现代网络安全技术 - 万水书苑-出版资源网

全文

(1)第 1 章计算机网络概述. 知识点： z z z z. 互联网的发展计算机网络的特点计算机网络模型和传输协议数据通信的基本知识. 本章导读：计算机网络是当今时代获取信息的重要来源、重要工具，也是信息社会的重要标志。本章主要介绍互联网的起源及其技术发展，网络的模型和协议以及数据传输的基本知识。. 1.1 互联网的产生和发展在当今世界，如果有人评选哪一门技术是发展速度最快的技术，那么计算机技术和网络技术无疑将会成为最有力的竞争者。比尔·盖茨谈到互联网的发展史时，曾经感慨地说过：“我们正注视着一件有历史意义的大事发生，它将震撼整个世界，就像科学方法的发现、印刷术的发明以及工业时代的到来那样震撼我们。” 毫无疑问，计算机的应用与互联网的诞生是人类文明史上的伟大变革。尼葛洛庞蒂在《数字化生存》中描述到：“人类正在从以物质材料为核心的时代进入以数字化信息网络为核心的时代。”“计算机不再只和计算机有关，它决定我们的生存，并且正在成为当今时代的最强音。” 人类的经济生产和生活，正在告别以物质和能源为中心的“工业时代” ，进入以知识和信息为中心的“网络信息时代”。计算机和互联网正在并将继续改变一个社会的认知结构、思维方式和生活习惯。 1.1.1. 互联网的概念和发展历程. 互联网（Internet，又称因特网、网际网），它的概念目前得到了普遍的认可，即互联网是指利用通信设备和线路连接设备，将地理位置不同，且功能独立的多个计算机系统互联起来，用功能完善的网络软件实现网络中的资源共享、交互通信、协同工作和信息传递的系统。互联网发展最初可以追溯到 20 世纪 60 年代，当时正处在冷战时期，美国为了保护军事指挥中心，顾虑其在战争中如果遭到前苏联攻击将出现瘫痪，于是开始设计一个由多个指挥点组成的分散指挥系统，即美国国防研究计划署（ARPA）的一项计划——ARPANET，并于 1969 年夏季开始正式运行。它由三个大学计算机站，一个州立计算机站互相连接。ARPANET 可以.

(2) 2. 现代网络安全技术. 提供通信网络，用于军事将领们、科学家们共享数据、远程访问计算机。研究人员也可以很方便的在研究项目上共同合作，讨论共同感兴趣的问题。随着 ARPANET 的运行工作进展顺利，众多科研机构、学校均要求加入该网络系统。1972 年，ARPANET 实验室首次成功发出了世界上第一封电子邮件，并在随后的日子中，通过无线电话系统、光纤通信设备、地面移动网络等技术进行连接，网络规模日益扩大，日趋成熟。在 ARPANET 的发展过程中，诞生了一种新的通信技术——分组交换技术。这种技术是将传输的数据和报文分割成许多具有统一格式的分组，并以此为传输的基本单元，在每段前面加上一个标有接受信息的地址标识，进行存储转发的传输。因为它具有线路利用率高、优先权、不易引起网络堵塞等特点，该技术被广泛应用于计算机网络中。 20 世纪 70 年代中期，网络发展进入了新的阶段。在这个阶段，网络协议的研究成为热点和主流。1974 年 ARPA 的鲍勃·凯恩和斯坦福的温登·泽夫合作，提出了 TCP/IP 协议。 1976 年美国 Xerox 公司开发了基于载波监听多路访问/冲突检测（CSMA/CD）、用同轴电缆连接的计算机局域网，即以太网。1979 年，Internet 浮出水面。这一系列研究，极大推动了网络的发展。从 20 世纪 80 年代开始，网络进入了实用阶段。1980 年，综合业务数字网（ISDN）成为西方发达国家研究的主流，它可以将电话信号转换成计算机数据，还可以解决电视、电话、电子银行等各种信号的交换。互联网在这一时期主要形式是教学、科研和通信的学术网络，在发达国家的高校和科研机构得到了广泛使用。同时，个人计算机的出现、操作简单的操作系统、以及功能强大网络服务器的出现，使得许多公司也涌进了 Internet 的浪潮。随着需求的增长， Internet 的各种应用也层出不穷，蓬勃发展，如 WWW、FTP、Telnet 等，尤其是 WWW 技术的发展促使了 Internet 的更广泛使用。从 1995 年开始，互联网进入了市场经济的商业化阶段。如今，Internet 覆盖了全球 180 多个国家，涉及军事、交通、电信、教育、商业、政府机关等各行各业。经过 40 多年的发展， Internet 己经成为连通世界上几乎所有国家、超过一亿四千万台主机的国际互联网，成为世界上最大的计算机网络，并且成为事实上的“信息高速公路” （Info Highway）。正如托夫勒指出的：“电脑网络的建立与普及将彻底地改变人类生存及生活模式。而控制与掌握网络的人，就是人类未来命运的主宰。谁掌握了信息，控制了网络，谁就将拥有整个世界。” 1.1.2. 互联网的特征. 互联网将全球联为一体，构成了一个独立的网络空间，这个空间具有以下几个明显特征，如图 1-1 所示。 1．推动性网络的出现和发展，不断改变着人们的思维、生产和生活方式，极大地推动了社会生产力的进步，是一场颇具推动性的技术革命。特别是网络引发的信息技术革命，例如电子技术、通信技术、激光技术、生物技术、人工智能技术等，促使一系列新材料、新能源的不断涌现和更新换代。无论是宏观上推动人类文明的进步，还是微观上具体到个人的发展，网络的诞生都做出了卓越的贡献。 2．广泛性网络中包含的信息资源数量十分庞大，内容相当丰富，包罗万象，几乎覆盖了自然科学、.

(3) 第1章. 计算机网络概述. 人文科学、社会科学等各个领域，并且其数量也在以惊人的速度增长。除去信息的数量，同时也可以看到信息的种类也是不胜枚举。网络信息的基本形式有：文本、数据、图形、图像、视频、音频、动画等。推动性. 广泛性. 网络特点时效性. 平等性. 技术性. 图 1-1. 互联网的特征. 3．时效性网络中的信息存放比较分散，而且也可随时做出修改与变更，动态性和时效性较强。随着时间的推移，信息将有可能老化，信息老化主要表现在两个方面：完全老化，丧失自身价值；自身尚有价值，但是被新信息包容、超越甚至替代。网络中的信息更新速率远远超过了传统的通信方式。 4．平等性一旦各类信息进入网络，所有与网络连接的人们只要拥有简单的上网设备，就可以上网获得信息，网络空间真正实现了人人平等，信息人人共享。网民已经完全抛开了现实社会中年龄、社会地位、资历、学历等的差异，可以随心所欲地发表个人观点。 5．技术性互联网是由计算机系统和通信系统搭建起来的网络空间，它的正常运行需要多种信息技术的共同作用支持。这些技术主要有：增强人类信息器官、扩展信息能力的信息获取技术；提高人类记忆功能的信息存储技术；提高人类思维功能的信息处理技术；提高人类沟通手段的信息传输技术以及扩展人类效应功能的信息控制技术等。 1.1.3. 网络的分类. 根据不同的分类方法，计算机网络可以有很多不同的分类。目前最常用的分类方法是根据计算机网络的地理范围大小来分和按照拓扑结构来分。 1．按照地理范围划分网络按照地理位置来划分的话，可以分为局域网（LAN）、城域网（MAN）、广域网（WAN）。（1）局域网。局域网（Local Area Network），简称LAN，是将某一区域内的各种数据通信设备互连在一起的网络，通常是由电缆来实现连接，使得在同一区域的用户可以相互通信，共享资源。“某一区域”指的是一个办公楼、一座建筑物、一个仓库或者一个学校等，一般指 1000～2000m 的地域范围以内。它具有如下特点：. 3.

(4) 4. 现代网络安全技术. 具有较高数据传输速率的物理通信信道。 z 通信信道具有很低且比较稳定的误码率。 z 一般是内部专用的网络。 z 网络结构比较简单，所能链接的计算机数量有限。（2）城域网。城域网（Metropolitan Area Network，简称 MAN），通常是指网络中的所有主机分布在同一个区域内，这个区域的覆盖范围大约是 10～100KM 之内。城域网可以是一个单位或几个单位共同构建的，也可以是一种公用设施，将多个局域网连接在一起。（3）广域网。广域网（Wide Area Network，简称 WAN）有时也称远程网，它是局域网和城域网的有机扩充。广域网可以看成是局域网或城域网通过网桥、路由器等网络设备，跨地域链接很大的物理范围，甚至能连接多个城市或国家，乃至全世界而形成的网络系统。早期的广域网是分组交换网，基于 X.25 协议。此后随着光通信技术和分组交换技术的发展，帧中继网和 ATM 网成为广域网广泛应用的技术。现在，数字数据网、卫星通信网、移动通信网等成为极具发展前景的广域网。广域网可以利用光纤、微波或者卫星将分布在不同地区的局域网或计算机系统互连起来，达到资源共享的目的。广域网具有如下特点： z 可以进行大容量与突发性的通信。 z 设备接口的开放性与基础协议的规范性。 z 通信服务与网络管理的完善。 z 适应综合业务服务的要求。（4）互联网。互联网是指两个及两个以上的多个网络相互连接所形成的综合广域网络。局域网、城域网、广域网和互联网的关系如图 1-2 所示。 z. 图 1-2. 局域网、城域网、广域网与互联网的关系. 2．按照网络拓扑结构划分按照网络的一般拓扑结构来分，网络可以分为：星型网络、总线型网络、环型网络、树状网络、全互联网络和网状网络，如图 1-3 所示。.

(5) 第1章. （a）星型. （d）树状. （b）总线型. （e）全交互式图 1-3. 计算机网络概述. （c）环型. （f）网状. 网络拓扑结构. （1）星型网络。星型网络结构是由一个中心结点和一些通过点－点链路连接到中心结点的子结点构成。子结点之间无法直接发生联系，必须都通过中心结点才能实现连接。优点：网络建设方便，结构简单，发生故障时检测便捷，且网络很容易扩展。缺点：中心结点过于重要，一旦发生故障，整个网络就会陷入瘫痪，从而影响全网的通信。（2）总线型网络。总线型网络采用一条公用的高速总线来作为传输介质，这条总线连接若干个其他站点，其中的任何一个站点所发送的信号可以通过总线进行传输，也可以被总线中的任何一个站点接收到。优点：网络结构灵活，安装方便，铺设的成本较低，且某一个站点发生故障不会影响到全局网络。缺点：安全性不高，传输距离较短，若连接站点过多，则总线的传输效率将会大大降低，且一旦总线介质出现问题，整个网络也会陷入瘫痪之中。（3）环型网络结构。环型网络是由若干个站点和点－点链路首尾相连形成的闭合环形通信线路。优点：结构简单，易于安装、监控和实现，数据传输有明确的延长时间。缺点：容量有限，每个站点都是影响网络可靠性的“隐形杀手”，一旦某一个站点发生故障，那么整个环上面的站点都将面临无法通信的局面。而且环型网络的维护相当烦琐，如果有新的站点加入或者旧的站点退出，那么环形的复原也将会变得很复杂。（4）树状网络。树状网络可以看作是总线型网络和星型网络的扩展。它是在总线型网络的基础上附加星型网络，使得网络中的计算机站点可以按照树的形状排列。越接近树的顶部，其站点结点的位置就越重要，处理能力就越强。它的特点就是底层站点无法解决的问题，请求. 5.

(6) 6. 现代网络安全技术. 中层站点来解决，中层站点无法处理的问题请求高层站点来处理。其优点缺点可以参考总线型网络和星型网络。（5）全互联网络。在全互联网络中，每一个站点和网络中的其他站点都相互连接，可以直接进行通信。它的优点：不受路由的约束，站点之间通信方便快捷。它的缺点：网络结构复杂，每增加一个站点，投入的成本也要大量增加。（6）网状网络。网状网络没有一个固定的网络结构，它可以是上面介绍的网络拓扑结构中的任意一种或几种的综合，抑或是新的任意形状的拓扑结构。因此网状网络又被称为无规则网络，比较适合于大范围网络的互连。. 1.2 网络模型与网络协议网络的体系结构是描述如何总体规划计算机网络软硬件的设计与布置，以实现整个数据通信系统的运行。可以从两个方面来理解： z 把它看作是协议和层次的结合。 z 它的本质就是计算机网络的逻辑构成，即描述网络通信功能的分层方式、协议标准和信息格式。因此，网络的体系结构即是计算机之间相互通信的层次，以及各层中的协议和层次之间结构的集合。 1.2.1. 网络结构演变. 网络结构的发展经历了以下几个阶段： 1．点对点网络这是网络最初的结构，网络由远程终端、连接线路和主计算机构成。如图 1-4 所示。. 图 1-4. 点对点网络. 2．主机－终端计算机网络这是计算机网络发展到一定阶段的产物，它由一个主计算机和多个客户终端构成，如图 1-5 所示。其中，主计算机是中心，多个客户终端分散在它的周围。用户通过终端，可以在主计算机操作系统的管理下共享各种资源。 3．服务器－计算机网络结构主机－终端网络在当时的环境下推进了通信的发展。但是它也有明显的缺点，就是一旦主机出现故障，整个系统将全面瘫痪。而且由于终端不能帮助主机处理事务，很容易造成主机负担过重，影响通信效率。为了克服以上问题，服务器－计算机网络结构应运而生。它们之间.

(7) 第1章. 计算机网络概述. 可以由服务器连接起来，交换彼此的信息、数据，也可共享各个计算机系统的软件硬件资源，还可以在服务器的驱动下，共同完成某一项任务或作业。目前的客户机/服务器（Client/Server）和工作站/文件服务器（Workstation/File Server）就是类似这种结构。如图 1-6 所示。. 图 1-5. 图 1-6. 主机－终端计算机网络. 服务器－计算机网络结构. 7.

(8) 8. 现代网络安全技术. 4．万维网万维网（World Wide Web）是互联网最重要的应用之一，它由欧洲核物理研究中心（ERN）研制，它的大体结构如图 1-7 所示。当时万维网的研究目的是为全球范围的科学家利用 Internet 进行方便地通信，信息共享和信息查询。它建立在客户机/服务器模型之上、以超文本标注语言 HTML（Hyper Markup Language）与超文本传输协议 HTTP（Hyper Text Transfer Protocol）为基础，并提供多种接入方式，比如以太网、ATM 网、令牌环网等。其中 WWW 服务器采用超文本链路来链接信息页，这些信息页既可放置在同一主机上，也可放置在不同地理位置的主机上；链路由统一资源定位器（URL）维持，WWW 客户端软件（即 WWW 浏览器）负责信息显示与向服务器发送请求。目前常用的浏览器有 IE、Firefox 等。. 图 1-7. 万维网体系结构. 5．语义网经历了互联网的发展，万维网创始人 Tim Berners-Lee 在 2001 年提出了语义网的概念。他认为语义网是对现代网络的扩展，其中的信息具有明确的意义，即语义。他认为，因特网在信息表达和检索方面存在缺陷，缺陷的原因主要在于其设计目的是面向用户直接阅读和处理，并没有提供给计算机可读的语义信息，因此限制了计算机在信息检索中的自动分析处理以及进一步智能化的信息处理能力。语义网是一种可以理解人类语义的分层互联的信息空间结构，它可以使人与计算机之间的交流变得像人与人之间交流一样轻松，能够满足智能主体对 WWW 上异构分布的信息有效检索访问。如图 1-8 所示，语义网主要有 7 层结构。第一层 Unicode 和 URI 是语义网络的基础，负责处理资源的编码和标识资源；第二层 XML+NS+xmlschema 用于表示数据的内容和结构；第三层 RDF+rdfschema 用于描述网络上的资源及其类型；第四层 Ontology vocabulary 用于描述各种资源之间的联系；第五层 Logic 在前面四层的基础上进行逻辑推理操作；第六层 Proof 用来验证推理的正确性；第七层 Trust 用来对资源和服务进行信用评级。.

(9) 第1章. 计算机网络概述. Trust Proof Logic Digital Sigbature. Ontology vocabulary RDF + rdfschema XML + NS + xmlschema Unicode. URI. 图 1-8. 1.2.2. 语义网结构. OSI 参考模型. 网络按逻辑上的分层来组织，优点是为了降低设计的复杂性，使每层建立在下面一层的基础之上。分层的数目，各层的名称、内容与实现的功能可能“因网而异”，但是每一层均为上一层提供一定的服务，且屏蔽掉具体的实现细节。要实现计算机等网络系统互连互通，则各网络系统必须要遵循一定模型标准。国际标准化组织 ISO 在 1983 年就提出了著名的开放系统互连基本参考模型。根据分而治之的原则，ISO 将整个通信功能划分为 7 个层次，也就是 OSI 的七层协议体系结构，这个协议也成为广大厂商努力遵循的标准。 OSI 将组网功能分解为 7 个功能层，划分原则是：（1）网络中各结点都有相同的层次。（2）不同结点的同等层具有相同的功能。（3）同一结点内相邻层之间通过接口通信。（4）每一层使用下层提供的服务，并向其上层提供服务。（5）不同结点的同等层按照协议实现对等层之间的通信。每一层都确定了各自的功能。各层之间通过功能调用相互联系，其中下层为上层提供功能接口，各层的实现相互透明。这样就可以使设备的兼容性问题在某一个特定的功能层中隐蔽起来，对它的上层和下层透明。这可以实现双重的目的：既保证信息在系统间实现传输，又允许某些通信技术和设备有局部的差异。 OSI 体系结构如图 1-9 所示。由底往上依次为：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。 OSI 各层的功能： 1．物理层物理层是 OSI 模型的第一层，它的主要功能是利用物理传输介质为数据链路层提供物理连接和故障检测指示，以便透明的传送比特流。它还规定了建立、维持、拆除物理链路所需要的机械的、电气的、功能的、规章的以及过程的各种特性。在物理层中工作的主要设备是中继器和集线器。. 9.

(10) 10. 现代网络安全技术. 7 应用层 6 表示层 5 会话层 4 传输层 3 网络层 2 数据链路层 1 物理层图 1-9. OSI 七层结构. 2．数据链路层数据链路层是 OSI 模型的第二层，它在不可靠的物理介质上将源主机输送的数据流可靠的传输到相邻结点的目标主机，并指定拓扑结构和提供硬件寻址。该层提供的功能主要有：提供数据链路的流量控制；网络层实体间对数据链路进行建立、维持和解除方面的管理，并提供数据的发送和接受、数据的检错和重发；调节发送端的发送速率等。 3．网络层网络层是 OSI 模型的第三层，是通信子网的最高层，它的目的是实现两个端系统之间的数据透明传送，为传输层提供最基本的端到端数据传送服务。其主要功能是：负责对数据包进行路由选择和中继；提供网络连接多路复用数据链路连接，来提高利用率；提供流量控制服务，对网络连接上传输的网络服务数据单元进行有效的控制等。 4．传输层传输层是 OSI 模型的第四层，是面向应用的最低层次。它在源主机和目标主机之间提供端到端的、可靠的透明数据传输，使高层用户在相互通信的时候不用关心实现细节。它的主要功能是提供逻辑通信，差错检测，通过相关的传输层控制协议实现数据流的均匀传输。在传输层的协议主要有面向连接的传输控制协议 TCP、面向无连接的传输控制协议 UDP 等。 5．会话层会话层是 OSI 模型的第五层，它建立在传输层之上，利用传输层提供的服务，使两个会话实体在不同机器上建立、使用和结束会话，并进行管理。它的功能主要有：负责在两个结点之间建立端连接，并对主机之间的会话进程进行管理；此外，会话层还利用校验点来检测数据的同步性，如果通信失效，那么它可以从校验点继续恢复通信。 6．表示层表示层是 OSI 模型的第六层，它可以为不同主机之间通信提供一种公共语言，通过一些编码规则定义通信中的信息所需要的传送语法，来保证一个主机应用层信息可以被另一个主机的应用程序理解。表示层可以通过数据的加密、解密、压缩、格式转换等方式来保证数据传输的安全问题。 7．应用层应用层为 OSI 模型中的最高层，它负责管理应用程序间的通信，为用户、操作系统或网络应用程序提供访问网络服务的接口。它提供多种类型的服务，主要有单机上的多种服务、并发性服务、面向连接和无连接的服务、支持多种协议的服务以及复杂的客户机/服务器交互服.

(11) 第1章. 计算机网络概述. 务。由于它的功能强大，因此在这一层拥有众多应用协议，应用最为广泛的主要有：文件传输协议 FTP，超文本传输协议 HTTP，邮件传输协议 SMTP、POP、MIME、IMAP 等。 1.2.3. TCP/IP 参考模型. 应用层. TCP/IP（Transmission Control Protocol/Internet Protocol），全称为传输控制协议/互联网协议，它是一组实现网络之间相互连接的通信协议，于 20 世纪 70 年代由 ARPA 研发成功。目前 TCP/IP 已经成为互联网的通信标准，作为互联网的传输协议，TCP/IP 实现了全球范围内计算机之间的互连。 TCP/IP 的参考模型是一个 4 个层次结构，它们分别是：网络接口层、网际互连层、传输层、和应用层，如图 1-10 所示。这四个层次的功能和关系如图 1-11 所示。. 传输层网际互联层网络接口层. 图 1-10. TCP/IP 体系结构. 图 1-11 TCP/IP 各层次功能与联系. 其中，应用层负责处理特定的应用程序细节。几乎各种基于 TCP/IP 的系统都会提供以下通用的应用程序： z Telnet 远程登录。 z FTP 文件传输协议。 z HTML 超文本传输协议。 z SMTP 简单邮件传输协议。 z SNMP 简单网络管理协议。 z POP 邮局协议。 z DNS 域名系统。传输层主要为两台主机上的应用程序提供端到端的通信。该层主要包括两个协议：TCP. 11.

(12) 12. 现代网络安全技术. 和 UDP。其中 TCP 为其提供可靠性的数据通信，UDP 则为应用层提供一种非常简单的数据包递交服务。网际互联层有时也称为互联网层，它负责处理分组在网络中的活动，例如分组的路由选择。在 TCP/IP 中，该层包括 IP 协议（网际协议），ICMP 协议（因特网控制报文协议），IGMP 协议（因特网组管理协议）。网络接口层有时也称为数据链路层。通常包括操作系统中设备驱动程序和计算机中对应的网络接口卡。它们一起处理与电缆（或其他传输媒体）相关的物理接口细节。网络接口层是由数据链路层和物理层组合而成的，主要负责把数据包发送到网络传输介质上，以及在传输介质上接收数据包。它并没有应用新的标准，而是有效利用原有的数据链路层和物理层标准。 1.2.4. 网络协议. 网络层次的划分使得网络便于管理和维护，各层只需要完成本层的功能即可，各层提供接口来与别层联系，结构上可分割开，灵活性好。从概念上讲，当两台主机进行通信时，它们的相应层也进行对话。不同网络主机的各层称为对等实体，对等实体之间的通信叫做虚通信。实际上，网络中计算机之间的通信在网络的最低层（物理层），只有那里才存在真正的物理连接。两台主机之间要通信需要双方有一定的通信规则，这个规则就称为协议。互联网协议（Internet Protocol，即 IP）是 TCP/IP 协议族中最为重要的协议，它提供不可靠、无连接的数据包传送服务。IP 协议分为两个版本：IPv4 和 IPv6。目前使用的是 IPv4 版本， IPv6 版本已经处在试用和推广阶段。 1．IPv4 IPv4 是互联网协议（Internet Protocol，IP）的第 4 版。（1）地址类型。IP 地址是 TCP/IP 模型中网际互联层所使用的地址标识符，它代表着互联网上每一个独立的结点。IP 地址是号码指派公司 ICANN 根据主机所在网络的名称进行分配。它采用分层结构，主要由网络号和主机号两部分构成。IPv4 使用 32 位地址，一般的 IP 地址用 4 个小数点分开的十进制数（0～255）来表示。 ICANN 根据十进制数的取值不同，将 IP 地址分为五大类，用 A、B、C、D、E 来表示，如图 1-12 所示。 z A 类地址。它的网络号长度为 7 位，主机号长度为 24 位，地址范围是从 1.0.0.0～ 127.255.255.255。它提供的网络数量有 27−2=126 个，提供的主机数量为 224−2=16777214 个。 z B 类地址。它的网络号长度为 14 位，主机号长度为 16 位，地址范围是从 128.0.0.0～ 191.255.255.255。它提供的网络数量有 214=16384 个，提供的主机数量为 216−2=65534 个。 z C 类地址。它的网络号长度为 21 位，主机号长度为 8 位，地址范围是从 192.0.0.0～ 223.255.255.255。它提供的网络数量有 221=2097152 个，提供的主机数量为 28−2=254 个。 z D 类地址。它的地址主要用于提供多播服务，并不标识网络。它的范围是从 224.0.0.0～ 239.255.255.255。 z E 类地址。它并未使用，属于保留 IP 地址，主要用于试验和将来使用。其地址范围是从 240.0.0.0～255.255.255.255。.

(13) 第1章. 0. 网络号 7 位. 110. A 类地址. 主机号 24 位. 网络号 14 位. 10. B 类地址. 主机号 16 位. 网络号 21 位. 1110. 主机号 8 位. 多播地址 28 位. 11110. C 类地址. D 类地址. E 类地址. 保留. 图 1-12. 计算机网络概述. IP 地址分类. （2）报文格式。IPv4 的报文格式由报头和数据区两部分组成，其报头格式如表 1-1 所示。它主要由以下几个部分构成。表 1-1 IPv4 报头格式版本号 4 位. 报头长度 4 位. 服务类型 8 位. 总长度 16 位. 标志 8 位. 片偏移 13 位. 标识 16 位生存时间 8 位. 协议 8 位. 头标校验和 16 位源 IP 地址 32 位目标 IP 地址 32 位. 可选项. 填充字段. 1）版本号，4 位，表示报文所使用的 IP 协议版本号，目前是 IPv4。 2）报头长度，4 位，以 32 位（4 字节）为单位计算 IPv4 报文的长度，它包括选项和填充字段，其长度域最小值为 5。 3）服务类型，8 位，其作用是指示路由器如何处理数据报文。该字段分为 6 个子字段，如表 1-2 所示。一个报文可以根据自己的需求填写各个参数。表 1-2 优先权优先权 3 位. D（1）. T（1）. R（1）. C（0）. 0. 优先权，3 位，表示数据报处理的优先级，值从 0～7，数值越高，优先权也越高。 D 表示延时，值为 0 表示正常延时，为 1 表示低延时。 T 表示吞吐量，值为 1 表示高吞吐量，为 0 表示常规吞吐量。 R 表示可靠性，值为 1 表示高可靠性，为 0 表示常规可靠性。 C 表示代价，值为 1 表示高代价，为 0 表示低代价。后一位保留，值为 0。 4）总长度，16 位，以字节为单位，用来表示以字节为单位的数据包的总长度。. 13.

(14) 14. 现代网络安全技术. 5）标识，16 位，用来使源站标识一个未分段的分组，使得目标主机能够判断新到的数据段属于哪一个分组。 6）标志，3 位，用于判断报文分段属于哪一个分组。第一位保留，值为 0；第二位标识报文在传输过程中是否允许分段（DF），值为 0 表示可以分段，为 l 则不能分段；第三位标识是否是最后一个段（MF），值为 l 表示该报文后还要分段的报文，否则表示最后一个分段报文。 7）片偏移，16 位，用来表示在较长分组中，分段后某个段在原分组中的相对位置。偏移量以 8 字节为单位。 8）生存时间，8 位，以 s 为单位，故分组的寿命最多为 255s，它防止分组在网络中无限制地兜圈子。 9）协议，8 位，它用于表示网络层所服务的传输层协议的种类。如 6 表示 TCP 协议，而 17 则表示 UDP 协议。 10）头标校验和，16 位，它用于校验报文首部，保证其在传输过程中的完整性和正确性。 11）源 IP 地址和目标 IP 地址，32 位，用来存放发送方源结点和目标结点的 IP 地址。 12）选项，长度不定，主要用来写入关于安全、源路由、筹错报告调试以及其他一些信息的参数。 2．IPv6 IPv6 是下一版本的互联网协议，也可以说是下一代互联网的协议，它的提出最初是因为随着互联网的迅速发展，IPv4 协议的局限性不断被发现，主要有：IPv4 地址将被耗尽；报头的复杂性；缺少安全与保密方法等。而其中最重要的就是地址空间的不足，这必将妨碍互联网的进一步发展。为了扩大地址空间，IPv6 采用 128 位地址长度，几乎可以不受限制地提供地址。按保守方法估算 IPv6 实际可分配的地址，整个地球的每平方米面积上仍可分配 1000 多个地址。在 IPv6 的设计过程中除了一劳永逸地解决了地址短缺问题以外，还考虑了在 IPv4 中处理方法不尽人意的其他问题，主要有端到端 IP 连接、服务质量（QOS）、安全性、多播、移动性、即插即用等。（1）IPv6 地址。从 IPv4 到 IPv6 最显著的变化就是网络地址的长度。与 IPv4 的 32 位地址相比，IPv6 的 128 位地址优势明显。IPv6 的 IP 地址表示方法也与 IPv4 不同，它有 8 个字段，采用四位的十六进制数来表示，并且字段与字段之间的分隔符不再是“.”，而是“：” 。字段中前面为 0 的数值可以直接省略，即使字段全为 0，也可以直接全部省略。比如一个 IPv6 的地址 8000:0000:0000:0000:0123:4567:89AB:CDEF，就可以直接省略为 8000:123:4567:89AB: CDEF。 IPv6 地址主要有三种类型：单播地址、多播地址和任播地址。 1）单播地址。单播就是传统的点对点通信，它位全球连网的计算机提供唯一的地址。这个地址的前缀后面有 5 个域，分别是登记处标识符、提供者标识符、用户标识符、子网标识符以及接口标识符，其结构如图 1-13 所示。 010. 登记处标识符. 提供者标识符. 用户标识符. 子网标识符. 接口标识符. 图 1-13 IPv6 单播地址. 2）多播地址。多播与单播相对应，就是指一点对多点的通信。多播地址由前缀、标志字.

(15) 第1章. 计算机网络概述. 段、范围字段和组标识符构成。其结构如图 1-14 所示。 11111111. 标志 4 位. 范围 4 位. 组标识符 112 位. 图 1-14 IPv6 多播地址. 3）任播地址。任播是 IPv6 的一种新型数据传送方式，可以完成一点对一点，一点对多点，多点对多点的通信。（2）IPv6 报文格式。和 IPv4 报文一样，IPv6 报文也由报头和数据区组成，与 IPv4 的区别主要在其报头。IPv6 简化了基本报头，增加了扩展报头。基本报头是 IPv6 报文所必须的，而扩展报头则为可选项。一个 IPv6 的报文格式可以表示为：基本报头+可选的、数量不定的扩展报头+上层数据报文。 IPv6 基本报头只由 8 个字段组成，如表 1-3 所示。尽管 IPv6 地址长度是 IPv4 地址长度的 4 倍，但 IPv6 的基本报头只是 IPv4 报头长度的 2 倍。它主要在以下 3 个方面作了简化： z 所有的报头长度固定，故去掉了报头一长度字段。 z 删除报头校验和功能。 z 删除各路由器的分片处理功能。表 1-3 IPv6 报头结构版本号 4 位. 业务流类型 8 位. 流标识 20 位. 有效载荷长度 16 位. 下一报头 8 位. 跳数限制 8 位. 源地址 128 位目标地址 128 位. IPv6 在设计时废弃了 IPv4 中的选项字段，采用扩展报头技术来满足一些特殊要求。一个 IPv6 分组可以携带 0 个、1 个或多个扩展报头，每个扩展报头的类型由它前面报头的下一报头字段表明。最后的扩展报头利用下一报头字段来表明上层协议。如表 1-4 所示列出了一些“下一报头”字段所对应的扩展报头类型。表 1-4 IPv6 扩展报头下一报头值. 扩展报头类型. 0. Hop-by-Hop 选项扩展报头. 6. TCP 协议. 17. UDP 协议. 41. IPv6 协议. 43. 路由扩展报头. 44. 分段扩展报头. 45. 网域间路由协议（IDRP）. 46. 资源预留协议（RSVP）. 15.

(16) 16. 现代网络安全技术续表下一报头值. 扩展报头类型. 51. 认证报头（AH）. 58. ICM Pv6. 59. 无下一报头. 60. 目的选项扩展报头. 134～254 255. …. 封装安全有效载荷报头（ESP）. …. 50. 未分配保留. 1.3 互联网服务互联网经过几十年的发展，已经成为人们日常工作、学习、生活中不可或缺的有力工具。正是因为互联网所提供的多种服务，更彰显了它的价值与功能，成为影响人们思维方式、生活方式的重要技术。 1.3.1. 电子邮件. 电子邮件（Electronic Mail，E-mail），是一种现代的通信方式。用户只需要在服务商的邮箱域中注册，就可以用十分低廉的成本，极为短暂的时间，将邮件和信息发送到任何地方。接收端的用户无论在何处，只要可以上网，就可以方便快捷地阅读到自己的电子邮件。可以说，电子邮件以其方便、快捷、易保存、不受地理位置限制的特点，克服了传统邮政速度慢、时间长、地域远、不稳定的缺点。伴随着网络的迅速发展，目前电子邮件己经成为 Internet 上最普及的应用。电子邮件以使用方便、快捷、容易存储、管理的特点很快被大众接受，成为传递公文、交换信息、沟通情感的有效工具。 “有事发个电子邮件给我”已经成为人们互致问候的必要手段；在网站上注册新用户的时候，也都需要留下电子邮箱地址以便于沟通；人们传递名片的时候，名片印上电子邮件地址也已成为时尚。种种情况表明，电子邮件已经越来越成为人们生活中不可缺少的一部分。目前常见的电子邮箱服务商主要有 Yahoo、Gmail、Hotmail 等。 1.3.2. 电子商务. 电子商务（Electronic Commerce，或 Electronic Business）是随着计算机网络特别是 Internet 的发展而出现的商务活动的一种新形式，是由传统经济贸易走向网络经济贸易的桥梁和必经之路。电子商务的本质就是以网络为主要手段，实现企业间的业务流程电子化，配合企业内部的信息系统，提高企业的效率，为企业创造更多的价值。它包括生产、流通、分配、交换等环节中所有的电子信息化处理。.

(17) 第1章. 计算机网络概述. 电子商务相对于传统商务形式来说，具有无法比拟的优点。传统商务的工作流程成本巨大，交易环节繁杂，广告覆盖面不够宽泛，且广告成本十分昂贵，信息反馈不够快速直接。电子商务截然不同，它不受传统贸易方式的约束，可以用比较低的成本提供高质量的服务。交易环节也大大缩减，广告的覆盖面和影响力也有所增强，买卖双方沟通迅速，信息反馈，可以帮助管理者及时掌握市场动向，提高了信息传递效率。因此，电子商务具有交易虚拟化、成本低、效率高、透明化等特点。电子商务的模式有多种分类方法，一般按应用服务领域范围分： z 企业对消费者（B to C）。 z 企业对企业（B to B）。 z 企业对政府（B to G）。 z 消费者对政府（C to G）。 z 消费者对消费者（C to C）。 1.3.3. 文件传输. 计算机和通信日益紧密的结合，已对人类社会的进步做出了极大的贡献。互联网的设计理念，就是为了使人们更加快速、便捷、有效地传递和交换信息。而文件是计算机进行传递、保存、处理的最基本形式，因此文件的访问和传送也是互联网必须要满足的基本需求。文件访问主要是指计算机用户通过网络连接，来对其他主机或者服务器中的文件进行读、写等操作。文件传输一般是指计算机用户可以将本地文件复制到远程计算机，或者是将远程计算机中的文件复制到本地。为了更好地控制文件传输，使其能够正常、有序地进行，文件传输系统一般由 3 部分构成，分别是：友好的用户界面，不同类型文件的统一管理，权限的控制。用户进行文件传输的流程如图 1-15 所示。. 图 1-15. 文件传输系统. 17.

(18) 18. 现代网络安全技术. 1.3.4. 网络游戏. 伴随着互联网技术的发展，参与网络游戏越来越成为一种频率较高的网络使用行为，互联网“娱乐”性正日渐深入人心，越来越多的居民感受到互联网娱乐功能的强大，根据 2009 年中国互联网中心的调查，前七类网络应用的使用率高低排序是：网络音乐 86.6%、即时通信 81.4%、网络影视 76.9%、网络新闻 73.6%、搜索引擎 72.4%、网络游戏 59.3%、电子邮件 56.5%。网络音乐、网络影视、网络游戏使用率较高，网络游戏使用率首次超过电子邮件，网络游戏使用率达到 59.3%，网民玩网络游戏的平均时长为每周 7.3h。以上的数据凸显出网络游戏发展的良好势头及其广阔前景，网络游戏以其互动性、仿真性和竞技性，成为互联网发展的重要应用之一。网络游戏可以使游戏玩家在虚拟世界里实现真实世界中无法获得的生活体验。玩家通过网络游戏拉近彼此的距离并寻求认同，在玩游戏的过程中彼此互相帮助、互谈心事，发展出同属于一个团体的意识形态，亦或因相同的目标而建立关系，经由频繁的互动，让玩家有充分的确定感去信任他人。可以说，网络游戏已经成为一种新兴文化，玩家在其中可以找到情感宣泄的通道，并产生归属感和安全感，与其他玩家建立起友谊关系。 1.3.5. BBS 论坛. BBS（Bulletin Board System），中文翻译为是“电子公告系统” 。它是一个由多人共同参与的交流平台，当某一个论坛的注册用户进入讨论区后，他可以浏览该区的文章，也可以发表新帖或者对原有文章进行回复。BBS 以其讨论的自由性、信息的时效性、沟通的交互性等特点，吸引了很多的网络用户，成为人们了解社会舆情和信息发布的重要渠道。首先，BBS 是一种信息资源。BBS 最大的特点就是开辟了一块“公共”空间供用户读取其中信息。这些信息所涉及的领域几乎无所不包，无论你的兴趣是政治、经济、军事还是文化，都有特定的 BBS 系统为你服务。你可以检索关于一个话题的所有信息，或只是最近的信息，或一个人的所有信息，或与某一信息相关的其他信息，而且这些信息资源几乎都可以免费获取。其次 BBS 还是一种通信方式。电子公告牌提供给人们发布和阅读的地方，通常还提供了一些多人实时交谈、游戏等服务，许多使用 BBS 的人可以和朋友、同事，甚至陌生人交流信息。另外，BBS 是一个网上社会。它有着自己特有的一种文化氛围。当大家连上 BBS 时，在每条线路的背后都有很多的和大家一样的热情的用户；大家所看到的每条信息或文章背后都有着专门对其负责的人。在 BBS 上，每个 BBS 用户都可以发表意见、文章，上载文件，也可以获得别人提供的信息。作为 BBS 用户，大家都遵循一种“人人为我，我为人人”的网络公德。 BBS 用户可以得到诸多有益帮助，协助个人完成个人力量所不能及之事，其实际效果与现实社会具有极高相似度。 1.3.6. 其他常见服务. 互联网提供除了已经阐述的各种服务外，还有很多实用的应用服务。如信息检索（通过借助浏览器、搜索引擎、网络导航等工具和手段，来查找和获取所需的信息）、信息交流（借.

(19) 第1章. 计算机网络概述. 助各种实时交互的工具，来跨地域、跨时间地进行信息交换和传输）、电子政务（电子政务是目前研究的热点之一，它是各级政府部门运用先进的信息技术手段，结合政府管理流程再造，构建和优化政府内部管理系统、决策支持系统、办公自动化系统，在网络环境下全面实现政府信息管理，并向公众提供各种信息咨询、查询服务）、远程教育（远程教育可以实现教学的网络化，使学生不再拘束于固定的时间和地点，并可以在网络上向老师提问和交流）以及远程医疗（网络提供了一个给全世界各地医师交流互动的平台，互相传送医疗资料，分享医疗成果和经验，进行病例讨论，对疑难杂症进行会诊，甚至可以为手术提供远程指导）等各种服务，极大的丰富了学习和生活方式。. 1.4 网络信息传输计算机网络的发展之所以如此迅速，用户以指数级别增加，就是因为它可以为人们提供方便快捷的信息及共享和交流的手段。网络的传输是以通信系统为基础的，从某种意义上来说，计算机网络就是计算机技术和通信技术相结合的产物。 1.4.1. 计算机通信系统结构. 随着计算机网络技术和软硬件的发展水平不断提高，计算机体系结构从单机时代的集中式结构发展到局域网时代的两层客户机/服务器结构，互联网时代的三层客户机/服务器结构及浏览器/服务器结构，它们是当今计算机网络普遍采用的通信体系结构。 1．两层 C/S 结构及其局限性 20 世纪 80 年代，随着人们对友好的人机界面的追求以及微机技术、网络技术的迅速发展和成熟，C/S 结构应用逐渐普及。传统的 C/S 结构一般分为两层：客户端和服务器端。其结构如图 1-16 所示。. 图 1-16. C/S 结构. 其基本工作原理：客户程序向数据服务器发送 SQL 请求，服务器返回数据和结果。客户端负责实现用户接口功能，同时封装了部分或全部的应用逻辑。服务器端的数据库服务器主要提供数据存储功能，也可通过触发器和存储过程提供部分应用逻辑。两层 C/S 结构在规模较大的应用系统中运用时，其局限性显而易见： z 效率低下。客户机通过网络连接访问远端数据，使网络通信繁忙，不仅降低了本机的性能，而且服务器必须保持同每个活动的客户机连接，也降低了服务器的性能。 z 安全性差。客户端应用程序直接和数据库打交道，客户端拥有对数据库操作的足够权限，致使非法用户能够操作甚至破坏数据库。. 19.

(20) 20. 现代网络安全技术. 维护困难。由于应用逻辑部分或全部封装在客户端，因而不能对这些规则进行集中控制和管理。当应用逻辑被改动或更新时，需要每个最终用户重新分发，每次变动必须保证企业内所有客户端能够及时更新，其时间和金钱成本较高。 z 不可伸缩。两层 C/S 结构客户机和服务器都无法超越物理界限，因此无法进行伸缩。 z 共享性低。由于程序的存储是依赖于特定数据库的，在不同数据库之间难于移植，对每一个客户机平台必须建立应用系统的不同的版本。 2．三层 C/S 的结构及其优点随着因特网的发展，三层式结构技术成为人们关注的焦点。三层式结构技术就是将客户机/服务器系统中各部件分三层服务（客户服务端、中间层应用服务和数据库服务）的一种技术。其结构如图 1-17 所示。 z. 图 1-17. 三层 C/S 结构. （1）三层 C/S 结构的各部分功能如下： z 客户端。它通常实现用户界面，提供了一个可视化接口，用来显示信息和收集数据，只与应用服务器打交道。 z 应用服务器。它通常实现应用逻辑，是连接客户机与数据库服务器的桥梁。它响应用户发来的请求执行某种业务任务，并与数据库服务器打交道。在实际应用过程中，该层的组件通常可分为两个以上的层次，因此这种结构也被称为多层次结构。 z 数据库服务器。它实现数据的定义、维护、访问、更新以及管理，并响应应用服务器的数据请求。它的物理实现可以在某一种数据库管理系统中，也可以是多个异种数据库的集合，这种数据库可以驻留在多种平台上。（2）三层 C/S 结构的优势主要表现在如下： z 安全性加强。应用服务器把客户与数据库服务器分开，客户端不能直接访问数据库服务器。应用服务器可控制哪些数据被改变和被访问以及数据更改和访问方式。 z 效率提高。三层 C/S 结构中，客户端和应用服务之间的链接实际上只是一些简单的通信协议，而和数据库服务器打交道所需要的设置或驱动程序，均由应用服务器来承担，真正做到了“瘦客户”。 z 易于维护。由于应用逻辑被封装到了应用服务器中，因此，当应用逻辑发生变化时，仅需修改应用服务器中的程序，客户端的应用程序不必更新，维护的代价大大降低。 z 可伸缩性。三层结构是明确进行分割的，逻辑上各自独立，并且能单独实现。 z 可共享性。单个应用服务器可以为处于不同位置的客户应用程序提供服务，即应用系统只写一次就可以用于各个环境。.

(21) 第1章. 计算机网络概述. 开放性。由于应用服务器的每个组件都有标准的接口，用户可以重写自己的客户端程序和自己的浏览器程序。 3．B/S 结构的优点与不足该结构是随着 Internet 技术的兴起而产生。在这种结构下，用户界面完全通过 WWW 浏览器实现，一部分事务逻辑在前端实现，但是另一部分主要事务逻辑在服务器端实现，B/S 结构的主要优点是大大简化了客户端电脑载荷，减轻了系统维护与升级的成本和工作量，降低了用户的总体成本（TCO）。由于浏览器标准（兼容性）与安全限制等问题，B/S 结构的应用受到一定的影响。 z. 1.4.2. 数据多路复用技术. 信道复用技术是使各路信息共用一个传输信道的技术。它使两个通信站之间利用一个信道同时传送多路信息而互不干扰，充分利用了信道容量，使单路信息传输成本大大降低。多路复用技术的主要思想是将一个数据链路分割成多个互不相同的通道，提供给不同的业务来使用。在通信系统中，降低传输设备的造价和充分利用频率资源是很重要的问题，而多路复用技术和多址技术正是针对这一问题而提出的。现代数字通信系统通常有以下几种信道划分方法或信道复用技术：空分复用（SDM，现已很少使用）、频分多路复用（FDM，Frequency Division Multiplexing）、波分多路复用（WDM， Wave length Division Multiplexing）、时分多路复用（TDM，Time Division Multiplexing）、统计时分多路复用（STDM，Statistical Time Division Multiplexing）、码分多路复用（CDM，Code Division Multiplexing），如图 1-18 所示。. 图 1-18. 数据多路复用技术分类. 1．频分多路复用频分多路复用是随着载波技术和高频技术的发展而产生的。它将一定频段分割成若干频道，各路信息分别占用互不重叠的子频道，以此来实现一条线路传输多路信号的目的。具体来讲，是在一个频段内，选定一定的频率作为载频（称为调制）和在接收端利用不同的子频道滤波器（带通）把合路传输的信号分路。在传输相同路数的信号时，采用 FDM 方式显然比采用. 21.

(22) 22. 现代网络安全技术. SDM 方式节约大量的线路建设费用。频分复用主要用于模拟通信。它的优点是：信道利用率高，允许复用的线路数目较多，分路便捷。多年来，FDM 一直是通信传输的主要依托，但 FDM 存在噪声和信号一起被放大的缺点，且信号抗干扰性较差，加上数字电路价格的大幅度下降，模拟通信逐渐被数字通信取代，FDM 系统也广泛被 TDM 取代。目前的 CATV 系统、ADSL 接入等采用 FDM 技术。 2．时分多路复用时分复用，它是利用介质所能达到的位传输速率超过了单路信号所需要的数据传输速率，将信道传输时间作为分割对象，通过为多个信道分配互不重叠的时间片的方法来实现多路复用，因此 TDM 更适用于数字数据信号的传输。TDM 在一条高速通信线路上，按一定的周期将时间分成一个个时间片，每个时间片称为一帧。在一帧内又分为若干个时隙，每个时隙携带一个信号。时分复用方式是对每一个终端分配一个线路时隙，在每个时隙内分别对对应的终端进行信息抽样，将所提到的信息样点按顺序集合成帧，并按顺序发送出去。因此，在线路上传输的是高速数据流。每一帧包含了接入该复用器的每个终端的数据。时分复用的各路信号在时域上占用不同的时隙（时间段），在接收端利用时间选通门（开关）进行分路。在频域上，各路信号可以共享同一频段。由于 TDM 多路分解是通过每帧中的位置进行的，若某些终端无数据传送操作，则会导致数据被错误地解释。为了避免这种情况，当 TDM 扫描某个端口而此端口又无数据传送操作时， TDM 就在每帧中插入空字符。在接收端的多路复用器处，空字符维持了正确多路分解所需的位置，但接收端的多路复用器并不将其输入至相应的端口设备，而是直接丢弃它。尽管插入空字符确保了正确地多路分解，但也表明空分复用并不是十分有效。比如，当几个终端用户在休息，或以正常录入速度输入数据时，多路复用器间传送的大部分 TDM 帧都包含百分比很大的一些空字符，因此大部分情况下，TDM 之间数据传送效率非常低。这种低效率导致了统计时分复用（STDM）的出现。STDM 比 TDM 提供了较高的线路使用效率，目前许多公司已用 STDM 取代了 TDM 的应用。 3．波分多路复用波分复用是光信号传输所特有的一种复用方式。众所周知，利用光和光纤来传送信号具有损耗特别小、传输距离特别长、频带特别宽、不受电磁干扰等优点。近代物理学证明，光在不同条件下分别具有粒子和电磁波两种性质，即波粒二相性，可以认为光是一种电磁波，所以广义上来说波分复用也是频分复用。目前，光纤通信用的光频率在 100THz 以上，现在的技术虽不能对光波进行调频和调相，但可以采用对光的强度进行调制（IM）来传送信号。现在可以用于光纤通信的光波长约在 800～1600nm 之间，其频带宽度可以达到约 180THz，相当于同轴电缆传输频带（以 1000MHz 计）的 18 万倍。自 20 世纪 80 年代以来，科学家就开始采用 1310nm 和 1550nm 光波成功地实现了频分复用，而且可以用于双向传输，90 年代随着 EDFA 技术的进展，又成功地在 1550nm 窗口下实现了以 1.6nm 为间隔的复用技术。因为习惯上光波频率以波长表示，所以对光波实行频分复用的技术称为在光域上的波分复用。目前，国产 32 路密集波分复用（DWDM）设备已经商用化，网通公司采用 DWDM 技术在一根光纤上使传送速率达到 40Gb/s 的网络已投入实际运营。 4．统计时分多路复用统计时分复用是时分复用的一个分支，它采用“动态带宽分配”方式，只有当终端发送.

(23) 第1章. 计算机网络概述. 数据时才为其分配时隙。这更充分地利用了线路的通信容量和带宽。TDM 采用的是固定帧，且每帧中数据有固定的位置，而 STDM 采用的是可变长度帧。假设每个终端都是一台个人计算机，且每个操作员在同一时间都试图发送一个较大的文件，这时多路复用器不能利用空闲时间。尽管 STDM 包含一个缓冲存储区，但随着终端不断传递数据，缓冲区最后也会填满甚至溢出。为了防止数据丢失，当缓冲区达到一定容量时 STDM 就启动流量控制关闭一个或多个设备，然后让缓冲区中的数据传送到线路上，当缓冲区中的数据减少到一定程度时，STDM 就关闭流量控制，让与多路复用器相连的设备重新开始传送。 5．码分多路复用码分复用，或称码分多址，是应用直接序列扩频来达到多个用户分享一条信道或子信道。在这个方法中，每个用户分配一个唯一的码序列或特征序列（Signature Sequence），该序列允许用户将信息信号扩展到所分配的整个频带。在接收端，通过求接收信号与每一个可能用户特征序列的相关程度值，可分离出各用户信号。在 CDM 中，用户以随机方式接入信道，从而多用户之间信号传输在时间和频率上完全重叠。码分复用是以扩频通信为基础的，主要用于无线通信系统。它提高了通话的话音质量、数据传输的可靠性，也减少了电磁干扰对通信的影响，并且在很大程度上提高通信系统的容量。 1.4.3. 传输介质. 传输介质是网络信息传输的根本，是计算机网络的最基本的组成部分，网络的发展离不开传输介质的进步。现实中有很多的物理介质，目前用作网络传输介质的有以下几种，如图 1-19 所示。双绞线. 有线介质. 同轴电缆. 光纤传输介质微波. 无线介质. 卫星. 红外线. 图 1-19. 网络传输介质. 1．双绞线双绞线是目前局域网布线的重要传输介质，它由两根具有绝缘保护层的铜导线按一定密度互相绞合成线对，且线对与线对之间按一定密度反时针相应地绞合在一起，在这些线对外面. 23.

(24) 24. 现代网络安全技术. 还包有绝缘材料制成的外皮。在双绞线内，由于不同线对具有不同的绞距长度，因此每一根导线在传输中辐射出来的电磁波可以被另一根导线上发出的电磁波所抵消，提高了抗干扰性。双绞线中铜导线的直径一般为 0.4～1mm，扭绞的长度范围大概是 3.81～14cm，按照逆时针方向扭绞，相邻双绞线的扭绞长度约为 12.8cm 以上。双绞线的突出优势是它价格较低廉且安装成本较低等等，因此在综合布线工程中常被选作为其传输介质。双绞线的分类可按照其外面是否包缠有起屏蔽作用的金属层的方法分为两类：屏蔽双绞线和非屏蔽双绞线。其中，非屏蔽双绞线是最常用的传输介质，1881 年至今被广泛使用，它由多对铜导线外包有一层绝缘护套构成，具有无屏蔽外套，直径小，重量轻，节省所占用的空间，安装方便，具有阻燃性，串扰影响较小以及价格较底等的优点。而屏蔽双绞线是在其绝缘护套层内增加了起屏蔽作用的金属层，它的突出优点是大大提高了电缆的抗电磁干扰能力，减小了辐射，防止信息被窃听以及适宜于传输高速数据，但它的缺点是安装使用较复杂，接地不良等，因此，在没有强干扰源或特殊要求的信息传输的情况下，不适宜选择屏蔽双绞线作为传输介质。非屏蔽双绞线（UTP）的特性阻抗是 100Ω，它分为一类、二类、三类、四类、五类、超五类、六类等和七类屏蔽电缆。目前，在综合布线工程中，由于考虑传输介质的质量、价格和施工难易程度等，最常用的是五类、超五类或者六类非屏蔽双绞线作为其传输介质。 2．同轴电缆同轴电缆是通信电缆的一种，电缆的结构是其中心有一根单芯铜导线，铜导线外面是绝缘材料，这层绝缘材料用密织的网状导体环绕，其外层又覆盖了一层起保护作用的导电金属层，该金属层用来屏蔽电磁干扰和防止辐射。它的最外层又包有一层绝缘塑料外皮。同轴电缆分为粗同轴缆和细同轴缆两种。粗同轴缆简称粗缆，其直径为 10mm，阻抗为 50Ω，细同轴缆，直径较细，阻抗也为 50Ω，与双绞电缆相比，它有更强的抗干扰能力，价格也较适中，使用中继器可连接大范围的局域网络，在局域网中较为常见。但由于其总线型的网络特点，可靠性较差，因此在综合布线中采用的不多。 3．光缆光缆是由若干根（芯）光纤构成的缆芯和外护层所组成，具有电磁绝缘性能好，信号衰变小，传输距离较大等优点。光纤是用石英玻璃或特制塑料拉成的柔软细丝，具有把光封闭在其中并沿轴向进行传播的导波结构。按照光在光纤中的传输模式可将其分为单模光纤和多模光纤。与单模光纤相比，多模光纤的传输距离较小，速度较慢，但其成本较低；而单模光纤更适宜长距离传输数据，具有更可靠安全的传输质量，但由于其连接硬件价格较昂贵，故采用单模光纤的成本会比多模光纤电缆的成本高。光缆种类的划分方法不同，如按其光纤芯数可分为 4 芯、6 芯和 8 芯三种；按其敷设方式可分为自承重架空光缆、管道光缆、铠装地埋光缆和海底光缆；按其具体用途分为长途通信用光缆、短途室外光缆、混合光缆和建筑物内用关缆等。它的突出优势是：不受电磁场和电磁辐射的影响；使用环境不受温度变化和反差的局限；但光纤质地较脆、机械强度低，在布线施工时极要注意光缆的敷设角度，否则，光纤就会折断于光缆外皮当中，但随着技术的不断完善，这些问题都是可以解决的。 4．无线介质无线介质也是网络传输的重要介质，特别是在有线介质无法实施的时候。无线介质传输的可靠性比较高，也具有良好的机动性和灵活性，传播的范围也克服了有线介质的弊端，传送.

(25) 第1章. 计算机网络概述. 距离较远。无线介质主要有微波、卫星和红外线。微波是频率范围大约在 300MHz～300GHz 之间的电波。它在空间中沿直线传播，由于地球表面的弧度，它的传输距离与天线的高度有密切关系。微波传播的类型可分为两种：自由空间传播和视线传播。微波通信主要用于电视转播、蜂窝电话等。它传输质量高，具有极高的信噪比，成本低，效用明显。卫星从某种角来说也属于微波，但其使用范围并不局限在地面上。卫星通信的流程一般就是卫星上的微波天线接收地面发送站发出的信号，再经过放大、转换等工序，返回到地面接收站。卫星通信容量大、覆盖范围广，抗干扰性强，因此通信的质量稳定可靠。卫星已经在通信系统中广泛应用，比如电话、电视广播、灾害预警、气象监测、GPS 定位等。卫星通信的主要问题就是传播延时，因为信号要在发射器和接收器之间通过长达 72000km 的距离。而且卫星的研发成本相当昂贵。红外线通信的带宽比较广泛，容量大，具有较高的传送速度，一般可以达到 10m/s。不过，它的传输距离比较短，一般在 30m 之内。并且它是点到点传播，很容易因为通信线路上的阻隔，而影响到传输效率。 1.4.4. 差错控制和检验. 近年来，随着计算机技术和通信技术的飞速发展，流媒体信息处理技术的研究和应用取得了巨大的发展，大部分流媒体网络通信应用都需要实时传送数据。在通信过程中，应用或者需要容忍一定限度内的数据突发差错和数据丢失，或者在应用层中，需要对数据差错、丢失进行部分（或完全）的恢复。提高流媒体数据的可靠性，使得网络通信质量变得更加可靠，以提高流媒体网络通信应用的服务质量（QOS）。在流媒体网络通信应用中，传输差错是 Internet 服务模式与网络传输要求之间的主要矛盾之一。针对网络通信传输的特点，运用差错控制方法，纠正传输中的错误数据，恢复网络传输中由噪声等原因所引起的数据丢失，提高数据传输的可靠性。差错控制方式是用于纠正网络通信中产生的差错，恢复丢失的数据,以提高网络通信可靠性的一种技术。在计算机网络通信系统中，对传输过程中产生的差错和数据包丢失，进行控制的基本方法大致可分为 3 类：前向纠错（FEC）、重传反馈（ARQ）、FEC/ARQ 的混合差错控制方式。 1．前向纠错（FEC） FEC 差错控制方式是用编码产生的冗余数据，来恢复数据传输中所丢失数据的一种差错控制方式。这种方式在发送端发送能够纠错的码，接收端接收这些码后，通过纠错译码器自动地纠正传输过程中发生的错误。这种方式不需要反馈信道。 FEC 差错控制方式有两种生成冗余数据包的方法：媒体相关的前向纠错（media specific FEC）和媒体无关的前向纠错（media-independent FEC）。 z 媒体相关的 FEC 是把第 n 个数据包的副本重新用更低位码率的数据压缩算法，进行数据包的压缩，然后附加到第（n+l）个数据包中一起进行发送。在传输过程中，如果第 n 个数据包丢失了，可以根据第（n+l）个数据包中第 n 个包的副本进行数据包的恢复，如果附带多个副本，则可以修复连续的丢包。这种方法需要额外的 CPU 及带宽开销，并且只有大致的修复能力，没有精确的丢包恢复能力。. 25.

(26) 26. 现代网络安全技术. 媒体无关的 FEC 是用块或代数码来生成冗余数据包。每次编码时，发送端对连续 k 个数据包做异或运算，得到（n-k）个连续冗余校验包，将数据包和冗余校验包组合成一个数据编码块（共有 n 个包），作为一个数据传输组 TG（Transport Group），进行网络传输。由于包交换网络尽力服务（Best-effort）的不可靠性，数据传输组 TG 中一些数据包在传输过程中可能会被丢失，接收端通过数据包的序列号确定丢失的数据包及其在 TG 中所在的位置。由于冗余性的存在，一个 TG 中的任意 k 个数据包可用来重建 k 个源数据包。如果丢失数据包数目小于或等于（n-k），则接收端收到一个传输组 TG 中任意 k 个数据包后，接收端可以根据接收到的数据包和 FEC 冗余数据包，将丢失的数据包做异或运算再生出来，恢复丢失的数据包。媒体无关的 FEC 具有精确的修复能力，与媒体相关的 FEC 相比，有较大的延迟，因为需要缓存多个数据包以作 FEC 运算。 2．重传反馈（ARQ）重发纠错方式又称为自动请求重发，简称 ARQ。它是由发送端对所发送的信息进行编码（加入一些监督码），接收端根据编码规则对收到的编码信号进行检查，判定传输中有无误码。若接收端发现错误以后，通过反馈信道传送一个应答信号，要求发送端重传出现错误的信息，从而达到纠错的目的。利用 ARQ 无论接收端反馈的信道状况如何发送端都要在收到确认信息之后才能继续发信息，因此在信道状态不好时，将有大量重传，带宽效率下降很快。所以 ARQ 只有当信道的平均误码率比较低时才能充分发挥其优点。 3．混合差错控制混合纠错方式是 FEC 和 ARQ 方式的结合。发送端发送具有自动纠错同时又具有检错能力的码。终端收到发送方传递过来的码以后，检查差错情况，如果错误在码的纠错能力范围内，则自动纠错，如果超出了码的纠错能力，则能检测出来，然后经过反馈信道请求重发。这种方式具有自动纠错和检错重发的优点，可达到较低的误码率，减少了重传次数，极大地改善误码性能，提高了数据传输的可靠性，具有很好的实时性，因此，近年来得到了广泛应用。 z. 1.5 网络故障的防范与排查网络已经成为人们生活中必不可少的一部分。如果人们所使用的网络出现异常情况，将不仅影响人们日常的生活、学习、工作，还有可能带来一定的损失。因此，网络故障的预防、排查和恢复就显得十分必要和重要。 1.5.1. 网络故障的预防. 网络在组建和投入使用之后，由于网络设备、网络协议以及网络本身的复杂性，发生故障在所难免。因此，在网络建设的前期、中期和后期，都要做好更为充分的准备工作。一般来说，网络故障的预防主要有以下几点：（1）明确网络系统的硬件。在网络设计和组建的前期，应该考虑到网络系统可能会发生的问题，并相应地构建预防措施。网络预防的硬件设备主要有电源系统、防火系统、数据备份系统等。（2）对已经投入使用的网络进行监视和管理。网络系统在运行中会产生很多文件，这些.

(27) 第1章. 计算机网络概述. 文件也是应发现和预防网络故障的重要来源。一般来说，主要是查看网络运行的事务日志，对网络的性能情况作统计，以及对系统的使用情况作统计。（3）对网络使用人员进行培训。特定的网络系统一般都有其特定的作用和操作方法，如果网络用户由于错误操作等造成网络的损失，则会给用户带来诸多不便甚至重大损失。因此，网络系统的拥有者应该定期对网络用户进行培训，以减少和避免网络用户因错误操作造成的网络故障。 1.5.2. 网络故障的排查. 虽然做了周全的预防工作，但一些不可预知网络故障的出现仍然在所难免。如果出现了故障，则可以通过逐步检查和排除来解决故障问题。故障排查的一般步骤为：准备工作、确定优先级、定位故障、收集信息、提出假设、验证假设、排除故障。如图 1-20 所示。发生故障. 准备工作. 确定优先级. 定位故障. 收集信息验证假设错误. 提出假设. 验证假设验证假设正确排除故障图 1-20. 网络故障排查. （1）准备工作。在网络系统发生故障以后，首先要做准备工作。准备工作主要包含有：排除用户的误操作问题；检查硬件的连接问题；排除系统运行软件问题；设备复位等。如果故障问题不在这几方面，排查工作就将进入下一个环节。（2）确定优先级。一般网络系统发生故障，它会引起一系列连锁反应，引发多个故障。这时候就要求应先明确故障的优先级，明确哪一个故障是应当最先解决的，之后按照优先级的排列顺序，对故障进行逐个排查。（3）定位故障并收集故障信息。按照优先级排列，应该逐一定位故障，并且收集故障的相关信息。比如明确故障的发生时间、故障的影响范围、故障发生时的系统环境等，然后使用故障检测工具来进行定位。常用的故障检测工具主要有：数字万用表、电缆测试器、网络测试. 27.

(28) 28. 现代网络安全技术. 仪、协议分析器、网络性能监视器等。（4）提出假设。定位并了解了故障信息之后，就可以根据故障现象，结合故障排查经验，来推测故障发生的潜在原因，并参考故障信息，来找到最合适的、最充分的依据明确故障原因。网络的基本故障主要有：传输介质故障、网络硬件设备故障、系统应用软件与系统兼容问题、电源故障、协议分配问题、网络拥堵、计算机终端问题等等。（5）验证假设。根据上一步提出的故障假设，用各种分析工具和手段，结合个人经验以及故障现象的变化，来验证假设的真实性与可靠性。如果验证成功，则对故障进行排除。若验证假设失败，则返回上一步，重新提出假设。（6）故障排除。最后一步，就是结合前面的工作，排除故障。在排除故障之后，还要做好记录工作，并将它整理成文档，作为以后故障处理的经验资料。. 1.6 疑难问题解析 1．局域网指较小地域范围内的计算机网络，下面关于局域网的叙述中错误的是（）。 A．它的地域范围有限 B．它使用专用通信线路，数据传输速率高 C．它的通信延迟时间短，可靠性较好 D．它按照点到点的方式进行数据通信答案：D。局域网是较小地域内的计算机互联成网，不是按照点到点的方式进行数据传送。 2．TCP/IP 参考模型中的主机-网络层对应于 OSI 参考模型的（）。 I．物理层 II．数据链路层 III．网络层 A．I 和 II B．III C．I D．I、II 和 III 答案：A。根据 TCP/IP 参考模型与 OSI 参考模型的对应关系是：应用层-应用层；传输层 —传输层；互联层—网络层；主机-网络层—数据链路层、物理层。 3．OSI 参考模型中，网络层的主要功能是（）。 A．提供可靠的端－端服务，透明传送报文 B．路由选择、拥塞控制与网络互联 C．传送以帧为单位的数据 D．数据格式变换、数据加密解密答案：B。网络层的功能主要是分组传输、路由选择、拥塞控制，向运输层报告未恢复的差错。 4．下列传输介质中，（）错误率最低。 A．同轴电缆 B．光纤 C．微波 D．双绞线答案：B。光纤的传输速率可以达到几亿 b/s，且不受电磁波的干扰，安全性与保密性较好。 5．下列网络拓扑结构中，中心结点的故障可能造成全网瘫痪的是（）。 A．星型 B．环型 C．树状 D．网状答案：A。星型拓扑结构中，结点通过点－点通信线路与中心结点相连接，任何两结点之间相互通信，都必须经过中心结点，中心结点控制全网的通信，因此中心结点的故障可能造成全网瘫痪。.

(29) 第1章. 计算机网络概述. 1.7 本章小结本章通过介绍互联网的起源及其进展历程，网络的特点、网络的服务功能、网络模型和协议、数据通信的基本知识，以及网络故障排除的一般方法，重新展现了网络的发展脉络，整理了数据通信的基本原理，让读者对网络这个概念有了清晰、明确的理解，并能针对日常生活中的网络故障做出回应。. 29.

(30)