一、计算机网络
1、定义
计算机网络是指地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统、网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。
2、计算机网络分类
按传输距离分为:
- 局域网(LAN):一般分布在几米到几公里范围。
- 城域网(MAN):一般分布在几公里到几十公里或一个城区。
- 广域网(WAN):一般分布在数十公里到几千公里。
3、网络拓扑结构
(1)总线拓扑结构:用单总线把各个计算机连接起来
优点:建网容易,增减结点方便,节省线路。
缺点:重负载时通信效率不高。
(2)星型拓扑结构:每个终端或计算机都以单独(专用)的线路与中央设备相连。中央设备一般是交换机(集线器)。
优点:结构简单,建网容易,延迟小,便于管理。
缺点:成本高,中心节点成为系统的瓶颈。
(3)环型拓扑结构:所有计算机和接口设备连接成一个环,可以是单环,也可以是双环。
(4)树型拓扑结构:具有较强的可折叠性,非常适合于构建网络主干,还能够有效地保护布线投资。这种拓扑结构一般采用光纤作为网络主干,用于军事单位,政府单位等。
(5)网状拓扑结构:每个节点至少有两条路径与其他节点相连,一般用于Internet骨干网上。
优点:可靠性高、可改善线路的信息流量分配、可选择最佳路径,传输延迟小。
缺点:控制复杂,线路成本高。
二、网络硬件基础
1、网络互联设备
常见的网络互联设备包括中继器、网桥、交换机、路由器和网关。以上是从OSI协议层出发的概念分类,实际上市场上的设备都是多功能组合的。
互联设备 | 工作层次 | 主要功能 |
中继器 | 物理层 | 对接收信号进行再生和发送,只起到扩展传输距离用,对高层协议是透明的,但使用个数有限(以太网是4个) |
网桥 | 数据链路层 | 根据帧物理地址进行网络间信息转发,可缓解网络通信繁忙度,提高效率。只能够连接相同MAC层的网络 |
路由器 | 网络层 | 通过逻辑地址进行网络间的信息转发,可完成异构网络之间的互联互通,只能连接使用相同网络层协议的子网 |
网关 | 高层 (4—7) | 最复杂的网络互联设备,用于连接网络层上执行不同协议的子网(例如Novell与SNA) |
集线器 | 物理层 | 多端口中继器 |
二层交换机 | 数据链路层 | 多端口网桥 |
三层交换机 | 网络层 | 多路由功能的二层交换机 |
多层交换机 | 高层 (4—7) | 带协议转换的交换机 |
(1)网卡(NIC)
又称网络适配器。用于计算机和网络电缆之间的物理连接。
每块网卡都有一个唯一的地址,称为MAC地址或物理地址,采用十六进制数表示共六个字节(48位)。前三个字节是厂家编码,后三个字节由厂家自行指派。
(2)中继器(Repeater):工作在物理层,可以连接不同介质。
适用于完全相同的两类网络的互联,主要功能是通过对数据信号的复制、整形、放大再发送,来扩大网络传输的距离。
(3)集线器(Hub)
具有中继器的功能,区别在于集线器能够提供多端口服务,也称多口中继器。集线器是物理层设备。
集线器不具备交换机所具有的MAC地址表,所以它发送数据时是没有针对性的,而是采用广播方式发送。
(4)网桥(Bridge)
也称桥接器,网桥是数据链路层设备。
是连接两个局域网的存储转发设备,它不但能扩展网络的距离或范围,而且可以提高网络的性能、可靠性和安全性。因为它可以在数据链路层划分逻辑子网,限制二层的广播。
(5)交换机
也称多端口网桥,工作在数据链路层,能够识别帧的内容。
交换机在同一时刻可进行多对端口之间的数据传输。每一端口都可视为独立的网段,连接在其上的网络设备独自享有全部的带宽,无须同其他设备竞争使用。
(6)冲突域与广播域
- 冲突域:是同一物理网段上所有节点的集合,或以太网上竞争同一带宽的节点集合。
- 广播域:网络中能接收任一设备发出的广播帧的所有设备的集合。
2、传输介质
(1)双绞线:把两根互相绝缘的铜导线并排放在一起,然后用规则的方法绞合起来就构成了双绞线。绞线可减少对相邻导线的电磁干扰。(分为屏蔽双绞线和非屏蔽双绞线)
(2)同轴电缆:由内导体铜制芯线、绝缘层、网状编织的外导体屏蔽层以及保护塑料外层所组成,广泛用于传输较高速率的数据。
(3)光纤:是一种由玻璃或塑料制成的纤维,可作为光传导工具。传输原理是光的全反射。
- 多模光纤:在给定的工作波长上能以多个模式同时传输的光纤。适合于近距离传输。
- 单模光纤:单模光纤的直径减小到只有一个光的波长大小,它可使光线沿直线传播,而不会产生多次反射。传输频带宽,传输容量大。单模光纤的损耗较小,传输距离远。
(4)无线电:上限是300GHz,而下限的频率不统一。常见的说法有三种分别为:3kHz ~ 300GHz(国际电信联盟规定)、9kHz ~ 300GHz、10kHz ~ 300GHz。
- 中波主要沿地面传播,绕射能力强,适用于广播和海上通信。
- 短波具有较强的电离层反射能力,适用于环球通信。
- 超短波和微波的绕射能力较差,可作为视距或超视距中继通信。
(5)微波:频率在0.3GHz ~ 300GHz范围的电磁波,目前主要使用2GHz ~ 40 GHz的频率范围。
陆地微波系统的主要用途是完成远距离通信服务和楼宇间建立短距离的点对点通信。
(6)红外线
主要特点:
- 不能穿透坚实的物体,防窃听的安全性要比无线电好
- 几乎不会受到电气、天电、人为干扰,抗干扰性强
- 红外线通信机体积小,重量轻,结构简单,价格低廉
- 必须在直视距离内通信,且传播受天气影响。
(7)激光
激光通信系统组成设备包括发送和接收两个部分。
激光通信的优点:
- 通信容量大
- 保密性强
- 结构轻便,设备经济
激光通信的缺点:
- 距离限于视距(数公里至数十公里范围),易受气候影响
- 瞄准困难。激光束有极高的方向性,这给发射和接收点之间的瞄准带来不少困难
三、OSI 网络参考模型
层次 | 层的名称 | 英文 | 主要功能 |
7 | 应用层 | Application Layer | 处理网络应用 |
6 | 表示层 | Presentation Layer | 数据表示 |
5 | 会话层 | Session Layer | 互联主机通信 |
4 | 传输层 | Transport Layer | 端到端连接 |
3 | 网络层 | Network Layer | 分组传输和路由选择 |
2 | 数据链路层 | Date Link Layer | 传送以帧为单位的信息 |
1 | 物理层 | Physical Layer | 二进制传输 |
3.1 物理层
解决的是主机、工作站等数据终端设备与通信线路上通信设备之间的接口问题。
具有4个特性:
- 机械特性:规定了DTE(终端设备)和DCE(数据通信设备)之间的连接器形式,包括连接器形状、几何尺寸、引线数目和排列方式等。
- 电气特性:规定了发送器和接收器的电气参数及其他有关电路的特征。
- 功能特性:分为数据信号、控制信号和时钟信号。功能特性对接口各信号线的功能给出确切的定义,说明某些连线上出现的某一电压表示的意义。
- 规程特性:规定了DTE和DCE之间各接口信号线实现数据传输的操作过程(操作顺序)
3.2 数据链路层
建立、维持和释放网络实体之间的数据链路,这种数据链路对网络层表现为一条无差错的信道。
数据链路层分为MAC(媒介访问控制层)和LLC(逻辑链路控制层)。
服务访问点为MAC地址。
3.3 网络层
属于通信子网,解决路由选择、网络拥塞、异构网络互联等问题,其服务访问点为逻辑地址(网络地址)。代表性协议有IP、IPX等。
3.4 传输层
实现发送端和接收端的端到端的数据分组传送,负责保证实现数据包无差错、按顺序、无丢失和无冗余的传输。服务访问点为端口。代表性协议有TCP、UDP,SPX等。
3.5 会话层
主要功能是管理和协调不同主机上各种进程之间的通信(对话),即负责建立、管理和终止应用程序之间的会话。
3.6 表示层
处理流经结点的数据编码的表示问题,以保证一个系统应用层发出的信息可被另一个系统的应用层读出。
应用层可以根据其服务解释数据的含义。通常包含数据编码的约定、本地句法的转换、数据压缩与解压缩。例如,JPEG、ASCII、GIF、DES、MPEG等。
3.7 应用层
直接为端用户服务,提供各类应用层程序的接口和用户接口。例如HTTP、Telnet、FTP、SMTP等。
四、TCP/IP协议簇
4.1 ARP协议(地址解析协议)
- 用来将32位的IP地址解析为48位的物理地址
- OSI模型中ARP协议属于数据链路层,而在TCP/IP模型中,ARP协议属于网络层
- RARP是ARP的逆过程,将物理地址转化为IP地址
4.2 RARP(反向地址解析协议)
主要应用于无盘站,通过该协议从服务器上取得它的IP地址。
网络管理员在局域网网关路由器里创建一个表以映射物理地址(MAC)和对应的IP地址。当机器启动时,其PARP客户机程序需要向路由器上的RARP服务器请求响应的IP地址。假设在路由表中已经设置了一个记录,RARP服务器将会返回IP地址给机器,此机器就会存储起来使用。
4.3 ICMP协议
由于IP协议是一种不可靠、非连接的尽力传送协议,数据报是采用分组交换方式在网络上传送的。因此当路由器不能够选择路由或传送数据报时,或检测到一个异常条件影响它转发数据报时,就需要通知初始源网点采取措施避免问题。而完成这个任务的机制就是ICMP,它是IP的一部分,属于网络层协议,其报文是封装在IP协议数据单元中进行传送的,在网络中起到差错和拥塞控制的作用。
4.4 TCP协议
是一种面向连接的、可靠的、基于字节流的传输层通信协议。
TCP为了保证报文传输的可靠,给每个包一个序号,同时序号也保证了传送到接收端实体的包的按序接收。然后接收端实体对已成功接收的字节发回一个确认(ACK);如果发送端实体在合理的往返时延(RTT)内未收到确认,那么对应的数据(假设丢失)将会被重传。
4.5 UDP协议
UDP是一种无连接的传输层协议,它主要用于不要求分组顺序到达的传输中,分组传输顺序的检查与排序由应用层去完成,提供简单的不可靠的信息传送服务。
UDP报文没有可靠性保证、顺序保证和流量控制字段等,可靠性较差。但是正因为UDP协议的控制选项较少,在数据传输过程中延迟小、数据传输效率高,适用于可靠性要求不高的应用程序,或者可以保障可靠性的应用程序,如DNS、TFTP、SNMP等。
五、Internet地址
5.1 网络地址及子网掩码
(1)IP地址结构及类别
IP地址是由32位二进制数,即4个字节组成的,由网络号和主机号两个字段组成。
网络号的位数决定了可以分配的网络数()
主机号的位数决定了网络中最大主机个数()
IP地址分为5类,A、B、C、D、E五类,目前大量使用的是A、B、C三类。
A:0 ~ 127
B:128~191
C:192 ~ 223
D:224 ~ 239
E:240 ~ 255
(2)特殊的IP地址
IP定义了一套特殊地址格式,称为保留地址。
- 网络地址。主机号全0。
- 广播地址。主机号全1。
- 子网掩码。网络号部分全为1,主机号部分全为0;用于计算网络地址用(只需要将IP地址和子网掩码做与操作,就可以得到网络地址)
(3)保留地址。为了满足内网的使用需求,保留了一部分不在公网使用的IP地址。
类别 | IP地址范围 | 网络号 | 网络数 |
A | 10.0.0.0 ~ 10.255.255.255 | 10 | 1 |
B | 172.16.0.0 ~ 172.31.255.255 | 172.16 ~ 172.31 | 16 |
C | 192.168.0.0 ~ 192.168.255.255 | 192.168.0 ~ 192.168.255 | 255 |
5.2 子网及子网掩码
两级IP地址的缺点:
- IP地址空间的利用率低
- 给每一个物理网络分配一个网络号会使路由表变得太大因而使网络性能变坏。
在IP地址中增加一个subnet-id字段,将原来的主机号分为子网号和主机号两部分,使两级的IP地址变为三级的IP地址。这叫作划分子网。划分子网是一个单位内部的事情。单位对外仍然表现为没有划分子网的网络。
5.3 路由汇聚
路由汇聚的是把一组路由汇聚为一个单个的路由广播。路由汇聚的最终结果和最明显的好处是缩小网络上的路由表的尺寸。
六、IPv6协议
IPv6协议,全程“互联网协议第6版”,即下一代的网际协议。
相对于IPv4来说,IPv6协议主要改进:
- 扩展的地址。IPv6地址长度为128位
- IPv6使用更小的路由表
- 简化的包头:IPv6头减少了字段的数量,提高选路效率
- 流标志:IPv4对所有的包同等对待,路由器并不跟踪任意两台主机间发送的包。而IPv6中引入了流概念,可以对流中的包进行高效处理。
- 身份验证和保密:IPv6使用了两种安全性扩展,即IP身份验证头和IP封装安全性净荷。
(1)IPv6地址表示
IPv6地址的128位是以16位为一组,共分为8组,每组的16位转换为4位的十六进制数字,每组之间用冒号分开。
(2)内嵌IPv4地址的IPv6地址
在IPv6中使用内嵌的IPv4地址
- 地址的第一部分使用十六进制表示,而IPv4部分采用十进制。这是过渡机制所使用的IPv6地址特有的表示法。
(3)IPv6地址类型
IPv6仍有三种地址类型,分别是单播、多播(组播)、泛播(任意波)。在IPv6里广播不再使用。
- 单播:唯一标识一个IPv6结点的接口
- 多播:标识一组IPv6结点的接口
- 泛播:指派给多个结点的接口。发送往泛播地址的数据包只会传递给其中的一个接口,一般是隔得最近的一个接口。
(4)IPv4向IPv6过渡
目前解决过渡问题基本技术主要有三种:
- 双协议栈
- 隧道技术
- NAT - PT
七、信息安全与网络安全
7.1 信息安全基础知识
1、安全的五个基本要素
- 机密性(确保信息不暴露给未经授权的实体或进程)
- 完整性(只有得到允许的人才能修改数据,并能够判别数据是否已经篡改)
- 可用性(得到授权的实体在需要时可访问数据)
- 可控性(可以控制授权范围内的信息流向和行为方式)
- 可审查性(对出现的安全问题提供调查的依据和手段)
对于网络及网络交易,信息安全的基本需求是:
- 机密性
- 完整性
- 不可抵赖性(所有参与者都不可否认或抵赖曾经完成的操作)
2、计算机系统安全保护能力的五个等级
- 用户自主保护级
- 系统审计保护级
- 安全标记保护级(所有主体对它控制的客体的强制控制)
- 结构化保护级(所有主体对所有客体的强制控制)
- 访问验证保护级
3、常见的网络安全威胁
- 窃听(即非授权访问、信息泄露、资源盗取等)
- 假冒(假扮另一个实体,如网站假冒、IP欺骗等)
- 重放
- 破坏完整性
- 拒绝服务
- 特洛伊木马、病毒
- 流量分析
4、主要的安全技术
- 数据加密
- 数据签名
- 身份认证
- 防火墙:位于两个网络之间,通过规则控制数据包出入。
- 内容检查
7.2 防火墙
防火墙是一个由软件或硬件设备构成,在内部网和外部网之间、专用网与公共网之间的信息安全防护系统,依照特定的规则,允许或者限制传输的数据通过。
防火墙的作用是防止未经授权的通信进出被保护的网络。
7.3 入侵检测系统(IDS)
是一种主动保护自己,使网络和系统免遭非法攻击的网络安全技术,它按照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。
IDS是一种积极主动的安全防护技术。
7.4 入侵防御系统(IPS)
是一种主动的、积极的入侵防范即阻止系统,它部署在网络的进出口处,当检测到攻击企图后,自动地将攻击包丢掉或采取措施将攻击源阻断。