[计算机科学]北京大学计算机网络课件

北京大学计算机网络课程介绍欢迎参加北京大学计算机网络课程！本课程旨在为学生提供全面的计算机网络基础知识和实践技能，从网络架构到协议实现，从理论到应用，系统地介绍计算机网络的各个方面本课程将带领大家深入了解网络通信的原理、协议和应用，培养分析和解决网络问题的能力通过理论学习和实践操作相结合，帮助学生建立起完整的计算机网络知识体系，为未来的学习和工作奠定坚实基础计算机网络发展历史年诞生1969ARPANET美国高级研究计划局网络（）建立，连接了四个节点，成为互联网的雏形这一ARPANET突破性项目奠定了分组交换网络的基础年协议采用1983TCP/IP正式采用协议，实现了不同网络间的互联互通，成为现代互联网的技术基ARPANET TCP/IP础年万维网诞生1991蒂姆伯纳斯李发明了万维网（），使互联网从学术研究工具转变为大众信·-World WideWeb息平台年至今移动互联网时代2007智能手机普及开启移动互联网时代，、物联网等技术推动网络向更高速度、更低延迟方5G向发展计算机网络的应用全球信息共享实时通信新兴技术支撑万维网（）使全球信息得以即时共即时通信工具如微信、钉钉等支持文字、云计算服务提供弹性计算资源，降低基WWW IT享与检索电子邮件系统实现了异步通语音、视频实时交流流媒体技术使在线础设施成本物联网通过将数十亿设备连信，成为商业和个人通信的基础工具这视频会议、直播和点播服务成为可能，尤接至网络，创造智能家居、智慧城市等应些应用彻底改变了人类获取和传递信息的其在疫情期间发挥了重要作用用场景，正在重塑我们的生活方式方式随着技术的普及和边缘计算的发展，计算机网络的应用场景将进一步扩展虚拟现实、增强现实、自动驾驶等新兴技术都依赖于高性能网络5G的支持，网络已成为现代社会的基础设施网络体系结构概述应用层提供用户服务和接口传输层端到端连接与可靠传输网络层路由选择与寻址数据链路层成帧与差错控制物理层比特传输与介质分层结构是计算机网络体系的核心思想，通过将复杂系统分解为若干功能层，每层专注于特定任务，简化了网络设计与实现七层参考模型提供了网络设计的理论框架，而四层OSI TCP/IP模型则是实际应用最广泛的网络架构每一层都使用下层提供的服务，并向上层提供服务，层与层之间通过接口进行通信这种模块化设计使得各层可以独立发展，只要接口保持稳定，某一层的技术更新不会影响整个系统与模型对比OSI TCP/IP七层模型四层模型OSI TCP/IP由国际标准化组织（）提出，分为物理层、数据链路层、网由网络接口层、网络层（）、传输层（）和应用层组ISO IP TCP/UDP络层、传输层、会话层、表示层和应用层七个层次理论完备但成实用性强，已成为互联网的事实标准实现复杂优点简化了模型，更适合实际部署；协议设计先行，再形OSI优点分层更细，功能划分更清晰；各层独立性强，便于标准成模型，更符合实际需求化缺点层次功能划分不如清晰；网络接口层未定义具体标OSI缺点过于理想化，实际实现困难；层次过多，效率不高准实际应用中，模型取得了压倒性胜利这主要是因为协议是与互联网同步发展的，其设计直接针对实际网络环境而TCP/IPTCP/IP OSI模型则更多作为教学参考，帮助人们理解网络分层概念在实际工作中，工程师们通常使用混合模型，借用的名词来描述网络中的功能层次，如经常提到的第二层交换机、第三OSI TCP/IP层路由等概念协议与标准协议的定义与作用主要标准组织协议是通信双方约定的规则集合，互联网工程任务组（）负责互IETF规定了通信格式、时序和动作有联网协议标准；定义物理和数IEEE效的协议必须明确定义消息格式、据链路层标准；制定标准；W3C Web语义和时序，确保不同厂商设备能负责全球电信标准这些组织确ITU够互操作保了全球网络的互通互联文档系统RFC请求评议（）是发布的技术规范和协议标准，如定义了协议，RFC IETFRFC791IP定义了协议文档经过严格的审查流程，从草案到标准需要广泛RFC793TCP RFC实施和验证标准化是网络技术发展的关键开放标准确保了不同厂商的设备可以无缝协作，降低了用户成本，促进了技术创新中国也积极参与国际标准制定，并推动自主标准如等TD-LTE在全球的应用学习网络技术时，阅读等标准文档是深入理解协议细节的重要途径这些文档不仅包RFC含了协议规范，还提供了设计思路和实现建议，是网络工程师的重要参考资料数据交换方式电路交换建立专用物理路径，整个通信过程独占资源典型应用是传统电话网络报文交换以完整报文为单位存储转发，不分割数据早期电子邮件系统采用此方式分组交换数据被分割成小分组独立路由，目的地重组现代互联网的基础电路交换建立连接时间长但传输延迟确定，适合实时语音等持续稳定的业务；分组交换资源利用率高但可能有延迟波动，适合突发性数据传输现代网络趋向于用分组交换技术模拟电路交换的服务质量，如技术VoIP分组交换网络的延迟由四部分组成处理延迟（路由器处理时间）、排队延迟（缓冲区等待时间）、传输延迟（将分组推出接口所需时间）和传播延迟（信号在介质中传播所需时间）了解这些延迟成因有助于网络性能分析和优化网络性能指标带宽与吞吐量带宽是链路的理论最大传输速率，单位为；吞吐量是实际测得的数据传输速率，受网bps络条件和协议开销影响，通常低于带宽时延与丢包率时延是数据从源到目的地所需时间，包括传输时延、传播时延、处理时延和排队时延；丢包率表示网络中丢失的数据包百分比，是衡量可靠性的重要指标服务质量（）QoS是网络为特定应用提供不同服务等级的能力，包括带宽保证、延迟控制和误码率等多QoS种机制，对音视频等实时应用尤为重要网络性能指标之间存在内在联系和权衡关系增加带宽可以提高吞吐量，但可能无法减少由传播距离导致的传播延迟；通过缓冲可以减少丢包，但会增加排队延迟不同应用对这些指标的敏感度不同，例如文件传输主要关注吞吐量，而实时游戏则对延迟更敏感在网络规划和故障排除中，准确测量和分析这些性能指标至关重要常用工具如可测量ping RTT（往返时间），可测量带宽和吞吐量，而专业监控系统则可全面收集和分析网络性能数据iperf物理层基本任务信道定义与管理接口特性规范物理层将数据通过传输介质从发送方定义机械特性（接口形状、尺寸）、传递到接收方它定义了信息传递的电气特性（电压电平、阻抗匹配）、通道（信道），确保比特流能够在物功能特性（数据线和控制线用途）以理媒介上有效传播及规程特性（建立、维护和释放物理连接的程序）比特传输保障物理层将数字比特转换为适合传输介质的信号它不关心比特含义，只负责可靠传递，通过调制、编码等技术提高传输效率和抗干扰能力物理层是整个网络体系结构的基础，其性能直接影响上层协议的效率物理层标准涵盖了从铜缆、光纤到无线电波等多种传输介质，并为每种介质定义了相应的信号编码和传输规范例如，以太网的物理层标准包括、、等，分别对应不同速10BASE-T100BASE-TX1000BASE-T率和传输距离北京大学的实验室配备了丰富的物理层设备，学生可以亲手连接线缆、配置设备，观察不同信号特征，加深对物理层工作原理的理解理解物理层原理对网络工程师进行线路规划、故障排除和性能优化具有重要意义传输介质分类双绞线光纤无线介质最常用的有线介质，分为屏蔽双绞线和非利用光信号传输数据，分为单模光纤和多模光包括微波、无线电波和红外线等无需布线，STP屏蔽双绞线通过将导线对绞可减少电纤传输距离远（单模可达数十公里），带宽灵活方便，但易受干扰，传输质量受环境影响UTP磁干扰，可支持传输，可支高（可达级别），抗电磁干扰能力强，但大使用和频段，移动通信CAT5e1Gbps CAT6Tbps Wi-Fi

2.4GHz5GHz持短距离传输，价格经济，安装便捷，成本较高，安装和维护要求专业技术广泛用使用多种频段无线技术在物联网和移动计算10Gbps是局域网的主要选择于骨干网络和高速数据中心互连领域发挥着越来越重要的作用选择合适的传输介质需要综合考虑传输距离、带宽需求、成本预算和安装环境等因素在实际网络部署中，通常采用混合介质策略，如建筑物内部使用双绞线，建筑物之间使用光纤，移动设备接入使用无线连接，以实现性能和成本的最佳平衡信号与编码信号类型编码方式数字信号离散取值，表示为和的二进制序列，抗干扰能力强，适合计算机内部传输和近距离传输编码不归零编码，高电平表示，低电平表示实现简单但无法自同步01NRZ10曼彻斯特编码在每个比特周期中间有一次电平跳变，上升沿表示，下降沿表示自同步但带宽需求01模拟信号连续取值，可表示无限多的值，适合远距离传输，但易受干扰高在长距离传输中，数字信号通常需要转换为模拟信号，这一过程称为调制；相应地，接收端将模拟信号差分曼彻斯特编码每个比特周期开始必有跳变，中间有跳变表示，无跳变表示抗干扰能力更强01转换回数字信号的过程称为解调信号编码方式的选择需要考虑带宽效率、时钟恢复能力、抗干扰性和实现复杂度等因素高速传输系统通常采用更复杂的编码方案，如、等块编码，既保证足够的跳变密度（便于时钟恢复），又提4B/5B8B/10B高带宽利用率在实验室中，学生可以使用示波器观察不同编码方式的波形特征，深入理解各种编码技术的优缺点这些编码知识对理解高速串行总线技术以及解决物理层信号完整性问题具有重要意义物理层主要设备集线器（）转发器（）调制解调器（）Hub RepeaterMODEM工作在物理层的多端口设备，采用广播方式转用于扩展网络传输距离，通过放大和整形信号实现数字信号和模拟信号之间的转换ADSL发信号所有连接到集线器的设备共享带宽，克服传输衰减转发器不理解数据内容，仅进调制解调器将数字数据转换为适合电话线传输形成冲突域，效率低下现已基本被交换机取行物理信号的复制和再生，可以有效延长网络的模拟信号，光调制解调器将电信号转换为光代，但了解其工作原理有助于理解网络演进历覆盖范围，但不能连接不同类型的网络信号它们是接入互联网的关键设备史物理层设备虽然功能相对简单，但对网络性能和可靠性有重要影响了解这些设备的工作原理有助于排查网络物理连接问题随着技术发展，许多物理层功能已集成到更高层次设备中，如交换机同时具备物理层和数据链路层功能数据链路层功能成帧差错检测将物理层传来的比特流划分为帧，添加帧通过校验和、等机制检测传输过程中的CRC头和帧尾标记，使接收方能够正确识别数错误，确保数据完整性据边界介质访问控制流量控制在共享介质环境中协调多个节点的传输，调节发送方的数据传输速率，防止接收方避免冲突或减少冲突影响缓冲区溢出，保证高效稳定传输数据链路层是网络分层架构中至关重要的一环，它将物理层不可靠的传输服务转变为相对可靠的链路通过添加各种控制机制，数据链路层能够在噪声和干扰环境下保证数据的可靠传递，为网络层提供稳定服务在不同网络环境中，数据链路层协议有很大差异点对点链路使用等协议，广播式网络使用以太网协议，无线环境则需要更复杂的协议来处PPP理隐藏终端等特殊问题理解这些差异有助于选择适合特定场景的网络技术子层与协议MAC协议协议CSMA/CD CSMA/CA载波侦听多路访问冲突检测，是传统以太网的核心协议发送前载波侦听多路访问冲突避免，主要用于无线局域网由于无线环//先侦听信道是否空闲，发送过程中检测冲突，冲突发生时立即停止境难以检测冲突，该协议通过预约机制避免冲突并随机退避工作流程工作流程发送请求帧预约信道

1.RTS侦听信道，确认空闲后发送

1.接收响应帧确认可用

2.CTS发送过程中继续监听

2.传输数据帧

3.若检测到冲突，发送干扰信号

3.接收确认帧

4.ACK随机退避一段时间后重试

4.还包含随机退避和虚拟载波侦听机制，有效解决隐藏终端问题协议的选择直接影响网络性能适合有线共享介质环境，而在现代交换式以太网中，由于全双工连接和交换机隔离冲突域，MAC CSMA/CD冲突检测机制很少触发虽然有更多开销，但在无线环境中能有效减少冲突概率，提高网络整体吞吐量CSMA/CA差错检测与纠正奇偶校验简单的校验方式，通过添加一个校验位使得数据中的个数为奇数（奇校验）或偶数（偶校1验）只能检测奇数个比特错误，检错能力有限，但实现简单，开销小常用于存储系统和低速串行通信循环冗余校验（）CRC数据链路层最常用的差错检测方法，将数据视为一个多项式，除以预定义的生成多项式，将余数作为校验码附加到数据后能检测突发错误，检错能力强，硬件实现效率高以太网使用算法，可检测高达位突发错误CRC-3232纠错编码不仅能检测错误，还能自动纠正错误汉明码可纠正单比特错误；更复杂的里德所-罗门码和码能纠正多比特错误纠错编码增加较多冗余，但能明显提高传输可靠LDPC性，广泛应用于无线通信和光存储系统差错检测与纠正技术在不同网络环境中扮演重要角色有线网络通常只使用检错机制，依靠重传恢复错误；而无线网络和长距离光纤通信则倾向于使用纠错码，避免频繁重传带来的延迟理解这些机制的原理和适用场景，有助于选择合适的纠错策略，平衡可靠性和传输效率在实际应用中，往往采用多层次的错误处理机制例如，使用进行帧级检错，同时使用WIFI CRC卷积码进行比特级纠错，再辅以协议层的重传机制，共同保障数据传输的可靠性以太网技术以太网帧结构以太网速率演进标准以太网帧由前导码（字节）、目的从最初的到现在的，以太网810Mbps400Gbps地址（字节）、源地址（字节）、经历了多次速率升级使用双绞线MAC6MAC610BASE-T类型长度字段（字节）、数据字段（传输数据；（快速以太/246-10Mbps100BASE-TX字节）和校验字段（字节）组成网）达到；千兆以太网1500FCS4100Mbps最小帧长为字节，确保冲突能被可靠检测；（）使用全部四对线提供641000BASE-T1Gbps最大帧长限制则简化了收发设备的缓冲区设带宽；最新的数据中心已普遍采用计以太网10G/25G/100G交换机工作原理交换机是现代以太网的核心设备，通过地址表转发数据帧它学习源地址并与端口关MAC MAC联，根据目的地址选择转发端口，实现同时多对通信交换机创建独立的冲突域，显著提高MAC网络效率，并通过存储转发或直通交换方式处理数据帧以太网凭借其简单性、可扩展性和经济性成为局域网的主导技术它采用解决共享介质访问CSMA/CD问题，使用位地址进行寻址，配合自动协商和自适应功能，实现即插即用现代以太网已从总48MAC线结构演变为星型拓扑，从半双工共享模式发展为全双工交换模式，但基本原理和兼容性得到了保留局域网与广域网局域网（）城域网（）LAN MAN覆盖范围有限（通常在公里以内），覆盖一个城市范围（数十公里），连接1如校园、办公楼或家庭网络数据传输多个分散的局域网速率适中（数十速率高（至），延迟低至数），延迟较低（毫秒10Mbps10Gbps Mbps Gbps（微秒级），通常由单一组织拥有和管级）可能使用光纤环网、等技DWDM理主要技术包括以太网（有线）和术典型应用包括政府网络、教育网络（无线）或运营商城市骨干网Wi-Fi广域网（）WAN跨越广大地理区域（国家或全球），连接不同城市的网络传统速率较低（数WAN Mbps至数百），延迟较高（数十至数百毫秒）技术包括、、Mbps SDH/SONET MPLSATM等互联网是最大的公共广域网，企业也可建设专用广域网虚拟局域网（）是现代局域网的重要技术，它允许在物理上共享的网络设备上创建多个逻辑VLAN隔离的广播域，提高安全性和灵活性管理员可以根据端口、地址或协议类型来划分，MAC VLAN简化网络管理并优化流量控制随着技术发展，网络边界日益模糊等技术使广域网管理更加灵活，云网络服务使企业SD-WAN能够快速部署全球网络，而等移动技术则在为传统网络分类带来新的挑战和可能性5G无线局域网（）WLAN标准族IEEE

802.11从到最新的，支持从数到数的传输速率

802.11a/b/g

802.11ax Wi-Fi6MbpsGbps网络架构基础架构模式（）和自组织模式（），前者通过集中管理Infrastructure Ad-hoc AP安全机制从早期的到现代的，加密和认证技术不断加强WEP WPA3无线局域网以其灵活性和便利性成为现代网络的重要组成部分标准定义了物理层和层规范，使用和频段（新标准还包IEEE

802.11MAC

2.4GHz5GHz括频段）物理层采用多种调制技术如，层则使用协议避免冲突6GHz OFDMMAC CSMA/CA企业级通常部署集中式控制器或云管理平台，管理多个接入点（），实现统一认证、漫游和负载均衡在密集部署环境中，信道规划和功率WLAN AP控制至关重要，可通过自动信道选择和功率调整算法优化网络性能新一代（）引入、等技术，显著提高了多用Wi-Fi

6802.11ax OFDMAMU-MIMO户并发性能与点对点协议PPP链路控制协议（）LCP负责建立、配置和测试数据链路连接，协商最大传输单元（）、身份验证协议等参数MTU认证阶段可选择、等协议进行用户身份验证，确保连接安全PAP CHAP网络控制协议（）NCP配置不同网络层协议参数，如负责配置地址、服务器等IPCP IPDNS数据传输与监控连接建立后传输数据包，同时维持连接状态，处理异常情况协议是广泛使用的点对点链路协议，支持多种网络层协议传输帧由标志字段、地址字段PPP PPP0x7E、控制字段、协议字段、信息字段和帧检验序列组成通过字节填充技术处理数据中0xFF0x03FCS出现的标志字符，确保帧界限准确识别尽管传统拨号上网应用减少，但协议仍在多种场景中使用结合和以太网，被广泛用于PPP PPPoEPPP和光纤宽带接入；和等基于的协议用于构建安全隧道；移动通信中的上下文激ADSL PPTPL2TP PPPVPN PDP活也使用变种了解对理解现代网络接入技术有重要意义PPP PPP网络层功能概述路由与转发逻辑寻址拥塞控制网络层最核心的功能是路由网络层使用逻辑地址（如当网络负载过重时，网络层IP选择和分组转发路由是计地址）而非物理地址（需要通过流量控制和资源管MAC算路径的过程，确定数据从地址）进行端到端通信逻理避免拥塞崩溃这包括拥源到目的地的最佳路径；转辑地址具有层次结构，支持塞检测、流量整形、资源预发则是根据路由表将数据包网络级路由选择，便于构建留等机制虽然传输层也有从入接口送到出接口的过程大规模网络地址还需要拥塞控制，但网络层可以提IP这两个功能共同保证数据能通过等协议映射到物理供更全局的调节，优化整体ARP够穿越复杂网络到达目的地地址，才能实际传输数据网络性能网络层是互联网分层结构的关键环节，它隐藏了底层网络细节，为上层协议提供简单的端到端传输服务协议作为网络层的核心，提供了无连接的尽力而为服务模型，简化了网络设IP计，提高了系统鲁棒性，但也带来了服务质量控制的挑战随着网络规模扩大，网络层面临的挑战也在增加的部署缓解了地址短缺问题；技术IPv6SDN将控制平面与数据平面分离，提高了网络管理灵活性；新型路由算法如基于意图的路由则试图改进传统距离矢量和链路状态算法，适应复杂网络环境的需求地址与寻址IP地址格式与IPv4CIDR IPv6地址是位二进制数，通常以四组十进制数表示，如每组对应一个字节无类域间路由（）取代了传统分类寻址，使用前缀长度（如）表示网络部分，实IPv

432192.

168.

1.1CIDR/24（位），范围为，组间用点分隔，称为点分十进制表示法现更灵活的地址分配，缓解地址耗尽问题80-255传统地址分为、、、、五类地址长度为位，使用组位十六进制数表示，组间用冒号分隔，如IPv4A BC D E IPv6128816引入了多种简化表示法，如省略前导2001:0db8:85a3:0000:0000:8a2e:0370:7334IPv6•类首位为，网络号位，地址范围至A

081.

0.

0.

0127.

255.

255.255零、使用双冒号替代一段连续的零值•类首位为，网络号位，地址范围至B

1016128.

0.

0.

0191.

255.

255.255•类首位为，网络号位，地址范围至C

11024192.

0.

0.

0223.

255.

255.255•类多播地址，类保留地址DE地址不仅仅是标识设备的数字，更是网络拓扑的映射它将全球互联网空间划分为可管理的单元，支持路由器快速决策数据包的转发路径保留地址（如私有地址、IP

10.

0.

0.0/

8、）不在公网路由，常用于内部网络，通过技术访问互联网

172.

16.

0.0/

12192.

168.

0.0/16NAT随着地址资源枯竭，部署变得越来越紧迫除了扩大地址空间外，还简化了头部结构，改进了扩展性和安全性，添加了自动配置功能，为未来网络发展提供了充足空间然IPv4IPv6IPv6而，部署面临着兼容性、运营经验等多方面挑战，仍处于逐步过渡阶段IPv6子网与超网子网划分原理可变长子网掩码路由聚合（超网）子网是将一个大的网络分割为多个较小网络的技术通允许对同一网络使用不同长度的子网掩码，根据实际超网是子网的逆过程，将多个小网络合并为一个更大的网IP VLSM过子网掩码识别地址中的网络部分和主机部分，掩码中连需求灵活分配地址空间例如，大型部门可分配子网络，减少路由表条目例如，四个连续的网络可聚合为/24/24续的表示网络位，连续的表示主机位例如，（台主机），小型部门可分配子网（台主机），一个网络，只需一条路由条目路由聚合大幅减少骨干10254/2662/22表示前位为网络地址，可容纳个主机点对点链路可使用子网（台主机），充分利用地址资路由器的负担，提高路由效率，是互联网可扩展性的关键

192.

168.

1.0/2424254/302源技术子网划分和路由聚合是网络管理的基本技能，对网络设计和故障排除至关重要合理的子网规划可以隔离广播域，提高安全性，便于访问控制和资源分配同时，有效的路由聚合可以减少路由表规模，降低处理开销，提高网络整体性能路由协议基础静态路由管理员手动配置路由表，适用于简单稳定网络，无协议开销但缺乏适应性距离矢量协议如，基于跳数选择最佳路径，实现简单但收敛慢，存在环路风险RIP链路状态协议如，建立完整网络拓扑，计算最短路径树，收敛快但资源消耗大OSPF路径矢量协议如，用于自治系统间路由，考虑策略因素，互联网骨干核心协议BGP路由协议是路由器之间交换路由信息的语言，它们决定了网络中数据传输的路径选择内部网关协议（）如和用于自治系统内部路由；外部网关协议（）如IGP RIP OSPF EGP用于自治系统之间的路由交换路由选择不仅考虑路径长度，也可能考虑带宽、延迟、负载和可靠性等因素BGP现代网络往往采用混合路由策略，如企业核心网使用实现快速收敛，边缘与连接处使用，小型分支可能使用静态路由或简单的了解各种路由协议的特点和OSPF ISPBGP RIP适用场景，对设计高效可靠的网络架构至关重要在北京大学的实验中，学生将有机会配置和测试这些路由协议，观察它们在不同拓扑下的行为路由器的构造与工作数据包接收入口接口接收并缓存数据包，进行错误检查和初步处理路由查找查询转发表，确定下一跳和出口接口，可能改写报头信息交换结构内部总线或交换矩阵将数据从入口缓冲区移至出口缓冲区数据包发送出口接口将数据包排队并发送，可能进行流量整形路由器是网络层的核心设备，其主要功能是连接不同网络并转发数据包现代路由器由多个功能模块组成，包括控制平面（负责路由计算和管理）和数据平面（负责数据包转发）高端路由器采用分布式架构，使用专用硬件加速转发过程，可实现每秒数百甚至级别的转发能力ASIC GbpsTbps除基本路由功能外，路由器通常还提供网络地址转换（）、访问控制列表（）、服务质量（）NAT ACL QoS等增强功能技术允许多台内网设备共享一个公网地址，缓解了地址短缺问题，同时提供了一NAT IP IPv4定的安全防护；可以根据源地址、目的地址和端口号等条件过滤流量，实施访问控制策略；则对ACLQoS不同类型流量进行优先级管理，确保关键应用得到足够带宽详解IPv6头部结构地址类型IPv6IPv6简化了头部结构，固定头部仅包含个字单播地址标识单个接口，最常用类型全局IPv68段，共字节，相比的字节更加高单播地址（）类似公网；链路本地40IPv420-602000::/3IP效版本、流标签、有效载荷长度、下一个头地址（）限于单链路通信fe80::/10部、跳数限制和源目的地址是主要字段采用/多播地址（）一对多通信ff00::/8扩展头部机制处理可选功能，提高了处理效任播地址发送到最近的接口，用于服务发现率和负载均衡取消了广播地址，使用特定多播代替IPv6过渡技术双栈同时运行和，最常用的过渡方案IPv4IPv6隧道技术如、、等，将数据包封装在数据包中传输6to46rd TeredoIPv6IPv4翻译技术如、，实现客户端访问服务器NAT64DNS64IPv6-only IPv4-only这些技术使和网络能够共存和互通，支持平滑过渡IPv4IPv6的部署正在全球范围内稳步推进，但面临多种挑战技术挑战包括设备兼容性、专业人才短缺和过渡IPv6机制复杂性；商业挑战包括投资回报不明确和缺乏紧迫动力中国是部署较为积极的国家，政府推动IPv6的规模部署行动计划要求基础电信企业、互联网企业和政府网站全面支持IPv6IPv6协议与网络管理ICMP工具工具错误报告消息Ping Traceroute使用回显请求（类型）和回显应答（类型）消通过发送递增的数据包，利用超时消息（类提供多种错误和状态报告消息，如目的不可达ICMP80TTL ICMP ICMP息，测试目标主机的可达性和往返时间它是最基本的型）标识路径上的每个路由器它可以显示数据包到（类型）指示传输问题，源抑制（类型）用于拥塞1134网络故障排除工具，可提供延迟和丢包率信息参数如达目的地的完整路径和每跳延迟，帮助定位网络瓶颈或控制，重定向（类型）优化路由选择这些消息帮助5和数据包大小可调整，用于测试或模拟不同流故障点下的使用，而下的网络设备和管理员识别和解决通信问题，提高网络可靠TTL MTUWindows tracertICMP Linux量特征默认使用性traceroute UDP（互联网控制消息协议）是协议的重要补充，为网络提供错误报告和诊断功能虽然与协议同属网络层，但消息需要封装在数据包中传输报ICMP IPIP ICMPIP ICMPIP ICMP文由类型、代码和校验和字段组成，不同类型和代码组合表示不同的控制或错误情况由于可能被用于网络攻击（如洪水、攻击等），许多网络管理员选择在防火墙上限制流量通常的做法是允许回显回复、超时和不可达消息，但阻止ICMPICMPSmurf ICMP其他消息类型这种配置在保障网络安全的同时，仍允许基本的网络诊断功能ICMP与协议ARP RARP请求ARP应答ARP源主机需要发送数据包时，先查询本地缓IP ARP拥有目标的主机发送单播应答，包含其IP ARPMAC存，若无目标地址记录，则发送广播请求MAC ARP地址数据传输缓存更新获得地址后，源主机封装数据帧并发送到目源主机接收应答后更新缓存表，记录MAC ARP IP-MAC标主机映射关系（地址解析协议）是连接网络层和数据链路层的关键协议，解决了地址到地址的映射问题报文中包含发送方的地址和地址，以及目标地址，ARP IP MAC ARPIPMAC IP目标地址在请求时为全或广播地址还支持无故（），即主机主动广播自己的映射，用于地址冲突检测或通知网络自身地址变MAC0ARP GratuitousARPIP-MAC IPMAC更（反向地址解析协议）执行相反功能，将地址解析为地址，主要用于无盘工作站等缺少配置的设备现代网络中，已基本被或等更灵RARP MACIPIPRARP DHCPBOOTP活的协议取代协议存在安全隐患，如欺骗攻击可截获网络流量，因此企业网络通常采用、动态检测等技术加强保护ARP ARPDHCP SnoopingARP与网络分段VLAN工作原理标准VLAN

802.1Q虚拟局域网（）是一种将单个物理网络划分为多个逻辑网络的技术交换机通过标记每个端口所属的，在转发数是最通用的实现标准，也称为帧标记（）它通过在原始以太网帧中插入字节标签实VLAN VLAN ID IEEE

802.1Q VLANFrame Tagging4VLAN据帧时只允许属于同一的设备通信，即使它们连接在同一台物理交换机上这种逻辑分隔创建多个广播域，有效隔离广播现识别，标签包含VLAN VLAN流量，提高网络性能和安全性标签协议标识符（）字节，固定值

1.TPID20x8100分配方式包括VLAN标签控制信息（）字节，包含优先级字段（位）、规范格式指示符（位）和（位）

2.TCI231VLAN ID12•基于端口最简单常用，根据物理端口划分VLAN范围为，其中用于优先级帧，保留当帧穿越交换机时，可能经历标记（添加标签）、去标记（移VLANID1-409404095•基于MAC地址根据设备MAC地址动态分配VLAN除标签）或传递（保持原样）操作，取决于端口配置•基于协议根据使用的网络协议类型划分•基于用户/应用根据用户身份或应用类型分配多协议标签交换MPLS标签分配（标签分发协议）或为网络中的路由前缀或流量工程路径分配标签，建立（转发等LDP RSVP-TE FEC价类）到标签的映射关系边缘路由器（）和核心路由器（）共同参与这一过程，形成端到LER LSR端的标签交换路径（）LSP数据包处理当数据包进入网络时，入口检查数据包的目的地，分配适当标签并将其插入到头部与MPLS LER IP链路层头部之间，形成数据包标签通常为位，与位（用于）、位（栈底标MPLS203Exp QoS1S志）和位一起组成位标签8TTL32MPLS标签交换核心网络中的根据入标签查找转发表，将标签替换为出标签并转发到下一跳这种MPLS LSR交换过程更高效，因为路由器仅需查看固定位置的标签，而无需分析完整头部在出口IP，标签被移除，数据包以普通数据包形式继续传输LERIP技术结合了二层交换的高性能和三层路由的灵活性，为现代网络提供了多种优势在服务质量MPLS（）方面，可通过标签的字段区分不同业务类型，实现精细化的流量管理在流量工程方QoS MPLSEXP面，允许网络管理员定义显式路径，优化网络资源使用，避开拥塞区域MPLS-TE的应用场景广泛，包括企业服务（）、运营商网络（如城域网和骨干网）以及数据中MPLS VPNMPLS VPN心互联提供了安全隔离的虚拟网络服务，支持多客户重叠地址空间，成为运营商提供企业网MPLS VPN络服务的主要技术随着和网络虚拟化技术发展，正逐步与这些新技术融合，如SDN MPLSSegment结合了标签机制和集中控制的优势Routing MPLSSDN网络层实验案例路由器配置实验子网划分与地址规划网络协议分析23搭建多路由器拓扑，配置静态路由和动态路由协根据给定的网络需求（不同规模部门、服务器集使用抓包工具捕获和分析数据包、Wireshark IP议（、），观察路由表的建立过程和变群、无线网络等），设计合理的子网划分方案，消息、请求响应等网络层协议观察RIPOSPFICMP ARP化，测试路由收敛速度模拟链路故障，分析不使用技术优化地址分配配置服务器变化、分片重组过程、路径发现机制等VLSM DHCPTTL MTU同路由协议的容错机制和恢复时间，体验实际网自动分配地址，实现跨子网通信，验证地址规划底层细节，加深对网络协议实际运行方式的理解络运维场景的有效性北京大学计算机网络实验室配备了丰富的网络设备和软件工具，包括思科、华为路由器，网络模拟器，以及专业抓包分析软件通过这些实验，学生能够将理论知识GNS3应用到实践中，培养实际解决网络问题的能力实验采用小组协作方式，不仅锻炼技术技能，还培养团队合作和沟通能力传输层基本任务面向应用的服务提供端到端通信抽象，隐藏网络细节1多路复用与分用2通过端口区分不同应用的数据流可靠传输3确保数据完整、有序地到达目的地流量控制防止发送方数据速率过快导致接收方缓冲区溢出拥塞控制避免网络过载，实现公平高效的资源分配传输层是网络体系结构中承上启下的关键层次，它建立在不可靠的网络层服务之上，为应用层提供可靠的端到端通信服务与网络层关注主机之间的通信不同，传输层关注的是进程之间的通信，通过端口号识别同一主机上的不同应用程序和是两种主要的传输层协议，各有特点和适用场景提供面向连接的可靠服务，确保数据完整性和顺序性，适用于文件传输、网页浏览等要求可靠性的应用；提供无连接的尽力TCP UDP TCP UDP而为服务，传输速度快但不保证可靠性，适用于视频流、网络游戏等容忍少量丢包但对延迟敏感的应用深入理解传输层原理，对诊断网络问题、优化应用性能至关重要协议特点UDP报文结构无连接通信头部极其简洁，仅包含四个字段，总共字不建立连接，没有握手过程，直接发送数UDP8UDP节源端口号（字节）、目的端口号（字据发送方不跟踪接收方状态，也不知道数据22节）、长度（字节，包括头部和数据）以及是否到达这种无状态特性意味着可以支2UDP校验和（字节，可选）这种简约设计使持多播和广播通信，一次发送可传递给多个接2UDP处理开销极低，适合快速通信收者，非常适合发现服务、信息同步等场景尽力而为服务不保证数据可靠传输，没有重传机制，可能出现丢包、重复、失序等问题应用程序必须自行实UDP现错误检测和恢复机制这种简化设计使适合实时性要求高、允许少量数据丢失的应用，如UDP、在线游戏和流媒体VoIP的校验和提供了基本的错误检测功能，但与不同，它是可选的（中可关闭，中强制启UDP TCPIPv4IPv6用）校验和覆盖头部、数据部分以及伪头部（包含源、目的等信息），能够检测数据在传输过UDP IPIP程中的损坏，但不能恢复错误应用广泛，查询、网络管理、地址分配等基础网络服务多采用；（实时传输UDP DNSSNMP DHCPUDP RTP协议）基于构建，支持音视频流传输；使用实现浏览器间直接通信；许多游戏和实时应用UDP WebRTCUDP选择作为底层传输协议近年来，协议在基础上实现了可靠传输、多路复用等特性，成为UDP QUIC UDP的传输层基础HTTP/3协议原理TCP三次握手建立连接需要三次握手客户端发送，服务器回复，客户端发送这个过程同步双方序列号，确认连接参数，防止延迟或重复的连接请求扰乱服务器TCP SYNSYN+ACK ACK数据传输使用序列号标识每个字节，接收方通过确认号告知成功接收的数据，未确认的数据会被重传这种机制保证了数据的可靠性和顺序性，同时通过滑动窗口实现流量控制和拥塞控制TCP四次挥手关闭连接需要四次挥手发起方发送，对方回复；然后对方发送，发起方回复这种机制允许双方独立关闭各自的发送方向，确保所有数据都被处理，防止数据丢失FIN ACKFIN ACK协议的核心特性是面向连接和可靠传输面向连接意味着通信双方在数据传输前先建立逻辑连接，维护连接状态；可靠传输通过确认和重传机制确保数据完整送达通过多种机制保证可靠性确TCP TCP认和重传处理丢包，序列号和排序缓冲处理失序，校验和检测损坏，去重机制处理重复包头部比复杂得多，包含源端口、目的端口、序列号、确认号、头部长度、保留字段、标志位（、、等）、窗口大小、校验和、紧急指针和选项这些字段支持的各种功能，如连接TCP UDPSYN ACKFIN TCP管理、可靠传输、流量控制等标志位尤为重要，它们控制连接的状态转换，如建立连接，关闭连接，重置连接TCP SYNFIN RST滑动窗口与流量控制TCP滑动窗口机制流量控制与拥塞避免使用滑动窗口机制实现可靠传输和流量控制发送窗口表示可以发送但尚未确认的流量控制通过接收方通告的窗口大小限制发送方发送速率，防止接收方缓冲区溢TCP TCP数据量；接收窗口表示接收方准备接收的数据量窗口随着数据发送和确认不断滑出如果接收方处理速度跟不上，它可以减小通告窗口，甚至设为零（零窗口）暂停动，允许未确认数据的累积传输传输窗口内的序列号空间可分为四类拥塞控制则关注网络容量，通过慢启动、拥塞避免、快速重传和快速恢复算法调整拥塞窗口大小慢启动阶段，窗口指数增长；拥塞避免阶段，窗口线性增长；遇到丢包已发送且已确认（窗口左侧）

1.时，窗口收缩，重新进入慢启动或拥塞避免已发送但未确认（窗口内）

2.未发送但允许发送（窗口内）

3.未发送且不允许发送（窗口右侧）

4.有效窗口大小接收方通告窗口已发送但未确认的数据量=-滑动窗口大小对性能影响显著窗口过小，无法充分利用带宽；窗口过大，可能导致网络拥塞理想情况下，窗口大小应等于带宽延迟积（），即链TCP Bandwidth-Delay Product路容量与往返时延的乘积，这样才能保持链路满载窗口缩放选项（）允许将位窗口字段扩展至更大值，支持高速长距离网络TCP WindowScale16还面临一些特殊情况，如糊涂窗口综合征（发送小数据包导致效率低下）、零窗口探测（接收方窗口为零时保持连接活跃）、算法（合并小数据包提高效率）、延迟确认TCP Nagle（减少数量）等这些机制共同作用，实现了的高效可靠传输ACK TCP重传与定时管理TCP超时重传机制快速重传与恢复估算方法RTT为每个发送的数据包设置重传定时器，如果在定时当接收方收到失序数据包时，会立即发送对最后一个按准确估计对性能至关重要传统算法TCP RTT TCP Jacobson器到期前未收到确认，则认为数据包丢失，触发重传序接收的数据包的重复确认（）发送方收到使用指数加权移动平均计算平滑（）和DUPACK RTTSRTT RTT重传超时时间（）根据往返时间（）动态计算，三个连续的重复确认后，不等待超时，立即重传可能丢变化量（），然后设置RTO RTTRTTVAR RTO=SRTT+4*RTTVAR考虑平均和波动情况，既能快速响应丢包，又能避失的数据包这种快速重传机制大大减少了等待时间，现代实现如算法解决了重传二义性问题，通过RTTTCPKarn免频繁误判和不必要重传提高了网络吞吐量仅测量未重传数据包的提高了估算准确性RTT超时重传间隔采用指数退避策略，即每次重传失败后将超时时间翻倍，防止连续失败导致的网络拥塞恶化然而，重传也存在风险过早重传浪费带宽，过晚重传降低TCP吞吐量因此，通常结合使用超时重传和快速重传，平衡响应速度和网络效率TCP定时器在中扮演多种角色重传定时器检测丢包并触发重传；持久定时器处理接收窗口为零的情况，定期探测窗口大小变化；保活定时器检测空闲连接是否仍然有效；TCP定时器确保连接完全关闭这些定时器共同确保连接的可靠性和稳定性TIME_WAIT TCP端口号与复用分用服务类型协议端口号应用文件传输文件上传下载FTP20/21电子邮件邮件发送SMTP25域名解析域名转地址DNS53IP网页访问网站浏览HTTP80安全网页加密网站访问HTTPS443远程登录安全远程控制SSH22端口号是实现传输层多路复用和分用的关键多路复用是指多个应用共享网络资源，数据从多个应用进程汇聚到传输层；分用则是接收方根据端口号将数据交付给正确的应用程序每个数据段TCP/UDP都包含源端口和目的端口，确保数据能准确送达端口号范围为，分为三类知名端口（），由分配给常用服务；注册端口0-655350-1023IANA（），用于厂商注册的应用；动态私有端口（），临时分配给客户端程序1024-49151/49152-65535一般服务器使用固定的知名端口提供服务，客户端使用动态端口发起连接端口扫描是网络安全中的常见技术，用于发现开放的服务和潜在漏洞，因此对重要端口进行安全加固非常必要拥塞控制技术慢启动连接建立初期，拥塞窗口（）从一个（最大段大小）开始，每收到一个确认就增加一个，cwnd MSSMSS呈指数增长这种保守策略避免了突然涌入大量数据导致的网络拥塞，同时能够快速探测可用带宽当达到慢启动阈值（）时，进入拥塞避免阶段cwnd ssthresh拥塞避免在这个阶段，每一个往返时间增加一个，呈线性增长这种策略平衡了带宽利用率与稳定性，cwnd MSS逐步接近但不会剧烈波动，避免触发拥塞当检测到拥塞（超时或三个重复确认）时，减半，ssthresh可能回到初始值或减半，取决于拥塞信号类型和使用的算法cwnd快速重传和快速恢复收到三个重复确认时，发送方不等待超时立即重传，并将设为的一半，值设为ssthresh cwndcwnd加上个这种策略能快速恢复丢失数据，并且由于重复确认表明网络仍然运行，所ssthresh3MSS以不像超时那样进入慢启动，而是直接进入拥塞避免阶段，保持较高的吞吐量除了基本机制外，还有多种拥塞控制改进算法显式拥塞通知（）允许路由器在队列变长但尚未丢包时通ECN知端点，实现更早的拥塞响应随机早期检测（）等主动队列管理算法在缓冲区填满前就随机丢弃部分数RED据包，促使降低发送速率，避免全局同步现象TCP针对不同网络环境，还出现了多种变种和适用于高带宽长延迟网络；改善了无线网TCP BICCUBIC Westwood络性能；基于带宽估计而非丢包信号控制速率现代操作系统通常支持多种拥塞控制算法，管理员可根据BBR网络特性选择最合适的算法这些技术共同保障了互联网在高负载下的稳定运行与传输层安全NAT基本原理防火墙与安全NAT网络地址转换（）允许多台内网设备共享防火墙在传输层提供关键安全功能，通过状态NAT一个或少量公网地址，解决地址短缺问检测、会话跟踪和访问控制过滤网络流量防IP IPv4题当内网设备发送数据包时，设备替换火墙可以基于端口号限制应用访问，NAT TCP/UDP源地址和端口，同时维护转换表记录映射关跟踪连接状态防止非法访问，检测和阻止可疑IP系；当回复数据到达时，根据表项将目的地址流量模式现代防火墙还集成入侵检测防御/和端口转换回内网值，送达原始发送者系统，深度分析应用层内容端口映射技术端口映射（）是环境中提供内网服务的关键技术管理员配置设备将特定端口Port ForwardingNAT NAT的流量转发到内网特定服务器，允许外部用户访问内部资源如服务器、游戏服务器等区域则Web DMZ是一种特殊映射，将一台主机完全暴露于公网，适用于需要多端口访问的服务器虽然解决了地址短缺问题，但也带来了一系列挑战，特别是对传输层协议的影响点对点应用（如、NAT VoIP视频聊天、文件共享）在环境中通常需要特殊技术如、和来建立连接一些传输层协议P2P NATSTUN TURNICE将地址嵌入在应用数据中（如主动模式），需要设备进行应用层网关（）支持，增加了复杂性IP FTPNAT ALG还提供了一定的安全优势，如隐藏内网结构、默认阻止外部发起的连接等，但不应视为完整的安全解决方NAT案端口映射如果配置不当可能引入安全风险，应仅映射必要服务，并配合防火墙规则和入侵检测系统，构建深度防御体系随着部署加速，的必要性正在减少，但其安全和管理特性可能使其在可预见的未来继IPv6NAT续存在传输层工具及分析网络抓包连接状态检查连接诊断与优化tcpdump netstat是功能强大的命令行网络分析工具，能捕获并分析传显示活动的网络连接、路由表和接口统计信息参数传输层性能诊断常用工具包括（测量带宽）、tcpdump netstatiperf TCP/UDP输层数据包常用过滤表达式如、显示所有连接，以数字形式显示地址和端口，（结合和功能）、（端口扫描）等tcp port80host-a-n-mtr ping traceroute nmap允许精确捕获特定流量抓取的数据可以保存为筛选连接该工具常用于检查服务是否正常常见性能优化参数包括窗口大小、缓冲区大小、

192.

168.

1.1t/-u TCP/UDPTCPkeepalive格式文件，供后续分析或用等工具可视化展示监听、识别异常连接、排查端口冲突和监控网络连接状态设置和拥塞算法选择调优这些参数需要理解网络特性和应pcap Wireshark是排查网络问题的利器，能深入分析握手过程、在系统中，命令提供了类似但更高效的功能；用需求，如长肥网络（高带宽高延迟）通常需要更大的窗口tcpdump TCPLinux ss重传行为、窗口大小变化等传输层细节则可使用或更现代的命令大小Windows netstatnetsh在实际网络问题排查中，传输层分析往往需要配合其他层次工具综合诊断例如，应用响应慢可能是由重传引起，而重传又可能源于底层网络拥塞或链路问题掌握这些工具和技术，能够从数据包级TCP别深入理解网络行为，有效定位和解决复杂网络问题应用层概览电子邮件服务Web发送邮件，接收邮件，构成完整的SMTP POP3/IMAP协议是浏览的基础，支持超文本、HTTP/HTTPS Web电子邮件系统，是最早的互联网应用之一媒体内容传输和交互式应用，是互联网最广泛使用的应用层协议文件传输提供文件上传下载功能，支持目录浏FTP/SFTP览、断点续传等特性，用于大文件交换流媒体应用等协议支持音视频流传输，为在线4域名服务RTSP/RTP/RTMP直播、视频会议提供技术基础将域名解析为地址，是互联网基础服务，支持DNS IP网络资源的易用性和可管理性应用层是网络分层结构的最高层，直接与用户交互，提供各种网络服务不同于下层协议的标准化，应用层协议种类繁多，各具特色，适应不同的应用需求应用层协议通常定义数据格式、请求响应流程、状态管理和安全机制等，使网络应用开发者能够专注于功能实现而非底层通信细节随着互联网发展，应用层协议也在不断演进早期协议如设计简单，而现代协议如引入多路复用、头部压缩等高级特性，大幅提升性能；传统应用HTTP/

1.0HTTP/2通常基于请求响应模型，而新型应用如支持全双工通信，满足实时交互需求了解这些协议的工作原理和发展趋势，对设计高效可靠的网络应用至关重-WebSocket要域名系统DNS查询发起客户端向本地服务器发送域名查询请求，包含域名、查询类型（、、等）和查询DNS A AAAA MX类（通常为，表示互联网）IN递归查询本地服务器负责完成完整查询过程，首先查询根域名服务器，获取顶级域服务器信息DNS迭代查询本地服务器依次查询顶级域服务器、二级域服务器，逐步接近目标域名的权威服务器DNS缓存与响应获取结果后缓存并返回客户端，减少重复查询，提高效率，缓存时间由控制TTL域名系统（）是互联网的核心服务，实现了从人类可读的域名到机器可用的地址的转换采用分层DNS IPDNS分布式数据库结构，由根域名服务器、顶级域名服务器、权威域名服务器和本地服务器共同构成这种结DNS构实现了良好的可扩展性和容错能力，支持全球数亿域名的管理和解析面临多种安全威胁，如缓存污染（通过伪造响应欺骗服务器缓存错误记录）、攻击（针对基DNS DNSDDoS DNS础设施的大规模流量攻击）和隧道（利用协议传输恶意数据绕过防火墙）防护措施包括（提DNS DNS DNSSEC供记录的数字签名认证）、（加密查询防止窃听和篡改）、响应速率限制和异常DNS DNSover HTTPS/TLS DNS检测系统合理配置和保护服务对维护网络安全至关重要DNS协议与万维网HTTP协议演进请求与响应HTTP（年）基本请求响应模型，每个请求都需要建立新的连接，效率较低请求包含HTTP/

1.01996-TCP HTTPHTTP/

1.1（1997年）引入持久连接，管道化请求，主机头，缓存控制等改进，至今仍广泛使用•请求行方法（GET/POST/PUT等）、URI、HTTP版本（年）引入多路复用，头部压缩，服务器推送，二进制格式等特性，大幅提升性能，特别是在高延迟网络中•头部字段Host、User-Agent、Content-Type等HTTP/22015空行•（发展中）基于协议（），提供更低的连接建立延迟，更好的拥塞控制和连接迁移能力HTTP/3QUICUDP•消息体（可选）表单数据、上传文件等响应包含HTTP•状态行HTTP版本、状态码、原因短语•头部字段Content-Type、Content-Length、Server等空行••消息体HTML、JSON、图片等响应内容电子邮件协议协议与邮件安全SMTP POP3IMAP简单邮件传输协议（）用于邮件发送和服务器间传（邮局协议）是最简单的邮件接收协议，默认将邮垃圾邮件防护采用多层次策略，包括发件人策略框架SMTP POP3递它基于文本命令交互，遵循客户端服务器模型，默件从服务器下载到客户端后删除服务器副本它操作简（）验证发件人、域名密钥识别邮件（）验证-SPF IPDKIM认使用端口（加密版本通常使用或端口）单，资源消耗低，但多设备同步困难（互联网消邮件完整性、基于域名的消息认证报告和一致性25465587IMAP会话包括建立连接、认证、指定发件人和收件人、息访问协议）则保留邮件在服务器上，支持邮件状态同（）提供域名保护策略邮件加密技术如SMTP DMARCS/MIME传输邮件内容和结束会话等阶段步、部分下载、服务器端搜索等高级功能，更适合现代多和提供端到端加密，确保邮件内容只有预期接收者可PGP设备场景以读取电子邮件系统由多个组件协同工作邮件用户代理（，如、）是用户直接交互的客户端软件；邮件传输代理（，如、）负责邮件路由MUA OutlookThunderbird MTAPostfix Exchange和传递；邮件投递代理（）将邮件存储到用户邮箱整个传输过程可能涉及多个，每一步都使用协议，而最终接收则使用或MDA MTASMTP POP3IMAP尽管诞生于互联网早期，电子邮件仍是最重要的通信工具之一，特别是在商业环境中现代电子邮件系统不断融合新技术，如支持富文本、嵌入多媒体内容、集成日历和任HTML务管理等同时，为应对日益严峻的安全挑战，邮件系统不断强化认证、加密和过滤机制，平衡便利性和安全性的需求与文件传输FTP连接建立1客户端连接服务器端口建立控制连接，进行认证和命令交互21传输模式选择2选择主动模式（服务器连接客户端）或被动模式（客户端连接服务器）数据传输3通过单独的数据连接（默认端口或协商端口）传输文件内容20（文件传输协议）使用分离的控制连接和数据连接架构，控制连接保持整个会话期间，用于发送命令和接收响应；数据连接则根据需要建立，用FTP于实际文件传输，传输完成后关闭这种设计支持高效传输，但也增加了复杂性，特别是在和防火墙环境中NAT支持两种传输模式主动模式中，服务器从其数据端口（通常是）连接到客户端指定的端口；被动模式中，服务器开放一个随机高端口，客户FTP20端连接到该端口被动模式更适合现代网络，因为它不要求客户端开放入站连接，更容易穿越防火墙传统以明文传输数据，包括认证信息，存FTP在安全风险，因此安全要求较高的场景通常使用（基于）或（）等加密替代方案SFTP SSHFTPS FTPover SSL/TLS常见应用层工具查询工具工具协议分析工具DNS HTTP/FTP和是常用的查询工具，可查询各类记录是功能强大的命令行下载工具，支持、和是最强大的协议分析工具，提供详细的应用层协议nslookup dig DNSDNSwget HTTPHTTPS Wireshark（、、、、等）这些工具对解决域名解，可递归下载整站内容，支持断点续传更侧重于数解析能力，支持、、等数百种协议的深度检AAAAAMX CNAMENS FTPcurl HTTPDNS SMTP析问题非常有用，能显示完整的查询过程和响应详情据传输，支持更多协议（包括、等），常用于查它可以过滤特定流量、跟踪会话流、解码加密前的DNS SMTPPOP3API TCP提供交互模式，更适合探索性查询；输出更详细测试、网页内容获取和脚本集成这些工具是网络管理员和应用数据（如拥有私钥），是排查应用层通信问题的终极nslookup digTLS技术信息，适合脚本和自动化分析开发者的必备利器工具有效使用这些工具需要理解应用层协议的工作原理例如，使用测试时，需要了解方法、头部字段和请求体格式；使用分析流量时，需要识别请求响应对，理解状态码和curl RESTAPI HTTPWireshark HTTP-Cookie机制；使用排查问题时，需要了解递归查询过程和各类记录的作用dig DNS在网络故障排查中，应用层工具通常与底层工具结合使用，形成完整的分析链例如，遇到网站访问问题，可能先用检查连通性，分析路径，验证解析，最后用或浏览器开发工具检查ping traceroutedigDNScurl响应掌握这些工具，能够从应用视角理解网络行为，高效定位和解决实际问题HTTP网络安全基础攻击欺骗加密与认证DDoS ARP分布式拒绝服务攻击利用大量攻击者发送伪造的消息，将对称加密（如）使用相同密ARP AES受控设备同时向目标服务器发自己的地址与网关关联，钥加解密，速度快但密钥分发MACIP送请求，耗尽网络带宽或服务从而拦截网络流量这种中间困难；非对称加密（如）使RSA器资源，导致正常服务无法访人攻击可能导致信息窃取或通用公私钥对，解决了密钥分发问常见类型包括洪水、信篡改防御方法包括静态问题但计算开销大；哈希函数SYN ARP洪水和洪水等防御表项、检测技术、加密通信（如）提供消息完整性UDP HTTPARP SHA256措施包括流量清洗、分发、协议以及网络流量监控，及时验证基础设施通过数字证CDN PKI弹性资源和异常流量检测系统发现异常请求和响应书提供身份验证，确保通信双ARP方身份真实可信是保障互联网通信安全的核心协议建立在之上，提供通信加密、身份验证和消息完SSL/TLS TLSTCP整性验证握手过程包括协商加密算法、交换密钥、验证证书和建立安全会话最新的版TLS TLS

1.3本简化了握手过程，提高了性能和安全性，淘汰了许多不安全的加密算法现代网络安全防御采用纵深防御策略，包括边界防护（防火墙、入侵防御系统）、内部安全（访问控制、网络隔离）、终端保护（杀毒软件、主机防火墙）以及安全监控（日志分析、安全运营中心）网络安全不仅是技术问题，还涉及人员安全意识、管理流程和应急响应机制，需要全面综合的解决方案网络管理与运维协议原理流量监控工具SNMP简单网络管理协议（）是网络设备监控的流量监控对网络性能优化和故障诊断至关重要SNMP标准协议，采用管理站代理结构管理站通过等技术提供流量统计数据；-NetFlow/sFlow/IPFIX、、等操作获取或设置被管理设备、、等开源工具可视化监Get GetNextSet CactiZabbix Prometheus的对象值；代理程序运行在网络设备上，响控指标；提供强大的数据可视化能力高MIB Grafana应管理站请求并发送消息通知异常事件级监控系统还支持异常检测、自动告警和容量规Trap解决了早期版本的安全缺陷，提供认证划，提前发现潜在问题SNMPv3和加密功能，保护管理通信安全故障排查方法网络故障排查遵循科学系统的方法明确问题现象；确定影响范围；建立基线对比；从简单到复杂逐层排查；从底层到上层逐步分析；验证并记录解决方案常用排查工具包括（连通性测试）、pingtraceroute（路径分析）、（协议分析）以及设备日志分析工具tcpdump现代网络运维正向自动化和智能化方向发展基础设施即代码（）通过、等工具实现网络配置IaC AnsiblePuppet自动化；意图驱动网络（）关注业务意图而非具体配置；引入机器学习分析海量监控数据，实现智能IBN AIOps故障预测和根因分析这些技术大幅提高运维效率，减少人为错误，支持更大规模更复杂网络的管理网络变更管理是运维工作的关键环节完善的变更流程包括需求分析、风险评估、变更方案制定、同行评审、实施计划、回退机制和验证测试合理的维护窗口安排、良好的团队协作以及完整的文档记录是确保网络平稳运行的基础实时监控和全面的变更后验证能够及时发现和解决潜在问题，避免影响业务连续性网络前沿与热点软件定义网络与边缘计算云原生网络5G将控制平面与数据平面分离，通过集中控制器管理网网络提供高速率（峰值）、低延迟（级）网络功能虚拟化（）将传统硬件网络设备转变为软件SDN5G20Gbps1ms NFV络设备，提高网络可编程性和灵活性协议是和海量连接（每平方公里万设备）能力，支持三大场功能，运行在通用服务器上；云原生网络进一步采用容器OpenFlow100早期的标准接口，而现代更多采用开放和多景增强型移动宽带、海量物联网和超可靠低延迟通信和微服务架构，实现网络功能的敏捷开发和弹性部署服SDN SDNAPI协议方案架构简化了网络配置，支持动态流量工边缘计算将计算资源部署在网络边缘，靠近用户和数据务网格（）技术为微服务提供透明的通信SDN ServiceMesh程，降低了运营成本，是数据中心和云计算基础设施的关源，与协同实现智能制造、自动驾驶、等创新应层，解决云环境中的服务发现、负载均衡和流量管理问5G AR/VR键技术用题网络前沿技术正重塑传统网络架构意图驱动网络（）通过将业务策略转换为网络配置，简化网络管理；引入开发运维理念，实现网络配置的持续集成和部署；网IBN NetDevOps络切片允许在共享物理基础设施上创建多个虚拟网络，满足不同业务需求新兴技术也带来新的挑战网络安全面临更复杂的威胁景观；异构网络集成需要开放标准和接口；海量设备连接对网络扩展性提出更高要求解决这些挑战需要跨学科合作，将网络技术与人工智能、大数据分析等领域融合，共同构建更智能、更安全、更高效的未来网络经典网络实验与竞赛实验平台北京大学网络实验环境结合实体硬件和虚拟模拟，支持复杂网络拓扑构建和协议分析实践技能从基础配置到高级排错，培养解决实际网络问题的能力和工程实践经验竞赛准备系统性练习和专项训练，针对、蓝桥杯等竞赛的网络题型进行针对性强化CCF能力认证实验成果与业界认证接轨，为学生提供就业和进一步学习的专业资质证明北京大学网络实验平台集成了思科、华为、等主流网络设备，以及、等模拟环境，支持多种H3C GNS3EVE-NG实验场景经典实验包括配置与管理、动态路由协议配置、访问控制列表实现、隧道建立、负载均衡VLAN VPN与高可用性设计等每个实验都配有详细指导书和评分标准，学生需要完成预习、实验操作、结果分析和实验报告，全面锻炼理论知识和实践能力网络类竞赛试题通常包括网络配置、故障排除、性能优化和安全加固等方面竞赛准备应关注实际应用场景，熟悉常见故障现象和解决方法，掌握核心协议参数调优技巧北京大学组织模拟竞赛和专题讲座，邀请行业专家分享经验，通过团队合作解决复杂网络问题，培养综合分析和解决问题的能力这些竞赛和实验经历为学生未来职业发展提供了宝贵的实践基础结语与学习建议学以致用将理论知识应用于实践项目和真实场景持续学习关注技术发展趋势，不断更新知识结构夯实基础深入理解协议原理和网络架构计算机网络是信息科学的核心领域，也是现代社会数字基础设施的关键组成部分通过本课程的学习，我们系统地了解了从物理层到应用层的各类协议和技术，掌握了网络设计、实现与管理的基本原理这些知识不仅对从事网络工程工作的学生至关重要，也是所有计算机专业学生的必备技能后续学习可以关注几个方向深入研究特定领域如网络安全、高性能网络或无线通信；学习云计算和虚拟化技术，了解现代数据中心网络架构；参与开源项目，实践网络协议栈开发；准备、等业界认证，提升职业竞争力北京大学计算机网络课程的特色在于理论与实践并重，强调原CCNA HCNA理性理解，注重培养学生的问题解决能力和创新思维，为未来更深入的学习和研究奠定坚实基础。