【正文】 種局域網(wǎng) /城域網(wǎng) /廣域網(wǎng)的各種通信網(wǎng)絡(luò)，例如：幀中繼 /ATM 網(wǎng)絡(luò)等的特征； ? 理 解 各 種 遠(yuǎn) 程 撥 號 訪 問 協(xié) 議 和 技 術(shù) ， 例 如 ：RADIUS/TACACS/TACACS+/Diameter 等 。 ?? 大綱 ? SA：互聯(lián)網(wǎng)技術(shù)和服務(wù) ? 理解 TCP/IP 協(xié)議族中的相關(guān)基礎(chǔ)協(xié)議， 包括：SLIP/PPP/CHAP/PAP 協(xié)議， ARP/RARP 協(xié)議， IP 協(xié)議，TCP/UDP協(xié)議； ? 理解各種網(wǎng)絡(luò)設(shè)備分類及其特征，包括：復(fù)用器 /集線器 /交換機 /路由器 /網(wǎng)關(guān)等； ? 理解 IP 地址劃分和編址技術(shù)，理解 RIP/OSPF 等路由協(xié)議和技術(shù)； ? 理解 DNS/SNMP/Tel/SMTP/WWW 等互聯(lián)網(wǎng)重要協(xié)議的原理和應(yīng)用； ? 理解 SSL/S/MIME/SSL/SET/PEM 等重要的安全協(xié)議； ? 理解各種 VPN 技術(shù)，例如 PPTP、 MPLS 等 VPN 技術(shù)（ IPSec VPN技術(shù)在密碼系統(tǒng)及其應(yīng)用中詳細(xì)討論）。 大綱 ? SA：網(wǎng)絡(luò)安全設(shè)備：防火墻 /入侵檢測和入侵防御系統(tǒng)等 ? 理解各種網(wǎng)絡(luò)安全設(shè)備的概念和基本原理； ? 理解防火墻的分類、應(yīng)用和實踐。 網(wǎng)絡(luò)與通信安全基礎(chǔ) OSI模型和 TCP/IP協(xié)議簇 通信和網(wǎng)絡(luò)技術(shù) 互聯(lián)網(wǎng)技術(shù)與服務(wù) 主要網(wǎng)絡(luò)安全協(xié)議和機制 OSI模型和 TCP/IP協(xié)議簇 ? OSI模型 ，即 開放式通信系統(tǒng)互聯(lián)參考模型 (Open System Interconnection)，是國際標(biāo)準(zhǔn)化組織 (ISO)提出的一個試圖使各種計算機在世界范圍內(nèi)互連為網(wǎng)絡(luò)的標(biāo)準(zhǔn)框架，簡稱OSI。 ? OSI模型 層次劃分 ? OSI將計算機網(wǎng)絡(luò)體系結(jié)構(gòu) (architecture)劃分為以下七層： ? 7 應(yīng)用層： Application Layer ? 6 表示層： Presentation Layer ? 5 會話層： Session Layer ? 4 傳輸層： Transport Layer ? 3 網(wǎng)絡(luò)層： Network Layer ? 2 數(shù)據(jù)鏈路層： Data Link Layer ? 1 物理層： Physical Layer OSI模型和TCP/IP協(xié)議簇 OSI模型和 TCP/IP協(xié)議簇 ? 7 應(yīng)用層：老板 ? 6 表示層：相當(dāng)于公司中簡報老板、替老板寫信的助理 ? 5 會話層：相當(dāng)于公司中收寄信、寫信封與拆信封的秘書 ? 4 傳輸層：相當(dāng)于公司中跑郵局的送信職員 ? 3 網(wǎng)絡(luò)層：相當(dāng)于郵局中的排序工人 ? 2 數(shù)據(jù)鏈路層：相當(dāng)于郵局中的裝拆箱工人 ? 1 物理層：相當(dāng)于郵局中的搬運工人 OSI模型和 TCP/IP協(xié)議 ? OSI模型 歷史 ? 在制定計算機網(wǎng)絡(luò)標(biāo)準(zhǔn)方面，起著重大作用的兩大國際組織是：國際電報與電話咨詢委員會（ CCITT），與國際標(biāo)準(zhǔn)化組織 (ISO)，雖然它們工作領(lǐng)域不同，但隨著科學(xué)技術(shù)的發(fā)展，通信與信息處理之間的界限開始變得比較模糊，這也成了 CCITT和 ISO共同關(guān)心的領(lǐng)域。 1974年， ISO發(fā)布了著名的 ISO/IEC 7498標(biāo)準(zhǔn)，它定義了網(wǎng)絡(luò)互聯(lián)的 7層框架，也就是開放式系統(tǒng)互連參考模型。 ? OSI模型 影響 ? OSI是一個定義良好的協(xié)議規(guī)范集，并有許多可選部分完成類似的任務(wù)。 ? 它定義了開放系統(tǒng)的層次結(jié)構(gòu)、層次之間的相互關(guān)系以及各層所包括的可能的任務(wù)。是作為一個框架來協(xié)調(diào)和組織各層所提供的服務(wù)。 ? OSI參考模型并沒有提供一個可以實現(xiàn)的方法，而是描述了一些概念，用來協(xié)調(diào)進程間通信標(biāo)準(zhǔn)的制定。即 OSI參考模型并不是一個標(biāo)準(zhǔn)，而是一個在制定標(biāo)準(zhǔn)時所使用的概念性框架。 OSI模型和 TCP/IP協(xié)議 OSI模型和 TCP/IP協(xié)議 ? 物理層定義物理鏈路的電氣、機械、通信規(guī)程、功能要求等； ? 電壓，數(shù)據(jù)速率，最大傳輸距離，物理連接器； ? 線纜，物理介質(zhì)； ? 將比特流轉(zhuǎn)換成電壓； ? 物理層設(shè)備 ? Repeater, Hub, Multiplexers, NIC； ? 物理層協(xié)議 ? 100BaseT, OC3, OC12, DS1, DS3, E1, E3； OSI模型和 TCP/IP協(xié)議 ? 物理層考慮的是怎樣才能在連接各種計算機的傳輸媒體上傳輸數(shù)據(jù)的比特流，而不是指連接計算機的具體的物理設(shè)備或具體的傳輸媒體?，F(xiàn)有的計算機網(wǎng)絡(luò)中的物理設(shè)備和傳輸媒體的種類繁多，而通信手段也有許多不同方式。物理層的作用正是要盡可能地屏蔽掉這些差異，使物理層上面的數(shù)據(jù)鏈路層感覺不到這些差異，這樣可使數(shù)據(jù)鏈路層只需要考慮如何完成本層的協(xié)議和服務(wù)，而不必考慮網(wǎng)絡(luò)具體的傳輸媒體是什么。 ? 功能特性：主要定義各條物理線路的功能 規(guī)程特性：主要定義各條物理線路的工作規(guī)程和時序關(guān)系 OSI模型和 TCP/IP協(xié)議 ? 數(shù)據(jù)鏈路層 ? 物理尋址，網(wǎng)絡(luò)拓?fù)?，線路規(guī)章等； ? 錯誤檢測和通告（但不糾錯）； ? 將比特聚成幀進行傳輸； ? 流量控制（可選）； ? 數(shù)據(jù)鏈路層設(shè)備 ? 網(wǎng)橋和交換機； ? 數(shù)據(jù)鏈路層協(xié)議 ? PPP, HDLC, , Ether, Token Ring, FDDI, ISDN, ARP, RARP, L2TP, PPTP. OSI模型和 TCP/IP協(xié)議 ? 兩個子層 MAC（ Media Access Control）物理地址； ? 燒錄到網(wǎng)卡 ROM； ? 48比特； ? 唯一性； ? LLC（ Logical Link Control）為上層提供統(tǒng)一接口； ? 使上層獨立于下層物理介質(zhì)； ? 提供流控、排序等服務(wù)； OSI模型和 TCP/IP協(xié)議 ? 數(shù)據(jù)鏈路層是 OSI參考模型中的第二層，介乎于物理層和網(wǎng)絡(luò)層之間。數(shù)據(jù)鏈路層在物理層提供的服務(wù)的基礎(chǔ)上向網(wǎng)絡(luò)層提供服務(wù)，其最基本的服務(wù)是將源機網(wǎng)絡(luò)層來的數(shù)據(jù)可靠地傳輸?shù)较噜徆?jié)點的目標(biāo)機網(wǎng)絡(luò)層。 ? 為達(dá)到這一目的，數(shù)據(jù)鏈路必須具備一系列相應(yīng)的功能，主要有： ? 如何將數(shù)據(jù)組合成數(shù)據(jù)塊，在數(shù)據(jù)鏈路層中稱這種數(shù)據(jù)塊為幀（ frame），幀是數(shù)據(jù)鏈路層的傳送單位； ? 如何控制幀在物理信道上的傳輸，包括如何處理傳輸差錯，如何調(diào)節(jié)發(fā)送速率以使與接收方相匹配； ? 在兩個網(wǎng)絡(luò)實體之間提供數(shù)據(jù)鏈路通路的建立、維持和釋放的管理。 OSI模型和 TCP/IP協(xié)議 ? 網(wǎng)絡(luò)層 ? 邏輯尋址； ? 路徑選擇； ? 網(wǎng)絡(luò)問題管理（如擁塞）； ? MTU； ? 網(wǎng)絡(luò)層設(shè)備 ? 路由器，三層交換機； ? 網(wǎng)絡(luò)層協(xié)議 ? IP, IPX, RIP, OSPF, EIGRP, ISIS, ICMP； OSI模型和 TCP/IP協(xié)議 ? 網(wǎng)絡(luò)層是 OSI參考模型中的第三層，介于運輸層和數(shù)據(jù)鏈路層之間，它在數(shù)據(jù)鏈路層提供的兩個相鄰端點之間的數(shù)據(jù)幀的傳送功能上，進一步管理網(wǎng)絡(luò)中的數(shù)據(jù)通信，將數(shù)據(jù)設(shè)法從源端經(jīng)過若直干個中間節(jié)點傳送到目的端，從而向運輸層提供最基本的端到端的數(shù)據(jù)傳送服務(wù)。主要內(nèi)容有：虛電路分組交換和數(shù)據(jù)報分組交換、路由選擇算法、阻塞控制方法、 、綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)（ ISDN）、異步傳輸模式（ ATM）及網(wǎng)際互連原理與實現(xiàn)。 OSI模型和 TCP/IP協(xié)議 OSI模型和 TCP/IP協(xié)議 ? 傳輸層 ? 端到端數(shù)據(jù)傳輸服務(wù)； ? 建立邏輯連接； ? 傳輸層協(xié)議 ? TCP (Transmission Control Protocol)狀態(tài)協(xié)議； ? 按序傳輸； ? 糾錯和重傳機制； ? Socket； ? UDP (User Datagram Protocol)無狀態(tài)協(xié)議； ? SPX OSI模型和 TCP/IP協(xié)議 ? 傳輸層是 OSI中最重要 ,最關(guān)鍵的一層，是唯一負(fù)責(zé)總體的數(shù)據(jù)傳輸和數(shù)據(jù)控制的一層。傳輸層提供端到端的交換數(shù)據(jù)的機制，傳輸層對會話層等高三層提供可靠的傳輸服務(wù) ,對網(wǎng)絡(luò)層提供可靠的目的地站點信息。 ? 傳輸層功能的最終目的是為會話提供可靠的，無誤的數(shù)據(jù)傳輸 .傳輸層的服務(wù)一般要經(jīng)歷傳輸連接建立階段，數(shù)據(jù)傳送階段，傳輸連接釋放階段 3個階段才算完成一個完整的服務(wù)過程 .而在數(shù)據(jù)傳送階段又分為一般數(shù)據(jù)傳送和加速數(shù)據(jù)傳送兩種。傳輸層服務(wù)分成 5種類型 .基本可以滿足對傳送質(zhì)量 ,傳送速度 ,傳送費用的各種不同需要。 OSI模型和 TCP/IP協(xié)議 ? 會話層不同應(yīng)用的數(shù)據(jù)隔離； ? 會話建立，維持，終止； ? 同步服務(wù)； ? 名稱標(biāo)識和識別； ? 會話控制（單向或雙向）； ? 會話層協(xié)議 ? NFS, SQL, RPC； ? SSL/TLS， SSH； OSI模型和 TCP/IP協(xié)議 ? 會話層 (Session)提供的服務(wù)可使應(yīng)用建立和維持會話，并能使會話獲得同步。會話層使用校驗點可使通信會話在通信失效時從校驗點繼續(xù)恢復(fù)通信。這種能力對于傳送大的文件極為重要。 OSI模型和 TCP/IP協(xié)議 ? 表示層數(shù)據(jù)格式表示； ? 協(xié)議轉(zhuǎn)換； ? 字符轉(zhuǎn)換； ? 數(shù)據(jù)加密 /解密； ? 數(shù)據(jù)壓縮等； ? 表示層數(shù)據(jù)格式 ? ASCII, MPEG, TIFF,GIF, JPEG； OSI模型和 TCP/IP協(xié)議 ? 表示層的作用之一是為異種機通信提供一種公共語言，以便能進行互操作。這種類型的服務(wù)之所以需要，是因為不同的計算機體系結(jié)構(gòu)使用的數(shù)據(jù)表示法不同。例如， IBM主機使用EBCDIC編碼，而大部分 PC機使用的是 ASCII碼。在這種情況下，便需要會話層來完成這種轉(zhuǎn)換。 OSI模型和 TCP/IP協(xié)議 OSI模型和 TCP/IP協(xié)議 ? 應(yīng)用層應(yīng)用接口； ? 網(wǎng)絡(luò)訪問流處理； ? 流控； ? 錯誤恢復(fù)； ? 應(yīng)用層協(xié)議 ? FTP, Tel, HTTP, SNMP, SMTP, DNS； OSI模型和 TCP/IP協(xié)議 ? 應(yīng)用層也稱為應(yīng)用實體（ AE），它由若干個特定應(yīng)用服務(wù)元素（ SASE）和一個或多個公用應(yīng)用服務(wù)元素（ CASE）組成。每個 SASE提供特定的應(yīng)用服務(wù)，例如文件運輸訪問和管理（ FTAM）、電子文電處理（ MHS）、虛擬終端協(xié)議（ VAP）等。 ? CASE提供一組公用的應(yīng)用服務(wù)，例如聯(lián)系控制服務(wù)元素（ ACSE）、可靠運輸服務(wù)元素（ RTSE）和遠(yuǎn)程操作服務(wù)元素（ ROSE）等。 OSI模型和 TCP/IP協(xié)議 物理層 提供傳輸介質(zhì)；將數(shù)據(jù)轉(zhuǎn)換為與傳輸介質(zhì)相應(yīng)的傳輸信號；在傳輸介質(zhì)中發(fā)送信號；包括網(wǎng)絡(luò)的物理布局；監(jiān)視傳輸錯誤；確定數(shù)據(jù)信號傳輸?shù)碾妷杭壊⑼絺鬏敚淮_定信號類型是數(shù)字信號還是模擬信號 。 數(shù)據(jù)鏈路層 使用網(wǎng)絡(luò)適當(dāng)?shù)母袷綐?gòu)造數(shù)據(jù)幀；創(chuàng)建 CRC信息 ， 使用 CRC信息檢查錯誤 ， 如果出現(xiàn)錯誤就重新傳輸數(shù)據(jù)；初始化通信鏈接 ， 并且為了結(jié)點到結(jié)點的可靠性 ， 要保證鏈接不被中斷；檢驗設(shè)備地址；確認(rèn)接收到了幀 。 網(wǎng)絡(luò)層 確定路由包的網(wǎng)絡(luò)路徑；幫助減少網(wǎng)絡(luò)阻塞；建立虛擬電路；將幀路由到 其他網(wǎng)絡(luò) ， 在需要時對包的傳輸進行重新排序；在協(xié)議間轉(zhuǎn)換 。 傳輸層 確保結(jié)點與結(jié)點間包傳輸?shù)目煽啃?；確保數(shù)據(jù)發(fā)送和接收時順序相同；當(dāng)包接收到后 ， 給出確認(rèn)信息；監(jiān)控包傳輸錯誤 ， 再發(fā)壞了的包；將大的數(shù)據(jù)單元分割成小的單元 ， 對于采用不同協(xié)議的網(wǎng)絡(luò) ， 要在接收端重構(gòu)這些單元 。 會話層 初始化通信鏈接；確保通信鏈接受到維護；確定在各個點上 ， 要哪個結(jié)點及時傳輸數(shù)據(jù)；通信會話結(jié)束后 ， 斷開連接；轉(zhuǎn)換結(jié)點地址 。 表示層 將數(shù)據(jù)轉(zhuǎn)換為接收結(jié)點理解的格式；執(zhí)行數(shù)據(jù)加密；執(zhí)行數(shù)據(jù)壓縮 。 應(yīng)用層 使得可以共享遠(yuǎn)程驅(qū)動器；使得可以共享遠(yuǎn)程打印機；處理電子郵件消息；提供文件傳輸服務(wù)；提供文件管理服務(wù)；提供終端仿真服務(wù) 。 OSI模型和 TCP/IP協(xié)議 ? 認(rèn)證； ? 訪問控制； ? 數(shù)據(jù)機密性； ? 數(shù)據(jù)完整性； ? 抗抵賴； OSI模型和 TCP/IP協(xié)議 ? 加密； ? 數(shù)字簽名； ? 訪問控制； ? 數(shù)據(jù)完整性； ? 認(rèn)證； ? 流量填充； ? 路由控制； ? 公證（ notarization）； OSI模型和 TCP/IP協(xié)議 OSI模型和 TCP/IP協(xié)議 OSI模型和 TCP/IP協(xié)議 ? IP地址 ? A類 :1126； ? B類 :128191； ? C類 :192223； ? D類 :224239； ? E類 :240254； ? RFC1918； 通信和網(wǎng)絡(luò)技術(shù) ? 局域網(wǎng)（ LAN） ? 特點高數(shù)據(jù)傳輸率； ? 短距離； ? 低誤碼率； ? 線纜 ? 光纖（ Fiber Optic） ? 非屏蔽雙絞線（ Unshielded Twisted