什么是局域網??局部區域網絡(lｏcalaｒeanetwork）通常簡稱為"局域網＂，縮寫為LAN。局域網是結構復雜限度最低的計算機網絡。局域網僅是在同一地點上經網絡連在一起的一組計算機。局域網通常挨得很近,它是目前應用最廣泛的一類網絡。通常將具有如下特性的網稱為局域網。

1)網絡所覆蓋的地理范圍比較小。通常不超過幾十公里，甚至只在一幢建筑或一個房間內。

2)信息的傳輸速率比較高,其范圍自1Ｍｂps到10Mbｐｓ,近來已達成1００Mｂps。而廣域網運營時的傳輸率一般為240０bps、9600ｂps或者3８．4ｋbps、56.6４ｋbps。專用線路也只能達成１.544Mｂｐs。

3)網絡的經營權和管理權屬于某個單位。?

?什么是廣域網??廣域網（wideａrｅａnetworｋ,WＡＮ)它是影響廣泛的復雜網絡系統。

WAＮ由兩個以上的ＬAN構成,這些LAN間的連接可以穿越3０milｅ＊以上的距離。大型的WAN可以由各大洲的許多ＬＡN和ＭAN組成。最廣為人知的WAＮ就是Interｎet，它由全球成千上萬的LAN和ＷAN組成。?有時LＡN、MＡN和WAＮ間的邊界非常不明顯，很難擬定LAN在何處終止、MＡN或ＷAN在何處開始。但是可以通過四種網絡特性-通信介質、協議、拓撲以及私有網和公共網間的邊界點來擬定網絡的類型。通信介質是指用來連接計算機和網絡的電纜、光纖電纜、無線電波或微波。通常LAN結束在通信介質改變的地方,如從基于電線的電纜轉變為光纖。電線電纜的ＬAN通常通過光纖電纜與其他的LAN連接。

什么是網橋??網橋這種設備看上去有點像中繼器。它具有單個的輸入端口和輸出端口。它與中繼器的不同之處就在于它可以解析它收發的數據。網橋屬于OSI模型的數據鏈路層；數據鏈路層可以進行流控制、糾錯解決以及地址分派。網橋可以解析它所接受的幀，并能指導如何把數據傳送到目的地。特別是它可以讀取目的地址信息(MAＣ）,并決定是否向網絡的其他段轉發(重發)數據包，并且，假如數據包的目的地址與源地址位于同一段,就可以把它過濾掉。當節點通過網橋傳輸數據時,網橋就會根據已知的MＡC地址和它們在網絡中的位置建立過濾數據庫（也就是人們熟知的轉發表)。網橋運用過濾數據庫來決定是轉發數據包還是把它過濾掉．

?什么是網關??網關不能完全歸為一種網絡硬件。用概括性的術語來講,它們應當是可以連接不同網絡的軟件和硬件的結合產品。特別地，它們可以使用不同的格式、通信協議或結構連接起兩個系統。和本章前面討論的不同樣,網關事實上通過重新封裝信息以使它們能被另一個系統讀取。為了完畢這項任務,網關必須能運營在OSＩ模型的幾個層上。網關必須同應用通信,建立和管理睬話，傳輸已經編碼的數據,并解析邏輯和物理地址數據。?網關可以設在服務器、微機或大型機上。由于網關具有強大的功能并且大多數時候都和應用有關,它們比路由器的價格要貴一些。此外，由于網關的傳輸更復雜,它們傳輸數據的速度要比網橋或路由器低一些。正是由于網關較慢,它們有導致網絡堵塞的也許。然而，在某些場合,只有網關能勝任工作。在你的網絡生涯中，你很也許會在電子郵件系統環境中聽到關于網關的討論。常見的網關,涉及電子郵件網關，描述如下：?電子郵件網關:通過這種網關可以從一種類型的系統向另一種類型的系統傳輸數據。例如,電子郵件網關可以允許使用Eｕdｏra電子郵件的人與使用GｒoupWise電子郵件的人互相通信。?IBＭ主機網關：通過這種網關，可以在一臺個人計算機與IBＭ大型機之間建立和管理通信。

因特網網關：這種網關允許并管理局域網和因特網間的接入。因特網網關可以限制某些局域網用戶訪問因特網。反之亦然。?局域網網關：通過這種網關,運營不同協議或運營于ＯSI模型不同層上的局域網網段間可以互相通信。路由器甚至只用一臺服務器都可以充當局域網網關。局域網網關也涉及遠程訪問服務器。它允許遠程用戶通過撥號方式接入局域網。

?

網絡類型

每一種網絡都規定布線、網絡設備、文獻服務器、工作站、軟件和培訓，這些要素以多種不同的方式進行綜合便可以創建與具體單位的需要和資源相適應的網絡。有些網絡的啟動成本很低，但是維護和升級的代價很高;而另有一些網絡雖然建立時耗資較大，但是易于維護、升級途徑簡樸。

區分網絡類型的很明顯的一點就是網絡的拓撲結構。拓撲結構是指網絡的物理布局以及其邏輯特性。物理布局就像是描述辦公室、建筑物或校園中如何布線的示意圖,通常稱為電纜線路。網絡的邏輯是指信號沿電纜從一點向另一點進行傳輸的方法。

網絡的布局可以分散開,電纜在網絡的各個站鋪開;或者可以是集中的，每個站都與在工作站間分派包的中央設備有物理的連接。集中布局像是星星,工作站是星星的點;分散布局有些像一隊登山者，每個登山者位于山的不同位置上,但都由一條很長的繩子連接著。拓撲結構的邏輯方面涉及包在網絡中傳遞的途徑。

有三種重要的拓撲結構:總線拓撲、環形拓撲和星形拓撲。一個單位需要按照工作目的選擇網絡類型，而拓撲結構必須與所選的網絡類型相匹配。例如，有些公司使用網絡的限度比其他公司要高。公司使用的軟件應用程序的類型和數量影響了傳輸的包的數量和頻率,也就是我們常說的網絡信息流通量(ｎetwoｒktraffic)。假如網絡用戶重要訪問字解決軟件，那么網絡信息流通量相對就比較低，大多數工作都在工作站進行而不是在網絡上進行?？蛻魴C/服務器結構的應用程序根據其軟件設計，會產生中檔到高的網絡信息流通量。假如網絡上要經?；Q如MiｃｒosofｔSQＬServｅｒ或Ｏｒａcle數據庫文獻等數據庫信息的話,也會產生中檔到高的網絡信息流通量。而對于科學程序和網上出版而言，由于數據文獻非常巨大,所以信息流量很高。同時,圖形密集的應用程序如不斷變化圖形的多媒體和桌面網上會議都會產生很高的網絡信息流通量。?網絡上主機與服務器的影響力與使用的軟件應用程序的類型密切相關。例如,假如經常訪問數據庫服務器來產生財務報表和銷售圖表，那么它引起的網絡信息流通量肯定要比偶爾訪問包含商務通信或信件模板的文獻服務器要高得多。?當需要擬定使用何種拓撲結構時,應當考慮是否有其他網絡與這個網絡連接。計算機不超過4臺的小型商業公司的網絡拓撲肯定與一個通過ＷAN與其他工地連接的工業廠區所需要的拓撲結構不同。小公司除了與外部的Ｉnteｒnet相連外,也許不會與其他網絡連接。而工業廠區將包含多個互連的網絡，其中也許有控制工廠機器的網絡、用于商業系統的網絡、用于科研的網絡和與其他工地相連的擴展的WAN。有些網絡拓撲結構會提供比其他拓撲結構性能更好的網絡互連性。高流量的網絡需要高速的數據傳輸能力。網絡速度極大影響著用戶的生產率,高速對于在遠距離或WAN上傳輸圖像、圖形和其他大型文獻來說特別重要。

保護數據只能由授權的用戶來訪問,也就是安全性問題，是影響網絡設計的另一個重要方面。安全的網絡使用網絡設備、密碼、控制軟件和其他技術來限制對信息和資源的訪問，還經常使用加密方法，對包加密并僅允許授權的計算機來對其解密。安全性高的網絡使用光纖電纜,使得數據給未授權用戶截取的危險降到最低。另一種安全措施是將網絡設備和服務器放在受限制的地點,如計算機房和布線室。

網絡拓撲結構直接影響著網絡的潛在發展。安裝網絡后，也許要添加更多的用戶,這些用戶也許在同一間辦公室,也許在其他辦公室,或者在其他樓層。并且極有也許為了長距離的信息訪問，需要將LAＮ與WＡN連接。

??網絡協議

一個ＬＡＮ可以由一系列的子網組成，而一個WAN，例如Iｎtｅrneｔ,可以由一系列的自治網絡組成。LAN可以只使用以太網，而WAN卻也許涉及以太網、令牌環網、X．25和其他一些網絡。通過網際協議(ＩＰ)，可以把一個包發送到LAN的不同子網和WＡN的不同網絡上，唯一的條件就是這些網絡所使用的傳輸選項要保證可以和ＴCP/ＩP兼容,這些選項涉及:

ｏ以太網。

o令牌環網。

ｏX．2５。?oFDDI。

oＩＳDN。

o幀中繼。?ｏ（帶有轉換的)ATＭ。?o網絡傳輸頭

(例如,以太網）

IP的基本功能是提供數據傳輸、包編址、包尋徑、分段和簡樸的包錯誤檢測。通過IP編址約定，可以成功地將數據傳輸和路由到對的的網絡或者子網。每個網絡結點具有一個３２位的IP地址,它和48位的MＡC地址一起協作，完畢網絡通信。該地址不僅標記了一個既定的網絡,并且還指明了是該網絡上的哪個結點。?

?什么是路由器??路由器是一種多端口設備，它可以連接不同傳輸速率并運營于各種環境的局域網和廣域網，也可以采用不同的協議。路由器屬于OSI模型的第三層。第２章曾經講過,網絡層指導從一個網段到另一個網段的數據傳輸,也能指導從一種網絡向另一種網絡的數據傳輸。過去，由于過多的注意第三層或更高層的數據,如協議或邏輯地址，路由器曾經比互換機和網橋的速度慢。因此，不像網橋和第二層互換機,路由器是依賴于協議的。在它們使用某種協議轉發數據前,它們必須要被設計或配置成能辨認該協議。?傳統的獨立式局域網路由器正慢慢地被支持路由功能的第三層互換機所替代。但路由器這個概念還是非常重要的。本節的剩余部分講述的都是關于第三層互換機的應用。獨立式路由器仍然是使用廣域網技術連接遠程用戶的一種選擇。重要內容:1、interｎｅt體系結構?

2、ｉnｔerｎeｔ連接的方法??3、ｉｎteｒｎet地址

4、inｔeｒneｔ域名系統??5、iｎteｒｎet地址是的擴展

?一、Inteｒnｅt體系結構

?１、自治系統：原始的Inteｒneｔ核心體系是在Internet權有一個主干網的那個時期開發的。但是這種體系結構存在以下一些問題:?

這種體系不能適應互聯網擴展到任意數量的網點;

?許多網點由多個局域網組成，且用多個多路由器互連，由于一個核心路由器在每個網點上與一個網絡相連，核心路由器就只知道那個網點中的一個網絡的情況；?

一個大型的互聯網是獨立的組織管理的網絡的互連集合,路由選擇體系結構必須為每個組織提供獨立的控制路由選擇和訪問網絡的方法，因此必須用一個單一的協議機制來構造一個由許多網點構成的互聯網,同時,各個網點又是一個自治系統。?

二、Internet連接的方法

1、將計算機連接到一個局域網，這個局域網的服務器是Interneｔ的一個主機。?

條件:必須連接到一個與Inteｒnet連接的網絡，需要網絡適配卡和ODI或ＮDIS驅動程序，還需要在本地計算機上運營TCP/ＩP,假如是Windows系統還需要Wｉｎsock支持。

2、運用串行接口協議（SLIP)或點到點協議（PPＰ）,通過電話撥號方式進入一個Iｎｔｅrnet的主機

?條件:需要一個調制解調器Mｏdｅm、TCP/ＩP軟件和SLIP或ＰＰP軟件,假如是Ｗiｎdows系統還需要Ｗｉｎｓoｃk支持。?

3、通過電話撥號進入一個提供Internet服務的聯機服務系統。

條件:需要一個調制解調器Modｅm、標準的通信軟件和一個聯機服務帳號。

?4、用戶選擇連接方法的考慮因素:聯網的目的和需求;用戶內部配置的網絡基礎設施;用戶支付Interneｔ聯網費用的能力;對Interｎet安全服務的需求。

三、Ｉnｔｅｒnｅt地址

?在TCP/IP協議中,規定分派給每臺主機一個３2位數作為該主機ＩP地址。每個ＩP地址由兩個部分組成，即網絡標記neｔid和主機標記hoｓtid。?

ＩP地址的層次結構具有兩個重要特性:第一，每臺主機分派了一個惟一的地址;第二,網絡標記號的分派必須全球統一,但主機標記號可由本地分派，不需要全球一致。

１、Ａ類:1.０．0.1至１5４也許的網絡數有126個,主機部分有16７7216臺(2２4-2)??2、Ｂ類:１28.0.０.1至191.25５.255.２５4也許的網絡數有1６384個，主機有６５５36臺

3、Ｃ類:19２．0.0.1至223.25５．255.２54也許的網絡數有2０97152個,主機有２56臺??４、D類:用于廣播傳送至多個目的地址用２24-239

5、E類:用于保存地址240－255

?ＲFC1９18將１0.０．0．至10.255．２55.2５5、127．１6.0．0至172．31．２55.25５、１9２．16８．0.0至１92.168．255.2５5的地址作為預留地址,用作內部地址,不能直接連接到公共因特網上。

?四、Inteｒnｅｔ地址映射

將一臺計算機的IP地址映射到物理地址的過程稱地址解析。

?常用的地址解析算法有以下三種:

1、查表法：將地址映射關系放在內存中的一些表里，當解析地址時，通過查表得到解析的結果。用于廣域網。?

2、相近形式計算法:通過簡樸的布爾和算術運算得出映射地址。用于可配置網絡。?

3、消息互換法:計算機通過網絡互換信息得到映射地址。用于靜態編址。??TCＰ/IＰ協議組包含一個地址解析協議(ARP)。ARＰ協議定義了兩類基本消息，一類消息是請求消息，另一類是應答消息。

?五、Ｉnｔerｎet地址空間的擴展??1、IPＶ６仍然支持無連接傳送;允許發送方選擇數據報大小;規定發送方指明數據報在到達目的站前的最大跳數。更大的地址空間；靈活的報頭格式;增強的選項;支持資源分派;支持協議擴展。

?2、ＩPV6的數據報格式:IPV6數據有一個固定的基本報頭４０字節其后可以允許多個擴展報頭,也可以沒有擴展報頭，擴展報頭后是數據。

?IPＶ4的數據報格式:涉及數據報報頭和數據區的部分。報頭:版本號、IHL、服務級別、數據單元長度、標記、標記、分段偏移、生命期、用戶協議、報頭檢查和、源地址、目的地址、任選項+填充、數據。

3、該基本報頭包含版本號、數據流標記、PAYLＯAD長度、下一個報頭、跳數極限、源地址、目的地址。??4、IPＶ4與ＩＰV6比較:取消了報頭長度字段,數據報長度字段被ＰAYLOAD長度字段代替;源地址和目的地址字段大小增長為每個字段占16個八位組，128位;分段信息從基本報頭的固定字段移動擴展報頭;生存時間字段改為跳數極限字段;服務類型字段改為數據流標號字段;協議字段改為指明下一個報頭類型字段。??5、ＩPV６有三個基本地址類型,單播地址(ｕnｉcａst)即目的地址指明一臺計算機或路由器，數據報選擇一條最短的途徑到達目的站;群集地址（clusｔer)即目的站是共享一個網絡地址的計算機的集合，數據報選擇一條最短途徑到達該組，然后傳遞給該組最近的一個成員；組播地址(ｍｕlｔicast）即目的站是一組計算機，它們可以在不同地方,數據報通過硬件組播或廣播傳遞給該組的每一成員。??6、對任何地址若開始80位是全零,接著16位是全1或全零,則它的低3２位就是一個IPV4地址。

第10章公司網與Iｎtraｎｅt?

重要內容:1、公司網絡計算的組成和管理??2、公司網絡開放系統集成技術

?３、intrａｎeｔ定義和要素??4、intrａnet應用和建立?

一、公司網絡計算的背景和挑戰

?公司網是連接公司內部各部門并和公司外界相連，為公司的通信、辦公自動化、經營管理、生產銷售以及自動控制服務的重要信息基礎設施。Iｎｔranｅt是基于TCP／ＩP協議,使用環球網ＷWW工具，采用防止外界侵入的安全措施，為公司內部服務，并有連接Iｎtｒanet功能的公司內部網絡。

?1、驅動公司網絡計算的因素:用戶需求，這是基本動力;先進和實用的信息技術;迅速變化中的巿場。??2、可采用兩種模型:一種是可伸縮的模型，即公司網絡計算的同樣的軟件可運營在公司內部的不同平臺上;另一種是集成的模型,即公司內部不同平臺上的軟件的集成。

二、公司網絡計算的組成和特性

1、公司網絡計算的組成:客戶機／服務器計算;分布式數據庫;數據倉庫；網絡和通信;網絡和系統的管理；各種網絡應用。

?2、公司網絡計算的特性：支持客戶機/服務器計算械;支持管理海量數據的能力和設施;分布數據管理的設施;國際化和本地化；功能強的通信設施;系統的靈活性；分布資源管理;開發工具和開發手段的提供。

?三、開放系統?

開放系統:是對一個不斷發展的、廠家中立的、用于對整個系統進行有效配置、操作和替換的接口、服務、協議和格式的規范描述的實現,它的應用和組成部件可以用不同廠家的其他相同實現替代。??1、開放系統的兩個特點:開放系統所采用的規范是廠家中立的,或者是與廠家無關的;開放系統允許不同廠家的產品替換,這種替換涉及整個系統其組成部件。?

2、專用系統:它所采用的規范是專用,而不是廠家中立的;專用系統不允許由不同廠家的產品替換;它的組成部件允許具有許可證的廠家產品替換。

?3、驅動開放系統發展的因素:功能、可用性、復雜性、價格。?

四、公司網絡開放系統集成技術

1、FRＡＭWORK是應用程序的開發和運營環境，它事實上是蹭件和操作系統的組合。比較有名的產品有CＩCS、Wiｎdows、UＮIX。

2、ＣOSE專門制定了自己的開放系統環境規范,重要技術涉及用于窗口管理的Mｏtif、標準APＩ接口和用于數據庫管理的ＳＱＬ。

3、信息系統與網絡計算重要實現網絡范圍數據管理、通信和網絡管理，重要技術有：在數據管理方面有用于數據庫間通信的RDA，即遠程數據訪問;通信服務ＤCE分布式計算環境，RＰＣ遠程過程調用,ＯSI開放系統互連；管理服務，DME分布管理環境,ＳNMP簡樸網絡管理協議。

五、開放系統環境應用可移植框架??六、Intｒaｎet的定義和要素

?1、Iｎtｒaｎｅt是基于IntｅrnｅtTＣP／IＰ協議,使用的環球網ＷWW工具、采用防止外界侵入的安全措施、為公司內部服務,并有連接Iｎtｅｒnｅt的功能的公司內部網絡。

2、Iｎｔranet的組成:網絡、電子郵件、內部環球網、郵件地址清單、新聞組Ｎewsgrｏｕps、閑談Chaｔ、FTＰ、Telnet、Ｇoｐｈｅｒ。重要內容:1、密碼學、鑒別?

２、訪問控制、計算機病毒

３、網絡安全技術

４、安全服務與安全機制??5、信息系統安全體系結構框架??6、信息系統安全評估準則

?一、密碼學

1、密碼學是以研究數據保密為目的,對存儲或者傳輸的信息采用秘密的互換以防止第三者對信息的竊取的技術。

２、對稱密鑰密碼系統(私鑰密碼系統）:在傳統密碼體制中加密和解密采用的是同一密鑰。常見的算法有:ＤES、ＩＤEA??３、加密模式分類:??(1)序列密碼:通過有限狀態機產生性能優良的偽隨機序列，使用該序列加密信息流逐位加密得到密文。

（２)分組密碼:在相信復雜函數可以通過簡樸函數迭代若干圈得到的原則,運用簡樸圈函數及對合等運算，充足運用非線性運算。?

4、非對稱密鑰密碼系統（公鑰密碼系統):現代密碼體制中加密和解密采用不同的密鑰。

?實現的過程:每個通信雙方有兩個密鑰,K和K'，在進行保密通信時通常將加密密鑰K公開(稱為公鑰)，而保存解密密鑰K'（稱為私鑰),常見的算法有:RSA??二、鑒別

鑒別是指可靠地驗證某個通信參與方的身份是否與他所聲稱的身份一致的過程，一般通過某種復雜的身份認證協議來實現。

?1、口令技術

身份認證標記：PIＮ保護記憶卡和挑戰響應卡

?分類:共享密鑰認證、公鑰認證和零知識認證

?(１)共享密鑰認證的思想是從通過口令認證用戶發展來了。

（2)公開密鑰算法的出現為

2、會話密鑰:是指在一次會話過程中使用的密鑰,一般都是由機器隨機生成的,會話密鑰在實際使用時往往是在一定期間內都有效,并不真正限制在一次會話過程中。

?署名：運用私鑰對明文信息進行的變換稱為署名

?封裝:運用公鑰對明文信息進行的變換稱為封裝??３、Kerbｅros鑒別：是一種使用對稱密鑰加密算法來實現通過可信第三方密鑰分發中心的身份認證系統?？蛻舴叫枰蚍掌鞣竭f交自己的憑據來證明自己的身份，該憑據是由KＤC專門為客戶和服務器方在某一階段內通信而生成的。憑據中涉及客戶和服務器方的身份信息和在下一階段雙方使用的臨時加密密鑰，尚有證明客戶方擁有會話密鑰的身份認證者信息。身份認證信息的作用是防止襲擊者在將來將同樣的憑據再次使用。時間標記是檢測重放襲擊。

?4、數字署名:

?加密過程為C=EB(DA(m）)用戶A先用自己的保密算法(解密算法DA)對數據進行加密DＡ(m)，再用B的公開算法(加密算法ＥB)進行一次加密EB（DＡ(m）)。

?解密的過程為m=EA(DB（C))用戶B先用自己的保密算法(解密算DＢ)對密文C進行解密ＤB(C),再用Ａ的公開算法(加密算法ＥA)進行一次解密EA(DＢ（Ｃ）)。只有Ａ才干產生密文C,Ｂ是無法依靠或修改的，所以Ａ是不得抵賴的DA(ｍ）被稱為署名。

三、訪問控制

?訪問控制是指擬定可給予哪些主體訪問的權力、擬定以及實行訪問權限的過程。被訪問的數據統稱為客體。??1、訪問矩陣是表達安全政策的最常用的訪問控制安全模型。訪問者對訪問對象的權限就存放在矩陣中相應的交叉點上。

2、訪問控制表(ACＬ)每個訪問者存儲有訪問權力表,該表涉及了他可以訪問的特定對象和操作權限。引用監視器根據驗證訪問表提供的權力表和訪問者的身份來決定是否授予訪問者相應的操作權限。

3、粗粒度訪問控制:可以控制到主機對象的訪問控制

細粒度訪問控制：可以控制到文獻甚至記錄的訪問控制??４、防火墻作用:防止不希望、未經授權的通信進出被保護的內部網絡,通過邊界控制強化內部網絡的安全政策。?

防火墻的分類:IP過濾、線過濾和應用層代理

路由器過濾方式防火墻、雙穴信關方式防火墻、主機過濾式防火墻、子網過濾方式防火墻??5、過濾路由器的優點：結構簡樸,使用硬件來減少成本;對上層協議和應用透明，無需要修改已有的應用。缺陷:在認證和控制方面粒度太粗,無法做到用戶級別的身份認證,只有針對主機IP地址,存在著假冒IＰ襲擊的隱患;訪問控制也只有控制到ＩＰ地址端口一級,不能細化到文獻等具體對象；從系統管理角度來看人工承擔很重。??６、代理服務器的優點:是其用戶級身份認證、日記記錄和帳號管理。缺陷:要想提供全面的安全保證,就要對每一項服務都建立相應的應用層網關,這就極大限制了新應用的采納。??7、VPN:虛擬專用網,是將物理分布在不同地點的網絡通過公共骨干網，特別是inｔernｅt聯接而成的邏輯上的虛擬子網。?

8、VPN的模式：直接模式ＶＰN使用ＩP和編址來建立對VPＮ上傳輸數據的直接控制。對數據加密,采用基于用戶身份的鑒別，而不是基于IP地址。隧道模式VPN是使用IP幀作為隧道的發送分組。

9、IPＳEC是由IEＴF制訂的用于ＶＰN的協議。由三個部分組成:封裝安全負載EＳP重要用來解決對IＰ數據包的加密并對鑒別提供某種程序的支持。,鑒別報頭(ＡＰ）只涉及到鑒別不涉及到加密,intｅrnet密鑰互換IKＥ重要是對密鑰互換進行管理。?

四、計算機病毒

1、計算機病毒分類:操作系統型、外殼型、入侵型、源碼型??2、計算機病毒破壞過程：最初病毒程序寄生在介質上的某個程序中，處在靜止狀態，一旦程序被引導或調用，它就被激活，變成有傳染能力的動態病毒，當傳染條件滿足時，病毒就侵入內存，隨著作業進程的發展，它逐步向其他作業模塊擴散,并傳染給其他軟件。在破壞條件滿足時，它就由表現模塊或破壞模塊把病毒以特定的方針表現出來。??五、網絡安全技術

?1、鏈路層負責建立點到點的通信，網絡層負責尋徑、傳輸層負責建立端到端的通信信道。

2、物理層可以在通信線路上采用某些技術使得搭線偷聽變得不也許或者容易被檢測出。數據鏈路層，可以采用通信保密機進行加密和解密。?

3、IP層安全性

?在IP加密傳輸信道技術方面,IETＦ已經指定了一個IＰ安全性工作小組ＩPＳEC來制訂IP安全協議IPSＰ和相應的interｎｅｔ密鑰管理協議ＩＫMP的標準。?

(1)IPSEC采用了兩種機制：認證頭部AH，提前誰和數據完整性;安全內容封裝ＥSP,實現通信保密。1995年8月iｎterｎet工程領導小組ＩESＧ批準了有關IＰSP的RFＣ作為iｎｔerneｔ標準系列的推薦標準。同時還規定了用安全散列算法SＨA來代替MD5和用三元ＤES代替ＤES。

?4、傳輸層安全性??(1)傳輸層網關在兩個通信節點之間代為傳遞TCP連接并進行控制，這個層次一般稱作傳輸層安全。最常見的傳輸層安全技術有SSL、SOCKS和安全RPＣ等。??(2)在inteｒnet編程中,通常使用廣義的進程信IPC機制來同不同層次的安全協議打交道。比較流行的兩個ＩPＣ編程界面是BＳDSockets和傳輸層界面ＴLI。

?(３)安全套接層協議ＳSL??在可靠的傳輸服務ＴCＰ/IP基礎上建立，ＳSL版本3，SSLv３于１９95年12月制定。ＳＳＬ采用公鑰方式進行身份認證，但是大量數據傳輸仍然使用對稱密鑰方式。通過雙方協商SSＬ可以支持多種身份認證、加密和檢查算法。?

SSL協商協議：用來互換版本號、加密算法、身份認證并互換密鑰SSLv３提供對Deffie-Hellｍan密鑰互換算法、基于RSA的密鑰互換機制和另一種實現在Frｏtezzachiｐ上的密鑰互換機制的支持。

?SSＬ記錄層協議:它涉及應用程序提供的信息的分段、壓縮數據認證和加密SSLv3提供對數據認證用的ＭD5和SHA以及數據加密用的R４主DES等支持，用來對數據進行認證和加密的密鑰可以有通過SSＬ的握手協議來協商。

SSL協商層的工作過程：當客戶方與服務方進行通信之前，客戶方發出問候;服務方收到問候后，發回一個問候。問候互換完畢后,就擬定了雙方采用的SSL協議的版本號、會話標志、加密算法集和壓縮算法。

?ＳSL記錄層的工作過程:接受上層的數據，將它們分段;然后用協商層約定的壓縮方法進行壓縮，壓縮后的記錄用約定的流加密或塊加密方式進行加密，再由傳輸層發送出去。

５、應用層安全性

6、WWW應用安全技術?

（1)解決WWW應用安全的方案需要結合通用的intｅrnet安全技術和專門針對ＷWW的技術。前者重要是指防火墻技術，后者涉及根據ＷWW技術的特點改善ＨTTＰ協議或者運用代理服務器、插入件、中間件等技術來實現的安全技術。

?(２)HTTＰ目前三個版本:ＨTＴP0.９、HＴTP1.0、HTTP１．１。HTTＰ0.９是最早的版本，它只定義了最基本的簡樸請求和簡樸回答;HTTP１.0較完善，也是目前使用廣泛的一個版本;HTTP1．1增長了大量的報頭域,并對HTTP１.0中沒有嚴格定義的部分作了進一步的說明。??(3)ＨＴTP1.１提供了一個基于口令基本認證方法，目前所有的ＷＥB服務器都可以通過"基自身份認證"支持訪問控制。在身份認證上，針對基本認證方法以明文傳輸口令這一最大弱點,補充了摘要認證方法，不再傳遞口令明文，而是將口令通過散列函數變換后傳遞它的摘要。

(4)針對ＨＴTP協議的改善尚有安全HTＴＰ協議SHTTＰ。最新版本的SHTTP1.3它建立在HＴＴＰ1．1基礎上,提供了數據加密、身份認證、數據完整、防止否認等能力。??(5)ＤEC-Wｅb

WAＮＤ服務器是支持DＣＥ的專用Web服務器,它可以和三種客戶進行通信:第一是設立本地安全代理ＳLP的普通瀏覽器。第二種是支持SＳL瀏覽器，這種瀏覽器向一個安全網關以SSL協議發送請求，SDG再將請求轉換成安全RＰＣ調用發給WＡＮＤ，收到結果后，將其轉換成SＳＬ回答，發回到瀏覽器。第三種是完全沒有任何安全機制的普通瀏覽器,ＷANS也接受它直接的HTTP請求,但此時通信得不到任何保護。??六、安全服務與安全與機制

?1、ISO７498-2從體系結構的觀點描述了5種可選的安全服務、８項特定的安全機制以及5種普遍性的安全機制。?

２、5種可選的安全服務:鑒別、訪問控制、數據保密、數據完整性和防止否認。

3、8種安全機制:加密機制、數據完整性機制、訪問控制機制、數據完整性機制、認證機制、通信業務填充機制、路由控制機制、公證機制，它們可以在OSI參考模型的適當層次上實行。

4、5種普遍性的安全機制:可信功能、安全標號、事件檢測、安全審計跟蹤、安全恢復。?

5、信息系統安全評估準則??(１)可信計算機系統評估準則TCＳEC:是由美國國家計算機安全中心于1９83年制訂的，又稱桔皮書。??（2）信息技術安全評估準則ITＳEC：由歐洲四國于1９89年聯合提出的，俗稱白皮書。?

(３)通用安全評估準則CC:由美國國家標準技術研究所NIST和國家安全局NSＡ、歐洲四國以及加拿大等6國７方聯合提出的。?

(4)計算機信息系統安全保護等級劃分準則:我國國家質量技術監督局于1999年發布的國家標準。

6、可信計算機系統評估準則

TCSEC共分為4類7級：D,C1,C２，B1，B2,B3，A１

D級,安全保護欠缺級，并不是沒有安全保護功能，只是太弱。

C１級，自主安全保護級,

?C2級，受控存取保護級,??B1級，結構化保護級

?Ｂ3級,安全域級

A１，驗證設計級。

七、評估增長的安全操作代價?

為了擬定網絡的安全策略及解決方案:一方面,應當評估風險,即擬定侵入破壞的機會和危害的潛在代價；另一方面,應當評估增長的安全操作代價。

?安全操作代價重要有以下幾點:??(1)用戶的方便限度?

(2）管理的復雜性

（3）對現有系統的影響?

(4)對不同平臺的支持HＹPERＬIＮＫ"＂重要內容：1、網絡操作系統的功能?

２、流行的網絡操作系統

一、網絡操作系統的功能

?1、網絡操作系統NOＳ,是使網絡上各計算機能方便而有效地共享網絡資源，為網絡用戶提供所需要的各種服務的軟件和有關規程的集合。??2、局域網NOS有兩個基本規定:(１)允許在局域網上的資源被共享;(2)要使現有的ＰC操作系統仍能繼續運營,而不需要作任何改變。NOＳ有兩個組成，重要是控制服務器的操作、管理存儲在服務器上的文獻。第二個組成，運營在客戶系統的軟件，使客戶能訪問網絡及網上資源。??3、在NｅtWare中:第一部分是PC和網絡接口卡聯系的機制，采用IPX／SPX互連網分組互換/順序分組互換接口協議來進行通信;第二部分稱為解釋器或重定向器(ｒedirｅctoｒ)。??二、NetＷaｒe系列??１、ＮetWare有兩部分組成:NetWare的外層(shell）和ＮeｔWare核心組成。

?２、NeｔWare的外層（shｅlｌ)在NeｔWare4中稱為DOＳＲeｑuesｔer。它有兩個相關的功能:將應用和桌面操作系統連接，決定將來自應用的命令傳送到本地操作系統;和網絡接口卡NＩC通信,使命令和數據包裝成能在諸如以太網、標記環網等標準網絡上接受和發送。??3、NetＷaｒe初次將容錯引入NOS,稱為系統容錯（ＳFＴsystｅmｆaulｔtｏleｒａnt)

4、ＮetWaｒe結構中ＮetＷare支持傳輸層協議自主性的兩個重要組成,為開放數據鏈路層接口ＯDI和Streａmｓ模塊。ODＩ為多種傳輸層協議提供了一種標準的接口,其功能是使多種傳輸層協議可以共享同一個網絡卡而不發生沖突。Stｒeａms模塊在高層提供了一個接口，一方面為其底層那些需要向NｅtWａre傳送數據請求的協議提供一個通用接口,另一方面還要向上為NetWare自身提供一個接口。?

5、NｅtＷaｒe工作站運用sｈeｌl和IPX/ＳPＸ通信協議與文獻服務器通信。

?NETX﹒COM通過向ＩPX發送命令，將DＯＳ的文獻請求發送到文獻服務器在,或從文獻服務器上傳回重定向。?

ＮＥT﹒COM程序將工作站的請求傳送給DOS和NｅtWaｒｅ。

IPX﹒ＣＯM向文獻服務器發送網絡信息，它是工作站與服務器通信的規程。??三、WiｎｄｏwsNＴ??１、WindoｗsＮＴ服務器被優化成一個文獻、打印機和應用程序服務器在，同時又能解決從小型的工作組到公司網絡范圍內的各種事務。

２、ＷindｏwsNＴServer優點：服務器性能，在完全版本中支持達4個CPU，OEM已經實現了對稱多解決環境中支持達３2個CPU；256個RAS入站接入;磁盤容錯支持,RAID級的數據保護；IIS服務;管理向導；蘋果機客戶的支持;其他網絡服務(DＨCＰ、ＤNＳ、ＷINS);WｉnｄｏwsNＴ目錄服務。?

3、Miｃrosoft網絡涉及:WinｄoｗsＮT、Wｉndows95、WinｄoｗsforWoｒkgｒｏｕp、LANmanager?

4、WindowsNＴ網絡結構:涉及Ｉ／Ｏ管理器組件、NDIS兼容網卡驅動程序、NＤIＳ4.0,傳輸協議、傳輸驅動程序接口TDＩ、文獻系統驅動程序。

第7章網絡管理

?重要內容:1、局域網管理技術

2、網絡管理功能和協議

?3、網絡管理系統?

4、網絡平常管理和維護

一、局域網管理技術??網絡管理是對計算機網絡的配置、運營狀態和計費等進行的管理。它提供了監控、協調和測試各種網絡資源以及網絡運營善的手段,還可提供安全管理和計費等功能。??1、網絡管理涉及三個方面:??（1）了解網絡:辨認網絡對象的硬件情況、差別局域網的拓撲結構、擬定網絡的互連、擬定用戶負載和定位。

（2)網絡運營:配置網絡，選擇網絡協議是配置網絡的重要組成部分;配置網絡服務器;網絡安全控制。??(3)網絡維護:重要涉及故障檢測與排除,發現故障、追蹤故障、排除故障、記錄故障的解決方法;網絡檢查;網絡升級,重要涉及用戶許可證的升級，服務器操作系統升級,服務器的硬件升級。?

2、局域網管理工具

NetWａre管理工具:SYＳCＯＮ工具

?ＷｉｎdowsNT管理工具：服務管理器，性能監視器?

二、網絡管理功能

?1、網絡管理的五大功能

?配置管理:配置管理的自動獲取，在網絡設備中自動配置信息中，根據獲取手段大體可以提成三類,第一類網絡管理協議標準的MIＢ中定義的配置信息；第二類不在網絡管理協議標準中有定義，但對設備運營比較重要的配置信息;第三類就是用于管理的一些輔助信息;自動備份及相關技術;配置一致性檢查;用戶操作記錄功能。

?性能管理:過濾、歸并網絡事件,有效地發現、定位網絡故障，給出排錯建議與排錯工具，形成整套的故障發現、告警與解決機制。?

故障管理:采集、分析網絡對象的性能數據、監測網絡對象的性能,對網絡線路質量進行分析。

安全管理:結合使用用戶認證、訪問控制、數據傳輸、存儲的保密與完整性機制,以保障網絡管理系統自身的安全。安全管理分三個部分,一方面是網絡管理自身的安全，其是被管理網絡對象的安全。計費管理:

二、網絡管理協議

?１、IAB最初制定關于interｎet管理的發展策略，其實采用SGＭP作為暫時的管理解決方案。后來演變為SNMP，簡樸網絡管理協議。?

2、ＳＮＭP簡樸網絡管理協議在OSＩ的第三層網絡層提供的管理服務

?優點:與SＮMP相關的管理信息結構(SMI)和管理信息庫(MIB)非常簡樸,從而可以迅速、簡便地實現;SNMP是建立在SGMP基礎上,而對于SGＭP從們積累了大量的操作經驗。??SＮＭP是按照簡樸和易于實現的原則設計的。?

3、CMIS／CMIP公共管理信息服務和公共管理信息協議:是在OSI應用層上提供的網絡協議簇，CＭIＳ/CMIＰ提供支持一個完整的網絡管理方案所需要的功能。?

CMIS提供了應用程序使用的CMIP接口,同時還涉及兩個IＳO應用協議:聯系控制服務元素ACＳＥ和遠程操作服務元素ＲOＳE,其中ACＳE在應用程序之間建立和關閉聯系，而ROＳE則解決應用之間的請求/響應交互。

?4、ＣＭOＴ公共管理信息服務與協議是在TCP/IP協議上實現的ＣＭIＳ服務，這是一個過渡性的解決方案。CMOT沒有直接使用參考模型中表達層實現,而是規定在表達層中使用此外一個協議,輕量表達協議(LPP),該協議提供了目前最普通的兩種傳輸層協議TCP與UDP的接口。

5、ＬMＭP局域網個人管理協議,在ＩEＥE８02邏輯鏈路控制LＬＣ上的公共管理信息服務與協議ＣＭＯL，它不依賴于任何特定的網絡層協議進行網絡傳輸。??三、簡樸網絡管理協議ＳＮMP?

1、SNMP概述:??設計時圍繞四個概念和目的進行設計：保持管理代理的軟件成本盡也許低;最大限度地保持遠程管理的功能，以便充足運用因特網資源;體系結構必須有擴充的余地;保持ＳNMＰ獨立性，不依賴于具體的計算機、網關和網絡傳輸協議。?

提供了四類管理操作：ｇet操作用來提取特定的網絡管理信息；geｔ-ｎext操作通過遍歷活動來提供強大的管理信息提取能力；set操作用來對管理信息進行控制;tｒap用來報告重要的事件。??2、ＳＮＭＰ管理控制框架與實現

?ＳNMP定義了管理進程和管理代理之間的關系，這個關系稱為共同體。位于網絡管理工作站和各網絡元素上運用SNMP互相通信對網絡進行管理的軟件統稱為ＳNＭP應用實體。

SNMP的應用實體對intｅrnet管理信息庫MIB中的管理對象進行操作。ＳＮMP的報文總是源自每個應用實體,報文中涉及訪應用實體所在的共同的名字。這種報文稱為＂有身份標志的報文",共同體名字是在管理進程和管理代理之間互換管理信息報文時使用。

?管理信息報文涉及：共同體名，數據。

?SNMＰ的實現方式:SＮＭP在其MＩＢ中采用了樹狀命名方法對每個管理對象實例命名。SNＭP中各種管理信息大多以表格形式存在,一個表格相應一個對象類,每個元素相應于該類的一個對象實例。

３、SNMP協議是一個異步的請求/響應協議,是一個非面向連接的協議，是一個對稱的協議，沒有主從關系。SNＭP的設計是基于無連接的用戶數據報協議UDP。四種基本協議的交互過程,都是請求管理進程給管理代理,響應則都是由管理代理發給管理進程的。只有Trap是無響應的,有管理代理單向發給管理進程。??SNMP協議實體之間的協議數據單元PＤU只有兩種不同的結構和模式,一個PDU格式在大部分操作中使用，而另一個則在Trap操作中作為tｒap的協議數據單元。

?4、Ｔrap操作,是一種捕獲事件并報告的操作，事實上幾乎所有網絡管理系統和管理協議都具有這種機制。

四、網絡管理系統

1、HP-OｐeｎView

?不能解決由于某一網絡對象故障而誤導致的其他對象的故障，不具有理解所有網絡對象在網絡中互相關系的能力。也不能把服務的故障與設備的故障區分開來。性能的輪與狀態的輪詢是截然分開的,這樣導致一個網絡對象響應性能輪詢失敗但不觸發一個報警。?

2、IBM-ＮetＶiｅｗ

?不能對故障事件進行歸并，它不能找出相關故障卡片的內在關系，因此對一個失效設備,即使是一個重要的路由器，將導致大量的故障卡片和一系列類似的告警。不具有在掌握整個網絡結構情況下管理分散對象的能力。性能輪詢與狀態輪詢也是徹底分開的，這將導致故障響應的延遲。

?3、SＵN-SunNetMａnaｇｅr

是第一個重要的基于UNIＸ的網絡管理系統。?

4、ＣabletronSPECTＲUM

?是一個可擴展的、智能的網絡管理系統，它使用了面向對象的方法和客戶服務器體系結構。SＰECTRUM構筑在一個人工智能的引擎之上，IＭT(InducｔｉveＭodelingＴechnoｌoｇｙ）。它是所有四種網絡管理軟件中惟一具有解決網絡對象相關性能力的系統。??SPEＣTRUM服務器提供了兩種類型的輪詢:自動輪詢和手動輪詢。

?SPECTＲUM提供了多種形式的告警手段，涉及彈出窗口，發出報警聲響等。?

SPＥＣTＲＵM能自動的發現拓撲結構,但相對比較慢。?

五、網絡平常管理和維護??１、VLAＮ的管理?

2、WAN接入的管理?

3、網絡故障診斷和排除??物理故障:?

邏輯故障:

?路由器故障:?

主機故障：

4、網絡管理工具??連通性測試程序Piｎg：

路由跟蹤程序Traｃeｒoutｅ：在Wiｎｄｏｗs中是ｔｒaｃｅrｔ?

MIB變量瀏覽器:重要內容:1、局域網互連??２、網絡互連原理?

３、無連接網絡互連、各種路由選擇算法和協議

４、核心路由器體系結構體系??一、局域網互連?

1、網絡互連的目的：是將多個網絡互相連接,以實現在更大范圍內的信息互換資源共享和協同工作。?

2、局域網互連方式:從距離上分有本地局域網互連和遠程局域網互連即ＬAN－LAＮ和LＡＮ-ＷAＮ-LAN；從互連所采用的介質區分，有同軸細纜或粗纜(coaxiａlcabｌe)、各類非屏蔽雙絞線UTP(UnｓhｉｅｌdedTwistedｐair)和屏蔽雙絞線SＴP(shieｌｄedＴwiｓteｄpaｉｒ)、單模或多模光纖等(opticalfibｅr）連接方式。?

３、局域網互連劃分：

?物理層(中繼器ｒeｐｅater）：使用中繼器在不同電纜段之間復制位信號，工作在ＯＳI物理層，互連同類型網段,只起到放大信號的作用,驅動長距離通信。又稱集線器(hub)，可分為普通型，可疊加組合型和高檔智能型。

?網橋（bridge):使用網橋在局域網之間存儲、轉發幀,工作在ＯSI數據鏈路層,更準確地說應當位于ＭAC層，它互連兼容地址的局域網，運用同MAC和MＡＣ地址,以及存儲、轉發功能進行局域網間的信息互換。從應用上分本地網橋和遠程網橋、主干網橋;從幀轉發功能分派分透明網橋和源地址途徑選擇網橋。透明網橋TB的基本功能有學習及過濾、幀轉發和分枝樹算法功能。?

(1）網橋作信息幀轉發時要運用地址轉發表，按表中學習到的MAＣ地址和網橋相應關系,將包準確轉發到該網橋。但如網橋未學習到MAＣ地址時,便將幀發向除接受口之外的所有接口，這在網橋剛啟動工作時會導致大量的廣播幀，稱為廣播風暴(ｂroadcasｔstorm)。

(2)擴展樹協議是為了克服由于網橋不具網絡層功能，在常任冗余途徑的網橋中出現信息回路導致網橋癱瘓的問題。IEE8０2．１定義了分枝樹協議STP,將整個網絡路由定義為無回路的樹形結構。

?(3)源地址途徑選擇網橋SRB重要用于標記環IEEE８０2.5標記環局域網。互連不同型局域網時使用封裝網橋(ｅｎcaｐｓｕlationｂrｉdｇinｇ)和轉換橋接方式(tranｓｌａｔｉoｎbｒidginｇ）和源地址途徑選擇透明網橋SRT。

路由器(rｏutｅｒ):使用路由器在不同網絡間存儲、轉發分組,工作在ＯSI網絡層，它需要解決網絡層的數據分組或網絡地址，決定數據分組的轉發,它要決定網橋中信息通信的完整路由。?

網關(ｇateway):使用協議轉換器提供高層接口，工作在應用層。

二、網絡互連原理

1、網絡互連的規定：在網絡之間提供一條鏈路,至少需要一條物理和鏈路控制的鏈路;在不同網絡的進程間提供途徑選擇和傳遞數據;提供各用戶使用網絡的記錄和保持狀態信息;在提供上述服務時不需要修改原有各網絡的網絡結構。??2、網絡互連的功能分類：基本功能,指的是網絡互連必須的功能，即使對那些類型相同的網絡互連也應當具有的功能,它涉及不同網絡之間傳送尋址和途徑選擇等。擴展功能，指的是當各種互連的網絡提供不同的服務級別時所需要的功能,涉及協議轉換、分組的分段組合和重定序及差錯檢測。3、面向連接運營模式:連到同一子網上的兩個DTE之間可建立一條邏輯的網絡連接。4、無連接運營模式:相應于分組互換網的數據報機制，而面向連接運營相應于虛電路機制。

?三、無連接網絡互連

1、ＩP提供無連接或數據報服務優點:無連接互連網絡設備靈活性較好，對子網規定低;無連接網絡能提供強健的服務;無連接網絡服務對于無連接傳輸層協議最為合用。?

２、無連接網絡互連設計重要問題:路由、數據報生命周期,分段和重組，糾錯和流控。

重組:一種重組的方法是在目的站進行重組，其缺陷是提成小段的數據通過網絡膽識的效率。另一種重組方法是由中間的路由器進行重組,則也會下列問題:路由器需要大容量緩沖器，還也許發生緩沖器不夠用的情況;一個數據報的所有分段必須使用同一路由,限制了動態路由的使用。

?ＩP數據報報頭中,包含下列內容:數據單元標記（ID）,數據長度,偏移(oｆfｓet）,尚有標記(moｒｅfｌａg)。路由器中IP分段的功能:offset＝0是整個數據的開始,ｍoｒe-flag=0是整個數據報的結束。??(1)建立兩個新的數據報,它們的頭部就是原先數據報的頭報

?(2)以64位為邊界，把原先的數據報提成長度差不多的兩部分，把它們分別放入新的數據報中。第一部分必須是6４位的倍數。

(3)把第一個新數據報的長度設立為所插入的數據，把ｍore-flａg設立成1，ｏｆｆset不變。

(４)把第二個新數據報的長度設立為所插入的數據，把ｍoｒe-flag設立成0,ofｆset設立成第一部分數據長度除以８。?

生命周期:一種是對來到的第一段設立一個生命周期，假如在生命周期內沒有完畢重級工作，那么就撤消已經到達的分段;第二種是運用數據報的生命周期,它包含在每一段的頭部中,若重組工作沒有在數據報生命周期內完畢,則撤消接受到的分段。??四、IP數據報的路由選擇

1、直接傳送和間接傳送??直接傳送將一個數據報從一臺機器通過單個物理網絡直接傳送至目的站點，這是所有internet通信的基礎。只有當兩臺機器連在同一底層物理傳輸系統時，才干采用直接傳送方式。否則只能用間接傳送方式,發送方將數據發送給一個路由器再傳送。??2、ＩP路由選擇表??路由表存儲各個目的站點以及如何到達目的站點的信息。為了盡也許使用最少的信息進行路由選擇，采用信息隱蔽原則。?

路由表的選擇表的大小僅取決于互聯網中網絡的數量，與連到網上的主機的數量無關。IP路由選擇軟件僅需要維護有關目的網絡地址的信息,而與主機地址的信息無關。

?保持路由表盡也許小的技術是把多個表項統一到一個默認的情況。??3、ICＭP差錯與控制報文協議?

(１)為了使互聯網中的路由器報告差錯或提供有關意外的情況信息，在TCP/IP中設計了一個特殊用的報文機制,稱iｎｔｅrnet控制報文協議ICMP，它是IP的一部分。?

（２）IＣMP機制:ＩCMP報文放在一個ＩP數據報的數據部分中通過互聯網。允許路由器向其他路由器或主機發送差錯或控制報文。ICMP是一個差錯報告機制，它為發生差錯的路由器提供了向初始源站點報告差錯的方法。

（３)IＣMP報文格式:由三個字段組成，即一個8位整數的報文類型字段用來標記報文、一個8位代碼字段提供有關報文類型的進一步信息、以及一個16位校驗和字段。??（４)ＩCMP報文類型:回送請求/應答報文(回送請求/應答、時間戳請求/應答、地址請求／應答),差錯報告（涉及主機不可達報告、超時報告、參數犯錯報告),控制報文(源克制報文、重定向報文)。

?五、路由選擇算法

?1、距離矢量路由選擇V-Ｄ,

2、鏈路狀態路由選擇或稱最短途徑優先算法(SPF)，規定每個參與的路由器都要具有完全的拓撲結構,只需要完畢兩項任務:負責檢測所有相鄰路由器狀態;周期地向其他路由器傳遞鏈路狀態信息。其優點:每個路由器用相同的原始狀態數據獨立地計算路由，并不依賴于中間的機器。??六、內部網關協議

在一個自治系統內的兩個路由器彼此互為內部路由器，使用內部網關協議（IＧP)，自治系統之間的使用外部網關協議(EGＰ)來通信。?

１、路由選擇信息協議(ＲIP）采用V－Ｄ算法，距離矢量路由選擇算法，提成積極和被動兩類,只有路由器工作在積極模式,主機必須使用被動模式。工作在積極模式的路由器進行監聽，并根據收到的告知更新其路由。以積極方式運營RIP的路由器每間隔3０秒廣播一次報文。??RIP對點到點連接和廣播型網絡兩者都提供支持。RIP分組是通過UDP和IＰ傳輸的。RIP進程使用UDＰ的５20端口來進行發送和接受。

?RIP報文格式：報頭32位,命令字為1表達請求部分的或所有的路由選擇信息。命令字為２表達響應，包含發送方路由選擇表內的網絡地址和距離值一對信息。?

２、IＧRP，運營頻率比較低,每９０秒更新;路由更新的每一項都包含一個四種度量制式，即延遲、帶寬、可靠性、負載；采用保守式防止環路的保護措施、選擇多途徑路由以及解決默認路由器的手段等。??3、開放最短途徑優先協議OSPF

優點:計算迅速，無環路的收斂性;支持精確的度量值，也能支持多重度量制式;支持通往一個目的站點的多重途徑;能區分不同的外部路由。是基于鏈路狀態路由選擇算法SPF。?

OSPF報文報頭格式：２4個8位組報頭，共有五種類型的報文類型,類型1)hｅllo;2)拓撲結構的數據庫描述；3)鏈路狀態請求;4)鏈路狀態更新;5)鏈路狀態確認。?

Helｌo報文的兩種功能:檢測鏈路狀態是否可用;在廣播型與非廣播型網絡上選擇指定網絡路由器及后備。?

七、外部網關協議??1、兩個互換路由選擇信息的路由器若分別屬于兩個自治系統，則稱為外部鄰站。外部鄰站使用的向其他自治系統告知可達的信息的協議稱為外部網關協議(EGP）

?２、ＥGP有三種功能:它支持鄰站獵取機制，允許一個路由器請求另一個路由器批準互換可達信息;路由器連續地測試其鄰站是否有響應；EGP鄰站周期地傳送路由更新報文來互換網絡可達的信息。??3、ＥGP定義了9種報文類型，它允許兩種測試鄰站是否存活的方式：一種是積極方式，路由器周期地發送hｅｌlo報文和輪詢報文，并等待鄰站響應。另一種被動方式,路由器依靠鄰站向其發送hellｏ報文和輪詢報文，并運用可達報文的狀態字段信息來判斷鄰站是否知道其存活。城域網是在５Km－100Kｍ的地理覆蓋范圍內,以高的傳輸速率充足支持數據、聲音和圖像綜合業務傳輸的一種通信結構網絡。它以光纖為重要傳輸介質，其傳輸率為100Ｍｂps或更高。IEEE8０2.6分布式隊列雙總線DQDB為城域網的標準?重要內容：1、公共互換電話網PSＴN??2、綜合業務數字網ＩSＤN

3、分組互換網X.2５

４、幀中繼網FＲ??5、異步轉移模式網ＡTM?

6、數字數據網DDＮ

7、移動通信及衛星通信網ＧＳM??８、線纜調制解調器ＣaｂlｅModem?

９、數字用戶線XDSL??一、電話網?

公用互換電話網PＳＴＮ是向公眾提供電話通信服務的一種通信網。電話通信網重要提供電話通信服務,同時還可提供非話音的數據通信服務。

?1、計算機互換分機CBX?

采用數字電話:可以建立綜合聲音/數據工作站?

分布式結構:具有分布智能的多級或網關結構的多路形狀的可靠性提高。??非阻塞結構：所有電話和設備都有專門的指定端口。

?CＢX的結構:核心是某種數字開關網絡。開關負責對數字信號流進行操作和互換，數字開關網絡由某些空分和時分互換級組成。接到形狀的是一級接口單元，通過接口單元訪問外界或外界可訪問接口單元。通常接口單元完畢同步時分多路復用功能,以適應多個輸入線。另一方面,為了達成全雙工操作,單元要用兩條線與開關相連。?

二、點到點通信??1、點到點的通信重要合用于兩種情況:(1)是成千上萬組織有各種局域網,每個局域網具有多眾多主機和一些聯網設備以及連接至外部的路由器,通過點到點的租線和遠地路由器相連;(2)是成千上萬用戶在家里使用調制解調器和撥號電話線連接到ｉnterｎeｔ，這是點到點連接的最重要應用。

2、串行IＰ協議(SLIP)??SLＩP是1984年制定的,協議文本描述為RＦC1055。?

工作過程:當工作站發送IP分組時,在幀的末尾帶一個專門的標志字節（OＸCO)，假如在IＰ分組中具有同樣的標志字節，則加兩個填充字節（ＯＸDB、OＸDC)于后,假如IＰ分組中具有OXDB，則加同樣的填充字節。?

存在的問題:(1)這種協議無任何檢錯和糾錯功能；（2)只支持IP分組;（3)每一方需要知道另一方面的IＰ地址，且在設立是不能動態賦給IＰ地址;（4）不提供任何的身份驗證；(5)未被接受為iｎterneｔ標準。??３、點對點協議(PPP)??PPP由ｉnternｅtIＥTF成立了一個組來制定的數據鏈路，描述于RＦC1661。??重要功能:成幀的方法可清楚地區分幀的結束和下一幀起始,幀格式還解決差錯檢測；鏈路控制協議LCP用于啟動線路、測試、任選功能的協商以及關閉連接;網絡層任選功能的協商方法獨立于使用的網絡層協議，因此可合用于不同的網絡控制協議NＣＰ。?

工作過程:(1）PC通過調制解調器呼喊ISP路由器,然后路由器一邊的調制解調器響應電話呼喊，建立一個物理連接。(2)接著ＰC對路由器發送一系列的LCP分組,用這些分組以及其響應來選擇所用的PPP參數。(３)當雙方協商一致后，ＰC發送一系列的NCP分組以配置網絡層(NCP的功能就是動態分派IＰ地址）PC就成為一個interｎet主機,可以發送和接受IP分組。(4)當PC用戶完畢發送、接受功能后不需要再聯網時NCP用來斷開網絡層連接，并且釋放ＩP地址，然后LCP斷開鏈路層連接。(５)最后ＰＣ告知調制解調器斷開電話，釋放物理層連接。

三、綜合業務數字網IＳDN??綜合業務數字網ISDＮ是由國際電報電話征詢委員會CCITT和各國標準化組織開發的一組標準,這些標準將決定用戶設備到全局網絡的聯接，使之能方便地用數字形式解決聲音、數據和圖像通信。ISDＮ提供了各種服務訪問,提供開放的標準接口，提供端到端的數字連接,用戶通過公共通道、端到端的信令實現靈活的智能控制。?

1、ＩSＤN的系統結構?

NT１:網絡終端設備,不僅起到了接插板的作用,它還涉及網絡管理、測試、維護和性能監視等。是一個物理層設備。?

ＮＴ2:是計算機的互換分機ＣBＸ,NＴ1和NT２連接，并對各種得以和、終端以及其他設備提供真正的接口。

?CCITT為IＳＤN定義了四個參考點:R、S、T、Ｕ。U參考點連接ＩＳDＮ互換系統和NT1,目前采用兩線的銅的雙絞線;T參考點是NT１上提供應用戶的連接器；Ｓ參考點是ISＤN和CBＸ和ISDN終端的接口;Ｒ參考點是連接終端適配器和非ＩSDN終端;R參考點使用很多不同的接口。

2、IＳDＮ的功能:線路互換、分組互換、公共通道信令、網絡操作和管理數據庫以及信息解決和存儲功能。

?（1)線路互換支持實時通信和大量信息傳輸，速率為64Kbps,ＩSＤN環境中,線路互換連接由公共通道信令技術控制。

（２)分組互換支持像交互數據應用那樣的猝發通信特性，速率為64Kbｐs。

(3）公共通信令用于建立、管理和釋放線路互換連接，CＣＩTT公共通信令系統CCSSNO．7用來互換信令。

3、ISDＮ定義互換設備和用戶設備之間的兩種數字位通道接口?

基本速率接口BRI:2B+D，兩個傳輸聲音和數據的６4Kｂps的B通道和一個傳輸控制信號和數據16Kbｐs分組互換數據通道Ｄ通道。144Ｋbps

?一次群速率接口PＲI:2３B+D或者30B+D,在北美日本,歐洲國家使用

ISDＮ公用了公共通信信令技術,以實現用戶網絡訪問和信息互換。允許使用公共通道信令通路來控制多個線路互換連接。

?4、ISDN協議參考模型

IＳＤN參考模型與ISO／OＳＩ參考區別在于多通道訪問接口結構以及公共通道信令,它涉及了多種通信模式和能力:在公共通道信令控制下的線路互換連接,在B通道和D通道上的分組互換通信,用戶和網絡設備之間的信令、用戶之間的端到端的信令,在公共信令控制下同時實現多種模式的通信。??用于線路互換的ISDN網絡結構筆協議,它涉及B通道和D通道。B通道透明地傳送用戶信息，用戶可用任何協議實現端到端通信;Ｄ通道在用戶和網絡間互換控制信息,用于呼喊建立、拆除和訪問網絡設備。D通道上用戶與ISDN間的接口由三層組成:物理層、數據鏈路層LAP－D、CCSSNO.7。

?用于低速分組互換的ISDＮ網絡結構和及協議。它使用D通道,本地用戶接口只需要執行物理層功能,作用如同x.25的ＤＣE。

?四、分組互換網

?1、分組互換網工作原理?

公共分組互換網PSDN已經成為廣域網中的重要傳輸系統。分組互換是一種在距離相隔較遠的工作站點之間進行大容量數據傳輸的有效方法，它結合線路互換和報文互換的優點,將信息提成較小的分組進行存儲、轉發,動態分派線路的帶寬。??優點:犯錯少、線路運用率高。工作方式:數據報，虛電路。

重要特性:由于建立和拆除虛電路的呼喊控制分組和數據分組在同一通道和同一虛電路上傳輸,其結果是占用了通道頻帶;虛電路的復用發生在第三層;第二層和第三層都需要流控和差錯控制機制。??2、公共數據網(CCITTX．2５網)??Ｘ.25事實上涉及相關的一組協議:X.3、X.２8、Ｘ.29、X.75協議等。??Ｘ．2５描述了將一個分組終端連接到一個分組網絡上所需要做的工作。通過虛電路它能負責維護一個通過單一物理連接的多用戶會話,每個用戶會話被分派一個邏輯信道。提供了高優先級類型和正常優先級類型。

?X.25網絡與計算機之間的接口一般是通過專用設備或網關、路由器來解決的。?

X．3描述了一個Ｘ.2５PAD的功能和控制參數；X.2８定義了一臺終端與X.2５PＡD之間的交互作用，為每個用戶提供了一個常規的X.２５網絡連接；X.２９定義了一臺主機和其相連的PＡD之間的交互作用。?

X．25互連方案:(1)采用路由器和網關同時聯接ｘ．25和本地局域網,這種方案適合規模較大、多種協議共存的網絡;(2)采用一臺微機作為路由器,安裝相應的ｘ.２5網卡和路由軟件，使用于中小規模且協議比較小的網絡;(3)使用ＰAＤ機,這種方案只適合ｘ.２５協議的環境,與遠程其他協議的網絡互連受到限制。

３、Ｘ.２5分層協議?

X.25分層:物理層、數據鏈路層、分組層，這三層相應于ＯＳＩ模型的最底下三層。??（1）物理層:涉及站點與把這個站邊到分組互換網的鏈路之間的新產品。其標準X.21。

?(2)鏈路層:所用的標準LAＰ－B,是HDLC的一個子集。

?(3)分組層:提供外部虛電路服務。

?三層之間的關系:用戶數據被送到Ｘ.25第三層,在第三層加上具有控制信息的報頭，從而組成了一個分組?？刂菩畔⒂糜趨f議的操作。整個X．25分組然后送到LAＰ-B實體，ＬAP－B在此分組的前后各加上控制信息組成一個ＬＡＰ－B幀,在幀中加入控制信息也是為了協議的操作。?

4、虛電路服務?

X.25的分組層提供虛電路服務，數據以分組形式通過外部虛電路傳輸。虛電路有兩類型:呼喊虛電路，是通過呼喊建立和呼喊清除等過程動態地建立起來的虛電路;永久虛電路則是固定的虛電路。

?虛電路實現的過程:

5、X．25的分組格式

用戶數據被提成多個塊，每個塊加上24位或32位的報頭形成數據分組。??報頭具有１2位的虛電路號，其中４位號為組號,8位為通道號。

?P(S)、P(R）用于流控和差錯控制。M位和Ｄ位可用于流控和差錯控制也可用于X.25完全分組序列。?

五、幀中繼網

?幀中繼網是由X.2５分組互換技術演進而來的,由于光纖通信的誤碼率低,為了提高網絡速率，活動了很多在X.25分組互換中的糾錯功能，使幀中繼的性能優于Ｘ．25分組互換的性能。?

1、幀中繼的重要特點:中速到高速的數據接口;標準速率為DS1,即Ｔ1速率1．５４4Ｍbps;可用于專用和公共網；僅傳輸數據；使用可變長度分組。

?2、幀中繼網與X.25網比較

?載送呼喊控制信令的邏輯連接和用戶數據是分開的。因此中間節點毋需為每個連接的呼喊控制保持狀態表;邏輯連接的復用和互換發生在第二層,而不是在第三層,從而減少了解決的層次;結點到結點之間毋需流控和差錯控制，由高層負責端到端的流控和差錯控制。

?3、幀中繼的優點:精簡了通信解決。協議對用戶-網絡接口以及網絡內部解決的功能減少了，從而得到了低延遲和高吞吐率的性能。?

4、幀中繼在H信道上的應用：大信息量的交互數據應用;大的文獻傳送；低數據率的多路復用;字符交互通信。

５、幀中繼的協議結構

協議有兩個分開的操作平臺:(1）控制平臺(C）,它涉及邏輯連接的建立和終止。(２)平臺是用戶平臺（U),負責用戶之間的數據傳輸。

用戶與網絡之間的是控制平臺,而端到端之間則是用戶平臺協議。

控制平臺:幀模式傳輸服務的控制平臺類似于分組互換服務中用于公共通道信號的控制平臺。其中,控制信號使用一個單獨的邏輯通道。鏈路層用LAP-Ｄ(Q.921)提供可靠的數據鏈路控制服務,在Ｄ通道的用戶(TE)和網絡(NＴ)之間進行流控和差錯控制。數據鏈路服務用于互換Q.9３3控制信號報文。

用戶平臺：用戶之間傳輸信息的用戶平臺協議是LAＰ－F由Ｑ.9２2(是LAP-DQ.921的增強版本)定義。

6、LAP-Ｄ的核心功能?

(1)幀的定界，組合和透明性;(2)幀的多路復用／多路分解；(3)對帆進行檢查以保證在零位手稿前以及零位剔除后,幀的長度是字節的整數倍;（4)對幀進行檢查以保證其長度符合規定；(５)檢測傳輸差錯;（6）沖突控制功能(ＬAP-Ｆ新增功能）。?

7、幀中繼的呼喊控制??呼喊控制方案選擇:?

(1)互換訪問(ＳｗiｔcｈｅdAｃcess)在用戶連接到互換網絡,而本地互換不提供幀解決功能,在這種情況下,必須提供從用戶的終端設備到網絡幀解決器的互換訪問。?

(2）集成訪問(InteｒgraｄedＡcceｓs）用戶接到幀中繼網絡或者互換網絡，其中的本地互換提供幀解決功能，由于用戶能對幀解決器進行直接邏輯訪問。?

幀中繼和X.25同樣支持在一個鏈路上運用多個連接,稱為數據鏈路連接，每個連接都有一個惟一的數據鏈路連接標記DＬCI。其數據傳輸涉及的環節如下：(1)在兩個端點之間建立邏輯連接，并指定惟一的數據鏈路標記DLCI的值；(２）互換數據幀;（3）釋放邏輯連接。

?呼喊控制邏輯連接的ＤLCＩ=０，其幀的信息域中包具有呼喊控制報文,至少需要四種報文類型:建立(ｓetuｐ)、連接(cｏnnecｔ)、釋放(reｌeasｅ)、和釋放完畢(rｅleasecｏｍpleｔe)。?

８、用戶數據傳輸

?LAP-Ｆ幀格式類似于LAP-D和LAＰ－B,但有一個明顯的差別,即沒有控制域。即意味著:（1）只有一種幀的類型,即用戶數據幀,沒有控制幀。(2)不也許用iｎbａnd信號。邏輯連接只能用于傳輸用戶數據。(3)不也許進行流控和差錯控制，由于沒有順序號。??六、ATM網?

1、ATM協議參考模型

用戶面:提供用戶信息的傳輸。控制面：負責呼喊控制和連接控制功能。管理面:負責網絡維護和完畢運營功能。面管理:執行與整個系統有關的管理功能。層管理：解決的運營和維護功能。

物理層:重要是傳輸信息；AＴM層:重要完畢互換、路由及多路復用;ATＭ適配層ＡＡＬ:重要負責與較高層信息的匹配。?

(１)、物理層:由兩個子層組成,物理介質子層和傳輸匯聚子層。??物理介質子層支持純粹與介質有關的位功能。傳輸匯聚子層把ATM信元流轉換成在物理介質上傳輸的位，如把幀匹配成在傳輸系統中所用的格式（ＳDH、PDH、基于信元的格式)、信元定界等功能。

(２)、ATM層:基本功能是負責生成信元，它不管載體的內容,且與服務無關。重要功能有多路復用、多路復用分解、信元ＶＰI、VCI的轉換，信元頭的產生和去除，流控。

(3)、ＡTＭ適配層:由兩個子層組成，分段和重組子層(ＳＡR),把高一層的信息單位分段成ＡTM信元,或者把A