2023年网络工程师基础

什么是局域网

局部区域网络(localareanetwork)一般简称为“局域网”，缩写为LAN。局域网是

构造复杂程度最低口勺计算机网络。局域网仅是在同一地点上经网络连在一起的一组计算机。

局域网一般挨得很近，它是目前应用最广泛H勺一类网络。一般将具有如下特性的网称为局域

网。

1)网络所覆盖的地理范围比较小。一般不超过几十公里，甚至只在一幢建筑或一种房

间内。

2)信息的传播速率比较高，其范围自1Mbps到10Mbps，近来已到达1

00Mbpso而广域网运行时的传播率一般为2400bps、9600bps或者38.4kbps

、56.64kbps。专用线路也只能至U达1.544Mbps。

3)网络经营权和管理权属于某个单位。

什么是广域网

广域网(wideareanetwork,WAN)它是影响广泛II勺复杂网络系统。

WAN由两个以上的LAN构成，这些LAN间的连接可以穿越30miIe*

以上的距离。大型的WAN可以由各大洲的许多LAN和MAN构成。最广为人知的

WAN就是Internet,它由全球成千上万的LAN和WAN构成。

有时LAN、MAN和WAN间的边界非常不明显，很难确定LAN在何处终止、

MAN或WAN在何处开始。不过可以通过四种网络特性■通信介质、协议、拓扑以及私

有网和公共网间的边界点来确定网络口勺类型。通信介质是指用来连接计算机和网络的电缆、

光纤电缆、无线电波或微波。一股LAN结束在通信介质变化的地方，如从基于电线口勺电

缆转变为光纤。电线电缆的LAN一般通过光纤电缆与其他口勺LAN连接。

什么是网桥

网桥这种设备看上去有点像中继器。它具有单个的输入端口和输出端口。它与中继器的

不一样之处就在于它可以解析它收发H勺数据。网桥属于。SI模型口勺数据链路层；数据链

路层可以进行流控制、纠错处理以及地址分派。网桥可以解析它所接受的帧，并能指导怎样

把数据传送到目H勺地.尤其是它可以读取目的地址信息（MAC）,并决定与否向网络H勺

其他段转发（重发）数据包，并月.，假如数据包的目的地址与源地址位于同一段，就可以把

它过滤掉。当节点通过网桥传播数据时，网桥就会根据已知口勺MAC地址和它们在网络中

的位置建立过漉数据库（也就是人们熟知的转刊登）。网桥运用过滤数据库来决定是转发数

据包还是把它过滤掉.

什么是网关

网关不能完全归为一种网络硬件。用概括性的术语来讲，它们应当是可以连接不一样网

络的软件和硬件的结合产品。尤其地，它们可以使用不一样的格式、通信协议或构造连接起

两个系统。和本章前面讨论的不一样样，网关实际上通过重新封装信息以使它们能被另一种

系统读取。为了完毕这项任务，网关必须能运行在OSI模型H勺几种层上。网关必须同应

用通信，建立和管理会话，传播已经编码的数据，并解析逻辑和物理地址数据。

网关可以设在服务器、微机或大型机上。由于网关具有强大的功能并且大多数时候都和

应用有关，它们比路由器的价格要贵某些。此外，由于网关的传播更复杂，它们传播数据U勺

速度要比网桥或路由器低某些。正是由于网关较慢，它们有导致网络堵塞日勺也许。然而，在

某些场所，只有网关能胜任工作。在你的网络生涯中，你很也许会在电子邮件系统环境中听

到有关网关的讨论。常见的网关，包括电子邮件网关，描述如下：

电子邮件网关：通过这种网关可以从一种类型H勺系统向另一种类型H勺系统传播数据。例

如,电子邮件网关可以容许使用Eudora电子邮仁的人与使用GroupWise电子

邮件的人互相通信。

IBM主机网关：通过这种网关，可以在一台个人计算机与IBM大型机之间建立

和管理通信。

因特网网关：这种网关容许并管理局域网和因特网间的接入。因特网网关可以限制某

些局域网顾客访问因特网。反之亦然。

局域网网关：通过这种网关，运行不一样协议或运行于0SI模型不一样层上的局域

网网段间可以互相通信。珞由器甚至只用一台服务器都可以充当局域网网关。局域网网关也

包括远程访问服务器。它容许远程顾客通过拨号方式接入局域网。

网络类型

每一种网络都规定布线、网络设备、文献服务器、工作站、软件和培训，这些要素以多

种不一样的方式进行综合便可以创立与详细单位的需要和资源相适应日勺网络。有些网络口勺启

动成木很低，不过维护和升级时代价很高：而另有某些网络虽然建立时耗资较大，不过易于

维护、升级途径简朴。

辨别网络类型R勺很明显的一点就是网络的拓扑构造。拓扑构造是指网络的物理布局以及

其逻辑特性。物理布局就像是描述办公室、建筑物或校园中怎样布线的示意图，一般称为电

缆线路。网络口勺逻辑是指信号沿电缆从一点向另一点进行传播的措施。

网络的布局可以分散开，电缆在网络U勺各个站铺开；或者可以是集中的，每个站都与在

工作站间分派包的中央设备有物理日勺连接。集中布局像是星星，工作站是星星日勺点；分散布

局有些像一队登山者，每个登山者位于山H勺不一样位置上，但都由一条很长的绳子连接着。

拓扑构造的I逻辑方面包括包在网络中传递的途径。

有二种重要H勺拓扑构造：总线拓扑、环形拓扑和星形拓扑。一种单位需要按照工作目H勺

选择网络类型，而拓扑构造必须与所选日勺网络类型相匹配。例如，有些企业使用网络的程度

比其他企业要高。企业使用的软件应用程序的类型和数量影响了传播的包的数量和频率，

也就是我们常说的网络信息流通量(networktraffic)。假如网络顾客重要访问字处理软

件，那么网络信息流通最用对就比较低，大多数工作都在工作站进行而不是在网络上让行。

客户机/服务器构造的应川程序根据其软件设计，会产生中等到高"勺网络信息流通量。假如

网络上要常常互换如MicrosoftSQLServer或0racIe数据库文献等数据库信息

的话，也会产生中等到高I向网络信息流通量。而对于科学程序和网上出版而言，由于数据文

献非常巨大，因此信息流量很高。同步，图形密集日勺应用程序如不停变化图形的多媒体和桌

面网上会议都会产生很高於J网络信息流通量。

网络上主机与服务器的影响力与使用的软件应用程序的类型亲密有关。例如，假如常常

访问数据库服务器来产生财务报表和销售图表，那么它引起口勺网络信息流通品♦肯定要匕偶

尔访问包括商务通信或信件模板的文献服务器要高得多。

当需要确定使用何种拓扑构造时，应当考虑与否有其他网络与这个网络连接。计算机不

超过4台的小型商业企业口勺网络拓扑肯定与一种通过WAN与其他工地连接的工业厂区

所需要的拓扑构造不一样，小企业除了与外部的internet相连外，也许不会与其他网络连

接。而工业厂区将包括多种互连H勺网络，其中也许有控制工厂机器的网络、用于商业系统H勺

网络、用于科研的网络和与其他工地相连的扩展的WAN<,有些网络拓扑构造会提供比其

他拓扑构造性能更好啊网络互连性。高流量B、J网络需要高速的数据传播能力。网络速度极大

影响着顾客的生产率，高速对于在远距离或WAN上传播图像、图形和其他大型文献来说

尤其重要。

保护数据只能由授权的顾客来访问，也就是安全性问题，是影响网络设计的另一种重

要方面。安全的网络使用网络设备、密码、控制软件和其他技术来限制对信息和资源日勺方问,

还常常使用加密措施，对包加密并仅容许授权的计算机来对其解密。安全性高的网络使用

光纤电缆，使得数据给未授权顾客截取H勺危险降到最低。另•种安全措施是将网络设备和服

务器放在受限制口勺地点，如计算机房和布线室。

网络拓扑构造直接影响着网络U勺潜在发展。安装网络后，也许要添加更多的顾客，这些

顾客也许在同一间办公室，也许在其他办公室，或者在其他楼层。并且极有也许为了长距离

的信息访问，需要将LAN与WAN连接。

网络协议

一种LAN可以由一系列的子网构成，而一种WAN,例如Internet,可

以由一系列的自治网络构成。LAN可以只使用以太网，而WAN却也许包括以太网、令

牌环网、X.25和其他某些网络。通过网际协议（IP）,可以把一种包发送到LANI^

不一样子网和WAN日勺不一样网络上，唯一的条件就是这些网络所使用日勺传播选项要保证

可以和TCP/IP兼容，这些选项包括：

0以太网。

o令牌环网。

oX.25o

oFDDIo

oISDNo

0帧中继。

o（带有转换的）ATM。

0网络传播头

（例如，以太网）

IP的基本功能是提供数据传播、包编址、包寻径、分段和简朴的包错误检测。通过I

P编址约定，可以成功地将数据传播和路由到对的的区络或者子网。每个网络结点具有一

种32位的IP地址，它和48位的MAC地址一起协作，完毕网络通信。该地址不仅

标识了一种既定口勺网络，并且还指明了是该网络上的哪个结点。

什么是路由器

路由器是一种多端口设备，它可以连接不一样传播速率并运行于多种环境的局域网和

广域网，也可以采用不一样的协议。路由器属于0SI模型的第三层。第2章曾经在过，

网络层指导从一种网段到另一种网段日勺数据传播，也能指导从一种网络向另一种网络时数

据传播。过去，由于过多的注意第三层或更高层的数据，如协议或逻辑地址，路由器曾经比

互换机和网桥H勺速度慢。因此，不像网桥和第二层互换机，路由器是依赖于协议的。在它们

使用某种协议转发数据前，它们必须要被设计或配置成能识别该协议。

老式的独立式局域网路由器正慢慢地被支持路由功能的第三层互换机所替代。但路由器

这个概念还是非常重要的。本节口勺剩余部分讲述的都是有关第三层互换机口勺应用。独力.式路

由器仍然是使川广域网技术连接远程顾客的一种选择。

重要内容：l.internet体系构造

2.internet连接的措施

3.internet地址

4.internet域名系统

5.internet地址是日勺犷展

一、Internet体系构造

1.自治系统:原始的Internet关键体系是在Internet权有一种主:干网的那个时期开发

Wo不过这种体系构造存在如下某些问题：

这种体系不能适应互赛网犷展到任意数量的网点；

许多网点由多种局域网构成，且用多种多路由器互连，由于一种关键路由器在每个网

点上与一种网络相连，关健路由器就只懂得那个网点中的一种网络的状况；

一种大型口勺互联网是独立日勺组织管理的网络的I互连集合，路由选择体系构造必须为每

个组织提供独立的控制路由选择和访问网络的措施，因此必须用一种单一的协议机制来构

造一种由许多网点构成的互联网，同步，各个网点又是一种自治系统。

二、Internet连接的措施

1.将计算机连接到一种局域网，这个局域网的服务器是Internet的一种主机。

条件:必须连接到一种与Internet连接的网络，需要网络适配卡和ODI或NDIS驱动

程序，还需要在当地计算机上运行TCP/IP,假如是Windows系统还需要Winsock支持。

2.运用串行接口协议(SLIP)或点到点协议(PPP),通过拨号方式进入一种Internet

的主机

条件:需要一种调制解调器Modem.TCP/IP软件和SLIP或PPP软件，假如是Wind

ows系统还需要Winsock支持。

3.通过拨号进入一种提供Internet服务的联机服务系统。

条件:需要一种调制解调器Modem,原则的通信软件和一种联机服务帐号。

4.顾客选择连接措施的考虑原因:联网日勺目的和需求;顾客内部配置日勺网络基础设施;顾

客支付Internet联网费用的能力;对Internet安全服务口勺需求。

三、Internet地址

在TCP/IP协议中，规定分派给每台主机一种32位数作为该主机IP地址。每个IP地

址由两个部分构成，即网络标识netid和主机标识hostido

IP地址的层次构造具有两个重要特性:第一，每台主机分派了一种惟一H勺地址;第二，

网络标识号的分派必须全球统一，但主机标识号可由当地分派，不需要全球一致。

1.A类:至126.255.255,254也许的网络数有126个，主机部分有167721

6台(224-2)

2.B类:至54也许日勺网络数有16384个，主机有65536

台

3.C类C至54也许的网络数有2097152个，主机有256

台

4.D类:用于广播传送至多种目的地址用224-239

5.E类:用于保留地址240-255

RFC1918将10.0.0.至.055.192.

168.0.0至55的地址作为预留地址，用作内部地址，不能直接连接到公

共因特网上。

四、Internet地址映射

将一台计算机的IP地址映射到物理地址的过程称地址解析。

常用的地址解析算法有如下三种：

1.查表法:将地址映射关系放在内存中U勺某些表里，当解析地址时，通过查表得到解析

的成果。用于广域网。

2.相近形式计算法:通过简朴的布尔和算术运算得出映射地址。用于可配置网络。

3.消息互换法:计算机通过网络互换信息得到映射地址。用于静态编址。

TCP/IP协议组包括一种地址解析协议(ARP)。ARP协议定义了两类基本消息，一类消

息是祈求消息，另一类是应答消息。

五、Internet地址空间的扩展

1.IPV6仍然支持无连接传送;容许发送方选择数据农大小;规定发送方指明数据报在抵

达目的站前的最大跳数。更大R勺地址空间;灵活H勺报头格式;增强的选项;支持资源分派;支持

协议扩展。

2.IPV6U勺数据报格式:IPV6数据有一种固定的基本报头40字节其后可以容许多种扩

展报头，也可以没有扩展报头，扩展报头后是数据。

IPV4日勺数据报格式:包括数据报报头和数据区的部分。报头:版本号、IHL、服务级别、

数据单元长度、标识、标识、分段偏移、生命期、顾客协议、报头检查和、源地址、目H勺地

址、任选项+填充、数据,

3•该基本报头包括版本号、数据流标识、PAYLOAD长度、下一种报头、跳数极限、源

地址、目的地址。

4.IPV4与IPV6比较:取消了报头长度字段，数据报长度字段被PAYLOAD长度字段替

代;源地址和目的地址字段大小增长为每个字段占16个八位组，128位;分段信息从基本报

头的固定字段移动扩展报头;生存时间字段改为跳数极限字段;服务类型字段改为数据流标

号字段;协议字段改为指明下一种报头类型字段。

5.IPV6有三个基当地址类型，单播地址(unicast)即目MJ地址指明一台计算机或路由

器，数据报选择一条最短的途径抵达目的站;群集地址(cluster)即目的站是共享一种网络

地址的计算机口勺集合，数据报选择一条最短途径抵达该组，然后传递给该组近来的一种组

员；组播地址(multicast)即目的站是一组计算机，它们可以在不一样地方，数据报通过硬

件组播或广播传递给该组的每一组员。

6•对任何地址若开始80位是全零，接着16位是全1或全零，则它II勺低32位就是一

种IPV4地址。

第10章企业网与Intranet

重要内容:1.企业网络计算的构成和管理

2.企业网络开放系统集成技术

3.intranet定义和要素

4.intranet应用和建立

一、企业网络计算的行景和挑战

企业网是连接企业内部各部门并和企业外界相连，为企业口勺通信、办公自动化、经营管

理、生产销售以及自动控制服务的重要信息基础设施。Intranet是基于TCP/IP协议，使

用环球网工具，采用防止外界侵入的安全措施，为企业内部服务，并有连接Intranet功

能的企业内部网络。

1.驱动企业网络计算的原因:顾客需求，这是基本动力;先进和实用H勺信息技术;迅速变

化中的市场。

2,可采用两种模型:一种是可伸缩II勺模型，即企业网络计算网司样的软件可运行在企业

内部的不一样平台上;另一种是集成的模型，即企业内部不一样平台上欧I软件的集成。

二、企业网络计算的构成和特性

L企业网络计算的构成:客户机/服务器计算;分布式数据库;数据仓库;网络和通信;网

络和系统的管理;多种网络应用。

2.企业网络计算的特性:支持客户机/服务器计算械;支持管理海最数据口勺能力和设施；

分布数据管理口勺设施;国际化和当地化;功能强的通信设施;系统的灵活性;分布资源管理;开

发工具和开发手段的提供。

三、开放系统

开放系统:是对一种不停发展的、厂家中立的、用于对整个系统进行有效配置、操作和

替代的J接口、服务、协议和格式的规范描述日勺实现，它的应用和构成部件可以用不一样厂家

的其他相似实现替代。

1.开放系统的两个特点:开放系统所采用口勺规范是厂家中立H勺，或者是与厂家无关的；

开放系统容许不一样厂家的产品替代，这种替代包括整个系统其构成部件。

2,专用系统:它所采用的规范是专用，而不是厂家中立的;专用系统不容许由不一样厂

家的产品替代;它的构成部件容许具有许可证日勺厂家产品替代。

3.驱动开放系统发展的原因:功能、可用性、兔杂性、价格。

四、企业网络开放系统集成技术

1.FRAMW0RK是应用程序的开发和运行环境，它实际上是蹭件和操作系统的组合。

比较有名的产品有CICS、Windows.UNIX。

2.COSE专门制定了自己依J开放系统环境规范，重要技术包括用于窗口管理的Motif.

原则API接口和用于数据库管理的SQLo

3.信息系统与网络计算重要实现网络范围数据管理、通信和网络管理，重要技术有:在

数据管理方面有用于数据库间通信H勺RDA,即远程数据访问;通信服务DCE分布式计算环

境，RPC远程过程调用，OSI开放系统互连;管理服务，DME分布管理环境，SNMP简朴网

络管理协议。

五、开放系统环境应用可移植框架

六、IntranetH勺定义和要素

1.Intranet是基于InternetTCP/IP协议，使用的环球网工具、采用防止外界侵

入的安全措施、为企业内部服务，并有连接Internet的功能的企业内部网络。

2.IntranetH勺构成:网络、电子邮件、内部环球网、邮件地址清单、新闻组Newsgro

ups、闲谈Chat、FTP、Telnet.Gopher。

重要内容:1.密码学、鉴别

2.访问控制、计算机病毒

3.网络安全技术

4.安全服务与安全机制

5.信息系统安全体系构造框架

6.信息系统安全评估唯则

一、密码学

1.密码学是以研究数据保密为目II勺，对存储或者传播的信息采用秘密的互换以防止第

三者对信息日勺窃取的技术，

2.对称密钥密码系统(私钥密码系统):在老式密码体制中加密和解密采用的是同一密

钥。常见的算法有:DES、IDEA

3.加密模式分类：

(1)序列密码:通过有限状态机产生性能优良的伪随机序列，使用该序列加密信息流逐

位加密得到密文。

(2)分组密码:在相信复杂函数可以通过简朴函数迭代若干圈得到的原则，运用简朴圈

函数及对合等运算，充足运用非线性运算。

4.非对称密钥密码系统（公钥密码系统）:现代密码体制中加密和解密采用不一样的密

钥。

实现的过程:每个通信双方有两个密钥，K和K',在进行保密通信时一般将加密密钥K

公开（称为公钥），而保留解密密钥K'（称为私钥），常见的算法有:RSA

二、鉴别

鉴别是指可靠地验证某个通信参与方的身份与否与他所声称的身份一致日勺过程，一般

通过某种更杂口勺身份认证协议来实现。

1.口令技术

身份认证标识:PIN保护记忆卡和挑战响应卡

分类:共享密钥认证、公钥认证和零知识认证

（1）共享密钥认证的思想是从通过口令认证顾客发展来了。

(2)公开密钥算法时出现为

2.会话密钥:是指在一次会话过程中使用口勺密钥，一般都是由机器随机生成的J,会话密

钥在实际使用时往往是在一定期间内均有效，并不真正限制在一次会话过程中。

签名:运用私钥对明文信息进行的变换称为签名

封装:运用公钥对明文信息进行的变换称为封装

3.Kerberos鉴别:是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心

的身份认证系统。客户方需要向服务器方递交自己的凭据来证明自己的身份，该凭据是由K

DC专门为客户和服务器方在某一阶段内通信而生成口勺。凭据中包括客户和服务器方的身份

信息和在下一阶段双方使用的临时加密密钥，尚有证明客户方拥有会话密钥的身份认证者

信息。身份认证信息的作用是防止袭击者在未来将同样时凭据再次使用。时间标识是检测重

放袭击。

4.数字签名：

加密过程为C=EB(DA(m))顾客A先用自己的保密算法(解密算法DA)对数据进行加

密DA(m),再用B日勺公开算法(加密算法EB)进行一次加密EB(DA(m))。

解密的过程为m=EA(DB(C))顾客B先用自己日勺保密算法(解密算DB)对密文C

进行解密DB(C),再用A的公开算法(加密算法EA)进行一次解密EA(DB(C))。只有A

才能产生密文C,B是无法依托或修改口勺，因此A是不得抵赖於jDA(m)被称为签名。

三、访问控制

访问控制是指确定可予以哪些主体访问的权力、确定以及实行访问权限的过程。被访问

的数据统称为客体。

1.访问矩阵是表达安全政策日勺最常用时访问控制安全模型。访问者对访问对象日勺权限就

寄存在矩阵中对应的交叉点上。

2.访问控制表(ACL)每个访问者存储有访问权力表，该表包括了他可以访问艮I特定对

象和操作权限。引用监视帮根据验证访问表提供H勺权力表和访问者口勺身份来决定与否授予访

问者对应的操作权限。

3,粗粒度访问控制:可以控制到主机对象U勺访问控制

细粒度访问控制:可以控制到文献甚至记录的访问控制

4.防火墙作用：防止不但愿、未经授权日勺通信进出被保护H勺内部网络，通过边界控制强

化内部网络日勺安全政策。

防火墙的分类:IP过滤、线过滤和应用层代理

路由器过滤方式防火墙、双穴信关方式防火墙、主机过滤式防火墙、子网过滤方式防火

墙

5.过滤路由器的长处:构造简朴，使用硬件来减少成本;对上层协议和应用透明，无需

要修改已经有H勺应用。缺谄:在认证和控制方面粒度太粗，无法做到顾客级别的身份认证，

只有针对主机IP地址，存在着假冒IP袭击口勺隐患；访问控制也只有控制到IP地址端口一级,

不能细化到文献等详细对象;从系统管理角度来看人工承担很重。

6.代理服务器的长处:是其顾客级身份认证、H志记录和帐号管理。缺陷:要想提供全面

的安全保证，就要对每一项服务都建立对应H勺应用层网关，这就极大限制了新应用的采纳。

7、VPN:虚拟专用网，是将物理分布在不一样地点的网络通过公共骨干网，尤其是int

ernet联接而成的逻辑上li勺虚拟子网。

8、VPN的模式:直接模式VPN使用IP和编址来建立对VPN上传播数据H勺直接控制。

对数据加密，采用基于顾客身份的鉴别，而不是基于IP地址。隧道模式VPN是使用IP帧

作为隧道的发送分组。

9、IPSEC是由IETF制定的用于VPNH勺协议。由三个部分构成:封装安全负载ESP

重要用来处理对IP数据包的加密并对鉴别提供某种程序H勺支持。，鉴别报头(AP)只波及到

鉴别不波及到加密，internet密钥互换IKE重要是对密钥互换进行管理。

四、计算机病毒

1.计算机病毒分类:操作系统型、外壳型、入侵型、源码型

2.计算机病毒破坏过程:最初病毒程序寄生在介质上的某个程序中，处在静止状态，一

旦程序被引导或调用，它就被激活，变成有传染能力日勺动态病毒，当传染条件满足时，病毒

就侵入内存，伴随作业进程的发展，它逐渐向其他作业模块扩散，并传染给其他软件。在破

坏条件满足时，它就由体现模块或破坏模块把病毒以特定H勺方针体现出来。

五、网络安全技术

1.链路层负责建立点到点的)通信，网络层负责寻径、传播层负责•建立端到端H勺通信信

道。

2.物理层可以在通信线路上采用某些技术使得搭线偷听变得不也许或者轻易被检测出。

数据链路层，可以采用通信保密机进行加密和解密。

3.IP层安全性

在IP加密传播信道技术方面：IETF已经指定了一种IP安全性工作小组IPSEC来制定

IP安全协议IPSP和对应日勺internet密钥管理协议IKMP的原则。

(l)IPSEC采用了两种机制:认证头部AH,提前谁和数据完整性;安全内容封装ESP,

实现通信保密。1995年8月internet工程领导小组IESG同意了有关IPSP的RFC作为

internet原则系列艮I推荐原则。同步还规定了用安全散列算法SHA来替代MD5和用三元

DES替代DES0

4.传播层安全性

(1)传播层网关在两个通信节点之间代为传递TCP连接并进行控制，这个层次一般称

作传播层安全。最常见的传播层安全技术有SSL、SOCKS和安全RPC等。

(2)在internet编程中，一般使用广义H勺进程信IPC机制来同不一样层次的安全协议

打交道。比较流行的两个IPC编程界面是BSDSockets和传播层界面TLL

(3)安全套接层协议SSL

在可靠R勺传播服务TCP/IP基础上建立，SSL版本3,SSLv3于1995年12月制定。

SSL采用公钥方式进行身份认证，不过大量数据传播仍然使用对称密钥方式。通过双方协商

SSL可以支持多种身份认证、加密和检查算法。

SSL协商协议:用来互换版本号、加密算法、身份认证并互换密钥SSLv3提供对Deff

ie-Hellman密钥互换算法、基于RSA的密钥互换机制和另一种实目前Frotezzachip±

的密钥互换机制打勺支持。

SSL记录层协议:它波及应用程序提供的信息艮|分段、压缩数据认证和加密SSLv3提

供对数据认证用H勺MD5和SHA以及数据加密用的R4主DES等支持，用来对数据进行认

证和加密的密钥可以有通过SSL的握手协议来协商。

SSL协商层U勺工作过程:当客户方与服务方进行通信之前，客户方发出问候;服务方收

到问候后，发回一种问候。问候互换完毕后，就确定了双方采用的SSL协议的版本号、会

话标志、加密算法集和压缩算法。

SSL记录层H勺工作过程:接受上层的I数据，将它们分段;然后用协商层约定的I压缩措施

进行压缩，压缩后的记录取约定的流加密或块加密方式进行加密，再由传播层发送出去。

5.应用层安全性

6.应用安全技术

(1)处理应用安全的方案需要结合通用的internet安全技术和专门针对的技术。

前者重要是指防火墙技术，后者包括根据技术日勺特点改善协议或者运用代理服务器、

插入件、中间件等技术来实现日勺安全技术。

(2)目前三个版本：0.9、1.0、1.1。0.9是最早的I版本，它只定义了

最基本的简朴祈求和简朴回答；1.0较完善，也是目前使用广泛的一种版本；1.1增长

了大量时报头域，并对L0中没有严格定义的部分作了深入的阐明。

(3)1.1提供了一种基于口令基本认证措施，目前所有的WEB服务器都可以通过”

基自身份认证”支持访问控制。在身份认证上，针对基本认证措施以明文传播口令这一最大

弱点，补充了摘要认证措施，不再传递口令明文，而是将口令通过散列函数变换后传递它

的J摘要。

(4)针对协议的改善尚有安全协议So最新版本的S1.3它建立在1.1

基础上，提供了数据加密、身份认证、数据完整、防止否认等能力。

(5)DEC-Web

WAND服务器是支持DCEI向专用Web服务器，它可以和三种客户进行通信:第一是

设置当地安全代理SLPI向一般浏览器。第二种是支持SSL浏览器，这种浏览器向一种安全

网关以SSL协议发送祈求，SDG再将祈求转换成安全RPC调用发给WAND,收到成果后,

将其转换成SSL回答，发回到浏览器。第三种是完全没有任何安全机制日勺一般浏览器，W

ANS也接受它直接的祈求，但此时通信得不到任何保护。

六、安全服务与安全与机制

1.ISO7498-2从体系构造H勺观点描述了5种可选的安全服务、8项特定的安全机制以

及5种普遍性的安全机制。

2.5种可选口勺安全服务:鉴别、访问控制、数据保密、数据完整性和防止否认。

3.8种安全机制:加密机制、数据完整性机制、访问控制机制、数据完整性机制、认证

机制、通信业务填充机制、路由控制机制、公证机制，它们可以在OSI参照模型H勺合适层

次上实行。

4.5种普遍性口勺安全机制:可信功能、安全标号、事件检测、安全审计跟踪、安全恢复。

5.信息系统安全评估准则

(1)可信计算机系统评估准则TCSEC:是由美国国家计算机安全中心于1983年制定I。

又称桔皮书。

(2)信息技术安全评估准则ITSEC:由欧洲四国于1989年联合提出的，俗称白皮书。

(3)通用安全评估准则CC:由美国国标技术研究所NIST和国家安全局NSA.欧洲四国

以及加拿大等6国7方联合提出依J。

(4)”•算机信息系统安全保护等级划分准则:我国国家质量技术监督局于1999年公布

的国标。

6.可信计算机系统评估准则

TCSEC共分为4类7级:D,Cl,C2,Bl,B2,B3ZAl

D级，安全保护欠缺级，并不是没有安全保护功能，只是太弱。

C1级，自主安全保护级,

C2级，受控存取保护级,

B1级，构造化保护级

B3级，安全域级

A1,验证设计级。

七、评估增长的安全操作代价

为了确定网络的安全方略及处理方案:首先，应当评估风险，即确定侵入破坏的机会和

危害的潜在代价;另一方面，应当评估增长的安全操作代价。

安全操作代价重要有如卜几点:

(1)顾客H勺以便程度

(2)管理的复杂性

(3)对既有系统的影响

(4)对不一样平台的支持

重要内容:1.网络操作系统的功能

2,流行II勺网络操作系统

一、网络操作系统的功能

1.网络操作系统NOS,是使网络上各计算机能以便而有效地共享网络资源，为网络顾

客提供所需要日勺多种服务的软件和有关规程的集合。

2,局域网NOS有两个基本规定:(1)容许在局域网上的资源被共享;(2)要使既有的PC

操作系统仍能继续运行，而不需要作任何变化。NOS有两个构成，重要是控制服务器的操

作、管理存储在服务器上II勺文献。第二个构成，运行在客户系统的软件，使客户能访问网络

及网上资源。

3.在NetWare中:第一部分是PC和网络接II卡联络的机制，采用IPX/SPX互连网分

组互换/次序分组互换接口协议来进行通信;第二部分称为解释器或重定向器(redirector)。

二、NetWare系列

1.NetWare有两部分构成:NetWare的外层(shell)和NetWare关键构成。

2.NetWare的外层(shell)在NetWare4中称为DOSRequester。它有两个有关H勺

功能:将应用和桌面操作系统连接，决定未来自应用的命令传送到当地操作系统;和网络接

U卡NIC通信，使命令和数据包装成能在诸如以太网、标识环网等原则网络上接受和发送。

3.NetWare初次将容错引入NOS,称为系统容错(SFTsystemfaulttolerant)

/NetWare构造中NetWare支持传播层协议自主性日勺两个重要构成，为开放数据链

路层接口ODI和Streams模块。ODI为多种传播层协议提供了一种原则的接口，其功能

是使多种传播层协议可以共享同一种网络卡而不发生冲突。Streams模块在高层提供「一

种接口，首先为其底层那些需要向NetWare传送数据祈求打勺协议提供一种通用接口，另首

先还要向上为NetWare自身提供一种接口。

5.NetWare工作站运用shell和IPX/SPX通信协议与文献服务器通信。

NETX.COM通过向IPX发送命令，将DOS的文献祈求发送到文献服务器在，或从文

献服务器上传回重定向。

NET.COM程序将工作站的祈求传送给DOS和NetWare。

IPX.COM向文献服务器发送网络信息，它是工作站与服务器通信的规程。

三、WindowsNT

l.WindowsNT服务器被优化成一种文献、打印机和应用程序服务器在，同步又能处

理从小型的工作组到企业网络范围内的多种事务。

2.WindowsNTServer长处:服务器性能，在完全版本中支持达4个CPU,OEM已

经实现了对称多处理环境中支持达32个CPU;256个RAS入站接入;磁盘容错支持，RAI

D级的数据保护;HS服务;管理向导;苹果机客户的支持;其他网络服务(DHCP、DNS、WI

NS);WindowsNT目录服务。

3.Micros。代网络包括:WindowsNT、Windows95.WindowsforWorkgroup、L

ANmanager

4.WindowsNT网络构造:包括I/O管理器组件、NDIS兼容网卡驱动程序、NDIS4.

0,传播协议、传播驱动程序接口TDI、文献系统驱动程序。

第7章网络管理

重要内容:1.局域网管理技术

2.网络管理功能和协议

3.网络管理系统

4.网络平常管理和维护

一、局域网管理技术

网络管理是对计算机网络的配置、运行状态和计费等进行的管理。它提供了监控、协调

和测试多种网络资源以及网络运行善日勺手段，还可提供安全管理和计费等功能。

1.网络管理包括三个方面：

(1)理解网络:识别网络对象的硬件状况、差异局域网的拓扑构造、确定网络的互连、确

定顾客负载和定位。

(2)网络运行:配置网络，选择网络协议是配置网络的重要构成部分;配置网络服务器；

网络安全控制。

(3)网络维护:重要包括故障检测与排除，发现故障、追踪故障、排除故障、记录故障H勺

处理措施;网络检查;网络升级，重要包括顾客许可证U勺升级，服务器操作系统升级，服务器

的硬件升级。

2.局域网管理工具

NetWare管理工具:SYSCON工具

WindowsNT管理工具:服务管理器，性能监视器

二、网络管理功能

1.网络管理H勺五大功能

配置管理:配置管理口勺自动获取，在网络设备中自动配置信息中，根据获取手段大体可

以提成三类，第一类网络管理协议原则的MIB中定义的配置信息;第二类不在网络管理协议

原则中有定义，但对设备运行比较重要日勺配置信息;第三类就是用于管理日勺某些辅助信息；

自动备份及有关技术;配置一致性检查;顾客操作记录功能。

性能管理:过浓、归并网络事件，有效地发现、定位网络故障，给出排错提议与排错工

具，形成整套的故障发现、告警与处理机制。

故障管理:采集、分析网络对象的性能数据、监测网络对象IJ勺性能，对网络线路质量进

行分析。

安全管理:结合使用顾客认证、访问控制、数据传播、存储的I保密与完整性机制，以保

障网络管理系统自身的安全。安全管理分三个部分，首先是网络管理自身的安全，其是被管

理网络对象的安全。计费管理：

二、网络管理协议

1.IAB最初制定有关internet管理的发展方略，其实采用SGMP作为临时的管理处理

方案。后来演变为SNMP,简朴网络管理协议。

2.SNMP简朴网络管理协议在OSI的第三层网络层提供的管理服务

长处:与SNMP有关的管理信息构造(SMI)和管理信息库(MIB)非常简朴，从而可以迅

速、简便地实现；SNMP是建立在SGMP基础上，而对于SGMP从们积累了大协KJ操

作经验。

SNMP是按照简朴和易于实现H勺原则设计的。

3.CMIS/CMIP公共管理信息服务和公共管理信息协议:是在OSI应用层上提供的网络

协议簇，CMIS/CMIP提供支持一种完整的网络管理方案所需要的功能。

CMIS提供J'应用程序使用的CMIP接口，同步还包括两个ISO应用协议:联络控制服

务元素ACSE和远程操作服务元素ROSE,其中ACSE在应用程序之间建立和关闭联络，

而ROSE则处理应用之间的祈求/响应交互。

4.CMOT公共管理信息服务与协议是在TCP/IP协以上实现H'、JCMIS服务，这是一种

过渡性的处理方案。CMOT没有直接使用参照模型中表达层实现，而是规定在表达层中使

用此外一种协议，轻量表达协议(LPP),该协议提供了目前最一般的两种传播层协议TCP

与UDPU勺接口。

5.LMMP局域网个人管理协议，在IEEE802逻辑链路控制LLC上H勺公共管理信息服务

与协议CMOL,它不依赖于任何特定的I网络层协议进行网络传播。

三、简朴网络管理协议SNMP

1.SNMP概述：

设计时围绕四个概念和目的进行设计:保持管理代理的软件成本尽量低;最大程度地保

持远程管理日勺功能，以便充足运用因特网资源;体系构造必须有扩充H勺余地;保持SNMP独

立性，不依赖于详细的计算机、网关和网络传播协议。

提供了四类管理操作:get操作用来提取特定日勺网络管理信息;get-next操作通过遍历

活动来提供强大U勺管理信息提取能力;set操作用来对管理信息进行控制;trap用来汇报重

要卧J事件。

2.SNMP管理控制框架与实现

SNMP定义了管理进程和管理代理之间的关系，这个关系称为共同体。位于网络管理工

作站和各网络元素上运用SNMP互相通信对网络进行管理的软件统称为SNMP应用实体。

SNMP的应用实体对•internet管理信息库MIB中的管理对象进行操作。SNMP的报

文总是源自每个应用实体，报文中包括访应用实体所在的共同H勺名字。这种报文称为“有身

份标志时报文，共同体名字是在管理进程和管理代理之间互换管理信息报文时使用。

管理信息报文包括:共同体名，数据。

SNMP的实现方式:SNMP在其MIB中采用广树状命名措施对每个管理对象实例命名。

SNMP中多种管理信息大多以表格形式存在，一种表格对应一种对象类，每个元素对应于

该类的一种对象实例。

3.SNMP协议是一种异步的祈求/响应协议，是一种非面向连接H勺协议，是一种对称H勺

协议，没有主从关系。SKMP的T设计是基于无连接的）顾客数据报协议UDP。四种基本协议

的I交互过程，都是祈求管理进程给管理代理，响应则都是由管理代剪发给管理进程代U只有

Trap是无响应的，有管理代理单向发给管理进程。

SNMP协议实体之间的协议数据单元PDU只有两种不一样"勺构造和模式，一种PDU

格式在大部分操作中使用，而另一种则在Trap操作中作为trap的协议数据单元。

4.Trap操作，是一种捕捉事件并汇报的）操作，实际上几乎所有网络管理系统和管理协

议都具有这种机制。

四、网络管理系统

1.HP-OpenView

不能处理由于某一网络对象故障而误导致的其他对象的故障，不具有理解所有网络对

象在网络中互相关系的能力。也不能把服务的故障与设各的故障辨别开来。性能的轮与状态

的轮询是截然分开的，这样导致一种网络对象响应性能轮询失败但不触发一种报警。

2.IBM-NetView

不能对故障事件进行归并，它不能找出有关故障卡片的内在关系，因此对一种失效设

备,虽然是一种重要H勺路由器，将导致大量的I故障卡片和一系列类似H勺告警。不具有在掌握

整个网络构造状况下管理分散对象H勺能力。性能轮询与状态轮询也是彻底分开H勺，这将导致

故障响应的延迟。

3.SUN-SunNetManager

是第一种重要的基于UNIX的网络管理系统。

4.CabletronSPECTRUM

是一种可扩展口勺、智能曰勺网络管理系统，它使用了面向对象的措施和客户服务器体系构

造。SPECTRUM构筑在一种人工智能的引擎之上，IMT(InductiveModelingTechnolo

gy)。它是所有四种网络管理软件中惟一具有处理网络对象有关性能力的系统。

SPECTRUM服务器提供了两种类型的轮询：自动轮询和手动轮询。

SPECTRUM提供了多种形式日勺告警手段，包括弹th窗口，发出报警声响等。

SPECTRUM能自动的发现拓扑构造，但相对比较慢。

五、网络平常管理和维护

1.VLAN的管理

2.WAN接入的管理

3.网络故障诊断和排除

物理故障：

逻辑故障：

路由器故障：

主机故障：

4.网络管理工具

连通性测试程序Ping:

路由跟踪程序Tracepute:在Windows中是tracert

MIB变软浏览器:

重要内容：i.局域网a连

2.网络互连原理

3,无连接网络互连、多种路由选择算法和协议

4.关键路由器体系构造体系

一、局域网互连

1.网络互连的目日勺:是将多种网络互相连接，以实目前更大范闱内的信息互换资源共享

和协同工作。

2.局域网互连方式:从距离上分有当地局域网互连和远程局域网互连即LAN-LAM和

LAN-WAN-LAN;从互连所采用的介质辨别，有同轴细缆或粗缆(coaxialcable)、各类非屏

蔽双绞线UTP(UnshieldedTwistedpair)和屏蔽双绞线STP(shieldedTwistedpair)、

单模或多模光纤等(opticalfiber)连接方式。

3.局域网互连划分：

物理层(中继器repeater):使用中继器在不一样电缆段之间复制位信号，工作在OSI

物理层，互连同类型网段，只起到放大信号的作用，驱动长距离通信。又称集线器(hub),

可分为一般型，可叠加组合型和高档智能型。

网桥(bridge):使用网桥在局域网之间存储、转发帧，工作在OSI数据链路层，更精确

地说应当位于MAC层，它互连兼容地址的局域网，运用向MAC和MAC地址，以及存储、

转发功能进行局域网间II勺信息互换。从应用上分当地网桥和远程网桥、主干网桥;从帧转发

功能分派分透明网桥和源地址途径选择网桥。透明网桥TBB、J基本功能有学习及过滤、帧转

发和分枝树算法功能。

(1)网桥作信息帧转发时要运用地址转刊登，按表中学习到的MAC地址和网桥对应关

系，将包精确转发到该网桥。但如网桥未学习到MAC地址时，便将帧发向除接受口之外口勺

所有接口，这在网桥刚启动工作时会导致大量的广播帧，称为广播风暴(broadcast

storm)o

(2)扩展树协议是为了克服由于网桥不具网络层功能，在常任冗余途径的网桥中出现信

息回路导致网桥瘫痪的问题。IEE802.1定义了分枝树枕'议STP,将整个网络路由定义为无

回路的树形构造。

(3)源地址途径选择网桥SRB重要用于标识环IEEE802.5标识环局域网。互连不一样

型局域网时使用封装网桥(encapsulationbridging)和转换桥接方式(translation

bridging)和源地址途径选择透明网桥SRT。

路由器(router):使用路由器在不一样网络间存储、转发分组，工作在OSI网络层，它

需要处理网络层的数据分组或网络地址，决定数据分组的转发，它要决定网桥中信息通信

的完整路由。

网关(gateway):使用协议转换器提供高层接口，工作在应用层。

二、网络互连原理

1.网络互连的规定：在网络之间提供一条链路，至少需要一条物理和链路控制的链路；

在不一样网络日勺进程间提供途径选择和传递数据;提供各顾客使用网络的I记录和保持状态信

息;在提供上述服务时不需要修改原有各网络H勺网络构造。

2.网络互连口勺功能分类:基本功能，指的I是网络互连必须的功能，虽然对那些类型相似

的网络互连也应当具有的功能，它包括不一样网络之间传送寻址和途径选择等。扩展功能,

指的是当多种互连口勺网络提供不一样日勺服务级别时所需要日勺功能，包括协议转换、分组H勺分

段组合和重定序及差错检刻。3.面向连接运行模式:连到同一子网上的两个DTE之间可建立

一条逻辑H勺网络连接。4.无连接运行模式:对应于分组互换网的数据报机制，而面向连接运

行对应于虚电路机制。

三、无连接网络互连

1.IP提供无连接或数据报服务长处:无连接互连网络设备灵活性很好，对•子网规定低;

无连接网络能提供强健的服务;无连接网络服务对于无连接传播层协议最为合用。

2,无连接网络互连设计重要问题:路由、数据报生命周期，分段和重组，纠错和流控。

重组:一种重组的I措施是在白的站进行重组，其缺陷是提成小段H勺数据通过网络胆识的

效率。另一种重组措施是由中间的路由器进行重组，则也会下列问题:路由器需要大容量缓

冲器，还也许发生缓冲器不够用的状况;一种数据报的所有分段必须使用同一路由，限制了

动态路由的使用。

IP数据报报头中，包括下列内容:数据单元标识(ID),数据长度，偏移(。仟set),尚有

标识(moreflag)。路由器中IP分段的功能:offset=0是整个数据时开始，more-flag=0

是整个数据报H勺结束。

(1)建立两个新的数据报，它们口勺头部就是原先数据报口勺头报

(2)以64位为边界，把原先的数据报提成长度差不多日勺两部分，把它们分别放入新日勺

数据报中。第一部分必须是64位的倍数。

(3)把第一种新数据报的长度设置为所插入的数据，把more-flag设置成1,offset

变。

(4)把第二个新数据报11勺长度设置为所插入II勺数据，把more-flag设置成0,offset设

置成第一部分数据长度除以8,

生命周期:一种是对来到的第一段设置一种生命周期，假如在生命周期内没有完毕重级

工作，那么就撤销已经抵达H勺分段;第二种是运用数据报的生命周期，它包括在每一段的头

部中，若重组工作没有在数据报生命周期内完毕，则撤销接受到H勺分段。

四、IP数据报U勺路由选择

1.直接传送和间接传送

直接传送将一种数据报从一台机器通过单个物理网络直接传送至目H勺站点，这是所有

internet通信的J基础。只有当两台机器连在同一底层物理传播系统时，才能采用直接传送

方式。否则只能用间接传送方式，发送方将数据发送给一种路由器再传送。

2.IP路由选择表

路由表存储各个目的拈点以及怎样抵达目的站点H勺信息。为了尽量使用至少的I信息进行

路由选择，采用信息隐蔽原则。

路由表的I选择表的大小仅取决于互联网中网络的I数量，与连到网上的主机H勺数量无关。

IP路由选择软件仅需要维护有关目的网络地址的信息，而与主机地址的信息无关。

保持路由表尽量小的技术是把多种表项统一到一种默认的状况。

3.ICMP差错与控制报文协议

(1)为了使互联网中的路由器汇报差错或提供有关意外於J状况信息，在TCP/IP中设计

了一种特殊用口勺报文机制，称internet控制报文协议ICMP,它是IP"勺一部分。

(2)ICMP机制:ICMP报文放在一种IP数据报的数据部分中通过互联网。容许路由器

向其他路由器或主机发送差错或控制报文。ICMP是一种差错汇报机制，它为发生差错口勺路

由器提供了向初始源站点汇报差错的措施。

(3)ICMP报文格式:由三个字段构成，即一种8位整数H勺报文类型字段用来标识报文、

一种8位代码字段提供有关报文类型的深入信息、以及一种16位校验和字段。

(4)ICMP报文类型:回送祈求/应答报文(回送祈求/应答、时间戳祈求/应答、地址祈求

/应答)，差错汇报(包括主机不可达汇报、超时汇报、参数出错汇报)，控制报文(源克制报文、

重定向报文)。

五、路由选择算法

1.距离矢量路由选择V-D,

2.链路状态路由选择或称最短途径优先算法(SPF),规定每个参与的路由器都要具有

完全H勺拓扑构造，只需要完毕两项任务：负责检测所有相邻路由器状态;周期地向其他路由

器传递链路状态信息。其长处:每个路由器用相似的原始状态数据独立地计算路由，并不依

赖于中间的机器。

六、内部网关协议

在一种自治系统内的两个路由器彼此互为内部路由常，使用内部网关协议(IGP),自治

系统之间的使用外部网关协议(EGP)来通信。

L路由选择信息协议(RIP)采用V-D算法，距离矢量路由选择算法，提成积极和被动两

类，只有路由器工作在积极模式，主机必须使用被动模式。工作在积极模式的路由器进行监

听，并根据收到的告知更新其路由。以积极方式运行RIP的路由器每间隔30秒广播一次报

文。

RIP对点到点连接和a播型网络两者都提供支持。RIP分组是通过UDP和IP传播的。

RIP进程使用UDP曰勺520端口来进行发送和接受。

RIP报文格式:报头32位，命令字为1表达祈求部分的或所有的I路由选择信息。命令

字为2表达响应，包括发送方路由选择表内的网络地址和距离值一对信息。

2.IGRP,运行频率比较低，每90秒更新;路由更新的每一项都包括一种四种度显制式,

即延迟、带宽、可靠性、负载;采用保守式防止环路的保护措施、选择多途径路由以及处理

默认路由器的手段等。

3.开放最短途径优先协议OSPF

长处:计算迅速，无环路的收敛性;支持精确的度量值，也能支持多重度量制式;支持通

往一种目的站点打勺多重途径;能辨别不一样口勺外部路由。是基于链路状态路由选择算法SPF.

OSPF报文报头格式:24个8位组报头，共有五种类型的报文类型,类型l)hello;2)

拓扑构造的数据库描述;3)链路状态祈求;4)链路状态更新;5)链路状态确认。

Hell。报文H勺两种功能:检测链路状态与否可用;在广播型与非广播型网络上选择指定网

络路由器及后备。

七、外部网关协议

1,两个互换路由选择信息的路由器若分别属于两个自治系统，则称为外部邻站。外部邻

站使用时向其他自治系统告知可达日勺信息的协议称为外部网关协议(EGP)

2.EGP有三种功能:它支持邻站猎取机制，容许一种路由器祈求另•种路由器同意互换

可达信息;路由器持续地测试其邻站与否有响应正G