2[1].以太网宽带接入教材

中国通信服务安徽公司接入网络设备 培训 焊锡培训资料ppt免费下载焊接培训教程 ppt 下载特设培训下载班长管理培训下载培训时间表下载 教材 以太网宽带接入 目录 1目录 4第一章 计算机网络基础知识 4第一节 计算机网络 4第二节 计算机网络的发展过程 5第三节 计算机网络的组成 5一、计算机网络主要由网络硬件和软件系统组成。 5二、计算机网络包括资源子网和通信子网两大部分 6第四节 常见网络拓扑结构 8第五节 计算机网络的分类 8一、局域网 10二、广域网 11第六节 衡量网络性能的标准 12第七节 计算机网络的功能与应用 12一、计算机网络的主要功能 13二、计算机网络应用的主要领域 14第八节 网络安全与管理技术 14一、网络威胁与对策 16二、常用网络安全技术 16三、网络防病毒技术 19第二章 计算机网络体系结构 19第一节 分层体系结构与网络协议 19一、分层体系结构 19二、网络协议 20第二节 OSI参考模型 20一、OSI参考模型 21二、数据封装与解封 23三、物理层 24四、数据链路层 25五、网络层 26六、传输层 26七、会话层、 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 示层和应用层 27第三节 TCP/IP参考模型 28一、TCP/IP协议栈 29二、应用层 30三、传输层 32四、网络层 34第四节 OSI与TCP/IP体系结构的比较 35第五节 IP地址与子网规划 35一、IP地址介绍 37二、IP地址的分类 38三、特殊的IP地址 40四、子网规划 43五、IPV6地址 46第三章 网络互连设备 46第一节 网络传输介质 46一、双绞线 47二、光纤 48第二节 物理层互连设备 48一、中继器 48二、集线器 49第三节 数据链路层设备 49一、网桥 50二、交换机 51第四节 网络层互连设备 51一、路由器 53二、路由器的分类 54第五节 应用层互连设备 54一、网关 55二、防火墙 58第四章 交换机的配置与应用 58第一节 以太网交换机基础 58一、以太网 59二、交换机的基本原理 65第二节 配置以太网交换机 68第三节 VLAN技术 68一、VLAN技术 69二、VLAN的分类 72三、端口技术 73四、VLAN的基本配置 74五、配置命令 77第五章 路由器的配置与应用 77第一节 路由器基础 77一、路由器的工作原理 79二、路由及路由表 81第二节 路由器的基本配置 81一、配置路由器 82二、命令行概述 85三、基本操作命令 89第三节 动态路由协议基本原理 89一、动态路由协议基本原理 89二、路由信息协议（RIP） 90三、开放最短路由优先协议（OSPF） 93第四节 静态路由及配置 93一、静态路由 93二、静态路由配置 94三、缺省路由 95四、路由自环 第一章 计算机网络基础知识 第一节 计算机网络 网络（network）是一个复杂的人和物的互联系统。我们周围存在着很多网络，例如电话网、电报网等；即使我们身体内部也存在许许多多的网络系统，例如神经系统、消化系统等等。 在计算机网络出现的前期，计算机都是独立的设备，每台计算机独立工作，互不联系。计算机与通信技术的结合，对计算机系统的组织方式产生了深远的影响，使计算机之间的相互访问成为可能。不同种类的计算机通过同种类型的通信协议（Protocol）相互通信，产生了计算机网络（computer network）。 计算机网络，就是把分布在不同地理区域的计算机以及专门的外部设备利用通信线路互联成一个规模大、功能强的网络系统，从而使众多的计算机可以方便地相互传递信息，共享信息资源。（注：我们给出如此广泛的定义是因为IT 业迅速发展，各种网络互联终端设备层出不穷，像计算机、打印机、WAP（Wireless Application Protocol）手机、PDA（PersonalDigital Assistant）、网络电话等各种支持网络互联的设备）。 第二节 计算机网络的发展过程 计算机网络起始于六十年代，当时网络的概念主要是基于主机（host）架构的低速串行（serial）联接，提供应用程序执行、远程打印和数据服务功能。IBM的SNA（System Network Architecture，系统网络架构）架构与非IBM公司的X.25公用数据网络是这种网络的典型例子。这时候，由美国国防部资助，建立了一个名为ARPANET（即为阿帕网）的基于分组交换（packet switching）的网络，这个阿帕网就是今天的Internet 最早的雏形。 七十年代，出现了以个人电脑为主的商业计算模式。最初，个人电脑是独立的设备，由于认识到商业计算的复杂性，要求大量终端设备的协同操作，局域网（LAN，Local Area Network）产生了。局域网的出现，大大降低了商业用户打印机和磁盘昂贵的费用。 八十年代至九十年代，远程计算的需求不断地增加，迫使计算机界开发出多种广域网络协议（包括TCP/IP协议、IPX/SPX协议），满足不同计算方式下远程联接的需求，互联网快速发展起来，TCP/IP协议得到了广泛应用，成为互联网的事实协议。 第三节 计算机网络的组成 计算机网络由计算机系统（包括计算机和终端）、通信链路和连接设备及通信协议组成。所以我们可以从两个方面来看计算机网络的组成。 一、计算机网络主要由网络硬件和软件系统组成。 1. 网络硬件系统包括：计算机（网络服务器、网络工作站）、通信线路、通信设备、其它设备（外部设备、防火墙）。 (1) 网络服务器：被网络用户访问的计算机系统，包括供网络用户使用的各种资源，并负责对这些资源的管理，协调网络用户对这些资源的访问。 (2) 网络工作站：能使用户在网络环境上进行工作的计算机，常被称为客户机。 (3) 通信线路：同轴细缆、双绞线、光纤、微波等 (4) 通信设备：集线器（Hub）、中继器（repeater）交换机（Switch）、路由器（Router）、网络接口卡（NIC，简称网卡）、调制解调器（Modem），网关（gateway） (5) 外部设备：可被网络用户共享的常用硬件资源，通常指一些大型的、昂贵的外部设备，如大型激光打印机、绘图设备、大容量存储系统等。 (6) 防火墙：是在内联网和互联网之间构筑的一道屏障，用以保护内联网中的信息、资源等不受来自互联网中非法用户的侵犯。 2. 网络软件系统包括：网络系统软件和应用软件。 (1) 网络系统软件：控制及管理网络运行和网络资源使用。如协议软件、通信软件；为用户提供了访问网络和操作网络的入机接口。如Windows 2000 server网络操作系统。 (2) 网络应用软件：指为某一个应用目的而开发的网络软件。如IE、Outlook Express。 二、计算机网络包括资源子网和通信子网两大部分 通常从逻辑上将网络划分两大部分：资源子网和通信子网，也可以说计算机网络是由资源子网和通信子网组成的。 1. 通信子网 通信子网是网络中面向数据传输或者数据通信的部分资源集合，主要支持用户数据的传输。子网包括传输线路、网络设备和网络控制中心等软硬件设施。邮电通信部门提供的网络一般都作为通信子网；企业网、校园网中除了服务器和计算机外的所有网络外设和网络线路构成的网络也可称为通信子网。通信子网与具体应用无关。 2. 资源子网 资源子网是网络中面向数据处理的资源集合，主要支持用户的应用。资源子网由用户的主机资源组成，包括接入网络的用户的主机以及面向应用的外设（如：终端）、软件和可共享的数据（如：公共数据库）等。 第四节 常见网络拓扑结构 拓扑（topology）结构定义了组织网络设备的方法。 在总线型拓扑结构中，网络中的所有设备都连接到一个线性的网络介质上，这个线性的网络介质称为总线。当一个节点在总线拓扑网络上传送数据时，数据会向所有节点传送。每一个设备检查经过它的数据，如果数据不是发给它的，则该设备丢弃数据；如果数据是发向它的，则接收数据并将数据交给上层协议处理。典型的总线拓扑具有简单的线路布局，该布局使用较短的网络介质，相应地，所需要的线缆花费也较低。缺点是很难进行故障诊断和故障隔离，一旦总线出现故障，就会导致整个网络故障；而且，局域网任一个设备向所有设备发送数据，消耗了大量带宽，大大影响了网络性能。 图1-1 总线型结构 星型拓扑结构有一个中心控制点。当使用星型拓扑时，连接到局域网上的设备间的通信是通过与集线器或交换机的点到点的连线进行的。星型拓扑易于 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 和安装，网络介质直接从中心的集线器或交换机处连接到工作站所在区域；星型拓扑易于维护，网络介质的布局使得网络易于修改，并且更容易对发生的问题进行诊断。在局域网构建中，大量采用了星型拓扑结构。当然，星型拓扑也有缺点，一旦中心控制点设备出现了问题，容易发生单点故障；每一段网络介质只能连接一个设备，导致网络介质数量增多，局域网安装成本相应提升。 图1-2 星型结构 环形拓扑结构各结点通过通信线路组成闭合回路，环中数据只能单向传输。优点：结构简单，容易实现，适合使用光纤，传输距离远，传输延迟确定。缺点：环网中的每个结点均成为网络可靠性的瓶颈，任意结点出现故障都会造成网络瘫痪，另外故障诊断也较困难。最著名的环形拓扑结构网络是令牌环网（Token Ring）。 图1-3 环型结构 树型拓扑结构是一种层次结构，结点按层次连结，信息交换主要在上下结点之间进行，相邻结点或同层结点之间一般不进行数据交换。优点：连结简单，维护方便，适用于汇集信息的应用要求。缺点：资源共享能力较低，可靠性不高，任何一个工作站或链路的故障都会影响整个网络的运行。 网状拓扑结构又称作无规则结构，结点之间的联结是任意的，没有规律。优点：系统可靠性高，比较容易扩展，但是结构复杂，每一结点都与多点进行连结，因此必须采用路由算法和流量控制方法。 图1-4 网状结构 局域网（LAN）有总线（bus）型、星型（star）等多种拓扑结构。 广域网（WAN）常见的网络拓扑结构有星型、树型、全网状（Full meshed）、半网状等等。 第五节 计算机网络的分类 由于连接介质的不同，通信协议的不同，计算机网络的种类划分方法名目繁多。但一般来讲，计算机网络可以按照它覆盖的地理范围，划分成局域网和广域网，以及介于局域网和广域网之间的城域网（MAN，Metropolitan Area Network）。本小节重点介绍局域网和广域网。 一、局域网 图1-5 现代局域网模型 局域网-LAN（Local Area Network）是将小区域内的各种通信设备互连在一起所形成的网络，覆盖范围一般局限在房间、大楼或园区内。局域网一般指分布于几公里范围内的网络，局域网的特点是：距离短、延迟小、数据速率高、传输可靠。 IEEE 802.X标准是当今居于主导地位LAN标准。 目前我国常见的局域网类型包括：以太网（Ethernet）、异步传输模式（ATM，Asynchronous Transfer Mode）等，它们在拓朴结构、传输介质、传输速率、数据格式等多方面都有许多不同。其中应用最广泛的当属以太网—— 一种总线结构的LAN，是目前发展最迅速、也最经济的局域网。 LAN的设计目标主要面对有限的地理区域，它允许同时访问高带宽的介质。LAN 通过局部管理控制网络的私有权利，提供全时的局部服务，其连接物理设备一般在相对较近的环境中。 局域网络建设时常用网络设备有： 1. 线缆（cable）：局域网的距离扩展通常需要通过线缆来实现，不同的局域网有不同连接线缆，如光纤（fiber）、双绞线（twisted pair）、同轴电缆等。 2. 网卡（NIC，Network Interface Card）插在计算机主板插槽中，负责将用户要传递的数据转换为网络上其它设备能够识别的格式，通过网络介质传输。它的主要技术参数为带宽、总线方式、电气接口方式等。 3. 集线器（Hub）是单一总线共享式设备，提供很多网络接口，负责将网络中多个计算机连在一起。所谓共享是指集线器所有端口共用一条数据总线，同一时刻只能有一个用户传输数据，因此平均每用户（端口）传递的数据量、速率等受活动用户（端口）总数量的限制。 4. 交换机（Switch）也称交换式集线器（Switched Hub）。它同样具备许多接口，提供多个网络节点互连。但它的性能却较共享集线器（Shared Hub）大为提高：相当于拥有多条总线，使各端口设备能独立地作数据传递而不受其它设备影响，表现在用户面前即是各端口有独立、固定的带宽。此外，交换机还具备集线器欠缺的功能，如数据过滤、网络分段、广播控制等。 5. 路由器（Router）：路由器是一种用于网络互连的计算机设备，它工作在OSI参考模型的第三层（网络层），为不同的网络之间报文寻径并存储转发。通常路由器还会支持两种以上的网络协议以支持异种网络互联，一般的路由器还会运行一些动态路由协议以实现动态寻径。 二、广域网 WAN定义：在大范围区域内提供数据通信服务，主要用于互连局域网。 WAN连接地理范围较大，常常是一个国家或是一个洲。中国公用分组交换网（CHINAPAC）、中国公用数字数据网（CHINADDN），以及建议中的国家教育和科研网（CERnet），CHINANET等都属于广域网。 WAN的目的是为了让分布较远的各局域网互连，所以它的结构又分为末端系统（end system，两端的用户集合）和通信系统（中间链路）两部分。通信系统是广域网的关键，它主要有以下几种： 1. 公共电话网：即PSTN（Public Switched Telephone Network），这种系统使用电路交换技术，必须给每一个通话分配一个专用的语音通道，消息是以模拟的形式在PSTN 上传送的。传输介质是普通电话线。它的特点是费用低，易于建立，且分布广泛。 2. 综合业务数字网：即ISDN（Integrated Service Digital Network），是一种拨号连接方式。ISDN BRI提供的是2B+D的数据通道，每个B通道速率为64Kbps，其速率最高可达到128kbps。ISDN PRI有两种标准：欧洲标准（30B＋D）和北美标准（23B＋D）。ISDN为数字传输方式，具有连接迅速、传输可靠等特点，并支持对方号码识别。ISDN话费较普通电话略高，但它的双通道使其能同时支持两路独立的应用，是一项对个人或小型办公室较适合的网络接入方式。 3. 专线：即Leased Line，在中国称为DDN，是一种点到点的连接方式，速度一般选择64kbps～2.048Mbps。专线的好处是数据传递有较好的保障，带宽恒定；但价格昂贵，而且点到点的结构不够灵活。 4. X.25网：是一种出现较早且依然应用广泛的广域网方式，速度为9600bps～2Mbps；有冗余纠错功能，可靠性高，但由此带来的副效应是速度慢，延迟大。 5. 帧中继：即Frame Relay，是在X.25基础上发展起来的较新技术，速度一般选择为64kbps～2.048Mbps。帧中继的特点是灵活、弹性：可实现一点对多点的连接，并且在数据量大时可超越约定速率（CIR：Commited Information Rate）传送数据，允许用户在传输数据时有一定的突发量，是一种较好的商业用户连接选择。 6. 异步传输模式：即ATM（Asynchronous Transfer Mode），是一种信元交换网络，最大特点的速率高、延迟小、传输质量有保障。ATM 大多采用光纤作为连接介质，速率可高达上千兆，但成本也很高。ATM 也可以称作广域网协议。 WAN通常采用两种交换模式运行，即电路交换（circuit switching）和分组交换（packet switching）技术。 1. 电路方式是基于电话网电路交换的原理，当用户要求发送数据时，交换机就在主叫用户和被叫用户之间接通一条物理的数据传输通路。特点是时延小、“透明”传输（即传输通路对用户数据不进行任何修正或解释）、信息传输的吞吐量大。缺点是所占带宽固定，网络资源利用率低。传统的PSTN/ISDN网络基于电路交换模式。 2. 分组方式是一种存储转发的交换方式。它是将需要传输的信息划分为一定长度（ATM）或可变长度的包（分组），以分组为单位进行存储转发的。每个分组信息都载有接收地址和发送地址的标识。分组方式在线路上采用动态复用的技术来传送各个分组，带宽可以复用，网络资源利用率高。缺点是实时性不好。 广域网在超过局域网的地理范围内运行，它通过各种类型的串行连接以便在更大的地理区域内实现接入。通常，企业网往往通过广域网线路接入到当地ISP。广域网可以提供全部时间和部分时间的连接，允许通过串行接口在不同的速率工作。 广域网常用设备有： 1. 路由器（Router）：广域网通信过程根据地址来寻找到达目的地的路径，这个过程在广域网中称为路由（Routing）。路由器负责在各段广域网和局域网间根据地址信息建立路由，将数据送到最终目的地。 2. 调制解调器（Modem）：作为末端系统和通信系统之间信号转换的设备，是广域网中必不可少的设备之一。Modem分为同步和异步两种，分别用来与路由器的同步和异步串口相连接，同步可用于专线、帧中继、X.25等，异步用于PSTN的连接。 第六节 衡量网络性能的标准 带宽（bandwidth）和延迟（delay）是衡量网络性能的两个主要指标。 1. 带宽：描述在一定时间范围内数据从网络的一个节点传送到任意节点的容量，通常用bit/s表示。LAN 和WAN 都使用带宽（bandwidth）来描述网络上数据在一定时刻从一个节点传送到任意节点的信息量。 带宽分为两类：模拟带宽和数字带宽。本书所述的带宽指数字带宽。带宽的单位是位每秒（bps，bit per second），代表每秒钟一个网段发送的数据位数。带宽是一个比较模糊的概念，我们可以这样理解：假定您正在一条8 车道的高速公路上驱车回家，当您驶离高速公路后，道路可能会变窄，变为4 车道，当到您家门口时，变为了2 车道。带宽就像道路。高速公路就像广域网线路的带宽，其他道路就像局域网的带宽。道路上的汽车就像物理链路上承载的数据信息。如果高速公路上车辆过多，会堵车；同样地，如果网络中数据流量过大，也会发生拥塞现象。目前常见的网络带宽有以太网技术的10M，100M，1000Mbps等；Modem拨号上网带宽为56kbps；ISDN BRI带宽最高为128Kbps；E1/PRI带宽为2Mbps，E3带宽为34Mbps；OC-3带宽为155Mbps，OC-12带宽为622Mbps，OC-48带宽为2.5Gbps，OC-192 带宽为10Gbps。 2. 网络的时延（delay），又称延迟，定义了网络把一位数据从一个网络节点传送到另一个网络节点所需要的时间。网络延迟主要由传导延迟（propagation delay）、交换延迟（switching delay）、介质访问延迟（access delay）和队列延迟（queuing delay）组成。总之，网络中产生延迟的因素很多，可能是网络设备的问题，也可能是传输介质、网络协议标准的问题；可能是硬件，也可能是软件的问题。 第七节 计算机网络的功能与应用 一、计算机网络的主要功能 一般来说，计算机网络的主要功能有： 1. 资源共享 网络的出现使资源共享变得很简单，交流的双方可以跨越空间的障碍，随时随地传递信息。 2. 信息传输与集中处理 数据时通过网络传递到服务器（server）中，由服务器集中处理后再回到终端。 3. 负载均衡与分布处理 举个典型的例子：一个大型ICP（Internet 内容提供商）为了支持更多的用户访问他的网站，在全世界多个地方放置了相同内容的WWW（World Wide Web）服务器；通过一定技术使不同地域的用户看到放置在离他最近的服务器上的相同页面，这样来实现各服务器的负载均衡，同时用户也节省了访问时间。 4. 综合信息服务 网络的一大发展趋势是多维化，即在一套系统上提供集成的信息服务，包括来政治、经济等各方面资源，甚至同时还提供多媒体信息，如图像、语音、动画等。在多维化发展的趋势下，许多网络应用的新形式不断涌现，如：电子邮件（E-mail）、视频点播（VOD，Video On Demand）、电子商务（E-commerce）和视频会议（Video conference）等。 图1-6 计算机网络的功能 二、计算机网络应用的主要领域 5. 网络通信：通过Internet收发E-mail已经相当普遍，它为人们的快速联系提供极大地方便，通过IP电话进行长途通话可以大大降低通话费用。随着高速和宽带网络技术的发展，将给传统的电信业务带来很大的变化。 6. 信息检索：随着Internet的迅速发展，网上的信息越来越多，用户可以通过计算机轻松访问这些信息。 7. 电子商务：电子商务通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。 8. 科学计算（或称为数值计算）：早期的计算机主要用于科学计算。目前，科学计算仍然是计算机应用的一个重要领域。如高能物理、工程设计、地震预测、气象预报、航天技术等。由于计算机具有高运算速度和精度以及逻辑判断能力，因此出现了计算力学、计算物理、计算化学、生物控制论等新的学科。 9. 过程检测与控制：利用计算机对工业生产过程中的某些信号自动进行检测，并把检测到的数据存入计算机，再根据需要对这些数据进行处理，这样的系统称为计算机检测系统。特别是仪器仪表引进计算机技术后所构成的智能化仪器仪表，将工业自动化推向了一个更高的水平。 10. 信息管理（数据处理）：信息管理是目前计算机应用最广泛的一个领域。利用计算机来加工、管理与操作任何形式的数据资料，如企业管理、物资管理、报表统计、帐目计算、信息情报检索等。近年来，国内许多机构纷纷建设自己的管理信息系统（MIS）；生产企业也开始采用制造资源规划软件（MRP），商业流通领域则逐步使用电子信息交换系统（EDI），即所谓无纸贸易。 11. 计算机辅助系统：1）计算机辅助设计（CAD）。2）计算机辅助制造（CAM）。3）计算机辅助测试（CAT）。4）计算机辅助教学（CAI）。 第八节 网络安全与管理技术 网络安全历来都是人们讨论的主要话题之一。网络安全不但要求防治网络病毒，还要提高网络系统抵抗外来非法黑客入侵的能力，以及提高对远程数据传输的保密性，避免在传输途中遭受非法窃取。下面从威胁、对策、缺陷、攻击的角度来 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 网络系统的安全。从攻击者的角度考虑问题，并了解他们的可能手段，在采取对策时会更有效。 一、网络威胁与对策 构成网络基础结构的主要组件有路由器、防火墙和交换机。它们担当网关守卫的角色，保护用户的服务器和应用程序不受攻击与入侵。常见的网络缺陷包括脆弱的默认安装设置、对外开放的访问控制及缺少最新安全补丁的系统。网络主要的威胁与对策有以下几种。 信息收集。通常，攻击者最初是扫描网络设备端口，识别出开放端口后，利用标题抓取与枚举的方法检测设备类型，并确定操作系统和应用程序的版本。掌握这些信息后，攻击者可以攻击已知的缺陷，这些缺陷可能没有更新安全补丁。阻止信息收集的对策是配置路由器，限制它们对足迹请求的响应。配置承载网络软件（如软件防火墙）的操作系统，通过禁用不使用的协议和不必要的端口，可以阻止信息收集。 1. 探查。探查或者窃听是指监视网络上数据（如明文密码或者配置信息）传输信息的行为。利用简单的数据包探测器，攻击者可以很轻松地读取所有的明文传输信息。同时，攻击者可以破解用较简单的散列算法加密的数据包，并解密用户认为是安全的有用数据包。探查数据包需要在服务器/客户端通信的通道中安装数据包探测器。网络管理技术就是监督、组织和控制网络通信服务以及信息处理所必需的各种技术手段和措施的总称。其目标是确保计算机网络的持续正常运行，并在计算机网络运行出现异常时能及时响应和排除故障。 阻止探查的对策是使用强有力的物理安全措施并适当对网络进行分段，这是阻止传输信息在本地被收集的第一步。通信完全加密，包括对凭据的身份验证。这可以防止攻击者使用探查到的数据包。SSL（Security Socket Layer，加密套接字协议层）与IPSec（Internet协议安全性）就是这种加密解决方案的措施。 2. 欺骗。欺骗是一种隐藏某人在网上真实身份的方式。为创建一个欺骗身份，攻击者要使用一个伪造的源地址，该地址不代表数据包的真实地址。可以使用欺骗来隐藏最初的攻击源，或者绕开存在的网络访问控制列表（ACL，它根据源地址规则限制主机访问）。虽然不可能根据精心制作的欺骗数据包追踪到原始的发送者，但是组合筛选规则可以防止欺骗数据包起源于用户的网络，使用户可以拦截明显的欺骗数据包。防止欺骗的对策是筛选看上去是来自周边内部IP 地址的传入数据包，和筛选看上去是源于无效本地IP 地址的外出数据包。 3. 会话劫持。也称为中间人攻击。当攻击者拦截在用户和用户期望的接收者之间发送的消息时，就会发生中间人攻击。然后，攻击者更改用户的消息并将它发送给原来的接收者。接收者接收到消息而且认为是用户发送的，并对之采取行动。当接收者给用户发回消息，攻击者拦截它、更改它，再发送给用户。用户和用户的接收者不会知道他们的会话已经被攻击。防止会话劫持的对策是使用加密的会话协商，和使用加密的通信通道。及时获取有关平台补丁的信息，修补TCP/IP缺陷。例如，可预测的数据包序列。 4. 拒绝服务。拒绝服务（DoS，Denial of Service）的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS 攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。 防止拒绝服务的对策是使用最新的服务包。通过应用适当的注册表设置强化TCP/IP堆栈，以增大TCP 连接队列的大小，缩短建立连接的周期，并利用动态储备机制来确保连接队列永远不会耗尽。使用网络入侵检测系统（IDS），因为这可以自动检测与回应联机请求溢满攻击（SYN Floods）。 二、常用网络安全技术 1. 身份验证。身份是对网络用户、主机、应用、服务以及资源的准确而肯定的识别。可用来进行识别的标准技术包括诸如RADIUS、TACACS+和Kerberos之类的认证协议以及一次性密码工具。诸如数字证书、智能卡以及目录服务等新的技术也逐渐在身份解决方案中扮演着越来越重要的角色。 2. 边界安全。这一部分提供了对关键的网络应用、数据和服务的访问控制，以便只允许合法的用户和信息通过网络。带访问控制列表（ACL）状态防火墙的路由器和交换机，以及专用的防火墙设备都提供了这样的控制。病毒扫描工具和内容过滤器等辅助性工具也可以对网络的边界进行控制。 3. 数据私密性。当信息必须被保护以防止被窃听的时候，能够按照需要提供可靠的机密通信是至关重要的。有时候，使用诸如通用路由选择封装（GRE）和第二层隧道协议（L2TP）之类的隧道技术和数据分离就可以提供有效的数据私密性。然而，额外的私密性需求经常要使用数字加密技术和IPSec协议。在实现VPN的时候，这种附加的保护就特别重要。 4. 安全监控。为了确保网络是安全的，定期测试和监控安全准备措施的状态是非常重要的。网络漏洞扫描工具能够有效地识别出易受攻击的区域，而入侵检测系统（IDS）能够在安全事件发生的时候对其进行监控和响应。通过使用这些安全监控解决方案，企业或组织能够获得对网络数据流和网络安全情况从未有过的深入了解。 5. 策略管理。随着网络在规模和复杂程度上的增长，对集中的策略管理工具的需求也日益增长。一些用来分析、解释、配置以及监控安全策略状态的、基于浏览器用户界面的复杂工具增强了网络安全解决方案的可用性和有效性。 三、网络防病毒技术 技术的先进性是网络防病毒产品品质的保证。对付变幻莫测的病毒的最好方法就是不断发展反病毒技术。下面简要分析网络防病毒产品目前所采用的几种重要技术。 1. 数字免疫系统。数字免疫系统（Digital Immune System）是赛门铁克与IBM公司共同合作研究开发的一项网络防病毒技术。采用该技术的网络防病毒产品能够应付网络病毒的爆发和极端恶意事件的发生。数字免疫系统主要包括封闭循环自动化网络防病毒技术和启发式侦测技术（Heuristic Technology）。前者是一个后端基础设施，可以为企业级用户提供高级别的病毒保护。在网络系统的管理中，不管系统管理员介入与否，数字免疫系统都能够根据系统管理员的要求，自动进行病毒侦测和分析。后者则可以自动监视可疑行为，为网络防病毒产品对付未知病毒提供依据。数字免疫系统还可以将病毒解决方案广泛发送到被感染的计算机上，或者发送到整个企业网络系统中，从而提高网络系统的运行效率。另外，数字免疫系统的超流量控制，还可以减少过多用户同时提交被感染文件时，所引起的带宽变窄问题，使整个网络监测变得更加简单和方便。 2. 监控病毒源技术。密切关注、侦测和监控网络系统外部病毒的动向，将所有病毒源堵截在网络入口处，是当前网络防病毒技术的一个重点。人们普遍认为，网络防毒必须从各个不同的层面堵截病毒的来源。趋势科技公司针对网络防病毒提出的可以远程中央控管的趋势病毒监控系统（TVCS，Trend Virus Control System），不仅可以完成跨网段区域的操作，而且在传输过程中还能保障文件的安全。该套系统共包括针对Internet代理服务器的InterScan、用于Mail Server的ScanMail、针对文件服务器的Server Protect，以及用于终端用户的PC- cillin等全方位解决方案。这些防毒技术整合在一起，便构成了一道网关防毒网。 3. 主动内核技术。主动内核技术（Active Kernel）是将已经开发的各种网络防病毒技术从源程序级嵌入到操作系统或网络系统的内核中，实现网络防病毒系统与操作系统的无缝连接。例如，将实时防毒、文件动态解压缩、病毒陷阱、宏病毒分析器等功能，组合起来嵌入到操作系统或网络系统中，并作为操作系统本身的一个“补丁”，与其浑然一体。这种技术可以保证网络防病毒模块从系统的底层内核与操作系统和应用环境密切协调，确保防毒操作不会伤及到操作系统内核，同时确保杀灭病毒的功效。这样，即使用户是一个全球性的大型异构网络，只要用户的服务器安装了内置主动内核技术的操作系统，采用该技术的安全防毒软件（如Kill 防毒软件）就能自动探测到网络中的每一台计算机是否已经安装了主动内核，以及是否都已升级到了最新版本。如果有一台计算机没有做到，防毒系统就会补上这个漏洞。还有，用户所使用的计算机系统若处于主动内核保护之下，已知病毒的入侵就会被拒之门外，做到了防患于未然。Kill 网络防病毒软件采用的就是主动内核技术，该技术对用户是完全透明的，用户平时使用计算机时甚至感觉不到它的存在。Kill 网络防病毒软件，通过全方位的网络管理，支持远程服务器、软件自动分发、多种报警机制和完整的病毒报告，可帮助管理员实施网络防病毒工作。 4. 分布式处理技术。“集中式管理、分布式杀毒”技术，将安装在网络系统中的每台计算机上的杀毒软件构筑成协调一致的立体防护体系，网络管理员只需通过控制台，就可实时掌握全网各结点的病毒监测状况；也可远程指挥每台计算机杀毒软件的工作方式。瑞星网络杀毒软件采用的就是分布式处理技术，该技术实际上是一种杀毒软件的网络远程化管理技术。采用“分布处理、集中控制”技术的网络杀毒软件，可以克服网络杀毒软件不能全网统一杀毒的缺陷，杜绝了因部分计算机未能及时杀毒而留下的隐患。 5. 安全网管技术。许多网络防病毒软件还采用了网管技术，允许网络管理员从一个单独的工作站上管理整个网络的所有病毒防护程序，并可对整个网络中工作站或服务器上的防毒软件进行集中安装、卸载、设置、扫描及更新。 6. 计算机病毒在形式上越来越狡猾，造成的危害也日益严重。这就要求网络防病毒产品在技术上更先进，在功能上更全面，并具有更高的查杀效率。在当今这个信息化社会中，一方面，硬件平台，操作系统平台，应用软件等IT系统已变得越来越复杂和难以统一管理；另一方面，现代社会生活对网络的高度依赖，使保障网络的通畅、可靠就显得尤其重要。这些都使得网络管理技术成为网络技术中人们公认的关键技术。 第二章 计算机网络体系结构 第一节 分层体系结构与网络协议 一、分层体系结构 计算机网络系统是独立的计算机通过已有通信系统连接形成的，其功能是实现计算机的远程访问和资源共享。因此，计算机网络的问题主要是解决异地独立工作的计算机之间如何实现正确、可靠的通信，计算机网络分层体系结构模型正是为解决计算机网络的这一关键问题而设计的。 计算机网络体系结构的分层思想主要遵循以下几点原则： 1. 功能分工的原则：即每一层的划分都应有它自己明确的与其他层不同的基本功能。 2. 隔离稳定的原则：即层与层的结构要相对独立和相互隔离，从而使某一层内容或结构的变化对其他层的影响小，各层的功能、结构相对稳定。 3. 分支扩张的原则：即公共部分与可分支部分划分在不同层，这样有利于分支部分的灵活扩充和公共部分的相对稳定，减少结构上的重复。 4. 方便实现的原则：即方便标准化的技术实现。 二、网络协议 协议（protocol）是什么？拿电报来做比较，在拍电报时，必须首先规定好报文的传输格式，多少位的码长，什么样的码字表示启动，什么样的码字又表示结束，出了错误怎么办，怎样表示发报人的名字和地址等，这种预先定好的格式及约定就是协议。 网络协议是为了使计算机网络中的不同设备能进行数据通信而预先制定一整套通信双方相互了解和共同遵守的格式和约定。网络协议是一系列规则和约定的 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 性描述，定义了网络设备之间如何进行信息交换。网络协议是计算机网络的基础。只有遵从相应协议的网络设备之间才能够通信。就像保障我们国家稳定健康运行的法律法规一样，如果任何人违反了法律法规的约束，必然会导致法律的制裁。网络协议就是约束各种网络互连终端设备的法律，如果任何一台设备不支持用于网络互连的协议，它就不能与其他设备通信。 图2-1 通信协议 网络协议多种多样，主要有TCP/IP（Transfer Control Protocol/Internet Protocol）协议、Novell IPX/SPX（Internetwork Packet eXchange/Sequenced Packet eXchange）协议、IBM SNA（Syetem Network Architecture）等等。目前最为流行的是TCP/IP协议栈，它已经成为Internet的标准协议。 第二节 OSI参考模型 一、OSI参考模型 图2-2 OSI 参考模型 OSI 参考模型依层次结构来划分：第一层，物理层（Physical layer）；第二层，数据链路层（data link layer）；第三层，网络层（network layer）；第四层，传输层（transport layer）；第五层，会话层（session layer）；第六层，表示层（presentation layer）；第七层，应用层（application layer）。 通常，我们把OSI 参考模型第一层到第三层称为底层（lower layer），又叫介质层（Media Layer）。这些层负责数据在网络中的传送，网络互连设备往往位于下三层。底层通常以硬件和软件相结合的方式来实现。 OSI 参考模型的第五层到第七层称为高层（upper layer），又叫主机层（host layer）。高层用于保障数据的正确传输，通常以软件方式来实现。 七层OSI 参考模型具有以下优点： 1．简化了相关的网络操作； 2．提供即插即用的兼容性和不同厂商之间的标准接口； 3．使各个厂商能够设计出互操作的网络设备，加快数据通信网络发展； 4．防止一个区域网络的变化影响另一个区域的网络，因此，每一个区域的网络都能单独快速升级； 5．把复杂的网络问题分解为小的简单问题，易于学习和操作。 二、数据封装与解封 图2-3 对等层通信 每一个对等层数据的名字为协议数据单元，即PDU（Protocol Data Unit）。相应地，应用层数据称为应用层协议数据单元（APDU，Application Protocol Data Unit），表示层数据称为表示层协议数据单元（PPDU，Presentation Protocol Data Unit），会话层数据称为会话层协议数据单元（SPDU，Session Protocol Data Unit）。通常，我们把传输层数据称为段（segment），网络层数据称为数据包（packet），数据链路层为帧（frame），物理层数据称为比特流（bit）。 在OSI参考模型中，终端主机的每一层并不能直接与对端相对应层直接通信，而是通过下一层为其提供的服务来间接与对端对等层交换数据。下一层通过服务访问点（SAP，Service Access Point）为上一层提供服务。例如，一个终端设备的传输层和另一个终端设备的对等传输层利用数据段进行通信。传输层的段成为网络层数据包的一部分，网络层数据包又成为数据链路层帧的一部分，最后转换成比特流传送到对端物理层，又依次到达对端数据链路层、网络层、传输层，实现了对等层之间的通信。 为了保证对等层之间能够准确无误地传递数据，对等层间应运行相同的网络协议。例如，应用层协议E-mail应用程序不会和对端应用层Telnet应用程序通信，但可以和对端E-mail应用程序通信。 图2-4 数据的封装与解封 封装（encapsulation）是指网络节点（node）将要传送的数据用特定的协议头打包，来传送数据，有时候，我们也可能在数据尾部加上报文，这时候，也称为封装。OSI七层模型的每一层都对数据进行封装，以保证数据能够正确无误的到达目的地，被终端主机理解，执行。 以上图为例，让我们来看一下数据从主机到服务器的发送过程。 首先，主机的应用层信息转化为能够在网络中传播的数据，能够被对端应用程序识别；第二，数据在表示层加上表示层报头，协商数据格式，是否加密，转化成对端能够理解的数据格式；然后，数据在会话层又加上会话层报头；以此类推，传输层加上传输层报头，这时数据称为段（segment），网络层加上网络层报头，称为数据包（packet），数据链层加上数据链路层报头称为帧（frame）；在物理层数据转换为比特流，传送到交换机（传统交换机只有物理层和数据链路层）物理层，在数据链路层组装为帧。交换机查询数据链路层报文，发现下一步数据帧应该发向路由器，于是交换机在物理层以比特流形式转发帧报文，将数据发向路由器；同理，路由器也逐层解封装：剥去数据链路层帧头部，依据网络层数据包头信息查找到服务器，然后封装数据发向服务器。服务器从物理层到应用层，依次解封装，剥去各层封装报头，提取出发送主机发来的数据。完成数据的发送和接收过程。 三、物理层 图2-5 物理层 物理层的功能是在终端设备间传输比特流，是OSI 参考模型的基础。为了达到数据传输的目的，物理层定义了电压、接口、电缆标准、传输距离等。 目前，大家常用的数据信号传输介质主要有同轴电缆（coaxical cable）、双绞线（twisted pair）、光纤（fibre）、无线电波（wireless radio）等。本部分重点介绍双绞线和光纤。 双绞线是一种最为常用的电缆线，由一对直径约1mm 的绝缘铜线缠绕而成，这样可以有效抗干扰。双绞线分为两类：屏蔽双绞线（shielded twisted pair，STP）和未屏蔽双绞线（unshielded twisted pair，UTP）。屏蔽双绞线（STP）具有很强的抗电磁干扰和无线电干扰能力。STP 易于安装，很好地隔离外部各种干扰。但是，STP 价格相对昂贵。未屏蔽双绞线（UTP）同样易于安装，价格便宜，但是抗干扰能力相对STP 较弱，相应地，传输距离较短。 光纤是另外一种网络连接介质，不受电磁信号的干扰。光纤由玻璃纤维和屏蔽层组成，传输速率很高，传输距离很长。但是光纤比其他网络连接电缆更贵。光纤连接器是光的连接接口，非常光滑，不能有划痕，安装比较困难。 在线缆选择上，您应该综合考虑传输距离、价格、带宽需求、网络设备支持的线缆标准等选择恰当的线缆。 局域网物理层常见的网络设备有：中继器、集线器等。 四、数据链路层 数据链路层的主要功能就是保证将源端主机网络层的数据包准确无误地传送到目的主机的网络层。数据链路层的帧使用物理层提供的比特流传输服务来到达目的主机数据链路层。为了保证数据传输的准确无误，数据链路层还负责网络拓扑、差错校验、流量控制等。 数据链路层分为两个子层：逻辑链路控制子层（LLC，Logic Link Control sublayer），介质访问控制子层（MAC，Media Access Control sublayer）。 图2-6 数据链路层 逻辑链路控制子层提供了面向连接与面向无连接的网络服务环境的需要。该层用于管理通过单一链路连接的两个系统间的通讯，它允许多个高层网络协议共享一条链路。LLC子层位于网络层和MAC子层之间，是上层和下一层的管理层，负责流量控制、同步等。LLC子层通过SSAP（源服务访问点，Source Service Access Point）和DSAP（目的服务访问点，Destination Service Access Point）负责底层协议与网络层协议的通信。 MAC子层负责把物理层的“0”，“1”比特流组建成帧，并且通过帧尾部的CRC（Cyclic Redundancy Check，循环冗余校验）子段进行错误检测。总之，MAC子层定义了网络对共享介质的访问。 就像每一个人都有一个名字一样，每一台网络设备都用物理地址来标识自己，这个地址就是MAC地址。网络设备的MAC地址是全球唯一的。MAC地址由48个二进制位组成，通常我们用十六进制数字来表示。其中前6位十六进制数字由IEEE统一分配给设备制造商，后6位十六进制数由各个厂商自行分配。例如，华为的网络产品的MAC地址前六位十六进制数是0x00e0fc。 网络接口卡（NIC，Network Interface Card），又称网卡，有一个固定的MAC地址。大多数网卡厂商把MAC地址烧入ROM中。当网卡初始化时，ROM中的MAC物理地址读入RAM中。如果把新的网卡插入计算机中，计算机的物理地址就变成了新的网卡的物理地址。 IEEE的数据链路层标准是当今最为流行的LAN标准。这些标准统称为IEEE802标准。目前，我国应用最为广泛的LAN标准是基于IEEE802.3的以太网标准。在数据链路层常见的局域网设备有以太网交换机等。 广域网常见的数据链路层标准有：HDLC（High-level Data Link Control，高级数据链路控制）、PPP（Point-to-Point Protocol，点到点协议）、ISDN（Intergated Service Data Network，综合业务数据网络）、X.25、帧中继（Frame Relay，FR）协议等。 五、网络层 图2-7 网络层 网络层位于OSI参考模型第三层，利用下两层提供的服务来实现传输层的通信，将数据包从源网络发送到目的网络。我们常见的位于网络层的设备有路由器和三层交换机 网络层检查网络拓扑，以决定传输报文的最佳路由，转发数据包。其关键问题是确定数据包从源端到目的端如何选择路由。网络层设备通过运行路由协议（routing protocol）来计算到目的地的最佳路由，找到数据包应该转发的下一个网络设备，然后利用网络层协议封装数据包，利用下层提供的服务把数据发送到下一个网络设备。 一般说来，网络层设备的每一个接口都有一个唯一的网络层地址，又称逻辑地址。在Internet 中，网络设备的网络层地址必须是全球唯一的。 网络层地址存在于OSI参考模型的第三层。不像链路层地址那样固定的是，网络层地址比较具有层次化。网络层地址由网络部分和主机部分组成，不同的网络层协议具有不同的地址格式。IP地址由四个字节组成，通常用点分十进制数字表示；IPX 地址由十个字节组成，其中前四个字节代表网络地址，后六个字节代表主机地址，通常用十六进制数字表示。关于IP 地址的详细内容，请学习后续相应章节。 六、传输层 图2-8 传输层 传输层位于OSI参考模型第四层，最终目标是向用户-----一般指应用层的进程，提供有效、可靠的服务。传输层主要定义了主机应用程序间端到端的连通性，它一般包含四项基本功能。 1．将应用层发往网络层的数据分段或将网络层发往应用层的数据段合并。 2．建立端到端的连接，主要是建立逻辑连接以传送数据流。 3．将数据段从一台主机发往另一台主机。在传送过程中通过计算校验和以及通过流控制的方式保证数据的正确性，流控制可以避免缓冲区溢出。 4．部分传输层协议保证数据传送正确性。主要是在数据传送过程中确保同一数据既不多次传送也不丢失。同时还要保证数据包的接收顺序与发送顺序一致。 传输层协议主要有TCP/IP协议栈的TCP协议和UDP协议，IPX/SPX协议栈的SPX协议等。其中，TCP 协议和SPX 协议为应用程序提供可靠的、面向连接的服务；UDP协议提供不可靠的、无连接的服务。 七、会话层、表示层和应用层 会话层是OSI 参考模型的第五层，通过执行多种机制在应用程序间建立、维持和终止会话。会话层机制包括计费、话路控制、会话参数协商等。常见的会话层协议有：网络文件系统（NFS，Network File System）、远程过程调用（RPC，Remote Procedure Call）、X Windows系统等。 图2-9 会话层、表示层和应用层 表示层保证源端数据能够被目的端表示层理解和识别，对应用程序透明。表示层提供数据格式转换服务，数据加密、数据表示标准等服务。表示层确定了数据传输时数据的组织方式。常见的表示层协议有：数据结构标准：ASCII（Amercia Standard Code for Information Interchange）；图像标准：JPEG（Joint Photographic Experts Group）、TIFF（Tagged Image File Format）、GIF；视频标准：MIDI（Musical Instrument Digital Interface）、MPEG（Motion PictureExperts Group）、QuickTime等。 应用层是OSI 参考模型最接近用户的一层，应用层支持应用程序，例如文字处理、电子邮件、表格处理等。 第三节 TCP/IP参考模型 OSI参考模型为清晰理解互联网络、开发网络产品和网络设计等带来了极大的方便，但是由于OSI过于复杂，各层功能具有一定的重复性，难于实现，再加上OSI参考模型提出时间不是非常好（这时候，TCP/IP 协议逐渐占据主导地位），OSI参考模型并没有流行开来。 相反，TCP