计算机四级网络工程师知识点全面总结-计算机网络篇

原创已于 2025-08-17 14:25:22 修改 · 785 阅读

CC 4.0 BY-SA版权

文章标签：

于 2025-08-17 12:46:45 首次发布

声明1 本文参考了计算机四级网络工程师1600道真题和其他网络教程写成，感谢这些作者提供的资料
声明2 如果存在错误和不足，欢迎提出评判建议；如果涉及侵权，请联系我进行删除
声明3 本文还提供了PDF版本以便下载，所有资料均完全免费，如果你觉得这份资料有帮助，点赞收藏就是对作者最大的支持

一、网络技术基础

1.1 计算机网络的概念

计算机网络基本特征

计算机网络是联网的自治计算机集合，没有明确的主从关系
计算机网络结点可分布在不同地理位置，可协同完成各项任务，多个联网计算机网络结点之间通信需遵循相同的网络协议
计算机网络的主要目的和功能之一是计算机资源共享（不是控制其它计算机）

计算机网络发展阶段

第一阶段的主要成果是计算机技术与通信技术的结合
第二阶段的主要成果是ARPANET与分组交换技术的结合
第三阶段的主要成果是标准化网络体系结构与网络协议的形成
第四阶段的主要成果是互联网、无线网络与网络安全技术的发展

计算机网络覆盖范围

计算机网络按照地理范围排序：广域主干网（100~1000 km）>宽带城域网（10~100 km）>高速局域网（10 m~10 km）>个人区域网（0~10 m）

1.2 计算机网络的分类

ARPANET

ARPANET是美国国防部高级研究计划署（Defense Advanced Research Project Agency, DARPA）资助的研究性网络，属于有线广域网
ARPANET主要研究成果是分组交换技术，对计算机网络发展具有重要影响，为互联网的形成奠定了基础

广域主干网WAN

广域主干网用于国际洲际城域网的跨地区互联
广域主干网可以用来连接主干路由器

宽带城域网MAN

宽带城域网用于城市范围内局域网之间的互联
宽带城域网以光纤（不是卫星信道）作为骨干传输线路，用户主要接入途径是接入网
宽带城域网需要考虑接入网技术的地区性网络，可支持语音、视频、数据等多种业务，是互联多种网络的城市综合业务网络
宽带城域网的层次包括：核心交换层、汇聚层、接入层
广域主干网、宽带城域网通常由电信运营商负责维护（不是由用户自己组建与管理的网络）

高速局域网LAN

高速局域网用于有限范围内（如一个实验室、一幢大楼、一个校园等）各种计算机的互联
高速局域网与城域网的区别决定要素：网络拓扑、传输介质、介质访问

个人区域网PAN

个人区域网用于日常自身附近个人操作空间中移动数字终端设备（如手机、耳机等）的互联
个人区域网主要依赖无线通信技术（如蓝牙、红外、ZigBee等）
个人区域网（20世纪90年代）出现时间晚于广域网（20世纪60年代）

无线自组网Ad hoc

无线自组网是一种对等式的自组织临时性无线局域网
无线自组网的网络拓扑结构会发生改变（拓扑结构不固定，无中心结构）
无线自组网支持结点移动，不需要基站，可应用于军事领域

无线传感网WSN

无线传感网将Ad hoc与传感器技术结合，是一种特殊的无线自组网，其网络结点主要是传感器
无线传感网络广泛应用于军事监控、目标追踪等场景

无线网状网WMN

无线网状网将Ad hoc与WLAN、WMAN结合，是对WiMAX的补充
无线网状网具有成本低、组网灵活、维护方便、覆盖范围大、建设风险小等特点
无线网状网用于解决无线接入“最后一公里”问题

1.3 网络体系结构

OSI参考模型

OSI参考模型由国际标准化组织（International Organization for Standardization, ISO）制定，该参考模型是ISO在网络体系结构方面取得的最重要成果和在网络标准化过程中起到的最重要贡献
OSI参考模型的结构层次包括：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层
物理层实现透明的比特流传输
数据链路层实现介质访问控制（MAC子层）、逻辑链路控制（LLC子层）
网络层提供路由选择功能
传输层提供端到端通信服务
OSI参考模型的层次划分原则包括：①网中各结点都有相同的层次；②不同结点的同等层具有相同的功能；③同一结点内相邻层之间通过接口通信；④每一层使用下层（低层）提供的服务并向其上层（高层）提供服务；⑤不同结点的同等层之间按照对等协议实现的通信
OSI可支持异构系统的互联，没有详细说明各层实现方法，各层实现技术的改变不影响其上层

TCP/IP参考模型

TCP/IP参考模型由互联网工程任务组（Internet Engineering Task Force, IETF）制定，该参考模型出现于TCP/IP协议之后
TCP/IP参考模型的结构层次包括：网络接口层（主机—网络层）、网际互联层（网络层）、传输层（主机—主机层）、应用层（主机层）
网络接口层负责通过网络发送和接收IP分组
网际互联层负责处理来自传输层的数据发送请求、处理接收的IP分组、处理网络的路由选择和流量与拥塞控制
传输层负责在会话进程之间建立和维护端到端连接，实现网络环境中分布式进程通信功能
应用层负责提供各种网络应用，并不断纳入新的协议
TCP/IP协议是开放的网络协议标准，独立于特定的网络软硬件，能够适配不同网络软硬件
TCP/IP可支持异构系统的互联，不依赖特定计算机硬件和操作系统

OSI	TCP/IP	协议
应用层	应用层	Telnet、FTP、SMTP、HTTP、DNS、SNMP、DHCP
表示层
会话层
传输层	传输层	TCP、UDP
网络层	网际互联层	IP、ICMP、ARP、RIP、OSPF
数据链路层	网络接口层	IEEE802.3~802.5
物理层	网络接口层	IEEE802.3~802.5

网络协议

网络协议是为网络数据交换制订的规则与标准
网络协议组织方式经常采用层次结构模型
网络协议是要素包括：语法、语义、时序
语法用于定义控制信息的结构与格式
语义用于解释控制信息每个部分的意义
时序用于说明事件发生和实现的详细顺序

网络拓扑

网络拓扑的主要类型包括：总线型拓扑、星型拓扑、环型拓扑、树型拓扑、网状拓扑

总线型拓扑

总线型拓扑的所有结点连接到一条作为公共传输介质的共享总线，拓扑结构固定
总线型拓扑的结点以广播方式发送数据，需要解决介质访问控制问题

星型拓扑

星型拓扑通过中心结点完成全网通信的集中控制，其可靠性瓶颈在中心结点

环型拓扑

环型拓扑通过点对点线路构成环路，环中数据将沿一个方向逐站传送，传输顺序和传输延时确定
环型拓扑结构简单，易于安装和维护

树型拓扑

树型拓扑通过层次组织结点的连接关系，叶子节点不共享

网状拓扑

网状拓扑的结点之间连接关系完全无规律，属于无规则拓扑，传输延时不固定
网状拓扑的拓扑结构复杂，需要使用路由选择功能

六种基本网络拓扑结构详解_路网拓扑加路-优快云博客

1.4 数据交换技术

数据交换方式

数据交换方式包括：电路交换方式、存储转发交换方式
存储转发交换方式包括：报文交换方式、分组交换方式
分组交换方式包括：数据报交换方式、虚电路交换方式

电路交换方式

电路交换方式在数据交换前需要在通信子网中需要建立一条实际物理连接

报文交换方式

报文交换方式将报文作为数据传输单元，不对传输的数据块长度做任何限制
报文是封装的数据包，可能包含很小的文本或语音文件，也可能包含很大的数据库、图形、图像或视频文件

分组交换方式

分组交换方式将报文划分成有固定格式和最大长度限制的分组
分组交换方式有利于提高路由器检测接收分组是否出错和出错重传处理过程的效率，提高路由器存储空间的利用率
分组交换方式有利于路由选择算法根据链路通信状态和网络拓扑变化动态地为不同分组选择不同的传输路径，减小数据传输延迟，提高数据传输可靠性

数据报交换方式

数据报方式在发送分组前无需在源结点与目的结点之间预先建立连接
数据报方式的数据分组中必须带有源地址和目的地址，用于中间结点的路由工作
数据报交换发送的同一报文的不同分组可能经过不同路径传输到达目的结点，不同分组可能会出现乱序、重复、丢失现象
数据报方式不能改变网络拓扑结构，不是网络拓扑动态变化的局域网工作方式

虚电路交换方式

虚电路方式在发送分组前需要在源节点与目的节点之间需要预先建立一条逻辑连接
虚电路方式的数据单元中不需要包含源地址与目的地址，分组传输时不需要执行路由选择
虚电路方式发送的同一报文的不同分组从源结点到达目的结点时不会出现乱序、重复、丢失现象

4.1.2 计算机网络之（电路交换、报文交换、分组交换--数据报--虚电路）_数据交换技术的虚电路交换-优快云博客

网络传输特征参数

描述数据通信的基本技术参数包括：数据传输速率、误码率

数据传输速率

数据传输速率指每秒钟传输的构成数据的二进制比特数

例题1：如果数据传输速率为2.5Gbps，那么它可以等价地表示为或记为2500Mbps、2.5×10^6Kbps、2.5×10^9bps

例题2：如果数据传输速率为100Mbps，那么发送12.5M字节数据需要用1 s

解析：12.5MB/100Mbps=100Mb/100Mbps

例题3：如果在通信信道上发送1字节所需时间为0.004 ms，那么该信道的数据传输速率是2Mbps

解析：1B/0.004 ms=8b/0.000004 s

误码率

误码率指二进制数据在通信传输系统中传输出错的概率
误码率是衡量正常状态下传输可靠性的参数
对误码率要求的改变会影响系统的造价，普通电话线的误码率通常高于光纤

网络操作系统

网络操作系统常见的包括：Unix、Windows、Linux

Unix系统

Unix操作系统常见的包括：Solaris、HP-UX、AIX
Unix最早由美国电话电报公司（American Telephone and Telegraph, AT&T）贝尔实验室开发，此后很多公司开发了自己的Unix版本（如Sun Microsystems公司的Solaris、HP公司的HP-UX、IBM公司的AIX，不是由单一一家公司维护），形成“Unix战争（Unix wars）”
公用开放软件环境（Common Open Software Environment, COSE）组织致力于Unix标准化，目的是改善应用程序在Unix操作系统之间的可移植性，应对Windows兴起的威胁
Unix第一个版本用汇编语言（不是C语言）编写，不开放源代码，许多版本提供图形用户界面
Unix是基于可移植操作系统接口（Portable Operating System Interface of Unix, POSIX）标准的多用户、多任务、支持多线程和多CPU的网络操作系统，最初针对小型机环境，采用分时多用户结构，主要用于服务器端，某些版本可支持Intel平台

Windows系统

Windows操作系统常见的包括：Windows Vista、Windows NT、Windows Server 2003、Windows XP、Windows 7
Windows由微软（Microsoft）公司开发
Windows是一种不向用户开放源代码的闭源系统，提供图形用户界面
Windows NT分为：Windows NT Server和Windows NT Workstation，采用客户机/服务器的工作模式，支持网络功能
Windows Server 2003（2003）的发布晚于Windows 2000（2000）和Windows XP（2001），早于Windows 7（2009）
Windows Server 2003主要用于服务器端

Linux系统

Linux操作系统常见的包括：Red Hat、Mandrake、Slackware、SUSE、TurboLinux、Debian、Caldera、Ubuntu、蓝点Linux、红旗Linux
Linux最早由芬兰赫尔辛基大学的学生Linus Torvalds设计，此后由全球各地的开发者和社区共同贡献和维护（不是由一个公司或国际组织统一维护）
Linux可提供图形用户界面，是一种免费的开源系统，可用作Internet服务平台
Linux的核心部分是不同版本的Linux内核，与Unix采用不相同的内核（不是Unix的简单变种或改进）
Linux编写时效仿Unix，与Unix相似，属于类Unix系统

BSD系统

BSD操作系统常见的包括：FreeBSD、OpenBSD、NetBSD
BSD是Unix的开源衍生版，属于类Unix系统

二、局域网技术

2.1 局域网的标准

光纤分布式数据接口FDDI

光纤分布式数据接口（Fiber Distributed Data Interface, FDDI）网络采用主次双环结构，当主环发生故障时，数据可以通过次环继续传输
FDDI网络提供的高速数据通信能力高于以太网和令牌网

IEEE 802标准

IEEE 802标准又称局域网/城域网标准委员会（LAN /MAN Standards Committee, LMSC）标准，是电气与电子工程师协会（Institute of Electrical and Electronics Engineers, IEEE）针对局域网定义的参考模型，主要关注局域网的标准化工作
IEEE 802标准涉及的OSI层次为物理层与数据链路层，在物理层针对支持的传输介质制定不同的物理标准，在数据链路层解决介质访问控制和逻辑链路控制问题
IEEE 802.3标准在MAC层定义了以太网的CSMA/CD机制
IEEE 802.11标准在MAC层定义了无线局域网的CSMA/CA机制
IEEE 802.11标准在MAC层实现了虚拟监听（VCS）机制和网络分配向量（NAV）机制，主动避免冲突发生，降低冲突发生概率
IEEE 802.11标准支持的认证方式包括：802.1X、PPPoE、Web等
IEEE 802.11标准的网络中认证（Authentication）、授权（Authorization）、计费（Accounting）服务器被称为AAA服务器

快速以太网

快速以太网（百兆以太网）的最大传输速率是传统以太网（标准以太网）的10倍
快速以太网可使用交换机作为核心设备
快速以太网定义了介质专用接口（Media Independent Interface, MII）

千兆以太网

千兆以太网通过千兆介质专用接口（Gigabit Media Independent Interface, GMII）分隔物理层与MAC层

万兆以太网

万兆以太网传输距离仅受物理介质限制，不受冲突检测的限制，不存在介质访问控制问题
万兆以太网支持局域网与城域网或广域网组网，不仅能应用于局域网环境，也能够满足现阶段以及未来一段时间内城域网和骨干网的带宽需求，不用于自组网场景
快速以太网、千兆以太网、万兆以太网采用与传统以太网相同的帧结构，没有改变以太网的帧格式

IEEE制定协议	针对对象	最大传输速率	传输介质或频段	传输模式
802.1a	局域网体系结构
802.1d	生成树协议
802.2	逻辑链路控制
802.3	以太网	10 Mbps	双绞线	半双工
802.3u	快速以太网	100 Mbps	双绞线或光纤	半双工或全双工
802.3ab	千兆以太网	1 Gbps	双绞线	全双工
802.3z	千兆以太网	1 Gbps	双绞线或光纤	全双工
802.3ae	万兆以太网	10 Gbps	光纤	全双工
802.3ba	高速以太网	40/100 Gbps	铜缆或光纤	全双工
802.4	令牌总线网
802.5	令牌环网
802.11	无线局域网	1~2 Mbps	2.4 GHz
802.11a	无线局域网	54 Mbps	5 GHz
802.11b	无线局域网	11 Mbps	2.4 GHz
802.11g	无线局域网	54 Mbps	2.4 GHz
802.11n	无线局域网	300~600 Mbps	2.4/5 GHz
802.11p	车载环境无线通信接入网
802.15	无线个人区域网
802.16	无线宽带城域网

物理层标准

标准中横杠前各字段的含义：100/1000代表传输速率为100/1000Mbps，Base代表基带传输
标准中横杠后各字段的含义：T表示Twisted Pair、F表示Fiber、C表示Copper Twisted Pair/Coax or Twinax、S表示850 nm Short Wavelength、L表示1300 nm Long Wavelength、X表示8b/10b Block Encoding

物理层标准	IEEE标准	传输介质	最大长度
100Base-FX	802.3u	多模或单模光纤	2000 m
1000Base-T	802.3ab	非屏蔽双绞线	100 m
1000Base-CX	802.3z	屏蔽双绞线	25 m
1000Base-SX	802.3z	多模光纤	550 m
1000Base-LX	802.3z	单模光纤	5000 m

2.2 共享式局域网

共享介质局域网

总线型局域网（简称为以太网）采用CSMA/CD介质访问控制方式
令牌总线型局域网（简称为令牌总线网）采用Token Bus介质访问控制方式
令牌环型局域网（简称为令牌环网）采用Token Ring介质访问控制方式
CSMA/CD属于延迟随机型介质访问控制方法，每个主机能够得到总线发送权的时间是不确定的
Token Bus和Token Ring属于延迟确定型介质访问控制方法（顺序型介质访问控制方法）

以太网Ethernet

以太网（Ethernet）最早使用的传输介质是粗同轴电缆，最常使用的传输介质是双绞线，以太网卡中的RJ-45接口用于连接双绞线
以太网的数据传输单元是以太网帧
以太网的特点包括：①所有主机连接到一条作为公共传输介质的共享总线上；②所有的结点都可以发送或接收数据，但一个时刻只允许一台主机采用广播方式发送数据帧（即半双工形式），其他的主机此时只能接收数据帧；③同时有两个或两个以上主机通过总线发送数据的情况时会出现冲突（Collision），造成传输失败
媒体访问控制（Media Access Control Address, MAC）地址又称以太网物理地址，存储在以太网卡的EPROM中
以太网物理地址需要保证唯一性，地址长度是48位，前3个字节由IEEE的注册管理机构分配给不同厂家，后3个字节由网卡生产商分配（不能由用户为以太网卡随意分配）
以太网的核心设备是集线器，工作在物理层

冲突检测的载波侦听多路访问CSMA/CD

CSMA/CD（Carrier Sense Multiple Access with Collision Detection）工作在MAC层
CSMA/CD的发送流程包括：先听后发、边听边发、冲突停止、延迟重发
CSMA/CD的网络结点发送数据前需侦听总线，不能完全避免数据传输冲突，冲突帧的重发次数有限制
CSMA/CD是一种随机争用型的介质访问控制方法，可追溯至以太网的起源ALOHA

以太网帧

以太网帧（Ethernet Frame）的最小长度为64B，最大长度1518B
以太网帧的前导码字段标志以太网帧的开始，帧前定界符字段可用于接收同步，前导码和帧前定界符字段的长度不计入以太网帧头长度
以太网帧的目的地址字段用于保存目的结点的MAC地址，源地址字段用于保存源结点的MAC地址
以太网帧的类型字段用于保存高层协议（主要是网络层协议，如IPv4、IPv6、ARP等）的类型，数据字段用于保存高层协议的待发送数据
以太网帧的帧校验序列（Frame Check Sequence, FCS）采用循环冗余校验（Cyclic Redundancy Check, CRC），校验范围包括：目的地址、源地址、长度、数据等

数据帧和数据包解读-优快云博客

2.3 交换式局域网

交换式局域网

交换式局域网通过端口/MAC地址映射表实现帧交换，支持多节点之间的并发连接，数据传输不会发生冲突
交换式局域网核心连接设备是局域网交换机，交换机的帧转发方式包括：直接（Cut-Through）交换方式、存储转发（Store-and-Forward）交换方式、碎片隔离（Fragment-Free）交换方式
碎片隔离交换方式将直接交换方式和存储转发交换方式结合起来，是改进的直接交换方式，在接收到以太网帧的前64宇节后，判断帧头字段是否正确，如果正确就转发出去
二层交换机工作在数据链路层，执行桥接功能，没有路由选择功能（无法提供网络层的流量控制功能）
二层交换机的核心技术之一是端口/MAC地址映射，可根据MAC地址转发数据，交换速度快，但控制功能弱
三层交换机工作在网络层，具备路由能力

例题1：一种机箱式Ethernet交换机可插入36个10/100Mbps全双工端口与2个1Gbps全双工端口，那么在交换机满配置的状况下总带宽可达11.2Gbps

解析：全双工2倍带宽，36×100Mbps×2+2×1Gbps×2

注意：10/100Mbps表示自适应传输速率，满配置状况下应考虑最大带宽100Mpbs

例题2：如果交换机的总带宽为10.4Gbps，它具有4个千兆的全双工端口，则其百兆的半双工端口数量最多为24

解析：半双工1倍带宽，(10.4Gbps-4×1000Mbps×2)/100Mbps/1

虚拟局域网VLAN

虚拟局域网（Virtual Local Area Network, VLAN）基于局域网交换机组建，其技术基础是交换式局域网技术
虚拟局域网的组网方法包括：基于交换机端口定义虚拟局域网、基于MAC地址定义虚拟局域网、基于IP地址定义虚拟局域网、基于IP广播组定义虚拟局域网
虚拟局域网的优点包括：方便网络用户管理、减少网络管理开销、提高网络安全性、改善网络服务质量
虚拟局域网工作组中的结点管理不受物理位置限制

2.4 无线局域网

无线局域网WLAN

无线局域网（Wireless Local Area Network, WLAN）以微波、激光、红外线等无线电波作为传输介质，采用CSMA/CA介质访问控制方式来解决网络结点访问传输介质的控制问题
无线局域网可作为传统有线局域网的补充，不能完全代替传统的以太网
无线局域网的组网方式包括：Ad-hoc（有中心结构）模式、Infrastructure（对等通信结构）模式
接入点（Access Point, AP）是无线局域网的基站
接入控制器（Access Controller, AC）是无线局域网与外部网络之间的网关，负责管理某个区域内无线网络中的接入点
端站结点是用户接入无线局域网的终端（如笔记本电脑、带有无线网卡的设备）
端站结点可通过接入点接入无线局域网，实现漫游访问（Nomadic Access）
红外无线局域网的传输技术包括：全方位红外传输、定向光束红外传输、漫反射红外传输（没有绕射红外传输）
红外无线局域网的数据传输距离受视距限制

冲突避免的载波侦听多路访问CSMA/CA

CSMA/CA（Carrier Sense Multiple Access with Collision Avoidance）工作在MAC层
CSMA/CA发送数据前需要侦听信道，不能完全避免冲突的发生，重发数据前需要等待一段时间
CSMA/CA支持的访问控制模式包括：点协调功能（Point Coordination Function, PCF）提供的无争用服务、分布协调功能（Distributed Coordination Function, DSF）提供的争用服务

无线局域网帧

无线局域网帧（802.11帧）与传统以太网帧的结构不同
无线局域网帧的帧控制字段包含类型字段，标识的帧类型包括：数据帧、管理帧、控制帧
无线局域网帧的持续字段实现帧持续时间的独立控制
无线局域网帧的地址使用MAC地址
无线局域网帧的顺序控制用于分片和序列号管理
无线局域网帧的数据部分的长度可变
无线局域网帧的帧校验采用CRC
无线局域网帧的常用帧间间隔包括：短帧间间隔（Short IFS, SIFS）、点帧间间隔（Point IFS, PIFS）、分布帧间间隔（Distributed IFS, DIFS）
短帧间间隔用于分隔属于一次对话中的各帧

802.11协议数据帧详解（一）——802.11帧结构与分类_802.11 帧结构-优快云博客

扩频技术

扩频技术包括：跳频扩频、直接序列扩频
扩频技术可用于无线局域网，可使用2.4 GHz的工业、科学、医药（Industrial Scientific Medical, ISM）专用频段
扩频发送数据前需要通过调频或调相进行调制（不需要进行调幅）

跳频扩频FSSS

跳频扩频（Frequency Hopping Spread Spectrum, FSSS）使用伪随机跳频码，将频带划分为多个信道，通信双方需要同步跳变到同一频带的不同信道
跳频扩频的数据传输速率通常在Mbps级别，为1~2Mbps
跳频扩频的核心是抗干扰和隐蔽性（不是高速传输）

直接序列扩频DSSS

直接序列扩频（Direct Sequence Spread Spectrum, DSSS）使用伪随机扩频码，将数据在较宽的频谱上扩展，通信双方采用相同的频段通信
直接序列扩频的数据传输速率通常在Mbps级别，为1~2Mbps

三、Internet基础

3.1 Internet的概念

Internet特点

Internet是计算机网络的集合，具有全球覆盖范围（不是局域网）
Internet运行TCP/IP协议，IP协议是Internet实现网络互联使用的主要协议
从网络设计者角度考虑，Internet是一个计算机IP互联网，互联多个物理网络
从使用者角度考虑，Internet是一个信息资源网，用户不需要知道Internet内部结构

Internet构成

Internet主要组成部分包括：通信线路、路由器、主机、信息资源

主机

主机是Internet中信息资源和网络服务的载体，一台主机中可以同时运行多种服务
主机既可以是接入Internet的巨型计算机，也可以是微机或笔记本电脑，甚至可以是3G、4G手机或平板电脑等移动设备

路由器

路由器是实现异构网络互联的设备，用于连接不同的网络，是网络与网络之间的连接桥梁，核心技术是路由选择技术
路由器的主要功能包括：维护路由表信息、转发所收到的IP数据报、为投递的IP数据报选择最佳路径
路由选择程序在没有发现到达某一特定网络或特定主机的路由时转发数据包所使用的特殊路由是默认路由

网络地址转换NAT

网络地址转换（Network Address Translation, NAT）技术是在网络通信过程中路由器将私有IP地址与公共IP地址之间进行互相转换的技术
网络地址转换包括：静态NAT、动态NAT、网络地址端口转换（Network Address Port Translation, NAPT）

例题1：有一个NAT设备具有一个外部IP地址，如果内部网络的5台主机都希望共享利用该外部IP地址同时访问外部Internet网络，那么该NAT设备应该采用的工作模式为NAPT

例题2：内网的主机A利用NAT访问外网的主机B，如果主机A的IP地址为192.168.1.100，主机B的IP地址为202.113.25.99，NAT设备的IP地址为192.168.1.1和206.102.66.36，那么：

主机A的私有IP地址为192.168.1.100，公共IP地址为206.102.66.36

主机B的外部因特网IP地址为202.113.25.99

NAT设备的内部IP地址为192.168.1.1，外部IP地址为206.102.66.36

主机A接收到的IP数据报的源地址为202.113.25.99，目的地址为192.168.1.100

主机B接收到的IP数据报的源地址为206.102.66.36，目的地址为202.113.25.99

3.2 Internet的接入方式

Internet无线接入方式

Internet的无线接入方式主要包括：WiFi、数字微波、卫星通信等

Internet有线接入方式

Internet的有线接入方式主要包括：通过电话线网接入、利用非对称数字用户线路接入、利用混合光纤同轴电缆接入、通过数据通信线路接入

电话线网接入

公共交换电话网络（Public Switched Telephone Network, PSTN）的拨号接入是早期互联网用户最常用的接入方法
PSTN使用调制解调技术，需要调制解调器（Modem），负责音频信号和数字信号的转换

非对称数字用户线路接入ADSL

非对称数字用户线路（Asymmetric Digital Subscriber Line, ADSL）借助有线电话线路传输数据
ADSL使用调制解调技术，需要ADSL调制解调器（ADSL Modem）
ADSL采用非对称传输方式，上、下行信道的传输速率可以不同
ADSL无需电话拨号，数据信号和语音信号可以互不影响同时传输，适合家庭和中小型企业用户的互联网接入需求

混合光纤同轴电缆接入HFC

混合光纤同轴电缆（Hybrid Fiber Coaxial, HFC）借助有线电视网络传输数据
HFC使用调制解调技术，需要电缆调制解调器（Cable Modem）
HFC采用非对称传输方式，上、下行信道的传输速率可以不同
HFC采用共享信道传输方式，所有的发送或接收使用同一个上行或下行信道，适用家庭用户使用

数据通信线路接入

数据通信网是专门为数据信息传输而建设的线路
数据通信网包括：DDN专线、ATM（Asynchronous Transfer Mode）专线、帧中继等

3.3 IP协议

IP特点

IP服务的主要特点包括：不可靠、面向无连接、尽最大努力投递（没有QoS保证）
不可靠指不能保证数据报的可靠投递，也不具有可靠的错误通知机制
面向无连接指从源节点到目的节点的每个数据报可能经过不同的传输路径，在传输过程中数据报可能到达也可能丢失
尽最大努力投递指不可以随意丢弃数据报
IP互联网特点包括：①IP协议工作于网络层，隐藏了低层物理层网络细节，向上为传输层和应用层的用户提供一致通用的网络服务；②IP互联网不指定网络互联的拓扑结构，也不要求网络之间全互联；③IP互联网能在物理网络之间转发数据，跨网传输信息；④IP互联网中的所有计算机使用统一的IP地址描述法表示；⑤IP互联网平等对待互联网中每一个网络
IP地址具有层次结构，一条物理连接可以绑定多个IP地址
IP协议精确定义了IP数据报格式，具体规定了数据报寻址和路由、数据报分配和重组、差错控制和处理等

IPv4协议

IPv4协议版本采用的地址长度为32位，由4组点分十进制数字组成，每组代表8位
IPv4中的回送地址一般为127:0:0:1

IPv6协议

IPv6协议版本采用的地址长度为128位，由8组冒分十六进制数字组成，每组代表16位
IPv6中的回送地址一般为0:0:0:0:0:0:0:1
IETF研究IPv6的动机包括：IPv4的地址空间不足、IPv4的地址配置较为繁琐、IPv4的性能可进一步提高（没有IPv4的设计思想不正确）

例题1：两台主机处于子网掩码为255.255.255.224的同一子网中，如果一台主机的IP地址为205.113.28.85，那么另一台主机的IP地址可以为205.113.28.75

解析：

255.255.255.224转为二进制为11111111.11111111.11111111.11100000

子网掩码显示前27位表示子网

205.113.28.85转为二进制为11001101.01110001.00011100.01010101

205.113.28.75转为二进制为11001101.01110001.00011100.01001011

两台主机的IP地址中子网部分相同

例题2：某一台主机：

IP地址为202.113.25.36，掩码为255.255.255.0，如果该主机需要向网络202.113.26.0进行直接广播，那么其应该使用的源地址为202.113.25.36，目的地址为202.113.26.255

IP地址为20.113.25.55，掩码为255.255.240.0，如果该主机需要发送有限广播数据报，那么其应该使用的源地址为0.0.0.0，目的地址为255.255.255.255

例题3：下图为一简单的互联网示意图，在路由器1的路由表中对应目的网络192.168.4.0的下一跳步IP地址的可能的取值为192.168.3.3、192.168.2.2、192.168.3.1

解析：可能的路径包括：

①路由器1→192.168.3.0→路由器3

②路由器1→192.168.2.0→路由器2→192.168.3.0→路由器3

③路由器1→192.168.3.0→路由器2→192.168.3.0→路由器3

注意：路由器1→路由器2和路由器2→路由器3的路径可以不重复，也可以部分重复

例题4：下图为一个简单的互联网示意图，路由器R的路由表中到达网络40.0.0.0的下一跳步IP地址的可能的取值为20.0.0.5、20.0.0.8、30.0.0.7

例题5：下图为一个简单互联网的示意图，为了与互联网中的其他计算机进行通信，计算机A的IP地址可以设置为10.0.0.2~10.255.255.254，计算机F的IP地址可以设置为12.0.0.2~12.255.255.254

解析：

主机A的可用IP地址取值范围需要排除网络地址10.0.0.0、路由器地址10.0.0.1、直接广播地址10.0.0.255

主机F的可用IP地址取值范围需要排除网络地址12.0.0.0、路由器地址12.0.0.1、直接广播地址12.0.0.255

例题6：主机A运行Windows 7操作系统，IP地址为202.113.224.35，掩码为255.255.255.240（网络地址202.113.224.32）；主机B运行Linux操作系统，IP地址为202.113.224.51，掩码为255.255.255.240（网络地址202.113.224.48）：

若它们分别连接在两台不同的集线器上，这两台集线器通过UTP电缆相互连接。主机A去ping主机B时，发现接收不到正确的响应，可能的原因是A和B处于不同的子网中

若它们分别连接在同一台局域交换机上，但处于不同的VLAN中。主机A通过ping命令去ping主机B时，发现接收不到正确的响应，可能的原因是A和B处于不同的VLAN中

例题7：IPv6地址2100:0000:0000:02AA:000F:0000:FE08:9C5A可以简写为2100::2AA:F:0:FE08:9C5A（压缩顺序：压缩全零组→压缩前导零→压缩连续零），错误的简写为2100::2AA:F::FE08:9C5A、21::2AA:F:0:FE08:9C5A（错误原因：①双冒号不能出现两次；②前导零可压缩，后导零不可压缩）

注意：只要没有出现以上错误，没有完全压缩的各IPv6地址也是等价的

IP数据报报文格式

IP数据报分为：报头区和数据区
IP数据报的版本号为4或6，分别表示IPv4或IPv6协议
IP数据报的报头长度以32位作为计量单位，总长度以8位为计量单位
在没有选项和填充的情况下，IPv6基本数据报的报头长度为20字节（报头长度的值为5），IPv6基本数据报的报头长度为40字节
IP数据报的生存周期（Time to Live, TTL）用于防止数据报在Internet中无休止地传递
IP数据报的头部校验和用来保证IP数据报报头的完整性（并非整个IP数据报的完整性）
IP数据报进行头部校验后发现数据报存在错误，路由器将采取的行动为抛弃该IP数据报
IP数据报的选项主要满足的目的是控制和测试

IP数据报的格式（主要字段的含义）_ip每个字段代表的含义-优快云博客

例题1：如果一个IPv4数据报的报头长度为256b，那么该数据报报头长度字段的值为8（=256b/32b）

如果一个IP数据没有选项和填充（报头长度为160b），数据字段的长度为512b，那么该数据报总长度字段的值为84（=(160b+512b)/8b）

例题2：一个IPv4数据报对上层UDP数据进行封装，如果该IP数据报的报头长度字段的值为5，总长度字段的值为800，那么该数据报封装的UDP的长度为780B（=800B-5×4B）

例题3：下表为一路由器的路由表：

如果该路由器接收到目的IP地址为10.3.1.4的IP数据报，那么它采取的动作为投递到10.3.1.4

如果该路由器接收到目的IP地址为10.4.0.78的IP数据报，那么它采取的动作为转发至10.3.0.7

掩码	要到达的网络	下一路由器
255.255.0.0	10.2.0.0	直接投递
255.255.0.0	10.3.0.0	直接投递
255.255.0.0	10.1.0.0	10.2.0.5
255.255.0.0	10.4.0.0	10.3.0.7

IP数据报选项

例题1：在IPv4互联网中：

如果需要指定一个IP数据报经过路由器的完整路径，那么可以使用的数据报选项为严格源路由

如果需要指定一个IP数据报必须经过的一些关键路由器，那么可以使用的数据报选项为松散源路由

如果需要记录一个IP数据报从源主机到目的主机的转发过程中通过各转发路由器的时间，那么可以使用的数据报选项为时间戳

如果想要了解一个IP数据报从源主机到目的主机的转发路径上经过了哪些路由器的地址，那么可以使用的数据报选项为记录路由

例题2：某一主机采用IPv6协议栈发送IP数据报，如果它希望指定数据报转发途中需经过的几个路由器，那么可以使用的IPv6扩展头为路由头

IP组播

组播地址通常为D类IP地址
组播组中的成员是动态的，一个主机可以任意加入和离开组播组，即可以参加某个特定的组，也可以在任意时间退出该组，
组播网络中发送方不必知道有哪些组播组成员，它自己也不必是组播组成员
组播网络中的路由器向组播组中存在的主机复制并转发其所需要的数据（不是向所有接口转发组播报文）
组播管理协议包括：IGMP、CGMP
组播路由协议包括：DVMRP、MOSPF、PIM-DM

IGMP协议

IGMP协议是一种组播管理协议，运行于主机和组播路由器之间，负责组播组成员的加入和退出工作
IGMP实现的功能是双向的：一方面主机通过IGMP协议通知本地路由器希望加入并接收某个特定组播组的信息；另一方面路由器通过IGMP协议周期性地查询局域网内某个已知组播组的成员是否处于活动状态
IGMPv1定义了基本的组播组成员查询和报告功能
IGMPv2在IGMPv1基础上添加了组播组成员快速离开机制

最大传输单元MTU

最大传输单元（Maximum Transmission Unit, MTU）是一个帧最多能够携带的数据量，每种网络都规定了自己的MTU
当一个数据报的尺寸大于将发往网络的MTU值时，路由器会将IP数据报分成若干较小的部分，称为分片，然后再将每片独立地进行发送

IP分片

IP分片数据报与原始IP数据报一定相同的字段是标识、源地址、目的地址
IP分片数据报的标志用来指示IP数据报是否已经分片和是否为最后一个分片
IP分片数据报的片偏移以8字节为计量单位，用于指出本片数据在原始IP数据报数据区中的位置
负责重组IP分片数据报的设备通常是目的主机

例题：在一个IP分片数据报中，如果片偏移字段的值为十进制数100，那么该分片携带的数据是从原始数据报携带数据的第800个字节开始的

3.4 其他网络协议

ICMP协议

ICMP协议工作于网络层
ICMP差错报告报文伴随着抛弃出错IP数据报而产生
ICMP差错报告报文包含：故障IP数据报报头、故障IP数据报数据区的前64比特
ICMP差错报告报文的传输不享受特别优先权和可靠性
ICMP差错报告报文的目的地址为原始出错IP数据报的源地址（不是前一站路由器地址）
当路由器检测到相邻主机发送的IP数据报经非优路径传输时，它通知该主机使用的ICMP差错报告报文为重定向报文

ARP协议

ARP协议是以太网经常采用的一种地址解析协议，可以实现IP地址到物理地址的映射
ARP协议请求采用广播方式，响应采用单播方式
ARP协议利用高速缓存技术提高解析效率（不是可靠性）
ARP协议使用计时器保证ARP表项的正确性和有效性（不是安全性）

RIP和OSPF协议

RIP协议和OSPF协议是路由选择协议
RIP使用向量距离算法，距离以跳数计算
OSPF使用链路状态算法
RIP协议通常比OSPF协议计算复杂度低
OSPF协议通常比RIP协议收敛快，比较适用于动态、多路径、超大规模互联网环境
RIP协议解决收敛慢问题采用的策略包括：限制路径最大距离对策、水平分隔对策、保持对策、带触发刷新的毒性逆转对策
RIP协议解决收敛慢问题无效的策略包括：提高路由器CPU的处理能力、加密路由器交换的RIP报文、更新RIP版本

例题：在使用RIP协议的互联网中，路由器Ri的路由表如表1所示，如果它收到的其相邻路由器Rj广播的路由信息如表2所示，那么将出现在更新后的路由表中的目的网络表项为10.0.0.0、30.0.0.0、40.0.0.0、41.0.0.0、45.0.0.0、180.0.0.0

解析：

TCP和UDP协议

TCP协议和UDP协议工作于传输层
TCP端口和UDP端口采用16位二进制数表示
TCP协议提供可靠的面向连接的服务，UDP协议提供不可靠的面向非连接的服务
TCP连接的建立采用三次握手法
TCP协议是基于字节流的通信协议，在传输数据时以字节为单位进行传输的
TCP协议采用自适应的RTT（Round-Trip Time）计算方法，连接的RTT值不一定相同
TCP协议利用窗口机制进行流量控制（不是重传机制）
TCP数据包丢失后启动重传机制

端口号	协议	服务
20	TCP	FTP数据连接
21	TCP	FTP控制连接
23	TCP	TELNET
25	TCP	SMTP
53	TCP/UDP	DNS
80	TCP	HTTP
110	TCP	POP3
137	UDP	NetBIOS名称服务
138	UDP	NetBIOS数据报服务
139	TCP	NetBIOS会话服务
143	TCP	IMAP
161	UDP	SNMP常规通信
162	UDP	SNMP陷阱通信
443	TCP/UDP	HTTPS

四、Internet基本服务

4.1 网络应用通信模式

客户机/服务器模式

客户机/服务器（Client/Server, C/S）模式是一个应用进程被动等待，另一个应用进程通过请求启动通信的应用模式
客户机的作用是发出请求，服务器的作用是进行响应
C/S模式中的服务器使用端口号作为进程的特定标识，如采用TCP协议或UDP协议的端口号标识特定的服务
C/S模式中的服务器响应多个用户的请求的一般解决方案包括：重复服务器方案、并发服务器方案
重复服务器方案中的服务器可以为多个用户请求建立一个等待队列，并按照先进先出原则处理这些请求

用户/用户模式

用户/用户（Peer-to-Peer, P2P）模式又称对等计算模式，是通过在系统之间直接交换数据来共享计算机资源和服务的应用模式
P2P模式中所有的节点都是平等的（没有客户机和服务器之分）
P2P模式在应用层形成的网络称为对等网络

4.2 域名服务

域名系统DNS

域名是域名系统（Domain Name System, DNS）的命名机制，按照树状结构进行组织，结点标识符之间以点隔开，逻辑上构成一定的层次化结构
域名解析需要借助于一组既独立又协作的域名服务器
域名解析方式包括：递归解析、反复解析
递归解析要求域名服务器系统一次性完成全部域名到地址的变换
反复解析每次请求一个服务器，不行再请求别的服务器，进行分层多次解析

DNS递归解析和迭代解析的区别_dns递归和迭代的区别-优快云博客

请求域名解析的客户机可以将域名服务器设置为：本地域名服务器的IP地址、本地域名服务器父节点的IP地址、域名服务器树根节点的IP地址
提高域名系统工作效率（降低域名解析开销）的方法包括：解析从本地域名服务器开始、本地主机上采用高速缓冲技术、域名服务器中使用高速缓冲技术（无效的方法包括：解析从根域名服务器开始、减小资源记录的TTL值、不使用“非权威性”的解析响应）
域名解析器是请求域名解析服务的软件
如果域名解析器收到一条“非授权的”服务器响应，那么可以认为响应服务器不是该域名的授权管理者，该响应提供的信息可能不准确

例题：假设三台域名服务器的IP地址、域名和所在地如下表所示，为了进行域名解析，天津的用户可以将其主机的域名服务器设置为202.113.16.10或ns.nankai.edu.cn

IP地址	域名	所在地
166.111.4.100	ns.tsinghua.edu.cn	北京
202.113.16.10	ns.nankai.edu.cn	天津
192.228.79.201	ns.isi.edu	美国

注意：

顶级域名	分配对象
com	商业组织
edu	教育机构
mil	军事部门
net	网络支持中心
int	国际组织
cn/us/jp/gb	各个国家的代码（中国/美国/日本/英国）

DNS资源记录

对象类型	表示内容
A	IPv4主机地址
AAAA	IPv6主机地址
CNAME	别名
HINFO	主机描述信息
MX	邮件交换机
PTR	指针
SOA	授权开始

4.3 远程登陆服务

远程登录Telnet

远程登录（Telecommunication Network, Telnet）服务可以使自己的计算机成为远程计算机的一个仿真终端，使用户像使用本地主机一样使用远程主机
Telnet服务是Internet最早提供的服务功能之一
Telnet服务采用网络虚拟终端（Network Virtual Terminal, NVT）技术，目的是为了屏蔽主机系统之间键盘输入格式的差异（不是提高系统的可靠性、提高文件传输性能、加强传输的安全性、提高网络的传输速率）
Telnet服务不是对等计算模式，客户端和服务器端不需要使用相同类型的操作系统

4.4 FTP服务

文件传输协议FTP

文件传输协议（File Transfer Protocol, FTP）主要用于从远程主机上下载文件
FTP客户机和服务器之间需要利用TCP建立双重连接，包括：控制连接、数据连接
FTP服务器一般提供匿名FTP服务，如果没有特殊说明，匿名FTP账号为anonymous
FTP数据连接建立的模式包括：主动模式、被动模式
主动模式是由客户机打开一个随机选择的TCP端口，并将该端口号通过控制连接传送给服务器，然后服务器请求与该端口建立数据连接
被动模式是客户机通过控制连接向服务器发送一个PASV命令请求进入被动模式，服务器在TCP的一个端口上被动打开数据传输进程，并通过对PASV命令的响应将服务器数据传输进程使用的端口通知给客户机

例题：如果一个用户希望使用FTP下载一幅图像，那么他应该使用的文件传输方式为二进制方式

FTP命令

FTP命令	描述
PORT	请求使用主动模式建立数据连接
PASV	请求使用被动模式建立数据连接
USER username	向服务器发送用户名
PASS password	向服务器发送口令

FTP用户接口命令	描述
ftp	进入FTP会话
quit, bye	退出FTP会话
open host [port]	建立与指定FTP服务器的连接，可指定连接端口
close	中断与FTP服务器的连接
pwd	显示远程主机的当前工作目录
ascii	进入文本文件（ASCII）类型传输方式
binary	进入二进制文件类型传输方式
passive	进入被动传输模式
delete [remote-file]	删除远程主机文件
help [cmd]	显示FTP内部命令的帮助信息

4.5 电子邮件服务

电子邮件应用程序

RFC822文档定义了电子邮件的基本格式，邮件内容的主要组成部分包括：邮件头、邮件体
电子邮件应用程序通常具有的功能包括：发送邮件、接收邮件、管理邮件
简单邮件传输协议（Simple Mail Transfer Protocol, SMTP）主要用于发送邮件，规定了邮件发送使用的命令和发送方和接收方之间传递的命令
邮局协议（Post Office Protocol 3, POP3）和交互式邮件存取协议（Internet Mail Access Protocol, IMAP）主要用于接收邮件，规定了邮件接收程序如何读取邮件
SMTP邮件传输采用客户机/服务器模式，使用TCP服务
SMTP邮件传输过程包括：连接建立阶段、邮件传送阶段、连接关闭阶段
SMTP响应报文以3位十进制数字的响应代码开始
POP3邮件检索过程包括：认证阶段、事务处理阶段、更新阶段
认证阶段是用户通过USER和PASS命令提交邮箱名和密码进行验证
事务处理阶段是用户使用STAT、LIST、RETR、DELE等命令来管理邮箱中的邮件

SMTP和POP3命令

SMTP命令	描述
RCPT TO: <接收者电子邮件地址>	指出邮件接收者
DATA	接收程序将命令后面的数据作为将发送的具体邮件内容

POP3命令	描述
USER <用户邮箱名>	客户机希望操作的电子邮箱
PASS <口令>	用户邮箱的口令
STAT	查询报文总数和长度
LIST <邮件编号>	列出报文的长度
RETR <邮件编号>	请求服务器发送指定编号的邮件
DELE <邮件编号>	对希望删除指定编号的邮件作删除标记
RSET	复位操作，清除所有删除标记
NOOP	无操作

多用途互联网邮件扩展MIME

多用途互联网邮件扩展（Multipurpose Internet Mail Extensions, MIME）是为了使电子邮件能够传输二进制信息对RFC822文档进行扩展后形成的协议，现已成为电子邮件实际上的标准
在电子邮件系统中利用电子邮件传送多媒体信息需要进行编码，MIME推荐常用的编码方式包括：引用可打印（Quoted-Printable）编码、基数64（Base64）编码
Base64编码的主要目的是将二进制码转换成ASCII码，通常紧跟在Content-Transfer-Encoding邮件头字段之后

4.6 Web服务

Web服务系统

Web服务最早由Tim Berners-Lee主持开发
Web服务采用客户机/服务器模式，客户机程序称为Web浏览器，服务器被称为Web站点
Web服务以超文本方式组织网络多媒体信息，用户访问Web站点可以使用图形界面
Web站点需要实现HTTP，可以不具有编辑Web页面的功能
Web站点中存储的通常是结构化文档，通常保存用户共享的信息
Web浏览器是访问Internet的重要工具，利用它可以访问遍布世界的各种Web站点
Web浏览器的组成包括：控制单元、客户单元、解释单元
解释单元负责解释请求Web站点返回的页面数据，需要能解析HTML文档，解释符合HTML标准的请求返回页面，对请求和返回进行页面翻译（不负责接收用户的输入）
控制单元的功能包括：解释键盘输入的命令、解释鼠标输入的命令
Web页面通常符合HTML、CSS、JavaScript等规范
Web页面到页面的链接信息由统一资源定位符（Uniform Resource Locator, URL）维持
为了保护自己的计算机避免受到非安全软件的危害，Web浏览器通常采用的方法是将整个Internet划分为不同的区域，包括：Internet区域、本地Intranet区域、可信站点区域、受限站点区域等，将Web站点放入可信站点区域可保证信息传输的机密性
为了避免他人假冒自己Web服务器的身份，用户可以从证书授权中心申请自己的证书，并在Web浏览器中安装自己的数字证书
为了验证Web站点的真实性，用户可以在浏览Web站点前索要Web站点的证书
为了防止第三方偷看或篡改传输的内容，用户可以在通信中使用SSL技术

超文本传输协议HTTP

超文本传输协议（Hyper Text Transfer Protocol, HTTP）是Web客户机浏览器与服务器之间的传输协议（不要求客户机和服务器使用相同的操作系统），定义了请求报文和应答报文的格式，建立在TCP协议基础上
HTTP请求报文包含一个请求行与若干个报头行
HTTP应答报文包含一个状态行
HTTP应答报文中的状态码由3位十进制数字组成（如200表示OK、404表示Not Found）
HTTPS在HTTP下加入安全套接字层（Secure Sockets Layer, SSL），是HTTP的安全版
如果用户想在访问Web站点时使用SSL协议，则URL头必须采用以https开始

例题：为保证传输安全，访问某Web网站要求使用SSL协议，如果该网站的域名为www.test.edu.cn，则应通过URL地址https://www.test.edu.cn访问该网站

超文本标记语言HTML

超文本标记语言（Hyper Text Markup Language, HTML）是Web世界的共同语言，主要用于描述Web文档结构和页面规范，多个符合HTML标准的页面可相互链接
HTML标记有些成对出现，不区分大小写
HTML标记有些具有可选的属性

HTML标记符号	HTML标记名称
<P>	段落标记
<IMG>	图像标记
<A>	超链接标记

LAMP架构

LAMP网站架构是目前国际流行的Web框架，包括：Linux操作系统，Apache网络服务器，MySQL数据库，Perl、PHP或Python编程语言
LAMP支持多种脚本语言快速开发
LAMP采用开源数据库，所有组成产品均是开源软件，建设成本低

五、常用的网络应用

5.1 即时通信

社交网络

社交网络又称社会网络，由John Arundel Barne提出（不是由人人网提出）
博客构成支持多媒体信息的社交网络（不是由新浪最早提出）

即时通信IM

RFC2778文档是IMPP工作小组提交的关于即时通信（Instant Messaging, IM）系统的RFC草案，获得了IETF的批准，形成的正式RFC文件
RFC2778文档工作在应用层，规定了IM的通讯模型框架，描述了IM的主要功能，包括：文字消息的实时交换（实时消息交换）、获取彼此的状态变更（状态跟踪）、音视频聊天、文件传输、应用共享（没有网上支付）
音频聊天一般使用UDP协议，应用共享一般使用TCP协议
白板属于应用共享
IM都支持用户注册功能，不一定使用Web客户端，不一定支持手机平台
IM聊天信息一般通过加密的方式传输
IM采用的通信和文件传输模式包括：客户机/服务器模式、用户/用户模式
IM系统在客户机/服务器模式中，消息的发送和接收需要通过服务器中转：①IM软件的客户机通过查询DNS服务器找到IM服务器来并与之建立TCP连接；②客户机通过自己注册的用户ID和密码登录IM服务器；③客户机利用IM服务器返回的验证信息和获得中转服务器IP地址及端口号并与之连接；④客户机通过中转服务器返回好友IP地址并与上线的好友进行互发消息
IM系统在中转模式时，进行消息转发目的地判断的是中转服务器，中转服务器端口一般固定，中转服务器通过服务端口被动地与客户机进行通信
IM通用的协议主要包括：SIMPLE协议簇、XMPP协议簇，没有规定要求所有IM系统都使用统一标准

SIP协议

会话发起协议（Session Initiation Protocol, SIP）协议是IETF提出为终端制定的协议
SIP会话（Session）是指用户间的数据交换过程
SIP协议支持用户移动性，不依赖特定的承载网络
SIP协议可以工作于TCP、UDP、SCTP等各种传输层协议之上
SIP协议支持语音、视频、数据、Email、状态、IM、聊天、游戏等
SIP协议规定的用户标识地址以“SIP”开始，后面类似E-mail地址（例如：sip:alice@abc.com），但不需要邮件服务器支持，不同用户不可采用相同的标识
SIP消息分为：从客户机到服务器的请求消息和从服务器到客户机的响应消息
SIP请求消息包含：起始行（分为请求行和状态行）、消息头、空行（标志消息头结束）、消息体（没有数字签名）
SIP请求行包括：请求方法、请求的SIP用户地址、请求的SIP协议版本
SIP请求方法包括：INVITE、ACK、BYE、OPTIONS、CANCEL、REGISTER

SIP请求方法	功能用途
INVITE	邀请用户参加会话，由客户端发送，服务器可以自动用OK响应会话邀请
ACK	用户代理向服务器证实它已经收到了对INVITE请求的最终响应，只和INVITE一起配合使用
BYE	终止一次会话，既可由主叫用户代理发送，也可以由被叫用户代理发送
OPTIONS	获取服务器的相关能力
CANCEL	取消一个挂起的呼叫
REGISTER	向定位服务器注册用户代理的相关信息

SIP组成

SIP系统的组成元素包括：用户代理（User Agent, UA）、代理服务器（Proxy Server）、重定向服务器（Redirect Server）、注册服务器（Registrar）
UA的组成部分包括：用户代理客户机（User Agent Client, UAC）、用户代理服务器（User Agent Server, UAS）
UAC负责发起呼叫，UAS负责接收呼叫并作出响应，二者都存在于用户终端之中

SIP服务器

SIP系统的基本服务器包括：代理服务器、注册服务器、重定向服务器
代理服务器具备域名解析功能，SIP协议可经过多个代理服务器
代理服务器是一个中间元素，既可作为服务器接收请求，也可作为客户端转发请求
代理服务器的类型分为：有状态和无状态
注册服务器负责用户地址的注册功能
重定向服务器负责规划呼叫路径，在其获得下一跳的地址后，立刻告诉前面的用户让该用户直接向下一跳地址发出请求，而自身则退出对这个呼叫的控制
重定向服务器可与其他服务器共存于一个设备，也可以分布在不同的物理实体中
重定向服务器可能查询位置目录服务以便在呼叫过程中定位被叫方的具体位置，但自身不直接提供位置目录服务，提供位置目录的服务器不属于SIP协议范畴

SIMPLE协议

SIMPLE（SIP for Instant Messaging and Presence Leveraging Extensions）协议是SIP协议的扩展，由IEFT的SIMPEL工作组制定，工作在应用层，支持多媒体会话
SIMPLE增加了NOTIFY、SUBSCRIBE、MESSAGE方法支持即时通信（即时消息）服务

SIMPLE方法	功能用途
SUBSCRIBE	订阅并获得其他用户的呈现信息
NOTIFY	在用户的呈现信息发生改变时，向用户的订阅用户发送呈现信息
MESSAGE	发送一次性短消息

SIMPLE协议中与SIP的用户代理功能接近的是呈现代理（Presence Agent, PA）
SIMPLE协议被3GPP采纳
SIMPLE协议不可以扩展为XMPP、MSRP

XMPP协议

XMPP（Extensible Messageing and Presence Protocol）协议又称Jabber，是开放标准，工作在应用层
XMPP协议由IEFT的4个RFC文档定义：RFC3920是核心协议、RFC3921负责即时通信、RFC3922负责XMPP与CPIM的映射、RFC3923负责安全并采用E-mail的地址格式
XMPP协议核心是XML协议（不是UML协议），使用XML数据格式（不是HTML数据格式）
XMPP设计思想上延续E-mail系统（不是FTP的设计思想），采用类似电子邮件的统一的全局寻址方案（不是局部寻址方案）
XMPP实体地址为JID（Jabber Identifier）（不是IP地址）
JID形如node@domaia/resource，体系结构类似E-mail
JID的组成包括：结点标识符、域标识符、资源标识符，
域标识符是唯一必需的，结点标识符和资源标识符不是必需的
XMPP协议比SIMPLE的扩展性能力强，支持简单的客户机
XMPP协议采用的通信模式为客户机/服务器模式，XMPP客户机和服务器组成的网络处理系统为分布式结构
XMPP协议被Jive Messenger、Google Talk采用
XMPP协议不和SIMPLE、QQ兼容

ICQ即时通讯软件

ICQ（I Seek You）由以色列Mirabilis公司产品开发，是世界上第一款即时通信工具
ICQ采用OSCAR通信协议

AOL即时通讯软件

美国在线（American Online, AOL）采用OSCAR通信协议

QQ即时通讯软件

QQ早期名称模仿ICQ，叫做OICQ，代表开放的（Opening）ICQ
QQ是闭源系统，采用腾讯私有协议（未遵守RFC2778规定，不基于ICQ代码开发）
QQ在中国应用广泛，用户人数众多
QQ客户机之间通信可使用TCP协议或UDP协议
QQ客户端登录服务器需要DNS辅助进行查询
QQ客户端会从服务器获得存储的好友列表（不是在本地存储好友列表）
QQ在客户端之间能够直接通信的情况下采用点对点传输方式，当客户端之间无法直接通信时通过服务器转发‌
QQ用户必须先登录后才可以向其他用户发送消息
QQ每次登录时客户机会向服务器获取一个会话密钥（不是用户指定和客户端产生），聊天通信信息是加密的，每次会话使用不同的会话密钥
QQ每次登录的服务器IP不固定，成功登录的客户机记录服务器IP地址
QQ每次登录时会访问记录上次登录服务器的地址的记录文件，如果成功则不会重发DNS请求，实现成功登录前可能连接多个登录服务器

MSN即时通讯软件

MSN由微软公司推出，采用MSNP协议（不基于ICQ代码开发）
MSN的用户人数少于QQ
MSN具有服务器中转模式
MSN每次会话使用不同的会话密钥
MSN不和ICQ、QQ、新浪UC等兼容

5.2 P2P文件共享

P2P网络

P2P网络结点之间的关系与社会关系不完全对应
P2P网络的主要结构类型包括：集中式、分布式非结构化、分布式结构化、混合式

集中式P2P网络

集中式P2P网络的中心服务器只保存目录和索引信息

分布式非结构化P2P网络

分布式非结构化P2P网络采用随机图的组织方式形成一个松散的网络（无中心节点，不需要中心服务器维持）
分布式非结构化P2P网络利用泛洪方式进行搜索
分布式非结构化P2P网络支持复杂查询

分布式结构化P2P网络

分布式结构化P2P网络采用分布式散列表（Distributed Hash Table, DHT）进行结构组织，路由算法与DHT密切相关（不存在中心目录服务器，不需要中心服务器维持）
分布式结构化P2P网络支持精确关键词匹配查询

混合式P2P网络

混合式P2P网络的结点包括：普通用户结点、搜索结点、索引结点（没有备份结点、复制结点）
普通用户结点不具有任何特殊功能
搜索节点用于处理搜索请求
索引结点具备管理资源信息和协调搜索等特殊功能，一个结点既可以是搜索结点又可以是索引结点
索引结点核心职责是保存资源或可利用搜索结点的位置信息，以辅助其他结点的查询请求，提供资源定位功能（不监控具体下载内容）
索引结点不负责信誉值计算，信誉值计算通常由信誉系统完成

P2P文件共享系统

P2P文件共享系统的理论基础是六度分隔理论（小世界假设）
六度分隔理论由美国著名的心理学家米尔格伦（Stanley Milgram）通过纸质的连锁信发现并提出了该理论，美国哥伦比亚大学的社会学教授瓦特斯（Duncan Watts）组建的一个研究小组通过电子邮件验证了该理论
不同文件共享系统使用的协议和技术可能不兼容
Windows文件共享系统采用了微软的工作组和域的概念
P2P文件共享系统的典型应用包括：Napster、BitTorrent、eDonkey、Maze、PPLive、Skype等

文件共享系统	拓扑结构	目录浏览	搜索引擎	多点下载	积点机制	种子机制	心跳机制
Napster	集中式P2P
Gnutella	分布式非结构化P2P
Shareaza	分布式非结构化P2P
LimeWire	分布式非结构化P2P
BearShare	分布式非结构化P2P
Pastry	分布式结构化P2P
Tapestry	分布式结构化P2P
Chord	分布式结构化P2P
CAN	分布式结构化P2P
Maze	混合P2P	有	强	有	有	有	有
BitTorrent	混合P2P	无	无	有	无	有	无
PP点点通	混合P2P	有	弱	有	有	无	无
百宝箱	混合P2P	无	弱	有	无	无	无
eDonkey	混合P2P
PPLive	混合P2P
Kazaa	混合P2P
Skype	混合P2P

音乐分享网站Napster

Napster由美国大学生Shawn Fanning和黑客Sean Parker共同创立
Napster作为最早的P2P下载工具，是P2P文件共享的起源
Napster（1999年）出现时间早于eDonkey（2000年）和Gnutella（2000年）

比特洪流BitTorrent

BitTorrent的种子文件是后缀“.torrent”的文件，由发布者提供，包含Tracker服务器的相关信息（不包含DNS服务器的相关信息）
Tracker服务器存放用户信息（不保存数据文件），同一个文件的下载用户越多，下载速度越快
BitTorrent最初不支持DHT，后续版本中加入了DHT支持
BitTorrent不兼容eDonkey，不来源于迅雷和MIT开源系统

电驴eDonkey

eDonkey又称eDonkey2000
eDonkey具有文件Hash信息

天网Maze

Maze参考Kerberos协议，使用分布式认证机制（不采用集中式认证机制），类似信用卡机制（不需要证书）
Maze支持多点下载和断点续传
Maze支持即时通信和防火墙穿透技术
Maze支持积点星级机制（基于积点的资源交易体系）和种子机制
Maze支持目录浏览服务和文件搜索功能，采用类似URL的Maze URL表示文件位置，以maze://作为开头，以Maze UID作为主机名

Maze服务器

Maze服务器包括：用户管理服务器、目录收集服务器、检索服务器、心跳服务器、种子服务器（没有计费服务器）
用户管理服务器进行注册、登录、发放信用卡
检索服务器采用天网文件搜索来提供在线文件资源检索和文件目录视图服务，支持中英文检索
心跳服务器在访问时不需要传输用户密码

迅雷和QQ旋风

迅雷和QQ旋风在中国非常流行
迅雷和QQ旋风采用私有通信协议，技术细节不公开

5.3 IPTV

IP电视IPTV

IP电视（IPTV）是一种利用宽带网的基础设施，以家用电视机或计算机作为主要终端设备，提供数字媒体服务的技术
IPTV支持模拟电视机，家用电视机属于模拟电视机，
IPTV的使用方式包括：计算机方式、网络机顶盒加普通电视机方式
IPTV电视类服务是指电视业务相关的服务，范畴包括：视频点播、直播电视、时移电视
IPTV通信类服务范畴包括：基于IP的语音服务、即时通信服务、电视短信服务等
IPTV增值类服务范畴包括：电视购物、互动广告、在线游戏等
IPTV数字版权管理（Digital Rights Management, DRM）负责：版权保护、访问控制
数字版权管理技术包括：数据加密、数字水印、数字签名（没有病毒检测）
IPTV媒体内容分发网络（Media Content Delivery Network, MCDN）负责：内容发布、内容交换、内容路由、性能管理、IP承载网
内容发布借助于索引、缓存、流分裂和组播等技术支持，将内容发布或投递到距离用户最近的远程服务处（不负责用户计费）
内容交换利用应用层交换、流分裂、重定向、宽带媒体分发策略等技术，智能平衡负载流量
内容路由采用网络负载均衡技术，重定向路由器以请求为用户提供最近内容源响应
性能管理测量端到端和全局网络的性能
IPTV不都互相兼容，不都免费使用

5.4 VoIP

IP电话VoIP

IP电话（VoIP）的早期统一标准由国际电信联盟（International Telecommunication Union, ITU）制定
VoIP可实现的通信方式包括：PC-to-PC、PC-to-Phone、Phone-to-Phone、PC-to-Pad、Pad-to-Phone
VoIP的基本组件包括：终端设备（Terminal）、网关（Gateway）、网守（Gatekeeper）、多点控制单元（Multipoint Control Unit, MCU）
多点控制单元实现多点通信，使得VoIP系统能够支持3个或以上端点参与的多点会议和多方通话
终端设备是VoIP的客户终端，可以是软件（如VocalTec公司的IP Phone、Microsoft公司的NetMeeting）或是硬件（如专用的Internet Phone）
网关可以看作H.323设备，可以和网守结合在一起
网关的功能包括：号码查询、建立通信、信号调制、压缩和解压缩、路由寻址（没有呼叫控制）
网守是网络中的消息控制中心和中央控制实体
网守的功能包括：用户注册和管理、身份验证、确定网关地址、计费管理、留存呼叫详细记录（没有信号调制压缩解压）

Skype

Skype（2003年）是由爱沙尼亚程序员创立的VoIP客户端，此前他们创立了Kazaa（2001年）
Skype支持多方通话，提供高清晰的音质，采用AES加密算法
Skype提供Windows、Linux、MacOS等操作系统下的跨平台发行版本
Skype用来穿越防火墙的协议包括：STUN、TURN
Skype采用iLBC和iSAC语音编码技术（不是H.323编码和PCM编码）
Skype超级结点（Super Node, SN）可连接多个超级结点控制器（Super Node Controller, SC）
Skype超级结点是动态生成的，作用类似于Internet中的路由器，负责客户端的连接
Skype登录服务器（Login Server, LS）存储用户名和用户密码，负责用户登录时的认证过程
Skype主机缓存（Host Cache, HC）接入点数量无固定限制
Skype好友列表（Buddy List）是用户的好友列表，好友列表加密存储

5.5 其他网络应用

全文搜索引擎

搜索引擎功能模块的构成包括：搜索器、检索器、索引器、用户接口

网络文件系统NFS

网络文件系统（Network File System, NFS）由Sun Microsystems公司开发
NFS采用客户机/服务器模式（不基于P2P结构），被Unix、Linux、Windows等多平台操作系统支持共享
NFS允许目录共享，用来记录共享目录和文件列表的配置文件是/etc/exports
NFS可以使用户程序像访问本地文件一样访问远端系统上的文件，通过mount命令可以把远程文件系统挂载在本地的文件系统目录之下（不是自动复制文件到本地）

例题：在计算机A上，通过NFS把计算机B上的/usr/lib挂接到A的/usr/lib需要执行mount B:/usr/lib /usr/lib

通用网络文件系统CIFS

通用网络文件系统（Common Internet File System, CIFS）协议又称服务器消息块（Server Message Block, SMB）协议，由微软和英特尔（Intel）制定，工作于应用层
CIFS主要用于Windows，通过安装Samba也可在Unix和Linux使用
CIFS支持通用的文件操作，具备文件和记录锁定等完整性机制
CIFS使用全局路径（不采用局部文件名），使用NetBIOS的应用程序接口
CIFS文件名支持Unicode多种类字符集（不限于英文）
CIFS是一个开放性的协议，允许协议扩展
CIFS不基于NFS，使用NetBIOS的应用程序接口

网络基本输入输出系统NetBIOS

网络基本输入输出系统（Network Basic Input/Output System, NetBIOS）协议由IBM公司开发，最先应用于早期的IBM PC Network，属于PC-DOS操作系统（微软基于MS-DOS为IBM定制的操作系统，不是Unix操作系统），工作于会话层
NetBIOS扩展用户接口（NetBIOS Extended User Interface, NetBEUI）是NetBIOS协议的增强版本
NetBIOS名称长度为16字节，其中用户定义的名称实际最多为15字符，而保留的第16字符用于标识服务类型
NetBIOS会话数受协议限制，最多支持254个通讯话路（不可无限制地建立通讯话路）
NetBIOS名称服务（NetBIOS Name Service, NBNS）和NetBIOS数据报服务（NetBIOS Datagram Service, NBDS）使用UDP，NetBIOS会话服务（NetBIOS Session Service, NBSS）使用TCP
NetBIOS可以使用4种类型的SMB命令，包括：话路控制命令、文件访问命令、打印机操作命令、消息传送命令（不与SMB等价）
Windows2000以前的系统局域网文件共享使用NetBIOS协议，以后的系统使用CIFS协议

六、网络管理与网络安全

6.1 网络管理

网络管理技术

网络管理的对象包括：硬件资源、软件资源
硬件资源包括：物理介质、计算机设备、网络互联设备（如中继器、网桥、路由器、网关等）
软件资源包括：操作系统、应用软件、通信软件（实现通信协议的软件）
网络管理的目的是实现对远程资源的控制，目标是保证网络建设的有效性、可靠性、开放性、综合性、经济性、安全性（不能保证网络的绝对安全）

网络管理模式

网络管理模式不是由标准化组织统一制定
网络管理模式分为：集中式网络管理和分布式网络管理，管理效果的优劣取决于具体场景
集中式网络管理结构可以有委托代理
分布式网络管理结构使得管理变得更加自动（不需要更多手工管理）

网络管理模型

网络管理模型首先由ISO制定，实现了网络管理的标准化
网络管理模型一般采用管理者—代理模型
管理者实质上是运行在计算机操作系统之上的一组应用程序（不是专用硬件模块），代理位于被管理设备的内部
管理者可主动收集信息，代理可主动报告事件，也可拒绝管理者的命令
管理者和代理可以是一对多、多对一、多对多关系，代理也可被多个管理者控制，管理者可以和多个代理进行信息交换
管理者和代理之间双向交换信息（不是单向）
网络管理模型定义的网管功能包括：配置管理、故障管理、计费管理、性能管理、安全管理

配置管理

配置管理的阶段分为：网络初次运行时的初始配置管理阶段和网络正常运行时的工作配置管理阶段
配置管理是长期行为过程（不是短期活动）
配置管理的典型功能包括：根据要求收集系统状态信息、获取系统重要变化信息、初始化被管对象、改变被管对象的名称、关闭被管对象、管理资源清单、更改系统配置（没有计算网络运营成本）

性能管理

性能管理可以对计算机网络性能进行持续监测（不是安全性监测）
性能管理可以检查系统状态日志，监控和维护网络使用状况
性能管理需要收集统计信息，根据数据调整配置和系统操作模式以优化性能和维护服务质量（并非保持固定）
性能管理在检测到严重性能问题时可能触发故障管理系统

故障管理

故障管理的范畴包括：检测故障、隔离故障、纠正故障
故障管理的典型功能包括：维护错误日志、执行诊断检测、跟踪错误、识别网络元素，与计费管理互通，进行业务恢复（不能自动处理所有故障）

安全管理

安全管理的典型功能包括：管理授权机制、维护安全日志、进行风险分析、采用多层防卫手段、提供检测非法入侵初始点的手段、跟踪入侵者活动、提供恢复被破坏数据和系统的手段、发布安全事件报告（不能避免所有安全问题，不能保证网络绝对安全，不能管理终端用户的全部密钥）

计费管理职责

计费管理没有统一的标准
计费管理的典型功能包括：统计网络资源利用率、计算用户网络费用、进行成本和效益核算、进行账单管理、生成用户账单（收费不是唯一职责）
计费管理计算的成本包括：网络运维成本、网络建设成本、人工费用等

网络管理协议

网络管理协议用于协调管理者与代理之间的通信
网络管理协议常见的包括：CMIP、SNMP

CMIP协议

公共管理信息协议（Common Management Information Protocol, CMIP）由ISO制定，针对OSI模型环境（不是TCP/IP模型环境），工作于应用层
CMIP协议的终端用户负担轻、具有及时性的特点、在安全性方面有一定的优势
CMIP协议通过事件报告机制进行工作的（不是通过浏览器管理）
CMIP协议的操作和事件报告确通过远程操作协议（ROP）实现
CMIP协议的管理联系的建立、释放、撤销通过联系控制协议（ACP）实现
CMIP协议中不同严重程度事件的等级不相同
CMIS（Common Management Information Service公共管理信息服务）提供了一系列服务原语配合CMIP工作，CMIP支持7种CMIS服务
CMIP协议的实现比SNMP协议复杂

SNMP协议

简单网络管理协议（Simple Network Management Protocol, SNMP）由IETF制定，协议由多个RFC文档组成，前身是简单网关监控协议（Simple Gateway Monitoring Protocol, SGMP），工作于应用层，已成为网络管理领域的事实标准
SNMP协议可以支持TCP/IP环境，也可以支持UDP和IPX等非TCP/IP环境
SNMP协议的一个系统可有多个管理器，被管节点上有管理信息库
SNMP协议的交互告警模式的工作方式包括：轮询机制、中断（陷阱）机制
SNMP协议的特点包括：简单性、可伸缩性、扩展性、健壮性
SNMPv1没有考虑安全问题，安全性差
SNMPv2具有验证机制、加密机制、时间同步机制
SNMPv3的重点是远程配置，重点是安全、可管理的体系结构、远程配置
SNMP协议不与CMIP协议兼容，不和CMIS配合使用

管理信息库MIB

管理信息库（Management Information Base, MIB）是SNMP协议中的核心组件之一，用于定义和描述网络设备中可管理的对象及其属性
MIB由代理系统自动收集数据管理（不是由网络管理员更新）
MIB文件基于由ITU定义的ASN.1语法，数据可通过轮询方式访问（不一定是只读的）
每台被管设备必须存储有一个MIB，管理器和代理可以通过MIB Browser查询MIB（不能直接读取设备MIB）

6.2 网络安全

网络安全对策

保障数据传输安全的方法包括：加密网络传输、通过HTTPS访问网站
保障信息存储安全的方法包括：设置访问权限
保障网络防护安全的方法包括：设置网络防火墙

可信计算机系统评估准则TESEC

可信计算机系统评估准则（Trusted Computer System Evaluation Criteria, TESEC）也叫橘皮书，是美国国防部（DoD）制定的标准
TESEC网络安全等级从低到高排序：D、C、B、A（不是定量描述），包含用户应用程序的安全性评估

级别	类别	功能
D1	非安全保护类	无保护
C1	自主保护类	自主访问控制机制、身份鉴别、用户与数据分离、支持有选择的存取控制、数据保护以用户组为单位
C2	自主保护类	审计和验证机制、用户与数据分离、支持受控的访问控制、存取控制以用户为单位
B1	强制性安全保护类	标记安全保护、托管访问控制、安全策略模型、引入强制访问控制机制
B2	强制性安全保护类	结构化安全保护
B3	强制性安全保护类	安全域机制保护、安全内核
A1	强制性安全保护类	更高要求的安全审计、安全测试、配置管理

中国网络安全等级

中国网络安全等级从低到高排序：自主保护级、指导保护级、监督保护级、强制保护级、专控保护级

TLS协议

传输层安全性协议（Transport Layer Security, TLS）议由IETF制定并标准化，工作在传输层
TLS协议是SSL的继任者，两者功能相似，可用于HTTP协议

SET协议

安全电子交易协议（Secure Electronic Transaction, SET）用于电子商务
电子商务是以Internet环境为基础，在计算机系统支持下，实现的进行网上购物和在线支付的一种新型商业活动运营模式

IPSec协议

互联网安全协议（Internet Protocol Security, IPSec）是一个协议簇，由IETF提出，工作在网络层，通过对IP协议分组进行密码学加密和认证，提供网络安全服务
IPSec协议簇的协议包括：身份认证头（AH）协议、封装安全负载（ESP）协议
身份认证头协议对于发送方提供源身份认证、数据完整性验证、防重放攻击（没有数据加密）
封装安全负载协议提供源身份认证、数据完整性验证、加密技术保障数据秘密性
AH头位于原IP数据报数据和IP头之间，ESP头部采用32位顺序号
IPSec安全参数索引（SPI）使用32位连接标识符
IPSec安全关联（SA）由一个三元组确定，定义的逻辑连接是一个单工（单向）连接

安全电子邮件协议

安全电子邮件协议不需要IPSec支持
安全电子邮件协议常见的包括：PGP、S/MIME

PGP协议

优良保密（Pretty Good Privacy, PGP）协议由Phil Zimmermann开发，用于电子邮件服务
PGP协议的主要服务功能包括：电子邮件兼容性、鉴别、机密性（报文加密）、报文压缩、报文分段
PGP协议的报文加密采用的主要算法包括：CAST、IDEA、3DES、RSA
PGP协议的报文压缩通常采用ZIP算法
PGP协议支持多语种安装平台
PGP协议的数字签名采用的主要算法包括：DSS/SHA、RSA/SHA，需要CA
PGP协议提供身份认证功能，可保证邮件的完整性

S/MIME协议

安全/多用途互联网邮件扩展（S/MIME）协议最初由RSA Security公司开发，由IETF编辑审定（不是微软公司开发）
S/MIME协议可以使用3DES算法对数据加密，可以使用SHA算法对报文摘要加密
S/MIME协议具有数字签名功能，发送和接收代理必须支持DSS算法，支持透明签名的数
S/MIME协议支持Windows、Android、MacOS等操作系统的跨平台
S/MIME协议已成为产业界广泛认可的协议，如Outlook、Thunderbird等都支持该协议
S/MIME协议不兼容PGP协议

6.3 网络攻击

入侵检测系统

入侵检测系统的模式分为：基于主机模式和基于网络模式
入侵检测系统可采用的检测方法包括：异常检测方法、误用检测方法

防火墙

防火墙属于网络安全设施，通过软件或硬件来实现访问控制
防火墙的类型包括：包过滤路由器、应用级网关（代理服务器）、电路级网关
包过滤路由器工作于网络层，按照设置的分组过滤规则表对收到的IP包决定是进行转发还是丢弃，具体处理方法根据数据包所包含的信息（如源和目的IP地址、源和目的的传输层地址、IP协议和接口等）而定
应用级网关的处理开销较大
电路级网关不允许端到端的直接TCP连接

OSI安全框架X.800

X.800是国际电信联盟电信标准化部门（ITU-T）为开放系统互连（OSI）模型推荐提供的安全体系结构建议，由国际电报电话咨询委员会（CCITT）制定，目的是利用安全机制阻止安全攻击
X.800将攻击分为：被动攻击和主动攻击
主动攻击的类型包括：消息篡改、消息重放、拒绝服务攻击、地址欺骗、源路由攻击、身份假冒
主动攻击的实例包括：修改他人QQ密码、删除Web服务器上的页面、邮件炸弹、密码破解
被动攻击的类型包括：流量分析、消息窃听、非法访问
被动攻击的实例包括：截获网上银行密码、监听他人网络信息、进行网络流量分析
被动攻击隐蔽性强，不修改数据或系统状态，比主动攻击更难被发现，加密是防范被动攻击的常用手段
X.800的安全机制上区分：可逆加密机制和不可逆加密机制
X.800提供5类共14个特定安全服务（没有涉及安全等级划分，不提供全自动安全恢复，不能保证系统的绝对安全）

例题：下列行为，属于用户身份的假冒的包括：使用他人QQ账号登录，不属于用户身份的假冒的包括：使用他人电脑访问自己信箱、使用他人Pad查看新浪新闻、使用他人网线、使用他人手机登录自己网银帐号

服务攻击

针对Telnet、HTTP、Email、FTP等Web服务攻击（不是对底层协议的攻击）
服务攻击常见的攻击方式包括：DDoS、邮件炸弹等（不采用NetXRay软件进行攻击）

拒绝服务攻击DoS和分布式拒绝服务攻击DDoS

拒绝服务攻击（Denial of Service, DoS）攻击由单个计算机系统发起，分布式拒绝服务攻击（Distributed Denial of Service, DDoS）攻击由多个计算机系统（僵尸网络）发起
DoS攻击中控制机负责指令，傀儡机大量发送实际攻击包（在非攻击时段无明显异常）
DoS攻击可通过流量清洗、限制请求频率等措施预防

密码攻击

密码攻击可以攻击公钥加密，不可以改变加密算法
密码攻击强度排序：选择密文攻击>选择明文攻击>已知明文攻击>唯密文攻击
唯密文攻击的攻击者拥有的信息量最少，最容易防范
已知明文攻击指的攻击者掌握了某段明文和对应密文，需要推断加密方式从而破解后段密文
选择明文攻击的攻击者不仅已知加密算法和密文，而且还能够通过某种方式让发送者在发送的信息中插入一段由他选择的信息
选择密文攻击的攻击者拥有的信息量最多，比其他密码攻击方式更强更难防范

密码学小知识(5)：唯密文攻击(COA)、已知明文攻击(KPA)、选择明文攻击(CPA)，选择密文攻击(CCA)-优快云博客

6.4 加密技术

加密算法

对称加密又称私钥密码，加密用的密钥与解密用的密钥相同，计算相对简单，密钥必须保密
非对称加密又称公钥密码，加密用的公钥与解密用的私钥不同，计算相对复杂，加密用的公钥可以公开，而解密用的私钥需要保密
对称加密中，流密码是明文消息按字符逐位加密
对称加密中，分组密码是将明文消息分组，逐组地进行加密
如果无论有多少可使用的密文，都不足以唯一地确定由该体制产生密文所对应的明文，则称加密体制是无条件安全的
如果满足破译密码的代价超出了密文信息的价值，或破译密码的时间超出密文信息的有效生命期，则称加密体制是计算上安全的
加密算法的安全强度主要取决于算法本身及其密钥长度
加密算法一般来说起码要能经受得住已知明文攻击才行（不能保证绝对安全）

一次一密算法

一次一密（One-Time Pad）算法是无条件安全的

凯撒加密

凯撒（Caesar）加密的过程是每个字母在字母表上向后移动固定位数
凯撒加密的最大的可能取值数量是25

背包加密

背包加密中的物品总重量公开，所有可能的物品公开，物品保密
背包加密问题属于NP问题，一次背包加密已不安全

DES算法

DES（Data Encryption Standard）算法又称DEA（Data Encryption Algorithm）算法，由美国国家标准局（NIST的前身）制定
DES算法每轮操作都有置换和代换，每轮的置换函数相同，最后一轮迭代的输出为64位
DES算法的子密钥互不相同，是计算上安全的

3DES算法

3DES（Triple DES）算法针对DES算法安全问题的改进方案，运算速度比DES算法慢

AES算法

AES（Advanced Encryption Standard）算法由NIST（美国国家标准与技术研究院）制定
AES算法的安全性和运算速度都不低于3DES算法

Blowfish算法

Blowfish算法由Bruce Schneier设计
Blowfish算法基于Feistel网络结构独立设计（不是基于DES算法），需要加法和异或运算，运算速度较快
Blowfish子密钥在算法初始化阶段通过密钥扩展生成（不是加密时计算）

RC5算法

RC5算法由Ronald L. Rivest设计
RC5算法需要异或、加法、循环运算

RSA算法

RSA算法由Ron Rivest、Adi Shamir、Leonard Adlenan发明
RSA算法是最早提出的公钥算法，安全性一直未能得到理论上的证明
RSA算法采用大质数分解运算，质数值越大破解越难
RSA算法可用于数据加密和数字签名

DSS算法

DSS（Digital Signature Standard）算法又称DSA（Digital Signature Algorithm）算法
DSS算法可用于数字签名

ElGamal算法

ElGamal算法又称概率加密方法，由Taher Elgamal提出
ElGamal算法基于椭圆曲线理论，安全性基于有限域上的离散对数难题，密文依赖于随机数
ElGamal算法的密文长度是明文的2倍
ElGamal可用于数据加密和数字签名

算法名称	加密类型	密码类型	分组长度	密钥长度	加密轮数
一次一密	对称	流
凯撒	对称	流
RC4	对称	流
DES	对称	分组	64位	64位（有效56位）	16轮
3DES	对称	分组	64位	192位（有效168位）	48轮
AES	对称	分组	128位	128/192/256位	10轮
Blowfish	对称	分组	64位	可变	16轮
RC5	对称	分组	可变	可变	可变
背包	非对称
DSS	非对称
RSA	非对称
ElGamal	非对称

6.5 认证技术

消息认证

消息认证又称为完整性校验，可以检验消息的来源、消息的时间、消息的完整性（不一定是实时的，不可防止消息被第三方偷看）
消息认证模式分为：单向模式和双向模式
验证消息的完整性的基本途径包括：采用消息认证码、采用篡改检测码
验证信息的时间的常用方法包括：采用消息流水作业号（序列号严格递增可以阻止重放攻击）、采用随机数认证法、采用时间戳
消息认证不一定使用公钥算法，不一定需要KDC

例题：甲总是怀疑乙发给他的信在传输过程中遭人篡改，为了消除甲的怀疑，一般采用的技术是消息认证技术

消息认证函数

消息认证函数常用的包括：散列函数（Hash函数）、消息加密函数、消息认证码（Message Authentication Code, MAC）
散列函数生成固定长度的信息摘要

散列函数	摘要长度
MD5	128位
SHA1	160位
SHA256	256位

身份认证

身份认证的方式包括：口令认证、公钥签名、持证持卡认证、生物特征识别，动态口令认证等
公钥签名方式的公钥可以由公钥数据库管理，也可以由CA签发数字证书管理（不一定需要有CA）

公共密钥证书X.509

X.509证书遵循ITU-T制定的标准
X.509证书基于公钥体制（不包含用户私钥）
X.509证书的主题名（Subject Name）和发行者名（Issuer Name）采用可分辨名称（Distinguished Name, DN）格式（不是URL、XML格式）
主题名是实体的身份，实体的公钥与证书相关
发行者名是签发证书的CA的身份
X.509证书的版本字段表示证书的版本（不是CA软件的版本号）
X.509证书的合法时期字段是证书有效期的起止时间（不是CA中心的有效期）
X.509证书的顺序号是证书的唯一标识