免费智能真题库 > 历年试卷 > 网络工程师 > 2011年下半年 网络工程师 上午试卷 综合知识
  第62题      
  知识点:   监听算法   访问控制   访问控制策略   以太网
  关键词:   访问控制策略   数据   算法   以太网   访问控制        章/节:   局域网       

 
以太网介质访问控制策略可以采用不同的监听算法,其中一种是:“一旦介质空闲就发送数据,假如介质忙,继续监听,直到介质空闲后立即发送数据”,这种算法称为(62)监听算法。这种算法的主要特点是(63)。
 
 
  A.  1-坚持型
 
  B.  非坚持型
 
  C.  P-坚持型
 
  D. 

0-坚持型

 
 
 

 
  第62题    2011年上半年  
   31%
以太网中采用了二进制指数后退算法,这个算法的特点是(62)。
  第63题    2011年下半年  
   27%
以太网介质访问控制策略可以采用不同的监听算法,其中一种是:“一旦介质空闲就发送数据,假如介质忙,继续监听,直到介质空..
  第17题    2019年下半年  
   50%
某局域网采用CSMA/CD协议实现介质访问控制,数据传输速率为10Mbps,主机甲和主机乙之间的距离为2km,信号传播速度是200m/μs。若..
   知识点讲解    
   · 监听算法    · 访问控制    · 访问控制策略    · 以太网
 
       监听算法
        监听算法并不能完全避免发送冲突,但若对以上两种控制策略进行精心设计,则可以把冲突概率减到最小。据此,有以下3种监听算法。
        1)非坚持型监听算法
        当一个站准备好帧,发送之前先监听信道:
        ①若信道空闲,立即发送;否则转②。
        ②若信道忙,等待一个由概率分布决定的随机重发延迟后,重复①。
        由于等待了一个由概率分布决定的随机重发延迟,从而减少了冲突的概率;然而,可能出现的问题是因为延迟而使信道闲置一段时间,这使信道的利用率降低,而且增加了发送时延。
        2)1-坚持型监听算法
        当一个站准备好帧,发送之前先监听信道:
        ①若信道空闲,立即发送;否则转②。
        ②若信道忙,继续监听,直到信道空闲后立即发送。
        这种算法的优缺点与前一种正好相反:有利于抢占信道,减少信道空闲时间;但是多个站同时都在监听信道时必然发生冲突。
        3)P-坚持型监听算法
        P-坚持型监听算法吸取了以上两种算法的优点,但较为复杂。
        ①若信道空闲,以概率P发送,以概率(1-P)延迟一个时间单位。一个时间单位等于网络传输时延期τ。
        ②若信道忙,继续监听,直到信道空闲,转①。
        ③若发送延迟一个时间单位τ,则重复①。
 
       访问控制
        网络设备的访问可以分为带外(out-of-band)访问和带内(in-band)访问。带外(out-of-band)访问不依赖其他网络,而带内(in-band)访问则要求提供网络支持。网络设备的访问方法主要有控制端口(Console Port)、辅助端口(AUX Port)、VTY、HTTP、TFTP、SNMP。Console、AUX和VTY称为line。每种访问方法都有不同的特征。Console Port属于默认设置访问,要求物理上访问网络设备。AUX Port提供带外访问,可通过终端服务器或调制解调器Modem连接到网络设备,管理员可远程访问。VTY提供终端模式通过网络访问网络设备,通常协议是Telnet或SSH2。VTY的数量一般设置为5个,编号是从0到4。网络设备也支持使用HTTP协议进行Web访问。网络设备使用TFTP(Trivial File Transfer Protocol)上传配置文件。SNMP提供读或读写访问几乎所有的网络设备。
               CON端口访问
               为了进一步严格控制CON端口的访问,限制特定的主机才能访问路由器,可做如下配置,其指定X.Y.Z.1可以访问路由器:
               
               VTY访问控制
               为保护VTY的访问安全,网络设备配置可以指定固定的IP地址才能访问,并且增加时间约束。例如,X.Y.Z.12、X.Y.Z.5可以通过VTY访问路由器,则可以配置如下:
               
               超时限制配置如下:
               
               HTTP访问控制
               限制指定IP地址可以访问网络设备。例如,只允许X.Y.Z.15路由器,则可配置如下:
               
               除此之外,强化HTTP认证配置信息如下:
               
               其中,type可以设为enable、local、tacacs或aaa。
               SNMP访问控制
               为避免攻击者利用Read-only SNMP或Read/Write SNMP对网络设备进行危害操作,网络设备提供了SNMP访问安全控制措施,具体如下:
               一是SNMP访问认证。当通过SNMP访问网络设备时,网络设备要求访问者提供社区字符串(community strings)认证,类似口令密码。如下所示,路由器设置SNMP访问社区字符串。
               (1)设置只读SNMP访问模式的社区字符串。
               
               (2)设置读/写SNMP访问模式的社区字符串。
               
               二是限制SNMP访问的IP地址。如下所示,只有X.Y.Z.8和X.Y.Z.7的IP地址对路由器进行SNMP只读访问。
               
               三是关闭SNMP访问。如下所示,网络设备配置no snmp-server community命令关闭SNMP访问。
               
               设置管理专网
               远程访问路由器一般是通过路由器自身提供的网络服务来实现的,例如Telnet、SNMP、Web服务或拨号服务。虽然远程访问路由器有利于网络管理,但是在远程访问的过程中,远程通信时的信息是明文,因而,攻击者能够监听到远程访问路由器的信息,如路由器的口令。为增强远程访问的安全性,应建立一个专用的网络用于管理设备,如下图所示。
               
               建立专用的网络用于管理路由器示意图
               同时,网络设备配置支持SSH访问,并且指定管理机器的IP地址才可以访问网络设备,从而降低网络设备的管理风险,具体方法如下:
               (1)将管理主机和路由器之间的全部通信进行加密,使用SSH替换Telnet。
               (2)在路由器设置包过滤规则,只允许管理主机远程访问路由器。例如以下路由器配置可以做到:只允许IP地址是X.Y.Z.6的主机有权访问路由器的Telnet服务。
               
               特权分级
               针对交换机、路由器潜在的操作安全风险,交换机、路由器提供权限分级机制,每种权限级别对应不同的操作能力。在Cisco网络设备中,将权限分为0~15共16个等级,0为最低等级,15为最高等级。等级越高,操作权限就越多,具体配置如下:
               
 
       访问控制策略
        访问控制策略是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用,而访问控制是保证网络安全的核心策略之一。访问控制策略包括以下几种。
               入网访问控制
               入网访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够登录服务器并获取网络资源,控制准许用户入网的时间和准许用户在哪台工作站入网。
               用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。三道关卡中只要有任何一关未通过,该用户便不能进入该网络。
               网络的权限控制
               网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录继承哪些权限。
               可以根据访问权限将用户分为以下几类:一是特殊用户(即系统管理员);二是一般用户,系统管理员根据他们的实际需要为他们分配操作权限;三是审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表描述。
               目录级安全控制
               网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可以进一步指定对目录下的子目录和文件的权限。
               对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,加强网络和服务器的安全性。
               属性安全控制
               当使用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。
               属性往往能控制以下几个方面的权限:向某个文件写数据、复制一个文件、删除目录或文件、查看目录和文件、执行文件、隐藏文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行、修改、显示等。
               网络服务器安全控制
               网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,也可以安装和删除软件等。网络服务器的安全控制包括可以设置口令以锁定服务器控制台,以防非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
               网络监测和锁定控制
               网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
               网络端口和节点的安全控制
               网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用于防范黑客使用自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取安全控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。
               防火墙控制
               防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用于阻止网络中的黑客访问某个机构网络的屏障,也可称为控制进、出两个方向的通信的门槛。在网络边界上通过建立的相应网络通信监控系统隔离内部和外部网络,以阻挡外部网络的侵入。目前的防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙。
 
       以太网
        以太网是最早使用的局域网,也是目前使用最广泛的网络产品。以太网有10Mb/s、100Mb/s、1000Mb/s、10Gb/s等多种速率。
               以太网传输介质
               以太网比较常用的传输介质包括同轴电缆、双绞线和光纤三种,以IEEE 802.3委员会习惯用类似于10Base-T的方式进行命名。这种命名方式由三个部分组成:
               (1)10:表示速率,单位是Mb/s。
               (2)Base:表示传输机制,Base代表基带,Broad代表宽带。
               (3)T:传输介质,T表示双绞线、F表示光纤、数字代表铜缆的最大段长。
               传输介质的具体命名方案如下表所示,了解这些知识是十分必要的。
               
               以太网传输介质表
               
               以太网时隙
               时间被分为离散的区间称为时隙(Slot Time)。帧总是在时隙开始的一瞬间开始发送。一个时隙内可能发送0,1或多个帧,分别对应空闲时隙、成功发送和发生冲突的情况。
                      设置时隙理由
                      在以太网规则中,若发生冲突,则必须让网上每个主机都检测到。信号传播整个介质需要一定的时间。考虑极限情况,主机发送的帧很小,两冲突主机相距很远。在A发送的帧传播到B的前一刻,B开始发送帧。这样,当A的帧到达B时,B检测到了冲突,于是发送阻塞信号。B的阻塞信号还没有传输到A,A的帧已发送完毕,那么A就检测不到冲突,而误认为已发送成功,不再发送。由于信号的传播时延,检测到冲突需要一定的时间,所以发送的帧必须有一定的长度。这就是时隙需要解决的问题。
                      在最坏情况下,检测到冲突所需的时间
                      若A和B是网上相距最远的两个主机,设信号在A和B之间传播时延为τ,假定A在t时刻开始发送一帧,则这个帧在t+τ时刻到达B,若B在t+τ-ε时刻开始发送一帧,则B在t+τ时就会检测到冲突,并发出阻塞信号。阻塞信号将在t+2τ时到达A。所以A必须在t+2τ时仍在发送才可以检测到冲突,所以一帧的发送时间必须大于2τ
                      按照标准,10Mb/s以太网采用中继器时,连接最大长度为2500m,最多经过4个中继器,因此规定对于10Mb/s以太网规定一帧的最小发送时间必须为51.2μs。51.2μs也就是512位数据在10Mb/s以太网速率下的传播时间,常称为512位时。这个时间定义为以太网时隙。512位=64字节,因此以太网帧的最小长度为64字节。
                      冲突发生的时段
                      (1)冲突只能发生在主机发送帧的最初一段时间,即512位时的时段。
                      (2)当网上所有主机都检测到冲突后,就会停发帧。
                      (3)512位时是主机捕获信道的时间,如果某主机发送一个帧的512位时,而没有发生冲突,以后也就不会再发生冲突了。
               提高传统以太网带宽的途径
               以往被淘汰、传统的以太网是以10Mb/s速率半双工方式进行数据传输的。随着网络应用的迅速发展,网络的带宽限制已成为进一步提高网络性能的瓶颈。提高传统以太网带宽的方法主要有以下3种。
                      交换以太网
                      以太网使用的CSMA/CD是一种竞争式的介质访问控制协议,因此从本质上说它在网络负载较低时性能不错,但如果网络负载很大时,冲突会很常见,因此导致网络性能的大幅下降。为了解决这一瓶颈问题,“交换式以太网”应运而生,这种系统的核心是使用交换机代替集线器。交换机的特点是,其每个端口都分配到全部10Mb/s的以太网带宽。若交换机有8个端口或16个端口,那么它的带宽至少是共享型的8倍或16倍(这里不包括由于减少碰撞而获得的带宽)。
                      交换以太网能够大幅度的提高网络性能的主要原因是:
                      .减少了每个网段中的站点的数量;
                      .同时支持多个并发的通信连接。
                      网络交换机有三种交换机制:直通(Cut through)、存储转发(Store and forward)和碎片直通(Fragment free Cut through)。
                      交换式以太网具有几个优点:第一,它保留现有以太网的基础设施,保护了用户的投资;第二,提高了每个站点的平均拥有带宽和网络的整体带宽;第三,减少了冲突,提高了网络传输效率。
                      全双工以太网
                      全双工技术可以提供双倍于半双工操作的带宽,即每个方向都支持10Mb/s,这样就可以得到20Mb/s的以太网带宽。当然这还与网络流量的对称度有关。
                      全双工操作吸引人的另一个特点是它不需要改变原来10Base-T网络中的电缆布线,可以使用和10Base-T相同的双绞线布线系统,不同的是它使用一对双绞线进行发送,而使用另一对进行接收。这个方法是可行的,因为一般10Base-T布线是有冗余的(共4对双绞线)。
                      高速服务器连接
                      众多的工作站在访问服务器时可能会在服务器的连接处出现瓶颈,通过高速服务器连接可以解决这个问题。使用带有高速端口的交换机(如24个10Mb/s端口,1个100Mb/s或1000Mb/s高速端口),然后再把服务器接在高速端口上并使用全双工操作。这样服务器就可以实现与网络200Mb/s或2000Mb/s的连接。
               以太网的帧格式
               以太网帧的格式如下图所示,包含的字段有前导码、目的地址、源地址、数据类型、发送的数据,以及帧校验序列等。这些字段中除了数据字段是变长以外,其余字段的长度都是固定的。
               
               以太网的帧结构
               注:字段的长度以字节为单位
               前导码(P)字段占用8字节。
               目的地址(DA)字段和源地址(SA)字段都是占用6字节的长度。目的地址用于标识接收站点的地址,它可以是单个的地址,也可以是组地址或广播地址,当地址中最高字节的最低位设置为1时表示该地址是一个多播地址,用十六进制数可表示为01:00:00:00:00:00,假如全部48位(每字节8位,6字节即48位)都是1时,该地址表示是一个广播地址。源地址用于标识发送站点的地址。
               类型(Type)字段占用两字节,表示数据的类型,如0x0800表示其后的数据字段中的数据包是一个IP包,而0x0806表示ARP数据包,0x8035表示RARP数据包。
               数据(Data)字段占用46~1500个不等长的字节数。以太网要求最少要有46字节的数据,如果数据不够长度,必须在不足的空间插入填充字节来补充。
               帧校验序列(FCS)字段是32位(即4字节)的循环冗余码。
   题号导航      2011年下半年 网络工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第62题    在手机中做本题