ch5-3因特网的组成(07-08)解析.ppt

1、网络互连与TCP/IP协议,因特网的主机及域名,本节要点,5.6 因特网的组成,路由器和IP数据报的传输,1. 网络互连与TCP/IP协议,(1) 网络互连 (2) TCP/IP协议(栈) (3) IP协议（IP地址和IP数据报） (4) 路由器和IP数据报的传输,(1)网络互连问题,为了把不同类型的网络互连成为一个巨大而统一的网络，允许网络中的所有计算机均可相互进行通信，必须解决： 所有计算机应统一编址 传输的数据包格式应该统一 ,统一的计算机网络,解决方案：统一采用TCP/IP协议进行网络互连！,异构网络的互连技术,网络互连的基本构件： 各种不同类型的局域网和广域网 必须解决的问题： 1)

2、所有计算机应统一编址 2)传输的数据包格式应该统一 解决方案： 采用统一的网络通信协议TCP/IP 使用的网络互连设备： 路由器,概念：在计算机网络中，为使各计算机之间或计算机与终端之间能正确地传送信息，必须对关于信息传输顺序、信息格式和信息内容等方面有一组约定或规则，即所谓的网络协议。,计算机网络协议,（1）计算机网络协议,简言之，即计算机之间进行通信时遵守的规则或规约。, 计算机网络协议的内容： 语法：用来规定数据与控制信息的结构或格式，如采用ASCII编码。 语义：确定通信双方之间“讲什么” 同步：用来确定事件的顺序以及速度匹配、排序,蓝军联合进攻白军必胜 蓝军单独进攻白军必败,明日正午

3、进攻?,同意,收到“同意”,收到：收到“同意”,什么是TCP/IP协议？,TCP/IP是网络互连的工业标准，它包含了100多个协议，其中：TCP（传输控制协议)和IP(网际协议)是两个最基本、最重要的协议,负责把数据封装为TCP或UDP数据报，在两个应用程序之间传送数据,负责把数据封装为IP数据报，并负责把IP数据报从发送方计算机通过物理网络传送到接受方计算机,负责将IP数据报封装成能在物理网络（局域网、广域网）中传输的帧，并进行传输,应用程序与应用程序之间通信时使用的协议,例: 浏览网页时使用的TCP/IP协议,浏览器使用HTTP协议向Web服务器请求网页,网页所对应的HTML文档拆分并封装

4、为若干个TCP数据报，由Web服务器一个一个地进行发送,负责把每个TCP报封装为IP数据报，在路由器之间进行传送，直到目的计算机所在局域网连接的路由器为止,路由器负责将IP数据报封装成以太网帧，在局域网中传输给浏览器,（2）IP地址和IP数据报, IP地址的格式,IP地址分为网络号(前缀)和主机号(后缀)两个部分。 网络号：属于哪个网络？ 主机号：是这个网络中的哪台主机？, IP地址的格式,IP地址用二进制表示时含32位，被分成4段，每段8位（一个字节），每段用“ .”间隔 。,举例：一个普通的IP地址：8 它的二进制形式为： 11001010.01110111.11

5、000000.00011100,XXX . XXX . XXX . XXX,XXX取值范围 0255, IP地址的分类,如何识别 IP地址的类型？,前1字节标识网络地址，后3字节标识主机地址； 每个网络最多可容纳（ 2242）台主机； 从高位起，前1位为“0”，第1字节用十进制表示的取 值范围为“1126”； 具有A类地址特征的网络总数为126个。,A类地址,前2字节标识网络地址，后2字节标识主机地址； 每个网络最多可容纳（ 2162）台主机； 从高位起，前2位为“10”，第1字节用十进制表示的取 值范围为“128-191”； 具有B类地址特征的网络总数为214个。,B类地址,前3字节标识网络

6、地址，后1字节标识主机地址； 每个网络最多可容纳（254）台主机； 从高位起，前3位为“110”，第1字节用十进制表示的 取值范围为“192-223”； 具有C类地址特征的网络总数为221个。,C类地址,问：如何识别IP地址的类型？,答： 第一个字节值为1126，是A类地址； 第一个字节值为128191，是B类地址； 第一个字节值为192223，是C类地址。,8,C类,45,C类,8,B类,举例：,一个单位分配到的IP地址是IP地址的网络号，而后面的主机号则由本单位进行分配。,说明：,例：某单位分配到的IP地址是一个C

7、类地址，其网络号是202.119.192。主机号由本单位进行分配，如： 5 6 7, IP地址的结构使我们方便的进行寻址，可以先按地址的网络号net-id把主机所在的网络找到，再按主机号host-id把主机找到。, 网络号和主机号以二进制来看不可以全部是0或1， A类、B类、C类地址可供主机使用，可供分配的网络号超过211万个，可供使用的IP地址总数超过37.2亿个., IPV6 解决IP地址不够的问题， 128位,说明：,5类IP地址的具体格式,两个特殊的IP地址： 主机号为“全0”的IP地址，称为网络地址，用来表

8、示整个一个网络 主机号为“全1”的IP地址，称为直接广播地址，指整个网络中的所有主机,网络类型、网络号和IP地址举例,附：关于子网掩码,连接在因特网中的每个物理网络都是因特网的一个子网，每个子网都有一个惟一的子网号码 如何从主机IP地址中得到该主机所在子网的网络号呢？ 使用子网掩码 三类IP地址的默认子网掩码： A类地址: B类地址： C类地址: 例： 若某主机IP地址为：2（C类地址） 它的子网掩码为： 两者的二进制码进行逻辑乘， 其结果就是网络号为：202.119.36

9、.0 （前24位）,IP数据报的格式,相互连接的异构网络，它们使用的数据包（或帧）格式互不兼容，因此不能直接将一个网络送来的包传送给另一个网络 解决方法：IP协议定义了一种独立于各种物理网的统一的数据包格式，称为IP数据报（IP datagram） IPv4数据报格式：,（3）路由器如何工作？,路由器的作用与连接,路由器是一种能够连接异构网络的分组交换机，其作用是： 按照路由表在网络之间转发数据包 根据需要对数据包的格式进行转换 路由器的IP地址设置： 当路由器某端口连接一个物理网络时，该端口应分配IP地址 该端口的IP地址，其网络号必须与所连接物理网络的网络号相同 例：,路由器的工作过程,工

10、作过程： 发送端计算机将数据封装成IP数据报的形式，发送给路由器 路由器接收到IP数据报之后，根据IP数据报中目的地主机的IP地址，查找路由表，选择转发路径 根据下个网络所使用的协议，将IP数据报封装成相应的数据包（帧）格式，送入缓冲器中排队 在数据链路空闲时将数据包转发到另一网络 若目的地计算机就在该网络上，则送达计算机，否则再传送给下一个路由器进行处理 例：主机A = 主机B,IP数据报传输过程1,主机A完成的操作： 地址解析（Address Resolution） 将主机A的IP地址和路由器R1端口1的IP地址转换为所在以太网的MAC地址

11、将IP数据报“封装”为以太网帧 通过以太网将该帧发送到路由器R1的端口1,IP数据报传输过程 2,路由器R1完成如下操作： 接收主机A发来的以太网帧，取出IP数据报进行分析 根据目的地主机的网络号查找路由表，得知应向端口2转发IP数据报（下一跳地址为端口2） 由于端口2连接的是FDDI网，因此进行地址解析： 将路由器R1端口2的IP地址和主机B的IP地址转换为所在FDDI网的物理地址 将IP数据报封装成FDDI帧并通过FDDI网发送到主机B（路由器R1的端口2 主机B ）,IP数据报传输过程 3,主机B完成的操作： 接收路由器R1发送来的FD

12、DI帧 从FDDI帧中取出IP数据报交给上层协议处理 TCP/IP协议的数据封装示意图：,网络接口 与硬件层,2. 因特网的主机及域名,因特网的发展过程,因特网(互联网)是将遍布世界各地的计算 机网络互连而成的一个超级计算机网络 简史： 起源于1969年的美国国防部ARPANET计划(4个大学互连) 1971：扩展至15个节点 1982：确定TCP/IP协议作为网络互连标准 1991：Tim Berners-Lee 推出World-Wide Web (WWW or Web) 20世纪90年代起，美国政府机构和公司的计算机也纷纷入网，并迅速扩大到全球约100多个国家和地区,Tim Berners

13、-Lee,Internet用户数目的增长,(Source：联合国 ),2005年7月，联网主机数目已达3.5亿台,因特网主机的IP地址及其域名,因特网采用TCP/IP协议由大量网络和计算机互连而成，网络中的每一台主机都有一个IP地址 IP地址用4个十进制数字来表示，不便记忆和使用 因特网采用域名(domain name)作为IP地址的文字表示，易用易记。例如： 南京大学的 WWW服务器的IP地址是： 它对应的域名是： 用户可以按IP地址访问主机，也可按域名访问主机 主机IP地址与域名的关系： 一个IP地址可对应多个域名，一个域名只能对应一个IP地址 主机从一个物理网络移

14、到另一个网络时，其IP地址必须更换，但可以保留原来的域名。,因特网域名的结构,域名的格式： 5级域名.4级域名.3级域名.2级域名.顶级域名 举例： 中国南京大学校园网www服务器的域名为: www . nju . edu . cn 主机名.网络名.机构名.国家名 美国哈佛大学校园网www服务器的域名为: www . harvard. edu 主机名. 网络名. 机构名,因特网域名命名规则,只许使用字母、数字和连字符，以字母或数字开头并结尾，域名总长度不超过255个字符 顶级域名规定： 国际顶级域名， int（国际组织） 国家顶级域名， 例：cn（中国），uk（英国） 通用顶级域名： com（

15、营利性组织），net（网络服务机构）， 美国专用：org，edu，gov，mil等 我国对二级域名的规定： 机构类别域名： ac科研机构， com企业，net网络服务机构， org非营利性组织，edu教育机构，gov政府部门 行政区域域名： 例：bj北京，sh上海，js江苏,因特网的域名空间,为避免域名重复，因特网的域名空间划分为许多不同的域，每个域又分若干子域，从而构成因特网的域名空间,域名系统与域名服务器,域名系统（ Domain Name System，DNS） 将主机域名翻译为主机IP地址的软件，它是一个分布式数据库系统。 域名服务器（ Domain Name Server，DNS）

16、运行域名系统软件的一台服务器 每个因特网服务提供商(ISP)或校园网都有一个域名服务器，它用于实现入网主机域名与IP地址的转换 为实现域名的查找，需要在本地网域名服务器与上级网的域名服务器之间建立链接,域名解析举例,域名解析：将主机域名翻译为主机IP地址的过程 例：从访问paradisc.ulcc.uk时取得对方主机IP地址的过程为：,3. 因特网的接入,因特网的接入方法,单位用户：用户计算机接入局域网，局域网通过路由器并租用电信局的远程数据通信线路接入因特网 家庭用户：通过电话拨号、ADSL、光纤等方式接入ISP的路由器，ISP的路由器接入因特网。,例1：电话拨号接入计算机网,通过本地公用电

17、话网接入计算机网络 设备：电话MODEM（调制解调器） 技术原理：数字调制 最高传输速率： 56Kbps,把计算机送出的数字信号采用频移（或相移）键控的方法调制成为适合于在用户线上传输的音频模拟信号,把从电话线接收到模拟信号恢复成数字信号送给计算机,缺点： 传输速率低 每次都要拨号 上网时不能通电话 费用不便宜,例2：ADSL接入,不对称数字用户线(ADSL):也通过本地公用电话网接入计算机网络 配置： ADSL Modem 以太网网卡 原理：频分多路复用 + 数字调制 传输速率： 上传: 64kbps256kbps 下行速度: 18Mbps,(1)上网和通话互不影响 (2) 不需要缴付额外的

18、电话费 (3) 传输速率可根据线路情况调整,例3：Cable Modem接入,利用有线电视网同轴电缆接入计算机网 原理： 有线电视电缆(宽带同轴电缆)容量大，抗干扰能力强 将同轴电缆的整个频带划分为3部分： 数字信号上传使用的频带为5M42M Hz(传输速率：320kb/s10Mb/s) 模拟信号下传为50M550M Hz 数字信号下传则为550M750M Hz(传输速率：36Mb/s) 缺点： 多个用户共享一个频段的带宽使数据传输速率不够稳定。如果有n个用户都在上网，则单个用户的速率可能只有36/n（Mbps）,例4：光纤接入计算机网,使用光纤作为计算机接入网络的主要传输介质,分为： 光纤到

19、小区（FTTZ）：将光网络单元放置在小区某处，为整个小区服务 光纤到大楼（FTTB）：将光网络单元放置在大楼内，以每栋楼为单位，提供高速数据通信、远程教育等宽带业务，主要为单位服务 光纤到家庭（FTTH）：将光网络单元放置在楼层或用户家中，由几户或1户家庭专用，为家庭提供宽带业务 “光纤到楼、以太网入户”（FTTx+ETTH）的原理：,小 结,物理层：包括传输介质、调制与复用技术、信号编码方法、拓扑结构等 数据链路层：计算机编址方法，数据帧(分组)格式、共享介质方法、差错检测与对策等 （不同的局域网和不同的广域网，相互之间的主要区别在于数据链路层采用了不同的协议）,（链路层协议由网卡、集线器等

20、组网设备的硬件实现） 网络互连层(IP层)：统一的计算机编址，统一的数据分组格式(IP数据报)，将各种不同的局域网和广域网的差异向高层屏蔽起来，达到构建一个统一的虚拟网络的目的 （IP协议在计算机中由软件实现，在路由器等互连设备中由硬件实现） 传输层(TCP/UDP)：解决 1) 应用程序之间如何通信; 2) 可靠性问题 应用层：不同应用使用不同的协议,因特网是计算机网络的网络，其构造是分层次的，核心的IP协议解决了异构性问题,远程连接,数据加密,本节要点,5.7 网络信息安全,数字签名,身份鉴别与访问控制,防火墙,计算机病毒防范,5.7.1 数据加密,信息传输(存储)中受到的安全威胁,例,数

21、据加密,采用数据加密技术以后,将信息(明文)转换成一种加密的模式(密文)，如果没有通信双方共享的秘密知识(密钥)，则无法理解密文。 通过对不知道密钥的人隐藏信息达到保密的目的。,确保信息安全的技术措施,（1）真实性鉴别：对通信双方的身份和所传送信息的真伪能准确地进行鉴别 （2）访问控制：控制用户对信息等资源的访问权限，防止未经授权使用资源 （3）数据加密：保护数据秘密，未经授权其内容不会显露 （4）保证数据完整性：保护数据不被非法修改，使数据在传送前、后保持完全相同 （5）保证数据可用性：保护数据在任何情况（包括系统故障）下不会丢失 （6）防止否认：防止接收方或发送方抵赖 （7）审计管理：监督

22、用户活动、记录用户操作等,数据加密的基本思想,目的：即使信息被窃取，也能保证数据安全 重要性：数据加密是其他信息安全措施的基础 基本思想： 发送方改变原始信息中符号的排列方式或按照某种规律替换部分或全部符号，使得只有合法的接收方通过数据解密才能读懂接收到的信息 加密方法举例： 将文本中每个小写英文字母替换为排列在字母表中其后面的第3个字母 原始数据：meet me after the class 加密后数据：phhw ph diwhu wkh fodvv,数据加密的基本概念,明文:加密前的原始数据 密文:加密后的数据(用于传输或存储) 密码(cipher):将明文与密文进行相互转换的算法 密钥

23、:在密码中使用且仅仅只有收发双方知道的用于加密和解密的信息,两类数据加密方法,对称密钥加密 公共密钥加密,5.7.2 数字签名,数字签名必须保证： 接收者能够核实发送者对报文的签名； 发送者事后不能抵赖对报文的签名； 接收者不能伪造对报文的签名。,数字签名概述,数字签名的含义： 数字签名是与消息一起发送的一串代码 数字签名的目的： 让对方相信消息的真实性 数字签名的用途： 在电子商务和电子政务中用来鉴别消息的真伪 对数字签名的要求： 无法伪造 能发现消息内容的任何变化,数字签名的处理过程,数字签名中的双重加密,发送方 用发送方的私钥加密信息摘要得到数字签名 用接收方的公钥对已添加了数字签名的消

24、息再进行加密 接收方 用接收方的私钥对接收的消息解密并取出数字签名 用发送方的公钥解密数字签名得到信息摘要,5.7.3 身份鉴别与访问控制,身份鉴别的含义: 证实某人或某物（消息、文件、主机等）的真实身份是否与其所声称的身份相符,以防止欺诈和假冒,什么时候进行? 在用户登录某个计算机系统时进行 在访问、传送或拷贝某个重要的资源时进行,身份鉴别,身份鉴别的依据(方法): 鉴别对象本人才知道的信息（如口令、私有密钥、身份证号等） 鉴别对象本人才具有的信物（例如磁卡、IC卡、USB钥匙等） 鉴别对象本人才具有的生理和行为特征（例如指纹、手纹、笔迹或说话声音等） 双因素认证 :上述2种方法的结合,什么

25、是访问控制?,访问控制的含义: 计算机对系统内的每个信息资源规定各个用户对它的操作权限（是否可读、是否可写、是否可修改等） 访问控制是在身份鉴别的基础上进行的 访问控制的任务: 对所有信息资源进行集中管理 对信息资源的控制没有二义性（各种规定互不冲突） 有审计功能（记录所有访问活动,事后可以核查）,文件的访问控制举例,5.7.4 防火墙,因特网防火墙,什么是因特网防火墙(Internet firewall)? 用于将因特网的子网（最小子网是1台计算机）与因特网的其余部分相隔离, 以维护网络信息安全的一种软件或硬件设备 防火墙的原理: 防火墙对流经它的信息进行扫描，确保进入子网和流出子网的信息的合法性，它还能过滤掉黑客的攻击，关闭不使用的端口，禁止特定端口流出信息, 等等,5.7.5 计算机病毒防范,计算机病毒是一个程序，一段可执行码。 就像生物病毒一样，计算机病毒有独特的复制能力。,计算机病毒的定义和特点,一些人蓄意编制的具有寄生性和破坏性的计算机程序。,病毒的特点