软考网络工程师笔记

第0章计算机基础知识补充

计量单位

位(bit):最小数据单位

字节(Byte)8bit组成，存储空间的最小单位

存储:设计容量:1KB=1024B，1MB=1024KB

网络特指带宽，存取速度，比特率，传输速率等速率相关概念，1KB/S=1000B/S，1MB/S=1000KB/s

数据表示

数字	原码	反码	补码	移码
5	00000101	00000101	00000101	10000101
-5	10000101	11111010	11111011	01111011
0	00000000	00000000	00000000	10000000
-0	10000000	11111111	00000000	10000000

正数的原码、反码、补码相同

负数的反码是原码除符号位外取反，补码是反码加1

移码是反码最高位取反

原码和反码表示范围：-127 ~ +127 补码和移码表示范围：-128 ~ +127

中央处理器CPU

运算器：主要负责数据的加工和处理

部件名称	作用	特点
算术逻辑单元 (ALU)	执行算术运算（如加法、减法）和逻辑运算（如AND、OR、NOT）。	是CPU中执行大多数数学和逻辑操作的核心部件。
通用寄存器	暂存操作数或地址。	CPU对其访问速度最快，常用于存储临时数据或中间结果。
累加器 (ACC)	暂存运算结果。	常用于存储ALU操作的结果，是进行计算时最常用的寄存器之一。
数据缓冲寄存器	暂存从内存或输入/输出设备传输的数据。	作为数据传输的缓冲区，减少CPU与内存或I/O设备间的速度差异。
状态条件寄存器	指示最近一次操作的状态，如零标志、进位标志、溢出标志等。	用于控制程序流程，如条件分支和循环。

控制器：主要负责发出控制发号施令

部件名称	作用	特点
程序计数器（PC）	存储下一条要执行的指令的地址。	确保指令按顺序执行，分支或跳转时更新为非顺序地址。
指令寄存器（IR）	暂存当前正在执行的指令。	从主存储器中读取指令后，指令会先存储在IR中。
指令译码器（ID）	解析指令寄存器中的指令，并确定需要执行的操作。	识别操作码和地址码，生成控制信号以激活硬件部件。
控制单元（CU）	生成控制信号，协调CPU内部各部件的工作。	根据指令译码器的输出和程序的状态，生成控制信号。
地址寄存器（AR）	存储当前访问的内存地址。	在访问内存时，AR存储操作数的地址。
数据寄存器（DR）	暂存从内存中读取的数据或要写入内存的数据。	在数据传输过程中，DR作为一个缓冲区保存数据。

指令系统

由操作码（完成什么操作）和操作数（地址或数据）组成

寻址方式

寻址方式	描述
立即寻址	操作数直接给出，与指令一起编码。
直接寻址	指令中直接给出操作数的地址。
寄存器寻址	操作数存储在寄存器中，指令中给出寄存器的编号。
间接寻址	指令中给出寄存器的编号，寄存器中存储着操作数的地址，该地址在内存中。

指令集

CISC与RISC指令

特点 / 架构类型	CISC(复杂指令系统)	RISC(精简指令系统)
芯片设计	采用CISC技术的CPU,其芯片设计复杂度更高。	在RISC中,更适合采用硬布线逻辑执行指令。
指令数目	一般大于200条。	一般小于100条。
指令字长	不固定。	定长 (适合流水线)。
可访存指令	不加限制。	只有Load/Store
指令执行时间	相差较大。	绝大多数在一个周期内完成。
通用寄存器数量	较少。	多。
控制方式	大部分微程序控制器	大部分为组合逻辑控制。
指令流水线	可以通过一定方式实现。	必须实现

指令执行

eg:取指4t，分析2t，执行3t，一共600条
串行执行

描述：一条指令执行完后，才能执行下一条指令。
示例计算：（4+2+3）tx600=5400t

流水线执行

描述：一条指令的执行可以与下一条指令同时进行。
示例计算：
- （4+2+3）t*（600-1）x4=2405t
- 4tx600t+2t+3t=2405t

指令周期

概念	描述
指令寄存器（IR）	操作码和地址码都应存入指令寄存器中以分析执行的一条指令。
指令寄存器位数	取决于指令字长。
指令周期	取出并执行一条指令所需的时间。
总线周期	CPU从存储器或I/O接口存取一个字节所需的时间。
时钟周期	CPU处理动作的最小单位。
相互关系	- 一个指令周期可以划分为一个或多个总线周期。
	- 一个总线周期可以划分为几个时钟周期。

存储器系统

主存储器

组成

存储体：实际存储数据的部分。
控制线路：管理数据和地址的传输。
地址寄存器：用于存储内存地址。
数据寄存器：用于存储数据。
地址译码电路：将地址转换为存储体中的具体位置。
类型：
- DRAM：构成主存的主要技术，成本效益高。
- SRAM：速度更快，成本更高，常用于Cache。
分级存储体系：解决容量、成本和速度的矛盾。

特殊类型

EEPROM：电可擦除可编程只读存储器，适用于需要重写小数据量的应用。
SAN：专用网络连接存储管理子系统和存储设备，分为FC SAN和IP SAN，支持高速数据传输。
高级存储技术
**相联存储器 (CAM, Content Addressable Memory)**：可以根据内容而不是地址来检索数据的存储器，常用于高速查找操作。
**直接存储器访问 (DMA, Direct Memory Access)**：允许某些硬件子系统在不经过CPU的情况下直接访问主存，用于高效数据传输，实际由DMA硬件完成。
Spooling技术，即“假脱机技术”（Simultaneous Peripheral Operations On-Line），是一种在计算机系统中用于管理和优化低速设备（如打印机）与高速设备（如CPU）之间数据流的技术。这种技术的核心思想是使用一类物理设备（如磁盘）来模拟另一类物理设备（如打印机），以减少CPU的等待时间并提高系统的整体效率。

硬盘

磁盘调度：先进行移臂调度以移动读写头到正确的磁道，再进行旋转调度以等待数据到达读写头。
SSD 固态硬盘
分为两种类型：
- 主流的闪存（FLASH 芯片），提供快速读写能力。
- DRAM基于 SSD，适用于高吞吐量应用。

Cache

功能：加速CPU与存储系统间的数据传输，缓解冯诺依曼瓶颈。
性能依据：程序的局部性原理。
命中率与失效率：
- 访问命中率：h
- 平均周期时间：t3 = h * t1 + (1 - h) * t2
设计目标：在成本和性能之间找到平衡点，提高命中率。
自动化：映射交换过程由硬件自动完成。

RAID技术

提供不同的数据冗余和性能水平：
- RAID 0：无冗余，最高磁盘利用率。
- RAID 1：镜像，提供数据冗余。
- RAID 3：使用一个专用的奇偶校验盘。
- RAID 5：数据和校验信息分散在所有磁盘上。
- RAID 6：提供更高级别的数据冗余。
- RAID 10：结合了镜像和条带化，提供性能和冗余。
- RAID 01：结合了条带化和镜像，提供性能和冗余。

软件开发

软件开发模型

瀑布模型 (Waterfall Model)

将软件开发分为六个阶段：制定计划、需求分析、软件设计、程序编写、软件测试、运行维护。
适用于需求明确且变化不大的大型软件项目。

增量模型 (Incremental Model)

引入了增量包的概念，允许在需求完全明确之前就开始开发。
人员分配灵活，适用于可以分批次交付软件功能的项目。

喷泉模型 (Fountain Model)

强调迭代和并行开发，支持软件复用。
适用于需求不断变化且需要快速响应的项目。
快速原型模型 (Rapid Prototype Model)
快速构建一个工作模型，然后根据用户反馈定义需求，之后抛弃原模型并开发最终产品。
适用于需求不够明确的项目，通过迭代快速响应用户需求。

螺旋模型 (Spiral Model)

结合了瀑布模型的特点，并增加了风险分析。
适合大型且复杂的软件系统开发，尤其是在风险分析方面。

演化模型 (Evolutionary Model)

先构建一个初步的工作模型，然后根据需求逐步完善，而不是抛弃重来。
适用于需求不断演进和变化的情况。

V模型 (V-Model)

明确标注了软件开发过程中的不同测试阶段与开发阶段的对应关系。
强调测试活动与开发活动的并行性，适用于需要严格测试过程的项目。

智能模型 (Intelligent Model)

也称为“基于知识的软件开发模型”，结合了瀑布型和专家系统。
利用专家系统辅助软件开发，提高效率和质量。

软件开发方法

结构化软件开发方法

面向功能、面向数据流。
自顶向下、逐层分解，建立处理流程。
使用流程图来表示程序的结构和逻辑。

面向对象的软件开发方法

基于对象概念，以对象为中心。
使用类和继承为构造机制。
构建相应的软件系统。

基于构件化的软件开发方法

使用预先建立的构件和模板。
像搭积木一样进行构造开发软件。

面向数据结构的软件开发方法

从目标系统的输入、输出数据结构入手。
导出程序框架结构，再补充其它细节。
得到完整的程序结构图。

软件开发测试方法

白盒测试 (White-box Testing)

也称为结构测试或逻辑驱动测试。
在了解程序内部逻辑的基础上设计测试用例。
测试方法包括：
- 语句覆盖：确保每个语句至少执行一次。
- 分支覆盖：确保每个决策点的每个分支都至少被执行一次。
- 条件覆盖：确保每个条件的每个可能取值至少用一次。
- 路径覆盖：确保程序中每一条可能的路径都至少被执行一次。
目的是检测代码内部逻辑的错误。

黑盒测试 (Black-box Testing)

也称为数据驱动测试或功能测试。
在不了解程序内部逻辑的情况下，通过测试软件的功能来检验软件。
测试用例是基于软件需求和功能来设计的。
测试方法包括：
- 等价类划分：将输入数据划分为若干等价类，每个类中的数据作用相同。
- 边界值分析：针对输入数据的边界值进行测试。
- 错误猜测：基于经验和直觉选择测试用例。
目的是检测程序是否能正确处理各种输入和使用场景。

灰盒测试 (Grey-box Testing)

结合了白盒测试和黑盒测试的特点。
在对程序内部有一定了解但了解不完全的情况下进行测试。
测试者了解程序的一部分内部逻辑和结构，但不需要像白盒测试那样了解全部细节。

其他测试方法

单元测试：针对软件中最小可测试部分进行检查和验证。
集成测试：在单元测试之后，测试不同模块间接口和集成后的功能。
系统测试：测试完整的、集成的软件系统以验证系统符合规定的需求。
验收测试：最终用户确认软件是否满足他们的业务需求和是否可以接受。

计算机相关知识产权法律法规

知识产权

包括工业产权和著作权（版权）。

著作权归属

作者开发：著作权属于开发者。
职务开发：著作权由单位享有。
合作开发：由合作方共同享有，不能单独转让。
委托开发：按照合同约定，无约定时归受托人。
任务开发：按照合同约定，无约定时归受托人。

侵权行为

以盈利为目的的使用他人作品都叫侵权，反之则不构成侵权。

商业秘密权

包括经营秘密和技术秘密，是企业竞争力的核心。

专利权

需要通过申请获得。
遵循先申请原则，即先申请者先获得专利。

计算机软件保护

计算机软件受到著作权法保护。
未经许可复制或修改软件是侵权行为。

合理使用

著作权法规定了合理使用的范围，如个人学习、研究等。

开源协议

开源软件需遵守相应的开源协议，如MIT、GPL等。

知识产权保护期限

客体类型	权利类型	保护期限及备注
公民作品	署名权、修改权、保护作品完整权利	没有限制
公民作品	发表权、使用权和获得报酬权	作者一生及死后50年
单位作品	发表权、使用权和获得报酬权	50年
公民软件产品	署名权、修改权	没有限制
公民软件产品	发表权、复制权、发行权、出租权等	作者一生及死后50年，合作作品以最后死亡者为准
单位软件产品	发表权、复制权、发行权、出租权等	作者一生及死后50年，合作作品以最后死亡者为准
注册商标	注册商标	有限期10年，未转移可注销，期满后6个月内必须续注
发明专利权	发明专利权	20年（申请日开始计算）
实用新型和外观设计专利权	实用新型和外观设计专利权	10年（申请日开始计算）
商业机密	商业机密	不确定

第1章计算机网络概论

计算机网络概论

计算机网络定义：计算机网络是通过通信线路和通信设备连接的许多的分散独立工作的计算机系统，遵从一定的协议用软件实现资源共享的系统。
组成：分为硬件、软件、协议三部分。协议是计算机网络中进行数据交换而建立的规则、标准或约定的集合。
协议：
- 国际标准 OSI/RM 七层协议。
- 公认标准 TCP/IP 四层协议（或五层）。TCP/IP 协议簇，包括一系列常用协议。

计算机网络分类

计算机网络按分布范围分类：

**局域网 (LAN)**：通常覆盖较小的地理区域，如一个办公室或校园。
**城域网 (MAN)**：覆盖城市或地区级范围，比局域网大，但比广域网小。
**广域网 (WAN)**：覆盖广泛地区，甚至跨国或全球，如互联网。

特性	局域网 (LAN)	城域网 (MAN)	广域网 (WAN)
地理范围	室内、校园内部	建筑物之间、城区内	国内、国际
所有者/运营者	单位所有和运营	几个单位共有或政府	通信运营公司所有
互通和通信方式	共享介质、分组广播	共享介质、分组广播	共享介质、分组交换
数据速率	每秒几十兆位至几百兆位	每秒几兆位至几十兆位	每秒几十千位
误码率	最小	中	较大
拓扑结构	规则结构：总线型、星型和环形	规则结构：总线型、星型和环形	不规则的网状结构
主要应用	分布式数据处理、办公自动化	LAN互联、综合声音、视频和数据业务	远程数据传输

计算机网络按拓扑结构分类：

星型：中心节点连接所有其他节点，易于安装和管理。
环形：每个节点通过两个相邻节点的连接形成一个闭合的环路。
树型：分层结构，类似于树的分支。

其他分类：

公用网与专用网：公用网为公众提供服务，专用网限于特定组织或团体内部使用。
通信网ISP与信息网ICP：ISP提供互联网接入服务，ICP提供内容服务。
校园网与企业网：校园网服务于教育机构，企业网服务于商业组织。
骨干网与接入网：骨干网构成网络的主要高速传输通道，接入网连接终端用户到骨干网。
有线网与无线网：有线网通过物理电缆传输数据，无线网通过无线电波传输数据。

网络协议体系结构

OSI/RM（开放系统互联参考模型） 七层包括：

应用层：提供网络服务给最终用户的应用程序。
表示层：确保一个系统的应用层所发送的信息可以被另一个系统的应用层读取。
会话层：管理和控制两个通信系统之间的会话连接。
传输层：负责在网络中两个节点之间提供可靠的数据传输服务。
网络层：负责数据包从源到宿的传输和路由选择。
数据链路层：在相邻的网络设备之间提供数据传输。
物理层：负责在物理媒介上实现原始的比特流传输。

OSI层次编号	层次名称	封装单位	地址标识	主要功能
7	应用层	应用进程	进程号	应用层包含用户应用程序和协议。
6	表示层	应用进程	进程号	数据加密与压缩、语法表示与连接管理。
5	会话层	应用进程	进程号	会话链接的恢复与释放、对会话分段、同步等。
4	传输层	数据报文、数据段	端口号	提供端到端之间可靠透明的数据传输。分段与重组、应答、排序、差错控制及流量控制，保证数据传输正确完整。
3	网络层	数据包、数据分组	IP地址	路径选择，网络连接的多路复用、差错的检测与恢复、流量控制服务选择。
2	数据链路层	数据帧	MAC地址	不可靠信道->可靠信道。将比特组织成帧，链路上提供差错控制和流量控制。
1	物理层	比特流	bit流	提供物理通路、二进制数据比特流传输、定义机械/电气特性接口。

TCP/IP（因特网传输控制协议/网际协议） 四层包括：

应用层：网络服务的最终用户界面，如HTTP、FTP等。
传输层：确保数据的完整性和可靠性，如TCP和UDP。
互联网层：负责数据包从源到宿的传输，使用IP进行路由选择。
网络接口层：负责在网络介质上实现数据的物理传输。

注：TCP/IP模型有时也细分为五层，将网络接口层进一步分为：

物理层：定义了物理媒介和电气信号的规范。
数据链路层：确保物理层传输的数据无误，如以太网。

层次	名称	封装单位	地址标识	主要功能	主要协议
5	应用层	消息、数据	URL、域名、端口号	为应用软件提供网络服务和接口	HTTP, FTP, SMTP, DNS, SSH, Telnet, IMAP, POP
4	传输层	数据报文、数据段	端口号	提供端到端的通信和数据传输服务	TCP, UDP
3	网络层	数据包、数据分组	IP地址	负责数据包的路由和转发	IP, ICMP, ARP, IGMP, OSPF, BGP
2	数据链路层	帧	MAC地址	在相邻网络设备间传输帧，错误检测与纠正	Ethernet II, PPP, SLIP, ARP
1	物理层	比特流	物理地址	定义物理媒介和电气信号规范，实现比特流传输	Ethernet, Wi-Fi, DSL, Cable, Token Ring

计算机网络传输过程

网络数据传输过程：数据封装与解封装

第2章数据通信基础

基本概念

通信的目的是传递信息，发送信息的叫做信源，接收信息的叫做信宿，中间的通信线路叫做信道，信道受到的干扰称为噪声。

信号分为模拟信号和数字信号

模拟信号是连续的
数字信号是离散的

信道特性

信道带宽

模拟信道带宽
信道带宽$W = f2 - f1$，其中$f1$是低频，$f2$是高频。物理介质一旦确定，带宽通常就固定了。
数字信道带宽

尼奎斯特定理

公式：
- 最大码元速率：$B = 2W$，其中$B$为码元速率，单位为波特（Baud）；$W$为信道带宽，单位为赫兹（Hz）。
- 极限数据速率：$R = B\log_{2}N = 2W\log_{2}N$，单位为比特/秒（b/s）。
解释：
- 尼奎斯特定理指出理想低通信道下的最高码元传输速率是信道带宽的 2 倍。
- 码元速率即每秒发送包裹个数，它表示单位时间内通过信道传输的码元个数。
- 数据速率即每秒发送包裹重量，极限数据速率与码元速率和码元的离散值个数$N$有关。这里$N$表示不同的码元状态数，例如在二进制中，$N = 2$，表示有两种不同的码元状态（0 和 1）。极限数据速率是在给定信道带宽和码元离散值个数的情况下，信道能够传输的最大数据速率。

香农定理

公式：$C = W\log_{2}(1 + S/N)$，其中$C$为信道容量，单位为比特/秒（b/s）；$W$为信道带宽，单位为赫兹（Hz）；$S$为信号功率，$N$为噪声功率，$S/N$为信噪比。
解释：
- 香农定理给出了在有噪声的信道中，信道容量与信道带宽、信噪比之间的关系。
- 信道容量表示在特定信道条件下能够可靠传输的最大数据速率。
- 信噪比是信号功率与噪声功率的比值，通常用分贝（dB）表示，即$dB=10\log_{10}(S/N)$。

信道延迟

总延时构成
总延时 = 线路延迟 + 发送延迟。

线路延迟
线路延迟取决于传输距离和传输速度，计算公式为线路延迟 = 传输距离/传输速度，例如 1000 米电缆，延时为 5us（假设电缆中传播速度一般为光速的 67%，即 200m/us）。

发送延迟
发送延迟与数据帧大小和速率有关，计算公式为发送延迟 = 数据帧大小/速率，例如在 100M 线路上发送 1000 字节数据，延时为 80us（$1000 * 8 /(100 * 10^{6}) = 8 * 10^{-5}s = 80us$）。

卫星信道时延
卫星信道的时延大约 270ms（来回双向的延迟 540ms）。

通信传输介质

有线介质：

同轴电缆：分粗、细，传送距离长且信号稳定，用于电视监视、音响设备传音频。
双绞线：缠绕降干扰，100Mbps 用 4 根，1000Mbps 用 8 根。网口 RJ45，电话口 RJ11。5 类线 100M，超 5/6 类线 1000M，7 类线 10G。
光纤：利用光全反射传导，损耗低，适合长距离信息传递。
- 单模光纤：尺寸与光波长可比，5 - 10um，一种模式传播，带宽极宽，适用于大容量长距离通信（贵）。
- 多模光纤：尺寸远大于光波波长，50um、62.5um，多种模式传播，用于小容量短距离通信（便宜）。

无线介质：

无线电波：500kHz - 1000MHz，能量小、波长长、频率低，用于广电和无线通信。
微波：300MHz - 300GHz，波长低、频率高、能量大，用于雷达、飞机导航。

数据编码

看波解码

极性编码

极性码：1低电平，0高电平
单极性编码：1高电平，0无电平
双极性编码：0电平表示0，1则在正负之间交替翻转，1跳0不跳

曼彻斯特编码

差分曼彻斯特编码

曼彻斯特编码特点总结

曼彻斯特编码和差分曼彻斯特编码是典型的双相码，特点如下：

要求每一位都有一个电平转换，一高一低，必须翻转。
具有自定时和检测错误的功能。
将时钟和数据包含在信号数据流中，也称自同步码。
编码效率低，编码效率都是 50%。数据速率是码元速率的一半，当数据传输速率为 100Mbps 时，码元速率为 200M baud。

编码效率

编码类型	编码效率	应用场景
曼彻斯特编码	50%	以太网
4B/5B 编码	80%	百兆以太网
8B/10B 编码	80%	千兆以太网
64B/66B 编码	97%	万兆以太网

数字调制技术

数字信号转模拟信号

数字调制方式	描述	特征
幅度键控（ASK）	用载波的两个不同振幅表示 0 和 1。	0没有振幅
频移键控（FSK）	用载波的两个不同频率表示 0 和 1。	有疏密
相移键控（PSK）	用载波的起始相位的变化表示 0 和 1。	像屁股
正交幅度调制（QAM）	把两个幅度相同但相位差 90°的模拟信号合成一个模拟信号。	/

码元只取两个相位值叫2相调制，码元可取4个相位叫4相调制，则N=2,N=4。DPSK是2相调制, N=2,QPSK是4相调制, N=4。

脉冲编码调制（PCM）

模拟信号转数字信号
PCM 数字化过程包含三个步骤：采样、量化和编码。

一、采样
按照一定的时间间隔对模拟信号进行取样，把模拟信号的当前值作为样本。依据奈奎斯特采样定理，如果模拟信号的最高频率为$f_{max}$，若以大于等于$2f_{max}$的采样频率对其进行采样，则采样得到的离散信号序列就能完整地恢复出原始信号。公式为$f=\frac{1}{T}\geq2f_{max}$，其中$f$是采样频率，$T$是采样周期。

二、量化
把取样后得到的样本由连续值转换为离散值，离散值的个数决定了量化的精度。

三、编码
把量化后的样本值变成相应的二进制代码。

数据通信方式

按通信方向分

单工通信：信息只能在一个方向传送，发送方不能接收，接收方不能发送（如电视、广播）。
半双工通信：通信的双方可以交替发送和接收信息，但不能同时接收或发送（如对讲机、Wi-Fi）。
全双工通信：通信双方可同时进行双向的信息传送（如电话、交换机）。

按同步方式分

异步传输：把各个字符分开传输，在字符之间插入同步信息，典型的是插入起始位和停止位。HDLC 是典型的异步传输，起始标志位和结束标志位都是“01111110”。异步传输实现简单，但引入起止位影响传输效率，速率不会太高。
同步传输：发送方在传送数据之前，先发送一串同步字符 SYNC，接收方检测到 2 个以上 SYNC 字符就确认已经进入同步状态，开始准备接收数据。同步传输效率更高，在短距离高速数据传输中大多采用。

数据交换方式

电路交换

概念：将数据传输分为电路建立、数据传输和电路拆除三个过程。在数据传送之前需建立一条物理通路，在线路被释放之前，该通路将一直被用户完全占有。
优点：独占性、实时性，适合传输大量的数据。
缺点：需建立一条物理连接，利用率低。代表为早期的电话系统。

报文交换

概念：报文从发送方传送到接收方采用存储转发的方式。报文中含有每一个下一跳节点，完整的报文在一个个节点间传送（数据不拆分）。
优点：不需要专用通道，线路利用率高，存储转发节点可校验纠错。
缺点：有通信时延。比如物流包裹。

分组交换

概念：将数据拆分成很小的分组进行传送，包括数据报和虚电路两种方式。
优点：利用率更高、可选路径、数据率转换、支持优先级。
缺点：时延、开销大。比如邮局寄信。
- 数据报：单向传送、无连接的。如普通信。每个分组被独立地处理，每个节点根据路由选择算法，被独立送到目的，路径和到达目的顺序都可能不一样。
- 虚电路：交互式、逻辑链接。如挂号信。在数据传送之前，先建立起一条逻辑上的连接，每个分组都沿着一条路径传输，不会乱序。

多路复用技术

复用技术	概念	例子
频分复用（FDM）	利用不同的频率区分不同的信号，子信道通过隔离频带防串扰	CATV、WIFI
时分复用（TDM）	不同的信号在不同的时间轮流占用信道，分为同步时分（如 T1、E1）和统计时分（如 ATM）	手枪、手机、T1、E1、ATM
波分复用（WDM）	利用不同的波长区分不同的信号	光纤

E1和T1

T1 标准（美国和日本）

每路电话 64k。
计算公式：T1 = 64k * 24 + 开销与间隔 = 1.544Mbps。

E1 标准（欧洲）

每路电话 64k，传 30 路电话，2 路开销。
计算公式：E1 = 64 * 30 + 64k * 2 = 2.048Mbps。
ITU-T 标准 E1 信道数据速率是 2.048Mbps，把 32 个 8 位一组的数据样本组装成 125us 的基本帧，其中 30 个子信道用于语音传送，2 个子信道（CH0 和 CH16）用于控制信令。

同步数字序列

光纤级	STS 级	链路速 Mbps	有效载荷 Mbps	负载 Mbps	SDH 对应	常用近似值
OC-1	STS-1	51.840	50.112	1.728
OC-3	STS-3	155.520	150.336	5.184	STM-1	155Mbps
OC-9	STS-9	466.560	451.008	15.552	STM-3
OC-12	STS-12	622.080	601.344	20.736	STM-4	622Mbps
OC-18	STS-18	933.120	902.016	31.104	STM-6
OC-24	STS-24	1244.160	1202.688	41.472	STM-8
OC-36	STS-36	1866.240	1804.032	62.208	STM-13
OC-48	STS-48	2488.320	2405.376	82.944	STM-16	2.5Gbps
OC-96	STS-96	4976.640	4810.752	165.888	STM-32
OC-192	STS-192	9953.280	9621.504	331.776	STM-64	10Gbps

差错控制

奇偶校验

奇偶校验是一种简单的错误检测方法，它通过确保数据中1的个数为奇数（奇校验）或偶数（偶校验）来工作。

原理
- 奇校验：数据位加上一个校验位，使得总的1的个数为奇数。
- 偶校验：数据位加上一个校验位，使得总的1的个数为偶数。
优点
- 实现简单，成本低。
缺点
- 只能检测奇数个错误，不能纠正错误。
- 对偶数个错误无能为力。

CRC循环冗余校验

末尾加入 CRC 循环冗余校验码能检错不能纠错，广泛用于网络通信和磁盘存储。

计算方法：
例如，信息码为 10111，生成多项式为 G(X)=X⁴+X+1，计算 CRC 校验码。

判断校验位数：生成多项式的最高次方是几，校验位就是几位。这里生成多项式最高次方是 4，所以有 4 位校验位。
补齐数据位后面的 0：10111 0000。
提取生成多项式的系数：G(X)=X⁴+X+1 = 1X⁴+0X³+0X²+1X¹+1*X⁰ = 10011。
用第二步的结果，除以第三步的结果（不借位，相当于异或运算）：余数就是 CRC 校验码，余数不够位，前面补 0。

海明码校验

通过添加额外的校验位（海明位），使得每个海明位能够覆盖特定的数据位，能够纠正一位错误。
海明码数据位和校验位的数量关系

$2^r\geq k + r + 1$

其中，$r$表示校验位的数量，$k$表示数据位的数量。

确定校验位个数的方法(海明不等式)

首先确定数据位的数量$k$。
然后根据上述公式，通过试错法或者逐步增加校验位的数量$r$，直到满足公式为止。
例如，如果有$4$个数据位，设校验位数量为$r$，则有$2^r\geq 4 + r + 1$。
- 当$r = 1$时，$2^1 = 2$，$4 + 1 + 1 = 6$，不满足公式。
- 当$r = 2$时，$2^2 = 4$，$4 + 2 + 1 = 7$，不满足公式。
- 当$r = 3$时，$2^3 = 8$，$4 + 3 + 1 = 8$，满足公式。
- 所以，对于$4$个数据位，需要$3$个校验位。

海明距离 ( 码距 ) ：一个码字要变成另一个码字时必须改变的最小位数。两个码字之间不同的比特数。

例如：0101->0000：改变2位，则海明距离为2
编码方法
假设传送信息1001011 ,第2^{i}(i=0,1,2,3 \dotsc )位是校验位，其余位存放数据。
则把数据放在3 , 5 , 6 , 7 , 9 , 10 , 11位置,1,2 , 4 , 8留作校验位。

第3章广域网

公共交换电话网PSTN

公共交换电话网（PSTN）是专为语音通信而建立的网络，自20世纪60年代起也被用于数据传输。

电话网由以下部分组成：
- 本地回路
- 干线
- 交换机
干线和交换机通常使用数字传输和交换技术，而本地回路主要采用模拟线路。
电话线联网时，发送端通过调制解调器将数字信号转换为模拟信号，接收端再将模拟信号转换回数字信号。
- 发送端：数字信号 → 模拟信号
- 接收端：模拟信号 → 数字信号

机械特性
RS-232-C没有正式规定连机器的标准，只有在其附录中建议使用25针的D型连接器，也有很多使用其他连接器，特别是在微型机RS-232-C串行接口上，大多使用9针连接器。

电气特性
RS-232-C采用的V.28标准电路，速率20kb/s，最长15米。
信号源产生3-15V的信号

公共数据网X.25

流量控制
- 停止等待协议：发送方必须等待接收方的确认才能发送下一帧。
- 滑动窗口协议：允许连续发送多个帧而无需等待确认。
差错控制
- ARQ协议：停止等待+超时重传
- 选择性重发ARQ：重传特定的某一帧 $W_{发}=W_{收}\leq2^{k - 1}$, 确认机制为SREJ（Selective Reject）
- 后退N帧ARQ：允许发送方重传最后N帧 $W_{发}=W_{收}\leq2^{k}-1$, 确认机制为REJ（Reject）

帧中继网Frame Relay

帧中继（Frame Relay, FR）是一种在数据链路层工作的通信协议，它通过建立虚拟电路来实现数据的分组交换。它具有以下特点：

虚电路服务：在网络的第二层提供虚拟电路服务。
本地标识：使用数据链路连接标识符（DLCI）进行本地标识。
面向连接：提供面向连接的服务，确保数据传输的连续性。
透明传输：支持基于分组的透明传输。
错误检测与拥塞控制：仅进行错误检测和拥塞控制，不包括流量控制和重传机制，因此网络开销较小。
带宽灵活性：能够根据需求动态调整带宽，适应突发数据传输。
速率控制：通过承诺信息速率（CIR）和扩展信息速率（EIR）来控制数据传输速率。
可变帧长：支持可变长度的帧，最大可达1600-4096字节，能够承载多种局域网数据帧。
高传输速率：支持高达2-45Mbps的传输速率。
延迟敏感性：由于不提供重传机制，不适合对延迟敏感的应用，如实时语音和视频通信。
数据丢失：数据丢失的风险取决于运营商对虚电路的配置。
可靠性：不保证数据的可靠提交。

总的来说，帧中继是一种高效、灵活的网络协议，适用于需要快速数据传输和带宽动态调整的场景，但不适用于对数据传输可靠性和延迟有严格要求的应用。

ISDN和ATM

ISDN， Integrated Services Digital Network，综合数字业务网，目的是以数字系统代替模拟电话系统，把音频、视频、数据业务放在一个网上统一传输。

分为窄带ISDN和宽带ISDN
- 窄带ISDN提供两种用户接口
  - 基本速率 | BRI = 2B+D = 144 kbps
  - 基群速率 | PRI = 30B+D = 2.048 Mbps
宽带ISDN，即ATM，异步传输模式（Asynchronous Transfer Mode）
- ATM是信元交换，信元为53字节固定长度。
- ATM依然是以虚链路提供面向连接的服务。
- ATM典型速率为150 Mbps。

HDLC

HDLC 是一种面向位（比特）的同步链路控制协议。

通常使用 CRC-16、CRC-32 校验，帧边界 01111110

记忆符	名称	S1字段	S0字段	功能
RR	接收准备好	0	0	确认，且准备接受下一帧，已收妥N(R)以前的各帧
RNR	接收未准备好	1	0	确认，暂停接收下一帧，N(R)含义同上
REJ	拒绝接收	0	1	否认，否认N(R)起的各帧，但N(R)以前的帧已收妥
SREJ	选择拒绝接收	1	1	否认，只否认序号为N(R)的帧

第4章局域网和城域网

局域网和城域网体系架构IEEE 802

重点：802.3(CSMA/CD)、802.11(无线局域网)、802.16(无线城域网)

IEEE802.3的核心算法：CSMA/CD
IEEE802.11的核心算法：CSMA/CA

CSMA/CD协议

CSMA/CD(Carrier Sense Multiple Access with Collision Detection)
协议是一种用于局域网通信的协议，它是一种载波监听多路访问/冲突检测的协议。
CSMA基本原理：发送数据之前，先监听信道上是否有人在发送。若有，说明信道正忙，否则说明信道是空闲的，然后根据预定的策略决定：

若信道空闲，是否立即发送。
若信道忙，是否继续监听。
如果连续发生16次碰撞后，认为网络繁忙或故障，不再尝试发送。

三种监听算法

类型	描述
非坚持型监听算法	后退随机时间，由于随机时延后退从而减少冲突概率，但会使信道闲置一段时间，降低信道利用率且增加发送时延。
1-坚持型监听算法	继续监听不等待，有利于抢占信道减少信道空闲时间，但多个站同时监听信道时必然发生冲突，冲突概率和利用率都高。
P-坚持型监听算法	若信道空闲，以概率 P 发送，以概率(1 - P)延迟一个时间单位，P 大小可调整。

冲突处理机制

检测到发生冲突后，立即停止发送，并发送干扰信号（Jamming）使所有站都停止发送，等待随机长的一段时间后重新监听，再尝试发送

二进制指数退避算法

检测到冲突后停止发送数据，等待随机时间再发送。
等待时间 = τ * Random[0,1,…,2^(k)-1]，τ是基本退避时间，k = min[重传次数,10]，重传 16 次后若还不能正常发送，认为网络拥塞或故障不再尝试重传。例如重传 12 次，k = min[12,10]=10，等待时间为 τ*Random[0,1023]，重传次数越多退避窗口越大以降低冲突概率。若连续发生 16 次碰撞，认为网络繁忙或故障不再尝试发送。

最小帧长计算

最小帧长公式为：$L_{min}=2R×d/v$，其中$R$为网络数据速率，$d$为最大距离，$v$为传播速度。
不冲突条件为：发送时间≥传送时间+确认时间，即$L/R≥2×d/v$，由此可推出最小帧长公式。

以太网帧

帧格式

前面 7+1 字节用于时钟同步，不计入帧长。
数据为 46 - 1500 字节，若不够至少填充到 46 字节。
校验位 4 字节，采用 CRC 循环冗余校验 32 位。
最小帧长 64 字节，由 6+6+2+46+4 得出。
最大帧长 1518 字节，由 6+6+2+1500+4 得出。

以太网报文封装

快速以太网802.3u(100M)

属性	传输介质	特性阻抗	传输距离
100Base-TX (4B5B)	两对5类UTP	100Ω	100m
100Base-TX (4B5B)	两对STP	150Ω	100m
100Base-FX	一对多模光纤MMF	62.5/125μm	2km
100Base-FX	一对单模光纤SMF	8/125μm	40km
100Base-T4	四对3类UTP	100Ω	100m
100Base-T2	两对3类UTP	100Ω	100m

传输距离L>S>T>C

千兆以太网802.3z,802.3ab(1000M)

以下是您提供的信息，整理成Markdown格式的表格：

标准	名称	传输介质	传输距离	特点
	1000Base-SX	光纤(短波770~860nm)	550m	多模光纤(50,62.5um)
IEEE 802.3z	1000Base-LX	光纤(长波1270~1355nm)	5000m	单模(10um)或多模光纤(50,62.5um)
IEEE 802.3z	1000Base-CX	两对STP	25m	屏蔽双绞线, 同一房间内的设备之间
IEEE802.3ab	1000Base-T	四对UTP	100m	5类非屏蔽双绞线, 8B/10B编码

万兆以太网802.3ae(10G)

名称	传输介质	传输距离	特点
10GBase-S(Short)	50um多模光纤	300m	850nm串行
10GBase-S(Short)	62.5um多模光纤	65m	850nm串行
10GBase-L(Long)	单模光纤	10km	1310nm串行
10GBase-E(Extended)	单模光纤	40km	1550nm串行
10GBase-LX4	单模光纤	10km	1310nm 4*2.5Gbps 波分多路复用(WDM)
10GBase-LX4	50um多模光纤	300m	1310nm 4*2.5Gbps 波分多路复用(WDM)
10GBase-LX4	62.5um多模光纤	300m	1310nm 4*2.5Gbps 波分多路复用(WDM)

虚拟局域网VLAN

冲突域
- 冲突域是指连接在同一共享介质上的所有节点的集合，冲突域内所有节点竞争同一带宽，一个节点发出的报文(无论是单播、组播、广播)，其余节点都可以收到。
广播域
- 广播报文所能到达的整个访问范围称为二层广播域，简称广播域，同一广播域内的主机都能收到广播报文。

中继器、网桥和集线器是一个冲突域
交换机的一个接口是一个冲突域
一个VLAN是一个广播域
路由器可以隔离广播域

虚拟局域网（Virtual Local Area Network, VLAN ）根据管理功能、组织机构或应用类型对交换局域网进行分段而形成的逻辑网络。
- 不同 VLAN 通信必须经过三层设备：路由器、三层交换机、防火墙等。
- 虚拟局域网工作站可以不属于同一物理网段，任何交换端口都可以分配给某个 VLAN，属于同一 VLAN 的所有端口构成一个广播域。

交换机VLAN划分

静态划分VLAN:基于交换机端口
动态划分VLAN:基于MAC地址、基于策略、基于网络层协议、基于网络层地址

VLAN划分配置

静态划分VLAN

手动配置交换机接口加入特定VLAN

配置示例：

[Huawei] vlan 10 // 创建VLAN 10
[Huawei-vlan10] quit // 退出
[Huawei] interface GigabitEthernet0/0/1 // 进入接口
[Huawei-GigabitEthernet0/0/1] port link-type access // 设置接口为access类型
[Huawei-GigabitEthernet0/0/1] port default vlan 10 // 将接口加入VLAN 10

动态划分VLAN

根据MAC地址、网络层地址、网络层协议、IP广播域或管理策略自动划分

基于MAC地址划分

配置示例：

1 2	`[Huawei] vlan 20 // 创建VLAN 20 [Huawei-vlan20] mac-vlan mac-address 5489-98FC-5825 // 将指定MAC地址终端加入VLAN 20`

基于策略划分

配置示例：

1
2
3

[Huawei] vlan 20 // 创建VLAN 20
[Huawei-vlan20] policy-vlan mac-address 0-1-1 ip 10.1.1.1 priority 7
// 基于策略划分VLAN，将指定MAC地址和IP地址的主机加入VLAN 20，并设置802.1p优先级为7

VLAN作用

控制网络流量：隔离广播域，减少冲突，提升带宽利用率。
提高安全性：限制不同VLAN间通信，增强网络保护。
灵活管理：按功能划分工作组，支持移动办公。

VLAN标签

802.1Q标签字段
- PRI (3位): 优先级 (Priority)
  - 提供0~7共8个优先级
  - 多个帧等待发送时，按优先级顺序发送数据包
- VID (12位): VLAN标识符
  - 最多表示4096个VLAN
  - VID 0用于识别优先级
  - VID 4095保留未用
  - 最多可配置4094个VLAN
  - 默认管理VLAN是1，不能删除
交换机处理
- 添加和删除VLAN标签由专用硬件自动实现
- 处理速度快，不会引入太大延迟
用户视角
- 数据源产生标准的以太帧
- 目标接收的也是标准的以太帧
- VLAN标记对用户是透明的

交换机端口类型

Access接口
- 只能传送单个VLAN数据
- 一般用于连接PC/摄像头等终端
Trunk接口
- 能传送多个VLAN数据
- 一般用于交换机之间互联
Hybrid接口
- 混合接口，包含Access和Trunk属性
QinQ
- 双层标签
- 一般用于运营商城域网

生成树协议

背景

当以太网中的设备或链路出现故障时，我们希望网络不至于中断。这往往需要在构建以太网时就增加好冗余链路，使得网络中任意两个站点可以通过两条甚至多条路径连通。
在冗余链路提高了网络可靠性的同时，也会产生网络环路。
网络环路会带来以下问题:
- 广播风暴
- 主机收到重复的广播帧
- 交换机的帧交换表震荡(漂移)

作用

生成树协议 (Spanning Tree Protocol) 能够在网络中存在二层环路时，通过逻辑阻塞(Block)特定端口，从而打破环路，并且在网络出现拓扑变更时及时收敛，保障网络冗余性。

特点

不论交换机之间采用怎样的物理连接，交换机都能够自动计算并构建一个逻辑上没有环路的网络，其逻辑拓扑结构必须是树型的（无逻辑环路）。
最终生成的树型逻辑拓扑要确保连通整个网络的每一个部分。
当首次连接交换机或网络物理拓扑发生变化时（有可能是人为改变或故障），交换机都将进行生成树的重新计算。

生成树算法

带宽	802.1t	802.1d
10M	2,000,000	100
100M	200,000	19
1000M	20,000	4
10G	2,000	2

算法步骤

选举根交换机：网桥ID最小者
选举根端口（对于非根交换机而言）
- 端口到根交换机的路径开销最小
- 对端网桥ID最小
- 对端端口ID最小
选举指定端口并阻塞备用端口
- 根交换机的所有端口都是根端口
- 根端口的对端端口一定是指定端口
- 转发端口到根交换机的路径成本最小
- 本端的网桥ID最小

城域网MAN

城域网 (MAN,Metropolitan Area Network)
- 覆盖城市或城镇区域的计算机网络
- 连接多个局域网 (LAN) 和广域网 (WAN)
- 提供比局域网更广的覆盖范围，但比广域网更小
QinQ 技术
- 802.1ad 或 Stacked VLAN
- 允许在一个 VLAN 标签内嵌套另一个 VLAN 标签
- 用于服务提供商网络中区分不同客户的流量
- 在城域网中实现不同服务类型的逻辑隔离
E-LAN 技术
- 802.1Q 的 VLAN 帧标记
- 双层标记，打了两层 VLAN 标签
- 定义为 IEEE802.1ad，也称为 QinQ 技术
QinQ 实现
- 用户 VLAN 嵌套在运营商城域以太网 VLAN 中传送
IEEE802.1ah (PBB)
- 也称为 MAC-IN-MAC 技术，允许在以太网帧中嵌套另一个以太网帧。这种技术主要用于服务提供商的网络中，以实现更高效的网络管理和服务隔离。MAC-in-MAC 是 IEEE 802.1ah 标准的一部分，也被称为 Provider Backbone Bridge (PBB)。

1、什么是城域网？城域网比局域网传输距离远，能够覆盖整个城市。能够提供分组传输的数据、语音和视频等多媒体业务。更大的传输容量，更高的传输效率。
2、<mark>城域以太网：①以太网专用线、②以太网虚拟专线、③以太局域网服务（E-LAN）最看好 </mark>
3、无线城域网标准：WiMAX(802.16d固定、802.16e移动)、WiMAXII(802.16m4G)
<mark>Q-in-Q:运营商网桥协议(PBP)IEEE802.1ad(基于技术是在以太帧中插入运营商VLAN标记字段)。MAC-in-MAC:运营商主干网桥(PBB)IEEE802.1ah </mark>
在这里插入图片描述

第5章无线通信网

无线移动通信制式标准

3G标准

**W-CDMA (Wideband Code Division Multiple Access)**：频分双工
**CDMA-2000 (Code Division Multiple Access 2000)**：频分双工
**TD-SCDMA (Time Division Synchronous Code Division Multiple Access)**：时分双工，中国特有
**WiMAX (Worldwide Interoperability for Microwave Access)**：IEEE 802.16d固定
**WiMAX (Worldwide Interoperability for Microwave Access)**：IEEE 802.16e移动

4G标准

**UMB (Ultra Mobile Broadband)**：超移动宽带 (不使用)
**LTE Advanced (Long Term Evolution Advanced)**：长期演进技术
**WiMAX II (Worldwide Interoperability for Microwave Access II)**：全球微波互联接入, IEEE 802.16m

5G标准

**5G NR (New Radio)**：5G的核心技术，定义了5G的无线接口和信号处理方式
**NSA (Non-Standalone)**：非独立组网，5G NR依赖于现有的4G LTE网络基础设施
**SA (Standalone)**：独立组网，5G NR完全独立于4G LTE网络，提供完整的5G功能
**DSS (Dynamic Spectrum Sharing)**：动态频谱共享，允许在同一频段上同时支持4G和5G服务
**mmWave (Millimeter Wave)**：毫米波，使用高频段（如30GHz至300GHz）的频谱，以实现极高的数据传输速率

WLAN无线局域网

无线网的三种通信技术

红外线
扩展频谱
- 将信号散布到更宽的带宽上以减少发送阻塞和干扰的几率，
- 用伪随机序列对代表数据的模拟信号进行调制
- 扩频跳频技术有利于保密通信
窄带微波

WLAN主要使用扩展频谱技术：频率跳动扩频FHSS（蓝牙）和直接序列扩展频谱DSSS（WiFi）
三类WLAN网络

基础无线网络：由固定的无线接入点构成，设备通过这些接入点连接到网络。
Ad Hoc网络：一种临时的对等网络，设备之间直接通信，没有固定的接入点，适用于军队自组网络、临时会议、临时业务等。。
分布式无线系统：多个接入点组成的网络，提供更广的覆盖范围和无缝漫游体验，通过多个AC控制多个AP。

WLAN频谱与信道

ISM频段,美国联邦通讯委员会FCC定义，无授权限制

工业频段：902-928MHz
科学频段：2.4-2.4835GHz
医疗频段：5.725-5.875GHz
2.4G频段
-13个信道，相邻信道相差5MHz,3个不重叠信道：1，6，11，不重叠信道间隔5个信道
5G+5.8G频段
-5个不重叠信道

802.11

802.11技术标准对比

特性	802.11	802.11b	802.11a	802.11g	802.11n	802.11ac	802.11ax
标准发布时间	1997	1999	1999	2003	2009	2012	2018
频率范围	2.4GHz	2.4GHz	5GHz	2.4GHz	2.4GHz & 5GHz	5GHz	2.4GHz & 5GHz
非重叠信道	3	3	5	3	3+5	5	3+5
调制技术	FHSS/DSSS	CCK/DSSS	OFDM	CCK/OFDM	OFDM	OFDM	OFDMA
最高速率	2M	11M	54M	54M	600M	6900M	9600M
实际吞吐	200K	5M	22M	22M	100+M	900M	1G以上
兼容性	N/A	与11g产品可互通	与11b/g不能互通	与11b产品可互通	向下兼容802.11a/b/g	向下兼容802.11a/n	向下兼容802.11a/n

Wi-Fi标准的工作频段

2.4GHz: 802.11、802.11b和802.11g
5GHz：802.11a和802.11ac
2.4GHz+5GHz：802.11n和802.11ax。
不同802.11标准的最大速率
802.11n最大支持600Mbps，商用产品大多支持到300Mbps
802.11ax速率可达9600Mbps

802.11MAC层访问控制机制

CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance)
- 分布式协调功能
- 大家争用访问（有竞争）
RTS/CTS (Request to Send/Clear to Send)
- 信道预约机制
- 要发送先打报告，其他终端记录信道占用时间
PCF (Point Coordination Function)
- 点协调功能
- 由 AP 集中轮询所有终端
- 将发送权限轮流交给各个终端，类似令牌（无竞争）
  以下是为您优化后的 Markdown 格式内容：

802.11 标准定义的帧间间隔（IFS）

IFS (Interframe Space)
- 最长的 IFS。
- 优先级最低。
- 用于异步帧竞争访问时延。
PIFS (Point Coordination Interframe Space)
- 中等长度的 IFS。
- 优先级居中。
- 在 PCF（点协调功能）操作中使用。
SIFS (Short Interframe Space)
- 最短的 IFS。
- 优先级最高。
- 用于需要立即响应的操作，如确认 ACK（Acknowledgment）。

移动AD Hoc网络

802.11定义AD Hoc网络是由无线移动节点组成的对等网，无需网络基础设施的支持，每个节点既是主机 , 又是路由器 , 是一种MANNET(Mobile Ad Hoc Network)网络。

MANET 网络特点

网络拓扑结构动态变化，不能使用传统路由协议，使用的是DSDV ( Destination- sequenced Distance Vector ) 路由协议
无线信道提供的带宽较小，信号衰落和噪声干扰的影响却很大。
无线终端携带的电源能量有限。
容易招致网络窃听、欺骗、拒绝服务等恶意攻击的威胁。

WLAN安全机制

SSID 访问控制
- 隐藏 SSID，使未授权用户无法搜索到网络。
物理地址过滤
- 在无线路由器上设置 MAC 地址的黑白名单，控制设备访问权限。
WEP 认证和加密
- 认证：PSK 预共享密钥认证。
- 加密：使用 RC4 加密算法。
WPA (802.11i 草案)
- 认证：采用 802.1x 认证协议。
- 加密：
  - RC4（增强版）
  - TKIP（临时密钥完整性协议，动态改变密钥）
  - 支持完整性认证和防重放攻击。
WPA2 (802.11i)
- 针对 WPA 进行优化。
- 加密协议：由 RC4 变为基于 AES 的 CCMP（计数器模式密码块链消息认证码协议）。

第6章网络互联与互联网

网路互联设备

设备层次	设备名称	工作原理
物理层	中继器、集线器	从一个端口进入的数据，进行信号放大后泛洪到所有端口，延长传输距离
数据链路层	网桥、交换机	基于目的MAC地址转发数据帧，每个端口间都有独立通道
网络层	路由器、三层交换机	基于目的IP地址转发数据包，可以跨VLAN通信
四层以上设备	网关	基于传输层、应用层进行控制

网关

网关是互连网络中操作在OSI传输层之上的设施。

网关的主要功能

连接网络层之上执行不同协议的子网，组成异构型的互联网。
网关能对互不兼容的高层协议进行转换。
为了实现异构型设备之间的通信，网关要对不同传输层、会话层、表示层、应用层协议进行翻译和转换。

网关类型

网关类型	解释
协议网关	协议网关通常在使用不同协议的网络区域间做协议转换（路由器）。
应用网关	应用网关是在使用不同数据格式间翻译数据的系统（数据中台）。
安全网关	安全网关是各种技术的融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤（防火墙）。

IP

IPv4报文格式

字段名	位数	描述
版本（Version）	4	IP协议版本，IPv4为4
首部长度（IHL）	4	首部长度，最小值5，最大值15，单位4字节，即首部长度20-60字节
服务类型（ToS）	8	指定服务质量，如优先级、延迟、吞吐量和可靠性
总长度（Total Length）	16	整个IP报文的长度，包括首部和数据，单位是字节，最长65535，分片发送
标识（Identification）	16	用于辨识从同一数据包分片的所有片段
标志（Flags）	3	控制和标识分片的标志位
片偏移（Fragment Offset）	13	分片在原始数据报文中的位置，单位字节
生存时间（TTL）	8	数据报文在网络中可以通过的最大路由器数，每经过一个路由器减1
协议（Protocol）	8	指示数据应该上交给哪个高层协议进行处理，最常用的值为1 (ICMP ) 17 ( UDP ) 和6 ( TCP )
首部检验和（Checksum）	16	用于检测首部在传输过程中的错误，当TTL减一时，头部校验和必须重新计算
源IP地址（Source Address）	32	发送方的IP地址
目的IP地址（Destination Address）	32	接收方的IP地址
选项（Options）	可变	用于支持网络测试、调试等功能
填充（Padding）	可变	确保首部长度是32位字的整数倍

IP数据报分片

IP地址分类

以下是IPv4地址分类的Markdown表格表示：

类别	地址范围	网络部分位数	主机部分位数	私有地址范围	用途描述
A类	0.0.0.0 - 127.255.255.255	8位	24位	10.0.0.0 - 10.255.255.255	用于超大型网络
B类	128.0.0.0 - 191.255.255.255	16位	16位	无	用于大型网络
C类	192.0.0.0 - 223.255.255.255	24位	8位	192.168.0.0 - 192.168.255.255	用于中小型网络
D类	224.0.0.0 - 239.255.255.255	32位	无	无	用于多播
E类	240.0.0.0 - 255.255.255.255	32位	无	无	用于实验和未来使用

特殊IP地址

0.0.0.0
- 主机端：DHCP分配过程中，表示本机，如DHCP Discover广播报文使用 0.0.0.0:68 -> 255.255.255.255:67。
- 服务器端：表示本机所有IPv4地址，服务监听在 0.0.0.0 时可通过任意IP访问。
- 路由：表示默认路由，用于路由表中无匹配项时。
255.255.255.255
- 受限广播地址，同一广播域内的所有主机都会接收。
169.254.0.0/16
- DHCP故障或超时时，系统自动分配的链接本地地址，不能上网。
127.0.0.0/8 (127.0.0.1 - 127.255.255.255)
- 本地环回地址，用于测试TCP/IP协议栈是否正常。
RFC1918 私有IP地址
- A类：10.0.0.0/8 (10.0.0.1 - 10.255.255.255)
- B类：172.16.0.0/12 (172.16.0.1 - 172.31.255.255)
- C类：192.168.0.0/16 (192.168.0.1 - 192.168.255.255)
常见组播地址
- 所有主机：224.0.0.1
- 所有路由器：224.0.0.2
- 所有运行OSPF的路由器：224.0.0.5
- OSPF的DR和BDR的组播接收地址：224.0.0.6
- RIPv2组播更新地址：224.0.0.9
- VRRP组播地址：224.0.0.18

ARP地址解析协议

ARP（Address Resolution Protocol）地址解析协议，用于在同一局域网（LAN）中解析IP地址对应的MAC地址。

ARP协议工作流程

确定目标IP地址：主机A要发送数据给主机B。
检查ARP缓存：主机A查找本地ARP缓存。
ARP请求：缓存中未找到，发送ARP请求广播。
ARP响应：主机B匹配IP地址后，回复其MAC地址。
更新ARP缓存：主机A收到响应并更新ARP缓存。
数据传输：使用解析出的MAC地址发送数据。
定期更新：ARP缓存条目定期更新或过期。

常见报文封装格式

ARP封装在以太网中
ICMP封装在IP中
OSPF封装在IP中
RIP封装在UDP中
BGP封装在TCP中。

ICMP控制报文协议

ICMP（Internet Control Message Protocol）控制报文协议，协议号为1 , 封装在IP报文中, 用来传递差错、控制、查询等信息, 典型应用 ping/ tracert依赖ICMP报文。

ICMP报文类型与代码

类型	代码	用途	查询类	差错类
0	0	Echo Reply - 回显应答 (Ping 应答)	√
3	0	Network Unreachable - 网络不可达		√
3	1	Host Unreachable - 主机不可达		√
3	2	Protocol Unreachable - 协议不可达		√
3	3	Port Unreachable - 端口不可达		√
3	4	Fragmentation needed but no frag bit set - 需要进行分片但设置不分片比特		√
3	13	Communication administratively prohibited by filtering - 由于过滤, 通信被强制禁止		√
4	0	Source Quench - 源抑制报文		√
5	1	Redirect for Host - 对主机重定向		√
8	0	Echo Request - 回显请求 (Ping 请求)	√
11	0	TTL equals 0 during transit - 传输期间生存时间为0		√
11	1	TTL equals 0 during reassembly - 在数据报组装期间生存时间为0		√
12	0	IP header bad (catchall error) - 坏的IP首部 (包括各种差错)		√

TCP和UDP

传输控制协议 (TCP)

面向连接：在数据传输前建立连接，确保数据传输的稳定性。
可靠传输：通过确认和重传机制，确保数据正确无误地到达目的地。
流控及窗口机制：通过流量控制和拥塞控制，避免网络拥塞和数据丢失。
典型应用
- WEB浏览器：用于客户端与服务器之间的稳定数据传输。
- 电子邮件文件传输程序：用于确保邮件和附件的可靠传输。

TCP报文格式

首部固定20字节

字段名	位数	描述
源端口号	16位	标识发送方的端口号
目的端口号	16位	标识接收方的端口号
序列号	32位	用于确保数据的有序传输，接收方可以依据序列号重新组装数据
确认号	32位	用于确认收到的数据，是下一个期望接收的序列号
数据偏移	4位	指示TCP头部的长度，即数据区开始之前的字节数
保留	6位	保留给将来使用，目前应置为0
控制位	6位	包含SYN, ACK, FIN, RST, PSH, URG等标志位
窗口大小	16位	用于流量控制，指示发送方可以发送的数据量
检验和	16位	用于检测整个TCP段在传输过程中是否有错
紧急指针	16位	仅当URG控制位为1时才有意义，指出紧急数据的结束位置
选项	可变	提供额外的功能性，如MSS, 窗口缩放因子，SACK，时间戳等
填充	可变	确保TCP头部的长度是32位字的整数倍

TCP伪首部

TCP 伪首部（pseudo-header）是一个在 TCP 报文计算校验和时使用的临时构造，它不是 TCP 报文的实际组成部分，也不会在网络中传输。它仅在发送端用于计算校验和，并在接收端用于校验，长度12字节。

字段名	长度	描述
源IP地址	32位	发送方的IP地址
目的IP地址	32位	接收方的IP地址
保留	8位	通常置为0
协议	8位	指示上层协议类型，TCP为6
TCP报文长度	16位	指示TCP报文的总长度，包括TCP头部和数据

用户数据报协议 (UDP)

面向无连接：不需要建立连接，直接发送数据包。
不可靠传输：不保证数据包的到达顺序或是否到达。
尽力而为的传输：网络繁忙或拥塞时，数据包可能会丢失。
典型应用
- 域名系统 (DNS)：快速查询域名与IP地址的映射，不需要可靠传输。
- 视频应用：实时视频流，对延迟敏感，允许一定程度的数据丢失。
- IP语音 (VoIP)：实时语音通信，优先保证通话的实时性。

UDP报文格式

首部固定8个字节

字段名	位数	描述
源端口号	16位	标识发送方的端口号，用于回复消息
目的端口号	16位	标识接收方的端口号
长度	16位	指示整个UDP报文的长度，包括UDP头部和UDP数据，单位是字节。如果长度字段为0，则表示报文只包含头部
检验和	16位	用于检测UDP报文在传输过程中是否有错。这个字段是可选的，如果设置为0，则表示没有进行检验和计算
数据	可变	实际传输的数据内容，长度由长度字段指定

TCP握手挥手

流量控制和拥塞控制

流量控制
- TCP滑动窗口
拥塞控制
- 慢开始和拥塞避免

路由协议

特性	静态路由	默认路由
定义	手动配置的路由信息，指定数据包如何从源到目的地	一种特殊的静态路由，用于处理未知目的地的数据包
持久性	网络拓扑变化时不会自动改变，需要手动更新	作为路由表的一部分，不会因网络变化而自动改变
配置	在路由器或计算机的路由表中手动设置	设置一个默认网关，用于转发未匹配特定路由的数据包
适用场景	适用于网络规模较小、拓扑变化不大的环境	常用于连接到更大的网络或作为备份路由
优点	简单直接无需额外路由协议处理精确控制数据包路径	简化路由表减少配置复杂性为未知目的地提供出路
缺点	管理大型或动态网络困难手动维护耗时	可能不是最优路径依赖于默认网关配置

内部网关协议 (IGP)
- RIP (Routing Information Protocol)：路由信息协议
- OSPF (Open Shortest Path First)：开放最短路径优先
- IS-IS (Intermediate System-Intermediate System)：中间系统-中间系统
外部网关协议 (EGP)
- BGP (Border Gateway Protocol)：边界网关协议
距离矢量协议
- RIP (Routing Information Protocol)：路由信息协议
链路状态协议
- OSPF (Open Shortest Path First)：开放最短路径优先
- IS-IS (Intermediate System-Intermediate System)：中间系统-中间系统
  以下是为您优化后的 Markdown 格式：

RIP 协议

基本信息
- 全称：Routing Information Protocol（路由信息协议）
- 类型：内部网关协议（IGP），距离矢量路由协议
特点
- 优先级：在华为设备上，RIP 的路由优先级为 100。
- 跳数限制：最大支持 15 跳；16 跳表示不可达。
- 适用场景：一般用于小型网络。
定时器
- 更新间隔：30 秒周期性更新路由表。
- 失效时间：180 秒无更新则认为路由不可达。
- 删除时间：300 秒后从路由表中删除该路由。
其他特性
- 支持等价负载均衡和链路冗余。
- 使用 UDP 520 端口进行路由信息的传输。
  | 特性 | RIPv1 | RIPv2 |
  | ———————————- | ——————– | ——————– |
  | 类型 | 有类，不携带子网掩码 | 无类，携带子网掩码 |
  | 更新方式 | 广播更新 | 组播更新 (224.0.0.9) |
  | 更新周期 | 周期性更新 (30秒) | 触发更新 |
  | 支持特性 | 不支持VLSM、CIDR | 支持VLSM、CIDR |
  | 认证 | 不提供认证 | 提供明文和MD5认证 |
  | 以下是为您优化后的 Markdown 格式： | | |

RIP 防环机制

最大跳数
- 路由条目在发送时会自增 1 跳。
- 最大跳数为 16 跳，超过 16 跳的路由将被视为不可达。
水平分割
- 路由信息不会发送回它原始的来源，防止路由信息在两个路由器间循环。
反向毒化的水平分割
- 从邻居学习到的路由信息会被设置为 16 跳（不可达），然后重新发送给该邻居。
- 这是一种更为严格的水平分割，确保不会形成路由环路。
抑制定时器和触发更新
- 抑制定时器：当路由信息发生变化时，会等待一段时间（通常为 180 秒），如果没有收到更好的路由信息，则接受该路由。
- 触发更新：当路由表发生变化时，立即发送更新，而不是等待下一个周期性更新时间。
- 这两种机制共同作用，可以减少路由环路的风险。

RIP 通过这些机制来防止路由环路的产生，确保网络的稳定性。

OSPF 协议

全称：Open Shortest Path First（开放式最短路径优先协议）
类型：内部网关协议，链路状态路由协议
开放性：意味着公有，任何厂商都能支持 OSPF，是当前业界使用最广泛的 IGP
华为设备优先级：Internal 10, External 150

工作原理

路由器之间交互的是链路状态信息，而非直接交互路由
路由器了解整个网络的拓扑结构
使用 SPF 算法（Dijkstra 算法）计算到达目的地的最短路径

特点

支持 VLSM（可变长度子网掩码）
支持手工路由汇总
适应范围广，适用于各种规模的网络
快速收敛：网络拓扑变化后立即发送更新报文，实现快速同步
无自环：使用 SPF 算法，不会产生环路
区域划分：网络可划分为多个区域，减小路由器资源消耗和网络带宽占用

BGP 协议

BGP（Border Gateway Protocol，边界网关协议）是一种外部网关协议，主要用于不同自治系统（AS）之间的路由寻址，以寻找最佳路由。

核心特性
- 用途：用于不同自治系统之间的路由选择。
- 协议版本：最新版本是 BGP4，BGP4+支持 IPv6。
- 端口：通过 TCP 179 端口建立连接。
- 类型：路径矢量协议，与距离矢量协议不同，BGP 考虑整体路径信息。
- 支持：支持 VLSM（可变长度子网掩码）和 CIDR（无类别域间路由）。
工作原理
- 建立连接：使用 Open 消息建立邻居关系。
- 周期性探测：通过 Keepalive 消息周期性探测邻居的存活状态。
- BGP 发言人：每个自治系统至少选择一个路由器作为“BGP 发言人”，负责与其他自治系统的路由器交换路由信息。
- 增量更新：支持增量更新，即仅发送变化的路由信息。
- 认证：支持对邻居路由器的认证，增强安全性。
- 可靠传输：采用可靠传输机制，确保路由信息的准确性，防止路由环路。
- 策略选路：支持基于策略的路由选择，允许网络管理员根据特定需求定制路由决策。
应用场景
- 互联网服务提供商：用于 ISP 网络，管理大量跨自治系统的路由。
- 大型企业网络：连接企业内部网络与全球互联网。
  BGP报文| 报文类型 | 功能描述 | 备注（类比） |
  | ———————— | ——————————- | ———— |
  | 打开 (Open) | 建立邻居关系 | 建立外交 |
  | 更新 (Update) | 发送新的路由信息 | 更新外交信息 |
  | 保持活动状态 (Keepalive) | 对Open的应答/周期性确认邻居关系 | 保持外交活动 |
  | 通告 (Notification) | 报告检测到的错误 | 发布外交通告 |

BGP选路规则

下一跳检查：丢弃下一跳不可达的路由。
Preference：优选Preference值最高的路由（私有属性，仅本地有效）。
Local Preference：优选Local Preference值最高的路由。
路由来源：优选手动聚合 > 自动聚合 > network声明 > import引入 > 从对等体学到的路由。
AS Path长度：优选AS Path最短的路由。
起源类型：起源类型IGP > EGP > Incomplete。
MED（多出口鉴别器）：对于来自同一AS的路由，优选MED值最小的。
EBGP与IBGP：优选从EBGP学来的路由（EBGP > IBGP）。
IGP成本：优选AS内部IGP成本最小的路由。
Cluster List长度：优选Cluster List最短的路由。
Originator ID：优选Originator ID最小的路由。
Router ID：优选Router ID最小的路由器发布的路由。
邻居IP地址：优选IP地址最小的邻居学来的路由。

ISIS 协议

IS-IS（Intermediate System to Intermediate System，中间系统到中间系统）是一种内部网关协议（IGP），在电信运营商网络中得到广泛应用。

基本特性
- 链路状态路由协议：和 OSPF 相似，通过链路状态数据库及 SPF 算法来计算路由。
- 运行层级：直接在链路层之上运行，区别于多数协议在 IP 层运行。
- 分层结构：具备两层结构，即 Level-1（L1）和 Level-2（L2）。
分层结构
- Level-1 (L1)
  - 普通区域（Area）：负责单个区域内的路由。
- Level-2 (L2)
  - 骨干区域（Backbone）：由所有 Level-2 路由器（包括同时作为 L1 和 L2 的路由器）构成，负责区域间的路由。
工作原理
- Hello 协议：利用 Hello 协议来发现及维护与毗邻节点的关系。
- SPF 算法：L1 和 L2 路由器均运行相同的 SPF 算法，以计算到达目的地的最优路径。
- 多实例参与：一个路由器能够同时参与 L1 和 L2，实现区域间的路由功能。

第7章下一代互联网IPV6

IPv4和IPv6对比

对比方面	IPv4 存在的问题	IPv6 的主要改进
网络地址	32 位，提供 43 亿个地址，数量短缺	128 位，大幅增加地址数量
地址分配	分配不合理，约 1/3 曾被美国占用，大型企业拥有地址多	-
路由速度	随着网络规模扩大，路由表庞大，查找速度慢	-
头部字段	多达 13 个字段，复杂	只有 8 个字段，简化
安全功能	没有加密、认证等机制	集成 IPSec，提供加密和认证功能
业务模式支持	没有扩展字段	支持多报头嵌套
分段处理	-	只能由源发节点分段，中间路由器不能分段，简化路由处理
MTU 发现	-	改进机制，帮助确定最大传输单元，避免分片
扩展性	-	支持多报头嵌套，增强扩展性
路由效率	-	减少头部字段，简化处理流程

IPV6报文格式

默认头部

字段	长度（位）	说明
版本（Version）	4	固定值 6，表示 IPv6 协议
流量类别（Traffic Class）	8	类似于 IPv4 中的服务类型（TOS）字段，用于区分不同的流量类型和优先级
流标签（Flow Label）	20	用于标识特定的数据流，为实现 QoS 提供支持
有效载荷长度（Payload Length）	16	表示 IPv6 报文除头部以外的数据部分的长度
下一个头部（Next Header）	8	标识紧跟在 IPv6 头部后面的扩展头部或上层协议的类型
跳限制（Hop Limit）	8	类似于 IPv4 中的 TTL（生存时间）字段，每经过一个路由器减 1，防止数据包在网络中无限循环
源地址（Source Address）	128	发送方的 IPv6 地址
目的地址（Destination Address）	128	接收方的 IPv6 地址

扩展头部

下一头部编号	下一头部类型	解释
0	Hop-by-Hop Options Header	逐跳选项：这些信息由沿途各个路由器处理
6	TCP (Upper Layer)	该IPv6报文的上层封装是TCP
17	UDP (Upper Layer)	该IPv6报文的上层封装是UDP
43	Routing Header	路由选择头：给出一个路由器地址列表，类似于IPv4的松散源路由和路由记录
44	Fragment Header	分段：处理数据报的分段问题
50	Encapsulating Security Payload	ESP：封装安全载荷，跟IPSec类似
51	Authentication Header	AH：认证头，跟IPSec类似
60	Destination Options	目标选项：选项中的信息由目标节点检查处理

IPV6地址

IPv6 地址是 128 位长，通常采用冒号分隔的十六进制数表示，分为 8 组。

表示方法
- 标准表示：例如，8000:0000:0000:0000:0123:4567:89AB:CDEF。
简化规则
- 省略前导零：每个字段前的 0 可以省略，如 0123可以简写为 123。
- 压缩全零字段：一个或多个连续的全零字段可以用一对冒号 ::来代替。
- 限制：双冒号 ::在一个地址中只能使用一次，以避免歧义。
示例简化
- 地址 8000:0000:0000:0000:0123:4567:89AB:CDEF可以简写为 8000::123:4567:89AB:CDEF。
IPv4 兼容地址
- IPv4 兼容地址的 IPv6 表示方法，例如 ::192.168.10.1。
- 这种表示方法将 IPv4 地址直接嵌入到 IPv6 地址中。
注意事项
- 有效零位不可省略。
- 双冒号 ::仅用于压缩连续的全零字段，且在一个 IPv6 地址中只能使用一次。

以下是为您优化后的 Markdown 格式：

IPv6 地址分类

单播地址
- 可聚合全球单播地址
  - 全球有效：相当于 IPv4 的公用地址。
  - 前缀：以 001 开头。
- 链路本地地址
  - 用途：用于同一链路上相邻节点间的通信。
  - 前缀：以 1111 1110 10 开头。
  - 生成：结合 MAC 地址自动生成。
- 站点本地地址
  - 用途：相当于 IPv4 中的私网地址。
  - 前缀：以 1111 1110 11 开头。
  - 助记：1 聚（全球单播）2 恋（链路本地）3 占（站点本地）。
组播地址
- 广播替代：IPv6 中没有广播地址，广播功能由组播代替。
- 前缀：以 1111 1111 开头，即 FF00 开头。
任意播地址
- 标识：表示一组接口的标识符，通常路由到最近的接口。
- 使用限制：
  - 不能用作源地址，只能作为目标地址。
  - 不能指定给 IPv6 主机，只能指定给 IPv6 路由器。

IPv4地址与IPv6特殊地址对比

IPv4地址	IPv6地址
点分十进制表示	带冒号的十六进制表示，0可以压缩
分为A、B、C、D、E 5类	不分类
组播地址 `224.0.0.0/4`	组播地址 `FF00::/8`
广播地址（主机部分全为1）	任意播（限于子网内部）
默认地址 `0.0.0.0`	不确定地址 `::`
回环地址 `127.0.0.1`	回环地址 `::1`
公共地址	可聚合全球单播地址 `FP=001`
私有地址 `10.0.0.0/8` `127.16.0.0/12` `192.168.0.0/16`	站点本地地址 `FEC0::/48`
自动专用IP地址 `169.254.0.0/16`	链路本地地址 `FE80::/48`
	6to4隧道地址 `2002::/16`

IPv6路由协议

主要路由协议
- RIPng：RIP 的 IPv6 版本，用于小型网络。
- OSPFv3：OSPF 的 IPv6 版本，支持链路状态路由。
- **BGP4+**：BGP 的 IPv6 扩展，支持 IPv6 路由。
DHCPv6 配置
- 有状态自动配置
  - DHCPv6 直接分配前缀和接口 ID、网关和 DNS 等。
  - 提供完整的网络配置信息。
- 无状态自动配置
  - 路由器接口前缀 + 终端 EUI-64。
  - 仅提供部分网络配置信息，如 IP 地址前缀。
ICMPv6
- 邻居发现
  - 新增的邻居发现功能，代替了 IPv4 中的 ARP 协议。
  - 用于地址解析、路由器发现和参数发现。
功能概述
- RIPng 和 OSPFv3 提供内部网关协议支持，而 BGP4+ 用于自治系统间的路由。
- DHCPv6 的两种配置模式允许灵活的 IP 地址和网络参数分配。
- ICMPv6 增强了网络诊断和自动配置能力，是 IPv6 网络中不可或缺的部分。

第8章网络安全

网络安全基础

网络安全威胁类型

窃听：例如搭线窃听、安装通信监视器和读取网上的信息等。
假冒：当一个实体假扮成另一个实体进行网络活动时就发生了假冒。
重放：重复发送一份报文或报文的一部分，以便产生一个被授权效果。（随机数、时间戳）
流量分析：对网上信息流观察和分析推断出网上传输的有用信息。
数据完整性破坏：有意或无意地修改或破坏信息系统，或者在非授权和不能监测的方式下对数据进行修改。
拒绝服务 DoS：当一个授权实体不能获得应有的对网络资源的访问。SYN-Flooding
资源的非授权使用：即与所定义的安全策略不一致的使用。
陷门和特洛伊木马：通过替换系统合法程序，或者在合法程序里插入恶意代码。
病毒：随着人们对计算机系统和网络依赖程度的增加，计算机病毒已经构成了对计算机系统和网络的严重威胁。
诽谤：利用计算机信息系统的广泛互连性和匿名性散布错误的消息，以达到诋毁某个对象的形象和知名度的目的。

网络攻击分类

被动攻击：典型代表嗅探、监听和流量分析，最难被检测，重点是预防，主要手段是加密。
主动攻击：假冒、重放、欺骗、消息篡改和拒绝服务等，重点是检测而不是预防，手段有防火墙、IDS 等技术。
物理临近攻击：防止外人乱进机房。
内部人员攻击：内鬼渗透，如国共抗战中的内部瓦解。
分发攻击：软件开发出来未安装之前，被篡改。（类似疫苗运输恒温不合格）

安全目标与技术

安全目标

访问控制
认证：身份认证、消息认证
完整性：确保接收到的信息与发送的信息一致
审计：不可抵赖
保密：确保敏感信息不被泄露

基本安全技术 ：数据加密、数字签名、身份认证、防火墙、入侵检测、内容检查。

现代加密技术

私钥密码/对称密钥

密码分为私钥、公钥密码两种，而介于私钥和公钥之间的密码称为混合密码。

私钥密码（对称密码）

该体制的特点是加密和解密使用相同的密钥。消息的收发双方必须事先通过安全渠道交换密钥。

优点：加解密速度快、密文紧凑、使用长密钥时难破解。
缺点：密钥分配问题、密钥管理问题、无法认证源。

算法	解释	特点	分组长度	密钥长度	备注
DES	数据加密标准	分组加密算法，采用移位+替换	64位	64位（有效56位）	速度快，密钥易产生
3DES	三重DES	使用DES进行“加密-解密-加密”操作	-	112位	一般K1和K3相同
IDEA	国际数据加密算法	分组加密，混合使用不同代数群运算	64位	128位	用于PGP
AES	高级加密标准	可通过硬件实现，速度快	128位	128, 192, 256位	像3DES一样安全
RC4/5	流加密算法	加密速度快，用于WIFI	可变	可变	可达到DES的10倍速度

公钥密码/非对称加密

公钥密码又称为非对称加密，就是对数据加密和解密的密钥是不同的。

优点：密钥分发方便、密钥保管量少、支持数字签名。
缺点：加密速度慢 ( 计算量大，不适合加密大数据 ) 、数据膨胀率高。

每个实体有两个密钥：公钥公开，私钥自己保存。

公钥加密，私钥解密，可实现保密通信
私钥加密，公钥解密，可实现数字签名

常见的非对称加密算法

RSA ：512 位（或 1024 位）密钥，计算量极大，难破解。
Elgamal
ECC （椭圆曲线算法）
背包算法
Rabin
DH 等

混合加密

发送方用对称密钥加密需要发送的消息，再用接收方的公钥加密对称密钥，然后一起发送给接收方；
接收方先用自己的私钥解密得到对称密钥，然后用对称密钥解密得到明文。

国产密码算法

《中华人民共和国密码法》
- 密码分类
  - 核心密码
  - 普通密码
  - 商用密码
- 管理
  - 核心密码和普通密码：用于保护国家秘密信息，由密码管理部门依法实行严格统一管理。
  - 商用密码：用于保护不属于国家秘密的信息，公民、法人可用。
- 国产密码算法
  - 定义：由国家密码研究相关机构自主研发，具有相关知识产权的商用密码算法。
  - 已公布的算法：| 算法名称 | 算法特征描述 |
    | ——– | ———————————————————————— |
    | SM1 | 对称加密，分组长度和密钥长度都为128比特 |
    | SM2 | 非对称加密，用于公钥加密算法、密钥交换协议、数字签名算法（椭圆曲线问题） |
    | SM3 | 杂凑算法（哈希），分组512位，输出杂凑值长度为256位 |
    | SM4 | 对称加密，分组长度和密钥长度都为128比特 |
    | SM9 | 标识密码算法，支持公钥加密、密钥交换、数字签名等安全功能 |

认证

认证分为实体认证和消息认证

实体认证：识别通信双方的身份，防止假冒，可以使用数字签名 RSA
消息认证：验证消息在传送或存储过程中有没有被篡改，通常使用报文摘要方法 MD5

基于共享密钥的认证 ：通信双方有一个共享的密钥，依赖双方都信任的密钥分发中心 KDC

基于公钥的认证
通信双方都用对方的公钥加密，用各自的私钥解密。

Hash哈希算法

HASH 函数，又称为杂凑函数、散列函数，它能够将任意长度的信息转换成固定长度的哈希值（数字摘要），并且任意不同消息或文件所生成的哈希值是不一样的。

若用 h 表示 hash 函数，则 h 满足下列条件：

h 的输入可以是任意长度的消息或文件 M。
h 的输出的长度是固定的。
给定 h 和 M ，计算 h(M) 是容易的。
给定 h 的描述，找两个不同的消息 M1 和 M2 ，使得 h(M1)=h(M2) 是计算上不可行的。

哈希函数特性：不可逆性（单向）、无碰撞性、雪崩效应。

常见的 Hash 算法有：

MD5 算法：以 512 位数据块为单位来处理输入，产生 128 位的信息摘要。常用于文件校验。
SHA 算法：以 512 位数据块为单位来处理输入，产生 160 位的哈希值，具有比 MD5 更强的安全性。
SM3 国产算法：消息分组长度为 512 比特，输出 256 位摘要。

数字签名

签名方用自己的私钥进行签名，对方收到后，用签名方的公钥进行验证。

数字签名算法（公钥加密算法） ： RSA、Rabin、ELGamal 签名体制和 DSS 标准。

数据签名是用于确认发送者身份和消息完整性的一个加密消息摘要，具有如下特点：

数字签名是可信的。
数字签名不可伪造。
数字签名不能重新使用。
签名文件是不能改变的。
数字签名不能抵赖。
接收者能够核实发送者身份。

数字证书与CA

数字证书

数字证书是一种权威性的电子文档，如同网络世界的身份证，用于证明某一实体（如个人、服务器、组织等）的身份以及其拥有的公钥的合法性。

数字证书包含了证书持有者的身份信息、公钥、证书的有效期、颁发机构的数字签名等重要信息。

CA（证书颁发机构）

CA 是数字证书的颁发和管理机构，具有权威性和公正性。

CA 负责对证书申请者进行身份验证和审核，确认其身份合法后，颁发数字证书，并对证书进行管理和维护，包括证书的更新、吊销等操作。

CA 的存在确保了数字证书的可信度和安全性，使得网络通信中的双方能够通过验证对方的数字证书来确认身份，从而建立安全的通信连接。

A 发送内容给 B

A 向 CA 申请数字证书，CA 对 A 的身份进行审核和验证。
审核通过后，CA 为 A 颁发包含 A 身份信息和公钥的数字证书。
A 对要发送的内容进行哈希运算，生成消息摘要。
A 使用自己的私钥对消息摘要进行加密，生成数字签名。
A 将原始内容、数字签名以及自己的数字证书一起发送给 B 。
B 接收到来自 A 的原始内容、数字签名和数字证书。
B 首先验证 A 的数字证书的合法性，通过获取 CA 的公钥来验证证书的数字签名，确认证书未被篡改且 A 的身份合法。
验证成功后，B 接收到的信息包括 A 发送的原始内容和数字签名。此时，若原始内容在传输过程中被加密了，B 需要使用从 A 的数字证书中获取的 A 的公钥对其进行解密，得到明文的原始内容。
B 对解密后的原始内容（若有加密则先解密）进行相同的哈希运算，生成新的消息摘要。
B 使用从 A 的数字证书中获取的 A 的公钥对数字签名进行解密，得到原始的消息摘要。
B 对比自己生成的消息摘要和从数字签名中解密得到的消息摘要，如果两者一致，则说明内容未被篡改，数字签名验证通过。
B 对获取的内容进行后续处理，如存储、使用等。

在上述流程中，如果原始内容在发送时被加密了，B 就需要解密；如果未加密，B 则可直接进行哈希运算。

证书链

如果有两个 CA ， X1 和 X2 ，假设用户 A 从 CA 机构 X1 获得了证书，用户 B 从 X2 获得证书，如果两个证书发放机构 X1 和 X2 彼此间安全交换了公钥，彼此信任，那么他们的证书可以形成证书链。

A 通过一个证书链来获取 B 的公钥，证书链表示为：X1《X2》X2《B》

B 也能通过相反的证书链来获取 A 的公开密钥：X2《X1》X1《A》

IPSec原理

虚拟专用网基础
- 定义：虚拟专用网（Virtual Private Network）
  - 一种建立在公网上的，由某一组织或某一群用户专用的通信网络。
- 层次协议：
  - 二层：L2TP和PPTP（基于PPP）
    - PPTP 只支持 TCP/IP 网络体系，网络层必须是 IP 协议。
    - L2TP 可以运行在 IP 协议上，也可以在 X.25、帧中继或 ATM 网络上使用。
    - PPP 协议
      - PPP 协议包含链路控制协议 LCP 和网络控制协议 NCP 。
      - PPP协议可以在点对点链路上传输多种上层协议的数据包，有校验位
      - PPP认证方式
        
        PAP：两次握手验证协议，口令明文传送，被验证放首先发起请求
        
        CHAP：三次握手，不传送认证口令，传送HMAC散列值
  - 三层：IPSec和GRE
  - 四层：SSL/TLS
- 关键技术：
  - 隧道技术（Tunneling）
  - 加解密技术（Encryption & Decryption）
  - 密钥管理技术（Key Management）
  - 身份认证技术（Authentication）
实现总分机构互联，常用IPSec
Access/ Rmote VPN:实现用户远程接入比如，出差拨号访问内网，常用SSL
IPSec原理
- IPSec功能分类
  - 认证头（AH）
    - 提供数据完整性和数据源认证
    - 不提供数据保密服务
    - 实现算法：MD5、SHA
  - 封装安全负荷（ESP）
    - 提供数据加密功能
    - 加密算法：DES、3DES、AES等
  - Internet密钥交换协议（IKE）
    - 用于生成和分发在ESP和AH中使用的密钥
- IPSec协议功能表| IPSec协议 | 功能 | 代表协议 |
  | ——— | —————— | ————– |
  | AH | 数据完整性和源认证 | MD5、SHA |
  | ESP | 数据加密 | DES、3DES、AES |
  | IKE | 密钥生成和分发 | DH |
IPSec两种封装模式

SSL与HTTPS

安全套接层（SSL）
- 开发背景
  - 由Netscape于1994年开发
  - 用于实现Web安全通信的传输层安全协议
- 演进
  - 1999年，IETF基于SSL 3.0版本，制定了传输层安全标准TLS（Transport Layer Security）
- 与TLS的关系
  - SSL与TLS本质上是同一个协议
  - 区别在于制定标准的机构不同
- 应用
  - 在Web安全通信中，SSL/TLS被称为HTTPS=HTTP+SSL
- 组成部分
  - 记录协议
  - 警告协议
  - 握手协议
    - 用于协商参数
HTTPS与S-HTTP概述
- HTTPS
  - 定义：HTTPS = HTTP + SSL/TLS
  - 端口：TCP 443
- S-HTTP
  - 定义：安全的超文本传输协议（Security HTTP）
  - 端口：TCP 80
  - 特点：语法与HTTP相同，但报文头进行了加密
HTTPS协议栈
- 协议组成| 层级 | 协议 |
  | —— | ————– |
  | 应用层 | SSL/TLS |
  | 传输层 | TCP（端口443） |
  | 网络层 | IP（协议号6） |
S-HTTP协议栈
- 协议组成| 层级 | 协议 |
  | —— | ————- |
  | 应用层 | S-HTTP |
  | 传输层 | TCP（端口80） |
  | 网络层 | IP（协议号6） |

PGP

PGP（Pretty Good Privacy）概述
- 定义：一个完整的电子邮件安全软件包
- 服务：
  - 数据加密
  - 数字签名
- 技术细节：
  - 身份验证：采用RSA公钥证书
  - 数据加密：使用IDEA算法
  - 数据完整性验证：使用MD5算法
PGP应用广泛的原因
- 多平台支持：在Windows、Linux、MacOS上免费使用
- 厂商支持：得到许多厂商的支持
- 安全算法：基于比较安全的算法（RSA, IDEA, MD5）
- 应用范围：
  - 可以加密文件和电子邮件
  - 适用于个人通信
  - 可以集成到应用中使用PGP

其他应用层安全协议

S/MIME (Security/ Multipurpose Internet Mail Extensions)
- 提供电子邮件安全服务。
注意：S/MIME不等于MIME，S/MIME是一种电子邮件安全协议，而MIME是一种多用途网际邮件扩展协议，与安全无关。
SET (Secure Electronic Transation)
- 安全的电子交易，用于保障电子商务安全。

防火墙与入侵检测

定义

防火墙是位于计算机与所连接网络之间的软件或硬件，用于保护网络免受未经授权的访问和恶意攻击。

分类

按形态
- 软件防火墙：运行于通用操作系统。
- 硬件防火墙：有专用硬件和操作系统。
按技术
- 包过滤防火墙：依数据包信息过滤。
- 状态检测防火墙：增加连接状态检测。
- 应用层防火墙：深度检测应用层协议。

工作模式

路由模式：充当路由器，进行数据包路由转发。
透明模式：对网络设备“透明”，不改变拓扑和 IP 地址。
混合模式：支持路由和透明模式，按需切换。

防火墙区域划分

安全区域	安全级别	说明
本地区域Local	100	设备本身，包括设备的各接口本身。
信任区域Trust	85	通常用于定义内网终端用户所在区域。
军事缓冲区域DMZ	50	通常用于定义内网服务器所在区域。
非信任区域Untrust	5	通常用于定义Internet等不安全的网络。

入侵检测IDS和入侵防御IPS

入侵检测系统（Intrusion Detection System，IDS）是一种网络安全设备，它能够监视网络流量，检测异常行为，并向管理员报告。

入侵检测分类
- 按信息来源分
  - HIDS（主机入侵检测系统）
  - NIDS（网络入侵检测系统）
  - DIDS（分布式入侵检测系统）
- 按响应方式分
  - 实时检测
  - 非实时检测
- 按数据分析技术和处理方式分
  - 异常检测
    - 建立并不断更新和维护系统正常行为的轮廓
    - 定义报警阈值，超过阈值则报警
    - 能够检测从未出现的攻击，但误报率高
  - 误用检测
    - 对已知的入侵行为特征进行提取，形成入侵模式库
    - 匹配则进行报警
    - 已知入侵检测准确率高，对于未知入侵检测准确率低，高度依赖特征库
    - 检测技术：专家系统和模式匹配
入侵检测三种常用分析方法
- 模式匹配
- 统计分析
- 数据完整性分析
入侵防御系统（Intrusion Prevention System，IPS）
- 定义：一种先进的网络安全检测和防御系统
- 功能：
  - 能够检测出攻击并积极响应
  - 具有入侵检测系统（IDS）检测攻击行为的能力
  - 具有拦截攻击并阻断攻击的功能
- 特点：
  - 不仅仅是IDS和防火墙功能的简单组合
  - 在攻击响应上采取主动的、全面的、深层次的防御措施
    IPS和IDS| 特性 | IPS（入侵防御系统） | IDS（入侵检测系统） |
    | ———— | ———————— | ————————– |
    | 部署位置 | 一般串行部署 | 一般旁路部署 |
    | 入侵响应能力 | 能检测入侵，并能主动防御 | 只能检测记录日志，发出警报 |

计算机病毒与防护

计算机病毒
- 定义：一段可执行的程序代码，通过其他可执行程序启动和感染传播。
- 特性：
  - 可自我复制。
  - 难以清除。
  - 破坏性强。
木马
- 定义：一种潜伏在计算机里并且秘密开放一个甚至多个数据传输通道的远程控制程序。
- 结构：C/S结构，客户端也称为控制端。
- 功能：偷偷盗取账号、密码等信息（间谍）。
恶意代码
- 定义：恶意软件，没有作用却带来危险（恶搞）。
文件宏病毒
- 类型：感染Office文件。
- 特征：前缀Macro或者word/excel等。
常见病毒类型
- 蠕虫病毒：前缀Worm，通过系统漏洞传播。
- 木马病毒：前缀Trojan，黑客病毒前缀Hack，往往成对出现。
- 系统病毒：前缀Win32、PE、Win95等。
- 脚本病毒：前缀Script，脚本语言编写的，通过网页传播。

病毒类型	关键字	特征	代表
系统病毒	前缀为win32, win95, PE, W32, W95等	感染Windows系统的exe或dll文件，并通过这些文件进行传播	CIH病毒
蠕虫病毒	前缀为worm	通过网络或系统漏洞进行传播，可以向外发送带毒邮件或阻塞网络	冲击波（阻塞网络）、小邮差病毒（发送带毒邮件）
木马病毒和黑客病毒	木马前缀为Trojan, 黑客病毒前缀为Hack	通过网络或漏洞进入系统并隐藏起来，木马负责入侵用户计算机，黑客通过木马进行远程控制	游戏木马Trojan.Lmir.PSW60
脚本病毒	前缀是Script	使用脚本语言编写，通过网页进行传播	欢乐时光病毒VBS.Happtime、红色代码Script.Redlof
宏病毒	前缀是Macro	特殊脚本病毒，感染Word和Excel	Macro.Word97
后门病毒	前缀为Backdoor	通过网络传播，给系统开后门，给用户计算机带来安全隐患	入侵后添加隐藏账号
破坏性程序病毒	前缀为Harm	本身具有好看的图标来诱惑用户点击，当用户点击，对计算机产生破坏	熊猫烧香
捆绑机病毒	前缀为Binder	将特定程序捆绑下载	下载大礼包或某些软件捆绑病毒

第9章网络操作系统与应用服务器

indows五种身份认证

匿名认证：不需要提供经过身份认证的用户凭证
基本身份认证：用户必须输入ID,访问是基本用户ID的，但该方式的用户ID和密码以明文形式在网络上传输
集成windows身份验证：使用了KerberosV5，能够提供较高的安全级别
摘要身份验证：该方式需要用户ID和密码，可提供中等安全级别，与基本身份验证相同，但克服可基本身份验证的缺点

本地用户与组

用户：

包含用户名、密码、权限以及说明。

用户组：

具有相同性质的用户归结在一起，统一授权，组成用户组。

创建用户和组：

我的电脑 - 右键 - 管理 - 计算机管理 - 本地用户和组（本地用户信息存储在本地 SAM 数据库）
常见用户组与权限
- Administrators
  - 具有完全控制权限，并且可以向其他用户分配用户权利额访问控制权限
- Backup Operators
  - 加入该组的成员可以备份和还原服务器上的所有文件
- Users
  - 普通用户，可以执行一些常见任务，例如运行文件，使用打印机等
  - 用户不能共享文件夹或创建本地打印机
  - 具有创建用户账户和组账户的权利，但不能管理Administrators组成员
- Power Users
  - 可以创建和管理共享资源
- Remote Desktop Users
  - 此组中的成员被授予远程登录的权限
- Guests
  - 拥有一个登录时创建的临时配置文件，在注销时该配置文件将被删除
- Network Configuration Operators
  - 可以更改TCP/IP设置并更新和发布TCP/IP地址
- Print Operators
  - 可以管理打印机
- 权限顺序由高到低：Administrator > Power users > Users > Everyone

活动目录

网络中计算机逻辑组织的两种模式
- 工作组模式自由民主
  - 每台计算机都拥有自己的 本地安全账户管理数据库（SAM）。
- 域模式集权专制
  - 用户信息 存储在 域控制器。
  - 用户可以在 域中漫游，即在域内的任何一台计算机上使用相同的用户凭证登录。
  - 用户可以 访问域中任意一台服务器上的资源。
活动目录：对域中的账户和资源对象进行存放并集中管理。
动态分布式文件系统：包含存储网络信息的目录结构和相关目录服务。
**域控制器 (Domain Controller, DC)**：域中安装了活动目录的计算机。使用 dcpromo 命令进行安装。
AD存储的用户信息：
- 分散在多个DC。
- 操作系统对信息进行备份和选择性复制。
- 维护信息一致性。
- 提供容错能力。
活动目录中对象的名字：
- 采用DNS域名结构。
- 安装AD必须先安装DNS组件。
- 必须安装在NTFS分区。
全局组(G): 来自本地域，可授权访问域林中的任何信任域。
域本地组(DL): 来自任何域，只能访问本地域中的资源。
通用组(U): 可来自域林中的任何域，访问权限可以达到域林中的任何域。
组策略: 要记住
- A-G-DL-P策略
- A-G-G-DL-P策略
- A-G-DL-P策略: 将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。
- A 表示用户账号
- G 表示全局组
- U 表示通用组
- DL 表示域本地组
- P 表示资源权限

远程桌面与Samba服务

远程桌面协议RDP（Remote Desktop Protocol），基于TCP，端口3389，命令快捷键mstsc
Samba向Windows和Linux提供共享文件和打印机服务，可以实现linux和windows之间的文件共享。

IIS服务器(web与FTP服务器)

IIS（Internet Information Services，互联网信息服务）是微软开发的Web服务器软件，可以为网络提供HTTP、FTP、SMTP等服务。没有IMAP、POP3。
Apache，默认web站点根目录是/var/www/html或/home/httpd,web服务器的配置文件是/etc/httpd/conf/httpd.conf
- 虚拟主机：基于IP、基于端口、基于名字
FTP服务器：控制端口：21，端口数据20
- get 下载文件
- put 上传文件
- bye 退出

DNS (域名系统)

DNS（Domain Name System，域名系统）是因特网的一项服务，它用于将域名转换为IP地址，并提供其他相关服务。
DNS/DHCP服务器必须为静态IP地址，而Web/FTP均可为动态IP(域名)。
查看DNS服务器地址：Nslookup www.baidu.com
linux中，用Bind来搭建DNS服务器，配置文件在/etc/named.conf
主域名服务器：
- 具有域名数据库
- 一个域有且只有一个主域名服务器
- 维护本区域所有域名信息
辅助域名服务器：
- 具有域名数据库
- 主域名服务器的备份
缓存域名服务器：
- 获取解析结果耗时最短
- 没有域名数据库
转发域名服务器：
- 具有域名数据库
- 负责非本地和缓存中无法查到的域名

6种记录

记录类型	说明	备注
SOA	SOA叫起始授权机构记录，SOA记录用于表示在众多 NS记录中哪一台是主服务器	SOA记录还设置一些数据版本和更新以及过期时间的信息
A	把主机名解析为IP地址	www.test.com → 1.1.1.1
指针 PTR	反向查询，把IP地址解析为主机名	1.1.1.1 → www.test.com
名字服务器 NS	为一个域指定授权域名服务器，该域的所有子域也被委派给这个服务器	比如某个区域由 ns1.domain.com 进行解析
邮件服务器 MX	指明区域的邮件服务器及优先级	建立电子邮箱服务，需要MX记录将指向邮件服务器地址
别名 CNAME	指定主机名的别名，把主机名解析为另一个主机名	www.test.com 别名为 webserver12.test.com

DNS查询方式

递归查询：域名服务器帮助用户进行解析（老好人）
迭代查询：域名服务器反复多次查询，直到找到最后结果（踢皮球）

DNS配置文件

/etc/resolv.conf: DNS服务器配置文件
- 包含了主机的域名搜索顺序和DNS服务器地址。
- 命令查看内容：cat /etc/resolv.conf
- 示例内容：
  1
  2
  3
  # Generated by Network Manager nameserver 8.8.8.8 # Google主DNS服务器 nameserver 8.8.4.4 # Google备用DNS服务器
/etc/named.conf: DNS主配置文件
- 存放各类DNS记录，比如A记录、PTR记录。
/etc/hosts: 本地DNS解析缓存
- 包含IP地址、主机名。
- Windows系统中位于：C:\Windows\System32\drivers\etc\hosts
- 示例内容：
  1
  2
  # 102.54.94.97 rhino.acme.com # 38.25.63.10 x.acme.com

/etc/host.conf: 解析器查询顺序配置文件

命令查看内容：vi /etc/host.conf

示例配置：

1 2	`order hosts, bind # 表示先查询本地hosts文件,如果没有结果,再尝试查找BIND DNS服务器。`

DHCP服务器

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）是一项局域网技术，它允许一台计算机或网络设备自动获取IP地址、子网掩码、默认网关等网络配置参数。

Linux系统DHCP服务配置文件

配置文件位置：/etc/dhcpd.conf

DHCP服务流程

DHCP Discover：主机发送广播，寻找DHCP服务器。
DHCP Offer：DHCP服务器收到请求后，回复单播，提供IP地址等信息。
DHCP Request：主机收到DHCP服务器的回复后，发送广播，告知是否接受分配的IP。
DHCP ACK：服务器收到主机的DHCP Request后，回复单播，确认IP分配。

DHCP租约和续约

默认租期：8天
续约时间：租期超过一半（4天）时进行续约，续约后租期仍为8天。
重新绑定：租期超过87.5%时，重新绑定IP。

客户端操作命令

发送DHCP Discover：dhcpdiscover
电脑重启发送DHCP Request：电脑重启时自动发送。
重新获取地址：ipconfig /renew
释放IP地址：ipconfig /release

DHCP中继

企业内不同的用户可能分布在不同的网段，一台DHCP服务器在正常情况下无法满足多个网段的地址分配需求。如果还需要通过DHCP服务器分配IP地址，则需要跨网段发送DHCP报文。DHCP Relay即DHCP中继，它是为解决DHCP服务器和DHCP客户端不在同一个广播域而提出的，提供了对DHCP广播报文的中继转发功能，能够把DHCP客户端的广播报文“透明地”传送到其它广播域的DHCP服务器上，同样也能够把DHCP服务器端的应答报文“透明地”传送到其它广播域的DHCP客户端。

option43

Option 43是一个DHCP选项，用于在DHCP报文中传递额外的信息。当AP通过DHCP获取IP地址时，它可以在DHCP请求中包含Option 43，这个选项字段可以包含AC的IP地址或其他相关信息。这样，DHCP服务器就可以根据这些信息为AP分配适当的IP地址，并确保AP能够正确地连接到AC进行网络管理。

linux网络配置

网络相关配置文件大多数位于/ etc目录下，这些文件可以在系统运行时修改，不用重启或停止任何守护程序，更改立刻生效。
“#”开头的为注释内容。

网络配置文件：/etc/sysconfig/network-script/ifcfg-enoxxx
/etc/hostname：系统主机名文件。
/etc/hosts：包含 IP 地址和主机名之间的映射，还包含主机别名。
/etc/host.conf：指定客户机域名解析顺序，下面为该文件内容：hosts, bind
/etc/resolv.conf：指定客户机域名搜索顺序和 DNS 服务器地址。

iptables防火墙

规则表	定义	包含的规则链
raw	确定是否对该数据包进行状态跟踪。	OUTPUT、PREROUTING
mangle	修改数据包内容，用来做流量整形的，给数据包设置标记。	INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING
nat	负责网络地址转换，用来修改数据包中的源目标IP地址或端口。	OUTPUT、PREROUTING、POSTROUTING
filter	负责过滤数据包，确定是否放行该数据包（过滤）。	INPUT、FORWARD、OUTPUT

linux用户和组管理

查看当前用户：whoami
查看当前用户组：groups
添加用户：useradd username
删除用户：userdel username
修改用户密码：passwd username
/etc/passwd 每个用户在该文件中都有一行对应记录，该文件对所有用户都是可读的
/etc/shadow 只有超级用户root 能读的文件/etc/shadow, 该文件包含了系统中的所有用户及其加密后的口令等

第10章组网技术

交换机基础

交换机能隔离冲突域，一个端口就是一个冲突域

交换机分类

交换方式：
- 存储转发：延时较大，但可以提供差错校验，支持不同速度的输入、输出端口间交换（非对称交换）。
- 直通式：在输入端口扫描到目的地址后立即开始转发，延迟小、交换速度快，但没有检错能力，不能实现非对称交换。
- 碎片过滤式：交换机开始转发之前先检查数据包的长度是否够64个字节，小于64B说明是冲突碎片，丢弃。大于或等于64B转发，这种转发方式介于前两者之间。
交换协议层次：
- 二层交换机：根据MAC地址进行交换。
- 三层交换机：根据IP地址进行交换。
- 多层交换机：根据端口号和应用协议进行交换。
交换机结构：
- 固定端口交换机：提供有限数量的固定类型端口。
- 模块化交换机：机箱中预留插槽，可以根据需要安装不同数量及类型的模块。
配置方式：
- 堆叠型交换机：用堆叠电缆把一台交换机的UP口连接到另一台交换机的DOWN口，一般交换机能堆叠4~9层，堆叠后的交换机可以当作一台交换机来统一管理。
- 非堆叠型交换机：通过级联方式扩充，级联使用以太网端口进行层次间互联，层数不超过4层。
管理类型：
- 网管型交换机：支持简单网络管理协议SNMP和管理信息库MIB。
- 非网管型交换机：只能根据MAC进行。
- 智能型交换机：支持基于WEB的图形化管理。
层次结构型划分：
- 接入层交换机：是工作站连接网络的入口，提供高密度接入端口。
- 汇聚层交换机：将网络划分为多个广播/组播域，实现VLAN间路由，ACL，提供三层交换功能。
- 核心层交换机：采用高可扩展的高性能交换机，提供冗余、负载。

性能参数

传输模式：
- 半双工：通信双方可以发送和接收信号，但不能同时进行。
- 全双工：通信双方可以同时发送和接收信号。
- 全双工/半双工自适应：设备可以根据条件自动选择传输模式，但不同速率和传输模式的光纤端口间可能无法进行通信。
包转发率：
- 也称为吞吐率，是交换机进行数据包转发的能力。
- 单位为pps（包/秒）。
- 计算标准：单位时间内发送64B数据包的个数。
- 计算公式：[ \text{包转发率} = \text{千兆端口数} \times 1.488 \text{Mpps} + \text{百兆端口数} \times 0.1488 \text{Mpps} + \text{其余端口数} \times \text{相应包转发数} ]
背板带宽：
- 标志交换机总的交换能力。
- 单位为Gbps（千兆比特/秒）。
- 计算公式：[ \text{总带宽} = \text{端口数} \times \text{端口速率} \times 2 \text{(全双工模式)} ]

级联和堆叠

级联交换机：扩展端口数量
堆叠交换机：端口聚合，提高带宽
- 优势：逻辑上多台设备虚拟成一台设备，方便管理，避免了单点故障
- 劣势：私有协议，不同厂商的设备不能互通存在一定资源浪费

路由器基础

三层网络设备，具有局域网和广域网接口

能隔离广播域，一个端口就是一个广播域

路由器分类

骨干路由器：
- 描述：实现主干网络互连的关键设备。
- 特点：采用模块化设计，通过热备份、双电源和双数据通道等冗余技术提高可靠性。
企业级路由器（也称边缘路由器）：
- 应用：用于企业出入口。
- 功能：提供多种功能，实现数据、语音、视频、网络管理等应用。
接入级路由器：
- 应用：用于连接小型企业的客户群。
- 功能：实现简单信息传输功能。

路由器接口类型

广域网WAN端口：用于连接到广域网，如互联网或其他远程网络。
局域网LAN端口：用于连接到局域网内的设备，如计算机、打印机等。
RJ45端口：常规以太网电口，使用RJ45连接器，常用于连接以太网设备。
以太网光口：使用光纤连接，包括多种接口类型：
- SC：一种标准的光纤连接器。
- GBIC：Gigabit Interface Converter，千兆位接口转换器。
- SFP：Small Form-factor Pluggable，小型可插拔模块。
- **SFP+**：增强型小型可插拔模块，提供更高的数据传输速率。
- SFP28：支持28Gbps数据传输速率的小型可插拔模块。
AUI端口：Attachment Unit Interface，用于令牌环或总线型以太网接口，使用AUI连接器。
Serial串口：用于连接数字数据通信网络，如DDN（数字数据网）、帧中继、X.25、PSTN（公共交换电话网络）等。
ISDN BRI/PRI端口：ISDN（综合业务数字网）线路互联，BRI（Basic Rate Interface）提供两个B信道和一个D信道，PRI（Primary Rate Interface）提供多个B信道和一个D信道。
SDH POS接口：Synchronous Digital Hierarchy Packet Over SONET/SDH，提供不同速率的数据传输，如155M、622M、2.5G、10G等。

路由器管理方式

Console接口：
- 最基础且最常用的管理方式。
- 通常通过一个RJ45或者DB9接口直接连接到设备的控制台端口。
- 用于初始配置、故障诊断和恢复操作。
AUX端口：
- 用于连接调制解调器（Modem）。
- 可以远程通过电话线连接到设备进行配置和故障排除。
Telnet/SSH：
- 通过网络远程登录设备进行管理。
- Telnet是早期的远程管理协议，但安全性较低。
- SSH（Secure Shell）提供加密的远程登录，安全性更高。
浏览器：
- 通过Web浏览器访问设备的管理界面。
- 通常用于图形界面（GUI）管理，简化配置过程。
网管软件：
- 使用专门的网络管理软件进行设备管理。
- 可以集中管理多个设备，提供更高级的监控和配置功能。

第11章网络管理

网络管理概念

网络管理五大功能域：故障管理、配置管理、计费管理、性能管理和安全管理。

故障管理：尽快发现故障，找出故障原因，以便采取补救措施。

SNMP

简单网络管理协议（Simple Network Management Protocol）

网络管理协议五大标准
- ISO制定
  - CMIS/CMIP：公共管理信息服务规范
- 基于TCP/IP
  - SNMPv1
  - SNMPv2
  - SNMPv3
- 基于局域网
  - RMON-1：远程监控网络第一版
  - RMON-2：远程监控网络第二版
- IEEE制定
  - CMOL：基于物理层和数据链路层
- ITU-T
  - TMN：电信网络管理标准
SNMP为应用层协议，基于UDP协议，使用端口161和162
不可靠，但效率高，不会过多增加网络负载
SNMP报文
客户端用161端口来接受get/set命令，服务端（网管）用162端口来接收trap

SNMPv1

可以一对多，多对一
通过团体名(community)验证身份,明文传输，不安全

SNMPv2

新增GetBulk和Inform两个新协议操作
- GetBulk:获取大块数据
- Inform:允许管理站像管理站发送Trap信息/接收响应

SNMPv3

重新定义网络管理框架
- SNMP实体：将管理站和代理统一称为 SNMP 实体（entity）
安全机制
- 认证和加密传输
- 时间序列模块
  - 重放攻击防护
- 认证模块
  - 完整性和数据源认证
  - 算法：使用 SHA 或 MD5
- 加密模块
  - 防止内容泄露
  - 算法：使用 DES
未防护的威胁
- 拒绝服务
- 通信分析

RMON

远程监控网络（Remote Monitoring Network）
用于监视网络通信情况的设备叫网络监视器( Monitor) 或网络分析器 ( Analyzer )、探测器( Probe ) 等
RMON定义了管理信息库RMON MIB-II ( 流量信息 ) 与SNMP MIB ( 设备信息 ) 。
RMON目标：监视子网范围内通信，从而减少管理站和被管理系统之间的通信负载。

网络管理命令

命令	选项	用途
ipconfig	无	显示IP、掩码、网关等基础信息
ipconfig	/all	显示IP、掩码、网关、DHCP和MAC等详细信息
ipconfig	/renew	更新DHCP配置,重新获IP
ipconfig	/release	释放DHCP获得的IP地址
ipconfig	/flushdns	清除DNS缓存信息
ipconfig	/displaydns	显示DNS缓存信息
ping	-t IP	持续ping,直到Ctrl+C中断
ping	-a IP	将IP解析为主机名
ping	-n Count IP	设置ping包的个数
tracert	IP	跟踪网络传输路径原理:递增TTL字段的ICMP回送错误报文
pathping	IP	结合了ping和tracert功能,可以显示通信线路上每个子网的延时和丢包率
arp	-a	显示当前ARP缓存表
arp	-s IP MAC	静态绑定ARP
arp	-d IP	删除某条ARP缓存
netstat	无	显示TCP连接,侦听的端口及统计信息
netstat	-n	显示活动的TCP连接
netstat	-r	显示IP路由表,效果与route print一样
route	print	显示路由表
route	add	添加静态路由,重启不在：route add [目的网络] mask [子网掩码] [网关地址] -p
nslookup	host/IP	解析域名，反向解析IP地址

第12章网络规划设计

综合布线

结构化布线系统包含6个子系统：工作区子系统、水平子系统、干线子系统、设备间子系统、管理子系统和建筑群子系统。

网络分析与设计

五阶段网络规划（瀑布模型）
需求分析-通信规范设计-逻辑网络设计-物理网络设计-实施

网络安全技术措施表

技术评价

考虑：通信带宽、技术成熟性、连接服务类型、可扩展性、高投资产
要用成熟技术

网络结构与功能

单核心局域网
双核心局域网
层级局域网结构

广域网接入技术

PSTN公用电话网络
- 速率：56kb/s
ISDN
- BRI：2B+D=144K
- PRI：30B+D=2.048M
线缆调制解调器接入
- 架构：HFC主干光纤, 光纤到小区, 同轴电缆接入
- HFC网络中用户是通过同轴电缆接入 , 需要 Cable Modem , 局端终结设备是CMTS , ADSL网络局端终结设备是IDSLAM,PON网络局端终结设备是OLT ，运营商网络用户认证一般都采用PPPOE, 负责的设备是BRAS。
数字用户线路远程接入xDSL
- 计算机通过ASDL Modem接入
PON无源光网络
- 上行链路（从ONU到OLT）使用TDMA技术，允许多个ONUs在不同的时间间隔内发送数据到OLT，从而实现高效的带宽利用和冲突避免。
- 下行链路（从OLT到ONU）则通常使用广播技术

网络故障诊断与排查

光时域反射计（OTDR）：
- 用于检测光缆的光衰减情况，通过测量光信号在光纤中的反射和散射，可以发现光缆中的故障点，如断裂、弯曲或连接不良等问题。OTDR能够提供光缆的损耗图，帮助网络管理员快速定位故障位置。
光功率计：
- 用于测量光缆中光信号的功率。光功率计可以检测光缆的输入和输出功率，帮助判断光缆的损耗是否在正常范围内。当光缆损耗超出正常范围时，可以使用光功率计进行进一步的检测。
光纤熔接机：
- 当发现光缆断裂等物理损伤时，光纤熔接机可以用来修复光缆。通过将断裂的光纤端面精确对准并熔接，可以恢复光缆的传输功能。光纤熔接机是处理光缆物理断裂的常用设备。
网络寻线仪：
- 用于在复杂的网络布线环境中找到特定的电缆或光纤。网络寻线仪通过发送特定的信号并检测返回信号，帮助定位特定的线路。
可见光检测笔：
- 用于检测光纤是否正确连接以及光信号的存在。可见光检测笔可以发射可见光，当光纤正确连接并且有光信号通过时，可以在光纤的另一端看到光。

网工

#计算机网络

软考网络工程师笔记

https://xinhaojin.github.io/2024/09/20/软考网络工程师笔记/

作者

xinhaojin

发布于

2024年9月20日

许可协议

flask+gunicorn+vue+nginx Linux部署案例上一篇

DNS修改器(linux+win) 下一篇

软考网络工程师笔记

第0章 计算机基础知识补充

计量单位

数据表示

中央处理器CPU

指令系统

寻址方式

指令集

指令执行

指令周期

存储器系统

主存储器

硬盘

Cache

RAID技术

软件开发

软件开发模型

软件开发方法

软件开发测试方法

计算机相关知识产权法律法规

第1章 计算机网络概论

计算机网络概论

计算机网络分类

网络协议体系结构

计算机网络传输过程

第2章 数据通信基础

基本概念

信道特性

信道带宽

信道延迟

通信传输介质

数据编码

极性编码

曼彻斯特编码

差分曼彻斯特编码

曼彻斯特编码特点总结

编码效率

数字调制技术

脉冲编码调制（PCM）

数据通信方式

按通信方向分

按同步方式分

数据交换方式

多路复用技术

E1和T1

同步数字序列

差错控制

奇偶校验

CRC循环冗余校验

海明码校验

第3章 广域网

公共交换电话网PSTN

公共数据网X.25

帧中继网Frame Relay

ISDN和ATM

HDLC

第4章 局域网和城域网

局域网和城域网体系架构IEEE 802

CSMA/CD协议

三种监听算法

冲突处理机制

二进制指数退避算法

最小帧长计算

以太网帧

帧格式

以太网报文封装

快速以太网802.3u(100M)

千兆以太网802.3z,802.3ab(1000M)

万兆以太网802.3ae(10G)

虚拟局域网VLAN

交换机VLAN划分

VLAN作用

VLAN标签

交换机端口类型

生成树协议

背景

作用

特点

生成树算法

相关概念

第0章计算机基础知识补充

第1章计算机网络概论

第2章数据通信基础

第3章广域网

第4章局域网和城域网

第5章无线通信网

第6章网络互联与互联网

第7章下一代互联网IPV6

第8章网络安全