《信息技术网络考试》教学课件

《信息技术网络考试》教学课件欢迎参加全国信息技术水平考试网络技术备考课程本课件专为信息技术专业学生设计，课程编号，将全面指导您备战即将到来的网NET-2025络技术水平考试本课程将系统介绍网络基础知识、网络协议、网络设备配置与网络安全等核心内容，通过理论与实践相结合的方式，帮助您掌握考试所需的各项技能我们的教学团队汇集了业内资深专家，将为您提供最专业、最权威的指导根据年最新数据，我们课程的考试通过率达到，远高于全国

202478.6%平均水平让我们携手共进，为您的网络技术之路奠定坚实基础！课程概述课程目标及学习成果通过系统学习，使学生掌握网络技术基础理论与实践技能，达到全国信息技术水平考试要求，能够独立解决网络规划、配置与故障排除等实际问题考试结构及评分标准考试采用理论与实操相结合的形式，总分100分，及格线60分考核内容覆盖网络基础知识、网络协议、网络设备与网络安全等领域课程安排与学习资源课程共计50学时，提供全面的学习资料、在线资源和实验环境学生可通过线上平台随时访问课件和辅助材料，提升学习效果考试通过率根据2024年最新数据，本课程学员考试通过率达

78.6%，比全国平均水平高出约15个百分点，证明了我们教学方法的有效性考试基本信息成绩要求总分分，及格线分10060考试时长分钟120题型分布选择题（）、实操题（）60%40%考试采用计算机化测试方式，在指定的考试平台上完成考生需熟悉平台操作界面和功能，包括选择题作答、实操环境切换以及提交流程考试系统提供基本的网络仿真环境，允许考生进行网络配置与验证考试不允许查阅资料或使用计算器，需考生提前熟悉网络地址计算等基本技能建议考生至少提前分钟到达考场，熟悉考试环境并30调整心态学习路线图基础网络知识10学时，涵盖网络基本概念、拓扑结构、传输介质和网络模型等基础内容，为后续学习打下坚实基础网络协议与标准8学时，深入学习各层网络协议，包括以太网、IP、TCP/UDP和应用层协议等，掌握协议原理和应用场景网络设备与构建7学时，了解交换机、路由器等网络设备原理，学习网络规划、搭建和互联技术，能够设计和实现简单网络网络安全与管理10学时，掌握网络安全威胁、防护技术、加密认证和安全策略，同时学习网络监控和优化方法实操技能训练15学时，通过大量实验和案例练习，提升配置、故障排除和网络优化能力，为考试实操部分做好充分准备第一部分网络基础网络定义与分类网络是由节点和连线构成，按照一定的拓扑结构和通信协议组织起来的系统按覆盖范围可分为局域网LAN、城域网MAN和广域网WAN；按传输技术可分为广播式网络和点对点网络网络拓扑结构网络拓扑结构是指网络中各节点的物理或逻辑连接方式，主要包括总线型、星型、环形、网状和树形等不同拓扑结构具有不同的特点，适用于不同场景网络传输介质传输介质是信息传递的物理通道，常见的有双绞线、同轴电缆、光纤和无线传输等各类介质具有不同的传输距离、带宽和抗干扰能力网络模型OSI七层参考模型和TCP/IP四层模型是网络通信的重要理论基础，描述了数据从源主机到目标主机的传输过程，为网络互联提供标准化架构网络基本概念数据通信基本原理通信方式交换技术数据通信是指在两个设备之间传递数单工通信数据只能单向传输，如广电路交换建立专用的物理连接，适据的过程，包括信源、发送器、传输播电视合连续数据传输，如传统电话通道、接收器和信宿五个基本要素半双工通信数据可以双向传输，但分组交换数据分成小包独立路由，通信系统的性能主要由传输速率、带同一时刻只能有一个方向，如对讲机共享网络资源，适合突发性数据，如宽、噪声、误码率等指标衡量互联网全双工通信数据可以同时双向传输，现代数据通信通常采用数字信号传输，如电话系统、现代计算机网络报文交换整个报文作为一个单位传通过编码调制将数据转换为适合在特输，存储转发，延迟较大定介质上传输的信号形式网络拓扑结构星型拓扑所有设备连接到中央节点总线型拓扑•易于管理和监控所有设备连接到一条主干线上•故障隔离能力强•结构简单，布线经济•中央节点故障影响全网•易于实现和扩展•布线成本较高•容易发生广播风暴环形拓扑•故障诊断困难设备形成一个闭合环路•令牌传递访问控制•网络延迟稳定可预测•单点故障会影响全网树形拓扑•扩展不够灵活层次化结构的扩展星型网状拓扑•层次化管理便捷设备之间存在多条路径•容易扩展•高度冗余，可靠性极高•上层节点故障影响大•具备多路径选择能力•符合组织结构•实现复杂，成本高•适用于骨干网络传输介质特性介质类型传输速率最大距离抗干扰性成本双绞线10Mbps-100m中低10Gbps同轴电缆10Mbps-1Gbps500m高中光纤单模100Gbps以上100km极高高光纤多模10Gbps2km高中高无线

2.4GHz11-600Mbps100m室内低中无线5GHz54Mbps-50m室内中中高10Gbps双绞线分为非屏蔽UTP和屏蔽STP两种，按照性能分为Cat

3、Cat

5、Cat5e、Cat

6、Cat6a、Cat7等类别，其中Cat5e支持千兆以太网，Cat6a支持万兆以太网光纤具有抗电磁干扰、安全性高、传输距离远等优点，但成本较高且连接相对复杂网络性能指标中，带宽表示链路的最大数据传输速率，延迟是数据从源到目的地所需的时间，抖动则反映延迟的变化情况，这些指标共同决定了网络的服务质量七层参考模型OSI应用层为应用程序提供网络服务的接口表示层数据格式转换、加密解密、压缩解压会话层建立、管理和终止会话连接传输层端到端连接、可靠传输、流量控制网络层路由选择、逻辑寻址、分组转发数据链路层帧封装、差错控制、介质访问控制物理层比特流传输、物理接口和电气特性OSI模型是一个概念性模型，为异构计算机系统的通信提供了标准框架每一层都有特定的功能和服务，使用下层提供的服务并为上层提供服务这种分层设计使得各层可以独立开发，且一层的变化不会影响其他层协议族TCP/IP应用层HTTP

80、FTP20,

21、SMTP

25、POP

3110、DNS

53、Telnet

23、SNMP161传输层TCP面向连接、可靠传输、流量控制、拥塞控制UDP无连接、不可靠传输、开销小、速度快网际层IP提供逻辑寻址和路由选择功能ICMP提供差错报告和网络诊断ARP实现IP地址与MAC地址的映射网络接口层对应OSI的物理层和数据链路层以太网、Wi-Fi、PPP等具体网络技术TCP/IP协议族是互联网的基础协议集，实际上是一个分层的协议栈与OSI七层模型相比，TCP/IP模型更为简化，将OSI的表示层和会话层功能合并到应用层，将物理层和数据链路层合并为网络接口层TCP/IP协议族的主要优点在于其开放性和互操作性，支持不同厂商、不同平台的设备能够在互联网上进行通信该协议族已经成为网络通信的事实标准，是现代互联网的核心基础第二部分网络协议详解2数据链路层协议以太网、PPP、HDLC等，负责相邻网络设备之间的可靠通信3网络层协议IP、ICMP、ARP等，实现端到端的数据包传递和路由选择2传输层协议TCP、UDP等，提供应用程序间的端到端通信服务4+应用层协议HTTP、DNS、FTP、SMTP等，为各类网络应用提供通信规范网络协议是计算机网络通信的基础，规定了通信双方必须遵守的规则每一层的协议都有其特定的功能和作用，共同构成了完整的网络通信体系不同层次的协议相互配合，实现了从物理连接到应用服务的全方位支持在实际网络中，各层协议都有多种选择，可以根据网络环境和需求进行灵活组合掌握各层主要协议的原理和特点，是理解网络通信过程的关键，也是考试的重要内容以太网技术原理以太网帧结构CSMA/CD机制以太网标准演进MAC地址前导码8字节、目的MAC载波侦听多路访问/冲突检测，从10Mbps到100Gbps，包48位全球唯一硬件地址，前地址6字节、源MAC地址6是共享介质以太网的基本访括10Base-T、100Base-TX、24位为OUI厂商代码，后24字节、类型/长度2字节、问控制方法，设备发送前先1000Base-T、10GBase-T位为厂商分配的序列号，用数据46-1500字节、FCS校侦听信道，冲突发生时执行等，不断提高速率和性能于数据链路层寻址验4字节退避算法虚拟局域网VLAN是在物理网络基础上划分的逻辑网络，使用IEEE

802.1Q标准，通过在以太网帧中插入4字节的VLAN标签实现VLAN技术可以提高网络安全性，减少广播域范围，并可以根据功能、部门或安全策略灵活分组网络设备现代以太网多采用交换式以太网技术，利用交换机进行数据转发，相比共享式以太网大大提高了网络效率，同时也弱化了CSMA/CD的作用全双工模式下的以太网不存在冲突问题，因此CSMA/CD机制被禁用协议详解IPIPv4地址结构32位二进制数，通常表示为四组十进制数，每组0-255，如

192.

168.

1.1根据前缀区分为A类

0.

0.

0.0-

127.

255.

255.

255、B类

128.

0.

0.0-

191.

255.

255.

255、C类

192.

0.

0.0-

223.

255.

255.

255、D类和E类地址IP数据报格式IP头部包含版本、头部长度、服务类型、总长度、标识、标志、片偏移、生存时间TTL、协议、头部校验和、源IP地址、目的IP地址等字段，后跟上层协议数据IPv6特点128位地址空间，简化的头部格式，内置安全机制，更好的QoS支持，无需NAT，自动配置功能主要过渡技术包括双栈、隧道和转换技术特殊IP地址回环地址

127.

0.

0.

1、私有地址

10.

0.

0.0/

8、

172.

16.

0.0/

12、

192.

168.

0.0/

16、广播地址

255.

255.

255.

255、自动配置地址

169.

254.

0.0/16等，每类地址有特定用途地址规划实例IPA类地址规划B类地址子网划分如网络，可划分成多个子网，如网络，使用

10.

0.

0.0/8/

16172.

16.

0.0/16每个子网支持个主机，适合大型企子网掩码，可划分

65534255.

255.

255.0/24256业网络个子网，每个子网个主机254私有IP地址使用C类地址CIDR应用通过技术将内部私有地址转换为外部如网络，使用NAT

192.

168.

1.0/24公网地址，解决地址短缺问题并提高安子网掩码，可划分IP

255.

255.

255.240/28全性个子网，每个子网个主机1614地址规划是网络设计的关键步骤，需要考虑网络规模、未来扩展、层次结构和安全需求等因素使用变长子网掩码可以根据各子IP VLSM网的主机数量需求，灵活分配不同大小的子网，提高地址利用率地址与地址的映射通过协议实现当主机需要发送数据到同一网段的另一主机时，会先检查缓存，如果没有目标对应的IP MAC ARP ARPIP地址，则发送请求广播，拥有该地址的主机回应其地址，建立映射关系MACARPIP MAC路由协议基础协议类型代表协议算法收敛速度资源消耗应用场景静态路由-手工配置-极低小型网络、网络边缘距离矢量RIP Bellman-慢低小型网络Ford链路状态OSPF Dijkstra最快中中大型企业短路径网络路径矢量BGP路径属性决很慢高互联网服务策提供商静态路由由网络管理员手动配置，不会自动适应网络变化，但安全可控，适合网络结构简单且变化不频繁的场景常用命令格式为ip route目标网络子网掩码下一跳地址或出接口[管理距离][度量值]RIP协议使用跳数作为度量标准，最大跳数为15，超过视为不可达存在慢收敛、路由环路等问题OSPF协议基于链路状态，构建全网拓扑图，支持大型网络，可根据带宽计算成本，支持区域划分和路由汇总，但配置复杂度高路由表包含目标网络、下一跳、接口、度量值和路由来源等信息协议详解TCP三次握手与四次挥手三次握手SYN→SYN+ACK→ACK，建立连接四次挥手FIN→ACK→FIN→ACK，断开连接双方同步序列号，确保可靠通信滑动窗口机制接收方通告窗口大小，发送方据此调整发送速率实现流量控制，防止接收方缓冲区溢出允许批量确认，提高传输效率拥塞控制慢启动指数增长，直到达到阈值拥塞避免线性增长，探测网络容量快重传与快恢复迅速应对丢包TCP报文段由首部和数据两部分组成首部包含源端口、目的端口、序列号、确认号、首部长度、保留位、控制位URG、ACK、PSH、RST、SYN、FIN、窗口大小、校验和、紧急指针和选项等字段TCP通过序列号和确认机制，确保数据按序、无丢失、无重复地传输到接收方TCP连接状态转换包括CLOSED、LISTEN、SYN_SENT、SYN_RECEIVED、ESTABLISHED、FIN_WAIT_

1、FIN_WAIT_

2、CLOSE_WAIT、LAST_ACK、TIME_WAIT等状态通过定时器机制重传、持久、保活、时间等待处理各种异常情况，确保连接的可靠性和安全性协议特性UDPUDP报文结构UDP应用场景UDP与TCP对比头部仅包含四个字段，共字节源查询对速度要求高，数据量小，连接无连接，面向连接UDP8DNS UDP TCP端口号字节、目的端口号字节、长可容忍少量丢失22可靠性不保证可靠传输，提UDP TCP度字节和校验和字节结构简单，22流媒体传输如音频、视频，对实时性供完全可靠保证开销小，无需建立连接，适合实时应用要求高，可容忍少量丢包和高效传输场景传输速度更快，开销小；较UDP TCP在线游戏需要低延迟，高频更新状态慢，控制开销大校验和是可选的，可以通过设置全UDP0信息来禁用校验和功能，但在互联网通信中流量控制无流控机制，有完UDP TCP通常会启用以检测传输错误设备通信资源受限设备，需要轻量善的流量与拥塞控制IoT级协议数据边界保留数据边界，数UDPTCP网络管理简单查询与响应操作据流式传输SNMP基于的可靠传输实现通常需要在应用层添加序列号、确认和重传机制常见的实现有可靠和协议开发，UDP RUDPUDP QUICGoogle已成为基础这些协议在保持低延迟特性的同时，增加了选择性的可靠传输功能HTTP/3UDP应用层协议HTTPHTTP版本特点HTTP请求方法HTTP/

1.0基本功能，每次请求建立新GET获取资源，幂等，参数在URL中连接POST提交数据，非幂等，参数在请求HTTP/

1.1持久连接，管道化，主机头，体中缓存控制PUT更新资源，幂等，完整替换HTTP/2多路复用，头部压缩，服务器DELETE删除资源，幂等推送，二进制格式常见状态码200成功、301/302重定HTTP/3基于QUIC协议，解决队头阻塞，向、404未找到、500服务器错误更低延迟HTTPS安全机制在HTTP与TCP之间增加SSL/TLS层使用非对称加密交换会话密钥，对称加密传输数据数字证书验证服务器身份，防止中间人攻击默认端口443，而HTTP默认端口80RESTful API是一种设计风格，遵循资源导向、统一接口、无状态、可缓存等原则使用HTTP方法表示操作意图，URL表示资源，状态码表示结果，JSON或XML表示数据良好的REST设计有助于提高API的可理解性、可维护性和可扩展性应用层协议DNSDNS层次结构根域名服务器互联网核心，管理所有顶级域服务器信息顶级域名服务器管理.com、.cn等顶级域名权威域名服务器负责特定域的域名解析本地DNS服务器用户直接访问的DNS服务器DNS查询类型递归查询本地DNS代为完成整个查询过程，向客户端返回最终结果迭代查询每个DNS服务器返回已知的最接近结果，由查询发起方继续向下查询实际环境中通常结合使用两种查询方式DNS记录类型A记录域名到IPv4地址映射AAAA记录域名到IPv6地址映射CNAME记录域名别名MX记录邮件交换服务器NS记录指定域的域名服务器PTR记录IP地址到域名的反向查询DNS缓存机制广泛存在于操作系统、浏览器和本地DNS服务器中，能显著提高域名解析速度TTLTime ToLive值指定记录在缓存中保留的时间，过短会增加查询负担，过长则影响更新及时性通常重要服务设置较短TTL值以便快速切换，一般服务可设置较长TTL提高缓存效率常见DNS问题包括域名解析失败、解析结果错误、解析速度慢等诊断方法包括使用nslookup、dig等工具检查DNS配置，检查操作系统DNS设置，清除DNS缓存，以及尝试使用备用DNS服务器如

8.

8.

8.8验证应用层协议电子邮件SMTP协议简单邮件传输协议，负责邮件的发送过程基于TCP，默认端口25（加密端口465/587）命令-响应模式，如MAIL FROM、RCPT TO、DATA等仅负责邮件发送，不处理接收和存储邮件接收协议POP3简单的邮件下载协议，通常下载后删除服务器邮件，默认端口110IMAP高级邮件接收协议，邮件保留在服务器，支持多设备同步、文件夹管理、部分下载等功能，默认端口143现代邮件系统多采用IMAP提供更好的多设备支持邮件安全机制SPF（发件人策略框架）验证发送服务器是否被授权发送特定域的邮件DKIM（域名密钥识别邮件）使用加密签名验证邮件完整性和来源DMARC结合SPF和DKIM，提供统一的验证政策和报告机制S/MIME和PGP提供端到端加密和数字签名功能电子邮件系统由邮件用户代理MUA、邮件传输代理MTA、邮件递送代理MDA和邮件存储服务器组成发送过程中，用户通过MUA编写邮件，经由本地MTA发送到目标域MTA，再由MDA投递到收件人邮箱，最后收件人通过MUA读取邮件电子邮件使用MIME多用途互联网邮件扩展支持非ASCII文本、附件和多媒体内容邮件头部包含From、To、Subject、Date等字段，邮件正文可包含纯文本或HTML内容为防止垃圾邮件，现代邮件系统通常结合多种技术，包括内容过滤、行为分析、发送者信誉评估等第三部分网络设备与构建网关协议转换，互联不同网络路由器网络层设备，实现路由选择交换机数据链路层设备，基于MAC地址转发集线器物理层设备，简单信号放大转发网络设备根据工作的OSI层次不同，具有不同的功能和特性集线器工作在物理层，简单转发电信号；交换机工作在数据链路层，基于MAC地址进行智能转发；路由器工作在网络层，基于IP地址进行路由选择；网关可工作在更高层，实现不同协议之间的转换本部分将深入介绍各类网络设备的工作原理、配置方法和应用场景，包括局域网构建、广域网连接技术，以及网络虚拟化等新兴技术通过学习这部分内容，您将能够设计和实现满足不同需求的网络架构网络设备原理与功能设备类型工作层次转发依据广播域冲突域主要功能中继器/集线器物理层信号不隔离不隔离信号放大、延长传输距离网桥/交换机数据链路层MAC地址不隔离隔离过滤帧、减少冲突路由器网络层IP地址隔离隔离路由选择、连接不同网络网关应用层应用数据隔离隔离协议转换、应用代理负载均衡器传输/应用层会话信息隔离隔离流量分配、提高可用性中继器与集线器在物理层工作，简单放大和转发电信号，不理解数据内容，所有端口共享带宽，形成一个冲突域和广播域现代网络中已很少使用网桥与交换机在数据链路层工作，根据MAC地址表转发数据帧，每个端口是独立的冲突域，但共属一个广播域交换机可视为多端口网桥，支持全双工通信，大大提高网络效率路由器在网络层工作，根据路由表转发IP数据包，连接不同网络，隔离广播域，提供防火墙功能网关通常工作在较高层次，实现不同协议栈之间的转换负载均衡器专门用于在多台服务器间分配流量，提高系统整体响应能力和可用性，有硬件和软件两种实现方式交换机工作原理MAC地址表管理交换模式从源MAC地址学习建立映射关系；表项有老存储转发完整接收帧后再转发，可检查错化时间，一般为300秒；表项有限制，资源误，延迟较大；直通转发只读取目的MAC耗尽时采用最早淘汰策略地址就开始转发，延迟小但无法过滤错误帧生成树协议VLAN技术通过阻塞冗余链路防止环路；选择根桥和根通过标签隔离广播域；端口类型包括端口；计算路径成本确定转发拓扑；支持快Access接入单个VLAN、Trunk传输多个速收敛和负载均衡增强版本VLAN和Hybrid灵活设置现代交换机提供多种安全特性，如端口安全限制MAC地址数量或绑定特定MAC地址、DHCP监听防止欺骗DHCP服务器、动态ARP检测防止ARP欺骗、风暴控制限制广播/多播流量等高端交换机还支持访问控制列表ACL，可根据MAC地址、IP地址或端口号过滤流量交换机的性能指标主要包括背板带宽表示内部交换能力、包转发率通常以百万包每秒计、端口类型与速率、缓冲区大小等在选择交换机时，需要根据网络规模、流量模式和应用需求选择适合的产品，并考虑管理功能、可扩展性和成本因素路由器配置基础路由器硬件组成CPU执行路由计算和控制功能内存包括ROM启动程序、RAM运行配置、NVRAM启动配置、FlashIOS系统接口以太网、串口、无线等多种类型接口电源和散热系统保证设备稳定运行基本配置命令进入特权模式enable配置模式configure terminal接口配置interface typenumber设置IP ipaddress[ip][mask]保存配置copy running-config startup-config查看配置show running-config路由配置静态路由ip route[目标网络][掩码][下一跳/出接口]默认路由ip route

0.

0.

0.

00.

0.

0.0[下一跳]动态路由router rip/ospf[进程号]，network[网络][通配掩码]访问控制与NATACL定义access-list[编号][permit/deny][源IP][通配符掩码]ACL应用ip access-group[编号][in/out]NAT配置定义内外接口，配置地址转换规则局域网规划与实施需求分析与拓扑设计确定用户数量和分布特点评估业务应用类型和流量模式确定安全和可靠性需求选择合适的网络拓扑架构（通常为层次化星型）地址与VLAN规划选择合适的私有IP地址空间进行子网划分，分配地址池根据部门或功能规划VLAN定义VLAN间路由和安全策略设备选型与布置根据性能需求选择核心、汇聚和接入层设备确定设备冗余和备份方案规划设备物理位置和机柜安装考虑电源和散热需求布线系统遵循TIA/EIA-568等布线标准选择合适的线缆类型（Cat5e/6/6a）合理规划走线路径和布线间做好线缆标识和文档记录无线局域网技术标准频段最大速率特点应用场景

802.11b

2.4GHz11Mbps穿墙能力强，距基本已淘汰离远

802.11g

2.4GHz54Mbps兼容

802.11b，基本已淘汰覆盖范围大

802.11n

2.4/5GHz600Mbps MIMO技术，兼普通家庭和小型容旧标准办公

802.11ac5GHz

6.9Gbps MU-MIMO，更企业和高密度环宽信道境

802.11axWi-Fi

62.4/5/6GHz

9.6Gbps OFDMA，高效IoT和高密度场景率，低延迟无线接入点AP部署需考虑覆盖范围、容量需求、干扰源和物理环境等因素进行无线网络规划时，应先进行现场勘测，评估信号衰减和干扰情况，根据密度和吞吐量需求确定AP数量和位置高密度环境通常需要降低AP发射功率和合理规划信道，以减少互相干扰Wi-Fi安全协议从早期的WEP已被破解发展到WPA临时解决方案，再到WPA2目前主流和最新的WPA3企业级无线网络通常结合

802.1X认证、RADIUS服务器和加密技术构建完整的安全架构无线网络故障排除工具包括信号强度分析仪、频谱分析仪和协议分析仪等，可有效诊断覆盖问题、干扰问题和性能瓶颈广域网连接技术专线接入技术VPN技术点对点专线成本高，带宽保证，安全性好，适IPSec VPN网络层加密，安全性高，适合站点合核心业务互联帧中继基于分组技术的虚电路服务，提供可变SSL VPN应用层加密，易于部署，适合远程接带宽入ATM基于信元的高速交换技术，支持服务质量MPLS VPN基于服务提供商网络，高性能，易保证扩展MPLS专线融合层二和层三功能，支持QoS和GRE隧道简单封装，通常与IPSec配合使用流量工程新兴WAN技术SD-WAN软件定义广域网，集中控制，智能路径选择5G专网高带宽、低延迟，移动场景的广域连接选择Internet+VPN结合多条互联网线路和VPN技术降低成本卫星通信适用于偏远地区和特殊场景的广域连接广域网性能优化是提升用户体验的关键技术，主要方法包括WAN加速通过压缩、去重、协议优化等提高传输效率、智能路由根据应用特性选择最优路径、带宽管理QoS策略保障关键业务和缓存技术本地缓存减少远程传输选择广域网连接方案需考虑带宽需求、可靠性要求、安全等级、预算限制和地理分布等因素在实际设计中，通常采用多种技术组合，如核心站点使用高可靠MPLS专线，分支机构使用SD-WAN或Internet+VPN，移动办公人员使用SSL VPN，形成完整的广域网连接架构网络虚拟化技术虚拟机网络Hypervisor上的虚拟网络功能，实现VM间通信虚拟交换机软件实现的交换功能，连接虚拟与物理网络网络功能虚拟化3将专用网络设备功能转为软件实现容器网络轻量级容器间的网络连接技术云网络大规模弹性网络架构，支持云服务虚拟机网络配置主要有三种模式桥接模式Bridge将虚拟机直接连接到物理网络，与物理主机处于同一网段；NAT模式通过主机NAT转换访问外部网络，虚拟机使用私有IP地址；仅主机模式Host-Only创建独立网络，虚拟机只能与主机通信虚拟交换机如VMware vSwitch、Open vSwitch等实现了标准交换功能，支持VLAN、流量控制和安全策略网络功能虚拟化NFV将防火墙、负载均衡器、路由器等专用硬件功能转为软件实现，可在通用服务器上运行，提高灵活性并降低成本容器网络模型包括Docker网桥、Flannel、Calico等，支持容器间高效通信和网络策略控制云环境网络架构强调弹性扩展、多租户隔离、自动化配置和软件定义，如AWS VPC、Azure VNET等，通过API实现完全可编程的网络资源管理第四部分网络安全网络安全威胁现代网络面临多样化安全威胁，包括恶意软件、网络入侵、DDoS攻击、中间人攻击和社会工程学攻击等这些威胁不断演变，攻击手段日益复杂，给网络防护带来严峻挑战网络安全防护有效的网络安全防护需要多层次策略，包括边界防护防火墙、内部监控IDS/IPS、安全分区、访问控制和端点防护等纵深防御是现代网络安全的核心理念，通过多重防护机制共同保障网络安全加密与认证加密技术保障数据机密性和完整性，认证技术确保通信双方身份真实可信这些基础安全技术是构建安全网络环境的关键要素，在各类安全解决方案中广泛应用网络安全是现代信息系统的关键组成部分，本章将深入探讨网络安全的多个方面，帮助学生全面了解网络威胁特点、防护技术和安全管理策略从技术到策略，从预防到响应，构建完整的网络安全知识体系网络安全威胁分析网络防火墙技术防火墙类型包过滤规则设置下一代防火墙特性包过滤防火墙基于数据包头部信息源/目的规则通常包含以下元素•应用识别与控制精确识别和控制应用流IP、端口、协议等进行过滤，工作在网络层，量•源IP地址/范围简单高效但功能有限•用户身份感知基于用户身份而非IP地址•目的IP地址/范围制定策略应用层网关代理防火墙深入检查应用层内•协议类型TCP/UDP/ICMP等容，提供完整代理功能，安全性高但性能较•集成IPS内置入侵防御功能•源端口号/范围低•加密流量检测检查SSL/TLS加密通信•目的端口号/范围•威胁情报整合实时更新威胁数据状态检测防火墙跟踪连接状态，结合包过•动作允许/拒绝/日志滤和状态信息做决策，平衡性能和安全性•沙箱分析对可疑文件进行隔离分析规则按顺序匹配，找到第一个匹配规则后执下一代防火墙NGFW集成传统防火墙、行相应动作，通常默认策略为拒绝IPS、应用控制、URL过滤等多种功能防火墙部署模式包括网络边界部署保护内网与外网边界、三向部署增加DMZ区域隔离公共服务、内部分区部署划分内部安全区域和分布式部署在网络各关键点部署高可用性配置通常采用主备或主主模式，确保防火墙故障时不中断网络连接入侵检测与防御系统IDS与IPS对比IDS入侵检测系统被动监测，发现攻击后告警但不阻断，不影响网络性能，部署在分流镜像端口IPS入侵防御系统主动防御，检测到攻击后自动阻断，会影响网络流量，部署在内联模式现代系统通常为混合型，可配置为IDS或IPS模式，灵活应对不同需求检测机制基于特征的检测使用已知攻击模式特征库匹配流量，准确但无法检测未知攻击基于异常的检测建立正常行为基线，发现偏离基线的行为，可检测未知攻击但可能产生误报基于协议分析检查协议使用是否符合RFC标准，发现异常协议行为基于行为的检测分析网络或系统行为模式，识别可疑活动序列响应方式被动响应记录告警、发送通知、提高日志级别主动响应重置连接、丢弃数据包、阻断IP、更改防火墙规则自适应响应根据威胁级别和环境动态调整响应策略误报处理优化规则调整检测阈值，禁用低质量规则白名单为正常业务流量创建例外情境分析结合多种信息提高判断准确性机器学习通过不断学习减少误报加密技术基础加密方式代表算法密钥管理性能主要应用对称加密AES,DES,3DES共享密钥高效大量数据加密非对称加密RSA,ECC,DSA公私钥对较慢密钥交换,数字签名哈希函数MD5,SHA-1,无密钥非常高效数据完整性校SHA-256验混合加密TLS/SSL,PGP公钥加密会话综合优势安全通信,电子密钥邮件对称加密使用相同的密钥进行加密和解密，处理速度快但面临密钥分发安全问题AES高级加密标准是目前最广泛使用的对称加密算法，支持128/192/256位密钥非对称加密使用一对密钥，公钥加密私钥解密或私钥签名公钥验证，解决了密钥分发问题但计算开销大RSA基于大整数因子分解难题，ECC基于椭圆曲线离散对数难题，在同等安全强度下ECC密钥长度更短PKI公钥基础设施通过数字证书建立信任体系，包括证书颁发机构CA、注册机构RA、证书数据库和密钥备份恢复系统等组件数字证书包含身份信息、公钥和CA签名，用于验证公钥与身份的绑定关系密钥管理最佳实践包括合理周期性更换密钥、安全存储密钥硬件安全模块HSM、密钥分发保护和完整的密钥生命周期管理网络认证技术认证因素

802.1X框架知识因素你知道的东西密码、PIN基于端口的网络访问控制标准所有因素你拥有的东西令牌、智能卡三个角色请求者用户、认证者交换机/AP、认固有因素你的特征指纹、面部证服务器RADIUS多因素认证结合两种或更多因素大幅提升安全性支持多种EAP认证方法，灵活适应不同需求认证协议单点登录与零信任SSO一次认证访问多个系统，提高用户体验RADIUS广泛使用的认证计费协议，UDP传输Kerberos基于票据的认证协议，SSO常用基础TACACS+思科开发的协议，TCP传输，全程加密3零信任模型不再依赖网络边界，持续验证所有访OAuth开放授权协议，用于第三方应用授权问SAML基于XML的认证和授权数据交换标准

802.1X认证流程始于请求者客户端发起EAPOL-Start消息，认证者交换机/AP要求身份信息，随后通过RADIUS协议与认证服务器交互，验证成功后授权网络访问常用EAP类型包括EAP-TLS基于证书的双向认证、PEAP使用TLS隧道保护认证和EAP-TTLS类似PEAP但更灵活零信任网络访问ZTNA模型基于永不信任，始终验证原则，无论用户位置都应用相同安全控制其核心元素包括精细访问控制、持续身份验证、最小权限原则和完整可见性实施零信任需要身份管理、设备健康状况评估、微分段和持续监控等技术的协同工作安全技术VPNIPSec VPNSSL/TLS VPNVPN类型工作在网络层，透明保护上层协议基于Web浏览器，易于部署和使用远程访问VPN个人用户连接到公司网络两种工作模式传输模式端到端保护和隧道模分为全网隧道全部流量和应用代理特定应用站点到站点VPN连接不同地理位置的网络式网络到网络两种模式移动VPN保持移动中的持续连接主要协议包括ESP加密与认证和AH仅认证使用SSL/TLS协议保护数据，兼容性好安全服务边缘SASE将SD-WAN与云安全服IKE协议负责密钥交换和协商安全参数无需客户端或仅需轻量级客户端务融合故障排除连接问题检查网络连通性和防火墙规则认证失败验证证书、密码或共享密钥性能问题分析MTU设置、带宽和延迟分段/碎片问题调整MSS值或启用PMTUDVPN隧道建立过程以IPSec为例，首先通过IKE第一阶段建立安全通道ISAKMP SA，交换身份信息并协商加密和认证算法然后通过IKE第二阶段建立数据保护通道IPSec SA，协商特定的安全参数使用主模式时，第一阶段需要6个消息，身份信息受保护；快速模式只需3个消息，但身份信息暴露现代VPN解决方案强调集成和智能化，如与SD-WAN结合提供灵活路径选择，与零信任架构结合实现精细访问控制，以及集成威胁防护功能增强安全性选择VPN技术时需考虑安全需求、兼容性、易用性、性能要求和管理便捷性等因素网络安全管理风险评估资产识别与价值评定威胁分析与脆弱性识别风险计算可能性×影响风险优先级排序评估方法定性分析与定量分析安全基线与合规制定最小安全配置标准参考CIS、NIST等权威基线定期检查与配置偏差分析自动化基线配置与验证合规框架ISO

27001、GDPR、等级保护事件响应准备建立团队和流程检测与分析识别和评估事件遏制限制影响范围清除移除威胁恢复恢复正常运行总结事后分析与改进安全策略策略制定原则全面性、可执行性、持续改进关键安全策略访问控制、密码管理、变更管理技术与管理相结合，确保有效实施定期审核与更新，适应新威胁与业务变化第五部分网络监控与优化网络监控与优化是网络运维的核心环节，对于保障网络稳定运行、提升用户体验至关重要本部分将深入介绍网络性能指标及其测量方法、常用监控工具的应用技巧、网络优化的关键技术以及系统化的故障排除流程通过掌握这些知识和技能，网络管理员可以主动发现并解决网络问题，优化网络性能，提高网络服务质量从基础监控到性能调优，从故障定位到根本解决，构建全方位的网络运维能力网络性能监测指标95%带宽利用率实际流量与链路总带宽的比率，计算方法为入站流量+出站流量/总带宽×100%高于70%需关注，超过90%通常表示拥塞35ms网络延迟数据包从源到目的地所需时间，通常使用ICMP Echo测量受传播延迟、排队延迟、处理延迟和序列化延迟影响5%抖动连续数据包延迟变化，对实时应用如VoIP和视频会议影响显著低于10ms为优，高于30ms会明显影响体验

0.1%丢包率丢失的数据包占总发送包的比例低于

0.1%对大多数应用可接受，超过1%会显著影响性能丢包常见原因包括链路拥塞、硬件故障和配置错误网络吞吐量是单位时间内成功传输的数据量，常用Mbps表示与带宽不同，吞吐量反映实际传输效率，受协议开销、延迟和丢包影响PPS每秒包数则反映设备处理数据包的能力，对小包流量密集的场景尤为重要网络基准测试是评估网络性能的系统方法，应在正常运行时进行记录，作为后续比较的参考基准测试应包括峰值和平均指标，并定期更新以适应网络变化常用测试工具包括iperf吞吐量测试、ping延迟和丢包测试以及专业网络性能测试设备网络监控工具应用SNMP协议应用基础监控工具简单网络管理协议是网络监控的基础，基于管理站、代理和MIB三要素架构Ping测试连通性和往返延迟，使用ICMP Echo请求和响应SNMPv1/v2c简单但安全性低，SNMPv3添加了认证和加密功能Traceroute/Tracert跟踪数据包路径，显示每一跳的延迟MIB管理信息库定义了可被访问的对象，组织为树状层次结构Nslookup/Dig DNS查询工具，验证域名解析常用操作包括Get读取、Set写入和Trap主动通知Netstat显示网络连接、路由表和接口统计信息Wireshark分析流量分析技术功能强大的网络协议分析器，可捕获和分析数据包NetFlow/sFlow/IPFIX采集流量统计信息而非完整数据包支持过滤器精确定位特定流量协议过滤、地址过滤、端口过滤提供源目地址、端口、协议、流量大小等聚合信息流量重组功能可还原TCP会话或应用层数据支持流量可视化、异常检测和长期趋势分析统计功能可分析协议分布、对话和端点信息较抓包分析资源占用小，适合大规模网络监控现代网络监控平台通常集成多种功能，包括设备发现、性能监控、告警管理、拓扑可视化、配置管理和报表生成等常见开源监控平台有Zabbix、Nagios、Prometheus等，商业平台有SolarWinds、PRTG、Cisco Prime等企业级监控平台部署架构通常包括采集层、存储层、分析层和展示层，支持分布式架构以提高可扩展性网络优化技术QoS服务质量分类与标记使用DSCP、CoS等字段标识不同类型流量队列管理优先队列、加权队列、低延迟队列等机制拥塞避免RED、WRED等算法主动丢弃部分包防止拥塞恶化流量整形与策略限制突发流量，确保带宽合理分配链路优化链路聚合将多条物理链路组合为一条逻辑链路，提高带宽和可靠性负载均衡通过ECMP、策略路由等技术在多条路径间分配流量WAN优化压缩、重复数据删除、协议优化等技术提高WAN效率网络虚拟化SDN和NFV技术实现灵活资源分配和流量控制内容分发网络CDN将内容缓存到靠近用户的节点，减少访问延迟和骨干网负载内容路由技术根据用户位置、节点负载等因素选择最佳服务节点适用于静态内容、流媒体和下载等高带宽应用全球CDN可显著提升跨地区访问性能网络缓存技术Web缓存存储常访问的HTTP内容，减少源服务器负载DNS缓存加速域名解析过程，降低DNS服务器压力透明缓存网络中间设备自动缓存内容，用户无感知缓存策略LRU、LFU等算法优化缓存命中率网络故障排除方法问题识别明确故障现象和影响范围收集用户报告和错误信息确定问题的严重程度和优先级信息收集查看设备日志和告警信息检查性能监控数据和趋势进行网络连通性测试必要时抓取数据包进行分析问题隔离使用分层法从下至上或自上而下排查缩小问题范围至特定设备、链路或服务确定问题是硬件故障、配置错误还是软件问题解决与验证实施解决方案，可能包括配置更改、设备重启或组件更换验证问题是否已解决，确认服务恢复正常记录故障原因、解决过程和预防措施OSI分层故障定位是一种系统化的故障排除方法，从物理层开始逐层排查物理层检查电缆、接口和电源状态；数据链路层验证MAC地址表、生成树状态和VLAN配置；网络层检查IP地址、路由表和ACL；传输层确认端口开放状态和会话建立；应用层排查特定服务和应用问题常见网络连通性测试命令包括ping基本连通性、traceroute路径追踪、telnetTCP连接测试、nslookupDNS解析和netstat连接状态典型的配置错误包括IP地址冲突、子网掩码错误、默认网关配置错误、VLAN配置不一致和ACL规则顺序问题案例分析能力是网络工程师的重要技能，需要结合理论知识和实践经验，系统分析问题并找到根本原因第六部分考试重点与真题解析历年考点分布通过分析近年考试真题，我们可以发现明显的出题规律和重点分布网络基础知识和网络协议占比较大，约40%；网络设备配置和安全技术各占20%左右；网络监控与优化占比相对较小，约15%；新技术应用占5%左右题型特点选择题侧重于基础概念理解和简单计算，常出现混淆概念的干扰项；实操题则更注重实际应用能力，要求考生能够根据场景需求进行设备配置、故障排除和性能优化，评分标准既看最终结果也看操作过程备考策略建议考生先系统学习理论知识，建立完整知识框架；然后通过大量习题强化记忆和理解；最后在模拟环境中进行实际操作训练特别要注意IP地址计算、协议特点对比、配置命令等高频考点，学会利用排除法和关键词分析提高解题效率考试重点难点分析选择题解题技巧常见干扰项分析排除法应用数学计算技巧网络考试选择题中常见的干扰项类型包括排除法是解决选择题的有效策略，尤其是对地址计算是高频考点，掌握快速计算技巧IP概念混淆型如交换机和路由器功能混淆、不确定的题目步骤如下可节省大量时间数值近似型如子网掩码位数接近、部分正

1.先找出明显错误的选项并排除•使用2的幂次表示子网划分如/24划分16确型陈述部分正确但有错误和过度概括型个子网，则子网掩码增加位，变为4/28分析剩余选项中的关键词差异将特例当作普遍规律

2.利用快速计算八位子网掩码值利用已知原理间接推导答案•255-2^n

3.应对策略是深入理解概念本质，注意细节差通过与运算快速判断地址所属网段必要时使用极限法考虑极端情况•IP

4.异，通过排除法缩小范围例如和TCP UDP使用首末地址法确定子网范围•的区别题，可从连接性、可靠性、顺序性、例如，对于模型与协议对应关系题，可OSI流量控制等多角度比较，排除明显错误选项先确定各协议大致所在层次，排除明显不符练习过程中总结个人计算口诀，形成肌肉记合的选项，再通过协议功能推断具体层次忆，考试时能迅速应对选择题常见陷阱包括双重否定表述、绝对化词语如总是、绝不、混淆因果关系、混入无关信息等解题时要仔细阅读题干，抓住关键词，警惕过于绝对或过于完美的选项遇到难题时，可先标记并跳过，完成简单题后再回来思考，避免时间浪费操作题应对策略模拟环境熟悉考前必须熟悉考试使用的模拟器界面和操作方式了解如何进入不同设备的命令行界面掌握查看配置、保存配置的基本操作熟悉帮助系统使用方法，以应对不熟悉的命令常见操作题型基础配置题设备基本参数设置20%VLAN与交换配置题交换机功能实现25%路由配置题静态路由和动态路由30%访问控制与安全题ACL和安全特性15%故障排除题诊断并解决网络问题10%操作规划先通读题目要求，理解网络拓扑和目标在草稿纸上规划配置步骤和关键命令按逻辑顺序实施配置基础→高级每完成一个要求进行验证测试时间管理控制每题用时，避免在单题上花费过多时间设置阶段性检查点，确保进度困难题暂时跳过，先完成有把握的部分预留10-15分钟检查和修正时间常见失分点包括命令语法错误、配置不完整、验证不充分、操作顺序错误和时间规划不当建议在配置过程中频繁使用show命令验证效果，确保每步都达到预期如果某个命令记不清楚，可使用命令帮助系统或尝试相似命令，避免卡在某一步骤上对于复杂的配置题，建议采用增量配置法，即先实现基本功能，确认无误后再添加高级特性例如，先配置基本连通性，再实现路由，最后添加访问控制和优化功能这样即使时间不够，也能获得部分分数此外，熟悉常见故障现象和排除方法，能够快速定位问题根源，是操作题的重要得分点模拟真题选择题IP地址与子网划分题目某公司分配到

192.

168.

20.0/24网段，需要划分为5个子网，每个子网至少30台主机，最合适的子网掩码是？A.

255.

255.

255.224B.

255.

255.

255.240C.

255.

255.

255.192D.

255.

255.

255.128分析每个子网需至少30台主机，即需要5位主机位2^5-2=30，子网掩码为/

27255.

255.

255.224，可划分2^3=8个子网，满足需求答案A路由协议特性比较题目关于OSPF和RIP的描述，错误的是？A.OSPF支持VLSM，RIP v1不支持B.OSPF基于带宽计算开销，RIP以跳数为度量C.OSPF收敛速度比RIP慢D.OSPF是链路状态协议，RIP是距离矢量协议分析OSPF收敛速度比RIP快，不是慢答案CTCP/IP与OSI对应关系题目在OSI模型中，路由器工作在？A.数据链路层B.网络层C.传输层D.会话层分析路由器基于IP地址转发数据包，工作在网络层第3层答案B网络安全概念题目下列关于网络安全技术的描述，正确的是？A.SSL VPN工作在网络层，提供端到端加密B.状态检测防火墙不考虑连接状态信息C.IPSec可以在传输模式和隧道模式下工作D.入侵检测系统IDS可以自动阻断攻击流量分析IPSec确实有传输模式和隧道模式两种工作模式SSL VPN工作在应用层；状态检测防火墙恰恰是考虑连接状态；IDS只能检测不能阻断答案C模拟真题实操题题型示例任务评分要点注意事项交换机VLAN配置配置三个VLAN并实现VLAN创建、端口分配、检查端口模式VLAN间通信VLAN间路由access/trunk和允许VLAN列表路由配置配置OSPF实现多区域区域划分、接口加入、注意区域0的连续性和路路由路由表正确由汇总ACL配置实现特定访问控制需求ACL规则正确性、应用测试验证ACL效果，检位置、顺序查是否阻断正常流量故障排除诊断并解决连接问题问题定位、根本原因分按层次排查，记录每步析、解决方案检查结果网络优化配置QoS策略保障关键流量分类正确、队列配理解不同应用需求，合应用置合理、效果验证理分配资源静态路由配置案例配置Router1和Router2之间的静态路由，实现

192.

168.

1.0/24和

192.

168.

2.0/24网段互通首先确认两路由器接口IP配置正确并可通信，然后在Router1上配置ip route

192.

168.

2.

0255.

255.

255.

0192.

168.

12.2，在Router2上配置ip route

192.

168.

1.

0255.

255.

255.

0192.

168.

12.1，最后使用ping命令验证连通性故障排查案例某网络中主机A无法访问服务器B诊断步骤1检查主机A网络配置；2检查到网关的连通性；3检查网关到服务器的路由；4检查服务器状态和配置；5检查防火墙和ACL设置发现问题在于ACL配置错误，阻止了主机A的访问，修改ACL规则并验证连通性恢复考前复习策略知识点脉络梳理使用思维导图或知识树整理各章节内容，建立知识体系框架突出重点、难点和考点，标记易混淆概念归纳各类问题的解题思路和方法论将碎片化知识点系统化，形成完整理解重点难点强化集中攻克IP地址计算、路由协议和安全配置等高频难点针对薄弱环节进行专项训练整理常用配置命令清单，加强记忆分析往年真题中的错题和易错点考前周计划考前7-5天系统回顾所有章节，查漏补缺考前4-3天完成2-3套全真模拟题，总结易错点考前2-1天重点复习关键知识点，调整状态，不宜再学新内容考试前一晚充分休息，保持良好状态考试当天提前到达考场，熟悉环境，调整心态仔细阅读考试说明和要求先易后难，合理安排答题顺序注意时间分配，确保所有题目都能作答检查无误后再提交在线学习资源官方备考资料包括考试大纲、样题集和考点指南，是最贴近真实考试的学习资源，可从考试官网获取推荐学习平台有中国大学的MOOC网络技术课程、网易云课堂的网络工程师系列和腾讯课堂的思科认证备考课程，这些平台提供系统化的视频教程和实践指导网络模拟器是实操练习的重要工具，推荐使用免费、开源和专业版，这些软件可模拟各种网络设备Cisco PacketTracerGNS3EVE-NG和拓扑，支持大部分考试涉及的操作参与学习小组或在线论坛如、知乎专栏可与其他考生交流经验，解决疑难问题此外，移动CSDN端学习应用如网络工程师宝典和协议族提供碎片时间的学习机会，支持随时查阅和自测TCP/IP总结与展望知识架构回顾成功要素本课程系统覆盖了网络技术的五大核心领域考试成功的关键在于理论与实践相结合，掌握网络基础理论、网络协议体系、网络设备配置、基本原理的同时，熟练掌握配置与故障排除技网络安全防护和网络监控优化，构建了完整的能，并能灵活应用于实际场景知识体系技术发展趋势继续学习方向网络技术正向智能化、自动化和虚拟化方向发建议在通过考试后，可向云网络、网络自动化、展，SDN、NFV、5G、零信任网络等新技术网络安全专家或网络架构师方向深入发展，不不断涌现，关注这些趋势对职业发展至关重要断提升专业能力和市场竞争力感谢各位学员参与本次《信息技术网络考试》备考课程我们相信，通过系统学习和刻苦练习，大家已经掌握了应对考试的必要知识和技能记住，网络技术学习是一个持续的过程，考试只是阶段性检验，真正的目标是将所学知识应用于实际工作中如在复习过程中有任何疑问，欢迎通过学习平台留言或发送邮件至support@netcourse.edu.cn咨询我们将安排定期在线答疑，解决学习中遇到的问题最后，祝愿每位学员都能在考试中取得优异成绩，在网络技术领域不断进步！。