1、计算机组成原理

1.1 计算机基本组成

主要分为六部分：控制器、运算器、存储器和I/O设备组成。

运算器

功能：在运算器的控制下完成各种算术运算，逻辑运算和其他运算。
运算器包括：算术逻辑单元（ALU），加法器/累加器，数据缓冲寄存器，程序状态寄存器四个子部件构成。

算术逻辑单元（ALU）

主要完成对二进制数据的算术运算（加减乘除），逻辑运算（与或非异或），以及移位操作

加法器/累加器:

是一个通用寄存器，为ALU提供一个工作区，用于传输和暂用户数据

数据缓冲寄存器:

用来存放由内存储器读出的一条指令和一个数据字

程序状态寄存器:

状态寄存器用于记录运算中产生的标志信息

控制器

控制器的作用是控制整个计算机的各个部件有条不紊地工作，它的基本功能就是从内存取指令和执行指令。控制器由程序计数器（PC），指令寄存器（IR），指令译码器（ID），时序产生器和操作控制器组成。

程序计数器

是专用寄存器，具有存储和计数两种功能，储存进入CPU前的一条指令。

指令寄存器

存储当前正在被CPU执行的指令。

指令译码器

将指令中的操作数解码，告诉CPU该做什么，可以说指令寄存器的输出就是指令译码器的输入。

时序产生器

产生各种时序信号。

操作控制器

据指令所需完成的操作和信号，发出各种微操作命令序列，用以控制所有被控对象，完成指令的执行。

整个控制器的运行逻辑是先按照程序计数器所指出的指令地址，从内存中取出一条指令到指令寄存器IR，然后指令译码器ID对指令进行分析，之后操作控制器根据指令的功能向有关部件发出控制命令，执行控制指令的操作。完成操作之后，程序计数器加1，再重复执行上述操作。

寄存器

常用的有以下寄存器。

程序计数器（控制器）

程序计数器（PC)用于存放指令的地址。当程序顺序执行时，每取出一条指令，PC内容自动增加一个值，指向下一条要取的指令。当程序出现转移时，则将转移地址送入PC,然后由PC指出新的指令地址。

状态寄存器

状态寄存器用于记录运算中产生的标志信息。状态寄存器中的每一位单独使用，称为标志位。标志位的取值反映了ALU当前的工作状态，可以作为条件转移指令的转移条件。典型的标志位有以下几种： 进位标志位（C)、零标志位（Z)、符号标志位（S)、溢出标志位（V)、奇偶标志位（P)

通用寄存器

通用寄存器组是CPU中的一组工作寄存器，运算时用于暂存操作数或地址。在程序中使用通用寄存器可以减少访问内存的次数，提高运算速度。

累加寄存器

数据寄存器，在运算过程中暂存操作数和中间运算结果，不能用于长时间地保存一个数据。

主存储器

主存储器主要由存储体、控制线路、地址寄存器、数据寄存器和地址译码电路等部分组成。

相联存储器

相联存储器是一种按内容访问的存储器。其工作原理就是把数据或数据的某一部分作为关键字，将该关键字与存储器中的每一单元进行比较，找出存储器中所有与关键字相同的数据字。

相联存储器可用在高速缓冲存储器中，在虚拟存储器中用来作段表、页表或快表存储器，还常用在数据库和知识库中。

1.3 寻址方式

指令中的寻址方式就是如何对指令中的地址字段进行解释，以获得操作数的方法或获得程序转移地址的方法。
常用的寻址方式有:

立即寻址：操作数就包含在指令中。

MOV R1, #10   ; 将立即值 10 移动到寄存器 R1
ADD R2, R1, #5   ; 将立即值 5 加到寄存器 R1 中的值上，并将结果存储在寄存器 R2 中

直接寻址：操作数存放在内存单元中，指令中直接给出操作数所在存储单元的地址。

MOV R1, [2000]   ; 将存储在内存地址 2000 处的值移动到寄存器 R1
ADD R2, R1, [3000]   ; 将存储在内存地址 3000 处的值加到寄存器 R1 中的值上，并将结果存储在寄存器 R2 中

寄存器寻址：操作数存放在某一寄存器中，指令中给出存放操作数的寄存器名。

MOV R1, R2   ; 将寄存器 R2 中的值移动到寄存器 R1
ADD R3, R1, R2   ; 将寄存器 R2 中的值加到寄存器 R1 中的值上，并将结果存储在寄存器 R3 中

寄存器间接寻址：操作数存放在内存单元中，操作数所在存储单元的地址在某个寄存器中。

MOV R1, [R2]   ; 将存储在寄存器 R2 中存储的内存地址处的值移动到寄存器 R1
ADD R3, R1, [R2]   ; 将存储在寄存器 R2 中存储的内存地址处的值加到寄存器 R1 中的值上，并将结果存储在寄存器 R3 中

间接寻址：指令中给出操作数地址的地址。

MOV R1, [2000]   ; 将存储在内存地址 2000 处的值移动到寄存器 R1
ADD R2, [R1]   ; 将存储在寄存器 R1 中存储的内存地址处的值加到寄存器 R2 中的值上，并将结果存储在寄存器 R2 中

相对寻址：指令地址码给出的是一个偏移量（可正可负），操作数地址等于本条指令的地址加上该偏移量。

JMP label   ; 使用相对偏移量跳转到标签处的指令
label:

变址寻址：操作数地址等于变址寄存器的内容加偏移量。

MOV R1, [R2 + R3]   ; 将存储在寄存器 R2 中存储的内存地址加上寄存器 R3 中的值所得到的地址处的值移动到寄存器 R1
ADD R4, [R2 + 10]   ; 将存储在寄存器 R2 中存储的内存地址加上立即值 10 所得到的地址处的值加到寄存器 R4 中的值上，并将结果存储在寄存器 R4 中

1.4 髙速缓存

提供高速缓存的目的是为了让数据存取的速度适应CPU的处理速度，其基于的原理是内存中“程序执行与数据访问的局域性行为”，即一定程序执行时间和空间内，被访问的代码集中于一部分。为了充分发挥髙速缓存的作用，不仅依靠“暂存刚刚访问过的数据”，还要使用硬件实现的指令预测与数据预取技术，即尽可能把将要使用的数据预先从内存中取到高速缓存中。

一般而言，主存使用DRAM技术，而Cache使用昂贵但较快速的SRAM技术。

目前微计算机上使用的AMD或Intel微处理器都在芯片内部集成了大小不等的数据高速缓存和指令高速缓存，通称为L1高速缓存（L1 Cache,即第一级片上高速缓冲存储器)；

而比U容量更大的L2髙速缓存曾经被放在CPU外部（主板或者CPU接口卡上)，但是现在已经成为CPU内部的标准组件；

更昂贵的顶级家用和工作站CPU甚至会配备比L2髙速缓存还要大的L3高速缓存。

1.5 源码反码补码

(1) 原码

8位二进制取值范围：[-127 , 127]

原码就是符号位加上真值的绝对值，即用第一位表示符号，其余位表示值。比如：如果是8位二进制：
[+1]原= 0000 0001
[-1]原= 1000 0001
第一位是符号位，因为第一位是符号位，所以8位二进制数的取值范围就是：（即第一位不表示值，只表示正负。）
[1111 1111 , 0111 1111]
即
[-127 , 127]
原码是人脑最容易理解和计算的表示方式。

(2) 反码

反码的表示方法是：
正数的反码是其本身；
负数的反码是在其原码的基础上，符号位不变，其余各个位取反。
[+1] = [0000 0001]原= [0000 0001]反
[-1] = [1000 0001]原= [1111 1110]反

(3) 补码

8位二进制取值范围：[-128 , 127]

补码的表示方法是：
正数的补码就是其本身；
负数的补码是在其原码的基础上，符号位不变，其余各位取反，最后+1。(也即在反码的基础上+1)
[+1] = [0000 0001]原= [0000 0001]反= [0000 0001]补
[-1] = [1000 0001]原= [1111 1110]反= [1111 1111]补
对于负数，补码表示方式也是人脑无法直观看出其数值的。通常也需要转换成原码再计算其数值。

1.6 总线结构

单总线结构

单总线结构如下图所示：

单总线结构.png

计算机的各个部件均系统总线相连，所以它又称为面向系统的单总线结构。

在单总线结构中，CPU与主存之间、CPU与I/O设备之间、I/O设备与主存之间、各种设备之间都通过系统总线交换信息。

单总线结构的优点是控制简单方便，扩充方便。但由于所有设备部件均挂在单一总线上，使这种结构只能分时工作，即同一时刻只能在两个设备之间传送数据，这就使系统总体数据传输的效率和速度受到限制，这是单总线结构的主要缺点。

双总线结构

双总线结构又分为面向CPU的双总线结构和面向存储器的双总线结构。

面向CPU的双总线结构如下图所示。其中一组总线是CPU与主存储器之间进行信息交换的公共通路，称为存储总线。另一组是CPU与I/O设备之间进行信息交换的公共通路，称为输入/输出总线（I/O总线）。

双总线结构.png

外部设备通过连接在I/O总线上的接口电路与CPU交换信息。由于在CPU与主存储器之间、CPU与I/O设备之间分别设置了总线，从而提高了微机系统信息传送的速率和效率。

但是由于外部设备与主存储器之间没有直接的通路，它们之间的信息交换必须通过CPU才能进行中转，从而降低了CPU的工作效率（或增加了CPU的占用率。

一般来说，外设工作时要求CPU干预越少越好。CPU干预越少，这个设备的CPU占用率就越低，说明设备的智能化程度越高），这是面向CPU的双总线结构的主要缺点。

1.8 内存分页技术

题目一般给出页大小、16进制逻辑地址(又称虚拟地址)，问经过变换后其物理地址应为16进制（）；
1、页号=逻辑地址/页大小（整除）；此处一般将两值转成16进制方便计算
2、页内地址=逻辑地址%页大小（取余）；
3、查找页表，看页号所对应的物理块号；
4、物理地址=物理块号页大小+页内地址

案例计算

exp1

页面大小4K，进程页面变换表如上图，逻辑地址为1D16H，变换后物理地址16进制为（）；
页大小：4K=2的4次方的3次方转16进制后 1000H。
1D16H/1000H=1…D16H（余数）
有上面可知：页号=1进而查表得到物理块号是3，页内地址=D16H
物理地址=3*1000H+D16H=3D16H

exp2

某计算机系统页面大小为 4K ，进程的页面变换表如下所示。若进程的逻辑地址为 2D16H 。该地址经过变换后，其物理地址应为（8）？

页面大小是4K（2的12次方），逻辑地址是2D16H，转为二进制是0010 1101 0001 0110，那么后12位是业内地址，前0010是页号，通过查表物理块号是4，所以物理地址是4D16H。

2、物理层与数据链路层

2.1 信道特性

2.1.1 尼奎斯特定理

波特率表示每秒钟传送的码元符号的个数
信道带宽为W，波特率B有：

B\ =\ 2W

一个码元携带的信息量n与码元的种类数N有如下关系:

n\ =\ log_{2}(N)

调制技术与码元种类

单位时间内在信道上传送的位数称为数据数率,在一定的波特率下提高速率的途径是用一个码元表示更多的位数
注意DPSK默认是2DPSK也就是码元种类为2

R\ =\ Blog_{2}N\ =\ 2Wlog_{2}N\ (bps)

2.1.2 香农定理

C\ =\ Wlog_{2}(1+\frac{S}{N})

2.1.3 信噪比

dB\ =\ 10log_{10}\frac{S}{N}

2.1.4 不同介质下的传播速度

光波：

3*10^8m/s

电信号：

200\ 000\ 000\ m/s

同步卫星：

270 \ ms

2.2 数字调制技术

2.2.1 正交幅度调制(QAM)

正交幅度调制即QAM（英文全称：Quadrature Amplitude Modulation、亦称为：正交振幅调制），是一种在两个正交载波上进行幅度调制的调制方式

2.2.2 二进制相移键控(BPSK)

用二进制数字信号控制正弦载波相位称为二进制移相键控，可用2PSK或BPSK表示。

2.2.3 正交相移键控(QPSK)

QPSK是一种四进制相位调制,2位二进制表示一种码元，码元速率为二进制数据速率的一半。

拓展

QPSK是英文Quadrature Phase Shift Keying的缩略语简称，意为正交相移键控，是一种数字调制方式。在数字信号的调制方式中QPSK四相移键控是目前最常用的一种卫星数字信号调制方式,它具有较高的频谱利用率、较强的抗干扰性、在电路上实现也较为简单。

QPSK数字电视调制器，在对数据流的处理上，采用能量扩散的随机化处理，RS编码，卷积交织，收缩卷积编码，调制前基带成型处理，保证了数据的传输性能。完全符合DVB-S标准，接收端可直接使用数字卫星接收机进行接收，它不但能够获得更高的频谱利用率，同时具备很强的抗干扰能力，具有较高的性价比，而且和模拟FM微波设备有很好的兼容性。

性能特点

进行原有的电视微波改造，可用30M的带宽传送5至8套DVD效果的图像；
用调频的微波价格达到MMDS的效果，实现全向发射。
可进行数字加密，对图像绝无任何损伤。

用途

中国式3G制式(CDMA2000，WCDMA，TD-SCDMA)均在下行链路采用QPSK调制。

2.2.4 多进制相移键控(Multiple Phase Shift Keying, MPSK)

多进制数字相位调制又称多相制，是二相制的推广。它是利用载波的多种不同相位状态来表征数字信息的调制方式。与二进制数字相位调制相同，多进制数字相位调制也有绝对相位调制（MPSK）和相对相位调制（MDPSK）两种。

2.2.5 差分相移键控(DPSK)

DPSK是差分相移键控Differential Phase Shift Keying的缩写，指利用调制信号前后码元之间载波相对相位的变化来传递信息。

默认n为2

载波的相对初始相位变化来实现数据的传送，并且初始相位与前一码元的发生180度变化为二进制0，无变化为1

2.2.6 脉冲编码调制 PCM

脉冲编码调制(Pulse Code Modulation,PCM)，由A.里弗斯于1937年提出的，这一概念为数字通信奠定了基础，60年代它开始应用于市内电话网以扩充容量，使已有音频电缆的大部分芯线的传输容量扩大24～48倍。到70年代中、末期，各国相继把脉码调制成功地应用于同轴电缆通信、微波接力通信、卫星通信和光纤通信等中、大容量传输系统。80年代初，脉冲编码调制已用于市话中继传输和大容量干线传输以及数字程控交换机，并在用户话机中采用。

2.3 编码技术

2.3.1 曼彻斯特编码

双相码属于双相码可同步
曼彻斯特编码用高电平到低电子的跳变表示数据“0”，用低电平到高电子的跳变表示数据“1”。
用于以太网10M

2.3.2 差分曼彻斯特编码

双相码属于双相码可同步
差分曼彻斯特编码规则是：每比特的中间有一个电子跳变，但利用每个码元的开始是否有跳变来表示“0”或“1”，如有跳变则表示“0”，无跳变则表示“1”。

2.3.3 4B/5B编码

100Base-FX采用4B/5B+NRZ-I（不归零反相编码）二级编码方案，每次对4位数据编码，转为5位符号，编码效率4/5=80%。

4B/5B编码是百兆以太网（即快速以太网）中线路层编码类型之一，就是用5bit的二进制数来表示4bit二进制数，映射方式如下表所示：

2.3.4 8B/6T编码

100Base-T4采用8B/6T,每个8位组（2的8次方，256个字码）映射为6个（3的6次方，729个字码）三进制位，编码效率6/8=75%。

其中的三对线传输数据（每对数据速率33.33M，对应波特率 33.33*0.75 =25M），一对线进行冲突检验和控制信号的发送接收。

2.3.5 4D-PAM5编码

1000Base-T采用4D-PAM5编码。使用四对线传输数据，每个线对速率为250M（基带调制速率125M，一个码元2个比特）。每个线对的电平有5个，其中一个用于前向纠错码FEC。

2.3.6 8B/10B编码

USB3.0使用8B/10B编码。

3.3.7 MLT-3编码

100Base-TX使用MLT-3编码，MLT-3编码用不变化电位状态，即保持前一位的电位状态来表示二进制0；

用按照正弦波的电位顺序（0、+、0、-）变换电位状态来表示二进制1；

编码规则如下：

如果下一输入为“0”，则电平保持不变；
如果下一输入为“1”，则产生跳变，此时又分两种情况。
1. 如果前一输出是“＋1”或“－1”，则下一输出为“0”；
2. 如果前一输出非“0”，其信号极性和最近一个非“0”相反。

2.4 多路复用

2.4.1 E1载波

E1的一个时分复用帧（其长度T=125us）共划分为32相等的时隙，时隙的编号为CH0~CH31。其中时隙CH0用作帧同步，时隙CH16用来传送信令，剩下CH1~CH15和CH17~CH31 共30个时隙用作30个话路。

E1载波支持的数据传输速率为2.048Mbps （即 256bit/125us=2.048Mbps)
每个通道支持的传输速度（或数据速率）为 64Kb/s
因为每个时隙在E1帧中占8bit，8*8k=64k，即一条E1中含有32个64K，则 2.048Mbps/32=64Kb/s
E1载波开销所占比例为6.25% 。因为一帧32个时隙中，30个用于用户数据，2个用于开销。所以开销所占比例=2/32=6.25%
E1的有效数据率（开销比）：（32-2）/32 *2.048Mbps=1.92Mbps

E2信道由4个E1信道组成，数据速率为2.048*4 = 8.448Mb/s。
E3信道由4个E2信道组成，数据速率为34.368Mb/s。
E4信道由4个E3信道组成，数据速率为139.264Mb/s。
E5信道由4个E4信道组成，数据速率为565.148Mb/s。

2.4.2 T1载波

T1载波是美国、加拿大、日本和新加坡使用的标准载波。而其他国家(欧洲国家)都采用E1载波作为标准载波。

T1载波是专用电话连接、时分多路数字传输设施。T1 线路实际上是由24个单独的通道组成的，每个通道支持 64K 比特/秒的传输速度，其中数据速率为56Kb/s。

【工作原理】：Bell系统的T1载波利用脉码调制PCM和时分TDM技术，使24路采样声音信号复用一个通道。

当T1系统用于模拟传输时，多路复用24路话音信道，每条话音信道输出：7bit数据+1bit控制复用
当T1系统完全用于数字传输时，仅23条信道用于数据传输，第24条信道用于同步模式。

【帧结构】：24路采样声音信号，每路采样用7位编码，再加上1位控制信号（即每路占用8位），24路后再增加1位帧同步位；因此每一个帧包含 193位，且每一帧用 125us时间传送。则：

T1载波支持的数据传输速率为1.544Mbps （即 193bit/125us=1.544Mbps)
每个通道支持的数据速率为 56Kb/s ，传输速度为64Kb/s
因为传输速度= 1.544Mbps/24=64Kb/s；而每路的8位中，只要7位是用于用户数据，所以数据速率=7/8*64=56Kb/s
T1载波开销所占比例为13% 。
因为一帧193bit中，168bit（24×7）用于用户数据，25bit（193-168）用于开销。所以开销所占比例=25bit/193bit≈13%

名称	原理与组成
T1载波	采用同步时分复用技术将24路话音通路(每个话音信道称为DS0)，复合在一条1.544Mbps的高速信道上
E1载波	采用同步时分复用技术将30路话音信道(64Kbps)和两个控制信道(16Kbps)复合在一条2.048Mbps的高速信道上
T2载波(DS2)	4个T1时分复用而成，达到6.312Mbps
T3载波(DS3B)	7个T2时分复用而成，达到44.736Mbps
T4载波(DS4B)	6个T3时分复用而成，达到274.176Mbps

2.4.3 SONET

同步光纤网络（SONET，代表Synchronous Optical Networking）是使用光纤进行数字化信息通信的一个标准。为了传送大量的电话和数据业务就开发了它用以替换准同步数字体系（PDH）系统，它由Telcodia的GR-253-CORE定义。

STS-1

基本SONET信号运行在51.840Mbit/s的速率，且被指定为STS-1（同步传送信号第一级）,STS-1数据帧是SONET中传送的基本单元。

STS-1帧的两个基本组成部分是传送开销和同步载荷包封（SPE）。传送开销（27字节）由段开销和线路开销（line overhead）组成。这些字节用于信令和测量传输差错比率。SPE由载荷开销（9字节，用于端到端信令和差错测量）和774字节的载荷组成。STS-1载荷被指定用于承载一个完整的DS-3帧。

整个STS-1帧是810字节。在光载波第一级别OC-1上STS-1帧传送完成恰好需要125微秒。在实践中STS-1和OC-1是可以互换的。

3个OC-1（STS-1）信号通过时分复用的方式复用成SONET层次的下一个级别OC-3（STS-3）速率为155.520Mbit/s。通过间插3个STS-1帧中的字节完成复用形成STS-3帧，包含2430字节且传送时间为125微秒。STS-3信号也被用作SDH体制的一个基础，那里它被指定为STM-1（同步传输模块第一级别）。

SONET/SDH名称和带宽

2.5 差错控制

2.5.1 奇偶校验

奇偶校验是**常用的检错斱法，其原理是在7位的ASCII代码后增加一位，使码字中1的个数成奇数（奇校验）或偶数（偶校验）。经过传输后，如果其中一位出错（甚至奇数个位），则接收端按同样的规则就能发现错误。采用校验和额方法

奇校验 ：整个校验码（有效信息位和校验位）中“1”的个数为奇数。

偶校验 ：整个校验码（有效信息位和校验位）中“1”的个数为偶数。

2.5.2 CRC校验

以g(x)为CRC-4=X⁴+X+1为例，此时除数P=10011。假设源数据M为10110011。

在发送端将M左移4位，然后除以P。

发送端CRC计算

计算得到的余数就是0100，也就是CRC校验码。将0100附加到原始数据帧10110011后，组成新帧101100110100发送给接收端。接收端接收到该帧后，会用该帧去除以上面选定的除数P，验证余数是否为0，如果为0，则表示数据在传输过程中没有出现差错。

接收端CRC校验示例

2.6 HDLC

2.6.1 HDLC简介

HDLC和以太网是两种不同的数据链路层协议，HDLC是一种面向比特的链路层协议，其最大特点是对任何一种比特流，均可以实现透明的传输。

HDLC协议只支持点到点链路，不支持点到多点。
HDLC不支持IP地址协商，不支持认证。协议内部通过Keepalive报文来检测链路状态（每10秒发送一次），3个周期内无法收到对方发出的Keepalive消息，HDLC设备就认为链路不可用。
HDLC协议只能封装在同步链路上，如果是同异步串口的话，只有当同异步串口工作在同步模式下才可以应用HDLC协议。目前应用的接口为：工作在同步模式下的Serial接口和POS接口等。

2.6.2 HDLC的帧类型和帧格式

HDLC有信息帧（I帧）、监控帧（S帧）和无编号帧（U帧）3种不同类型的帧。

信息帧用于传送有效信息或数据，通常简称为I帧。
监控帧用于差错控制和流量控制，通常称为S帧。
无编号帧用于提供对链路的建立、拆除以及多种控制功能，简称U帧。

HDLC帧由标志、地址、控制、信息和帧校验序列等字段组成。

标志字段为0111110，标志一个HDLC帧的开始和结束，所有的帧必须以F开头，并以F结束；在邻近两帧之间的F，即作为前面帧的结束，又作为后续帧的开头；
地址字段是8bit，用于标识接收或发送HDLC帧的地址；
控制字段是8bit，用来实现HDLC协议的各种控制信息，并标识是否是数据；
信息字段可以是任意的二进制比特串，长度未作限定，其上限由FCS字段或通讯节点的缓冲容量来决定，目前国际上用得较多的是1000-2000比特，而下限可以是0，即无信息字段。但是监控帧中不可有信息字段。
帧检验序列字段可以使用16位CRC，对两个标志字段之间的整个帧的内容进行校验。

2.11 数据链路层隧道协议

2.11.1 点对点隧道协议（PPTP）

2.11.2 第二层隧道协议（L2TP）

L2TP 可以让用户从客户端或访问服务器端发起 VPN 连接。 L2TP 是由 Cisco 、 Microsoft 等公司联合制定的，已经成为二层隧道协议的工业标准，并得到了众多网络厂商的支持。属于第二层隧道 VPN ，在数据链路层采用隧道技术实现专网的互联，可以跨越多种 WAN ，如 PSTN 、帧中继、 X.25 、 ATM 等网络。功能大致和 PPTP 协议类似，但 L2TP 本身不提供加密功能，基于 L2TP 协议的下的加密是通过使用 IPsec 身份验证过程中生成的秘钥，用 IPsec 加密机制加密 L2TP 消息。

2.11.3 PPTP和L2TP的区别

用途不同：

PPTP的用途：通过PPTP，远程用户能够通过 Microsoft Windows NT工作站、Windows xp 、 Windows 2000 和windows2003。
L2TP的用途：L2TP用来整合多协议拨号服务至现有的因特网服务提供商点。PPP 定义了多协议跨越第二层点对点链接的一个封装机制。

使用要求不同

PPTP的使用要求：互联网络必须为IP网络。
L2TP的使用要求：L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），帧中继永久虚拟电路（PVCs）、X.25虚拟电路（VCs）或ATM网络上使用。

2.12 以太网的类型

2.12.1 高速以太网

IEEE 802.3i 以太网10Base-T规范，两对UTP非屏蔽双绞线，传输距离为100m，使用曼彻斯特编码。

2.12.2 快速以太网

　快速以太网支持3、4、5类双绞线以及光纤的连接，能有效的利用现有的设施。快速以太网的不足其实也是以太网技术的不足，就是仍是基于CSMA/CD技术，当网络负载较重时，会造成效率的降低。

100Mbps快速以太网标准又分为：100BASE-TX 、100BASE-FX、100BASE-T4三个子类。

100BASE-TX

100MBase-T接口的编码是用的4B/5B编码与MLT-3编码组合方式，发送码流先进行4B/5B编码，再进行MLT-3编码，后再上线路传输

在传输中使用4B/5B编码方式，信号频率为125MHz。符合EIA586的5类布线标准和IBM的SPT 1类布线标准。使用同10BASE-T相同的RJ-45连接器。它的最大网段长度为100米。它支持全双工的数据传输。

100BASE-FX

100Base-FX采用4B/5B+NRZ-I（不归零反相编码）二级编码方案，每次对4位数据编码，转为5位符号，编码效率4/5=80%。

一种使用光缆的快速以太网技术，可使用单模和多模光纤(62.5和125um) 多模光纤连接的最大距离为550米。单模光纤连接的最大距离为3000米。在传输中使用4B/5B编码方式，信号频率为125MHz。它使用MIC/FDDI连接器、ST连接器或SC连接器。它的最大网段长度为150m、412m、2000m或更长至10公里，这与所使用的光纤类型和工作模式有关，它支持全双工的数据传输。100BASE-FX特别适合于有电气干扰的环境、较大距离连接、或高保密环境等情况下的适用。

100BASE-T4

100Base-T4采用8B/6T,每个8位组（2的8次方，256个字码）映射为6个（3的6次方，729个字码）三进制位，编码效率6/8=75%。其中的三对线传输数据（每对数据速率33.33M，对应波特率33.33*0.75=25M），一对线进行冲突检验和控制信号的发送接收。

是一种可使用3、4、5类无屏蔽双绞线或屏蔽双绞线的快速以太网技术。100Base-T4使用4对双绞线，其中的三对用于在33MHz的频率上传输数据，每一对均工作于半双工模式。第四对用于CSMA/CD冲突检测。在传输中使用8B/6T编码方式，信号频率为25MHz，符合EIA586结构化布线标准。它使用与10BASE-T相同的RJ-45连接器，最大网段长度为100米。

协议	标准	传输介质	特性抗阻	最大段长
IEEE 802.3u	100Base-TX	两对5类UTP	100欧姆	100m
IEEE 802.3u	100Base-TX	两对STP	150欧姆	100m
IEEE 802.3u	100Base-FX	一对多模光纤MMF	62.5/125um	2km
IEEE 802.3u	100Base-FX	一对单模光纤SMF	8/125um	40km
IEEE 802.3u	100Base-T4	四对3类UTP	100欧姆	100m
IEEE 802.3u	100Base-T2	两对3类UTP	100欧姆	100m

UTP:非屏蔽双绞线
STP:屏蔽双绞线

2.12.3 千兆以太网

千兆以太网标准802.3z ，包含1000Base-SX、LX、CX三个子标准，均采用8B/10B编码

标准	名称	电缆	最大段长	特点
IEEE8.2.3z	1000Base-SX	光纤（770-860nm）	550m	多模光纤
IEEE8.2.3z	1000Base-LX	光纤（1270-1355nm）	5000m	单模光纤
IEEE8.2.3z	1000Base-CX	两对UTP	25m	屏蔽双绞线
IEEE8.2.3ab	1000Base-T	四对UTP	100m	5类无屏蔽双绞线

2.12.4 万兆以太网

名称	电缆	最大段长	特点
10GBase-S	50um多模光纤	300m	串行
10GBase-S	62.5um多模光纤	65m	串行
10GBase-L	单模	10km	串行
10GBase-E	单模	40km	串行
10GBase-LX4	单模	10km
10GBase-LX4	50um多模光纤	300m
10GBase-LX4	62.5um多模光纤	300m	WDM

2.13 IEEE802标准

IEEE常见标准:802.3,802.3u,802.3z,802.3ae,802.11
IEEE 802.1──高级接口High Level Interface(Internetworking)

IEEE 802.1d──生成树协议(Spanning Tree)

IEEE 802.1p──General Registration Protocol

IEEE 802.1Q──虚拟局域网(Virtual LANs;VLAN)

IEEE 802.1X──基于端口的访问控制(Port Based Network Access Control)

IEEE 802.2──逻辑链路控制(Logical Link Control)

IEEE 802.3──带冲突检测的载波侦听多路访问协议CSMA/CD(半双工以太网)

IEEE 802.3u──快速以太网(Fast Ethernet)

IEEE 802.3z──千兆以太网(Gigabit Ethernet)

IEEE 802.3ae──万兆以太网(10 Gigabit Ethernet)

IEEE 802.4──令牌环总线(Token-Passing Bus)

IEEE 802.5──令牌环(Token-Passing Ring)

IEEE 802.6──城域网(Metropolitan Area Networks，MAN)

IEEE 802.7──宽带局域网(Brandband LAN)

IEEE 802.8──光纤局域网

IEEE 802.9──集成数据和语音网络(Integrated Voice and Data Networks，VoIP

IEEE 802.9a──IsoENET(proposed)

IEEE 802.10──网络安全(Network Security)

IEEE 802.11──无线以太网

IEEE 802.12──100VG-AnyLAN(Voice Grade – Sprache geeignet)

IEEE 802.14──有线电视(CATV)

IEEE 802.15──无线个人局域网路(Wireless Personal Area Network，WPAN)

IEEE 802.17──弹性分组环(Resilient Packet Ring)

2.12.1 IEEE 802.1x

IEEE 802.1x是一种基于MAC地址认证协议。
IEEE 802.lx协议实现基于端口（MAC地址）的访问控制。认证系统对连接到链路对端的请求者进行认证。一般在用户接入设备上实现802.1x认证。在认证通过之前， 802.1X只允许EAPoL (基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

标准	说明	规范
IEEE 802.3x	Flow Control and Back pressure	为交换机提供全双工流控(full-duplex flow control) 和后压式半双工流控(back pressure halfduplex flow control)机制
IEEE 802.1d	Spanning Tree Protocol（STP）	利用生成树算法消除以太网中的循环路径，当网络发生故障时重新协商生成树，并起到链路备份的作用。
IEEE 802.1q	VLAN标记	定义了以太网MAC帧的VLAN标记。标记分两部分： VLANID(12位)和优先级(3位）
IEEE 802.1p	LAN第二层QoS/CoS协议	定义了交换机对MAC帧进行优先级分类，并对组播帧进行过滤的机制，可以根据优先级提供尽力而为(best-effort)的务质址，是IEEE 802.1q 的扩充协议。
IEEE 802.1s	Multiple Spanning Tree Protocol (MSTP)	这是802.1q的补充协议,为交换机增加了通过多重生成树进行VLAN通信的机制
IEEE 802.1v	基于协议和端口的VLAN划分	这是802.1q的补充协议，定义了基于数据链路层协议进行VLAN划分的机制
IEEE 802.1x	用户认证	在局域网中实现基千端口的访问控制

接入技术

有线接入

公用交换电话网络(PSTN)

PSTN ( Public Switched Telephone Network )定义：公共交换电话网络，一种常用旧式电话系统。即我们日常生活中常用的电话网。工作原理公共交换电话网络是一种全球语音通信电路交换网络，包括商业的和政府拥有的。

公共交换电话网络.webp

X.25公共数据网

分为物理层，链路层，分组层，对应OSI中物理层，数据链路层，网络层

第一层协议为：X.21或者X.21bis

第二层协议为：LAP-B

第三层协议为：X.25PLP，提供虚电路服务

属于：非广播多址网络

x.25.png

数字数据网(DDN)

综合业务数字网(ISDN)

ISDN（综合业务数据网），淘汰了的东西

使用TDM技术

ISDN 分为窄带ISDN（Narrowband ISDN, N-ISDN）和宽带 ISDN（Broadband ISDN, B-ISDN）。 N-ISDN的目的是以数字系统代替模拟电话系统，把音频、视频和数据业务在一个网络上统一传输。

ISDN系统提供两种用户接口：即基本速率2B+D和基群速率30B+D。

所谓B信道是64kb/s的话音或数据信道，而D信道是16kb/s或64kb/s的信令信道。

对于家庭用户，通信公司在用户住所安装一个第一类网络终接设备NT1。用户可以在连接NT1的总线上最多挂接8台设备，共享2B+D的 144kb/s 信道。大型商业用户则要通过第二类网络终接设备 NT2 连接 ISDN ,这种接入方式可以提供30B+D （2.048Mb/s）的接口速率。

帧中继网

帧中继（Frame Relay, FR）网络运行在OSI参考模型的物理层和数据链路层。

特点

使用光纤作为传输介质，因此误码率极低，能实现近似无差错传输，减少了进行差错校验的开销，提高了网络的吞吐量，它的数据传输速率和传输时延比X.25网络要分别高或低至少一个数量级。
因为采用了基于变长帧的异步多路复用技术，帧中继主要用于数据传输，而不适合语音、视频或其他对时延时间敏感的信息传输。
仅提供面向连接的虚电路服务。
仅能检测到传输错误，而不试图纠正错误，而只是简单地将错误帧丢弃。
帧长度可变，允许最大帧长度在1600B以上。
帧中继是一种宽带分组交换，使用复用技术时，其传输速率可高达44.6Mbps。

PPP协议

点对点协议应用在许多场合，例如家庭用户拨号上网，或者局域网通过租用公网专线远程联网等。常用的点对点协议是PPP协议（Point-to-Point Protocol)。事实上，PPP是一组协议，其中包括：

链路控制协议LCP (Link Control Protocol),用于建立、释放和测试数据链路，以及协商数据链路参数；
网络控制协议NCP (Network Control Protocol)，用于协商网络层参数，例如动态分配IP地址等；

数字用户线路（xDSL）

xDSL的分类

ADSL

ADSL 是利用频分复用技术将电话线分成了三个独立的信道，分别是：电话、上行、下行。从而避免了它们之间的干扰，同时用户可以边打电话一边上网、不需要担心通话和网络速率影响的问题。

ADSL 采用 DMT(离散多音频)技术，将原来电话线路 4kHz 到 1.1MHz 频段划分成 256 个频宽为 4.3125kHz 的子频带。其中，4kHz 以下频段仍用于传送 POTS(传统电话业务)，20KHz 到 138KHz 的频段用来传送上行信号， 138KHz 到 1.1MHZ 的频段用来传送下行信号。 DMT 技术可以根据线路的情况调整在每个信道上所调制的比特数，以便充分地利用线路。

xDSL速率区别

名称	速率	类型
ADSL	上：512Kbps～1Mbps 下：1～8Mbps	对称
VDSL	距离200～1000m时，下:52Mbps 上：1.5～2.3Mbps 1.5Km以上:下:13Mbps 上：1.6～2.3Mbps	对称
HDSL	1.544Mbps，2.048Mbps	非对称
SDSL	1.544Mbps，2.048Mbps	非对称
RADSL	（自适应）	非对称

同轴光纤技术(HFC)

HFC是将光缆敷设到小区，然后通过光电转换结点，利用有线电视CATV的总线式同轴电缆连接到用户，用户端需要使用一个称为Cable Modem（电缆调制解调器）的设备。在HFC网络中各种广播和电视信号采用副载波采频分复用方式实现传输介质的共享。

无源光网络（PON）

EPON

EPON（IEEE 802.3ah）以太网封装方式，上行以突发的以太网包方式发送数据流，可提供上下行对称的1.25Gbit/s线路传输速率。采用8B/10B线路编码，实际总带宽为1Gbit/s。相比较其他PON技术，EPON在技术成熟度和设备价格方面具有优势，被认为是实现FTTH的主要技术。但EPON有一个缺陷，难以承载TDM业务，包括话音或电路型数据专线等业务。

GPON

GPON的下行最大传输速率高达2.5Gbit/s，上行最大传输速率可达1.244Gbit/s，传输距离至少为20km，具有高速、高效传输的特点。GPON在二层交换采用了GFP（通用成帧规范）对以太网、ATM等等多种业务进行封装映射的技术，但比较复杂。

FTTx

在高速率、支持多业务、传输距离和安全方面，GPON有优势。但技术的复杂和成本目前高于EPON，产品成熟度也低于EPON。目前IEEE已经发布了IEEE 802.3av 10Gbps标准，提高EPON的速率，较高可达10Gbps。

光网络单元ONU提供用户侧接口并与光分配网络ODN相连。负责用户接入PON网络，实现光信号和电信号的转换。在应用上，根据ONU到达的位置，可以将光纤接入网（OAN）分为：

光纤到路边（Fibe To The Curb，FTTC）
光纤到大楼（Fibe To The Building，FTTB）
光纤到户（Fibe To The Home，FTTH）
光纤到办公室（Fibe To The Office，FTTO）

无线接入

IEEE 802.11(WIFI)
IEEE 802.15(蓝牙Bluetooth)
红外(IrDA)
WAPI

移动网络接入

3G

WCDMA：使用比较广泛
CDMA2000
TD-SCDMA

4G

LTE-Advanced
WorelessMAN-Advanced(802.16m)(WIMAX)

无线网络通信

移动通信与5G

移动通信

1G语音，大哥大、2G短信，功能机、3G社交应用，触摸手机、4G互动，游戏、5G虚拟现实。

WLAN通信技术

无线网主要使用三种通信技术：红外线、扩展频谱（扩频）、和窄带微波技术。
扩展频谱通信：将信号散步到更宽的带宽上以减少发送阻塞和干扰的机会。
WLAN主要使用扩展频谱技术：频率跳动扩频FHSS（蓝牙）和直接序列扩展频谱DSSS（WiFi）。

WLAN频谱与信道（高频考点）

WLAN网络可以分为三类：基础无线网络、Ad Hoc网络和分布式无线系统。

基础无线网络：用户通过无线接入点AP接入。
特殊网络（AD Hoc）：用于军用自组网或寝室局域网联机游戏。
分布式无线系统：通过AC控制大量AP组成的无线网络。

ISM频段

ISM频段主要开放给工业（I）、科学（S）、医学（M）机构使用，依据美国联邦通讯委员会（FCC）定义出来的。

不重叠信道

2.4G频段

13个信道，3个不重叠信道（1、6、11）

5G+5.8G频段

开放的不重叠信道5个（149、153、157、161、165）

802.11技术标准对比

频率范围和速率经常考到。

	发布时间	频率范围	非重叠信道	调制技术	最高速率
802.11	1997	2.4GHz	3	FHSS/DSSS	2M
802.11b	1999	2.4GHz	3	CCK/DSSS	11M
802.11a	1999	5GHz	5	OFDM	54M
802.11g	2003	2.4GHz	3	CCK/OFDM	54M
802.11n	2009	2.4GHz 5GHz	3+5	OFDM	600M
802.11ac	2012	5GHz	5	OFDM	6900M
802.11ax	2018	2.4GHz 5GHz	3+5	OFDMA	9600M

802.11 MAC层

802.11访问控制机制

802.11标准为MAC子层定义了3种访问控制机制。

CSMA/CA分布式：大家争用访问。（有竞争）
RTS/CTS信道预约：要发送先打报告
PCF点协调功能：由AP集中轮训所有终端，类似令牌（无竞争）

802.11三种帧间隔

IFS（分布式协调FS)：最长的IFS，优先级最低，用于异步帧竞争访问的时延。
PIFS（点协调1FS)：中等长度的1FS，优先级居中，在PCF操作中使用。
SIFS （短1FS)：最短的1FS，优先级最高，用于需要立即响应的操作（确认ACK）。

移动AD Hoc网络

802.11定义AD Hoc网络是由无线移动节点组成的对等网，无需网络基础设施的支持，每个节点即是主机，又是路由器，是一种MANNET（Moblie Ad Hoc Network）网络。

Ad Hoc是拉丁语，具有“即兴，临时”意思

MANET网络特点

网络拓扑结构动态变化的，不能使用传统路由协议。
无线信道提供的带宽较小，信号衰落和噪声干扰的影响却很大。
无线终端携带的电源能量有限。
容易招致网络窃听、欺骗、拒绝服务等恶意攻击的威胁。

类似热点、蓝牙鼠标、无线鼠标

WLAN安全（高频考点）

SSID访问控制：隐藏SSID，让不知道的人搜索不到。
物理地址过滤：在无线路由器设置MAC地址黑白名单。
WEP认证和加密：PSK预共享密钥认证，RC4加密。
WPA (802.11草案）
1. 认证：802.1x。
2. 加密：RC4（增强）+TKIP（临时密钥完整协议，动态改变密钥）支持完整性认证和防重放攻击。
WPA2 (802.11i)
1. 针对WPA优化，加密协议是由RC4变为基于AES的CCMP。

3、网络层

IP协议

头部长度最小为5（及20字节）
以太网规定数据字段的长度最小值为46字节，当长度小于此值时，应该加以填充，填充就是在数据字段后面加入一个整数字节的填充字段，最大1500字节，而除去IP头20字节后，就是1480字节。
标志位

URG：当等于1的时候，告诉系统有紧急数据传送，应该尽快。

3.4 ICMP协议

3.4.1 ICMP报文格式

ICMP报文封装在IP数据报内传输，如图：

报文格式如下图：

3.4.2 ICMP报文分类

ICMP报文分为差错报告报文和ICMP询问报文，如下表所示。

ICMP差错报告报文

ICMP询问报文

3.5 ARP协议

ARP协议的作用是由IP地址求MAC地址，它的协议数据单元封装在以太帧中传送。ARP请求是采用广播方式发送的。
原理
ARP分组的格式如下图所示，各字段的含义解释如下：

硬件类型：网络接口硬件的类型，对以太网此值为1。
协议类型：发送方使用的协议，0800H表示IP协议。
硬件地址长度：对以太网，地址长度为6字节。
协议地址长度：对IP协议，地址长度为4字节。
操作类型：
报文是由以太网帧进行封装传输的。没有封装进IP包。

通常Internet应用程序把要发送的报文交给IP协议，IP当然知道接收方的逻辑地址(否则就不能通信了），但不一定知道接收方的物理地址。在把IP分组向下传送给本地数据链路实体之前可以用两种方法得到目标物理地址：
（1）査本地内存中的ARP地址映像表，其逻辑结构如下表所示。可以看出这是IP 地址和以太网地址的对照表。
（2）如果ARP表查不到，就广播一个ARP请求分组，这种分组经过路由器进一步转发，可以到达所有连网的主机。收到该分组的主机一方面可以用分组中的两个源地址更新自己的ARP地址映像表，一方面用自己的IP地址与目标结点协议地址字段比较，若相符则发回一个ARP响应分组，向发送方报告自己的硬件地址；若不相符，则不予回答。
RARP

逆地址解析协议RARP是把MAC转换为IP。

ARP表

在客户端的一张IP地址-MAC地址映射表

3.6 CIDR技术

在无类别域间路由 (CIDR) 出现之前，IP 地址是有类的，借助无类别域间路由 (CIDR)，您的组织可以更灵活地在设备之间分配 IP 地址和路由数据。

CIDR 表示法

CIDR 表示法代表 IP 地址和表示指定格式的网络标识符位的后缀。例如，您可以将带有 22 位网络标识符的 192.168.1.0 表示为 192.168.1.0/22。

3.7 IPV6

3.7.1 IPv6任播地址

任意播（AnyCast)地址是一组接口（可属于不同结点的）的标识符。发往任意播地址的分组被送给该地址标识的接口之一，通常是路由距离最近的接口。对IPv6任意播地址存在下列限制：

任意播地址不能用作源地址，而只能作为目标地址；
任意播地址不能指定给IPv6主机，只能指定给IPv6路由器。
任意播地址的组成是子网前缀+全0 。

3.7.2 IPv6单播地址

IPv6的可聚合全球单播地址是可以在全球范围内进行路由转发的IPv6地址的全球路由选择前缀：分配给各个公司和机构，用于路由器的路由选择。相当于IPV4地址中的网络号。主要这类地址的前三位是001。
IPv6链路本地地址
链路本地单播地址的格式前缀为1111 1110 10，即FE80::/64；其后是64位的接口ID。

3.7.3 从IPv4到IPv6的过渡

翻译技术

通过翻译技术实现纯IPv4网络和纯IPv6网络之间的互通，类似于IPv4通信的NAT技术。网络边界设备将利用翻译技术，根据IP报文头的地址和协议进行相应的翻译。其中，NAT64是最为常用的翻译技术之一，解决了NAT-PT翻译技术存在的各种缺陷。

NAT64采用IPv6过渡技术中的地址转换技术，直接更改报文的头部信息，来实现IPv6和IPv4网络的互通。动态NAT64使用地址池方式，可以让大量的IPv6地址转化为很少的IPv4地址，通常用于IPv6网络发起连接到IPv4网络。如果手工配置静态映射，设备会根据绑定的映射关系进行一对一转换，从而保证任何一方均可以主动发起连接。

隧道技术

需要通过IPv4骨干网络连接两端的IPv6孤岛，或者通过IPv6骨干网络连接两端的IPv4孤岛，都可以采用隧道技术。以前者为例，隧道技术通过在网络边界设备将IPv6源封装到IPv4的报文中经过IPv4骨干网传递到另一边的网络边界设备进行IPv6报文的还原，最后送到IPv6目的端。隧道技术有手工隧道和自动隧道两种方式，其中GRE、ISATAP、6to4是最为主要的几种隧道技术。

IPv6 over IPv4 GRE隧道使用标准的GRE隧道技术提供了点到点连接服务，需要手工指定隧道的端点地址。GRE隧道本身并不限制被封装的协议和传输协议，一个GRE隧道中被封装的协议可以是协议中允许的任意协议。

双栈技术

双栈协议：服务器、存储、交换设备、路由设备、安全设备等同时运行IPv4和IPv6两套协议栈，同时支持两套协议。目前大部分的网络设备和主机操作系统都已经支持双栈协议。

链路协议支持双协议栈：链路层协议包括以太网协议、PPP等，他们都能够很好的支持IPv6/IPv4双协议栈。拿以太网网协议为例：在以太帧中，如果协议ID字段的值为0x0800，则表示网络层协议采用的是IPv4；如果协议ID字段的值为0x86DD，则表示网络层协议为IPv6。

应用支持双协议栈：DNS、FTP等应用层协议都同时支持IPv6/IPv4双协议栈：DNS会优先选择IPv6协议栈，而不是IPv4协议栈作为网络层协议。

3.8 移动IP

通常在联网的计算机中，有一类主机用铜缆或光纤连接在局域网中，从来不会移动，我们认为这些主机是静止的。可以移动的主机有两类，一类基本上是静止的，只是有时候从一个地点移动到另一个地点，并且在任何地点都可以通过有线或无线连接进入Internet；另一类是在运动中进行计算的主机，它通过在无线通信网中漫游来保持网络连接。为解决前一类偶尔移动的主机异地联网的问题，IETF成立了专门的工作组，并预设了下列研究目标：

动主机能够在任何地方使用它的家乡地址进行连网；
不允许改变主机中的软件：
不允许改变路由器软件和路由表的结构；
发送给移动主机的大部分分组不需要重新路由；
移动主机在家乡网络中的上网活动无须增加任何开销。

IETF 给出的解决方案是RFC 3344 (IP Mobility Support for IPv4)和RFC 3775 (Mobility Support in IPv6)。RFC 3344增强了IPv4协议，使其能够把IP数据报路由到移动主机当前所在的连接站点。按照这个方案，每个移动主机配置了一个家乡地址（home address)作为永久标识。当移动主机离开家乡网络时，通过所在地点的外地代理，它被赋予了一个转交地址（care-of address)。协议提供了一种注册机制，使得移动主机可以通过家乡地址获得转交地址。家乡代理通过安全隧道可以把分组转发给外地代理，然后被提交给移动主机。

3.9 第三层隧道加密

3.9.1 IPSec

IPsec的功能可以划分为三类：

认证头（Authentication Header, AH)：用于数据完整性认证和数据源认证。不对数据进行加密，但是禁止修改
封装安全负荷（Encapsulating Security Payload，ESP)：提供数据保密性和数据完整性认证，ESP也包括了防止重放攻击的顺序号。提供对报文的加密
Internet 密钥交换协议（Internet Key Exchange, IKE)：用于生成和分发在ESP和AH中使用的密钥，IKE也对远程系统进行初始认证。

IPsec在传输模式，IP头没有加密，只对IP数据进行了加密；
在隧道模式，IPSec 对原来的IP数据报进行了封装和加密，加上了新的IP头。
IPSec的安全头插入在标准的IP头和上层协议（例如TCP)之间，任何网络服务和网络应用可以不经修改地从标准IP转向IPSec，同时IPSec通信也可以透明地通过现有的IP路由器。

4、传输层

4.1 TCP协议

同步SYN：在连接建立时同步需要。SYN=1，ACK=0，表明是连接请求，如果SYN=1，ACK=1，表示同意建立连接。
若主机乙不同意建立连接则FIN字段置“1”

TCP协议使用可变大小的滑动窗口协议实现流量控制。

TCP段头最小长度20字节

4.1.1 TCP拥塞控制

（1）慢开始算法

慢开始算法：当主机开始发送数据时，如果立即所大量数据字节注入到网络，那么就有可能引起网络拥塞，因为现在并不清楚网络的负荷情况。因此，较好的方法是先探测一下，即由小到大逐渐增大发送窗口，也就是说，由小到大逐渐增大拥塞窗口数值。通常在刚刚开始发送报文段时，先把拥塞窗口cwnd设置为一个最大报文段MSS的数值。而在每收到一个对新的报文段的确认后，把拥塞窗口增加至多一个最大报文段的数值。用这样的方法逐步增大发送方的拥塞窗口cwnd，可以使分组注入到网络的速率更加合理。

（2）快恢复算法和快重传算法（搭配使用）

4.1.2 流量控制和差错控制

ARQ协议（停止等待协议）

停止等待协议（stop-and-wait）是最简单但也是最基础的数据链路层协议。很多有关协议的基本概念都可以从这个协议中学习到。

停止等待就是每发送完一个分组就停止发送，等待对方的确认。在收到确认后再发送下一个分组

ARQ协议.webp

滑动窗口协议

滑动窗口协议（Sliding Window Protocol），属于TCP协议的一种应用，用于网络数据传输时的流量控制，以避免拥塞的发生。

该协议允许发送方在停止并等待确认前发送多个数据分组。由于发送方不必每发一个分组就停下来等待确认。因此该协议可以加速数据的传输，提高网络吞吐量。

滑动窗口协议.webp

4.2 UDP协议

16位源端口，16位目的端口，16为UDP长度，16位校验和，数据

4.2.1 UDP 检验和的计算方法

将所有的二进制数加起来。
之后取反码。

有一点需要注意的是，如果遇到最高位进位，那么需要对结果进行回卷，意思是简单来说，就是将要进的那一位加到尾部，之后取反码。例如两个 16 位相加= 11011101110111011 ，最高位进位了，为 1 ，就把 1011101110111011 +1= 1011101110111100 ，然后取反码 0100010001000011 。

4.3 常见端口号

5、应用层

5.1 DNS协议

DNS通知机制的作用是使得辅助域名服务器及时更新信息。
在Windows系统中可通过停止DNS Client服务器来阻止对域名解析Cache的访问。
DNS服务器中的资源记录（Resource Record)分成不同类型

常用类型参见表:

记录类型	说明
SOA (Start Of Authoritative)（起始授权结构）	开始授权记录是区域文件的第一条记录，指明区域的主服务器，指明区域管理员的邮件地址，并给出区域复制的有关信息。例如序列号、刷新间隔、有效期和生命周期（TTL)等
A (Address)(主机)	地址记录表示主机名到IP地址的映射
PTR (Pointer)	指针记录是IP地址到主机名的映射
NS (Name Server)（名称服务器）	名字服务器记录给出区域的授权服务器
MX (Mailexchanger)（邮件交换器）	邮件服务器记录定义了区域的邮件服务器及其优先级
CNAME（别名）	别名记录为正式主机名定义了一个别名（alias)

5.1.1 DNS查询

客户端: 本地缓存记录 —-> HOST表 —-> 本地域名服务器。本地域名服务器: 区域数据配置文件 —-> 缓存 —-> 根域名服务器 —-> 顶级域名服务器 —-> 权限域名服务器。

5.1.2 递归查询

如果主机所询问的本地域名服务器不知道被查询的域名的IP地址，那么本地域名服务器就以DNS客户的身份，向其它根域名服务器继续发出查询请求报文（即替主机继续查询），而不是让主机自己进行下一步查询。

5.1.3 迭代查询

本地域名服务器向根域名服务器的查询的迭代查询。迭代查询的特点：当根域名服务器收到本地域名服务器发出的迭代查询请求报文时，要么给出所要查询的IP地址，要么告诉本地服务器：你下一步应当向哪一个域名服务器进行查询。然后让本地服务器进行后续的查询。
告诉客户端,我这里没有,你可以去xxxip查看试试

5.2 HTTP协议

版本

HTTP 协议从开始立项到现在一共经历了 4 个版本:

HTTP 0.9 -> HTTP 1.0 -> HTTP 1.1 -> HTTP 2

5.2.1 HTTP 0.9

HTTP 0.9 是一个最古老的版本

只支持GET请求方式：由于不支持其他请求方式，因此客户端是没办法向服务端传输太多的信息
没有请求头概念：所以不能在请求中指定版本号，服务端也只具有返回 HTML字符串的能力
服务端相响应之后，立即关闭TCP连接

5.2.2 HTTP 1.0

随着 HTTP 1.0 的发布，这个版本:

请求方式新增了POST，DELETE，PUT，HEADER等方式
增添了请求头和响应头的概念，在通信中指定了 HTTP 协议版本号，以及其他的一些元信息 (比如: 状态码、权限、缓存、内容编码)
扩充了传输内容格式，图片、音视频资源、二进制等都可以进行传输

在这个版本主要的就是对请求和响应的元信息进行了扩展，客户端和服务端有更多的获取当前请求的所有信息，进而更好更快的处理请求相关内容。

HTTP 1.1

HTTP 1.1 是在 1.0 发布之后的半年就推出了，完善了 1.0 版本。目前也还有很多的互联网项目基于 HTTP 1.1 在向外提供服务。

特性：

长连接：新增Connection字段，可以设置keep-alive值保持连接不断开
管道化：基于上面长连接的基础，管道化可以不等第一个请求响应继续发送后面的请求，但响应的顺序还是按照请求的顺序返回
缓存处理：新增字段cache-control
断点传输

HTTP 2

特性:

二进制分帧
多路复用：在共享TCP链接的基础上同时发送请求和响应
头部压缩
服务器推送：服务器可以额外的向客户端推送资源，而无需客户端明确的请求

5.3 电子邮件协议

5.3.1 smtp协议

作用：发送邮件
端口：tcp 25

5.3.2 pop3协议

作用：接收邮件
端口：tcp 110

5.3.3 imap协议

作用：接收邮件
端口：tcp 143

5.4 DHCP协议

当DHCP客户机第一次登录网络的时候（也就是客户机上没有任何IP地址数据时），它会通过UDP 67（监听端口）端口向网络上发出一个DHCP Discover数据包（包中包含客户机的MAC地址和计算机名等信息）。

因为客户机还不知道自己属于哪一个网络，所以封包的源地址为0.0.0.0，目标地址为255.255.255.255，然后再附上DHCP discover的信息，向网络进行广播。

端口：UDP 67（服务器）与UDP 68（客户端）

5.4.1 DHCP报文类型

DHCP一共有8种报文，分别为DHCP Discover、DHCP Offer、DHCP Request、DHCP ACK、DHCP NAK、DHCP Release、DHCP Decline、DHCP Inform。
各种类型报文的基本功能如下：说明

DHCP Discover

DHCP客户端在请求IP地址时并不知道DHCP服务器的位置，因此DHCP客户端会在本地网络内以广播方式发送Discover请求报文，以发现网络中的DHCP服务器。所有收到Discover报文的DHCP服务器都会发送应答报文，DHCP客户端据此可以知道网络中存在的DHCP服务器的位置。

DHCP Offer

DHCP服务器收到Discover报文后，服务器就会在所配置的地址池中查找一个合适的IP地址，加上相应的租约期限和其他配置信息（如网关、DNS服务器等），构造一个Offer报文，发送给DHCP客户端，告知用户本服务器可以为其提供IP地址。但这个报文只是告诉DHCP客户端可以提供IP地址，最终还需要客户端通过ARP来检测该IP地址是否重复。

DHCP Request

DHCP客户端可能会收到很多Offer请求报文，所以必须在这些应答中选择一个。通常是选择第一个Offer应答报文的服务器作为自己的目标服务器，并向该服务器发送一个广播的Request请求报文，通告选择的服务器，希望获得所分配的IP地址。另外，DHCP客户端在成功获取IP地址后，在地址使用租期过去1/2时，会向DHCP服务器发送单播Request请求报文请求续延租约，如果没有收到ACK报文，在租期过去3/4时，会再次发送广播的Request请求报文以请求续延租约。

DHCP ACK

DHCP服务器收到Request请求报文后，根据Request报文中携带的用户MAC来查找有没有相应的租约记录，如果有则发送ACK应答报文，通知用户可以使用分配的IP地址。

DHCP NAK

如果DHCP服务器收到Request请求报文后，没有发现有相应的租约记录或者由于某些原因无法正常分配IP地址，则向DHCP客户端发送NAK应答报文，通知用户无法分配合适的IP地址。

DHCP Release

当DHCP客户端不再需要使用分配IP地址时，就会主动向DHCP服务器发送RELEASE请求报文，告知服务器用户不再需要分配IP地址，请求DHCP服务器释放对应的IP地址。

DHCP Decline

DHCP客户端收到DHCP服务器ACK应答报文后，通过地址冲突检测发现服务器分配的地址冲突或者由于其他原因导致不能使用，则会向DHCP服务器发送Decline请求报文，通知服务器所分配的IP地址不可用，以期获得新的IP地址。

DHCP Inform

DHCP客户端如果需要从DHCP服务器端获取更为详细的配置信息，则向DHCP服务器发送Inform请求报文；DHCP服务器在收到该报文后，将根据租约进行查找到相应的配置信息后，向DHCP客户端发送ACK应答报文。目前基本上不用了。

5.5 Telnet协议

默认端口：TCP 23端口

5.6 FTP协议

5.6.1 FTP的类型

FTP分为被动模式和主动模式。

被动模式

控制端口：21

数据端口：随机端口

被动模式的工作原理：FTP客户端连接到FTP服务器的21端口，发送用户名和密码登录，登录成功后要list列表或者读取数据时，发送PASV命令到FTP服务器，服务器在本地随机开放一个端口（1024以上），然后把开放的端口告诉客户端，客户端再连接到服务器开放的端口进行数据传输，原理如下图：

主动模式

控制端口：21

数据端口：20

主动模式下，FTP服务器的21端口用于传输FTP的控制命令，20端口用于传输文件数据。

5.6.2 FTP的命令及功能

命令	功能
dir命令	用来显示FTP服务器端有哪些文件可供下载
get命令	用来从服务器端下载一个文件
!dir命令	用来显示客户端当前目录中的文件信息
put命令	用来向FTP服务器端上传一个文件
!cd命令	更改本地计算机工作目录

5.7 HTTPS协议

端口：443

6、路由协议

6.1 RIP协议

RIP协议分为RIPv1、RIPv2和RIPng三个版本，RIPng用于ipv6。

6.1.1 RIPv1协议

RIP协议的特点：

基于UDP协议广播，端口号为520。
只和相邻路由器交换信息。
交换的信息是本路由器知道的全部信息，也就是自己的路由表。具体的内容就是：我到本自治系统中所有网络的最短距离，已经到每个网络应经过的下一跳路由器。
每隔30秒发整张路由表的副表给邻居路由器。如果180秒内没有回应，说明路由不可达，如果240秒内没有回应，那么删除路由表信息。

6.1.2 RIPv2协议

RIPv2想对于RIPv1的改进：使用组播 224.0.0.9而不是广播来交换路由信息，属于无类协议，支持可变子网掩码（VLSM）和无类别域间路由（CIDR）；采用触发更新机制加速路由收敛，支持认证。

6.1.3 路由收敛

水平分割

从某个接口学到的不在反方向传回。

路由中毒

不立即将不可达网络的路由信息从路由表中删除，而是将路由信息度量设置为无穷大（RIP跳数设置为16）。

反向中毒

从一个接口学习到一个度量值无穷大的路由信息，则向同一个接口返回一条不可达的信息，

抑制定时器

一条路由信息失效后，一段时间不接受其目的地址的路由更新。

6.2 OSPF协议

6.2.1 OSPF优点

OSPF采用组播 224.0.0.5 形式收发报文，这样可以减少对其它不运行OSPF路由器的影响。
OSPF支持无类型域间选路（CIDR）。
OSPF支持对等价路由进行负载分担。
OSPF支持报文加密。

6.2.2 OSPF基础概念

Router ID

Router ID是一个32比特无符号整数，是一台路由器在自治系统中的唯一标识。

Router ID的设定有两种方式：

通过命令行手动配置，在实际网络部署中，建议手工配置OSPF的Router ID，因为这关系到协议的稳定。
通过协议自动选取：
1. 优先从Loopback地址中选择最大的IP地址作为Router ID。
2. 如果没有配置Loopback接口，则在接口地址中选取最大的IP地址作为Router ID。

链路状态

OSPF是一种链路状态协议。可以将链路视为路由器的接口。链路状态是对接口及接口与相邻路由器的关系的描述。

例如接口的信息包括接口的IP地址、掩码、所连接的网络的类型、连接的邻居等。所有这些链路状态的集合形成链路状态数据库。

COST

OSPF使用cost“开销”作为路由度量值。
每一个激活OSPF的接口都有一个cost值。OSPF接口cost=100M/接口带宽，其中100M为OSPF的参考带宽（reference-bandwidth）。
一条OSPF路由的cost由该路由从路由的起源一路到达本地的所有入接口cost值的总和。
由于默认的参考带宽是100M，这意味着更高带宽的传输介质（高于100M）在OSPF协议中将会计算出一个小于1的分数，这在OSPF协议中是不允许的（会被四舍五入为1）。而现今网络设备很多都是大于100M带宽的接口，这时候路由cost的计算其实就不精确了。所以可以使用bandwidth-reference命令修改，但是这条命令要谨慎使用，一旦要配置，则建议全网OSPF路由器都配置。

报文类型

报文类型	报文作用
Hello报文	周期性发送，用来发现和维持OSPF邻居关系。
DD报文（Database Description packet）	描述本地LSDB（Link State Database）的摘要信息，用于两台设备进行数据库同步。
LSR报文（Link State Request packet）	用于向对方请求所需的LSA。设备只有在OSPF邻居双方成功交换DD报文后才会向对方发出LSR报文。
LSU报文（Link State Update packet）	用于向对方发送其所需要的LSA。
LSAck报文（Link State Acknowledgment packet）	用来对收到的LSA进行确认。

LSA类型

LSA类型	LSA作用
Router-LSA（Type1）	每个设备都会产生，描述了设备的链路状态和开销，在所属的区域内传播。
Network-LSA（Type2）	由DR（Designated Router）产生，描述本网段的链路状态，在所属的区域内传播。
Network-summary-LSA（Type3）	由ABR产生，描述区域内某个网段的路由，并通告给发布或接收此LSA的非Totally STUB或NSSA区域。例如：ABR同时属于Area0和Area1，Area0内存在网段10.1.1.0，Area1内存在网段11.1.1.0，ABR为Area0生成到网段11.1.1.0的Type3 LSA；ABR为Area1生成到网段10.1.1.0的Type3 LSA，并通告给发布或接收此LSA的非Totally Stub或NSSA区域。
ASBR-summary-LSA（Type4）	由ABR产生，描述到ASBR的路由，通告给除ASBR所在区域的其他相关区域。
AS-external-LSA（Type5）	由ASBR产生，描述到AS外部的路由，通告到所有的区域（除了STUB区域和NSSA区域）。
NSSA LSA（Type7）	由ASBR产生，描述到AS外部的路由，仅在NSSA区域内传播。
Opaque LSA（Type9/Type10/Type11）	Opaque LSA提供用于OSPF的扩展的通用机制。其中： Type9 LSA仅在接口所在网段范围内传播。用于支持GR的Grace LSA就是Type9 LSA的一种。 Type10 LSA在区域内传播。用于支持TE的LSA就是Type10 LSA的一种。 Type11 LSA在自治域内传播，目前还没有实际应用的例子。

LSA在各区域中传播的支持情况

区域类型	Router-LSA（Type1）	Network-LSA（Type2）	Network-summary-LSA（Type3）	ASBR-summary-LSA（Type4）	AS-external-LSA（Type5）	NSSA LSA（Type7）
普通区域（包括标准区域和骨干区域）	是	是	是	是	是	否
Stub区域	是	是	是	否	否	否
Totally Stub区域	是	是	否	否	否	否
NSSA区域	是	是	是	否	否	是
Totally NSSA区域	是	是	否	否	否	是

路由器类型

OSPF协议中常用到的路由器类型如图所示。

路由器类型

路由器类型

路由器类型	含义
区域内路由器（Internal Router）	该类设备的所有接口都属于同一个OSPF区域。
区域边界路由器ABR（Area Border Router）	该类设备可以同时属于两个以上的区域，但其中一个必须是骨干区域。 ABR用来连接骨干区域和非骨干区域，它与骨干区域之间既可以是物理连接，也可以是逻辑上的连接。
骨干路由器（Backbone Router）	该类设备至少有一个接口属于骨干区域。所有的ABR和位于Area0的内部设备都是骨干路由器。
自治系统边界路由器ASBR（AS Boundary Router）	与其他AS交换路由信息的设备称为ASBR。 ASBR并不一定位于AS的边界，它可能是区域内设备，也可能是ABR。只要一台OSPF设备引入了外部路由的信息，它就成为ASBR。

路由类型

AS区域内和区域间路由描述的是AS内部的网络结构，AS外部路由则描述了应该如何选择到AS以外目的地址的路由。OSPF将引入的AS外部路由分为Type1和Type2两类。

如下表中按优先级从高到低顺序列出了路由类型。

表1-5 路由类型

路由类型	含义
Intra Area	区域内路由。
Inter Area	区域间路由。
第一类外部路由（Type1 External）	这类路由的可信程度高一些，所以计算出的外部路由的开销与自治系统内部的路由开销是相当的，并且和OSPF自身路由的开销具有可比性。到第一类外部路由的开销=本设备到相应的ASBR的开销+ASBR到该路由目的地址的开销。
第二类外部路由（Type2 External）	这类路由的可信度比较低，所以OSPF协议认为从ASBR到自治系统之外的开销远远大于在自治系统之内到达ASBR的开销。所以，OSPF计算路由开销时只考虑ASBR到自治系统之外的开销，即到第二类外部路由的开销=ASBR到该路由目的地址的开销。

区域类型

表1-6 区域类型

区域类型	作用
普通区域	缺省情况下，OSPF区域被定义为普通区域。普通区域包括标准区域和骨干区域。标准区域是最通用的区域，它传输区域内路由，区域间路由和外部路由。骨干区域是连接所有其他OSPF区域的中央区域。骨干区域通常用Area 0表示。
STUB区域	不允许发布自治系统外部路由，只允许发布区域内路由和区域间的路由。在STUB区域中，路由器的路由表规模和路由信息传递的数量都会大大减少。为了保证到自治系统外的路由可达，由该区域的ABR发布Type3缺省路由传播到区域内，所有到自治系统外部的路由都必须通过ABR才能发布。
Totally STUB区域	不允许发布自治系统外部路由和区域间的路由，只允许发布区域内路由。在Totally STUB区域中，路由器的路由表规模和路由信息传递的数量都会大大减少。为了保证到自治系统外和其他区域的路由可达，由该区域的ABR发布Type3缺省路由传播到区域内，所有到自治系统外部和其他区域的路由都必须通过ABR才能发布。
NSSA区域	NSSA区域允许引入自治系统外部路由，由ASBR发布Type7 LSA通告给本区域，这些Type7 LSA在ABR上转换成Type5 LSA，并且泛洪到整个OSPF域中。 NSSA区域同时保留自治系统内的STUB区域的特征。该区域的ABR发布Type7缺省路由传播到区域内，所有域间路由都必须通过ABR才能发布。
Totally NSSA区域	Totally NSSA区域允许引入自治系统外部路由，由ASBR发布Type7 LSA通告给本区域，这些Type7 LSA在ABR上转换成Type5 LSA，并且泛洪到整个OSPF域中。 Totally NSSA区域同时保留自治系统内的Totally STUB Area区域的特征。该区域的ABR发布Type3和Type7缺省路由传播到区域内，所有域间路由都必须通过ABR才能发布。

OSPF支持的网络类型

OSPF根据链路层协议类型，将网络分为如下表所列四种类型。

网络类型	含义
广播类型（Broadcast）	当链路层协议是Ethernet、FDDI时，缺省情况下，OSPF认为网络类型是Broadcast。在该类型的网络中：通常以组播形式发送Hello报文、LSU报文和LSAck报文。其中，224.0.0.5的组播地址为OSPF设备的预留IP组播地址；224.0.0.6的组播地址为OSPF DR/BDR（ Backup Designated Router）的预留IP组播地址。以单播形式发送DD报文和LSR报文。
NBMA类型（Non-Broadcast Multi-Access）	当链路层协议是帧中继、X.25时，缺省情况下，OSPF认为网络类型是NBMA。在该类型的网络中，以单播形式发送协议报文（Hello报文、DD报文、LSR报文、LSU报文、LSAck报文）。
点到多点P2MP类型（Point-to-Multipoint）	没有一种链路层协议会被缺省的认为是Point-to-Multipoint类型。点到多点必须是由其他的网络类型强制更改的。常用做法是将非全连通的NBMA改为点到多点的网络。在该类型的网络中：以组播形式（224.0.0.5）发送Hello报文。以单播形式发送其他协议报文（DD报文、LSR报文、LSU报文、LSAck报文）。
点到点P2P类型（point-to-point）	当链路层协议是PPP、HDLC和LAPB时，缺省情况下，OSPF认为网络类型是P2P。在该类型的网络中，以组播形式（224.0.0.5）发送协议报文（Hello报文、DD报文、LSR报文、LSU报文、LSAck报文）。

DR和BDR

在广播网和NBMA网络中，任意两台路由器之间都要传递路由信息。如图所示，网络中有n台路由器，则需要建立n*(n-1)/2个邻接关系。这使得任何一台路由器的路由变化都会导致多次传递，浪费了带宽资源。为解决这一问题，OSPF定义了指定路由器DR和备份指定路由器BDR。通过选举产生DR（Designated Router）后，所有路由器都只将信息发送给DR，由DR将网络链路状态LSA广播出去。除DR和BDR之外的路由器（称为DR Other）之间将不再建立邻接关系，也不再交换任何路由信息，这样就减少了广播网和NBMA网络上各路由器之间邻接关系的数量。

选举DR前后对比图

如果DR由于某种故障而失效，则网络中的路由器必须重新选举DR，并与新的DR同步。这需要较长的时间，在这段时间内，路由的计算有可能是不正确的。为了能够缩短这个过程，OSPF提出了BDR（Backup Designated Router）的概念。BDR是对DR的一个备份，在选举DR的同时也选举出BDR，BDR也和本网段内的所有路由器建立邻接关系并交换路由信息。当DR失效后，BDR会立即成为DR。由于不需要重新选举，并且邻接关系已建立，所以这个过程非常短暂，这时还需要再重新选举出一个新的BDR，虽然一样需要较长的时间，但并不会影响路由的计算。

DR和BDR不是人为指定的，而是由本网段中所有的路由器共同选举出来的。路由器接口的DR优先级决定了该接口在选举DR、BDR时所具有的资格。本网段内DR优先级大于0的路由器都可作为“候选人”。选举中使用的“选票”就是Hello报文。每台路由器将自己选出的DR写入Hello报文中，发给网段上的其他路由器。当处于同一网段的两台路由器同时宣布自己是DR时，DR优先级高者胜出。如果优先级相等，则Router ID大者胜出。如果一台路由器的优先级为0，则它不会被选举为DR或BDR。

STUB区域

STUB区域是一些特定的区域，STUB区域的ABR不传播它们接收到的自治系统外部路由，在这些区域中路由器的路由表规模以及路由信息传递的数量都会大大减少。

STUB区域是一种可选的配置属性，但并不是每个区域都符合配置的条件。通常来说，STUB区域位于自治系统的边界，是那些只有一个ABR的非骨干区域。

为保证到自治系统外的路由依旧可达，该区域的ABR将生成一条缺省路由，并发布给STUB区域中的其他非ABR路由器。

配置STUB区域时需要注意下列几点：

骨干区域不能配置成STUB区域。
如果要将一个区域配置成STUB区域，则该区域中的所有路由器都要配置STUB区域属性。
STUB区域内不能存在ASBR，即自治系统外部的路由不能在本区域内传播。
虚连接不能穿过STUB区域。

NSSA区域

NSSA（Not-So-Stubby Area）区域是OSPF特殊的区域类型。NSSA区域与STUB区域有许多相似的地方，两者都不传播来自OSPF网络其它区域的外部路由。差别在于STUB区域是不能引入外部路由，NSSA区域能够将自治域外部路由引入并传播到整个OSPF自治域中。

当区域配置为NSSA区域后，为保证到自治系统外的路由可达，NSSA区域的ABR将生成一条缺省路由，并发布给NSSA区域中的其他路由器。

配置NSSA区域时需要注意下列几点：

骨干区域不能配置成NSSA区域。
如果要将一个区域配置成NSSA区域，则该区域中的所有路由器都要配置NSSA区域属性。
虚连接不能穿过NSSA区域。

邻居状态机

在OSPF网络中，为了交换路由信息，邻居设备之间首先要建立邻接关系，邻居（Neighbors）关系和邻接（Adjacencies）关系是两个不同的概念。

邻居关系：OSPF设备启动后，会通过OSPF接口向外发送Hello报文，收到Hello报文的OSPF设备会检查报文中所定义的参数，如果双方一致就会形成邻居关系，两端设备互为邻居。
邻接关系：形成邻居关系后，如果两端设备成功交换DD报文和LSA，才建立邻接关系。

OSPF共有8种状态机，分别是：Down、Attempt、Init、2-way、Exstart、Exchange、Loading、Full。

Down：邻居会话的初始阶段，表明没有在邻居失效时间间隔内收到来自邻居路由器的Hello数据包。
Attempt：该状态仅发生在NBMA网络中，表明对端在邻居失效时间间隔（dead interval）超时前仍然没有回复Hello报文。此时路由器依然每发送轮询Hello报文的时间间隔（poll interval）向对端发送Hello报文。
Init：收到Hello报文后状态为Init。
2-way：收到的Hello报文中包含有自己的Router ID，则状态为2-way；如果不需要形成邻接关系则邻居状态机就停留在此状态，否则进入Exstart状态。
Exstart：开始协商主从关系，并确定DD的序列号，此时状态为Exstart。
Exchange：主从关系协商完毕后开始交换DD报文，此时状态为Exchange。
Loading：DD报文交换完成即Exchange done，此时状态为Loading。
Full：LSR重传列表为空，此时状态为Full。

OSPF报文认证

OSPF支持报文验证功能，只有通过验证的OSPF报文才能接收，否则将不能正常建立邻居。

路由器支持两种验证方式：

区域验证方式
接口验证方式

当两种验证方式都存在时，优先使用接口验证方式。

OSPF路由聚合

路由聚合是指ABR可以将具有相同前缀的路由信息聚合到一起，只发布一条路由到其它区域。

区域间通过路由聚合，可以减少路由信息，从而减小路由表的规模，提高设备的性能。

OSPF有两种路由聚合方式：

ABR聚合
ABR向其它区域发送路由信息时，以网段为单位生成Type3 LSA。如果该区域中存在一些连续的网段，则可以通过命令将这些连续的网段聚合成一个网段。这样ABR只发送一条聚合后的LSA，所有属于命令指定的聚合网段范围的LSA将不会再被单独发送出去。
ASBR聚合
配置路由聚合后，如果本地设备是自治系统边界路由器ASBR，将对引入的聚合地址范围内的Type5 LSA进行聚合。当配置了NSSA区域时，还要对引入的聚合地址范围内的Type7 LSA进行聚合。
如果本地设备既是ASBR又是ABR，则对由Type7 LSA转化成的Type5 LSA进行聚合处理。

OSPF缺省路由

缺省路由是指目的地址和掩码都是0的路由。当设备无精确匹配的路由时，就可以通过缺省路由进行报文转发。由于OSPF路由的分级管理，Type3缺省路由的优先级高于Type5或Type7路由。

OSPF缺省路由通常应用于下面两种情况：

由区域边界路由器（ABR）发布Type3缺省Summary LSA，用来指导区域内设备进行区域之间报文的转发。
由自治系统边界路由器（ASBR）发布Type5外部缺省ASE LSA，或者Type7外部缺省NSSA LSA，用来指导自治系统（AS）内设备进行自治系统外报文的转发。

OSPF缺省路由的发布原则如下：

OSPF路由器只有具有对区域外的出口时，才能够发布缺省路由LSA。
如果OSPF路由器已经发布了缺省路由LSA，那么不再学习其它路由器发布的相同类型缺省路由。即路由计算时不再计算其它路由器发布的相同类型的缺省路由LSA，但数据库中存有对应LSA。
外部缺省路由的发布如果要依赖于其它路由，那么被依赖的路由不能是本OSPF路由域内的路由，即不是本进程OSPF学习到的路由。因为外部缺省路由的作用是用于指导报文的域外转发，而本OSPF路由域的路由的下一跳都指向了域内，不能满足指导报文域外转发的要求。

不同区域缺省路由发布原则如下表所示。

区域类型	作用
普通区域	缺省情况下，普通OSPF区域内的OSPF路由器是不会产生缺省路由的，即使它有缺省路由。当网络中缺省路由通过其他路由进程产生时，路由器必须将缺省路由通告到整个OSPF自治域中。实现方法是在ASBR上手动通过命令进行配置，产生缺省路由。配置完成后，路由器会产生一个缺省ASE LSA（Type5 LSA），并且通告到整个OSPF自治域中。
STUB区域	STUB区域不允许自治系统外部的路由（Type5 LSA）在区域内传播。区域内的路由器必须通过ABR学到自治系统外部的路由。实现方法是ABR会自动产生一条缺省的Summary LSA（Type3 LSA）通告到整个STUB区域内。这样，到达自治系统的外部路由就可以通过ABR到达。
Totally STUB区域	Totally STUB区域既不允许自治系统外部的路由（Type5 LSA）在区域内传播，也不允许区域间路由（Type3 LSA）在区域内传播。区域内的路由器必须通过ABR学到自治系统外部和其他区域的路由。实现方法是配置Totally STUB区域后，ABR会自动产生一条缺省的Summary LSA（Type3 LSA）通告到整个STUB区域内。这样，到达自治系统外部的路由和其他区域间的路由都可以通过ABR到达。
NSSA区域	NSSA区域允许引入通过本区域的ASBR到达的少量外部路由，但不允许其他区域的外部路由ASE LSA（Type5 LSA）在区域内传播。即到达自治系统外部的路由只能通过本区域的ASBR到达。只配置了NSSA区域是不会自动产生缺省路由的。此时，有两种选择：如果希望到达自治系统外部的路由通过该区域的ASBR到达，而其它外部路由通过其它区域出去。此时，ABR会产生一条Type7 LSA的缺省路由，通告到整个NSSA区域内。这样，除了某少部分路由通过NSSA的ASBR到达，其它路由都可以通过NSSA的ABR到达其它区域的ASBR出去。如果希望所有的外部路由只通过本区域NSSA的ASBR到达。则必须在ASBR上手动通过命令进行配置，使ASBR产生一条缺省的NSSA LSA（Type7 LSA），通告到整个NSSA区域内。这样，所有的外部路由就只能通过本区域NSSA的ASBR到达。上面两种情况的区别是：在ABR上无论路由表中是否存在缺省路由0.0.0.0，都会产生Type7 LSA的缺省路由。在ASBR上只有当路由表中存在缺省路由0.0.0.0时，才会产生Type7 LSA的缺省路由。因为缺省路由只是在本NSSA区域内泛洪，并没有泛洪到整个OSPF域中，所以本NSSA区域内的路由器在找不到路由之后可以从该NSSA的ASBR出去，但不能实现其他OSPF域的路由从这个出口出去。Type7 LSA缺省路由不会在ABR上转换成Type5 LSA缺省路由泛洪到整个OSPF域。
Totally NSSA区域	Totally NSSA区域既不允许其他区域的外部路由ASE LSA（Type5 LSA）在区域内传播，也不允许区域间路由（Type3 LSA）在区域内传播。区域内的路由器必须通过ABR学到其他区域的路由。实现方法是配置Totally NSSA区域后，ABR会自动产生一条缺省的Type3 LSA通告到整个NSSA区域内。这样，其他区域的外部路由和区域间路由都可以通过ABR在区域内传播。

OSPF路由过滤

OSPF支持使用路由策略对路由信息进行过滤。缺省情况下，OSPF不进行路由过滤。

OSPF可以使用的路由策略包括route-policy，访问控制列表（access-list），地址前缀列表（prefix-list）。

OSPF路由过滤可以应用于以下几个方面：

路由引入
OSPF可以引入其它路由协议学习到的路由。在引入时可以通过配置路由策略来过滤路由，只引入满足条件的路由。
引入路由发布
OSPF引入了路由后会向其它邻居发布引入的路由信息。
可以通过配置过滤规则来过滤向邻居发布的路由信息。该过滤规则只在ASBR上配置才有效。
路由学习
通过配置过滤规则，可以设置OSPF对接收到的区域内、区域间和自治系统外部的路由进行过滤。
该过滤只作用于路由表项的添加与否，即只有通过过滤的路由才被添加到本地路由表中，但所有的路由仍可以在OSPF路由表中被发布出去。
区域间LSA学习
通过命令可以在ABR上配置对进入本区域的Summary LSA进行过滤。该配置只在ABR上有效（只有ABR才能发布Summary LSA）。

区域间LSA学习	路由学习
直接对进入区域的LSA进行过滤。	路由学习中的过滤不对LSA进行过滤，只针对LSA计算出来的路由是否添加本地路由表进行过滤。学习到的LSA是完整的。

区域间LSA发布
通过命令可以在ABR上配置对本区域出方向的Summary LSA进行过滤。该配置只在ABR上配置有效。

OSPF多进程

OSPF支持多进程，在同一台路由器上可以运行多个不同的OSPF进程，它们之间互不影响，彼此独立。不同OSPF进程之间的路由交互相当于不同路由协议之间的路由交互。

路由器的一个接口只能属于某一个OSPF进程。

OSPF多进程的一个典型应用就是在VPN场景中PE和CE之间运行OSPF协议，同时VPN骨干网上的IGP也采用OSPF。在PE上，这两个OSPF进程互不影响。

6.2.3 OSPF是如何工作的

OSPF协议路由的计算过程可简单描述如下：

建立邻接关系，过程如下：
1. 本端设备通过接口向外发送Hello报文与对端设备建立邻居关系。
2. 两端设备进行主/从关系协商和DD报文交换。
3. 两端设备通过更新LSA完成链路数据库LSDB的同步。
  此时，邻接关系建立成功。
路由计算
OSPF采用SPF（Shortest Path First）算法计算路由，可以达到路由快速收敛的目的。

建立邻接关系

在上述邻居状态机的变化中，有两处决定是否建立邻接关系：

当与邻居的双向通讯初次建立时。
当网段中的DR和BDR发生变化时。

OSPF在不同网络类型中，OSPF邻接关系建立的过程不同，分为广播网络，NBMA网络，点到点/点到多点网络。

在广播网络中建立OSPF邻接关系

广播链路邻接关系建立过程如图所示。

在广播网络中，DR、BDR和网段内的每一台路由器都形成邻接关系，但DR other之间只形成邻居关系。

在广播网络中建立OSPF邻接关系

如图所示，在广播网络中建立OSPF邻接关系的过程如下：

建立邻居关系
1. RouterA的一个连接到广播类型网络的接口上激活了OSPF协议，并发送了一个Hello报文（使用组播地址224.0.0.5）。此时，RouterA认为自己是DR路由器（DR=1.1.1.1），但不确定邻居是哪台路由器（Neighbors Seen=0）。
2. RouterB收到RouterA发送的Hello报文后，发送一个Hello报文回应给RouterA，并且在报文中的Neighbors Seen字段中填入RouterA的Router ID（Neighbors Seen=1.1.1.1），表示已收到RouterA的Hello报文，并且宣告DR路由器是RouterB（DR=2.2.2.2），然后RouterB的邻居状态机置为Init。
3. RouterA收到RouterB回应的Hello报文后，将邻居状态机置为2-way状态，下一步双方开始发送各自的链路状态数据库。
在广播网络中，两个接口状态是DR Other的路由器之间将停留在此步骤。
主/从关系协商、DD报文交换
1. RouterA首先发送一个DD报文，宣称自己是Master（MS=1），并规定序列号Seq=X。I=1表示这是第一个DD报文，报文中并不包含LSA的摘要，只是为了协商主从关系。M=1说明这不是最后一个报文。
  为了提高发送的效率，RouterA和RouterB首先了解对端数据库中哪些LSA是需要更新的，如果某一条LSA在LSDB中已经存在，就不再需要请求更新了。为了达到这个目的，RouterA和RouterB先发送DD报文，DD报文中包含了对LSDB中LSA的摘要描述（每一条摘要可以惟一标识一条LSA）。为了保证在传输的过程中报文传输的可靠性，在DD报文的发送过程中需要确定双方的主从关系，作为Master的一方定义一个序列号Seq，每发送一个新的DD报文将Seq加一，作为Slave的一方，每次发送DD报文时使用接收到的上一个Master的DD报文中的Seq。
2. RouterB在收到RouterA的DD报文后，将RouterA的邻居状态机改为Exstart，并且回应了一个DD报文（该报文中同样不包含LSA的摘要信息）。由于RouterB的Router ID较大，所以在报文中RouterB认为自己是Master，并且重新规定了序列号Seq=Y。
3. RouterA收到报文后，同意了RouterB为Master，并将RouterB的邻居状态机改为Exchange。RouterA使用RouterB的序列号Seq=Y来发送新的DD报文，该报文开始正式地传送LSA的摘要。在报文中RouterA将MS=0，说明自己是Slave。
4. RouterB收到报文后，将RouterA的邻居状态机改为Exchange，并发送新的DD报文来描述自己的LSA摘要，此时RouterB将报文的序列号改为Seq=Y+1。
  上述过程持续进行，RouterA通过重复RouterB的序列号来确认已收到RouterB的报文。RouterB通过将序列号Seq加1来确认已收到RouterA的报文。当RouterB发送最后一个DD报文时，在报文中写上M=0。
LSDB同步（LSA请求、LSA传输、LSA应答）
1. RouterA收到最后一个DD报文后，发现RouterB的数据库中有许多LSA是自己没有的，将邻居状态机改为Loading状态。此时RouterB也收到了RouterA的最后一个DD报文，但RouterA的LSA，RouterB都已经有了，不需要再请求，所以直接将RouterA的邻居状态机改为Full状态。
2. RouterA发送LSR报文向RouterB请求更新LSA。RouterB用LSU报文来回应RouterA的请求。RouterA收到后，发送LSAck报文确认。
  上述过程持续到RouterA中的LSA与RouterB的LSA完全同步为止，此时RouterA将RouterB的邻居状态机改为Full状态。当路由器交换完DD报文并更新所有的LSA后，此时邻接关系建立完成。

在NBMA网络中建立OSPF邻接关系

NBMA网络和广播网络的邻接关系建立过程只在交换DD报文前不一致，如图中的蓝色标记。

在NBMA网络中，所有路由器只与DR和BDR之间形成邻接关系。

在NBMA网络中建立OSPF邻接关系

如图所示，在NBMA网络中建立OSPF邻接关系的过程如下：

建立邻居关系
1. RouterB向RouterA的一个状态为Down的接口发送Hello报文后，RouterB的邻居状态机置为Attempt。此时，RouterB认为自己是DR路由器（DR=2.2.2.2），但不确定邻居是哪台路由器（Neighbors Seen=0）。
2. RouterA收到Hello报文后将邻居状态机置为Init，然后再回复一个Hello报文。此时，RouterA同意RouterB是DR路由器（DR=2.2.2.2），并且在Neighbors Seen字段中填入邻居路由器的Router ID（Neighbors Seen=2.2.2.2）。
在NBMA网络中，两个接口状态是DR Other的路由器之间将停留在此步骤。
主/从关系协商、DD报文交换过程同广播网络的邻接关系建立过程。
LSDB同步（LSA请求、LSA传输、LSA应答）过程同广播网络的邻接关系建立过程。

在点到点/点到多点网络中建立OSPF邻接关系

在点到点/点到多点网络中，邻接关系的建立过程和广播网络一样，唯一不同的是不需要选举DR和BDR，DD报文是组播发送的。

路由计算

OSPF采用SPF（Shortest Path First）算法计算路由，可以达到路由快速收敛的目的。

OSPF协议使用链路状态通告LSA描述网络拓扑，即有向图。Router LSA描述路由器之间的链接和链路的属性。路由器将LSDB转换成一张带权的有向图，这张图便是对整个网络拓扑结构的真实反映。各个路由器得到的有向图是完全相同的。如图所示。

由LSDB生成带权有向图

每台路由器根据有向图，使用SPF算法计算出一棵以自己为根的最短路径树，这棵树给出了到自治系统中各节点的路由。如图所示。

最小生成树

当OSPF的链路状态数据库LSDB发生改变时，需要重新计算最短路径，如果每次改变都立即计算最短路径，将占用大量资源，并会影响路由器的效率，通过调节SPF的计算间隔时间，可以抑制由于网络频繁变化带来的占用过多资源。缺省情况下，SPF时间间隔为5秒钟。

具体的计算过程如下：

计算区域内路由。
Router LSA和Network LSA可以精确的描述出整个区域内部的网络拓扑，根据SPF算法，可以计算出到各个路由器的最短路径。根据Router LSA描述的与路由器的网段情况，得到了到达各个网段的具体路径。
在计算过程中，如果有多条等价路由，SPF算法会将所有等价路径都保留在LSDB中。
计算区域外路由。
从一个区域内部看，相邻区域的路由对应的网段好像是直接连接在ABR上，而到ABR的最短路径已经在上一过程中计算完毕，所以直接检查Network Summary LSA，就可以很容易得到这些网段的最短路径。另外，ASBR也可以看成是连接在ABR上，所以ASBR的最短路径也可以在这个阶段计算出来。
如果进行SPF计算的路由器是ABR，那么只需要检查骨干区域的Network Summary LSA。
计算自治系统外路由。
由于自治系统外部的路由可以看成是直接连接在ASBR上，而到ASBR的最短路径在上一过程中已经计算完毕，所以逐条检查AS External LSA就可以得到到达各个外部网络的最短路径。

OSPF是一种链路状态协议，用于在自治系统内部的路由器之间交换路由信息。OSPF 路由器根据收集到的链路状态信息构造网络拓扑结构图，使用Dijkstra最短通路优先算法 (SPF)计算到达各个目标的最佳路由。

6.4 BGP协议

6.4.1 BGP4

边界网管协议BGP是应用于自治系统（AS)之间的外部网关协议。BGP4基本上是一个距离矢童路由协议，但是与RIP协议采用的算法稍有区别。BGP不但为每个目标计算域小通信费用，而且跟踪通向目标的路径：它不但把目标的通信费用发送给每一个邻居，而且也公告通向目标的域短路径（由AS编号的列表组成)。所以BGP4被称为路径矢量协议。

BGP算法没有距离矢量路由协议的不稳定性，可以避免路由循环。当BGP路由器收到一条路由信息时，首先检查它所在的自治系统是否在路径列表中。如果在列表中，则该路由信息被忽略，从而避免了出现路由循环。

BGP4支持无类别的域间路由（CIDR)，BGP邻居之间通过TCP连接端口179交换路由信息。这意味着BGP4可以利用TCP连接的差错和流量控制功能。当检测到路由表改变时，BGP只把改变了路由通过TCP连接发送给它的邻居。

6.5 MPLS汇聚

多协议标签交换（英语：Multi-Protocol Label Switching，缩写为MPLS）是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术。

多协议的含义是指MPLS不但可以支持多种网络层层面上的协议，还可以兼容第二层的多种数据链路层技术。

7、网络安全

7.1 对称加密

7.1.1 对称加密对比

加密算法	类型	密钥长度
AES	分组	128，192和256位
DES	分组	密钥长64位，密钥事实上是56位参与DES运算
3DES	分组	112位密钥
RC5 流密码	无
RC4	流密码	无
IDEA	分组	128位密

7.1.2 对称加密分类

AES

1997年1月，美国国家标准与技术局（NIST)为高级加密标准征集新算法。最初从许多响应者中挑选了15个候选算法，经过了世界密码共同体的分析，选出了其中的5 个。经过用ANSI C和Java语言对5个算法的加/解密速度、密钥和算法的安装时间，以及对各种攻击的拦截程度等进行了广泛的测试后，2000年10月，NIST宣布Rijndael 算法为AES的最佳候选算法，并于2002年5月26日发布正式的AES加密标准。
AES支持128，192和256位三种密钥长度，能够在世界范围内免版税使用，提供的安全级别足以保护未来20〜30年内的数据，可以通过软件或硬件实现。

DES

DES算法为密码体制中的对称密码体制，又被称为美国数据加密标准，是1972年美国IBM公司研制的对称密码体制加密算法。明文按64位进行分组，密钥长64位，密钥事实上是56位参与DES运算（第8、16、24、32、40、48、56、64位是校验位，使得每个密钥都有奇数个1）分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。

3DES

112位密钥，三重DES加密使用两个密钥进行三次加密。过程如下：

假设两个密钥分别为K1和K2,其加密过程是：

用密钥K1进行DES加密。
用K2对步骤（1)的结果进行DES解密。
对步骤（2)的结果使用密钥K1进行DES加密。

RC5

和RC4一样是流密码加密

IDEA

128位密钥 可以使用软件或者硬件，比DES快

7.2 非对称加密

7.2.1 RSA加密

加密流程：

选择一对不同的、足够大的素数p，q。
计算n=pq。
计算f(n)=(p-1)(q-1)，同时对p, q严加保密，不让任何人知道。
找一个与f(n)互质的数e，且1<e<f(n)。
计算d，使得de≡1 mod f(n)。
公钥KU=(e,n)，私钥KR=(d,n)。
加密时，先将明文变换成0至n-1的一个整数M。若明文较长，可先分割成适当的组，然后再进行交换。设密文为C，则加密过程为：C≡M^e(mod n)。
解密过程为：M≡C^d(mod n)

rsa 算法实例

取p =3 ,q = 11; 则 n = pq = 33; f(n) = (p-1)(q-1) = 20, 在1到20
取e与20互质，取e=3（也可以取其他）；
d*3≡1 mod 20 ;取d = 7（d也可以为27等）
公钥KU为e，n ： 3,33
私钥KR为d, n : 7, 33

原文 11,5,25 进行加密

11³ mod 33 = 11
5³ mod 33 = 26
25³ mod 33 = 16

对 11，26, 16 解密

11⁷ mod 33 = 11
26⁷ mod 33 = 5
16⁷ mod 33 = 25

7.3 认证技术

7.3.1 消息认证

7.3.2 报文摘要

MD5

具体操作步骤：

分组和填充：把明文报文按512位分组，最后要填充一定长度的“1000….”，使得报文长度=448 (mod512)
附加。域后加上64位的报文长度字段，整个明文恰好为512的整数倍。
初始化。置4个32位长的缓冲区ABCD分别为：
A=01234567 B=89ABCDEF C=FEDCBA98 D=76543210
处理。用4个不同的基本逻辑函数（F，G，H，I)进行4轮处理，每一轮以ABCD 和当前512位的块为输入，处理后送入ABCD (128位)，产生128位的报文摘要。

SHA-1

SHA-1，和MD5相似，但码长为160位，SHA比MD5更安全，但计算的效率不如MD5。

SM3

算法	长度
MD5	128
SHA-1	160

7.3.3 报文认证算法

7.4 数字证书

7.5 应用层安全协议

7.5.1 PGP

PGP使用RSA公钥证书进行身份认证，使用IDEA (128位密钥）进行数据加密

7.5.2 S-HTTP

S-HTTP不是采用SSL的安全协议。

7.5.3 MIME

多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名，以及一些媒体文件打开方式。

7.5.4 SET

银行支付系统使用的协议，很安全

7.5.5 Kerberos

Kerberos是一项认证服务，它要解决的问题是：在公开的分布式环境中，工作站上的用户希望通过安全的方式访问分布在网络的服务器。 Kerberos的设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无须基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下，Kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。

7.6 防火墙

7.6.1 防火墙三种模式

防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。

路由模式

如果防火墙以第三层对外连接（接口具有IP 地址），则认为防火墙工作在路由模式下；

透明模式

若防火墙通过第二层对外连接（接口无IP 地址），则防火墙工作在透明模式下；

混合模式

若防火墙同时具有工作在路由模式和透明模式的接口（某些接口具有IP 地址，某些接口无IP 地址），则防火墙工作在混合模式下。

7.6.2 访问控制列表

分类	规则定义描述	编号范围
基本ACL	源ip地址，分片信息，生效时间等	2000-2999
高级ACL	ipv4源ip，ip协议，ip协议类型，ICMP类型，TCP源/目的端口，UDP源/目的端口等	3000-3999
二层ACL	源MAC，目的MAC，二次协议类型等	4000-4999
用户ACL	ipv4源ip，ip协议，ip协议类型，ICMP类型，TCP源/目的端口，UDP源/目的端口等	6000-6031

7.7 网络安全专用产品

7.7.1 入侵检测系统

IDS (Intrusion Detection System)入侵检测系统，是作为防火墙之后的第二道安全屏障，通过从网络中关键地点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到入侵攻击的迹象，并自动做出响应。
它的主要功能包括对用户和系统行为的监测与分析、系统安全漏洞的检查和扫描、重要文件的完整性评估、已知攻击行为的识别、异常行为模式的统计分析、操作系统的审计跟踪，以及违反安全策略的用户行为的检测等。入侵检测通过实时地监控入侵事件，在造成系统损坏或数据丢失之前阻止入侵者进一步的行动，使系统能尽快恢复正常工作。同时还要收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。

数据备份一体机

为用户提供备份与恢复、数据库实时与定时备份、异地副本、文件备份、数据归档等服务和解决方案。

防火墙

防火墙是一种安全系统，它基于一组安全规则来监视和控制网络流量。防火墙通常位于受信任的网络和不受信任的网络之间；通常，不受信任的网络是互联网。例如，办公室网络通常使用防火墙来保护其网络免受在线威胁。

WEB应用防火墙

防御WEB攻击

入侵检测系统（IDS）

一般镜像流量

入侵防御系统（IPS）

一般串联

反垃圾邮件产品

垃圾邮件云网关

上网行为管理

上网行为管理是指组织或网络管理员采取措施来监控、控制和管理网络用户的互联网活动。它在组织和网络安全、合规性、网络性能和资源管理等方面发挥重要作用。

漏洞扫描设备

漏洞扫描设备是一种用于检测计算机系统、网络设备或应用程序中潜在漏洞和安全弱点的工具或设备。

网闸

属于物理隔离的双主机设备，使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离，使系统间不存在通信的物理连接、逻辑连接及信息传输协议，不存在依据协议进行的信息交换，而只有以数据文件形式进行的无协议摆渡。因此，网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击者无法直接入侵、攻击或破坏内网，保障了内部主机的安全

7.8 病毒

7.8.1 宏病毒

宏病毒是一种脚本病毒，宏病毒的前缀是Macro,第二前缀是Word、Word 97、Excel、 Excel 97等。宏病毒可以寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

7.9 网络安全防御模型

7.9.1 PDR 模型

PDR 模型是由美国国际互联网安全系统公司(ISS)提出，它是最早体现主动防御思想的一种网络安全模型。 PDR 模型包括 protection(保护)、 detection(检测)、 response(响应)3 个部分。

1 、保护保护就是采用一切可能的措施来保护网络、系统以及信息的安全。保护通常采用的技术及方法主要包括加密、认证、访问控制、防火墙以及防病毒等。 2 、检测检测可以了解和评估网络和系统的安全状态，为安全防护和安全响应提供依据。检测技术主要包括入侵检测、漏洞检测以及网络扫描等技术。

3 、响应应急响应在安全模型中占有重要地位，是解决安全问题的最有效办法。解决安全问题就是解决紧急响应和异常处理问题，因此，建立应急响应机制，形成快速安全响应的能力，对网络和系统而言至关重要。

8. 操作系统

8.1 内核与微内核

区别：微内核相比于传统内核，效率较差。

采用微内核结构的操作系统与传统的操作系统相比，其优点是提高了系统的灵活性、可扩充性，增强了系统的可靠性，提供了对分布式系统的支持。其原因如下：

灵活性和可扩展性：由于微内核 OS 的许多功能是由相对独立的服务器软件来实现的，当开发了新的硬件和软件时，微内核 OS 只须在相应的服务器中增加新的功能，或再增加一个专门的服务器。与此同时，也必然改善系统的灵活性，不仅可在操作系统中增加新的功能，还可修改原有功能，以及删除已过时的功能，以形成一个更为精干有效的操作系统。
增强了系统的可靠性和可移植性：由于微内核是出于精心设计和严格测试的，容易保证其正确性；另一方面是它提供了规范而精简的应用程序接口(API)，为微内核外部的程序编制高质量的代码创造了条件。此外，由于所有服务器都是运行在用户态，服务器与服务器之间采用的是消息传递通信机制，因此，当某个服务器出现错误时，不会影响内核，也不会影响其它服务器。另外，由于在微内核结构的操作系统中，所有与特定 CPU 和 I/O 设备硬件有关的代码，均放在内核和内核下面的硬件隐藏层中，而操作系统其它绝大部分(即各种服务器)均与硬件平台无关，因而，把操作系统移植到另一个计算机硬件平台上所需作的修改是比较小的。
提供了对分布式系统的支持：由于在微内核 OS 中，客户和服务器之间以及服务器和服务器之间的通信，是采用消息传递通信机制进行的，致使微内核 OS 能很好地支持分布式系统和网络系统。事实上，只要在分布式系统中赋予所有进程和服务器惟一的标识符，在微内核中再配置一张系统映射表(即进程和服务器的标识符与它们所驻留的机器之间的对应表)，在进行客户与服务器通信时，只需在所发送的消息中标上发送进程和接收进程的标识符，微内核便可利用系统映射表，将消息发往目标，而无论目标是驻留在哪台机器上。

8.2 段页式存储

段页式存储管理方式即先将用户程序分成若干个段，再把每个段分成若干个页，并为每一个段赋予一个段名。

8.3 Linux

8.3.1 Linux配置文件与配置

域名解析配置

Linux文件系统中的/etc/hosts文件包含了IP地址和主机名之间的映射关系，包括系统的别名（可以没有)，记录的顺序为：

IP地址 主机名 别名

Apache

Apache的主配置文件：/etc/httpd/conf/httpd.conf

默认站点主目录：/var/www/html/

DNS配置

配置文件: /etc/resolv.conf
内容:

# Generated by NetworkManager nameserver 220.248.192.12 nameserver 220.248.192.13

8.4 Windows

9、路由交换和网络配置

9.1 交换机

9.1.1 交换机的分类

根据交换方式划分

存储转发式交换
直通式交换
碎片过滤式交换

根据交换的协议层划分

第二层交换。根据 MAC 地址进行交换。
第三层交换。根据网络层地址 (IP 地址）进行交换。

根据层次型结构划分

接入层交换机。接入层是工作站连接网络的入口，实现用户的网络访问控制，这的交换机应该以低成本提供高密度的接入端口。例如，华为 S2700 系列最多可以提供 52 个快速以太网端口适合中小型企业网络使用。
汇聚层交换机。汇聚层将网络划分为多个广播／组播域，可以实现 VLAN 间的路由选择，并通过访问控制列表实现分组过滤。这一层交换机的端口数和交换速率要求不是很高，但应提供第三层交换功能。例如华为 S5700-SI 系列交换机具有多个 lOM/lOOM/lOOOM Base-T 口和千兆 SFP 端口，可以支待多种光模块收发器，同时提供先进的服务质 QoS 管理和速度限制，以及安全访问控制列表、组播管理和高性能的 IP 路由
核心层交换机。核心层应采用可扩展的高性能交换机组成园区网的主干线路，提供链路冗余、路由冗余、 VLAN 中继和负载均衡等功能，并且与汇聚层交换机具有兼容的技术，支待相同的协议例如，华为 S6700 系列交换机就是种适合部署到核心网络的交换机

9.1.2 包转发率

一般工作在数据链路层包转发率＝千兆端口数 x 1.488Mpps+百兆端口数 x 0.1488Mpps+其余端口数 x 相应包转发数

一个百兆以太口每秒最多转发12500000byte的数据，假设在最糟糕的情况下所传输的所有数据帧都是最小的84byte（当然如果传输的数据帧越大对交换机转发越有利，所以我们这里假设一个极端，在最糟糕的情况下），那么这个百兆以太口每秒转发的数据帧为 12500000/84=148809pps（帧/秒）=148.8kpps = 0.1488Mpps。

9.2 路由器

9.2.1 路由器接口

RJ-45 端口：这种端口通过双绞线连接以太网。
AUI 端口：AUI 端口是一种 D 型 15 针连接器，用在令牌环网或总线型以太网中。
高速同步串口：在路由器与广域网的连接中，高速同步串行口(Synchronous Serial Port)端口用于连接 DDN、帧中继、X.25 和 PSTN 等网络。
ISDN BRI 端口：ISDN BRI 端口通过 ISDN 线路实现路由器与 Internet 或其他网络的远程连接，ISDN BRI 的 3 个通道(2B+D)的总带宽为 144kbps,端口采用
RJ-45 标准，与 ISDN NTl 的连接使用 RJ-45-toRJ-45 直通线。
异步串口：异步串口(ASYNC)主要应用于与 Modem 或 Modem 池的连接，以实现远程计算机通过 PSTN 拨号接入。
Console 端口：Console 端口通过配置专用电缆连接至计算机串行口，利用终端仿真程序（如 Hyper Terminal) 对路由器进行本地配置。路由器的 Console 端口为 RJ-45 口。
AUX 端口：对路由器进行远程配置时要使用 AUX 端口(Auxiliary Prot)。AUX 端口在外观上 RJ-45 端口一样，只是内部电路不同，实现的功能也不一样。通过 AUX 端口与 Modem 进行连接必须借助 RJ-45 to DB9 或 RJ-45 to DB25 适配器进行电路转换。

9.2.2 路由器操作系统

华为路由器、交换机等数据网络产品采用的是通用路由平台 VRP ( Versatile Routing Platform), 常用的 VRP 有 VRP5 和 VRP8 两个版本

华为VRP 有 3 种命令级别，分别为用户视图、系统视图和具体业务视图。

9.3 VLAN的配置

9.3.1 基于接口划分 VLAN

创建vlan

vlan batch 10 20 30 //创建VLAN

创建access接口

[SwitchA] interface gigabitethemet 0/0/1
[SwitchA-GigabitEthemet0/0/ 1] port link-type access //创建access接口
[SwitchA-GigabitEthemet0/0/1] port default vlan 2
[SwitchA-GigabitEthernet0/0/1] quit

创建trunk接口

[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthemet0/0/2] port link-type trunk //创建trunk接口
[SwitchA-GigabitEthemet0/0/2] port trunk allow-pass vlan 2

创建hybrid接口

[SwitchA] interface gigabitethernet 0/0/3
[SwitchA-GigabitEthemet0/0/2] port link-type hybrid //创建hybrid接口
[SwitchA-GigabitEthemet0/0/2] port hybrid pvid vlan20
[SwitchA-GigabitEthemet0/0/2] port hybrid untagged vlan20

9.4 STP的配置

配置STP模式，A、B、C的配置相同：

[SwitchA] stp mode stp	#配置根桥和备份根桥设备
[SwitchA] stp root primary ＃配置 SwitchA 为根桥 
[SwitchB] stp root secondary	＃配置 SwitchB 为备份根桥 
#配置 SwitchA 端口路径开销计算方法为华为 算方法 SwitchB SwitchD 配置方法相同
[SwitchA] stp pathcost-standard legacy 或者 # stp pathcost leg
#配置 SwitchC GigabitEthemet0 端口路径开销值 20000 
[SwitchC] stp pathcost-standard legacy 
[SwitchC] interface gigabitethemet 0/0/1 
[SwitchC-GigabitEthemet0/0/ 1] stp cost 20000 
[SwitchC-GigabitEthemet0/0/ 1] quit

9.5 静态路由的配置

9.5.1 查看路由表

[SwitchA] display ip routing-table
Route Flags: R - relay, D - download to fib, T - to vpn-instance
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 7        Routes : 7
 
Destination/Mask    Proto  Pre  Cost   Flags   NextHop      Interface
 
        0.0.0.0/0    Static 60   0        RD    10.1.4.2     Vlanif10
        10.1.1.0/24  Direct 0    0         D    10.1.1.1     Vlanif30
        10.1.1.1/32  Direct 0    0         D    127.0.0.1    Vlanif30
        10.1.4.0/30  Direct 0    0         D    10.1.4.1     Vlanif10
        10.1.4.1/32  Direct 0    0         D    127.0.0.1    Vlanif10
      127.0.0.0/8    Direct 0    0         D    127.0.0.1    InLoopBack0
      127.0.0.1/32   Direct 0    0         D    127.0.0.1    InLoopBack0

9.5.2 配置静态路由

[SwitchB] ip route-static 10.1.1.0 255.255.255.0 10.1.4.1
[SwitchB] ip route-static 10.1.3.0 255.255.255.0 10.1.4.6
[SwitchC] ip route-static 0.0.0.0 0.0.0.0 10.1.4.5	#默认路由

9.6 动态路由的配置

9.6.1 RIP

[AR1]rip      //启用RIP路由
[AR1-rip-1]undo summary    关闭自动汇总
[AR1-rip-1]version 2     //启用rip version 2
[AR1-rip-1]network 192.168.1.0    //把直连网段通告进RIP进程
[AR1-rip-1]network 172.16.0.0

9.6.2 OSPF

[SwitchA] ospf 1 router-id 10.1.1.1   //创建进程号为1，Router ID为10.1.1.1的OSPF进程
[SwitchA-ospf-1] area 0   //创建area 0区域并进入area 0视图
[SwitchA-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255   //配置area 0所包含的网段
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] area 1   //创建area 1区域并进入area 1视图
[SwitchA-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255   //配置area 1所包含的网段
[SwitchA-ospf-1-area-0.0.0.1] return

检查：

[SwitchA] display ospf peer	#查看SwitchA的OSPF邻居
[SwitchA] display ospf routing	#查看SwitchC的OSPF路由信息。

9.7 BGP的配置

9.7.1 配置IBGP连接

配置RouterB

[RouterB] bgp 65009
[RouterB-bgp] router-id 2.2.2.2
[RouterB-bgp] peer 9.1.1.2 as-number 65009
[RouterB-bgp] peer 9.1.3.2 as-number 65009

配置RouterC

[RouterC] bgp 65009
[RouterC-bgp] router-id 3.3.3.3
[RouterC-bgp] peer 9.1.3.1 as-number 65009
[RouterC-bgp] peer 9.1.2.2 as-number 65009
[RouterC-bgp] quit

配置RouterD

[RouterD] bgp 65009
[RouterD-bgp] router-id 4.4.4.4
[RouterD-bgp] peer 9.1.1.1 as-number 65009
[RouterD-bgp] peer 9.1.2.1 as-number 65009
[RouterD-bgp] quit

7.7.2 配置EBGP连接

配置RouterA

[RouterA] bgp 65008
[RouterA-bgp] router-id 1.1.1.1
[RouterA-bgp] peer 200.1.1.1 as-number 65009

配置RouterB

[RouterB-bgp] peer 200.1.1.2 as-number 65008

查看BGP对等体的连接状态

[RouterB-bgp] display bgp peer
 BGP local router ID : 2.2.2.2
 Local AS number : 65009
 Total number of peers : 3                 Peers in established state : 3
  Peer          V    AS  MsgRcvd  MsgSent  OutQ  Up/Down         State PrefRcv
  9.1.1.2       4 65009       49       62     0 00:44:58 Established       0
  9.1.3.2       4 65009       56       56     0 00:40:54 Established       0
  200.1.1.2     4 65008       49       65     0 00:44:03 Established

可以看出，RouterB到其他路由器的BGP连接均已建立。

9.8 备份冗余的配置

组网需求

如图13-7所示，HostA通过Switch双归属到RouterA和RouterB。主机HostA通过缺省网关访问主机HostB。RouterA和RouterB组成VRRP备份组，RouterA为主设备，RouterB为备用设备。用户希望实现：

正常情况下，主机以RouterA为默认网关接入Internet，当RouterA故障时，RouterB接替作为网关继续进行工作，实现网关的冗余备份。
RouterA故障恢复后，能在20秒内抢占成为Master，重新成为网关。

操作步骤

RouterA的配置

interface Ethernet1/0/0
 ip address 10.1.1.1 255.255.255.0  //连接HostA的接口的IP地址
 vrrp vrid 1 virtual-ip 10.1.1.111  //配置虚拟网关地址
 vrrp vrid 1 priority 120  //配置RouterA在备份组中的优先级为120，缺省情况下，优先级为100，越大越优先
 vrrp vrid 1 preempt-mode timer delay 20  //配置抢占方式下的延迟时间
#
interface Ethernet1/0/1
ip address 11.1.1.1 255.255.255.0  //连接HostB的接口的IP地址

RouterB的配置

interface Ethernet1/0/0
 ip address 10.1.1.2 255.255.255.0  //连接HostA的接口的IP地址
 vrrp vrid 1 virtual-ip 10.1.1.111  //配置虚拟网关地址
#
interface Ethernet1/0/1
ip address 11.1.1.2 255.255.255.0  //连接HostB的接口的IP地址

验证配置结果

在RouterA上执行display vrrp命令可以查看RouterA上接口Ethernet1/0/0在VRRP备份组中的状态。其中“state”为Master。
在RouterB上执行display vrrp命令可以查看RouterB上接口Ethernet1/0/0在VRRP备份组中的状态。其中“state”为Backup。

9.9 DHCP的配置

ip pool VLAN-10		#创建 IP 地址池
network 192.168.10.0 mask 255.255.255.0
gateway-list  192.168.10.254
dns-list 8.8.8.8
lease day 3
domain-name abc.com
dhcp enable 	# 开启 DHCP 服务    
interface gi0/0/0	#在接收DHCP报文的端口上，配置 DHCP 的选择方式 -  global 
dhcp select global  #使能接口采用全局地址池的DHCP服务器功能

9.10 IPv6的配置

IPv6-over-Ipv4GRE隧道配置

ipv6 //开启IPV6报文转发功能
interface tunnel 0/0/1 //创建隧道接口
tunnel-protocol gre //启用隧道协议 GRE
tunnel-protocol ipv6-ipv4 auto-tunnel //配置Tunnel为自动隧道模式
source ip/interface-nmuber //指定Tunnel的源地址或源接口
ipv6 enable //使能接口的IPV6功能
ipv6 address ipv6-adderss //设置Tunnel接口的IPV6地址

9.11 ACL的配置

# 配置基于ACL的流分类
traffic classifier c_xs //创建一个c_xs的分流
if-match acl 3002 //将acl和流分类关联

traffic behavior b_market //创建流行为
deny //配置流行为动作为拒绝报文通过

traffic policy p_market //创建流策略
traffic-policy p_market inbound

time-range satime 8:00 to 18:00 working-day

9.12 NAT的配置

9.12.1 Easy IP地址转换

acl number 2000
rule 5 permit source 192.168.0.0 0.0.0.255
quit
int E0/0/1
undo port switch  #关闭端口的交换特性，变为路由接口 
ip address 192.168.0.1 255.255.255.0
quit 
int G0/0/1
ip address 200.100.1.2 255.255.255.0
nat outbound 2000 # 在接口G0/0/1上做EasyIP方式的NAT
quit 
ip route-static 0.0.0.0 0.0.0.0 200.100.1.1	#配置默认路由

9.13 ipsec的配置

//R1 上配置 IPSec 安全提议
[R1]ipsec proposal tran1 //创建名为 tran1 的安全提议
[R1-ipsec-proposal-tran1]esp authentication-algorithm sha2-256 //采用 sha2 算法认证
[R1-ipsec-proposal-tran1]esp encryption-algorithm aes-128 //采用 aes 算法加密
[R1-ipsec-proposal-tran1]quit

//在 R1 上配置 IKE 对等体，并根据默认配置，配置预共享密钥和对端 ID
[R1]ike peer spub //创建 IKE 对等实体
[R1-ike-peer-spub] undo version 2 //使用 v2 版本
[R1-ike-peer-spub] ike-proposal 5 //使用安全提议 5
[R1-ike-peer-spub] pre-shared-key cipher Huawei //与共享密钥
[R1-ike-peer-spub] remote-address 167.1.1.1 //远程地址
[R1-ike-peer-spub] quit //在 R2 上配置 IKE 安全提议

10、网络管理

网络管理基础服务

网络管理五大功能：故障管理，配置管理，计费管理，性能管理，安全管理。

故障管理：尽快发现故障，找出故障原因，以便采取补救措施。

SNMP协议

网络管理协议五大标准

ISO制定：CMIS/CMIP公共管理信息服务规范
基于TCP/IP：简单网络管理协议SNMPv1、SNMPv2、SNMPv3.
基于局域网：远程监控网络RMON-1和RMON-2。
IEEE制定：基于物理层和数据链路层CMOL。
ITU-T：电信网络管理标准TMN。

SNMP核心考点（5分占3分）

SNMP为应用层协议，通过UDP承载，端口161和162.
不可靠，但效率高，网络管理不会太多增加网络负载。

2个服务[SNMPServer、SNMPTrap]，3个端口[161\162\随机]，5个报文[get-request、get-next-request、set-request、get-response、trap]

客户端SNMPServer（Agent）：端口161，客户机跟服务器通信都是使用161端口。

服务器端SNMPTrap（NMS）：端口162、随机，Trap服务端口162用来给客户机上报问题的端口，其它报文通信使用随机端口。

五个报文

分类	名称	用途
服务端→客户端	get-request	查询一个或多个变量的值
	get-next-request	MIB树上检索下一个变量
	set-request	对一个或多个变量的值进行设置
客户端→服务端	get-response	对get/set报文做出响应
客户端→服务端	trap	向管理进程报告代理发生的事件

SNMP版本区别

SNMPv1机制

SNMPv1网络管理中，管理站和代理站之间可以是一对多关系，也可以是多对一关系。
RFC1157规定SNMP基本认证和控制机制，通过团体名 (community)验证实现
团体名Community明文传输，不安全

SNMPv2

SNMPv2增加定义了GetBulk和inform两个新协议操作.
GetBulk:快速获取大块数据
Inform: 允许一个NMS向另一个NMS发送Trap信息/接收响应消息

SNMPv3

SNMPv3重新定义了网络管理框架和安全机制
重新定义网络管理框架: 将前两版中的管理站和代理统一叫做SNMP实体 (entity)
安全机制:认证和加密传输
- 时间序列模块: 提供重放攻击防护
- 认证模块:完整性和数据源认证，使用SHA或MD5.
- 加密模块:防止内容泄露，使用DES算法。
有两种威胁是SNMPv3没有防护的:拒绝服务和通信分析

10.2 网络诊断配置命令

nslookup

显示DNS解析信息

tracert

路由追踪

tracert -d 10.0.0.1

netstat

netstat -r 显示IP路由表的内容，其作用等价于路由打印命令route print
netstat -o 显示活动的TCP连接以及每个连接对应的进程ID。在Windows任务管理器中可以找到与进程ID对应的应用。这个参数可以与-a、-n和-p联合使用
netstat -s 显示每个协议的统计数据。默认情况下，统计TCP、UDP、ICMP和IP协议发送和接收的数据包、出错的数据包、连接成功或失败的次数等。如果与-p参数联合使用，可以指定要显示统计数据的协议，
netstat -n 显示活动的TCP连接，地址和端口号以数字形式表示。
netstat -a 显示所有活动的TCP连接，以及正在监听的TCP和UDP端口。
netstat -e 显示以太网统计信息，例如发送和接收的字节数，以及出错的次数等。这个参数可以与-s参数联合使用。

ping

检查TCP/IP协议栈是否正常工作

arp

arp -d 删除ARP记录

arp -a 查看所有arp记录

ipconifg

查看网络配置信息

11、网络存储技术

11.1 磁盘空间管理

11.1.1 位示图法

位示图是利用二进制的一位来表示磁盘中的一个盘块的使用情况。当其值为“0”时，表示对应的盘块空闲；为“1”时，表示已经分配。有的系统把0作为盘块已分配的标记，把“1”作为空闲标志。(它们的本质上是相同的，都是用一位的两种状态标志空闲和已分配两种情况。)磁盘上的所有盘块都有一个二进制位与之对应，这样，由所有盘块所对应的位构成一个集合，称为位示图。

11.2 RAID的分类

RAID模式	最少硬盘数	可用硬盘	描述
RAID 0	2	n	对性能要求高，数据安全性要求低的场景
RAID 1（镜像）	2	1	对数据安全性要求高，存储效率要求不高的场景
RAID 5（奇偶校验）	3	n - 1	对性能、数据安全性和存储空间利用率要求较高的场景
RAID 6（两套奇偶校验）	4	n - 2	对数据安全性要求极高，可以容忍多硬盘故障的场景
RAID 10	4	n/2	对性能和数据安全性要求都较高的场景
RAID 50	6	n/2 - 1	对性能、数据安全性和存储空间利用率要求较高，成本可接受的场景

11.3 DAS、NAS、SAN的架构比较

11.3.1 DAS存储（直连式存储Direct-Attached Storage）

采用SCSI通道连接，带宽为10Mbps,20Mbps,40Mbps,80Mbps等

11.3.2 NAS存储（网络接入存储Network-Attached Storage）

NAS（Network Attached Storage)网络存储基于标准网络协议实现数据传输，为网络中的Windows / Linux / Mac OS 等各种不同操作系统的计算机提供文件共享和数据备份。

11.3.3 SAN存储（存储区域网络Storage Area Network）

通过FC交换机连接存储阵列和服务器主机，建立专用于数据存储的区域网络
分为两种:

FC SAN
通常SAN由磁盘阵列（RAID）连接光纤通道（Fibre Channel）组成，（为了区别于IP SAN，通常SAN也称为FC-SAN）。SAN和服务器和客户机的数据通信通过SCSI命令而非TCP/IP，数据处理是“块级”（block level）。SAN也可以定义为是以数据存储为中心，它采用可伸缩的网络拓扑结构，通过具有高传输速率的光通道的直接连接方式，提供SAN内部任意节点之间的多路可选择的数据交换，并且将数据存储管理集中在相对独立的存储区域网内。SAN最终将实现在多种操作系统下，最大限度的数据共享和数据优化管理，以及系统的无缝扩充。

IP SAN
简单来讲，IP-SAN（IP存储）的通信通道是使用IP通道，而不是光纤通道，把服务器与存储设备连接起来的技术，除了标准已获通过的iSCSI，还有FCIP、iFCP等正在制定的标准。而iSCSI发展最快，已经成了IP存储一个有力的代表。

11.4 虚拟化文件系统

11.4.1 CIFS和NFS的对比

CIFS面向网络连接的共享协议，对网络传输的可靠性要求高，常使用TCP/IP；NFS是独立于传输的，可使用TCP或UDP；
NFS缺点之一，是要求client必须安装专用软件；而CIFS集成在OS 内部，无需额外添加软件；
NFS属无状态协议，而CIFS属有状态协议；NFS受故障影响小，可以自恢复交互过程，CIFS不行；从传输效率上看，CIFS优于NFS，没用太多冗余信息传送；
两协议都需要文件格式转换，NFS保留了unix的文件格式特性，如所有人、组等等；CIFS则完全按照win的风格来作。

11.5 存储备份架构

常见的网络数据备份架构有基于主机结构（Host-Base），基于局域网结构（LAN-Base），基于SAN结构的LAN-Free和Server-Free结构

11.5.1 Host-Base

操作方式：手动

优点：备份管理简单、传输速度快

缺点：不利于共享、不适合大型的数据备份的要求

适用：小型个体服务器数据备份。

11.5.2 LAN-BASE

LAN-BASE指以太网为基础的。存在了备份服务器的概念。磁带库责接在备份服务器上。数据通过网络传输。

优点：节省资源、磁带库共享、集中备份管理

缺点：网络传输压力大。

11.5.3 LAN-FREE

备份方式：将磁带库和磁盘阵列传作为光纤节点，多台主机共享磁带库备份，数据直接从磁盘阵列进入磁带库。LAN-Free备份只能针对SAN架构的存储，基于LAN-Free的数据备份方式下，生产系统安装有相关的备份客户端与备份介质管理软件，分别负责与备份服务器通信以及管理使用备份介质。在进行备份任务时，主控服务器只需发送指令给生产系统，生产系统便会自动将数据传输至备份介质中

优点：数据备份统一管理。备份速度快。网络传输压力小。磁带库资源共享。

缺点：投资高。

11.5.4 SERVER-FREE

技术原理：这种备份方式是以全面释放网络和服务器资源为目的，核心技术是在

SAN的交换层实现数据的备份复制工作。SAN Server-Free备份同样只能针对SAN架构的存储，基于SAN Server-Free的数据备份方式下，一般会结合阵列的快照功能使用。在进行备份任务时，先创建生产数据的快照映射给备份服务器，由备份服务器挂载该快照，最后将快照数据拷贝至备份介质中。

成本最高。

12、计算机软件知识

12.1 Gantt图和PERT图

软件项目计划的一个重要内容是安排进度，常用的方法有Gantt图和PERT图。

12.1.1 Gantt图(甘特图)

Gantt 图用水平条状图描述，它以日历为基准描述项目任务，可以清楚地表示任务的持续时间和任务之间的并行，但是不能清晰地描述各个任务之间的依赖关系。

甘特图以图示通过活动列表和时间刻度表示出特定项目的顺序与持续时间。一条线条图，横轴表示时间，纵轴表示项目，线条表示期间计划和实际完成情况。直观表明计划何时进行，进展与要求的对比。便于管理者弄清项目的剩余任务，评估工作进度。

甘特图是以作业排序为目的，将活动与时间联系起来的最早尝试的工具之一，帮助企业描述工作中心、超时工作等资源的使用。

甘特图包含以下三个含义：

以图形或表格的形式显示活动；
通用的显示进度的方法；
构造时含日历天和持续时间，不将周末节假算在进度内。

简单、醒目、便于编制，在管理中广泛应用。
甘特图按内容不同，分为计划图表、负荷图表、机器闲置图表、人员闲置图表和进度表五种形式。

如图所示：

甘特图.png

12.1.2 PERT图

PERT图.png

12.2 基本文件格式

12.2.1 影片格式

MOV即QuickTime影片格式，它是Apple公司开发的一种音频、视频文件格式，用于存储常用数字媒体类型，如音频和视频。
音频文件
WAV
MP3

12.2.2 图片文件

BMP是图片文件，位图。
png
jpeg
jpg

12.3 基本像素格式

12.3.1 DPI

DPI（Dots Per Inch，每英寸点数）是指每英寸所能打印的点数

例如：希望打印照片的尺寸是4*3 inch，而打印分辨率横向和竖向都是300dpi，则需要照相机采集的像素数至少为（300*4）*（300*3）=1080000像素，约一百万像素。采集的像素数过低会降低图像的打印质量，过高也不能提升打印质量。

12.3.2 PPI

ppi(pixels per inch)：图像的采样率（在图像中，每英寸所包含的像素数目）

12.4 软件知识产权

12.4.1 著作权法

12.4.2 保护期限

署名权，修改权和保护作品完整权不受时间期限，其他权利为作者死亡后50年，

12.5 软件系统

软件系统的文档可以分为用户文档和系统文档两类。用户文档主要描述系统功能和使用方法，并不关心这些功能是怎样实现的；系统文档描述系统设计、实现和测试等各方面的内容。

总的说来，软件文档应该满足下述要求：

必须描述如何使用这个系统，没有了这种描述即使是最简单的系统也无法使用；
必须描述怎样安装和管理这个系统；
必须描述系统需求和设计；
必须描述系统的实现和测试，以便使系统成为可维护的。

计算机信息系统安全保护等级划分准则

13、网络规划

13.1 网络结构

13.1.1 网络汇聚层

汇聚层主要提供地址的聚焦，部门和工作组的接入，广播域、组播传输域的定义，VLAN分割，介质转换和安全控制等功能。它是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能、更少的接口和更高的交换速率。

汇聚层提供接入层之间的互访，汇聚层通常进行资源的访问控制

13.1.2 网络核心层

核心层的作用是尽可能快地交换数据包，构成高速的交换骨干，所以核心层交换机的背板带宽，转发速率尽可能快，另外，核心层可靠性要求较高，所以一般都要求电源冗余
核心层实现数据分组从一个区域到另一个区域的高速转发

13.1.3 网络接入层

接入层实现终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。

13.2 综合布线

工作区子系统（Work Location) 工作区子系统是指从终端设备到信息插座的整个区域。一个独立的需要安装终端设备的区域划分为一个工作区。工作区应支持电话、数据终端、计算机、电视机、监视器以及传感器等多种终端设备。插座离地面30-50cm，无屏蔽线最大为10m，网线口和电源间距大于10cm，暗装插座离电源20cm。
水平布线子系统（Horizontal) 各个楼层接线间的配线架到工作区信息插座之间所安装的线缆属于水平子系统。水平子系统的作用是将干线子系统线路延伸到用户工作区。
管理子系统（Administration) 管理子系统设置在楼层的接线间内，由各种交连设备（双绞线跳线架、光纤跳线架) 以及集线器和交换机等交换设备组成，交连方式取决于网络拓扑结构和工作区设备的要求。
干线子系统（Backbone) 干线子系统是建筑物的主干线缆，实现各楼层设备间子系统之间的互连。干线子系统通常由垂直的大对数铜缆或光缆组成，一头端接于设备间的主配线架上，另一头端接在楼层接线间的管理配线架上。
设备间子系统（Equipment) 建筑物的设备间是网络管理人员值班的场所，设备间子系统由建筑物的进户线、交换设备、电话，服务器、计算机、终端设施以及保安设施组成，实现中央主配线架与各种不同设备 (如PBX、网络设备和监控设备等）之间的连接。
建筑群子系统（Campus) 建筑群子系统也叫园区子系统，它是连接各个建筑物的通信系统。大楼之间的布线方法有三种：一种是地下管道敷设方式；第二种是直埋法，要在同一个沟内埋入通信和监控电缆，并应设立明显的地面标志；最后一种是架空明线，这种方法需要经常维护。

图片-bqln.png

网络分析与设计

主要靠五阶段模型，六阶段再五阶段至少多加了个监测及性能优化

需求分析-通信规范分析-逻辑网络设计-物理网络设计-实施阶段

技术评价

在进行网络技术选择时，考虑:通信带宽、技术成熟性、连接服务类型、可扩展性、高投资产出比等因素。
对于大型网络工程来说，项目本身不能成为新技术的试验田。尽量使用较成熟、拥有较多案例的技术

13.3 软件开发过程模型

增量模型
增量模型是一种阶段化的软件开发过程模型
瀑布模型
瀑布模型从一种非常高层的角度描述了软件开发过程中进行的活动，并且提出了要求开发人员经过的事件序列。该模型适用于项目开始时需求已确定的情况
V模型
V模型是瀑布模型的变种，它说明测试活动是如何与分析和设计相联系的
原型模型
原型模型允许开发人员快速地构造整个系统或系统的一部分以理解或澄清问题。原型的用途是获知用户的真正需求，因此原型模型可以有效地引发系统需求
螺旋模型
螺旋模型把开发活动和风险管理结合起来，以将风险减到最小并控制风险

13.4 软件开发方法

Jackson方法

Jackson方法是一种面向数据结构的开发方法。

JSP(JacksonStructure Programming）方法是以数据结构为驱动的，适合于小规模的项目。JSP方法首先描述问题的输入/输出数据结构，分析其对应性，然后推出相应的程序结构，从而给问题的软件过程描述。

JSD方法是JSP方法的扩展，是一个完整的系统开发方法。首先建立现实世界的模型，再确定系统的功能需求，对需求的描述特别强调操作之间的时序性。它是以事件作为驱动的，是一种基于进程的开发方法，所以适用于时序特别较强的系统，包括数据处理系统和一些实时控制系统。

原型方法

原型方法比较适合于用户需求不清、需求经常变化的情况。当系统规模不是很大也不太复杂时，采用该方法比较好。

面向对象方法

面向对象方法正是以对象作为最基本的元素，它也是分析问题、解决问题的核心。面向对象方法包括面向对象分析、面向对象设计和面向对象实现。

UML是面向对象的标准建模语言，通过统一的语义和符号表示，使各种方法的建模过程和表示统一起来，现已成为面向对象建模的工业标准。

敏捷方法

极限编程(XP)：XP是一种轻量级（敏捷）、高效、低风险、柔性、可预测的、科学的软件开发方式。它由价值观、原则、实践和行为4个部分组成，彼此相互依赖、关联，并通过行为贯穿于整个生存周期。

4大价值观：沟通、简单性、反馈、勇气

5个原则：快速反馈、简单性假设、逐步修改、提倡更改、优质工作

12个最佳实践：计划游戏（快速制定计划、随着细节的不断变化而完善）、小型发布（系统的设计要能够尽可能早地交付）、隐喻（找到合适的比喻传达信息）、简单设计（只处理当前的需求，使设计保持简单）、测试先行（先写测试代码，然后再编写程序）、重构（重新审视需求和设计，重新明确地描述他们以符合新的和现有的需求）、结对编程、集体代码所有制、继续集成（可以按日甚至按小时为客户提供可运行的版本）、每周工作40小时、现场客户和编码标准。

水晶法

水晶法认为每一个不同的项目都需要一套不同的策略、约定和方法论。

并列争求法

并列争求法使用迭代的方法，其中，把每30天一次的迭代称为一个“冲刺”，并按需求的优先级别来实现产品。

自适应软件开发（ASD)

ASD有6个基本的原则

有一个使命作为指导；
特征被视为客户价值的关键点；
过程中的等待是很重要的，因此“重做”与“做”同样关键
变化不被视为改正，而是被视为对软件开发实际情况的调查。
确定的交付时间迫使开发人员认真考虑每一个生产的版本的关键需求。
风险也包含其中。

14、论文

论文分为摘要和正文两个部分，摘要300字以内，正文2000-2500字以内。一般来说，摘要和正文保持在2500字左右即可。

校园网拓扑结构.png

模版

构建稳健的企业网络基础

摘要：本论文将深入探讨网络规划设计师在企业网络领域的角色和职责，以及他们在企业网络系统中的关键作用。同时，我们将详细介绍企业网络规划和设计的过程，网络设备的管理和维护，以及网络安全和风险管理的任务。通过结合实际案例和专业术语的准确使用，本文旨在为读者提供有关网络规划设计师的深入了解，并强调他们在维护现代企业网络基础设施方面的不可或缺性。

1、网络规划设计师的角色和职责

1.1 网络规划设计师的职责

网络规划设计师是企业网络团队中的核心成员，他们负责规划、设计和管理企业网络基础设施。他们的职责包括但不限于以下几个方面：

评估企业网络需求：网络规划设计师需要深入了解企业的业务需求，包括不同部门之间的通信需求、网络流量预测、安全需求等。这个初步评估是网络规划的基础。
设计网络架构：根据业务需求，设计师需要制定网络拓扑结构、子网划分、路由策略和网络互连方案。这确保了网络的适应性和可扩展性。
选择网络设备和技术：设计师需要选择适当的网络设备和技术，包括路由器、交换机、防火墙、负载均衡器等。他们必须了解各种设备的性能、功能和成本效益，以满足设计要求。
配置网络系统：将所选设备配置成符合设计要求的网络系统，包括设置IP地址、VLAN、路由策略、访问控制列表等。
项目管理和预算控制：规划设计师需要协调不同部门和团队，确保项目按时交付，并在预算内完成。他们还需要管理项目进度和资源。

1.2 网络规划设计师的角色

网络规划设计师在企业网络系统中扮演多重角色，包括但不限于以下几个：

业务分析师：他们需要了解企业的业务需求，将业务需求翻译成网络设计要求。
架构师：规划设计师需要设计网络的整体架构，确保网络的可用性、可扩展性和性能。
项目经理：他们协调不同部门和团队，确保网络项目按计划执行。
技术专家：规划设计师必须深入了解网络技术和设备，以正确选择和配置网络设备。
安全专家：网络安全是关键问题，规划设计师需要制定并实施网络安全策略，确保网络免受威胁。

2、企业网络规划和设计

2.1 评估企业网络需求

网络规划设计的第一步是全面评估企业的网络需求。这包括了解不同部门的通信需求、数据流量预测、应用程序要求、业务增长计划和安全需求。实现这一目标的关键步骤包括：

与各部门沟通：网络规划设计师需要与各个部门的负责人和员工交流，了解他们的网络需求。这可能包括电话、视频、数据传输、远程办公等。
数据流量分析：通过监控现有网络流量，规划设计师可以确定高峰时段、瓶颈和潜在的性能问题。
未来增长预测：规划设计师需要考虑企业的未来增长计划，以确保网络能够支持未来的业务需求。

2.2 设计网络架构

基于对企业需求的评估，网络规划设计师需要设计网络架构，包括拓扑结构、子网划分和路由策略。这个过程包括以下步骤：

拓扑结构设计：规划设计师需要决定网络的拓扑结构，例如星形、总线、环形、树形或混合拓扑。选择的拓扑结构将影响网络的性能、可用性和容错能力。
子网划分：设计师需要确定如何划分IP地址空间，以便管理和控制网络流量。子网划分通常基于部门、功能或地理位置。
路由策略：规划设计师必须决定如何路由数据包，以确保数据能够在网络中正确传送。这可能包括静态路由、动态路由协议和路由策略。

2.3 选择网络设备和技术

一旦网络架构设计完成，规划设计师需要选择适当的网络设备和技术，以实现设计要求。这涉及以下步骤：

设备选择：规划设计师必须选择网络设备，包括路由器、交换机、防火墙、负载均衡器等。他们需要考虑设备的性能、功能和成本效益，以满足设计要求。
技术选择：选择适当的网络技术，如IPv4或IPv6、VLAN、QoS、SD-WAN等。这些技术将影响网络的性能和功能。
安全考虑：网络规划设计师需要考虑网络安全，选择适当的安全设备和技术，以确保网络不易受到威胁。

3、网络设备管理和维护

3.1 网络性能监控

一旦企业网络建成，网络规划设计师的任务并未结束。他们需要不断监控网络性能，以确保网络正常运行。这包括：

流量监测：规划设计师需要监测网络流量，识别可能的瓶颈和性能问题。
设备状态监控：他们需要监控网络设备的状态，检测设备故障或错误配置。
性能统计：规划设计师可以使用性能统计工具来跟踪网络性能指标，如延迟、带宽利用率和数据包丢失率。

3.2 故障排除和问题解决

当网络出现故障或性能问题时，规划设计师必须能够快速定位问题并采取适当的措施来解决。这包括：

故障排除：通过分析日志、配置和网络设备状态，规划设计师可以识别问题的根本原因。
故障隔离：一旦问题被确定，他们需要隔离受影响的部分，以防止问题扩散。
故障修复：规划设计师必须采取措施来修复问题，包括设备替换、配置更改和更新补丁等。

3.3 设备更新和系统升级

网络设备和系统需要定期更新和升级，以确保网络的安全性和性能。规划设计师的任务包括：

设备更新：定期替换老化的设备，以确保网络设备的稳定性。
软件升级：升级网络设备上的操作系统和应用程序，以修复安全漏洞和改进性能。
安全更新：及时应用安全更新和补丁，以防止潜在的安全威胁。

4、网络安全和风险管理

4.1 评估网络安全需求

网络安全对于企业至关重要。规划设计师需要评估企业的网络安全需求，包括：

数据保护：确保敏感数据的机密性和完整性。
访问控制：限制对网络资源的访问，以防止未经授权的访问。
防火墙和入侵检测系统：设置防火墙来防止恶意流量进入网络，同时部署入侵检测系统来检测潜在的攻击。
数据加密：加密数据以保护其在传输和存储时的安全性。

4.2 网络安全策略设计和实施

规划设计师必须设计和实施网络安全策略，以保护网络免受威胁。这包括：

防火墙设置：配置防火墙规则以阻止恶意流量，并允许合法流量通过。
入侵检测系统：设置入侵检测系统以监测网络中的异常活动。
访问控制：实施严格的访问控制措施，确保只有授权人员能够访问关键资源。
安全培训和策略执行：培训员工遵守安全政策，并确保政策得到执行。

4.3 管理网络风险和应对安全事件

网络规划设计师需要积极管理网络风险，定期进行风险评估，并采取措施来降低潜在威胁的影响。当发生网络安全事件时，他们还需要迅速应对，包括：

恢复计划：制定网络恢复计划，以便在遭受攻击或故障后快速恢复网络运行。
安全事件响应：规划设计师必须具备应对安全事件的技能，追踪、隔离和消除威胁。
安全事件分析：分析安全事件，以了解攻击的来源和漏洞，以防止未来发生类似事件。

结论

网络规划设计师在企业网络中扮演着至关重要的角色，他们不仅参与网络规划和设计的初期阶段，还负责网络设备的管理、维护和网络安全。他们的工作对于建立强大、安全和高效的企业网络基础至关重要，有助于满足不断增长的业务需求和应对不断演化的网络挑战。因此，企业应重视并投资于拥有高素质的网络规划设计师，以确保其网络基础始终稳固可靠。通过深入理解和尊重网络规划设计师的角色和职责，企业可以更好地应对未来

范文

大型企业中计算机网络安全防护体系

[摘要] 随着计算机网络的迅猛发展，网络安全问题日益突出。本文针对计算机网络安全的现状，结合在铁路行业实际工作经验，从网络安全技术、安全管理角度论述了在铁路计算机网络内建立安全防护体系的构想。
　　[关键词] 网络安全关键技术铁路网网络管理防护体系

　　一、引言
　　铁路系统的计算机应用和信息化建设已具规模，TMIS、客票、调度、集装箱和物资等管理信息系统相继建成并已投入使用。在铁道部、铁路局、基层站段三级网络的支撑下，以TMIS和电子政务应用为核心的各项计算机应用系统已在铁路运输生产中发挥着越来越重要的作用。对于现代营销、现代物流和电子商务等应用系统，仅具有连通功能的网络是无法满足其要求的，针对大型企业网络安全方面存在的漏洞和隐患，利用简单的技术防范措施已无法解决。必须调整网络结构，克服平面网络结构先天性的抵御攻击能力差、控制乏力的弱点，并采用先进的技术、加强基础设施和有效的网络管理，形成保证网络和信息安全的纵深立体防御体系。
　　二、建立计算机网络安全体系
　　对于网络而言，没有绝对保证的信息安全，只有根据网络自身特点，合理运用网络安全技术，建立适应性的安全运行机制，才能从技术上最大限度地保证信息安全。
　　1.网络安全关键技术
　　由防火墙（Firewall）、PKI（Public Key Infrastructure）公钥安全体系、虚拟局域网（VLAN）和物理隔离与信息交换系统等构成了网络安全的关键技术。
　　2.创建铁路网络立体安全防护体系
　　网络安全防护体系是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、通信加密、网络反病毒等多个安全组件共同组成的，每个组件只能完成其中部分功能。
　　(1)路由器。路由器是架构网络的第一层设备，也是网络入侵者的首要攻击目标，因此路由器必须安装必要的过滤规则，滤掉被屏蔽的IP地址和服务。例如，我们首先屏蔽所有的IP地址，然后有选择的放行一些地址进入我们的网络。路由器也可以过滤服务协议,允许需要的协议通过，而屏蔽其他有安全隐患的协议。
　　(2)入侵监测系统IDS。入侵监测系统是被动的，它监测你的网络上所有的包(packets)。其目的就是捕捉危险或有恶意的动作，并及时发出警告信息。它是按用户指定的规则运行的，它的功能和防火墙有很大的区别，它是对端口进行监测、扫描等。入侵检测系统是立体安全防御体系中日益被普遍采用的成分，它能识别防火墙通常不能识别的攻击，如来自企业内部的攻击；在发现入侵企图之后提供必要的信息，帮助系统移植。
　　(3)防火墙。防火强可防止“黑客”进入网络的防御体系，可以限制外部用户进入内部网，同时过滤掉危及网络的不安全服务，拒绝非法用户的进入。同时可利用其产品的安全机制建立VPN（Virtual Private Networks）。通过VPN，能够更安全地从异地联入内部网络。
　　(4)物理隔离与信息交换系统（网闸）。铁路内部网是铁路运输系统的指挥中枢，调度指令必须实时、准确下达。内部网调度服务的实时可用性成为铁路信息系统最为核心的安全需求。因此不能因为信息化建设过程中对外网访问的需求而影响内部网络系统的安全性及可用性。物理隔离与信息交换系统是运用物理隔离网络安全技术设计的安全隔离系统，它保证内部网络与不可信网络物理隔断，能够阻止各种已知和未知的网络层和操作系统层攻击，提供比防火墙、入侵检测等技术更好的安全性能，既保证了物理的隔离，又实现了在线实时访问不可信网络所必需的数据交换

(5)交换机。目前局域网大多采用以交换机为中心、路由器为边界的网络格局。核心交换机最关键的工作是访问控制功能和三层交换功能。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤。还有一项非常关键的工作就是划分VLAN。
　　(6)应用系统的认证和授权支持。建立应用系统提升安全性的支撑平台，实现应用系统保护的功能包括以下几个方面:
　　①应用系统网络访问漏洞控制。应用系统软件要求按安全软件标准开发，在输入级、对话路径级和事务处理三级做到无漏洞；集成的系统要具有良好的恢复能力，这样才能保证内部生产网中的系统避免因受攻击而导致的瘫痪、数据破坏或丢失。
　　②数字签名与认证。应用系统须利用CA提供的数字证书进行应用级的身份认证，对文件和数据进行数字签名和认证，保证文件和数据的完整性以及防止源发送者抵赖。
　　③数据加密。对重要的数据进行加密存储。
　　(7)操作系统的安全。保证操作系统的安全包括以下内容：
　　①操作系统的裁剪。不安装或删除不必要使用的系统组件。
　　②操作系统服务裁剪。关闭所有不使用的服务和端口，并清除不使用的磁盘文件。
　　③操作系统漏洞控制。在内部网中建立操作系统漏洞管理服务器，我们在内部网中安装了微软WSUS Server及第三方安全管理软件（BES），对网络内所有联网主机的操作系统进行监控，一旦发现存在系统漏洞或者安全隐患，立即强制其安装相应的系统补丁或者组件。
　　(8)病毒防护。网络病毒网关与网络版的查杀病毒软件（McAfee EPO + Clients）相结合，构成了较为完整的病毒防护体系，能有效地控制病毒的传播，保证网络的安全稳定。
　　三、计算机网络安全管理
　　有效的技术手段只是网络安全的基础工作，但仅靠网络安全技术是绝对无法确保信息安全的。严格的计算机网络安全管理制度，才能充分发挥网络安全技术的效能，才能使网络信息更加安全可靠。
　　四、结束语
　　目前计算机网络已经深入到铁路运输生产管理、客户服务、物流和客货运营销等各个领域。不解决安全问题，可能造成巨大的经济损失。创建铁路计算机网络安全防护体系，将是铁路信息化建设的有力保障。但建立计算机信息安全体系是一个复杂而又庞大的系统工程，涉及的问题也比较多。只有继续对计算机网络安全体系进行深入的研究和探讨，才能更好的实现网络安全，保证中国铁路信息化建设的正常进行。