計算機網絡基礎知識總匯

一洽洁、什么是TCP/IP

網絡和協(xié)議

1.???? TCP/IP是一類協(xié)議系統(tǒng)团秽，它是一套支持網絡通信的協(xié)議集合疯趟。網絡是計算機或類似計算機的設備之間通過常用的傳輸介質進行通信的集合澎剥。

2.???? 網絡協(xié)議就是一套通用規(guī)則锡溯，用來幫助定義復雜數(shù)據傳輸?shù)倪^程。數(shù)據傳輸從一臺計算機上的應用程序開始哑姚，通過計算機網絡硬件祭饭，經過傳輸介質到正確目的地，然后上傳到目的地計算機網絡硬件蜻懦，最后到達負責接收的應用程序甜癞。

3.???? TCP/IP協(xié)議定義了網絡通信過程，更重要的是宛乃，定義了數(shù)據單元的格式和內容悠咱，以便接收計算機能夠正確解釋接收到的消息蒸辆。TCP/IP被稱為協(xié)議簇。

4.???? TCP/IP標準定義了TCP/IP網絡的通信規(guī)則析既；TCP/IP實現(xiàn)是一個軟件組件躬贡，計算機通過它參與到TCP/IP網絡中。

TCP/IP的特性

1.???? 邏輯編址：TCP/IP通過邏輯編址提供了子網化的能力眼坏。邏輯地址是一個同過網絡軟件來配置的地址拂玻。在TCP/IP中，計算機的邏輯地址稱為IP地址宰译。

2.???? 路由選擇：路由器是一種特殊的設備檐蚜，能夠讀取邏輯地址信息，并將數(shù)據通過網絡直接傳送到它的目的地沿侈。在局域網中闯第，數(shù)據傳輸?shù)搅硪慌_計算機或設備時，不用經過路由器缀拭，因此不會給大型網絡的傳輸線路帶來負擔咳短。如果數(shù)據要傳送到子網以外的計算機上，路由器將負責轉發(fā)數(shù)據蛛淋。

3.???? 名稱解析：域名到IP地址的映射稱為名稱解析咙好。域名服務器的專用計算機中存儲了用于顯示域名和IP地址轉換方式的表。

4.???? 錯誤控制和流量控制：TCP/IP協(xié)議簇提供了確保數(shù)據在網絡中可靠傳送的特性褐荷。這些特性包括檢查數(shù)據的傳輸錯誤（確保到達的數(shù)據與發(fā)送的數(shù)據一致）和確認成功接收到網絡信息勾效。

5.???? 應用支持：同一臺計算機可以運行多種網絡應用程序。協(xié)議軟件必須提供某些方法來判斷接收到的數(shù)據包屬于哪個應用程序诚卸。在TCP/IP中葵第，這個通過系統(tǒng)的邏輯通道實現(xiàn)從網絡到應用程序的接口被稱為端口。

二合溺、TCP/IP的工作方式

TCP/IP協(xié)議系統(tǒng)

1.???? TCP/IP協(xié)議系統(tǒng)必須要完成的任務： ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

2.???? TCP/IP模型的協(xié)議層：應用層-傳輸層-網際層-網絡訪問層（數(shù)據鏈路層-物理層）

3.???? 網絡訪問層：提供了與物理網絡連接的接口卒密。針對傳輸介質設置數(shù)據的格式，根據硬件的物理地址實現(xiàn)數(shù)據的尋址棠赛，對數(shù)據在物理網絡中的傳遞提供錯誤控制哮奇。

4.???? 網際層：提供獨立于硬件的邏輯尋址，從而讓數(shù)據能夠在具有不同物理結構的子網之間傳遞睛约。提供路由功能來降低流量鼎俘，支持網間的數(shù)據傳遞。實現(xiàn)物理地址與邏輯地址的轉換辩涝。

5.???? 傳輸層：為網絡提供了流量控制贸伐、錯誤控制和確認服務。充當網絡應用程序的接口怔揩。

6.???? 應用層：為網絡排錯捉邢、文件傳輸脯丝、遠程控制和internet操作提供了應用程序。

TCP/IP和OSI模型

1.???? 開放系統(tǒng)互連模型——OSI ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

2.????

數(shù)據包

1.???? 在數(shù)據發(fā)送的過程中伏伐，其流程是從堆棧的上到下宠进，每一層都把相關的信息（成為“報頭”）捆綁到實際的數(shù)據上。包含報頭信息和數(shù)據的數(shù)據包就作為下一層的數(shù)據藐翎，再次被添加報頭信息和重新打包材蹬。

2.????

3.???? 每一層封裝報頭的原因：接收設備上的每個協(xié)議層需要不同的信息來處理收到的數(shù)據，所以發(fā)送設備上的沒一些就封裝相應的報頭信息吝镣。 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

三堤器、網絡訪問層

協(xié)議和硬件

1.???? 網絡訪問層管理為物理網絡準備數(shù)據所必須的服務與功能：與計算機網絡適配器的連接；根據合適的訪問方式調整數(shù)據傳輸赤惊；把數(shù)據轉化為電子流或模擬脈沖的形式吼旧，以在傳輸介質上進行傳輸凰锡；對接收到的數(shù)據進行錯誤檢查未舟；給發(fā)送的數(shù)據添加錯誤檢查信息，從而讓接收端計算機能夠對數(shù)據進行錯誤檢查掂为。

2.???? 網絡訪問層定義了與網絡硬件交互和訪問傳輸介質的過程裕膀。

網絡訪問層與OSI模型

1.???? 網絡訪問層大致對應OSI模型的物理層和數(shù)據鏈路層。

2.???? 物理層負責把數(shù)據幀轉化為適合于傳輸介質的比特流勇哗。在接收端昼扛，物理層把這些脈沖重新組合為數(shù)據幀。

3.???? 數(shù)據鏈路層執(zhí)行兩個獨立的任務：介質訪問控制（MAC）——這個子層提供與網絡適配器連接的接口欲诺。實際上抄谐，網絡適配器驅動程序通常被稱為MAC驅動；邏輯鏈路控制（LLC）——這個子層對經過子網傳遞的幀進行錯誤檢查扰法，并且管理子網上通信設備之間的鏈路蛹含。

網絡體系

1.???? 網絡體系具有一系列的規(guī)范來管理介質訪問、物理尋址塞颁、計算機與傳輸介質的交互浦箱。在決定網絡體系時，實際上是在決定如何設計網絡訪問層祠锣。

2.???? 網絡體系包含對物理網絡的定義酷窥，以及該物理網絡上定義的通信規(guī)范。

3.???? 網絡訪問層的軟件必須伴隨于特定的硬件設計伴网。TCP/IP協(xié)議棧的設計保證了與硬件交互相關的細節(jié)都發(fā)生在網絡訪問層蓬推，使得TCP/IP能夠工作于多種不同的傳輸介質。以下是集中網絡體系的類型：

物理尋址

1.???? 網絡訪問層需要把邏輯IP地址與網絡適配器的固定物理地址相關聯(lián)澡腾。

2.???? 物理尋址是由介質訪問控制（MAC）子層負責的沸伏。

3.???? TCP/IP使用地址解析協(xié)議（ARP）和逆向地址解析協(xié)議（RARP）把IP地址關聯(lián)到網絡適配器的物理地址募逞。ARP和RARP為用戶提供的邏輯IP地址與局域網上使用的硬件地址建立了一個對應關系。

以太網

1.???? 以太網是目前使用最廣泛的局域網技術馋评，是當今現(xiàn)有局域網采用的最通用的通信協(xié)議標準放接。

2.???? 在典型的以太網上，全部計算機共享同一個傳輸介質留特。以太網使用成為載波偵聽多路訪問/沖突檢測（CSMA/CD）的方法纠脾，來判斷計算機何時可以把數(shù)據發(fā)送到訪問介質。通過CSMA/CD蜕青，所有計算機都監(jiān)視傳輸介質的狀態(tài)苟蹈，在傳輸之前等待線路空閑。如果兩臺計算機嘗試同時發(fā)送數(shù)據右核，就會發(fā)生沖突慧脱，計算機就會停止發(fā)送，等待一個隨機的時間間隔贺喝，然后再次嘗試發(fā)送菱鸥。

3.???? 傳統(tǒng)以太網在中低負載情況下運行良好，但在大負載情況下會由于沖突的增多而影響性能躏鱼。在現(xiàn)代以太網中氮采，像網絡交換機這樣的設備會對流量進行管理，減少沖突的發(fā)生染苛，從而讓以太網的運行更具效率鹊漠。

剖析以太網幀

1.???? 網絡訪問層的軟件從網際層接收數(shù)據報，把它轉化符合物理網絡規(guī)范的形式茶行。在以太網中躯概，網絡訪問層的軟件必須把數(shù)據轉化成能夠通過網絡適配器硬件進行傳輸?shù)男问健?/p>

2.????

四、網際層

尋址與發(fā)送

1.???? 物理尋址方式適合單個局域網網段畔师。由不間斷介質連接在一起的若干臺計算機利用物理地址就可以實現(xiàn)所需要的功能娶靡。只需使用網絡訪問層的低級協(xié)議就可以把數(shù)據從網絡適配器直接傳遞另一個網絡適配器。但是茉唉，在路由式網絡中固蛾，不能利用物理地址實現(xiàn)數(shù)據傳輸，因為根據物理地址進行傳輸所需的過程不能跨越路由接口來進行度陆。

2.???? TCP/IP隱藏了物理地址艾凯，以一種邏輯化、層次化的尋址方案對網絡進行組織懂傀。這種邏輯尋址方案由網際層的IP協(xié)議維護趾诗，而邏輯地址被稱為IP地址。

3.???? 在一個路由式網絡中，TCP/IP要使用如下策略在網絡上發(fā)送數(shù)據：

網際協(xié)議

1.???? IP協(xié)議提供了一種分層的恃泪、與硬件無關的尋址系統(tǒng)郑兴，具有在復雜的路由式網絡中傳遞數(shù)據所需的服務。TCP/IP網絡上的每個網絡適配器都有一個唯一的IP地址贝乎。

2.???? IP地址分為兩個部分：網絡ID和主機ID情连。網絡必須提供一種方式來判斷IP地址的哪一部分是網絡ID，哪一部分是主機ID览效。

IP報頭字段

1.???? 每個IP數(shù)據報都以一個IP報頭開始却舀。源計算機的TCP/IP軟件構造這個IP報頭，目的計算機的TCP/IP軟件利用IP報頭中封裝的信息處理數(shù)據锤灿。IP報頭包含大量信息挽拔，包括源IP地址、目的IP地址但校、數(shù)據報長度螃诅、IP版本號和路由器的特殊指令。

2.???? IP數(shù)據報由報頭和數(shù)據兩部分組成状囱。報頭由一個20字節(jié)的固定長度和一個可任選任意長度部分組成术裸。IP數(shù)據報最長為65535字節(jié)。 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

IP尋址

1.???? 劃分網絡ID和主機ID的最初方案是使用地址分類。

2.???? A類：0.0.0.0~127.255.255.255

B類：128.0.0.0~191.255.255.255

C類：192.0.0.0~223.255.255.255

D類：224.0.0.0~239.255.255.255

E類：240.0.0.0~247.255.255.255

規(guī)定首字節(jié)不能是127、0全肮、255塞蹭，主機各位不能同時為0和1

3.???? 網絡管理員可以把網絡劃分為更小的次級網絡，這被稱為子網门坷。劃分子網的是指就是借用主機ID中的一些為宣鄙，在網絡內創(chuàng)建額外的網絡。AB類地址會廣泛應用子網劃分技術默蚌。

地址解析協(xié)議——ARP

1.???? ARP把IP地址映射為物理地址冻晤。主機必須知道目的網絡適配器的物理地址才能向它發(fā)送數(shù)據。

2.???? 網段上每臺主機在內存中都保存著一個被稱為ARP表或ARP緩存的表格绸吸，其中包含了網段上其他主機的IP地址與物理地址的對應關系鼻弧。當主機需要向網段上的其他主機發(fā)送數(shù)據時，它會查看ARP緩存來獲得目的的物理地址锦茁。ARP緩存是動態(tài)變化的攘轩，如果要接收數(shù)據的地址當前并不存在于ARP緩存中，主機就會發(fā)送一個名為ARP請求幀的廣播码俩。

ARP請求幀包含為解析的IP地址度帮，還包含發(fā)送這個請求的主機的IP地址和物理地址。網段上的其他主機接收到這個ARP請求，擁有這個未解析IP地址的主機會向發(fā)出請求的主機發(fā)送自己的物理地址笨篷。這個新的IP地址與物理地址的對應關系就會添加到請求主機的ARP緩存中瞳秽。

逆向地址解析協(xié)議——RARP：在知道物理地址而不知道IP地址時，應該使用RARP率翅。

INTERNET控制消息協(xié)議——ICMP

1.???? 發(fā)送到遠程計算機的數(shù)據通常會經過一個或多個路由器练俐，這些路由器在把數(shù)據傳輸?shù)阶罱K目的地的過程中可能發(fā)生多種問題。路由器利用ICMP協(xié)議把問題通知給源IP冕臭。ICMP還有用于調試和排錯的功能痰洒。

2.????

五、子網劃分和CIDR

子網

1.???? 子網劃分可以利用IP地址系統(tǒng)把物理網絡分解為更小的邏輯實體——子網浴韭。

2.???? 子網的概念最早源自于地址分類系統(tǒng)丘喻，而且在ABC類地址中能夠得到很好的展現(xiàn)。然而硬件廠商和internet社區(qū)建立了一種解析地址的新系統(tǒng)念颈，名為無類別域間路由（CIDR）泉粉，它不需要關心地址類別。

劃分網絡

1.???? ABC類網絡ID來識別網段具有一些局限性榴芳，主要是在網絡級別之下不能對地址空間進行任何邏輯細分嗡靡。數(shù)據報到達某個網關（90.0.0.0）地址空間，但如果要考慮它在這個地址空間中是如何傳遞的窟感，這個就會變得非常復雜讨彼，因為A類網絡能夠容納超過1600萬臺主機。

2.???? 為了在大型網絡里實現(xiàn)更高效的數(shù)據傳輸柿祈，地址空間被劃分為較小的網段哈误。唯一可行的解決辦法是在網絡標ID下對地址空間進行某種細分，讓主機和路由器能夠根據IP地址判斷應該把數(shù)據發(fā)送到哪個網段躏嚎。

3.???? TCP/IP的設計者借用了主機ID里的一些位來形成子網地址蜜自。一個名為子網掩碼的參數(shù)指明了地址中多少位用于子網ID，保留多少位作為實際的主機ID卢佣。

4.???? 像IP地址一樣重荠，子網掩碼是個32位的二進制值。子網掩碼里的每一位代表IP地址中的一個位虚茶，用1表示IP地址中屬于網絡ID或子網ID的位戈鲁，用0表示IP地址里屬于主機ID的位。 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

5.???? 在子網網絡上嘹叫，路由器和主機所使用的路由表包含了每個IP地址相關的子網掩碼信息婆殿。數(shù)據報根據網絡ID被路由到目標網絡，而這個網絡ID是由地址類別決定的待笑。當數(shù)據報到達目標網絡之后鸣皂，它根據子網ID路由到合適的網段。在到達這個網段之后，再根據主機ID傳輸?shù)秸_的計算機寞缝。 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

使用子網

1.???? 子網掩碼決定了網絡ID之后又多少位是作為子網ID的癌压。子網ID的長度不是固定的，取決于子網掩碼的值荆陆。子網ID越長滩届，留給主機ID的位數(shù)就越少。

2.???? 全0或全1的主機ID是不能分配的

3.????

無類別域間路由——CIDR

1.???? CIDR技術使用一個名為CIDR前綴的值指定地址中作為網絡ID的位數(shù)被啼。這個前綴有時也被稱為變長子網掩碼帜消。

2.???? 這個前綴可以位于地址空間的任何位置，讓管理者能夠以更靈活的方式定義子網浓体，以簡便的形式指定地址網絡ID部分與主機ID部分泡挺。

3.???? CIDR標記使用一個斜線/，后面跟一個十進制數(shù)值來表示地址中網絡部分所占的位數(shù)命浴。

4.???? 例如一個ISP被分配了一些C類網絡,這個ISP準備把這些C類網絡分配給各個用戶群,已經分配了三個C類網段給用戶,如果沒有實施CIDR技術.ISP的路由器的路由表中會有三條下連網段的路由條目,并且會把它通告給Internet上的路由器.通過實施CIDR技術,我們可以在ISP的路由器上把這三個網段198.168.1.0,198.168.2.0,198.168.3.0匯聚成一條路由198.168.0.0/16.這樣ISP路由器只向Internet通告198.168.0.0/16這一條路由,大大減少了路由表的數(shù)目.從而為網絡路由器節(jié)省出了存儲空間娄猫。值得注意的是,使用CIDR技術匯聚的網絡地址的比特位必須是一致的,如上例所示.如果上例所示的ISP連接了一個172.178.1.0網段,這些網段路由將無法匯聚,無法實現(xiàn)CIDR技術.

5.???? CIDR建立于“超級組網”的基礎上，“超級組網”是“子網劃分”的派生詞生闲，可看作子網劃分的逆過程媳溺。子網劃分時，從地址主機部分借位碍讯，將其合并進網絡部分悬蔽；而在超級組網中，則是將網絡部分的某些位合并進主機部分捉兴。這種無類別超級組網技術通過將一組較小的無類別網絡匯聚為一個較大的單一路由表項蝎困，減少了Internet路由域中路由表條目的數(shù)量。

六轴术、傳輸層

傳輸層簡介

1.???? 傳輸層需要提供如下功能： ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

2.???? 傳輸層為網絡應用程序提供了一個接口难衰。

3.???? 傳輸控制協(xié)議——TCP：TCP提供了完善的錯誤控制和流量控制，能夠確保數(shù)據正確傳輸逗栽，它是一個面向連接的協(xié)議。

4.???? 用戶數(shù)據報協(xié)議——UDP：UDP只提供了非呈г荩基本的錯誤檢測彼宠，用于不需要TCP精細控制功能的場合，它是一個無連接的協(xié)議弟塞。

面向連接協(xié)議和無連接協(xié)議

1.???? 面向連接協(xié)議：會在通信計算機之間建立并維護一個連接凭峡，并且在通信過程中監(jiān)視連接狀態(tài)。通過網絡傳輸?shù)拿總€數(shù)據包都會有一個確認决记，發(fā)送端計算機會記錄狀態(tài)信息來確保每個數(shù)據包都被正確無誤的接收了摧冀，并且在需要時會重發(fā)數(shù)據。當數(shù)據傳輸結束后，發(fā)送端和接收端計算機會以適當方式關閉連接索昂。

2.???? 無連接協(xié)議：以單向方式向目的發(fā)送數(shù)據報建车，不承擔通知目的計算機關于數(shù)據發(fā)送的職責。目的計算機接收到數(shù)據后也不需要向源計算機返回狀態(tài)信息椒惨。

端口和套接字

1.???? 在TCP/IP系統(tǒng)中缤至，應用程序可以使用端口號通過TCP或UDP指定數(shù)據目的地。端口是一個預定義的內部地址康谆，充當從應用程序到傳輸層或是從傳輸層到應用程序的通路领斥。

2.???? TCP或UDP數(shù)據實際是被發(fā)送到一個套接字上的。套接字是一個由IP地址和端口號組成的地址沃暗。

多路復用/多路分解

1.???? 多路復用是指把多個來源的數(shù)據導向一個輸出月洛，而多路分解是把從一個來源接收的數(shù)據發(fā)送到多個輸出。多路傳輸/多路分解讓TCP/IP協(xié)議棧較低層的協(xié)議不比關心哪個程序在傳輸數(shù)據孽锥。與應用程序相關的操作都由傳輸層完成了嚼黔，數(shù)據通過一個與應用程序無關的管道在傳輸層與網際層之間傳遞。

2.???? 多路復用是指兩個或多個用戶共享公用信道的一種機制忱叭。通過多路復用技術隔崎，多個終端能共享一條高速信道，從而達到節(jié)省信道資源的目的韵丑，多路復用有頻分多路復用（FDMA）爵卒，時分多路復用（TDMA），碼分多路復用（CDMA）幾種撵彻。

TCP:面向連接的傳輸協(xié)議

1.???? TCP重要特性： ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

2.???? TCP數(shù)據格式： ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

need-to-insert-img

3.???? TCP連接：TCP通過連接發(fā)送和接收數(shù)據钓株，而這個連接必須根據TCP的規(guī)則進行請求、打開和關閉陌僵。TCP的功能之一是為應用程序提供訪問網絡的接口轴合。這個接口是通過TCP端口提供的，而為了通過端口提供連接碗短，必須打開TCP與應用程序的接口受葛。 ? ? ? ? ? ? ? ??被動打開——某個應用程序進程通知TCP準備通過TCP端口接收連接，這樣就會打開TCP到應用程序的連接偎谁，從而為參與連接請求做準備总滩。 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??主動打開——程序要求TCP發(fā)起與另一臺計算機的連接，這就是主動打開狀態(tài)巡雨。

need-to-insert-img

4.???? 建立連接：三次握手總是發(fā)生在TCP連接建立的初期闰渔。需要三次握手的原因——TCP的三次握手最主要是防止已過期的連接再次傳到被連接的主機。 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

need-to-insert-img

5.???? TCP流量控制（滑動窗口方法）：接收端計算機利用“窗口”字段（也被稱為“緩存大小”字段）來定義一個超過最后一個已確認序列號的序列號“窗口”铐望，在這個范圍內的序列號才允許發(fā)送端計算機進行發(fā)送冈涧。發(fā)送端計算機在沒有接收到下一個確認消息之前不能發(fā)送超過這個窗口的序列號茂附。

6.???? 關閉連接：計算機A發(fā)送一個數(shù)據分段，其中的FIN標記設置為1督弓。之后應用程序進入"fin-wait"狀態(tài)营曼。在這個狀態(tài)下，計算機的TCP軟件繼續(xù)接受數(shù)據分段咽筋，并處理已經在序列中的數(shù)據分段溶推，但不再從應用程序接收數(shù)據了。當計算機B接收到FIN數(shù)據分段時奸攻，它返回FIN確認信息蒜危，然后發(fā)送剩余的數(shù)據分段，通知本地應用程序接收到了FIN消息睹耐。計算機B向計算機A發(fā)送一個FIN數(shù)據分段辐赞，計算機A返回確認信息，連接就被關閉了硝训。 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

need-to-insert-img

【注意】中斷連接端可以是Client端响委，也可以是Server端。假設Client端發(fā)起中斷連接請求窖梁，也就是發(fā)送FIN報文赘风。Server端接到FIN報文后，意思是說"我Client端沒有數(shù)據要發(fā)給你了"纵刘，但是如果你還有數(shù)據沒有發(fā)送完成邀窃，則不必急著關閉Socket，可以繼續(xù)發(fā)送數(shù)據假哎。所以你先發(fā)送ACK瞬捕，"告訴Client端，你的請求我收到了舵抹，但是我還沒準備好肪虎，請繼續(xù)你等我的消息"。這個時候Client端就進入FIN_WAIT狀態(tài)惧蛹，繼續(xù)等待Server端的FIN報文扇救。當Server端確定數(shù)據已發(fā)送完成，則向Client端發(fā)送FIN報文香嗓，"告訴Client端爵政，好了，我這邊數(shù)據發(fā)完了陶缺，準備好關閉連接了"。Client端收到FIN報文后洁灵，"就知道可以關閉連接了饱岸，但是他還是不相信網絡掺出，怕Server端不知道要關閉，所以發(fā)送ACK后進入TIME_WAIT狀態(tài)苫费，如果Server端沒有收到ACK則可以重傳汤锨。“百框，Server端收到ACK后闲礼，"就知道可以斷開連接了"。Client端等待了2MSL后依然沒有收到回復铐维，則證明Server端已正常關閉柬泽，那好，我Client端也可以關閉連接了嫁蛇。Ok锨并，TCP連接就這樣關閉了！

need-to-insert-img

雙方同時要求關閉連接：ESTAB->FIN-WAIT-1->CLOSING->TIME-WAIT->CLOSED?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??TIME-WAIT狀態(tài)之后等待2MSL(包的最大保存時間)是為了確保所有該連接上的包都已在網絡消失睬棚。

7.???? TCP如何保證可靠性：TCP的可靠性是通過順序編號和確認（ACK）來實現(xiàn)的第煮。TCP在開始傳送一個段時，為準備重傳而首先將該段插入到發(fā)送隊列之中抑党，同時啟動時鐘包警。其后，如果收到了接受端對該段的ACK信息底靠，就將該段從隊列中刪去害晦。如果在時鐘規(guī)定的時間內，ACK未返回苛骨，那么就從發(fā)送隊列中再次送出這個段篱瞎。TCP在協(xié)議中就對數(shù)據可靠傳輸做了保障，握手與斷開都需要通訊雙方確認痒芝，數(shù)據傳輸也需要雙方確認成功俐筋，在協(xié)議中還規(guī)定了：分包、重組严衬、重傳等規(guī)則澄者；而UDP主要是面向不可靠連接的，不能保證數(shù)據正確到達目的地请琳。

UDP：無連接傳輸協(xié)議

1.???? UDP實際上能夠執(zhí)行基本的錯誤檢驗粱挡，因此，可以說UDP具有有限的錯誤檢驗功能俄精。UDP數(shù)據報中包含一個校驗和询筏，接收端計算機可以利用它來檢驗數(shù)據的完整性。

2.???? UDP的開銷沒有TCP大竖慧。

3.???? UDP不會重新傳輸丟失或損壞的數(shù)據報嫌套、重新排列混亂的接收數(shù)據逆屡、消除重復的數(shù)據報、確認數(shù)據報的接收踱讨、建立或是終止連接魏蔗。它主要是在程序不必使用TCP連接開銷的情況下發(fā)送和接收數(shù)據報的一種方式。

七痹筛、應用層

TCP/IP應用層與OSI

1.???? TCP/IP應用層對應于OSI模型的應用層莺治、表示層和會話層。

2.???? 應用層：OSI的應用層包含的組件為用戶應用程序提供服務并支持網絡訪問帚稠。

3.???? 表示層：表示層把數(shù)據轉化為平臺無關的格式谣旁，并處理加密和數(shù)據壓縮。

4.???? 會話層：負責管理聯(lián)網計算機上應用程序之間的通信翁锡，提供了一些傳輸層不具備蔓挖、與連接相關的功能，比如名稱識別和安全馆衔。

應用層的部分協(xié)議 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

need-to-insert-img

API和應用層：應用編程接口（API）是預定義的編程組件的集合瘟判，應用程序可以利用它訪問操作環(huán)境的其他部分，也就是與操作系統(tǒng)進行通信角溃。網絡協(xié)議棧就是API概念的典型應用拷获，網絡API提供了程序與協(xié)議棧的接口，應用程序利用API的函數(shù)打開和關閉連接减细、從網絡讀取和寫入數(shù)據匆瓜。

八、路由選擇

路由器的概念

1.???? 路由器是負責根據邏輯地址對通信流量進行過濾的設備未蝌。經典的網絡路由器工作于網際層驮吱，使用網際層報頭中的IP尋址信息。

2.???? 向Internet這樣的大型網絡具有很多路由器萧吠，提供了從源到目的節(jié)點的多條路徑左冬。這些路由器必須獨立工作，但整個系統(tǒng)必須保證數(shù)據能夠準確高效地在網絡中傳輸纸型。

3.???? 當路由器將數(shù)據從一個網絡傳輸?shù)较乱粋€網絡時拇砰，它會替換網絡訪問層報頭信息，因此路由器可以連接不同類型的網絡狰腌。很多路由器還維護關于最佳路徑的詳細信息除破，這是根據距離、帶寬和時間綜合考慮的琼腔。

4.???? 早期的路由器實際上就是具有兩塊或多塊網絡適配器的計算機（也被稱為多宿主計算機）瑰枫。

need-to-insert-img

路由選擇過程

1.???? 路由器全面功能： ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

need-to-insert-img

2.???? 路由表和建立路由表的協(xié)議是路由器具有的兩個顯著特性。對于路由器的大多數(shù)討論都是關于建立路由表丹莲、匯集路由表的路由協(xié)議如何讓所有的路由器像一個整體一樣提供服務躁垛。

3.???? 靜態(tài)路由：要求網絡管理員手工輸入路由信息剖毯。

4.???? 動態(tài)路由：根據使用路由協(xié)議獲得的路由信息來動態(tài)建立路由表。

路由表的概念

1.???? 路由表和忘記曾其他路由元素的用途在于把數(shù)據傳遞到正確的本地網絡教馆。當數(shù)據到達本地網絡之后擂达，網絡訪問協(xié)議就會知道它的目的地。因此悲敷，路由表不需要存儲完整的IP地址俭令，只需要列出網絡ID即可后德。

2.????

need-to-insert-img

路由表就是把目的網絡ID映射到下一跳的IP地址，即數(shù)據報通往目的網絡的下一站抄腔。路由表會區(qū)分直接連接到路由器本身的網絡和通過其他路由器間接連接過來的網絡瓢湃。下一跳可以是目的網絡，也可以是通向目的網絡的下一個下游路由器赫蛇。

IP轉發(fā)

1.???? 主機的路由表比路由器簡單得多绵患，它可能只包含兩行：一個條目用于本地網絡，另一個用于默認路由（用于處理不能在本地網段上傳輸?shù)臄?shù)據包）悟耘。

2.???? IP轉發(fā)過程實際上不會再IP報頭中寫入路由器的地址落蝙，而是由主機把數(shù)據報和路由器的IP地址向下傳遞到網絡訪問層，該層的協(xié)議軟件會使用一個獨立的查詢過程把數(shù)據包封裝到一個幀中暂幼，通過本地網段傳遞給路由器筏勒。換句話說，被轉發(fā)的數(shù)據報里的IP地址指向最終要接收數(shù)據的主機旺嬉，而轉發(fā)數(shù)據報的幀中的物理地址指向路由器上本地適配器的地址管行。

3.????

need-to-insert-img

直接路由和間接路由

1.????

need-to-insert-img

2.???? 路由器了解間接路由的方式有兩種：從系統(tǒng)管理員和從其他路由器。這兩種方式分別對應靜態(tài)路由和動態(tài)路由鹰服。

3.???? 大多數(shù)現(xiàn)代路由器使用了某種形式的動態(tài)路由病瞳。路由器彼此之間的相互通信，共享關于網段和網絡路徑的信息悲酷，每臺路由器都根據從這種通信過程中得到的信息建立自己的路由表套菜。

動態(tài)路由算法——距離矢量路由

1.???? 距離矢量路由是一種高效、簡單的路由方法设易，被很多路由協(xié)議所采用逗柴。其設計目標是讓路由器之間所需的通信最少渣蜗，讓路由表中必須保存的數(shù)據最少耕拷。這種設計理念認為路由器不必知道通向每個網段的完整路徑骚烧，而是只需知道向哪個方向發(fā)送數(shù)據報即可。

2.???? 網段之間的距離以數(shù)據報在兩個網絡之間傳輸必須經過的路由器的數(shù)量來表示碧查，而使用距離矢量路由的路由器優(yōu)化路徑的方式是讓數(shù)據報必須經過的路由器達到最少忠售。這個距離參數(shù)成為“跳數(shù)”。

3.???? 距離矢量路由的工作方式： ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

need-to-insert-img

動態(tài)路由算法——鏈路狀態(tài)路由：連接狀態(tài)路由背后的理念在于每個路由器都嘗試建立關于網絡拓撲的內部映射腐螟。每臺路由器定期向網絡發(fā)送狀態(tài)信息乐纸，其中列出了自己直連的其他路由器以及鏈路的狀態(tài)。路由器利用從其他路由器收到的狀態(tài)消息建立網絡拓撲的映射宁昭，當它需要轉發(fā)數(shù)據報時积仗，會根據現(xiàn)有條件選擇最佳路徑。

復雜網絡上的路由

1.???? 對于internet上的路由器來說漱挚，并不是每臺路由器都需要知道其他所有路由器的信息旨涝。在網絡有效組織的情況下，大多數(shù)路由器只需要與相鄰路由器交互協(xié)議信息即可秃踩。

2.???? 在孕育了internet的ARPnet系統(tǒng)中，一組核心路由器作為網絡互聯(lián)的中央骨干網消别，把自動配置和管理的獨立網絡連接在一起。核心路由器了解每個網絡蛇券，但不必知道每個子網。只要數(shù)據報能夠找到到達核心路由的路徑筋夏，就能夠到達整個網絡的任何位置骗随。附屬網絡中的路由器不必了解世界上的全部網絡鸿染，只需要知道如何在相鄰路由器之間如何傳輸數(shù)據和如何到達核心路由器即可。

3.????

need-to-insert-img

路由選擇協(xié)議

1.???? 因特網有兩大類路由選擇協(xié)議：內部網關協(xié)議IGP(Interior Gateway Protocol)即在一個自治系統(tǒng)內部使用的路由選擇協(xié)議丢烘。目前這類路由選擇協(xié)議使用得最多掸刊，如RIP和OSPF協(xié)議。外部網關協(xié)議EGP(External Gateway Protocol)若源站和目的站處在不同的自治系統(tǒng)中蚓炬，當數(shù)據報傳到一個自治系統(tǒng)的邊界時，就需要使用一種協(xié)議將路由選擇信息傳遞到另一個自治系統(tǒng)中驯击。這樣的協(xié)議就是外部網關協(xié)議EGP。在外部網關協(xié)議中目前使用最多的是BGP-4暇矫。

2.???? 路由信息協(xié)議RIP是內部網關協(xié)議IGP中最先得到廣泛使用的協(xié)議。RIP是一種分布式的基于距離向量的路由選擇協(xié)議朱巨。RIP協(xié)議要求網絡中的每一個路由器都要維護從它自己到其他每一個目的網絡的距離記錄。距離的解釋：從一路由器到直接連接的網絡的距離定義為1洪唐。從一個路由器到非直接連接的網絡的距離定義為所經過的路由器數(shù)加1问欠。RIP協(xié)議中的“距離”也稱為“跳數(shù)”(hop count)顺献，因為每經過一個路由器，跳數(shù)就加1。這里的“距離”實際上指的是“最短距離”椒袍。RIP認為一個好的路由就是它通過的路由器的數(shù)目少捌治，即“距離短”。RIP允許一條路徑最多只能包含15個路由器臂港∩梗“距離”的最大值為16時即相當于不可達∩竽酰可見RIP只適用于小型互聯(lián)網县袱。RIP不能在兩個網絡之間同時使用多條路由。RIP選擇一個具有最少路由器的路由（即最短路由）哪怕還存在另一條高速(低時延)但路由器較多的路由佑力。

3.???? ? ?“開放”表明OSPF協(xié)議不是受某一家廠商控制式散，而是公開發(fā)表的〈虿“最短路徑優(yōu)先”是因為使用了Dijkstra提出的最短路徑算法SPF撕蔼。OSPF只是一個協(xié)議的名字，它并不表示其他的路由選擇協(xié)議不是“最短路徑優(yōu)先”。是分布式的鏈路狀態(tài)協(xié)議憎亚。

4.???? BGP是不同自治系統(tǒng)的路由器之間交換路由信息的協(xié)議慌闭。邊界網關協(xié)議BGP只能是力求尋找一條能夠到達目的網絡且比較好的路由（不能兜圈子）利花，而并非要尋找一條最佳路由姑躲。

九、連網

撥號連接

1.???? 連接TCP/IP網絡的一種最常用的方式是通過電話線额划，而近幾年，向電纜調制解調器和DSL這樣的寬帶技術降低了撥號連接的重要性焊虏。調制解調器（modem）通過電話線提供網絡訪問，它的作用在于把來自計算機的數(shù)字傳輸轉化為能夠通過電話系統(tǒng)的端口進行傳輸?shù)哪M信號，也把來自電話線的模擬信號轉化為計算機能夠理解的數(shù)字信號鲫咽。

2.???? 電話線兩段的計算機不需要與其他計算機爭用傳輸介質尖昏，他們只需要在彼此之間共享介質就可以了。這種連接方式被稱為點到點連接。

3.???? 調制解調器協(xié)議：串行線路網際協(xié)議（SLIP）——基于TCP/IP的早期調制解調器協(xié)議，相對簡單，有很多局限性。點到點協(xié)議（PPP）——最初當前用于調制解調器連接的最流行協(xié)議掏导，是對SLIP的細化杆故，具有SLIP所不具備的很多重要特性拐揭。

電纜寬帶：電纜調制解調器直接連接到一條同軸電纜撤蟆，后者被連接到有線電視服務網絡上。這個調制解調器通常具有一個以太網接口堂污，可以連接到單臺計算機或小型局域網中的交換機或路由器枫疆。電纜調制解調器實現(xiàn)數(shù)字信號與模擬信號的轉換，從而讓數(shù)據能夠通過電纜連接高效傳輸敷鸦。 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

need-to-insert-img

連接設備

1.???? 網橋：根據物理地址過濾和轉發(fā)數(shù)據包的連接設備，它工作與OSI模型的數(shù)據鏈路層寝贡。網橋監(jiān)聽它所連接的每個網段扒披，建立一個表來反應物理地址位于哪個網段。當數(shù)據在一個網段上傳輸時圃泡，網橋會查看數(shù)據的目的地址碟案，與路由表進行比較。如果目的地址屬于發(fā)送數(shù)據的網段颇蜡，網橋就忽略這個數(shù)據价说。如果目的地址在不同的網段辆亏，網橋就把數(shù)據轉發(fā)到適當?shù)木W段。如果目的地址不在路由表鳖目，網橋就會把數(shù)據轉發(fā)到除源網段之外的全部網段扮叨。

2.???? HUB（集線器）：作為一個物理設備從一個端口接收數(shù)據，然后把數(shù)據重復到其余全部的端口领迈。換句話說彻磁，全部計算機就好像是被一條連續(xù)線路連接在一起的宗苍。HUB不會過濾或路由任何數(shù)據舆绎，知識接收和重新發(fā)送信息攻人。

need-to-insert-img

3.???? 交換機：每臺計算機也是通過一條線路連接到交換機丰泊。但是改执，交換機知道應該把接收到的數(shù)據發(fā)送到哪一個端口询一。大多數(shù)交換機把端口與所連接設備的物理地址關聯(lián)起來求冷。當一個端口所連接的計算機發(fā)送數(shù)據幀時侠草，交換機會查看幀的目的地址朽褪，把幀發(fā)送到目的地址相關聯(lián)的端口置吓。

need-to-insert-img

十、名稱解析

使用主機文件進行名稱解析

1.???? 主機文件是一個保存有一個主機名鞍匾、相關IP地址列表的文件交洗。主機名解析實在更復雜的DNS名稱解析之前被開發(fā)出來的。

2.???? 在小型網絡上配置主機名解析通常很簡單橡淑。支持TCP/IP的操作系統(tǒng)都能識別主機文件构拳，并可以將它用于名稱解析，而且期間幾乎不需要用戶干預梁棠。

3.???? 配置名稱解析的大致步驟如下：為每臺計算機分配IP地址和主機名置森；創(chuàng)建映射了IP地址和所有計算機主機名的主機文件。這些文件的名稱一般是hosts符糊；將主機文件放置每臺計算機的指定位置上凫海。對于具體位置每種操作系統(tǒng)都有自己的規(guī)定。

DNS名稱解析

1.???? DNS會將名稱解析數(shù)據防止在一個或多個專用服務器上男娄，由DNS服務器為網絡提供名稱解析服務行贪。如果網絡上計算機需要將某個主機名解析成IP地址，會向服務器發(fā)送一個查詢模闲，詢問與這個地址關聯(lián)的主機名建瘫。如果DNS服務器保存了相應的地址，就將這個地址返回給發(fā)出請求的計算機尸折。接下來啰脚，這臺計算機會用IP地址來替代主機名，進而再執(zhí)行命令实夹。

2.???? DNS服務器又多個有點橄浓，它為本地網絡提供了一個單一的DNS配置點粒梦，使得網絡資源的利用更加有效。然而荸实，DNS無法高效地保存Internet上所有主機名的數(shù)據庫匀们。解決辦法是，使所有名稱服務器都可以彼此通信泪勒。

3.???? 如果DNS在自己保存的地址數(shù)據庫中發(fā)現(xiàn)了被請求的地址昼蛀，則將這個地址發(fā)回給客戶端。如果名稱服務器在自己保存的記錄中沒有找到這個地址圆存，會要求其他的名稱服務器查找這個地址叼旋，接著將這個地址發(fā)回給客戶端。

4.???? 工作原理：當DNS客戶機需要在程序中使用名稱時沦辙，它會查詢DNS服務器來解析該名稱夫植。客戶機發(fā)送的每條查詢信息包括三條信息：包括：指定的DNS域名油讯，指定的查詢類型详民，DNS域名的指定類別∧岸遥基于UDP服務沈跨，端口53. 該應用一般不直接為用戶使用，而是為其他應用服務兔综，如HTTP饿凛，SMTP等在其中需要完成主機名到IP地址的轉換。

瀏覽器輸入網址之后的過程 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

1.???? 應用層：客戶端瀏覽器通過DNS解析到www.baidu.com的IP地址220.181.27.48软驰，通過這個IP地址找到客戶端到服務器的路徑涧窒。客戶端瀏覽器發(fā)起一個HTTP會話到220.161.27.48锭亏，然后通過TCP進行封裝數(shù)據包纠吴，輸入到網絡層。

need-to-insert-img

DNS解析IP地址

need-to-insert-img

HTTP訪問服務器

2.???? 傳輸層:在客戶端的傳輸層慧瘤，把HTTP會話請求分成報文段戴已，添加源和目的端口，如服務器使用80端口監(jiān)聽客戶端的請求锅减，客戶端由系統(tǒng)隨機選擇一個端口如5000糖儡，與服務器進行交換，服務器把相應的請求返回給客戶端的5000端口上煤。然后使用IP層的IP地址查找目的端。

3.???? 客戶端的網絡層不用關心應用層或者傳輸層的東西著淆，主要做的是通過查找路由表確定如何到達服務器劫狠，期間可能經過多個路由器拴疤，這些都是由路由器來完成的工作，通過查找路由表決定通過那個路徑到達服務器,其中用到路由選擇協(xié)議独泞。

4.???? 客戶端的鏈路層呐矾，包通過鏈路層發(fā)送到路由器，通過鄰居協(xié)議查找給定IP地址的MAC地址懦砂，然后發(fā)送ARP請求查找目的地址蜒犯，如果得到回應后就可以使用ARP的請求應答交換的IP數(shù)據包現(xiàn)在就可以傳輸了，然后發(fā)送IP數(shù)據包到達服務器的地址荞膘。不管網絡層使用的是什么協(xié)議罚随，在實際網絡的鏈路上傳送數(shù)據幀時，最終還是必須使用硬件地址羽资。每一個主機都設有一個 ARP 高速緩存(ARP cache)淘菩，里面有所在的局域網上的各主機和路由器的 IP 地址到硬件地址的映射表。當主機 A 欲向本局域網上的某個主機 B 發(fā)送 IP 數(shù)據報時屠升，就先在其 ARP 高速緩存中查看有無主機 B 的 IP 地址潮改。如有，就可查出其對應的硬件地址腹暖，再將此硬件地址寫入 MAC 幀汇在，然后通過局域網將該 MAC 幀發(fā)往此硬件地址。

十一脏答、TCP/IP安全

防火墻

1.???? 防火墻就是一個放置在網絡路徑上的設備糕殉，它可以檢查、接受或拒絕打算進入網絡的數(shù)據包以蕴。防火墻和傳統(tǒng)的路由器最重要的區(qū)別是傳統(tǒng)路由器會盡可能轉發(fā)數(shù)據包糙麦，而防火墻則只轉發(fā)自己認可的數(shù)據包。對數(shù)據包的轉發(fā)決定不再是僅基于地址丛肮，而是基于網絡所有者配置的一組規(guī)則赡磅，這些規(guī)則可以確定哪些流量類型能被網絡所允許。

2.???? 防火墻可以阻止任何或者所有的外界流量進入網絡宝与，但是它并不干涉內部網絡中的通信焚廊。 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

need-to-insert-img

3.???? 當代的防火墻通常是包過技術、狀態(tài)查看和應用層過濾技術的組合习劫。一些防火墻還可以作為DHCP服務器和網絡地址轉換工具咆瘟。防火墻可以是硬件也可以是軟件，既可以簡單又可以復雜诽里。

4.???? 最早的防火墻是數(shù)據包過濾器袒餐。它通過檢查數(shù)據包來找出該數(shù)據包的企圖。許多包過濾防火墻會查看封裝在傳輸層報頭中的TCP和UDP端口號，可以確定數(shù)據包的企圖灸眼。

5.???? 防火墻進化過程中卧檐，出現(xiàn)了有狀態(tài)防火墻設備。有狀態(tài)防火墻不僅僅是單獨檢查每一個數(shù)據包焰宣，還會檢查數(shù)據包包含在哪個通信會話序列中霉囚。這種狀態(tài)敏感性有助于有狀態(tài)防火墻監(jiān)視諸如無效數(shù)據包、會話劫持企圖匕积，以及某些拒絕服務攻擊這樣的攻擊手段盈罐。

6.???? 應用層防火墻是最新一代防火墻。這種防火墻是在TCP/IP應用層工作的闪唆，在這里可以更全面地理解與協(xié)議和服務相關聯(lián)的數(shù)據包盅粪。

代理服務

1.???? 所有用來保護和簡化內部網絡，將潛在的不安全Internet活動限制在邊界之外的技術中苞氮，防火墻是核心技術湾揽。另一種相關的技術是代理服務。

2.???? 代理服務器可以截獲對Internet資源的請求笼吟，并替代客戶端轉發(fā)這些請求库物，它在客戶端和請求的目的服務器之間扮演了一個中介的角色。 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

need-to-insert-img

3.???? 通過代理客戶端發(fā)送和接受Internet請求贷帮，代理服務器可以使客戶端免于直接與惡意網站聯(lián)系戚揭。一些代理還可以執(zhí)行內容過濾，查看信息是否來自黑名單上的服務器撵枢，或者內容是否帶有潛在的危險民晒。代理客戶端還常被用來限制內部網絡客戶端的瀏覽范圍。

保護TCP/IP：http://kb.cnblogs.com/page/162080/http://www.guokr.com/post/114121/

1.???? 安全套接字（SSL）是為了保護WEB通信而引入的一個TCP/IP安全協(xié)議集锄禽。SSL的目的是潜必，在傳輸層上的套接字和提供那些套接字訪問網絡的應用程序之間提供一層安全。 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

need-to-insert-img

2.???? SSL包含有兩個子層沃但。SSL記錄協(xié)議是訪問TCP的一個標準庫磁滚。在這個記錄協(xié)議紙上，是一組執(zhí)行特定服務的SSL相關協(xié)議宵晚。

need-to-insert-img

3.???? 支持SSL的服務直接通過SSL記錄協(xié)議運行垂攘。在連接建立之后，SSL記錄協(xié)議提供確保會話機密性和完整性所需的加密和驗證淤刃。

4.???? 如同其他協(xié)議安全技術一樣晒他，這里的技巧是要檢驗參與者的身份和安全地交換將用來加解密數(shù)據傳輸?shù)拿荑€。SSL采用公開密鑰加密逸贾，并提供對數(shù)字這個數(shù)的支持陨仅。

5.???? 在SSL中會使用密鑰交換算法交換密鑰津滞；使用密鑰對數(shù)據進行加密；使用散列算法對數(shù)據的完整性進行驗證灼伤，使用數(shù)字證書證明自己的身份据沈。

6.???? 握手協(xié)議：握手協(xié)議是客戶機和服務器用SSL連接通信時使用的第一個子協(xié)議，握手協(xié)議包括客戶機與服務器之間的一系列消息饺蔑。SSL中最復雜的協(xié)議就是握手協(xié)議。該協(xié)議允許服務器和客戶機相互驗證嗜诀，協(xié)商加密和MAC算法以及保密密鑰猾警，用來保護在SSL記錄中發(fā)送的數(shù)據。握手協(xié)議是在應用程序的數(shù)據傳輸之前使用的隆敢。

7.???? 記錄協(xié)議：記錄協(xié)議在客戶機和服務器握手成功后使用发皿，即客戶機和服務器鑒別對方和確定安全信息交換使用的算法后，進入SSL記錄協(xié)議拂蝎，記錄協(xié)議向SSL連接提供兩個服務—— ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

need-to-insert-img

8.???? 警報協(xié)議：客戶機和服務器發(fā)現(xiàn)錯誤時穴墅，向對方發(fā)送一個警報消息。如果是致命錯誤温自，則算法立即關閉SSL連接玄货，雙方還會先刪除相關的會話號，秘密和密鑰悼泌。每個警報消息共2個字節(jié)松捉，第1個字節(jié)表示錯誤類型，如果是警報馆里，則值為1隘世，如果是致命錯誤，則值為2鸠踪；第2個字節(jié)制定實際錯誤類型丙者。

十二、配置

服務器提供IP地址的情況

1.???? 每一臺計算機都已經預先配置了一個IP地址营密。這種情況被稱為靜態(tài)IP地址械媒。每一臺計算機在啟動時就知道自己的IP地址，并且能夠立刻使用網絡卵贱。靜態(tài)IP尋址在小型網絡中表現(xiàn)得很好滥沫，但是由于大型網絡上經常會出現(xiàn)重新配置和更改的情況，因此靜態(tài)IP尋址也受到很多限制键俱。

2.???? 靜態(tài)IP地址的缺點： ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

need-to-insert-img

DHCP

1.???? DHCP是一個用來向計算機分配TCP/IP配置參數(shù)的協(xié)議兰绣。DHCP服務器可以為DHCP客戶端提供一組TCP/IP設置，比如IP地址编振、子網掩碼和DNS服務器地址缀辩。

2.???? DHCP是用來分配IP地址的臭埋，所以必須使用靜態(tài)IP地址信息來配置DHCP服務器。需要在客戶端進行配置的唯一一個網絡參數(shù)是將客戶端設置為從DHCP服務器接收IP地址信息臀玄。

3.???? 當DHCP客戶端計算機啟動時瓢阴，TCP/IP軟件將被載入到內存中并開始執(zhí)行相應的操作。然而健无，因為這是TCP/IP棧還沒有IP地址荣恐，所以無法直接發(fā)送或接收數(shù)據包。計算機只能發(fā)送和監(jiān)聽廣播數(shù)據累贤。這種通過廣播進行通信的功能正是DHCP進行工作的基礎叠穆。從DHCP服務器中租用IP地址的過程需要4個步驟： ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?