700字范文,内容丰富有趣,生活中的好帮手!
700字范文 > 全国计算机等级考试三级网络技术

全国计算机等级考试三级网络技术

时间:2021-12-27 18:31:31

相关推荐

全国计算机等级考试三级网络技术

目 录 第一章计算机基础 第二章网络技术基础 第三章局域网基础 第四章服务器操作系统 第五章 Internet基础 第六章 Internet基本服务 第七章网络管理与网络安全 第八章网络应用技术

第一章 计算机基础本单元概览 一、计算机概述。 二、计算机硬件系统。 三、计算机软件系统。 四、多媒体技术基础。 一、计算机概述 1.计算机的特点 高速自动进行信息处理的电子设备,它能按照人们预先编写的程序对输入的数据进行处理、存储、传送,从而输出有用的信息或知识, 2.计算机的发展阶段 计算机发展的5个阶段: (1)大型主机阶段:主要电子管时代 (2)小型计算机阶段:晶体管时代 (3)微型计算机阶段:大规模集成电路时代 (4)客户机/服务器阶段:网络阶段 (5)Internet阶段:从APPANET开始到Internet阶段 3.计算机应用领域 (1)科学计算 (2)事务处理 (3)过程控制 (4)辅助工程 (5)人工智能 (6)多媒体应用 二、计算机硬件系统 1.计算机硬件分类 服务器:提供服务的计算机。特点:处理能力强、存储容量很大、并且有高速的输入/输出通道和联网能力。 按应用的范围划分:入门级、工作组级、部门级、企业级 按处理器体系结构分:复杂指令集(CISC),精简指令集(RISC),超长指令字(VLIW)。 按用途划分:文件服务器、数据库服务器、电子邮件服务器、应用服务器等。 按机箱结构划分:台式服务器、机架式服务器、机柜式服务器、刀片式服务器。 工作站:面向计算机辅助设计等应用领域的高性能计算机。 分类:(1)基于RISC(精简指令系统)和UNIX操作系统的专业工作站(2)基于Intel处理器和Windows操作系统的PC工作站。 台式机:微型计算机(或个人计算机)。 笔记本:便携机或移动PC机。 手持设备:掌上电脑或亚笔记本。 2.计算机配置 不同的计算机基本上分为: 处理器:双核处理器,服务器工作站可采用多个CPU。 内存:1M~几十G 硬盘:几十到几百G以上 缓存:一级或二级缓存,容量1M左右 光驱:CD-ROMDVD 等,具有不同倍速 显卡:具有显示内存容量,支持颜色分辨率等 网卡:以太网卡 操作系统:windows,unix,linux等 3.计算机技术指标 字长:计算机的寄存器的字长。8,16,32,64等。1字节=8bit,1word=16bit ,计算机只识别0和1,称为二进制。 速度:每秒钟处理指令的数目。运算速度与施工频率有关,有时用主频衡量CPU的速度。 容量:内存和外存之分。内存必需。单位有1K=1024,1M=1024K,1G=1024M 数据传输率:单位bps,每秒钟传送的bit的位数。 可靠性:无故障时间越长,修复故障的时间越短,可靠性越高。 产品名称与版本:一般版本不能做技术指标,但因为计算机行业发展快,高版本一般性能优于低版本。 4.微处理器的技术特点 奔腾芯片的技术特点: (1)超标量技术 通过内置多条流水线同时执行多个处理,其实质是以空间换时间。 (2)超流水线技术 通过细化流水,提高主频,在一个周期内完成一个或多个操作,实质是以时间换空间。 (3)分支预测 通过设置分支目标缓冲器,动态预测分支转移情况,使得流水线的吞吐率能保持较高水平。 (4)双高速缓存的哈佛结构:指令与数据分开。 两个缓存,一个用于存指令,一个用于存数据,提高访问缓存的命中率。 (5)固化常用指令。常用指令用硬件实现 (6)增强的64位数据总线。内部32位,但与存储器之间外部总线增为64位。 (7)采用PCI标准的局部总线主要用于解决I/O瓶颈问题。 (8)错误检测以及功能冗余检验技术 内部错误检测采用偶检验,冗余判断系统是否出现异常。 (9)内置能源效率技术,系统不工作时进入睡眠模式,在几个毫秒时间内可进入全速运行状态。 (10)支持多重处理,多CPU,支持并行处理技术中最常用的体系结构。 安腾芯片的技术特点: 安腾是64位的处理器,主要用于服务器和工作站;而奔腾是32位的处理器,主要用于台式机和笔记本计算机 286,386采用的是复杂指令系统(CISC),奔腾采用精简指令系统(RISC),安腾使用简明并行指令计算技术(EPIC) 5.主板与插卡 (1)主板的组成: CPU,存储器,总线,插槽以及电源。 (2)主板的分类 可按不同角度分类,如: 主板的分类方法很多,下面介绍常用的分类方法。

(l)按CPU芯片分类,如386主板、PⅡ主板、PⅢ主板、P4主板等。

(2)按CPU插座分类,如Socket 7主板、Slot 1主板等。

(3)按主板的规格分类,如AT主板、Baby-AT主板、ATX主板等

(4)按芯片集分类,如TX主板、LX主板、BX主板等。

(5)按数据端口分类,如SCSI主板、EDO主板、AGP主板等。

(6)按是否即插即用分类,如PnP主板、非PnP主板等。

(7)按扩展槽分类,如EISA主板、PCI主板、USB主板等

(8)按主板品牌分类:华硕(ASUS),技嘉(GIGA),微星(MSI),映泰等。(3)网卡 网卡是组网的关键部件也叫适配卡。 功能:实现与主机总线的通信连接,解释并执行主机控制指令;实现链路层功能(形成帧,差错校验,发送接收等);实现物理层功能(传输驱动,信号侦听与接收等) 三、计算机软件系统 (1)软件的基本概念 软件是程序以及开发、使用和维护程序所需要的所有文档的总和。 (2)软件的分类 按用途分类:系统软件和应用软件 按授权分类:商业软件、共享软件、自由软件。 (3)软件开发 生命周期分3段:计划阶段、开发阶段、运行阶段。每个阶段可分为若干子段。 四、多媒体技术基础 (1)多媒体概念 媒体是信息的载体,是信息传递与存储的基本手段和工具。分为传播信息的载体和存储信息的载体。 多媒体技术:对文本、声音、图像等多媒体信息通过计算机进行数字化采集、处理、传输、存储、播放的一体化集成技术。 (2)多媒体的组成 计算机至少应具有:CD-ROM ,语音模拟与数字转换(A/D和D/A),高清显示器,数据压缩和解压缩功能。 (3)数据压缩与解压缩技术 多媒体信息中有何多冗余数据,去掉冗余的数据即压缩。 压缩方法的种类: 按图像是否有差别分:无损压缩和有损压缩。 按压缩原理分类:熵编码(无损压缩),源编码(有损压缩)和混合编码。 编码方法: a.信息熵编码:只压缩冗余而不损害信息熵。典型的方法有哈夫曼编码、游程编码、算术编码等。 b.预测编码法:去除相邻像素之间的相关性和冗余性,只对新的信息进行编码。典型方法有:微分脉码调制(DPCM)等 c.变换编码法:将给定的图像信号进行某种函数变换。如傅立叶变换,离散余弦变换等 d.矢量量化编码法:对数据分组,每组构成一个矢量,以矢量为单位进行量化。 预测编码,变换编码,矢量编码都是有损编码即属于源编码。 (4)国际压缩标准: a. JPEG:静止图像压缩的国际标准。适合于连续色调,多级灰度,单色或彩色静止图像的数字压缩编码。 b. MPEG:运动图像压缩的国际标准。通常包括三部分MPEG视频,MPEG音频,MPEG系统。需要考虑音频视频同步。 c. 国际电信联盟ITU-T关于视频编码的H.26x系列建议。包括H.261~H.264。H.261的目标是在ISDN上开展电视电话会议。 (5)超媒体与流媒体 超文本:非线性组织,每个文本一个结点,通过链接相关内容和其它结点实现浏览离散信息。 超媒体:当信息不限于文本形式时,称为超媒体。组成有两部分:结点和链接。结点:表达信息的基本单位;链接:建立结点之间的信息联系指针。 流媒体:流式媒体。对多媒体文件边下载,边播放的传输技术称为流媒体技术。 流媒体特点:连续性,实时性,时序性。 流媒体的服务模式:C/S模式和P2P模式。 (6)多媒体应用软件 分类:多媒体播放软件和多媒体制作软件。 播放软件:Windowsmedia play,real play等。 制作软件: 文字编辑软件:如word 图像处理软件:photoshop ,coreldraw等 动画制作软件:cool 3D,3D Studio MAX 等 音频处理软件:real jukebox等 视频处理软件:movie maker等 多媒体创作软件:authorware等 第二章 网络技术基础本单元概览 一、计算机网络的形成与发展。 二、计算机网络的基本概念。 三、分组交换的基本概念。 四、网络体系结构与网络协议的基本概念。 五、互联网应用的发展。 六、无线网络的应用与研究。 一、计算机网络的形成与发展 1.计算机网络的发展阶段 (1)独立发展的计算机技术与通信技术结合。奠定了计算机网络的理论基础。 (2)ARPANET与分组交换技术的发展,奠定了互联网的基础。 (3)各种广域网、局域网和公用分组交换网络的发展,网络体系结构与网络协议的标准化。国际标准化组织(ISO)制定了开放系统参考模型(OSI)。 (4)Internet、高速通信网络、无线网络与网络安全技术的应用。 2. 计算机网络的形成 (1)由一台中央主机通过通信线路连接大量的地理上分散的终端,构成面向终端的通信网络,终端分时访问中心计算机的资源,中心计算机将处理结果返回终端。 (2)20世纪60年代中期,出现了多台计算机通过通信系统互连的系统,开创了“计算机——计算机”通信时代,这样分布在不同地点且具有独立功能的计算机就可以通过通信线路,彼此之间交换数据、传递信息。 (3) ARPANET的发展以及OSI的制定,使各种不同的网络互联、互相通信变为现实,实现了更大范围内的计算机资源共享。 Internet是覆盖全球的信息基础设施之一,用户可以利用Internet实现全球范围的信息传输、信息查询、电子邮件、语音与图像通信服务等功能。 广域网分为资源子网和通信子网。 3. 网络体系结构与协议标准化 在计算机网络发展的第三阶段,出现了很多不同的网络,导致网络之间的通信困难。迫切需要统一的网络体系结构和统一的网络协议。 ISO制定了OSI参考模型,作为国际认可的标准模型。 TCP/IP协议以及体系结构早于OSI参考模型,因此TCP/IP协议与体系结构也是业内公认的标准。 4. 互联网的应用与高速网络技术的发展 (1)互联网高速发展 互联网不仅是一种资源共享、数据通信和信息查询的手段,逐渐成为人们了解世界、讨论问题、休闲、学术研究、商贸、教育甚至军事活动等重要领域。 (2)信息高速公路 高速网络技术主要体现在:异步传输模式(ATM),宽带综合业务数字网(B-ISDN),高速局域网,交换局域网,虚拟网络与无线网络。 (3)基于WEB技术的互联应用的发展 Web技术的出现使网站的数量和网络的通信量呈指数增长。 (4)基于P2P技术的应用技术发展 区别于C/S结构,对等(P2P)网络淡化了服务提供者和服务使用者的界限,扩大了网络资源的范围和深度。 (5)网络安全技术的发展 计算机网络犯罪,使得网络必须具备足够的安全机制,防止信息被非法窃取、破坏与泄露。 5. 宽带城域网的发展 宽带城域网与传统的通信网络在概念和技术上发生了很大的变化,主要体现在以下几个方面: 传统局域网、城域网与广域网在技术上的界限模糊 传统的电信传输技术与计算机网络技术的界限越来越模糊 传统的电信服务与互联网应用的界限越来越模糊 电信传输网、计算机网络与广播电视网络技术的界限越来越模糊 宽带城域网的核心技术是:核心交换网和接入网。 二、计算机网络的基本概念 1. 计算机网络的定义 所谓计算机网络,就是把分布在不同地理区域的计算机与专门的外部设备用通信线路互连成一个规模大、功能强的网络系统,从而使众多的计算机可以方便地互相传递信息,共享硬件、软件、数据信息等资源。 计算机网络是现代通信技术与计算机技术相结合的产物。 其基本特征体现在三个方面: (1)资源共享 (2)不同地理位置的“自治计算机” (3)计算机之间必须遵守共同的网络协议 2. 计算机网络的分类 计算机网络分类的标准很多,如按拓扑结构、应用协议、传输介质、数据交换方式等等。如按网络的覆盖范围可以将网络分为局域网、广域网、城域网;按拓扑结构分类有总线网、树型网、星型网、环型网、网状网;按传播方式分为点对点传输和广播式传输等。 (1)按覆盖范围分类: 局域网:一般用微型计算机通过高速通信线路相连,数据传输速率较快,通常在10 Mbit/s以上,误码率较低。但其覆盖范围有限,是一个小的地理区域(例如:办公室、大楼和方圆几公里远的地域)内的专用网络。局域网从介质访问控制方法来看可分为共享式介质和交换式局域网。 城域网:介于局域网和广域网之间的高速计算机网络。 广域网:是远距离、大范围的计算机网络,覆盖范围一般是几十公里~几千公里的广阔地理区域,其主要作用是实现远距离计算机之间的数据传输和信息共享,并且通信线路大多租用公用通信网络(如公用电话网PSTN)。广域网从逻辑功能上分为通信子网和资源子网。 (2)按拓扑结构分类 网络拓扑结构:计算机网络的几何图形表示。 广播式网络是指一个公共信道被多个网络结点共享,对应的网络拓扑结构有总线、树型、环型、无线通信与卫星通信。 点对点线路是指每个物理线路链接两个结点。对应的拓扑结构有星型、环型、树型与网状。 3. 计算机网络传输特性的参数 (1)数据数据传输速率 每秒钟传输二进制的比特数。单位bir/s或bps。 记作: s=1/T (bps) T为传送1bit所需要的时间。 单位变换时一般省略24进行统计,如下:1Kbps=1000bps,1Mbps=1000Kbps,1Gbps=1000Mbps,1Tbps=1000Gbps 带宽与速率的关系: 奈奎斯特给出没有噪声时带宽与最大传输速率之间的关系: Rmax=2*B Rmax:最大数据传输速率。B通信信道带宽(频率)单位HZ。 香农给出了有随机热噪声时带宽与数据传输速率之间的关系: Rmax= B*LOG2(1+S/N) S/N信噪比(信号与噪声功率比)单位是分贝。 (2)误码率 二进制码元在数据传输过程中被传错的概率,其近似值为: Pe= Ne/N N为传输二进制码元的总数,Ne为被传错的码元数。 误码率应注意以下问题: 误码率是衡量数据传输系统正常工作状态下传输可靠性的参数。 对于实际的传输系统,不能笼统地说误码率越低越好,要根据实际情况衡量。 实际的传输系统,如果不是传输二进制码元,需要折合成二进制码元计算。 误码率具有随机性,实际测量时只有测试的二进制码元越大,才会接近真正的误码率。 三、分组交换技术的基本概念 1.电路交换的基本概念 通信子网的交换方式中分为两类:电路交换和存储转发交换。 存储转发交换分为报文存储转发交换(报文交换)和报文分组存储转发交换(分组交换)。 电路交换分为三个阶段: (1)线路建立:两台主机要传输数据,首先通过子网建立两台主机之间的线路连接。 (2)数据传输:线路连接后,可以实现实时、双向的交换数据。 (3)线路释放:数据传输结束后,原点想目的主机发送释放请求,目的同意后逐步释放连接。 线路交换的优点:实时性强,适应于交互式会话通信。 线路交换的缺点:对突发性通信不适应,系统效率低,不具备存储数据能力,不具备差错控制能力。 2. 存储转发交换的特点 与线路交换的特点区别: (1)发送的数据与目的地址、源地址、控制信息按照一定格式组成一个数据单元(报文或报文分组)进入通信子网。 (2)通信子网的结点是通信控制处理机,它负责完成数据单元的接受、差错检验、存储、路径选择和转发功能。 转发数据的单位分为两种:报文和分组。 报文:数据长度不限,增加目的地址、源地址与控制信息组成一个逻辑单元。 分组:限制报文长度,源结点需要将报文分成多个分组,发送结束后,由目的结点按顺序重新组织成报文。 存储转发优点:共享信道,线路利用率高;路由选择功能,提高系统效率;每个路由可进行差错检查和纠错处理,提高系统可靠性;路由器实现不同通信速率的转换,也可对不同数据代码格式进行转换。 3. 数据报方式与虚电路方式 (1)数据报方式 分组传输前不需要预先在源与目的之间建立连接,源主机发送的每一个分组都可以独立选择一条传输路径,每个分组可以在通信子网中通过不同的路径传输到达目的地。 具体步骤: 源主机将报文分成若干个分组,发送给直接相连的处理机,收到的处理机存储分组; 每个收到分组的处理机都进行差错检验,然后收到分组的处理机向发送处理机返还确认信息。 如果分组发送正确,源处理机丢弃副本然后进行路径选择发送给下一个处理机。 如果分组发送错误,则要求重发; 直到到达目的地。 数据报的特点:各分组可按不同路径发送;到达目的地的分组可能有乱序、丢失等现象;每个分组要包含目的和源地址;传输延迟较大。 (2)虚电路方式 分组发送前,在发送方和接收方建立逻辑连接。所以虚电路的工作过程分为3个阶段:虚电路建立、数据传输、虚电路拆除。 虚电路的特点: 每次分组传输前,需要在源和目的之间建立逻辑连接; 所有分组按统一建立的虚电路传输,不会出现乱序和丢失现象; 分组通过的每一个结点时,结点只要差错检查,不需要路径选择; 通信子网中的每一个结点可以与任何结点建立多条虚电路。 虚电路与线路交换的区别:虚电路在传输分组时建立虚连接,这种电路不是专用的;而电路交换的连接是物理连接,是独占的。 四、网络体系结构与网络协议的基本概念 1. 网络体系结构的基本概念 网络协议:为网络数据交换而制定的规则,约定与标准。 主要有三要素: 语法:规定用户数据与控制信息的结构和格式; 语义:规定需要发出何种控制信息以及完成的动作与作出的响应; 时序:对事件实现顺序的详细说明。 网络体系系结构:对计算机网络应完成的功能的精确定义。 体系结构是抽象的,而实现是具体的,是能够运行的一些硬件和软件。体系结构采用层次结构。 层次结构的好处: a) 各层之间相互独立 b) 灵活性好 c) 各层都可以采用最合适的技术实现,各层实现技术部影响其它层 d) 易于实现和维护 e) 有利于促进标准化 2. ISO/OSI参考模型 (1)OSI参考模型的概念 OSI中采用三级抽象:体系结构、服务定义和协议规格说明。 体系结构:定义了层次结构、层次之间的相互关系以及各层所包括的可能的服务,是对网络内部结构最精炼的概括与描述。 服务定义:详细说明了各层所提供的服务。通过接口提供给更高一层。同时还定义了层与层之间接口和各层所使用的原语,但不涉及接口的实现。 协议规格说明:精确定义了应当发送什么控制信息,以及应当用什么样的过程解释这个控制信息。协议的规程说明具有最严格的约束。 OSI参考模型仅仅是抽象描述,或者说是一个制定标准时所使用的框架。 (2)OSI参考模型的结构以及各层的主要功能 OSI分7层:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。 物理层:利用物理传输介质为数据链路层提供物理连接,以便透明传输比特流。 数据链路层:在物理提供比特流传输服务的基础上,在通信的实体之间建立数据链路连接,传送以帧为单位的数据,并具有差错控制和流量控制功能。 网络层:通过路由选择算法,为分组的通过选择最适当路径。需要实现路径选择、拥塞控制与网络互联功能。 传输层:向用户提供可靠的端到端服务,透明传输报文,它向高层屏蔽了下层功能,是体系结构中最关键的一层。 会话层:组织两个会话进程之间的通信,并管理数据交换。 表示层:处理两个通信系统中交换信息的表示方式。包括格式转换、数据加密解密、数据压缩与数据恢复等功能。 应用层:确定进程之间通信的性质,以满足用户的需要。 3.TCP/IP参考模型与协议 TCP/IP的协议特点: 开放的协议标准,独立于特定的计算机硬件和操作系统 独立于特定的网络硬件,可以在局域网、广域网和互联网中 统一的地址分配方案,使得每台网络中计算机具有唯一的地址 标准化的高层协议,可提供多种可靠的用户服务。 TCP/IP参考模型与层次 主机-网络层、互联层、传输层和应用层。 与OSI模型对应: TCP/IP的主机-网络层实现了OSI模型中物理和链路层的功能。 TCP/IP的互联层功能主要体现在3个方面: (1)处理来自传输层的分组发送请求(2)处理接收的数据报(3)处理互联的路径、流控与拥塞问题 传输层实现应用进程间的端到端通信,具有两个协议:TCP和UDP协议。 TCP :是一种可靠面向连接的协议,允许将一台主机的字节流无差错地传送到目的主机。 UDP:不可靠的无连接协议。不要求分组顺序到达目的地。 应用层的主要协议有:远程登录协议(Telnet),文件传输协议(FTP),简单邮件传输协议(SMTP), 域名服务(DNS),路由信息协议(RIP),网络文件协议(NFS),超文本传输协议(HTTP)等。 五、互联网应用的发展 1.基于WEB应用的发展 WEB技术的出现使互联网从最初的主要由计算机专家和大学生使用,变为一种被广泛使用的信息交流工具;同时使得网站的数量和网路的通信量呈指数增长,已经广泛应用于电子政务、电子商务、远程教育与信息服务等领域,并有继续扩大的趋势。 2.搜索引擎技术的发展 搜索引擎是运行在WEB上的应用系统软件,是对网络上大量资源建立索引并提供检索服务的应用软件。 3.播技术的应用 播客(Podcast)是基于互联网的数字广播技术之一。 根据节日类型的不同,分为:传统节目的播客、专业播客提供商与个人播客。 4.博客技术的应用 博客(blog)指以文章的形式在互联网上实现信息共享。在技术上属于网络共享空间,在形式上属于个人互联网出版类的应用。 5.网络电视的应用 网络电视(IPTV)通过宽带IP网络传输,可以实现与用户的互动点播,同时能够方便地将传统电视与WWW、E-MAIL等互联网结合起来。 6. P2P技术的应用 P2P网络中的每一台计算机既可以作为网络服务的使用者,又可以作为网络服务的提供者。 六、无线网络的研究与应用 1.宽带无线接入技术与IEEE802.16标准 IEEE802.16无线城域网标准,可提供2~155Mbps的带宽,宽带无线接入分为移动接入和固定接入。 2.无线局域网与IEEE802.11标准 IEEE802.11标准以微波、激光与红外线等作为传输介质,实现移动计算机网络中的移动结点的物理层与数据链路层的功能。 3. 蓝牙技术与IEEE802.15标准 蓝牙技术是无线自组网的应用,IEEE802.15是以蓝牙规范为基础,制定的短距离、低功耗的无线通信标准。 第三章 局域网基础本单元概览 一、局域网与城域网的基本概念 二、以太网 三、高速局域网的工作原理 四、交换式局域网与虚拟局域网 五、无线局域网 六、局域网互联与网桥的工作原理 一、局域网与城域网的基本概念 1.决定局域网与城域网的三要素 决定局域网与城域网特点的三要数是:网络拓扑结构、传输介质、介质访问控制方法。 2.局域网拓扑结构的类型与特点 局域网与广域网的重要区别是覆盖的地理范围不同,因此其基本通信机制与广域网完全不同:局域网采用共享介质与交换方式,广域网采用存储转发。 局域网在传输介质、介质访问控制方法上形成了自己的特点。其主要的网络拓扑结构分为:总线型、环型与星型。网络介质主要采用双绞线、同轴电缆与光纤等。 总线拓扑: 介质访问控制方法:共享介质方式。 优点:结构简单、容易实现、易于扩展、可靠性好。 特点: 所有结点都通过网卡连接到公共传输介质总线上,总线通常采用双绞线或同轴电缆,所有结点通过总线发送或接收数据,由于多个结点共享介质,因此会有冲突出现,导致传输失败,必须解决介质访问控制问题 共享介质解决的3个问题:哪个结点发送数据?发送时是否有冲突?有冲突如何处理? 环型网络拓扑结构 环型网络拓扑是结点间通过网卡利用点到点线路连接形成闭合的环型。环中的数据沿着同一个方向逐站传输。 环型结构中,多个站点共享一条环通路,为了确定哪个结点可以发送数据,同样需要进行介质访问控制。 环型结构通常采用分布式控制方法,环中每个结点都要执行发送和接收的控制逻辑。 3.传输介质类型和介质访问控制方法: 局域网介质类型:同轴电缆、双绞线、光纤和无线通道。 局域网介质访问控制方法: IEEE802.2标准定义了共享介质局域网有以下3类: 带冲突检测的载波侦听多路访问(CSMA/CD)----总线网 令牌总线(token bus) -------总线网 令牌环(tokenring)----------环型网 4. IEEE802参考模型 IEEE802(局域网标准委员会),专门从事局域网标准化工作。重点是解决局部范围内的计算机组网问题。研究者只需要面对OSI模型中数据链路层和物理层,网络层及以上高层不属于局域网协议的研究范围。 局域网领域中有典型的三种技术:以太网、令牌总线和令牌环。 数据链路层的功能复杂,设计者将链路层分为两部分: LLC (逻辑链路控制子层)和MAC(介质访问控制子层)。 解决方案:不同的局域网在LLC中必须使用相同的协议。LLC子层与传输介质和介质访问控制方法无关。 在MAC子层和物理层中不同局域网可以采用不同协议。 5. IEEE802标准 IEEE802标准规定了局域网中不同层次(数据链路层和物理层)中的标准。 可简单分为3类: l定义局域网的体系结构、网络互连、网络管理与性能测试的IEEE802.1 l定义逻辑链路控制(LLC)的功能与服务的IEEE802.2标准。 l 定义不同介质访问控制技术的相关标准。 l如下图: 二、以太网 1.以太网的发展 1976年7月,Bob在ALOHA网络的基础上,提出总线型局域网的设计思想,并提出冲突检测、载波侦听与随机后退延迟算法,将这种局域网命名为以太网(Ethernet)。 以太网的核心技术是: 介质访问控制方法CDMA/CD. 这种方法解决了多结点共享公用总线的问题。 早期以太网的传输介质是同轴电缆,后用双绞线,再后用光纤。 2.以太网的帧结构与工作流程 (1)以太网数据发送流程 冲突:多个站点同时利用总线发送数据,导致数据接收不正确。 总线网没有控制中心,如果一个站点发送数据帧,以广播方式通过总线发送,每一个站点都能收到数据帧,其它站点也可以同时发送,因此冲突不可避免。 实现公共传输介质的控制策略,需要解决的问题是: 载波侦听,冲突检测,冲突后的处理方法。 CSMA/CD发送流程可简单概括为:先听后发,边听边发,冲突停止,延迟重发。 如下图: (a)载波侦听 结点利用总线发送数据时,首先侦听总线是否空闲,以太网规定发送数据采用曼彻斯特编码。判断总线是否空闲可以判断总线上是否有电平跳变。不发生跳变总线空闲。此时如果有结点已准备好发送数据,可以启动发送。 (b)冲突检测方法 载波侦听不能完全消除冲突,原因是数字信号是以一定的速率传输的。例如:结点A发送数据帧时,离他1000m距离的结点在一定的时间延迟后才能收到数据帧,此时间段内如果B也发送数据,造成冲突。 从物理层上看,冲突时多个信号叠加,导致波形不同于任何结点的波形信号。 解决方案:结点A发送数据前,先发送侦听信号,如果侦听信号在最大距离传输时间2倍时,没有冲突信号出现,结点A肯定取得总线的访问权。 冲突信号的延迟时间=2*D/V 其中:D是结点到最远结点的距离,V表示信号传输速度,信号往返的时间为延迟时间。 进行冲突检测的方法有两种:比较法和编码违例法。 比较法:将发送信号波形与从总线上接收的信号比较,如果不同说明有冲突。 违例编码法:检查总线上的波形是否符合曼彻斯特编码规则,不符合说明有冲突。 (c)冲突解决方案 发现冲突,停止发送 如果发送数据的过程中检测出冲突,为解决信道争用冲突,发送结点停止发送,随机延迟后重发的流程。 随机延迟后重发的第一步:发送冲突加强信号,目的是延续冲突的持续时间,使得网络中的所有结点都能检测出冲突的存在,并立即丢弃冲突帧,提高信道利用率。 随机延迟重发 以太网协议规定每帧的最大重发次数不得超过16次,若超过则认为线路故障。 为公平解决信道争用问题,需要确定后退延迟算法。典型的CSMA/CD采用二进制指数退避算法,退避延迟时间计算为: t=2k×R×a 其中:a是冲突窗口大小,R是随机数,k为冲突次数,定义k的最大值,一旦k是最大值时是最后一次发送。每次的延迟时间都会根据公式求出。 以太网中任何结点都需要通过CSMA/CD方法争取总线使用权,从准备发送到成功发送时间不确定。因此又称为随机争用介质访问控制方法。简单易实现。 (2)以太网帧结构 PA:前同步码 -10101010序列,用于使接收方与发送方同步 SFD:帧首定界 -- 10101011 DA:目的MAC地址;SA:源MAC地址 LEN:数据长度(数据部分的字节数)(0-1500B) Type:类型。高层协议标识 LLC PDU+pad -- 最少46字节, 最多1500字节 Pad:填充字段,保证帧长不少于64字节(若Data域≥46字节,则无Pad) FCS:帧校验序列(CRC-32) (3)以太网接收流程 如果一个结点利用总线成功发送数据,其它结点都应该处于接收状态。所有结点只要不发送数据,就应该处于接收状态。 一个结点接收帧,首先判断帧的长度。(规定了最小长度,若小与最小长度,冲突,丢弃该帧,结点重新进入接收状态) 如果没有冲突,结点接收帧后首先检查帧的目的地址。(目的地址单一地址或组地址或广播地址,属于自己则保留,否则丢弃) 地址匹配后确认是自己应该接收的帧,进一步进行CRC校验。 如果校验正确,则进一步检测LLC数据长度是否正确。出错则报告”帧长度错“,否则报告”成功接收”,进入结束状态。 如果检验出错,首先判断该帧是否是8为的整数倍,是,表示没有丢失位,则记录”帧检验错“,否则报告”帧位错“,进入结束状态。 以太网协议将接收出错分为3类:帧检验错、帧长度错与帧位错。 3.以太网的实现方法 每个站点都可以接收到所有来自其他站点的数据 为决定那个站点接收,需要寻址机制来标识目的站点 目的站点将该帧复制,其他站点则丢弃该帧 4.以网的物理地址 IEEE802标准为每个DTE规定了一个48位的全局地址,它是站点的全球唯一的标识符,与其物理位置无关。——MAC地址(物理地址) MAC地址为6字节(48位)。 MAC地址的前3个字节(高24位)由IEEE统一分配给厂商,低24位由厂商分配给每一块网卡。 网卡的MAC地址可以认为就是该网卡所在站点的MAC地址。 三、高速局域网工作原理 1.高速局域网的研究方法 传统局域网技术建立在”共享介质“的基础上,网中所有结点共享一条公共传输介质,典型的控制方法有:CSMA/CD、令牌环和令牌总线。 介质访问控制方法使得每个节点都能够”公平“使用公共传输介质,如果网络中结点数目增多,每个结点分配的带宽将越来越少,冲突和重发现象将大量增加,网络效率急剧下降,数据传输的延迟增长,网络服务质量下降。 解决方案: (1)增加公共线路的带宽。优点:仍然是局域网保护用户已有的投资。 (2)将大型局域网划分成若干个用网桥或路由连接的子网。 优点:每个子网作为小型局域网,隔离子网间的通信量,提高网络的安全性。 (3)将共享介质改为交换介质 优点:交换式局域网的设备是交换机,可以在多个端口之间建立多个并发连接。交换方式出现后,局域网分为:共享式和交换式局域网。 2.快速以太网 以太网采用相同的帧格式,同样的介质访问控制与组网方法,将速率从10Mbps提高10倍到100Mbps。解决方法只要在MAC子层使用CSMA/CD,在物理层进行必要调整,定义新的物理层标准。形成快速以太网标准IEEE802.3u。 100base-T标准定义了介质独立接口,它将MAC子层与物理层隔开,传输介质和信号编码方式的变化不会影响MAC子层。 100BASE-T的有关传输介质标准主要有3种: (1)100base-TX:支持2对5类非屏蔽双绞线或2对1类屏蔽双绞线;其中1对用来发送,1对用来接收,是全双工系统,每个结点可同时以100Mbps发送和接收数据。 (2)100base-T4:支持4对3类非屏蔽双绞线,其中3对用于数据传输,1对用于冲突检测。 (3)100base-FX:支持2芯的单模或多模光纤,主要用于高速主干网,从结点到集线器的距离可达2km。是全双工系统。 3.千兆以太网 在电视会议、三维图形与高清晰图像应用中,需要使用更高带宽的局域网。 设想方案: (1)桌面10M,部门采用快速以太网100M,企业级采用1G的千兆以太网。 (2)将现有网络连入到ATM网上,异构网络连接。 IEEE802.3z标准定义了千兆网标准。 方法: 在物理层做一些必要调整,定义了1000BASE-T标准。支持多种传输介质。 4种标准: (1)1000base-T:5类非屏蔽双绞线,距离100m。 (2)1000base-CX:屏蔽双绞线,长可到25m。 (3)1000base-LX:使用波长1300nm的单模光纤,长可3000m。 (4)1000base-SX:波长850nm的多模光纤,长可300~550m。 3.万兆以太网 万兆以太网,使用光纤做传输介质。不存在争用问题,不再使用CSMA/CD协议。 四、交换式局域网与虚拟局域网 1.交换式局域网的基本结构 (1)交换机的基本概念 交换机可以有多个端口,每个端口可以连接一个结点,也可连接共享介质的集线器(HUB);实现多个端口的并发连接和多个节点的并发传输。交换机通常针对某种局域网设计,交换式局域网的核心设备是局域网交换机。 (2)交换机的特点:低交换延迟,支持不同传输速率和工作模式(交换机端口支持不同的传输速率,交换机可完成不同端口速率之间转换),支持虚拟局域网服务(交换式局域网是虚拟局域网的基础) 2.局域网交换机的工作原理 交换机需要建立端口号/MAC地址映射表,某台计算机发送数据时,利用帧的目的地址,通过映射表找到对应端口号,将数据从一个端口送到另一个端口。 关键问题: (1)交换机如何知道哪个结点连接哪个端口? (2)当结点从交换机的一个端口转移到另一个端口时,交换机如何来修改地址映射表? 交换机通过”地址学习“方法获得。 “地址学习”是指通过读取帧的源地址并记录交换机的端口号;在得到端口号与MAC地址的对应关系后,交换机检查端口号/MAC地址映射表是否存在对应关系,如果存在就更新该表项纪录,如果没有就加入到地址映射表中。 交换机加入或更新端口号/MAC地址映射表时,加入或更新的表项增加一个计时器,当计时器溢出前没有再次捕捉到该端口与MAC的对应关系,将该表项删除。通过删除过时的表项,交换机维持一个精确的端口号/MAC地址映射表。 交换机的帧转发方式 以太网交换机的帧转发方式包含3类: •直通交换方式 交换机只要接收帧并检测目的地址,就立即将该帧转发出去,不用判断是否出错。帧出错检测由结点完成。优点:交换延迟短;缺点:缺乏检错,不支持不同速率端口之间的帧转发。 •存储转发交换方式 交换机需要完整接收帧并进行差错检测。优点:具有差错检测能力,并支持不同速率端口间的帧转发;缺点:交换延迟将会延长。 •改进直通交换方式 结合上述两种方式,接收到前64B后,判断帧头是否正确,正确转发。 对短帧而言,交换延迟同直通交换延迟;对长帧而言,因为只对帧头(地址和控制字段)检测,交换延迟将会减少。 3.虚拟局域网的工作原理 (1)虚拟网络概念:建立在交换机技术基础上,将局域网上的结点按工作性质与需要划分成若干个“逻辑工作组”,一个逻辑工作组就是一个虚拟网络。 虚拟网络以软件方式实现逻辑工作组的划分与管理,工作组的结点不受物理位置的限制(相同工作组的结点不一定在相同的物理网段上,只要能够通过交换机互联)。从一个工作组到另一个工作组时,只要通过软件设定,无需改变结点在网络中的物理位置。 (2)组网方法:(4种) •利用交换机端口号定义虚拟局域网:逻辑上将交换机端口划分为不同的虚拟子网,当某一端口属于一个虚拟网时,就不能属于另外一个虚拟子网。缺点:当将结点从一个端口转移到另一个端口时,管理者需要重新配置虚拟网成员。 •用MAC地址定义虚拟网络:利用MAC地址定义虚拟局域网,因为MAC地址是与物理相关的地址,因此称为基于用户的虚拟网;缺点:所有用户初始时必须配置到至少一个虚拟网,初始配置人工完成,随后可自动跟踪用户。 •用网络层地址定义虚拟网络:利用IP地址定义虚拟网。优点:用户可按协议类型组成虚拟网,可随意移动不需要重新配置。缺点:性能比较差,原因是检查网络层地址比检查MAC地址更费时。 •基于IP广播组的虚拟网络:基于IP广播组动态建立虚拟网。广播包发送时,动态建立虚拟网,广播组中的所有成员属于一个虚拟网。它们只是特定时间内特定广播组成员。优点:可根据服务灵活建立,可跨越路由器与广域网。 4.虚拟局域网优点 (1)方便网络用户管理,减少网络管理开销 通过虚拟局域网的设置可以在调整用户涉及结点位置变化时,不需要重新布线。 (2)提供更好的安全性 针对不同的用户可以设置不同的权限和要求,虚拟网是一种简单、经济和安全的方法。 (3)改善网络服务质量 虚拟网可以隔离不同的用户组,将同类的用户控制在一个虚拟局域网中,减少广播风暴的危害,有利于改善网络服务质量。 五、无线局域网 1、无线局域网的应用 体现在4个方面: •扩充传统局域网:某些特殊环境局域网起不到作用,利用无线解决。 •建筑物之间的互联:邻近的建筑物之间可采用点到点的无线链路。 •漫游访问:移动设备与无线集线器之间实现漫游访问。 •特殊无线网络的结构:无线自组网采用一种不需要基站的“对等结构”移动通信模式,网络中的所有用户都可能移动,每个系统都具备动态搜索、定位和恢复连接的能力。 2、红外无线局域网 按视距方式传播,发送点必须能直接看到接收点,中间没有阻挡。 数据传输技术主要有三种:定向光束红外传输、全方位红外传输与漫反射红外传输。 3、扩频无线局域网 扩频通信是将数据基带信号频谱扩展几倍或几十倍,以牺牲通信宽度为代价达到提高无线通信系统的抗干扰性与安全性。 扩频技术主要有2种: •跳频扩频通信 特点:将利用的频带分为多个子频带,子频带称为信道。 每个信道带宽相同,中心频率有伪随机数发生器的随机数确定,变化频率叫跳跃系列。 发送端和接收端采用相同的跳跃系列。 •直接序列扩频通信 特点:将发送数据经过伪随机数发生器产生的伪随机码进行异或操作,再将异或操作的结果调制后发送,所有接收结点使用相同频段,发送端与接收端使用相同的伪随机码 4、无线局域网标准IEEE802.11 标准规定物理层定义红外、跳频扩频与直接序列扩频的数据传输。 MAC层的主要功能是对无线环境的访问控制、提供多个接入点的漫游支持,同时提供数据验证与保密服务。 MAC层支持两种访问方式:无争用服务和争用服务。 无争用服务:系统中存在中心控制结点。中心控制结点的具有点协调功能。 争用服务:类似以太网的随机争用访问控制方式,称为分布协调功能。 六、局域网互联与网桥的工作原理 1、网桥的工作原理 当多个局域网互联时需要数据链路层的设备--------网桥。 作用是:数据接收、地址过滤与数据转发的作用。 网桥的特点: •互联两个采用不同链路层协议、传输介质与传输速率的网络 •接收、存储、地址过滤与转发的方式实现互联网络的通信 •需要在链路层以上采用相同协议 •分隔两个网络之间的广播通信,有利于改善网络的性能与安全性 常见的情况下是网桥连接两个局域网。 注意: •网桥不更改接收帧的内容与格式,要求在MAC子层以上使用相同协议 •衡量网桥性能指标是每秒钟接收与转发的帧数 •网桥必须具有寻址能力和路由选择能力 •网桥连接的两个局域网的MAC子层和物理层的协议可不相同 2、网桥的路由选择策略 网桥通过路由表来实现不同网段之间的帧转发。网桥的中工作是构建和维护路由表。路由表是用于记录不同结点的物理地址与网桥转发端口的关系。 按路由表建立方法分为两类:透明网桥与源路由网桥。 透明网桥:透明网桥的路由表记录3个信息:站地址、端口与时间。 路由表建立过程: 网桥初始连入局域网时,路由表为空;当透明网桥收到一个帧时,它将记录源MAC地址、帧进入网桥的端口号和时间,然后将帧向所有其它端口转发,网桥在转发的过程中,逐渐建立路由表。 源路由网桥:源路由网桥由发送帧的源结点负责路由选择。 过程:为发现合适的路由,源结点以广播方式向目的结点发送一个用于探测的发现帧,发现帧在通过网桥连接的各个局域网中沿着所有可能的路由传送。传送过程中每个发现帧记录路由,到达目的地后,沿着各自的路由返回源结点。源结点从所有路由中选择一个最佳路由。 3、网桥与广播风暴 广播风暴:当网桥的端口---结点地址表中没有结点地址信息时,网桥无法决定从哪个端口转发数据,简单方法是广播传输,但“盲目”广播使无用的通信量剧增,造成“广播风暴”。 网桥工作在链路层,网桥根据源地址与目的地址决定是否将接收和转发数据帧。网桥如果要转发必需存储一张端口----结点地址表。 当结点在表中不存在时,容易形成广播风暴。 4、多端口网桥与第二层交换 以太网交换机通过提供在多个端口之间的并发连接提高局域网性能。 从工作角度看,以太网网桥与以太网交换机都工作在链路层,交换机可以看作是一个多端口的网桥。 网桥一般采用接收、存储、地址过滤与帧转发 交换机完成帧的转发 交换机可以直接与计算机连接 网桥不是直接连接计算机而是连接局域网 由于交换机负责完成帧一级的交换,并工作在链路层,因此又被称为第二层交换机。 目前很多交换机具有网桥和路由器的基本功能。 第四章 服务器操作系统本单元概览 一、网络操作系统的特点。 二、网络操作系统的类型与功能。 三、windows网络操作系统。 四、unix网络操作系统。 五、linux网络操作系统。 一、网络操作系统的特点 1、操作系统定义 最靠近硬件的一层系统软件,是计算机与用户之间的接口。 分为单机操作系统和网络操作系统。 从两个方面说明操作系统: 为应用程序提供运行环境,为用户提供简单方便的工作界面。 管理计算机资源,使资源利用率更高,使上层的应用程序可以获得比硬件提供的功能更多的支持。 操作系统的管理功能: 进程管理:进程是指将执行的程序。操作系统提供了一种启动进程的机制。在DOS中用EXEC函数。在Windows中用Createprocess,该代码存储在操作系统的内核KERNEL32.DLL文件中。 内存管理:为每一个应用程序分配所必须的内存空间,而不占用其他应用程序的内存。DOS运行于实模式下。只有1MB的内存编址。Windows运行于保护模式下,可以使用扩展内存,如果实内存不够,还要提供虚拟内存。并能采取某些步骤阻止应用程序访问不属于它的内存。 文件管理 设备I/O 操作系统的组件: •驱动程序:是最底层的,直接控制和监视各类硬件的部分 •内核:核心部分,负责提供基础性、结构性功能 •接口库:一系列特殊程序库,职责是将系统提供的服务包装成应用程序能够使用的应用编程接口(API) •外围组件:以上3类外的其他部分,用于提供特定高级服务的组件。 这些组件在操作系统中的不同布局形成了操作系统的几种结构。 •简单结构:如MS-DOS •内核结构:分为单内核、微内核、外核等。如:unix、linux、windows等为单内核。 网络操作系统除具有单机操作系统功能(进程、文件、内存、I/O设备)外,还具有网络通信,并提供网络服务功能的操作系统。 二、网络操作系统的类型与功能 1、网络操作系统的分类 专用的NOS:为某种特定网络应用要求而设计的 通用NOS:提供基本的网络服务功能,满足用户各个领域的需要。 通用型NOS分为: •变形级系统:在单机OS基础上,通过增加网络功能构成的 •基础级系统:以硬件为基础的,根据网络服务的要求,专门设计的网络OS。 2、网络操作系统的功能 •文件服务:以集中方式管理共享文件 •打印服务:网络打印服务 •数据库服务:依照C/S工作模式,通过客户端向数据库服务器发送查找请求 •通信服务:客户机与客户机之间的对等通信、客户机与服务器之间的通信服务 •信息服务:局域网可以通过存储转发或对等方式完成电子邮件服务 •分布式服务:将分布在不同地理位置的网络中的资源,组织在全局性的、可复制的分布数据库中 •网络管理服务:提供网络性能分析、网络状态监控、存储管理等 •Internet/Intranet服务:企业内部网与Internet之间的访问 三、Windows网络操作系统 1、Windows发展 1985 年Windows1.0~2.0、3.0、NT、95、98、2000、XP、vista 分为两部分:Windows NT Server服务器端,Windows NT Workstation客户端 从应用角度的两个概念:域模型和工作组模型 域的概念:Windows NT Server 以域为单位实现网络资源的集中管理。 在NT 域中,只能有一个主域控制器(运行WindowsNT server的计算机),还有备份域控制器与普通控制器,都是运行NT SERVER的计算机。 2、Windows NT的特点: •内存与任务管理:采用32位体系结构,线程管理,应用程序更有效运行 •开放体系结构:允许使用不同网络协议。NT内置4种标准网络协议:TCP/IP、MWlink 协议、NetBIOS的扩展用户接口(NetBEUI)、数据链路控制协议 •内置管理:可以为每个文件规定不同的访问权限与用户审计 •集中式管理:通过域与域信任关系实现对大型网络的管理 •用户工作站管理:通过用户描述文件,对工作站用户的优先级、网络连接、程序组与 用户注册进行管理 3、Windows NT的优缺点 优点: 兼容性与可靠性:通过使用结构化异常处理方法,避免某个过程引发的操作系统瘫痪;NTFS进一步提供安全保护。 便于安装使用 优良的安全性:用户权限管理 缺点:管理比较复杂,开发环境不尽人意。 4、Windows 2000 Server 是Windows NT的升级版本。 特点: •活动目录管理包含两部分:目录(数据库,用来存放网络对象的物理容器)和目录服务(网络服务,提供命名、描述、查找、访问以及保护实体信息一致的方法) •基本管理单位是域 管理员只能管理域内部,除非有更高的权限 5、Windows Server 操作系统 依据.NET架构对NT技术做了实质性的改进,构筑了.NET的最基础的一环。 Windows Server 的版本: Windows Server Web版, Windows Server 标准板, Windows Server 数据中心版, Windows Server 企业版 不同版本的Windows Server 的适应范围不同,所要求的硬件支持都有所不同。 Windows Server 应用服务平台:通过IIS(Internet Informationg services),,NET Framework等技术以及Microsoft的visual studio 工具集结合,可为各类企业提供所需要的、运行在Web应用平台上的应用服务器。 在Windows Server R2版中还增加了UNIX/Windows互操作性,降低了存储管理成本等功能 6、 Windows Server 操作系统 Windows Server 有4个方面的创新性能: •虚拟化技术:在操作系统与硬件之间,以一个角色的身份添加一个Hypervisor软件层,负责直接管理虚拟机的工作。可以将资源划分为父分区(主操作系统)和子分区(虚拟机所在分区)。 •增强平台的可靠性:通过服务器内核、外壳、Windows Deployment Services以及增强的联网与集群技术,为应用要求和工作负荷提供可靠的Windows Server 平台。 •提高安全性:为网络、数据和业务提供网络接入保护、联合权限管理以及只读的域控制器等,增加了操作系统的安全性。 •广泛适合的网络解决方案:能够高效地提供丰富的Web体验和最新的网络解决方案。 四、NetWare网络操作系统 NetWare是Novell公司推出的操作系统,在上个世纪80年代曾风靡一时。 1. NetWare操作系统的组成: 文件服务器内核、工作站、低层通信协议 2. NetWare操作系统的特点: 文件系统:高效硬盘访问机制有目录Cache、目录Hash、文件Cache、后台写盘、电梯升降查找法与多硬盘通道等. NetWare文件系统的结构为:文件服务器、卷、目录、子目录、文件的层次结构。因而访问一个文件的路径为: 文件服务器名/卷名:目录名/子目录名/文件名 NetWare的用户类型:网络管理员、组管理员、网络操作员、普通用户 NetWare的四级安全保密机制: 1) 注册安全性 2) 用户信任者权限 3) 最大信任者权限屏蔽 4) 目录与文件属性 NetWare的系统容错技术: 三级容错机制: SFT Ⅰ主要针对硬盘表面磁介质可能出现的故障而设计. SFT Ⅰ采用双重目录与文件分配表、磁盘热修复与写后读验证等措施. SFT Ⅱ主要针对硬盘或硬盘通道故障而设计,SFT Ⅱ采用硬盘镜像与硬盘双工 SFT Ⅲ提供服务器镜像功能 事务跟踪系统: 一个事务要么全部完成,要么返回初始状态 UPS监控:为了防止因供电系统电压或突然中断而影响文件服务器及关键网络设备工作 NetWare的优点: 强大的文件及打印功服务能力 良好的兼容性及系统容错能力 比较完备的安全措施 NetWare的缺点:工作站资源无法直接共享、安装及维护管理比较复杂 四、UNIX网络操作系统 UNIX特点: •UNIX系统是一个多用户、多任务的分时操作系统 •UNIX系统结构氛围两大部分:操作系统内核和外壳。内核的操作原语可以直接对硬件起作用,外壳以外则是用户程序。 •UNIX大部分C编写的,使得系统易读、易修改、易移植 •UNIX提供了强大的shell语言(外壳语言) •UNIX采用树状目录结构具有良好的安全性、保密性和可维护性。 •UNIX提供多种通信机制,如管道,软中断通信等 •UNIX采用进程对换的呢村管理机制和请求调页的存储管理方式。 常用的UNIX系统有SUN公司的solaris,IBM公司AIX,HP公司的HP-UX等。 五、Linux网络操作系统 1、Linux的特点 1)Linux 操作系统是自由软件,具有开放性 2)Linux 操作系统支持多用户、多任务。 3)Linux 操作系统能把CPU的性能发挥到极限,具有出色的高速度 4)Linux 操作系统具有良好的用户界面 5)Linux 操作系统具有丰富的网络功能 6)Linux 操作系统采取了许多安全措施,为网络多用户提供了安全保障 7)具有可移植性 8)具有标准的兼容性 2、 Linux操作系统的组成 Linux操作系统有4部分组成 内核:具有运行程序和管理磁盘、打印机等硬件设备的核心程序 外核:系统的用户界面,提供了用户与内核交互操作的接口 文件系统:支持目前流行的多种文件系统。如FAT,VFAT,NFS等 应用程序:标准的Linux系统豆油一套应用程序的程序集。包括文本编辑器、编程语言、办公套件、Internet工具等 常见的 Linux 系统有NOVELL公司的SUSE Linux,RED HAT公司的Linux等 第五章 Internet基础本单元概览 一、Internet的构成。 二、Internet的接入。 三、IP协议与互联层服务。 四、IP地址。 五、IP数据报。 六、路由器与路由选择。 七、差错与控制报文 八、TCP与UDP 九、IPV6 一、Internet的构成 从设计者角度看:Internet是计算机互联网的一个实例;从使用者角度看:Internet是一个信息资源网。 主要有4部分组成: (1)通信线路:Internet的基础设施,包括有线线路和无线线路 (2)路由器(网关):网络互联的桥梁。主要任务是数据从一个网络到另一个网络时,路由器为它选择最佳路由。 (3)服务器与客户机:是信息资源和服务的载体。所有连接在Internet上的计算机统称为主机。 (4)信息资源:信息资源是用户最关注的问题之一。用户方便、快捷获取资源一直是Internet的研究方向。 二、Internet的接入 1、通过电话网接入 接入Internet的方法有很多种,但必须借助ISP将自己的计算机接入Internet。 电话已经普及到家家户户,传输的音频信号,计算机传输数字信号,需要调制解调器连接。一条电话线只能支持一个用户接入。 调制解调器的功能是数字信号与模拟信号的相互转换。 调制:数字信号转换成模拟信号 解调:模拟信号转换为数字信号 电话线的传输效率比较低。速率最快为56Kbps。 2、利用ADSL接入 电话线路不适合多媒体信息的传输要求,采用ADSL(非对称数字用户线路)接入Internet就是其中选择之一。 ADSL实现普通电话线路上进行高速的数据传输,利用ADSL调制解调器,分为上行和下行两个通道。下行通道的数据传输速率远远大于上行的数据传输速率(非对称)。 上行速率:16~640kbps;下行速率为1.5~9Mbps。 ADSL调制解调器不但具有调制解调功能,还具有网桥和路由的功能。 3、使用HFC接入 除了电话线上网外,还有有线电视网。对有线电视网改造升级,信号首先通过光纤传输到光纤结点,再通过同轴电缆到有线电视用户,即HFC(混合光纤/同轴电缆)。 HFC采用非对称数据传输速率。 上行速率:10Mbps左右 下行速率:10~40Mbps。 4、通过数据通信线路接入 要想获得更好性能,可选数据通信线路。种类有:DDN,ATM,帧中继等,用户可以租用。 一台计算机、局域网用户可利用数据通信网借助ISP的接入Internet。 三、IP协议与互联层服务 1、IP互联网的工作原理 Internet是将提供不同服务的、使用不同技术的、具有不同功能的网络互联起来形成的。 IP协议精确定义了IP数据报格式、并且对数据寻址和路由、数据报分片和重组、差错控制和处理等作出了具体规定。 工作原理:假设主机A发送数据到主机B。 主机A的应用层形成的数据经传输层送互联层处理;互联层将数据封装成IP数据报,并决定发送给最近的路由器;主机A把IP数据报利用以太网控制传送到路由器;经由路由器对数据报进行拆封和处理;如果仍需传输,再封装后利用互联层的广域网控制程序传输;经由通信子网传输的到主机B。 2、互联层服务 提供的服务有3钟: 不可靠的数据投递服务:IP不能证实发送的报文是否被正确接收。即不能保证数据报的可靠传递。 面向无连接的传输服务:从源结点到目的结点的数据报可能经过不同的传输路径,而且在传输过程中数据报有可能丢失,也有可能正确到达。 尽最大努力投递服务:IP数据报虽面向非连接的不可靠服务,但IP并不随意丢弃数据报。只有系统资源用尽,接收数据错误或网络发生故障时,IP才被迫丢弃报文。 3、IP互联网的特点 隐藏了低层物理网络细节,为用户提供通用的、一致的网络服务。IP互联网是一个单一的虚拟网络。 一个网络只要通过路由器与IP互联网中任意一个网络相连,就具有访问整个互联网的能力。 信息可以跨网传输 网络中计算机使用统一的、全局的地址描述法 IP互联网平等对待互联网中的每一个网络 四、IP地址 1、IP地址的作用 以太网中利用MAC地址(物理地址)标识网络中的一个结点,两个以太网结点需要知道对方的MAC地址才能通信。 以太网不是唯一的网络,各种网络技术互不相同,让它们之间通信是需要解决的问题。 统一物理地址的方法不现实的。在互联网层将各种物理地址统一。 屏蔽各种物理地址的差异,使用IP协议规定的地址(IP地址)。IP地址由管理机构统一管理和分配,保证在网络中的每台计算机不会产生冲突。 IP地址的作用是标识网络连接。 (严格地说,IP地址指定的不是一台计算机,而是计算机到一个网络的连接,例如一台计算机有块网卡,有两条连接,有两个IP地址;或多个IP地址绑定在一条物理连接上) 2、IP地址的层次结构 IP地址有两层:网络号和主机号。 网络号:标识互联网中一个特定的网络;而主机号标识该网络中主机的一个特定连接。 IP地址含有主机的信息和网络的地址信息,所以主机从一个网络移动到另一个网络时,IP地址必须重新分配,否则不能与其他计算机通信。 3、IP地址分类 IP地址32位,为适应不同的网络规模,将IP地址分成5类:A、B、C、D、E A类地址的前一个字节表示网络地址,且最前端1个二进制位固定是“0”。表示的地址范围是从1.0.0.0~126.255.255.255。A类地址允许有27―2=126个网络(网络地址的0和127保留用于特殊目的),每个网络有224―2=16777214个主机。 B类地址的前两个字节表示网络地址,且最前端的2个二进制位固定是“10”。表示的地址范围是从128.0.0.0~191.255.255.255。B类地址允许有214=16384个网络,每个网络有216―2=65534个主机。 C类地址的前三个字节表示网络地址,且最前端的3个二进制位是“110”。表示的地址范围是从192.0.0.0~223.255.255.255。C类地址允许有221=2097152个网络,每个网络有28―2=254个主机。 4、IP地址的直观表示法 IP地址是32位二进制数字,便于记忆采用点分十进制标记法。每个数值小于255,中间用”.”间隔开。 5、特殊的IP地址形式 网络地址:包含了一个有效的网络号和一个全0的主机号。例如A类地址中113.0.0.0表示该网络的地址。 广播地址:IP地址以全1结尾,分为两种形式:直接广播和有限广播。 直接广播:广播地址包含有效网络号和全1的主机号。 有限广播:32位全1的地址,用于本网广播。 回送地址:A类网络中127.0.0.0是一个保留地址,用于网络软件测试以及本地机器进程间通信。 本地地址:用户在本地内部网络中使用的地址,如果与Internet连接,必须将本地地址转换为 Internet的IP地址。 6、子网编址 为克服IP地址的浪费,可以采用子网编址的方法。 (1)子网编址的方法 在IP地址的网络号部分不变的情况下,在网络的主机号部分中“借”位表示子网号部分。 每个子网中允许的连接的主机的台数相应减少。 (2)子网表示法 如何识别网络部分,子网部分,和主机部分,通过子网掩码实现。 子网掩码也是32位二进制数字,在子网掩码中对于网络号和子网部分全部用1表示,其它部分用0表示。 通过子网掩码与IP地址的按位求与,屏蔽掉主机位,得到子网号。 例如:B类地址128.22.25.6 如果子网掩码为255.255.240.0,按位求与后,确定的子网号为1 7、地址解析协议(ARP) IP地址屏蔽了物理网络地址的差异,但不会对物理地址做任何修改。 高层软件指定源地址与目的地址,低层的物理网络则通过物理地址来发送和接收信息。 是以以太网经常使用的映射方法,它充分利用了以太网的广播能力,将IP地址与物理地址进行动态绑定。 ARP协议主要负责将主机的逻辑地址(IP地址)转换为相应的物理网络地址。这样用户只需给出目的主机的IP地址,就可以找出同一物理网络中任意一台主机的物理地址。 五、IP数据报 1、IP数据报的格式 IP数据报分为两大部分:报文头区和数据区。其中报文头仅仅是正确传输高层数据而增加的控制信息,数据区包括高层需要传输的数据。 IP数据报的主要字段: 版本与协议类型:版本是IP协议版本号(一般是4即IPv4),不同版本数据格式不同;协议类型是指该数据报的数据区数据的高层协议类型(如TCP),用于知名数据区的数据格式。 长度:分为报头长度和总长度。 服务类型:规定本数据报的处理方式。该字段为数据包分配一个转发优先级,要求中途转发器路由器尽量使用低延迟、高吞吐或高可靠性的线路投递。具体实现择由路由器的实现方法和底层物理网络技术。 生存周期:设计一个计数器,当计数器值为0时,数据报删除,避免循环发送。 头部校验和:用于保证IP数据报报头的完整性。注:只有报文头校验,没有数据区校验。好处是允许上层协议选择自己的数据校验方法。 地址:源地址和目的地址表示发送与接收的地址。此值保持不变。 2、IP封装、分片与重组 当IP分组在网上传输时,可能跨越多个网络,但每个网络都规定了一个帧最多携带的数据量(此限制称为最大传输单元或MTU),当长度超过MTU时,就需要将数据分成若干个较小的部分(分片),然后独立发送; 目的主机收到分片后的数据报后,对分片再重新组装(重组)。 分片独立传输时,需要对分片控制。主要有3个字段:标识、标志和片偏移; 标识:源主机赋予IP数据报的标识符,目的主机利用此标识判断此分片属于哪个数据报,以便重组。 标志:告诉目的主机该数据报是否已经分片,是否是最后的分片。 片偏移:本片数据在初始IP数据报中的位置。 3、IP数据报选项 IP数据报选项主要用于控制和测试两大目的。既然是选项,用户可以使用IP选项也可以不使用选项,但实现IP协议的设备必须能处理IP选项。 IP选项有3部分组成 源路由:指IP数据报穿越互联网所经过的路径是由源主机指定。分为两类:严格路由选项和松散路由选项。 (1)严格路由选项:规定IP数据报要经过路径上的每一个路由器,相邻的路由器之间不能有中间路由器,并经过的路由器的顺序不能改变。 (2)松散路由选项:给出数据报必须要经过的“要点”,并给出完备的路径,无直接连接的路由器之间尚需IP软件的寻址功能补充。 记录路由:记录IP数据报从源主机到目的主机所经过的路径上各个路由器的IP地址。用于测试网络中路由器的路由配置是否正确。 时间戳:记录IP数据报经过每一个路由器时的时间(以千分之一秒为单位)。 六、差错与控制报文 1、ICMP差错控制 互联层使用的控制协议是互联网控制报文协议(ICMP),作用是传输控制报文,而且用于传输差错报文。 ICMP最基本的功能是提供差错报告,但不提供处理方法。 ICMP差错报文的特点: 差错报文不享受特别优先权和可靠性。 差错报告数据中除包含故障IP数据报头外,还包含故障IP数据报数据区的前64位数据。(利用前64位了解高层协议的重要信息) IP软件一旦发现传输错误,首先抛弃出错报文,然后调用ICMP向源主机报告出错信息。 ICMP出错报告包括:目的地不可达报告、超时报告、参数出错报告等。 目的地不可达报告:路由选择和转发出错时,路由器发出目的地不可达报告。 超时报告:IP数据报一旦到达生存周期,立刻将其抛弃,同时产生ICMP超时差错报告,通知源主机该数据报已抛弃。 参数出错报告:一旦参数错误严重到机器不得不抛弃IP数据报时,机器向源主机发送此报文,指出可能出现错误的参数位置。 2、ICMP控制报文 包括拥塞控制和路由控制两部分。 (1)拥塞控制:路由器被大量涌入的IP数据报“淹没”的现象。原因是: 路由器处理速度慢,不能完成IP数据报排队等日常工作。 路由器传入数据速率大于传出速率。 其实质原因是没有足够的缓冲区存放大量涌入的IP数据报。为控制拥塞,IP软件采用“源站抑制”技术,路由器对每个接口进行监视,一旦发现拥塞,立即向相应源主机发送ICMP源抑制报文,请求源主机降低发送IP数据报的速率。 抑制报文的方式有3种: 如果路由器输出队列已满,在缓冲器空出前,抛弃新来的IP数据报,每抛弃一个数据报,向源主机发送ICMP源抑制报文。 为路由队列设定一个阈值,超过该值,向源主机发送ICMP源抑制报文。 更为复杂的源站抑制技术是选择性的抑制IP数据报发送率较高的源主机。 什么时候解除拥塞,路由器不通知源主机,而是根据当前一段时间内是否收到ICMP源抑制报文自主决定。 (2)路由控制与重定向报文 在IP互联网中,主机在传输数据的过程中不断从相邻的路由器获得新的路由信息。 主机在启动时都具有一定的路由信息,但路径不一定是最优的。 路由器一旦检测到某IP数据报经非优路径传输,它一方面继续将报文转发出去,另一方面将向主机发送一个重定向ICMP报文,通知相应的目的主机的最优路径。 ICMP重定向的有点是保证主机拥有一个动态的、既小且优的路由表。 3、ICMP请求/应答报文对 为便于进行故障诊断和网络控制,利用ICMP请求/应答报文对来获取某些有用的信息。 回应请求与应答:用于测试目的主机或路由器的可达性。过程是请求者向特定目的IP主机发送一个包含任选数据区的回应请求,当目的主机或路由器收到请求后,返回相应的回应应答。如果请求者收到一个成功的应答,说明路径以及数据传输正常。 时戳请求与应答:利用该请求与应答从其他机器获得其时钟的当前时间,经估算后再同步时钟。 掩码请求与应答:主机箱路由器发送该请求,路由器发回应答告知主机的子网掩码。 七、路由器与路由选择 1、表驱动IP进行路由选择 路由器:进行路由选择的计算机。 路由选择一般采用表驱动的路由选择算法。每台设备存放一张路由表,该表存储有关可能的目的地址及怎样到达目的的信息。 (1)标准路由选择算法 路由表中包含许多(N,R)的有序对,N是目的地址,R是到N的路径中下一个路由器的地址。每个路由器中仅保存下一站,并不知完整路径。 为减少路由表长度或提高路由效率,路由表中的N一般使用目的网络的地址,不是目的主机地址。 (2)子网选择路由-------标准路由选择算法的扩充 IP采用子网编址后,将路由表改为(M,N,R),其中M为子网掩码,N为目的网络的地址,R为下一个路由的IP地址。 (3)路由表的特殊路由 使用网络地址可以极大缩小路由表规模,路由表也可包含两种特殊的路由表目,即默认路由和特定主机路由。 默认路由:如果路由表没有指定达到目的的网络的路由信息,就可以把数据报转发到默认路由指定的路由器。 特定主机路由:主要表项(包括默认路由)是基于网络地址的。为单个主机指定特别的路径就是特定主机路由。 (4)统一的路由选择算法 允许使用任意的掩码形式,子网路由选择算法不但能按照同样的方法处理网络路由、默认路由、特定主机路由,还可以将标准路由选择算法作为一个特例。 2、路由表的建立与刷新 路由选择的正确与否依赖于路由表的正确与否。路由分为静态和动态路由两种。 (1)静态路由表 静态路由表有人工管理,一般情况下不会发生变化,但当连接或拓扑结构变化时,网络管理员必须人工对路由表做出更新。 优点:安全可靠,简单直观;缺点:一旦路径错误,路由表的配置比较麻烦。 (2)动态路由 动态路由是通过自身学习自动修改和刷新路由表。它适应拓扑结构复杂,规模庞大的网络环境。 为区分速度快慢,延迟的时间,修改和刷新路径时需要给每条路径生成一个数字,该数字称为度量值。度量值越小,路径越好。 度量值的特征如下: 跳数:到达目的地经过的路由器的个数 带宽:链路的数据传输能力 延迟:数据从源到目的经过的时间 负载:网络信息流的活动数量 可靠性:数据传输过程中的差错率 开销:一个变化值,可根据带宽、建设费用、维护费用等因素确定。 动态路由虽然适应复杂网络,但修改和刷新路由表本身需要消耗资源。 应用比较广泛的有两种:路由信息协议(RIP)和开放式最短路径优先协议(OSPF). RIP是利用向量-距离算法,OSPF则是链路-状态算法。 3、RIP协议与向量-距离算法 基本思想:由路由器周期性地向其相邻路由器广播自己知道的路由信息,用于通知相邻路由器自己可以到达的网络以及到达该网络的距离(跳数),相邻的路由器根据收到的信息修改和刷新自己的路由表。 RIP协议:可以在局域网中直接实现。规定了路由器之间交换路由信息的时间、交换信息格式、错误的处理等内容。 RIP协议除严格遵守向量距离路由选择算法外,还做了一些改进,包括: 对相同开销路由的处理。按先入为主的原则处理。 对过时路由的处理:出现开销更小的路由时,代替原有的路由,否则一直保持下去。 4、OSPF协议与链路-状态路由算法 又称最短路径优先算法。基本思想:互联网上的每个路由器周期性的想其他路由器广播自己与相邻路由器之间的关系,每个路由器都可以获得网络中的所有联通情况,根据连通情况和最短路径算法,计算出自己到达各个网络的最短路径。 链路状态路由算法具有收敛速度快、支持服务类型选路,适合庞大复杂环境的网络等优点。但OSPF协议的缺点主要包括: 要求较高的路由器处理能力:网络规模越大,对内存和CPU的处理能力要求越高 一定的带宽要求:为得到相邻路由器的信息,要求路由器不断发送和应答查询信息,OSPF协议要具有一定的带宽要求。 静态路由一般适应小型网络、RIP适应小到中型的网络,而OSPF适应大型、多路径、动态的IP网络。 八、IPV6协议 1、IPv4的局限性 地址空间的局限性:IP地址空间耗尽制约了互联网的发展,子网划分、无类域间路由(cidr)等方法虽使IP地址得到有效的利用,但也仅仅是缓解了地址短缺的矛盾。 IP协议的性能问题:主要目标是网络之间的数据可靠、健壮和高效传输提供有效机制,但在性能上还有改进的余地。 IP协议的安全性问题:IP协议对安全性考虑较少。 自动配置问题:IP协议设计初没有考虑自动配置问题。后来最优DHCP(动态主机配置协议)在一定程度上解决了地址自动配置问题,但需要对DHCP服务器配置,比较麻烦。 服务质量(QoS)保证问题:IP的QoS保证主要依赖于协议头中的服务类型,但其功能有限。Internet需要提供有效的QoS机制,保证实时数据的传输质量。 2、IPv6 地址 (1)IPv6的地址表示:128位地址长度。 基本表示法:按16为一段,每个位短转换为4位十六进制数,并用冒号隔开。如:21DA:0000:0000:0000:02AA:000F:FE08:9C5A 零压缩法:在有多个零出现时,用一位0标识一个位段。如上面地址描述为:21DA:0:0:0:2AA:F:FE08:9C5A IPv6前缀:与无类域间路由类似,IPv6采用前缀表示法形如“地址/前缀长度”。前缀是IPv6的一部分,用来表示路由或子网标识。例如:21DA:D3::/48是一个路由前缀,而21DA:D3:0:2F3B::/64是一个子网前缀 (2)IPv6地址类型 单播地址:标识一个区域中单个网络接口。 组播地址:称多播地址,用于表示一组网络接口。数据会送到该组的所有接口。 任播地址:泛播地址,也用于表示一组网络接口,可发送到组内任意接口,但通常发送到最近的一个,从单播地中分配。 特殊地址:全0地址(地址不存在),回送地址(0:0:0:0:0:0:0:1),IPv4兼容的IPv6的地址,映射到IPV4的IPv6地址等。 3、IPv6的数据报 IPv6的数据报由一个IPv6的基本头、多个扩展头和一个高层协议数据单元组成。基本头40字节长度。一些可选的内容放在扩展头部分实现,此种设计方法可提高数据报的处理效率。IPv6数据报格式对IPv4不向下兼容。 各域段含义: 版本:取值为6,意思是IPv6协议。 通信类型:表示IPv6的数据报类型或优先级,以提供区分服务。 流标记:流是特定从源到目的结点之间的数据报序列,一个流由源IP地址和非零的流标记唯一标识。 载荷长度:有效载荷长度,包含扩展头和高层数据。 下一个报头:存在扩展头,该域段的值指明下一个扩展头的类型;如果无扩展头,该域段的值指明高层数据的类型,如TCP、UDP或ICMPv6等。 跳数限制:IP数据报丢弃之前可以被路由器转发的次数。 源地址:源IPv6的地址 目的地址:大多情况下,该域段为最终目的结点的地址,如果有路由扩展头,目的地址可能为下一个转发路由器地址。 4、IPv6扩展头 IPv6的基本报头固定40字节长,一些可选头信息由IPv6扩展头实现。IPv6的基本头中“下一个报头”字段指出第一个扩展头类型。每个扩展头中都包含“下一个报头”字段用以指出后继扩展头类型。最后一个扩展头中的“下一个报头”字段指出高层协议的类型。 扩展头包含的内容: 逐跳选项头:类型为0,由中间路由器处理的扩展头。 目的选项头:类型为60,用于中间节点或目的结点指定数据报的转发参数。 路由头:类型43,用来指出数据报在从数据源到目的结点过程中,需要经过一个或多个中间路由器。 认证头:类型51,用于携带通信双方进行认证所需的参数。 封装安全有效载荷报头:类型52,与认证头结合使用,也可单独使用,用于携带通信双方进行认证和加密所需的参数。 5、IPv6的地址自动配置 分为两类:有状态和无状态两种形式。 无状态地址配置:128的IPv6地址由64位前缀和64位网络接口标识符组成。如果主机与本地网络的主机通信可以直接通信;如果与其他网络互联时,主机需要从网络中的路由器中获得该网络使用的网络前缀,然后与64位网络接口标识符结合形成有效的IPv6的地址。 有状态地址配置:自动配置需要DHCPv6服务器的支持,主机向DHCPv6服务器发多播“DHCP请求信息”,DHCPv6返回“DHCP应答消息”中奖分配的地址返回请求主机,主机利用该地址作为自己的IPv6进行配置。 九、TCP与UDP 1、端对端通信 TCP:传输控制协议;UDP:用户数据报协议。 传输层需要提供从一台主机到另一远程主机的端对端通信控制。传输层利用互联层发送数据,每一传输层都需要封装在一个互联层的数据报中通过互联网,到达目的地后,互联层再将数据提交给传输层。 注意:传输层虽然使用互联层来携带报文,但互联层并不阅读或干预报文。传输层仅把互联层看作一个包通信系统,这一通信系统负责连接两端的主机。 2、传输控制协议(TCP) 保证可靠性是传输层的主要责任。 (1)TCP提供的服务:从TCP用户的角度看,TCP可以提供面向连接、可靠的、全双工的数据流传输服务,保证数据在连接关闭之前被可靠地投递到目的地。 TCP提供的服务有如下特征: 面向连接:发送数据前,应用程序首先建立一个到目的主机的连接。 完全可靠性:TCP确保通过一个连接发送数据正确到达目的地,不会发生数据丢失或乱序。 全双工通信:TCP允许任意一方,任意时刻发送数据。 流接口:TCP提供了一个流接口,应用程序利用它可以发送连续的数据流。 连接的可靠性与优雅关闭:建立连接的过程中,TCP保证新连接不会与其他连接混淆;连接关闭时,TCP确定之前传递的所有数据都可靠地到达目的地。 (2)TCP的可靠实现 TCP建立在IP协议提供的面向非连接、不可靠的数据传输服务基础上,因此必须实现可靠传输。可靠性问题即包括数据丢失后的恢复问题,又包括连接的可靠性建立问题。 (3)数据丢失与重发 TCP建立在一颗不可靠的虚拟通信系统上,数据的丢失可能经常发生,一般发送方利用重发技术补偿数据报的丢失。需要通信双发协同解决。 接收方正确接收数据包,要回复一个确认信息给发送方;而发送方发送数据是启动一个定时器,在定时器到时之前,如果没有收到确认信息,则重发该数据。 (4)连接的可靠建立与优雅关闭 为确保连接建立和终止的可靠性,TCP使用了“三次握手”法。简单说在建立和终止过程中,通信双方需要交换3个报文。 三次握手的过程:第一次,主机A向主机B发出连接请求,其中保护主机A选择的初始序列号x。第二次,主机B收到请求后,发回连接确认,其中包含主机B选择的初始序列号y和对主机A初始序列号x的确认。第三次,主机A想主机B发送序列号x的数据,包括对主机B初始序列号y的确任。 为保证关闭连接前所有数据都可靠到达目的地,TCP使用第三次握手,一方发出关闭请求并不立即关闭,而要等待对方确认,只有收到对方确认信息,才能关闭连接。 (5)TCP缓冲、流控与窗口 TCP使用窗口机制进行流量控制。当连接建立时,连接的每一端分配一块缓冲区存储接收的数据,并将缓冲区的尺寸(大小)发给另一端。当数据到达时,接收方发送确认,其中包含自己剩余的缓冲区尺寸。将剩余的缓冲区空间的数量称为窗口。 如果发生方操作的速度快于接收方的速度,最终接收方的缓冲区必满,导致接收方向发送方通告一个零窗口,发送方收到零窗口通告后,必须停止发送,直到接收方重新通告一个非零窗口。 窗口和窗口通告可以有效控制TCP的流量,使发送方的数据不会溢出接收方的缓冲空间。 (6)TCP连接与端口 一个TCP连接的两端称为端口,端口用16位的二进制数表示。 TCP可利用端口提供多路复用功能。 3、UDP(用户数据报协议) 从用户角度看,UDP虽处于传输层,但UDP提供了面向非连接,不可靠的传输服务。 UDP面向非连接,它可以将数据直接封装在IP数据报中进行发送。它不使用确认信息对数据的到达进行确认,也不对收到的数据排序。因此UDP协议传输的数据可能丢失、乱序或重复现象。 优点:运行高效和实现简单。 与TCP相同,有很多端口号被指派给一些著名的应用程序,用户使用时应避免使用。 第六章 Internet基本服务本单元概览 一、客户机/服务器模型。 二、域名系统。 三、远程登录服务。 四、FTP服务。 五、电子邮件服务。 六、WWW服务。 一、客户机/服务器模型 1、客户机与服务器的特性 Internet提供的服务是以客户机/服务器模型为基础的。客户机, 接受服务的应用程序;服务器,提供服务的应用程序。 一般客户机提出请求,服务器并发处理的客户机的请求,并将处理结果返回给客户机。 相对而言,服务器的对硬件资源及软件资源都有一定的要求,而对客户机通常要求相对简单。 2、实现中需要解决的问题 (1)标识一个特定的服务 由于一个主机可以运行多个服务器程序,要求赋予每个服务唯一的标识,同时要求服务器和客户机都是用该标识。互联网中TCP或UDP通常使用端口号作为自己特定的标识。 (2)响应并发请求 客户机发出的请求时随机的,可能很多客户机同时请求不同服务,因此服务器必须具备多个并发处理能力。服务器有两种实现方案。 重复服务器:服务器包含请求队列,按照先进先出原则处理。 并发服务器:是一个守护进程,没有请求时,它处于等待状态;客户机每来请求,服务器立即创建一个子进程,然后回到等待;并发服务器称主服务器,而子进程称从服务器。 (3)服务器程序的安全问题 服务器的地位特殊,需要经常读系统文件、日志文件等,必须承担实施系统访问和保护策略。 二、域名系统 1、互联网的命名机制 互联网利用IP地址识别主机,不便于记忆,使用字符串记忆主机好读易记(域名系统诞生)。需要解决的问题有:主机名的管理和主机名-IP地址映射问题。 命名机制遵循的原则: 全局唯一性:特定的主机名在互联网上市唯一的。 名字便于管理:能够方便地分配名字、确认名字和回收名字。 高效地进行映射:IP地址与域名之间存在映射需求。高效的命名可高效映射。 命名方法: (1)无层次命名机制: 简单字符串组成,没有进一步结构。只能适应于主机不经常变化的小型互联网。该机制实际已经淘汰。 (2)层次命名机制 在名字中加入结构,而这种结构是层次型的。具体说,主机名被划分成几部分,每部分之间存在层次关系。层次命名机制对名字的管理非常有利,类似树状结构。 (3)TCP/IP互联网域名 TCP/IP互联网中所实现的层次型名字管理机制称为域名系统(DNS)。域名系统的命名机制称为域名(DN)。一个完整的域名是从一个结点到根结点路径上结点标识符的有序序列组成。其中结点标识符用“.”间隔。 (4)Internet域名 作为大型互联网,Internet规定了一组正式通用的标准符号,形成了顶级域名(如国家或组织域名)。然后再分二级域名,依次类推。 2、域名解析 域名仅仅是为用户提供方便记忆,不能用域名通信,所以需要将域名映射转换为IP地址,称为域名解析。 (1)TCP/IP域名服务器与解析过程 借助域名服务器运行一个服务器软件,完成域名-IP地址映射。在服务器中保存它所管辖的域名与IP地址的对照表。请求域名解析服务的软件称为域名解析器。 在TCP/IP互联网中,对应域名的层次结构,域名服务器也构成一定的层次结构,采用自顶向下的分析算法。从根节点到叶结点,一定能找到所需要的名字-地址映射。 域名解析有两种方式:递归解析和反复解析。 递归解析:可一次行完成全部名字-地址变换。 反复解析:每次请求一个服务器,不行再请求别的服务器。 (2)提高域名解析效率 解析从本地域名服务器开始。 大部分域名解析都可以在本地服务器中完成,如果能在本地服务器中直接完成,无需从根开始遍历域名服务器,提高效率。当然如果本地不能解决,则需要借助其他域名服务器。 域名服务器的高速缓冲技术 域名解析从根向下解析增加网络负担,开销很大。在互联网中可借用高速缓存减少非本地域名解析的开销;所谓高速缓存是在域名服务器中开辟专用内存区,存储最近解析过的域名及其相应的IP地址。 服务器一旦收到域名请求,首先检查域名与IP地址的对应关系是否存在本地,如果是,则本地解析,否则检查域名缓冲区,如果是最近解析过的域名,将结果报告给解析器,否则再向其他服务器发出解析请求。 为保证缓冲区域名与IP地址之间的有效性,采用以下两种策略: (a)域名服务器向解析器报告缓冲信息时,需注明是“非权威性”映射。并给出获取该映射的域名服务器IP地址。如果注重准确性,可联系该服务器。 (b)高速缓存中每一映射都有一个最大生存周期,规定该映射在缓存中保留的最长时间,时间到,系统将它删除。 主机上的高速缓存技术:主机将解析器获得的域名-IP地址对应关系存储在高速缓存中,先找高速缓存,在找本地域名服务器。 3、对象类型与资源记录 (1)对象类型与类别 为区分不同类型的对象,域名系统中每一条目都被赋予了类型属性,这样一个特定名字就可能对应域名系统的若干条目。 域名还被赋予“类别”属性,标识使用该域名对象的协议类别。 (2)资源记录 域名服务器的数据库中,域名与IP地址的映射关系都被放置在资源记录中。每一条资源记录通常有域名、有效期、类别、类型和域名的具体值组成。 三、远程登录服务 1、远程登录协议 用户使用Telnet命令,使自己的计算机成为远程计算机的一台仿真终端。 远程登录允许任意类型的计算机之间进行通信,具体实现的功能有 本地用户与远程计算机上运行的程序交互; 远程登录后,可以运行远程计算机上的任何应用程序(有权限),屏蔽不同型号计算机之间的差异; 用户可以利用个人计算机完成许多只有大型计算机才能完成的任务。 远程登录解决了不同计算机系统之间的互操作问题,例如回车,不同键盘输入的差异<CR>和<LF>,Telnet协议引入了网络虚拟终端(NVT)的概念,提供了一种标准的键盘协议,屏蔽了不同计算机系统对键盘输入的差异性。 2、远程登录的工作原理 Telnet采用客户机/服务器模式,远程登录时,用户的实终端采用用户终端格式与Telnet客户机通信;远程主机采用远程系统格式与远程Telnet服务器进程通信。通过TCP连接,Telnet客户机进程与Telnet服务器进程之间采用网络虚拟终端NVT标准通信。 网络虚拟终端NVT格式将不同的用户本地终端格式统一起来,使得各个终端只与虚拟终端NVT打交道,与各种不同版本的本地终端格式无关。 3、使用远程登录 用户使用远程登录,前提是用户本身的计算机和向用户提供Internet服务的计算机都必须支持Telnet;同时在远程计算机上用户拥有自己的帐号(包括用户名和密码)或该远程计算机提供的公开的用户帐号。 用户使用远程登录时,首先在Telnet命令中给出对方计算机的IP地址或主机名,然后根据对方系统的询问,正确输入自己的用户名与用户密码。有时还要根据对方的要求,回答自己所使用的仿真终端的类型。 用户一旦登录成功,远程主机对外开放软件、硬件、数据等全部资源。 四、FTP服务 1、FTP客户机/服务器模型 FTP文件传输协议,主要用于Internet上文件的双向传输。通常为“下载”和“上传”。 FTP采用客户机/服务器模式,客户机与服务器之间利用TCP建立连接,与其他连接不同,FTP需要建立双重连接,一个控制连接,一个是数据连接。 对每次的数据传输请求,客户机服务器之间都要建立一个独立的数据连接,进行实际传输。 (1)控制连接以通常的客户机/服务器方式建立,连接一旦建立,客户机与服务器之间进入交互式会话状态。 (2)数据连接用于数据传输,数据连接建立成功后,开始传输数据,数据传输结束后,数据连接断开。 建立数据连接的方式有两种: 主动模式(默认模式):当客户机向服务器发出数据传输命令时,客户机在TCP的一个随机端口上被动打开数据传输进程,并通过控制连接利用PORT命令将客户机数据传输所使用的端口号发送给服务器,服务器在TCP的20端口建立一个数据传输进程,并与客户机的数据传输进程建立数据连接(客户机被动)。 被动模式:当客户机想服务器发出数据传输命令时,通过控制连接向服务器发送一个PASV命令,请求进入被动模式,服务器在TCP的端口被动打开数据传输进程,客户机以主动方式打开数据传输进程,建立数据传输连接。(服务器被动) 2、FTP文件格式 FTP协议支持两种文件传输方式:文本文件传输和二进制文件传输。 (1)文本文件传输 ASCII文件按类型和EBCDIC文件类型。ASCII文件的传输采用虚拟终端NVT的形式在数据连接中传输,而EBCDIC要求双方均采用EBCDIC编码系统。 (2)二进制文件传输(图像文件类型) 不需要对文件格式进行转换,按原始文件相同的位序以比特流的方式进行传输,确保复制文件与原始文件逐位一一对应。 3、用户接口 FTP没有对用户接口定义,因而存在多种形式的接口,用户使用的接口程序通常有3种:传统的FTP命令,浏览器和FTP下载工具。 •传统FTP命令。在MS-DOS窗口中使用的命令。如:ftp:进入ftp会话;quit,bye:退出ftp会话;close:中断与服务器ftp的连接;pwd:显示远程主机的当前工作目录等 •浏览器:在WWW方式下,一般是HTTP://URL地址;用ftp替换HTTP即可。 •下载工具:支持断点续传,提高下载速度等,常用的下载工具cuteftp,netants等。 4、FTP访问控制 FTP服务器利用用户帐号来控制用户对服务器的访问权限。用户在访问FTP服务器前必须先登录,登录时给出用户在FTP服务器上的合法账户和密码。 FTP的这种访问方式限制了Internet上一些公用文件以及资源的发布,为此Internet上位大多用户提供了匿名FTP服务。 所谓匿名服务,指用户访问FTP服务器时,不需要输入帐户和密码或使用匿名的帐号和密码。 匿名FTP服务是Internet上发布软件常用的方法。 五、电子邮件系统 1、电子邮件系统的基本知识 (1)电子邮件系统 电子邮件系统采用客户机/服务器工作模式。邮件服务器一方面负责接收用户送来的邮件,根据邮件所要发送的目的地址,将其传送到对应的邮件服务器中;另一方面负责接收从其他邮件服务器发来的邮件,并根据收件人的不同分发到不同的电子邮箱。 电子邮件应用程序的功能:创建和发送邮件;接收、阅读和管理邮件;还提供通信簿管理、帐号管理等功能。 (2)TCP/IP电子邮件的传输过程 利用SMTP(简单邮件传输协议)协议向邮件服务器发送邮件,使用POP3(邮局协议)或IMAP协议从邮件服务器邮箱中读取邮件。 (3)邮件地址 邮箱名@邮件服务器。 如:local_part@ 2、电子邮件传输协议 (1)SMTP协议 SMTP协议负责邮件从一个邮局传送到另一个邮局。分为3个阶段: 连接建立:连接建立后,客户机与服务器互通自己的域名,同时确认对方域名。 邮件传递:将邮件源地址、目的地址和邮件内容传递给SMTP服务器,smtp服务器进行相应的响应并接收邮件。 连接关闭:SMTP客户机发出QUIT命令,服务器处理命令后响应,随后关闭TCP连接。 (2)POP3( 邮局协议) 3指第3个版本。一旦建立TCP连接,POP3客户机向服务器发送命令,下载和删除邮件。分为3个阶段: 认证阶段:邮箱具有权限,客户机将用户名和密码传递给服务器,服务器判断是否合法。 事务处理阶段:POP3客户机利用相关命令管理和检索自己的邮箱。注意DELE命令只是标记,没有真正删除。 •更新阶段:客户机发出QUIT命令时,系统进入更新阶段,然后关闭TCP连接。 六、WWW服务 1、WWW的基本概念 (1)WWW服务系统 WWW(world wide web)或WEB服务。以超文本标记语言(HTML)和超文本传输协议(HTTP)为基础。 特点: •以超文本方式组织网络多媒体信息 •可在世界范围内任意查找、检索、浏览及添加信息 •提供生动直观、易于使用、统一的图形用户界面 •服务器之间可相互链接 •可访问图像、声音、影像和文本信息。 (2)www服务器 www服务器上以web页方式组织文档,还包含指向其他页面的指针。利用超链接将分布在网络中的服务器建立的关联。 (3)WWW浏览器 www客户机程序称为WWW浏览器,是用来浏览服务器中WEB页面的软件。 过程:WWW浏览器负责接收用户的请求(键盘或鼠标输入),利用HTTP协议将用户的请求传送给WWW服务器。在服务器请求的页面送回到浏览器后,浏览器再将页面进行解释,显示在用户的屏幕上。 (4)页面地址和URL www服务器中的页面很多,通过URL(统一资源定位器)指定什么协议、哪台服务器和哪个文件等 URL由三部分组成:协议类型、主机名和路径及文件名。 如:http://(协议类型)netlab.(主机名)/student/network.html(路径和文件名) 访问方法有:www和ftp或gopher等 2、WWW系统的传输协议 超文本协议是WWW客户机和WWW服务器之间的传输协议。是建立在TCP连接基础上,面向对象的协议 为保证www客户机与www服务器之间通信不会有二义性,HTTP精确定义了请求报文和相应报文的格式。 3、www系统的页面标识方式 www服务器存储的页面是一种结构化的文档,采用超文本标记语言(HTML)书写。 HTML是www上用于创建超文本连接的基本语言,可定义格式化的文本、色彩、图像与超文本连接等,主要用于www页面的创建与制作。 HTML的基本结构标记: l以<html>开始,以</html>结束。 l在<head>和</head>之间存储文档头部信息 l在<body>和</body>之间存储文档的主体信息 l在<title>和</title>之间信息为文档的标题 l以<IMG>标记图像,如<img src=“http://192.168.0.66/lan.jpg”>将主机的图像lan.jpg嵌入到页面中 l以<a href=“URL或文件名”>文本字符串 </a>形成超链接 其中href=“URL或文件名” 指明关联文档的位置;文本字符串指明显示的文字。 4、WWW的安全性 (1)浏览器的安全性 •浏览器将Internet世界分为几个区域,用户针对每个区域指定浏览器处理下载程序和文件的方式,无论何时打开或下载WEB站点的内容,浏览器都检查所在区域的安全设置。 •验证真实性:浏览器访问web站点前,要求web站点将其从CA安全认证中心申请的数字证书发过来,验证其有效性,从而确认真实性。 •避免他人假冒自己:用户可从CA认证中申请自己的证书并装入浏览器 •避免第三方偷看或篡改信息等:使用安全套接层(SSL)技术 (2)web服务器的安全性 •设定web站点的访问控制级别:IP地址限制、用户验证、web权限、NTFS权限 •设定web站点与浏览器的安全通信: 通过安装用户证书、安装web站点证书,web与浏览器信息传递加密传输。 第七章 网络管理与网络安全本单元概览 一、网络管理。 二、信息安全技术概述。 三、网络安全问题与安全策略。 四、加密技术。 五、认证技术。 六、安全技术应用。 七、入侵检测与防火墙技术。 八、计算机病毒问题与防护。 一、网络管理 1、网络管理的基本概念 •网络管理的定义:对网络运行状态进行监测和控制,使其能够有效、可靠、安全、经济地提供服务。 包括两个任务:对运行状态监测和运行状态控制。 •网络管理对象:硬件资源和软件资源。 •管理目标:网络服务要有质量保证、网络要能够稳定运转、网络能够使用异种设备、网络传输信息的安全、网络建设运营成本要低,网络的业务不能单一化,要向综合业务发展 2、网络管理功能 •配置管理:资源清单、资源开通以及业务开通等 •故障管理:发现和排除故障 •计费管理:记录网络资源的使用 •性能管理:维护网络网络服务质量和网络运营效率 •安全管理:保护网络中的系统、数据以及业务 3、网络管理模型 •网络管理的基本模型:核心是一对相互通信的系统管理实体,是采用一种独特的方式使两个进程之间相互作用,即管理进程与一个远程系统相互作用来实现对远程资源的控制。此种方式管理进程担当管理者角色,而另一个系统中的对等实体担当代理者角色,前者为网络管理者,后者为网管代理。 •网络管理模式:分为集中式和分布式管理模式。集中式是所有的网管代理在管理站的监视和控制下协同工作而实现集成的网络管理;分布式管理将数据采集、监视以及管理分散开来,可以从网络上的所有数据源采集数据而不必考虑网络的拓扑结构。具体实现是将信息管理和智能判断分散到网络各处,使管理变得更加自动。 4、网络管理协议 定义了网络管理者与网管代理间的通信方法。 主要协议有SNMP(简单网络管理协议)和CMIP(公共管理信息协议)。 •SNMP:有两部分组成,SNMP管理者和SNMP代理者。网络管理者通过SNMP协议收集代理所记录的信息。收集方法有:轮询和基于中断的方法。 所谓轮询:代理软件不断收集统计数据,并把数据记录到一个管理信息库(MIB)中,网管通过代理的MIB发出查询信号得到这些信息。这种方法的缺点在于信息的实时性,忒俄式处理错误的实时性。而基于中断的方法可立即通知网络管理工作站,实时性强。 •CMIP:公共管理协议主要针对OSI模型的传输环境设立的。管理进程事先对事件分类,根据事件发生时对网络服务影响的大小来划分事件的严重等级,再产生相应故障处理方案。 CMIP的所有功能都要映射到应用层的相关协议上实现。管理联系的建立、释放和撤销是通过联系控制协议(ACP)实现的。操作和事件报告时通过远程操作协议(ROP)实现的。 二、信息安全技术概述 1、安全信息的概念 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄漏,系统连续、可靠、正常运行,信息服务不中断。 主要有以下目标: 真实性:鉴别伪造来源的信息 保密性:信息不被窃听 完整性:数据的一致性防止数据非法篡改 可用性:合法用户的合法使用不被拒绝 不可抵赖性:建立责任机制,防止用户否认其行为 可控制性:信息传播及内容具有控制能力 可审查性:对出现的网络安全问题提供调查的依据和手段 2、信息安全策略 主要从三个方面体现: 先进的信息安全技术是网络安全的根本保证 严格的安全管理 指定严格的法律、法规 3、信息安全性等级 美国国防部可信任计算机标准评估准则(TCSEC):又称为橘皮书,将网络安全性等级划分为A、B、C、D共4类,其中A类安全等级最高,D类安全等级最低 我国的信息安全系统安全保护分为5个等级: •自主保护级:适应于一般的信息和信息系统 •指导保护级:适应于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,造成一定伤害 •监督保护级:适应于涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,造成较大伤害 •强制保护级:适应于涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,造成严重伤害 •专控保护级:适应于涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息核心子系统,造成特别严重伤害 三、网络安全问题与安全策略 1、网络安全的概念 网络安全是指系统部件、程序、数据的安全性,通过网络信息存储、传输、和使用过程体现。也就是保护网络程序、数据或设备,使其避免受非授权使用或访问。内容包括:保护信息和资源、保护客户机和用户、保证私有性。 •安全的目的: 对网络系统而言主要有信息的存储安全和信息的传输安全。 信息的存储安全通过设置访问权限、身份识别、局部隔离等措施来保证 传输安全则需要预防:网上信息的监听、用户身份的认证、网络信息的篡改、发出信息的否认、信息重放(对信息不破译,直接把信息再次向服务器发送)。 •安全措施: 3类措施:社会法律政策、企业规章以及网络安全教育;技术方面措施(如防火墙技术、防病毒、信息加密等);审计与管理措施,包括技术与社会措施(如实时监控、漏洞检查等) 2、OSI安全框架 OSI安全框架关注三个方面:安全攻击、安全机制和安全服务。 (1)安全攻击 •被动攻击:特性是对传输进行窃听和监测,攻击的目标是获得传输信息。被动攻击不涉及信息更改,比较难检测。所以重点是预防。 •主动攻击:对数据流进行篡改或伪造数据流。与被动攻击相反,可以预防,难于检测,所以重点是检测。 •服务攻击和非服务攻击:服务攻击是针对某种特定网络的攻击,如E-MAIL、ftp等;非服务攻击不针对具体应用服务,是基于网络层等底层协议进行的。如源路由攻击和地址欺骗等。 非服务攻击相对服务攻击而言,往往利用协议或操作系统漏洞达到攻击的目的,更为隐蔽。 2、OSI安全框架 OSI安全框架关注三个方面:安全攻击、安全机制和安全服务。 (1)安全攻击 (2)安全机制:用来保护系统免受侦听、组织安全攻击及回复系统机制。 分为两类:特定协议层实现的和不属于任何的协议层或安全服务。 (3)安全服务 指加强数据处理系统和信息传输安全性的一种服务,目的在于利用一种或多种安全机制阻止安全攻击。 3、网络安全模型 通信一方通过Internet将消息传送给另一方,通信双方必须协调工作共同完成消息的交换。可以通过定义Internet上源到宿的路由以及通信的主体共同使用的通信协议(如TCP/IP)来建立逻辑信息通道。 任何保护信息安全的方法都包含2个方面: •对发送信息的相关安全变换。如消息加密。 •双方共享某些秘密消息,并希望这些消息不为攻击者所知。如加密密钥。 为实现安全传输,必须有可信的第三方。例如第三方负责将秘密信息分配给通信双方,而对攻击者保密;或者当通信双方关于信息传输的真实性发生争执时,由第三方来仲裁。 安全服务主要包含4个方面:安全传输、信息保密、分配和共享秘密信息、通信协议。 由程序引起的威胁有2种:信息访问威胁和服务威胁 四、加密技术 1、密码学基本术语 明文:原始消息;密文:加密后的消息;加密:从明文到密文的变换过程;解密:从密文到明文的变换过程;密码编码学:研究各种加密方案的学科;密码体制或密码:加密方案;密码分析学:研究破译密码获得消息的学科;密码学:密码编码学和密码分析学的统称。 (1)密码编码学特征 转换明文为密文的运算类型:所有加密算法都给予两个原理代换和置换。 所用密钥数:发送方和接收方使用相同密钥,为对称密码、单钥密码或传统密码;如果双方使用不同密钥,称为非对称密码、双钥密码或公钥密码。 处理明文的方法:加密算法分为分组密码和流密码。分组密码每次处理一个输入分组,相应输出一个输出分组;流密码则连续地处理输入元素,每次输出一个元素。 (2)密码分析学 攻击密码体制一般有两种方法:密码分析攻击和穷举攻击。 密码分析学的攻击主要依赖于算法的性质和明文的一般特征或某些明密文对。由此推导出密钥 穷举攻击:攻击者对一条密文尝试所有可能的密钥。 基于加密信息的攻击类型有: 唯密文攻击,已知明文攻击,选择密文攻击,选择明文攻击,选择文本攻击。 一般说来,加密算法起码要经受得住明文攻击。 (3)无条件安全与计算上的安全 无论有多少可使用的密文,都不足以唯一地确定由该体制产生密文所对应的明文,也就是说,无论花多少时间,攻击者都无法将密文解密。除一次一密外,所有加密算法都不是无条件安全的,加密算法的使用者应尽量满足以下标准: •破译密码的代价超出密文信息的代价 •破译密码的时间超出密文信息的有效生命期 满足上述标准,加密体制是计算上安全的。 (4)代换与置换技术 对称加密用到的两种技巧。 代换法:将明文字母替换成其他字母、数字或符号的方法。如对明文的字母可用K个字母后的字母代替。例如k=3,明文是a,则密文为d。 置换法:通过置换而形成新的队列 2、对称密码 (1)对称密码模型 5个基本成分: 明文:作为算法的输入 加密算法:对明文进行各种代换和置换 密钥:加密算法的输入,不同于明文 密文:算法的输出 解密算法:加密算法的逆。 笼统说,加密算法根据输入的信息X和密钥K生成密文Y。 (2)数据加密标准 广泛使用的加密体制是数据加密标准(DES),采用64位明文初始置换重新排列后和56位密钥进行一系列变换得到64位输出密文。 3、公钥密码 是基于数学函数的算法而非基于置换和代换技术。是非对称的,使用两个独立的密钥。 (1)公钥密码体制 公钥算法依赖于一个加密密钥和一个与之相关但不相同的解密密钥。重要特点是:根据密码算法和加密密钥来确定解密密钥在计算上是不可行的。 通信各方均可访问公钥,而私钥是通信方在本地产生的,只要系统控制了私钥,那么他的通信就是安全的,在任何时刻,系统可以改变其私钥,并公布相应的公钥代替原来的公钥。 (2)公钥密码体制的应用 应用分3种: 加密/解密:发送方用接收方的公钥对消息加密 数字签名:发送方用其私钥对“消息”签名。 密钥交换:通信双方交换会话密钥。 (3)RSA算法 RSA既能用于加密,又能用于数字签名的算法。 RSA是一种分组密码,明文和密文均是0至n-1之间的整数,通常n是1024位二进制数或309位十进制数。 明文以分组为单位加密,每个分组的二进制值均小于n。分组的大小必须小于或等于log2n位。 选取密钥的过程: 选取两个大质数p和q,质数值越大,破解RSA越困难。 计算n=pq和z=(p-1)(q-1) 选择小于n的数e,并和z没有公约数(e与z互质) 找到数d,满足ed-1被z整除 公共密钥数对(n,e),秘密密钥数对(n,d)。公开公共密钥。 (3)RSA算法 解密过程: 假设甲向乙发送m(m<n)。为了加密,甲进行me,计算me被n除的模余数,为密文C,甲发送c; 解密接收到的密文C,乙计算m=cd mod n 例如:p=5,q=7;n=p*q=35;z=(p-1)(q-1)=24;选e=5(5和24互质)。选d=29(因为ed-1=5×29-1刚好被24整除); 公开n=35和e=5,保留d=29; 假设发送L O V E,则每个字母是一个数字(a是1,z是26);加密和解密过程是: 明文字母 M:数值表示 ME 密文c=me modn m=cdmod n 明文 L 12 248832 17 12 L O 15 759375 15 15 O V 22 5153632 22 22 V E 5 3125 10 5 E 还有其他的常用公钥加密算法如elgamal,背包加密算法等 4、密钥管理 (1)密钥的分发 对称密码学的缺点是通信双方事先对密钥达成一致。一般通过密钥分发中心(KDC),kdc是一个独立的可信网络实体,是一个服务器。每个用户可通过秘密密钥同KDC通信。 如果A和B都是KDC的用户,A与B通信,A通过秘密密钥与KDC通信得到R,B也得到R;则A和B可通过R通信。 (2)密钥的认证 认证中心(CA)验证一个公共密钥是否属于一个特殊的实体。认证中心负责将公共密钥和特定实体进行绑定,CA的工作就是证明身份和发放证书。 五、认证技术 1、消息认证 (1)消息认证的概念: 接收者能够检验收到的消息是否真实的方法,又称完整性校验。 认证的内容包括:消息的信源信宿、内容是否篡改,序号和时间是否正确等。 认证只在通信双方之间进行,不允许第三者进行上述认证。 (2)消息认证的方法: 消息来源认证:A、通信双方事先约定发送消息的数据加密密钥,接收者只要证实发送来的消息是否能用该密钥还原成明文就能鉴定发送者。B、事先约定各自发送消息所使用的通行字,发送者消息中含有加密的通行字,接收者验证是否含有通行字即可,通行字是可变的。 认证信息的完整性:基本途径有两条:采用消息认证码和采用篡改检测码。 认证消息的序号和时间:目的是阻止消息的重放攻击,常用的方法是流水作业号、随机数认证法和时间戳等。 (3)消息认证模式 •单向认证:单向通信,接收者验证发送者的身份和消息的完整性 •双向认证:双向通信,接收者验证发送者的身份和消息的完整性,同时发送者确认接收者是真实的。 (4)认证函数:分为3类: 信息加密函数:用完整信息的密文作为对信息的认证 信息认证码:是对信源消息的一个编码函数。消息认证码的安全性取决于两点:采用的加密算法;待加密数据块的生成方法。 散列函数:将任意长的信息映射成一个固定长度的信息。 2、数字签名 数字签名的需求 消息认证来保护通信双方免受第三方的攻击,,但无法防止通信双方的相互攻击。解决方案是是数字签名,是笔迹签名的模拟。具有如下性质: 能证实作者签名和签名的日期和时间、签名时必须能对内容进行鉴别、必须能被第三方证实以解决争端。 基于公钥密码体制和私钥密码体制都可以获得数字签名。 数字签名的创建 数字签名是一个加密的消息摘要,附加在消息后面。步骤是:甲创建公钥/私钥对;将公钥发送给乙;消息作为单项散列函数输入,散列函数的输出为消息摘要;甲用私钥加密消息摘要,得到数字签名。 •数字签名的验证 发送的数据是消息与数字签名的组合。乙将计算出来的消息摘要与甲解密后的消息相匹配,则证明消息的完整性并验证了消息的发送者是甲。 3、身份认证 又称身份识别。是通信和数据系统中正确识别通信用户或终端身份的重要途径。 常用的方法有:口令认证、持证认证和生物识别。 口令认证:口令由数字、字母组成的字符串,有时也有特殊字符、控制字符等。 持证认证:一种个人持有物,类似钥匙。 生物识别:依据人类自身所固有的生理或行为特征,包括指纹识别、掌纹识别等 常用的身份认证协议有: 一次一密制:每次根据信息产生口令。 X.509认证协议:利用公钥密码技术对X.500(对分布式网络中存储用户信息的数据库所提供的目录检索服务的协议标准)的服务所提供的认证服务的协议标准。 Kerberos认证协议:基于对称密钥体制,与网络上的每个实体共享一个不同的密钥,通过是否知道密钥验证身份。 六、安全技术应用 1、安全电子邮件 加密技术用在网络安全方面通常有两种形式:面向网络的服务和面向应用的服务。 (1)PGP 安全电子邮件加密方案。由5种服务组成:鉴别、机密性、压缩、电子邮件的兼容性和分段。PGP有4种类型的密钥:一次性会话的常规密钥、公开密钥、私有密钥和基于口令短语的常规密钥。 (2)S/MIME 基于RSA数据安全技术的Internet电子邮件格式标准的安全扩充。 功能有: •加密的数据:由加密内容和加密密钥组成。 •签名的数据:使用签名者的私钥对摘要进行加密形成数字签名。 •透明签名的数据:签名的数据形成了内容的数字签名。 •签名并加密的数据:加密的数据可被签名、签名或透明的数据可加密。 2、网络层安全---IPSEC IP安全协议(称为IPSEC)是在网络层提供安全的一组协议。主要有两个主要协议:身份认证头(AH)协议和封装安全负载(ESP)协议。 AH协议提供源身份认证和数据完整性,但没有提供秘密性;而ESP协议提供了数据完整性、身份认证和秘密性。 源主机在向目的主机发送安全数据报之前,源主机和网络主机进行握手并建立网络层逻辑连接,该逻辑通道称为安全协定(SA)。SA定义的逻辑连接是单工的;如果要双向传输,需要建立两个逻辑连接。 IP数据报的格式: IP头 + AH头+TCP或UDP数据段 IP头 + ESP头 + TCP或UDP数据段 + ESP尾 + ESP身份认证 3、WEB安全 Web面临的威胁:Web服务器安全威胁、Web浏览器安全威胁、浏览器与服务器之间的网络通信量安全威胁。 Web流量安全性方法 •网络级:使用IP安全性 •传输级:在TCP上实现安全性 •应用级:与应用相关的安全服务被嵌入到特定的应用程序中。 七、入侵检测技术与防火墙 1、入侵检测技术 最广泛的安全威胁有入侵者和病毒,入侵者通常是黑客和解密高手。 入侵者分为3类: 假冒者(未经授权使用计算机资源的人)、非法者(越权访问的人)、秘密用户(夺取超级控制并利用控制逃避审计或抑制审计的人) 入侵检测技术分为两种: •统计异常检测:收集一段时间的合法用户的行为,然后统计测试观测其行为,判断是否违法。从阈值检测和基于轮廓两个方面。 •基于规则检测:包括异常检测和渗透规则两个方面。 2、防火墙特性 防火墙设计目标:所有由外道内或由内到外必须经过防火墙,只有被授权的通信才能通过防火墙。 用来控制访问和执行站点安全策略的4种常用技术: 服务控制(确定可以访问的Internet服务类型)、方向控制(决定哪些特定方向上服务请求可以被发起并通过防火墙)、用户控制(根据哪个用户尝试访问服务来控制对一个服务的访问)和行为控制(控制怎样使用特定的服务)。 防火墙的功能: •防火墙定义了单个阻塞点,将未授权的用户隔离在被保护的网络之外。 •提供了安全与监视有关事件的场所 •是一些与安全无关的Internet功能的方便平台 •可用作IPSEC(网络层安全)平台。 3、防火墙的分类 常用的防火墙有包过滤路由器、应用级网关和电路级网关。 包过滤路由器:根据一套规则对收到的IP数据报进行处理,决定转发还是丢弃。 应用级网关:也称代理服务器,在应用级的通信中扮演着一个消息传递者的角色。 电路级网关:是一个独立系统,或说它是某项具体功能,也可由应用级网关在某个应用中执行,但不允许建立一个端到端的直接TCP连接,由网关建立两个链接,一个是网关到网内的TCP用户,一个是网关到外部TCP用户,网关仅是一个中继作用。 堡垒主机:作为应用级网关和电路级网关的服务平台。 八、计算机病毒与防护 1、计算机病毒 计算机病毒是一段可执行代码,是一个程序。它不独立存在,隐藏在其他可执行程序中,具有破坏性、传染性和潜伏性。 (1)病毒的生命周期: 潜伏阶段:病毒处于休眠状态,最终要通过某个事件来激活。 繁殖阶段:将与自身相同的副本放入其他程序或磁盘的特定区域中。 触发阶段:病毒被激活来进行它要实现的功能。 执行阶段:功能被实现。 2、病毒的种类 寄生病毒:将自己附加到可执行文件中,当被感染的程序执行时,通过感染其他可执行文件来重复。 存储器驻留病毒:寄宿在主存中,作为驻留程序的一部分。 引导区病毒:感染主引导记录或引导记录,从包含病毒的磁盘启动时进行传播。 隐形病毒:明确地设计成能够在反病毒软件检测时隐藏自己。 多态病毒:每次感染时会改变自己。 3、计算机病毒的防治策略 检测:一旦发生了感染,确定它的发生并且定位病毒 标识:识别感染程序的特定病毒 清除:一旦识别了病毒,清除病毒,将程序恢复到原来的状态。 如果检测成功但标识或清除都不可能,那只有丢弃被感染的程序,重新装载一个干净的备份版本。 反病毒软件分4代: 简单的扫描程序 启发式的扫描程序 行为陷阱 全方位的保护 第八章 网络应用技术本单元概览 一、组播技术。 二、P2P网络。 三、即时通信系统。 四、IPTV。 五、VoIP。 六、网络搜索技术。 一、组播技术 1、IP组播的概念和特点 单播:通常采用的传播方式,基本特点是一对一传输数据。单播发送者发送的信息一次只能传到一个接收方。(一对一) 广播:由路由器或交换机将同一个信息无条件地发送给每一条路径中的节点,由接收者决定接收还是丢弃。(一对所有) 组播:允许一个或多个发送方发送信息到多个接收方的网络传输方式。无论组成员多少,只发送一次数据包,采用组播地址方式寻址,只向需要数据包的主机或网络发送。(一对一组) 组播特点: 组播使用组地址:每个组播组拥有唯一的组播地址(D类地址),组播数据包可以送到标识目的主机的组地址。 动态组成员:组播成员是动态的,可以参加特定组,也可在任意时间退出。 底层硬件支持:Internet是由许多网络互联而成,其中有些网络是以太网,以太网本身具有硬件组播能力。 2、组播技术基础 (1)IP组播地址:A、B、C为单播地址,D为组播地址,E保留地址。 组播地址最高4位为1110+ 28位,范围224.0.0.0~239.255.255.255。每一个组播地址标识为一个组播组。 (2)组播相关协议 组播协议分为主机和路由器之间的协议(组播管理协议);路由器和路由器之间的协议(路由器协议)。 IP组播组管理协议:组管理协议(IGMP)在主机和与主机直连接接的路由器之间运行。实现双向:主机通过IGMP通知本地路由希望加入特定组;另一方面,路由器通过IGMP周期查询局域网内某个已知组的成员是否处于活动状态,实现组成员关系的收集与维护。 IP组播路由协议:组播路由协议分为域内组播路由协议和域间组播路由协议。 组播路由不同于单播路由,由源地址、组地址、入接口列表和出接口列表4部分组成。只有匹配源和组地址,且从入接口到达时,才算是完全匹配一条路由。 组播要扩展到Internet,需要域间组播路由支持。 二、P2P网络 1、P2P网络的基本结构 P2P(peertopeer)对等网络,分为:集中目录式结构、分布式非结构化结构、分布式结构化结构和混合式P2P网络结构。 集中目录式结构:以一个中心服务器负责记录共享信息以及回答各种查询。网上的所有资料都分别存放在提供该资料的客户机上,服务器只保留索引信息,此外服务器与对等实体以及对等实体间都具有交互能力。 分布式非结构化P2P:采用随机图的组织方式形成一个松散的网络,每个结点都具有相同的功能,即是服务器又是客户机,结点也称对等点。优点是配制简单,不需要服务器支持。缺点有可能漏掉网络中的资源(原因没有确定的拓扑)。 分布式结构化P2P:为克服非结构化的不足,构造一个高度结构化的系统。重点在于如何有效地查找信息。基于分布式散列表的分布式发现和路由算法。 混合式结构的P2P:集中式有利于检索,但中心化模式易受攻击;分布式解决攻击但又缺乏快速检索,混合式结合他们的优点,在分布模式的基础上,将用户按能力分类,使某些结点担任特殊任务。 2、P2P网络的应用 分布式科学计算:P2P技术使得众多计算机的CPU资源联合起来,服务于一个共同的计算。 文件共享:在Internet上任意两台计算机之间直接共享文档、多媒体和其他文件。 协同工作:任意两台计算机课建立实时联系,建立一个安全的、共享的虚拟空间,可实时、可交互进行协同工作。 分布式搜索引擎:使用户深度搜索文档,并无需通过Web服务器,也不受信息格式的限制,可达到传统搜索无可比拟的深度。 流媒体直播:具有负载均衡、自适应、自组织和容错能力强等优点,将P2P技术用在流媒体直播中能解决传统集中式服务服务器负载过重的问题。 三、即时通信系统 1、概述 即使通信:是基于Internet的通信服务,它提供近实时的信息交换和用户状态跟踪。 即时消息系统:允许用户相互订阅并获取彼此的状态变更信息,以便用户间互相收发短消息。 除实时消息交换和状态跟踪服务外:IM(即时通信)还提供一下附加功能: 音频/**:为通信双方提供一个稳定的直接连接,数据以UDP传输。 应用共享:使远程用户能够访问本地程序,还可邀请远程用户。 文件传输:通信双方建立直接连接,传输结束后关闭此链接。 文件共享:允许远程用户浏览指定目录并下载文件。 游戏邀请:邀请远程执行特定的外部程序,通常是游戏。 远程助理:允许远程控制另一主机。 白板:通过直接连接共享paint文档,是应用共享的快捷方式。 2、即时通信的基础通信模式 即时通信采用两种通信模式:客户机/服务器(消息发送利用服务器中转)、客户机/客户机模式(直接点对点模式)。 (1)P2P 通信模式 该模式在即时通信系统中体现为消息交换时不通过服务器进行处理。该过程也有两种模式: 1)客户端获得好友消息的时候,服务器端已经将每个好友的端口和远程地址发送到了客户端 2)客户端在试图建立与好友之间的连接时,需要服务器端询问好友的远程地址和端口。 (2)中转通信模式 在该模式中,一个客户端与另一个客户端进行消息交互时,其携带了被请求方的唯一的ID,由服务器根据包中的来源、目的地信息查询通信地址表,并组织信息转发到目的地。 3、即时通信系统的通信协议 主要有两个代表:基于SIP协议框架的SIMPLE协议集和基于JABBER协议框架的XMPP协议集。 (1)SIP协议 称为会话初始化协议,所谓会话就是指用户之间的数据交换。 SIP的基本组成:按逻辑功能区分,SIP系统由4种元素组成: 用户代理:由用户代理客户机(负责发起呼叫)和用户代理服务器(负责接收呼叫并做出响应)。 代理服务器:负责几首用户发来的请求,根据网络策略将网络请求发送给相应的服务器。 重定向服务器:规划SIP呼叫路径的服务器。 注册服务器:接收和处理用户端的注册请求,完成用户地址的注册。 SIP消息:从客户机到服务器的请求消息和从服务器到客户机的响应消息。 (2)SIMPLE 是SIP协议的扩展,支持即时通信服务。SIMPLE协议簇所支持的IM会话不同于其他以SIP为基础的多媒体会话,无需建立会话通道,IM消息直接通过SIMPLE 协议的message命令为载体传输,而且每个IM消息由单独的message命令传输,彼此独立。 (3)XMPP 基于XML的即时通信协议,XMPP标准协议由4个RFC文档组成:核心协议的RFC 3920、负责即时通信的RFC 3921、负责XMPP与CPIM映射的RFC 3922和负责安全的RFC 3923。 XMPP的系统框架主要有:用户客户端、XMPP服务器和XMPP协议网关3种实体。 XMPP系统的特点:客户机/服务器通信模式:所有客户端发送给另一个客户端的XMPP消息都必须经过服务器端;分布式网络:每个用户都有自己的本地服务器,并从该服务器上接收消息,消息和在线信息在这些服务器之间传输;简单的客户端:XMPP将复杂性从客户端转移到服务器端;XML的数据格式:最重要的作用是系统底层的可扩展性,并能表述任何一种结构化数据。 四、IPTV 1、IPTV系统 互联网协议电视,简称网络电视。是利用宽带网络为用户提供交互式多媒体服务业务,主要特点在于交互式和实时性。IPTV3个基本业务:视频点播、直播电视和时移电视。 (1)视频点播(VOD) 交互式电视点播系统,包括5个主要部分:节目制作中心、专业视频服务器、视频节目库、VOD管理服务器和客户端播放器。 (2)直播电视 是宽带服务提供商提供给宽带用户的广播电视增值业务的一种方式。IPTV通过组播技术直播电视的功能,借助IP网络来承载电视信号。 (3)时移电视 电视的播放根据用户需要随意移动,此功能称为时移电视业务。基本同直播电视,不同点在于主播电视利用组播技术,而时移电视利用存储电视媒体文件,采用点播方式实现时移电视的功能。 2、IPTV的关键技术 基本技术可概括为视频数字化、传输IP化、播放流媒体化。一般一个端到端的IPTV系统具有节目采集、存储与服务、节目传送、用户终端设备和相关软件5个功能部件。 关键技术包括: 媒体内容分发技术:内容发布、内容路由、内容交换、性能管理、IP承载网 数字版权管理技术:数据加密、版权保护、数字水印 IPTV运营支撑管理系统:媒体资产管理、客户服务和业务管理、计费帐务系统、报表统计、网络管理系统、系统管理接口。 五、VoIP 俗称IP电话,是基于IP网络的语音传输技术。 1、VoIP实现方法 PC-to-PC:两台计算机登录到网络上,具有全双工声卡,话筒等设备,安装相同的电话软件。 PC-to-Phone:主叫方的计算机必须上网,被叫方是普通电话即可。运行VoIP软件时,预先登录用户名、口令及对方的电话号码。 Phone-to-Phone:分为3种类型,双方配置类似调制解调器的设备,通话双方登录到Internet上;两端都没有计算机与电话连接,通过“桥接器”的设备通话,把模拟数据的 音频流转换为分组数据, 送入Internet传输;利用IP电话网关服务器通话,网关服务器一端与Internet相连,另一端与当地的PSTN相连。 2、VoIP系统的组成 有4个基本组件:终端设备(电话)、网关(通过网关实现PC-Phone、phone-phone的通信)、多点控制单元(利用IP网络实现多点通信)和网守(负责用户的注册和管理等)。 六、网络搜索技术 1、网络搜索引擎 是一个在Internet查询信息的软件系统,以一定策略在Web上搜集和发现信息,对信息理解、提取、组织和处理后,为用户提供Web信息查询服务。 根本要求:争取不漏掉任何相关的信息;还要争取最可能被关心的信息排在列表的前面。 2、搜索引擎的原理与组成 由搜索器、索引器、检索器和用户接口4部分组成。 常见的搜索引擎有:GOOGLE,百度等。

本内容不代表本网观点和政治立场,如有侵犯你的权益请联系我们处理。
网友评论
网友评论仅供其表达个人看法,并不表明网站立场。