计算机网络基础.

1、计算机网络基础内容内容基本概念基本概念1OSI模型模型2TCP/IP协议族协议族3网络互联设备网络互联设备4安全设备安全设备5基本概念基本概念1 MAC地址 一个48比特的整数，俗称物理地址 一般格式：U:V:W:X:Y:Z或U-V-W-X-Y-Z，U到Z是0255的整数（常用16近制表示），其中X:Y:Z代表以太网卡厂家。 具有唯一性 IP地址 一个32比特的整数，俗称网络地址 具有唯一性基本概念IP地址的组成点分十进制点分十进制最大值最大值 10101100二进制二进制十进制例子十进制例子二进制例子二进制例子 255 255255 255NetworkHost1286432168421 1

2、1111111 11111111 11111111 11111111 00010000 01111010 11001100 172 16 12218 916 1724 253212864321684211286432168421128643216842132bits 202 255 10101100IP地址的分类1A类类:Bits:0NNNNNNNHostHostHost8 916 1724 2532范围范围(1-126)1B类类:Bits:10NNNNNNNetworkHostHost8 916 1724 2532范围范围(128-191)1C类类:Bits:110NNNNNNetworkN

3、etworkHost8 916 17242532范围范围(192-223)1D类类:Bits:1110MMMMMulticast Group Multicast Group Multicast Group8 916 17242532范围范围 (224-239)OSI模型模型2OSI的七层框架21物理层物理层物理层物理层数据链路层数据链路层数据链路层数据链路层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层表示层表示层应用层应用层应用层应用层物理层协议物理层协议数据链路层协议数据链路层协议网络层协议网络层协议传输层协议传输层协议会话层协议会话层协议表示层协议表

4、示层协议应用层协议应用层协议 比特比特 帧帧 包包 段段SPDUPPDUAPDU1 接口接口2 接口接口3 接口接口4 接口接口5 接口接口6 接口接口主机主机A主机主机B数据单元数据单元层层OSI的七层框架22名称功能实例应用层用户接口HTTP Telnet表示层数据的表现形式、特定功能的实现如-加密ASCII、EBCDICJPEG会话层对应用会话的管理、同步操作系统/应用读取传输层可靠与不可靠的传输、传输前的错误检测、流控TCP、UDP网络层提供逻辑寻址、路径选择（选路）IP数据链路层成帧、用MAC地址访问媒介、错误检测与修正802.3 / 802.2 HDLC物理层设备之间的比特流的传输

5、、物理接口、电气特性等EIA/TIA-232 V.35数据的封装与解封装过程31InternetHello!数据的封装与解封装过程32IP包头包头Hello物理层物理层数据链路层数据链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层 比特比特 帧帧 包包段段PDUHelloTCP/UDP头头HelloIP包头包头LLC子层子层TCP/UDP头头HelloIP包头包头LLC子层子层MAC子层子层TCP/UDP头头HelloTCP/UDP头头高层数据高层数据MAC子层子层LLC子层子层FCS数据的封装与解封装过程33IP包头包头Hello物理层物理层数据链路层数据链路层网络层网络层

6、传输层传输层会话层会话层表示层表示层应用层应用层 比特比特 帧帧 包包段段PDUHelloTCP/UDP头头HelloIP包头包头LLC子层子层MAC子层子层TCP/UDP头头HelloIP包头包头LLC子层子层MAC子层子层FCSTCP/UDP头头HelloTCP/UDP头头高层数据高层数据LLC子层子层 TCP/IP是20世纪70年代中期美国国防部为ARPANET开发的网络体系结构TCP/IP协议参考模型网络接口层网络接口层互联网层互联网层传输层传输层应用层应用层TCP/IP 4层模型层模型物理层物理层数据链路层数据链路层网络层网络层OSI 7层模型层模型会话层会话层表示层表示层应用层应用

7、层传输层传输层互联网层互联网层传输层传输层应用层应用层物理层物理层数据链路层数据链路层TCP/IP 5层模型层模型TCP/IP协议族协议族3TCP/IP协议栈FTPARPTFTPUDPTCPTelnetSMTPHTTP应用层应用层传输层传输层网络层网络层会话层会话层表示层表示层数据链路层数据链路层EthernetPPPFrame RelayIPRARP IP地址解析为MAC地址 主机想发送数据给主机，检查缓存，发现没有的MAC地址ARP协议4ARP CacheInternet Ad

8、ress Physical Adress Type IP地址解析为MAC地址 主机发送ARP广播ARP协议4我需要我需要的的MAC地址地址 IP地址解析为MAC地址 所有主机都接收到的ARP广播，但只有给它一个单播回复，并缓存的MAC地址ARP协议43我的我的MAC地址是地址是0800.0020.1111 IP地址解析为MAC地址 主机将的MAC地址保存到

9、缓存中，发送数据ARP协议44ARP CacheInternet Adress Physical Adress Type 0800.0020.1111 Dynamic MAC地址解析为IP地址 主机A需要一个IP地址，发送RARP广播RARP协议254A我需要一个我需要一个IP地地址，我的址，我的MAC是是0800.0020.1111 MAC地址解析为IP地址 主机54是分配IP地址的Server，它将给A一个回复RARP协议254

10、A你的你的IP地址是地址是 ICMP消息通过IP数据报传送，被用来发送错误和控制信息。 ICMP定义了很多信息类型，例如： 目的地不可达 TTL 超时 信息请求 信息应答 地址请求 地址应答 ICMP协议IP包头的格式版本（4）首部长度（4）优先级与服务类型（8）总长度（16）标识符（16）标志（3）段偏移量（13）TTL（8）协议号（8）首部校验和（16）源地址（32）目标地址（32）可选项数据20字字节节版本字段，版本字段，IP v4优先级与服务类优先级与服务类型，提供型，提供3层的层的QoSIP包头部长度，包头部长度，因为长度可变，因为长度

11、可变，因此需要定义因此需要定义IP数据总长度数据总长度上层来的数据到上层来的数据到IP层会被分段，这几层会被分段，这几个字段用来对数据包进行标识，使在个字段用来对数据包进行标识，使在数据到达目的端重组的时候，不会乱数据到达目的端重组的时候，不会乱序序生命周期字段，经过一个生命周期字段，经过一个路由器值减路由器值减1，为，为0时，数时，数据包丢弃。为了防止一个据包丢弃。为了防止一个数据包在网络中无限的循数据包在网络中无限的循环下去。环下去。协议字段，用来标识封协议字段，用来标识封装的上层数据是装的上层数据是UDP还还是是TCP，UDP是是17，TCP是是6 TCP（Transmission Co

12、ntrol Protocol） 传输控制协议 可靠的、面向连接的协议 传输效率低 UDP（User Datagram Protocol） 用户数据报协议 不可靠的、无连接的服务 传输效率高传输层的协议TCP的封装格式源端口号目标端口号32位序列号32位确认号4位首部长度保留（6位）URGACKPSHRSTSYNFIN16位窗口大小16位校验和16位紧急指针可选项0151631发送发送TCP进程进程对应的端口号对应的端口号目标端接收进目标端接收进程的端口号程的端口号0 232-1范围内，数据段范围内，数据段标记，用于到目的端对到标记，用于到目的端对到达包的重组达包的重组0 232-1范围内，对发

13、送范围内，对发送端的确认信息，告诉发送端端的确认信息，告诉发送端这个序号之前的数据段都收这个序号之前的数据段都收到了到了紧急指针有效位，与紧急指针有效位，与1616位紧急指针配合使位紧急指针配合使用用确认序列号有确认序列号有效位，表明该效位，表明该数据包包含确数据包包含确认信息认信息为为1时，请求重时，请求重新建立新建立TCP连接连接为为1时，请求建时，请求建立连接立连接为为1时，数据发时，数据发送完毕，请求断送完毕，请求断开连接开连接滑动窗口的大小，滑动窗口的大小，指明本地可接收数指明本地可接收数据的字节数据的字节数通知接收端立即将数通知接收端立即将数据提交给用户进程，据提交给用户进程，不在

14、缓存中停留，等不在缓存中停留，等待更多的数据待更多的数据TCP的连接三次握手发送发送 SYN ，请求建立连接请求建立连接(seq=100 ctl=SYN)Host AHost B1发送发送 SYN 、ACK(seq=300 ack101 ctl=SYN、ACK)23发送发送ACK(seq=101 ack301ctl=ACK)TCP的四次断开发送发送 FIN,请求断开连接请求断开连接(seq=101 ,ack=301,ctl=FIN，ACK)Host AHost B1发送发送 ACK(seq=301,ack=102ctl=ACK)24发送发送ACK(seq=102,ack=302 ctl=ACK

15、)Seq100Seq300Ack1013发送发送 FIN,请求断开连接请求断开连接(seq=301,ack=102 ctl=FIN，ACK) TCP差错控制的3种方式 校验和 确认 受损伤的数据段 丢失的数据段 重复的数据段 失序的数据段 确认的丢失 超时TCP的差错控制收到请收到请确认确认UDP的封装格式16位源端口号16位目标端口号16位UDP长度16位UDP校验和数据发送端的发送端的UDP进程端进程端口号口号接收端的接收端的UDP进程端进程端口号口号包含数据的长度，可包含数据的长度，可以算出数据的结束位以算出数据的结束位置置UDP的差错控制（的差错控制（可选）可选）0151631 UDP

16、没有流控机制 UDP只有校验和来提供差错控制 需要上层协议来提供差错控制：例如TFTP协议UDP的流控和差错控制Host AHost BDATA(512字节）字节）ACKDATA(512字节）字节）TFTP协议提供分块协议提供分块传输、分块确认的传输、分块确认的机制，保证数据传机制，保证数据传输的可靠性输的可靠性 DNS Domain Name System 域名系统 用来完成域名与IP地址之间的映射 端口号为TCP或UDP的53DNS的功能DNS名字空间arpa int com edu gov mil org net cn us sunengyalecs engai lindarobotac

17、m ieee通用域通用域国家域国家域反向域反向域顶级域顶级域二级域二级域com edupku用于用于IP地址到名字转地址到名字转换的特殊域换的特殊域树型结构，便于快速树型结构，便于快速查询查询通用域域描述ComCom商业机构EduEdu教育机构GovGov政府IntInt国际组织MilMil美国军事网点NetNet网络OrgOrg其它组织机构DNS工作原理Local DNS srvRoot DNS DNS DNS srvC:WINDOWSsystem32driversetchosts查询查询的的IP地址地址DNS工作原理Local DNS srvRoot DNS 查询：查询：的的IP地址是？地

18、址是？查询：查询：负责负责.com的的DNS 服服务器地址是？务器地址是？响应：响应：负责负责.com的的DNS 服服务器是务器是x.x.x.x查询：查询：负责负责的的DNS服务器是？服务器是？响应：响应：负责负责的的DNS服务器是服务器是 DNS DNS srv查询：查询：的的IP地址是？地址是？响应：响应：的的IP地址是地址是x.x.x.x响应：响应：的的IP地址是地址是x.x.x.x迭代解析迭代解析递归解析递归解析高速缓存高速缓存将将存放在高速缓存中存放在高速缓存中查询查询的的IP地址地址 HTTP Hypertext Transfer Protocol超文本传输协议 用于传输Inter

19、net浏览器使用的普通文本、超文本、音频和视频等数据 端口号为TCP的80HTTPHTTP的工作原理WEBSrvhttp:/ Explorer服务器端软件如：服务器端软件如：IISApache 安全超文本传输协议 基于HTTP开发 提供加密，可以确保消息的私有性和完整性 端口号为443HTTPS Telnet Terminal Network 用于文本方式远程管理计算机或路由器等网络设备 端口号为TCP的23Telnet 分时的环境 支持多个用户 用户通过终端与计算机实现 注册 提供用户账号和口令Telnet的工作原理伪终端驱动程序伪终端驱动程序终端驱动程序终端驱动程序终端驱动程序终端驱动程序

20、没有处理能力的没有处理能力的终端终端分时处理来自各分时处理来自各终端的输入终端的输入 FTP File Transfer Protocol-文件传输协议 用于传输文件 端口号为TCP的21和20 TFTP Simple File Transfer Protocol简单文件传输协议 用于文件传输 端口号为UDP的69FTP与TFTPFTP的工作原理控制进程控制进程数据传输进程数据传输进程控制进程控制进程数据传输进程数据传输进程用户接口用户接口TCP:1505TCP:21TCP:20TCP:1511客户端使用随机端口连客户端使用随机端口连接服务器的接服务器的21端口，用端口，用于传输控制信息，通过

21、于传输控制信息，通过验证则打开验证则打开20端口端口用于传输数据用于传输数据客户端软件如客户端软件如：CuteFTP服务器端软件服务器端软件如：如：Server-U随机端口随机端口 数据传输是在连接建立和终止之间发生的 文件划分成若干个数据块，每一块为512个字节，最后一块必须在0511之间 TFTP需要自己创建流控和差错控制机制来保证文件的传输TFTP工作原理网络互联设备网络互联设备4 中继器 能放大信号 延长网络传输距离 只包含有一个输入端口和一个输出端口，所以只能接收和转发数据流 成本低物理层的设备2-1 集线器 最初只是一个多端口的中继器 可用于星形拓扑结构 能够支持各种不同的传输介质

22、和数据传输速率 有些集线器具有内部处理能力，例如，可以接受远程管理、过滤数据或提供网络诊断信息 被交换机所取代物理层的设备2-2 网桥 具有单个的输入端口和输出端口 能够解析收发的数据 读取目的地址信息(MAC)，决定是否转发（重发）数据包 可以过滤数据网桥以太网交换机v 交换机是用来连接局域网的主要设备交换机是用来连接局域网的主要设备 交换机能够根据以太网帧中目标地址智能的转发数据，因此交交换机能够根据以太网帧中目标地址智能的转发数据，因此交换机工作在数据链路层换机工作在数据链路层 交换机分割冲突域，实现全双工通信交换机分割冲突域，实现全双工通信相当于多个网桥相当于多个网桥交换机数据转发原理

23、12111B334422AABBA端口端口1端口端口1端口端口2端口端口2data端口端口3端口端口3主机主机11给主机给主机33发送一个数据帧：发送一个数据帧：目标地址：目标地址：33源地址：源地址： 11交换机数据转发原理122AMAC地址端口号 交换机A在接收到数据帧后，执行以下操作： 交换机A查找MAC地址表 交换机A学习主机11的MAC地址 交换机A向其他所有端口发送广播11 1交换机数据转发原理12311B334422AABBA端口端口1端口端口1端口端口2data端口端口2端口端口3端口端口3data 交换机B在接收到数据帧后，执行以下操作： 交换机B查看MAC地址表 交换机B学

24、习源MAC地址和端口号 交换机B向所有端口广播数据包 主机22，查看数据包的目标MAC地址不是自己，丢弃数据包交换机数据转发原理124BMAC地址端口号11 322data交换机数据转发原理125B334422AABBA端口端口1端口端口1端口端口2data端口端口2端口端口3端口端口3data11data 主机33，接收到数据帧 主机44，丢弃数据帧交换机数据转发原理1263344datadata在这个过程中，交换机的在这个过程中，交换机的MAC地址表中没有需要的条地址表中没有需要的条目，交换机通过广播的方式，目，交换机通过广播的方式，转发了数据帧转发了数据帧交换机数据转发原理127B334

25、422AABBA端口端口1端口端口1端口端口2端口端口2端口端口3端口端口3data11这时，主机这时，主机44要给主机要给主机11发送一个数据发送一个数据帧：帧：目标地址：目标地址：11源地址：源地址： 44 交换机B在接收到数据帧后，执行以下操作： 交换机B学习源MAC地址和端口号 交换机B查看MAC地址表，根据MAC地址表中的条目，单播转发数据到端口3交换机数据转发原理128BMAC地址端口号11 344 2 交换机A在接收到数据帧后，执行以下操作： 交换机A学习源MAC地址和端口号 交换机A查看MAC地址表，根据MAC地址表中的条目，单播转发数据到端口1 主机11，收到数据帧交换机数据

26、转发原理129AMAC地址端口号11 144 3交换机数据转发原理1210B334422AABBA端口端口1端口端口1端口端口2端口端口2端口端口3端口端口311data在这个过程中，交换机的在这个过程中，交换机的MAC地址表中已经学到了需地址表中已经学到了需要的条目，交换机通过单播的要的条目，交换机通过单播的方式，转发了数据帧方式，转发了数据帧交换机数据转发原理1211AMAC地址端口号11 144 322 233 3MAC地址端口号11 344 222 333 1v交换机最终的交换机最终的MAC地址表地址表B 转发 交换机根据MAC地址表单播转发数据帧 学习 MAC地址表是交换机通过学习接

27、收的数据帧的源MAC地址来形成的 广播 如果目标地址在MAC地址表中没有，交换机就向除接收到该数据帧的端口外的其他所有端口广播该数据帧 更新 交换机MAC地址表的老化时间是300秒 交换机如果发现一个帧的入端口和MAC地址表中源MAC地址的所在端口不同，交换机将MAC 地址重新学习到新的端口交换机数据转发原理1212冲突与冲突域v如果冲突过多，则传输效率就会降低如果冲突过多，则传输效率就会降低. . . . . .主机主机A主机主机B主机主机C冲突域冲突域分割冲突域v为了提高传输效率，分割冲突域为了提高传输效率，分割冲突域. . . . . .冲突域冲突域1冲突域冲突域2冲突域冲突域3 路由器

28、 过滤出广播信息以避免网络拥塞 通过设定隔离和安全参数，禁止某种数据传输到网络 监视数据传输，并向管理信息库报告统计数据 诊断内部或其他连接问题并触发报警信号 选择出两节点间的最近、最快的传输路径路由器路由器工作原理511.04.01.3E04.3S02.2E02.1S01.2Router1Router2Data主机主机1.1要发送数据到要发送数据到4.2路由表网段接口1.0E02.0S04.0S0路由表网段接口1.0S02.0S04.0E0路由器工作原理52路由表网段接口1.0E02.0S04.0S01.04.01.3E04.3S02.2E02.1S01.

29、2Router1Router2Data路由器接收到数据，查路由器接收到数据，查看数据包中的目标地址看数据包中的目标地址为为4.2，查找路由表，查找路由表路由表网段接口1.0S02.0S04.0E0路由器工作原理531.04.01.3E04.3S02.2E02.1S01.2Router1Router2Data路由器路由器1根据路由表转根据路由表转发数据到发数据到S0口口路由表网段接口1.0E02.0S04.0S0路由表网段接口1.0S02.0S04.0E0路由器工作原理541.04.01.3E04.3S02.2E02.1S01.2Router1Router2D

30、ata路由器路由器2接收到数据包，接收到数据包，查看数据包的目标地址查看数据包的目标地址，并查找路由表，并查找路由表路由表网段接口1.0E02.0S04.0S0路由表网段接口1.0S02.0S04.0E0路由器工作原理551.04.01.3E04.3S02.2E02.1S01.2Router1Router2Data路由器路由器2根据路由表转根据路由表转发数据到发数据到E0口口路由表网段接口1.0E02.0S04.0S0路由表网段接口1.0S02.0S04.0E0主机主机4.2接收到数据包接收到数据包 路由工作在网络层 根据“路由表”转发数据 路由选择 路由转发 交换工作在数据

31、链路层 根据“MAC地址表”转发数据 硬件转发路由和交换对比 网关 能够连接不同网络的软件和硬件的结合产品 可以使用不同的格式、通信协议或结构连接起两个系统 网关实际上通过重新封装信息以使它们能被另一个系统读取 网关必须能运行在O S I模型的几个层上 网关必须同应用通信，建立和管理会话，传输已经编码的数据，并解析逻辑和物理地址数据 网关可以设在服务器、微机或大型机上网关安全设备安全设备5古代人们在房屋之间修建的一道防止火灾发生时火势蔓延的砖墙什么是防火墙2-1 对黑客来说，只要有一点系统漏洞就足够了 保护网络安全的手段就是安装防火墙 防火墙的定义 隔离内部网络与外界网络的一道安全防御系统 网

32、络安全最主要和最基本的基础设施 不会妨碍人们对风险区域的访问什么是防火墙2-2内部网络内部网络 强化安全策略 防火墙通过仅允许“认可的”和符合规则的请求通过的方式来强化安全策略 有效的记录网上的活动 所有经过防火墙的流量都可以被记录下来，包括企业用户上网情况 隐藏用户站点或网络拓扑 防火墙隔离了内网和外网的同时利用NAT来隐藏内网的各种细节 安全策略的检查 所有信息都必须经过防火墙，防火墙就成为一个安全检查点 防火墙的主要功能 包过滤型防火墙 代理型防火墙 状态检测型防火墙 防火墙分类 根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配 过滤规则是根据数据包的报头信息进行

33、定义的 “没有明确允许的都被禁止”包过滤型防火墙7 应用层6 表示层3 网络层防火墙检查模块4 传输层5 会话层2 数据链路层1 物理层IPTCPSessionApplication Data与过滤规则匹配吗审计/报警还有另外的规则吗转发包吗发送NACK丢弃包结束 代理型防火墙也被称为代理服务器 代理服务器位于客户机与服务器之间,完全阻挡二者间的数据流 可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒十分有效 代理型防火墙 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 状态检测型防火墙检测每一个有效连接的状态，并根据这些信息决定网络数据包是否能够通过防火墙 状态检测型防火墙应用层表示层 会话层 传输层 网络层 链路层 物理层 应用