还剩48页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
计算机网络原理本课程《计算机网络原理》基于谢希仁教授的《计算机网络》第六版,将系统地介绍计算机网络的核心概念与技术课程内容涵盖计算机网络五层体系结构的全面知识,从物理层到应用层,详细讲解各层的协议、技术与实现原理通过本课程,您将深入了解网络通信的基本原理,掌握关键网络协议的工作机制,理解数据如何在复杂的网络环境中传输课程结合理论与实践,旨在培养学生系统性思考网络问题的能力,为未来的网络应用开发与管理奠定坚实基础课程内容概览网络分层模型及体系结构详细介绍OSI七层参考模型、TCP/IP五层模型的组成与功能,探讨分层设计的优势与实现原理各层主要协议与技术系统讲解从物理层到应用层的关键协议,包括以太网、IP、TCP/UDP、HTTP等核心技术标准与工作机制网络性能与测评探讨网络性能的关键指标,如带宽、延迟、吞吐量等,介绍网络性能测试与优化的方法与工具应用与发展趋势分析网络技术的最新发展动向,包括IPv
6、SDN、云网络、5G等前沿领域及其应用场景第一章计算机网络概述信息化时代数据驱动决策,智能应用普及网络化时代万物互联,随时随地接入数字化时代物理世界数字化表达与映射在现代社会中,计算机网络已成为基础设施中的基础设施,支撑着社会各领域的数字化转型网络技术推动了三网融合的趋势,即电信网、有线电视网和计算机网络的逐步整合,为用户提供更加丰富、便捷的信息服务体验网络不仅改变了信息获取和传播方式,还深刻影响了社会经济结构、工作模式和生活方式,成为数字经济发展的核心驱动力因特网的发展历程1萌芽期20世纪60年代末,美国国防部高级研究计划局(ARPA)创建了ARPANET,这是互联网的前身,最初仅连接了四个研究机构2成长期80年代,TCP/IP协议标准化,各国研究网络逐步互联DNS系统建立,为资源寻址提供了便利3爆发期90年代后,万维网(WWW)诞生,互联网从科研领域迅速扩展到商业、教育、政务等多个领域,用户数量呈指数级增长4成熟期21世纪,互联网已成为仅次于全球电话网的第二大网络,深入融入社会各个层面,移动互联网、云计算、物联网等新技术不断涌现计算机网络的定义自治计算机的互连集合资源共享与信息交换平台计算机网络由多台具有独立控制网络使得地理位置分散的计算机能力的计算机通过通信设备和线能够方便地共享硬件资源(如打路连接而成,每台计算机可独立印机、存储设备)、软件资源运行自己的程序,也可与网络中(如应用程序、数据库)和信息其他计算机交换信息资源(如文档、多媒体内容)网络的网络因特网(Internet)是全球最大的计算机网络,它不是单一的网络,而是由数以万计的网络相互连接组成的网络的网络,通过统一的TCP/IP协议实现信息交换网络的主要功能分布式计算支撑为大规模分布式系统提供通信基础,实现计算能力的整合与扩展数据通信和资源共享•负载均衡•高可用性保障实现不同地点计算机之间的数据传输和通•并行计算支持信,共享软硬件资源,提高资源利用率•文件传输与共享信息发布和访问•远程设备访问提供全球化的信息发布与获取平台,支持多•协同工作环境媒体内容传播•Web信息服务•内容分发网络•数据存储与检索计算机网络的分类按覆盖范围分类按所有权分类按接入方式分类根据网络覆盖的地理范围大小,可将网根据网络的所有权与使用权限,可将网根据网络在整体架构中的位置与功能,络分为络分为可将网络分为•个人区域网(PAN)覆盖范围最•公用网由电信运营商建设,面向社•接入网连接用户终端与骨干网的网小,通常限于个人周围几米范围会提供服务络部分•局域网(LAN)覆盖范围通常限于•专用网由特定机构建设,仅供内部•骨干网网络核心部分,连接各区域一个建筑物或校园使用网络•城域网(MAN)覆盖一个城市范围•虚拟专用网(VPN)利用公共网络•边缘网位于骨干网边缘的区域性网资源构建的逻辑专用网络络•广域网(WAN)跨越国家、洲际甚至全球范围网络性能指标1Gbps速率指数据传输的速度,常用单位包括bit/s(比特/秒)、Kb/s、Mb/s、Gb/s等千兆以太网标准速率为1Gbps,相当于每秒传输125MB数据20ms时延数据从源到目的地所需的时间,包括传播时延、处理时延、排队时延和传输时延优质网络游戏体验通常要求时延低于50ms95%吞吐量单位时间内成功传输的数据量,实际吞吐量通常低于理论带宽高性能服务器在满负载情况下可实现接近95%的带宽利用率
0.01%丢包率传输过程中丢失的数据包百分比视频会议要求丢包率低于1%才能保证良好体验,高质量实时应用通常要求低于
0.1%网络体系结构与分层思想七层参考模型五层模型分层的意义OSI TCP/IP由国际标准化组织(ISO)提出的开放系实际互联网采用的主流模型,自上而下网络分层设计的核心思想是将复杂系统统互连参考模型,自上而下包括包括分解为相对独立的功能模块,主要优势包括
1.应用层
1.应用层(对应OSI的应用、表示、会话三层)•降低设计复杂度,便于实现和维护
2.表示层
2.传输层•实现技术模块化,各层可独立优化
3.会话层
3.网络层•促进标准化,提高互操作性
4.传输层
4.数据链路层•隔离技术变更影响,上下层相对独立
5.网络层
5.物理层
6.数据链路层
7.物理层协议、服务与接口协议对等层间通信规则的集合服务下层向上层提供的功能抽象接口上下层交互的服务访问点网络协议是一组规则和约定的集合,规定了通信双方对等层实体之间如何进行信息交换协议定义了数据格式、语义、同步方式和可能的错误处理机制,确保不同系统间能够正确理解和处理通信信息服务是下层向上层提供的功能集合,通过服务原语(primitives)表达而接口则是上下层交互的服务访问点(SAP),定义了层与层之间如何交换信息良好的层次化设计要求接口稳定而简洁,服务完备而高效,协议标准化而可扩展经典五层协议体系结构应用层提供特定应用服务HTTP,FTP,DNS,SMTP运输层端到端通信控制TCP,UDP网络层路由与转发IP,ICMP,OSPF数据链路层帧传输与介质访问以太网,PPP,HDLC物理层比特传输电气规范,接口标准五层协议体系结构是实际网络中最常用的模型,融合了OSI的理论优势和TCP/IP的实用性每一层都有明确的功能划分和协议支持,共同协作完成端到端的网络通信第二章物理层概述比特流透明传输传输媒介与接口标准物理层的核心功能是提供比特物理层定义了不同传输媒介的级数据的透明传输,将数字信电气特性、机械特性、功能特号转换为适合在特定传输媒介性和规程特性这包括电压等上传输的信号形式,而不关心级、信号时序、物理连接器形信号的内容和含义它确保发状、引脚分配等方面的标准化送方的每一个比特都能被接收规范方准确无误地接收典型设备与媒介物理层中的典型设备包括中继器、集线器等,它们只关注信号的放大与再生常见的传输媒介包括双绞线、同轴电缆、光纤以及无线电波,每种媒介都有其特定的传输特性与适用场景物理层主要技术信道与传输介质编码与调制技术典型速率与技术发展信道是信息传输的通路,可分为单工、编码是将数字信息转换为数字信号的过物理层传输速率的发展历程半双工和全双工三种工作方式传输介程,常见编码方式包括•以太网从10Mbps发展到1Gbps、质则是承载信号的物理媒体,包括有线•不归零码(NRZ)简单但时钟恢复10Gbps、100Gbps介质(如铜缆、光纤)和无线介质(如困难无线电波、红外线、微波)•光纤通信单波长10Gbps,波分复•曼彻斯特编码自带时钟但带宽消耗用可达数Tbps光纤具有抗电磁干扰、安全性高、传输大•5G移动网络理论峰值速率20Gbps距离远、带宽大等优势,已成为现代通•差分曼彻斯特抗干扰能力强信网络的骨干传输介质,单模光纤可实先进编码技术如PAM4(4级脉冲幅度调•4B/5B编码提高带宽利用率现数百公里的无中继传输制)正在推动更高速率的实现,同时功耗和物理尺寸也在不断优化调制则是将数字信息转换为模拟信号,常见方式有幅移键控(ASK)、频移键控(FSK)和相移键控(PSK)数据传输方式1串行与并行传输2同步与异步通信串行传输通过单一通道一位一位同步通信通过共享时钟信号或嵌地发送数据,适合长距离传输;入时钟信息来协调发送方和接收并行传输则同时通过多个通道传方的数据传输节奏;异步通信则送多位数据,速度快但容易受到无需共享时钟,通过起始位和停信号干扰,主要用于短距离高速止位来框定每个字符,适合简单传输,如计算机内部总线现代低速场合高速网络通信多采用高速串行接口如USB、SATA已广同步方式以提高效率泛取代了传统并行接口3基带与宽带传输基带传输直接在介质上发送数字信号,无需调制,整个带宽被单一信道占用,如以太网;宽带传输则采用频分复用技术,通过调制将信号置于不同频段,多路信号可共享同一介质,如有线电视网络5G技术结合了先进的宽带传输与多址接入技术物理层标准案例标准名称速率传输介质最大距离10BASE-T10Mbps双绞线Cat3+100米100BASE-TX100Mbps双绞线Cat5+100米1000BASE-T1Gbps双绞线Cat5e+100米1000BASE-SX1Gbps多模光纤550米1000BASE-LX1Gbps单模光纤5千米10GBASE-T10Gbps双绞线Cat6A+100米IEEE
802.3系列标准定义了以太网的物理层规范,涵盖了不同速率、不同传输媒质的物理层实现命名规则中,数字表示速率,BASE表示基带传输,后缀字母表示介质类型(T-双绞线,F-光纤,S-短波,L-长波等)以太网物理层标准的演进反映了网络技术的快速发展,从最初的10Mbps发展到现在主流的千兆和万兆,同时保持了良好的向后兼容性高速以太网标准如40G、100G甚至400G已在数据中心广泛部署光纤与无线传输技术光纤传输技术无线传输技术挑战与解决方案光纤通信利用光波作为信息载体,具有带宽无线通信利用电磁波在自由空间传播,提供无线信道面临的主要挑战极大、衰减小、抗电磁干扰能力强等优势灵活的网络接入方式,主要技术包括•多径效应信号经反射、散射到达接收现代跨洋光缆单缆容量已达数十太比特每•Wi-Fi
802.11系列标准,从最初的端,造成干扰秒,成为全球互联网的主干2Mbps发展到
802.11ac的
1.3Gbps•频谱有限可用频谱资源稀缺且昂贵光传输技术关键进展•蜂窝移动网络2G/3G/4G/5G演进,•干扰与噪声环境电磁干扰降低信号质5G峰值速率可达20Gbps量•波分复用(WDM)在一根光纤中同时传输多个波长的光信号•卫星通信提供全球覆盖,低轨卫星网解决方案络延迟显著降低•相干光通信利用光的相位信息提高传输容量•MIMO技术多天线收发提高性能•自适应调制编码根据信道质量动态调•光放大器无需光电转换直接放大光信整号•先进抗干扰技术OFDM、展频技术等第三章数据链路层基础功能定位数据链路层位于物理层之上,负责在相邻网络节点之间提供可靠的数据传输服务它将物理层提供的比特流组织成帧,实现错误检测、流量控制和介质访问控制,为网络层提供无差错的数据传输服务典型协议数据链路层的经典协议包括点对点协议(PPP)、高级数据链路控制(HDLC)以及以太网(Ethernet)协议这些协议定义了不同网络环境下数据帧的格式、传输规则和控制机制,满足各类应用场景的需求关键设备数据链路层的核心设备是交换机,它根据MAC地址进行帧转发,实现局域网内的高效通信网桥也是典型的数据链路层设备,用于连接两个相同或不同类型的局域网,扩展网络覆盖范围数据链路层核心功能帧的同步与透明传输差错控制将网络层传下来的分组封装成帧,通过通过差错检测码与重传机制,发现并修帧定界标识帧的起始和结束,实现透明正传输错误,提供可靠数据传输传输介质访问控制流量控制在多点接入网络中,协调各节点对共享调节发送方的发送速率,确保接收方能传输媒介的访问,避免冲突够正常处理所有接收到的数据数据链路层的这四项核心功能相互配合,共同保障了在不可靠的物理链路上实现相对可靠的数据传输帧同步确保了数据边界的识别,差错控制保证了数据的准确性,流量控制防止了网络拥塞,而介质访问控制则解决了多用户共享介质的竞争问题差错检测与校正技术循环冗余校验()奇偶校验与汉明码自动重传请求()CRC ARQCRC利用多项式除法原理,通过生成多项式对奇偶校验是最简单的检错码,通过添加一个校ARQ机制结合了确认和超时重传机制,确保数数据进行编码发送方将数据视为一个多项验位使得数据中1的总数为奇数(奇校验)据的可靠传输主要有三种形式式,除以预定义的生成多项式,得到的余数作或偶数(偶校验),只能检测奇数个比特的错•停止等待ARQ每发送一帧就等待确认为校验码附加到数据后发送误•回退N帧ARQ错误时回退到最早未确认接收方对整个数据(包含校验码)执行相同除汉明码则是一种强大的纠错码,能够不仅检测的帧法,如果余数为零,则认为数据无错以太网出错误,还能自动纠正单比特错误汉明距离•选择性重传ARQ只重传出错的帧使用32位CRC,检错能力强,能发现所有长度为3的编码可以纠正单比特错误,汉明距离为4现代高速网络多采用选择性重传,平衡了可靠小于33位的连续错误的编码可以纠正单比特错误并检测双比特错性和效率的需求误局域网的典型技术以太网协议地址以太网标准演进CSMA/CD MAC载波侦听多路访问/冲突检测(CSMA/CD)媒体访问控制(MAC)地址是以太网接口的以太网技术从诞生至今经历了巨大发展是早期共享介质以太网采用的介质访问控制唯一标识符,长度为48位(6字节),通常表•10Mbps以太网(10BASE-T)最早广方法其工作原理示为十六进制数,如00-1A-2B-3C-4D-5E泛应用的标准
1.发送前先侦听信道是否空闲MAC地址前24位为厂商标识符(OUI),由•100Mbps快速以太网(Fast Ethernet)
2.空闲则立即发送,否则延迟等待IEEE分配,后24位由厂商自行分配MAC地•1Gbps千兆以太网(Gigabit Ethernet)址分为
3.发送过程中继续监听,检测是否发生冲突•10Gbps万兆以太网
4.发生冲突则立即停止发送,发送干扰信号•单播地址最常见,目的为单个特定接口•40/100Gbps高速以太网
5.随机等待一段时间后重新尝试发送•广播地址全1地址FF-FF-FF-FF-FF-FF•
2.5/5Gbps NBASE-T(针对无线AP回程•多播地址首字节最低位为1的地址优化)现代交换式以太网已基本不使用CSMA/CD,因为全双工通信环境下不会发生冲突每一代标准不仅提高了速率,还改进了传输距离、功耗和线缆要求等性能指标广域网链路层技术点对点协议()PPPPPP是互联网中最常用的点对点链路层协议,广泛应用于拨号接入、DSL宽带接入(PPPoE)、VPN隧道等场景其特点包括•简单的帧格式,低开销•支持多种网络层协议(IP、IPX等)•灵活的认证机制(PAP、CHAP)•链路质量监测和网络参数协商高级数据链路控制()HDLCHDLC是一种面向比特的同步链路层协议,由ISO标准化,支持全双工通信,主要特点•透明传输使用比特填充技术•强大的错误检测与恢复•多种传输模式NRM、ARM、ABM•帧序号与滑动窗口流量控制帧中继与ATM帧中继和ATM是传统广域网中常用的链路层技术•帧中继简化的HDLC,通过永久虚电路(PVC)提供虚电路服务•ATM基于53字节固定长度单元的高速交换技术,支持QoS随着IP网络的普及,这些技术逐渐被MPLS等新技术替代交换机与VLAN交换机是现代局域网的核心设备,通过二层转发技术,能够根据目的MAC地址将数据帧精确转发到目标端口,大幅提高网络效率与集线器不同,交换机为每个端口提供独立的冲突域,支持多个端口同时传输数据,同时维护MAC地址表实现高速查找虚拟局域网(VLAN)技术基于IEEE
802.1Q标准,允许在物理上连接的网络设备被逻辑分割为多个广播域,提高安全性和性能VLAN通过在以太网帧中插入4字节VLAN标记实现,使得一台物理交换机可以模拟多台逻辑交换机的功能,广泛应用于企业网络分段和多租户环境第四章网络层核心原理分组转发与路由互联网的基础网络层负责在不同网络间实现网络层是实现互联网全球互联数据包(分组)的转发与路的关键层次,通过IP协议提供由,确保数据从源主机经过多了统一的寻址机制和路由方个网络到达目标主机它提供案,使得任意两台接入互联网了网络互连的基础,实现了端的设备可以相互通信,无论它到端的逻辑连接,使得上层应们所在的物理网络类型和地理用无需关心底层网络的具体结位置如何构核心协议网络层的核心协议包括IP(互联网协议)、ICMP(互联网控制消息协议)、ARP(地址解析协议)和RARP(反向地址解析协议)等其中IP协议是基础,提供了无连接的、尽力而为的数据报服务,而其他协议则提供了辅助功能协议与分组结构IP地址结构子网划分与地址IPv4CIDR IPv6IPv4地址长度为32位(4字节),通常表子网划分通过借用主机位作为子网位,IPv6地址长度为128位(16字节),通示为四组十进制数,如
192.
168.
1.1全将一个大网络分割为多个小网络子网常表示为8组4位十六进制数,如球可用的IPv4地址约43亿个,已基本分掩码用于指示哪些位是网络位,如2001:0db8:85a3:0000:0000:8a2e:037配完毕IPv4地址分为五类
255.
255.
255.0(表示前24位是网络0:7334IPv6提供了近乎无限的地址空位)间(约
3.4×10^38个地址)•A类
1.
0.
0.0-
127.
255.
255.255无类域间路由(CIDR)打破了传统的分IPv6的主要改进•B类
128.
0.
0.0-
191.
255.
255.255类寻址方式,允许任意位置的子网划•C类
192.
0.
0.0-
223.
255.
255.255•更大的地址空间,解决地址枯竭问题分,通常表示为IP地址/前缀长度,如•D类
224.
0.
0.0-
239.
255.
255.
255192.
168.
1.0/24CIDR提高了地址分配•简化的报头结构,提高处理效率(多播)灵活性和路由表聚合效率•内置安全机制(IPsec)•E类
240.
0.
0.0-
255.
255.
255.255•更好的QoS支持(保留)•自动配置功能路由选择技术静态与动态路由距离矢量算法链路状态算法静态路由由网络管理员手动配以距离矢量为基础的路由协议链路状态路由协议(如OSPF)置,适用于小型、拓扑稳定的(如RIP)通过交换到达各网络通过泛洪传播链路状态信息,网络;动态路由则通过路由协的距离(跳数)信息来构建路每个路由器独立构建完整的网议自动学习和更新路由信息,由表RIP使用跳数作为度量标络拓扑图,然后使用Dijkstra算能够自适应网络变化,适合大准,最大跳数限制为15,适用法计算最短路径OSPF支持区型复杂网络动态路由减轻了于小型网络其优点是实现简域划分、多种度量标准和等价管理负担,提高了网络的可靠单,但收敛速度慢,容易产生多路径,适合中大型网络,收性和适应性路由环路问题敛速度快但计算复杂度高BGP边界网关协议(BGP)是互联网骨干的核心路由协议,用于自治系统(AS)之间的路由信息交换BGP是路径矢量协议,考虑政策、路径等多种因素,而非简单的最短路径BGP通过TCP连接交换路由信息,稳定性好但配置复杂,是大型ISP和骨干网的标准选择分组交换与转发表分组交换原理分组交换是现代数据网络的基础技术,它将数据分割成小的数据包(分组),每个分组独立选路和转发相比电路交换,分组交换具有更高的资源利用率、更好的弹性和更强的生存能力,能够更有效地应对突发流量和链路故障路由器工作流程路由器是实现分组交换的关键设备,其基本工作流程包括接收数据包→检查包头并确定转发接口→更新TTL和校验和→将包转发到输出队列→通过适当接口发送现代路由器采用高速缓存、并行处理和专用硬件加速这一过程,实现高速转发转发表结构与查找路由器转发表包含目的网络、下一跳和出接口等信息随着互联网规模增长,转发表查找成为性能瓶颈为加速查找过程,现代路由器采用前缀树(Trie)、内容寻址存储器(CAM)、多级查找等先进算法,结合硬件实现,可实现数亿分组每秒的转发速率网络地址转换NAT的基本概念NAT通过地址映射实现内网与外网的通信地址映射类型静态、动态和端口多路复用PAT三种方式应用价值缓解IPv4地址枯竭,提供简单的安全隔离网络地址转换(NAT)技术是在IPv4地址资源日益紧张的背景下产生的重要技术,允许多台设备共享少量公网IP地址NAT设备(通常是路由器)维护一个转换表,记录内部地址/端口与外部地址/端口的映射关系,在数据包经过时自动进行转换虽然NAT在一定程度上缓解了IPv4地址枯竭问题,并提供了一定的安全隔离,但也带来了一系列技术挑战,如端到端连接的中断、某些协议无法正常工作、连接跟踪开销等随着IPv6的推广,NAT的使用可能会逐渐减少,但在IPv4与IPv6共存的过渡期内,仍将发挥重要作用协议与网络诊断ICMPICMP类型代码描述应用实例00回显应答ping响应30-15目的不可达网络不可达、主机不可达、端口不可达等50重定向路由优化80回显请求ping请求110-1超时TTL超时(traceroute基础)互联网控制消息协议(ICMP)是IP协议的重要补充,用于传输控制消息和错误报告ICMP报文封装在IP数据包中传输,包含类型、代码、校验和和可变内容等字段常见的ICMP消息包括回显请求/应答(ping的基础)、目的不可达、重定向、超时等基于ICMP的网络诊断工具广泛应用于网络故障排查,如ping工具(测试连通性)、traceroute/tracert(路径追踪)、MTU路径发现等虽然ICMP对网络诊断至关重要,但出于安全考虑,许多防火墙会限制或阻断ICMP流量,尤其是从外部网络发起的请求与协议ARP RARP需求背景IP通信需要知道目标MAC地址,但只有IP地址地址解析通过广播查询目标IP的MAC地址缓存机制维护ARP表提高效率,动态更新过期条目安全问题容易受到ARP欺骗攻击,需防护措施地址解析协议(ARP)是连接网络层和数据链路层的关键协议,用于将IP地址解析为对应的MAC地址当一台设备需要与同一局域网中的另一台设备通信时,它会发送ARP请求广播,包含目标IP地址拥有该IP地址的设备会回复其MAC地址,发起方将此映射存入ARP缓存表中,用于后续通信反向地址解析协议(RARP)则提供相反的功能,允许设备通过已知的MAC地址获取IP地址,主要用于无盘工作站等需要获取自身IP地址的场景但由于功能有限,RARP已基本被DHCP等更先进的协议替代ARP欺骗是常见的网络攻击,攻击者发送虚假ARP响应,破坏IP到MAC的正确映射,可通过静态ARP表项、ARP检测等方式防范与下一代互联网IPv6关键特性过渡技术IPv6•128位地址空间约
3.4×10^38个地•双栈同时支持IPv4和IPv6址•隧道技术6to4,6rd,Teredo•简化的报头结构固定长度40字节•转换技术NAT64,DNS64•流标签支持QoS和实时流量•部署模式岛屿式、主干式•内置IPsec安全机制•无需分片路径MTU发现•无广播使用多播和任播全球部署进展•中国IPv6流量占比63%(2024年)•全球IPv6地址分配超过40%已分配•运营商支持移动、电信等全面支持IPv6•内容提供商Google、Facebook等率先部署•物联网推动新增设备多采用IPv6第五章运输层原理端到端通信模型可靠性保障多路复用与分用运输层位于网络层之上,提供端到端运输层的核心功能之一是提供不同级运输层实现了数据的多路复用(多个的进程间通信服务与网络层的主机别的传输可靠性TCP协议通过确应用进程共享网络层服务)和分用到主机通信不同,运输层关注的是应认、重传、序号和流量控制等机制,(将接收到的数据正确交付给相应的用进程之间的数据传输,通过端口号在不可靠的网络层之上构建可靠的通应用进程)通过源端口和目的端口机制实现对特定应用进程的寻址运信通道;而UDP则提供简单、高效但的组合,运输层能够同时维护多个应输层屏蔽了底层网络的复杂性,为应不可靠的数据传输服务,适用于对实用进程的通信会话,高效利用网络资用层提供统一的通信接口时性要求高、容忍少量数据丢失的应源用端口号与多路复用标准端口示例常见服务的标准端口分配•HTTP80端口•HTTPS443端口•FTP20/21端口•SSH22端口•SMTP25端口多路复用与分用端口号概念•DNS53端口多路复用多个应用进程的数据通过同一网络连接传输端口号是16位整数(0-65535),用于标识主机上的特定进程•POP3110端口或服务分用根据头部信息将接收到的数据交付给正确的应用进程•公认端口0-1023,由IANA分配给常用服务•注册端口1024-49151,企业可注册使用•UDP仅使用目的端口进行分用•动态端口49152-65535,临时分配使用•TCP使用四元组(源IP、源端口、目的IP、目的端口)协议特性UDP协议特点首部结构应用场景UDP UDPUDP用户数据报协议(UDP)是一种简单的UDP首部简洁高效,仅包含四个字段,UDP特别适用于对实时性要求高、容忍面向数据报的传输层协议,具有以下特总共8个字节少量数据丢失的应用点•源端口16位,可选字段(发送时可•DNS查询简单快速的域名解析•无连接无需建立连接即可发送数据置为0)•视频/音频直播实时传输,少量丢•目的端口16位,指定接收进程包可接受•不可靠不保证数据到达,无重传机•长度16位,UDP数据报的总长度•在线游戏低延迟要求高于可靠性制(包括首部和数据)•SNMP网络管理简单网络管理协议•无序不保证数据按发送顺序到达•校验和16位,整个数据报的校验码•VoIP通话语音通信可容忍少量丢包•轻量级首部仅8字节,开销小(包括伪首部)•无流量控制和拥塞控制UDP校验和可选但几乎总是启用,以提•IoT传感器数据低功耗要求高于可•支持多播和广播供最基本的错误检测能力靠性协议机制详解TCP1可靠传输机制TCP通过序列号、确认应答、超时重传和校验和等机制保证数据的可靠传输每个字节都有唯一序列号,接收方必须确认收到的数据,未被确认的数据会在超时后重传2三次握手TCP建立连接需要三次握手过程
1.客户端发送SYN包,序列号为X
2.服务器回复SYN+ACK包,序列号为Y,确认号为X+
13.客户端发送ACK包,序列号为X+1,确认号为Y+1三次握手确保了双方都能收发数据,避免了历史连接干扰3四次挥手TCP连接终止需要四次挥手
1.客户端发送FIN包,序列号为M
2.服务器发送ACK包,确认号为M+
13.服务器发送FIN包,序列号为N
4.客户端发送ACK包,确认号为N+1四次挥手确保双方都完成各自的数据传输后才关闭连接4拥塞控制TCP通过拥塞窗口动态调整发送速率,包括慢启动、拥塞避免、快重传和快恢复算法AIMD(加性增加,乘性减少)策略在网络良好时线性增加发送速率,在检测到拥塞时迅速降低速率,既充分利用带宽又避免网络崩溃流量控制与拥塞控制TCP滑动窗口流量控制TCP使用滑动窗口机制实现流量控制,根据接收方的处理能力动态调整发送窗口大小接收方在确认报文中通告自己的接收窗口大小,发送方确保未确认的数据不超过此窗口这种机制防止了发送方过快发送数据导致接收方缓冲区溢出,同时允许批量确认提高效率拥塞控制算法TCP拥塞控制旨在避免网络过载,主要包括四个算法慢启动(指数增长)、拥塞避免(线性增长)、快重传(立即重传丢包)和快恢复(跳过慢启动)拥塞窗口与接收窗口共同决定实际发送窗口大小,取两者的较小值不同TCP变种(Reno、Vegas、CUBIC等)采用不同策略检测和应对拥塞超时与重传TCP通过自适应超时重传机制处理丢包情况重传超时时间(RTO)基于往返时间(RTT)动态计算,考虑平均RTT和RTT变化率Karn算法解决了重传数据包的RTT测量问题,通过忽略重传包的RTT样本和指数回退重传间隔,提高了TCP在高丢包环境下的适应能力常见运输层攻击风险攻击SYN Flood攻击者发送大量SYN包但不完成三次握手,导致服务器资源耗尽每个半开连接会占用服务器内存并持续到超时防护措施包括SYN Cookie技术、增加半开连接队列大小、缩短超时时间以及部署专业DDoS防护设备端口扫描攻击者通过发送探测包确定目标系统上开放的端口和服务常见扫描技术包括TCP SYN扫描、UDP扫描、FIN扫描和TCP连接扫描等防护措施包括防火墙策略限制、端口混淆、入侵检测系统和定期漏洞扫描会话劫持攻击者通过预测序列号或侦听网络流量,插入伪造数据包劫持合法TCP连接会话劫持攻击可能导致数据泄露、权限提升或会话被接管防护措施包括使用TLS/SSL加密通信、加强序列号随机性以及应用层认证拒绝服务攻击除SYN Flood外,还有多种针对传输层的DoS攻击,如TCP重置攻击、连接泛洪、UDP反射放大攻击等这类攻击通常消耗网络带宽或服务器资源防护策略包括流量过滤、访问控制、资源限制和带宽管理等第六章应用层与网络服务应用层定位协议分类应用模式应用层位于网络协议栈的最顶层,直接面应用层协议可按多种维度分类网络应用主要有两种架构模式向用户和应用程序,提供丰富的网络服务•功能分类数据传输协议、文件访问•客户端/服务器(C/S)模式明确的和信息交换功能它依赖底层传输层提供协议、邮件协议、网页访问协议等角色分工,服务器提供资源,客户端的可靠或不可靠的数据传输服务,实现各请求使用优点是安全性高、性能种具体的网络应用•传输方式基于TCP的可靠协议、基于好,缺点是服务器可能成为瓶颈UDP的实时协议应用层协议定义了应用程序之间交换信息•连接特性有状态协议、无状态协议•对等(P2P)模式所有节点既是客户的格式和规则,包括消息类型、语法、语端也是服务器,共同提供分布式服•数据格式文本型、二进制型、混合义和操作流程等,确保不同厂商开发的应务优点是健壮性高、可扩展性好,型用能够互相兼容和通信缺点是安全性和一致性难以保证现代应用通常采用混合架构,结合两种模式的优点域名系统DNS根域全球13组根服务器,提供顶级域权威服务器信息顶级域()TLD如.com、.org、.cn等,管理二级域名信息二级域如example.com,由组织机构注册和管理子域与主机如mail.example.com,具体服务和设备域名系统(DNS)是互联网的核心基础设施,提供域名到IP地址的解析服务,形成分布式、层次化的数据库结构DNS采用递归查询与迭代查询相结合的方式,实现高效的名称解析解析过程通常从本地缓存开始,如未命中则向本地DNS服务器查询,再逐级向上请求,直至找到权威应答全球DNS根服务器共有13组,分布在多个地区,通过任播技术实现高可用性DNS不仅提供正向解析(域名到IP),还支持反向解析(IP到域名)、邮件交换记录(MX)、服务定位(SRV)等多种功能为提高性能和可靠性,现代DNS系统广泛采用缓存、负载均衡和CDN加速技术万维网与WWW HTTP特性HTTP无连接、无状态的请求-响应模式发展历程HTTP从
1.0到
3.0的性能与安全增强安全机制HTTPSSSL/TLS加密保障通信安全超文本传输协议(HTTP)是万维网的基础,采用简单的请求-响应模式工作典型的HTTP特性包括无连接(每次请求都需要建立新连接)和无状态(服务器不记忆之前的请求),这些特性使其简单高效但也带来了某些限制HTTP协议历经多次演进HTTP/
1.0引入了请求方法和状态码;HTTP/
1.1添加了持久连接、管道机制和虚拟主机;HTTP/2实现了多路复用、头部压缩和服务器推送,大幅提升性能;最新的HTTP/3基于QUIC协议,通过UDP实现更低的延迟和更好的移动支持HTTPS通过TLS/SSL在HTTP基础上添加加密层,保护数据传输安全,已成为网站标准配置电子邮件SMTP/POP3/IMAP邮件服务器客户端SMTP POP3/IMAP邮件发送协议,端口25/465/587存储转发,实现跨网络传递邮件接收协议,端口110/143/993用户交互界面,多设备同步电子邮件系统基于多个协议协同工作简单邮件传输协议(SMTP)负责发送邮件,邮局协议(POP3)和互联网邮件访问协议(IMAP)负责接收邮件SMTP工作在TCP端口25(明文)或465/587(加密),采用推模式传输邮件,通过MTA(邮件传输代理)在服务器间接力完成邮件路由POP3和IMAP是两种不同的邮件获取方式POP3(端口110/995)主要用于下载邮件到本地,简单但多设备同步困难;IMAP(端口143/993)则在服务器上维护邮件状态,支持部分下载和文件夹管理,适合多设备访问电子邮件安全面临垃圾邮件、钓鱼攻击和电子邮件欺骗等威胁,通过SPF、DKIM、DMARC等技术以及加密通信(STARTTLS、SSL/TLS)来增强安全性文件传输与远程访问协议文件传输协议()安全增强版本安全()FTP ShellSSHFTP是互联网最早的标准协议之一,专门用由于标准FTP以明文传输数据,安全性存在SSH是一种提供安全远程登录和其他安全网于文件传输其主要特点问题,因此出现了多种安全增强版本络服务的协议,工作在TCP端口22SSH主要功能•采用客户端/服务器模式•FTPS在FTP上添加SSL/TLS加密•远程命令行访问•使用两个并行TCP连接控制连接(21•SFTP基于SSH协议的安全文件传输端口)和数据连接(20端口或随机)•文件传输(通过SFTP或SCP)•SCP安全复制协议,也基于SSH•支持两种传输模式ASCII(文本)和二•端口转发和隧道这些协议提供了认证、加密和数据完整性保进制(图像等)•X11图形界面转发护,适合传输敏感信息现代系统多采用•提供详细的错误代码和状态信息SFTP或FTPS替代传统FTPSSH采用公钥密码学确保通信安全,支持多FTP有两种工作模式主动模式(服务器连种认证方式密码认证、公钥认证和基于主接到客户端数据端口)和被动模式(客户端机的认证SSH已基本取代了不安全的远程连接到服务器数据端口)后者更适合防火访问协议如Telnet、rlogin等墙环境网络应用新趋势物联网协议MQTT(消息队列遥测传输)已成为IoT设备通信的事实标准,其轻量级特性和发布/订阅模式特别适合低功耗设备同时,流媒体技术的飞速发展导致网络流量结构发生巨变,视频内容已占据全球互联网流量的80%以上,全球内容分发网络(CDN)流量峰值在2024年突破500TbpsWebSocket协议提供了基于HTTP的全双工通信通道,使Web应用能实现实时数据交换,广泛应用于在线游戏、实时协作工具和金融交易平台API经济的兴起带动了RESTful和GraphQL等接口技术的普及,微服务架构和容器化部署促进了网络应用的模块化和灵活部署,云原生应用通过服务网格实现更精细的流量控制和安全管理网络安全基础常见威胁加密技术网络面临的主要安全威胁包括窃听(被动加密是保护数据机密性的核心技术,分为监听网络通信)、数据篡改(修改传输中对称加密(如AES、SM4)和非对称加密的信息)、身份伪装(冒充合法用户)、(如RSA、ECC)对称加密速度快但密钥拒绝服务(使服务不可用)和权限提升分发困难,非对称加密解决了密钥分发问(获取未授权访问)等这些威胁可能来题但计算开销大实际应用通常结合使用自外部攻击者、内部人员或恶意软件两种技术,形成混合加密系统安全设备认证与授权网络安全设备包括防火墙(过滤流量)、认证验证实体身份(你是谁),通过密入侵检测系统(IDS,监测攻击)、入侵防码、证书、生物特征等方式实现;授权控御系统(IPS,阻断攻击)、VPN网关(安制访问权限(你能做什么),通过访问控全远程接入)和WAF(Web应用防火墙)制列表、角色基础访问控制等机制执行等这些设备结合形成深度防御体系,提数字证书和PKI(公钥基础设施)体系提供供多层次安全保护了强大的身份认证框架防火墙与入侵检测防火墙技术入侵检测与防御典型产品与应用防火墙是网络安全的第一道防线,根据技术入侵检测系统(IDS)和入侵防御系统市场上主流安全产品包括代差可分为(IPS)用于识别和阻止网络攻击主要检•企业级防火墙华为USG系列、思科测方法
1.包过滤防火墙基于IP地址、端口和协ASA、帕洛阿尔托PA系列议类型过滤流量•基于特征的检测匹配已知攻击模式•开源防火墙pfSense、OPNsense
2.状态检测防火墙跟踪连接状态,根据•基于异常的检测识别偏离正常行为的•IDS/IPS Snort、Suricata、Wazuh会话上下文过滤活动•统一威胁管理(UTM)FortiGate、
3.应用层网关深入检查应用层内容,如•基于行为的检测分析流量行为特征SophosHTTP请求、SQL注入等•基于协议分析检查协议违规行为企业安全部署通常采用分区分域策略,结合
4.新一代防火墙(NGFW)集成IPS、威IDS只告警不干预,IPS可主动阻断可疑流物理和逻辑隔离,建立纵深防御体系云原胁情报、沙盒等高级功能量现代系统通常结合多种技术提高准确生环境中,微分段技术和服务网格安全成为现代企业通常采用多级防火墙架构,结合边率新趋势界防火墙与内部区域隔离防火墙无线网络与移动通信
9.6Gbps20Gbps理论峰值速率理论下行峰值Wi-Fi65GWi-Fi6(IEEE
802.11ax)通过OFDMA、1024-5G通信采用毫米波、大规模MIMO和网络切片等技术,QAM、MU-MIMO等技术实现更高的频谱效率,不仅能够支持千亿级设备连接,为智慧城市、自动驾驶和工提升了速率,还大幅改善了高密度环境下的性能,显著业互联网提供强大网络基础设施降低了延迟和功耗1ms超可靠低延迟通信5G的URLLC(Ultra-Reliable Low-LatencyCommunications)特性通过网络切片和边缘计算,为远程手术、工业控制等关键应用提供近乎实时的响应能力无线网络技术正迎来前所未有的发展,Wi-Fi6和5G的普及正在重塑网络连接形态Wi-Fi6不仅速率更快,还针对多设备环境进行了优化,能同时服务更多客户端,每客户端吞吐量更高,特别适合高密度部署场景5G网络的三大场景(eMBB增强移动宽带、mMTC海量机器类通信、URLLC超可靠低延迟通信)正推动各行业数字化转型网络切片技术允许在同一物理基础设施上创建多个虚拟网络,每个切片可定制化满足不同应用需求,如自动驾驶需要的低延迟和高可靠,或物联网传感器需要的低功耗和大连接数软件定义网络与虚拟化SDN核心理念协议SDN OpenFlow软件定义网络(SDN)的基本思想是将网络OpenFlow是最流行的SDN南向接口协议,的控制平面与数据平面分离,使网络管理更定义了控制器与网络设备之间的通信标准加灵活和可编程控制平面负责路由决策等它允许控制器直接访问和操作网络设备的转高级功能,集中在控制器中;数据平面负责发表,实现细粒度的流量控制按照控制器指令转发数据,分布在各网络设OpenFlow基于流表概念,控制器可以编程备中设置匹配规则和相应动作,如转发、修改或这种分离使得网络变得像计算机程序一样可丢弃数据包虽然OpenFlow是最早和最知编程,大大简化了网络管理和创新名的SDN协议,但如今SDN生态系统已扩展到包括NETCONF、P4等多种南向接口选项网络功能虚拟化网络功能虚拟化(NFV)是将传统的专用网络设备功能(如路由器、防火墙、负载均衡器)转化为可以在标准服务器上运行的软件,从而减少对专用硬件的依赖NFV与SDN相辅相成NFV提供虚拟化网络功能,SDN提供动态连接和编排这些功能的能力这种组合使网络部署更加敏捷、成本更低,特别适合云数据中心和电信网络云计算与数据中心网络虚拟网络网络架构自动化与编排VXLAN ClosVXLAN(虚拟可扩展局域网)通过在现有现代数据中心广泛采用Leaf-Spine(叶云数据中心网络的复杂性需要高度自动第三层网络上创建第二层覆盖网络,支持脊)架构,这是Clos网络的一种变体,提化基础设施即代码(IaC)、意图驱动网高达1600万个虚拟网络(远超VLAN的供可预测的低延迟和高带宽这种扁平的络(IBN)和AI运维(AIOps)正成为主4096限制)它封装原始以太网帧,通过两层设计消除了传统三层架构的瓶颈,任流2024年中国数据中心总带宽已超UDP隧道传输,实现跨数据中心的虚拟机意两台服务器之间传输最多经过两跳,特95Tbps,网络规模和复杂度使得人工配置迁移和网络资源池化别适合东西向流量为主的云环境和管理变得不可行,自动化成为必然选择网络发展趋势与前沿全面升级IPv6IPv6部署正在全球加速,不仅解决地址短缺问题,还通过流标签、扩展头部和更高效的路由结构提供更好的服务质量和安全性中国已建成全球最大的IPv6网络,移动终端IPv6活跃用户超过12亿,下一阶段重点是推进IPv6与5G、物联网和工业互联网的融合创新应用智能网络AI人工智能正深刻改变网络运维方式,从被动响应向预测性维护转变AI驱动的流量工程可动态优化路径选择,自愈网络能在故障发生前识别并修复潜在问题意图驱动的网络管理使网络管理员只需指定业务目标,系统自动完成底层配置,将来网络将实现自主决策和持续优化量子通信量子通信利用量子力学原理实现理论上不可破解的通信安全量子密钥分发(QKD)技术已在实际网络中部署,中国建成全球首个量子通信骨干网(京沪干线)和全球首颗量子科学实验卫星未来量子互联网将提供全新的通信模式,支持分布式量子计算和全新的安全通信协议下一代无线技术6G研究已经启动,目标实现Tbps级传输速率、微秒级延迟和更高能效太赫兹通信、轨道角动量多路复用和智能反射表面等技术将成为关键同时,卫星互联网(如星链计划)正在构建全球覆盖的低轨卫星通信网络,将为偏远地区提供高速互联网接入课程小结核心协议掌握前沿技术跟踪深入学习了TCP/IP协议族的关键协议,如IP、TCP、UDP、HTTP、关注了网络技术的最新发展,包括DNS等,理解了它们的工作原理、数IPv
6、SDN、5G、云网络等前沿领体系化理解据格式和运行机制这些协议是互联域了解这些新技术的特点和应用场理论与实践结合网运行的基础,也是网络应用开发的景,有助于把握网络技术的发展趋势本课程系统讲解了计算机网络的五层核心知识和未来方向体系结构,从物理层的比特传输到应将理论知识与实际应用相结合,通过用层的用户服务,层层递进,构建了具体案例和数据分析,加深了对网络完整的网络知识框架每一层的协议技术的实践理解网络是实践性很强和技术都有其特定功能,共同协作完的学科,理论学习需要与实际操作、成端到端的网络通信问题分析相结合参考文献与建议阅读核心教材标准文档实验资源《计算机网络》第六版,谢希仁著,是国内计IETF RFC文档是网络协议的官方标准说明,提网络安全实验平台提供了实践环境,可以动手算机网络教学的经典教材,内容全面、系统,供了协议的准确定义和实现细节对于深入理配置网络设备、分析网络流量、模拟各种网络特别适合初学者系统学习网络基础知识该教解特定协议,建议阅读相关RFC文档例如,场景实验是巩固理论知识的关键方法,建议材注重理论与实践结合,案例丰富,是网络学RFC793详细说明了TCP协议,RFC2616描述多利用Wireshark等工具分析实际网络流量,习的必备读物了HTTP/
1.1规范,是掌握协议细节的权威来使用GNS3或Packet Tracer搭建虚拟网络环境源进行配置练习学习网络知识需要系统性思维,建议先掌握基础概念和原理,再深入特定领域定期关注CSDN、IEEE等专业网站的最新研究和技术动态,有助于了解行业前沿最重要的是将理论知识与实际操作相结合,通过解决实际问题来加深理解。
个人认证
优秀文档
获得点赞 0
