一直到可以发送为止。每次延时的时间不一致,由退避算法确定延时值。
发送帧时,仍持续监测信道,一旦发现信道上发生了碰撞,则发送特殊阻塞信息强化冲突并立即停止发送数据,然后在固定时间內等待随机时间再次发送。若依旧碰撞,则采用退避算法进行发送。退避算法保证各节点延时时间不一致以减少碰撞。 帧发送结束后,再持续2τ的时间继续监测信道,如监测不到碰撞,可确认该帧已发送成功。这里的τ指信道的最大传播时延。
其原理简单总结为:先听后发,边发边听,冲突停发,随机延迟后重发
6、二层、三层以太网交换机和路由器功能上有何区别? 二层以太网交换机工作于数据链路层 三层交换机工作于网络层 二层交换机不能实现网际互访
三层交换机具有路由功能,能够实现网际数据的快速转发 7、VLAN有何特点?
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。一个VLAN内部的广播和单播流量都不会转发到其他VLA。 8、工业以太网有何特点? 环境适应性 可靠性 安全性 安装方便
9、计算机广域网参考模型有何特点?连接方式有哪些?
对照OSI参考模型,广域网技术位于OSI底层的3个层次,分别是物理层、数据链路层和网络层。各层作用 连接方式:
10、
广域网传输系统IP over SDH和IP over WDM/DWDM各有何特点?
IP over SDH使用链路及PPP协议对IP数据包进行封装,把IP分组根据RFC1662规范简单地插入到PPP帧中的信息段。然后再由SDH通道层的业务适配器把封装后的IP数据包映射到SDH的同步净荷中,然后向下,经过SDH传输层和段层,加上相应的开销,把净荷装入一个SDH帧中,最后到达光层,在光纤中传输。 IP over SDH优点
? 对IP路由的支持能力强,具有很高的IP传输效率。 ? 符合Internet业务的特点,如有利于实施多路广播方式。
? 能利用SDH技术本身的环路,故可利用自愈合(Self-healing Ring)能力达到链路纠错;同时又利用OSPF(开放最短通路优先)协议防止设备和链路故障造成的网络停顿,提高网络的稳定性。
? 省略了不必要的ATM层,简化了网络结构,降低了运行费用 IP over SDH缺点
? 仅对IP业务提供好的支持,不适于多业务平台。
? 不能像IP over ATM技术那样提供较好的服务质量保障(QoS) ? 对IPX等其它主要网络技术支持有限。
使用波分多路复用器(Wavelength division multiplexer,WDM)也能将一个(组)波长分成许多个波长(或称信道,channels),从而使一条光纤从传递一个信号(signal)而变为传递多个信号
IP over WDM/DWDM优点
? 充分利用光纤的带宽资源,极大地提高了带宽和相对传输速率。
? 对传输码率、数据格式及调制方式透明。可以传送不同码率的ATM、SDH和千兆以太网格式的业务。
? 不仅可以与现有通信网络兼容,还可以支持未来的宽带业务网以及网络升级,并具有可推广性、高度生存性等特点。 IP over WDM/DWDM缺点
? 目前,对于波长标准化还没有实现。
? WDM系统的网络管理应与其传输的信号的网管分离。但在光纤上加上开销和光信号的处理技术还不完善,从而导致WDM系统的网络管理还不成熟。
? 目前,WDM系统的网络拓扑结构只是基于点对点的方式,还没有形成“光网”。
11、 SDH自愈环有何特点?
所谓自愈是指在网络发生故障时,例如,光纤突然断开,无需人为干预,网络自动地在极短的时间内(ITU-T规定为50ms以内)从故障中恢复传输功能,使用户几乎感觉不到网络出了故障,自愈技术能够提高网络的生存能力
自愈的基本原理是:网络及时发现替代传输路由,并在替代传输路由上重新建立通信。因为环形网较容易实现自愈功能,因此SDH网络中环形拓扑结构用得最多。
12、 广域网数据链路层协议有哪些?广域网网络层提供哪些服务? 高级数据链路控制(HDLC)协议也是一种标准协议,既支持点到点配置又支持多点配置,它实现起来非常简洁,但安全、灵活性不如PPP协议。HDLC 是按位访问的同步数据链路层协议,它定义了同步串行链路上使用帧标识和校验和的数据封装方法。当连接不同设备商的路由器时,要使用PPP 封装。 点对点(PPP)协议是目前使用最广泛的广域网标准协议,规定了同步或异步电路
上的路由器对路由器、主机对网络的连接。PPP能支持差错检测,支持各种协议,在连接时IP地址可复制,具有身份验证功能,可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能。 广域网提供的网络层服务包括数据报服务、虚拟电路
数据报服务是指网络随时可以接受主机发送的分组(即数据报)。网络为每个分组独立地选择路由。网络只是尽最大努力将分组交付给目的主机,但对源主机没有任何承诺。数据报服务是无连接的,因此不可靠的,它不能保证QoS。
虚拟电路是一种逻辑电路,可以在两台网络设备之间实现可靠通信。虚拟电路有两种不同形式,分别是交换虚拟电路(SVC)和永久性虚拟电路(PVC)。SVC是一种按照需求动态建立的虚拟电路,数据传送结束自动终止。PVC是一种永久性建立的虚拟电路,只具有数据传输一种模式。
13、 网络安全有哪些主要威胁? 网络安全的主要威胁有:
a) 内部窃密和破坏; b) 窃听和截收;
c) 非法访问(以未经授权的方式使用网络资源);
d) 破坏信息的完整性(通过篡改、删除和插入等方式破坏信息的完整性);
e) 冒充(攻击者利用冒充手段窃取信息、入侵系统、破坏网络正常通信或欺骗合
法主机和合法用户);
f) 流量分析攻击(分析通信双方通信流量的大小,以期获得相关信息); g) 其他威胁(病毒、电磁泄漏、各种自然灾害、战争、失窃、操作失误等) 14、 描述加密原理。DES算法有何特点?公开密钥系统有何特点?
所谓加密,就是将有关信息进行编码,使它成为一种不可理解的形式。加密后的内容叫做密文。按照收发双方密钥是否相同,可以分为对称密钥加密技术和非对称密钥加密技术。
DES算法DES综合运用了置换、代替、代数等多种密码技术,把消息分成64位大小的块,使用56位密钥,加密算法的迭代轮数为16轮。DES密码算法输入的是64位bit的明文,在64bit密钥的控制下产生64bit的密文;反之输入64bit的密文,输出64bit的明文。64bit的密钥中含有8个bit的奇偶校验位,所以实际有效密钥长度为56bit。DES提供72×1015个密钥,用每微秒可进行一次DES加密的机器来破译密码需两千年。
非对称密钥加密技术,因为加密和解密使用的是两个不同的密钥:公开密钥和私有密钥,也称公开密钥系统。公开密钥用于对机密性的加密,专用密钥用于对加密信息的解密。在公开密钥系统中,加密密钥Ke是公开的,加密算法E和解密算法D也是公开的,只有解密密钥Kd是需要保密的。虽然Kd是由Ke决定的,但却不能根据后者计算出前者。用Ke对明文M加密后,再用Kd解密,即可恢复明文,而且,加密和解密的运算可以对调,加密密钥不能用来进行解密。
15、 描述认证的基本原理。基于密钥的身份认证有何特点?数字签名有何特点?消息认证有何特点?
认证是防止对信息系统进行主动攻击(如伪造、篡改信息等)的重要技术,对于保证开放环境中各种信息系统的安全性有重要作用,分为实体认证和消息认证。 ? 实体认证是对通信主体的认证,目的是验证信息发送者是合法的,而不是冒充的,包括信源、信宿等的认证和识别;实体可以是人、进程、客户端、服务器等,常
采用主体特征认证、口令、智能卡、密钥、数字签名等方法。 ? 消息认证是对通信数据的认证,目的是验证信息的完整性以及数据在传输或存储过程中是否被篡改、重放或延迟(即不可否认性)等,常采用消息完整性检验、消息认证等方法。
基于密钥的身份认证包括两种:基于共享密钥的身份认证和基于公开密钥加密算法的身份认证。
? 基于共享密钥的身份认证方式:通信双方以共享密钥作为相互通信的依据,每一个新连接选择一个随机生成的会话密钥,尽可能减少使用共享密钥加密的数据量,以减少窃听者获得的使用共享密钥加密的消息数量,降低共享密钥被破译的可能性。
? 基于公开密钥加密算法的身份认证:通信中的双方分别持有公开密钥和私有密钥,由其中的一方采用私有密钥对特定数据进行加密,而对方采用公开密钥对数据进行解密,如果解密成功,就认为用户是合法用户,否则就认为是身份认证失败。
数字签名用于源鉴别、完整性和不可否认服务。完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力。数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接收方用发送方的公开密钥进行解密。这是一个一对多的关系:任何拥有发送方公开密钥的人都可以验证数字签名的正确性。
消息认证具有两层含义:一是检验消息的来源是真实的,即对消息的发送者的身份进行认证;二是检验消息的完整性,即验证消息在传送或存储过程中未被篡改、删除或插入等消息认证码(MAC)是与密钥相关的单向杂凑函数。不同的密钥会产生不同的杂凑函数,这样就能在验证发送者的消息是否被篡改的同时,验证是由谁发送的。MAC有两种应用方式:纯消息认证和消息认证与保密。
纯消息认证时,认证码被附加到消息后以M||MAC方式一并发送,接收方通过重新计算MAC以实现对M的认证。消息认证中,消息是以明文方式传送,只能提供认证而不具备保密性。
消息认证与保密为提供保密性,可在MAC函数以后进行一次加密,加密密钥需被收、发双方共享。
16、 防火墙有何特点?有何分类?组网方式有哪些?
计算机网络防火墙是置于内网和外网、专网和公网等不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信的唯一通道,能根据相关的安全策略控制(允许、拒绝、监视、记录)进出网络的访问行为,因此能够实现访问控制机制、安全策略和防入侵措施,以防止互联网的损坏,如黑客攻击、病毒破坏、资源被盗用或文件被篡改等危害
防火墙分为网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。
常见的防火墙组网方式有屏蔽路由器防火墙网络、屏蔽主机防火墙+堡垒主机网络、屏蔽主机防火墙+双宿主堡垒主机网络、内外网包过滤防火墙网络、提供DMZ(非军事化区)的单防火墙网络、双DMZ网络等。
17、 入侵检测有何特点?IDS分析方法有哪些?有何具体实现方式?
入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有入侵行为,即违反安全策略的行为和被攻击的迹
象。
入侵检测系统(IDS)处于防火墙之后并对网络活动进行实时的检测,可以配合防火墙和路由器工作。
IDS分析方法包括异常检测型IDS和误用检测型IDS两种形式。 ? 异常检测假定入侵行为与正常行为明显不同。因此,可首先建立正常行为的轮廓,当检测到的行为不符合预定义轮廓时,将其视为入侵。该方法的关键是异常阈值的选择,其优点是能够发现未知入侵行为,对攻击的变种和新的攻击非常有效,缺点是由于识别能力不足容易产生误报。
? 误用检测假定所有入侵都能够表达为一种模式或特征,并直接根据该特征检测入侵行为。其关键是如何表达入侵特征,将入侵行为与正常行为区分开来。该方法误报率低、准确率高,但它只能发现已知的入侵方式、漏报率高、特征库的维护与实时更新困难。
IDS具体实现方式包括网络级IDS和主机级IDS ? 网络级IDS的数据来源是网络上的数据流,能够截获网络中的数据包并提取其特征并与知识库中已知的特征(也称模式)相比较,从而达到检测的目的。基于网络的IDS,可以在各种位置安装IDS,以检测和分析入侵行为。 ? 主机级IDS的数据来源是主机系统,通常是系统日志和审计记录。基于主机的IDS通常需要在保护的主机上安装专门的检测代理,通过对系统日志和审计记录不间断的监控和分析来发现攻击或误操作。基于主机的IDS一般直接将检测代理安装在受监控的主机系统上。
18、 网络安全协议有哪些? 协议层 针对的实体 安全协议 S-HTTP SET PGP 应用层 应用程序 S/MINE Kerberos SSH SSL/TLS 传输层 端进程 SOCKS 网际层 主机 IPsec PAP 网络接口层 端系统 CHAP PPTP 访问控制、穿透防火墙 信息加密、身份认证、数据完整性验证 身份认证 身份认证 传输隧道 信息加密、数字签名、数据完整性验证 信息加密、身份认证 信息加密、身份认证、数据完整性验证 信息加密、身份认证、数据完整性验证 实现的主要安全策略 信息加密、数字签名、数据完整性验证 信息加密、身份认证、数字签名、数据完整性验证 信息加密、数字签名、数据完整性验证