《计算机网络》第五版课后习题答案完整版（包含十章） - 图文

《计算机网络》课后习题答案

第一章 概述

1-1计算机网络向用户可以提供哪些服务？

答：计算机网络向用户提供的最重要的功能有两个，连通性和共享。

1-2试简述分组交换的特点

答：分组交换实质上是在“存储——转发”基础上发展起来的。它兼有电路交换和报文交换的优点。分组交换在线路上采用动态复用技术传送按一定长度分割为许多小段的数据——分组。每个分组标识后，在一条物理线路上采用动态复用的技术，同时传送多个数据分组。把来自用户发端的数据暂存在交换机的存储器内，接着在网内转发。到达接收端，再去掉分组头将各数据字段按顺序重新装配成完整的报文。分组交换比电路交换的电路利用率高，比报文交换的传输时延小，交互性好。

1-3试从多个方面比较电路交换、报文交换和分组交换的主要优缺点。

答：（1）电路交换 电路交换就是计算机终端之间通信时，一方发起呼叫，独占一条物理线路。当交换机完成接续，对方收到发起端的信号，双方即可进行通信。在整个通信过程中双方一直占用该电路。它的特点是实时性强，时延小，交换设备成本较低。但同时也带来线路利用率低，电路接续时间长，通信效率低，不同类型终端用户之间不能通信等缺点。电路交换比较适用于信息量大、长报文，经常使用的固定用户之间的通信。 （2）报文交换 将用户的报文存储在交换机的存储器中。当所需要的输出电路空闲时，再将该报文发向接收交换机或终端，它以“存储——转发”方式在网内传输数据。报文交换的优点是中继电路利用率高，可以多个用户同时在一条线路上传送，可实现不同速率、不同规程的终端间互通。但它的缺点也是显而易见的。以报文为单位进行存储转发，网络传输时延大，且占用大量的交换机内存和外存，不能满足对实时性要求高的用户。报文交换适用于传输的报文较短、实时性要求较低的网络用户之间的通信，如公用电报网。

（3）分组交换 分组交换实质上是在“存储——转发”基础上发展起来的。它兼有电路交换和报文交换的优点。分组交换在线路上采用动态复用技术传送按一定长度分割为许多小段的数据——分组。每个分组标识后，在一条物理线路上采用动态复用的技术，同时传送多个数据分组。把来自用户发端的数据暂存在交换机的存储器内，接着在网内转发。到达接收端，再去掉分组头将各数据字段按顺序重新装配成完整的报文。分组交换比电路交换的电路利用率高，比报文交换的传输时延小，交互性好。

1-4为什么说因特网是自印刷术以来人类通信方面最大的变革？

答：因特网缩短了人际交往的时间和空间，改变了人们的生活、工作、学习和交往方式，是世界发生了极大的变化。

1-5因特网的发展大致分为哪几个阶段？请指出这几个阶段最主要的特点。

答：第一阶段是从单个网络ARPANRET向互联网发展的过程。最初的分组交换网ARPANET只是一个单个的分组交换网，所有要连接在ARPANET上的主机都直接与就近的结点交换机相连。而后发展为所有使用TCP/IP协议的计算机都能利用互联网相互通信。

第二阶段是1985-1993年，特点是建成了三级结构的因特网

第三阶段是1993年至今，特点是逐渐形成了多层次ISP结构的因特网。 1-6简述因特网标准制定的几个阶段。

答：制定英特网的正式标准要经过一下的四个阶段[RFC 2026]： (1)因特网草案（Internet Draft）。 (2)建议标准（Proposed Standard）。 (3)草案标准（Draft Standard）。 (4)因特网标准（Internet Standard）。

1-7小写和大些开头的英文名字internet和Internet在意思上有何重要区别？

答：以小写字母i开始的internet（互联网或互连网）是一个通用名词，它泛指由多个计算机网络互联而成的网络。在这些网络之间的通信协议（即通信规则）可以是任意的。

以大写字母I开始的Internet（因特网）则是一个专有名词，它指当前全球最大的、开放的、由众多网络相

1

互连接而成的特定计算机网络，它采用TCP/IP协议族作为通信的规则，其前身是美国的ARPANET。

1-8计算机网络都有哪些类别？各种类别的网络都有哪些特点？

答：1、按网络覆盖的地理范围分类： （1）、局域网：局域网是计算机硬件在比较小的范围内通信线路组成的网络，一般限定在较小的区域内，通常采用有线的方式连接起来。

（2）、城域网：城域网规模局限在一座城市的范围内，覆盖的范围从几十公里至数百公里，城域网基本上是局域网的延伸，通常使用与局域网相似的技术，但是在传输介质和布线结构方面牵涉范围比较广。

（3）、广域网：覆盖的地理范围非常广，又称远程网，在采用的技术、应用范围和协议标准方面有所不同。

2、按传榆介质分类：

（1）、有线网：采用同轴电缆、双绞线，甚至利用又线电视电视电缆来连接的计算机网络，又线网通过\载波\空间进行传输信息，需要用导线来实现。 （2）、无线网：用空气做传输介质，用电磁波作为载体来传播数据。无线网包括：无线电话、语音广播网、无线电视网、微波通信网、卫星通信网。

3、按网络的拓扑结构分类：

（1）、星型网络：各站点通过点到点的链路与中心相连，特点是很容易在网络中增加新的站点，数据的安全性和优先级容易控制，易实现网络监控，但一旦中心节点有故障会引起整个网络瘫痪。 （2）、总线型网络：网络中所有的站点共享一条数据通道，总线型网络安装简单方便，需要铺设的电线最短，成本低，某个站点的故障一般不会影响整个网络，但介质的故障会导致网络瘫痪，总线网安全性低，监控比较困难，增加新站点也不如星型网络容易。 （3）、树型网络：是上述两种网的综合。

（4）、环型网络：环型网容易安装和监控，但容量有限，网络建成后，增加新的站点较困难。 （5）、网状型网络：网状型网络是以上述各种拓扑网络为基础的综合应用。

4、按通信方式分类： （1）、点对点传输网络：数据以点到点的方式在计算机或通信设备中传输，在一对机器之间通过多条路径连接而成，大的网络大多采用这种方式。 （2）、广播式传输网络：数据在共用通信介质线路中传输，由网络上的所有机器共享一条通信信道，适用于地理范围小的小网或保密要求不高的网络。

5、按网络使用的目的分类：

（1）、共享资源网：使用者可共享网络中的各种资源。 （2）、数据处理网：用于处理数据的网络。 （3）、数据传输网：用来收集、交换、传输数据的网络。

6、按服务方式分类： （1）、客户机/服务器(C／S)模式：C／S计算的模式的结构是分散、多层次和具有图形用户接口的PC机作为客户机，不同的操作系统或不同的网络操作系统对应不同的语言和开发工具，其工作特点是文件从服务器被下载到工作站上，然后在工作站上进行处理，而基于主机的大型机工作特点是所有处理都发生在主机上。 （2）、浏览器/服务器(B／S)模式：主要特点是它与软硬件平台的无关性，把应用逻辑和业务处理规则放在服务器一侧。 （3）、对等网或称为对等式的网络：对等网可以不要求具备文件服务器，特别是应用在一组面向用户的PC机，每台客户机都可以与其他每台客户机实现\平等\对话操作，共享彼此的信息资源和硬件资源，组网的计算机一般类型相同，甚至操作系统也相同，这种网络方式灵活方便，但是较难实现集中管理与控制，安全性也低。

7、按企业和公司管理分类：

（1）、内部网：一般指企业内部网，自成一体形成一个独立的网络。 （2）、内联网：一般指经改造的或新建的企业内部网，采用通用的TCP／IP作为通信协议，一般具备自己的WWW服务器和安全防护系统，为企业内部服务，不和因特网直接进行连接。

2

（3）、外联网：采用因特网技术，有自己的WWW服务器，但不一定与因特网直接进行连接的网络，同时必须建立防火墙把内联网与因特网隔离开，以确保企业内部信息的安全。 （4）、因特网：因特网是目前最流行的一种国际互联网，在全世界范围内得到应用，结合多媒体的\声、图、文\表现能力，不仅能处理一般数据和文本，而且也能处理语音、声响、静止图象、电视图象、动画和三维图形等。

1-9计算机网络中的主干网和本地接入网的主要区别是什么？

答：主干网的特点：设施共享；高度综合集成，可应付高密度的业务需求量；工作在可控环境；使用率高；技术演进迅速，以软件为主；成本逐渐下降。

本地接入网特点：设施专用，且分散独立；接入业务种类多，业务量密度低；线路施工难度大，设备运行环境恶劣；使用率低；技术演进迟缓，以硬件为主；网径大小不一，成本与用户有关。

1-10试在下列条件下比较电路交换和分组交换。要传送的报文共x（bit），从源站到目的站共经过k段链路，每段链路的传播时延为d（s），数据率为C（bit/s）。在电路交换时电路的建立时间为s（s）。在分组交换时分组长度为p（bit），且各结点的排队等待时间可忽略不计。问在怎样的条件下，分组交换的时延比电路交换的要小？

答：对电路交换，当t=s时，链路建立；

当t=s+x/C，发送完最后一bit；

当t=s+x/C+kd，所有的信息到达目的地。 对分组交换，当t=x/C， 发送完最后一bit；

为到达目的地，最后一个分组需经过k-1个分组交换机的转发， 每次转发的时间为p/C， 所以总的延迟= x/C+(k-1)p/C+kd 所以当分组交换的时延小于电路交换 x/C+(k-1)p/C+kd＜s+x/C+kd时， (k-1)p/C＜s

1-11在上题的分组交换网中，设报文长度和分组长度分别为x和（p+h）（bit），其中p为分组的数据部分的长度，而h为每个分组所带的控制信息固定长度，与p的大小无关。通信的两端共经过k段链路。链路的数据率为b（bit/s），但传播时延和结点的排队时间均可忽略不计。若打算使总的时延为最小，问分组的数据部分长度p应取为多大？ 答：分组个x/p，

传输的总比特数：(p+h)x/p

源发送时延：(p+h)x/pb

最后一个分组经过k-1个分组交换机的转发，中间发送时延：(k-1)(p+h)/b 总发送时延D=源发送时延+中间发送时延 D=(p+h)x/pb+(k-1)(p+h)/b

令其对p的导数等于0，求极值 p=√hx/(k-1)

1-12 因特网的两大组成部分（边缘部分与核心部分）的特点是什么？他们的工作方式各有什么特点？ 答：边缘部分 由所有连接在因特网上的主机组成。这部分是用户直接使用的，用来进行通信（传送数据、音频或视频）和资源共享。

核心部分 由大量网络和连接 这些网络的路由器组成。这部分是为边缘部分提供服务的（提供连通性和交换）。

在网络边缘的端系统中运行的程序之间的通信方式通常可划分为两大类：客户服务器方式（C/S 方式）即Client/Server方式 ，对等方式（P2P 方式）即 Peer-to-Peer方式

客户(client)和服务器(server)都是指通信中所涉及的两个应用进程。客户服务器方式所描述的是进程之间服务和被服务的关系。客户是服务的请求方，服务器是服务的提供方。被用户调用后运行，在打算通信时主动向远地服务器发起通信（请求服务）。因此，客户程序必须知道服务器程序的地址。不需要特殊的硬件和很复杂的操作系统。 一种专门用来提供某种服务的程序，可同时处理多个远地或本地客户的请求。系统启动后

3

即自动调用并一直不断地运行着，被动地等待并接受来自各地的客户的通信请求。因此，服务器程序不需要知道客户程序的地址。一般需要强大的硬件和高级的操作系统支持。对等连接方式从本质上看仍然是使用客户服务器方式，只是对等连接中的每一个主机既是客户又同时是服务器。

网络核心部分是因特网中最复杂的部分。网络中的核心部分要向网络边缘中的大量主机提供连通性，使边缘部分中的任何一个主机都能够向其他主机通信（即传送或接收各种形式的数据）。在网络核心部分起特殊作用的是路由器(router)。路由器是实现分组交换(packet switching)的关键构件，其任务是转发收到的分组，这是网络核心部分最重要的功能。路由器是实现分组交换(packet switching)的关键构件，其任务是转发收到的分组，这是网络核心部分最重要的功能

1-13 客户服务方式与对等通信方式的主要区别是什么？有没有相同的地方？

答：客户服务器方式是一点对多点的，对等通信方式是点对点的。被用户调用后运行，在打算通信时主动向远地服务器发起通信（请求服务）。因此，客户程序必须知道服务器程序的地址。系统启动后即自动调用并一直不断地运行着，被动地等待并接受来自各地的客户的通信请求。因此，服务器程序不需要知道客户程序的地址。对等连接方式从本质上看仍然是使用客户服务器方式，只是对等连接中的每一个主机既是客户又同时是服务器。对等连接也需要知道对方的服务器地址。

1-14 计算机网络有哪些常用的性能指标？

答：1.速率

比特（bit）是计算机中数据量的单位，也是信息论中使用的信息量的单位。 Bit 来源于 binary digit，意思是一个“二进制数字”，因此一个比特就是二进制数字中的一个 1 或 0。 速率即数据率(data rate)或比特率(bit rate)是计算机网络中最重要的一个性能指标。速率的单位是 b/s，或kb/s, Mb/s, Gb/s 等。

速率往往是指额定速率或标称速率。

2.带宽

“带宽”(bandwidth)本来是指信号具有的频带宽度，单位是赫（或千赫、兆赫、吉赫等）。 现在“带宽”是数字信道所能传送的“最高数据率”的同义语，单位是“比特每秒”，或 b/s (bit/s)。 3.吞吐量

吞吐量(throughput)表示在单位时间内通过某个网络（或信道、接口）的数据量。

吞吐量更经常地用于对现实世界中的网络的一种测量，以便知道实际上到底有多少数据量能够通过网络。 吞吐量受网络的带宽或网络的额定速率的限制。

4.时延

传输时延（发送时延 ） 发送数据时，数据块从结点进入到传输媒体所需要的时间。 也就是从发送数据帧的第一个比特算起，到该帧的最后一个比特发送完毕所需的时间。 5.时延带宽积 6.往返时间RTT 7.利用率

1-15 假定网络的利用率到达了90%。试估算已选现在的网络时延是他的最小值的多少倍？ 答：D0表示网络空闲时的时延，D表示当前网络的时延。U为利用率 则： D=D0/(1-U) 即 D=10 D0 。

1-16计算机通信网有哪些非性能特征？计算机通信网性能指标与非性能特征有什么区别？

答：计算机通信网非性能特征有：费用、质量、标准化、可靠性、可扩展性和可升级性、易于管理和维护。 计算机通信网性能指标有：速率、带宽、吞吐量、时延、时延带宽积、往返时间、利用率。 性能指标指的是与通信网络本身性能相关的指数，而非性能特征与其本身无直接关系。

1-17收发两端之间的传输距离为1000km，信号在媒体上的传播速率为2.3×108 。试计算以下两种情况的发送时延和传播时延：

（1） 数据长度为107bit，数据发送速率为100kbit/s，传播距离为1000km，信号在媒体上的传播速率

4

为2×108m/s。

（2） 数据长度为103bit，数据发送速率为1Gbit/s，传输距离和信号在媒体上的传播速率同上。 答：（1）：发送延迟=107/（100×1000）=100s 传播延迟=1000×1000/（2×108）=5×10-3s=5ms （2）：发送延迟=103/（109）=10-6s=1us 传播延迟=1000×1000/（2×108）=5×10-3s=5ms

1-18 、假设信号在媒体上的传播速率为2.3×108m/s。媒体长度l分别为： (1) 10cm(网卡) (2) 100m(局域网) (3) 100km(城域网) (4) 5000km(广域网)

试计算当数据率为Mb/s1和10Gb/s时在以上媒体中正在传播的比特数。 答：传播时延=信道长度/电磁波在信道上的传播速率 时延带宽积=传播时延*带宽

（1）0.1m/2.3/108×1×108b/s=0.000435bit （2）100m/2.3/108×1×108b/s=0.435bit

（3）100000/2.3/108×1×108=435bit （4）5×106/2.3/108×1×108=21739bit

1-19、长度为100字节的应用层数据交给运输层传送，需加上20字节的TCP首部。再交给网络层传送，需加上20字节的IP首部。最后交给数据链路层的以太网传送，加上首部和尾部18字节。试求数据的传输效率。

若应用层数据长度为1000字节，数据的传输效率是多少？ 答：数据长度为100字节时

传输效率=100/（100+20+20+18）=63.3% 数据长度为1000字节时，

传输效率=1000/（1000+20+20+18）=94.5%

1-20 网络体系结构为什么要采用分层次的结构？试举出一些与分层体系结构的思想相似的日常生活。 答：网络体系结构采用分层的结构，可以减少协议设计的复杂性，使得各层之间是独立的，增强灵活性，使得网络体系结构上可以分割开，易于实现和维护，同时促进标准化工作。

日常生活中，比如，甲、乙两地两人a、b通信，a将写好的信交给甲地邮局，甲地邮局经过交通部门将信邮至乙地邮局，b再从乙地邮局取信。这相当于一个三层结构，如下图所示

虽然两个用户、两个邮政局、两个运输部门分处甲、乙两地，但是它们都分别对应同等机构，同属一个子系统，而同处一地的不同机构则不再一个子系统内，而且它们之间的关系是服务与被服务的关系。

5

前就一定检测到碰撞。就能够肯定以后也不会再发送碰撞了。

如果A在发送完毕之前并没有检测到碰撞，那么就能够肯定A所发送到帧不会和B发送的帧发生碰撞（当然也不会和其他的站点发送碰撞）。

3-25 在上题中的站点A和B在t=0时同时发送了数据帧。当t=255比特时间，A和B同时检测到发送了碰撞，并且在t=225+48=273比特时间完成了干扰信号的传输。A和B在CSMA/CD算法中选择不同的r值退避。假定A和B选择的随机数分别是rA=0和rB=1.。试问A和B各在什么时间开始重传其数据帧？A重传的数据帧在什么时间到达B?A重传的数据会不会和B重传的数据再次发送碰撞？B会不会在预定的重传时间停止发送数据？

答：t=0时，A和B开始发送数据。

t=255比特时间，A和B都检测到碰撞。 t=273比特时间，A和B结束干扰信号的传输。

t=594比特时间，A开始发送

t=785比特时间，B再次检测信道。如空闲，则B在881比特时间发送数据。否则再退避。

A重传的数据在819比特时间到达B,B先检测到信道忙，因此B在预定的881比特时间停止发送数据。

3-26 以太网上只有两个站，他们同时发送数据，产生了碰撞。于是按截断二进制指数退避算法进行重传。重传次数记为i，i=1，2，3，。。。试计算第一次重传失败的概率、第二次重传失败的概率、第三次重传失败的概率，以及一个站成功发送数据之前的平均重传次数N。答：设第i次重传失败的概率为Pi，显然 Pi=（0.5）k， k=min[i,10]

故第一次重传失败的概率P1=0.5,

第二次重传失败的概率P2=0.25, 第三次重传失败的概率P3=0.125.。

P[传送i次才成功]=P[第1次传送失败]×P[第2次传送失败]×。。。×P[第I -1次传送失败]×P[第i次传送成功]

求 {P[传送i次才成功]}的统计平均值，得出平均重传次数为1.637.

3-27 假定一个以太网上的通信量中的80%是在本局域网上进行的，而且其余的20%的通信量是在本局域网和因特网之间进行的。另一个以太网的情况则反过来。这两个以太网一个使用以太网集线器，而另一个使用以太网交换机。你认为以太网交换机应当用在哪一个网络上？

答：以太网交换机用在这样的以太网，其20%通信量在本局域网内，而80%的通信量到因特网。

3-28 有10个站连接到以太网上，试计算以下三种情况下每一个站所能得到带宽。 （1）10个站点连接到一个10Mbit/s以太网集线器； （2）10站点连接到一个100Mbit/s以太网集线器； （3）10个站点连接到一个10Mbit/s以太网交换机。

答：（1）10个站共享10Mbit/s； （2）10个站共享100Mbit/s； （3）每一个站独占10Mbit/s。

3-29 10Mbit/s以太网升级到100Mbit/s和1Gbit/s甚至10Gbit/s时，需要解决哪些技术问题？在帧的长度方面需要有什么改变？为什么？传输媒体应当有什么改变？

答：以太网升级时，由于数据传输率提高了，帧的发送时间会按比例缩短，这样会影响冲突 的检测。所以需要减小最大电缆长度或增大帧的最小长度，使参数a保持为较小的值，才能有效地检测冲突。在帧的长度方面，几种以太网都采用802.3标准规定的以太网最小最大帧长，使不同速率的以太网之间可方便地通信。100bit/s的以太网采用保持最短帧长（64byte）不变的方法，而将一个网段的最大电缆长度减小到100m，同时将帧间间隔时间由原来的9.6μs，改为0.96μs。1Gbit/s以太网采用保持网段的最大长度为100m的方法，用“载波延伸”和“分组突法”的办法使最短帧仍为64字节，同时将争用字节增大为512字节。传输媒体方面，10Mbit/s以太网支持同轴电缆、双绞线和光纤，而100Mbit/s和1Gbit/s以太网支持双绞线和光纤，10Gbit/s以太网只支持光纤。

16

3-30以太网交换机有何特点？它与集线器有何区别？

答：以太网交换机实质上是一个多端口网桥。工作在数据链路层。以太网交换机的每个端口都直接与一个单个主机或另一个集线器相连，并且一般工作在全双工方式。交换机能同时连通许多对的端口，使每一对相互通信的主机都能像独占通信媒体一样，进行无碰撞地传输数据。通信完成后就断开连接。

区别：以太网交换机工作数据链路层，集线器工作在物理层。集线器只对端口上进来的比特流进行复制转发，不能支持多端口的并发连接。

3-31 网桥的工作原理和特点是什么？网桥与转发器以及以太网交换机有何异同？

答：网桥的每个端口与一个网段相连，网桥从端口接收网段上传送的各种帧。每当收到一个帧时，就先暂存在其缓冲中。若此帧未出现差错，且欲发往的目的站MAC地址属于另一网段，则通过查找站表，将收到的帧送往对应的端口转发出去。若该帧出现差错，则丢弃此帧。网桥过滤了通信量，扩大了物理范围，提高了可靠性，可互连不同物理层、不同MAC子层和不同速率的局域网。但同时也增加了时延，对用户太多和通信量太大的局域网不适合。 网桥与转发器不同，（1）网桥工作在数据链路层，而转发器工作在物理层；（2）网桥不像转发器转发所有的帧，而是只转发未出现差错，且目的站属于另一网络的帧或广播帧；（3）转发器转发一帧时不用检测传输媒体，而网桥在转发一帧前必须执行CSMA/CD算法；（4）网桥和转发器都有扩展局域网的作用，但网桥还能提高局域网的效率并连接不同MAC子层和不同速率局域网的作用。

以太网交换机通常有十几个端口，而网桥一般只有2-4个端口；它们都工作在数据链路层；网桥的端口一般连接到局域网，而以太网的每个接口都直接与主机相连，交换机允许多对计算机间能同时通信，而网桥允许每个网段上的计算机同时通信。所以实质上以太网交换机是一个多端口的网桥，连到交换机上的每台计算机就像连到网桥的一个局域网段上。网桥采用存储转发方式进行转发，而以太网交换机还可采用直通方式转发。以太网交换机采用了专用的交换机构芯片，转发速度比网桥快。

3-32现有五个站分别连接在三个局域网上，并且用两个透明网桥连接起来，如下图所示。每一个网桥的两个端口号都标明在图上。在一开始，两个网桥中的转发表都是空的。以后有以下各站向其他的站发送了数据帧，即H1发送给H5，H3发送给H2，H4发送给H3，H2发送给H1。试将有关数据填写在下表中

B11H1H2B22H312H4H5MAC1MAC2MAC3MAC4MAC5

答：

网桥1的转发表 发送的帧 站地址 H1?H5 H3?H2 H4?H3 H2?H1

17

端口 1 2 2 1 网桥2的转发表 网桥1的处理 （转发？丢弃？站地址 端口 登记？） MAC1 MAC3 MAC4 1 1 2 转发，写入转发表 转发，写入转发表 弃不转发 写入转发表，丢弃不转发 网桥2的处理 （转发？丢弃？登记？） 转发，写入转发表 转发，写入转发表 发表 接收不到这个帧 MAC1 MAC3 MAC4 MAC2 写入转发表，丢转发，写入转3-33 网桥中的转发是用自学习算法建立的。如果有的站点总是不发送数据而仅仅接收数据，那么在转发表中是否就没有与这样的站点相对应的项目？如果要向这个站点发送数据帧，那么网桥能够把数据帧正确转发到目的地址吗？

答：如果站点仅仅接受数据那么在转发表中就没有这样的项目。网桥能把数据帧正确的发送到目的地址。如果不知道目的地地址的位置，源机器就发布一广播帧，询问它在哪里。每个网桥都转发该查找帧(discovery frame)，这样该帧就可到达互联网中的每一个LAN。当答复回来时，途经的网桥将它们自己的标识记录在答复帧中，于是，广播帧的发送者就可以得到确切的路由，并可从中选取最佳路由。

第4 章 网络层

4-01网络层向上提供的服务有哪两种？试比较其优缺点。 答案：虚电路服务和数据报服务。

虚电路的优点：虚电路服务是面向连接的，网络能够保证分组总是按照发送顺序到达目的站，且不丢失、不重复，提供可靠的端到端数据传输；目的站地址仅在连接建立阶段使用，每个分组使用短的虚电路号，使分组的控制信息部分的比特数减少，减少了额外开销；端到端的差错处理和流量控制可以由分组交换网负责，也可以由用户机负责。虚电路服务适用于通信信息量大、速率要求高、传输可靠性要求高的场合。

虚电路的缺点：虚电路服务必须建立连接；属于同一条虚电路的分组总是按照同一路由进行转发；当结点发生故障时，所有通过出故障的结点的虚电路均不能工作。

数据报的优点：数据报服务不需要建立连接；每个分组独立选择路由进行转发，当某个结点发生故障时，后续的分组可以另选路由，因而提高了通信的可靠性。数据报服务的灵活性好，适用于传输可靠性要求不高、通信子网负载不均衡、需要选择最佳路径的场合。

数据报的缺点：数据报服务是面向无连接的，到达目的站时不一定按发送顺序，传输中的分组可能丢失和重复，提供面向无连接的、不可靠的数据传输；每个分组都要有目的站的全地址；当网络发生故障是，出故障的结点可能会丢失数据，一些路由可能会发生变化；端到端的差错处理和流量控制只由主机负责。

4-02网络互连有何实际意义？进行网络互连时，有哪些共同的问题需要解决？

答案：网络互连暗含了相互连接的计算机进行通信，也就是说从功能上和逻辑上看，这些相互连接的计算机网络组成了一个大型的计算机网络。网络互连可以使处于不同地理位置的计算机进行通信，方便了信息交流，促成了当今的信息世界。

存在问题有：不同的寻址方案；不同的最大分组长度；不同的网络介入机制；不同的超时控制；不同的差错恢复方法；不同的状态报告方法；不同的路由选择技术；不同的用户接入控制；不同的服务（面向连接服务和无连接服务）；不同的管理与控制方式；等等。

注：网络互连使不同结构的网络、不同类型的机器之间互相连通，实现更大范围和更广泛意义上的资源共享。

4-03作为中间系统，转发器、网桥、路由器和网关都有何区别？

答案：

1）转发器、网桥、路由器、和网关所在的层次不同。 转发器是物理层的中继系统。 网桥是数据链路层的中继系统。 路由器是网络层的中继系统。

在网络层以上的中继系统为网关。

2）当中继系统是转发器或网桥时，一般并不称之为网络互连，因为仍然是一个网络。

路由器其实是一台专用计算机，用来在互连网中进行路由选择。一般讨论的互连网都是指用路由器进行互连的互连网络。

4-04试简单说明IP、ARP、RARP 和 ICMP 协议的作用。

答：IP:网际协议，它是 TCP/IP 体系中两个最重要的协议之一，IP 使互连起来的许多计算机网络能够进行通信。无连接的数据报传输. 数据报路由。

18

ARP（地址解析协议），实现地址转换：将IP 地址转换成物理地址。 RARP（逆向地址解析协议）， 将物理地址转换成IP地址。

ICMP:Internet 控制消息协议，进行差错控制和传输控制，减少分组的丢失。

注：ICMP 协议帮助主机完成某些网络参数测试，允许主机或路由器报告差错和提供有关异常情况报告，但它没有办法减少分组丢失，这是高层协议应该完成的事情。IP 协议只是尽最大可能交付，至于交付是否成功，它自己无法控制。

4-05 IP 地址分为几类？各如何表示？ IP 地址的主要特点是什么？

答案：目前的IP地址（IPv4：IP第四版本）由32个二进制位表示，每8位二进制数为一个整数，中间由小数点间隔，如159.226.41.98，整个IP地址空间有4组8位二进制数，表示主机所在网络的地址（类似部队的编号）以及主机在该网络中的标识（如同士兵在该部队的编号）共同组成。

为了便于寻址和层次化的构造网络，IP地址被分为A、B、C、D、E五类，商业应用中只用到A、B、C三类。 A类地址：A类地址的网络标识由第一组8位二进制数表示，网络中的主机标识占3组8位二进制数，A类地址的特点是网络标识的第一位二进制数取值必须为“0”。不难算出，A类地址允许有126个网段，每个网络大约允许有1 670万台主机，通常分配给拥有大量主机的网络（如主干网）。

B类地址：B类地址的网络标识由前两组8位二进制数表示，网络中的主机标识占两组8位二进制数，B类地址的特点是网络标识的前两位二进制数取值必须为“10”。B类地址允许有16 384个网段，每个网络允许有65 533台主机，适用于结点比较多的网络（如区域网）。

C类地址：C类地址的网络标识由前3组8位二进制数表示，网络中的主机标识占1组8位二进制数，C类地址的特点是网络标识的前3位二进制数取值必须为“110”。具有C类地址的网络允许有254台主机，使用于结点比较少的网络（如校园网）。

为了便于记忆，通常习惯采用4个十进制数来表示一个IP地址，十进制数之间采用句点“.”予以分隔。这种IP地址的表示方法也被陈伟点分十进制法。如以这种方式表示，A类网络的IP地址范围为1.0.0.1-127.255.255.254；B类网络的IP地址范围为：128.1.0.1-191.255.255.254；C类网络的IP地址范围为：192.0.1.1-223.255.255.254.

IP地址共分5类，分类情况如题4-05解图所示：

题4-05解图

IP 地址是32 位地址，其中分为netid（网络号），和hostid（主机号）。特点如下： 1.IP 地址不能反映任何有关主机位置的物理信息；

2.一个主机同时连接在多个网络上时，该主机就必须有多个IP 地址； 3.由转发器或网桥连接起来的若干个局域网仍为一个网络； 4.所有分配到网络号（netid）的网络都是平等的； 5.IP 地址可用来指明一个网络的地址。

4-06试根据IP地址的规定，计算出表4-2中的数据 。

表4-2 IP地址的指派范围

19

网络类型 A Ｂ Ｃ 最大可指派的网络数 126（2-2） 16383（2-1） 2097151（2-1） 21147第一个可指派的网络号 1 128.1 192.0.1 最后一个可指派的网络号 126 191.255 233.255.255 每个网络中的最大主机数 16777214 65534 254 答案：1）A 类网中，网络号占七个bit, 则允许用的网络数为2 的7 次方，为128，但是要除去0 和127 的情况，所以能用的最大网络数是126，第一个网络号是1，最后一个网络号是126。主机号占24 个bit, 则允许用的最大主机数为2 的24 次方，为16777216，但是也要除去全0 和全1 的情况，所以能用的最大主机数是16777214。

2） B 类网中，网络号占14 个bit，则能用的最大网络数为2 的14 次方，为16384，第一个网络号是128.0，因为127 要用作本地软件回送测试，所以从128 开始，其点后的还可以容纳2 的8 次方为256，所以以128 为开始的网络号为128.0~~128.255，共256 个，以此类推，第16384 个网络号的计算方法是：16384/256=64128+64=192，则可推算出为191.255。主机号占16 个 bit, 则允许用的最大主机数为2 的16 次方，为65536，但是也要除去全0 和全1 的情况，所以能用的最大主机数是65534。

3）C 类网中，网络号占21 个bit, 则能用的网络数为2 的21 次方，为2097152，第一个网络号是 192.0.0 ， 各个点后的数占一个字节，所以以 192 为开始的网络号为192.0.0~~192.255.255，共256×256=65536，以此类推，第2097152 个网络号的计算方法是：2097152/65536=32192+32=224，则可推算出为223.255.255。主机号占8 个bit, 则允许用的最大主机数为2 的8 次方，为256，但是也要除去全0 和全1 的情况，所以能用的最大主机数是254。

4-07试说明 IP 地址与硬件地址的区别。为什么要使用这两种不同的地址？

答案：如图所示，IP 地址在IP 数据报的首部，而硬件地址则放在MAC 帧的首部。在网络层以上使用的是IP地址，而链路层及以下使用的是硬件地址。

题4-07图解

在IP 层抽象的互连网上，我们看到的只是IP 数据报，路由器根据目的站的 IP地址进行选路。在具体的物理网络的链路层，我们看到的只是 MAC 帧，IP 数据报被封装在 MAC帧里面。MAC 帧在不同的网络上传送时，其MAC 帧的首部是不同的。这种变化，在上面的IP 层上是看不到的。每个路由器都有IP 地址和硬件地址。使用IP 地址与硬件地址，尽管连接在一起的网络的硬件地址体系各不相同，但 IP层抽象的互连网却屏蔽了下层这些很复杂的细节，并使我们能够使用统一的、抽象的IP 地址进行通信。

4-08 IP 地址方案与我国的电话号码体制的主要不同点是什么？

答案：IP 地址分为网络号和主机号，它不反映有关主机地理位置的信息。而电话号码反映有关电话的地理位置的信息，同一地域的电话号码相似。

注：我国电话号码体制是按照行政区域划分的层次结构，同一地域的电话号码有相同的若干位前缀。号码相近的若干话机，其地理位置应该相距较近。IP 地址没有此属性，其网络号和主机地理位置没有关系。

4-09（1）子网掩码为 255.255.255.0 代表什么意思？

（2）一网络的现在掩码为 255.255.255.248，问该网络能够连接多少个主机？

（3）一A 类网络和一 B 类网络的子网号 subnet-id分别为16个1和8个1，问这两个网络的子网掩

20

码有何不同？

（4）一个B类地址的子网掩码是255.255.240.0。试问在其中每一个子网上的主机数最多是多少？ （5）一Ａ类网络的子网掩码为 255.255.0.255，它是否为一个有效的子网掩码？

（6）某个IP地址的十六进制表示为C2.2F.14.81，试将其转换为点分十进制的形式。这个地址是哪一类IP地址？

（7）C 类网络使用子网掩码有无实际意义？为什么？

答案：（1）可以代表C 类地址对应的子网掩码默认值；也能表示A 类和B 类地址的掩码,前24 位决定网络号和子网号，后8 位决定主机号。（用24bit 表示网络部分地址，包括网络号和子网号）

（2）255.255.255.248 化成二进制序列为：11111111 11111111 11111111 11111000，根据掩码的定义，后三位是主机号，一共可以表示8 个主机号，除掉全0 和全1 的两个，该网络能够接6 个主机。

（3）子网掩码的形式是一样的，都是 255.255.255.0；但是子网的数目不一样，前者为65534，后者为254。

（4）255.255.240.0（11111111.11111111.11110000.00000000）是B类地址的子网掩码，主机地址域为12比特，所以每个子网的主机数最多为：212-2=4 094。

（5）子网掩码由一连串的 1 和一连串的 0 组成，1 代表网络号和子网号，0 对应主机号.255.255.0.255 变成二进制形式是：11111111 11111111 00000000 11111111.可见，是一个有效的子网掩码，但是不是一个方便使用的解决办法。

（6）用点分十进制表示，该IP地址是194.47.20.129，为C类地址。 （7）有，可以提高网络利用率。 注：实际环境中可能存在将C 类网网络地址进一步划分为子网的情况，需要掩码说明子网号的划分。C 类网参加互连网的路由，也应该使用子网掩码进行统一的IP 路由运算。C 类网的子网掩码是255.255.255.0。

4-10 试辨认以下IP地址的网络类别。

(1) 128.36.199.3

(2) 21.12.240.17 (3) 183.194.76.253 (4) 192.12.69.248 (5) 89.3.0.1

(6) 200.3.6.2

答案：(1) 128.36.199.3 B类网

(2) 21.12.240.17 A类网 (3) 183.194.76.253 B类网 (4) 192.12.69.248 C类网 (5) 89.3.0.1 A类网 (6) 200.3.6.2 C类网

4-11 IP数据报中的首部检验和并不检验数据报中的数据。这样做的最大好处是什么？坏处是什么？ 答案：好处是数据报每经过一个结点，结点只检查首部的检验和，使结点工作量降低，网络速度加快。 坏处是只检验首部，不包括数据部分，即使数据出错也无法得知，只有到目的主机才能发现。

4-12 当某个路由器发现一IP数据报的检验和有差错时，为什么采取丢弃的办法而不是要求源站重传此数据报？计算首部检验和为什么不采用CRC检验码？

答案：之所以不要求源站重发，是因为地址子段也有可能出错，从而找不到正确的源站。

数据报每经过一个结点，结点处理机就要计算一下校验和。不用CRC，就是为了简化计算。

4-13.设IP数据报使用固定首部，其各字段的具体数值如图所示（除IP地址外，均为十进制表示）。试用二进制运算方法计算应当写入到首部检验和字段中的数值（用二进制表示）。

4

5

0

28

21

1

4

17

10.12.14.5 12.6.7.9

0

0

1000101 00000000 00000000-00011100 00000000 00000001 00000000-00000000

4-14. 重新计算上题，但使用十六进制运算方法（没16位二进制数字转换为4个十六进制数字，再按十六进制加法规则计算）。比较这两种方法。

01000101 00000000 00000000-00011100 4 5 0 0 0 0 1 C 00000000 00000001 00000000-00000000 0 0 0 1 0 0 0 0 00000100 000010001 xxxxxxxx xxxxxxxx 0 4 1 1 0 0 0 0 00001010 00001100 00001110 00000101 0 A 0 C 0 E 0 5 00001100 00000110 00000111 00001001 0 C 0 6 0 7 0 9 01011111 00100100 00010101 00101010 5 F 2 4 1 5 2 A

5 F 2 4 1 5 2 A

7 4 4 E-?8 B B 1

4-15.什么是最大传送单元MTU？它和IP数据报的首部中的哪个字段有关系？

答：IP层下面数据链里层所限定的帧格式中数据字段的最大长度，与IP数据报首部中的总长度字段有关系

4-16 在因特网中将IP数据报分片传送的数据报在最后的目的主机进行组装。还可以有另一种做法，即数据报片通过一个网络就进行一次组装。试比较这两种方法的优劣。

答案：前一种方法对于所传数据报来将仅需要进行一次分段一次组装，用于分段和组装的开销相对较小。 但主机若在最终组装时发现分组丢失，则整个数据报要重新传输，时间开销很大。 后一种方法分段和组装的次数要由各个网络所允许的最大数据报长度来决定，分段和组装的开销相对较大。但若通过一个网络后组装时发现分段丢失，可以及时地重传数据报，时间开销较前者小，同时可靠性提高。

4-17 一个3200位长的TCP报文传到IP层，加上160位的首部后成为数据报。下面的互联网由两个局域网通过路由器连接起来。但第二个局域网所能传送的最长数据帧中的数据部分只有1200位。因此数据报在路由器必须进行分片。试问第二个局域网向其上层要传送多少比特的数据（这里的“数据”当然指的是局域网看见的数据）？

答案：IP数据报的长为：3200+160=3360 bit

第二个局域网分片应分为 [3200/1200]=3片。 三片的首部共为：160*3=480 bit

则总共要传送的数据共3200+480=3680 bit。

00000100 00010001 xxxxxxxx xxxxxxxx 00001010 00001100 00001110 00000101

00001100 00000110 00000111 00001001 作二进制检验和（XOR） 01110100 01001110取反码

10001011 10110001

4-18（1）有人认为：“ARP协议向网络层提供了转换地址的服务，因此ARP应当属于数据链路层。”这种说法为什么是错误的？ （2）试解释为什么ARP高速缓存每存入一个项目就要设置10~20分钟的超时计时器。这个时间设置得太大或太小会出现什么问题？ （3）至少举出两种不需要发送ARP请求分组的情况（即不需要请求将某个项目的IP地址解析为相应的硬件地址）。 答案：（1）ARP不是向网络层提供服务，它本身就是网络层的一部分，帮助向传输层提供服务。在数据链路层不存在IP地址的问题。数据链路层协议是像HDLC和PPP这样的协议，它们把比特串从线路的一端传送到

22

另一端。

（2）ARP将保存在高速缓存中的每一个映射地址项目都设置生存时间（例如，10~20分钟）。凡超过生存时间的项目就从高速缓存中删除掉。设置这种地址映射项目的生存时间是很重要的。设想有一种情况，主机A和B通信，A的ARP高速缓存里保存有B的物理地址，但B的网卡突然坏了，B立即更换了一块，因此B的硬件地址就改变了。A还要和B继续通信。A在其ARP高速缓存中查找到B原先的硬件地址，并使用该硬件地址向B发送数据帧，但B原先的硬件地址已经失效了，因此A无法找到主机B。是过了一段时间，A的ARP高速缓存中已经删除了B原先的硬件地址（因为它的生存时间到了），于是A重新广播发送ARP请求分组，又找到了B。

时间设置太大，造成A一直空等而产生通讯时延，网络传输缓慢。若太小，有可能网络状况不好，B暂时没有应答A，但A已经认为B的地址失效，A重新发送ARP请求分组，造成通讯时延。

（3）主机A和B通讯，A的ARP高速缓存里保存有B的物理地址，此时不需要发送ARP请求分组。 当主机A向B发送数据报时，很可能不久以后主机B还要向A发送数据报，因而主机B也可能要向A发

送ARP请求分组。为了减少网络上的通信量，主机A在发送其ARP请求分组时，就将自己IP地址到硬件的映射写入ARP请求分组。当主机B收到A的ARP请求分组时，就将主机A的这一地址映射写入主机B自己的ARP高速缓存中。这对主机B以后向A发送数据报时就更方便了。

4-19. 主机A发送IP数据报给主机B,途中经过了5个路由器。试问在IP数据报的发送过程总共使用几次ARP？

解：前提，理论上当前主机路由器arp表中都没有下一跳路由器MAC

共需6次，主机A先通过arp得到第一个路由器的MAC，之后每一个路由器转发前都通过ARP得到下一跳路由器的MAC，最后一条路由器将IP包发给B前仍要通过ARP得到B的MAC，共6次。

4-20. 设某路由器建立了如下路由表（这三列分别是目的网络、子网掩码和下一跳路由器，若直接交付则最后一列表示应当从哪一个接口转发出去）：

目的网络 子网掩码 下一跳

128.96.39.0 255.255.255.128 接口0

128.96.39.128 255.255.255.128 接口1 128.96.40.0 255.255.255.128 R2 192.4.153.0 255.255.255.192 R3

*（默认） - R4 现共收到5个分组，其目的站IP地址分别为： （1）128.96.39.10 （2）128.96.40.12 （3）128.96.40.151 （4）192.4.153.17 （5）192.4.153.90 试分别计算其下一跳。

解：（1）分组的目的站IP地址为：128.96.39.10。先与子网掩码255.255.255.128相与，得128.96.39.0，可见该分组经接口0转发。

（2）分组的目的IP地址为：128.96.40.12。

① 与子网掩码255.255.255.128相与得128.96.40.0，不等于128.96.39.0。

② 与子网掩码255.255.255.128相与得128.96.40.0，经查路由表可知，该项分组经R2转发。 （3）分组的目的IP地址为：128.96.40.151，与子网掩码255.255.255.128相与后得128.96.40.128，与子网掩码255.255.255.192相与后得128.96.40.128，经查路由表知，该分组转发选择默认路由，经R4转发。

（4）分组的目的IP地址为：192.4.153.17。与子网掩码255.255.255.128相与后得192.4.153.0。与子网掩码255.255.255.192相与后得192.4.153.0，经查路由表知，该分组经R3转发。

（5）分组的目的IP地址为：192.4.153.90，与子网掩码255.255.255.128相与后得192.4.153.0。与子网掩码255.255.255.192相与后得192.4.153.64，经查路由表知，该分组转发选择默认路由，经R4转发。

4-21某单位分配到一个B类IP地址，其net-id为129.250.0.0。该单位有4000台机器，平均分布在

23

16个不同的地点。如选用子网掩码为255.255.255.0，试给每一地点分配一个子网号码，并计算出每个地点主机号码的最小值和最大值。

答：4000/16=250，平均每个地点250台机器。如选255.255.255.0为掩码，则每个网络所连主机数=28-2=254>250，共有子网数=28-2=254>16，能满足实际需求。

可给每个地点分配如下子网号码

地点： 子网号（subnet-id） 子网网络号 主机IP的最小值和最大值 1： 00000001 129.250.1.0 129.250.1.1---129.250.1.254 2： 00000010 129.250.2.0 129.250.2.1---129.250.2.254 3： 00000011 129.250.3.0 129.250.3.1---129.250.3.254 4： 00000100 129.250.4.0 129.250.4.1---129.250.4.254 5： 00000101 129.250.5.0 129.250.5.1---129.250.5.254 6： 00000110 129.250.6.0 129.250.6.1---129.250.6.254 7： 00000111 129.250.7.0 129.250.7.1---129.250.7.254 8： 00001000 129.250.8.0 129.250.8.1---129.250.8.254 9： 00001001 129.250.9.0 129.250.9.1---129.250.9.254 10： 00001010 129.250.10.0 129.250.10.1---129.250.10.254 11： 00001011 129.250.11.0 129.250.11.1---129.250.11.254 12： 00001100 129.250.12.0 129.250.12.1---129.250.12.254 13： 00001101 129.250.13.0 129.250.13.1---129.250.13.254 14： 00001110 129.250.14.0 129.250.14.1---129.250.14.254 15： 00001111 129.250.15.0 129.250.15.1---129.250.15.254 16： 00010000 129.250.16.0 129.250.16.1---129.250.16.254

4-22 一具数据报长度为4000字节（固定首部长度）。现在经过一个网络传送，但此网络能够传送的最大数据长度为1500字节。试问应当划分为几个短些的数据报片？各数据报片的数据字段长度、片偏移字段和MF标志应为何数值？

答：IP数据报固定首部长度为20字节

原始数据报 数据报片1 数据报片2 数据报片3

4-23 分两种情况（使用子网掩码和使用CIDR）写出因特网的IP层查找路由的算法。 答：见课本P134、P139

4-24 试找出可产生以下数目的A类子网的子网掩码（采用连续掩码） （1）2，（2）6，（3）20，（4）62，（5）122，（6）250

答：（3）20+2=22<25（加2即将不能作为子网号的全1和全0的两种，所以子网号占用5bit，所以网络号加子网号共13bit，子网掩码为前13个1后19个0，即255.248.0.0。依此方法：

（1）255.192.0.0，（2）255.224.0.0，（4）255.252.0.0，（5）255.254.0.0，（6）255.255.0.0

4-25 以下有四个子网掩码，哪些是不推荐使用的？为什么？

（1）176.0.0.0，（2）96.0.0.0，（3）127.192.0.0，（4）255.128.0.0 答：只有（4）是连续的1和连续的0的掩码，是推荐使用的。

4-26 有如下的四个/24地址块，试进行最大可能的聚合。 212.56.132.0/24

24

总长度(字节) 4000 1500 1500 1040 节) 数据长度(字3980 1480 1480 1020 MF 0 1 1 0 片偏移 0 0 185 370 212.56.133.0/24 212.56.134.0/24 212.56.135.0/24

答：212=（11010100）2，56=（00111000）2 132=（10000100）2， 133=（10000101）2 134=（10000110）2， 135=（10000111）2

所以共同的前缀有22位，即11010100 00111000 100001，聚合的CIDR地址块是：212.56.132.0/22

4-27 有两个CIDR地址块208.128/11和208.130.28/22。是否有哪一个地址块包含了另一地址块？如果有，请指出，并说明理由。

答：208.128/11的前缀为：11010000 100

208.130.28/22的前缀为：11010000 10000010 000101，它的前11位与208.128/11的前缀是一致的，所以208.128/11地址块包含了208.130.28/22这一地址块。

4-28已知路由器R1的路由表如表4-12所示。

表4-12 习题4-28中的路由器R1的路由表

地址掩码 目的网络地址 下一跳地址 路由器接口 /26 /24 /16 /16 /16 默认 答案：图形见课后答案P380

4-29一个自治系统有5个局域网，其连接图如图4-55示。LAN2至LAN5上的主机数分别为：91，150，3

和15.该自治系统分配到的IP地址块为30.138.118/23.试给出每一个局域网的地址块（包括前缀）。

140.5.12.64 130.5.8.0 110.71.0.0 180.15.0.0 190.16.0.0 默认 180.15.2.5 190.16.6.2 ---- ---- ---- 110.71.4.5 M2 M1 M0 M2 M1 M0 试画出各网络和必要的路由器的连接拓扑，标注出必要的IP地址和接口。对不能确定的情况应当指明。

图4-55 习题4-29的图

答案：对LAN3，主机数150，（2-2）<150+1<（2-2），所以主机位为8bit，网络前缀为24，分配地址块30.138.118.0/24。（第24位为0）

对LAN2，主机数91，（26-2）<91+1<（27-2），所以主机位为7bit，网络前缀为25，分配地址块30.138.119.0/25。（第24、25位为10）

对LAN5，主机数15，（24-2）<15+1<（25-2），所以主机位为5bit，网络前缀为27，分配地址块30.138.119.192/27。（第24、25、26、27位为1110）

对LAN1，主机数3，（22-2）<3+1<（23-2），所以主机位为3bit，网络前缀为29，分配地址块30.138.119.232/29。（第24、25、26、27、28、29位为111101）

对LAN4，主机数3，（22-2）<3+1<（23-2），所以主机位为3bit，网络前缀为29，分配地址块30.138.119.240/29。（第24、25、26、27、28、29位为111110）

4-30 一个大公司有一个总部和三个下属部门。公司分配到的网络前缀是192.77.33/24。公司的网络布局如图4-56。总部共有五个局域网，其中LAN1～LAN4都连接到路由器R1上，R1再通过LAN5与路由其R5相连。

25

7

8

如果B不再发送数据了，是可以把两个报文段合并成为一个，即只发送FIN+ACK报文段。但如果B还有数据报要发送，而且要发送一段时间，那就不行，因为A迟迟收不到确认，就会以为刚才发送的FIN报文段丢失了，就超时重传这个FIN报文段，浪费网络资源。

5—43 在图(5-33)中，在什么情况下会发生从状态LISTEN到状态SYN_SENT，以及从状态SYN_ENT到

状态SYN_RCVD的变迁?

答：当A和B都作为客户，即同时主动打开TCP连接。这时的每一方的状态变迁都是：CLOSED----?SYN-SENT---?SYN-RCVD--?ESTABLISHED

5—44 试以具体例子说明为什么一个运输连接可以有多种方式释放。可以设两个互相通信的用户分别连接

在网络的两结点上。

答：设A,B建立了运输连接。协议应考虑一下实际可能性：

A或B故障，应设计超时机制，使对方退出，不至于死锁； A主动退出，B被动退出 B主动退出，A被动退出

5—45 解释为什么突然释放运输连接就可能会丢失用户数据，而使用TCP的连接释放方法就可保证不丢失

数据。 答：

当主机1和主机2之间连接建立后，主机1发送了一个TCP数据段并正确抵达主机2，接着主机1发送另一个TCP数据段，这次很不幸，主机2在收到第二个TCP数据段之前发出了释放连接请求，如果就这样突然释放连接，显然主机1发送的第二个TCP报文段会丢失。

而使用TCP的连接释放方法，主机2发出了释放连接的请求，那么即使收到主机1的确认后，只会释放主机2到主机1方向的连接，即主机2不再向主机1发送数据，而仍然可接受主机1发来的数据，所以可保证不丢失数据。

5—46 试用具体例子说明为什么在运输连接建立时要使用三次握手。说明如不这样做可能会出现什么情况。

答：

3次握手完成两个重要的功能，既要双方做好发送数据的准备工作（双方都知道彼此已准备好），也要允许双方就初始序列号进行协商，这个序列号在握手过程中被发送和确认。

假定B给A发送一个连接请求分组，A收到了这个分组，并发送了确认应答分组。按照两次握手的协定，A认为连接已经成功地建立了，可以开始发送数据分组。可是，B在A的应答分组在传输中被丢失的情况下，将不知道A是否已准备好，不知道A建议什么样的序列号，B甚至怀疑A是否收到自己的连接请求分组，在这种情况下，B认为连接还未建立成功，将忽略A发来的任何数据分组，只等待连接确认应答分组。

而A发出的分组超时后，重复发送同样的分组。这样就形成了死锁。

5—47 一个客户向服务器请求建立TCP连接。客户在TCP连接建立的三次握手中的最后一个报文段中捎

带上一些数据，请求服务器发送一个长度为L字节的文件。假定：

（1）客户和服务器之间的数据传输速率是R字节/秒，客户与服务器之间的往返时间是RTT（固定值）。

（2）服务器发送的TCP报文段的长度都是M字节，而发送窗口大小是nM字节。

（3）所有传送的报文段都不会出错（无重传），客户收到服务器发来的报文段后就及时发送确认。 （4）所有的协议首部开销都可忽略，所有确认报文段和连接建立阶段的报文段的长度都可忽略（即

忽略这些报文段的发送时间）。 试证明，从客户开始发起连接建立到接收服务器发送的整个文件多需的时间T是：

T=2RTT+L/R 当nM>R(RTT)+M

或 T=2RTT+L/R+(K-1)[M/R+RTT-nM/R] 当nM

其中，K=[L/nM]，符号[x]表示若x不是整数，则把x的整数部分加1。 解：

36

发送窗口较小的情况，发送一组nM个字节后必须停顿下来，等收到确认后继续发送。

共需K=[L/nM]个周期：其中

前K-1个周期每周期耗时M/R+RTT,共耗时（K-1）（M/R+RTT）

第K周期剩余字节数Q=L-（K-1）*nM，需耗时Q/R

总耗时=2*RTT+(K-1)M/(R+RTT)+Q/R=2*RTT+L/R+(K-1)[( M/R+RTT)-nM/R

第六章 应用层

6-01 因特网的域名结构是怎么样的？它与目前的电话网的号码结构有何异同之处？

答：

（1）域名的结构由标号序列组成，各标号之间用点隔开：

? . 三级域名 . 二级域名 . 顶级域名

各标号分别代表不同级别的域名。

（2）电话号码分为国家号结构分为（中国 +86）、区号、本机号。

6-02 域名系统的主要功能是什么？域名系统中的本地域名服务器、根域名服务器、顶级域名服务器以及权

限域名权服务器有何区别？ 答:

域名系统的主要功能：将域名解析为主机能识别的IP地址。

因特网上的域名服务器系统也是按照域名的层次来安排的。每一个域名服务器都只对域名体系中的一部分进行管辖。共有三种不同类型的域名服务器。即本地域名服务器、根域名服务器、授权域名服务器。当一个本地域名服务器不能立即回答某个主机的查询时，该本地域名服务器就以DNS客户的身份向某一个根域名服务器查询。若根域名服务器有被查询主机的信息，就发送DNS回答报文给本地域名服务器，然后本地域名服务器再回答发起查询的主机。但当根域名服务器没有被查询的主机的信息时，它一定知道某个保存有被查询的主机名字映射的授权域名服务器的IP地址。通常根域名服务器用来管辖顶级域。根域名服务器并不直接对顶级域下面所属的所有的域名进行转换，但它一定能够找到下面的所有二级域名的域名服务器。每一个主机都必须在授权域名服务器处注册登记。通常，一个主机的授权域名服务器就是它的主机ISP的一个域名服务器。授权域名服务器总是能够将其管辖的主机名转换为该主机的IP地址。

因特网允许各个单位根据本单位的具体情况将本域名划分为若干个域名服务器管辖区。一般就在各管辖区中设置相应的授权域名服务器。

6-03 举例说明域名转换的过程。域名服务器中的高速缓存的作用是什么？

答：

（1）把不方便记忆的IP地址转换为方便记忆的域名地址。

（2）作用：可大大减轻根域名服务器的负荷，使因特网上的 DNS 查询请求和回答报文的数量大为减少。

6-04 设想有一天整个因特网的DNS系统都瘫痪了（这种情况不大会出现），试问还可以给朋友发送电子邮

件吗？

答：不能；

6-05 文件传送协议FTP的主要工作过程是怎样的？为什么说FTP是带外传送控制信息？主进程和从属进

程各起什么作用？

答：

（1）FTP使用客户服务器方式。一个FTP服务器进程可同时为多个客户进程提供服务。

FTP 的服务器进程由两大部分组成：一个主进程，负责接受新的请求；另外有若干个从属进程，负责处理单个请求。 主进程的工作步骤：

37

1、打开熟知端口（端口号为 21），使客户进程能够连接上。

2、等待客户进程发出连接请求。

3、启动从属进程来处理客户进程发来的请求。从属进程对客户进程的请求处理完毕后即终止，但从属进程在运行期间根据需要还可能创建其他一些子进程。

4、回到等待状态，继续接受其他客户进程发来的请求。主进程与从属进程的处理是并发地进行。 FTP使用两个TCP连接。

控制连接在整个会话期间一直保持打开，FTP 客户发出的传送请求通过控制连接发送给服务器端的控制进程，但控制连接不用来传送文件。

实际用于传输文件的是“数据连接”。服务器端的控制进程在接收到 FTP 客户发送来的文件传输请求后就创建“数据传送进程”和“数据连接”，用来连接客户端和服务器端的数据传送进程。 数据传送进程实际完成文件的传送，在传送完毕后关闭“数据传送连接”并结束运行。

6-06 简单文件传送协议TFTP与FTP的主要区别是什么？各用在什么场合？

答：

（1）文件传送协议 FTP 只提供文件传送的一些基本的服务，它使用 TCP 可靠的运输服务。

FTP 的主要功能是减少或消除在不同操作系统下处理文件的不兼容性。

FTP 使用客户服务器方式。一个 FTP 服务器进程可同时为多个客户进程提供服务。FTP 的服务器进程由两大部分组成：一个主进程，负责接受新的请求；另外有若干个从属进程，负责处理单个请求。

TFTP 是一个很小且易于实现的文件传送协议。

TFTP 使用客户服务器方式和使用 UDP 数据报，因此 TFTP 需要有自己的差错改正措施。 TFTP 只支持文件传输而不支持交互。

TFTP 没有一个庞大的命令集，没有列目录的功能，也不能对用户进行身份鉴别。

6-07 远程登录TELNET的主要特点是什么？什么叫做虚拟终端NVT？

答：

（1）用户用 TELNET 就可在其所在地通过 TCP 连接注册（即登录）到远地的另一个主机上（使用

主机名或 IP 地址）。

TELNET 能将用户的击键传到远地主机，同时也能将远地主机的输出通过 TCP 连接返回到用户屏幕。这种服务是透明的，因为用户感觉到好像键盘和显示器是直接连在远地主机上。

（2）TELNET定义了数据和命令应该怎样通过因特网，这些定义就是所谓的网络虚拟终端NVT。

6-08 解释以下名词。各英文缩写词的原文是什么？

www,URL.HTTP,HTML,CGI,浏览器，超文本，超媒体，超链，页面，活动文档，搜索引擎。 答：

www:万维网WWW（World Wide Web）并非某种特殊的计算机网络。万维网是一个大规模的、

联机式的信息储藏所，英文简称为Web.万维网用链接的方法能非常方便地从因特网上的一个站点访问另一个站点（也就是所谓的“链接到另一个站点”），从而主动地按需获取丰富的信息。

URL:为了使用户清楚地知道能够很方便地找到所需的信息，万维网使用统一资源定位符URL（Uniform Resource Locator）来标志万维网上的各种文档，并使每一个文档在整个因特网的范围内具有唯一的标识符URL.

HTTP:为了实现万维网上各种链接，就要使万维网客户程序与万维网服务器程序之间的交互遵守严格的协议，这就是超文本传送协议HTTP.HTTP是一个应用层协议，它使用TCP连接进行可靠的传送。

CGI:通用网关接口CGI是一种标准，它定义了动态文档应该如何创建，输入数据应如何提供给应用程序，以及输出结果意如何使用。CGI程序的正式名字是CGI脚本。按照计算机科学的一般概念。

浏览器：一个浏览器包括一组客户程序、一组解释程序，以及一个控制程序。

超文本：超文本的基本特征就是可以超链接文档；你可以指向其他位置，该位置可以在当前的文档中、局域网中的其他文档，也可以在因特网上的任何位置的文档中。这些文档组成了一个杂乱的信

38

息网。目标文档通常与其来源有某些关联，并且丰富了来源；来源中的链接元素则将这种关系传递给浏览者。

超媒体：超级媒体的简称,是超文本（hypertext）和多媒体在信息浏览环境下的结合。 超链：超链接可以用于各种效果。超链接可以用在目录和主题列表中。浏览者可以在浏览器屏幕上单击鼠标或在键盘上按下按键，从而选择并自动跳转到文档中自己感兴趣的那个主题，或跳转到世界上某处完全不同的集合中的某个文档。超链接（hyper text），或者按照标准叫法称为锚（anchor），是使用 标签标记的，可以用两种方式表示。锚的一种类型是在文档中创建一个热点，当用户激活或选中（通常是使用鼠标）这个热点时，会导致浏览器进行链接。

页面：页面，类似于单篇文章页面，但是和单篇文章不同的是：1.每个页面都可以自定义样式，而单篇文章则共用一个样式。2.页面默认情况一般不允许评论，而单篇文章默认情况允许评论。3.页面会出现在水平导航栏上，不会出现在分类和存档里，而单篇文章会出现在分类和存档里，不会出现在水平导航栏上。

活动文档：即正在处理的文档。在 Microsoft Word 中键入的文本或插入的图形将出现在活动文档中。活动文档的标题栏是突出显示的。一个基于Windows的、嵌入到浏览器中的非HTML应用程序，提供了从浏览器界面访问这些应用程序的 功能的方法。

搜索引擎：搜索引擎指能够自动从互联网上搜集信息，经过整理以后，提供给用户进行查阅的系统。

6-09 假定一个超链从一个万维网文档链接到另一个万维网文档时，由于万维网文档上出现了差错而

使得超链只想一个无效的计算机名字。这是浏览器将向用户报告什么？ 答：404 Not Found。

6-10 假定要从已知的URL获得一个万维网文档。若该万维网服务器的Ip地址开始时并不知道。试

问：除

HTTP外，还需要什么应用层协议和传输层协议？

答：

应用层协议需要的是DNS。

运输层协议需要的是UDP（DNS）使用和TCP（HTTP使用）。

6-11 你所使用的浏览器的高速缓存有多大？请进行一个试验：访问几个万维网文档，然后将你的计

算机与网络断开，然后再回到你刚才访问过的文档。你的浏览器的高速缓存能够存放多少各页面？

答：（因不同机器而定）

6-12 、什么是动态文档？试举出万维网使用动态文档的一些例子。

答案：如果文挡的内容在浏览器访问万维网时才有应用程序动态创建，这种文档称为动态文档（dynamic document）。当浏览器请求到达时，万维网服务器要运行另一个应用程序，并将控制转移到此程序。接着，该应用程序对浏览器发来的数据进行处理，其间可能访问数据库或图形软件包等其它服务器资源，并输出HTML格式的文档，万维网服务器将应用程序的输出作为对浏览器的响应。由于对浏览器每次请求的响应都是临时生成的，因此用户通过动态文档看到的内容可根据需要不断变化。例如Google搜索到的信息，博客，论坛等。

6-13、浏览器同时打开多个TCP连接进行浏览的优缺点如何？请说明理由。 答案：优点：简单明了方便。

缺点：卡的时候容易死机

6-14、当使用鼠标点取一个WWW文档时，若该文档除了有文本外，还有一个本地.gif图像和两个远地.gif图像。试问：需要使用哪个应用程序，以及需要建立几次UDP连接和几次TCP连接？ 解答

使用支持HTTP协议的应用程序。不需要建立UDP连接。需要建立4次TCP连接，一次读取整个WWW文档，然后读取三个.gif图像文件。由于HTTP是一种分布式协议，对本地.gif图像文件和远地.gif图像文件同样看待。

6-15、假定你在浏览器上点击一个URL,但是这个URL的IP地址以前并没有缓存在本地主机上。因此需要用

39

DNS自动查找和解析。假定要解析到所有要找到的URLd IP地址公斤过n个DNS服务器，所经过的时间分别为RTT1,RTT2,?,RTTn。假定从要找的网页上只需读取一个很小的图片(即忽略这个小图片的传输时间)。从本地主机到这个网页的往返时间是RTTw。试问从点击这个URL开始，一直到本地主机的屏幕上出现所读取的小图片，一共要经过多少时间？

解：解析IP地址需要时间是：RTT1+RTT2+?+RTTn。 建立TCP连接和请求万维网文档需要2RTTw。

6-16、在上题中假定同一台服务器的HTML文件中有链接了三个份非常小的对象。若忽略这些对象的发送时间，试计算客户点击读取这些对象所需的时间。 (1) 没有并行TCP连接的非持续HTTP； (2) 使用并行TCP连接的非持续HTTP； (3) 流水线方式的持续HTTP。

解：（1）所需时间=RTT1+RTT2+?+RTTn+8RTTw。

（2）所需时间=RTT1+RTT2+?+RTTn+4RTTw。 （3）所需时间=RTT1+RTT2+?+RTTn+3RTTw。

6-17、在浏览器中应当有几个可选解释程序。试给出一些可选解释程序的名称。

答：在浏览器中，HTML解释程序是必不可少的，而其他的解释程序则是可选的。如java可选解释程序，但是在运行java的浏览器是则需要两个解释程序，即HTML解释程序和Java小应用程序解释程序。

6-18、一个万维网网点有1千万个页面，平均每个页面有10个超链。读取一个页面平均要100ms。问要检索整个网点所需的最少时间？

答：t=100*10-3*10*1000*104 =107 s

6-19、搜索引擎可分为那两种类型？给有什么特点？

答案：

搜索引擎按其工作方式主要可分为两种，分别是全文搜索引擎（Full Text Search Engine）和目录索引类搜索引擎（Search Index/Directory

全文搜索引擎

全文搜索引擎是名副其实的搜索引擎，国外具代表性的有Google、Fast/AllTheWeb、AltaVista、Inktomi、Teoma、WiseNut等，国内著名的有百度（Baidu）。它们都是通过从互联网上提取的各个网站的信息（以网页文字为主）而建立的数据库中，检索与用户查询条件匹配的相关记录，然后按一定的排列顺序将结果返回给用户，因此他们是真正的搜索引擎。

从搜索结果来源的角度，全文搜索引擎又可细分为两种，一种是拥有自己的检索程序（Indexer），俗称“蜘蛛”（Spider）程序或“机器人”（Robot）程序，并自建网页数据库，搜索结果直接从自身的数据库中调用，如上面提到的7家引擎；另一种则是租用其他引擎的数据库，并按自定的格式排列搜索结果，如Lycos引擎。 目录索引

目录索引虽然有搜索功能，但在严格意义上算不上是真正的搜索引擎，仅仅是按目录分类的网站链接列表而已。用户完全可以不用进行关键词（Keywords）查询，仅靠分类目录也可找到需要的信息。目录索引中最具代表性的莫过于大名鼎鼎的Yahoo雅虎。其他著名的还有Open Directory Project（DMOZ）、LookSmart、About等。国内的搜狐、新浪、网易搜索也都属于这一类

6-20 试述电子邮件的最主要的组成部件。用户代理UA的作用是什么?没有UA行不行？ 答案：电子邮件的主要组成部件，这就是用户代理、邮件服务器，以及电子邮件使用的协

议。用户代理UA就是用户与电子邮件系统的接口，在大多数情况下就是在用户PC机中运行的程序。邮件服务器是电子邮件系统的核心构建，因特网上所有的ISP都有邮件服务器。遇见服务器所使用的协议主要有用户发送邮件的SMTP协议，另一个协议是用于接受邮件的POP协议。 用户代理的功能主要有：（1）撰写，给用户提供方便地编辑信件的环境；（2）显 示，能方便的在计算机屏幕上显示出来信；（3）处理，处理包括发送邮件和接收邮件。 没有用户代理是不行的。这是因为并非所有的计算机都能运行邮件服务器程序。有

些计算机可能没有足够的存储器来运行允许程序在后台运行的操作系统，或是可能没有足

够的CPU能力来运行服务器程序。更重要的是，邮件服务器程序必须不间断地运行，每天不间断地连接在因特网上，否则可能使很陡外面发来的邮件丢失。让用户的PC机运行邮件服务器程序是不现实的。让来信暂时

40

定每个用户的接入权限。

（4）流量分析：通过观察PDU的协议控制信息部分，了解正在通信的协议实体的地址和身份，研究PDU的长度和传输的频度，以便了解所交换的数据的某种性质。这种被动攻击又称为流量分析（traffic analysis）。 （5）恶意程序：恶意程序（rogue program）通常是指带有攻击意图所编写的一段程序。

7-03 为什么说，计算机网络的安全不仅仅局限于保密性？试举例说明，仅具有保密性的计算机网络不一定是安全的。

答：计算机网络安全不仅仅局限于保密性，但不能提供保密性的网络肯定是不安全的。网络的安全性机制除为用户提供保密通信以外，也是许多其他安全机制的基础。例如，存取控制中登陆口令的设计。安全通信协议的设计以及数字签名的设计等，都离不开密码机制。

7-04 密码编码学、密码分析学和密码学都有哪些区别？

答：密码学(cryptology)包含密码编码学(Cryptography)与密码分析学(Cryptanalytics)两部分内容。 密码编码学是密码体制的设计学,是研究对数据进行变换的原理、手段和方法的技术和科学，而密码分析学则是在未知密钥的情况下从密文推演出明文或密钥的技术。是为了取得秘密的信息， 而对密码系统及其流动的数据进行分析，是对密码原理、手段和方法进行分析、攻击的技术和科学。

7-05 “无条件安全的密码体制”和“在计算上是安全的密码体制”有什么区别？

答：如果不论截取者获得了多少密文，但在密文中都没有足够的信息来惟一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。

如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。 7-06 破译下面的密文诗。加密采用替代密码。这种密码是把26个字母（从a到z）中的每一个用其

他某个字母替代（注意，不是按序替代）。密文中无标点符号。空格未加密。 Kfd ktbd fzm eubd kfd pzyiom mztx ku kzyg ur bzha kfthcm ur mfudm zhx Mftnm zhx mdzythc pzq ur ezsszcdm zhx gthcm zhx pfa kfd mdz tm sutythc

Fuk zhx pfdkfdi ntcm fzld pthcm sok pztk z stk kfd uamkdim eitdx sdruid Pd fzld uoi efzk rui mubd ur om zid uok ur sidzkf zhx zyy ur om zid rzk Hu foiia mztx kfd ezindhkdi kfda kfzhgdx ftb boef rui kfzk 答：单字母表是：

明文：a b c d e f g h I j k l m 密文：z s e x d r c f t g y b 明文：n o p q r s t u v w x y z 密文：h u n I m k o l p k a

根据该单字母表，可得到下列与与本题中给的密文对应的明文：

the time has come the walrus said to talk of many things of shoes amd ships and sealing wax of cabbages and kings and why the sea is boiling hot and whether pigs have wings but wait a bit the oysters cried before we have our chat for some of us are out of breath and all of us are fat no hurry said the carpenter they thanked him much for that

7-07对称密钥体制与公钥密码体制的特点各如何？各有何优缺点？

答：在对称密钥体制中，它的加密密钥与解密密钥的密码体制是相同的，且收发双方必须共享密钥，对称密码的密钥是保密的，没有密钥，解密就不可行，知道算法和若干密文不足以确定密钥。公钥密码体制中，它使用不同的加密密钥和解密密钥，且加密密钥是向公众公开的，而解密密钥是需要保密的，发送方拥有加密或者解密密钥，而接收方拥有另一个密钥。

两个密钥之一也是保密的，无解密密钥，解密不可行，知道算法和其中一个密钥以及若干密文不能确定另一个密钥。

优点：对称密码技术的优点在于效率高，算法简单，系统开销小，适合加密大量数据。对称密钥算法具有加密处理简单，加解密速度快，密钥较短，发展历史悠久等优点。

缺点：对称密码技术进行安全通信前需要以安全方式进行密钥交换，且它的规模复杂。 公钥密钥算法具有加解密速度慢的特点，密钥尺寸大，发展历史较短等特点。

46

7-08为什么密钥分配是一个非常重要但又十分复杂的问题？试举出一种密钥分配的方法。 答：密钥必须通过最安全的通路进行分配。可以使用非常可靠的信使携带密钥非配给互相通信的各用户，多少用户越来越多且网络流量越来越大，密钥跟换过于频繁，派信使的方法已不再适用。 举例：公钥的分配，首先建立一个值得信赖的机构（认证中心CA），将公钥与其对应的实体进行绑定，每个实体都有CA发来的证书，里面有公钥及其拥有者的标识信息，此证书被CA进行了数字签名，任何用户都可从可信的地方获得CA的公钥，此公钥可用来验证某个公钥是否为某个实体所拥有。

7-09 公钥密码体制下的加密和解密过程是怎么的？为什么公钥可以公开？如果不公开是否可以提高安全性？

答：加密和解密过程如下：

（1）、密钥对产生器产生出接收者的一对密钥：加密密钥和解密密钥；

（2）、发送者用接受者的公钥加密密钥通过加密运算对明文进行加密，得出密文，发送给接受者 ；

接受者用自己的私钥解密密钥通过解密运算进行解密，恢复出明文；

因为无解密密钥，解密是不可行的，所以公钥可以公开，知道算法和其中一个密钥以及若干密文不能确定另一个密钥。

7-10 试述数字签名的原理 答：数字签名采用了双重加密的方法来实现防伪、防赖。其原理为： 被发送文件用SHA编码加密产生128bit的数字摘要。然后发送方用自己的私用密钥对摘要再加密，这就形成了数字签名。将原文和加密的摘要同时传给对方。对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要。将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。

7-11 为什么需要进行报文鉴别？鉴别和保密、授权有什么不同？报文鉴别和实体鉴别有什么区别？

答：(1)使用报文鉴别是为了对付主动攻击中的篡改和伪造。当报文加密的时候就可以达到报文鉴别的目的，但是当传送不需要加密报文时，接收者应该能用简单的方法来鉴别报文的真伪。

(2)鉴别和保密并不相同。鉴别是要验证通信对方的确是自己所需通信的对象，而不是其他的冒充者。鉴别分为报文鉴别和实体鉴别。授权涉及到的问题是：所进行的过程是否被允许(如是否可以对某文件进行读或写)。

(3)报文鉴别和实体鉴别不同。报文鉴别是对每一个收到的报文都要鉴别报文的发送者，而实体鉴别是在系统接入的全部持续时间内对和自己通信的对方实体只需验证一次。

7-12 试述实现报文鉴别和实体鉴别的方法。

答：(1)报文摘要MD是进行报文鉴别的简单方法。A把较长的报文X经过报文摘要算法运算后得出很短的报文摘要H。然后用自己的私钥对H进行D运算，即进行数字签名。得出已签名的报文摘要D(H)后，并将其追加在报文X后面发送给B。B收到报文后首先把已签名的D(H)和报文X分离。然后再做两件事。第一，用A的公钥对D(H)进行E运算，得出报文摘要H。第二，对报文X进行报文摘要运算，看是否能够得出同样的报文摘要H。如一样，就能以极高的概率断定收到的报文是A产生的。否则就不是。

(2)A首先用明文发送身份A和一个不重数RA给B。接着，B响应A的查问，用共享的密钥KAB对RA加密后发回给A，同时也给出了自己的不重数RB。最后，A再响应B的查问，用共享的密钥KAB对RB加密后发回给B。由于不重数不能重复使用，所以C在进行重放攻击时无法重复使用是哟截获的不重数。 7-13 报文的保密性与完整性有何区别？什么是MD5？

答：(1)报文的保密性和完整性是完全不同的概念。

保密性的特点是：即使加密后的报文被攻击者截获了，攻击者也无法了解报文的内容。 完整性的特点是：接收者接收到报文后，知道报文没有被篡改或伪造。

(2)MD5是[RFC1321]提出的报文摘要算法，目前已获得了广泛的应用。它可以对任意长的报文进行运算，然后得出128bit的MD报文摘要代码。算法的大致过程如下：

①先将任意长的报文按模264计算其余数(64bit)，追加在报文的后面。这就是说，最后得出的MD5代码已包含了报文长度的信息。

②在报文和余数之间填充1~512bit，使得填充后的总长度是512的整数倍。填充比特的首位是1，后面

47

都是0。

③将追加和填充的报文分割为一个个512bit的数据块，512bit的报文数据分成4个128bit的数据依次送到不同的散列函数进行4论计算。每一轮又都按32bit的小数据块进行复杂的运算。一直到最后计算出MD5报文摘要代码。

这样得出的MD5代码中的每一个比特，都与原来的报文中的每一个比特有关。

7-14 什么是重放攻击？怎样防止重放攻击？

答：(1)入侵者C可以从网络上截获A发给B的报文。C并不需要破译这个报文(因为这可能很花很多时间)而可以直接把这个由A加密的报文发送给B，使B误认为C就是A。然后B就向伪装是A的C发送许多本来应当发送给A的报文。这就叫做重放攻击。

(2)为了对付重放攻击，可以使用不重数。不重数就是一个不重复使用的大随机数，即“一次一数”。

7-15 什么是“中间人攻击”？怎样防止这种攻击？ 答：(1) 中间人攻击（Man-in-the-Middle Attack，简称“MITM攻击”）是一种“间接”的入侵攻击， 这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机，使“中间人”能够与原始计算机建立活动连接并允许其读取或篡改传递的信息，然而两个原始计算机用户却认为他们是在互相通信，因而这种攻击方式并不很容易被发现。所以中间人攻击很早就成为了黑客常用的一种古老的攻击手段，并且一直到今天还具有极大的扩展空间。

(2) 要防范MITM攻击，我们可以将一些机密信息进行加密后再传输，这样即使被“中间人”截取也难以破解，另外，有一些认证方式可以检测到MITM攻击。比如设备或IP异常检测：如果用户以前从未使用某个设备或IP访问系统，则系统会采取措施。还有设备或IP频率检测：如果单一的设备或IP同时访问大量的用户帐号，系统也会采取措施。更有效防范MITM攻击的方法是进行带外认证。

7－16 试讨论Kerberos协议的优缺点。

答：Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性。

概括起来说Kerberos协议主要做了两件事：Ticket的安全传递； Session Key的安全发布。

再加上时间戳的使用就很大程度上的保证了用户鉴别的安全性。并且利用Session Key，在通过鉴别之后Client和Service之间传递的消息也可以获得Confidentiality(机密性), Integrity(完整性)的保证。不过由于没有使用非对称密钥自然也就无法具有抗否认性，这也限制了它的应用。不过相对而言它比X.509 PKI的身份鉴别方式实施起来要简单多了。

7－17因特网的网络层安全协议族Ipsec都包含哪些主要协议？

答：在Ipsec中最主要的两个部分就是：鉴别首部AH和封装安全有效载荷ESP。

AH将每个数据报中的数据和一个变化的数字签名结合起来，共同验证发送方身份，使得通信一方能够确认发送数据的另一方的身份，并能够确认数据在传输过程中没有被篡改，防止受到第三方的攻击。它提供源站鉴别和数据完整性，但不提供数据加密。

ESP提供了一种对IP负载进行加密的机制，对数据报中的数据另外进行加密，因此它不仅提供源站鉴别、数据完整性，也提供保密性。

IPSec是IETF（Internet Engineering Task Force，Internet工程任务组）的IPSec小组建立的一套安全协作的密钥管理方案，目的是尽量使下层的安全与上层的应用程序及用户独立，使应用程序和用户不必了解底层什么样的安全技术和手段，就能保证数据传输的可靠性及安全性。

IPSec是集多种安全技术为一体的安全体系结构，是一组IP安全协议集。IPSec定义了在网际层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。

7-18 试简述SSL和SET的工作过程。

答：首先举例说明SSL的工作过程。假定A有一个使用SSL的安全网页，B上网时用鼠标点击到这个安全网页的链接。接着，服务器和浏览器就进行握手协议，其主要过程如下。 （1）浏览器向服务器发送浏览器的SSL版本号和密码编码的参数选择。

48

（2）服务器向浏览器发送服务器的SSL版本号、密码编码的参数选择及服务器的证书。证书包括服务器的RSA分开密钥。此证书用某个认证中心的秘密密钥加密。

（3）浏览器有一个可信赖的CA表，表中有每一个CA的分开密钥。当浏览器收到服务器发来的证书时，就检查此证书是否在自己的可信赖的CA表中。如不在，则后来的加密和鉴别连接就不能进行下去；如在，浏览器就使用CA的公开密钥对证书解密，这样就得到了服务器的公开密钥。

（4）浏览器随机地产生一个对称会话密钥，并用服务器的分开密钥加密，然后将加密的会话密钥发送给服务器。

（5）浏览器向服务器发送一个报文，说明以后浏览器将使用此会话密钥进行加密。然后浏览器再向服务器发送一个单独的加密报文，表明浏览器端的握手过程已经完成。

（6）服务器也向浏览器发送一个报文，说明以后服务器将使用此会话密钥进行加密。然后服务器再向浏览器发送一个单独的加密报文，表明服务器端的握手过程已经完成。 （7）SSL的握手过程到此已经完成，下面就可开始SSL的会话过程。

下面再以顾客B到公司A用SET购买物品为例来说明SET的工作过程。这里涉及到两个银行，即A的银行（公司A的支付银行）和B的银行（给B发出信用卡的银行）。 （1）B告诉A他想用信用卡购买公司A的物品。

（2）A将物品清单和一个唯一的交易标识符发送给B。

（3）A将其商家的证书，包括商家的公开密钥发送给B。A还向B发送其银行的证书，包括银行的公开密钥。这两个证书都用一个认证中心CA的秘密密钥进行加密。 （4）B使用认证中心CA的公开密钥对这两个证书解密。

（5）B生成两个数据包：给A用的定货信息OI和给A的银行用的购买指令PI。 （6）A生成对信用卡支付请求的授权请求，它包括交易标识符。

（7）A用银行的公开密钥将一个报文加密发送给银行，此报文包括授权请求、从B发过来的PI数据包以及A的证书。

（8）A的银行收到此报文，将其解密。A的银行要检查此报文有无被篡改，以及检查在授权请求中的交易标识符是否与B的PI数据包给出的一致。

（9）A的银行通过传统的银行信用卡信道向B的银行发送请求支付授权的报文。

（10）一旦B的银行准许支付，A的银行就向A发送响应（加密的）。此响应包括交易标识符。 （11）若此次交易被批准，A就向B发送响应报文。

7-19 电子邮件的安全协议PGP主要都包含哪些措施？

答：PGP是一种长期得到广泛使用和安全邮件标准。PGP是RSA和传统加密的杂合算法，因为RSA算法计算量大，在速度上不适合加密大量数据，所以PGP实际上并不使用RSA来加密内容本身，而是采用IDEA的传统加密算法。PGP用一个随机生成密钥及IDEA算法对明文加密，然后再用RSA算法对该密钥加密。收信人同样是用RSA解密出这个随机密钥，再用IDEA解密邮件明文。

7-20 路加密与端到端加密各有何特点？各用在什么场合？ 答：（1）链路加密

优点：某条链路受到破坏不会导致其他链路上传送的信息被析出，能防止各种形式的通信量析出；不会减少网络系统的带宽；相邻结点的密钥相同，因而密钥管理易于实现；链路加密对用户是透明的。 缺点：中间结点暴露了信息的内容；仅仅采用链路加密是不可能实现通信安全的；不适用于广播网络。

（2）端到端加密

优点：报文的安全性不会因中间结点的不可靠而受到影响；端到端加密更容易适合不同用户服务的要求，不仅适用于互联网环境，而且同样也适用于广播网。

缺点：由于PDU的控制信息部分不能被加密，所以容易受到通信量分析的攻击。同时由于各结点必须持有与其他结点相同的密钥，需要在全网范围内进行密钥管理和分配.

为了获得更好的安全性，可将链路加密与端到端加密结合在一起使用。链路加密用来对PDU的目的地址进行加密，而端到端加密则提供了对端到端数据的保护。

7-21 试述防火墙的工作原理和所提供的功能。什么叫做网络级防火墙和应用级防火墙？

答：防火墙的工作原理：防火墙中的分组过滤路由器检查进出被保护网络的分组数据，按照系统管理员事先设置好的防火墙规则来与分组进行匹配，符合条件的分组就能通过，否则就丢弃。

49

防火墙提供的功能有两个：一个是阻止，另一个是允许。阻止就是阻止某种类型的通信量通过防火墙。允许的功能与阻止的恰好相反。不过在大多数情况下防火墙的主要功能是阻止。

网络级防火墙：主要是用来防止整个网络出现外来非法的入侵，属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制定好的一套准则的数据，而后者则是检查用户的登录是否合法。

应用级防火墙：从应用程序来进行介入控制。通常使用应用网关或代理服务器来区分各种应用。

第八章 因特网上的音频/视频服务

8-1音频/视频数据和普通文件数据都有哪些主要区别？这些区别对音频/视频数据在因特网上传送所用的协议有哪些影响？既然现有的电信网能够传送音频/视频数据，并且能够保证质量，为什么还要用因特网来传送音频/视频数据呢？ 答：

区别

第一，多音频/视频数据信息的信息量往往很大，

第二，在传输音频/视频数据时，对时延和时延抖动均有较高的要求。

影响

如果利用TCP协议对这些出错或丢失的分组进行重传，那么时延就会大大增加。因此实时数据的传输在传输层就应采用用户数据报协议UDP而不使用TCP协议。

电信网的通信质量主要由通话双方端到端的时延和时延抖动以及通话分组的丢失率决定。这两个因素都是不确定的，因而取决于当时网上的通信量，有网络上的通信量非常大以至于发生了网络拥塞，那么端到端的网络时延和时延抖动以及分组丢失率都会很高，这就导致电信网的通信质量下降。

8-2 端到端时延与时延抖动有什么区别？产生时延抖动的原因时什么？为什么说在传送音频/视频数据时对时延和时延抖动都有较高的要求？

答：端到端的时延是指按照固定长度打包进IP分组送入网络中进行传送；接收端再从收到的IP包中恢复出语音信号，由解码器将其还原成模拟信号。时延抖动是指时延变化。数据业务对时延抖动不敏感，所以该指标没有出现在Benchmarking测试中。由于IP上多业务，包括语音、视频业务的出现，该指标才有测试的必要性。

产生时延的原因

IP数据包之间由于选择路由不同，而不同路由间存在不同时延等因素，导致同一voip的数据包之间会又不同的时延，由此产生了时延抖动。

把传播时延选择的越大，就可以消除更大的时延抖动，但所要分组经受的平均时延也增大了，而对某些实时应用是很不利的。如果传播时延太小，那么消除时延抖动的效果就较差。因此播放时延必须折中考虑。

8-3 目前有哪几种方案改造因特网使因特网能够适合于传送/音频视频数据？

答： 1.大量使用光缆，是网络的时延和时延抖动减小，使用具有大量高速缓存的高数路由器，在网上传送实时数据就不会有问题。

2.将因特网改造为能够对端到端的带宽实现预留，从而根本改变因特网的协议栈— 从无连接的网络变为面向连接的网络。

3.部分改动因特网的协议，也能够使多媒体信息在因特网上的传输质量得到改进。

8-4 实时数据和等时数据是一样的意思吗？为什么说因特网是不等时的？实时数据都有哪些特点？试说播放延时的作用？

答： 实时数据和等时数据不是一样的意思。

模拟的音频/视频信号只有经过数字化以后才能在因特网上传送。就是对模拟信号要经过采样和模数转换为数字信号，然后将一定数量的比特组组装成分组进行传送。这些分组在发送时的时间间隔时恒定的，但传统的因特网本身是非等时的。这是因为在时延IP协议的因特网中，每一个分组是独立的传送，因而这些分组在到达接收端时就变成非等时的。 消除时延的抖动。

8-5流式存储音频/视频，流式实况音频/视频和交互式音频/视频都有何区别？

50

本文来源：https://www.bwwdw.com/article/7jv5.html