第五章 网络基础知识
1、网络的拓朴结构
计算机网络拓朴主要是指通信子网的拓朴构型。网络拓朴影响着网络的性能,以及整个网络的设计、功能、可靠性和通信费用
总线结构:只有一条双向通路,便于采用广播式传送信息;总线拓朴结构属于分布式控制,无须中央处理器,结构简单;节点的增删和位置的变动容易,扩充性能好;节点的接口通常采用无源线路,可靠性高;设备少价格低,安装使用方便;但因为电气信号通路多,干扰较大,对信号的质量要求高。负载重时线路的利用率低。网上的信息延迟不确定,故障隔离和检测困难。
星状结构:维护容易,配置灵活;故障隔离和检测容易;网络延迟时间短节点与中央交换单元直接连通,各节点之间的通信必须经过中央单元转换;网络共享能力差;线路利用率低,中央单元负荷重。
环状结构:环形网中信息流动方向是固定的,两个节点间只有一条通路,路径控制简单;有旁路设备,节点一旦发生故障,系统自动旁路,可靠性高;信息要串行穿行多个节点,传输效率低,系统响应速度慢;环路封闭,扩充较难。
树状结构:是总线结构的扩充形式,主要用于多个网络组成的分组结构中。
分布式结构:无严格的布点规定,各节点之间有多条线路相连。有较高的可靠性,资源共享方便,网络响应时间短;因为节点与多个节点相连,故节点的路由选择和流量控制难度大,管理复杂;硬件成本高。
2、网络的协议和标准
一个网络协议主要包括3个要素:语法、语义和时序。协议是一组约定的规则,它有助于通信实体间的相互理解和正确通信。协议中有3个要素,其中语法定义数据的表示形式;语义则能使数据管理所需的信息得到正确理解;时序则规定了通信应答信号之间的间隔和先后关系。
在IEEE802局域网标准中只定义了物理层和数据链路层。其中又把数据链路层分为了逻辑链路控制LLC和介质访问控制MAC。
以太网IEEE802.3采用的是带冲突检测的载波监听多路访问协议技术CSMA/CD。802.3,802.3u,802.3z。
802.3u采用非屏蔽双绞线,并使用与802.3一样的介质访问控制(MAC)层;802.3z对MAC规范进行了重定义,并重定义了物理层标准。
令牌环网IEEE802.5,FDDI类似于令牌环网协议,但是采用双环技术。
PPP协议,具备用户验证能力,可以解决IP分配。PPP和其他协议共同派生出了PPPoE和PPPOA,主要用于ADSL。
ADSL,非对称用户数据线,速率上行1M下行8M,把线路按频段分成语音、上行和下行3个信道。
数字专线DDN,综合业务数字网ISDN
帧中继FR,双工并保持顺序不变。是一种基于可变帧长的数据传输网络。适用于带宽需求64K-2M,通信距离较长,数据有突发性时。
异步传输模式ATM,是一种面向分组的快速分组交换模式,使用异步时分复用技术,将信息流分割成定长的信息元。共有4层,用户层、ATM适配层、ATM层、物理层。有2种连接类型,永久虚电路和交换虚电路。
TCP/IP协议是internet协议的核心,分为5方面:逻辑编址、路由选择、域名解析、错误检测、流量控制及对应用程序的支持。
TCP/IP分层模型由4层组成,应用层(FTP,telnet,smtp,nfs,snmp)、传输层(TCP,UDP)、网际层(IP,icmp,arp,rarp)、网络接口层(802.3,802.5,FDDI,ppp)。
TCP/IP的传输层任务是提供应用程序之间的通信服务,这种通信又叫端到端的通信。网际层又叫IP层,它接收传输层的请求,传送某个具有目的地址信息的分组。网络接口层又称为数据链路层。
3、构建网络
网络互联的设备有:中继器(及集线器)、网桥(及交换机)、路由器、网关。
在构建一个网络的过程中,主要考虑服务器、客户机、网络设备、通信介质、、网络软件等,以及协议的选择和设备的连接方式。
4、关于IP地址
IP地址分为5类:A,B,C,D,E。
A类网络地址占有1个字节,定义最高位为0来标识此类地址。余下7位为真正的网络地址,支持1-126个网络。第一个字节的10进制表示为000-127。后面3个字节作为主机地址,提供2^24 - 2个端点的寻址。
B类网络地址占有2个字节,定义最高位为10来标识此地址。余下14位为真正的网络地址,第一个字节的10进制表示为128-191。
C类网络地址占有3个字节,定义最高位为110来标识此地址。余下21位为真正的网络地址,第一个字节的10进制表示为192-223。
D类网络地址用于组播,定义最高位为1110来标识此类地址。第一个字节的10进制表示为224-239。
E类网络地址为实验保留,定义最高位为1111来标识此类地址。第一个字节的10进制表示为240-255。
可变长子网掩码VLSM,就是在IP地址后面加上“/网络号及子网络号编址比特数”。如:193.168.125.0/27,就表示前27位为网络号。
5、网络的信息安全:主要就是信息的存储安全和传输安全。信息的存储安全包括信息的使用安全(用户的标识与验证、用户存取权限限制、安全问题跟踪),计算机病毒的防治,系统安全监控,数据的加密,防止非法攻击。
WindowsNT的网络结构中,包括的两个接口是NDIS和TDI。通过边界定义了各个层次间的统一接口,两个主要的边界层为NDIS和TDI。
NDIS,网络设备接口规范;
TDI,传输驱动程序接口。
防火墙技术经历了包过滤、应用代理网关和状态检测三个发展阶段。
包过滤路由器是最简单常用的防火墙。一般工作在网络层,对经过网络的信息进行分析并按策略进行限制,其核心是包过滤的算法设计。优点是速度快、实现方便;缺点是安全性差、兼容差,日志记录能力差。
双宿主主机防火墙,由具有两个以上网口的堡垒主机构成,通过代理服务器软件从一个子网访问另一个子网。优点是加强了日志功能;缺点是若堡垒主机被攻破意味着失去了网络的安全。
屏蔽主机网关防火墙,是由过滤路由器和应用网关组成。过滤路由器的作用是进行包过滤;应用网关的作用是代理服务。共建立了两道安全屏障。优点是安全性高;缺点是配置复杂。
被屏蔽子网防火墙,由两个包过滤路由器和一个应用网关(堡垒主机)组成。两个包过滤路由器中间形成一个DMZ区。
6、重发器也称为中继器或转发器,是一种在物理层上互联网段的设备。
网关也称为信关,工作在应用层,实现网络间协议转换的功能,也被称为协议转换器。
Kerberos是分布式环境下的身份认证系统。为了防止relay攻击,它使用了一次性的ticket和时间戳。常用的数字证书格式有PGP和X.509证书。
SSL是要建立一条安全的连接。是传输层安全协议。
HTTPS用于安全地传送单个报文,属于应用层协议。
SOCKS5是增加了认证功能的SOCKS协议。SOCKS用于代理基于TCP/IP的网络应用。SOCKS服务器端实现于应用层,SOCKS客户机实现于应用层和传输层之间。协议的作用是在两个没有直接IP联系的主机之间实现通信。
SNMP是一种广泛使用的网络管理协议,用来收集网络上设备信息。其对应的管理信息库为MIB-2。
7、OSI参考模型的三个主要概念是Service, Interface, Protocol。
OSI/RM中的1-3层负责通信功能,称为通信子网。5-7层属于资源子网的功能范围,称为资源子网层。传输层起着承接作用。
物理层,只是为它的上一层提供一个物理连接,在这一层数据还没有被组织;
数据链路层,负责两个相邻结点间的线路上无差错地传送以帧为单位的数据,并进行流量控制。数据链路层要负责建立、维持和释放数据链路的连接;
网络层,为传输层提供端到端的交换网络数据传送功能,屏蔽传输细节,为传输层建立、维持和拆除一条或多条通信路径。在这一层帧被组成数据包;
传输层,为会话层提供透明可靠的数据传输服务,保证端到端的数据完整性。选择网络层的最适宜服务,提供建立、维护、拆除传输链接的功能。在这一层传输的是报文;
会话层,为表示层实体提供建立、维护、结束会话连接的功能。完成通信进程的逻辑名字与物理名字间的对应,提供会话管理服务;
表示层,为应用层提供能解释所交换信息含义的一组服务,提供格式化的表示和转换数据服务,数据的压缩、解压、加密和解密工作也是由表示层完成;
应用层,提供OSI用户服务,提供网络与用户应用软件间的接口服务。
8、ISDN为了使通信网络内部的变化对终端用户是透明的、不可见的,它必须提供一个标准的用户接口。
宽带ISDN可以提供许多业务,其中会议电视属于会话型业务。窄带ISDN向用户提供基本速率144Kb/s的基本速率接口BRI,和速率2Mb/s的一次群速率接口PRI。
双绞线多用于10BASE-T和100BASE-T的以太网中,一段双绞线的最大长度为100m,只能连接一台计算机。双绞线的每端需要一个RJ45插头,各段双绞线通过集线器相连,利用双绞线最多可连接64个结点到中继器。
屏蔽双绞线STP,非屏蔽双绞线UTP。10BASE-T, 10BASE-F的最后一个字母是以线缆类型命名的,T表示双绞线,F表示光纤。
以太网遵循IEEE802.3标准。采用粗缆的标准称为10Base5,规定每段粗缆的长度不超过500米。采用细缆的标准称为10BASE2,工作距离为185米。否则要使用重发器(即中继器)相连。整个网的长度不能超过2500米。若超过该长度则要分成两个网,网间使用网桥相连。这是在数据链路层的连接。
千兆以太网支持3种传输介质。多模光纤工作距离为500米,单模光纤的工作距离为2000米;宽带同轴电缆的工作距离只有25米;5类UTP双绞线仍然是最大传输100米。
符合以太网标准的物理地址采用连续编码方法,它使用的地址长度是48bit。
域名解析的两种主要方式是反复解析和递归解析。
从网络高层协议角度看,网络攻击可以分为服务攻击与非服务攻击。
防火墙一般可提供4种服务,它们是服务控制、方向控制、行为控制和用户控制。
防火墙是一种被动的网络安全措施。