【软考-数据库系统工程师-知识点】第五章网络基础知识

怀民z

已于 2024-06-01 15:24:01 修改

阅读量1k

点赞数 22

分类专栏：数据库系统工程师文章标签：数据库网络

于 2024-06-01 15:18:48 首次发布

本文链接：https://blog.csdn.net/qq_45311805/article/details/139373471

版权

数据库系统工程师专栏收录该内容

7 篇文章 0 订阅

订阅专栏

5.1 计算机网络概述

5.1.1 计算机网络的概念

计算机网络的发展

计算机网络发展的4个阶段
- 具有通信功能的单机系统。
- 具有通信功能的多机系统。
- 以共享资源为目的的计算机网络。
- 以局域网及因特网为支撑环境的分布式计算机系统。
计算机网络的定义
- 利用通信设备和线路将地理位置分散的、功能独立的自主计算机系统或由计算机控制的外部设备连接起来。
- 在网络操作系统的控制下，按照约定的通信协议进行信息交换，实现资源共享的系统。

计算机网络的功能

数据通信：通信或数据传输。
资源共享：包括硬件资源和软件资源。
负载均衡：可进行数据的集中处理或分布式处理。
高可靠性：在计算机网络中的各台计算机可通过网络彼此互为后备机。
计算机网络按照数据通信和数据处理的功能，可分为内层通信子网和外层资源子网。

5.1.2 计算机网络的分类

按通信距离：广域网、局域网和城域网。
按信息交换方式：电路交换网、分组交换网和综合交换网。
按网络拓扑结构：星型网、树型网、环型网和总线网。
按通信介质：双绞线网、同轴电缆网、光纤网和卫星网。
按传输带宽：基带网、宽带网。
按使用范围：公用网、专用网。
按速率：高速网、中速网、低速网。
按通信传播方式：广播式、单点式。

5.1.3 网络的拓扑结构

网络拓扑结构：指网络中线路和节点的几何排序，用以表示整个网络的结构外貌，反映各节点之间的结构关系。

总线型结构

只有一条双向通路，便于进行广播式传送信息。
属于分布式控制，无需中央处理器，结构比较简单。
节点的增、删和位置的变动较容易，变动中不影响网络的正常运行，系统的扩充性能好。
网上的信息延迟时间不确定，故障隔离和检测困难。

星型结构

使用中央变换单元以放射状连接到网中的各个节点。
中央单元采用电路交换以建立所希望通信的两节点间专用的路径。
维护管理容易、重新配置灵活。
网络延迟时间短，故障隔离和检测容易。
线路利用率低，中央单元负荷重。

环型结构

信息传输线路构成一个环型，各节点通过中继器连入网内，各中继器间首尾连接。
信息单向沿着环路逐点传送，信息的流动方向固定。
有旁路设备，节点一旦发生故障，系统自动旁路，可靠性高。
环路封闭，扩充较难。

树型结构

是总线型结构的扩充形式。
主要用于多个网络组成的分级结构中。

分布式结构

无严格的布点规定和形状，各节点之间有多条线路相连。
高可靠性，当一条线路有故障时，不会影响整个系统工作。
由于节点与多个节点连接，故节点的路由选择和流量控制难度大。

广域网多用分布式或树型结构。

局域网多用总线型、环型、星型或树型结构。

5.2 网络硬件基础

5.2.1 网络设备

网络传输介质互联设备

网络线路与用户节点具体衔接时，需要网络传输介质的互联设备。
举例：T型头、收发器、RJ-45、网络接口单元、调制解调器等。

物理层的互联设备

中继器（repeater）
- 中继器在物理层上实现局域网网段互联，用于扩展局域网网段的长度。
- 中继器只在两个局域网网段间实现电气信号的恢复与整形，因此它仅用于连接相同的局域段。
- 局域网中接入的中继器的数量将受时延和衰耗的影响，因此必须加以限制。如在以太网中，最多使用4个中继器。
集线器（hub）
- 一种特殊的多路中继器，也具有信号放大功能。
- 以集线器为中心的网络优点是，当网络系统中某条线路或某节点出现故障时，不会影响其他节点上的正常工作。
中继器和集线器的区别
- 功能：中继器用于增强信号的传输距离；集线器用于连接多个设备形成局域网。
- 工作原理：中继器只负责信号的转发；集线器在信号转发过程中不进行信号的再生和增强，只是简单地复制发送。
- 网络中的角色：中继器用于连接相同的网络；集线器用于连接多个设备形成局域网，以便它们可相互通信和共享资源。
- 端口数量：中继器通常只有两个端口；集线器通常有4个或更多个端口。
- 性能：中继器能延长信号的传输距离；集线器将多个设备连接在一起形成局域网，当多个设备同时发送信号时会出现冲突。

数据链路层的互联设备

网桥（bridge）
- 用于连接两个局域网网段，工作于数据链路层的MAC子层。
- 网桥要分析帧地址字段，以决定是否把收到的帧转发到另一个网络段上。
- 网桥能起到过滤帧的作用，它检查帧的源地址和目的地址：
  
  如果目的地址和源地址不在一个网络段上，就把帧转发到另一个网络段上。
  
  如果目的地址和源地址在同一个网络段上，则不转发。
- 利用网桥过滤帧的特性，当一个网络负载过重而性能下降时，可用网桥把它分成两个网络段并使段间的通信量保持最小。
- 由于网桥的隔离作用，一个网络段上的故障不会影响到另一个网段，从而提高了网络的可靠性。
交换机（switch）
- 具有高性能、高端口密集特点的交换产品。
- 按每一个包中的MAC地址相对简单地决策信息转发。
- 交换技术允许共享型和专用型的局域网段进行带宽调整，以减轻局域网之间信息流通出现的瓶颈问题。
- 交换机的工作过程：
  
  当交换机从某一节点收到一个以太网帧后，将立即在其内存中的地址表（端口号—MAC地址）进行查找。
  
  以确定该目的MAC的网卡连接在哪一个节点上，然后将该帧转发至该节点。
  
  如果在地址表中没有找到该MAC地址，即该目的MAC地址是首次出现，交换机就将数据包广播到所有节点。
  
  拥有该MAC地址的网卡在接收到该广播帧后，将立即做出应答，从而使交换机将其节点的"MAC地址"添加到MAC地址表。
- 交换机的三种交换技术
  
  端口交换技术：用于将以太网模块的端口在背板的多个网段之间进行分配、平衡。
  
  帧交换技术：对网络帧的处理方式分为直通交换和存储转发。
  
  信元交换技术：采用长度（53个字节）固定的信元交换，由于长度固定，因而便于用硬件实现。
网桥和交换机的区别
- 端口数量和传输速率：网桥通常只有两个端口；交换机可以有多个端口，能提供更高的传输速率和更大的带宽利用率。
- 转发方式：网桥转发需完整接收数据帧并执行帧检测序列；交换机则支持存储转发和直接转发（无需完整接收）两种方式。
- 技术：网桥根据MAC分区块，可隔离碰撞；交换机基于硬件和芯片进行转发决策，使得它比网桥快得多。

网络层互联设备

路由器（router）
- 用于连接多个逻辑上分开的网络。
- 逻辑网络是指一个单独的网络或一个子网，当数据从一个子网传输到另一个子网时，可由路由器来完成。
- 路由器具有很强的异种网互联能力，互联的网络最低两层协议可以互不相同，通过驱动软件接口到第三层上而得到统一。
- 所谓支持多种协议，是指支持多种协议的路由，而不是指不同类协议的相互转换。
- 通常把网络层地址信息叫作网络逻辑地址，把数据链路层地址信息叫作物理层地址。
- 路由器最主要的功能是选择路径，还包括过滤、存储转发、流量管理和介质转换等功能。
- 在路由器的存储器中维护着一个路径表，记录各个网络的逻辑地址，用于识别其他网络。
- 由于路由器工作于网络层，故处理的信息量比网桥多，因而处理速度比网桥慢。

应用层的互联设备

网关（gateway）
- 连接不同类型且协议差别又大的网络。
- 将协议进行转换，将数据重新分组，以便在两个不同类型的网络系统之间进行通信。
- 一般来说，网关只进行一对一转换，或是少数几种特定应用协议的转换，网关很难实现通用的协议转换。
网关和路由器的区别
- 功能特性
  
  网关支持认证、VPN策略、路由日志审计等功能，有的网关不支持AP（无线信号发射）；
  
  路由器主要满足家庭日常使用，主要功能就是发射无线信号。
- 本质区别
  
  网关工作在应用层，用于连接两种不同的网络，能同时与两边的主机进行通信，而两边的主机需通过网关才能进行通信。
  
  路由器则是网络层设备，以包为单位进行数据的发送，在路由器的子接口有分割广播域的作用。
- 总的来说
  
  网关是一个更广泛的概念，路由器则是一种具体的网络设备。
  
  网关可以用路由器、交换机、PC等多种设备来实现，而路由器则主要用来实现网络间的互联和数据转发。

5.2.2 网络传输介质

双绞线（Twisted-Pair）

分为屏蔽双绞线（shield，STP）和非屏蔽双绞线（unshield，UTP）。
双绞线可分为3类、4类和5类、6类和7类，现在常用的是5类UTP，其频率带宽为100MHz。
双绞线最多应用于10Base-T和100Base-T的以太网中，具体规定有：
- 一段双绞线的最大长度为100m，只能连接一台计算机；
- 双绞线的每一端需要一个RJ45插件；
- 各段双绞线通过集线器互联，利用双绞线最多可连接64个站点到中继器。

同轴电缆（Coaxial）

分为基带同轴电缆（阻抗为50Ω）和宽带同轴电缆（阻抗为75Ω）。
基带同轴电缆：用来直接传输数字信号。
宽带同轴电缆：用于频分多路复用的模拟信号发送，和不使用频分多路复用的高速数字信号发送和模拟信号发送。如闭路电视。

光纤（Fiber Optic）

在发送端将电信号转换为光信号，在接收端由光检波器还原成电信号。
是利用内部全反射原理来传导光束的传输介质。
分为多模光纤（multimode fiber）和单模光纤（single fiber）。

微波

是在对流层视线距离范围内利用无线电波进行传输的一种通信方式，频率范围为2~40GHz。
微波是直线传播的，当传输距离超过一定距离时，需要借助中继站。
中继站的功能是变频和放大，进行功率补偿。
分为模拟微波通信和数字微波通信两种。

红外线和激光

红外线和激光通信需要把传输的信号分别转换为红外线信号和激光信号，直接在空间传播。
红外线、激光和微波这三种技术对环境气候较为敏感，例如雨、雾和雷电。

卫星通信

卫星通信以人造卫星为微波中继站，是微波通信的特殊形式。
卫星接收来自地面发送站发出的电磁波信号后，再以广播方式用不同的频率发回地面，被地面工作站接收。

5.3 网络的协议与标准

协议：规定了通信时的数据格式、数据传送时序以及相应的控制信息和应答信号等内容。

5.3.1 网络的标准

电信标准

V系列：针对调制解调器。例如V.90是56kb/s调制解调器的标准。
X系列：应用于广域网，该系列标准分为如下两组：
- X.1—X.39标准：应用于终端形式、接口、服务设施和设备。最著名的是X.25，它规定了数据包装和传送的协议。
- X.40—X.199标准：管理网络结构、传输、发信号等。

国际标准

IEEE：电气和电子工程师协会，工作组802设置了网络上的设备如何彼此通信的标准。

802.1工作组：协调低档与高档OSI模型。
802.2工作组：涉及逻辑数据链路标准。
802.3工作组：有关CSMA/CD标准在以太网的应用。
802.4工作组：令牌总线标准在LAN中的应用。
802.5工作组：设置有关令牌环网络的标准。

Internet标准

自发而非政府干预，管理松散，每个分网络均由各自分别管理。
有一个民间性质的协会ISOC（Internet Society）进行必要的协调与管理。
有一个网络信息中心（NIC）来管理IP地址，保证注册地址的唯一性，并为用户提供一些文件，介绍可用的服务。
通过RFC（Request For Comments）收集对Internet标准的建议。

5.3.2 局域网协议

局域网的基本组成
- 网络服务器。
- 网络工作站。
- 网络适配器。
- 传输介质。
决定局域网特性的主要技术
- 用以传输数据的传输介质，决定传输数据的类型。
- 用以连接各种设备的拓扑结构，决定网络的响应时间。
- 用以共享资源的介质访问控制方法，决定吞吐量和利用率，是不同的局域网协议最重要的区别。

LAN模型

物理层：处理在物理链路上发送、传递和接收非结构化的比特流。
MAC，Medium Access Control
- 主要功能是控制对传输介质的访问。
- MAC与网络的拓扑结构和传输介质的类型有关，主要是介质的访问和对信道资源的分配。
- MAC层还实现帧的寻址和识别，完成帧检测序列产生和检验等功能。
LLC，Logical Link Control
- LLC提供的主要功能是数据帧的封装和拆除。
- 为高层网络服务提供逻辑接口。
- 能够实现差错控制和流量控制。
- 提供两种控制类型，即面向连接服务（可靠）和非连接服务。

以太网（IEEE 802.3标准）

介质访问技术
- 采用带冲突检测的载波监听多路访问协议CSMA/DA（Carrier-Sense Multiple Access with Collision Detecton）。
- 让整个网络上的主机都以竞争的方式来抢夺发送数据的权力。
- CSMA/CD常用的退避算法是二进制指数退避算法。
以太网的类型
- IEEE 802.3定义的标准局域网，速度为10Mb/s，传输介质为细同轴电缆。
- IEEE 802.3u定义的快速以太网，速度为100Mb/s，传输介质为双绞线。
- IEEE 802.3z定义的千兆以太网，速度为1000Mb/s，传输介质为双绞线或光纤。
  
  千兆以太网采用以交换机为中心的星型拓扑结构。
  
  千兆以太网主要用于交换机与交换机之间或者交换机与企业超级服务器之间的高速网络连接。

令牌环网（IEEE 802.5标准）

传输介质：主要基于屏蔽双绞线STP和非屏蔽双绞线UTP。
拓扑结构：环型（最典型）、星型（采用的最多）和总线型（一种变形）。
编码方法：差分曼彻斯特编码。
介质访问技术：令牌环控制技术。

FDDI（Fiber Distributed Data Interface，光纤分布式数据接口）

传输介质：单模光纤和多模光纤。
编码方法：4B/5B编码。
体系结构：双环体系结构，两环上的信息反方向流动。
- 双环中的一环称为主环，另一环称为次环。
- 正常情况下，主环传输数据，次环处于空闲状态。
- 双环设计的目的是为了提高可靠性和稳定性。

5.5.3 广域网协议

点对点协议（PPP）

优点：简单、具备用户验证能力、可以解决IP分配等。
通过拨号或专线方式建立点对点连接发送数据，是各种主机、网桥和路由器之间的一种共通的解决方案。
PPP的衍生应用：ADSL（Asymmetric Digital Subscriber Line）非对称数字用户线。
PPP的衍生协议，基于以太网的PPPoE，基于异步传输模式ATM的PPPoA。

数字用户线（xDSL）

xDSL是各种数字用户线的统称。

数字专线（DDN）

数字数据网（Digital Data Network，DDN）是采用数字传输信道传输数据信号的通信网。
可提供点对点、点对多点透明传输的数据专线出租电路，为用户传输数据、图像和声音等信息。

X.25协议

X.25在本地DTE（数据终端设备）和远程DTE之间提供一个全双工、同步的透明信道。
X.25是在公用数据网上，以分组方式进行操作的DTE和DTC（数据通信设备）之间的接口。
X.25定义了三个相互独立的控制层：物理层、数据链路层、分组层。
- 物理层接口：指DTE和网络之间的线路连接。
- 链路层逻辑接口：负责DTE和DCE之间的初始化、校验；控制物理链路的数据传输，用户数据以信息帧在DTE和DCE间传送。
- 分组层逻辑接口：描述了呼叫的建立、保持和拆除过程，以及数据和控制信息在分组中的格式。

5.3.4 TCP/IP协议簇

TCP/IP基本特性

逻辑编址
- 每块网卡在出厂时由厂家分配一个独一无二的、永久性的物理地址。
- 在Internet中，为每台连入因特网的计算机分配一个逻辑地址，即IP地址。
- 一个IP地址可以包括一个网络ID号、一个子网络ID号和一个主机号。
路由选择
- 在TCP/IP中包含了专门用于定义路由器如何选择网络路径的协议，即IP数据包的路由选择。
域名解析
- TCP/IP采用的是32位的IP地址，为了用户记忆方便，设计了一种字母式地址结构，称为域名或DNS名字。
- 将域名映射为IP的操作称为域名解析。
错误检测与流量控制
- TCP/IP具有分组交换确保数据信息在网络上可靠传递的特性，这些特性包括以下几个方面。
- 检测数据信息的传输错误（保证到达目的地的数据信息没有发生变化）。
- 确认已传递的数据信息已被成功地接收。
- 监测网络系统中的信息流量，防止出现网络拥塞。
对应用程序的支持。

TCP/IP分层模型

协议是对数据在计算机或设备之间传输时的表示方法进行定义和描述的标准。
协议规定了进行传输、检测错误以及传送确认信息等内容。
TCP/IP是一个协议簇，它包含了多种协议。
应用层
- 应用程序负责发送和接收数据。
- 每个应用程序可以选择所需要的传输服务类型，并把数据按传输层的要求组织好，再向下层传送。
- 数据组织形式包括独立的报文序列和连续字节流两种。
传输层
- 传输层的基本任务是提供应用程序之间的通信服务。这种通信又叫端到端的通信。
- 传输层既要系统地管理数据信息的流动，还要提供可靠的传输服务，以确保数据准确而有序地到达目的地。
网际层
- 网际层又称为IP层，主要处理机器之间的通信问题。
- 接收传输层请求，传送某个具有目的地址信息的分组。
- 把分组封装到IP数据报中，填入数据报的首部，使用路由算法选择把数据报直接送到目标机或把数据报发送给路由器。
- 处理接收到的数据报，检验其正确性。使用路由算法来决定是在本地进行处理，还是继续向前发送。
- 适时发出ICMP的差错和控制报文，并处理收到的ICMP报文。
网络接口层
- 又称数据链路层，处于TCP/IP协议层之下，负责接收IP数据报，并把数据报通过选定的网络发送出去。
- 该层包含设备驱动程序，也可能是一个复杂的使用自己的数据链路协议的子系统。

网络接口层协议

TCP/IP不包含具体的物理层和数据链路层，只定义了网络接口层作为物理层与网络层的接口规范。
这个物理层可以是广域网，如X.25公用数据网；可以是局域网，如Ethernet、Token-Ring和FDDI等。
任何物理网络只要按照这个接口规范开发网络接口驱动程序，都能够与TCP/I协议集成起来。
网络接口层处在TCP/IP协议的最低层，主要负责为物理网络准备数据所需的全部服务程序和功能。

网际层协议IP

IP所提供的服务通常被认为是无连接的（connectionless）和不可靠的（unreliable）。
- 无连接：指没有确定目的系统在已做好接收数据准备之前就发送数据。
- 不可靠：指目的系统不对成功接收的分组进行确认。
IP的主要功能
- 将上层数据（如TCP、UDP数据）或同层的其他数据（如ICMP数据）封装到IP数据报中；
- 将IP数据报传送到最终目的地；
- 为了使数据能够在链路层上进行传输，对数据进行分段；
- 确定数据报到达其他网络中的目的地的路径。
IP协议软件工作流程
- 当发送数据时，源计算机上的IP协议软件必须确定目的地是在同一个网络上，还是在另一个网络上。
  
  如果目的地在本地，那么IP协议软件就启动直达通信。
  
  如果目的地是远程计算机，那么IP必须通过网关（或路由器）进行通信。
  
  当IP完成数据报的准备工作，就将数据报传递给网络访问层，网络访问层再传送给传输介质，最终发往目的计算机。
- 当数据抵达目的计算机时，网络访问层首先接收该数据，检查数据帧有无错误，并将数据帧送往正确的物理地址。
  
  假如数据帧到达目的地时准确无误，网络访问层便从数据帧的其余部分中提取数据有效负载（Payload）；
  
  然后将它一直传送到帧层次类型域制定的协议。

ARP和RARP

网络中的任何设备，主机、路由器和交换机等均有唯一的物理地址，该地址通过网卡给出。
为了屏蔽底层协议及物理地址上的差异，IP协议又使用了IP地址。
地址解析协议（Address Resolution Protocol，ARP）的作用是将IP地址转换为物理地址。
- 当计算机需要与其他任何计算机进行通信时，首先需要查询ARP高速缓存。
- 若ARP高速缓存中这个IP地址存在，便使用与它对应的物理地址，直接将数据报发送给所需的物理网卡。
- 若ARP高速缓存中没有该IP地址，那么ARP便在局域网上以广播方式发送一个ARP请求包。
- 若局域网上IP地址与某台计算机中的IP地址相一致，那么该计算机便生成一个ARP应答信息，信息中包含对应的物理地址。
- ARP协议软件将此IP地址与物理地址的组合添加到它的高速缓存中，这时即可开始数据通信。
反地址解析协议（Reverse ARP，RARP）的作用是将物理地址转换为IP地址。
- 主要用于无盘工作站上，网络上的无盘工作站在网卡上有自己的物理地址，但无IP地址，因此必须有一个转换过程。
- 为完成转换，网络中有一个RARP服务器，网络管理员必须把网卡的物理地址和IP地址存储到IP RARP服务器的数据库中。

网际层协议ICMP

Internet控制信息协议（Internet Control Message Protocol，ICMP）是一种专门用于发送差错报文的协议。
由于IP是一种尽力传送的协议，即传送的数据报可能丢失、重复、延迟或乱序，因此需要一种避免差错并在出错时报告的机制。
ICMP定义了5种差错报文：源抑制、超时、目的不可达、重定向和要求分段。
ICMP定义了4种信息报文：回应请求、回应应答、地址屏蔽码请求和地址屏蔽码应答。
IP在需要发送一个差错报文时要使用ICMP，而ICMP也是利用IP来传送报文的。
著名的ping工具就是利用ICMP报文进行目标是否可达测试。在进行一系列检测时，按照由近及远原则：
- ping127.0.0.1；
- ping本地IP；
- ping默认网关；
- ping远程主机。

传输层协议TCP

传输控制协议（Transmission Control Protocol，TCP）是整个TCP/IP协议族中最重要的协议之一。
TCP在IP提供的不可靠数据服务的基础上，为应用程序提供了一个可靠的、面向连接的、全双工的数据传输服务。
TCP通过重发（retransmission）和确认（acknowledgement）实现可靠性。
利用TCP在源主机和目的主机之间建立和关闭连接操作时，均需要通过三次握手来确认建立和关闭是否成功。

传输层协议UDP

用户数据报协议（User Datagram Protocol，UDP）是一种不可靠的、无连接的协议，可以保证应用程序进程间的通信。
TCP有助于提供可靠性，而UDO则有利于提高传输的高度率性。
UDP协议软件的主要作用是将UDP消息展示给应用层：
- 不重新发送丢失的或出错的数据消息；
- 不对收到的无序IP数据报重新排序；
- 不消除重复的IP数据报；
- 不对已收到的IP数据报进行确认；
- 不负责建立或终止连接。
- 上述问题由使用UDP进行通信的应用程序负责处理。

应用层协议

随着计算机网络的广泛应用，人们有了许多基本的、相同的应用需求。
为了让不同平台的计算机能够通过计算机网络获得一些基本的、相同的服务，应运而生了一些列应用标准。
实现这些应用标准的专用协议被称为应用层协议。

5.4 Internet基础知识

5.4.1 Internet概述

Internet在逻辑上是统一的、独立的，在物理上则是由不同的网络互联而成。
Internet本身不是某一种具体的物理网络技术，它是能够相互传递信息的众多网络的一个统称。
连入Internet的计算机网络种类繁多、形式各异、分布各地，需要通过路由器（IP网关），并借助各种通信线路把它们连接起来。
Internet无总负责人，由各自独立管理的网络互联构成。目前起主导作用的是Internet学会（Internet Society）。
在Internet中，分布着一些覆盖范围很广的网络，这类网络称为"Internet主干网"，它们一般属于国家级的广域网。
每一个主干网节点可通过路由器将广域网与局域网联接起来，还可以通过另外的路由器与其他局域网再互联，由此形成网状结构。

5.4.2 Internet地址

Internet地址能唯一确定Internet上每一台计算机、每个用户的位置。
Internet地址格式主要有两种书写形式：域名格式和IP地址格式。

域名（Domain Name）

域名通常是用户所在的主机名字或地址。
域名格式由各子域名组成，它们之间用"."分开，每个子域名最少由两个字母或数据组成。
一个完整、通用的层次型主机域名由4部分组成：计算机主机名.本地名.组名.最高层域名。
如果一个主机所在的网络级别较高，它可能拥有的域名仅三部分：本地名.组名.最高层域名。
最高层域名大致可分为两类：一类是组织性顶级域名，如net；一类是地理性域名，如cn。
示例：在www.test.cn中：
- www是主机名。
- test是二级域名。
- cn是顶级域名。

IP地址（Internet Protocol Address）

Internet中的主机地址是用IP地址来唯一标识的，域名和IP地址是一一对应的。
每个IP地址都由4个小于256的数字组成，数字之间用"."分开。Internet的IP地址共有32位，4个字节。有两种表示格式：
- 二进制：10000001 01100110 00000100 00001011；
- 十进制：129.102.4.11。
Internet中的地址可分为5类：A类、B类、C类、D类和E类。在IP地址中，全0代表的是网络，全1代表的是广播。
- C类地址是最通用的Internet地址。
- D类地址是相当新的，用于组播，例如用于路由器修改。
- E类地址为实验保留。
网络软件和路由器使用子网掩码（Subnet Mask）来识别报文是仅存放在网络内部还是被路由转发到其他地方。
- 子网掩码是相对特别的IP地址而言的，如果脱离了IP地址就毫无意义。
- 子网掩码的作用是计算这个IP地址中的网络号部分和主机号部分。
- 子网掩码的格式与IP地址相同，所有对应网络号的部分用1填上，所有对应主机号的部分用0填上。
- 如果需要将网络进行子网划分，此时网络掩码可能不同于以上默认的子网掩码。
可变长子网掩码（Variable Length Subnet Mask）
- 格式：在IP地址后面加上"/网络号及子网络号编址位数"。
- 示例：193.168.125.0/27表示前27位是网络号。
基于A/B/C/D/E类划分子网后，子网的数量为2^{m（m为子网络位数），主机的数量为2}n-2（n为主机位数）。

NAT(Network Address Translation)技术

IP地址短缺的解决方案
- 长期方案：使用地址空间更大的IPv6协议。
- 短期方案：网络地址翻译（Network Address Translators，NAT）是其中一种。
NAT技术提出的建议
- 在子网内部使用局部地址，在子网外部使用少量的全局地址。
- 通过路由器进行内部和外部地址的转换。
NAT实现形式——动态地址翻译（Dynamic Address Translation）
- 存根域（Stub Domain）是内部网络的抽象，这样的网络只处理源和目标都在子网内部的通信。
- 任何时候存根域内只有一部分主机要与外界通信，甚至还有许多主机可能从不与外界通信。故存根域只需共享少量全局IP。
- 当m:n翻译满足条件（m≥1且m≥n）时，可以把一个大的地址空间映像到一个小的地址空间。
- 所有的NAT地址放在一个缓冲区中，在存根域边界路由器中建立一个局部地址和全局地址的动态映像表。
NAT实现形式——网络地址和端口翻译技术（Network and Port Translation，NAPT）
- 是m:1翻译，也叫伪装（masquerading）。
- 用一个路由器的IP地址可以把子网中所有主机的IP地址都隐藏起来。
- 如果子网中有多个主机要同时通信，那么还要对端口号进行翻译。
- NAT路由器中有一个伪装表，通过这个表对端口号进行翻译。

IPv6简介

IPv6数据包的格式
- 版本号：对于IPv6是0110，即十进制数的6。
- 通信类型：指明数据包的流类型给（可拥塞/不可拥塞）和优先级。
- 流标号：属于同一个流的一系列数据包具有相同的流标号。
- 净负荷长度（payload length）：IPv6数据包所载的字节数，可见一个IPv6数据包可容纳64KB的数据。
- 下一个首部（next header）：标识紧接着IPv6首部的扩展首部的类型。
- 跳数限制（hop limit）：用来防止数据包在网络中无限期地存在，经过路由器转发-1。
- 源站IP地址：128位，是数据包的发送站的IP地址。
- 目的站IP地址：128位，是数据包的接收站的IP地址。
IPv6的地址表示

一般来讲，一个IPv6数据包的目的地址可以是以下三种基本类型地址之一

单播/unicast：传统的点对点通信。
多播/multicast：一点对多点的通信，数据包交付到一组计算机中的每一个。IPv6无广播概念，将广播看作多播的一个特例。
任播/anycast：是IPv6增加的一种类型，其目的站是一组计算机，但数据包在交付时只给其中的一个，通常是距离最近的。
IPv6采用冒号十六进制记法，把每个16位用相应的十六进制表示。
0压缩：即一连串连续的0可用一对冒号取代，但在任一地址中，只能用一次。

5.4.3 Internet服务

使用TCP或UDP时，Internet IP可支持65535（2^16-1）种服务，这些服务是通过各个端口到名字实现的逻辑连接。
端口分为两类：
- 一类是已知端口或称公共端口，端口号为0~1023，这些端口号由Internet赋值地址和端口号的组织赋值。
- 另一类是需在IANA（Internet Assigned Numbers Authority，互联网号码分配机构）注册登记的端口，端口号为1024~65535。

域名服务

域名服务将域名地址解析为IP地址。
域名系统采用客户端/服务器模式，由解析器和域名服务器组成。
- 解析器负责查询域名服务器、解释从服务器返回来的应答、将信息返回给请求方。
- 域名服务器可以分为主服务器、Caching Only服务器和转发服务器（Forwarding Server）。
域名系统的工作过程
- 查询本地hosts文件。
- 查询本地DNS缓存。
- 查询本地DNS服务器。
- 查询根DNS服务器。
- 查询顶级DNS服务器。
- 查询权威DNS服务器。
- 本地DNS服务器缓存该条解析记录。
DNS所用的是UDP端口，端口号为53。

远程登录服务

远程登录将用户计算机与远程主机连接，在远程计算机上运行程序，将相应的屏幕显示传送到本地，并将本地输入传送给远程。
Telnet远程登录采用客户端/服务器模式，由客户端软件、服务器软件以及Telnet协议三部分组成。
- 远程计算机又称为Telnet主机或服务器。
- 本地计算机作为Telnet客户端来使用，它起到远程主机的一台虚拟终端（仿真终端）的作用。
Telnet所用的是TCP端口，端口号为23。

电子邮件服务

电子邮件是一种通过计算机网络与其他用户进行联系的现代化通信手段。
E-mail采用客户端/服务器模式，由E-mail客户端软件、E-mail服务器和通信协议三部分组成。
- E-mail客户端也称用户代理，是用户用来收发和管理电子邮件的工具。
- E-mail服务器充当"邮局"的角色，除为用户提供电子邮箱外，还承担着信件的投递业务。
发送邮件所用的SMTP采用TCP端口，端口号为25.
接收邮件所用的POP3采用TCP端口，端口号为110。（POP3能与SMTP搭配使用，也可单独使用，以传送和接收电子邮件）。

WWW（World Wide Web，万维网）服务

万维网是一种交互式图形界面的Internet服务，具有强大的信息连接功能。
万维网采用客户端/服务器模式，由Web服务器、Web浏览器和HTTP通信协议三部分组成。
- Web服务器提供信息资源。
- Web浏览器将信息显示出来。
- HTTP是为分布式超媒体信息系统而设计，主要用于域名服务器和分布式对象管理，能够传送任意类型数据对象。
统一资源定位器（URL）是在WWW种标识某一特定信息资源所在位置的字符串，是一个具有指针作用的地址标准。
- 在浏览器输入查询目标的地址，这个地址即为URL。
- URL也称Web地址，俗称"网址"。一个URL指定一个远程服务器域名和一个Web页。
一个URL（Web地址）包括以下几部分：协议、主机域名、端口号（任选）、目录路径（任选）和一个文件名（任选）。
- 格式：scheme://host.Domain[:port]/path/fileaname。
- scheme：指定服务连接的方式（协议）通常有以下几种：
  
  file：本地计算机上的文件。
  
  ftp：FTP服务器上的文件。
  
  gopher：Gopher服务器上的文件。
  
  http：WWW服务器上的超文本文件。
  
  New：一个USenet的新闻组。
  
  telnet：一个Telnet站点。
  
  wais：一个WAIS服务器。
  
  mailto：发送邮件给某人。
- host.Domain：域名或IP地址。
- port：端口号，如果端口号默认，表示使用与某种服务方式对应的标准端口号。
- path：路径。
- filename：文件名称。
域名和URL的区别：
- 域名用一串用点分隔的名字组成的，用以在Internet上标识计算机或计算机组的名称。
- URL是Internet上的地址薄，用于指向特定网站地址的定位器或地址。
- 域名是URL的一部分，还包括查询参数、路径等信息。
HTTP所用的是TCP端口，端口号为80。

文件传输服务

文件传输协议用来在计算机之间传输文件。
FTP采用客户端/服务器模式，由客户端软件、服务器软件和FTP通信协议三部分组成。
- FTP客户端软件运行在用户计算机上，用户可通过FTP内部命令与远程FTP服务器采用FTP通信协议建立连接或文件传送。
- FTP服务器软件运行在远程主机上，并设置一个名叫anonymous的公共用户账号，向公众开放。
FTP在客户端与服务器的内部建立两条TCP连接
- 一条是控制连接，主要用于传输命令和参数，端口号为21。
- 一条是数据连接，主要用于传送文件，端口号为20。

常用端口汇总

端口号传输层协议应用层协议
20 TCP FTP的数据连接
21 TCP FTP的控制连接
23 TCP Telnet远程登录
25 TCP SMTP
53 UDP DNS
80 TCP HTTP
110 TCP POP3

端口号	传输层协议	应用层协议
20	TCP	FTP的数据连接
21	TCP	FTP的控制连接
23	TCP	Telnet远程登录
25	TCP	SMTP
53	UDP	DNS
80	TCP	HTTP
110	TCP	POP3

5.5 信息安全基础知识

5.5.1 信息安全要素

机密性：确保信息不暴露给未经授权的实体或进程。
完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。
可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。
可控性：可以控制授权范围内的信息流向及行为方式。
可审查性：对出现的信息安全问题提供调查的依据和手段。

5.5.2 信息存储安全

用户的标识与验证
- 作用：限制访问系统的人员。
- 基于人的物理特征的识别：签名识别法、指纹识别法和语音识别法。
- 基于用户所拥有的特殊安全物品的识别：智能IC卡识别法、磁条卡识别法。
用户存取权限限制
- 作用：限制进入系统的用户所能做的操作。
- 隔离控制法：物理隔离、时间隔离、逻辑隔离和密码技术隔离。
- 限制权限法：对用户进行分类管理；对目录、文件的访问进行权限控制；放置在临时区的文件用完尽快移走或删除。
系统安全监控
- 作用：利用日志和审计功能对系统进行安全监控。
- 监控当前正在进行的进程，正在登录的用户情况。
- 检查文件的所有者、授权、修改日期情况和文件的特定访问控制属性。
- 检查系统命令安全配置文件、口令文件、核心启动运行文件、任何可执行文件的情况。
- 检查用户登录的历史记录和超级用户登录的记录。如发现异常，及时处理。
计算机病毒防治
- 经常从软件供应商网站下载、安装安全补丁程序和升级杀毒软件。
- 定期检查敏感文件，以保证及时发现已感染的病毒和黑客程序。
- 使用高强度的命令。
- 经常备份重要数据，要做到每天坚持备份。
- 选择、安装经过公安部认证的防病毒软件，定期对整个硬盘进行病毒检测、清除工作。
- 可以在计算机和因特网之之间安装使用防火墙，提高系统的安全性。
- 当计算机不使用时，不要接入因特网，一定要断掉连接。
- 重要的计算机系统和网络一定要严格与因特网物理隔离。
- 不要打开陌生人发来的电子邮件，同时小心处理来自于熟人的邮件附件。
- 正确配置系统和使用病毒防治产品。

5.5.3 计算机信息系统安全保护等级

《计算机信息系统安全保护等级划分准则》规定的计算机系统安全保护能力的5个等级：

第一级：用户自主保护级，隔离用户与数据。
第二级：系统审计保护级，使用户对自己的行为负责。
第三级：安全标记保护级：主体对客体强制访问控制。
第四级：结构化保护级：自主和强制访问控制扩展到所有主体与客体。
第五级：访问验证保护级：满足访问监控器需求。

5.5.4 数据加密

数据加密是防止未经授权的用户访问敏感信息的手段。
保密通信模型
加/解密函数E和D是公开的，而密钥K（加/解密函数的参数）是秘密的。

5.6 网络安全概述

5.6.1 网络安全威胁

非授权访问：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权的方式进行操作等。
信息泄露或丢失：在传输中丢失或泄露、在存储介质中丢失或泄露以及通过建立隐秘隧道等窃取敏感信息等。
破环数据完整性：恶意添加，修改数据，以干扰用户的正常使用。
拒绝服务攻击：执行无关程序致使系统响应减慢甚至瘫痪。
利用网络传播病毒。

5.6.2 防火墙技术

防火墙（Firewall）是建立在内外网络边界上的过滤封锁机制。
- 它认为内部网络是安全和可信赖的。
- 而外部网络是不安全和不可信赖的。
防火墙的作用是防止不希望的、未经授权地进入被保护的内部网络，通过边界控制强化内部网络的安全策略。
防火墙的发展阶段
- 包过滤防火墙
  
  包过滤器检查数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问。
  
  包过滤器处在网络层和数据链路层，所以无法控制传输数据的内容，因为内容是应用层数据。
  
  优点：可识别和丢弃带欺骗性源IP地址的包。
  
  缺点：不能防范黑客攻击。
- 应用代理网关防火墙
  
  彻底隔断内网与外网的直接通信。所有通信都必须经过应用层代理软件转发。
  
  内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。
  
  优点：可以检查应用层、传输层和网络层的协议特征，对数据包检测能力较强。
  
  缺点：难以配置，处理速度非常慢。
- 状态检测技术防火墙
  
  结合了代理防火墙的安全性和包过滤防火墙的高速度。
  
  在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。
  
  提供了完整的对传输层的控制能力。
一个防火墙通常是由过滤路由器和代理服务器组成。
- 过滤路由器是一个多端口的IP路由器，能够拦截和检查所有出站和进站的数据。
- 代理服务器防火墙使用一个客户程序与特定的中间结点（防火墙），中间结点与期望的服务器进行实际连接。
典型防火墙的体系结构
- 包过滤路由器。
- 双宿主主机。
- 屏蔽主机网关。
- 被屏蔽子网。