.2//设置内网静态路由PIX防火墙的配置ConfigterminalNameifeth0outsidesecurity0//外部接口命名并定义安全级别Nameifeth1insidesecurity100Nameifdmzsecurity50Interfaceeth0auto//设置eth0为自适应网卡类型Interfaceeth1100full//设置eth1为100M全双工Interfaceeth1100fullshutdown//关掉此接口ipaddressoutside61.144.51.42255.255.255.248//配置外网地址ipaddressinside192.168.0.1255.255.255.0//配置内网地址nat(inside)100//启用nat，内网所有主机访问外网nat(inside)1172.16.5.0255.255.0.0//172.16.5.0网段可以访问外网global(outside)161.144.51.42-61.144.51.48//使用网段61.144.51.42-61.144.51.48为内网提供IP地址 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记global(outside)161.144.51.42//访问外网时，所有主机统一使用61.144.51.42地址global(outside)numberipaddress-ipaddress[netmaskmask]Static(inside,outside)outside-ipaddressinside-ipaddressStatic(inside,outside)61.144.52.6210.0.1.3//创建内网地址10.0.1.3与外网地址61.144.52.62之间的映射Static(dmz,outside)211.48.16.2172.16.10.8//创建dmz地址172.16.10.8与外网地址211.48.16.2之间的映射ConduitPermit|denyglobal_ipportprotocolforeign_ipConduitpermittcphost192.168.0.8eqwwwany//允许任何外部对全局地址192.168.0.8主机进行http访问（主机提供http服务）Conduitdenytcpanyeqftphost61.144.51.89//禁止外部主机61.144.51.89访问内部ftpConduitpermiticmpanyany//允许icmp消息通过Fixupprotocolftp21//启用ftp协议并指定端口为21Fixupprotocolhttp80Fixupprotocolhttp8080//指定http协议运行的端口为80和8080Nofixupprotocolsmtp80//禁用smtp协议Route(inside|outside)00gateway-ipnumber//number表示gateway跳数，通常为1，Routeoutside0061.144.51.1681//指向边界路由器61.144.51.168的默认路由Routeinside10.1.1.0255.255.255.0172.16.0.11//创建一条从10.1.1.0网络到172.16.0.1的静态路由ISDN配置ConfigterminalIsdnswitch-typebasic-net3//设置iSDN交换类型Interfacebri0//进入BIR接口配置模式Ipaddress192.168.0.1255.255.255.0Encapsulationppp//封装协议为PPP 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记Dialerstring888888//设置拨号串,R2(对端路由器)的ISDN号码Dialer-group1//设置拨号组号1，把bri0接口与拨号列表1相关联NoshutdownExitDialer-list1protocolippermit//设置拨号列表1Pppanthenticationchap//设置认证方式Dialermapip200.10.1.1nameR2broadcast888888//设置协议地址与电话号码的映射（对端IP和ISDN号）Pppmultilink//启用多多链路Dialerload-threshold128//设置启用另一个B通道的阀值Clockratespeed//设置DCE端的线速度策略路由配置希望部分IP走A线路1.1.1.1，另一部分走B线路2.2.2.2Configterminal==============第一步创建匹配源列表==================Access-list1permit192.168.1.00.0.0.255//匹配地址列表Access-list2permit192.168.2.00.0.0.255=============第二步配置Route-map====================Route-maptestpermit10//创建路由映射规则Matchipaddress1//匹配列表1Setipnext-hop1.1.1.1//执行动作是送往1.1.1.1ExitRoute-maptestpermit20Matchipaddress2//匹配列表2Setipnext-hop2.2.2.2//执行动作是送往2.2.2.2Exit============第三步在接口上应用Route-map==============Interfacef0/0Ipaddress192.168.1.1255.255.255.0Ippolicyroute-maptest 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记第六章网络安全一、网络安全威胁网络安全威胁的主要种类：窃听、假冒、重放、流量分析、拒绝服务、数据完整性破坏、非授权访问、陷门和木马、病毒和诽谤。网络攻击的手段：被动攻击、主动攻击、物理临近攻击、内部人员攻击和分发攻击。网络安全措施：数据加密、数字签名、身份认证、防火墙和入侵检测。1.1数据加密基本思想：通过变换信息的表现形式来伪装需要保护的敏感信息，非授权者不能了解被加密的内容。明文：需要隐藏的信息密文：产生的结果密码算法：加密时使用的变换规则信息安全的核心是密码技术，密码技术的目的是研究数据保密一个加密系统采用的基本工作方式成为密码体制，密码体制的基本要素是密码算法和密钥，其中密码算法分为加密算法和解密算法，密钥分为加密密钥和解密密钥。1.1.1密码体制分为对称密码体制和非对称密码体制。对称密码体制：加密密钥和解密密钥相同，或者从一个可以导出另一个，拥有加密能力就拥有解密能力。对称密码体制的保密强度高，开放性差，需要可靠的密钥传递渠道。要求发送和接收数据的双方使用相同的对称密钥对明文进行加密和解密运算。常用算法有：DES，IDEA，TDEA,AES,RC2,RC4,RC5。DES：属于对称密码体制，将分组为64位的明文加密称64为密文。其密钥长度为56位附加8为奇偶校验。加密过程执行16个加密循环。三重DES：使用两个密钥，执行三次DES算法，在第一和第三层使用相同的密钥，其主密钥长度为112位。IDEA：属于对称密码体制，将分组为64位的明文加密成64为密文。使用 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记128位密钥，加密过程执行17个加密循环。AES支持128、192和256位三种密钥长度。非对称密码体制：又称公开密钥，加密和解密是分开的，即，加密密钥公开，解密密钥不公开，从一个区推导另一个是不可行的。非对称密码体制适用于开放的使用环境，密钥管理简单，但工作效率低于对称密码体制，常用于实现数字签名与验证。RSA算法：非对称密码体制。理论基础是数论中大素数分解。加密密钥公开称为公钥，解密密钥隐藏在个体中称为私钥。私钥带有个人特性，可以解决数据的签名验证问题。公钥用于加密和认证，私钥用于解密和签名该算法特点实现效率低，不适用于长明文加密，长与对称密码体制相结合使用。主要的非对称密钥算法有：RSA和ECC例：已知两个奇数p,q,公钥e，求d解：两个数同余运算根据Euler函数取小于r的整数e并且与z没有公约数。这里e已知。找到d满足能被z整除1.1.2加密的基本方法：置换和异位置换：改变明文内容的表现形式，但内容元素的相对位置不变。异位：改变明文内容相对位置，但表现形式不变。数据加密的方式：链路加密、节点到节点加密、端到端加密链路加密：数据在信道中是密文，在节点中呈现明文节点到节点加密：解决了节点中数据是明文的缺点。在中间节点中装有加密与解密保护装置，由其来完成密钥的变换。端到端加密：数据在没有到达最终节点前不被解密，对于中继节点，数据是密文。通常使用对称密钥1.2数字签名认证分为实体认证和消息认证， 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记主要是解决网络通信过程中通信双方身份认可。实体认证：识别对方身份防止假冒，可采用数字签名。消息认证：验证消息在传送或存储过程中有没有被篡改，可采用报文摘要。报文摘要可以为指定的数据产生一个不可仿造的特征，主要的方法有：MD5，SHA和HMAC三种认证技术：基于共享密钥的认证，needham-schroeder认证协议，基于公钥认证1.2.1数字签名数字签名应满足3点：（1）接收者能够核实发送者（2）发送者事后不可抵赖对报文的签名（3）接收者不能伪造对报文的签名B的公钥EBB的私钥DBA的公钥EAA的私钥DAABPPDA(P)EB(DA(P))DA(P)发送方A先利用自己的私钥DA对消息P进行加密，得到DA(P)，以此代表A对P的签名。A从CA获得B的公钥EB对密文DA(P)进行加密，得到EB(DA(P))，然后将密文传送给B，接收方B收到密文先用自己的私钥DB进行解密，得到DA(P)，B从CA中获得A的公钥EA对密文DA(P)进行解密，得到消息，如果与P相同，则认为签名有效，否则认为签名无效。数字签名可以利用DES、公钥密码体制来实现，常用方法是建立在公钥密码体制和MD5或SHA的组合基础上。1.2.2报文摘要MD5算法以任意长的报文作为输入，输出产生一个128位报文。SHA全称为安全散列算法，该算法建立在MD5基础上，输入报文小于位，产生160位的报文摘要。HMAC全称散列式报文认证码，HMAC-MD5被用于Internet安全协议IPSEC的验证机制。密钥管理： 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记数字证书：一个经认证中心CA数字签名的包含公开密钥拥有者信息和公开密钥的文件。用户使用自己的私钥进行解密和签名，使用公钥进行加密和验证。X．509证书标准包括：版本号、序列号、签名算法、发行者、有效期、主题名、公钥、发行者ID、主体ID、扩充域和认证机构的签名。PKI包括：证书管理中心CA：负责证书的颁发与管理，是可信任的第三方。签发证书注册机构RA：帮助远离CA的实体在CA处注册证书。申请证书政策审批机构PAA：制定整个体系结构的安全策略和下级机构的安全策略。1.3计算机安全：机密性：保证信息不被非授权访问，数据加密完整性：保证信息非法篡改，报文摘要抗否认性：保证用户对所产生信息否认，数字签名可用性：保证合法用户可以随时访问信息资源可审计性：记录信息访问过程中的详细操作过程和安全事件。可靠性：在规定的环境和规定的时间内完成工作的概率网卡接受数据状态：Unicast：单播模式Broadcast：广播模式Muticast：多播模式Promiscuous：混杂模式Sniffer对所遇到的每一个帧均产生硬件中断，提醒主机处理该报文。主要攻击有：捕获用户名和口令，获得更高级的访问权限，窥探低级协议信息。其通常运行在路由器或有路由功能的主机上。属于第二层次攻击1.4snifferSniffer工作前提（1）必须是共享以太网（2）网卡设置为混杂模式网络监听的防范方法：1、确保网络整体安全2、数据加密与身份验证ARP欺骗在局域网中，攻击源主机不断发送ARP欺骗报文，诱使其他主机通过攻击源主机连接网络。网络中只要存在攻击源主机，其它主机上网就会不稳定，严重时网络会瘫痪。欺骗方式：（1）冒充网关欺骗主机、冒充主机欺骗网关、冒充主机欺骗其它主机（2）虚构MAC地址欺骗（3）ARP泛洪（5）基于ARP的DoS鉴别方法：（1）检查网关MAC地址（2） 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记检查三层设备的ARP表，如果多个IP对应同一个MAC则说明对应次MAC的计算机中了ARP病毒。WindowsXP系统：Arp–sgateway-ipgateway-macDNS欺骗检测方法：被动监听检测虚假报文检测交叉检测查询IP欺骗WEB欺骗Email欺骗口令破解与拒绝服务攻击DoS1.5安全套接层SSLSSL介于Http协议和TCP协议之间的可选层。当发出访问请求时，SSL层借助下层协议的信道安全协商出一份加密密钥，并用此密钥加密Http请求；在TCP层与服务端口建立连接，传输SSL层处理后的数据，接受端与此过程相反。SSL分为握手协议和记录协议，握手协议用来协商密钥；记录协议用于定义传输格式。默认情况下，SSL协议使用端口号为443传输层安全性TLS，工作于TCP/IP之上，HTTP协议之下。它提供了客户机与服务器之间的安全连接。1.6安全超文本传输协议S-HTTP该协议为HTTP客户机和服务器提供了多种安全机制，是结合HTTP而设计的消息安全通信协议。工作在应用层HTTPS是一种安全HTTP协议，它使用SSL来保护信息安全，使用TCP的443端口来发送和接收报文。工作在传输层安全电子交易setSET使用“电子认证”技术为保密电子交易安全进行的基础，认证过程使用RAS和DES算法提供的3种服务：（1）在交易的双方之间提供安全信道（2）使用X.509证书实现安全电子交易（3）保证信息的机密性SET发生的先决条件：每个客户必须有一个唯一的电子（数字）证书 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记，且由客户设置口令，并利用这个口令对数字证书、私钥、信用卡号及其它信息进行加密存储。PGPPGP工作过程：用一个随机生成的密钥（每次均不同）使用IDEA（128位密钥）对明文进行数据加密，使用MD5进行数据完整性认证，然后用RSA对该密钥进行加密。既有RSA的保密性，又有IDEA的快捷性。主要特征：（1）使用PGP对邮件加密，防止非法阅读（2）给邮件加数字签名，使得收件人能够确认发件人（3）能够机密文件Kerberos属于对称密钥（DES算法），在不安全的网络环境中为用户对远程服务器的访问提供自动鉴别、数据完整性和安全性服务、以及密钥管理Kerberos要求用户使用用户名和口令作为自己的标识，而客户机与服务器之间的交互则使用对应的用户名和口令生成的会话密钥。当用户需要通信时，用户先向认证服务器AS申请初始票据；用户收到AS响应的初始票据后，在向票据授权服务器获得TGS申请会话密钥；用户收到TGS响应的会话密钥后，再向服务器请求相应的服务。为了防止中途报文被截获再重发，通信双方提供时间戳，再根据对方发来的时标判断这个请求是否是攻击者截获的旧信息。Kerberos系统的目标有三方面的：认证、授权和记帐审计KerberosV4系统中使用时间戳防止重发KerberosV5系统使用seq序列号来防止重发，目前主流是V5。Windows五种身份认证：匿名认证:不需要提供经过身份认证的用户凭据；基本身份认证：用户必须输入ID，访问是基于用户ID的。但该方式的用户ID和密码以明文形式在网络上传输。集成Windows身份验证：该验证使用了KerberosV5，能够提供较高的安全级别。摘要式身份验证：该方式需要用户ID和密码，可提供中等安全级别。与基本身份验证相同，但克服可基本身份验证的缺点。1.7隔离技术 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不泄露前提下，完成网间数据安全交换。第一代：完全隔离第二代：硬件卡隔离第三代：数据转播隔离第四代：空气开关隔离第五代：安全通道隔离完全隔离会使网络处于信息孤岛，目前隔离技术的发展方向是安全通道隔离。1.8入侵检测系统IDS主要功能：检测出正在发生的攻击活动、发现攻击活动的范围和后果、诊断并发现攻击者的入侵方式和入侵地点并给出建议、收集并记录入侵活动的证据。IDS系统不仅能针对外部入侵，还可以检测、监控内部用户行为，防止出现内部攻击者。IDS系统分类：基于主机的IDS、基于网络的IDS、分布式IDSIDS系统的服务功能：异常检测、滥用检测和攻击告警IDS部署位置（1）服务器区域的交换机上（2）Internet接入路由器之后的第一台交换机上（3）重点保护网段的局域网交换机上1.9病毒病毒分类：寄生病毒、存储器驻留病毒、引导区病毒、隐形病毒和多形病毒。网络安全审计系统的基本思想是：对网络数据实时采集，对上层应用协议数据实时分析与还原，对网络中的使用情况进行监控，对各种网络违规行为实时报告，甚至封锁某些特定的主机，以帮助管理员对信息资源进行有效的管理和维护。从时间上说审计是事后的，因此不能防止信息不泄露；从目标角度讲，审计的目的是希望达到信息不外泄。计算机系统安全等级 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记D级：级别最低，保护措施少，没有安全功能；C级：自定义保护级C1级：自主安全保护级。C2级：受控访问级实现更细粒度的自主访问控制，通过登录规程、审计安全性事件以隔离资源。WindowsNT4.0属于C2级。B级：强制保护级B1标记安全保护级B2结构化安全保护级B3安全域A级：可验证的保护A1：拥有正式的分析和数学方法。 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记第七章网络管理一、预备知识1.1文件系统FAT16：管理最大分区为2G，每个分区有65525个簇。FAT32：管理最大分区为2T。NTFS：为网路管理安全特性设置的格式，支持更大的分区空间，速度快，安全性好。能够实现自动错误修复和文件级安全性以及支持文件压缩。EXT2：linux文件系统EXT3：是EXT2的带日志版本AWAP：linux交换分区文件系统VFAT：与windows系统兼容的linux长文件名系统，1.2工作组和域域模型是Windows系统中将网络管理和安全性策略集中的方案，每个域都有一个主域控制器和归属的工作站，当域规模较大时，安装备份域控制器来缓解主域控制器的管理工作。主域模型：拥有一个主域控制器，一个或多个备份域控制器，主域控制器支持2500个验证账号，适合网络用数目少的情况。多主域模型：拥有2个或2个以上主域，主域用作账号管理，其它域称为资源域，不管理用户账号，但提供网络资源共享，主域之间相互信任。适合四万用户以上组织。完全信任模型：拥有多个主域，每个域都有账号和资源，域间完全信任二、网络管理系统的功能与组成网络管理系统分为：集中式、分布式、分层式2.1网络管理功能配置管理：负责检测和控制网络的配置状态。对网络拓扑结构、资源配备、操作日志、使用状态等配置信息进行定义、检测和修改。性能管理：保证有效的运营管理和提供约定的服务质量，并在保持各种业务服务质量的同时，提高网络资源的利用率。故障管理： 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记发现和纠正网络故障，动态的维护网络有效性。故障管理的功能：报警、故障定位、测试、业务恢复和维护故障日志。安全管理：提供信息的保密、认证和完整性保护机制，使网络中的服务、数据和系统免受侵扰和破坏。主要功能包括：风险分析、安全服务、告警、日志和报告。计费管理：正确的计算和收取用户网络服务费用，进行网络资源利用率的统计和成本效益核算。2.2网管系统构成：主要包括：网络管理协议、网络管理工作站（manager）、被管理组件(agent)、管理信息库MIB管理工作的流程（1）在被管理组件上预置代理（2）管理者利用网络管理协议从代理的MIB中取得被管理组件的管理信息，并存入自己的MIB中。（3）管理软件通过对MIB的分析，达到网络监控的管理目的。2.3简单网络管理协议SNMP（采用轮询和事件驱动实现管理功能）SNMP是在TCP/IP协议基础上定义并依赖于UDP数据报的应用层协议，采用UDP协议不会增加网络负载，但UDP协议不可靠，所以SNMP报文容易丢失，为此，SNMP的每个管理信息单独发送，报文限制在484字节。在SNMPV3版本中，管理站和代理站统一叫做SNMP实体。在SNMPV3版本中把网络协议的安全威胁分为主要和次要的两类：（1）篡改管理信息和假冒合法用户是SNMPV3安全模块必须防护的两种主要威胁；（2）修改报文流和消息泄露SNMPV3安全模块必须提供防护的两种次要威胁；（3）拒绝服务和通信分析是SNMPV3安全模块不必防护的。目前是SNMPV3版本，它提供了数据源标识、报文完整性认证、防止重放、机密性、授权和访问控制、远程配置和高层管理。SNMPv1和SNMPv2使用团体名进行认证，但SNMPv1共同体名使用明文传送，而SNMPv2可以进行鉴别和加密；SNMPv3定义了基于用户的安全模型，可以使用预先共享密钥进行报文认证管理进程使用UDP161端口进行get或者set操作；代理进程使用UDP162端口，进行trap操作。 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记简单网络管理协议SNMP周期性的向被管对象发出探寻信息，探寻的好处使系统相对简单，限制管理信息的通讯量，同时允许被管对象发出trap信息来通报特殊事件管理站支持的设备数N与轮询时间T（单位：秒）、单个轮询时间t之间关系为：Snmp5种报文：Get-Request:从代理处提取一个或多个变量Get-NextRequest：从代理处提取紧跟当前参数的下一个变量值Set-Request：设置代理进程一个或多个变量Get-Response：返回参数值，该操作由代理进程发出，是前3种操作的响应。Trap：代理进程主动发出的报文，通知管理进程某些事件。管理进程与代理进程之间关系称为共同体，在SNMP中，只有同一共同体之间才能通信，只有管理进程和代理进程之间交换管理信息时才使用共同体，共同体实际就是实现管理应用实体之间的身份鉴别，为一个字符串，是管理进程与代理进程之间的口令，采用明文方式，默认为public。SNMPMIB中被管对象的ACCESS属性包括，只读、只写、读写和不可访问4种。SNMPV2实体接收报文处理的步骤（1）对报文进行语法检查，丢弃出错报文（2）把PDU部分、源和目的端口交给认证服务器，如果认证失败就发出一个陷入，丢弃该报文。（3）如果认证通过，则将PDU转化成ASN.1的形式。（4）协议实体对PDU做句法检查，如果通过，则根据团体名和适当访问策略做相应处理。SNMPV2实体发送报文处理的步骤（1）根据实现协议构造PDU（2）把PDU、源和目的端口地址以及团体名交给认证服务器，认证服务器产生认证代码或对数据加密并返回结果。（3）加入版本号和团体名，构造报文。（4）进行BER编码，产生0/1比特串，发送出去远程网络监控RMON和SNMP的主要区别： 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记RMON提供整个子网的管理信息，而SNMP管理信息库只包含本地设备的管理信息。RMON扩充了管理信息库MIB-2，在不改变SNMP的条件下增强了网络管理功能，进一步解决了SNMP在日益扩大的分布式网络中所面临的局限性。2.4Windows基本管理配置命令Winipcfg等价于ipconfig,但Winipcfg用在winME、WIN98和WIN95之上。Ipconfig/all显示所有适配器完整TCP配置信息Ipconfig/renew手动更新DHCP配置信息Ipconfig/releaseDHCP客户端手动释放IPIpconfig/flushdns清除并重设DNS缓存信息Ipconfig/registerdns手动注册DNSIpconfig/displaydns显示本地DNS内容Ping–t连续发送请求信息到目的地，按ctrl+C终止。Ping–a对目的地IP进行反向名称解析Ping–ncount指定发送请求信息的次数，默认为4Ping–lsize发送消息中数据字段的长度Tracert–d防止将路由器的IP解析成名称Tracert–hmax-hops搜索目标路径中指定跃点的最大数Tracertname|IP指定目标的路径Route–f删除路由表中的网络路由Route–p与add命令结合是添加一条路由；与print结合是显示持久路由。保存在注册表中的路由Route–padd目标地址mask子网掩码下一跳地址Routeadd添加路由Routechange修改已有路由Routedelete删除路由Routeprint显示本机路由，与netstat–r命令相同Route[-f|-p][command目标地址][masknetmask][gateway]Netstat–a显示所有活动TCP连接以及侦听的TCP和UDP端口Netstat–e显示以太网统计信息，包括收发字节数，常与-s结合使用Netstat–s按协议显示统计信息Netstat–r显示本机路由，与Routeprint等价 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记Netstat–pprotocol显示指定的协议连接，与-s可以联合使用Netstat–n显示活动的TCP连接，但以数字形式表现地址和端口Arp–sIPaddressMAC在arp表中添加静态表项arp–dIPaddress删除指定一个表项arp–aipaddress显示指定IP地址的arp表项，不带参数则显示所有表项2.5Linux系统Linux支持多种分区格式，其采用ext2和ext3，安装时至少需要一个根分区（/）和一个交换分区（swap），交换分区应该为计算机内存容量的2倍。2.5.1Linux下的文件包含内容/为根目录，在linux系统中根目录只有一个/var包含正在操作的文件、记录文件、加密文件和临时文件/home除root用户外的所有用户配置文件,个性化文件和主目录★/etc操作系统配置文件★/dev设备文件/lib程序和核心模块共享库/usr/local/bin用户安装的应用程序/lost+found一些丢失的文件可以在这里找到/mnt外部设备的挂载点/proc这是临时目录，存放内存读取的进程信息，该目录中的内容关机后不被保存账号记录在etc/passwd★密码记录在etc/shadow★用户组记录在etc/group★用户组密码记录在etc/gshadowetc/sysconfig/network包括主机基本网络信息，用于系统启动★etc/hostname包含完整域名★etc/hostsIP地址与主机映射，进行域名解析（与Windows相同）★etc/host.conf解析主机域名方法★etc/resolv.conf置DNS文件配★etc/service端口与服务器名之间的映射★etc/gateways建立动态路由2.5.2文件权限（用八进制数字表示文件权值） 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记d表示文件类型，r表示可读我，w表示可写，x表示可执行其它用户组权限用户组权限用户权限421新建目录的权限drwxrwxrwx，权值为777。新建文件的全新rwrwrw，权值为666-表示为普通文件；b表示块专用文件；c表示字符专用文件；d表示目录文件；l表示符号链接文件Chmodg+rwxfilename与文件所有者同组用户增加权限Chmoda+rwxfilename文件所有者，同组用户和其他人增加权限Chmodu+rwxfilename为文件所有者增加权限Chmodo+rwxfilename为其它用户增加权限+号表示增加权限，-号表示取消权限，=表示唯一权限。Chown拥有者文件名改变文件拥有者Chgrp组名文件名改变文件组2.5.3Linux常见命令cd改变当前工作目录，cd与目录名间有空格，不带任何参数时返回root目录。pwd显示当前所在目录mkdir建立新目录，-p一次可建立多个目录，-m给目录设定权限ls产看文件及目录–a显示所有目录和文件，包括隐藏文件；-l以长格式显示文件信息，包括类型、权限、所有者、组、大小、创建和修改时间。cp复制文件和目录，-f表示覆盖文件目录，且不提示rm删除文件及目录mv移动文件及目录，-f表示覆盖文件目录，且不提示cat串联并显示文件，可同时显示多个文件ps显示当前进程tac从最后一行显示文件内容more一页一页的显示内容less显示文件时允许用户即可向前也可向后翻阅文件vi创建或打开文件kill终止某个进程man获得在线帮助tar打包 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记whereis查找文件whatis获取命令简介grep在文件中搜索指定字符，-i不区分大小写。ln为某一文件在另外一个位置建立文件链接按ESC输入:wq保存并退出当前文件，:q不保存退出Useradd–c注释user创建带注释的userUseradd–g组名user创建属于某组的userUserdel–ruser删除passwd中的对应用户，包括shadow和group中的信息Passwduser设置user用户口令Passwd–uuser解锁user用户-fuser强制user用户下次登录修改口令Groupadd–gIDgroup-name创建带ID的组，Groupdelgroup-name删除组Groupmod–nnew-groupnameold-groupname更改组名Ifconfig–aeth0显示eth0接口信息，包括ip、掩码、广播地址和接口状态Ifconfigeth0ipaddressnetmaskmaskbroadcast广播地址设置eth0口的IP地址、子网掩码和广播地址。Ifconfigeth0down|up关闭或者开启eth0PingIPaddress测试ip地址是否连通-c次数发送数据包的个数Ping–n相同Arp–n列出当前ARP缓存条目-s添加一个静态ARP条目，arp–sIPaddressMAC-d删除ARP条目，arp–dIPaddressRoute显示本机路由Routeadd|del[-net|-host]IPaddress[gwgateway][netmaskmask][devinterface]添加或者删除路由例：routeadd–net10.1.1.0添加一个网络路由Routeadd–host10.2.1.1gw10.1.1.2主机10.2.1.1的网关10.1.1.22.6网络故障诊断物理故障逻辑故障路由故障主机故障Ping127.0.0.1如果不通说明本机的TCP/IP协议不能正常工作 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记Ping本机IP如果通则表明网络适配器工作正常，否则适配器故障Ping网段内其他工作正常的主机，如果不通则说明线路故障Ping本地网关，不通则不能上网PingDNS地址，不通则DNS故障Tracert命令可以判断数据报走的路径，故障诊断的一般步骤：（1）确定故障现象，分析可能造成的原因（2）收集需要的用于帮助隔离可能故障的信息。从网络系统、协议分析、路由诊断命令输出的报告或者软件说明书中收集信息。（3）根据收集到的情况考虑可能的故障原因。2.7数据备份数据备份的策略：完全备份：备份系统中所有数据。特点是备份时间长，恢复时间短，操作方便。适用于数据量不大的系统增量备份：只备份上次备份以后变化后的数据。特点是备份时间短，恢复麻烦，操作方便。差分备份：只备份上次完全备份以后变化的数据。特点是备份时间适中，恢复方便。2.8网络存储直连式存储DAS：在服务器上外挂大容量磁盘，存储设备与服务器主机之间采用SCSI通道连接。这种方式难以扩展存储容量，不支持数据容错，当服务器出错时，造成数据丢失。网络附加存储NAS：将存储设备连接到现有网络上，来提供数据存储和文件访问服务。采用raid方式管理，能有效保护数据存储区域网络SAN：是一种连接存储设备和存储管理子系统的专用设备，专门提供数据存储与管理功能。SAN是一种专用高速网络，采用光纤通道实现网络互联，SAN不仅提供大容量的数据存储，而且地域上可以分散部署。磁盘冗余阵列RAIDRAID0需要两块以上磁盘，每个磁盘划分不同的区块，数据采用交叉存取和并行传输。这种磁盘利用率高，读写速度最快，但由于没有数据差错控制，因此很容易发生数据错误。 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记RAID1由磁盘对组成，每个工作磁盘均有对应的映像，上面保存着与工作盘完全相同的数据，具有最高的安全性，但利用率为50%。RAID2采用海明码纠错技术。输出速率与驱动器中速度最慢的相等。RAID3把奇偶校验码（只能查错不能纠错）存在一个独立的磁盘，如果一个磁盘失效，其上的数据可以通过其他盘上数据进行异或运算得到，读盘速度快，但写入速度慢。适用于图像处理等要求高吞吐率的场合，磁盘利用率为。RAID5各块磁盘进行条带化分割，相同的条带进行奇偶校验，检验数据平均分配在每一块硬盘上。磁盘利用率为。RAID0+1是RAID0与RAID1组合形式，它提供RAID1的安全保障同时提供RAID0近似的访问速度。2.9系统可靠性与失效率计算串联系统的失效率并联系统的失效率平均无故障时间与失效率之间关系串联系统的可靠度并联系统的可靠度可靠度与失效率之间关系SNMP消息是以明文形式发送的。这些明文消息很容易被“Microsoft网络监视器”这样的网络分析程序截取并解码。未经授权的人员可以捕获社区名称，以获取有关网络资源的重要信息。“IP安全协议”(IPSec)可用来保护SNMP通信。您可以创建保护TCP和UDP端口161和162上的通信的IPSec策略，以保护SNMP事务。创建筛选器列表要创建保护SNMP消息的IPSec策略，先要创建筛选器列表。方法是：单击开始，指向管理工具，然后单击本地安全策略。展开安全设置，右键单击“本地计算机上的IP安全策略”，然后单击“管理IP筛选器列表和筛选器操作”。 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记单击“管理IP筛选器列表”选项卡，然后单击添加。在IP筛选器列表对话框中，键入SNMP消息(161/162)（在名称框中），然后键入TCP和UDP端口161筛选器（在说明框中）。单击使用“添加向导”复选框，将其清除，然后单击添加。在“源地址”框中，单击“任意IP地址”。在“目标地址”框中，单击我的IP地址。单击“镜像。选中“与源和目标地址正好相反的数据包相匹配”复选框。单击协议选项卡。在“选择协议类型”框中，选择UDP。在“设置IP协议端口”框中，选择“从此端口”，然后在框中键入161。单击“到此端口”，然后在框中键入161。单击确定。 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记在IP筛选器列表对话框中，选择添加。在“源地址”框中，单击“任意IP地址”。在“目标地址”框中，单击我的IP地址。选中“镜像、匹配具有正好相反的源和目标地址的数据包”复选框。单击协议选项卡。在“选择协议类型框中，单击TCP。在“设置IP协议”框中，单击“从此端口”，然后在框中键入161。单击“到此端口”，然后在框中键入161。单击确定。在IP筛选器列表对话框中，单击添加。在“源地址”框中，单击“任意IP地址”。在“目标地址”框中，单击我的IP地址。单击“镜像，匹配具有正好相反的源和目标地址的数据包”复选框，将其选中。单击协议选项卡。在“选择协议类型”框中，单击UDP。在“设置IP协议”框中，单击“从此端口”，然后在框中键入162。单击“到此端口”，然后在框中键入162。单击确定。 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记在IP筛选器列表对话框中，单击添加。在“源地址”框中，单击“任意IP地址”。在“目标地址”框中，单击我的IP地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框，将其选中。单击协议选项卡。在“选择协议类型框中，单击TCP。在“设置IP协议”框中，单击“从此端口”，然后在框中键入162。单击“到此端口”，然后在框中键入162。单击确定。在IP筛选器列表对话框中单击确定，然后单击“管理IP筛选器列表和筛选器操作”。单击应用，关闭。创建IPSec策略。要创建IPSec策略来对SNMP通信强制实施IPSec，请按以下步骤操作：右键单击左窗格中“本地计算机上的IP安全策略”，然后单击创建IP安全策略。“IP安全策略向导”启动。单击下一步。在“IP安全策略名称”页上的名称框中键入SecureSNMP。在说明框中，键入ForceIPSecforSNMP，然后单击下一步。单击“激活默认响应规则”复选框，将其清除，然后单击下一步。在“正在完成IP安全策略向导”页上，确认“编辑属性”复选框已被选中，然后单击完成。 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记在“SecureSNMP属性”对话框中，单击使用“添加向导”复选框，将其清除，然后单击添加。单击IP“筛选器列表”选项卡，然后单击SNMP消息(161/162)。单击筛选器操作选项卡，然后单击需要安全。单击身份验证方法选项卡。默认的身份验证方法为Kerberos。如果您需要另一种身份验证方法，则请单击添加。在新身份验证方法属性对话框中，从下面的列表中选择要使用的身份验证方法，然后单击确定：ActiveDirectory默认值（KerberosV5协议）使用此字符串（预共享密钥） 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记在新规则属性对话框中，单击应用，然后单击确定。在SNMP“属性”对话框中，确认SNMP“消息(161/162)”复选框已被选中，然后单击确定。在“本地安全设置”控制台的右窗格中，右键单击安全SNMP规则，然后单击指派。在所有运行SNMP服务的基于Windows的计算机上完成此过程。SNMP管理站上也必须配置此IPSec策略。 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记第八章计算机基础知识一、计算机硬件基础1.1数据表示原码：最高位为符号位，0表示正数，1表示复数。其中数值0有+0与-0之分。其数值范围。8位时范围-127～+127反码：正数的反码与原码相同；负数符号位不变，其余位取反。数值0有两种表示方式。数值范围。8位时范围-127～+127补码：正数的补码与原码相同；负数的补码在反码基础上加1。数值0只有一种表示法，即：00000000。数值范围。8位时范围-128～+127，适合数字加减运算移码：在补码基础上符号位取反，数值0只有一种表示法，即：10000000。适合浮点数阶码。1.2校验码码距：在一个编码系统中，任意两个合法编码之间至少有多少个二进制位不同奇偶效验码：通过在编码中增加1的个数为奇数或者偶数从而使码距为2。海明码：利用奇偶性来检错和校验的方法。假设有m位信息码，加入k位校验码，则循环冗余校验码CRC：1.3计算机的结构1.3.1CPU由运算器、控制器和寄存器组成运算器：完成算术运算、逻辑运算和移位操作。主要部件算术逻辑单元ALU、累加器、标志寄存器、寄存器组、多路转换器和数据总线。控制器：实现指令读入、寄存、译码和执行过程有序的发出控制信号。主要部件：程序计数器PC、指令寄存器、指令译码器、时序产生器和信号发生器组成。寄存器：暂存寻址和计算过程的信息。通常分为数据寄存器、地址寄存器、状态寄存器、控制寄存器。指令周期：取出并执行一条指令所需时间。 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记总线周期：CPU从存储器或者I/O接口存取一个字节所需时间。时钟周期：CPU处理动作的最小单位相互关系：一个指令周期可以划分成一个或多个总线周期；一个总线周期可以分为几个时钟周期。1.3.2主存储器：又称内存或主存，用来存放正在使用或者随时使用的数据和程序，CPU可以直接访问。主存储器指标：（1）存储容量：存储器可容纳的二进制信息量。,,。（2）存储周期：连续启动两次独立的存储器操作所需最小时间。存储周期一般是ns级，即s（3）存取时间：从启动一次存储到完成所需要的时间（4）存储器带宽：每秒钟能访问的位数，记作假设有一个存储器存储容量为位，若使用的芯片，则需要个存储芯片★★相关联存储器：一种按内容寻址的存储器。原理是把数据或数据某一部分作为关键字，将关键字与存储器中每一个单元进行比较，找出存储器中所有与关键字相同的数据Cache：又称高速缓存存储器，是为解决与主存之间的速度匹配问题而设立。命中率：在Cache中访问到信息的概率。程序执行过程中分别对Cache的访问次数为和对主存的访问次数为，则Cache命中率为H★平均存取时间：可以用Cache和主存的访问周期、和命中率H来表示，即：。★★地址映像：当CPU访问内存时，用的是访问主存的地址，由该地址变为Cache的地址称为地址变换，变换由硬件来实现，已达到快速访问的目的。地址映像的方式有：全相联方式、直接方式和组相联方式1.3.4流水线技术：将一个操作分为多个可独立处理的子操作（如取指令、译码、取操作数、执行），每个子操作在一个专门的硬件站上执行，这样一个操作需要流水线上多个站的处理才能完成。 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记流水线周期：操作时间最长的一个。记为★★吞吐率：流水线建立时间：执行m条指令的时间为：1.3.5I/O接口的分类：（1）按数据传输格式：并行和串行（2）按主机访问I/O的方式：程序查询接口、中断接口、DMA接口（3）按时序控制：同步和异步程序查询接口：CPU通过执行程序查询外设状态，判断是否有数据传输中断接口：CPU暂停当前正在执行的程序，转去处理这些事件，当处理结束后再继续原来执行的程序。DMA接口：采用一个专门的控制器来控制内存与外设之间的数据交流，无需CPU介入。通道控制方式：CPU只需发出I／O指令，通道完成相应的I／O操作，并在操作结束时向CPU发出中断信号；同时一个通道还能控制多台外设。通道的特点：通道分担了CPU对输入输出操作的控制；减少了外设对CPU请求中断的次数；提高了CPU的运行效率；实现了CPU与外设之间的并行执行。1.3.6总线系统：一般可分为芯片内总线、元件级总线、内总线和外总线。一个32K×32位的主存储器，其地址线和数据线的总和为47根。32K×32位的存储器，其数据线需要32根；32K是其容量大小，根据2的n次幂=32×1024可以计算出：n=15。于是至少需要15根地址线，所以，所需的地址和数据线总和为47。内总线又称系统总线，分为数据总线、地址总线和控制总线；常见系统总线标准：ISA总线：数据线16位，地址线24位，频率为8MhzEISA总线：是ISA总线扩展，数据线32位，频率为8Mhz。PCI总线：目前微型机所采用的总线标准，总线的工作与处理机的工作是并行的，总线上的设备是即插即用的。 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记该总线频率为33.3Mhz。PCI-2带宽为64位，频率为66.6Mhz外总线又称通信总线，可直接与外设相连或与其它计算机相连。常见的标准有：串行总线接口RS232：是数据终端设备DTE与数字通信设备DCE之间数据交换的接口。用于modem、键盘及其它终端之间传输数据。SCSI总线：是一种并行总线，广泛用于连接硬盘、光盘等。通用串行总线USB：提供电源，即插即用。USB1.1传输速率为12M；USB2.0传输速率为480M，其中1.5M用于鼠标键盘等外设；USB3.0传输速率为5G。IEEE1394:由6条信号线组成，可连接设备多，速度快支持即插即用。1.3.6指令系统指令由操作码和操作数（地址码）组成。指令长度分为固定长度和可变长度两种。寻址方式：立即寻址：指令的地址码字段给出的不是操作数的地址而是操作数本身。其特点是访问一次存储器就可同时取出指令和操作数。直接寻址（寄存器寻址）：指令的地址码字段给出操作数所在存储单元地址（寄存器号）。变址寻址：操作数的地址由某个变址寄存器的内容和位移量相加间接寻址：操作数的地址是主存中的存储单元的内容相对寻址：操作数的地址由指令寄存器的内容与位移量相加复杂指令计算机CISC：特点：（1）指令采用可变长指令格式，指令系统丰富，使用频率差别大，处理特殊任务效率高。（2）支持更多的数据类型和寻址方式。（3）指令系统对应的控制信号复杂，大多采用微程序控制方式。（4）高级语言实现简单，效率高简单指令计算机RISC特点：（1）采取定长指令格式，精简指令数量，使用频率接近。（2）采用寄存器操作，寻址方式少。 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记（3）大部分指令都采用硬联控制实现。（4）优化编译程序来支持高级程序语言，需要较大的存储空间1.4操作系统：操作系统是计算机系统中的系统软件，它有效的组织和管理系统中的软硬件资源，合理的组织计算机系统的工作流程，控制程序执行，并为用户提供良好的工作环境和友好的接口。操作系统主要有并发性、共享性、虚拟性和不确定性4个特征。操作系统功能如下：进程管理、存储管理、设备管理、文件管理和作业管理软件分为系统软件和应用软件。常见的系统软件有：操作系统、语言处理程序、连接程序、诊断程序和数据库管理系统。操作系统是系统软件最核心的部分。应用软件是为某一个专门的应用目的而开发的软件，如科学计算、工程设计、事物处理、数据处理、过程控制、文字和表格处理软件、辅助设计和实时处理软件等。进程是程序的一次执行，它是动态的有生命期的并且需要处理机来执行。是操作系统并行工作的基本单位，也是核心调度及资源分配的最小单位。等待某一事件如I/O请求I/O结束或等待事件发生新建运行终止时间片到调度就绪阻塞线程是比进程更小的能够独立运行的基本单位，是处理器分配的最小单位。同步：是进程间直接制约的问题互斥：是进程间间接制约的问题PV操作：是实现进程同步与互斥的常用方法；P操作表示申请一个资源，V操作表示释放一个资源。某个系统中有R个资源，现有有m个进程互斥，每个进程需要n个资源，则系统不发生死锁所需要资源数个。★★ 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记死锁避免的经典算法为银行家算法，这种算法会增加系统开销。分页存储：分页地址由页号和页内地址组成地址变换：进程在执行过程中通过查找页表，可以找到对应的物理块号。页表的作用是实现页号到物理块号的地址映射页式存储的优点：利用率高、碎片效，分配管理简单缺点：增加系统开销，可能产生抖动现象例：页式存储系统的地址由页号和业内地址两部分组成，地址变换过程如下，假设页面地址为8KB，十进制逻辑地址9612经地址变换后的物理地址a是逻辑地址9612变为二进制10010110001100页面地址，即从右向左数13位，剩余位为页号即0001，由查表知物理块号为3转换为十进制为0011。将物理块号与页内地址合并即得到：00110010110001100转换成十进制为25996页表长度9126页表地址a页号物理块号011325段式存储：由段号和段内地址组成进程在执行过程中，通过查段表来找到每个段所对应的内存区，因此段表实现了逻辑段到内存区的映射。段表由页号、段长和基址组成。物理地址=基址+位移量页式存储的优点：多道程序共享内存，各段程序修改互不影响缺点：内存利用率低，内存浪费大虚拟存储器：利用大量的外存来扩展内存，产生一个比有限的实际内存空间大得多的，逻辑的虚拟内存空间。磁盘管理磁盘：每个磁道存储容量是相同的，位密度是不同的。磁道数=，注意硬盘的第一面和最后一面是保护用，要减掉。如3个双面盘片的记录面数位32-2=4非格式化容量=格式化容量= 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记平均数据传输速率=存取时间=寻道时间+等待时间。寻道时间指磁头移动到磁道所需时间；等待时间为等待读写的扇区到磁头下方所需时间读取磁盘数据时间包括3个部分：寻道时间+找扇区时间（旋转延迟时间）+传播时间1.5系统开发与运行基础：软件生命周期：指软件产品从计划到软件交付使用，直到最终退出为止的过程。包括计划阶段、分析阶段、实现阶段、测试阶段和运行维护阶段。软件开发模型：瀑布模型、螺旋模型、喷泉模型、原型化模型、演化模型瀑布模型：严格遵循软件生命周期各阶段的固定顺序，一个阶段完成再进入另一阶段，适用于结构化开发方法。开发阶段定义阶段瀑布模型：软件计划、需求分析、软件设计、程序编码、软件测试、运行维护维护阶段瀑布模型的优点：1、为项目提供按阶段划分的检查点。2、当前阶段完成后，只需关注后续阶段3、可在迭代模型中应用瀑布模型4、适用于大规模系统项目缺点：1、各阶段划分完全固定，阶段之间产生大量文档，增加了工作量。2、用户直到工程末期才能见到开发成果，增加了开发风险。3、不适应用户需求变化。原型化模型：开发人员对用户提出问题进行总结，就主要需求达成一致意见，开发一个原型并运行，然后对原型进行反复修改，使之完善。衡量原型化模型开发人员能力标准是快速获取需求能力优点：用户需求清楚，降低开发风险与成本,用户参与决策，减少项目管理，要求完整的生命周期缺点：不适用大型系统，系统难于维护。演化模型：根据用户需求，快速分析构造该软件的一个初始版本，称之为原型，根据用户在使用原型过程中提出的建议改进原型，获得原型的新版本，重复这一过程，使用户最终获得满意的软件产品。螺旋模型：将瀑布模型和原型模型结合，强调了其它模型所忽略的风险分析，适合大型复杂系统 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记优点：支持用户需求的动态变化，降低风险。缺点：增加开发成本喷泉模型：主要用于描述面向对象的开发过程，核心的特点是迭代。所有开发活动没有明显边界，允许各种开发活动交叉进行。软件开发方法：结构化方法：用系统工程的思想和工程化的方法，按用户至上的原则，结构化、模块化、自顶向下的对系统进行分析和设计的方法。结构化开发方法是面向数据流的开发方法。优点：从系统整体出发，强调整体优化的条件下，自上而下的分析和设计；遵循用户至上原则；严格区分系统开发的阶段性；每个阶段的成果作为下一阶段的依据，便于系统开发的管理与控制；文档规范化，按照工程标准建立规范化的文档资料。缺点：开发周期长，难于适应环境变化；数据流图：用于描述数据流从输入到输出的变化流程，由加工、数据流、文件和外部实体构成。概要设计：主要设计软件的结构、确定系统由那些模块组成，以及每个模块之间关系。详细设计：确定应该如何实现具体所要求的系统，得出对目标系统的精确描述。Jackson是面向数据结构的开发方法。面向对象的方法：从客观事物中构造软件系统，运用了对象、类、继承、封装、聚合、消息传递和多态等概念描述软件系统。面向对象的软件开发方法有：Booch方法、coad方法jocobson方法，对象建模技术OTM等统一建模语言UML是面向对象软件的标准化建模语言。它的词汇表中包含了3种构造块，即事物、关系和图。事物是对模型中最具代表性的成分的抽象关系把事物结合在一起，包括依赖、关联、泛化和实现。泛化关系是一种一般/特殊关系，利用这种关系子类可以共享父类的结构与行为。图聚集了相关事务，包括类图、对象图用例图等。需求分析任务：确定软件系统的功能需求；分析软件系统的数据要求；导出系统逻辑模型；修正项目开发计划。工作：需求获取；需求分析与综合；编写需求规格说明书；需求评审。需求分类：功能需求；非功能需求；设计约束。 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记需求工具：数据流图DFD、数据字典、判定表、判定树软件设计：模块设计原则：高内聚，低耦合软件测试：目的：尽可能多的发现软件产品的错误和缺陷。测试方法：白盒测试：需要了解程序内部结构，测试用例是根据程序内部逻辑来设计。白盒测试用于软件的单元测试。黑盒测试：对软件已经实现的功能是否满足需求进行测试和验证。黑盒测试不关心内部逻辑结构，只根据程序的功能说明来设计测试用例。黑盒测试用于软件的功能测试。灰盒测试：关注输出对于输入的正确性，同时也关注内部表现，但不像白盒那样详细完整。测试的步骤：单元测试、集成测试、确认测试、系统测试项目管理：范围管理，时间管理，成本管理，质量管理，人力资源管理，沟通管理，风险管理，采购管理，整体管理时间管理甘特图：用水平线段表示任务的工作阶段；线段的起点和终点对应任务的开始和完成；线段的长度表示完成任务所需时间。优点：清晰的描述每个任务从何时开始到何时结束以及各任务之间的并行性。缺点：不能反映任务之间的依赖关系，难以确定任务关键所在，也不能反映任务中有潜力部分。PERT：是一个有向图，途中用有向弧表示任务，可以标上任务完成所需时间；图中的节点表示流入节点的任务结束，并开始流出节点任务，把这些节点称为事件。事件本身不消耗时间和资源，它仅表示某个时间点。Pert图不仅给出了任务开始时间、结束时间和完成任务所需时间，还给出了任务之间关系，以及如期完成整个工程的关键路径。但不能反映任务之间的并行关系。最晚开始时间取最小，最早开始时间取最大。关键路径上的最早开始时间和最晚开始时间的点是相等的。事件号最早开始时间事件持续时间最晚开始时间 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记人力资源管理：需要综合考虑系统规模、技术复杂度、项目计划、成本和进度等因素。风险管理：风险具有不确定性和损失两大特性分类:项目风险，技术风险，商业风险风险曝光度：风险的概率乘以风险可能造成的损失。软件成熟度模型CMM：分为5个等级，初始级、可重复级、定义级、管理级和优化级，每一级都为下一级提供基础。·初始级：软件过程的特点是无秩序的，有时甚至是混乱的。软件过程定义几乎处于无章法和步骤可循的状态，软件产品所取得的成功往往依赖于极个别人的努力和机遇。·可重复级：已建立了基本的项目管理过程，可用于对成本、进度和功能特性进行跟踪。对类似的应用项目，有章可循并能重复以往所取得的成功。·已定义级：用于管理的和工程的软件过程均已文档化、标准化，并形成了整个软件组织的标准软件过程。全部项目均采用与实际情况相吻合的、适当修改后的标准软件过程来进行操作。·已管理级：软件过程和产品质量有详细的度量标准。软件过程和产品质量得到了定量的认识和控制。·优化级：通过对来自过程、新概念和新技术等方面的各种有用信息的定量分析，能够不断地、持续地对促进过程进行改进。除第一级外，每一级都设定了一组目标，如果达到了这组目标，则表明达到了这个成熟级别，自然可以向下一级别迈进。CMM体系不主张跨级别的进化。因为从第二级开始，每一个低级别的实现均是高级别实现的基础。文档的编制在开过过程中占有突出地位。文档作为检查项目进度和设计质量的依据；是设计人员在一定阶段的工作成果和结束标识；有助于提高设计效率。知识产权著作权：作者对其创作的作品享有的人身权和财产权自软件开发完成之日起，保护期为50年，期满后，除人身权外其他权利终止。人身权包括：署名权、发表权、修改权和保护作品完整权财产权包括：发行权、出租权、展览权、表演权和信息网络传播权合理使用是指可不经著作权人许可，也无需支付报酬，使用其作品。著作权归属1、职务开发软件著作权归单位。包括：本职工作明确的开发目标或从事本职工作活动的结果。2、利用单位资金、专用设备、未公开的信息等物质技术条件，并由单位承担责任的软件，著作权归单位。3 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记、合作开发软件著作权一般为共同所有，如果有软件著作权协议，按协议确定著作权归属。4、委托开发的软件，著作权归属由委托人和受托人通过合同约定，如果未明确，著作权归属受托人。5、接受任务开发的软件，著作权归属在合同中明确约定的一方，未明确的，属于软件开发单位。6、只进行组织、提供咨询意见、物质条件或其他辅助工作不享有著作权。侵权判定：1、中国公民、法人和组织的作品，不论发表是否发表均享有著作权。2、开发软件所用思想、处理过程、操作方法及数学概念不受保护。3、法规、决定、命令、立法文件、官方译文、新闻和通用数表不受保护。以下属于合理使用：1、个人学习、研究或欣赏，适当引用不构成侵权。2、为介绍、评论某一作品或说明某一问题，在作品中适当引用他人已发表的作品。3、公开演讲内容、免费表演他人作品、不够成侵权4、用户教学或科学研究不构成侵权5、将汉语译成少数民族语言作品或盲文出版不构成侵权专利权：由国务院相关部门授予的，对发明创造者在规定的时间内享有的独占使用权。发明专利的保护时限为自申请日起20年，实用新型专利和外观设计专利为自申请日起10年两个以上申请人分别对同样的发明创造申请专利，专利权授予最先申请的人。同时申请专利，在收到国务院专利行政部门通知后，自行协商确定申请人，协商不成的均予以驳回。同样的发明创造，只能授予一项专利。强制实施许可：法律规定不经专利权人许可而实施专利权人之专利的不构成侵权专利权归属：下列情况专利权归属单位：1、履行本单位交付的本职工作外的任务所作出的发明。2、离职、退休或调动工作1年后与原单位相关的发明3、职务发明创造4、利用本单位的物质技术条件完成发明创造，其专利权依据合同约定。商标法 2014年全国计算机技术与软件技术（水平）考试—网络工程师笔记商标注册年限为10年，注册人死亡或倒闭1年未转移可以注销，期满后6个月内可以续注。商标谁先申请谁拥有，但知名商标非法抢注的除外。同时申请，谁先使用谁拥有（需提供证据）无法提供证据、协商归属无效时抽签确定（但不可不确定）公民作品保护期限：作者终身及死后50年，合作的作品，以最后一名作者死亡为准。标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础，经有关方面协商一致，由主管机构批准，以特定形式发布，作为共同遵守的准则和依据。我国家标准的有效期一般为5年标准编号国际标准代号：标准代号+专业类号+顺序号+年代号我国标准代号：标准代号+标准发布顺序号+标准发布年号强制性标准代号GB推荐性标准代号GB/T指导性标准代号GB/Z实物标准代号GSB行业标准代号：汉语拼音大写字母地方标准代号：由DB加省级行政区代码前两位企业标准代号：由Q/XXX加企业代号组成国际标准：IECISOITU国家标准：ANSIGB行业标准：IEEE商业秘密：不为公众所知，具有经济利益和实用性，并且已采取了保密措施的技术信息和经营信息。