第一章 计算机网络概论
1-1 OSI协议与TCP/IP协议
这张图片的核心内容是计算机网络中关于 OSI(开放系统互联)模型 和 TCP/IP 模型 的高频考点,主要涉及两个模型的对比、各层次的功能以及对应的协议。以下是详细解答:
OSI现在已经被淘汰了,现在使用的是TCP/IP模型,但是由于TCP/IP模型来源于OSI模型,是OSI模型的优化,所以学习TCP/IP模型的同时还需要学习OSI模型。
网络分层的概念,是因为解耦合,某一层的改动不会影响到其他的层,降低成本,利于标准化。
|
OSI 七层模型 |
TCP/IP 四层模型 |
主要功能 |
典型协议 |
|---|---|---|---|
|
应用层(Application) |
应用层 |
为用户提供网络服务接口(如文件传输、电子邮件) |
HTTP, FTP, SMTP, DNS |
|
表示层(Presentation) |
(合并到应用层) |
数据格式转换、加密/解密、压缩/解压缩 |
SSL/TLS(部分功能) |
|
会话层(Session) |
(合并到应用层) |
建立、管理和终止会话(连接) |
NetBIOS, RPC |
|
传输层(Transport) |
传输层 |
提供端到端的可靠数据传输、流量控制和差错控制 |
TCP, UDP |
|
网络层(Network) |
网络层(Internet层) |
路由选择、逻辑寻址(IP地址)、分组转发 |
IP, ICMP, OSPF, BGP |
|
数据链路层(Data Link) |
网络接口层 |
在物理介质上提供可靠的数据传输(帧同步、差错控制、MAC地址) |
Ethernet, PPP, ARP |
|
物理层(Physical) |
(合并到网络接口层) |
传输原始比特流,数据转为01形式的数据比特流(电气特性、物理连接) |
1-2 计算机网络发展与分类
1-2-1 ICT
ICT(信息通信技术)是 信息技术(IT) 与 通信技术(CT) 深度融合的产物。IT主要负责信息的处理、管理和应用(如计算机软硬件、数据系统),CT则专注于信息的传输与接入(如网络、移动通信、光通信)。两者结合形成了支撑数字经济的基础技术体系,广泛应用于云计算、物联网、人工智能等领域
1-2-2 计算机网络分类
通信子网和资源子网是计算机网络的经典分类:通信子网(由路由器、交换机、通信链路等组成)负责数据传输与路由,构建网络连接基础;资源子网(包括PC、服务器等)提供计算、存储和应用服务,直接面向用户需求。两者协同工作,实现资源共享与信息交换。
1-2-3 覆盖范围分类
网络可分为四类:个人网(PAN)(设备近距离互联,如蓝牙,覆盖范围20m)、局域网(LAN)(有限区域互联,如企业网)、城域网(MAN)(城市范围覆盖)和广域网(WAN)(跨地域广域互联,如互联网)。
1-3 数据封装和解封的过程
数据在网络中的传输遵循OSI模型的封装过程:从应用层原始数据开始传输数据或数据单元,传输层添加TCP报头(含端口号)形成数据段或数据报文Segment,网络层添加IP报头(含IP地址)生成数据包Packet或数据分组Group,数据链路层添加以太网报头和帧尾(含MAC地址及校验位)组成数据帧Frame,最终在物理层转换为比特流Bit如01000001通过物理介质传输。这一过程逐层附加控制信息,确保数据可靠、准确地到达目的地。
“送快递”的案例生动类比了网络数据的封装过程:原始数据(如键盘)在应用层/表示层/会话层生成后,传输层为其添加TCP/UDP头部(如同为键盘加上产品包装盒),网络层继续封装IP头部(如同贴上含地址的快递面单),数据链路层添加MAC地址和帧尾校验(如同将包裹装入快递车并核对单据),最终通过物理层转换为比特流(如同车辆通过公路运输)。接收方则反向逐层解封装,逐渐拆包装,最终获取原始数据。
第二章 数据通信基础
2-1 奈奎斯特定理
奈奎斯特定理(Nyquist Theorem)指出,在理想低通(无噪声、带宽受限)信道中,为了避免码间串扰,极限码元传输速率为 2H 波特(Baud),其中 H 是信道带宽(单位:Hz);若用 V 表示每个码元的离散电平数目(即信号电平级数),则极限数据传输速率为 2H log₂V(单位:bps)。
该定理揭示了信道带宽对码元传输速率的根本限制,并表明通过增加码元携带的比特数(即采用多元制调制)可提高无噪声信道下的理论最大数据传输速率
2-2 信道延迟计算
第三章 局域网
3-1 局域网架构
IEEE 802局域网标准体系采用分层结构,由顶层的802.1网络互联架构、中层的802.2逻辑链路控制(LLC)子层以及底层的多个介质访问控制(MAC)子层标准(如802.3以太网、802.11无线局域网等)和物理层组成,通过LLC子层实现上层协议的统一接口,通过MAC子层适配不同传输介质,共同构建了现代有线及无线局域网的技术基础。
3-2 局域网拓扑结构
拓扑结构主要指网络设备通过传输介质连接形成的物理或逻辑布局形式,它定义了节点之间的连接关系与数据流动路径,是决定局域网特征的核心要素之一。常见类型包括星型(中心节点集中管理,早期使用集线器和交换机转发数据,集线器现在基本上被淘汰)、总线型(共享主干信道,总线型拓扑结构通常使用同轴电缆作为共享主干信道来转发数据,所有设备共享一条通信通道,现在基本已经被淘汰)、环型(闭环单向传输)、网状型(节点互联冗余,早期使用集线器和交换机转发数据,集线器现在基本上被淘汰)及混合型(多结构组合),不同拓扑直接影响网络的可靠性、扩展性和介质访问控制方式。
3-3 CSMA(Carrier Sense Multiple Access, 载波监听多路访问)
CSMA(载波监听多路访问)是一种多路访问协议,其核心原理是节点在发送数据前必须先监听信道状态:若检测到信道空闲,则根据预定策略决定是否立即发送;若检测到信道繁忙,则进一步判断是否持续监听等待。该方法通过“先监听再决策”的机制减少冲突,但无法完全避免碰撞,是经典以太网(802.3)和无线局域网(802.11)介质访问控制的基础。
CSMA的三种监听算法核心区别在于信道空闲时的处理策略:非坚持型通过随机延迟减少了信道冲突的概率但牺牲了效率;1-坚持型强制立即发送以降低空闲时间却增加冲突风险;P-坚持型以概率P灵活平衡发送与延迟,试图在冲突和效率间取得折衷。三者均通过“先监听后决策”机制优化共享信道访问。
|
算法类型 |
核心策略(类比上厕所) |
优点 |
缺点 |
|---|---|---|---|
|
非坚持型 |
随机等待后再查看 |
冲突概率低 |
可能错过时机,效率稍低 |
|
1-坚持型 |
持续等待,一有空就上 |
减少信道空闲时间 |
冲突概率高 |
|
P-坚持型 |
有空时概率性使用 |
平衡冲突与信道利用率 |
P值需根据情况调整 |
🧼 1. 非坚持型CSMA (Non-Persistent CSMA)
场景:你想上厕所,但发现厕所有人。你不是在门口干等,而是先回座位做点别的事,过一会儿再回来看看。如果那时厕所还有人,你就再等一会儿再来。
效果:这样不容易和同样想上厕所的人“撞车”(冲突概率低
),但可能错过厕所空出来的时机(信道利用率可能不高),而且你来回跑也挺花时间(增加了延迟)。
🚽 2. 1-坚持型CSMA (1-Persistent CSMA)
场景:你看到厕所有人,但你就在门口站着等(持续监听),一旦里面的人出来,你立刻冲进去(以概率1发送
)。效果:能及时用上厕所(减少信道空闲时间)。但如果好几个同学都在门口等着,门一开大家同时往里挤,就很容易“撞车”(冲突概率高
)。
🎲 3. P-坚持型CSMA (P-Persistent CSMA)
场景:厕所门口有个“概率管理员”。当厕所空闲时,他想控制一下大家进去的节奏。每个想上厕所的同学都按一个概率P(比如50%)来决定是立刻进去,还是再等一个“时间单位”(比如下一节课下课铃响)
。效果:这是一种折中的方案,试图在“立刻冲进去”和“干等着”之间找到平衡
。如果管理员设定的P值合适,既能减少一些“撞车”(冲突),又能让厕所比较及时地被使用(保持较高的信道利用率)。但如果P值设得不好(比如人很多时P值也很大),可能还是容易“撞车”;人很少时P值太小,又可能让厕所空着浪费。
3-4 CD(Collision Detection,冲突检测原理)
冲突检测(CD)是CSMA/CD协议的核心机制,它在载波监听基础上引入“边发边听”的实时校验:发送方在传输过程中同步比对接收信号,若发现不一致(冲突)则立即中止发送、广播干扰信号(Jamming)强制所有站点停止,并随机退避后重试。这一过程将带宽浪费压缩至冲突检测的瞬间,显著提升了共享信道(如总线型网络)的利用率。
假设独木桥(共享信道)每次只能过一个人(传输一帧数据)。
1、边过桥边听声(边发边听):有人要过桥时,先探头看桥是否空闲(载波监听),若空闲则开始过。但过桥过程中始终竖着耳朵听(冲突检测),警惕对面是否也有人同时上桥。
2、冲突喊停(干扰信号):若听到对面有脚步声(检测到冲突),立即大喊一声“撞啦!”(发送Jamming信号),通知所有人暂停过桥。
3、随机后退重试(退避重发):喊完后,主动退回路边等待一段随机时间(避免再次同时冲撞),之后重新探头观察,伺机再次过桥。
这种机制通过“实时监听+冲突即时喊停”将带宽浪费(桥面拥堵时间)缩到最短,而非盲目走完全程才发现冲突,极大提升了独木桥(网络信道)的利用效率。
3-5 二进制指数退避算法
二进制指数退避算法是以太网解决数据冲突的核心机制:设备检测到冲突后暂停发送,随机等待一段时间再重试;其等待时间由公式 τ × Random[0, 2ᵏ - 1] 决定(τ为固定退避时间单位,k取重传次数与10的最小值),使得重试间隔随冲突次数指数级扩大但具随机性,从而分散设备重发时机;若连续冲突16次则判定网络故障停止发送,为网络繁忙或故障,不再发送。以此平衡效率与稳定性。
重传次数越多,退避窗口越大,随机时间越久,信道冲突概率越低。
3-6 最小帧长计算
最小帧长(Lmin) 正是为了确保在CSMA/CD协议(如传统以太网)中能够可靠检测到冲突所需的最小帧长度,通常也称为冲突检测帧长或临界帧长。
为什么需要最小帧长?
在共享介质网络(如早期以太网)中,多个设备通过竞争发送数据。如果帧太短,发送方可能在帧发送完毕前无法检测到冲突(例如:远端碰撞信号尚未传回),导致帧发送失败却无法重传,降低效率。
3-7 以太网帧结构与封装
3-7-1 以太网帧结构
以太网帧由多个字段组成,其最小帧长为64字节,最大帧长为1518字节。各字段的字节数和功能如下:
- 前导字段(Preamble):7字节(10101010序列),用于时钟同步。
- 帧起始符(SFD):1字节(10101011),标志帧的开始。
- 目标地址(Destination Address):6字节,指明帧的接收方。
- 源地址(Source Address):6字节,指明帧的发送方。
- 长度(Length):2字节,指示数据字段的长度。
- 数据(Data):46~1500字节,如果数据不足46字节,需填充至46字节。
- 填充(Padding):用于确保数据字段达到最小长度(46字节)。
- 校验和(FCS):4字节,采用CRC校验,用于错误检测。
最小帧长计算:
6(目标地址) + 6(源地址) + 2(长度) + 46(最小数据) + 4(校验和) = 64字节。
最大帧长计算:
6 + 6 + 2 + 1500(最大数据) + 4 = 1518字节。
|
参数 |
数值或说明 |
|---|---|
|
最大帧长 |
1518 字节 |
|
最小帧长 |
64 字节 |
|
最大有效数据 (MTU) |
1500 字节 |
|
最小有效数据 |
46 字节 (不足时需填充至此长度) |
|
帧头开销 |
目标MAC(6) + 源MAC(6) + 类型/长度(2) = 14字节 |
|
最大效率公式 |
(1500) / (1500 + 18) = 1500 / 1518 ≈ 98.8% |
|
最小效率公式 |
(46) / (46 + 18) = 46 / 64 ≈ 71.9% |
3-7-2 以太网报文封装
|
协议层 |
开销(报头/报尾) |
说明 |
|---|---|---|
|
TCP |
20 Bytes |
提供可靠的、面向连接的传输服务 |
|
UDP |
8 Bytes |
提供简单的、无连接的传输服务(图中提及) |
|
IP |
20 Bytes |
负责寻址和路由 |
|
以太网 (Ethernet) |
18 Bytes |
帧头(14B) + 帧尾(4B),负责本地网络设备间的数据帧传输 |
MTU (Maximum Transmission Unit)
MTU = 1500 Bytes:这是以太网标准规定的IP数据包(即“有效载荷”)的最大长度。它限制了单个数据包能携带的应用数据上限。
MTU = 46 Bytes:这是IP数据包的最小长度。如果数据太少,IP层会进行“填充”以达到此要求,以确保帧长满足以太网最小帧长(64字节)的规定。
3-8 以太网物理层标准
3-9 VLAN
虚拟局域网VLAN是将交换局域网分段的技术,是一种将物理交换网络根据管理、组织或应用需求划分为多个独立逻辑网络的技术。其关键特性在于,每个VLAN构成一个独立的广播域(默认所有接口属于VLAN 1),不同VLAN间的通信必须通过三层设备(如路由器、三层交换机或防火墙)才能实现。
一个中继器和集线器是一个冲突域,网桥/交换机的接口为一个冲突域,一个VLAN是一个广播域,交换机默认所有接口在VLAN1。
早期共享式以太网中,所有主机共享同一总线,构成一个大的冲突域,需依靠CSMA/CD机制解决冲突;而现在的交换机组网中,交换机的每个端口都隔离出一个独立的冲突域,从而高效地解决了物理层冲突,使得网络性能不再受流量大小的制约。交换机的所有接口连接的节点属于一个广播域,路由器的每个接口是一个广播域。
交换机VLAN的划分方式:静态划分(基于固定的交换机端口)和更灵活的动态划分(可基于MAC地址、策略、网络层协议或地址)。通过一台路由器或三层交换机,将一个物理局域网逻辑划分为多个虚拟局域网(VLAN),例如研发部、测试部和市场部VLAN,从而实现不同部门(网络层次)间的安全隔离与高效管理。
VLAN(虚拟局域网)通过划分逻辑子网主要发挥三大作用:一是控制网络流量,将通信限制在同一VLAN内,有效抑制广播风暴、缩小冲突域并提升带宽利用率;二是增强网络安全性,通过配置VLAN间路由实现广播过滤和访问控制,限制不同VLAN间的通信以保障企业网络安全;三是提供灵活管理,允许根据功能或MAC地址划分工作组,突破物理位置限制,支持移动办公和动态网络调整。
802.1Q标签是VLAN技术中用于标识以太网帧所属VLAN的4字节字段,它被插入到源MAC地址和类型/长度字段之间。该标签核心包含两个关键部分:一是3位的PRI(优先级)字段,提供0-7共8个优先级以管理数据包发送顺序;二是12位的VID(VLAN标识符)字段,理论上最多支持4094个VLAN(因0和4095被保留)。此标签的添加与剥离由交换机硬件高速自动完成,对终端用户完全透明,使其无需感知VLAN的存在即可发送和接收标准以太网帧。
交换机添加和删除VLAN802.1Q标签的过程是由专用硬件自动实现,处理速度很快,不会引入太大的延迟。VLAN的标记对用户是透明的。
第五章 网络互联
5-1 广域网技术
公共交换电话网(PSTN)的基本结构和用途。PSTN最初为语音通信设计,后来也用于数据传输(如56k,现已淘汰)。用户电话通过模拟信号的“用户回路”铜线连接至端局,而局间干线使用数字信号的光纤,需通过调制解调器进行数模转换。示意图清晰展示了信号从用户经端局、长途局和中继局传输的路径。
X.25是一个为不可靠物理线路设计的、高度可靠的、面向连接的分组交换网络协议。它通过严格的三层结构(物理、链路、分组层)和虚电路概念,为早期的数据通信提供了坚实的基础,是现代互联网技术的重要先驱之一。
X.25协议体系分为三层:物理层、链路层和分组层,对应OSI模型的低三层。其链路层能确保可靠的数据传输,而分组层则提供交换虚电路(SVC)和永久虚电路(PVC)两种服务
帧中继(Frame Relay, FR) 技术是一种在数据链路层(第二层)使用虚电路(通过DLCI标识)提供面向连接服务的网络协议。其典型帧长范围在1600至4096字节之间,核心特点是高速(2-45Mb/s)、高效(采用可变长帧,开销小,仅进行检错和拥塞控制)和高灵活性(支持突发数据传输,通过CIR/EIR参数配置带宽)。但它不保证可靠交付,且不适合对延迟敏感的应用(如音视频),其可靠性很大程度上依赖于网络运营商的虚电路配置,只做检错和拥塞控制,没有流控和重传机制,延迟高,不保证可靠的提交,目前该技术已经被淘汰。
以太网最小帧长64字节,超级帧MTU为9K(常见范围为9014-9216字节)。路由器上的交换串口能用,但是很弱,不能传输超级帧,现代消费级/SoHo级路由器确实是一台集成了路由、交换(LAN)、无线接入(WLAN)和基本防火墙安全功能的多功能集成设备(All-in-One Device),在交换上不能实现特别好的效果,但是最便宜的交换机也可以传输超级帧(巨型帧)。
ISDN旨在用数字系统取代传统模拟电话网,统一传输音频、视频和数据业务,分为窄带和宽带两种类型。窄带ISDN提供基本速率接口BRI(2B+D=144kbps)和基群速率接口PRI(30B+D=2.048Mbps)两种用户接入方式。宽带ISDN即ATM技术,采用53字节固定长度的信元进行交换(其中5字节为开销,利用率90.6%),通过面向连接的虚链路提供服务,典型速率可达150Mbps。
路由器包含多种端口以连接不同类型的网络设备,其中同步串口专用于连接DDN、帧中继和X.25等广域网;异步串口用于低速设备连接;AUX接口支持远程配置;Console口则用于本地管理。
5-2 IPV4报文
IPv4报文格式由固定头部(最小20字节,最大60字节)和可变长度的数据载荷组成。头部包含版本号(0100)、头部长度(以4字节为单位,范围5-15)、服务类型(TOS/QoS)、总长度(最大65535字节)、标识符(用于分片重组)、标志位、片偏移、生存时间(TTL,每跳减1,没经过一个三层交换机减1,取值0到255)、协议类型(如ICMP 1/TCP 6/UDP 17)、头部校验和(TTL每次一减,每跳重新计算,由网卡直接完成)以及源/目的IP地址。可选选项字段可扩,展头部功能,数据部分最大长度为65515字节(65535字节减去IP头20字节等于65515字节)。
IPV4报文头部长度:最小值5,最大值15,单位4字节,范围(20B~60B)。
5-3 IP分片计算
MTU限制:网络允许的单个数据包最大为1500字节。
MF 是 IP 数据报头中一个非常重要的 标志位(Flag),它是“More Fragments”的缩写,中文意为“更多分片”。IP数据报分片时,MF(More Fragments)位 用于指示分片是否结束。除了最后一个分片(其MF位设置为 0),所有分片都会将MF位设置为 1,告知接收设备后续还有分片。接收端(目的主机)依靠 标识(Identification)、片偏移(Fragment Offset) 和 MF位 这三个字段来正确重组所有分片,恢复原始数据报。若任一分片丢失或超时未到达,整个数据报将被丢弃。
偏移量的计算公式:
片偏移 = (前所有分片数据长度和) / 8
第六章 网络安全
6-1 网络安全基础
四种常见的威胁。首先是窃听,指通过搭线、安装监视器等方式非法读取网上信息;其次是假冒,即一个实体伪装成另一个实体进行网络活动;第三种是流量分析,通过对信息流的观察和分析来推断敏感内容;最后是重放攻击,通过重复发送报文以产生未授权效果,防范措施包括使用随机数和时间戳。PPT中还配有一张银行服务器机柜和ATM取款的示意图,并以此为例说明重放攻击的流程:黑客窃取数据包后复制多份发送给ATM机,企图欺骗系统重复吐出现金。
|
对比维度 |
CC攻击 (Challenge Collapsar) |
DDoS攻击 (Distributed Denial of Service) |
|---|---|---|
|
💻 攻击层级与协议 |
主要针对应用层 (OSI 第7层),如HTTP/HTTPS协议。 |
主要针对网络层/传输层 (OSI 第3/4层),如IP、TCP、UDP协议。 |
|
🎯 攻击目标与对象 |
针对网页、应用或API接口,消耗服务器CPU、内存、数据库连接池等计算资源。 |
针对IP地址和网络带宽,旨在耗尽目标的网络带宽或连接资源。 |
|
📡 攻击源与IP特征 |
使用真实IP(通过代理服务器或“肉鸡”模拟正常用户),流量看似合法,隐蔽性强。 |
大量使用伪造IP(通过僵尸网络发起),流量异常庞大,易于被检测但难以溯源。 |
|
💥 危害模式与效果 |
渐进式消耗,导致服务响应缓慢或进程崩溃,但业务可能仍部分可用,持续时间长。 |
瞬间流量洪泛,快速压垮网络带宽,使业务彻底不可用,危害性大。 |
|
⚙️ 攻击技术变种 |
变种较多,可针对不同业务逻辑(如频繁查询、登录、提交订单),伪装性强,难以完全防御。 |
变种相对固定,主要包括流量型(如UDP Flood)、协议型(如SYN Flood)和反射放大攻击等。 |
|
🚧 攻击门槛与成本 |
门槛低,利用简单脚本和代理IP即可发起,成本可控。 |
门槛高,需要控制大规模的僵尸网络(肉鸡),成本高昂。 |
|
🛡️ 核心防御策略 |
依赖Web应用防火墙(WAF)、行为分析、请求频率限制、人机验证(验证码)等应用层智能防护。 |
依赖流量清洗、高防IP/高防服务器、CDN、增加带宽等网络层基础设施防护 |
6-2 信息加密技术
6-3 哈希算法
哈希算法(Hash),也称为杂凑函数或散列函数,是一种能够将任意长度的输入信息(如消息或文件)转换为固定长度哈希值(又称数字摘要)的函数。该算法需满足以下条件:首先,其输入可为任意长度的数据;其次,输出为固定长度的值;第三,给定输入时能高效计算哈希值;最后,具有强抗碰撞性,即找到两个不同输入产生相同哈希值在计算上不可行。哈希函数的核心特性包括不可逆性(单向性)、无碰撞性以及雪崩效应(输入微小变化导致输出显著变化),这些特性确保了其在数据完整性验证、密码学等领域的广泛应用。
常见的Hash算法:MD5、SHA、SM3等加密算法。
Hash算法的应用1:文件完整性校验,确认文件没有被篡改过。通过官网上的Hash值和本地生成的Hash值对比,确认文件的完整性。
Hash应用2:账号密码存储,防止系统内部人员看到明文存储的账户密码,监守自盗。哈希存储可能会遇到彩虹表(Rainbow Table Attack)攻击,通过穷举破解简单密码。防止彩虹表攻击,可以用盐+哈希存储,盐是个随机数,加密后,密码就不能被穷举破解了。
Hash应用3:用户身份认证
MD5是摘要算法,对任意长度的输入计算得到128位的结果,32位的字符。
6-4 数字签名
数字签名是签名方A用自己的私钥进行签名,对方收到后,对方用A签名的公钥来验证。数字签名是用于确认发送者身份和消息完整性的加密消息摘要。数字签名的特性:1、数字签名是可信的 2、数字签名不可伪造 3、数字签名不可重复使用 4、签名文件是不能改变的 5、数字签名不能抵赖 6、接受者能核实发送者的身份
常用的数字签名的算法是RSA,对明文生产的Hash加密消息摘要进行签名,效率更高。
签名验证过程,对比的是解密后的消息摘要,签名是用发送者的公钥解密。
6-5 数字证书
为确保信息安全,发送方A需使用接收方B的公钥对明文加密(非对称加密算法),但此过程的关键前提是A所获取的B公钥必须是真实可信的。数字证书正是为了解决公钥的真实性与身份认证问题,它由可信的第三方机构签发,能有效防止公钥被伪造或篡改,从而避免了中间人攻击等安全风险,建立了加密通信的信任基础。
公钥有可能被冒充,可能是假的或黑客冒充的,黑客可能搞个假的公钥然后加密数据给接收方发送过来,为了防止这种情况,所以我们要用数字证书给公钥进行加密,确保发送方的公钥是真的不是黑客冒充的。数字证书就像身份证,可以对用户的身份进行认证,作用是绑定用户实体和公钥。
PKI 是 公钥基础设施(Public Key Infrastructure) 的缩写。它是一种遵循标准的利用公钥加密技术为电子商务、电子政务等网络应用提供安全服务的基础设施,核心功能包括加密、数字签名、身份验证等,以确保信息传输的机密性、真实性、完整性和不可否认性。PKI 通过数字证书管理公钥,并由可信的第三方机构(如认证中心 CA)将用户公钥与身份信息绑定,从而建立信任机制。
公钥基础设施(PKI)的核心体系结构,它由五个关键组成部分构成一个完整的信任框架:终端实体(申请证书的用户)、注册机构RA(负责审核与验证用户身份)、证书颁发机构CA(负责签发和管理数字证书)、证书发布系统(负责分发证书)以及CRL库(Certificate Revocation List,负责发布证书吊销列表)。这套体系通过RA的审核、CA的签发与吊销、以及CRL的定期更新,共同确保了公钥的真实性、有效性和安全性,为网络通信提供了可靠的身份认证与数据加密基础。
X.509数字证书标准推荐使用RSA公钥密码算法,而国密SM2数字证书则采用基于椭圆曲线的ECC(椭圆曲线密码)算法。下方的表格进一步列出了SM1至SM9等国密算法的特征,其中SM2作为非对称加密算法,其安全性基于椭圆曲线数学问题,广泛应用于公钥加密、数字签名和密钥交换等领域,体现了我国在密码领域的自主创新与技术标准。
6-6 虚拟专用网基础(Virtual Private Network,VPN)
1. 虚拟专用网(VPN)概念
VPN(Virtual Private Network)是一种建立在公共网络(如互联网)之上的,为特定组织或用户提供专用的通信网络。
它类似于城市中的公交专用道,在现有道路上划出专用区域,而非另建一条路。VPN在现有互联网基础设施上,通过技术手段为特定用户划分出专用通道。
2. 实现VPN的关键技术
隧道技术(Tunneling):在公共网络上建立一条逻辑通道,使得远程用户仿佛直接连接到内部网络,并获得内部私有IP地址,实现与内部资源的直接通信。
加解密技术(Encryption/Decryption):对传输数据进行加密,防止数据在公共网络中被窃取或篡改。
密钥管理技术(Key Management):负责密钥的生成、分发、更新和撤销,确保加密通信的安全性。
身份认证技术(Authentication):验证用户或设备的身份,确保只有授权方才能接入VPN。
3. VPN的分类
3.1 按应用场景分类
客户端到站点VPN (Client-to-Site / Remote Access VPN / Extranet VPN):
客户端(通常是个人PC)通过隧道技术访问企业内网。
常见技术:SSL VPN(最常见)、IPSec、L2TP Over IPSec。
特别指出L2TP本身不加密,通常需结合IPSec进行加密。
站点到站点VPN (Site-to-Site VPN):
用于连接总公司与分支机构、校本部与分校等不同站点之间的网络。
常见设备:路由器或防火墙。
常见技术:
IPSec:可加密,但不支持组播(如路由协议OSPF、视频会议)。
GRE Over IPSec:结合GRE的组播支持和IPSec的加密功能,常用于需要传输组播流量的场景。这是实际应用中非常重要的技术组合。
L2TP (不加密,不支持组播) 和 L2TP Over IPSec。
3.2 按实现层次分类
二层隧道技术(数据链路层):
PPTP (Point-to-Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
两者底层都基于PPP协议。
三层隧道技术(网络层):
IPSec
GRE
GRE Over IPSec(最常用,结合了GRE的组播支持和IPSec的加密功能)。
传输层隧道技术(传输层):
SSL/TLS (主要用于保护HTTP流量,常用于Web应用)。
4. 二层隧道技术详解 (PPTP与L2TP)
共同点:底层都基于PPP协议。
主要差异:
1. 协议支持:PPTP只支持在TCP/IP网络上运行,L2TP可以在IP或其他网络上运行。
2. 隧道数量:PPTP只能在两端点之间建立单一隧道,L2TP支持建立多个隧道。
3. 报头开销:L2TP提供报头压缩功能,开销为4字节,PPTP(PPP)为6字节。
4. 隧道验证:L2TP提供隧道验证,PPTP不支持。
5. 加密:L2TP本身不加密,PPTP支持加密(但有时也需要IPSec加强安全性)。
5. PPP协议认证方式
PPP协议包含LCP(链路控制协议)和NCP(网络控制协议)两个子协议。
认证方式:
PAP (Password Authentication Protocol):
两次握手验证协议。
口令以明文方式传输,不安全。
CHAP (Challenge Handshake Authentication Protocol):
三次握手验证协议。
认证过程不传输明文口令,而是传输基于哈希(HMAC)的消息认证码(哈希值)。
认证过程:认证方发起挑战(随机数),被认证方将随机数与用户密码结合计算哈希值并返回,认证方进行对比验证。更安全。
6. PPP与HDLC协议对比(广域网封装协议)
PPP:上层协议支持多种(IP、IPX等),支持地址协商,有错误检测。
HDLC:上层协议只支持HDLC自身,无地址协商,有错误检测。
总结来说,VPN通过隧道、加密、密钥管理和身份认证等技术,在公共网络上构建安全的专用通信通道。根据应用场景和实现层次有多种分类,其中IPSec和GRE Over IPSec在站点到站点VPN中尤为重要,而PPP协议的PAP和CHAP是两种常见的认证方式,CHAP因其不传输明文口令而更安全。
虚拟专用网技术:隧道技术(公网ip访问内网ip,但是不想把内网ip暴露到公网上)、加解密技术、密钥管理技术、身份认证技术。
根据场景分类:
Client-to-Site VPN(单个设备接入远程网络): SSL、IPSec、L2TP、L2TP over IPSec;
Site to Site VPN(连接两个完整的局域网): SSL、IPSec、L2TP、L2TP over IPSec、GRE over IPSec、IPSec over GRE ;
在二层数据链路层协议中,主要有PPTP、L2F、L2TP和L2VPN等技术;在三层网络层协议中,包含了GRE、IPSec和L3VPN;而在传输层协议中则主要运用SSL/TLS VPN。
PPTP和L2TP两种协议的异同。两者均基于PPP协议(二层协议,包含LCP和NCP),但存在关键差异:PPTP仅支持TCP/IP体系且要求网络层为IP协议,而L2TP可运行于更多网络类型(如IP/UDP、X.25等);L2TP支持多隧道、包头压缩(开销4字节,低于PPTP的6字节)及隧道验证,但本身不加密,而PPTP仅支持单一隧道且无隧道验证功能,但具备加密能力。
PAP(口令认证协议) 和 CHAP(挑战握手认证协议)。其主要区别在于安全性和握手过程:PAP采用两次握手,由被认证方直接发送明文的用户名和密码,安全性较低;而CHAP采用更安全的三次握手,认证方先发出一个“质询”(随机报文),被认证方使用该质询和口令计算出一个HMAC散列值并返回,整个过程不传输明文口令,从而有效防止了密码窃听。
PPP协议支持多协议,能够进行地址协商,并且具备错误检测功能;而HDLC协议仅支持IP协议,无法进行地址协商,但同样支持错误检测功能。
6-7 IPSec
IPSec(IP Security)是由互联网工程任务组(IETF)定义的一组协议,旨在增强IP网络的安全性,其协议集主要提供数据完整性(Data Integrity)、认证(Authentication)、保密性(Confidentiality)以及应用透明安全性(Application-transparent Security)四项核心安全服务。
IPSec是一套通过AH、ESP和IKE三大协议协同工作的安全体系:其中认证头(AH)协议利用MD5或SHA等算法提供数据完整性和源认证功能;封装安全载荷(ESP)协议通过DES、3DES或AES等算法实现数据加密,确保保密性;而Internet密钥交换(IKE)协议则负责使用DH算法进行密钥的生成与安全分发,共同为IP网络通信提供全面保护。
传输模式:插一个AH头,校验数据的完整性,效率高
隧道模式:不但插AH头,还会封装一个新的IP头,安全性高,效率不如传输模式
GRE(通用路由封装)是一种支持组播等技术的网络层隧道协议,但其本身不提供加密功能;而IPSec虽可实现加密,却对组播支持不佳。因此,在语音、视频等组播业务中,常采用GRE over IPSec的方式,即先通过GRE封装数据,再使用IPSec进行加密。GRE协议使用协议号47,IPSec IKE则通过UDP端口500和4500进行通信。
6-8 应用层安全协议
SSL/TLS是由网景(Netscape)开发的传输层安全协议,主要用于保障Web通信安全。国际互联网工程任务组(IETF)基于SSL 3.0版本制定了标准化协议TLS,进一步扩展了其应用范围。SSL协议包含三个核心子协议:记录协议负责在TCP传输层上封装上层协议(如HTTP、FTP),确保数据传输的保密性;握手协议用于协商加密参数与身份认证;警告协议则处理异常情况。值得注意的是,SSL与IPSec类似,均支持数据加密、身份验证和完整性校验三大安全功能。
从协议架构来看,HTTPS协议栈是在应用层(HTTP)与传输层(TCP)之间插入SSL层实现的;而SSL自身协议栈则分层明确:上层包含握手协议、改变密码协议和警告协议,下层由记录协议支撑,最终通过TCP/IP传输。这一设计确保了端到端的安全通信能力。
HTTPS的端口是443,HTTP默认端口是80。
SSL/TLS协议通过综合运用三大类算法来保障通信安全:非对称加密(如RSA、ECC、DH)用于初始的身份验证和密钥协商,其特点是公钥公开、私钥保密,实现一对多的安全连接建立;协商后的会话数据则交由对称加密(如AES、DES)进行高效的信息加密,双方使用共享的同一密钥进行一对一的高速加解密;而哈希算法(如MD5、SHA)则通过其不可逆和固定长度输出的特性,为数据提供完整性校验,确保传输内容未被篡改。三者各司其职,共同构筑了网络通信的安全基石。
安全电子交易(SET) 和 PGP。其中,SET 协议旨在为信用卡在线交易提供安全保障,通过综合运用 DES 对称加密、RSA 公钥算法和 SHA 散列函数,确保支付信息的机密性、交易过程的完整性以及交易各方的身份认证。而 PGP 则是一个应用层的电子邮件安全软件包,它提供数据加密和数字签名服务,其核心是使用 RSA 进行身份验证和密钥管理、IDEA 算法进行数据加密、以及 MD5 来验证信息的完整性。
Kerberos是一种用于网络身份认证的安全协议,其核心组件为密钥分发中心(KDC),其中包含认证服务器(AS)和票据分发服务器(TGS)。该协议通过三步实现安全访问:用户首先向AS证明身份以获取初始许可凭证;随后凭此向TGS申请访问特定服务的权限凭证;最终向应用服务器提交权限凭证以获取资源访问。整个过程依托票据(Ticket)机制,确保身份验证与授权管理的安全性与可靠性。
6-9 防火墙
防火墙通过逻辑隔离和访问控制(如NAT(私网ip访问公网时,在网络出口把私网ip转为公网ip)、路由、VLAN虚拟局域网(802.1Q帧)等技术)实现内部信任网络与外部非信任网络(如Internet)或内部不同区域之间的安全隔离;其常见功能包括访问控制、路由、链路聚合及网络监控(不涉及应用层),并支持路由、透明和混合三种工作模式。
路由模式是所有接口都配ip,如果接口不配ip则是透明模式,一部分配ip,一部分不配ip是混合模式。
防火墙区域划分是根据网络信任级别将网络划分为四个关键安全区域:本地区域(Local,安全级别100,代表防火墙自身)、信任区域(Trust,安全级别85,用于内部安全网络)、非信任区域(Untrust,安全级别5,指外部不安全网络如互联网)以及军事缓冲区域(DMZ,Demilitarized Zone,安全级别50,用于放置公共服务设备)。各区域按信任程度从高到低为 Local > Trust > DMZ > Untrust,并依据安全级别高低定义数据流向(Inbound 为低到高,如 Untrust 到 Trust;Outbound 为高到低,如 DMZ 到 Untrust)。
Inbound 和 Outbound 是根据安全级别划分的。
防火墙五元组是网络流量控制和状态跟踪的核心要素,它就像网络数据包的“身份证”,由以下五个基本元素组成::
|
元组要素 |
描述 |
示例 |
|---|---|---|
|
源IP地址 |
发送数据包设备的IP地址 |
|
|
目的IP地址 |
接收数据包设备的IP地址 |
|
|
源端口号 |
发送方应用程序使用的端口号 |
|
|
目的端口号 |
目标服务监听的端口号 (如 HTTP:80, HTTPS:443) |
|
|
协议类型 |
数据包使用的传输层协议 |
|
在出口防火墙配置ACL或者控制策略来实现外部未授权用户访问内网。
6-10 IDS和IPS
入侵检测系统(IDS)是位于防火墙之后的第二道安全屏障,它通过从网络关键节点收集信息来监测和分析网络活动与用户行为,其核心功能在于能匹配特征库以识别已知攻击、统计分析异常行为,并在发现威胁时与防火墙联动实施阻断,从而极大地扩展了系统管理员的安全管理能力。
入侵检测系统(IDS)只能检测,不能响应,只能通过与防火墙联动来实施阻断。
入侵检测系统(IDS)分类主要依据四个维度:信息来源(分为主机HIDS、网络NIDS和分布式DIDS)、响应方式(实时与非实时)、数据分析技术和处理方式(分为异常检测、误用检测和混合检测)。
入侵防御系统(IPS)是一种抢先的网络安全检测和防御系统。它的核心功能在于通过集成入侵威胁特征库,实时监测和分析网络流量,一旦识别出异常或恶意活动,便能立即进行阻断,从而实现主动的入侵防护。具体来说,IPS主要具备三大功能:监测用户和系统的网络活动、匹配特征库以识别并阻断已知攻击(如网络攻击、有害程序和漏洞利用)、以及对异常行为进行统计分析。为了高效完成这些任务,IPS采用了多种先进的检测技术,包括基于特征的匹配、协议分析、抗拒绝服务(DoS/DDoS)技术、智能化检测以及主动防御式的蜜罐技术。然而,由于IPS采用串行部署方式,它也面临着一些固有挑战,例如可能成为单点故障、造成网络性能瓶颈、存在漏报与误报的风险,并且需要持续更新特征库以应对不断演变的网络威胁。
区别:IDS旁路部署,IPS串行部署;IDS只能检测,不能响应,IPS可以相应。IPS的核心功能是防御(Prevention)。它不仅具备IDS的检测能力,更关键的是能够主动阻断(Block)攻击。
第八章 组网技术
8-1 交换机基础
交换机根据交换方式主要分为三类:
存储转发式交换(Store and Forward)会完整接收、缓存并校验数据帧,支持差错校验和非对称交换但延迟较大;是通过硬件实现转发,可以用硬件芯片进行加速,硬件处理速度很快,所以目前我们使用的交换机都是存储转发式交换机。
直通式交换(Cut-through)在读取目标地址MAC地址后立即转发,不读传过来的数据(以太网帧包括目的MAC地址,源MAC,类型数据,数据(MTU值46字节-1500字节),FCS帧校验序列),延迟低且速度快,但无法检错和实现非对称交换;
碎片过滤式交换(Fragment Free)则通过检查数据包长度(不小于64字节才转发)来过滤冲突碎片,兼顾了一定的效率与碎片处理能力。小于64字节的数据包,说明是冲突碎片,需要被丢弃;如果大于64字节,则转发该数据包。
交换机的分类方式多样,除基本的交换方式外,还可根据其工作的协议层划分为二层(基于MAC地址进行转发,数据链路层)、三层(基于IP地址和路由进行转发,网络层)和多层交换机(加了各种板卡,加了功能);根据硬件结构分为固定端口交换机(基本上指的是接入交换机,如24口接入交换机,下行口24个,如千兆的电口连网线,上行的口基本上是4个,可能是电口,也可能是光口)和模块化交换机(基本指的是核心交换机和汇聚交换机,第一种有各种模块化的接口,需要什么可以直接插板卡;第二种是一些中端的设备,比如汇聚交换机,24口交换机,下行24个千兆电口,上行集成了4个万兆(4*10G)接口,还有两个扩展模块,上行可以支持扩展更多接口和更高的数据传输速率如40G的口);根据配置方式分为可堆叠与不可堆叠交换机(支不支持堆叠,堆叠也叫横向虚拟化,是不是同个组,把交换机虚拟为一台,相似设备的堆叠也叫做集群,华为叫CSS,核心交换机叫iStack,思科叫VSS,新华三叫IRF,锐捷叫VSU);根据管理类型分为网管型、非网管型和智能交换机(SDN通过软件做功能定义);此外,根据在网络中的层次与角色,还可划分为核心层核心交换机、汇聚层汇聚交换机和接入层交换机(接入层交换机基本是二层交换机,有钱的单位可以用三层交换机),这三种交换机在网络拓扑中自内向外分布,共同构成一个层次化的网络架构。
通常在接入层和汇聚层采用堆叠技术(适用于盒式交换机),而在汇聚层和核心层则采用集群技术(适用于框式交换机)。通过逻辑设备间的链路聚合,无需依赖STP(生成树协议)或VRRP(虚拟路由冗余协议)即可实现高可靠性,同时允许多条链路并行传输数据,显著提升了带宽利用率和网络效率。提升带宽利用率和网络效率确实是堆叠技术最核心、最直接的作用之一。但它带来的好处远不止于此,它还极大地简化了网络架构并提升了可靠性。
堆叠技术通过将多台物理交换机虚拟化为单一逻辑设备,显著提升了网络效能与可靠性。其核心优势主要体现在三方面:一是高效扩展端口数量,只需在堆叠系统中增加新交换机即可灵活满足用户接入增长需求,无需更换现有设备;二是简化网络架构,将多设备统一管理降低运维复杂度,同时通过设备级冗余保障单机故障不影响系统整体运行;三是实现处理能力与带宽的线性增长,例如两台64Mpps交换机组建堆叠后,系统整体转发能力可提升至128Mpps,真正实现性能的集成化提升。
堆叠技术虽能简化管理和提升效率,但存在明显劣势:其一,它依赖厂商私有协议,无法实现跨品牌设备堆叠;其二,需额外购买专用堆叠线缆(现也可通过光纤实现);其三,高端设备堆叠可能导致硬件资源浪费(如双引擎仅一个工作);其四,系统升级或重启会造成20~60秒业务中断;其五,集中式控制平面存在可靠性风险,若控制层面(如路由表)故障或遭攻击,可能导致整个逻辑设备瘫痪,影响范围远大于单台设备。PS:跨厂商的设备不能用堆叠,要用VRRP协议。
堆叠系统通过定义三种角色实现高可靠性:主设备(Master) 作为唯一控制中心,负责所有配置管理和决策;备用设备(Standby) 作为热备份,实时同步主设备状态,确保主设备故障时毫秒级无缝接管;从设备(Slave) 则专注数据转发和执行任务。这种架构通过"一主一备多从"的冗余设计,既简化了管理(单一逻辑设备),又避免了单点故障,保障业务连续性。
交换机指标包括端口类型(RJ45电口与GBIC/SFP等光口)、传输模式(半/全双工,基本上是全双工,既能收又能发)、交换容量/背板带宽(端口数×速率×2全双工)、包转发率(计算公式为1000Mbps/8/(64+8+12)=1.488Mpps,千兆的)、MAC地址数及VLAN支持上限(4094个)。下方通过对比五款CloudEngine S5735系列型号的具体数据,直观展示了不同型号在包转发率(102-166Mpps)、交换容量(672G/6.72Tbps)及端口配置(8-48个千兆电口+4个千兆光口)上的差异,为设备选型提供了清晰的技术依据。
|
特性维度 |
交换容量 (Switching Capacity) |
包转发率 (Packet Forwarding Rate, PFR) |
|---|---|---|
|
核心定义 |
交换机内部总的数据吞吐能力,即“能吞下多少数据” |
交换机处理数据包的效率,即“能处理多少个包裹” |
|
关注焦点 |
宏观的数据流量 (比特数) |
微观的数据包数量 (包个数) |
|
主要单位 |
Gbps 或 Tbps |
Mpps (百万包每秒) |
|
关键影响 |
所有端口同时满速传输的能力上限 (大流量是否卡顿) |
处理海量小数据包的效率 (响应是否及时、是否丢包) |
|
典型应用场景 |
大数据传输、视频流、数据中心备份 |
VoIP语音、在线游戏、云计算虚拟化、物联网(IoT) |
|
计算公式参考 |
端口数 × 端口速率 × 2 (全双工模式) |
端口数 × (端口速率 / ( (64+8+12) × 8 ) ) (以64字节小包为基准) |
第十章 网络规划与设计
10-1 综合布线
一、六大子系统与拓扑
-
工作区子系统:由终端设备(电脑、电话)—信息插座—跳线组成;常用接口为电脑RJ45、电话RJ11;信息插座安装高度通常距地面30–50 cm。
-
水平子系统:信息插座至楼层配线架(FD);介质多为4对双绞线,也可用光缆;链路长度不超过90 m。
-
管理子系统:位于各楼层配线间,含配线架与跳线;管理方式分为多点管理(每层设FD)与单点管理(集中至设备间),工程中以多点管理为主。
-
干线/垂直子系统:连接各楼层FD与设备间BD;常用介质为主干光缆或大对数双绞线(语音)。
-
设备间子系统:建筑物核心机房,含主配线架(BD)、汇聚/核心交换机、服务器、电话交换机等;位置宜在中间或偏下楼层,注意防潮与承重,并配置UPS、防雷与过压/过流保护。
-
建筑群子系统:连接不同建筑物;常用光缆,部署方式含地下管道、直埋、架空明线。
二、关键长度与连接规则
-
长度限制:水平永久链路≤90 m;水平链路(含两端跳线)即信道≤100 m;工作区跳线通常≤10 m;多模光纤典型≤550 m,单模光纤可传更远。
-
以太网实践:遵循1000BASE‑T等规范,使用4对双绞线;超五类可支持千兆,六类带宽250 MHz、性能更优。
-
光纤选型与距离:园区/楼宇骨干优先光缆;多模常用于楼内(典型≤550 m),单模用于远距离(可达≥2 km,按设备与光模块规格确认)。
-
拓扑与跳接:整体为星型拓扑;楼层FD到BD采用交叉连接便于维护与变更,亦可选互联方式减少跳线数量。
三、安装工艺与安全间距
-
强弱电分离:弱电与强电应分开敷设;当条件受限同槽敷设时,平行长度应<10 m且加金属隔板并两端接地;交叉敷设宜≥60°(推荐90°)。
-
距离与防护:弱电与强电终端最小间隔建议≥450 mm;住宅场景中,信息配线箱与配电箱安装高度宜0.50 m,若同高安装其间距不应小于500 mm。
-
线槽与绑扎:线槽内布线宜分组,最多20 根/束,每隔5 m绑扎固定;保持双绞线绞合,开绞长度不超过13 mm。
-
接地与干扰:金属线槽/金属构件应可靠接地;弱电系统工作地与强电地宜分开并引至建筑物集中接地点。
四、标准体系与标签文档
-
标准体系:国际常用ISO/IEC 11801;北美商用建筑常用ANSI/TIA‑568系列;住宅场景参考ANSI/TIA/EIA‑570‑B(定义等级化家庭布线与100 m信道上限);国内工程实施遵循GB 50311‑2016、GB 50312‑2016。
-
测试与验收:按GB 50312进行认证/鉴定测试,关注接线图、长度、衰减、近端串扰等关键指标;工程资料与测试报告需完整归档。
-
标签与标识:所有缆线、配线架端口、信息点、跳线与接地装置应有唯一标识;推荐UL969材质的覆膜标签,打印清晰、耐候耐用,建立电子化台账便于维护。
扫一扫
2555
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
