软件设计师 第5章 网络基础知识.doc

第五章 网络基础知识5.1网络概述5.1.1计算机网络的概念1.计算机网络的发展1）具有通信功能的单机系统2）具有通信功能的多机系统对终端-计算机网进行改进；在主计算机的外围增加了一台计算机，专门用于处理终端的通信信息及控制通信线路，并能对用户的作业进行某些预处理操作，这台计算机称为“前端处理机”或“通信控制处理机”。在终端设备较集中地地方设置一台集中器，终端通过低速线路先汇集到集中器上，然后再用高速线路将集中器连到主机上。这就形成了多级系统。3）以共享资源为目的的计算机网络4）以局域网及因特网为支撑环境的分布式计算机系统2计算机网络的功能（1） 数据通信（2） 资源共享（3） 负载均衡（4） 高可靠性计算机网络按照数据通信和数据处理的功能，可分为两层：内层通信子网和外层资源子网。通信子网的节点计算机和高速通信线路组成独立的数据系统，承担全网的数据传输、交换、加工和变换等通信处理工作。资源子网包括计算机、终端、通信子网接口设备、外部设备及各种软件资源等，它负全网的数据处理和向网络用户提供网络资源及网络服务。通信子网对用于OSI的低三层（物理层，数据链路层，网络层）而资源子网对应于OSI的高三层（会话层，表示层，应用层）5.1.2计算机网络的分类1局域网2城域网3广域网5.1.3网络的拓扑结构1总线型2星型3环形4树形结构5分布式5.2ISO/OSI网络体系结构ISO/OSI参考模型 物理层 提供为建立、维护和拆除物理链路所需的机械、电气、功能和规程的特性，提供有关在传输介质上传输非结构的位流及物理链路故障检测指示数据链路层 在两个相邻节点间的线路上无差错的传送以帧为单位的数据，并进行流量控制网络层 为传输层实体提供端到端的交换网络数据传送功能，使得传输层摆脱路由选择、交换方式和拥挤控制等网络传输细节；可以为传输层实体建立、维持和拆除一条或多条通信路径；对网络传输中发生的不可恢复的差错予以报告传输层 信息传送的单位是报文会话层 会话层不参与具体的传输，它提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。如服务器验证用户登录表示层 数据的压缩、解压缩、加密和解密等工作应用层 事务处理程序，电子邮件和网络管理程序等特性：（1） 是一种将异构系统互连的分层结构（2） 提供了控制互联系统交互规则的标准框架（3） 定义可一种抽象结构，而并非具体实现的描述（4） 不同系统上相同层的实体称为同等层实体（5） 同等层实体之间的通信由该层的协议管理（6） 相邻层见的接口定义了原语操作和底层向高层提供的服务（7） 所提供的公共服务是面向连接的或无连接的数据服务（8） 直接的数据传送仅在最低层实现（9） 每层完成所定义的功能，修改本层的功能不影响其它层5.3网络互连设备5.3.1网络的设备1网络传输介质互联设备T型头、收发器、RJ-45（屏蔽或非屏蔽双绞线连接器）、RS232接口（计算机与线路接口的常用方式）、DB-15接口（连接网络接口卡的AUI接口）、VB35同步接口（连接远程的高速同步接口）、网络接口单元和调制解调器（数字信号与模拟信号转换器）2物理层的互联设备中继器（Repeater）和集线器（Hub）3.数据链路层的互联设备网桥（Bridge）和交换机(Switch)交换机的工作过程为：当交换机从某一节点受到一个以太网帧后，将立即在其内存中的地址表进行查找，以确定该目的的MAC的网卡连接在哪一个节点上，然后将该帧转发至该节点。如果地址表中没有找到该MAC地址，也就是说，该目的MAC地址是首次出现，交换机就将数据包广播道所有节点。拥有该MAC地址的网卡在收到该广播帧后，将立即做出应答，从而使交换机将其节点的“MAC地址”添加到MAC地址表中交换机的三种交换技术：端口交换，帧交换，信元交换4网络层的互联设备路由器（Router）信息处理量比网桥要多，处理速度比网桥慢用于连接多个逻辑上分开的网络，逻辑网络是指一个单独的网络或一个子网，当数据从一个子网传输到另一个子网时，可用路由器来完成5应用层互联设备网关（Gateway）5.3.2网络的传输介质1有线介质1）双绞线2）同轴电缆3）光纤2无线介质1）微波2）红外线和激光3）卫星通信5.3.3组建网络（1） 服务器（2） 客户端（3） 网络设备（4） 通信介质（5） 网络软件5.4网络的协议与标准5.4.1网络的标准5.4.2局域网协议1LAN模型1）物理层2）MAC层 主要功能是控制对传输介质的访问，MAC与网络的具体拓扑方式以及传输介质的类型有关，主要是介质的访问控制核对信道资源的分配，MAC层还是先帧的寻址和识别，完成帧检测序列产生和检验等功能3）LLC层可提供两种控制类型，即面向连接服务和非连接服务。其中，面向连接服务能够提供可靠地信道。逻辑链路控制层提供的主要功能是数据帧的封装2以太网（IEEE 802.3标准）以太网技术可以说是局域网技术中历史最悠久和最常用的一种。它采用的“存取方法”是带冲突检测的载波监听多路访问协议技术（1） 介质访问技术 工作工程为：首先侦听信道，如果信道空闲，则发送；如果信道忙，则继续侦听，直到信道空闲时立即发送。开始发送后再进行一段时间的检测，方法是边发送边接受，并将收，发信息相比较，如果结果不同，表明发送的信息遇到碰撞，于是立即停止发送，并向总线撒谎能够发出一串阻塞信号，通知信道上各站冲突已发生。已发出信息的各站受到阻塞信号后，等待一段随机时间，等待时间最短的站将重新获得信道，可重新发送在CSMA/CD中，当检测当冲突并发出阻塞信号后，为了降低再次冲突概率，需要等待一个退避时间。退避算法有许多种，常用的一种通用退避算法称为二进制指数退避算法（2） IEEE 802.310Mb/s以太网传输介质为同轴电缆（3） IEEE802.3u100Mb/s快速以太网（4） IEEE802.3z1000Mb/s千兆以太网在物理层，千兆以太网支持如下三种传输介质（1） 光纤系统。支持单模光纤和多模光纤系统，多模光纤的工作距离为500m，单模光纤的工作距离为2000m（2） 宽带同轴电缆系统，传输距离为25m（3） 5类UTP电缆。其传输距离为100m，链路操作模式为半双工千兆以太网采用以交换机为中心的星型拓扑结构，主要用于交换机与交换机之间或者交换机与企业超级服务器之间的高速网络连接3令牌环网（IEEE802.5）使用令牌环控制技术，编码方法为曼彻斯特编码工作过程为：首先，令牌环网在网络中传递一个很小的帧，称为“令牌”，只有拥有令牌环的工作站才有权力发送信息，令牌在网络上依次顺序传递。当工作站要发送数据时，等待捕获一个空令牌，然后将要发送的信息附加到后边，发往下一站，如此知道目标站。然后将令牌释放，如果工作站要发送数据时，经过的令牌不是空的，则等待令牌释放当信息帧绕环通过各站时，各站都要将帧的目的地址与本站地址相比较，如果地址符合，说明是发送给本站的，则将帧复制到本站的接受缓冲器中，同时将帧送回到环上，使帧继续沿环传送；如果地址不符合，则简单将信息帧重新送到环上即可4FDDI光纤分布式数据接口5.4.3广域网协议 广域网通常是指覆盖范围大，传输率低，以数据通信为主要目的的数据通信网。1点对点协议（PPP）主要用于“拨号上网”这种广域连接模式，它的优点在于简单、具备用户验证能力、可以解决IP分配等。家庭拨号上网就是通过PPP在用户端和运营商的介入服务器之间建立通信链路，目前宽带介入正在成为取代拨号上网的趋势，PPP也衍生出新的应用，典型的应用时在ADSL（Asymmetrical Digital Subscriber Line,非对称数据用户线）接入方式中，PPP与其他的协议共同派生出符合宽带介入要求的新协议，如PPPoE（ATM网络上运行）和PPPoA（以太网络上运行）2数字用户线（XDSL）它是在一对铜双绞线上位用户提供上下行非对称的传输速率3. 数字专线数字数据网（Digital Data Network，DDN）是采用数字传输信道传输数据信号的通信网，可提供点对点、点对多点透明的传输的数据专线出租电路，为用户传输数据、图像和声音等信息，数字数据网是以光纤为中继干线网络，组成DDN的基本单位是节点，节点间通过光纤连接，构成网状的拓扑结构4 帧中继（Frame Relay,FR）是在用户网络接口之间提供用户信息流的双向传送，并保持顺序不变的一种承载业务。用户信息以帧为单位进行传输，并对用户信息流进行统计复用。5异步传输模式Asynchronous Transfer Mode,ATM)是B-ISDN的关键核心技术，它是一种面向分组的快速分组交换模式，使用了异步时分复用技术，将信息流分割成固定长度的信元 ATM的参考模型有4层构成，分别是用户层、ATM适配层，ATM层和物理层。6.X25协议在本地DTE和远程DTE之间提供一个全双工同步的透明信道，并定义了三个相互独立的控制层：物理层，数据链路层和分组层，它们分别对应于ISO/OSI的物理层。链路层和网络层5.4.4TCP/IP协议协议的重要特性：1) 逻辑编址2) 路由选择3) 域名解析4) 错误检测和流量控制1、 TCP/IP分层模型 由4个层次构成1) 应用层2) 传输层3) 网际层4) 网络接口层 又称数据链路层，处于TCP/IP写一下，负责接收IP数据报，并把数据报通过选定的网络发送出去。该层包含设备驱动程序，也可能是一个复杂的使用自己的数据链路协议的子系统2、 网络接口层协议3、 网际层协议IP4、 ARP(地址解析协议)和RARP（反地址解析协议）5、 网际层协议ICMP(Inernet 控制信息协议)6、 传输层协议TCP7、 传输层协议UDP5.5Internet及应用5.5.1Internet概述从用户的角度来看，整个网络在逻辑上是统一的、独立的、在物理上则是由不同的网络互连而成。从技术角度来看，它本身不是某一种具体的物理网络技术，它是能够互相传递信息的众多网络的一个统称5.5.2Internet地址1域名通常是用户所在的主机名字或地址。域名格式是由若干部分组成，每个部分又称子域名。域名通常按分层结构来构造，每个子域名都有其特定含义。通常情况，一个完整、通用的层次型主机域名由如下4部分组成：计算机主机名，本地名，组名，最高层域名。2.IP地址每个IP地址由4个小于256的数字组成，中间用.分开，Internet的IP地址有32位，4个字节，表示时有两种格式：二进制格式和十进制格式。A类网络地址占有1个字节，定义最高位0来表示此类地址，余下7位为真正的网络地址，支持1-126个网络，后面的3个字节（24位）为主机地址，共提供2的34次方-2个端点寻址。A类网络地址的第一个字节的十进制值为000-127。B类网络地址占有2个字节，使用最高两位为10来标识此类地址，其余14位为真正的网络地址，主机地址后面的2个字节（16位），B类网络地址第一个字节的十进制值为128-191C类网络地址占有3个字节，它是最通用的Internet地址，使用最高三位为110来标识此类地址，其余21位为真正的网络地址，主机地址占最后一个字节，每个网络可达254个主机，C类网络地址第一个字节的十进制值为192-223D类地址是相当新的，它的识别头是1110，用于组播E类地址为实验保留，其识别头是1111，E类网络地址第一个字节的十进制值为240-2555.6.1网络安全概述计算机，网络系统的硬件、软件以及系统中的数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、泄露，确保系统能连续和可靠地运行，使网络服务不中断网络安全受到威胁的原因：1) 计算机存储和处理时有关国家安全的政治、经济、军事和国防的情况以及一些部门、机构、组织的秘密信息或是个人的面干信息，隐私2) 随着Internet的发展，存取控制、逻辑连接的数目不断增加，软件规模不断膨胀，使系统容易存在缺陷3) 在网络中，信息传输必须经过多个中间节点。如信息传输路由中存在不可信和具有攻击者的中间节点，信息的安全性就要受到威胁4) 计算机网络的运行机制是协议控制机制。由于协议本身固有的安全漏洞或协议实现中产生的安全漏洞也会造成安全问题网络安全涉及的内容如下1) 运行系统安全 保证信息处理和传输系统的安全，包括计算机系统机房环境和系统设备的保护、计算机结构设计上的安全性考虑、硬件系统的可靠安全与运行、计算机操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防护等2) 信息系统安全 包括用户口令鉴别、用户存取权限限制，方式控制，安全审计、安全问题跟踪、计算机病毒防治、数据加密。3) 信息传播安全 信息传播后果的安全，包括信息过滤、不良信息的过滤等，它侧重于防治和空盒子非法、有害的信息传播的后果4) 信息内容安全 狭义的信息安全，它侧重于信息的保密性、真实性、完整性。避免攻击者利用系统的安全漏洞进行窃听，冒充，诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。信息系统对安全的基本需求如下：1) 保密性2) 完整性3) 可用性4) 可控性5) 可核查性网络的安全威胁来自以下5类：1) 物理威胁2) 网络攻击3) 身份鉴别4) 编程威胁5) 系统漏洞5.7.2网络的信息安全1.信息的存储安全1) 用户的标识与验证2) 用户存取权限控制 隔离控制法 权限控制法3) 系统安全监控4) 计算机病毒防治5) 数据的加密 文件信息的加密 数据库数据的安全与加密 磁介质加密6) 计算机网络安全 网络边界的安全 网络内部的安全控制和防范2.信息的传输安全1）加密的主要方式 信息的传输加密时面向线路的加密措施，有链路加密、节点加密和端-端加密3种2）基本加密算法 对称密钥加密和非对称密钥加密5.7.3防火墙技术1.防火墙的分类1) 包过滤型防火墙2) 应用代理网关防火墙3) 状态检测技术防火墙2.典型防火墙的体系结构 一个防火墙通常是由过滤路由器和代理服务器组成。过滤路由器是一个多端口的IP路由器，它能够拦截和检查所有出站和进站的数据。代理服务防火墙使用了与包过滤器不同的方法。代理服务器使用了一个客户程序与特定的中间节点（防火墙）连接，然后中间节点与期望的服务器进行实际连接。与包过滤器不同的是，使用这种类型的防火墙，内部与外部网络之间不存在直接连接。因此，即使防火墙发生了问题，外部网络也无法获得与被保护的网络的连接。代理提供了详细的注册及审计功能，这大大提高了网络的安全性，也为改进现有软件的安全性提供了可能。它是基于特定协议的，如FTP、HTTP等。为了通过代理支持一个新的协议，必须改进代理服务器以适应新协议。典型防火墙的体系结构包括过滤路由器、双宿主主机、被屏蔽主机、被屏蔽子网等类型1）包过滤路由器又称屏蔽路由器，是最简单也是最常用的防火墙。它一般作用在网络层，对