《课程名称：计算机网络》课件

计算机网络课程欢迎来到计算机网络课程！本课程将系统地介绍计算机网络的基本概念、架构和工作原理，帮助您理解现代通信技术的基础我们将从网络发展历史开始，逐步深入探讨网络的各个层次结构，包括物理层、数据链路层、网络层、传输层和应用层通过理论与实践相结合的学习方法，您将掌握各种网络协议的工作机制计算机网络发展历史年诞生1969ARPANET美国高级研究计划局网络（）作为第一个实用的分组交换网络，最初连ARPANET接了四个节点加州大学洛杉矶分校、斯坦福研究所、加州大学圣巴巴拉分校和犹他大学年协议采用1983TCP/IP正式采用协议套件，奠定了现代互联网的技术基础这一转变ARPANET TCP/IP使不同网络能够互连，形成真正的网络之网年万维网诞生1989蒂姆伯纳斯李在欧洲核子研究中心（）提出了万维网的概念，发明了·-CERN协议、语言和第一个网页浏览器，彻底改变了信息获取方式HTTP HTML世纪移动互联网时代21计算机网络定义与功能网络基本定义资源共享功能计算机网络是将分散的、具有独网络允许用户共享硬件资源（如立功能的计算机系统，通过通信打印机、存储设备）、软件资源设备与线路连接起来，由功能完（如应用程序、数据库）和数据善的软件实现资源共享和信息传资源（如文件、信息），极大地递的系统网络打破了地理限提高了资源利用率和工作效率制，实现了设备间的高效协作通信服务功能计算机网络提供实时通信（如视频会议、即时通讯）和非实时通信（如电子邮件、文件传输）服务，满足不同场景下的信息交换需求，使人与人之间的沟通更加便捷高效网络分类城域网MAN城域网覆盖一个城市或特定区域，连接多个局域网传输速率介于局域网和广局域网LAN域网之间，可采用光纤或微波等传输介质主要用于连接分散在城市各处的机局域网覆盖范围较小，通常限于一个建构分支机构筑物或校园内具有高数据传输速率（），低延迟特10Mbps-10Gbps广域网点，常用于办公室、学校或小型机构内WAN部典型技术包括以太网、等Wi-Fi广域网跨越国家甚至洲际，连接范围极广数据传输速率相对较低，延迟较高，但覆盖范围广泛常见的广域网包括互联网、企业专用网络等广域网通常由电信运营商提供服务网络拓扑结构总线拓扑星型拓扑环型拓扑网状拓扑所有设备共享一条主干线缆，所有设备连接到中央节点（如每个设备连接到环中的两个邻设备之间存在多条连接路径，数据在总线上广播传输优点交换机或集线器）优点是管近设备，数据在环中单向传形成冗余链路优点是可靠性是结构简单，布线成本低；缺理便捷，单个节点故障不影响输优点是结构规整，数据传高，具有多种路由选择，单点点是总线故障会导致整个网络整体网络，易于扩展；缺点是输速度稳定；缺点是单点故障故障影响小；缺点是布线复瘫痪，且网络负载增大时性能中央节点故障会导致整个网络可能影响整个网络，难以进行杂，成本高，管理难度大下降明显瘫痪，布线成本较高网络扩展网络协议概述协议定义网络协议是计算机之间进行通信的规则集合语法（格式）数据格式与编码方式语义（内容）控制信息的解释与响应行为同步（时序）事件顺序和速度控制网络协议是计算机通信的基础，它定义了数据交换的规则和流程协议的三要素共同确保网络通信能够准确、高效地进行标准化组织如国际标准化组织、国际电信联盟、互联网工程任务组等负责制定和维护这些协议标准，以保证不同厂商设备间的互操作性ISO ITUIETF网络体系结构七层参考模型四层模型OSI TCP/IP由组织于年提出，从上到下分为实际互联网采用的主流模型，从上到下分为ISO1984应用层应用层（合并了的应用、表示、会话层）

1.

1.OSI表示层传输层

2.

2.会话层网络层（又称互联网层）

3.

3.传输层网络接口层（合并了的数据链路层和物理层）

4.

4.OSI网络层

5.优点是简洁实用，与实际互联网协议族紧密结合它是目前互联数据链路层

6.网的基础协议架构物理层

7.优点是概念清晰、层次分明，便于理解和教学缺点是过于理论化，实际应用较少七层模型概览OSI应用层提供用户接口和服务表示层数据格式转换与加密会话层建立、维护和终止会话传输层端到端连接与可靠传输网络层路由选择与分组转发数据链路层6帧传输和差错控制物理层物理介质与信号传输七层模型中，每一层都依赖于下层提供的服务，同时为上层提供服务各层之间通过接口进行通信，层内则遵循特定的协议规则数据在发送端从上往下经过各层封装，在接收端则从下往上逐层解封装，最终呈现给用OSI户四层模型TCP/IP应用层为用户提供各种网络服务，包含众多应用协议网页浏览、文件传输、HTTPFTP电子邮件、域名解析、远程登录等该SMTP/POP3/IMAPDNSTelnet/SSH层直接面向用户，提供友好的接口和服务传输层提供端到端的通信服务，主要协议包括传输控制协议和用户数据报协议TCPUDP提供可靠的、面向连接的传输服务，而提供不可靠的、无连接的传输服务，TCP UDP适用于实时应用网络层负责数据包的路由和转发，核心协议是网际协议此外还包括互联网控制IPICMP消息协议、互联网组管理协议以及各种路由协议如、、等IGMPRIP OSPFBGP网络接口层对应的物理层和数据链路层，处理物理传输媒介和帧的传递包括以太网、、OSI Wi-Fi等协议，以及地址解析协议等将地址映射到物理地址的协议PPP ARPIP物理层概述主要作用有线传输介质物理层负责在通信双方之间建常见的有线传输介质包括双绞立、维护和断开物理连接它线（最常用的局域网传输介定义了数据传输的电气特性、质）、同轴电缆（抗干扰能力机械特性、功能特性和过程特强，用于有线电视网络）、光性，确保原始比特流能够在物纤（传输距离远、带宽大，用理媒介上可靠传输于骨干网络）不同介质有各自的信号衰减特性和传输距离限制无线传输介质无线传输主要利用电磁波进行信号传递，包括微波通信（点对点传输）、卫星通信（覆盖范围广）、红外线通信（短距离、直线视距）、蓝牙（个人区域网络）和各种无线电通信技术物理层常见设备中继器（）集线器（）Repeater Hub中继器是工作在物理层的网络设备，主要功能是放大和重新发送信集线器是物理层的多端口中继设备，用于连接多台网络设备形成星号，用于延长网络传输距离它能够克服信号在传输过程中的衰减型拓扑结构集线器采用广播方式工作，接收到的信号会被发送到问题，但不能隔离冲突域，也不具备数据过滤能力除源端口外的所有端口，存在带宽共享和冲突域扩大的问题物理层信号传输数字信号模拟信号数字信号是离散的、不连续的信号，通常用高低电平（或称为和）表示数字信号的传输更加准确，模拟信号是连续变化的波形，可以表示无限多的值传统电话网络使用模拟信号传输声音模拟信号在传输10抗干扰能力强，适合计算机数据处理，但在长距离传输中容易衰减过程中容易受到噪声干扰，信号质量会随传输距离的增加而下降编码技术调制技术编码是将数据比特转换为适合在传输媒介上传输的信号的过程常见的编码方式包括曼彻斯特编码、差调制是将数字信号转换为模拟信号以便在模拟信道上传输的过程基本调制技术包括幅移键控、ASK分曼彻斯特编码、不归零编码、归零编码等不同编码方式在效率、同步能力和错误检测方频移键控、相移键控和正交幅度调制高级调制技术能提高频谱利用率NRZ RZFSK PSKQAM面各有优势数据链路层功能12帧定界差错控制确定数据帧的起始和结束位置，常用方法有字符计数法、字符填充法和比特填充法通过奇偶校验、循环冗余校验等方法检测并纠正传输错误CRC34流量控制介质访问控制调节发送方的数据发送速率，防止接收方缓冲区溢出在共享媒体环境中协调多个节点的传输，避免冲突数据链路层是参考模型中的第二层，处于物理层之上、网络层之下它将网络层交付的数据包封装成帧，并通过物理层提供的服务在相邻节点间传输在接收方，数据链路层检查接OSI收到的帧，确认其完整性，然后将有效数据提取出来传递给网络层数据链路层常见协议协议HDLC高级数据链路控制协议是一种由标准化High-level DataLink ControlISO的面向比特的链路层协议它支持点对点和多点连接，提供全双工通信使用零比特填充技术进行透明传输，采用进行错误检测，是许多其HDLC CRC他协议的基础协议PPP点对点协议是一种广泛使用的数据链路层协议，Point-to-Point Protocol主要用于在两个网络节点之间建立直接连接支持身份验证、PPP PAP、压缩和多协议传输它通常用于拨号连接、、等场景CHAP ADSLPPPoE协议SLIP串行线路互联网协议是一种简单的链路层协Serial LineInternet Protocol议，用于点对点串行连接它没有地址字段、类型字段，也不支持错误检测和身份验证，功能非常有限，已基本被取代PPP局域网技术以太网以太网帧结构机制CSMA/CD以太网帧包含前导码字节、目的载波侦听多路访问冲突检测技术允许8/地址字节、源地址字多台设备共享同一传输介质，发送前先MAC6MAC6节、类型长度字段字节、数据负载2监听，冲突发生时采用二进制指数后退/2字节和校验码字节算法重试46-1500FCS4以太网速率演进交换技术从的到10Mbps10BASE-T100Mbps4以太网交换机根据地址表转发数据MAC的快速以太网，再到、1Gbps帧，实现微分段，每个端口形成独立冲、甚至的高10Gbps40Gbps100Gbps突域，显著提高网络效率速以太网，传输速率不断提升局域网设备网卡（网络接口卡）交换机网桥网卡是计算机连接网络的硬件接口，具有交换机是工作在数据链路层的网络设备，网桥是连接两个或多个网段的数据链路层物理层和数据链路层功能每张网卡都有根据地址表进行帧转发它能学习连设备，可以根据地址过滤数据帧，决MAC MAC全球唯一的地址，负责将计算机数据接设备的地址并建立转发表，实现点定是否转发网桥隔离冲突域，但共享广MAC MAC转换为适合在网络上传输的信号，同时也对点的数据传输，隔离冲突域，提高网络播域随着交换机的普及，独立网桥设备接收来自网络的信号并转换为计算机可处效率高端交换机还支持、等已较为少见，但其功能已集成到现代交换VLAN QoS理的数据高级功能机中无线局域网（）WLAN标准系列信道分配

802.11是无线局域网的主使用和两个IEEE

802.11WLAN

2.4GHz5GHz要标准，包括多个版本主要频段，每个频段划分为多个信、道频段共个信道，

802.11b11Mbps

2.4GHz

14、但实际可用的非重叠信道只有个

802.11a54Mbps

3、、、频段提供更

802.11g54Mbps16115GHz、多的非重叠信道，干扰更少，但传

802.11n600Mbps数和输距离较短

802.11ac Gbps每个新标

802.11axWi-Fi6准都提供更高的速率、更强的安全性和更好的性能接入机制采用载波侦听多路访问冲突避免机制，通过WLAN CSMA/CA/请求发送允许发送帧交换和随机退避时间减少冲突此外，无线RTS/CTS/接入点负责协调各无线站点的访问，提供与有线网络的连接AP虚拟局域网VLAN概念标准VLAN

802.1Q虚拟局域网是一种将物理上连接在同一交换机或多个交是实现的主要标准，通过在以太网帧中插VLANIEEE

802.1Q VLAN换机上的设备逻辑分组的技术，使它们像在不同的物理网段一入字节的标签来识别帧所属的标签包含4VLAN VLAN样工作成员可以跨越多个交换机，但仍属于同一广播标签协议标识符和标签控制信息，其中又包含VLAN TPIDTCITCI域不同之间的通信需要通过路由器优先级、标志和范围VLAN CFIVLAN ID1-4094标识方法优势VLAN VLAN的划分可以基于端口最常用、地址、协议类型或•提高网络安全性，隔离不同用户组VLANMAC子网基于端口的将交换机特定端口指定给特定IP VLAN•减少广播流量，提高网络性能；基于地址的根据设备的地址进行划VLAN MACVLAN MAC•简化网络管理，便于网络重组分，允许设备在网络中移动时保持成员身份VLAN•降低硬件成本，一台交换机可模拟多个网段网络层功能寻址功能网络层使用地址来唯一标识网络中的设备地址分为位和位两种形式，用于在IP IP IPv432IPv6128全球范围内标识设备位置网络层还负责地址解析，将地址映射到数据链路层的地址IP MAC路由功能路由是选择数据包从源到目的地的最佳路径的过程网络层通过路由表和路由算法如距离矢量算法、链路状态算法来决定数据包的转发路径路由表包含目的网络、下一跳地址和接口等信息分组转发当路由器收到数据包时，检查数据包头部的目的地址，查询路由表，决定从哪个接口转发如果目的地IP址是本地网络，直接投递；如果是远程网络，转发到下一跳路由器；如果没有匹配条目，使用默认路由或丢弃服务质量控制网络层提供服务质量控制，根据数据流类型如语音、视频、数据分配不同的优先级和带宽通过QoS差分服务代码点和等机制实现对时延、抖动和丢包率的控制DSCPIntServ/DiffServ协议详解IP地址结构子网划分数据报格式IPv4IPv4地址由位二进制数组成，通常表示为子网划分将一个大的网络分割成多个小的子数据报由头部和数据两部分组成头部包IPv432IPv4四个十进制数，如地址分网，提高地址使用效率和网络性能通过借用含版本、服务类型、总长度、标识、标志、片

192.

168.

1.1IP为网络部分和主机部分，通过子网掩码来区主机位作为子网位，创建更多的网络偏移、生存时间、协议、头部校验和、源地IP分根据前缀长度，地址分为、、、无类域间路由使用前缀长度如取址、目的地址等字段可选字段用于特殊用IP AB CCIDR/24IP、五类代传统的分类，实现更灵活的地址分配途，如路由记录、时间戳等D E简介IPv6地址结构数据包结构IPv6IPv6地址长度为位，通常表示为组位十六进制数，用数据包头部结构简化，固定长度为字节，包含版本、通IPv6128816IPv640冒号分隔，如信类别、流标签、负载长度、下一个头部、跳数限制、源地址和目的地址个字段复杂功能通过扩展头部实现，包括逐跳选2001:0db8:85a3:0000:0000:8a2e:0370:7334IPv68提供了几乎无限的地址空间个地址，解决了地址项、路由、分片、认证、加密等2^128IPv4耗尽问题支持多种地址类型单播地址一对一通信、多播地址一不再支持分片，路由器不进行分片处理，而由源主机通过IPv6IPv6对多通信、任播地址一对最近的一个特殊地址包括本地链路径发现进行处理还简化了头部校验和，依赖下层MTU IPv6路地址、唯一本地地址和回环地址协议保证数据完整性，提高了处理效率fe80::/10fc00::/7::1优势向过渡IPv6IPv4IPv6除了更大的地址空间外，还简化了路由表，支持自动过渡技术包括双栈同时支持和、隧道数IPv6IPv4IPv6IPv6配置无需，加强了安全性内置，提高了服据包封装在中传输和转换和之间的地址DHCP IPSecIPv4IPv4IPv6务质量控制，并优化了移动设备支持和协议转换三种主要方法路由协议介绍静态路由协议RIP管理员手动配置路由表，适用于简单网距离矢量路由协议，使用跳数作为度量络优点是配置简单、资源消耗少；缺标准，最大跳数限制为每秒广1530点是不能自动适应网络变化，管理复杂播路由表，收敛速度慢，适用于小型网度随网络规模增长络协议OSPF协议BGP链路状态路由协议，使用带宽作为度量4路径矢量路由协议，用于自治系统之间标准构建完整网络拓扑图，运行的路由选择考虑路由策略而非最短路算法计算最短路径支持大型Dijkstra径，是互联网骨干路由协议网络和VLSM路由协议按使用范围可分为内部网关协议和外部网关协议用于自治系统内部路由，包括、、等；IGP EGPIGP RIPOSPF EIGRP用于自治系统之间路由，主要是较大的网络通常同时使用多种路由协议，形成混合路由环境EGP BGP与公网私网NAT/工作原理私有地址范围NAT网络地址转换是将内部网络的私有地址转换为公网地•类NAT IP IP A

10.

0.

0.0-

10.

255.

255.255址的技术当内部主机发送数据包到外网时，设备将源NAT IP•类B

172.

16.

0.0-

172.

31.

255.255地址私有地址替换为公网地址，同时记录这种映射关系；接IP•类C

192.

168.

0.0-

192.

168.

255.255收到响应数据时，再根据记录将目的地址转换回私有地址的优缺点NAT类型NAT优点延缓地址耗尽、隐藏内网结构提高安全性、便于地IPv4•静态一对一映射，每个内部地址映射到固定的公网地NAT址规划缺点打破端到端连接模型、增加延迟、影响某些应用址如、无法实现外部直接访问内部服务器除非配置端口转P2P•动态从公网地址池中动态分配地址NAT发•端口地址转换多个内部地址共享一个公网地址，通PAT过不同端口号区分协议ICMP互联网控制消息协议是协议的重要补充，用于传递控制消息和错误报告报文封装在数据报中传输，但被视为网络层协议每个报文包含类ICMP IPICMP IPICMP型、代码、校验和和内容字段常见的消息类型包括回显请求应答类型、目的不可达类型、超时类型、重定向类型等ICMP/8/03115工具工具Ping Traceroute使用回显请求和回显应答消息，测试网络连通性和往返时延通过操作数据报的字段，逐步探测从源到目的地的路Ping ICMPTraceroute IPTTL当主机收到回显请求后，会发送回显应答，携带相同的数据是诊断径它发送从开始递增的数据包，当包经过路由器时减，为Ping TTL1TTL10网络问题的基本工具时路由器返回超时消息，从而识别路径上的每个路由器ICMP与协议ARP RARP问题背景在局域网通信中，数据链路层需要知道目的主机的地址才能发送数据帧；但层MAC IP只知道目的地址，因此需要一种机制将地址映射到对应的地址IPIPMAC协议工作流程ARP地址解析协议通过以下步骤工作主机检查缓存是否有目标对应的ARP1ARP IP地址；如没有，广播请求包，询问谁拥有这个地址；拥有该的主MAC2ARPIP3IP机回复响应，包含其地址；源主机更新缓存并发送数据帧ARP MAC4ARP协议工作流程RARP反向地址解析协议作用与相反，用于已知地址求对应地址主要RARP ARPMAC IP应用于无盘工作站，它们启动时只知道自己的地址，需要向服务器请求获MAC RARP取地址现已基本被替代IP DHCP安全问题ARP协议没有验证机制，容易遭受欺骗攻击攻击者可发送伪造的响应包，ARP ARP ARP使受害者将错误的地址与特定关联，从而劫持通信或实施中间人攻击防御措MAC IP施包括静态绑定、检测等ARPARP运输层概述端口与端口号端口是传输层提供的抽象概念，用于区分同一主机上的不同应用进程端口号是位整数范围，分为三类系统端口，注册端口160-655350-1023和动态端口端口与地址组合形成套1024-4915149152-65535IP接字，唯一标识网络中的应用进程socket多路复用与分用多路复用指发送方将多个应用进程的数据通过同一个传输层协议传输的过程传输层为每个应用数据添加首部，包含源端口和目的端口，然后交给网络层分用则是接收方根据传输层首部中的端口信息，将收到的数据正确交付给对应的应用进程传输层服务传输层提供端到端通信服务，屏蔽了下层网络的复杂性提供可靠、面向TCP连接的传输服务，适用于要求数据准确无误的应用；提供不可靠、无连接UDP的传输服务，具有低延迟特性，适用于实时性要求高的应用协议UDP特性报文结构UDP UDP用户数据报协议是一种简单的面向报文的传输层协议，具有以下报文由首部和数据两部分组成首部仅包含四个字段，每个字段UDP UDP2特点字节•无连接不需要建立连接就能直接发送数据•源端口发送方的端口号，可选（值为表示不使用）0•不可靠传输不保证数据到达，没有确认、重传机制•目的端口接收方的端口号•无序多个数据报可能以不同于发送顺序的次序到达•长度报文的总长度（首部数据）UDP+•无流量控制和拥塞控制发送速率不受网络状况影响•校验和用于检测数据传输错误（可选，但实际中几乎总是使用）•开销小、效率高首部只有字节，处理速度快8的校验和覆盖首部、数据以及包含源、目的等字段的伪UDP UDP IPIP首部，提供端到端的错误检测应用场景广播与多播UDP适用于对实时性要求高、能容忍少量丢包的应用，如查支持广播和多播，而仅支持单播这使适合一对UDP DNSUDP TCPUDP询、流媒体传输音视频、网络游戏、通话、、多通信场景，如直播、视频会议和实时数据分发VoIP DHCP网络管理等SNMP协议基础TCP面向连接通信前必须建立连接，结束后释放连接面向字节流将应用数据视为连续字节流，按分段传输MSS可靠传输通过确认和重传机制保证数据正确、完整送达有序传递接收方按序号重新组装数据，确保顺序正确可靠传输机制TCP序列号与确认机制为每个字节编号，发送的报文段中序列号字段标识该报文段的第一个字节的编号接收方发送确TCP TCP认，其确认号表示期望收到的下一个字节的序号这种累积确认机制使接收方只需维护一个确认号，ACK简化了状态管理超时与重传使用自适应超时重传机制它通过测量往返时间动态计算重传超时时间当超过仍TCP RTTRTO RTO未收到确认时，将重传未确认的报文段还实现了快速重传机制如果接收方收到失序报文段，会立TCP即发送重复，发送方收到三个重复后立即重传相应报文段，不必等待超时ACK ACK流量控制通过滑动窗口机制实现流量控制，避免发送方速度过快导致接收方缓冲区溢出接收方在报文TCP ACK中的窗口字段告知发送方自己的接收能力，发送方据此控制发送窗口大小如接收窗口为，发送方将停0止发送并定期发送窗口探测报文拥塞控制通过拥塞窗口机制感知网络状况并适应网络负载发送窗口的实际大小为接收窗口和拥塞窗TCP cwnd口的较小值拥塞控制算法包括慢启动、拥塞避免、快重传和快恢复，通过调整拥塞窗口大小平衡传TCP输效率和网络稳定性拥塞控制算法拥塞避免慢启动线性增长，每个增加一个cwnd RTT连接初始或重启后拥塞窗口从开1MSS这种保守增长方式避免拥塞窗口过MSS始，每收到一个就增加一个，使ACK MSS快扩大导致网络拥塞如果发生超时，将窗口呈指数增长当达到慢启动阈值cwnd2设为当前的一半，并重回慢ssthresh cwnd时，进入拥塞避免阶段ssthresh启动阶段快恢复快重传快重传后直接进入拥塞避免阶段而非慢启当收到个重复时，无需等待超时就43ACK动，将设为的一半，ssthresh cwndcwnd立即重传丢失报文段这种机制基于网络3设为加个重复表明ssthresh3MSS ACK可能只丢失个别报文而非发生严重拥塞的网络仍能传输数据，无需从重新开1MSS假设，能快速恢复通信始这些算法共同构成了的拥塞控制体系，通常称为随着网络技术的发展，出现了许多改进的变种，如基于延TCP TCPReno TCPTCP Vegas迟、基于瓶颈带宽和、用于高速网络等，它们尝试在不同网络环境中获得更好的性能平衡TCP BBRRTT TCPCUBIC常见端口号服务端口号协议说明网页浏览HTTP80TCP加密的HTTPS443TCP HTTP数据文件传输FTP20TCP控制命令FTP21TCP FTP安全远程登录SSH22TCP远程登录Telnet23TCP发送邮件SMTP25TCP域名解析DNS53UDP/TCP服务器动态分配DHCP67UDP IP客户端动态请求DHCP68UDPIP熟悉常见端口号对于网络管理、安全防护和故障排除非常重要系统端口通常由系统进程或特权程序使用，0-1023需要管理员权限才能绑定注册端口由分配给特定服务，但普通用户程序也可使用动态端口1024-49151IANA供临时或私有服务使用，不需正式注册49152-65535在防火墙配置和网络安全策略中，常需要根据服务和端口制定访问控制规则例如，只对外开放必要的端口如、，80443关闭或限制高风险端口如、等Telnet FTP应用层概述应用层直接面向用户的网络服务层1传输层提供端到端的可靠不可靠传输/网络层负责路由选择和分组转发数据链路层处理帧的传输和介质访问控制物理层处理比特流的物理传输应用层是网络体系结构中最上层，直接为用户的应用程序提供服务它定义了应用进程间通信和交互的规则，实现特定的网络应用应用层协议规定了应用进程交换的报文类型、各种报文类型的语法、字段的语义以及进程如何发送和响应这些报文根据服务模式，应用层协议可分为客户端服务器模式和对等模式客户端服务器模式中，服务器提供资源和服务，客户端发起请求并使用服务；模式中所有节点既是服务提/P2P/P2P供者又是服务使用者，角色对等常见的应用层协议包括、、、、等，它们构成了互联网应用的基础HTTP FTPSMTP DNSTelnet域名系统DNS域名结构域名采用层次化结构，从右到左依次为顶级域名如、、二级域名、三级域名.com.cn等顶级域名分为通用顶级域如和国家顶级域如完gTLD.com/.org ccTLD.cn/.uk全限定域名包含所有级别，结尾带点如FQDNwww.example.com.服务器分类DNS系统由分布式的服务器网络组成，包括根域名服务器组、顶级域名服务器、权DNS13威域名服务器和递归解析服务器本地各级服务器通过分层负责管理不同区域的域DNS名解析，提高系统的扩展性和容错性解析过程DNS典型的解析经历以下步骤客户端查询本地服务器；如果本地缓存中DNS1DNS2DNS没有，向根域名服务器查询；根服务器返回顶级域名服务器地址；依次查询顶级域名34和权威域名服务器；获取最终的地址并返回客户端5IP记录类型DNS系统存储多种记录类型，包括记录域名对应的地址、记录地DNS AIPv4AAAA IPv6址、记录别名、记录邮件服务器、记录域的域名服务器、记录CNAMEMXNSPTR反向查询、记录起始授权记录等IPSOA万维网与协议HTTP万维网基本概念协议特点HTTP万维网是互联网上最流行的应用之一，由是应用层协议，基于提供的可靠传输服务其主要特点包括World WideWeb,WWW HTTPTCP蒂姆伯纳斯李于年发明基于以下三项技术·-1989Web•超文本标记语言定义网页内容和结构•无状态性服务器不维护客户端状态，每个请求相互独立HTML•统一资源定位符唯一标识网络资源位置•无连接传统完成一次请求响应后就断开连接URLHTTP/

1.0-•超文本传输协议规定客户端与服务器之间交互的协议•媒体独立性可传输任何类型的数据对象，由指定HTTPContent-Type现代还包括样式表和客户端脚本等技术，使网引入了持久连接，允许在一个Web CSSJavaScriptHTTP/

1.1Connection:keep-alive页具有丰富的表现力和交互性连接上发送多个请求响应对，提高效率进一步引入了TCP-HTTP/2多路复用、服务器推送等特性请求方法状态码HTTP HTTP常见方法包括获取资源、提交数据、上传资状态码指示请求结果信息性、成功如、GETPOSTPUT1xx2xx200OK源、删除资源、获取头信息等重定向如、客户端错误如DELETEHEADRESTful3xx301/3024xx404Not设计中，这些方法对应资源的增删改查操作、服务器错误如API Found5xx500Internal ServerError与HTTPS SSL/TLS概念工作原理数字证书HTTPS SSL/TLS超文本传输安全协议是协议安全套接字层及其后继传输层安数字证书是由权威的证书颁发机构签发HTTPSHTTP SSLTLS CA的安全版本，通过协议提供加密通全是为网络通信提供安全的协议它们位于的，用于确认证书中的公钥属于特定网站SSL/TLS信和服务器身份验证将协议应用层与传输层之间，使用公钥加密技术对证书包含网站信息、公钥、信息及的HTTPS HTTPCA CA数据放在层提供的安全连接上传通信进行加密，并提供服务器身份验证、消数字签名浏览器内置了受信任的根证SSL/TLS CA输，默认端口为而非的息完整性检查和可选的客户端认证书，用于验证网站证书的合法性443HTTP80通信建立过程包括握手阶段协商加密参数、验证服务器身份、生成会话密钥和数据传输阶段使用对称加密保护数据解决了HTTPSHTTPS的三大安全问题保密性防窃听、完整性防篡改和认证性防伪装，为电子商务、网上银行等应用提供了安全基础HTTP电子邮件协议邮件客户端发送SMTP用户通过邮件客户端撰写邮件，并通过协议发件人的邮件服务器通过协议与收件人的邮件服务器MUA SMTPSMTP将邮件发送到发件人的邮件服务器通信，将邮件传递到目标服务器MTA2邮件获取邮件递送4收件人使用或协议从邮件服务器获取邮件到本收件人的邮件服务器接收邮件并存储在收件人的邮箱中，等POP3IMAP3地客户端阅读待用户查收协议协议协议SMTP POP3IMAP简单邮件传输协议工作在端口，用于发送邮局协议版本工作在端口，是一种用互联网消息访问协议工作在端口，比SMTP TCP253POP3TCP110IMAP TCP143电子邮件是一种推送协议，遵循命令响应模于从服务器下载邮件的简单协议下载邮件后通常更复杂和强大将邮件保存在服务器上，支SMTP-POP3POP3IMAP式，使用文本进行交互它处理邮件的投递，但不会从服务器删除邮件可配置保留，适合单一设备访问持部分下载、文件夹管理、服务器搜索和多设备同步它ASCII处理邮件的获取扩展增加了身份验证、它的优点是简单和离线阅读支持，缺点是多设备同步困适合多设备环境，但需要持续网络连接才能获得最佳体SMTP ESMTP加密等功能难验文件传输协议FTP基本概念控制连接与数据连接FTP文件传输协议是一种用于在计算机之间传输文件的标准网络协议，使用两个并行的连接控制连接和数据连接控制连接用于传FTP FTPTCP工作在网络上使用客户端服务器模式，服务器监听输命令和响应，在整个会话期间保持连接；数据连接用于实际传输文件，TCP/IP FTP-端口控制端口和数据端口每次传输一个文件就建立和断开一次TCP2120是一种有状态协议，服务器需要维护用户的会话信息用户可以通命令通过控制连接发送，包括用户名、密码、FTP FTPUSERPASS过用户名密码登录标准方式，也可以匿名登录如果服务器允许列目录、更改目录、下载、上传、LISTCWDRETRSTOR常用于网站内容上传、软件发布和大文件传输退出等服务器以三位数字代码和描述文本回应每个命令FTP QUIT主动模式被动模式在主动模式下，客户端告知服务器用于接收数据的端口，服务器从端在被动模式下，客户端请求服务器提供一个随机端口用于数据传输，口主动连接到客户端指定的端口这种模式在客户端有防火墙时可然后客户端主动连接到该端口被动模式更适合现代网络环境，能避20能出现问题，因为防火墙通常会阻止外部发起的连接开客户端防火墙限制，但服务器需要开放更多端口网络简介P2P网络架构应用场景面临的挑战P2P P2P P2P对等网络是一种去中心化的网络架构，每个节点既是服务消技术广泛应用于文件共享、流媒体分发、即时通讯网络面临的主要技术挑战包括穿透大多数对等体在私有网络中、Peer-to-Peer P2P BitTorrentIPTV P2P NAT费者又是服务提供者网络中的每个计算机被称为对等体，它早期、分布式存储、区块链比特币等领域系统能有效安全与信任恶意节点识别、激励机制促进资源共享、负载均衡和保P2PpeerSkype IPFSP2PQoS们直接相互通信而无需中央服务器协调网络具有高度可扩展性和鲁棒分散网络负载，提高资源利用率，适合大规模、高带宽需求的应用证此外，版权问题也是文件共享应用的法律挑战P2P P2P性，故障节点不会影响整个系统运行下载原理BT是最流行的文件共享协议之一将大文件分割成小块通常为，用户可以同时从多个对BitTorrentBT P2P BT256KB-1MB等体下载不同的块，并向其他用户上传已有的块，形成你为我上传，我为你下载的互惠机制协议使用文件作为元数据，包含文件信息、块哈希值和服务器地址服务器帮助对等体发现彼BT.torrent TrackerTracker此，但不参与实际文件传输现代还支持分布式哈希表，实现无的对等体发现BT DHTTracker远程登录与终端服务协议协议Telnet SSH是早期的远程登录协议，工作在端口它提供了一种终安全外壳协议是一种加密的网络协议，工作在端口，用于安全远程Telnet RFC854TCP23SSH TCP22端模拟技术，允许用户通过网络登录到远程计算机，就像直接连接到该计算机的终登录和执行命令由芬兰赫尔辛基大学的于年设计，目的SSH TatuYlönen1995端一样用户可以在远程系统上执行命令、运行程序和访问资源是替代不安全的、和协议Telnet rshrlogin的主要问题是安全性缺乏它以明文方式传输所有数据，包括用户名和密码，使用公钥加密技术保证通信安全，提供强大的加密和身份验证机制除了远程Telnet SSH使通信容易被窃听和中间人攻击由于这些安全隐患，现代网络环境中已基登录外，还支持文件传输通过和、端口转发隧道和转发远Telnet SSHSFTP SCPX11本被替代，除非在完全受控和安全的内部网络中使用程图形应用是系统管理员和开发人员管理远程服务器的标准工具SSHSSH特性Telnet SSH通信安全明文传输，无加密加密通信，防窃听身份验证基本密码认证多种认证方式密码、密钥、证书完整性检查无数据完整性保护消息认证码保证完整性额外功能基本终端功能文件传输、端口转发、转发X11现代适用性仅适用于封闭可信网络适用于各种网络环境包括互联网网络安全基础计算机病毒特洛伊木马网络攻击计算机病毒是一种能够自我复制木马程序伪装成有用或无害的软常见的网络攻击包括分布式拒绝并感染其他程序的恶意软件病件，但实际执行恶意行为，如窃服务、中间人攻击、钓DDoS毒需要宿主程序才能传播，常通取信息、安装后门、控制系统鱼攻击、注入、跨站脚本SQL过电子邮件附件、被感染的软件等与病毒不同，木马不会自我等这些攻击可能导致服XSS或可移动介质传播病毒可能导复制和感染其他文件它们通常务中断、数据被盗、身份被冒用致系统性能下降、文件损坏、数需要用户主动运行，如打开看似或财务损失现代网络攻击往往据丢失甚至硬件故障正常的附件或安装非官方来源的是有组织、有目标的，经济或政应用治动机驱动防护措施全面的网络安全防护策略应包括安装并及时更新杀毒软件防火墙；定期系统和应用补丁更新；/开启双因素身份验证；数据加密；定期备份；安全意识培训；网络监控和入侵检测；安全审计和脆弱性评估等安全原则网络安全的关键原则防御纵深多层次防护、最小权限原则仅授予必要权限、默认安全默认配置应是安全的、开放设计算法公开但密钥保密、失效安全故障时保持安全状态以及持续监控与改进身份认证与访问控制密码认证基于用户知道的信息进行身份验证令牌认证基于用户拥有的物理或数字设备生物识别基于用户生理或行为特征环境认证基于用户的位置、时间或设备多因素认证访问控制机制多因素认证要求用户提供两种或更多不同类型的身份证明访问控制是确保资源只被授权用户以授权方式访问的过程，主要方法包括MFA•第一因素知识因素用户知道的东西，如密码、PIN码•自主访问控制DAC资源拥有者决定访问权限，如文件权限•第二因素持有因素用户拥有的东西，如手机、安全令牌•强制访问控制MAC系统根据安全策略控制访问，用户无法更改•第三因素固有因素用户本身的特征，如指纹、声纹•基于角色的访问控制RBAC根据用户在组织中的角色分配权限显著提高系统安全性，因为即使攻击者获取了一种因素如密码，没有其他因素仍无法通过认证•基于属性的访问控制ABAC根据用户、资源和环境的属性决定MFA现代方案包括短信验证码、认证应用如、生物识别和推送通知等MFAGoogle Authenticator访问控制列表是一种常见的访问控制实现，它为资源指定允许或拒绝访问的用户或组列表ACL ACL广泛应用于路由器、防火墙和文件系统中防火墙与入侵检测防火墙类型入侵检测与防御防火墙是网络安全的重要组成部分，根据工作机制可分为以下几类入侵检测系统和入侵防御系统用于识别和应对网络攻击IDS IPS•包过滤防火墙基于IP地址、端口号和协议类型过滤数据包•入侵检测系统IDS监控网络或系统活动，检测可疑行为并发出警报，但不直接干预•状态检测防火墙跟踪连接状态，根据会话上下文做决策•入侵防御系统IPS在检测到攻击时自动采取防御措施，如丢弃恶意数据包或阻断可疑连接•应用层防火墙分析应用层协议内容，能识别和阻止特定应用流量根据检测位置和方法，可分为IDS/IPS•下一代防火墙NGFW集成包过滤、状态检测、深度包检测、应用控制、用户识别等多种功能•基于网络的NIDS/NIPS监控网络流量企业网络通常部署多层防火墙架构，如边界防火墙保护整个网络，内部防火墙保护关键子网和资源•基于主机的HIDS/HIPS监控单个主机活动•基于签名的识别已知攻击模式•基于异常的检测偏离正常行为的活动防火墙部署架构系统架构IDS/IPS典型的防火墙部署采用三区域架构外部区互联网、非军事区，放置面向外部的服务器如、邮件服务器和内部区现代系统通常由传感器收集数据、分析引擎检测威胁、管理控制台配置和监控和事件存储库组成高级系统还集成DMZ WebIDS/IPS受保护的内部网络防火墙控制这三个区域之间的流量，实施最小权限原则威胁情报平台，接收最新攻击特征库更新，提高检测准确性虚拟专用网VPN基本概念优势VPN VPN虚拟专用网络是一种在公共网络如互联的主要优势包括保护数据传输安全，防止VPNVPN网上建立安全连接的技术，使远程用户或站点能窃听和中间人攻击；隐藏用户真实地址，保护IP够安全地访问企业内部网络资源通过加密隐私；突破地理限制，访问区域限制内容；降低VPN和隧道技术，在不安全的公共网络上创建虚拟专专线成本，相比专用线路更经济；灵活性高，支用通道，保护数据传输安全持随时随地安全接入企业网络应用场景常见应用包括企业远程办公，员工在家或旅途中安全访问公司资源；分支机构互联，将分散各地的VPN办公室连接成统一网络；安全公共使用，防止公共热点的安全风险；规避内容审查，访问被地理限制Wi-Fi的服务；保护隐私和匿名上网IPSec VPN工作在网络层，能加密和认证层数据包它由认证头和封装安全载荷两个主要协IPSec IPAH ESP议组成，提供数据完整性、身份验证和加密主要用于站点到站点连接，如总部与分支IPSec VPN机构互联，通常由专用硬件如路由器或防火墙实现SSL/TLS VPN基于协议，工作在应用层它不需要客户端安装专用软件，用户通过浏览SSL VPNSSL/TLS Web器即可安全访问可提供全网络访问或限制为特定应用访问它部署简单，维护成本低，SSL VPN适合移动办公场景，但对某些特殊应用的支持可能有限无线安全机制加密加密WEP WPA有线等效保密是最早的安全协议使用保护访问改进了缺陷，采用协议WEP Wi-Fi1Wi-Fi WPAWEP TKIP流加密和位初始化向量，存在严重安全漏洞，几和动态密钥分配安全性显著提升但仍有漏洞，主要作RC4242分钟内可被破解，现已淘汰为过渡方案加密WPA2加密WPA34采用加密算法，提供强大的安全保WPA2AES-CCMP最新的安全标准，增强保护抵抗离线字典攻击，改Wi-Fi3障，成为长期Wi-Fi安全标准分为个人版PSK和企业进加密强度，提供前向保密性，保护开放网络版认证

802.1X无线认证方式无线安全威胁无线安全最佳实践无线网络常用认证方式包括预共享密钥、常见无线安全威胁包括恶意接入点攻保护无线网络安全的建议使用和强PSKEvil TwinWPA2/WPA3企业级认证、地址过滤、门户击、无线嗅探、中间人攻击、去认证攻击强制断开密码；启用企业认证；分离访客网络与内部

802.1X/EAPMAC

802.1X认证类似宾馆等企业环境中，推荐使用客户端、暴力破解密码等安全管理应包括定期无网络；禁用不必要的服务如；定期更新固件；使用强Wi-Fi结合服务器实现强认证和集中管理线扫描、入侵检测和安全审计密码和内部服务器；实施无线入侵防御系统

802.1X RADIUSRADIUS现代网络应用发展物联网云计算边缘计算IoT物联网是指将各种设备通过网络相互连接，实现信云计算是通过网络提供计算资源服务器、存储、边缘计算将数据处理从中心化的云端下沉到网络边息交换和智能控制的技术生态系统设备包括数据库、软件等的技术范式云服务模式包括缘，更靠近数据源和用户这种架构能减少延迟、IoT智能家居产品、可穿戴设备、工业传感器等物联基础设施即服务、平台即服务和降低带宽压力、提高实时性和安全性边缘计算特IaaSPaaS网的核心挑战包括设备低功耗通信、异构网络互连、软件即服务云计算改变了传统部署方别适合需要快速响应的应用，如自动驾驶、工业控SaaSIT海量设备管理、数据安全和隐私保护等式，提供按需自助服务、广泛的网络访问、资源池制、等，是物联网和网络的重要支撑技AR/VR5G化、快速弹性和可度量的服务等特征术这些现代网络应用正在改变传统网络架构和服务模式它们相互融合，推动了网络向更高速率、更低延迟、更广覆盖、更多连接和更智能化方向发展网络工程师需要掌握这些新技术，应对不断变化的网络需求和挑战软件定义网络SDN传统网络架构传统网络设备如路由器、交换机将控制平面和数据平面紧密耦合在单个设备中每个设备独立决策，配置分散，管理复杂，难以适应动态需求，创新受限于设备厂商基本概念SDN软件定义网络将控制平面与数据平面分离，通过集中控制器管理网络控制器通过标准协议如向网络设备下发转发规则，实现网络集中管理和编程控制SDNOpenFlow三层架构SDN架构分为三层应用层网络应用和服务、控制层控制器，网络操作系统和基础设施层转发设备这三层通过北向接口控制器与应用间和南向接口控制器与设备间通信SDNSDN优势SDN提供了集中化网络视图、简化网络管理、提高资源利用率、支持网络创新、降低设备成本、实现快速服务部署等优势，特别适合数据中心和大型企业网络环境SDN协议应用案例OpenFlow SDN是的重要南向接口协议，它定义了控制器与网络设备之间的通信方式已在多个领域展现价值数据中心网络自动化、广域网流量优化、网络功能虚拟OpenFlow SDN SDNSD-WAN允许控制器直接访问和操作网络设备的转发表，实现灵活的流量控制交换化、安全策略自动实施、网络资源动态分配、多租户网络隔离和服务链等谷歌通过OpenFlow OpenFlowNFV SDN机维护流表包含匹配规则和行动，基于这些规则处理数据包实现数据中心网络优化，显著提高了带宽利用率与未来网络5G20Gbps峰值传输速率网络理论下行速率可达，远超5G20Gbps4G1ms超低延迟端到端通信延迟最低可达毫秒11M连接密度每平方公里支持万设备连接100100%可靠性关键业务通信可达近乎的可靠性100%网络架构网络切片技术5G采用服务化架构，将网络功能解耦为独立服务核心网基于和网络切片是的关键特性，允许在同一物理基础设施上创建多个逻辑网络，每个5G SBANFV SDN5G技术，支持边缘计算部署无线接入网采用多天线技术和新型波切片具有独立的网络功能和资源保证三种典型切片包括增强型移动宽带RAN MIMO形，支持毫米波频段整体架构更加灵活，能满足不同应用场景的需求、超高可靠低延迟通信和大规模机器类通信，分别针eMBB URLLCmMTC对高速率、低延迟和大连接应用场景未来网络趋势未来网络发展方向包括网络研究太赫兹通信、智能表面；空天地一体化网络；量子通信网络；确定性网络；人工智能驱动的自治网络；数字孪生网络；全息通信6G等这些技术将进一步突破通信速率、覆盖范围和智能化水平的限制网络实验和工具抓包分析模拟器网络仿真平台Wireshark Packet Tracer GNS3是最流行的开源网络协议分析器，支持实时捕获是一款功能强大的网络模拟工具，允是专业的网络仿真平台，支持运行实际网络设备操作Wireshark CiscoPacketTracerGNS3网络数据包并进行详细分析它能解析数百种协议，提供丰许用户构建虚拟网络拓扑并模拟网络行为用户可以添加路系统镜像如它通过仿真真实网络硬件，提供Cisco IOS富的过滤、统计和可视化功能网络管理员可通过由器、交换机、、服务器等设备，配置协议参数，运行接近实际环境的网络实验平台可与虚拟机、PC GNS3诊断网络问题、检测安全威胁、监控网络流量和模拟并观察数据包流动过程这种可视化方式帮助学习者理容器集成，构建复杂的网络环境它适合高级网络Wireshark Docker开发协议学习抓包分析是理解网络通信机制的有效方法解抽象的网络概念，安全地进行网络配置练习培训、认证考试准备和复杂网络解决方案测试常用命令行工具网络扫描工具网络故障排除常用命令行工具包括测试连通性、跟踪网络扫描和安全评估工具有网络发现和安全审计、图形pingtraceroute/tracert NmapZenmapNmap路由路径、查看网络配置、查询、界面、快速扫描、网络工具包、ipconfig/ifconfignslookup/digDNSAngry IPScanner IPNetwox/Netwag查看网络连接状态、显示缓存、命令行抓包等安全漏洞测试等这些工具需在授权环境中合法使用netstatarp ARPtcpdumpMetasploit综合案例分析故障排除流程网络安全实施网络故障排除遵循系统化方法定网络设计方案1安全架构包括边界防火墙入侵防御义问题，收集故障现象；按模型企业网络需求分析2OSI总体架构采用层次化设计，分为核心功能、内部防火墙区域隔离、逐层排查，从物理连接到应用；使VPN3某中型企业约500名员工需要设计新层、汇聚层和接入层核心层使用冗网关远程访问、Web应用防火墙保用ping、traceroute等基本测试工具总部网络架构需求包括高速稳定余路由器/三层交换机，提供高性能路护对外服务、终端保护防病毒、防恶验证连通性；4通过Wireshark等高的内部网络、安全的互联网接入、员由和区域互联；汇聚层集成安全策略意软件和网络准入控制实施级工具分析数据包；隔离故障点更NAC5工远程办公支持、无线网络覆盖、两和服务质量策略；接入层负责终端设基于角色的访问控制和网络分段，将换设备或线缆；实施解决方案；67个分支机构互联、安全隔离的访客网备连接广域网连接采用MPLS专线作关键业务系统置于独立安全区域建验证解决结果；8记录故障和解决方络和物联网设备支持等企业使用多为主要链路，互联网作为备份立安全监控系统，统一日志管理和分法，形成知识库VPN种业务系统，对网络可靠性和安全性无线采用控制器管理的企业级，支析AP要求高持并实施安全策略

802.11ax课程总结与学习指引本课程全面介绍了计算机网络的基础概念、体系结构和关键技术我们从网络发展历史开始，详细讲解了七层和模型，分析了各层的协OSI TCP/IP议和工作原理，包括物理层传输媒介、数据链路层的差错控制、网络层的路由选择、传输层的可靠传输机制以及应用层的各种服务网络安全部分涵盖了身份认证、访问控制、防火墙、等核心技术我们还探讨了、、物联网等现代网络发展趋势，以及网络故障排除VPN SDN5G和实验工具的使用方法建议进一步学习的方向包括网络安全专项研究如安全评估、渗透测试；云计算和虚拟化网络；和技术深入；网络编程和自动化；物联SDN NFV网和边缘计算推荐通过实验室实践、在线课程、专业认证如、、和开源项目参与等方式继续提升网络技术能力CCNA CCNPNetworkPlus。