【网络通信安全管理员认证-中级】第二章计算机网络基础[详细]

1、网络通信安全管理员认证计算机网络基础,Copyright 2010 Mazhao,计算机网络基础-网络的形成、发展与定义,计算机网络(Computer Network)是计算机技术和通信技术紧密结合的产物。 四个阶段： 1、面向终端的远程联机系统 2、ARPAnet，分组交换时代 3、OSI参考模型 4、Internet迅猛发展,计算机网络的定义和演变,计算机网络的定义 把分布在不同地理位置计算机、终端，通过通信设备和线路连接起来，以功能完善的网络软件（网络通信协议，信息交换方式及网络操作系统等），实现互相通信及网络资源共享的系统。核心内容：资源共享。 计算机网络是由多个具有独立自主功能的计算

2、机系统，通过各种通信手段相互连接，进行信息交流、资源共享和协同工作的集合,没有严格的定义，内涵也不断变化。,计算机网络基础-网络分类及组成,分类： 广播式(总线型、环形)、点对点（树型、星型、网型） 局域网、城域网、广域网 总线型、星型、树型、混合型、网状型 电路交换式、报文交换式、分组交换式 双绞线网络、同轴电缆网络、光纤网络、无线网络等 组成： 通信子网 通信子网提供网络通信功能，能完成网络主机之间的数据传输、交换、通信控制和信号变换等通信处理工作，由通信控制处理机CCP、通信线路和其它通信设备组成的数据通信系统。 资源子网 资源子网为用户提供了访问网络的能力，它由主机系统、终端控制器、请

3、求服务的用户终端、通信子网的接口设备、提供共享的软件资源和数据资源(如数据库和应用程序)构成。,计算机网络的二级结构,通信子网负责数据通信,资源子网提供各种软、硬件资源,实现交换的方法主要有：电路交换、报文交换、分组交换。,通信交换技术分为两类：一是线路交换，二是存储转发。存储转发又分为两类：一是报文交换，二分组交换。分组交换又分两类：一是虚电路交换，二是数据报交换。,分组交换方式1：数据报方式,分组交换方式2：虚电路方式,计算机网络基础- OSI七层参考模型,国际标准化组织于1979年公布了开放系统互连参考模型OSI/RM。 OSI模型分为7层，在同一个结点上，下层为上层提供服务，在两个结点

4、之间，对等层之间通过该层协议进行通信,OSI中的数据流,对等通信示例：中德教师之间的对话,问题： 中国教师与德国教师之间、翻译之间，他们是在直接通信吗？ 翻译、秘书各向谁提供什么样的服务？ 中德教师、翻译各使用谁提供的什么服务？,几个概念,服务访问点（SAP）：接口上相邻两层实体交换信息之处 接口数据单元（IDU）：相邻两层实体之间交换的信息单元 接口控制信息（ICI）：相邻两层实体之间交换信息时的 控制信息 服务数据单元（SDU）：来自上一层，需要在本层与对等 实体交换的信息 协议数据单元（PDU）：对等实体之间交换的信息单元 协议控制信息（PCI）：对等实体之间交换信息时的控制 信息,优点

5、,简化了协议，便于实现、调试和维护，分而治之。 各层相互独立，某一层只需知道下一层通过接口所提供的服务，而不需了解其实现的细节。 功能的追加和变更，限定在相关的层中，使得功能扩充比较灵活性。 结构上可分割开，各层都可以选则最适合的实现技术。,1.网络应该具有哪些层次？每一层的功能是什么？（分层与功能） 2.各层之间的关系是怎样的？它们如何进行交互？（服务与接口） 3.通信双方的数据传输要遵循哪些规则？（协议）,层次结构方法包括三个内容：分层及每层功能，服务与层间接口，协议。,每层的功能和作用,P13页：图2-1,实现,OSI七层模型只说明了做什麼（WHAT TO DO）而未规定 怎样做（HOW

6、 TO DO） 协议簇的实现：协议栈（软硬件）,一台计算机要发送数据到另一台计算机，数据首先必须打包，打包的过程成为封装。 封装就是在数据前面加上特定的协议头部。,发送邮件的例子：信装入写有源地址和目的地址的信封中发送，还要写明用航空或挂号。,数 据,数据封装,数据,数据 段 数据包 帧 比特 电脉冲,011101000011000010100101111010110,数据多层封装,TCP头,应用层数据,应用层数据,TCP头,应用层数据,IP头,帧头,TCP头,应用层数据,IP头,帧尾,应用层,传输层,网际层,数链层,实际例子：TCP/IP协议的封装,计算机网络拓扑,课外知识：起初它是几何学的

7、一支，研究几何图形在连续变形下保持不变的性质,星型结构,所有结点与中央结点连接 结构简单、控制简单 结点出现故障易于隔离 中央结点的可靠性致关重要,环型结构,通信控制分散在各个结点，提高了可靠性 各结点共享环路 采用令牌控制，重负载时吞吐量较大,网状结构,端结点之间存在多条通路，需选择路径 可靠性高 通信控制复杂,总线结构,结构简单，可靠性好 各结点共用总线，广播式传输 扩充性好，增减结点容易 总线长度有限,还有什么？,树型 混合型,TCP/IP协议体系,Ethernet,802.3,802.5,FDDI等等,网络接口层,功能：比特流传输服务，链路管理，成帧方式，差错控制等 协议：PPP、PP

8、PoE 以太网 MAC地址及其安全性,可能用到的概念,比特 一个二进制位叫一个比特（bit） 信道 用于一路信号传输的通道，称为信道，一条物理线路常可以被划分为多个信道,通信方式 单工通信,可能用到的概念,半双工通信,全双工通信,串行传输 把每个二进制位按顺序排列成串，形成比特流，逐位在信道上传送,可能用到的概念-传输方式,可能用到的概念并行传输 多个比特以成组的方式在多个并行的信道上同时传输,可能用到的概念多路复用,频分多路复用,可能用到的概念多路复用,时分多路复用,波分多路复用,在光传输领域中，根据光的不同波长来划分信道，使得在一根光纤中可以同时传输基于不同波长的多路数据，从而达到复用链路

9、，提高总体带宽的目的,可能用到的概念,基带传输 基带传输是在数字信道上直接传送基带信号 频带传输 通常是指在电话网上传输数据 调制与解调 调制是用交流信号承载信息的过程，即用要发送的信息调制载波 解调是从载波中还原发送的信息的过程,网络层及IP层,IP地址：网络号+主机号、NAT IP数据报格式 IP地址及子网掩码 几类特殊的IP地址 IP安全性,IP地址的概念 IP地址是独立于硬件地址的逻辑地址，它是由软件提供的地址。IP地址是网络层地址。,IP地址,IP编址方案和分类 IP地址由32位二进制数构成，分为前缀（网络 地址）和后缀（主机地址） 每台计算机的IP地址是唯一的 网络地址的分配全球一

10、致，主机地址可以本地 分配,IP地址的分类 其中A，B，C 三类为基本类,A类地址分配给超大型网络：允许27个网络，每个网络224-2个主机； B类地址分配给大型和中型网络:允许214个网络，每个网络216-2个主机; C类地址分配给小型网络:允许221个网络，每个网络28-2个主机； D类地址用于多目地址传送，即多个主机共享一个多目 地址，发送到此地址的数据将同时送给这一类主机,例如 IP地址: 11000000 00000101 00110000 00000011可以表示为 从第1段的值可以知道地址的类型。 类 数值范围 A 0 127 126.255

11、.255.255 B 128 191 55 C 192 223 55 D 224 239 E 240 255,点分十进制表示法,几个特殊的IP地址,广播地址 直接广播地址：主机号各个位全为1的地址 例如：55 受限广播地址：网络号和主机号全为1的地址 55 本网络上的特定主机地址：网络号为0 26 回送地址：55.254 静态IP地址和动态IP地址 单播、组播（多播）、广播,子网掩码,子网掩码：

12、 (subnet mask)又叫网络掩码、地址掩码、子网络遮罩，它是一种用来指明一个IP地址的哪些位标识的是主机所在的子网以及哪些位标识的是主机的位掩码。子网掩码不能单独存在，它必须结合IP地址一起使用。因为屏蔽掉了IP地址的一部分所以叫掩码。 方法：32位模式，网络地址：1，主机地址：0 例如： 192.168. 1. 3 /16 和 /24,作用：为了避免IP地址的浪费，可以把多余的主机地址拿出来作为子网的地址来分配,若原来的网络地址为，划分为子网后 表示第1个子网 128.

13、10.4.0 表示第2个子网 表示第3个子网,A类地址的子网掩码为： B类地址的子网掩码为： C类地址的子网掩码为： ,例如：若B类IP地址为128.21.03.12，它与B类地址的子 网掩码“与”的结果,若要在B类IP地址中把主机地址的高7位作为子网地址，则子网掩码为： ,IP数据报格式,验证,用sniffer抓一个看看,IP安全性,IP欺骗 IP包碎片（泪滴）攻击 Ping flooding smurf,传输层,TCP和UDP的区别：一起回答。 UDP报文格式 TCP报文格式

14、三次握手、四次挥手,UDP,熟知端口、注册端口、临时端口 使用UDP的协议包括：TFTP、SNMP、NFS、DNS等,源端口,目的端口,长度,校验和,数据,16b,16b,16b,16b,TCP,五元组、可靠性保障,源端口(Source Port)：呼叫端口的编号 目的端口(Destination Port)：被叫端口的编号 顺序号(Sequence Number)：数据的第一个字节的顺序号 确认号(Acknowledgment Number)：所期待的下一段的顺序号 报头长度(HLEN)：以32字节为单位的报头的长度 保留域(Reserved)：设置为0 编码位(Code Bits)：用于控

15、制段的传输（如会话的建立和中止） 包括：URG、ACK、PSH、RST、SYN、FIN六个位 窗口大小(Window)：接收方能够继续接收的字节数 校验和(Checksum)：包括TCP报头和数据在内的校验和 紧急指针(Urgent Pointer)：当前顺序号到紧急数据位置的偏移量 选项(Option)： 数据(Data)：上层协议数据,端口号,TCP和UDP都用端口(socket)号把信息传到上层。 端口号指示了正在使用的上层协议。,F T P,S M T P,T F T P,D N S,T e l n e t,S N M P,21,23,25,53,69,161,TCP UDP,应用层,

16、传输层,TCP,UDP,6,17,IP,传输层,网际层,IP数据报的协议域确定目的端的上层协议,抓一个FTP包看看,TCP连接的建立三次握手,例如：A、B两个主机要建立连接,AB,方向,消息,含义,AB,AB,AB,SYN,SYN,ACK,ACK,我的序号是X,序号用于跟踪通信顺序，确保多个包传输时无数据丢失。 通信双方在建立连接时必须互相交换各自的初始序号。,知道了，你的序号是X,我的序号是Y,知道了，你的序号是Y,握手,1,2,3,合并,1.,2.,3.,4.,A,B,发送SYN消息(SEQ=x),接收SYN消息(SEQ=x),发送SYN消息 (SEQ=y,ACK=x+1),接收SYN消息

17、 (SEQ=y,ACK=x+1),发送确认(ACK=y+1),接收确认(ACK=y+1),TCP通过三次握手/建立连接序号来达到同步,第一次“握手”,首先分析建立“握手”第一个过程包的结构，如图所示。,第二次“握手”,SYN为1，开始建立请求连接，需要对方计算机确认，对方计算机确认返回的数据包如图所示。,第三次“握手”,对方计算机返回的数据包中ACK为1并且SYN为1，说明同意连接。 这个时候需要源计算机的确认就可以建立连接了。确认数据包的结构如图所示。,四次挥手,第一次“挥手”,第一次交互过程的数据报结构如图所示。,第二次“挥手”,第一次交互中，首先发送一个FIN=1的请求，要求断开，目标主

18、机在得到请求后发送ACK=1进行确认，如图所示。,第三次“挥手”,在确认信息发出后，就发送了一个FIN=1的包，与源主机断开，如图所示。,第四次“挥手”,随后源主机返回一条ACK=1的信息，这样一次完整的TCP会话就结束了。如图所示。,应用层,TELNET FTP SMTP(POP3) DNS SNMP HTTP （WWW、URL）,网络互联设备,线缆：双绞线、同轴电缆、光纤 中继器（集线器） 网桥（交换机） 路由器（L3交换机） 网关 冲突域、广播域,双绞线,-螺旋绞合的双导线，1mm -每根4对、25对、1800对 -典型连接距离100m（LAN） -RJ45插座、插头 -优缺点： 成本低 密度高、节省空间 安装容易（综合布线系统） 平衡传输（高速率） 抗干扰性一般 连接距