《计算机网络原理》课件

计算机网络原理欢迎学习计算机网络原理课程！在这个信息爆炸的时代，计算机网络已成为现代社会的基础设施目前全球已有超过亿台设备连接至互联网，这一数字还60在迅速增长本课程旨在帮助大家掌握计算机网络的基本概念、架构模型及关键技术，为今后从事网络工程、安全运维、软件开发等相关工作奠定坚实基础通过系统学习，你将了解网络协议如何支持我们日常使用的各种应用，如何构建安全高效的网络系统，以及网络技术的未来发展趋势课程结构与学习方法理论学习实验实践本课程分为九大章节，从网络基每个章节都配有相应的实验内容，础概念到高级应用技术，循序渐通过实际操作加深对理论知识的进地展开主要内容包括网络分理解实验包括网络配置、协议层架构、物理层、数据链路层、分析、故障排查等内容，建议认网络层、传输层、应用层以及网真完成络安全与管理等案例分析课程将结合真实的行业案例，分析网络技术在不同场景下的应用通过案例学习，可以更好地理解理论知识如何转化为解决实际问题的能力第一章网络概述广域网WAN跨地域、国家甚至洲际的大型网络城域网MAN覆盖一个城市范围的中型网络局域网LAN覆盖小范围区域的网络计算机网络是指将分散的、具有独立功能的计算机系统通过通信设备与线路连接起来，由功能完善的软件实现资源共享和信息传递的系统自世纪年代诞生以来，计算机网络已经历了数十年的飞速发展，从早期的军事研究逐步扩展到当今的全球性基础2060ARPANET设施网络的主要功能信息交换协同工作通过电子邮件、即时通讯、社资源共享交媒体等方式实现用户之间的支持远程办公、视频会议、协信息交流同编辑等多人协作模式实现硬件设备（如打印机、存系统可靠性储器）、软件和数据等资源的共享，提高资源利用率，降低通过数据备份和负载均衡提高成本系统整体可靠性网络的组成部分50%30%终端设备传输介质网络中的计算机、智能手机等终端设备约占全球网络布线总长度可绕地球赤道超过总设备的一半圈100020%交换设备路由器、交换机等核心设备支撑着整个网络的运行网络系统由硬件和软件两部分组成硬件包括终端设备（如电脑、打印机、服务器等）、传输介质（如双绞线、光纤等）以及各种连接设备（如路由器、交换机等）软件则包括网络操作系统、网络管理软件以及各种网络应用程序，它们共同确保网络的正常运行网络分类方式按照传输范围分类按照拓扑结构分类局域网（）覆盖范围小，通常在几百米到几公里星型网络中心节点连接所有终端•LAN•城域网（）覆盖一个城市，范围在公里环形网络各节点形成闭合环路•MAN5-50•广域网（）跨越国家甚至洲际，范围可达数千公里总线型网络所有节点连接到同一传输介质•WAN•网状网络节点之间存在多条路径•混合型网络结合多种拓扑结构•第二章网络体系结构协议与接口常见网络体系结构各层之间通过接口进行通信，而同层之间则通分层的必要性目前主要有两种网络体系结构模型七层过协议进行通信协议是通信双方必须共同遵OSI网络协议的复杂性要求我们采用分层设计方法，参考模型和四层模型模型由国循的规则，包括语法、语义和时序三要素TCP/IP OSI每一层解决特定的通信问题，使网络设计更加际标准化组织制定，更具理论意义；而模块化、灵活和标准化不同厂商的产品只要模型源自实践，成为互联TCP/IP ARPANET遵循相同的协议标准，就能实现互联互通网实际应用的标准七层模型概述OSI应用层为用户提供接口和服务表示层数据格式转换、加密解密会话层建立、管理和终止会话传输层端到端的可靠数据传输网络层路由选择与寻址在七层模型的底部还有数据链路层（负责帧的传输与差错控制）和物理层（负责比特流的传输）每层都有特定的功能和协议，共同构成了完整的网络通信体系OSI模型实际意义OSI灵活模块化各层独立设计，一层的变化不会影响其他层的功能例如，物理传输介质从铜缆升级到光纤，只需更改物理层，而上层协议不变标准化每层都有明确定义的服务和接口，使不同厂商设备可以互联互通，促进了网络产业的蓬勃发展易于调试网络故障可以按层次定位，简化了网络问题的排查流程，提高了维护效率虽然实际网络实现中很少严格遵循七层模型，但它提供了一个理解网络通信过程OSI的重要理论框架网络工程师需要熟悉这一模型，以便更好地设计、分析和维护网络系统四层模型TCP/IP七层模型四层模型主要协议OSI TCP/IP应用层、表示层、会话层应用层、、、HTTP FTPSMTP DNS传输层传输层、TCP UDP网络层网际层、、IP ICMPARP数据链路层、物理层网络接口层以太网、、Wi-Fi PPP协议族是互联网实际应用的标准协议，相比模型更为简洁实用它将的七层简化为四层，合并了表示层和会话层的功能到应用层，将数据链TCP/IP OSIOSI路层和物理层合并为网络接口层协议族以其开放性、灵活性和可扩展性成为全球互联网的基础TCP/IP第三章物理层基础传输比特流建立物理连接物理层的主要功能是在物理介负责建立、维持和断开物理连质上传输比特流，它关注的是接，定义了物理接口特性，如如何将电信号、光信号或电磁机械特性（接口形状）、电气波转换为比特序列，以及如何特性（电压电平）、功能特性在物理介质上传输这些信号和规程特性典型设备物理层常见设备包括中继器、集线器、网卡、双绞线、光纤等，这些设备不进行寻址和路由选择，仅负责信号的传输和放大物理层是整个网络体系结构的基础，其性能直接影响整个网络的传输速率和可靠性尽管物理层技术相对成熟，但随着网络应用的发展，新型传输介质和调制解调技术仍在不断涌现常用传输介质双绞线光纤同轴电缆最常用的传输介质，由两根绝缘铜线相互由纤芯和包层组成，利用光的全反射原理由内导体、绝缘层、网状屏蔽层和外绝缘缠绕组成分为屏蔽双绞线和非屏蔽传输信号单模光纤传输距离可达几十公层组成传输距离约为几百米，最高支持STP双绞线可支持千兆以太网，里，多模光纤传输距离为几公里优点是几百的传输速率优点是抗干扰能力UTP Cat5e Mbps传输距离约米优点是价格低廉、安传输距离远、速率高、抗干扰能力强；缺强于双绞线；缺点是成本较高，已逐渐被100装简便；缺点是抗干扰能力较弱，传输距点是造价高、连接复杂其他传输介质替代离有限数据编码与信号类型信号类型常见编码方式模拟信号连续变化的电磁波，如声音、温度不归零编码高电平表示，低电平表示••NRZ10数字信号离散的脉冲序列，用高低电平表示和归零编码信号在每个比特周期内返回零电平•10•RZ基带信号原始数字信号，需要直接使用传输介质曼彻斯特编码在每个比特周期中间有一次电平跳变••带通信号经过调制的信号，可以在特定频带传输差分曼彻斯特编码在每个比特周期开始有跳变表示，无跳••0变表示1编码将比特数据编码为比特，避免长时间相同电•4B/5B45平选择合适的编码方式对于提高传输效率、降低误码率至关重要现代网络通常采用多种编码技术的组合，以平衡传输效率、同步能力和抗干扰能力数据传输方式传输方向时钟同步单工数据只能单向传输；半双工数同步传输发送方和接收方使用同一时据可双向传输但不能同时；全双工数钟；异步传输收发双方各自使用时钟，据可以同时双向传输通过特殊位模式同步交换方式数据位数电路交换建立专用物理通道；分组交串行传输一次发送一个比特；并行传换数据分组独立传输；报文交换完输一次发送多个比特整消息传输第四章数据链路层概述比特流分割成帧差错检测流量控制介质访问控制将物理层传来的比特流划分为通过校验和等方式检测帧控制发送速率，避免接收方缓规定多个节点如何共享传输介CRC帧传输中的错误冲区溢出质数据链路层是模型中的第二层，负责相邻节点之间可靠的数据传输它接收网络层的数据包，将其封装成帧，通过物理层传输到下一个节点OSI数据链路层解决了物理层无法处理的成帧、差错控制和流量控制等问题，为网络层提供了可靠的数据传输服务局域网与广域网连接设备集线器Hub工作在物理层的设备，简单地将所有端口连接在一起，形成一个共享的冲突域当一个端口接收到信号时，集线器会将其广播到所有其他端口，不进行任何过滤，效率较低交换机Switch工作在数据链路层的设备，能够根据地址表将数据帧转发到特定端口，避免了不必要MAC的广播，显著提高了网络效率每个端口构成一个单独的冲突域网桥Bridge连接两个局域网的数据链路层设备，根据地址决定是否转发帧与交换机相比功能类MAC似但端口较少，现已基本被交换机取代路由器Router工作在网络层的设备，能够根据地址在不同网络之间转发数据包，实现不同网络的互联IP路由器将网络分割成多个广播域，有效控制广播风暴媒体访问控制协议纯ALOHA最早的随机接入协议，站点可以随时发送数据，如发生冲突则等待随机时间后重发时隙ALOHA将时间划分为离散时隙，站点只能在时隙开始时发送，将吞吐量提高到纯的两倍ALOHA协议CSMA发送前先侦听信道，如空闲则发送，否则等待；分为坚持、非坚持和坚持三种类型1-p-协议CSMA/CD以太网采用的协议，在发送过程中继续监听，如检测到冲突则立即停止，等待随机时间后重发令牌环协议只有持有令牌的站点才能发送数据，发送完毕后将令牌传递给下一站，避免了冲突以太网技术无线局域网Wi-Fi54Mbps速率

802.11a/g和频段

2.4GHz5GHz600Mbps速率

802.11n支持技术MIMO

3.5Gbps速率

802.11ac仅使用频段5GHz

9.6Gbps速率

802.11ax支持技术OFDMA技术基于系列标准，是目前最流行的无线局域网技术它采用（载波侦听多路访问冲突避免）机制，通过Wi-Fi IEEE

802.11CSMA/CA/RTS/CTS（请求发送清除发送）帧交换解决隐藏终端问题安全方面经历了从到、再到的发展，加密强度不断提高目前最新/Wi-Fi WEPWPA WPA2WPA3的（）标准不仅提高了传输速率，还大幅提升了高密度场景下的网络效率Wi-Fi

6802.11ax数据链路层错误检测数据链路层采用多种机制检测传输过程中的错误最简单的是奇偶校验，通过添加一个校验位使码字中的个数为奇数或偶数循环冗余1校验是目前最常用的差错检测技术，它将数据视为一个二进制多项式，通过多项式除法生成校验码汉明码除了能检测错误外，还CRC能自动纠正单比特错误校验和则是将数据划分为等长字段，对这些字段求和，求反码后作为校验和字段这些技术各有优缺点，在不同场景下应用第五章网络层概述路由选择分组转发逻辑寻址确定数据包从源到目根据路由表中的信息，为每个设备分配网络的地的最佳路径，是将数据包从一个接口层地址（如地址），IP网络层最核心的功能转发到适当的出口接使数据包能够在互联路由选择考虑多种因口，实现数据包的传网中正确寻址和传递素，如跳数、延迟、递带宽等分片与重组当数据包大小超过网络的最大传输单元时，将数据包MTU分割成更小的片段，在目的地重新组装网络层是整个网络体系结构的核心，它使得数据能够跨越不同的物理网络进行端到端的传输与数据链路层不同，网络层关注的是整个路径上的数据传输，而不仅仅是相邻节点间的通信协议基本原理IP地址结构数据报格式改进IPv4IP IPv6地址为位二进制数，通常以点分数据报由首部和数据两部分组成首部使用位地址，地址空间极大扩IPv432IP IPv6128十进制表示，如每个地包含版本、首部长度、服务类型、总长度、展同时简化了首部格式，提高了处理效

192.

168.

1.1址由网络号和主机号两部分组成，通过子标识、标志、片偏移、生存时间、协率；改进了对移动设备的支持；增强了安TTL网掩码区分根据网络号的不同，议、首部校验和、源地址、目的地址等字全性和服务质量功能；取消了校验IPv4QoS地址分为、、、、五类，其中段首部长度通常为字节，如果有选和字段，依靠底层协议保证可靠传输A BC DE D20类用于多播，类保留用于研究项最长可达字节E60路由选择算法静态路由管理员手动配置的固定路由动态路由路由器自动交换和更新路由信息距离矢量算法协议，基于跳数选择路径RIP链路状态算法协议，基于链路状态选择最短路径OSPF路径矢量算法协议，基于路径属性和策略选择路由BGP路由选择算法决定了数据包在网络中传输的路径静态路由配置简单但不能适应网络变化；动态路由能自动适应网络拓扑变化，但增加了网络开销是最早的路由协议，RIP最大跳数限制为跳；适用于大型网络，支持等价多路径；是互联网主干网采用的路由协议，实现了自治系统之间的路由选择15OSPF BGP网际控制协议ICMP差错报告当路由器无法将数据报发送到目的地时，会返回差错报文，说明无法交付IP ICMP的原因常见的差错报文类型包括目的不可达、源抑制、时间超过和参数问题等工具Ping基于回送请求和回送回答报文实现，用于测试目的主机是否可达，以及测量ICMP往返时间是网络故障排除的基本工具，可以初步判断网络连通性Ping工具Traceroute/Tracert利用时间超过差错报文，通过逐步增加值，使数据包在路径上的每个路由ICMP TTL器超时，从而跟踪数据包从源到目的地的完整路径路由重定向当路由器发现主机使用非最优路径时，会发送重定向报文，建议主机更改路ICMP由这有助于优化网络路径，提高传输效率与未来网络IPv6是为解决地址耗尽问题而设计的下一代互联网协议它使用位地址空间，理论上可提供约×个地址，足以为地IPv6IPv

41283.410^38球上的每粒沙子都分配一个地址采用了冒号十六进制表示法，如，可以IP IPv62001:0db8:85a3:0000:0000:8a2e:0370:7334使用压缩表示法省略连续的0除了扩大地址空间外，还简化了报文头部结构，从的个字段减少到个，提高了路由器处理效率；增强了安全性，内置IPv6IPv4128支持；改进了对移动设备和物联网设备的支持；取消了分片功能，依靠路径发现机制避免分片目前全球部署率约为IPSec MTUIPv6，中国的活跃用户数已超过亿35%IPv65与私有地址NAT私有地址空间基本NAT预留了三个地址块作为私有地址IPv4仅转换地址，不修改端口号，一个公IP、和

10.

0.

0.0/

8172.

16.

0.0/12网只能映射一个内网IP IP

192.

168.

0.0/16的局限性网络地址端口转换NAT破坏了的端到端连接性，影响某些应同时转换地址和端口号，一个IP NAPTIP用程序，增加了网络复杂性公网可以映射多个内网IP IP网络地址转换技术通过修改数据包头部的地址信息，实现私有地址网络与公网的通信它在缓解地址短缺问题的同时，也NAT IP IPv4提供了一定的安全性，因为外部网络无法直接访问内部主机尽管有诸多局限性，但在完全普及前，它仍将是互联网基础设施NAT IPv6的重要组成部分第六章运输层原理进程到进程通信通过端口号实现应用进程的寻址和标识复用与分解将多个应用进程的数据复用到网络连接中，并在接收端正确分发可靠数据传输确保数据无损坏、不丢失、不重复、按序到达流量与拥塞控制防止发送方淹没接收方，维护网络稳定传输层是整个网络体系中承上启下的关键层次，它为应用层提供端到端的通信服务，屏蔽了底层网络的复杂性传输层定义了两个主要协议面向连接的协议和无连接的协议提供可TCP UDP TCP靠的、有序的、面向字节流的传输服务，而提供不可靠的、无连接的数据报服务UDP协议详解TCP三次握手建立连接连接建立需要三次握手客户端发送标志的报文；服务器回复标志的TCP SYNSYN+ACK报文；客户端再发送确认这一过程确保了双方都知道对方的发送和接收能力正常ACK可靠数据传输机制通过序列号、确认号、校验和、超时重传和累积确认等机制保证数据可靠传输TCP每个字节都有唯一的序列号，接收方通过确认号告知已正确接收的数据流量控制与拥塞控制使用滑动窗口机制进行流量控制，根据接收方的处理能力调整发送速率拥塞TCP控制则通过慢启动、拥塞避免、快重传和快恢复等算法维护网络稳定四次挥手关闭连接连接关闭需要四次挥手发起方发送；接收方回复；接收方发送TCP FIN ACK；发起方回复四次挥手确保双方都完成了数据传输并同意关闭连接FINACK报文段结构TCP端口号字段源端口和目的端口各占位，用于标识通信的应用进程知名端口（）160-1023由分配给特定服务，如使用端口，使用端口IANA HTTP80HTTPS443序列号与确认号序列号标识发送的数据字节流的位置，初始序列号是随机选择的确认号表示期望收到的下一个字节的序列号，实现了累积确认机制控制位包括、、、、、六个标志位，用于控制连接的建立、URG ACKPSH RSTSYN FINTCP维护和终止表示确认号有效，用于建立连接，用于终止连接ACK SYNFIN窗口大小位字段，表示接收方当前的接收窗口大小，即可以接收的字节数，用于流量控制16通过窗口缩放选项，实际窗口大小可以扩展协议简介UDP协议特点应用场景UDP UDP无连接不需要建立连接就可以发送数据实时应用视频会议、网络电话、网络游戏••VoIP不可靠传输不保证数据包的到达、顺序和不重复简单查询应用域名解析、网络管理••DNS SNMP无拥塞控制发送速率不受网络拥塞影响多媒体流应用视频直播、、网络广播••IPTV头部开销小头部仅字节，远小于的字节物联网应用传感器数据传输、智能家居控制•UDP8TCP20•支持一对多通信可以进行广播和多播局域网服务、••DHCP TFTP协议头部仅包含源端口、目的端口、长度和校验和四个字段，结构简单明了虽然不提供可靠传输保证，但其低延迟和高效率UDP UDP特性使其在许多应用场景中成为的理想替代品某些应用程序在基础上实现了自己的可靠性机制，如协议TCP UDPQUIC运输层端口号端口类别端口范围用途分配方式熟知端口常用服务由分配0-1023IANA注册端口厂商注册服务需向注册1024-49151IANA动态端口临时或私有服务自由使用49152-65535端口号是传输层协议寻址的关键机制，用于标识同一主机上的不同应用进程常见的熟知端口包括、、、、、FTP20/21SSH22Telnet23SMTP25DNS

53、、、等注册端口如HTTP80POP3110IMAP143HTTPS

443、、等MySQL3306Redis6379MongoDB27017操作系统通常要求普通用户程序使用以上的端口，只有特权进程才能使用10241-的端口在进行网络编程时，服务器通常使用固定的端口号监听连接请求，而1023客户端则使用临时分配的动态端口号防火墙配置通常基于端口号控制网络流量运输层错误与流量控制超时重传自适应RTO发送方在发送数据后启动计时器，如果根据往返时间动态调整超时重传时间超时未收到确认则重传数据，适应网络变化RTO零窗口探测滑动窗口当接收方窗口为零时，发送方定期发送接收方通过窗口大小告知发送方可接收探测报文，防止死锁的数据量，实现流量控制的流量控制是端到端的控制机制，目的是防止发送方发送数据的速率超过接收方处理数据的速率使用滑动窗口协议实现流量TCP TCP控制，窗口大小随网络状况动态调整接收方通过首部的窗口字段告知发送方自己的接收能力，当接收缓冲区满时，可以通告零窗TCP口暂停发送方的数据传输第七章应用层概述应用层是网络体系结构中最接近用户的一层，直接为用户的应用程序提供服务它定义了应用进程间通信和交互的规则，规定了应用进程发送和接收消息的格式常见的应用层协议包括网页浏览、电子邮件、文件传输、域名解HTTP/HTTPSSMTP/POP3/IMAPFTPDNS析、远程登录等Telnet/SSH应用层协议通常采用客户端服务器模式或对等模式工作应用层协议的设计需要考虑传输层协议的选择或、寻址方式、数/P2PTCP UDP据格式、安全性等多种因素随着互联网的发展，应用层协议也在不断演进，如从发展到，增加了性能优化和安全特性HTTP

1.

03.0协议基础HTTP请求HTTP包含请求行、请求头和请求体服务器处理解析请求并准备响应内容响应HTTP包含状态行、响应头和响应体浏览器渲染解析、并执行HTML CSSJavaScript超文本传输协议是万维网的基础协议，由蒂姆伯纳斯李于年发明它是一个无状态协HTTP·-1989议，每个请求响应对相互独立请求方法包括获取资源、提交数据、更新/HTTP GETPOSTPUT资源、删除资源、仅获取头信息等DELETEHEAD状态码分为五类信息性、成功、重定向、客户端错误、服务器错HTTP1xx2xx3xx4xx5xx误常见状态码包括成功、永久重定向、未找到和服务器内部错误200301404500是的安全版本，通过协议加密通信内容，防止数据被窃听或篡改HTTPS HTTPSSL/TLS域名系统DNS分层命名空间分布式数据库域名解析过程采用层次化的域名数据分布在全球成当用户访问一个域名时，DNS DNS结构，从右到左依次为千上万的服务器上，本地服务器首先查DNS DNS顶级域、二级域、三级没有任何一台服务器拥询缓存，如果没有找到，域等如有全部数据根域名服则向根域名服务器查询，中，务器、顶级域名服务器、逐级向下，直到找到对www.example.com是顶级域，权威域名服务器和本地应地址或确认域名不com IP是二级域，域名服务器共同构成存在example是三级域系统www DNS是互联网的电话簿，将人类可读的域名转换为机器可读的地址它使用DNS IP53端口，同时支持和协议除了域名解析外，还提供邮件服务器查询TCP UDPDNS记录、服务定位记录、别名记录等功能安全扩展MXSRVCNAMEDNS通过数字签名为查询提供完整性保护，防止缓存投毒等攻击DNSSEC DNS DNS电子邮件协议文件传输协议主动模式被动模式FTP FTP在主动模式下，客户端打开一个随机端口发送在被动模式下，客户端打开两个随机端口和，分别用于命NN1023FTP NN+1命令，并打开端口监听服务器的数据连接服务器从其端令和数据连接服务器打开一个随机端口接收数据连N+120PP1023口连接到客户端的端口发送数据接这种模式更适合防火墙环境N+1主动模式在客户端有防火墙时可能会遇到问题，因为防火墙通常被动模式的工作流程如下会阻止外部发起的连接主动模式的工作流程如下客户端连接到服务器的端口

1.21客户端连接到服务器的端口

1.21客户端发送命令

2.PASV客户端告知服务器自己的和用于数据连接的端口

2.IP服务器打开随机端口并告知客户端

3.服务器从端口主动连接到客户端指定的端口

3.20客户端从本地随机端口连接到服务器指定的端口

4.使用两个并行的连接控制连接端口和数据连接端口或随机支持多种文件传输模式，包括模式用于文本FTP TCP2120FTP ASCII文件和二进制模式用于非文本文件文件传输协议和安全是的安全替代方案，它们通过加密保护数据传输SFTPSSHFTPSFTPFTP过程常见网络应用案例网络直播技术架构云存储服务架构现代网络直播系统通常采用推流转码以百度网盘、阿里云为代表的云存--OSS分发的三层架构主播端使用协储服务采用分布式存储架构，将数据分RTMP议将音视频推送到云服务器，经过转码片存储在多个物理节点上，通过冗余备后使用或协议分发给观众份保证数据安全这些服务通常提供HLS DASH内容分发网络技术用于解决用户接口，支持CDNRESTful API访问量大、地理分布广的问题，通过在协议访问文件去重技HTTP/HTTPS全球部署边缘节点，将内容缓存到离用术可显著节省存储空间，一个文件即使户最近的服务器被多个用户存储，物理上也只保存一份即时通讯应用微信、等即时通讯应用采用客户端服务器客户端的架构，使用私有协议或基于QQ--等标准协议的变种消息投递通常采用推送技术，服务器主动将消息推送到客XMPP户端为保证高并发和低延迟，通常采用长连接技术和分布式消息队列系统端到端加密技术确保只有通信双方能读取消息内容网络应用协议安全风险加密传输解决方案中间人攻击为解决这些安全问题，现代应用协议大多采用明文传输风险攻击者通过欺骗等技术插入到客户端和服加密，如、、等ARP SSL/TLS HTTPSFTPS SMTPS早期的HTTP、FTP、Telnet等协议都采用明文务器之间，截获并可能修改双方的通信内容通过数字证书验证服务器身份，并使用非对TLS传输，所有数据包括用户名密码都可能被网络上劫持和缓存投毒也是常见的中间人攻称加密和对称加密的组合保护数据传输DNSDNS的攻击者截获通过网络嗅探工具（如击方式，导致用户被引导到钓鱼网站已成为标准，大多数浏览器会警告HTTPS Web），攻击者能轻易获取明文传输的敏Wireshark用户访问非网站的风险HTTPS感信息，导致用户隐私泄露和账号被盗第八章网络安全基础被动攻击窃听通信内容而不干扰正常通信过程，如网络嗅探、流量分析等此类攻击难以检测，主要通过加密技术防范主动攻击篡改数据、伪造身份或干扰服务正常运行，如数据篡改、重放攻击、拒绝服务攻击等这类攻击可能留下痕迹，通过身份认证、访问控制和入侵检测系统防DoS/DDoS范恶意软件通过网络传播的病毒、木马、蠕虫、勒索软件等恶意程序，可能窃取信息、破坏系统或加密文件勒索赎金防范措施包括防病毒软件、系统及时更新和用户安全意识培训社会工程学攻击通过欺骗用户而非技术手段获取敏感信息，如钓鱼邮件、钓鱼网站、假冒客服等这类攻击针对人的弱点，主要通过用户教育和多因素认证防范防火墙原理应用层防火墙深度检测应用层协议内容状态检测防火墙记录连接状态，根据上下文过滤包过滤防火墙基于地址和端口号过滤IP防火墙是网络安全的第一道防线，它根据预设的安全策略控制进出网络的流量包过滤防火墙是最基本的类型，基于数据包头部信息（如源目的/地址、端口号、协议类型等）决定是否转发数据包，配置简单但功能有限IP状态检测防火墙不仅检查数据包，还维护连接状态表，记录已建立的连接，能够识别属于已知连接的数据包，提供更精细的控制应用网关代理防火墙工作在应用层，可以理解和解析应用层协议，能够识别和阻止特定应用层攻击，如注入、等新一代防火墙集成了传统SQL XSSNGFW防火墙、入侵防御系统、应用控制和深度包检测等多种功能与数据加密VPN加密算法隧道技术使用、等对称加密保护数据，等AES3DES RSA在公共网络上创建私密通道，实现远程安全访问非对称加密交换密钥协议身份认证VPN4常见协议包括、、、、使用数字证书、预共享密钥或用户名密码验证身IPSec SSL/TLS PPTPL2TP3等份OpenVPN虚拟专用网络通过在公共网络上建立加密隧道，为远程用户提供对内部网络的安全访问分为三种主要类型站点到站点连接两个局域网、远程VPN VPNVPN访问连接用户到公司网络和客户端到客户端保护用户隐私VPNVPN数据加密是保护信息安全的核心技术，分为对称加密和非对称加密对称加密如、使用相同的密钥加密和解密，速度快但密钥分发困难；非对称加密如AES DES使用公钥加密、私钥解密，解决了密钥分发问题但速度较慢实际应用中通常采用混合加密方案使用非对称加密交换会话密钥，然后用对称加密保护数据传RSA输入侵检测与防护入侵检测系统入侵防护系统IDS IPS入侵检测系统是一种被动安全设备，仅监控网络流量并报告可疑入侵防护系统是的积极演进，不仅能检测威胁，还能主动阻止IDS活动，不会主动阻止威胁分为两种主要类型和响应攻击部署方式包括IDS IPS基于网络的监控整个网段的流量内联模式直接位于网络流量路径上•IDSNIDS•基于主机的监控单个主机的活动旁路模式监控流量副本并向防火墙发送阻断指令•IDSHIDS•使用两种主要检测方法的响应机制包括IDS IPS基于特征的检测匹配已知攻击模式会话重置中断可疑连接••TCP基于异常的检测发现偏离正常行为的活动数据包丢弃阻止恶意流量••流量整形限制可疑来源的带宽•阻断临时封锁恶意地址•IPIP现代网络安全架构通常采用防火墙、和安全信息与事件管理系统的组合，构建多层防御体系新一代已开始集成机器IDS/IPS SIEMIPS学习和人工智能技术，提高对未知威胁的检测能力网络访问控制身份认证Authentication验证用户身份的过程，确认你是谁常见的身份认证方式包括用户名密码、数字证书、智能卡、生物识别和一次性密码等多因素认证结合你知道的密码、你拥有的MFA手机和你是谁指纹三种因素，大幅提升安全性授权Authorization确定用户可以访问哪些资源的过程，确认你能做什么授权通常基于角色、RBAC属性或基于规则的访问控制模型实现最小权限原则要求仅授予用户完成工作ABAC所需的最小权限，减少安全风险审计Accounting记录用户活动的过程，跟踪你做了什么系统日志记录用户登录时间、访问资源、执行操作等信息，便于事后审计和安全事件调查日志应集中管理并实施完整性保护，防止被攻击者篡改或删除网络准入控制NAC验证设备安全状态并控制网络访问的系统确保只有符合安全策略的设备NAC才能接入网络，如要求最新补丁、活跃的防病毒软件等不合规设备可能被隔离到特定网段或限制访问特定资源第九章网络管理与运维配置管理网络监控管理网络设备配置，确保一致性和合规性实时监控网络设备、链路和服务的状态及性能安全管理实施安全策略，防御威胁，处理安全事件故障管理性能管理检测、隔离和解决网络故障优化网络性能，确保服务质量简单网络管理协议是网络管理的标准协议，用于收集和组织网络设备信息它采用管理站代理的架构，通过协议工作管理信息库SNMP-UDP定义了可被查询和设置的管理对象支持三种操作读取、写入和通知MIB SNMPGet SetTrap网络配置管理工具如、和实现了网络自动化，减少人为错误并提高效率网络文档应包括拓扑图、地址分配、配置备份和变更Ansible PuppetChef IP记录等内容，是故障排除和规划扩展的重要依据网络性能分析Wireshark Iperf/iPerf3netstat/ss最流行的开源网络协议分析器，可以捕获和网络性能测试工具，用于测量和带网络连接状态查看工具，显示网络连接、路TCPUDP详细分析各种网络协议的数据包它支持实宽性能它可以调整各种参数（如时间间隔、由表、接口统计等信息正逐渐被netstat ss时捕获和离线分析，提供强大的过滤器和统缓冲区大小和协议）来测试网络吞吐量命令替代，后者提供更丰富的信息和更快的计功能，能解析数百种协议，是网络故障排通常用于网络质量评估、带宽容量规划执行速度这些工具对了解系统网络状态、iPerf查的必备工具和排查网络瓶颈诊断连接问题非常有用衡量网络性能的关键指标包括带宽最大理论吞吐量、吞吐量实际数据传输率、延迟数据传输所需时间、抖动延迟变化、丢包率丢失的数据包百分比和可用性网络服务正常运行时间基于这些指标制定的服务级别协议是网络管理的重要依据SLA网络新技术与发展趋势软件定义网络网络功能虚拟化SDN NFV将网络控制平面与数据平面分离，将传统硬件网络设备如路由器、SDN NFV通过集中控制器管理网络行为这种架防火墙的功能转移到虚拟机或容器中构提高了网络灵活性和可编程性，使网运行，降低了硬件成本和部署复杂性络能够更快速地适应应用需求变化这种技术使网络服务能够按需部署和扩控制器通过南向接口如展，缩短了服务上线时间通常与SDNNFV控制网络设备，通过北向接结合，形成更灵活、可编程的网络OpenFlow SDN口向应用提供服务已在数据中心、架构SDN运营商网络和企业骨干网获得广泛应用与物联网5G IoT网络凭借高带宽最高、超低延迟毫秒级和海量连接能力每平方公里5G20Gbps1万设备，为物联网提供了理想的连接基础支持网络切片技术，可根据不同1005G应用需求提供定制化网络服务物联网设备规模预计到年将达到亿台，这2025750些设备将产生海量数据，推动边缘计算技术发展云网络架构与应用公有云私有云由第三方云服务提供商拥有和运营的计算资源，通过互联网向多个组织提供服专门为单个组织构建的云基础设施，可以部署在组织内部或由第三方托管提务优势在于成本低按需付费、可扩展性强、无需维护硬件；缺点是对数据供更高的安全性和控制力，适合处理敏感数据和需要符合严格合规要求的组织，控制有限，可能存在安全顾虑代表有阿里云、腾讯云、和等但成本较高，灵活性相对较低AWS Azure混合云多云战略结合公有云和私有云的优势，关键应用和敏感数据保留在私有云，而其他负载使用多个云服务提供商的策略，避免供应商锁定，利用不同供应商的特长这放在公有云上这种模式提供了更大的灵活性和部署选择，但增加了架构复杂种方法提供了更大的冗余性和容错能力，但需要处理不同云平台间的兼容性问性和管理难度需要跨云环境的身份管理和数据集成题和复杂的管理挑战云服务模型包括基础设施即服务、平台即服务和软件即服务，分别提供不同抽象级别的服务，用户可根据需求选择合适的模型云网络技术如虚拟私有云IaaSPaaSSaaS、弹性负载均衡和云防火墙，为应用提供了安全、可靠的网络环境VPC行业实践案例分享

99.999%金融行业网络可用性银行核心系统年度可用性要求10Gbps企业骨干网带宽大型企业总部典型带宽25%优化后网络延迟改善某跨国公司优化成果WAN60%部署率SDN大型数据中心采用比例SDN某大型金融机构通过实施分布式架构的广域网优化方案，将跨区域应用响应时间减少了，同时降低了的广域网带宽成本该方案采用40%30%SD-技术，实现了链路选择智能化和流量管理自动化，大幅提升了分支机构的网络体验WAN某互联网企业数据中心网络架构采用脊叶拓扑结构，基于技术构建了可扩展的数据中心网络，支持多租户隔离和虚拟网络动Spine-LeafBGP EVPN态配置该架构实现了东西向流量的高效传输，服务器之间的通信时延降至微秒级，为微服务架构应用提供了理想的网络环境总结与答疑持续学习网络技术快速发展，需保持学习习惯实践应用搭建实验环境，应用所学知识扎实基础掌握网络协议和体系结构原理通过本课程的学习，我们系统地了解了计算机网络的基本概念、体系结构和核心协议从物理层的信号传输到应用层的网络服务，我们建立了完整的网络知识体系这些知识是从事网络工程、安全管理、软件开发等工作的重要基础在未来学习和工作中，建议同学们一是持续关注网络技术的发展趋势，如、、等；二是结合实际项目加深理解，搭建实验环境进行动手SDN5G IPv6实践；三是获取相关专业认证，如、等，提升职业竞争力；四是关注网络安全领域，这是当前和未来的热点方向CCNA CCNP感谢大家的学习和参与！希望这门课程能为你的职业发展提供有力支持。