计算机网络笔记

2chen_

于 2024-08-23 20:51:13 发布

阅读量995

点赞数 14

文章标签：计算机网络笔记网络

本文链接：https://blog.csdn.net/chen030209/article/details/140962580

版权

第 1 章概述

1.1 计算机网络在信息时代中的作用

1.2 互联网概述

1.2.1 网络的网络

计算机网络 (简称为网络) 由若干节点和连接这些节点的链路组成。网络中的节点可以是计算机、集线器、交换机或路由器等。

下图(a)给出了一个具有四个节点和三条链路的网络。我们看到，有三台计算机通过三条链路连接到一个集线器上。这是一个非常简单的计算机网络 (可简称为网络)。

又如，在图(b)中，有多个网络通过一些路由器相互连接起来，构成了一个覆盖范围更大的计算机网络。这样的网络称为互连网。因此互连网是“网络的网络”。

网络把许多计算机连接在一起，而互连网则把许多网络通过一些路由器连接在一起。与网络相连的计算机常称为主机。

1.2.2 互联网基础结构发展的三个阶段

1.2.3 互联网的标准化工作

1.3 互联网的组成

互联网的拓扑结构虽然非常复杂，但从其工作方式上看，可以划分为以下两大块：

(1) 边缘部分 由所有连接在互联网上的主机组成。这部分是用户直接使用的，用来进行通信 (传送数据、音频或视频) 和资源共享。

(2) 核心部分 由大量网络和连接这些网络的路由器组成。这部分是为边缘部分提供服务的 (提供连通性和交换)。

1.3.1 互联网的边缘部分

1.3.2 互联网的核心部分

1.4 计算机网络在我国的发展

1.5 计算机网络的类别

1.5.1 计算机网络的定义

计算机网络主要是由一些通用的、可编程的硬件互连而成的，而这些硬件并非专门用来实现某一特定目的 (例如，传送数据或视频信号)。这些可编程的硬件能够用来传送多种不同类型的数据，并能支持广泛的和日益增长的应用。

根据这个定义：

(1) 计算机网络所连接的硬件，并不限于一般的计算机，而是包括了智能手机或智能电视机；

(2) 计算机网络并非专门用来传送数据，而是能够支持很多种应用 (包括今后可能出现的各种应用)。当然，没有数据的传送，这些应用是无法实现的。

请注意，上述的“可编程的硬件”表明这种硬件一定包含有中央处理器 CPU。

1.5.2 几种不同类别的计算机网络

按照网络的作用范围进行分类

(1) 广域网WAN 广域网的作用范围通常为几十到几千公里，因而有时也称为远程网。广域网是互联网的核心部分，其任务是长距离 (例如，跨越不同的国家) 运送主机所发送的数据。连接广域网各节点交换机的链路一般都是高速链路，具有较大的通信容量。

(2) 城域网MAN 城域网的作用范围一般是一个城市，可跨越几个街区甚至整个城市，其作用距离约为 5~50 km。城域网可以为一个或几个单位所拥有，也可以是一种公用设施，用来将多个局域网进行互连。目前很多城域网采用的是以太网技术，因此有时也常并入局域网的范围进行讨论。

(3) 局域网LAN 局域网一般用微型计算机或工作站通过高速通信线路相连，但地理上则局限在较小的范围。在局域网发展的初期，一个学校或工厂往往只拥有一个局域网，但现在局域网已非常广泛地使用，学校或企业大都拥有许多个互连的局域网 (这样的网络常称为校园网或企业网)。

(4) 个人区域网PAN 个人区域网就是在个人工作的地方把属于个人使用的电子设备 (如便携式电脑等) 用无线技术连接起来的网络，因此也常称为无线个人区域网 WPAN。

顺便指出，若中央处理机之间的距离非常近 (如仅 1 米的数量级或更小些)，则一般就称之为多处理机系统而不称它为计算机网络。

按照网络的使用者进行分类

(1) 公用网 这是指电信公司 (国有或私有) 出资建造的大型网络。 “公用”的意思就是所有愿意按电信公司的规定交纳费用的人都可以使用这种网络。因此公用网也可称为公众网。

(2) 专用网 这是某个部门为满足本单位的特殊业务工作的需要而建造的网络。这种网络不向本单位以外的人提供服务。例如，军队、铁路、银行、电力等系统均有本系统的专用网。

用来把用户接入到互联网的网络

这种网络就是接入网AN，它又称为本地接入网或居民接入网。

这是一类比较特殊的计算机网络。我们在前面的 1.2.2 节已经介绍了用户必须通过本地 ISP 才能接入到互联网。本地 ISP 可以使用多种接入网技术把用户的端系统连接到互联网。接入网实际上就是本地 ISP 所拥有的网络，它既不是互联网的核心部分，也不是互联网的边缘部分。接入网由某个端系统连接到本地 ISP 的第一个路由器 (也称为边缘路由器) 之间的一些物理链路所组成。从覆盖的范围看，其长度在几百米到几公里之间。很多接入网还是属于局域网。从作用上看，接入网只是起到让用户能够与互联网连接的“桥梁”作用。

1.6 计算机网络的性能

1.7 计算机网络体系结构

第 2 章物理层

2.1 物理层的基本概念

首先要强调指出，物理层考虑的是怎样才能在连接各种计算机的传输媒体上传输数据比特流，而不是指具体的传输媒体。大家知道，现有的计算机网络中的硬件设备和传输媒体的种类非常繁多，而通信手段也有许多不同方式。物理层的作用正是要尽可能地屏蔽掉这些传输媒体和通信手段的差异，使物理层上面的数据链路层感觉不到这些差异，这样就可使数据链路层只需要考虑如何完成本层的协议和服务，而不必考虑网络具体的传输媒体和通信手段是什么。用于物理层的协议也常称为物理层规程。

可以将物理层的主要任务描述为确定与传输媒体的接口有关的一些特性，即：

(1)机械特性 指明接口所用接线器的形状和尺寸、引脚数目和排列、固定和锁定装置等。

(2)电气特性 指明在接口电缆的各条线上出现的电压的范围。

(3)功能特性 指明某条线上出现的某一电平的电压的意义。

(4)过程特性 指明对于不同功能的各种可能事件的出现顺序。

大家知道，数据在计算机内部多采用并行传输方式。但数据在通信线路 (传输媒体) 上的传输方式一般都是串行传输，即逐个比特按照时间顺序传输。因此物理层还要完成传输方式的转换。

具体的物理层协议种类较多。这是因为物理连接的方式很多 (例如，可以是点对点的，也可以采用多点连接或广播连接)，而传输媒体的种类也非常之多 (如架空明线、双绞线、对称电缆、同轴电缆、光缆，以及各种波段的无线信道等)。

2.2 数据通信的基础知识

2.2.1 数据通信系统的模型

如下图所示，一个数据通信系统可划分为三大部分，即源系统（或发送端、发送方）、传输系统（或传输网络）和目的系统（或接收端、接收方）。

源系统一般包括以下两个部分：

源点源点设备产生要传输的数据，例如，从计算机的键盘输入汉字，计算机产生输出的数字比特流。源点又称为源站或信源。

发送器 通常源点生成的数字比特流要通过发送器编码后才能够在传输系统中进行传输。典型的发送器就是调制器。现在很多计算机使用内置的调制解调器（包含调制器和解调器）。

目的系统一般也包括以下两个部分：

接收器 接收传输系统传送过来的信号，并把它转换为能够被目的设备处理的信息。典型的接收器就是解调器，它把来自传输线路上的模拟信号进行解调，提取出在发送端置入的消息，还原出发送端产生的数字比特流。

终点终点设备从接收器获取传送来的数字比特流，然后把信息输出（例如，把汉字在计算机屏幕上显示出来）。终点又称为目的站或信宿。

在源系统和目的系统之间的传输系统可以是简单的传输线，也可以是连接在源系统和目的系统之间的复杂网络系统。

下面我们先介绍一些常用术语。

通信的目的是传送消息。话音、文字、图像、视频等都是消息。

数据是运送消息的实体。根据 RFC 4949 给出的定义，数据是使用特定方式表示的信息，通常是有意义的符号序列。这种信息的表示可用计算机或其他机器 (或人) 处理或产生。

信号则是数据的电气或电磁的表现。

根据信号中代表消息的参数的取值方式不同，信号可分为以下两大类：

(1) 模拟信号，或连续信号——代表消息的参数的取值是连续的。例如在上图中，用户家中的调制解调器到电话端局之间的用户线上传送的就是模拟信号。

(2) 数字信号，或离散信号——代表消息的参数的取值是离散的。例如在上图中，用户家中的计算机到调制解调器之间或在电话网中继线上传送的就是数字信号。在使用时间域(或简称为时域)的波形表示数字信号时，代表不同离散数值的基本波形就称为码元。在使用二进制编码时，只有两种不同的码元，一种代表 0 状态而另一种代表 1 状态。

2.2.2 有关信道的几个基本概念

2.2.3 信道的极限容量

2.3 物理层下面的传输媒体

2.4 信道复用技术

2.5 数字传输系统

2.6 宽带接入技术

第 3 章数据链路层

3.1 数据链路层的几个共同问题

3.2 点对点协议PPP

3.3 使用广播信道的数据链路层

3.4 扩展的以太网

3.5 高速以太网

第 4 章网络层

4.1 网络层的几个重要概念

4.1.1 网络层提供的两种服务

在计算机网络领域，网络层应该向运输层提供怎样的服务（“面向连接”还是“无连接”）曾引起了长期的争论。争论焦点的实质就是：在计算机通信中，可靠交付应当由谁来负责？是网络还是端系统？

有些人认为应当借助于电信网的成功经验，让网络负责可靠交付。大家知道，传统电信网的主要业务是提供电话服务。电信网使用昂贵的程控交换机（其软件也非常复杂），用面向连接的通信方式，使电信网络能够向用户（实际上就是电话机）提供可靠传输的服务。因此他们认为，计算机网络也应模仿打电话所使用的面向连接的通信方式。当两台计算机进行通信时，也应当先建立连接（但在分组交换中是建立一条虚电路 VC），以预留双方通信所需的一切网络资源。然后双方就沿着己建立的虚电路发送分组。这样的分组的首部不需要填写完整的目的主机地址，而只需要填写这条虚电路的编号（一个不大的整数），因而减少了分组的开销。这种通信方式如果再使用可靠传输的网络协议，就可使所发送的分组无差错按序到达终点，当然也不丢失、不重复。在通信结束后要释放建立的虚电路。下图（a）是网络提供虚电路服务的示意图。主机 $H_1$ 和 $H_2$ 之间交换的分组都必须在事先建立的虚电路上传送。

但互联网的先驱者却提出一种崭新的网络设计思路。他们认为，电信网提供的端到端可靠传输的服务对传统的电话业务无疑是很合适的，因为那时电信网的终端（电话机）非常简单，没有智能，更没有差错处理能力。因此电信网必须负责把用户电话机话筒产生的话音信号可靠地传送到对方的电话机，使其耳机发出的声音符合话音质量的技术规范要求。但计算机网络的端系统是有智能的计算机。计算机有很强的差错处理能力（这点和传统的电话机有本质上的差别）。因此，互联网在设计上就采用了和电信网完全不同的思路。

互联网采用的设计思路是这样的：网络层要设计得尽量简单，向其上层只提供简单灵活的、无连接的、尽最大努力交付的数据报服务。这里的“数据报”是互联网的设计者最初使用的名词，其实数据报（或 IP 数据报）就是我们经常使用的“分组”。在本书中，IP 数据报和 IP 分组是同义词，可以混用。

网络在发送分组时不需要先建立连接。每一个分组（也就是 IP 数据报）独立发送，与其前后的分组无关（不进行编号）。网络层不提供服务质量的承诺。也就是说，所传送的分组可能出错、丢失、重复和失序（即不按序到达终点），当然也不保证分组交付的时限。由于传输网络不提供端到端的可靠传输服务，这就使网络中的路由器比较简单，且价格低廉（与电信网的交换机相比较）。如果主机（即端系统）进程之间需要进行可靠的通信，那么就由主机中的运输层负责（包括差错处理、流量控制等）。采用这种设计思路的好处是：网络造价大大降低，运行方式灵活，能够适应多种应用。互联网能够发展到今日的规模，充分证明了当初采用这种设计思路的正确性。

图（b）给出了网络提供数据报服务的示意图。主机 $H_1$ 向 $H_2$ 发送的分组各自独立地查找路由器中的转发表，逐跳传送到目的主机。在分组传送的过程中有丢失的可能。

下表归纳了虚电路服务与数据报服务的主要区别。

4.1.2 网络层的两个层面

4.2 网际协议IP

4.3 IP层转发分组的过程

4.4 网际控制报文协议ICMP

4.5 IPv6

4.6 互联网的路由选择协议

4.7 IP多播

4.8 虚拟专用网VPN和网络地址转换NAT

4.9 多协议标签交换MPLS

4.10 软件定义网络SDN简介

第 5 章运输层

5.1 运输层协议概述

5.2 用户数据报协议UDP

5.3 传输控制协议TCP概述

5.4 可靠传输的工作原理

5.5 TCP报文段的首部格式

5.6 TCP 可靠传输的实现

5.7 TCP 的流量控制

5.8 TCP 的拥塞控制

5.9 TCP 的运输连接管理

第 6 章应用层

6.1 域名系统 DNS

6.2 文件传送协议

6.3 远程终端协议 TELNET

6.4 万维网 WWW

6.5 电子邮件

6.6 动态主机配置协议 DHCP

6.7 简单网络管理协议 SNMP

6.8 应用进程跨越网络的通信

6.9 P2P 应用

第 7 章网络安全

7.1 网络安全问题概述

7.1.1 计算机网络面临的安全性威胁

被动攻击是指攻击者从网络上窃听他人的通信内容。通常把这类攻击称为截获。

在被动攻击中，攻击者只是观察和分析某一个协议数据单元 PDU (这里使用 PDU 这一名词是考虑到所涉及的可能是不同的层次) 而不干扰信息流。即使这些数据对攻击者来说是不易理解的，他也可通过观察 PDU 的协议控制信息部分，了解正在通信的协议实体的地址和身份，研究 PDU 的长度和传输的频度，从而了解所交换的数据的某种性质。这种被动攻击又称为流量分析。

主动攻击有如下几种最常见的方式。

(1) 篡改攻击者故意篡改网络上传送的报文。这里也包括彻底中断传送的报文，甚至是把完全伪造的报文传送给接收方。这种攻击方式有时也称为更改报文流。

(2) 恶意程序 恶意程序种类繁多，对网络安全威胁较大的主要有以下几种：

计算机病毒，一种会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或自己的变种复制进去而完成的。

计算机蠕虫，一种通过网络的通信功能将自身从一个节点发送到另一个节点并自动启动运行的程序。

特洛伊木马，一种程序，它执行的功能并非所声称的功能而是某种恶意功能。如一个编译程序除了执行编译任务以外，还把用户的源程序偷偷地复制下来，那么这种编译程序就是一种特洛伊木马。

逻辑炸弹，一种当运行环境满足某种特定条件时执行其他特殊功能的程序。如一个编辑程序，平时运行得很好，但当系统时间为 13 日又为星期五时，它会删去系统中所有的文件，这种程序就是一种逻辑炸弹。

后门入侵，是指利用系统实现中的漏洞通过网络入侵系统。就像一个盗贼在夜晚试图闯入民宅，如果某家住户的房门有缺陷，盗贼就能乘虚而入。

流氓软件，一种未经用户允许就在用户计算机上安装运行并损害用户利益的软件，其典型特征是：强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑等。现在流氓软件的泛滥程度己超过了各种计算机病毒，成为互联网上最大的公害。

上面所说的计算机病毒是狭义的，也有人把所有的恶意程序泛指为计算机病毒。例如 1988 年 10 月 “Morris 病毒”入侵美国互联网，舆论说该事件是“计算机病毒入侵美国计算机网”，而计算机安全专家却称之为“互联网蠕虫事件”。

(3) 拒绝服务 DoS 指攻击者向互联网上的某个服务器不停地发送大量分组，使该服务器无法提供正常服务，甚至完全瘫痪。2000 年 2 月 7 日至 9 日美国几个著名网站遭黑客，袭击，使这些网站的服务器一直处于“忙”的状态，因而无法向发出请求的客户提供服务。这种攻击被称为拒绝服务。

若从互联网上的成百上千个网站集中攻击一个网站，则称为分布式拒绝服务 DDoS。有时也把这种攻击称为网络带宽攻击或连通性攻击。

7.1.2 安全的计算机网络

目前在安全协议的设计方面，主要是针对具体的攻击设计安全的通信协议。但如何保证所设计出的协议是安全的？这可以使用两种方法。

一种是用形式化方法来证明，另一种是用经验来分析协议的安全性。

形式化证明的方法是人们所希望的，但一般意义上的协议安全性也是不可判定的，只能针对某种特定类型的攻击来讨论其安全性。对于复杂的通信协议的安全性，形式化证明比较困难，所以主要采用人工分析的方法来找漏洞。对于简单的协议，可通过限制入侵者的操作（即假定入侵者不会进行某种攻击）来对一些特定情况进行形式化的证明。

一个安全的计算机网络应设法达到以下四个目标：

1. 机密性

机密性（或私密性）就是只有信息的发送方和接收方才能懂得所发送信息的内容，而信息的截获者则看不懂所截获的信息。显然，机密性是网络安全通信最基本的要求，也是对付被动攻击所必须具备的功能。通常可简称为保密。为了使网络具有机密性，需要使用各种密码技术。

2. 端点鉴别

安全的计算机网络必须能够鉴别信息的发送方和接收方的真实身份。网络通信和面对面的通信差别很大。现在频繁发生的网络诈骗，在许多情况下，就是由于在网络上不能鉴别出对方的真实身份。当我们收到一封电子邮件时，发信人也可能并不是邮件上所署名的那个人。当我们进行网上购物时，卖家也有可能是犯罪分子假冒的商家。端点鉴别在对付主动攻击时是非常重要的。

3.信息的完整性

即使能够确认发送方的身份是真实的，并且所发送的信息都是经过加密的，我们依然不能认为网络是安全的。还必须确认所收到的信息都是完整的，也就是信息的内容没有被人篡改过。信息的完整性和机密性是两个不同的概念。例如，商家向公众发布的商品广告当然不需要保密，但如果广告在网络上传送时被人恶意删除或添加了一些内容，那么就可能对商家造成很大的损失。

实际上，信息的完整性与端点鉴别往往是不可分割的。假定你准确知道报文发送方的身份没有错 (即通过了端点鉴别)，但收到的报文却己被人篡改过 (即信息不完整)，那么这样的报文显然是没有用处的。因此，在谈到“鉴别”时，有时是同时包含了端点鉴别和报文的完整性。也就是说，既鉴别发送方的身份，又鉴别报文的完整性。

4. 运行的安全性

现在的机构与计算机网络的关系越密切，就越要重视计算机网络运行的安全性。上一节介绍的恶意程序和拒绝服务的攻击，即使没有窃取到任何有用的信息，也能够使受到攻击的计算机网络不能正常运行，甚至完全瘫痪。因此，确保计算机系统运行的安全性，也是非常重要的工作。

访问控制对计算机系统的安全性非常重要。必须对访问网络的权限加以控制，并规定每个用户的访问权限。由于网络是个非常复杂的系统，其访问控制机制比操作系统的访问控制机制更复杂。