Chapter 1 概述 - home.ustc.edu.cn

Chapter 1 概述

国际Internet发展史

全球大的、开放的，由众多网络互连成的计算机网路。由美国ARPAnet发展而成，主要采用TCP/IP协议（1969）。

1979年，研发TCP/IP,80年代应用于UNIX。1985年，美国国家科学基金会NSF投入TCP/IP研发，建成NSFNet。1993年，提出建立信息高速公路。1997年，美国提出NGI（下一代Internet）2005年，美国NSF启动GENI（全球环境for网络革新）和FIND（未来INternet设计）。

网络标准化组织

国际标准界有影响的组织国际电信联盟ITU国际标准化组织ISO电气电子工程协会IEEE

Internet�的标准化组织Internet工程任务组IETFInternet研究任务组IRTF

其他组织各种论坛Forum美国国家标准协会ANSI地区标准化组织（如欧洲、日本的一些标准）

当前Internet研究热点

体系结构——顶层设计：NGI，NGN（三网合一）；IPv6。骨干网：全光网络；MPLS多协议标记交换接入网：移动、无线网络；802.11，Wi-Mesh，802.16系列，3G，移动Ad�hoc网络，传感器网络。应用层：覆盖网络，P2P。网络安全

Chapter 2 网络的体系结构与参考模型

网络的体系结构——层和协议的集合。

协议体系

网络协议：通信双方（多方）关于如何进行通信的一种约定。

协议分层：降低设计复杂度，增加网络可扩展性，有概念化、结构化的优点，有利于新业务的导入。

分层的原则

将相似的功能集中在同一层内，必要时可将层的功能再分成子块，层数不宜过多，以避免层间接口的开销变大。当功能差别较大时应分层处理。各层只对相邻的上下层定义接口。

服务

计算机网络复习 file:///D:/Sunshy/Desktop/html/review.html

第1页共20页 2011/6/11 17:33

面向连接的服务：建立、使用、拆除连接。占用一定的资源，可靠，按序传送。

非连接的服务：传输据不建立连接，即有即送；数据单元不打包，添加地址信息。每个包独自寻路（重复劳动），路径不同，顺序不同。

服务原语

证实型：请求（Request），指示（Indication），响应（Response），证实（Confirm）。非证实型：请求（Request），指示（Indication）。

IOS-OSI模型 Open System Interconnection

All�People�Seem�To�Need�Data�Processing

Physical 传输原始数据，保证收发一致；电气、机械接口。Data�Link 成帧，差错控制，流量控制，物理寻址，媒体访问控制。Network 路由、转发，拥塞控制。

Transport获取全部信息，跟踪数据单元碎片，乱序到达，其他危险；为上层提供端到端的、透明的、可靠的数据传输服务，流控制（避免数据淹没）。

Session 表示层间的通信通道，包括交互管理，同步，异常报告。Presentation 数据表示的语法，压缩，加密。如图像格式的显示。Application 处理应用程序进程间所发送和接收的数据中包含的信息内容。

TCP/IP模型

Host-to-network 网络接口层，很少提到。Internet 提供非连接的分组交换功能。Transport 提供可靠的面向连接的传输层协议TCP和不可靠的非连接的传输协议UDP。Application 向用户提供应用服务，如FTP,TELNET。

OSI与TCP/IP模型的比较

相同点

基于独立的协议栈概念有功能相似的应用层、传输层、网络层

不同点

OSI中严格定义了服务、接口、协议；TCP/IP中没有严格区分三者OSI支持非连接和面向连接的网络层通信，传输层只支持面向连接；TCP/IP支持非连接的网络层通信，传输层两种都支持可供选择TCP/IP不区分、甚至不提起物理层和数据链路层

网络的分类

按连接区域个域网，城域网，广域网，互连网

按传输媒体有线网，无线网

从功能上分主干网（高速，功能简捷）接入网（功能复杂，种类繁多）

从网络使用者分


第2页共20页 2011/6/11 17:33

公用网：国家的电信公司或ISP出资建造的大型网络，公众通过缴费即可使用。专用网：某个单位所有，仅为本单位人员提供的网络。

从连接方式看广播型网络：多个用户共享同一信道的网络，也称共享媒体型网络点-点网络：由许多点-点的链路连接而成，也称交换型网络

Chapter 3 物理层

数据通信理论基础

Nypuist定理（有限带宽无噪信道）� Rsmax�=�2H*log2(V)�(b/s)Shannon定理� Rsmax�=�H*log2(1+S/N)�(b/s)

传输介质

双绞线�TP（Twisted�Pair）：传输距离一般为100m，可传输模拟、数字信号。同轴电缆�Coax：基带同轴电缆：数字；宽带同轴电缆：模拟。光纤无线传输：无线电波，红外线与毫米波（遥控器等），微波。

常用数字编码

不归零码曼彻斯特编码：高->低为“1”，低->高为“0”差分曼彻斯特编码：“0”表示有相变，“1”表示无相变

��

复用技术

将多路信号组合在一条物理信道（主干Trunk）上进行传输。包括频分、时分、波分等

交换技术

通信网络�=�用户终端�+�传输系统�+�交换技术

交换技术是信息交换的控制枢纽。

电路交换通信对端之间建立物理通路，维持为双方专用，直至结束。


第3页共20页 2011/6/11 17:33

传播延时：从节点A到节点B的传播时间，取决于物理媒体。传输延时：节点接受整个分组的时间。处理延时：检查分组头部、寻路、校验等所需时间，与CPU性能、处理算法有关。排队延时：在节点上等待处理所需时间，与网络拥塞状况有关。

可靠、迅速、不丢失、有序。计费按预订带宽、距离、时间。

存储交换报文（Message）交换：以报文的整体为单位，一次性发送，长度不限、可变。分组（Packet）交换：报文划分为若干可存在内存中的分组來发送。

分组交换的延时分析

分组交换类型

数据报：每个分组传送单独处理。虚电路：建立逻辑通路。

电路交换与分组交换的比较

电路交换预先静态地保留所要带宽；而分组交换却是根据需要动态地获得和释放带宽。在电路交换中，已分配给线路上未用的带宽只能浪费掉；而分组交换中，未用的带宽可以被别的传输所利用。电路交换对数据传输是完全透明的，而分组交换则要利用分组所携带的参数进行路由转发。分组交换是存储转发的，会增加传输延时；电路交换则是连续的通过物理线路传输。分组交换中，分组到达目的地可能不按原顺序；在电路交换中，不会发生乱序现象。分组交换可以按传输的字节或连接时间计费；电路交换按时间、距离计费。

Chapter 4 数据链路层

数据链路层的功能

向网络层提供良好的服务接口无确认，无连接有确认，无连接


第4页共20页 2011/6/11 17:33

面向连接将物理层的比特流编成帧

字符计数：出错则不仅影响当前帧，也会影响之后的帧字符标志位标志：01111110物理层编码

差错检测确认、捎带确认超时重发

流量控制窗口机制

差错检测与校正——纠错码

几个定义：n位码字：n=m+r，m为数据位，r为冗余位。海明距离：两码字不同位的数目。全部码字的海明距离：任两码字海明距离的小值。

校验能力为检测d�bits错误，距离需d+1为纠正d�bits错误，距离需2d+1

纠正单比特误码的校验位下界：2r>=n+1（海明编码）

差错检测与校正——检错码

多数通信中采用检错码，但是单工信道需要使用纠错码。

改进的奇偶校验可检测长为L的突发错误整块的误判率为单列错判率的L次幂

多项式编码（CRC）编码与检验步骤

G(x)为r阶，在帧低位端加上r个0，得到XrM(X)1.求余数P(X)=XrM(X)/G(X)2.带校验和的帧T(X)=XrM(X)+P(X)3.检验：接受帧除以G(X)，余数为04.

检错能力可检测长度小于等于r测错误对r+1长的错误，错判率为(1/2)r-1

对大于r+1长的错误，错判率为(1/2)r


第5页共20页 2011/6/11 17:33

基本数据链路协议

无限制的单工协议完全理想的条件双方无限循环发送、接收动作只需成帧处理，无需其他任何处理

停等协议近似完全理想的条件接受方需要一定的接收处理时间，只能缓冲一帧发送一帧后需要等到反馈确认后再发送一般采用半双工信道

有噪信道所涉及的问题（提出有噪音信道的停等协议）帧损坏或丢失确认帧可能丢失，须引入超时机制帧需要编制序号以避免重复

滑动窗口协议：允许多个帧连续发送而不等确认发送窗口：发送端允许不等确认而连续发送的帧的序号表接受窗口：接收端允许接受的帧的序号表全双工传输：双方都互相发送数据；为提高效率，可以采用捎带应答出错全部重发协议（GBN）：接受窗口尺寸为1；发送窗口尺寸不能超过2n-1选择重传协议：收发双方大小相等且大于1；接受窗口尺寸不能超过2n-1

面向位的协议HDLC（High-Level Data Link Control）

为非平衡的链路级操作而研制，采用主从结构，链路上一个主站控制多个从站，主站向从站发命令，从站向主站返回相应。HDLC帧格式：

帧标志序列：01111110，作为起始和结束的标志地址段：命令帧中为目的地址，响应帧中为源地址；全1为广播地址，全0为测试地址控制字段：用来表示帧的种类，分为信息帧（I），监控帧（S），无编号帧（U）

Seq：发送端发送序列编号，这里是3比特，采用模8循环编号。Next：表示发送端准备接收的序列号，也采用模8循环编号。Type：表示监控功能的类型。Modifier：附加的修改功能。P/F：在命令帧中作为询问比特，在响应帧中作为终止比特。

Internet中的数据链路层

SLIP(Serial�Line�IP)


第6页共20页 2011/6/11 17:33

PPP(Point�to�Point�Protocol)提供一种成帧方法提供一个链路控制协议（LCP），用来建立、配置、测试数据链路连接对不同网络层协议定义了网络控制协议族

PPP与SLIP相比的优点可在一条串形线上支持多种网络层协议有CRC检错用网络控制协议动态协商每一端的IP地址链路控制协议协商多种数据链路选项

Chapter 5 LAN&MAC Sub Layer

传统局域网的特征

局域网是在一个小区域范围内对各种数据通信设备提供了互连的信息网。

决定局域网特性的主要技术：

用以传输数据的传输媒体用以连接各种设备的拓扑结构用以共享资源的媒体访问控制方法

局域网的数据链路子层

传统LAN大多是共享媒体的LAN（采用广播信道），不需路由功能，因此只有物理层和数据链路层。数据链路层重点要解决媒体访问控制的功能，所以又分为LLC和MAC。

局域网的拓扑结构

星型：�集中控制；中心交换节点功能复杂，其它节点功能较轻；建设成本打；可扩展性好。环形：由一组转发器通过点对点连接成环路构成，有源网络，分散控制，常用令牌方式控制媒体访问；单节点故障可能波及全网。总线型：通信网络只是传输媒体，成本低，无源网络，分散控制，常用CSMA/CD或Token方式进行媒体访问控制；广播型网络。树型、网状

多路访问协议

对广播信道，需要解决信道分配问题：

静态分配：如FDM，TDM动态分配：异步时分多路复用，分为随机访问（争用）与控制访问（包含轮询与预约）

争用协议一：ALOHA协议

纯ALOHA协议：有数据就发送，监听信道来检测冲突，冲突则随即等一段时间再发时隙ALOHA协议：有数据必须等到下一个时间片开始才能发送。信道利用率提高了一倍

争用协议二：CSMA协议

载波侦听多路访问（Carrier�Sense�Multiple�Access）协议，各站点先监听一下信道，发现空闲后才可发送数据。

1-坚持式CSMA：监听，若忙坚持监听，一旦空闲就发送；若冲突则等待一随机时间重新监听


第7页共20页 2011/6/11 17:33

冲突可能是由于信号传输延迟或者多站点同时发送性能高于ALOHA

非坚持式CSMA：监听，若忙则随机等待一段时间再监听，一旦空闲就发送信道利用率高于1-坚持式CSMA网络延迟增大

p-坚持式CSMA用于时隙信道，监听，忙则下个时间片再监听，闲则以概率p发送，1-p推迟到下个时间片重复上述过程，直至发送概率p的目的是降低多站点同时发送造成冲突的概率坚持监听是为克服非坚持式中的时间延迟p的选择直接关系到协议的性能

CSMA/CD（带有冲突检测的CSMA）CS“讲前先听”，若发生冲突，仍要将剩余的无效数据发送完，浪费时间、带宽CD“边讲边听”，发送过程中仍监听信道，一旦冲突立即取消发送，等待随机时间后重发

无冲突协议

位图协议（比特映像协议）信道分为一系列交替的预约周期（位图）和数据传输周期有数据时在它的竞争时隙期间发送“1”进行预约预约结束后各站点按编号顺序发送，发完后重新预约

二进制倒数计数协议各站点地址用等长二进制数表示，发送地址并监听信道，地址在信道上被逻辑或；当发现地址中某位“0”变为“1”时退出竞争。

有限争用协议

轻负荷时使用争用策略，得到较好的延迟特性；重负荷时使用无冲突策略，提高信道效率。

无线局域网协议

基本使用CSMA，但会有隐藏站问题和暴露站问题。

使用CSMA/CA(Collision�Avoidance):

发送方激发（RTS）接收方发送一短帧（CTS），使接收方周围站点不会在即将到来的数据帧期间发送数据。多站同时向一站激发时仍会有冲突，预定时间内未收到CTS的发送方用二进制指数退避算法，等待随机时间后重发。

局域网中的数据链路层

LLC必须能够支持链路的多路访问特性可利用MAC子层来摆脱与底层有关的某些操作，如拓扑结构媒体，媒体访问控制访问

MAC根据网络拓扑结构，不同局域网采用不同媒体访问控制方法成帧CRC校验

LLC功能

提供三种服务：无连接；有确认无连接；面向连接复用


第8页共20页 2011/6/11 17:33

差错控制，流量控制，类似于HDLC

以太网的MAC协议

决定传统局域网响应时间，吞吐量和效率：

传输媒体拓扑结构媒体访问控制方法

简单有效地通道利用率公平合理

7 1 6 6 2 1~1500 0~64 4先导域帧起始目标地址源地址长度数据填充域校验和

802.3�MAC帧格式（数据域大1500字节，小46字节）

退避时间

从发送数据帧到能检测出是否碰撞的大所需时间2τ为间隙时间，退避时间=�r×2τ，r是(0,2k-1)的随机整数，k=Min(尝试次数,10)。

802.11支持的两种操作模式

点协调功能（PCF）：由基站周期性地广播一个信标，邀请站点申请服务分布式协调功能（DCF）：CSMA/CADCF是必需的，PCF是可选的

MAC协议的帧间隔

SISF（短帧间间隔）：发送控制帧间隔PIFS（PCF帧间间隔）：PCF帧发送间隔DIFS（DCF帧间间隔）：DCF帧发送间隔EIFS（扩展帧间隔）：坏帧处理的报告间隔

无线LAN提供的服务

5种分发服务（基站提供，处理站的移动性）：关联，分离，重新关联，分发，融合4种站服务（与单元内部活动有关，关联后才会用到）：认证，解除认证，秘密性，数据投递

802.3 MAC帧格式

2 2 6 6 6 2 6 0~2312 4帧控制域持续时间 ADDR1 ADDR2 ADDR3 seq ADDR4 Data Check-sum

地址包括：源和目的地址；源和目标基站

网桥

连接局域网的互连设备，工作在数据链路层转发局域网之间的数据帧，必要时进行格式转换能隔离以太网中的碰撞域，不能隔离广播域丢弃出错帧

网桥连接不同类型局域网时存在的问题


第9页共20页 2011/6/11 17:33

不同的帧格式：重新组帧，丢弃或产生某些域，重新生成校验和不同的数据速率：缓冲区存储来不及传输的帧

大帧长度：丢丢弃太长的帧安全性问题：是否支持加密服务质量问题

网桥类型

透明网桥：逆向学习法产生目的地址查找表丢弃同一LAN的地址对扩散法查找新地址定期更新地址查找表生成树算法解决回路问题

源路由网桥：假定发送者知道接受者是否在同一LAN中发送到另外LAN中时将目的地址高位置1，并在头中加入路径每个LAN和网桥有自己的编号获取路径的方法是发送一查找目的地址的广播帧，响应帧返回时途经的网桥将自己标识记在响应帧中

交互式局域网

碰撞降低了信道传输效率；媒体共享就是宽带共享，每个主机带宽不能保证。交换式局域网用的是星形拓扑结构，用交换机连接主机。交换机工作在数据链路层，能隔离碰撞域。

以太网的交换技术

交换机源自多端口网桥，采用存储-转发方式进行数据帧交换检测每个到达数据的帧头根据数据帧的目的地址查找输出端口若地址查找表中无该表项，就像所有端口转发地址查找表通过帧的源地址与到达端口对应关系建立

交换机三种工作方式

直通方式参照MAC头目的地址域查找内部MAC地址表，找到端口立即输出从接收到转发帧内部延时小不检查帧正确与否，不能匹配不同速率端口，不能连接异种类型链路

存储转发方式全部数据帧先存到内存，检查FCS后再转发抛弃错误帧，能与不同速率、类型链路互连延时相对较大

碎片隔离方式只检查帧长小于64字节的短帧的FCS兼顾前两种方法的长处不能连接不同速率、类型的链路

Chapter 6 网络层

网络层的功能

关注于如何将分组从源端沿着网络路径送到目的端，有可能要经过许多跳的路由器，是处理端到端数据传输


第10页共20页 2011/6/11 17:33

的底层。

网络层的设计目标：

所提供的服务应独立与路由器技术路由器的数量、类型和拓扑关系对传输层应不可见传输层可用网络地址应有一种统一的编址方案，甚至跨越多个LAN或WAN

OSI网络层提供的两种服务

面向连接——虚电路：发请求，建立连接；通信；拆除连接非连接——数据报：分组含有目的地址；节点上单独处理各分组；分组可有不同路径

虚电路的特点

一条物理链路可对应多条逻辑通道一条虚电路由各物理链路上的逻辑信道级联而成，节点上的一条逻辑信道即为缓存中一个存储空间分组由逻辑信道号LCN选择路由，减少了头标开销与处理复杂度有效防止拥塞

数据报的特点

分组独立寻路，可合理利用网络资源节点或链路故障时可重选路由头标含有地址字段，增加了开销统一数据流各分组的路径不同，到达顺序也可能不同分组有生存时间限制，以避免在网络中死转

距离矢量路由与链路状态路由

DV:节点向邻节点告诉它所知道的所有节点的路由信息节点根据邻节点路由信息更新自己的路由表分布式计算可扩展性差

LS:节点向所有节点告诉其邻节点状态信息每个节点都有全局拓扑结构根据此拓扑结构计算路由表可扩展性好，可靠

拥塞控制

大量分组进入了子网，超出网络处理能力，使网络局部或整体性能下降；或路由器队列溢出，分组丢失。导致许多分组重传与更多地业务量直至崩溃。产生原因有路由器处理速度、存储空间、带宽不匹配，网络负载不平衡等。

拥塞控制策略

开环控制，基于良好的设计：漏桶算法，令牌桶算法闭环控制，基于反馈概念：检测何时何处发生拥塞，传递拥塞信息到能处理的地方;调整系统操作。

虚电路中的拥塞控制：接纳控制，控制连接的建立数据报中的拥塞控制：一直分组，随机早期检测

网络互连设备


第11页共20页 2011/6/11 17:33

中继器/集线器：在物理层透明地复制比特流，以补偿信号衰减网桥/交换机：在不同的LAN间存储转发帧，必要时进行链路层协议转换路由器：不同网络间存储转发分组，必要时进行网络层协议转换网关：对高层协议进行转换的协议转换器（应用层网关，传输层网关，安全网关）

Chapter 7 Internet

IP地址配置

手动配置通过PPP协议配置（拨号用户）基于DHCP的配置（Dynamic�Host�Configuration�Protocol）

采用客户/服务器模式，消息用UDP协议封装IP地址分配机制

自动分配：DHCP给客户端分配一个永久IP地址动态分配：DHCP给客户端分配一个一段时间有效地IP地址手动分配：客户端IP地址由网络管理员分配，DHCP仅用来将分配的地址通报给客户端

地址转换协议ARP

由目的IP地址到目的MAC地址；32位到48位当链路层需要封装网络层分组时，它需要知道目的物理地址ARP缓存：

主机ARP缓存存放IP-MAC对应关系，主机查阅缓存，若没有则用广播地址发送ARP请求被请求IP地址对应的主机返回ARP响应主机收到响应后即可发送数据帧并将该IP-MAC存入ARP缓存

若目的IP在子网外，可以：由路由器代理主机知道目的IP在子网外，直接发给缺省路由器

反ARP——RARP：用于查找MAC-IP，如无盘机启动时查询自己的IP地址

ARP帧格式

7B 1 6 6 2 ... 4先导域起始目的地址源地址 Type ...(见下表) PAD CRC

2 2 1 1 2硬件类型协议类型物理地址长度协议地址长度操作发送者物理地址发送者IP地址目的物理地址目的IP地址

操作：ARP请求——1，ARP响应——2，RARP请求——3，RARP响应——4

特殊情况MAC地址

IP为广播地址：MAC为FF:FF:FF:FF:FF:FFIP为组播地址：MAC为01005E�0+IP组播地址低23位

IPv4头标


第12页共20页 2011/6/11 17:33

IPv6的引入

IPv4地址空间不足，路由表急剧膨胀，因此采用过渡机制引入IPv6。其特点有：

地址长度128比特，采用层次结构实时应用支持自动配置移动性安全性

IPv6头标

ICMP协议（Internet Control Message Proctol）

差错报文：源抑制；超时；信宿不可达；重定向；参数问题信息报文：回音请求/响应；地址掩码请求/响应；路由器发现应用——Ping：测试主机的可达性（采用Echo�Request/Reply报文）应用——Traceroute：通过发送递增的TTL值的回音报文测试主机沿途经过的路由器地址

IP寻址

IPv4地址问题：IPv4地址共232个，但是根据地址分类的方式，可用地址要少得多地址分配不合理

解决方法CIDR(Classless�Inter�Domain�Routing)NAT(Network�Address�Translation)DHCPIPv6

CIDR

采用变长的网络前缀的概念取消了地址分类中网络号固定长度的做法


第13页共20页 2011/6/11 17:33

采用子网掩码与IP地址相与来获取IP地址中的网络号和主机号

NAT

实现网络内多台主机共享一个全局的IP地址

静态NAT：内部地址与外部IP地址一一对应动态NAT：一组全局IP地址与内部IP对应，内部IP翻译为外部第一个可用地址NAPT：{全局IP+端口号}与内部地址对应

RIP协议（Routing Infromation Protocol）

使路由器可交换路由信息采用距离矢量路由算法，每30秒更新一次使用跳数作为度量单位，大15至16跳采用水平分割算法使用UDP发送与接收

OSPF协议（Open Shortest Path First）

Dijstra算法生成路由信息链路状态内部路由协议使用IP分组有变化时才发送更新发送Hello与Updates到广播地址支持3种连接和网络

两台路由器之间的点到点线路支持广播传送的多路访问网络（如大多数的LAN）不支持广播传送的多路访问网络（如大多数分组交换的WAN）

区分4种路由器内部路由器区域边界路由器骨干路由器AS边界路由器

5种消息类型HELLO：发现谁是邻居DATABASE�DESCRIPTION：宣布发送方拥有的状态信息更新情况LINK�STATE�REQUEST：向邻接路由器请求链路状态信息LINK�STATE�UPDATE：向邻居提供发送方开销LINK�STATE�ACK：对链路更新状态的确认

BGP协议（Border Gateway Protocol）

扩展的距离矢量协议，使用TCP通信，记录每个邻居所用的确切路径，定期检查TCP连接，有丰富的量度，用语规范大的互连网络。

路由与交换

交换机工作于MAC地址之上MAC地址并非真正的地址，不可能通过它来路由交换比较简单，可直接用硬件实现，快速经济交换机上所有的端口必须有相同的MAC类型

组播


第14页共20页 2011/6/11 17:33

单播：一对一组播（多播）：一对多，多对多广播：一对多任播：一个对多个中的一个

Chapter 8 传输层

传输层服务

传输层是整个协议层次结构的核心，为高层屏蔽任何与网络有关的操作，是端到端协议，与使用的网络无关，为应用进程提供了逻辑通信信道。

提供两种服务：TCP、UDP，实现用户对数据传输的控制。

传输层寻址

一个传输层进程希望与另一个进程建立连接时，必须确定对方传输层所对应的TSAP（Transmition�ServiceAccess�Point）地址。

TSAP获取方法服务进程固定在特定的TSAP上（知名应用进程）用户首先与进程服务器通信，通过它启动目标服务进程采用名字服务器

主机进程标识OSI参考模型中{NSAP,TSAP}标识一个主机上的进程实际TCP/IP中{IP地址，端口号，协议类型}标识一个主机上的进程五元组{源/目的IP，源/目的端口号，协议类型}标识一个传输连接的数据流

三次握手

建立连接与对称释放

流量控制与拥塞控制

核心是滑动窗口算法

流量控制：根据接收方缓存容量动态调整发送方窗口大小，避免一个快速发送方淹没一个慢速接收方拥塞控制：根据网络承载容量动态调整发送方窗口大小，避免发送方同一时刻有太多未被确认接收的


第15页共20页 2011/6/11 17:33

TPDU（Transmition�Protocol�Unit）

UDP

UDP头标2 2 2 2源端口目的端口长度校验和UDP用户数据报：UDP头标数据IP数据报：IP伪头标 UDP用户数据报UDP应用：简单、高效，用于客户——服务器模式应用，如DNS；话音，视频等实时多媒体应用。可以更好地控制要发送的数据和发送时间等，无需建立连接，发完就不再过问，不必维护参数等信息，首首部开销小。

TCP特性

数据流传输——发送/接收缓存可靠——确认、重传；处理乱序全双工复用逻辑连接流量、拥塞控制

TCP头标

源端口目的端口序列号确认号

头标长度保留 URG ACK PSH RST SYN SIN 窗口大小校验和紧急指针

选项（0或32比特）数据（可选）

TCP定时管理

建立连接定时器：SYN包发出时计时，一定时间无响应则建立失败重发定时器：动态设置，基于TCP对往返时间的测试，超时则重发ACK延时定时器：收到数据后可以不立即回复以等待捎带的时间持续定时器：发送方收到窗口为0的数据时启动，超时未收到接收方的窗口更新信息则发送探测数据保持存活定时器：连接长时间闲置时，检测对方是否仍然存在闲置定时器：连接断开后启动，防止刚断开的端口号立即被重新使用而收到旧数据

TCP拥塞控制功能

发送方有一个可连续发送数据的窗口与一个拥塞窗口，都反映可发送字节数，取二者的小值。

慢启动算法：初值为建立连接时大数据段长度，收到确认则拥塞窗口大小加倍，直到传输超时或达到接收方指定窗口大小，兼顾了拥塞和流量控制。

Berkeley套接字

原语含义


第16页共20页 2011/6/11 17:33

SOCKET 建立新的通信端点BIND 将本地地址关联到套接字LISTEN 宣布愿意接受连接，给出队列大小ACCEPT 阻塞调用方，知道有人企图连接CONNECT 主动尝试建立一个连接SEND 在指定连接上发数据RECV 在指定连接上收数据CLOSE 释放指定连接

TCP/UDP通信流程

Chapter 9 应用层

网络的计算访问模式

大型机为中心的计算模式——分时共享模式服务器为中心计算模式——资源共享模式：共享共同应用，如文件服务器客户端/服务器模式：使用客户和服务器双方的资源和计算能力对等模式（P2P）：用户资源处于对等状态，分布式计算云计算模式：以网络为中心的计算模式，虚拟化的资源

P2P

通信各方有相同的计算能力，任一方都可以发起一个会话，每个节点同时有服务器和客户端的功能。

连接资源方式：基于目录服务器：简单高效，目录服务器是瓶颈完全分布式：简单，无单点瓶颈，泛洪增加了网络负担，不能保证查找结果结构化P2P：资源和存储位置关联起来层次化结构：分为一般节点和超级节点

特征：应用层网络，一般由边缘节点构成，充分利用资源网络可扩展性好资源分布在各节点中，不存在单点瓶颈的问题节点间可以直接建立连接，交互共享资源

域名系统DNS

DNS报文传输层可采用TCP或UDP协议，端口号53主机上的域名解析器首先查询本机缓存，没有表项则向域名服务器请求服务查询类型有递归查询和迭代查询资源记录有：域名，生存期，Type，Class，Value


第17页共20页 2011/6/11 17:33

文件服务器FTP

文件上传下载，采用TCP协议，端口号20，21

主动模式：客户端命令端口向服务器命令端口21发送PORT�XXXX(数据端口)服务器通过命令通道回复OK服务器21号端口向客户端数据端口发送数据，建立数据通道客户端通过数据通道回复OK

被动模式：客户端命令端口发送PASV到服务器21号端口服务器通过命令通道发送OK�XXXX（服务器数据端口）客户端数据端口向服务器XXXX发送数据，建立数据通道服务器通过数据通道回复OK

远程登录Telnet

TCP连接，23号端口，提供专门的键盘定义，称为网络虚终端NVT。

电子邮件SMTP

用户代理[——SMTP（TCP，25）——>]邮件服务器[——SMTP（TCP，25）——>]邮件服务器[——POP3（TCP，110）——>]用户代理

超文本传输协议HTTP

TCP连接，80号端口

Chapter 10 网络安全概要

常见不安全因素

物理因素：设备不安全，如电磁波泄露系统因素：系统软、硬件漏洞，病毒感染、入侵网络因素：网络协议漏洞，会话劫持，数据篡改，网络拥塞，拒绝服务管理因素：管理员安全意识淡漠，误操作

网络安全服务

认证：提供某个实体的身份保证访问控制：保护资源，防止对它的非法使用和操纵数据加密：保护信息不被泄露数据完整性：保护信息防止非法篡改不可否认性：防止参与通信的一方事后否认

网络安全模型

身份认证，保证信息的机密性、完整性、不可否认性；网络访问安全模型：保证网络的可用性、可控性

密码算法分类

按发展进程或体制分古典密码：基于字符替换，如代替密码，换位密码（凯撒密码）对称密钥体制：加密解密的密钥相同，也称单钥密码体制，如DES(数据加密标准),AES(高级加密标


第18页共20页 2011/6/11 17:33

准)，IDEA（国际数据加密算法）非对称密钥体制：加密解密密钥不同，也称公钥密码体制/双钥密码体制，如RSA，背包密码，椭圆曲线，EIGamal,D_H

按加密模式分序列密码：按位或字节加密，也称流密码分组密码：将明文分成固定长度的组，用同一密钥和算法对每一块加

公开密钥算法

对称密码算法的问题密钥管理量问题：两两分别用一对密钥，用户量增大时密钥空间急剧增大对称算法无法实现抗否认需求——数字签名

非对称密码体制的基本原则加密能力与解密能力是分开的密钥分发简单需要保存的密钥量大大减少，N个用户只需要N个可满足不相识的人之间保密通信可以实现数字签名加密速度慢，常用于数字签名或加密对称密钥

数字签名

公钥密码学的一个重要应用就是数字签名，数字签名就是利用私钥生成签名，利用公钥验证签名，可确保消息的不可否认性。数字签名的标准（DSS）有DSA，RSA

认证

用以保证消息的完整可靠，可用来做认证的函数有三类：加密函数；散列函数；消息认证码（MAC）

网络安全协议

网络安全的特征有：机密性，完整性，可用性，可控性。不同层次的安全协议有：

链路层：链路隧道协议、加密技术网络层：包过滤、IPsec协议、VPN传输层：SSL协议应用层：SHTTP、PGP、S/MIME等

IPsec

IP头 AH头 ESP头加密数据


第19页共20页 2011/6/11 17:33

AH报头插在IP报头之后，TCP，UDP，或者ICMP等上层协议报头之前。一般AH为整个数据包提供完整性检查ESP（Encapsulating�Security�Payload）为IP数据包提供完整性检查、认证和加密

网络安全技术

PDRR网络安全模型防护：接入控制及防火墙检测：入侵检测系统响应：报警、拦截恢复：系统恢复、数据恢复

接入控制：通过一组机制控制不同级别的主体对目标资源的不同授权访问防火墙：在两个网络之间强制实行访问控制策略的由软硬件构成的系统

防火墙特性所有内外通信都要经过它只有内部访问策略授权的通信才允许进入系统本身具有高可靠性

防火墙功能过滤不安全的服务和禁止非法访问控制对特殊站点的访问，可以允许受保护的网络的一部分主机被外部访问，而其它部分则禁止提供访问记录和审计等功能

防火墙分类包过滤防火墙

仅根据分组中的信息（地址、端口号、协议）执行相应的过滤，分组单独处理状态检测防火墙

不仅给出分组信息，还根据记录的连接状态、分组传出的请求等进行过滤TCP：为建立连接的SYN分组建立状态，只允许该SYN的应答分组进入。连接建立后，允许还连接的分组进入UDP：具有相同的地址和端口号的分组可以等效为一个连接

代理型防火墙通过网络服务代理，检查进出网络的各种服务

入侵检测技术：�通过对网络或计算机系统中若干关键点收集信息并分析，发现网络或系统中是否有违法安全策略测行为和遭到袭击的迹象。可以监控网络与系统，发现异常，实时报警。入侵预防技术：等效于防火墙+入侵检测系统（IDS），但不同于IDS并联在网络上被动监测网络，入侵预防系统（IPS）串联在网络上，可在线拦截入侵。虚拟专网（VPN）


第20页共20页 2011/6/11 17:33

Chapter 1 概述 - home.ustc.edu.cn

Documents

Transcript of Chapter 1 概述 - home.ustc.edu.cn