計算機網路體系結構

計算機網路體系結構如下圖所示：

資料鏈路層

1）鏈路是從一個結點到相鄰結點的一段物理線路，資料鏈路則是在鏈路的基礎上增加了一些必要的硬體（如網路介面卡）和軟體（如協議的實現）。一般的介面卡都包括了資料鏈路層和物理層這兩層的功能。

2）資料鏈路層使用的通道主要是點對點通道和廣播通道兩種。

3）資料鏈路層傳送的協議資料單元是幀，資料鏈路層的三個基本問題是：封裝成幀、透明傳輸、差錯檢測。

4）迴圈冗餘檢驗CRC是一種檢錯方法，而幀檢驗序列FCS是新增在資料後面的冗餘碼。

5）點對點協議PPP是資料鏈路層使用最多的一種協議，就是使用者計算機和ISP進行通訊時所使用的資料鏈路層協議，其特點是：簡單；只檢測差錯而不糾正；不使用序號也不進行流量控制；可同時支援多種網路層協議。

6）PPP協議有三個組成部分：1一個將IP資料報封裝到序列鏈路的方法；2一個用來建立、配置、測試資料鏈路連線的鏈路控制協議LCP；3一套網路控制協議NCP。

7）PPPoE是為寬頻上網的主機使用的鏈路層協議。

8）PPP協議用在SONET/SDH鏈路時，使用同步傳輸（一連串的位元連續傳送）而不是非同步傳輸（逐個字元第傳送），在這種情況下，PPP協議採用零位元填充方法來實現透明傳輸。

9）PPP協議的工作狀態如圖所示：

鑑別協議：口令鑑別協議PAP，口令握手鑑別協議CHAP

NCP協議：支援IP的協議IP控制協議IPCP

10）共享通訊媒體資源的方法：1靜態劃分通道（各種複用技術），2動態媒體接入，又稱為多點接入（隨機接入或受控接入）。

11）乙太網採用的協調協議：CSMA/CD，載波監聽多點接入/碰撞檢測

• 多點接入——匯流排型網路
• 載波監聽——檢測通道
• 碰撞檢測——邊傳送邊監聽

12）計算機與外界區域網的通訊要通過通訊介面卡（或網路介面卡），又稱網路介面卡或網絡卡。計算機的硬體地址就在介面卡的ROM中。硬體地址又稱實體地址或MAC地址，IEEE 802標準為區域網規定了一種48位的全球地址，是指區域網上的每一臺計算機中固化在介面卡的ROM中的地址。MAC地址實際上就是介面卡地址或介面卡識別符號。

13）乙太網採用無連線的工作方式，對傳送的資料幀不進行編號，也不要求對方發回確認。目的站收到有差錯幀就把它丟棄，其他什麼也不錯。

14）使用集線器可以在物理層擴充套件乙太網（擴充套件後的乙太網仍然是一個網路）。

15）交換式集線器常稱為乙太網交換機或第二層交換機，在資料鏈路層擴充套件乙太網。它是一個多介面的網橋，每個介面都直接與某臺單主機或另外一個集線器相連，且工作在全雙工方式。乙太網交換機能同時連通許多對的介面，使每一對相互通訊的主機都能像獨佔通訊媒體那樣，無碰撞地傳輸資料。

網路層

1）TCP/IP體系中的網路層向上只提供簡單靈活的、無連線的、盡最大努力交付的資料報服務。網路層不提供服務質量的承諾，不保證分組交付的時限，所傳送的分組可能出錯、丟失、重複和失序。程序之間通訊的可靠性由運輸層負責。

2）網際協議IP是TCP/IP體系中兩個最主要的協議之一，也是最重要的網際網路標準協議之一。網際協議IP又稱Kahn-Cerf協議。這裡的IP其實是IPv4。與IP協議配套使用的還有三個協議：

• 地址解析協議ARP（Address Resolution Protocol）
• 網際控制報文協議ICMP（Internet Control Message Protocol）
• 網際組管理協議IGMP（Internet Group Management Protocol）
• 逆地址解析協議RARP（與ARP協議配合使用，現已被淘汰）

3）由於網際協議IP是用來使互連起來的許多計算機網路能夠進行通訊的，因此TCP/IP體系中的網路層常常被稱為網際層，或IP層。

4）將網路互相連線起來需要使用一些中間裝置：

• 物理層使用的中間裝置叫做轉發器
• 資料鏈路層使用的中間裝置叫做網橋或橋接器
• 網路層使用的中間裝置叫做路由器
• 網路層以上使用的中間裝置叫做閘道器，用閘道器連線兩個不相容的系統需要在高層進行協議的轉換。

5）IP網是虛擬的，因為從網路層上來看，IP網就是一個統一的、抽象的網路（實際上是異構的）。IP層抽象的網際網路遮蔽了下層網路很複雜的細節，使我們能夠使用同一的、抽象的IP地址處理主機之間的通訊問題。

6）網際網路可以由多種異構網路互連組成。

7）IP地址就是給網際網路上的每一臺主機（或路由器）的每一個介面分配一個在全世界範圍內是唯一的32位的識別符號。IP地址現在由網際網路名字和數字分配機構ICANN進行分配。

8）分類的IP地址由兩個固定長度的欄位組成，第一個欄位是網路號，第二個欄位是主機號。IP地址在整個網際網路範圍內是唯一的。

9）A類、B類和C類地址的網路號欄位分別為1個、2個和3個位元組長，主機號欄位分別為3個、2個和1個位元組長。

10）IP地址是一種分等級的地址結構。IP地址管理機構在分配地址時只分配網路號，而主機號則由得到該網路號的單位自行分配。路由器僅根據目的主機所連線的網路號來轉發分組。

11）實體地址是資料鏈路層和物理層使用的地址，而IP地址是網路層和以上各層使用的地址，是一種邏輯地址（IP地址是用軟體實現的）。在資料鏈路層看不見資料報的IP地址。

12）在IP層抽象的網際網路上只能看到IP資料報；路由器只根據目的站的IP地址的網路號進行路由選擇；在區域網的鏈路層，只能看見MAC幀，IP資料報被封裝在MAC幀中；只要我們在網路層上討論問題，就能夠使用統一的、抽象的IP地址研究主機和主機或路由器之間的通訊。

13）ARP把IP地址解析為硬體地址，它解決同一個區域網上的主機或路由器的IP地址和硬體地址的對映問題。每一臺主機都設有一個ARP快取記憶體，可以大大減少網路上的通訊量。

14）IP首部中的生存時間欄位給出了IP資料報在網際網路中所能經過的最大路由器數，可防止IP資料報在網際網路中無限制地兜圈子。

15）協議欄位指出此資料報攜帶的資料是使用何種協議，以便使目的主機的IP層知道應將資料部分上交給哪個協議進行處理。常用的一些協議：ICMP、IGMP、IP、TCP、EGP、IGP、UDP、IPv6、ESP、OSPF。

16）劃分子網的方法是從網路的主機號借用若干位作為子網號，主機號相應減少相同的位數。兩級IP地址在本單位內部就程式設計三級IP地址：網路號、子網號、主機號。

17）使用子網掩碼的好處：無論網路有沒有劃分子網，只要把子網掩碼和IP地址進行諸位的“與”運算，就立即得出網路地址來。這樣在路由器處理到來的分組時就可以採用同樣的演算法。

18）使用子網劃分後，路由表必須包含以下三項內容：目的網路地址、子網掩碼、下一跳地址。

19）無分類域間路由選擇CIDR消除了傳統的A類、B類和C類地址以及劃分子網的概念，能更加有效地分配IPv4的地址空間。CIDR把32位的IP地址劃分為前後兩個部分。前面部分是“網路字首”，用來知名網路，後面部分用來指明主機。CIDR還使用“斜線記法”，或稱CIDR記法，即在IP地址後面加上斜線“/”，然後寫上網路字首所佔的位數。CIDR把字首都相同的連續的IP地址組成一個“CIDR地址塊”，IP地址的分配都以CIDR地址塊為單位。

20）CIDR使用32位的地址掩碼（子網掩碼），由一串1和一串0組成，而1的個數就是字首的長度。只要把IP地址和地址掩碼逐位進行邏輯與運算，就很容易得出網路地址。

21）路由聚合（把許多字首相同的地址用一個來代替，又稱構成超網）有利於減少路由表中的專案，減少路由器之間的路由選擇資訊的交換，從而提高了整個網際網路的效能。

22）網路字首越短，其地址塊所包含的地址數就越多。查詢路由表時，應當從匹配結果中選擇具有最長網路字首的路由。最長字首匹配又稱為最長匹配或最佳匹配。

23）為了進行更加有效的查詢，通常把無分類編址的路由表存放在一種層次的資料結構中，然後自上而下地按層次進行查詢。最常用的是二叉線索。

24）“轉發”是單個路由器的動作，“路由選擇”是許多路由器共同協作的過程，這些路由器相互交換資訊，目的是生成路由表，再從路由表匯出轉發表。

25）網際控制報文協議ICMP是IP層的協議。ICMP報文作為IP資料報的資料，加上首部後組成IP資料報傳送出去。使用ICMP並非為了實現可靠傳輸。ICMP允許主機或路由器報告差錯情況和提供有關異常情況的報告。ICMP報文有兩種：ICMP差錯報告報文、ICMP詢問報文。

26）ICMP差錯報告報文有：終點不可達、時間超過、引數問題、改變路由（重定向）；ICMP詢問報文常用的有：回送請求和回答、時間戳請求和回答。

27）ICMP一個重要應用就是分組網間探測PING，用來測試兩臺主機之間的連通性。PING使用了ICMP回送請求與回送回答報文。PING是應用層直接使用網路層ICMP的一個例子，它沒有通過運輸層的TCP或UDP。

28）自治系統（AS）就是在單一的技術管理下的一組路由器。一個自治系統對其他自治系統表現出的是一個單一的和一致的路由選擇策略。自治系統之間的路由選擇也叫做域間路由選擇，自治系統內部的路由選擇叫做域內路由選擇。

29）在目前的網際網路中，一個大的ISP就是一個自治系統。因此，網際網路把路由選擇協議分為兩大類：內部閘道器協議IGP（或自治系統內部的路由選擇協議，目前這類路由選擇協議用得最多），如RIP和OSPF；外部閘道器協議EGP（或自治系統之間的路由選擇協議），如BGP-4（BGP是用來取代EGP的）。

30）RIP是分散式的基於距離向量的路由選擇協議，只適用於小型網際網路。RIP按固定的時間間隔與相鄰路由器交換資訊。交換的資訊是自己當前的路由表，即到達本自治系統中所有網路的（最短）距離，以及到每個網路應經過的下一跳路由器。RIP好訊息傳播得快，壞訊息傳播得慢。實現簡單，開銷較小。

31）開放最短路徑優先OSPF使用分散式的鏈路狀態協議，適用於大型網際網路。OSPF只在鏈路狀態發生變化時，才向本自治系統中的所有路由器，用洪泛法傳送與本路由器相鄰的所有路由器的鏈路狀態資訊。“鏈路狀態”指明本路由器都和哪些路由器相鄰，以及該鏈路的“度量”。“度量”可表示費用、距離、時延、頻寬等，可統稱為“代價”。所有的路由器最終都能建立一個全網的拓撲結構圖（鏈路狀態資料庫）。OSPF的更新過程收斂得快是其重要優點。OSPF不用UDP而是直接用IP資料報傳送，其構成的資料報很短。

32）邊界閘道器協議BGP-4是不同AS的路由器之間交換路由資訊的協議，是一種路徑向量路由選擇協議。BGP力求尋求一條能夠到達目的網路（可達）且比較好的路由（不兜圈子），而並非要尋找一條最佳路由。

33）路由器的轉發分組是網路層的主要工作。整個路由器結構可劃分為兩大部分：路由選擇部分和分組轉發部分。

34）IPv6所帶來的主要變化是：1更大的地址空間（採用128位的地址）；2擴充套件的地址層次結構；3靈活的首部格式；4改進的選項；5允許協議繼續擴充；6支援即插即用（因此IPv6不需要DHCP）；7支援資源的預分配；8 IPv6首部改為8位元組對齊。

35）IPv6資料報在基本首部的後面允許有零個或多個擴充套件首部，再後面是資料。所有的擴充套件首部和資料合起來叫做資料報的有效載荷或淨負荷。

36）IPv6資料報的目的地址可以是：單播、多播和任播。

37）IPv6的地址使用冒號十六進位制記法。冒號十六進位制記法允許零壓縮，可結合使用點分十進位制記法的字尾。

38）向IPv6過渡只能採用逐步演進的辦法，必須使新安裝的IPv6系統能夠向後相容。向IPv6過渡可以使用雙協議棧或隧道技術。

39）IPv6也不保證資料報的可靠交付，因此IPv6也需要使用ICMP來反饋一些差錯資訊。ICMPv6中合併了地址解析協議ARP和網際組管理協議IGMP的功能。

40）與單播相比，在一對多的通訊中，IP多播可大大節約網路資源。IP多播使用D類IP地址（地址範圍是224.0.0.0到239.255.255.255）作為多播組的識別符號。IP多播需要使用網際組管理協議IGMP和多播路由選擇協議。

41）IGMP協議是讓連線在本地區域網上的多播路由器知道本區域網上是否有主機（嚴格講，是主機上的某個程序）參加或退出了某個多播組。連線在區域網上的多播路由器還必須和網際網路上的其他多播路由器協同工作，以便把多播資料報用最小代價傳送給所有的組成員，這就需要使用多播路由選擇協議（建議使用的多播路由選擇協議：DVMRP，CBT，MOSPF，PIM-SM，PIM-DM）。

42）虛擬專用網VPN利用公用的網際網路作為本機構各專用網之間的通訊載體。VPN內部使用網際網路的專用地址。一個VPN至少要有一個路由器具有合法的全球IP地址，這樣才能和本系統的另一個VPN通過網際網路進行通訊。所有通過網際網路傳送的資料都必須加密。

43）使用網路地址轉換NAT技術，可以在專用網路內部使用專用IP地址，而僅在連線到網際網路的路由器使用全球IP地址，這樣就大大節約了寶貴的IP地址。為了更加有效地利用NAT路由器上的全球IP地址，現在常用的NAT轉換表把運輸層的埠號也利用上。使用埠號的NAT也叫做網路地址與埠號轉換NAPT，而不使用埠號的NAT就叫做傳統的NAT。

44）多協議標記交換MPLS利用面向連線技術，使每個分組攜帶一個叫作標記的小整數。當分組到達交換機時，交換機讀取分組的標記，並用標記值來檢索分組轉發表。這樣就比查詢路由表來轉發分組要快得多。MPLS的特點是：1支援面向連線的服務質量；2支援流量工程，平衡網路負載；3有效地支援虛擬專用網VPN。

45）MPLS在入口結點給每一個IP資料報打上固定長度的“標記”，然後根據標記在第二層（鏈路層）用硬體進行轉發（在標記交換路由器中進行標記對換），因而轉發速率大大加快。

運輸層

1）運輸層提供應用程序間的邏輯通訊，也就是說，運輸層之間的通訊並不是真正在兩個運輸層之間直接傳送資料。運輸層向高層使用者遮蔽了下面網路的細節（如網路拓撲、所採用的路由選擇協議等），它使應用程序看見的就是好像在兩個運輸層實體之間有一條端到端的邏輯通訊通道。

2）網路層為主機之間提供邏輯通訊，而運輸層為應用程序之間提供端到端的邏輯通訊。

3）運輸層有兩個主要的協議：傳輸控制協議TCP和使用者資料報協議UDP。它們都有複用和分用，以及檢錯的功能。當運輸層採用面向連線的TCP協議時，儘管下面的網路是不可靠的（只提供盡最大努力服務），但這種邏輯通訊通道就相當於一條全雙工通訊的可靠通道。當運輸層採用無連線的UDP協議時，這種邏輯通訊通道仍然是一條不可靠通道。

4）一些應用和應用層協議主要使用的運輸層協議如下圖所示：

5）應用層所有的應用程序都可以通過運輸層再傳送到IP層（網路層），這就是複用；運輸層從IP層收到傳送給各個應用程序的資料後，必須分別交付指明的各應用程序，這就是分用。

6）TCP/IP的運輸層用一個16位埠號來標誌一個埠。埠號只具有本地意義，它只是為了標誌本計算機應用層中的各個程序在和運輸層互動時的層間介面。在網際網路的不同計算機中，相同的埠號是沒有關聯的。

7）兩臺計算機中的程序要互相通訊，不僅要知道對方的IP地址（為了找到對方的計算機），還要知道對方的埠號（為了找到對方計算機中的應用程序）。

8）運輸層的埠號分為伺服器端使用的埠號（0~1023指派給熟知埠，1024~49151是登記埠號）和客戶端暫時使用的埠號（49151~65535）。常用埠號有：FTP控制 20，FTP資料 21，SSH 22，TELNET 23，SMTP 25，TFTP 69， HTTP 80，SNMP 161，SNMAP(trap) 162，HTTPS 443。

9）UDP的主要特點是：無連線；盡最大努力交付；面向報文；沒有擁塞控制；支援一對一、一對多、多對一、多對多的互動通訊；首部開銷小。

10）TCP的主要特點是：面向連線；每一條TCP連線只能是點對點的；提供可靠交付的服務；提供全雙工通訊；面向位元組流。

11）TCP連線的端點叫做套接字（socket）或插口。埠號拼接到IP地址即構成了套接字，因此套接字的表示方法是在點分十進位制的IP地址後面寫上埠號，中間用冒號或逗號隔開。socket = (IP地址：埠號)。每一條TCP連線唯一地被通訊兩端的兩個端點（即兩個套接字）所確定。

12）可靠傳輸協議

• 停止等待協議：每傳送完一個分組就停止傳送，等待對方確認。在收到確認後再發送下一個分組。分組需要進行編號。
  • 超時重傳是指只要超過了一段時間仍然沒有收到確認，就重傳前面傳送過的分組（認為剛才傳送的分組丟失了）。因此每傳送完一個分組需要設定一個超時計時器，其重傳時間應比資料在分組傳輸的平均往返時間更長一些。這種自動重傳方式常稱為自動重傳請求ARQ。
  • 若接收方收到重複分組，就丟棄該分組，但同時還要傳送確認。
• 連續ARQ協議可提高通道利用率。傳送方維持一個傳送視窗，凡位於傳送視窗內的分組都可連續傳送出去，而不需要等待對方的確認。接收方一般採用累積確認，對按序到達的最後一個分組傳送確認，表明到這個分組為止的所有分組都已正確收到了。

13）TCP報文段首部的前20個位元組是固定的，後面有4N位元組是根據需要而增加的選項（N是整數）。在一個TCP連線中傳送的位元組流中的每一個位元組都按順序編號。首部中的序號欄位值則指的是本報文段所傳送的資料的第一個位元組的序號。

14）TCP首部中的確認號是期望收到對方下一個報文段的第一個資料位元組的序號。若確認號為N，則表明到序號N-1為止的所有資料都已正確收到。

15）TCP首部中的視窗欄位指出了現在允許對方傳送的資料量。視窗值是經常在動態變化著的。

16）TCP使用滑動視窗機制。傳送窗口裡面的序號表示允許傳送的序號。傳送視窗後沿的後面部分表示已傳送且已收到了確認，而傳送視窗前沿的前面部分表示不允許傳送。傳送視窗後沿的變化情況有兩種可能：不動（沒有收到新的確認）和前移（收到了新的確認）。傳送視窗前沿通常是不斷向前移動的。

17）流量控制就是讓傳送方的傳送速率不要太快，要讓接收方來得及接收。流量控制是一個端到端的問題，是接收端抑制傳送端傳送資料的速率，以便使接收端來得及接受。

18）在某段時間，若網路中某一資源的需求超過了該資源所能提供的可用部分，網路的效能就要變壞。這種情況就叫做擁塞。擁塞控制就是防止過多的資料注入到網路中，這樣可以使網路中的路由器或鏈路不致過載。擁塞控制是一個全域性性的過程，涉及到所有的主機、所有的路由器，以及與降低網路傳輸效能有關的所有因素。

19）在基於視窗的擁塞控制中， TCP的傳送方要維持一個擁塞視窗cwnd的狀態變數。擁塞視窗的大小取決於網路的擁塞程度，並且動態地在變化。傳送方讓自己的傳送視窗取為擁塞視窗和接收方的接收視窗中較小的一個。

20）TCP的擁塞控制採用了四種演算法：慢開始、擁塞避免、快重傳、快恢復。在網路層，也可以使路由器採用適當的分組丟棄策略（如主動佇列管理AQM），以減少網路擁塞的發生。

21）運輸連線有三個階段：連線建立、資料傳送、連線釋放。

22）主動發起TCP連線建立的應用程序叫客戶，而被動等待連線建立的應用程序叫伺服器。TCP的連線建立採用三報文握手機制。伺服器要確認客戶的連線請求，然後客戶要對伺服器的確認進行確認。

23）TCP的連線釋放採用四報文握手機制。任何一方都可以在資料傳送結束後發出連線釋放的通知，待對方確認後就進入半關閉狀態。當另一方也沒有資料再發送時，則傳送連線釋放通知，對方確認後就完全關閉了TCP連線。

應用層

1）應用層協議是為了解決某一類應用問題，而問題的解決又必須通過位於不同主機的多個應用程序之間的通訊和協同工作來完成。應用層規定了應用程序在通訊時所遵循的協議。應用層的許多協議都是基於客戶伺服器方式的。客戶和伺服器都是指通訊中所涉及的兩個應用程序。客戶是服務請求方，伺服器是服務提供方。

2）域名系統DNS是網際網路使用的命名系統，用來把便於人們使用的機器名字轉換為IP地址。DNS是一個聯機分散式資料庫系統，並採用客戶伺服器方式。DNS使大多數名字都在本地進行解析，僅少量解析需要在網際網路上通訊，因此DNS系統的效率很高。

3）域名到IP地址的解析是由分佈在網際網路上的許多域名伺服器程式（即域名伺服器）共同完成的。

4）當某一個應用程序需要把主機名解析為IP地址時，該應用程序就呼叫解析程式，併成為DNS的一個客戶，把待解析的域名放在DNS請求報文中，以UDP使用者資料報方式發給本地域名伺服器（使用UDP是為了減少開銷）。本地域名伺服器在查詢域名後，把對應的IP地址放在回答報文中返回。應用程序獲得目的主機的IP地址後即可進行通訊。

5）網際網路採用層次樹狀結構的命名方法，任何一臺連線在網際網路上的主機或路由器，都有一個唯一的層次結構的名字，即域名。域名中的點跟點分十進位制IP地址中的點沒有關係。級別最低的域名寫在最左邊，級別最高的頂級域名則寫在最右邊。由多個符號組成的完整域名總共不超過255個字元。各級域名由其上一級的域名管理機構管理，而最高的頂級域名則由ICANN進行管理。

6）域名只是個邏輯概念，並不代表計算機所在的物理地點。原先的頂級域名分為：國家頂級域名、通用頂級域名、基礎結構域名。

7）域名伺服器分為根域名伺服器（最高層次的域名伺服器，也是最重要的域名伺服器，採用任播技術）、頂級域名伺服器（TLD伺服器，負責管理在該頂級域名伺服器註冊的所有二級域名）、許可權域名伺服器（一個伺服器所負責管轄的範圍叫做區，每個區設定相應的許可權域名伺服器，用來儲存該區中的所有主機的域名到IP地址的對映）、本地域名伺服器（也稱預設域名伺服器，當一臺主機發出DNS查詢請求時，這個查詢請求報文就傳送給本地域名伺服器）。

8）主機向本地域名伺服器的查詢一般採用遞迴查詢；本地域名伺服器向根域名伺服器的查詢通常是採用迭代查詢。為了提高DNS查詢效率，並減輕根域名伺服器的負荷和減少網際網路上的DNS查詢報文數量，在域名伺服器中廣泛地使用了快取記憶體。快取記憶體用來存放最近查詢過的域名以及從何處獲得域名對映資訊的記錄。

9）檔案傳送協議FTP使用TCP可靠的運輸服務。FTP使用客戶伺服器方式。一個FTP伺服器程序可同時為多個客戶程序提供服務。在進行檔案傳輸時，FTP的客戶和伺服器之間要建立兩個並行的TCP連線：控制連線和資料連線。實際用於傳輸檔案的是資料連線。FTP有兩個埠，21是控制埠，20是資料埠。

10）網路檔案系統NFS允許應用程序開啟一個遠地檔案，並能在該檔案的某一個特定的位置上開始讀寫資料。

11）簡單檔案傳送協議TFTP也使用客戶伺服器方式，但它使用UDP資料報，可用於UDP環境，並且程式碼所佔記憶體較小。TFTP只支援檔案傳輸而不支援互動。FTP、TFTP、NFS都屬於檔案共享協議的一類。

12）使用者用遠端終端協議TELNET可以在其所在地通過TCP連線註冊（即登陸）到遠地的另一臺主機上（使用主機名或IP地址），這種服務是透明的，因此TELNET又稱終端模擬協議。TELNET也使用客戶伺服器方式。TELNET定義了資料和命令應怎樣通過網際網路，這些定義就是所謂的網路虛擬終端NVT。

13）全球資訊網WWW是一個大規模的、聯機式的資訊儲藏所，可以非常方便地從網際網路上的一個站點連結到另一個站點。全球資訊網是一個分散式的超媒體系統，它是超文本系統的擴充。超文字是指包含指向其他文件的連結的文字。

14）全球資訊網以客戶伺服器方式工作。客戶程式向網際網路中的伺服器程式發出請求，伺服器程式向客戶程式送回客戶所要的全球資訊網文件。在客戶程式主視窗上顯示出的全球資訊網文件稱為頁面。

15）全球資訊網使用統一資源定位符URL來標誌全球資訊網上的各種文件，並使每一個文件在整個網際網路的範圍內具有唯一的識別符號URL。URL的一般形式為：<協議>://<主機>:<埠>/<路徑>。現在最常用的協議就是http，其次是ftp。

16）全球資訊網客戶程式與伺服器程式之間進行互動所使用的協議是超文字傳送協議HTTP。HTTP是面向事務的應用層協議，它是全球資訊網上能夠可靠地交換檔案的重要基礎，它使用面向連線的TCP作為運輸層協議，保證了資料的可靠傳輸。但HTTP協議本身是無連線、無狀態的。HTTP/1.1協議使用了連續連線（分為非流水線方式和流水線方式）。

17）代理伺服器是一種網路實體，它又稱為全球資訊網快取記憶體。代理伺服器把最近的一些請求和響應暫存在本地磁碟中。

18）HTTP有兩類報文：請求報文、響應報文。兩類報文都由三部分組成：開始行（請求報文中的開始行叫做請求行，響應報文中的開始行叫做狀態行）、首部行（用來說明瀏覽器、伺服器或報文主體的一些資訊）、實體主體（請求報文一般不用此欄位，響應報文中也可能沒有）。

19）全球資訊網站點可以使用Cookie來跟蹤使用者。Cookie表示在HTTP伺服器和客戶之間傳遞的狀態資訊。

20）全球資訊網使用超文字標記語言HTML來顯示各種全球資訊網頁面。HTML並不是應用層的協議。

21）可擴充套件標記語言XML的設計宗旨是傳輸資料，而不是顯示資料，它將使用者介面與結構化資料分隔開來，是對HTML的補充。可擴充套件超文字標記語言XHTML是作為一種XML應用被重新定義的HTML，將逐漸取代HTML。CSS是層疊樣式表，是一種樣式表語言，用於為HTML文件定義佈局，HTML用於結構化內容，而CSS用於格式化結構化的內容。

22）全球資訊網靜態文件是指在文件創作完畢後就存放在全球資訊網伺服器中，在被使用者瀏覽的過程中，內容不會改變。動態文件是指文件的內容是在瀏覽器訪問全球資訊網伺服器時才由應用程式動態建立的。

23）通用閘道器介面CGI是一種標準，它定義了動態文件應如何建立，輸入資料應如何提供給應用程式，以及輸出結果應如何使用。

24）活動文件技術可以使瀏覽器螢幕連續更新。活動文件程式可與使用者直接互動，並可連續地改變螢幕的顯示。

25）全球資訊網中用來進行搜尋的工具叫做搜尋引擎，大體可劃分為全文檢索搜尋引擎和分類目錄搜尋引擎。

26）一個電子郵件系統有三個主要組成構件：使用者代理、郵件伺服器、郵件協議（包括郵件傳送協議，如簡單郵件傳送協議SMTP和通用網際網路郵件擴充MIME，以及郵件讀取協議，如郵局協議POP3和網際報文存取協議IMAP）。使用者代理和郵件伺服器都要執行這些協議。

27）電子郵件的使用者代理就是使用者與電子郵件系統的介面，它向用戶提供一個很友好的視窗介面來發送和接收郵件。因此使用者代理又稱電子郵件客戶端軟體。

28）從使用者代理把郵件傳送到郵件伺服器，以及在郵件伺服器之間的傳送，都要使用SMTP協議。SMTP埠號是25。但使用者代理從郵件伺服器讀取郵件時，則要使用POP3（或IMAP）協議。這裡有兩種不同的通訊方式，一種是“推”：SMTP客戶把郵件“推”給SMTP伺服器；另一種是“拉”，POP3客戶把郵件從POP3伺服器“拉”過來。

29）基於全球資訊網的電子郵件使使用者能夠利用瀏覽器收發電子郵件。使用者瀏覽器和郵件伺服器之間的郵件傳送使用HTTP協議，而在郵件伺服器之間郵件的傳送仍然使用SMTP協議。

30）動態主機配置協議DHCP提供了一種機制，稱為即插即用連網，這種機制允許一臺計算機加入新的網路和獲取IP地址而不用手工參與。DHCP對執行客戶軟體和伺服器軟體的計算機都使用。DCHP使用客戶伺服器方式，需要IP地址的主機在啟動時就向DHCP伺服器廣播發送發現報文，DHCP伺服器的回答報文叫做提供報文，表示“提供”了IP地址等配置資訊。DHCP伺服器分配給DHCP客戶的IP地址是臨時的，只能在一段有限的時間內使用這個分配到的IP地址，這個時間稱為租用期。

31）簡單網路管理協議SNMP由三部分組成：1 SNMP本身，負責讀取和改變個代理中的物件名及其狀態數值；2管理資訊結構SMI，定義命名物件和定義物件型別（包括範圍和長度）的通用規則，以及把物件和物件的值進行編碼的基本編碼規則BER；3管理資訊庫MIB，在被管理的實體中建立了命名物件，並規定了其型別。

32）系統呼叫介面是應用程序的控制權和作業系統的控制權進行轉換的一個介面，又稱為應用程式設計介面API。API就是應用程式和作業系統之間的介面。

33）套接字是應用程序和運輸層協議之間的介面，是應用程序為了獲得網路通訊服務而與作業系統進行互動時使用的一種機制。

34）目前P2P工作方式下的檔案共享在網際網路流量中已佔據最大的份額，比全球資訊網應用所佔的比例大得多。

35）BT是很流行的一種P2P應用。BT採用“最稀有的優先”的技術，可以儘早把最稀有的檔案塊收集到。此外，凡有當前以最高資料率向某個對等方傳送檔案塊的相鄰對等方，該對等方就優先把所請求的檔案塊傳送給這些相鄰對等方。這樣做的結果是，這些對等方相互之間都能夠已令人滿意的速率交換檔案快。

36）當對等方的數量很大時，採用P2P方式下載大檔案，要比傳統的客戶伺服器方式快得多。

37）在P2P應用中，廣泛使用的索引和查詢技術是分散式散列表DHT。

38）各應用協議在層次中的位置如下圖所示：

網路安全

1）計算機網路的通訊面臨兩大類威脅，即被動攻擊和主動攻擊。被動攻擊是指攻擊者從網路上竊聽他人的通訊內容，通常把這類攻擊稱為截獲。主動攻擊的型別有篡改（更改報文流）、惡意程式（計算機病毒、蠕蟲、木馬、邏輯炸彈、後門入侵、流氓軟體）、拒絕服務DoS。

2）計算機網路安全主要有以下一些內容：保密性、安全協議的設計、訪問控制。

3）密碼編碼學是密碼體制的設計學，而密碼分析學則是在未知金鑰的情況下從密文推演出明文或金鑰的技術。密碼編碼學與密碼分析學合起來即密碼學。

4）如果不論擷取者獲得了多少密文，都無法唯一地確定出對應的明文，則這一密碼體制稱為無條件安全的（或是理論上不可破的）。在無任何限制的條件下，目前幾乎所有實用的密碼體制均是可破的。如果一個密碼體制中的密碼不能在一定時間內被可以使用的計算資源破譯，則這一密碼體制稱為在計算上是安全的。

5）對稱金鑰密碼體制是加密金鑰與解密金鑰相同的密碼體制（如資料加密標準DES、三重DES、高階加密標準AES）。這種加密的保密性僅取決於對金鑰的保密，而演算法是公開的。

6）公鑰密碼體制（又稱公開金鑰密碼體制）使用不同的加密金鑰與解密金鑰。加密金鑰PK（即公鑰）是向公眾開放的，而解密金鑰SK（即私鑰或祕鑰）則是需要保密的。加密演算法和解密演算法也都是公開的。

7）使用對稱金鑰時，通訊通道上可以進行一對一的雙向保密通訊；使用公開金鑰時，在通訊通道上可以是多對一的單向保密通訊。

8）目前最著名的公鑰密碼體制是RSA體制，它是基於數論中的大數分解問題的體制。

9）任何加密方法的安全性取決於祕鑰的長度，以及攻破密文所需的計算量，而不是簡單地取決於加密的體制（公鑰密碼體制或傳統加密體制）。

10）數字簽名必須能夠實現三點功能：1報文鑑別，即接收者能夠核實傳送者對報文的簽名；2報文的完整性，即接收者確信所收到的資料和傳送者傳送的完全一樣而沒有被篡改過；3不可否認，即傳送者時候不能抵賴對報文的簽名。

11）鑑別是要驗證通訊的對方的確是自己所要通訊的物件，而不是其他的冒充者，並且所傳送的報文是完整的，沒有被他人篡改過。鑑別與授權是不同的概念。授權涉及的問題是所進行的過程是否被允許（如是否可以對某檔案進行讀或寫）。鑑別可分為報文鑑別和實體鑑別（端點鑑別）。

12）密碼雜湊函式是一種相對簡單的報文鑑別方法，其中最出名的是MD5和SHA-1。MD是報文摘要的意思。MD5最終被安全雜湊演算法SHA的標準所取代。

13）使用報文鑑別碼MAC能夠很方便地保護報文的完整性。目前使用最廣泛的是HMAC，它可以和MD5或SHA-1一起使用。

14）為了對付重放攻擊，可以使用不重數。不重數就是一個不重複使用的大隨機數，即“一次一數”。在使用公鑰密碼體制時，可以對不重數進行簽名鑑別。

15）金鑰管理包括：金鑰的產生、分配、注入、驗證和使用。金鑰分配（或金鑰分發）是金鑰管理中最大的問題。金鑰必須通過最安全的通路進行分配。

16）對於對稱金鑰的分配，目前常用的金鑰分配方式是設立金鑰分配中心KDC。目前最出名的金鑰分配協議是Kerberos V5，它既是鑑別協議，又是KDC，使用AES進行加密。Kerberos使用兩個伺服器：鑑別伺服器AS和票據授予伺服器TGS。

17）對公鑰密碼體制，認證中心CA是一個值得信賴的機構，用來將公鑰與其對應的實體（人或及其）進行繫結。每個實體都有CA發來的證書，裡面有公鑰及其擁有者的標識資訊（人名或IP地址）。此證書被CA進行了數字簽名。任何使用者都可從可信的地方獲得認證中心CA的公鑰。

18）在網路層可使用IPsec協議族，IPsec包括鑑別首部協議AH和封裝安全有效載荷ESP。AH協議提供源點鑑別和資料完整性，但不能保密。而ESP協議提供源點鑑別、資料完整性和保密。IPsec支援IPv4和IPv6。在IPv6中，AH和ESP都是擴充套件首部的一部分。使用ESP或AH協議的IP資料報稱為IP安全資料報（或IPsec資料報）。IPsec資料報的工作方式有運輸方式和隧道方式。

19）運輸層的安全協議有SSL（安全套接字層）和TLS（運輸層安全）。SSL作用在端系統應用層的HTTP和運輸層之間，最新的版本是SSL 3.0，它是保護全球資訊網HTTP通訊量所公認的事實上的標準。SSL不僅被所有常用的瀏覽器和全球資訊網伺服器所支援，而且也是TLS的基礎。TLS為所有基於TCP的網路應用提供安全資料傳輸服務。

20）應用程式HTTP呼叫SSL對整個頁面進行加密時，網頁上會提示使用者，同時網址欄原來顯示http的地方變成https，表明現在使用的是提供安全服務的HTTP協議。這是在傳送方，SSL從SSL套接字接收應用層的資料（如HTTP或IMAP報文），對資料進行加密，然後把加密的資料送往TCP套接字；在接收方，SSL從TCP套接字讀取資料，解密後，通過SSL套接字把資料交給應用層。

21）PGP是應用層為電子郵件提供安全服務的協議。它是一個完整的電子郵件安全軟體包，包括加密、鑑別、電子簽名和壓縮等技術。PGP並沒有使用什麼新的概念，只是把現有的一些加密演算法（如RSA公鑰加密演算法或MD5報文摘要演算法）綜合在一起而已。

22）防火牆是一種特殊程式設計的路由器，安裝在一個網點和網路的其餘部分之間，目的是實施訪問控制策略。防火牆裡面的網路稱為“可信的網路”，外面的網路稱為“不可信的網路”。防火牆的功能有兩個：阻止（主要的）、允許。

23）防火牆技術一般分為兩類：分組過濾路由器、應用閘道器（也稱代理伺服器）。

24）防火牆技術分為：網路級防火牆，用來防止整個網路出現外來非法的入侵（屬於這類的有分組過濾和授權伺服器）；應用級防火牆，用來進行訪問控制（用應用閘道器或代理伺服器來區分各種應用）。

25）入侵檢測系統IDS是在入侵已經開始，但還沒有造成危害或在造成更大危害前及時檢測到入侵，以便儘快阻止入侵，把危害降低到最小。入侵檢測方法一般分為基於特徵的入侵檢測和基異常的入侵檢測