網(wǎng)絡(luò)體系結(jié)構(gòu)及協(xié)議基礎(chǔ)

1、網(wǎng)絡(luò)體系結(jié)構(gòu)及協(xié)議基礎(chǔ)2.1 網(wǎng)絡(luò)的體系結(jié)構(gòu)網(wǎng)絡(luò)的體系結(jié)構(gòu)2.1.1 網(wǎng)絡(luò)的層次結(jié)構(gòu)網(wǎng)絡(luò)的層次結(jié)構(gòu) N+1 層 N 層 N-1 層 N/N+1 層接口 N-1/N 層接口 分層就是系統(tǒng)分解的最好方法之一。層次結(jié)構(gòu)的好處在于使每一層實現(xiàn)一種相對獨立的功能，每一層向上一層提供服務(wù)，同時接受下一層提供的服務(wù)。每一層不必知道下面一層是如何實現(xiàn)的，只要知道下層通過層間接口提供的服務(wù)是什么，以及本層向上層提供什么樣的服務(wù)，就能獨立地設(shè)計，這就是常說的網(wǎng)絡(luò)層次結(jié)構(gòu) 2.1.2 服務(wù)、接口和協(xié)議服務(wù)、接口和協(xié)議在某層上進行通信所使用的規(guī)則、標準或約定的集合就稱為協(xié)議(Protocol)。各層協(xié)議按層次順序排列

2、而成的協(xié)議序列稱為協(xié)議棧。協(xié)議主要由下列三個要素組成：(1)語義(Semantics)。涉及用于協(xié)調(diào)與差錯處理的控制信息。(2)語法(Syntax)。涉及數(shù)據(jù)及控制信息的格式、編碼及信號電平等。(3)定時(Timing)。涉及速度匹配和排序等。不同系統(tǒng)中的對等實體是沒有直接通信能力的，它們間的通信必須通過其下各層的通信間接完成。第N層實體向第N+1層實體提供的在第N層上的通信能力稱為第N層的服務(wù)。在接口處規(guī)定了下層向上層提供的服務(wù)，以及上下層實體請求或提供服務(wù)所使用的形式規(guī)范語句（服務(wù)原語）。 2.2 OSI模型及其安全體系模型及其安全體系1 1OSI-RMOSI-RM的層次結(jié)構(gòu)的層次結(jié)構(gòu) 應(yīng)

3、用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 主機 A 主機 B 節(jié)點機 節(jié)點機 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 通信子網(wǎng) 2OSI-RM的數(shù)據(jù)格式 2.2.2 OSI模型的安全服務(wù) 1認證 2訪問控制 3數(shù)據(jù)機密性 4數(shù)據(jù)完整性 5抗否認 2.2.3 OSI模型的安全機制 1加密機制 2數(shù)字簽名機制 3訪問控制機制 4數(shù)據(jù)完整性機制數(shù)據(jù)完整性機制 5鑒別交換機制 6通信流量填充機制 7路由選擇控制機制 8公證機制 2.3 TCP/IP模型及其安全體系模型及其安全體系1TCP/IP參考模型的層次結(jié)構(gòu)

4、 ICPM Enthernet ARPANET PDN 其它 IP RARP ARP UDP TCP Telnet FTP SMPT DNS 其它 57 4 3 12 TCP/IP協(xié)議族 OSI層次 2.3.2 TCP/IP的安全體系的安全體系 1鏈路層安全 2網(wǎng)絡(luò)層安全 3傳輸層保護的網(wǎng)絡(luò) 4 應(yīng)用層安全性 2.4 常用網(wǎng)絡(luò)協(xié)議和服務(wù) 2.4.1 常用網(wǎng)絡(luò)協(xié)議常用網(wǎng)絡(luò)協(xié)議1IP協(xié)議協(xié)議 2TCP協(xié)議協(xié)議 3UDP協(xié)議協(xié)議 4ICMP協(xié)議協(xié)議 IP頭的結(jié)構(gòu)版本（版本（4位）位）頭長度（頭長度（4位）位）服務(wù)類型（服務(wù)類型（8位）位） 封包總長度（封包總長度（16位）位）封包標識（封包標識（16

5、位）位）標志（標志（3位）位）片斷偏移地址（片斷偏移地址（13位）位）存活時間（存活時間（8位）位）協(xié)議（協(xié)議（8位）位）校驗和（校驗和（16位）位）來源來源IP地址（地址（32位）位）目的目的IP地址（地址（32位）位）選項（可選）選項（可選）填充（可選）數(shù)據(jù)數(shù)據(jù)IPv4的IP地址分類 IPv4地址在1981年9月實現(xiàn)標準化的。基本的IP地址是8位一個單元的32位二進制數(shù)。為了方便人們的使用，對機器友好的二進制地址轉(zhuǎn)變?yōu)槿藗兏煜さ氖M制地址。IP地址中的每一個8位組用0255之間的一個十進制數(shù)表示。這些數(shù)之間用點“.”隔開，因此，最小的IPv4地址值為，最大的地址值為255.

6、255.255.255，然而這兩個值是保留的，沒有分配給任何系統(tǒng)。IP地址分成五類：A類地址、B類地址、C類地址、D類地址和E類地址。每一個IP地址包括兩部分：網(wǎng)絡(luò)地址和主機地址，上面五類地址對所支持的網(wǎng)絡(luò)數(shù)和主機數(shù)有不同的組合。1、A類地址一個A類IP地址僅使用第一個8位組表示網(wǎng)絡(luò)地址。剩下的3個8位組表示主機地址。A類地址的第一個位總為0，這一點在數(shù)學(xué)上限制了A類地址的范圍小于127，因此理論上僅有127個可能的A類網(wǎng)絡(luò)，而地址又沒有分配，所以實際上只有126個A類網(wǎng)。技術(shù)上講，也是一個A類地址，但是它已被保留作閉環(huán)（Look Back）測試之用而不能分配給

7、一個網(wǎng)絡(luò)。A類地址后面的24位表示可能的主機地址，A類網(wǎng)絡(luò)地址的范圍從到。每一個A類地址能支持16,777,214個不同的主機地址，這個數(shù)是由2的24次方再減去2得到的。減2是必要的，因為IP把全0保留為表示網(wǎng)絡(luò)而全1表示網(wǎng)絡(luò)內(nèi)的廣播地址。2、B類地址設(shè)計B類地址的目的是支持中到大型的網(wǎng)絡(luò)。B類網(wǎng)絡(luò)地址范圍從到。B類地址蘊含的數(shù)學(xué)邏輯是相當簡單的。一個B類IP地址使用兩個8位組表示網(wǎng)絡(luò)號，另外兩個8位組表示主機號。B類地址的第1個8位組的前兩位總是設(shè)置為1和0，剩下的6位既可以是0也可以是1，這樣就限制其范圍小于等于191

8、，這里的191由128+32+16+8+4 +2+1得到。最后的16位（2個8位組）標識可能的主機地址。每一個B類地址能支持64,534個惟一的主機地址，這個數(shù)由2的16次方減2得到，B類網(wǎng)絡(luò)有16,382個。3、C類地址C類地址用于支持大量的小型網(wǎng)絡(luò)。這類地址可以認為與類地址用于支持大量的小型網(wǎng)絡(luò)。這類地址可以認為與A類地址正好相反。類地址正好相反。A類地址使用類地址使用第一個第一個8位組表示網(wǎng)絡(luò)號，剩下的位組表示網(wǎng)絡(luò)號，剩下的3個表示主機號，而個表示主機號，而C類地址使用三個類地址使用三個8位組表示網(wǎng)絡(luò)地址，位組表示網(wǎng)絡(luò)地址，僅用一個僅用一個8位組表示主機號。位組表示主機號。C類地址的前類

9、地址的前3位數(shù)為位數(shù)為110，前兩位和為，前兩位和為192(128+64)，這形成了，這形成了C類地址空間的下界。第三位等于類地址空間的下界。第三位等于十進制數(shù)十進制數(shù)32，這一位為，這一位為0限制了地址空間的上界。不能使用第三位限制了此限制了地址空間的上界。不能使用第三位限制了此8位組的最大值為位組的最大值為255-32等于等于223。因此。因此C類網(wǎng)絡(luò)地址范圍從類網(wǎng)絡(luò)地址范圍從至至。最后一個最后一個8位組用于主機尋址。每一個位組用于主機尋址。每一個C類地址理論上可支持最大類地址理論上可支持最大2 5 6個主機地址個主機地址(0255)，但是僅有，

10、但是僅有254個可用，因為個可用，因為0和和255不是有效的主機地址。可以有不是有效的主機地址?？梢杂?,097,150個不同個不同的的C類網(wǎng)絡(luò)地址。類網(wǎng)絡(luò)地址。在在IP地址中，地址中，0和和255是保留的主機地址。是保留的主機地址。IP地址中所有的主機地址為地址中所有的主機地址為0用于標識局域網(wǎng)。同樣，用于標識局域網(wǎng)。同樣，全為全為1表示在此網(wǎng)段中的廣播地址。表示在此網(wǎng)段中的廣播地址。4、D類地址D類地址用于在IP網(wǎng)絡(luò)中的組播（Multicasting）。D類組播地址機制僅有有限的用處。一個組播地址是一個惟一的網(wǎng)絡(luò)地址。它能指導(dǎo)報文到達預(yù)定義的IP地址組。因此，一臺機器可以把數(shù)據(jù)流同時發(fā)送到

11、多個接收端，這比為每個接收端創(chuàng)建一個不同的流有效得多。組播長期以來被認為是IP網(wǎng)絡(luò)最理想的特性，因為它有效地減小了網(wǎng)絡(luò)流量。D類地址空間，和其他地址空間一樣，有其數(shù)學(xué)限制，D類地址的前4位恒為1110，預(yù)置前3位為1意味著D類地址開始于128+64+32等于224。第4位為0意味著D類地址的最大值為128+64+32+8+4+2+1為239，因此D類地址空間的范圍從到239.255.2 55.254。5、E類地址 E類地址雖被定義為保留研究之用。因此Internet上沒有可用的E類地址。 E類地址的前4位為1，因此有效的地址范圍從至

12、55。子網(wǎng)掩碼 子網(wǎng)掩碼是用來判斷任意兩臺計算機的IP地址是否屬于同一子網(wǎng)絡(luò)的根據(jù)。 最為簡單的理解就是兩臺計算機各自的IP地址與子網(wǎng)掩碼進行二進制“與”（AND）運算后，如果得出的結(jié)果是相同的，則說明這兩臺計算機是處于同一個子網(wǎng)絡(luò)上的，可以進行直接的通訊。 計算機A的IP地址為，子網(wǎng)掩碼為，將轉(zhuǎn)化為二進制進行“與”運算，運算過程如表2-3所示。子網(wǎng)掩碼計算機A的IP地址為，子網(wǎng)掩碼為，將轉(zhuǎn)化為二進制進行“與”運算，運算過程如表2-3所示。IP地址11010000.10101000.00000000

13、.00000001子網(wǎng)掩碼11111111.11111111.11111111.00000000IP地址與子網(wǎng)掩碼按位“與”運算11000000.10101000.00000000.00000000運算的結(jié)果轉(zhuǎn)化為十進制子網(wǎng)掩碼計算機B的IP地址為54，子網(wǎng)掩碼為，將轉(zhuǎn)化為二進制進行“與”運算。運算過程如表2-4所示。IP地址地址11010000.10101000.00000000.11111110子網(wǎng)掩碼子網(wǎng)掩碼11111111.11111111.11111111.00000000IP地址與子網(wǎng)掩碼按位地址與子網(wǎng)掩碼按位“

14、與與”運算運算11000000.10101000.00000000.00000000運算的結(jié)果轉(zhuǎn)化為十進制運算的結(jié)果轉(zhuǎn)化為十進制子網(wǎng)掩碼計算機C的IP地址為，子網(wǎng)掩碼為，將轉(zhuǎn)化為二進制進行“與”運算。運算過程如表2-5所示。IP地址地址11010000.10101000.00000000. 00000100子網(wǎng)掩碼子網(wǎng)掩碼11111111.11111111.11111111.00000000IP地址與子網(wǎng)掩碼按位地址與子網(wǎng)掩碼按位“與與”運運算算11000000.10101000.00000000.00000000運算的結(jié)果

15、轉(zhuǎn)化為十進制運算的結(jié)果轉(zhuǎn)化為十進制2TCP協(xié)議 TCP是傳輸層協(xié)議，提供可靠的應(yīng)用數(shù)據(jù)傳輸。 TCP在兩個或多個主機之間建立面向連接的通信。 TCP支持多數(shù)據(jù)流操作，提供錯誤控制，甚至完成對亂序到達的報文進行重新排序。TCP協(xié)議的頭結(jié)構(gòu) 和IP一樣，TCP的功能受限于其頭中攜帶的信息。因此理解TCP的機制和功能需要了解TCP頭中的內(nèi)容，表2-6顯示了TCP頭結(jié)構(gòu)。來源端口（2字節(jié)）目的端口（2字節(jié)）序號（4字節(jié)）確認序號（4字節(jié)）頭長度（4位）保留（6位）URGACKPSHRSTSYNPIN窗口大?。?字節(jié)）校驗和（16位）緊急指針（16位）選項（可選）數(shù)據(jù)TCP協(xié)議的工

16、作原理 TCP提供兩個網(wǎng)絡(luò)主機之間的點對點通訊。TCP從程序中接收數(shù)據(jù)并將數(shù)據(jù)處理成字節(jié)流。 首先將字節(jié)分成段，然后對段進行編號和排序以便傳輸。在兩個TCP主機之間交換數(shù)據(jù)之前，必須先相互建立會話。TCP會話通過三次握手的完成初始化。這個過程使序號同步，并提供在兩個主機之間建立虛擬連接所需的控制信息。 TCP在建立連接的時候需要三次確認，俗稱“三次握手”，在斷開連接的時候需要四次確認，俗稱“四次揮手”。TCP協(xié)議的三次“握手” TCP協(xié)議的四次“揮手” 需要斷開連接的時候，TCP也需要互相確認才可以斷開連接，四次交互過程如圖所示。3.用戶數(shù)據(jù)報協(xié)議UDP UDP為應(yīng)用程序提供發(fā)送和接收數(shù)據(jù)報的

17、功能。 某些程序（比如騰訊的OICQ）使用的是UDP協(xié)議，UDP協(xié)議在TCP/IP主機之間建立快速、輕便、不可靠的數(shù)據(jù)傳輸通道。 UDP和TCP的區(qū)別 UDP提供的是非連接的數(shù)據(jù)報服務(wù)，意味著UDP無法保證任何數(shù)據(jù)報的傳遞和驗證。UDP的結(jié)構(gòu)如圖所示。 UDP和TCP傳遞數(shù)據(jù)的差異 UDP和TCP傳遞數(shù)據(jù)的差異類似于 和明信片之間的差異。 TCP就像 ，必須先驗證目標是否可以訪問后才開始通訊。 UDP就像明信片，信息量很小而且每次傳遞成功的可能性很高，但是不能完全保證傳遞成功。 UDP通常由每次傳輸少量數(shù)據(jù)或有實時需要的程序使用。 在這些情況下，UDP 的低開銷比TCP 更適合。UDP 與TC

18、P 提供的服務(wù)和功能直接對比 UDP和TCP傳遞數(shù)據(jù)的比較 UDP協(xié)議協(xié)議TCP協(xié)議協(xié)議無連接的服務(wù)；在主機之間不建立無連接的服務(wù)；在主機之間不建立會話。會話。面向連接的服務(wù)；在主機之間建立會話。面向連接的服務(wù)；在主機之間建立會話。UDP不能確保或承認數(shù)據(jù)傳遞或不能確?；虺姓J數(shù)據(jù)傳遞或序列化數(shù)據(jù)。序列化數(shù)據(jù)。TCP 通過確認和按順序傳遞數(shù)據(jù)來確保通過確認和按順序傳遞數(shù)據(jù)來確保數(shù)據(jù)的傳遞。數(shù)據(jù)的傳遞。使用使用 UDP 的程序負責(zé)提供傳輸數(shù)的程序負責(zé)提供傳輸數(shù)據(jù)所需的可靠性。據(jù)所需的可靠性。使用使用 TCP 的程序能確保可靠的數(shù)據(jù)傳的程序能確?？煽康臄?shù)據(jù)傳輸。輸。UDP快速，具有低開銷要求，并快速

19、，具有低開銷要求，并支持點對點和一點對多點的通支持點對點和一點對多點的通訊。訊。TCP 比較慢，有更高的開銷要求，而且比較慢，有更高的開銷要求，而且只支持點對點通訊。只支持點對點通訊。UDP 和和 TCP 都使用端口標識每個都使用端口標識每個 TCP/IP 程序的通訊。程序的通訊。 UDP協(xié)議的頭結(jié)構(gòu) UDP的頭結(jié)構(gòu)比較簡單，如表所示。 源端口（2字節(jié)）目的端口（2字節(jié)）封報長度（2字節(jié)）校驗和（2字節(jié)）數(shù)據(jù)4.ICMP協(xié)議的結(jié)構(gòu) ICMP協(xié)議的頭結(jié)構(gòu) ICMP頭結(jié)構(gòu)比較簡單，如表所示。類型（類型（8位）位） 代碼（代碼（8位）位）校驗和（校驗和（8位）位）類型或者代碼類型或者代碼ICMP數(shù)據(jù)

20、報分析 使用Ping命令發(fā)送ICMP回應(yīng)請求消息，使用Ping命令，可以檢測網(wǎng)絡(luò)或主機通訊故障并解決常見的TCP/IP連接問題。分析Ping指令的數(shù)據(jù)報，如圖2-27所示。 2.4.2 常用網(wǎng)絡(luò)服務(wù) 1. FTP服務(wù)1.FTP服務(wù) FTP的缺省端口是20（用于數(shù)據(jù)傳輸）和21（用于命令傳輸）。 在TCP/IP中FTP是非常獨特的，因為命令和數(shù)據(jù)能夠同時傳輸，而數(shù)據(jù)傳輸是實時的，其他協(xié)議不具有這個特性。 FTP客戶端可以是命令界面的也可以是圖形界面的。命令界面的如圖2-28所示。命令行等錄FTP服務(wù)器 2. Telnet服務(wù) Telnet是TELecommunications NETwork的縮

21、寫，其名字具有雙重含義，既指應(yīng)用也是指協(xié)議自身。 Telnet給用戶提供了一種通過網(wǎng)絡(luò)登錄遠程服務(wù)器的方式。 Telnet通過端口23工作。開啟Telnet服務(wù)Telnet要求有一個Telnet服務(wù)器，此服務(wù)器駐留在主機上，等待著遠端機器的授權(quán)登錄。要使用Telnet服務(wù)首先需要在虛擬機上開啟Telnet服務(wù)，選擇進入Telnet服務(wù)管理器，如圖所示。開啟Telnet服務(wù) 在Telnet服務(wù)管理器中選擇4，啟動Telnet服務(wù)器，如圖2-32所示。3.Email服務(wù) 目前Email服務(wù)用的兩個主要的協(xié)議是：簡單郵件傳輸協(xié)議SMTP（Simple Mail Transfer Protocol）和郵局協(xié)議POP3（Post Office Protocol）。 SMTP默認占用25端口，用來發(fā)送郵件，POP3占用110端口，用來接收郵件。 在Windows平臺下，主要利用Microsoft Exchange Server作為電子郵件服務(wù)器。4.Web服務(wù) Web服務(wù)是目前最常用的服務(wù)，使用HTTP協(xié)議，默認Web服務(wù)占用80端口 在Windows平臺下一般使用IIS（Internet Information Server）作為Web服務(wù)器。5.常用的網(wǎng)絡(luò)服務(wù)端口 常用服務(wù)端口列表 端口協(xié)議服務(wù)21TCPFTP服務(wù)25TCPSMTP服務(wù)53 TCP