一 计算机概念
1 计算机网络定义:
1)将异地的具有独立功能(平等)的多台计算机及外部设备
2)通过网络线路连接起来,
3)在网络操作系统、
网络管理软件、
网络通信协议的管理和协调下
4)实现资源共享和信息传递
2 计算机网络分类
1 按传输距离
1)局域网(LAN) 1m<10km
局域网与外部网交换需经过代理服务器的NAT转换,所以局域网内报文源地址俄日代理服务器连接外网的地址
2)城域网(MAN)1km<100km/一个城区
3)广域网(WAN) 10km<10000km
2 按工作模式: 对等网络、基于服务器的网络
3 按传输介质
有线网络:
1)双绞线:4对8根,绞和为了减少电磁干扰
1)类别: UTP非屏蔽双绞线,常用超五类线
STP屏蔽双绞线(屏蔽:减少电磁干扰)
2)布线标准 T568A T568B
3)直通线:线缆两端的线序排列(布线标准)完全相同
交叉线:线缆两端排序相异。
同种设备用交叉线,异种设备用直通线
2)同轴电缆:铜质芯线、绝缘层、网状编织的外导体屏蔽层及塑料外层
3)光纤等:光导纤维简写,玻璃/塑料制成,原理:光的全反射
1)多模光纤:光源:发光二极管
缺点:可见光定向性差
光由多个不同角度进入光纤,同时传输
适用:近距离传输
2)单模光纤:光源:激光二极管
直径只有一个光的波长,光沿直线传播,传播频带宽,容量大,损耗小
适用:远距离传输
无线网络
1)无线电:频带有限<300GHz
分类:绕射强度:中波(广播)>短波(环球通信)>超短波(视距传播)>微波 (远距离远程通信、楼宇间点对点)
2)红外线:抗干扰性强、不可穿透坚实物体、低廉且小
3)激光:通信容量大、保密性强、结构轻便,设备经济,限于视距,瞄准困难
3 计算机网络组成:资源子网(工作站、服务器)和通信子网(通信设备、传输介质)
资源子网(服务器、客户机)和通信子网(网络设备、通信戒指、网络软件)
二 网络设备
1 网卡(NIC )/网络适配器:
1)适用层次:完成物理层和数据链路层的大部分功能
2)作用:计算机和网络电缆之间的物理连接。
3)特性:具有(全球)唯一的地址,称为MAC地址或物理地址。采用16进制表示,前三字节为厂家编码,后三字节为厂家指派
2 中继器/信号放大器
1)适用层次:物理层
2)作用:用于完全相同的两类网络的互联,(对数据信号的复制、整形、放大)扩大网络传输的距离<2500m
3 集线器(信号放大器/多口中继器)
1)适用层次:物理层
2)特性:多端口服务,不具备交换机的MAC地址表(广播式发送),共享带宽(其下所有端口是一个冲突域)
3)所有端口是一个冲突域,一个广播域
4 交换机/多端口网桥
1)适用层次:数据链路层
2)作用:识别帧的内容
3)每个端口是一个冲突域/独立的网段(独占带宽),所有的端口是一个广播域
分组:二层交换:硬件方式执行网桥功能。通过MAC地址转发,并将相关信息记录在地址表
三层交换机:二层交换技术+三层转发技术、网络层设备
1)以太网交换机:根据MAC地址进行交换
2)帧中继交换机:只能根据虚电路号与DLCI进行交换
3)ATM交换机:根据虚电路标识进行信元交换
4)三层交换机:具有部分路由功能的交换机,实现了数据包的高速转发
5 路由器
1)适用层次:网络层设备
2)作用:连接多个逻辑上分开(独立网络地址)的网络(为经过他的数据帧寻找最佳传输路径并有效传送到目的地)
3)每个端口是一个冲突域,每个端口是一个广播域
三 OSI网络参考模型
1)应用层
为用户服务,提供各类应用程序的接口和用户接口
如HTTP,Telent,FTP,SMTP等。
2)表示层
处理流经结点的数据编码的表示方法问题,保证系统应用层发出的信息可以被另一系统应用层独出
3)会话层
负责建立、管理和终止应用程序之间的会话
4)传输层
实现发送端和接收端的端到端的数据分组传送,负责保证实现数据包无差错、按顺序、无丢失和无冗余的传输。
服务访问点:端口。
代表性协议:TCP,UDP,SPX协议等
5)网络层
1)解决问题:路由选择、网络堵塞、异构网路互联。
服务访问点:逻辑/网络地址。
代表性协议:IP、IPX协议等
6)数据链路层
1)用途:建立、维持和释放网络实体之间的数据链路,对网络层表现为一条无差错的信息。包括流量控制和差错控制。
2)内部分层:MAC(决定传输介质材质)(媒介访问控制层)、LLC(逻辑链路控制层)
服务访问点为MAC地址
7)物理层(最底层/第一层)
1)用途:解决数据终端设备与通信线路上通信设备之间的接口问题
2)4个技术特性:
机械特性:规定DTE(数据终端设备)、DCE(数据通信设备)的连接器形式
电气特性:规定发送器和接收器的电气参数及其他有关的电路特征,决定数据传送速率和距离
功能特性:对各信号线给出具体规定(接口信号为:数据信号、控制信号、时钟信号)
规程特性:规定DTE和DCE之间个接口信号线实现数据传输的操作过程/顺序
网络结构
1)总线拓扑结构:用总线把计算机连接起来(大河的支流)
优:建网容易、增加节点方便、节省线路
劣:重负载时通信效率不高
2)星型拓扑结构
每个终端或计算机以单独的线路与中央设备(交换价/集线器)相连(像自行车车轮),常用于局域网
优:结构简单、建网容易、延迟小、便于管理
劣:成本高、中心节点成为系统的瓶颈
3)环型拓扑结构
所有计算机和接口设备连接成一/多个环,常用于实时控制的局域网
4)树形拓扑结构
节点组织成树状结构,具有层次性。常用语政府、军事单位
5)网状/分布式拓扑结构
每个节点至少有两条路径与其他节点相连,常用于Internet骨干网4
优:可靠性高,可改善线路的信息流量分配、可选择最佳路径,传输延迟小
劣:控制复杂,线路成本高
IP地址
1 特性:IP地址由32位二进制数,即4个字节(每个字段应在255内)组成,由网络号和主机号两个字段组成
网络号决定了可以分配的网络数(2的n次方)
主机号位数决定了网络中最大主机个数(2的(32-n)次方 -2)
2 IP地址分类
A类:0000000~0111111 0 ~ 127
B类:1000000~1011111 128~191
C类:1100000~1101111 192~223
....
1) 特殊IP地址/保留地址
网络地址:主机号全0(最后一个字段变为0)
广播地址:主机号全1((最后一个字段变为1))
子网掩码:网络号部分全1,主机号部分全0,用于计算网络地址(IP地址和子网掩码做与操作)
与1做与操作,为本身(如192与255,结果为192)。与0做与操作,为0(192与0,结果为0)
保留地址:为满足内网需求,保留部分地址
3 子网及子网掩码
1)两级IP缺点:IP地址空间利用率低,给每个物理网络分配网络号使路由表变得太大因而使网络性能变坏
2)解决:各单位自己在其后增加字段:主机号
172.68.160.12/22
22表示网络地址位数,所以主机位数为(2^10-2)
子网掩码为255.255.252.0(11111111.11111111.11111100.00000000)(22位网络地址--22个 1)
解:将网络117.15.32.0/23划分成117.15.32.0/27
即 01110101.00001111.0010000.00000000变为 01110101.00001111.0010000.00000000.
所以子网个数为2^(27-23),各主机个数为(2^5)-2
[单选] A类网络是很大的网络,每个A类网络中可以有(2^24)个网络地址。实际使用中必须把A类网络划分为子网,如果指定的子网掩码为255.255.192.0,则该网络被划分为(C)个子网。
A . 128
B . 256
C . 1024
D . 2048
参考解析
A类网络用第一个字节表示网络地址,最高位为0,余下的7位为真正的网络地址,而127.0.0.0网络地址有特殊的用途,A类网络地址可以支持126个网络。A类网络地址的后24位表示主机号,所以每个A类网络中可以有224个主机地址。子网掩码中全1部分对应于网络号,255.255.192.0的二进制表示为11111111.11111111.11000000.00000000,子网部分借用了A类网络主机号的前10位,所以可以确定该网络被划分为2=1024个子网。
4 路由汇聚
1)概念:把一组路由汇聚为一个单个的路由广播
2)优:缩小网络上的路由表的尺寸
3)方法:对比值不同字段,一般为第三段。将其化为二进制,对比相同长度;改变网络地址=16+相同长度。对应IP地址为网络地址补0(129-128)
IPv6协议
1)全称:互联网协议第6版
2)特点:地址(128位)、路由表更小、简化包头、流标志(包间关联)、身份验证和保密(IP身份证头、IP封装安全性净荷)
3)格式:2001:0da8:d001:0001:0000:0000:0000:0001
IPV6地址的128位以16位为一组(每组16位转换为4位的十六进制数字-2001)
分为八组,每组间用 : 隔开
4)压缩:2001:da8:d001:1:0:0:0:1 或 2001:da8:d001:1::1(:: 表示中间字段为0000)
5)内嵌IPv4地址的IPv6地址
1)fe80::200:5efe:58.20.27.60 第一部分使用十六进制,第二部分(IPv4)使用10进制
2)0000:0000:0000:0000:0000:FFFF:xxxx:xxxx(IPv4地址)
3)0000:0000:0000:0000:0000:0000:xxxx:xxxx
6)地址类型
单播:唯一表示一个IPv6节点的接口
多播:标识一组IPv6节点的接口
泛播:派给多个节点的接口(一次性且满足就近原则(传递给离他最近的接口且不能再次传播))
7)IPv4向IPv6过渡
双协议栈:两条路各用各的
隧道技术:包装礼物(传送立方体),解开礼物(奇形怪状)
NAT-PT:附带协议地址的网络地址转换器
常用网络协议
1)TCP/IP协议:(从上往下)应用层、传输层、网际层、网络接口层
重点
2)ARP(地址解析协议)
IP地址是逻辑地址,不能被物理网络识别,将IP地址动态映射到MAC地址
3)RARP(反向地址解析协议)
有MAC,无IP地址,从服务器请求IP地址
4)DNS域名系统
完成域名到IP地址的转换(一对一/多),端口号53,运行在UDP之上
解决网站负荷:1)升级软硬件
2)集群技术:如DNS负载均衡:在Windows的DNS服务器中通过启用循环,添 加每个Web服务器的主机记录
5)DHCP(动态主机配置协议)
为计算机自动分配一系列地址上网,使用UDP作为传输协议。主机发送请求到DHCP(67号端口),DHCP应答到主机(68号端口),默认租约期(8天(保质期(可变·):50% 87.5%提示续约))
6)SNMP协议
由administrator组成员配置
默认权限(由高到低):administrators>power users>users>everyone
Internet服务
1 DNS域名服务
2 远程登录服务:Telnet协议支持,使用TCP端口(端口号23)
3 电子邮件服务
利用计算机进行信息交换的电子媒体信件。
地址格式:用户名@主机名,基于客户机/服务器模式
报文格式:ASCII码
所用协议:1)简单邮件传送协议(SMTP),接受收件(POP3协议),两者利用TCP端口(25、110)
4 WWW服务:为用户提供超文本传输协议(HTTP)的用户界面,数据文件由超文本标记语言(HTML)描述,利用TCP端口(80)
5 文件传输服务:计算机间传输文件,基于客户机/服务器模式的服务系统
基于TCP端口:控制连接(21)、数据连接(20
网络安全
1 信息系统对安全的基本需求:保密性、完整性、可用性、可控性、可核查性
网络的可用性:用户可利用网络时间的百分比
网络的可靠性:在规定时间的条件下和制定的时间里,网络系统完成规定功能的能力
负载:网络系统所能承受的数据通信量
2 网络安全威胁:物理威胁(硬件)、网络攻击、身份鉴别(口令、密码)、编程威胁(通过代码进行攻击)、系统漏洞(代码漏洞)
3 网络攻击手段:
1)口令入侵、
2)放置特洛伊木马(秘密潜伏、远程监控)
快乐时光(vb,感染html等文件)、熊猫烧香(蠕虫病毒(复制自身,目标:互联网内所有计算机)、替换EXE图标)、X卧底(手机监控)、CIH病毒(破坏计算机系统)、宏病毒(文档/模板)
3)Dos攻击(拒绝服务:计算机网络带宽攻击、连通性攻击(SYN Flooding攻击(一次TCP连接,3次握手)))
4)端口扫描网络监听、
5)欺骗攻击(Web欺骗、ARP欺骗、IP欺骗)、电子邮件攻击(大量邮件)
恶意攻击分为主动攻击和被动攻击
1)被动攻击指在不影响正常运行的情况下进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等(暗地进行)。
2)主动攻击指有选择的破坏信息,如修改、删除、伪造、添加重放、乱序、冒充、制造病毒等
4 防火墙技术
1)概念:建立在内外网络边界上的过滤封锁机制
2)防火墙分区:(受保护程度)内网>DMZ(隔离区,内网与外网间的缓冲区)>外网
3)分类:包过滤型、应用代理网关、状态检测技术
5 加密与数字签名
1 信息安全的核心:密码技术;需要隐藏的信息称为明文,产生的结果称为密文
2 密码体制:
1)对称密钥密码体制:双方使用相同/对称的密钥进行加/解密运算,常见对称加密算法:DES、 IDEA、TDEA、AES、RC2、RC4、RC5
2)非对称密钥密码体制/公开密钥密码体制:每人一队密钥:公/私密钥,公钥(加密)公开,私 钥个人秘密保存(解密);常用加密算法:ECC、RSA、DSA
PGP:基于RSA的邮件加密软件
3 数字签名
1)概念:确认发送者身份和消息完整性的一个加密的消息摘要
利用报文摘要算法生成报文摘要的目的:保证数据完整性
2)实现:对称密钥体制、公钥密码体制、公正体制。最常用:公钥密码体制和散列函数算法的组合
1)数字证书:一个经由CA(证书认证中心)数字签名(CA私钥)的、包含公开密钥拥有者信息、公开密钥的文件
2)验证证书真伪:利用CA的公钥验证CA的数字签名
3)验证M的真实性:利用拥有者(发送者)的公钥验证
4)PKI保证证书不被篡改:采用CA的私钥对数字证书签名
4 身份验证安全:(安全级别高-低)集成Windows身份验证>摘要式身份验证>基本身份验证>匿名身份验证
5 漏洞扫描系统:用来自动检测远程或本地主机安全漏洞的程序
防火墙:软件和硬件设备组合而成,保护内部网免受侵入
入侵检测系统(IDS):对网络传输进行及时监视,及时报警/采取行动
病毒防御系统:计算机防止黑客、病毒、木马的防御系统
部分命令
1)ipconfig/renew:DHCP客户端手工向服务器刷新请求,重新租用IP地址
2)ipconfig/flushdns:刷新本地DNS缓存内容
3)netstat:监控TCP/IP、显示网络接口设备等的状态信息、检验本机各端口的网络连接情况,netstat -r 用于显示路由表
4)arp:查看和修改地址解析协议(ARP)缓存中的项目,arp -a命令用于显示所有接口的当前ARP缓存表
部份协议
1 VOIP协议:在IP网络上使用IP协议以数据包的方式传输语音,使用UDP协议
2 SSL(安全套接层)及其继任者TLS(安全传输层)是为网络通信提供安全及数据完整性的安全协议。
SSL协议分为:1)SSL记录协议(建立在TCP之上) 2)SSL握手协议(建立在SSL记录协议之上)
TLS协议分为:1)TLS记录协议(建立在TCP之上) 2)TLS握手协议
3 HTTPS是以安全为目标的HTTP通道,基础是SSL
4 IPSex(协议安全性):开放标准的框架结构,通过一系列举措在Internet协议网络上进行保密而安全的通信