<h2>第一章：计算机基础知识</h2>
一、数据的表示：

原码：最高位为符号位，0表示正数，1表示负数。其中数值0有+0与-0之分。整数数值范围：-(2^n-1-1)～2^n-1-1。小数：-1＜X＜1。8位时范围-127～+127

反码：正数的反码与原码相同，负数符号位不变，其余位取反。数值0有两种表示方式。整数数值范围：-(2^n-1-1)～2^n-1-1。小数：-1＜X＜1。8位时范围-127～+127

补码：正数的补码与原码相同；负数的补码在反码基础上加1。数值0只有一种表示法。整数数值范围：-2^n-1～2^n-1-1。小数：-1≤X＜1。8位时范围-128～+127，适合数字加减运算。

移码：在补码基础上符号位取反，数值0只有一种表示法，即：1000 0000。适合浮点数阶码。

二、逻辑运算：

逻辑运算分为：与、或、非、异或运算

与运算（&）：参加运算的两个数据，按二进制位进行“与”运算。

运算规则：0&0=0; 0&1=0; 1&0=0; 1&1=1;

即：两位同时为“1”，结果才为“1”，否则为0

例如：3&5 即 0000 0011 & 0000 0101 = 0000 0001 因此，3&5的值得1。

或运算（|）：参加运算的两个对象，按二进制位进行“或”运算。

运算规则：0|0=0； 0|1=1； 1|0=1； 1|1=1；

即：参加运算的两个对象只要有一个为1，其值为1。

例如：3|5　即 0000 0011 | 0000 0101 = 0000 0111 因此，3|5的值得7。

非运算：（¬）：参加运算的两个对象，按二进制位进行“非”运算。

运算规则：0=1 “非”0等于1； 1=0 “非”1等于0

异或运算（^）：参加运算的两个数据，按二进制位进行“异或”运算。

运算规则：0^0=0； 0^1=1； 1^0=1； 1^1=0；

即：参加运算的两个对象，如果两个相应位为“异”（值不同），则该位结果为1，否则为0。

例如：9^5可写成算式如下： 00001001^00000101=00001100 (十进制为12)可见9^5=12

三、计算机系统的组成与体系：

运算器：完成算术运算、逻辑运算和移位操作。主要部件：算术逻辑单元(ALU)、累加寄存器(AC)、S数据缓冲寄存器（DR）和状态条件寄存器（PSW）。

控制器：实现指令读入、寄存、译码和执行过程有序的发出控制信号。主要部件：程序计数器PC、指令寄存器IR、地址寄存器AR、指令译码器ID、时序产生器和信号发生器组成。

寄存器：是中央处理器内的组成部分，是有限存贮容量的高速存贮部件，可用来暂存指令、数据和地址。分为通用寄存器、专用寄存器和控制寄存器。在中央处理器的控制部件中，包含的寄存器有指令寄存器(IR)和程序计数器(PC)。在中央处理器的算术及逻辑部件中，寄存器有累加器(ACC)。

其他设备：输入设备、输出设备。

相关术语：

指令周期：取出并执行一条指令所需时间。

总线周期：CPU从存储器或者I/O接口存取一个字节所需时间。

时钟周期：CPU处理动作的最小单位。

相互关系：一个指令周期可以划分成一个或多个总线周期；一个总线周期可以分为几个时钟周期。

四、总线系统：

总线系统一般可分为：数据总线DB、地址总线AB、控制总线CB。

数据总线：用于传送数据信息，它既可以把CPU的数据传送到存储器或I/O接口等其它部件，也可以将其它部件的数据传送到CPU。常见的有：

ISA总线：数据线16位，地址线24位，频率为8Mhz。

EISA总线：是ISA总线扩展，数据线32位，频率为8Mhz。

VESA总线：数据线32位，且可通过扩展槽扩展到64 位，频率为33MHz。

PCI总线：目前微型机所采用的总线标准，总线的工作与处理机的工作是并行的，总线上的设备是即插即用的。该总线频率为33.3Mhz。PCI-2带宽为64位，频率为66.6Mhz。

地址总线AB： 专门用来传送地址，由于地址只能从CPU传向外部存储器或I/O端口，所以地址总线总是单向三态的，这与数据总线不同。

地址总线的位数决定了CPU可直接寻址的内存空间大小，如8位微机的地址总线为16位，则其最大可寻址空间为2^16=64KB，16位微型机的地址总线为20位，其可寻址空间为2^20=1MB。一般来说，若地址总线为n位，则可寻址空间为2^n字节。

控制总线CB：用来传送控制信号和时序信号。控制总线的传送方向由具体控制信号而定，(信息)一般是双向的，控制总线的位数要根据系统的实际控制需要而定。实际上控制总线的具体情况主要取决于CPU。

五、指令系统：

指令由操作码和地址码组成。指令长度分为固定长度和可变长度两种。

立即寻址：指令的地址码字段给出的不是操作数的地址而是操作数本身。其特点是访问一次存储器就可同时取出指令和操作数。

变址寻址：操作数的地址由某个变址寄存器的内容和位移量相加。

直接寻址（寄存器寻址）：指令的地址码字段给出操作数所在存储单元地址（寄存器号）。

间接寻址(寄存器间接寻址)：操作数的地址是主存(寄存器)中的存储单元的内容。

六、CISC与RISC指令集：

复杂指令CISC特点：

（1）指令采用可变长指令格式，指令系统丰富，使用频率差别大，处理特殊任务效率高。

（2）支持更多的数据类型和寻址方式。

（3）指令系统对应的控制信号复杂，大多采用微程序控制方式。

（4）高级语言实现简单，效率高。

简单指令RISC特点：

（1）采取定长指令格式，精简指令数量，使用频率接近。

（2）采用寄存器操作，寻址方式少。

（3）大部分指令都采用硬联控制实现。

（4）优化编译程序来支持高级程序语言，需要较大的存储空间。

七、计算机分类（Flynn）：

SISD：单指令单数据流，一个控制部分，一个处理器，一个主存模块。代表为单处理器系统。

SIMD：单指令多数据流，一个控制部分，多个处理器，多个主存模块。特性：各处理器以异步的形式执行同一条指令。代表为并行处理机系统、阵列处理机、超级向量处理机。

MISD：多指令单数据流，多个控制部分，一个处理器，多个主存模块。目前没有代表，文献称流水线计算机属于此类。

MIMD：多指令多数据流，多个控制部分，多个处理器，多个主存模块。特性：能实现作业、任务、指令等各级全面并行。代表为多处理机系统、多计算机。

八、流水线：

执行指令三个阶段：取指---＞分析---＞执行

流水线周期等于执行时间最长的那个指令周期（最大值）★

流水线执行时间=（t取指 + t分析 + t执行）+(总指令数－1)* 流水线周期★

未采用流水线执行时间=（t取指 + t分析 + t执行）*总指令数

流水线建立之后，接下来每一个流水线周期后都会完成一条指令★

例：一条指令为取指、分析和执行,取值时间为t，分析时间为2t，执行时间为t为例，那么流水线周期为？执行3条指令的全部时间为：

流水线技术指标：流水线周期为2t，流水线执行时间=(1t+2t+1t)+(3-1)2=8t

流水线吞吐率=Tp=n/Tk(总指令数/流水线执行时间)

流水线加速比=S=Ts/Tk(不采用流水线的执行时间/采用流水线的执行时间)

九、存储系统：

根据存储器在计算机系统中所起的作用，可分为主存储器（内存）、辅助存储器（外村）、高速缓冲存储器（Cache）、控制存储器等。为了解决对存储器要求容量大，速度快，成本低三者之间的矛盾，目前通常采用多级存储结构，即使用高速缓冲存储器、主存储器和外存储器。

存储器的储存方式：

顺序存取（磁带）、直接存取（硬盘）、随机存取（内存）、相关存取（Cache）

相关术语：

位：bit。一个二进制表示1个bit

字节：B，Byte。1B=8bit

字：表示CPU一次处理的二进制位数，通常为字节的整数倍。对应的字节长有：8/16/32/64bit。

存储容量：存储器可容纳的二进制信息的大小。

1B(Byte、字节)=8bit(位) 1KB=1024B 1MB=1024KB 1GB=1024MB 1TB=1024GB

PB EB ZB YB NB DB是后面的单位，知道就行。

主存储器：

主存储器又称内存或主存，用来存放正在使用或者随时使用的数据和程序，存取速度较快，存储容量不大，CPU可以直接访问。按照存取方式分类，可分为随机存储器RAM（断电数据丢失，如内存）、只读存储器ROM（断电数据不丢失，有一特例xPROM是可擦写只读）。

主存储器（内存）采用随机存取方式，需要对每个存储单元进行编址。通常以word为单位进行标识，即每一个字一个地址，通常采用十六进制表示。

相关计算：

存储器带宽=1秒/存储器周期(ns)*每周期可访问的字节数

(随机存取)传输率=1/存储器周期

(非随机存取)读写N位所需的平均时间=平均存取时间+N位/数据传输率

存储器总容量：W(储存单元(word)的数量)*B(每个word由多少位bit组成)

内存片数：（W/w）*（B/b）W、B表示要组成的存储器的字数和位数，w、b表示内存芯片的字数和位数★

存储器地址编码=(最大地址-最小地址)+1；例： [(CFFFFH-90000H)+1] / [(16K1024)8bit]

内存位数：log2（要编址的字或字节数）

高速缓冲存储器(Cache)：

高速存取指令和数据，存取速度快，但存储容量小。高速缓存是为了解决CPU和主存速率不匹配，提高CPU工作效率。

平均存取时间：如果Cache命中率为H，Cache的访问周期时间为T1，主存的访问周期时间为T2,即：T＝H*T1+（1－H）T2

命中率：访问信息的概率，假如执行过程中对Cache的访问次数为N1和对主存访问为N2，则Cache命中率为H＝N1/（N1+N2）

平均访存时间：Cache命中率 Cache访问周期时间 + Cache失效率（1-命中率） 主存访问周期时间

Cache映射机制：直接映射、全相联映射、组相联映射

Cache淘汰算法：先进先出算法（FIFO）、最近最少使用算法、随机算法

外存储器：

外存/辅存，存放系统程序和大型数据文件及数据库，存储容量大，存取速度慢，单位成本低。

十、磁盘阵列RAID：

RAID0：需要两块以上磁盘，每个磁盘划分不同的区块，数据采用交叉存取和并行传输。这种磁盘利用率高（100%），读写速度最快，但由于没有数据差错控制，因此很容易发生数据错误。

RAID1：磁盘成对组成，每个工作磁盘均有对应的映射，上面保存着与工作盘完全相同的数据，具有最高的安全性，但磁盘利用率为50%。

RAID3：把奇偶校验码（只能查错不能纠错）存在一个独立的磁盘，如果一个磁盘失效，其上的数据可以通过其他盘上数据进行异或运算得到，读盘速度快，但写入速度慢。适用于图像处理等要求高吞吐率的场合，磁盘利用率：n-1/n。

RAID5：各块磁盘进行条带化分割，相同的条带进行分布式奇偶校验，检验数据平均分配在每一块硬盘上。磁盘利用率：n-1/n。

组合RAID技术：RAID1+0以及RAID0+1，是RAID0与RAID1组合形式，它提供RAID1的安全保障同时提供RAID0近似的访问速度。RAID1+0拥有更高的数据安全性在企业中更常使用。

十一、系统可靠性：

失效率：产生故障的概率。

平均无故障时间MTBF：相邻两个故障间隔时间的平均值，越大越好。

平均故障修复时间MTTR：修复一次故障所时间的平均值，越小越好。

可用性：系统的可靠性。

相关计算：

串联系统的可靠性：R=R1×R2×……×Rn

并联系统的可靠性：R=1-(1-R1)×(1-R2)×……×(1-Rn)

串联系统的失效率：λ=λ1+λ2+……+λn

可靠度与失效率之间关系： $R=e^{-\lambda t}$（t为时间）
<h2>第二章：计算机网络概论</h2>
一、计算机网络的概念：

定义：以能够相互共享资源的方式连接起来的独立的计算机系统的集合，其组成可分为软件、硬件及协议。

主要表现：

目的是实现计算机资源的共享。
分布在不同地理位置的多台独立的“自治计算机”。
通信必须遵循共同的网络协议。

相关概念：

网络协议：

定义：为网络数据交换而制定的规则、约定与标准称之为网络协议。计算机网络各节点之间必须遵守事先预定好的规则交换数据和控制信息，这些规则精确定义了所交换数据的格式和时序。

三要素：语法、语义、时序

语法规定了数据包的格式，语义定义数据如何处理。时序定义数据处理的顺序。

注：通信双方对等层次上所对应的网络协议必须一致。

服务访问点：

服务访问点：简称SAP，实际就是逻辑接口，是一个层次系统的上下层之间进行通信的接口，N层的SAP就是N+1层可以访问N层服务的地方。例：数据链路层的SAP为LLC地址，网络层的SAP为IP地址，传输层的SAP为端口号。

二、计算机网络的分类：

计算机网络组成元素可分为两大类：

网络节点：

分为端节点及转发节点。端节点如用户主机及用户终端；转发节点指通信过程中控制及转发信息的节点，如交换机、路由器、集线器…等。

通信链路：

指信息传输的信道、可以是电话线、同轴电缆、无线电线路、卫星线路、微波中继、光纤缆线。

计算机网络分类：

按互联网规模分类：

局域网（LAN）、城域网（MAN）、广域网（WAN）

其他分类：

校园网与企业网；公用网与专用网；通信网ISP与信息网ICP；骨干网与接入网；有线网与无线网等。

网络的拓扑结构：

总线型拓扑：耗材少，成本小，冲突多。

星型拓扑：耗材多，过于依赖中间节点，便于管理。

环型拓扑：单点坏网络瘫痪。

树型拓扑：星型拓扑的扩展，层次化便于管理。

网型拓扑：可靠性高、实现均衡负载、选路成本高。

三、计算机网络体系结构：

开放互联参考模型：

国际标准化组织ISO颁布开放互联参考模型（OSI/RM），对应我国国标9387（GB9387）共分7层，从下向上依次是：

物理层：为数据通信提供物理通路、透明的二进制数据流（比特流）传输、定义机械、电气特性和接口。单位：bit

数据链路层：数据链路的链接及释放，流量控制、构成链路数据单元，差错检测与恢复。点对点传送以数据帧为单位的信息。单位：帧

网络层：实现路由路径选择和网络连接的激活及终止，网络连接的多路复用，检错、排序、流量控制、服务选择。单位：包

传输层：提供端与端之间可靠透明的数据传输，传输连接的建立及释放，多路复用与分割，差错控制及恢复，分段、重组、排序，流量控制。

会话层：会话链接到传输链接的映射、会话链接的恢复与释放，对会话参数进行协商、服务选择、活动管理、令牌管理。

表示层：通信系统之间数据的表示方式，如ASCII码。数据语法转换、数据加密与压缩、连接管理。

应用层：提供用户应用程序所需的应用接口和需要的协议及功能。

注：目前，OSI结构模型只作为理论进行研究，实际使用的位TCP/IP结构模型。

OSI简化五层模型：

将七层模型中的应用层、表示层、会话层统称为应用层，其他层次不变。

TCP/IP参考模型：

应用层：对应OSI的应用层，表示层，会话层

传输层：对应OSI的传输层

网网络层：对应OSI的网络层

网络接口层：对应OSI的物理层和数据链路层

OSI和TCP/IP的比较：TCP/IP现有协议后有模型，OSI具有通用性。

TCP/IP模型中各层次包含的常见协议：

应用层	HTTP、FTP、Telnet、SMTP	SNMP、DNS、DHCP
	POP3、DNS	TFTP
传输层	TCP	UDP
网络层	IP、ICMP、IGMP 、ARP、RARP
接口层	电话网PSTN、局域网LAN、无线网WLAN、ATM、帧中继

<h2>第三章：数据通信基础</h2>
一、数字通信系统的模型：

数字通信系统三要素：

源系统（数据发送方）、传输系统、目的系统（数据接收方）。

其他需要了解的概念：

数字信号、模拟信号；模拟通信、数字通信（信道中传送）。

数字通信系统模型：

<span style="font-size: inherit;">
以OSI简化的五层协议为例，数据从A主机到B主机的流程为：</span> 二、数据封装及解封装：

主机A从应用层到数据链路层每一层都会对需要传送的数据加上一个对应层次的首部（数据链路层还有一个尾部），之后交给物理层将数据转化位二进制比特流进行传输，到达主机B之后，再从低层到高层逐层解封之后得到真正要传输的数据。

三、信道特性：

模拟信道带宽计算：

其中：f2为高频；f1为低频

码元速率：

（传输速率单位换算：进率1000，110^3Mb/s =110^6Kb/s=1*10^9b/s）

单位时间内通过信道传送的码元(一个数字脉冲)个数，若信号码元宽度T秒，则

码元速率：

奈奎斯特定理（无噪声）数据速率：

若信道带宽为W（HZ）,则最大码元速率（波特率）（Baud），一个码元携带的信息量n与码元种类(不同离散值的个数)N关系为：

则由奈奎斯特定理可得极限数据速率R为：（单位：（b/s））

香农定理（有噪声）数据速率：

带宽为W（HZ），信噪比为S/N的有噪声极限数据速率（单位：(b/s)）

其中：C为数据速率，W为信道带宽，S为信号的平均功率，N为噪声平均功率，S/N为信噪比(一般用分贝dB来表示)。

分贝与信噪比的关系为：

传输速率单位换算：（进率1000）110^3Mb/s =110^6Kb/s=1*10^9b/s

计算汇总：

模拟带宽、数字带宽（1、无噪声：奈奎斯特定理，2、有噪声：香农定理）

利用率：信道利用率、网络利用率。

常用考试数据：

总延迟T=发送延迟T1 + 传输延迟T2

电信号在电缆上传播的速度为光速的2/3，即：2*10⁸m/s=200,000km/s=200m/μs

卫星传送信号的延迟恒定为270ms与地面距离无关。

计算机网络的性能：

速率(单位：b/s)：单位时间内发送二进制数据（bit）流的多少。

带宽(单位：b/s)：表示信道能够承受最大的数据传输速率。

模拟信道单位HZ，代表模拟信道能够发送数据的频率范围。

吞吐率(单位：b/s)：综合数据传输能力。常作为考核网络性能的指标。

时延：又称延时，有如下种类：发送时延、传播时延、处理时延、排队时延等…

发送时延=数据帧长度/信道带宽

传播时延=信道长度(距离)/电磁波在新到场的传播速率

往返时间()：数据往返于两道终端的时间。等于两倍的传输时延。

四、网络传输介质：

主要使用双绞线、同轴电缆激光光纤。

双绞线：

分为非屏蔽双绞线 UTP、屏蔽双绞线 STP。

三类线（CAT3）：

最高传输速率为10Mb/s（10Mbit/s），最大网段长度为100m。

五类线（CAT5）：

最高传输率为100Mb/s，最大网段长为100m。

超五类线（CAT5e）：

超5类具有衰减小，串扰少，并且具有更高的衰减与串扰的比值（ACR）和信噪比（SNR）、更小的时延误差，性能得到很大提高。超5类线主要用于千兆位以太网（1000Mb/s）。

绞线接法：

T568A：用于同种设备之间互连（PC-PC，交换机-交换机）

线序：白橙—橙—白绿—蓝—白蓝—绿—白棕—棕

T568B：用于不同设备之间互连（交换机-PC）

线序：白橙—橙—白绿—蓝—白蓝—绿—白棕—棕

目前网络设备均能自动适应这两种标准，并能自动转换成合适的线序，所以一般只采用T568B的接线方式。

同轴电缆：

同轴电缆由里到外分为四层：中心铜线（单股的实心线或多股绞合线）、塑料绝缘体、网状导电层和电线外皮。中心铜线和网状导电层形成电流回路。因为中心铜线和网状导电层为同轴关系而得名。

常用于电视信号传输、监视系统、音响设备等。

优点为传送距离长、信号稳定。

同轴电缆可分为：RG-58（基带）、RG-59（宽带）

光纤：

分为以下两种：

多模光纤（MMF，波长：1310nm、1550nm）；

单模光纤（SMF，波长：850nm、1300nm）；

其差别为：

项目	距离	速度	直径	端接	造价	光源
单模光纤	长	快	小（细）	较难	高	激光
多模光纤	短	慢	大	较易	低	发光二极管

无线传输：

无线传输有以下介质：

无线电波	长波		红外光波	近红外线
	中博
	短波			中红外线
	超短波
	微波	地面微波		远红外线
		卫星微波

五、数据调制与编码：

在数字系统中，将数字信号转换成模拟信号成为调制；将模拟信号转换为数字信号成为解调。调制方式分为：

ASK：幅移键控、FSK：频移键控、PSK：相移键控、2DPSK：两相相移键控

4DPSK：四差分相移键控、QPSK：正交相移键控、QAM：正交幅度调制

ASK、FSK、PSK、2DPSK码元种类为2，比特位为1。DPSK和QPSK码元种类为4，比特位为2。QAM码元种类为16。

PCM（脉冲编码调制技术）：★★★

脉冲编码调制技术主要经过3个过程：采样、量化、编码。

尼奎斯特采样定理：采样速率大于等于模拟信号最高频率的2倍。

f为采样频率，T为采样周期，为信号的最高频率。

数字编码与编码效率：

二进制数字信息在传输中采用不同的代码称为编码方式：

单极性码：只有一个极性，正电平为0，零电平为1；

极性码：两个极性，正电平为0，负电平为1；

双极性码：零电平为0，正负电平交替翻转表示1，这种编码不能定时，需要引入时钟。

归零码：码元中间信号回归到零电平，正电平到零电平转换边为0，负电平到零电平的转换边为1。这种码元自定时。

不归零码：码元中间信号不归零，1表示电平翻转，0不翻转。

双相码：低到高表示0，高到底表示1。这种编码抗干扰性好，实现自同步。

曼彻斯特码：低到高表示0，高到底表示1。相反亦可。码元中间电平转换既表示数据，又做定时信号。用于以太网编码，编码效率为50%。

差分曼彻斯特码：每一位（bit）开始处是否有电平翻转，有电平翻转表示0，无电平翻转表示1。中间的电平转换作为定时信号。用于令牌环网，编码效率为50%。

4B/5B：每次对4位数据进行编码，将其转换为5位符号，1.25波特/位，编码效率为80%。用于100Base-FX、100Base-TX、FDDI。

8B/10B：每次对8位数据进行编码，将其转换为10位符号，1.25波特/位，编码效率为80%。用于千兆太网。

8B/6T：8bit映射为6个三进制位。1.25波特/位，编码效率为80%。用于100Base-T4。

六、数字通信方式与交换方式：

数据通信方式：

按通信方向分：

单工：

信息只在一个方向上传递，放松放不能接收，接收方不能发送，信道的全部贷款全部用于由发送方到接收方的数据传输。典型应用：无线电广播、电视广播。

半双工：

通信双方可以交替发送以及接收数据，但不能同时发送和接收。再一定时间内信道的带宽全部用于摸一个方向的数据传输。要求设备均有发送及接收数据的能力。典型应用：无线电台及无线对讲机。

全双工：

一种可以同时进行双向信息交换的通信方式，要求设备同时具有发送和接收能力，且要求信道能提供双倍带宽。典型应用：现代电话通信。

按传输方式分类：

串行传输：

串行传输是数据在传输中只有1个数据位在设备之间进行的传输，对任何一个由若干位二进制表示的字符，串行传输都是用一个传输信道，按位有序的对字符进行传输。串行传输的速度比并行传输的速度要慢得多，但费用低。并行传输适用距离短，而串行传输适用远距离传输。

并行传输：

并行传输是在传输中有多个数据位同时在设备之间进行的传输。所有数据位能同时沿着各自的信道并排的传输.并行传输时，一次可以传一个字符，收发双方不存在同步的问题。而且速度快、控制方式简单。但是并行传输需要多个物理通道。所以并行传输只适合于短距离、要求传输速度快的场合使用。

按同步方式分类：

同步传输（Synchronous Transmission）：

简单来说，同步传输方式的原理就是发送方发出数据后，等接收方发回响应以后才发下一个数据包的通讯方式。

异步传输（Asynchronous Transmission）：

而异步传输则是发送方发出数据后，不等接收方发回响应，接着发送下个数据包的通讯方式。

更加形象一点的解释：

同步传输：比如我叫你去上课，如果你没有听到，我就在这一只叫你，知道你听到为止。

异步传输：我叫你去上课，然后我就直接去上课了，你或者没听到或者过一会再去上课或者立刻去上课。

数据交换方式：

电路交换：

在两通信端之间建立一条专用的(dedicated)。实际路径。此路径由发送端开始，一站一站往目的端串联起来，一旦建立两端之间的连线后,它一直维持专用状态。(即他人无法使用)。直到通信结束之后，这条专用路径才停止使用，并让出供他人继续使用。目前的电话与电报交换系统就是使用这种技术。

优点：通信时延小、有序传输、没有冲突、实时性强。

缺点：建立连接时间长、线路独占，使用效率低、灵活性差、无差错控制能力。

报文交换：

报文交换，又称存储转发交换，主要特点是存储接受到的报文，判断其目标地址以选择路由，最后，在下一跳路由空闲时，将数据转发给下一跳路由。

优点：无需建立连接、存储转发，动态分配线路、线路可靠性较高、多路利用率较高、多目标服务。

缺点：有存储转发时延、报文大小补丁，需要网络节点有较大的缓存空间。

分组交换：

分组交换也称为包交换，它将用户通信的数据划分成多个更小的等长数据段，在每个数据段的前面加上必要的控制信息作为数据段的首部，每个带有首部的数据段就构成了一个分组。首部指明了该分组发送的地址，当交换机收到分组之后，将根据首部中的地址信息将分组转发到目的地。

优点：无需建立连接、存储转发，动态分配线路、线路可靠性较高、线路利用率较高、相对于报文交换，存储管理更容易。

缺点：有存储转发时延、需要传输额外的信息量、乱序到目的主机时，要对分组排序重组。

分组交换三种方式：

数据报（Datagram）：无连接，无序的、单向传输，类似报文交换。

虚电路（Virtual Circuit）：交互式、逻辑连接，可靠性高，类似电路交换。

信元交换：升级版虚电路，固定分组长度。

七、多路复用技术：

多路复用技术是把多个低速信道组合成一个高速信道的技术，它可以有效的提高数据链路的利用率，从而使得一条高速的主干链路同时为多条低速的接入链路提供服务，也就是使得网络干线可以同时运载大量的语音和数据传输。多路复用技术的实质是，将一个区域的多个用户数据通过发送多路复用器进行汇集，然后将汇集后的数据通过一个物理线路进行传送，接收多路复用器再对数据进行分离，分发到多个用户。多路复用通常分为频分多路复用、时分多路复用、波分多路复用、码分多址和空分多址。

频分多路复用（FDM，Frequency-division multiplexing）：

在同一物理连接上使用多个不同频率的模拟载波信号进行多露传输。每个载波形成一个子信道，自信到指尖留有一定宽度的间隔频带。

时分多路复用（TDM，Time Division Multiplexing,TDM）：

在同一物理连接的不同时段来传输不同的信号，达到多路传输的目的。时分多路复用以时间作为信号分割的参量，故必须使各路信号在时间轴上互不重叠。时分复用分为同步时分及统计时分。

波分多路复用（WDM，Wavelength Division Multiplexing）：

在同一根光纤中同时传输两个或众多不同波长光信号的技术。将两种或多种不同波长的光载波信号（携带各种信息）在发送端经复用器(亦称合波器，Multiplexer)汇合在一起，并耦合到光线路的同一根光纤中进行传输的技术，在接收端，经解复用器（亦称分波器或称去复用器，Demultiplexer）将各种波长的光载波分离，然后由光接收机作进一步处理以恢复原信号。

码分多路复用（CDM，Code Division Multiplexing)）：

依靠不同的编码来区分各路原始信号的一种复用方式，主要和各种多址技术结合产生了各种接入技术，包括无线和有线接入。

数字传输系统：

同步时分复用（T1与E1）：

每个子通道按照时间片轮流占用带宽，但每个传输时间划分固定大小的周期，即使子通道不使用也不能够给其他子通道使用。

T1载波（T1 Carrier ）：美国和日本

Bell系统的T1载波利用脉码调制PCM和时分TDM技术，使24路采样声音信号复用一个通道。

帧结构：24路采样信号，每路采样用7位编码，再加上1位控制信号（即每路占用8位），24路后再增加1位帧同步位；因此每一个帧包含193位（193bit），且每一帧用125us（8000次/S）传送。

（1）T1载波的数据传输速率为：193bit/125us=[24(7+1)+1]8000=1.544Mb/s；

（2）每个信道的数据速率为56Kb/s，传输速度为64Kb/s：每路的8位中，只有7位是用于用户数据，所以数据速率=7/8*64=56Kb/s

（3）T1载波开销所占比例为13%：因为193bit中，168bit（24×7）用于用户数据，25bit（193-168）用于开销。所以开销所占比例=25bit/193bit≈13%

T1、T2、T3、T4速率关系：

T4=6T3 T3=7T2 T2=4*T1

E1载波（E1 Carrier）：欧洲和中国

E1载波是一种2.048Mb/s速率的PCM载波。采用同步时分复用技术将30个数据信道（64K）和2个控制信道（16K）复合在一条2.048Mb/s的高速信道上。

帧结构：每一帧开始处有8bit作同步用（CH0），中间有8bit用作信令（CH16），在组织30路8bit数据，全帧包含256bit，且每一帧用125us（8000次/S）传送。（通常我们把E1载波的一个帧分为32个子信道，一个子信道为8个bit；其中CH0和CH16是传输控制用，所以一条E1可以传30路数据。）

（1）E1载波的数据传输速率为：256bit/125us=[32(7+1)]8000=2.048Mb/s

（2）每个通道的传输速度（或数据速率）为64Kb/s：每个信道在E1帧中占8bit，8*8k=64k，即一条E1中含有32个64K，则2.048Mb/s/32=64Kb/s

（3）T1载波开销所占比例为6.25%：因为32个子信道中，30个用于用户数据，2个用于开销。所以开销所占比例=2/32=6.25%。

T1、T2、T3、T4速率关系：

E4=4E3 E3=4E2 E2=4*E1

同步数字系列：

SONET（同步光纤网）和SDH（同步数字体系）：

SONET的STS标准和OC标准的速率相同，其STS-3、9、12、48、…及OC-3、9、12、48…标准的速率是以STS-1的速率与STS及OC标准后的数字相乘。

SDH标准中STM-1速率与STS-1相同，STM其他标准以STM的倍数递增。

注：牢记STM-1、OC-3、STS-3的速率为155.520Mb/s，其他速率以倍数相乘即可。

电信号	光信号	SDH	线路速率Mb/s	有效载荷Mb/s
STS-1	OC-1		51.840	50.112
STS-3	OC-3	STM-1	155.520	150.336
STS-9	OC-9	STM-3	466.560	451.008
STS-12	OC-12	STM-4	622.080	601.344
STS-48	OC-48	STM-16	2488.320	2405.376
STS-192	OC-192	STM-64	9953.280	9621.504
STS-768	OC-768	STM-256	39813.120	38486.016

八、差错控制：

码距：

若干位代码组成的一个字称为码字，而两个码字具有不同代码的位数为这两个码字的距离，而码制里各种码字间最小的距离称为码距。用“d”表示。

两个码字之间不同的最小位数（比特数）。码距与检错、纠错的关系为：

一个码组内为了检测e个误码，则最小码距

一个码组内为了能够纠正t个误码，则最小码距

奇偶校验码：

七位代码后添加1位校验码，使码字中1的个数成奇数（奇校验），或偶数（偶校验）。如果传输过程中其中1位出错，接收端按照相同的规则就能发现错误。

奇偶校验码的码距为2，算法为模2加。

冗余循环校验码（CRC）：

循环冗余校验码（Cyclical Redundancy Check）简称CRC码，是目前使用非常广泛的数据校验方式。它不仅能校验传递过来的数据正确性，还能筛查出哪一位出现了错误。广泛用于局域网，只能检错不能纠错。

冗余码计算：

根据多项式写除数，被除数（即信息码）根据多项式最高次方数补零，多少次方即补多少个0。例：多项式为G（X）=X^5+X^4+X+1，除数为：110011，即先补全多项式，X^5+X^4+X^3+X^2+X(X^1)+1(X^0)对比题目中多项式，对应位上相同写1，不同则写0。再写被除数，多项次最高次方数为5，则信息码后需要补5个0。

简单来说，计算过程为：

1、写除数 2、写被除数 3、模2运算

注：模2运算不考虑加法进位和减法借位，上商的原则是当部分余数首位是1时商取1，反之商取0。然后按模2相减原则求得最高位后面几位的余数。这样当被除数逐步除完时，最后的余数位数比除数少一位。这样得到的余数就是校验位。

海明校验码：

利用奇偶性来检错和校验的方法。不但能检错还能纠错。假设有m位信息码，加入k位校验码，组成信息m+k，则满足m+k+1≤2k，监督位为2ⁿ。

海明码计算步骤如下：计算校验码位数→确定校验码位置→确定校验码

计算校验码位数：

通过题目给出的信息码位数，根据公式公式m+k+1≤2k，可以计算得出需要K位的校验码。具体如下表：

信息码位数	1	2~4	5~11	12~26	27~57	58~120	120~247
校验码位数	2	3	4	5	6	7	8

确定校验码位置：

海明码的校验码的位置必须是在2n次方位置（n从0 开始，分别代表从左边数起分别是第1、2、4、8、16……），信息码也就是在非2n次方位置。

确定校验码：

校验位置选择原则：第i位校验码从当前校验码位开始，每次连续校验i位后再跳过i位，然后再连续校验i位，再跳过i位，以此类推。确定每个校验码所校验的比特位。

P1校验码位校验的码字位为：第1位（也就是P1本身）、第3位、第5位、第7位、第9位、第11位、第13位、第15位，……。

P2校验码位校验的码字位为：第2位（也就是P2本身）、第3位，第6位、第7位，第10位、第11位，第14位、第15位，……。

P3校验码位校验的码字位为：第4位（也就是P4本身）、第5位、第6位、第7位，第12位、第13位、第14位、第15位，第20位、第21位、第22位、第23位，……。

注：还可以理解为：将信息码排序并编写序号1-n，并将序号写成2ⁿ形式。例：现有6位信息码，我们将其排序以后可以写成1、2、3、4、5、6，写成2ⁿ则是1=2⁰；2=2¹；3=2¹+2⁰…，以此类推。同样，校验码也可以写作2ⁿ，例：第1位=2⁰；第2位=2¹；第3位=2¹+2⁰ ……，它可以校验所有所在信息码序号中包含有2ⁿ的信息码。例如：第一位校验码可以写作2⁰，所以它可以校验所有信息码序号中带有2⁰信息码；同样，第二位校验码可以校验所有信息码序号中包含2¹的信息码；第三位校验码可以校验所有信息码序号中包含2⁰以及2¹的信息码。以此类推。

最后每组通过异或逻辑运算（与偶校验原理一样），使每组的运算结果为0或1（根据题目所给），即可得出每一位校验码的值。
<h2>第四章：广域网通信</h2>
一、广域网基本概念：

广域网（WAN）：是一种把分布于更广区域的局域网络（譬如一个城市、一个国家、甚至全世界）和计算机设备联接起来的网络。通常是邮电事业部门经营和管理、超越部门和局域的向公众提供使用的远程公用信息通信网，有时也称为远程网。

广域网可分为传统广域网（公共电话交换系统：PSTN、公共数据网X.25、帧中继网FR、综合业务数据网ISDN、异步传输网络ATM、以及虚拟专用网VPN）以及现在广域网（数字数据网DDN、同步数字传输网SDH、多业务传送平台MSTP、光纤接入网FTTx无源光网络PON（EPON、GPON）以及无线网WIMAX、4G等…）。

广域网在OSI模型中对应的层次：物理层、数据链路层、网络层。

常用到的设备：

调制解调器Modem：将传输介质中的数字信号与模拟信号相互转换，常见的有：电话猫、电视猫、光纤猫等…。

数据终端设备DTE：常见的终端设备有PC、电话等…，

数据电路设备DCE：如调制解调器。DTE和DCE两端要同步。

二、公共交换电话网（PSTN）：

公共交换电话网PSTN（Public Switch Telephone Network）：利用电话线上网，早期是电话+“猫”拨号上网。

PSTN特性：

电路交换（PCM编码、时分多路复用）

有拨号连接过程，连接后独占信道

既可传输模拟信号，也可传输数字信息

用户环路为模拟传输

数据通信时需要使用MODEM

收发双方传输速率必须相同，最高为56kbps

无差错控制能力

三、公共数据网X.25：

X.25采用的是面向连接的虚电路服务，X.25由于复杂的差错校验机制，导致传输效率受到限制，同时传输速率不快，一般为64kb/s，但主要优点有：

可以在一条物理链路上开放多条虚电路供多个用户使用；
具有动态路由功能和复杂完备的误码纠错功能；
可以满足不同速率和不同型号的终端与计算机间、计算机与计算机间以及局域网和局域网间的数据通信。

X.25在数据传输过程中进行流量控制和差错控制。

X.25 协议分为三个协议层，分别对应于ISO/OSI模型的低三层。

物理层：采用X.21协议，规定了用户终端与网络之间的物理接口。

链路层：链路层提供可靠的数据传输服务，使用LAP-B协议，这个协议是HDLC协议的子集。

分组层（网络层）：采用X.25 PLP协议，提供分组虚电路服务，这一层协议是x.25的核心所在。

四、流量控制和差错控制：

流量控制：

停等协议：发送站发送一帧，然后等待应答信号后再发送下一帧；接收站每收到一帧都回一个应答信号ACK，表示愿意接受下一帧，如果接受站不送信号则发送站必须等待。

线路利用率：

其中

a越大，线路的利用率越低；

传播时延：信号在线路上传播的时间；

传输时延：数据帧加载到线路上所需时间；

d为线缆长度v为信号传播速率；L为帧长R为数据速率

滑动窗口协议：

如果接收端维持能容纳W个帧的缓冲区（即窗口大小为W）,那么发送端可以连续发送W个帧而不必等待应答信号，但在收到接收端的应答信号前，则滑动窗口不滑动。接收端收到一个帧时，就发送一个应答信号，并把滑动窗口滑动到i~W-i+1的位置，表明i之前的已正确接收，期待接收后续W帧。

线路利用率：

差错控制：

停等ARQ协议：发送站发送一帧必须等待应答信号ACK，收到信号后才能发送下一帧；如果收到否定应答信号NAK后重发该帧；如果在一定时间内未收到应答信号必须重发。

线路利用率：

连续ARQ协议：★★★

连续ARQ技术是滑动窗口技术和自动请求重发技术的结合。根据对出错帧和丢失帧的处理方式不同分为选择重发ARQ和后退N帧ARQ两种。

选择重发ARQ：

只重发出错的帧，后面的帧被缓存。这种协议窗口大小的最大值应为帧编号数的一半，即

线路利用率：

窗口值＞2a+1，则；

窗口值≤2a+1，则

后退N帧ARQ：

从出错处重发已发过的N个帧，其窗口大小为：

线路利用率：

窗口值＞2a+1，则；

窗口值≤2a+1，则

五、HDLC高级数据链路协议：

HDLC是一种面向比特的同步数据链路控制协议，由6个字段组成。其用一种特殊的位模式01111110作为帧的边界标志。HDLC也是Cisco路由器上默认的WAN接口封装协议，是Cisco的私有协议。

8bit	8bit	8bit	≥0	16或32	8bit
01111110	地址	控制	信息	FCS	01111110

HDLC定义了三种帧：信息帧（I帧）、管理帧(S帧)、无编号帧（U帧），其中控制字段第一位或者前两位用于区别三种不同的帧（I帧控制字段第一位为0，S帧前两位为10，U帧前两位为11）。

管理帧(S帧)不包含信息字段，它的第三、四位为管理帧(S帧)类型编码，共有四种不同的编码：00—接受就绪（RR）、01—拒绝（REJ）、10—接受未就绪（RNR）、11—选择拒绝（SREJ）。

六、PPP协议：

点对点协议(Point to Point Protocol)：缩写为PPP,：面向字符，是TCP/IP网络协议包的一个成员。通过在点对点的串行链路上封装数据包，并将HDLC（高级数据链路协议）作为封装数据包的基础的点对点协议。他提供了一整套协议框架来解决链路建立、维护、拆除、上层协议协商和认证等问题。最常见应用为PPPOE

PPP协议组成部分：

建立、配置、测试数据链路的链路控制协议（LCP：Link Control Protocol）：它允许通信双方进行协商，以确定不同的选项。
建立、配置不同网络层协议的网络控制协议（NCP：Network Control Protocol）。
认证协议： 2次握手PAP（密码认证协议）、3次握手CHAP（挑战式握手认证协议）两种协议进行认证。

PAP（密码认证协议）：PAP在网络上传送未加密的ASCII密码，因此被认为是不安全的。当远程服务器不支持诸如CHAP或EAP（后者实际上是一种框架）这样的更强的认证协议时，PAP被作为最后的对策来使用。基于密码的认证：两个实体预先共享一个密码，并且使用此密码作为认证的基础。现存的密码认证方案可以被分为两类：弱密码认证方案和强密码认证方案。

CHAP（挑战式握手认证协议）：通过三次握手周期性的校验对端的身份，在初始链路建立时完成，可以在链路建立之后的任何时候重复进行。3此握手分别是：

链路建立阶段结束之后，认证者向对端点发送“challenge”消息。
对端点用经过单向哈希函数计算出来的值（MD5）做应答。
认证者根据它自己计算的哈希值（MD5）来检查应答，如果值匹配，认证得到承认；否则，连接终止。

经过一定的随机间隔，认证者发送一个新的 challenge 给端点，重复步骤 1 到 3 。

七、帧中继（Frame Relay）：

帧中继FR是X.25演变改进而来。主要特点：帧中继工作在物理层和数据链路层，其在数据链路层建立虚电路，用户信息以帧（frame）为单位进行传送，网络在传送过程中对帧结构、传送差错等情况进行检查，对出错帧直接予以丢弃，没有滑动窗口式流量控制机制，只有拥塞控制。通过对帧中地址段DLCI的识别，实现用户信息的统计复用。适合突发性业务。

在虚连接中，用数据链路连接标示（DLCI）来表示该网络中的虚电路。

帧中继主要优点：

基于分组（帧）交换的透明传输，可提供面向连接的服务。
帧长可变，长度可达1600~4096字节，可以承载各种局域网的数据帧。
数据速率可这2~45Mbps。
既可以接需要提供带宽，也可以应付突发的数据传输。
没有流控和重传机制，开销很少。

八、ISDN与ATM：

ISDN综合业务数字网：

综合业务数据网，一种典型的电路交换网络体统，采用时分多路复用技术。通过普通的铜缆及更高的速率和质量传输语音和数据，俗称“一线通”。

ISDN分为窄带（N-ISDN）和宽带（B-ISDN）两种：

窄带ISDN（N-ISDN）：

基本速率接口：2条速率64kb/s的B信道（话音和数据信道）和1条速率16kb/s的D信道。速率为：2*64+16=144Kb/s。

宽带ISDN（B-ISDN）：

基群速率接口：30条B信道和1条D信道（控制信道）速率均为64kb/s，享有高达：64*30+64=1.984Mb/s的接口速率。

ATM异步传输网络：

ATM将数据分割成固定长度的信元（53B）通过异步统计时分复用模式（TDM）在虚电路上实现快速交换。其典型速率为155Mb/s。

分为四层模型：物理层、ATM层、ATM适配层、高层

ATM网可分为三大部分：公用ATM网、专用ATM网和ATM 接入网。

ATM特点如下：

1) 实现网络传输有连接服务，实现服务质量保证(QoS)。

2) 交换吞吐量大、带宽利用率高。

3) 具有灵活的组网拓扑结构和负载平衡能力，伸缩性、可靠性极高。

4) ATM是现今唯一可同时应用于局域网、广域网两种网络应用领域的网络技术，它将局域网与广域网技术统一。它的速率可达千兆位，即1000Mb/s。

九、xDSL技术：

各种DSL数字用户总线的总称，基于普通电话线采用频分复用技术的宽带接入技术，X表示字符或字符串，根据采用的调制方式不同，获得不同的信号传输速率、传输距离、上行下行信道的不同对称性。其有以下几种模式：

ADSL：

非对称DSL技术，下行速率1～8Mb/s，上行速率512 kb/s～1Mb/s，传输距离3-5千米。同时可传输4KHZ的语音数据。成熟的标准有G.DMT（全速率ADSL，接入方式为专线，速率为8 Mb/s，用户端需要安装POTS分离器将话音与数据分开，ISP端安装接入多路复用器DSLAM连接Internet，适用于小型办公网络SOHO。）和G.Lite（接入方式为虚拟拨号，速率较低，仅为下行1.5 Mb/s，上行速率512Kb/s，不需安装分离器，适用于家庭）两种。（ADSL采用频分多路复用技术，可同时存在3个信道）。

xDSL几种模式对比：

XDSL	对称性	下行带宽	上行带宽
ADSL	非对称	1.5-8Mb/s	512Kb/s-1Mb/s
VDSL	非对称	55Mb/s	2.3Mb/s
RADSL	非对称	8Mb/s	512Kb/s-1Mb/s
HDSL	对称	1.544Mb/s 2.048Mb/s	1.544Mb/s 2.048Mb/s
SDSL	对称	2.3Mb/s	2.3 Mb/s

十、HFC（混合同轴光纤网络）：

HFC在原有CATV网络基础上进行双向改造，综合运用了模拟和数字传输技术、同轴和光纤技术的宽带接入网络，它由光纤干线网（星型）和同轴分配网（树型）组成。

对于HFC网络，用户需要安装电缆调制解调器（Cable Modem），该设备提供三种连接：

使用同轴电缆连接到机顶盒，在连接到用户电视机；
使用一对双绞线连接到用户的电话机；
通过四对双绞线连接到用户的计算机。

</li>
</ul>
HFC利用电缆调制解调器（Cable Modem），在发送端对数据进行调制，在接收端进行解调。

电缆调制解调器（Cable Modem）采用频分复用技术，将信道分为上行信道（10Mb/s）和下行信道（30Mb/s），一般安装在用户端，不是成对的使用。采用MAC（媒体访问控制协议）协议。使用Cable Modem远程接入需要依赖于运营商一端的线缆调制解调器终结设备CMTS，该设备向Cable Modem提供高速连接。CMTS的以太网口可以直接与以太网相连，同时可以通过中继线路连接PSTN网络；在HFC区域中，可以借助光电收发器、光电转换器完成信号的中继和传递，连接至Cable Modem。

HFC主要优势：

仅需要一个光纤节点进行信号转发、转换，节省器件；
具有1000MHZ的带宽，可传输电话语音业务、高速数据业务和个人通信业务。
比传统的CATV网络具有更高的资源利用率。

十一、FTTx（光纤接入网）：

FTTx是指接入网络光纤化，范围从区域电信机房的局端设备到用户终端设备。

根据ONU（光网络单元）位置不同分为以下几类：

FTTCab：（Fiber To Zhe Cabinet）光纤到交换箱。

FTTC：（Fiber To Zhe Curb）光纤到路边。

FTTZ：（Fiber To Zhe Zone）光纤到小区。

FTTB：（Fiber To Zhe Building）光纤到大楼。

FTTH：（Fiber To Zhe Home）光纤到用户，需要光电转换器。
<h2>第五章：局域网与城域网</h2>
局域网（LAN）是指有限区域内（例如办公室或楼层）的多台计算机通过传输介质互联，所组成的封闭网络以实现数据通信及资源共享的目的。

常用的介质：双绞线、同轴电缆、光纤、无线等。

典型特点：覆盖的地理范围小（几米到几公里），具有较高的数据传输速率和较低的时延。

一、局域网拓扑结构：

总线型：以广播形式发送数据，所有站点都能收到数据。所有站点同时发送数据时会发生冲突，主要传输介质为同轴电缆。

星形：所有站点均连接在中心节点（HUB）上，所有的数据交互均要通过中心节点，一个中心节点容易产生单点故障，所以通常星形拓扑中的中心节点会有一个备份。

环形：由一系列首尾相连的中继器组成，每个中继器连接一个站点。需要有某种访问逻辑来控制各个站点的发送顺序，最常用传输介质为双绞线。轻负载时效率低，重负载时利用率高。

全网形：网络传输速率相对较快，但网络铺设成本高，难度大。

树形：将多级中心节点（HUB）连接起来以扩大网络的规模，数据可以延链路传输至链路上的任何一个站点。

在实际的网络建设中具体采用何种网络拓扑结构要结合网络的需求进行定义，采用合理的网络拓扑结构能提升整个网络的性能。

局域网互联设备：

局域网互联设备主要有：

2层网桥（交换机）、3层交换机、路由器、网桥要求三层以上协议相同，1、2层协议不同可互联。

二、IEEE802标准：

IEEE802是局域网的系列标准，其中比较常用标准为：IEEE802.1d：生成树协议、

IEEE802.3：CSMA/CD访问控制方法与物理层规范、

IEEE802.11：无线局域网访问控制方法与物理层规范

完整的IEEE802标准请参见附录一

三、数据链路层的两个子层：LLC子层、MAC子层

数据链路层分为两个子层：目的是将与硬件相关和与硬件无关的部分区分开。

逻辑链路控制子层（LLC子层）：

目的是屏蔽不同子层的访问控制方法，向高层提供统一的服务和接口。LLC帧结构如下图：

DSAP（8位）

SSAP（8位）

AC（8位或16位）

DATA

DSAP第1位为地址标识，后7位表示端口号。广播地址用I/G=1表示，单地址用I/G=0表示。

SSAP第1位为命令或响应标识。C/R=0表示命令，C/R=1表示响应。

LLC地址作为数据链路层的服务访问点，一个上层协议进程可以有多个服务访问点。

LLC协议与HDLC协议兼容。主要提供如下3种服务：

无确认无连接的服务，不提供流控与差错控制，由高层软件完成。
面向连接方式服务，提供流控和差错控制，需要建立连接。用于简单设备中，自身流控较差，需要借助数据链路层协议。
有确认无连接，提供有确认的数据报，但不建立连接。高效可靠，适用于传输少量重要数据。

介质访问控制子层（MAC子层）：

局域网中，所有设备共享传输介质，需要一种有效的方法分配传输介质使用权。

其决定因素有两点：

在何处控制：（集中控制、分布控制）
怎样控制：（同步控制、异步控制）

根据控制方式不同分为同步控制和异步控制：

异步控制又可分为：

循环式：每个站点轮流发送。网络负载重式效率高，轻载式反之。如：令牌环网、总线网、FDDI。

预约式：将传输介质的使用时间进行划分。预约管理可以集中控制，也可以是分布式控制。如：IEEE802.6定义的DQDB。

竞争式：对各站点的发送权不进行控制，各个站点自由竞争。适合分布式控制，网络负载较轻时相率较高。如：CSMA/CD。

以太网帧格式（MAC帧）：

7	1	6	6	2	46-1500	0-46	4
P	SPD	DA	SA	L	DATA	PAD	FCS

P为前导字段：长度7个字节，1010..1010，用于使接收端进入同步状态。

SPD帧起始符：占1位，10101011，标识信息帧开始。

DA/SA（目的/源地址）：占6个字节。

L类型：占2个字节，表示上层协议，OX0800表示上层协议为IP协议；OX8137表示上层协议为IPX协议。

DATA数据字段：长度小于1500字节。用于存放数据信息。

PAD填充字段：不大于46字节，主要解决帧长度不足64字节时，要加入填充位，使其满足要求。

FCS帧校验字段：占4字节，采用CRC-32方式。

MAC帧（以太网帧）最小帧长为64字节，最大帧长1518字节。

最短帧长计算：

Lmin为最小帧长，R为数据速率，L为两点间距离，v为信号在介质中传播速率。

MAC地址：

MAC地址是由48bit的（6个字节）组成，通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如08：00：20：0A：8C：6D就是一个MAC地址。

其前3字节（24bit）表示OUI（Organizationally Unique Identifier），是IEEE的注册管理机构给不同厂家分配的代码，区分不同的厂家。后3字节由厂家自行分配。

四、IEEE802.3标准（CSMA/CD协议）：

CSMA/CD协议在发送数据前，先监听信道上是否有载波信号，有则说明信道忙，无则信道空闲，再按照预定策略决定：

信道空闲，是否立即发送数据。
信道忙，是否继续监听。

CSMA/CD协议避免冲突的过程：

1、数据发送前监听 2、数据发送时边发边监听

3、发现冲突立即停发数据 4、数据重发

监听算法有以下三种：

非坚持型监听算法：

当一个站准备好数据帧，发送前先监听信道，如果信道空闲则立即发送（1），否则后退一个随机时间，在重复（1）。该方法信道利用率低，增加了发送时延，减小了冲突概率。

坚持型监听算法：

当一个站准备好数据帧，发送前先监听信道，如果信道空闲则立即发送，如果信道忙则继续监听，直到信道空闲后再发送。该方法有利于抢占信道，减少信道空闲时间，但增加了冲突概率。

P-坚持型监听算法：

如果信道空闲则以P概率发送，以（1-P）概率延迟一个时间单位（1）（一个时间单位等于网络传输时延），如果信道忙则继续监听，直到信道空闲转到（1），如果发送延迟一个时间单位，则重复（1）。该方法吸取上述两种算法的优点。

冲突检测：

载波监听只能减小冲突概率，不能完全避免冲突。为充分利用带宽应采取边发送边监听的冲突检测方法，具体如下：

发送期间同时接收，并把数据与站中存储的数据进行比较；
如果结果一致，则说明没有冲突，重复（1）；
如果结果不一致，则说明发生冲突，此时立即停止发送，并发送一个干扰信号Jamming，使所有站停止发送，并等待一个随机的时间，重新监听，并试着发送。

二进制指数退避算法：

计算过程如下：

确定基本的退避时间。
从离散的整数集合[0，1，…，（2^n-1）]中随机选取一个数，记为R。重传后应推后R倍的争用期。

注：参数n按照n=Min[重传次数，10]计算，后退时延=两倍的传输时延=争用期

为避免无限制的重发，对重传次数n进行限制。一般n=16时停止发送，丢弃该帧，并向上层报告。

该算法把后退时延的平均值与负载大小联系起来，因此二进制指数退避算法能够解决在重负载下有效分解冲突的问题。

CSMA/CD协议的实现：

对于基带和宽带总线来说，CSMA/CD协议的实现方法基本相同，但也有差别：

差别一：（载波监听）：基带系统是通过检测电压序列来实现载波监听，而宽带系统是监听站接受RF载波（射频）来判断信道是否空闲。

差别二：（冲突检测）：基带系统是把直流电压加到信号上来检测冲突；宽带系统有两种方法来检测冲突：（1）把接收数据与发送数据逐位比对；（2）分裂配置，在端头检测是否有破坏的数据，这种数据的频率与正常的数据频率不同。

CSMA/CD协议的载波监听、冲突检测、冲突强化、二进制指数后退等功能均由硬件来实现，这些硬逻辑包含在网卡中。网卡中的主要器件是以太数据链路控制器。

在IEEE802.3中使用1-坚持型监听算法，这个算法有利于抢占信道，减少空闲，同时实现简单，在监听到网络空闲后，不立即发送而是等待一个最小帧间间隔(规定为9.6us)时间，只有在这期间网络空闲才能开始发送。

在发送过程中继续监听，如果冲突，则发送55555555这是规定的阻塞信号。接受站要对接受到的数据进进行校验，除了CRC校验，还要检查帧长度，如果小于最小帧长（64字节）则认为是碎片。

CDMA/CD协议的性能分析：

假设传送一个长度为L的帧的周期为，

则最大吞吐率为：

其中：表示网段长度，表示信号在铜线中的传播速度（约等于光速的2/3），

为网络提供的数据速率。

则网络利用率为：

其中

CSMA/CD 常用计算公式：

网络传播延迟=最大段长/信号传播速度

冲突窗口=网络传播延迟的两倍.(宽带为四倍)

最小帧长=2网络数据速率最大段长/信号传播速度

例： Lmin= 2 (1Gb/s 1 / 200 000) =10 000bit =1250字节

注：若果题目中提到有中继器，则需要加上中继器时延*中继器数量

五、交换式以太网：

以太网：早期的802.3局域网，10Mbps。来源于光在空气中传播的介质“以太

（ether）”，由此得名“以太网（ethernet）”，寓意无处不在的网络。

交换式以太网核心部件是交换机，有一个高速底板，插上一些插槽，插槽上有一些连接器，用于连接10M网卡的主机。如：E0/0，F0/1，（插槽/接口）；G0/0/0（插槽/模块/接口）E：以太网，F：快速以太网，G吉比特以太网

交换式以太网是以交换式集线器或者交换机为中心构建的星形拓扑结构网络，利用“端口/MAC地址映射表”进行数据交换。

与传统的共享式以太网的区别：

减少冲突：交换机将冲突隔绝在每一个端口（即每个端口都是一个冲突域），避免了冲突的扩散。
提升带宽：接入交换机的每个节点都可以使用全部的带宽，而不是各个节点共享带宽。

交换机分类：

以太网交换机按交换方式分为：直通式交换、存储转发式交换、碎片过滤式交换。

直通式交换：接收到数据包时检查包头，获取目的地址，立即将该数据转发，而不管数据是否出错，检错的任务交给节点主机完成。优点是交换延迟时间短，缺点是缺少差错检测能力，不支持不同输入输出速率端口之间的数据转发。

存储转发式交换：交换机完整接收数据并对数据进行差错检测，如果正确，根据目的地址将数据转发出去。优点是具备差错检测能力和支持不同输入输出速率端口之间数据转发，缺点是交换延迟时间长。是交换机的主流工作方式。

碎片过滤式交换：该方式是直通式转发的改进。在接收到数据后，判断数据包长度是否够64字节，小于64字节丢弃，大于64字节则发送。

广播域与冲突域：

冲突域：连接在同一传输介质上的所有工作站的集合。

中继器和集线器连接的所有节点处在同一冲突域中，网桥、交换机和路由器可以分割冲突域。

广播域：指接收同样广播消息的节点的集合。

网桥和交换机连接的所有节点处在同一广播域中，路由器和三层交换设备可以分割广播域。

六、高速以太网：

基础概念：

以太网命名规则：

n-信号-传输介质

其中：

n：以兆为单位数据传输速率，如10，100，1000，…Mb/s。

信号：基带还是宽带，Base：基带（数字信道）；Broad：宽带（模拟信道）。

传输介质：标识介质的种类。T：非屏蔽双绞线；F：光纤(光纤类型可以是多模或是单模)；数字：同轴电缆、最大段长；C：屏蔽双绞线；LX：长距离光模块（一般指单模光纤）；SX：短距离光模块(一般指多模光纤)；LH：一般指超长距离光模块。

高速以太网：

高速以太网分为：快速以太网、千兆以太网、万兆以太网。

快速以太网（100Mb/s）：标准为IEEE802.3u

与传统以太网采用相同的帧格式、相同的介质访问控制方法（CSMA/CD协议）、相同的接口和相同的组网方法。

主要规范如下：

100BaseT4：使用3对4类UTP，其中一对用于碰撞检测

100BaseTX：使用2对5类UTP，一对用于接收，一对用于发送

100BaseFX：使用光纤

为能够检测到冲突，采取保持最短帧长（64字节）不变，将介质长度减少到100米，帧间间隔为0.96us(传统以太网为9.6us)，采用4B/5B编码传统（传统以太网采用曼彻斯特编码）。

千兆以太网（1000Mb/s）：标准为IEEE802.3z/IEEE802.3ab

在1000Mb/s的模式下，允许有全双工和半双工两种工作方式，与传统以太网采用的相同帧格式，在半双工模式下，采用CSMA/CD协议，全双工不需要采用这种协议。IEEE802.3z，采用了帧突发方式，使一个站可以连续发送多个帧。

主要规范如下：

1000BaseT：使用4对5类UTP，最大段长100米（IEEE802.3ab）

1000BaseCX：使用2对STP，传输长度25米（IEEE802.3z）

1000BaseLX：使用多模光纤传输距离550米，使用单模光纤传输距离为5千米（IEEE802.3z）

1000BaseSX：使用多模光纤传输距离550米（IEEE802.3z）

万兆以太网（10Gb/s）：标准为IEEE802.3ae

与传统以太网采用的相同帧格式、最小和最大帧长。仅支持全双工模式，不采用CSMA/CD协议，仅支持单模或多模光纤，不支持双绞线。定义了两种物理层：一种是局域网物理层，另一种是广域网的物理层。

七、VLAN(虚拟局域网)：IEEE802.1Q

VLAN（虚拟局域网），是一种将局域网设备从逻辑上划分成多个网段，从而实现虚拟工作组的新兴数据交换技术。

VLAN技术解决了局域网互联时无法限制广播的问题，每个VLAN一个广播域，同一VLAN内的主机通信跟一个LAN内一样，不同VLAN之间不能通信，如果需要通信，需要增加路由设备（三层交换机或者路由器）。

VLAN优点：

切割广播域，减少广播提高网络性能。
不通VLAN在不同广播域，增加网络安全。
使网络易于维护，更具逻辑性。

划分方法：

基于端口的划分（属于静态划分VLAN，其余属于动态划分）。
基于MAC地址的划分，动态VLAN，需要一台VMPS服务器。
基于网络层或协议的划分，动态VLAN。
基于IP组播划分，动态VLAN2，可以跨网段。
基于规则划分，动态VLAN。
基于用户自定义，动态VLAN。

VLAN端口类型：

Access端口：主要用于连接终端，特点是仅允许一个VLAN的帧通过。所有端口均属于同一广播域。
Trunk端口：主要用于连接其他交换机端口，特点是允许多个VLAN通过，并且除了缺省VLAN外其他VLAN都带标签通过Trunk端口。
Hybrid端口：既可以连接终端，也可以连接其他交换机、路由器设备。特点是允许一个或多个VLAN的帧通过，并且可以选择是带标签还是不带标签。

VLAN的中继模式（Trunk）：

目前有两种通用标准，即IEEE802.1Q和Cisco ISL，后者仅适用于Cisco设备。IEEE802.1Q在原来的以太网帧中增加了4个字节的帧标记字段。Cisco ISL在原来的以太网帧首部增加了26个字节的ISL首部，在尾部增加了4个字节ISL尾部，共30个字节。

交换机支持的封装协议有dot1q和ISL两种。ISL最多支持1024个vlan；而dot1q支持4096个vlan，其中两个保留，因此可用4094个。

GARP协议：

GARP协议主要用于建立一种属性传递扩散的机制，以保证协议实体能够注册和注销该属性。GARP作为一个属性注册协议的载体，可以用来传播属性。将GARP协议报文的内容映射成不同的属性即可支持不同上层协议应用。例如，GMRP和GVRP：

GMRP是GARP的一种应用，用于注册和注销组播属性；
GVRP是GARP的一种应用，用于注册和注销VLAN属性。

属性会通过GARP“声明-注册-声明-注册”沿STP树单向传播导整个网络中。

VLAN注册协议-GVRP协议：

手工配置的VLAN称为静态VLAN，通过GVRP协议创建的VLAN称为动态VLAN。GVRP有三种注册模式，不同的模式对静态VLAN和动态VLAN的处理方式也不同。GVRP的三种注册模式分别如下：

Normal模式：允许动态VLAN在端口上进行注册，同时会发送静态VLAN和动态VLAN的声明消息。
Fixed模式：不允许动态VLAN在端口上注册，只发送静态VLAN的声明消息。
Forbidden模式：不允许动态VLAN在端口上进行注册，同时删除端口上除VLAN 1外的所有VLAN，只发送VLAN 1的声明消息。

八、局域网互联：

局域网互联设备：

2层网桥（生成树、源路由）、3层交换机、路由器。网桥要求3层以上协议相同，1、2层协议不同可互联。

生成树协议：IEEE802.1D，

生成树协议（Spanning Tree Protocol）：对网络进行均衡负载，将不同VLAN的通信分配到不同的TRUNK链路上。在逻辑上断开环路，防止广播风暴的产生，当线路出现故障，断开的接口被激活，恢复通信，起到线路备份的作用。经STP计算，最终形成一个无环拓扑的逻辑结构。STP总延时为50s（收敛过程）

默认情况下，VLAN在TRUNK端口上的权值[port-priority]为128，数字越小优先级越高，默认情况下交换机STP路径值[cost]为19，数字越大优先级越低。

生成树协议使用BPDU（网桥协议数据单元Bridge Protocol Data Unit）传递交换信息。生成树协议端口类型：根端口、指定端口、阻塞端口、禁用端口。

STP将环形网络生成无环拓扑的步骤：

根网桥----＞选择根端口----＞选择指定端口

选择根网桥：

（优先级取值范围：0-65535、默认：32768，必须为4096的倍数）。流程如下：

交换机ID最小（2字节（4bit）的优先级和6字节（12bit）MAC地址组成）。
优先级值越小优先级越高，优先级高的的为根桥。
优先级相同，MAC地址最小的为根桥。

选择根端口：在非根网桥上选择一个到根网桥最近的端口。流程如下：

最小路径开销的端口为根端口。
如果路径开销相同，选择连接网桥ID最小的端口的为根端口。
如果连接网桥ID最小的端口相同，选择端口标识最小的为根端口。

选择指定端口：在每个网段上，选择一个指定端口。根网桥上所有端口都是指定端口。非根网桥上指定端口选择流程如下：

根路径开销最低。
端口所在的网桥ID值较小。
端口ID值最小。

端口开销规定：

10G端口开销为2；1000M端口开销为4；100M端口开销为19；10M端口开销为100

生成树协议端口状态：收敛时间共50S。

阻塞（Blocking）：仅监听BPDU，不转发数据帧，也不学习接受帧的MAC地址，延时20s,防止启动交换机过程中产生交换环路。

监听（Listening）：相互学习BPDU的信息，以便交换机可以学习网络中其他交换机的信息，延时15s。此时不学习MAC帧的地址，不转发数据帧。

学习（Learning）：处理学习到的BPDU信息，开始计算生成树协议。学习MAC地址，建立地址表，但不转发数据帧，该状态维持15s。

转发（Forwarding）：可以发送或监听BPDU（用桥协议数据单元来传递交换机之间的生成树协议的信息），可以转发数据帧。

禁用：端口不参与生成树协议，不监听也不发送BPDU，也不转发数据帧。

快速生成树协议（IEEE802.1W）：

快速生成树协议RSTP（Rapid Spanning Tree Protocol）IEEE802.1w：由IEEE802.1d发展而成，是优化版的STP，他大大缩短了端口进入转发状态的延时，从而缩短了网络最终达到拓扑稳定所需要的时间。

相比于STP，RSTP的改进之处在以下几个方面：

端口状态从5个变为3个：禁用Discording（将STP中禁用、监听、阻塞合并），学习Learing，转发Forwarding；
端口类型由四个变为五个：给根端口做备份的替换端口（Althernate）、给指定端口做备份的备份端口（Backup）、以及原有的根端口、指定端口及禁用端口；
BPDU的处理：

BPDU的类型变为Type2；
每台交换机都可以发送RST BPDU而不是只有根桥可以发送BPDU，好处是各交换机提供了一种保活机制，如果在一定时间没有收到对方的RST BPDU 则会认为对端设备挂了；
RSTP规定，如果三个周期没有收到对方的RSTP BPDU则会把端口保存的RST BPDU老化；
处于阻塞的端口收到低优先级的RST BPDU也会对其作出回应。且阻塞端口直接作出回应，不需要STP必须有指定端口作出回应。

RSTP的快速收敛机制：

边缘端口机制。
指定端口快速切换又叫P/A机制。
根端口快速切换。

多生成树协议MSTP（IEEE802.1D）：

多生成树MSTP（Multiple Spanning Tree Protocol）是在STP和RSTP的基础上，根据IEEE协会制定的802.1S标准建立的，他既可以快速收敛，也能使不同VLAN的流量沿各自的路径转发，从而为冗余链路提供了更好的负载。

源路由网桥：IEEE 802.5

原理为发送探测帧到目的节点，返回路径以后沿着路径再传送。发送帧在这条路径上就传送，不在这条路径上就发送广播，查询路径，选择最优路径再传送。

简单来说就是边探测边发送。

城域网：

Q-in-Q：运营商网桥协议(PBP) IEEE802.1ad。

MAC-in-MAC：运营商主干网桥(PBB)IEEE 802.1ah

九、以太网通道（EtherChannel）：

以太网通道的作用：将多条物理链路捆绑成一条逻辑链路，实现负载均衡、提高带宽容错（当一条链路失效时，使用其他链路进行通信）。

以太网通道最多可以捆绑8条物理链路，其中物理链路可以是双绞线，也可以是光纤连接的。

以太网通道必须遵循的规则：

参与捆绑的端口必须都处于同一个VLAN。
如果端口配置都是中继模式，那么应该在链路两端将通道中的所有端口配置成相同的中继协议（模式）。
所有参与捆绑的端口的物理参数设置必须相同。应该有同样的速度和全双工或者半双工模式设置。也就是说：参与捆绑的链路，速率必须相同。

以太网通道协议：

LACP（IEEE标准）&PAGP（Cisco私有标准）

以太网通道模式有两种：

动态配置：链路两端所用协议至少有一端为主动模式，另一端可以为被动模式也可以为主动模式。

静态配置：链路两端所用协议模式均为ON。

LACP协议与PAGP协议模式对照：

LACP协议	语句含义	PAGP协议
On	通道成员无需协商（静态配置）	On
Active	主动向对端发送协商报文	Desirable
Passive	被动地响应对端的协商报文	Auto
Off	此端口无法形成以太网通道	Off

<h2>第六章：无线通信网</h2>
一、各种移动通信标准：

1 G：第一代模拟蜂窝：频分双工FDD。

2 G：第二代数字蜂窝①GSM(全球移动通信)采用TDMA、②CDMA(码分多址通信)。

2.5G：第2.5代通用分组无线业务GPRS。

2.75G：第2.75代增强型GPRS叫EDGE。

3 G：第三代，速率可达2Mbps，分为6个标准：

W-CDMA，频分双工；CDMA-2000，频分双工；TD-SCDMA，时分双工，中国；EDGE；DECT；WiMAX（无线城域网）：分为IEEE 802.16d固定，IEEE 802.16e移动

4G：第四代，速率可达100Mbps，至少100Mbps，下行1Gbps，上行500Mbps，使用正交频分多址接入OFDM和MIMO技术。包含 TDD和FDD两种制式。分为3个标准：

UMB，超移动宽带(不用)；LTE Advanced，长期演进技术，中国；WiMAX II，全球微波互联接入

4G+、4.5G、5G

二、无线数据网的种类：

个人无线网：标准IEEE802.15，典型应用为蓝牙，覆盖范围≤10m。

无线局域网：标准IEEE802.11，典型应用为家庭、企业等。★

无线城域网：标准IEEE802.16，主要用于直接访问Internet。

无线广域网：标准IEEE802.20&蜂窝数字通信。

详情可以查看附录一中相关内容。

三、无线局域网（WLAN）：

无线局域网与有线局域网的主要区别在于：无线局域网没有物理的传输介质（通信电缆），从而使网络的构建和终端的移动更加灵活，扩展性更好。

WLAN分两大阵营：

IEEE 802.11面向数据无连接；

欧洲邮电委HIPERLAN，面向语音有连接。

无线局域网的优点：

灵活性和移动性：无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络。无线局域网另一个最大的优点在于其移动性，连接到无线局域网的用户可以移动且能同时与网络保持连接。
安装便捷：无线局域网可以免去或最大程度地减少网络布线的工作量，一般只要安装一个或多个接入点设备，就可建立覆盖整个区域的局域网络。
易于进行网络规划和调整：对于有线网络来说，办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程，无线局域网可以避免或减少以上情况的发生。
故障定位容易：有线网络一旦出现物理故障，尤其是由于线路连接不良而造成的网络中断，往往很难查明，而且检修线路需要付出很大的代价。无线网络则很容易定位故障，只需更换故障设备即可恢复网络连接。
易于扩展：无线局域网有多种配置方式，可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络，并且能够提供节点间“漫游”等有线网络无法实现的特性。

无线局域网的不足之处体现在以下几个方面：

性能：无线局域网是依靠无线电波进行传输的。这些电波通过无线发射装置进行发射，而建筑物、车辆、树木和其它障碍物都可能阻碍电磁波的传输，所以会影响网络的性能。
速率：无线信道的传输速率与有线信道相比要低得多。无线局域网的最大传输速率为1Gbit/s，只适合于个人终端和小规模网络应用。
安全性：本质上无线电波不要求建立物理连接通道，无线信号是发散的。从理论上讲，很容易监听到无线电波广播范围内的任何信号，造成通信信息泄漏。

无线局域网使用IEEE802.11标准定义了两种拓扑结构：

基于基础设施网络：该方式所有无线终端通过AP访问骨干网络或者互访。AP如同网桥，完成802.11与802.3MAC协议之间的转换。
特殊网络（Ad Hoc）：该方式是一种点对点的网络，不需要有线网络和AP，以无线网卡连接的终端设备之间可以互联通信。

WLAN现有标准：

标准	工作频段	主要技术	数据速率
802.11	2.4Ghz的ISM频段	扩频通信技术	1Mb/s和2Mb/s
802.11b	2.4Ghz的ISM频段	HR-DSSS技术	11Mb/s
802.11g	2.4Ghz的ISM频段	OFDM调制技术	54Mb/s
802.11a	5.2Ghz U-NII频段	OFDM调制技术	54Mb/s
802.11n	2.4Ghz和5.2Ghz	MIMO和OFDM	600Mb/s
802.11ac	5.2Ghz U-NII频段	MIMO和OFDM	1Gb/s

无线局域网设备：

无线局域网接入设备AP有两种规格：胖AP（FAT）、瘦AP（FIT）

胖AP（FAT）：

一般指无线路由器，多用于家庭、酒店办公场所等小型网络，功能较全，自带操作系统，设置简单，能实现接入、认证、路由、VPN、地址翻译甚至防火墙功能。

瘦AP（FIT）：

瘦AP形象的理解就是把胖AP瘦身，去掉路由、DNS、DHCP服务器等诸多加载的功能，仅保留无线接入的部分。不能独立工作，设置需要通过专用AC（AP控制器）来完成。

注：AP基Access Point即无线接入点，其作用是把局域网里通过双绞线传输的有线信号（即电信号）经过编译，转换成无线电信号传递给电脑、手机等无线终端，与此同时，又把这些无线终端发送的无线信号转换成有线信号通过双绞线在局域网内传输。通过这种方式，形成无线覆盖，即无线局域网。

无线局域网技术手段：

无线局域网三种通信技术：红外线、扩展频谱基窄带微博技术。

红外线：

定向光束红外线、全向广播红外线、漫反射红外线。

窄带微波：

申请许可证RF、免许可证RF

扩展频谱：

扩展频谱通信（Spread Spectrum Communication）简称扩频通信，其特点是传输信息所用的带宽远大于信息本身带宽。扩频通信技术在发端以扩频编码进行扩频调制，在收端以相关解调技术收信息，其特点是抗干扰、抗衰落以及抗阻塞能力强。

常用的扩频技术主要有三种方法：即直序扩频（FHSS）、跳频扩频（DSSS）、跳时扩频（THSS）以及线性调制。但是在实际使用的过程中，常采用它们的混合。

四、IEEE802.11MAC层协议（CSMA/CA）：

因为存在隐蔽站和暴露站问题，无线局域网不适用CSMA/CD协议，只能使用改进CSMA协议。具体办法就是给CSMA增加一个碰撞避免（Collision Avoidance）功能。IEEE802.11就是用CSMA/CA协议，同时还增加使用停止等待协议。IEEE802.11定义了一个帧间隔IFS此外还有一个后退计数器，它的初始值是随机设置的，递减倒数到0。

隐藏站问题：假设有3无线通信站ABC如下所示：

A B - C

其中B在C的无线电波范围内，但A不在C的无线电波范围内。此时C正在向B传送数据，而A也试图向B传送数据。此时，A不能够监听到B正在忙（因为A在监听信道的时候什么也听不到，所以它会错误的认为此时可以向B传送数据了）。如果A向B传送数据，则将导致错误。此即隐藏站问题。其中C是A的隐藏站。

暴露站问题：假设有3无线通信站ABC如下所示：

-A B C

其中B在A的无线电波范围内，但C不在A的无线电波范围内。此时A正在传送数据（向除B以外的某通信站），而B希望给C发送数据，但是错误地认为该传送过程将会失败（因为B会监听到一次传输，所以它会错误地认为此时不能向C发送数据）。此即暴露站问题。其中A是B的暴露站。

CSMA/CA基本操作过程如下：

如果有一个站点要发送数据并且监听到信道忙，则产生一个随机数设置自己的后退计时器并且继续监听。
监听到信道空闲后等待IFS时间，然后开始计数。最先技术完成的站点开始发送数据。
其他站点监听到有新的站点开始发送数据后暂停计数，在新的站点数据发送完成后在等待一个IFS时间继续计数，知道技术完成开始发送数据。

MAC子层：

IEEE802.11在物理层之上包含两个子层：DCF子层和PCF子层

DCF子层在每一个结点使用CSMA机制的DIFS（分布式帧间隔），让每个站通过争用信道来获取发送权。
PCF子层使用集中控制的接入算法将发送数据权轮流交给每个站点从而避免了碰撞的产生。(可选)

三种帧间隔（IFS）：

DIFS（分布式帧间隔）：最长IFS，优先级最低，用于异步帧竞争访问时延。
PIFS（点协调IFS）：中等长度IFS，优先级居中，在PCF操作中使用。
SIFS（短IFS）：最短IFS，优先级最高，用于需要立即相应的操作。

五、特殊网络（Ad Hoc）：

该方式是一种点对点的网络，不需要有线网络和AP，以无线网卡连接的终端设备之间可以互联通信。每个节点既是主机，又是路由器。形成自组织网MANET。

MANET中的路由协议：

根据网络结构可以分为：扁平的路由协议、分层的路由协议、地理信息的路由协议。

扁平的路由协议：

先验式：周期交换，开销大。周期检查身体花销大。

反应式：按需分配，开销少。有病再查身体花销少。

分层的路由协议：（分部门，选领导）
地理信息的路由协议：（GPS定位）

DSDV路由协议：

目标排序的距离矢量协议，扁平式，先验式，利用序列号解决环路。

AODV路由协议：按需分配的距离矢量协议，扁平式，反应式，开销少，适合快速变化的网络。

六、WLAN提升安全性手段：

更改默认设置；
更新AP的Firmware；
屏蔽SSID广播；
加密和认证（合法性认证IEEE801.X）；
MAC地址过滤；

最常用的加密手段有WEP（共享密钥，采用RC4对称加密算法），WPA/WPA2，WPA-PSK/WPA2-PSK。这三种算法中WPA-PSK/WPA2-PSK安全性最好，加密过程采用了TKIP/CCMP和AES算法。

七、无线个人网WPAN：

IEEE802.15.1/2/3/4，小范围（10米左右）个人手持设备。使用通信控制协调器（PNC）控制1个主设备及多个从设备。典型应用：蓝牙（IEEE802.15）。

使用四种协议：RF无线电频率协议、LCP链路控制协议、LMP链路管理协议、L2CAP链路控制自适应协议。

蜜蜂网ZigBee：IEEE802.15.4，全功能设备FFD、简单功能设备RFD，RFD之间不能通信。常用于物联网，采用AODV协议。

八、无线城域网：IEEE802.16：

WiMAX：IEEE802.16d；无线移动：IEEE802.16e

WiMAX II（4G）：IEEE802.16m；无线城域网覆盖面积更大，数据速率更高，具有更好的扩展性和安全性，能实现电信级服务。

关键技术：正交频分多路复用OFDM、多输入多输出MIMO、频分/时分双工FDD/TDD
<h2>第七章：网络互连与互联网</h2>
Internet是全球最大的、开放的、由众多网络互联而形成的计算机网络，狭义Internet是指由上述提到网络中采用IP协议的网络互联而成的，广义Internet是指狭义Intrenet 加上所有能通过路由选择至目的站的网络，便构成了广义Intrenet。

优点：Intrenet 体系结构具有良好扩充性，因为它基于树型结构，具有层次性和单向依赖性。

缺点：对核心网关结构依赖严重，一旦出现故障，整个Intenet 的工作将受到影响，这种结构将逐渐被对等主干结构所取代。

一、网络互联设备：

物理层网络设备：

中继器（Repeater）：主要是对接受信号进行再生和发送，其不解释也不改变接收到数字信号。工作在物理层。

集线器（HUB）：是一个多端口的中继器。

数据链路层网络设备：

网桥（Bridge）：通过分析帧地址字段，来决定是否将收到的帧发送到另一个网段上。其工作在数据链路层。

交换机（Swich）：是一个多端口网桥，有自己的物理地址MAC地址。

网络层设备：

路由器（Router）：工作在网络层，主要完成协议转换、选择网络路径，传输分组，有自己的逻辑地址IP地址。

三层交换机：有部分路由功能的交换机，加快大型局域网内数据交换。

四层以上（高层）：

网关：对不同的传输层、会话层、表示层和应用层的协议进行翻译和转换。

其他概念：

网络地址：主机位全为0的地址。 广播地址：主机位全为1的地址。

二、TCP/IP协议：

分为四个层次。

应用层	HTTP、FTP、Telnet、SMTP	SNMP、DNS、DHCP
	POP3、DNS	TFTP
传输层	TCP	UDP
网络层	IP、ICMP、IGMP 、ARP、RARP
接口层	电话网PSTN、局域网LAN、无线网WLAN、ATM、帧中继

三、IP地址及子网划分：

IP地址的表示方法（IPV4）：

IP地址的长度为32位，分为4字节，每字节8位，用十进制数字表示，段与段之间用句点隔开，又称点分十进制（Dotted Decimal Notation）。

每个字节最大值为11111111，十进制表示为255。

例：

IP地址的表示方法
二进制	10000000	00001011	00000101	00001111
每8位转换为十进制	128	11	5	31
点分十进制表示	128.11.5.31

IP地址分类：有分类地址、无分类地址（CIDR）

有分类IP地址分为A、B、C、D、E五大类，常用的是B和C两类。分类标准依据IP地址的两个部分：网络位及主机位的长度不同划分。大致如下：

A类：1B网络位+3B主机位、B类：2B网络位+2B主机位、

C类：3B网络位+1B主机位、

详细分类见下表：

分类	第一字节十进制范围	固定网络位	网络位数	网络数	IP地址数	有效主机数
A类	1-126	0	8	126
B类	128-191	10	16
C类	192-223	110	24
D类	224-239	1110	组播地址

IP地址配置原则：

网络地址第一个数字不能为127，127的地址用于测试连接。
网络地址不能全为0，也不能全为255。
只有A、B、C类的IP地址可以分配给计算机或者网络设备。

私有地址范围（不允许出现在互联网上）：

类别	IP地址范围	网络位	网络数
A类	10.0.0.0 - 10.255.255.255	10	=1
B类	172.16.0.0 - 172.31.255.255	172.16 - 172.31	=16
C类	192.168.0.0 - 192.168.255.255	192.168.0 - 192.168.255	=256

特殊IP地址：

网络位	主机位	作源地址	作目的地址	代表的含义
0	0	可以	不可	本网络的本主机
11111111	11111111	不可	可以	本地广播地址
NET-ID	11111111	不可	可以	对NET-ID上所有主机进行广播
127	非全0或全1的数	可以	可以	作为本地软件回环测试用
169.254	非全0或全1的数	可以	可以	Win主机DHCP服务器故障分配

0.0.0.0：严格讲这不是一个IP地址，在本网络上的本主机。可做源地址。

255.255.255.255：限制广播地址。同一广播域的所有主机，这个地址不被路由转发。可以做目的地。

127.0.0.1：本机地址，用于测试TCP/IP协议能否正常工作。

169.254.X.X（自动专有地址）：当DHCP服务器出现故障或者响应时间太长而超出系统规定时间，Windows会分配一个这样的地址。

224.0.0.0是一个组播地址。224.0.0.1指所有主机；224.0.0.2指所有路由器；224.0.0.5 OSPF路由协议专用。

子网掩码与子网划分：

子网（subnet）：

借用“主机位”将大的网段划分为多个小网络，称为子网。在TCP/IP网络上用路由器连接。同一子网内的IP地址必须有相同的网络地址。

子网掩码：

子网掩码与IP地址成对出现，子网掩码中为1的部分表示网络号，为0的部分表示主机位。子网掩码网络位为全1，主机位为全0。

可变长度子网掩码（VLSM）：在有类的IP地址的基础上，从它们的主机号部分借出相应的位数来做网络号，也就是增加网络号的位数，用于子网划分。

各类网络可以用来再划分子网的位数为：A类有24位可以借，B类有16位可以借，C类有8位可以借。

A类默认子网掩码为：/8 255.0.0.0

B类默认子网掩码为：/16 255.255.0.0

C类默认子网掩码为：/24 255.255.255.0

常用的子网掩码：

/32 255.255.255.255	/24 255.255.255.0
/31 255.255.255.254	/23 255.255.254.0
/30 255.255.255.252	/22 255.255.252.0
/29 255.255.255.248	/21 255.255.248.0
/28 255.255.255.240	/20 255.255.240.0
/27 255.255.255.224	/19 255.255.224.0
/26 255.255.255.192	/18 255.255.192.0
/25 255.255.255.128	/17 255.255.128.0

子网掩码计算：

例：/21

24-21=3 2^3=8 256-8=248 子网掩码：/21=255.255.255.248

三步划分子网：

1、看段：看子网掩码在第几段发生变化。

2、算块：计算块大小，就是计算一个子网范围。

3、求数：关于子网划分的一些计算。

子网相关计算：

子网数= (k为子网借用位数（主机位或网络位）)

可用子网数= (k为子网借用位数（主机位或网络位）)

可用主机数= (n为主机位数)

子网大小：256/子网个数

超网大小：256*子网个数

注：有效子网数是排除全0子网和全1子网剩余的子网。

有效IP地址范围：在一个网段中除去最前面一个网络地址和最后面一个广播地址后剩余的地址范围。

技巧：1、网络地址为块大小的倍数关系。2、子网掩码与IP地址进行与计算后可以得到该子网的网络地址！ 3、不均等划分建议先满足大子网，再划小子网。

无分类编址（CIDR）：超网★★★

VLSM是把标准网络分割成更小的子网的技术，而CIDR是把几个标准网络合并成一个大网络的技术。通过缩短子网掩码长度达到将小网络合并为大的超网。

汇聚思路：将给出的IP地址不相同的位置开始将十进制数转换为二进制表示，找相同部分划为网络位，不同的位划分至主机位，从而实现将多个网段汇聚成一个新的超网网段。

例：177.7.97.0/24 177.7.99.0/24 177.7.104.0/24 177.7.112.0/24汇聚后的地址为？

前2个字节完全相同，可以忽略，将第三个字节转换为二进制

97=64+32+1 =01100001 99=64+32+2+1 =01100011 104=64+32+8 =01101000 112=64+32+8+4=01101100

相同的部分用红色标识，将红色部分划分为网络位，则汇聚后的网络地址为：

177.7.01100000.0/255.255.11100000.0即177.7.96.0/27

注：超网一样可以使用散步划分子网的方式，方法为：最大IP地址 – 最小IP地址 + 1=块大小，再取小于且最接近最小IP的块大小的倍数，本题中为16*6=96，所以汇聚后的地址为96。（如果块大小不是2的N次方数，先找出合适的2的N次方数再乘以倍数。）

最佳路由匹配原则：使用路由汇聚时，路由匹配结果应选择最长网络位的路由，即子网掩码最长的作为路由。

四、IP协议：

网络之间互连的协议（Internet Protocol）是Internet中网络层协议，IP协议规定了数据传输时的基本单元和格式。如果比作货物运输，IP协议规定了货物打包时的包装箱尺寸和包装的程序。除了这些以外，IP协议还定义了数据包的递交办法和路由选择。同样用货物运输做比喻，IP协议规定了货物的运输方法和运输路线。配套协议有：ICMP、IGMP、ARP、RARP。

IP协议有以下特点：

不可靠。2、非面向连接。3、尽最大努力投递，当IP包中生存周期（TTL）为0时丢弃数据包。

IP数据报：

IP协议控制传输的协议单元称为IP数据报。IP数据报中包括收/发双方的IP地址。

IP数据报格式[每行32位]：

<span style="font-size: inherit;">
以字节为单位，16bit最大值，所以一个IP数据报最大为65535字节。当</span>数据部分超过1500字节<span style="font-size: inherit;">时，会被</span>分片处理后转发<span style="font-size: inherit;">。</span>IP数据报总长度：首部+数据部分

IP数据报首部以4字节为单位，最大值1111，则首部最大为15*4=60字节，默认20字节。首部由两部分组成，其中固定部分为可选字段之前的5行即20字节，可选字段长度为4字节的整数倍，最大值为60-20=40字节。

版本：IP协议版本。IPV4：0100 IPV6：0110

首部长度：最大60字节，默认20字节。

服务类型：对IP数据流业务进行区分，对不同的服务进行服务质量保证。

总长度：最大65535字节。

标识：长度16bit，对属于同一个数据报的各个分片进行标识。

标志：长度3bit，第二个bit位表示DF字段：DF=0：数据报可以进行分片，DF=1：数据报不可以进行分片。第三个bit位表示MF字段：MF=0：当前分片是最后一个分片，MF=1：当前分片不是最后一个分片。

片偏移：长度13bit，表示各个分片的编号。其数值等于每个分片第一个数据字节编号/8。

生存周期TTL：长度8bit，最大255，每过一路由器TTL值减1，TTL值为0时路由器丢弃数据报。

协议号：提供上层SAP，6表示TCP，17表示UDP。

首部校验和：采用CRC-16循环冗余校验码。

五、ICMP（网际控制报文协议）：

ICMP网际控制报文协议：ICMP（Internet Control Message Protocol）就是一个“错误侦测与回报机制”，其目的就是让我们能够检测网路的连线状况，也能确保连线的准确性。ICMP报文控制协议属于网络层协议。

ICMP主要功能有：

侦测远端主机是否存在。
建立及维护路由数据。
重导数据传送路径。
数据流量控制。

ICMP报文分为两大类：

差错控制报文：

目标不可达（3）：不能把IP数据报送达目标主机。

超时（11）：IP数据报的生存期已超时（TTL=0）。

参数出错（12）：当判断出IP数据报头部字段或语义出错。

源抑制（4）：网络出现拥塞，发送该报文。

重定向（5）：告诉主机一个更短的路由路径。

请求/应答报文：

回应请求/应答（0/8 如使用ping命令时）：测试两点之间线路是否畅通（ping命令）。

路由器请求/通告请求/应答（10/9 初始化路由表）

时间戳请求/应答（13/14 计算往返时间同步时钟）：追踪两点之间通信路由路径。

地址掩码请求/应答（17/18 区分网段）：

六、TCP传输控制协议和UDP用户数据报协议：

TCP与UDP属于传输层协议，传输层（Transport Layer）是OSI协议的第四层协议，实现端到端的数据传输。该层是两台计算机经过网络进行数据通信时，第一个端到端的层次，具有缓冲作用。当网络层服务质量不能满足要求时，它将服务加以提高，以满足高层的要求；当网络层服务质量较好时，它只用很少的工作。传输层还可进行复用，即在一个网络连接上创建多个逻辑连接。

传输层在终端用户之间提供透明的数据传输，向上层提供可靠的数据传输服务。传输层在给定的链路上通过流量控、分段/重组和差错控制。一些协议是面向链接的。这就意味着传输层能保持对分段的跟踪，并且重传那些失败的分段。

UDP协议：协议号：17

UDP协议为面向报文的无连接的、不可靠的数据报传输服务，支持一对一、一对多、多对一、多对多通信，首部开销小，快熟速度快。不提供拥塞控制。常用于数据量较小的数据传输。

UDP首部字段8个字节，在多媒体应用中，TCP传输数据，UDP传输音频、视频。

UDP数据报格式如下：

TCP协议：协议号6

TCP（传输控制协议）：TCP协议支持面向连接的、可靠的、面向字节（bit）流的传输服务。只支持点到点（一对一）的缓冲累积传送传输，TCP模块之间进行全双工的数据流交换。

TCP数据报格式：

序列号（SEQ，32位长）：如果含有同步（SYN），则此为最初的序列号；第一个数据字节的序列号为本序列号加一。如果没有同步（SYN），则此为第一个数据字节的序列号。

确认号（ACK，32位长）：期望收到的数据开始序列号，即已经收到的数据的字节长度加1。

报头长度（4位长）：以4字节为单位计算出的数据段开始地址的偏移值。

保留：须置0。

标志符：

URG：为1表示高优先级数据包，紧急指针字段有效。

ACK：为1表示确认号字段有效。

PSH：为1表示是带有PUSH标志的数据，指示接收方应该尽快将这个报文段交给应用层而不用等待缓冲区装满。

RST：为1表示出现严重差错，可能需要重现创建TCP连接。还可以用于拒绝非法的报文段和拒绝连接请求。

SYN：为1表示这是连接请求或是连接接受请求，用于创建连接和使顺序号同步。

FIN：为1表示发送方没有数据要传输了，要求释放连接。

TCP建立连接：

TCP连接时三次握手，目的是防止产生错误连接。

TCP三次握手的过程如下：

TCP client发送SYN=1SEQ=x报文给TCP server，进入SYN_SEND状态。
TCP server收到SYN报文，回应一个SYN=1，SEQ=y，ACK=1，ACK=x+1报文，进入SYN_RECV状态。
TCP client收到TCP server的SYN报文，回应一个ACK=1，SEQ=x+1，ACK=y+1报文，进入Established状态。

三次握手完成，TCP client和TCP server成功地建立连接。

TCP连接终止：

TCP终止一个连接要经过四次握手，这是由TCP的半关闭（Half-Close）造成的。

具体过程如下：

某个应用进程首先调用close，该端执行“主动关闭”（active close）。TCP client于是发送一个FIN，TCP状态进入FIN_WAIT_1状态，停止发送数据。释放报文首部：FIN=1,其序列号为seq=x，表示数据发送完毕。
TCP server 收到FIN 后，回复一个ACK 确认，server进入CLOSE_WAIT “被动关闭”（passive close），client收到ACK后会进入FIN_WAIT_2状态。

此时连接处于半关闭（half-close）状态，即client已经没有数据要发送了，但是TCP server若发送数据，client依然要接受。

TCP server 发送一个FIN，用来关闭server到client的连接，server进入LAST_ACK状态，TCP server将最后的数据发送完毕。
TCP client收到FIN后，client进入TIME_WAIT状态，接着回复一个ACK给server，server进入CLOSED状态。

此时TCP的连接扔完没有完全断开，TCP client需要等2*MSL（最长报文段寿命）的时间后状态就变为CLOSED。

同时关闭：

是指双方都是主动关闭，双方都发送了一个fin包。客户端主动关闭发送fin包后，变成FIN_WAIT_1状态，此时又收到了一个fin包，于是状态变为CLOSING，同时再发送一个确认包ack给对方。而当收到对方对fin包的确认后，状态变成了TIME_WAIT，等待2ML时间后，连接关闭，变为CLOSED状态，对于服务端来说情况是一样的。

2*MSL等待时间：

主动关闭时收到fin包的确认ack后就处于TIME_WAIT状态，此时需要等待2倍的MSL时间(Maximum Segment Lifetime)。是任何报文段被丢弃前在网络内的最长时间。TCP报文是以IP数据报在网络内传输的，而IP数据报限制生存时间是基于TTL字段，TTL并不是定时器而是基于跳数。

2MSL存在的原因有：

确认被动方已经收到了ack，如果对方没有收到ack，则又会发送一个fin，这样一个来回就是2MSL时间。
等待足够长的时间让这个连接的报文不会跟后面新建的连接报文混在一起。

TCP进行流量控制：

TCP进行流量控制的方法是采用可变大小的滑动窗口协议。具体方式为：在发送放接收到确认之前逐步扩大窗口大小，以1、2、3、4、16…等按指数规律翻倍，当出现超时，窗口降回到1，并设置门限阈值为目前拥塞窗口的一半大小，再以1、2、4、8…等指数规律增长，当达到设定的门限阈值时，每次的增长值变成1，即每次窗口大小只增加1。

传输层端口：

保留端口号1-1023，固定的分给一些应用协议使用。常用如下：

端口号	传输层协议	用途	端口号	传输层协议	用途
20	TCP	FTP 数据	80	TCP	Http
21	TCP	FTP 控制	110	TCP	POP3
23	TCP	Telnet 远程	161	UDP	SNMP
25	TCP	Smtp	162	UDP	SNMP(trap)
53	TCP/UDP	DNS	443	TCP	https
69	UDP	TFTP

注册端口号1024-49151，需要在IANA注册防止重复。

动态端口号49152-65535，用来分配给请求通信的客户进程。

完整端口对照表请参见附录二

电子邮件协议：

电子邮件服务有以下几种协议：SMTP、POP3、IMAP

SMTP（Simple Mail Transfer Protocol）：即简单邮件传输协议：是一组用于由源地址到目的地址传送邮件的规则，由它来控制信件的中转方式。

POP3(Post Office Protocol 3)：即邮局协议的第3个版本：它是规定个人计算机如何连接到互联网上的邮件服务器进行收发邮件的协议。

Internet Mail Access Protocol（交互式邮件存取协议）：IMAP是斯坦福大学在1986年开发的研发的一种邮件获取协议。

远程登录协议（Telnet）：

用户在本地使用虚拟终端（NVT）通过TCP连接可以登录到远程的主机或服务器，像使用本地主机一样使用远程资源。远程登录协议使用TCP和UDP端口23。

FTP文件传输服务：

文件传输服务： Internet 的入网用户可以利用“文件传输服务（ FTP ）”命令系统进行计算机之间的文件传输，使用 FTP 几乎可以传送任何类型的多媒体文件，如图像、声音、数据压缩文件等。FTP服务是由TCP/IP的文件传输协议支持的，是一种实时的联机服务。

FTP服务器使用20和21两个网络端口与FTP客户端进行通信，FTP服务器的21端口用于传输FTP的控制命令,20端口用于传输文件数据。

FTP主动与被动模式：

主动模式：

客户机与服务器之间建立连接时，客户机是大于1024的端口，服务器是 20 端口，服务器是 21 端口接收请求，20 端口给客户机回应。简化如下：

命令连接：客户端 >1024端口 -> 服务器 21端口

数据连接：客户端 >1024端口 <- 服务器 20端口</strong>

被动模式：

客户机与服务器之间建立连接都是在大于1024的端口上的，客户机的端口大于1024，服务器是 21 端口接收请求，从大于1024 端口给客户机回应。简化如下：

命令连接：客户端 >1024端口 -> 服务器 21端口

数据连接：客户端 >1024端口 -> 服务器 >1024端口

FTP常用命令：

Get：从远端传送文件至本地主机 Open ip：打开FTP

Dir：显示服务端那些文件可以下载 ！dir ：显示客户端目录文件

Put：上传文件 Bye：退出 Lcd：改变当前本地主机的工作目录

List：请求远端返回当前目录下的目录和文件

DHCP（动态主机配置协议）：

动态主机配置协议（Dynamic Host Configuration Protocol），简称DHCP，是一个应用于局域网的网络协议，该协议允许服务器向客户端动态分配IP地址和配置信息。

该协议位于OSI模型的应用层，使用UDP协议工作，主要有两个用途，一个是用于内部网或网络服务供应商自动分配IP地址给用户，另一个是用于内部网管理员作为对所有电脑作中央管理的手段。

DHCP服务端口是67和68：客户端从68端口请求配置。服务器从67端口回应请求。注：DHCP工作原理详请参见附录三。

DHCP具有以下功能：

1. 保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。

2. DHCP应当可以给用户分配永久固定的IP地址。

3. DHCP应当可以同用其他方法获得IP地址的主机共存（如手工配置IP地址的主机）。

4. DHCP服务器应当向现有的BOOTP 客户端提供服务。

DHCP有三种机制分配IP地址：

1) 自动分配方式（Automatic Allocation），DHCP服务器为主机指定一个永久性的IP地址，一旦DHCP客户端第一次成功从DHCP服务器端租用到IP地址后，就可以永久性的使用该地址。

2) 动态分配方式（Dynamic Allocation），DHCP服务器给主机指定一个具有时间限制的IP地址，时间到期或主机明确表示放弃该地址时，该地址可以被其他主机使用。

3) 手工分配方式（Manual Allocation），客户端的IP地址是由网络管理员指定的，DHCP服务器只是将指定的IP地址告诉客户端主机。

三种地址分配方式中，只有动态分配可以重复使用客户端不再需要的地址。

七、域名和地址：

域名系统DNS：

域名系统DNS（Domain Name System）是Internet上解决网上机器命名的一种系统，采用C/S模式服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。域名系统使用TCP和UDP端口53，对于每一级域名长度的限制是63个字符，域名总长度则不能超过253个字符。

名称解析方法：

Hosts表：是一个没有扩展名的文本文件。其中存放一些常用的主机域名和其对应的IP地址映射，文件中每一行对应一个条目。

NIS系统：由sun公司开发的域名系统。用于中小型系统。

DNS系统：规定域名中的标号由英文字母和数字组合而成，每个标号不能超过63个字符，为方便记忆一般不超过12个字符。

DNS查询过程：

本地解析：客户机平时查询得到的DNS记录均保存在本地DNS缓存中，当有进程提出DNS查询时，DNS客户端先使用本地缓存的信息来解析，如果可以解析则直接应答查询而不必向DNS服务器查询。本地解析有两个来源：Hosts表和DNS缓存。

直接解析：如果本地解析不能找到DNS信息，则客户端向其所设定的DNS服务器发出查询请求，服务器收到请求后先检查本地配置区域中是否有所需查询信息，如果有则作出应答，如果没有，服务器则检查能否通过其缓存的查询信息来解析，如果有则作出应答。

递归解析：如果DNS服务器不能解析该查询信息，则服务器向上级DNS服务器查询，直到查询到该信息为止。（服务器默认配置）

迭代解析：如果DNS服务器不能解析该查询信息，服务器不会向上级DNS服务器查询该信息，而是将上级DNS服务器地址告诉给客户端，由客户端向上级DNS服务器查询该信息。

DNS对象类型与资源记录：

A：列出域名到IP地址的映射。 PTR：将IP地址转换为域名。

NS：指明区域中的所有域名服务器（包括主域名服务器和辅助域名服务器）。

MX：邮件交换。 CNAME：允许多个域名指向同一台服务器。

SOA：指明区域中的主域名服务器。

地址分解协议ARP：

处于网络层偏下层，实现IP地址和MAC地址的转换。

ARP工作原理：

如果主机A向主机B发送数据，首先发送端主机（主机A）检查自己的ARP缓存列表中是否有接收端主机信息，这个列表的生存周期为300S，如没有则广播发送ARP request（内容包括主机A的IP地址、MAC地址），接收端主机（主机B）返回ARP response单播（内容包括主机B的IP地址、MAC地址、主机A的IP地址、MAC地址）并将发送端主机（主机A）的IP和MAC映射关系缓存，而送端主机（主机A）收到ARP response后更新其ARP缓存表，并发送数据。

反向地址解析协议RARP：

由MAC查找IP，常用语无盘工作站，设备没有硬盘，无法记录IP，刚启动时发送一个广播，用MAC去获取IP。需要一台RARP服务器，记录MAC与IP的对应关系。

ARP欺骗和ARP病毒：

ARP病毒利用计算机根据ARP Response更新缓存的工作机制传播，中病毒计算机发送伪装的ARP Response包（如IP是网关地址，而MAC则为中病毒主机或者全1的广播地址）。

ARP缓存操作命令：

C：>arp –a：查看本机ARP缓存列表

C：>arp –d：清除ARP缓存列表

C：>arp –s IP MAC：地址 MAC地址绑定静态的IP和MAC映射，静态绑定优先级高于动态。例：c：>arp -s 10.0.0.200 00-1a-64-a1-52-f0

实例：

ARP请求报文：

ARP响应报文：

八、网关协议：

外部网关协议BGP：

是外部网关协议，不同自治系统AS之间。寻找较好的路由策略。通过TCP的179端口建立连接。支持子网VLSM和CIDR，是一种路径矢量协议。目前最新BGP4，而BGP4+支持IPV6。

BGP的四种报文：

打开Open；更新Update；保持活动状态Keepalive；通告Notification。

内部网关协议RIP：

距离矢量算法，计算跳数，最大15跳，16跳不可达。30s更新、180s不存在、240s删除。支持等费用负载均衡和链路冗余。使用UDP的520端口。

RIPV1和RIPV2区别：

RIPV1：有类不携带子网掩码，采用广播更新，周期性更新30s，不支持VLSM、CIDR，不提供认证。

RIPV2：

无类携带子网掩码，采用组播224.0.0.9，采用触发更新，支持VLSM、CIDR，提供明文和MD5认证。

防止环路的办法：

最大跳数：当一个路由条目发送出去会自加1跳，跳数最大为16跳，意味着不可达。

水平分割：一条路由信息不会发送给信息的来源。

反向毒化的水平分割：把从邻居学习到的路由信息设为16跳，在发送给那个邻居。更安全。

抑制定时器和触发更新也可以防止环路。

开放式最短路径优先协议（OSPF）：

OSPF是一种内部网关协议。用于在单一自治系统（这个网络单位可以是一个简单的网络也可以是一个由一个或多个普通的网络管理员来控制的网络群体，它是一个单独的可管理的网络单元，例如一所大学，一个企业或者一个公司个体）内决策路由。OSPF分为OSPFv2和OSPFv3两个版本,其中OSPFv2用在IPv4网络，OSPFv3用在IPv6网络。可用于大型网络。

OSPF区域类型：

每个OSPF区域被指定了一个32位的区域标识符，用点分十进制表示。

主干区域：连接其他区域都经过主干区域，接受任何路由信息。

标准区域：接受任何路由信息。

村根区域：只接受本区域以外的路由信息。

完全存根区域：只接受本区域内的路由信息，其他一概不接收。Cisco特有。

不完全存根区域：除接受本区域内的路由信息，还接受类型7的。

OSPF根据物理连接和拓扑结构，分为以下网络类型：

P2P网络（点到点网络）：

P2P网络连接了一对路由器，广播、组播数据包都可以转发。

P2P网络的例子：两台通过PPP（Point-to-Point Protocol）链路相连的路由器网络。

广播型网络：广播型网络支持两台及两台以上的设备接入同一共享链路且可以支持广播、组播报文的转发，是OSPF最常见的网络类型。

NBMA网络（点到多点非广播）：与广播型网络不同的是NBMA网络默认不支持广播与组播报文的转发。在NBMA网络上，OSPF模拟在广播型网络上的操作，但是每个路由器的邻居需要手动配置。NBMA（non-broadcast multiple access）型网络的例子：通过全互连的帧中继链路相连的路由器网络。

P2MP网络（点到多点网络）：将一个非广播网络看成是一组P2P网络，这样的非广播网络便成为了一个点到多点（P2MP）网络。在P2MP网络上，每个路由器的OSPF邻居可以使用反向地址解析协议（Inverse ARP）来发现。P2MP可以看作是多个P2P的集合，P2MP可以支持广播、组播的转发。

没有一种链路层协议默认属于P2MP类型网络，也就是说必须是由其他的网络类型强制更改为P2MP。常见的做法是将非完全连接的帧中继或ATM改为P2MP的网络。

除了上述四种网络类型外，还有一种虚拟链路类型--虚连接

骨干区域必须是连续的，但在物理上不连续的时候，可以使用虚连接使骨干区域在逻辑上相连。虚连接可以在任意两个区域边界路由器上建立，但要求这两个区域边界路由器都有端口连接到一个共同非骨干区域。这个非骨干区域成为Transit区域。

虚连接技术虽然理论上使骨干区域可以在物理上不连续，但在实际组网时是不推荐的。

虚连接是属于骨干区域(Area 0)的一条虚拟链路

网络类型	Hello时间	选举DR/BDR	邻居建立方式
点到点(p2p)	10s	否	自动
点到多点(p2mp)	30s	否	自动
广播(Boradcast)	10s	是	自动
非广播(Non-B)	30s	是	手工
点到多点非广播(NBMA)	30s	否	手工

OSPF路由器分类：

根据不同区域之间的功能分为：BR、IR、ABR、ASBR。

OSPF的五种报文类型：

OSPF邻接关系主要分为以下七个步骤：

DOWN：

刚开始大家都相互不认识，也没有兴趣认识对方。(这时就是Down 状态)

INIT：

这时候你想要加对方的微信号，肯定要备注上你是谁谁谁。(这时OSPF进入Init)

TWO WAY：

对方看你备注的信息，也同意你的好友请求，这时候双方也知道各自的微信号啥啥的(router-id)。(这时就进入Two way状态)

然后接着呢，有20个人想要一起沟通，那就组建一个群吧，那谁当群主(DR/BDR)呢，所有人都想当群主，大家都得亮出你们的能力(优先级越大越优)谁牛逼？如果大家的能力都差不多该如何是好呢？那么就比比微信号(router-id越大越优)，通过这样就把群主选出来了。

注意:群主确定后就算后续有更牛逼的人加入，也不会成为群主(DR不抢占)。

那么选群主有什么好处呢？

比如没有群主，现在微信群有20个人，所有人都要知道其他人的手机号该怎么办？20个人都发送一遍自己的手机号信息到微信群里面，每个人也就是20个人，都得记录除了自己以外的19个人的的手机号，那这时所有人的总记录次数是20✖️19=380，对应的公式就是N✖️(N-1)，随着人数增多每个人所需要记录的次数就越多。

如果有群主，群里现在20个人，还是一样群里所有人都要知道其他人的的手机号，20个人都发送一遍自己的手机号信息到微信群里面，只有群主(DR/BDR)负责统一收集除自己以外的19个人的手机号，然后把手机号进行收集打包发送给非群主的(DRother)19个人，那么群主一共收集了19次，剩下19人只接收群主整理后的信息1次，那这时所有人的总记录次数是 19+19=38次，人数越多选举群主优势越明显。这就是在多人群(广播型多路访问环境)内交流选出群主的好处。

不选群主的情况：

那么肯定人问？如果是两个人交流(点对点)呢？这时候还选群主吗？明显不需要，因为选举群主没那么容易，又要比能力，有得比微信号，所以这个选举的周期就比较长(通常20S左右)，所以只有两个人的情况下不需要拉群了(链路类型设置为point-to-point)，这时候就可以直接跳过选群主(Two way)的环节。

EXSTART：

该选的群主也已选好，该直接沟通也确定了。(这时OSPF 进入到 Exstart 状态)

这时候群里面的人要相互自我介绍(DBD)，那谁来确定先从谁开始呢？这可不是群主 (DR/BDR) 的任务，要选出一个管理员(master)去管理大家自我介绍发言顺序，那这个管理员怎么选？反正都知道大家的微信号(router-id越大越优)那就比微信号吧。

如果就两个人呢?虽然不用拉群，但这时候要确定谁先发。好吧那个人PK下微信号(router-id越大越优)，谁牛逼谁就是管理员(master)。

注:这个管理员(master)是可以抢占的，如果后面加入进来的微信号(router-id)更优就会抢占成为管理员。

EXCHANGE：

好吧，这时候群主管理员(master)都完活了。(这时OSPF进入Exchange状态)

群里面大家需要相互了解各自，前面已经确定发言顺序，就从自我介绍(DBD)开始，按照管理员(master)安排的顺序开始发送。

LOADING：

大家的自我介绍(DBD)都发送完成了。(这时OSPF进入Loading)。这时大家都有了群里面人的自我介绍，比如有些土豪自我介绍的时候说有三套房子，多本IE证书。这时候群里就有人就询问三套房子在哪、多大啊(LSR)，(PS：IE证书是啥，房子才是关键)，土豪知无不言言无不尽将回复内容发送给群主(DR):"上海三套房，每套150平米(LSU)"，这些信息都经过群主(DR)收集，同一样其他人回复的信息也经过群主(DR)收集，群主收集后打包一次性发送给所有人，接收到信息的人回复:"好厉害啊(LSack)"，大家通过询问、回答、回复确认这种方式相互了解各自信息，并把回答的信息(LSU)进行记录在本子上(LSDB)。

FULL：

当群里所有人都知道大家的信息之后。(这时OSPF进入FULL也就是邻接)

群里关系开始稳定，开始冷清，除非这时候又有谁又买了房啊，更新了手机号啊(LSU)，这时候又开始发送询问(LSR)、回答(LSU)、回复确认(LSack)。

正常的时候没啥事大家只在群里每天(10秒)都发我还活着的信息(hello)，群里还规定如果有人4天(40秒)都不发活着的信息，就把他T出(down)微信群。

比较长的周期之后担心大家遗忘了其他人的信息(LSU)，群里规定在30天(30分钟防洪LSA)时间每个人都要重新发一遍自己所有信息(LSDB)，然后又开始询问(LSR)、回答(LSU)、回复确定(LAack)。如果群里有人每天都发存活的信息(hello)，但就是懒得更新信息(LSU)，大家忍耐了60天(60分钟)，这时就果断的把他从群T出(down)。

九、路由器技术：

NAT：网络地址翻译，解决IP短缺，路由器内部和外部地址进行转换。

静态地址转换：静态NAT （一对一）

静态NAT，内外一对一转换，用于web服务器，ftp服务器等固定

IP的主机服务器。

动态地址转换：动态NAT （多对少）

内外多对少转换，用于内部局域网较多用户访问外部网络。外部需要地址池（pool）。

网络地址端口转换：NAPT（多对一）

内外多对一转换，使用外部一个IP，多个端口号对应内部IP。也称为IP伪装，可以隐藏内部主机。

QOS：

QOS（Quality of Service，服务质量）：指一个网络能够利用各种基础技术，为指定的网络通信提供更好的服务能力，是网络的一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术。

QoS提供以下三种服务模型：Best-Effort service（尽力而为服务模型），Integrated service（综合服务模型，简称Int-Serv），Differentiated service（区分服务模型，简称Diff-Serv）

Best-Effort service（尽力而为服务模型）：

Best-Effort服务模型是一个单一的服务模型，也是最简单的服务模型。对Best-Effort服务模型，网络尽最大的可能性来发送报文。但对延时、可靠性等性能不提供任何保证。

Best-Effort服务模型是网络的缺省服务模型，通过FIFO（first in first out 先入先出）队列来实现。它适用于绝大多数网络应用，如FTP、E-Mail等。

Integrated service（综合服务模型，简称Int-Serv）：

Int-Serv服务模型Int-Serv是一个综合服务模型，它可以满足多种QoS需求。该模型使用资源预留协议（RSVP），RSVP运行在从源端到目的端的每个设备上，可以监视每个流，以防止其消耗资源过多。

这种体系能够明确区分并保证每一个业务流的服务质量，为网络提供最细粒度化的服务质量区分。但是，Inter-Serv模型对设备的要求很高，当网络中的数据流数量很大时，设备的存储和处理能力会遇到很大的压力。Inter-Serv模型可扩展性很差，难以在Internet核心网络实施。

Differentiated service（区分服务模型，简称Diff-Serv）：

Diff-Serv服务模型Diff-Serv是一个多服务模型，它可以满足不同的QoS需求。与Int-Serv不同，它不需要通知网络为每个业务预留资源。区分服务实现简单，扩展性较好。

多协议标签交换MPLS：

多协议标签交换，属于2.5层，一般认为是第三层交换，硬件交换、速度快，一次路由，多次交换。用标签交换代替复杂的路由运算。

MPLS基本原理：标记边缘路由器LER，标记交换路由器LSR。

MPLS转发等价类(FEC)，把等价的通信流汇聚转发。标记具有局部性。提供QoS、粒度控制、负载均衡等。

十、IP组播：

通常一个IP地址代表一个主机，但D类地址指向网络中一组主机。由一个源向一组主机发送信息的传输方式。

IP组播用途：用于视频点播、网络电视、视频会议等点到多点的业务。

IP组播地址分为三类：

保留组播：224.0.0.0~224.0.0.255用于路由协议，如224.0.0.1代表所有主机，224.0.0.2代表所有路由器。

用户组播：224.0.1.0~238.255.255.255，全球范围分配，类似公网IP。

本地组播：239.0.0.0~239.255.255.255本地子网分配，类似私网IP。

常考IP组播地址：

224.0.0.1：所有主机的地址 224.0.0.2：所有组播路由器的地址

224.0.0.5：所有ospf路由器 224.0.0.6：ospf DR/BDR

224.0.0.9：rip-2路由器 224.0.0.10：Eigrp路由器

224.0.0.12：dhcp 服务器/中继代理 224.0.0.13：所有pim路由器

组播MAC地址：01-00-5e-xx-xx-xx

Internet 组管理协议（IGMP（Internet Group Management Protocol）

管理主机加入或离开组播组。IGMP封装在IP中，协议号2。

IGMPv3报文：分为三种：

成员资格询问报文：组播路由器发出，询问是否有主机加入组播。

成员资格报告报文：主机加入组播组。

组记录报文：记录组播的状态和信息。

IP组播路由协议：

用来建立组播树，是实现组播传输的关键技术。源分发树和共享分发树。

PIM协议无关组播：

PIM-DM密集模式PIM：

密集模式PIM。用于组播成员集中，且较多，如局域网。采取“泛洪扩散-修剪丢弃”维护组播分发树。使用“推送”的机制，关键技术是利用反向通路，使用自己找回来的路径。

使用源分发树：以组播源为根节点构造到所有组播组成员的生成树，通常也称为最短路径树（SPT）

DVMRP：距离矢量组播路由协议

MOSPF：组播开放式最短路径优先

CBT：基于核心的树

PIM-SM：稀疏模式PIM

用于组播成员较少，且稀疏分布，如广域网。采用选择性的建立和维护分布树。只有发送请求的才会收到数据。使用“拉”的机制，

使用共享分发树：确定一个汇聚点。先发给汇聚点，再有汇聚点发给其他路由器。
<h2>第八章：下一代互联网</h2>
一、IPV6：

IPV6优点：

更快的传输速度：更大的地址空间、扩展地址层次结构、灵活的首部格式；

更安全的传输方式：改进的选项、允许协议继续扩充；

支持即插即用（自动配置）；支持资源预分配；对移动端更加友好；

IPV6数据报：

IPV6数据报包有一个40字节的基本首部，其后允许有0个或多个扩展首部，然后是数据部分，扩展首部和数据部分统称为有效载荷。

IPv6去除了IPv4报头中的头部长度、标识、标志、段偏移、校验和、选项、填充字段，增加了流标签字段，因此IPv6报头处理比IPv4报头处理大大简化，提高了处理效率。

IPV6数据报示例：

	有效载荷
	选项
基本首部	扩展首部1	…	扩展首部N	数据部分
IPV6数据报

IPV6地址：

IPV6地址空间采用128位地址长度。

表示方法为：

IPV6地址长度128位，采用冒号间隔十六进制表示。

某些IPV6地址中有一长串0，此时可将连续的0压缩为一个0。也可以将连续多个0000用双冒号(：：)替代。

例：21DA：0000：0000：0000：00C2：0EF0：A57E：78EA

21DA：0：0：0：C2：EF0：A57E：78EA

21DA：：C2：EF0：A57E：78EA

0压缩只能出现1次，多次出现会使得地址不确定。

IPV6扩展了地址分级概念，使用以下三个等级：

全球路由选择前缀，48bit。

子网标识符，16bit

接口标识符，64bit

如下图所示：

	第一级	第二级	第三级
位	0 48	60	127
	全球路由选择前缀（48bit）	子网标识符（16bit）	接口标识符（64bit）

IPV6三种地址类型：

单播地址（Unicast）：又叫单目地址，就是传统的点对点通信，单播表示一个单接口的标识符。IPv6单播地址的类型又分为：可聚合全球单播地址、链路本单播地地址和站点本地单播地址。

可聚合全球单播地址：

相当于IPv4的公网地址，这类地址由供应商提供，或由交换局提供。地址的前3位格式固定为001，用于区分其他地址类型。

TLA ID表示顶级聚合体、NLA ID表示下级聚合体，这两个都是运营商管理的路由。SLA ID表示节点级聚合体是本地站点管理的16位子网ID，8位的Res字节段是以备将来TLA或NLA扩充之用的为保留位。64位接口ID是用于识别SLA网络中某个接口的唯一性。

链路本地单播地址：

链路本地单播地址是处于可聚集全球单播地址外的，只限于直连链路，是单网络链路上给的主机编号，作用是进行链路上主机的通信。当你配置一个单播IPv6地址的时候，接口上会自动配置一个链路本地单播地址。

链路本地单播地址格式为：1111111010（前10 bit为这个定值，换成16进制为FE80）00000......00000（接着这54 bit为0），剩下的64 bit为接口地址。网络中路由器对具有链路本地地址的包是不处理的，即路由器不支持链路本地地址的通信。

站点本地地址：

类似于IPV4中的私有地址，站点本地单播地址用于对特定范围的通信也可说成是规定站点内的通信，不能与站点外地址通信，也不能直接连接到全球Internet。类似于IPv4的企业专用地址Intranet。

站点本地单播地址格式为：1111111011（前10bit为这个定值，换成16进制为FEC0）00000......00000（接着这38 bit为0）后16bit为子网标识符，剩下的64bit为接口地址。

组播地址（Multicast）：

组播地址又称多点传送地址或者多播，即一组接口的标识符，只要存在合适的多点传输的路由拓扑就可将设有多播地址的包传输到这个地址识别的那组接口，组播地址不可作为源地址出现在报文当中。

IPv6组播地址格式：

组播地址开始的前8位标识一般都是1111 1111。旗标（Flags）由4位组成：前面3位为保留位，初始设置为0，后1位为T，当T=0，旗标指出的多播地址是Internet Assigned Numbers Authority（IANA）配置的永久分配（知名）的多播地址，当T=1旗标指出的多播地址是一个非永久分配（临时）的多播地址。领域（Scope）字节段为4位，是用来识别多播传输的IPv6网络范围。

任播地址（Anycast）：

又称之为任意点传送地址，它也是一个标识符可以识别多重接口的情况，只要有合适的路由拓扑，即可以将设有任意传播地址的数据包传给该地址识别的最近的接口之一。最近的接口是指最短的路由距离。任意点传送地址空间可以认为是从单点传送地址空间中划分出来的，它可以是表示单点传送地址的任何形式。它与单点传送地址间结构上是没有差别的。任意点传送地址仅分配给路由器。子网-路由任意点传送地址是必须预先定义的，根据给定接口的子网前缀产生，要构建一个子网路由任意点地址必须固定子网前缀的位数，余下位数必须设定为0。

特殊地址：

全0的地址表示为（：：/128）表示为一个未指明的地址，不能将该地址分给一个接口或者目的地址。

回环地址：（：：1）用于标识一个回环接口，相当于IPV4中的127.0.0.1。ping：：1可以测试本地IPV6协议栈是否正常。

与IPV4兼容地址：（0：0：0：0：0：0： 192.168.0.1，表示为：：192.168.0.1）用于使用公共IPV4地址的IPV6网络。

IPV4地址映射：

0000：0000：0000：0000：0000：FFFF：192.168.0.1

表示为：：FFFF：192.168.0.1

用于仅支持IPV4的节点表示IPV6地址。

6to4地址：用于IPV4网络上传输IPV6的数据包。

完整的6to4主机地址由6to4地址的48位格式前缀（2002：a.b.c.d：：/48）和其后面的子网标识符及接口标识符组成。

ISATAP地址：

站点内自动隧道寻址协议(Intra-Site Automatic Tunnel Addressing Protocol)地址的接口标识符必须如下：0000：5EFE：W.X.Y.Z

注：ISATAP（Intra-Site Automatic Tunnel Addressing Protocol）是一种IPv6转换传送机制，允许IPv6数据包通过IPv4网络上双栈节点传输。不同于6over4，ISATAP视IPv4网络为一个非广播多路访问网络的数据链路层，因此它不需要底层的IPv4网络基础设施来支持多播。

二、移动IP

移动IP即Mobile IP是为了满足移动节点在移动中保持其连接性而设计的。Mobile IP现在有两个版本，分别为Mobile IPv4(RFC 3344，取代了RFC 3220，RFC 2002)和Mobile IPv6(RFC 3775)。目前广泛使用的仍然是Mobile IPv4...

基于IPv4的移动IP定义三种功能实体：移动节点（mobile node）、归属代理（home agent）和外部代理（foreign agent）。归属代理和外部代理又统称为移动代理。移动IP技术的基本通信流程如下：

（1）远程通信实体通过标准IP路由机制，向移动结点发出一个IP数据包；

（2）移动结点的归属代理截获该数据包，将该包的目标地址与自己移动绑定表中移动结点的归属地址比较，若与其中任一地址相同，继续下一步，否则丢弃；

（3）归属代理用封装机制将该数据包封装，采用隧道操作发给移动结点的转发地址；

（4）移动结点的拜访地代理收到该包后，去其包封装，采用空中信道发给移动结点；

（5）移动结点收到数据后，用标准IP路由机制与远程通信实体建立连接。

三、IPV4与IPV6协议技术过渡：

目前采取三种过渡方案：

双栈技术：同一个主机同时运行 IPv4 和 IPv6 两套协议栈，具有 IPv4/IPv6 双协议栈的结点称为双栈节点，这些结点既可以收发 IPv4 报文，也可以收发 IPv6 报文。双栈节点同时包含 IPv4 和 IPv6 的网络层，但传输层协议（如 TCP 和 UDP）的使用仍然是单一的。

隧道技术：隧道技术指将另外一个协议数据包的报头直接封装在原数据包报头前，从而可以实现在不同协议的网络上直接进行传输，这种机制用来在 IPv4 网络之上连接 IPv6 的站点，站点可以是一台主机，也可以是多个主机。隧道技术将 IPv6 的分组封装到 IPv4 的分组中，或者把 IPv4 的分组封装到 IPv6 的分组中，封装后的 IPv4 分组将通过 IPv4 的路由体系传输或者 IPv6 的分组进行传输。

NAT-PT 技术（协议翻译）：NAT-PT 技术附带协议转换器的网络地址转换器。是一种纯 IPv6 节点和 IPv4 节点间的互通方式，所有包括地址、协议在内的转换工作都由网络设备来完成。NAT-PT 包括静态和动态两种，两者都提供一对一的 IPv6 地址和 IPv4 地址的映射，只不过动态 NAT-PT 需要一个 IPv4 的地址池进行动态的地址转换。

NAT-PT 技术有个最大的优点就是不需要进行 IPv4、IPv6 节点的升级改造，而缺点也是十分明显的。缺点是 IPv4 节点访问 IPv6 节点的实现方法比较复杂，网络设备进行协议转换、地址转换的处理开销较大一般在其他互通方式无法使用的情况下使用。
<h2>第九章：网络安全</h2>
本章知识点：

网络安全概述★ 计算机病毒★★★ 加密技术★★★ 数字签名和报文摘要★★★

密匙的分配★★★ 防火墙技术★★ VPN技术★★★ 入侵检测和入侵防御技术★★★

一、网络安全概述：

网络安全五大基本要素：

机密性、完整性、可用性、可控性、可审查性。

网络安全威胁的主要种类：

窃听、假冒、重放、流量分析、拒绝服务、数据完整性破坏、非授权访问、陷门和木马、病毒和诽谤。

网络安全隐患：

物理安全隐患、软件安全漏洞、不兼容使用安全漏洞、选择合适的安全哲理。

网络攻击的手段：

被动攻击：

流量分析、截获。由于被动攻击不会对被攻击的信息做任何修改，因而非常难以检测，所以对抗被动攻击的重点在于预防，被动攻击不易被发现，因而常常是主动攻击的前奏。

主动攻击：

拒绝服务、篡改、伪造。对抗主动攻击的重点在于检测。常用的有：数据完整性检测、身份认证等…

其他攻击方式：

物理临近攻击、内部人员攻击（恶意及非恶意）和分发攻击。

网络安全措施：

数据加密、数字签名、身份认证、防火墙和入侵检测。

二、常见网络攻击方式：

拒绝服务攻击（DOS攻击）：

拒绝服务攻击实现的流程：攻击者大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

造成的危害：

消耗系统资源（带宽、内存、队列、CPU）；

导致目标主机宕机；

阻止授权用户正常访问服务（慢、不能连接、没有响应）；

分布式拒绝服务攻击（DDOS攻击）：

基于DOS攻击，借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。

其他常见的DOS攻击还有：SYN Flood、Ping of Death、Teardrop攻击、Land攻击、Smurf攻击、winnuke攻击等…

SQL注入攻击：

攻击原理：通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，获取攻击者想要取得的数据。具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力。

SQL 注入攻击属于数据库安全攻击手段之一，可以通过数据库安全防护技术实现有效防护，数据库安全防护技术包括：数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。

SQL 注入攻击会导致的数据库安全风险包括：刷库、拖库、撞库。

跨站脚本攻击：

跨站脚本攻击（也称为XSS）指利用网站漏洞从用户那里恶意盗取信息。

攻击原理：用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在这些链接中插入恶意代码，就能够盗取用户信息、破坏页面结构、重定向导其他网站等…

跨站脚本攻击(Cross Site Scripting)缩写为CSS，但这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。因此有人将跨站脚本攻击缩写为XSS。如果你听到有人说 “我发现了一个XSS漏洞”，显然他是在说跨站脚本攻击。

三、计算机病毒与防治：

在考试中主要考察：计算机病毒前缀及病毒种类，常见于选择题。

计算机病毒定义：

计算机病毒指：人为编制可以被执行的能够破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

计算机病毒命名规则：

<病毒前缀>.<病毒名>.<病毒后缀>

其中：

病毒前缀指一个病毒的种类，用来区别病毒的种族分类。

病毒名指一个病毒的家族特征，用来区别和标识病毒家族。

病毒后缀指一个病毒的变种特征，用来区别具体某个家族病毒的某个变种。

常见的病毒前缀：Trojan（木马病毒）、Worm（蠕虫病毒）、Hack（黑客病毒）、Macro（宏病毒）、Script（脚本病毒）以及系统病毒（Win32、PE、Win95、W32、W95、WM97等…）

病毒种类及特征：

病毒类型	特征	危害
系统病毒	*感染DOS、Windows下的.exe、.dll、.com、文件**
引导型病毒	启动系统时病毒被触发	s
宏病毒	针对Office的病毒，使用Office宏语言编写	只感染Office文档，其中以WORD为主
VB脚本病毒	通过IE浏览器激活	用户浏览网页时感染，比较容易清除
蠕虫病毒	有些通过电子邮件附件发出，有些利用系统漏洞进行攻击	破坏文件、造成数据丢失，使系统无法正常运行，是目前危害性最大的病毒
木马病毒	通常为病毒携带的一个附属程序	夺取计算机控制权
黑客病毒	利用系统漏洞进行入侵的工具	通常被计算机病毒携带，用以进行破坏

计算机病毒防治：

计算机病毒的预防方法可分以下几种：

安装杀毒软件及网络防火墙（或断开网络），计师更新病毒库；

及时安装操作系统补丁；

不访问安全性无法保证的网站；

下载文件后及时杀毒；

关闭多余端口，做到使电脑在合理的使用范围之内；

不使用修改版的软件，如果一定要用，在使用之前查杀病毒&木马，以确保安全。

四、加密技术：

将明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取的目的。

相关概念：

明文：加密前的原始数据。

密文：经加密处理后的明文信息。

加密：将明文转变为密文的过程。

解密：加密的反操作。

加密算法：加密时使用的变换规则，主要分为置换、异位和一次性填充。

置换：改变明文内容的表现形式，但内容元素的相对位置不变。

异位：改变明文内容相对位置，但表现形式不变。

加密技术的分类：

加密技术分为两类：对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（DES，Data Encryption Standard）算法为典型代表，非对称加密通常以RSA（Rivest Shamir Ad1eman）算法为代表。

对称加密：

对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥，或者从一个可以导出另一个，拥有加密能力就拥有解密能力。

特点：使用简单快捷，保密强度高，开放性差，需要可靠的密钥传递渠道。

常用算法：

DES、3DES、IDEA、TDEA、AES、RC2、RC4、RC5。

DES：属于对称密码体制，将分组为64位的明文加密称64为密文。其密钥长度为56位附加8为奇偶校验。加密过程执行16个加密循环。

三重DES：使用两个密钥，执行三次DES算法，在第一和第三层使用相同的密钥，其主密钥长度为112位。

IDEA：属于对称密码体制，将分组为64位的明文加密成64为密文。使用128位密钥，加密过程执行17个加密循环。

AES支持128、192和256位三种密钥长度。

非对称加密：

又称公开密钥，分为公开密钥（publickey）和私有密钥（privatekey），公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

非对称密码体制适用于开放的使用环境，密钥管理简单，但工作效率低于对称密码体制，常用于实现数字签名与验证。

特点：

加密速度慢、开销大，不适用于长明文加密，常与对称密码体制相结合使用。

常用算法：

RSA、Elgamal、背包算法、Rabin、Diffie-Hellman、ECC（椭圆曲线加密算法）。使用最广泛的是RSA算法，Elgamal是另一种常用的非对称加密算法。

RSA算法：RSA密钥至少为500位长，一般推荐使用1024位。加密的计算量很大。

五、数字签名：

数字签名基于非对称加密体制，主要功能有：确保信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

数字签名是个加密的过程，数字签名验证是个解密的过程。其中认证又可分为实体认证和消息认证，主要是解决网络通信过程中通信双方身份认可。

实体认证：识别对方身份防止假冒，可采用数字签名。

消息认证：验证消息在传送或存储过程中有没有被篡改，可采用报文摘要。报文摘要可以为指定的数据产生一个不可仿造的特征。

三种认证技术：基于共享密钥的认证，needham-schroeder认证协议，基于公钥认证。

六、报文摘要：

报文摘要是指单向哈希函数算法将任意长度的输入报文经计算得出固定的输出称为报文摘要。所谓单向是指该算法是不可逆的。传输的报文（数据）一旦被修改那么计算出的摘要就不同，只要对比两次摘要就可确定报文（数据）是否被修改过。

报文摘要主要的方法有：MD5、SHA和HMAC

MD5算法：以任意长的报文作为输入，输出产生一个128位报文。

SHA（安全散列算法）：该算法建立在MD5基础上，输入报文小于位，产生160位的报文摘要。

HMAC（散列式报文认证码）：HMAC-MD5被用于Internet安全协议IPSEC的验证机制。

密钥管理：

密钥管理是指从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、储存、备份/恢复、装入、分配、保护、更换、控制、丢失、吊销和销毁。

七、数字证书：

数字证书：又称数字标识，是经认证中心CA（Certificate Authority）数字签名的包含公开密钥拥有者信息和公开密钥的文件。用户使用自己的私钥进行解密和签名，数字证书使用公钥进行加密和验证。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书的格式遵循X.509国际标准。

X.509证书标准包括：版本号、序列号、签名算法、发行者、有效期、主体名、公钥、发行者ID、主体ID、扩充域和认证机构的签名。

应用层安全协议：

安全套接层SSL：

SSL介于Http协议和TCP协议之间的可选层。当发出访问请求时，SSL层借助下层协议的信道安全协商出一份加密密钥，并用此密钥加密Http请求；在TCP层与服务端口建立连接，传输SSL层处理后的数据，接受端与此过程相反。SSL协议使用端口号为443。

SSL三大功能：SSL服务器鉴别、加密的SSL会话、SSL客户鉴别（可选）

SSL分为握手协议、记录协议及警告协议。握手协议用来协商密钥；记录协议用于定义传输格式。

传输层安全标准TLS（Transport Layer Security）：

基于SSL发展而来，用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成： TLS 记录协议（TLS Record）和 TLS 握手协议（TLS Handshake）。工作于TCP/IP之上，HTTP协议之下。它提供了客户机与服务器之间的安全连接。

安全超文本传输协议S-HTTP：

该协议为HTTP客户机和服务器提供了多种安全机制，是结合HTTP而设计的消息安全通信协议。工作在应用层。

HTTPS是一种安全HTTP协议，它使用SSL来保护信息安全，使用TCP的443端口来发送和接收报文。工作在传输层。

安全电子交易set：

SET使用“电子认证”技术为保密电子交易安全进行的基础，认证过程使用RAS和DES算法。

提供的3种服务：

（1）在交易的双方之间提供安全信道

（2）使用X.509证书实现安全电子交易

（3）保证信息的机密性

SET发生的先决条件：每个客户必须有一个唯一的电子（数字）证书，且由客户设置口令，并利用这个口令对数字证书、私钥、信用卡号及其它信息进行加密存储。

PGP（Pretty Good Privacy）：更好地保护隐私

PGP工作过程：用一个随机生成的密钥（每次均不同）使用IDEA（128位密钥）对明文进行数据加密，使用MD5进行数据完整性认证，然后用RSA对该密钥进行加密。既有RSA的保密性，又有IDEA的快捷性。

主要特征：

（1）使用PGP对邮件加密，防止非法阅读。

（2）给邮件加数字签名，使得收件人能够确认发件人。

（3）能够机密的传输文件。

Kerberos：

Kerberos属于对称密钥（DES算法），在不安全的网络环境中为用户对远程服务器的访问提供自动鉴别、数据完整性和安全性服务、以及密钥管理

Kerberos要求用户使用用户名和口令作为自己的标识，而客户机与服务器之间的交互则使用对应的用户名和口令生成的会话密钥。当用户需要通信时，用户先向认证服务器AS申请初始票据；用户收到AS响应的初始票据后，在向票据授权服务器获得TGS申请会话密钥；用户收到TGS响应的会话密钥后，再向服务器请求相应的服务。

为了防止中途报文被截获再重发，通信双方提供时间戳，再根据对方发来的时标判断这个请求是否是攻击者截获的旧信息。

Kerberos系统的目标有三方面的：认证、授权和记帐审计。

KerberosV4系统中使用时间戳防止重发。

KerberosV5系统使用seq序列号来防止重发，目前主流是V5。

八、Windows五种身份认证：

匿名认证:不需要提供经过身份认证的用户凭据；

基本身份认证：用户必须输入ID，访问是基于用户ID的。但该方式的用户ID和密码以明文形式在网络上传输。

集成Windows身份验证：该验证使用了KerberosV5，能够提供较高的安全级别。

摘要式身份验证：该方式需要用户ID和密码，可提供中等安全级别。与基本身份验证相同，但克服可基本身份验证的缺点。

九、计算机系统安全等级:

美国国防部提出可信计算机系统评测标准TCSEC（习惯上称橘皮书）。TCSEC将系统分成ABCD四类7个安全级别：

D级：级别最低，保护措施少，没有安全功能；

C级：自定义保护级。

C1级：自主安全保护级。

C2级：受控访问级实现更细粒度的自主访问控制，通过登录规程、审计安全性事件以隔离资源。Windows NT 4.0属于C2级。

B级：强制保护级

B1标记安全保护级

B2结构化安全保护级

B3安全域

A级：可验证的保护

A1：拥有正式的分析和数学方法。

十、中国计算机信息系统安全保护等级划分：(GB 17859-1999)：

GB 17859－1999《计算机信息系统安全保护等级划分准则》中规定了计算机系统安全保护能力的五个等级：

第一级：用户自主保护级；

第二级：系统审计保护级；

第三级：安全标记保护级；

第四级：结构化保护级；

第五级：访问验证保护级。

十一、防火墙（Firewall）：

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。

注：华为的防火墙可将网络划分为三个区域：

链接外部网络的不信任（Untrust）区域；连接内部用户主机的信任（Trust）区域以及连接需要对外提供应用服务的DMZ（DemilitarizedZone）区域。

防火墙的种类：

防火墙从诞生开始，已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。常见的防火墙属于具有安全操作系统的防火墙，例如NETEYE、NETSCREEN、TALENTIT等。

从结构上来分，防火墙有两种：代理主机结构和路由器+过滤器结构。

从原理上来分，防火墙则可以分成4种类型：

特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙，构筑多道防火墙“防御工事”。

根据工作在OSI模型不同层次可以划分为：包过滤防火墙、代理型防火墙、状态检测防火墙。

包过滤防火墙：

包过滤是一种内置于Linux内核路由功能之上的防火墙类型，其工作在网络层。防火墙用一个软件查看所流经的数据包的包头（header），由此决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过）。数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的。

代理型防火墙：

代理服务型防火墙是防火墙的一种，代表内部网络同互联网进行通讯的防火墙，其工作在应用层。当代理服务器收到一个客户的连接请求时，先核实该请求，然后将处理后的请求转发给真实服务器，在接受真实服务器应答并做进一步处理后，再将回复交给发出请求的客户。代理服务器在外部网络和内部网络之间，发挥了中间转接的作用。所以，代理服务器有时也称作应用层网关。

状态检测防火墙：

状态检测防火墙采用了状态检测包过滤的技术，是传统包过滤上的功能扩展。其工作在网络层。状态检测防火墙在网络层有一个检查引擎（动态生成的连接状态表 (Connection State Table)）截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。

防火墙配置：

防火墙配置有三种：Dual-homed方式、Screened- host方式和Screened-subnet方式。

Dual-homed方式：此方式最简单， Dual-homed Gateway放置在两个网络之间，这个Dual-homed Gateway又称为Bastion host。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。

Screened-host方式：Screening router为保护Bastion host的安全建立了一道屏障。它将所有进入的信息先送往Bastion host，并且只接受来自Bastion host的数据作为出去的数据。这种结构依赖Screening router和Bastion host，只要有一个失败，整个网络就暴露了。

Screened-subnet方式：包含两个Screening router和两个Bastion host。在公共网络和私有网络之间构成了一个隔离网，称之为“停火区”（DMZ，即Demilitarized Zone）, Bastion host放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。

十二、VPN技术：

VPN（虚拟私人网络，Virtual Private Network）：是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。它利用隧道协议（Tunneling Protocol）来达到保密、发送端认证、消息准确性等私人消息安全效果，这种技术可以用不安全的网络（例如：互联网）来发送可靠、安全的消息。

VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。

VPN分类：PPTP VPN、L2TP VPN、MPLS VPN、IPsec VPN、GRE VPN、SSL VPN

VPN的隧道协议主要有三种，PPTP、L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec、GRE 是第三层隧道协议。

IPsec VPN：

IPsec（Internet Protocol Security）：Internet协议安全性，是一种开放标准的框架结构，提供了一种保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet以及漫游客户端之间的通信的能力。

IPsec工作流程：在特定的通信方之间通过加密和数据摘要等手段，保证数据包在互联网上传播时的私密性、完整性及真实性。

IPsec两个安全协议：

AH：提供完整性和数据源认证功能，不提供机密性保护。

ESP：AH+机密性保护。

IPsec两种模式：

传输模式：不改变原有的IP包头，常用于主机与主机之间通信。

隧道模式：增加新的IP首部，常用于私网与私网之间通过公网进行通信。

注：AH(AuthenticationHeader)协议：用来向 IP通信提供数据完整性和身份验证,同时可以提供抗重播服务。

ESP(EncapsulatedSecurityPayload)协议：提供 IP层加密保证和验证数据源以对付网络上的监听。

密钥管理协议（ISAKMP）：提供共享安全信息。Internet密钥管理协议被定义在应用层,IETF规定了 Internet安全协议和 ISAKMP(Internet Security Association and Key Management Protocol) 来实现 IPSec 的密钥管理,为身份认证的 SA 设置以及密钥交换技术。

MPLS VPN：

一种基于MPLS技术的IP VPN，是在网络路由和交换设备上应用MPLS（Multiprotocol Label Switching，多协议标记交换）技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN）。MPLS优势在于将二层交换和三层路由技术结合起来，在解决VPN、服务分类和流量工程这些IP网络的重大问题时具有很优异的表现。因此，MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好，成为在IP网络运营商提供增值业务的重要手段。MPLS VPN又可分为二层MPLS VPN（即MPLS L2 VPN）和三层MPLS VPN（即MPLS L3 VPN）。

SSL VPN：

是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP协议）为基础的VPN技术，工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入，为用户远程访问公司内部网络提供了安全保证。

十三、入侵检测系统IDS（Intrusion Detection Systems）：

主要功能：检测出正在发生的攻击活动、发现攻击活动的范围和后果、诊断并发现攻击者的入侵方式和入侵地点并给出建议、收集并记录入侵活动的证据。

IDS系统不仅能针对外部入侵，还可以检测、监控内部用户行为，防止出现内部攻击者。

IDS系统分类：基于主机的IDS、基于网络的IDS、分布式IDS。

IDS系统的服务功能：异常检测、滥用检测和攻击告警。

IDS部署位置：

（1）服务器区域的交换机上

（2）Internet接入路由器之后的第一台交换机上

（3）重点保护网段的局域网交换机上
<h2>第十章：操作系统与应用服务器</h2>
一、网络操作系统概述：

网络操作系统是指使网络上的计算机能方便而有效的共享资源，为网络用户提供所需的各种服务的软件和有关程序的集合。

目前计算机软件分为系统软件及应用软件两大类，而在系统软件中又可以分为操作系统、程序设计语言及数据库系统。目前流行的操作系统为Windows和Linux。

数据库系统主要指数据库管理系统，针对数据进行管理，使得数据的获取与使用更加科学。

程序设计语言分为：机器语言、汇编语言、高级语言、编译程序（整体将高级语言转化为低级语言，生成目标程序，相比翻译语言，效率更高）、翻译程序（翻译一条语句执行一条，不会有目标程序生成）以及4GL语言。

考点：编译程序和翻译程序最大的区别为是否有目标程序的生成。

二、五大管理功能：

进程管理：

进程（Process）是一个具有一定独立功能的程序关于某个数据集合的一次运行活动。它是操作系统动态执行的基本单元，在传统的操作系统中，进程既是基本的分配单元，也是基本的执行单元。进程分三部分：文本区域（text region）、数据区域（data region）和堆栈（stack region）。

文本区域存储处理器执行的代码（程序块）；数据区域存储变量和进程执行期间使用的动态分配的内存（数据块）；堆栈区域存储着活动过程调用的指令和本地变量（进程控制块）。

进程是一个动态的概念，是一个“执行中的程序”。程序是一个没有生命的实体，只有处理器赋予程序生命时（操作系统执行之），它才能成为一个活动的实体，我们才称其为进程。

三态模型和五态模型：

三态模型：

进程可能具有以下三种基本状态：

就绪(Ready)状态：

进程已处于准备好运行的状态，及进程已经分配到需要的系统资源，只要在获得CPU就可以执行。

执行(Running)状态：

指进程获得了CPU正在执行，在单处理机系统中，最多只有一个进程处于该状态。

阻塞(Block)状态：

指正在执行的进程，在执行过程中发生了某时间（如：I/O请求、申请缓冲区失败等）。

三态模型如图所示：

五态模型：

由于进程的不断创建，系统资源特别是主存资源已不能满足所有进程运行的要求。这时，就必须将某些进程挂起，放到磁盘对换区，暂时不参加调度，以平衡系统负载；可能引起挂起操作的原因：

终端用户的需要：当终端用户在运行程序期间发现有可疑问题，希望暂停程序的运行以便研究其执行情况或做一定的修改

父进程请求

符合调节的需要

操作系统的需要：有时希望挂起某些进程以便检查运行中的资源使用情况或进行记账

五态模型包含三态模型，包括：执行状态（运行状态）、活跃就绪状态、活跃阻塞状态、静止就绪状态、静止阻塞状态。

执行状态：

进程占有处理机正在CPU上执行的状态。

活跃就绪状态：

进程分配到除处理机以外的必须资源的状态。

活跃阻塞状态：

进程因等待某个事件的发生而放弃处理机进入等待状态。

静止就绪状态：

进程被移至磁盘镜像区中，此时进程只却处理机资源。

静止阻塞状态：

进程被移至磁盘镜像区中，此时进程除了缺处理机资源外，还缺其他资源。

五态模型如图所示：

死锁问题：

死锁指各并发进程彼此互相等待对方所拥有的资源，且这些并发进程在得到对方资源之前不会释放自己所拥有的资源。

产生死锁的原因在于：

竞争资源：当系统中供多个进程共享的资源如打印机、公用队列等，其数目不足以满足进程的需要时，会引起诸进程的竞争而产生死锁。

进程间推进顺序非法：进程在运行过程中，请求和释放资源的顺序不当，也同样会导致产生进程死锁。

产生死锁的四个必要条件：

互斥条件：某种资源一次只允许一个进程访问，即该资源一旦分配给某个进程，其他进程就不能再访问，直到该进程访问结束；

保持和等待条件：当请求的资源已被占用从而导致进程阻塞时，资源占用者不但无需释放该资源，而且还可以继续请求更多资源；

不剥夺条件：进程获得到的互斥资源不可被强行剥夺，换句话说，只有资源占用者自己才能释放资源；

环路等待条件：若干进程以不同的次序获取互斥资源，从而形成环形等待的局面，想象在由多个进程组成的环形链中，每个进程都在等待下一个进程释放它持有的资源。

避免死锁的方法：

死锁预防：1、破坏“占有且等待”条件2、破坏“不可抢占”条件3、破坏“循环等待”条件。

死锁避免：1、如果一个进程的请求会导致死锁，则不启动该进程。2、如果一个进程的增加资源请求会导致死锁，则拒绝该申请。

死锁检测：对进程需求的调度和申请都不做限制，允许系统进入到死锁状态。定期对系统进行检测，确定是否有死锁产生并用死锁接解除来解除。

死锁解除：1、抢占资源：从一个或多个进程中抢占足够数量的资源分配给死锁进程，以解除死锁状态。2、终止（或撤销）进程：终止或撤销系统中的一个或多个死锁进程，直至打破死锁状态。

相关计算：

系统不发生死锁的最少资源：

假设有进程数m，每条进程都需要n个资源，那么系统不发生死锁的最少资源数为：

银行家算法：

一种经典的死锁避免方法。基本思想：当某个进程提出申请时，必须判断将资源分配给该进程后是否会引起死锁。若不会，则进行分配；否则就不分配。可以保证在任何时刻至少有一个进程可以得到所需的全部资源而执行结束。

银行家算法分配资源原则：

当一个进程对资源的最大需求量不超过系统中的资源数时可以接纳该进程。

进程可以分期请求资源，但请求的总数不能超过最大需求量。

当系统现有的资源能满足进程尚需资源数时，对进程的请求可以推迟分配，但总能使进程在有限的时间里得到资源。

当系统现有的资源能够满足进程尚需资源时，必须测试系统现存的资源能否满足该进程尚需的最大资源数，若能满足，则按当前的申请量分配资源。否则要推迟分配。

相关计算：

例1.设系统中有三种类型的资源（A,B,C）和五个进程（P1，P2，P3，P4，P5），A资源的数量是17，B资源的数量是6，C资源的数量为19。在T0时刻系统的状态如下表：

资源进程	最大资源需求量	已分配资源数
资源进程	A B C	A B C
P1	4 0 11	4 0 5
P2	5 3 6	4 0 2
P3	4 2 5	2 1 4
P4	5 5 9	2 1 2
P5	4 2 4	3 1 3

系统采用银行家算法实施死锁避免策略，若当前系统剩余资源（A,B,C）分别为（2,3,3），下列哪一个序列是安全序列？

A.P3，P1，P4，P2，P5 B.P1，P3，P5，P2，P4

C.P4，P2，P3，P5，P1 D.P2，P3，P1，P4，P5

解析：我们首先算出当前系统剩余资源量：全部资源-已分配资源，可得剩余资源为：2.3.3，再计算各个进程仍需资源量：仍需资源=最大资源需求-已分配资源量，可得各进程仍需各资源量：P1：0.0.6；P2：1.3.4；P3：2.1.1；P4：3.4.7；P5：1.1.1；

再依次与各进程对比，看资源是否满足各进程需求，先满足能完成的进程已，完成的进程释放已分配资源。再重复以上过程，直到满足所有进程。

信号量与PV操作：

临界区：每个进程中访问临界资源的代码称为临界区。

信号量：是一种特殊的变量，表现形式是一个整形S和一个队列。可以将其看成为空闲资源数量计数器。当信号量为互斥信号量是其初始值为1，而信号量为同步信号量时，可以根据同步情况动态调整系统资源及进程资源即如果当前系统资源量可以满足进程，进程运行，不满足，进程等待。

PV操作：解决互斥和同步的间题。PV操作是分开来看的：

P操作：也称为(down)、(wait)操作，即申请资源的操作；使S=S-1，若S≥0，进程继续执行，若S<0，进程暂停执行，放入等待队列。 V操作：也称为up()、signal()操作，即释放资源的操作；使S=S+1，若S≤0，唤醒等待队列中的一个进程。注：互斥信号量初始值永远为1 存储管理：

即数据的存储方式和组织结构。实质是对存储“空间”的管理，主要指对主存的管理；其基本思想为：用外存来换取内存。管理方式可分为：页式存储、段氏存储、段页式存储。

页式存储：

基本原理：将各进程的虚拟空间划分为若干个长度相等的页，把内存空间与页相等的大小划分为大小相等的片或页面，采用请求调页或预调页技术实现内外存的统一管理。

主要优点：利用率高，产生内存碎片小，内存空间分配及管理简单。

主要缺点：要有相应的硬件支持，增加了系统开销；若请求调页的算法选择不当，则可能产生“抖动”现象。

段氏存储：

一个组也是由若干个具有逻辑意义的段组成。

主要优点：便于多道程序共享内存，便于对存储期的保护，各段程序修改互不影响。

主要缺点：内存利用率低，内存碎片浪费大。

段页式存储：

是分段式和分页式结合的存储组织方法。程序按照逻辑单位分成基本独立的段，再把每段分成固定大小的页。内存则等分成与上述页大小相等的页。程序对内存的调入或调出是按页进行的，但它又可按段实现共享和保护。

优点：具有空间浪费小、存储共享容易、存储保护容易、能动态连接。

缺点：由于管理软件的增加，复杂性和开销也随之增加，需要的硬件以及占用的内存也有所增加，使得执行速度大大下降。

页面置换算法：

最优算法（OPT）：

随机算法（RAND）：

先进先出算法（FIFO）：选择最早调入

最近最少使用算法（LRU）：

局部性原理：

存储管理策略的基础是局部性原理。

文件管理：

树形目录结构：

树形目录结构可以很方便地对文件进行分类，层次结构清晰，也能够更有效地进行文件的管理和保护。

绝对路径和相对路径：

绝对路径：完整的描述文件位置的路径就是绝对路径。

相对路径：所谓相对路径，顾名思义就是自己相对目标的位置，不论将这些文件放到哪里，只要他们的相对关系没变，就不会出错。

例如：

在同一个路径：直接写文件名称或"./文件名"比如："tp.jpg"或者"./tp.jpg"

在下一级路径：路径名称/资源名称：xxx/tp.jpg

在下下级路径：xx/xxx/tp.jpg

在上级路径：../资源名称：../tp.jpg

在上上级路径：../../tp.jpg

设备管理：

数据传输控制方式：

按照I/O控制功能的强弱，以及和CPU之间联系方式的不同，可把I/O设备的数据传输方式分为4种：程序直接控制方式(查询控制方式)，中断控制方式，DMA方式，通道方式。

程序控制方式：

在程序的主动控制下，通过读取状态寄存器了解接口的情况，完成相应的程序操作。为了及时了解接口的状态，需要时间密集的查询操作。CPU效率低。

中断控制方式：

当接口出现需要程序干预的事件，通过中断通知CPU，CPU再读取状态寄存器，确定事件的种类，以便执行不同的代码处理。CPU效率高而且及时。

DMA(Direct Memory Access)控制方式：

CPU与接口的数据传送采用DMA传送，即传送的具体过程由硬件（DMA控制器）完成，传送速度比通过CPU快，尤其是在批量传送时效率很高。

三、Windows服务器配置：（Windows Server 2008 R2）：

WEB服务器的配置：更多详细步骤参见实验课相关内容。

安装IIS（版本：7.5）服务：

开始菜单—服务器管理器；添加角色、勾选WEB服务器开始安装；

网站的基本配置：

开始-管理工具-Internet信息服务管理器（IIS）；

点击左边“+”，选择默认网站（Default Web Site），再点击右边的基本设置；

默认网站名称为： Default Web Site; 右击Default Web Site可选择重命名修改；

物理路径即是指网站主目录，用千存放网页文件；

%Systemdrive%inetpubwwwroot, 即为网站文件存放的默认路径，可修改。

新建WEB站点：

右击网站，点击添加网站；

在添加向导中添加网站名称、物理路径；IP地址等…；

类型默认Http端口：80，可以改为： Http-s；

主机名可暂不设定。

启用目录浏览：

单击新建的网站，在中间下滑，区域IIS分类中单击目录浏览；

在右侧为管理网站中点击启动。

为网站添加默认文档：

单击新建的网站，在中间下滑，区域IIS分类中双击默认文档，单击右侧的添加为网站添加默认文档；

添加默认首页，也可选择已存在的首页。

新建WEB站点：

在浏览器中输入地址： http:J /192.168.23.130/；

即可实现WEB访问。

域名和IP绑定配置：

同时若同一WEB网站有多个域名或使用多个IP地址进行时，也可以Internet信息服务管理器（IIS）中，单击[添加]按钮，添加新的绑定条目。

设置主目录访问权限：

单击Internet信息服务管理器（IIS）右侧操作栏中的[编辑权限]；

打开主目录文件夹的属性对话框，点击[安全]；

对千公开的WEB站点，允许采用匿名方式访问；

匿名账户： IIS_IUSRS

单击[编辑]，打开文件夹权限，添加匿名账户；

将WEB站点主目录的读取、执行、列出文件夹目录权限授予匿名账户；

单击[确定]保存设置。

设置网络限制：

作用：防止因并发连接数量过多导致服务器死机。

配置步骤：

单击Internet信息服务管理器（IIS）右侧操作栏中的[限制]；

在编辑网站限制对话框中进行设置，并保存。

自定义WEB网站错误消息：

作用：反馈给用户的错误页，可自定义；11S7.0中集成了一些常见错误代码的提示页。

1、进入网站的设置主页面，双击[.NET错误页]图标

2、打开可查看已经配置的HTTP错误响应，井可点击右侧操作中的[添加]自定义错误页。

常见HTTP状态码及说明：

100 (继续）：服务器返回此代码表示已收到请求的第一部分，正在等待其余部分。

101 (切换协议）：请求者己要求服务器切换协议，服务器已确认井准备切换。

200 (成功）：：服务器已成功处理了请求。通常，这表示服务器提供了请求的网页。

203 (非授权信息）：服务器已成功处理了请求，但返回的信息可能来自另一来源。

304 (未修改）：自上次请求后，请求的网页未修改过。服务器返回此响应时，不会返回网页内容。

400 {错误请求）：服务器不理解请求的语法。

404 (未找到）：服务器找不到请求的网页。

502 (错误网关）：服务器作为网关或代理，从上游服务器收到无效响应。

504 (网关超时）：服务器作为网关或代理，但是没有及时从上游服务器收到请求。

505 (HTTP 版本不受支持）：服务器不支持请求中所用的HTTP 协议版本。

管理WEB网络安全：

使用身份验证：

--默认不安装也不认证

进入网站主页，双击[身份验证]图标；

列表中显示当前用户已经安装的身份验证方式，在右侧进行启用即可；

三种身份验证安全性：基本身份验证＜摘要式身份验证<windows身份验证< strong=""></windows身份验证<>

设置IP限制：

--默认不安装也不限制

进入网站主页，双击[IP地址和限制]图标，右侧添加允许/拒绝条目；

右侧点击[编辑功能设置]，设定未指定客户端的默认访问权。

虚拟目录：

物理目录：实际存放在主目录的子文件夹。

虚拟目录：实现将一个网站的文件分散存储在同一计算机的不同路径和其他计算机中。

使用虚拟目录的优点：

将数据分散存放在不同的磁盘或者计算机上，便千分别开发与维护。

当数据移动到其他物理位置时，不会影响到Web网站的逻辑结构。

虚拟目录设置：

右侧点击[编辑网站]，点击[添加虚拟目录]，指定虚拟目录别名及路径。

在[编辑权限]中，为匿名账户添加相应权限；

虚拟目录中对应有名称为index.htm 的网页文件；

浏览虚拟目录：http://IP地址：端口号／虚拟目录名

例：http://192.168.23.130/product端口号默认80, 虚拟目录名product

虚拟主机：

在一台计算机中川站多个WEB站点。

实现虚拟主机一般有三种方式：

使用不同的IP地址；

使用相同的IP，不同的TCP端口；

使用相同的IP和TCP端口，不同的主机头（域名）

不同的IP地址：

首先WEB服务器网卡绑定多个IP地址。打开网络连接的[internet协议版本4(TCP/IP4) 属性]，点击[高级]，点击[添加]，为网卡添加一个IP地址

右击[网站]，点击[添加网站]；

创建网站名称、指定物理路径及IP地址；

在地址栏输入不同的IP地址访问不同的WEB站点。

不同的端口号：

要点：在网站设置时，不同的网站指定不同的端口号，如一个使用默认TCP端口80, 另一个使用8080以实现不同的端口号访问不同的站点。

例：http://192.168.23.130 http:/ /192.168.23.130:8080

不同的域名：

要点：在对应的网站设置中，为己创建的WEB站点各绑定不同的主机名（域名），同时需要在DNS服务器中做对应的A记录。

实现不同的域名访问不同的站点。

例：http://www.csaiwebl.com http:/ /www.csaiweb2.com

WEB站点数字证书：

WEB站点数字证书的申请和安装包括3个部分：申请数字证书、下载数字

证书、安装数字证书。

添加CA证书服务：

开始；管理工具；服务器管理器；角色；添加角色；勾选[Active Directory证书服务]，下一步进行安装。

角色服务，勾选[证书颁发机构]，下一步；

安装类型，勾选]独立]，下一步；

CA类型，勾选[根]，下一步；

私钥，勾选[新建私钥]，下一步；根据提示，选择加密算法。

CA名称，可以改成任意名称，也可以使用默认名称，下一步；

设置有效期，默认为五年，下一步；

点击安装

配置CA证书服务：

WEB服务器11S的根节点，在[功能视图]中双击[服务器证书]；

找到创建好的名为[csai-CA]的证书，单击右侧的[创建证书申请]；

其中，通用名称中输入本机IP地址，其他科自行配置，下一步；

选择并填写需要生成的文件的保存路径与文件名一致，完成；

在IE浏览器打开网址http://localhost/certsrv/单击“申请证书”；

单击[高级证书申请]，单击[使用base64]；

提交证书申请：将第4步保存的文档找到井找到，将对应的文本信息复制到指定文本框，单击[提交]；

申请已经递交给服务器；

单击[开始]；[运行]，输入certsrv.msc，在证书颁发机构界面点击[挂起的申请]，右键点击[颁发]；

IE中输入http://localhost/certsrv , 单击“查看挂起的证书申请状态" ，保存的申请证书，勾选BASE64XVDC ], 单击[下载证书]，并将证书保存到指定位置；

选择IIS根节点，在功能视图中双击[服务器证书]，单击完成证书申请。选择步骤10中保存的文件，并填写一个好记的名字。

有关更多WEB的详细设置参见实验课相关内容。

配置HTTPS：

在IIS的网站中，打开[绑定]界面，添加网站绑定，类型选择https，SSL证书选择之前创建的证书webCA，单击确定；

然后在功能视图中双击[SSL设置]，勾选[要求SLL]，井应用；

在IE 中输入https: //192.168.23.130/，成功显示，表示https配置成功。

FTP服务器的配置：

FTP服务器同样集成在IIS中，安装IIS时注意勾选。

安装FTP服务：

IIS7.5包含WEB服务器和FTP服务器。安装IIS时注意勾选。

FTP服务器：支持文件传输协议，允许建立FTP站点用千上传和下载文件。

添加FTP站点：

开始，管理工具，Internet信息服务管理器（IIS），打开；

点击网站，右侧操作栏选择[添加FTP服务器]；

设置站点名称和物理路径，物理路径即FTP站点主目录；

设置FTP站点的默认IP地址，默认端口21；

身份验证与授权：FTP身份验证有匿名和基本两种，为了安全，建议使用基本方式。

授权：最好选择指定用户。权限：有读取和写入两种。

点击完成，即完成FTP站点的添加。

IP地址和域限制：

点击FTP站点主页中的[FTPIPV4地址和域限制]，可以对访问FTP站点的计算机进行限制。

IP地址和域限制：

点击[编辑功能设置]，可设置未指定客户端的访问权。

FTP站点访问：

ftp://FTP站点的IP地址或者域名：端口号

命令行方式访问FTP服务器：

FTP>open ftp服务器IP地址：与FTP服务器连接

FTP>! ：从FTP子系统退出到外壳

FTP>?：显示FTP命令说明，？与help 相同

FTP> cd：更改远程计算机上的工作目录

FTP> delete：删除远程计算机上的文件

FTP> dir：显示远程目录文件和子目录列表

FTP> get：使用当前文件转换类型将远程文件复制到本地计算机

FTP >put：使用当前文件传送类型将本地文件复制到远程计算机上

FTP>pwd：显示远程计算机上的当前目录

FTP >quit：结束与远程计算机的FTP 会话井退出FTP

有关更多FTP的详细设置参见实验课相关内容。

DNS服务器的配置：

DNS服务器安装：

开始；管理工具；服务器管理器；添加角色；勾选DNS服务器进行安装

创建DNS解析区域：正向查找

开始；管理工具；服务器管理器；DNS服务器；右键单击[正向查找区域]，点击新建区域；

在新建区域想到中选择[主要区域]，为主要区域取名，下一步；

选择创建新文件，下一步；

不允许动态更新，下一步；

创建完成。

新建记录：

开始；管理工具；服务器管理器；DNS服务器；右键单击刚才创建的正向查找区域，分别创建主机A记录、别名CNAME记录以及邮件MX记录；

创建DNS解析区域：反向查找：

开始；管理工具；服务器管理器；DNS服务器；右键单击[反向查找区域]，点击新建区域；

根据建立向导的提示完成区域建立，大致与创建正向区域时一致。

建立指针（PTR）记录：

开始；管理工具；服务器管理器；DNS服务器；右键单击刚才创建的反向查找区域，创建建立指针（PTR）记录。

更多设置：

更多设置在开始；管理工具；服务器管理器；DNS服务器；右键单击DNS服务器主机图标，点击属性，选择高级页进行设置。

DNS转发器：

将本地DNS服务器无法解析的查询转发至网络上的其他DNS服务器，该DNS服务器即被指定为DNS转发器，转发给转发器的查询叫递归查询。

DNS转发器的设置：

开始；管理工具；服务器管理器；DNS服务器；右键单击DNS服务器主机图标，点击属性中的转发器页面进行设置。

设置DNS客户端：

客户端主机需要使用DNS服务，必须在其"internet协议(TCP/IP)属性”中，指定首选DNS服务器的IP地址。可通过静态指定或由DHCP服务器动态分配获得。

有关更多DNS的详细设置参见实验课相关内容。

DHCP服务器的配置：

DNS服务器安装：开始；管理工具；服务器管理器；添加角色；勾选DNS服务器进行安装。

创建DHCP作用域：

开始；管理工具；服务器管理器；DNS服务器；右键单击IPV4，新建作用域；

按照向导分别输入作用域名称、IP地址池、排除地址、IP地址租期、网关等参数；

安装完成。

新建地址保留：

开始；管理工具；服务器管理器；DNS服务器； IPV4；刚才建立的作用域；右键单击保留，新建地址保留。

配置DHCP作用于选项：

作用域选项提供给客户机一些可选项：

• 默认网关IP地址

• DNS服务器的IP地址

只对本作用域的客户机有效。

例：给本网段配置默认网关地址：192.168.23.2

激活DHCP服务器：

DHCP服务器配置完成后右键单击作用域查看服务器是否激活。

备份/还原DHCP服务器：

备份时一个良好的工作习惯，当网络出现故障时，可及时恢复正确的配置信息。

在服务器管理器中右键单击DHCP服务器，单击备份，可自定义选择备份路径。

DHCP终极代理：

当网络需要用到DHCP中继代理时，可在服务器管理器，添加角色选择网络策略和访问服务安装并设置。

有关更多DHCP的详细设置参见实验课相关内容。

Windows Server 2008 R2 安全策略：

关于Windows Server 2008 R2 安全策略主要有以下几个知识点：

安全策略的概念

账户密码策略配置

IPsec策略配置

安全策略的概念：

Windows Server 2008 R2 安全策略是一个预先定义好的一系列的计算机应用行为准则，应用这些安全策略保证用户一致的工作方式，防止用户破坏计算机上的各种重要配置，保护网络上的敏感数据。安全策略分为本地安全策略及组策略。

安全策略概述：

所在位置：开始 – 管理工具 – 本地安全策略

本地安全策略包括：账户策略、本地策略、Windows防火墙及公钥策略。

账户密码策略配置：

其中密码策略可以对密码的复杂性、长度、密码使用时间…等参数进行设置，在修改完参数以后，点击确定以使设置生效。

IPsec策略配置：

在Windows Server 2008 R2 网关上设置相应的IPsec策略，实现在Windows Server 2008 R2 网关与第三方网关之间建立一条IPOsec隧道，使得两个网络之间建立起安全的通信通道。

IPsec策略配置有以下几个方面：创建IPsec策略、创建筛选器列表、配置隧道规则及进行策略指派。

创建IPsec策略：

操作：开始 - 管理工具 – 本地安全策略，在本地安全策略中右击IP安全策略，按照向导完成IP安全策略的创建。

创建筛选器列表：

需要创建两个筛选器列表分别用于匹配A网络到B网络的数据包以及B网络到A网络的的数据包。

操作：在已创建的IP策略中，点击底部的“添加”以创建IP筛选器列表。

配置隧道规则：

每个规则对应一个隧道终点，因为有两个终点，所以有两个规则，在不同的规则中指定相对应的隧道终点。确保“协商安全”的勾选及“接受不安全通讯”的未被勾选。

进行策略指派：

右击设置完成的IP安全策略，点击“指定”，若出现绿色箭头表明安装成功。

四、Linux服务器配置：

本章知识点：

Linux DHCP 服务器配置★★★ Linux DNS 服务器配置★★★

Samba服务★★★ FTP服务★★ Apache服务★★

Linux DHCP 服务器配置：

配置文件解析：DHCP服务器的配置文件为：/etc/dhcpd.conf 。

标准参数类语句：

Ddns-update-style-type：动态DNS解析方式，可选参数为：ad-hoc(点对点更新)、interim（互动更新）、none（不支持DNS动态解析）

Default-lease-time time：指定默认租约时间，time单位为秒（Windows中为天）

max-lease-time time：最大租约时间。

Hardware：hardware-type & Hardware-address：指明物理硬件接口类型和硬件地址。一般常与Fixed-address语句一起使用实现IP地址的静态绑定。

Server-name “name”：告知客户端所连接服务器的名字。

Fixed-address address：指定一个或多个IP地址给一个DHCP客户，只能出现在host声明里。

选项类语句：

Option subnet-mask mask：DHCP服务配置子网掩码选项，服务开启后可用于所有客户端。

Option broadcast-address IP地址：DHCP服务配置广播地址选项，服务开启后可用于所有客户端。

Option routers IP地址：DHCP服务配置网关（路由）地址选项，可设多个。

Option domain-name-servers IP地址：DHCP服务配置DNS服务器IP地址，可用于所有客户端，可多个。

Option domain-name“csai.cn”：DHCP服务配置域名服务，可用于所有客户端。

Option host-name string：给客户指定主机名，string是个字符串。

配置的声明和选项：

Ddns-update-style none；不支持DNS动态解析

Subnet 192.168.1.0 netmask 255.255.255.0 指定DHCP服务器作用的区域

{

Option routers 192.168.1.254；设定网关为1.254

Option subnet-mask 255.255.255.0；设定子网掩码

Option domain-name “csai.cn”；

Option domain-name-servers 192.168.1.1； DNS服务器的IP 地址

Range 192.168.1.10 192.168.1.100；动态地址分配的地址池

} 可分配地址为1.10 – 1.100

Host：为特定的客户端分配IP地址：

Host webserver

{

Hardware ethernet 08:00:004c:58:23；指定IP地址的MAC地址

Fixed-address 192.168.1.210；固定分配的IP地址

}

配置文件解析-dhcpd.leases文件：

-dhcpd.lease是SHCP客户租约的数据库文件，默认目录在/VAR/LIB/DHCPD/，文件包含租约声明，每一次一个租约被获取、更新或释放，它的新值就会被记录在文件的末端。

例：在主机CSAI_USER获得租约后，dhcpd会在dhcpd.leases里建立一条记录：

Lease 192.168.1.100

{

Starts 1 2000/05/1513：36：42；租约起始时间

Ends 1 2000/05 1521：36：42；租约到期时间

Harsware Ethernet 00：00：21：4e：3f：58；获得租约MAC地址

Uid“001000020fff372”； ID信息

Client-hstname“csai_user”；获得租约的主机名

}

启动和停止DHCP服务：

[root@lib1 root] # service dhcpd [start|stop|restart]

Linux - DNS 服务器配置：

DNS客户端配置文件：

/etc/resolv.conf：为客户端定义DNS服务器的IP地址

/etc/ resolv.conf

Search csai.cn

Nameserver 191.72.1.1 主要用于设置DNS服务器的IP地址

Nameserver：关键字指向DNS服务器的IP地址

/etc/ resolv.conf：

/etc/ resolv.conf

Order hosts,bind 设置域名查询顺序的配置文件

DNS解析顺序：本机缓存、host文件、本地DNS服务器

Order命令可以更改DNS查询顺序。

例：order bind，host：先找bind后找host

BIND主配置文件：

文件名：named.conf；目录在：/etc/

ACL：格式：acl acl-name{IP地址}

定义访问控制列表，设定可以执行DNS解析的服务器IP地址，常与ALLow-query语句一起使用。

Options语句：

Directoy：指定服务器的工作目录

ALLow-query：设定DNS服务器为哪些用户提供查询

VIEW语句：定义DNS服务器根据客户端的不同有区别的返回对域名的查询结果，前提是被查询的域名存在多个IP地址。

ZONE语句：定义DNS服务器所管理的区

设置域名服务器-/etc/named.conf

Zone“.”IN{ “.”代表根区域

Type hint; hint代表根域名服务器

File“named.ca”； master为主域名（权威）服务器

};

Zone“1.168.192.in-addr.arpa”IN{ 正向查找区域，实现域名到IP地址的映射

Type master；如果type 设置成slave，表示此服务器为辅助域名服务器

File“csai.cn.zone”；正向查找区域文件可以自己建立

}；

zone“1.168.192.in-addr.arpa”IN{ 反向查找区域，实现IP地址到域名的映射

type master；

file“192.168.1.rev”；反向查找区域文件同样可以自己建立

}；

注：每条命令最后一行的文件为配置所在的文件，此文件非常重要，一定要确保文件内容的准确性、IN代表DNS服务器类型为Internet类型的服务器。

根服务器文件named.ca：

/var/named/named.ca是一个非常重要的文件，该文件包含了Internet的根域名服务器名称和对应的IP地址，Bind接到客户端主机查询请求时，如果在Cache中找不到相应的数据，就会通过跟服务器进行逐级查询。

如果文件内容有误，客户端将在向自身缓存无法完成IP地址的解析。named.ca文件可以通过Internet进行下载。

区域数据文件：

一个区域内的所有数据（包括主机名和对应的IP地址、刷新间隔和过期时间等）必须存放在DNS服务器内，用来存放这些数据的文件就称为区域文件（区域文件可以使用“；”符号注释）。DNS服务器的区域文件一般存放在/var/named/目录下。

建立正向区域文件：

/var/named/csai.Cn.zone

基本设置：

$TTL 86400 ① ②

@ IN SOA server.csai.cn. hostmaster.csai.cn.( SOA代表权威域名服务器

42 ；serial(d.adams) 可以指出权威域名服务器地址①

3H ；refresh 及管理员邮件地址②

15M ；retry

1W ；expiry 此处为时间信息，主要用于同步

1D）；minimum

添加域名服务器记录：

域名服务器又称为NS记录，在区域文件中用于设置当前区域的DNS服务器名称

@ IN NS server.csai.cn.

@ IN NS ns2.csai.cn.

“@”符号在区域文件中代表默认的域（当前域）

添加地址记录：

地址记录又称A记录，用于设置主机名到IP地址的对应记录

Server IN A 192.168.1.2

Ns2 IN A 192.168.1.3

Host1 IN A 192.168.1.11

Host2 IN A 192.168.1.12

主机名对应的IP地址

添加别名服务器：

别名服务器又称CHAME记录，用于在区域文件中对主机名称设置别名

Mail IN CHAME host1.csai.cn.

www IN CHAME host2.csai.cn.

服务对应的域名

添加邮件交换记录：

邮件交换记录又称MX记录，用于设置在当前区域中提供邮件服务的服务器名称：

@ IN MX 5 mai.csai.cn. 优先级越小，优先级别越高

优先级默认为10 优先选择的邮件域名服务器

反向解析文件的完成清单：反向：IP地址到域名的解析过程

cat/var/named/192.168.1.rev Cat命令为查找、查看目录及文件

$TTL 86400

@ IN SOA server.csai.cn. hostmaster.csai.cn.( 权威域名服务器

42 ；serial(d.adams) 及管理员邮件地址

3H ；refresh

15M ；retry 时间信息

1W ；expiry

1D）；minimum

@ IN NS server.csai.cn. 当前区域的DNS服务器名称

@ IN NS ns2.csai.cn.

2 IN PTR server.csai.cn. PTR记录为IP地址到域名的映射关系

3 IN PTR ns2.csai.cn. 只用写IP地址最后一段（即第四段）

11 IN PTR host1.csai.cn.

12 IN PTR host2.csai.cn.

配置DNS均衡负载功能：

在企业网中需要使用三台内容相同的FTP服务器共同承担客户对网站的访问，他们的IP地址分别对应192.168.1.21、192.168.1.22和192.168.1.23。现只要在DNS服务器的区域文件中加入以下三条A记录，就可以实现三台FTP服务器的网络负载均衡功能。

ftp IN A 192.168.1.21

ftp IN A 192.168.1.22

ftp IN A 192.168.1.23

为了解析客户端对FTP域名的查询，DNS服务器会轮询这三条A记录，以设定响应用户的解析请求。

启动和停止DNS服务：

[root@lib1 root]# server named [start|stop|restart]

Linux - Samba 服务器配置：

Samba基础配置-smb.conf

Samba服务器的主要程序：

Smbd：提供对服务器中文件、打印资源的共享访问

Nmbd：提供基于NetBIOS的主机名解析，通过NETBIOS协议，利用共享的端口号实现文件信息的传输及共享。例：445端口

注：Samba可以提供跨系统的文件、打印共享服务，不同系统之间可通过Samba服务器对文件、打印机的相互访问。

Samba服务器的配置文件：/etc/samba/smb.conf

smb.conf文件有三个重要部分：

全局参数字段（global）：主机共享时的整体设置，例如允许哪些主机访问共享资源或哪些主机可以进行资源共享。

目录共享字段（homes）：该部分为用户目录共享设置，设置对应samba用户宿主目录的默认共享，即当前用户访问服务器中域自己用户名相同的共享文件夹时，会默认映射到自己的宿主目录

打印机共享字段（printers）：打印机的配置和共享。例如允许哪些主机使用打印机等。

Samba基础配置：

Smb.conf文件中的主要设置项解释：

[global]

Workgroup =CSAIGROUP 可自行设定工作组，默认为Workgroup组

Netbios name =linuxsir 主机名

Server string = linux Samba 主机描述信息

Security = [ user | share | Server | Domain ]

Host allow =192.168.1. 192.168.2. 127. 允许访问服务器的主机IP地址范围，

如只允许一台主机，写全IP地址即可。

注：共享级别（模式）user：需要用户名和密码，账号密码由本机验证、Share：共享不需要用户名和密码，所有主机可访问、Server：服务器需要用户名和密码，账号密码由另一台服务器验证、Domain：服务器需要用户名和密码，账号密码由域服务器验证。安全级别：Domain＞Server＞user＞Share

“#”与“；”字符代表注释语句，只是给操作者看，不会起到实际作用。

[homes]

Comment = Home Directories 共享目录信息描述

Browseable = [ yes | no ] 是否可以被浏览

Writable = [ yes | no ] 是否可被写入

Creat mask = 0664 新创建文件默认权限值

Directory mask = 0775 新创建目录默认权限值

权限值数字含义：4：读取权；2：写入权；1：执行权。数字位数代表相对应的操作者。第一位：文件所有者；第二位：文件所属组用户；第三位：其他用户

[printers]

Comment = all prienters 打印机描述，all prienters指网络中所有打印机

Path = /var/spool/samba 资源路径

Browseable = [ yes | no ] 是否可以被浏览

Valid user = jack，@root 指定用户可使用打印机，目前为管理员和JACK

Guest ok = [ yes | no ] （等同于public= [ yes | no ]）访客是否允许使用打印机

Writable = [ yes | no ] （等同于read only = [ yes | no ] 打印机资源是否允许被写入

public= [ yes | no ] 打印机资源是否公开

read only = [no |yes] 打印机资源是否为只读

Samba用户管理：

Useradd smb _user1 添加用户信息

Password smb _user1 添加对应用户密码

Smbpasswd -a smb _user1 将用户与密码与Samba服务器关联

More /etc/samba/smbpasswd 查看smbpasswd文件中用户信息

Samba启动/停止：

[root@lib1 ~ ]#service smb [start|stop|restart]

Linux - FTP 服务器配置：更多VSFTP介绍参见附录五

Vsftp.conf

vsftpd.conf 是vsftpd服务器的主配置文件

路径：/etc/vsftpd/vsftpd.conf

FTP用TCP，建立两个链接：控制链接、数据链接

常见的全局命令：

Listen = yes/no：是否以独立模式（standalone)运行监听FTP服务

Listen_address=192.168.4.1：设置被监听的IP地址

listen_port=21 : 设置监听FTP服务的端口号

write_enable=YES : 是否启用写入权限

download_ enable= YES : 是否允许下载文件

userlist_enable=YES : 是否启用user_list列表文件通常这两个语句联合使用

userlist_ deny= YES : 是否禁用user_list中的用户用来设置白/黑名单

max_ clients=O : 限制并发客户连接数 0代表无限制，数字代表同时连接数

max_per_ip=O : 限制同一IP地址的并发连接数同一主机连接数

anonymous_ enable= YES 启用匿名访间

local_enable=YES 是否启用本地系统用户

user - list文件：

user_list文件具有对vsftpd服务器很灵活的用户访问控制，绝对路径是

/etc/vsftpd/user _list

使用user_list文件需要在主配置文件vsftpd.conf中进行设置

设置禁止user_list文件中的用户登录：黑名单

userlist_ enable= YES

userlist_ deny= YES

设置只允许user_list文件中的用户登录：白名单

userlist_ enable= YES

userlist deny= NO

启动和停止FTP服务：

[root@lib1 ~] # service vsftpd [ start I stop I restart]

Linux-Apache服务器的配置：

Apache是一款强大的跨平台WEB服务工具，能提供更多的功能和安全特性。

Apache基础配置-httpd.conf

[root@lib1 root]# vi /etc/httpd/conf/httpd.conf

httpd.conf中的全局配置：

ServerRoot：设置Apache服务器的根(Root) 目录

ServerAdmin：设置Apache服务器管理员的E-mail地址

ServerName：设置Apache服务器的主机名

DocumentRoot：设置Apache服务器网页（文档）存放目录

Listen：设置Apache服务器监听的网络端口号

PidFile：设置保存httpd服务器程序进程号(PID) 的文件

Errorlog：设置Apache服务器中错误日志文件的路径和文件名

Custom Log：设置Apache服务器中访问日志文件的路径和格式类型

Timeout：设置Web服务器与浏览器之间网络连接的超时时间。单位：秒默认120

KeepAlive：设置为Off时服务器不使用保待浑接功能，传输的效率比较低；设置为On（默认）时，可以提高服务器传输文件的效率，建议设置保持连接功能有效

MaxKeep Alive Requests：当KeepAlive为On时，设置客户端每次连接允许请求响应的最大文件数，默认设置为100个文件

Apache基础配置－虚拟主机：

虚拟Web主机：

即在同一台服务器中运行多个Web站点的应用，其中每一个站点并不独立占用一台真正的计算机。

httpd支寺的虚拟主机类型：

基千域名的虚拟主机

基于IP地址的虚拟主机

基千端口的虚拟主机

Apache基础配置 - 基于域名虚拟主机：

[root@www htdocs]# vi /etc/httpd/conf/httpd.conf

......

NameVirtualHost 173.17.17.11 不同域名， IP地址相同

DocumentRoot /home/csai.com

ServerName www.csai.com

DocumentRoot /home/sohu.com

ServerName www.sohu.com

Apache基础配 - 置基于IP地址虚拟主机：

[root@www htdocs]# vi /etc/httpd/conf/httpd.conf

......

不同IP地址，需要多个网卡（NIC）

DocumentRoot /home/csai.com 每个NIC可分配一个域名

ServerName www.csai.com 主机还是同一个

DocumentRoot /home/sohu.com

ServerName www.sohu.com

Apache基础配置 - 基于端口号虚拟主机：

[root@www htdocs]# vi /etc/httpd/conf/httpd.conf

......

Listen 173.17.17.11:80 IP地址相同，不同的端口号

Listen 173.17.17.11:8080 通过端口号来区分访问目标

DocumentRoot /home/csai.com

ServerName www.csai.com

oocu mentRoot /home/sohu.com

ServerName www.sohu.com

< /Vi rtua I Host>

启动和停止Apache服务：

[root@lib1 root] # service httpd [ start I stop I restart]
<h2>第十一章：网络规划与设计</h2>
一、综合布线技术：

结构化综合布线系统(Structured Cabling System，SCS)：时基于现代计算机技术的通信物理平台，集成了语音、数据、图像、多媒体的传输功能，消除了原有通信线路在传输介质上的差别。结构化综合布线系统包括：建筑物综合布线系统（PDS）、智能大厦布线系统（IBS）、工业布线系统（IDS）。

结构化综合布线系统应满足下列要求：

标准化、实用性、先进性、开放性以及结构化、层次化。

综合布线技术分为六大子系统：

工作区子系统：有终端到信息插座的整个区域。包括信息插座、跳线、适配器。

要求：信息插座与电源插座保持在30-150cm的距离。

信息插座据地面一般在30cm，面积为9。

UTP/STP布线距离为10m。

水平子系统：各个楼层的接线间配线架到工作区信息插座之间的电缆构成。在结构化布线中，水平子系统起支线作用，它将用户端通过线缆连接至配线架上。UTP/STP布线距离为90m。

管理子系统：对布线电缆进行端接和配线管理的子系统，通常设置在楼层的配线间内。由交联设备（双绞线配线架、光纤配线架）、集线器和交换机等交换设备组成。

干线子系统（垂直子系统）：连接管理间和设备间的子系统。一般由多对数的光缆和双绞线组成。语音系统采用三类大对数双绞线，数据通信采用高品质五类双绞线也可以采用光缆。布线距离光纤一般2000米，STP为800米，UTP为700米。建议每1.5米设置一个线缆支撑点。

设备间子系统：用于安放网络关键设备。

要求：湿度要求在20%-80%，温度20-30℃。

综合考虑配电、安全接地和消防等因素。

建筑群子系统：由连接楼群之间的通信传输介质和各种支持设备组成。布线距离光纤一般2000米，STP为800米，UTP为700米。

综合布线测试参数：

双绞线：最大衰减值、回波耗损限值、近端串扰衰减值、开路/短路、是否错对；

光纤：最大衰减值、回波耗损限值、波长窗口参数、时延、长度；

二、网络分析与设计过程：

网络生命周期至少包括系统构思与计划、构思与计划、运行和维护的过程。常见的迭代周期分为四阶段周期、五阶段周期、六阶段周期。

四阶段周期：

构思与计划阶段、构思与计划阶段、实施与构建阶段、运行和维护阶段。

五阶段周期：

需求规范、通信规范、逻辑网络设计、物理网络设计、安装与维护。

六阶段周期：

逻辑设计、物理设计、设计优化、实施及测试、监测及性能优化。

三、网络系统建设：

根据五阶段迭代周期模型，网络系统建设可以被划分为以下五个阶段：

需求分析。

现有网络体系分析，即通信规范分析。

确定网络逻辑结构，即逻辑网络设计。

确定网络物理结构，即物理网络设计。

安装与维护

四、需求分析：

收集不同用户的网络需求，主要包括：业务需求、用户需求、应用需求、计算机平台需求、网络通信需求和未来需求。需求分析产生一份需求规范，需要管理者与设计者签字，这是规避网络建设风险的关键。

现有网络体系分析：

主要目的是描述资源分布，以便在升级时保护已有的投资，该阶段给出一份通信规范说明文档，作为下一阶段的输入。

主要包括：

现有网络拓扑结构。

现有网络容量，新网络所需通信量和通信模式。

详细统计数据，直接反映现有网络新能的测量值。

Internet接口以及广域网提供的服务质量报告。

限制因素列表，如电缆和设备清单。

五、确定网络逻辑结构：

根据需求规范和通信规范确定比较适宜的网络逻辑结构，并实施后续的资源分配规划、安全规划等内容，该阶段给出一份逻辑设计文档。

内容主要包括：

网络逻辑设计图。

IP地址分配方案。

安全管理方案。

具体软硬件、广域网连接设备和基本网络服务。

招聘和培训网络员工的具体说明。

如硬件费用、服务提供费用和培训费用的估算。

六、确定网络物理结构：

对设备的具体物理分布、运行环境等的确定来使网络的物理连接符合逻辑设计要求，该阶段得到一份网络物理结构设计文档。

主要包括：

（1）网络物理结构图和布线方案。

（2）设备和部件的详细列表清单。

（3）软硬件和安装费用估算。

（4）安装日程表、说明服务的时间和期限。

（5）安装后的测试计划。

（6）用户的培训计划。

七、安装与维护：

第五个阶段又可分为两个小阶段：安装与维护。

安装：

根据前面的工程结果实施环境准备、设备安装调试的过程。

本阶段应输出如下：

逻辑网络结构图和物理网络部署图。

符合规范的设备连接图和布线图。

运营维护记录和文档。

维护：

网络安装完成后，接受用户的反馈意见和监控网络的运行，需要做大量的故障检测和故障恢复以及网络升级和性能优化等工作。

在这五个阶段中，每个阶段必须依据上个阶段的成果，完成本阶段的工作，并形成工作结果，作为下一阶段的工作依据。这便是五阶段周期被称为流水线的真正含义。

八、网络结构设计：

层次化网络设计经典的三层模型，是将网络分为核心、汇聚和接入层。

核心层：

提供不同区域或者下层的高速连接和最优传输路径，主要设备是高端路由器或者交换机。

设计原则：

核心层是英特网的高速骨干，由于其重要性应采用冗余组件设计，使其具备高可靠性，能快速适应变化。核心层拥有高可靠性、高带宽和高吞吐率。尽量避免数据包过滤和策略路由等降低数据包转发处理的机制，已实现数据包的高速转发。

汇聚层：

将网络业务连接到接入层，并且实施安全、流量负载和路由相关策略。主要设备是实现策略的路由器或者交换机。

设计原则：

汇聚层时核心层与接入层的分界点，尽量将出于安全原因对资源的访问控制及出于性能原因对核心层的流量控制都在汇聚层实施。

汇聚层主要完成协议转换、策略路由、流量控制等。

接入层：

为终端用户访问网络提供接入。主要设备是低端交换机，

设计原则：

接入层主要解决相邻用户之间的互访，为这些互访提供丰富的接口类型及足够的带宽。同时还负责一些用户管理功能（如地址认证、用户认证、计费管理）和用户信息收集（IP与MAC绑定、访问日志）工作。

除此之外辑网络设计还应包括以下内容：物理层技术设计、局域网技术选择及应用、广域网技术选择及应用、地址设计和命名模型、路由协议选择、网络管理、网络安全、逻辑网络设计文档。

九、物理网络设计：

物理网络设计主要包含以下几个方面：

PDS综合布线系统；

布线系统设备清单；

机房设计；

物理设计文档（工程概述、物理设计图标、资产说明、最终费用估算）；

网络安全设计原则：

从工程技术角度，网络安全应设计遵循以下原则：

信息安全与保密的“木桶原则”。强调对信息均衡、全面地进行安全保护。充分、全面、完整的对系统的安全漏洞和安全威胁进行分析、评估和检测使设计网络安全系统的必要前提条件

安全系统的整体性原则。强调安全防护、检测和应急恢复。要求在网络发生被攻击情况下，尽快的恢复信息中心的服务，减少损失。

安全系统的有效性和实用性原则。网络安全以不影响正常运行和合法用户的操作活动为前提

安全系统的“等级性”原则。良好的安全系统必须划分不同的等级

自主和可控性原则。网络安全产品不能依赖国外进口产品。

安全有价原则。考虑网络安全问题解决方案时必须考虑性能和价格的平衡。不同的网络安全侧重点不同。

网络设备选型原则：

尽可能选择同一厂家产品。这样的设备在互连性、协议的互操作性、技术支持和价格等方面有优势。

主干设备应考虑预留一定的扩展能力，低端设备够用即可。

根据方案实际选型。根据网络实际带宽性能需求、端口类型和端口密度选型。如果旧网改造，应尽可能保留用户原有网络投资，减少在资金投入的浪费。

选择性价比高、质量过硬的产品。

<h2>第十二章：系统开发与项目管理基础：</h2>
本章知识点：

软件生命周期与开发模型★★★ 软件设计★★★ 软件测试★ 项目管理基础★★★

一、软件生命周期：

软件产品从计划到软件交付使用，直到最终退出为止的过程。包括可行性分析和项目开发计划、需求分析、概要设计、详细设计、编码、测试及维护阶段。

软件开发模型：

瀑布模型、螺旋模型、喷泉模型、原型化模型、演化模型

瀑布模型：

严格遵循软件生命周期各阶段的固定顺序，一个阶段完成再进入另一阶段，适用于结构化开发方法。

瀑布模型分为以下几个阶段：

软件计划、需求分析、软件设计、程序编码、软件测试、运行维护

瀑布模型的优点：

为项目提供按阶段划分的检查点。

当前阶段完成后，只需关注后续阶段

可在迭代模型中应用瀑布模型

适用于大规模系统项目

缺点：

各阶段划分完全固定，阶段之间产生大量文档，增加了工作量。

用户直到工程末期才能见到开发成果，增加了开发风险。

不适应用户需求变化。

原型化模型：

开发人员对用户提出问题进行总结，就主要需求达成一致意见，开发一个原型并运行，然后对原型进行反复修改，使之完善。衡量原型化模型开发人员能力标准是快速获取需求能力。

优点：用户需求清楚，降低开发风险与成本,用户参与决策，减少项目管理，要求完整的生命周期

缺点：不适用大型系统，系统难于维护。

演化模型：

根据用户需求，快速分析构造该软件的一个初始版本，称之为原型，根据用户在使用原型过程中提出的建议改进原型，获得原型的新版本，重复这一过程，使用户最终获得满意的软件产品。

螺旋模型：

将瀑布模型和原型模型结合，强调了其它模型所忽略的风险分析，适合大型复杂系统。

优点：支持用户需求的动态变化，降低风险。

缺点：增加开发成本

喷泉模型：

主要用于描述面向对象的开发过程，核心的特点是迭代。所有开发活动没有明显边界，允许各种开发活动交叉进行。

二、软件测试：

目的：尽可能多的发现软件产品的错误和缺陷。

测试方法：

白盒测试：

需要了解程序内部结构，测试用例是根据程序内部逻辑来设计。白盒测试用于软件的单元测试。

黑盒测试：

对软件已经实现的功能是否满足需求进行测试和验证。黑盒测试不关心内部逻辑结构，只根据程序的功能说明来设计测试用例。黑盒测试用于软件的功能测试。

灰盒测试：

关注输出对于输入的正确性，同时也关注内部表现，但不像白盒那样详细完整。

测试的步骤：

单元测试、集成测试、系统测试、验收测试

项目管理：

项目管理可分为九大类，分别是：范围管理，时间管理，成本管理，质量管理，人力资源管理，沟通管理，风险管理，采购管理，整体管理。

三、时间管理：

甘特图：

用水平线段表示任务的工作阶段；线段的起点和终点对应任务的开始和完成；线段的长度表示完成任务所需时间。

优点：清晰的描述每个任务从何时开始到何时结束以及各任务之间的并行性。

缺点：不能反映任务之间的依赖关系，难以确定任务关键所在，也不能反映任务中有潜力部分。

PERT图：

是一个有向图，途中用有向弧表示任务，可以标上任务完成所需时间；图中的节点表示流入节点的任务结束，并开始流出节点任务，把这些节点称为事件。事件本身不消耗时间和资源，它仅表示某个时间点。

Pert图不仅给出了任务开始时间、结束时间和完成任务所需时间，还给出了任务之间关系，以及如期完成整个工程的关键路径。但不能反映任务之间的并行关系。最晚开始时间取最小，最早开始时间取最大。关键路径上的最早开始时间和最晚开始时间的点是相等的。

四、人力资源管理：

需要综合考虑系统规模、技术复杂度、项目计划、成本和进度等因素。

风险管理：

风险具有不确定性和损失两大特性。主要分为：项目风险，技术风险，商业风险

五、相关计算：

松弛时间：

关键路径所需时间 - 从节点开始到项目完成时间或该节点最晚开始时间 - 最早开始时间

最晚开始时间：关键路径用时 - 该节点到项目完成用时

最早开始时间：项目开始到该节点需要的最长时间

关键路径：所有路径所需时间最长的路径为关键路径，也可以理解为松弛时间为0的任务构成了完成整个工程的关键路径。
<h2>第十三章：知识产权与标准化：</h2>
一、知识产权：

知识产权（intellectual property），也称知识所属权，是指权利人对其智力劳动所创作的成果和经营活动中的标记、信誉所依法享有的专有权利。

知识产权是一种无形财产，具有专有性、时间性和地域性的特点，且大部分知识产权的获得需要法定的程序。知识产权有两类：著作权和工业产权。

知识产权涉及的内容：

知识产权的分类：

著作权和工业产权及其所包含的权力种类。

所涉及的法律法规：

《中华人民共和国著作权法》《计算机软件保护条例》

《中华人民共和国商标法》《中华人民共和国专利法》

《中华人民共和国反不正当竞争法》

往年考试设涉及考点：

保护期限、知识产权人确定、侵权判断

知识产权保护期限：

客体类型	权力类型	保护期限
公民作品	署名权、修改权、保护作品完整权	没有限制
公民作品	发表权、使用权、获得报酬权	作者终身机器死亡后的五十年。
单位作品	发表权、使用权、获得报酬权	首次发表后五十年，若期间未发表，不保护。
公民软件作品	署名权、修改权、	没有限制
公民软件作品	发表权、复制权、发行权、出租权、信息网络传播权、翻译全、使用许可权、获得报酬权、转让权	作者终身机器死亡后的五十年，合作开发，以最后死亡作者为准。
单位软件作品	发表权、复制权、发行权、出租权、信息网络传播权、翻译全、使用许可权、获得报酬权、转让权	首次发表后五十年，若期间未发表，不保护。
注册商标		有效期十年（注册人死亡或倒闭一年后可注销，期满后六个月内必须续注。）
发明专利权		保护期二十年（自申请之日起）
实用新型和外观设计专利权		保护期十年（自申请之日起）
商业秘密		不确定，公开后公众可用

著作权：

作者对其创作的作品享有的人身权和财产权，自软件开发完成之日起，保护期为50年，期满后，除人身权外其他权利终止。分为著作人格权与著作财产权。

人格权包括：署名权、发表权、修改权和保护作品完整权

财产权包括：发行权、出租权、展览权、表演权和信息网络传播权

合理使用是指可不经著作权人许可，也无需支付报酬，使用其作品。

公民作品保护期限为作者终身及死后50年，合作的作品，以最后一名作者死亡为准。

著作权归属：

职务开发软件著作权归单位。包括：本职工作明确的开发目标或从事本职工作活动的结果。

利用单位资金、专用设备、未公开的信息等物质技术条件，并由单位承担责任的软件，著作权归单位。

合作开发软件著作权一般为共同所有，如果有软件著作权协议，按协议确定著作权归属。

委托开发的软件，著作权归属由委托人和受托人通过合同约定，如果未明确，著作权归属受托人。

接受任务开发的软件，著作权归属在合同中明确约定的一方，未明确的，属于软件开发单位。

只进行组织、提供咨询意见、物质条件或其他辅助工作不享有著作权。

侵权判定：

中国公民、法人和组织的作品，不论发表是否发表均享有著作权。

开发软件所用思想、处理过程、操作方法及数学概念不受保护。

法规、决定、命令、立法文件、官方译文、新闻和通用数表不受保护。

以下属于合理使用：

个人学习、研究或欣赏，适当引用不构成侵权。

为介绍、评论某一作品或说明某一问题，在作品中适当引用他人已发表的作品。

公开演讲内容、免费表演他人作品、不够成侵权。

用户教学或科学研究不构成侵权。

将汉语译成少数民族语言作品或盲文出版不构成侵权。

专利权：

由国务院相关部门授予的，对发明创造者在规定的时间内享有的独占使用权。

发明专利的保护时限为自申请日起20年，实用新型专利和外观设计专利为自申请日起10年。

两个以上申请人分别对同样的发明创造申请专利，专利权授予最先申请的人。同时申请专利，在收到国务院专利行政部门通知后，自行协商确定申请人，协商不成的均予以驳回。同样的发明创造，只能授予一项专利。

强制实施许可：法律规定不经专利权人许可而实施专利权人之专利的不构成侵权。

专利权归属：

下列情况专利权归属单位：

履行本单位交付的本职工作外的任务所作出的发明。

离职、退休或调动工作1年后与原单位相关的发明。

职务发明创造。

利用本单位的物质技术条件完成发明创造，其专利权依据合同约定。

商标法：

商标注册年限为10年，注册人死亡或倒闭1年未转移可以注销，期满后6个月内可以续注。

商标谁先申请谁拥有，但知名商标非法抢注的除外。

同时申请，谁先使用谁拥有（需提供证据）。

无法提供证据、协商归属无效时抽签确定（但不可不确定）

商业秘密：

不为公众所知，具有经济利益和实用性，并且已采取了保密措施的技术信息和经营信息。

二、标准化：

标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础，经有关方面协商一致，由主管机构批准，以特定形式发布，作为共同遵守的准则和依据。我国家标准的有效期一般为5年。

标准分类：

国际标准：

IEC、ISO、ITU等国际标准化组织。

国家标准：

ANSI：美国；GB：中国；BS：英国；JIS：日本

行业标准：

IEEE：美国电气电子工程师协会；GJB：中国军用标准；MIT-S：美国军用标准

区域标准（地区标准）：

PASC：太平洋地区标准会议；CEN：欧洲标准委员会；ASAC：亚洲标准咨询委员会；ARSO：非洲地区标准化组织

地方标准：

国家的地方一级行政机构制定的标准。

企业标准：

项目规范：

标准编号：

国际标准代号：标准代号+专业类号+顺序号+年代号

我国标准代号：标准代号+标准发布顺序号+标准发布年号

强制性标准代号：GB

推荐性标准代号：GB/T

指导性标准代号：GB/Z

实物标准代号： GSB

行业标准代号：汉语拼音大写字母

地方标准代号：由DB加省级行政区代码前两位

企业标准代号：由Q/XXX加企业代号组成
<h2>第十四章：网络设备配置：</h2>
本章知识点：

网络设备的基本配置★★★ VLAN配置★★★ GARP配置★★★ STP配置★★

一、网络设备的基本配置：

网络设备的操作系统：

华为网络设备：

VRP (Versatile Routing Platform 通用路由平台），常用的有两个版本VRPS和VRP8

Cisco思科设备：

IOS (internetwork operating system)

二、常见的三种设备配置方式：

console方式：

适合没有IP地址的网络设备，通过console线缆与PC的com 口相连，通过超级终端软件登录设备，以命令行的方式实现配置。最常见的方式，使用console方式配置时，COM口的属性要与网络设备的属性向匹配。 COM口的数据速率为9600b/s。

telnet方式：

适合有IP地址的网络设备，并确保PC与网络设备的连通性。

Web方式：

适合有IP地址的网络设备，并内置有WEB页面。

默认用户名： admin 密码： Admin@huawei.com

三、认识网络设备：

网络设备可以看成是一台简化的计算机，也有CPU、存储器、操作系统等…。

网络设备存储器可以分为以下几种：

• ROM （只读存储器，Read-Only Memory）：用于存放启动程序。

• Flash（快闪存储器，FlashMemory）：用于存放操作系统。

• RAM（随机存储器，Random Access Memory）：可读可写的随机存储器，掉电数据消失，存放设备运行过程中产生的数据。

• NVRAM （非易失性随机存储器，Non-Volatile Random Access Memory）：，断电后仍能保持数据的一种RAM。用于存放启动配置文件（saved-configuration）。

四、配置文件：

运行配置文件：当前配置文件，已保存和尚未保存都在此文件。

• current-configuration (华为）

• running-config (思科）

启动配置文件： 执行保存命令后的启动配置文件。

saved-configuration (华为）

startup-config (思科）

保存当前配置到启动配置命令：

save (华为）

CISCO# copy running-config startup-config 或CISCO #write (思科）

五、华为设备常见视图切换方法：

用户视图：

查看交换机的简单运行状态和统计信息，查进行文件管理和系统管理，用户视图两端为尖括号，其余均为方括号。

：与交换机建立连接即进入，Quit, 断开与网络设备的连接。

系统视图：

配置系统参数，

[Huawei]：在用户视图下键入system-view，Quit、return或ctrl+z返回到用户视图。

以太网端口视图：

配置以太网端口参数，分为以下两种：

固定以太网端口视图：

[Huawei-Ethernet0/0/1]：在系统视图下键入interface ethernet0/0/1，Quit返回系统视图，return或ctrl+z返回用户视图。

扩展百兆以太网端口视图：

[Huawei-Ethernet1/1/1]：在系统视图下键入interface ethernet1/ 1/1，Quit返回系统视图，return或ctrl+z返回用户视图。

VLAN视图：

配置VLAN参数

[Huawei-vlan1]：在系统视图下键入vlan 1，Quit返回系统视图，return或ctrl+z返回用户视图。

用户界面视图：

配置用户界面参数

[Huawei-ui-aux0]：在系统视图下键入user-interface aux，Quit返回系统视图，return或ctrl+z返回用户视图。

VLAN接口视图：

配置VLAN接口参数

[Huawei-vlanif10]：在系统视图下键入interface vlanif 10，Quit返回系统视图，return或ctrl+z返回用户视图。

Vty用户界面视图：

配置单个或多个Vty用户界面参数，共16条（0-15），常用5条（0-4）

[Huawei-ui-vty1]：在系统视图下键入user-interface vty 1，Quit返回系统视图，return或ctrl+z返回用户视图。

[Huawei-ui-vty1-3]：在系统视图下键入user-interface vty 1 3，Quit返回系统视图，return或ctrl+z返回用户视图。

console用户界面视图：

配置console用户界参数

[Huawei-ui-console0]：在系统视图下键入user-interface console 0，Quit返回系统视图，return或ctrl+z返回用户视图。

RIP/OSPF协议视图：

配置RIP/OSPF路由协议视参数

[Huawei-RIP-1]：在系统视图下键入rip，Quit返回系统视图，return或ctrl+z返回用户视图。

[Huawei-OSPF-1]：在系统视图下键入ospf，Quit返回系统视图，return或ctrl+z返回用户视图。

基本ACL视图：

配置基本ACL访问控制列表

[Huawei-acl-basic-2000]：在系统视图下键入acl Number（取值范围2000-2999），Quit返回系统视图，return或ctrl+z返回用户视图。

高级ACL视图：

配置高级ACL访问控制列表

[Huawei-acl-adv-3000]：在系统视图下键入acl Number（取值范围3000-3999），Quit返回系统视图，return或ctrl+z返回用户视图。

二层ACL视图：

配置二层ACL访问控制列表

[Huawei-acl-l2-4000]：在系统视图下键入acl Number（取值范围4000-4999），Quit返回系统视图，return或ctrl+z返回用户视图。

用户自定义ACL视图：

配置用户自定义ACL访问控制列表

[Huawei-acl-user-5000]：在系统视图下键入acl Number（取值范围5000-5999），Quit返回系统视图，return或ctrl+z返回用户视图。

六、常见指示灯：

PWR电源灯：绿色常亮代表正常；

SYS系统运行状态灯：

不亮：系统未运行；常绿：正常运行（慢闪），升级（快闪）；红色：不正常（常亮），出错（闪烁）

Eth以太网接口灯：

不亮：接口无连接；常亮（绿）：有连接；闪烁（绿）：传送数据；

STCK (stack堆叠模式状态灯）：

不亮：未选择stack模式；常亮（绿）：指示stack信息；

指示灯提示判断：

灯不亮：代表对应功能未启用。

绿色常亮：代表对应功能的正常运行。

红色常亮：代表报警或出现故障。

七、华为设备基本命令：

更多华为命令请参见附录七

查看命令display：

< HUAWEI > disp1ay current-configuration 显示当前配置

基本命令：

system-view 进入系统视图

[HUAWEl]sysname R1 设备命名为R1

[R1]interface gigabitethernet 0/0/1 进入端口视图

[R1 - Gigabitethernet 0/0/1)auto speed 1000 配置端口可自协商的速率

[R1 - Gigabitethernet 0/0/1 ]quit 返回系统视图

[R1]

启用telnet并配置vty线路登录的验证方式：

[HUAWEl]telnet server enable 打开telnet服务

[HUAWEl]user-interface vty O 4 开启vty线路模式

[HUAWEl-ui-vty0-4]protocol inbound telnet 配置vty支持telnet协议

[HUAWEl-ui-vty0-4]authentication-mode aaa | password | none 设置认证模式

[HUAWEl-ui-vty0-4]quit 为口令或aaa认证

若刚使用aaa认证：

[HUAWEl]aaa 进入aaa视图

[HUAWEl-aaa] local-user user1 password irreversible-cipher Huawei12#$ 配置用户名密码

[HUAWEl-aaa] local-user user1 privilege level 3 配置账号的权限为3

[H UAWE 1-aaa] return

save

配置console用户验证方式：

[HUAWEl]user-interface console 0

[HUAWEl-ui-consoleO] authentication-mode {aaalpasswordlnone} 三种认证模式

当采用本地验证的话，需要配置密码：

[HUAWEl-ui-consoleO] Set authentication password [cipher password]：

cipher password可选参数，如不使用，则采用交互方式输入明文密码，指定cipher password , 可输入明文/密文密码

八、华为交换机设备的配置：

配置端口隔离功能：

可实现本台交换机的两个接口之间的二层数据的隔离，而三层数据互通。

system-view

[Switch 1] port-isolate mode 12 配置全局端口隔离

[Switch 1 ]interface gigabitethernet 1 /0/1 模式为二层隔离。

[Switch1- Gigabitethernet 1 /0/1 ]port-isolate enable group1 打开端口隔离功能，并将

[Switch1- Gigabitethernet 1/0/2 ]port-isolate enable group1 端口加入到隔离组group1。

[Switch 1- Gigabitethernet 1 /0/2]quit

[Switch1]

即Switch1 的两个端口实现了二层隔离，注意，需要相互隔离的两个端口一定要加入相同的隔离组。

添加静态的MAC地址表项：

[Switch1] mac-address static 0001-0002-0003 Gigabitethernet 1/0/3 vlan 5

创建VLAN：

[Switch] [undo] vlan vlan-id：删除/创建vlan-id

[Switch]vlan batch [ vlan-id1 to vlan-id2]：批量创建VLAN

配置端口类型：

[Switch-Ethernet0/1] port link-type { access I trunk I hybrid }

把端口加入到一个指定VLAN：

[Switch-Ethernet0/1] port default vlan vlan-id

配置trunk中允许通过的VLAN：

[Switch-Ethernet0/1] port trunk allow-pass vlan [v-id1 to v-id1 | all]

指定hybrid端口以tagged/untagged方式加入VLAN：

[Switch-Ethernet0/1] port hybrid tagged I untagged vlan-id

配置管理IP地址和子网掩码：

[Switch]interface vlanif 1

[Switch-vlanif 1] ip address 192.168.0.1 255.255.255.0

实例说明（基千端口划分VLAN）：

PC-A和PC-C同属于一个VLAN 2且能相互通信；PC-B和PC-D同属于另一个VLAN 3且能相互通信；PC端用户端口类型为access , 交换机之间的端口采用带标签的hybrid类型或trunk类型两个方案。

如下图所示：

方案一：

配置交换机SW1所连接的PC端口所属VLAN；

< HUAWEI >system-view

[HUAWEl]sysname Switch1

[SwitchA] vlan batch 2 3 批量创建vlan 2 3

[SwitchA] interface gigabitethernet 0/0/1

[SwitchA - Gigabitethernet0/0/1]port link-type access 配置接口为access类型

[SwitchA - Gigabitethernet0/0/1]port default vlan 2 把接口加入到VLAN2

[SwitchA - Gigabitethernet0/0/1 ]quit

[SwitchA] interface giga bitethernet 0/0/2

[SwitchA _ Gigabitethernet

0/0/2]port link-type access 配置接口为access类型

[SwitchA _ Gigabitethernet

0/0/2]port default vlan 3 把接口加入到VLAN3

交换机SW2配置同SW1类似

配置交换机SW1和SW2连接的端口类型为Hybrid, 并以tagged带标签方式加入VLAN2和VLAN3；

[SwitchA] interface giga~itethernet 0/0/3

[SwitchA - Gigabitethernet0/0/3]port link-type hybrid 配置接口为hybrid类型

[SwitchA - Gigabitethernet0/0/3]port hybrid tagged vlan 2 to 3

交换机SW2配置同SW1类似

方案二：

第一步同方案一；

配置交换机SW1和SW2连接的端口类型为trunk, 同时允许所有vlan通过；

[SwitchA] interface gigabitethernet 0/0/3

[SwitchA - Gigabitethernet0/0/3]port link-type trunk 配置接口为trunk类型

[SwitchA - Gigabitethernet0/0/3]port trunk allow-pass vlan all

交换机SW2 配置同SW1类似

补充：基于MAC地址划分VLAN的实现

[Switch] vlan 3

[Switch-vlan3]mac-vlan mac-address 22-22-22 mac地址与对应的

[Switch-vlan3]quit vlan相关联

[Switch] interface gigabitethernet 0/0/1

[Switch - Gigabitethernet0/0/1 ]mac-vlan enable 接口视图下使能mac地址

划分vlan功能

注：华为设备中用户分为四级，每个级别的用户都能执行自己同一级别的命令以及低于自己级别的命令，具体的级别划分为：

参观级：（用户级别：0，命令级别：0）网络诊断工具命令( PIN G 、TRAC ERT ) 、从本设备出发访问外部设备的命令（包括： TELNET 客户端、SS H 客户端、RLOG IN ) 等，隐藏命令。该级别命令不允许进入配置文件保存。

监控级：（用户级别：1，命令级别：0，1）用千系统维护、业务故障诊断等，包括：DI S PLAY命令、DEBU GG IN G命令，该级别命令不允许进入配置文件保存。

配置级：（用户级别：2，命令级别：0，1，2）业务配置命令，包括：路由、各个网络层次的命令，这些用千向用户提供直接网络服务的命令。

管理级：（用户级别：3~15，命令级别：0，1，2，3）关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供起到支撑作用，包括：文件系统、FTP 、TFTP 、XM O DEM下载、配置文件切换命令、电源控制命令、备板控制命令、用户管理命令、级别设置命令、系统内部参数设置命令（非协议规定、非RFC规定等）。

GARP配置：

GARP (Generic Attribute Registration Protocol) 是一种通用属性注册协议，包括GVRP和GMRP两种应用，其中GVRP就类似千思科的VTP协议。

注册模式：

Normal模式：允许此端口动态注册、注销VLAN, 传播动态VLAN和静态VLAN的信息。最常用的模式。

Fixed模式：禁止此端口动态注册、注销VLAN, 只传播静态VLAN 的信息。

Forbidden模式：禁止此端口动态注册、注销VLAN, 不传播除VLAN1 以外的任何VLAN信息。

GARP配置案例：

说明：

实现在交换机A和B之间通过GVRP功能实现VLAN的动态注册，并达到互通的目的。

如下图：

交换机A的配置：

system-view

[HUAWEl]sysname SwitchA

[SwitchA] vlan batch 2 3 批量创建vlan 2 3

[SwitchA] gvrp 全局使能GVRP（开启GVRP）

[SwitchA] interface gigabitethernet 0/0/1

[SwitchA - Gigabitethernet0/0/1 ]port link-type trunk 配置接口为trunk类型

[SwitchA - Gigabitethernet0/0/1] port trunk allow-pass vlan all 允许所有注册VLAN通过

[SwitchA - Gigabitethernet0/0/1 ]gvrp 使能（打开）此接口的GVRP功能

[SwitchA - Gigabitethernet0/0/1] gvrp registration normal GVRP注册模式为normal

[SwitchA - Gigabitethernet0/0/1 ]quit

[SwitchA]

交换机B配置同A类似

display gvrp statistics 查看gvrp的统计信息

生成树协议STP配置：

[HUAWEI] stp enable | disable 使能（打开） | 关闭stp功能

[HUAWEI] stp mode stp | rstp 运行生成树协议stpf/rstp模式

[HUAWEI] stp root {primary | secondary} 配置为根桥或备份根桥

[HUAWEI] stp priority priority 配置网桥优先级(4096倍数)

[HUAWEI-GigabitethernetO/0/1] stp cost cost 配置端口开销

[HUAWEI-Gigabitethernet0/0/1] stp port priority priority 配置端口优先级

[HUAWEI-Gigabitethernet0/0/1] stp edged-port enable 配置端口为边缘端口

[HUAWEI-GigabitethernetO/O/1] stp bpdu-filter enable 启用端口BPDU报文过滤功能

STP配置案例：

说明：网络中的交换机A/8/C/D均运行STP, 从而消除网络中的环路，避免网络环路造成的故障。

具体如下：

Root Bridge

交换机B的配置：

system-view

[HUAWEl]sysname SwitchB

[SwitchB] stp mode stp 运行STP模式（其它交换机一样）

[SwitchB] stp root primary 设置交换机B为根桥

交换机A的配置：

[SwitchA] stp root secondary 设置交换机A为备份根桥

[SwitchA] stp pathcost-standard legacy

配置STP端口路径开销的计算方法为华为算法(C 、D交换机一样）

交换机C的配置：

[SwitchC] interface gigabitethernet 0/0/1

[SwitchC- Gigabitethernet0/0/1 ]stp cost 2000 配置此接口开销值为2000

将连接PC的端口设置为边缘端口：

[SwitchC-Gigabitethernet0/0/2] stp edged-port enable 配置端口为边缘端口

[SwitchC-GigabitethernetO/O/2] stp bpdu-filter enable 启用端口BPDU报文过滤功能

[SwitchD-Gigabitethernet0/0/2] stp edged-port enable 配置端口为边缘端口

[SwitchD-Gigabitethernet0/0/2] stp bpdu-filter enable 启用端口BPDU报文过滤功能

链路聚合：

步骤一：在SwitchA和SwitchB上创建Eth-Trunk接口并加入成员接口：

system-view

[HUAWEI] sysname SwitchA 交换机A

[SwitchA] interface eth-trunk 1

[SwitchA-Eth-Trunk1] trunkport gigabitethernet 1/0/1 to 1/0/3 添加成员端口

[SwitchA-Eth-Trunk1] quit

system-view

[HUAWEI] sysname SwitchB 交换机B

[SwitchB] interface eth-trunk 1

[SwitchB-Eth-Trunk1] trunkport gigabitethernet 1/0/1 to 1/0/3

[SwitchB-Eth-Trunk1] quit

步骤二：创建VLAN并将接口加入VLAN :

创建VLAN1O和VLAN20并分别加入接口：

[SwitchA] vlan batch 10 20

[SwitchA] interface gigabitethernet 1/0/4

[SwitchA-GigabitEthernet1/0/4] port link-type trunk

[SwitchA-GigabitEthernet1/0/4] port trunk allow-pass vlan 10

[SwitchA-GigabitEthernet1/0/4] quit

[SwitchA] interface gigabitethernet 1/0/5

[SwitchA-GigabitEthernet1/0/5] port link-type trunk

[SwitchA-GigabitEthernet1/0/5] port trunk allow-pass vlan 20

[SwitchA-GigabitEthernet1/0/5] quit

SwitchB的配置与SwitchA类似，不再赘述。

配置Eth-Trunk1接口允许VLANlO和VLAN20通过：

[SwitchA] interface eth-trunk 1

[SwitchA-Eth-Trunk1] port link-type trunk

[SwitchA-Eth-Trunk1] port trunk allow-pass vlan 10 20

[SwitchA-Eth-Trunk1] quit

SwitchB的配置与SwitchA类似，不再赘述。

步骤三：配置Eth-Trunk1 的负载分担方式：

[SwitchA] interface eth-trunk 1

[SwitchA-Eth-Trunk1] load-balance src-dst-mac 源地址-目的地址-MAC地址

[SwitchA-Eth-Trunk1] quit

SwitchB的配置与SwitchA类似，不再赘述。

负载分担可以提高链路可靠性

步骤四：验证配置结果：

在任意视图下执行display eth-trunk 1命令，检查Eth-Trunk是否创建成功，及成员接口是否正确加入。
<h2>第十五章：组网技术</h2>
<h2>第十六章：网络管理</h2>

文章作者：鲸一
文章链接：https://www.saroin.com/archives/1616.html
版权声明：本博客所有文章除特别声明外，均采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。转载请注明来自鲸一！