博客

无线网和有线网，有线网又能分为双绞线网络、同轴电缆网络和光纤网络等

交换方式：电路交换、报文交换、分组交换。

分组又有 虚电路 数据报

OSI

应用  各种应用程序、协议

表示  数据和信息的语法转换内码，数据压缩解压、加密解密

会话  为通信双方指定通信方式，并创建、注销会话

传输  提供可靠或者不可靠的端到端传输

网络  逻辑寻址；路由选择

数据链路  将分组封装成帧；提供节点到节点的传输；差错控制

物理 在媒介上传输比特流；提供机械和电气规约

ISO/OSI与TCP/IP体系结构模型 OSI有7层，从低到高依次称为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。各层对应的数据交换单元分别为：比特流、帧、组、TPDU、SPDU、PPDU、APDU。

TCP/IP从低到高各层依次为网络接口层、互联网层、传输层、应用层。网络接口层相当于OSI的物理层和数据链路层；互联网层相当于OSI的网络层；传输层相当于OSI的传输层；应用层相当于OSI的应用层；没有表示层和会话层。

无线网和有线网，有线网又能分为双绞线网络、同轴电缆网络和光纤网络等

码元速率：单位时间内信道传送的码元个数。如果码元宽度（脉冲周期）为T，则

码元速率（波特率）为B=1/T，单位是波特Baud

一个码元携带信息量n（位）与码元种类数（N）的关系n=log2N

100Base-TX先4B/5B编码，再MLT-3编码

100BASE-X先4B/5B编码，在NRZ-I编码

1000BASE-T采用5类或超5类双绞线传输，使用编码方案是4D-PAM5。

1000BASE-X采用光纤或短距离铜缆传输，采用8B/10B编码技术。1000BASE-TX技术对传输介质要

求高，只有6类或更高的布线系统才能支持，同时其编码方式也相对简单，采用8B/10编码

频分多路复用典型应用：无线电广播、ADSL、FDD-LTE

多路复用将多低信道转为一个高信道

光纤入户复用：上网、电视、电话

HDLC 是一种面向位（比特）同步的数据链路层控制协议

帧边界（代表开始/结束）是01111110  防止出现误认为 采用比特填充技术

N（S）表示发送帧序号，N（R）表示下一个预期要接收帧的序号，N（R）=5，表示下一帧要接收5号帧。N（S）和N（R）均为3位二进制编码，可取值0～7

以太网（10M）是IEEE 802.3，快速以太网（100M）是IEEE 802.3u，千兆以太网（1000M/1G）是IEEE 802.3z/802.3ab，万兆以太网（10G）是IEEE 802.3ae，40G/100以太网是IEEE 802.3ba，400G以太网是IEEE 802.3bs

网络出口：广域网接入、出口策略、NAT技术（地址转换）

核心区：高速转发、服务器接入、路由选择

汇聚:协议转换、数据汇聚、流量限制、策略控制等、

接入区：用户接入、信息收集、相互隔离、安全控制

逻辑大二层:为了解决传统三层网络架构的问题，提出了园区网大二层(也叫扁平化)，并不一定是要取消汇聚，而是采用“重核心轻接入”的思想，把以前汇聚层/接入层交换机完成的工作，全部上收到核心交换机，汇聚和接入层交换机可以采用比较低端的设备，因为主要工作都由核心交换机完成。这也是技术发展的结果，最早核心交换机的性能不足以支撑扁平化，所以需要将网络的功能分摊到汇聚和接入交换机，现在核心交换机性能强劲，很多功能都可以由核心交换机完成。

物理二层：结构简单、部署方便、时延低、扁平化管理、利于资源优化

接入可能会影响核心层、核心交换机的压力较大、稳定性扩展性不好、存在单点故障、

三层网络架构：接入变化对核心影响小、层次分明、方便扩展

网络结构复杂、对运维人员要求比较高、容易产生环路、管理节点多、需要掌握VRRP、堆叠、MSTP等技术

网络性能指标 带宽 1080P视频保证4Mbps

音频时延50ms  其他普通数据 200ms

、、

优势

采用二级网络容灾备份 设立了主备数据中心、采用同步进行数据中心的数据同步、主数据是对外提供服务、异地不承担业务。当主数据出现故障时候、异地数据立即进入工作状态，接管业务，保障业务连续性。

劣势

存在一定资源浪费 比如两台核心都有双引擎，结果只有一个引擎在工作

一般只能使用同一家厂商的设备组网

堆叠系统升级 会形成业务中断

被攻击影响范围大

、、

交换机是堆叠–汇聚层 路由器是集群–核心层    中间线路做链路聚合 核心设备均虚拟成一个设备  所有链路均被使用

设备和线路利用率高 链路聚合以后无需再部署STP和VRRP 降低了整体的网络复杂度

、

传统stp组网 它是通过主备切换的形式实现的 切换时间依赖于STP收敛时间

设备利用率低 每个设备都需要管理 配置、 使用VRRP结合STP实现负载分担，配置复杂

主流链路冗余 主备、负载分担、端口聚合、环网

链路聚合是将多个物理接口捆绑成一个逻辑接口 增加了链路带宽和链路冗余 eth trunk

交换机之间使用了堆叠线缆

防火墙之间使用心跳线检测对端设备状态

STP选择 是越大越优先

OSPF 优先级选择是越小越优先

高可用性服务集群 应用于数据库或者各种应用服务器 串行线路或者网络线路的心跳线实现服务器监控和数据同步 通过FC链接磁盘阵列实现高速磁盘访问

根据业务功能 、网络架构、安全级别分为多个区域

综合布线包括、设备间子系统、垂直子系统、建筑群子系统、水平子系统、工作区子系统、管理子系统

机房建设注意：

物理选择、物理访问、防盗窃、防雷、防火、防水、防静电、温湿度、电磁防护

网络服务器 可靠性、高可用性、可扩充、易用性、可管理性

数据库：内存、磁盘、处理器

文件：网络、磁盘、内存、

Web：网络、内存、磁盘、处理器

邮件：内存、磁盘、网络、处理器

存储层次：寄存器、高速存储、主存、外存储器

Raid  分块x条带深度=条带

热备：当冗余raid组磁盘失效 用raid系统备用硬盘自动顶替失效硬盘 这个过程叫做重构

全局

专用

Raid 5 N-1/N的数据  最少3块

Raid6 横向、斜向校验盘 最少4块

传统 需要手动配置局部或者全局热备

多对一重构 重构数据写入单一热备磁盘 时间长

Raid 2.0 无需手动配置 分布式热备空间

多对多重构 重构数据并行写入多个硬盘

时间短

DAS 类似于移动硬盘

NAS 无系统的存储 云盘、文件级数据访问、共享服务

SAN 有系统的存储阵列

FC-San 专用交换机 FC光纤 存储空间划分多个LUN 每个只属于一台服务器

IP-San 以太网为链接 利用iSCSI存储控制器 实现

IB-San 块级 高性能计算、贷款高

FCoE技术是 以太网网络封装光纤通道帧 、保留光纤通道协议并使用万兆以太网

减少数据中心线缆数量、降低供电损耗

利于管理、减少配置工作量、降低维护成本

于现有SAN环境互操作

对运维人员要求高

需要更换服务器板卡和PCOE的交换机

云计算按服务类型分为

IAAS 基础设施服务-硬件 阿里云服务器、存储平台

PAAS平台服务-操作系统 语音识别系统

SAAS软件服务 视频会议

服务器虚拟化和桌面虚拟化

桌面虚拟化

虚拟机分配核数不超过宿主机的2.5倍

设备需要采用N+1的冗余方式保留一定的富余资源 开启HA功能 自动进行虚拟机迁移 实现最大能效

采用了增量备份、即每天都会进行与上次备份的差异部分

入侵检测系统 IDS 旁路

监测分析各类数据、判断是否有入侵、分析结果做出响应 、记录日志

入侵防御系统 IPS 串行部署

具有拦截逐段攻击、采取了全面的安全防御、基于协议分析、抗DDOS智能化检测、蜜罐技术等

虚拟专用网

• 一种建立在公网上的，由某一组织或某一群用户专用的通信网络

• 二层：L2TP和PPTP（基于PPP）

• 三层：IPSec和GRE

• 四层：SSL/TLS

实现虚拟专用网关键技术

• 隧道技术（Tuneling）

• 加解密技术（Encryption&Decryption）

• 密钥管理技术（Key Management）

• 身份认证技术（Authentication）

二层隧道协议有PPTP和L2TP，都基于PPP协议，但PPTP只支持TCP/IP体系，网络层必须是IP协议，

而L2TP可以运行在IP协议上，也可以在X.25、帧中继或ATM网络上使用。

• PPP协议包含链路控制协议LCP和网络控制协议NCP。

• PPP协议可以在点对点链路上传输多种上层协议的数据包，有校验位。

PPP认证 PAP 两次握手 CHAP 三次握手

n IPSec（IP Security）是IETF定义的一组协议，用于增强IP网络的安全性。

n IPSec协议集提供如下安全服务：

• 数据完整性（Data Integrity）

• 认证（Autentication）

• 保密性（Confidentiality）

• 应用透明安全性（Application-transparent Security）

n IPSec功能分为三类：认证头（AH）、封装安全负荷（ESP）、Internet密钥交换协议（IKE）。

• 认证头（AH）：提供数据完整性和数据源认证，但不提供数据保密服务，实现算法有MD5、SHA。

• 封装安全负荷（ESP）：提供数据加密功能，加密算法有DES、3DES、AES等。

• Internet密钥交换协议（IKE）：用于生成和分发在ESP和AH中使用的密钥。

IPSec协议功能代表协议

AH   数据完整性和源认证   MD5、SHA   摘要算法(HASH)

ESP  数据加密                         DES、3DES、AES  对称算法

IKE   密钥生成和分发         DH  密钥交换算法（非对称）不是数据加密

对称算法  DES、3DES、AES RC45 IDEA

DES 64 

3DES 112

idea  aes 128

非对称算法 RSA  ECC

算法名称算法特征描述

SM1 对称加密，分组长度和密钥长度都为128比特 

SM2 非对称加密，用于公钥加密算法、密钥交换协议、数字签名算法（椭圆曲线问题） ECC

SM3 杂凑算法（哈希），分组512位，输出杂凑值长度为256位  摘要

SM4 对称加密，分组长度和密钥长度都为128比特 

SM9 标识密码算法，支持公钥加密、密钥交换、数字签名等安全功能

PGP不是一种完全的非对称加密体系，它是个混合加密算法，它是由对称加密算法

（IDEA）、非对称加密算法（RSA）进行身份认证、单向散列算法（MD5）组成，其中MD5验证报文完整性。

签名方用自己的私钥进行签名，对方收到后，用签名方的公钥进行验证。RSA

PKI

1、用户/终端实体：指将要向认证中心申请数字证书的客户，可以是

个人，也可以是集团或团体、某政府机构等。

2、注册机构RA：负责受理用户申请证书，对申请人的合法性进行认

证，并决定是批准或拒绝证书申请。注册机构并不给用户签发证书，

而只是对用户进行资格审查。较小的机构，可以由CA兼任RA的工作。

3、证书颁发机构CA：负责给用户颁发、管理和撤销证书。

4、证书发布系统：负责证书发放，如可以通过用户自已或是通过目

录服务。

CRL库：证书吊销列表，存放过期或者无效证书。

*数字证书中包含用户的公钥和CA用私钥为证书的签名

SSL是传输层安全协议，用于实现Web安全通信 

SSL包含记录协议、警告协议和握手协议，其中握手协议用于协商参数。

SET（安全电子交易）协议使用密码学技术来保障交易安全，默认使用的对称加密算法是DES，公钥密码算法是RSA，散列函数是SHA。

S/MIME采用MD5生成数字指纹，利用RSA进行数字签名，并采用3DES加密数字签名。

kerberos包括了认证和授权

频分复用FDM

时分复用TDM

统计时分复用STDM

波分复用WDM

码分复用CDM