网络控制与制造全册配套最完整精品课件3.ppt

1、网络控制与制造全册配套网络控制与制造全册配套 最完整精品课件最完整精品课件3 网络体系结构中的几个概念网络体系结构中的几个概念 n网络协议网络协议 n协议分层协议分层 n网络体系结构网络体系结构 n其他相关概念其他相关概念 网络协议网络协议 计算机网络中，协议的定义是计算机网络中计算机网络中，协议的定义是计算机网络中 实体之间有关通信规则约定的集合。实体之间有关通信规则约定的集合。 一个网络协议主要由一个网络协议主要由组成组成: 语法语法（Syntax），即数据与控制信息的结构、），即数据与控制信息的结构、 格式和编码。格式和编码。 语义语义（Semantics），即需要发出何种控制信），即需

2、要发出何种控制信 息，完成何种动作以及做出何种应答。息，完成何种动作以及做出何种应答。 时序时序（Timing），即事件实现的先后顺序和速），即事件实现的先后顺序和速 度匹配的详细说明。度匹配的详细说明。 狭义地说，协议分层就是按照信息的流动过程将狭义地说，协议分层就是按照信息的流动过程将 网络的整体功能分解为一个个的功能层。网络的整体功能分解为一个个的功能层。 每个功能层对应的协议规定其功能，每个功能层对应的协议规定其功能，不同机器不同机器上的上的 同等功能层同等功能层之间采用相同的之间采用相同的协议协议，同一机器同一机器上的上的相相 邻功能层邻功能层之间通过之间通过接口接口进行数据传递。进

3、行数据传递。 分层的基本原则是定义每一层向上一层提供的服分层的基本原则是定义每一层向上一层提供的服 务，以保证每层的功能相互独立，但不规定如何务，以保证每层的功能相互独立，但不规定如何 完成这些服务。完成这些服务。 邮政系统分层模型 协议分层的优点协议分层的优点 n各层之间相互独立。各层之间相互独立。 n灵活性好。灵活性好。 n各层都可以采用最合适的技术来实现，各各层都可以采用最合适的技术来实现，各 层实现技术的改变不影响其他层。层实现技术的改变不影响其他层。 n易于实现和维护。易于实现和维护。 n有利于促进标准化。有利于促进标准化。 网络体系结构网络体系结构 n网络体系结构（网络体系结构（N

4、etwork Architecture）是指）是指 网络中分层模型、各层协议和层间接口的集合。网络中分层模型、各层协议和层间接口的集合。 n网络协议实现的细节不属于网络体系结构的内网络协议实现的细节不属于网络体系结构的内 容，它们隐含在机器内部，对外部来说是不可容，它们隐含在机器内部，对外部来说是不可 见的。见的。 OSI/RM 与与 TCP/IP OSI 参考模型的形成参考模型的形成 nIBM公司于1974年提出了系统网络体系结构 SNA（Systems Network Architecture），这 是世界上第一个按照分层方法制定的网络设计 标准。 nDEC公司于1975年提出了数字网络体

5、系结构 DNA （Digital Network Architecture）。 n国际标准化组织ISO从1978年2月开始研究开 放式系统互连参考模型OSI/RM，1982年4月 形成国际标准草案（ISO / DIS7498）。 OSI/RM 模型的分层原则模型的分层原则 n分层不要太多； n在服务的描述工作最少的地方、在穿过边界相 互作用次数最少的地方建立边界，对每一层只 建立它与上、下层的边界； n对技术上或处理上明显不同的功能，应建立不 同的层来处理； n对功能界限明显的功能应单设一层，以便在整 体重新设计时，不改变该层与邻层的关系。 为标识每个层次，应提供以下内容：为标识每个层次，应提

6、供以下内容： 1、建立该层的目的；、建立该层的目的； 2、该层的功能和要用到的下层服务；、该层的功能和要用到的下层服务； 3、该层给上层提供的服务。、该层给上层提供的服务。 OSI/RM层与层之间的联系层与层之间的联系 OSI 参考参考 模型模型 示意示意 图图 物理层物理层 ISO/OSI RM中各层中各层 的主要功能的主要功能 在数据链路层的在数据链路层的 两个实体之间建两个实体之间建 立、维持和释放立、维持和释放 物理连接物理连接 规定在物理层传规定在物理层传 送送0、1数据的电数据的电 参数（波形、频参数（波形、频 率、电平）率、电平） 规定所用的规定所用的 连接器连接器 传送二进传送

7、二进 制比特流制比特流 数据链路层数据链路层 数据链路的数据链路的 建立、维持建立、维持 和释放和释放 帧的分界帧的分界 和同步和同步 差错检测差错检测 与控制与控制 顺序控制及顺序控制及 层内管理层内管理 流量控制流量控制 传送帧传送帧 ISO/OSI RM中各层中各层 的主要功能的主要功能 网络层网络层 路径选择路径选择 网络中拥网络中拥 塞控制塞控制 传送分组传送分组 ISO/OSI RM中各层中各层 的主要功能的主要功能 传输层传输层 提供两个端系统提供两个端系统 之间可靠、透明之间可靠、透明 的数据传送的数据传送 差错控制差错控制 顺序控制顺序控制 流量控制流量控制 传送报文传送报文

8、 ISO/OSI RM中各层中各层 的主要功能的主要功能 会话层会话层 传送报文传送报文 为通信的两个进为通信的两个进 程建立会话连接，程建立会话连接， 进行交换进行交换 会话管理会话管理 令牌管理令牌管理 同步管理同步管理 ISO/OSI RM中各层中各层 的主要功能的主要功能 表示层表示层 信息格式信息格式 的转换的转换 数据的加数据的加 密和解密密和解密 OSI内部语法内部语法 ISO/OSI RM中各层中各层 的主要功能的主要功能 应用层应用层 为用户使用网为用户使用网 络提供接口络提供接口 ISO/OSI RM中各层中各层 的主要功能的主要功能 ISO/OSI RM中各层中各层 的主

9、要功能的主要功能 OSI 开放开放 环境环境 7 7 6 6 5 5 4 4 3 3 2 2 1 1 7 7 6 6 5 5 4 4 3 3 2 2 1 1 3 3 2 2 1 1 3 3 2 2 1 1 OSI环境环境 网络环境网络环境 数据通数据通 信网信网 计算机计算机A 计算机计算机B 实系统环境实系统环境 OSI/RM 模型的特点模型的特点 n每个层次的对应实体之间都通过各自的协每个层次的对应实体之间都通过各自的协 议通信。议通信。 n各个计算机系统都有相同的层次结构。各个计算机系统都有相同的层次结构。 n不同系统的相应层次有相同的功能。不同系统的相应层次有相同的功能。 n同一系统的

10、各层次之间通过接口联系。同一系统的各层次之间通过接口联系。 n相邻的两层之间，下层为上层提供服务，相邻的两层之间，下层为上层提供服务， 同时上层使用下层提供的服务。同时上层使用下层提供的服务。 小结小结 OSI参考模型的参考模型的低三层是属于通信低三层是属于通信 子网子网，涉及为用户间提供透明连接。，涉及为用户间提供透明连接。高高 三层属于资源子网三层属于资源子网，主要保证信息以正，主要保证信息以正 确可理解的形式传送。传输层是高三层确可理解的形式传送。传输层是高三层 和低三层之间的接口，它是第一个端到和低三层之间的接口，它是第一个端到 端的层次，保证可靠的端到端连接。端的层次，保证可靠的端到

11、端连接。 思考题思考题 源结点的应用层发送源结点的应用层发送64个字节的数个字节的数 据到目的结点的应用层，因为低层软件据到目的结点的应用层，因为低层软件 要增加自己的控制信息，所以传到目的要增加自己的控制信息，所以传到目的 结点的应用层后，数据长度会大于结点的应用层后，数据长度会大于64 个字节。这种说法对不对？个字节。这种说法对不对？ 互联网互联网 n网络互连要解决的首要问题是将物理网络连接成网络互连要解决的首要问题是将物理网络连接成 一个统一的无缝的网络整体，以隐藏这些物理网一个统一的无缝的网络整体，以隐藏这些物理网 络的低层细节，向用户提供一个统一的、通用的络的低层细节，向用户提供一个

12、统一的、通用的 通信服务。通信服务。 n互联网互联网 （internet）是建立在功能和逻辑上的深）是建立在功能和逻辑上的深 层意义的连接技术，组成更大规模的计算机网络层意义的连接技术，组成更大规模的计算机网络 。 n为隐藏低层网络的异构性，可以在两个层次上实为隐藏低层网络的异构性，可以在两个层次上实 现异构网络互连：一种是应用级互连，即通过应现异构网络互连：一种是应用级互连，即通过应 用程序实现互连。另一种是网络级互连，即通过用程序实现互连。另一种是网络级互连，即通过 操作系统进行互连。操作系统进行互连。 n应用级互连存在的问题：网络系统中新增应用级互连存在的问题：网络系统中新增 功能或硬件

13、时，需为每台机器编写新的应功能或硬件时，需为每台机器编写新的应 用程序；每个应用程序都要处理机器与网用程序；每个应用程序都要处理机器与网 络连接的细节，导致代码重复。络连接的细节，导致代码重复。 n网络级互连则在系统中增加网络层等中间网络级互连则在系统中增加网络层等中间 层次，使应用程序不直接处理物理网络连层次，使应用程序不直接处理物理网络连 接，因此物理网络硬件特性及其变化不会接，因此物理网络硬件特性及其变化不会 影响到应用程序；不同应用程序可以共享影响到应用程序；不同应用程序可以共享 网络级互连所提供的分组交换服务，不再网络级互连所提供的分组交换服务，不再 产生重复代码。产生重复代码。 T

14、CP/IP nTCP/IP的原理和技术是解决网络级互连问的原理和技术是解决网络级互连问 题的具体解决办法。通过题的具体解决办法。通过TCP/IP实现了对实现了对 各种不同的物理网络的一种抽象，使底层各种不同的物理网络的一种抽象，使底层 网络技术对用户或应用程序透明。网络技术对用户或应用程序透明。 nTCP/IP最初是为最初是为ARPANET网开发的网络网开发的网络 体系结构，因其中两个重要协议（传输控体系结构，因其中两个重要协议（传输控 制协议制协议TCP和网络互联协议和网络互联协议IP）而得名。）而得名。 nTCP/IP是一种事实上的标准。是一种事实上的标准。 TCP/IP参考模型参考模型

15、处理网络应用处理网络应用 端到端的连接端到端的连接 寻址和最短路径寻址和最短路径 （由具体物理网络（由具体物理网络 提供相应功能）提供相应功能） 网络接口层（主机网络接口层（主机-网络层）网络层） n网络接口层是网络接口层是TCP/IP体系的最低层，负责接收体系的最低层，负责接收 从从IP层送来的层送来的IP数据报，并通过底层物理网络发数据报，并通过底层物理网络发 送出去，或者从底层物理网络上接收物理帧，送出去，或者从底层物理网络上接收物理帧， 抽出抽出IP数据报交给数据报交给IP层。层。 n网络接口层的作用是传输经网络接口层的作用是传输经IP层处理过的信息，层处理过的信息， 并提供一个主机与

16、物理网络的接口。并提供一个主机与物理网络的接口。 nTCP/IP实际并未定义任何数据链路层协议和物实际并未定义任何数据链路层协议和物 理层协议，它可运行在现有的任何一种数据链理层协议，它可运行在现有的任何一种数据链 路层和物理层之上。路层和物理层之上。 网络互连层网络互连层 网络互连层在功能上类似于网络互连层在功能上类似于OSI参考模型参考模型 中的网络中的网络 层，它的任务是使主机可以把分组发往任何网络，层，它的任务是使主机可以把分组发往任何网络， 并使各分组独立地传向目的地。并使各分组独立地传向目的地。 IP层的主要功能包括三个方面：层的主要功能包括三个方面： 第一，处理来自传输层的数据发

17、送请求。第一，处理来自传输层的数据发送请求。 第二，处理低层输入数据报。第二，处理低层输入数据报。 第三，处理第三，处理ICMP（Internet控制报文协议）控制报文协议） 报文。报文。 应用层应用层 传输控制层传输控制层 网络接口层网络接口层 网络互连层网络互连层 IP ICMP ARP RARP 网络互连层的四个主要协议网络互连层的四个主要协议 n网络互连层主要的协议就是无连接的网络 互连协议（IPInternet Protocol）。 n与IP协议配合使用的还有三个协议 Internet控制报文协议ICMP、地址解析协 议ARP和逆地址解析协议RARP。 传输控制层传输控制层 n传输控

18、制层的作用与传输控制层的作用与OSI参考模型中传输层的作用是参考模型中传输层的作用是 一样的，即在源节点和目的节点的两个进程实体之一样的，即在源节点和目的节点的两个进程实体之 间提供可靠的间提供可靠的端到端的数据通信端到端的数据通信。 应用层应用层 传输控制层传输控制层 网络接口层网络接口层 网络互连层网络互连层 面向连接的面向连接的 TCP 无连接的无连接的 UDP nUDP协议是一个不可靠的、协议是一个不可靠的、 无连接的传输层协议，无连接的传输层协议，UDP 协议将可靠性问题交给应用协议将可靠性问题交给应用 程序解决。程序解决。 nTCP协议是一个可靠的面向协议是一个可靠的面向 连接的传

19、输层协议，以建立连接的传输层协议，以建立 高可靠性的消息传输连接为高可靠性的消息传输连接为 目的。目的。 应用层应用层 应用层应用层 传输控制层传输控制层 网络接口层网络接口层 网络互连层网络互连层 文件传输文件传输 FTP、 、TFTP、NFS 电子邮件电子邮件 SMTP、POP3 WWW应用应用 HTTP 远程登录远程登录 Telnet、rlogin 网络管理网络管理 SNMP 域名管理域名管理 DNS TCP/IP的最高层是应用层。的最高层是应用层。 应用层为用户提供所需要的各应用层为用户提供所需要的各 种服务。种服务。 TCP/IP模型的特点模型的特点 1、两个重要边界 n地址边界。它

20、将IP逻辑地址与底层网络的硬件地址分开。 n操作系统边界。它将网络应用与协议软件分开。 2、IP的重要性 IP向上层提供统一的IP报文，使得各种帧或报文格式的差异 性对高层协议不复存在。IP层是TCP/IP实现异构网互连最关 键和最核心的一层。 3、TCP/IP的可靠性 IP采用无连接的数据报传输机制，对数据“尽最大努力传递” TCP/IP的可靠性体现在传输控制层，传输层协议中的 TCP 协议提供面向连接的可靠的端到端服务。 TCP/IP与与ISO-OSI体系结构的对比体系结构的对比 面向连接面向连接 无连接无连接 面向连接面向连接 无连接无连接 无连接无连接 面向连接面向连接 无连接无连接

21、TCP/IP 模型中的协议与网络模型中的协议与网络 IP地址及其表示方法地址及其表示方法 n IP地址就是地址就是IP协议为标识主机所使用的一种协议为标识主机所使用的一种 寻址方法，它是寻址方法，它是32位（位（4字节）的无符号二字节）的无符号二 进制数。进制数。 n互联网上的每个主机或路由器都被指定一个互联网上的每个主机或路由器都被指定一个 IP地址，它只是一种逻辑编号，并不是主机地址，它只是一种逻辑编号，并不是主机 或路由器的或路由器的MAC（Media Access Control， 介质访问控制）地址。介质访问控制）地址。 n在在Internet上，每个主机或路由器分配到的上，每个主机

22、或路由器分配到的 IP地址在全球范围是唯一的。地址在全球范围是唯一的。 IP 地址格式地址格式 net-id 24 bit host-id 24 bit net-id 16 bit net-id 8 bit 0 A 类地址类地址 host-id 16 bit B 类地址类地址 C 类地址类地址01 1 host-id 8 bit D 类地址类地址 1 1 1 0多多 播播 地地 址址 E 类地址类地址保保 留留 为为 今今 后后 使使 用用1 1 1 1 0 01 A 类地址的网络号字段类地址的网络号字段 net-id 为为 1 字节字节 B 类地址的网络号字段类地址的网络号字段 net-id

23、 为为 2 字节字节 C 类地址的网络号字段类地址的网络号字段 net-id 为为 3 字节字节 A 类地址的主机号字段类地址的主机号字段 host-id 为为 3 字节字节 B 类地址的主机号字段类地址的主机号字段 host-id 为为 2 字节字节 C 类地址的主机号字段类地址的主机号字段 host-id 为为 1 字节字节 D 类地址是多播地址类地址是多播地址 E 类地址保留为今后使用类地址保留为今后使用 IP地址格式与分布比例地址格式与分布比例 IP地址的使用范围地址的使用范围 网络 类型 最大网络数 网络号范围 最大主机数 主机号范围 A 126（27-2） 1126 1677721

24、4（224-2） 0.0.1 255.255.254 B 16382（214-2） 128.1191.254 65534（216-2） 0.1255.254 C 2097150（221-2）192.0.1 223.255.254 254（28-2） 1254 IP 的特点的特点 nIP地址是一种非等级的地址结构。地址是一种非等级的地址结构。 n当一个节点（如路由器）同时连接到两个网络上时，当一个节点（如路由器）同时连接到两个网络上时， 该节点就必须同时具有两个相应的该节点就必须同时具有两个相应的IP地址，并且网络地址，并且网络 标识号必须是不同的。标识号必须是不同的。 n按照按照Interne

25、t的观点，用中继器（的观点，用中继器（Repeater）或网桥）或网桥 （Bridge）连接起来的若干个局域网仍为一个网络，）连接起来的若干个局域网仍为一个网络， 因此，这些局域网都具有同样的网络号。因此，这些局域网都具有同样的网络号。 n在在IP地址中，所有分配的网络彼此都是平等的。地址中，所有分配的网络彼此都是平等的。 n通过通过IP地址形式来指明一个网络的地址。这时，只要地址形式来指明一个网络的地址。这时，只要 将该将该IP地址的主机号二进制位全部置为地址的主机号二进制位全部置为0即可。即可。 思考题 某个部门申请到了一个C类网络地址，但 该部门只有40台主机，这样这个地址中有 200多

26、个主机号就白白浪费掉了，因为其他 部门的主机无法使用这些号。这种情况该 如何处理？ 为便于管理，通常将本部门的主机划分为 彼此相连的若干网段（子网），而这些网段 被作为统一的整体来管理。 IP地址子网划分 n子网寻址技术将主机标识部分划分出 一定的位数用作本网的各个子网，剩余的 主机标识作为相应子网的主机标识部分。 n子网划分需要用“子网掩码”来进行。 n子网掩码凡是IP地址的网络和子网标识 部分，用二进制数“1”表示；凡是IP地址的 主机标识部分，用二进制数“0”表示。 IP 地址和子网掩码 网络号网络号 net-id主机号主机号 host-id两级两级 IP 地址地址 网络号网络号 net

27、-idhost-id三级三级 IP 地址地址 主机号主机号 subnet-id 子网号子网号 子网掩码子网掩码 因特网部分因特网部分本地部分本地部分 因特网部分因特网部分本地部分本地部分 划分子网时划分子网时 的网络地址的网络地址 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 net-idsubnet-idhost-id 为全为全 0 C类网络划分4个子网 n可以将这个C类地址的最后8位二进制位的 前两位留出来作为子网划分，它们分别是 00，01，10，11 。 如何获得 IP 地址的子网地址与主机地址 ? n将

28、子网掩码与IP地址作逻辑“与”操作， 可得到其IP地址的子网地址。 n将子网掩码的反码与IP地址作逻辑“与” 操作，可得到其IP地址的主机地址。 (IP 地址地址) AND (子网掩码子网掩码) =子网地址子网地址 网络号网络号 net-id主机号主机号 host-id两级两级 IP 地址地址 网络号网络号 三级三级 IP 地址地址 主机号主机号 net-idhost-idsubnet-id 子网号子网号 子网掩码子网掩码 因特网部分因特网部分本地部分本地部分 因特网部分因特网部分本地部分本地部分 划分子网时划分子网时 的网络地址的网络地址 1 1 1 1 1 1 1 1 1 1 1 1 1

29、1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 net-idsubnet-idhost-id 为全为全 0 AND 查找网卡的物理地址 nWindows 9x/me/2000/XP：在命令提示符 状态下，键入“ipconfig/all”，在显示信息 里面查看Physical Address（物理地址）， 是类似00-E0-4C-4E-00-00的六组两位十 六进制的数列。 nLinux：在控制台下键入“ipconfig eth0”， 在显示信息里面查看类似HWaddr 00：01： 02：FD：00：00的六组两位十六进制的数 列。 IP地址和地址和MAC地址的转换

30、地址的转换 地址解析协议地址解析协议 ARP与与 逆向地址解析协议逆向地址解析协议RARP n在计算机中应存放一个从在计算机中应存放一个从IP地址到物理地址的地址到物理地址的 转换表，并且能够经常动态更新。这由每台主转换表，并且能够经常动态更新。这由每台主 机中的机中的ARP高速缓存完成。高速缓存完成。 nRARP使得只知道自己物理地址的主机能够知使得只知道自己物理地址的主机能够知 道其道其IP地址。这种主机往往是无盘工作站。地址。这种主机往往是无盘工作站。 Internet控制报文协议控制报文协议ICMP n为减少分组的丢失，使用为减少分组的丢失，使用ICMP报告差错情况。报告差错情况。 n

31、ICMP实际上是实际上是IP协议中的一个模块，当协议中的一个模块，当IP收到收到 ICMP报文后，交给报文后，交给ICMP模块进行处理。模块进行处理。 nICMP报文被作为报文被作为IP层数据报的数据来封装，加层数据报的数据来封装，加 上数据报的首部，组成上数据报的首部，组成IP数据报发送出去。数据报发送出去。 ICMP报文格式及封装报文格式及封装 类型字段值与类型字段值与ICMP报文类型的关系报文类型的关系 类型字段值类型字段值ICMP报文类型报文类型 0Echo（回送）回答（回送）回答 3目的站不可达目的站不可达 4源站抑制源站抑制 5改变路由改变路由 8Echo请求请求 11数据报时间超

32、时数据报时间超时 12数据报的参数有问题数据报的参数有问题 13时间戳请求时间戳请求 14时间戳回答时间戳回答 17地址掩码请求地址掩码请求 18地址掩码回答地址掩码回答 ICMP改变路由的示例改变路由的示例 IP报文的分段与重组报文的分段与重组 n不同的物理网络所支持的最大帧长各不相同。不同的物理网络所支持的最大帧长各不相同。 把物理网络中一帧所能容纳的最大数据量称为把物理网络中一帧所能容纳的最大数据量称为 最大传输单元最大传输单元MTU（Maximum Transmission Unit）。）。 n为了能将为了能将IP报文封装在不同的物理帧内，每个报文封装在不同的物理帧内，每个 报文应该小

33、于或等于一个网络的报文应该小于或等于一个网络的MTU。 路由器连接两个具有不同路由器连接两个具有不同MTU值的网络值的网络 IP数据报使用分段方法来解决这一问题数据报使用分段方法来解决这一问题 IP报文的分段与重组报文的分段与重组 n路由器在对数据报进行分段时，根据相应网络路由器在对数据报进行分段时，根据相应网络 的的MTU和数据报头部尺寸来计算每段所能携带和数据报头部尺寸来计算每段所能携带 的最大数据量和分段个数，然后生成这些段。的最大数据量和分段个数，然后生成这些段。 n重组是分段的逆过程，即在所有分段基础上重重组是分段的逆过程，即在所有分段基础上重 新还原成原数据报的一个副本的过程。新还

34、原成原数据报的一个副本的过程。 nIP协议规定：只有最终目的主机才能对分段进协议规定：只有最终目的主机才能对分段进 行重组。行重组。 IP报文的分段与重组报文的分段与重组 n根据根据IP报文的分段偏移和报文的分段偏移和MF标志位判断其标志位判断其 是否为一个分段。若是否为一个分段。若MF为为“0”，且分段，且分段 偏移也为偏移也为“0”，可以判断这是一个完整的，可以判断这是一个完整的 报文；否则，表明它是一个分段。报文；否则，表明它是一个分段。 n在数据报分段之后的传输过程中，还需要在数据报分段之后的传输过程中，还需要 解决两个问题：段的丢失和段的进一步分解决两个问题：段的丢失和段的进一步分

35、解。解。 IP数据报的转发机制数据报的转发机制 n完成完成IP数据报的正确转发是数据报的正确转发是IP协议的一项重要协议的一项重要 功能，实现这一功能的关键设备是功能，实现这一功能的关键设备是IP路由器。路由器。 nIP路由器主要有两大功能：一是将路由器主要有两大功能：一是将IP数据报正数据报正 确地转发到下一个路由器；二是根据路由算法确地转发到下一个路由器；二是根据路由算法 与其他路由器不断交换路由信息，更新路由表。与其他路由器不断交换路由信息，更新路由表。 IP路由器的路由表路由器的路由表 路路 由由 选选 择择 算算 法法 练习题练习题 1、计算机网络层次结构模型和各层协议的集、计算机网

36、络层次结构模型和各层协议的集 合叫做合叫做_？ 2、OSI参考模型中，向用户提供可靠的端到参考模型中，向用户提供可靠的端到 端服务，透明地传送报文的是端服务，透明地传送报文的是_？ 3、负责电子邮件传送和接收的应用层协议是、负责电子邮件传送和接收的应用层协议是 _和和_？ 4、论述、论述TCP/IP协议模型与协议模型与OSI模型的相同点模型的相同点 和不同点。和不同点。 小结小结 n网络体系结构是一种分层结构网络体系结构是一种分层结构 n分层的目的是分层的目的是把复杂的网络互联问题划分为若干个较把复杂的网络互联问题划分为若干个较 小的、单一的问题，在不同层上予以解决小的、单一的问题，在不同层上

37、予以解决 n协议是通信双方对等实体的通话规则协议是通信双方对等实体的通话规则 n同一机器上的相邻功能层之间通过接口进行数据传递同一机器上的相邻功能层之间通过接口进行数据传递 n层和协议就构成了网络体系结构层和协议就构成了网络体系结构 nOSI/RM是一种是一种“官方官方”的国际标准的国际标准 nTCP/IP是一种是一种“事实上事实上”的国际标准的国际标准 n l 网络安全手段之信息加密 n l 网络安全手段之防火墙 n l 网络病毒 n l 网络管理 n n 先天性安全漏洞 n Internet的前身是APPANET，而APPNET最初是 为军事机构服务的，对网络安全的关注较少。 n在进行通信

38、时，Internet用户的数据被拆成一个 个数据包，然后经过若干结点辗转传递到终点。 n在Internet上，数据传递是靠TCP/IP实现的。但是 TCP/IP在传递数据包时，并未对其加密。换言之，在 数据包所经过的每个结点上，都可直接获取这些数据 包，并可分析、存储之。如果数据包内含有商业敏感 数据或个人隐私信息，则任何人都可轻易解读。 网络安全威胁国家基础设施 因特网因特网 网络对国民经济的影响在加强网络对国民经济的影响在加强 安全漏洞危害在增大安全漏洞危害在增大 信息对抗的威胁在增加信息对抗的威胁在增加 研究安全漏洞以防之研究安全漏洞以防之 因特网因特网 电力电力 交通交通 通讯通讯 控

39、制控制 广播广播 工业工业 金融金融 医疗医疗 研究攻防技术以阻之研究攻防技术以阻之 苍蝇不叮无缝的苍蝇不叮无缝的 蛋蛋 计算机网络犯罪及特点 n 据伦敦英国银行协会统计，全球每年因计算机 犯罪造成的损失大约为80亿美元。而计算机安全专 家则指出，实际损失金额应在100亿美元以上。 n 网络犯罪的特点是，罪犯不必亲临现场、所遗留 的证据很少且有效性低。并且，与此类犯罪有关的法 律还有待于进一步完善。 n 遏制计算机犯罪的有效手段是从软、硬件建设做 起，力争防患于未然，例如，可购置防火墙 （firewall），进行网络安全培训，增强防范意识等。 计算机面临的安全威胁 n 安全威胁可以划分为以下三

40、种类型： n 意外的安全威胁 n 管理的安全威胁 n 故意的安全威胁 安全威胁的表现形式可能有主动攻击（中断、篡改、伪造）、被动攻击安全威胁的表现形式可能有主动攻击（中断、篡改、伪造）、被动攻击 （截获）、拒绝服务、设置后门、传播病毒等。（截获）、拒绝服务、设置后门、传播病毒等。 木马、暗门、病毒 nl 计算机技术中的木马，是一种与计算机病毒类似 的指令集合，它寄生在普通程序中，并在暗中进行某 些破坏性操作或进行盗窃数据。木马与计算机病毒的 区别是，前者不进行自我复制，即不感染其他程序。 l 暗门（trapdoor）又称后门（backdoor），指隐藏在程序中的秘密功能， 通常是程序设计者为了

41、能在日后随意进入系统而设置的。 l l 病毒病毒（Virus）是一种会）是一种会“传染传染”其他程序的程序，其他程序的程序，“传染传染”是通过修改是通过修改 其他程序来把自身或其变种复制进去完成的。其他程序来把自身或其变种复制进去完成的。 n各种安全威胁都可能成为黑客对网络信息系 统攻击的手段。免受安全威胁的最有效的方法 是不要运行来历不明的程序。 l l 蠕虫蠕虫（Worm）是一种通过网络通信功能将自身从一个节点发送到另一个）是一种通过网络通信功能将自身从一个节点发送到另一个 节点并启动之的程序。节点并启动之的程序。 l l 逻辑炸弹逻辑炸弹（Logic Bomb）是一种当运行环境满足某种特

42、定条件时执行）是一种当运行环境满足某种特定条件时执行 其他特殊功能的程序。其他特殊功能的程序。 加密指改变数据的表现形式。信息加密的目的是确保通信双方相互交换的数据加密指改变数据的表现形式。信息加密的目的是确保通信双方相互交换的数据 是加密的，即使这些数据在传送过程中被第三方截获，也无法了解该信息的真实含是加密的，即使这些数据在传送过程中被第三方截获，也无法了解该信息的真实含 义。义。 加密旨在对第三者保密，如果信息由源点直达目的地，在传递过程中不会加密旨在对第三者保密，如果信息由源点直达目的地，在传递过程中不会 被任何人接触到，则无需加密。被任何人接触到，则无需加密。 加密与解密 n“Thi

43、sisabook”称为明文（plaintext或cleartext）； “!#$%&*()-”称为密文（ciphertext）。 n明文转换成密文的过程称为加密（encryption）， n相反的过程则称为解密（decryption）。 This is a book!#$%&*()- This is a book!#$%&*()- 加密 解密 加、解密示意图 算法类型 n 目前加密数据涉及到的算法有秘密钥匙 （secret key）和公用钥匙（public key）加密 算法。 n 比较著名的有美国的DES算法，RSA非对称 公开密钥算法以及瑞典开发的IDEA加密算法等。 nDES算法的原理是

44、使用一套公开算法 及 秘密 钥匙完成对明文的加密。 秘密钥匙加密 n秘密钥匙加密法又称为对称式加密法或传统加密 法。其特点是加密明文和解读密文时使用的是同一 把钥匙。 缺点：缺点：由于至少有两个人持有钥匙，所以任何一方都由于至少有两个人持有钥匙，所以任何一方都 不能完全确定对方手中的钥匙是否已经透露给第三者。不能完全确定对方手中的钥匙是否已经透露给第三者。 This is a book!#$%&*()- This is a book!#$%&*()- 加密 解密 秘密钥匙 公用钥匙加密 n 公用钥匙加密法又称非对称式加密，RSA非对称 公开密钥算法就是一种公用钥匙加密法。 公用钥匙加密法的特色

45、是完成一次加、解密操公用钥匙加密法的特色是完成一次加、解密操 作时，需要使用作时，需要使用一对钥匙一对钥匙。通常，将其中的一个钥通常，将其中的一个钥 匙称为匙称为私有钥匙私有钥匙（private keyprivate key），由个人妥善收藏；），由个人妥善收藏； 与之成对的另一把钥匙称为与之成对的另一把钥匙称为公用钥匙公用钥匙，公用钥匙可，公用钥匙可 以像电话号码一样被公之于众。以像电话号码一样被公之于众。 nX需要传送数据给A，X可将数据用A的公用钥匙 加密后再传给A，A收到后再用私有钥匙解密。 缺点：缺点：利用公用钥匙加密虽然可避免钥匙共享而带来利用公用钥匙加密虽然可避免钥匙共享而带来

46、的问题，但使用时要的计算量较大。的问题，但使用时要的计算量较大。 T h i s i s a b o o k! # $ % & * ( ) - T h i s i s a b o o k! # $ % & * ( ) - 加 密 解 密 私 有 钥 匙 公 用 钥 匙 网络安全手段之二防火墙 防火墙是用来连接两个网络并控制两个网络之防火墙是用来连接两个网络并控制两个网络之 间相互访问的系统，它包括用于网络连接的软件和间相互访问的系统，它包括用于网络连接的软件和 硬件以及控制访问的方案。硬件以及控制访问的方案。主要功能主要功能是对进出的所是对进出的所 有数据进行分析，并对用户进行认证，从而防止有

47、有数据进行分析，并对用户进行认证，从而防止有 害信息进入受保护网，同时阻止内部人员向外传输害信息进入受保护网，同时阻止内部人员向外传输 敏感数据，为网络提供安全保障。敏感数据，为网络提供安全保障。 防火墙的基本准则：防火墙的基本准则： l l 过滤不安全服务。过滤不安全服务。 l l 过滤非法用户，控制对特殊站点的访问。过滤非法用户，控制对特殊站点的访问。 防火墙是一类防范措施的总称。这类防范措施防火墙是一类防范措施的总称。这类防范措施 简单的可以只用路由器实现，复杂的可以用服务器简单的可以只用路由器实现，复杂的可以用服务器 甚至一个子网来实现。它可以在甚至一个子网来实现。它可以在IPIP层设

48、置屏障，也层设置屏障，也 可以用应用层软件来阻止外来攻击。可以用应用层软件来阻止外来攻击。 防火墙按照功能及工作方式可分为两种：防火墙按照功能及工作方式可分为两种： 包过滤防火墙包过滤防火墙 和和 应用网关应用网关。 防火墙的类型 1. 包过滤防火墙包过滤防火墙 包过滤（包过滤（packet filter）防火墙就是对收到的所有）防火墙就是对收到的所有IP数据包进行检查，根数据包进行检查，根 据事先制订好的一组过滤规则来判断收到的据事先制订好的一组过滤规则来判断收到的IP数据包的源地址或目的地址，以数据包的源地址或目的地址，以 决定是否允许该决定是否允许该IP包通过。包通过。 包过滤防火墙 包

49、过滤防火墙是一种基于网络层的安全技术，对包过滤防火墙是一种基于网络层的安全技术，对 于应用层上的黑客行为无能为力。这一类的防火墙于应用层上的黑客行为无能为力。这一类的防火墙 产品主要有产品主要有防火墙路由器防火墙路由器、在充当路由器的计算机、在充当路由器的计算机 上运行的上运行的防火墙软件防火墙软件等。等。 包过滤路由器是由路由器和过滤器共同完成对包过滤路由器是由路由器和过滤器共同完成对 外界计算机访问内部网络的限制，也可以指定或限外界计算机访问内部网络的限制，也可以指定或限 制内部网络访问制内部网络访问Internet。 路由器只对过滤器上的特定端口上的数据通信路由器只对过滤器上的特定端口上

50、的数据通信 加以路由，过滤器的主要功能就是在网络层中根据加以路由，过滤器的主要功能就是在网络层中根据 IP源地址、源地址、IP目的地址、端口号，来确定它是否允目的地址、端口号，来确定它是否允 许该数据包通过。许该数据包通过。 n 包过滤路由器的优点就是它仅在网络层进行操作，这种包过滤路由器的优点就是它仅在网络层进行操作，这种 操作对于应用层的用户来说是透明的，不要求用户与服务器操作对于应用层的用户来说是透明的，不要求用户与服务器 在应用操作系统及程序方面做任何的修改。在应用操作系统及程序方面做任何的修改。 包过滤路由器防火墙的缺点：包过滤路由器防火墙的缺点： 1、配置包过滤规则较复杂；、配置包