計算機網絡的概述
概念:
用通信設備與線路將地理位置不同,功能獨立的計算機系統互連起來,以功能完善的網絡軟件實現網絡中資源共享和信息傳遞的系統
自治計算機:
能夠自我管理,配置,維護的計算機(目前我們使用的電腦)
以前的終端只有顯示器,不能叫做自治計算機
計算機網絡向用戶提供的最重要的功能
- 連通性
- 共享性
接入網
接入網AN:由終端連接到邊緣路由器的物理鏈路,由ISP提供
ISP: 互聯網服務提供者,根據提供服務覆蓋面積大小以及擁有的ip地址的不同,分為不同層次的ISP: 主干ISP,地區ISP 和本地ISP
接入方式:
- 家庭接入: 數字用戶線(DSL)
使用已有的數字電話線,光纖,電纜,頻分復用… - 企業(家庭)接入:Ethernet
以太網交換機及鏈路構成接入網 - 企業(家庭接入):無線局域網
基站,共享,wifi - 廣域無線接入:3G/4G/5G
電信公司提供,使用現有的蜂窩電話網絡
計算機網絡的性能指標
- 速率
b/s ,數據的傳輸速率 - 帶寬
單位時間,信道能通過的最高數據率
在通信領域意義不同 - 吞吐率
鏈路上每秒傳輸的bit數,b/s - 時延
總時延 = 發送時延(傳輸時延) + 傳播時延 + 處理時延 + 排隊時延
電路交換,報文交換,分組交換
電路交換
先建立源點到終點的鏈路,面向連接,然后傳輸報文
階段:1) 建立連接 2)通信 3)釋放連接
優點:時延小,實時性高
缺點:難以應對突發情況,效率低,無糾錯能力
報文交換
報文先傳到相鄰節點,存儲,再查找轉發表,轉發到下一個節點
缺點:傳輸時延大
分組交換
單個分組先傳到相鄰節點,存儲,再查找轉發表,轉發到下一個節點
缺點:傳輸時延比報文交換小
因特網使用的是分組交換,實際應用中分為數據報和虛電路兩種方式
數據報:無連接,不可靠,可以通過高層協議如tcp的差錯控制與流量控制保證可靠性與有序性
虛電路:面向連接,可靠,通過差錯控制,流量控制來保證數據的可靠性與有序性
計算機網路的發展
網絡發展階段
面向終端的計算機網絡->計算機-計算機網絡->開放式標準化網絡->因特網廣泛應用與高速網絡技術發展
網路發展趨勢
寬帶網絡;全光網絡;多媒體網絡;移動網絡;下一代網絡
電話系統組成
本地網絡,干線,交換局
ChinaNET
CHINAPNC;CHINADDN;PSTN;文件共享,信息瀏覽,電子郵件,網絡電話,視頻點播,FTP,網上會議
高速網絡技術表現
寬帶骨干網,寬帶接入網
目前最主要的三種網絡
電信網絡(電話網),有線電視網絡,計算機網絡(發展最快,信息時代的核心技術)
三網合一
將電話網,電視網,計算機網絡融合
internet 與 Internet
前者指得是一般的互連網
后者專有名詞,指的是因特網,世界范圍的互連網,又稱互聯網,使用TCP/IP協議簇,前身是ARPANET(阿帕網)
計算機網絡的體系結構與參考模型
OSI七層模型
- 物理層 : 物理連接
- 數據鏈路層 : 邏輯連接,硬件地址尋址,差錯校驗
- 網絡層:IP地址與路由選擇
- 傳輸層:端到端的連接
- 會話層:建立,管理,維護會話
- 表示層:數據格式轉化,加密
- 應用層:為應用程序提供服務
計算機網絡協議
組成 = 語法 + 語義 + 時序(同步)
其他重要概念
實體:
任意可以發送或接收消息的硬件與軟件進程
協議:
控制兩個實體進行通信的規則的集合
接口:
服務訪問點SAP
協議數據單元:
PDU 傳送的數據單位
TCP/IP 參考模型
四層體系結構
應用層,傳輸層,網絡層,網絡接口層
物理層
物理層的功能
實現比特流的透明傳輸,為數據鏈路層提供數據傳輸服務
設備類型與連接方式
DTE
數據終端設備,如用戶計算機,打印機,硬件接口是針式,即針頭
DCE
數據電路連接設備或數據通信的設備,如多路復用器,硬件接口是孔式,即針孔
連接方式
- 非平衡方式:每個電路使用一個導線,收發雙方共用一根信號地線
- 差動接收器的非平衡方式:每個電路用一根導線,每個方向使用獨立的信號地線
- 平衡方式:每個電路使用2根導線
信號線分類:
數據信號線,控制信號線,定時信號線,接地線
物理層下的傳輸媒體
分類
- 導引型媒體:
銅線,光纖 - 非導引性媒體:
無線傳輸,衛星,無線電,紅外等
常用的傳輸媒體
- 雙絞線:
STP,UTP無屏蔽雙絞線 - 同軸電纜
粗纜以太網,細纜以太網
混合光纖同軸電纜(不是電纜類型) - 光纖
- 射頻電磁信號
影響傳輸速率的因素:
距離,多徑衰落,遮擋衰落,干擾等
以太網
10BASTE-T , 10Base-5 屬于以太網標準
命名規則:
10:10Mbps 傳輸速率
Base:基帶傳輸,Broad:寬帶傳輸
5:單段網線長度(基準單位是100m)
T:傳輸介質,這里是雙絞線
分組傳輸網中的延遲
產生延遲的原因:
- 節點處理 : 檢查bit錯誤,確定輸出鏈路
- 排隊:受鏈路擁塞情況影響
- 傳輸延遲
設R=帶寬,L=分組長,將分組發送到鏈路上的時間=L/R - 傳播延遲
設D=物理鏈路長,s=信號傳播速度,delay=D/s
傳輸時延 VS 傳播時延
傳輸時延:是路由器把分組發送出去所需要的時間,與兩個路由器間的距離沒有關系
傳播時延:是一個bit從發送路由器到接收路由器傳播所需的時間
排隊延遲與流量強度
排隊與丟包: 輸出隊列有限,隊列滿時 ,新到達的分組被丟棄
端到端吞吐量:發送端與接收端之間的bit傳輸速率
瞬時吞吐量:給定時刻的傳輸速度
平均吞吐量:較長時間的傳輸速度
有線寬帶接入技術
- 非對稱數字用戶線 ADSL
用數字技術模擬電話用戶線 - 光纖同軸混合網 HFC網
電視網基礎上的一種寬帶接入網 - FTTX技術
實現寬帶接入網的方案,代表多種光纖接入方式
FTTH光纖到戶
FTTB光纖到大樓
FTTC光纖到路邊
通信基本理論
數據通信系統的模型
- 源系統
- 傳輸系統
- 目的系統
常見術語
- 消息:文字,圖像等
- 數據:運送消息的實體
- 信號:數據的電磁表現
- 模擬的:信號的參數的取值,在時間與數值上是連續的
- 數字的:信號的參數的取值,在時間與數值上是離散的
- 碼元:在時域的數值表示數字信號時,代表不同離散數值的基本波形
- 模擬數據:在時間與數值上連續變化的值
- 數字數據:在時間與數值上的變化都是離散的值
- 信源:產生與發送信息的設備或計算機
- 信宿:接收與處理信息的設備或計算機
- 信道:信源與信宿之間的通信線路
調制與解調
編碼
信道復用技術
RS-22通信標準
數據鏈路層
一些術語
節點:
計算機網絡中,中級,集線器,交換機或路由器等設備統稱為節點
物理鏈路
簡稱鏈路,分為有限鏈路與無線鏈路,是一條無源的點到點的物理線路段,中間沒有其他交換節點
數據鏈路
又稱邏輯鏈路,=鏈路+實現協議的軟件+硬件
如網卡(網絡適配器)
數據鏈路的兩種類型
- 點到點鏈路
僅連接了一個發送方和一個接收方的鏈路,這種信道使用一對一的點對點的通信方式 - 廣播鏈路
連接了多個節點的單一共享鏈路,這種信道使用一對多的廣播通信方式
三個基本問題
封裝成幀
幀是數據鏈路層傳輸的最小協議數據單元(PDU)
幀 = 首部+數據+尾部
首部尾部的作用是進行幀定界
數據部分<=MTU最大傳送單元
SOH,EOT 特殊的幀定界符,當數據是ASCLL碼組成的文本文件時使用
透明傳輸
為避免數據鏈路層錯誤的找到幀的邊界,解決透明傳輸的問題
1. 字節/字符填充,異步傳輸的時候使用
2. 零比特填充,同步傳輸的時候使用
差錯控制
傳輸的過程中肯產生比特差錯,1可能變0
誤碼率BER :傳輸錯誤的bit占傳輸bit總數的比率,與信噪比有關系
需要進行差錯檢測
PPP
PPP是點對點的數據鏈路層協議,面向字節,ppp幀的長度都是整數字節
組成:
一種在串行線路上的組幀方式
一個鏈路控制協議LCP
一組網絡控制協議NCP
PPP幀格式
- F:幀邊界
- A:地址
- C:控制信息
- 協議:指出載荷字段中攜帶的是哪類分組
IP數據報:0x0021
網絡控制數據:0x8021
PPP鏈路控制數據:0xc021
鑒別數據:0xC023 - 信息部分:載荷字段,長度可變
- FCS:幀校驗序列,采用CRC校驗
數據鏈路層的兩個子層
邏輯鏈路控制 LLC
與傳輸媒體無關
媒體接入控制MAC
與傳輸媒體有關
由于TCP/IP經常使用的局域網不是802.3標準中的,所以802委員會制定的邏輯鏈路控制子層LLC作用不大,很多廠家生產的適配器上僅裝有mac協議
MAC地址
每一個網卡(網絡適配器)有唯一的地址,稱為MAC地址,也叫物理地址,硬件地址,鏈路層地址等
MAC地址長6個字節
MAC地址類型
- 單播地址
目的適配器的mac地址,地址最高bit為0 - 多播地址
標識一個多播組的邏輯地址,地址最高比特為1 - 廣播地址 1:1:1:1:1:1
以太網
Ethernet 計算機局域網技術,有兩個主要的技術標準,IEEE 80.3,DIX Ethernet V2
實現的是無連接,不可靠的數據傳輸
分類:
標準以太網,快速以太網,千兆以太網,萬兆以太網
以太網常見結構
共享以太網 : 總線型拓撲,基于集線器的星型拓撲
沖突域:共享以太網所有節點位于一個沖突域,使用CSMA/CD協議避免沖突,共享信道
基于交換機的星型拓撲
沖突域 VS 廣播域
沖突域:
位于物理層
一個站點,向另一個站點發送消息,除了目的站點外,有多少站點能收到這個信息,這些站點就構成了一個沖突域
廣播域:
位于數據鏈路層
網絡中的一組設備的集合,即同一廣播包能到達的所有設備構成一個廣播域
常見的網絡設備
- 物理層設備:
中繼器,集線器,總線, :不能隔離沖突域與廣播域 - 數據鏈路層:
網橋,交換機:可以隔離沖突域 - 網絡層
路由器:可以隔離廣播域與沖突域
以太幀
構成 = 前導碼+目的地址(6B)+源地址(6B)+類型(2B)+數據+循環校驗碼(4B)
最小幀長:64B
最大幀長:1518B
PPPoE
通過以太網進行寬帶接入使用PPPoE方式
網絡層
IPv4 地址
IP地址 : 給連接在互聯網終端額主機(或路由器)的每一個接口分配互聯網的唯一標識符
IPv4地址: 是32位的二進制代碼,采用點分十進制標識
單播地址被分為網絡號與主機號兩部分
- 網絡號:標識一個物理網絡
- 主機號:標識該物理網絡上的一個網絡接口
地址分配
因特網中每個接口具有唯一的IP地址
- 網絡號: 互聯網名字和數字分配機構ICANN 統一分配
- 主機號: 由網絡管理員 統一分配
- 建有私有網絡的組織可以自己選擇網絡號,但要保證唯一性
特殊的IP 地址
IPv4的三種編址方式
IP數據報
IPv6
為了解決IPv4網絡資源地址不足的問題,產生了新的IP版本
表示方法
地址長度128位,采用冒號16進制記法,允許0壓縮
網際控制報文協議 ICMP
ip使用icmp向源節點發送錯誤報告
ICMP 報文分類
- ICMP 詢問報文
- ICMP差錯報告報文
使用ICMP 的網絡命令
ping tracert
路由選擇協議
任務: 為路由器提供路由信息
自治系統AS : 一個有權決定采用什么路由協議的小型單位
分類
- 內部網關協議IGP
尋找最佳路徑
RIP,OSPF - 外部網關協議EGP
BGP-4
尋找可達路徑
路由算法
又稱為選路算法,選擇最佳路徑,如RIP
選路算法分類
根據路由表信息范圍與計算方式分類
- 全局算法
知道所有信息
OSPF - 分布式算法
只知道鄰居信息
RIP
根據路由表更新方法分類
- 靜態算法
- 動態算法
RIP,OSPF
路由信息協議RIP
一種分布式,基于距離向量的路由選擇協議,只適用于小型互聯網
協議要點
跳數,最大15跳
距離矢量(DV)選路算法
RIP通告
NAT 網絡地址轉換
將網絡地址從一個地址空間轉換到另外一個地址空間
技術術語
全球地址(公網地址)
本地地址(專用地址,私網地址)
多播
將分組交付給網絡中的一組節點,
多協議標記交換MPLS
傳輸層
端口號 與 套接字
在運輸層使用16位的協議端口號,通常簡稱為端口,來標識進程
兩大類端口號
服務端端口號
- 熟知端口號(0-1023)
- 登記端口號(1024-49151)
客戶端端口號(短暫端口號)
49152-65535
套接字 = 端口號 + IP地址
TCP連接的端口叫做套接字或插口
UDP用戶數據報協議
提供復用與分用,差錯檢測
無連接不可靠面向報文
首部開銷小 8字節
報文結構
- 用戶多路復用/多路分解 的字段
源端口號,目的端口號 - 用于檢測報文段錯誤的字段
長度:udp數據報的長度,最小值是8字節
校驗和:檢測是否有錯,有錯就丟棄
TCP報文結構
首部+ 數據部分
TCP 首部
- 序號seq
- 確認號ack
- 數據偏移
- 確認位 ack
- 同步位 syn
- 終止位 fin
- 窗口
- 校驗和
TCP 流量控制
調節發送速度,使得接收緩存不會溢出,利用滑動窗口實現
應用層
網絡應用架構
客戶-服務器架構 , 對等架構
服務器 : 具有永久IP地址 ,總是在線
客戶機 : 動態IP地址
P2P架構 : 沒有總是運行的服務器,任意對端系統之間可以直接通信
HTTP 協議
80端口 TCP
無狀態
WWW
萬維網 www 稱為 Web , 3W,
link
HTTP
HTML
URL
文件傳輸協議
FTP
主從進程
TCP
控制連接:21
數據連接:20
TFTP
UDP數據報
TELNET
遠程終端協議
遠程登錄與控制
客戶-服務器方式
TCP
數據與命令轉化成網絡虛擬終端NVT格式
電子郵件系統
用戶代理UA
電子郵件客戶端軟件
郵件服務器
發送與接受郵件,向發信人報告郵件發送情況,C-S
相關標準與協議
SMTP 發送郵件
POP3,IMAP 讀取郵件
電子郵箱與電子郵件
電子郵箱:計算機存儲區域
電子郵件地址:23112@qq.com,23112用戶信箱,qq.com 郵件服務器
電子郵件:信封+內容
通用互聯網郵件擴充MIME
彌補SMTP的不足,定義傳送非ASCLL碼的編碼規則
域名系統DNS
將域名轉化為IP地址
根域名服務器
13套
頂級域名服務器
權限域名服務器
本地域名服務器
域名解析
遞歸查詢 , 迭代查詢
網絡安全
計算機網絡面臨的安全威脅
被動攻擊
攻擊者在網絡上竊聽他人的通信內容,這類攻擊稱為截獲
在被動攻擊中,攻擊者知識觀察與分析某一個協議數據單元PDU ,以便了解交換的數據的某種性質但不干擾信息流
這樣的攻擊稱為 流量分析
主動攻擊
- 篡改
篡改網絡上傳送的報文 - 惡意程序
計算機病毒,計算機蠕蟲,特洛伊馬,流氓軟件 - 拒絕服務
攻擊者向互聯網上的某個服務器不停地發送大量分組,使得服務器無法提供正常的服務,甚至完全癱瘓
分布式拒絕服務DDos
如果互聯網成百上千的主機集中攻擊一個網站,導致該網站的信息系統服務能力下降
安全的計算機網絡
- 保密性
- 端點鑒別
- 信息的完整性
- 運行的安全性
信息安全的基本屬性
1.信息安全的核心需求,信息安全三要素CIA
- 保密性
- 完整性
- 可用性
2.信息安全其他屬性
可認證性,不可否認性(不可抵賴),可控性,可審查性,可存活性
訪問控制
三要素
主體 客體 安全訪問規則
數據加密模型
密鑰
加密過程
密碼體制
-
對稱密碼體制
單鑰,私鑰密碼體制
包括 分組密碼,序列密碼,消息認證碼,信息認證碼,哈希函數,認證加密算法
加密解密一把密鑰
常用的對稱密碼算法:DES,3-DES,AES,IEDA,RC4 -
非對稱密碼體制
雙密,公鑰密碼體制
加密解密的密鑰不同
RSA,ECC,ELGAMAL
散列函數
又稱為哈希函數,雜湊函數,信息摘要函數
可以把任意長度的輸入轉換為固定長度的輸出,一種單項密碼體制
沒有密鑰,具有抗碰撞能力
常用的哈希函數:MD5,SHA,SHA-1,SHA-2,SHA-3
互聯網使用的安全協議
- 網絡層安全協議 IPsec
- 傳輸層安全協議
SSL,TLS - 應用層安全協議
PGP(有關電子郵件的安全協議)
防火墻
一種訪問控制技術,可以軟件可以硬件
防火墻內部是可信的網絡,外部是不可信的網絡
防火墻技術
- 基于分組過濾(包過濾)
根據定義好的過濾規則(訪問控制列表 ACL)
ACL配置的兩種方式 : 嚴策略,寬策略 - 基于應用代理 — 應用層
入侵檢測系統 與 入侵防御系統
-
入侵檢測系統 IDS
- 基于主機的IDS (HIDS)
- 基于網絡的IDS (NIDS)
-
入侵防御系統IPS
主動的檢測
無線網絡與移動網絡
WLAN 分類
有固定基礎設施的無線局域網
一個基本服務集BSS 包括一個基站和若干個移動站,
基本服務集內的基站叫做接入點 AP
無固定基礎設施的無線局域網
移動自組網絡,又稱自組網絡
IEEE 802.11 無線局域網
IEEE 802.11 是無線以太網的國際標準
- 星型拓撲,中心點叫做接入點AP
AP是無線局域網的基礎設施,也是一個鏈路層設備
AP也叫做無線接入點WAP
無線局域網中的站點對網內或者網外的通信都必須通過AP - MAC層使用CSMA/CA 協議
凡使用802.11 協議的局域網 又稱為 WIFI
組成
- 802.11 WLAN 基本組成單元
基本服務集 BSS- 一個BSS 包括: 若干無線終端(移動站),一個無線接入點AP(基站)
- 一個BSS 所覆蓋的地理范圍叫做一個
基本服務區BSA,一般不超過100米 - 管理員安裝AP時,必須為AP 分配一個不超過32字節的
服務集標識符SSID(AP的無線局域網名字)和一個通信信道 - 每個無線接口(終端及AP)均有一個全局唯一的48位MAC地址,AP的MAC地址名稱叫做
基本服務集標識符BSSID
2.使用2.4GHZ 和5GHz頻段
3.擴展服務集ESS
一個BSS 可以通過AP連接到一個分配系統DS,再連接到另外一個BSS,構成一個擴展服務集ESS
IEEE 802.11 物理層
IEEE 802.11 MAC層
1.通過協調功能來確定基本服務集 BSS 中的移動站何時可以發送與接收數據,
2.IEEE 802.11 的 mac協議 , CSMA/CA , 支持兩種機制
- 信道預約機制
- 無信道預約機制
3.802.11 的MAC幀 共有三種類型: 控制幀,數據幀,管理幀
熱點
- 移動自組網絡 / 自組網絡 沒有固定的基礎措施 的 無線局域網
移動站處于平等狀態
三個主要問題: 路由選擇協議,多播,安全 - 無線傳感器網絡 WSN
由大量傳感器結點通過無線通信技術構成的自組網絡
無線個人局域網WPAN
-
藍牙系統
-
ZigBee 低速WPAN
-
高速WPAN
蜂窩無線通信網絡技術簡介
- 1G
- 2G
- 3G
- 4G
移動IP
允許計算機移動到外地的時候仍然保留原本的IP地址
用戶的移動性對上層的網絡應用是透明的
移動IP網絡層新增加的功能
- 移動站到外地代理的協議
- 外地代理到歸屬代理的等級協議
- 歸屬代理數據報封裝協議
- 外地代理拆封協議
幾種無線網絡的比較
上安裝 Kubernetes + KubeSphere 的防火墻放行全攻略)
)
)
)
)
/Session(搭配HttpServletRequest+HttpSession))
