考点七:数据通信基础、网络体系结构
差错控制
码距是一个编码系统的码距就是整个编码系统中任意(所有)两个码字的最小距离。
1.在一个码组内为了检测e个误码,要求最小码距应该满足:d>=e+1
2.在一个码组内为了纠正t个误码,要求最小码距应该满足:d>=2t+1
奇偶校验码:
信息位+校验位,其中1的个数为偶数个(偶校验),1的个数为奇数个(奇校验)。
海明码:
m+k+1<=2k,其中M为信息位,K是校验位。
循环冗余校验码(CRC)
要计算CRC校验码,需根据CRC生成多项进行。例如:原始报文为11001010101,其生成多项式为:X4+X3+X+1。在计算时,是在原始报文的后面添加若干个0(个数为生成多项式的最高次幂数,它也是最终校验位的位数。上式中,校验位数应该为4)作为被除数,除以生成多项式所对应的二进制数(由生成多项式的幂次决定,此题中除数应该为11011),最后使用模除,得到的余数为校验码,如下式所示:
然后将0011添加到原始报文的后面,便形成经CRC校验数据:110010101010011。
要检查信息是否传输错误,只需用待检查的信息码除以生成式,如果能够整除,说明传输无误,否则,传输错误,但CRC并不自动纠错,通常是请求重传。
网络概念
计算机网络中实现网络通信功能的设备及其软件的集合称为网络的通信子网,而把网络中实现资源共享功能的设备及其软件的集合称为资源子网。
计算机网络的性能:
速率:主机在信道上传送数据的速率,单位bps。
带宽:1,信道的频带宽度。2,在计算机网络中,表示从某点到某点的最高数据率。
吞吐量:单位时间内通过某个网络的数据量。
时延:从网络中一端到另一端所需要的时间。传输时延=帧长/信道带宽。传播时延=信道长度/电磁波在电缆中的传播速度,其中电缆一般是200000km/s,如果是卫星通信,传播时延直接按270ms来算。
网络协议的三个要素:
语法(Syntax):涉及数据及控制信息的格式、编码及信号电平等。
语义(Semantics):需要发出何种控制信息,完成何种动作和做出的响应。
定时(Timing):涉及速度匹配和排序等。
OSI参考模型
物理层:
物理层考虑的是怎么才能在连接各种计算机的传输媒介中透明传送数据比特流,
数据链路层:
负责在两个相邻的节点间的线路上无差错的传送以帧为单位的数据
网络层:
网络层的任务就是要选择合适的路由,这就是网络层的寻址功能。
传输层:
任务是根据通信子网的特性最佳的利用网络资源,并以可靠和经济的方式为两个端系统的之间建立一条传输连接,透明的传输报文。
会话层:
会话层虽然不参与具体的数据传输,但它对数据进行管理
表示层:
在开放系统互连OSI模型中的第六层,向应用进程提供信息表示方式
应用层:
在开放系统互连OSI模型中的最高层,为应用程序提供服务以保证通信。
数据的封装和解封装
封装就是网络节点把要传送的数据用特定的协议打包后传送。多数协议是通过在原有数据之前加上封装头来实现封装的,一些协议还要在数据之后加上封装尾,而原有的数据就成为载荷。在发送方,OSI七层模型的每一层都对上层数据进行封装,以保证数据能够正确无误的传到目的地;而在接收方,每一层又对本层的封装数据进行解封装,并传给上层,以便数据被上层所理解。
(N)层实体向(N+1)层实体提供服务,(N+1)层实体向(N)层实体请求服务,从概念上讲,这是通过位于(N)层和(N+1)层的界面上的服务访问点(N)SAP来实现的。
另外熟悉各种著名协议的工作层次以及调用关系。
考点八:局域网技术
以太网CSMA/CD
以太网的核心技术是带冲突检测的载波侦听多路访问(CSMA/CD)方法。
CSMA/CD的发送流程可以简单的概括为4点:
1.载波侦听过程
根据监听到介质状态后采取的回避策略可将CSMA分为下面几种:
非坚持型CSMA
① 信道空闲,立即发送。
当监听到信道忙的时候,不再坚持监听,而是随机延后一段时间再来监听
缺点:很可能在再次监听之前信道已空闲了,与其它站的冲突概率最低,但产生严重信道浪费。
坚持型CSMA(1-坚持CSMA)
① 信道空闲,立即发送。
② 当监听到信道忙状态时,就坚持监听,直到信道空闲,立即发送一帧。
③ 假如有冲突发生,则等待一段随机长的时间后再监听信道。
缺点:当某站要送数据时,先监听信道,若信道忙,若两个或两个站同时监听到信道空闲,立即发送,必定冲突,即冲突概率为1,故称之为1-坚持型。
2.冲突检测
CSMA/CD总线网络中最短帧长的计算关系式:
最小帧长=2*(网络数据速率X最大段长/信号传播速度)
L=(2Rxd)/v
3.发现冲突、停止发送
4.随机延迟重发
以太网采用截断二进制指数退避算法来解决碰撞问题。这种算法让发生碰撞的站在停止发送数据后,不是等待信道变为空闲后就立即再发送数据,而是推迟一个随机的时间。这样做是为了使的重传时再次发生冲突的概率减少,当重传此数达16次仍不能成功时,则表明同时打算发送数据的站太多,以至连续发生冲突,则丢弃该帧,并向高层报告。整个过程请参考视频。
以太网MAC地址
以太网地址用来识别一个以太网上的某个单独的设备或一组设备,这个地址又叫做物理地址或者MAC地址。
MAC采用十六进制数表示,共六个字节(48位)。IEEE规定MAC地址第一个字段的最低位为I/G位。I/G位标志这个地址是单播地址还是组播地址。而广播地址就是FFFF.FFFF.FFFF。
注意:以太网卡有过滤功能,网卡只把发送给自己的帧接收,解封装后交给上层处理,而不是发给自己的帧会丢弃。不过,有些网卡可以设置为混杂模式,也就是可以接收任意帧,而不考虑这帧是不是发给自己的。这类网卡经常用于一些网络协议分析工具中
以太网帧结构
以太网帧的格式如图所示,包含的字段有前同步码、帧开始界定符、目的地址、源地址、数据类型、数据及帧校验序列)等。目的地址和源地址都是MAC地址,表示发出数据帧的源设备和要到达的设备。类型表示上层交给IP还是IPX,最后是一个帧校验序列,用来检查数据帧在传输过程中是不是出现了查错,发现查错后,直接丢弃该帧,可以由高层协议发起重传。
以太帧的帧长度为64-1518字节。以太网定义的V2帧结构和IEEE 802.3定义的帧结构是不同的,主要在于IEEE 802.3类型字段修改为长度字段。
以太网传输介质
双绞线:为了保证最佳的兼容性,普遍采用EIA/TIA 568B标准来制作网线。
568B:白橙 | 橙 | 白绿 | 蓝 | 白蓝 | 绿 | 白棕 | 棕
其中其实真正通信的只有四芯,1-2-3-6。
直线(直通线):两端同时采用一个标准。用于不同类设备之间(就是DTE-DCE)互连。
DTE 类设备:PC、路由器、交换机uplink口、HUB级联口
DCE 类设备:交换机普通口、HUB普通口。(DTE和DCE的区别是DCE主动与DTE协调时钟频率,DTE会根据协调的时钟频率工作)
反线(交叉线):一端采用568A,一端采用568B,用于同类设备之间互连(PC-PC,交换机-交换机)
光纤:
多模光纤:很多不同角度的入射的光线在一条光纤中传输。适合用于近距离传输,一般约束在550M。
单模光纤:如光纤的直径减小到只有一个光的波长,使光纤一直向前传播,而不会产生多次反射,这样的光纤就成为单模光纤。单模光纤传输距离数十公里而不必要采用中继器。
高速以太网
百兆以太网、千兆以太网的传输介质标准需要记忆。
100M以太网的新标准还规定了以下三种不同的物理层标准。
100BASE-TX支持2对5类UTP或2对1类STP。1对5类非屏蔽双绞线或1对1类屏蔽双绞线就可以发送,而另1对双绞线可以用于接收,因此100BASE-TX是一个全双工系统,每个节点都可以同时以100Mbps的速率发送与接收。
100BASE-T4支持4对3类UTP,其中有3对用于数据传输,1对用于冲突检测。100BASE-T4是快速以太网的早期实现。它需要四对铜质双绞线,但这些双绞线只需要是3类而不是TX所要求的5类。
100BASE-FX支持2芯的多模或单模光纤。100BASE-FX主要是用做高速主干网,从节点到集线器(HUB)的距离可以达到2km,是一种全双工系统。
100BASE-T2:随着数字信号处理技术和集成电路技术的发展,只用2对3类UTP线就可以传送100Mbps的数据,因而针对100Base-T4不能实现全双工的缺点,IEEE开始制定100Base-T2标准。
1000 Base-T标准使用的是5类非屏蔽双绞线,双绞线长度可以达到100m。
1000Base-X是基于光纤通道的物理层,使用的媒体有三种:
1000 Base-CX标准使用的是屏蔽双绞线,双绞线长度可以达到25m;
1000 Base-LX标准使用的是波长为1300nm的单模光纤,光纤长度可以达到3 000m;
1000 Base-SX标准使用的是波长为850nm的多模光纤,光纤长度可以达到300~550m。
其中前三项标准是IEEE 802.3z,而1000 Base-T的标准是IEEE 802.3ab。
万兆以太网只工作在全双工方式。
冲突域和广播域
连接同一冲突域的设备有Hub,Reperter或者其他进行简单复制信号的设备。
像Hub,交换机等这些第一,第二层设备连接的节点被认为都是在同一个广播域。
交换机交换模式
以太网交换机是利用“端口/MAC地址映射表”进行数据交换的,交换机的“地址学习”是通过读取帧的源地址并记录帧进入交换机的端口号进行的。
根据交换机的帧转发方式,交换机可以分为3类:直接交换方式、存储转发交换方式、无碎片转发方式。他们之间的区别注意结合讲义视频理解。
堆叠和级联
交换机之间的连接不外乎两种方式,一是堆叠,一是级联。他们之间的区别注意结合讲义理解。
考点九:网络安全、网络规划设计
加密方式
数据加密技术是网络通信安全所依赖的基本技术。按照网络层次的不同,数据加密方式划分,主要有链路加密、节点加密、端到端的加密三种。
在采用链路加密的网络中,每条通信链路上的加密是独立实现的。通常对每条链路使用不同的加密密钥。其最大的缺点就在于中间结点暴漏了信息的内容。通常用硬件在物理层实现。
节点加密是对链路加密的改进,只是把加密算法加载到节点的加密模块中。在协议栈的传输层上面进行加密。
端到端加密是在源点和终点中对传送的协议数据单元进行加密和解密,报文的安全性不会因中间结点的不可靠而受到影响。端到端的加密在传输层以上的各层来实现。
网闸技术
对于政务网的安全需求是在公网和外网之间实行逻辑隔离,在内网和外网之间实行物理隔离。
网闸其实就是模拟人工数据倒换,利用中间数据倒换区,分时地与内外网连接,但一个时刻只与一个网络连接,保持“物理的分离”,实现数据的倒换。
在网闸工作时候,会经过一个剥离-检测-重新封装的过程,首先会把数据包做剥离分解,然后对静态的裸数据做安全审查,再用特殊的内部协议封装后转发,到达对端网络后再重新按照TCP/IP进行封装。
防火墙技术
华为防火墙默认分为4个安全区域。
(1)Trust区域:本区域内的网络受信程度高,通常用来定义内部用户所在的网络。
(2)DMZ区域:本区域内的网络受信程度中等,通常用来定义公共服务器所在的区域。
(3)Untrust区域:本区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。
(4)LOCAL区域,防火墙自身所在的区域
在华为防火墙中,每个安全区域都有一个安全级别,用1-100表示,数字越大,代表这个区域越可信。默认情况下,LOCAL区域安全级别100、Trust区域为85,DMZ为50,Untrust区域为5。
安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。
入方向:数据由低优先级的安全区域向高优先级的安全区域传输。
出方向:数据由高优先级的安全区域向低优先级的安全区域传输。
防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。注意三种模式的区别。
防火墙的分类:
包过滤防火墙的工作是通过查看数据包的源地址、目的地址或端口来实现的,由于防火墙只是工作在OSI的第三层(网络层)和第四层(传输层),因此包过滤的防火墙的一个非常明显的优势就是速度,缺点由于无法对数据报的内容进行核查,一次无法过滤或审核数据报的内容。
应用型代理防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品
动态包过滤防火墙。对于新建立的应用连接,状态检测型防火墙先检查预先设置的安全规则,允许符合规则的连接通过;记录下该连接的相关信息,生成状态表;对该连接的后续数据包,只要是符合状态表,就可以通过,更加灵活。
大型的网络放一个路由器到防火墙前面主要是路由器的接口丰富,适合广域网的多种不同类型的接口链路,而防火墙接口单一。但具体做题的时候,要根据设备的接口去看。关键是看DMZ这个接口。
入侵检测IDS和入侵防御IPS
IDS(入侵检测系统)就是对网络、系统的运行状况依照一定的安全策略进行监视,尽可能发现各种攻击企图。IDS的部署位置:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。以旁路模式接入。
IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。IPS一般是以串联的形式直接嵌入到网络流量中的。
入侵检测系统使用的方法有异常检测和误用检测两种。其中异常检测能检测出未知的入侵行为。
考点十:局域网技术、广域网技术
WLAN
无线局域网的两种基本的网络拓扑:Ad hoc网和基础设施网络。
Ad hoc整个网络没有固定的基础设施AP,每个节点都是移动的,动态地保持与其它节点的联系。与传统网络的协议相比,Ad hoc网络路由协议的更加复杂。
基础设施网络需要通过接入点(AP)。
无线AP通常可以分为胖AP(Fat AP)和瘦AP(Fit AP)两类。
胖AP一般还同时具有数据加密、拨号、QOS、用户认证、网络管理、DHCP等多方面功能。胖AP一般应用于小型的无线网络建设无需AC的配合。
瘦AP仅保留无线接入的部分,瘦AP作为无线局域网的一个部件,是不能独立工作的,必须配合AC的管理才能成为一个完整的系统。AP一般应用于中大型的无线网络建设。
无线AP往往还具有通过交换机POE模块对其供电。
无线局域网标准:
IEEE 802.11工作在2.4GHz情况下定义了14个信道,每个信道的频带宽度是22MHz。为了最大限度利用频带资源,可以使用(1、6、11),(2、7、12),(3、8、13),(4、9、14)这4组互不干扰的信道来进行无线覆盖。一般情况下就是用1、6、11这3个信道的组合。
无线局域网采用CSMA/CA协议解决信道争用问题。
无线局域网认证技术包括MAC地址认证、802.1X认证、PSK认证、Portal认证等手段。注意区别。
无线加密:三种方式WEP、WPA、WPA2。
其中WPA2采用了AES加密算法,安全性最高。
综合布线系统
结构化布线系统分为六个子系统:工作区子系统、水平布线子系统、干线子系统、设备间子系统、管理子系统、建筑群子系统。
注意:通过课堂上的示意图理解几个子系统的概念:
广域网技术
电路交换的缺点在于电路利用率低,经过连接建立、数据传输、电路拆除3个阶段。
分组交换采用存储转发传输方式,分为数据报分组交换和虚电路分组交换。
数据报分组交换:数据包的传输彼此独立,互不影响,可以按照不同的路由机制到达目的地,并重新组合。网络只是尽力地将分组交付给目的主机,但不保证所传送的分组不丢失,也不保证分组能够按发送的顺序到达接收端。所以网络提供的服务是不可靠的,也不保证服务质量。服务质量交给对端主机的高层处理。
虚电路分组交换:先建立一个逻辑连接,所有分组沿相同的路径进行交换转发,通信结束后再拆除该逻辑连接。网络提供的服务是可靠的,也保证服务质量。
一些广域网协议体系:
X.25是一个使用电话或者ISDN设备作为网络硬件设备来架构广域网的ITU-T网络协议。它的物理层,数据链路层和网络层都是按照OSI体系模型来架构的。通过建立虚电路,实现可靠交付。
帧中继( Frame Relay)在第二层建立虚拟电路,用帧方式承载数据业务,第三层被简化。并且帧中继只做检错,不重传,没有滑动窗口式的流控机制,只有拥塞控制,把复杂的检错交给高层处理,因此适合突发性业务。在虚连接中,用数据链路连接标识(DLCI)来表示该网络中的虚电路。
ATM异步传输网络,采用面向连接的传输方式,将数据分割成固定长度的信元(53B),通过异步时分复用技术,在虚连接上实现快速交换的技术。ATM的典型数据速率为155Mbps。
流量和差错控制
选择重发ARQ
(有噪声环境的双工通信)它是滑动窗口协议与自动请求重发技术的结合,当收到否定应答(NAK)时,只重发出错的帧。为了避免异常,其最大值就小于帧编号总数的一半,即W发=W收≤2K-1
后退N帧ARQ
(有噪声环境的双工通信)也是滑动窗口协议与自动请求重发技术的结合,只是当收到否定应答(NAK)时,将从出错处重发已发出过的N个帧。为了避免异常,必须限制发送窗口的大小W≤2K-1(K为帧编号的位数)
HDLC
HDLC是一种面向比特的链路层协议,HDLC帧格式包括标志字段、地址字段、控制字段、数据和校验和。
标志字段(01111110):用于确定帧的起始和结束,以进行帧同步和准确识别长度可变的帧。
HDLC采用比特填充法使一个帧中两个标志字段之间不会出现6个连续的1
具体做法是:在发送端,在加标志字段之前,先对比特串扫描,若发现5个连续的1,立即在其后加一个0。在接收端收到帧后,去掉头尾的标志字段,对比特串进行扫描,当发现5个连续的1时,立即删除其后的0。
默认时,Cisco路由器的串口是采用Cisco HDLC封装的。
HDLC的帧类型:定义了承载用户数据的信息帧(I帧),进行流量和差错控制的管理帧(S帧)和用于链路控制的无编号帧(U帧)三种帧类型。而信息帧除了可以承载用户数据之外,还可以捎带肯定管理信息,当没有足够的信息帧捎带时,则需要发送专门的管理帧来完成。
