自考網絡工程串講筆記（04749）前言:在各位同學的共同努力下,網絡工程復習資料順利出來,在這里自考樂園俱樂部代表廣大自考同胞感謝各位同學的努力，是你們:徐寶杰、吳宇斌、吳丘峰、趙王王、俞浩同學犧牲自己休息時間,才干如此順利完畢復習資料書寫工作。此資料只作課本參考復習之用。網絡工程課程老師:邱桂華概述1.２計算機網絡介紹１.2.1計算機網絡定義計算機網絡是:(1)計算機技術與通信技術相結合的產物(２)由自主計算機互連起來的集合體將地理位置不同的具有獨立功能的多臺計算機及其外部設備，通過??通信線路連接起來，在網絡操作系統、網絡管理軟件及網絡通信協??議的管理和協調下,實現資源共享和信息傳遞的計算機系統（目的)。計算機網絡涉及硬件和軟件：硬件：通信設備為主機轉發數據,接口設備是網絡和計算機之間的接口。主機（端系統）:個人計算機、大型計算機、客戶機(ｃlｉｅnt）或工作站(worksｔatｉｏｎ)、 ??服務器（sｅver)通信設備(中間系統）：互換機和路由器接口設備：網卡、調制解調器傳輸介質：雙絞線、同軸電纜、光釬、無線電和衛星鏈路。軟件:通信協議和應用軟件通信協議（計算機之間的信息傳輸規則）：TCP/ＩP等應用軟件（網絡上的各種應用)：WＷW、E－mail、FTP等1.2.２計算機網絡拓撲結構1、廣域網拓撲結構：廣域網是將多個子網或多個局域網互接起來的網絡。集線器、中繼器、互換機將多個設備連接起來形成局域網拓撲結構。廣域網特點:點到點、存儲轉發、工作在底層(1）網狀拓撲結構優點：①系統可靠性高,比較容易擴展②可以改善通信途徑上的信息流量分派③可以在多條途徑中選擇最佳途徑，以減小傳輸延遲④網絡可組建成各種形狀,采用多種通信信道,多種傳輸速率,適合廣域網復雜的 網絡環境缺陷：①線路和結點成本高②結構復雜,難于管理和維護，每一結點都與多點進行連接，必須采用路由算法和?流量控制方法環形拓撲結構采用光纖做主干線。可靠性好，不存在單點失效問題,可以靈活地建立各種鏈路備份策略２、局部網絡拓撲結構局域網特點:廣播式,工作再物理層、數據鏈路層、網際層(1）星形拓撲結構星形拓撲結構以中央結點為中心,用單獨的線路使中央結點與其他站點相連，各站點間的通信都要通過中央結點。優點:①增長站點容易②成本低③容易擬定網絡故障點④通道分離⑤網絡結點增刪方便、快捷缺陷：可靠性差環形拓撲結構環形拓撲結構中計算機互相連接而形成一個環。優點：①控制簡樸②不存在數據沖突③信道運用率高缺陷:①任意結點故障都會導致網絡癱瘓②故障診斷也較困難③容量有限④難以增長新的站點⑤對結點規定高總線形拓撲結構總線形拓撲結構就是將各個結點(如服務器、工作站等）用一根總線（如同軸纜、雙絞線、光纖等)連接起來。優點：①可靠性高②成本低③擴充性好缺陷:①安全性低②監控比較困難③通信效率低下④增長結點困難樹形拓撲結構樹形拓撲結構中,計算機都是既連接它的父結點(除根結點外)又連接它的子結點（除葉結點外），連接關系呈樹狀。優點：①結構連接簡樸②維護方便③合用于匯集信息的應用規定缺陷:①資源共享能力較差②可靠性不高1.2．3計算機網絡體系結構計算機網絡體系結構是指網絡的層次結構和協議。協議(Protocol）是計算機網絡協議的簡稱，是指網絡中計算機與計算機之間、網絡設備與網絡設備之間、計算機與網絡設備之間進行信息互換的規則。計算機網絡技術體系結構分層的好處是:①各層之間是獨立的，每層只關注實現本層的功能即可；②靈活性好,每一層次可以靈活地采用不同的方法來實現本層的功能,增長和刪減功能也較為容易；③結構上可以分隔開，層次之間的互相影響小,減少了實現和維護的難度,同時可以促進標準化的工作。分層注意:若層數太少,就會使每一層的協議太復雜;若層數太多，又會在描述和綜合各層功能的系統工程任務時碰到較多的困難。兩大網絡體系結構:OSI/ＲM七層理論模型 ? ?ＴＣP/IP概念層(TCＰ/ＩP也已經成為目前最重????? ??? ? 要的互聯網絡協議)應用層應用層表達層會話層傳輸層傳輸層網絡層網際層數據鏈路層網絡接口層物理層TＣＰ/ＩP網絡模型TCP：有連接，可靠性高；IP：無連接，不可靠,速度快。網絡接口層定義了ＩＰ數據報載擁有不同數據鏈路層和物理層網絡中的傳輸方法,使得ＴＣP/IP網絡模型具有很強的兼容性與適應性。應用于：以太網、令牌網、Ｘ．25網、幀中繼網、AＴM網、HDLC(高級數據控制)和 PＰP（廣域網,點到點鏈接）網際層是TＣＰ／IP網絡模型最核心的層次,負責網絡間的路由選擇、流量控制和阻塞控制;核心協議是ＩＰ,是一種無連接的網絡層協議,只能提供“盡力而為”的服務，傳送的數據單位是報文分組或數據包。傳輸層在網絡中源主機與目的主機之間建立端到端的連接；傳輸層涉及傳輸控制協議(ＴCP）和用戶數據報協議(ＵDP),TCP是一種可靠的面向連接的協議，UDP是一種不可靠的無連接協議。應用層網絡終端協議(Telneｔ）、文獻傳輸協議(FTＰ)、簡樸郵件傳輸協議（SMTP)、簡樸網絡管理協議（SNMＰ）、超文本傳輸協議(HＴTP)等。1.3計算機網絡技術1.3.1計算機網絡技術簡介計算機網絡組網技術傳輸技術有線傳輸技術：ADSL、E1、DＤN、SDH等無線傳輸技術：蜂窩移動通信、微波通信、衛星通信和小范圍的WLＡN、紅外、藍牙、?UWB等。無線技術比較UWB藍牙８０2.11gHoｍeRＦ速度１Gｂps<1Mbps<54Mbｐｓ1－2Mｂps距離<10m<10m10~１00M＜50m合用范圍家庭或辦公家庭或辦公電腦電話移動設備承載技術重要介紹各種可以承載ＩP報文的網絡。局域網:以太網、ＷLAＮ；廣域網:HDLC、ＰＰP等網絡。IＰ路由技術①域內采用網關協議,例如RIP(路由信息協議）、OＳPF（開放最短途徑協議)；域間采用外部網關協議，常用BGP（邊界網關協議）②一個網絡內采用了多個路由協議時，為了實現路由協議之間的互通,就需要路由重發布技術③為了可以將更多的私有網絡實現與因特網的互連，需要采用NＡT（網絡地址轉換)技術。計算機網絡管理技術網絡安全網絡安全負責網絡中信息傳遞和互換的安全性；網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶爾的或者惡意的因素而遭受到破壞、更改、泄露，系統連接、可靠、正常地運營,網絡服務不中斷。㈠VPN技術運用接入服務器、路由器以及VＰN專用設備,在共用的廣域網上實現專用網的技術。①重疊模型VPN需要用戶自己建立端結點之間的ＶＰN鏈路，重要涉及:GBE、L2TP、IPSeｃ等眾多技?術。②對等模型VPN由網絡運營商在主干網上完畢VPN通道的建立,重要涉及MPＬSVPN技術。㈡防火墻將內部網和公眾訪問網(如因特網）分開的方法。網絡管理和維護①網絡管理有5大功能：故障管理、配置管理、性能管理、安全管理和計費管理。②網絡管理重要方式：SＮMＰ(簡樸網絡管理協議)和RMOＮ標準的網絡管理③ＲMON標準：為提高傳送管理報文的有效性、減少網管控制臺系統的負載、滿足網?絡管理員監控網段性能的需求。④HSRP（熱備份路由協議):一臺路由器出現了不能工作的情況,它的所有功能必須 被另一臺備份路由器完全接管。⑤VRRP（虛擬路由器冗余協議）：網絡容錯協議計算機網絡應用技術①網絡服務分為基礎網絡服務和網絡應用服務②主機之間的協作方式經歷了文獻服務器模式、C／Ｓ模式、B/S模式和對等網模式1．3.2計算機網絡常用設備簡介網絡設備:①物理層:中繼器、集線器②數據鏈路層:網橋、以太網互換機③網絡層:路由器、三層以太網互換機局域網：網絡設備：以太網中繼器、集線器、網橋和以太網互換機以太網中繼器和集線器工作在物理層，以太網中繼器只能對傳輸距離進行延長, 擴展能力較弱;集線器可以方便地擴展網絡規模，但是由于沖突域的限制，規模?不能太大。以太網中繼器擴大局域網的覆蓋范圍，允許使用四個中繼器,從５00ｍ擴展到２5００m。中繼器網段網段500m500m50m50m中繼器網段網段500m500m50m50m種類接口距離統分１0Bａse-2BNC1８5-９25m細纜10Baｓe-5AＵＩ５０0－250０m粗纜10Baｓｅ-TRＪ45１00－500m粗纜1０Base-FSC/ＳＴ／FC5００-2500m粗纜集線器被稱為“多端口中繼器”網橋工作在數據鏈路層（二層網絡設備),可以隔離沖突域以太網互換機實質上就是一個多端口的網橋，互換機不隔絕廣播，易產生廣播風暴，這使得互換機 的擴展網絡的能力也受到了一定的限制局部多網絡互連局部區域的多個局域網之間可以采用三層互換機和路由器進行互連。三層互換機在數據傳輸的開始階段工作在以太網的物理層、數據鏈路層以及網路錯哦恩。當進入流互換階段，則只工作在以太網的物理層和數據鏈路層。三層互換機只能用于局部以太網的互連，可以實現網絡間的高速信息互換。廣域網不僅包含了路由器設備，還包含了遠距離的傳輸設備。路由器工作在不同網絡的物理層、數據鏈路層以及網絡層;傳輸設備只工作在物理層、涉及中繼器、光傳輸設備等。中繼器通過對數據信號的重新發送或者轉發,來擴大網絡傳輸的距離。中繼器重要有無線信?號中繼器、雙絞線中繼器、視頻中繼器、隔離防雷中繼器、光纖中繼器、串口中繼器、?網橋中繼器等。光傳輸設備光傳輸設備有光端機、光Modem、光纖收發器、光互換機、PDH(準同步數字系列)、?SDH（數字同步系列)等類型的設備。路由器隔絕廣播，劃分廣播域。網絡工程串講筆記傳輸技術2.1ADSL2.1．１ＡDSL簡介XDSL非對稱①ＡDSL：非對稱數字用戶線路上行:5１2ｋbps－１Ｍbpｓ下行:1Ｍbps－8ＭｂpsFＤM（頻分多路復用技術）帶寬<=4Khz②VDSL:甚高比特率數字用戶線路上行:1．5－2.5Mｂps下行：１3-5２Mｂpｓ易掉線對稱①HＤＳL:高速率數字用戶線路(a)１.5４4Mbps或2.048Mbｐs②ＳDＳＬ：對稱數字用戶線路(上下行最高傳輸速率相同)（a)１.5４4Ｍbps或2.０48Mbｐs系統結構：ADSLModem數模轉換ATU-RATU-R將數字信號與語音信號分離分離器分離器固定電話網數字用戶線接入復用設備PSTNDSLAM負責用戶認證和計費管理IP/ATM接入網InternetBRAS寬帶接入服務ADSLModem數模轉換ATU-RATU-R將數字信號與語音信號分離分離器分離器固定電話網數字用戶線接入復用設備PSTNDSLAM負責用戶認證和計費管理IP/ATM接入網InternetBRAS寬帶接入服務AＤＳＬ除了使用頻帶劃分來承載不同業務，還是用了ATM、ＰPPoE等相關技術來實現Internet的接入訪問。用戶側的ADSLＭodｅm與局端的DSLAM之間就需要建立ATM的PＶＣ虛電路來傳送上層的IP報文,ＰＰPoE技術則用來擬定用戶與ＢRAS之間點到點關系。2．1.2AＤSL的工作原理（運用FDM頻分多路復用）使用QAM、CAＰ、DＭT等調制技術,實現上行640kbit/s、下行８Mbit/s的數據傳輸速率QAM（正交幅度調制）：是通過互相正交的兩個載波的幅度變化來進行信號調制。通? ?? 過PSK(移相鍵控法）ASＫ(移幅鍵控法）常用QAM-16(每 ? ? 個碼元傳輸４位）、QＡM-64,R=Blog2NCAP(無載波幅相調制）： 被看作是QAＭ的數字調制方式。ＤMT（離散多音頻調制)：一種劃分子信道，在每個子信道上運用ＱＡM調制的技術。子信道的噪聲比較大,在該信道上可以調制的比特數就越多。假如某個子信道信噪比 很差，則棄之不用。（信噪比=10lｏg２10(s／ｎ))P34kHzP34kHz25kHz160kHz共256個子信道1.1MHZf32個子信道共256個子信道4kHz1.1MHzfPDMT多音頻調制技術室建立在QAM的思想基礎之上的。假如將傳輸信道頻譜劃分為若干頻段。在各個頻段上均采用上面提到的QAM方法，然后再將各自輸出疊加在一起,經傳輸信道傳送,所得到的波形即為DMＴ碼(元）。2.1.3ADＳLMｏdem的分類ADSLＭｏdem:橋接式(RFＣ1438):只工作在第二層，即對二層包頭信息進行解決固定IP地址接入方式RＦC1483Bridge橋接原理,用戶PC配置固定的公網IP。(b)RFＣ２5１6——PＰＰoverEtｈｅrｎｅｔ接入方式①需安裝PPPｏE客戶端軟件（撥號軟件)，實現ＰPＰ的動態接入。②建立多條PVC虛通道（永久性的虛電路）與DＳＬAＭ和BRAS配合,靈活選擇業?務。③PＰPoE通過PAＰ（密碼認證協議)或ＣHAＰ（點到點的詢問握手協議)來保證接入?的安全。路由式采用PＰPoE方式:PPPoE連接的建立和釋放均由AＤSLModｅm負責,ADSＬModem?的WＡＮ接口（廣域網接口)獲得BRAＳ動態分派的公網IＰ地址，ＬＡN接口(局 ?域網接口）配置私有ＩP地址采用PＰPｏA(ATM)方式RＦC14８3Bｒidｇｅｄ+默認路由方式RＦC148３Routeｄ+RFC１5７7+默認路由方式ADSＬMｏdem不同工作模式下的配置參數ＰPPoEPPＰoＡRFC14８3橋接RFC1483路由RFC1577專線需配置參數PPPoE用戶名PＰPoＡ用戶名VPI/VCIVPI/ＶCIVPI/VCIPPＰoE密碼PPPoA密碼—WANIPWAＮIPVPＩ／VCIVPI/VCI—子網掩碼子網掩碼安全協議安全協議—默認網關默認網關———DNSDNS注：VPI/ＶCI：虛擬通道標記/虛擬通信標記2.2E1／Ｔ1數字中繼Ｅ１/T1重要使用同軸電纜進行傳輸，E1是脈沖編碼調制PＣM30/32傳輸系統的簡稱，其傳輸速率為2．０48Mｂiｔ/s,我國采用和歐洲同樣的標準，在北美國家和日本使用T1的傳輸系統,它的傳輸速率為１.544Ｍbit/sE1的數據幀由32時隙組成,時隙的編號為ＴＳ0，TＳ1,.．.,TS3１,每個時隙傳送8bｉt數據,一幀共２5６biｔ（8*3２＝２56）。Ｅ１最開始重要傳輸語音信號,必須每秒固定傳送800０幀,因此Ｅ1的數據率就是256＊8０0０=2.04８Mｂit/s，每個時隙的速率為６4kbｉt/s（2.04８／32=64）。２.２．1E1的幀結構(老教材）Ｅ1幀的結構8位 ???8位 ??8位 8位C1……C３0作用：信令作用：同步|-----－－------－--－－->數據<-－-------－-－－------| ? ?信令位 ??同步位幀結構花125ms。①E1共多少位:30*8+8+8=2５6位②E1速率:25６biｔ／１25ms=2.04８③Ｅ1編碼效率：(3０*8／３0*8+８+8)*１００%=9４%④開銷率:1-９4%=６%

T1幀的結構8位 ????? ? 8位 ?1位C1……C24||||7位-------－-－－----＞用于傳輸數據<－---－----－－-----－--7位第193位幀編號位1位－-----------－-->傳輸數字信號＜-－---－-－-－---－-－---１位幀結構花１2５mｓ①有效數據位:７*２4=168位②速率：(7+1)＊24+1/１25ms=1.544Mbｉt/s③編碼效率:［(7*24)/１93]*1００％＝8７％④開銷率:1-８７%=13%(現教材)E1分為成幀和不成幀兩種方式，成幀時TS０時時隙用于傳輸幀同步數據，TS16用于傳送信令，TS１~ＴS15，TS17~ＴS31共3０個時隙用于傳輸有效數據。不成幀的Ｅ1中，所有32個時隙都可用于傳輸有效數據。2.2．2Ｅ1的應用傳輸語言(Ｅ1成幀方式）ISDN(綜合業務數字網）①寬帶業務B-ISDＮ②窄帶業務N-ISDN1－64kbit/sIＳDN接口①基本速率接口BRI:2B(傳輸數據與語音：64kｂps)+D（信令：16kbps)②一次基群速率接口（a）E1：３0Ｂ（6４kｂps)+D（16kbps）2.048Ｍbpｓ（b）T１：２3B(6４kbｐｓ）+D（16kbps)1.5４4Mbｐs傳輸數據成幀的E1連接數據分組互換設備時，還可以作為CE1接口（信道化E１），將TS1~TS31時隙任意提成若干組，支持ＰPP、幀中繼和Ｘ.2５等數據鏈路層協議,支持IP和ＩPX等網絡協議。不成幀的E1連接數據分組互換設備時,其邏輯特性與同步串口相同,可以支持PPP、幀中繼和X.2５等數據鏈路層協議，支持IP和IPX等網絡協議。２．3DDNDDN是數字數據網，其單位是結點,結點之間通過光纖連接，構成網狀拓撲結構,用戶的終端設備通過數據單元（DTＵ）與DDN結點相連,ＤDN為用戶提供高質量的數據傳輸通道。ＤDN的特點：傳輸質量高、時延小、通信速率可以自主變化。路由自動迂回，保證鏈路高可用率。全透明傳輸，可支持數據、圖像、話音等多媒體業務。方便地組建虛擬網（VＰN)建立自己的網管中心。DDN的主干傳輸為光纖傳輸，高速安全。采用點對點或點對多點的專用數據線路。中國的DDＮ技術體制將DDＮ結點提成3類(1）2兆結點：2兆結點是DDN網絡的骨干結點。接入結點：接入結點重要為DDＮ各類業務提供接入功能。用戶結點:用戶結點重要為DDN用戶入網提供接口，并且進行必要的協議轉換。DDＮ一般有兩種承載IP的方式。一種是DDN提供透明通信，裝HDＬＣ、ＰＰＰ等串行通信協議，提供X.25、Frame－reｌaｙ等協議的接口,路由器可以在這些協議之上承載ＩP。2.4SDH131０nm，1550nm,損耗比較低,當波長是131０ｎm時,光纖損耗是０.３~0．４ｄｂ/ｋｍ,當波長是15５0nm波長時，光纖損耗是０．2~0.3db/ｋｍ。光纖由3個部分組成，最中心是最高折射率玻璃芯(芯徑為10μm、50μm或6２.5μｍ），中間部分為低折射率硅玻璃包層（直徑為12５μｍ）,最外層為加強用的樹脂涂覆層。２.4.１SDH標準SDＨ(同步數字系列）是由CＣITT（現ITＵ-T，電話電報征詢委員會)指定的傳輸體系標準,它得益于ＳOＮEＴ(同步光網絡）這套傳送標準合用于光釬、微波、衛星傳送的通用技術體制，ＳONET重要用于北美國家和日本,SDH重要用于中國和歐洲國家。SDH標準定義了一套可進行同步信息傳輸、復用、分插和交叉連接的標準化數字信息的結構等級,實現了數字傳輸體質上的世界性標準，同時還可容納各種新的數字業務信號(如AＴＭ信元、FＤDＩ信號等)。全世界統一的網絡結點接口(ＮNＩ），并對個網絡單元的光接口有嚴格的規范規定,從而使得任何網絡單元在光路上得以互通,實現了橫向兼容性。SDＨ具有統一的速率標準,SDH上的數據是以同步傳送模塊(ＳTM-Ｎ),N值為0、1、４、1６、６4、2５6，STＭ-1的速率為１55.52０Ｍｂit/ｓPＤH(準同步數字系列)：SDＨ技術具有良好的網絡自愈功能。2.4.2SDH的組成設備終端復用器（TM）：分插復用器(ADM)，再生中繼器（REG)和數字交叉連接（DXＣ)REG:一種是純光的ＲEG，第二種是用于脈沖再生整形的電RGＥ。DEX（等ATM同用）:重要完畢STM-N信號的交叉連接功能。

２.4．3SDＨ的幀結構SDH的幀結構是塊狀幀，以字節為單位，由縱向９字節和橫向270*N字節組成，１25μｍ每幀，幀速率為8０00ｆ/s,幀結構中安排了豐富的開銷比特（不傳數據)。RSＯHPOHSＴＭ-N凈負荷(含POH)AUPTＲＭSOH131345……99*N261*N270*N注：STM-1信息凈荷速率:=26１*9＊８＊80０0=1５0.3３６MbｐsSTＭ-1速率：=2７０*9*80０0*8=155.520MbpsSTM-１信息凈荷速率共2349字節段開銷字節：8*9＝72SＴM-1一塊幀共用(９+261)*9=243０字節ＳＤH的幀涉及段開銷段開銷是傳輸ＳTM幀時為保證信息正常靈活傳送所必需的附加字節。９*8=72字節段開銷由再生段開銷（RＳOH，3個開銷)和復用段開銷（MSOH,５個開銷，對ＳTM-16?任意通道進行監控）。信息凈荷用于通道性能監視,管理和控制的通道開銷（POH)，SＴＭ－1的凈荷共有261*9=2349 字節單元管理指針單元管理指針(AUPTＲ）用來指示凈荷的第一字節在ＳＴM－N幀內的準確位置。SDH的開銷字段分為ＲSＯH、MSOH和ＰOH3種。SＤH的虛容器分為低階VC和高階VCＳDH的復用原理在SＤH網絡邊界處要通過映射把支路信號適配裝入響應的VＣ。映射可以使信號與響應的VC容器同步，映射后的VＣ成為能獨立進行傳送、復用和交叉連接的實體。對于高次群信號，通過異步映射可裝入響應的VC中。異步映射不規定信號與網絡同步，只需通過各級TU指針和AU指針的解決就能將PDH信號裝入SDH中。對于基群信號可采用異步映射和同步映射兩種方式,同步映射規定信號先通過一個一幀長度的滑動緩沖器，使信號和網絡同步。同步映射的好處是信號在VC凈負荷中的位置是固定的,不需要TＵ指針,減少了解決過程，提高了傳輸效率,代價是假如時延和滑動損傷。SＤH采用同步復用方式和靈活的復用映射結構,使低階信號和高階信號的復用／解復用一次到尾，簡化了設備的解決過程，省去了大量的有關電路單元、跳線電纜和點接口數量，增強了運營和維護能力。2.5蜂窩移動通信技術第一代模擬移動通信技術，第二代數字移動通信技術,第三代移動通信技術，第四代是TＤ-LTE(中國自主研發)第一代:以模擬“大哥大”為代表第二代:GＳM和TS-95CDＭA第三代:3G是ＣDＭA2０23（中國電信)、ＷＣDＭA(中國聯通）和ＴD-ＳCDMＡ（中國移動)GSM（全球移動通信系統)起源于歐洲的移動通信技術標準，屬于第二代通信技術,ＧＳM可以提供語音服務和SMS短信服務。GPRS(通用分組無線用戶）是在GSM基礎上發展起來的分組互換的數據承載和傳輸業務。、第3章承載技術3．1承載技術簡介最早的承載網絡重要是電話網,通過調制解調器傳輸數據。在廣域網中大量采用光纖上使用PPP承載IP。承載網絡不管它采用何種網絡體系,在拓撲結構上可以提成3大類，即點到點，廣播網絡，多點非廣播多路訪問網絡。1、點到點網絡點到點網絡是最簡樸的網絡拓撲,它事實上就是一根通信電纜連接兩臺網絡設備構成的網絡。2、廣播網絡廣播網絡也是一種簡樸的網絡,雖然比點到點網絡復雜一點，即任何一個設備發送報文在網絡中的其他設備都能收到。廣播網絡中的報文發送方式有兩種：廣播和單播。廣播是網絡自身的特點,即一個設備發送報文大家都能收到;單播是靠地址機制和接受設備實現的。3、非廣播多路訪問網絡非廣播多路訪問網絡簡稱非廣播網絡，事實上,除廣播網絡和點到點網絡之外的其他網絡都可以被當作是NBMA網絡的。３.2Ciｓco公司的HDLC封裝Ｃiｓco的HDLC封裝事實上只是運用HＤLC的幀格式封裝IP報文，由于沒有使用鏈路狀態幀，因此無法知道鏈路的通斷狀態。鏈路管理接口的工作原理是定期向對方發送LMI報文，報文中具有序號,假如接受方在規定的時間內收到LMＩ報文并且序號是連續增長的，就說明鏈路是好的。3.3以太網3．3.1以太網的工作原理以太網開始使用通州電纜作為網絡媒體，數據傳輸速率達成10Ｍｂps。IEＥE8０2.３規范是基于最初的以太網技術于１９80年制定的。。工作原理:以太網采用CSMA/CD媒體訪問控制機制,任何工作站都可以在任何時間向網絡發送數據報文。在發送數據之前,工作站一方面需要偵聽網絡是否空閑，假如網絡上沒有任何數據傳送,工作站就會把所要發送的信息投放到到網絡當中;否則,工作站只能等待網絡下一次出現空閑時再進行數據的發送。以太網的幀結構大小:最小64字節,最大１5１８字節。３.３.2互換式以太網互換式以太網采用逆用學習，擴散和轉發的策略，實現不同的網絡連接。所謂擴散算法，就是把每個到來的、目的地不明的幀輸出到所有端口，并在地址表中記錄該幀的源地址與端口的相應關系。而逆向學習法，則是一旦知道目的地的端口,發往該處的幀就只發到該端口上,不再廣播。為了解決動態拓撲問題，要對地址表中的地址項進行“老化”操作，即當收到幀時要對源地址相應對表項的生命計時器進行刷新，然后開始遞減。當生命計時器減到0,就說明相應的主機長時間沒有發送幀了,也許已經關機或者網絡已中斷，就將該地址從地址表中刪除。網絡中由于互連也許會出現環路,環路將導致廣播風暴，因此網絡中不能有環路存在,但是由于需要或者無法控制的因素，網絡的物理結構中通常會出現環路，因此在透明網橋中使用生成樹算法解決這個問題。生成樹通過阻塞某個端口，切斷網絡中的環路，使網絡在邏輯上是一棵樹。這個時候互換機不能轉發報文,只能收發生成樹的算法發送的BPDU報文，通過互換BPDU報文，生成樹算法找到網絡中的環路，并計算出需要阻塞的端口以打破環路,這個過程被稱為生成樹的收斂。生成樹算法的收斂時間大約為１5s。3.３.3虛擬局域網虛擬局域網是一種將局域網設備從邏輯上劃提成一個個網段，從而實現虛擬工作組的數據互換技術。劃分VLＡＮ所依據的標準是多種多樣的，重要有按端口、MAC地址、協議、用戶、IP地址劃分策略。VLAN互換機的鏈路分為接入鏈路、中繼鏈路、混合鏈路3中。接入鏈路就是將普通以太網設備接入VＬAＮ互換機，中繼鏈路通常的用途就是連接兩個ＶLＡN互換機，混合鏈路可以同時承載標記數據和非標記數據。3.4PＰPPPP是為點對點之間的數據傳輸提供一種封裝方法，可以支持IP、IPＸ和AppｌeTalk多種網絡層協議,替代本來非標準的鏈路層協議。它即支持異步的物理線路傳輸,也支持同步的HDLC和SONET的物理線路傳輸,支持鏈路的配置，質量檢測和網絡層協議的復用。3.4.１PPP的封裝幀格式PPP工作在數據鏈路層,它的數據封裝幀格式提供幀定界、檢錯和協議標記,使得不同網絡層協議可以同時在同一鏈路上傳輸。PPＰ可以工作在不同的物理層，同步線路,異步線路和以太網等，這樣就形成了PPP的多種封裝幀格式。1、同步線路上的PＰＰ封裝PPＰ工作在同步線路時，使用HDＬC的ＵI幀。HＤLＣ的UI幀的IＮFＯ部分擴展“協議字段”涉及Flag、Aｄｄress、Control、Ｐrotocol、Inｆｏrmａtion、FＣS幾個部分。Flag:標志字段,表達幀的開始或者結束,由二進制序列0111１110構成，即0x７E，Ａｄdreｓs：地址字段,由二進制序列111１111１構成,是標準的廣播地址，Controｌ:控制字段,由二進制序列000００011構成，規定用戶數據傳輸采用UＩ無編號幀,地址字段和控制字段所填內容為固定值,通過PPＰ的LCP協商，可以節省2字節的傳輸。由于沒有字段來傳送數據幀的序號,PPP默認情況下不提供基于序號和應答機制的可靠傳輸。Proｔocoｌ：協議字段,用來辨認PＰP幀的Ｉnfoｒmａtｉon字段所封裝的協議。Ｐｒotocol協議取值有０xc021、０xc0２3、０xc2２３、0xc8021、0xc００21五種。０xｃ02１:信息域中承載的是LCP的數據報文,０xc02３:信息域中承載的是PAP的認證報文，0xc２２3:信息域中承載的是CHＡP的認證報文,０xc80２1：信息域中承載的是NCＰ的數據報文,0xc0021:信息域中承載的是ＩP數據報文。Iｎformａｔioｎ:包含Proｔocol字段中指定的協議數據報。FＣS:幀校驗序列字段，用于?PPP數據幀傳輸的對的性進行CRＣ檢測。因PPP是面向字符型的，所以UＩ幀的長度是整數字節。在同步線路上，PPP直接使用HDLＣ的ＵI幀，也使用ＨDLC的透明傳輸方式“0比特插入和刪除算法”。2、異步上的PPＰ封裝PPP在異步線路上傳輸時使用的幀與同步傳輸是同樣的,差別在于成幀和透明傳輸使用的方法。由于起止式異步傳輸是面向字符的,ＰPP在異步線路上不能采用HDLC所使用面向比特的首位標志成幀算法,即使用0ｘ7Ｅ作為幀的首位標志，也不能使用“0比特插入和刪除算法”實現透明傳輸。3、以太網上的ＰPP封裝隨著xDSL技術、寬帶接入技術的廣泛應用,PPP又被廣泛用于以太網上,這就是PPPｏE。ＰPPoE在兩個階段以太網幀的類型域的值是不同的，在發展階段，以太網的類型域填充為０x8863,在會話階段，以太網的類型與填充為０x8８64。PPPｏE數據報文最開始的４位為版本域，緊接在版本域后的4位是類型域。3.4.2PPＰ的子層為了適應多重物理和網絡層,PPＰ劃分了相應的LＣＰ子層和NCP子層以完畢不同功能。PPP一方面通過發送LCＰ報文來配置和測試鏈路，建立起LCP連接。鏈路層激活后，需要的話可以進行認證,最后要通過發送相應的NCP報文建立相應的網絡子層連接。LＣPLCP位于物理層之上,負責設備之間鏈路的創建、維護和終止。NCPＮCP重要完畢點對點通信設備之間網絡子層所需參數的配置，功能是網絡層地址協商。3.4.3認證協議ＰPP此外一種常用到的功能是接入認證，即通過某種機制保證許可用戶才干進入網絡,常用的有PAP認證和CHAP認證兩種。PAP認證PAＰ是一種兩次握手的認證協議，它采用明文方式在網絡上傳輸用戶名和口令。CHＡP認證CHＡP是一種三次握手認證協議，呵在網絡上傳輸用戶名,但不傳輸口令。３.4.４PPP鏈路的建立為了在線路上傳送PPP數據報文，一方面需要建立PＰP的點到點鏈路。典型的PＰＰ鏈路建立過程,可以分為3個階段:鏈路建立階段、認證階段和網絡層協商階段。鏈路建立階段認證階段網絡層協商階段3.５PＰＰｏＥ與ＰPP鏈路的建立方式不同。PPPoE鏈路的建立要通過PＰPｏE的發展階段和PＰPoＥ的會話階段。發展階段是PC主機在廣播式的網絡上搜尋寬帶接入服務器BＲAＳ,并在多個也許的寬帶接入服務器中擬定其一，建立點到點關系的過程。會話階段則是ＰPP的ＬCP、認證、NCP的會話過程。與ＰPP不同的是,ＰPPoE的數據報文被封裝成以太網的幀進行傳送。目前社區寬帶LAＮ接入、ＡDＳL接入等技術都使用ＰPPoＥ技術。發現階段用戶主機一方面積極發送廣播包PAＤI尋找接入服務器，接入服務器收到PADI報文后回應ＰＡDO，主機在回應PADＯ的接入服務器中選擇一個合適的,并發送ＰADR單播的請求報文告知接入服務器,接入服務器收到ＰＡＤR包后開始為用戶發配一個唯一的會話標記符SessｉｏｎＩD，啟動PＰP狀態機以準備開始PＰＰ會話,并發送一個攜帶該會話標記符SessionIＤ的會話確認包PADS。2、會話階段３.6ＷLAN3.６.1WLAN簡介無線局域網可以提供更好的解決方案，WＬAN運用電磁波在空中收發數據,數據傳輸速率現在已經可以達成354Mbpｓ,且無需線纜介質,是非常有效的用戶接入方式。WＬAN的協議構成，IEEE的802.１１工作組制定了無限局域網的媒體訪問控制層和物理層規范。工作頻段是IＳＭ2．４ＧＨｚ頻段，支持的數據傳輸速率是１Mｂps和2Mｂpｓ。無線射頻傳輸方法采用跳頻擴頻和直接序列擴頻,采用載波偵聽多路訪問/沖突避免方式進行信道共享控制。IEＥE802．１1a擴充了IEEE502.１1標準的物理層，規定該層使用ISM5GHz的頻段,該標準采用正交頻分復用調制技術。3.6.2ＷLAN組網結構在IＥEE8０2.11標準中，規定了兩種無線局域網設備：接入點和站點。AＰ通常作為網橋設備,帶有一個LＡN接口和一個連接WＬAN的射頻收發信機，而STA事實上是一個無線網絡接口設備NIC,用于連接主機和AP。在IEEE8０２．１1標準定義了兩種組網結構:獨立基本服務組和擴張服務組。獨立基本服務組IBSS是一種對等網絡形式，所有站點在網絡中通信的地位是平等的。IEEE802.11定義了站點加入IＢSS的過程，稱BＳSIＤ同步。擴張服務組ESS由多個基本服務組構成,每個BSS都有一個無線訪問點AP提供通信服務，不同BSS通過AP之間的分布系統互連，站點可以在多個BＳS之間移動。ＥSS網絡站點間的通信關系、工作過程、幀格式與IBSS相比增長了關聯和重新關聯過程以支撐站點在不同AP下的移動，站點間不能直接通信，通過AＰ中繼轉發實現。BＳSIＤ的同步和關聯過程ESＳ網絡依靠網絡名和BSSIＤ來標記,SSIＤ是ESS網絡的名稱，不同網絡的名稱不相同，BSSＩD用于標記EＳS網絡中的AＰ，當站點在移動時,可以通過BＳＳID來感知AP的變化信息。越區切換越區切換只能發生在具有相同ＳSID的ＡＰ之間。第4章IＰ路由4.1路由技術路由協議是通過執行某種路由算法來完畢路由選擇的一個協議，分為靜態路由和動態路由。靜態路由是在路由器中事先設立固定的路由表，優先級最高，優點是簡樸、高效、可靠,合用于規模較小、拓撲結構固定的網絡。動態路由會自動更新自身的路由表，合用于規模大、拓撲結構復雜和易變的網絡缺陷為占用網絡寬帶和ＣＰU資源。根據是否在同一個自治域內部使用可將動態路由協議分為內部網關協議(IＧＰ）和外部網關協議(EGＰ)自治域是指一個具有統一管理機構、統一路由策略的網絡。自治域內部采用的路由協議稱為內部網關協議，常見的有RIP,OＳＰＦ協議等；外部網關協議重要用于多個自治域之間的路由選擇,常見的有ＢＧP。由于網絡中連接大量網絡設備和主機,完全用人工的方法不合理因而設計了一套機制來完畢報文轉發機制有編址、尋址、轉發、路由表4部分組成。4.1．1IP的協議中的地址結構IP地址由二部分組成,一部分為網絡地址，另一部分為主機地址。根據網絡地址和主機地址的不同分派,可將IP地址分為Ａ，B,C,D,E五類網絡號的位數直接決定了可分派的網絡數,主機號的位數決定了可分派的最大主機數。通過IＰ地址的二進制值與子網掩碼的二進制進行“與”運算,可以擬定某個設備的網絡地址和主機號，即子網掩碼中1相應的網絡地址,0相應的是主機地址4.1.2IP網絡中報文的轉發機制TCP/IP網絡中的數據轉發分為二種:一種是直接交付,另一種是間接交付。TCP/IP子網間的數據轉發是由路由器完畢的，路由器從功能上分為路由選擇部分和分組轉發部分。路由選擇部分的任務是根據路由協議構造路由表,并定期更新和維護路由表分組轉發部分由三部分組成:互換機構、輸入端口、輸出端口。路由表在路由表中采用所謂下一跳的方法來表達路由,路由的代價用管理距離和費用來表達：管理距離是根據路由的來源來擬定路由的優先級;花費是在相同的管理距離下進一步區分路由的優先級舉例:C1３.1.０．0/１6[０／１］iｓdiｒeｃtｌycｏnnectｅdｆastetｈerｎet3／0.１*activeC表達是直連路由１３.1.０．０/16表達目的網絡地址［0/1]表達管理距離是0（直連路由)，花費（Cosｔ)是1iｓｄirectlｙconｎectedｆaｓtetherｎeｔ3/0．１表達是直連路由經fａｓtｅｔｈernet3／0.1轉發active表達路由狀態是可用的舉例:OIA133.254．２53.１6/３0［11０／2１７８５]ｖiａ113.1.２5４.２.fasｔeｔherneｔ３/0*actｉveOIA表達ＯSPF的域內的路由１33.254.15３.16/３0表達目的網絡地址viａ11３.1.2５４.2.ｆaｓtethernet3/０表達此路由的下一跳的IＰ地址是１1３．１.254.2其余：D表達為EIGRP用showｉproｕｔe顯示ｌuyoubiaoxｉｎxi2.路由選擇路由器在選路時先按目的網段地址選擇路由,假如有多個路由滿足條件則按路由的精度再進行篩選，假如結果還是不唯一的,則用Cost選擇最佳的路由，最后也許出現多個路由，這時路由器不再選擇。４.2ＲIＰRIP（路由信息協議)是使用最廣泛的距離矢量路由協議4．2.1RIP工作原理ＲＩP是基于V-D算法的內部動態路由協議因此V-D算法又稱為距離矢量算法基本工作原理:每一個路由器維護一張路由表，該路由表以子網中每一個目的為索引，記錄到達該目的的時間估計或距離估計，以及相應的首選輸出線路,所有使用ＲIP的路由器周期性的向外廣播路由刷新報文，在接受到來自各個鄰居路由表的路由表后,根據這些路由表來重新計算自己到達各個網絡的最佳路由RIＰ重要涉及以下方面：一、計算距離矢量距離矢量路由協議運用度量來跟蹤它和所有已知目的地間的距離二、更新路由表RＩP依賴三個計時器來維護路由表：更新路計時器、路由暫休計時器、路由清除計時器三、激活路由更新每30S激活一次四、辨認無效路由每180S辨認一次五、清除無效路由每240S清除一次４.2.２最佳路由的計算１．路由表的建立路由表的初始方式有三種路由器系統啟動時，從外存讀入一個完整的路由表,常駐系統內存以供使用;系統關閉時再將當前系統內存中的路由表寫回外存下次再使用系統啟動時，只構造一個空表,通過執行一個空表，通過執行顯示命令來填充系統啟動時,從與本地路由器直接相連的各網絡地址中，推導出一組初始路由當然初始路由只能訪問相連網上的主機。初始化的V-Ｄ路由表中各路由的距離均為0.路由表的更新與維護路由項重要涉及目的地址、下一條地址和路由開銷4．2.3RＩP的缺陷ＲＩＰ在使用中存在以下缺陷(1）ＲIP的可靠性和安全性無法得到保證（2）RＩP沒有選擇最優途徑（3）ＲIP浪費帶寬(4）RIP會產生環形路由(５）RIP不適合大型網絡RIP規定跳數超過16為不可到達面對以上的缺陷做出了一下4中常用優化措施克制計時（可以減少路由的浮動）水平分割（緩解路由循環）路由毒化(解決路由循環)觸發更新（緩解路由循環）RＩP工作在UＤＰ上端口是5204．2．6ＲIPv１的缺陷（1）過于簡樸，以跳數為依據計算度量值,經常得出非最優路由(2)度量值以16為限，不適合大的網絡（3)安全性差，接受來自任何設備的路由更新（4)不支持無類IP地址和VＬＳＭ(5）收斂緩慢，時間經常大于5分（６)消耗帶寬很大4.２．7RIPv2的改善（1)每個路由條目都攜帶自己的子網掩碼（2）路由選擇更新具有認證功能（3）每個路由條目都攜帶下一跳地址和外部路由標志（４)組播路由更新２2４．0.０.9(5)支持可變長子網掩碼4.２.8路由器設立R1(coｎfｉg)＃roｕｔｅｒriｐ啟動rｉｐ協議R1（ｃｏｎfig-rｏuter)#ｎｅtwｏrk1９2.1６8.10.0通告直連網段R1(cｏｎｆiｇ-roｕｔｅｒ)＃nｅtwork1９2.16８.３0.0通告直連網段4.3ＯSＰFOSPF(開放最短途徑優先）是一種基于鏈路狀態算法的分層次的路由協議，層次中最大的實體是AS(自治系統）。因而把AS劃分為多個區域。OSＰＦ由二個互相關聯的重要部分組成：Ｈｅlｌo協議和“可靠泛洪”機制Heｌlo協議檢測鄰居并維護鄰接關系,可靠泛洪算法可以保證同一個城中的所有OSPF路由器始終具有一致的鏈路狀態數據庫,而該數據庫構成了對域的網絡拓撲和鏈路狀態的映射4.3.1ＯSPＦ基本概念1.鏈路狀態OＳPF使用的鏈路狀態路由與RIP所使用的距離矢量路由的本質區別在于，鏈路狀態路由中,每一個路由器所獲得的信息不僅僅局限于鄰居路由器的路由表信息，而是對整個網絡的結構都有完整的記錄。2.區域OＳPF協議引入“分層路由”的概念，將網絡分割成一個主干連接的一組互相獨立的部分,這些互相獨立的部分被稱為區域，主干的部分稱為主干區域，Ａrea0為主干區域，3.網絡類型根據路由器所連接的物理網絡不同,將OSＰＦ劃分為4種類型:廣播多路訪問型、非廣播多路訪問、點到點型、點到多點型4.路由器類型內部路由器：所有的端口在同一個區域的路由器,維護一個鏈路狀態數據庫主干路由器：具有連接主干區域端口的路由表區域邊界路由器：具有連接多區域端口的路由器，一般作為一個區域的出口自治系統邊界路由器:至少擁有一個連接外部自治區域端口的路由器，負責將非ＯSPF網絡信息傳入OSＰF網絡4.3.2OSPＦ的特點與RIP相比OＳPF具有以下特點（１)可適應大規模網絡(2)路由變化收斂速度快（3）無路由自環（4)支持可變長子網掩碼(５)支持等值路由(6）支持區域劃分和路由分級管理(７)支持驗證(8）支持組播地址發送協議報文224.0.０．54.3.3協議操作(1）建立路由器的鄰接關系（2）選舉ＤR/BDR(3）發現路由器（4)選擇適當的路由器（5）維護路由信息4.3.５OＳPＦ與RIP的區別目前用的較為多的路由協議有RIP和ＯＳＰF他們同屬于內部網關協議，但ＲIＰ基于距離矢量算法而OSPF基于鏈路狀態的最短途徑優先算法，此外ＲＩP是運用UDP作為其傳輸協議而OSPＦ是直接在IP上進行傳輸。在RＩP中，所有的路由都有跳數來度量，到達目的地的路由最大不超過16跳,且只有一條相比之下ＯSＰF是基于鏈路狀態的路由協議,克服了RIＰ的許多缺陷OSPF不再采用跳數的概念，而是根據接口的吞吐率、擁塞狀況、往返時間、可靠性等實際鏈路的負載能力定出路由的代價，同時選擇最短、最優路由并允許保持同一目的地址的多條路由,從而實現負載均衡OSPF支持不同服務類型的不同代價,從而實現不同的QOS的路由服務OSPF路由器不再廣播和互換路由表,而是同步各路由器對網絡狀態的結識，即同步路由器上保存的鏈路狀態數據庫，然后通過Dijkｓtra最短途徑算法計算出到網絡中各目的地址的最優路由。4.4BGP一個AＳ有時也稱為一個路由選擇域，一個AS將分派一個全局唯一的16位號碼，有時把這個號碼叫做自治區域號(ＡＳＮ）BGP（邊界網關協議）使用TCP端標語179建立連接BGP的路由算法較為復雜，其路由開銷不僅要考慮延遲、網絡擁塞等技術因素還要考慮政治、安全、經濟等方面的因素BＧP基本上是屬于距離矢量協議，但又與RIP那樣的距離矢量協議不同，BGP路由器不僅維護到每個目的的開銷量,還記錄下到達該目的的途徑,這樣可以避免途徑中出現循環,容易的解決了距離矢量協議的循環途徑問題。由于存儲途徑的信息BGP有時也稱為距離矢量協議4.4.2BGP術語EBＧP:外部邊界網關協議是用于在不同的自治系統之間互換路由信息的路由協議IＢGP:內部邊界網關協議是用于在同一個自治系統內的BGP對等體之間互換路由信息的路由協議自治系統域間路由：自治系統域間是發生在不同自治系統之間的路由自治系統域內路由:自治系統域內是發生在同一個自治系統內部的路由4.4.4選擇過程階段一:計算從鄰居AS學習到的路由的優先限度。此階段也負責向本地AＳ中BＧP發言人通告具有最高優先限度的路由階段二：決定一個指定的目的地的最佳路由,然后將此路由保存到ＢＧＰ發言人的Loc-RIB中,BＧP發言人使用此階段產生的路由來決定BGＰ路由階段三:BGＰ發言人根據輸出策略引擎中設立的策略決定鄰居AS通告哪些路由的過程。此過程還能執行路由匯聚。4.5路由重發布路由重發布允許不同路由協議之間互換路由信息，出于各種因素在一個網絡中很也許同時運營多種路由協議。不同的路由協議有不同的算法和度量。假如一個路由器從多個路由協議那里學習一個去往目的地的路由,這時就由管理距離決定哪一個路由進入路由表4.５.5管理距離４．6網絡地址轉換網絡地址轉換（NＡT)有稱為ＮAPT即網絡地址端口轉換４．6．1NAT是什么網絡內部的設備分派的都是私有ＩP地址，但支持NAＴ的路由器保存一個或多個在網絡外部有效的iｎtｅｒｎeｔＩP地址。當客戶端將分組發送到網絡外部時NAT將客戶端的內部IP地址轉換為外部地址NＡT的重要用途就是讓網絡可以使用私有IP地址以節省IＰ地址。將不可路由的私有內部地址轉換為可路由的公有地址,在一定限度上增長了安全性隱藏了內部的ｉp地址４．６.2NAT的優點ＮAT讓內部網絡可使用私有地址，以節省注冊的公有地址NAＴ提高了連接到公有網絡的靈活性NAT提供了一致的內部網絡編址方案提供了網絡安全性NAT存在的缺陷Iｎtｅｒnet中的主機看起來直接與NAT設備而不是私有網絡內部的主機通信ＮＡT增長了延遲ＮAＴ隱蔽了端到端的ＩP地址由于NAT改變了IP地址，就失去了追蹤端到端的IＰ流量的能力當出現惡意流量時,NAT也使得故障排除或追蹤更加棘手由于需要從外部網絡進行訪問的主機將有二個IＰ地址一個內部,一個外部地址4．6.３NAT的工作原理運營NAT進程的路由器通常連接了二個網絡,并且將本地非注冊的IP地址轉換為全局已注冊的ＩP地址ＮAＴ解決六環節1、ｉp地址為10．3．4.25的設備發送了一個數據包，并試圖打開到２０6.1０0.２９.1的連接2、當第一個數據包到達NAＴ邊界路由器時,它一方面檢查是否有一個源地址項與NAT表中的地址相匹配３、假如在ＮAT表中找到了一個匹配項就繼續進行環節4。假如沒找到匹配項，NAT路由就在其可用的ＩP地址池中選擇一個地址。這樣就創建了一個簡樸的項，使內部ＩP地址與外部iｐ地址相匹配。4、然后ＮAT邊界路由器用全局ip地址２00.3．4.2５代替內部ｉp地址5，這使得目的主機將返回的數據包發送給２0０.3.４.２5，這是在Inteｒｎｅt已注冊的ip地址５、當Intern上的主機使用ｉp地址206.1０0.29.1對數據包進行應答時，它使用由ＮAT路由器分派的iｐ地址作為目的iｐ地址,這個地址是2０0.３．４.2５六:當ＮAT邊界路由器接受來自206.100.29．1的應答，發現它帶有目的地址為２05的數據包時,ＮAＴ路由器將再次檢查其NＡT表，NＡT表將顯示ｉp地址10.3.4．２5會接受此數據包第5章網絡安全重疊VPN技術VPN，虛擬專用網絡。是將物理位置分布在不用地點的網絡通過共用骨干網,特別是intｅｒｎet,連接而成的邏輯上的虛擬子網。VPN技術采用了鑒別、訪問控制、保密性、完整性等措施,以防止信息被泄露、篡改和復制。基本原理是運用隧道技術，把數據封裝在隧道協議中，運用已有的公網建立專用數據傳輸通道，從而實現點到點的連接。分類重疊VPN(靜態):GREVＰN、L2TＰVPＮ、IＰSecVPＮ對等ＶPN：ＭＰＬSＧRＥVPN的工作原理GRE,通用路由封裝,它規定了在一種協議上封裝并轉發另一種協議的通用方法。工作原理:采用隧道技術,兩個站點的路由器之間通過公網連接彼此的無力接口，并且通過物理接口進行傳輸數據。２個路由器上分別建立一個個虛擬接口，兩個虛擬接口之間建立點對點的虛擬連接,形成一條跨越公網的隧道。工作過程：隧道起點路由查找——GRＥ封裝——承載路由協議轉發——半途轉發——解封裝——隧道終點載荷協議路由查找。Ｌ２TPVPN技術和工作原理第二層隧道協議,和點對點的隧道協議，是典型的鏈路層VPN協議。工作過程：由用戶發起連接請求——該請求被送往ＬＡC——LAC通過RADIＵS服務器的LNＳ——LAC向LNS發送已協商的ＰPP參數——LNＳ再次認證用戶——LNＳ向LAC發送接受信息，建立隧道。IPSecＶＰN技術和功能:IＰＳeｃ即Internet安全協議，是一種由IETF設計端到端的保證IP層通信安全的機制。IPSec不是一個單獨的協議,而是一組協議。它涉及安全協議、密鑰管理協議、安全關聯以及加密、認證算法。涉及一下幾個方面:IＰSeｃ體系結構、封裝安全載荷、驗證頭、加密算法、驗證算法、密鑰管理、解釋域、策略。功能:作為一個隧道協議實現了ＶＰＮ通信、保證數據來源可靠、保證數據完整性、保證數據機密性。IPSｅｃ體系結構:包含AH、ESP、ＩKE這幾個重要協議。AH為ＩP數據包提供3種服務：無連接的數據完整性驗證、數據源身份認證和防重放襲擊。AH頭部中的序列號可以防止重放襲擊。ESＰ除了為IP數據報提供數據報加密和數據流加密。IＫE協議負責密鑰管理,定義了通信實體間進行身份認證、協商加密算法以及生成共享的回話，密鑰的方法。IPSecVPN的兩種工作模式的比較傳輸模式：傳輸模式要保護的內容是IP數據報的載荷,在傳輸模式下ＡH協議不能穿越NＡＴ。隧道模式：隧道模式要保護的內容是整個原始IP數據報,隧道模式為IP協議提供安全保護。對等ＶPN技術是在ＣＥ與PＥ之間互換的專用網絡由信息，然后由ＰE將這些專用網絡由在公共網中傳播。ＢGP/ＭPＬSVPN技術防火墻：是一種廣泛采用的網絡安全措施，它能保護公司的網絡免受外來襲擊，保證只有合法的信息交流才干被保護的網絡。它對進出的網絡數據報文進行分析、檢測和過濾,保證合法的信息流的保護和對非法流量的抵御。防火墻的特性:在外部網和內部網之間傳輸的數據一定要通過防火墻；只有被授權的合法的數據,即防火墻系統中安全策略允許的數據才可以通過防火墻;防火墻自身不受各種襲擊的影響；防火墻的作用:管理進出網絡的訪問；保護網絡中脆弱的服務；內部地址的隱藏；日記與記錄;檢測和報警；防火墻硬件架構技術：Ｉntelｘ８6架構技術、ASIＣ解決技術和網絡解決器技術。防火墻實現技術：包過濾型：簡樸包過濾型防火墻、狀態檢測型防火墻;應用代理型防火墻:應用關系型防火墻、自適應型防火墻;防火墻的規則：規則號過濾域動作域第６章網絡管理與維護6.1SNＭP簡樸網絡管理協議（ＳNＭP)是一種基于tcp/ip的網絡管理協議。SNＭP采用輪詢機制，提供基本的功能集。ＳＮMＰ基本功能涉及監視網絡性能、檢測分析網絡差錯和配置網絡設備等。SNMP適合在小型、快速、低價格的環境中使用，SNMP采用無證實的傳輸層ＵＤＰ。SNMP缺陷:基于ＳNMP的網管系統難以實現大數據量的數據傳輸基于SNMＰ的網管系統缺少身份驗證和加密機制SNＭPv2具有以下特點:（１）支持分布式網絡管理(2)擴展了數據類型(3）可以實現大量數據的同時傳輸,提高了效率和性能(4)豐富了故障解決能力(5）增長了集合解決功能(6）加強了數據定義語言ＳNMPv1的缺陷：SNMＰ只提供簡樸的團隊名認證,安全措施是很不夠的。SＮMＰ不支持管理站之間的通信，而這一點在分布式網絡管理中是很需要的。SＮＭPv2缺陷:沒有達成“商業級別”的安全規定(提供數據源標記、報文完整性認證、防止重放、報文機密性、授權和訪問控制、遠程配置和高層管理能力等)，即缺少安全和高層管理功能。SNＭPv3：具有安全和高層管理功能，目的產生一組必要的文檔，作為下一代SNMP核心功能的單一標準。ＳNMＰv3在SＮMPv2的基礎上增長了安全和管理機制對協議進行了加密。6.1.2基于SNMP的網管系統組成SNMP體系結構由網絡管理站和網管代理組成。管理進程和代理進程之間的交互，通過使用UＤP進行傳送SＮMP報文實現通信。基于SＮMP的網絡管理由3部分組成，即管理信息庫(MIB）、管理信息結構(SＭI)、以及SNMＰ自身6.1.３管理信息庫管理信息庫存在于被管網絡設備，指明了網絡元素可以被管理進程查詢和設立的信息。SNMＰ采用層次結構命名方案來辨認被管理對象，各個被管理對象之間形成一棵樹的關系形狀,類似域名系統。在這樣的樹形關系中,根在最上面，他沒有名字，樹的各個結點表達被管理對象,這些被管理對象可以用從數根結點開始的一條途徑來無二義性進行辨認，因此MIB又稱為對象命名樹６.1．４管理信息結構ＳNMP是應用層協議，規定通信兩端的協議互換各種報文，而底層規定用戶數據都是字節序列,因而需要編碼解碼操作。為了解決這個問題，就需要一個定義從實際的軟件數據結構中抽象出來的數據類型的表達方法,這種方法被稱為抽象記法。而為了描述抽象記法,就需要一種語言。AＳN.1就是用來描述抽象記法的語言,可以應用任何協議層。管理信息結構(SMI)通過一個宏OBJECT-TYPE，規定了管理對象的表達方法6．1.5SNMＰ基本操作及協議數據單元1）getreｑuｅst操作:從代理進程處提取一個或多個參數值2）gｅt－ｎeｘtreｑuｅｓt操作:從代理進程處提取緊跟當前參數值得下一個參數值3）ｓeｔrｅｑuesｔ操作：設立代理進程的一個或多個參數值4）gｅtresponse操作:返回一個或多個參數值，由代理進程發出5)ｔrａp操作：代理進程積極發出報文一般情況下，代理進程采用端口１61接受管理進程發出的gｅt或ｓet報文而管理進程采用端口1６2來接受代理發來的trap報文代理進程收到報文后采用的動作：第一步：依據AＳN．１基本編碼規則解碼，生成用內部數據結構表達的報文，假如在此過程中出現了錯誤導致解碼失敗,則丟棄報文第二步:取出報文中的版本號，假如與本代理進程支持的SNMP版本不一致，則丟棄該報文第三步：取出報文中的共同體名,發出請求的網絡管理設立了報文中的共同體。假如共同體與本設備不符合,則丟棄報文,同時產生一個陷阱報文第四步：從驗證的ASN.1對象中提出協議數據單元,失敗就丟棄報文,對PDU進行解決后,將解決結果產生一個報文，并按照收到報文的源地址將該報文發送出去一個SＮMP報文公有三部分組成:公共SNMP首部、get/sｅｔ首部或trap首部、變量綁定、6.1.6ＳNMＰv2協議ＳNＭPv２支持分布式管理相對SＮＭＰｖ1而言,ＳNＭＰｖ2增長了安全性冒充、信息篡改、報文流的改變、報文內容的竊取６.1.7SNＭPv3協議ＳNMＰv３重要有3個模塊:信息解決和控制模塊、本地解決模塊、用戶安全模塊。6.1.8SNMP協議的應用通常客戶機實現ｍanager的功能服務器完畢aｇent的功能6.2RMONSＮＭP輪詢機制的兩個明顯的弱點：SNMP輪詢機制可擴展性差，在大型網絡中，不斷的輪詢操作會生成大量的網絡管理報文，從而占用大量網絡帶寬,導致網絡擁塞現象ＳNＭP不支持分布式管理放式，而采用集中式管管理方式ＲMＯＮ具有以下功能(1)RMＯN可以通過提供有關通信流的有用信息，用來監視和管理睬話（2)RMＯＮ可以收集記錄信息,從而分析通信行為的短期和長期趨勢（3)ＲMＯＮ可以捕獲數據分組在特定ＬAＮ段上進行數據過濾，并且允許網絡管理控制臺遠程分析所有七層協議上的通信（4)RMOＮ可以記錄得出使用帶寬最多的用戶和系統,并在超過特定閥值時發出的警報６.2．2ＲＭOＮ版本當前RMOＮ版本有二種:ＲMONv１和RＭOＮv２這兩個版本重要區別在于：ＲMONV１目前普遍存在于使用廣泛的網絡硬件當中，為了服務于基本網絡監控，RＭONv1定義了9個MＩB組,RMOＮｖ2是RＭONv1的擴展,專注于MAＣ層以上更高的協議層，重要關注IP層流量和應用層流量,而RＭONv1只用于監控ＭAＣ層及以下的數據包６．2．4RMON工作原理ＲMＯN是一個標準的監控規范,RMON監控系統由二部分組成:探測器和管理站ＲMON可以采用二種方法收集數據：通過專用的RMＯＮ探測器，但是只能看到流經的流量將RＭOＮ代理直接植入網絡設備，使之成為帶有ＲMON探測器功能的網絡設備6.3熱備份VＲRP虛擬路由器冗余協議(VRＲP）是一種網絡容錯協議,可以消除靜態默認路由環境中所存在的缺陷使用VRＲP可以獲得更高的默認途徑的可用性，而無需在每個終端主機上配置動態路由或路由發現協議。在正常情況下,一個備份組中有且只有一臺活動路由器負責與外界通信,可以有一個或多個備份路由器出于待命狀態,組內優先級最高的備份路由器完畢信息轉發為了保證VRRＰ的安全性，提供了二種安全認證機制,一種是明文認證,另一種是IＰ頭認證6.3.2熱備份路由協議HSRＰ假如一臺路由器出現了不能工作的情況，它的功能必須被另一臺備份路由器完全接管，直至出現問題的路由器回復正常。因而出現了熱備份路由協議(HＳＲＰ)ＨSRP的特點：高度可靠性、有效負載均衡、不存在單點故障問題6.３.３HSＲP與VRRP的差別1）在安全性,VRRＰ允許在參與的VRRＰ組的設備之間建立認證機制。VRＲP涉及3種重要認證方式,分別是無認證、簡樸明文密碼和使用ＭD5的強認證。２)VRＲＰ允許虛擬路由器的IP地址采用其中一個物理路由器的IP地址,而HＳＲＰ需要單獨配置ＩP地址作為虛擬路由器對外表現的IP地址，這個地址不能是組中的任何一個成員的接口地址３）VRＲP狀態機比HSRP簡樸。HSRP有初始狀態、學習狀態、監聽狀態、發言狀態、備份狀態、活動狀態工6種狀態和8個事件;而VＲＲP只有初始狀態、主狀態、備份狀態3種狀態和5個事件４）HSRP有３種報文，并且有3種狀態可以發送這3種報文,分別是呼喊報文、告辭報文、和突變報文，而ＶRRP只有一種報文，即廣播報文5）HSRP將報文承載在UDP報文上;而ＶRRP將報文承載在TCP報文上。第７章網絡應用一、C/S模式的優點:1.集中式的管理2.性價比高3.系統可擴展性好4..抗劫難性能力好5.安全性好二、C/Ｓ模式的缺陷：1.管理仍然較為困難2.客戶端的資源浪費３.系統兼容性較差三、B／S模式的工作過程:客戶端通過web瀏覽器向weｂ服務器發出服務請求,web服務器調用業務解決器程序完畢業務邏輯的解決;在業務邏輯解決器中假如要對數據進行操作，則需要向數據庫服務器發起數據解決請求;當業務邏輯解決完畢后，會將解決結果返回給ｗeb服務器,web服務器根據解決結果構建出展示頁面，并將該頁面傳送給web瀏覽器,由web瀏覽器最終展示給用戶。四、B/S結構的優點:系統訪問靈活松耦合性系統的開發高效、簡樸B/S模式的缺陷:展示能力較弱系統的解決性能較低系統的交互能力較差五、對等網絡的作用:可以讓人們通過互