【说明】<br />某公司网络拓扑结构如图2-1所示，DNS服务器采用Windows Server 2003操作..

免费智能真题库 > 历年试卷 > 网络管理员 > 2014年下半年网络管理员下午试卷案例

第2题

知识点：查找 DNS Web服务 Web服务器操作系统数字证书域名域名服务域名服务器

【说明】
某公司网络拓扑结构如图2-1所示，DNS服务器采用Windows Server 2003操作系统，当在本地查找不到域名记录时转向域名服务器210.113.1.15进行解析；Web服务器域名为www.product.com.cn，需要CA颁发数字证书来保障网站安全。

在DNS服务器中为Web服务器配置域名记录时，区域名称和新建主机分别如图2-2和2-3所示。

问题：2.1 Web站点建成后，添加DNS记录时，图2-2所示的对话框中，新建的区域名称是（1）：图2-3所示的对话框中，添加的新建主机名称为（2），IP地址栏应填入（3）。

问题：2.2 配置DNS服务器时，图2-4所示的属性窗口应如何配置。

问题：2.3 配置Web网站时，需要获取服务器证书。CA颁发给Web网站的数字证书中不包括（4）。
（4）备选答案：
A．证书的有效期 B．CA的签名 C．网站的公钥 D．网站的私钥

问题：2.4 在PC1上使用nslookup命令查询Web服务器域名所对应的IP地址，得到如图2-5所示的结果。

依据图2-1和图2-5显示结果，填写图2-6中PC1的Intemet属性参数

IP地址：（5）；
子网掩码：（6）；
默认网关：（7）：
首选DNS服务器：（8）；
备用DNS服务器：（9）。
出现图2-5所示结果时，在PCl中进行域名解析时最先查询的是（10），其次查询的是（11），PC1得到的结果来自（12）。


知识点讲解
· 查找 · DNS · Web服务 · Web服务器 · 操作系统 · 数字证书 · 域名 · 域名服务 · 域名服务器

查找

1）顺序查找

顺序查找又称线性查找，顺序查找的过程是从线性表的一端开始，依次逐个与表中元素的关键字值进行比较，如果找到其关键字与给定值相等的元素，则查找成功；若表中所有元素的关键字与给定值比较都不成功，则查找失败。

2）折半查找

折半查找的过程是先将给定值与有序线性表中间位置上元素的关键字进行比较，若两者相等，则查找成功；若给定值小于该元素的关键字，那么选取中间位置元素关键字值小的那部分元素作为新的查找范围，然后继续进行折半查找；如果给定值大于该元素的关键字，那么选取比中间位置元素关键字值大的那部分元素作为新的查找范围，然后继续进行折半查找，直到找到关键字与给定值相等的元素或查找范围中的元素数量为零时结束。

3）分块查找

在分块查找过程中，首先将表分成若干块，每一块中关键字不一定有序，但块之间是有序的。此外，还建立了一个索引表，索引表按关键字有序。分块查找过程需分两步进行：先确定待查记录所在的块；然后在块中顺序查找。

4）哈希表及其查找

根据设定的哈希函数H（key）和处理冲突的方法，将一组关键字映射到一个有限的连续地址集上，并以关键字在地址集中的像作为记录在表中的存储位置，这种表称为哈希表，也称散列表。这一过程所得到的存储位置称为散列地址，由此形成的查找方法称为散列查找。

DNS

在Internet上，对于众多的以数字表示的一长串IP地址，人们记忆起来是很困难的。为了便于网络地址的分层管理和分配，因而采用了域名管理系统，引入域名的概念。通过为每台主机建立IP地址与域名之间的映射关系，用户在网上可以避开难于记忆的IP地址，而使用域名来唯一标识网上的计算机。

为了使计算机的域名与其IP地址正确地对应起来，使用户只要输入主机的名称，就可以很快地将其转换成IP地址，在Internet上有许多域名服务器来负责域名到IP地址的转换。从1983年起，Internet开始采用一种树状、层次化的主机命名系统，即域名系统DNS，如下图所示。

DNS域名系统

域名系统DNS是一个遍布在Internet上的分布式主机信息数据库系统，采用客户机／服务器的工作模式。域名系统的基本任务是将文字表示的域名，如www.sdfi.edu.cn翻译成IP协议能够理解的IP地址格式，如210.44.128.101，亦称为域名解析。域名解析的工作通常由域名服务器来完成。

要把计算机接入Internet，必须获得网上唯一的IP地址和对应的域名。按照Internet上的域名管理系统规定，在DNS中，域名采用分层结构，由自底向上所有标记组成的字符串，标记之间用“.”分隔。对于入网的每台计算机都有类似结构的域名，即：

计算机主机名．机构名．网络名．顶级域名

同IP地址格式类似，域名的各部分之间也用“.”隔开。一般来说，域名分为三级，其格式为：商标名（或企业名）．单位性质代码．国家代码。作为中国国内企业，一般采用：企业名．com. cn的格式。

一台计算机只能有一个IP地址，但是却可以有多个域名。

Web服务

Web是为了程序到用户的交互，而Web服务是为程序到程序的交互做准备。Web服务使公司可以降低进行电子商务的成本、更快地部署解决方案以及开拓新机遇。实现Web服务的关键在于通用的程序到程序通信模型，该模型应建立在现有的和新兴的标准之上，例如，HTTP、可扩展标记语言（Extensible Markup Language，XML）、简单对象访问协议（Simple Object Access Protocol，SOAP）、Web服务描述语言（Web Service Description Language，WSDL）以及通用描述发现和集成（Universal Description Discovery and Integration，UDDI）。

Web服务的定义

Web服务是描述一些操作（利用标准化的XML消息传递机制可以通过网络访问这些操作）的接口。Web服务是用标准的、规范的XML概念描述的，称为Web服务的服务描述。这一描述包括了与服务交互需要的全部细节，包括消息格式（详细描述操作）、传输协议和位置。该接口隐藏了实现服务的细节，允许独立于实现服务所基于的硬件或软件平台和编写服务所用的编程语言使用服务。Web服务履行一项特定的任务或一组任务。Web服务可以单独或同其他Web服务一起用于实现复杂的聚集或商业交易。

Web服务体系结构基于三种角色（服务提供者、服务注册中心和服务请求者）之间的交互。交互涉及发布、查找和绑定操作。这些角色和操作一起作用于Web服务构件——Web服务软件模块及其描述。在典型情况下，服务提供者托管可通过网络访问的软件模块（Web服务的一个实现），服务提供者定义Web服务的服务描述并把它发布到服务请求者或服务注册中心。服务请求者使用查找操作来从本地或服务注册中心检索服务描述，然后使用服务描述与服务提供者进行绑定并调用Web服务实现或同它交互。服务提供者和服务请求者角色是逻辑结构，因而服务可以表现两种特性。下图描述了这些操作、提供这些操作的组件及它们之间的交互。

Web服务的角色、操作和构件

WSDL——Web服务描述语言（Web Service Description Language）

WSDL是一种XML Application，它将Web服务描述定义为一组服务访问点，客户端可以通过这些服务访问点对包含面向文档信息或面向过程调用的服务进行访问（类似远程过程调用）。WSDL首先对访问的操作和访问时使用的请求／响应消息进行抽象描述，然后将其绑定到具体的传输协议和消息格式上以最终定义具体部署的服务访问点。相关的具体部署的服务访问点通过组合就成为抽象的Web服务。

UDDI——通用描述发现和集成（Universal Description Discovery and Integration）

（1）UDDI的基本概念。UDDI允许动态发现相关的Web服务并将其集成到聚合的业务过程中。UDDI提供一种搜索有关企业和电子化服务的信息。在UDDI中发布企业与服务信息使其他企业能大范围访问到这些信息。UDDI基于现成的标准，如可扩展标记语言（Extensible Markup Language，XML）和简单对象访问协议（Simple Object Access Protocol，SOAP）。

（2）UDDI注册中心。在UDDI中，一个重要的概念就是UDDI注册中心。UDDI注册中心包含了通过程序手段可以访问到的对企业和企业支持的服务所做的描述。此外，还包含对Web服务所支持的因行业而异的规范、分类法定义以及标识系统的引用。UDDI提供了一种编程模式，定义与注册中心通信的规则。UDDI规范中所有API都用XML来定义，包装在SOAP信封中，在HTTP上传输。

Web服务器

Web服务器也称为WWW服务器，主要功能是提供网上信息浏览服务。

在UNIX和Linux平台下使用最广泛的HTTP服务器是W3C、NCSA和Apache服务器，而Windows平台使用IIS的Web服务器。跨平台的Web服务器有IBM WebSphere、BEA WebLogic、Tomcat等。在选择使用Web服务器应考虑的本身特性因素有性能、安全性、日志和统计、虚拟主机、代理服务器、缓冲服务和集成应用程序等。

Web服务器的主要性能指标包括最大并发连接数、响应延迟、吞吐量（每秒处理的请求数）、成功请求数、失败请求数、每秒点击次数、每秒成功点击次数、每秒失败点击次数、尝试连接数、用户连接数等。

操作系统

编写嵌入式软件有两种选择：一是自己编写内核；二是使用现成的操作系统。如果嵌入式软件只需要完成一项非常小的工作，例如在电动玩具、空调中，就不需要一个功能完整的操作系统。但如果系统的规模较大、功能较复杂，那么最好还是使用一个现成的操作系统。可用于嵌入式系统软件开发的操作系统有很多，但关键是如何选择一个适合开发项目的操作系统，可以从以下几点进行考虑：

（1）操作系统提供的开发工具。有些实时操作系统只支持该系统供应商的开发工具，因此，还必须从操作系统供应商处获得编译器、调试器等；而有的操作系统应用广泛，且有第三方工具可用，因此选择的余地比较大。

（2）操作系统向硬件接口移植的难度。操作系统到硬件的移植是一个重要的问题，是关系到整个系统能否按期完工的一个关键因素。因此，要选择那些可移植性程度高的操作系统，以避免因移植带来的种种困难。

（3）操作系统的内存要求，有些操作系统对内存有较大要求。

（4）操作系统的可剪裁性、实时性能等。

数字证书

数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。

数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密和解密。每个用户自己设定一个特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名，同时设定一个公共密钥（公钥），并由本人公开，为一组用户所共享，用于加密和验证。公开密钥技术解决了密钥发布的管理问题。一般情况下，证书中还包括密钥的有效时间、发证机构（证书授权中心）的名称及该证书的序列号等信息。数字证书的格式遵循ITUT X.509国际标准。

用户的数字证书由某个可信的证书发放机构（Certification Authority，CA）建立，并由CA或用户将其放入公共目录中，以供其他用户访问。目录服务器本身并不负责为用户创建数字证书，其作用仅仅是为用户访问数字证书提供方便。

在X.509标准中，数字证书的一般格式包含的数据域如下。

（1）版本号：用于区分X.509的不同版本。

（2）序列号：由同一发行者（CA）发放的每个证书的序列号是唯一的。

（3）签名算法：签署证书所用的算法及参数。

（4）发行者：指建立和签署证书的CA的X.509名字。

（5）有效期：包括证书有效期的起始时间和终止时间。

（6）主体名：指证书持有者的名称及有关信息。

（7）公钥：有效的公钥以及其使用方法。

（8）发行者ID：任选的名字唯一地标识证书的发行者。

（9）主体ID：任选的名字唯一地标识证书的持有者。

（10）扩展域：添加的扩充信息。

（11）认证机构的签名：用CA私钥对证书的签名。

证书的获取

CA为用户产生的证书应具有以下特性：

（1）只要得到CA的公钥，就能由此得到CA为用户签署的公钥。

（2）除CA外，其他任何人员都不能以不被察觉的方式修改证书的内容。

因为证书是不可伪造的，因此无须对存放证书的目录施加特别的保护。

如果所有用户都由同一CA签署证书，则这一CA必须取得所有用户的信任。用户证书除了能放在公共目录中供他人访问外，还可以由用户直接把证书转发给其他用户。用户B得到A的证书后，可相信用A的公钥加密的消息不会被他人获悉，还可信任用A的私钥签署的消息不是伪造的。

如果用户数量很多，仅一个CA负责为所有用户签署证书可能不现实。通常应有多个CA，每个CA为一部分用户发行和签署证书。

设用户A已从证书发放机构X₁处获取了证书，用户B已从X₂处获取了证书。如果A不知X₂的公钥，他虽然能读取B的证书，但却无法验证用户B证书中X₂的签名，因此B的证书对A来说是没有用处的。然而，如果两个证书发放机构X₁和X₂彼此间已经安全地交换了公开密钥，则A可通过以下过程获取B的公开密钥：

（1）A从目录中获取由X₁签署的X₂的证书X₁《X₂》，因为A知道X₁的公开密钥，所以能验证X₂的证书，并从中得到X₂的公开密钥。

（2）A再从目录中获取由X₂签署的B的证书X₂《B》，并由X₂的公开密钥对此加以验证，然后从中得到B的公开密钥。

在以上过程中，A是通过一个证书链来获取B的公开密钥的，证书链可表示为

X₁《X₂》X₂《B》

类似地，B能通过相反的证书链获取A的公开密钥，表示为

X₂《X₁》X₁《A》

以上证书链中只涉及两个证书。同样，有N个证书的证书链可表示为

X₁《X₂》X₂《X₃》…X_N《B》

此时，任意两个相邻的CAX_i和CAX_i₊₁已彼此间为对方建立了证书，对每一个CA来说，由其他CA为这一CA建立的所有证书都应存放于目录中，并使得用户知道所有证书相互之间的连接关系，从而可获取另一用户的公钥证书。X.509建议将所有的CA以层次结构组织起来，用户A可从目录中得到相应的证书以建立到B的以下证书链：

X《W》W《V》V《U》U《Y》Y《Z》Z《B》

并通过该证书链获取B的公开密钥。

类似地，B可建立以下证书链以获取A的公开密钥：

X《W》W《V》V《U》U《Y》Y《Z》Z《A》

证书的吊销

从证书的格式上可以看到，每个证书都有一个有效期，然而有些证书还未到截止日期就会被发放该证书的CA吊销，这可能是由于用户的私钥已被泄漏，或者该用户不再由该CA来认证，或者CA为该用户签署证书的私钥已经泄漏。为此，每个CA还必须维护一个证书吊销列表（Certificate Revocation List，CRL），其中存放所有未到期而被提前吊销的证书，包括该CA发放给用户和发放给其他CA的证书。CRL还必须由该CA签字，然后存放于目录中以供他人查询。

CRL中的数据域包括发行者CA的名称、建立CRL的日期、计划公布下一CRL的日期以及每个被吊销的证书数据域。被吊销的证书数据域包括该证书的序列号和被吊销的日期。对一个CA来说，它发放的每个证书的序列号是唯一的，所以可用序列号来识别每个证书。

因此，每个用户收到他人消息中的证书时都必须通过目录检查这一证书是否已经被吊销，为避免搜索目录引起的延迟以及因此而增加的费用，用户自己也可维护一个有效证书和被吊销证书的局部缓存区。

域名

IP地址用数字表示，使用时难以记忆和书写，因此在IP地址的基础上又发展出了一种符号化的地址方案，用来代替数字型的IP地址，这就是域名。

域名由多个分量组成，分量之间用点号隔开，格式为

*.三级域名．二级域名．顶级域名

例如mail.yctc.edu.cn，其中en是顶级域名，表示中国，edu是二级域名，表示教育机构。各个分量代表不同级别的域名，级别最低的域名写在最左边，级别最高的顶级域名写在最右边，完整的域名不超过255个字符，但域名并不代表计算机所在的物理地点，它只是一个逻辑概念，使用域名有助于记忆。

域名的划分是在顶级域名的基础上注册二级域名，二级域名下还可以注册三级域名等。现在的顶级域名有以下三大类。

①国家顶级域名。国家顶级域名采用ISO 3166的规定制定各个国家的顶级域名。如cn表示中国，us表示美国，jp表示日本等。

②国际顶级域名。采用int，国际性的组织可在int下注册。

③通用顶级域名。常见的通用顶级域名如com表示公司，net表示网络服务机构，org表示非营利性组织，edu表示教育机构（美国专用），gov表示政府部门（美国专用），mil表示军事部门（美国专用），aero表示航空运输企业等。

在国家顶级域名下注册的二级域名由该国家自行确定，我国将二级域名划分为类别域名和行政区域名两大类。其中，类别域名有六个：ac表示科研机构，com表示工、商、金融等企业，edu表示教育机构，gov表示政府部门，net表示互联网络、接入网络的网络信息中心和运行中心，org表示各种非营利性组织。“行政区域名”共有34个，适用于各省、自治区、直辖市。

一般一个单位可以申请注册一个三级域名，一旦拥有一个域名，单位可以自行决定是否需要进一步划分子域，并且不需要向上级报告子域的划分情况。

当用户通过域名访问Internet上的某个主机时，其实是访问其IP地址，那么系统会如何识别哪个域名对应哪个IP地址呢？这是因为这个域名到IP地址的转换是由域名服务器DNS完成的。通过建立DNS数据库，域名服务器记录主机名称与IP地址的对应关系，并为所有访问Internet的客户机提供域名解析服务。

域名服务

Internet中的域名地址与IP地址是等价的，它们之间是通过域名服务来完成映射变换的。实际上，DNS是一种分布式地址信息数据库系统，服务器中包含整个数据库的某部分信息，并供客户查询。DNS允许局部控制整个数据库的某些部分，但数据库的每一部分都可通过全网查询得到。

域名系统采用的是客户端／服务器模式，整个系统由解析器和域名服务器组成。解析器是客户方，它负责查询域名服务器、解释从服务器返回来的应答、将信息返回给请求方等工作。域名服务器是服务器方，它通常保存着一部分域名空间的全部信息，这部分域名空间称为区（zone）。一个域名服务器可以管理一个或多个区。域名服务器可以分为主服务器、Caching Only服务器和转发服务器（Forwarding Server）。

域名系统是一个分布式系统，其管理和控制也是分布式的。一个用户A在查找另一用户B时，域名系统的工作过程如下：

（1）解析器向本地域名服务器发出请求查阅用户B的域名。

（2）本地域名服务器向最高层域名服务器发出查询地址的请求。

（3）最高层域名服务器返回给本地域名服务器一个IP地址。

（4）本地域名服务器向组域名服务器发出查询地址的请求。

（5）组域名服务器返回给本地域名服务器一个IP地址。

（6）本地服务器向刚返回的域名服务器发出查询域名地址请求。

（7）IP地址返回给本地域名服务器。

（8）本地域名服务器将该地址返回给解析器。

因此，本地域名服务器为了得到一个IP地址常常需要查询多个域名服务器。于是，在查询地址的同时，本地域名服务器也就得到了许多其他域名服务器的信息，像它们的IP地址、所负责的区域等。本地域名服务器将这些信息连同最终查询到的主机IP地址全部存放在它的Cache中，以便将来参考。当下次解析器再查询与这些域名相关的信息时，就可以直接引用。这样就大大减少了查询时间。

因此，访问主机的时候只需要知道域名，通过DNS服务器将域名变换为IP地址。DNS所用的是UDP端口，端口号为53。

域名服务器

如何将域名空间（DNS）所包含的所有信息存储起来呢？如果只使用一台计算机存储如此大容量的信息，将会导致低效率和不安全。更好的做法是将域名空间信息分布在多台称为DNS服务器（DNS Server）的计算机中。一种方法是将整个空间划分为多个基于第一级的域，也就是说，让根节点（0级、顶级）保持不变，但创建许多与第一级节点同样多的子域（子树），同时允许将第一级域进一步划分成更小的子域，每一台DNS服务器对某一个域（不管大小）进行负责（由上级域授权）。换句话说，与建立名字的层次结构一样，也建立DNS服务器的层次结构。

完整的域名层次结构是被分布在多个DNS服务器上的。一个DNS服务器负责的范围，称为区域（Zone），可以将一个区域定义为整棵树中的一个连续部分。如果某个DNS服务器负责一个域，而且这个域并没有进一步划分更小的域，此时域和区域是相同的。DNS服务器有一个数据库，称为区域文件，它保存了这个域中所有节点的信息。然而，如果DNS服务器将它的域划分为多个子域，并将其部分授权委托给其他DNS服务器，那么域与区域就不同了。子域节点信息存放在子域DNS服务器中，上级域DNS服务器保存到子域DNS服务器的指针。当然，上级域DNS服务器并不是完全不负责任，它仍然对该域进行负责，只是将更详细的信息保存在子域DNS服务器上。

一台DNS服务器可以将它自己管辖的域划分为子域并将子域信息授权给其他子域DNS服务器负责，但是它自己也可以保存一部分子域的详细信息。在这种情况下，它的区域是由具有详细信息的那部分子域以及已经授权给其他子域服务器负责的那部分子域所组成的。

根服务器（Root Server）是指它的区域由整棵树组成的服务器。根服务器通常不保存关于域的任何详细信息，只是将其授权给其他服务器，但是根服务器保存到所有授权服务器的指针。

DNS定义了两种类型服务器：主服务器（Primary Server）和辅助服务器（Secondary Server）。主服务器是指存储了授权区域有关文件的服务器，负责创建、维护和更新区域文件，并将区域文件存储在本地磁盘中。辅助服务器既不创建也不更新区域文件，只是负责备份主服务器的区域文件。一旦主服务器出现故障，辅助服务器就可以接替主服务器负责这个授权区域的名字解析。

题号导航 2014年下半年网络管理员下午试卷案例

本试卷我的完整做题情况



	第2题在手机中做本题