《信息安全技术 第2章 计算机网络基础ppt课件.ppt》由会员分享,可在线阅读,更多相关《信息安全技术 第2章 计算机网络基础ppt课件.ppt(53页珍藏版)》请在三一办公上搜索。
1、第 2章 计算机网络基础,2,本章概要,本章详细阐述了计算机网络的基本知识,主要涉及的内容有:OSI 的其成模型及各层的主要功能TCP/IP协议局域网和广域网技术,3,课程目标,通过本章的学习,读者应能够:了解计算机网络的分层结构了解计算机网络的常用网络协议了解局域网技术和广域网技术,4,2.1计算机网络的分层结构,计算机网络具有复杂的结构,下图的网络充分说明了这一点。,5,2.1.1 OSI的七层型及各层的主要功能,应用层Application Layer,表示层Presentation Layer,会话层Session Layer,传输层Transport Layer,网络层Network
2、 Layer,数据链路层Data Link Layer,物理层Physical Layer,与用户应用的接口,数据格式的转换,会话管理与数据同步,端到端的可靠传输,分组传送、路由选择、流量控制,相邻节点间无差错地传送帧,在物理媒体上透明传送位流,6,2.1.1 OSI的七层型及各层的主要功能,因为没有单独的厂商能适合全部网络市场的需求,所以各公司不得不利用多家厂商为其提供通信硬件。每个厂家所开发的特有的网络体系结构及其所属的协议通常是不能兼容的,它们相互间的通信是排斥的。开放系统互联(OSI)模型是由国际标准化组织(ISO)开发,以解决各发行产品的不兼容性,并允许不同厂商的硬件产品进行通信。层
3、的概念是OSI模型的基础,它为一个多级的数据传输建立了一套规则。,7,2.1.1 OSI的七层型及各层的主要功能,OSI模型比较低的层面(14层)负责处理器的互联。它们决定了与格式无关的数据能从其源向其目的地移动的连接。关键的问题是传输。 模型比较高的层面(57层)关系到处理器的互联。关键问题是理解。 在分层的设计中,信息从传输计算机的顶层(7层)开始,向下传送到它的最低层(1层),并穿过网络媒介到达计算机,信息到达接收计算机的最低层(1层),并向上传送通过各层到达第7层。下面描述每层的细节:,8,2.1.1 OSI的七层型及各层的主要功能,应用层:为网络服务提供软件,例如文件传输、远程登录、
4、远程执行和电子邮件等。它在用户程序和网络间提供接口。 表示层:将外面的数据从机器特有格式转换为国际标准格式(例如 ASCII-机器特有-EBCDIC)。 会话层:允许设置和终止两个系统间的通信路径与同步会话。它非常类似于在两个电话系统间自动拨号那样在系统间建立连接。,9,2.1.1 OSI的七层型及各层的主要功能,传输层:在发送者与接收者之间提供可靠的数据包流程,并确保数据到达正确的目的地。在这层的协议也可确保制成一份数据的拷贝,以防数据万一在传输中丢失。网络层:确定使用网络中的哪条路径。它提供包寻址,在网络中告知计算机通过哪条路发生用户的数据。数据链路层:为数据传送提供可靠的、错误免检的媒体
5、通路,它在数据周围生成构架。物理层:在网络与计算机设备间建立正式的物理连接(缆线连接)。在这层提供的功能包括发生信号类型(什么表示一位0,什么表示一位1)、缆线的长度规格、连接器的型号等。,10,2.1.1 OSI的七层型及各层的主要功能,应用层协议,表示层协议,会话层协议,传输层协议,11,2.1.2 TCP/IP协议栈,TCP/IP四层模型 TCP/IP是个协议集,根据OSI的七层理论,TCP/IP遵守一个四层的模型概念:应用层、传输层、互联层和网络接口层。TCP在传输层,而IP在Internet层。 应用层:在这个最高层中,用户调用应用程序来访问TCP/IP互联网络。与各个运输层协议协调
6、工作的应用程序负责接收和发送数据。每个应用程序选择适当的运输服务类型(服务包括独立的报文序列和连续字节流两种类型)。应用程序把数据按照运输层的格式要求组织好以后向下层传送。,12,2.1.2 TCP/IP协议栈,运输层:运输层的基本任务是提供应用程序间的通信服务。这种通信又叫端到端通信。运输层要系统地管理信息的流动,还要提供可靠的传输服务以确保数据无差错的、无乱序的到达。为了这个目的,运输层协议软件要进行协商,让接收方回送确认信息及让发送方重发丢失的分组。运输协议软件把要传送的数据流划分为小块(有时把这些小块称为分组),把每个分组连同目的地址交给下一层去发送。,13,2.1.2 TCP/IP协
7、议栈,虽然上图只用了单一的方框来描述应用层,但实际上机器中会有多个应用程序在同时访问互联网络。运输层要从若干应用程序那里接收数据并把它们送给下一层。为此,运输层还要对每一个分组附加信息,包括标识该分组是由哪个应用程序发送的、要送给哪个应用程序等的标识码,以及一个校验和。接收到分组的机器使用校验和来检验数据是否出错,并通过识别代码来将分组送给对应的应用程序。,14,2.1.2 TCP/IP协议栈,Internet层:Internet层是用来处理机器之间的通信问题的。它接收运输层请求,传输某个具有目的地址信息的分组。该层把分组封装到IP数据报中,填入数据报的首部(也可称为报头),使用路由算法来选择
8、是直接把数据报发送到目标机还是把数据报发给路由器,然后把数据报交给下面的网络接口层中的对应网络接口模块。该层还要处理接收到的数据报,检验其正确性,使用路由算法来决定数据报是否在本地进行处理还是继续向前传送。如果数据报的目的地处于本机所在的网络,该层软件就把数据报的首部剥取,再选择适当的运输层协议来处理这个分组。最后,Internet层还要适时地发出ICMP(Internet控制报文协议)的差错和控制报文,并处理接收到的ICMP报文。,15,2.1.2 TCP/IP协议栈,网络接口层:这是TCP/IP协议软件的最底层,它负责接收IP数据报和把数据报通过选定的网络发送出去。网络接口层包括一个设备驱
9、动程序(例如机器与局域网相连时就需要相应的驱动程序),也可能是一个复杂的使用自己的数据链路协议的子系统(例如网络是由分组交换机组成的时候,这些分组交换机是使用HDLC协议与主机进行通信的。,16,2.1.2 TCP/IP协议栈,TCP/IP四层模型结构和OSI七层模型的对应关系如下图所示:,17,网络接口层,模型的基层是网络接口层。负责数据帧的发送和接收,帧是独立的网络信息传输单元。网络接口层将帧放在网上,或从网上把帧取下来。,18,互联网络层,互联协议将数据包封装成Internet数据报,并运行必要的路由算法。有四个互联协议: a. 网际协议IP:负责在主机和网络之间寻址和路由数据包。 b.
10、 地址解析协议ARP:获得同一物理网络中的硬件主机地址。 c. 网际控制消息协议ICMP:发送消息,并报告有关数据包的传送错误。 d. 互联组管理协议IGMP:被IP主机拿来向本地多路广播路由器报告主机组成员。,19,传输层,传输协议在计算机之间提供通信会话。传输协议的选择根据数据传输方式而定。 a. 传输控制协议TCP:为应用程序提供可靠的通信连接。适合于一次传输大批数据的情况,并适用于要求得到响应的应用程序。 b. 用户数据报协议UDP:提供了无连接通信,且不对传送包进行可靠的保证。适合于一次传输少量数据,可靠性则由应用层来负责。,20,应用层,应用程序通过这一层访问网络。IP使用网络设备
11、接口规范NDIS向网络接口层提交帧。IP支持广域网和本地网接口技术。,21,2.2 常用的网络协议和网络服务,2.2.1 网络互联层和传输层 1. 网际协议IP(Internet Protocol) 该协议位于ISO七层协议中网络层的协议,实现了Internet中的自动路由功能。它是一个无联接的协议,主要负责在主机间寻址并为数据包设定路由,在交换数据前它并不建立会话。因此它不保证正确传递。另一方面,在接收数据时,IP不需要收到确认,所以它是不可靠的。 IP数据包的组成: a.定义计算机地址。 b.定义数据包的格式、路由器如何传送数据包。 c. IP数据报(IP datagram)。,22,2.
12、 传输控制协议TCP(Transmission Control Protocol) 该协议是传输层协议,向下屏蔽了IP协议不可靠传输的特性,向上提供一个可靠的点到点的传输。一般用于广域网。 TCP协议的相关特性: a. 帮助IP确保数据传输。 b. 自动进行重发定义计算机地址。 c. 用于计算机网络中数据互连和相互之间传送数据。 d. 一个真正的开放系统。,23,TCP/ IP 协议是Internet和Intranet的基石,TCP/IP是一协议簇,除了TCP和IP协议外还有众多的协议: UDP协议:UDP(User Datagram Protocol)和TCP相反,它提供了一种传输不可靠的服
13、务,主要用于可靠性不高的局域网中。 ICMP协议:ICMP(Internet Control Message Protocol)透过IP层收发ICMP报文,ICMP被用于报告报文在传输过程中发生的各种情况,也可通过ICMP测试主机之间的连接是否中断,甚至可用其特定主机的报文传输量。 ARP协议:ARP(Address Resolution Protocol)用来将IP地址解析为以太地址的协议。 RARP协议:全称为Reversed Address Resolution Protocol.,24,2.2.2 应用层,HTTP: HyperText Transmission Protocol; F
14、TP: File Transmission Protocol; SMTP: Simple Mail Transmission Protocol; DNS: Domain name Service; SNMP: Simple Network Management Protocol; Telnet; POP3.,25,2.2.3 链路层协议,TCP/IP协议几乎能支持所有的链路层协议,包括局域网协议和广域网协议:,PPP; X.25; Frame Relay.,Ethernet; Token Ring; FDDI; HLDC;,以太网协议是局域网中用得最多的协议,其包括源地址、目的地址、类型域和数
15、据。一个以太地址有6个字节,每个以太网网卡都有唯一的以太网地址。以太网使用CSMA/CD技术。,26,2.2.4 常见的 Internet 服务,电子邮件; 文件传输; Telnet; WWW服务; Usenet新闻; 域名服务; 网络管理服务; 网络文件系统; 拨号访问服务。,27,2.3 常用的网络协议和网络技术,在计算机环境中发生的通信有多种类型。某些通信,例如那些使用SCSI设备的计算机的通信,是在本地执行的,并且对其连接的电缆有长度限制;而另一些通信,如两个系统通过网络进行会话,可以有更长的连接电缆和根源的通信距离。 如今,网络通常按期所覆盖的地理区域被分为局域网(LAN)和广域网(
16、WAN),这两种网络的主要分类如下: 局域网:这些网络连接设备彼此都在一个局部的地区(最多到5Km)。 广域网:这些网络覆盖一个非常大的地理区域,它允许在不同城市的设备间相互通信。 两种分类的网络操作都按照相同的原理,并且使用的效果也一样,只是后者采用的方法和技术更多样化,范围更广。,28,2.3.1 局域网(LAN)技术,局域网是一个允许很多独立的设备相互间进行通信的通信系统,局域网的限定为:所有者专有的、被连续结构的媒体连接着、支持底数和高速的数据传输。 局域网的特性: 提供短距离内多台计算机的互连; 造价便宜、极其可靠,安装和管理方便; 常用的技术有:,29,a. Ethernet:以太
17、网Ethernet是Xerox、Digital Equipment和Intel三家公司开发的局域网组网规范,并于20世纪80年代初首次出版,成为DIX1.0。1982年修改后的版本为DIX2.0。这三家公司将此规范提交给IEEE(电子电气工程师协会)802委员会,经过IEEE成员的修改并通过,变成了IEEE的正式标准,并编号为IEEE802.3。Ethernet和IEEE802.3规定虽然有很多不同,但术语Ethernet通常认为与802.3是兼容的。IEEE将802.3标准提交国际标准化组织(ISO)第一联合技术委员会(JTC1),再次经过修订变成了国际标准ISO8802.3。,30,b.
18、令牌环(Token Ring):是IBM公司与20世纪80年代初开发成功的一种网络技术。之所以称为环,是因为这种网络的物理结构具有环的形状。环上有多个站逐个与环相连,相邻站之间是一种点对点的链路,因此令牌环与广播方式的Ethernet不同,它是一种顺序向下一站广播的LAN。与Ethernet不同的另一个诱人的特点是,即使负载很重,仍具有确定的响应时间。令牌环所遵循的标准是IEEE802.5。 c. 光纤分布数据接口(FDDI): 是目前成熟的LAN技术中传输速率最高的一种。这种传输速率高达100Mb/s的网络技术所依据的标准是ANSIX3T9.5。该网络具有定时令牌环协议的特性,支持多种拓扑结
19、构,传输媒体为光纤。,31,2.3.2广域网(WAN)技术,连接分布在广大地理范围内计算机;费用高昂(更多的硬件、专门的线路);常用的封装协议有:,32,a. SDLC协议和HDLC(High-Level Data Link Control)高层数据链路协议:它是一组用于在网络节点间传送数据的协议。在HDLC中,数据被组成一个个的单元(称为帧)通过网络发送,并由接收方确认收到。HDLC协议也管理数据流和数据发送的间隔时间。HDLC是数据链路层中应用最广泛的协议之一。在通常响应模式中,基站(通常是大型机)发送数据给本地或远程的二级站。不同类型的HDLC被用于使用X.25协议的网络和帧中继网络,无
20、论此网是公共的还是私人的,这种协议可以在局域网或广域网中使用。,33,b. Frame Relay (帧中继):帧中继是一种高性能的WAN协议,它运行在OSI参考模型的物理层和数据链路层。它通过多路径转换器和路由器提供具有更高性能和更有效的传输效率。帧中继是一种数据包交换技术,是X2.5的简化版本。它提高了终端站动态共享网络媒体和可用带宽的能力。帧中继采用以下两种数据包技术:可变长数据包和统计复用技术。它不能确保数据完整性,所以当出现网络拥塞现象时需要删除数据包。但在实际应用中,它具有更可靠的数据传输性能。,34,PPP (Point-to-Point Protocol,点到点协议):PPP是
21、为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作,并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。 X2.5协议是公用数据网上DTE和DCE之间的接口规程,是广域分组交换网中的用户终端与网络的接口标准。分组交换是依靠并应用了X.25协议得以实现的,所以X.25协议是数据网中最重要的协议,因此也把分组数据网简称为X.25网。,35,d. ISDN(综合业务数字网协议):ISDN分为四层,分别为物理层协议、数据链路层协议、网络层协议、端到端协议。 第一层:物理层,规定了
22、ISDN各种设备的电气机械特性,以及物理电器型号标准; 第二层:数据链路层,完成物理连接件的数据成帧/解帧及相应的纠错等功能,向上层提供一条无差错的通信链路; 第三层:网络层,进行路由选择、数据交换等,负责把端到端的消息正确地传递到对端; 第四层描述进程间通信、与应用无关的用户服务及其相关接口和各种应用,这部分协议不在ISDN规定之内,有相关应用决定。,36,e. ADSL(非对称数字用户线):ADSL是英文“Asymmetrical Digital Subscriber Line”的缩写,中文翻译为:非对称数字用户线,它是数字用户线(DSL)技术的一种,可在普通铜线电话用户线上传送电话业务的
23、同时,向用户提供1.58Mb/s速率的数字业务,在上行、下行方向的传输速率不对称。 ADSL的中文含义是非对称数字用户线,从字面上可以了解到,ADSL是一种数字编码的接入线路技术,而且其上行带宽和下行带宽是不对称的。 ADSL可以为以中、小型商业用户和住宅用户为主的用户群提供多样化的宽带业务,包括高速Internet接入、远程LAN互联、交互视频、远程医疗/教育和SOHO等交互式业务。,37,2.4 常见网络设备,38,2.4.1 集线器(Hub),集线器(Hub)可以说是一种特殊的中继器,作为网络传输介质间的中央节点,它克服了介质单一通道的缺陷。以集线器为中心的优点是:当网络系统中某条线路或
24、某节点出现故障时,不会影响网上其他节点的正常工作。集线器可分为无源(Passive)集线器、有源(Active)集线器和智能(Intelligent)集线器。 无源集线器只负责把多段介质连接在一起,不对信号做任何处理,每一种介质段只允许扩展到最大有效距离的一半。 有源集线器除类似于无源集线器,但它具有对传输信号进行再生和发达从而扩展介质长度的功能。,39,智能集线器除具有有源集线器的功能外,还可将网络的部分功能集成到集线器中,如网络管理、选择网络传输线路等。 广域网连接方式主要有:,租用专线(Leased Line) 帧中继技术(Frame Relay); 电话拨号接入技术(Dial Up);
25、 ISDN拨号接入技术(ISDN); 虚拟专用网技术(VPN). 广域网(WAN)常见设备: ADSL路由器; ISDN适配器; Cable Modem。,40,2.4.2 路由器(Router),路由器(Router)适用于连接多个逻辑上分开的网络。逻辑网络是指一个单独的网络或一个子网。当数据从一个子网传输到另一个子网时,可通过路由器来完成。因此,路由器具有判断网络地址和选择路径的功能,它能在多网络互连环境中建立灵活的连接,可用完全不同的数据分组和介质访问方法连接各种子网。路由器是属于网络应用层的一种互联设备,只接收源站和其他路由器的信息,它不关心各子网使用的硬件设备,但要求运行与网络层协议
26、相一致的软件。路由器分本地路由器和远程路由器,本地路由器是用来连接网络传输介质的,如光纤、同轴电缆和双绞线;远程路由器是用来与远程传输介质连接并要求相应的设备,如电话线要配调制解调器,无线要通过无线接收机和发射机。,41,2.4.3交换机(Switch),交换机是构建网络平台的“基石”,又称网络开关。它也属于集线器的一种,但是和普通的集线器功能上有较大区别。普通的集线器仅起到数据接收发送的作用,而交换机则可以智能的分析数据包,有选择的将其发送出去。举个例子来说:我们发出了一批专门发给某个人的数据包,如果是在使用普通集线器的网络环境中,则每个人都能看到这个数据包。而在使用了交换机的网络环境中,交
27、换机将分析这个数据包是发送给谁的,之后将其进行打包加密,此时只有数据包 的接收人才能收到。,42,2.4.3 交换机(Switch),从广义上来看,交换机分为两种:广域网交换机和局域网交换机。广域网交换机主要应用于电信领域,提供通信用的基础平台。而局域网交换机则应用于局域网络,用于连接终端设备,如PC机及网络打印机等。从传输介质和传输速度上可分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等。从规模应用上又可分为企业级交换机、部门级交换机和工作组交换机等。,43,2.4.3 交换机(Switch),交换机工作在OSI参考模型的第二层数据链路层上,
28、主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。物理编址(相对应的是网络编址)定义了设备在数据链路层的编址方式;网络拓扑结构包括数据链路层的说明,定义了设备的物理连接方式,如星型拓扑结构或总线拓扑结构等;错误校验向发生传输错误的上层协议告警;数据帧序列重新整理并传输除序列以外的帧;流控可以延缓数据的传输能力,以使接收设备不会因为在某一时刻接收到了超过其处理能力的信息流而崩溃。目前交换机还具备了一些新的功能,如对VLAN的支持、对链路汇聚的支持,甚至有的具有防火墙的功能,这就是第三层交换机所具有的功能。所谓的第三层交换机就是在基于协议的VLAN划分时,增加了路由功能。,2.5 虚拟
29、局域网(VLAN)技术,45,2.5.1 VLAN的概念 局域网(LAN)通常内定义为一个单独的广播域,同处于一个局域网之内的网络节点之间可以不通过网络路由器直接进行通信;而处于不同局域网段内的设备之间的通信则必须经过路由器。随着网络的不断扩展,接入设备不断增加,网络结构日益复杂,必须使用更多的路由器来划分各自的广播域在不同的局域网之间提供网络互联。这么做需要投入大量路由器,并且数据在经过路由器时网络时延增加。 虚拟局域网(VLAN, Virtual Local Area Network)是指在交换局域网的基础上,采用网络管理软件构件的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组
30、成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。,46,2.5.2 组建VLAN的条件,VLAN是建立在物理网络基础上的一种逻辑子网,因此,建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备。要实现路由功能,既可采用路由器,也可采用三层交换机来完成。,47,2.5.3 划分VLAN的基本策略,从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种方法: 基于端口的VLAN划分 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的
31、划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。,48,基于MAC地址的VLAN划分 MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一且固化在网卡上的。MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。 基于路由的VLAN划分 路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。 目前,对于VLAN的划分主要采取上述第1、3种方式,第 2 种方式为辅助性的方案。,49,
32、2.5.4 使用VLAN优点,使用VLAN具有以下优点: 控制广播风暴 一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的发生。 提高网络整体安全性 通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。,50,2.5.4 使用VLAN优点,网络管理简单、直观 对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VL
33、AN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。,51,2.5.5 三层交换技术,传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同VLAN之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负
34、,路由器将成为整个网络运行的瓶颈。 在这种情况下,出现了第三层交换技术,它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不,52,是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。 在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性,以及整个网络运行的稳定性,可采用VLAN技术进行虚拟网络划分。VLAN子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门物理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同时节约了成本。,53,第2章结束,
