计算机网络安全复习

1、一、路由器路由器属于网络互连设备主要功能：1互连多个异构网络2很强的路由选择功能，能在复杂互连网络环境下实现最佳路由选择3分组过滤和流量管理功能4数据压缩加密以及容错功能路由器端口：LAN端口 ：以太网端口令牌环端口 FDDI端口WAN端口： DDN 端口 F-R 端口 X-25 端口 ISDN 端口 PSTN 端口路由器工作原理：假设A发送分组到BA传输层建立报文段dataA网络层构建IP分组IPH+data封装 MAC 帧 EH+IPH+data+CRC4路由器R1收到数据帧后，去掉帧头帧尾，得到IP分组：IPH+dataR1根据IPH的目的IP地址，查询路由表，决定从S0出发R1将IP分

2、组封装成PPP帧PH+ IPH+data+CRC，从S0转发出去R2去掉PPP帧头帧尾，得到IP分组IPH+dataR2根据IPH的目的地址路由表，决定从E1端口转发R2将IP分组封装成MAC帧EH+IPH+data+CRC，并从E1端口转发B收到MAC帧后去掉帧头帧尾，获取IP分组IPH+dataB去掉IP报头，得到data，交给B的传输层二、交换机交换机功能：物理编址，网络拓扑结构，错误校验，帧序列以及流量控制二层交换机：工作在数据链路层实质上是一个多端口 802.3网桥二层交换机特点：1每个端口都形成一个独立的冲突域2每个端口提供独立的贷款3具有流量控制功能4具有快速交换能力，无需进行帧

3、格式转换5只能连接局域网6可能产生网络风暴二层交换机优点：快，转换时无需重新组帧，必须在同一种网络下转播二层交换机缺点：当收到一个不认识的帧，则广播，易产生广播风暴；网络管理困难； 不认识IP分组三层交换机基本原理：不拆帧，不组帧，同时维护MAC地址及IP地址与各端口对应的关 系，当收到一帧后，先检查MAC地址/端口表，若找到则转发，若找不到，则查IP地址/ 端口表，并从该端口转发。（MAC地址与端口对应关系通过 逆向自学习算法 建立IP地址与端口对应关系通过简单路由算法建立）三层交换机与二层交换机区别：1三层交换机=二层交换机+简单的三层路由2三层交换机能识别IP地址，而二层交换机不能三层交

4、换机与路由器区别:1三层交换机只能连接同类网络，而路由器可连接异构网（因为前者没有帧格式转换功能）2三层交换机连接的网络，拓扑简单，而路由器能够连接大规模复杂网络（因为前者仅支持 简单的路由算法，而后者支持复杂的路由算法）3三层交换机不拆帧，而路由器拆帧（获取IP分组）三层交换机：优点：速度快缺点：不适合连接大规模异构网络路由器：优点：适合连接大规模异构网络缺点：慢，路由开销大三、无线局域网 WLAN（wireless local area network）遵循的协议IEEE802.11标准，作为WLAN的物理层和数据链路层的协议规范802.11定义两种工作模式：1基础网络模式：无线设备之间以

5、及无线设备与有线设备之间的通信，通过接入点进行（1）无线设备可移动（2）无线设备之间不能直接通信，要经过AP，AP是固定的2自组织网络模式：无需接入点，无线设备通过相邻结点与其他结点通信（可能多跳）802.11定义三种标准：802.11a无线载波频段为5G Hz最大数据载波频率54Mbps802.11b无线载波频段为2.4G Hz最大数据载波频率11Mbps802.11g无线载波频段为2.4G Hz最大数据载波频率54Mbps无线局域网基本工作原理（仅限于基础网络模式）基本服务集（BSS）:每个接入点和他所覆盖的无线设备构成一个基本服务集扩展服务区（ESS）：多个AP以及连接他们的有线网络构成

6、一个扩展服务区接入点AP的功能：1控制和管理一个BSS内无线设备信号同步，信道频率，数据率，访问控制方法2负责BSS内数据转发3作为有线网络的接入点（数据帧格式转发，数据率转发，差错控制）无线信道：802.11b在2.4-2.4835GHz内划分了 11个不用频段的信道，并规定两个信道之间 至少要有4个信道隔开，因此，在同一区域内，最多使用3个互不干扰的无线信道1,6,11 无线网络访问控制基本思想：冲突避免CSMA/CA代替CSMA/CD无线局域网选择CSMA/CA而不是CSMA/CD原因：CSMA/CD：带有冲突检测的载波侦听多路访问，发送包的同时可以检测到信道上有无冲突; CSMA/CA

7、：带有冲突避免的载波侦听多路访问，发送包的同时不能检测到信道上有无冲突， 1由于无线信号在传输过程中的衰减，CSMA/CD难以检测到冲突2无线传输的隐蔽站问题CSMA/CA的基本原理：为实现冲突避免，802.11b定义三种不同优先级的数据帧以及相应帧间隔和等待时间间隔1短帧间隔SIFS:控制帧应答帧2长帧间隔DIFS:数据帧3点协同帧间隔PIFS： AP发出的管理帧或探测帧轮询方式：AP点到谁，谁就发送数据，效率低，可完全避免冲突802.11提供了两种访问控制的方法：1CSMA/CA在CSMA/CD的基础上对不同的帧采用不同的等待时间，尽量减少冲突(1) 信道空闲时分析：因为确认帧很短，而其他

8、结点在发送数据帧之前必须等待一个DIFS(DIFSSIFS) 如果多个站点都要发送数据，只要这些站点不是在完全的时间开启DIFS，那么稍微早一点 的端就获得发送权信道忙情况若信道忙，同时有两个站点准备就绪，每个站点选取一个回退随机数，随后检测到信道空闲， 则该随机数递减。如果检测到信道忙，则随机数不变，直到该随机数为0，等到DIFS，检 测空闲发送。PS：出错情况：信号干扰，冲突如果发送方在短帧间隔后，还收不到确认帧，或者检测到正在传输的其他数据帧，则认为出 错，按规则重发该帧小结：1 CMSA/CA通过不同的帧间隔在很大程度上避免的冲突，但增加了传输延迟，降低 了吞吐量2 CSMA/CA不能

9、完全避免冲突，主要由于隐蔽站的问题2点协同机制AP周期性向无线终端发送轮询帧，只有收到轮询帧的终端才有资格发送四、IPV6IPV4不足：1 IP地址枯竭IPV6新特性：1128位IP地址2缺乏QOS保证2简化报头3缺乏安全性3完美的QOS4路由效率低4良好的安全性5报头复杂5高效的路由IPV6报头格式(基本)版本号(4)业务流类型(8)流标签(20)净荷长度C16)下一报头(8)跳数极限(8)源地址(128)目的地址(128)扩展报头：是紧跟在基本报头之后的可选报头扩展报头主要有：1逐跳选项报头，标识符为0目前仅定义了两个选项：超大有效载荷选项和路由器警告选项。2路由选项报头：标识符为43指定

10、分组到达目的地前需要经过的中间路由器。3分段选项报头：标识符为4用于IPv6分组的拆分和重组4认证选项报头：标识符为51,提供数据完整性验证和反重放保护。5 ESP协议选项报头：标识符为为50提供数据加密性、数据完整性验证等功能。IPv6地址类型：1单播地址：表示单个主机或一台主机的单个接口的IPv6地址。（1）聚合的全球单播地址：格式的前3位固定为001，相当于IPv4公网地址（2）链路本地地址：是一种使用受限的地址，仅在本地链路传送1111 1110 10 （前缀）+54bit（填充位 “0” ）+64bit （接口 ID）（3）站点本地地址：用于在内部网络寻址，边界路由器不能将这类分组转

11、发到Internet上。1111 1110 11 （前缀）+38bit（填充位“0”）+ 16bit 子网标识 + 64bit （接口 ID）（4）内嵌IPv4的IPv6地址一类是IPv4兼容的IPv6地址（用于隧道技术）一类是IPv4映射地址（用于NAT-PT技术）。（5）环回地址环回地址形式：0000:0000:0000:0000:0000:0000:0000:0001，可以缩写为:1类似IPv4中的地址：127.0.0.1。2组播地址：用于标识一组网络地址11111111 + 4bit标志位+ 4bit范围位+ 112bit组标识位三种过渡技术：（1）双协议栈技术：指在一台主机或路由器上同时运行IPv4和IPv6两套协议栈。（2）隧道技术：指用IPv4报头来封装IPv6分组，隧