计算机网络

• 计算机网络概述

• 计算机网络的概念
• 定义：将地理位置不同的具有独立功能的多台计算机及外部设备，通过通信线路连接起来，在网络操作系统，网络管理软件及网络通信协议的管理和协调下，实现资源共享和信息传递的计算机系统。
• 组成：

终端系统/资源子网——提供共享的软件资源和硬件资源；

通信子网——提供信息交换的网络结点和通信线路；

类型：

拓扑分类：星型、总线型、树形、环形、网状

范围分类：局域网lan，城域网man,广域网wan，补充：个人区域网pan：蓝牙耳机等，互联网internet;

传输方式分类：有线网络：IEEE802.3,IEEE802.11，无线网络：无线局域网，无线个域网

• 计算机网络体系结构
• 传输方式：

按方向传输：

单工：只能单方向传输，

双工：在同一时间，路线上只允许一个方向的数据通过，

全双工：双方同时进行数据通信；

按传输对象：

单播：1：1；

多播：1对多；

广播：1对所有；

数据交换

电路交换:整个报文从源头到终点连续传输；一条路我全用

报文交换：整个保温先传送到相邻结点，全部存储下来后查找转发表，再转发给下一个结点。

分组交换：将一个报文分成多个分组，传送到相邻结点，再查找转发表，再转发给下一个结点。

通信协议和体系结构

网络协议三要素：语法、语义、时序

OSI参考模型：7层协议

物理层：单位bit，利用传输介质为通信的网络结点之间的建立

数据链路层：单位帧，再物理层的基础上，提供结点到结点之间的服务，采取差错控制和流量控制的方法，实现网络互联；

网络层：单位分组，在数据链路层的基础上，提供点到点之间的通信，提供路由功能，实现拥塞控制、网络互联等功能。

传输层:提供端到端之间的数据传输服务，实现对数据进行控制和操作的功能；

会话层：负责维护通信中两个节点之间的会话建立维护和断开，及数据交换；

表示层：用于处理交互数据的表示 方式，例如；格式转换，数据的加密和解密，数据压缩和恢复等功能。

应用层：使用应用程序通过网络服务。

TCP/IP参考模型

网络接口层：物理层和数据链路层；

网际层：网络层

传输层：

应用层：会话层/表示层/应用层；

• 物理层

• 物理层的基本概念
• 四大特性

机械特性：接口是怎么样的

电气特性：用多少伏的电

功能特性：线路上电平电压的特性

过程特性：实现不同功能所发射信号的顺序

两种信号

模拟信号:特定频段的信号——有更加丰富的表现形式

数字信号；不是1就是0

调制和编码

调制：模拟信号转换；

编码：数字信号转换，编码的步骤：采样/量化/编码

区别：数据可以通过编码手段转换成数字信号，也可通过调制手段将数据转为模拟信号；

数字数据可以通过数字发送器转化为数字信号（编码）也可通过调制器转化为模拟信号。

模拟信号可以通过PCM编码器转化为数字信号(编码），也可通过放大调制器转化为模拟信号（调制）

传输介质

双绞线:屏蔽双绞线STP_抗干扰强，贵一些；

非屏蔽双绞线UTP——抗干扰弱，便宜一些；

制作标准：568B：橙白，橙，绿白，蓝，蓝白，绿，棕白，棕——8

      568A：13/26调换  绿白，绿，橙白，蓝，蓝白，橙，棕白，棕——8

光纤：单模光纤：中心纤芯很细，只能传输一种光，适用于远程通信，谱宽要窄，稳定性高，距离：100km;

     多模光纤：芯较粗，可传多种模式的光，模间色散较大，限制传输数字信号的频率，随着距离的增加会更加严重。

同轴电缆（淘汰掉了，当年座机），

无线：无线信号频率IEEE802.11

三大部分

源系统：发送数据的一端

传输系统：传输过程中的各种传输介质

目的系统；接受数据的电脑；

• 物理层的基本通信技术
• 四种信道复用技术

复用技术：一种在传输路径上综合多路信道，然后恢复原机制或解除终端各信道复用技术的过程。

将很多不同的信号在同一信道上进行传输，复用技术主要用于解决不同信号传输时应该如何区分。

频分复用FDM：利用不同的频率来并行传输信号；

时分复用TDM；划分不同的时间来传输信号

波分复用WDM：根据光波的波长进行传输（合波器耦合）

码分复用CDM：在同一时间同一频率根据传输的数据码进行区分

数据的传输方式

通过同时间传输数量分为：串行传输，并行传输

通过数据报文的双方行为分为：同步传输（同步需要接收方和发送方，同时做好准备），异步传输（发送接收方不同一时间）

通过传输的信号分为：基带传输：传输数字信号，频带传输：模拟信号300-3400HZ;

传输方向——单工/全双工/半双工

传输对象：单播/组播/广播

• 数据链路层

• 数据链路层基础概念
• 数据链路层概念：数据链路层是在物理层和网络层之间的协议，提供相邻节点的可靠数据传输；
• 帧的概念：数据链路层的协议数据单元

帧组成：帧头：源MAC地址，目的MAC地址，类型——MAC地址——48位/数据/帧尾——校验

以太网数据帧中的MAC/LLC 用于IEEE802.3，

MAC介质访问控制（下层），作用：数据帧的封装/卸装，帧的寻址和识别，接手和发送，链路管理，差错控制等。MAC子层的存在屏蔽了不同物理链路终类的差异性；

LLC逻辑控制访问（上层）：作用LLC子层的主要功能为传输可靠性保障和控制，数据包的分段与重组，数据包的顺序传输；

数据链路层的两种传输方式

单播和广播

数据链路层的三个基本问题

封装成帧/透明传输/差错检测

局域网中的设备

集线器：HUB，中心的意思，对接收到的信号进行再生整形放大，以扩大网络传输距离，同时把所有节点集中在以它为中心的节点上；——物理层

交换机：switch开关，一种用于电信号转发的网络设备，可以为接入交换机的任意两个网络节点提供共享的电信号通路。最常见的交换机+以太网交换机——数据链路层

网桥：两个端口的交换机——之间

• 数据链路层的通信协议
• 冲突域和广播域

冲突域：交换机的每个端口都是一个冲突域，只能发生在一个网段

广播域:交换机的所有端口都在一个广播域；广播域在一个或多个网段内发生。

区别：广播域可以跨网段，冲突域是基于第一层（物理层），广播域基于第二层（数据链路层），hub所有端口都在同一个广播域内，冲突与内，switch所有端口都在同一个广播域内，二每个端口就是一个冲突域。同一冲突域共享带宽。

虚拟局域网(实验）VLAN——

是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而Vlan间不能直接通信，从而将广播报文限制在一个vlan内；

优点；划分广播域——减少垃圾数据；增强局域网的安全性；提高健壮性；灵活构建工作组；

划分vlan的方式:

基于端口的：access:只允许通过一个VLAN，允许多个VLAN，hybird;

基于子网的

基于mac地址的

基于协议

基于匹配策略

CSMA/CD

即载波侦听多路访问/冲突检测，是广播型信道中采用一种随机访问技术的竞争方问方法，具有多目标地址的特点，总线型网络传输数据

四大要点：先听再发，边听边发，冲突停止，延迟后发；

PPP

点对点通信是一对一信道，因此不会发送碰撞，比较简单，采用PPP协议，其中PPP协议就是用户计算机和ISP（互联网服务提供商）进行通信时使用的数据链路层协议

PPP最初设计为两个对等节点之间的IP流量传输提供一种封装协议

CRC

循环冗余校验：数据通信领域中常用的一种查错校验码，其特征信息字段和校验字段的长度可以任意选定。

一种数据传输验错功能，对数据进行多项式计算，并将得到的接过附在帧的后面，接受设备也执行类似的算法，以保证数据传输的正确性和完整性；

• 网络层

路由器——网络层

• 网络层的作用（分组）

实现两个端系统之间的数据透明传送，具体功能包括：寻址、路由选择、连接的建立、保持和终止。为用户提供端到端的服务；

• 网络层协议IP

1. ARP地址解析协议——根据IP地址获取物理地址
2. RARP反地址解析协议
3. ICMP网际控制报文协议——通过ICMP传输控制消息，控制消息是网络通不通、主机是否可达、路由是否可用等网络本身的消息。Ping
4. IGMP网际组管理协议——管理网络协议多播组成员的一种通信协议。IP主机和相邻的路由器利用ICMP来创建多播组的组成员。组播方式解决了单播情况数据的重复拷贝及带宽重复占用，及广播方式带宽资源浪费。

• IP地址
• IP地址的概念

IP协议提供一种统一的地址格式，它是互联网上的每个网络和每台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。

组成：由4个字节，32位组成，一般用点分十进制的方式表现。

10000000.000000000.00000000.00000000

128.0.0.0

IP地址和MAC地址的区别：

IP地址逻辑地址，mac地址是物理地址；

MAC地址是唯一的但IP地址不是唯一的；

MAC地址主要工作在第二层，ip地址再网络层；

MAC地址是48位，IP地址一般是32位（v6是128位）

IP地址分配取决于网络拓扑，MAC地址分配取决于制造商；

IP地址的组成

主机地址和网络地址组成；

主机地址/主机号：标识某一台设备的地址；

网络地址/网络号：标识某一个网段的地址；

子网掩码：用于区分网络号和主机号

主机号；网络号；子网掩码

IP地址的分类

A类

第1段号码位网络号，剩下3段位主机号（24位）由126个网络，每个网络可以容纳主机数达1600多万台。大规模的网段

范围：1.0.0.1—127.255.255.254；

第1个字节位网络号，第1个字节第1位是0；

默认子网掩码位255.0.0.0

B类

前2段号码位网络号（16位），剩下2段位主机号（16位），试用于中等规模的网络，由16384个网络，每个网络可以容纳主机数达6万多台。

范围：128.0.0.1—191.255.2555.254；

前2个字节位网络号，第一个字节的前2位是10；

默认子网掩码位255.255.0.0

C类

前3段号码位网络号（24位），剩下1段位主机号（8位），C类网络地址数量较多，由209万余个网络，试用于小等规模的网，每个网络最多只能包含254台计算机。

范围：191.0.0.1—223.255.2555.254；

前3个字节位网络号，第一个字节的前3位是110；

默认子网掩码位255.255.255.0

D类

叫多播地址，即组播地址。再以太网中，多播地址命名了一组应该再这个网络中应用接收到一个分组的站点。

多播地址的最高位必须是1110，范围从224.0.0.0到239.255.255.254；

E类

保留

其他作用地址

特殊地址

网络地址——主机号为全0的地址不可用；

广播地址——主机号为全1的地址

回环地址——127.0.0.0

Ipv6

IPv4满足不了需求，出现ipv6，地址由128为，16个字节组成，一般表现形式为十六进制；

• 子网划分

概念：可以利用子网划分来减少地址的浪费；

VLSM：可变长子网掩码，将一个大的有类网络，划分成若干个小的子网

通过修改子网掩码，起到精细划分网络号和主机号的作用。

子网掩码一般于IP地址结合使用。其中值为1的比特对应IP地址中的网络位；值位0的比特对应IP地址中的主机位。=网络掩码中1的个数就是IP地址的网络号的位数；0的个数就是IP地址的主机号的位数；

VLSM：为了有效的使用无类别域间路由（CIDR）和路由汇聚来控制路由表的大小，对子网进行层次化编址，最有效的利用现有地址空间；

• 网络层的路由
• 路由

分组从源到目的地时，决定端到端路径的网络范围的进程；

报文转发的路径信息，通过路由可以确认转发IP报文的路径——网络层最主要的工作任务；

路由器：网络层的基本设备，数据转发，一个端口代表一个网段，路由器中存放着通往各个网段的表格，叫路由表

路由表：路由择域信息库，存储再路由器或互联网计算机中的电子表格或数据库。存储着特定网络地址的路径

网关：又称网间连接器，协议转换器，用于两个高层协议不同网络互连。网关既可以用于广域网互连，又可以用于局域网互连。网络的关卡。

路由获取方式：

直连路由

静态路由

动态路由

路由的配置

静态路由：由管理员配置的，管理比较方便，对系统要求低，使用拓扑结构简单稳定的小型网络。

缺省路由：特殊的路由，当报文没有在路由表种找到匹配的具体表项时才能使用的路由；

动态路由；

通过动态协议来实现不同网段的路由互通

动态路由协议自己的路由算法，能够自动适应网络拓扑的变化，使用于一定数量的三层设备的网络

动态路由协议：

RIP：路由信息协议；

基于矢量（跳数）的动态路由协议；

中小规模的网络拓扑，最大跳数15；

0SPG：开放式最短路径优先

基于链路状态的协议 ；

使用spf算法，计算最短路径。属性协议；

BGP：自治系统间的路由协议，自治系统之间的路由协议。

IS-IS中间系统到中间系统与OSPF类似，IS-IS基于路由路划分区域，OSPF利用接口划分。——内部网关协议。

RIP和OSPF的区别：

RIP基于矢量协议，中小型网络拓扑，OSPF基于链路状态，较大规模网络，可变长度子网掩码（vlsm),RIP不支持，OSPF的收敛速度比RIP的更加迅速；

OSPF防环，RIP不放坏；

• 传输层

• 传输层概论

1. 传输层

提供端到端的服务

从通信和信息处理的角度看，传输层向上层应用层提供通信服务；

所谓端口，就是门牌号，客户端可以通过IP地址找到对应的服务器端，但服务器有很多端口，每个应用程序对应一个端口号，通过端口号，客户端才能真正的访问到该服务器。为了对端口进行区分，将每个端口进行编号，这就是端口号。

1. 端口号

FTP：21（20）——文件传输协议，21连接，20传输数据；

TELANET：23——远程登录

SMTP：25——电子邮件传输协议（发邮件）；POP3：邮局协议版本3：110（收邮件）；

DNS：53——域名系统；

TFTP：69——简单文件传输协议；

HTTP：80——超文本传输协议；

SNMP：161——简单网络管理协议；

HTTPS：443——超文本传输安全协议；

• 传输层的两个重要协议
• TCP

传输控制协议，是TCP/IP体系种较为复杂和传输层中最重要的协议；

面向连接的传输层协议；提供可靠的交付服务；全双工通信，面向字节流；

窗口：

固定窗口——窗口小，传输比较大的数据时，需要不停的对数据进行确认，会造成很大的延迟。

滑动窗口——流量控制技术，描述接收方的TCP数据报缓冲区大小的数据，发送方根据这个数据计算自己最多能发生多长的数据，如果发送方收到接收方的窗口大小为0的TCP数据报，那么发送方将停止发送数据，等到接收方发送窗口大小不为0的数据报的到来。

拥塞处理和流量控制。

TCP的三次握手和四次挥手

UDP

用户数据报协议

增加了复用和分用的功能以及差错检测的功能。

UDP的主要特点：

无连接，尽最大努力交付；面向报文且没有拥塞控制，开销较小传输效率较高；

UDP首部概念

• 应用层

• 应用层的作用

通过位于不同主机中的多个应用进程之间的通信和协同工作来完成。内容就是具体定义通信规则。最贴近用户的一层；

• 应用层中常见的协议
• 域名系统DNS

每个域名用标号隔开。  mail.cctv.com  三级域名.二级域名.顶级域名 端口号：53

域名服务器：迭代，递归；

文件传输协议FTP

使用TCP连接，传输数据，端口号21，（20）；20发送数据

远程终端协议TELNET

使用TCP连接，远程等录到运地的另一台主机上； 端口号：23；

万维网和HTTP协议

超文本传输协议，一个简单的请求—响应协议；端口号：80；

电子邮件协议

SMTP电子邮件传输协议，端口号：25；

POPS邮局协议版本3—端口号110；

DHCP动态主机配置协议

有服务器控制一段IP地址范围，客户机登录服务器时就可以自己获得服务器分配的IP地址和子网掩码；

端口号68； 自动分配IP地址的；

• 网络安全

• 网络安全概论
• 网络安全

网络系统的硬件/软件/系统中的数据 受到保护，不因偶然的或恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

计算机网络面临的威胁主要分为两大类

主动攻击：主动的去做一些在网络基础上的恶意行为。恶意纂改信息数据，发布恶意程序脚本等。  纂改，恶意程序，拒绝服务；

被动攻击：主要是收集信息而不是进行访问。不改变数据本身的结构，也不对软硬件数据造成影响。 截获，窃取，流量分析；

网络系统的特性

保密性：信息不泄露给非授权用户，实体或过程，或供其利用的特性

完整性：数据未经授权不能进行改变的特性。信息在储存或传输过程中保持不被修改、不被破坏和丢失的特性

可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。

例如：网络环境下拒绝服务、破坏网络和有关系的正常运行等都属于对可用性的攻击

可靠性：对信息的传播及内容具有控制能力

不可抵赖性：出现安全问题时提供依据与手段

• 加密和交互
• 加密和解密

加密：以某种特殊的算法改变原有的信息数据，使得未授权的用户即使获得了已加密的信息，但因不知解密的方法，仍然无法了解信息的内容。

加密手段：

MD5加密：信息-摘要算法——128位；

AES加密：称密钥加密——128、192、256位

SHA1加密：安全哈希算法——160位；

RSA加密：公钥加密，私钥解密——1024位

解密手段：

加密的逆过程就是解密

公钥和私钥

对称加密——采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。

非对称加密——使用非对称的加密方式时，会生成两把钥匙。发送方利用自己的公钥加密，接收方利用自己的私钥解密。

数字签名的四大特点：

防止重放攻击：攻击者利用网络监听或其他方式盗取认证凭据，之后再把它重新发给认证服务器。在数字签名中，如果采用了对签名报文加盖时戳等或添加流水号等技术，就可以有效防止重放攻击。

防止数据伪造：其他人不能伪造对消息的签名，因为私有密钥只有签名者自己知道，所以其他人不可以构造出正确的签名结果数据。

防止数据被篡改：数字签名与原始文件或摘要一起发送给接收者，一旦信息被篡改，接收者可通过计算摘要和验证签名来判断该文件无效，从而保证了文件的完整性。

防止数据抵赖：数据签名即可以作为身份认证的依据，可以作为签名者签名操作的证据，要防止接收者抵赖，可以在数字签名系统中要求接收者返回一个自己签名的表示收到的报文，给发送者或受信任第三方。如果接收者不返回任何信息，此次通信可终止或重新开始，签名方也没有任何损失，由此双方均不可抵赖。

防火墙

防火墙是一种访问控制技术，可以严格控制进出网络边界的分组，禁止任何不必要的通信，来减少潜在入侵的发送。

防火墙的区域们：

local本地区域：顶级安全区域，安全优先级为100

Local就是防火墙本身的区域如：ping指令等网际控制协议的回复，需要local域的权限凡是由防火墙主动发出的报文均可认为是从local区域中发出凡是需要防火墙响应并处理（而不是转发）的报文均可认为是由local区域接收。

Trust受信区：高级安全区域，安全优先级为85；

通常用来定义内部用户所在的网络，也可以理解为应该是防护最严密的低于。

DMZ非军事化区：中级安全区域，安全优先级50；

用来定义内部服务器所在网络；

作用是把web，e-mail等允许外部访问的服务器单独接在该区端口，使整个需要保护的内部网络接在信任区端口后，不允许任何访问，实现内外网分离，达到用户需求。

DMZ可以理解为一个不同于外网或内网的特殊网络区域，DMZ内通常放置一些不含机密信息的公用服务器，如：web、mail,ftp等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或死人信息等，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。

Untrust非受信区：低级安全区域，安全优先级为5；

通常用来定义Internet等不安全的网络，用于网络入口线的接入。