网络工程师
网络工程师... 1
1. 计算机网络... 3
1.1. 网络技术基础... 3
1.1.1. 计算机网络的形成与发展... 3
1.1.2. 计算机网络的基本概念... 7
1.1.3. 分组交换与包交换... 9
1.1.4. 网络体系结构与网络协议... 10
1.1.5. 互联网应用的发展... 11
1.2. 局域网基础... 13
1.2.1. 局域网与城域网的基本概念... 13
1.2.2. 共享以太网... 15
1.2.3. 高速局域网的工作原理... 19
1.2.4. 交换局域网与虚拟局域网... 20
1.2.5. 无线局域网... 21
1.3. Internet基础... 22
1.3.1. Internet的构成... 22
1.3.2. IP协议与IP层服务... 24
1.3.3. IP地址... 24
1.3.4. 数据报... 27
1.3.5. 差错与控制报文... 29
1.3.6. 路由器与路由选择... 32
1.3.7. 组播技术... 39
1.3.8. IPv6协议... 42
1.3.9. TCP与UDP. 46
1.3.10. NAT的基本工作原理... 49
1.4. Internet基本服务... 49
1.4.1. 应用进程通信模型... 49
1.4.2. 域名系统... 52
1.4.3. 远程登陆服务... 55
1.4.4. FTP服务... 55
1.4.5. 电子邮件系统... 57
1.4.6. Web服务... 58
1.5. 新型网络应用... 58
1.5.1. 即时通信系统... 58
1.5.2. 文件共享... 66
1.5.3. IPTV. 70
1.5.4. VoIP. 73
1.5.5. 网络搜索技术... 75
1.5.6. 社交网络... 78
1.6. 网络管理与网络安全... 80
1.6.1. 网络管理... 80
1.6.2. 信息安全技术概述... 84
1.6.3. 网络安全问题与安全策略... 85
1.6.4. 加密技术... 89
1.6.5. 认证技术... 89
1.6.6. 安全技术应用... 89
1.6.7. 入侵检测技术与防火墙... 90
1.6.8. 计算机病毒问题与防护... 90
四级上机考试环境:
windows7
单选题 60题 ,60分;
多选题 20题,40分;
考核要点:
网络系统规化与设计的基础知识;
中小型网络的系统组建;
设备配置调试;
网络系统现场维护与管理的基本技能;
考试时间:
90分钟
分数及课程:
总分100分,由指定的两门专业基础课程组成;
要求:
两门课程分别达到30分及以上;
计算机网络的形成
面先终端的远程联机系统 1950年
远程通信线路组建的广域网
局域网 20c70年代
计算机网络的发展
20c50年代,将彼此独立的计算机技术与通信技术结合
20c60年代,ARPANET与分组交换技术开始
20c70年代中期,网络体系结构与网络协议标准化
20c90年代,互联网Internet,高速通信网络,无线网络,网络安全技术
网络体系结构与协议标准化
OSI参考模型 open system interconnection
TCP/IP协议 1983年1月,ARPANET所有主机均完成向TCP/IP协议的转换
局域网技术 (以太网,令牌总线token bus,令牌环 token ring)
简单网络管理协议 SNMP simple network management protocal
互联网应用与高速网络技术发展
互联网应用
基于文本的应用
web与多媒体应用
20世纪末开始流行的应用
基于Web技术的互联网应用发展
网络安全技术发展
高速网络技术
信息高速公路建设
基于P2P技术的网路应用
宽带城域网的发展
信息高速公路建设的高潮
20实际80年代后期,以计算机网络覆盖的地理范围为依据,提出城域网 metropolitan area network
宽带城域网由 核心交换网 与 接入网组成
可用作接入网的主要有三类:
1. 计算机网络;
2. 电信通信网
3. 广播电视网
三网融合:
数字技术可以将各种信息都变成数字信号来处理,存储与传输。
无线网络的发展
无线局域网
红外线局域网
扩频局域网
窄带微波局域网
无线自组网 Ad hoc
无线传感器网 Wireless Sensor Network
三个要素:
传感器, 感知对象,观察者
无线网状网 Wireless Mesh Network
特点是 无线路由器 Wireless Router构成骨干网
蓝牙技术 1994年开发,1999年1.0版
操作系统的发展
网络操作系统演变的三个阶段
对等结构操作系统
非对等结构操作系统
基于文件服务的操作系统
主流操作系统的发展
Unix
1969年,AT&T退出Unix V1。 1973重写Unix. 1993年,Unix标准化开始萌芽
Linux
1991年,Linux 1.0发布。 适合作为Internet服务平台,是一个编程爱好者的系统
Windows
早期的 Windows 3.1, Windows for Workgroup
Windows NT系列 此时微软才出现真正意义的操作系统。 包括Windows NT Server 与 Windows NT Workstation
Windows 2000,基于 Windows NT Server 4.0开发
2001年,基于Windows2000 开发的Windows XP
2003年,基于 Windows 2000用于服务器的操作系统 Windows Server 2003. 于 2008推出 Windows Sever 2008
2007,推出 windows XP的替代版本 Windows Vista
2009年,推出Windows7
我国互联网的发展
计算机网络的定义
以 能够相互 共享资源的方式 互联起来的 自治计算机系统的集合
其有三个特点:
1.计算机网络的目的是为了 资源共享
2.互联的计算机 是独立的 自治计算机
3.通信必须遵循共同的网络协议
计算机网络的分类
地理位置
局域网
以介质访问控制方法 分为 共享介质局域网 与 交换式局域网
以传输介质类型 分为 有线局域网 与 无线局域网
城域网
设计目的是:
满足几十公里范围内的大量机关,校园,企业的多个局域网的互联需求, 以实现大量用户之间的数据,语音,图形与视频等多种信息传输
广域网
覆盖的地理范围 从 几十公里 到几千公里。 其覆盖一个国家,地区或横跨几个洲,可以形成国际性的远程计算机网络。
用户的计算机可以通过局域网方式接入广域网,
也可以选择 电话交换网,有线电视网,无线网络接入 作为
地区级主干网的城域网,城域网又通过路由器与光纤接入作为 国家级 或者 区域主干网的广域网。
个人区域网Personnel Area Network
10m以内,用于连接数字终端设备
计算机网络的拓扑结构
通信信道类型划分
广播信道拓扑
点对点信道拓扑
星型拓扑
具有一个中心节点
环形拓扑
树型拓扑
网状拓扑
实际存在与使用的广域网结构,基本都采用网状拓扑结构
计算机网络传输特性参数
数据传输速率
定义: 每秒钟传输构成数据的二进制比特数,bit/second,记作 bps
奈奎斯特Nyquist准则
内容: 如果间隔为 Π/ω (ω=2Πf),通过理想 通信信道 传输 窄脉冲 信号,则前后码元不会产生相互窜扰。
因此 ,对于 二进制数据信号的 最大数据传输速率 Rmax 与 通信信道带宽B (B=f,单位Hz)的关系:
Rmax = 2*f (bps);
作用:
具有理想低通 矩形特性的 信道 在无噪声情况下的最高速率 与带宽关系的公式。
香农Shannon定律
内容: 在有随机热噪声的信道上出阿叔数据信号时,数据传输速率 Rmax 与信道带宽B,信号与噪声功率比S/N 关系为:
Rmax = B* log2 (1+S/N)
其中,S/N是 信号与噪声功率比(简称信噪比)
作用:
香农定理给出了一个 有限带宽,有热噪声信道的 最大数据传输速率的极限值。
由于信道的最大传输速率与信道带宽之间存在明确的关系,因此可以用 带宽 代替速率
误码率
注意事项:
不能笼统地说 误码率越低越好
普通的电话线路如果不采取差错控制技术,不能直接满足计算机的通信要求。
线路交换的基本概念
线路建立阶段
主机A 向 主机B 传输数据前,需要在A与B之间建立一条线路连接。
数据传输阶段
A与B 通过通信子网的物理线路连接建立后,A与B 就可以通过该连接 进行 实时,双向地交换数据。
线路释放阶段
主机A 向 主机B 发出 释放请求包,B收到后依次 回溯 释放物理节点链路。
存储转发交换的特点
报文交换(Message Exchanging)
发送数据时不管数据长度,而只是将它当作一个逻辑但愿,按照一定格式打包后组成一个报文。
报文分组交换(Packet Exchanging)
限制数据的最大长度,将一个长报文划分为多个分组发送。
由于分组较短,差错检测,重传花费时间较少,有利于提高使用效率。 因此 分组交换 成为计算机网络中的基本交换技术。
数据报方式与虚电路方式
实际网络应用中,分组交换技术分为 数据报 Datagram,与 虚电路 Virtual Circuit
虚电路建立的是逻辑连接,而不是物理连接。 因此,通信子网的每个节点可以与任何节点建立 多条 虚电路连接。
网络体系结构的概念
网络协议由3个要素组成:
语法,语义,时序。
将网络 层次结构模型 和 各层协议的集合 定义为 网络体系结构。
ISO/OSI参考模型
采用三层抽象:
体系结构 Architecture
服务定义 Service Definition
协议说明 Protocol Specification
OSI参考模型并没有提供一个可以实现的方法,只是描述一些概念,用来协调进程之间 通信标准的制定。 所以,OSI参考模型并不是一个标准,只是一个在制定 标准时 使用的概念性框架。
TCP/IP参考模型与协议
TCP/IP协议出现之后,才出现TCP/IP参考模型(4层)
OSI参考模型与TCP/IP参考模型的比较
两个参考模型都不是完美的。
OSI参考模型的主要缺陷:
将 服务 与 协议定义 相结合,格外复杂,实现起来非常困难。
寻址,差错控制在每层中重复出现,效率低。
TCP/IP参考模型缺陷:
服务,接口,协议的区别不清楚。
主机-网络层 本身 并不是一层。
基于web应用的发展
1989,Tim Berners-Lee 编写了第一个Web浏览器 与服务器软件
1990年9月,第一个基于文本链接的原型系统投入运行。 伊利斯诺大学 开发了第一个图形化浏览器 Mosaic
1995年,很多大学生每天使用 Mosaic 与 Netscape网上冲浪
1996年,IE诞生
搜索引擎技术的发展
成为继电子邮件之后的第二大Web应用
Web服务出现之前,麦吉尔大学研究开发 Archie,用于在分散的FTP资源找寻信息,为现代搜索引擎技术的鼻祖
1993年,Matthew Gray开发Web Wanderer,第一个利用HTML网页间的链接关系检测Web发展规模
1994年,Yahoo!
1994年7月,Michael Mauldin 创建了 Lycos, 成为第一个现代意义上的搜索引擎
1996年,搜狐出现
1997年,北京大学计算机系 提出天网搜索,为我国目前最大的公益性搜索引擎
1998年,Google
2000年,百度
播客技术的应用
基于互联网的数字广播技术之一
传统广播节目的播客
专业播客提供商
个人播客
博客技术的应用
2002年,博客中国网站出现
2004年,博客商业化的一年
2005年,博客大众化的一年
个人博客
博客社区
学术社区
新闻社区
兴趣爱好社区
网络电视的应用
从2004年开始,全球的IPTV市场开始持续发展
P2P技术的应用
P2P网络中实现分布式数据存储时当前研究热点。
即时通信(IM)是一种典型的P2P网络应用。
决定的三个要素
网络拓扑
传输介质
介质访问控制方法
局域网拓扑类型结构
总线型
采介质访问控制方法 采用: 共享介质方式。
总线通常采用 双绞线 或 同轴电缆 作为传输介质。
必须解决多个节点访问总线的介质访问控制 Medium Access Control 问题。
环型
环型拓扑 通常采用 令牌式 的控制方法,环中每个节点 都要执行 发送 与 接收的控制逻辑。
星型
传输介质类型与介质访问控制方法
包括 同轴电缆,双绞线,光缆 与 无线信道。 早期应用最多的是同轴电缆。
中高速局域网 一般 使用双绞线。
远距离传输中使用 光缆;
在有移动结点的局域网 常 采用 无线技术。
共享介质 的工作方式
CSMA/CD 载波监听冲突检测 多路访问 的 总线型局域网
令牌总线 的 总线型局域网
令牌环 的 环型局域网
IEEE 802参考模型
IEEE 802 参考模型的 研究重点 是 解决局部范围内 的计算机组网问题。 它制定了数据链路层 与 物理层的协议。
将 数据链路层 划分为 两个子层:
逻辑链路控制(Logical Link Control,LLC)子层
介质访问控制(Media Access Control,MAC)子层
不同局域网在MAC子层 和 物理层 可以采用不同协议,但在 LLC 子层 必须采用相同协议。
目前几乎所有局域网环境都采用Ethernet协议, 因此局域网是否使用 LLC子层 已经不重要,很多硬件和软件厂商 直接将数据封装在 Ethernet 的 MAC帧中。
IEEE 802.1 体系结构 与 网络互联
IEEE 802.2 逻辑链路控制子层
IEEE 802.3 以太网
IEEE 802.11 无线局域网
IEEE 802.15 近距离个人无线网
IEEE 802.16 宽带无线网络
Ethernet技术的发展
核心技术 是 随机争用型介质访问控制方法。
源于一种无线分组交换网,即 ALOHANET
20c70年代初,对ALOHANET改进,提出冲突检测,载波监听,随即后退延迟算法
1972 开发出实验性局域网; 1973年,命名为 Ethernet
1980年,同步Ethernet物理层,数据链路层规范; 1981年,Ethernet 2.0规范公布
1990年,物理层标准 10 Base-T 推出,Ethernet支持普通双绞线的传输。 Ethernet交换机产品问世。 标志着 交换式局域网出现
1993,10 Base-F推出; 1995 Fast Ethernet推出; 1998年,Gigabit Ethernet推出,Ethernet开始应用于城域网与广域网
Ethernet工作流程
发送流程
载波侦听
根据电平状态判断。
冲突检测
传播延迟 τ = D/V, D 为总线最大长度;
V 是 电磁波在介质中的传播速度。
Ethernet的物理层协议 规定了总线的最大长度; V 是确定的。
如果朝贡两倍的传播延迟 (2τ) 时间没有检测到冲突,就能确定该节点已取得总线访问权。 因此 2D/V 定义为冲突窗口。 冲突窗口时确定的。
当结点 发送 一个最短帧 或 长帧的 前 64个字节都没有发现冲突时,表示该结点 已经获得 总线发送权。 并可继续发送后续字节。
发现冲突,停止发送
随机延迟重发的 第一步 是 发送 冲突加强信号,目的是 确保有足够的冲突持续时间,使网中所有节点都能检测出冲突,并丢掉冲突帧,提高信道利用率。
随机延迟重发
Ethernet协议规定 一个帧的最大重发次数为 16次
典型的后退延迟算法是 截止二进制指数后退延迟(Truncated Binary Exponential Backoff)算法:
τ = 2^k * R * a
τ 为重新发送所需的后退延迟时间;
a为冲突窗口值 且 值 是确定的
R 为随机数
k = min (n,10),n 为重发次数
接收流程
一个结点成功利用总线发送数据,则其它结点都应处于接收状态。 所有结点只要不发送数据,就处于接收状态。
Ethernet协议将接收出错分为三种类型:
1.帧校验错
2. 帧长度错
3.帧比特位错
判断接收帧长度
若小于规定的帧最小长度,表明由冲突发生,,丢弃该帧。
检查帧的目的地址
若地址类型为:
1.单薄地址,且与本结点的物理地址匹配,则接收;
2. 组播地址,并且本结点属于改组,接收;
3.广播地址,接收;
否则丢弃。
CRC差错校验
数据长度检测
将数据部分交给LLC子层
Ethernet帧结构
目前,局域网基本都采用 Etehrnet V2.0规定的帧结构。
前导码 7B
1010....10比特序列组成
帧前定界符 1B
10101011
前导码 与 帧前定界符 接收后不保留,页不计入帧长度
目的地址 6B
目的地址分为3类:
单播地址
多播地址
组播地址
目的地址第一位为 0 表示单播地址;
目的地址第一位为 1 表示多播地址;
目的地址全为1 表示广播地址;
源地址 6B
源地址 为MAC地址
类型字段 2B
表示网络层使用的协议类型
数据字段 46B - 1500B
Ethernet 帧的最小长度为 64B ,最大长度为 1518B
帧校验字段 4B
采用32位 CRC校验
Ethernet实现方法
Ethernet收发器 实现 结点与 同轴电缆 的电信号连接,完成数据发送与接收,冲突检测
收发器电缆完成 收发器与网卡的信号连接,收发器可以起到结点故障隔离的作用
网卡一端通过收发器与传输介质连接,另一端通过主机接口电路与主机连接。
网卡完成 发送数据的编码,接收数据的节码,CRC产生与校验,帧装配与拆分,串并行转换,CSMA/CD介质访问控制等
Ethernet物理地址
物理地址将在生产过程中将该地址写入网卡的只读存储器。
前三个字节为公司标识
后三个字节由生产网卡的厂商自行分配
高速局域网的研究方法
计算机的处理速度提高了百万倍,网络数据传输速率 只 提高了上千倍。 局域网带宽和性能不能适应要求;
提高Etehrnet的传输速率
将大型局域网划分成多个 用网桥或 路由器互联的子网,可以个里子网之间的交通量
将共享介质改为交换方式,即交换式局域网技术。 可以在多个端口之间建立多个并发连接
Fast Ethernet
将每比特发送时间由 100 ns 降低到 10ns
Gigabit Ethernet
将 每比特的发送时间降低到 1ns
10 Gigabit Ethernet
传输速率为 10 Gbps , 广域网的传输速率 为 9.58Gbps.
10 Gigabit Ethernet 出现,是Ethernet工作范围从 局域网扩大到城域网和广域网
40/100 Gigabit Ehternet
交换式局域网的基本结构
集线器
交换机
交换机特点:
1.低交换延迟。 时间量级来看,若交换机为几十 μs,则网桥 为几百 μs, 路由器为几千 μs。
2.支持不同的传输速率和工作模式
3.支持虚拟局域网服务
局域网交换机的工作原理
交换机发现 数据帧的两个地址在同一个端口,则不转发而是丢弃。 即隔离本地信息,从而避免网络上不必要的数据流动。
这是交换机与集线器的最大区别。
直接交换方式
存储转发交换方式
改进的直接交换方式
在接收到一个帧的前64个字节之后,直接交换
虚拟局域网的工作原理
虚拟网络 建立在交换式技术的基础之上。
用交换机端口定义虚拟局域网
MAC地址定义虚拟局域网
网络层地址定义虚拟局域网
基于广播网定义虚拟局域网
无线局域网的应用
传统局域网的扩充
建筑物之间的互联
漫游访问
特殊无线网络的结构
无线局域网的分类
红外无线局域网
定向光束红外传输
全方位红外传输
漫反射红外传输
扩频无线局域网
跳频扩频
直接序列扩频
窄带微波无线局域网
无线局域网标准 IEEE 802.11
Internet的主要组成部分
通信线路
有线线路
无线线路
路由器
主机
服务提供者(服务器)
服务消费者(客户机)
信息资源
Internet的接入方式
用户必须通过 ISP (Internet Service Provider, 互联网服务提供商) 将自己的计算机接入Internet。
电话网接入
互联网早期用户最常用的接入方法。
用户的计算机 和ISP 处 的远程访问服务器(Remote Access Server,RAS) 通过 调制解调器 与电话网相连。
传输速率低,只适合于家庭使用。
ASDL 非对称数字用户线路接入
使用比较复杂的调制解调技术,在普通的电话线路进行高速的数据传输。
分为上行与下行两个通道。 下行速率远大于上行速率。
ASDL适合家庭 和中小型企业的互联网接入需求。
使用HFC接入
混合光纤/同轴电缆网(Hybrid Fiber Coaxial,HFC)
其是 利用 有线电视网接入互联网
HFC的接入速率极高。
数据通信线路接入
数据通信网是专门微数据信息传输而建设的网络。
数据通信网的种类很多,DDN,ATM,帧中继等网络都属于数据通信网。 这些数据通信网 由 电信部门建设和管理,用户可以租用。
使用数据通信线路接入的用户端,通常为一定规模的局域网。
IP互联网的工作原理
IP层 具有将数据单元 从一个网 转发至 另一个网的功能, 互联网上的数据可以进行跨网传输。
IP服务
不可靠的数据投递服务
面向无连接的传输服务
尽最大努力投递服务
IP层提供的是面向非连接的不可靠服务,但是,IP并不随意丢弃数据报。 只有当 系统资源用尽,接收数据错误,或者 网络故障等状态,IP才被迫丢弃报文。
IP互联网的特点
使用统一的地址描述
隐藏物理细节,为用户提供通用,一致的网络服务
信息可以跨网传输
平等地对待互联网中的每个网络
IP地址的作用
标识网络连接
多宿主主机(装有多块网卡的计算机)由于每一块网卡都可以提供一条物理连接,因此它应该具有多个IP地址。
IP地址的层次结构
网络号
标识互联网中的一个特定网络
主机号
表示某网络中主机的一个特定连接
IP地址的分类
A类地址 0-127
8位长 网络地址
B类地址 128-191
16 位长 网络地址
C类地址 192-223
24位长 网络地址
D类地址 224-239 组播地址
E类地址 240-255 保留今后使用
IP地址的直观表示法
特殊的IP地址形式
网络地址
包含一个有效的网络号 和 一个 全 0 的主机号。
广播地址
直接广播
包含一个有效的网络号 和 一个全 1 的主机号。 直接广播在发送前 必须知道 目的网络 的网络号。
有限广播
32比特全为 1 的 IP 地址用于本网 广播。
回送地址
127.0.0.0 位保留地址,用于网络软件测试 以及本地网络进程间通信。
该IP 地址 陈各位i 回送地址
含有 网络号127 的数据报不会出现在任何网络上。 (这点也符合 有限广播地址)
本地地址
如10.xxx, 192.168.xxx
如 内部的互联网需要 与 Internet相联, 可以 重新申请IP地址 或者 使用NAT
子网编码
从标准IP地址的主机号部分,借位,并把它分为 子网号 与主机号。
本质上将,它仍然是一个网络。
地址解析协议ARP
ARP的基本思想
源主机广播Ip地址
具有该该IP地址的主机 响应 MAC地址 与 Ip地址的映射关系
源主机获得该信息,并缓存该关系
ARP的高速缓存技术
每台主机保留一个专用的 高速缓冲区, 用于保存已知的ARP表项。 每个表项都分配有一个计时器,超过时限后会自动删除。
IP数据报的格式
版本与协议类型
版本字段 目前最常用的版本号为 4 0100 4bit
协议字段 4bit
长度
报头长度 32bit的整数倍
总长度 8bit 为单位
服务类型
规定对本数据报的处理方式。
发送端可以为IP数据报分配一个转发优先级,并可以要求中途转发路由器 尽量采用 低延迟,高吞吐率 或 高可靠性的 线路投递。
生存周期
可以有效控制 路由发生错误时,数据在网络中无限循环的情况发生。
头部校验和
用于保证IP 数据报报头的完整性。 且只包含报头校验字段,而没有数据区校验字段。 可大大提高效率。
地址
源Ip地址和 目的Ip地址 分别表示发送者和接收者 。 在这个传输过程中,这两个字段一直保持不变。
IP封装,分片与重组
MTU 与 分片
根据网络技术的不同,每种网络都规定了一个帧最多能携带的数据量,成为最大数据单元 Maximum Transmission Unit。
当两个路由器端的MTU不匹配时,大的一方需要将 数据报 进行分片。
重组
IP协议规定,只有最终的目的主机才可以对分片进行重组。
分片控制
IP数据报报头中,标识,标志 和 片偏移 与 控制分片和重组有关。
标识
源主机赋予IP数据报的标识符。 用于识别数据报
标志
由于高速目的主机,该数据报是否已经分片,是否是最后一个 分片
片偏移量
以8个字节为单位。用于重组分片的顺序依据。
IP数据报选项
源路由
定义
指的是 数据报穿越互联网 所 经过的路径 由源主机指定。
分类
严格源路由选项
规定Ip数据报经过路径上的每一个路由器,相邻路由器之间不得有中间路由器。
松散源路由选项
指的是 IP数据报 必须经过 一些 要点 即可。
记录路由
指 记录下 IP 数据报从 源主机 到 目的主机 所经过路径上 各个路由器的IP 地址。
实践戳
记录下IP数据报经过每一个路由器时的当地时间。
ICMP: Internet Control Message Protocol 互联网控制报文协议
ICMP用于传输 控制报文 和 差错报文。
ICMP报文 是 作为 IP数据报的数据部分而传输的。
ICMP差错控制
ICMP差错报告采用路由器到源主机的方式。
特点
差错报文特点:
a.不享受特权,作为一般数据传输
b.差错报告,既包括 故障 IP数据报抱头,还包括 IP数据报数据区 的 前 64比特数据。
c.其伴随着抛弃出错 IP 数据报 而产生。
类型
目的地不可达
在 路由选择 和 转发 出现错误的情况下,路由器 发出。
网络不可达
主机不可达
协议和端口不可达
超时报告
当IP数据报 到达生存周期,路由器立刻将其抛弃,并产生差错报文给源主机
参数出错报告
一旦参数错误 严重到 机器不得不 抛弃IP数据报时,机器便向源主机发送此报文。
ICMP控制报文
拥塞控制
拥塞: 路由器被 大量涌入 的 IP 数据报 淹没 的现象。
造成拥塞的原因有:
1. 路由器处理速度太慢
2.路由器传入速率 大于 传出速率
拥塞 的实质 自于没有足够的缓冲区存放大量涌入的IP数据报。
源站抑制 技术
路由器 对每个接口进行密切监视,一旦发现拥塞,立即向相应源主机发送ICMP源抑制报文,请求源主机降低发送IP数据报的速率。
源主机收到源抑制报文后,就采取行动降低 发送IP数据报的速率。
但是,拥塞解除后,路由器并不主动通知源主机,由源主机自主决定 什么时候恢复发送数据报的速率。
抛弃某队列新来的IP数据报,每抛弃一个就产生一个源抑制报文
为路由器的输出队列设置一个阀值,当超过阀值,再有新的IP数据报到来,就向源主机发送 源抑制报文
注意,此时路由器仍然再接受 IP数据报
不简单的抑制每一引起拥塞的源主机,而是抑制抑制发送率较高的源主机
路由控制
重定向报文
当 路由器检测到 某 IP数据报经非优路径传输,一方面继续将该数据报转发出去,另一方面 向主机 发送一个路由重定向报文。
主机经过不断积累便能掌握越来越多的路由信息。
ICMP重定向机制 的优点 是 保证主机拥有一个动态的,即小且优 的路由表。
ICMP请求/应答报文对
用于获取某些有用的信息,便于进行故障诊断和网络控制。
回应请求与应答
用于测试目的主机 或 路由器的 可达性。
若请求者成功收到一个应答,则可以说明:
1.目的主机 或 路由器 可以到达
2.源主机与目的主机 的ICMP 软件 和IP 软件 工作正常
3.报文经过的中间路由器的路由选择功能正常
时戳请求与应答
从其他机器获取其时钟的当前时间,经估算后再同步时钟
掩码请求与应答
当主机不知道自己所处网络的子网掩码时,可以 利用 掩码请求ICMP报文向路由器询问。
表驱动IP选路
IP路由表仅保存相关的网络信息,远端的主机在不知道细节的情况下将IP数据报发送过来
标准路由选择算法
一个标准的IP路由表通常包含许多(N,R)对偶序,其中N 是 目的网络的IP地址,R是到网络N 路径的 下一个 路由器的IP 地址。
从数据报中提取目的IP地址,计算其网络号
若与路由器直接连接的网络地址匹配,则直接在该网络上投递
若 与 路由表 包含 一个N 与之匹配,则发送到路由表指定的下一站
否则路由选择错误
子网选路(标准路由选择算法的扩充)
在IP路由表中 加入子网掩码,标识为:
(M,N,R)三元组。 其中,M表示 子网掩码,N 表示目的网络地址,R 表示下一跳地址。
取出数据报中的目的IP地址
与路由表标目中的 子网掩码进行 逐位 与操作
再与目的网络地址比较
路由表中的特殊路由
用网络地址作为路由表的目的地址,可以极大缩小路由表的规模, 既节省空间,又提高处理速度。
默认路由
进一步隐藏互联网细节,缩小路由长度的特殊路由。
在路由选择过程中,如果路由表没有明确制定一条 到达网络的路由信息,就转发到默认路由制定的路。
特定主机路由
路由表的主要表项(包括默认路由) 都是基于网络地址的。
IP 协议也允许 为 一 特定的主机 建立路由表表项, 对单个主机(而不是网络) 制定一条特别的路径就是特定主机路由。
统一路由选择算法
对特定主机路由,子网掩码为 255.255.255.255 ,目的地址为 目的主机的IP地址。
对默认路由,采用0.0.0.0 作为自挖个掩码,0.0.0.0作为目的地址,默认路由器的地址作为下一路由器地址。
对于标准的网络路由,如 A类IP地址, 以255.0.0.0 为子网掩码,目的网络地址为目的地址;
对于一般的子网路由,用相应的 子网掩码 和相应的目的子网地址 构造路由表表项
从数据报提取目的地址 D
若D与路由器直接连接,则投递
否则,循环路由表项
对项中的 子网掩码 和 D,N 逐位 与
若 与 后的地址一致
就将数据报发往项中指定的下一站
若无匹配表项,则路由选择错误
路由表的建立与刷新
静态路由
静态路由人工管理,更具互联网的拓扑结构和连接方式建立。 配置完静态路由后,一旦该路径出现故障,目的网络就变得不可达。
动态路由
动态路由 通过自身的学习,自动修改和刷新路由表。
路由器自动刷新和修改路由表,首要目标是 要保证路由表中包含有最佳的路径信息。
度量值
跳数 hop count
到达目的地必须i经过的路由器个数
带宽 bandwidth
链路的传输能力
延迟 delay
数据 从 源 送到 目的地 所需 的时间
负载 load
网络中 信息流 的活动数量
可靠性 reliability
传输过程中的差错率
开销 cost
一个变化的数值,通常根据带宽,建设费用,维护费用,使用费用等因素 由 网络管理员指定。
路由选择协议
互联网 中 的 所有路由器都运行着 相同的,精确的,足以反映当前互联网拓扑结构的路由信息时,称路由已经收敛。 快速收敛 时路由选择协议 最希望具有的特性。
路由信息协议 Routing Information Protocol
开放式最短路径优先协议 Open Shortest Path First
RIP协议与向量-距离算法
向量距离路由选择算法
向量-距离 (Vector-Distance) 也称为 Bellman-Ford算法。
基本思想是:
路由器周期性地向 其相邻路由器广播自己知道的路由信息,用于 通知 领路由器 自己 可以到达的网络 以及 到达该网络的距离(跳数),相邻路由器 收到信息后 修改和刷新自己的路由表
优点是简单
缺点是需要交换的信息量 极大,过程非常缓慢。 不适合应用于 路由剧烈变化 或 大型网络环境
刷新原则
遇到下述表目之一,需修改本地路由表(假设 路由器 Ri 收到 其相邻 路由器Rj 路由信息报文):
1.Rj 列出的某表目Ri 路由表没有;
2. Rj 去往 某目的地的距离 比 Ri 去往该目的地的距离 减 1 还小;
3.Ri 去往某目的地经过Rj, 而Rj去往该目的地的路径发生变化,
a.若 Rj 不再包含去 该目的地的变化,则Ri 应删除相应表项
b.若 Rj 去往该目的地的距离发生变化,则 Ri 相应项 距离需修改,以Rj 的 距离加 1 取代。
其数学模型为:
图论 的 最短路。 需要注意,此时这是一张由相邻结点提供的图,不具备可靠性。 其最短路的生成也不是通过算法,而是通过 矢量传递 确立。
RIP协议
向量-距离路由选择协议 在局域网的 直接实现。
通常情况下,RIP 每个 30秒钟与其 相邻路由器交换一次路由信息。
对相同 开销路由的处理
对于多条路径 具有相同 距离到达同一网络的情况,通常按照先入为主的原则。
对 过时路由 的处理
RIP 协议规定,参与RIP 选路的所有机器,都要为其路由表的每个表目增加一个定时器,收到刷新则将定时器清零。 否则,定时器溢出,表明该路径崩溃,删除该表项。
超时时间为180秒。
慢收敛问题及对策
可能会产生路由环
限制路径最大 距离 策略
RIP协议规定 距离的最大值为 16,距离超过或者等于 16 为 不可达路由。
水平分割策略
路由器从某个网络接口发送 RIP 路由刷新报文时, 其中不能包含从该接口 获取的路由信息。
保持策略
规定 在 得知目的网络 不可达后 的一段时间内(RIP规定为60秒),路由器不接受关于此网络的 任何 可到达性信息。
带 触发刷新的毒性 逆转策略
基本原理是:
当某路径崩溃后,最早广播此 路由 的路由器 将原 路由 继续保留在若干路由刷新报文中,但指明该路由的距离为 无限长(即16).
于此同时,使用触发刷新技术, 一旦检测到路由崩溃,不等下一刷新周期,直接广播路由刷新报文。
RIP 与子网路由
RIP 第一个版本 以标准的IP 互联网为基础,不支持子网路由。
第二个版本的出现,才开始为子网选路。
OSPF协议与连路-状态算法
链路-状态 (Link-State )路由选择算法,也称为 最短路径优先(Shortest Path First)算法。
基本思想是 互联网上的每个路由器 周期性 地 向 其他 路由器 广播 自己 与 相邻路由器的连接关系, 以使各个路由器都可以画出一张互联网拓扑结构图。
利用这张图和最短路径优先算法,路由器就可以计算出自己到达各个网络的最短路径
其数学模型为 最小生成树。 而且该图 是可靠的。
缺陷
1.要求较高的路由器处理能力。
2.一定的带宽需求。
对策
分层
即 将一个大型的互联网分成几个不同的区域,一个区域中的路由器只需要 保存和处理本区域的网络拓扑和路由, 区域之间的路由信息 由几个特定的 路由器完成。
指派路由
值在 互联的局域网中, 路由器将自己与相邻路由器的关系发送给 一个或 多个指定路由器 (而不是广播给互联网上的所有路由器),指派路由器生成整个互联网的拓扑结构图,以便其他路由器查询。
部署和选择路由协议
静态路由 适合
一般来说,适用 小公司,家庭办公室 等小型机构建设的互联网
可以包含 2 到10 个网络
任意两个结点之间的数据传输 只能通过一条路径进行(即无环路)
拓扑结构不随时间变化
RIP路由选择协议 适合
通常 在中型企业,具有多个网络的大型分支办公室等
10 到 50 个网络
任意两个结点可以有多个路径可以传输
拓扑结构随时会改变(通常由于 网络和路由器的改变造成)
OSPF路由选择协议 适合
通常在 企业,校园,部队,机关等互联网上使用。
包含50 个以上的网络
任意两个结点可有多个路径传播数据
拓扑结构随时改变
IP组播的概念和特点
单播,广播,组播
单播
一对一传输数据
广播
同一个信息包无条件地发往每一条分支路径,由接收方自行决定接收还是丢弃。
组播
允许发送方发送单一数据包 到多个接收方。
发送方只发送一次数据包,采用组播地址寻址,只向需要数据包的主机和网络发送数据包 。
组播 既 节省了发送分组的开销,又节约网络带宽资源,还提高了网络应用服务的效率和能力。
IP组播的特点
组播使用组地址
在组播网中,每个组播组拥有唯一的组播地址,组播数据包可以送到标识目的主机的组地址。
发送方可以不是组成员
动态的组成员
一个主机 可以参加某个特定的组,也可以在任意时间退出改组。
底层硬件支持的组播
以太网本身就具有硬件组播能力, 当组播数据传送到这些以太网时,以太网就利用 硬件进行组播。
组播技术基础
IP 组播地址 D类地址
其中,224.0.1.0 - 224.0.1.255 为 Internet网络支配地址
组播的相关协议
IP组播组管理协议(主机和路由器)
IGMP 协议运行于主机 和 与主机直接相连的 组播路由器之间。
IGMP实现的功能是 双向的。
一方面,主机 通知 本地路由器 希望加入 并接收 某个特定组播组的信息;
另一方面,路由器 通过 IGMP 协议周期性 地查询 局域网 内 某个已知 组 的成员 是否处于活动状态。
IGMP v1 定义了基本的组成员查询 和报告过程。
v2 添加了 组成员快速离开的机制。
v3 成员 可以指定接收 或 指定 不接收 某些组播源 的报文。
IGMP 监听的工作原理是 主机发出 路由器-端口组管理协议 (Router-port Group Management Protocol)成员报告信息。
IP 组播 路由协议
域内组播路由协议
网路上使用较多的 域内 组播路由协议有:
DVMRP, MOSPF , PIM
密集模式组播路由协议
适合 于 组播成员密布在整个网络上,带宽很充裕的情况。
采用 泛洪 Flooding 技术 把 信息 传播到网络的所有路由器,不适用大规模的网络。
包括:
距离矢量组播路由协议 Distance Vector Multcast Routing Protocol
开放最短路径优先的组播扩展 Multicast for Open Shortest Path First
协议独立组播-幂级模式 Protocol Independent Multicast Dense Mode
稀疏模式组播路由协议
适用于组播组成员稀疏地分布在横额网络,且 未必有充裕的带宽的情况。
包括:
基于核心的树 Core Based Trees
域间组播路由协议
多协议边界协议 Muhiprotocol Border Gateway Protocol
组播源发现协议 Muhicast Source Discovery Protocol
IETF 1995年 完成了 IPv6
IPv4协议的局限性
地址空间的局限性
IP协议的性能问题
IP 协议的安全性问题
自动配置的问题
服务质量保证问题
IPv6地址
IPv6地址表示
基本表示方法(冒号十六进制表示法)
冒号16进制表示法, 例如:
21DA:0000:0000:0000:02AA:000F:FE08:9C5A
零压缩法
如:
21DA:0:0:0:2AA:F:FE08:9C5A
双冒号表示法
如果几个连续位段 都为0 , 则 这些0 可以简写 为 ::
需注意,一个IPv6地址中,:: 只能出现一次。
如:
21DA::2AA:F:FE08:9G5A
IPv6 前缀法
表示一个IPv6 的 哪些位 是网络号部分,通常次啊用前缀长度表示法。
例如:
21DA:D3::/48
表示该地址的前 48位 为 网络号部分。
IPv6 地址类型
单播地址
组播地址
任播地址
也称 泛播地址,也用于表示一组网络接口,发送到 该地址的 数据包 会被 送到 由 该地址标识的所有网络接口 的任意 一个接口,通常是最近的一个。
特殊地址
包括:
全零地址;
回送地址: ::1
IPv4兼容的IPv6地址;
映射到IPv4 的 IPv6地址等 。
IPv6数据报
IPv6基本头
版本 值为 6
通信类型
表示数据包的类型或优先级
流标记
流 是 从特定源结点 到目的 结点之间的 数据包序列, 源结点希望中间路由器 对该数据报序列 进行特殊处理。
一个流 由 源IP 地址 和非零 的流标记唯一标识。
载荷长度
表示IPv6 有效载荷的长度
下一个报头
如存在扩展头,该值表示 下一个扩展头的类型。
如不存在扩展头,该值表示 高层数据类型,如 TCP,UDP 等
跳数限制
表示IPv6数据报 在 被丢弃之前 可被路由器转发的次数。
源地址
目的地址
大多数情况下,该值为最终目的地的地址。
如果存在路由扩展头 则目的地址可能为 下一个转发路由器的地址。
IPv6扩展头
逐跳选项头
类型为0, 由 中间路由器 处理的扩展头,谬请安主要有两个选项,
巨型有效载荷选项
路由警告选项
目的选项头
类型为60, 用于为 中间结点 或 目的节点 指定数据报的 转发参数。
路由头
类型为43 .
需要经过的 一个 或 多个中间路由器。
分片头
类型为44
认证头
类型为51
封装安全有效载荷报头
类型为 52
高层协议数据单元
IPv6地址自动配置
无状态地址配置
IPv6 由 64位 前缀, 和 64 位 网络接口标识符组成, 每台主机在启动时 都配有 链路本地地址。
局域网环境下,网络的主机之间可以直接俄利用该地址相互通信。
Internet网环境下,主机通过向链路中所有的呃路由器多播"路由器请求信息“,请求网络前缀。 路由器返回的 路由器通知消息中,提供网络前缀。
有状态地址配置
需要DHCP v6的支持。
主要作用是 保证端对端数据传输的可靠性。
端对端通信
传输层 需要提供一个直接从一台 计算机 到 另一台 远程计算机上的 端对端的 通信控制 。
由于主机需要进行端对端的通信控制, 因此,这些主机都需要安装传输层软件。
从传输层角度看, 真个互联网是一个通信系统, 这个系统能够接收和传递 传输层的数据而不会改变 和干预 这些数据。
传输控制协议TCP
TCP提供的服务
面向连接
TCP 提供的是 面向连接的服务。
完全可靠性
全双工通信
一个TCP 连接 允许 数据在任何 一个方向上流动, 并且 允许 任何一方的应用程序 在任意时刻 发送数据。
流接口
连接的可靠建立 与优雅关闭
TCP的可靠性问题
包括:
数据丢失后的回复问题
连接的可靠建立问题。
数据丢失与重发
TCP 建立在 一个不可靠的虚拟通信系统上,数据的丢失可能是市场发生的。
使用 重发技术补偿数据报的丢失。
发送方在发送数据时,TCP需要启动一个定时器。 在定时器到时,如果没有收到一个确认信息,则发送方重发该数据。
选择重发时间,TCP 必须具有自适应性。 根据 通信状况,给出合适的重发时间。
TCP的自适应性来自于 对每一连接当前延迟的监视。 TCP同构测量收到一个确认 所需的时间 来为 每一活动的连接计算一个往返时间,Round Trip Time.
连接的可靠建立和优雅关闭
三次握手。
四次挥手
TCP的缓冲,流控与窗口
TCP使用窗口机制进行流量控制。
当一个连接建立时,连接的每一端 分配一块缓冲区来存储接收到的数据,并将缓冲区的尺寸发送给另一端。
当数据到达时,接收方发送确认,其中包含了自己剩余的缓冲区尺寸。
剩余缓冲区空间的数量叫做窗口,接收方在发送的每一确认中都含有一个窗口通告。
当接收方的窗口满了之后,发送方将不会继续发送。 此时,接收方应用程序会拉取窗口的数据,每拉取之后,就会产生一个窗口通告。
这说明, 每一个确认的发出,表明数据已经被接收方的应用程序用掉(拉取)。
TCP连接与端口
TCP协议将 一个TCP 连接两端 的端点 叫做端口。
在TCP 所有端口中,有些端口被指派给一些特定的应用程序。 称为 著名端口。
如:
20 FTP-DATA FTP数据
21 FTP FTP控制
23 TELNET
25 SMTP 简单邮件传输协议
53 DOMAIN 域名服务器
80 HTTP 超文本
110 POP3 邮局协议
119 NNTP 新闻传送协议
143 IMAP Internet邮件存取协议
用户数据报协议UDP
UDP 使用 IP数据报 携带数据。
UDP 既不使用你确认信息对数据的到达进行确认,也不对收到的数据进行排序。 因此,UDP 传送的数有可能会出现 丢失,重复,或乱序现象。
著名UDP端口号:
53 DOMAIN 域名服务器
67 BOOTPS 引导协议服务器
68 BOOTPC 引导协议客户机
69 TFTP 简单文件传送
161 SNMP 简单网络管理协议
162 SNMP-TRAP 简单网络管理协议陷阱
TCP 与 UDP 各自拥有自己的端口号,即使TCP 与 UDP 的端口号相同,主机也不会混淆它们。
NAT的主要技术类型
静态NAT
网络管理员 在NAT 设备中 设置 NAT地址映射表,该表确定了一个内部IP地址 与 一个全局 IP地址的对应关系。
动态NAT
网络管理员首先为 NAT 设备分配 一些全局IP地址,这些全局IP地址构成NAT地址池。
当内部地址需要访问外部网络,就从该池中选用一个目前未被占用的的IP地址,并建立映射。 通信结束后,回收该IP地址,并删除该映射。
网络地址端口转换NAPT
利用TCP/UDP 端口号 区分 NAT 地址映射表中的转换条目,可以使内部网中的多个主机共享一个 全局IP地址同时访问外部网络。
注意,外部网络的主机不能主动访问 内部网络中的主机。
使用网络地址转换的原因
IP地址的分配出现短缺和不足。
客户机/服务器模型
应用进程之间为了能顺利地进行通信,一方通常需要处于守候状态,等待另一方请求的到来。
客户机与服务器的特性
服务器通常比较复杂,对主机的硬件资源(如 CPU 的速度,内存的大小等) 以及 软件资源(如 分时,多线程网络操作系统等)都有一定的要求。
客户机/服务器模型 很好地解决了 互联网应用进程之间 的同步问题(何时开始通信,何时发送信息,何时接收信息等), 也很好的适应了互联网资源分配不均的客观事实。 因此成为 互联网应用进程 相互作用的主要模型。
实现中需要解决的问题
标识一个特定的服务
服务器进程 通常 使用 TCP协议 或 UDP协议的端口号作为自己的特定标识。
客户机可以通过与 服务器进程使用的TCP端口建立连接(或 直接向服务器进程使用的 UDP端口发送信息) 来实现。
响应并发送请求
客户机发起请求完全时随机的。
重复服务器方案
服务器包含一个请求队列,客户机到达后,首先进入队列等待,服务器按照先进先出的原则做出响应。
并发服务器方案
并发服务器时一个守护进程,在没有请求到达时它处于等待状态。 一旦请求到达,服务器立即为其创建一个子进程,然后会道等待状态,由子进程响应请求。
并发服务器叫做 主服务器;
子进程 叫做 从服务器。
通常对服务器的软硬件要求较高。
服务器的安全问题
服务器必须承担保障系统安全性的责任,负责实施系统访问和保护策略。
对等计算模型
分布式网络的定义
Peer to Peer ,可以简单定义为 通过直接 交换 来 共享计算机资源和服务, 对等计算模型在应用层 形成的网络 通常 称为对等网络。
P2P网络的基本结构
以 Napster 为代表的 集中目录式结构
该形式下,有一个中心服务器 来负责 记录共享信息 以及 回答对这些信息的查询。
该形式下,网络提供的资料都分别存放在提供该资料的客户机上,服务器只保留索引信息,此外,服务器与对等实体 以及 对等实体之间都具有交换能力。
称为 第一代P2P系统。
以 Gnutella 为代表的分布式非结构化结构
采用 随机图 的 组织方式形成 一个松散的网络。
它没有中心服务器, 采用了 完全随机图 的 泛洪式 搜索 和 随机转发机制。
使用了类似于 IP 数据报 中 TTL的机制 来决定是否继续转发消息。
以 CAN 为代表 的分布式结构化 结构
基于 分布式散列表 Distributed Hash Table, 的 分布式发现 和 路由算法 通过分布式散列函数 将输入的关键字唯一地 映射到某个结点上,然后 通过一些特定的路由算法 和该结点 建立连接。
以 Skype 为代表 的混合式 结构
在分布式模式的基础上,将 用户结点 按能力进行分类,使某些结点担任特殊的任务。
P2P网络的应用
分布式科学计算
文件共享
协同工作
分布式搜索引擎
流媒体直播
互联网的命名机制
无层次命名机制
主机的名字简单地 由一个字符串组成,没有进一步的结构。
该机制 只适用于 主机不经常变化的网络中。
层次型命名机制
在名字中加入结构,这种结构是 层次型的。
TCP/IP互联网域名
TCP/IP 互联网中 实现的 层次型 名字管理机制 叫做 域名系统。
它 一方面规定了 名字的分派规则,另一方面 描述了 高效的 名字 地址 映射实现。
Internet域名
作为国际性 的大型互联网, Internet 规定了 一组 正式的 通用标准标号,形成了国际通用顶级域名。
顶级域 采用两种划分模式, 即 组织模式 和 地理模式。
组织顶级域包括:
com 商业组织;
edu 教育机构;
gov 政府部门;
mil 军事部门;
net 网络支持中心;
org 非盈利组织;
int 国际组织;
域名解析
TCP/IP域名服务器域解析过程
递归解析
要求域名服务器系统 一次性 完成全部名字- 地址变换。
反复解析
每次请求一个服务器,不行再请求别的服务器。
提高域名解析的效率
解析从本地域名服务器开始
域名服务器的高速缓冲技术
域名服务器采用域名高速缓冲技术 可 极大减少非本地域名解析的开销。
a. 域名服务器 向解析器报告缓冲信息时, 需注明 这是非权威性的,并给出 获取该映射的 域名服务器IP地址。
b. 高速缓冲区中的每一个映射关系都有一个最大的生存周期。
主机上的高速缓冲技术
域名解析的完整过程
查本地主机的缓冲区
查本地域名服务器数据库
查本地域名服务器高速缓冲
本地服务器向其他域名服务器发送请求
对象类型与资源记录
对象类型域类别
类型
域名系统的每一条目 都被赋予 类型属性。
常见的有:
SOA 授权开始
A 主机地址;
MX 邮件交换机
NS 域名服务器
CNAME 别名
PTR 指针
HINFO 主机描述
TXT 文本
类别
标识使用该域名对象的协议类别。
其中最常用的类别协议 为 "IN" , 指出使用该对象的协议 为Internet 协议。
资源记录
域名服务器的数据库中,域名 与 映射关系 都放置再 资源记录中。 其特征如下:
域名 TTL/s 类别 类型 值
a.com 86400 IN A 0.0.0.0
a.com 86400 IN SOA aDNS
远程登陆服务
远程登陆协议
引入了 网络虚拟中断 Network Visual Terminal 的概念,它提供了一种标准的键盘定义,用来屏蔽不同计算机系统对键盘输入的差异性。
远程登陆的工作原理
使用远程登陆
FTP客户机/服务器模型
客户机与服务器之间利用 TCP 建立连接。 FTP客户机与服务器 之间要建立双重连接,一个是控制连接,一个是数据连接。
控制连接以通常的客户机/服务器方式建立
数据连接用于传输数据
主动模式建立数据连接(缺省方式)
被动模式
FTP命令与响应
常用FTP命令与解释
USER username 向服务器发送用户名
PASS password 向服务器发送口令
PORT n1 客户机IP地址和端口
PASV 被动模式建立数据连接
LIST filelist
REST marker 指明传输文件起始点
RETR filename 检索一个文件
STOR filename 存储一个文件
ABOR 放弃先前的FTP命令和
数据传输
QUIT 从服务器注销
服务器响应状态码及含义
125 数据连接已打开,传输开始
200 就绪
214 帮助报文
331 用户名就绪
425 不能打开数据连接
452 未执行请求的操作,存储空间不足
500 未认可的命令
501 无效参数
文件格式
文本文件传输
支持两种文本文件类型的传输,ASCII 码文件 和 EBCDIC文件。
二进制文件传输
用户接口
传统的FTP命令行
浏览器
通过浏览器 用户 只能从FTP 服务器 下载文件,而不能上传文件。
指定URL访问
如: ftp://www.baidu.com/a.txt
Web链接访问
FTP下载工具
一方面可以提高下载的速度,如多线程下载,另一方面,可以实现断点续传,完成剩余部分的传输。
FTP访问控制
账号口令登陆
匿名FTP服务
电子邮件的特点
范围广,可靠
虚拟化
一对多传送
多媒体信息
电子邮件系统的基本知识
电子邮件传递协议
Web的基本概念
Web系统的传输协议
Web系统的页面表示方式
Web的安全性
即时通信系统的概述
RFC2778中,定义为:
允许用户相互订阅 并 获取彼此的状态变更信息,以便用户间互相收发短消息。
即时通信一般提供以下的附加功能:
1.音频/视频聊天
2.应用共享;
3.文件传输
4.文件共享;
5.游戏邀请
6.远程助理
7.白板(应用共享的一种快捷方式)
即时通信系统的基础通信模式
用户/用户模式(P2P)
P2P的实现一般又两种模式:
1. 客户机在获得好友信息的时候,服务端已经将每个好友的远程地址和端口发送到了客户机。
2.客户机在试图建立与好友之间的连接时,需要去服务器询问好友的远程地址和端口。
客户机/服务器模式(C/S)
消息的发送和接收 必须通过服务器来中转
在该模式中,一客户机与另一客户机信息交互时,其携带了 被请求方 的唯一标识(ID), 由服务器 根据数据包中的 来源(From), 目的地(To)信息查询通信地址表,并将信息进行组织然后发送到目的地。
服务端端口 一般时固定的,通过该固定端口被动地与客户机进行通信,起到消息中转的作用。
即时通信实例
QQ通信过程
1.首次登陆,(DNS缓存无QQ服务器记录),客户机对腾讯的多个域名服务器发DNS查询;
2.从DNS回复的多个登录服务器IP地址中随机选取一个;
3.发送联系信息包
4.服务器发送回应信息包
5.用户发登陆请求包
6.回应 重定向服务器的信息包
7.重复 3456
8若仍然登陆不上服务器,重复7
9服务器发送 回应包,登陆请求成功。
10. 登陆成功后,客户机会将此登陆服务器IP地址记录在一个配置文件中,用户再次登陆会直接登陆到该服务器。
QQ聊天通信过程
聊天通信信息时加密的,每次登陆都会获取一个会话密钥,以后的通信数据都会通过此密钥来进行加密。
建立TCP或UDP 进行聊天交互
用户从服务器 上获取好友列表,以建立点对点的联系。
用户在建立直接的连接之前 和服务器由很多的报文交互, 在这些报文中,会通知自身的连接方式,外部IP地址,端口,第一个监听端口,真是IP,第二个监听端口,发送者QQ号,接收者QQ号等。
服务器转发的方式
客户机之间无法直接通信时,采用通过服务器转发的方式 来实现 即时消息的传送。
QQ客户机 分别于自己的登陆服务器 建立和维持 TCP或 UDP 连接,由服务器来中转聊天信息。
QQ文件传输过程
1.发送方 发送传输文件的请求包,通知我方 IP 信息 消息包。
2.服务器间关于建立传送文件连接的交互
3.接收方发送同意传送文件消息包
4.客户机之间 直接建立TCP或 UDP 连接 传输文件。
即时通信系统的通信协议
SIMPLE
基于SIP的 SIP for Instant Messaging and Presence Leveraging Extensions协议簇
SIP协议
Session Initiation Protocol,称为会话发起协议,会话 是指用户之间的数据交换。
目前,SIP 已经被公认为 最好的利用 互联网 进行 全面己成通信的方式。
SIP系统基本组成
通过类似 E-mail 地址的URL标识
用户代理
包括 用户代理客户机用于发起呼叫,以及 用户代理服务器 负责接收呼叫并作出响应。
二者组成用户代理,存在于用户终端中。
代理服务器
负责接收用户代理发来的请求,根据网络策略将请求发给相应的服务器,并根据收到的应答对用户做出响应。
它既是一个客户机,又是一个服务器。 是构成SIP系统的骨干。
重定向服务器
一个规化SIP呼叫路径的服务器,在其获得了下一跳地址后,立刻高速前面的用户, 让该用户直接向下一跳地址发出请求, 而自己则对出对这个呼叫的控制。
注册服务器
用户接收和处理用户端的注册请求,完成用户地址的注册。
SIP消息
请求
请求头,消息头,空行,消息体
含有6种请求类型:
1.INVITE 邀请会话
2.ACK 只和 INVITE 一起使用
3.OPTIONS 请求关于服务器能力的信息。
4. BYE 钟之一次会话
5.CANCEL 取消一个挂起的呼叫
6.REGISTER 用于向 定位服务器 注册客户机的相关信息。
响应
状态行,消息头,空行,消息体
典型的SIP会话呼叫过程
1.终端A 向 终端B 发出INVITE消息,被SIP代理服务器1接收
2.代理服务器1 将 经过认证的 用户终端A 发出的 INVITE消息转发给 重定向服务器
3.重定向服务器 向代理武器1 回复 302Redirect消息
4. SIP代理服务器1 向 重定向服务器 回复 ACK,确认302消息
5.SIP代理服务器1 向 代理服务器2 发出INVITE消息
6.代理服务器2 将 代理服务器1 发来的 INVITE 发给重定向服务器
7.重定向服务器向 服务器2 回复 302
8.代理服务器2 回复ACK 确认 302
9.SIP代理服务器2 向 用户终端B 发出INVITE
10.终端B回复 180Trying消息,依次由代理服务器2,1转发
11.终端B 回复200OK,依次由代理服务器2.1转发
12.终端A 回复ACK,依次由 服务器1,2转发
13.终端A,B进行通话
14.终端B 发出 BYE,由 服务器2,1转发
15. 终端A 发出 ACK,由 服务器1,2转发
16. 通信结束
SIMPLE
通过对SIP协议进行扩展,使其支持IM服务。
SIMPLE新增的方法
MESSAGE
发送一次性 的短消息,即 寻呼机模式的IM
SUBSCRIBE
用于 申请者 向 服务器 申请获得用户的 呈现信息
NOTIFY
传输呈现信息
SIMPLE新增的逻辑实体
呈现用户代理PUA
Presence User Agent,该实体生成用户的呈现信息。
呈现服务器PA
Presence Server,类似于SIP协议的用户代理,能够接收和应答 SUBSCRIBE 请求,并且当 PUA 公布 新的呈现状态时,向申请者 发出NOTIFY应答。
呈现服务器PS
可以实现PA的功能,同时可以和注册服务器 共同实现查找 呈现数据库。
申请者
发送SUBSCRIBE 消息 和接收来自 PA 的NOTIFY消息,能够终止整个过程。 可以实现PA的功能,同时可以和注册服务器共同实现 查找呈现数据库。
XMPP
基于Jabber 的 Extensible Messaging and Presence Protocol 协议簇, 它是基于XML语言定义描述的IM协议
XMPP系统框架
用户客户机
连接到这个网络的客户机, 可以像 接收消息 一样 发送消息给同一个服务器 或者 Internet 上的其他 服务器的用户。
XMPP服务器
XMPP服务器间 相互通信,形成一个使用 XMPP协议的 服务器组成的分布式网络。
XMPP协议网关
负责 XMPP 于 非 XMPP系统互联
XMPP系统特点
客户机/服务器通信模式
所有 从一个客户机 发送给另一个 客户机的 XMPP消息和数据 都必须通过服务器。
分布式网络
XMPP的网络体系结构中,每一个用户都有自己的本地服务器,并从该服务器接收信息,消息和在线信息在这些服务器之间传输。 每一个XMPP 服务器都独立于 其他XMPP 服务器,并且拥有自身的用户列表。
简单的客户机
一个XMPP 客户机 只需支持的功能有:
通过TCP套接字与XMPP 服务器进行通信, 解析组织好的XML信息包 和 理解消息数据类型。
XML的数据格式
XML 时XMPP 系统架构的核心部分,它最重要的作用 时系统的底层的可扩展性,并能表述几乎任何一种结构化数据。
XMPP协议
寻址方案
由于历史原因,XMPP 实体地址叫做 JID (Jabber标识),其由 域标识符domain,结点标识符node,资源标识符resource组成,形如: node@domain/resource.
XML流
当一个Jabber客户机连接到服务器上,客户机建立了一个从客户机 到服务器的XML流,服务器也同时建立了一个服务器到客户机的XML流。
XML节
Message
用来表示传输的消息,有一些相关的属性,如 to ,from , type等
Presence
表明用户的状态。 如用户的状态改变时,就会在流的上下文中插入一个 Presence元素,来表明自身的状态。
I/Q,Info/Query流
一种请求/响应机制。
XMPP与SIMPLE
目前IM的开放标准只有SIMPLE 和XMPP 两种。
网络文件系统NFS
NFS的概念
NFS ,network file System, 允许一个系统在网络上与他人共享目录和文件,达到共享文件的目的。
其至少要有两个条件,即 服务器和客户机。
NFS的使用
当用户希望使用远程文件时,只要使用 mount命令 , 就可把远程文件系统 挂接在自己的文件系统之下, 使远程文件的文件像本地计算机上的文件一样可以被访问。
如:计算机A 要 把 计算机B 的 /usr/lib挂接到 A 的/usr/lib,执行:
mount B:/usr/lib /usr/lib即可
NFS的优点
减少本地磁盘空间消耗;
秩序将目录放在 NFS服务器上,即可在网络中 处处可用。
减少移动介质设备的数量和成本。
NFS的配置
/etc/rc.conf文件
Windows LAN文件共享
windows2000及其以后: CIFS协议
SMB(Server Message Block) 通信协议主要作为 Microsoft网络的通信协议。
微软在SMB 的基础上加入了许多新特色,并改名为 CIFS (Common Internet FIle System )
Windows文件共享时,采用微软的工作组 和域的概念。
工作组和域可以跨越多个子网。
windows2000以前的: NetBIOS协议
称为 网络基本输入/输出系统协议。
windows系统中,默认情况下在安装TCP/IP协议后,会自动安装NetBIOS。
特点
文件访问的完整性机制
文件访问的安全性
高性能和可扩展性
支持Unicode 文件名
全局文件名
P2P文件共享
P2P文件共享的历史
1999年,音乐分享网站Napster,为P2P文件共享的起源。
2000年3月,P2P共享网络 Gnutella出现
2000年9月,eDonkey2000出现,增加了 hash信息。
2001年,BitTorrent的出现,引发了互联网文件传输革命。 起到了传统模式不可能实现的 下载的人越多速度越快的 洪流效应。 称为 BT下载。
在BT协议的后续版本,加入了 DHT(分布式hash表)的支持,实现无Tracker服务器的文件传输。
P2P文件共享的理论基础
20世纪60年代,六度分隔理论指出,任何两个陌生人都可以 通过 朋友的朋友 来建立联系,并且他们之间所间隔的人不会超过6个。 即 著名的小世界假设。
P2P文件共享系统实例 --Maze
Maze 系统主要功能
支持即时通信和BBS
支持跨防火墙的文件共享和下载
支持在线资源搜索和文件目录视图
支持多点下载和断点续传
基于积点的资源交易体系
采用社交网络的网络链接关系
Maze系统的体系结构
Maze系统中的每个 Peer 就相当于 一个传统的 FTP 服务器 与 FTP 客户机的结合体。
用户管理服务器
心跳服务器
索引和检索服务器
文件目录服务器
Maze问题解决策略
Peer结点的发现与通信策略,包括结点的身份认证 和任意两个结点间的通信策略
文件共享和传输策略,包括资源目录的浏览 和确保资源可下载策略
系统可持续发展策略,包含非法资源的管理 和促进 资源丰富的 策略
Maze注册登陆
Maze设置了 用户管理服务器,由它进行用户注册 和 发放 信用卡。
用户携带有效的信用卡发文其他的服务器,其他的服务器检查信用卡上的数字签名来验证身份。
MazeUrl
包括标准URL 与脱离重心服务器的MazeUrl:
如:
maze://Maze UID/虚拟路径
maze://IP地址/虚拟路径
Maze积点和Maze星级
采用 优先级队列的方式组织排队队列。
每个Peer 的 Maze积点 以被下载的总大小 减去这个Peer 瞎咋的总大小计算,以找为单位,每兆算作一个 Maze 元。
Maze的星级 按 Maze积点计算,由 Maze积点时 2 的多少次方 减去 11 作为星级。
Maze文件下载
进入下载队列的Peer像提供文件服务的Peer 建立TCP 链接。
连接建立后,请求者提交自己的信息。接收方进行身份验证。
通过验证后,请求和发送文件大小请求包,提交要下载的文件的虚拟路径。
接收方根据该虚拟路径计算实际的物理路径,判断文件是否存在。不存在则返回错误,存在则返回文件大小。
请求者获得文件大小后,可以请求文件的某些块。
当传输完毕,断开TCP连接。 接收者将请求者的UID从下载队列取出到缓存队列,取出排队队列头部的排队者进入下载队列。
常见P2P文件共享系统
Maze,BitTorrent,PP点点通,百宝箱
IPTV系统
Internet Protocol Television,简称网络电视,
视频点播业务
VOD,Video on Demand ,视频点播技术的简称,也称 交互式点播系统。
节目制作中心
一般包含 解目采集压缩系统 兼 网络广播系统。
由 PC,视频压缩卡 和压缩软件组成 ,同时 可兼作 网络广播服务器。
专业视频服务器
VOD系统的核心,由专门的软件和硬件组成。
其是 开放的 多处理器系统, 能够存储 和传输 多个视频节目流。
视频节目库
带 RAID 功能的大磁盘组,用于存储节目。
VOD管理服务器
终端进入 视频点播系统 访问的中转站,以 浏览器方式 为 终端 提供用户登陆,并根据用户级别 提供各类 信息。
客户机播放设备
由 PC 或者 电视机 +机顶盒(Set-Top-Box)组成。
客户机包括三种:
就近式点播电视; Near VOD
真实点播电视,True VOD
交互式点播电视,Interactive VOD
直播电视
是 宽带服务商 提供给 宽带用户的 广播电视增值业务的一种方式。
传统的电视信号无法直接在IP承载网络进行传输,需对模拟信号进行编码处理。 编码可以采用 MEPG-2,MPEG-4,WMV或者H.264,称为 压缩编码技术。
系统组成
节目源
数据捕获和编码
媒体播放服务器
客户机
RealSystem技术介绍
RealNetworks网上流式 视/音频解决方案的提供者,提供从制作端 和服务端 到客户端的所有产品 。
时移电视
Time Shift TV.
直播电视采用组播方式实现数字视频广播业务,而时移电视 则 通过存储电视媒体文件,采用点播方式来为 用户实现时移电视的功能。
IPTV系统关键技术
IPTV技术介绍
基本技术形态可概括为: 视频数字化,传输IP化 和 播放流媒体化。
一个端到端的 IPTV系统 一般具有: 节目采集,存储与服务,节目传送,用户终端设备和相关软件 5个功能部分。
媒体内容分发技术
数字版权管理技术
IPTV运营支撑管理系统
VoIP实现方法
PC-to-PC
PC-to-Phone
计算机 登陆到 与对方电话网 相连的IP电话网关服务器,计算机的呼叫信号通过 Internet到达服务器后,自动转接到被叫方的电话上。
Phone-to-Phone
Modem设备通话
电话双方 各配置一个 类似 Modem 的设备,通话双方 通过它 登陆到 Internet上。
桥接器设备通话
桥接器 可以把 普通模拟信号的音频信号流 转换成 分组数据,送入Internet 传输。
IP电话网关服务器通话
网关服务器一端 与 Internet相连,另一端 与当地的PSTN相连。
PSTN: Public Swithed Telephone Network,公共交换电话网络
VoIP系统组成
终端
网关
IP电话系统的关键设备。 网关在传统的 电话交换网络 和Internet 之间 架起一座桥梁
基本原理
通过一个网关 可以实现: PC-to-Phone,Phone-to-PC
通过两个网关 可以实现:
Phone-to-Phone通信
功能
具有号码查询,建立通信连接,信号调制,信号压缩和解压,路由寻址的基本功能。
网守
中央控制实体,在VoIP网中 其管理作用。
Skype
融合了两大热门技术: VoIP 技术 和 P2P技术,有 突破防火墙限制的通信技术。
基本概念
Skype Client
简称为 SC
Super Node
超级结点,简称为SN,作用类似于 因特网中的核心路由器。
Login Server
Host Cache
是一个 SN的 IP地址和端口对 的列表,这些列表 由 SC建立 和 经常更新。
Encrvotion
加密处理
Codecs
编码方式
Port
采用端口
NAT/Firewall
SC采用了 各种 STUN 和 TURN 协议来决定 它在哪种类型给的NAT和防火墙之后。
Skype的网络架构
Skype客户端连接到超级结点上,而超级结点互相连接,整个网络作为一个整体,可以看作时用于全球定位的服务器。
Skype的特点
高清晰音质
高度保密性
跨平台性能
网络搜索引擎
英文为 Search Engine , 即 信息查找的发动机。
标题
URL
摘要
搜索引擎的原理和组成
搜索引擎的原理起源于 传统的信息全文检索理论。
全文搜索引擎功能模块的组成
搜索器
也称 蜘蛛Spiders,机器人Robot ,爬虫Crawlers, 实际上是 一种基于 Web的程序。
网络爬行
常把 搜索器建立关键字列表的过程称为 网络爬行
搜索策略
一般常采用两种搜集信息的策略。
一种是 从一个起始URL集合开始,顺着这些URL的超链接,以宽度优先,深度优先或启发式循环地在互联网中发现信息。
另一种是将 Web空间按照域名,IP地址或国家域名划分,每个搜索器负责一个子空间的穷尽搜索。
索引器
所引起的功能 是理解搜索器 所搜索的信息,从中抽取出 索引项,用于表示文档以及生成文档库的索引表。
索引器 可使用 集中式索引算法 或 分布式索引算法。 索引算法对所引器的性能有很大影响。
检索器
检索器的功能是根据用户的查询 在索引库中快速检出文档,进行文档与查询的相关度评价,对将要输出的结果进行排序,并实现某种用户相关性反馈机制。
用户接口
其作用 是输入用户查询,显示查询结果,提供用户仙姑感性反馈机制。
用户输入接口分为 简单接口 和复杂接口两种。
简单接口 只 提供用户输入查询串的文本框;
复杂接口 可让 用户 对查询进行限制, 如逻辑运算,相近关系,域名范围,出现位置,信息时间,长度等。
目录导航和网页搜索引擎组成
目录导航式搜索引擎的 信息搜集系统主要由 人工完成,搜友引擎的标引专家 依靠手工来搜寻不断出现的新网站,给每个网站一个标题和大概描述,将其放入响应的类目体系中。
搜索引擎的体系结构
Google和百度搜索引擎
主要技术
网页采集技术-分布式爬行系统
页面等级技术
超文本匹配分析技术
检索功能
检索方式
baidu
主要技术
智能性,可扩展搜索技术
超链分析技术
智能化中文语言处理技术
分布式结构优化算法与容错设计
智能化相关度算法技术
检索结果的智能化输出技术
高效的搜索算法和服务器本地化
检索功能
检索方式
社交网络的概念与历史
社交网络概念
社会网络的含义 包括 社会性的硬件,软件,服务及 应用。
最初的社会网络定义为: 由参与者集合 组成的 社会结构 以及参与者之间的社会联系。 研究表明,一个现实社会的社交网络的大小最大为 150人左右,平均大小为124人左右。
社交网络的起点是电子邮件;
BBS 和 网络社交将 群发 和转发 常态化
即时通信与博客 可看成 邮件与BBS的升级版
社交网络的历史
社交网络的开端 只是 获取用户的个人资料和好友列表。
概念化阶段
结交陌生人阶段
娱乐化阶段
社交图阶段
社交网络的基本模型
微观层次
二元对层
指 两个个体间形成的社会关系。
三元组层
在二元对中 加入一个新个体 就形成一个三元组。
参与者层
参与者也成为角色 或者自我,是每个个体在 社会网络中的 社会角色与活动的集合,也是社会网络分析的最小单位。
子集合层
子集合层 确定 网络子集间的距离,可达性,相互凝聚的子群体,并且形成群体的行动与行为。
中间层次
本层次实现 较为抽象的群体间的社会关系。
宏观层次
不再关心个体间的关系,通过对中间层次网络中群体关系的进一步抽象 与提高形成 大范围内的群体关系。
社交网络应用实例
博客与微博
网络管理的基本概念
网络的定义
包含两个任务,即网络运行状态检测,以及网络运行状态控制。
网络管理的重要性体现在:
1.网络设备的多样化复杂化 使得网络管理复杂化
2.经济效益越来越依赖于有效管理
3.先进可靠的网络管理 也是网络本身发展的必然结果。
网络管理的对象
硬件资源
指 物理介质,计算机设备和网络互联设备。
物理介质: 物理层设备,如网卡,双绞线;
计算机设备: 如打印机,存储设备,其他计算机外围设备。
网络互联设备:中继器,网桥,路由器
软件资源
包括: 操作系统,应用软件,通信软件,路由器软件,网桥软件。
通信软件 指 实现通信协议的软件。
网络管理的目标
有效;
可靠;
开放;
综合;
安全;
经济;
网络管理的功能
配置管理
最基本的网络管理功能,负责网络的建立,业务的展开 以及 配置数据的维护。
故障管理
主要任务是发现和排除网络故障。
网络故障包括: 检测故障,隔离故障,纠正故障。
计费管理
记录网络资源的使用,目的是控制和检测 网络操作的费用和代价。
性能管理
目的是维护网络服务质量和网络运营效率。
爆扣 性能检测; 性能分析; 性能管理控制功能。
安全管理
采用信息安全措施保护网络中的系统,数据以及业务。
网络管理的模型
网络管理的基本模型
一般采用 网络管理者---网关代理模型。
其核心是: 一对相互通信的系统管理实体,采用管理进程与一个远程系统相互作用,来实现对远程资源的控制。
网络管理模式
集中式网络管理模式
所有网关代理在管理站的监视 和控制下 协同工作实现集成的网络管理。
分布式网络管理模式
将数据采集,监视以及管理分散开来,可以从网络的所有数据源采集数据,而不必考虑网络的拓扑结构 。
网络管理协议
发展过程
CMIS和 CMIP
CMIS 支持管理进程 和 管理代理 之间的通信要求;
CMIP 提供 管理信息传输服务的应用层协议。
SNMP
IETF把 已有的 SGMP(简单网关监控协议) 进一步修改后,作为临时的解决方案,即 SNMP协议,也称 SNMPv1;
分别在 1992年与1997你那 发步 v2,和v3
SNMP协议
SNMP是由一系列协议组 和规范组成的,它们提供了一种从网络上的设备 中搜集 网络管理信息 的方法。
SNMP的体系结构
由 SNMP管理者 和 SANMP 代理组成, 每一个支持 SNMP的网络设备 都包含一个代理,代理随时记录网络设备的各种信息。
SNMP的数据收集
轮询(polling)法
网络管理员 通过 向 代理 发出查询信号 并得到相应信息的过程。 缺陷在于消息的实时性。
基于中断(interrupt-based)的方法
当异常发生时,理机通知网络管理工作站,实时性很强。 缺陷在于需要系统资源,将会影响到网络管理的主要功能。
陷入制导轮询方法(trap-directed polling)
将前两种方法结合。
网络管理工作站通过轮询 被管理设备的代理来收集数;
被管理设备的代理可以在任何时候向工作站报告错误情况。
CMIP协议
CMIP通过实践报告进行工作的。
CMIP的所有功能都要映射到应用层的相关协议上实现。
信息安全的概念
指 信息网络 的硬件,软件 以及 系统中的数据受到保护,不因偶然的 或者 恶意的原因而遭到破坏,更改,泄露; 系统连续,可靠,正常地运行,信息服务不中断。
信息安全策略
先进的信息安全技术
严格的安全管理
制定严格的法律,法规
信息安全性等级
国际安全性标准等级
D1 最小的保护
C1 有选择的安全保护
C2 受控的访问控制
B1 标记安全保护
B2 结构化安全保护
B3 安全域机制
A1 可验证安全设计
我国信息系统安全等级
自主保护级
遭受破坏后,对公民,法人有一定影响,不危害过价利益。
指导保护级
受到破坏后,会对国家利益造成一定损害。
监督保护级
受到破坏后,会对国家利益造成较大损害。
强制保护级
受到破坏后,会对国家利益造成严重损害。
专控保护级
受到破坏后,会对国家利益造成特别严重损害。
网络安全的基本概念
指网络系统的部件,程序,数据的安全性,在网络信息的存储,传输和使用过程中体现。
网络安全的目的
存储安全
传输安全
安全措施
社会的法律政策
技术方面的措施
审计与管理措施
OSI安全框架
安全攻击
被动攻击
对传输进行窃听和检测。
信息内容泄露
流量分析
主动攻击
伪装
重放
消息篡改
解决服务
分布式拒绝服务
服务攻击与非服务攻击
服务攻击
针对某种特定网络服务的攻击,如针对 E-mail,FTP,HTTP等服务的专门攻击。
非服务攻击
基于网络层等底层协议进行。 如 源路由攻击 和地址欺骗。
安全机制
在特定协议层实现
加密
数字签名
存取控制
数据完整性
认证交换
流量填充
公证
不属于任何协议层或安全服务
可信功能
安全标签
事件检测
安全审计跟踪
安全恢复
安全服务
认证
存取控制
数据保密性
数据完整性
不可否认性
网咯安全模型
模型一
模型介绍
通信一方 通过 Internet 将信息 传送给另一方,通信双方 必须协调工作 共同完成 消息的交换。
保证安全的方法
被发送信息的相关安全交换
双方共享某些秘密消息
可信第三方
需要由可信的第三方。 如 第三方负责将秘密信息 分欸给通信双方,而对攻击者保密。
当信息传输的真实性发生争执时,由第三方仲裁。
模型安全服务设计
设计安全相关传输的算法;
产生算法所使用的秘密消息;
设计分配和共享秘密的方法;
指明通信双方所使用的协议。
模型二(门卫功能)
黑客入侵
破坏程序
信息访问威胁
服务威胁
密码学基本术语
对称密码
公钥密码
密钥管理
消息认证
数字签名
身份认证
常用身份认证协议
安全电子邮件
网络层安全:IPSec
Web安全
入侵者
入侵检测技术
防火墙的特性
防火墙的分类
计算机病毒
计算机病毒防治策略