2023年新版自考网络工程串讲笔记

自考网络工程串讲笔记（04749）前言:在各位同学的共同努力下,网络工程复习资料顺利出来,在这里自考乐园俱乐部代表广大自考同胞感谢各位同学的努力，是你们:徐宝杰、吴宇斌、吴丘峰、赵王王、俞浩同学牺牲自己休息时间,才干如此顺利完毕复习资料书写工作。此资料只作课本参考复习之用。网络工程课程老师:邱桂华概述1.２计算机网络介绍１.2.1计算机网络定义计算机网络是:(1)计算机技术与通信技术相结合的产物(２)由自主计算机互连起来的集合体将地理位置不同的具有独立功能的多台计算机及其外部设备，通过ﻩﻩ通信线路连接起来，在网络操作系统、网络管理软件及网络通信协ﻩﻩ议的管理和协调下,实现资源共享和信息传递的计算机系统（目的)。计算机网络涉及硬件和软件：硬件：通信设备为主机转发数据,接口设备是网络和计算机之间的接口。主机（端系统）:个人计算机、大型计算机、客户机(ｃlｉｅnt）或工作站(worksｔatｉｏｎ)、 ﻩﻩ服务器（sｅver)通信设备(中间系统）：互换机和路由器接口设备：网卡、调制解调器传输介质：双绞线、同轴电缆、光钎、无线电和卫星链路。软件:通信协议和应用软件通信协议（计算机之间的信息传输规则）：TCP/ＩP等应用软件（网络上的各种应用)：WＷW、E－mail、FTP等1.2.２计算机网络拓扑结构1、广域网拓扑结构：广域网是将多个子网或多个局域网互接起来的网络。集线器、中继器、互换机将多个设备连接起来形成局域网拓扑结构。广域网特点:点到点、存储转发、工作在底层(1）网状拓扑结构优点：①系统可靠性高,比较容易扩展②可以改善通信途径上的信息流量分派③可以在多条途径中选择最佳途径，以减小传输延迟④网络可组建成各种形状,采用多种通信信道,多种传输速率,适合广域网复杂的 网络环境缺陷：①线路和结点成本高②结构复杂,难于管理和维护，每一结点都与多点进行连接，必须采用路由算法和ﻩ流量控制方法环形拓扑结构采用光纤做主干线。可靠性好，不存在单点失效问题,可以灵活地建立各种链路备份策略２、局部网络拓扑结构局域网特点:广播式,工作再物理层、数据链路层、网际层(1）星形拓扑结构星形拓扑结构以中央结点为中心,用单独的线路使中央结点与其他站点相连，各站点间的通信都要通过中央结点。优点:①增长站点容易②成本低③容易拟定网络故障点④通道分离⑤网络结点增删方便、快捷缺陷：可靠性差环形拓扑结构环形拓扑结构中计算机互相连接而形成一个环。优点：①控制简朴②不存在数据冲突③信道运用率高缺陷:①任意结点故障都会导致网络瘫痪②故障诊断也较困难③容量有限④难以增长新的站点⑤对结点规定高总线形拓扑结构总线形拓扑结构就是将各个结点(如服务器、工作站等）用一根总线（如同轴缆、双绞线、光纤等)连接起来。优点：①可靠性高②成本低③扩充性好缺陷:①安全性低②监控比较困难③通信效率低下④增长结点困难树形拓扑结构树形拓扑结构中,计算机都是既连接它的父结点(除根结点外)又连接它的子结点（除叶结点外），连接关系呈树状。优点：①结构连接简朴②维护方便③合用于汇集信息的应用规定缺陷:①资源共享能力较差②可靠性不高1.2．3计算机网络体系结构计算机网络体系结构是指网络的层次结构和协议。协议(Protocol）是计算机网络协议的简称，是指网络中计算机与计算机之间、网络设备与网络设备之间、计算机与网络设备之间进行信息互换的规则。计算机网络技术体系结构分层的好处是:①各层之间是独立的，每层只关注实现本层的功能即可；②灵活性好,每一层次可以灵活地采用不同的方法来实现本层的功能,增长和删减功能也较为容易；③结构上可以分隔开，层次之间的互相影响小,减少了实现和维护的难度,同时可以促进标准化的工作。分层注意:若层数太少,就会使每一层的协议太复杂;若层数太多，又会在描述和综合各层功能的系统工程任务时碰到较多的困难。两大网络体系结构:OSI/ＲM七层理论模型 ﻩ ﻩＴＣP/IP概念层(TCＰ/ＩP也已经成为目前最重ﻩﻩﻩﻩﻩ ﻩﻩﻩ ﻩ 要的互联网络协议)应用层应用层表达层会话层传输层传输层网络层网际层数据链路层网络接口层物理层TＣＰ/ＩP网络模型TCP：有连接，可靠性高；IP：无连接，不可靠,速度快。网络接口层定义了ＩＰ数据报载拥有不同数据链路层和物理层网络中的传输方法,使得ＴＣP/IP网络模型具有很强的兼容性与适应性。应用于：以太网、令牌网、Ｘ．25网、帧中继网、AＴM网、HDLC(高级数据控制)和 PＰP（广域网,点到点链接）网际层是TＣＰ／IP网络模型最核心的层次,负责网络间的路由选择、流量控制和阻塞控制;核心协议是ＩＰ,是一种无连接的网络层协议,只能提供“尽力而为”的服务，传送的数据单位是报文分组或数据包。传输层在网络中源主机与目的主机之间建立端到端的连接；传输层涉及传输控制协议(ＴCP）和用户数据报协议(ＵDP),TCP是一种可靠的面向连接的协议，UDP是一种不可靠的无连接协议。应用层网络终端协议(Telneｔ）、文献传输协议(FTＰ)、简朴邮件传输协议（SMTP)、简朴网络管理协议（SNMＰ）、超文本传输协议(HＴTP)等。1.3计算机网络技术1.3.1计算机网络技术简介计算机网络组网技术传输技术有线传输技术：ADSL、E1、DＤN、SDH等无线传输技术：蜂窝移动通信、微波通信、卫星通信和小范围的WLＡN、红外、蓝牙、ﻩUWB等。无线技术比较UWB蓝牙８０2.11gHoｍeRＦ速度１Gｂps<1Mbps<54Mbｐｓ1－2Mｂps距离<10m<10m10~１00M＜50m合用范围家庭或办公家庭或办公电脑电话移动设备承载技术重要介绍各种可以承载ＩP报文的网络。局域网:以太网、ＷLAＮ；广域网:HDLC、ＰＰP等网络。IＰ路由技术①域内采用网关协议,例如RIP(路由信息协议）、OＳPF（开放最短途径协议)；域间采用外部网关协议，常用BGP（边界网关协议）②一个网络内采用了多个路由协议时，为了实现路由协议之间的互通,就需要路由重发布技术③为了可以将更多的私有网络实现与因特网的互连，需要采用NＡT（网络地址转换)技术。计算机网络管理技术网络安全网络安全负责网络中信息传递和互换的安全性；网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶尔的或者恶意的因素而遭受到破坏、更改、泄露，系统连接、可靠、正常地运营,网络服务不中断。㈠VPN技术运用接入服务器、路由器以及VＰN专用设备,在共用的广域网上实现专用网的技术。①重叠模型VPN需要用户自己建立端结点之间的ＶＰN链路，重要涉及:GBE、L2TP、IPSeｃ等众多技ﻩ术。②对等模型VPN由网络运营商在主干网上完毕VPN通道的建立,重要涉及MPＬSVPN技术。㈡防火墙将内部网和公众访问网(如因特网）分开的方法。网络管理和维护①网络管理有5大功能：故障管理、配置管理、性能管理、安全管理和计费管理。②网络管理重要方式：SＮMＰ(简朴网络管理协议)和RMOＮ标准的网络管理③ＲMON标准：为提高传送管理报文的有效性、减少网管控制台系统的负载、满足网ﻩ络管理员监控网段性能的需求。④HSRP（热备份路由协议):一台路由器出现了不能工作的情况,它的所有功能必须 被另一台备份路由器完全接管。⑤VRRP（虚拟路由器冗余协议）：网络容错协议计算机网络应用技术①网络服务分为基础网络服务和网络应用服务②主机之间的协作方式经历了文献服务器模式、C／Ｓ模式、B/S模式和对等网模式1．3.2计算机网络常用设备简介网络设备:①物理层:中继器、集线器②数据链路层:网桥、以太网互换机③网络层:路由器、三层以太网互换机局域网：网络设备：以太网中继器、集线器、网桥和以太网互换机以太网中继器和集线器工作在物理层，以太网中继器只能对传输距离进行延长, 扩展能力较弱;集线器可以方便地扩展网络规模，但是由于冲突域的限制，规模ﻩ不能太大。以太网中继器扩大局域网的覆盖范围，允许使用四个中继器,从５00ｍ扩展到２5００m。中继器网段网段500m500m50m50m中继器网段网段500m500m50m50m种类接口距离统分１0Bａse-2BNC1８5-９25m细缆10Baｓe-5AＵＩ５０0－250０m粗缆10Baｓｅ-TRＪ45１00－500m粗缆1０Base-FSC/ＳＴ／FC5００-2500m粗缆集线器被称为“多端口中继器”网桥工作在数据链路层（二层网络设备),可以隔离冲突域以太网互换机实质上就是一个多端口的网桥，互换机不隔绝广播，易产生广播风暴，这使得互换机 的扩展网络的能力也受到了一定的限制局部多网络互连局部区域的多个局域网之间可以采用三层互换机和路由器进行互连。三层互换机在数据传输的开始阶段工作在以太网的物理层、数据链路层以及网路错哦恩。当进入流互换阶段，则只工作在以太网的物理层和数据链路层。三层互换机只能用于局部以太网的互连，可以实现网络间的高速信息互换。广域网不仅包含了路由器设备，还包含了远距离的传输设备。路由器工作在不同网络的物理层、数据链路层以及网络层;传输设备只工作在物理层、涉及中继器、光传输设备等。中继器通过对数据信号的重新发送或者转发,来扩大网络传输的距离。中继器重要有无线信ﻩ号中继器、双绞线中继器、视频中继器、隔离防雷中继器、光纤中继器、串口中继器、ﻩ网桥中继器等。光传输设备光传输设备有光端机、光Modem、光纤收发器、光互换机、PDH(准同步数字系列)、ﻩSDH（数字同步系列)等类型的设备。路由器隔绝广播，划分广播域。网络工程串讲笔记传输技术2.1ADSL2.1．１ＡDSL简介XDSL非对称①ＡDSL：非对称数字用户线路上行:5１2ｋbps－１Ｍbpｓ下行:1Ｍbps－8ＭｂpsFＤM（频分多路复用技术）带宽<=4Khz②VDSL:甚高比特率数字用户线路上行:1．5－2.5Mｂps下行：１3-5２Mｂpｓ易掉线对称①HＤＳL:高速率数字用户线路(a)１.5４4Mbps或2.048Mbｐs②ＳDＳＬ：对称数字用户线路(上下行最高传输速率相同)（a)１.5４4Ｍbps或2.０48Mbｐs系统结构：ADSLModem数模转换ATU-RATU-R将数字信号与语音信号分离分离器分离器固定电话网数字用户线接入复用设备PSTNDSLAM负责用户认证和计费管理IP/ATM接入网InternetBRAS宽带接入服务ADSLModem数模转换ATU-RATU-R将数字信号与语音信号分离分离器分离器固定电话网数字用户线接入复用设备PSTNDSLAM负责用户认证和计费管理IP/ATM接入网InternetBRAS宽带接入服务AＤＳＬ除了使用频带划分来承载不同业务，还是用了ATM、ＰPPoE等相关技术来实现Internet的接入访问。用户侧的ADSLＭodｅm与局端的DSLAM之间就需要建立ATM的PＶＣ虚电路来传送上层的IP报文,ＰＰPoE技术则用来拟定用户与ＢRAS之间点到点关系。2．1.2AＤSL的工作原理（运用FDM频分多路复用）使用QAM、CAＰ、DＭT等调制技术,实现上行640kbit/s、下行８Mbit/s的数据传输速率QAM（正交幅度调制）：是通过互相正交的两个载波的幅度变化来进行信号调制。通ﻩ ﻩﻩ 过PSK(移相键控法）ASＫ(移幅键控法）常用QAM-16(每 ﻩ ﻩ 个码元传输４位）、QＡM-64,R=Blog2NCAP(无载波幅相调制）： 被看作是QAＭ的数字调制方式。ＤMT（离散多音频调制)：一种划分子信道，在每个子信道上运用ＱＡM调制的技术。子信道的噪声比较大,在该信道上可以调制的比特数就越多。假如某个子信道信噪比 很差，则弃之不用。（信噪比=10lｏg２10(s／ｎ))P34kHzP34kHz25kHz160kHz共256个子信道1.1MHZf32个子信道共256个子信道4kHz1.1MHzfPDMT多音频调制技术室建立在QAM的思想基础之上的。假如将传输信道频谱划分为若干频段。在各个频段上均采用上面提到的QAM方法，然后再将各自输出叠加在一起,经传输信道传送,所得到的波形即为DMＴ码(元）。2.1.3ADＳLMｏdem的分类ADSLＭｏdem:桥接式(RFＣ1438):只工作在第二层，即对二层包头信息进行解决固定IP地址接入方式RＦC1483Bridge桥接原理,用户PC配置固定的公网IP。(b)RFＣ２5１6——PＰＰoverEtｈｅrｎｅｔ接入方式①需安装PPPｏE客户端软件（拨号软件)，实现ＰPＰ的动态接入。②建立多条PVC虚通道（永久性的虚电路）与DＳＬAＭ和BRAS配合,灵活选择业ﻩ务。③PＰPoE通过PAＰ（密码认证协议)或ＣHAＰ（点到点的询问握手协议)来保证接入ﻩ的安全。路由式采用PＰPoE方式:PPPoE连接的建立和释放均由AＤSLModｅm负责,ADSＬModemﻩ的WＡＮ接口（广域网接口)获得BRAＳ动态分派的公网IＰ地址，ＬＡN接口(局 ﻩ域网接口）配置私有ＩP地址采用PＰPｏA(ATM)方式RＦC14８3Bｒidｇｅｄ+默认路由方式RＦC148３Routeｄ+RFC１5７7+默认路由方式ADSＬMｏdem不同工作模式下的配置参数ＰPPoEPPＰoＡRFC14８3桥接RFC1483路由RFC1577专线需配置参数PPPoE用户名PＰPoＡ用户名VPI/VCIVPI/ＶCIVPI/VCIPPＰoE密码PPPoA密码—WANIPWAＮIPVPＩ／VCIVPI/VCI—子网掩码子网掩码安全协议安全协议—默认网关默认网关———DNSDNS注：VPI/ＶCI：虚拟通道标记/虚拟通信标记2.2E1／Ｔ1数字中继Ｅ１/T1重要使用同轴电缆进行传输，E1是脉冲编码调制PＣM30/32传输系统的简称，其传输速率为2．０48Mｂiｔ/s,我国采用和欧洲同样的标准，在北美国家和日本使用T1的传输系统,它的传输速率为１.544Ｍbit/sE1的数据帧由32时隙组成,时隙的编号为ＴＳ0，TＳ1,.．.,TS3１,每个时隙传送8bｉt数据,一帧共２5６biｔ（8*3２＝２56）。Ｅ１最开始重要传输语音信号,必须每秒固定传送800０帧,因此Ｅ1的数据率就是256＊8０0０=2.04８Mｂit/s，每个时隙的速率为６4kbｉt/s（2.04８／32=64）。２.２．1E1的帧结构(老教材）Ｅ1帧的结构8位 ﻩﻩﻩ8位 ﻩﻩ8位 8位C1……C３0作用：信令作用：同步|-----－－------－--－－->数据<-－-------－-－－------| ﻩ ﻩ信令位 ﻩﻩ同步位帧结构花125ms。①E1共多少位:30*8+8+8=2５6位②E1速率:25６biｔ／１25ms=2.04８③Ｅ1编码效率：(3０*8／３0*8+８+8)*１００%=9４%④开销率:1-９4%=６%

T1帧的结构8位 ﻩﻩﻩﻩﻩ ﻩ 8位 ﻩ1位C1……C24||||7位-------－-－－----＞用于传输数据<－---－----－－-----－--7位第193位帧编号位1位－-----------－-->传输数字信号＜-－---－-－-－---－-－---１位帧结构花１2５mｓ①有效数据位:７*２4=168位②速率：(7+1)＊24+1/１25ms=1.544Mbｉt/s③编码效率:［(7*24)/１93]*1００％＝8７％④开销率:1-８７%=13%(现教材)E1分为成帧和不成帧两种方式，成帧时TS０时时隙用于传输帧同步数据，TS16用于传送信令，TS１~ＴS15，TS17~ＴS31共3０个时隙用于传输有效数据。不成帧的Ｅ1中，所有32个时隙都可用于传输有效数据。2.2．2Ｅ1的应用传输语言(Ｅ1成帧方式）ISDN(综合业务数字网）①宽带业务B-ISDＮ②窄带业务N-ISDN1－64kbit/sIＳDN接口①基本速率接口BRI:2B(传输数据与语音：64kｂps)+D（信令：16kbps)②一次基群速率接口（a）E1：３0Ｂ（6４kｂps)+D（16kbps）2.048Ｍbpｓ（b）T１：２3B(6４kbｐｓ）+D（16kbps)1.5４4Mbｐs传输数据成帧的E1连接数据分组互换设备时，还可以作为CE1接口（信道化E１），将TS1~TS31时隙任意提成若干组，支持ＰPP、帧中继和Ｘ.2５等数据链路层协议,支持IP和ＩPX等网络协议。不成帧的E1连接数据分组互换设备时,其逻辑特性与同步串口相同,可以支持PPP、帧中继和X.2５等数据链路层协议，支持IP和IPX等网络协议。２．3DDNDDN是数字数据网，其单位是结点,结点之间通过光纤连接，构成网状拓扑结构,用户的终端设备通过数据单元（DTＵ）与DDN结点相连,ＤDN为用户提供高质量的数据传输通道。ＤDN的特点：传输质量高、时延小、通信速率可以自主变化。路由自动迂回，保证链路高可用率。全透明传输，可支持数据、图像、话音等多媒体业务。方便地组建虚拟网（VＰN)建立自己的网管中心。DDN的主干传输为光纤传输，高速安全。采用点对点或点对多点的专用数据线路。中国的DDＮ技术体制将DDＮ结点提成3类(1）2兆结点：2兆结点是DDN网络的骨干结点。接入结点：接入结点重要为DDＮ各类业务提供接入功能。用户结点:用户结点重要为DDN用户入网提供接口，并且进行必要的协议转换。DDＮ一般有两种承载IP的方式。一种是DDN提供透明通信，装HDＬＣ、ＰＰＰ等串行通信协议，提供X.25、Frame－reｌaｙ等协议的接口,路由器可以在这些协议之上承载ＩP。2.4SDH131０nm，1550nm,损耗比较低,当波长是131０ｎm时,光纤损耗是０.３~0．４ｄｂ/ｋｍ,当波长是15５0nm波长时，光纤损耗是０．2~0.3db/ｋｍ。光纤由3个部分组成，最中心是最高折射率玻璃芯(芯径为10μm、50μm或6２.5μｍ），中间部分为低折射率硅玻璃包层（直径为12５μｍ）,最外层为加强用的树脂涂覆层。２.4.１SDH标准SDＨ(同步数字系列）是由CＣITT（现ITＵ-T，电话电报征询委员会)指定的传输体系标准,它得益于ＳOＮEＴ(同步光网络）这套传送标准合用于光钎、微波、卫星传送的通用技术体制，ＳONET重要用于北美国家和日本,SDH重要用于中国和欧洲国家。SDH标准定义了一套可进行同步信息传输、复用、分插和交叉连接的标准化数字信息的结构等级,实现了数字传输体质上的世界性标准，同时还可容纳各种新的数字业务信号(如AＴＭ信元、FＤDＩ信号等)。全世界统一的网络结点接口(ＮNＩ），并对个网络单元的光接口有严格的规范规定,从而使得任何网络单元在光路上得以互通,实现了横向兼容性。SDＨ具有统一的速率标准,SDH上的数据是以同步传送模块(ＳTM-Ｎ),N值为0、1、４、1６、６4、2５6，STＭ-1的速率为１55.52０Ｍｂit/ｓPＤH(准同步数字系列)：SDＨ技术具有良好的网络自愈功能。2.4.2SDH的组成设备终端复用器（TM）：分插复用器(ADM)，再生中继器（REG)和数字交叉连接（DXＣ)REG:一种是纯光的ＲEG，第二种是用于脉冲再生整形的电RGＥ。DEX（等ATM同用）:重要完毕STM-N信号的交叉连接功能。

２.4．3SDＨ的帧结构SDH的帧结构是块状帧，以字节为单位，由纵向９字节和横向270*N字节组成，１25μｍ每帧，帧速率为8０00ｆ/s,帧结构中安排了丰富的开销比特（不传数据)。RSＯHPOHSＴＭ-N净负荷(含POH)AUPTＲＭSOH131345……99*N261*N270*N注：STM-1信息净荷速率:=26１*9＊８＊80０0=1５0.3３６MbｐsSTＭ-1速率：=2７０*9*80０0*8=155.520MbpsSTM-１信息净荷速率共2349字节段开销字节：8*9＝72SＴM-1一块帧共用(９+261)*9=243０字节ＳＤH的帧涉及段开销段开销是传输ＳTM帧时为保证信息正常灵活传送所必需的附加字节。９*8=72字节段开销由再生段开销（RＳOH，3个开销)和复用段开销（MSOH,５个开销，对ＳTM-16ﻩ任意通道进行监控）。信息净荷用于通道性能监视,管理和控制的通道开销（POH)，SＴＭ－1的净荷共有261*9=2349 字节单元管理指针单元管理指针(AUPTＲ）用来指示净荷的第一字节在ＳＴM－N帧内的准确位置。SDH的开销字段分为ＲSＯH、MSOH和ＰOH3种。SＤH的虚容器分为低阶VC和高阶VCＳDH的复用原理在SＤH网络边界处要通过映射把支路信号适配装入响应的VＣ。映射可以使信号与响应的VC容器同步，映射后的VＣ成为能独立进行传送、复用和交叉连接的实体。对于高次群信号，通过异步映射可装入响应的VC中。异步映射不规定信号与网络同步，只需通过各级TU指针和AU指针的解决就能将PDH信号装入SDH中。对于基群信号可采用异步映射和同步映射两种方式,同步映射规定信号先通过一个一帧长度的滑动缓冲器，使信号和网络同步。同步映射的好处是信号在VC净负荷中的位置是固定的,不需要TＵ指针,减少了解决过程，提高了传输效率,代价是假如时延和滑动损伤。SＤH采用同步复用方式和灵活的复用映射结构,使低阶信号和高阶信号的复用／解复用一次到尾，简化了设备的解决过程，省去了大量的有关电路单元、跳线电缆和点接口数量，增强了运营和维护能力。2.5蜂窝移动通信技术第一代模拟移动通信技术，第二代数字移动通信技术,第三代移动通信技术，第四代是TＤ-LTE(中国自主研发)第一代:以模拟“大哥大”为代表第二代:GＳM和TS-95CDＭA第三代:3G是ＣDＭA2０23（中国电信)、ＷＣDＭA(中国联通）和ＴD-ＳCDMＡ（中国移动)GSM（全球移动通信系统)起源于欧洲的移动通信技术标准，属于第二代通信技术,ＧＳM可以提供语音服务和SMS短信服务。GPRS(通用分组无线用户）是在GSM基础上发展起来的分组互换的数据承载和传输业务。、第3章承载技术3．1承载技术简介最早的承载网络重要是电话网,通过调制解调器传输数据。在广域网中大量采用光纤上使用PPP承载IP。承载网络不管它采用何种网络体系,在拓扑结构上可以提成3大类，即点到点，广播网络，多点非广播多路访问网络。1、点到点网络点到点网络是最简朴的网络拓扑,它事实上就是一根通信电缆连接两台网络设备构成的网络。2、广播网络广播网络也是一种简朴的网络,虽然比点到点网络复杂一点，即任何一个设备发送报文在网络中的其他设备都能收到。广播网络中的报文发送方式有两种：广播和单播。广播是网络自身的特点,即一个设备发送报文大家都能收到;单播是靠地址机制和接受设备实现的。3、非广播多路访问网络非广播多路访问网络简称非广播网络，事实上,除广播网络和点到点网络之外的其他网络都可以被当作是NBMA网络的。３.2Ciｓco公司的HDLC封装Ｃiｓco的HDLC封装事实上只是运用HＤLC的帧格式封装IP报文，由于没有使用链路状态帧，因此无法知道链路的通断状态。链路管理接口的工作原理是定期向对方发送LMI报文，报文中具有序号,假如接受方在规定的时间内收到LMＩ报文并且序号是连续增长的，就说明链路是好的。3.3以太网3．3.1以太网的工作原理以太网开始使用通州电缆作为网络媒体，数据传输速率达成10Ｍｂps。IEＥE8０2.３规范是基于最初的以太网技术于１９80年制定的。。工作原理:以太网采用CSMA/CD媒体访问控制机制,任何工作站都可以在任何时间向网络发送数据报文。在发送数据之前,工作站一方面需要侦听网络是否空闲，假如网络上没有任何数据传送,工作站就会把所要发送的信息投放到到网络当中;否则,工作站只能等待网络下一次出现空闲时再进行数据的发送。以太网的帧结构大小:最小64字节,最大１5１８字节。３.３.2互换式以太网互换式以太网采用逆用学习，扩散和转发的策略，实现不同的网络连接。所谓扩散算法，就是把每个到来的、目的地不明的帧输出到所有端口，并在地址表中记录该帧的源地址与端口的相应关系。而逆向学习法，则是一旦知道目的地的端口,发往该处的帧就只发到该端口上,不再广播。为了解决动态拓扑问题，要对地址表中的地址项进行“老化”操作，即当收到帧时要对源地址相应对表项的生命计时器进行刷新，然后开始递减。当生命计时器减到0,就说明相应的主机长时间没有发送帧了,也许已经关机或者网络已中断，就将该地址从地址表中删除。网络中由于互连也许会出现环路,环路将导致广播风暴，因此网络中不能有环路存在,但是由于需要或者无法控制的因素，网络的物理结构中通常会出现环路，因此在透明网桥中使用生成树算法解决这个问题。生成树通过阻塞某个端口，切断网络中的环路，使网络在逻辑上是一棵树。这个时候互换机不能转发报文,只能收发生成树的算法发送的BPDU报文，通过互换BPDU报文，生成树算法找到网络中的环路，并计算出需要阻塞的端口以打破环路,这个过程被称为生成树的收敛。生成树算法的收敛时间大约为１5s。3.３.3虚拟局域网虚拟局域网是一种将局域网设备从逻辑上划提成一个个网段，从而实现虚拟工作组的数据互换技术。划分VLＡＮ所依据的标准是多种多样的，重要有按端口、MAC地址、协议、用户、IP地址划分策略。VLAN互换机的链路分为接入链路、中继链路、混合链路3中。接入链路就是将普通以太网设备接入VＬAＮ互换机，中继链路通常的用途就是连接两个ＶLＡN互换机，混合链路可以同时承载标记数据和非标记数据。3.4PＰPPPP是为点对点之间的数据传输提供一种封装方法，可以支持IP、IPＸ和AppｌeTalk多种网络层协议,替代本来非标准的链路层协议。它即支持异步的物理线路传输,也支持同步的HDLC和SONET的物理线路传输,支持链路的配置，质量检测和网络层协议的复用。3.4.１PPP的封装帧格式PPP工作在数据链路层,它的数据封装帧格式提供帧定界、检错和协议标记,使得不同网络层协议可以同时在同一链路上传输。PPＰ可以工作在不同的物理层，同步线路,异步线路和以太网等，这样就形成了PPP的多种封装帧格式。1、同步线路上的PＰＰ封装PPＰ工作在同步线路时，使用HDＬC的ＵI帧。HＤLＣ的UI帧的IＮFＯ部分扩展“协议字段”涉及Flag、Aｄｄress、Control、Ｐrotocol、Inｆｏrmａtion、FＣS几个部分。Flag:标志字段,表达帧的开始或者结束,由二进制序列0111１110构成，即0x７E，Ａｄdreｓs：地址字段,由二进制序列111１111１构成,是标准的广播地址，Controｌ:控制字段,由二进制序列000００011构成，规定用户数据传输采用UＩ无编号帧,地址字段和控制字段所填内容为固定值,通过PPＰ的LCP协商，可以节省2字节的传输。由于没有字段来传送数据帧的序号,PPP默认情况下不提供基于序号和应答机制的可靠传输。Proｔocoｌ：协议字段,用来辨认PＰP帧的Ｉnfoｒmａtｉon字段所封装的协议。Ｐｒotocol协议取值有０xc021、０xc0２3、０xc2２３、0xc8021、0xc００21五种。０xｃ02１:信息域中承载的是LCP的数据报文,０xc02３:信息域中承载的是PAP的认证报文，0xc２２3:信息域中承载的是CHＡP的认证报文,０xc80２1：信息域中承载的是NCＰ的数据报文,0xc0021:信息域中承载的是ＩP数据报文。Iｎformａｔioｎ:包含Proｔocol字段中指定的协议数据报。FＣS:帧校验序列字段，用于ﻩPPP数据帧传输的对的性进行CRＣ检测。因PPP是面向字符型的，所以UＩ帧的长度是整数字节。在同步线路上，PPP直接使用HDLＣ的ＵI帧，也使用ＨDLC的透明传输方式“0比特插入和删除算法”。2、异步上的PPＰ封装PPP在异步线路上传输时使用的帧与同步传输是同样的,差别在于成帧和透明传输使用的方法。由于起止式异步传输是面向字符的,ＰPP在异步线路上不能采用HDLC所使用面向比特的首位标志成帧算法,即使用0ｘ7Ｅ作为帧的首位标志，也不能使用“0比特插入和删除算法”实现透明传输。3、以太网上的ＰPP封装随着xDSL技术、宽带接入技术的广泛应用,PPP又被广泛用于以太网上,这就是PPPｏE。ＰPPoE在两个阶段以太网帧的类型域的值是不同的，在发展阶段，以太网的类型域填充为０x8863,在会话阶段，以太网的类型与填充为０x8８64。PPPｏE数据报文最开始的４位为版本域，紧接在版本域后的4位是类型域。3.4.2PPＰ的子层为了适应多重物理和网络层,PPＰ划分了相应的LＣＰ子层和NCP子层以完毕不同功能。PPP一方面通过发送LCＰ报文来配置和测试链路，建立起LCP连接。链路层激活后，需要的话可以进行认证,最后要通过发送相应的NCP报文建立相应的网络子层连接。LＣPLCP位于物理层之上,负责设备之间链路的创建、维护和终止。NCPＮCP重要完毕点对点通信设备之间网络子层所需参数的配置，功能是网络层地址协商。3.4.3认证协议ＰPP此外一种常用到的功能是接入认证，即通过某种机制保证许可用户才干进入网络,常用的有PAP认证和CHAP认证两种。PAP认证PAＰ是一种两次握手的认证协议，它采用明文方式在网络上传输用户名和口令。CHＡP认证CHＡP是一种三次握手认证协议，呵在网络上传输用户名,但不传输口令。３.4.４PPP链路的建立为了在线路上传送PPP数据报文，一方面需要建立PＰP的点到点链路。典型的PＰＰ链路建立过程,可以分为3个阶段:链路建立阶段、认证阶段和网络层协商阶段。链路建立阶段认证阶段网络层协商阶段3.５PＰＰｏＥ与ＰPP链路的建立方式不同。PPPoE链路的建立要通过PＰPｏE的发展阶段和PＰPoＥ的会话阶段。发展阶段是PC主机在广播式的网络上搜寻宽带接入服务器BＲAＳ,并在多个也许的宽带接入服务器中拟定其一，建立点到点关系的过程。会话阶段则是ＰPP的ＬCP、认证、NCP的会话过程。与ＰPP不同的是,ＰPPoE的数据报文被封装成以太网的帧进行传送。目前社区宽带LAＮ接入、ＡDＳL接入等技术都使用ＰPPoＥ技术。发现阶段用户主机一方面积极发送广播包PAＤI寻找接入服务器，接入服务器收到PADI报文后回应ＰＡDO，主机在回应PADＯ的接入服务器中选择一个合适的,并发送ＰADR单播的请求报文告知接入服务器,接入服务器收到ＰＡＤR包后开始为用户发配一个唯一的会话标记符SessｉｏｎＩD，启动PＰP状态机以准备开始PＰＰ会话,并发送一个携带该会话标记符SessionIＤ的会话确认包PADS。2、会话阶段３.6ＷLAN3.６.1WLAN简介无线局域网可以提供更好的解决方案，WＬAN运用电磁波在空中收发数据,数据传输速率现在已经可以达成354Mbpｓ,且无需线缆介质,是非常有效的用户接入方式。WＬAN的协议构成，IEEE的802.１１工作组制定了无限局域网的媒体访问控制层和物理层规范。工作频段是IＳＭ2．４ＧＨｚ频段，支持的数据传输速率是１Mｂps和2Mｂpｓ。无线射频传输方法采用跳频扩频和直接序列扩频,采用载波侦听多路访问/冲突避免方式进行信道共享控制。IEＥE802．１1a扩充了IEEE502.１1标准的物理层，规定该层使用ISM5GHz的频段,该标准采用正交频分复用调制技术。3.6.2ＷLAN组网结构在IＥEE8０2.11标准中，规定了两种无线局域网设备：接入点和站点。AＰ通常作为网桥设备,带有一个LＡN接口和一个连接WＬAN的射频收发信机，而STA事实上是一个无线网络接口设备NIC,用于连接主机和AP。在IEEE8０２．１1标准定义了两种组网结构:独立基本服务组和扩张服务组。独立基本服务组IBSS是一种对等网络形式，所有站点在网络中通信的地位是平等的。IEEE802.11定义了站点加入IＢSS的过程，称BＳSIＤ同步。扩张服务组ESS由多个基本服务组构成,每个BSS都有一个无线访问点AP提供通信服务，不同BSS通过AP之间的分布系统互连，站点可以在多个BＳS之间移动。ＥSS网络站点间的通信关系、工作过程、帧格式与IBSS相比增长了关联和重新关联过程以支撑站点在不同AP下的移动，站点间不能直接通信，通过AＰ中继转发实现。BＳSIＤ的同步和关联过程ESＳ网络依靠网络名和BSSIＤ来标记,SSIＤ是ESS网络的名称，不同网络的名称不相同，BSSＩD用于标记EＳS网络中的AＰ，当站点在移动时,可以通过BＳＳID来感知AP的变化信息。越区切换越区切换只能发生在具有相同ＳSID的ＡＰ之间。第4章IＰ路由4.1路由技术路由协议是通过执行某种路由算法来完毕路由选择的一个协议，分为静态路由和动态路由。静态路由是在路由器中事先设立固定的路由表，优先级最高，优点是简朴、高效、可靠,合用于规模较小、拓扑结构固定的网络。动态路由会自动更新自身的路由表，合用于规模大、拓扑结构复杂和易变的网络缺陷为占用网络宽带和ＣＰU资源。根据是否在同一个自治域内部使用可将动态路由协议分为内部网关协议(IＧＰ）和外部网关协议(EGＰ)自治域是指一个具有统一管理机构、统一路由策略的网络。自治域内部采用的路由协议称为内部网关协议，常见的有RIP,OＳＰＦ协议等；外部网关协议重要用于多个自治域之间的路由选择,常见的有ＢＧP。由于网络中连接大量网络设备和主机,完全用人工的方法不合理因而设计了一套机制来完毕报文转发机制有编址、寻址、转发、路由表4部分组成。4.1．1IP的协议中的地址结构IP地址由二部分组成,一部分为网络地址，另一部分为主机地址。根据网络地址和主机地址的不同分派,可将IP地址分为Ａ，B,C,D,E五类网络号的位数直接决定了可分派的网络数,主机号的位数决定了可分派的最大主机数。通过IＰ地址的二进制值与子网掩码的二进制进行“与”运算,可以拟定某个设备的网络地址和主机号，即子网掩码中1相应的网络地址,0相应的是主机地址4.1.2IP网络中报文的转发机制TCP/IP网络中的数据转发分为二种:一种是直接交付,另一种是间接交付。TCP/IP子网间的数据转发是由路由器完毕的，路由器从功能上分为路由选择部分和分组转发部分。路由选择部分的任务是根据路由协议构造路由表,并定期更新和维护路由表分组转发部分由三部分组成:互换机构、输入端口、输出端口。路由表在路由表中采用所谓下一跳的方法来表达路由,路由的代价用管理距离和费用来表达：管理距离是根据路由的来源来拟定路由的优先级;花费是在相同的管理距离下进一步区分路由的优先级举例:C1３.1.０．0/１6[０／１］iｓdiｒeｃtｌycｏnnectｅdｆastetｈerｎet3／0.１*activeC表达是直连路由１３.1.０．０/16表达目的网络地址［0/1]表达管理距离是0（直连路由)，花费（Cosｔ)是1iｓｄirectlｙconｎectedｆaｓtetherｎeｔ3/0．１表达是直连路由经fａｓtｅｔｈernet3／0.1转发active表达路由状态是可用的举例:OIA133.254．２53.１6/３0［11０／2１７８５]ｖiａ113.1.２5４.２.fasｔeｔherneｔ３/0*actｉveOIA表达ＯSPF的域内的路由１33.254.15３.16/３0表达目的网络地址viａ11３.1.2５４.2.ｆaｓtethernet3/０表达此路由的下一跳的IＰ地址是１1３．１.254.2其余：D表达为EIGRP用showｉproｕｔe显示ｌuyoubiaoxｉｎxi2.路由选择路由器在选路时先按目的网段地址选择路由,假如有多个路由满足条件则按路由的精度再进行筛选，假如结果还是不唯一的,则用Cost选择最佳的路由，最后也许出现多个路由，这时路由器不再选择。４.2ＲIＰRIP（路由信息协议)是使用最广泛的距离矢量路由协议4．2.1RIP工作原理ＲＩP是基于V-D算法的内部动态路由协议因此V-D算法又称为距离矢量算法基本工作原理:每一个路由器维护一张路由表，该路由表以子网中每一个目的为索引，记录到达该目的的时间估计或距离估计，以及相应的首选输出线路,所有使用ＲIP的路由器周期性的向外广播路由刷新报文，在接受到来自各个邻居路由表的路由表后,根据这些路由表来重新计算自己到达各个网络的最佳路由RIＰ重要涉及以下方面：一、计算距离矢量距离矢量路由协议运用度量来跟踪它和所有已知目的地间的距离二、更新路由表RＩP依赖三个计时器来维护路由表：更新路计时器、路由暂休计时器、路由清除计时器三、激活路由更新每30S激活一次四、辨认无效路由每180S辨认一次五、清除无效路由每240S清除一次４.2.２最佳路由的计算１．路由表的建立路由表的初始方式有三种路由器系统启动时，从外存读入一个完整的路由表,常驻系统内存以供使用;系统关闭时再将当前系统内存中的路由表写回外存下次再使用系统启动时，只构造一个空表,通过执行一个空表，通过执行显示命令来填充系统启动时,从与本地路由器直接相连的各网络地址中，推导出一组初始路由当然初始路由只能访问相连网上的主机。初始化的V-Ｄ路由表中各路由的距离均为0.路由表的更新与维护路由项重要涉及目的地址、下一条地址和路由开销4．2.3RＩP的缺陷ＲＩＰ在使用中存在以下缺陷(1）ＲIP的可靠性和安全性无法得到保证（2）RＩP没有选择最优途径（3）ＲIP浪费带宽(4）RIP会产生环形路由(５）RIP不适合大型网络RIP规定跳数超过16为不可到达面对以上的缺陷做出了一下4中常用优化措施克制计时（可以减少路由的浮动）水平分割（缓解路由循环）路由毒化(解决路由循环)触发更新（缓解路由循环）RＩP工作在UＤＰ上端口是5204．2．6ＲIPv１的缺陷（1）过于简朴，以跳数为依据计算度量值,经常得出非最优路由(2)度量值以16为限，不适合大的网络（3)安全性差，接受来自任何设备的路由更新（4)不支持无类IP地址和VＬＳＭ(5）收敛缓慢，时间经常大于5分（６)消耗带宽很大4.２．7RIPv2的改善（1)每个路由条目都携带自己的子网掩码（2）路由选择更新具有认证功能（3）每个路由条目都携带下一跳地址和外部路由标志（４)组播路由更新２2４．0.０.9(5)支持可变长子网掩码4.２.8路由器设立R1(coｎfｉg)＃roｕｔｅｒriｐ启动rｉｐ协议R1（ｃｏｎfig-rｏuter)#ｎｅtwｏrk1９2.1６8.10.0通告直连网段R1(cｏｎｆiｇ-roｕｔｅｒ)＃nｅtwork1９2.16８.３0.0通告直连网段4.3ＯSＰFOSPF(开放最短途径优先）是一种基于链路状态算法的分层次的路由协议，层次中最大的实体是AS(自治系统）。因而把AS划分为多个区域。OSＰＦ由二个互相关联的重要部分组成：Ｈｅlｌo协议和“可靠泛洪”机制Heｌlo协议检测邻居并维护邻接关系,可靠泛洪算法可以保证同一个城中的所有OSPF路由器始终具有一致的链路状态数据库,而该数据库构成了对域的网络拓扑和链路状态的映射4.3.1ＯSPＦ基本概念1.链路状态OＳPF使用的链路状态路由与RIP所使用的距离矢量路由的本质区别在于，链路状态路由中,每一个路由器所获得的信息不仅仅局限于邻居路由器的路由表信息，而是对整个网络的结构都有完整的记录。2.区域OＳPF协议引入“分层路由”的概念，将网络分割成一个主干连接的一组互相独立的部分,这些互相独立的部分被称为区域，主干的部分称为主干区域，Ａrea0为主干区域，3.网络类型根据路由器所连接的物理网络不同,将OSＰＦ划分为4种类型:广播多路访问型、非广播多路访问、点到点型、点到多点型4.路由器类型内部路由器：所有的端口在同一个区域的路由器,维护一个链路状态数据库主干路由器：具有连接主干区域端口的路由表区域边界路由器：具有连接多区域端口的路由器，一般作为一个区域的出口自治系统边界路由器:至少拥有一个连接外部自治区域端口的路由器，负责将非ＯSPF网络信息传入OSＰF网络4.3.2OSPＦ的特点与RIP相比OＳPF具有以下特点（１)可适应大规模网络(2)路由变化收敛速度快（3）无路由自环（4)支持可变长子网掩码(５)支持等值路由(6）支持区域划分和路由分级管理(７)支持验证(8）支持组播地址发送协议报文224.0.０．54.3.3协议操作(1）建立路由器的邻接关系（2）选举ＤR/BDR(3）发现路由器（4)选择适当的路由器（5）维护路由信息4.3.５OＳPＦ与RIP的区别目前用的较为多的路由协议有RIP和ＯＳＰF他们同属于内部网关协议，但ＲIＰ基于距离矢量算法而OSPF基于链路状态的最短途径优先算法，此外ＲＩP是运用UDP作为其传输协议而OSPＦ是直接在IP上进行传输。在RＩP中，所有的路由都有跳数来度量，到达目的地的路由最大不超过16跳,且只有一条相比之下ＯSＰF是基于链路状态的路由协议,克服了RIＰ的许多缺陷OSPF不再采用跳数的概念，而是根据接口的吞吐率、拥塞状况、往返时间、可靠性等实际链路的负载能力定出路由的代价，同时选择最短、最优路由并允许保持同一目的地址的多条路由,从而实现负载均衡OSPF支持不同服务类型的不同代价,从而实现不同的QOS的路由服务OSPF路由器不再广播和互换路由表,而是同步各路由器对网络状态的结识，即同步路由器上保存的链路状态数据库，然后通过Dijkｓtra最短途径算法计算出到网络中各目的地址的最优路由。4.4BGP一个AＳ有时也称为一个路由选择域，一个AS将分派一个全局唯一的16位号码，有时把这个号码叫做自治区域号(ＡＳＮ）BGP（边界网关协议）使用TCP端标语179建立连接BGP的路由算法较为复杂，其路由开销不仅要考虑延迟、网络拥塞等技术因素还要考虑政治、安全、经济等方面的因素BＧP基本上是属于距离矢量协议，但又与RIP那样的距离矢量协议不同，BGP路由器不仅维护到每个目的的开销量,还记录下到达该目的的途径,这样可以避免途径中出现循环,容易的解决了距离矢量协议的循环途径问题。由于存储途径的信息BGP有时也称为距离矢量协议4.4.2BGP术语EBＧP:外部边界网关协议是用于在不同的自治系统之间互换路由信息的路由协议IＢGP:内部边界网关协议是用于在同一个自治系统内的BGP对等体之间互换路由信息的路由协议自治系统域间路由：自治系统域间是发生在不同自治系统之间的路由自治系统域内路由:自治系统域内是发生在同一个自治系统内部的路由4.4.4选择过程阶段一:计算从邻居AS学习到的路由的优先限度。此阶段也负责向本地AＳ中BＧP发言人通告具有最高优先限度的路由阶段二：决定一个指定的目的地的最佳路由,然后将此路由保存到ＢＧＰ发言人的Loc-RIB中,BＧP发言人使用此阶段产生的路由来决定BGＰ路由阶段三:BGＰ发言人根据输出策略引擎中设立的策略决定邻居AS通告哪些路由的过程。此过程还能执行路由汇聚。4.5路由重发布路由重发布允许不同路由协议之间互换路由信息，出于各种因素在一个网络中很也许同时运营多种路由协议。不同的路由协议有不同的算法和度量。假如一个路由器从多个路由协议那里学习一个去往目的地的路由,这时就由管理距离决定哪一个路由进入路由表4.５.5管理距离４．6网络地址转换网络地址转换（NＡT)有称为ＮAPT即网络地址端口转换４．6．1NAT是什么网络内部的设备分派的都是私有ＩP地址，但支持NAＴ的路由器保存一个或多个在网络外部有效的iｎtｅｒｎeｔＩP地址。当客户端将分组发送到网络外部时NAT将客户端的内部IP地址转换为外部地址NＡT的重要用途就是让网络可以使用私有IP地址以节省IＰ地址。将不可路由的私有内部地址转换为可路由的公有地址,在一定限度上增长了安全性隐藏了内部的ｉp地址４．６.2NAT的优点ＮAT让内部网络可使用私有地址，以节省注册的公有地址NAＴ提高了连接到公有网络的灵活性NAT提供了一致的内部网络编址方案提供了网络安全性NAT存在的缺陷Iｎtｅｒnet中的主机看起来直接与NAT设备而不是私有网络内部的主机通信ＮＡT增长了延迟ＮAＴ隐蔽了端到端的ＩP地址由于NAT改变了IP地址，就失去了追踪端到端的IＰ流量的能力当出现恶意流量时,NAT也使得故障排除或追踪更加棘手由于需要从外部网络进行访问的主机将有二个IＰ地址一个内部,一个外部地址4．6.３NAT的工作原理运营NAT进程的路由器通常连接了二个网络,并且将本地非注册的IP地址转换为全局已注册的ＩP地址ＮAＴ解决六环节1、ｉp地址为10．3．4.25的设备发送了一个数据包，并试图打开到２０6.1０0.２９.1的连接2、当第一个数据包到达NAＴ边界路由器时,它一方面检查是否有一个源地址项与NAT表中的地址相匹配３、假如在ＮAT表中找到了一个匹配项就继续进行环节4。假如没找到匹配项，NAT路由就在其可用的ＩP地址池中选择一个地址。这样就创建了一个简朴的项，使内部ＩP地址与外部iｐ地址相匹配。4、然后ＮAT边界路由器用全局ip地址２00.3．4.2５代替内部ｉp地址5，这使得目的主机将返回的数据包发送给２0０.3.４.２5，这是在Inteｒｎｅt已注册的ip地址５、当Intern上的主机使用ｉp地址206.1０0.29.1对数据包进行应答时，它使用由ＮAT路由器分派的iｐ地址作为目的iｐ地址,这个地址是2０0.３．４.2５六:当ＮAT边界路由器接受来自206.100.29．1的应答，发现它带有目的地址为２05的数据包时,ＮAＴ路由器将再次检查其NＡT表，NＡT表将显示ｉp地址10.3.4．２5会接受此数据包第5章网络安全重叠VPN技术VPN，虚拟专用网络。是将物理位置分布在不用地点的网络通过共用骨干网,特别是intｅｒｎet,连接而成的逻辑上的虚拟子网。VPN技术采用了鉴别、访问控制、保密性、完整性等措施,以防止信息被泄露、篡改和复制。基本原理是运用隧道技术，把数据封装在隧道协议中，运用已有的公网建立专用数据传输通道，从而实现点到点的连接。分类重叠VPN(静态):GREVＰN、L2TＰVPＮ、IＰSecVPＮ对等ＶPN：ＭＰＬSＧRＥVPN的工作原理GRE,通用路由封装,它规定了在一种协议上封装并转发另一种协议的通用方法。工作原理:采用隧道技术,两个站点的路由器之间通过公网连接彼此的无力接口，并且通过物理接口进行传输数据。２个路由器上分别建立一个个虚拟接口，两个虚拟接口之间建立点对点的虚拟连接,形成一条跨越公网的隧道。工作过程：隧道起点路由查找——GRＥ封装——承载路由协议转发——半途转发——解封装——隧道终点载荷协议路由查找。Ｌ２TPVPN技术和工作原理第二层隧道协议,和点对点的隧道协议，是典型的链路层VPN协议。工作过程：由用户发起连接请求——该请求被送往ＬＡC——LAC通过RADIＵS服务器的LNＳ——LAC向LNS发送已协商的ＰPP参数——LNＳ再次认证用户——LNＳ向LAC发送接受信息，建立隧道。IPSecＶＰN技术和功能:IＰＳeｃ即Internet安全协议，是一种由IETF设计端到端的保证IP层通信安全的机制。IPSec不是一个单独的协议,而是一组协议。它涉及安全协议、密钥管理协议、安全关联以及加密、认证算法。涉及一下几个方面:IＰSeｃ体系结构、封装安全载荷、验证头、加密算法、验证算法、密钥管理、解释域、策略。功能:作为一个隧道协议实现了ＶＰＮ通信、保证数据来源可靠、保证数据完整性、保证数据机密性。IPSｅｃ体系结构:包含AH、ESP、ＩKE这几个重要协议。AH为ＩP数据包提供3种服务：无连接的数据完整性验证、数据源身份认证和防重放袭击。AH头部中的序列号可以防止重放袭击。ESＰ除了为IP数据报提供数据报加密和数据流加密。IＫE协议负责密钥管理,定义了通信实体间进行身份认证、协商加密算法以及生成共享的回话，密钥的方法。IPSecVPN的两种工作模式的比较传输模式：传输模式要保护的内容是IP数据报的载荷,在传输模式下ＡH协议不能穿越NＡＴ。隧道模式：隧道模式要保护的内容是整个原始IP数据报,隧道模式为IP协议提供安全保护。对等ＶPN技术是在ＣＥ与PＥ之间互换的专用网络由信息，然后由ＰE将这些专用网络由在公共网中传播。ＢGP/ＭPＬSVPN技术防火墙：是一种广泛采用的网络安全措施，它能保护公司的网络免受外来袭击，保证只有合法的信息交流才干被保护的网络。它对进出的网络数据报文进行分析、检测和过滤,保证合法的信息流的保护和对非法流量的抵御。防火墙的特性:在外部网和内部网之间传输的数据一定要通过防火墙；只有被授权的合法的数据,即防火墙系统中安全策略允许的数据才可以通过防火墙;防火墙自身不受各种袭击的影响；防火墙的作用:管理进出网络的访问；保护网络中脆弱的服务；内部地址的隐藏；日记与记录;检测和报警；防火墙硬件架构技术：Ｉntelｘ８6架构技术、ASIＣ解决技术和网络解决器技术。防火墙实现技术：包过滤型：简朴包过滤型防火墙、状态检测型防火墙;应用代理型防火墙:应用关系型防火墙、自适应型防火墙;防火墙的规则：规则号过滤域动作域第６章网络管理与维护6.1SNＭP简朴网络管理协议（ＳNＭP)是一种基于tcp/ip的网络管理协议。SNＭP采用轮询机制，提供基本的功能集。ＳＮMＰ基本功能涉及监视网络性能、检测分析网络差错和配置网络设备等。SNMP适合在小型、快速、低价格的环境中使用，SNMP采用无证实的传输层ＵＤＰ。SNMP缺陷:基于ＳNMP的网管系统难以实现大数据量的数据传输基于SNMＰ的网管系统缺少身份验证和加密机制SNＭPv2具有以下特点:（１）支持分布式网络管理(2)扩展了数据类型(3）可以实现大量数据的同时传输,提高了效率和性能(4)丰富了故障解决能力(5）增长了集合解决功能(6）加强了数据定义语言ＳNMPv1的缺陷：SNMＰ只提供简朴的团队名认证,安全措施是很不够的。SＮMＰ不支持管理站之间的通信，而这一点在分布式网络管理中是很需要的。SＮＭPv2缺陷:没有达成“商业级别”的安全规定(提供数据源标记、报文完整性认证、防止重放、报文机密性、授权和访问控制、远程配置和高层管理能力等)，即缺少安全和高层管理功能。SNＭPv3：具有安全和高层管理功能，目的产生一组必要的文档，作为下一代SNMP核心功能的单一标准。ＳNMＰv3在SＮMPv2的基础上增长了安全和管理机制对协议进行了加密。6.1.2基于SNMP的网管系统组成SNMP体系结构由网络管理站和网管代理组成。管理进程和代理进程之间的交互，通过使用UＤP进行传送SＮMP报文实现通信。基于SＮMP的网络管理由3部分组成，即管理信息库(MIB）、管理信息结构(SＭI)、以及SNMＰ自身6.1.３管理信息库管理信息库存在于被管网络设备，指明了网络元素可以被管理进程查询和设立的信息。SNMＰ采用层次结构命名方案来辨认被管理对象，各个被管理对象之间形成一棵树的关系形状,类似域名系统。在这样的树形关系中,根在最上面，他没有名字，树的各个结点表达被管理对象,这些被管理对象可以用从数根结点开始的一条途径来无二义性进行辨认，因此MIB又称为对象命名树６.1．４管理信息结构ＳNMP是应用层协议，规定通信两端的协议互换各种报文，而底层规定用户数据都是字节序列,因而需要编码解码操作。为了解决这个问题，就需要一个定义从实际的软件数据结构中抽象出来的数据类型的表达方法,这种方法被称为抽象记法。而为了描述抽象记法,就需要一种语言。AＳN.1就是用来描述抽象记法的语言,可以应用任何协议层。管理信息结构(SMI)通过一个宏OBJECT-TYPE，规定了管理对象的表达方法6．1.5SNMＰ基本操作及协议数据单元1）getreｑuｅst操作:从代理进程处提取一个或多个参数值2）gｅt－ｎeｘtreｑuｅｓt操作:从代理进程处提取紧跟当前参数值得下一个参数值3）ｓeｔrｅｑuesｔ操作：设立代理进程的一个或多个参数值4）gｅtresponse操作:返回一个或多个参数值，由代理进程发出5)ｔrａp操作：代理进程积极发出报文一般情况下，代理进程采用端口１61接受管理进程发出的gｅt或ｓet报文而管理进程采用端口1６2来接受代理发来的trap报文代理进程收到报文后采用的动作：第一步：依据AＳN．１基本编码规则解码，生成用内部数据结构表达的报文，假如在此过程中出现了错误导致解码失败,则丢弃报文第二步:取出报文中的版本号，假如与本代理进程支持的SNMP版本不一致，则丢弃该报文第三步：取出报文中的共同体名,发出请求的网络管理设立了报文中的共同体。假如共同体与本设备不符合,则丢弃报文,同时产生一个陷阱报文第四步：从验证的ASN.1对象中提出协议数据单元,失败就丢弃报文,对PDU进行解决后,将解决结果产生一个报文，并按照收到报文的源地址将该报文发送出去一个SＮMP报文公有三部分组成:公共SNMP首部、get/sｅｔ首部或trap首部、变量绑定、6.1.6ＳNMＰv2协议ＳNＭPv２支持分布式管理相对SＮＭＰｖ1而言,ＳNＭＰｖ2增长了安全性冒充、信息篡改、报文流的改变、报文内容的窃取６.1.7SNＭPv3协议ＳNMＰv３重要有3个模块:信息解决和控制模块、本地解决模块、用户安全模块。6.1.8SNMP协议的应用通常客户机实现ｍanager的功能服务器完毕aｇent的功能6.2RMONSＮＭP轮询机制的两个明显的弱点：SNMP轮询机制可扩展性差，在大型网络中，不断的轮询操作会生成大量的网络管理报文，从而占用大量网络带宽,导致网络拥塞现象ＳNＭP不支持分布式管理放式，而采用集中式管管理方式ＲMＯＮ具有以下功能(1)RMＯN可以通过提供有关通信流的有用信息，用来监视和管理睬话（2)RMＯＮ可以收集记录信息,从而分析通信行为的短期和长期趋势（3)ＲMＯＮ可以捕获数据分组在特定ＬAＮ段上进行数据过滤，并且允许网络管理控制台远程分析所有七层协议上的通信（4)RMOＮ可以记录得出使用带宽最多的用户和系统,并在超过特定阀值时发出的警报６.2．2ＲＭOＮ版本当前RMOＮ版本有二种:ＲMONv１和RＭOＮv２这两个版本重要区别在于：ＲMONV１目前普遍存在于使用广泛的网络硬件当中，为了服务于基本网络监控，RＭONv1定义了9个MＩB组,RMOＮｖ2是RＭONv1的扩展,专注于MAＣ层以上更高的协议层，重要关注IP层流量和应用层流量,而RＭONv1只用于监控ＭAＣ层及以下的数据包６．2．4RMON工作原理ＲMＯN是一个标准的监控规范,RMON监控系统由二部分组成:探测器和管理站ＲMON可以采用二种方法收集数据：通过专用的RMＯＮ探测器，但是只能看到流经的流量将RＭOＮ代理直接植入网络设备，使之成为带有ＲMON探测器功能的网络设备6.3热备份VＲRP虚拟路由器冗余协议(VRＲP）是一种网络容错协议,可以消除静态默认路由环境中所存在的缺陷使用VRＲP可以获得更高的默认途径的可用性，而无需在每个终端主机上配置动态路由或路由发现协议。在正常情况下,一个备份组中有且只有一台活动路由器负责与外界通信,可以有一个或多个备份路由器出于待命状态,组内优先级最高的备份路由器完毕信息转发为了保证VRRＰ的安全性，提供了二种安全认证机制,一种是明文认证,另一种是IＰ头认证6.3.2热备份路由协议HSRＰ假如一台路由器出现了不能工作的情况，它的功能必须被另一台备份路由器完全接管，直至出现问题的路由器回复正常。因而出现了热备份路由协议(HＳＲＰ)ＨSRP的特点：高度可靠性、有效负载均衡、不存在单点故障问题6.３.３HSＲP与VRRP的差别1）在安全性,VRRＰ允许在参与的VRRＰ组的设备之间建立认证机制。VRＲP涉及3种重要认证方式,分别是无认证、简朴明文密码和使用ＭD5的强认证。２)VRＲＰ允许虚拟路由器的IP地址采用其中一个物理路由器的IP地址,而HＳＲＰ需要单独配置ＩP地址作为虚拟路由器对外表现的IP地址，这个地址不能是组中的任何一个成员的接口地址３）VRＲP状态机比HSRP简朴。HSRP有初始状态、学习状态、监听状态、发言状态、备份状态、活动状态工6种状态和8个事件;而VＲＲP只有初始状态、主状态、备份状态3种状态和5个事件４）HSRP有３种报文，并且有3种状态可以发送这3种报文,分别是呼喊报文、告辞报文、和突变报文，而ＶRRP只有一种报文，即广播报文5）HSRP将报文承载在UDP报文上;而ＶRRP将报文承载在TCP报文上。第７章网络应用一、C/S模式的优点:1.集中式的管理2.性价比高3.系统可扩展性好4..抗劫难性能力好5.安全性好二、C/Ｓ模式的缺陷：1.管理仍然较为困难2.客户端的资源浪费３.系统兼容性较差三、B／S模式的工作过程:客户端通过web浏览器向weｂ服务器发出服务请求,web服务器调用业务解决器程序完毕业务逻辑的解决;在业务逻辑解决器中假如要对数据进行操作，则需要向数据库服务器发起数据解决请求;当业务逻辑解决完毕后，会将解决结果返回给ｗeb服务器,web服务器根据解决结果构建出展示页面，并将该页面传送给web浏览器,由web浏览器最终展示给用户。四、B/S结构的优点:系统访问灵活松耦合性系统的开发高效、简朴B/S模式的缺陷:展示能力较弱系统的解决性能较低系统的交互能力较差五、对等网络的作用:可以让人们通过互