自考网络工程串讲笔记

自考网络工程串讲笔记（04749）

第一章 概述

1.2 计算机网络介绍

1.2.1 计算机网络定义

1、计算机网络是：（1）计算机技术与通信技术相结合的产物 （2）由自主计算机互连起来的集合体

（3）将地理位置不同的具有独立功能的多台计算机及其外部设备，通过 通信线路连接起来，在网络操作系统、网络管理软件及网络通信协 议的管理和协调下，实现资源共享和信息传递的计算机系统（目的）。

2、计算机网络包括硬件和软件：

硬件：通信设备为主机转发数据，接口设备是网络和计算机之间的接口。 主机（端系统）：个人计算机、大型计算机、客户机（client）或工作站（workstation）、 服务器（sever） 通信设备（中间系统）：交换机和路由器 接口设备：网卡、调制解调器

传输介质：双绞线、同轴电缆、光钎、无线电和卫星链路。

软件：通信协议和应用软件

通信协议（计算机之间的信息传输规则）：TCP/IP等 应用软件（网络上的各种应用）：WWW、E-mail、FTP等

1.2.2 计算机网络拓扑结构 1、广域网拓扑结构：

广域网是将多个子网或多个局域网互接起来的网络。集线器、中继器、交换机将多个设备连接起来形成局域网拓扑结构。

广域网特点：点到点、存储转发、工作在底层 （1）网状拓扑结构

优点：

①系统可靠性高，比较容易扩展

②可以改善通信路径上的信息流量分配

③可以在多条路径中选择最佳路径，以减小传输延迟

④网络可组建成各种形状，采用多种通信信道，多种传输速率，适合广域网复杂的 网络环境

缺点：

①线路和结点成本高

②结构复杂，难于管理和维护，每一结点都与多点进行连接，必须采用路由算法和 流量控制方法

（2）环形拓扑结构

采用光纤做主干线。

可靠性好，不存在单点失效问题，可以灵活地建立各种链路备份策略

2、局部网络拓扑结构

局域网特点：广播式，工作再物理层、数据链路层、网际层 （1）星形拓扑结构

星形拓扑结构以中央结点为中心，用单独的线路使中央结点与其他站点相连，各站点间的通信都要通过中央结点。

优点：

①增加站点容易 ②成本低

③容易确定网络故障点 ④通道分离

⑤网络结点增删方便、快捷 缺点： 可靠性差

（2）环形拓扑结构

环形拓扑结构中计算机相互连接而形成一个环。 优点： ①控制简单

②不存在数据冲突 ③信道利用率高 缺点：

①任意结点故障都会造成网络瘫痪 ②故障诊断也较困难 ③容量有限

④难以增加新的站点 ⑤对结点要求高 （3）总线形拓扑结构

总线形拓扑结构就是将各个结点（如服务器、工作站等）用一根总线（如同轴缆、双绞线、光纤等）连接起来。

优点： ①可靠性高 ②成本低 ③扩充性好 缺点： ①安全性低 ②监控比较困难 ③通信效率低下 ④增加结点困难 （4）树形拓扑结构

树形拓扑结构中，计算机都是既连接它的父结点（除根结点外）又连接它的子结点（除叶结点外），连接关系呈树状。

优点：

①结构连接简单 ②维护方便

③适用于汇集信息的应用要求

缺点：

①资源共享能力较差 ②可靠性不高

1.2.3 计算机网络体系结构

1、计算机网络体系结构是指网络的层次结构和协议。协议（Protocol）是计算机网络协议的简称，是指网络中计算机与计算机之间、网络设备与网络设备之间、计算机与网络设备之间进行信息交换的规则。

2、计算机网络技术体系结构分层的好处是：①各层之间是独立的，每层只关注实现本层的功能即可；②灵活性好，每一层次可以灵活地采用不同的方法来实现本层的功能，增加和删减功能也较为容易；③结构上可以分隔开，层次之间的相互影响小，降低了实现和维护的难度，同时能够促进标准化的工作。

分层注意：若层数太少，就会使每一层的协议太复杂；若层数太多，又会在描述和综合各层功能的系统工程任务时遇到较多的困难。 3、两大网络体系结构： OSI/RM七层理论模型 TCP/IP概念层（TCP/IP也已经成为目前最重 要的互联网络协议） 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 传输层 网际层 网络接口层 应用层

4、TCP/IP网络模型

TCP：有连接，可靠性高；IP：无连接，不可靠，速度快。 （1）网络接口层

定义了IP数据报载拥有不同数据链路层和物理层网络中的传输方法，使得TCP/IP网络模型具有很强的兼容性与适应性。

应用于：以太网、令牌网、X.25网、帧中继网、ATM网、HDLC（高级数据控制）和 PPP（广域网，点到点链接） （2）网际层

是TCP/IP网络模型最核心的层次，负责网络间的路由选择、流量控制和阻塞控制；核心协议是IP，是一种无连接的网络层协议，只能提供“尽力而为”的服务，传送的数据单位是报文分组或数据包。 （3）传输层

在网络中源主机与目的主机之间建立端到端的连接；传输层包括传输控制协议（TCP）和用户数据报协议（UDP），TCP是一种可靠的面向连接的协议，UDP是一种不可靠的无连接协议。 （4）应用层

网络终端协议（Telnet）、文件传输协议（FTP）、简单邮件传输协议（SMTP）、简单网络管理协议（SNMP）、超文本传输协议（HTTP）等。

1.3 计算机网络技术

1.3.1 计算机网络技术简介

1、计算机网络组网技术 （1）传输技术

有线传输技术：ADSL、E1、DDN、SDH等

无线传输技术：蜂窝移动通信、微波通信、卫星通信和小范围的WLAN、红外、蓝牙、 UWB等。

无线技术比较

速度 距离 适用范围 UWB 1Gbps <10m 蓝牙 <1Mbps <10m 家庭或办公 （2）承载技术

主要介绍各种能够承载IP报文的网络。 局域网：以太网、WLAN； 广域网：HDLC、PPP等网络。 （3）IP路由技术

①域内采用网关协议，例如RIP（路由信息协议）、OSPF（开放最短路径协议）；域间采用外部网关协议，常用BGP（边界网关协议）

②一个网络内采用了多个路由协议时，为了实现路由协议之间的互通，就需要路由重发布技术 ③为了能够将更多的私有网络实现与因特网的互连，需要采用NAT（网络地址转换）技术。

2、计算机网络管理技术 （1）网络安全

网络安全负责网络中信息传递和交换的安全性；

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连接、可靠、正常地运行，网络服务不中断。

㈠VPN技术利用接入服务器、路由器以及VPN专用设备，在共用的广域网上实现专用网的技术。

①重叠模型VPN

需要用户自己建立端结点之间的VPN链路，主要包括：GBE、L2TP、IPSec等众多技 术。 ②对等模型VPN

由网络运营商在主干网上完成VPN通道的建立，主要包括MPLS VPN技术。 ㈡防火墙

将内部网和公众访问网（如因特网）分开的方法。 （2）网络管理和维护

①网络管理有5大功能：故障管理、配置管理、性能管理、安全管理和计费管理。 ②网络管理主要方式：SNMP（简单网络管理协议）和RMON标准的网络管理

③RMON标准：为提高传送管理报文的有效性、减少网管控制台系统的负载、满足网 络管理员监控网段性能的需求。

802.11g <54Mbps 10~100M 家庭或办公 HomeRF 1-2Mbps <50m 电脑电话移动设备 ④HSRP（热备份路由协议）：一台路由器出现了不能工作的情况，它的全部功能必须 被另一台备份路由器完全接管。

⑤VRRP（虚拟路由器冗余协议）：网络容错协议

3、计算机网络应用技术

①网络服务分为基础网络服务和网络应用服务

②主机之间的协作方式经历了文件服务器模式、C/S模式、B/S模式和对等网模式

1.3.2 计算机网络常用设备简介 网络设备：

①物理层：中继器、集线器

②数据链路层：网桥、以太网交换机 ③网络层：路由器、三层以太网交换机

1、局域网：

网络设备：以太网中继器、集线器、网桥和以太网交换机

以太网中继器和集线器工作在物理层，以太网中继器只能对传输距离进行延长， 扩展能力较弱；集线器可以方便地扩展网络规模，但是由于冲突域的限制，规模 不能太大。

（1）以太网中继器

扩大局域网的覆盖范围，允许使用四个中继器，从500m扩展到2500m。 网段 网段 500m 500m

50m 50m 中继器 种类 10Base-2 10Base-5 10Base-T 10Base-F 接口 BNC AUI RJ45 SC/ST/FC 距离 185-925m 500-2500m 100-500m 500-2500m 统分 细缆 粗缆 粗缆 粗缆

（2）集线器

被称为“多端口中继器” （3）网桥

工作在数据链路层（二层网络设备），可以隔离冲突域 （4）以太网交换机

实质上就是一个多端口的网桥，交换机不隔绝广播，易产生广播风暴，这使得交换机 的扩展网络的能力也受到了一定的限制

2、局部多网络互连

局部区域的多个局域网之间可以采用三层交换机和路由器进行互连。三层交换机在数据传输的开始阶段工作在以太网的物理层、数据链路层以及网路错哦恩。当进入流交换阶段，则只工作在以太网的物理层和数据链路层。三层交换机只能用于局部以太网的互连，可以实现网络间的高速信息交换。

3、广域网

不仅包含了路由器设备，还包含了远距离的传输设备。路由器工作在不同网络的物理层、数据链路层以及网络层；传输设备只工作在物理层、包括中继器、光传输设备等。 （1）中继器

通过对数据信号的重新发送或者转发，来扩大网络传输的距离。中继器主要有无线信 号中继器、双绞线中继器、视频中继器、隔离防雷中继器、光纤中继器、串口中继器、 网桥中继器等。

（2）光传输设备

光传输设备有光端机、光Modem、光纤收发器、光交换机、PDH（准同步数字系列）、 SDH（数字同步系列）等类型的设备。 （3）路由器

隔绝广播，划分广播域。

网络工程串讲笔记 第二章 传输技术

2.1 ADSL

2.1.1 ADSL简介

1、XDSL （1）非对称

①ADSL：非对称数字用户线路

（a）上行：512kbps-1Mbps （b）下行：1Mbps-8Mbps

（c）FDM（频分多路复用技术）带宽<=4Khz ②VDSL：甚高比特率数字用户线路 （a）上行：1.5-2.5Mbps （b）下行：13-52Mbps （c）易掉线 （2）对称

①HDSL：高速率数字用户线路 （a）1.544Mbps或2.048Mbps

②SDSL：对称数字用户线路（上下行最高传输速率相同） （a）1.544Mbps或2.048Mbps 系统结构：

ATU-R 宽带

将数字信号Internet 接入固定电话网 与语音信号 服务

分离 BRAS PSTN

分离器 负责用户

认证和计

IP/ATM 费管理

接入网 DSLAM

数字用户线接

分离器 入复用设备

ATU-R ADSL Modem

数模转换

ADSL除了使用频带划分来承载不同业务，还是用了ATM、PPPoE等相关技术来实现Internet的接

入访问。用户侧的ADSL Modem与局端的DSLAM之间就需要建立ATM的PVC虚电路来传送上层的IP报文，PPPoE技术则用来确定用户与BRAS之间点到点关系。

2.1.2 ADSL的工作原理（利用FDM频分多路复用）

使用QAM、CAP、DMT等调制技术，实现上行640kbit/s、下行8Mbit/s的数据传输速率 （1）QAM（正交幅度调制）：是通过相互正交的两个载波的幅度变化来进行信号调制。通 过PSK（移相键控法）ASK（移幅键控法）常用QAM-16（每 个码元传输4位）、QAM-64，R=Blog2N （2）CAP（无载波幅相调制）： 被看作是QAM的数字调制方式。 （3）DMT（离散多音频调制）：一种划分子信道，在每个子信道上利用QAM调制的技术。

（4）子信道的噪声比较大，在该信道上能够调制的比特数就越多。如果某个子信道信噪比 很差，则弃之不用。（信噪比=10log210(s/n））

P 共256个子信道

f 25kHz 160kHz 1.1MHZ

34kHz

P

32个子信道 共256个子信道 f

1.1MHz

4kHz

DMT多音频调制技术室建立在QAM的思想基础之上的。如果将传输信道频谱划分为若干频段。在各个频段上均采用上面提到的QAM方法，然后再将各自输出叠加在一起，经传输信道传送，所得到的波形即为DMT码（元）。

2.1.3 ADSL Modem的分类 ADSL Modem：

（1）桥接式（RFC1438）：只工作在第二层，即对二层包头信息进行处理

（a）固定IP地址接入方式

RFC1483 Bridge桥接原理，用户PC配置固定的公网IP。 （b）RFC2516——PPP over Ethernet 接入方式 ①需安装PPPoE客户端软件（拨号软件），实现PPP的动态接入。

②建立多条PVC虚通道（永久性的虚电路）与DSLAM和BRAS配合，灵活选择业 务。

③PPPoE通过PAP（密码认证协议）或CHAP（点到点的询问握手协议）来保证接入 的安全。

（2）路由式

（a）采用PPPoE方式：PPPoE连接的建立和释放均由ADSL Modem负责，ADSL Modem 的WAN接口（广域网接口）获得BRAS动态分配的公网IP地址，LAN接口（局 域网接口）配置私有IP地址

（b）采用PPPoA（ATM）方式

（c）RFC1483 Bridged+默认路由方式

（d）RFC1483 Routed+RFC1577+默认路由方式

ADSL Modem不同工作模式下的配置参数 需配置参数 PPPoE PPPoE用户名 PPPoE密码 VPI/VCI 安全协议 — PPPoA PPPoA用户名 PPPoA密码 VPI/VCI 安全协议 — RFC1483桥接 VPI/VCI — — — — RFC1483路由 VPI/VCI WAN IP 子网掩码 默认网关 DNS RFC1577专线 VPI/VCI WAN IP 子网掩码 默认网关 DNS 注：VPI/VCI：虚拟通道标识/虚拟通信标识

2.2 E1/T1数字中继

E1/T1主要使用同轴电缆进行传输，E1是脉冲编码调制PCM30/32传输系统的简称，其传输速率为2.048Mbit/s，我国采用和欧洲一样的标准，在北美国家和日本使用T1的传输系统，它的传输速率为1.544Mbit/s

E1的数据帧由32时隙组成，时隙的编号为TS0，TS1，...，TS31，每个时隙传送8bit数据，一帧共256bit（8*32=256）。E1最开始主要传输语音信号，必须每秒固定传送8000帧，因此E1的数据率就是256*8000=2.048Mbit/s，每个时隙的速率为64kbit/s（2.048/32=64）。

2.2.1 E1的帧结构 （老教材） E1帧的结构

8位 8位 8位 8位 C1 ?? C30 作用：信令 信令位 作用：同步 同步位 |------------------->数据<-------------------| 帧结构花125ms。

①E1共多少位：30*8+8+8=256位 ②E1速率：256bit/125ms=2.048

③E1编码效率：(30*8/30*8+8+8)*100%=94% ④开销率：1-94%=6%

T1帧的结构

8位 C1 ?? 8位 C24 1位 | | | | 7位--------------->用于传输数据<-------------------7位 第193位帧编号位 1位--------------->传输数字信号<-------------------1位 帧结构花125ms

①有效数据位：7*24=168位

②速率：(7+1)*24+1/125ms=1.544Mbit/s ③编码效率：[(7*24)/193]*100%=87% ④开销率：1-87%=13%

（现教材）

E1分为成帧和不成帧两种方式，成帧时TS0时时隙用于传输帧同步数据，TS16用于传送信令，TS1~TS15，TS17~TS31共30个时隙用于传输有效数据。不成帧的E1中，所有32个时隙都可用于传输有效数据。

2.2.2 E1的应用

1、传输语言（E1成帧方式） （1）ISDN（综合业务数字网） ①宽带业务B-ISDN

②窄带业务N-ISDN 1-64kbit/s （2）ISDN接口

①基本速率接口BRI：2B（传输数据与语音：64kbps）+D（信令：16kbps） ②一次基群速率接口

（a）E1：30B（64kbps）+D（16kbps） 2.048Mbps （b）T1：23B（64kbps）+D（16kbps） 1.544Mbps 2、传输数据

成帧的E1连接数据分组交换设备时，还可以作为CE1接口（信道化E1），将TS1~TS31时隙任意分成若干组，支持PPP、帧中继和X.25等数据链路层协议，支持IP和IPX等网络协议。

不成帧的E1连接数据分组交换设备时，其逻辑特性与同步串口相同，可以支持PPP、帧中继和X.25等数据链路层协议，支持IP和IPX等网络协议。

2.3 DDN

DDN是数字数据网，其单位是结点，结点之间通过光纤连接，构成网状拓扑结构，用户的终端设备通过数据单元（DTU）与DDN结点相连，DDN为用户提供高质量的数据传输通道。

DDN的特点：

（1）传输质量高、时延小、通信速率可以自主变化。 （2）路由自动迂回，保证链路高可用率。

（3）全透明传输，可支持数据、图像、话音等多媒体业务。 （4）方便地组建虚拟网（VPN）建立自己的网管中心。 （5）DDN的主干传输为光纤传输，高速安全。 （6）采用点对点或点对多点的专用数据线路。

中国的DDN技术体制将DDN结点分成3类

（1）2兆结点：2兆结点是DDN网络的骨干结点。

（2）接入结点：接入结点主要为DDN各类业务提供接入功能。

（3）用户结点：用户结点主要为DDN用户入网提供接口，并且进行必要的协议转换。

DDN一般有两种承载IP 的方式。一种是DDN提供透明通信，装HDLC、PPP等串行通信协议，提供X.25、Frame-relay等协议的接口，路由器可以在这些协议之上承载IP。

2.4 SDH

1310nm，1550nm，损耗比较低，当波长是1310nm时，光纤损耗是0.3~0.4db/km，当波长是1550nm波长时，光纤损耗是0.2~0.3db/km。

光纤由3个部分组成，最中心是最高折射率玻璃芯（芯径为10μm、50μm或62.5μm），中间部分为低折射率硅玻璃包层（直径为125μm），最外层为加强用的树脂涂覆层。

2.4.1 SDH标准

SDH（同步数字系列）是由CCITT（现ITU-T，电话电报咨询委员会）指定的传输体系标准，它得益于SONET（同步光网络）这套传送标准适用于光钎、微波、卫星传送的通用技术体制，SONET主要用于北美国家和日本，SDH主要用于中国和欧洲国家。

SDH标准定义了一套可进行同步信息传输、复用、分插和交叉连接的标准化数字信息的结构等级，实现了数字传输体质上的世界性标准，同时还可容纳各种新的数字业务信号（如ATM信元、FDDI信号等）。全世界统一的网络结点接口（NNI），并对个网络单元的光接口有严格的规范要求，从而使得任何网络单元在光路上得以互通，实现了横向兼容性。

SDH具有统一的速率标准，SDH上的数据是以同步传送模块（STM-N），N值为0、1、4、16、64、256，STM-1的速率为155.520Mbit/s

PDH（准同步数字系列）：SDH技术具有良好的网络自愈功能。

2.4.2 SDH的组成设备 （1）终端复用器（TM）：分插复用器（ADM），再生中继器（REG）和数字交叉连接（DXC） （2）REG：一种是纯光的REG，第二种是用于脉冲再生整形的电RGE。 （3）DXC（等ATM同用）：主要完成STM-N信号的交叉连接功能。

2.4.3 SDH的帧结构

SDH的帧结构是块状帧，以字节为单位，由纵向9字节和横向270*N字节组成，125μm每帧，帧速率为8000f/s，帧结构中安排了丰富的开销比特（不传数据）。

RSOH 1

3

4 AU PTR STM-1注：

POH STM-N净负荷 5 信息净荷速

（含POH） ?率：MSOH ?

=261*9*8*8000=150.336Mbps 9*N 261*N 9 STM-1速率：=270*9*8000*8=155.520Mbps STM-1信息净荷速率共2349字节 270*N 段开销字节：8*9=72

STM-1一块帧共用(9+261)*9=2430字节 SDH的帧包括 （1）段开销

段开销是传输STM帧时为保证信息正常灵活传送所必需的附加字节。9*8=72字节

段开销由再生段开销（RSOH，3个开销）和复用段开销（MSOH，5个开销，对STM-16 任意通道进行监控）。 （2）信息净荷

用于通道性能监视，管理和控制的通道开销（POH），STM-1的净荷共有261*9=2349 字节 （3）单元管理指针

单元管理指针（AU PTR）用来指示净荷的第一字节在STM-N帧内的准确位置。 1、SDH的开销字段

分为RSOH、MSOH和POH 3种。 2、SDH的虚容器

分为低阶VC和高阶VC 3、SDH的复用原理

在SDH网络边界处要通过映射把支路信号适配装入响应的VC。映射可以使信号与响应的VC容器同步，映射后的VC成为能独立进行传送、复用和交叉连接的实体。对于高次群信号，经过异步映射可装入响应的VC中。异步映射不要求信号与网络同步，只需通过各级TU指针和AU指针的处理就能将PDH信号装入SDH中。对于基群信号可采用异步映射和同步映射两种方式，同步映射要求信号先经过一个一帧长度的滑动缓冲器，使信号和网络同步。同步映射的好处是信号在VC净负荷中的位置是固定的，不需要TU指针，减少了处理过程，提高了传输效率，代价是假如时延和滑动损伤。

SDH采用同步复用方式和灵活的复用映射结构，使低阶信号和高阶信号的复用/解复用一次到尾，简化了设备的处理过程，省去了大量的有关电路单元、跳线电缆和点接口数量，增强了运营和维护能力。

2.5 蜂窝移动通信技术

第一代模拟移动通信技术，第二代数字移动通信技术，第三代移动通信技术，第四代是TD-LTE（中

国自主研发）

第一代：以模拟“大哥大”为代表 第二代：GSM和TS-95 CDMA

第三代：3G是CDMA 2000（中国电信）、WCDMA（中国联通）和TD-SCDMA（中国移动）

GSM（全球移动通信系统）起源于欧洲的移动通信技术标准，属于第二代通信技术，GSM可以提供语音服务和SMS短信服务。GPRS（通用分组无线用户）是在GSM基础上发展起来的分组交换的数据承载和传输业务。、

第3章 承载技术

3.1 承载技术简介

最早的承载网络主要是电话网，通过调制解调器传输数据。在广域网中大量采用光纤上使用PPP承载IP。承载网络不管它采用何种网络体系，在拓扑结构上可以分成3大类，即点到点，广播网络，多点非广播多路访问网络。

1、点到点网络

点到点网络是最简单的网络拓扑，它实际上就是一根通信电缆连接两台网络设备构成的

网络。

2、广播网络

广播网络也是一种简单的网络，虽然比点到点网络复杂一点，即任何一个设备发送报文

在网络中的其他设备都能收到。广播网络中的报文发送方式有两种：广播和单播。广播是网络本身的特点，即一个设备发送报文大家都能收到；单播是靠地址机制和接收设备实现的。

3、非广播多路访问网络

非广播多路访问网络简称非广播网络，实际上，除广播网络和点到点网络之外的其他网络都可以被看成是NBMA网络的。

3.2 Cisco公司的HDLC封装

Cisco的HDLC封装实际上只是利用HDLC的帧格式封装IP报文，由于没有使用链路状态帧，因此无法知道链路的通断状态。链路管理接口的工作原理是定时向对方发送LMI报文，报文中含有序号，如果接受方在规定的时间内收到LMI报文并且序号是连续增长的，就说明链路是好的。 3.3 以太网

3.3.1 以太网的工作原理

以太网开始使用通州电缆作为网络媒体，数据传输速率达到10Mbps。IEEE802.3规范是基于最初的以太网技术于1980年制定的。。 工作原理：

以太网采用CSMA/CD媒体访问控制机制，任何工作站都可以在任何时间向网络发送数据报文。在发送数据之前，工作站首先需要侦听网络是否空闲，如果网络上没有任何数据传送，工作站就会把所要发送的信息投放到到网络当中；否则，工作站只能等待网络下一次出现空闲时再进行数据的发送。

以太网的帧结构大小：

最小64字节，最大1518字节。 3.3.2 交换式以太网

交换式以太网采用逆用学习，扩散和转发的策略，实现不同的网络连接。所谓扩散算法，就是把每个到来的、目的地不明的帧输出到所有端口，并在地址表中记录该帧的源地址与端口的对应关系。而逆向学习法，则是一旦知道目的地的端口，发往该处的帧就只发到该端口上，不再广播。为了处理动态拓扑问题，要对地址表中的地址项进行“老化”操作，即当收到帧时要对源地址对应对表项的生命计时器进行刷新，然后开始递减。当生命计时器减到0，就说明对应的主机长时间没有发送帧了，可能已经关机或者网络已中断，就将该地址从地址表中删除。网络中由于互连可能会出现环路，环路将导致广播风暴，因此网络中不能有环路存在，但是由于需要或者无法控制的原因，网络的物理结构中通常会出现环路，因此在透明网桥中使用生成树算法解决这个问题。生成树通过阻塞某个端口，切断网络中的环路，使网络在逻辑上是一棵树。这个时候交换机不能转发报文，只能收发生成树的算法发送的BPDU报文，通过交换BPDU报文，生成树算法找到网络中的环路，并计算出需要阻塞的端口以打破环路，这个过程被称为生成树的收敛。生成树算法的收敛时间大约为15s。

3.3.3 虚拟局域网

虚拟局域网是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的数据交换技术。划分VLAN所依据的标准是多种多样的，主要有按端口、MAC地址、协议、用户、IP地址划分策略。VLAN交换机的链路分为接入链路、中继链路、混合链路3中。接入链路就是将普通以太网设备接入VLAN交换机，

中继链路通常的用途就是连接两个VLAN交换机， 混合链路可以同时承载标记数据和非标记数据。 3.4 PPP

PPP是为点对点之间的数据传输提供一种封装方法，可以支持IP、IPX和AppleTalk多种网络层协议，替代原来非标准的链路层协议。它即支持异步的物理线路传输，也支持同步的HDLC和SONET的物理线路传输，支持链路的配置，质量检测和网络层协议的复用。 3.4.1 PPP的封装帧格式

PPP工作在数据链路层，它的数据封装帧格式提供帧定界、检错和协议标识，使得不同网络层协议可以同时在同一链路上传输。PPP可以工作在不同的物理层，同步线路，异步线路和以太网等，这样就形成了PPP的多种封装帧格式。 1、同步线路上的PPP封装

PPP工作在同步线路时，使用HDLC的UI帧。HDLC的UI帧的INFO部分扩展“协议字段”包括Flag、Address、Control、Protocol、Information、FCS几个部分。

Flag：标志字段，表示帧的开始或者结束，由二进制序列01111110构成，即0x7E， Address：地址字段，由二进制序列11111111构成，是标准的广播地址，

Control：控制字段，由二进制序列00000011构成，要求用户数据传输采用UI无编号帧，地址字段和控制字段所填内容为固定值，通过PPP的LCP协商，可以节省2字节的传输。由于没有字段来传送数据帧的序号，PPP默认情况下不提供基于序号和应答机制的可靠传输。Protocol：协议字段，用来识别PPP帧的Information字段所封装的协议。

Protocol协议取值有0xc021、0xc023、0xc223、0xc8021、0xc0021五种。 0xc021：信息域中承载的是LCP的数据报文， 0xc023：信息域中承载的是PAP的认证报文， 0xc223：信息域中承载的是CHAP的认证报文， 0xc8021：信息域中承载的是NCP的数据报文， 0xc0021：信息域中承载的是IP数据报文。

Information：包含Protocol字段中指定的协议数据报。

FCS：帧校验序列字段，用于 PPP数据帧传输的正确性进行CRC检测。

因PPP是面向字符型的，所以UI帧的长度是整数字节。在同步线路上，PPP直接使用HDLC的UI帧，也使用HDLC的透明传输方式“0比特插入和删除算法”。 2、异步上的PPP封装

PPP在异步线路上传输时使用的帧与同步传输是一样的，差别在于成帧和透明传输使用的方法。因为起止式异步传输是面向字符的，PPP在异步线路上不能采用HDLC所使用面向比特的首位标志成帧算法，即使用0x7E作为帧的首位标志，也不能使用“0比特插入和删除算法”实现透明传输。

3、以太网上的PPP封装

随着xDSL技术、宽带接入技术的广泛应用，PPP又被广泛用于以太网上，这就是PPPoE。PPPoE在两个阶段以太网帧的类型域的值是不同的，在发展阶段，以太网的类型域填充为0x8863，在会话阶段，以太网的类型与填充为0x8864。PPPoE数据报文最开始的4位为版本域，紧接在版本域后的4位是类型域。 3.4.2 PPP的子层

为了适应多重物理和网络层，PPP划分了相应的LCP子层和NCP子层以完成不同功能。PPP首先通过发送LCP报文来配置和测试链路，建立起LCP连接。链路层激活后，需要的话可以进行认证，最后要通过发送相应的NCP报文建立相应的网络子层连接。 1、 LCP

LCP位于物理层之上，负责设备之间链路的创建、维护和终止。

2、 NCP

NCP主要完成点对点通信设备之间网络子层所需参数的配置，功能是网络层地址协商。 3.4.3 认证协议

PPP另外一种常用到的功能是接入认证，即通过某种机制保证许可用户才能进入网络，常用的有PAP认证和CHAP认证两种。 1、 PAP认证

PAP是一种两次握手的认证协议，它采用明文方式在网络上传输用户名和口令。 2、 CHAP认证

CHAP是一种三次握手认证协议，可在网络上传输用户名，但不传输口令。 3.4.4 PPP链路的建立

为了在线路上传送PPP数据报文，首先需要建立PPP的点到点链路。典型的PPP链路建立过程，可以分为3个阶段：链路建立阶段、认证阶段和网络层协商阶段。 1、 链路建立阶段 2、 认证阶段

3、 网络层协商阶段 3.5 PPPoE

与PPP链路的建立方式不同。PPPoE链路的建立要经过PPPoE的发展阶段和PPPoE的会话阶段。发展阶段是PC主机在广播式的网络上搜寻宽带接入服务器BRAS，并在多个可能的宽带接入服务器中确定其一，建立点到点关系的过程。会话阶段则是PPP的LCP、认证、NCP的会话过程。与PPP不同的是，PPPoE的数据报文被封装成以太网的帧进行传送。目前小区宽带LAN接入、ADSL接入等技术都使用PPPoE技术。 1、 发现阶段

用户主机首先主动发送广播包PADI寻找接入服务器，接入服务器收到PADI报文后回应PADO，主机在回应PADO的接入服务器中选择一个合适的，并发送PADR单播的请求报文告知接入服务器，接入服务器收到PADR包后开始为用户发配一个唯一的会话标识符Session ID，启动PPP状态机以准备开始PPP会话，并发送一个携带该会话标识符Session ID的会话

确认包PADS。

2、会话阶段 3.6WLAN

3.6.1 WLAN简介

无线局域网可以提供更好的解决方案，WLAN利用电磁波在空中收发数据，数据传输速率现在已经能够达到354Mbps，且无需线缆介质，是非常有效的用户接入方式。WLAN的协议构成，IEEE的802.11工作组制定了无限局域网的媒体访问控制层和物理层规范。工作频段是ISM2.4GHz频段，支持的数据传输速率是1Mbps和2Mbps。无线射频传输方法采用跳频扩频和直接序列扩频，采用载波侦听多路访问/冲突避免方式进行信道共享控制。IEEE802.11a扩充了IEEE502.11标准的物理层，规定该层使用ISM5GHz的频段，该标准采用正交频分复用调制技术。 3.6.2 WLAN组网结构

在IEEE802.11标准中，规定了两种无线局域网设备：接入点和站点。AP通常作为网桥设备，带有一个LAN接口和一个连接WLAN的射频收发信机，而STA实际上是一个无线网络接口设备NIC，用于连接主机和AP。在IEEE802.11标准定义了两种组网结构：独立基本服务组和扩张服务组。

独立基本服务组

IBSS是一种对等网络形式，所有站点在网络中通信的地位是平等的。IEEE802.11定义了站点加入IBSS的过程，称BSSID同步。

扩张服务组

ESS由多个基本服务组构成，每个BSS都有一个无线访问点AP提供通信服务，不同BSS

通过AP之间的分布系统互连，站点可以在多个BSS之间移动。ESS网络站点间的通信关系、工作过程、帧格式与IBSS相比增加了关联和重新关联过程以支撑站点在不同AP下的移动，站点间不能直接通信，通过AP中继转发实现。

1、 BSSID的同步和关联过程

ESS网络依靠网络名和BSSID来标识，SSID是ESS网络的名称，不同网络的名称不相同，BSSID用于标识ESS网络中的AP，当站点在移动时，可以通过BSSID来感知AP的变化信息。 2、 越区切换

越区切换只能发生在具有相同SSID的AP之间。

第4章 IP路由

4.1 路由技术

路由协议是通过执行某种路由算法来完成路由选择的一个协议，分为静态路由和动态路由。

静态路由是在路由器中事先设置固定的路由表，优先级最高，优点是简单、高

效、可靠，适用于规模较小、拓扑结构固定的网络。

动态路由会自动更新自身的路由表，适用于规模大、拓扑结构复杂和易变的网

络缺点为占用网络宽带和CPU资源。

根据是否在同一个自治域内部使用可将动态路由协议分为内部网关协议(IGP)和外部网关协议(EGP)

自治域是指一个具有统一管理机构、统一路由策略的网络。自治域内部采用的路由协议称为内部网关协议，常见的有RIP,OSPF协议等；外部网关协议主要用于多个自治域之间的路由选择，常见的有BGP。 由于网络中连接大量网络设备和主机，完全用人工的方法不合理因而设计了一套机制来完成报文转发机制有编址、寻址、转发、路由表4部分组成。 4.1.1 IP的协议中的地址结构

IP地址由二部分组成，一部分为网络地址，另一部分为主机地址。 根据网络地址和主机地址的不同分配，可将IP地址分为A,B,C,D,E五类

网络号的位数直接决定了可分配的网络数，主机号的位数决定了可分配的最大主机数。 通过IP地址的二进制值与子网掩码的二进制进行“与”运算，可以确定某个设备的网络地址和主机号，即子网掩码中1对应的网络地址，0对应的是主机地址 4.1.2 IP网络中报文的转发机制

TCP/IP网络中的数据转发分为二种：一种是直接交付，另一种是间接交付。 TCP/IP子网间的数据转发是由路由器完成的，路由器从功能上分为路由选择部分和分组转发部分。

路由选择部分的任务是根据路由协议构造路由表，并定期更新和维护路由表 分组转发部分由三部分组成：交换机构、输入端口、输出端口。 1. 路由表

在路由表中采用所谓下一跳的方法来表示路由，路由的代价用管理距离和费用来表示：管理距离是根据路由的来源来确定路由的优先级;花费是在相同的管理距离下进一步区分路由的优先级 举例：

C 13.1.0.0/16[0/1] is directly connected fastethernet3/0.1 * active C 表示是直连路由

13.1.0.0/16表示目的网络地址

[0/1]表示管理距离是0（直连路由），花费（Cost）是1

is directly connected fastethernet3/0.1表示是直连路由经fastethernet3/0.1转发 active表示路由状态是可用的 举例：

O IA 133.254.253.16/30 [110/21785] via 113.1.254.2. fastethernet3/0 * active O IA 表示OSPF的域内的路由

133.254.153.16/30表示目的网络地址

via 113.1.254.2. fastethernet3/0表示此路由的下一跳的IP地址是113.1.254.2 其余：

D 表示为EIGRP

用show ip route 显示luyoubiaoxinxi

2．路由选择

路由器在选路时先按目的网段地址选择路由，如果有多个路由满足条件 则按路由的精度再进行筛选，如果结果还是不唯一的，则用Cost选择最好的路由，最后可能出现多个路由，这时路由器不再选择。 4.2 RIP

RIP(路由信息协议)是使用最广泛的距离矢量路由协议 4.2.1 RIP工作原理

RIP是基于V-D算法的内部动态路由协议因此V-D算法又称为距离矢量算法

基本工作原理：每一个路由器维护一张路由表，该路由表以子网中每一个目标为索引，记录到达该目标的时间估计或距离估计，以及对应的首选输出线路，所有使用RIP的路由器周期性的向外广播路由刷新报文，在接受到来自各个邻居路由表的路由表后，根据这些路由表来重新计算自己到达各个网络的最佳路由 RIP主要包括以下方面： 一 、计算距离矢量

距离矢量路由协议利用度量来跟踪它和所有已知目的地间的距离 二、 更新路由表

RIP依赖三个计时器来维护路由表：更新路计时器、路由暂休计时器、路由清除计时器 三、 激活路由更新

每30S激活一次 四、 识别无效路由

每180S识别一次 五、 清除无效路由 每240S清除一次 4.2.2 最佳路由的计算 1.路由表的建立

路由表的初始方式有三种

（1） 路由器系统启动时，从外存读入一个完整的路由表，常驻系统内存以供使用；系

统关闭时再将当前系统内存中的路由表写回外存 下次再使用

（2） 系统启动时，只构造一个空表，通过执行一个空表，通过执行显示命令来填充 （3） 系统启动时，从与本地路由器直接相连的各网络地址中，推导出一组初始路由当

然初始路由只能访问相连网上的主机。 初始化的V-D路由表中各路由的距离均为0. 2. 路由表的更新与维护

路由项主要包括目的地址、下一条地址和路由开销 4.2.3 RIP的缺陷

RIP在使用中存在以下缺点

（1） RIP的可靠性和安全性无法得到保证 （2）RIP没有选择最优路径 （3） RIP浪费带宽

（4）RIP会产生环形路由

（5）RIP不适合大型网络 RIP规定跳数超过16为不可到达 面对以上的缺陷 做出了一下4中常用优化措施

抑制计时（可以减少路由的浮动） 水平分割（缓解路由循环） 路由毒化（解决路由循环） 触发更新（缓解路由循环） RIP工作在UDP上端口是520 4.2.6 RIP v1的缺陷

（1） 过于简单，以跳数为依据计算度量值，经常得出非最优路由 （2）度量值以16为限，不适合大的网络

（3）安全性差，接受来自任何设备的路由更新 （4）不支持无类IP地址和VLSM （5）收敛缓慢，时间经常大于5分 （6）消耗带宽很大 4.2.7 RIP v2的改进

（1）每个路由条目都携带自己的子网掩码 （2）路由选择更新具有认证功能

（3）每个路由条目都携带下一跳地址和外部路由标志 （4）组播路由更新 224.0.0.9 （5）支持可变长子网掩码 4.2.8 路由器设置

R1(config)# router rip 启动rip协议

R1(config-router)# network 192.168.10.0 通告直连网段 R1(config-router)# network 192.168.30.0 通告直连网段 4.3 OSPF

OSPF(开放最短路径优先)是一种基于链路状态算法的分层次的路由协议，层次中最大的实体是AS(自治系统)。因而把AS划分为多个区域。

OSPF由二个互相关联的主要部分组成：Hello协议和“可靠泛洪”机制

Hello协议检测邻居并维护邻接关系，可靠泛洪算法可以确保同一个城中的所有OSPF路由器始终具有一致的链路状态数据库，而该数据库构成了对域的网络拓扑和链路状态的映射

4.3.1 OSPF基本概念 1.链路状态

OSPF使用的链路状态路由与RIP所使用的距离矢量路由的本质区别在于，链路状态

路由中，每一个路由器所获得的信息不仅仅局限于邻居路由器的路由表信息，而是对整个网络的结构都有完整的记录。 2.区域

OSPF协议引入“分层路由”的概念，将网络分割成一个主干连接的一组相互独立的部分，这些相互独立的部分被称为区域，主干的部分称为主干区域，Area0为主干区域， 3.网络类型

根据路由器所连接的物理网络不同，将OSPF划分为4种类型：广播多路访问型、非广播多路访问、点到点型、点到多点型 4.路由器类型

内部路由器：所有的端口在同一个区域的路由器，维护一个链路状态数据库 主干路由器：具有连接主干区域端口的路由表

区域边界路由器：具有连接多区域端口的路由器，一般作为一个区域的出口

自治系统边界路由器：至少拥有一个连接外部自治区域端口的路由器，负责将非OSPF网络信息传入OSPF网络 4.3.2 OSPF的特点

与RIP相比 OSPF具有以下特点

（1）可适应大规模网络（2）路由变化收敛速度快 （3）无路由自环（4）支持可变长子网掩码

（5）支持等值路由（6）支持区域划分和路由分级管理 （7）支持验证（8）支持组播地址发送协议报文 224.0.0.5 4.3.3 协议操作

（1）建立路由器的邻接关系（2）选举DR/BDR

（3）发现路由器（4）选择适当的路由器（5）维护路由信息 4.3.5 OSPF与RIP的区别

目前用的较为多的路由协议有RIP和OSPF 他们同属于内部网关协议，但RIP基于距离矢量算法而OSPF基于链路状态的最短路径优先算法，此外 RIP是利用UDP作为其传输协议而OSPF是直接在IP上进行传输。

在RIP中，所有的路由都有跳数来度量，到达目的地的路由最大不超过16跳，且只有一条相比之下OSPF是基于链路状态的路由协议，克服了RIP的许多缺陷

OSPF不再采用跳数的概念，而是根据接口的吞吐率、拥塞状况、往返时间、可靠性等实际链路的负载能力定出路由的代价，同时选择最短、最优路由并允许保持同一目标地址的多条路由，从而实现负载均衡

OSPF支持不同服务类型的不同代价，从而实现不同的QOS的路由服务

OSPF路由器不再广播和交换路由表，而是同步各路由器对网络状态的认识，即同步路由器上保存的链路状态数据库，然后通过Dijkstra最短路径算法计算出到网络中各目的地址的最优路由。 4.4 BGP

一个AS有时也称为一个路由选择域，一个AS将分配一个全局唯一的16位号码，有时把这个号码叫做自治区域号（ASN）

BGP（边界网关协议）使用TCP端口号179建立连接 BGP的路由算法较为复杂，其路由开销不仅要考虑延迟、网络拥塞等技术因素还要考虑政治、安全、经济等方面的因素

BGP基本上是属于距离矢量协议，但又与RIP那样的距离矢量协议不同，BGP路由器不仅维护到每个目标的开销量，还记录下到达该目标的路径，这样可以避免路径中出现循环，轻易的解决了距离矢量协议的循环路径问题。由于存储路径的信息BGP有时也称为距离矢量协议 4.4.2 BGP术语

EBGP：外部边界网关协议是用于在不同的自治系统之间交换路由信息的路由协议

IBGP：内部边界网关协议是用于在同一个自治系统内的BGP对等体之间交换路由信息的路由协议

自治系统域间路由：自治系统域间是发生在不同自治系统之间的路由 自治系统域内路由：自治系统域内是发生在同一个自治系统内部的路由 4.4.4 选择过程

阶段一：计算从邻居AS学习到的路由的优先程度。此阶段也负责向本地AS中BGP发言人通告具有最高优先程度的路由

阶段二：决定一个指定的目的地的最佳路由，然后将此路由保存到BGP发言人的Loc-RIB中，BGP发言人使用此阶段产生的路由来决定BGP路由

阶段三：BGP发言人根据输出策略引擎中设置的策略决定邻居AS通告哪些路由的过程。此过程还能执行路由汇聚。 4.5 路由重发布

路由重发布允许不同路由协议之间交换路由信息，出于各种原因在一个网络中很可能同时运行多种路由协议。

不同的路由协议有不同的算法和度量。

如果一个路由器从多个路由协议那里学习一个去往目的地的路由，这时就由管理距离决定哪一个路由进入路由表 4.5.5 管理距离

4.6 网络地址转换

网络地址转换(NAT)有称为NAPT即网络地址端口转换 4.6.1 NAT是什么

网络内部的设备分配的都是私有IP地址，但支持NAT的路由器保留一个或多个在网络外部有效的internet IP地址。当客户端将分组发送到网络外部时NAT将客户端的内部IP地址转换为外部地址

NAT的主要用途就是让网络能够使用私有IP地址以节省IP地址。将不可路由的私有内部地址转换为可路由的公有地址，在一定程度上增加了安全性 隐藏了内部的ip地址 4.6.2 NAT的优点

NAT让内部网络可使用私有地址，以节省注册的公有地址 NAT提高了连接到公有网络的灵活性 NAT提供了一致的内部网络编址方案 提供了网络安全性 NAT存在的缺点

Internet中的主机看起来直接与NAT设备而不是私有网络内部的主机通信 NAT增加了延迟

NAT隐蔽了端到端的IP地址

由于NAT改变了IP地址，就失去了追踪端到端的IP流量的能力 当出现恶意流量时，NAT也使得故障排除或追踪更加棘手

由于需要从外部网络进行访问的主机将有二个IP地址一个内部，一个外部地址 4.6.3 NAT的工作原理

运行NAT进程的路由器通常连接了二个网络，并且将本地非注册的IP地址转换为全局已注册的IP地址 NAT处理六步骤

1、ip地址为10.3.4.25的设备发送了一个数据包，并试图打开到206.100.29.1的连接

2、当第一个数据包到达NAT边界路由器时，它首先检查是否有一个源地址项与NAT表中的地址相匹配

3、如果在NAT表中找到了一个匹配项就继续进行步骤4。如果没找到匹配项，NAT路由就在其可用的IP地址池中选择一个地址。这样就创建了一个简单的项，使内部IP地址与外部ip地址相匹配。 4、然后NAT边界路由器用全局ip地址200.3.4.25代替内部ip地址10.3.4.25，这

使得目的主机将返回的数据包发送给200.3.4.25，这是在Internet已注册的ip地址

5、当Intern上的主机使用ip地址206.100.29.1对数据包进行应答时，它使用由NAT路由器分配的ip地址作为目的ip地址，这个地址是200.3.4.25

6、当NAT边界路由器接受来自206.100.29.1的应答，发现它带有目的地址为

200.3.4.25的数据包时，NAT路由器将再次检查其NAT表，NAT表将显示ip地址10.3.4.25会接受此数据包

第5章 网络安全

1、 重叠VPN技术

VPN，虚拟专用网络。是将物理位置分布在不用地点的网络通过共用骨干网，尤其是internet，连接而成的逻辑上的虚拟子网。VPN技术采用了鉴别、访问控制、保密性、完整性等措施，以防止信息被泄露、篡改和复制。 2、 基本原理

是利用隧道技术，把数据封装在隧道协议中，利用已有的公网建立专用数据传输通道，从而实现点到点的连接。 3、 分类

重叠VPN（静态）：GRE VPN、L2TP VPN、IPSec VPN 对等VPN：MPLS

4、 GRE VPN的工作原理

GRE，通用路由封装，它规定了在一种协议上封装并转发另一种协议的通用方法。

工作原理：采用隧道技术，两个站点的路由器之间通过公网连接彼此的无力接口，并且通过物理接口进行传输数据。2个路由器上分别建立一个个虚拟接口，两个虚拟接口之间建立点对点的虚拟连接，形成一条跨越公网的隧道。

工作过程：隧道起点路由查找——GRE封装——承载路由协议转发——中途转发——解封装——隧道终点载荷协议路由查找。 5、 L2TP VPN技术和工作原理

第二层隧道协议，和点对点的隧道协议，是典型的链路层VPN协议。 工作过程：

由用户发起连接请求——该请求被送往LAC——LAC通过RADIUS服务器的LNS——LAC向LNS发送已协商的PPP参数——LNS再次认证用户——LNS向LAC发送接受信息，建立隧道。

6、 IPSec VPN技术和功能：

IPSec即Internet安全协议，是一种由IETF设计端到端的确保IP层通信安全的机制。IPSec不是一个单独的协议，而是一组协议。

它包括安全协议、密钥管理协议、安全关联以及加密、认证算法。

包括一下几个方面：IPSec体系结构、封装安全载荷、验证头、加密算法、验证算法、密钥管理、解释域、策略。 功能：

作为一个隧道协议实现了VPN通信、保证数据来源可靠、保证数据完整性、保证数据机密性。 7、 IPSec体系结构：包含AH、ESP、IKE这几个重要协议。

（1） AH为IP数据包提供3种服务：无连接的数据完整性验证、数据源身份认证和防重放攻击。

AH头部中的序列号可以防止重放攻击。

（2） ESP除了为IP数据报提供数据报加密和数据流加密。

（3） IKE协议负责密钥管理，定义了通信实体间进行身份认证、协商加密算法以及生成共享的回

话，密钥的方法。

8、 IPSec VPN的两种工作模式的比较 （1） 传输模式：传输模式要保护的内容是IP数据报的载荷，在传输模式下AH协议不能穿越NAT。 （2） 隧道模式：隧道模式要保护的内容是整个原始IP数据报，隧道模式为IP协议提供安全保护。 9、 对等VPN技术

（1） 是在CE与PE之间交换的专用网络由信息，然后由PE将这些专用网络由在公共网中传播。 （2） BGP/MPLS VPN技术 10、 防火墙：是一种广泛采用的网络安全措施，它能保护企业的网络免受外来攻击，确保只有

合法的信息交流才能被保护的网络。它对进出的网络数据报文进行分析、检测和过滤，保证合法的信息流的保护和对非法流量的抵御。 11、 防火墙的特性：

（1） 在外部网和内部网之间传输的数据一定要通过防火墙；

（2） 只有被授权的合法的数据，即防火墙系统中安全策略允许的数据才可以通过防火墙； （3） 防火墙本身不受各种攻击的影响； 12、 防火墙的作用：

（1） 管理进出网络的访问； （2） 保护网络中脆弱的服务； （3） 内部地址的隐藏； （4） 日志与统计； （5） 检测和报警； 13、 防火墙硬件架构技术：Intel x86架构技术、ASIC处理技术和网络处理器技术。 14、 防火墙实现技术：

（1） 包过滤型：简单包过滤型防火墙、状态检测型防火墙； （2） 应用代理型防火墙：应用关系型防火墙、自适应型防火墙； 15、 防火墙的规则： （1） 规则号 （2） 过滤域 （3） 动作域

第6章 网络管理与维护

6.1 SNMP

简单网络管理协议(SNMP)是一种基于tcp/ip的网络管理协议。SNMP采用轮询机制，提供基本的功能集。SNMP基本功能包括监视网络性能、检测分析网络差错和配置网络设备等。 SNMP适合在小型、快速、低价格的环境中使用，SNMP采用无证实的传输层UDP。 SNMP缺陷：基于SNMP的网管系统难以实现大数据量的数据传输 基于SNMP的网管系统缺少身份验证和加密机制 SNMP v2 具有以下特点：

（1）支持分布式网络管理 （2）扩展了数据类型

（3）可以实现大量数据的同时传输，提高了效率和性能 （4）丰富了故障处理能力 （5）增加了集合处理功能 （6）加强了数据定义语言

SNMPv1的缺陷：SNMP只提供简单的团体名认证，安全措施是很不够的。SNMP不支持管理站之间的通信，而这一点在分布式网络管理中是很需要的。

SNMPv2缺陷：没有达到“商业级别”的安全要求(提供数据源标识、报文完整性认证、防止重放、报文机密性、授权和访问控制、远程配置和高层管理能力等)，即缺乏安全和高层管理功能。

SNMPv3：具有安全和高层管理功能，目标产生一组必要的文档，作为下一代SNMP核心功能的单一标准。

SNMP v3在SNMPv2的基础上增加了安全和管理机制对协议进行了加密。 6.1.2 基于SNMP的网管系统组成

SNMP体系结构由网络管理站和网管代理组成。 管理进程和代理进程之间的交互，通过使用UDP进行传送SNMP报文实现通信。基于SNMP的网络管理由3部分组成，即管理信息库(MIB)、管理信息结构(SMI)、以及SNMP本身 6.1.3 管理信息库

管理信息库存在于被管网络设备，指明了网络元素能够被管理进程查询和设置的信息。 SNMP采用层次结构命名方案来识别被管理对象，各个被管理对象之间形成一棵树的关系形状，类似域名系统。在这样的树形关系中，根在最上面，他没有名字，树的各个结点表示被管理对象，这些被管理对象可以用从数根结点开始的一条路径来无二义性进行识别，因此MIB又称为对象命名树

6.1.4 管理信息结构

SNMP是应用层协议，要求通信两端的协议交换各种报文，而底层要求用户数据都是字节序列，因而需要编码解码操作。为了解决这个问题，就需要一个定义从实际的软件数据结构中抽象出来的数据类型的表示方法，这种方法被称为抽象记法。

而为了描述抽象记法，就需要一种语言。ASN.1就是用来描述抽象记法的语言，可以应用任何协议层。

管理信息结构（SMI）通过一个宏OBJECT-TYPE，规定了管理对象的表示方法 6.1.5 SNMP基本操作及协议数据单元

1）get request 操作：从代理进程处提取一个或多个参数值

2）get-next request操作：从代理进程处提取紧跟当前参数值得下一个参数值 3）set request操作：设置代理进程的一个或多个参数值

4）get response操作：返回一个或多个参数值，由代理进程发出 5）trap操作：代理进程主动发出报文

一般情况下，代理进程采用端口161接受管理进程发出的get或set报文而管理进程采用端口162来接受代理发来的trap报文

代理进程收到报文后采取的动作：

第一步：依据ASN.1基本编码规则解码，生成用内部数据结构表示的报文，如果在此过程中出现了错误导致解码失败，则丢弃报文

第二步：取出报文中的版本号，如果与本代理进程支持的SNMP版本不一致，则丢弃该报文

第三步：取出报文中的共同体名，发出请求的网络管理设置了报文中的共同体。如果共同体与本设备不符合，则丢弃报文，同时产生一个陷阱报文

第四步：从验证的ASN.1对象中提出协议数据单元，失败就丢弃报文，对PDU进行处理后，将处理结果产生一个报文，并按照收到报文的源地址将该报文发送出去 一个SNMP报文公有

三部分组成：公共SNMP首部、get/set首部或trap首部、变量绑定、

6.1.6 SNMP v2协议

SNMPv2支持分布式管理

相对SNMPv1而言，SNMP v2增加了安全性

冒充、信息篡改、报文流的改变、报文内容的窃取 6.1.7 SNMP v3协议

SNMP v3主要有3个模块：信息处理和控制模块、本地处理模块、用户安全模块。 6.1.8 SNMP协议的应用

通常客户机实现manager的功能 服务器完成agent的功能 6.2 RMON

SNMP轮询机制的两个明显的弱点：

1） SNMP轮询机制可扩展性差，在大型网络中，不断的轮询操作会生成大量的网络管理报文，从而

占用大量网络带宽，导致网络拥塞现象

2） SNMP不支持分布式管理放式，而采用集中式管管理方式 RMON具有以下功能

（1）RMON可以通过提供有关通信流的有用信息，用来监视和管理会话 （2）RMON可以收集统计信息，从而分析通信行为的短期和长期趋势

（3）RMON可以捕获数据分组在特定LAN段上进行数据过滤，并且允许网络管理控制台远程分析所有七层协议上的通信

（4）RMON可以统计得出使用带宽最多的用户和系统，并在超过特定阀值时发出的警报 6.2.2 RMON版本

当前RMON版本有二种：RMON v1和RMON v2 这两个版本主要区别在于：

RMON V1目前普遍存在于使用广泛的网络硬件当中，为了服务于基本网络监控，RMON v1定义了9个MIB组,RMON v2是RMON v1的扩展，专注于MAC层以上更高的协议层，主要关注IP层流量和应用层流量，而RMON v1只用于监控MAC层及以下的数据包 6.2.4 RMON工作原理

RMON是一个标准的监控规范，RMON监控系统由二部分组成：探测器和管理站 RMON可以采用二种方法收集数据：

1） 通过专用的RMON探测器，不过只能看到流经的流量

2） 将RMON代理直接植入网络设备，使之成为带有RMON探测器功能的网络设备 6.3 热备份VRRP

虚拟路由器冗余协议(VRRP)是一种网络容错协议，可以消除静态默认路由环境中所存在的缺陷 使用VRRP可以获得更高的默认路径的可用性，而无需在每个终端主机上配置动态路由或路由发现协议。

在正常情况下，一个备份组中有且只有一台活动路由器负责与外界通信，可以有一个或多个备份路由器出于待命状态，组内优先级最高的备份路由器完成信息转发

为了保证VRRP的安全性，提供了二种安全认证机制，一种是明文认证，另一种是IP头认证 6.3.2 热备份路由协议HSRP

如果一台路由器出现了不能工作的情况，它的功能必须被另一台备份路由器完全接管，直至出现问题的路由器回复正常。因而出现了热备份路由协议（HSRP） HSRP的特点：高度可靠性、有效负载均衡、不存在单点故障问题 6.3.3 HSRP与VRRP的差别

1）在安全性，VRRP允许在参与的VRRP组的设备之间建立认证机制。VRRP包括3种主要认证方式，分别是无认证、简单明文密码和使用MD5的强认证。

2）VRRP允许虚拟路由器的IP地址采用其中一个物理路由器的IP地址，而HSRP需要单独配置IP地址作为虚拟路由器对外表现的IP地址，这个地址不能是组中的任何一个成员的接口地址

3）VRRP状态机比HSRP简单。HSRP有初始状态、学习状态、监听状态、发言状态、备份状态、活动状态工6种状态和8个事件；而VRRP只有初始状态、主状态、备份状态3种状态和5个事件 4）HSRP有3种报文，而且有3种状态可以发送这3种报文，分别是呼叫报文、告辞报文、和突变报文，而VRRP只有一种报文，即广播报文

5）HSRP将报文承载在UDP报文上；而VRRP将报文承载在TCP报文上。

第7章 网络应用

一、C/S模式的优点： 1.集中式的管理 2.性价比高

3.系统可扩展性好 4..抗灾难性能力好 5.安全性好

二、C/S模式的缺点： 1.管理仍然较为困难 2.客户端的资源浪费 3.系统兼容性较差

三、B/S模式的工作过程：客户端通过web浏览器向web服务器发出服务请求，web服务器调用业务处理器程序完成业务逻辑的处理；在业务逻辑处理器中如果要对数据进行操作，则需要向数据库

服务器发起数据处理请求；当业务逻辑处理完成后，会将处理结果返回给web服务器，web服务器根据处理结果构建出展示页面，并将该页面传送给web浏览器，由web浏览器最终展示给用户。 四、B/S结构的优点： 1.系统访问灵活 2.松耦合性

3.系统的开发高效、简单 B/S模式的缺点： 1.展示能力较弱

2.系统的处理性能较低 3.系统的交互能力较差

五、对等网络的作用：可以让人们通过互联网直接交流，使用网络上的沟通变得容易，能够更直接的共享和交互，真正的消除中间商。P2P模式的另一个重要的特点是改变互联网现在的以太网为中心的状态、重返非中心化，把权力交还给用户。

六、P2P模式的特点：

1.P2P网络是一个应用层网络，一般由网络边缘节点构成

2.资源分布在各个节点中，而不是集中在一个服务器上进行管理 3.节点之间可以直接建立连接，交互共享资源

4.具有巨大的扩展能力，可以通过低成本交互来聚合资源 5.动态性强，节点可以随意加入退出

6.具有低成本的所有权和共享，使用现场的基础设施，可以削弱和分布成本 7.具有匿名和隐私特性，允许对等端再其数据和资源上拥有很大的自治控制 8.负载均衡能力。

七、P2P网络应用可以分为以下几种类型： 1.提供文件和其他内容共享的P2P网络

2.挖掘P2P对等计算能力和存储共享能力的P2P网络，如 SETI@home、Popular Power等 3.给予P2P方式的协同处理与服务共享平台，如JXTA、Groove等。 4.即时通信交流的P2P网络，如ICQ、QQ等 5.安全的P2P通信与信息共享网络，如Skype等

6.P2P搜索可以共享所有硬盘上的文件、目录乃至整个硬盘。

7.P2P流媒体服务通过在网络应用层建立一个重叠网实现应用层的组播功能。

八、DNS服务：它是提供了域名和IP 地址之间的双向解析的功能。 在DNS系统中，有两种查询模式，分别为递归查询和迭代查询。

九、完整的URL：http：//192.168.0.1:80/index.html Web的应用层协议HTTP是web的核心。

十、FTP服务是internet上用来控制双向传输文件的协议。一个FTP会话通常包括5个软件元素的交互： 1.用户接口 2.客户PI 3.服务器PI

4.客户DTP 5.服务器DTP

十一、FTP支持两种模式：standard（主动模式）和passive（被动模式）

Web服务器是典型的基于客户机/服务器模式的internet服务，客户端使用的事web浏览器、服务器端使用web服务器，他妈之间采用应用层协议HTTP进行消息传输。当前流行的web浏览器有Netscape Communicator、firefox和微软的IE等。

身份认证：许多web网站要求用户提供一个用户名和密码，然后才能访问存放再其服务器中的资源。 提供一个匿名访问：anonymous 十二、ASP动态页面的工作过程：

1.用户在web浏览器的地址栏中键入ASP文件，并按enter键触发这个ASP的请求 2.Web浏览器将这个ASP的请求通过HTTP发送到给web服务器

3.Web服务器接收ASP请求，并根据 .ASP的扩展名判断这是ASP请求。 4.Web服务器从硬盘或内存中读取正确的ASP文件

5.Web服务器将这个ASP文件中的ASP大妈发送到ASP应用程序服务器

6.ASP代码将会由应用程序服务器从头至尾执行，并根据命令要求生产相应的HTML文件。 7.生成的HTML文件由web服务器利用HTTP送回给web浏览器 8.用户的web浏览器解释这些HTML文件，并将结果显示出来。

第8章 网络规划

1. 需求分析的要素 （1）应用背景分析

应用背景分析主要是要回答一下几个问题： A 客户信息化得目的

B 国内同行业的信息化趋势 （2）业务需求

通过业务需求分析要回答一下几个问题 A 是否需要web服务？

B 是否需要上网，带宽是多少？ （3）管理需求

网络的管理是企业建网不可或缺的，网络管理的好坏是网络能否按照设计目标提供稳定服务的关键因素。

（4）安全性需求 （5） 通信量需求 （6）网络扩展性需求 （7）网络环境需求

---------------------------------------------------------- 2 获得需求信息的方法 （1）实地考察 （2）用户访谈

（3）问卷调查 （4）向同行咨询 3 归纳整理需求信息

归纳整理需求信息的方法通常有以下两种

（1） 将需求信息用规范的语言表述出来 （2） 对需求信息列表 4确定逻辑设计目标

网络逻辑设计要达到的目标大致包括： （1）最大效益下最低的运作成本 （2）不断增强的整体性能 （3）易操作性和易使用性 （4）有保障的安全性 （5）自适应性

为了实现上述目标，在设计过程中应综合权衡以下因素： （1）最小的运行成本 （2）最少的安装费用 （3）最高的性能 （4）最大的适应性 （5）最大的安全性 （6）最大的可靠性 （7）最短的故障时间 5 分层设计

（1）核心层设计方法

网络核心层的主要工作是交换数据包，核心层的设计应该注意两点。 A 不要在核心层执行网络策略。

B 核心层的所有设备应具有充分的可到达性 （2）分布层设计的方法 分布层主要设计目标有两点

A 具有强大的流量聚合性能，支撑多种接入链路 B 与核心层之间的链路数量应尽可能少 （3）接入层设计方法 （4）绘制网络拓扑图 6 IP地址分配

子网划分是IP地址分配中最为关键的部分，可以按以下步骤进行： A 确定IP地址的类型和主机号位数 B 确定要划分的子网数目

C 将子网数目对2取对数，然后加1，得到N

D 将主机位的高N位置为1，加上原有的网络地址位，即可得到新的子网掩码

E 除去掩码所占的位数，剩下的位数就是可用的主机地址位数m，可用的主机地址数目就是2m-2 7 传输介质选型

（1）同轴电缆 是传统以太网使用的传输介质，由中心导体、绝缘材料层、网状织物构成的屏蔽层以及外部隔离材料层组成。

（2）双绞线 是由两根具有绝缘保护层得铜导线组成。

（3）光纤 按照传输信号模式数包括多模光纤和单模光纤。按照信号折射方式分为折射突变型光纤。

按照种类和用法分为室外光纤和室内光纤

光纤通信的优点：传输频带宽，通信容量大，传输距离远，抗干扰能力强，应用范围广；光纤的线径细，重量轻；抗化学腐蚀能力强；光纤制造资源丰富。 （4）无线介质 包括红外线、微波、卫星通信等 8 物理设计文档的内容

物理设计文档必须是正确的和完整的，应包括工程概叙、物理设计图表、注释和说明、资产清单、最终费用估算。 9 网络性能评估要素

（1）可用性 （2）响应时间 （3）网络利用率 （4）网络吞吐率 （5）网络带宽容量 10 收集网络性能数据的方式

有三种方式可以从网络上获取到性能数据

A 通过SNMP直接到网络设备中获取性能数据，如采用Net-SNMP工具 B 在网络上侦听相关的网络性能数据，工具是Tcpdump C 自行产生相应的测试数据。 常见同轴电缆类型及参数 局域网类型 10Broad36 10Base5 10Base2 IBM3270

RG编号 RG-6/U RG-8/U RG-58C/U RG-62/U 中心标号 18AWG 10AWG 20AWG 22AWG 阻抗 75 50 50 93 导体芯 单芯 单芯 单芯 单芯

本文来源：https://www.bwwdw.com/article/6e43.html