【系统架构设计师】五、计算机网络(网络建设|传输介质|通信方式|交换方式|IP地址)_应当首先设计核心层,再根据必要的分析完成其他层次设计-CSDN博客

1.网络规划以需求为导向，兼顾技术和工程可行性。
2.网络设计包括逻辑设计和物理设计，逻辑设计指网络结构设计、网络技术选型、IP 地址和路由设计、网络冗余设计以及网络安全设计等；物理设计指布线设计、机房设计、设备选型等。网络冗余设计的目的就是避免网络组件单点失效造成应用失效；备用路径是在主路径失效时启用，其和主路径承担不同的网络负载；负载分担是网络冗余设计中的一种设计方式，其通过并行链路提供流量分担来提高性能；网络中存在备用链路时，可以考虑加入负载分担设计来减轻主路径负担。
3.网络实施包括工程实施计划、网络设备验收、设备安装和调试、系统试运行和切换、用户培训等。

二、分层设计

网络设计一般采用分层的方式，分为接入层、汇聚层、核心层。

1.接入层：直接面向用户连接或访问网络的部分，主要解决相邻用户之间的互访需求，并且为这些访问提供足够的带宽，接入层还应当适当负责一些用户管理功能（如地址认证、用户认证、计费管理等），以及用户信息收集工作（如用户的 IP 地址、MAC 地址、访问日志等）。
2.汇聚层：是核心层和接入层的分界面，完成网络访问策略控制、数据包处理、过滤、寻址，以及其他数据处理的任务。汇聚层的存在与否要视网络规模大小而定。
3.核心层：网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信化、可靠的骨干传输结构，因此，核心层交换机应拥有更高的可靠性、性能和吞吐量。核心层的设备采用双机冗余热备份是非常必要的，也可以使用负载均衡功能来改善网络性能。

三、传输介质

3.1 双绞线

将多根铜线按规则缠绕在一起，能够减少干扰;分为无屏蔽双绞线UTP和屏蔽双绞线STP，都是由一对铜线簇组成。也是我们常说的网线;双绞线的传输距离在100m以内。

无屏蔽双绞线UTP：价格低，安装简单，但可靠性相对较低，分为CAT3(3类UTP，速率为10Mbps)、CAT4(4类UTP，与3类差不多，无应用)、CAT5(5类UTP，速率为100Mbps，用于快速以太网)、CAT5E(超5类UTP，速率为1000Mbps)、CAT6(6类UTP，用来替代CAT5E，速率也是1000Mbps)

屏蔽双绞线STP：比之UTP增加了一层屏蔽层，可以有效的提高可靠性，但对应的价格高，安装麻烦，一般用于对传输可靠性要求很高的场合。

3.2 光纤

由纤芯和包层组成，传输的光信号在纤芯中传输，然而从PC端出来的信号都是电信号，要经过光纤传输的话，就必须将电信号转换为光信号。

多模光纤MMF：纤芯半径较大，因此可以同时传输多种不同的信号，光信号在光纤中以全反射的形式传输，采用发光二极管LED为光源，成本低，但是传输的效率和可靠性都较低，适合于短距离传输其传输距离与传输速率相关，速率为100Mbps时为2KM，速率为1000Mbps时为550m。
单模光纤SMF：纤芯半径很小，一般只能传输一种信号，采用激光二极管LD作为光源，并且只支持激光信号的传播，同样是以全反射形式传播，只不过反射角很大，看起来像一条直线，成本高，但是传输距离远，可靠性高，传输距离可达5KM。

四、通信方式

4.1 通信方向

数据通信是指发送方发送数据到接收方，这个传输过程可以分类如下：

单工：只能由设备A发给设备B，即数据流只能单向流动。
半双工：设备A和设备B可以互相通信，但是同一时刻数据流只能单向流动。
全双工：设备A和设备B在任意时刻都能互相通信。

通信方向就跟嵌入式总线逻辑数据传输的方向类似。

4.2 同步方式

异步传输：发送方每发送一个字符，需要约定一个起始位和停止位插入到字符的起始和结尾处这样当接收方接收到该字符时能够识别，但是这样会造成资源浪费，传输效率降低。
同步传输：以数据块为单位进行传输，当发送方要发送数据时，先发送一个同步帧，接收方收到后做好接收准备，开始接收数据块，结束后又会有结束帧确认，这样一次传输一个数据块，效率高。
串行传输：只有一根数据线，数据只能1bit挨个排队传送，适合低速设备、远距离的传送，一般用于广域网中。
并行传输：有多根数据线，可以同时传输多个bit数据，适合高速设备的传送，一般用于计算机内部各硬件模块之间。

五、交换方式

电路交换：通信一方进行呼叫，另一方接收后，在二者之间会建立一个专用电路，特点为面向连接、实时性高、链路利用率低，一般用于语音视频通信。
报文交换：以报文为单位，存储转发模式，接收到数据后先存储，进行差错校验，没有错误则转发，有错误则丢弃，因此会有延时，但可靠性高，是面向无连接的。
分组交换：以分组为单位，存储转发模式，因为分组的长度比报文小，所以时延小于报文交换，又可分为三种方式:
- 数据报：是现在主流的交换方式，各个分组携带地址信息，自由的选择不同的路由路径传送到接收方，接收方接收到分组后再根据地址信息重新组装成原数据，是面向无连接的，但是不可靠的。
- 虚电路：发送方发送一个分组，接收方收到后二者之间就建立了一个虚拟的通信线路，二者之间的分组数据交互都通过这条线路传送，在空闲的时候这条线路也可以传输其他数据，是面向连接的，可靠的。
- 信元交换：异步传输模式ATM采用的交换方式，本质是按照虚电路方式进行转发，只不过信元是固定长度的分组，共53B，其中5B为头部，48B为数据域，也是面向连接的，可靠的。

六、IP地址

6.1 地址转换

机器中存放的IP地址是32位的二进制代码，每隔8位插入一个空格，可提高可读性，为了便于理解和设置，一般会采用点分十进制方法来表示->将32位二进制代码每8位二进制转换成十进制，就变成了4个十进制数，而后在每个十进制数间隔中插入 “:” 如180.171.139.110:

因为每个十进制数都是由8个二进制数转换而来，因此每个十进制数的取值范围为0-255(掌握二进制转十进制的快速计算方法，牢记2的幂指数值，实现快速转换)。

180.171.139.110 转 2 进制(除2取余法)：

180/2 = 90  余  0
90/2 = 45   余  0
45/2 = 22   余  1
22/2 = 11   余  0
11/2 = 5    余  1
5/2 = 2     余  1
2/2 = 1     余  0
1/2 = 0     余  1

从下往上加，得到结果：【10110100】

180 = 10110100
171 = 10101011
139 = 10001011
110 = 01101110

二进制转十进制：

1.从二进制数的右边第一位起，从右往左，先用二进制位置上的数乘以2的相应位数的幂。

2.然后把每一位的乘积相加即可得到二进制数对应的十进制数。

10110100 = 2^7 + 2^5 + 2^4 + 2^2 = 180；
10101011 = 2^7 + 2^5 + 2^3 + 2^1 + 2^0 = 171
10001011 = 2^7 + 2^3 + 2^1 + 2^0 = 139
01101110 = 2^6 + 2^5 + 2^3 + 2^2 + 2^1 = 110

6.2 IP地址分类

按照规则编址

IP地址分四段，每段八位，共32位二进制数组成在逻辑上，这32位IP地址分为网络号和主机号，依据网络号位数的不同，可以将IP地址分为以下几类:

无分类编址:即不按照A、B、C类规则，自动规定网络号，无分类编址格式为:IP地址/网络号。示例：128.168.0.11/20表示的IP地址为128.168.0.11，其网络号占20位，因此主机号占32-20=12位，也可以划分子网。
特殊IP地址
- 公有地址：通过它直接访问因特网，是全网唯一的IP地址。
- 私有地址：属于非注册地址，专门为组织机构内部使用，不能直接访问因特网，下表所示为私有地址范围：

其他特殊地址

6.3 子网划分

一般公司在申请网络时，会直接获得一个范围很大的网络，如-个B类地址，因为主机数之间相差的太大了，不利于分配，我们一般采用子网划分的方法来划分网络，即自定义网络号位数，就能自定义主机号位数，就能根据主机个数来划分出最适合的方案，不会造成资源的浪费。

因此就有子网的概念，一般的IP地址按标准划分为A、B、C类后，可以进行再-步的划分，将主机号拿出几位作为子网号，就可以划分出多个子网，此时IP地址组成为：网络号+子网号+主机号。

网络号和子网号都为1，主机号都为0，这样的地址为子网掩码

要注意的是:子网号可以为全0和全1，主机号不能为全0或全1，因此，主机数需要-2，而子网数不用。

还可以聚合网络为超网，就是划分子网的逆过程，将网络号取出几位作为主机号，此时，这个网络内的主机数量就变多了，成为一个更大的网络。

6.4 IPv6

主要是为了解决IPv4地址数不够用的情况而提出的设计方案，IPv6具有以下特性:

IPv6地址长度为128位，地址空间增大了2~96倍;
灵活的IP报文头部格式，使用一系列固定格式的扩展头部取代了IPv4中可变长度的选项字段。IPv6中选项部分的出现方式也有所变化，使路由器可以简单撸过选项而不做任何处理，加快了报文处理速度;
IPv6简化了报文头部格式，加快报文转发，提高了吞吐量;
提高安全性，身份认证和隐私权是IPv6的关键特性，
支持更多的服务类型;
允许协议继续演变，增加新的功能，使之适应未来技术的发展

IPv4和IPv6的过渡期间，主要采用三种基本技术:

双协议栈：主机同时运行IPv4和IPv6两套协议栈，同时支持两套协议，一般来说IPv4和IPv6地址之间存在某种转换关系，如IPv6的低32位可以直接转换为IPv4地址，实现互相通信。
隧道技术：这种机制用来在IPv4网络之上建立一条能够传输IPv6数据报的隧道，例如可以将IPv6数据报当做IPv4数据报的数据部分加以封装，只需要加一个IPv4的首部，就能在IPv4网络中传输IPv6报文。
翻译技术：利用一台专门的翻译设备(如转换网关)，在纯IPv4和纯IPv6网络之间转换IP报头的地址，同时根据协议不同对分组做相应的语义翻译，从而使纯IPv4和纯IPv6站点之间能够透明通信。

七、网络存储技术

1.直接附加存储（DAS）：是指将存储设备通过SCSI接口直接连接到一台服务器上使用，其本身是硬件的堆叠，存储操作依赖于服务器，不带有任何存储操作系统。

存在问题：在传递距离、连接数量、传输速率等方面都受到限制。容量难以扩展升级;数据处理和传输能力降低;服务器异常会波及存储器。

2.网络附加存储（NAS）：通过网络接口与网络直接相连，由用户通过网络访问，有独立的存储系统。NAS存储设备类似于一个专用的文件服务器，去掉了通用服务器大多数计算功能，而仅仅提供文件系统功能。以数据为中心，将存储设备与服务器分离，其存储设备在功能上完全独立于网络中的主服务器。客户机与存储设备之间的数据访问不再需要文件服务器的干预，同时它允许客户机与存储设备之间进行直接的数据访问，所以不仅响应速度快，而且数据传输速率也很高。

NAS的性能特点：进行小文件级的共享存取;支持即插即用;可以很经济的解决存储容量不足的问题，但难以获得满意的性能。

3.存储区域网（SAN）：SAN是通过专用交换机将磁盘阵列与服务器连接起来的高速专用子网。它没有采用文件共享存取方式，而是采用块(block)级别存储。SAN是通过专用高速网将一个或多个网络存储设备和服务器连接起来的专用存储系统，其最大特点是将存储设备从传统的以太网中分离了出来，成为独立的存储区域网络SAN 的系统结构。根据数据传输过程采用的协议，其技术划分为FCSAN(光纤通道)、IP SAN(IP网络)和IB SAN(无线带宽)技术。

八、其他概念

网络地址翻译NAT：公司内有很多电脑，在公司局域网内可以互联通信，但是要访问外部因特网时，只提供固定的少量IP地址能够访问因特网，将公司所有电脑这个大的地址集合映射到能够访问因特网的少量IP地址集合的过程就称为NAT。很明显，使用了NAT后，一个公司只有少量固定IP地址可以上网，大大减少了IP地址的使用量。

默认网关：一台主机可以有多个网关。默认网关的意思是一台主机如果找不到可用的网关，就把数据包发给默认指定的网关，由这个网关来处理数据包。现在主机使用的网关，一般指的是默认网关。默认网关的IP地址必须与本机IP地址在同一个网段内，即同网络号。

虚拟局域网VLAN：是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样。

VLAN工作在0SI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。
与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。

虚拟专用网VPN：是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式》、Frame Relay (帧中继)等之上的逻辑网络，用户数据在逻辑链路中传输。

冲突域和广播域：路由器可以阳断广播域和冲突域，交换机只能阻断冲突域，因此一个路由器下可以划分多个广播域和多个冲突域;一个交换机下整体是一个广播域，但可以划分多个冲突域;而物理层设备集线器下整体作为一个冲突域和一个广播域。

PPP（Point-to-Point Protocol）：安全认证协议主要用于在建立网络连接时验证用户的身份，确保只有经过授权的用户可以访问网络资源。

安全认证介绍
- PPP的NCP（Network Control Protocol）可以承载多种协议的三层数据包，提供灵活的网络通信支持。
- PPP使用LCP（Link Control Protocol）控制多种链路的参数，包括建立、认证、压缩、回拨等，确保链路的稳定性和安全性。
PPP的认证类型
- PAP（Password Authentication Protocol，口令认证协议），两次握手认证协议，口令以明文传送，被认证方首先发起认证请求，发送用户名和密码进行匹配。安全性相对较低，因为密码在传输过程中不加密。
- CHAP（Challenge Handshake Authentication Protocol，质询握手认证协议），三次握手认证协议，不直接发送口令，而是采用MD5加密方式。安全性较高，因为密码在传输过程中不直接暴露。
- 双向验证和加固验证：
  - 双向验证通常采用CHAP的主验证风格，即双方都需要进行身份验证。
  - 加固验证则是同时使用PAP和CHAP两种验证方式，提供更高的安全性。

历年真题练习

9.1 下列说法中正确的是():
- A.半双工总线只在一个方向上传输信息,全双工总线可在两个方向上轮流传输信息
- B.半双工总线只在一个方向上传输信息，全双工总线可在两个方向上同时传输信息
- C.半双工总线可在两个方向上轮流传输信息，全双工总线可在两个方向上同时传输信息
- D.半双工总线可在两个方向上同时传输信息，全双工总线可在两个方向上轮流传输信息
9.2 下面可提供安全电子邮件服务的是()。
- A.RSA
- B.SSL
- C.SET
- D.S/MIME
9.3 在IPv6无状态自动配置过程中，主机将其()附加在地址前缀1111 1110 10之后，产生一个链路本地地址
- A.IPv4地址
- B.MAC地址
- C.主机名
- D.随机产生的字符串
9.4 以下关于层次化网络设计原则的叙述中，错误的是：
- A.一般将网络划分为核心层、汇聚层、接入层三个层次
- B.应当首先设计核心层，再根据必要的分析完成其他层次设计
- C.为了保证网络的层次性，不能在设计中随意加入额外连接
- D.除去接入层，其他层次应尽量采用模块化方式，模块间边界应非常清晰
9.5 一个B类网络的子网掩码为255.255.224.0，则这个网络被划分成了()个子网。