[系统运维]计算机网络笔记

第一 计算机网络

计算机网络:是计算机技术与通信技术结合的产物;是信息收集、分发、存储、处理和消费的重要载体。

现代计算机网络特征：○1资源共享；○2分散控制；○3分组交换；○4采用专门的通信控制处理机；○5分层的网络协议。

计算机网络定义：由通信线路互相连接的许多自助工作的计算机构成的集合体。

分布式系统：比计算机网络更高级的系统。

多机系统：与计算机网络类似的系统。
计算机网络的组成元素分为：
① 网络节点：分为端节点和转发点；○a端节点：信源和信宿节点，如用户主机和用户终端。○b转发节点：网络通信过程中控制和转发信息的节点，如交换机集线器等
② 通信链路：是传输信息的信道；如电话线、同轴电缆、光纤
存储转发：一般在广域网中采用的通信方式。
广播通信：主要用于局域网。
计算机网络的分类：按照互联规模和通信方式，把网络分为：局域网（LAN）、城域网（MAN）、广域网（WAN）

ISP:提供互连服务的供应商。

ICP：提供网络信息服务的供应商。

OA：办公自动化

EDI：电子数据交换

我国互联网发展始于：20世纪80年代末，1987年9月20日钱天白教授发出第一封电子邮件。

计算机通信特点：间歇性、突发性。

计算机网络功能：对传输的信息进行分组，加入控制信息，并把分组正确的传送到目的地。

网络必须有差控制功能和寻址功能。

DLC（数据链路控制）
网络的分层体系结构：对等层之间按规定的协议通信、相邻层之间按接口关系提供服务和接受服务。

ISO：国际标准化组织。

OSI/RM：开放系统互联参考模型。

开放系统分层：高层：应用层、表示层、会话层；底层（单位：进程号）：传输层（端口）、网络层（IP）、数据链路层（MAC，帧）、物理层（bit）
应用层：直接为端用户服务，提供分布式处理环境。
表示层：表示层以下关心如何可靠地传输数据。而表示层关心的是所传输数据的表现方式、它的语法和语义，表示服务的例子由统一的数据编码、数据压缩格式和加密技术。
会话层：会话层支持两个表示层实体之间的交互作用。（1）把两个表示实体结合在一起，或者把他们分开，这叫会话管理。（2）控制两个实体间的数据交换过程，例如分段、同步等，这一类叫会话服务。
传输层：传输层用多路复用或者分流的方式优化网络的传输效率。
TCP：传输层的服务可以提供一条无差错按顺序的端到端链接
UDP：传输层提供一条不保证顺序的独立保温传输，或者多目标报文广播。
网络层：属于通信子网，通过网络连接交换层实体发出的数据。交换过层中要解决的关键问题是选择路径，路径既可以是固定不变的，也可以是根据网络的负载情况动态变动，另外一个要解决的的问题是防止网络中出现局部的拥挤或全面的阻塞。网络层还有记账功能，以便根据通信过程中交换的分组数收费。
数据链路层：这一层的功能是建立、维持和释放网络实体之间的数据链路，这种数据链路对网络表现为一条无差错的信道。并把流量控制和差错控制合在一起。
物理层：规定通信设备机械的、电器的、功能的和过程的特性，用于建立、维持和释放数据链路实体键的连接。

第二 数据通信基础

计算机网络采用数据通信方式传输数据。
信源：通信中产生和发送信息的一端。
形式：通信中接收信息的一端。
噪声：信息在传输过程中可能会受到外界的干扰
模拟信号→模拟信道（模拟通信）
模拟信号→数字信道（数字通信）
数字或模拟信号→数字信道（数据通信）
**信道带宽：**○1模拟信道：W=F2 -F1 ;F1 是信道能通过的最低频率，F2是信道能通过的最高频率，两者都是有信道的无力特新决定的。
○2数字信道：数字信道是一种离散信道，他只能传送取离散值的数字信号。
码元（波特/Baud）：一个数字脉冲称为一个码元，用码元速率表示单位时间内信号波形的变换次数，即单位时间内通过信道传输的码元个数。码元速率B=1/T（时间单位，秒）
尼奎斯特定理：有限带宽无噪声信道极限波特率，信道带宽为W则顶礼指出最大码元速率为B=2W（Baud）。一个码元携带的信息量n（位）与码元的种类数N的关系是n=log2N(N=2n)N为离散值，n为信息量
信道的数据速率计算：

电信号传输速度：在电缆中对的传输速度为光速的77%，即200m/us即200000km/s。

卫星信道的时延迟大约为270ms。

无屏蔽双绞线（UTP）Unshielded Twisted Pair

屏蔽双绞线（STP）Shielded Twisted Pair

无线信道包括：微波、红外和短波。

曼切斯特编码：可升1降0也可升0降1

查分曼切斯特编码：有0无1

正交幅度调制（QAM）：Quadrature Amplitude Modulation

数字调制：数字数据不仅可以用方波脉冲传输，也可用模拟信号传输。用数字数据调制模拟信号叫做数字调制。

调制模拟载波用：幅度（ASK）、频率（FSK）和相位（FSK）来表示数字数据。

幅度键控（ASK）：载波的幅度受到数字数据的调制而去不同的值：0或1

频移键控（FSK）：按照数字数据的值调制载波的频率。这种技术的抗干扰性能好，但占用的带宽较大。

相移键控（PSK）：用数字数据的值调制载波的相位。

正交幅度调制（Quadrature Amplitude Modulation，QAM）就是把两个幅度相同但相位相差90°的模拟信号合成一个模拟信号。ASK、PSK相结合。

模拟数据的数字化：用编码解码器把模拟数据变换为数字信号的过程。常用的数字化技术就是脉冲编码调制技术（Pulse Code Modulation，PCM）简称 脉码调制

脉冲编码调制技术（PCM）：Pulse Code Modulation 三步骤：取样、量化、编码

取样：奈奎斯特取样定理告诉我们：如果取样速率大于模拟信号最高频率的两倍，则可以用得到的样本空间恢复原来的模拟信号，即f=1/T>2fmax f为取样频率，T为取样周期，fmax为信号的最高频率。

量化：取样后得到的值是连续值，这些样本必须量化为离散值，离散值的个数决定了量化的精度。

编码：把量化后的样本值变成相应的二进制代码，可以得到相应的二进制代码序列，其中每个二进制代码都可以用一个脉冲串（4位）来表示，这4位一组的脉冲序列就代表了经PCM编码的模拟信号。

按数据的传输方向分可以把数据的通信方式分为单工通信、半双工通信和全双工通信。

在通信过程中，发送方和接收方必须在时间上保持同步才能准确的传送信息。

异步传输：把各个字符分开传输，字符之间插入同步信息。这种方式也叫止步式，即在字符的前后分别插入起始位0和停止位1

同步传输：异步传输不适合传送大的数据块，同步传输在传送连续的数据块时比异步传输更有效。按照这种方式，发送方在发送数据之前先发送遗传同步字符SYNC，接收方只要检测到连续两个以上SYNC字符就确认已进入同步状态。

交换方式分为：
一、电路交换：接收方和发送方用一系列链路直接连通。特点：建立需要等待较长时间。由于建立连接后通路是专用的，因而不会有其他用户的干扰，不再有等待延迟。适用于传输大量的数据，传输少量数据时效率不高。
二、报文交换：这种方式不需要在两个通信节点之间建立专用通路。也叫存储——转发网络。优点是不建立专用链路，线路是共享的，因而利用率较高，这是由通信中的等待时延换来的。
三、分组交换：这种交换中数据包由固定的长度，因而交换节点只要在内存中开辟一个小的缓冲区就可以了。一次通信中的所有分组在网络中传播又有两种方式：○1数据报（Datagram）：每个分组在网络中的传播路径完全是由网络当时的状况随即决定的，每个数据报分组都含有完整的地址信息。○2虚电路（Virtual Circuit）：这种方式要求在发送端和接收端建立一条逻辑连接。与电路连接不同的是，逻辑连接的建立并不意味着其他通信不能使用这条线路，它仍然具有链路共享的优点。虚电路可以是暂时的，即会话开始建立，会话结束拆除，这叫虚呼叫（SVC），也可以是永久的，即通信双方一开始就自动建立连接，直到一方请求释放才断开连接，这叫永久虚电路（PVC）。

多路复用技术是吧多个低速信道组合成一条高速信道的技术。

频分多路复用是在一条传输介质上使用多个频率不同的模拟载波信号进行多路传输。

时分多路复用（Time Division Multiplexing，TDM）要求各个自通道按时间轮流的占用整个带宽。时分制按照子通道的动态利用情况又可分为同步时分和统计时分。

波分多路复用（Wave Division Multioexing，WDM）使用在光纤通信中，不同的子信道用不同波长的光波承载，多路复用信道同时传送所有子信道的波长。这种技术在网络中要使用能够对光波进行分解和合成的多路器。

贝尔系统的T1载波：在美国和日本使用很广的一种通信标准。T1载波也叫一次群，他把24路话音信道按时分多路的原理符合在一条1.544Mbps的高速信道上。传输数据的比特率为7b/125us=65Kbps，传输控制信息的比特率为1b/125us=8Kbps，总的比特率为193b/125us=1.544Mbps。4倍T1 =T2 ；7倍T2 =T3 ；6倍T3=T4 。E1信道的速率为2.048Mbps

同步数字系列（光纤）：光纤的多路复用标准有两个，一个为，美国的同步光纤网络（Synchronus Optical Network， SONET）ITU-T以SONET为基础制定了国际标准叫同步数字系列（Synchronous Digital Hierarchy，SDH）SDH的速率为155.52Mbps，成为第一级同步传输模块（Synchronous Transfer Module）

通信过程中出现的差错可大致分为两类：一类是有热噪声引起的随机错误，另一类是由冲击噪声引起的突发错误。

奇偶校验是最常用的检错方法，其原理是在7位的AUCII代码后增加一位，是码字中1的个数成奇数（奇校验）或偶数（偶校验）。只能对付少量的随机性错误。

海明码：可检错和纠错。1950年海明研究了冗余数据位来检测和纠正代码差错的理论和方法。如果任意两个码字之间的海明距离是d，则所有小于等于d-1位的错误都可以检查出来，所有小于d/2位的错误都可以纠正。

循环冗余检验码（Cyclic Redundancy Check，CRC）：是一种循环码，它有很强的检错能力，而且容易用硬件实现，在局域网中有广泛应用。

第三 广域通信网（通信模式为分组交换）

公共交换电话网（PSDN）：最早出现的也是普及面最广的通信网后来出现了各种公用数据网

公共交换电话网（PSTN）：电话线拨号上网。

电话系统：线缆传输距离1~10KM，只能传输模拟信号。

话音信道：公共载体典型带宽为4000Hz

数据终端设备（DTE）：Data Terminal Equipment

数据电路设备（DCE）：Data Circuit Equipment

对于DTE和DCE之间的通信CCITT和ISO以“机械特性”“电气特性”“功能特性”“过程特性”来描述
○1机械特性：几何外形、尺寸大小、引线数、引线排列方式以及锁定装置（外形、尺寸、大小）
○2电气特性：规定信号的连接方式以及驱动器和接收器的电气参数并给出有关互联电缆方面的技术指导。
○3功能特性：对接口的功能给出确切的定义。接口线的功能可分为；数据线、控制线、定时线和地线
○4过程特性：操作顺序、操作过程和操作规程

RS-232-C：
1机械特性：没有证书规定连接器的标准，只是在附录中建议使用25针的D型连接器标准，另外在PC（微型机）中大多使用9针的连接器
2电气特性：传输速率为20K，最大距离为15M。采用V.28标准电路，信号源产生3_{15V的信号（±3V之间为过渡区间，-3}-15表示1，+3~+15表示0），电气特性的标准是V.10（非平衡输出）和V.11（平衡接口）
3功能特性：采用标准是V.24
4过程特性：控制信号之间的相互关系是根据互连设备的操作特性随时间而变化的。

电子工业协会（EIA）：Electronic Industries Association

调制解调器（Modem）：Modulation and Demodulation 数模或模数转换，通常由电源、发送电路和接收电路组成。作用是把模拟信号转换成计算机能够接收的数字脉冲，现代高速Modem采用格码调制（Trellis Coded Modulation，TCM）V.32协议。

使用格码调制技术的V.32Modem可以在公共交换网上实现9600bps的高速传输。

数据压缩技术V.29 Modem使用数据压缩算法可以达到2:1压缩比，所以理论上发送速率可以达到19200bps，1996年出现了56Kbps的Modem，于1998年形成了ITU的V.90建议。

X.25公共数据网(PDN)是在一个国家或全世界范围内提供公共电信服务的数据通信网。

CCITT于1974年提出了访问分组交换网的协议标准，X.25建议。这个标准分为了3个协议层即：物理层、链路层和分组层，分别对应ISO/OSI参考模型的低三层。

X.25电路特性采用X.21标准，X.21有采用X.27、X.26；两种接口电路，X.21机械接口采用15针连接器。

流量控制：是一种协调发送站和接收站工作的步调技术，目的在于避免由于发送速度过快，使得接收站来不及处理而丢失数据。

停等协议：发送数据等待回应信号。（卫星信道的传播延迟是270ms
滑动窗口协议：一次性发送N个数据，无需等待应答信号（ACK）

差错控制：检测并纠正错误。肯定应答：ACK；否定应答重发：NCK

超时重发：利用差错检测技术自动的对丢失帧和错误帧请求重发，因而叫做ARQ(Automatic Repeat reQuest)自动请求重发协议ARQ协议

1. 停等ARQ协议：是停等流控制技术和自动请求重发技术的结合。
2. 选择重发ARQ协议：滑动窗口技术和自动请求重发技术的结合。由于窗口尺寸开到足够大时，帧在线路上可以连续的流动，因此又称其为连续ARQ协议。所以采用选择重发ARQ协议时窗口的最大值应为帧编号数的一半，即W发=W收≤2k-1

后退N帧ARQ协议：冲出错处重发已发出过的N个帧。（从发现错误处向后全部重发）在后退N帧协议中必须限制发送窗口大小 W≤2k-1

HDLC（High Level Data Link Control）协议：高级数据链路控制协议分为两大类：面向字符的协议和面向位（比特）的协议。

HDLC的基本配置：
HDLC定义了3种类型的站、两种链路配置和3种数据传输方式；
（1） 主站：对联路进行控制，主站发出的帧叫命令帧。
（2） 从站：在主站控制下进行操作，从站发出的帧叫响应帧。
（3） 复合战：具有主站和从站的双重功能。复合战既可以发送命令帧也可以发出响应帧。

两种链路配置如下：
（1） 不平衡配置：适用于点对点和点对多链路，这种链路由一个主站和一个或多个从站组成，支持全双工或半双工传输。
（2） 平衡配置：仅用于点对点链路。这种配置由两个复合站组成，支持全双工或半双工传输。
3种数据传输方式：
（1） 正常相应方式（Normal Response Mode，NRM）适用于不平衡配置，只有主站能启动数据传输过程，从站受到主站的询问命令才能发出数据。
（2） 异步平衡方式（Asynchronous Balanced Mode，ABM）适用于平衡配置，任何一个复合站都无须取得另一个复合站的允许就可以启动数据传输过程。
（3） 异步相应方式（Asynchronous Response Mode，ARM）：适用于不平衡配置，从咱无须取得主站的明确指示就可以启动数据传输，主站的责任只是对线路进行管理。

HDLC帧结构：以两端的标志字段（F）作为帧的边界，在信息字段（INFO）中包含了要传输的数据。

X.25PLP协议：X.25的分组是提供虚电路服务，一共有两种形式的虚电路：一种是交换虚电路（Switched Virtual Call，SVC），交换虚电路是动态建立的虚电路，包含呼叫建立、数据传送和呼叫清除等。
一种是永久虚电路（Permanent Virtual Circuit，PVC）：是网络指定的固定虚电路，像专用线一样，无需建立和清除连接，可直接传送数据。
X.25的流控和差错控制机制与HDLC类似。
X.25默认窗口大小是2
X.25的差错控制采用后退N帧ARQ协议。

帧中继（Frame Relay，FR）在第二层建立虚电路，用帧方式承载数据业务，因而第三层就被简化掉了。同时FR的帧层也比HDLC简单，只做检错，不在重传，没有华东窗口似的流控，只有拥塞控制。（效率高）
帧中继网络提供虚电路业务。虚电路是端到端的连接，不同的数据链路的数据链路连接标示符（Datd Link Connection Identifier，DLCI）代表不同的虚电路。
在帧中继网上，用户的数据速率可以在一定的范围内变化，从而既可以适应流式业务，又可以适应突发式业务。

帧中继协议：与HDLC一样，帧中继采用帧作为传输的基本单位为。帧中继协议叫做LAP-D(Q.921)，它比LAP-B简单，省去了控制字段。
LAP-D：X.25链路层协议
LAP-B：帧中继的链路协议。
帧中继远程连网主要优点：
（1） 基于分组(帧)减缓的透明传输，可提供面向连接的服务。
（2） 帧长可变，长度可达1600—4096字节，可以承载各种局域网的数据帧。
（3） 可以达到很高的数据速率，2—45Mbps。
（4） 既可以按需求提供带宽，也可以应付突发的数据传输。
（5） 没有流控和重传机制，开销很少。

第四章 局域网与城域网

传统局域网（Local Area Network，LAN）是分组广播式网络。

广域网（WAN）：分组交换式网络。

城域网（Metropolitan Area Network，MAN）
拓扑结构和传输介质决定了○1各种LAN的特点，○2决定了它们的数据速率和通信效率，○3决定了适合于传输的数据类型，○4决定了网络的应用领域。

总线型拓扑：是一种多点广播介质，所有的站点都通过接口硬件连接到总线上。由于总线是共享介质，多个站点同时发送数据时会发生冲突，因而需要一种分解冲突的介质访问控制协议。

以太网使用特性阻抗为50Ω的同轴电缆，特点：具有较小的低频电噪声，在接头处产生的反射也小

宽带系统使用的是特性电阻为75Ω的CATV电缆。

环形拓扑：由一系列首尾相连的中继器组成，每个中继器连接一个工作站。

星型拓扑：有一个中心节点，所有站点都连接到中心节点上。星型拓扑也可以组成分组广播式局域网。

802.1研究局域网体系结构、寻址、网络互联和网络管理。802.1Q（VLAN）802.1X（安全认证）
802.2研究逻辑链路控制子层（LLC）的定义
802.3研究以太网介质访问控制协议CSMA/CD及物理层技术规范。
802.3u（百兆）802.3z（千兆）802.3ae（万兆）
802.11研究无线局域网（WLAN）的介质访问控制协议及物理层技术规范
802.14研究采用线缆调制解调器（Cable Modem）的交互式电视介质访问控制协议及物理层技术规范
802.15研究采用蓝牙技术的无线个人网（Wireless Personal Area Network，WPAN）技术规范
802.16宽带无线介入工作组（4G），开发2~66GHz的无线接入系统空中接口。
IEEE802把数据链路层划分为两个子层○1与物理介质相关的部分叫做介质访问控制（Media Access Control，MAC）子层，○2与物理介质无关的部分叫做逻辑链路控制（Logical Access Control，LLC）子层。LLC提供标准的OSI数据链路层服务

逻辑链路控制子层规范包含在IEEE802.2标准中，这个标准与HDLC是兼容的
LLC提供了一下3中服务
○1无确认无连接的服务（LLC1）支持无确认无连接的服务
○2连接方式的服务（LLC2）支持连接方式的服务
○3有确认无连接的服务（LLC3）支持有确认无连接的服务

载波侦听多路访问/冲突检测CSMA/CD（Carrier Sense Multiple Access/Collision Detection）
CSMA的基本原理是：站在发送数据之前，先坚挺信道上是否有别的站发送的载波信号，若有，说明信道正忙，否则说明信道是空闲的，然后根据预定的策略决定。
（1）非坚持型监听算法。当一个站准备好帧，发送之前先监听信道○1若信道空闲，立即发送，否则转○2。○2若信道忙，则后退一个随机时间，重复○1
（2）1-坚持型坚挺算法。当一个站准备好帧，发送之前先监听信道。○1若信道空闲，立即发送，否则转○2。○2若信道忙，继续监听，知道信道空闲后立即发送。
（3）P-坚持型监听算法。这种算法汲取了以上两种算法的优点，但较为复杂。
802.3阻塞信号8个16进制的序列55555555
802.3传输介质：（10兆网络）10Base5表示数据速率为10Mbps，Base表示基带，5表示最大传输距离为500米。另：还有一个规则为543规则：标准规定网络最大传输距离为2.5KM，5代表可以有5段组成，4代表最多可以有4个中继器，3代表其中3段为同轴电缆，其余为链路断不含工作站（其中3段可以上网）。

交换式以太网：10M网络，E 0/0/0表示 E：Ethernet 以太网。
第一个0表示插槽数，第二个0表示板卡数，第三个0表示端口数。
1995年100Mbps的快速以太网彼岸准IEEE802.3u正式颁布。
FastEthernet，快速以太网
Fiber，光纤
Twisted-pair，双绞线
Base，基带传输
eXtended，扩展

快速以太网的数据速率提高了10倍，二最小帧长没有变，所以冲突时槽缩小为5.12微秒，有slot=2S/0.7C+2tphy，其中，S表示网络跨距，0.7C是光速的0.7倍。tphy表示工作站物理层时延。由于进出发送站都会产生时延所以取其两倍。故可以得到计算快速以太网跨距的公式：S=0.35C（Lmin/R-2tphy）
千兆以太网，1996年3月成立802.3z工作组，1998年6月公布802.3z和1999年公布802.3AB千兆以太网的正式标准。

万兆以太网，2002年6月IEEE802.3ac标准正式颁布，支持10Gbps的传输速率，没有冲突检测，载波监听和多路访问技术也不再重要。千兆以太网和万兆以太网采用与传统以太网同样的帧结构。

虚拟局域网（Virtual Local Area Network，VLAN）虚拟局域网与物理局域网具有同样的属性。
（1）静态VLAN，基于端口的划分。
（2）动态VLAN，可以根据设备的MAC地址、网络层协议、网络层地址、IP广播域和管理策略来划分。

物理网络划分VLAN的好处如下：
（1）控制网络流量。有助于控制广播风暴，减少冲突域，提高网络带宽的利用率。
（2）提高网络的安全性。广播过滤、安全和流量控制。
（3）灵活的网络管理。突破地理位置的限制
802.1q VLAN帧格式长度为1522

接入链路连接（Access Link Connection）
中继链路连接（Trunk-Link Connection）

局域网通过网桥互联。
IEEE802标准中有两种关于网桥的规范：
（1）802.1d定义的透明网桥（802.5）标准中的源路由网桥。
生成树（Spanning Tree）网桥是一种完全透明的网桥，这种网桥插入电缆后就可以自动完成路由选择的功能，无须由用户装入路由表或设置参数，网桥的功能是自己学习获得的。
1998年，IEEE发表了802.1w标准，定义了快速生成树协议（Rapid Spanning Protocol，RSTP）
IEEE802.1d（生成树标准）802.1t（生成树补充标准）

源路由网桥的核心思想是由帧的发送者显式地指明路由信息。
路由信息由网桥地址和LAN标识符的序列组成，包含在帧头中。每个收到帧的网桥根据帧头中的地址信息可以知道自己是否在转发路径中，并可以确定转发的方向。

城域以太网论坛（Metro Ethernet Forum，MEF）是由网络设备制造商和网络运营商组成的非盈利组织，专门从事城域以太网的标准化工作。MEF的承载以太网（Carrier Ethernet）技术规范提出了以下几种业务类型：
○1以太网专用线（Ethernet Private Line，EPL），在一对用户以太网之间建立固定速率的点对点专线连接。○2以太网虚拟专用线（Ethernet Virtual Private Line，EVPL），在一对用户以太网之间通过第三层技术提供点对点的虚拟以太网连接，支持承诺的信息速率（CIR）、峰值信息速率（PIR）和突发式通信。○3以太局域网服务（E-LAN Services），由运营商建立一个城域以太网，在用户以太网之间提供多点对多点的第二层连接，任意两个用户以太网之间都可以通过城域以太网通信。第三种技术被认为是最有前途的解决方案。提供E-LAN服务的基本技术是802.1q的VLAN帧标记。

假定各个用户的以太网称为C-网，运营商建立的城域以太网称为S-网。
弹性分组环（Resilient Packet Ring，RPR）是一种采用环形拓扑的城域网技术。

RPR支持的数据速率可达10Gbps
RPR的关键技术：○1业务类型○2空间复用○3拓扑发现○4公平算法○5环自愈保护（RPR和SDH一样，能保证业务的倒换时间少于50ms）

第五 无线通信网

第一代蜂窝移动电话系统：（Advanced Mobile Phone System，AMPS）高级移动电话系统，采用模拟制式的频分双工（Frequency Division Duplex，FDD）技术。

第二代移动通信系统：数字蜂窝电话，我国最初采用欧洲电信的（Global System for Mobile）系统和美国高通公司的码分多址（Code Division Multiple Access，CDMA）系统。

全球移动通信系统GSM，采用（Time Division Multiple Access，TDMA）时分多路复用技术。

第二代移动通信升级版2.5G，(General Packet Radio Service,GPRS)理论上的分组交换速度大约是170Kbps，而实际只有30~70Kbps
2.75G，增强数据速率的GSM演进（Enhanced Data rates for GSM Evolution，EDGE）被称为增强型GPRS（EGPRS）支持20~200Kbps的高速数据传输。

第三代移动通信系统，1999年ITU批准了5个IMT-2000的无线电接口：
○1IMT-DS（Direct Spread）：即W-CDMA，属于频分双工模式，在日本和欧洲制定的UMTS系统中使用。
○2ITT-MC（Multi-Carrier）即CDMA-2000，属于频分双工模式，是第二代CDMA系统的继承者
○3IMT-TC（Time-Code）这一标准是中国提出的TD-SCDMA,属于时分双工模式。
○4IMT-SC（Single Carrier）也称为EDGE，是一种2.75G技术
○5IMT-FT（Frequency Time）也称为DECT。

无线城域网技术，2007年10月19日，ITU会议批准移动WIMAX作为第6个3G标准，称为IMT-2000 OGDMA TDD WMAN。

4G的传输速率应该达到100Mbpps，可以把蓝牙个域网、无线局域网（WI-FI）和3G技术等结合在一起

无线局域网（Wireless Local Area Networks，WLAN）分为两大阵营：○1IEEE 802.11标准体系和欧洲邮电委员会（CEPT）制定的HIPERLAN（High Performance Radio LAN）

802.11定义了两种无线网络拓扑结构，一种是基础设施网络（Infrastructre Networking），另一种是特殊网络（Ad Hoc Networking），在基础设施网络中，无线终端通过接入点（Access Point，AP）访问骨干网设备，接入点如同一个网桥，它负责在802.11和802.3MAC协议之间进行转换。
Ad Hoc网络是一种点对点连接，不需要有线网络和接入点的支持，终端设备之间通过无线网卡可以直接通信，这种拓扑结构适合在一定情况下快速部署网络。

FAT胖AP：功能强大
FIT瘦AP：用于接入
基本服务区（Basic Service Area，BSA）
基本服务集（Basic Service Set，BSS）
分布式系统（Distributed System，DS）
扩展服务集（Extended Service Set，ESS）

现有的无线网主要使用3种通信技术：红外线、扩展频谱和窄带微波技术。

红外通信：红外线（Infrared Ray，IR）红外线频谱是无限的，因此有可能提供极高的数据速率，其次红外线频谱在世界范围内都不受管制，而有些微波频谱则需要申请许可证。另外红外线与可见光一样，可以被浅色的物体漫反射，这样可以用天花板反射来覆盖整间房间。红外线网络的另一个优点是它的设备相对简单而且便宜。红外线网络也存在一些缺点，室内环境可能因阳光或照明而产生相当强的光线，这将成为红外接收器的噪音，是的必须使用更高能量的发送器，并限制了通信范围。数据速率分为1Mbps和2Mbps

IR通信分为3种技术：○1定向红外光束，定向红外光束可以用于点对点链路。○2全方向广播红外线。全向光波网络包含一个基站○3漫反射红外线。
扩展频谱通信：主要想法是将信号散布到更宽的带宽上以减少发生阻塞和干扰的机会。早起的扩频方式是频率跳动扩展频谱（Frequency-Hopping Spread Spectrum，FHSS）更新版本是直接序列扩展频谱（Direct Sequence Spread Spectrum，DSSS）

窄带微波通信：窄带微波（Narrowband Microwave）是指使用微波无线电频带（RF）进行数据传输。
802.11体系结构：MAC层分为MAC子层和MAC管理子层。MAC子层负责访问控制盒分组拆装，MAC管理子层负责ESS漫游、电源管理和登记过程中的关联管理。物理层分为物理层汇聚协议（Physical Layer Convergence Protocol，PLCP）、物理介质相关（Physical Medium Dependent，PMD）子层和PHY管理子层。PLCP主要进行载波监听和物理层分组的建立，PMD用于传输信号的调制和编码，而PHY管理子层负责选择物理层信道和调谐。
MAC子层的功能是提供访问控制机制，它定义了3种访问控制机制：CSMA/CA支持竞争访问、RTS/CTS和点协调功能支持无精症的访问。
○1CSMA/CA协议：叫做载波监听多路访问/冲突避免协议。类似于802.3的CSMA/CD协议。采用冲突避免的方法可以解决隐蔽终端的问题。
RTS/CTS协议（Request To Send/Clear To Send）即请求发送/清除发送。
RS232标准中的RTS与CTS：即请求发送/清除发送，用于半双工时的收发切换。
○2分布式协调功能，802.11MAC层定义的分布式协调功能（Distributed Coordination Function，DCE）利用了CSMA/CA协议，在此基础上又定义了点协调功能（Point Coordination Function，PCF）DCF式数据传输的基本方式，作用与信道竞争期，PCF工作与非竞争期。
为了使各种MAC操作互相配合，IEEE802.11推荐使用3种帧间隔（IFS），以便提供基于优先级的访问控制。
○1DIFS（分布式协调IFS）：最长的IFS，优先级别最低，用于一部帧竞争访问的时延。
○2PIFS（点协调IFS）：中等长度的IFS，优先级别居中，在PCF操作中使用。
○3SIFS（短IFS）：最短的IFS，优先级别最高，用于需要立即响应的操作。
○3点协调功能：所谓点协调就是由AP集中轮询所有终端，为其提供无竞争的服务，这种机制适用于时间敏感的操作。在轮询过程中使用PIFS作为帧间隔时间。

MAC管理，实现登记过程、ESS漫游、安全管理和电源管理等。
○1登记过程，是一种管理帧，由AP定期发送，勇于实践同步。信标还用来识别AP和网络，其中包含基站ID、时间戳、睡眠模式和电源管理等。
○2移动方式，IEEE802.11定义了3种移动方式：无转移方式是指终端是固定的，或者仅在BSA内部移动；BSS转移是指终端在同一个ESS内部的多个BSS之间移动；ESS转移是指从一个ESS移动到另一个ESS。
○3安全管理，IEEE802.11提供了有线等效保密（Wired Equivalent Privacy，WEP），又称无线加密协议（Wireless Encryption Protocol）密钥交换协议TKIP；高级加密标准AES。
○4电源管理，IEEE802.11允许空闲站处于睡眠状态，在同步时钟的控制下周期性的唤醒处于睡眠态的空闲站。
移动AD HOC网络，是由无线节点组成的对等网，无须网络基础设施的支持，能够根据通信环境的变化实现动态重构，提供基于多跳无线连接的分组数据传输服务。在这种网络中，每一个节点即是主机，又是路由器，他们之间相互转发分组，形成一种自组织的（Mobile AD Hoc Network，MANET）网络

MANET种的路由协议，根据路由策略可分为表驱动的路由协议和源路由协议；根据网络结构可以划分为扁平的路由协议、分层的路由协议和基于地理信息的路由协议。

（1）扁平的路由协议，特点是参与路由过程的各个节点所起得作用都相同。
○1先验式/表驱动路由，通过周期的交换路由信息，每个节点可以保存完整的网络拓扑结构图。先验式路由协议适合节点移动较小，而数据传输频繁的网络。缺点：路由开销较大
○2反应式，移动节点只是在需要通信时才发送路由请求分组，以此来减少路由开销。
（2）分层的路由协议，集群头网关交换路由协议(Clusterhead Gateway Switch Routing Protocol，CGSR)把移动节点聚集成不同的集群（Cluster），每一个集群选择出一个群集头。
（3）地理信息路由协议，利用地理坐标信息来设计AD Hoc路由协议，这使得搜索目标节点的过程更加直接和有效。

DSDV 协议
目标排序的距离矢量协议（Destination-Sequenced Distance Vector，DSDV）是一种扁平式路由协议。这是由传统的Bellman-Ford算法改进的距离适量协议，利用序列号机制解决了路由环路问题。DSDV节点周期性地广播路由公告，但是在出现新联路或者老链路断开时立即触发链路公告。链路公告有两种形式，广播全部路由表，称为完全更新。另一种是只发送最近改变了的路由表项，称为递增式更新。这种机制可以排除环路现象。要解决的另一个问题是路由波动问题。

AODV协议
按需分配的距离矢量协议（Ad hoc On-Demand Distance Vector，AODV）也是一种扁平式路由协议，但采用了反应式路由策略。这是一种距离矢量协议，利用类似于DSDV的序列号机制解决了路由环路问题。他在需要传送信息的时候才发送路由请求，从而减少了路由开销。AODV适合于快速变化的AD Hoc网络环境，用于路由信息交换的处理时间和存储器开销较小。
AODV是一种按需分配的路由协议，当一个节点需要发现到达某个目标节点的路由时就广播路由请求（Route Request，RREQ）报文。

IEEE802.11的新进展
无线局域网面临着两个问题：一、增强安全性，二、提高数据速率。
1、 WLAN的安全性。
在无线局域网种可以采用下列安全措施：1)SSID（Service Set Identifier）访问控制。2）物理地址过滤，MAC地址可以伪造，所以这是级别较低的认证功能3）有线等效保密（Wired Equivalent Privacy，WEP）使用RC4协议进行加密。4）WAP（Wi-Fi Protected Access）WAP还采用了可以动态改变密钥的临时密钥完整性协议TKIP（Temporary Key Integrity Protocol）WPA2更安全。
2、 WLAN的传输速率
采用正交频分复用（Orthogonal Frequency Division Multiplexing，OFDM）和多入多出（Multiple Input Multiple Output）
无线个人网
IEEE802.15负责制定无线个人网（Wireless Personal Area Network，WPAN）是一种小范围无线通信技术，覆盖范围10米左右。

微微网：Piconet，特点：一个主设备，7个从设备。各个电子设备（DEV）可以独立的互相通信，其中一个设备作为通信控制的协调器PNC（piconet coordinator），负责网络定时和向DEV发放令牌。获得令牌的DEV才可以发送通信请求。PNC还具有管理QoS需求和调节电源功耗的功能。

ZigBee网（蜜蜂网）802.15.4瞄准速率更低、距离更近的无线个人网。
蓝牙：
**1）**核心系统包含4个底层功能及其有关的协议。最下面三层通常被组合成一个子系统，构成了蓝牙控制器，而上面的L2CAP以及更高的服务都运行在主机中。
蓝牙控制器与高层之间的接口叫做主机控制器接口HCI（Host Controller Interface）
低三层：RF（Radio Frequency）协议
（第一层），链路控制协议LCP（Link Control Protocol）
（第二层），链路管理协议LMP
（第三层）和L2CAP（第四层）
**2）**核心功能模块（1）信道管理器（2）L2CAP资源管理器（3）设备管理器（4）链路管理器（LM）（5）基带资源管理器（6）链路控制器（7）RF（Radio Frequency）

无线城域网：802.16。WiMAX（World Interoperability for Microwave Access）论坛是由Inter等芯片制造商与2001年发起成立的。目前比较成熟的标准有两个：1）2004年颁布的802.16d这个标准支持无线固定接入，也叫固定WiMAX;2）2005年颁布的802.16e，他是在前一种标准的基础上增加了对移动性的支持，所以也叫移动WiMAX。

WiMAX与Wi-Fi对比
Wi-Fi 无线热点。属于WLAN，基于802.11；覆盖范围小，数据速率低。较低的安全性和可扩展性。

WiMAX 无线城域网，基于802.16；覆盖范围大，传输速率高。具有更高的扩展性和安全性。从而能够实现电信级的多媒体通信服务。

802.16采用两个工作频段；1）10-66GHz频段的波长较短；2）2~11GHz
802.16采用多路复用方式（OFDM/OFDMA）和多入多出技术（MIMO）；一频分双工（FDD）或时分双工（TDD）方式工作。

WiMAX 二（4G）4G标准有三个1）UMB（Ultra Mobile Broadband）放弃了；2）LTE（Long Term Evolution）和WiMAX二（IEEE802.16m）
2013年底，工信部向三大运营商发放了4G牌照（TD-LTE）。对于LTE上、下行信道的划分可以使用时分多路（TDD）技术，也可以使用频分多路（FDD）技术，欧洲运营商大多倾向于FDD-LTE。中国移动受限于3G时代的TD-SCDMA网络，最初就明确建设TD-LTE。中国联通和中国电信则倾向于FDD-LTE。

第六 网络互联与互联网

网络互联设备
中继器（Repeater）工作于物理层；网桥（Bridge）和交换机（Switch；没有特别说明默认为二层交换机）工作于数据链路层；路由器（Router）工作于网络层；网关（Gateway）工作于网络层以上的协议层。

中继器（传输比特流-位）
功能是对接收信号进行再生（放大）和发送。再生的信号与接收到的信号完全相同，并可以沿着另外的网段传输到远端，中继器不解释也不改变接收到的数字信息。5-4-3规则：5个网段；4个中继器；3个网段接PC。集线器：工作原理与中继器相同，集线器就是一个多端口的中继器，他把一个端口上收到的数据广播发送到其他所有端口上。

网桥（MAC）
类似于中继器，也用于连接上个局域网段。工作在数据链路层。网桥要分析帧地址字段，已决定是否把收到的帧转发到另一个网段上。
数据帧：最大1518 最小46.

以太网中广泛使用的交换机是一种多端口网桥，每一个端口都可以连接一个局域网。

路由器
工作于网络层，他才处理的信息比网桥多，因此处理速度比网桥慢。但路由器的互连能力更强，可以执行复杂的路由选择算法。路径选择。

网关
网关是最复杂的网络层互连设备，它用于连接网络层以上执行不同协议的子网，组成异构型的因特网。网管能对互不兼容的高层协议进行转换。有时不区分网关和路由器，二十八网络层及其以上进行协议转换的互连设备统称为网关。

广域网互连
广域网的互连一般采用在网络层进行协议转换的办法实现，这里使用的互连设备叫做网关（路由器）。
面向连接的网际互联：打电话；面向无连接的网际互联：广播。

IP协议
Internet是今天使用最广泛的网络，因特网中最主要的协议是TCP/IP，所以Internet协议也叫TCP/IP协议簇。

TCP/IP协议簇与OSI/RM的比较

IP地址的编码规定全0表示本地地址，即本地网络或本地主机；全1表示广播地址，任何网站都能接收。
可变长子网掩码（Variable Length Subnetwork Mask，VLSM）
D类地址是组播地址；实现组播需要特殊的方法。首先是网络中必须有能识别组播地址的路由器，其次主机要能够发送组播数据报，另外主机还需要能够接受数据报。

IP协议的操作
1、 数据报生存期（TTL）
生存期的长短以它经过的路由器的多少计数，每经过一个路由器，计数器+1，计数器唱过一定的计数值，数据报就被丢弃。
2、 分段和重装配（MTV）
MTV最大传输单元是1500；MAC帧最大1518；VLAN最大1522；
IP协议使用了4个字段处理分段和重装配问题。
3、 差错控制和流控
无连接的网络操作不保证数据报的成功提交，当路由器丢弃一个数据报时，要尽可能地向源点返回一些信息。源点IP可以根据收到的出错信息改变发送策略或者把情况报告给上层协议。

IP协议数据单元
IP 协议的数据格式
版本号 IHL 服务类型 总长度
标识符（ID） 没启用 D M 段偏置值
生存期 协议（TCP/UDP） 头校验和
源地址
目标地址
任选地址+补丁
用户数据
版本号：协议的版本号，不同版本的协议格式或语义可能不同，现在常用的是IPV4，正在逐步过渡到IPV6
IHL：IP头长度，以32位字计数，最小为5，即20字节。
服务类型：用于区分不同的可靠性、优先级、延迟和吞吐率的参数。
总长度：包含IP头在内的数据单元的总长度（字节数）。
标识符：唯一标识数据报的标识符。
标志：D表示禁止。M表示多段。第三个标志当前没启用。
段偏置值：指明该段处于原来数据报种的位置。
生存期：用经过的路由器个数表示。
协议：上层协议（TCP/UDP）
头校验和：指检验数据报的首部，不包括数据部分。
源地址：给网络地址和主机地址分别分配若干位。
目标地址：同上
任选数据：可变长，包含发送者想要发送的任何数据。
补丁：补齐32位的边界。
用户数据：以字节为单位的用户数据，和IP头加在一起的长度不超过65535字节。

ICMP协议
英特网控制报文协议（Internet Contol Message Protocol）与IP协议同属网络层，用于传送有关通信问题的信息。ICMP报文封装在IP数据报中传送，因而不保证可靠地提交。校验和字段是关于整个ICMP报文的检验和（必须校验）
类型 代码 校验和
参数
信息（可变长）
ICMP报文格式（8字节）
简要解释ICMP个类报文的含义：
目标不可达（类型3）：3拐两个弯——不可达
超时（类型11）：类似——…
源抑制（类型4）：交通事故——源抑制
路由重定向（类型5）：5拐一个弯——重定向
回声（请求/响应，类型8/0）：8喇叭口，0没回声，常用的Ping工具就是这样工作的
时间戳（请求/响应类型13/14）；
地址掩码（请求/响应，类型17/18）

TCP和UDP协议
TCP/IP协议簇中有两个传输协议，传输控制协议（Transmission Control Protocol，TCP）和用户数据报协议（User Datagram Protocol，UDP）TCP是面向连接的，UDP是无连接的。
TCP协议TCP只有一种类型的PDU叫做TCP段，段头（也叫作TCP头或传输头）格式如下：

1. 源端口（16位）：说明源服务访问点，216=65536个端口，0~1023保留（专用）。
2. 目标端口（16位）：表示目标服务访问点。
3. 发送顺序号（32位）：本段中第一个数据字节的顺序号。
4. 应答顺序号（32位）：捎带应答的顺序号，指明接收方期望接受的下一个数据字节的顺序号。
5. 偏置值（4位）：传输头中32位的个数。因为传输头有任选部分，长度不固定，所以需要偏置值。
6. 保留字段（6位）：未用。
7. 标志字段（6位）：表示各种控制信息：其中
   ·URG：紧急指针有效（Urgent）
   ·ACK：应答顺序号有效（Acknowledge）
   ·PSH：推进功能有效（Push）
   ·RST：连接复位为初始状态，通常用于连接故障后的恢复（Reset）
   ·SYN：对顺序号同步，用于连接的建立。（Synchronous）
   ·FIN：数据发送完，连接可以释放（Finish）
8. 窗口（16位）：为流控分配的信息量。
9. 校验和（16位）：段中所有16位字按模216-1相加的和，然后取1的补码。
10. 紧急指针（16位）：从发送顺序号开始的偏置值，只想字节流中的一个位置，次位置之前的数据是紧急数据。
11. 任选项（长度可变）：目前只有一个任选项，即建立连接时指定的最大段长。
12. 补丁：补齐32位字边界。
    各协议校验和比较 IP 检验和检查IP包头不检查数据
    TCP 检验和检查TCP包头和数据、伪段头
    ICMP 检验和检查ICMP包头和信息（不包含数据）
    UDP 检验和检查UDP包头和数据（任选）
    CLOSED：关闭；SYN SENT：发送；SYN RECEIVD：接收；LISTEN：侦听；FIN WAIT：等待；CLOSE：完成；ESTABLISHED：连接；CLOSE WAIT：等待关闭

TCP拥塞控制
TCP的拥塞控制涉及重传计时器管理和窗口管理。
重传计时器管理：TCP实体管理者多宗定时器（重传定时器、放弃定时器等），用于确定网络传输时延和监视网络拥塞情况。（发送窗口缩小为原来的一半，超时重传时间间隔扩大一倍）。
慢启动和拥塞控制：发送方实体在接收到确认之前逐步扩展窗口的大小，而不是一开始就采用很大的窗口，这种方法称为慢启动过程。
TCP和UDP比较
TCP——有链接、可靠地、数据量大、支持数据重传
UDP——无连接、不可靠、数据量小、高层解决排序差错重传等、支持音频视频传输

UDP协议
UDP也是常用的的传输层协议。它对应用层提供无连接的传输服务。由于协议开销少而在很多场合 相当实用，特别是在网络管理方面，大多使用UDP协议。

域名和地址
Internet地址分为3级可表示为“网络地址（.com）主机地址（WWW）端口号：”
固定分配的专用端口号

保留端口：1-1023，知名端口，保留指派给常用的协议
注册端口：1024-49151，不指派需注册防止重复
动态端口：49152-65535，客户应用进程动态使用。
域名系统
域名系统（Domain Name System，DNS），DNS的逻辑结构是一个分层的域名树。
根域用句号“.”表示，根域下面是顶级域（Top-Level Domains，TLD），分为国家顶级域（country code Top Level Domain，ccTLD）和通用顶级域（generic Top Level Domain，gTLD）
通用顶级域名

地址分解协议

IP地址是分配给主机的逻辑地址。
硬件类型 协议类型
硬件地址长度 协议地址长度 操作
发送节点硬件地址
发送节点协议地址
目标节点硬件地址
目标节点协议地址
ARP/RARP分组格式
·硬件类型：网络接口 的类型，对以太网此值为1.
·协议类型：发送方使用的协议，0800H表示IP协议（0800H表示上层协议为IP协议）
·硬件地址长度：对以太网，地址长度为6字节。
·协议地址长度：对IP协议，地址长度为4字节。
·操作：
1——ARP请求。
2——ARP响应。
3——RARP请求。
4——RARP响应
在把IP分组乡下传送给本地数据链路实体之前，有两种方法得到目标物理地址：
（1） 查本地内存的ARP地址对应表。
（2） 如果ARP表查不到，就广播一个ARP请求分组。
RARP（Reverse Address Resolution Protocol）是反向ARP协议，即由硬件地址查找逻辑地址。

网关协议
Internet中的路由器叫做IP网关。网关协议就是用于网关之间交换路由信息的协议

自治系统
自治系统是由同构的网关连接的因特网。自治系统内部的网关之间执行的内部网关协议（Internet Gateway Protocol，IGP）特定的应用服务，在自治系统之外是无效的。

不同自治系统之间用外部网关协议（Exterior Gateway Protocol，EGP）。

外部网关协议
早期有一个外部网关协议叫做EGP，最新的外部网关协议叫做BGP（Border Gateway Protocol）。
BGP4（支持IPV6）是一种动态路由发现协议，主要功能是控制路由策略。
报文类型 功能描述

BGP的4种报文（通过TCP179端口连接传送）

内部网关协议
网关协议也叫路由协议（Routing Protocol），信息协议（Routing Information Protocol，RIP），开放最短路径优先协议（Open Shortest Path First，OSPF）
路由信息协议
RIP适用于小型网络 ，因为他允许的跳步数不超过15步。
1） RIP1；使用本地广播地址255.255.255.255发布路由信息，默认的路由更新周期为30s，RIP以跳步数（Hop Count）来度量路由费用，RIP1是有类别的协议（Classful Protocol），RIP可以实现等费用通路的负载均衡（Equal-Cost Load Balancing）
2） RIP2；是增强了的RIP协议。它是使用组播（地址：224.0.0.9）而不是广播传播路由更新报文，并采用了触发更新（Triggered Update），其次RIPv2是一个无类别协议（Classless Protocol）可使用可变长子网掩码（VLSM），也支持无类别遇见路由（CIDR），RIPv2支持认证。
3） 路由收敛和水平分割；相邻的路由器之间周期性地交换路由表，并通过逐步交换把 路由信息扩散到网络中所有的路由器。解决路由环路问题可以采用水平分割法（Split Horizon），具体地说，一条信息不会被发送给该信息的来源。带有反向毒化的水平分割方案（Split Horizon with Poisoned Reverse）是：把从邻居学习到的路由费用设置为无限大，并立即发送给那个邻居。触发更新技术也能加快路由收敛。
4） RIP报文格式：RIPv2报文封装在UDP数据报中发送，占用520端口。

OSPF协议
OSPF（RFC 2328,1998）是一种链路状态协议，用于在自治内部的路由器之间交换路由信息。OSPF具有支持大型网络、占用网络资源少、路由收敛快等优点。
距离矢量协议与链路状态协议
距离矢量协议 链路状态协议
交换的路由信息量很大；周期性的发布路由信息 从各个路由器收集链路状态信息，构造网络拓扑图，使用Dijkstra的最短通路优先算法（Shortest Path First，SPF）计算到达各个目标的最佳路由；在网络拓扑发生变化时才发布路由信息，而且OSPF采用TCP连接发送报文，每个报文都要求应答，因而通信更加可靠。
为了适应大型网络配置的需要，OSPF协议引入了“分层路由（分区域）”的概念。

主干网络本身也是OSPF区域，称为区域0（Area 0）
1） OSPF区域：每个OSPF区域制定了一个32位的区域标识符，用点分十进制表示。OSPF区域分为5种：
·标准区域：标准区域可以接受任何链路更新信息和路由汇总信息。
·主干区域：主干区域是链接各个区域的传输网络，其他区域都通过猪肝区域交换路由信息，主干区域拥有标准区域的所有性质。
·存根区域：不接受本地自治系统意外的路由信息，对自治系统以外的目标采用默认路由0.0.0.0
·完全存根区域：不接受自治系统以外的路由信息，也不接受自治系统内其他区域的路由汇总信息。思科（Cisco）定义的，非标准。
·不完全存根区域（NSAA）：类似于存根区域，但是允许接收以类型7的链路状态公告发送的外部路由信息。
2） OSPF网络类型
OSPF将路由器连接的物理网络划分位4种类型：
·点对点网络：一对路由器用64Kb的串行线路连接，就属于点对点网络，在这种网络中两个路由器可以直接交换信息。
·广播多址网络：以太网或者其他具有共享介质的局域网都属于这种网络，在这种网络中一条路由信息可以广播给所有路由器。
·非广播多址网络（Non-Broadcast Multi-Access，NBMA）X.25分组交换网络，可以通过组播方式发布路由信息。
·点到多点网络：可以把非广播网络当做多条点对点网络来使用，从而把一条路由信息发送到不同的目标。
路由器通过OSPF的“Hello”协议来发现邻居。在一个广播网络或NBMA网络中要选一个指定路由器（Designated Router，DR），其他的路由器都与DR建立毗邻关系，把自己掌握的链路状态信息交给DR，由DR代表这个网络向外界发布，从而减少向外界发布的路由信息量。
3） OSPF路由器：再多区域网络中，OSPF路由器可以按不同的功能划分为以下4种：
·内部路由器：所有接口在同一区域的路由器，只维护一个链路状态数据库。
·主干路由器：具有连接主干区域接口的路由器。
·区域边界路由器ABR：连接多个区域的路由器，一般作为一个区域的出口。
·自治系统边界路由器（ASBR）：至少拥有一个连接外部自治系统接口的路由器，负责将外部非OSPF网络的路由信息转入OSPF网络。
4） 链路状态公告：OSPF路由器之间通过链路状态公告（Link State Advertisment，LSA）交换网络拓扑信息
5） OSPF报文：OSPF报文通过TCP连接传送。采用目标地址（组播）224.0.0.5代表所有的OSPF路由器。备份指定路由器224.0.0.6；
OSPF的物种报文类型
报文类型 报文功能
Hello 用于发现相邻的路由器
数据库描述DBD（DataBase Description） 表示发送者的链路状态数据库内容
链路状态请求LSR（Link-State Request） 向对方请求链路状态信息
链路状态更新LSU（Link-State Update） 向邻居路由器发送链路状态通告
链路状态应答LSAck（Link-State Acknowledgement） 对链路状态更新报文的应答
6） OSPF的优缺点：
（1） 链路状态协议使用了分层的网络结构，减少了LSA的传播范围，同时也减少了网络拓扑变化是影响所有路由器的可能性。例如：在OSPF协议中，一个分区内部的拓扑变化不会影响其他分区。
（2） 链路状态协议使用组播来共享路由信息，并且发布的是增量式的更新消息。这使得网络带宽的利用率和资源小韩更有效。
（3） 了链路状态协议支持无类别的路由和路由汇总功能，可以使用VLSM和CIDR技术，从而减少了运行SPF算法和更新路右边需要的CPU周期，也减少了路由器中的存储需求。
（4） 使用SPF算法不会在路由表中出现环路。
缺点：它比距离矢量协议对CPU和存储器的要求更高。链路状态协议需要维护更多的存储表。

核心网关协议
主干网中的网关叫核心网关。核心网关之间交换路由信息是使用核心网关协议（Gateway to Gateway Protocol，GGP）注：EGP用于两个不同自治系统之间的网关交换路由信息，而GGP是主干网中的网关协议。

GGP协议的报文格式与EGP类似，分为以下4类：
·路由更新报文：发送路由信息。
·应答报文：对路由更新报文的应答，分肯定、否定两种。
·测试报文：测试相邻网关是否存在。
·网络接口状态报文：测试本地网络连接状态。

路由器技术
因特网发展的问题：
1）随着网络互联规模的扩大和信息流量的增加，路由器逐渐成为网络通信的瓶颈。
解决方法为称为：第三层交换技术
2）IP地址短缺：长期解决办法为使用具有更大地址空间的IPv6协议，短期解决方案有
网络地址翻译（Network Address Translators，NAT）和无类别的域间路由技术（Classless
Inter Domain Routing，GIDR）

NAT技术
NAT技术主要解决IP地址短缺问题；下面讲述最主要的两种技术：
1）动态地址翻译（Dynamic Address Translation ）可以把一个大的地址空间映像到一个小的
地址空间（多对少）
2）特殊的NAT应用是M:1翻译这种技术常称为网络地址和端口翻译（Network Address Port
Translation，NAPT）（多对一）

CIDR技术
无类型域间路由（Classless Inter-Domain Routing）可以解决路由器缩放问题，路由缩放问题的意义：1、对于大多数中等规模的组织没有适合的地址空间；2、路由表增长太快。

第三层交换技术
指利用第二层交换的高带宽和低延迟有事尽快地传送网络层分组的技术。交换与路由不通：前者由硬件实现，速度快；后者由软件实现，速度慢。
三层交换机的工作原理：一次路由，多次交换。
多协议标记交换（Multiprotocol Label Switching，MPLS）工作原理：每个数据报提供一个标记，并由此决定数据包的路径和优先级。当分组进入MPLS网络时，标记边缘路由器 （Label Edge Router，LER）就为其打上一个标记，标记包含了路由表项中的信息（目标地址、带宽和延迟）还引用了IP头中的原地址字段、传输层端口号和服务质量等。标记交换通路（Label Switch Path，LSP）；标记交换路由器（Label Switch Router，LSR）
MPLS具有局部性，一个标记只是在一定的传输域中有效。
MPLS转发处理简单，提供显示路由，能进行业务规划，提供QoS保障，提供多种分类粒度，用一种交换方式实现各种业务的转发。
MPLS具有可扩展性强、兼容性好、易于管理等。

IP组播技术
D类地址中一个IP地址指向一组主机；由一个源向一组主机发送信息的传输方式称为组播

组播模型概述
IGMP（Internet Group Management Protocol）协议用于支持接收者加入或离开组播。

独立组播协议（Protocol Independent Multicast）
实现IP组播的前提是组播源和组成员之间的下层网络必须支持组播，包括：
·主机的TCP/IP实现支持IP组播。
·主机的网络接口支持组播
·需要一个组管理协议，是的主机能够自由地加入或离开组播组。
·IP地址分配策略能够将第三层组播地址映射到第二层MAC地址。
·主机中的应用软件支持IP组播功能。
·所有介入组播源和组成员之间的中间节点都支持组播路由协议。

组播地址
1、IP组播地址的分类
224.0.0.0~224.0.0.255：保留地址。
· 224.0.0.1：本地子网中的所有主机；224.0.0.2本地子网中的所有路由器；224.0.0.5所
有OSPF路由器；224.0.0.9代表所有RIP2路由器；224.0.0.12 DHCP服务器或中继代理；
224.0.0.13所有支持PIM的路由器。
·224.0.1.0~238.255.255.255用于全球范围的组播地址分配。
·239.0.0.0~239.255.255.255在管理权限范围内使用的组播地址。

以太网组播地址
1）IP组播地址。2）以太网组播地址。
映像方式是把IP地址的低23位复制到MAC地址的低23位。
因特网组管理协议
IGMP（Internet Group Management Protocol）是在IPv4环境中提供组管理协议的协议；在IPv6中，组管理协议已经合并到ICMPv6协议中，不在需要单独的组管理协议。
1、IGMP报文：RFC3376定义了IGMPv3成员资格询问和报告报文，也定义了组记录的格式。IGMP（ICMP、OSPF）报文封装在IP数据包中传输。
成员资格询问报文由组播路由器发出，分为3中子类型：
·通用询问：路由器用于了解在它连接的网络上有哪些组成员。
·组专用询问：路由器用于了解在他连接的网络上一个具体的组是否有成员。
·组合源专用询问：路由器用于了解它所连接的主机是否愿意加入一个特定的组。
2、IGMP操作为了加入一个组，主机要发送成员资格报告报文。为了维护一个当前活动的组播地址列表，组播路由要周期性的发送IGMP通用询问报文。当主机要离开一个组时，他想所有路由器（224.0.0.2）发送一个组离开报告。

组播路由协议
建立组播树是实现组播传输的关键技术。

1、组播树：建立组播树要使用组播路由协议；
1）组播内部网管协议（MIGP）：2）组播外部网关协议还在研发中。
组播树分为两种：
1）源专用树（Source-Specific Tree）PIM八这种树叫做最短通路树（Shortest Path Tree，SPT）
2）共享分布树PIM称为约会点树（Rendezvous Point Tree，RPT）
2、密集模式路由协议（Dense Mode Routing Protocols）：
密集模式路由协议包括距离适量组播路由协议协议（Distance Vector Multicast Routing，DVMRP）
组播开放最短路径优先协议（Multicast Open Shortest Path First，MOSPF）
密集模式的独立组播协议（Protocol Independent Multicast-Dense Mode，PIM-DM）。为了保证PIM-DM协议的正常工作，每一个PIM-DM路由器都要维护一个树信息库（Tree Information Base，TIB）其中保存着哥哥组播树的工作状态，利用这些状态可以建立一个组播转发表，以实现组播数据报的正确转发。
首先是广播数据报，然后修剪掉不需要的分支，这一过程被称为泛洪-修剪循环，这是所有密集模式协议中使用的关键技术
3、稀疏模式路由协议（Sparse Mode Routing Protocols）：适用于带宽小、组播成员分布稀疏的互联网络。CBT（Core-Based Trees）协议建立了一颗为所有组播回话服务的组播树，而稀疏模式的独立组播协议PIM-SM（Protocol Independent Multicast Sparse Mode）既可以为美国组播组建立一个以约会点为树根的共享树，也可以为每个组播源建立一颗最短通路树。PIM除有密集模式和稀疏模式外，还有一种双向PIMXIEYI （Bi-directional PIM，BIDIR-PIM）。

IP QoS技术
IP QoS（QoS CQuality of Service 服务质量）作用：控制网络流量、优先级、分出三六九等。1994年提出了集成服务体系结构（Integrated Service Architecture，ISA）继而又在1998年定义了区分服务（Differentiated Service ，DiffServ）

集成服务
IETF集成服务（IntServ）把Internet服务分成了3种：
·保证质量服务（Guranteed Services）：对带宽、时延、抖动和丢包率提供定量的保证。
·控制负载的服务（Controlled-load Services）：提供一种类似于网络欠载情况下的服务，这是一种定性的指标。
·尽力而为的服务（Best-Effort）：这是Internet提供的一般服务，基本上无任何质量保证。
资源预约协议（Resource Reservation Protocol，RSVP）：是从源到目标单向预约的，适用于点到点以及点到多的通信环境。

区分服务
区分服务（DiffServ）细分：把相同的业务流汇聚成若干个业务流，提供网络服务。
每个IP分组都要根据其QoS需求打上一个标记，这种标记成为DS码点（DS Code Point，DSCP），可以利用IPv4协议头中的服务类型（Type of Service）字段，或者IPv6协议中的通信类别（Traffic Class）字段来实现。
Internet应用

远程登录协议
远程登录（Telnet）是ARPAnet最早应用之一。使本地用户可以通过TCP连接登录到远程主机上（端口23）。Telnet定义了网络虚拟终端（Network Virtual Terminal，NVT），采用了客户端/服务器模式（C/S）

文件传输协议
文件传输协议（File Transfer Protocol，FTP）也是采用C/S模式，客户端与服务器之间建立两条TCP连接，一条用于传送控制信息（端口21），一条用于传送文件内容（端口20），匿名FTP用户标识符“anon-ymous”

简单邮件传输协议
简单邮件传输协议（Simple Mail Transfer Protocol，SMTP），远程邮件服务器端口为25；接收方从邮件服务器取回邮件要用到POP3（Post Office Protocol 第三版本）当接收用户呼叫ISP的邮件服务器时与110端口建立TCP连接。

超文本传输协议
网页与服务器建立TCP连接（B/S），WEB服务器的专用端口为 80时刻监视进来的连接请求，建立连接后用超文本传输协议（Hyper Text Transfer Protocol，HTTP）和用户进行交互作用。浏览器通过统一资源定位符（Uniform Resource Locators，URL）对信息进行寻址。与WWW有关的另一个重要协议是公共网关协议（Common Gateway Interface，CGI）

P2P应用
点对点应用模式（Peer-to-Peer,P2P）在这种模式中没有客户机和服务器，每一个主机既是客户端有事服务器。P2P是一种对等通信的网络模式。
1、BitTorrent
我们把完全没有服务中心，也没有路由中心的网络称为“纯P2P”网络，在这种系统中，有一个管理用户信息的索引服务器，任何用户信息请求都是首先发给索引服务器。BitTorrent与Web浏览器不同，前者是在许多不同的TCP端口上各自请求一小段数据，后者是在一个TCP端口上执行整个HTTP GET操作，BitTorrent下载时随机的，实行稀有者优先（rarest-first）下载的原则，而HTTP是完全按顺序下载。典型的BitTorrent下载时逐渐的提升速度，并且在下载完成时有主见下降速度，这些特点与HTTP服务器下载完全相反。
2、Kademlia算法
第一代P2P网络（例如 Napster）依赖于中心跟踪器来实现共享资源查找。
第二代P2P网络（例如 Gnutella）采用了泛洪搜索法。
第三代P2P网络使用了分布式哈希表来查找网络中的共享文件。
运行Kademlia协议的网络称为Kad网络

第七 下一代互联网

下一代互联网（Next Generation Internet，NGI）。

IPv4的缺陷：1、网络地址短缺。2、路由速度慢。3、缺乏安全功能。4、不支持新的业务模式

IPv6分组格式
整个IPv6分组由一个固定头部和若干个扩展头部以及上层协议的负载组成。

·版本（4位）：用0110表示IP版本。
·通信类型（8位）：区分不同的IP分组，相当于IPv4中的服务类型字段。
·流标记（20位）：原发主机用该字段标识某些需要特别处理的分组。
·负载长度（16位）：标识除了IPv6固定头部40个字节之外的负载长度，扩展头包含里面。
·下一头部（8位）：指明下一个头部的类型，可能是IPv6的扩展头部或是高层协议头部。
·跳数限制（8位）：用于检测路由循环，每个转发路由器对这个字段减1，如果变成0分组被丢弃。
·源地址（128位）：发送节点的地址。
·目标地址（128位）：接收节点的地址。

IPv6的六种扩展头部：

如果一个IPv6分组包含多个扩展头，建议采用下面的封装顺序：
1、 IPv6头部。2、逐跳选项头。3、目标选项头（IPv6头部目标字段中指明的第一个目标节点要处理的信息，以及路由选择头中列出的后续目标节点要处理的信息）。4、路由选项头。5、分段头。6、认证头。7、封装安全负荷头。8、目标选项头（最后的目标节点要处理的信息）。9、上层协议头部。
IPv6地址
IPv6地址扩展到128位。采用冒分16进制数表示；规定了一些简化写法，每个字段前面的0可以省去（后面的0不能省），一个或多个0字段可以用一对冒号代替（双冒号只能出现一次）例如：12AB:0000：0000:CD30：0000：0000：0000：0000/60可以简写为：12AB::CD30：0：0：0：0/60或12AB:0：0：CD30：:/60
另外IPv4地址仍然保留十进制表示法，只需在前面加上一对冒号，就成为IPv6地址，称为IPv4兼容地址（IPv4Compatible）
2、 地址分类：IPv6地址是一个或一组接口的标识符。IPv6地址被分到接口，而不是分配给节点。有3种类型：
类型 特点
单播（Unicast） ·不确定地址：地址0：0：0：0：0：0：0：0称为不确定地址
·回环地址：地址0：0：0：0：0：0：0：1称为回环地址
任意波（AnyCast） ·任意地址不能用作源地址，只能作为目标地址
·任意地址不能指定给IPv6主机，只能指定给IPv6路由器
组播（Multicast） IPv6种没有广播地址，它的功能已被组播地址代替。
4、单播地址：IPv6单播地址包含可聚合全球单播地址、链路本地地址、站点本地地址和其他特殊单播地址。1）可聚合全球单播地址：全球范围内有效，相当于IPv4公网地址，前缀为001。2）本地单播地址：仅限于本地有效；分为○1链路本地地址：格式前缀为1111 1110 10用于同一链路的相邻节点间的通信。相当于IPv4种的自动专用IP地址。○2站点本地地址：格式前缀为1111 1110 11，相当于IPv4种的私网地址。
5、组播地址：IPv6组播地址可以将数据报传输给组内的所有成员，格式前缀为1111 1111.
6、任意播地址：仅用作目标地址，且只能分配给路由器。
IPv4和IPv6地址比较
IPv4 IPv6
点分十进制表示 带冒号的十六进制表示，0压缩
分为A、B、C、D、E五类 不分类
组播地址224.0.0.0/4 组播地址 FF00：:/8
广播地址（主机部分全为1） 任意播（限于子网内部）
默认地址 0.0.0.0 不确定地址 ：：
回环地址 127.0.0.1 回环地址 ：：1
公共地址 可聚合全球单播地址 FP==001
私网地址 10.0.0.0/8；172.16.0.0/12；192.168.0.0/16 站点本地地址 FECO：：/48
自动专用地址 169.254.0.0/16 链路本地地址 FE80：:/48
7、IPv6的地址配置：IPv6把自动IP地址配置作为标准功能，有两种自动配置功能，一种是“全状态自动配置”，另一种是“无状态自动配置”。IPv6继承了IPv4的东台主机配置协议（DHCP）称为全状态自动配置（Stateful Auto-Configuration）

IPv6路由协议
1、 RIPng：下一代RIP协议（RIPng）是对原来的RIPv2的扩展。并修改了：
·UDP端口号：使用UDP的521端口发送和接收路由信息。
·组播地址：使用FF02：:9作为链路本地范围内的RIPng路由器组播地址。
·路由前缀：使用128位的IPv6地址作为路由前缀。
·下一跳地址：使用128位的IPv6地址。
2、 OSPFv3：支持IPv6，与OSPFv2的区别：
·修改了LSA的种类和格式，使其支持发布IPv6路由信息
·修改了部分协议
·进一步理顺了拓扑与路由的关系
·提高了协议适应性。
3、 BGP 4+：引入了·MP_REACH_NLRI：多协议可到达NLRI，用于发布可到达路由器一节下一跳信息。·MP_UNREACH_NLRI：多协议不可达NLRI，用于撤销不可达路由。
4、 ICMPv6协议：用于报告IPv6节点在数据包处理过程中出现的错误消息并实现简单的网络诊断功能。
IPv6对IPv4的改进
与IPv4相比，IPv6有下列改进：
·寻址能力方面的扩展。·分组头格式得到简化。·改进了对分组投标部选项的支持。·提供了流标记能力。

移动IP
移动主机能够在任何地方使用它家乡地址进行上网。
移动IP的通信过程
移动主机是指在离开家乡网络的远程站点可以联网工作的计算机（外地网络，家乡IP）。
移动IP提供了两种获取转交地址的方式：一种是外地代理转交地址（Foreign Agent Care-of Address），另一种获取模式是配置转交地址（Collocated Care-of Address）
认真区分转交地址和外地代理的功能，转交地址是隧道的终点，他可能是外地代理的地址（foreign agent Care-of address），也可能是移动主机获得的临时地址（co-located care-of address），外地代理于佳像代理一样，都是为移动主机服务的移动代理。
移动IPv6
RFC3775 规范了IPv6对移动主机的支持功能，定义的协议称为IPv6。

从IPv4向IPv6的过渡
目前的过渡技术可以归纳为以下三种：
·隧道技术：用于解决IPv6节点之间通过IPv4网络进行通信的问题（借4通6）、
·双协议栈技术：是的IPv4和IPv6可以共存同一设备和网络中。（4和4,6和6）
·翻译技术：使得纯IPv6节点与纯IPv4节点之间可以进行通信（真正的46通信）

隧道技术
所谓隧道，就是把IPv6分组封装到IPv4分组中，通过IPv4网络进行转发的技术。
6to4隧道：6to4是一种支持IPv6站点通过IPv4网络进行通信的技术。通常把带有16位前缀“2002”的IPv6地址称为6to4地址，而把不适用这个前缀的IPv6地址称为原生地址（Native Address）；由于不需要改变主机的配置，只需要在路由器中进行很少的配置，所以这种方法的主要优点是简单可行。
6over4隧道：是一种由IPv4地址生成IPv6链路本地地址的方法；IPv6链路本地地址的格式前缀为FE80：：/64。6over4依赖于IPv4组播功能，但是很多IPv4网络中并不支持组播，所以6over4技术在时间中收到一定的限制，在有些操作系统中无法实现，另一个限制条件是，IPv6主机连接路由器的链路应该处于IPv4组播路由范围内。
ISATAP：自动隧道技术——ISATAP（Intra-Site Automatic Tunneling Addressing Protocol），意味着通过IPv4地址自动生成IPv6站点本地地址或链路本地地址，IPv4地址作为隧道的终端地址，把IPv6分组被封装在IPv4分组中进行传送。

协议翻译技术
协议翻译技术用于纯IPv6主机与纯IPv4主机之间的通信，已经提出的翻译方法有下面集中：
·SIIT：无状态的IP/ICMP翻译（Stateless IP/ICMP Translation）
·NAT-PT：网络地址翻译-协议翻译（Network Address Translator-Protocol Translator）
·SOCKS64：基于SOCKS的IPv6/IPv4机制（SOCKS-based IPv6/IPv4 Gateway Mechanism）
·TRT：IPv6到IPv4的传输中继翻译器（IPv6-to-IPv4 Transport Relay Translator）

1、 SIIT：先介绍两种特殊的IPv6地址：
（1） IPv4映射地址（IPv4-Mapped）这种地址仅支持IPv4主机
（2） IPv4翻译地址（IPv4-translated）这种地址可用于支持IPv6的主机
SIIT转换器规范描述了从IPv6到IPv4的协议转换机制，包含IP头的翻译方法以及ICMP报文的翻译方法。
2、 NAT-PT：（Network Address Translator-protocol Translator）是RFC2766定义的协议翻译方法。
实现NAT-PT技术必须制定一个服务器作为NAT-PT网关，并且准备一个IPv4地址块作为翻译之用。
NAT-PT操作有3个变种：基本NAT-PT、NAPT-PT和双向NAT-PT。基本NAT-PT是单向的，只允许IPv6主机访问IPv4主机。
第2个变种是NAPT-PT，其中NAPT表示网络地址-端口翻译，仍然是单向通信，但是扩展到了TCP/UDP端口翻译，也包括ICMP询问标识符的翻译。
第3个变种是双向NAT-PT，这意味着双向通信，无论是IPv6主机还是IPv4主机都可以想对方发起会话。
协议翻译技术适用于IPv6孤岛与IPv4海洋之间的通信，这种技术要求一次会话中的双向数据报都在同一个路由器上完成交换，所以他只能适用于同一个路由器连接的网络。这种技术的有点事不需要进行IPv4和IPv6终端的升级改造，只要求在IPv4和IPv6之间的网络转换设备上启用NAT-PT功能就可以了。但是在实现这种技术时，一些协议字段在转换时仍不能完全保持原有的含义，并且缺乏端到端的安全性。

双协议栈技术
双栈主机由下面两种方法：
·RFC 2767（2000）定义的 BIS （Bump-In-the-Stack）低层：堆、栈
·RFC 3338（2002）定义的 BIA （Bump-In-the-API）高层：应用程序接口

BIS与BIA
BIS 是在主机TCP/IPv4模块与网卡驱动模块之间插入一些模块来实现IPv4与IPv6分组之间的转换，使得主机称为一个协议转换器。
BIA 是在IPv4 Socket应用与IPv6 Socket应用之间进行翻译的技术，BIA要求在Socket应用模块与TCP/IP模块之间插入API转换器，这样建立的双栈主机不需要在IP头之间进行翻译，使得转换过程得到简化

我国的下一代互联网研究
中国下一代互联网示范工程（CNGI）项目是于2003年酝酿并启动的。截至目前CNGI已经建成了6个主干网、两个国际交换中心及相应的传输链路组成核心网络。CERNET2、中国电信、中国网通/中科院、中国移动、中国联通和中国铁通这6个主干网以及国际交换中心已经全部验收完成。
1、CERNET2：是CNGI中国模最大的主干网，也是目前世界上规模最大的采用纯IPv6技术的下一代互联网。
2、GLORIAD：2004年1月12日，中美俄环球科教网络（GLORIAD）正式开通。

第八 网络安全

网络安全的基本概念

网络威胁是对网络安全缺陷的潜在利用，这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏。主要有以下几类：
（1） 窃听：网络体系结构允许监视器接受网上传输的所有数据帧而不考虑帧的传输目标地址，这种特性使得偷听网上的数据或非授权访问很容易而且不易被发现。
（2） 假冒：当一个实体假扮成另一个实体进行网络活动时就发生了假冒。
（3） 重放：重复一份报文或报文的一部分，以便产生一个授权效果
（4） 流量分析：通过对网上信息流的观察和分析推断出网上传输的有用信息。由于报头信息不能加密，所以即使对数据进行了加密处理，也可以进行有效的流量分析。
（5） 数据完整性破坏：有意或无意地修改或破坏信息系统，或者在非授权和不能检测的方式下对数据进行修改。
（6） 拒绝服务：当一个授权实体不能获得应有的网络资源的访问或紧急操作被延迟时，就发生了拒绝服务。
（7） 资源的非授权使用：即与所定义的安全策略不一致的使用。
（8） 陷门和特洛伊木马：通过替换系统合法程序，或者在合法程序里插入恶意代码，以实现非授权进程，从而达到某种特定的目的。
（9） 病毒：计算机病毒已经构成了对计算机系统和网络的严重威胁。
（10） 诽谤：利用计算机系统的广泛互联性和匿名性散布错误消息，以达到诋毁某个对象的形象和知名度的目的。
基本安全技术
目前网络安全措施有数据加密、数字签名、身份认证、防火墙和入侵检测。
（1） 数据加密：数据加密是通过对信息的重新组合，使得只有接收方才能解码并还原信息的一种手段。
（2） 数字签名：数字签名可以用来证明消息确实是由发送者签发的。
（3） 身份认证：认证一个用户的合法性。
（4） 防火墙：是两个网络之间的屏障。
（5） 内容检查：关键字过滤。

信息加密技术

○1传统的加密系统是以秘钥为基础的，这是一种对称加密，用户使用同一个秘钥加密解密○2公钥则是一种非对称加密方法，加密者和解密者各自拥有不同的秘钥。○3流密码加密算法
现代加密技术
1、 DES（Data Encryption Standard）数据加密标准
2、 三重DES（Triple-DES）
3、 IDEA（International Data Encryption Algorithm）国际数据加密算法
4、 高级加密标准（Advanced Encryption Standard，AES）
DES数据加密标准
对每个块进行19次变换，其中16次变换由56位的秘钥的不同排列形式控制 最后产生64位的密文块
加密解密使用相同的密钥（对称密钥或共享密钥）
三重DES（Triple-DES）
使用两把秘钥对保温做三次DES加密；第一层和第三层使用相同的密钥
有效长度为112位的密钥
IDEA（International Data Encryption Algorithm）国际数据加密算法 使用128位的密钥
高级加密标准（Advanced Encryption Standard，AES） 支持128、192、256三种密钥长度
流加密算法和RC4
将数据流与密钥生成二进制比特流进行亦或运算的加密过程
公钥加密算法 加密解密是互逆的。公钥加密私钥解密；实现保密通信；用私钥加密，公钥解密可实现数字签名
RSA（Rivest Shamir and Adleman） （1）选择两个大素数p、q（大于10^100）（2）令n=pq、z=（p-1）（q-1）（3）选择d与z互质。（4）选择e，使得e*d=1（mod z）
基于共享密钥的认证
如果通信双方有一个共享的密钥，则可以确认对方的真实身份。
密钥分发中心（Key Distribution Center，KDC）
Needham-Schroeder认证协议
这是一种多次提问——响应协议，可以对付重放攻击，关键是每一个会话都有一个新的随机数再起作用。
基于公钥的认证
通信双方都用对方的公钥加密，用各自的私钥解密。

数字签名
防抵赖，证明消息的发送者
基于秘钥的数字签名
基于公钥的数字签名
公钥：加密和认证 私钥：解密和签名

报文摘要
用于差错控制的报文检验是根据冗余位检查报文是否收到信道干扰的影响。

报文摘要算法
使用最广的报文摘要算法是MD5（产生128位的报文摘要）。

安全散列算法
安全散列算法（The Secure Hash Algorithm ，SHA）产生160位的报文摘要；缺点是速度比MD5慢，但是SHA得报文摘要更长，更有利于对抗野蛮攻击。

散列是报文认证码
散列是报文认证码（Hashed Message Authentication Code，HMAC）是利用对称密钥生成报文认证码的散列算法，可以提供数据完整性数据源身份认证。

数字证书
数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份认证。
证书发放机构（Certification Authority，CA）

密钥管理
指处理密钥自产生到最终端销毁的整个过程中的有关问题，包括系统的初始化，迷药的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销和销毁。

密钥管理体制
○1适用于封闭网技术，以传统的密钥分布中心为代表的KMI机制；○2适用于开放网的PKI机制○3适用于规模化专用网的SPK技术。
1、 KMI技术（内网用）
密钥管理基础结构（Key Management Infrastructure，KMI）
2、 PKI技术（外网用）
在迷药管理中，不依赖秘密信道的密钥分发技术一直是一个难题。
公钥基础结构（Public Key Infrastructure，PKI）
KMI具有很好的封闭性，PKI具有很好的扩展性

虚拟专用网
虚拟专用网的工作原理
所谓虚拟专用网（Virtual Private Network，VPN）特点：○1建立在公用网上；○2其虚拟性表现在任意一对VPN用户之间没有专用的物理连接○3其专用型表现在VPN之外的用户无法访问VPN内部的网络资源
实现VPN的关键技术：
1、 隧道技术（Tunneling）；2、加解密技术（Encryption&Decryption）；3、密钥管理技术（Key Management）；4、身份认证技术（Authentication）
VPN的解决方案：
1、 内联网VPN（Intranet VPN）。实现企业内部各个LAN之间的安全互联。
2、 外联网VPN（Extranet VPN）。实现企业与客户、供应商和其他相关团体之间的互联互通。
3、 远程接入VPN（Access VPN）：解决远程用户访问企业内部网络

第二层隧道技术

虚拟专用网可以通过第二层隧道协议实现，这些隧道协议（例如；PPTP；L2TP）都是把数据封装在点对点协议（PPP）的帧中在因特网上传输。
1、 PPP协议
PPP协议（Point-to-Point Protocol）可以在点对点链路上传输多种上层协议的数据包；PPP是链路层协议。
PPP是一组协议；包括：封装协议；链路控制协议（Link Control Protocol，LCP）；网络控制协议（NCP）
最常用的认证协议有PAP和CHAP；
口令认证协议（Password Authentication Protocol，PAP）明文认证方式；
挑战——握手协议（Challenge Handshake Authentcation Protocol，CHAP）这是一种3次握手认证协议，并不传送用户密码，而是传送由用户密码生成的散列值。
2、 点对点隧道协议（PPTP）
PPTP（Point-to-Point Tunneling Protocol）定义了以下两种；逻辑设备：
1、 PPTP接入集中器（PPTP Access Concentrator，PAC）2、PPTP网络服务器（PPTP Network Server，PNS）PAC是负责接入的客户端设备；PNS是ISP提供的介入服务器。
同用网络封装协议（Generic Routing Encapsulation，GRE）网络层。
3、 第2层隧道协议
（Layer 2 Tunneling Protocol，L2TP）
4、 PPTP与L2TP的比较
都是使用PPP协议对数据进行封装。
区别：
（1） PPTP要求因特网络位IP网络，L2TP只要求隧道媒介提供面向数据包的点对点连接
（2） PPTP只能在两端点之间建立单一隧道，L2TP支持在两端点之间使用多个隧道
（3） L2TP可以提供包头压缩，系统开销只占4个字节，而在PPTP写一下要占用6个字节
（4） L2TP可以提供隧道验证，而PPTP不支持隧道验证。

IPSec
IPSec的功能：
（1） 认证头（Authention Header，AH）用于数据完整性认证和数据源认证。
（2） 封装安全负荷（Encapsulating Security Payload，ESP）提供数据保密性和数据完整性认证，ESP也包括纺织重放攻击的顺序号。
（3） Internet密钥交换协议（Internet Key Exchange，KEY）用于生成和分发在ESP和AH中使用的密钥。
IPSec由两种模式；传输模式和隧道模式；
隧道模式会产生新的IP头
安全套接层（4.5层）
安全套接层（Secure Socket Layer，SSL）
传输层安全标准（Transport Layer Security）

VPN
二层 PPP;PPTP;L2TP;L2F（2层快速转发）
三层 IPSec;GRE
四层 SSL/TLS
Ssl和IPSec各有特点。SSL VPN与SSL VPN一样，都是用RSA或D-H握手协议来建立秘密隧道。IPSec VPN是在网络层建立安全隧道，适用于建立固定的虚拟专用网，而SSL的安全连接是通过应用层的WEB连接建立的，更适合移动用户远程访问公司的虚拟专用网。
SSL/TLS在web安全通信中被称为HTTPS（443端口），在虚拟专用网中，SSL可以承载TCP通信，也可以承载UDP通信，由于SSL工作在传输层所以SSL VPN的控制更加灵活，既可以对传输层进行访问控制，也可以对应用层进行访问控制

应用层安全协议
S-HTTP（应用层协议）
安全的超文本传输协议（Secure HTTP，S-HTTP）是一个面向豹纹的安全通信协议，是HTTP协议的扩展，其设计摸底是保证商业贸易信息的传输安全，促进电子商务的发展（HTTPS是传输层协议，配合SSL，443端口）

PGP
PGP（Pretty Good Privacy）电子邮件加密软件包。最广泛的电子邮件加密软件。PGP能够得到广泛应用的原因如下：
（1） 能够在各种平台上免费使用，并得到许多制造商的支持。
（2） 基于比较安全的加密算法（RSA-加密密钥、IDEA-加密数据、MD5）
（3） 具有广泛的应用领域，既可用于加密文件，也可用于个人安全通信。
（4） 该软件包不是由政府或标准化组织开发和控制的。

S/MIME
S/MIME（Secure/Multipurpose Internet Mail Extensions）是RSA数据安全公司开发的软件。S/MIME提供的安全服务有报文完整性验证、数字签名和数据加密。S/MIME可以添加在邮件系统的用户代理中，用于提供安全的电子邮件传输服务，也可以加入其他的传输机制（例如HTTP中）

安全的电子交易
安全的电子交易（Secure Electronic Transaction，SET）是一个安全协议和报文格式的集合

Kerberos（地狱三头犬）
Kerberos是一项认证服务，他要解决的问题是：在公开的分布式环境中，工作站上的用户希望访问分布在网络上的服务器，希望服务器能限制授权用户的访问，并能对服务请求进行认证。有两个版本的Kerberos方法很常用，第四版还在广泛使用中（时间戳验证），第五版（序列号）弥补了第四版中纯在的某些安全漏洞。时间戳可以防止重放攻击。
Kerberos安全机制是，无T加T，有T加一

可信任系统
可信任系统的定义：一个完整的硬件及软件所组成的系统。能处理一般机密到最高机密等不同范围的信息。计算机的安全性能由高到低划分为A、B、C、D共4个等级7个小等级。
1、 D级，最低保护（Minimal Protection）
个人计算机的系统虽未经测试，一般属于此等级，D级并非没有安全保护功能，只是太弱，（自己开发的系统及软件）
2、 C级，自定式保护（Discretionary Protection）
系统管理员、用户和应用程序自定义访问权，该等级分为C1、C2凉的等级
3、 B级，强制式保护（Mandatory Protection）
该等级的安全特点在于由系统强制的安全保护，在强制式保护模式中，每个系统对象（如文件、目录等资源）及主题（如系统管理员、用户和应用程序）都有自己的安全标签（Security Label），系统即依据用户的安全等级赋予他对各对象的访问权限。该等级分为B1（标记安全保护）、B2（结构化保护级）、B3（安全域级）
4、 A级，可验证保护（Verifiod Protection）
A1是目前安全等级最高的。

防火墙

防火墙作为网络安全的第一道门户，可以实现内部可信任网络于外部不可信任网络之间（或是内部不同网络安全区域之间）的隔离和访问控制。
防火墙的定义：
1、 所有的从外部到内部或是从内部到外部的通信都必须经过他
2、 只有内部访问策略授权的通信才能被允许通过。
3、 系统本身具有很强的高可靠性。
防火墙的分类：
1、 过滤路由器。在传统路由器中增加分组过滤功能就形成了最简单的防火墙。（ACL访问控制列表）
2、 双宿主网关。具有两个网络接口的双宿主网关（Dual-Homed Getway），代理服务器简化了访问过程
3、 过滤式主机网关。这种防火墙是由路由器和运行网管软件的主机（代理服务器）组成
4、 过滤子网。这种防火墙把前一种的主机功能分散到由多个主机组成的子网中实现。
5、 悬挂式结构。与过滤式子网的主要区别是作为代理服务器的主机网关位于便捷网络中，另外还增加了内部过滤器进一步保障内部网络的安全。

病毒防护

所谓病毒，是指一段可执行的程序代码，通过对其他程序进行修改，可以感染这些程序，使其含有该病毒程序的一个副本。
病毒的命名规则：
1、 系统病毒：前缀为Win32、PE、Win95、W32、W95等
2、 蠕虫病毒：前缀是Worm。
3、 木马和黑客病毒：木马病毒的前缀是Trojan，黑客病毒的前缀为Hack。
4、 脚本病毒：其前缀是Script。
5、 宏病毒：前缀是Macro，第二前缀是Word、Word97、Excel、Excel97.

入侵检测

入侵检测系统（Intrusion Detection System，IDS）主要功能包括对用户和系统行为的检测与分析。入侵检测通过实时的监控入侵者事件，在造成系统损坏或数据丢失之前阻止入侵者进一步的行动。（与网络并联）（IPS：入侵防御系统Intrusion-Prevention System，与网络串联，可切断网络阻止入侵）
对IDS部署的唯一要求是应当挂接在所关注流量必须流经的链路上（核心交换机或服务器群），通常是：服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上。