- PDF Free Download

Size: px

Start display at page:

Download ""

郭杨
9 years ago
Views:

6 第 1 章计算机网络的基本概念 1.1 计算机网络的发展计算机网络是现代计算机技术与通讯技术相结合的产物, 是随着社会对信息共享和信息通信的日益增强的要求而发展起来的追溯计算机网络的发展历史, 经历了由简单到复杂, 由低级到高级的过程计算机网络的演变可以总结为以下三个阶段 : 第一阶段 : 面向终端的计算机网络由一台中央主计算机通过通信线路连接大量的终端而构成的系统, 用户通过终端共享使用主机 ( 见图 1-1) 这种终端通信线路计算机的系统构成了早期的计算机网络, 严格的来讲, 这种计算机网络和现在的计算机网络有根本的区别这种系统的特征主要如下 : 1 主机承担数据处理, 终端没有自主处理功能, 终端围绕主机分布在各地 2 随着终端数目的增多, 可以设置前端机和集线器, 从而减轻主机的负载我们将这样的系统称为面向终端的计算机通讯网络图 1-1 面向终端的计算机通讯网络示意图面向终端的计算机通信网络存在着两个主要缺点 : 1 终端没有数据处理功能, 主机既要承担数据处理任务, 又要承担网络通信任务, 负担较重 2 终端设备独占通信线路, 使线路利用率较低第二阶段 : 以通讯子网为中心的计算机网络面向终端的计算机通讯网络是以单个主机为中心的星型拓扑, 终端通过通信线路直接共享主机的硬件与软件资源, 其交换技术为电路交换, 从资源分配的角度看, 电路交换是一种预先分配传输带宽的交换技术, 类似于电话网络的工作方式用户在开始通信之前, 首先要申请建立一条从发送端到接收端的物理链路, 只有在此物理链路建立之后, 双方才能进行通信, 在整个通信过程中, 用户始终占用端到端的固定传输带宽, 这种交换方式, 对于以突发式间歇性通信为主的计算机网络通信而言是一种严重的浪费为了提高计算机网络的通信线路利用率, 一种新的交换方式分组交换技术, 首先在

演变可以总结为以下三个阶段 : 第一阶段 : 面向终端的计算机网络由一台中央主计算机通过通信线路连接大量的终端而构成的系统, 用户通过终端共享使用主机 ( 见图 1-1) 这种终端通信线路计算机的系统构成了早期的计算机网

7 2 第 1 章计算机网络的基本概念 1969 年建立的美国 ARPANET(Advanced Research Projects Agency Network) 网中得到采用该网络的基本构成为 : 主机通过接口信息处理机 (IMP. Interface Message Processor) 相联, 各地的终端均与本地的主机连接,IMP 实现网络中信息的路由存储与转发 1972 年 ARPANET 又增设了终端接口处理机 (TIP) 实现与终端的直接相联 ( 见图 1-2) 当用户需要访问远程主机信息时, 先经本地主机将信息传送到本地的 IMP, 再从 IMP 传送到目的地的 IMP, 最后送达目的主机图 1-2 具有交换功能的计算机网络示意图 ARPNET 是由一种通信子网 (Communication Subnet) 和资源子网 (Resource Subnet) 组成的两级结构的计算机网络由接口报文处理机 IMP(Interface Message Processor) 和它们之间互联的通信线路一起负责主机 Host 之间的通信任务, 构成了通信子网, 实现信息传输与交换由通信子网互联的主机组成资源子网, 它负责信息处理运行用户应用程序向网络用户提供可共享的软硬件资源当某主机 ( 例如 H1) 要与远地另一主机 ( 例如 H2) 通信交换信息 H1 首先将信息送至本地直接与其相联的 IMP 暂存, 通过通信线路沿着适当的路径 ( 按一定原则静态或动态的选择的 ) 转发至下一 IMP 暂存, 依次经过中间的 IMP 中转, 最终传输至远地的目的 IMP, 并送入与之直接相联的目的主机如此, 由 IMP 组成的通信子网, 完成信息在通信双方各 IMP 之间的存储 / 转发 (Store And Forward) 任务采用这种方式, 使通信线路不为某对通信双方所独占, 大大提高昂贵的通信线路的利用效率 ARPANET 中存储 / 转发的信息基本单元是分组 (Packet), 它是将整个要交换的信息报文 (Message) 分成若干信息分组, 对每个分组按存储 / 转发的方式在通信子网上传输, 因此把这种以存储 / 转发方式传输分组的通信子网又称为分组交换数据网 (PSDN) ARPANET 不仅开创第二代计算机网络它的影响之深远, 还在于由它开始发展成今天在世界范围广泛应用的国际互联网络 Internet 它的 TCP/IP 协议族就已成为事实上的国际标准从资源分配的角度看 : 分组交换的核心思想是存储转发, 即采用动态分配传输带宽的方法使用通信线路这对于传送突发式的计算机网络数据是非常适合的, 它大大提高了通信线路的利用率在基于分组交换的计算机网络中,IMP TIP 以及通信链路构成了分组交换网

先经本地主机将信息传送到本地的 IMP, 再从 IMP 传送到目的地的 IMP, 最后送达目的主机图 1-2 具有交换功能的计算机网络示意图 ARPNET 是由一种通信子网 (Communication Subnet) 和资源子网 (Resource Subnet) 组成的两级结

8 1.2 计算机网络的定义和功能 3 的通信子网采用分组交换的计算机网络由早期以主机为中心的星型网络拓扑结构演变为以通信子网为中心的网状结构主机和终端处在网络的外围, 构成用户资源子网, 用户不仅可以共享通信子网的资源, 而且可以共享用户资源子网的硬件和软件资源第三阶段 : 开放式标准化的计算机网络诚然, 这些大量出现的第二代计算机网络, 促进了计算机网络的发展和应用但由于这些网络大多是由研究单位大学应用部门或计算机公司各自研制开发利用的, 没有统一的网络体系结构如果要在更大的范围内, 把这些网络互联起来, 实现信息交换和资源共享, 有着很大困难客观需要计算机网络体系结构要由封闭式走向开放式国际标准化组织 ISO (International Standards Organization) 及下属的计算机与信息处理标准化技术委员会 TC97, 经过多年卓有成效的努力, 于 1984 年正式颁布了一个称为开放系统互联基本参考模型 OSI(Open System Interconnection Basic Reference Model) 的国际标准 ISO/OSI 7498 自此, 计算机网络开始了走向国际标准化网络的时代国际标准化网络将具有统一的网络体系结构, 遵循国际标准化的协议目的是能支持各厂商生产的计算机系统互联这个阶段的计算机网络解决了计算机网络与互联标准化的问题, 提出了计算机网络开放式系统互联参考模型 (OSI/RM), 从而极大地促进了计算机网络技术的发展 20 世纪 90 年代以后计算机网络向现代网络技术和协同计算技术方向发展, 随着计算机网应用业务的增长, 地理范围的扩大, 联网站点数的增加, 网络产品的层出不穷, 促使网络互联迅速发展通过网络互联把各种信息孤岛连接成超级网络实现其互操作和协同工作成为人们研究如何利用网络支持协同工作的一个方向计算机支持的协同工作 CSCW 这一概念最早是在 1984 年由美国 MIT 的 Irene Greif 和 DEC 的 Paul Cashman 这两位研究人员用于描述他们正在组织安排的有关如何用计算机支持交叉学科的人们共同工作的课题时提出来的计算机支持的协同工作定义为 : 地域分散的一个群体借助计算机及其网络技术, 共同协调与协作来完成一项任务它包括协同工作系统的建设群体工作方式研究和支持群体工作的相关技术研究应用系统的开发等部分通过建立协同工作的环境, 改善人们进行信息交流的方式, 消除或减少人们在时间和空间上的相互分隔的障碍, 节省工作人员的时间和精力, 提高群体工作质量和效率, 从而提高企业机关团体乃至整个社会的整体效益和人类的生活质量例如, 共享文件系统提供的资源共享能力, 电子邮件和多媒体会议系统提供的人与人之间的通信支持功能, 工作流和决策支持系统的组织管理功能, 一个企业如果有效地利用这些基本工具构造其企业协同管理信息系统, 必将提高企业的管理水平和效益我们把支持协同工作的计算机软件称为群件 (Groupware) CSCW 是一个多学科交叉的研究领域, 不仅需要计算机网络与通信技术多媒体技术等计算机技术的支持, 还需要社会学心理学管理科学等领域学者共同协作计算机协同工作将计算机技术网络通信技术多媒体技术以及各种社会科学紧密地结合起来, 向人们提供了一种全新的交流方式 1.2 计算机网络的定义和功能随着技术的进步应用的扩大, 计算机网络技术也在不断发展这里, 我们按照计算机网络所具有的特性来定义 : 计算机网络是通过通信设施 ( 通信网络 ), 将地理上分散的具有自治功能的多个计算机系统互联起来, 进行信息交换, 实现资源共享互操作和协同工作的系统

研制开发利用的, 没有统一的网络体系结构如果要在更大的范围内, 把这些网络互联起来, 实现信息交换和资源共享, 有着很大困难客观需要计算机网络体系结构要由封闭式走向开放式国际标准化组织 ISO (International

9 4 第 1 章计算机网络的基本概念这是一个广义的定义, 它具有这样的一些特征 : 首先, 计算机网络是一互联的计算机系统的群体这些计算机系统在地理上是分布的, 可能在一个房间内, 在一个单位里的楼群里, 一个或几个城市里, 甚至在全国乃至全球范围其次, 这些计算机系统是自治的, 即每台计算机是独立工作的, 它们是在网络协议控制下协同工作的第三, 系统互联要通过通信设施 ( 网 ) 来实现通信设施一般都由通信线路相关的传输交换设备等组成第四, 系统通过通信设施执行信息交换资源共享, 互操作和协作处理, 实现各种应用要求互操作 (Interoperation 或 Interoperability) 和协作处理 (Interworking) 是计算机网络应用中更高层次的要求特性它需要有一种机制能支持互联网络环境下的异种计算机系统之间的进程通信互操作, 实现协同工作和应用集成不同的计算机网络是为不同的目的需求而设计和组建的, 它们所提供的服务和功能也有所不同下面列举了计算机网络可能提供的一些功能 : 1 数据通信 : 终端与计算机计算机与计算机之间能够进行通信, 相互传送数据, 从而方便地进行信息收集处理交换例如, 文件传输 (FTP) 电子信箱 ( ) 网络传呼 (QICQ) 网络浏览 (WWW) 等 2 资源共享 : 用户可以共享计算机网络范围内的系统硬件软件数据信息等各种资源 3 网络计算 : 提供分布处理和均衡计算机负荷的功能, 降低软件设计复杂性, 提高系统效率 4 集中控制 : 通过计算机网络可对地理上分布的系统进行集中控制, 对网络资源进行集中的分配和管理 5 提高系统的可靠性 : 借助冗余和备份的手段提高系统可靠性在计算机网络中, 各台计算机可以互为后备, 资源冗余以及结构上可动态重组, 这样提高了计算机系统的可靠性 6 网络新服务 : 开辟大量新的应用服务项目 1.3 计算机网络的拓扑及分类计算机网络的拓扑结构是指网络中各个节点的地理分布和互联关系上的几何图形下面介绍 6 种常见的网络拓扑结构 : 星型树型总线型环型混合型以及全连接结构星型结构星型拓扑是由中央节点和通过点到点的链路与中心站相连的各个站点组成图 1-3 给出了星型计算机网络拓扑结构示意图星型网采用的交换方式有电路交换和报文交换两种星型拓扑结构的优点是 : 控制简单故障诊断容易方便服务很容易在网络中增加新的站点数据的安全性和优先级容易控制缺点是 : 中心节点负担较重, 一旦发生故障会引起整个网络瘫痪

通过通信设施执行信息交换资源共享, 互操作和协作处理, 实现各种应用要求互操作 (Interoperation 或 Interoperability) 和协作处理 (Interworking) 是计算机网络应用中更高层次的要求特性它需要有一种机制能支持互联网络

10 1.3 计算机网络的拓扑及分类 5 图 1-3 星型结构树型结构图 1-4 给出了树型计算机网络拓扑结构图 1-4 树型结构树型结构可以看成是星型拓扑结构的扩展, 并不是所有的设备都直接连接到中央控制器上, 绝大多数的设备是首先连接到一个次级控制器上, 再由次级控制器连接到中央控制器上树型拓扑结构的优点和缺点基本与星型拓扑相似, 但次级控制器的引入带来两个优势 : 1 允许更多的设备相联并且增加了数据传输距离 2 允许网络隔离不同计算机的通信以及为不同计算机设定通信的优先级例如, 一台连到某个次级控制器的计算机可能获得比连接在另一个次级控制器上的计算机更高的优先级总线型结构总线拓扑结构采用一个信道作为传输媒体, 网络中所有的站点共享这一条数据传输媒体, 该媒体称为总线, 任何一个站点发送的信号都沿着传输媒体传播, 而且被其他站点所接收, 图 1-5 给出了总线型计算机网络拓扑结构总线型网络安装简单方便, 需要铺设的电缆最短, 成本低, 某个站点的故障一般不会影响整个网络, 但介质的故障会导致整个网络瘫痪, 总线网的安全性较低, 传输距离有限监控

通信以及为不同计算机设定通信的优先级例如, 一台连到某个次级控制器的计算机可能获得比连接在另一个次级控制器上的计算机更高的优先级 1.3.

11 6 第 1 章计算机网络的基本概念比较困难, 增加新站点也不如星型容易图 1-5 总线型结构环型结构环型拓扑结构由站点通过通信介质连成一个封闭的环形图 1-6 给出了环型计算机网络拓扑结构每个站点能够接收一端链路传来的数据, 并以同样的速度把数据送到另一端链路信号在闭环中, 按照设备连接顺序单向传输环形网的优点是容易安装和监控, 可以使用光纤或者电缆, 每一个节点都可以中继信号, 通讯距离较长缺点是容量有限, 故障检测困难, 一旦节点发生故障会引起全网络的瘫痪图 1-6 环型结构混合型结构图 1-7 给出了混合型计算机网络拓扑结构通常一个网络会将几个不同拓扑结构的子网连接在一起, 组成一个大的网络, 整个网络连接成一个混合型的拓扑结构

到另一端链路信号在闭环中, 按照设备连接顺序单向传输环形网的优点是容易安装和监控, 可以使用光纤或者电缆, 每一个节点都可以中继信号, 通讯距离较长缺点是容量有

12 1.3 计算机网络的拓扑及分类 7 图 1-7 混合型结构全连接结构图 1-8 给出了全连接计算机网络拓扑结构图图 1-8 全连接结构任意两个节点间都存在一条直接路经 ( 即直连两个节点的路径 ), 这就是说, 如果网络中总共有 n 个节点, 总的路径数将是 n(n-1)/2 全连接结构优点是健壮性安全性和私有性缺点是费用昂贵而且安装和重新配置十分困难计算机网络的分类一个计算机网络可以从地域范围拓扑结构信息传输交换方式或协议网络组建属性或用途等不同角度加以分类

路径数将是 n(n-1)/2 全连接结构优点是健壮性安全性和私有性缺点是费用昂贵而且安装和重新配置十分困难 1.3.

13 8 第 1 章计算机网络的基本概念 1. 按地域范围分类按照网络的作用与地理范围来分, 计算机网络类型大致可分为以下 3 大类 : (1) 局域网 LAN(Local Area Network) 一般限定在较小的区域内, 小于 10 km 的范围, 通常是一个办公室, 一个建筑物或是校园内, 最常见的局域网拓扑图有星型总线型和环型 (2) 城域网 MAN(Metropolis Area Network) 规模局限在一座城市的范围内,10~100 km 的区域城域网可以是单一的网络, 也可以是通过许多局域网络连接成一个更大的网络 (3) 广域网 WAN(Wide Area Network) 网络跨越国界洲界, 甚至全球范围广域网通常利用电信部门提供的分组交换网卫星通信信道和无线分组交换网等, 将分布在不同的地区的计算机系统互联起来, 达到资源共享的目的目前局势网和广域网是计算机网络的热点局域网是组成其他两种类型网络的基础, 城域网一般都加入了广域网, 广域网的典型代表是 Internet 网 2. 按拓扑结构分类网络拓扑结构是从网络拓扑的观点来讨论和设计网络的特性也就是讨论网络中的通信节点和通信线路或信道的连接所构成的各种网络几何构形, 用以反映出网络各组成成分之间的结构关系, 从而反映了整个网络的整体结构外貌实际上, 这儿考虑的得更多的是通信子网的拓扑结构问题一般地讲, 通信子网可以设计成两种通信 ( 信道 ) 类型 : 点对点通信 (Point-to-Point) 和广播通信 (Broadcast) 点对点信道 : 其特点是一条线路连接一对节点两台主机常常经过几个节点相连接信息的传输采用存储转发方式这种信道成的通信子网常见的拓扑结构有 :1 星型,2 树型, 3 全连接型,4 不规则形式分布式广播信道 : 其特点是只有一条供诸结点共享的通信信道由这种信道构成的通信子网的拓扑结构可有三种形式 :1 总线型,2 环型,3 卫星或无线广播通信方式 3. 按信息传输交换方式分类根据信息在网内传输交换方式, 可分为 : 电路交换和存储转发交换而存储转发又可以分为报文交换和分组交换分组交换包括数据报交换和虚电路交换电路交换是通信双方建立一条物理连接后, 数据沿着该连接到达目的地, 数据传送时独享该连接 ; 存储转发指数据被分成若干段, 每段按照交换设备选定的路由独立地从源到目的地 4. 按网络组建属性分类一个计算机网络, 根据其组建经营和用户, 特别是它的数据传输和交换系统的拥有性, 可以分为公用网和专用网两类

局域网拓扑图有星型总线型和环型 (2) 城域网 MAN(Metropolis Area Network) 规模局限在一座城市的范围内,10~100 km 的区域城域网可以是单一的网络, 也可以是通过许多局域网络连接成一个更大的网络 (3) 广域网 WAN(Wide

14 1.4 计算机网络的组成计算机网络的组成计算机网络从其构成的软硬件可以分为传输 / 交换设备用户设备和网络软件传输 / 交换设备 : 线路设备互联设备传输设备一般包括双绞线同轴电缆和光纤等交换设备一般包括网桥中继器网关交换机和路由器等用户设备 : 主机终端服务器网络软件 : 网络操作系统网络协议软件用户程序 1.5 计算机网络协议标准化计算机网络协议标准可分为两类 : 1 事实标准 (From The Fact) 由厂家制定的, 未经有关标准化组织审定通过, 但由于广泛使用形成了事实标准 2 法定标准 (By Law) 经有关标准化组织审定通过的标准相关标准化组织国际电信联盟 (ITU,International Telecommunication Union) 它的任务是国际电信的标准化它有 3 个主要的部门 :ITU-R,Radio Communications Sector;ITU-T, Telecommunications Sector;ITU-D,Development Sector ITU-T 的工作为电信标准化, 它的前身为 CCITT 它的成员为政府部门和电信厂商国际标准化组织 (ISO,International Standards Organization), 它的成员为国家标准化组织, 如美国的 ANSI(American National Standards Institute) 它的标准化程序 : 从 CD(Committee Draft) 到 DIS (Draft International Standard), 再到 IS(International Standard) Internet 体系结构委员会 (IAB,Internet Architecture Board), 它是一个非正式的标准化组织它分成 IRTF(Internet Research Task Force) 和 IETF(Internet Engineering Task Force), 前者关注长期的研究, 后者处理短期的工程问题它的标准化程序 : 草案标准 (DS,Draft Standard) 到 RFC (Request For Comments), 再到 IS(Internet Standards)

用户设备 : 主机终端服务器网络软件 : 网络操作系统网络协议软件用户程序 1.

15 第 2 章计算机网络体系结构基本理论 2.1 协议与分层结构计算机网络由若干个相互联接的点组成, 这些节点之间要不断地进行数据交换为达到正确的数据交换目的, 它们之间必须具有共同的语言交换什么, 怎么交换, 何时交换, 每个节点必须遵守一些事先约定好的通信规则, 这些规则就是网络协议 (Protocol) 网络协议是这些为了计算机网络中的数据交换而建立的规则标准或约定的集合网络协议主要由下列三个基本要素组成 : 1 语法 (Syntax): 涉及数据与控制信息的结构或格式如数据格式编码和信号电平等规定 2 语义 (Semantics): 用于协调和差错处理而发出控制信息描述控制信息的含义完成何种动作, 以及作出何种应答等 3 时序 (Time): 即事先顺序的详细说明, 包括速度匹配和顺序由于计算机网络是一个复杂的系统, 分层是系统分解的最好方法之一网络协议通常采用层次结构网络协议分层有以下几点好处 : 1 各层之间是独立的一个层次不需要知道它下面的一层是如何实现的, 而仅需知道该层通过层间的接口所提供的服务, 及调用此程序所需要的格式和参数 2 灵活性好当任何一层发生变化时, 只要接口关系保持不变, 则其他层次均不受影响 3 结构上可分隔开各层可以采用合适的技术来实现 4 易于实现和维护这种结构使得一个复杂系统的实现和调试变得简单, 因为整个系统已被分解为若干个小的易于处理的部分 5 有利用标准化工作每一层的功能以及向其他层所提供的服务都有了精确的说明, 因此对于标准化工作是十分方便的计算机网络各个层次之间的关系及其相关协议的集合称为网络体系结构网络体系结构与其他具体实现是不同的网络体系结构是抽象的, 是对功能的精确描述而实现是具体的, 是真正运行的硬件和软件划分层的原则 : 1 当需要由一个不同等级的抽象时就应当有一个相应的层次 2 每一层的功能应当时非常明确的 3 层与层的边界应选择的使通过这些边界的信息量尽量少些, 否则不方便 4 层数太少, 会使每一层的协议太复杂, 但层数太多又会在描述和综合各层功能的系统工程任务时遇到较多的困难

则, 这些规则就是网络协议 (Protocol) 网络协议是这些为了计算机网络中的数据交换而建立的规则标准或约定的集合网络协议主要由下列三个基本要素组成 : 1 语法 (Syntax): 涉及数据与控制信息的结构或格式如数据格式编码和

16 2.2 OSI 参考模型 OSI 参考模型计算机网络在 20 世纪 70 年代迅速发展, 特别在 ARPANET 建立以后, 世界上许多计算机大公司都先后推出了自己的计算机网络体系结构例如 IBM 公司的系统网络结构 SNA, DEC 公司的分布式网络结构 DNA 等, 但这些网络体系结构具有封闭的特点, 它们只适合于本公司的产品连网, 其他公司的计算机产品很难入网, 这就妨碍了实现异种计算机互联以达到信息交换资源共享分布处理和分布应用的需求客观需求迫使计算机网络体系结构由封闭走向开放式国际标准化组织 ISO(International Standards Organization) 在 1979 年建立了一个分委员会来专门研究一种用于开放系统互联的体系结构 (Open Systems Interconnection) 简称 OSI 经过多年努力于 1984 年提出了开放系统互联基本参考模型 ISO/OSI-RM, 从此开始了有组织有计划地制定一系列网络国际标准图 2-1 OSI 体系结构的参考模型 ISO 7498 信息处理系统开放系统互联基本参考模型 (ISO 7498,Information Processing Systems Open Systems Interconnection Basic References Model) 是 OSI 标准中最基本的一个它从 OSI 体系结构方面规定了开放系统在分层相应层对等实体的通信标识符服务访问点数据单元层操作 OSI 管理等方面的基本元素组成和功能等, 并从逻辑上把每个开放系统划分为功能上相对独立的七个有序的子系统所有互联的开放系统中, 对应的各子系统结合起来构成开放系统互联基本参考模型中的一层这样,OSI 体系结构就由如图示功能上相对独立的 7 个层次组成

络体系结构具有封闭的特点, 它们只适合于本公司的产品连网, 其他公司的计算机产品很难入网, 这就妨碍了实现异种计算机互联以达到信息交换资源共享分布处理和分布应用的需求客观需求迫使计算机网络体系结构由封闭走向开

17 12 第 2 章计算机网络体系结构基本理论图 2-2 OSI 体系结构的参考模型的信息格式开放的意思是只要遵循 OSI 体系结构的标准, 一个系统可以和位于世界上任何地方的, 也遵循 OSI 标准的其他任何系统进行互联国际标准化组织经过反复研究, 在已有的网络体系结构 ( 如 DNA SNA 等 ) 的基础上, 制定了开放系统互联参考模型 (Open Systems Inter Connection Reference Model;OSI/RM) 即 OSI 参考模型,OSI 包括体系结构服务定义和协议规范三级抽象 OSI 体系结构定义了一个 7 层模型, 如图所示, 分别是物理层数据链路层网络层传输层会话层表示层和应用层 OSI 的服务定义描述了各层所提供的服务以及层与层之间的抽象接口和交互使用的服务原语 OSI 的协议规范精确的定义了控制信息的发送和解释, 它只是一个为定制标准而提供的概念性框架 OSI7 层模型的主要功能如下 : 1 物理层 (Physical): 物理层的任务就是为它的上一层提供一个物理连接, 定义了为建立维护和拆除物理链路所需的机械的电气的功能的和规程的特性如规定使用电缆和接口的类型, 传送信号的电压等物理层使用原始的数据位流, 传输数据单位是比特 2 数据链路层 (Data Link): 它把相邻两个节点间不可靠的物理链路变成可靠的无差错的逻辑电路, 数据链路层传输信息的单位是帧 (Frame) 每帧包括一定数量的数据和一些必要的控制信息, 在每帧的控制信息中, 包括同步信息地址信息差错控制信息流量控

系结构定义了一个 7 层模型, 如图 2-1 2-2 所示, 分别是物理层数据链路层网络层传输层会话层表示层和应用层 OSI 的服务定义描述了各层所提供的服务以及层与层之间的抽象接口和交互使用的服务原语 OSI 的协议规范精确的定义

18 2.3 网络体系结构的基本理论 13 制信息等数据链路层负责建立维护和释放数据链路数据链路层还要协调收发双方的数据传输率, 进行流量控制 3 网络层 (Network): 网络层将数据链路层提供的帧组成数据分组 (Packet) 进行传输主要任务是要选择合适的路由交换结点, 完成任意两个结点之间的连接主要解决如何使数据分组跨越通信子网, 从源节点传送到目的节点的问题数据包中封装有网络层包头, 其中含有逻辑地址信息, 源站点和目的站点的网络地址以上三层组成网络的通信子网, 通信子网负责把一个地方的数据可靠地传送到另一个地方, 但并未实现两个主机进程之间的通信通信子网的主要功能是面向通信的 4 传输层 (Transport): 传输层是资源子网与通信子网的桥梁完成资源子网中两个节点的通信真正地实现了端到端的连接, 即主机之间的连接把数据可靠地从一方的用户进程传送到另一方的用户进程这一层的控制通常由通信两端的计算机完成, 中间节点一般不提供这一层的服务, 传输层传送的信息单位是报文 (Message) 传输层向上层提供一个可靠的端到端服务, 使上一层看不到下面几层的通信细节因此, 传输层是网络体系结构中最为关键的一层有时又称为中间层 5 对话层 (Session): 又称会话层主要功能是组织和同步不同主机上各种进程间的通信, 负责两个会话层实体之间进行对话连接的建立和拆除, 双方相互确认身份, 协商对话连接的细节 ; 还可管理对话是双向的, 还是单向的对话层还提供在数据流中插入同步点机制, 在每次网络出现故障后可以返重传最近一个同步点以后的数据, 而不必从头开始 6 表示层 (Presentation): 主要解决用户信息的语法表示问题表示层将数据从适合于某一系统的语法转变为适合于 OSI 系统内部使用的语法具体地讲, 表示层对传送的用户数据进行翻译或解释编码和变换, 使得不同类型的机器对数据信息的不同表示方法可以相互理解数据加密解密信息压缩等都是表示层的典型功能 7 应用层 (Application): 应用层的主要任务是确定进程之间通信的性质以满足用户需要, 以及提供网络与用户应用软件之间的接口服务例如, 虚拟终端协议文件传送协议电子邮件等 2.3 网络体系结构的基本理论所谓网络体系结构 (Architecture), 是指计算机网络的分层各层协议和层间接口的集合, 也就是网络及其部件所应完成的功能的精确定义因此体系结构是计算机网络的一种抽象的层次化的功能模型下面我们以 OSI/RM 为主, 介绍网络体系结构的一些基本概念基本概念 1.(N) 层子系统 ( N ) 实体我们知道,OSI 参考模型的基本构造技术是分层它将开放系统的全部功能划分为 7 个层次, 每个划分称为一个子系统处于参考模型 (N) 层的子系统记为 (N) 子系统, 同一开放系统的相邻层及其子系统分别用 (N+1) ( N ) ( N - 1 ) 层子系统来表示 ( N ) 层表示某一特定的层, 那么 (N+1) 表示相邻高层,( N - 1 ) 表示相邻低层此种表示方法也适用于与这些层有关的概念, 如 (N) 协议 ( N+1) 服务 ( N - 1 ) 实体等

层组成网络的通信子网, 通信子网负责把一个地方的数据可靠地传送到另一个地方, 但并未实现两个主机进程之间的通信通信子网的主要功能是面向通信的 4 传输层 (Transport): 传输层是资源子网与通信子网的桥梁完成资源子网

19 14 第 2 章计算机网络体系结构基本理论图 2-3 子系统图 2-4 开放系统子系统实体协议和层的关系一个 (N) 子系统在逻辑上可认为由一个或多个实体 (Entity) 组成或者说,( N ) 实体是 (N) 子系统内的活动元素, 执行 (N) 层的功能它具有两个方面 : 类型和一组实例 ( N ) 实体类型是指该 ( N ) 实体所能执行的 (N) 层功能的特定集合 ( N ) 实体类型的实例是指在与该 (N) 实体类型相关的开放系统中对该 (N) 实体类型 ( 即功能 ) 的一次特定的调用在不同的开放系统中, 同一层的实体称为对等实体 (Peer Entites) 2.(N) 服务与 (N) 协议每一个 (N) 实体, 只能与同一开放系统中上一个相邻实体即 (N+1) 实体和下一相邻实体即 (N-1) 实体通过它们的共同边界直接通信 ; 而同层内处于不同开放系统的通信必须通过相邻的低层及其以下各层的通信来完成的从最高层应用层起, 依次类推, 直到最低层物理层物理层内两个对等实体则通过它们的物理媒体直接通信在此我们看到, 对等 (N+1) 实体间的通信只能通过相邻的对等 (N) 实体完成 ( N )

20 2.3 网络体系结构的基本理论 15 实体向 (N+1) 实体提供它们间的通信能力的一组业务 (Facilities) 称为 (N) 服务因此, (N+1) 实体必须请求 (N) 实体的服务才能完成通信而 (N) 实体提供给 (N+1) 实体的服务则是通过调用 (N-1) 实体提供的服务和执行 (N) 层内的功能来实现 (N) 实体在执行 (N) 层功能时, 确定 (N) 对等实体间通信行为的一组规则 ( 语义 ) 和格式 ( 语法 ) 称为 (N) 协议因此,( N ) 层 ( N - 1 ) ( N+1) 之间协议和服务的关系是 :( N ) 层实体利用 (N-1) 层提供的服务和执行 (N) 层协议来对 (N+1) 提供服务 3.(N) 层服务访问点 (N)-SAP 和 (N) 服务原语 (N) 层实体向 (N+1) 层实体提供服务,( N+1) 层实体向 (N) 层实体请求服务, 从概念上讲, 这是通过位于 (N) 层和 (N+1) 层的界面上的服务访问点 ( N )-SAP(N-Service Access Point) 来实现的 ( N ) -SAP 是一个访问工具, 由一组服务元素和抽象操作组成, 并由 (N+1) 实体在该点调用我们把 (N) 层中提供 (N) 服务的那些 (N) 实体总称为 (N) 服务提供者 ; 而把调用 (N) 服务的 (N+1) 实体称为 (N) 服务用户, 如图 2-5 所示图 2-5 服务模型服务的请求与提供是通过在服务访问点 SAP 上服务原语 (Primitive) 的发送与接收来实现的这要求 (N)- 服务用户与 (N)- 服务提供者跨服务访问点 (N)-SAP 进行交互, 它指出了相应的服务和必须执行的抽象操作服务原语是一种原子动作, 它由服务用户发出也可由服务提供者发起原语所描述的交互只是一种抽象的交互, 并不涉及交互实体在服务访问点 (N)-SAP 上如何具体交换信息从实现的角度看, 一个服务要求可能包含着一组原语的调用和在一定的时间内执行一系列的交互例如, 连接建立服务元素调用相关服务原语的情形 : 开放系统 A 的 (N+1) 实体欲与开放系统 B 的 (N+1) 实体建立连接, 则 A 的 (N+1) 实体通过 (N)-SAP 发出 (N) 连接建立请求 (N)CONNECTION.request 原语 ;(N) 实体 ( 即 (N) 服务提供者 ) 接受此原语, 执行相应的 (N) 协议功能及有关操作, 在 B 的 (N)-SAP 处向 (N+1) 实体发出 (N+1) 连接建立指示 (N)CONNECTION.indication 原语, 指出 A 的 (N+1) 实体欲与其建立 (N) 连接若 B 的 (N+1) 实体同意建立连接, 则通过 (N)-SAP 向 (N) 实体发出连接建立响

体利用 (N-1) 层提供的服务和执行 (N) 层协议来对 (N+1) 提供服务 3.

21 16 第 2 章计算机网络体系结构基本理论应 (N)CONNECTION.response 原语, 执行 (N) 协议功能及相关操作, 在 A 的 (N)-SAP 处 (N) 服务提供者向 (N+1) 实体发出 (N) 连接建立确认 (N)CONNECTION.confirm 原语, 至此, 对等实体 (N+1) 实体间的 (N+1) 连接建立图 2-6 服务请求与提供的过程示意 A 图 2-7 服务请求与提供的过程示意 B 服务元素类型 : 通信双方实体对的交互关系需要有不同类型的服务元素有 3 种类型服务元素 : 确认服务非确认服务仅由服务提供者发起的服务, 如图 2-8 所示通过以上讨论, 我们可以明确一个完整的服务定义应包含以下几个方面 : 1 服务元素集合 2 哪些服务元素是必有的或由服务提供者可选的或由服务用户可选的 3 服务元素是确认型非确认型或由提供者发起的 4 服务原语及相关的参数 5 在 SAP 发出的原语的应用限制

22 6 服务提供者处理服务原语的队列模型 7 服务质量 QOS(Quality Of Service) 2.3 网络体系结构的基本理论 17 图 2-8 服务元素类型及相应原语调用

23 18 第 2 章计算机网络体系结构基本理论 4. 连接连接端点地址如前所述, 对等 (N+1) 实体间的彼此通信交换信息是通过调用相应 (N)-SAPs 上的 ( N ) 服务来实现的连接是其中的一项重要服务它是根据 (N+1) 对等实体的要求, 由 (N) 对等实体的 (N)-SAPs 间建立的一种逻辑连接每条 (N) 连接由两个连接点 (N)CEPs (Connection End Points) 及相应的连接端点标识符 (N)CEPs-identifiers 加以定义, 如图 2-9 所示这样有关 (N) 连接可用 3 个属性加以描述 : (1) 标题与标题域图 2-9 (N) 连接与 (N)CEP 标题 (Title) 是一个实体的永久标识符在 OSI 环境中, 用以命名该实体命名实体的所有标题的集合称为全局标题域或标题空间标题空间的任一子集称为标题域因此, 标题域可以包含在全局标题域内, 也可以包含在另一个标题域内为了标识标题域, 需要给标题域命名, 它是 OSI 环境中唯一标识该标题域的标识符因此, 标题有全局标题和局部标题之分, 它们应该是无歧义的全局标题可以由标题域名和该标题域内的局部标题组成在 OSI 环境内, 分层的标题域中, 全局标题可以由该层的标题域名和该层内的局部标题组成例如, 会话层局部标题为 abc 的实体, 它的全局标题则为 Sabc 运输层内端点的实体, 它的局部标题也可为 abc, 但其全局标题则为 Tabc 因此, 会话层和运输层中的实体, 它们各自目的局部标题相同, 但它们在不同的层中, 因此而它们在 OSI 环境中的全局标题则是不相同的, 表 2-1 列出了这些情况

24 2.3 网络体系结构的基本理论 19 表 2-1 标题与标题城的关系特定层名标题域名局部标题实体相应的全局标题 Application A e1,e2 Ae1,Ae2 Presentation P e3 Ae3 Session S Abc Sabc Transport T Abc Tabc Network N Data-link DL Physical PH (2) 地址也称 (N) 服务访问点地址, 是用来标识 (N) 服务访问点的标识符, 它标识了连接某个 (N+1) 实体的一个特定的 (N) 服务访问点当该 (N+1) 实体从这个服务访问点脱开时, 该 (N) 地址不再提供对该 (N+1) 实体的访问若该 ( N ) 服务访问点又新连到一个不同的 ( N+1) 实体, 则该 (N) 地址标识了这个新的 (N+1) 实体, 而不是原来的那个 (N+1) 实体一个 (N+1) 实体可以通过一个或多个 (N)SAP 与一个或多个 (N) 实体相连, 如图 2-10 所示图 2-10 实体 SAP Address 关系图 (3) 连接端点标识符 (N)-CEP indentifier 用来标识 (N) 连接端点 (N)-CEP 当 (N+1) 实体与某一个对等 (N+1) 实体建立 (N) 连接时, 支持该 (N) 连接的每个 (N) 实体将赋予相应的 (N+1) 实体一个 (N) 连接端点标识符一个 (N) 服务访问点内可以有多个 (N) 连接端点, 但每个连接端点标识符在该 (N) 服务访问点内则是唯一的因此,( N ) 连接端点标识符由两部分组成 : 即该 (N) 连接端点所在的 (N) 服务访问点地址 (N)-address 和该 (N) 连接端点后缀, 它唯一地标识在该 (N) 服务访问点的一个连接端点这样一个 (N) 连接端点标识符可表示为 [(N)address,(N)CEP-suffix] 有序二元组对于每条 (N) 连接有两个 (N) 连接端点及相应的两个 (N) 连接端点标识符, 为了标识 (N) 连接, 用一个 (N) 连接标识符来表示

25 20 第 2 章计算机网络体系结构基本理论 5. 数据单元在 OSI 环境内, 信息传送发生在一层的已建立起连接的对等实体之间, 也可发生在同一开放系统相邻子系统的实体之间因此, 采用不同类型的数据单元来表示这种不同传送方式的信息 (1)( N ) 协议数据单元 (N)PDU 已建立起连接的同层对等 (N) 实体间交换信息的单元称为 ( N ) 协议数据单元 (N)-PDU [(N)Protocol Data Unit] 每一个 (N)-PDI 有两个主要部分组成 : 协议控制信息 (N)-PCI 和用户数据 (N)-UD (N)-UD 是 (N) 实体从其用户 [ 即 (N+1) 实体 ] 接收到的内容一旦收到 (N)-UD,( N ) 实体就用 ( N ) -PCI 为用户数据加上前缀, 形成 (N) 的协议数据单元 (N)-PDU ( N ) -PCI 中通常包含 (N) 协议标识符 ( N ) -PDU 类型地址信息及其他有关信息等对等 (N) 实体间的通信不是直接进行的, 而是通过相邻层及以下各层来进行的, 即源系统发送实体 (N) 的 PDU, 要经过逐层的 PCI 的封装, 到达物理层, 通过物理媒体把信息传送目的系统的物理层, 然后逐层向上脱掉其各层的 PCI, 最后到达目的系统接收实体 (N) ( 2 )( N ) 服务数据单元 (N)-SDU 从相邻两层实体交换信息是服务提供者与服务用户之间交换信息的角度来考虑引入 (N) 服务数据单元 (N)SDU 概念 ( N ) 实体通过 ( N ) SDU 在 (N)-SAP 向 (N+1) 实体提供服务, 或者说 (N+1) 实体在 (N)-SAP 从 (N)SDU 索取 (N) 实体的服务, 如图 2-11 所示图 2-11 (N) 服务数据单元 (N)SDU

26 2.3 网络体系结构的基本理论 21 (3)( N ) 接口数据单元 (N)IDU 由上可知,( N+1) 实体与 (N) 实体的信息交换形成 (N+1)PDU 与 SDU 的变换, 这是发生在跨越 (N+1) 层与 (N) 层的接口上, 因此, 需要有一种接口控制信息 ICI 来协调这种联合操作因这发生在 (N+1) 与 (N) 层边界上, 把 (N+1) 实体与 (N) 实体交换的信息通称为 (N) 接口数据, 记为 (N)ID, 相应的 ICI 记为 (N)ICI ( N ) ICI 与 (N)ID 组成了 (N) 接口数据单元 (N)IDU, 如图 2-12 所示一个 (N)ID 可以是一个 (N)SDU, 也可以是部分 (N)SDU, 或者一个 (N)SDU 可以分为一个或多个 (N)IDU 图 2-12 接口数据单元 (N)IDU 层操作要素对于面向连接的通信中, 连接建立数据传送和连接释放是层操作中三个最主要的公共操作 1. 连接建立 (N) 对等实体间的 ( N ) 连接建立是作为向 (N+1) 实体提供的一种服务, 以便使 (N+1) 实体之间能交换信息建立 (N) 连接要具备两个条件 : 1 支持该 (N) 连接的实体之间存在着可用的 (N-1) 连接 ; 2 对等 (N) 实体都处于能够执行连接建立的状态如果尚无可用的 (N-1) 连接, 则先要建立 (N-1) 层对等实体间的 (N-1) 连接, 这时, 所要求的条件和上述 1,2 两条件相同如此, 这两个条件递归调用, 直到有可用的连接, 或直遇到 OSI 的物理介质为止 (N) 连接是一种确认型的服务, 如图 2-13 所示其一组原语为 (N)CONNECTION.request (N)CONNECTION.indication (N)CONNECTION.response (N) CONNECTION.confirm

27 22 第 2 章计算机网络体系结构基本理论图 2-13 N+1 实体通过调用 N 连接建立原语组来建立 N 连接 2. 连接释放已经建立了 (N ) 连接的对等 (N+1) 实体, 由于下列原因之一, 需要释放它们之间的 (N ) 连接 (1) 正常释放当对接 (N+1) 实体间完成数据传送, 任何一方 (N+1) 实体可以发起释放它们之间的 ( N ) 连接, 如图 2-14 所示正常释放原语为 (N) DISCONNECT.request 以及 (N) DISCONNECT.indication (2) 有序释放在 OSI 的某些层, 设有释放权标一种有权发起释放, 只有持有释放权标的 (N+1) 实体才可以发起释放 (N) 连接, 如图 2-15 和图 2-16 所示有序释放原语有 : (N) RELEASE-request (N) RELEASE-indication (N) RELEASE-(accept)response (N) RELEASE-(accept)confirm (N) RELEASE-(reject)response (N) RELEASE-(reject)confirm

28 2.3 网络体系结构的基本理论 23 图 2-14 正常释放 N 连接图 2-15 有序释放 N 连接被接受图 2-16 有序释放 N 连接被拒绝 (3) 异常释放当发生异常情况, 不再进行 (N) 连接上的数据传送, 必须立即发起释放 (N) 连接根据发生异常情况位置的不同, 可有两种异常释放, 即 (N) 服务用户发起异常释放 ( 如图 2-17)

29 24 第 2 章计算机网络体系结构基本理论和 (N) 服务提供者发起的异常释放 ( 如图 2-18) 异常释放原语有 : (N) 服务用户发起释放 (N) -U-ABORT.request (N) -U-ABORT.indication (N) 服务提供者发起释放 (N) -P-ABORT.indication 图 2-17 服务用户发起释放图 2-18 服务提供者发起释放 3. 传送数据建立 (N) 连接后, 对接的 (N+1) 实体间可调用数据传送原语组来传送数据所传送的数据有常规数据加速数据特权数据等几类 : (1) 常规数据传送 (N+1) 实体调用 (N)-DATA.request 原语向 (N) 实体请求发送数据, 接收方 (N) 实体接收发送过来的数据 DT(N)PDU, 产生相应的 (N) 服务原语 (N)-DATA.0indication, 送给其相应的 (N+1) 实体, 完成了 (N) 连接上的数据传送但在运输层网络层数据链路层中, 为了保证数据传输的可靠性, 接收 (N) 实体对接受到的数据单元 DT(N)PDU 是否正确收妥产生确认信息给发方 (N) 实体若是正确收到, 则发送一个确认数据单元 ACK(N)PDU 若接收的 DT(N)PDU 发生某种错误, 则接收方 (N) 实体不产生

30 2.3 网络体系结构的基本理论 25 (N)-DATA-indication 原语, 而是对接收的 DT(N)PDU 产生一个拒收的 (N) 协议数据单元 RJ(N)PDU 给发送方 (N) 实体, 并要求重发该 DT(N)PDU, 如图 2-19 图 2-20 和图 2-21 所示图 2-19 无确认数据传送图 2-20 确认数据传送图 2-21 拒绝确认数据 (2) 加速数据传送加速数据传送是传送比常规数据特权数据优先级高的服务数据单元加速数据传送服务常用于传送数据和中断, 它的传送不受数据权标的控制加速数据传送也有是否需要妥收确认回答的问题

31 26 第 2 章计算机网络体系结构基本理论 (3) 特权数据传送在 OSI 某些层中 ( 如会话层 ), 对数据传送服务可以设置一个数据权标, 它是该层的一种属性在某一时刻它被动态地分配给一个服务用户, 表示该用户允许使用数据传送服务不分配有数据权标的服务用户不允许使用数据传送服务在一个 (N) 连接上, 只允许存在一个权标, 分配给一个 (N) 服务用户因此, 持有数据权标的服务用户具有数据传送服务的独占使用权但是, 不持有数据权标的服务用户可以通过某种手段获得数据权标例如, 具有数据权标的 (N) 服务用户即 (N+1) 实体, 通过调用转让权标原语 (N)-TOKEN GIVE, 把数据权标送给对等 (N+1) 实体, 然后该对等 (N+1) 实体就可传送数据了因此具有数据权标控制的数据传送可以实现数据的半双工传送连接映射特性复用与解复用分流与合流 (N) 实体在 (N) 连接上为 (N+1) 实体提供的 (N) 服务是通过在 (N-1) 连接上的服务实现的 ( N ) 连接上的服务被变换为 (N-1) 连接上的 (N-1) 服务, 而 (N) 连接则被映射为 (N-1) 连接如此,( N - 1 ) 连接被映射为 (N-2) 连接, 等等映射可能是以下三种之一 1. 一对一映射一条 (N) 连接被映射成唯一的 (N-1) 连接, 如图 2-22 所示图 2-22 一对一映射 2. 多对一映射多个 (N) 连接被映射成一个 (N-1) 连接这时, 在发送方, 一个 (N-1) 连接支持多个 (N) 连接, 称为 (N) 实体的多个 (N) 连接复用一个 (N-1) 连接 (Multiplexing) 在接收方必须要有一个解复用 (de-multiplexing) 的过程复用可以更有效和经济地使用连接, 如图 2-23 所示

32 2.4 TCP/IP 参考模型 27 图 2-23 多对一映射 3. 一对多映射一个 (N) 连接被映射成多个 (N-1) 连接这时, 在发送方, 用多个 (N-1) 连接支持一个 (N) 连接,( N ) 实体的这种功能称为分流 (Splitting), 如图 2-24 所示在接收方就需要一个叫做合流的过程 (Recombining) 使用分流和合流功能可以提高可靠性和吞吐量图 2-24 一对多映射 2.4 TCP/IP 参考模型 TCP/IP(Transmission Control Protocol/Internet Protocol) 的简写, 中文译名为传输控制协议 / 互联网络协议,TCP/IP 协议是美国国防部高级计划研究局 DARPA 为实现 ARPANET 互联网而开发的目前, 众多的网络产品厂家都支持 TCP/IP 协议,TCP/IP 实际上已经成为互联网通信的标准, 作为互联网上的传输协议,TCP/IP 使得全球范围以内的计算机能够互相通信 TCP/IP 的参考模型 TCP/IP 协议的参考模型通常分为 4 个层次, 如图 2-25 所示

33 28 第 2 章计算机网络体系结构基本理论应用层传输层网络层网络接层 Telnet FTP DNS HTTP SMTP 和 TCP 和 UDP IP ICMP ARP RARP 设备驱动和接口卡图 2-25 TCP/IP 协议族的 4 个层次每一层具有不同的功能 : 1 网络接口层 : 通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡它们组合一起处理与电缆 ( 或其他任何传输媒介 ) 的物理接口细节 2 网络层有时也称为互联网际层, 处理分组在网络中的传输例如, 分组的路由在 TCP/IP 协议族中, 网络层协议包括 IP 协议 ( 网际协议 ) ICMP 协议 (Internet 互联网控制报文协议 ), 以及 IGMP 协议 (Internet 组管理协议 ) 等 3 传 ( 运 ) 输层 : 主要为两台主机上的应用程序提供端到端的通信在 TCP/IP 协议族中, 有两个不同的传输层协议 :TCP( 传输控制协议 ) 和 UDP( 用户数据报协议 ) 在应用进程中两种运输层协议具有不同的用途 TCP 为两台主机提供高可靠性的数据通信 UDP 则为应用层提供一种非常简单快捷的服务 4 应用层 : 负责处理特定的应用程序细节, 处理用户和网络的应用接口 TCP/IP 提供下面这些通用的应用程序 : Telnet: 远程登录 FTP: 文件传输协议 SMTP: 简单邮件传送协议 SNMP: 简单网络管理协议 TCP/IP 协议族是一组不同的协议组合在一起构成的协议族, 尽管通常称该协议族为 TCP/IP 协议, 但 TCP/IP 只是其中的两种协议在 TCP/IP 协议族中, 网络层 IP 提供的是一种不可靠的服务它只是尽可能快地把分组从源结点传送到目的结点, 但是并不提供任何可靠性保证 TCP 在不可靠的 IP 层上提供了一个可靠的传输层为了提供这种可靠的服务,TCP 采用了超时重传, 发送和接收端到端的确认等机制由于运输层提供了高可靠的端到端的通信, 因此应用层可以忽略网络通信的细节由此可见, 传输层和网络分别负责不同的功能 TCP/IP 的协议族 TCP/IP 协议是由很多种协议组成, 称为 TCP/IP 协议族图 2-26 给出了这些协议之间的关系网络接口层定义了地址解析协议 ARP(Address Resolution Protocol) 和逆向地址解析协议 RARP(Reverse Address Resolution Protocol) 来提供 TCP/IP 协议的数据结构和实际物理网络之间的接口, 进行 IP 层和实际的物理网络地址间的转换 IP(Internet Protocol) 网际协议是工作在网络层上的主要协议, 同时被 TCP 和 UDP 所使用 TCP 和 UDP 的数据包都是通过端系统和中间路由器中的 IP 层在互联网中进行传输 ICMP(Internet Control Message Protocol) 网际控制报文协议, 是 IP 协议的附属协议,IP 层用它来与其他主机或路由器交换错误报文和其他控制信息尽管 ICMP 主要被 IP 使用, 但应用程序也有可能访问它诊断程序 Ping 和 Traceroute 都使用了 ICMP ICMP(Internet Croup Message Protocol) 是网际组管理协议, 主要用来把一个 UDP 数据报多播到多个主机

34 2.4 TCP/IP 参考模型 29 用户进程用户进程用户进程用户进程应用层 TCP UDP 传输层 ICMP IP ICMP 网络层 ARP 硬件接口 RARP 网络接口层图 2-26 TCP/IP 协议族中不同层次的协议关系 TCP(Transmission Control Protocol) 传输控制协议和 UDP(User Datagram Protocol) 用户数据报协议是两个最为常用的传输层协议,TCP 提供一种面向连接的可靠的传输层服务 UDP 提供一种面向非连接的, 不可靠的传输层服务, 它不能保证数据报能安全无误地到达最终目的 TCP/IP 定义了很多应用层协议, 包括 SMTP(Simple Mail Transfer Protocol) 简单邮件传送协议 DNS(Domain Nome Service) 域名服务 FTP(File Transfer Protocol) 文件传输协议 Telnet 远程终端访问协议 SNMP(Simple Network Manager Protocol) 简单网络管理协议 HTTP(Hypertext Transfer Protocol) 超文本传输协议, 等等

35 第 3 章数据通信基础 3.1 数字信号富氏变换分析在 19 世纪初期, 法国数学家吉傅立叶 (Jean-Baptiste Fourier) 证明 : 任何正常的周期为 T 的函数 g(t), 都可以由 ( 无限个 ) 正弦和余弦函数合成在数据通信中, 要通过抽样量化将模拟信号数字化那么, 抽样信号和原来的连续时间信号是否等效呢? 这就是抽样定理所要回答的通过傅立叶分析的方法可以证明, 一个信号的频谱如果只在一个有限的频率范围内, 它就可以由一定间隔的抽样信号完全确定, 这就是抽样定理的内容抽样定理在时域上表述为 : 设有一个频带限制在 0~f m Hz 内的模拟信号 x(t) 进行等间隔抽样, 则 x(t) 可被所得到的抽样值完全地确定, 或者说可以通过这些抽样值无失真地重建 x(t) 满足上述抽样定理的抽样频率是 f s >=2f m, 称为奈奎斯特频率 (Nyquist Frequency) 应当指出, 抽样频率 f s 不是越高越好,f s 太高时, 将会降低信道的利用率, 也会增加设备的复杂性, 所以只要能满足 f s >2f m, 并有一定频带的防卫带即可 3.2 数据通信基本原理数据通信定义与分类 1. 通信的定义人类在长期的社会活动中需要不断地交往和传递信息这种传递信息的过程就叫做通信在古代, 通信的方式非常简单, 人与人之间的交往主要是靠手势动作和表情来实现的 ; 但随着科技的日益发展, 通信这一概念无论从手段方法内容, 还是从技术上来说, 都产生很大变化, 已经形成了一门独立的学科特别是在社会已步入信息时代的今天, 通信技术与电子技术计算机技术自动控制技术和人工智能等高新技术紧密结合, 广泛地应用于社会各个方面, 业已成为人们生活中不可缺少的组成部分, 并且在国民经济中扮演着越来越重要的角色 2. 信息系统的模型随着科学技术的不断发展, 人们传递信息的手段也在不断进步, 从本质上说, 无论是电话电报图像计算机还是短波与移动通信等, 都可以抽象地概括为图 3-1 所示的一般通信系统模型下面就通信系统模型中的各个组成部分及其功能予以简单介绍

36 3.2 数据通信基本原理 31 图 3-1 通信系统一般模型需要指出的是, 图 3-1 所示的通信系统是一个一对一的单向通信系统, 实际的通信系统往往是双向的 ; 另外, 当有多个信源对多个信宿进行通信时, 为了有效地利用线路, 通常要在信道中加入交换设备, 这也就构成了通信网络此外, 还应指出的是图 3-1 是适于各类通信系统的一个抽象模型, 它概括地反映各种通信系统的共性, 根据研究对象与研究问题的不同, 还会有不同形式的具体通信系统的模型, 这些将在后续的相关章节中给出 (1) 信源顾名思义, 是信息产生的源泉它可以是人或者机器, 所发出的信息可以是多种多样的, 如语音文字图像数据等, 这些信息可以是离散的, 也可以是连续的 (2) 发送器发送器有很多种类型, 所要完成的功能也很多, 如调制放大滤波发射等等, 在数字通信系统中还要编码一般地, 发送器含有与传输线路匹配的接口, 其基本作用是将信源发出的信息变换成一种便于传输的信号即所谓的编码对于模拟和数字通信系统, 发送器的功能有很大不同 (3) 信道是传递信息的通道, 又是传递物质信号的设施, 信道可以是明线电缆波导光纤无线电波, 等等 (4) 干扰源它是整个系统噪声与干扰的总折合, 用以表征信息在信道上传输时受到的干扰情况对于任何通信系统来说, 干扰的性质与大小都是影响系统性能的重要因素 (5) 接收器其作用与发送器的作用相反, 主要是将信道中的信号接收下来, 并将其变换成与发送时物理形式相同的信息, 再传给信宿, 即完成所谓的译码过程对接收器的基本要求是能够从受干扰的信号中最大限度地提取信源输出的信息, 并尽可能复现信源的输出 (6) 信宿它是信息传输过程中的接收者, 即接收消息的人或机器消息定义如前所述, 通信系统所传输的消息是多种多样的, 但是, 就其特性来说, 都可以把它们归纳为两类 : 连续消息与离散消息连续消息又称模拟消息, 它是指状态连续变化的消息, 如语音信号和图像信号等 ; 离散消息又称数字消息, 是指状态变化为可数或离散型的消息, 如符号文字和数据, 等等通常, 人们所说的信息就蕴藏在这些被传递的消息之中既然

37 32 第 3 章数据通信基础通信系统的作用就是用来传递信息的, 那么, 在传送时, 代表各种消息的语音文字图像或编码都必须首先被转换成电信号才能被传送给收信者所以, 不难建立这样一个概念 : 信息寄寓于消息之中, 消息又以电信号作为载体依据用来传递消息的电信号有模拟信号与数字信号之分, 通信系统可以分为模拟通信和数字通信两大类 1. 模拟通信模拟通信是指在通信系统中所传输的是模拟信号具体的模拟通信系统的框图参见图 3-2 图中, 信源传出的是模拟信号, 即其状态变化为连续的图形发送器被简化为调制器, 接收端设备简化为解调器事实上, 图 3-2 中还应有放大滤波变频等过程, 这里将它们都合并到信道中去以强调调制在模拟通信系统中的重要作用因为从根本上说, 只有调制和解调才对信号的变换起着决定性作用, 并且是保证通信质量的关键图 3-2 模拟通信系统框图 2. 数字通信数字通信是指在通信系统内所传输的是二进制或多进制数字信号的一种通信方式它的主要特点是在实现调制之前要经过两次编码, 相应地, 在收端解调后也要有两次译码, 图 3-3 为数字通信系统的原理框图图 3-3 数字通信系统的原理框图数字通信具有抗干扰能力强易于保密灵活性高和设备简单经济便于集成等特点, 近年来发展十分迅速, 在通信领域中占有越来越大的比例特别是随着计算机技术的飞速发展, 数字通信可与计算机网络技术完全融合, 通信的数字化将成为通信的主导数据通信系统的基本构成随着计算机技术的发展和计算机技术与通信技术结合的日益紧密, 在通信领域中又产生了一个分支, 即数据通信所谓数据通信是指信源本身发出的就是数字形式的消息, 如电报计算机数据及指令, 等等数据通信系统框图与数字通信系统的类似, 仍可用图 3-1 表示它与数字通信系统之间最大的不同点在于, 其信源发出的为数字信号, 无需经过模 / 数转换, 而只需考虑对信源进行压缩编码以降低信源的冗余度, 提高有效性

38 3.2 数据通信基本原理 33 数据通信的信道可以为模拟的, 也可以为数字的特别是在远程通信时多采用模拟方式这主要是考虑经济的原因, 应尽量利用原有信道但随着数据通信业务的增长, 以及对通信速率要求的不断提高, 数据通信的信道越来越倾向于宽带化高速率化, 而现有的模拟信道已远远不能满足相应的要求因此, 数据通信和数字通信是密不可分的技术整体, 可以说, 数字通信是数据通信的技术基础, 数据通信是数字通信技术与计算机技术结合的成果数据通信系统的基本构成 1. 协议在计算机网络中, 不同系统的实体之间将会发生通信一个通信实体是指能够发送和接收信息的任何事物例如, 应用程序文件传输包浏览器数据库管理系统以及电子邮件软件一个系统是包含有一个或多个实体的物理对象, 例如计算机和终端但是两个实体间仅发送二进制位就指望对方能理解所传送的信息的内容是不可能的为了进行通信, 实体之间一定要达成一个协议正如在数据通信组成部分中所定义, 协议就是控制数据通信的一组规则一个协议定义了通信内容是什么, 通信如何进行以及何时进行协议的关键要素是语法语义和时序 (1) 语法语法是指数据的结构或格式, 指数据表示的顺序例如, 一个简单的协议可定义数据的前八个比特是发送者地址, 第二组八个比特是接收者地址, 而剩下的比特流就是消息本身 (2) 语义语义指比特流每部分的含义一个特定的比特模式该如何理解? 基于这样的理解该采取何种动作? 例如, 一个地址指的是要经过的路由器还是消息的目的地址? (3) 时序时序包括两方面的特性 : 数据何时发送以及以多快的速率发送例如, 如果发送方以 100 Mbps 速率发送数据而接收方仅能处理 1 Mbps 速率的数据, 这样的传输将使接收者负载过重并导致大量数据丢失在数据通信中, 一个协议是一组用来控制信息通信的各个方面的规则 2. 标准出于有多种因素要求同步, 即使排除传输正确性和效率因素, 仅仅考虑通信的建立, 在网络节点之间的大量协调也是必需的一个小生产厂商可以使它自己的产品协作得很好, 但如果某些满足用户需求的最好的部件并不是出自一家厂商生产的呢? 如果一台电视机仅能接收某些频率的信号, 而当地电视台根本不播送这些信号又如何? 没有标准, 就出现了困难数据通信标准可以分为两大类 : 事实标准和法定标准法定标准是那些被官方认可的组织制订的未被官方认可的但却在实际应用中被广泛采用的标准称为事实标准事实标准通常都是那些试图对新产品进行功能定义的生产厂商建立的事实标准可以进一步分为两类 : 私有的和非私有的私有标准是最初由一个企业组织为本身产品的操作制订的基础因为该标准由制订它的企业完全拥有, 所以称为私有标准这些标准也被称做封闭式标准, 因为它不提供与别的厂商产品间的通信能力非私有标准是最初由某些组织或委员会制订并推向公共领域的标准, 他们也被称为开放标准, 因为他们提供

39 34 第 3 章数据通信基础了不同系统之间的通信能力 3. 标准化组织标准是由标准化委员会论坛以及政府管理机构共同合作制订的 (1) 标准化委员会尽管同时存在着许多标准化组织, 但是北美的数据和电信方面的标准主要依据于以下一些机构 : 国际标准化组织 (ISO) 国际电信联盟电信标准化部 (ITU-T, 原为 CCITT) 美国国家标准化协会 (ANSI) 电气电子工程师协会 (IEEE) 电子工业联合会 (EIA) 贝尔中心国际标准化组织 (ISO) 成员主要由世界各个国家的政府的标准制订委员会的成员参加, 是一个国际性组织 1 国际电信联盟电信标准化部 (ITU-T, 原为 CCITT) ITU-T 制订的标准中最广为人知的是 : 规定了通过电话线进行的数据通信标准的 V 系列标准 (V.32,V.33,V.42); 规定了通过公用数字网络进行传输的标准的 X 系列标准 (X.25,X.400,X.500); 电子邮件和目录服务标准以及包含了其他标准系列的部分内容, 并规定了国际数字网络融合标准的综合服务数字网 (ISDN) 标准现在正在进行的项目包括 ISDN 标准的一个扩展宽带 ISDN, 也就是通常所说的信息高速公路国际电信联盟电信标准化部 (ITU-T) 是与联合国有关的制订电信业标准的国际标准组织它制订的两个普及的标准系列有 V 系列和 X 系列标准 2 美国国家标准化协会 (ANSI) ANSI 的成员来自专家团体工业协会政府和管制机构以及顾客群体当前讨论的领域包括网际互联工程及规划 ISDN 业务信令以及体系结构以及光纤系列 (SONET) 美国国家标准化协会 (ANSI) 是在国际标准化组织 (ISO) 和国际电信联盟电信标准化部 (ITU-T) 中全权代表美国的非赢利机构 3 电气电子工程师协会 (IEEE) 电气电子工程师协会 (IEEE) 是世界上最大的专业工程师社团 IEEE 关注着在计算和通信领域的国际标准的发展和采纳应用完成了 802 项目 ( 例如, 标准 ) 的委员会就是 IEEE 中为局域网设立的一个专门委员会电气电子工程师协会 (IEEE) 是最大的制订计算通信电子工程以及电子方面标准的国际专业组织 4 电子工业联合会 (EIA) 与 ANSI 结盟的电子工业联合会 (EIA) 是一个致力于促进电子产品生产的非赢利组织电子工业联合会 (EIA) 是美国电子产品生产商的联合会它负责制订 EIA-232-D 和 EIA-530 等标准 5 贝尔中心指贝尔通信研究所, 是贝尔实验室的一个派生机构贝尔中心为电信技术的改进提供研究和开发的资源它是 ANSI 的标准草案的重要提供方 (2) 论坛电信技术的发展速度远远超过了标准化组织批准标准的能力标准化组织是严格程序化

40 3.3 信道和信道参数 35 的机构, 因而进展迟缓为了满足对实际模型和协定的需求和推动标准化进程, 许多有专门兴趣的团体成立了许多由感兴趣的公司组成的论坛论坛与高等院校和用户一起协作来测试评价和标准化某些新技术通过把注意力集中到特定的技术上, 论坛能够加速这些技术在电信团体内的推广和应用过程论坛会将他们的结论提交给标准化组织电信领域重要的论坛包括 : 帧中继论坛 ATM 论坛和 ATM 协会国际互联网社团和国际互联网工程任务组 1 帧中继论坛帧中继论坛是由 DEC 北方电信 Cisco 网络公司和 StrataCoM 公司共同组建, 目的在于促进帧中继技术的实现和推广的组织目前, 它已经拥有来自北美欧洲和环太平洋地区的 40 多个成员机构正在审议的发布文稿包括流控制封装和多点投递, 其结果被提交给国际标准化组织 (ISO) 2 ATM 论坛和 ATM 协会 ATM 论坛和 ATM 协会是为了异步传输模式 (ATM) 技术的推广和应用而成立的 ATM 论坛由用户前端设备 ( 例如 PBX 系统 ) 提供商和中央交换部门 ( 例如电话交换局 ) 提供商组成它主要关心保证互操作性的各项业务的标准化 ATM 协会由支持 ATM 技术的软硬件产品的供应商组成 3 国际互联网社团和国际互联网工程任务组国际互联网社团国际互联网工程任务组 (IETF) 关注于加速国际互联网通信技术的成长和演化国际互联网社团集中关心包括 TCP/IP 协议的增强在内的用户事务国际互联网工程任务组 (IETF) 是国际互联网自身的标准化组织它审查国际互联网的软硬件技术, 其主要贡献包括简单网管协议 (SNMP) 和网桥路由器和路由协议的性能标准审核 (3) 管理机构所有的通信技术都要受到诸如美国的联邦通信委员会 (FCC) 的政府机构的管束这些机构的目的是通过对无线电电视和有线通信的管束来保护公共利益联邦通信委员会 (FCC) 在与通信有关的国际国内商务领域具有权威性任何一项通信技术在推向市场前必须获得 FCC 的同意 ( 在电话机底部可以见到 FCC 认可标志 ) FCC 的责任范围包括 : 审查电报电话供应商的收费率和收费状况审查通信硬件的技术特性规定合理的通信公司平均利润率划分和分配无线电频率段为无线电和电视广播分配载波频率 3.3 信道和信道参数信道定义信道是信号从发送端到接收端之间进行传输的路径这一术语也是线路电路链路数据链路通路等术语的同义语这个术语实际上是指把两种 DCE 通信设备连接起来的设施, 包括传输介质和有关中间通信设备但信道概念的含义, 并不是实际的电缆电线等, 而是指数据流过的由介质提供的路径

41 36 第 3 章数据通信基础信道参数作为信道组成的传输介质分有线和无线两类, 这些传输介质有以下特性 : 信息流方向 : 单工半双工全双工传送信号的类型 : 模拟的和数字的传输速率 : 用比特率和波特率表示带宽 : 在通信信道上可以传输的频率范围称带宽不同的介质有不同的带宽一般带宽越宽, 可在该介质上发送的传输速率越高带宽也决定信道的容量, 如果将传输速度 ( 以比特每秒计 ) 提高到超过信道可以处理的容量时, 将会增大对方接收时的差错量信道的基本特性可以用带宽和容量来说明 1. 带宽 (Band Width) 带宽就是信道的通带 (Pass Band), 由上下限截止频率 fc1 和 fc2 来限定一条传输信道上允许传输信息的频率范围, 即能从信道上通过的最高信号频率, 是传输系统的一个重要指标, 系统所追求的带宽是系统应用的函数系统带宽由传输介质接口部件传输设备传输协议及传输信息的特性等因素所决定为了发送一个理想的方波, 就需要发送无穷多的频率通过发送介质, 但这是不可能的, 所有的发送介质, 不管发送者或接收者, 它所能通过的频率都是受到限制的一根导线和一台设备所能容纳的频率的范围, 其最高和最低频率之差就叫做带宽带宽可能是一种设备的物理性质, 或是以相应的理由所强加的限制 ( 此话有点别扭 ) 例如, 人耳仅能听到声音的频率范围大约在 20~ Hz, 其实际值取决于各个人和其年龄, 因此其带宽即为 20~ Hz 实际上人耳的频率范围是从 300~3 400 Hz, 带宽为 Hz, 其范围是根据实际需要加以限制的如果该设备或介质的带宽受到限止, 这意味着组成方波的某些成分不能通过该设备或介质由于一些组成部分的波被消除, 减少了频率阶次, 方波将变形如果足够多的组成部分的波不能通过介质, 则所接收到的波将难于辨认, 因此用来发送信息的设备和介质必须具有足够的带宽, 允许足够的波的组成部分通过, 以使接收器能正确地识别该信号其实际所需带宽值取决于在发送之后怎么能容易识别信号频率范围的要求, 限制了我们能通过任何介质发送的方波的频率方波的频率越高, 则主要的组成部分的单一波频率越高, 其所需要的带宽越宽所以波形的带宽值是一个频率范围, 在此频率范围内分布着这个波形的绝大部分能量或功率频率宽度定义有多种, 最常用的定义是 3dB 带宽由于 10lg(1/2)=-3, 所以沿频率轴的正半轴单边频率函数的值在两边下降到其最大值的一半的两个点所对应的频率差, 被定义为 3dB 带宽该定义的优点是带宽可直接从单边频率函数的图形上读出但若图形下降很缓慢, 则此定义就与在带宽范围内包含波形的绝大部分能量或功率的要求有所出入此外若图形具有多峰值, 按此定义可能导致某些非唯一的结果另一种定义是把单边频率函数和横轴之间的面积的 90% 所对应的频率范围定义为带宽, 利用此定义所得的带宽结果总是唯一的, 但对于尾部下降缓慢的单边频率而言, 不易计算准确

42 3.4 数据信息传输的基本形式信道容量 (Capacity) 信道容量是指它每秒能传输的最大比特数, 即信道的极限传输速率比特传输率越高, 信道的容量也就越大 (1) 连续信道的信道容量根据香农 (Shannon) 定律, 在高斯白噪声干扰下的信道中, 信道容量为 C=Blg(1+S/N) (b/s) 式中 :B 为信道带宽 ;S 为信号功率 ;N 为白噪声功率白噪声是指在所有频率上噪声强度都一样, 就像白光所包含的各种频率的光波基本上都一样强那样, 而且服从高斯型的概率分布这就是小幅度的噪声出现的概率较大, 大幅度噪声出现的概率急剧下降 (2) 离散信道的信道容量根据取样定理, 可以得到无噪声的信道容量, 这是因为已把信道的带宽与信道上传送的最大符号率建立了关系在只有两个离散值的二元信道中, 即一个符号以 1 比特发送, 那么信道就能发送 2 Bb/s 当符号具有 L 个离散值时, 无噪声信道容量为 C=2Blog2L (b/s) 在有噪声的情况下, 要造成传输差错, 损失信息和降低信道容量以二元信道为例, 通过理论计算, 得出信道收到的一个符号的信息量最大值是 : pelb (1 pe) lb (b) p 1 p e 式中 :Pe 为发生差错的概率上式计算的条件是原发符号中出现 1 和 0 的概率都是 1/2, 后面两项是信号损失, 因此这种二元信道的信道容量为 1 1 C = 2B[1 Pe lb (1 pe ) lb ]( b / s) (3-1) p 1 p e 若假设 Pe=0.1 则由上式算出 C=0.53(2B), 这说明一个二进制符号只能传输 0.53 b 的信息, 使有效的信息速率降低一半 3.4 数据信息传输的基本形式 e e 调制基本概念调制是使载波信号的幅度频率或相位 ( 其中的一种或几种 ) 随发送信号变化的过程载波信号是利用信号发生器产生的高频正弦波发送信号 ( 模拟数据或数字数据 ) 一经调制, 就将作为模拟信号 ( 已携带发送信号的载波已调波 ), 通过送信介质发送出去在接收端接收后要进行解调 ( 从已调波中取出发送信号的过程 ), 再变换成原来的信号形式基带传输由计算机或终端产生的信号, 包含有直流低频和高频等分量是一串脉冲信号, 随着频

43 38 第 3 章数据通信基础率的升高, 其相应幅度减小, 最后趋于零这种由计算机或终端产生的频谱从零开始, 而未经调制的数字信号所占用的频率范围就叫基本频带 ( 这个频带从直流起可高到数百千赫, 甚至若干兆赫 ), 简称基带 (Base Band), 这种数字信号就称基带信号例如, 在有线信道中, 直接用电传打字机进行通信时, 其传输的信号就是基带信号传送数据时, 以原封不动的形式, 把基带信号送入线路, 称为基带传输基带传输不需要调制解调器, 设备花费小, 适用于短距离的数据传输中, 如在一个企业工厂内, 可以来用这种方式将大量终端接于主计算机局域网中采用基带同轴电缆作传输介质进行数据传输频带传输在计算机远程通信线路中, 不能直接传达原始的电脉冲信号 ( 即基带信号 ) 因此除市内线路外, 不能传输近似于零频率的分量为此需要利用频带传输, 就是用基带脉冲对载波波形的某些参量进行控制, 使这些参量随基带脉冲变化, 也就是调制经过调制的信号称为已调信号已调信号通过线路传输到接收端, 然后经过解调恢复为原始基带脉冲频带传输不仅克服了目前许多长途电话线路不能直接传输基带信号的缺点, 而且能实现多路复用的目的, 从而提高了通信线路的利用率不过频带传输在发送端和接收端都要设置调制解调器宽带传输所谓宽带, 是指比音频带宽 (4 khz) 更宽的频带, 包括大部分电磁波频谱使用这种宽频带进行传输的系统, 称为宽带传输系统, 它可以容纳全部广播, 并可进行高速数据传输对于局域网来说, 宽带这个术语专门用于使用传输模拟信号的同轴电缆可见宽带传输系统是模拟信号传输系统, 它允许在同一信道上进行数字信息和模拟信息服务基带和宽带的区别还在于数据传输速率的不同基带数据传输速率为 0~10 Mb/s, 更典型的是 1~2.5 Mb/s, 通常用于传输数字信息宽带是传输模拟信号, 数据传输速率范围为 0~400 Mb/s, 而通常使用的传输速率是 5~10 Mb/s 而且一个宽带信道可以被划分为多个逻辑基带信道这样就能把声音图像和数据信息的传输综合在一个物理信道中进行, 以满足办公自动化系统中电话会议图像传真电子邮件事务数据处理等服务的需要因此宽带传输一定是采用频带传播技术的, 但频带传输不一定就是宽带传输 3.5 数据编码技术数据通信编码作用在数据通信中, 编码的作用是用信号来表示数字信息例如, 单极性编码极化编码双极性编码等数据通信中还有另一类编码, 称为差错控制编码它的作用是通过对信息序列作某种变换, 使原来彼此独立相关性极小的信息码元产生某种相关性, 从而在接收端就利用这种特性, 来检查或进而纠正信息码元在信道传输中所造成的差错正如我们前面所讨论的, 在通过通信媒体发送信息之前, 信息必须被编码形成信号当我们将数据由一地传送到另一地时, 必须将其转换为信号信息的编码方式依赖于它的原始的格式和通信硬件采用的格式如果用户想用烟火信号来发送一封情书, 必须在点起火堆之前知道哪一种烟火模式对应用户的消息中的哪一个词

44 3.5 数据编码技术 39 词是数字信息而一股烟则是信息的数字化表示, 所以定义烟火的模式是一种数字数字编码方式通信技术与此具有基本相同的要求, 只是增加了一种选择常见数据通信编码 1. 单极性矩形码单极性编码是最简单最基本的单极性编码的名称就是指它的电压只有一极因此, 二进制的两个状态只有一个进行了编码, 通常是 1 另一个状态, 通常是 0, 由零电压或是线路空闲态来代表图 3-4 揭示了单极性编码的思想在这个例子中,1 由一个正电压编码而 0 是空闲态除简单直接外, 单极性编码还具有实现廉价的优点图 3-4 单极性编码 (1) 直流分量单极化编码信号的平均振幅不是零这引起了一个称为直流分量 ( 频率为 0 的分量 ) 的因素当一个信号含有直流分量时, 它不能由没有处理直流分量能力的媒体传输, 比如微波或变压器 (2) 同步当一个信号不发生改变时, 接收端无法知晓每比特的开始和结束所以, 在单极性编码中的同步问题会在数据流中任意一个具有连续 0 或 1 比特的时候发生数字编码方法采用电压的改变来指示比特位的改变一个信号发生改变同时也说明了一个比特位结束而下一个比特位开始但是, 在单极性编码中, 一串相同的比特, 例如 7 个 1 比特, 以没有电压变化的方式出现, 只是一个不间断的, 具有 7 倍于单个比特时延的正电压当没有信号变化来指明下一个比特的开始时, 接收方只能依赖于时间因素给定一个期望比特率为 bps, 如果接收方检测到一个 s 长度的正电压, 则每 s 读入一个 1, 也就是 5 个 1 不幸的是, 传输延时会使信号时序发生扭曲举例来说, 数据流中的 5 个 1 可能被拉长为 s, 从而导致接收方多读入了一个 1 这个额外的 1 在被错误解码后可能导致错误除此之外接收方的时钟可能不同步, 从而导致接收方错误地读入比特流解决单极性传输的同步控制问题的一个方案是利用一条独立并行的线路来传输时钟脉冲, 从而使接收设备可以根据信号对本身时钟进行重向步但是将使用的传输线路加倍增加了开销, 是不经济的极化编码采用两个电压值 : 一个正电压, 一个负电压通过使用两个电压, 在大多数极化编码技术中线路上的平均电压值下降了, 减轻了单极性编码中的直流分量问题在曼彻斯持编码和差分曼彻斯持编码中, 每比特均含有正电压和负电压, 从而彻底解决了直流分量问题

45 40 第 3 章数据通信基础极化编码有两个电压值 ( 一正一负 ) 的振幅在所有极化编码的变形中, 如图 3-5 所示, 我们只讨论三种最普遍的 : 非归零法 (NRZ) 归零法 (RZ), 以及双相位编码非归零编码有两种 : 非归零电平编码和非归零反相编码双相位编码同样有两种方法 : 第一种曼彻斯特编码, 用在以太局域网中 ; 第二种差分曼彻斯特编码, 用在令牌环局域网中图 3-5 极化编码分类 (1) 非归零编码在非归零编码方式中, 信号的电压位或正或负与采用线路空闲态代表 0 比特的单极性编码法不同, 在非归零编码系统中, 如果线路空闲意味着没有任何信号正在传输中以下讨论了两种最常见的非归零传输方法 1 非归零电平编码 (NRZ-L) 任 NRZ-L 编码方式中, 信号的电平是根据它所代表的比特位决定的一个正电压值代表比特 1, 而一个负电压值代表比特 0, 从而信号的电平依赖于所代表的比特 2 非归零反相编码 (NRZ-I) 在 NRZ-I 编码方式中, 信号电平的一次反转代表比特 1 就是说是从正电平到负电平的一次跃迁, 而不是电压值本身, 来代表一个比特 1 0 比特由没有电平变化的信号代表非归零反相编码相对非归零电平编码的优点在于 : 因为每次遇到比特 1 都发生电平跃迁, 这能提供一种同步机制一串 7 个比特 1 会导致 7 次电平跃迁每次跃迁都使接收方能根据信号的实际到达来对本身时钟进行重同步调整根据统计, 连续的比特 1 出现的几率比连续的比特 0 出现的几率大, 因此对比特 1 的连续串进行同步就在保持整体消息同步上前进了一大步一串连续的比特 0 仍会造成麻烦, 但由于连续 0 串出现不频繁, 对于解码来说其妨碍就小了许多在非归零反相编码 (NRZ-I) 中如果遇到比特 1, 信号电平被反转图 3-6 表现了对同一串比特, 非归零电平编码 (NRZ-L) 和非归零反相编码 (NRZ-I) 的结果在 NRZ-L 编码序列中, 正负电平有特定的含义 : 正代表比特 1, 负代表比特 0 在 NRZ-I 编码序列中, 每一间隙的电压值是没有意义的相反, 接收端以检测电平的跳变来作为识别比特 1 的基础

46 3.5 数据编码技术 41 图 3-6 非归零电平编码 (NRZ-L) 和非归零反相编码 (NRZ-I) (2) 归零编码如图 3-6 所示, 出现连续的 1 或 0 的任何时候, 接收端都会失同步像我们在单极性编码中所提到的, 有一种保证同步的方法是在一条独立的信道上发送单独的定时信号但是, 这个方案并不经济, 又易于出错一个更好的方案是让编码信号本身携带同步信息, 就如同非归零反相编码 (NRZ-I) 技术中使用的方案, 但是同时还需要提供对连续比特 0 的同步为保证同步, 在每个比特中都必须有信号变化接收端可以利用这些跳变来建立更新和同步它的时钟和我们在以上论述中所见一样,NRZ-I 编码技术对于连续的比特 1 实现了这一目标但是为了在每比特都有信号变化, 我们需要多于两个的电压值一种方案是归零编码 (RZ), 它使用了三个电平 : 正电平负电平和零在归零编码 (RZ) 中, 信号变化不是发生在比特之间而是发生在比特内和 NRZ-L 一样, 正电平代表比特 1, 负电平代表比特 0 但是与 NRZ-L 不同的是, 任何比特间隙的中段, 信号将归零一个比特 1 实际是由正电压到零的跳变代表, 而比特 0 则是由负电压到零的跳变代表, 而不仅仅是通过电平正负来表示, 图 3-7 描述了这一概念归零 (RZ) 编码的主要缺陷在于它每比特位需要两次信号变化从而增加了占用的带宽但是相对于我们已经研究的三种方式, 它是最有效的一个编码良好的数字信号必须携带同步信息图 3-7 归零 (RZ) 编码

47 42 第 3 章数据通信基础 (3) 双相位编码很可能现在对同步问题最好的解次方案就是双相位编码在这种方式下, 信号在每比特间隙中发生改变但并不归零相反, 它转为相反的一极像在归零编码 (RZ) 中一样, 这种中间跳变使同步变得可能和早些提到的一样, 当今正在网络中使用的两种双相位编码方式是 : 曼彻斯特编码和差分曼彻斯特编码 1 曼彻斯特编码在每个比特间隙中间引入跃迁来同时代表不同比特和同步信息一个负电平到正电平的跳变代表比特 1 而一个正电平到负电平的跳变则代表比特 0 通过这种跃迁的双重作用, 曼彻斯特编码获得了与归零编码相同的同步效果但仅需要两种电平振幅在曼彻斯特编码中, 比特中的跃迁同时是同步信息和比特编码 2 差分曼彻斯特编码在差分曼彻斯特编码中, 比特间隙中间的跃迁用于携带同步信息, 但是在比特间隙开始位置又一个附加的跃迁用来表示不同比特开始位置有跃迁代表比特 0, 没有则代表比特 1 差分曼彻斯特编码需要两个信号变化来表示二进制 0, 但对于二进制 1 只需要一个在差分曼彻斯特编码中, 比特间隙中的电平跃迁只用来表示同步信息不同比特通过在比特开始位置有无电平反转表示图 3-8 显示了对于同一个比特模式的曼彻斯特编码和差分曼彻斯特编码图 3-8 曼彻斯特编码和差分曼彻斯特编码 2. 双极性矩形码双极性编码, 像归零编码 (RZ) 一样, 也是用三个电平值 : 正电平负电平和零但是与归零 RZ 编码不同的是, 电平值 0 在双极性编码中是代表二进制 0 的正负电平交替代表比特 1 如果第一个比特 1 由正电平表示, 则第二个由负电平表示, 第三个仍用正电平表示, 等等这种交替甚至在比特 1 并不连续时仍出现三种双极性编码在数据通信行业得到广泛应用 : 信号交替反转码 (AMI),8 零替换编码 (B8ZS) 以及高密度双极性 3 零编码 (HDB3) 例如 : 比较曼彻斯特编码和差分曼彻斯特编码所需的带宽, 假设两者都处于最坏状况下

48 3.6 多路复用技术 43 对于曼彻斯特编码来说的最坏状况是出现连续 1 或是连续 0 对于每比特 ( 每个比特周期 ) 此时需要两次交换差分曼彻斯特编码的最坏状况是出现每比特 ( 每个比特周期 ) 需要两次变换的连续 0 所以, 由于带宽与比特率成正比, 两者所需的带宽是一样的 3.6 多路复用技术多路复用概念多路复用 (MUX) 这一术语来源于拉丁词 Multi( 许多 ) 和 Plex( 混合 ) 多路复用指的是复用信道, 即是利用一个物理信道同时传输多个信号, 以提高信道利用率, 使得一条线路能同时由多个用户使用而互不影响多路复用器连接许多条低速线路, 并将它们各自所需的传输容量组合在一起后, 在一条速度较高的线路上传输也即低速线路在其远端合并, 仅由一条较高速度的线路传输所有信息, 而不是在一个发送端和接收端之间连接着许多低速线路, 如图 3-9 所示图 3-9 多路复用技术多路复用的优点是 : 仅需一条传输线路, 所需介质较少, 所用的传输介质的容量可以得到充分利用从而降低了设备费用, 提高了工作效率而且用户不需要进行任何实际的修改, 多路复用系统对用户是透明的, 每个很远的地点都好像仍然直接接到总部所在地同时, 由于线路中用的缓冲部件较少, 时间延迟较少多路复用技术 1. 空分复用空分复用是指通过信号在空间上的分离来达到信道的复用例如, 在光纤通信中, 空分复用包括两个方面 : 一是光纤的复用, 即将多根光纤组合成束 ; 二是在一根光纤中的光束沿空间分割的一种多维通信方式可以引入多维相干度调制与解调的新概念来实现多路空分复用通信传像速是一种特殊的空分复用方式它是将图像采用空分复用方式传输, 使其传输速度成数量级地提高几十万个像素的多芯传象光纤已相当成熟其色保持特性和透光性已相当令人满意, 是空分复用的一个发展方向 2. 频分复用频分复用的典型例子有许多, 如无线电广播无线电视中将多个电台或电视台的多组节目对应的声音图像信号分别载在不同频率的无线电波上, 同时在同一无线空间中传播, 接收者根据需要接收特定的某种频率的信号收听或收看同样, 有线电视也是基于同一原理总之, 频分复用是把线路或空间的频带资源分成多

49 44 第 3 章数据通信基础个频段 ( 带 ), 将其分别分配给多个用户, 每个用户终端的数据通过分配给它的子通路 ( 频段 ) 传输, 主要用于电话和电缆电视 (CATV) 系统在 FDM 频分复用中, 各个频段 ( 带 ) 都有一定的带宽, 称之为逻辑信道 ( 有时简称为信道 ) 为了防止相邻信道信号频率覆盖造成的干扰, 在相邻两个信号的频率段之间设立一定的保护带, 保护带对应的频谱不被使用, 以保证各个频带互相隔离不会交叠 3. 时分复用时分多路复用是将传输信号的时间进行分割, 使不同的信号在不同时间内传送, 即将整个传输时间分为许多时间间隔 ( 称为时隙时间片等,Slot Time) 每个时间片被一路信号占用换句话说,TDM 就是通过在时间上交叉发送每一路信号的一部分来实现一条线路传送多路信号线路上的每一时刻只有一路信号存在, 而频分是同时传送若干路不同频率的信号因为数字信号是有限个离散值, 所以适合于采用时分多路复用技术, 而模拟信号的传输一般采用频分多路复用 TDM 又分为同步时分复用 (Synchronous Time Division Multiplexing) 和异步时分复用 (ATDM) ( 1 ) 同步时分复用同步时分复用采用固定时间片分配方式, 即将传输信号的时间按特定长度连续地划分成特定时间段, 再将每一时间段划分成等长度的多个时隙 ( 时间片 ), 每个叫隙以固定的方式分配给各路数字信号, 各路数字信号在每一时间段都顺序分配到一个时隙通常与复用器相连接的是低速设备 ( 如终端 ), 复用器将低速设备送来的在时间上连续的低速率数据经过提高传输速率, 将其压缩到对应时隙, 使其变为在时间上间断的高速时分数据, 以达到多路低速设备复用高速链路的目的所以与复用器相联的低速设备数目及速率受复用群反复用传输速率的限制由于在同步时分复用方式中, 时隙预先分配且固定不变, 无论时间片拥有者是否传输数据都占有一定时隙, 形成了时隙浪费, 其时隙的利用率很低, 为了克服 STDM 的缺点, 引入了异步时分复用 (ATDM) 技术 (2) 异步时分复用异步时分复用技术又被称为统计时分复用 (Statistical Time Division Multiplexing) 或智能时分复用 (ITDM), 它能动态地按需分配时隙, 避免每个时间段中出现空闲时隙 ATDM 就是只有某一路用户有数据要发送时才把时隙分配给它当用户暂停发送数据时不给它分配线路资源 ( 时隙 ) 线路的空闲时隙可用于其他用户的数据传输所以每个用户的传输速率可以高于平均速率 ( 即通过多占时隙 ), 最高可达到线路总的传输能力 ( 即占有所有的时隙 ) 如线路总的传输能力为 28.8 Kbps,3 个用户公用此线路, 在同步时分复用方式中, 则每个用户的最高速率为 bps, 而在 ATDM 方式时, 每个用户的最高速率可达 28.8 Kbps 4. 码分复用码分复用 (CDMA) 与前面介绍的信道分配方法完全不同前面所介绍的方法中, 有些是将信道分成频率段, 对它们进行静态分配 (FDM), 另外的方法则是根据帧来分配信道, 将整个信道静态地 ( 具有固定时隙的 TDM) 码分复用允许所有站点同时在整个频段上进行传输, 多路的问时传输采用编码原理加以区分码分复用假定多重信号是线性叠加的在研究码分复用的算法之前, 先考虑一下信道访问的鸡尾酒会原理 : 在一个大房间里, 许多对人正在交谈 TDM 就是房间里有人依次讲话, 一个结束后另一个再接上 FDM 就是

50 3.6 多路复用技术 45 所有的人分成不同的组, 每个组同时进行自己的交谈, 但依旧独立码分复用就是房间里的不同对的人分别用不同的语言进行交谈, 讲法语的人只理会法语, 其他的就当作噪音不加理会因此, 码分复用的关键就是能够提取出所需的信号, 同时将其他的一切当作随机噪声抛弃在 CDMA 中, 每比特时间被分成 m 个短的时间段, 称为芯片 (Chip) 通常情况下, 每比特有 64 个或 128 个芯片但在下面的例子中, 为了简化问题, 假定每比特有 8 个芯片每个站点被指定一个唯一的 m 位的代码或芯片序列 (Chip Sequence) 当发送比特 1 时, 站点就发送其芯片序列, 想发送比特 0 时, 站点就发送其芯片序列的补码除此之外, 没有其他任何格式因此, 假如站点 A 的芯片序列被指定为 , 发送就表示发送比特 1, 发送就表示发送比特 0 只有在带宽增加到 m 倍的情况下, 发送的信息量才能从 b b/s 增加到 mb 芯片 /s 这使 CDMA 成为一种扩频方式的通信 ( 假设调制及编码技术不变 ) 假如 l00 个站点共用 1 MHz 的带宽, 在使用 FDM 时传输速率为 10 k/s( 假定 1b/ 比 ) 以 CDMA 方式, 每个站点使用完整的 1 MHz 的带宽, 芯片速率就为 1 M 片 /s 假如每比特少于 100 片, 那么 CDMA 中每站的有效带宽就高于 FDM, 于是信道分配问题也就解决了, 这一点下面很快就会看到为了讲解上的方便, 这里采用了双极型的形式, 就是二进制 0 由 -1 代替, 二进制 1 由 +1 代替书写时, 将芯片序列用括号括起来, 比如站点 1 的芯片序列为 ( ) 图 3-10 (a) 中, 给出了 4 个站点的二进制芯片序列, 图 3-10 (b) 给出了它们的双极型形式图 3-10 (a) 4 个站点的二进制芯片序列图 3-10 (b) 双极性芯片序列每个站点都有自己唯一的芯片序列这里用符号 S 来表示站点 S 的 m 维芯片矢量,-S 为它的反所有的芯片序列都是两两正交的, 也就是说任意两个不同的芯片序列 S 和 T 的内标积 ( 写为 S T) 均为 0 数学上的表示方法为 : m 1 ST = S i T i = 0 (3-2) m i= 1 其正交特性是极其关键的只要 S T = 0, 那么 S -T = 0 任何芯片序列与自己的标积均为 1: S S = ( ± 1) = 1 m m m m 2 SiSi = Si = i= 1 m i= 1 m i= 1 上式成立是因为内标积中的 m 项的每一个都为 1, 因此和为 m 另外还要注意 S -S =-1

51 46 第 3 章数据通信基础在每个比特时间内, 站点可以发送其芯片序列表示发送 1, 可以发送其序列的反码表示发送 0, 也可以保持沉默什么都不干这里假定所有的站点在时间上都是同步的因此所有芯片序列都是在同一时刻开始若两个或两个以上的站点同时开始传输, 它们的双极性信号就线性相加例如, 在某一芯片内,3 个站点输出 +1, 一个站点输出 -1, 那么结果就为 +2 读者可把它想象为电压相加 : 3 个站点输出电压为 +1 伏, 另一个站点输出为 -1 伏, 最终输出电压就为 +2V 图 3-10 (c) 中, 给出了站点同时发送的 6 个例子第 1 个例子中, 只有 C 发送了 1 位, 所以结果只有 C 的芯片序列第 2 个例子中,B 和 C 均发送 1, 因此结果为它们序列之和, 即 : ( ) + (-l ) = ( ) 图 3-10 (c) 发送的 6 个例子第 3 个例子中, 站点 A 发送 1, 站点 B 发送 0, 其余保持沉默第 4 个例子中, 站点 A, 站点 C 发送 1, 站点 B 发送 0 第 5 个例子中,4 个站点均发送 1 最后一个例子中, 站点 A, 站点 B 和站点 D 发送 1, 站点 C 发送 0 应该注意的是, 图 3-10 (c) 中给出的从序列 S 1 到序列 S 6 任一序列仅占用一个比特时间要从信号中还原出单个站点的比特流, 接收方必须事先知道该站点的芯片序列通过计算收到的芯片序列 ( 所有站点发送的线性总和 ) 和欲还原站点的芯片序列的内标积, 就可还原出原比特流假设收到的芯片序列为 S, 接收方想收听的站点芯片序列为 C, 只需计算它们的内标积 S C, 就可得出原比特流下面解释一下上述方法的原理假设站点 A, 站点 C 均发送 1, 站点 B 发送 0, 接收方收到的总和为 S = A + (-B) + C, 计算 : S C=[A +(-B)+C] C=A C +(-B) C + C C = =1 式中的前两项消失, 因为所有的芯片序列都经过仔细地挑选, 确保它们两两正交, 现在, 用户肯定已清楚, 为什么要给芯片序列强加上这个条件可以用另一种方式考虑一下这种情况, 想象 3 个芯片序列是分开的, 并没有进行累加接收方分别与每一个完成内标积计算后进行累加由于正交特性, 除了 C C 之外, 其余的内标积全为 0 累加后计算内标积和计算内标积后再累加, 实际上是一回事为了使解码过程更具体一些, 考虑一下图 3-10 (d) 中的 6 个例子假设接收方想从 S1 ~S 6 的 6 个序列中还原出站点 C 发送的信号它分别计算接收到的 S 与 C 向量两两相乘的积, 再取结果的 1/8( 因为 m=8), 即为站点 C 所发送的比特值如图 3-10(d) 所示, 每个时刻的信

52 号均被还原, 如同讲法语的情况一样 3.6 多路复用技术 47 图 3-10(d) 站点 C 的信号复原理想状态下, 无噪声的 CDMA 系统的容量 ( 即站点的数量 ) 可以任意大, 就像无噪声的尼奎斯特信道在对采样使用多比特编码情况下其容量任意大一样但在实际中, 由于物理条件的限制, 容量大打折扣首先, 这里假定所有的芯片在时间上都是同步的, 但在实际中, 这是不可能的在实际应用中, 发送方发送一个足够长的已知接收方可以锁定的芯片序列, 使发送方和接收方同步其他的所有传送 ( 非同步的 ) 都被认为是随机噪声只要非同步传送不是太多的话, 基本的解码算法的工作效果仍然相当好关于芯片序列叠加以至成为噪声, 有一大套理论 (Pickholtz 等 1982) 大家可以推断出 : 芯片序列越长, 正确地从噪声中探测到的可能性就越大, 要获得额外的安全性, 比特序列可以采用纠错码, 但芯片序列却从不使用纠错码上述讨论隐含了一个假定, 这就是接收方从所有站点收到的功率都是同一等级的 CDMA 适用的无线网系统, 通常由一个基站和许多距离不等的移动站点构成基站接收到的功率取决于发送方的远近, 于是 CDMA 中采取了一种效果良好的试探法每个移动站点根据它从基站收到的功率大小进行发送, 收到基站信号较弱的移动站点会使用比收到较强信号时更大的功率进行发送另外, 基站也可以明确地命令移动站点增强或减小发送功率另外, 这里还假定接收方知道谁是发送方理论上说, 只要计算能力足够, 接收方就可以同时并行地对所有站点进行解码但是说起来容易做起来难, 现实中很难实现另外,CDMA 还有许多其他复杂的因素在这里还未曾涉及尽管如此,CDMA 仍是无线移动通信中迅速发展的一种比较巧妙的方法 5. 波分复用在光纤信道上使用的是频分多路复用的一个变种, 即波分多路复用 WDM(Wavelength Division Multiplexing) 图 3-11 即一种在光纤上获得 WDM 的简单方法在这种方法中, 两根光纤连到一个棱柱 ( 或更可能是衍射光栅 ), 每根的能量处于不同的波段两束光通过棱柱或光栅, 合成到一根共享的光纤上, 传送到远方的目的地, 随后再将它们分解开来

53 48 第 3 章数据通信基础图 3-11 波分多路复用这里没有使用什么新的技术, 由于每个信道有自己的频率范围, 而且所有的范围都是分隔的, 所以它们可以被多路复用到长距离的光纤上与电子的 FDM 不同的唯一的区别是 : 光纤系统使用的衍射光栅是完全无源的, 因此极其可靠应该注意到,WDM 很流行的原因是一根光纤上的能量常常仅仅有几 GHz 宽, 因为现在不可能在光电介质间作更快的转换而一根光纤的带宽大约是 GHz, 因此可以将很多信道复用到长距离光纤上, 当然前提条件是所有的输入信道都应使用不同的频率 WDM 一个可能的应用是 FTTC 系统最初, 电话公司可以从一个端局向一个邻接的接线盒引一根光纤, 在接线盒处用多根双绞线引入各个家庭数年以后, 当光纤的成本降下来而对它的需求上升时, 就可以用光纤代替双绞线, 这样所有的本地回路都利用 WDM 连接到通向端局的光纤上 3.7 计算机数据传输与控制方式数据传输方式 1. 并行数据传输由 0 和 1 组成的二进制值可以组成 n 比特的位组计算机使用和生成以比特组为单位的数据, 就像我们在英语会话时用词而不是一个个的字母来交流一样通过分组, 我们可以一次发送 n 个比特而不是一个比特, 这称为并行传输从概念上说, 并行传输的机制很简单 : 一次使用 n 条导线来传输 n 个比特这种方式下, 每个比特都使用专用的线路, 而一组中的 n 个比特就可以在每个时钟脉冲从一个设备传输到另一个设备并行传输的优势在于速度当其他因素相同时, 并行传输将比串行传输的速度快 n 倍, 但同时也存在一个严重缺点 : 费用高为进行数据传输, 并行传输需要 M 条通信线路 ( 可能是导线或其他媒介 ) 并行传输通常被限制在最长 25 英尺的距离内 2. 串行数据传输在串行传输中, 比特是一个一个依次发送的, 因此在两个通信设备之间传输数据只需要一条通信信道, 而不是 n 条, 如图 3-12 所示

54 3.7 计算机数据传输与控制方式 49 串行传输相对于并行传输的优点是 : 因为只需要一条通信信道, 串行传输的费用大约只是并行传输的 n 分之一因为在设备内部的传输是并行的, 所以在发送端和线路之间以及接收端和线路之间的接口上, 都需要有转换器 ( 前者是并 / 串转换, 后者是串 / 并转换 ) 图 3-12 串行传输数据传输控制方式 1. 单工在单工方式中, 通信是单向进行的, 就像是单行道一条链路的两个站点中只有一个可以进行传输, 另一个只能接收, 如图 3-12 所示键盘和传统监视器都是单工设备的例子键盘只能接受输入, 监视器只能接受输出信号图 3-13 单工方式 2. 半双工在半双工方式下, 每个站点都可以发送和接收, 但是不能同时发送和接收当其中一个设备在发送时, 另一个只能接收, 反之亦然, 如图 3-14 所示半双工方式像只有一个车道的双向交通当车辆朝某个方向行驶时, 向另一方向行驶的必须等待在半双工方式中, 无论那一方开始传输, 就使用信道的整个带宽对讲机和民用无线电即是半双工系统

55 50 第 3 章数据通信基础图 3-14 半双工方式 3. 全双工在全双工方式中 ( 也叫双工方式 ), 两个站点同时都可以进行发送和接收, 如图 3-15 所示全双工方式像同时允许两个方向的车辆通行的双车道公路交通在全双工方式下, 两个方向的信号共享链路带宽这种共享可以两种方式进行 : 一是链路具有两条物理上独立的传输路径, 一条发送一条接收 ; 二是为同时传输两个方向的信号将信道的带宽一分为二图 3-15 双工方式 3.8 检错纠错技术按照差错控制编码的不同功能, 可以将其分为检错码纠错码检错码仅能检测误码 ; 纠错码则兼有纠错和检错能力, 当发现不可纠正的错误时可以发出错误指示按照信息码元和附加的监督码元之间的检验关系, 又可分为线性码和非线性码若信息码元与监督码元之间的关系为线性关系, 即满足一组线性方程式, 则称为线性码反之, 则称为非线性码常用的差错控制编码一般均为线性码, 其中包含分组码和卷积码分组码一个 (n,k) 分组码, 其码字长度为 n 个比特, 信息位有 k 位, 监督码元有 n-k 位, 分组码可以看作是从 2 k 个长为 n 的码字中选择其中 2 k 个码字, 作为许用码字与 2 k 个信息码字一一对应, 其余 2 n -2 k 个码字为禁用码字 1. 分组码的基本参数 (n,k) 分组码的编码率定义为 Rc=k/n, 任一个码字所含的非 0 元素的个数, 称为该码字的汉明重量, 每个码字均有其重量两个码字的对应位为不同码元的个数, 则被称为两个码字之间的汉明距离在 (n,k) 线性分组码中, 任意两个不同码字之间的距离最小值, 称为该分组码的最小汉明

56 3.8 检错纠错技术 51 距离 dmin, 它表征了各码字之间的差异程度, 若 dmin 越大, 分组码字之间差别越大, 则发生差错的概率越小, 纠检错的能力超强, 实际上 dmin 与分组码的纠检错能力存在以下关系 : 1dmin>=e+1 时, 可检出 e 个错码 ; 2dmin>=2t+l 时, 具有纠正 t 个错误的能力 ; 3dmin>=t+e+1(e>t), 具有同时检 e 个错, 纠 t 个错的能力 2. 校验矩阵与生成矩阵引入检验矩阵和生成矩阵的概念, 以说明线性分组码的编码原理构造一个 (7,4) 分组码, 设四个信息元为 C 6, C5, C4, C3, 三个监督码元为 C 2, C1, C0, 该码字为 C =[ C 6, C 5,, C 0 ] 由生成矩阵 G 可以求得 2, C1, C0 取生成矩阵 C 式中 : I k 为 k*k 阶的单位方阵,k 位码字的信息位数, 此处 k=4 g i,i=1,2,,4 为 G 的行向量则编码码字 (3-3) C = [ C, C,, C ] = [ C, C,, C ] G (3-4) 当信息位 [ C 6, C 5,, C 3 ] = [1,1,0,0] 时, 有 C = [1100] G = g + g = [ ] (3-5) 1 2 此处加法应按模 2 法则, 本节中此类运算均应如此处理在收信端利用一致校验矩阵 H 可以判定收码字的正确性,H 也称为监督矩阵有式中 : 符号 T 表示矩阵的转置,r 为监督位的位数应有 (3-6)

57 52 第 3 章数据通信基础当 C 在传输中发生错码时, 则上述结果不为零 (3-7) 3. 校正子发送码组 C 在传输过程中可能发生误码设收到的码字为 R= [ rr r ] 则收发码字之差为称 E 为错误图样, R C = E (3-8) E = [ ee e ] e i =0, 表示 i 位无错 e i =1, 则表示 I 位有错利用 E 可到处校正子 S 为 S T = E H (3-9) 当 E 取不同的错误图样时, 可得各个对应的校正子当然,E 可取的错误类型应限制在该编码的纠错能力之内, 否则将得到多个相同的 S, 失去应用价值为了进行纠错, 接收端对收码字 R 进行下述运算, 有 S' = R H = C H T T = ( C + E) H + E H T T = E H T (3-10) 收端将 S' 与事先算得的 S 进行比较, 即可确定 E 根据式 (3-9) 和模 2 加法规则, 有 C= R+E 其中,C 即为 R 的译码输出, 并纠正了 R 中的误码至此已从数学上证明了纠错编码的可实现性汉明码 1950 年由汉明提出纠正单一随机错误的线性分组码, 称汉明码因其编译码器结构简单, 而得到广泛应用它具有以下特点 : 码长 :n=2m-1 信息位数 :k=2m-m-1 监督位数 :r=n-k,r>=3

58 3.8 检错纠错技术 53 最小汉明距离 :dmin=3 纠错能力 :t=l 给定生成矩阵, 即可构成具体的汉明码, 下面以 (7,4) 汉明码为例, 讨论编译码器的组成实际上可以验证上一节所举 (7,4) 分组码的例子即是一个汉明码, 因此, 以式作为生成矩阵, 可导出编码方程组 C2 = C6 + C5 + C4 C1 = C5 + C4 + C3 (3-11) C0 = C6 + C5 + C3 根据上式可组成图 3-16 中的汉明码编码器实际上这种编码器也可以用查表法实现对于每一个可能的信息码字, 事先算出它的编码码字, 然后存入以信息码字为地址的 ROM( 只读存储器 ) 信息码字输入后, 送至 ROM 的地址输入端, 则可由 ROM 送出对应的码字监督位 2C1C0 C, 如图 3-16 (b) 所示上一小节已经在数学上证明译码的可行性可以利用式 (3-10) 导出计算 S' 的方程组, 算出 S' 其后的译码步骤可参照上一小节的内容进行这些步骤显然也是可以利用一些数字逻辑电路完成的汉明码的编码率 R c k n r r = = = 1, 实际上若 n 很长, 则 Rc 接近 1, 所以汉明码 n n n 是一类高效码, 但其纠错能力较差图 3-16 汉明码编码器奇偶校验码奇偶校验码是最简单的检错码, 由于实现起来比较容易而被广泛采用这种码的校验关系可以用一个简单的方程来表示设要传送五比特信息为 C 1C2C3C4C5, 其中 C i 取值 0 或 1 经过编码以后变成六比特编码码字, 其中校验位 C 6 应满足下列关系 : C + C + C + C + C + C 0 ( 或 1) (3-12) =

59 54 第 3 章数据通信基础式中的加法是模 2 加上式的右边等于零称为偶校验, 此时等式的右边含偶数个 1; 等于 1 就是奇校验, 则含奇数个 l 在接收端, 将收到. C 1, C 2,, C 6 比特进行累加, 检查其是否符合式 (3-12) 的关系如果收到的码组符合奇偶校验关系, 则认为传输没有错应当指出, 这里只是说认为传输没有错, 实际上, 它是可能错的因为, 如果偶数位发生错误, 则接收端根据奇偶校验关系仍然认为没有错误奇偶校验码可以发现所有奇数个错误在上例中, 信息位数 k=5, 码组位数 n=6, 所以编码率 Rc=5/6 奇偶校验码的编码率可以做得很高水平垂直校验码水平垂直校验码是在两维上的奇偶校验码为增加检测出多比特错误和突发错误的可能性, 需要通过对数据中每个比特扫描两次来加大校验的复杂性水平垂直校验码按照预定数目将数据单元组成一个数据块, 每个数据单元本身都有一个奇偶校验码的校验位每个数据单元的对应位 ( 所有第一位, 所有第二位, 等等 ) 将通过一个生成器来生成每一个位置上的对应校验位每个位置因此得到了本身的一个校验位所有位置的校验位又组成了一个新的数据单元, 并附加在数据块的最后当数据块到达接收方时, 它将通过一个校验器包括奇偶校验码和水平垂直校验码在内的所有校验位必须与预期的校验符合, 根据采用的方式不同, 要么都是偶校验, 要么都是奇校验接收方于是丢弃校验码并接受数据如果任何一个值发生错误, 接收方立即知道数据块的某一部分在传输中被破坏并因此拒绝接收整个数据块循环码循环码是分组码的一个重要分支因为它具有许多特殊的代数性质, 这些性质有助于简化编译码方法 1. 循环码的特点一个 (n,k) 循环码除了具有线性分组码的性质外, 其主要特点是任何一个码字向左或向右循环移位后, 仍是该码字集合中的码字如果 C = [ Cn 1, Cn 2,, C1, C0] 是一个码字, 则向左循环移一位 ( 用 L(C) 表示 ) 得 L1( C) = [ Cn 2, Cn 3,, C0, Cn 1] 仍是一个码字同理 L2( C) = [ Cn 3, Cn 4,, C0, Cn 1, Cn 2],, L ( C) = [ C, C,, C, C ] 等都是该码集合中的码字 n 1 0 n 循环码的最大循环周期和码长 n 相同它的一个码字可用多项式表示为 n Cx ( ) = C x + C x + + Cx+ C (3-13) n 1 2 n 1 n i n C(x) 称为码多项式码字 C 向左循环移 i 位相当于 XCx ( ) [ 模 x 1], 向右循环移 i 位 i 相当于 x Cx ( ) n [ 模 ( x 1) ] 式 (3-4) 生成矩阵中的一行 g1=[ ] 也可以写成多项式形式, 称为生成多项式

60 3.8 检错纠错技术 gx ( ) = x + x + 1 (3-14) 一个码字中的信息码元部分和监督码元部分, 也可以分别写成信息码元多项式 m(x) 和监督码元多项式, 若 m=[ CCCC ]=[1010], 则 m(x)= x 3 +x, rx ( ) 可以类似的方法得到此时循环码的编译码均可经码多项式的代数运算求得 2. 循环码编译码原理任何循环码都可唯一地由生成多项式 g(x) 确定求监督码元多项式的过程由下式确定, γ ( x) = x γ mx ( )[mod gx ( )] (3-15) 其中, 为监督位的位数上式的含义是可以用信息码元多项式 m(x) 乘 r x, 然后用 g(x) 除, 就求得余式, 即为监督位多项式由可求得监督位由此可以求得编码后得到的码字多项式为 : γ Cx ( ) = x mx ( ) + γ( x) (3-16) r x 乘 m(x) 相当于将信息码字左移位, 若 m=[1010], =3, 令 m 3 = x r m(x), 则 m3 = [ ] 右边的 3 位可用于加上监督码元这种信息码元在前, 监督码元在后的形式一股称为系统码由于在 r r x m(x) 的基础上加上 x m(x)/g(x) 的余式, 显然 c(x) 应该能被 g(x) 整除收端利用此性质可以判定收码多项式 R(x) 的正确性, 若传输过程中无错码, 有 R(x)=C(x),R(x) 能被整除若 R(x) 有错码, 则 R(x)=c(x)+E(x),E(x) 可称为错误图样多项式由 E(x) 可定义校正子多项式, 常称为伴随式 S(x)=E(x)/g(x) 在纠错能力范围内,S(x) 和 E(x) 有一一对应的关系利用下式可实现纠错, Rx ( ) Cx ( ) Ex ( ) Ex ( ) S'( x) = = + = [mod gx ( )] (3-17) gx ( ) gx ( ) gx ( ) gx ( ) 求得 S'(x) 以后与 S(x) 比较, 可确定 E(x), 并进行纠错 3. 编译码电路编译码器电路中多项式乘除法可以利用移位寄存器实现例如,(7,4) 循环汉明码,g(x)= 3 x +x+l 其编码电路如图 3-17 所示 g(x) 决定了图中 D 触发器输入 / 出端连线的接法, 多项式中各项与连线的关系已在图中标出, 其编码过程如图 3-17 所示

61 56 第 3 章数据通信基础图 3-17 (7,4) 循环码编码器 1 D 0, D 1, D 2 初态为 0, 门 1 接通, 门 2 断开, 信息组以 m=( m 3, m2, m1, m0 ) 顺序送人电路, 信息一方面经或门输出, 一方面送入 g(x) 除法电路右端, 这相应于完成 m(x)x 的乘法运算 2 四次移位后, 信息组全部通过或门输出, 它就是系统码的前 4 个信息码元, 且全部进入 g(x) 除法电路, 完成除法运算此时移存器中的存数就是余数式 r(x) 的系数, 也就是码的校验元 ( C2, C1, C 0) 3 门 2 接通, 门 1 断开, 再经三次移位后, 移存器中的校验元 C2, C1, C 0跟在信息元之后, 形成一个码字输出 ( m3, m2, m1, m0, C2, C1, C 0) 4 门 1 接通, 门 2 断开, 送入第二组信息纽, 重复上述过程设 m(x)= x 3 +x, 其编码过程如表 3-1 所示, 编出的码字是 , 前面 4 位是信息元故为系统码表 3-1 中给出除法电路中移位寄存器 D 0, D1, D2 输出端的数据变化过程表 3-1 (7,4) 循环码的编码过程节拍信息组输入移存器内容 D 0 D 1 D 输出码字循环码译码器也可用除法电路组成由于循环码的码字都是 g(x) 的倍式, 能被 g(x) 整除, 即余式为 0 因此, 可根据接收的码字能否被 g(x) 整除, 来判断接收码字是否有错设发送的码字是 C(x), 由信道噪声引起的错误图样是 E(x), 则译码器收到的码字为 R(x)=C(x)+E(x) 译码器的主要任务就是如何从 R(x) 中得到 E(x), 然后求得 C(x), 最后得到

62 3.8 检错纠错技术 57 信息码 m(x) 循环码的译码, 包括以下 3 个步骤 :1 由所收到的 R(z) 计算伴随式 S(x);2 根据伴随式 S(z) 求出错误图样 E(z);3 计算 R(x)-E(x)=C(x), 得到译码器输出的估值码字 C'(x) 如果 C'=C, 则译码正确, 否则译码错误若 C 是非系统码, 则必须由 C 求出估值信息 m, 若为系统码,C 中的前 k 位即为信息 m 4. 循环冗余校验码 (CRC) CRC 码利用循环码的误码检测特性进行误码检测, 它是从循环差错控制编码中分出的一类检错码循环码的已编码码字可被生成多项式 g(x) 整除收端可以利用这一特点进行检错, 若收码字不能被 g(x) 整除, 则有错由 (n,k) 循环码可以导出循环冗余检错码 CRC-m 这种表示方式, 其中 m=n-k 常用 CRC-m 编码的生成多项式列于表 3-2 检错码 CRC-4 CRC-12 CRC-16 表 3-2 常用 CRC 码生成多项式 x 4 +x+1 x 12 +x 11 +x 3 +x 2 +1 x 16 +x 15 +x 2 +1 原 CCITT 建议速率为 2048 kbit/s 的基群设备采用 CRC-4 方案一个 CRC 块的信息位数为 2048 比特在发端采用循环码编码的生成校验位 C1, C2, C3, C 4和信息比特一起发往收端收端将信息比特取出, 经再次编码得校验位 C11, C12, C13, C 14 比较两组校验码字, 也可确定传输信道的误码特性卷积码卷积码和分组码的不同之处是它在任意给定时间单元内, 编码器的 n 个输出不仅与本时间单元的 k 个输入码元有关, 而且和前 (m-1) 个时间单元的输入码元有关,m 称为约束度此种约束关系使已编码序列的相邻码字之间存在某种相关性, 又称记忆特性, 使该序列可以看成是输入序列经某种卷积运算的结果, 因此而得名利用此种相关性又导出了维特比 (Viterbi) 译码算法它是一种最佳的译码方法, 并具有一定的克服突发错误的能力, 在 GSM 和 CDMA 移动通信系统和无线接入网中都有应用卷积编码器和网格图一个 (n,k,m) 卷积码的编码器可以用有 k 个输入端 n 个输出端的 m 级存储器的线性时序电路来实现, 通常 k < n, 且为整数编码率 Rc = k/n 图 3-18 所示 (2,1,3) 卷积码编码器中, 每输入一个信息比特经编码产生两个输出比特且每一个输出码字不仅和本码字时间单元内的输入信息比特有关, 还和前两个时间单元内的输入信息比特有关, 使输出序列的相邻码字之间存在某种相关性图中 m 为输入信号序列, 可以求出 : i 0 Ci = mi 2 mi C = m m m 1 i i 2 i 1 i (3-18)

63 58 第 3 章数据通信基础由此可得此处约束度 M=3, 编码输出与三个时间单元内的输入有关图 3-18 (2,1,3) 卷积编码器若用 1 0 DD 的输出值表示编码器的状态, 则在插入信息码元的作用下可以画出该编码器 1 0 的状态转移图表 3.3 中给出编码器的初始状态 DD 的值, 输入信息, 和 i i 输入后 D D 1 0 i + 1 i + 1的 1 0 值及其对应的 CC 的值由表 3-3 可得到图 3-19 编码器的状态转移图, 它给出编码器的状 i i 1 0 态在信息比特输人前后的变化情况, 及其在不同状态下所对应的输出码组 CC 图中实线表示输入信息值 m i =0, 虚线表示 mi =1 m i 输入前后两状态间连线上的代码为编码输出码字, i i 此连线可称为支路表 3-3 状态转移表 DD 1 0 i i m i D D 1 0 i + 1 i + 1 CC 1 0 i i

64 3.9 异步同步传输基本概念 59 图 3-19 状态转移图将这一节状态转移图不断延伸, 就得到编码器的网格图考虑到编码器从状态 00 启动, 因此未将前 2 节的支路标全网格图随信号序列的输入, 应无限延伸网格图给出任意信号序列输入时所有可能的编码输出序列, 因此它所包含的信息量很大, 图形较复杂但是当输入信息序列确定, 初始状态给定时, 则网格图中只有某一条确定的路径与其对应, 即网格图限定了输出码序列所对应的路径路径一般由多根支路组成网格图是分析卷积码的性能和维特比译码算法的基础 3.9 异步同步传输基本概念由传输介质联接起来进行数据交换的两台设备, 其工作必须密切配合每次经过介质发送的各位数据, 其定时对发送机和接收机必须是相同的, 即相互是同步的要定时就要考虑速率持续时间和间隔因此, 同步就是接收端要按照发送端所发送的每个码元的起止时刻和重复频率来接收数据, 两者时间上必须取得一致传输数据的同步方式有两种 : 异步传输与同步传输 1. 异步传输在异步传输 ( 图 3-20) 方式中, 每次传送一个字符 (5~8 位 ), 都在每个字符代码前加一起始位, 表示该字符代码的开始在字符和校验码后加一停止位, 以示该代码的结束所以又称起止式同步, 起始位编码为 0, 持续一位时间, 停止位编码为 1 持续 l~2 位当不发送数据时, 发送端连续地发送停止码 1 接收端一旦接收到从 1 到 0 信号跳变, 便知道要开始新字符的发送, 利用这种极性的改变便可启动定时机构, 实现同步

65 60 第 3 章数据通信基础图 3-20 异步传输当接收到接收停止位, 就将定时机构复位, 准备接收下一个字符代码在异步传输中不需要传输时钟脉冲由于这种方式的字符发送是相互独立的, 故称为异步方式异步通信设备易于安装, 维护简单且价格便宜 ; 但异步方式由于每一个字符都引入起始和停止位, 所以开销大效率低速率低, 常用于低速传输, 如 b/s 或更低的速度分时终端与计算机的通信一般是异步的 2. 同步传输在这种方式中, 利用时钟的同步使发送和接收装置之间的定时不发生误差使时钟保持同步的方法之一, 是在接收装置和发送装置之间采用单独的时钟信息, 称为同步法另一种方法是将定时信号包含在数据信号中发送, 直接从数据波形本身中提取同步信号, 称自同步法如数字信号利用曼彻斯特编码时, 规定传送 0 信号时是先正后负, 传送 1 信号时是先负后正由于数据信号都是由二进制码按预定规律编排而成, 它包含位字句及帧数据传输的代码结构是由若干位组成字, 由若干字组成句, 由若干句组成帧, 传输时不仅位需要同步, 其余字句帧都要同步, 这就叫群同步只有做到群同步, 接收端才能正确识别字句帧等码群如果只有位同步而无群同步, 收到的信号将是一串无意义的码元序列为使接收装置能确定数据块的开始和结束, 每一数据块前后用同步数据块加上同步定界符等控制信息的组合, 常称为帧帧的实际格式, 常取决于传输方案, 是面向比特 ( 位 ) 的, 还是面向字符方式的 (1) 面向字符方式在面向字符方式中, 数据被当作字符 (8 位 ) 序列, 所有控制信息取字符形式每帧以一个或多个同步字符开始同步字符常记作 SYN, 其 8 位编码为 ,SYN 告知接收装置是一个数据块的开始在有些方案中, 具有特定的字符作后定界符接收装置一接收到 SYN 字符, 就得知已发送了数据块, 而开始接收数据, 直到接收到后同步字符, 一帧数据就告结束之后, 接收装置又开始寻找新的 SYN 控制字符, 如图 3-21 所示图 3-21 同步传输中面向字符的帧

66 3.10 交换技术 61 (2) 面向比特 ( 位 ) 方式在面向比特方式中, 数据块被当作比特序列, 数据或控制信息都不必如同面向字符传输那样, 以 8 位为单位, 而是以 8 位的标志 F 开始, 同样也以标志 F 作为后同步如图 3-22 所示面向比特方式与面向字符方式的区别在于格式不同及对控制信息的解释的细节不同图 3-22 同步传输中面向比特的帧 3.10 交换技术交换即转接, 是在交换通信网中实现数据传输必不可少的技术常用的交换技术有三种 : 电路交换 ( 线路交换 ) 报文交换和分组交换 ( 包交换 ), 下面介绍几种交换技术及特点 1. 电路交换电路交换是一种直接的交换方式, 它为一对需要进行通信的装置 ( 站 ) 之间提供一条临时的专用通道, 即提供一条专用的传输通道, 既可是物理通道又可是逻辑通道 ( 使用时分或频分复用技术 ) 这条通道是由节点内部电路对节点间传输路径经过适当选择连接而完成的, 由多个节点和多条节点间传输路径组成的链路目前公用电话网广泛使用的交换方式是电路交换, 经由电路交换的通信包括三个阶段 : (1) 电路建立通过源站点请求完成交换网中对应的所需逐个节点的接续 ( 连接 ) 过程, 以建立起一条由源站到目的站的传输通道 (2) 数据传输现在, 信号可以从建立的链路传送到目的站, 通常为全双工传输 (3) 电路拆除在完成数据或信号的传输后, 由源站或目的站提出终止通信, 各节点相应拆除该电路的对应连接, 释放由原电路占用的节点和信道资源电路交换具有下列特点 : 1 呼叫建立时间长且存在呼损在电路建立阶段, 在两站间建立一条专用通路需要花费一段时间, 这段时间称为呼叫建立时间在电路建立过程中由于交换网繁忙等原因而使建立失败, 对于交换网则要拆除已建立的部分电路, 用户需要挂断重拨, 这称为呼损 2 电路连通后提供给用户的是透明通路, 即交换网对用户信息的编码方法信息格式以及传输控制程序等都不加以限制, 但对通信双方而言, 必须做到双方的收发速度编码方法信息格式传输控制等一致才能完成通信 3 一旦电路建立后, 数据以固定的数据率传输, 除通过传输链路的传播延迟以外, 没有别的延迟, 在每个节点的延迟是可以忽略的, 适用于实时大批量连续的数据传输

67 62 第 3 章数据通信基础 4 线路 ( 信道 ) 利用率低电路建立, 进行数据传输, 直至通信链路拆除为止, 信道是专用的, 再加上通信建立时间拆除时间和呼损, 其利用率较低 2. 报文交换在数据交换是相对较为连续的数据流时 ( 如话音 ), 电路交换是一种适宜的易于使用的技术目前数字数据通信广泛使用报文交换在报文交换网中, 网络节点通常为一台专用计算机, 带有足够的外存, 以便在报文进入时, 进行缓冲存储节点接收一个报文之后, 报文暂存放在节点的存储设备之中, 等输出线路空闲时, 再根据报文中所附的目的地址转发到下一个合适的节点, 如此往复, 直到报文到达目标数据终端所以报文交换也称为存储 / 转发 (Store And Forward) 在报文交换中, 每一个报文由传输的数据和报头组成, 报头中有源地址和目标地址节点根据报头中的目标地址为报文进行路径选择并且对收发的报文进行相应的处理, 如差错检查和纠错调节输入 / 输出速度进行数据速率转换进行流量控制, 甚至可以进行编码方式的转换等, 所以报文交换是在两个节点间的一段链路上逐段传输, 不需要在两个主机间建立多个节点组成的电路通道与电路交换相比, 报文交换方式不要求交换网为通信双方预先建立一条专用的数据通路, 因此就不存在建立电路和拆除电路的过程报文交换中每个节点都对报文进行存储 / 转发, 报文数据在交换网中是按接力方式发送的通信双方事先并不知道报文所要经过的传输路径, 并且各个节点不被特定报文所独占报文交换具有下列特征 : 1 源站 A 和目标站 E 在通信时不需要建立一条专用的通路, 因此就不需要节点同时空闲 2 与电路交换相比, 报文交换没有建立线路和拆除线路所需的等待和时延 3 线路利用率高, 节点间可根据线路情况选择不同的速度传输, 能高效地传输数据 4 要求节点具备足够的报文数据存放能力, 一般节点由微机或小型机担当 5 数据传输的可靠性高, 每个节点在存储转发中, 都进行差错控制, 即检错纠错 6 由于采用了对完整报文的存储 / 转发, 节点存储 / 转发的时延较大, 不适用于交互式通信, 如电话通信 ; 由于每个节点都要把报文完整地接收存储检错纠错转发, 产生了节点延迟, 并且报文交换对报文长度没有限制, 报文可以很长, 这样就有可能使报文长时间占用某两节点之间的链路, 不利于实时交互通信分组交换即所谓的包交换正是针对报文交换的缺点而提出的一种改进方式 3. 分组交换分组交换属于存储 / 转发交换方式, 但它不像报文交换那样以报文为单位进行交换传输, 而是以更短的标准的报文分组 (Packet) 为单位进行交换传输分组是一组包含数据和呼叫控制信号的二进制数, 把它作为一个整体加以转接, 这些数据呼叫控制信号以及可能附加的差错控制信息是按规定的格式排列的交换网可采用两种方式 : 数据报传输分组交换或虚电路传输分组交换进行交换 (1) 数据报传输分组交换交换网把进网的任一个分组都当做单独的小报文来处理, 而不管它属于哪个报文的分组, 就像报文交换中把一份报文进行单独处理一样由于每个分组都带有地址和分组序列, 虽然他们不一定经过同一条路径, 但最终都能到达同一目的节点这些分组到达目的节点的

68 3.10 交换技术 63 顺序也可能被打乱目的节点可以负责对分组进行排序和重装, 目的站也可以完成这些排序和组装工作上述这种分组交换方式简称为数据报传输方式, 作为基本传输单位的小报文被称为数据报 (Datagram) (2) 虚电路传输分组交换所谓虚电路就是两个用户的终端设备在开始互相发送和接收数据之前需要通过通信网络建立逻辑上的连接, 一旦这种连接建立, 直至用户不需要发送和接收数据时清除这种连接其主要的特点是 : 所有分组都必须沿着事先建立的虚电路传输, 存在一个虚呼叫建立阶段和拆除阶段 ( 清除阶段 ) 与电路交换相比, 并不意味着实体间存在像电路交换方式那样的专用线路, 而是选定了特定路径进行传输, 分组所途经的所有节点都对这些分组进行存储 / 转发, 这是与电路交换的实质上的区别这种方法的优点是对于数据量较大的通信传输率高, 分组传输时延短, 且不容易产生数据分组丢失 ; 缺点是对网络依赖性大数据报方式是将一个数据分组当做一份独立的报文看待, 每一个数据分组都含有源地址和目标地址信息, 交换节点须为每一个数据分组独立地寻找路径, 因此一份报文包含的不同分组可能沿着不同的路径到达终点, 而在网络终点需要重新排序数据报的优点是对于短报文数据通信传输效率比较高, 对网络故障的适应能力强, 缺点是时延大总之, 分组经过通信网络到达终点有两种方法 : 虚电路 (Virtual Circuit) 和数据报 (Datagram)

69 第 4 章 OSI 下三层 4.1 物理层传输介质数据传输介质是数据传输的物质基础, 它是两节点间传输数据的道路如声音要通过空气传输, 电信号要通过导线传输, 光要通过透明物质包括气体液体或固体来传输总之介质的种类很多, 性能也很复杂, 习惯上可分为有线介质和无线介质有线介质包括各种导线和光缆, 无线介质包括传输电磁波的真空和空气当然随着科学技术的进步, 还会出现新的传输介质 1. 双绞线双纹线 (Twisted Pair) 是一种最普通使用最为广泛的传输介质随着技术的发展, 双绞线在计算机网络中应用也越来越多, 发展迅猛, 大有取代同轴电缆之势, 双绞线的结构如图 4-1 所示图 4-1 双绞线的基本组成双绞线是 : 由 22 号和 26 号的两根绝缘芯线按一定密度 ( 绞距 ) 的螺旋结构相互绞绕组成, 每根绝缘芯线由各种颜色塑料绝缘层的多芯或单芯金属导线 ( 通常为铜导线 ) 构成这也是双绞线名称的由来, 许多电话线就是采用双绞线将两根导线绞在一起是为了减少在一根导线中电流发射的能量对另一根导线的干扰, 而且绞在一起有助于减少其他导线中的信号对这两根导线的干扰当两根导线靠得很近且互相平行时, 一根导线中的电流信号的变化将在另一根导线上产生相似的电流变化 ; 若两根导线靠得很近但互相垂直时, 则一根导线上的电流变化几乎不会影响到另一根导线所以导线绞在一起可以减少相互间干扰双绞线最常用于声音的模拟传输声音的频谱在 20 Hz~20 khz 之间, 但可理解语音的带宽却较窄, 在 300~3 400 Hz 范围内电话通信中的一条全双工的音频通道所用带宽是 300~3 400 Hz 普通双绞线的带宽通常可达几百 khz 若使用频分多路复用技术, 可以在一对双绞线上同时复用多个音频通道, 每个通道带宽为 4 khz, 各通道间增加一定频段的隔离, 对一条带宽为 268 khz 的双绞线具有 24 条音频通道的容量使用调制解调器, 就可以将频谱很宽的数字信号转换为频谱很窄模拟信号在模拟音频通道 (300~3 400 Hz 通道 ) 上传输双绞线也可用于数字传输, 这时选用不同质量的双绞线采用不同的传输技术, 其传输

70 4.1 物理层 65 率差异极大, 目前传输率从几百 khz 到几十 MHz 不等通常对于特定的双绞线, 传输率与传输距离成反比, 即距离越近传输率就越高 ; 反之, 传输距离越远, 传输率就越低与模拟信号相比, 数字信号的频谱很宽, 故一对双纹线仅能传输一路信号且由于同样原因, 其中的高频成分衰减较大, 对外干扰也较为敏感, 在使用中必须加以注意通常数字传输的双绞线间距窄, 缠绕密度大, 价格也相对较高双绞线有非屏蔽和屏蔽两种普通电话线采用非屏蔽双绞线 UTP(Unshielded Twisted Pair) EIA/TIA 规定了五类 UTP 标准, 对传输数据来说, 最常用的 UTP 是 3 类和 5 类 UTP UTP 易受外部干扰, 包括来自环境噪声和附近其他双绞线的干扰屏蔽双绞线 STP(Shielded Twisted Pair) 就是在其外面加上金属包层来屏蔽外部干扰虽然 STP 的抗干扰性能好, 但比 UTP 昂贵, 且安装也困难 2. 同轴电缆同轴电缆 (Coaxial Cable) 也像双绞线那样由一对导体组成, 但它们是按同轴的形式组成的最里面是内导体, 外包一层绝缘材料, 外面再套一层空心的圆柱形外导体, 最外面是起保护作用的塑料外皮内导体和外导体构成一组线对, 如图 4-2 所示图 4-2 同轴电缆的结构同轴电缆有多种型号, 各国定义不同通常用两种办法对其分类, 第一种办法按其特性阻抗进行分类, 分为 50 Ω 75 Ω 93 Ω 等 ; 第二种办法按其直径分类, 又分为粗同轴电线和细同轴电缆等 50 Ω 的同轴电缆又称基带同轴电缆, 主要用来传送基带数字信号, 广泛用于计算机网络 75 Ω 电缆又称宽带同轴电缆, 它是 CATV 电视系统中的标准传输电缆, 用于传输电视等模拟信号在传输模拟信号时, 其频率高达 300~450 MHz 或更高, 传输距离可达 100 km 93 Ω 的同轴电缆主要用于 ARCNET 局域网由于其几何结构和生产工艺等原因, 同等条件下与双绞线相比, 同轴电缆对高频信号的衰减较小对外幅射小更利于高频信号的传输同样, 同铀电缆中信号传输率与同轴电缆的型号以及配套传输接口电路有关, 从几十 MHz 到几百 MHz 不等对于特定的同轴电缆, 其传输率也同样与传输距离成反比与双绞线相比, 同轴电缆价格贵, 但带宽大传输距离长抗干扰能力强与双绞线一样, 同轴电缆可通过频分多路复用而传输多路模拟信号, 如共用天线所用的 75 Ω 同轴电缆中传输的电视信号为多频道电视信号随着多路复用技术的发展, 人们正试图在共用天线电视电线中传输电视信息的基础上传输其他信息带宽很宽的数字信号也可以通过调制转换为带宽较窄的模拟信号, 通过多路复用的方法在同轴电缆中传输同双绞线相比, 同轴电缆的高频衰减较小, 高频幅射也相对弱, 故更利于频带很宽的数字信号的传输当然出于数字信号的频带连续是从 0 Hz 到高频无所不在, 故同轴电缆小也仅能传输一路数字信号

71 66 第 4 章 OSI 下三层 3. 光缆光纤通信就是利用光导纤维传递光脉冲信号来进行通信, 由于可见光的频率非常高 (108 Mhz), 因此一个光纤通信系统的传输带宽远远大于目前其他传输介质的带宽光纤是光纤通信的传输介质, 在发送端有光源, 可以采用发光二极管或半导体激光器, 它们在电脉冲的作用下能产生出光脉冲 ; 在接收端利用光电二极管做成光检测器, 在检测到光脉冲时可还原出电脉冲, 如图 4-3 所示图 4-3 光纤通信示意图目前, 通信上应用最多的为石英光纤按照折射率分布通常分为均匀光纤和非均匀光纤按照传输的总模数分, 光纤通常又分为多模光纤和单模光纤相对于双绞线和同轴电缆等金属传输介质来说, 光缆有轻便带宽大传输距离长以及不受外部电磁场干扰的优点均匀光纤的纤芯和包层的折射率分别为常数 n 1和 n 2 ( n 1 > n 2 ), 在纤芯和包层的分界面处折射率发生突变, 故其被称为均匀光纤或突变型光纤, 用 S 1表示非均匀光纤纤芯的折射率 n 1 不为常数, 其纤芯抽心处 n 1 最大, 其后 n 1 随抛物线规律减小, 到纤芯与包层交界处 n 1变为包层折射率 n 2, 包层折射率 n 2 为常数, 故其被称为非均匀光纤或渐变型光纤, 用 G 1表示所谓模式, 就是光波电磁场的分布模式, 同频率同波长的光由许多模式组成模式的概念从理论上详细解释很复杂, 对于具体光纤的计算更加复杂, 通常在实际应用中不作深入讨论, 可以简单概括为 : 同颜率同波长而不同模式的光沿光纤方向的传输速度不同, 从光纤一端同时发送的同频同波长的光信号, 其不同模式到达光纤另一端的时间各不相同光纤的模式与光纤的直径折射率光的波长等参数有关总的来说, 光纤直径越小, 其能传输光的模式越少, 当直径小于一定临界值时, 光纤内只能传输一种模式的光若光纤中同一波长同一频率光的电磁场传输模式多则称为多模光纤 ; 若光纤中同一波长同一频率的光的电磁场传输模式仅有一种则称为单模光纤 4. 无线传输介质在信号的传输中, 若使用的介质不是人为假设的介质, 而是自然界所存在的介质, 那么这种介质就是广义的无线介质如可传输声波信号的气体 ( 大气 ) 固体和液体, 能传输光波的真空空气透明固体透明液体, 以及能传输电波的真空空气固体和液体等这些媒体都可以称为无线传输介质在这些无线介质中完成通信称为无线通信但由于目前人类广泛使用的无线介质是大气, 在其中传输的是电磁波, 所以这里我们仅对利用大气介质传输电磁波的无线通信作简单介绍根据所利用的电磁波的频率又可将无线通信分为无线电通信微波通信红外通信和激光通信

72 4.1 物理层 67 无线电通信 (Radio) 在无线电广播和电视广播中已广泛应用国际电信联盟的 ITU-R 将无线电的频率划分为若干波段, 即低频 LF(Low Frequency) 中频 MF(Medium Frequency) 高频 HF(High Frequency) 甚高频 VHF(Very High Frequency) 超高频 UHF(Ultra High Frequency) 特高频 SHF(Super High Frequency) 极高频 EHF(Extremely High Frequency) 等在低频和中频的波段内, 无线电波可轻易的通过障碍物, 但能量随着与信号源距离的增大而急剧减少在高频和甚高频波段内, 地表电波会被地球吸收, 但也会被离地表数百千米的带电离子层 ( 电离层 ) 反射回来, 因此传输距离较远微波 (Microwave) 通信通常是指利用在 1 GHz 范围内的电波来进行通信高频的微波和低频的无线电波不同, 它的一个重要特点是沿着直线传播, 而不是向各个方向扩散通过抛物状的天线可以将能量集中于一小束上, 以获得很高的信噪比并传输很长的距离通常发射天线和接收天线必须精确对准, 且由于微波是沿直线传播的, 而地球表面是曲面, 故直线传输的距离与天线塔的高度有关, 塔越高则距离越远红外 (Infrared) 通信是利用红外线进行的通信, 已广泛应用于短距离的通信它要求有一定的方向性, 即发送器直接指向接收器电视机和录像机的遥控器就是应用红外通信的例子红外通信的发送和接收装置硬件相对便宜, 且容易制造, 也不需要天线许多便携机内部都已装备有红外通信的硬件, 利用它就可以与其他装有红外通信硬件设备的 PC 机或工作站通信激光 (Laser) 能直接在空中传输而无需通过有形的光导体, 并能在很长的距离内保持聚焦的特点, 也可作为物理传输媒体它和微波通信在直线传输上有相似性, 但是和红外通信一样也不必经政府管理部门授权分配频率激光同样不能被遮挡, 而且对雨雪雾都比较敏感, 这限制了它的应用有时可用激光通信来连接不同建筑物中的局域网络, 这在建筑物之间要跨越公共空间, 如要通过公路, 因不会轻易容许安放电缆时特别有用物理层功能 1. 物理层的基本功能物理层是 OSI 模型最低层, 它向下直接与传输介质相连接, 向上相邻且服务于数据链路层它的作用是在数据链路层实体之间提供必需的物理连接, 按顺序传输数据比特, 并进行差错检查在发现错误时, 向数据链路层提交报告物理层重点考虑的是怎样才能在连接各种计算机的传输介质上传输数据的比特流, 而不是连接计算机的具体的物理设备或具体的传输介质具体来说, 物理层协议要解决的是主机工作站等数据终端设备与通信线路上通信设备之间的接口问题按照国际标准化组织 (ISO) 的术语, 将这两种设备分别称为 DTE 和 DCE DTE(Data Terminal Equipment) 又称数据终端设备, 指数据输入输出设备和传输控制器或者计算机等数据处理装置及其通信控制器 DCE(Data Circuit-Terminating Equipment) 又称数据电路端接设备, 指自动呼叫设备调制解调器 (Modem) 以及其他一些中间装置的集合 DTE 的基本功能是产生处理数据 ;DCE 的基本功能是沿传输介质发送和接收数据 2. 物理层的 4 个基本特性这里用有 4 个特性来说明 DTE 与 DCE 之间的接口 : 机械特性

73 68 第 4 章 OSI 下三层电气特性功能特性规程特性 (1) 机械特性机械特性规定了 DTE 与 DCE 实际的物理连接 DTE 和 DCE 作为两种分立设备, 通常采用接插件实现机械上的互联机械特性详细说明了接插件的形状和尺寸插头的数目排列方式以及插头和插座的尺寸电缆的长度以及所含导线的数目等这很像平时常见的各种规格的电源插头的尺寸都有严格的规定 ISO 物理层的机械特性的标准有 ISO 2110 ISO 2593 ISO 4092 和 ISO 4093 (2) 电气特性电气特性规定了数据交换信号以及有关电路的特性一般包括最大数据传输率的说明表示信号状态 ( 逻辑电平, 通 / 断, 传号 / 空号 ) 的电压和电流的识别, 即什么样的电压表示 1 或 0, 以及电路特性的说明和与互联电线相关的规定 ISO 物理层采用的电气特性的标准有 CCITT V.10/X.26 CCITT V.11/X.27 CCITT V.28 和 CCITT V.35 (3) 功能特性说明某条线上出现的某一电平的电压表示何种意义即每一条线的功能分配和确切定义 ISO 物理层采用的功能特性标准有 CCITT V.24 和 CCITTX.24 通常信号线可分为四类 : 数据线控制线同步线和地线 (4) 规程特性即通信协议, 说明对于不同功能的各种可能事件的出现顺序即各信号线的工作规则和先后顺序 ISO 物理层采用的规程特性标准有 CCITT X.20/21/22 和 CCITT V.24/ 物理层协议 1. 物理层的标准 DTE 与 DCE 之间要互联, 需遵循共同的接口标准, 这就是通常所说的物理层标准 2.EIA RS-232C 接口标准 RS-232C 为终端 DTE 与 Modem(DCE) 间的物理层接口 DTE 是数据终端设备, 也就是具有一定数据处理能力以及发送和接收数据能力的设备大多数数据处理设备的数据传输能力很有限, 直接将相隔很远的两个数据处理设备连接起来是不能进行通信的, 必须在数据处理设备和传输线路之间加一个中间设备, 这就是数据电路端接设备 DCE (1) 机械特性采用 ISO 2110 关于插头座的标准即 25 针插头的 DB-25 插头座它的两个固定螺丝中心之间的距离为 mm 引脚分为上下两排, 分别有 13 和 12 根引脚 (2) 电气特性与 CCITT V.28 建议书一致即采用负逻辑, 逻辑 0 相当于对信号地线有 +5~+15 的电压, 而逻辑 1 相当于对信号地线有 -5~-15 的电压

74 4.1 物理层 69 (3) 功能特性与 CCITT V.24 建议书一致各信号线的含义如图 4-4 所示引脚 7 是信号地, 即公共回路, 而引脚 1 是保护地, 即屏蔽地引脚 2 和引脚 3 都是传送数据的数据线, 发送和接收是对 DTE 而言的图 4-4 DTE 与 DCE 信号线含义 (4) 规程特性与 CCITT V.24 一致首先是 DTE 和 DCE 加电, DTE 就绪和 DCE 就绪设置为逻辑 1 DTE 要发送数据时, 发送请求置为有效 ;DCE 在可以接收 DTE 的数据时, 把允许发送置为有效 ; 随后,DTE 通过发送进行数据发送, 时序如图 4-5 所示图 4-5 DTE 与 DCE 时序图该图为 CCITT V.24 的时序图, 其信号线与 RS-232C 的对应关系是 :108/2-DTE 就绪 (20); 107-DCE 就绪 (6);105- 发送请求 (4);109- 载波检测 (8);106- 允许发送 (5) 3.EIA RS449 接口标准为了能在更大距离和更高速率上直接互联,EIA 又制定了 RS449 接口标准

75 70 第 4 章 OSI 下三层 (1) 机械特性与 CCITT V.35 一致, 采用 37 针插头和插座 (2) 电气特性 RS449 有两个标准来定义它的电气规程, 分别是 RS422 和 RS423 RS422 标准是平衡方式的, 即所有电路共用一个公共地当连接电缆长度为 10 m 时, 数据的传输速率可达 300 Kb/s RS423 标准是非平衡方式的, 即所有电路没有公共地当连接电缆长度为 10 m 时, 数据的传输速率可达 10 Mb/s (3) 功能特性各信号线的含义为了和 RS232 兼容,RS449 将它的 37 根信号线分为两组, 第一组的信号线可以在 RS232 中找到对应的信号线, 第二组则是新定义的信号线以下是一些主要的信号线含义 : 1: 保护地 4.22: 发送数据 6.24: 接收数据 7.25: 发送请求 9.27: 允许发送 19: 信号地 4.2 数据链路层定义和功能 1. 链路与数据链路链路就是一条无源的点到点的物理线路段, 中间没有任何其他的交换节点数据链路则是另一个概念这是因为当需要在一条线路上传输数据时, 除了必须有一条物理线路外, 还必须有一些必要的规程来控制这些数据的传输把实现这些规程的硬件和软件加到链路上, 就构成了数据链路在进行数据通信时, 两个计算机之间的通路往往是由许多的链路串接而成的可见一条链路只是一条通路的一个组成部分数据链路就像一个数字管道, 可以在它上面进行数据通信当采用复用技术时, 一条链路上可以有多条数据链路 2. 数据链路层的功能数据链路层提供相邻设备间的无差错数据传输它要完成如下功能 : (1) 成帧物理层以比特为单位进行数据传输, 数据链路层以帧为单位进行数据传输帧是具有一定长度和格式的信息块, 一般由一些字段和标志组成不同网络其帧格式或长度可以不同, 但将比特流分成帧的方法基本相同有 4 种常用的方法 : 字符计数法带填充字符的首尾界符法带填充比特的首尾标志法物理层编码违例法

76 4.2 数据链路层 71 把比特流分成帧, 标定帧的起始和结束, 以利于进行差错控制在数据链路层, 数据的传送单位是帧数据一帧一帧地传送, 就可以在出现差错时, 将有差错的帧重传一次, 而避免将所有数据重传, 从而实现差错控制 (2) 差错检测和纠错为保证发方发出的所有帧都正确有序地交付给目标机网络层, 需要启动确认重传机制, 由收方向发方提供有关接收情况的反馈信息如果发方收到肯定确认, 则知道此帧已正确到达 ; 若收到否定确认, 则意味着需重传此帧同时, 为防止丢失帧所引起的错误, 需设置定时器当发方等待足够的时间还未收到接收方发回的确认帧, 则可能是所传帧或者是确认帧丢失, 解决的方法是重传此帧 ( 返回 N 协议和选择重传 ) 多次传送同一帧的危险是收方可能收到重复帧 ; 为防止这种情况发生, 可为发出的各帧编号, 使收方能够辨别是重复帧还是新帧, 从而保证每帧最终交付给目标网络层一次通常利用检错码 (Error-Detecting Codes) 和纠错码 (Error-Correcting Codes) 来控制传送差错在计算机通信中, 一般都要求有极低的比特差错率, 因此, 广泛地采用了编码技术有两类编码 : 一类是检错码, 即收方可以检测出收到的帧中有差错, 但不知道错在哪 ; 另一类是纠错码, 即收方收到有差错的数据帧时, 能够自动将差错改正过来 (3) 流量控制数据链路层必须控制链路上的数据流量, 保证发送与接收速度匹配, 防止出现发送速度超过接收能力的现象, 以免丢失数据大多数流量控制方法的基本原理都是相同的, 都需要启用反馈机制, 使发方直接或是间接地获得收方指示的发送时机在未得到允许前, 禁止发出帧如单工停协议滑动窗口协议等发方的发送速率必须小于等于收方的接收速率, 否则会浪费网络资源, 增加网络负担流量控制就是对发方的发送速率进行控制 (4) 介质访问控制 (MAC, Medium Access Control) 广播信道中的信道分配控制如 FDM(Frequency Division Multiplexing) CSMA(Carrier Sense Multiple Access) 等数据链路层协议基本原理数据链路层协议有时也称为通信控制规程它是为了实现传输控制所制定的一些规格和顺序通用性比较强的计算机网络通信规程主要有 : 美国国家标准协会 (ANSI) 提出的高级数据通信控制规程 ADCCP 国际标准化组织 (ISO) 推荐的高级数据链路控制规程 HDLC 国际电报电话咨询委员会 (CCITT) 发表的 X.25 建议书通信控制规程归纳起来可分两大类 : 面向字符型和面向比特型 1. 面向字符型规程所谓面向字符就是说在链路上所传送的数据必须是由规定字符集 ( 如 ASCII) 中的字符所组成在链路上传送的控制信息也必须由同一个字符集中的若干指定的控制字符构成最典型的面向字符的协议是 IBM 的 BSC 协议 ( 二进制同步通信 )

77 72 第 4 章 OSI 下三层 2. 面向比特型规程在面向比特型通信控制规程中, 报文的数据和控制信息完全独立, 具有良好的透明性 ; 差错检验一般采用纠错码方式, 可靠性强 ; 在链路上可进行信息连接和双向发送, 传输效率高 ; 信息传输都统一以帧为单位, 控制简单同步和异步主要区别在字符之间同步协议由于要求接收器能从输入数据中分离出时钟, 实现起来较复杂, 这个功能通常由调制解调器来完成, 但是同步协议能更有效的利用信道 1. 异步协议基本原理异步协议把每个字符看做一个独立的信息, 在每个字符的起始处同步, 但各个字符之间的间隔时间是可以变化的由于发送器和接收器近似于同一频率的两个时钟 ( 要两个时钟频率严格相同是不可能的 ), 能够在一段时间内保持同步, 故可以用字符起始处同步的时钟来采样该字符的各比特, 而不需要为每一比特同步 2. 同步协议基本原理同步协议则把许多字符组织成一个数据块 ( 即帧 ), 在该数据块的起始处同步, 而后面维持固定的时钟, 实际上是发送端通过某种技术将时钟混合到数据中一起发送出来, 而接收端又从输入数据中分离出时钟来该时钟不但用来定时字符内的各比特, 也用来定时字符本身滑动窗口协议的基本原理滑动窗口协议的基本原理就是在任意时刻, 发送方都维持了一个连续的允许发送的帧的序号, 称为发送窗口 ; 同时, 接收方也维持了一个连续的允许接收帧的序号, 称为接收窗口发送窗口和接收窗口的序号的上下界不一定要一样, 甚至大小也可以不同不同的滑动窗口协议窗口大小一般不同 1. 比特滑动窗口协议当发送窗口和接收窗口的大小固定为 1 时, 滑动窗口协议退化为停等协议 (Stop And Wait) 该协议规定发送方每发送一帧后就要停下来, 等待接收方已正确接收的确认 (Acknowledgement) 返回后才能继续发送下一帧由于接收方需要判断接收到的帧是新发的帧还是重新发送的帧, 因此发送方要为每一个帧加一个序号由于停等协议规定只有一帧完全发送成功后才能发送新的帧, 因而只用一比特来编号就够了其发送方和接收方运行的流程图如图 4-6 所示

78 4.2 数据链路层 73 图 4-6 比特滑动窗口协议发送和接收流程图从停等协议的流程图可知发送方和接收方唯一的联系是发送方必须等到收到接收方的确认才能继续往下走, 否则只能循环等待收发双方各设置一个 1 比特的本地状态变量, 对状态变量需要注意几点 : 1 发送端每发一帧数据, 都要将发送状态变量的值写到数据帧的发送序号上, 但只有收到一个确认帧 ACK 后, 才更新发送状态变量一次和发送新的数据帧 ; 2 在接收端每接收一个数据帧, 就要将数据帧上的发送序号和本地的接收状态变量进行比较, 若二者相等, 则为新的数据帧, 否则为重复帧 ; 3 当收到无差错的新的数据帧时, 接收端除将其交主机外, 还需将接收状态变量更新一次 ; 4 接收端若收到一个无差错的重复帧, 则丢弃之, 且接收状态变量不变, 但要向发送端发一个确认帧 ACK 发送端在发完数据帧时, 必须在其发送缓冲区中保留数据帧的副本, 以供出现差错时进行重发, 只有收到对方发来的确认帧 ACK 后, 方可清除副本 2. 后退 n 协议由于停等协议要为每一个帧进行确认后才继续发送下一帧, 大大降低了信道利用率, 因此又提出了后退 n 协议后退 n 协议中, 发送方在发完一个数据帧后, 不停下来等待应答帧, 而是连续发送若干个数据帧, 即使在连续发送过程中收到了接收方发来的应答帧, 也可以继续发送即发送窗口的大小为 k, 接收窗口仍是 1 由于减少了等待时间, 必然提高通信的吞吐量和信道利用率设节点 A 向节点 B 发 0 号帧后, 连续发送后继的 1 号帧和 2 号帧, 由于发方连续发送了多帧, 所以收方的应答帧应编号, 说明是对哪一帧的确认与否认, 现在设 1 号帧出了差错,

79 74 第 4 章 OSI 下三层节点 B 发送否认帧 NAK1, 当 NAK1 到达节点 A 时, 节点 A 刚好发完 3 号帧, 所以节点 A 接着重发 1 号帧在这期间, 虽然在 1 号帧后, 节点 B 正确地接收了 2 个帧, 由于它们的发送序号都不是 1 号, 所以和 1 号帧一起被丢弃, 这样节点 A 尽管已发完 3 号帧, 但必须后退, 从 1 号帧开始重发这也是后退 n 协议名字的由来由此可见, 接收端只按序接收数据帧虽然在有差错的 1 号帧之后接着又收到了正确的 2 个数据帧, 但都必须将它们丢弃, 因为这些帧的发送序号都不是所需的 1 号发送方在每发送完一个数据帧时都要设置超时定时器只要在所设置的超时时间超时而仍未收到确认帧, 就要重发相应的数据帧在等不到 1 号帧的确认而重发 1 号数据帧时, 虽然节点 A 已经发完了 3 号帧, 但仍必须向回走, 将 1 号帧及其以后的各帧全部进行重传从这里不难看出, 后退 n 协议一方面因连续发送数据帧而提高了效率, 但另一方面, 在重传时又必须把原来已正确传送过的数据帧进行重传 ( 仅因这些数据帧之前有一个数据帧出了错 ), 这种做法又使传送效率降低由此可见, 若传输信道的传输质量很差因而误码率较大时, 连续测协议不一定优于停等协议 3. 选择重传协议在后退 n 协议中, 接收方若发现错误帧就不再接收后续的帧, 即使是正确到达的帧, 这显然是一种浪费另一种更好的方法是 : 若某一帧出错, 后面送来的正确的帧虽然不能立即送主机, 但接收方仍可收下来, 放在一个缓冲区中, 同时要求发送方重新传送出错的那一帧, 一旦收到重传的帧后, 就可以与原先已收到但暂存在缓冲区中的其余帧一起按正确的顺序送主机, 这就是选择重传协议即发送窗口和接收窗口均大于 1, 如图 4-7 所示图 4-7 选择重传协议 HDLC 的基本工作原 HDLC(High-level Data Link Control) 最早是由 IBM 提出的面向比特的同步数据链路控制 (SDLC) 发展而来的, 它是一个面向比特的数据链路层协议, 完成流量控制功能 CCITT 修改了 HDLC, 称为 LAP(Link Access Procedure), 作为 X.25 网络接口一部分 1. 配置和方式链路有两种基本配置, 即非平衡配置和平衡配置在非平衡配置中, 每条链路有一个主站 (Primary Station) 控制整个链路的工作主站发出的帧叫做命令 (Command) 受控的各站叫做次站或从站 (Secondary Station) 次站发出的

80 4.2 数据链路层 75 帧叫做响应 (Response) 可以是点对点工作, 也可以多点工作在平衡配置中, 链路两端的两个站都是复合站 (Combined Station) 复合站同时具有主站和次站的功能, 因此每个战都可以发出命令和响应, 它只能点对点工作, 如图 4-8 所示对于非平衡配置, 可以有两种数据传输方式最常用的是正常响应方式 NRM(Normal Response Mode), 其特点是只有主站才能发起向次站的数据传输, 而次站只有在主站向它发起命令帧进行轮询 (Poll) 时才能以响应帧的形式回答主站另一种是异步响应模式 ARM (Asynchronous Response Mode) 这种方式允许次站发起向主站的数据传输, 即次站不需要等待主站发过来的命令, 而是可以主动向主站发送响应帧但是, 主站仍负责整个系统的初始化链路的建立和释放, 以及差错恢复等对于平衡配置, 只有异步平衡方式 ABM(Asynchronous Balanced Mode), 其特点是每个复合站都可以平等地发起数据传输, 而不需要得到对方复合站的允许图 4-8 非平衡配置和平衡配置 2.HDLC 的帧结构 HDLC 帧格式包括标志字段地址字段控制字段数据和校验和, 如图 4-9 所示图 4-9 HDLC 的帧结构 (1) 标志字段, 用于确定帧的起始和结束, 以进行帧同步和准确识别长度可变的帧在两个标志字段之间的比特串中, 如果碰巧出现了和标志字段一样的组合, 就会被误认为虑帧边界为了避免这种错误,HDLC 采用比特填充法使一个帧中两个标志字段之间不会出现 6 个连续的 1 具体做法是在发送端, 在加标志字段之前, 先对比特串扫描, 若发现 5 个连续的 1, 立即在其后加一个 0 在接收端收到帧后, 去掉头尾的标志字段, 对比特串进行扫描, 当发现 5 个连续的 1 时, 立即删除其后的 0, 这样就还原成原来的比特流了 (2) 地址该字段始终存放的是响应站的地址在使用非平衡方式传送数据时, 地址字段总是填入

81 76 第 4 章 OSI 下三层次站的地址在平衡方式时, 地址字段总是填入响应站的地址因此, 该字段也可用来区分命令和应答若发送的帧的地址字段中的地址不是自己, 则是命令帧 ; 若是自己, 则是响应帧全 1 是广播地址, 全 0 是无效地址 (3) 控制用于序号和帧类型表示, 如图 4-10 所示图 4-10 控制字段的结构 (4) 数据数据字段用于传输用户数据数据链路对 HDLC 提供完全透明的信息传输, 数据字段可由任意比特组成, 其长度在理论上没有限制但实际上常受下列因素的制约, 如帧检验字段的检错能力, 数据传输率, 通信站缓冲器大小, 等等因此在实际应用中, 常根据上述因素综合权衡, 规定出一帧的总长度和对超长帧的处理办法目前国际上用的最多的是 1 000~2 000 位左右的长度在 X.25 协议中, 信息字段的最大长度一般为 128 字节或 256 字节 (5) 校验和帧校验和字段共 16 比特, 采用循环冗余校验方法, 用来检查所接收的信息是否在传输过程中发生了差错生成多项式是 CRC-CCITT: x 16 + x 12 + x 校验的范围包括地址字段到信息字段的全部比特位在 HDLC 协议中定义了 3 种类型的帧, 分别是信息帧监控帧和无编号帧各类帧由帧内控制字段的不同编码来区分当第 1 比特为 0 时, 标志该帧为信息帧, 用来传送用户数据当第 1,2 比特为 10 时, 标志该帧为监控帧, 用来监控数据链路, 传送接收站发出的应答信息当第 1,2 比特为 11 时, 标志此帧为无编号帧, 用来传送命令和其他控制信息, 以控制数据链路的建立拆除, 并处理系统错误等除信息帧外, 其他两类帧均没有数据字段, 如图 4-11 所示

82 4.2 数据链路层 77 图 4-11 在控制字段中的帧类型 (1) 信息帧 (Information) 用于传送用户数据信息帧控制字段的第 2,3,4 比特为发送帧序号 N(S) 它是由发送方在发送该帧前填入的, 用来供收发双方检查是否有遗漏或重复帧发生为减少序号所占用的比特数, 发送序号通常采用模 8 运算, 必要时 ( 如使用卫星信道 ) 也可采用模 128 运算信息帧控制字段的第 6,7,8 比特为接收帧序号 N(R) 它是由接收方填入的, 代表了接收方期望接收的下一帧序号即在该帧发出前, 接收方已正确收到序号 N(R) 之前的所有信息帧, 发送方应当向接收方发送 N(S)=N(R) 的信息帧, 可见 N(R) 具有应答意义由 N(s) 和 N(R) 编号可看出 HDLC 适合于全双工通信, 它允许在发送信息的同时, 捎带应答信息控制字段的 P/F 比特, 在命令帧中称为 P 比特, 在响应帧中称 F 比特, 用来标识通信站之间的命令 - 响应信息对在 HDLC 协议中,P=1 为主站询问次站是否有数据要发 ;F=1 为次站响应主站有数据要发,P 与 F 是成对出现的次站响应主站询问之后, 开始向主站发送信息帧, 并置所发信息帧的 P/F 比特为 0, 直至信息全部发完, 才置最后一个信息帧的 P/F 比特为 1, 通知主站数据发送完毕信息帧中的 P/F 比特与监控帧中的 P/F 比特意义相同 (2) 监控帧 (Supervisory) 用于监控链路的常规操作其控制字段的前 1,2 比特为 10, 第 3, 4 比特为 TYPE 字段, 有四种编码, 分别用来表示四种不同含义和作用的监控帧 :RR 帧 REJ 帧 RNR 帧和 SREJ 帧监控帧中的 N(R) 字段也是接收帧序号, 但它的具体含义随 TYPE 字段值的不同而不同 1RR(Receive Ready) 帧, 又称接收就绪帧其 TYPE 字段值为 00, 是对发送方的肯定应答该帧中的 N(R) 是接收方等待接收的下一帧号, 表示接收方已正确接收编号在 N(R) 之前的所有帧, 请求发送方发送 N(S)=N(R) 的帧 2REJ(REJect) 帧, 又称否定应答帧其 TYPE 字段值为 10 在接收到失序帧后, 用它来请求发送方重发编号为 N(R) 的帧, 同时确认编号直到 N(R)-1 的所有信息已正确收到 3RNR(Receive Not Ready) 帧, 又称接收器未就绪帧其 TYPE 字段值为 01 用来表示接收方处于繁忙状态, 暂时无力接收信息帧发送站收到这类应答帧后, 即暂停发送信息帧直至收到 RR 帧或 REJ 帧再恢复发送 N(R) 值代表它之前的所有帧已收妥 4SREJ(Select REJect) 帧, 又称选择拒绝接收帧其 TYPE 字段值为 11 接收站用此帧通知发送站仅重发编号为 N(R) 的信息帧

83 78 第 4 章 OSI 下三层 (4) 无编号帧 (Unnumbered) 因这类帧中没有 N(R),N(S) 编号, 所以称为无编号帧它被用来传递命令 / 响应等各种控制信息用于附加的链路控制功能, 如宣布停机重置线路帧拒绝无序号确认等, 且在传输中优先无编号帧控制字段的第 1,2 比特为 11, 第 5 比特为 0, 第 3,4,6,7,8 比特为命令 / 响应编码, 共可发 32 种命令 / 响应 3. 信息交换控制过程控制 HDLC 是典型的面向连接的全双工通信, 在进行信息交换时首先需要建立数据链路, 然后进行链路的维持 ( 传输数据 ), 最后释放数据链路 (1) 链路的建立和释放假设在非平衡配置中, 主站 A 要和从站 B 进行通信,A 首先发送一个无编号帧给 B, 在地址字段填写的是 B 的地址, 控制字段 M 比特的组合为 SNRM 命令,P/F 比特为 1 表示 P 轮询 ( 以下用 B,SNRM,P 表示 ), 从站 B 收到请求后以无编号帧 (B,UA,F) 作为响应, 数据链路建立完成信息传输完成后, 主站 A 向从站 B 发送无编号帧 (B,DISC,P) 请求释放连接,B 向 A 发送无编号帧 (B,UA,F) 进行确认, 数据链路释放 (2) 链路的维持在此阶段双方发送的是信息帧和监督帧假设 A 和 B 构成的平衡配置进行全双工通信, A 站发送信息帧 (B,I00,P), I00 表示信息帧控制字段 N(S)N(R)=00, 然后继续发送信息帧 (B,I10)( B, I20), 这时 B 站发送的信息帧 (A,I00) 到达,A 站接收该帧后发送信息帧 (B,I31,F), 表示 A 发送序号为 3 的信息, 期待接收 B 的序号为 1 的信息这时如果 B 站发送的信息帧 (A,I10,P) 到达,A 站以监督帧 (A,RR2,F) 进行响应, 表示期望接收 B 的第 2 帧, 第 2 帧以前的各帧已经接收差错校验方法对差错进行校验, 这里有两种方式 : 自动请求重发和前向纠错自动请求重发是由发送端发出能够发现 ( 检测 ) 出错误的码组, 接收端根据该码的编码规则, 判定传输中有无差错产生, 并通过反馈信道把判定结果告诉发送端发送端则根据反馈的结果把有错的信息重发, 直到接收正确为止前向纠错是由发送端发送能够纠错的码 ( 即纠错码 ), 接收端收到的纠错码后, 通过纠错译码器不仅能自动地发现差错, 而且能自动地对其进行纠正 ; 然后, 再把纠正过的信息 ( 或数据 ) 送给主机这种方式的优点是不需要反馈信道但缺点是译码设备比较复杂, 所选用的纠错码必须与信道中干扰情况紧密对应, 而且为了纠正比较多的差错, 所要求附加的冗余码比检验码所用的冗余码要多得多, 因而降低了传输效率鉴于这些因素, 所以这种方法不能被广泛地应用 1. 差错检测码典型的差错检测码有奇偶校验码和循环冗余码两种 (1) 奇偶校验码在有效信息比特之前或之后, 增加一比特校验位, 就可构成奇偶校验码若增加一比特后码字中 1 的个数为奇数, 则称为奇检验 ; 若增加一比特后码字中 1 的个数为偶数,

84 4.2 数据链路层 79 则称为偶校验设信息比特为 b1~b8, 校验比特为 b9, 则奇校验方程式 : b1 b2 b3 b4 b5 b6 b7 b8 b9=1 偶校验方程式 : b1 b2 b3 b4 b5 b6 b7 b8 b9=0 校验比特的逻辑表达式为奇校验比特 : b9=b1 b2 b3 b4 b5 b6 b7 b8 偶校验比特 : b9=b1 b2 b3 b4 b5 b6 b7 b8 例如, 需发送的数据为 , 在奇校验中, 需要在末尾加 0, 变为 ; 在偶校验中, 需要在末尾加 1, 变为这样, 若在传输过程中有 1 比特出错, 即由 1 变为 0 或由 0 变为 1, 接收方将通过码字中 1 的个数判断 ( 只能检测奇数个比特出错, 不能检测偶数个比特出错 ) ( 2 ) 循环冗余码奇偶检验码虽然简单, 但漏检率太高目前应用广泛的差错检测码是循环冗余码, 循环冗余码又称为多项式码这是因为任何一个二进制数比特串组成的代码都可以和一个只含有 0 和 1 两个系数的多项式建立一一对应的关系例如, 代码对应的多项式为 x + x + x + 1, 而多项式 x + x + x + x对应的代码为首先, 发送方和接收方必须事先约定一个生成多项式 G(x), 该生成多项式的最高比特和最低比特必须为 1 设要发送的信息为 K(x), 加在信息比特后面的校验比特为 R(x), 因此循环码的编码过程就是由 K(x) 和 G(x) 求 R(x) 的过程接收方收到带有校验码的数据 T(x) 时用 G(x) 去除 T(x), 若为 0, 表示没有出错因此发送方生成 R(x) 的方法是用 G(x) 去除 r x *K(x) 得到的余数就是 R(x)(r 为余数的比特数 ) 6 4 例如, 信息比特 : K( x) = x + x + 1; 生成多项式 G(x)= x 4 + x 2 +x+1(10111), 取 r=4, 则用去除 T(x)= 差错校正码 4 x *K(x)( ), 余数为 1101, 即为冗余校验码典型的差错校正码有海明码它是一种可以纠正一比特差错的编码 (1) 海明不等式海明不等式是关于信息比特数与校验比特数的关系不等式设信息比特数为 k, 校验比特数为 r, 则校验码的长度或称码长 n=k+r r 比特冗余代码实际上构成一个有别于有效数据信息的字, 称为指误字, 用来指示信息传送中发生错误的比特长度为 r 的指误字共有 2r 个状态其中全 0 状态可用来表示无错, 余下的 2 r- 1 个

85 80 第 4 章 OSI 下三层状态可用来指示哪一比特出错注意若校验比特本身出错也应能指示出来这样一来, 需要指示出错的比特数就是整个校验码的长度 n=k+r 若 r 增加, 固然 2r-l 随之增加, 但同时 k+r 也增加这意味着存在一个最小的 r 值, 能够指示出整个校验码中哪一比特出错的全部可能情况所以, 为了能检测并纠正一比特错, 信息比特数 k 与校验比特数 r 必须满足如下的不等式 : k+r<2r-1 上式称为海明不等式利用海明不等式, 若已知信息比特数 k, 便可计算出需要的校验比特数 r; 或者在给定总比特数 n 的条件下, 计算出能够用作信息比特的比特数 k 由于二者的关系是一个不等式, 因而在一个最小的 r 值下, 允许信息比特数 k 在一个范围内变化, 不等式仍然满足若 k=4, 则 r>=3, 取 r=3, 则 n=7 海明校验实质上是一种多重奇偶校验校验比特的生成方法类似于奇偶校验码, 也采用异或运算 ; 与奇偶校验码不同的是, 海明码是一种线性码, 每一校验值的生成只涉及一部分信息值, 即校验方程是一种线性模 2 加的形式各个信息比特则参加两个或两个以上的校验码生成这里的所谓编码就是在上述条件下如何生成校验比特以及对信息比特和校验比特的排列作出适当的选择海明码的编码方案有多种为了使出错时的指误字能够直观地指示出究竟是哪一比特错, 可采用以下介绍的方法, 这种方法需要对校验比特和信息比特的比特置进行适当的分配设海明码长为 n 比特, 其中信息比特 k 比特, 校验比特 r 比特任一信息比特用 Ai 表示, 任一校验比特用 Pi 表示,i=1,,n (2) 校验比特和信息比特的分配规则校验比特 Pi 分配在 2i-l 的比特置上, 即分配在比特号为 i=1,2,4,8,16, 等比特置, 分别记为 Pl,P2,P4,P8,P16, 信息比特被分配在除 Pi 以外的其余比特置上, 即比特号为 i=3,5,6,7,9,10,11, 12,13,14,15, 等比特置上, 分别记为 A3,A5,A6,A7,A9,A10,A11,A12,A13, A14,A15, (3) 校验方程的建立规则若有 r 个校验比特, 就有 r 个校验方程式通常每一个校验方程式只包含一个校验比特 Pi 每一校验比特 Pi 的方程式中应当包含哪些信息比特? 方法是将被校验比特的十进制比特号转换为二进制数, 并按权展开, 使其满足下式 : 被校验信息比特的比特号 = 能够校验它的不同校验比特的比特号之和例如, 对信息比特 A7, 将 7 转换为 111, 按权展开得 7= 因此 A7 应由 P4 P2 P1 进行校验即 A7 应在 P4,P2,P1 的校验方程式中为说明如何编码, 设信息比特数为 4, 则按海明不等式计算得校验比特数为 3; 又假定进行偶校验, 那么根据上述规则便可得以下的校验方程式 : P1 A3 A5 A7=0 P2 A3 A6 A7=0 P4 A5 A6 A7=0

86 4.3 网络协议层与 X 根据校验方程式可得校验比特的逻辑表达式 : P1=A3 A5 A7 P2=A3 A6 A7 P4=A5 A6 A7 例如, 若信息比特为 1010, 可算出检验比特为 P1=A3 A5 A7=l 0 0=l P2=A3 A6 A7=1 1 0=0 P4=A5 A6 A7=0 1 0=l 于是海明码为 P1P2A3P4A5A6A7= 上述海明码的编码效率为 4/7 若 k=7, 可算得 r 至少为 4, 此时编码效率为 7/11 信息比特长度越长编码效率越高 4.3 网络协议层与 X 网络层基本功能 1. 网络层概述网络层是 OSI 参考模型中的第三层, 它建立在数据链路层所提供的两个相邻端点之间的数据帧的传送功能之上, 将数据从源端经过若干中间节点传送到目的端从而向运输层提供最基本的端到端的数据传送服务网络层是处理端到端数据传输的最底层, 体现了网络应用环境中资源子网访问通信子网的方式 (1) 路由控制利用网络拓扑结构等网络状态, 选择分组传送路径, 这是网络层的主要功能在大多数子网中, 分组的整个旅途需要经过多次转发无线广播网络是唯一的例外 (2) 拥塞控制控制和预防网络中出现过多的分组当到达通信子网中某一部分的分组数高于一定的阈值, 使得该部分网络来不及处理这些分组时, 就会使这部分以至整个网络的性能下降这种情况称为拥塞, 拥塞带来的影响如图 4-12 所示图 4-12 拥塞影响示意图

87 82 第 4 章 OSI 下三层 (3) 透明传输透明传输就是不管所传数据是什么样的比特组合, 都应当能够在链路上传送当所传数据中的比特组合恰巧出现了与某一个控制信息完全一样时, 必须采取适当的措施, 使收方不会将这样的数据误认为是某种控制信息这样才能保证数据链路层的传输的透明的 (4) 异种网络的互联解决不同网络在寻址分组大小协议等方面的差异不同类型的网络对分组大小, 分组结构等的要求都不相同, 因此要求在不同种类网络交界处的路由器能够对分组进行处理, 使得分组能够在不同网络上传输 (5) 分组生成和装配运输层报文与网络层分组间的相互转换运输层报文通常很长, 不适合直接在分组交换网络中传输在发送端, 网络层负责将运输层报文拆成一个个分组, 再进行传输在接收端, 网络层负责将分组组装成报文交给运输层处理 2. 网络层提供的服务网络层为运输层提供服务, 它通常是通信子网的边界网络层向运输层提供的服务应具有以下特点 : 1 服务与通信子网的技术无关 2 通信子网的数量类型和拓扑结构对运输层透明 3 运输层得到的网络地址应该采用同一编址的方式, 即使跨越了多个局域网和广域网也应如此对于网络层应提供的服务, 两个观点争论得很激烈一个观点认为不管怎样设计, 通信子网注定是不可靠的, 因此差错控制和流量控制必须由主机自己完成, 即网络层提供的服务是无连接的另一个观点认为, 通信子网应该提供一种可靠的面向连接的服务所谓连接是两个对等实体为进行数据通信而进行的一种结合面向连接的网络服务是在数据交换之前, 必须先建立连接, 当数据交换结束后, 终止这个连接无连接服务是两个实体之间的通信不需要事先建立好一个连接, 通信所需的资源无需事先预定保留, 所需的资源是在数据传输时动态地进行分配的面向连接和面向无连接的服务各有其适用场合, 面向连接的服务是可靠的报文序列服务 ; 无连接服务却不能防止报文的丢失重复或失序, 但无连接服务灵活方便, 并且迅速因此, 当前的网络层既提供面向连接的服务, 即虚电路方式, 又提供面向无连接的服务, 即数据报方式面向连接和无连接两种服务方式的争论, 实质就是将复杂的功能放在何处的问题在面向连接服务中, 它们被置于网络层 ( 通信子网 ), 而在面向无连接服务中, 则被置于运输层 ( 主机 ) 3. 路由选择路由选择是网络层功能的一部分, 负责确定所收到的分组应传送的外出路线即在具有许多节点的广域网里, 应通过哪条通路才能将数据从源主机传到所要通信的目的主机如果子网内部采用数据报方式, 对收到的每一个分组都必须重新作一次路由选择, 因为对于每个分组来说, 上次到达的最佳路由可能已经改变然而, 如果子网内部采用虚电路方式, 则只

88 4.3 网络协议层与 X 需要在建立虚电路时作一次路由选择, 然后分组就在这条先前建立的路由上传送一个理想的路由选择算法应具有如下特点 : 1 算法必须是正确的不仅要求算法本身正确, 而且应该达到数据通信所要求的目标, 以满足用户的业务要求 2 算法在计算上应简单由于在每个节点上都要进行路由选择的计算, 因此必然要增加分组的时延, 计算简单可以使时延减少 3 算法应能适应通信量和网络拓扑的变化, 即有自适应性当网络中的通信量或拓扑结构发生变化时, 算法能自适应的改变路由 4 算法应具有稳定性当通信量和网络拓扑发生变化时, 路由算法应收敛于一个可以接受的解, 而不应产生过多的振荡所谓振荡就是指由算法得出的路由是在一些路由之间来回不停地变化 5 算法应是公平的算法应对所有用户都是平等的例如, 若使某一对用户的端到端时延最小, 但却不考虑其他的用户, 这就不符合公平性的要求 6 算法应是最佳的这里的最佳是指以最低的费用来实现路由算法 4. 拥塞控制计算机通信子网的基本任务是要保证网内分组自由无阻地畅通传送实际上如果不加任何控制的话, 分组并不是任何时候都能够畅通的, 有时候网内流量会严重不均, 有些节点和链路上的分组堆积, 造成拥塞严重的拥塞会无法解脱, 最后会使分组完全停止流通, 既送不出也输不进, 称为死锁所以控制流量避免拥塞解除死锁是计算机通信子网的又一重要任务当到达通信子网中某一部分的分组数高于一定的阈值, 使得该部分网络来不及处理这些分组时, 就会使这部分以至整个网络的性能下降, 这种情况称为拥塞计算机网络所以会产生拥塞首先是因为网络的资源容量总是有限的, 但并不是说增加网络资源就可以使拥塞问题迎刃而解因此, 研究如何解决拥塞是非常必要的与拥塞控制容易混淆的一个概念是流量控制流量控制的作用是保证发送方不会以高于接收方能承受的速率传输数据, 一般涉及到接收方向发送方发送反馈而拥塞控制则是确保通信子网能够有效为主机传递分组, 是一个全局性的问题涉及到所有主机路由器到目前为止, 已经提出了许多种拥塞控制算法主要分为两大类 : 开环 (Open Loop) 和闭环 (Closed Loop) 开环的关键在于它致力于通过良好的设计来避免拥塞出现, 确保问题在一开始就不会发生, 比如决定何时接受新的通信, 何时丢弃分组, 以及丢弃哪些分组等, 它们在作出决定时不考虑当前网络的状态设计人员试图在各种层次上使用恰当的策略来阻止拥塞出现下表给出数据链路层网络层和运输层所使用策略对拥塞的影响表 4-1 各种层次使用的策略及影响层策略运输层网络层数据链路层重传策略失序缓存策略确认策略流量控制策略超时探测子网内虚电路 / 数据报分组排队及服务分组丢弃策略路由选择算法分组生命周期管理重传策略确认策略流量控制策略分组丢失策略

89 84 第 4 章 OSI 下三层我们首先从数据链路层开始分析, 重传策略决定超时时限及重发内容时限太短会很快超时, 造成发送方稠密重传, 大大加重了系统负荷时限太长, 发送者的重发操作过于松懈, 使接收者放弃出错后所有失序的包, 这些包在稍后仍要重发, 也会引起系统额外负荷确认策略同样影响着拥塞, 如果每个分组立即确认, 确认分组产生许多额外的信息量可是, 如果确认被加到传送信息上捎带送回, 则可能会引起超时重传紧密的流控模式 ( 如 : 小窗口 ) 会减小数据率, 但有助于改善拥塞情况在网络层, 虚电路及数据报方式的选择也会影响拥塞因为许多拥塞控制算法仅对虚电路子网起作用分组排队和服务策略与处理分组的顺序有关, 分组丢弃策略也就是在没有空间时, 按什么规则选择丢弃的分组一个较好的策略可以缓解拥塞, 而一个坏的策略则可以使拥塞更严重路由选择算法的好坏是影响拥塞的重要因素, 好的算法可以帮助控制拥塞, 而一个不太好的算法都会向已经拥塞的线路上发送更多信息, 加重拥塞最后分组的生命周期也会影响拥塞周期太长, 丢失分组会消耗系统很多时间, 防碍正常工作周期太短, 分组可能在到达目的地前夭折, 增加了重发概率运输层与数据链路层存在同样的问题, 但确定超时时限更困难因为在网络中的传输时间要比在两个路由器间的线路上传输时间更难以预测如果时限太短, 会引起不必要重发闭环的解决方案是建立在反馈的概念之上它包括三个步骤 : 首先监视子网的拥塞状况, 这可以通过测量缺少缓冲区而丢失分组的比例平均队列长度平均分组延迟等因素来判定 ; 然后将拥塞的信息传递到可能采取行动的地方, 可以传给源, 也可以传给其他路由器, 拥塞的信息可以是一个单独的分组, 也可以是分组的某些字段 ; 最后收到拥塞信息的系统采取相应措施来进行调整, 比如降低发送的速率等各种性能指标都能用来监测度量子网的拥塞情况如平均队列长度超时而重发的包数平均包延迟与包延迟的标准偏差等若其增长超过某个数值, 就表示有拥塞出现如何将这些拥塞信息传递到能够处理它们的地方呢? 直观的方法是 : 若路由器探测到有拥塞出现时, 就将拥塞信息包传送到源端, 宣布有问题了当然这些额外的包, 更增加了这个时刻的负荷一个改进的方法是在网络负载低的时候发送一个分组来鼓励用户更快发送而如果用户没有收到该分组, 就表示网络过载这种机制保证在网络拥塞时不会产生额外的负载, 但是如果网络没有问题时, 它带来了新的控制开销还有其他方法存在例如, 每个包中保留一比特或一个域用做路由器发现拥塞时填充当路由器检测到拥塞状态时, 将其填充到所有发出的包中, 以便给相邻路由器一个警示这种机制称为正向反馈, 它通过正向路径 ( 拥塞发生方向 ) 上的分组发送拥塞信号收到该分组的目的地或者要求源端调整负载, 或者把该信号通过源端的反向分组 ( 或确认 ) 送回源端另一种方法是让主机或路由器定期发出调查包明确询问有关拥塞情况, 这些包能绕开有问题的区域传递信息这一点与某些无线电台让直升飞机在他们的城市上空报告道路拥挤情况, 希望他们的听众将汽车绕开热点地区的情形相似在所有反馈过程中, 有关拥塞的内容希望用来引起主机注意, 并采取适当的措施来控制拥塞为了正确地工作, 拥塞控制的时机应仔细地调节否则, 将使拥塞控制算法失去实用价值, 这一点并不容易做到分组交换, 虚电路工作原理及其特点分组交换又称包交换, 它是现代计算机网络的技术基础 1966 年 6 月, 英国国家物理实验室 (NPL) 的戴维斯 (Davies) 首次提出分组 ( Packet) 一词 1969 年 12 月美国的分组交换网 ARPANET 投入运行从此, 计算机网络的发展就进入了一个新纪元, 分组交换网

90 的出现成为现代电信时代的开始 1. 电路交换 4.3 网络协议层与 X 从通信资源的分配角度来看, 交换就是按照某种方式动态地分配传输线路的资源在电路交换中, 进行数据传输的两个节点之间必须先建立一条专用的通信路径 ( 连接 ), 在该路径间可能经过许多中间节点, 连接两个相邻节点的物理链路可能有多条逻辑信道, 其中某一条逻辑信道专供这条连接使用在两个节点的数据传输完成后释放该连接, 该连接所分配的逻辑信道也得以释放采用电路交换的数据传输一般分为电路建立数据传输和电路释放三个阶段电路交换的关键点就是在通话的全部时间内用户始终占用端到端的固定传输带宽电路交换方式的优点是 : 一旦连接建立后, 网络对用户是透明的, 数据以一固定速率传输, 传输可靠, 不会丢失失序, 没有延迟但是电路交换方式有时可能是非常浪费的因为一旦连接建立好后, 即便两个站点间没有数据要传输, 网络资源也没法供其他用户使用例如, 终端和计算机间通信等交互式应用, 大多数时间信道处于空闲状态同时, 如果连接生命期非常短, 连接建立和释放带来的开销可能会得不偿失因此, 电路交换一般适用于系统间要求高质量的大量数据传输公共电话网是电路交换的一个很好的例子 2. 报文交换与电路交换不同, 报文交换采取存储 / 转发的形式传送数据发送方将发送的信息组成报文, 在报文头上填写接收方的地址, 将报文交给网络, 网络中的报文交换机根据报文的目的地址和路由选择算法转发给下一个交换机, 如果转发的线路繁忙就把该报文存储在交换机中, 待线路空闲后再进行转发各个报文到达目的地的路径可能不同 3. 报文分组交换在分组交换网中, 数据是以分组的形式传输的, 如果源端有一个很长的消息要发送, 该消息被分成若干个分组, 每个分组除了用户数据外还包含一些控制信息, 以便能够正确地把该分组通过网络传送给目的节点分组的传送也采用存储 / 转发的形式, 即网络节点根据分组控制信息, 把分组送到下一节点, 下一节点收到分组后, 暂时保存下来并排队等待传输, 然后该节点通过分组控制信息选择下一节点分组交换具有以下 3 个显著的特点 : 1 节点暂时存储的是一个个分组, 而不是整个数据报文 2 分组是暂时存储在节点的内存中, 而不是保存在节点的外存中, 从而保证了较高的交换速率 3 分组交换采用的是动态分配信道的策略, 极大地提高通信线路的利用率分组交换的优点是信道利用率有了很大的提高在电路交换方式中, 信道供某条连接专用, 而在分组交换中, 信道实际上供所有正在传输的站点共享使用分组交换也存在一些缺点例如, 分组在各节点存储转发时因排队而造成一定的时延 ; 由于每个分组中必须携带一些控制信息而产生一定的额外开销 ; 分组交换网的管理和控制比较复杂虚电路和数据报分组交换方式又可分为虚电路方式和数据报方式在虚电路方式中, 为进行数据传输, 源和目的节点间必须为分组的传输预先建立一条逻

91 86 第 4 章 OSI 下三层辑通路这条传输数据的逻辑通道和电路交换中的连接类似, 叫做虚电路之所以是虚的, 是因为这条电路不是专用的, 分组仍然在每个节点处首先被缓冲, 并排队等待转发源主机首先发起一个虚呼叫, 即发送一个特定格式的呼叫分组到目的主机, 要求进行通信, 同时也寻找一条合适的路由若目的主机同意通信, 就发回响应, 这样在源主机和目的主机之间就建立了一条虚电路以后源主机向目的主机传送的所有分组都必须沿着这条虚电路进行传送在数据传送完毕后, 还要将这条虚电路释放掉每个节点到其他节点之间可能同时有若干条虚电路, 也可能同时与多个节点间存在虚电路每条虚电路支持特定的两个端系统之间的数据传输, 两个端系统之间也可以有多条虚电路为不同的进程服务, 这些虚电路的实际路由可能相同, 也可能不同由于采用了存储转发技术, 所以这种虚电路和电路交换的连接有很大的不同在电路交换网络中, 两个用户在通话期间自始至终地占用一条端到端的物理信道当我们占用一条虚电路进行计算机通信时, 由于采用的是存储转发的分组交换, 所以只是断续地占用一段又一段的链路在数据报方式中, 每个分组的传输是被单独处理的, 与先前传送的分组无关每个分组被称为一个数据报每个数据报自身必须包含有目的地的完整地址信息主机只要想发送数据就随时可以发送每个分组独立地选择路由这样, 先发送出去的分组不一定先到达目的站主机这就是说, 数据报不能保证按发送数据顺序交付给目的站当需要把数据按发送顺序交付给目的主机时, 在目的站还必须把收到的分组缓存一下, 等到能够按顺序交付主机时再进行交付当网络发生拥塞时, 网络中的某个节点可以将一些分组丢弃所以, 数据报提供的服务是不可靠的, 它不能保证服务质量, 而是一种尽最大努力交付的服务将虚电路和数据报的比较一下, 如表 4-2 所示 : 表 4-2 数据报子网虚电路与数据报的比较虚电路子网延时分组传输延时电路建立, 分组传输延时路由选择每个分组单独选择路由建立虚电路时选择路由, 以后所有分组都使用该路由状态信息子网无需保存状态信息每个节点要保存一张虚电路表地址每个分组包括源和目的的完整地址每个分组含有一个短的虚电路号节点失败的影响拥塞控制除了在崩溃时正在该节点处理的分组都丢失外, 无其他影响难所有经过失效节点的虚电路都要被终止如果有足够的缓冲区分配给已经建立的虚电路, 则容易控制如果两个端系统间要长时间进行数据传输, 特别是在交互式应用中每次传输的数据很短的情况下, 使用虚电路方式更加合适些, 它免去了数据报方式中每个分组必须包括地址信息而带来的不合适的额外开销, 但是每个节点必须维持一张虚电路的表格数据报方式则免去了呼叫建立阶段, 它传输少数几个分组时的速度比使用虚电路要简便灵活得多每个数据报可以临时根据网路中的流量情况来选取路由, 不像虚电路中每个分组都必须按照连接建立时的路径传送每个节点没有额外开销, 只是每个分组在每个节点都要进行路由选择, 会影响分组传输延迟由于数据报不保证按顺序交付, 也不保证丢失和不重复, 因此需要主机承担端到端的差错控制在使用虚电路的情况下, 网络应保证分组按顺序交付, 而且不丢失不重复当采

92 4.3 网络协议层与 X 用数据报服务时, 端到端的流量控制由主机来负责当采用虚电路服务时, 端到端的流量控制由网络负责另外, 因为每个数据报分组独立进行路由选择, 当节点发生故障时, 后续的数据报分组就可另选路由, 因而提高了可靠性在使用虚电路时, 节点发生故障就必须重新建立另一条虚电路数据报服务还很适合于将一个分组发送到多个地址 ( 即广播或组播 ) 虚电路要比数据报更容易进行拥塞控制这是因为, 在虚电路建立好后, 可以预约所需的网络资源, 当分组到来时, 所需的带宽和路由器的缓冲区已经预留好了, 可以立即转发而对于数据报, 避免拥塞则更困难些 X.25 协议基本内容 1.X.25 协议的体系结构为了避免一台主机在不同的网络上要实现不同的网络访问协议,CCITT 与 1974 年提出了对于公共分组交换网的标准访问协议, 即 X.25 X.25 规定了主机与公共交换网之间的协议, 而主机不必关心网络内部标准 X.25 规定了主机 DTE 和网络设备 DCE 之间的三个层次上的接口, 如表 4-3 所示表 4-3 X.25 的体系结构分组层 PLP(Packet Layer Procedure) 链路层 LAPB 物理层 V 系列 X.21 X.21bis 等 (1) 物理层相当于 OSI 参考模型的第一层采用 X.21 物理接口, 也可以选择类似于 RS-232C 的 X.21bis (2) 链路层相当于 OSI 参考模型的第二层采用 LAP 和 LAPB 链路访问规程, 当 DTE 与 DCE 之间有多个并列物理电路时允许使用多链路规程 (MLP) ( 3 ) 分组层相当于 OSI 参考模型的第三层网络向主机提供多信道的虚电路业务, 包括虚呼叫和永久虚电路业务 2.X.25 连接的 3 个阶段 X.25 提供几种工作方式, 虚呼叫是最基本的工作方式虚呼叫的通信过程由呼叫建立数据传输和呼叫清除 3 个阶段组成每当一个 DTE 要和另一个 DTE 通信时, 首先在它们之间建立一条虚电路为此, 由呼叫方 DTE 构造一个呼叫请求分组发给其 DCE, 再由子网传送到目标 DCE, 最后由目标端 DCE 转送其 DTE 如果目标端 DTE 接收呼叫, 就送回一个呼叫接收分组, 呼叫方 DTE 收到此呼叫接收分组后, 它们之间的一条虚电路就建立起来了这时两个 DTE 之间以进行全双工通信, 利用虚电路交换信息分组一旦一方完成通信, 就进入拆除链接阶段, 由结束通信一方向对方发送清除请求组, 对方发回消除确认分组作为同意拆线的确认应答, 此后该虚电路拆除

93 88 第 4 章 OSI 下三层图 4-13 虚呼叫的通信过程工作过程如下 : 1 主叫 DTE 向其 DCE 发送一个呼叫请求分组 2 网络选择合适的路由将呼叫请求分组传送到被叫 DCE 3 被叫 DCE 向其 DTE 发送一个入呼叫分组, 入呼叫分组又称呼入分组 4 被叫 DTE 发送呼叫接受分组 5 网络按呼叫建立时的路由将呼叫接受分组传到主叫 DCE 6 主叫 DCE 向主叫 DTE 发送呼叫接通分组, 表示呼叫建立阶段结束 7 在建立的虚电路上进行全双工通信传送数据分组 8 主叫 ( 或被叫 )DTE 发出释放请求分组, 然后就收到本地 DCE 发回的释放证实分组 9 被叫 ( 或主叫 )DTE 收到释放指示分组后, 就发给本地 DCE 一个释放证实分组 3. X.25 报文分组 X.25 定义了每一种分组和它们的功能, 它的分组格式采用同一个基本格式, 对特定的分组略有不同 X.25 的分组可以分为数据分组和控制分组两种, 它们都有一个公共的部分即分组头, 它由 3 个字节构成, 如图 4-14 所示分组头可以分为三个部分 : 通用格式标识符 (GFI) 逻辑信道群号和逻辑信道号 (LCGN+LCN) 分组类型标识符

94 4.3 网络协议层与 X 图 4-14 报文分组结构 1 通用格式标识符 (GFI), 由分组头的第一个字节的比特 5 至比特 8 组成, 它为分组定义了一些通用功能若是控制分组, 则固定为 0001; 若为数据分组, 则分为 Q(1 bit) D ( 1 bit) 和模 (2 bit)3 个字段字段含义见下面的数据分组一节 2 逻辑信道群号和逻辑信道号 (LCGN+LCN) 共 12 比特, 用以区分 DTE-DCE 接口中许多不同的逻辑子通道其中 LCGN 为高 4 比特,LCN 为低 8 比特, 可提供 4095 个逻辑信道号无论是控制包还是数据包, 其逻辑信道群号与逻辑信道号一起构成 12 位虚电路编号, 除零号虚电路留作它用外, 原理上, 一个 DTE 可以提供或接通 4095 条虚电路逻辑信道群号和逻辑信道号必须组合使用, 各自没有独立含义 3 分组类型标识符区分了各种不同的分组, 如表 4-4 所示该字段最低一比特为控制位, 在所有的控制包中, 控制位为 1, 在数据包中控制位为 0 DTE 通过检查这一位, 就可以确定新来的包中是包含数据, 还是控制信息 (1) 控制分组 DATA 表 4-4 X.25 的分组 X.25 信息包类型第 3 字节 PPPMSSSO CALL REQUEST CALL ACCEPTED CLEAR REQUEST CLEAR CONFIRMATION INTERRUPT INTERRUPT CONFIRMATION RECEIVE READY RECEIVE NOT READY REJECT PPP00001 PPP00101 PPP01001 RESET REQUEST RESET CONFIRMATION RESTART REQUEST RESTART CONFIRMATION DIAGNOSTIC 注 :P= 捎带,S= 序号,M= 代序位我们以控制分组中的呼叫请求分组为例, 如图 4-15 所示

95 90 第 4 章 OSI 下三层图 4-15 呼叫请求分组示意图呼叫方和被呼叫方地址长度按十进制编码, 四比特组成一比特十进制数呼叫和被呼叫地址分别为发送 DTE 地址和接收 DTE 地址编址规则遵守 CCITT X.121 编号制度的建议地址由国家代码网络代码和网内地址组成全地址可长达 15 位十进制数字, 详情请读者参阅有关 X.25 网编址内容特殊功能长度字段指明后面的特殊功能字段占用的字节数而特殊功能字段本身用来要求这条虚电路的特殊功能例如, 要求对方付费, 高优先权传输, 把全双工虚电路改为单工通信, 等等用户数据字段可存放最多 16 个字节的数据,DTE 可以自己决定用这些数据来做什么例如, 可能用它表示呼叫方要与 DTE 的哪一个进程连接, 或者可在其中存放登录口令, 用户账号等 (2) 数据分组分组格式如图 4-16 图 4-16 分组格式示意图 GFI 中的 Q 字段用来区分本层数据分组, 识别是否为有效数据, 通过将此比特置 1,

96 4.3 网络协议层与 X 表明该数据分组含有运输层及较高层传来的控制信息若 Q=0, 为用户数据包数据分组的捎带字段及序号字段分别为接收分组顺序号和发送分组顺序号, 各占 3 比特, 用于滑动窗口机制的流量控制与差错控制其中接收分组顺序号, 用以捎带应答信息, 实现载答功能, 其具体含义由 D 比特决定数据分组的模字段若为 01 值, 则分组序号以 8 为模 ; 若为 10 值, 则分组序号以 128 为模, 这时需要附加字节来扩充包头待续字段 M(More) 指明一组相关联的分组在长报文中, 除了最后一个分组, 每个分组的待续比特都置为 1 当 M=0 时, 表示该分组是本报文的最后一个分组借助 M 比特, 可防止子网将不同报文的数据装在一个分组中数据字段的长度受到最大分组长度的影响 X.25 推荐的最大分组长度为 128 字节, 但也允许选择 16,32,64,256,512 或字节通信双方可在建立虚电路时, 协商分组最大长度选用大于 128 字节的最大分组长度是基于效率因素, 而选用 128 字节以下的最大分组长度是为了保护缓冲区空间很小的终端, 使之免于接收长分组 4.X.25 协议的状态转换图以上所介绍的 X.25 的要点都是用自然语言描述的这种描述方法的缺点是不够严格, 因此, 在 X.25 建议书中使用了一些状态图, 它能较严格地描述各阶段的状态如图 4-17 所示的连接建立阶段的状态转转移图, 其他阶段的参见 X.25 建议书图 4-17 X.25 协议的状态转换图图中每个椭圆代表一个 DTE-DCE 对的状态箭头代表状态变迁的方向, 而箭头旁边的文字说明表示是谁 (DTE 还是 DCE) 发出了何种分组例如, 在正常情况下, 系统处于状态 4.3 网络协议层与 X.251 若 DTE 发出呼叫请求分组, 则变迁到状态 2, 就是 DTE 等待当收到 DCE 发出的呼叫接通分组, 则进入状态 4, 即数据传送状态

97 第 5 章运输层 5.1 运输层功能与模型运输层的地位 : 利用网络层的服务和运输实体的功能, 向会话层提供服务运输层是整个协议层次结构的核心其任务是为从源端机到目的机提供可靠的价格合理的数据传输, 而与当前网络或使用的网络无关如果没有传输层, 整个分层协议的概念也就没有什么意义了运输层的地位如图 5-1 所示图 5-1 运输层地位关系图运输层的基本功能 ( 可以和货物运输的情况作类比 ) 运输层依据会话层的服务质量 (QoS, Quality of Service) 要求, 选择适当的网络层服务和运输层协议, 以提供可靠的价格合理的与网络层无关的数据传送 QoS 相当于在货物运输的例子中所考虑的时间可靠性费用等选择网络服务相当于在货物运输的例子中选择运输方式, 例如, 空运铁路等运输层协议相当于邮寄信件时是使用平信, 还是挂号信, 等等运输层处于 OSI 模型的上 3 层与下 3 层之间, 提供进程间端到端的透明的可靠的数据传送网络层是提供系统间的数据传送, 而运输层是提供进程间的数据传送 OSI 模型中上 3 层的功能为信息传送了解数据含义和进程间通信 ; 下 3 层的功能为数据传送不关心数据含义和系统间通信运输层的功能为 : 数据传送, 不关心数据含义, 进程间通信 ; 可视为低层的一部分弥补高层 ( 上 3 层 ) 要求与网络层 ( 基于下 3 层 ) 数据传送服务质量间的差异 ( 差错率差错恢复能力吞吐率延时费用等 ), 对高层屏蔽网络层的服务的差异, 提供稳定和一致

98 5.2 运输协议类 93 的界面, 如图 5-2 所示图 5-2 运输层抽象模型 5.2 运输协议类运输层协议是依据网络层提供的服务质量来分类的经过多年的研究与讨论,ISO 于 1984 年通过了 OSI 运输协议的标准这就是 ISO8072 和 ISO 8073 CCITT 参与了这一标准的制订, 并通过了相应的 X.214 和 X.224 建议书欧洲计算机厂家协会 ECMA, 美国国家标准学会 ANSI 以及美国国家标准局 NBS 等也都积极参与了运输层协议标准的制订 NBS 已于 1988 年底改名为国家标准与技术研究院 NIST 网络服务网络服务质量参数, 网络层所提供的服务质量是由以下两个参数来评价的 : 1. 残留差错率 (Residual Error Rate) 反映网络连接质量, 网络实体不可检测或漏检差错率残留差错是网络层未改正的差错且不通知运输层 (1) 所有传送的网络服务数据单元 (NSDU) 的分类 (4 类 ): N k 1 成功传送 (Successfully Transferred) 的 NSDU: 2 错误 ( Incorrect) 的 NSDU: 3 丢失的 (Lost)NSDU: 4 重复 (Extra) 的 NSDU: (2) 定义 N l N x N e 在测量时间内, 在网络连接上传送的所有错误的丢失的和重复的 NSDU 与所传送的全部 NSDU 之比 N s

99 94 第 5 章运输层 (3) 公式 2. 可报告差错率可报告差错率是指在可检测的差错中不可恢复的差错所占的比例 (1) 残留差错 (Residual Error) 网络实体不可检测的差错 ; 反映差错检测能力 (2) 可报告差错 (Signalled Error) 网络实体可检测, 但不可恢复的差错 ; 反映差错恢复能力 1 检测到有不可恢复差错的 NSDU 时, 网络实体并不递交运输实体, 而是报告运输实体对它进行恢复 ; 通知运输层的网络连接释放 (Release) 或网络连接恢复 (Reset) 2 可报告差错率低, 表示网络实体的差错恢复能力强网络服务分类 : 1.A 类网络服务可接受的残留差错率可接受的可报告差错率 ;A 型网络服务是一个完善的理想的可靠的网络服务分组在网络中传送时不会丢失也不会失序 ( 失序指分组到达的顺序与发送的顺序不一致 ), 这样, 运输层就不需要故障恢复的服务和重新排序的服务等, 因而运输层就非常简单 2.B 类网络服务可接受的残留差错率不可接受的可报告差错率 ; 需要运输实体进行差错恢复 3.C 类网络服务不可接受的残留差错率不可接受的可报告差错率 ; C 类网络服务的质量最差对于这类网络, 运输协议应能检测出网络的差错, 同时要有差错恢复能力对失序重复以及错误投递的数据分组, 也应能检测出并进行改正某些局域网和一些具有移动结点的城域网以及具有衰落信道的分组无线电网都局于 C 类网络运输协议类为了能够在各种不同网络上进行不同类型的数据的传送,ISO 定义了 5 类 (Class) 运输协议, 即第 0 类至第 4 类的运输协议这 5 类运输协议都是面向连接的也就是说, 用户要进行通信, 必须先建立运输连接当然, 这必然要用到网络层提供的服务, 或者说, 要建立网络连接同理, 在建立网络连接时, 又需要建立各有关链路的连接当数据传送结束后, 则必须释放运输连接针对网络服务质量的差异, 运输层定义了 5 个运输协议类, 提供不同的功能, 如表 5-1 所示网络层服务质量降低时, 对运输协议的要求就提高, 以向运输层用户提供一种比较稳定的服务界面

100 5.3 运输服务 95 表类运输协议运输协议类主要功能使用的网络服务 TP0 简单类运输连接管理 A (Simple Class) TP1 基本差错恢复类 TP0+ 差错恢复 B (Basic Error Recovery Class) TP2 TP0+ 复用 / 解复用复用类流量控制 (Multiple Xing Class) A TP3 差错恢复与复用类 TP1+TP2 B (Error Recovery & Multiple Xing Class) TP4 TP3+ 有差错检测差错检测与恢复类有分流 / 合流 (Error Detecting & Recovery Class) C 第 0 类运输协议是最简单的, 它只具有一些最起码的功能第 0 类运输协议和 CCITT 的 T.70 建议书相兼容 T.70 是为智能用户电报 (Teletex) 终端提供运输服务的建议书第 0 类运输协议的功能就是建立一个简单的端到端的运输连接, 而在数据传送阶段具有将长数据报文分段传送的功能 ( 当有此需要时 ) 它没有差错恢复功能, 也不将多条运输连接复用到一条网络连接上第 0 类运输协议是面向 A 类网络服务的第 1 类运输协议较简单, 但增加了基本差错恢复功能利用网络层的连接拆除或复位进行差错恢复这里的基本差错是指出现网络连接断开或网络连接失败, 或者收到了一个未被认可的运输连接的数据单元当网络连接断开时, 运输层就试图建立另一条网络连接第 1 类运输协议面向 B 类网络服务第 3 类运输协议面向 B 类网络服务, 它包含了第 1 类相第 2 类运输协议的功能, 既有差错恢复功能又有复用功能第 4 类运输协议是最复杂的, 它可以在网络的质量较差时保证高可靠性的数据传送它面向 C 类网络服务第 4 类运输协议具有差错检测差错恢复以及复用等功能 5.3 运输服务连接与传输为了使运输协议可以向运输服务用户提供适当的服务, 在运输连接建立时应当就若干服务质量参数进行协商协商好的服务质量参数就从运输服务用户传给运输层的运输协议实体, 以后再依次传给下面的网络层虽然运输协议的主要目的是给用户提供一条可靠的端到端的连接以便传输数据, 但要做到这一点还应当有适当的管理服务这样, 运输层提供的服务便可归纳为两大类 :

101 96 第 5 章运输层 1 运输连接管理, 即负责建立和在通信完毕时释放运输连接 2 数据传输运输服务运输服务是由运输协议实体使用运输协议和网络服务向会话实体提供的服务运输服务模型如图 5-3 所示图 5-3 运输服务队列模型 TSAP,TC( 运输连接 ), TCEP( 运输连接端点 ) 间的关系如图 5-4 所示, 其中 : TSAP: 通过 TSAP 提供运输服务, 可有多个 TSAP TC:TSAP 间可建立一个或多个运输连接 (TC) TCEP:TC 的两端称为 TCEP(Transport Connection End Point) 图 5-4 TSAP TCEP 和 TC 三者之间的关系 1. 运输服务特性 (1) 提供运输 QoS 选择吞吐量延时残留差错率等在满足用户要求的前提下, 优化资源使用, 以达到最优

102 的性能价格比 (2) 运输 QoS 与网络 QoS 独立 5.3 运输服务 97 对运输用户提供相对稳定的服务界面运输层可弥补运输层用户 QoS 要求与网络层提供的 QoS 间的差异, 使运输服务用户可不关心底层的通信网络 (3) 提供端到端数据传送 (4) 提供透明的数据传送对运输用户的数据内容格式和编码没有限制 (5) 良好的寻址系统运输地址对应唯一的 TSAP, 并能映射到相应的网络层地址机构 2. 运输服务原语 3 个阶段 : 连接建立数据传送和连接释放 4 种服务 :TC 建立正常数据传送加速数据传送 TC 释放 12 种原语 :TC 建立 (4 种 ) 正常数据传送 (4 种 ) 加速数据传送 (2 种 ) 和 TC 释放 (2 种 ) 表 5-2 运输服务原语表阶段服务原语参数 TC 建立数据传送 TC 释放无连接数据传送 TC 建立正常数据传送加速数据传送 TC 释放普通数据传送 T-CONNECT.request T-CONNECT.indication T-CONNECT.response T-CONNECT.confirm T-DATA.request T-DATA.indication T-EXPEDITED-DATA.request T-EXPEDITED-DATA.indication T-DISCONNECT.request T-DISCONNECT.indication T-UNITDATA.request T-UNITDATA.indication Called address 被叫地址 Calling address 主叫地址 Expedited data option 加速数据选择 Quality of Service 服务质量 TS-User data 用户数据 Responding address 响应地址 Expedited data option 加速数据选择 Quality of Service 服务质量 TS-User data 用户数据 TS-User data 用户数据 TS-User data 用户数据 TS-User data 用户数据 Disconnect reason 释放原因 TS-User data 用户数据 Called address 被叫地址 Calling address 主叫地址 Quality of Service 服务质量 TS-User data 用户数据

103 98 第 5 章运输层 3. 运输服务原语时序 (1) 连接建立阶段成功建立连接被叫用户拒绝建立连接 TS 提供者拒绝建立连接 ; 如图 5-5 所示 EMBED PBrush EMBED PBrush 图 5-5 成功建立连接 (2) 数据传送阶段正常数据传送加速数据传送如图 5-6 所示 EMBED PBrush EMBED PBrush 图 5-6 正常数据传送 (3) 连接释放阶段一个用户发起的释放, 如图 5-7 所示 ; 两个用户同时发起的释放, 如图 5-8 所示 TS 提供者发起的释放, 如图 5-9 所示 ;TS 用户和提供者同时发起的释放, 如图 5-10 所示图 5-7 一个用户发起的释放图 5-8 两个用户同时发起的释放

104 5.3 运输服务 99 图 5-9 TS 提供者发起的释放图 5-10 TS 用户和提供者同时发起的释放 4. 运输连接状态转换图运输连接状态转换图分 TC 关闭 TC 打开主叫等待被叫等待 4 种状态, 如图 5-11 所示图 5-11 运输连接状态转换图端对端通对于通信子网的用户, 也就是对用户进程来说, 我们希望得到的是端到端的可靠通信服

105 100 第 5 章运输层务所谓端到端即从进程到进程, 有时还可能希望得到其他的服务例如, 多对进程之间的通信复用到一个网络连接上在互联网的情况下, 各子网所能提供的服务往往是不一样的为了能使通信子网的用户得到一个统一的通信服务, 就有必要设置一个运输层运输层弥补了各个通信子网提供的服务的差异和不足, 而在各通信子网提供的服务的基础上, 利用本身的运输协议, 增加了服务功能, 使得对两端的网络用户来说, 各通信子网都变成透明的, 而对各子网的用户, 面向通信的运输接口就成为通用的换言之, 运输层向高层用户屏蔽了下面通信子网的细节, 使高层用户看不见实现通信功能的物理链路是什么, 看不见数据链路采用的是什么规程, 也看不见下面到底有几个子网以及这些子网是怎样互联起来的运输层使高层用户看见的就是好象在两个运输层实体之间有一条端到端的可靠的通信通路 5.4 运输协议运输协议的元素传输服务是通过建立连接的两个传输实体之间所用的传输协议来实现的在某些方面, 传输协议类似数据链路层协议, 二者都必须解决差错控制分组顺序流量控制及其他问题, 但二者之间也存在着显著的差异这些差异主要是因为两个协议所运行的环境不同所造成的, 如图 5-12 所示在数据链路层, 两个路由器通过物理通道直接通信 ; 而在运输层, 这个物理通道由整个子网所取代这一差异对协议产生了很多重要的影响首先, 在数据链路层, 不必为一个路由器指明它要与哪个路由器通话, 每条输出线对应唯一的一个路由器在运输层里, 需要显式地给出目的端地址其次, 在图 5-12(a) 中的线路上建立连接的过程很简单 : 另一端总是存在的 ( 只有在它已崩溃的情况下才不存在 ), 每一方都没有太多事情要做对运输层而言, 初始连接的建立要复杂得多, 这点我们以后会看到 (a) 数据链路层环境 (b) 运输层环境图 5-12 传输服务在不同协议环境下运行

106 5.4 运输协议 101 数据链路层和运输层之间另一个主要的区别是子网的存储能力当路由器发送了一帧时, 该帧可能会到达目的地, 也可能会丢失, 但它不会徘徊一会儿, 躲藏在网络的某个角落, 而在某个不合适的时刻又突然冒出来如果子网内部采用数据报和适应性路由选择策略, 那么就极可能将一个分组存储几秒钟, 然后再传送子网能将分组存储起来的能力有时可能会产生灾难性后果, 因此需要使用特殊的协议数据链路层和运输层之间的最后一个区别是数量上的差别而非类型上的差别在两层中都需要有数据缓冲和流量控制, 但在运输层中出现的大量的动态变化的连接要求可能需要使用与在数据链路层中不同的处理方法在数据链路层中, 有些协议为每个连接均分配了固定数目的缓冲区在运输层中, 由于需要管理很大数目的连接, 因此, 为每个连接分配很多缓冲区的策略不具有吸引力在以下的几小节中, 将考察所有这样和那样的问题编址当一个应用程序希望与一个远程应用程序建立连接时, 它必须指定是与哪个应用程序相连 ( 无连接的传输存在同样的问题 : 每个报文应发送给谁 ) 一般采用的方法是定义进程可以侦听连接请求的传输地址在因特网中, 这些端点是 IP 地址和本地端口在 ATM( 异步传输模式 ) 中, 则为 AAL-SAP, 我们使用中性术语传输服务访问点 TSAP(Transport Service Access Point) 来描述网络层中类似的端点 ( 即网络层地址 ) 则称为 NSAP IP 地址就是 NSAP 的例子图 5-13 说明了一个面向连接的子网 ( 如 ATM) 中 NSAP TSAP 网络连接和传输连接之间的关系注意 : 传输实体通常支持多个 NSAP 在有些网络中, 也可能存在多个 NSAP, 但对其他网络, 每台机器只有一个 NSAP( 如一个 IP 地址 ) 在面向连接的网络层上建立一个传输连接, 可能采用的连接方案如下 : 1 主机 2 上的定时器服务进程将自己连到 122 号 TSAP 上, 等待即将到来的请求一个进程如何将自己与 TSAP 相连是属于网络模型以外的问题, 它完全依赖于本地的操作系统例如, 可以用 LISTEN 调用 2 主机 1 上的一个应用进程想找出当天的时间, 于是发出一个 CONNECT 请求, 将 6 号 TSAP 设定为源地址, 将 122 号 TSAP 设定为目的地址 3 主机 1 上的传输实体在其机器上选择一个网络地址 ( 如果它不止一个 ) 并在它们之间建立一个网络连接对于无连接子网, 无须建立该网络层连接, 使用该网络连接主机 1 的传输实体便能与主机 2 的传输实体通话了 4 主机 1 上的传输实体向主机 2 上对等端说的第一句话是 : 早上好, 我想在我的 6 号 TSAP 和你的 122 号 TSAP 之间建立一个传输连接你认为如何? 5 主机 2 上的传输实体便询问 122 号 TSAP 的定时服务器是否愿意接受一个新的连接如果它同意, 传输连接便建立成功注意 : 传输连接是从 TSAP 到 TSAP 的, 而网络连接只是其中从 NSAP 到 NSAP 的部分

107 102 第 5 章运输层图 5-13 TSAP NSAP 和连接主机 1 上的用户进程如何知道定时服务器是连接到 122 号 TSAP 上的呢? 如果我们已经解决了这一问题, 以上描绘的图景就很美了一种可能性是定时服务器长年与 122 号 TSAP 相连, 并且所有网络用户都逐渐了解到这一点在这种模型中, 各种服务都有不变的可以打印出来的 TSAP 地址, 并且能通告给新加入到网络中的用户不变的 TSAP 地址可能适用于少数从不改变的关键服务一般地, 用户进程常常想与其他的用户进程通话, 这些用户进程只是短时间存在并且预先不知道 TSAP 地址而且, 如果有很多潜在的服务器进程, 而其中的大多数很少使用, 那么让每个进程整天处于活动状态并整天侦听不变的 TSAP 地址是一种浪费简而言之, 需要一种更好的方案被 UNIX 主机用于因特网上的一种该方案的简化形式如图 5-14 所示, 称为初始连接协议 (Initial Connection Protocol) 该方案不再让每个可能存在的服务器去侦听一个众所周知的 TSAP 地址, 而是让每台希望向远端用户提供服务的机器运行一个特殊的进程服务器 (Process Server), 它充当载荷较轻的服务器的代理它同时侦听一系列端口, 等待 TCP 连接请求需要某种服务的用户通过执行 CONNECT 请求开始, 然后设定它们所需服务的 TSAP 地址 (TCP 端口 ) 如果没有服务器在等待它的到来, 它将会连接到进程服务器上, 如图 5-14 (a) 所示当进程服务器收到传入的请求后, 便装入用户请求的服务器, 并将已经建立的与用户的连接转交给它于是新的服务器便开始执行用户请求的任务, 而进程服务器则又回去侦听新的用户连接请求, 如图 5-14 (b) 所示图 5-14 主机 1 的用户进程与主机 2 的定时服务器建立连接

108 5.4 运输协议 103 尽管初始连接协议对于那些需要随时创建的服务器来说是十分有效的, 但确实存在着很多服务不依赖于进程服务器的情况例如, 文件服务器需要在特定的硬件 ( 带有硬盘的机器 ) 上远行, 而不能当有用户想与其通话时才仓促创建在这种情况下经常采用另一种方案在这种模型中, 存在一个称为名字服务器 (Name Server), 有时称做名录服务器 (Dictionary Server) 的特殊进程为了找到与一个给定服务名称 [ 如定时服务器 ( time-of-day )] 相对应的 TSAP 地址, 用户要与该名字服务器 ( 它一直在侦听一个众所周知的 TSAP) 建立一个连接接着, 用户向名字服务器发送一个报文, 指明服务的名称, 而名字服务器则将相应的 TSAP 地址返回给用户接下来, 用户释放与名字服务器之间的连接, 而与希望得到的服务之间建立一个新的连接在这种模型中, 当创建一个新的服务时, 必须向名字服务器注册, 给出它的服务名称 ( 一般是 ASCII 码字符串 ) 及其 TSAP 地址名字服务器将这些信息记录在其内部数据库中, 以便以后能够回答收到的查询名字服务器的功能类似于电话系统中的查号辅助操作员它提供从名字到号码的映射正如在电话系统中一样, 关键是由名字服务器 ( 或初始连接协议中的进程服务器 ) 所使用的众所周知的 TSAP 地址确实应该是用户所熟悉的如果用户根本就不知道查号台的号码, 就谈不上让查号台话务员来查询任何信息如果用户认为自己所拨的信息查询号码是清楚的, 那么只要有机会, 用户在国外也可以试一下有别于层次型地址空间的一种选择是平面型地址空间 (Flat Address Space) 如果 TSAP 地址为非层次型, 则需要二级映射来定位合适的机器即必须有一个名字服务器, 其输入为传输地址, 输出为网络地址另外, 在某些情况下 ( 如在局域网中 ), 有可能以广播方式发出一个查询, 请目的机器发送一个分组来标识自己现在我们假定用户已经成功地找到欲建立连接的 TSAP 地址另一个有趣的问题是 : 本地传输实体如何知道那个 TSAP 被放置在哪台机器上? 进一步说, 传输实体怎么知道哪个网络层地址用来与管理 TSAP 请求的远程传输实体建立网络连接呢? 答案依赖于 TSAP 地址的结构一种可能的结构是 TSAP 地址为层次型地址 (Hierarchial Addresses) 层次型地址是由一系列字段组成, 这些字段将地址空间划分为不相交的分区例如, 一个完全通用的 TSAP 地址可能有如下的结构 : 地址 = < 星系 >< 恒星 >< 行星 >< 国家 >< 网络 >< 主机 >< 端口 > 使用这一方案, 可以十分简单明了地确定任何已知范围内的 TSAP 同理, 如果一个 TSAP 地址是一个 NSAP 地址和一个端口 ( 表明本地 TSAP 之一的局部标识符 ) 的组合, 那么当给出了一个传输实体要连接的 TSAP 地址时, 它使用 TSAP 中包含的 NSAP 地址以到达适当的远端传输实体作为层次型地址的一个简单例子, 考察电话号码该号码可以按来分析其中,1 为国家代码 ( 美国 + 加拿大 ), 907 为地区代码 ( 阿拉斯加 ), 654 为阿拉斯加的一个分局, 而 3210 则是该分局中的端口 ( 用户专用线 ) 之一连接管理 1. 建立连接建立连接听起来容易, 但实际上却是意想不到的棘手初看起来, 一个传输实体似乎只需向目的机器发送一个连接请求 (Connection Request) TPDU, 并等待对方接受连接 (Connection Accpted) 的应答就足够了, 但当网络可能丢失存储和出现重复分组时, 问题便出现了

109 104 第 5 章运输层设想一个子网十分拥塞以致于根本不能及时返回确认, 每个分组由于在规定时限内得不到确认而需要重发二次或三次的情形假设该子网内部使用数据报, 并且每个分组拥有不同的路由一些分组可能会因为子网内部的线路拥塞, 需要很长一段时间才能到达, 即它们被存储到子网中, 并在很久以后突然出现最坏的可能性是发生下面的情况一个用户与银行之间建立了一条连接, 并发送报文让银行将一笔巨款转至一个不能完全信任的人的账户下, 然后便释放连接不幸的是, 此时每个分组均被复制并存放于子网中当连接已经断开后, 所有的复制分组又会从子网中发出并顺序到达目的端, 请求与银行建立一个新的连接并再次转账, 然后释放连接而银行则无法辨别这些分组是重复的, 便假定这是第二次独立的转账业务, 于是将巨款再次转移本节剩下的部分将专门讨论延迟的重复分组问题, 特别重点讨论可靠地建立连接的算法, 以防止类似于上述灾难性问题的发生问题的关键是由于子网中存在着延迟的重复分组, 解决这一问题的方法很多, 但都不是很令人满意一种方法是废弃使用过的传输地址, 在这种方法中, 每次需要一个传输地址时, 系统便产生一个新的当释放一个连接时, 传输地址便被废弃了, 这一策略使进程服务器变为无效另一种可能的解决方法是给每个连接分配一个连接标识符, 即一个随连接建立而递增的顺序号, 该标识符由请求连接方选择, 并放进包括连接请求在内的每个 TPDU 中当每个连接被释放后, 各传输实体可以更新一张表, 列出所有过时的连接对 ( 对等的传输实体, 连接标识符 ) 每当收到一个连接请求时, 便检查这张表, 看该连接是否属于以前所释放的连接不幸的是, 这种方案有一些基本的缺陷 : 它要求每个传送实体长时间保持一定量的历史信息如果某台机器由于崩溃而丢失了它存储的信息, 那么它便无法再获知哪些连接标识符是用过的因而我们需要采取一种不同的方法我们必须设计出一种机制来删除那些仍在网中徘徊的过时的分组, 不让它们永远存留在子网中如果我们能够确保任何一个分组在子网中的存留时间都不超过某个已知的时间, 那么问题在某种程度上就变得较易处理了采用下述的技术之一, 可以将分组的生命周期限制在一个已知的最大值内 : 1 受限制的子网设计 ; 2 在每个分组内设置一个生存时间 ; 3 为每个分组加上时间戳第 1 种方法包括防止分组进入回路, 以及限制延时不超过 ( 当前已知的 ) 可能最长的路径时延第 2 种方法是在每次转发分组时使生存时间加 1 数据链路层协议将丢弃那些生存时间值超过某个特定值的分组第 3 种方法要求每个分组均包含生成时间, 由路由器负责丢弃超过预定时间的旧分组第 3 种方法要求路由器的时钟同步, 而同步本身就是一项繁重的任务, 除非同步信号来自子网络外部, 如通过收听定期广播准确时间的无线电台在实际应用中, 我们不仅需要保证一个分组已经无效, 而且要保证对该分组的所有确认均告失效, 因此, 我们现在引进 T 的概念, 它表示实际最长的生命期的某个不太大的倍数该倍数与所用的协议无关, 只是对延长 T 有影响如果在一个分组发出后等待了时间 T, 我们便可以确定有关该分组的一切现在已告失效, 该分组及其确认将不会再次突然出现而使问题复杂化根据分组限定的生命期, 有可能设计出一种建立可靠连接的安全方法下面描述的方法源于 Tomlinson(1975), 该方法解决了这一问题, 但同时也带来了特殊问题这一方法后来经 Sunshine 和 Dalal(1978) 做了进一步的优化该方法以各种形式广泛用于实践中为了解决系统崩溃后机器会丢失全部存储信息的问题 Tomlinson 建议为每台主机增设

110 5.4 运输协议 105 一个计时 (time-of-day) 时钟不同主机的时钟不需同步假定每个时钟都采用二进制计数器形式, 在统一的时间间隔内累加计数而且, 计数器内的位数必须等于或大于序列号内的位数最后, 也是更重要的, 是假定时钟一直在运转, 即使主机停机亦如此基本思想是确保在同一时刻永远不会出现两个编号相同的 TPDU 当一个连接建立后, 时钟的低 k 位作为初始序号 ( 也是 k 位 ) 这样便不同于数据链路层所介绍的协议, 每个连接均以不同的序号开始对其 TPDU 进行编号, 序号空间应该很大, 以便当序号再次 ( 循环了一周 ) 出现时, 具有相同序号的旧的 TPDU 早已传送完毕时间和初始序号之间的线性关系如图 5-15 所示图 5-15 时间和初始序号之间的线性关系一旦建立连接的两个传输实体接受了初始序号, 便可以使用任何滑动窗口协议来实现数据流量控制实际上, 初始序号曲线 ( 由粗线表示 ) 并非真正线性的, 而是阶梯形的, 因为时钟是以离散形式前进的为简单起见, 我们忽略这一细节当主机崩溃时会出现问题, 即当主机再次启动运行后, 其传输实体不知道它处在序号空间的什么位置一种解决方法是要求传输实体在主机恢复后空闲等待 T s, 以便使所有过时的 TPDU 失效然而, 在一个复杂的网络系统中,T 值可能很大, 所以这种方法不具有吸引力为了避免在系统崩溃后所要求的 T s 空闲等待时间, 有必要对序号的使用引入一种新的限制通过一个例子我们会看到这种限制的必要性设分组的最长生命期为 60 s, 计时时钟每秒计数一次如图 5-15 所示, 对于 x 时刻接通的连接, 其初始序号将为 x 设想当 t=30 s 时, 发送至 5 号连接 ( 已经接通 ) 的一个普通的数据 TPDU 被赋予的序号为 80 不妨称其为 TPDU X 在将 TPDU X 发送出去后主机即崩溃并且很快重启在 t=60 s 的时刻, 它开始重新接通 0 至 4 号连接在 t=70 s 时, 它按照连接请求以初始序号 70 重新接通了 5 号连接在接下来的 15 s 内, 主机发送出 70~80 号数据 TPDU 于是, 当 t= 85 s 时, 一个序号为 80 的新的 TPDU 以及连接 5 被送入子网中不幸的是, 此时 TPDU X 仍然存在如果 TPDU X 能先于新的 TPDU 80 到达接收方, 它便会被接受, 但正确的 TPDU 80 却被作为重复数据而拒收为了避免出现这类问题, 我们必须做到在一些序号可用作初始序号之前的时间 T 内禁止使用它们 ( 即赋予新的 TPDU) 时间和序号的非法组合如图 5-15 中的禁止区域所示任何连接在发送任何 TPDU 之前, 传输实体都必须读计时值, 并进行检查, 以确保该 TPDU 的序号和时间组合不在禁止

111 106 第 5 章运输层区域内该协议在两种不同情况下可能会陷入困境如果一台主机在一个刚刚接通的连接上发送的数据太多太快, 实际的序号与时间的关系曲线要比初始序号与时间的关系曲线更陡些 ( 斜率更大 ) 这意味着在任何连接上的最大数据传输速率是每秒钟传送一个 TPDU; 还意味着在系统崩溃恢复后接通一个新的连接之前, 传输实体必须空闲等待一段时间, 以免同一序号被重用这两点都要求时钟的脉冲间隔要短 ( 几个毫秒 ) 很不幸, 由于发送数据太快而从曲线下方进入禁止区域并不是陷入困境的唯一情形从图 5-15 中可以清楚地看到, 当任何数据传输速率低于时钟速率时, 实际所用的序号与时间曲线将最终从左侧进入禁止区域实际所用序号曲线的斜率越大, 该曲线进入禁区的时间越晚正如上面讲过的, 传输实体在发送两个 TPDU 之前必须检查该 TPDU 是否将进入禁止区域, 如果是, 则将延迟 T s 后再发送该 TPDU, 或者重新对序号进行同步基于时钟的方法解决了数据 TPDU 的延迟重发问题, 但要使该方法可行, 必须首先建立连接因为控制 TPDU 也可能被延迟, 所以在使双方都接受初始序号这点上可能出现问题例如, 假设连接是由主机 1 向远端对等主机 2 发送连接请求 TPDU 而建立的, 该 TPDU 中包含了主机 1 建议的初始序号和目的端口号接收方 ( 主机 2) 通过回送一个接受连接 TPDU 来确认该请求如果连接请求 TPDU 在传送时丢失而延迟的重复连接请求突然出现在主机 2 上, 那么连接将会被错误地建立为了解决这一问题,Tomlinson(1975) 引入了 3 次握手 (Three-Way Hand Shake) 的方法该建立连接的协议并不要求连接的双方以相同的序号开始发送数据, 所以它可以在同步方式下使用, 而不必非要采用全局计时时钟的方式当主机 1 发出连接请求时, 连接建立的一般过程如图 5-16 所示主机 1 选择一个序号 x 并向主机 2 发送一包含了该序号的连接请求 TPDU; 接着, 主机 2 回应一个接受连接 TPDU, 确认 x 并声明自己所选用的初始序号 y; 最后, 主机 1 在其发送的第一个数据 TPDU 中确认主机 2 所选择的初始序号图次握手示意图现在来看看当出现延迟的重复控制 TPDU 时, 三次握手方法是如何工作的在图 5-17 中, 第一个 TPDU 是来自于一个已经释放的连接的延迟重复的连接请求, 该 TPDU 在主机 1 毫不知晓的情况下到达主机 2 主机 2 通过向主机 1 发送一个接受连接 TPDU 来响应该 TPDU, 而该接受连接 TPDU 的真正目的是要证实主机 l 确实试图建立一个新的连接当主机 1 拒绝接受主机 2 建立连接的意图时, 主机 2 便意识到自己受到了延时的重复 TPDU 的欺骗并放弃该连接这样, 延时的重复数据便不会产生不良后果

112 5.4 运输协议 107 图 5-17 重复 CR 出现示意图最糟糕的情况是当一个延时的 CR( 连接请求 ) 和一个对 ACC( 接受连接 ) 的确认并存于子网中时, 如图 5-18 所示如上例一样, 主机 2 收到了一个延时的 CR 并做了确认应答在这里, 关键是要认识到主机 2 已经建议使用 y 作为从主机 2 到主机 1 进行数据传输的初始序号, 因为主机 2 十分清楚当前没有序号 y 或对 y 进行确认的 TPDU 存在于是, 当第二个延时的 TPDU 到达主机 2 时, 主机 2 根据它确认的是序号 z 而不是 y 知道这也是一个过时的重复 TPDU 重要的是要认识到此处不会出现过时的 CR,ACC 或其他可能引起协议失败的 TPDU 组合的情况, 也不会无故建立无人要求的连接另一种针对延迟的重复 TPDU 而能可靠地建立连接的方案请参见 (Waston,1981) 该方案使用了多个定时器来排除意外的事件, 如图 5-18 所示图 5-18 重复的 CR 和 ACK 示意图 2. 释放连接连接的释放要比建立更容易些尽管如此, 仍有很多不引人注意的细节问题前面曾提到过, 终止连接有两种方式 : 非对称释放和对称释放非对称释放是电话系统动作方式, 当一方挂机后, 连接即告中断对称释放将连接按照两个独立的单向连接来处理, 要求每一方分别释放连接非对称释放很突然, 因而可能会导致丢失数据, 如图 5-19 所示的释放连接 (DR) 情形

113 108 第 5 章运输层当连接建立后, 主机 1 发送了一个数据 TPDU 并正确抵达主机 2, 接着, 主机 1 发送了另一个数据 TPDU, 这次很不幸, 主机 2 在收到第二个 TPDU 之前先发出了 DISCONNECT( 释放连接请求 ), 结果是连接被释放, 数据被丢失图 5-19 突然释放连接造成数据丢失示意图显然, 我们需要采用更为完善的连接释放协议来防止数据丢失一种方法是采用对称释放方式, 每个方向独立释放本方的连接这种方式中, 即使主机已经发出了释放连接 TPDU, 仍然能够继续接收数据对称释放方式适用于每个用户进程有固定数量的数据需要发送, 而且清楚地知道何时发送完毕的情况其他情况下, 决定所有工作是否已经完成和连接是否应该释放是没有把握的可以预想一种协议, 在该协议下, 主机 1 说 : 我发送完了你呢? 如果主机 2 响应 : 我也发送完了再见那么, 连接变可以被安全释放不幸的是, 这种协议并非总是有效的对此有一个著名的问题, 称为两军问题 (two army problem) 设想一支白军被围困在一个山谷中, 如图 5-20 所示山谷两侧是蓝军白军在人数上比山谷两侧的任何一支蓝军都多, 但少于两支蓝军合在一起的人数如果单独一支蓝军对白军发动进攻, 则必败无疑 ; 但如果两支蓝军同时进攻, 便可取胜图 5-20 两军问题假设蓝军 1 号的指挥官发出消息 : 我建议在 3 月 29 日拂晓发起攻击怎么样? 现在假设信息送到了, 蓝军 2 号的指挥官同意这一建议, 并且他的回信安全送回到蓝军 1 号处那么能否发动进攻呢? 很可能不会, 因为蓝军 2 号的指挥官不知道他的回信是否安全达到了如果未送到, 蓝军 1 号将不会适时发起攻击, 那么他贸然进攻就是愚蠢的现在我们采用三次握手的方法来改进这一协议最初提出建议的指挥官必须确认对该建议的应答信息假如信息没有丢失, 蓝军 2 号将收到该确认信息, 但现在蓝军 1 号指挥官开始犹豫起来因为他毕竟不知道他的确认信息是否被安全收到了, 如果未被收到, 他清楚蓝军 2 号不会按时发动进攻那么我们现在采用四次握手协议会如何呢? 结果仍是于事无补

114 5.4 运输协议 109 实际上, 可以证明不存在有效解决该问题的协议假如存在某种协议的话, 那么, 协议中最后一条信息要么是必需的, 要么不是如果不是, 可以删除它 ( 以及其他任何不必要的信息 ), 直到剩下的协议中每条信息均必不可少那么若最后一条信息没有安全到达目的地会怎样呢? 刚才说过这条信息是必需的, 因此, 如果它丢失了, 进攻计划便不会实施因为最后发出信息的指挥官永远无法确定该信息能否安全到达, 所以他便不会贸然行动同样, 另一支蓝军也明白这个道理, 所以也不会发动进攻为了看清两军问题与释放连接之间的相关性, 只需用释放连接代替攻击一词就行了如果连接的双方在确信对方也准备释放连接之前都不准备断开连接, 那么连接将永远也得不到释放在实际应用时, 人们在解决释放连接问题时往往准备冒比进攻白军问题更大的风险, 所以问题并非完全没有希望解决动画表明了采用三次握手方法进行连接释放的四种情况这一协议并非绝对无误, 但它已令人满意了图 5-21 中是正常释放的情形, 此时, 一个用户发出一个 DR( 释放连接请求 )TPDU, 而首先要求释放连接当该 TPDU 到达后, 接收方也回送个 DR TPDU, 并同时启动定时器以防止其 DR TPDU 丢失当应答方的 DR 到达后, 最初提出释放连接的一方又回送 - 个 ACK ( 确认 )TPDU, 并断开连接最后, 当 ACK TPDU 抵达目的地后, 接收方也释放连接释放一个连接意味着传输实体从其记载所有接通的连接的表中删除该连接的有关信息并设法通知该连接的所有者 ( 传输用户 ) 该操作有别于传输用户调用 DISCONNECT 原语的情形图 5-21 三次握手正常情况如果最后的 ACK( 确认 )TPDU 丢失, 如图 5-22 所示, 那么就需要用定时器来补救了当定时器超过时限后, 连接将被强行释放

115 110 第 5 章运输层图 5-22 最后确认 TPDU 丢失示意图现在考察第二个 DR( 响应的 DR) 丢失的情形这时, 首先提出释放连接的用户将不能收到所期待的响应, 待到定时器超时, 再次开始要求释放连接从图 5-23 中可以看到这种情况下是如何工作的, 假设第二次没有任何 TPDU 丢失, 并且所有 TPDU 都正确及时地到达目的地图 5-23 答应丢失示意图最后一种情况, 如图 5-24 所示除了假设由于丢失 TPDU 使所有重发 DR 的尝试均失败以外, 其他情况与上个动画完全相同这样, 经过 N 次尝试后, 发送方 ( 提出释放连接的一方 ) 只好放弃努力并断开连接同时, 接收方 ( 被动释放连接的一方 ) 因为定时器超时也释放掉连接

116 5.4 运输协议 111 图 5-24 答应丢失及后续 DR 丢失示意图这种协议通常已经满足需要了, 但理论上当第一个 DR 和所有 N 次重发均被丢失的情况下, 该协议便会失败因为此时发送方将放弃重发并释放连接, 而另一方却对对方的释放连接企图一无所知, 而处于连接有效状态这种情况将导致一个半接通的连接可以采取一种措施来避免这种问题的发生, 即禁止发送方在做完 N 次尝试后放弃连接而让它一直继续下去, 直到已收到了一个应答然而, 如果另一方采用超时而释放连接的方法, 那么, 发送方将会永远处于发送 DR 状态, 因为它不可能再收到应答信息了 ( 对方已经释放连接了 ) 如果我们禁止接收方采用超时中断连接的方法, 那么该协议对图 5-26 所示的情况便会束手无策一种消除半接通连接的方法是 : 如果在一段时间内没有收到任何 TPDU, 连接便自动释放 ; 这样, 如果一方已经释放了连接, 那么另一方将检测不到对方的活动因而也断开连接当然, 如果引进这一规则, 就需要为每个传输实体设置一个定时器, 每当收到一个 TPDU 时都要使定时器停止并重新启动如果该定时器超时, 就发送一个伪 TPDU, 目的只是不让对方释放连接另一方面, 如果采用自动释放连接的规则, 并且在一个处与空闲状态的连接上连续丢失了很多的伪 TPDU, 那么连接的双方将会先后释放连接对这个问题本书不再作进一步说明了, 但现在应该清楚, 释放一个连接并非像初看起来那么简单多路复用在连接虚电路及物理链路上, 多路复用几组对话的方法在网络结构的许多层上都有一定的作用在传输层中对多路复用技术的需要表现在很多方面例如, 子网内部使用虚电路的网络中, 每个接通的连接在连接的整个阶段均需占据路由器中的一些表空间如果缓冲区是被分配给每个路由器中的虚电路的, 那么登录到远端机器上的用户离开终端去喝咖啡期间, 它仍然在耗费着昂贵的资源尽管这种分组交换的实现与使用分组交换的主要原因之一用户只根据传输的数据量而不是根据连接时间付费相抵触, 但很多通信公司还是选择了按时间收费的方法, 因为它非常类似于他们在过去的几十年中已经习惯了的电路交换模型在这种价格结构下, 长时间保持虚电路的接通十分不利, 于是使不同的传输连接复用到同一网络连接上的技术便很有吸引力这种形式的多路复用称为向上多路复用 (Upward Multiplexing), 如图 5-25 所示图中,4 个不同的传输连接都使用同 - 网络连接 ( 例如,ATM 虚电路 ) 与远端主机相连当连接时间成为通信费用的主要因素时, 就由传输层根据传输连接的目的地将它们分为不同的组, 并将每个分组映射到最小数目的网络连接上如果有太多

117 112 第 5 章运输层的传输连接被映射到同一个网络连接上, 性能就会变得很差, 因为窗口通常是满的, 用户不得不排队等待发送报文如果映射到一个网络连接上的传输连接过少, 则服务费用会很昂贵当在 ATM 上向上多路复用时, 尽管 ATM 特意为了标识连接而为每个虚通路提供了多虚电路号码, 但我们还是要用传送报文头部的一个字段来标明连接, 这真是一个莫大的讽刺图 5-25 向上多路复用由于另一个与传输技术而非价格因素有关的原因, 使多路复用在传输层中也可能有用例如, 假定某个重要的用户有时需要高带宽的连接如果子网需要用 n 位序号作为一个滑动窗口的流量控制, 那么当有 2n-1 分组未得到确认时, 用户就必须停止发送, 等待这些分组到达远端主机并得到确认如果物理连接是通过卫星相连的, 那么用户便被严格限制在每 540 ms 传送 2n-1 个分组的速率上例如, 当 n=8, 并且分组大小为 128 字节时, 可用带宽大约是 4Mb/s, 即使物理通道带宽比它高出 100 多倍, 也是枉然一种可能的解决方案是让传输层接通多个网络连接, 以循环轮转的策略在这些连接上分配传输信息, 如图 5-26 所示这种方法的操作称为向下多路复用 (Downward Multiplexing) 在 k 个网络连接接通的情况下, 有效带宽将增加 k 倍采用条虚电路,128 字节长的分组以及 8 位的序号, 理论上可能会达到超过 1.6 Gb/s 的数据传辅速率当然, 这种性能只有当输出线中支持 1.6 Gb/s 速率的情况下才有可能实现这是因为所有条虚电路仍然在一条物理线路上发送数据, 至少在图 5-26 中是这样的如果采用多条输出线路, 那么向下多路复用还可能大幅度地提高性能图 5-26 向下多路复用

118 5.4 运输协议故障恢复如果主机和路由器易崩溃, 那么就存在着从崩溃恢复的问题如果传输实体完全在主机内部, 那么从网络和路由器崩溃中恢复是直截了当的如果网络层提供数据报服务, 传输实体对丢失的 TPDU 留有副本, 就会知道如何解决恢复问题如果网络层提供的是面向连接的服务, 那么处理虚电路突然中断的方法是建立一条新的虚电路, 接着探查远端机的传输实体, 看它已经收到了哪些 TPDU 以及哪些还未收到, 后者可以重发一个较复杂的问题是如何从主机崩溃中进行恢复尤其是当服务器崩溃并很快重新启动后, 客户端希望能够继续进行崩溃前的操作为了说明其困难程度, 我们假设客户端主机正在使用一个简单的停一等协议向远端的文件服务器主机发送一个长文件服务器端的传输层只是简单地将收到的 TPDU 依次传给用户在传送到 1/2 时, 服务器崩溃了当它重新启动后, 它所有的登记表均被初始化, 因此它不能确定其发生崩溃前的情况为了能恢复崩溃前的状态, 服务器可以以广播方式向所有其他的主机发送一个 TPDU, 说明自己刚才发生崩溃并要求其客户主机通知所有接通的链接所处的状态每个客户主机可能处于两种状态之一 : 有一个未被确认的 TPDU-S1 状态, 或没有未被确认的 TPDU-S0 状态根据这种状态信息, 客户主机必须决定是否要重发最近的 TPDU 乍一看似乎很明显 : 客户端在得知远端服务器崩溃而自己有一个未被确认的 TPDU 时 ( 即处于状态 S1) 才应该重发然而, 再仔细考虑一下便会发现这种简单的方法存在的困难例如, 考虑下面这种情况, 远端服务器的传输实体只发送一个确认, 当确认发生后, 又对应用进程执行一个写操作向输出流写一个 TPDU 和发送一个确认是两个不同而又不可分的事件, 二者不能同时进行如果在确认发出后而在写操作执行前崩溃发生了, 此时客户端将收到这个确认当崩溃恢复声明到达时它处于状态 S0 客户端将因此不再重发, 因为它错以为那个 TPDU 已经到达服务器端, 客户端的这种决定会导致丢失一个 TPDU 在这点上读者可能会认为 : 这个问题很容易解决唯一需要做的是重新编写传输实体的 ( 协议 ) 程序, 让其先进行写操作, 然后再发送确认再试试看, 设想已经完成了写操作但在确认发出前系统发生了崩溃此时客户端将处于状态 S1 并因此重传数据, 从而会导致在服务器应用进程的输出流上出现一个未经检测的重复的 TPDU 无论怎样对发送方和接收方的协议进行编程, 总是存在协议不能正确地从故障中恢复的情况服务器端可以按下述两种情况之一进行编程 : 先发确认或先进行写操作客户端可以按照四种方式之一进行编程 : 总是重发最后一个 TPDU 从不重发最后的 TPDU 只有在状态 S0 时重发, 和只有在状态 S1 时重发于是出现了 8 种组合, 但我们会看到, 对于每种组合都存在一些事件的集合使协议失败在服务器端有 3 种可能的事件 : 发送确认 (A) 将数据写入到输出进程 (W) 和崩溃 (C) 这三种事件可能会按照 6 种不同的排列顺序出现, 即 AC(W) AWC C(AW) C(WA) WAC 和 WC(A) 其中括号用来表明 A 或 W 不能在 C 后出现 ( 即一旦发生了崩溃, 所有进程均告停止 ) 图 5-27 显示了客户端和服务器端的所有 8 种组合方案以及对于每种组合的合法事件排列顺序注意 : 对每种方案都存在引起协议失败的一系列事件例如, 如果客户端总是重发数据, 尽管 AC(W) 和 C(AW) 事件可以正确运行, 但 AWC 事件将会产生一个未经检测的重复 TPDU

119 114 第 5 章运输层图 5-27 客户和服务器所采用的方案的不同组合进一步完善协议也于事无补即使客户端和服务器端在服务器准备进行写操作前已经交换了几个 TPDU, 以便客户端能确切知道将要发生什么, 但客户端还是无法确定崩溃是在写操作前还是写操作之后发生因此我们得出如下结论 : 基于对非同时事件所制订的基本规则, 无法使主机崩溃和恢复做到对于高层透明使用更一般的术语, 这一结果可以重新叙述为 : 从第 N 层崩溃中恢复只能由第 N+1 层来完成, 并且只有在第 N+1 层保留有足够的状态信息的情况下才能完成正如上面提到的, 如果连接的两端均保持了当前的状态信息, 传输层可以从网络层的错误中进行恢复这一问题使我们不得不弄清楚所谓的端到端确认的真正含义原则上, 传输协议是端到端的, 而不像较低层次那样是链接的现在考虑用户为了同远端数据库进行事务处理而输入请求信息的情况假设远程传输实体的编程是先将 TPDU 传送到其上一层, 然后进行确认即使在该种情况下, 在用户的机器上收到一个返回的确认信息并非意味着远端主机运行了足够的时间, 并真正对数据库进行了修改一个真正的端到端的确认意味着工作已经实际完成, 未确认则表示尚未完成, 但这种真正的端到端的确认可能无法实现有关这方面的情况, (Salter 等,1984) 已经进行了更为详细的讨论

120 第 6 章 OSI 高三层协议 6.1 会话层会话层功能与模型 1. 会话层功能会话层位于 OSI 参考模型的第 5 层, 它是面向信息处理的 OSI 高层和面向数据通信的 OSI 低层的接口会话协议的最主要目的是提供一个面向用户的连接服务, 会话层给合作的会话用户间的对话和活动提供组织和同步所必须的手段, 对数据传送提供控制和管理虽然运输层能负责端到端的可靠通信服务, 但仍不能满足许多应用的需求, 会话层的设立可以做到为运输层增值的功能, 以便提供一个面向应用的完善的服务具体说来会话层有以下的功能 : (1) 会话管理连接建立数据传送连接释放 (2) 令牌管理管理和协商数据传送同步及对话连接的释放时必需的发送权 (Token), 设定半双工及全双工的数据传送模式 (3) 同步管理在连续的数据传送过程中插入同步点, 当出错时, 可以从双方认为合适的同步点开始重新传送 (4) 活动管理将报文流分成活动 (Activity) 逻辑单元, 对用户应用的交互活动过程进行结构化管理, 即每一个活动独立于其前后到达的活动 (5) 异常情况的处理在会话期间报告来自下面网络的异常情况, 保证在会话连接释放之前所有的数据单元都被应用进程所接收 2. 会话层模型会话层模型如图 6-1 所示

121 116 第 6 章 OSI 高三层协议图 6-1 会话层模型组成成分如下 : 会话服务用户 (SSU,Session Service User) 会话实体 (SE,Session Entity) 会话连接 (SC,Session Connection) 会话协议 (SP,Session Protocol) 会话服务访问点 (SSAP,Session Service Access Point) 会话服务 1. 基本概念 (1) 令牌 (Token) 令牌是会话连接的属性, 表示会话连接用户使用会话服务的权力其特点是 : 1 拥有令牌的用户才可使用与该属性相关的服务 ; 2 令牌在一个时间点上只分配给一个用户保证用户调用某种服务时的独占性, 防止可能出现的竞争和冲突令牌共有 4 种, 分类如下 : 1 数据令牌 (Data Token) 在半双工连接中, 持有数据令牌的用户才能发送数据, 而全双工连接中用不着数据令牌 2 次同步令牌 (Synchronize-minor Token) 用于管理对话单元中次同步点的设置, 次同步点的概念在后面说明 3 主同步 / 活动令牌 (Major/Activity Token) 用于管理主同步点的设置和一次活动的开始和结束 4 连接释放令牌 (Release Token) 持有该令牌的用户才有权释放连接 (2) 同步与对话单元 (Synchronization,Dialogue Unit) 同步是在发生了错误或不符合协议的事件的情况下, 使会话实体返回到一个已知状态的过程这个已知状态就是一个同步点同步点可分为两类 : 1 主 (Major) 同步点 : 将一次会话活动划分为若干个对话单元, 用来标志一个对话单元

122 6.1 会话层 117 的开始与结束, 两个次同步点之间可设立若干个次同步点 ; 2 次 (Minor) 同步点 : 将对话单元内容分页, 其页间分割点即为次同步点当一次会话出现问题时, 将会话的状态复位到前面的同步点, 从那里再继续进行每个同步点有一个序号, 次同步点可不要求确认, 主同步点需要确认, 主同步点前后的数据要严格区分主同步点必须被确认, 在发生错误时会话状态仅仅可以回复到前一个主同步点, 而次同步点不需要确认, 可以回退到一个或多个次同步点重新发送数据对话单元是两个主同步点间的单元主同步点与次同步点的关系如图 6-2 所示图 6-2 同步点与对话单元 (3) 活动 (Activity) 活动用于区别数据传送的不同逻辑工作段每次活动可以看成一次独立的数据传送, 或者可看成会话服务用户间传送数据中的一个特定阶段对应用层来说, 一个活动相当于一次应用协议数据单元 APDU 的交换活动包含的信息可以是双向的, 而一个对话单元只能是单向的其特点是 : 1 一个活动由一个或多个对话单元组成 2 每个会话连接上, 每个时刻只允许有一个活动 ; 在一个会话连接期间, 可存在几个相继的活动, 一个活动也可以持续多个会话连接通过主同步 / 活动令牌来控制 3 可以中断一个活动, 并在同一个或后继会话连接上恢复该活动一个活动可以跨越几个会话连接, 在某个连接上的活动被中断后, 经过一段时间后, 如果在同一会话连接上被恢复, 则该活动只是在同一连接上, 如果在另外一次会话连接上被恢复, 则跨越了多个连接 2. 会话服务会话服务由 3 个阶段构成, 依次是会话连接阶段数据传送阶段和会话释放阶段, 共有 21 组原语 (1) 会话连接阶段该阶段建立两个会话用户之间的会话连接, 会话连接建立阶段服务原语如表 6-1 所示

123 118 第 6 章 OSI 高三层协议表 6-1 会话连接建立阶段服务原语服务原语参数会话连接标识符 S-CONNECT.request 主呼 / 被呼 SSAP 地址结果 S-CONNECT.indication QoS 会话连接会话需求 S-CONNECT.response 同步点序号初始令牌设置 S-CONNECT.confirm 用户数据 (2) 数据传送阶段该阶段要在会话连接的两个会话用户之间传送会话服务数据单元 SSDU 服务原语如表 6-2 所示 U- 异常报告的形成原因 : 1 用户接收能力受到破坏 2 本地用户差错 3 次序错 4 要求数据令牌 5 不可恢复的规程差错 6 非特定的差错 P- 异常报告和 U- 异常报告的可能处理 : 1 重新同步 2 废弃 3 活动中断或活动丢弃 4 出让数据令牌表 6-2 数据传送阶段服务原语服务原语参数正常数据传送加速数据传送特权数据传送能力数据交换令牌出让 S-DATA.request S-DATA.indication S-EXPEDITED-DATA.request S-EXPEDITED-DATA.indication S-TYPED-DATA.request S-TYPED-DATA.indication S-CAPABILITY-DATA.request S-CAPABILITY-DATA.indication S-CAPABILITY-DATA. response S-CAPABILITY-DATA.confirm S-TOKEN-GIVE.request S-TOKEN-GIVE.indication 用户数据用户数据用户数据 ( 注 : 特权数据不受数据令牌限制 ) 用户数据 ( 注 : 用于在活动未开始前用户数据传送 ) 令牌

124 6.1 会话层 119 续表服务原语参数令牌请求 S-TOKEN-PLEASE.request 令牌 S-TOKEN-PLEASE.indication 用户数据控制出让 S-CONTROL-GIVE.request ( 注 : 表示当没有活动时, 重新分 S-CONTROL-GIVE.indication 配令牌 ) 次同步点 S-SYNC-MINOR.request 类型 S-SYNC-MINOR.indication 同步点序号 S-SYNC-MINOR.response 用户数据 S-SYNC-MINOR.confirm S-SYNC-MAJOR.request 主同步点 S-SYNC-MAJOR.indication 同步点序号 S-SYNC-MAJOR.response 用户数据 S-SYNC-MAJOR.confirm S-RESYNCHRONIZE.request 重新同步类型重新同步 S-RESYNCHRONIZE.indication 同步点序号 S-RESYNCHRONIZE.response 令牌 S-RESYNCHRONIZE.confirm 用户数据 P- 异常报告 S-P-EXCEPTION-REPORT.indication 原因 U- 异常报告 S-U-EXCEPTION-REPORT.request 原因 S-U-EXCEPTION-REPORT.indication 用户数据活动开始 S-ACTIVITY-START.request 活动标识符 S-ACTIVITY-START.indication 用户数据活动中断 S-ACTIVITY-INTERRUPT.request S-ACTIVITY-INTERRUPT.indication S-ACTIVITY-INTERRUPT.response 原因 S-ACTIVITY-INTERRUPT.confirm 活动标识符活动恢复老活动标识符 S-ACTIVITY-RESUME.request 同步点序号 S-ACTIVITY-RESUME.indication 老会话连接标识符用户数据活动丢弃 S-ACTIVITY-DISCARD.request S-ACTIVITY-DISCARD.indication S-ACTIVITY-DISCARD.response 原因 S-ACTIVITY-DISCARD.confirm S-ACTIVITY-END.request 活动结束 S-ACTIVITY-END.indication 同步点序号 S-ACTIVITY-END.response 用户数据 S-ACTIVITY-END.confirm

125 120 第 6 章 OSI 高三层协议 (3) 会话释放阶段该阶段是断开会话连接, 其服务原语如表 6-3 所示表 6-3 会话释放阶段服务原语服务原语参数有序释放 S-RELEASE.request S-RELEASE.indication S-RELEASE.response 结果, 用户数据 S-RELEASE.confirm U- 废弃 S-U-ABORT.request S-U-ABORT.indication 用户数据 P- 废弃 S-P-ABORT.indication 原因 3. 服务原语时序会话服务原语的 3 种时序关系 : 1 服务用户发起的请求和指示 2 服务用户发起的请求指示响应和确认 3 服务提供者发起的指示 4. 会话服务质量 (QoS) 会话服务质量描述与会话服务提供者属性有关的会话连接特征会话 QoS 只与会话服务提供者有关, 与会话用户行为无关, 会话用户行为对会话 QoS 无影响会话 QoS 分类 : (1) 会话服务性能参数会话服务性能参数, 如表 6-4 所示阶段表 6-4 会话服务性能参数速度性能准则精确性 / 可靠性会话连接建立会话连接建立延迟会话连接建立失败概率数据传送吞吐量传输延迟残留差错率会话连接恢复能力传送失败概率会话连接释放会话连接释放延迟会话连接释放失败概率 (2) 其他会话服务特征参数 1 扩充控制 : 可使用重新同步异常报告活动中断和活动丢弃服务 2 会话连接保护 : 会话服务提供者试图防止未授权的监控或对用户信息的操作, 包括 : a. 无保护特性

126 6.1 会话层 121 b. 防止被动的监控 c. 防止修改增删 d. 防止被动的监控, 防止修改增删 3 会话连接优先级 : 规范处理各会话连接之间的相对重要性包括 : a. 各连接 QoS 的降级次序 b. 由于收回资源而切断会话连接的次序 4 优化对话传送 : 会话服务请求的拼接传送会话协议会话协议是会话实体间的通信规则, 会话层协议规范是 ISO8327, 是面向连接的会话层协议 CCITT( 现在的 ITU) 也参与了会话层协议规范的研制, 对应 ISO8327 提出了 CCITT X.225 建议 1. 功能单元与功能子集会话的功能是在会话连接建立时由双方约定的, 而会话功能是以功能单元来表示的, 由于会话层的服务种类较多, 将若干个相关联的服务组成一个功能单元, 每一种功能单元汇总了相关功能的要素也就是说会话层把所有会话功能划分成单元, 每个单元称为功能单元, 每个功能单元提供一种可供选择的工作类型会话层共有 12 个功能单元, 如表 6-5 所示表 6-5 会话层 12 个功能单元功能单元会话服务主要功能核心功能单元 ( 非协商式 ) Kernel(non-negotiable) 会话连接正常数据传送有序释放 U- 废弃 P- 废弃会话连接建立数据传送会话连接释放协商式释放功能单元 (Negotiated Release) 半双工功能单元 (Half-duplex) 全双工功能单元 (Duplex) 加速数据功能单元 (Expedited Data) 特权数据功能单元 (Typed Data) 能力数据交换功能单元 (Capability Data Exchange) 有序释放令牌出让令牌请求令牌出让令牌请求无附加服务加速数据传送特权数据传送能力数据传送利用释放令牌拒绝会话连接释放指示, 以继续使用该会话连接持有数据令牌的一方可发送正常数据双方可同时发送正常数据可优先传送加速数据, 加速数据肯定比后续的正常数据先到达对方提供与数据令牌无关的数据传送功能在活动之间提供数据传送功能

127 122 第 6 章 OSI 高三层协议功能单元会话服务主要功能次同步点次同步功能单元令牌出让 (Minor Synchronize) 令牌请求提供次同步点插入功能主同步点主同步功能单元令牌出让 (Major Synchronize) 令牌请求提供主同步点插入功能重新同步功能单元提供重新设定同步点和重重新同步 (Resynchronize) 新分配令牌的功能异常报告功能单元 (Exceptions) P- 异常报告 U- 异常报告服务提供者向用户报告差错信息续表活动管理功能单元 (Activity Management) 活动开始活动恢复活动中断活动丢弃活动结束令牌出让令牌请求控制出让提供活动的开始结束中断恢复和丢弃功能用户可选择使用功能子集, 也可自定义功能子集功能子集如下 : (1) 基本组合子集 BCS 可传送正常数据, 进行有序释放, 可使用半双工或全双工服务包括核心功能单元半双工功能单元和全双工功能单元 (2) 基本同步子集 BSS 可传送正常数据和特权数据, 进行协商或有序释放, 可设置次同步点和主同步点, 进行重新同步, 包括核心功能单元协商式释放功能单元半双工功能单元全双工功能单元特权数据功能单元次同步功能单元主同步功能单元和重新同步功能单元 (3) 基本活动子集 BAS 可传送正常数据和特权数据, 进行有序释放, 可设置次同步点, 进行活动管理和异常报告, 包括核心功能单元半双工功能单元特权数据功能单元能力数据交换功能单元次同步功能单元异常报告功能单元和活动管理功能单元 2.SPDU 格式会话层协议的数据单元 SPDU 格式如图 6-3 所示

128 6.2 表示层 123 图 6-3 SPDU 格式其中,SI 为 SPDU 类型标识符, 共有 36 种不同的 SPDU,LI 是它后面参数字段的长度, 参数字段由参数标识单元 (PI 单元 ) 和参数组标识单元 (PGI) 组成,PGI 单元的组成又分两种情况 3. 会话层数据流图为了明确会话过程, 举例说明会话层数据流图如图 6-4 所示图 6-4 会话层数据流图 6.2 表示层表示层功能与模型 1. 表示层功能表示层中主要解决的就是信息以什么样的表现形式 ( 数据表现 ) 传送给对方不关心处理的用户数据有什么样的意义, 只考虑用什么样的传送形式传送这一问题, 也就是说表示层的功能并不是信息的具体表达, 而是处理信息表示中所遇到的问题, 考虑如何将不同信息的表达形式转换成公共的信息传送形式众所周知, 计算机网络中的应用层程序常使用不同的信息表示标准, 即采用不同的数据类型和结构如果不解决这种差异, 各系统之间彼此就不能理解对方数据的含义, 也就无法通信 OSI 参考模型的下五层协议虽然确保了通信信息可靠准确有序同步的传送, 但

129 124 第 6 章 OSI 高三层协议并未确保信息表示的正确性, 为此,OSI 设立表示层来解决这一问题 OSI 模型中, 信息的表示涉及两个方面 : 语法和语义 (1) 语义数据的内容与意义, 由应用层的各应用协议处理表示层不关心数据具体的语义, 只有应用实体才能知道数据的意义例如, 文件的记录组成, 作业的执行方法, 终端的画面控制等与意义内容有关的方面 (2) 语法数据的表示形式, 由表示层处理它解决异种计算机系统之间的信息表示形式的差异例如, 文字图形声音的表示, 数据压缩, 数据加密等与表示形式有关的方面语义和语法的关系可以举一个例子来说明, 如 flower, 语义上是花的意思, 语法上我们将它看成是字符串 2. 表示层模型表示层模型如图 6-5 所示图 6-5 表示层模型 (1) 抽象语法 (Abstract Syntax) 在实际的计算机中, 分别用各自的形式 ( 局部语法 ) 来表示信息语义的 OSI 环境下, 将信息表示标准化, 这个标准的语义表示就是抽象语法, 即面向各种不同应用, 提供统一的抽象语法表示抽象语法的表示一般使用 ASN.1(Abstract Syntax Notation One) 简单的来说 OSI 为其应用层定义了一个标准的局部语法描述 : 抽象语法标记 1 (ASN.1), 于是出现了抽象语法的概念, 现在一般使用抽象语法代替局部语法 ( 2 ) 传送语法 (Transfer Syntax) 由应用实体提交来的抽象语法表示的信息要传到对方去, 需要对信息进行编码, 这就是传送语法对于同一应用协议的数据单元 APDU, 互联的各开放系统的应用实体均使用各自定义的局部语法 ( 抽象语法 ) 表示, 表示层则对此提供公共语法表示, 即形成传送语法传送语法的选择有以下几种方式 :

130 6.2 表示层事先约定 : 某组应用进程间通信时总是使用一种特定的传送语法 2 在建立表示连接时约定 : 建立表示连接时通过名字引用来选择一个特殊的传送语法 3 传送形式化的语法描述语言 : 先传送形式化的语法描述语言, 再用它作为传送语法 (3) 语法变换即抽象语法与传送语法按照一定规则相互转换的过程发送方把自己的抽象语法转换成传送语法, 接收方收到数据后, 再把传送语法转换为自己的局部语法 (4) 表示上下文对于这一抽象语法, 表示实体将根据应用的要求, 选择适当的传送语法, 并按表示协议与对方进行协商, 最后确定适当的传送语法, 这种抽象语法与传送语法对应关系称为表示上下文, 其控制功能称为上下文控制上下文是描述抽象语法与传送语法间的一种对应关系, 描述如何进行语法变换也可以说一个抽象语法和所商定的传送语法的组合就是上下文表示上下文有如下特征 : 1 表示上下文在建立表示连接时, 由双方协商确定, 但允许在通信过程中重新确定加入或删除 2 确定的表示上下文具有生命期, 最长为一次表示连接的时间, 当重新建立表示连接时, 必须重新确定表示上下文 3 表示上下文确定的过程是先由应用实体与对等应用实体协商好抽象语法, 并将抽象语法通告表示实体, 表示实体要结合本系统的实际与对等表示实体协商确定一个能支持抽象语法的传送语法 4 对同一抽象语法, 在不同时期, 可能使用不同的传送语法, 因此在建立表示连接时, 可以建立几个表示上下文, 即对同一抽象语法使用多种传送语法或者对几个不同抽象语法使用同一种传送语法, 但同一时间, 只能有一个表示上下文处于活动状态多个上下文构成已确定的上下文集 (DCS,Defined Context Set) 为理解表示上下文的概念, 举一个例子说明假设有两种不同类型说明的应用协议数据单元 APDU-TYPE(1) APDU-TYPE(2), 它们所使用的抽象语法分别是 AS(1) AS(2) 设对等应用层已知道这些抽象语法, 并且发送方表示层已知道了这些抽象语法现在对等表示层要协商使用什么传送语法现在我们假定共有三种可供选择的传送语法 TS(a) TS(b) TS(c) 于是, 为了协商到底用什么样的传送语法, 应用实体在请求下方的表示连接时, 可在所采用的抽象语法的后面附上可供选择的几种传送语法, 形成 : 1APDU-TYPE(1)=AS(1),[TS(a) 或 TS(b)] 2APDU-TYPE(2)=AS(2),[TS(a) 或 TS(b)] 表示连接另一端的对等实体在协商时可能给出如下回答 : 1APDU-TYPE(1)=AS(1),TS(a) 2APDU-TYPE(2)=AS(2),TS(c) 上面给出的每一对抽象语法和传送语法, 就构成了一个表示上下文, 共有两个表示上下文, 即 : 1 表示上下文 1:[AS(1),TS(a)] 2 表示上下文 2:[AS(2),TS(c)] 这两个表示上下文合在一起, 就构成了已定义的上下文集 DCS

131 126 第 6 章 OSI 高三层协议表示服务表示层服务用户和表示服务提供者 ( 即表示实体 ) 在表示服务访问点上 PSAP 上相互作用, 通过使用表示服务原语, 表示层服务用户和表示服务提供者相互交换信息表示层服务原语大多数与会话层中的相同, 事实上这些原语中的多数是由会话层实现的, 也就是说由会话层执行, 表示层实现传递表示层提供一种公共的信息表示方法表示层的服务规范是 ISO8822 表示层向应用层提供语法变换和上下文控制服务为了把用抽象语法表示的表示层用户数据变换为传送数据, 定义了用作服务的抽象语法标记法 ASN.1 规定了抽象语法与传送语法对应关系的表示上下文及其控制按功能对表示层服务分类如下 : (1) 表示连接建立的功能 (Facility) 用于建立表示连接, 选择该连接上使用的表示功能单元, 确定表示上下文的初始集, 选择所需会话连接的特性等 (2) 表示连接释放的功能进行表示连接的正常释放, 或者强制释放强制释放是异常释放, 可能会丢失数据 (3) 表示连接管理功能进行表示上下文的创建增加删除对新创建的表示上下文应给出标识符对表示上下文发生变化的情况, 表示层应负责通知对等表示实体 (4) 信息传送的功能能进行全双工半双工数据交换, 能实现能力数据特权数据等的传送表示层未提供流量控制 (5) 会话控制功能按照原样向应用层提供会话服务, 不涉及上下文环境变化为了给应用层直接提供会话服务, 则穿透表示层, 提供令牌管理同步控制再同步及活动管理等服务穿透服务是表示层的会话控制功能因此, 可以说表示服务主要是会话服务加上表示上下文等的控制而形成, 次要服务是穿透功能的服务抽象语法表示法 ASN.1 及基本编码规则在表示层和应用层, 数据具有不同的复杂数据结构 ( 即不同的抽象语法 ), 需要一个统一的抽象语法描述方法例如, 同一数据结构用 C 和 PASCAL 的表示是不一样的 ASN.1(Abstract Syntax Notation One) 可灵活的定义各种数据结构它包括一些基本类型和结构类型, 它允许用户自己定义更复杂的数据结构 1. ASN.1 基本数据类型 ASN.1 的基本数据类型包括 5 类 : 布尔类型整数类型位串类型字节串类型和空类型 (1) 布尔类型布尔类型 BOOLEAN 只有 TRUE 和 FALSE 两个取值

132 6.2 表示层 127 (2) 整数类型整数类型 INTEGER 就是通常意义上的整数 (3) 位串类型位串类型 BIT STRING 是由 0 1 组成的串, 其长度不受限制 (4) 字节串类型字节串类型 OCTET STRING 是由 8 位位组 (OCTET) 组成的串, 其长度不受限制它就是通常意义上的字符串 (5) 空类型空类型 NULL 表示某个元素不存在或不取任何值 2.ASN.1 结构数据类型 ASN.1 结构数据类型包括 7 类 : (1) 顺序类型 (SEQUENCE) 由一个或多个元素类型组成的有序列表, 元素类型可为任何其他类型它类似于 PASCAL 的记录如果出现 OPTIONAL 或 DEFAULT 关键字, 对应类型的值可省略例如 : ValidSequence ::= SEQUENCE {a INTEGER DEFAULT 3, s BOOLEAN OPTIONAL, n INTEGER,} Value ValidSequence ::= {a 5, s TRUE, n 20} (2) 单一顺序类型 (SEQUENCE OF) 由一个或多个同一类型元素组成的有序列表, 元素类型可为任何其他类型它可被视为 SEQUENCE 类型的特例, 它类似于 PASCAL 的数组例如 : Words ::= SEQUENCE OF VisibleString buildwords Words ::= {"applications","elements","protocols"} (3) 集合类型 (SET) 由 0 个或多个元素类型组成的无序集合, 组成的元素必须是可区分的例如 : TypeSet ::= SET {a BOOLEAN, s INTEGER, n BIT STRING} valset TypeSet :: = {a TRUE, N '1001'B, s 520}

133 128 第 6 章 OSI 高三层协议 (4) 单一集合类型 (SET OF) 由 0 个或多个同一类型元素组成的无序集合例如 : Words ::= SET OF VisibleString buildwords Words ::= {"entities","protocols","pdu"} (5) 任选类型 (CHOICE) CHOICE 类型包含一个可供选择的类型列表, 他的每个值都是该组成元素的一个值它可用于描述在不同环境下可能有不同类型的所有可能性都事先已知的数据结构例如 : TimeOfDay ::= CHOICE {actual-value UTCTime, not-available NULL} unixepoch TimeOfDay ::= {actual-value " Z"} unknowtime TimeOfDay ::= {not-available NULL} (6) 任一类型 (ANY) ANY 类型表示在定义时未具体指明类型的数据结构例如 : AlgorithmIdentifier ::= SEQUENCE {algorithm OBJECT IDENTIFIER, parameters ANY OPTIONAL} (7) 标签类型 (TAG) 由标签类型加标签号码表示作为数据类型前缀, 用于区分取值类型相同的类型例如 : Abstract-Syntax-Name ::= [APPLICATION 0] OBJECT IDENTIFIER ASN.1 定义了 4 种标签 : (1) 通用类 (Universal Class) 仅由 ASN.1 定义, 分配给基本类型或结构类型 UNIVERSAL 1 BOOLEAN UNIVERSAL 2 INTEGER UNIVERSAL 17 SET and SET OF (2) 应用类 (Application Class) 用户可自由分配, 但同时只能分配给一种类型 (3) 私用类 (Private Class) 应用标准不使用这种标签 (4) 上下文专用类 (Context Specific Class) 用户可自由分配, 利用上下文关系对它进行解释 3.ASN.1 复杂数据类型 ASN.1 可利用嵌套递归的方法定义复杂的数据结构例如 : PersonnelRecord ::= SET

134 {name Name, title IA5String number INTEGER, dateofhire Date, ( 雇用日期 ) nameofspouse Name, ( 配偶姓名 ) children SEQUENCE OF ChildInformation} ChildInformation ::=SET {name Name, dateofbirth Date} Name ::=SEQUENCE {givenname IA5String, initial IA5String, familyname IA5String} Date ::=IA5String 4.ASN.1 基本编码规则 6.2 表示层 129 ASN.1 基本编码规则 (BER,Basic Encoding Rules) 完成抽象语法表示与传送语法间的变换 ASN.1 采用 TLV 方法进行编码该方法把各种数据表示成 Type Length Value3 个字段, 每个字段由字节组成 (1)Type 字段用于表示标签 (Tag) Type 字段用于表示标签 (Tag), 各位表示如下 : D8,D7: 标签类型 Class D8 D7 Universal 0 0 Application 0 1 Context-specific 1 0 Private 1 1 D6: 数据类型标志 0 表示基本数据类型,1 表示结构数据类型 D5,D1 或更多位 : 标签号码号码小于 31 时, 用 D5 到 D1; 号码大于等于 31 时, 用更多位表示, 这时 D5~D1 全为 1, 标签号码由后面扩展字节表示, 扩展字节的最高位 (D8) 均为 1, 只有最后一个字节的最高位 (D8) 为 0, 表示扩展字段结束, 这些字节的剩余 7 位拼接起来就是标签号码值以标签 [PRIVATE 42] 为例子 42 的二进制表示是 , 多于 5 位, 因此要用两个 8 位组编码编码后的标签的二进制格式为 (2)Length 字段表示内容字段 (Value) 的长度长度小于 127 时,Length 字段占一个字节 ; 长度大于 127 时, 第 1 个字节的最高位 (D8)

135 130 第 6 章 OSI 高三层协议为 1, 其余 7 位为 Length 字段本身的长度, 后续字节为内容字段 (Value) 的长度长度不确定时, 第 1 个字节的最高位 (D8) 为 1, 其余位全 0, 内容字段使用内容结束标志 (2 个全 0 字节 ) (3) 内容字段 (Value) 如 BOOLEAN 类型的 FALSE 为 0,TRUE 为非 0;INTEGER 类型的只用补码表示 6.3 应用层应用层功能和模型 1. 应用层功能应用层是 OSI/RM 中最高的一个功能层, 它是开放系统互联环境 (OSI 环境 ) 与本地系统的操作系统和应用系统直接接口的一个层次在功能上, 应用层为本地系统的应用进程 (AP) 访问 OSI 环境提供手段, 也是唯一直接给应用进程提供各种应用服务的层次根据分层原则, 应用层向应用进程提供的服务是 OSI 的所有层直接或间接提供服务的总和计算机通信网的最终目的是为用户提供一些特定的服务, 使得本地系统能与外界系统进行协调合作为了实现这种协调, 应用层一方面为应用进程提供彼此通信的手段, 也就是为其创建 OSI 环境另一方面, 由于各种应用类型的多样性, 应用层协议也必定是多种多样的, 为了减少应用系统与外界通信的复杂性, 在应用层内应配置尽可能多的公用或专用的应用服务元素 ASE(Application Service Element), 提供给应用系统根据需要调用所谓应用服务元素就是各种应用都需要的功能成分, 是应用层的基本构件不同的应用协议可以采用相同的低层通信协议, 实际上, 应用进程之间的通信问题在运输层就已经基本解决了至于在运输层上增加会话层和表示层这两个层次, 是因为 OSI 的设计者认识到不同类型应用的应用进程在相互通信时表现出许多相似的特征, 把这些相似的特征提取出来, 分别设立会话层和表示层, 这样就可以简化应用进程的设计和实现 2. 应用层模型如图 6-6 所示, 应用层由应用进程 (AP,Application Process) 和应用实体 (AE,Application Entity) 组成图 6-6 应用层模型

136 6.3 应用层 131 (1) 应用进程 (AP) 一个应用进程包括用户开发的应用软件以及通信软件在计算机分层协议网络中, 应用进程总有一部分在 OSI 环境之外, 另一部分在 OSI 环境之内在 ISO/OSI 标准中, 把前者仍称为应用进程, 而把后者称为用户元素 UE 有时候将 AP 称应用进程, 而将 AP+UE 称广义应用进程 (2) 应用实体 (AE) 应用实体由一个用户元素 (UE,User Element) 和一组应用服务元素 (ASE,Application Service Element) 组成, 应用服务元素可以以分为两类, 一类是公共应用服务元素 (CASE), 另一类是特定应用服务元素 (SASE) 由于在 CASE 和 SASE 之间很难有十分清楚的区分界限, 因此正式公布的 OSI 标准中只使用应用服务元素 ASE 这一名称, 相当于 CASE 在应用层模型中, 虽然应用进程和应用实体各画出 1 个, 但它们之间并不一定是一一对应关系, 一个完成多功能的应用进程往往需要包括多个不同类型的实体 AE 于是, 一个应用进程可对应一个或多个应用实体, 而一个应用实体可包含一个或多个应用服务元案 (3) 用户元素 (UE) 因为 UE 是广义应用进程的一部分, 也是应用实体的一部分, 那么 UE 无非是 AP 与应用实体间的接口用户元素是应用服务元素的用户是应用进程 AP 在应用实体内部为完成其通信目的需要使用那些应用服务元素的处理单元, 是应用进程的代表对应用进程来说, 用户元素具有发送接收能力 ; 对应用服务元素来说, 用户元素也具有发送和接收能力应用进程通过 UE 与应用实体进行通信 (4) 应用服务元素 (ASE) 公共应用服务元素 (CASE) 是用户元素和特定应用服务元素公共使用的那部分服务元素, 因此, 公共应用服务元素提供给各种特定应用服务元素和用户元素都是通用的服务, 这些服务与应用的性质无关特定应用服务元素 (SASE) 提供满足特定应用的特殊需求的能力例如, 文件传送访问和管理远程数据库访问作业传送银行事务等因此, 特定应用服务元素专门对特定应用提供服务, 它与特定应用的性质和业务内容密切相关, 是特有的 CASE 和 SASE 1.CASE 与 SASE 的关系 CASE 和 SASE 之间的关系如图 6-7 所示,CASE 为 SASE 和 UE 提供通用的服务

137 132 第 6 章 OSI 高三层协议图 6-7 CASE 与 SASE 的关系 2. 公共应用服务元素 CASE 公共应用服务元素 (CASE) 提供了应用层中最基本的服务, 它为网络中应用进程间的通信分布式提交系统的实现等提供了基本的控制机制 CASE 有 4 个组成元素 : (1) 联系控制服务元素 (ACSE, Association Control Service Element) ACSE 是应用层中最基本的服务元素, 它负责在对等应用实体 AE 中建立应用联系还提供中断应用联系释放应用联系等功能, 它是利用表示层服务实现的 ACSE 的国际标准是 ISO8649( 服务定义, 与 ITU-T X.217 兼容 ),ISO8650( 协议规范, 与 ITU-T X.227 兼容 ) 这里的联系和其他层的连接不尽相同应用层不对任何更高层服务 ( 应用层是最高层 ), 应用服务元素只给应用层的一部分用户元素 UE 提供服务, 因此这里用联系而不用连接 (2) 可靠传送服务元素 :(RTSE, Reliable Transfer Service Element) 对等应用实体 AE 之间的通信是由表示层提供服务的, 当应用层信息传输的可靠性要求比较高时,ACSE 并不能给予保证例如, 高层的会话层表示层出现故障造成连接中断时, 就有可能造成信息丢失重复次序颠倒等错误, 而且当信息传送失败时, 发送方也得不到及时的通知, 为了防止这种情况发生, 在应用层设置了另一种应用服务元素即可靠传送服务元素 RTSE RTSE 的设置并不是要解决低层出现过的分组丢失和分组出错的问题, 而是让系统能够从会话层表示层等高层连接的故障与端系统崩溃中恢复过来 RTSE 保证在对等应用实体间的可靠信息传送在设置了 RTSE 的应用层,RTSE 代替 ACSE 与应用进程直接建立应用联系,RTSE 可直接在 PSAP 映射表示连接但是这并不排斥 RTSE 通过 ACSE 后在 PSAP 映射表示连接可靠传送服务元素 RTSE 的国际标推是 ISO9066-1( 服务定义, 与 ITU-T X.218 兼容 ),

138 6.3 应用层 133 ISO9066-2( 协议规范, 与 ITU-T X.228 兼容 ) RTSE 有多种差错处理和恢复方法, 根据差错的情况 RTSE 将启动不同的差错处理和恢复过程 1 当出现重复传送时, 发送方 RTSE 放弃所进行的活动, 但向本地用户报告传送成功 2 当 RTSE 因差错无法传送 APDU 时, 就放弃所进行的活动, 且通知本地用户传送失败 3 当差错较轻时,RTSE 中断当前的活动, 并经适当时间再恢复该活动当差错严重时, RTSE 中止应用联系, 在再次建立联系后恢复被中断的活动中止应用联系后, 要向本地用户报告差错处理和恢复过程必然放弃当前正在进行的活动 (3) 远程操作服务元素 (ROSE, Remote Operations Service Element) 在计算机网络通信中, 除了传送大块数据单元外, 还要出现一问一答方式的通信, 如事务处理就属此列在分布式环境下, 这种方式的通信称为远程操作 RO(Remote Operation) 在应用层设置远程操作服务元素 ROSE 就是为实现一问一答方式的通信, 也就是一个用户向另一用户发出一个请求, 然后收到一个请求的结果, 即请求 / 响应方式的通信 ROSE 的国际标准是 ISO9027-1( 服务定义, 与 ITU-T X.219 兼容 ),ISO9072-2( 协议规范, 与 ITU-T X.229 兼容 ) ROSE 把远程操作分为两种方式 : 1 同步方式 :ROSE 在收到第一个操作的回答之前不再发出第二个操作请求 2 异步方式 :ROSE 发出多个请求, 远程操作不受前期操作响应的制约 (4) 委托并行和恢复 (CCR, Commitment Concurrency Recovery) 委托并发和恢复 (CCR) 应用服务元素的作用是提供与特定应用有关的多个联系活动的协调功能, 即使在系统发生多次崩溃的情况下也能可靠地协调多个部分之间的相互作用, 为分布式处理提供了一个安全和高效的环境在分布式环境中, 对数据库等系统进行更新操作的同时要求保持和维护数据的完整性和一致性, 使之不受系统和通信设备失效的影响, 也就是说, 受到影响的系统都能保证数据的一致性状态, 这时就必须使用 CCR,CASE 如图 6-8 所示图 6-8 CASE 结构其中 CASE 的上层即为 SASE 在图中 : RDA: 远程数据库访问 DTMA: 文档传送和操作 TP: 业务处理 VT: 虚拟终端 FTAM: 文件传送访问和管理

139 134 第 6 章 OSI 高三层协议 JTM: 作业传送和操作 3. 特定应用服务元素 SASE 根据应用服务的性质不同, 可将特定应用服务元素 (SASE) 再分为两类 : 一类是应用特定应用服务元素 (A-SASE), 另一类是用户特定应用服务元素 (U-SASE) A-SASE 是应用实体为支持应用进程间的信息传送处理所需要的那部分特定应用服务元素, 如文件传送访问和管理远程数据库访问虚拟终端等, 它们是作为应用实体的通用 SASE 来研究的 ; 而 U-SASE 是只对特定应用领域才有的功能, 如航空订票系统银行数据系统等一些通用的 A-SASE 包括 : 虚拟终端, 作业传送与操作文件传送访问和管理, 远程数据库访问, 图形核心系统, 开放系统互联管理, 操作系统命令响应语言, 信息通信和报文处理系统处于 CASE 上层的元素即为 SASE 下面列举常见的 SASE: MHS: 报文处理系统 (Message Handling System) FTAM: 文件传送访问和管理 (File Transfer Access and Management) VT: 虚拟终端 (Virtual Terminal) JTM: 作业传送和操作 (Job Transfer and Management) RDA: 远程数据库访问 (Remote Database Access) EDI: 电子数据交换 (Electronic Data Interchange) DSP: 目录服务协议 (Directory Service Protocol) TP: 事务处理 (Transaction Processing) X.400 MHS 功能模型和原理 1.MHS 的概述报文处理系统 (MHS) 是 OSI 参考模型应用层所支持的一种应用, 它可以利用分组交换网作为运载工具, 传递包括文本话音图象二进制数据等多种类型的报文, 从而为用户提供电子邮件服务 MHS 的标准化工作始于 20 世纪 80 年代初 1984 年 ITU-T( 原 CCITT) 首先制定了有关报文处理系统 (MHS) 的一系列建议, 即 X.400 系列建议, 成为第一个国际标准国际标准化组织 ISO 于 80 年代也提出了相应的标准, 称为面向报文的文本互换系统 (MOTIS), 即 ISO 这一标准与 X.400 完全兼容且有所扩充 1988 年 ITU-T 又推出了修订版的 X.400 建议, 新增加了安全机制, 并且大量使用 OSI 目录服务 (X.500 建议 ) 我们以下的讨论以 1988 年修订版 X.400 建议为基础电子邮件业务是指由发信人送出报文, 经过中途存储转发, 最后投递到收信人专用的邮箱中, 并一次存储收信人从邮箱中取出来的报文与被发送时的原样相同若使用电子邮件, 发信人不必知道对方是否处于通信状态, 可以随时发信 MHS 的目的是在通信用户间作为交换信息的一种媒体, 它具有以下特性 : 1MHS 的报文格式由信封和内容组成信封实际上就是整个报文的首部, 其中包含报文的目的地址投递方法和优先级等控制信息内容包括信头和信体两部分参照一般信函的结构, 信头部分包含收件人 (To) 发件人 (From) 抄送 ( Cc) 日期主题 (Subject) 等项内容, 以便归档存储信体部分是用户传送的任意形式的信息报文的传递过程按信封的控制信息实现, 传递的内容原则上是透明传送由于 MHS 报文的信封和内容为层次结构,

140 6.3 应用层 135 故可以处理多媒体信息 2MHS 的报文传递以存储 / 转发方式为基础, 提供了同一报文向多目的地址同时传递的同报投递投递保留投递优先级等多种转发业务 3 个人之间的通信是 MHS 的主要通信方式 MHS 的用户不仅是人类用户, 而且也包括计算机进程虽然目前来说个人之间的信函传递是 MHS 传递的主要报文, 这相当于电子邮件业务, 但是, 由于计算机进程亦可作为 MHS 的用户因此, 利用计算机处理商品说明书商品货单和付款单等商业或金融事务处理, 也是 MHS 的重要应用, 这就是所谓的电子数据互换 EDI 2.MHS 的功能模型与工作过程图 6-9 给出了 MHS 的系统结构, 也称为 X.400 的功能模型 MHS 由以下 4 个元素组成 : 1 报文传输系统 (MTS,Message Transfer System) 2 用户代理 (UA,User Agent) 3 报文存储 (MS,Message Store) 4 访问单元 (AU,Access Unit) 图 6-9 MHS 的系统结构 MHS 用户通过用户代理 (UA) 访问 MHS 系统,UA 是用户与 MHS 系统之间的接口, 亦是开放系统中的一个应用进程 UA 代表用户与报文传输系统 (MTS) 通信, 另外,UA 还为用户整理报文提供必要的编辑功能, 并具有报文存储归档功能 UA 与用户存在着一一对应的关系, 即每一个用户对应于且仅对应于一个用户代理 UA MTS 由一个以上在逻辑上有联系的报文传输代理 (MTA) 所组成 MTA 是实现存储转发报文功能的实体从软件的角度看,MTA 是一个应用层实体 AE 一个 MTA 可以连接多个 MTA 或 UA, 起着中继作用的 MTA 要负责寻找合适的路由如果 MTA 收到其他 MTA 传来的报文的收信人的 UA 就连接在本 MTA 上, 则把它提交给该 UA 如果收到的报文的收信人的 UA 没有连接在本 MTA 上, 则需要将该报文发送给下一个 MTA 下一个 MTA 的选择属于报文转发的路由选择问题, 不过这里的路由选择是应用层的路由选择, 它和网络层的路由选择是不同的概念, 所采用的策略也不同 MTA 处理报文是根据信封, 它既不关心也不修改报文的内容用户代理 UA 处理报文是根据报文的内容中的信头, 它也不关心报文的信体部分报文的信体部分只有用户才能对它进行解释为了提交和投递报文,UA 与它的本地 MTA 交互各 MTA 负责相互之间的协调工作, 以将报文通过 MTS 传送到其目的地, 而 UA 负责向 MTS 提交报文和接收 MTS 投递的报文

141 136 第 6 章 OSI 高三层协议这样的分工是很重要的, 然而, 如果 UA 驻留在一台计算机内, 而该计算机当用户离开后就被关机, 则 MTS 无法及时向 UA 投递报文为此, 引入了一个新的实体, 称作报文存储 (MS) MS 的作用是作为 UA 与本地 MTA 之间的中介体当投递时,MTA 将报文放入 MS, 以后当 UA 工作时, 就从 MS 中取出报文另一方面, 也可利用 MS 来提交报文, 即 UA 只需要把报文交给为自己服务的 MS 后就可以退出执行, 由 MS 负责在 MTA 有空闲存储空间时把报文提交给它发送, 这种情形叫做间接提交由于 MS 的引入, 减轻了 UA 与 MTS 交互的工作, 使之能执行更多的用户接口功能 ; 同时也减轻了 MTA 代替 UA 存储报文的压力, 使之能更多地执行报文传递功能接入单元 (AU) 是 MHS 与其他通信系统的接口, 用来使其他信息通信手段 ( 如传真智能用户电报等, 称为间接用户 ) 也能通过 MHS 系统进行通信使用以上的系统结构,MHS 的报文流程如下 : 1 发信人利用发信 UA 的编辑功能产生报文 2 指定收信人, 由发信 UA 准备发送报文 3 发信 UA 将准备好的报文提交给本地 MTA, 或经由 MS 交给 MTA 4MTS 将报文以存储 / 转发方式从发信 MTA 传递到收信 MTA 5 收信 MTA 将报文投递给收信 UA, 或提交给与收信 UA 连接的 MS 再由收信 UA 从 MS 中取出 6 报文到达收信 UA 后, 存储在收信人的个人邮箱中, 供收信人读出报文显而易见,MHS 系统模型仅仅是日常邮政通信系统的电子化, 这是很吸引人的, 因为人们对于邮政通信这一种第三方传递的模型已经非常熟悉了而且,MHS 可以传送多种类型的信息, 因此,MHS 系统具有广泛的应用价值 3.MHS 服务 MHS 服务分成 4 类 : 报文传递服务个人间报文通信服务报文存储服务和物体投递服务, 总共达 90 多种从用户的角度来看, 可使用 MHS 提供的两类服务, 即报文传输服务和个人间报文通信服务 (1) 报文传递服务 (MT 服务 ) 主要的报文传递服务是提交和投递发信人的 UA 将报文提交给 MTS, 而 MTS 将该报文投递给收信人的 UA 提交时,UA 将一个包含投递信息的提交信封与报文内容一起交给 MTS 投递时,MTS 将投递信封与报文内容一起传递给 UA 为了投递报文,MTS 必须具有传递服务报文从本地 MTA 开始发出, 向下传递到另一个 MTA, 直至到达目的地 MTA 报文在传递过程中被装在一个传递信封内, 该传递信封向 MTS 提供投递信息和跟踪信息传递信封中包含的主要信息列于表 6-6 中

142 6.3 应用层 137 表 6-6 MHS 的信封上的一些主要字段字段说明发信人地址收信人允许更换收信人更换的收信人报文标识符优先级发信人请求报告 MTA 报告请求推迟投递最迟投递内容送回信息类型禁止转换禁止丢失性转换明确转换加密标识符内容完整性校验发信人签名报文机密性标号已投递的证明此报文的发信人的 MHS 地址此报文的收信人的 MHS 地址是否允许更换收信人允许更换收信人而又无法投递时的另一个收信人识别报文用的标识符慢件正常急件发信人需要在何种情况下得到何种回答报告 MTA 需要何种回答报告 ( 如路由或各 MTA 的时间戳等 ) 不要在此时间之前投递 ( 如不得提前公布的机密消息 ) 不要在此时间之后投递 ( 如时间性要求很强的信息 ) 无法投递时是否要将内容送回发信人电文传真数字话音等不允许将报文进行转换是否允许不完整地转换 ( 如某些外来字符用? 代替 ) 需要转换是明确的密钥表的索引对内容的校验和发信人的数字签名秘密机密绝密等收信人的数字签名根据 UA 提交报文时的说明, 当报文投递完成时,MTS 将向源发 UA 返回一个投递报告同样, 若报文无法投递, 则返回一个无法投递报告这里需要说明的是关于信息转换的问题报文有几种可能的形式, 如 ASCⅡ 码电文模拟传真数字传真数字话音可视图文用户电报, 以及 MHS 以外的一些其他的系统如果收信人不能直接接收某一种类型的报文,MTA 就试图在投递之前进行必要的类型转换, 但并不是所有的转换都是可行的例如, 目前将数字话音的报文转换为 ASCⅡ 码的报文是很难的事 (2) 个人间报文通信服务 (IPM 服务 ) IPM 服务是由 IPM-AU 直接向用户提供的服务, 它规定了由 IPM 用户互换的报文格式, 报文包含一个信头和一个或多个信体部分个人间报文的信头部分包含如下一些信息, 如报文标识符发信人的 MHS 地址 (From:) 主收信人 ( To:) 抄送收信人 ( Cc:) 主题和回信地址, 等等 IPM 服务定义了一些信体部分, 如 ASCII 电文传真用户电报等另外, 信体部分也可以只是被转发的个人间报文

143 第 7 章局域网体系结构及应用在当今的计算机网络技术中, 局域网技术已经占据了十分重要的地位局域网 LAN(Local Area Network) 是区别于广域网 (WAN) 的一种地理范围有限, 互联网络设备有限的计算机网络局域网有四种常规的体系结构 : 以太网令牌总线令牌环网和光纤分布式数据接口 (FDDI) 以太网令牌总线令牌环网都是 IEEE 的标准, 而光纤分布式数据接口 (FDDI) 则是 ANSI 标准局域网的发展始于 20 世纪 70 年代, 至今仍是网络发展中的一个活跃领域 1972 年, 美国加州大学研制了 NEWHALL 环, 称为 DCS(Distributed Computer System) 分布计算机系统 1975 年出现了第一个总线争用结构的实验性 Ethernet 网络, 该网络借鉴了夏威夷大学 ALOHA 网络的有关技术 1974 年, 英国剑桥大学计算机实验室建立了剑桥环 1977 年, 日本京都大学研制成功了以光纤为传输介质的局域网络到 20 世纪 80 年代初期, 多种类型的局域网络纷纷出现, 越来越多的制造商投入到局域网络的研制潮流中, 其中有 Xerox DEC 和 Intel 公司 3 家联合研制的第二代 Ethernet 网络,Zilog 公司推出的 Z-net 网,Corvus 公司和 Intel 公司研制的 Omninet 网,Cromemco 公司研制的 C-net 网等美国日本和西欧一些国家的大学投入了相当大的力量研究局域网络同时, 各种先进的网络组件, 如传播介质和转接器件也不断出现, 连同高性能的微机一起构成了局域网的基本硬件基础由于新技术和新器件不断出现, 所以局域网也被赋予更强的功能和生命力世纪 80 年代是局域网飞速发展的年代, 到了 80 年代末期, 先后推出了 3+open Novell 和 LAN Manager 等性能优异极具代表性的局域网络到了 90 年代, 由于集线器 (Hub) 技术的发展, 局域网的发展也上了一个台阶, 出现了交换式以太网高速局域网和虚拟局域网, 其性能更优, 应用更广本章主要介绍局域网的体系结构协议标准拓扑结构 CSMA/CD 以太网的媒体访问控制方法及网络互联设备 7.1 局域网技术和 IEEE802 标准局域网的特点在一个小的范围内, 将分散的计算机系统互联起来实现资源的共享和通信, 便构成了局域网 (LAN), 其主要的特点是 : 1 地理分布范围较小可覆盖一幢大楼一所校园或一个企业 2 数所传输速率高, 一般为 0.1~1 000 Mbps, 目前已出现速率高达 10 Gbps 的局域网 3 误码率低, 一般在 ~10-8 以下这是因为局域网通常采用基带传输, 可以使用高质量的传输媒体, 从而提高了数据传输质量 4 以 PC 机为主体, 包括终端及各种外设 5 一般包含 OSI 参考模型中的低三层功能, 即涉及通信子网的内容 6 协议简单结构灵活建网成本低周期短便于管理和扩充

144 7.1 局域网技术和 IEEE802 标准局域网的三个主要技术局域网的技术要来包括了体系结构和标准传输媒体拓扑结构数据编码媒体访问控制方法和逻辑链路控制等其中主要的技术是传输媒体拓扑结构和媒体访问控制方法 1. 传输媒体局域网的传输媒体通常有以下 4 种, 双绞线和光纤是局域网中最常见的通信媒体 (1) 双绞线 1 屏敝双绞线 (STP): 在外壳内有不同编织网, 以减小外部电磁干扰 2 非屏敝双绞线 (UTP): 常有 3 类 4 类 5 类超 5 类 6 类 UDP 双绞线 (2) 同轴电缆 1RG-8 和 RG-11: 用于粗缆以太网, 直径 1/2 英寸, 阻抗 50 Ω, 需要收发器 2RG-58: 用于细缆以太网, 直径 1/4 英寸, 阻抗 50 Ω, 需要 T 型插头 3RG-59: 电视天线, 阻抗 75 Ω, 如宽带电缆 (3) 光缆 1 单模光缆 : 纤芯直径 2~8 μm, 单一波长光线, 传输基本是水平方向 2 多模光缆 : 纤芯直径 50~150 μm, 多束光线在芯材中通过不同路径传播 (4) 无线目前常用的无线包括射频 (RF) 和红外线 ( IR) RF 工作在 900 MHz 2.4 GHz 和 5.8 GHz 的自由频段上 2. 拓扑结构局域网常用的拓扑结构有 3 种 : 1 总线型拓扑 2 星型拓扑 3 环型拓扑 3. 媒体访问控制方法 1 载波监听多路访问冲突检测 (CSMA/CD) 技术, 常用于以太网 2 令牌控制技术 3 令牌总线控制技术 4 光纤分布数据接口 (FDDI) 技术 IEEE802 标准 IEEE 在 1980 年 2 月成立了局域网标准化委员会 ( 简称 IEEE802 委员会 ), 专门从事局域网的协议制定, 形成一系列的局域网标准, 称为 IEEE802 标准, 该标准已被国际标准化组织 ISO 采纳, 作为局域网的国际标准系列在这些标准中, 根据局域网的多种类型, 规定了各自的拓扑结构媒体访问控制方法帧格式等内容 IEEE802 标准系列中各个子标准之间的关系如图 7-1 所示

145 140 第 7 章局域网体系结构及应用网际互联网际互联逻辑链路控制 (LLC) 逻辑链路控制寻址管理体系结构 MAC MAC MAC MAC MAC 媒体访问控制物理层图 7-1 IEEE802 标准系列之间的关系图 802.1: 综述局域网的体系结构寻址网络管理和网际互通 802.2: 定义逻辑链路控制子层 (LLC) 的功能与服务 802.3: 描述 CSMA/CD 带碰撞检测的载波侦听多路访问媒体访问方法和广播式局域网的物理层规范 802.4: 描述 Token Bus 媒体访问协议及采用该协议的总线局域网的物理层规范 802.5: 描述 Token Ring 媒体访问协议及采用该协议的环型局域网的物理层规范 802.6: 关于局域网的分布式队列双总线 DQDB(Distributed Queue Dual Bus) 的标准等 802.7: 描述宽带技术进展 802.8: 描述光纤技术进展 802.9: 描述语音和数据综合局域网技术 : 描述局域网的安全与解密问题 : 描述无线局域网技术 : 描述用于高速局域网的媒体访问方法及相应的物理层规范 : 描述交互式电视网 ( 包括 Cable Modem) 目前在 LAN 协议中所用到的数据链路控制部分都是基于 HDLC( 高级数据链路控制 ) 协议的, 然而每一种协议都根据自己的技术需要对 HDLC 进行适当的修改, 以满足自己的特殊需求局域网参考模型局域网是一个通信网, 只涉及相当于 OSI/RM 通信子网的功能由于内部大多采用共享信道的技术, 所以局域网通常不单独设立网络层局域网的高层功能由具体的局域网操作系统来实现 IEEE802 标准的局域网参考模型如图 7-2 所示, 该模型包括了 OSI/RM 最低两层 ( 物理层和数据链路层 ) 的功能, 也包括网间互联的高层功能和管理功能从图 7-2 中可见,OSI/RM

146 7.1 局域网技术和 IEEE802 标准 141 的数据链路层功能, 在局域网参考模型中被分成媒体访问控制 MAC(Medium Access Control) 和逻辑链路控制 LLC(Logical Link Control) 两个子层在 OSI/RM 中, 物理层数据链路层和网络层组成了计算机网络的通信子网对于局域网来说, 物理层是必需的, 它负责建立机械电气功能和规程方面的特性, 以建立维持和拆除物理链路 ; 数据链路层也是必需的, 它负责把不可靠的传输信道转换为可靠的传输信通, 传送带有校验的数据帧, 采用差错控制和帧确认技术实现可靠传输应用层表示层应用层对话层传输层高层服务访问点网络层数据链路层物理层逻辑链路控制子层介质访问控制子层物理层图 7-2 局域网体系结构和 OSI 的关系局域网中的多个设备一般共享公共传输媒体, 在设备之间传输数据时, 首先要解决由哪些设备占有媒体的问题所以局域网的数据链路层必需设置媒体访问控制功能由于局域网采用的媒体有多种, 对应的媒体访问控制方法也有多种, 为了便于数据帧的传送, 独立于所采用的物理媒体和媒体访问控制方法,IEEE802 标准特意把 LLC 独立出来形成单独子层, 使 LLC 子层与媒体无关, 仅让 MAC 子层依赖于物理媒体和媒体访问控制方法由于局域网的链路较为简单, 不需要独立设置路由选择和流量控制功能, 如网络层中的分级寻址排序流量控制差错控制功能都可以放在数据链路层中实现因此, 局域网中可以不单独设置网络层当局限于一个局域网时, 物理层和数据链路层就能完成报文分组转接的功能但当涉及网络互联时, 报文分组就必需经过多条链路才能到达目的地, 此时就必须专门设置一个层次来完成网络层的功能, 在 IEEE802 标准中这一层被称为网际层在参考模型中, 每个实体和另一个系统的同等实体协议进行通信 ; 而一个系统中的上下层之间的通信, 则通过接口进行, 并用服务访问点 SAP(Server Access Point) 来定义接口, 为了对多个高层实体提供支持, 在 LLC 层的顶部有多个 LLC 服务访问点 (LSAP) LLC 子层中规定了无确认无连接有确认无连接, 面向连接三种类型的链路服务无确认无连接服务是一种数据报服务, 信息在 LLC 实体间交换时, 无需在同等层实体间事先建立逻辑链路 ; 面向连接服务提供访问点之间的虚电路服务, 在任何数据帧交换前, 一对 LLC 实体之间必须建立逻辑链路, 在数据传送过程中, 信息帧依次发送, 并提供差错恢复和流量控制功能

147 142 第 7 章局域网体系结构及应用 7.2 LLC 逻辑链路控制 LLC-PDU 与相邻层的 PDU 之间的关系 IEEE802 标准为 LLC 和 MAC 子层的帧格式作了详细的现定图 7-3 描述了网络层 PDU LLC 子层和 MAC 子层 PDU 的关系 LLC 帧 ( 即 LLC-PDU) 与媒体无关, 而 MAC 帧 ( 即 MAC-PDU) 则与局域网的媒体访问控制方式有很大的关系, 不同的局域网有不同的 MAC 帧格式如图 7-3 所示,LLC-PDU 与 HDLC 类似, 包含 4 个城 : 目的服务访问点 (DSAP) 源服务访问点 (SSAP) 控制域和信息域图 7-3 网络层 LLC 子层和 MAC 子层 PDU 的关系 DSAP 和 SSAP 是 LLC 所使用的地址, 用来标识接收和发送数据的计算机上的用户实体 DSAP 的第一个比特是用来指明帧是为单地址还是组地址,0 表示单地址,1 表示组地址与其他数据链路控制协议所不同的是, 局域网的数据链路层还具有多点通信 (Multicast) 和广播通信 (Broadcast) 的功能, 多点通信就其将帧发送给一组目的节点, 而广播通信是将帧发送所有节点 ( 除源节点外 ) SSAP 的第一个比特用来指明帧是命令还是响应帧 0 表示命令,1 表示响应 LLC 帧的类型也分为 3 种 : 信息帧监控帧和无编号帧, 图 7-4 表示 LLC3 类帧的控制字段的比较

148 7.2 LLC 逻辑链路控制位 7 位 1 位 7 位 0 N(S) R/F N(R) 信息帧 (I- 帧 ) 的控制字段 1 位 1 位 2 位 4 位 1 位 7 位 0 0 SS XX P/E N(R) XX: 保留地位监控帧 (S- 帧 ) 的控制字段 L L M M P/F M M M 无编号帧 (U- 帧 ) 的控制字段图 7-4 LLC 三类帧的控制字段帧的类型可以从控制字段识别对于信息帧和监控帧, 控制字段为 2 字节长, 格式和 HDLC 协议中其有扩展控制字段的帧结构一样而对无编号帧, 控制字段为 1 字节长, 格式和 HDLC 协议的无编号帧一样因此,LLC 帧按模 128 进行编号, 发送出而未被确认的帧的最大数目为 127 监控帧用于应答和流量控制, 共有 3 种形式的监控帧 : 1 接收就绪帧 (RR) 2 拒绝帧 (REJ) 3 接收未就绪帧 ( RNR) 它们的功能和 HDLC 通信协议相同, 与 HDLC 协议相比 LLC 无选择拒绝帧 LLC 帧无 CRC 差错校验,CRC 的在 MAC 子层中进行在 MAC 帧的帧尾中有 4 个字节的校验序列 FCS LLC 地址和 MAC 地址在 MAC 帧的帧首中, 有目的站地址和源站地址它们都是 2 字节成 6 字节长 MAC 帧中的地址是站点的物理地址在 LLC 帧中, 则设有 DSAP 和 SSAP, 该地址是逻辑地址, 表示的是数据链路层的不同访问服务点 LLC 地址与 MAC 地址是两个不同的概念, 在局域网中, 一个站点上的多个 SAP 可以复用一条数据链路在这一点上,LLC 子层带有 OSI 网络层的某些功能, 为了更好的理解这个问题, 可见图 7-5 设站点 A 中的一个进程 X, 要与站点 C 中的某个进程发送报文, 在 LLC 子层 X 把自己连接到 SAP1, 并请求与节点 C 的 SAP1 建立一个连接, 节点 C 若为一个简单打印机, 则可能只有一个 SAP, 于是节点 A 的数据链路层向局域网发出一个连接请求帧, 该帧另包含了源地址 (A 1), 目的地址 (C 1) 和其他一些控制信息, 源地址 (A 1) 中的 A 是物理地址, 出现在 MAC-PDU 中, 而 1 是逻辑地址, 其用来标示 SAP 的, 出现在 LCC-PDU 中同样, 目的地址 (B 1) 中的 B 是物理地址, 出现在 MAC-PDU, 而 1 是逻辑地址, 其用来标示 SAP 的, 出现在 LLC-PDU 中与此同时, 假定节点 A 有另一个过程 Y 和 (A 2) 连接上, 想和 (B 1) 交换数据,

149 144 第 7 章局域网体系结构及应用这时就又可建立一条连接同样的道理, 进程工作可以在 (B 2) 与 (A 3) 之间也建立一条链接, 从图 7-5 可以看出, 几个 SAP 可以复用一条链路图 7-5 LLC 子层所提供的服务 LLC 子层向上可提供以下 3 种服务 : 1 非确认的无连接服务非确认的无连接服务是一种类似于数据报的服务, 它不需要确认信息, 使用该服务时, 端对端的差错控制和流量控制由高层协议 ( 通常是传输层 ) 来实现这个服务可用于点对点广播和多点传送由于局域网的传输误码率极低, 所以在大多数情况下, 在数据链路层不需要确认信息是不会带来多大麻烦的 2 面向连接服务 LLC 面向连接服务相当于虚电路服务, 它的开销比较大, 每次通信都要经过建立连接数据传输和释放连接 3 个阶段但当节点是个很简单的终端时, 就需要面向连接服务因为这些简单的终端中没有复杂的高层软件, 因此必须依靠 LLC 来提供端到端的控制这种服务和 HDLC 提供的服务是一样的 3 确认的无连接服务确认的无连接服务介于上述两种服务之间, 它对数据帧提供应答信息, 但数据传输之前不需要进行逻辑连接确认的无连接服务用于传输某些非常重要且时间性很强的信息, 如报警信号, 这时不需确认信息则不可靠, 但先建立连接则延迟太大, 这种无连接服务类型类似于可靠的数据包服务 7.3 MAC 媒体访问控制载波侦听多路访问 (CSMA) 载波侦听多路访问 (CSMA) 的技术, 也叫做先听后说 (LBT), 希望传输数据的站点首先对媒体上有无载波进行监听, 以确定是否有别的站点在传输数据如果媒体空闲, 该站点便可以传输数据 ; 否则, 该站点将避让一段时间后再做尝试这就需要有一种退避算法来决定避让的时间, 常用的退避算法有非坚持和 1- 坚持 P- 坚持 3 种

150 7.3 MAC 媒体访问控制非坚持算法 1 如果媒体是空闲的, 则可以立即发送 2 如果媒体是忙的, 则等待一个由概率分布决定的随机重发延迟后, 再重复前一步骤采用随机的重发延迟时间可以减少冲突发生的可能性非坚持算法的缺点是即使有几个节点都有数据要发送但由于大家都在延迟等待过程中, 致使媒体仍可能处于空闲状态, 使用率降低 2.1- 坚持算法 ( 坚持型 ) 1 如果媒体空闲, 则可以立即发送 2 如果媒体是忙的, 则继续监听直至检测媒体是空闲的, 立即发送 3 如果有冲突 ( 在一段时间内未收到肯定的回复 ), 则等待一随机量的时间, 重复步骤 1~2 这种算法的优点是只要媒体空闲, 站点就立即可发送, 避免了媒体利用率的损失 ; 其缺点是假若有两个或两个以上的站点有数据要发送, 冲突就不可避免 3.P- 坚持算法 1 监听总线, 如果媒体是空闲, 则是以 P 的概率发送, 而以 (1-P) 的概率延迟一个时间单位一个时间单位通常等于最大传播时延的 2 倍 2 延迟一个时间单位后, 再重复步骤 1 3 如果媒体是忙的, 继续监听直至媒体空闲并重复步骤 1 P- 坚持算法是一种既能像非坚持算法那样减少冲突, 又能像 1- 坚持算法那样减少媒体空闲时间的折中方案问题在于如何选择 P 的有效值, 这要考虑到避免重负载下系统处于的不稳定状态假如媒体是忙时, 有 N 个站有数据等待发送, 一旦当前的发送完成时, 将要试图传输的站的总期望数为 NP 如果选择 P 过大, 使 NP>1, 表明有多个站点试图发送, 冲突就不可避免最坏的情况是, 随着冲突概率的不断增大, 而使吞吐量降低到零所以必须选择适当 P 值使 NP<1 当然 P 值选得过小, 则媒体利用率又会大大降低载波侦听多路访问 / 冲突检测 (CSMA/CD) 在 CSMA 中, 由于信道传播时延的存在, 即使总线上两个站点没有监听到载波信号而发送帧时, 仍可能会发生冲突由于 CSMA 算法没有冲突检测功能, 即使冲突已发生, 仍然将已破坏的帧发送完, 使总线的利用率降低一种 CSMA 的改进方案是使发送站传输过程中仍继续监听媒体, 以检测是否存在冲突如果发生冲突, 信道上可以检测到超过发送站点本身发送的载波信号的幅度, 由此判断出冲突的存在一旦检测到冲突, 就立即停止发送, 并向总线上发一串阻塞信号, 用以通知总线上其他有关站点这样, 信道容量就不致因白白传送已受损的帧而浪费, 可以提高总线的利用率这种方案称为载波监听多路访问 / 冲突检测协议, 简写为 CSMA/CD, 这种协议已广泛应用于以太局域网中 1.CSMA/CD 的思想 CSMA/CD 是一种用竞争的方法来决定对媒体访问权的协议, 这种竞争协议只适用于逻辑上属于总线拓扑结构的网络 CSMA/CD 是广播式局域网中最著名的媒体访问协议, 其全

151 146 第 7 章局域网体系结构及应用称是载波侦听多路访问 / 冲突检测 (1) 先听后说所谓载波侦听, 就是指通信设备在准备发信息之前, 侦听通信媒体是否有载波信号若有, 表示通信媒体当前被其他通信设备占用, 应该等待 ; 否则, 表示通信媒体当前处于空闲状态, 可以立即向其发送信息所谓多路访问, 意味着多个通信设备共享通信媒体由此可知,CSMA 是通信设备竞争使用通信媒体的方法, 其特点可简单地概括为先听后说 LBT(Listen Before Talk) (2) 边说边听采用 CSMA 方法分配通信媒体使用权, 有可能出现多个通信设备同时侦听媒体空闲而一起发送信息的情况这样, 通信媒体上必然会产生信息冲突 ( 碰撞 ) 冲突检测 (CD) 的思想是 : 通信设备在发送和传输信息的过程中侦听通信媒体, 如果发现通信媒体上出现冲突, 则立即停止信息的发送, 并向通信媒体上发送阻塞信息以加强冲突, 使正在发送信息的其他通信设备都能侦听到冲突, 尽快放弃发送工作然后, 继续等待一随机时间, 重复这一过程直到某一极限值 ( 一般为 16) 时, 放弃这项信息的发送其特点可概括为边发边听 2. 媒体忙 / 闲的侦听与冲突的检测技术在 CSMA/CD 中, 通过检测总线上的信号存在与否来实现载波监听发送站的收发器同时检测冲突, 如果发生冲突, 收发器上的电缆上的信号超过收发器本身发送的信号的幅度, 就判断出冲突, 由于在媒体上传播的信号会衰减, 为了正确地检测信号, 以太网限制电缆的最大长度为 500 m 3. 退避算法在 CSMA/CD 算法中, 一旦检测到冲突并发完阻塞信号后, 为了降低再次冲突的概率, 需要等待一个随机时间, 然后再使用 CSMA 方法试图传输为了保证这种退避操作维持稳定, 采用了一种称为二进制指数退避算法, 其规则如下 : 1 对每个数据帧, 当第一次发生冲突时, 设置一个参量 L=2 2 退避间隔选取 1 到 L 个时间片中的一个随机数,1 个小时间片等于两站之间的最大传输时延的两倍 3 当数据帧再次发生冲突, 由将参量 L 加倍 4 设置一个最大重传次数, 超过该次数, 则不再重传, 并报告出错二进制指数退避算法是按后进先出 LIFO(Last In First Out) 的次序控制的, 即未发生冲突或很少发生冲突的数据帧, 具有优先发送的概率 ; 而发生过多次冲突的数据帧, 发送成功的概率就更少 4. CSMA/CD 中的时延 CSMA/CD 所付出的代价是用于检测冲突所花费的时间对于基带总线而言, 最坏情况下, 用于检测一个冲突的时间等于任意两个站之间传播时延的两倍从一个站点开始发送数据到另一个站点开始接收数据, 也即载波信号从一端传播到另一端所需要的时间, 称为信号传播时延信号传播时延 (us)= 两站点的距离 (m)/ 信号传播速度 (200 m/us) 假定 A B 两个站点位于总线两端, 两站点之间的最大传播时延为 tp 当 A 站点发送数据后, 经过接近于最大传播时延 tp 后,B 站点正好也发送数据, 此时冲突便发生发生冲突后,B 站点立

152 7.3 MAC 媒体访问控制 147 即可检测到该冲突, 而 A 站点需再经过一份最大传播时延 tp 后, 才能检测出冲突也即最坏情况下, 对于基带 CSMA/CD 来说, 检测出一个冲突所花费的时间等于任意两个站之间最大传播时延的两倍 (2tp) 在 CSMA/CD 中, 浪费掉的带宽为检测冲突所花费的时间而在 CSMA 中, 浪费掉的是整个帧的传输时间, 检测冲突所需要的时间称为冲突检测窗口那么, 怎么估算所需的冲突检测时间呢? 对于基带总线而言, 用于检测冲突的时间等于任意两个站点之间最大的传播时延的两倍数据帧从一个站点开始发送, 则该数据帧发送完毕所需要的时间和为数据传输时延 ; 同理, 数据传输时延也表示一个接收站点开始接收数据帧到该数据帧接收完毕所需的时间数据传输时延 (S)= 数据帧长度 (bit)/ 数据传输速率 (bps) 若不考虑中继器引入的延迟, 数据帧从一个站点开始发送, 则该数据帧被另一个站点全部接收所需的总时间, 等于数据传输时延与信号传播时延之和由上述分析可知, 为了确保发送数据站点在传输时能检测到可能存在的冲突, 数据帧的传输时延至少要两倍于传播时延换句话说, 要求分组的长度不短于某个值, 否则在检测出冲突之前传输已结束, 但实际上分组已被冲突所破坏由此引出了 CSMA/CD 总线网络中最短帧长的概念, 在标准中, 这段时间取为 51.2 us, 对于 10 Mbps 速率的以太网, 这段时间可以发送 512 bit, 这样就得出以太网 M AC 帧的最短长度为 512 bit 即 64 字节, 在接收端凡长度不够 64 字节的帧就都认为是应丢弃的无效帧需要说明的是如果仅仅从以太网的最大容许长度 M 来计算, 并假定信号在电缆上的传输速率为 200 m/us, 则两倍的端到端的往返时延仅为 25 us 考虑到实际上还有许多因素影响到端到端的往返时延, 以及计算的方便性, 因此标准将长度达到最大值的以太网两倍往返时延取为 51.2 us 由于单向传输的原因, 对宽带总线而言, 冲突检测时间等于任意两个站之间最大传播时延的 4 倍所以, 对于宽带 CSMA/CD 来说, 要求数据帧的传输时延至少 4 倍于传播时延 IEEE802.3 就是采用二进制指数退避和 1- 坚持算法的 CSMA/CD 媒体访问控制方法这种方法在低负荷时, 如媒体空闲时, 要发送数据帧的站点能立即发送 ; 在重负荷时, 仍能保证系统的稳定性由于在媒体上传播的信号会衰减, 为确保能检测出冲突信号,CSMA/CD 总线网限制一段无分支电缆的最大长度为 500 m, 最多能够中继 4 次, 网络的最大容许长度 M MAC 子层的标准还规定了帧间最小间隔为 9.6 us, 相当于 96 bit 的发送时间这就是说, 一个站在检测到总线开始空闲后, 还要等待 9.6 us 才能发送数据这样做的目的是为了使刚刚收到数据帧的站的接收缓冲存储器能来得及清理做好接收下一帧的准备载波侦听多路访问 / 冲突避免 (CSMA/CA) CSMA/CA 是指载波侦听多路访问 / 冲突避免, 也是一种用于广播局域网的媒体访问方法是标准时分多路复用技术与 CSMA/CD 相结合的产物, 是一种有限竞争方法或预约与竞争相结合的方法 CSMA/CA 将通信媒体时间分成较小的等长时间片, 并将网络中所有设备按照顺序排成一个逻辑环时间被依次轮流分配给逻辑环中的各通信设备某通信设备获得时间片后, 若有信息要发送, 则立即发送, 若无信息发送, 则让通信媒体空闲若逻辑环上的所有设备站在获得时间片后, 均无信息发送, 那么网络转换成 CSMA/CD 方式, 一旦通信媒体被某个通信设备占用, 网络又恢复到时分多路复用方式, 如图 7-6 所示

153 148 第 7 章局域网体系结构及应用图 7-6 冲突示意图以太网的分类 1. 标准以太网最开始以太网只有 10 Mbps 的吞吐量, 它所使用的是 CSMA/CD 媒体访问控制方式通常把这种最早期的 10 Mbps 以太网称为标准以太网标准以太网主要有两种传输媒体, 那就是双绞线和同轴电缆, 所有以太网都遵循 IEEE802.3 标准下面列出是 IEEE802.3 的一些以太网络标准, 在这些标准中前面的数字表示传输速度, 单位是 Mbps 最后的一个数字表示单位网线长度 ( 基准单位是 100 m), Base 表示基带传输,Broad 表示带宽 10Base-5 使用粗同轴电缆, 最大网段长度为 500 m, 基带传输方法 10Base-2 使用细同轴电缆, 最大网段长度为 185 m, 基带传输方法 10Base-T 使用双绞线电缆, 最大网段长度为 100 m 1Base-5 使用双绞线电缆, 最大网段长度为 500 m, 传输速度为 1Mbps 10Broad-36 使用双绞线电缆 (RG-59/U CATV), 最大网段长度为 m, 是一种宽带传输方式 10Base-F 使用光纤传输媒体, 传输速率为 10 Mbps 2. 快速以太网 ( Fast Ethernet ) 随着网络的发展, 标准以太网难以满足人们日益增长的网络带宽的需求使用光纤分布式数据接口 ( FDDI) 是提高网络传输速度的一种选择 FDDI 是价格比较昂贵的基于 100 Mbps 光缆的 LAN 1993 年 10 月,Grand Junction 公司推出了世界上第一台快速以太网集线器, Fast Switch 10/100 和网络接口卡 Fast NIC100, 快速以太网技术正式得以应用随后 Intel

154 7.3 MAC 媒体访问控制 149 Syn Optics 3Com Bay Networks 等公司亦相继推出自己的快速以太网装置, 与此同时, IEEE802 工程组, 也对 100 Mbps 以太网的各种标准如 100BASE-TX 100BASE-T4 中继器全双工等标准进行了研究 1995 年 2 月 IEEE 宣布了 IEEE802.3u 100BASE-T 快速以太网标准, 快速以太网仍采用基于载波侦听多路访问 / 冲突检测 (CSMA/CD) 媒体访问技术 100 Mbps 快速以太网标准又分为 100BASE-TX 100BASE-FX 100BASE-T4 三个子类 1100BASE-TX: 是一种使用 5 类屏蔽双绞线或非屏蔽双绞线的快速以太网技术它使用两对双绞线, 一对用于发送, 一对用于接收数据在传输中使用 4B/5B 编码方式, 信号频率为 125 MHz 符合 EIA586 的 5 类布线标准和 IBM 的 SPT1 类布线标准, 使用同 10BASE-T 相同的 RJ-45 连接器它的最大网段长度为 100 m, 支持全双工数据传输 2100BASE-FX: 是一种使用光缆的快速以太网技术可使用单模和多模光纤, 多模光纤连接的最大距离为 550 m, 单模光纤连接的最大距离为 m 在传输中使用 4B/5B 编码方式, 信号频率为 125 MHz, 它使用 MIC/FDDI 连接器,ST 连接器或 SC 连接器 3100BASE-T4: 是一种可使用 3,4,5 类非屏蔽双绞线或屏蔽双绞线的快速以太网技术它使用 4 对双绞线,3 对用于传送数据,1 对用于检测冲突信号, 在传输中使用 8B/6T 编码方式信号频率为 25 MHz, 符合 EIA586 结构化布线标准它使用与 10BASE-T 相同的 RJ-45 连接器, 最大网段长度为 100 m 3. 千兆以太网随着以太网的高速发展, 用户对网络连接速度要求越来越高 1995 年 11 月 IEEE802.3 工作组委任了一个高速研究组 ( Higher Speed Study Group), 研究将快速以太网速度增至更高, 该研究组研究了将快速以太网增至 Mbps 的可行性及方法随后 IEEE802.3 工作组成立了 802.3z 工作委员会 IEEE802.3z 委员会的目的是建立千兆位以太网标准 : 包括在 Mbps 通信速率的情况下的全双工和半双工操作以太网帧格式载波侦听多路访问和冲突检测 (CSMA/CD) 技术在一个冲突域中支持一个中继器 (Repeater) 10BASE-T 和 100BASE-T 向下兼容等技术千兆位以太网具有以太网的易移植, 易管理特性千兆以太网目前有以下 3 种技术版本 :1000BASE-SX 1000BASE-LX 1000BASE-CX 版本 1000BASE-SX 支持多模光纤,1000BASE-LX 可以支持多模光纤和单模光纤, 1000BASE-CX 媒体是使用短距离铜缆 G 以太网 10 Gbps 的以太网标准已经由 IEEE802.3 工作组于 2000 年正式制定 10 G 以太网仍使用与以往 10 Mbps 和 100 Mbps 以太网相同的形式它允许直接升级到高速网络, 同样使用标准的帧格式, 全双工业务和流量控制方式, 在半双工控制方式下,10 G 以太网使用基本的 CSMA/CD 访问方式来解决共享媒体的冲突问题此外,10 G 以太网使用由 IEEE802.3 小组定义了和以太网相同的管理对象以太网的 MAC 帧格式媒体访问控制技术是以太网技术的核心, 以太网不提供任何确认收到帧的应答机制, 确认机制必须在高层完成, 以太网的 MAC 帧具有 7 个域 : 前导码 SFD DA SA LLC-PDU 的长度 / 类型 LLC-PDU CRC 以太网的 MAC 帧结构如图 7-7 所示

155 150 第 7 章局域网体系结构及应用前导码帧首定界符目的地址类型 / 长度源地址 (SA) (SFD) (DA) (Type/LEN) 数据帧校验序列 FCS ~ 图 7-7 以太网的 MAC 帧结构 1 前导码 : 这是以太网的 MAC 帧的第一个域, 包含了 7 个字节的二进制 1 和 0 间隔的代码, 即共 56 位, 提示接收方一个数据帧即将到来, 同时使接收系统建立起同步时钟, 因为在使用曼彻斯特编码时, 这种 1 0 间隔的传输波形为一个周期性方波 2 帧首定界符 (SFD): 帧首定界符标记了帧的开始, 它是一个字节的二进制序列,SFD 通知接收方后面所有内容都是数据, 以便接收方对数据帧进行定位 3 目的地址 :DA 域为 6 个字节, 标记了数据帧下一个站点的物理地址一个系统的物理地址通常是它的网络接口卡 (NIC) 上的 MAC 地址, 每个 NIC 都有一个独一无二的 MAC 地址如果数据包的目的地址必须从一个 LAN 穿越到另一个 LAN, 那么 DA 域所包含的是连接当前 LAN 和下一个 LAN 的路由器地址, 当数据包到达目的网络后,DA 转换成目的站点的地址 4 源地址 (SA):SA 域也是 6 个字节, 它包含了最后一个转发此帧的设备的物理地址, 该地址可以是发送此数据帧的站点, 也可以是最近接收和转发此数据帧的路由器 MAC 子层有两类地址 : 即单个地址和组地址单个地址说明该地址与网络中一个特定站点的关, 而组地址说明是多目的地址, 它与给定网络上的多个或所有站点有关, 可以是广播地址或组地址如果地址域中的所有位都是 1, 则该地址是一个广播地址 5 长度 / 类型 : 源地址下面两个字节有两种含义, 可能是 LLC-PDU 长度字段, 也可能是类型字段对于 IEEE802.3 帧来说, 由于它的高层协议是 LLC, 因此以太网 DATA 字段中是 LLC-PDU 这时的长度 / 类型字段表示 LLC-PUD 的数据长度, 范围是字节如果 LLC-PDU 小于 46 字节, 则发送站的 MAC 子层自动填 0 而以太网的 DATA 段中直接是网络层分组, 那么这个域被用来表示类型为了区分该字段是类型还是长度解决的办法是利用规定的最大帧长度 1518 个字节, 做法是将 1536(0600H) 作为界限, 如果该字段的值小于 0600H 则是长度标志, 否则是类型标志例如, 如果 DATA 是 IP 分组数据, 该字段的值是 0800H, 表示上层使用的是 TCP/IP 协议 ; 若该字段的值是 8 137H, 则表示该帧是由 NOVELL NETWARE 工作站发出的, 遵循的是 IPX 协议反之若该字段小于 0600H(15360D), 表示 DATA 数据的长度 6 数据 : 它的范围是在 46~1 500 字节之间 46 字节是以太网 MAC 帧的最小帧长度如果高层协议的数据分组小于 46 字节, 由软件填充到 46 字节 DATA 的最大值是字节 7 帧校验序列 :MAC 帧的最后一个域是帧校验序列, 以太网采用 32 位冗余校验 (CRC) 校验范围是除了前导码 SFD 和 FCS 的所有内容综上所述,802.3 标准规定凡出现下列情况之一的即视为无效的 MAC 帧 : 1MAC 客户数据字段的长度与长度字段的标示值不一致 2 帧的长度不是整数个字节 3 用收到的帧校验序列 FCS 查出有差错 4 收到的帧的 MAC 客户数据字段长度不在 46~1500 字节之间

156 7.4 局域网互联设备和技术 151 对于检查出的无效 MAC 帧就简单地丢弃, 以太网不负责重传丢弃的帧 7.4 局域网互联设备和技术局域网互联技术的发展, 拓展了 LAN 的地理范围, 丰富了 LAN 资源所谓局域网互联就是指 LAN 之间 LAN 和 WAN 之间的连接网络互联时, 一般要通过中间设备相联, 常用的网络互联设备有中继器集线器网桥交换机和路由器, 等等本节将对局域网互联的一些常用设备加以介绍集线器集线器又常称为 HUB, 集成器的主要功能是对接收到的信号进行再生整形放大, 以扩大网络的传输距离, 同时把所有节点集中在以它为中心的节点上集线器是中继器的一种, 其区别仅在于集线器能够提供更多的端口服务, 所以集线器又叫多端口中继器集线器主要是以优化网络布线结构, 简化网络管理为目标而设计的常见到的集线器基本形状如图 7-8 所示, 其外部结构比较简单图 7-8 集线器 1. 集线器的基本工作原理我们知道在总线及环形网络中只存在一个物理传输通道, 都是通过一条传输媒体来传输的, 这样就存在各节点争抢物理信道的矛盾, 传输效率较低引入集线器这一网络集线设备后, 每一个站是用它专用的传输媒体连接到集线器的, 各节点间不再只有一个传输通道, 各节点收发的信号通过集线器集中, 集线器再把信号整形放大后发送到所有节点上, 这样至少在上行通道上不再出现碰撞现象但基于集线器的网络仍然是一个共享媒体的局城网, 这里的共享其实就是集线器内部总线, 所以当上行通道与下行通道同时发送数据时, 仍然会存在信号碰撞现象当集线器从其内部端口检测到碰撞时, 产生碰撞强化信号 (Jam) 向集线器所连接的目标端口进行传送, 这时所有数据都将不能发送成功正因为集线器的这一不足之处, 所以它不能单独应用于较大的网络中, 就像在大城市中心不能用单车道一样, 因为网络越大, 出现网络碰撞现象的机会就越大也正如此, 集线器的数据传输效率是比较低的, 因为它在同一时刻只能有一个方向的数据传输, 也就是所谓的单工方式集线器除了共享带宽这一不足之处外, 还有在选择集线器时必须要考虑到它的广播方式因为集线器属于纯硬件网络底层设备, 基本上不具有智能记忆的能力, 更别说学习功能了, 它也不具备交换机所具有的 MAC 地址表, 所以发送数据时都是没有针对性的, 而是采用广播方式发送也就是说当要向某点发送数据时, 不是直接把数据发送到目的节点, 而是把数据包发送到与集线器相连的所有节点, 如图 7-9 所示

157 152 第 7 章局域网体系结构及应用图 7-9 集线器工作方式示意图这种广播发送数据方式有两个方面的不足 : 1 用户数据包向所有节点发送, 很可能带来数据通信的不安全因素, 一些别有用心的人很容易就能非法截获他人的数据包 2 由于所有数据包都是向所有节点同时发送, 加上以上所介绍的共享带宽方式, 就更加可能造成网络塞车现象, 更加降低了网络执行效率 2. 集线器的优缺点使用集线器的优点是当网络系统中某条线路或某节点出现故障, 不会影响网上其他节点的正常工作, 这就是集线器刚推出时与传统的总线网络的最大区别和优点, 因为它提供了多通道通信, 大大提高了网络通信速度然后随着网络技术的发展, 集线器的缺点越来越突出迅速推广使用的一种技术先进的数据交换设备交换机逐渐取代了部分集线器的高端应用集线器的主要不足体现在以下几个方面 : (1) 用户带宽共享, 带宽受限集线器的每一个端口并没有独立带宽, 而是所有端口共享总的背板带宽, 用户带宽较窄, 且随着集线器所接用户的增多, 用户的平均带宽不断减少, 不能满足当今许多对网络带宽有严格要求的网络应用, 如多媒体流媒体应用等环境 (2) 广播方式, 易造成网络风暴集线器是一个共享设备, 它的主要功能只是一个信号放大和中转的设备, 不具有自动寻址能力, 即不具备交换作用, 所有传到集线器的数据均被广播到与之相连的各个端口, 容易形成网络风暴, 造成网络堵塞 (3) 非双工传输, 网络通信效率降低集线器的同一时刻每一个端口只能进行一个方向的数据通信, 而不能像交换机那样进行双向双工传输, 网络执行效率低, 不能满足较大型网络通信需求正因为如此, 尽管集线器技术也在不断改进, 但实质上就是加入了一些交换机技术目前, 集线器与交换机的区别越来越模糊了, 随着交换机价格的不断下降, 集线器仅有的价格优势已不再明显, 集线器的市场越来越小, 处于淘汰的边缘交换机 1. 交换机基础集线器作为第一类广泛应用的网络集线设备, 当时在各大局域网中应用非常广泛但随着网络传输媒体类型的日益丰富, 图形图像及各种流媒体等多媒体内容的出现, 人们对于

158 7.4 局域网互联设备和技术 153 较高网络数据传输速度和传输性能的要求日益提高集线器由于它的共享媒体传输, 单工数据操作和广播数据发送方式等都先天决定了很难满足用户上述速度和性能要求, 在全球各大设备开发商的努力下, 一种更新, 更实用的集线器设备交换机出现了, 交换机完全克服了集线器的上述种种不足之处, 所以在短时间内得到业界广泛的认可和应用交换技术也得到了飞速发展, 数据传输速度的发展也是一日千里目前最快的以太网交换机端口可达到 100 Gbps, 千兆 (G 位 ) 级的交换机在各企业骨干上网络中已得到广泛应用交换机的英文名称为 Switch, 它是集线器的升级换代产品, 从外观上来看的话, 它与集成线器基本上没有多大的区别, 都是带有多个端口的长方形盒状体, 交换是按照通信两端传输信息的需要, 用人工或设备自动完成的方法把要传输的信息送到符合要求的相应路由上的技术统称广义的交换机就是一种在通信系统中完成信息交换功能的设备在计算机网络系统中, 交换概念的提出是相对于共享工作模式的改进我们知道集线器 HUB 是一种共享媒体的网络设备, 而且 HUB 本身不能识别目的地址, 是采用广播方式向所有节点发送, 即当同一局域网内的 A 主机给 B 主机传输数据时, 数据包在以 HUB 为架构的网络上是以广播方式传输的, 对网络上所有节点同时发送同一信息, 然后再由每台终端通过验证数据包头的地址信息来确定是否接收在这种方式下我们知道很容易造成网络堵塞, 因为其实接收数据的一般来说只有一个终端节点, 而现在对所有节点都发送, 那么绝大部分数据流量是无效的, 这样就造成整个网络数据传输效率相当低, 另一方面由于所发送的数据包每一个节点都能侦听到, 显然就不会很安全了, 容易出现一些不安全因素交换机拥有一条很高带宽的背部总线和内部交换矩阵, 交换机的所有端口都挂在这条背部总线上控制电路收到数据包以后, 处理端口会查找内存中的 MAC 地址 ( 网卡的硬件地址 ) 对照以确定目的 MAC 的 NIC( 网卡 ) 挂接在哪个端口上, 通过内部交换机直接将数据包迅速传送到目的节点, 而不是所有节点目的 MAC 若不存在才广播到所有的端口这种方式我们可以明显地看出一方面效率提高, 不会浪费网络资源, 只是对目的地址发送数据, 一般来说不易产生网络堵塞 ; 另一方面数据传输安全, 因为它不是向所有节点都同时发送, 发送数据时其他站很难侦听到所发送的信息这也是交换机为什么会很快取代集线器的重要原因之一交换机还有一个重要特点就是它不是像集线器一样每个端口共享带宽, 它的每一端口都是独享交换机的一部分总带宽, 这样在速率上对于每一端口来说有了根本的保障另外, 使用交换机也可以把网络分段, 通过对照地址表, 交换机只允许必要的网络流量通过交换机, 这就是后面将要介绍的 VLAN( 虚拟局域网 ), 通过交换机的过滤和转发, 可以有效的隔离广播风暴, 减少误包和错包的出现, 避免共享冲突这样交换机就可以在同一时刻进行多个节点对之间的数据传输, 每一个节点对都可以视为独立的网段, 连接在其上的网络设备独自享有固定的一部分带宽, 无须同其他设备竞争使用如当点 A 向节点 D 发送数据时, 节点 B 向节点 C 发送数据, 而且这两个传输都享有独立带宽, 都有着自己的虚拟连接打个比方就是, 如果现在使用的是 10 Mbps 8 端口以太网交换机, 因每个端口都可以同时工作, 所以在数据流量较大时, 那它的总流量可以达到 8 10 Mbps=80 Mbps, 而使用 10 Mbps 的共享式 HUB, 因为它属于共享带宽式, 所以同一时刻只能允许一个端口进行通信, 那数据流量再忙 HUB 的总流通量也不会超出 10 Mbps 如果是 16 端口 24 端口的更是明显了! 交换机的主要功能包括物理编址网络拓扑结构错误校验帧序列以及流量控制等目前一些高档交换机还具有了一些新的功能, 如对 VLAN( 虚拟局域网 ) 的支持, 对链路汇聚的支持, 甚至有的还具有路由和防火墙的部分功能交换机除了能够连接同种类型的网络之外, 还可以在不同的网络 ( 如以太网和快速以太网 ) 之间起到互联作用如今许多交换机都能够提供支持快速以太网或 FDDI 等高速连接端口,

159 154 第 7 章局域网体系结构及应用用于连接网络中的其他交换机或者为带宽占用量大的关键服务器提供附加带宽一般来说, 交换机的每一个端口都用来连接一个独立的网段, 但是有时为了提供更快的接入速度, 我们可以把一些重要的网络计算机, 直接连到交换机的端口上这样, 网络的关键服务器和重要用户就拥有更快的接入速度, 支持更大的信息流量总之交换机是一种基于 MAC 地址识别, 能完成封装转发数据包功能的网络设备交换机对于因第一次发送到目的地址不成功的数据包会再次对所有节点同时传送, 企图找到这个目的的 MAC 地址, 找到后就会把这个地址重新加入到自己的 MAC 地址列表中, 这样下次再发送到这个节点时就不会出错交换机的这种功能就称之为 MAC 地址学习功能 2. 交换机和集线器的区别交换机和集线器的区别主要体现在以下几个方面 : (1) 在 OSI/RM 中的工作层次不同交换机和集线器在 OSI/RM 开放体系模型中对应的层次就不一样, 集线器是同时工作在第一层 ( 物理层 ) 和第二层 ( 数据链路层 ), 而交换机至少是工作在第二层, 更高级的交换机可以工作在第三层 ( 网络层 ) 和第四层 ( 传输层 ) (2) 交换机的数据传输方式不同集线器的数据传输方式是广播 (Broadcast) 方式, 而交换机的数据传输是有目的的, 数据只对目的节点发送, 只是在自已的 MAC 地址表中找不到的情况下, 第一次使用广播方式发送, 然后因为交换机具有 MAC 地址学习功能, 第二次以后就不再是广播发送了, 这样的好处是数据传输效率提高, 不会出现广播风暴, 在安全性方面也不会出现其他节点侦听的现象具体在前面已作分析, 在此不再赘述 (3) 带宽占用方式不同在带宽占用方面, 集线器所有端口是共享集线器的总带宽, 而交换机的每个端口都具有自己的带宽, 这样交换机实际上每个端口的带宽比集线器端口可用带宽要高许多, 也就决定了交换机的传输速度比集线器要快许多 (4) 传输模式不同集线器只能采用半双工方式进行传输, 因为集线器是共享传输媒体的, 这样在上行通道上集线器一次只能传输一个任务, 要么是接收数据, 要么是发送数据而交换机则不一样, 它是采用全双工方式来传输数据, 因此在同一时刻可以同时进行数据的接收和发送, 这不但令数据的传输速度大大加快, 而且在整个系统的吞吐量方面交换机比集线器至少要快一倍以上, 因为它可以接收和发送同时进行, 实际上还远不止一倍, 因为端口带宽一般来说交换机比集线器也要宽许多倍 3. 交换机的工作原理从外型上看交换机和集线器非常相似, 而且都遵循 IEEE802.3 及其扩展标准, 媒体访问方法也均为 CSMA/CD, 但是它们的工作原理上还是有着根本的区别简单地说, 由交换机构建的网络称之为交换式网络, 每个端口都能独享带宽, 所有端口都能够同时进行通讯, 并且能够在全双工模式下提供双倍的传输速率而集线器构建的网络称之为共享式网络, 在同一时刻只能有两个端口 ( 接收数据的端口和发送数据的端口 ) 进行通讯, 所有的端口分享固有的带宽

160 7.4 局域网互联设备和技术 155 (1) 共享与交换数据传输技术要明白交换机的优点, 我们首先就必须明白交换机的基本工作原理, 而交换机的工作原理其实最根本的是要理解共享 (Share) 和交换 (Switch) 这两个概念集线器是采用共享方式进行数据传输的, 而我们这里要讲的交换机工作原理则是采用交换方式进行数据传输的我们可以把共享和交换理解成公路共享方式就是来回车辆共用一个车道的单车道公路, 而交换方式则是来回车辆各用一个车道的双车道公路, 共享和交换这两种数据传输方式有示意图分别如图 7-10 左右图所示从我们平常生活中就可感觉到这两种方式的不同之处, 明显可以感受到双车道的交换方式优越性, 因为双车道来回的车辆可以在不同的车道上单独行走, 一般来说如果不出现意外是不可能出现大塞车现象, 而单车道就像我们过单车道的桥一样, 来回的车辆每次只能允许一个方向的车辆经过这个桥, 这样就很容易出现塞车现象图 7-10 共享与交换数据传输示意图交换机进行数据交换的原理就是在这样在背景下产生, 它解决了集线器那种共享单车道容易出现塞车现象在交换技术上把这种独享道宽 ( 网络上称之为带宽 ) 情况称之为交换, 这种网络环境称为交换网络, 交换式网络必须采用交换机 (Switch) 来实现从图 7-10 右图可以知道交换式网络可以是全双工 (Full Duplex) 状态, 即可以同时接收和发送数据, 数据流是双向的而集结器的共享方式的网络就称之为共享式网络, 共享式网络采用集线器 ( 集线器 ) 作为网络连接设备显然, 共享网络的效率非常低, 在任意时刻只能有一个方向的数据流, 即处于半双工 (Half Duplex) 模式另一个方面, 由于单车道共享方式中来回车辆共用一个车道, 也就是每次只能过一个方向的车, 这样车辆一多, 速度肯定会降下来, 效率也就跟着下降共享式网络的通信也与共享车道情况类似, 它的效率在数据流量大的时候也肯定会降低, 因为同一时刻只能进行单一数据传输任务还可能造成数据碰撞现象, 就像我们在单车道上经常看到撞车现象一样, 因为车流量一大, 就很难保证每个车辆的司机都那么遵守交通规则, 容易出现数据碰撞争抢车道现象而交换式的数据交换方式出现这种情况就少许多, 因为各自都有自己的信道, 各行其道基本上是不太可能发生争抢信道的现象但也有例外, 那就是数据流量增大, 而网络速度和带宽没得到保证时才会在同一信道上出现碰撞现象, 就像我们在双车道或多车道也可能发生撞车现象一样解决这一现象的方法有两种, 一种是增加车道, 另一种方法就是提高车速, 很显然, 增加车道这一方法是最基本的, 但它不是最终的方法, 因为车道的数量肯定有限, 如果所有车辆的速度上不去, 那还是会效率低的, 对于一些心急的司机来说还是会撞车的第二种方法是一种比较好的方法, 提速有助于车辆正常有序地快速流动, 这就是为什么

161 156 第 7 章局域网体系结构及应用高速公路反而出现撞车的现象比普通公路上少许多的原因计算机网络也一样, 虽然我们的交换机能提供全双工方式进行数据传输, 但是如果网络带宽不宽, 速度不快, 每传输一个数据包都有要花费大量的时间, 信道再多也无济于事, 网络传输的效率还是高不起来的, 况且网络上的信道也是非常有限的, 这要决定于带宽目前最快的以太网交换机带宽可达到 100 Gbps (2) 数据传递的方式通过前面的学习我们已经知道集线器的数据包传输方式是广播方式, 如图 7-9 所示由于集线器中只能同时存在一个广播, 所以同一时刻只能有 1 个数据包在传输, 信道的利用率较低而对于交换机而言, 它能够认识连接到自已身上的每一台电脑, 凭什么认识呢? 就是凭每块网卡物理地址, 俗称 MAC 地址交换机还具有 MAC 地址学习功能, 它会把连接到自已身上的 MAC 地址记住, 形成一个节点与 MAC 地址对应表凭这样一张表, 它就不必再进行广播了, 从一个端口发过来的数据, 其中会含有目的地的 MAC 地址, 交换机在保存在自已缓存中的 MAC 地址表里寻找与这个数据包中包含的目的 MAC 地址对应的节点, 找到以后, 便在这两个节点间架起了一条临时性的专用数据传输通道, 这两个节点便可以不受干扰地进行通信了要注意交换机档次越低, 交换机的缓存就越小, 也就是说为保存 MAC 地址所准备的空间也就越小, 对应的就是它能记住的 MAC 地址数就越少通常一台交换机都具有 1024 个 MAC 地址记忆空间, 都能满足实际需求从上面的分析来看我们知道交换机所进行的数据传递是有明确的方向的而不是乱传递, 而不是集线器的广播方式, 这种传递示意图如图 7-11 所示同时由于交换机可以进行全双工传输, 所以交换机可以同时在多对节点之间建立临时专用通道, 形成了立体交叉的数据传输通道结构图 7-11 交换机的工作方式交换机的数据传递工作原理可以简单地这样来说明 : 当交换机从某一节点收到一个以太网帧后, 将立即在其内存中的地址表 ( 端口号 -MAC 地址 ) 进行查找, 以确认该目的 MAC 的网卡连接在哪一个节点上, 然后将该帧发至该节点如果在地址表中没有找到该 MAC 地址, 也就是说, 该目的 MAC 地址是首次出现, 交换机就将数据包广播到所有节点拥有该 MAC 地址的网卡在接收到该广播帧后, 将立即做出应答, 从而使交换机将其节点的 MAC 地址添加到 MAC 地址表中接言之, 当交换机从某一节点收到一个帧时 ( 广播帧除外 ), 将对地址表执行两个动作, 一是检查该帧的源 MAC 地址是否已在地址表中, 如果没有, 则将该 MAC 地址添加到地址表中, 这样以后就知道该 MAC 地址在哪一个节点 ; 二是检查该帧的目的 MAC 地址是否已在地址表中, 如果该 MAC 地址已在地址表中, 则将帧发送到对应的节点即可, 而不必像集线器那样将该帧发送到所有节点, 只需将该帧发送到对应节点, 从而使那些既非源节点又非目的节点的节点间仍然可以进行相互间

162 7.4 局域网互联设备和技术 157 通信, 从而提高了比集线器更高的传输速率如果该 MAC 地址不在地址表中, 则将该帧发送到所有其他节点 ( 源节点除外 ), 相当于该帧是一个广播帧讲到这里我们要明白一个事实, 那就是交换机在刚买回来不可能知道用户所在网络中各节点的地址, 也就是说在交换机刚刚打开电源时, 其 MAC 地址表是一片空白那么, 交换机的地址表是怎样建立起来的呢? 交换机根据以太网帧中的源 MAC 地址来更新地址表当一台计算机打开电源后, 安装在该系统中的网卡会定期发出空闲包或信号, 交换机即可据此得知它的存在以及其 MAC 地址, 这就是所谓自动地址学习由于交换机能够自动根据收到的以太网帧中的源 MAC 地址更新地址表的内容, 所以交换机使用的时间越长, 学到的 MAC 地址就越多, 未知的 MAC 地址就越少, 因而广播的包括就越少, 速度就越快那么, 交换机是否永久地记住所有的端口号 (MAC 地址 ) 关系呢? 不是的由于交换机中的内存毕竟有限, 因此, 能够记忆的 MAC 地址数量也是有限的既然不能无休止地记忆所有的 MAC 地址, 那么就必须赋予其相应的忘却机制, 从而吐故纳新事实上, 工程师为交换机设定了一个自动老化时间 (Auto-aging), 若某 MAC 地址在一定时间内 ( 默认为 300 s) 不再出现, 那么交换机将自动把该 MAC 地址从地址表中清除当下一次该 MAC 地址重新出现时, 将会被当作新地址处理综上所述, 交换机作为当前局域网的主要连接设备, 与集线器相比具有许多明显的优点, 目前正有全面取代集线器之势, 随着交换技术的不断发展, 以太网交换机的价格急剧下降, 交换到桌面已是大势所趋如果网络上拥有大量的用户繁忙的应用程序和各式各样的服务器, 而且用户还未对网络结构做出任何调整, 那么整个网络的性能可能会非常低最为有效的解决方法就是用交换机替代原来的集线器 4. 交换机的分类由于交换机所具有许多优越性, 所以它的应用和发展速度远远高于集线器, 出现了各种类型的交换机, 主要是为了满足各种不同应用环境需求 (1) 广域网交换机广域网交换机主要是应用于电信城域网互联互联网接入等领域的广域网中, 提供通信的基础平台 (2) 局域网交换机这种交换机就是我们常见的交换机了, 也是我们学习的重点局域网交换机应用于局域网络, 用于连接终端设备, 如服务器工作站集线器路由器网络打印机等网络设备, 提供高速独立通信通道路由器概述 Internet 是由众多分离的网络连接起来的互联网络, 将逻辑上分开的网络互联在一起的连接设备称为路由器路由器能将不同网络或网段之间的数据信息进行翻译, 以使它们能够相互读懂对方的数据, 从而构成一个更大的网络它具有判断网络地址和选择路由的功能, 与前面所介绍的集线器和交换机不同, 它不是应用于同一网段的设备, 而是应用于不同网段或不同网络之间的设备, 是网络层设备路由器之所以能在不同网络之间起到翻译的作用是因为它不再是一个纯硬件设备, 而是具有相当丰富路由协议软硬结构设备, 如 RIP 协议 OSPF 协议 EIGRP IPV6 协议等这些路由协议就是用来实现不同网段或网络之间的相互理解路由器具有两大典型功能, 即数据通道功能和控制功能数据通道功能包括转发决定

163 158 第 7 章局域网体系结构及应用背板转发以及输出链路调度等, 一般由特定的硬件来完成 ; 控制功能一般用软件来实现, 包括与相邻路由器之间的信息交换系统配置系统管理等路由器具有判断网络地址和选择路径的功能, 它能在多网络互联环境中, 建立灵活的连接, 可用完全不同的数据分组和媒体访问方法连接各种子网路由器只接受源站或其他路由器的信息, 属网络层的一种互联设备, 它不关心各子网使用的硬件设备, 但要求运行与网络层协议相一致的软件路由器分为本地路由器和远程路由器, 本地路由器是直接通过诸如光纤同轴电缆双绞线等传输媒体连接的 ; 远程路由器不通过以上传输媒体直接连接, 而是通过其他网络, 如电话网有线电视网等公用网进行远程连接的在局域网接入广域的众多方式中, 通过路由器接入互联网是最为普遍的方式使用路由器的最大优点是各互联子网仍保持各自独立, 每个子网可以采用不同的拓扑结构传输媒体和网络协议, 网络结构层次分明, 有的路由器还具有 VLAN 管理功能通过路由器与互联网相联, 则可完全屏敝公司内部网络, 起到一个防火墙的作用, 因此使用路由器上网还可确保内部网的安全路由器系统构成了基于 TCP/IP 的 Internet 的骨架随着 Internet 和企业网络的不断普及, 路由器被广泛的使用路由器的主要工作就是为经过路由器的每个数据包寻找一条最佳传输路径, 并将该数据包有效地传送到目的站点由此可见, 选择最佳的路径的策略即路由算法是路由器的关键所在为了完成这项工作, 在路由器中保存着各种传输路径的相关数据路由表 (Routing Table), 供路由选择时使用路由表中保存着子网的标志信息, 网上路由器的个数和下一个路由器的名字等内容路由表可以是由系统管理员固定设置好的也可以由系统动态修改, 可以由路由器自动调整, 也可以由主机控制在路由器中涉及到两个概念, 那就是静态路由和动态路由, 静态 (Static) 路由表, 一般是系统安装时就根据网络的配置情况预先设定的, 它不会随未来网络结构的改变而改变动态 (Dynamic) 路由表是路由器根据网络系统的运行情况自动调整的路由表路由器根据路由选择协议 (Routing Protocol) 提供的功能, 自动学习和记忆网络运行情况, 在需要时自动计算数据传输的最佳路径 1. 路由器的主要功能路由器的主要功能就是路由和交换路由器的路由功能可以分为以下几个方面 : 1 在网络间接接收节点发来的数据包, 然后根据数据包的源地址和目的地址, 对照自己缓存中的路由表, 把数据包直接转发到目的节点, 这是路由器的最主要也是最基本的路由作用如果有几个网络通过各自的路由器联在一起, 一个网络中的用户要向另一个网络的用户发出访问请求的话, 路由器就会分析发出请求的源地址和接收请求的目的节点地址中的网络 ID 号, 找出一条最佳最经济最快捷的通信路径 2 拆分和包装数据包, 这个功能也是路由功能的附属功能因为有时在数据包转发过程中, 由于网络带宽等因素, 数据包过大的话, 很容易造成网络堵塞, 这时路由器就要把大的数据包根据对方网络带宽状况拆分成小的数据包, 到了目的网络的路由器后, 目的网络的路由器就会再把拆分的数据包装成一个原来大小的数据包, 再根据源网络路由器的转发信息获取目的节点的 MAC 地址, 发给本地网络的节点 3 不同的协议网络之间的连接目前多数中高档的路由器往往具有多通信协议支持的功能, 这样就可以起到连接两个不同通信协议网络的作用如常用 Windows 操作平台所使用的通信协议主在是 TCP/IP 协议, 但是如果是 Netware 系统, 则所采用的通信协议主要是 IPX/SPX 协议, 还有一些特殊协议网段, 这些都需在靠支持这些协议的路由器来连接

164 7.4 局域网互联设备和技术目前许多路由器都具有防火墙的功能 ( 可配置独立 IP 地址的网管型路由器 ), 它可能够起到基本的防火墙功能, 也就是它能够屏敝内部网络的 IP 地址, 自由设定 IP 地址通信端口过滤, 使网络更加安全 5 路由器的一个明显优势就是可以抑制广播报文, 当路由器收到一个广播地址报文, 如寻址报文 ARP 时, 它是不会向全网广播的, 而是将自己的 MAC 地址发送给源主机, 让它将发送报文的 MAC 地址直接填写为路由器该端口的 MAC 然后按路由表一段一段地传送到目的主机, 从而有效地抑制广播报文 2. 路由器和交换机的区别路由器的作用与交换机非常类似但是与工作在数据链路层从物理上划分网段的交换机不同, 路由器从逻辑上对整个网络进行划分路由器主要克服了交换机不能路由转发数据包的不足总的来说, 路由器与交换机的主要区别体现在以下几个方面 : (1) 工作层次不同传统的交换机是工作在 OSI/RM 开放系统结构的数据链路层, 也就是第二层, 而路由器一开始就设计工作在 OSI 模型的网络层由于交换机工作在 OSI 的第二层 ( 数据链路层 ), 所以它的工作原理比较简单, 而路由器工作在 OSI 的第三层 ( 网络层 ), 可以得到更多的协议信息, 路由器可以做出更加智能的转发决策 (2) 数据转发所依据的对象不同交换机是利用物理地址或者说网卡的 MAC 地址来转发数据的, 而路由器则是利用不同网络的 ID 号 ( 即 IP 地址 ) 来确定数据转发的地址,IP 地址是在软件中实现的, 描述的是设备所在的网络, 有时这些第三层的地址也称为协议地址, 或者网络地址 MAC 地址通常是硬件自带的, 由网卡生产商来分配的, 而且已经固化到了网卡中去, 一般来说是不可更改的, 而 IP 地址则通常由网络管理员或系统自动分配 (3) 分割的范围不同传统的交换机只能分割冲突域而不能分割广播域 ; 而路由器可以分割广播域由交换机连接的网段仍属于同一个广播域, 广播数据包会在交换机连接的所有网段上传播, 在某些情况下会导致通信拥挤和安全漏洞连接到路由器上的网段会被分配成不同的广播域, 广播数据不会穿过路由器虽然第三层以上交换机具有 VLAN 功能, 也可以分割广播域, 但是各自广播域之间是不能通信的, 它们之间的通信仍然需要路由器 (4) 路由器提供防火墙服务路由器提供了防火墙的服务, 它仅仅转发特定地址的数据包, 不传送不支持路由协议的数据包和未知目标网络数据包, 从而可以防止广播风暴 3. 路由器的工作原理本节学习参见 IP 网络协议及技术章节路由器的工作流程如下 : (1) 接收帧, 并分解 IP 数据包当 IP 数据包封装在数据链路帧中, 通过物理网络传送到路由器的某个端口时, 路由器中

165 160 第 7 章局域网体系结构及应用的数据链路层协议接收到这个数据帧, 并从中分解出 IP 数据包后交给 IP 层软件处理 (2)IP 包头合法性验证路由器必须对 IP 合法性进行验证, 以确保包头有意义如果 IP 数据包在下列任何一个测试中失败, 它将被丢弃, 同时进行错误统计 1 接收的链路层数据长度足够大 (46~1 500 字节 ), 以容纳最小的合法 IP 数据包 (20 字节 ) 2 IP 校验和必须正确 3IP 版本号必须为 4 4IP 包头长度必须足够大, 最小的合法 IP 数据包为 20 字节 (3)IP 数据包选项处理对于记录路由选项, 路由器在选项数据域中写入自己的 IP 地址 ; 对于时间戳 (Time Stamp) 选项, 写入自己的 IP 地址及当前以毫秒为单位的世界标准时间计算值 ; 对于源路由选项, 要先写入自己的 IP 地址, 后面还要作进一步的处理 (4)IP 数据包本地提交和转发当路由器收到一个 IP 数据包时它必须决定这个数据包是应当本地提交还是向前转发 (5) 转发寻径当路由器决定要转发一个 IP 数据包时, 就选择下一个路由器的地址路由器根据目的网络地址检索其路由表, 得到一个候选路由集合 ; 如果这个集合为空, 此 IP 数据包被丢弃或走缺省路由 ; 如果集合中有多个元素时, 将采用某种算法去掉多余元素而得到一个最佳的路径 (6) 转发验证数据包在转发 IP 数据包之前, 路由器可以有选择地进行一些验证工作 ; 当检测到不合法的 IP 源地址或目的地址时, 这个数据包将被丢弃 ; 非法的广播和组播数据包也将被丢弃 ; 通过设置包过滤和访问列表功能, 限制在某些方向上数据包的转发, 这样可以提供一种安全措施, 使得外部系统不能与内部系统在某种特定协议上进行通信, 也可以限制为只能是某些系统之间进行通信这有助于防止一些安全隐患, 如防止外部的主机伪装内部主机通过路由器建立对话 (7)TTL 处理 IP 包头中的 Time To Live 域 (TTL) 用于限制数据包的生存时间, 这个字段用来控制数据包所通过路由器的最大跳数数据每经过一个路由器都至少把此值减少 1( 即使消耗的时间远小于 1 s) 如果 TTL 值减少到 0, 这个数据包必须被丢弃, 且路由器应当发给源点一个 ICMP 超时控制报文 (8) 数据包分片这个步骤实际上是在确定了输出链路层地址之后进行的, 由于各种物理网络对帧的最大长度有不同的规定, 叫做最大传输单元 MTU(Maximum Transfer Unit) 当要转发的 IP 数据包总长度大于要输出的物理网络的 MTU 时, 路由器要把这个数据分片, 分片的原则是要提高网络的传输效率, 节省带宽, 并且有利于提高传送路径上路由器的处理效率 (9) 链路层寻址当路由器对 IP 数据包的处理已经基本完成了网络层的功能, 接着便要找到一个相应的物理端口, 把数据包从数据链路层中发送出去在路由器中, 对应每一个转发的网络地址, 都

166 7.4 局域网互联设备和技术 161 有一个相应的端口值, 这是由网络管理员在路由器初始化手工配置的根据这个端口值, 可以得知要输出的物理网络类型, 同时也得到了其 MTU 值, 与其体物理网络相关的驱动程序入口也可以找到, 在具体实现时, 路由器的 IP 层软件与各驱动程序之间的接口可以设计成统一的标准, IP 软件只要把 IP 数据包长, 目的物理网络地址下一站的 IP 地址告诉驱动程序, 剩余的发送工作由驱动程序来做, 驱动程序把从上层收到的 IP 数据包封装在数据链路层的帧中, 根据目的物理网络地址发送出去, 如果这一端口连在某种共享物理媒体的局域网上, 驱动程序还要利用 ARP 等地址解析协议把 IP 地址转换为物理地址这种把与具体网络相关的操作都放在驱动程序中进行, 从 IP 层软件中分离出来的做法, 有利于提高底层模块的可扩展性, 以及实现 IP 层软件和链路层软件的并行处理 4. 路由算法 (1) 静态路由在这种方法中, 各个路由器在第一次投入使用时, 就把那些连接各网络标识的输出线路加载到自己的路由表中我们将列出图 7-12(b) 中 4 个路由器的路由表, 为了避免不必要的重复, 假设每个路由器上只连接一个网关 / 网络标识 (a) 因特网拓扑 (b) 路由表条目图 7-12 静态路由如果网络 1 中有一个主机想向网络 3 中的主机发送一个包, 当 R1 收到这个包后查阅自己的路由表, 确定应将此包送往线路 1 类似地, 当 R2 接到这个包后, 将它送往线路 2 最后,R3 将包送往 G3, 由 G3 传送给 IP 地址中的主机标识所指明的主机如路由器 R3 和 R4 的路由表所示, 在这两个路由器之间传输包时, 有两条线路可供选择从代价方面来看, 两条路径的代价都是 2, 但其中一条途径线路 3, 而另一路径通过路由器

167 162 第 7 章局域网体系结构及应用 R2 以及线路 2 和 5 考虑到距离这个衡量因素, 第二条路径距离较长, 因此应选择第一条路径这就是为什么在路由表中选择路径时会有不止一个衡量因素的原因从路由表中还可以发现, 从 R1 至 R3 最短路径是途经 R2 的线路 1 和 2 考察 R2 的路由表, 从 R2 到 R3 的最短路径也是线路 2 一般地讲, 如果 A 和 C 两个路由器之间的最短路径之间经过路由器 B, 则从 B 到 C 的最短路径也是该路径, 这就是所谓的最优化原理它告诉我们最短路径上的每个路由器只需辨识此路径上紧接着的下一个路由器即可因此, 这种路由操作称为下一跳路由或逐步跳 (Hop-By-Hop) 路由静态路由选择的缺点是当一条线路升级或一个新线路加入时, 所有路由表中的表项可能都需要改变同样, 如果一个线路或一个路由器出现故障, 在故障上报时, 所有受影响的路由器的路由表都需要改变因为这些原因, 静态路由选择对象 Internet 这样的又大又持续变化的网络是不适用的 (2) 洪泛式算法为了解释洪泛式 (Flooding) 算法的操作, 假设从主机 A 到主机 B 传送报文. 它的操作步骤如图 7-13 所示图 7-13 宏泛式举例

168 7.4 局域网互联设备和技术 163 R1 接收到从 G1 过来的包后, 向线路 1 和 4 传送该包的拷贝同样, 路由器 R2 和 R4 接收到该包后, 通过包中的网络标示符判断出该包不是它们自己网络的包, 则继续把包的拷贝通过线路 2 和线路 5(R2) 及线路 3(R4) 传送由于线路 2 线路 3 相比是高比特低费用的线路, 因此从 R2 传送的拷贝先期到达 R3, 并且 R3 判断出目的地址是属于自己的一个网络标识符,R3 则把包传送给 G3 接着 R3 将接收到多余的拷贝, 但由于每个拷贝都有相同标识, 所以 R3 能够检测出它是副本并丢弃它为了减少包的拷贝数量, 包被拷贝转发的次数被限定在上面的例子中, 假设通过 R1 在包头的生命期字段中写入限定值 3 接收路由器在转发前要对限定值减一, 只有限定值大于 0 时才继续转发从图 7-13 中我们可以看出, 洪泛式算法保证包的第一个拷贝沿着最短的路径转发, 因此在最短的时间内被接收同时, 如果一个线路或一个路由器出现故障, 只要有另外一条路径是可行的包的一个拷贝一定能被接收因此洪泛式是一个自适应 ( 又称为动态 ) 的路由选择算法不过从这个简单的例子我们也可以看出, 即使限定值仅为 3 跳, 包也要传送 10 次, 而最短路径方法中的传送只需 2 次因此洪泛式的带宽开销很大, 这对组成 Internet 的大型网络是不适用的 (3) 距离矢量算法距离矢量算法是一个分布式算法, 每一个路由器都能够建立一个包含到达网间所有网络标识符的路径费用 ( 距离 ) 的路由表 ( 即矢量 ) 在初始状态, 每个路由器首先仅知道过网关与它连接的网络标示符以及相关的本地线路号 ; 其次知道直接连接到其他路由器的线路的标示符和它们的费用通常这些信息由网络管理者录入, 或者在每个路由器第一次进行服务时与其他路由器进行配置消息交换的过程中获得这些信息被保存在称为连接 (Connectivity) 表或相邻 (Adjacency) 表的一个表中为了使每个路由器在预先定义的时间间隔内建立起完整的路由表包含到达所有网络标识符的最短的距离 ( 最短路径 ), 每个路由器首先把连接到它相邻路由器的线路的已知费用加到自己的路由表的当前距离值中, 并且把更新后的表的拷贝转发给每个相邻路由器然后基于接收到的信息, 如果新得到的距离短于当前表项, 每个路由器用新的值修改自己的路由表随着更新表的内容, 同样的过程被重复这个过程重复了定义的迭代次数后, 每个路由器就决定了到达各个网络标识的最短的距离在我们的例子中,4 个路由器的最终路由表的建立如图 7-14(b) 所示为了避免重复, 假设每个网关 / 标识符仅跟一个路由器连接, 正如我们所看到的, 对于如此简单的网络, 也要经过两次定了到达各个网络标示符的最短的距离以 R1 为例, 它接收 R2 和 R4 的更新过的路由表的内容因此 R1 接收从它们来的第一次更新表后, 决定到达网络标识符 2 的最短的路径是经由 R2 和 R4 也在接收从它们邻居传来的更新表, 那么 R1 再次接收从 R2 和 R4 传来的更新表, 从而决定到达网络标识符 3 的最短距离是经由 R2 距离值为 3 注意 : 在距离矢量算法中, 只有新的距离值小于当前值时, 该表项才会被更新同时具有相同路径费用值的路由将会被抛弃每个路由器的最终路由表都包含下一跳路由器和到达网内所有网络标识符的对应距离 ( 路径费用 ) 因此在传送一个包时, 首先在包头的目的 IP 地址中获得网络标识符, 并从路由表中读出下一跳路由器的标识, 然后由连接表获得转发包的线路号为了确保表中每一表项都反映当前网络的动态拓扑, 每个表项都有一个相关的计数器

169 164 第 7 章局域网体系结构及应用如果一个表项在规定的时间内没有被证实, 那么就已经过时这就意味着每个路由器需要定期地 ( 典型的是每 30 s) 传送一次它的完整的路由表这对于一个小型网络不成问题, 但对于大型网络如 Internet, 距离矢量算法的带宽和处理开销都很大同时因为表项按接收到的顺序更新并且相等距离 / 费用的路径被抛弃, 所以路由器可能有不同的路由到达相同的目的地这可能导致访问某些目的地的包被循环不是直接到达要求的路由器 / 网关不过使用距离矢量路由算法的路由信息协议 RIP(Routing Information Protocol) 仍然广泛使用在组成 Internet 的许多网络中 (a) 网络拓扑和初始表 (b) 最终路由表的推算过程图 7-14 距离矢量算法

170 第 8 章 IP 网络协议及技术 8.1 IP(Internet Protcol) 协议 IP 层,Internet Protocol 层, 也被称为网际层网络互联层是 TCP/IP 模型的关键部分它的功能是使主机可以把 IP 数据包 (Datagram) 发往任何网络, 并使数据包独立地传向目标 ( 中途可能经由不同的网络 ) IP 地址类型及其结构 IP 地址是网络协议地址 (IP,Internet Protcol address) 的简称用于 Internet 上主机的唯一标识, 通信时要利用 IP 地址来指定目的主机地址, 有两种形式用来表示计算机在 Internet 上的地址 : 一种是数字表示的地址, 通常称为 IP 地址 Internet 的 IP 地址由美国国家科学基金会于 1993 年组成的 Internet 信息中心注册服务部门 (Inter-NIC Registration Services) 进行分配和注册 IP 地址就像电话网中每部电话必须有一个唯一的电话号码一样, 它是识别网络中上某台主机的方法另一种是字母表示的地址, 称为域名地址 (Domain Name Address) 1. IP 地址的组成通常我们所说的 IP 协议使用 32 比特的地址, 也可称为 IPv4 它的地址由类别网络地址和主机地址共 3 个部分组成类别区分地址的使用方式, 网络地址用于区分不同的网络, 主机地址用于在一个网络中区分主机 IP 地址分为五类 :A 类 (ClassA) B 类 (ClassB) C 类 (ClassC) D 类 (ClassD) 和 E 类 (ClassE) 其中 A,B 和 C 类地址是基本的 Internet 地址, 是用户使用的地址,D 类地址是用于多目标广播的广播地址,E 类地址为保留地址 IP 地址的详细结构如图 8-1 所示 w x y z 位 A 类 0 网络地址 ( 数目少 ) 主机地址 ( 数目多 ) B 类 1 网络地址 ( 数目中等 ) 主机地址 ( 数目中等 ) C 类 1 0 网络地址 ( 数目多 ) 主机地址 ( 数目少 ) D 类多目标广播地址 (Multicast Address) E 类保留为实验和将来特殊使用图类 IP 地址的组成结构 A 类地址通常分配给有许多机器联网的大型网络, 它用第一位 0 作为标志使用 24 位的主机地址 (Host Address) 来标识联网计算机, 网的主机数目可达万台, 而网络地址 (Network Address) 使用 7 位来限制可被识别的网络数目 B 类地址用 10 作为标志,

171 166 第 8 章 IP 网络协议及技术使用 16 位的主机地址和 14 位的网络地址, 网内主机最多台 C 类地址用 110 作为标志, 主机地址占 8 位, 网内主机数目有 254 台, 网内地址 21 位,C 类地址主要用于联网主机数目少而网络数目多的网络 D 类地址的标志是 1110, 用于多目标广播 32 位的 IP 地址分成 4 组, 每一组为 8 位我们把 A 类地址看成网络地址. 主机地址. 主机地址. 主机地址, 把 B 类地址看成网络地址. 网络地址. 主机地址. 主机地址, 把 C 类地址看成网络是址. 网络地址. 网络地址. 主机地址为了方便记忆, 我们把 32 比特的 IP 地址用 4 个十进制数表示, 并且用点. 隔开, 每个数都小于 256 例如, , 由于它太长, 不便于记忆, 因此用 4 个十进制数表示 , 称为点分十进制计数法, 由于它以 10 开头, 所以是一个 B 类地址, 其网络地址是 , 主机地址是 6.31 如果用 w,x,y,z 分别表示这 4 个字节, 这 5 类地址的范围就为 : A 类 :1.x.y.z~126.x.y.z( 其中, 不作 IP 地址, 用于网络内部使用 ) B 类 :128.x.y.z~191.x.y.z C 类 :192.x.y.z~223.x.y.z D 类 : ~ ( 其中, 不用, 以后分配给永久性 IP 主机组, 包括网关 ) 随着 Internet 的高速发展, 用户数量急剧增加, 现有的 32 位 IP 地址出现了危机面对这种情况,IETF(Internet Engineer Task Force) 推出了 IPv6, 将 IP 地址扩充到 128 位, 地址数目增加到个 2. 特殊的 IP 地址 (1) 网络地址主机地址为全 0 的 IP 地址不分配给任何主机, 而是作为网络本身的标识, 例如, 主机所在网络地址为 (2) 直接广播地址主机地址为全 1 的 IP 地址不分配给任何主机 ; 用作广播地址, 对应分组传递给该网络中的所有结点 ( 能否执行广播, 则依赖于支撑的物理网络是否具的广播的功能 ) 例如, 主机所在的网络的广播地址为 (3) 有限广播地址 32 位为全 1 的 IP 地址 ( ) 称为有限广播地址, 通常由无盘工作站启动时使用, 希望从网络 IP 地址服务器处获得一个 IP 地址 (4) 主机本身地址 32 位为全 0 的 IP 地址 ( ) 称为主机本身地址 (5) 回送地址称为回送地址, 常用于本机上软件测试和本机上网络应用程序之间的通信地址一般在系统中都有一个文件 hosts(windows 98\NT\2000 操作系统为 \windows\hosts 文件, Unix\linux 系统为 \etc\hosts 文件 ) 中有一行 : localhost

172 8.1 IP(Internet Protcol) 协议专用 IP 地址 TCP/IP 协议需要 IP 地址支持, 随着 Internet 的普及,IP 地址资源已经开始出现告急的趋势, 一个解决方案是利用专用网的地址分配方案 (RFC 1918) 原理是定义两类 IP 地址 : 1 全局 IP 地址 : 用于 Internet 上的公共主机 ; 2 专用 IP 地址 : 仅用于专用网内部的本地主机公共主机和本地主机可以共存于同一网络, 进行互访 ; 绝大多数路由器不转发携带本地 IP 地址的分组本地主机必须经网络地址迁移服务器 (NAT 或代理服务器 ) 才能访问 Internet RFC1918 定义的专用 IP 地址 : ~ 一个 A 类地址 ; ~ 个连续的 B 类地址 ; ~ 个连续的 C 类地址企业内部网主机的 IP 地址可以设置成专用 IP 地址, 进行企业内部的网络应用 ; 并可通过代理服务器访问 Internet( 如图 8-2 所示 ) 这样只需要申请少量的 IP 地址, 既解决了 IP 地址不足问题, 又解决了网络安全问题图 8-2 企业内部网通过代理服务器访问因特网示意图 4. 网络中 IP 地址的分配静态地址 (Static Addressing): 必须为每个设备分别配置 IP 地址, 并且不能重复, 否则会产生 IP 地址冲突, 有些操作系统在初始化 TCP/IP 的过程中, 会通过发送 ARP 请求来检测是否有 IP 冲突, 如 Windows 9X 和 Windows NT 系列, 当存在冲突时, 不能完成 TCP/IP 的初始化动态主机配置协议 :DHCP 服务器上定义一个 IP 地址范围, 整个计算机地址信息都可以动态获得, 包括子网掩码等 BOOT strap 协议 (BOOTP): 用 UDP 分组, 能够获得本机 IP 地址默认网关 IP 地址服务器地址, 以及一个生产厂商指定域不能用于完全动态的配置, 但可以通过配置文件为每个设备配置地址反向地址解析协议 RARP: 在已知 MAC 地址和情况下获得 IP 地址

173 168 第 8 章 IP 网络协议及技术子网的划分将网络进一步划分成独立的组成部分, 每个部分称为这个网络 ( 或者更高一级子网 ) 的子网子网的设计是为了便于网络的管理提高系统的可靠性防止整个网络通信的瘫痪改进系统性能克服简单局域网的技术条件限制通过设置不同访问权限来增强系统安全保障 1. 子网掩码掩码 (NetMask) 有网络掩码和子网掩码两种网络掩码 : 对每个网络的网络地址设定一个按位对应的 32 bit 的二进制数 ; 网络地址部分对应位设置为 1, 主机地址部分的对应位应设置为 0 子网掩码 : 将网络地址中的主机标识分离出若干位作为子网地址位现在所有的主机都要求支持子网编址不是把 IP 地址看成由单纯的一个网络号和一个主机号组成, 而是把主机号再分成一个子网号和一个主机号, 也就是由原来的二级地址转为三级地址这样做的原因是因为 A 类和 B 类地址为主机号分配了太多的空间, 可分别容纳的主机数和事实上, 在一个网络中人们并不安排这么多的主机由于全 0 或全 1 的主机号都是无效的, 因此我们把总数减去 2 在 InterNIC 获得某类 IP 网络号后, 就由当地的系统管理员来进行分配, 由他来决定是否建立子网, 以及分配多少比特给子网号和主机号例如, 这里是一个 B 类网络地址 ( ), 在剩下的 16 bit 中,8 bit 用于子网号,8 bit 用于主机号, 格式如图 8-3 所示这样就允许有 254 个子网, 每个子网可以有 254 台主机, 许多管理员采用的划分方法, 即把 B 类地址中留给主机的 16 bit 中的前 8 bit 作为子网地址, 后 8 bit 作为主机号这样用点分十进制方法表示的 IP 地址就可以比较容易确定子网号但是, 并不要求 A 类或 B 类地址的子网部分都要以字节为划分界限 16 位 8 位 8 位网络号 = 子网号主机号图 8-3 B 类地址的子网编址大多数的子网都是 B 类地址划分的其实子网也可用于 C 类地址, 只是它可用比特数较少而已很少出现 A 类地址的子网例子是因为 A 类地址本身就很少 ( 但是, 大多数 A 类地址都是进行子网划分的 ) 子网对外部路由器来说隐藏了内部网络组织 ( 一个校园或公司内部 ) 的细节任何主机在引导时就进行配置并指定主机 IP 地址大多数系统把 IP 地址存在一个磁盘文件里供引导时读用除了 IP 地址以外, 主机还需要知道有多少比特用于子网号及多少比特用于主机号这是在引导过程中通过子网掩码来确定的这个掩码是一个 32 bit 的值, 其中值为 1 的比特留给网络号和子网号, 值为 0 的比特留给主机号图 8-4 是一个 B 类地址的两种不同的子网掩码格式第一个例子是以字节为划分界限网络采用的子网划分方法, 子网号和主机号都是 8 bit 宽第二个例子是一个 B 类地址划分成 10 bit 的子网号和 6 bit 的主机号, 不以字节为划分界限

174 8.1 IP(Internet Protcol) 协议 169 图 8-4 两种不同的 B 类子网掩码的例子尽管 IP 地址一般以点分十进制方法表示, 但是子网掩码却经常用十六进制, 特别是当界限不是一个字节时, 因为子网掩码是一种比特掩码, 给定 IP 地址和子网掩码以后, 主机就可以确定 IP 数据报是本子网上的主机本网络中其他子网中的主机或者其他网络上的主机如果知道本机的 IP 地址, 那么就知道它是否为 A 类 B 类或 C 类地址 ( 从 IP 地址的高位可以得知 ), 也就知道网络号和子网号之间的分界线, 而根据子网掩码就可知道子网号以及主机号和子网之间的分界线例如, 假设我们的主机地址是 ( 一个 B 类地址 ), 而子网掩码为 ( 其中 8 bit 为子网号,8 bit 为主机号 ) 如果目的 IP 地址是 , 我们就知道 B 类网络号是相同的 ( ), 但是子网号是不同的 (1 和 4) 用子网掩码在两个 IP 地址之间的比较如图 8-5 所示图 8-5 使用子网掩码的两个 B 类地址之间的比较如果目的 IP 地址是 , 那么 B 类网络号不是一样的 ( ), 而且子网号也是一样的 (1), 但是主机号是不同的如果目的 IP 地址是 ,( 一个 C 类地址 ), 那么网络号不同的, 因而进一步的比较就不用再进行了给定两个 IP 地址和子网掩码后,IP 路由选择功能一直能进行这样的比较 2. 子网掩码的简写方式我们已经了解了将子网掩码与 IP 地址进行关联的重要性, 但是为每个地址都写一个会花费很多的时间, 并且大部分人都会尽量使用一些省事的办法因此就产生一种只用几个字符表示子网掩码的方法

175 170 第 8 章 IP 网络协议及技术 IP 地址和子网掩码都是基于二进制系统的, 简写方式是一个斜线 (/) 后面写明子网掩码的位数使用这种方法, 我们就不必在写完 IP 地址还要再写明子网掩码 , 而是可以记为 /24 这是因为子网掩码使用 24 位二进制数来描述地址的网络部分, 这种方法减少了正确记录地址所需的工作量 3. 变长子网掩码子网掩码分为标准子网掩码和变长子网掩码所谓标准子网掩码, 就是说其中只有两个数值 :0 和 255 虽然在大多数情况下这样是很好的, 但是有时我们需要对地址空间进行更细致的划分假设我们管理一个十分繁忙的 80 个节点的网络, 作为控制流量的一种方法, 我们建立了两个独立的子网, 使用一个路由器进行连接我们再假设要将这个网络连接到 Internet, 但由于要支持特定的服务, 我们不想使用地址转换设备我们希望网络内部的每台主机都具有一个有效的 IP 地址, 于是我们联系一家 Internet 服务供应商 (ISP), 并且提供了 ISP 连接所需的文件材料由于我们的网络规模很小,ISP 只愿意分配一个有效 C 类地址, 这时我们有 4 种选择 : 1 寻找一家愿意分配两个有效地址的 ISP; 2 只允许一个子网连接到 Internet; 3 将两个子网合并忍受性能下降 ; 4 使用变长子网掩码使用变长子网掩码 (VLSM), 可以将一个网络地址划分多个子网这就要在子网掩码中使用一些位于 0~255 之间的数值数值 255 意味着 IP 地址中相应的部分是网络地址组成部分, 数值 0 表示 IP 地址中相应部分是主机地址的组成部分如果使用了 0~255 之间的数值, 我们就可以将相对应的一部分作为网络地址, 而其他作为主机地址在 IP 网络中,VLSM 属于最难理解的几种理论之一让我们通过范例来解释这个概念假设分配给我们的地址是 , 如果使用标准子网掩码 , 我们就只能配置一个子网, 其中能够包含 254 台主机如果将子网掩码改变为 , 能够有效地将网络分为两半, 每个新网段中可以使用大约一半的主机地址 ( 在 1~254 之间 ) 表 8-1 显示了这种新的配置, 图 8-6 显示了这个配置应用到网络上的情况表 8-1 使用变长子网掩码网络子网掩码起始主机地址终止主机地址广播地址

176 8.1 IP(Internet Protcol) 协议 171 图 8-6 使用变长子网掩码的网络由于在所使用的变长子网掩码划分的子网中,127 变成了广播地址, 同样,128 被认为是一个有效的网络地址号, 等同于 0 这就进一步说明没有子网掩码,IP 地址没有什么意义在使用标准子网掩码时,127 和 128 应该表示特定的主机, 而现在它同样分别表示广播地址和整个第二子网当我们看到这个掩码时, 很显然前三个字节是网络地址在最后一个字节中, 最高位 ( 相当于十进制的 128) 也是网络地址的组成部分, 而剩下的 7 位是主机地址的组成部分, 在简写方式中, 这个掩码将被记为 /55 最大可用的子网掩码是 , 其中每个子网只能包含两台主机, 因此这种配置通常用于 WAN, 子网中的设备通常就是连接两端的路由器我们还可以在同一个 IP 地址范围混合使用不同的子网掩码例如, 某公司的内部网络共有 5 个子网地址, 其中一个子网大约有 100 台主机, 还有其他 4 个子网, 每个子网大约有 20 台主机与这个环境最接近的子网掩码是 , 它能够提供 8 个子网, 但是每个子网只能支持 30 台主机解决这个问题的办法是将整个地址范围划分为 5 个子网, 在前一半地址空间中使用掩码 , 用于具有 100 台主机的子网使用子网掩码在另一半地址空间建立 4 个子网, 每个子网都能够包含 30 台主机表 8-2 显示了使用这些子网掩码对 IP 地址的划分的 5 个子网 ( 假设分配的 C 类地址是 ) 表 8-2 某公司内部网络于网划分子网掩码网络地址起始主机地址终止主机地址广播地址

177 172 第 8 章 IP 网络协议及技术子网划分的例子对于 A 类地址 : 我们可以有到之间的地址, 默认的子网掩码是 , 如果我们需要多个逻辑子网, 就要改变子网掩码例如, 我们可以使用 B 类子网掩码来划分得到地址范围, 从而可以支持 255 个子网, 范围是 ~ , 每个子网支持台主机图 8-7 显示了路由器两端的子网地址肯定是不同的, 任何逻辑子网都是限制在路由器之内的图 8-7 A 类 IP 地址使用 B 类子网掩码我们还可以选择 C 类子网掩码 , 这样就能够支持最多个子网, 子网地址范围是 ~ , 每个子网最多客纳 254 台主机图 8-8 显示了使用 C 类子网掩码后的情况, 对于 B 类地址, 也可经使用类似的方法选择子网掩码

178 8.1 IP(Internet Protcol) 协议 173 图 8-8 A 类 IP 地址使用 C 类的子网掩码 Ipconfig 命令 Ipconfig 显示所有当前的 TCP/IP 网络配置值刷新动态主机配置协议 (DHCP) 和域名系统 (DNS) 设置使用不带参数的 Ipconfig 可以显示所有语法 : Ipconfig[/au][/renew[Adapter]]>[/release[Adapter]]>[/flashdns][/displaydans][/registerdns] [/showclassid Adapter][/serclassid Adapter[/ClassID]] 参数 : /all 显示所有适配器的完整 TCP/IP 配置信息在没在该参数的情况下 Ipconfig 只显示 IP 地址子网掩码和各个适配器的默认网关值, 适配器可以代表物理接口 ( 如安装的网络适配器 ) 或逻辑接口 ( 如拨号连接 ) /renew[adapter] 更新所有适配器 ( 如果未指定适配器 ), 或特定适配器 ( 如果包含了 Adapter 参数 ) 的 DHCP 配置, 该参数仅在具有配置为自动获取 IP 地址的网卡的计算机上可用要指这定适配器名称, 请键入使用不带参数的 Ipconfig 命令显示的适配器名称 /release[adapter] 发送 DHCP RELEASE 消息到 DHCP 服务器, 以释放所有适配器 ( 如果未指定适配器 ) 或特定适配器 ( 如果包含了 Adpter 参数 ) 的当前 DHCP 配置并丢弃 IP 地址设置该参数可以禁用配置为自动获取 IP 地址的适配器的 TCP/IP 要指定适配器名称, 请键入使用不带参数的 ipconfig 命令显示的适配器名称 /flashdns 清理并重设 DNS 客户解析器缓存的内容, 如果必要, 在 DNS 疑难解答期间可以使用本

179 174 第 8 章 IP 网络协议及技术过程从缓存中丢弃否定性缓存记录和任何其他动态添加的记录 /displaydns 显示 DNS 客户解析缓存的内容, 包括从本地主机文件预装载的记录以及由计算机解析的名称, 查询最近获得的任何资源记录 DNS 客户服务在查询配置的 DNS 服务器之前使用这些信息可以快速解析被频繁查询的名称 /registerdans 初始化计算机上配置的 DNS 名称和 IP 地址的手工动态注册, 可以使用该参数对失败的 DNS 名称注册进行疑难解答或解决客户和 DNS 服务器之间的动态更新问题, 而不必重新启动客户计算机 TCP/IP 协议高级属性中的 DNS 设置可以确定 DNS 注册了哪些名称 /showclassid adapter 显示指定适配器的 DHCP 类别 ID, 要查看所有适配器的 DHCP 类别 ID, 可以使用星号 (*) 通配符代替 Adapter 该参数仅在具有配置自动获取 IP 地址的网卡的计算机上可用 /setclassid Adapter[ClassID] 配置特定适配器的 DHCP 类别 ID, 要设置所有适配器的 DHCP 类别 ID, 可以使用星号 (*) 通配符代替 Adapter 该参数仅参数具有配置获取 IP 地址的网卡的计算机上可用如果指定 DHCP 类别 ID, 则会删除当前类别 ID /? 命令帮助例如 : C:\.>ipconfig/all Windows IP configuration Host Name qqq Prmary Dns Suffix : Node Type :Un know IP Routing Enabled :No WINS Proxy Enabled :No Etherrn adapter 无线网络连接 : Media State :Media disconected Description :Intel(R)PRO/WinelessLAN B Mini PCI Adapter Physical Address : E3 Ethernet adapter 大学校园网 : Connetion-specfic DNS suffix Description :VIA VT6105 Rhine Ⅲ Fast Ethernet A dapher Physial Address : OD-EO-4C 4D 8B 8E Dhcp Enabled :NO IP Address : Subnet Mask : Defalt Gateway : DNS Servers :

180 8.2 地址解析协议 (ARP) 地址解析协议 (ARP) 当我们在浏览的地址栏中输入网址时,DNS 服务器会自动把它解析为 IP 地址, 浏览器实际上查找的是 IP 地址而不是网址 IP 数据包常通过以太网发送, 以太网设备并不识别 32 位 IP 地址 : 它们是以 48 位物理地址传输以太网数据包的 ARP 协议功能就是将 IP 地址转换为第二层物理地址 ( 即 MAC 地址 ) ARP 地址对网络安全具有重要的意义, 通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗, 能够在网络中产生大量的 ARP 通信量使网络阻塞, 所以我们应深入理解 ARP 协议 ARP 协议简介 ARP 协议是 Address Resolution Protol( 地址解析协议 ) 的缩写, 在局域网中, 网络中实际传输的是帧, 帧里面包含有目标主机的 MAC 地址, 在以太网中, 一个主机要和另一个主机进行直接通信, 必须知道目标主机的 MAC 地址但这个目标 MAC 地址是如何获得的呢? 它就是通过地址解析协议获得的, 所谓地址解析就是主机在发送帧前将目标 IP 地址转换成目标 MAC 地址的过程 ARP 协议的基本功能就是通过目标设备的 IP 地址, 查询目标设备的 MAC 地址, 以保证通信顺利进行 ARP 协议的工作原理 ARP 工作时, 送出一个含有所希望的 IP 的以太网广播数据包目的地主机或另一个代表该主机的系统, 以一个含有 IP 和以太网地址对应的数据包作为应答发送者将这个地址对应高速缓存起来, 以节约不必要的 ARP 通信在每台安装 TCP/IP 协议的电脑里都有一个 ARP 缓存表, 表里的 IP 地址与 MAC 地址是一一对应的, 如表 8-3 所示 IP 地址表 8-3 IP 地址与 MAC 地址的对照 MAC EO-4C-3D EO-4C-3D-C EO-4C-4D-BA-92 我们以主机 A( ) 向主机 B( ) 发送数据为例当发送数据时, 主机 A 会在自己的 ARP 缓存表中寻找是否有目标 IP 地址如果找到了, 也就知道了目标 MAC 地址, 直接把目标 MAC 地址写入帧里面发送就可以了 ; 如果在自己的 ARP 缓存表中没有找到相对应的 IP 地址, 主机 A 就会在网络上发送一个广播, 目标 MAC 地址是 FF.FF.FF.FF.FF.FF, 这表示向同一网段内的所有主机发送这样的询问 : 的 MAC 地址是什么? 网络上其他主机并不响应 ARP 询问只有主机 B 接收到这个帧时, 才向主机 A 作出这样的回应 : 的 MAC 地址是 00-EO-4C-3D 这样, 主机就知道了主机 B 的 MAC 地址, 它就可以向主机发送信息了同时它还更新自己的 ARP 缓存表, 下次再向主机 B 发送信息时, 直接从 ARP 缓存表里查找就可以了 ARP 缓存表采用了老化机制, 在一段时间内如果表中的某一行没在使用, 就会被删除, 这样可以大大减少 ARP 缓存表的长度, 加快查询速度

181 176 第 8 章 IP 网络协议及技术表 8-4 是 IP 和 MAC 地址转换的 ARP 报文格式在表中每一行为 32 位, 也就是 4 个八位组表示硬件类型字段指明了发送方想知道的硬件接口类型, 以太网的值为 1 协议类型字段指明了发送方提供的高层协议类型,IP 为 0806(16 进制 ) 硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度, 这样 ARP 报文就可以在任意硬件和任意协议的网络中使用操作字段用来表示这个报文的目的,ARP 请求为 1,ARP 响应为 2,RARP 请求为 3, RARP 响应为 4 硬件类型表 8-4 以太网上的 ARP 报文格式协议类型硬件长度协议长度操作发送方首部 ( 八位组 0~3) 发送方首部 ( 八位组 4~5) 发送方 IP 地址 ( 八位组 0~1) 发送方 IP 地址 ( 八位组 2~3) 目标商务部首部 ( 八位组 0~1) 目标首部 ( 八位组 2~5) 目标 IP 地址 ( 八位组 0~3) 当发出 ARP 请求时, 发送方填好发送方首部和发送方 IP 地址, 还要填写目标 IP 地址当目标机器收到这个 ARP 广播包时, 就会在响应报文填上自己的 48 位主机地址, 如图 8-9 所示图 8-9 ARP 请求和相应的示意图 ARP 缓存表 ARP 缓存表是可以查看的, 也可以添加和修改在命令提示符下, 输入 arp-a 就可以查看 ARP 缓存表中的内容了, F:\ arp-a Interface: on interface 0x2 Internet Address Physical Address

182 8.3 IP 分组格式 e Static F:\> 用 arp-d 命令可以删除 ARP 表中某一行的内容 ; 用 arp-s 可以手动在 ARP 表中指定 IP 地址与 MAC 地址的对应 8.3 IP 分组格式 1.IP 首部 IP 数据报的格式如图 8-10 所示一般的 IP 首部长度为 20 个字节, 除非含有选项字段位版本号 4 位首部长度 8 位服务类型 TOS 16 位总长度 ( 字节数 ) 16 位标识 3 位标志 13 位片偏移 8 位生存时间 (TTL) 8 位协议标识 16 位首部校验和 32 位源地址 32 位目的 IP 地址 IP 选项数据图 8-10 IP 数据报格式及首部中的各字段图 8-10 中的首部, 最高位在左边, 记为 1 bit; 低位在右边, 记为 32 bit 4 个字节的 32 bit 值以下面的次序传播首先是 1~8 bit, 其次是 9~16 bit, 再次是 17~24 bit, 最后是 25~32 bit, 这种传输次序称做 big endian 字节由于 TCP/IP 首部中所有的二进制整数在网络中传输时要求以这种次序, 因此它又称做网络字节序, 以其他形式存储二进制整数的机器, 如 little endian 格式, 则必须在传输数据之前把首部转换成网络字节序 2.IP 数据中各字段的定义 IP 数据报中各字段的定义如下 : 1 版本号 : 占 4 位, 目前的协议版本号是 4, 因此 IP 有时也称做 IPv4 2 首部长度 : 占 4 位, 以 32 位为单位的 IP 报头长度, 包括选项在没有选项时, 首部长度字段中的值是 5 3TOS: 服务类型 (Type Of Service) 字段占一个字节, 表示对数据的处理方式该字段包括 3 bit 的优先权子字段,4 bit 的 TOS 字段和 1 bit 未使用位置 0 4 bit 的 TOS 分别代表 : 最小时延最大吞吐量最高可靠性和最小费用 4 bit 中只能置其中 1 bit, 如果所有 4 bit 均为 0, 那么就是意味着是一般服务例如,Telnet 和 Rlogin 要求最小传输时延, 因为人们主要用它们来传输少量的交互数据 FTP 文件传输则要求有最大的吞吐量网络管理 (SNMP) 和路由选择协议要求最高可靠性,

183 178 第 8 章 IP 网络协议及技术用户网络新闻 (Usenet News,NNTP) 要求最小费用, 等等 4 总长度 (Total Hength) 字段 : 是指整个 IP 数据的长度 ( 包括 IP 首部 ), 以字节为单位利用首部长度和总长度字段, 就可以知道 IP 数据内容的起始位置和长度, 该字段占二个字节,IP 数据报最长可达字节总长度字段是 IP 首部中必要的内容因为一些数据链路 ( 如以太网 ) 需在填充一些数据以达到以太网最小长度, 尽管以太网中的数据段最小长度为 46 字节, 但是 IP 数据可能会更短, 如果没有总长度字段, 那么 IP 层就不知道 46 字节有多少是 IP 数据报的内容 5 标识符 : 标识符 (Identification) 字段唯一标识主机发送的每一份数据报同一源主机发出的各个数据报都有唯一的标识在数据传输过程中, 由于有些网络的处理能力有限, 路由器必须将该数据报分片, 但无论分成多少片, 每一片都有相同标识符, 该字段占 16 位 6 标志 : 标志 (Flag) 字段占 3 位第一位 : 恒为 0, 第二位 :0 可以分片,1 不可以分片第三位 :0 最后一片, 非最后报片 7 片偏移 : 片偏移 (Fragment Offset) 字段占 13 位, 表示当前段片在初始数据报文中的位置目的主机根据片偏移来重新组合数据报 8TTL: 生存时间 (Time-To-Live) 字段占一个字节, 是数据报在网络中数据传输的计时时钟, 最大值为 255, 缺省值为 64, 该字段中设置了数据可以经过的最多路由器的个数, 它指定了数据报的生存时间,TTL 的初始值由源主机设置, 一旦经过一个处理它的路由器, 它的值就减去 1, 当该字段的值为 0 时, 数据报就被丢弃, 并发送 ICMP 的报文通知源主机 9 协议标识 : 协议段占 8 位, 标识接收数据报中数据高层的协议号例如,1- 互联网控制报文协议 (ICMP) 6- 传输控制协议 (TCP) 8- 外部网关协议 (EGP) 17- 用户数据报据协议 (UDP), 等等 10 首部校验和 : 首部校验和字段占 16 位, 根据 IP 首部计算校验和码, 它不对首部后面的数据进行计算, 因为 ICMP IGMP UDP 和 TCP 在它们各自的首部均含有同时覆盖首部和数据的校验和码为了计算一个数据报的 IP 校验和, 首先把校验和字段设置为 0, 然后, 对首部中每个 16 bit 进行二进制反码求和结果存在校验和字段中, 当收到一份数据报后, 同样对首部中每个 16 bit 进行二进制反码的求和, 由于接收过程中包含了发送方存在首部中的校验和, 因此, 如果首部在传输过程中没有发生任何差错, 那么接收方计算的结果应该为全 1, 如果结果不是全 1( 即校验和错误 ), 那么 IP 就丢弃收到的数据报, 但是不生成差错报文, 由上层去发现丢失数据报并进行重传 k 源 IP 地址 :32 位的源 IP 地址字段表明该 IP 地址报是由哪个主机发出来的 l 目的 IP 地址 :32 位的目的 IP 地址字段表明该 IP 地址数据报应该去的目的地 mip 选项 : 任选字段用于存放安全保密报文经历错误调试报告时戳等信息, 是 IP 数据报中一个可变长的选项目前这些任选项定义如下 : 安全和处理限制 ( 用于军事领域 ) 记录路径 ( 让每个路由器都记下它的 IP 地址 ) 时间戳 ( 让每个路由器都记下它的 IP 地址和时间 ) 宽松的源站选路 ( 为数据报指定一系列必须经过的 IP 地址 )

184 8.4 互联网控制报文协议 ICMP 179 严格的源站选路 ( 与宽松的源站选路类似, 但是要求只能经过指定的这些地址, 不能经过其他的地址 ) 这些选项很少被使用, 因为好多主机和路由器不支持这些选项, 选项字段一直都是以 32 bit 作为界限, 在必要的时候插入值为 0 的填充字节, 这样就保证 IP 首部始终是 32 bit 和整数倍 8.4 互联网控制报文协议 ICMP IP 协议是一种不可靠无连接传输, 当数据包经过多个网络传输过程, 可能出现错误目的主机不响应包拥塞等问题, 为了处理这些问题, 在 IP 引入了一个子协议 ICMP(Internet Control Message Protocol) 在所有 TCP/IP 主机上都可以实现 ICMP ICMP 是 IP 层的一个组成部分,ICMP 数据有两种形式 : 错误数据报和查询数据报它们都使用 IP 协议装载在 IP 数据报里传输, 用来传递差错报文以及其他需要注意的信息 ICMP 报文可以被 IP 协议层传输层协议 (TCP 或 UDP) 和用户进程使用 ICMP 与 IP 一样都是不可靠传输,ICMP 的信息也可能丢失为了防止 ICMP 信息无限制的连续发送, 对 ICMP 数据报传输中出现的问题不可再使用 ICMP 传输 ICMP 报文封装在 IP 数据报内部, 如图 8-11 所示图 8-11 ICMP 封装在 IP 数据报内部 ICMP 分组格式及其类型 ICMP 报文格式如图 8-12 所示图 8-12 ICMP 报文格式类型 : 类型字段占 8 位, 有 15 个不同的值用来描述类型的 ICMP 报文代码 : 代码字段占 8 位, 进一步描述某些 ICMP 报文的具体说明校验和 : 校验和字段占 16 位, 覆盖整个 ICMP 报文各种类型的 ICMP 报文如表 8-5 所示, 不同类型由报文中的类型字段和代码字段来共同决定表中的最后两列表明 ICMP 报文是一份查询报文还是一份差错报文因为对 ICMP 差错报文有时需要作特殊处理因此我们需对它们进行区分当发送一份 ICMP 差错报文时, 报文始终包含 IP 首部和产生 ICMP 差错报文的 IP 数据报的前 8 个字节接收 ICMP 差错报文的模块会把它与某个特定的协议 ( 根据 IP 数据报首部

185 180 第 8 章 IP 网络协议及技术中的协议字段来判断 ) 和用户进程 ( 根据包含在 IP 数据报前 8 个字节中的 TCP 或 UDP 报文首部中的 TCP 或 UDP 端口号来判断 ) 联系起来

186 8.4 互联网控制报文协议 ICMP 181 表 8-5 ICMP 报文类型类型代码描述差错查询 0 0 回显应答 (Ping 应答 ) 3 目的不可达 : 网络不可达主机不可达协议不可达端口不可达需要进行分片, 但设置了不分片比特源站选路失败目的网络不认识目的主机不认识源主机被隔离 ( 作废不用 ) 目的网络被强制禁止目的主机被强制禁止由于服务类型 TOS, 网络不可达由于服务类型 TOS, 主机不可达由于过滤, 通信被强制禁止主机越权优先权中止生效 4 0 源端口被关闭 ( 基本流控制 ) 重定向 : 对网络重定向对主机重定向对服务类型重定向对服务类型和主机重定向 8 0 请求回显 (Ping 请求 ) 路由器通告路由器请求 11 超时 : 0 1 传输期间生存时间为 0(Traceroute) 在数据报组装期间生存时间为 0 12 参数问题 : 0 1 坏的 IP 首部 ( 包括各种差错 ) 缺少必需选项时间戳请求时间戳应答信息请求 ( 作废不用 ) 信息应答 ( 作废不用 ) 地址掩码请求地址掩码应答

187 182 第 8 章 IP 网络协议及技术 ICMP 协议的典型应用我们在网络中经常使用到 ICMP 协议, 只不过我们察觉不到比如我们经常使用的用于检查网络通不通的 Ping 命令, 这个 Ping 的过程实际上就是 ICMP 协议工作的过程还有其他的网络命令如跟综路由的 Tracert 命令, 也是基于 ICMP 协议的 Ping 功能是利用 ICMP 回应请求报文实现的,ICMP 回应请求报文的格式如图 8-13 所示类型 =8 代码 =0 校验和标识符数据序列号图 8-13 ICMP 回应请求报文格式回应请求报文 ( 类型 =8) 用来测试发送方通过互联网到达接收方的通信路径回应请求报文里面包含一个 16 位的标识符和一个 16 位的序列号当目的主机接收报文后, 把源地址和目的地址倒过来, 重新计算校验和, 并传回一个回送应答 ( 类型 =0) 的报文数据段的内容也要返回给发送方 Ping 程序是一个最常用的网络连通性检查命令例如在 Windows98 上执行 Ping: Microsoft(R)Windows98 (C)Copying Microsoft Corp C:\WINDOWS\Desktop>ping Pinging [ ]with 32 bytes of data: Reply from :bytes=32time<=10ms.TTL=254 Reply from :bytes=32.time=1ms.TTL=254 Reply from :bytes=32.time=1ms.TTL=254 Reply from :bytes=32.time=1ms.TTL=254 Ping statistics for : Packets:Sent=4,Received=4,Lost=0(0% Lost) Approximates round trip time in milli-second: Minimum=0ms,Maximum=0ms,Average=0ms 通常 Ping 命令送出一个 echo _ request(type 8) 的 ICMP 数据包给目的主机, 如果目的主机愿意回答, 则会回应一个 echo_reply(type 0) 的 ICMP 数据包给发送端以确定连通性不过如果 ICMP 数据包因为某些原因 ( 如防火墙的过滤 ) 不能到达目的端或是目的端不能回答或是回应给挡下来了,Ping 就不能顺利完成, 但并非代表网络连通的故障另一个 ICMP 程序 Tracert 也是我们通常用到的工具例如 : D:\ WINDOWS\Desktop>tracert Tracing route to lyand.ahau.edu.cn[ ] Over a maximum of 30hope: 1 <1ms <1ms <1ms dbdd. ahau.edu.cn [ ] 2 <1ms <1ms <1ms lyand.ahau.edu.cn[ ] Trace complete 左边一行跳站 (hop) 数字然后是三个 rownd trip time. 最后是主机的名称和 IP 地址上

188 8.4 互联网控制报文协议 ICMP 183 述命令说明是主机到达站点的路由线路主机可以通过网点到达 Tracert 命令对我们判断数据包的路由路线非常有用值得注意的是在防火墙的保护下有些 ICMP 数据包含被拦下来, 这样 Tracert 也就不能完整的显示出路由线路了 ICMP 协议还有许多应用, 灵活运用 ICMP 协议对我们了解和测试网络情况非常有帮助 ICMP 协议的安全技术 1.ICMP 在网络安全上的重要性 ICMP 协议对于网络安全具有极其重要的意义例如, 可以利用操作系统规定的 ICMP 数据包最大尺寸不超过 64 KB 的规定向主机发起 Ping of Death ( 死亡之 Ping) 攻击 Ping of Death 攻击的原理是 : 如果 ICMP 数据包的尺寸超过 64 KB 上限时, 主机就会出现内存分配错误, 导致 TCP/IP 堆栈崩溃, 导致主机死机另外, 向目标主机长时间连续大量地发送 ICMP 数据包也会最终使系统瘫痪大量的 ICMP 数据包会形成 ICMP 风暴, 使得目标主机耗费大量的 CPU 资源来处理 ICMP 数据包 2. 防范 ICMP 的攻击虽然 ICMP 协议提供了被攻击的可能, 但是只要在网络管理中做到合理配置就可以有效地避免 ICMP 攻击对于 Ping of Death 攻击, 可以采用两种方法进行防范 : 第一种方法是在路由器上对 ICMP 数据包进行带宽限制, 将 ICMP 占用的带宽控制在一定的范围内, 这样即便有 ICMP 攻击, 它所占用的带宽也是非常有限的, 对整个网络的影响非常少 ; 第二种方法就是在主机上设置 ICMP 数据包的处理规则, 最好是设定拒绝所有的 ICMP 数据包设置 ICMP 数据包处理规则的方法也有两种, 一种是在操作系统上设置包过滤, 另一种是在主机上安装防火墙, 具体设置如下 : 在 Windows 2000 server 中设置 ICMP 过滤 Windows 2000 server 提供了路由与远程访问服务, 但是默认情况下是没启动的, 因此首先要启动它 : 点击管理工具中的路由与远程访问, 启动设置向导在其中选择手动配置服务器项, 点击下一歩按钮, 稍等片刻后, 系统会提示路由和远程访问服务器现在已经安装, 要开始服务吗? 点击是按钮启动服务服务启动后, 在计算机名称的分支下会出现一个 IP 路由选择, 点击它展开分支, 再点击常规, 会在右边出现服务器中的网络连接 ( 即网卡 ) 用鼠标右键点击你要配置的网络连接, 在弹出菜单中点击属性, 会弹出一个网络连接属性的窗口, 如图 8-14 所示

189 184 第 8 章 IP 网络协议及技术图 8-14 路由和远程访问设置图中有两个按钮, 一个是输入筛选器 ( 指对此服务器接受的数据进行筛选 ), 另一个是输出筛选器 ( 指对此服务器发送的数据进行筛选 ), 这时应该点击输入筛选器按钮, 会弹出一个添加筛选器窗口, 如图 8-15 所示, 再点击添加按钮, 表示要再增加一个筛选条件图 8-15 输入筛选器设置在协议右边的下拉列表中选择 ICMP, 在随机出现的 ICMP 类型和 ICMP 编码中均输入 255, 代表所有的 ICMP 类型及其编码 ICMP 有许多不同的类型 (Ping 就是一种类型 ), 每一种类型也有许多的状态, 用不同的编码来表示点击确定按钮返回输入筛选器窗口, 此时会发现筛选器列表多了一项内容, 点击确定按钮返回本地链接窗口, 再点击确定按钮, 此时筛选器就生效了, 从其他计算机上 Ping 这台主机就不会成功了现在许多防火墙默认情况下都启动了 ICMP 过滤的功能按钮如果没有启用只要选中防御 ICMP 攻击, 防止别人用 Ping 命令探测就可以了, 如图 8-16 所示

190 8.4 互联网控制报文协议 ICMP 185 图 8-16 防火墙启动 ICMP 过滤 3.ICMP 扫描技术 Ping 程序是利用 ICMP 协议实现的 ICMP 协议的扫描技术主要是利用 ICMP 协议最基本的报错功能, 根据网络协议规定, 如果出现了传输错误, 接受方会产生一个 ICMP 的差错报文差错报文不是主动发送的, 而是由于网络传输出现错误自动产生的当 IP 数据报出现版本号错误时, 目标主机将抛弃这个数据报, 如果是 Checksum 出现错误, 那么路由器就直接丢弃这个数据报有些主机 ( 如 AIX,HP-UX 等 ) 是不会发送 ICMP 和 Unreachable 数据报的下面是 ICMP 协议的一些特性 : 1 向目标主机发送一个只有 IP 头的 IP 数据包, 目标主机将返回一个 Desti nation Unreachable 的 ICMP 错误报文 2 向目标主机发送一个 IP 数据报, 如不正确的 IP 头长度, 目标主机将返回 Paranmeter Problem 的 ICMP 错误报文 3 向目标主机发送一个 IP 数据报, 但是协议项是错误的, 比如协议项不可用, 目标主机将返回 Destinnation Unreachable 的 ICMP 报文但是如果是在目标主机前有一个防火墙或者一个其他的过滤装置, 可能过滤掉提出的要求, 从而接收不到任何回应, 可以使用一个非常大的协议数字作为 IP 头部的协议内容, 主机一定会返回 Unreachable; 如果没有 Unreachable 的 ICMP 数据报返回错误提示, 那么就说明被防火墙或者其他设备过滤了, 我们也可以用这个办法来探测是否有防火墙或者其他设备存在利用 IP 的协议项来探测主机正在使用哪些协议, 我们可以把 IP 头的协议项改变因为是 8 位, 有 256 种可能通过目标返回的 ICMP 错误报文, 来判断哪些协议在使用, 如果返回 Destinnation Unreachablene, 那么主机是没有使用这个协议 ; 相反, 如果什么都没有返回的活, 主机可能使用这个协议, 但是也可能是防火墙过滤掉了我们能够利用上面这些特性来提到防火墙的 ACL(Access List), 甚至用这些特性来获得

191 186 第 8 章 IP 网络协议及技术整个网络拓扑结构如果我们不能够从目标得到 Unreachable 报文或者分片组装超时报文, 可以作下面的判断 : 1 防火墙过滤了我们发送的协议类型 2 防火墙过滤了我们指定的端口 3 防火墙阻塞 ICMP 的 Destinnation Unreachablene 或者 Protoecol Unreachablene 错误消息 4 防火墙对我们指定的主机进行了 ICMP 错误报文阻塞 8.5 下一代网络协议 IPv IPv6 协议结构人们在若干年前就认识到 IPv4 在地址空间和安全性等方面的局限性, 开发了新版本的 IP 协议 :IPv6[RFC 2460] 目前,IPv6 已经在大多数计算机操作系统上得以实现, 新的路由产品开始支持 IPv6, 实验性的 IPv6 网络开始运行并开始检测 IPv6 的可行性, 修改其可能存在的缺陷新的 IPv6 数据包结构如图 8-17 所示 Version Traffic Class Flow Label Payload Length Next Header Hop Limit Source IP Address(128bit) Destination IP Address(128bit) Payload 图 8-17 IPv6 数据包结构 IPv6 数据包头部结构 : 1 版本 (Version) 域 : 长度 4 比特, 值为 6 2 业务类型 (Traffic Class) 域 : 长度 4 比特, 用来确定该数据包所属的业务类型或优先级在 IPv6 规范中 0~7 级的优先级为受拥塞控制的业务量所使用, 这种业务量的最低优先级为 1,Internet 控制用的业务量的优先级为 7, 如图 8-18 所示 3 流量记 (Flow Label) 域 : 长度为 24 比特, 用来标记那些需要 IPv6 路由器特殊处理的数据包, 两台主机之间建立连接时分配该识别号, 用来加速路由器对数据包的处理

192 8.5 下一代网络协议 IPv6 187 优先级意义 0 无特殊优先级 1 用于背景业务量 ( 如网络新闻 ) 2 零散的数据传送 ( 如 ) 3 保密 4 持续业务量 ( 如 FTP) 5 保留 6 会话型业务量 ( 如 Telnet) 7 Internet 控制业务量 ( 如 SNMP) 图 8-18 受拥塞控制的业务量中的 IP 优先级一个流由其源地址目的地址和流标识符来命名在 IPv6 规范中对流作如下定义 : 流是指从某个信源向 ( 单目或组播的 ) 信宿发送的分组群中, 信源要求中间路由器作特殊处理的那些分组换句话说, 流是指信源信宿和流标记三者分别相同的分组的集合任何的流标记都不得在路由器中保持 6 s 以上路由器在 6 s 之后必须删除高速缓存 (Cache) 中登录项, 当该流的下一个分组出现时, 此登录项被重新学习并非所有的分组都属于流, 实际上在 IPv4 向 IPv6 的过渡期间大部分的分组不属于特定的流例如,SMTP FTP 以及 WWW 浏览器等传统的应用均可生成分组这些程序原本时为了 IPv4 而设计的, 在过渡期为使 IPv4 地址和 IPv6 地址都能处理而进行了改进, 但不能处理在 IPv4 中不存在的流在这分组中应置入由 24 比特 0 组成的空流标记 4 有效荷载长度 (Payload Length) 域 : 长度 16 比特, 以 8 比特为单位表示不包含 IPv6 头在内的有效荷载数据长度, 应该注意的是这里的有效荷载长度包含 IPv6 扩展头部的长度但如果使用逐跳 (Hop By Hop) 选项扩展头不得特大有效载荷选项, 就能传送更大的数据包利用此选项时有效载荷长度置 0 5 下一个头部标记 (Next header) 域 : 长度 8 比特, 指明紧接在 IPv6 后头的第一个扩展头部 (Extention Header) 的类型扩展头部的类型有 : 逐跳选项头部 (hop by hop options header): 运载每个 IP 路由器必须解释的选项信息例如, 它可以用于传输超大有效荷载信息路由选择头部 (routing header): 定义了该包必须经过 IP 路由器 ( 也称源路由 ) 分段头部 (fragment header): 当传输的用户数据大于有效荷载所能允许的最大长度时便要用到分段头部, 分段头部传送了有效荷载携带的用户数据段在整个用户数据单元中的偏移量身份验证头部 (authentication header): 可选的认证信息安全封装有效荷载头部 (encapsulating security payload header): 携带有效荷载的额外保护信息目的选项头部 (destination options header): 携带仅为目的结点检查用的可选信息 6 跳数限制 (Hop Limit) 域 : 长度 8 比特, 域 IPv4 头部中的 TTL 域相同, 表示本 IP 包在网络中传送时的最大跳数, 逐跳递减, 为 0 时该 IP 包被丢失 7 源 IP 地址 (Source IP Address) 域 : 长度为 128 比特, 表示发出本 IP 包的源地址 8 目的 IP 地址 (Destination IP Address) 域 : 长度 128 比特, 表示本 IP 包的目的地址

193 188 第 8 章 IP 网络协议及技术 IPv6 与 IPv4 的比较 IPv6 与 IPv4 相比, 最显著的特点在于其地址和安全方面 IPv6 的地址格式与 IPv4 不同 : 一个 IPv6 的 IP 地址由 8 个地址节组成, 每节包含 16 个地址位例如, 一个用点分十进制记法表示的 128 位比特地址 : 明显可以看出用点分十进制记法表示 IPv6 的地址不够方便为此,IPv6 以 4 个十六进制数书写, 节与节之间用冒号分隔, 前面的例子就变成 68E6:8C64:FFFF:FFFF:0:1180:960A:FFFF 除了 128 位的庞大地址空间,IPv6 还为点对点通信设计了一种具有分级结构的地址, 这种地址被称为可聚合全局单点广播地址 (Aggregatable Global Unicast-Address) 开头 3 个地址位是地址类型前缀, 用于区别其他地址类型其后 13 位 TLA ID 16 位 SLA ID 和 64 位主机接口 ID, 分别用于标识分级结构中自顶向底排列的 TLA(Top Level Aggregator, 顶级聚合体 ) NLA(Next Level Aggregator, 下级聚合体 ) SLA(Site Level Aggregator 位置聚合体 ) 和主机接口 TLA 是与长途服务供应商和电话公司相互联接的公共网络接入点, 它从国际互联网注册机构如 IANA 处获得地址 NLA 通常是大型 ISP, 它从 TLA 处申请获得地址, 并为 SLA 分配地址 SLA 也可称为订户 (Subscriber), 它可以是一个机构或一个小型 ISP SLA 负责为属于它的订户分配地址 SLA 通常为其订户分配由连接地址组成的地址块, 以便这些机构可以建立自己的地址分级结构以识别不同的子网分组结构的最底级是网络主机 IPv6 继承了 IPv4 的动态主机配置协议 (DHCP,Dynamic Host Configuration Protocol), 并将其称为全状态自动配置 (Stateful Auto-Configuration) 除了全状态自动配置, IPv6 还采用了一种被称为无状态自动配置 (Stateless Auto-Configuration) 的自动配置服务在无状态自动配置过程中, 主机首先通过它的网卡 MAC 地址附加在链接本地地址前缀之后, 产生一个链接本地单点广播地址 (IEEE 已经将网卡 MAC 地址由 48 位改为 64 位如果主机采用的网卡的 MAC 地址依然是 48 位, 那么 IPv6 网卡驱动程序会根据 IEEE 的一个公式将 48 位 MAC 地址转换为 64 位 MAC 地址 ) 接着主机向该地址发出一个被称为邻居探测 (Neighbor Discovery) 的请求, 以验证地址的唯一性如果请求没有得到相应, 则表明主机自我设置的链接本地单点广播地址是唯一的否则, 主机将使用一个随机产生的接口 ID 组成一个新的链接本地单点广播地址然后, 以该地址位源地址, 主机向本地链接中所有路由器多点广播一个被称为路由器请求 (Router Solicitation) 的配置信息请求, 路由器以一个包含一个可聚合全局单点广播地址前缀和其他相关配置信息的路由器公告响应该请求主机用它从路由器得到的全局地址前缀加上自己的接口 ID, 自动配置全局地址, 然后就可以于互联网中的其他主机通信了这样, 无需手动干预就能够改变网络中所有主机的 IP 地址例如, 当企业更换了联入互联网的 ISP 时, 将从新 ISP 处得到一个新的可聚合全局地址前缀,ISP 把这个地址前缀从它的路由器上传送到企业路由器上由于企业路由器将周期性地向本地链接中的所有主机多点广播路由器公告, 因此企业网络中所有主机都将通过路由器公告收到新的地址前缀, 此后, 它们就会自动产生新的 IP 地址并覆盖旧的 IP 地址由于在 IPv4 协议设计之初没有充分考虑安全性, 因而在早期的互联网上时常发生诸如企业或机构网络遭到攻击机密数据被窃取等不幸的事情, 为了加强互联网的安全性, 从 1995 年开始 IETF 着手研究制定了一套用于保护 IP 通信的 IP 安全 (IPSec,IP-Security) 协议 IPSec 是 IPv6 的一个组成部分, 而同时也是 IPv4 的一个可选扩展协议 IPSec 提供了两种安全机制 :

194 8.5 下一代网络协议 IPv6 189 认证和加密认证机制使 IP 通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动加密机制通过对数据进行编码来保证数据的机密性, 以防数据在传输过程中被他人截获而失密 IPSec 的认证包头 (AH,Authentication Header) 协议定义了认证的应用方法, 封装安全负载 (ESP,Encapsulating Security Payload) 协议定义了加密和可选认证的应用方法在实际进行 IP 通信时, 可以根据安全需求同时使用这两种协议或选择使用其中一种 AH 和 ESP 都可以提供认证服务, 不过,AH 提供的认证服务要强于 ESP 在一个特定的 IP 通信中使用 AH 或 ESP 时, 协议将与一组安全信息和服务发生关联, 称为安全关联 ( SA,Security Association) SA 可以包含认证算法, 用于认证和加密密钥 IPSec 使用一种密钥分配和交换协议如互联网安全关联和密钥管理协议 ( ISAKMP,Internet Security Association and Key Management Protocol) 来创建和维护 SA,SA 是一个单向的逻辑连接, 也就是说, 两个主机之间的认证通信将使用两个 SA, 分别用于通信的发送方和接收方 IPSec 定义了两种类型的 SA: 传输模式 SA 和隧道模式 SA 传输模式 SA 是在 IP 包头 ( 以及任何可选的扩展包头 ) 之后和任何高层协议 ( 如 TCP 或 UDP) 包头之间插入 AH 或 ESP 包头, 隧道模式 SA 是将整个原始的 IP 数据包放入一个新的 IP 数据包中在采用隧道模式 SA 时, 每一个 IP 数据包都有两个 IP 包头 : 外部 IP 包头和内部 IP 包头外部 IP 包头指定将对 IP 数据包进行 IPSec 处理的目的地址, 内部 IP 包头指定原始 IP 数据包最终的目的地址传输模式 SA 只能用于两个主机之间的 IP 通信, 而隧道模式 SA 既可以用于两个主机之间的 IP 通信, 还可以用于两个安全网关之间或一个主机与一个安全网关之间的 IP 通信安全网关可以是由路由器防火墙或 VPN 设备作为 IPv6 的一个组成部分,IPSec 是一个网络层协议它只负责其下层的网络安全, 并不负责其上层应用的安全, 如 Web 电子邮件和文件传输等也就是说, 验证一个 Web 会话, 依然需要使用 SSL 协议不过,TCP/IP 协议族中的协议可以从 IPSec 中受益, 例如, 用于 IPv6 的 OSPF 路由选择协议就会去掉了用于 IPv4 的 OSPF 中的认证机制 IPv4 向 IPv6 的过渡尽管 IPv6 比 IPv4 具有明显的先进性, 但是要想在短期内将所有 IP 网络从 IPv4 升级到 IPv6 是不可能的, 也就是说,IPv6 与 IPv4 在 IP 网络中长期共存是不可避免的为此, 作为 IPv6 研究工作的一个部分,IETF 制定了推动 IPv4 向 IPv6 过渡的方案, 其中包括了三个机制 : 兼容 IPv4 的 IPv6 地址双 IP 协议栈和基于 IPv4 隧道 (IPv4 Tunnel) 的 IPv6 兼容 IPv4 的 IPv6 地址是一种特殊的 IPv6 单点广播地址, 一个 IPv6 节点与一个 IPv4 节点可以使用这种地址在 IPv4 网络中通信这种地址是由 96 个 0 位加上 32 位 IPv4 地址组成的, 例如, 假设某节点的 IPv4 地址是 , 那么兼容 IPv4 的 IPv6 地址就是 :0:0:0:0:0:0:C038:101, 简记为 :: C038:101 或 :: 双 IP 协议栈是在一个系统 ( 如一个主机或一个路由器 ) 中同时使用 IPv4 和 IPv6 两个协议栈这类系统既拥有 IPv4 地址, 也拥有 IPv6 地址, 因而可以收发 IPv4 和 IPv6 两种 IP 数据包与双 IP 协议栈相比, 基于 IPv4 隧道的 IPv6 是一种更为复杂的技术, 它是将整个 IPv6 数据包封装在 IPv4 数据包中, 由此实现在当前的 IPv4 网络 ( 如互联网 ) 中 IPv6 节点与 IPv4 节点之间的 IP 通信基于 IPv4 隧道的 IPv6 实现过程分为 3 个步骤 : 封装解封和隧道管理封装是指由隧道起始点创建一个 IPv4 包头, 将 IPv6 数据包装入一个新的 IPv4 数据包中解封是指由隧道终结点移去 IPv4 包头, 还原原始的 IPv6 数据包隧道管理是指隧道起始点维护隧道的配置信息, 如隧道支持的最大传输单元 (MTU) 的尺寸等

195 190 第 8 章 IP 网络协议及技术双 IP 协议栈和基于 IPv4 的 IPv6 网络使用 IPv4 网络能够以可控的速度向 IPv6 迁移在开始向 IPv6 过渡之前首先必须设置一个同时支持 IPv4 和 IPv6 的新 DNS 服务器在该 DNS 服务器中,IPv6 主机名称与地址的映射可以使用新的 AAAA 资源记录类型来建立,IPv4 主机名称与地址的映射仍然使用 A 资源记录类型来建立 8.6 IP 封装分段和重组数据报传输与帧当主机或路由器处理一个数据包时, 首先选择数据包发往的下一跳 N, 然后通过物理网络将数据包传送给 N 但是, 网络硬件并不了解数据包格式或 Internet 寻址相反, 每种硬件技术定义了自己的帧格式和物理寻址方案, 硬件只接收和传送那些符合特定帧格式以及使用特定的物理寻址方案的包另外, 由于一个 Internet 可能包含异构网络, 穿过当前网络的帧格式与前一个网络的帧格式可能是不同的 IP 封装为了解决上述问题, 引入了封装 (Encapsulation) 技术即将一个 IP 数据包封装进一个帧中, 这时整个数据包被放进帧的数据区网络硬件像对待普通帧一样对待包含一个数据包的帧事实上, 硬件不会检测或改变帧的数据区内容由于网络层可能有多种协议而不仅仅是 IP 协议, 因此必须在帧头中设置类型域, 以此向接收方说明帧类型这样, 当帧到达接收方, 接收方就能根据它的类型域值知道帧中含有一个 IP 数据包此外, 帧同样要有一个目的地址, 它需要根据数据包中的 IP 地址, 经过定址后获得它实际上是从收到数据包的主机到目的 IP 地址的路径中下一跳主机的物理地址需要指出, 物理地址就是在单个网络内部对一个计算机进行寻址所使用的地址在局域网中, 物理地址一般都固化在网卡上的 ROM 中, 常被称为 MAC 地址在获得这个物理地址后, 当前主机即可将该帧成功送往下一跳当帧到达下一跳时, 接收软件从帧中取出数据包, 然后丢弃这一帧如果数据包必须通过另一个网络转发时, 就会产生一个新的帧由于每个网络可能使用一种不同于其他网络的硬件技术, 因此帧的格式也相应地不同当数据包要通过一个物理网络时, 会被封装进这个网络所对应的帧中主机和路由器只在内存中保留了整个数据包而没有多余的帧头信息当数据包通过一个物理网络时, 才会被封装进一个合适的帧中帧头的大小依赖于相应的网络技术例如, 如果网络 1 是一个以太网, 则帧 1 有一个以太网头部类似地, 如果网络 2 是一个 FDDI 环, 则帧 2 有一个 FDDI 头部分段每一种硬件技术都规定了一帧所能携带的最大数据量, 这一限制称为最大传输单元 (MTU,Maximum Transmission Unit) 网络硬件在设计上不能接受或传输数据量大于 MTU 的帧, 因而一个数据包必须小于或等于一个网络的 MTU 在一个 Internet 中, 包含各种异构的网络, 它们的 MTU 各不相同, 因此会导致一些问题特别是由于一个路由器可能连着不同 MTU 值的多个网络, 能从一个网上接收数据包并不意

196 8.6 IP 封装分段和重组 191 味着一定能在另一个网上发送此数据包例如, 图 8-19 中, 一个路由器连接了两个网络, 这两个网络的 MTU 值分别为和图 8-19 路由器 R 连接两个不同 MTU 网段在图 8-19 中, 主机 H2 连着 MTU 值为 1000 的网络 2 因此,H2 能传送的数据包的尺寸小于等于 1000 字节然而, 主机 H1 连着 MTU 值为 1500 的网络 1, 因此能传送最多到字节的数据包如果 H1 将一个字节的数据包发给 H2, 路由器 R 收到数据包后却不能在网络 2 上发送它为此, 人们提出分段 (Fragmentation) 技术来解决这一问题当一个数据包的尺寸大于将发往的网络的 MTU 值时, 路由器会将数据包分成若干较小的段 (Fragment), 然后再将每段独立的进行发送每个段与原数据包具有同样的格式, 只是头部的稍有不同 : 标志 (Identification) 域中有一位标识了一个数据包是一个段还是一个完整的数据包 ( 数据包头格式见前 ) 段的头部中的其他域中包含有其他一些信息, 以便用来重组这些段, 重新生成原始数据包另外, 头部的段偏移 (Fragment Offset) 域指出该段在原始数据包中的位置在对一个数据包分段时, 路由器使用相应网络的 MTU 和数据包头部尺寸来计算每段所能携带的最大数据量以及所需段的个数, 然后生成这些段路由器先为每一段生成一个原数据包头部的副本作为段的头部, 然后单独修改其中的一些域, 例如, 路由器会设置标志 (Identification) 域中的相应位以指示这些数据包含的是一个段最后, 路由器从原数据包中复制相应的数据到每个段中, 并开始传送图 8-20 表明了这一过程图 8-20 数据包分段图 8-20 中, 该 IP 数据包被分成 3 段每段携带着原始数据包的一部分数据, 并有类似于原始数据包的 IP 头部, 每个段尺寸小于它所经网络的 MTU 重组在所有的段的基础上重新产生原数据包的过程叫重组 (Reassembly) 由于每个段都以原数据包头部的一个副本作为开始, 因此都有与原数据包同样的目的地址另外, 含有最后一块数据的段在头部设置有一个特别的位, 因此, 执行重组的接收方能报告是否所有的段都成

197 192 功地到达需要注意的是, 只有最终目的主机才会对段进行重组例如, 如果主机 H1 发送一个字节的数据包, 路由器 R1 将会把数据包分为两段, 转发给路由器 R2,R2 并不进行段的重组, 只是直接转发这些段最终目的主机 H2 搜集了这些段之后, 将重组它们, 以生成原数据包只在最终目的地重组段有两大好处首先, 减少了路由器中状态信息的数量当转发一个数据包时, 路由器不需要知道它是不是一个段其次, 允许路径动态地变化如果一个中间路由器要重组段, 则所有的段都须到达这个路由器才行而且通过将重组推后到目的地,IP 就可以自由地将数据包的不同段沿不同的路径传输前面说过 IP 并不保证送达, 因而单独的段可能会丢失或不按次序到达另外, 如果一个源主机将多个数据包发给同一个目的地, 这些数据包的多个段就可能以任意的次序到达 IP 软件怎样重组这些乱序的段呢? 发送方将一个唯一的标识放进每个输出数据包的标识 (Identification) 域中当一个路由器对一个数据包分段时, 就会将这一标识数复制到每一段中, 接收方就可利用收到的段的标识数和 IP 源地址来确定该段属于那个数据包另外, 段偏移 (Fragment Offet) 域可以告诉接收方各段的次序只有一个数据包的所有的段都收到了, 才能重组该数据包因此有一个相应问题出现 : 一个数据包的一部分段到达的同时, 很可能仍有一些段被延迟或丢失尽管这时数据包还不能被重组, 接收方仍须保留所有已收到的段, 以防未到的段可能只是被延迟当然, 接收方不能将这些段保留任意长的时间, 因为它们会占用大量的内存资源为了避免耗尽内存,IP 规定了保留段的最大时间当数据包的某一段第一个到达时, 接收方开始一个计时器如果数据包的所有段在规定时间内在到达, 接收方取消计时, 重组数据包否则, 到了时间, 而所有段还未到齐, 接收方会丢弃已到达的段引入 IP 重组计数器结果是全有 / 全无 (All-or-Nothing): 要么所有的段都到达了并且 IP 重组数据包, 要么 IP 丢弃了整个数据包另外, 没有任何机制使接收方去告知发送方已收到哪些段由于发送方本身并不知道有关分段的事情, 这一设计就显得有用更进一步地, 如果发送方重发该数据包, 路由可能不同, 因为每次传输并不总是通过同样的路由器因此, 无法保证重发的数据包会像上次一样地被分段分段之后, 路由器将每一段转发给它的目的地如果某段遇到一个 MTU 值更小的网络时, 将在已有分段的基础上, 将比 MTU 大的再分段如果一个互联网设计得很糟糕, 其中的网络按 MTU 从大到小依次连接, 则路径上的每个路由器就必须对段再进行分段 IP 对源段与子段并不加以区分, 接收方也并不知道收到的是一个第一次分段后形成的段还是一个已经被多个路由器多次分段后形成的段同等对待所有段的优点在于 : 接收方并不需先重组子段后才能重组原数据包, 这样一来就节省了 CPU 时间, 减少了每一段的头部中所需的信息量

198 第 9 章 TCP 和 UDP 协议 Internet 为网络应用提供了两种不同的传输协议 : 用户数据包传输协议 (UDP,User Datayrom Protocol) 和传输控制协议 TCP(Traster Contrd Protocol), 不同的网络应用使用不同的协议例如,HTTP 使用 TCP 协议, 而普通文件传输协议 ( TFTP,Trivial File Transter Protocol) 则使用 UDP 协议 9.1 UDP 用户数据包协议 UDP 是一个简单的面向非连接的传输层协议,UDP 不提供可靠性, 即 UDP 协议不提供端到端的确认和重传功能, 它不保证信息包一定能到达目的地, 因此称为不可靠协议 UDP 具有以下几个特点 : 1UDP 是一个无连接协议, 数据包在传输之前发送端和接收端不建立连接 UDP 只是简单地把应用程序的数据尽快的发送到网络上, 在发送端,UDP 传送数据的速度仅仅是受应用程度生成数据的速度计算机的能力和传输带宽的限制 ; 在接收端,UDP 把每个消息段放在队列中, 应用程序每次从队列中读一个消息段 2 由于传输数据之前不建立连接, 因此也就不需要维护连接状态, 包括收发状态等, 因此一台服务机可同时向多个客户机传输相同的消息 3UDP 数据包的首部很短, 只有 8 个字节, 对于 TCP 的 20 个字节信息包来说其额外开销比较小 4 吞吐量不受拥挤控制算法的调节, 只受应用软件生成数据的速率传输带宽发送端和接收端主机性能的限制也就是说网络出现的拥塞不影响发送端的发送速率, 这对某些实时应用是很重要的, 很多的实时应用 ( 如 IP 电话实时视频会议等 ) 要求源主机以恒定的速率发送数据, 并且允许在网络发生拥塞时丢失一些数据, 但不允许数据有太大的时延 UDP 正好适合这种应用 UDP 协议的数据包格式 UDP 协议直接利用 IP 协议进行 UDP 数据包的传输,UDP 数据包封装成一份 IP 数据包的格式如图 9-1 所示图 9-1 UDP 数据包封装

199 9.1 UDP 用户数据包协议 UDP 首部 UDP 数据包的各字段如图 9-2 所示, 它由 5 个域组成 : 源端口 (Source Port) 目的端口 (Destination Port) 用户数据包的长度 (Length) 校验和 (Checksum) 和数据 (Data), 其中, 前 4 个域组成了 UDP 的首部 (UDP Header), 每个域由两个字节组成 ; 检查和域用来检测传输过程中时否出现了错误,UDP 长度字段指的是 UDP 首部和 UDP 数据的字节长度,UDP 长度的冗余的 IP 数据包长度指的是数据包全文, 已经包括了 UDP 的长度因此 UDP 数据包长度是 IP 全长减去首部的长度位源端口号 16 位目的端口号 16 位 UDP 长度 16 位 UDP 校验和数据图 9-2 UDP 首部字段和数据 2.UDP 校验和 UDP 校验和覆盖 UDP 首部和 UDP 数据, 第 8 章介绍了 IP 首部的校验和它只覆盖了 IP 的首部, 并不覆盖 IP 数据中的任何数据如果校验和的计算结果为 0, 则存入的值为全 1(65535), 这在二进制反码计算中是等效的, 如果传送的校验和为 0, 说明发送端没有计算校验和如果发送端没有计算校验和或接收端收到校验和有差错, 那么 UDP 数据包就要被丢弃, 不产生任何差错报文 UDP 校验和是一个端到端的校验和, 它由发送端计算, 然后由接收端验证是否出现了错误下面举例说明使用校验和校验错误的过程例如, 从发送端 A 发送下列 3 个 16 位二进制数 :DATA1 DATA2 和 DATA3 到接收端 B, 校验和的计算如图 9-3 所示 DATA DATA DATA SUM= DATA1+ DATA2+ DATA 校验和 (SUMR 的反码 ) 图 9-3 校验和的计算从发送端发出的 4 个 (DATA DATA2 DATA3 以及校验和 )16 位二进制数之和全是 , 就以为传输过程中没有出差错 UDP 协议的应用既然 UDP 是一种不可靠的网络协议, 那么还有使用价值吗? 其实不然, 在有些情况下 UDP 协议可能会变得非常有用, 因为 UDP 具有 TCP 所望尘莫及的速度优势虽然 TCP 协议中具有各种安全保障功能, 但是在实际执行的过程是会占用大量的系统开销, 无疑使速度受到严重的影响, 而 UDP 由于排除了信息可靠传递机制, 将安全和排序等功能移交给上层应用

200 194 第 9 章 TCP 和 UDP 协议来完成, 极大地降低了执行时间, 使速度等到保障 9.2 TCP 传输控制协议 TCP 协议 (Transmission Control Protocol) 是面向连接的, 端到端的可靠协议, 它支持多种网络应用程序 TCP 对下层服务没有多少要求, 它假定下层只能提供不可靠的数据包服务, 它可以在多种硬件构成的网络上运行图 9-4 是 TCP 在层次结构中的位置, 它的下层是 IP 协议,TCP 可以根据 IP 协议提供的服务传送大小不定的数据,IP 协议负责对数据进行分段重组和在多种网络中传送应用层 TCP IP 网络传输图 9-4 TCP/IP 的层次结构 TCP 的上层是应用程序, 下层是 IP 协议, 上层接口包括一系列类似于操作系统中断的调用, 下层接口我们假定为 IP 协议接口为了在并不可靠的网络上实现面向连接的可靠的传送数据,TCP 必须解决可靠性流量控制的问题, 必须能够为上层应用程序提供多个接口, 为多个应用程序提供数据 ; 同时,TCP 也必须解决连接问题, 这样 TCP 才能称得上是面向连接的 ; 最后,TCP 也必须能够解决通信安全性的问题 TCP 的服务尽管 TCP 和 UDP 都使用相同的网络层 (IP), TCP 却向应用层提供 UDP 完全不同的服务,TCP 提供一种面向连接的可靠的字节流服务面向连接意味着两个使用 TCP 的应用 ( 通常是一个客户端和一个服务器端 ) 在彼此交换数据之前必须先建立一个 TCP 连接, 在一个 TCP 连接中, 仅有两方进行彼此通信,TCP 通过下列方式来提供可靠性 : 应用数据被分割成 TCP 认为最合适发送的数据的数据块, 这和 UDP 完全不同应用程序的数据包长度将保持不变, 由 TCP 传递给 IP 的信息单位称为报文手段 (Segnent) 当 TCP 发出一个报文段后, 它启动一个定时器, 等待目的端确认收到这个报文段如果不能及时收到一个确认 (ACK), 将重发这个报文段当 TCP 收到来自 TCP 连接另一端的数据, 它将发送一个确认, 这个确认不是立即发送, 通常是将推迟几分之一秒 TCP 将保持它首部和数据的校验和, 这是一个端到端的检验和, 目的是检测数据在传输过程中的任何变化如果收到段的校验和有差错,TCP 将丢弃这个报文段和不确认收到此报文段 ( 希望发端超时并重发 ) 既然 TCP 报文段段作为 IP 数据包来传输而 IP 数据包的到达可能会失序, 因此 TCP 报文段的到达也可能会失序, 所以 TCP 将对收到的数据进行重新排序, 将收到的数据以正确的顺序交给应用层既然 IP 数据包会发生重复 TCP 的接收必须能够丢弃重复的数据

201 9.2 TCP 传输控制协议 195 TCP 还能提供流量控制 TCP 连接的每一方都有固大小的缓冲空间,TCP 的接收端只允许另一端发送接收端缓冲区所能接纳的数据, 这将防止较快主机致使较慢主机的缓冲区溢出 TCP 首部 TCP 数据被封装在一个 IP 数据包中, 如图 9-5 所示图 9-5 TCP 数据在 IP 数据包中的封装图 9-6 显示的数据包格式, 其首部的长度通常是 20 个字节, 其名字段定义如下 : 图 9-6 TCP 数据包的格式 116 位源端口号和 16 位目的端口号 : 每个 TCP 报文段都包含源端和目的端口号, 用于寻找发送端的应用程序, 端口号加上 IP 首部中的源端 IP 地址和目的端 IP 地址将唯一确定了一个 TCP 的连接, 端口号通常也称为进程地址 232 位序号 : 序号用来标识从 TCP 发送端口向 TCP 接收端发送的数据字节流, 它表示在这个报文段中的第一个数据字节如果将字节流看做在两个应用程序间的单向流动, 则 TCP 用序号对每个字节进行计数, 序号是 32 bit 的无符号数, 序号的最大值是 , 之后又从 0 开始

202 196 第 9 章 TCP 和 UDP 协议当建立一个新的连接时,SYN 标志变 1 序号字段包含由这个主机选择的该连接的初始序号 (Initial Sequence Number), 该主机要发送数据的第一字节序号为这个 ISN 加 1, 因为 SYN 标志占用了一个序号 332 位确认序列号 : 如果设置了 ACK 控制位, 这个值表示一个准备接收包序列号, 每个传输的字节都被计数确认序列号包含发送确认的一端所期望收到的下一序号, 因此, 确认序号应当是上次已成功收到数据字节序号加 1, 只有 ACK 标志为 1 时确认为序号字段才有效发送 ACK 无需任何代价, 因为 32 bit 的确认序号字段和 ACK 标志一样, 总是 TCP 首部的一部分, 因此, 我们看到一旦一个连接建立起来, 这个字段总是被设置,ACK 标志是被设置为 1 44 位首部长度 : 首部长度指出了首部中 32 bit 字的数目, 正常的 TCP 首部长度是 20 字节, 由于选项字段的长度是可变, 所以有时首部长度可能会大于 20 字节这个字段占 4 bit, 因此 TCP 我有 60 字节的首部 56 个标志字段 : 在 TCP 首部中 6 个标志比特, 即 URG 紧急指针 ACK 确认序号 PSH 推标志 PST 重建连接 SYN 同步序号和 FIN 结束标志, 它们的含义如表 9-1 所示表 9-1 TCP 首部的 6 个标志比特 TCP 标记描述 SYN: 同步标志 ACK: 确认标志 RST: 复位标志 URG: 紧急标志 PSH: 推标志 FIN: 结束标志同步序列编号 (Synchronize Sequence Numbers) 栏有效该标志仅在三次握手建立 TCP 连接时有效它提示 TCP 连接服务端检查序列编号, 该序列编号为 TCP 连接初始端 ( 一般是客户端 ) 初始序列编号, 在这里, 可以把 TCP 序列编号看做是一个范围从 0 到 4,194,295 的 32 位计数器通过 TCP 连接交换的数据中每一个字节都经过序列编号在 TCP 报头中的序列编号栏包括了 TCP 分段中第一个字节的序列编号确认编号 (Acknowledgement Numter) 栏有效太多大多数情况下该标志是置位的, TCP 报头内的确认编号栏内包含的确认编号 (W+1,Figure-1) 为下一个预期的序列编号, 同时提示远端系统已经成功接收到所有数据对当前通信的状态进行复位当通信时发生了不可恢复的传输故障时, 就要使用复位, 发送设备使用这个标志位来表示你在听我说一遍吗?, 当发出 RST 之后通信会话必须重新开始表明发送设备有一些优先级更高的信息要发送, 在紧急 (The Urgent Pointer) 标志有效的数据包中有重要的信息当设备接收到设置了 URG 标志包时, 它首先处理这个信息该标志被设置时, 接收端不将数据进行队列处理, 而是尽可能快将数据转由应用处理在处理 Telnet 或 Rlogin 等交互模式的连接时, 该标志总是有效的带有 FIN 标志的数据包表明发送设备要结束一个 TCP 会话, 但对应端口仍处于开放状态, 准备接收后续数据, 一般情况下, 通信会话中每一个设备在实际中断连接之前会发送 FIN 616 位窗口 :TCP 协议可以表述为一个没有选择确认或否认的滑动窗口协议, 它的窗口大小是可变的我们说 TCP 缺少选择确认是因为 TCP 首部中的确认序号表示发送方已成功收到字节, 但还不包含确认序列号所指的字节当前还无法对数据流中选定的部分进行确认例如, 如果 1~1 024 字节已经成功收到, 下一报文段中包含序号从 2 049~3 072 的字节, 接收段并不能确认这个新的报文段它所能做的就是发回一个确认序号为 1025 的 ACK, 它也

203 9.2 TCP 传输控制协议 197 无法对一个报文段进行否认例如, 如果收到 1 025~2 048 字节的报文段, 但它的校验和有错,TCP 接收端所能做到的就是发回一个确认序号为的 ACK TCP 的流量控制由连接的每一端通过声明的滑动窗口大小来提供, 窗口大小为字节数, 起始于确认序号字段指明的值, 这个值是接收端正期望接收的字节窗口大小是一个 16 bit 字段, 因而窗口大小最大为字节, 有别于 HDLC 高级数据链路控制协议的滑动窗口, TCP 协议的滑动窗口大小是可变的, 是收发双方协商的 716 位校验和 : 校验和字段覆盖了 TCP 首部和 TCP 数据, 这个字段一定是由发送端计算和存储, 并由接收端进行验证 TCP 校验和的计算方法和 UDP 校验和的计算方法一样 816 位紧急指针 :URG 标志置 1 时紧急指针才有效, 紧急指针是一个正的偏移量, 和序号字段中的值相加表示紧急数据最后一个字节的序号,TCP 的紧急方式是发送端向接收端发送紧急数据的一种方式 TCP 连接的 3 次握手 TCP 是一种面向连接的可靠的传输层协议面向连接是指一次正常的 TCP 传输需要通过在 TCP 源主机和 TCP 目的主机建立特定虚电路连接来完成, 该程通常被称为 3 次握手第 1 次握手 : 建立连接时, 源主机发送 SYN 包 ( 本次连接的 seq=x) 到目的主机, 并进入 SYN-SEND 状态等待目的主机的确认第 2 次握手 : 目的主机收到 SYN 请求包后如果同意连接则发送 SYN 的确认 ( ACK=x+1) 给源主机, 同时也发送一个自己的 SYN 包 (seq=y), 即 SYN+ACK 包, 此时目的主机进入 SYN-REW 状态第 3 次握手 : 源主机收到目的主机的 SYN+ACK 包后向源主机发送确认包 ACK (ACK=y+1), 此包发送后源端和目的端进入 Established 状态, 完成 3 次握手, 如图 9-7 所示图 9-7 建立 TCP 连接的 3 次握手如果最初建立连接时双方同时都发出了 SYN, 双方会发现这个 SYN 中没有确认, 于是就发送一个 reset 来解决这种情况,3 次握手减少了连接失败的可能性下面是一个 TCP 连接建立的例子 : 3 次报文同步 :

204 198 第 9 章 TCP 和 UDP 协议 TCP A TCP B CLOSED LISTEN 1.SYNSENT <SEQ=100><CTL=SYN> SYNRECEIVED 2. ESTABLISHED <SEQ=300 ><ACK=101><CTL=SYN,ACK> SYNRECEIVED 3. ESTABLISHED <SEQ=101><ACK=301><CTL=ACK> ESTABLISHED 4.STABLISHED <SEQ=101><ACK=301><CTL=ACK><DATA> ESTABLISHED 握手中的第 1 个报文,TCP A 发送 SYN 初始化序列号, 表示它要使用序列号 100; 第 2 个报文中,TCP B 给出了确认, 并且希望接收序列号是 101 的数据段 ; 同时给出了自己的 SYN=300; 在第 3 个报文段中,TCP A 给出确认, 在第 4 个报文中, 它同样给出 ACK=101, 并发送了一些数据, 第 3 个报文中的序列号与第 4 个报文中的一样, 这是因为 ACK 信息不占用序列空间内的序列号同时产生请求的情况如下所示 : 同时请求连接 : TCP A TCP B CLOSED CLOSED 1.SYN-SENT <SEQ=100><CTL=SYN> 2.SYN-RECEIVED <SEQ=300 ><CTL=SYN> SYN-SENT 3. <SEQ=100><ACK=301 ><CTL=SYN,ACK> SYN-RECEIVED 4. SYN-SENT <SEQ=100><ACK=301><CTL=SYN,ACK> 5. ESTABLISHED <SEQ=300><ACK=101><CTL=SYN,ACK> SYN-RECEIVED 6. <SEQ=101><ACK=301 ><CTL=CTL=ACK> ESTABLISHED 使用 3 次握手的主要原因为了防止使用过期的数据段为了这个目的, 必须引入新的控制报文, 如果接收 TCP 处理非同步状态, 在接收到 RESET 后返回到 LISTEN 状态如果 TCP 处理下面几种状态 ESTABLISHED FIN-WAIT-1 FIN-WAIT-2 CLOSE-WAIT CLOSING LAST-ACK TIME-WAIT 时, 放弃连接并通过用户用下面的连接实例说明后一种情况过期 SYN 的恢复 : TCPA TCPB CLOSED LISTEN 1. SYN-SENT <SEQ=100><CTL=SYN> 2.(duplicate) SEQ=90><CTL=SYN> SYN-RECEIVED 3. SYN-SENT <SEQ=300><ACK=91><CLT=SYN,ACK> SYN-RECEIVED 4. SYN-SENT <SEQ=91><CTL=RST> LISTEN 5. SEQ=90><CTL=SYN> SYN> SYN-RECEIVED 6. SYN-SENT <SEQ=400><ACK=101><CTL=SYN,ACK> SYN-RECEIVED 7. ESTABLISHED <SEQ=101><ACK=401><CTL=ACK>

205 9.2 TCP 传输控制协议 199 ESTABLISHED 通过上面的例子, 我们可以看出 TCP 连接是如何从过期数据段的干扰下恢复的, 注意第 4 个报文段中的 RST(RESET 信号 ) DOS( 拒绝服务攻击 ) DOS(Denial Of Service), 利用 3 次握手的拒绝服务攻击其操作过程是 : 当客户端要与报务器进行连接前, 要进行 3 次握手, 首先客户端先发出请求, 服务端回复请求, 攻击就在这个时候产生的, 客户端不做第 3 次握手, 而是重新建立一个新的连接请求, 服务器端一直保持这个回语, 等待客户端连接, 这样客户端大量建立没有第 3 次握手的连接, 导致服务器系统资源占用过高, 直到 Down 机, 如图 9-8 所示图 9-8 DOS 示意图 TCP 关断连接的修改的 3 次握手 + 建立一次连接需要 3 次握手, 而断开一个 TCP 连接需要修改的 3 次握手, 如图 9-9 所示

206 200 第 9 章 TCP 和 UDP 协议图 9-9 TCP 连接释放的报文交换用以建立和关断连接的 3 次握手之间的差别是主机收到初始的 FIN 段报文之后,TCP 不是立刻产生第 2 个 FIN 报文段, 而是发送一个应答, 然后将关断连接的请求通知应用程序, 上述确认防止等待期间重发初始的 FIN 报文段 1. 半开连接和其他非正常状态如果一方在未通过另一方的情况下关闭连接, 或双方虽然失败而不同步的情况我们称为半开连接状态在一方试图发送数据时连接会自动 RESET 然而这种情况毕竟属于不正常情况, 应该作出相应的处理如果 A 处的连接已经关闭,B 处并不知道, 当 B 希望发送数据到 A 时, 就会收到 RESET 信号, 表示这个 TCP 连接有误, 要中止当前连接假设 A 和 B 两个进程相互通信的时候,A 的 TCP 发生了失败,A 依靠操作系统支持 TCP 的存在, 通常这种情况下会恢复机制起作用, 当 TCP 重新恢复的时候 A 可能希望从恢复点开始工作这样 A 可能会试图 OPEN 连接, 然后在这个它认为还是打不开的连接上传送数据, 这时 A 会从本地 ( 也就是 A 的 )TCP 上获得错误消息未打开连接 A 的 TCP 将以送包括 SYN 的数据段, 下面的例子将显示这一过程 : 半导连接检测 : TCP A TCP B 1.CRASH (send 300,receive 100) 2.CLOSED ESTABLISHED 3.SYN-SENT <SEQ=400><CTL=SYN> (??) 4.(!!) <SEQ=300><ACK=100><CTL= ACK> ESTABLISAED 5. SYN-SENT <SEQ=100><ACK=RST> (Abort!!) 6. SYN-SENT CLOSED 7. SYN-SENT <SEQ=400><CTL=SYN> 上面这个例子中,A 方收到的信息并没有确认任何东西, 这时候 A 发现出了问题, 于是了送了 RST 控制信息另一种情况发生在 A 失败, 而 B 仍然试图发送数据时, 下面的例子表示这种情况, 请注意第 2 行中 A 对 B 发送来的信息不知所云

207 9.2 TCP 传输控制协议 201 主动方引起半开连接检测 TCP A TCP B 1.CRASH (send300,receive100) 2.(??) <SEQ=300><ACK=100><DATA=10><CTL=ACK> ESTABLISHED 3. <SEQ=400><CTL=RST> (ABORT!!!) 在下面的例子中,A 方和 B 方进行的被动连接, 它们都在等待 SNY 信息过期的包传送到 B 方使 B 回应了, 而收到回应的 A 却发现不对头, 传送 RST 控制信息,B 方返回被动 LISREN 状态 TCP A TCP B 1.LISTEN LISTEN 2. SEQ=Z><CTL=SYN> SYN-RECEIVED 3.(??) <SEQ=X><ACK=Z+1><CTL=SYN,ACK> SYN-RECEIVED 4. <SEQ=Z+1><CTL=RST -RETURN TO LISTEN 5.LISTEN LISTEN 现实中的情况太多了, 我们列举一些产生 RST 控制信息的规则如下 : 通常情况下,RST 在收到信息不是期待的信息时产生如果在不能确定时不要轻易发送 RST 控制信息下面有三类情况 : 1 如果连接已经不存在, 而发送来的消息又不是 RST, 那么要返回 RST 如果想拒绝参不存在的连接进行 SYN 可以使用这种办法如果到达的信息有一个 ACK 域, 返回的 RST 信息可以从 ACK 域中取得序列号 ; 如果没有这个域, 就把 RST 的序列号设置为 0,ACK 域被设为序列和到达段长度之和连接仍然处于 CLOSE 状态 2 如果连接处于非同步状态 (LISTEN,SYN-SENT,SYN-RECEIVED), 而且收到的确认是对未发出色的确认或是接收到数据段的安全级别与不能连接要求的相一致时, 就发送 RST. 如果 SYN 未被确认时, 而且收到的数据段的优先级比要求的优先级要高, 那么要么提高本地优先级 ( 得事先征得用户和系统的许可 ) 要么发送 RST; 如果接收数据段的优先级比要求的优先级低, 就算是匹配了, 当然如果对方发现优先级不对提高了优先级, 在下一个包中提高了优先级, 这就不算是匹配了, 如果连接已经进入 SYN, 那么接收到数据段的优先级必须和本地优先级一样, 否则发送 RST 如果到达的信息有一个 ACK 域, 返回的 RST 信息可以从 ACK 域中取得序列号, 如果没有这个域, 就把 RST 的序列号设置为 0,ACK 域被设置为序列号和到达段长度之和连接仍然处于与原来相同的状态 3 如果连接处于同步状态 (ESTABLISHED,FIN-WAIT-1,FIN-WAIT-2,CLOS-EWAIT, CLOSING,LAST-ACK,TIME-WAIT), 任何超出接收窗口的序列号的数据段都产生如下结果 : 发出一个空确认数据段, 此段中包括当前发送序列号, 另外还包括一个确认指出希望接收的下一个数据段的序列号, 连接仍然保存在原来的状态如果因为安全级优先级之类的问题, 那就发送 RST 信号然后进入 CLOSED 状态 2.RST 过程除了 SYN-SENT 状态外的其他状态中, 所有的 RST 数据段可以通过检查 SEQ 域查明如果序列号在接收窗口中,RST 是有效的当连接处于 SYN-SENT 状态时, 如果 ACK 域确认 SYN, 那么 RST 也是合法的 RST 的接收方首先确认它的合法性, 然后进行状态转换如果接收方处于 LISTEN 状态, 它就忽略了 RST 包如果接收方处于 SYN-RECEIVED 状态, 而且以前处于 LISTEN 状态,

208 202 第 9 章 TCP 和 UDP 协议接收方返回 LISTEN 状态, 否则接收方关闭连接进入 CLOSED 状态当接收方处于其他状态时, 直接关闭连接回到 CLOSED 状态 3. 关闭连接 CLOSE 是一个操作, 它的意思就是本方已经有数据发送由于是全双工的, 所以会造成一些麻烦, 因为接收方对于处理接收方的连接有点麻烦我们以一种简单的方式对得 CLOSE, 发送 CLOSE 的一方在接收到对方的 CLOSE 之前, 还要继续收数据因此程序可以在一个 CLOSE 之后初始化几个 SEND, 然后开始 RECEIVE, 直到接收到对方的 CLOSED 而 RECEIVE 失败为止我们假设 TCP 通知用户连接关闭, 即使仍在 RECEIVE 也可以, 这样用户就可以正常关闭了这样,TCP 可以在连接关闭前可靠地发送数据下面列举了 3 种基本情况 : (1) 本地用户关闭这种情况下, 可以建立一个 FIN 段放入发送队列 TCP 不再接收用户的 SEND 指令,TCP 进入 FIN-WAIT-1 状态 RECEIVE 在这种状态下是允许的, 所以数据段和 FIN 在未接收到确认以前会一直发送当另一个 TCP 确认 FIN, 并发送自已的 FIN 后, 本地的 TCP 可以确认以前这个 FIN 了注意 :TCP 还可以在确认 FIN 时不返回自己的 FIN, 直到用户关闭连接时再返回自己的 FIN (2)TCP 从网络上接收到一个 FIN 如果在没有请求的情况下收到 FIN,TCP 可以返回 ACK 并通知用户连接已经关闭用户可以以 CLOSE 响应,TCP 在发送完剩下的数据后发送自己的 FIN, 然后 TCP 等待对这个 FIN 的确认, 在接收到后, 它关闭连接如果确认超时, 可以关闭连接并通知用户完事 (3) 双方同时关闭双方同时关闭会导致交换 FIN, 双方全在收到对自己 FIN 的确认后关闭连接通常的关闭顺序 : TCP A TCP B 1. ESTABLISHED ESTABLISHED 2.CLOSE FIN-WAIT-1 <SEQ=100><ACK=300><CTL=FIN,ACK> CLOSE-WAIT 3. FIN-WAIT-2 <SEQ=300><ACK=101><CTL=ACK> CLOSE-WAIT 4. CLOSE TIME-WAIT <SEQ=300><ACK=101><CTL=FIN,ACK> LAST-ACK 5. TIME-WAIT <SEQ=101><ACK=301><CTL= ACK> CLOSED 6.(2MST) CLOSED 同时关闭 : TCP A TCP B 1. ESTABLISHED ESTABLISHED 2.CLOSE CLOSE FIN-WAIT-1 <SEQ=100><ACK=300><CTL=FIN,ACK> FIN-WAIT-1

209 9.2 TCP 传输控制协议 203 <SEQ=300><ACK=100><CTL=FIN,ACK> <SEQ=100><ACK=300><CTL=FIN,ACK> 3. CLOSING <SEQ=101><ACK=301><CTL= ACK> CLOSING SEQ=301><ACK=100><CTL=FIN,ACK> <SEQ=101><ACK=301><CTL= ACK> 4. TIME-WAIT TIME-WAIT (2MSL) (2MSL) CLOSE CLOSE TCP 标志字段的应用 1. 静态数据包的过滤静态数据包过滤是根据 TCP 数据包报头中的信息对通信进行控制当过滤设备 ( 路由器防火墙 ) 接收到数据包时, 它将数据包报头中的数据属性与访问控制列表 (ACL) 进行比较, 根据比较结果, 决定是转发不是丢弃这个数据包一般情况下, 静态数据包过滤使用下列信息 : 目的 IP 地址源 IP 地址目的服务端口源服务端口标记这里我们简要介绍静态数据包过滤能够根据 TCP 报头中的标记字段控制通信标记字段在控制通信时起到什么作用呢? 在前面介绍了 TCP 标记 6 个标志比特 (URG 紧急指针,ACK 确认序号,PSH 推标志,RST 重建连接,SYN 同步序号,FIN 结束标志 ), 在 TCP 连接过程中不同的标志值表明了不同的特征表 9-1 列出了 6 个标记和主要用途, 标记字段为接收主机提供了与数据有关的一些额外信息, 在静态数据包过滤中标记字段起到了很重要的作用 (1) 使用标记来过滤连接请求考虑这样一个例子 : 我们的访问控制策略是内部的用户能够访问 Internet 上的所有服务, 但是所有发送到内部网络的通信都要被阻止虽然这看上去好像是 ACL 要阻止所有来自 Internet 的通信, 但实际上并不是这样的所有的通信都包含两个步骤 : 1 我们访问 Web 站点时, 首先产生一个数据请求 2Web 站点返回我们所请求的数据在第 2 个步骤里, 我们希望从 Internet 主机上返回的数据能够到达内部网络设备如果我们逐字地解释控制策略的后半句话 ( 所有发送到内部网络的通信都要被阻止 ), 那么所有返回的数据都不可能到达作出请求的主机这代表了线路切割器作为有效安全设备的模式, 这是因为防火墙不允许一个完整的通信会话这就是使用标记字段的原因正如我们已经看到的, 在 TCP3 次握手过程中, 起源设备发送一个数据色, 其中 SYN=1, 而其他标记都是 0 这种序列只有在一台设备要与另一台设备建立连接时才使用数据包过滤器会使用这种特殊的标记设置来控制 TCP 会话, 如果阻止了初始连接请求, 两台设备是无法建立数据会话的如果要修改我们的访问控制策略, 让它从技术上更加正确, 那它应该是这样的 : 所有

210 204 第 9 章 TCP 和 UDP 协议发送到内部网络的 Internet 通信, 如果它的 SYN=1, 其他标记都是 0, 那么就应该阻止它这意味着是有其他标记的通信会被认为属于已经建立的连接, 并且允许被转发 (2) 标记的使用认为所有 SYN 不等于 1 的数据包属于已往建立的会话, 这并不是保护内部网络的最安全的方法通过修改标记的值, 故意的攻击者能够欺骗静态数据包过滤器, 让它允许恶意的通信通过, 这样就让破坏者战胜了这些安全设备例如, 有一种称为端口扫描的程序, 它能够探查目的主机有哪些服务端口是打开的, 它所有服务端口 ( 一定范围内 ) 发送连接请求 (SYN=1) 如果其中有任何连接请求让目的主机返回了一个连接请求确认 (SYN=1,ACK=1), 它就知道这个端口上有一个服务由于简单的数据包过滤器就能够阻止这种端口扫描, 有些人进行了一些有创造性的工作, 简单的端口扫描程序变成了 FIN 扫描, 它和端口扫描程度的原理是一样的, 不同点是在这发送的数据色中,FIN=1 ACK=1 其他标记都是 0 由于我们的数据包过滤器只阻止 SYN=1 同时其他标记为 0 的数据包, 因此上面这些数据包能够顺利地通过结果是攻击者能够分析返回的数据流, 从而确定哪台主机提供了什么服务这意味着我们的静态数据包过滤器不能检测到这种扫描程序静态数据包过滤器是非智能的过滤设备, 对于高级的攻击来说, 它们只能提供有名无实的保护它们只查看很少的住处来决定是否传输数据包既然静态数据包过滤器是这样的无用, 为什么还要使用它呢? 虽然是有自身的局限性, 静态数据包过滤能够用来加强现有安全设备 ( 比如防火器 ) 的安全形势, 或是在不太可能暴露的场合实现安全举例来说, 也许防火墙提供了网络中大量的安全保障, 但是如果软件代码中有漏洞, 使得攻击者能够穿过防火墙, 怎么办? 如果我们只依靠防火墙, 攻击者就可能对网络进行严重地破坏如果我们在边界路由器上使用静态数据包加强安全, 就可能阻止攻击者的攻法静态过滤虽然不是保证网络安全的最好形式, 但是只要正确使用, 它会是一个十分有效的安全工具 2. 动态数据包的过滤动态数据包过滤比静态数据包过滤又前进了一步, 它保存一个连接表来监视通信会活的状态, 而不仅仅依赖于标记的设置这是一个强大的功能, 可以更好地控制通信假设攻击者向一台设备发送了一个数据包, 其中包含了用于让系统崩溃的有效载荷攻击者会修改数据包的形式, 让它看上去像是对内部网络设备的应答信息一般的数据包过滤器会分析这个数据包, 发现 ACK 位是 1, 因此错误地认为这是对数据请求的响应, 就会将它转发到内部网络设备然而动态数据包过滤器是不会这么轻易被愚弄的, 当动态数据包过滤器会发现内部网络设备从没有连接到这台外部设备并且发出数据请求, 由于这个信息没有被明确地请求动态数据包过滤器会阻挡这个数据包 (1) 动态数据包过滤的过程为了更好地理解动态数据包过滤所提供的安全性, 下面我们来介绍的其工作过程我们有两个独立的网络配置 : 一个使用静态数据包过滤器保护内部网络的主机 ; 另一个使用动态数据包过滤器两台设备用于控制通信的访问规则是 : 1 允许被保护的主机与远程服务器建立任何服务会话

211 9.2 TCP 传输控制协议转发所有属于已经建立的会话的通信 3 丢弃其他所有通信第 1 条规则允许被保护的主机与远程服务器建立连接这意味着只有当源地址是被保护的主机, 同时目的地址是远程服务器时,SYN=1 的数据包才能允许通过当满足这个条件时, 远程服务器上的任何服务都是可用的第 2 条规则基本的意思是如果通信属于一个已经建立的连接, 就让它通过换句话说, 只要没有设备 SYN, 而且其他所有的标记位都关闭了, 那么所有的通信都没问题最后一条规则说明不满足上述两条规则的通信都应该被拒绝, 这完全是出于安全的目的两台过滤设备都使用相同的 ACL, 而它们在控制通信时所能够使用的信息是不一样的我们来发送一些信息, 看一看会发生什么在图 9-10 中, 内部网络设备要与远程服务器建立一个通信会话, 由于所有的通信都满足访问控制列表中的标准, 因此两台过滤器都转发这些通信当握手过程结束后, 被保护的主机发送了一个数据请求这个数据包中的 ACK 位被设置了,PSH 位也可能被设置了当远程服务器接收这个请求后, 它发送的响应也设置了 ACK 位, 也可能设置了 PSH 位当数据传输结束后, 两台设备传输一个设置了 FIN 位的数据包, 从而关闭这个会话根据第二条规则转发所有已经建立的会话的通信, 这些通信都会通过防火墙的, 然而两名防火墙作出判断的方法是有些不同的静态数据包过滤器查看标记字段, 检查是否只设置了 SYN 位由于数据传输不是这种设置, 因此它就认为这是属于已经建立的会话的通信, 并且对它进行转发图 9-10 被保护的主机与远程服务器建立连接动态数据包过滤器也进行同样的检查, 但是在第一次建立连接时, 它还创建一个状态表当远程服务器每次要响应被保护的主机时, 动态数据包过滤器都参考状态表来确定 :

212 206 第 9 章 TCP 和 UDP 协议 1 被保护的主机的确进行了数据请求 2 源端口信息是正确的 3 目的端口信息是正确的在我们的例子里, 这些数据都是正确的, 因此动态数据包过滤器允许这些数据包通过, 当两名设备发送了 FIN 数据包之后, 状态表的相应记录就被删除了另外, 如果在一定时间内 ( 根据配置的不同, 可能是一分钟到一小时 ) 没有收到响应, 动态数据包过滤器会认为远程服务器不会响应了, 因此也会删除记录表中相应的记录, 这样就保证了状态表是最新的现在我们假设一个伪装的攻击者注意到了这个数据流, 并且决定攻击被保护的主机, 他要做的第一件事是扫描被保护主机的端口, 查看它是否有正在监听的服务由于扫描数据包中 SYN=1, 而其他标记位都是 0, 因此两种防火墙设备都阻挡这种扫描攻击者又换了一种方法, 他尝试执行 FIN 扫描, 于是他发送了一个 ACK=1 且 FIN=1 的数据包现在, 两种过滤器的处理结果就不一样了, 如图 9-11 所示, 由于静态数据包过滤器只是拒绝 SYN=1 的数据包, 而现在这个数据包不属于这种情况, 因此它会转发这个数据包图 9-11 静态和动态过滤在对待 FIN 扫描攻击的结果而动态数据包过滤器就谨慎的多它发现数据包的 SYN 位并没有被设置, 然后就把这个通信与状态表进行比较, 这时过滤器发现被保护的主机并没有建立与伪装攻击者的连接, 如果被保护的主机没有建立这个连接, 那么尝试终止这个会话就是不合理的, 因此这个数据包将会被丢弃动态数据包过滤器是一种智能设备, 它能够根据数据包标志的属性和状态表进行通信控制

213 9.3 计算机端口计算机端口在网络技术中, 端口 (Port) 大致有两种意思 : 一是物理意义上的端口, 比如 ADSL Modem 集体器交换机路由器和用于连接其他网络设备的接口, 像 RJ-45 端口,SC 端口等二是逻辑意义上的端口, 一般是指 TCP/IP 协议中的端口 ( 进程地址 ), 端口号的范围为 0~65 535, 如用于浏览网页服务的 80 端口用于 FTP 服务的 21 端口等我们这里将要介绍的就是逻辑意义上的端口端口的分类端口的分类根据其参考对象不同有不同划分方法, 如果从端口的性质来分, 通常可以分为以下 3 类 : 1. 公认端口 (Well Known Ports) 这类端口也常称之为常用端口这类端口的端口号为 0~1024, 它们紧密绑定于一些特定的服务通常这些端口的通信明确表明了某种服务的协议, 这种端口是不可再重新定义它的作用对象例如,80 端口实际上总是 HTTP 通信所使用的, 而 23 号端口则是 Telnet 服务专用的, 这些端口通常不会像木马这样的黑客程序利用为了使大家对这些常用端口多一些认识, 在本章后面将详细把这些端口所对应的服务进行列表, 供各位理解和参考 2. 注册端口 (Registered Ports) 端口号为 1 025~ 它们松散地绑定于一些服务也就是说有许多服务绑定于这些端口, 这些端口同样用于许多其他目的这些端口多数没有明确的定义服务对象, 不同程序可根据实际需要自己定义, 如后面要介绍的这程控制软件和木马程序中都会有这些端口的定义的记住这些常见的程序端口在木马程序的防护和查杀上是非常有必要的常见木马所使用的端口在后面将有详细的列表 3. 动态和 / 或私有端口 (Dynamic and /or Private Poets) 端口号为 ~ 理论上, 不应把常用服务分配在这些端口上 ; 实际上, 有些较为特殊的程序, 特别是一些木马程序就非常喜欢用这些端口因为这些端口常常不被引起注意, 容易隐蔽如果根据所提供的服务方式的不同, 端口又可分为 TCP 协议端口和 UDP 协议端口两种因为计算机之间相互通信一般采用这两种通信协议, 前面所介绍的连接方式是一种直接与接收方进行的连接, 发送信息以后, 可以确认信息是否到达, 这种方式大多采用 TCP 协议 ; 另一种不是直接与接收方进行连接, 只管把信息放在网上发出去, 而不管信息是否到达, 也就是前面所介绍的无连接方式这种方式大多数采用 UDP 协议,IP 就分为 TCP 协议端口和 UDP 协议端口 TCP 协议的常见端口 1. FTP 定义了文件传输协议, 使用 21 端口常说某某计算机开了 FTP 服务便是启动了文件传输服务, 下载文件, 上传主页, 都要用到 FIP 服务 21 端口主要用于 FTP(File Yransfer Protocol,

214 208 第 9 章 TCP 和 UDP 协议文件传输协议 ) 服务主要是为了在两台计算机之间实现文件的上传与下载, 一台计算机作为 FTP 客户端另一台计算机作为 FTP 服务器, 可以采用匿名 (anonymous) 登录和授权用户名与密码登录两种登录 FTP 服务器目前, 通过 FTP 服务器来实现文件的传输是互联网上传下载文件主要的方法, 另外, 还有一个 20 端口是用于 FTP 数据传输的默认端口号 2. Telnet 它是一种用于远程登录的端口, 用户可以自己的身份远程连接到计算机上, 通过这种端口可以提供一种基于 DOS 模式下的通信服务如以前的 BBS 纯字符界面的, 支持 BBS 的服务器将 23 端口打开, 对外提供服务 3. SMTP 定义了简单邮件传送协议, 现在很多邮件服务器都用的是这个协议, 用于发送邮件如常见的免费的邮件服务中用的就是这个邮件服务端口, 所以在电子邮件设置中常有 SMTP 端口设置这个栏, 服务器放开的是 25 号端口 4. POP3 它是 SMTP 对应,POP3 用于接收邮件, 通常情况下,POP3 协议所用的是 110 端口也是说, 只要用户有相应的使用 POP3 协议的程序 ( 如 Foxmail 或 Outlook), 就可以不以 Web 方式登录进邮箱里面, 直接用邮件程序就可以收到邮件 ( 如是 163 邮箱就没有必要先进入网易网站, 再进入自己的邮箱来收信 ) UDP 协议常见的端口 1. HTTP 这是大家用得最多的协议, 它就是常说的超文本传输协议上网浏览网页, 就得在提供网页资源的计算机上打开 80 号端口以提供服务常说的 WWW 服务 Web 服务器, 用得就是这个端口 2. DNS 用于域名解析服务, 这种服务在 Windows NT 系统中用得最多的因特网上的每一台计算机都有一个网络地址与之相对应, 这个地址常用作 IP 地址, 它以纯数字加. 的形式表示, 然而这却不便记忆, 于是出现了域名, 访问计算机的时候只需要知道域名, 域名和 IP 地址之间变换由 DNS 服务器来完成,DNS 用的是 53 号端口 3. SNMP 简单网络管理协议使用 161 号端口, 是用来管理网络设备的, 由于网络设备很多, 无连接的服务就体现出其优势 4. OICQ OICQ 程序既接受服务, 又提供服务, 这样两个聊天的人才是平等的 OICQ 用的是无连接的协议, 也就是说它用的是 UDP 协议 OICQ 服务器是使用 8000 号的端口, 侦听是否有信息到来, 客户端使用号端口, 向外发送信息如果上述两个端口正在使用, 有很多

215 9.3 计算机端口 209 人同时和几个好友聊天, 就顺序往上加在计算机的 6 万多个端口中, 通常把端口号为以内的称之为常用端口, 这些常用端口所对应的服务通常情况下是固定的表 9-2 所列的都是服务器默认的端口, 不允许改变, 一般通信过程都主要用到这些端口表 9-2 服务器默认的端口服务类型默认端口服务类型默认端口 Echo 7 Daytime 13 FTP 21 Telnet 23 SMTP 25 Time 37 Whois 43 DNS 53 Gopher 70 Finger 79 WWW 80 POP3 110 NNTP 119 IRC Netstat 命令用法在 Windows 2000/XP/Server 2003 中要查看端口, 可以使用 Netstat 命令依次点击开始运行, 键入 cmd 并回车, 打开命令提示符窗口在命令提示符状态下键入 netstat-a-n, 按下回车键之后就可以看到以数安形式显示的 TCP 和 UDP 连接的端口号及状态 Netstat 命令格式 :Netstat-a-e-n-o-s -a 表示显示所有活动的 TCP 连接以及计算机监听的 TCP 和 UDP 端口 -e 表示显示以太网发送和连接的字节数数据包数等 -n 表示只发数字形式显示所有活动的 TCP 连接的地址和端口号 -o 表示活动的 TCP 连接并包括每个连接的进程 ID(PID) -s 表示按协议显示各种的统计信息, 包括端口号

216 第 10 章应用层协议 10.1 DNS 域名系统域名系统是一种用于 TCP/IP 应用程序的分布式数据库, 它提供主机域名和 IP 地址之间的转换及有关电子邮件的选路信息这里提到的分布式是指在 Internet 上的单个站点不能拥有所有的信息每个站点 ( 如大学中的系校园公司或公司中的部门 ) 保留它自己的信息数据库, 并运行一个服务器程序供 Internet 上的其他系统 ( 客户程序 ) 查询 DNS 提供了允许服务器和客户程序相互通信的协议域名解析就是域名到 IP 地址的转换过程 IP 地址是网路上标识用户站点的数字地址, 为了简单好记, 采用域名来代替 IP 地址标识站点地址域名的解析工作由 DNS 服务器完成, DNS 称为域名系统 DNS 分为 Client 和 Server,Client 扮演发问的角色, 也就是问 Server 一个 Domain Name, 而 Server 必须要回答此 Domain Name 的真正 IP 地址从应用的角度看, 对 DNS 的访问是通过一个地址解析器 (Resolver) 来完成的在 Unix 主机中, 该解析器主要是通过两个库函数 gethostbyname() 和 gethostbyaddr() 来访问的, 它们在编译应用程序时与应用程序连接在一起前者接收主机域名返回 IP 地址, 而后者接收 IP 地址来寻找主机域名解析器通过一个或多个域名服务器来完成这种相互转换域名服务器使用固定的端口号 53, 支持 UDP 和 TCP 访问 DNS 查询和响应通常经过广域网分组丢失率和往返时间的不确定性在广域网上比局域网上更大, 要求 DNS 客户程序具有好的差错控制功能域名分类 1. 顶级域名 IP 地址是一个多位数, 不便记忆,1985 年 Internet 开发了域名管理系统 DNS 它允许使用域名代替 IP 地址, 域名是一个用. 分隔成多个域的字符串, 例如 : 由于域名具有文字表达的意义, 比 IP 地址更容易记忆, 位于最右端的域称为顶级域 Internet 定义了三套顶级域名 (TLD,Top Level Domain): 一套是国家顶级域名 (n TLD), 是按地埋范围划分的 ; 一套称为国际顶级域名 (i TLD) 供国际组织使用 ; 一套是通用顶级域名 (g TLD), 是按机构划分的 (1)g TLD g TLD 定义了 6 种机构名 : com: 商业机构 edu: 教育机构 net: 网络服务中心 arg: 非赢利刻机构

217 gov: 政府机关 mil: 军方机构 (2)n TLD 10.1 DNS 域名系统 211 采用两个字符的国家码作为顶级域名, 来表示国家或地区 cn: 中国 tw: 台湾 de: 德国 us: 美国 jp: 日本 kr: 韩国 fr: 法国 uk: 英国 2. 中国互联网域名体系结构及中文域名中国的域名管理采用层次结构, 顶级域名采用 cn, 二级域名分为类别域名和行政域名两类中文域名应该包含汉字, 各级中文域名长度不可超过 20 个字符 3. 域名管理机构及域名服务器把域名翻译成 IP 地址的软件称为域名系统, 即 Domain Name System, 简称 DNS 它是一种管理名字的方法这种方法是 : 分不同的组来负责各子系统的名字系统中的每一层叫做一个域, 每个域用一个点分开所谓域名服务器, 即 Domain Name Server, 简称 Name Server, 实际上就是装有域名系统的主机它是一种能够实现名字解析 ( Name Resolution) 的分层结构数据库注意 : 1 名中大小写是没有区分的 2 名在整个 Internet 中是唯一的, 当高级子域名相同时, 低级子域名不允许重复 3 一台计算机只能有一个 IP 地址, 但是却可以有多个域名 ICANN 是一个近年成立的代替 NSI 公司的非盈利机构, 其主要职能包括管理因特网域名及地址系统国内域名是指以.cn 为结尾的域名 ; 管理机构是 : 中国互联网络信息中心 (CNNIC) DNS 的报文格式图 10-1 显示了 DNS 用于查询和响应的报文格式 :

218 212 第 10 章应用层协议标识标志问题数资源记录数授权资源记录数额外资源记录数查询问题回答 ( 资源记录数可变 ) 授权 ( 资源记录数可变 ) 额外信息 ( 资源记录数可变 ) 图 10-1 DNS 查询和响应的报文格式 DNS 查询和响应有报文由 12 字节长的首部和 4 个长度可变长度的字段组成标识字段由客户程序设置并由服务器返回结果, 客户程序通过它来确定响应与查询是否正确 16 比特的标志字段被划分为若干子字段, 如图 10-2 所示 QR Opcode AA TC RD RA zero rcode 图 10-2 DNS 报文首部中的标志字段格式各位的定义如下 : 1QR: 报文类型字段, 占 1 个比特,0 表示查询报文,1 表示响应报文 2Opcode: 操作码字段, 占 4 个比特,0= 标准查询,1= 反向查询,2= 服务器状态请求 3AA: 授权回答 (Authoritative Answer) 标志, 占 1 个比特 4TC: 可截断的 (Trun Cated) 标志, 占 1 比特, 使用 UDP 协议时, 它表示当应答的总长度超过 512 字节时, 只返回前 512 个字节 5RD: 期望递益归 (Recursion Desired) 标志, 占一个比特该位能在一个查询中设置, 并在响应中返回这个标志告诉域名服务器必须处理这个查询, 也称为一个递归查询如果该位为 0, 且被请求的域名服务器没有一个授权回答, 它就返回一个能解答该查询的其他域名服务器列表, 这称为迭代查询 6RA: 可用递归标志, 占 1 个比特如果域名服务器支持递归查询, 则在响应中将该比特设置为 1 7zero: 零标志字段, 占 3 比特, 必须为 0 8rcode: 返回码字段, 占 4 个比特 0= 没有差错,3= 域名差错, 表示在查询中制定的域名不存在 1. DNS 查询报文中的问题数字段问题数字段中每个问题的格式如图 10-3 所示, 通常只有一个问题

219 10.1 DNS 域名系统 213 查询类型查询名查询类图 10-3 DNS 查询报文中问题数字段的格式查询名表示要查找的域名, 它是一个或多个标识符的序列每个标识符以首字节的计数值来说明随后标识符的字节长度, 每个域名以最后字节为 0 结束, 长度为 0 的标识符是根标识符计数字节的值必须是 0~63 的数, 因为标识符的最大长度仅为 63 不像我们看到的许多其他报文格式, 该字段无需以整 32 比特结束, 无需填充字节图 10-4 表示如向存储域名图 10-4 域名的表示每个问题有一个查询类型, 而每个响应也有一个类型大约有 20 个不同的类型值, 查询类型是类型中的一个超集 (Superset) 最常用的查询类型是 A 类型, 表示期望获得查询名的 IP 地址一个 PTR 查询则请求获得一个 IP 地址对应的域名, 这是一个指针查询查询类一般为 1, 是指互联网地址 2. DNS 响应报文中的资源记录字段 DNS 报文中最后的 3 个字段 : 回答字段授权字段和额外信息字段, 均采用一种称为资源记录 RR(Resource Record) 的相同格式图 10-5 显示了资源记录的格式类型域名生存时间资源数据长度资源数据图 10-5 DNS 资源记录格式 1 域名 : 记录中资源数据对应的域名 2 类型 : 说明 RR 的类型码 3 类 : 通常为 1, 指 Internet 数据 4 生存时间 : 客户程序保留该资源记录的秒数资源记录通常的生存时间值为 2 天 5 资源数据长度 : 说明资源数据的数量该数据的格式依赖于类型字段的值对于类型类

220 214 第 10 章应用层协议 1(A 记录 ) 资源数据是 4 字节的 IP 地址 DNS 工作流程示例 DNS 分为 Client 和 Server 端,Client 端提出请求, 也就是问 Server 一个 Domain Name, 而 Server 端必须回答此 Domain Name 的真正 IP 地址 Local DNS 首先查询自己的资料库, 如果自己的资料库没有对应的 IP 地址, 则向 Local DNS 上所设的 DNS 询问, 得到结果之后, 将收到的结果保存在高速缓冲区, 并回答 Client DNS 服务器会根据不同的授权区 (Zone), 记录所属该网域下的各域名资料, 这个资料包括网域下的次网域名称及主机名称在每一个名称服务器中都有一个快取缓存区 (Cache), 这个快取缓存区的主要目的是将该名称服务所查询出来的名称及相对的 IP 地址记录在快取缓存区中, 这样当下一次还有另外一个客户端到次服务器上去查询相同的名称时, 服务器就不用再到别台主机上去寻找, 而直接可以从缓存区中找到该笔名称记寻资料, 传回给客户端, 加速客户端对名称查询的速度例如, 当 DNS 客户端向指定的 DNS, 服务器查询网际网路上的某一台主机名称 DNS 服务器会在该资料库中寻找用户所指定的名称, 如果没有, 该服务器会先在自己的快取缓存区中查询有无该笔记录 ; 如果找到该笔名称记录后, 会从 DNS 服务器直接将所对应到的 IP 地址传回给客户端 ; 如果域名服务器在资料记录查不到且快取缓存区中也没有时, 服务器首先会向别的域名服务器查询所要的域名例如,DNS 客户端指定的 DNS 服务器查询互联网上某台主机域名, 当 DNS 服务器在该资料记录找不到用户所当指定的域名时, 会转向该服务器的快取缓存区找寻是否有该资料, 当快取缓存区也找不到时, 会向最近的域名服务器去要求帮忙找寻该域名的 IP 地址, 在另一台服务器上也有相同的动作的查询, 当查询到后会回复原本要求查询的服务器, 该 DNS 服务器在接收到另一台 DNS 服务器查询的结果后, 先将所查询到的主机域名及对应 IP 地址记录到快取缓存区中, 最后在将所查询到的结果回复给客户端现在我们举例来说明, 假设我们要查询互联网上的一个域名从域名我们知道主机在中国.cn, 而且我们要找的组织名称是 jlu.edu.cn, 域下的 www 主机, 以下是域名解析过程 : 1 在 DNS 的客户端键入查询主机的命令, 如 : C:\ping Pinging www. jlu.edu. cn[ ]with 32bytes of data Reply from bytes time <10ms tll b2 2 被指定的 DNS 服务器先行查询是否属于该网域下的主机名称, 如果查出主机名称并不属于该网域范围内, 之后会再查询高速缓存区的内容, 查是否有此主机名称 3 查询后发现缓存区中没有此记录资料, 会取得一台根网域的其中一台服务器, 发出查找的 Request 4 在根网域中, 向 Root Name Server 询问,Root Name Server 记录了各 Top Domain 分别是由哪些 DNS Server 负责, 所以他会响应最接近的 Name Server 为控制.cn 网域的 DNS 伺服主机 5Root Name Server 正告诉 Local DNS Server 哪部 Name Server 负责.cn 这个 Domain, 然后 Local DNS 再向负责发出找寻的名称 Requent 6 在.cn 这个网域中, 被指定的 DNS 服务器在主机上没有找到此名称的记录, 所以会响应原本发出查询要求 DNS 服务器说最近的服务器在哪里? 他会回应最近的主机为控制

221 10.2 超文本传输协议 215 com.cn 网域的 DNS 主机 7 原本被查询的 DNS 服务器主机, 收到继续查询的 IP 位置后, 会再向 com.cn 的网域的 DNS Server 发出寻找名称搜寻的要求 8com.cn 的网域中, 被指定的 DNS Server 在主机上没有找到此名称的记录, 所以会回复查询要求的 DNS Server 告诉他最接近的服务器在哪里? 他就回应最接近为控制 test.com.cn 的网域的 DNS 主机 9 原本被查询的 DNS Server, 在接收到应继续查询的位置, 在向网域的 DNS Server 发出寻找的要求, 最后会在的网域的 DNS Server 找到此主机的 IP 10 所以原本发出查询要求的 DNS 服务器, 再接收到查询结果的 IP 位置后, 响应回给原查询名称的 DNS 客户端 10.2 超文本传输协议 Internet 是由各种协议连接起来的,HTTP 超文本传输协议是我们现在使用最广泛的了 HTTP 使浏览器更加高效, 使网络传输减少任何服务器除了包括 HTTP 文件以外, 还有一个 HTTP 驻留程序, 用于响应用户请求浏览器是 HTTP 客户, 向服务器发送请求, 当浏览器中输入了一个地址或点击了一个超级链接时, 浏览器就向服务器发送了 HTTP 请求, 该请求会被送往由 IP 地址指定的 URL URL 统一资源定位器 Internet 使用统一资源定位器 (URL) 标识主页和资源在 Web 上寻找信息的关键在于了解 Web 服务器和客户端如何定位服务器和文件的位置 HTTP 的 URL 语法为 : 主机全名 [: 端口号 ]/ 文件路径 / 文件名 HTTP 的端口号默认为 80, 例如吉林大学的 URL 是 : 这个 URL 可将用户带到吉林大学主页它可以分为 : 协议服务器名域目录文件在上述示例中 : 协议是 HTTP 全称域命名为文件为 index.html 多数 Web 服务都配置为可自动提供缺省主页缺省主页为 index.html home.html default.html home.htm 或 index.htm, 这部分可不写其他常见的 URL 为 : ftp:// 服务器域名 / 目录 / 文件 Ftp:// 用户服务器域名 / 目录 / 文件 telnet:// 服务器域名 News:// 新闻服务器域名 / 新闻组 WWW 浏览 WWW(World Wide Web) 万维网, 简称 3W 是 Internet 上发展最快应用最广泛也最实用

222 216 第 10 章应用层协议的超文本信息通信系统, 它以 Client/Server 模式进行数据通信服务器端通过 Web Server 可以提供各种服务 ; 客户端可以通过浏览器 (Browser) 访问多种协议的多媒体信息, 依据用户的需要组织和传递信息人们可以通过 WWW 浏览器浏览和检索全球所有 WWW 站点的信息, 这使得信息的共享与交流越来越方便 WWW 成为目前 Internet 上信息发布的重要途径 WWW 的最大特色在于为用户提供良好的信息查询界面 WWW 把各种形式的信息, 如文本图像声音视频等无缝隙地集成在一起, 用户只需要提出自己的查询要求, 具体到什么地方, 如何取回信息都由 WWW 自动完成通过浏览器, 用户只需用鼠标点击显示屏上高亮度或有下划线的词语, 就可将与该词语相关联的文件取回并显示在屏幕上, 用户无需关心这些文件存放在 Internet 上的哪台计算机上 WWW 信息服务的框架如图 10-6 所示图 10-6 WWW 信息服务客户端根据某资源的 URL 向 Web Server 提出请求,Web Server 的 HTTP Daemon( 守护进程 ) 将此请求的参数通过标准输入和环境变量 (Environment Variable) 传递给指定的服务接口程序, 并启动应用程序进行处理, 处理结果通过标准输出返回给 HTTP Daemon 进程, 再由 HTTP Daemon 进程返回给客户端, 由浏览器负责解释执行, 将最终结果显示在用户面前实现 WWW 的通信协议是 HTTP(HyperText Transfor Protocol, 超文本传输协议 ), 它定义了 HTTP 的通信交换机制, 请求及响应消息的格式等 ;HTML(HyperText Markup Language, 超文本标注语言 ) 是用来描述 WWW 上发布的信息, 浏览器通过解释执行 HTML 文件显示出图文并茂的 WWW 信息, 向用户提供良好的信息查询界面 ; 服务接口负责调用相应的处理程序, 并返回处理结果 HTTP 协议 WWW 要实现最基本的 4 个目标 : 1 分布式信息系统 2 对多重协议提供一个统一通用的接口 3 对超媒体支持 4 可扩充性, 能够支持所有的数据格式 HTTP 协议可以完全实现上述要求 HTTP 规范表明,HTTP 协议是一种根据明确性和速度要求, 为建立分布式协作超媒体信息系统而设计的协议, 它是一种简单的无状态的面向对象的协议, 可用于多种任务, 如域名服务器和分布式对象管理等 HTTP 常常在某种程度上引起人们的误解, 仿佛 HTTP 只能传输超文本, 其实不然, 用

223 10.2 超文本传输协议 217 户可以用它传输各种对象, 而不必考虑其数据类型 HTTP 设计得简单而灵活, 它是无状态和无连接的, 基于 Client/Server 模式并且支持元信息和内容类型标识它具有 6 个重要的特点 : 1. 以 Client/Server 模型为基础 HTTP 支持客户与服务器之间通信及相互传送数据, 一个服务器可以为分布在世界各地的许多客户服务 2. 简易性 HTTP 被设计成一个非常简单的协议, 使得 Web 服务器能高效地处理大量请求, 客户机要连接到服务器, 只需发送请求方式和 URL 路径等少量信息 HTTP 规范定义了 7 种请求方式, 最常用的有 3 种 :GET HEAD 和 POST 每一种请求方式都允许客户以不同类型的消息与 Web 服务器进行通信,Web 服务器也因此可以是简单小巧的程序, 由于 HTTP 协议简单, HTTP 的通信与 FTP Telnet 等协议的通信相比, 速度快而且开销小 3. 灵活性 HTTP 允许任意类型数据的传送, 因此可以利用 HTTP 传送任何类型的对象, 并让客户程序能够恰当地处理它们 4. 无连接性 HTTP 是无连接的协议的, 这里的无连接是建立在 TCP/IP 协议之上的, 与建立在 UDP 协议之上的无连接不同这里的无连接意味着每次连接只限处理一个请求客户要建立连接需先发出请求, 收到响应, 然后断开连接, 这实现起来效率十分高采用这种无连接协议, 在没有请求提出时, 服务器就不会在那里空闲等待完成一个请求之后, 服务器即不会断续为这个请求负责, 从而不用为保留历史请求而耗费宝贵的资源在服务器的一方实现起来是非常简单的, 因为只需保留活动的连接 (Active Connection), 不用为请求间隔而浪费时间 5. 无状态性 HTTP 是无状态的协议, 这既是优点也是缺点一方面, 由于缺少状态, 使得 HTTP 累赘少, 系统运行效率高, 服务器应答快 ; 另一方面, 由于没有状态, 协议对事务处理没有记忆能力, 若后续事务处理需要有关前面处理的信息, 那么这些信息必须在协议外面保存另外, 缺少状态意味着所需的前面信息必须重现, 导致每次连接需要传送较多的信息 6. 元信息 (Meta Information) 收到数据的浏览器可以根据元信息确定服务器发来的是什么内容, 预料有多少数据, 确知是否正确接收完整的数据, 以及发送过程中是否有错, 这样客户就可以知道传输对象的类型元信息被定义为关于信息的信息, 元信息允许服务器提供所发送数据的信息, 例如, HTTP 可以提供所发送的对象的语言和类型, 也可以用元信息来实现有条件请求和报告事务完成元信息的引入使得 HTTP 协议所能做的工作更多了 HTTP 协议使 Web 服务器和浏览器可以通过 Web 交换数据它是一种请求 / 响应协议, 即服务器等待并响应客户方请求 HTTP 不维护与客户方的连接, 它使用可靠的 TCP 连接,

224 218 第 10 章应用层协议通常采用 TCP80 端口客户 / 服务器传输过程可分为 4 个基本步骤 : 1 浏览器与服务器建立连接 2 浏览器向服务器请求文档 3 服务器响应浏览器请求 4 断开连接 HTTP 是一种无状态协议, 它不维护连接的状态信息为了使服务器与客户端通信成为可能,HTTP 协议建立了一种由请求和响应消息组成的 Web 语言 (1) 客户请求客户请求包含以下信息 : 请求方法请求头 0 请求数据请求方法是用于特定 URL 或 Web 页面的程序表 10-1 列出了可用的请求方法 GET 方法 HEAD POST PUT DELETE OPTIONS TRACE 表 10-1 HTTP 请求方法请求指定的文档仅请求文档头描述请求服务器接收指定文档作为可执行的信息用从客户端传送的数据取代指定文档中的内容请求服务器扫除页面允许客户端查看服务器的性能用户测试, 允许客户端查看消息的回收过程头信息是可选项, 它用于服务器提供客户端的其他信息, 请求头在表 10-2 中显示表 10-2 HTTP 请求头头描述头描述 Accept 客户端接收的数据类型 User-Agent 客户方软件类型 Authorization 认证消息用户名和口令 Refers 用户获取 Web 页而如果客户采用某种方法获取数据 ( 如 POST), 数据就放在头 (Header) 之后, 否则客户机等待从服务器传来的响应 (2) 服务器响应服务器响应包括以下关键部分 : 状态码响应头响应数据 HTTP 定义了多组返回给浏览器的状态码

225 10.2 超文本传输协议 HTTP 通信交换过程 HTTP 通信建立在 TCP/IP 连接之上, 缺省的 TCP 端口号是 80, 但也可以使用其他端口, 图 10-7 所示的是一个 HTTP 服务器在端口 80 上接受来自多个远程客户连接时的情形 Web 服务器运行着一个守护进程 (HTTP Daemon), 它始终在端口 80 监听来自远端客户的请求当一个请求发来时, 它就会产生一个子进程来处理当前请求, 守护进程继续以后台方式运行, 在端口 80 继续监听来自远端的连接请求图 10-7 HTTP 通信交换过程 HTTP 通信中客户提出请求应该带上全部必要的信息, 客户机和服务器之间不能对不明确的问题进行磋商一旦客户提出请求, 服务器感到信息不够时没有办法要求客户给出进一步信息客户与服务器通信流程图如图 10-8 所示图 10-8 客户与服务器通信流程图 HTTP 的请求和响应消息格式在 WWW 信息的传递过程中, 客户端向服务器按照特定的格式发出请求消息, 服务器端处理此请求, 并将结果按照特定的格式作为响应返回给客户 1. 请求的格式方法 LLRIHTTP 版本号首部

226 220 第 10 章应用层协议 ( 回车换行 ) 实体 - 主体方法描述了对资源应作的处理最常用的是 GET HEAD 和 POST GET: 用于从服务器请求一个用 URL 标识的资源对象如果对象是文档或文件,GET 将请求其内容 ; 如果对象是程序或脚本,GET 将请求程序的运行结果或脚本的输出 ; 如果对象是数据库查询,GET 将请求查询的结果 HEAD: 用于服务器请求对象的元信息, 这时用户也许想知道对象的大小或最近的修改日期, 而不是请求对象本身 HEAD 方法的请求速度要快得多, 因为它不需要传送整个文件使用高速缓存的客户经常使用 HEAD 请求来取得文档最近的修改时间, 与缓存中文档的修改时间进行对比, 如果一致, 则表明文档没有更新, 因而无须读取整个文档 POST: 用于客户向服务器传送数据, 以便服务器作出相应的处理 POST 方法经常用于向 HTTP 服务器提交 HTML 表格以便处理例如, 网上的联机就业服务中心就是靠提交简历表格来工作当你填写了一份 WWW 页面表格后, 浏览器通常就使用 POST 方法向服务器提交你输入的数据每个资源都有其特定的 URL 标识, 经由各种不同的协议, 对 Internet 上任何地方的信息都可以用 URL 定位或取回 URL 可以指定 FTP 文件传输寻找新闻信息定义用户的地址标识 HTTP 文件和其他类型数据 2. 响应的消息格式 HTTP-Version Status-Code Reason-Phrase 首部 ( 空行 ) Entity-Body 状态码表示服务器是否成功地满足了客户的请求, 状态码由一个 3 位整数和解释状态码含义的正文短语组成状态码以 1,2,3,4,5 开头, 在 HTTP/1.1 规范中 : 1 类状态码 : 表示信息性 (Informational) 提示 2 类状态码 : 表示成功服务器理解客户的请求, 并且毫无困难地给出了响应 3 类状态码 : 表示发生了重定向, 服务器理解请求并能够取得资源, 但发现资源不在指定的位置而在其他地方 4 类状态码 : 表示客户出错 5 类状态码 : 表示服务器出错响应消息的首部域中, 通常会指明所传输数据的编码压缩机制, 服务器端软件等由于 HTTP 对于以任意格式传输文档的自由度很大, 所以它可以是图形音频视频文件等多媒体对象, 只需要在首部域中标明其类型即可对任意格式传输数据的完全开放性, 正是 HTTP 和 Web 所提供的最重要的优越性 10.3 邮件协议电子邮件 ( ) 是最流行的应用程序所有 TCP 连接中大约一半是用于简单邮件传送协议 SMTP(Simple Mail Transfer Protocol) 电子邮件服务作为 Internet 上应用最多和最广的服务项目得到了非常广泛的应用, 在网络应用中也起到非常重要的作用如同其他的网络服务, 电子邮件系统也有其使用的传输协议, 包括 SMTP(Simple Mail Transfer Protocol, 简单邮

227 10.3 邮件协议 221 件传输协议 ),POP(Post Office Protocol, 邮局协议 ) 和 IMAP(Internet Message Access Protocol, 互联网消息访问协议 ) 等, 这些协议用于电子邮件的发送和接收电子邮件的工作原理电子邮件的工作过程是靠计算机技术和通信技术来完成的发信者注明收件人姓名与地址 ( 即邮件地址 ), 发送方服务器把邮件传到收件方服务器, 收件方服务器再把邮件发到收件人的邮箱中电子邮件涉及到的几个概念 : MUA Mail User Agent, 邮件用户代理, 帮助用户读写邮件 MTA Mail Transport Agent, 邮件传输代理, 负责把邮件由一个服务器传到另一个服务器或邮件投递代理 MDA Mail Delivery Agent, 邮件投递代理, 把邮件放到用户的邮箱里邮件系统的工作过程如下 : 简单邮件传输协议 SMTP 是基于存储转发方式工作的, 这意味着它允许邮件通过一系列服务器的转发由发送端送到最终目的地服务器在一个队列中存储到达的邮件, 等待发送到下一个目的地下一个目的地可以是本地用户, 或者是另一个邮件服务器如果下一个目的服务器暂不可用,MTA(Mail Transport Agent) 就暂时在队列中保存信件, 并在以后尝试发送当用户发送一封电子邮件时, 他并不能直接将信件发送到对方邮件地址指定的服务器上, 而是必须首先试图去寻找一个信件传输代理, 把邮件提交给它 ; 信件传输代理得到邮件后, 首先将它保存在自身的缓冲队列中, 然后根据邮件的目标地址, 信件传输代理程序查询到应对这个目标地址负责的邮件传输代理服务器, 并且通过网络将邮件传送给它对方的服务器接收到邮件之后, 将其缓冲存储在本地, 直到电子邮件的接收者察看自己的电子信箱显然, 邮件传输是从服务器到服务器的, 而且每个用户必须拥有服务器上存储信息的空间 ( 称为信箱 ) 才能接受邮箱而投递代理则从信件传输代理取得信件传送至最终用户的邮箱显然, 最终用户只能看到用户投递代理用户代理接受用户输入的各种指令, 将用户的邮件传送至信件传输代理或者通过 POP IMAP 协议将信件从传输代理服务器上取到本机上常见的用户代理有 FOXmail Outlook Express 等邮件客户程序一个邮件传输代理的主要工作是监视用户代理的请求, 根据电子邮件的目标地址找出对应的邮件服务器, 将信件在服务器之间传输并且将接收到的邮件缓冲或者提交给最终投递程序有许多的程序可以作为信件传输代理, 包括 Qmail Send mail Postfix 等它们必须支持同样的规范, 如传输信件的报文格式, 监听的端口等一般来说, 系统管理员并不需要了解信件传输的命令标准, 用户代理会生成正确的命令信件传输代理默认监听 25 号端口接受请求, 当接受用户的请求时, 它不需要了解用户的真实身份, 或者说不需要身份验证因此用户不需要提交用户口令就可以发出电子邮件, 这意味着任何用户都可以冒充成另外一个用户发出假的电子邮件, 这是电子原始设计时导致的一个特点, 无法消除用户与用户代理打交道, 可以有多个用户代理可供选择用 TCP 进行的邮件交换是由报文传送代理 MTA 完成的用户通常不和 MTA 打交道, 由系统管理员负责设置本地的 MTA, 通常用户可以选择他们自己的用户代理

228 222 第 10 章应用层协议地址为了保证电子邮件的正确收发,Internet 上的每个信箱都有一个唯一的地址, 即地址地址由两部分组成 : [email protected] 用户信箱名域名信箱是邮件最终的目的地, 实际上是服务器中的一个目录电子邮件协议 1. SMTP 协议 SMTP(Simple Mail Transfer Protocol) 简单邮件传输协议, 它是 Internet 上传输电子邮件的标准协议, 用于提交和传送电子邮件,SMTP 协议规定了主机之间传输电子邮件的标准交换格式和邮件在链路层上的传输机制 SMTP 通常用于把电子邮件从客户机传输到服务器, 以及从某一服务器传输到另一个服务器 SMTP 协议的主要工作集中在发送 SMTP 和接收 SMTP 上首先对用户发出的邮件请求, SMTP 建立一条连接到接收 SMTP 的双工通讯链路, 这里的接收 SMTP 是相对于发送 SMTP 而言的, 实际上它既可以是最终的接收者也可以是中间传送者, 发送 SMTP 负责向接收 SMTP 发送 SMTP 命令, 而接收 SMTP 则负责接收并反馈应答 SMTP 协议在发送 SMTP 和接收 SMTP 之间的会话是靠发送 SMTP 的 SMTP 命令和接收 SMTP 反馈的应答来完成的在通讯链路建立后, 发送 SMTP 发送 Mail 命令指示邮件发送者, 若接收 SMTP 此时可以接收邮件则反馈 OK 的应答, 然后发送 SMTP 继续发出 RCPT 命令以确认邮件是否收到, 如果接收到就反馈 OK 的应答, 否则就发出拒绝接收应答, 但这并不会对整个邮件操作造成影响双方如此反复多次, 直至邮件处理完毕 SMTP 协议共包含 10 个 SMTP 命令, 如表 10-3 所示 SMTP 命令 HELLO<domain><CRLF> MAIL FROM:<reverse-path> <CRLF> 表 10-3 SMTP 协议的 10 个命令命令说明识别发送方到接收 SMTP 的一个 HELLO 命令 < reverse-path> 为发送者地址此命令告诉接收方一个新邮件发送的开始, 并对所有的状态和缓冲区进行初始化此命令开始一个邮件传输处理, 最终完成将邮件数据传送到一个或多个邮箱中 RCPT TO:<forward-path><CRLF> < forward-path > 标识各个邮件接收者的地址 DATA<CRLF> REST<CRLF> 接收 SMTP 将把其后的行为看作邮件数据去处理, 以 <CRLF> <CRLF> 标识数据的结尾退出 / 复位当前的邮件传输 NOOP<CRLF> 要求接收 SMTP 仅作 OK 应答 ( 用于测试 ) QUIT<CRLF> VRFY<string><CRLF> EXPN<string><CRLF> HELP<CRLF> 要求接收 SMTP 返回一个 OK 应答并关闭传输验证指定的邮箱是否存在, 由于安全因素, 服务器多禁止此命令验证给定的邮箱列表是否存在, 扩充邮箱列表, 也常禁止使用查询服务器支持什么命令

229 10.3 邮件协议 223 SMTP 协议的每一个命令都会返回一个应答码, 应答码的每一个数字都有特定含义的, 如第一位数字为 2 时表示命令成功, 为 5 表示失败 ;3 表示没有完成下面将 SMTP 的应答码列表如下 : 应答码 501 参数格式错误 502 命令不可实现 503 错误的命令序列 504 命令参数不可实现表 10-4 SMTP 的应答码 211 系统状态或系统帮助响应 214 帮助信息 220 <domain> 服务就绪 221 <domain> 服务关闭说明 421 <domain> 服务未就绪, 关闭传输信道 250 要求的邮件操作完成 251 用户非本地, 将转发向 <forward-path> 450 要求的邮件操作来完成, 邮箱不可用 550 要求的邮件操作来完成, 邮箱不可用 451 放弃要求的操作, 处理过程中出错 551 用户非本地, 请尝试 <forward-path> 452 系统存储不足, 要求的操作未执行 552 过量和存储分配, 要求的操作未执行 553 邮箱名不可用, 要求的操作未执行 354 开始邮件输入, 以. 结束 554 操作失败 2. POP 协议 POP(Post Office Protocol, 邮局协议 ), 用于电子邮件的接收, 它使用 TCP 的 110 端口, 现在常用的是第三版, 所以简称为 POP3,POP3 采用 Client/Server 工作模式当客户机需要服务时, 客户端的软件 (Outlook Express 或 Foxmail) 将与 POP3 服务器建立 TCP 连接, 此后要经过 POP3 协议的三种工作状态, 首先是认证过程, 确认客户机提供的用户名和密码, 在认证通过后便转入处理状态, 在此状态下用户可收取自己的邮件或做邮件的删除, 在完成响应的操作后客户机便发出退出命令, 此后便进入更新状态, 将做删除标记的邮件从服务端删除掉, 到此为止整个 POP 过程完成 POP3 是目前最常用的电子邮件服务协议 POP3 除了支持离线工作方式外, 还支持在线工作方式在离线方式下, 用户收发邮件时, 首先通过 POP3 客户程序登录到支持 POP3 协议的邮件服务器, 然后发送邮件及附件 ; 接着, 邮件服务器将为用户收存的邮件传送给 POP3 客户程序, 并将这些邮件从服务器上删除 ; 最后, 邮件服务器将用户提交的发送邮件, 转发到运行 SMTP 协议的计算机中, 通过它实现邮件的最终发送在为用户从邮件服务器收取邮件时,POP3 是以该用户当前存储在服

230 224 第 10 章应用层协议务器上全部邮件为对象进行操作的, 并一次性将它们下载到用户端计算机中一旦客户的邮件下载完毕, 邮件服务器对这些邮件的暂存托管即告完成使用 POP3, 用户不能对他们贮存在邮件服务器上的邮件进行部分传输离线工作方式适合那些从固定计算机上收发邮件的用户使用当使用 POP3 在线工作方式收发邮件时, 用户在所用的计算机与邮件服务器保持连接的状态下读取邮件用户邮件保留在邮件服务器上服务器通过侦听 TCP 端口 110 开始 POP3 服务当客户主机需要使用服务时, 它将与服务器主机建立 TCP 连接当连接建立后,POP3 发送确认消息客户和 POP3 服务器相互 ( 分别 ) 交换命令和响应, 这一过程一直要持续到连接终止 POP3 命令由一个命令和一些参数组成所有命令以一个 CRLF 对结束命令和参数由可打印的 ASCII 字符组成, 它们之间由空格间隔命令一般是三到四个字母, 每个参数却可达 40 个字符长 POP3 响应由一个状态码和一个可能跟有附加信息的命令组成所有响应也是由 CRLF 对结束现在有两种状态码, 确定 ( +OK ) 和失败 ( -ERR ) 3. IMAP 协议 IMAP(Internet Message Access Protocol), 顾名思义, 主要提供的是通过 Internet 获取信息的一种协议.POP3 在收信时用户首先与邮件服务器进行连接, 在验证完用户名和密码后, 就开始将服务器上存储的邮件下载到自己的硬盘上 IMAP 像 POP3 那样提供了方便的邮件下载服务, 让用户能进行离线阅读, 但 IMAP 能完成的却远远不只这些 IMAP 提供的摘要浏览功能可以让用户在阅读完所有的邮件到达时间主题发件人大小等信息后才决定是否下载 IMAP 还具备智能存储功能, 可使邮件保存在服务器上 10.4 SNMP 简单网络管理协议随着网络技术的飞速发展, 网络的复杂性在不断增长, 对网络管理的要求也日益增加传统的系统管理员所关心的问题是安装配置备份恢复资源共享系统安全和性能优化等等, 还是当今网络管理的重要方面然而, 网络的复杂性使得被管理的对象在系统中不是集中的, 而是分散的分布式的管理必然要求网络管理员在网络的协议层次结构上对系统管理做出重新的认识, 即从物理层链路层网络层传输层和应用层的角度重新考虑系统管理的涵盖内容基于 TCP/IP 的网络管理包含两个部分 : 网络管理站 ( 也叫管理进程,Manager) 和被管理的网络单元 ( 也叫被管设备 ) 被管设备种类繁多, 如路由器交换机终端服务器和打印机等这些被管设备都是基于 TCP/IP 协议工作的. 被管设备端和管理相关的软件叫做代理程序 (Agent) 或代理进程管理站可以显示所有被管设备的状态,( 如连接状态流量状况等 ) 一个典型的网络管理系统包括 4 个要素 : 管理员管理代理管理信息数据库和代理服务设备一般说来, 前 3 个要素必需的, 第 4 个只是可选项管理员 (Manager): 网络管理软件的重要功能之一, 就是协助网络管理完成整个网络的工作网络管理软件要求管理代理定期收集重要的设备信息, 收集到的信息将用于确定独立的网络设备部分网络或整个网络运行的状态是否正常管理员应该定期查询管理代理收集到的有关主机运转状态配置及性能等的信息

231 10.4 SNMP 简单网络管理协议管理代理 (Agent): 网络管理代理是驻留在网络设备中的软件模块, 这里的设备可以是 UNIX 工作站网络打印机, 也可以是其他的网络设备管理代理软件可以获得本地设备的运转状态设备特性系统配置等相关信息管理代理软件完成网络管理员布置的采集信息的任务管理代理软件所起的作用是充当管理系统与管理代理软件驻留设备之间的中介通过控制设备的管理信息数据库 (MIB) 中的信息来管理该设备管理代理软件可以把网络管理员发出的命令按照标准的网络格式进行转化, 收集所需的信息, 之后返回正确的响应在某些情况下, 管理员也可以通过设置某个 MIB 对象来命令系统进行某种操作路由器交换器集线器等许多网络设备的管理代理软件一般是由原网络设备制造商提供的它可以作为底层系统的一部分也可以作为可选的升级模块设备厂商决定他们的管理代理软件可以控制哪些 MIB 对象, 哪些对象可以反映管理代理软件开发者感兴趣的问题 3 管理信息数据库 (MIB): 定义了一种数据对象, 它可以被网络管理系统控制 MIB 是一个信息存储库, 这里包括了数千个数据对象, 网络管理员可以通过直接控制这些数据对象去控制配置或监控网络设置网络管理系统可以通过网络管理代理软件来控制 MIB 数据对象不管到底有多少个 MIB 数据对象, 管理代理都需要维持它们的一致性, 这些数据库中包括了必须在网络设备中支持的特殊对象, 所以这几种 MIB 可以支持简单网络管理协议 (SNMP) 4 代理设备 ( Proxy): 代理设备在标准网络管理员和软件不直接支持标准协议的系统之间起桥梁作用利用代理设备, 不需要升级整个网络就可以实现从旧协议到新版本的过渡对于网络管理系统来说, 重要的是管理员和代理之间所使用的协议, 如 SNMP 和它们共同遵循的 MIB 库管理进程和代理进程之间的通信可以有两种方式 : 一种是管理进程向代理进程发出请求, 询问一个具体的参数值 ; 另外一种方式是代理进程主动向管理进程报告有某些重要的事件发生当然, 管理进程除了可以向代理进程询问某些参数值外, 它还可以按要求改变代理进程的参数值基于 TCP/IP 的网络管理包含 3 个组成部分 : a. 一个管理信息库 MIB(Management Information Base), 管理信息库包含所有代理进程的所有可被查询和修改的参数 b. 关于 MIB 的一套公用的结构和表示符号, 叫做管理信息结构 SMI(Structure of Management Information) 例如,SMI 定义计数器是一个非负整数, 它的计数范围是 0~ , 当达到最大值时, 又从 0 开始计数 c. 管理进程和代理进程之间的通信协议, 叫做简单网络管理协议 SNMP(Simple Network Management Protocol), SNMP 包括数据包交换的格式等尽管可以在运输层采用各种各样的协议, 但是在 SNMP 中, 用得最多的协议还是 UDP SNMP 协议模型基于 TCP/IP 的互联网使用 IAB( 因特网活动委员会 ) 制定的网络管理体系, 它由 3 个部分组成, 即管理信息结构 (SMI) 管理信息库 (MIB) 和简单网络管理协议 (SNMP) 1. 管理信息库 MIB 是网络管理数据的标准, 其中详细规定了网络元素必须保存的数据项目, 数据类型以及每个数据项目中的操作其中, 网络元素指的是网络中的具体的通信设备, 如主机网桥和路由器等通过访问局域网或企业网络的所有网络元素的 MIB, 对获得的统计内容进行

232 226 第 10 章应用层协议综合智能分析, 即可实现基本的网络管理 2. 管理信息结构用于定义和识别 MIB 变量的一组规则 3. 管理协议 SNMP 为应用层协议, 是 TCP/IP 协议簇的一部分, 它是通过用户数据包协议 (UDP) 来操作的网络管理协议提供了管理系统的授权管理网络运行中心 (NOC) 对网络及其设备的管理有 3 种方式 : 本地终端方式远程 Telnet 命令方式和基于 SNMP 的代理 / 服务器方式 1 本地终端方式 : 通过被管理设备的 RS 232 接口与管理用计算机相连接, 进行相应的监控配置计费以及性能和安全等管理的方式这种方式一般适用于管理单台的重要网络设备, 如路由器等 2 远程 Telnet 命令方式通过计算机网络对已知地址和管理口令的设备进行远程登录, 并进行各种命令操作和管理这种方式也只适用于对网络中的单台设备进行管理与本地终端方式管理的区别是这种方式可以异地操作, 不必亲临现场 3 基于 SNMP 的代理 / 服务器网管方式也称 SNMP 网络管理模型, 包括以下几个组成部分 : (1) 网络管理站 ( 网络管理器 ) 它负责发出管理操作的指令, 并接收来自代理的信息一般为具有如下功能的主机 : 1 运行简单网管协议 (SNMP) 2 运行网管支持工具和网管应用软件其中,SNMP 提供网络管理的控制与通信机制, 而网管支持工具与应用软件则提供相应的管理策略方法和用户界面 (2) 被管理网络设备 ( 网络管理代理 Agent) 把来自管理者的命令或信息请求转换为本设备特有的指令, 完成管理者的指示, 或返回所在设备的信息存在于下述 4 类设备中 : 1 主机, 如工作站服务器等 2 网络交换设备, 如路由器 ATM 交换机以及以太网交换机等 3 外部设备, 如打印机图像输入输出设备等 4 调制解调器网桥和老式的网络交换机等前 3 类设备的共同特点是装有 TCP/IP 协议, 另外还有管理协议 SNMP 和管理工具等 3 大部分软件其中,TCP/IP 协议不仅用于传输管理信息, 而且还要传输用户数据第 4 类设备内存较小, 无法安装 TCP/IP 协议与网管代理等只能安装在代理服务器上网管工作站通过代理服务器与第 4 类设备进行交互和通信 (3) 被管网络信息库 (MIB) 是每个被管设备中代理所维持的状态信息的集合 (4)SNMP 协议用于网络管理站与被管设备的网管代理之间交互管理信息网络管理站通过 SNMP 协议向被管设备的网管代理发出各种请求报文, 网管代理则接收这些请求后完成相应的操作

233 10.4 SNMP 简单网络管理协议 SNMP 报文格式关于管理进程和代理进程之间的交互信息,SNMP 定义了 5 种报文 : 1 get-request 操作 : 从代理进程处提取一个或多个参数值 2 get-next-request 操作 : 从代理进程处提取一个或多个参数的下一个参数值 3 get-request 操作 : 设备代理进程的一个或多个参数值 4 get-response 操作 : 返回的一个或多个参数值这个操作是由代理进程发出的, 它是前面 3 种操作的响应操作 5 trap 操作 : 代理进程主动发出的报文通知管理进程有某些事情发生前面的 3 个操作是由管理进程向代理进程发出的后面两个是代理进程发给管理进程的 ( 为了简化起见, 前面 3 个操作今后叫做 get get-next 和 set 操作 ) 既然这些操作中的前 4 种操作是简单的请求应答方式 ( 也就是管理进程和发出请求代理进程应答响应 ), 而且在 SNMP 中往往使用 UDP 协议, 所以可能发生管理进程和代理之间数据包丢失的情况因此一定要有超时和重传机制管理进程发出的前面 3 种操作采用 UDP 的 161 端口, 代理进程发出的 Trap 操作采用 UDP 的 162 端口由于收发采用了不同的端口号, 所以一个系统可以同时为管理进程和代理进程图 10-9 是封装成 UDP 数据包的 5 种操作的 SNMP 报文格式图 10-9 SNMP 报文的格式图 10-9 中, 我们仅仅对 IP 和 UDP 的首部长度进行了标注这是由于 SNMP 报文的编码采用了 ASN.1 和 BER, 这就使得报文的长度取决于变量的类型和值版本字段是 0, 该字段的值是通过 SNMP 版本号减去 1 得到的显然 0 代表 SNMPV1 图显示各种 PDU 对应的值 (PDU 即协议数据单元, 也就是分组 )

234 228 第 10 章应用层协议 PDU 类型名称 0 get-request 1 get-next-request 2 Get-response 3 get-request 4 trap 图 SNMP 报文中的 PDU 类型共同体字段是一个字符串这是管理进程和代理进程之间的口令, 是明文格式, 默认的值是 Public 对于 get get-next 和 set 操作, 请求标识由管理进程设置, 然后由代理进程在 get-response 中返回这种类型的字段我们在其他 UDP 应用中曾经见过这个字段的作用是使客户进程 ( 在目前情况下是管理进程 ) 能够将服务器进程 ( 即代理进程 ) 发出的响应和客户进程发出的查询进行匹配这个字段允许管理进程对一个或多个代理进程发出多个请求, 并且从返回的众多应答中进行分类差错状态字段是一个整数, 它是由代理进程标注的, 指明有差错发生表 10-5 是参数值名称和描述之间的对应关系表 10-5 SNMP 差错状态的值差错状态名称描述 0 no Error 没有错误 1 toobig 代理进程无法把响应放在一个 SNMP 消息中发送 2 no Such Name 操作一个不存在的变量 3 bad Value Set 操作的值或语义有错误 4 read Only 管理进程试图修改一个只读变量 5 Gen Err 其他错误差错索引字段是一个整数偏移量, 指明当有差错发生时, 差错发生在哪个参数它由代理进程标注的, 并且只有在发生 no Such Name read Only 和 bad Value 差错时进行标注在 get get-next 和 set 的请求数据包中, 包含变量名称和变量值的一张表对于 get 和 get-next 操作, 变量值部分被忽略, 也就是不需要填写 SNMP 管理控制框架与实现 1.SNMP 管理控制框架 SNMP 定义了管理进程 (Manager) 和管理代理 (Agent) 之间的关系, 这个关系称为共同体 (Community) 描述共同体的语义是非常复杂的, 但其句法却很简单位于网络管理工作站 ( 运行管理进程 ) 上和各网络元素上利用 SNMP 相互通信对网络进行管理的软件统统称为 SNMP 应用实体若干个应用实体和 SNMP 组合起来形成一个共同体, 不同的共同体之间

235 10.4 SNMP 简单网络管理协议 229 用名字来区分, 共同体的名字必须符合 Internet 的层次结构命名规则, 由无保留意义的字符串组成此外, 一个 SNMP 应用实体可以加入多个共同体 SNMP 的应用实体对 Internet 管理信息库中的管理对象进行操作一个 SNMP 应用实体可操作的管理对象子集称 SNMP MIB 授权范围, 只读可读写等 SNMP 体系结构中要求对每个共同体都规定授权范围及其对每个对象的访问方式记录这些定义的文件称为共同体定义文件 SNMP 的报文总是源自每个应用实体, 报文中包括该应用实体所在的共同体的名字这种报文在 SNMP 中称为有身份标志的报文, 共同体名字是在管理进程和管理代理之间交换管理信息报文时使用的, 管理信息报文中包括以下两部分内容 : 1 共同体名, 加上发送方的一些标识信息 ( 附加信息 ), 用以验证发送方确实是共同体中的成员, 共同体实际上就是用来实现管理应用实体之间身份鉴别的 2 数据, 这是两个管理应用实体之间真正交换的信息在第三版本前的 SNMP 中实现了简单的身份鉴别, 接收方仅凭共同体名来判定收发双方是否在同一个共同体中, 而前面提到的附加信息尚未应用接收方在验明发送报文的管理代理或管理进程的身份后要对其访问权限进行检查访问权限检查涉及到以下因素 : 1 一个共同体内各成员可以对哪些对象进行读写等管理操作, 这些可读写对象称为该共同体的授权对象 ( 在授权范围内 ) 2 共同体成员对授权范围内每个对象定义了访问模式 : 只读或可读写 3 规定授权范围内每个管理对象 ( 类 ) 可进行的操作 ( 包括 get get-next set 和 trap) 4 管理信息库 (MIB) 对每个对象的访问方式限制管理代理通过上述预先定义的访问模式的权限来决定共同体中其他成员要求的管理对象访问 ( 操作 ) 是否允许共同体概念, 同样适用于转换代理 (Proxy Agent), 只不过转换代理中包含的对象主要是其他设备的内容 2.SNMP 实现方式为了提供遍历管理信息库的手段,SNMP 在其 MIB 中采用了树状命名方法对每个管理对象实例命名每个对象实例的名字都由对象类名字加上一个后缀构成对象类的名字是不会相互重复的, 因而不同对象类的对象实例之间也少有重名的危险在共同体定义中一般要规定该共同体授权的管理对象范围相应地也就规定了哪些对象实例是该共同体的管辖范围据此, 共同体的定义可以想象为一个多叉树, 以词典序提供了遍历所有管理对象实例的手段有了这个手段,SNMP 就可以使用 get-next 操作符, 顺序地从一个对象找到下一对象 get-next(object-instance) 操作返回的结果是一个对象实例标识符及其相关信息, 该对象实例在上面的多叉树紧排在指定标识符 object-instance 对象后面这种手段的优点在于即使不知道管理对象实例的具体名字, 管理系统也能逐个地找到它, 并提取到它的有关信息遍历所有管理对象的过程可以从第一个对象实例开始 ( 这个实例一定要给出 ), 然后逐次使用 get-next, 直到返回一个差错 ( 表示不存在的管理对象实例 ) 结束 ( 完成遍历 ) 由于信息以表格形式 ( 一种数据结构 ) 存放的, 在 SNMP 的管理概念中, 把所有表格都视为子树, 其中一张表格 ( 及其名字 ) 是相应子树的根节点, 每个列是根下面的子节点, 一列中的每个行则是该列节点下面的子节点, 并且是子树的叶节点, 如图所示因此, 按照前面的子树遍历思路, 对表格的遍历是先访问第一列的所有元素, 再访问第二列所有元

236 230 第 10 章应用层协议素直到最后一个元素若试图得到最后一个元素的下一个元素, 则返回差错标记图 SNMP 树形表格结构示意图 SNMP 中各种管理信息大多以表格形式存在, 一个表格对应一个对象类, 每个元素对应于该类的一个对象实例那么, 管理信息表对象中单个元素 ( 对象实例 ) 的操作可以用前面提到的 get-next 方法, 也可以用后面将介绍的 get/set 等操作下面主要介绍表格内一行信息的整体操作 : 1 增加一行 : 通过 SNMP 只用一次 Set 操作就可在一个表格中增加一行操作中的每个变量都对应于待增加行中的一个列元素, 包括对象实例标识符如果一表格中有 8 列, 则 set 操作中必须给出 8 个操作数, 分别对应 8 个列中的相应元素 2 删除一行 : 删除一行也可以通过 SNMP 调用一次 Set 操作完成, 并且比增加一行还简单删除一行只需要用 Set 操作将该行中的任意一个元素 ( 对象实例 ) 设置成非法即可但该操作有一个例外 : 地址翻译组对象中有一个特殊的表 ( 地址变换表 ), 该表中未定义一个元素的非法条件因此,SNMP 中采用的办法是将该表中的地址设置成空串, 而空字符串将被视为非法元素至于删除一行时, 表中的一行元素是否真的在表中消失, 则每个设备 ( 管理代理 ) 的具体实现有关因此, 管理网络操作中, 运行管理进程可能从管理代理中得到非法数据, 即已经删除的不再使用的元素的内容, 因此管理进程必须能通过各数据字段的内容来判断数据的合法性共同体和安全控制网络管理是一种分布式的应用与其他分布式的应用相同, 网络管理中已含有一个应用协议支持的多个应用实体的相互作用在 SNMP 网络管理中, 这些应用实体就是采用 SNMP 的管理站应用实体和被管理站的应用实体 SNMP 网络管理具有一些不同于其他分布式应用的特性, 它包含一个管理站和多个被管理站一间一对多的关系反过来, 我们也要看到 SNMP 网络管理中已含另外一种一对多的关系, 即一个被管理站和多个管理站之间的关系, 每个被管理站控制着自己的本地 MIB, 同时必须能控制多个管理站对这个本地 MIB 的访问这里所说的控制有以下 3 个方面 : 认证服务将对 MIB 的访问限

237 10.5 WINS 网际名字服务 231 定在授权的管理站的范围内 ; 访问策略对不同的管理站给予不同的访问权限 ; 代管服务提的是一个被管理站可以作为其他一些被管理站 ( 托管站 ) 的代管, 这就要求在这个代管系统中实现为托管站服务的认证服务和访问权限以上这些控制都是为了被管系统保护它们的 MIB 不被非法地访问 SNMP 通过共同体 (Community) 的概念提供了初步和有限的安全能力 SNMP 用共同体来定义一个代理者和一组管理者之间的认证访问控制和代管特性建立一个共同体每个共同体被赋予一个在被管系统内部唯一的共同体名, 该共同体名要提供给共同体内的所有管理, 以便它们在 get 和 set 操作中应用代理者可以与多个管理站建立多个共同体, 同一个管理站可以出现在不同的共同体中由于共同体在代理者处本地定义的, 因此不同的代理者处可能会定义相同的共同体名共同体名相同并不意味着共同体有什么相似之处, 因此, 管理站必须将共同体名与代理者联系起来加以应用 10.5 WINS 网际名字服务 WINS 是 Windows Internet Name Service(Windows 网际名字服务 ) 的简称 WINS 为 Net BIOS 名字提供名字注册更新释放和转换服务, 这些服务允许 WINS 服务器维护一个将 Net BIOS 名链接到 IP 地址的动态数据库, 减轻了对网络传输的负担为了便于用户与网络中的其他用户共享资源, 微软的 Windows 系统安装配置好基本的网卡网络协议和服务后, 都会在桌面上自动生成一个网上邻居快捷方式用户如果查看网络上另一计算机的共享资源, 只需在网上邻居上一步步进行简单的双击操作, 即可找到并打开相应主机上的共享文件但就是这样一个看似非常简单的过程, 其中就涉及到许多服务程序或协议的复杂工作, 其中就包括 : 名称注册名称解析 TCP/IP 协议 NetBIOS 协议 WINS 和 DNS 等在整个微软 Windows 名称解析过程中,Windows 2000 以前的版本和以后的版本主要是通过 DNS 服务进行解析的 NetBIOS 简介 NetBIOS( 网络基本输入 / 输出系统 ) 是一种应用协议, 也是一种命名方式, 还是一种网络编程接口为了给计算机提供 LAN 的环境, 微软公司和其他供应商对使用 NetBIOS 接口设计联网系统组件和程序进行了标准化 NetBIOS 名称空间是单层的, 这意味着在一个网络内只能使用一次该名称这些名称是在计算机启动, 服务开始或用户登录时动态注册的 NetBIOS 名称可以注册为唯一名称或组名唯一名称有一个与名称相关联的地址, 组名有多个映射到名称上的地址在 Windows 2000 之前, 所有基于 MS-DOS 和 Windows 的操作系统都需要 NetBIOS 命令接口来支持网络功能在 Windows 2000 发布之后, 计算机的网络连接就不再需要对 NetBIOS 命名接口的支持了例如, 使用 Windows 2000 和其他不需要 NetBIOS 名称的操作系统 ( 如某些版本的 UNIX), 可以建立并运行一个由支持使用域名系统 (DNS) 的主机和程序组成环境但是, 多数网络仍然要将要求 NetBIOS 网络名称的老的操作系统与运行 Windows 2000 的计算机集成在一起由于这个原因, Windows 2000 继续为 NetBIOS 名称提供默认支持以便与需要它们的老的操作系统的交互操作这种支持主要是以两种方式提供的 : 1 默认情况下, 所有使用 TCP/IP 的 Windows 2000 计算机, 都默认对注册和解析 Net BIOS 名称提供客户端支持这种支持是通过 TCP/IP 上的 NetBIOS(Net BT) 来提供的, 而

238 232 第 10 章应用层协议且需要时可以动手禁用 2 Windows 2000 Server 通过 Windows 网际名称服务 (WINS) 继续提供服务器端支持 WINS 可以用来有效地管理基于 Net BT 的网络一个 NetBIOS 名称包含 16 个字节, 每个名称的前 15 个字节是用户指定的它分别用于表示 : 1 标识与网络上单个用户或计算机相关的某个资源的唯一名称 2 标识与网络上的一组用户或计算机相关联的某个资源的组名每个 NetBIOS 名称中的第 16 个字符被 NetBIOS 客户用作名称后缀, 用来标识该名称, 并表明用该名称在网络上注册的资源的有关信息每个 NetBIOS 名称都配置成一个唯一的 ( 有的 ) 名称或组 ( 非专有的 ) 名唯一名称通常用来向计算机上的特定进程发送网络通讯组名用来同时向多台计算机发送信息计算机名 ( 机器名 ) 是典型的专有 NetBIOS 名字之一, 而工作组名是一种组 NetBIOS 名 NetBIOS 定义了两个组件 : 1 会话层接口 : 该 NetBIOS 接口是一个应用程序可以使用的标准 API 这些应用程序将网络输入输出和控制指令提交给下层网络协议软件, 以便通过网络进行传输, 您可以在支持 NetBIOS 接口的任意协议软件上, 运行所有使用 NetBIOS API 进行网络通讯的应用程序 2 会话管理和数据传输协议 : 这里使用的协议可以是用来执行 NetBIOS 接口命令集的实际传输和通讯的任何网络连接协议及其相关软件 TCP/IP 和 NetBIOS 协议软件就是两个例子, 大多数较早版本的 Windows 操作系统都有这两个协议要实现在网上邻居上进行正常计算机及文件浏览, 首先需要客户机把自己的名字在网上注册, 然后通过特定的名称解析方法把注册的名称与对应的 IP 地址进行对应有了两步, Windows 系统才可以通过浏览服务在网上邻居上进行浏览在较早版本的 Windows NT 中, 所有网络服务都只使用 NetBIOS 名称注册, 而对于 Windows 2000, NetLogon 服务及其他可能的网络服务都将在 DNS 中注册而且以前的网络命令行应用程序 ( 如各种 Net 命令 ) 也使用 NetBIOS 名称来访问这些服务, 其他基于 NetBIOS 的计算机 ( 如 Windows for Work groups LAN Manager 和 LAN Manager for UNIX 主机 ) 也使用 NetBIOS 名称网络上的一个主机如何知道一个特定的 NetBIOS 名字对应哪个 IP 呢? 这就是名称解析的任务了名称解析是为用户提供易于记忆的服务器名称的过程, 这样用户就无需记忆那些在 TCP/IP 网络上用于标识服务器的数字 IP 地址了, 解析名称的方式有多种, 大致可分为 : 本地解析广播解析和服务器解析 3 种方式在 WINS 和 DNS 服务出现以前,NetBIOS 名称的解析是通过广播或者静态的 Lmhosts 文件的方式实现的 Lmhosts 等文件位于各个计算机本地, 对于 Windows 95/98 计算机, 它位于 \Windows 目录中, 对手 Windows NT4.0 系统的计算机, 它位于 \Winnt\system32\drivers\etc 目录中 Lmhosts 是一个静态的纯文本文件, 其中存放 NetBIOS 计算机名与相应 IP 地址的映射行, 用于解析远程计算机名与相应 IP 地址的对应问题由于是静态文件, 其中的数据需要手工输入, 一旦新增加或改变了网络的计算名与其 IP 地址,Lmhosts 文件无法像 WINS 服务器那样地动态地自动更新数据, 只能手工更新, 维护工作量较大网络上的每一台计算机的 NetBIOS 名字还可以通过广播的方式来提供更新和解析的也就是说, 假如网络上有 n 台计算机, 那么每一台计算机就要广播 n-1 次对于小型网络来说, 这似乎并不会影响网络传输, 但是对于大型网络来讲, 将加重网络的负担广播的缺点是增加了网络的负荷, 此外广播一般不能通过路由器 ;Lmhosts 文件的缺点

239 10.5 WINS 网际名字服务 233 是需要手工维护, 并且当用户计算机的 IP 地址经常变化时 ( 如 DHCP 客户 ), 它不能有效地解决名称解析问题如果有一个全局的名字服务器, 就可以避免这些问题, 在一个大型网络中, 优势尤其明显因此, 自 WINS 和 DNS 服务出现后,NetBIOS 名称解析的任务就交给它们了 1.Windows Internet 名称服务 (WINS) Windows Internet 95/98NT/Me 这样的早期系统, 一般是通过 WINS 服务完成局域网内的 NetBIOS 名字解析的 WINS 是一个可靠的软件组件, 出现在组件列表的网络服务下面如果在服务器上安装 WINS, 则需要为该服务器指定一个静态 IP 地址此外还需要配置 WINS 客户端, 以便使它们识别这个 IP 地址后面将较详细地介绍 WINS 2. 域名系统 (DNS) DNS 是一个用于在 Internet 和专用 TCP/IP 网络上定位计算机的分层命名系统传统的 DNS 域名和地址之间的解析微软在 Windows 2000 之后新开发的 DNS, 支持 NetBIOS 名字解析局域网中通常需要安装一个或多个 DNS 服务器, 并在每个客户端指定 DNS 服务器 IP Internet 电子邮件 Web 浏览和 Active Directory 都需要 DNS, 某些带有运行 Windows 2000 客户端的域名也需要 DNS 当创建域控制器 ( 或将某个服务器提升为域控制器 ) 时, 会自动安装 DNS( 域内已有 DNS 服务器时例外 ) 这种名称解析方法通常应用于 Internet 和 Windows 2000 域中 WINS 原理 Windows Internet 命名服务 (WINS) 注册和查询网络上计算机和用户组 NetBIOS 名称的动态映射提供分布式数据库 WINS 将 NetBIOS 名称映射为 IP 地址, 并设计以解决路由环境的 NetBIOS 名称解析中所出现的问题 WINS 对于使用 TCP/IP 上的 NetBIOS 路由网络中的 NetBIOS 名称解析是最佳选择早期版本的 Windows 操作系统使用 NetBIOS 名称以标识和定位计算机以及其他共享或群集资源, 要在网络上使用这些资源需要注册或名称解析在早期版本的 Windows 操作系统中 (Windows 2000 以前的系统 ), NetBIOS 名称对于创建网络服务是必需的, 尽管可以对非 TCP/IP 的网络协议使用 NetBIOS 命名协议 ( 如 NetBIOS 或 IPX/SPX), 但是仍然专门设计了 WINS 支持 TCP/IP 上的 NetBIOS(Net BT) WINS 服务器为客户端提供名字注册更新释放和解析服务, 下面介绍这 4 个基本服务的工作原理 : 1. 名字注册名字注册就是客户端从 WINS 服务器获得信息的过程, 在 WINS 服务中, 名字注册是动态的当一个客户启动时, 它向所配置的 WINS 服务器发送一个名字注册信息 ( 包括了客户机的 IP 地址和计算机名 ), 如果 WINS 服务器正在运行, 并且没有其他客户计算机注册了相同的名字, 服务器就向客户端计算机返还一个成功注册的信息 ( 包括了名字注册的生存期 TTL) 就像 IP 地址一样, 每台计算机都要求唯一的计算机名, 否则就无法通信如果名字已经被其他计算机注册了,WINS 服务将会验证该名字是否正在使用如果该名字正在使用则注册失败 ( 发回一个否认信息 ) 否则就可以继续注册

240 234 第 10 章应用层协议 2. 名字更新因为客户端被分配了一个 TTL( 生存期 ), 所有它的注册也有一定的期限, 过了这个期限 WINS 服务器将从数据库中删除这个名字的注册信息它的过程是这样的 : 1 在过了生存期的 1/8 后客户端开始不断试图更新它的名字注册, 如果收不到任何响应, WINS 客户端每两分钟重复更新, 直到存活期过了一半 2 当生存期过了一半时, 仍然没有成功的话, 该客户端又回到它的首选 WINS 服务器了 3. 名字释放在客户端的正常关机过程中,WINS 客户端向 WINS 服务器发送一个名字释放的请求, 以请求释放其映射在 WINS 服务器数据库中的 IP 地址和 NetBIOS 名字收到释放请求后, WINS 服务器验证一下它的数据库中是否有该 IP 地址和 NetBIOS 名, 如果有就可以正常释放了, 否则就会出现错误 (WINS 服务器向 WINS 客户端必送一个负响应 ) 4. 名字解析当客户端在许多网络操作中需要 WINS 服务器解释名字, 例如当使用网络上其他计算机的共享文件时, 为了得到共享文件, 用户需要指定两件事 : 系统名和共享名, 而系统名就需要转换成 IP 地址名字解析过程是 : 1 当客户端计算机想要转换一个名字时, 它首先检查本地 NetBIOS 名字缓存器 2 如果名字不在本地 NetBIOS 名字缓存器中, 便发送一个名字查询到首选 WINS 服务器 ( 每隔 15 s 发送一次, 共发 3 次 ); 如果请求失败, 则向次选 WINS 发送同样的请求 3 如果都失败了, 那么名字解析可以通过其他途经来转换 WINS 注册与更新过程 WINS 在基于 TCP/IP 网络中简化管理 NetBIOS 名称空间下面描述了已含 WINS 客户端和服务器的一组典型的事件 : 在该示例中, 将发生以下事件 : 1 WINS 客户 HOST-A 使用 WINS-A 和已配置的 WINS 服务器注册任何本地 NetBIOS 名称 2 另一个 WINS 客户 HOST-B 查询 WINS-A 以定位网络上 HOST-A 的 IP 地址 3WINS-A 使用 IP 地址应答 HOST-A WINS 减少使用 NetBIOS 名称解析的本地 IP 广播, 并允许客户很容易地定位远程网络上的系统因为 WINS 注册在每次启动并加入网络时自动执行, 所以 WINS 数据库在进行更改动态地址配置时会自动更新例如, 当 DHCP 服务器将新的或已更改的 IP 地址发布到启用 WINS 的客户计算机时, 将更新客户的 WINS 信息这不需要用户或网络管理员进行手动更改 WINS 用于解析 NetBIOS 名称, 但是为了使名称解析生效, 客户必须可以动态添加删除或更新 WINS 中的名称在 WINS 服务系统中, 所有名称都通过 WINS 服务器注册名称存储在 WINS 服务器的数据库项的名称 IP 地址解析请求, 通过网络中使用多个 WINS 服务器来维护冗余和负载平衡为了维护 NetBIOS 名称空间的一致性, 服务器日期性地相互复制数据库项

241 10.5 WINS 网际名字服务 235 每个名称在数据库中都有一项, 该数据库归用来注册的 WINS 服务器所有, 并且是所有其他 WINS 服务器上的复制每一项都有一个与之相关的状态, 此状态可以是活动释放或消亡 ( 也称为逻辑删除 ) 状态, 系统还为这些项指派了版本 ID WINS 也允许静态名称注册, 这允许管理员为那些运行无法进行动态名称注册的操作系统的服务器注册名称 WINS 区分动态和静态项, 对静态名称的处理与对动态名称不同名称注册又分相同 IP 地址的名称和不同 IP 地址的注册名称两类 : 1. 同 IP 地址的注册名称如果名称 HOST-C 已经输入到数据库中, 而且名称 IP 地址与请求的相同, 则采取的操作取决于现有名称的状态和所有权如果该项标志为活动, 并且该项服务器 WINS-A 所有, 那么该服务器就会更新该刻录的时间戳, 并给客户返回一个肯定的响应如果该项标记为已释放或已逻辑删除, 或者该次为另一台 WINS 服务器所有, 则该注册将被作为新的注册对待时间戳版本 ID 和所有权都将被更新, 并返回一个肯定的响应 2. 不同 IP 地址的注册名称如果 WINS 数据库中已经有该名称, 但 IP 地址不同, 则 WINS 服务器会避免重复的名称如果该数据库项处于释放或逻辑删除状态, 则 WINS 服务器可以分配该名称但是, 如果该项处理活动状态, 具有该名称的节点就会被质询, 以确定它是否仍在网络中这种情况下, WINS 服务器 (WINS-A) 可以执行一个名称质询, 并采取以下步骤 : 1WINS-A 向请求客户 (HOST-C) 发送一个等待认可 (Wack) 响应, 指定 TTL 域中的某个时间, 在该时间内客户应等待响应 2 然后,WINS-A 将向当前的服务器数据库中注册该名称的节点发送一个名称查询请求 3 如果该节点仍然存在, 将 WINS-A 返回一个肯定的响应 4 接下来,WINS-A 会向请求客户 (HOST-C) 发送一个否定的名称注册响应, 拒绝该名称注册 5 如果 WINS-A 发送的第一个质询没有收到肯定的响应, 则随后进行两次名称查询如果第三次尝试都没有响应, 则质询过程完成, 并向请求客户 (HOST-C) 返回一个肯定的注册响应, 而且服务器中更新的名称将用于新的客户注册 6 与启用 WINS 的客户不同, 非 WINS 客户 ( 如 NetBT6 节点客户 ) 不能直接与 WINS 服务器联系 ; 非 WINS 客户必须先注册, 然后通过发送和回复本地网内和广播名称查询, 不断地保护其注册名称 7NetBIOS 名称是通过 Windows 网际名服务 (WINS) 来注册的并且计算机正常关机时通常要释放该名称如果计算机不是正常关机, 或者计算机在关机时不能与 WINS 服务器联系, 则可以使用 NetBIOS 命令在 WINS 中刷新该计算机的本地名称这对于在网络中不同位置之间移动或便携式计算机很有用 WINS 客户需要通过 WINS 服务器定期更新其 NetBIOS 名称注册 WINS 服务器处理名称更新请求与新名称注册类似当客户第一次通过 WINS 服务器注册时,WINS 服务器将返回带有生存时间 (TTL) 值的消息, 该消息表明客户注册何时到期需要更新如果到时还不更新, 则名称注册将在 WINS 服务器上到期, 最终系统将名称项从 WINS 数据库中删除然而, 静态 WINS 名称项不会到期, 因此, 不需要在 WINS 服务器数据库中更新 8WINS 数据库中项的默认更新间隔为六天因为在过了 50% 的 TTL 时间值时,WINS

242 236 第 10 章应用层协议客户将尝试更新注册, 所以大多数 WINS 客户每隔三天更新一次在些时间隔结束必须刷新名称, 否则系统会将其释放 WINS 客户通过将名称刷新请求发送到 WINS 服务器来刷新其名称 9 在大多数情况下, 默认值就是相应的更新间隔无论何时使用多个 WINS 服务器, 都应该为所有服务器复制伙伴设置相同的更新间隔 10 调整更新间隔不当会影响系统和网络的性能 WINS 解析过程默认情况下, 当用 WINS 服务器地址配置运行 Windows 2000 计算机 ( 手动或通过 DHCP) 的名称解析时, 除非配置了其他 NetBIOS 节点类型, 否则计算机将支持使用混合节点作为 NetBIOS 名称注册的节点类型对于 NetBIOS 名称查询和解析, 它也支持混合节点的操作, 但有少许差异对于 NetBIOS 名称解析,WINS 客户通常执行以下一系列步骤来解析名称 1 户检查查询的名称是否是它所拥有的本地 NetBIOS 计算机名称 : 2 客户检查远程名称的本地 NetBIOS 名称缓存远程客户的解析名称设置在该缓存中, 并将保留 10 min 3 客户将 NetBIOS 查询转发到已配置的主 WINS 服务器中如果主 WINS 服务器应答查询失败 ( 因为该主 WINS 服务器不可用, 或因为它没有名称项 ), 则客户将按照列出和配置使用的顺序尝试与其他已配置的 WINS 服务器联系 4 客户将 NetBIOS 查询广播到本地子网 5 如果配置客户端级使用 Lm hosts 文件, 则客户将检查与查询匹配的 Lmhosts 文件 6 如果将其配置成单个客户, 则客户会尝试 Hosts 文件然后尝试 DNS 服务器 WINS 客户的名称解析是网络上 TCP/IP(Net BT) 客户上所 NetBIOS 的相同名称解析的扩展, 它解析网络上的 NetBIOS 名称查询实际的名称解析方法对用户是透明的对于 Windows 2000, 一旦使用 net use 或类似的基于 NetBIOS 应用程序进行查询,WINS 客户将使用下列一系列选项解析名称 : 1 确定名称是否多于 15 个字符, 或是否包含小数点 (.) 如果是这样, 则向 DNS 查询名称 2 确定名称是否存储在客户的远程名称缓存中 3 联系并尝试配置了 WINS 的服务器, 使用 WINS 解析名称 4 对子网使用本地 IP 广播 5 如果在连接的 Internet 协议 (TCP/IP) 属性中启用了启用 Lmhosts 搜索, 则检查 Lmhosts 文件 6 检查 Hosts 文件 7 查询 DNS 服务器对于由运行 Windows 2000 Server 的服务器和运行 Windows 2000 Professional 的所有其他计算机组成的网络,NetBIOS 对基于 TCP/IP 的网络已不再需要当决定是否需要使用 WINS 时, 应首先考虑以下问题 : 1 在需要使用 NetBIOS 名称的网络上是否有旧式计算机运行在以前版本的 Microsoft 操作系统下的所有网络计算机, 例如 MS-DOS 的各种版本,Windows 95/98 或 Windows NT, 都需要 NetBIOS 名称支持 Windows 2000 是第一再需要 NetBIOS 命名支持的操作系统, 但在网络上仍然可以需要 NetBIOS 名称以对使用的许多旧式应用程序提供基本文件或打印服务以及支持

243 10.6 SMB 服务信息块协议是否配置网络上的所有计算机以支持使用其他类型网络命名, 如 DNS 网络命名仍然是在整个网络定位计算机的资源的重要服务, 甚至当不需要 NetBIOS 时也是如此在决定消除 WINS 或 NetBIOS 名称支持之前, 请确定网络上的所有计算机和程序可以使用其他命名服务正常工作通常,Windows 操作系统支持两种主要的网络名称解析方法它们是 : 主机名称解析 : 这是 Windows 基于套接字的名称解析方式, 它执行了 gethost- byname(), API 函数搜索主机 IP 地址, 该地址是建立在自己查询的主机名称基础上的该方法依赖于 Hosts 文件或查询 DNS 以执行名称解析功能 NetBIOS 名称解析 : 该名称解析使用 NetBIOS 重定向器来搜索基于查询的 NetBIOS 名称地址该方法依赖于 Lmhosts 文件或查询 WINS 执行名称解析在默认情况下, 运行 Windows 2000 的 WINS 客户被配置为先使用 DNS 解析长度超过 15 个字符或已含小数点 (.) 的名称, 如果将客户配置为使用的 DNS 服务器, 则也可以在 WINS 查询失败之后再次将 DNS 用作最终选项如果运行的是纯 Windows 2000 环境, 请检查当前配置了 DOS 并可以由网络上的所有客户计算机用来解析名称如果运行计算机的混合环境, 即计算机正在 Windows 2000 和其他操作系统平台下 ( 如 UNIX) 运行, 请确认其他主机只使用 DNS 解析主机名称 3 网络是单个子网还是有多个子网路由的网络, 如果整个网络由单个小型局域网 (LAN) 组成, 该局域网占据物理网段并有少于 50 个客户, 那么可以不使用 WINS 服务器将在 Windows 2000 系统下运行的所有计算机和早期基于 Microsoft 和 WINS 客户都配置为混合式节点类型客户, 并使用以下方法之一处理 NetBIOS 请求以解析或注册名称 : 如果配置了 WINS 服务器, 请与之直接点对点联系请求到本地子网的 NetBIOS 广播对于小型网络, 后面的选项通常是将 NetBIOS 名称服务提供到少数基于 LAN 客户的有效而简单的解决方案要提供对 DNS 查询的充分使用, 可像这部分所描述的和 Windows 2000 与 NetBIOS 名称解析过程中使用的那样对早期 Windows 客户, 如 Windows 95 或 Windows NT4.0 客户 ( 该客户支持该选项作为可配置的 TCP/IP 属性设置 ), 选择启用 DNS 进行 WINS 解析 10.6 SMB 服务信息块协议 SMB(Server Message Block) 简称服务信息块协议, 由 IBM 微软和其他几家公司一起开发的公用标准, 主要用于计算机间共享文件系统打印机和其他资源 Windows NT OS/2 和 Linux 均对 SMB 提供本地支持, 其他系统可以通过第三方软件对 SMB 提供支持通用互联网文件系统 CIFS(Common Internet File System) 是由 ( 微软 SCO 通用数据等公司 ) 共同开发, 它是 SMB 的公用版本, 支持在互联网上共享资源 SMB/CIFS 协议 SMB 技术的发展开始于 20 世纪 80 年代, 是一个通过网络在共享文件设备命名管道之间操作数据的协议 CIFS 客户系统在网络上向服务器请求文件和打印服务的开放跨平台的运行机制, 是建立在广泛应用于个人电脑和工作站等操作系统的标准服务器消息块 (SMB) 协议实际上,SMB 协议是一个在 LAN 常用的协议 CIFS 是 SMB 的一个公共版本

244 238 第 10 章应用层协议 SMB 与 CIFS 的区别 :Windows 2000 以前版本的 Windows 使用 NetBIOS 协议解决各计算机名的问题通过向 WINS 服务器发送通信对象的 NetBIOS 名, 取得 IP 地址而 Windows 2000 以后的版本所采用的 CIPS 则利用 DNS 解决计算机的命名问题, 根据 DNS 服务器中的名字列表信息, 寻找需要通信的对象如果顺利地得到对象的 IP 地址, 就可以访问共享资源 CIFS 和 SMB 解决计算机名的方法不同 SMB 使用 NetBIOS 名的广播和 WINS 解析计算机名, 而 CIFS 则使用 DNS SMB 可以运行在 TCP/IP NetBEUI DECNet 和 IPX/SPX 协议之上, 同时 NetBIOS 名字必须被使用 1.SMB 客户端的可用系统 for Microsoft: Windows 95,Windows for workgroups 3.x,Windows NT Windows 2000 and XP for Linux: Smblient from Samba,Smbfs for Linux 2.SMB 服务器 Samba Microsoft Windows for workgroups 3.x Microsoft Windows 95 Microsoft Windows NT The PATHWORKS family of servers from Digi pal LAN Manager for OS/2,SCO,etc Vision FS from SCO Total NET Advanced Server from Syntax Advanced Server for UNIX from AT&T(NCR?) LAN Server for OS/2 from IBM 3. 会话的建立一个客户端是如何与一个服务器建立 SMB 会话的呢? 假设一个客户端希望访问一台服务器上的特定资源首先, 必须知道一个 SMB 域名 ( 用来监别一个 SMB 服务器上的一组资源, 如用户打印机文件等 ) 1 开始时, 客户端向服务器请求一个 NetBIOS 会话客户端发送已编码的 NetBIOS 名字到 SMB 服务器 ( 在 139 端口监听连接请求 ) 服务器接收到 NetBIOS 名字后回复一个 NetBIOS 会话数据包给有效的会话连接客户端在建立之后才能进入访问 2 客户端发送一个 SMB negport 请求数据包 (negprot 是否磋商协议 negotiate protocol 的简写 ) 这时客户端列出了所支持的所有 SMB 协议版本 3 通过磋商之后, 客户端进程向服务器发起一个用户或共享的认证这个过程是通过发送 Sessetup X( 它是会话建立和 X Session setup and X 的简称 ) 请求数据包实现的客户端发送一对登录名 / 密码或一个简单密码到服务器, 然后服务器通过发送一个 Sessetup X 应答数据包来允许或拒绝本次连接 4 在客户端完成了磋商和认证之后, 它会发送一个 TconX 数据包并列出已想访问的特定网络资源的名称, 之后服务器会发送一个 TconX 应答数据包以表示此次连接是否接受或拒绝

245 具体过程描述如下 : netblos Session request (netblos name) [client] [Server] 1) netblos session qranted [client] [Server] SMB negprot request [client] [Server] 2)SMB negprot reply [client] [Server] SMB sessetup X request [client] [Server] 3)SMB sessetup X reply [client] [Server] SMB T con X request [client] [Server] 4)SMB T con X reply [client] [Server] SMB 数据包格式 10.6 SMB 服务信息块协议 239 了解 SMB 协议的数据包和特征是掌握 SMB 的工作机制和进行攻击的基础, 通常情况下, SMB 运行于 TCP/IP 协议组, 位于 TCP 层之上 SMB 数据包的格式如图所示 TCP Header NetBIOS Header SMB Base header SMB Command header DATA 图 SMB 数据包其中 : SMB Base header 包含了几种信息例如, 接收缓冲区的长度 ; 允许的最大连接数目 ; 包含了一个鉴别请求命令的数字等 SMB Command header 包含了所有的请求命令的参数 ( 像磋商协议版本命令 ) DATA 容纳了请求命令的数据我们把 SMB packet 看成是 NETBIOS Header + SMB Base Header + SMB Command Header+ DATA 的组合 1.NetBIOS 与 SMB NetBIOS(Net work Basic Input and Output System) 是在微软的网络系统中被广泛使用它是一个软件接口和命名系统每台主机都有一个长度为 15 个字符的 NetBIOS 名字, 且第 16 个字符的选择情况有两种 :0 00 电脑或工作站和 0 20 资源共享服务器这些选项可用

246 240 第 10 章应用层协议来鉴定一台工作站和服务器在一个 SMB 数据包中,NetBIOS 头部对应 NetBIOS 会话头部定义如下 : UCHAR Type; //Type of the Packet UCHAR Flags; //Flags UCHAR Length;//Count of data bytes (NetBIOS header not //included) 其中的 Plags 域的值总是被置为 0, 而 Type 域有几种可能的选择 : 0 81 对应一个 NetBIOS 会话请求这个代码在客户端发送它的 NetBIOS 名字到服务器时使用 0 82 对应一个 NetBIOS 会议应答这个代码在服务器向客户端批准 NetBIOS 会话时使用 0 00 对应一个会话消息这个代码总是在 SMB 会话中使用另外, Length 域包含了数据字节的长度 (NetBIOS 头部没有被包含在内 ) 数据包含在 NetBIOS 头部以上将所有部分 ( 它可能是 SMB Base Header + SMB Command header + DATA 或 NetBIOS 名字 ) 2. NetBIOS 名字与编码 NetBIOS 编码名字的长度为 32 字节,NetBIOS 名字总是以大写码形式存在编码一个 NetBIOS 名字非常的简单例如, 计算机的 NetBIOS 名字是 BILL, 它是一个工作站, 所以它的第十六个字符为 0 00 如果一个 NetBIOS 名字比 15 字节短就会在右边填补上空格例如, BILL 十六制表示为 : C 0 4C 每个字节都分裂为 4 位一组, 即 C , 而且每个 4 位都要添加 ASCII 码 A (0 41) 的值例如 : =0 45 ASCII Value=E =0 43 ASCII Value=C 最后 NetBIOS 名字被编码为 32 字节长注意 :SMB 可以直接运行于 TCP 之上而无需 NBT 在 Windows 2k 和 XP 上它们使用 455 端口此时,NetBIOS 名字没有被限制在 15 字符内 3. SMB 报文头部这个头部在所有的 SMB 数据包中部会被使用定义如下 : UCHAR Protocol[4]; //Contains 0 FF, SMB UCHAR Command;//Command code Union{ struct{ UCHAR Error Class; //Error class UCHAR Reserved;//Reserved for future use USHDRT Error;//Error code }Dos Error; ULONG Status;//32-bit error code }Status; UCHAR Flags;//Flags USHDRT Flags2;//More Flags

247 10.6 SMB 服务信息块协议 241 Union{ USHORT Pad[6];//Ensure section is 12 bytes long struct{ USHART Pid High;//High Part or PID ULONG Unused;//Not used ULONG Unused2; }Extra; }; USHORT Tid;//Tree identifier USHORT Pid;//Caller s Process id USHORT Uid;//Unauthenticated user id USHORT Mid;//multiplex id UCHAR Word Count;//Count of Parameter Words USHORT Parameter words[word Count];//The Par meter Words USHORT Byte Count;//Count of bytes UCHAR Buffer[Byte Count];//The Bytes 其中 : Protocol 域, 包含一个协议 (SMB) 的名字, 名字前包含一个 0 FF Command 域, 包含一个请求命令的数据例如,0 72 磋商协议命令 Tid 域表示在客户端成功地和一台 SMB 服务器上的资源建立连接后被使用 TID 数字用来鉴别资源 Uid 域表示在一个用户被成功地通过会证后被使用,UID 数字用来鉴别用户 Pid 域表示在服务器上创建一个进程并使用 PID 数字用来鉴别进程 Mid 域表示在一个用户被有的请求 ( 如进程线程文件访问等 ) 是和 PID 同时使用 Flags 域表示如果第 15 位置 1, 则使用 UNICODE 编码 4. SMB 命令的描述 SMB 磋商协议 (Negprot) 在 SMB 会话建立连接码第一步时使用在 SMB 基础报文头部中的 Command 域被填充为 0x72, 下面是 Negprot 请求与应答数据包的定义 : Request header UCHAR Word Count; //Count of Parameter Words=0 USHORT Byte Count; //Count of data bytes struct{ UCHAR BufferFormat; //0x02,Dialect UCHAR Dialect Name[]; //ASCII null-terminated string }Dialects[]; 这个数据包包括客户端向服务器发送的主所支持 SMB 协议的所有版本信息在这个报文中有 3 件事要说明 : Word Count 域总是被置为零 ; Byte Count 域等于结构 Dialects 的长度 ; Buffer Format 域总是等于 0x02 Dialect Name 包含 SMB 协议支持的 n 种版本信息应答数据包头部 : UCHAR Word Count; Count of Parameter words=17 USHORT Dialect Index; Index of Selected dialect

248 242 第 10 章应用层协议 UCHAR Security Mode; Security mode; bit 0:0=share,1=user bit 1:1=encrypt Passwords USHORT MaxMpxCount; max pending multiplexed requests USHORT MaxNamDerVcs; Max Vcs between client and server ULONG MaxBufferSize; Max transmit buffer size ULONG MaxRawSize ; Maximum raw buffer size ULONG SessionKey; Unique token ideneifying this session ULONG Capabilities; Server capabilities ULONG SystemTimeLow; System(UTC)Time of the server(low) ULONG SystemTimeHigh; System(UTC)Time of the server(high) USHORT ServerTimezone; Time zone of server(min from UTC) UCHAR EncryptionKeyLength; Length of encryption key USHORT Byte Count; Count of data bytes UCHAR EncryptionKey[]; The challenge encryption key UCHAR OemDomainName[]; The name of the domain(in OEM chars) 这个数据包由服务器发出, 它包含 SMB 协议支持的版本列表, 服务器的 SMB 域名, 如果需要还要包含密钥 Security Mode 位是安全模式域如果第 0 位被选中, 那么我们就选择了用户安全模式 ; 如果没有, 则拥有共享安全模式, 如果第 1 位被选中, 密码注使用 DEC 加密算法进行编码 SessionKey 域表明服务器是否支持 UNICODE 字符串或 NTLM0.12 特别的命令等数据被放在报文头部的结要处通过一个 negprot 应答, 这些数据与 EncryptionKey 和 DemDomainName 相对应 OemDomainName 域的长度等于 (Byte count Encryption keg length) Oem omainname 字符串包含服务器的 SMB 域名 Sessetup X(Session Setup and X) Sessetup X 数据包被用来处理用户鉴别, 或在你访问资源时提供一个密码 Sessetup X 的命令代码是 :0x73 5. 请求数据包头部 UCHAR WordCount; Count of parameter words=13 UCHAR AndXcom and; Secondary(X)Command;0Xff=name UCHAR And XReserved; Reserved(must be 0) USHORT AndXOffset; Offset to next command word count USHORT MaxBufferSize; Clients maximum buffer size USHORT Max MPXCount; Actual maximum multiplexed pending requests USHORT VcNumber; O=first(only),nonzero=additional vcnumber ULONG SessionKey; Session key(valid iff vcnumber!=0) USHORT CaseInSensitivePasswordLength; A count Password size ANSI USHORT CaseSensitive Password Length; A count Password size, Unicode ULONG Reserved; must be 0

249 10.6 SMB 服务信息块协议 243 ULONG Capabilities; Capabilities USHORT ByteCount; Count of data bytes; min=0 UCHAR CaseInSensitivePassword[]; Account Password, ANSI UCHAR CaseSensitivePassword[]; Account Passrord, Unicode STRING AccountName[]; Account Name, Unicode STRING PrimaryDomain[]; Clients Perating domain,unicode STRING NativeLanMan[]; Client s native LAN Manager type Unicode 这个报文提供很多关于客户端系统的信息 MaxBufferSize 域是非常的重要, 它提供客户端可以接收数据包的最大长度如果用户将该域设置为 0, 那么用户不会接收到任何类型的数据该数据包内, 最重要的是 CaseSensitivePassWord ( 这是 UNICODE 编码的密码 ) 域和 CaseInSensitivePassword (ANSI 编码的密码 ) 域这两个域如何被使用, 取决于服务器是否支持 UNICODE 编码 ( 在磋商协议应答报文中描述 ) 密码的长度保存在 CaseInSensitivePasswordLength 或 CaseSensitivePassword Length 里, 数据的长度保存在 ByteCount 域中 6. 应答数据头部 UCHAR WordCount; Count of Parameter words=3 UCHAR AndXCommand; Secondary(X)command;0xFF=none UCHAR AndXReserved; Reserved(must be 0) USHORT AndXoffset; Offset to next command Word Count USHORT Action; Request mode: bit 0=logged in as GUEST USHORT ByteCount; Count of data bytes STRING NativeOS[]; Server s native operating system STRING NativeLanMan[]; Server s native LAN Manager type STRING PrimaryDomain []; Server s Primary domain 在这个数据包文里也包含了很多信息, 如操作系统类型,SMB 服务器版本信息和服务器的域名等如果连接失败, 那么在应答数据包头部中的 NativeOS NativeLanman and PrimaryDomain 等字符串值为空 SMB 协议的安全问题 SMB 有两种安全模式第一种是共享级的安全模式, 这种安全模式需要一个访问网络上共享资源的密码, 用户通过这个正确的密码来访问网络资源, 它可以是一个共享网络资源服务器名字的用户第二种是用户级的安全模式, 这是在第一种模式上的增强版, 它使用登录名 / 密码来访问共享资源, 所以如果一个用户想访问这种类型的共享资源, 就必须同时提供登录名和密码在 SMB 协议中, 如果用户想进行一次在服务器上的请求认证, 用户的密码可以原码或加密后的形式发送到服务器端如果服务器支持加密属性, 客户端必须发送一个应答信号在 negprot 应答数据包中, 服务器会给客户端发送一个密钥然后, 客户端将密码加密并通过 SessetupX 请求数据包发送到服务器端服务器将会核查密码的有效性, 并由此允许或拒

250 244 第 10 章应用层协议绝客户端的访问一个 SMB 密码 ( 未加密 ) 的最大长度是 14 位密钥的长度一般为 8 位, 加密过后的口令长度为 24 位在 ANSI 密码中, 密码中的所有位都转换成大写的形式然后再加密, 密码是以 DEC 编码方式进行加密的安全对策的基本原则是关闭不需要的服务如果不起动服务, 即便外部发来连接请求, 机器也不会作出响应要做到这一步, 电脑管理员就必须充分了解哪些服务是必须的, 以及目前实际上启动了哪些服务在 Windows 系统中默认条件下会启动很多服务, 而很多管理员不仅认识不到端口开放的危险性在 SMB 通信中, 通过向 WINS 服务器发送通信对象的 NetBIOS 名取得通信对象的 IP 地址, 然后向通信对象发生开始通信的请求如果对方允许进行通信, 就会确立会话层 (Session) 并使用它向对方发送用户和密码信息进行认证如果认证成功, 就可以访问对方的共享文件在这些一连串的通信中使用的就是 139 端口 Windows 2000 和 XP 除些之外还使用 445 端口文件共享功能本身与 139 端口相同, 但该端口使用的是与 SMB 不同的协议, 这就是在 Windows 2000 中最新使用的 CIFS 协议因此, 在文件服务器和打印服务器使用 Windows 的公司网络环境中, 就无法关闭 139 和 445 端口很多情况下, 文件共享和打印机共享在普通的业务中是不可缺少的功能而客户端如果自身不公开文件, 就可以关闭这两个端口假如是仅 2000 版本以后的 Windows 构成的网络就可以关闭 139 端口这是因为如前所述, 该网络只用 445 端口就能够进行文件共享由于在解决计算机名过程中使用 DNS, 所以也可以关闭地 137 和 138 端口不过, 在目前情况下, 基本上所有的网络系统都还在混合使用 2000 以前的 Windows 版本在混合网络环境中由于必须使用 139 端口通过 SMB 协议进行通信, 因此就无法关闭 139 端口, 公开服务器打开 139 和 445 端口是非常危险的, 一定要关闭 139 和 445 端口

251 第 11 章网络管理与安全建好 Internet 以后, 如何保证它正常运行, 这就需要对其进行日常的管理和维护, 包括对网络中各个组件的操作的管理和维护同时, 随着网络应用与社会生活联系的日益紧密, 网络安全性问题显得越来越重要了解网络安全风险的种类掌握基本的安全防护方法, 对我们管理网络有很大的帮助 11.1 ISO 对网络管理的定义国际标准化组织 ISO 把网络管理分为以下几类 : 配置与命名管理性能测试管理安全性管理记账管理错误诊断管理配置与命名管理配置与命名管理时指对网络的硬件配置与软件设置的管理, 即是对网络设备进行配置与命名如配置交换机路由器设置网络协议参数, 标识命名各种网络设备等性能测试管理性能测试管理是指对网络系统性能参数进行测试, 从而判断网络是否运行正常, 以便提出进一步的对策通常测试的网络系统参数包括 : 响应时间服务质量通过流量与阻塞情况安全性管理安全性管理是指对网络的访问控制权限数据的完整性文件的加密与认证等的管理目的就是让已授权用户能够获得完整有效的数据, 而让非授权用户无法获取有效数据记账管理记账管理是指对用户使用网络资源的情况进行计算, 确定其对资源的使用与占有情况例如计量用户 Internet 的时间, 就属于记账管理错误诊断管理错误诊断管理包括检测, 确定和纠正网络出现的故障

252 246 第 11 章网络管理与安全 11.2 网络管理与维护工具网络与维护工具包括软件与硬件工具, 当然了, 信息设备的核心总是软件故所谓软件工具与硬件工具的区分主要是指形态上的软件工具只需要以程序的形式安装在网络的主机中就可以使用 ; 而硬件工具是一个物理实体, 通常要通过接口与网络连接后才能使用, 功能强大的硬件工具中必须有控制的软件网络操作系统具有一定的网络管理功能, 如 Windows 2000 中提供的一些配置查看, 连通性测试命令等, 但是功能毕竟有限各大网络设备生产商针对自己生产开发的网络管理系统 ( 软件工具 ), 提供了比网络操作系统更强的网络管理功能为了统一标准, 不同厂商的网络设备能被不同的网络管理系统进行管理出现了两个重要的协议 : 简单网络管理协议 (SNMP,Sample Network Management Protocol) 公共管理信息协议 (CMIP,Common Management Information Protocol) 简单网络管理协议 (SNMP) SNMP 是网络中重要的网管协议, 它以在网络上交换信息包的方式来实现网络管理 SNMP 的原理如下 : 在网络设备中内置被称为 SNMP Agent 的软件, 而把符合 SNMP 协议的网络管理软件安装在称为网络管理工作站 (NMS) 的网络主机中通过网管工作站, 网络管理员指定被管理设备的 IP 地址, 就可以对该设备的状态和某些参数进行监控和管理网管软件把管理员的指令通过网络传给被管理的设备被管理设备的 SNMP Agent 解析处网络指令并根据指令产生响应的操作 SNMP 的基本控制命令只有读取信息 Get, 设置信息 Set 和 Agent 主动向 NMS 发送的中断陷入信息 trap 管理的实现过程十分简单, 故名简单网络协议 SNMP 是由众多网络厂商支持的事实上的工业标准, 很多网络产品均支持 SNMP 公共管理信息协议 (CMIP) 简单管理协议主要针对局域网的一个网管协议, 且在大型的局域网中表现不佳 CMIP 是一个针对大型复杂的网络而指定的管理协议标准, 对 Internet 这种世界规模的网络管理也能提供支持 CMIP 与 SNMP 一样, 管理信息的交换页发生在 NMS 与 Agent 之间, 但 CMIP 的基本命令要多一些, 其命令包括 : 读取信息 get 设置信息 set 操作 action 事件报告 event report 创建 create 删除 delete 初始化 initialize 终止 terminate

253 11.3 网络故障现象原因与排除 247 CMIP 是由国际标准化组织指定的网络管理标准, 支持 CMIP 的网络产品不是很多网络系统产品网络系统产品主要是 IBM AT&T HP CISCO Sun Microsytems 等国外大公司争霸市场近年来国内华为等公司也推出了自己的网管系统产品, 现只把产品列出如下 : IBM:Netview 与 System View AT&T:Accumaster Integrator HP:Open View Sun Microsytems:SunNet Manager CISCO:Cisco Works for Windows 这些网管系统均是商业化的大型软件, 能够实现部分或全部以下功能 : 对局域网拓扑的管理, 如 VLAN 的划分等 ; 统计网络流量, 查看设备端口状态参数 ; 自动收集报告各种网络参数, 分类报告系统警告信息, 实现记账管理等这些网络管理软件一般都比较昂贵, 小型网络没有必要购置安装 11.3 网络故障现象原因与排除网络故障现象及其产生的原因 1. 网络故障的现象网络故障的现象种类繁多, 花样百出, 如不能登录服务器不能收发电子邮件不能使用网络打印机某个网段或某个网络不能正常工作等总括起来, 从设备看, 就是网络中的某个某些主机或整个网络都不能正常工作 ; 从功能看, 就是网络的部分或全部功能丧失 2. 故障产生的原因每一个故障现象都有产生的原因尽管具体的故障原因多种多样, 但总的看来不外乎两大类, 那就是 : (1) 网络硬件的连通性问题网络硬件的连通性是故障发生后首先应当考虑的原因连通性的问题通常涉及到网卡交换机信息插座跳线网线等设备和传输介质其中, 任何一个设备或连线的损坏, 都会导致网络连接的中断连通性通常可以采用软件和硬件工具进行测试例如, 当 Intranet 中某一计算机不能浏览 Web 时, 首先就应确定是否为连通性的问题可用以下方法进行判断 : 1 观察网卡交换机或 HUB 上对应端口的指示灯的闪亮情况 2 进行 FTP 登录 3 收发电子邮件 4 查看网络邻居 5 Ping 同一网段或同一 VLAN 的其他主机若任意一个现象表现正常或任意一个操作能够完成, 则不是本地子网的硬件连通性问题若所有操作不能完成, 则有可能是连通性问题

254 248 第 11 章网络管理与安全 (2) 网络软件配置问题在网络中, 服务器客户端计算机交换机和路由器都需要进行配置如果配置文件或配置选项设置不当, 配置的的网络通信协议有误同样会导致网络故障例如 : 1 计算机网卡配置不当, 会导致无法连接的故障 2 服务器权限的设置不当, 会导致资源无法共享的故障 3 交换机的 VLAN 设置不当, 会导致 VLAN 内的通信故障 4 路由器的访问列表配置不当, 会导致 Internet 连接故障 5 网络通信协议配置不当, 则网络根本就无法工作网络故障的排除在分析故障现象, 判断出故障原因后, 排除故障是顺理成章的事因此, 要排除故障, 使得网络运行恢复正常, 关键是要准确判断引起故障的具体原因工欲善其事, 必先利其器借助网络测试工具和在网络管理维护中积累的经验 ( 对每一个故障的现象原因和排除过程做好书面记录是一个非常好的积累经验的方法 ), 可以较快地定位和排除故障 1. 网络测试软件工具前面提到的网络管理系统, 当然也是很好的测试工具但动辄数万元数十万元甚至更高的价格使得小型网络的管理员只有望洋兴叹有当然好, 没有这类高档工具, 使用其他的也可以维护好网络 Windows 2000 自带了一些常用的网络测试命令, 用于网络的连通性测试, 配置参数测试和协议配置路由跟踪测试等常用的命令如下 : Ping 命令 Ipconfig 命令 Winipcfg 命令 Tracert 命令 PathPing 命令 (1) Ping 命令 1 Ping 命令的格式与使用 Ping 命令是 TCP/IP 内含的应用程序, 是网络中使用最频繁的测试连通性的工具, 同时它还可以诊断其他一些故障 Ping 命令使用 ICMP (Internet Control Message Protocol, 国际消息控制协议 ) 来发送一个网络数据包并请求答应, 接受到请求的目标主机也使用 ICMP 发回相同的数据, 于是 Ping 命令便可对每个包的发送和接受时间进行报告, 并报告无响应包的百分比这在确定网络是否正常连接以及网络连接的状况 ( 包丢失率 ) 十分有用 Ping 命令可在开始菜单的运行对话框中直接执行, 也可以在命令提示符下执行 Ping 命令的格式 : Ping host-name( 主机名 ) Ping domain-name( 域名 ) Ping ip-address(ip 地址 ) Ping 命令的使用 :

255 11.3 网络故障现象原因与排除 249 a. Ping 本地的 IP 地址主机名或域名 Ping 本机 IP 地址或环回测试用地址 WINNT>Ping Ping with 32 bytes of data: Reply from :bytes=32 time=lms TTL=128 Reply from :bytes=32 time=lms TTL=128 Reply from :bytes=32 time=lms TTL=128 Reply from :bytes=32 time<10ms TTL=128 Ping statistics for : Packets:Sent=4,Received=4,Lost=0(0%loss) Approximate round trip time in milli-seconds: Minimum=0ms,Maximum=1ms,Avenage=0ms 是本机的 IP 地址如上所示的响应代表环回测试成功, 可以确定本机的网卡安装驱动正常,TCP/IP 设置正常如果测试不成功, 则可采取如下步骤排除故障 i. 确认该计算机是否正常安装了网卡驱动程序在控制面板的系统属性中查看网卡名前方是否有一个黄色的! 或红色的如果有!, 删除该网卡, 并重新安装驱动程序, 然后再试 ; 如果有, 表明该网卡被禁用, 应重新启用它, 如果测试仍不成功, 则应进行如下确认 i i. 确认该计算机是否正常配置了 IP 地址和子网掩码在控制面板的网络和拨号连接的本地连接属性中查看 IP 地址和子网掩码是否设置正确如果设置不正确, 重新设置后再试 Ping 本机域名, 如果测试成功, 表明网卡 TCP/IP 配置正常外, 还表明 DNS 服务器对该机的域名解析正常 b. Ping 同一子网或同一 VLAN 中其他计算机的 IP 地址 Ping 同一 VLAN 中其他计算机的地址, 如果测试不成功, 则应确认 IP 地址子网掩码的设置是否正常如果设置有误, 重新设置后再试 ; 如果设置正确, 或再试仍不成功, 则应确认交换机的 VLAN 设置是否正确如果设置有误, 重新设置后再试 ; 如果设置正确, 或再试仍不成功, 则应该确认网络连接是否正常, 应对网络设备或通信介子逐段进行测试, 检查并排除故障 c. Ping 广域网或 Internet 中远程主机的 IP 地址 Ping 远程主机的地址, 如果不成功, 应确认网卡的设置是否正常 ; 如果测试不成功, 应该在控制面板的网络与拨号连接的本地连接属性中查看默认网关设置是否正常如果设置不正确, 重新设置后再试, 默认网关应设为路由器的局域网或广域网端口的 IP 地址 ; 如果设置正确或重试后仍不成功, 则应该确认路由器的配置是否正确如果该计算机被加入到禁止出站访问 IP 控制列表中, 那么该机将无法访问 Internet, 自然也就 Ping 不通远程主机了如果路由器配置正确, 该机也有访问权限, 则应该确认远端设备和线路是否正常从其他计算机 Ping 远程主机, 如果从任意一台计算机 Ping 任意一台远程主机的连接都超时, 或丢包率非常高, 则应当与电信服务商或 ISP 共同检查广域网或 Internet 连接, 包括线路 Modem 本地和远程路由器的设置等 d. Ping 远程主机的域名如果 Ping IP 地址响应正常而 Ping 域名测试不成功, 则应确认使用 DNS 服务器设置是否正常在本机控制面板的网络与拨号连接的本地连接属性中查看域名服务器 (DNS)

256 250 第 11 章网络管理与安全设置是否正确如首选或备用的 DNS 服务器的 IP 地址设置是否正常等如果设置不正确, 重新设置后再试 ; 如果设置正确或再试仍不成功, 则分两种情况处理 : i. 如果 Intranet 自有 DNS 服务器, 则查看 DNS 服务器的配置, 确认 Intranet 的 DNS 服务器配置是否正确 i i. 如果是使用 ISP 的 DNS 服务器, 则可 Ping 其 IP 地址, 看能否 Ping 通 ; 与 ISP 联系, 确认 ISP 的 DNS 服务器工作是否正常例如 : Ping C:>WINNT>Ping Ping 32 bytes of data: Reply from :bytes=32 time=236ms TTL=239 Reply from :bytes=32 time=559ms TTL=239 Reply from :bytes=32 time=1034ms TTL=239 Request timed out. Ping statistics for : Packets:Sent=4,Received=3,Lost=1(25%loss) Approximate round trip time in milli-seconds: Minimum=236ms,Maximum=1034ms,Avenage=518ms 本例表明传输速率较慢, 且数据包有部分丢失说明网上线路拥挤或路由器等设备负荷过重 Ping 命令的出错信息 : 如果 Ping 命令测试不成功, 通常在屏幕上显示的出错信息有 : i..unknown host:unknown host 意味不知名的主机, 该出错信息的含义是被 Ping 主机的域名不能被域名服务器转换成为 IP 地址故障原因可能是所 Ping 名字不正确域名服务器有故障或者网络系统与远程主机之间的通信线路有故障例如 : C:\WINNT>Ping Unknown host ii. No answer:no answer 意为没有响应, 该出错信息的含义是本地网络有一条到达所 Ping 主机的路由, 但却接受不到该远程主机的任何数据包响应 ( 回复 ) 故障原因可能是 : 远程主机没有工作, 远程主机网络配置不正确, 远程的路由器没有工作, 通信线路有故障 iii.timed out:timed out 意为超时, 即与远程主机的连接超时, 数据包全部丢失, 故障原因可能是 : 本机到路由器的连接有问题, 数据包没能通过路由器, 远程主机未工作例如 : C:\WINDOWS>Ping Ping with 32 bytes of data: Request timed out Request timed out Request timed out Request timed out Ping statistics for

257 11.3 网络故障现象原因与排除 251 C:\WINDOWS>Ping Packets:Sent=4,Received=0,Lost=4(100%loss) Approximate round trip time in milli-seconds: Minimum=0ms,Maximum=0ms,Avenage=0ms iv. Ping 命令可选参数详解命令格式 : Ping [-t] [-a] [-n count] [-1 size][-f] [-i TTL] [-v TOS] [-r count] [-s count] [-j host-list] [-k host-list] [-w timeout] destination-list 参数 : -t 一直 Ping 指定的计算机直到按组合键 Ctrl+C 终止 -a 将目标 IP 地址解析为计算机名 -n count 发送 count 指定的 ECHO 数据包数, 默认值为 4-1 length 发送包含有 length 指定的数据长度 ECHO 数据包, 默认值为 32 字节, 最大值是 f 在数据包发送不要分段标志这样数据包就不会被路由上的网关分段 -i TTL 把生存时间字段设置为 ttl 指定的值 -v TOS 把服务类型字段设置为 tos 指定的值 -r count 在记录路由字段中记录传出和返回数据包的路由 Count 可以指定最少 1 个最多 9 个跃点 -s count 为 count 次跳跃提供时间标签, 取值范围为 1~4 -j host-list 利用 host-list 指定的计算机列表路由数据包相邻计算机可以被中间网关分隔 ( 路由稀疏源 ) 允许的最大个数为 9 -k host-list 利用 host-list 指定的计算机列表路由数据包相邻计算机可以被中间网关分隔 ( 路由严格源 ) 允许的最大个数为 9 -w timeout 指定超时时间间隔, 单位为毫秒 destination-list 指定要 Ping 的远程计算机 IP 地址或域名 (2) Ipconfig 命令 1 Ipconfig 命令的格式与使用 Ipconfig 也是内含 TCP/IP 的应用程序之一, 是在网络中常用的参数测试工具, 用于显示本地计算机的 TCP/IP 配置信息和网卡的 MAC 地址 Ipconfig 命令的格式 : 在命令提示符下键入 Ipconfig a. 显示本机所有网卡的 IP 地址子网掩码和默认网关配置 C:\WINNT>ipconfig 0 Ethernet adapter: Ip Address Subnet Mast Default Gateway ; 1 Ethernet adapter: Ip Address Subnet Mast Default Gateway

258 252 第 11 章网络管理与安全 2 Ethernet adapter: Ip Address Subnet Mast Default Gateway b. 显示本机所有网卡的 IP 地址配置 MAC 地址主机名 DHCP 和 WINS 服务器等详细信息这时在 Ipconfig 后面加参数 all 例如 : C:\WINNT>ipconfig/all 屏幕显示如图 11-1 所示图 11-1 在 ipconfig 后面加参数 all 以后的信息 2 ipconfig 命令参数使用详解使用该命令显示所有当前的 TCP/IP 网络配置, 如上所述该命令允许用户决定和更新 DHCP 配置的 TCP/IP 配置值命令格式 : ipconfig[/all/renew adapter /release adapter] 参数 : /all 显示全部参数在没有该开关的情况下, ipconfig 只显示 IP 地址子网掩码和每个网卡的默认网关 /renew adapter 更新 DHCP 配置的 IP 地址参数该选项在运行 DHCP 客户端的系统上使用, 需要指定网卡的名称可键入不带参数的 Ipconfig 命令显示使用的网卡名称 /release adapter 放弃当前的 DHCP 配置的 IP 地址参数该选项在运行 DHCP 客户端上使用, 需要指定网卡的名称键入不带参数的 Ipconfig 命令可显示网卡的名称 (3) Winipcfg 命令 Winipcfg 命令是内置于 Windows 9x 的 TCP/IP 应用程序, 它以图形界面显示 IP 地址配置信息和网卡的 MAC 地址以及其他参数信息作用于 Ipconfig 命令相同在命令提示符下或在开始菜单的运行对话框中键入 Winipcfg 后, 屏幕显示如图 11-2 所示

259 11.3 网络故障现象原因与排除 253 单击详细信息按钮之后, 屏幕显示如图 11-3 所示对话框图 11-2 IP 配置信息图 11-3 配置 IP 详细信息对话框

260 254 第 11 章网络管理与安全 (4) Tracert 命令 Tracert 命令也是内含于 TCP/IP 的应用程序与 Ping 命令一样, 它也是通过向目标发送不同生命时间 (TTL) 的 TCMP 数据包, 根据接收到的回应数据包的经历信息显示来诊断到达目标的路由是否有问题数据包所经路径上的每个路由器在转发数据包之前, 将数据包上的 TTL 递减 1, 当数据包的 TTL 减为 0 时, 路由器把 ICMP 已超时的消息发回原系统 1 Tracert 命令的格式与使用 Tracert 命令的格式 : Tracert 远程主机的 IP 地址或域名 Tracert 命令的使用 a. 查看路由 Tracert 命令可显示源主机于目标主机之间数据包走过的路径 C:\WINNT>tracert Tracing route to Over a maximum of 30 hops: 1 3ms 3ms 3ms ms 31ms 32ms ms 41ms 36ms ms 38ms 43ms ms 39ms 46ms ms 93ms 66ms ms 53ms 50ms ms 54ms 48ms Tracert complete. b. 使用 Tracert 命令可能确定数据包在网络上的停止位置 C:\WINNT>tracert Tracing route to over a maximum of 30 hops 1 Destination net unreachable. Trace complete. 此信息表示, 从本机出发的第一跳路由器就不能到达这可能时默认网关设置有误, 或者路由器配置有问题, 或者时网络不存在 2 Tracert 命令参数的使用详解命令格式 : Tracert[-d] [-h maximum-hops] [-j host-list] [-w timeout] Target-name 参数 : -d 指定不将地址解析为计算机名 -h maximum-hops 指定搜索目标的最大跃点数 -j host-list 指定沿 computer-list 和稀疏源路由 -w timeout 每次应答等待 timeout 指定的微秒数 Target-name 目标计算机的名称

261 11.3 网络故障现象原因与排除 255 (5) PathPing 命令 PathPing 命令综合了 Ping 命令和 Tracert 命令的功能, 并且能够计算显示出路径中任意一路由器或结点, 以及链接处的数据包丢失的比例信息由此可找到丢失包严重的路由器在命令提示符下执行 : PathPing 目标主机域名或 IP 地址则屏幕先显示跃点表, 与使用 Tracert 命令的显示相同接着该命令最大花费 125 s 的时间, 从路径上的路由器收集信息, 进行统计计算, 最后显示如下信息在屏幕上 : Computing statistics for 125 seconds Source to Here This Node/Link Hop RTT Lost/Sent=Pet Lost/Sent=Pet Address /100=0% 1 21ms 0/100=0% 0/100=0% /100=15% 2 24ms 17/100=17% 3/100=4% /100=0% 3 25ms 14/100=14% 1/100=0% /100=0% 4 46ms 0/100=0% 0/100=0% /100=15% 5 23ms 13/100=13% 0/100=0% /100=2% 6 26ms 12/100=12% 0/100=0% 表明在结点 4 和 5 之间的链路上, 数据包丢失率为 15%, 较为严重, 其他基本正常 2. 网络故障的排除连通性故障时网络中最常见的故障之一 (1) 连通性故障的表现 1 计算机无法登录服务器 2 计算机在网上邻居中只能看到自己, 而看不到同一网段的其他计算机 3 计算机无法通过局域网联入 Internet 4 网络中的部分计算机运行速度十分缓慢 (2) 导致连通性故障的原因 1 网卡硬件故障 2 网卡驱动程序未安装正确 3 网络协议未安装或未正确安装

262 256 第 11 章网络管理与安全 4 网线跳线或信息插座故障 5 交换机硬件故障 6 交换机设置有误, 入 VLAN 设置不正确 7 路由器硬件故障或配置有误由上可见, 硬件和软件设置的错误都可能导致网络不能连通, 为了分析方便起见, 这里把连通性故障限定为硬件的连通性问题协议或参数的设置问题导致的连通性故障归在协议故障和配置故障里面 (3) 连通性故障排除步骤 1 确认连通性故障 : a. 当出现一种网络应用故障时, 如无法浏览 Internet 的 Web 页面, 首先尝试使用其他网络应用, 如收发查找 Internet 上的其他站点或使用局域网络中的 Web 浏览等如果其他一些网络应用可正常使用, 如能够在网上邻居中发现其他计算机, 或可 Ping 其他计算机, 那么可以排除内部网连通性有故障 b. 查看网卡的指示灯是否正常正常情况下, 在不传送数据时, 网卡的指示灯闪烁较慢, 传输数据时, 闪烁较快无论指示灯是不亮还是亮了不灭, 都表明有故障存在如果网卡的指示灯不正常, 则需要更换网卡 c. Ping 本地的 IP 地址, 检查网卡和 IP 网络协议是否安装完好如果 Ping 的通, 说明该计算机的网卡和网络协议设置都没有问题问题出在计算机与网络的连接上这时应当检查网线的连通性和交换机及交换机端口的状态如果 Ping 不同, 说明 TCP/IP 协议有问题 d. 在控制面板的系统中查看网卡 ( 网络适配器 ) 是否已经安装或是否出错如果在系统中的硬件列表中没有发现网络适配器, 或网络适配器前方有个黄色的! 说明网卡未安装正确, 需将未知设备或带有黄色的! 网络适配器删除, 刷新安装网卡, 并为该网卡正确安装和配置网络协议, 然后进行网络测试, 如果网卡无法正确安装, 说明网卡可能损坏, 必须还一块网卡重试 e. 使用 Ipconfig/all 命令查看本地计算机是否安装 TCP/IP 协议, 以及是否设置好 IP 地址子网掩码和默认网关以及 DNS 域名解析服务如果尚未安装协议, 或协议尚未设置好, 则安装并设置好协议后, 重新启动计算机执行基本检查操作如已经安装协议, 认真查看网络协议的项设置是否正确如果协议设置错误, 修改后重新启动计算机, 然后再进行应用测试如果协议设置正确, 则可确定时网络连接问题 2 故障定位 : 到连接至同一台交换机的其他计算机上进行网络应用测试如果仍不正常, 在确认网卡和网络协议都正确安装的前提下, 可初步认定时交换机发生了故障为了进一步确认, 可再换一台计算机继续测试进而确定交换机故障如果再其他计算机上测试结果完全正常, 则说明交换机没有问题故障发生在原计算机与网络的连通性上 3 故障排除 : 如果确定交换机发生了故障, 应首先检查交换面板上的各指示灯闪烁是否正常, 如果所有指示灯都在非常频繁地闪烁或一直亮着, 可能是由于网卡损坏而发生了广播风暴, 关闭再重新打开电源后试试看能否恢复正常如果恢复正常, 找到红灯闪烁的端口, 将网线从该端口中拨出然后找该端口所连接的计算机, 测试并更换损坏的网卡如果面板指示灯一个也不亮, 则先检查一个 UPS 是否正常工作, 交换机电源是否已经打开, 或电源插头接触不良如果电源没有问题, 则说明交换机硬件出了故障, 只有更换了

263 11.3 网络故障现象原因与排除 257 如果确定故障发生在某一连接上, 则首先应测试确认并更换有问题的网卡若网卡正常, 则用线缆测试仪对该连接中涉及到的所有网线和跳线进行测试, 确认网线的连通性, 重新制作网线接头或更换网线如果网线正常, 则检查交换机相应端口的指示灯是否正常, 更换一个端口再试配置错误引起的故障也在网络故障中占有一定的比例网络管理员对服务器交换机路由器的不当设置, 网络使用者对计算机设置的不当修改, 都会导致网络故障配置故障较多地表现在不能实现网络所提供的某些服务上, 如不能接入 Internet, 不能访问某个服务器或不能访问某个数据库等, 但能够使用网络所提供的另一些服务, 与硬件连通性故障在表现上会有较大差别, 硬件连通性故障通常表现为所有的网络服务都不能使用 (1) 配置故障表现 1 计算机无法登录至服务器 2 计算机无法通过代理服务器或路由器接入 Inernet 3 计算机能使用 Intranet 的 Web 和服务器, 但无法接入 Internet 4 计算机无法在 Intranet 的服务器里收发电子邮件 5 计算机只能与某些计算机而不是全部计算机进行通信 6 整个局域网均无法访问 Internet (2) 导致故障配置的原因 1 服务器配置错误例如, 域控制器未设置用户或已到期的用户无法登录, 服务器配置错误导致 Web 或 FTP 服务停止 2 代理服务器或路由器的访问列表设置不当, 阻止有权用户或全部用户接入 Intermet 3 第三层交换机的路由设置不当, 用户将无法访问另一 VLAN 的计算机 4 当交换机配置安全端口后, 非授权用户对该端口的访问, 会使得端口锁死, 从而导致该端口所连接得计算机无法继续访问网络 5 用户配置错误例如, 浏览器的连接设置不当, 用户将无法通过代理服务器接入 Internet; 邮件客户端的邮件服务器设置不当, 用户将无法收发 (3) 配置故障排除步骤首先检查发生故障得计算机得相关配置如果发现错误, 修改后, 再测试相应的网络服务能否实现如果没有发现错误, 或相应的网络服务不能实现, 则执行下一步骤测试同一网络内的其他计算机是否有类似的故障, 如果有, 说明问题肯定出现再服务器或网络设备上 ; 如果没有, 也不能排除服务器和网络设备存在配置错误的可能性, 都应对服务器或网络设备的各种设置, 配置文件进行认真仔细的检查协议故障也是一种配置故障 (1) 协议故障的表现 1 计算机无法登录服务器 2 计算机在网上邻居中既看不到自己, 也看不到其他计算机或查找不到其他计算机 3 计算机在网上邻居中能看到自己其他成员, 但无法在无法在局域网中浏览 Web 收发 4 计算机在网上邻居中既看不到自己, 也无法在局域网中浏览 Web 收发 5 计算机无法通过局域网联入 Internet

264 258 第 11 章网络管理与安全 (2) 导致协议故障的原因 1 协议未安装仅实现局域网通信, 需安装 NetBEUI 或 IPX/SPX 或 TCP/IP 协议 ; 实现 Internet 通信, 需安装 TCP/IP 协议 2 协议配置不正确 TCP/IP 协议涉及到基本配置参数有 4 个, 即 IP 地址子网掩码 DNS( 域名解析服务 ) 和默认网关, 任何一个设置错误, 都可能导致故障发生 3 在同一网络或 VLAN 中有两个或两个以上的计算机使用同一计算机名称或 IP 地址 (3) 协议故障排除步骤当计算机出现以上协议故障现象时, 应当按照以下步骤进行故障定位 : 1 检查计算机是否安装有 TCP/IP 协议或相关协议, 如欲访问 Novell 网络, 则还应添加 IPX/SPX 等 2 检查计算机的 TCP/IP 属性参数配置是否正确如果设置有问题, 将无法浏览 Web 和收发 , 也无法享受网络提供的其他 Internet 或 Intranet 服务 3 使用 Ping 命令, 测试与其他计算机和服务器的连接状况 4 在控制面板的网络属性中, 单击文件及打印共享按钮, 在弹出的文件及打印共享对话框检查一下是否选中了允许其他用户使用我的文件和允许其他计算机使用我的打印机复选框如果没有, 全部选中或选中一个, 否则, 将无法使用共享文件夹或共享网络打印机 5 若某台计算机屏幕提示名字或 IP 地址重复, 则在网络属性的标识中重新为该计算机命名或分配 IP 地址, 使其在网络中具备唯一性 11.4 网络安全风险与防护网络安全风险的种类网络安全风险包括数据的安全和设备的安全风险本章主要讨论数据的安全问题网络提供了本地或远程共享和传输数据的能力同时, 也正因为如此, 网络又面临着安全风险, 因为数据可能被窃取篡改或删除数据安全风险可能来源于 Internet 的外部, 也可能来源于 Internet 的内部 ; 可能是有意的攻击 ( 包括恶作剧 ), 也可能是无意造成的损害 ; 风险可能是潜在的, 也可能是现实如网络操作系统和应用软件的漏洞或后门常是攻击的突破口, 这是潜在的风险, 一旦受到攻击, 就变成现实的风险风险大致可分为以下几种 : 1. 无意失误的风险系统管理员安全策略设置不当 ; 用户安全意识不强 ; 用户密码选择不慎, 账号随意转借他人或与他人共享等经常出现的黑客攻入 Internet 的事件, 其中大部分就是因为安全措施不完善所导致的 2. 恶意攻击的风险这是计算机网络所面临的最大威胁, 敌对性的攻击和计算机犯罪就属于这一类此类攻击又可以分为 : 1 破坏性攻击 : 以各种方式有选择地破坏信息的有效性和完整性

265 11.5 网络安全防护窃听性攻击 : 是在不影响网络工作的情况下, 进行截获窃取破译以获得未经授权的信息 3. 网络软件的漏洞和后门的风险软件不可能没有缺陷和漏洞而这些缺陷和漏洞恰恰是被攻击的首选目标软件的后门是软件公司的设计编程人员为了自便或其他目的而设置的, 一般不为外人所知在特殊情况下 ( 如恶性商业竞争或发生战争 ), 后门就成了敌人攻击的通道网络攻击网络攻击是指可能导致一个网络受到破坏, 网络服务受到影响的所有行为攻击的动机和目的是为了谋取超越目标网络安全策略所限定的服务, 或者是为了使目标网络服务受到影响甚至停止 1. 攻击的动机对国家机密商业秘密的企图, 对雇主的不满, 对网络安全技术的挑战 ; 银行账号信用卡等金钱利益的诱惑, 利用攻击网络站点而出名的动机, 以及好奇心恶作剧等都可引起攻击者的蓄意攻击行为 2. 攻击的来源根据有关统计数据, 网络攻击主要的 4 种来源依次是国外政府竞争对手黑客和对雇主不满的雇员当前出于政治目的和商业竞争的网络攻击日益增多由中国驻南斯拉夫使馆被炸中美撞机事件等引发的红黑客网络大战及报载的某高级工程师制造的大型电力变压器系统监控软件人为逻辑故障等事件可见一斑网络安全防护包括 : 物理安全防护周界安全防护信息加密与验证物理安全防护 1. 防护的目的 11.5 网络安全防护 1 保护路由器交换机工作站服务器及打印机等硬件设备和通信链路免受自然灾害人为破坏和搭线窃听等攻击 2 确保网络设备由一个良好的工作环境 3 保护网络线路和访问点不被非法使用 2. 防护的措施 1 抑制和防止系统对外界的电磁辐射与外界对系统的电磁干扰前者可导致信息的泄漏,

266 260 第 11 章网络管理与安全而后者可影响系统的正常工作防止措施是对电源线和信号线加装性能良好的滤波器, 减小导线间的交叉耦合采用各种电磁屏蔽措施, 如对设备的金属外壳接地, 天花板安装金属丝网并与地线相接等 2 防静电干扰通过安装防静电地板, 使用金属手环等来实现 3 释放电磁干扰以掩盖系统的电磁泄漏, 即在计算机系统工资的同时, 利于干扰装置产生一种与计算机系统辐射相关的伪噪声, 向空间辐射来掩盖计算机系统的工作频率和信息特征 4 健全的管理体系周界安全防护虚拟局域网与防火墙技术周界安全防护是根据安全等级要求的差异将网络进行分段隔离, 把攻击和入侵造成的威胁限制在较小的范围之中, 提高网络整体的安全水平通过交换机划分虚拟局域网 (VLAN) 是局域网主要隔离措施 ; 使用防火墙是当前主要的网络分隔手段, 既可用于局域网, 又可用于广域网与 Internet 周界安全防护是集中防止来自某一范围外部的攻击, 但不能防止来之内部的攻击 1. 虚拟局域网利用虚拟局域网技术, 可根据安全策略, 把位于同一交换机的工作划分到不同的虚拟局域网中, 火灾把位于不同交换机的工作站划分到同一虚拟局域网 2. 网络防火墙防火墙的名字非常形象, 在网络中的地位如同它的名字一样, 它是一道安全之墙根据网络安全等级和可信任关系, 将网络划分成一些相对独立的子网, 两侧间的通信受到防火墙的检查控制, 它可以根据既定的安全策略允许特定的数据包通过, 同时把安全策略不允许的数据包隔离开来根据防火墙的物理位置, 可把其分为外部防火墙和内部防火墙外部防火墙位于 Intranet 与 Internet 之间或 Internet 与 Internet 之间, 内部防火墙则位于 Internet 内部各个子网之间防火墙无法防止来自防火墙内侧的攻击防火墙对各种已知类型攻击的防御有赖于防火墙的正确配置, 对各种最新的攻击类型的防御取决于防火墙软件更新的速度和相应配置更新的速度防火墙一方面阻止来自 Internet 的对 Intranet 的未授权或未验证的访问, 另一方面允许内部网络的用户对 Internet 进行访问还可作为访问权限控制关口, 如只允许 Intranet 内特定的人可以出访防火墙同时还具有一些其他功能, 如进行身份鉴别对信息进行加密处理等防火墙不仅可用于对 Internet 的连接防护, 也可以用来在 Intranet 之间和 Intranet 内部保护重要的设备和数据对受保护数据的访问都必须经过防火墙的过滤, 即使该访问是来自 Internet 内部防火墙保护的最小单元还可以是单台主机, 这时应在该机上安装防火墙软件当外部网络的用户访问网内资源时, 要经过防火墙 ; 而内部网络的用户要访问网外资源时, 也会经过防火墙这样, 防火墙就起到一个虑网的作用, 可以将需要禁止的数据包在这里过滤掉通常可把防火墙分为两大类 : 网络层防火墙和应用层防火墙 1 网络层防火墙主要获取数据包的包头信息, 如协议号地址号目的地址和目的端口等, 或者直接获取包头的一段数据

267 2 应用层防火墙则对整个信息流进行分析常见的防火墙有以下 5 种 (1) 应用网关 (Application Gateway) 11.5 网络安全防护 261 检验通过此网关的所有数据包中的应用层的数据如 FTP 应用网关, 对于连接的 Client 端来说时一个 FTP Server, 对于 Server 端来说是一个 FTP Client 连接中传输的所有 FTP 数据包都必须经过此 FTP 应用网关 (2) 电路级网关 (Circuit-Level Gateway) 此电路指虚电路在 TCP 或 UDP 发起 (Open) 一个连接或握手之前, 验证该会话的可靠性只有在握手被验证为合法且握手完成之后, 才允许数据包的传输一个会话建立后, 此会话的信息被写入防火墙维护的有效连接表中数据包只有在它所含的会话信息符合该有效连接表中的某一入口时, 才被允许通过会话结束时, 该会话在表中的入口被删掉电路级网关只对连接的会话层进行验证一旦验证通过, 在 top 层对此会话进行验证, 如果验证通过, 则所有的数据都可以通过此连接进行传输, 直至会话结束 (3) 包过滤 (Packet Filter) 对每个数据包按照用户所定义的规则进行过滤, 如比较数据包的源地址目的地址是否符合规则等包过滤不管会话的状态, 也不分析数据如用户规定允许端口是 80 或者大于等于 1024 的数据包通过, 则只要在端口符合该条件, 数据包便可以通过此防火墙如果配置的规则比较符合实际应用的话, 在这一层能够过滤掉很多有安全隐患的数据包 (4) 代理 (Proxy) 通常情况下指的是地址代理, 一般位于一台代理服务器或路由器上它的机制是将网内主机的 IP 地址和端口替换为服务器或路由器的 IP 地址和端口例如, 一个公司内部网络的地址是网段, 而公司对外的正式 IP 地址是 ~ , 则内部的主机通过浏览器以 WWW 方式访问 Internet 上的某一 WWW 服务器时, 在通过代理服务器后,IP 地址和端口可能为和 4001 在代理服务器中维护着一张地址对应表, 当外部网络的 WWW 服务器返回结果时, 代理服务器会将此 IP 地址和端口转化为内部网络的 IP 地址和端口 80 代理服务器阻止了所有的外部网络的主机与内部网络之间的直接访问, 所有的通信都必须通过它来代理实现, 这样就可起到对特定资源的保护作用 (5) 网络地址转换 (NAT) 基于端口的 NAT 原理和安全性其实与代理服务器类似通常路由器的防火墙功能主要是基于包过滤和 NAT 信息的加密与验证信息加密的目的时保护网络中的数据文件密码和控制信息, 保护网络会话的完整性, 即使数据被窃听者非法获取了, 也不能见到其庐山真面目加密技术是网络安全最有效的技术之一, 与前两种安全防护联合使用, 确保数据的安全信息加密可对在链路级网络级应用级等进行, 信息加密由许多加密算法来实施 1. 对称与不对称加密据不完全统计, 到目前为止, 已经公开发表的各种加密算法多达数百种, 如果按照收发

268 262 第 11 章网络管理与安全双方密钥是否相同来分类, 可以将这些加密算法分为 : (1) 对称密码算法在对称密码中, 加密和解密使用相同的密钥, 即加密密钥和解密密钥时相同或等价的著名的私钥密码算法有 : 美国的 DES 及其变种, 欧洲的 IDEA RC4 RC5, 以及代换密码和转轮密码为代表的古典密码等对称密码的优点时有很强的保密强度, 经受住了时间的检验, 但其密钥必须通过安全途径传送因此, 其密钥管理成为系统安全的重要因素 (2) 不对称密码算法在不对称密码中, 加密和解密使用的密钥互不相同, 而且几乎不可能从加密密钥推导出解密密钥比较著名的公钥密码算法有 RSA Diffie-hellman 等最有影响的公钥密码算法是 RSA, 它能抵抗到目前为止的已知的所有种类的密码攻击公钥密码的优点是可以适应网络的开放性要求, 密约管理较为简单尤其可方便地实现数字签名和验证, 缺点时其算法复杂, 加密数据的速率较低随着信息技术和密码技术的发展, 公钥密码算法将是一种很有前途的网络安全加密体制现在流行的 PGP 和 SSL 等加密技术将私钥密码和公钥密码结合在一起使用, 采用 DES 或 IDEA 来加密信息, 采用 RAS 来传递会话密钥 2. 网络加密的传送与认证对网络用户的用户名和密码进行验证时防止非法访问的的一道防线用户注册时首先输入用户名和密码, 服务器将验证所输入的用户名是否合法如果验证合法, 又继续验证用户输入的密码是否合法否则, 用户将被拒绝于网络之外用户的密码是用户入网的关键所在为了保证密码的安全性, 用户密码不能显示在显示屏上, 用户密码通常是经过加密后存储在主机系统中的但是在 Internet 上包括 TELNET FTP HTTP POP3 等应用, 传送的均是明文 ( 非加密的密码 ), 网络窃听可以非常容易地得到明文的用户密码针对这种传输的弱点, 可以采用的加强措施包括 : 1 使用 Windows 2000 Server 的加密协议和密码验证协议 2 使用 SSH, 可以用来将强 TELNET 它把登录时的密码加密后传送, 该软件在 Internet 上可以免费获得 3 使用 SSL( 几乎可以和大多数应用配合使用 ), 最典型的应用时加强 HTTP 4 一次性用户密码 : 如 S/KEY 系统等, 这样即使明文密码被截获, 但由于下次登录时系统将使用新密码, 从而使攻击无效 5PGP: 通过的私钥加密工具, 可以用来加密电子邮件机密文档等安全性的关键在于私钥本身的安全性 Windows 2000 Server 内置的 PGP,Internet 上可以免费获得该软件的国际版 6 呼叫方 ID 和自动回呼功能 : 远程访问服务器设定呼叫应来自特定电话号码和对来自特定电话号码呼叫的自动回拨, 可以防止假冒的拨号用户多数远程访问服务器都支持该功能

269 11.6 网络安全工具软件网络安全工具软件网络安全漏洞扫描软件安全漏洞是网络安全防护中的一项重要技术, 其原理使采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查目标可以使工作站服务器交换机数据库应用等各种对象, 然后根据扫描结果向系统管理员提供周密可靠的安全分析报告, 为提高网络安全整体水平产生重要依据在网络安全体系的建设中, 安全扫描工具花费低效果好见效快, 与网络的运行相对独立, 安装运行简单, 可大大减轻安全管理员的劳动评价网络安全扫描工具的性能主要应考虑下面一些因素 : 能够扫描发现的安全漏洞的数量和数据库的更新速度扫描效率以及对目标网络系统的影响定制模拟攻击方法的灵活性扫描程序的易用性稳定性分析报告的形式产品的性能取决于开发公司的实力, 即掌握最新的安全漏洞和攻击方法的能力网络安全扫描市场的主要产品包括 NAI 公司的 Cyber Cop Scanner,ISS 公司的 ISS Scanner,Axent 公司的 NetRecon, 中科院高能所的 Netpower 等网络入侵检测软件网络入侵检测系统 (IDS) 可以分为基于网络数据包分析和基于主机的两种基本方式前者在网络通信中寻找符合网络父亲模式的数据包, 并立即作出相应反应 ; 后者在宿主系统审计日志文件中寻找攻击特征, 然后给出统计分析报告它们各有有缺点, 互为补充 1. 基于网络的入侵检测基于网络的入侵检测系统从网卡处实时监视和分析所有通过共享式网络传输的数据, 部分产品可以利用交换式网络中的端口映射功能来监视特定端口的网络信息流一旦攻击 ( 非法数据 ) 被检测到, 响应模块就按照配置对攻击作出反应这些反应通常包括发送电子邮件寻呼记录日记声音报警及切断网络连接等其特点是 : 1 基于网络的 IDS 技术不要求在大量的主机上安装和管理软件, 允许在重要的访问端口检查面向多个网络系统的流量在一个网段只需一套系统, 则可以监视整个网段的通信, 花费较低 2 由于主机的 IDS 不查看包头, 因而会遗漏一些关键信息, 而基于网络的 IDS 通过检查所有的包头来识别恶意和可疑的行为例如, 许多拒绝服务 (DOS) 只能在它们通过网络传输时, 检查其包头信息才能识别 3 基于网络 IDS 的宿主机通常处于比较隐蔽的位置, 一般不对外提供服务, 因此也比较坚固这样对于攻击者来说, 消除攻击证据非常困难, 捕获的数据可以作为攻击者曾经发起过攻击的证据而基于主机 IDS 的数据源则可能已经被精通审计日志的黑客篡改 4 基于网络的 IDS 具有更好的实时性例如, 它可以在目标主机崩溃之前切断 TCP 连接, 从而达到保护的目的而基于主机的系统是在攻击发生之后, 用于防止攻击者的进一步攻击 5 检测不成功的攻击和恶意企图基于网络的 IDS 可以检测到不成功的攻击企图, 而基

270 264 第 11 章网络管理与安全于主机的系统则可能会遗漏一些重要消息 6 基于网络的 IDS 不依赖于被保护主机的操作系统 2. 基于主机的入侵检测基于主机的入侵检测通常采用查看针对可疑行为的审计记录来执行它通过把新的记录条目与攻击特征相比较, 并检查系统文件的校验和来分析系统是否被入侵或者被攻击如果发现与攻击模式匹配,IDS 系统就通过向管理员报警和其他呼叫行为来响应它的主要目的是在事件发生后提供足够的分析来阻止进一步的攻击, 反应的时间依赖于定期检测的时间间隔实时性没有基于网络的 IDS 系统好, 其特点是 : 1 监视所有系统的行为基于主机的 IDS 能够监视所有的用户登录和退出甚至用户所进行的所有操作审计系统在日志里记录的策略改变监视关键系统文件和可执行文件的改变可以提供比基于网络的 IDS 更为详细的主机内部活动的信息 2 有些攻击在网络的数据流中很难发现, 或者根本没有通过网关而在本地进行这时基于网络的 IDS 系统将无能为力 3 适应交换和加密基于主机的 IDS 系统可以较为灵活地配置在多个关键主机上, 不必考虑网络拓扑问题这对于需要保护的关键主机分散在多个网段上的环境特别有利某些类型的加密也是对基于网络的 IDS 的挑战, 它可以使基于网络的 IDS 系统不能判断确切的攻击基于主机的 IDS 没有这种限制 4 不要求有额外的硬件设备基于主机的 IDS 配置在被保护的主机上, 不要求在网络上增加额外的硬件设备基于主机的 IDS 与基于网络的 IDS 可以互相补充, 网络部分提供早期警告, 基于主机的部分提供攻击成功与否的确认目前流行的管理器代理 (Manager/agent) 结构不仅可以监视整个网络的入侵和攻击活动审查日志管理, 还可以进行实时入侵活动的探测它包含了两种技术的优点, 代表了网络入侵检测技术的发展趋势 3. 网络入侵检测系统产品市场上基于网络 IDS 的典型产品包括 ISS 公司的 RealSecure Engine,Axent 公司的 Netpower,Cisco 公司的 NetRanger 等基于主机的典型产品包括 ISS 公司的 Real Secure Agent, Axent 公司的 Intruder Alert(ITA) NET 公司的 Cyber Cops Monitor(CCM) 则兼顾了两种技术 Windows 2000 Server 集成了较为强大的主机 IDS 功能 11.7 数据备份与恢复备份数据是在网络体系由于各种原因出现灾难事件时恢复数据和分析原因的最后手段应该制定完整的系统备份计划, 并严格实施备份中应该系统数据和用户数据的备份 ; 备份方式包括完全和增量备份, 确定完全和增量备份的频度和责任人等备份数据媒体 ( 磁带光盘移动式硬盘等 ) 的物理安全是整个网络安全体系中最重要的环节之一每种备份至少应该是双份, 并存放于不同的地方定期检验备份媒体的有效性也是非常重要的一环

271 11.8 网络安全监视系统网络安全监视系统 Windows 2000 的安全监视系统可以管理和监视网络通信, 包括 Intranet 内部的通信和远程访问另外, 系统资源如网络磁盘 CPU 以及内存等使用情况也受到跟踪和监视网络监视器事件查看器 IPSec 监视器和系统监视是 Windows 2000 集成的网络安全监视系统 (IDS) 1. 网络监视器网络监视器可捕获和显示运行 Windows 2000 Server 的计算机从局域网 (LAN) 上接收的数据包 ( 帧 ) 网络管理员可以使用网络监视器检测和解决在本地计算机上遇到的网络问题, 包括用来诊断硬件和软件问题网络监视器捕获的帧可以保存为文件, 然后发给专业的网络分析人员或支持机构网络监视器包括网络监视器和网络监视器驱动程序, 必须两者都安装后, 才能使用, 安装网络监视器和网络监视器驱动程序的方法如下 : (1) 安装网络监视器 1 打开添加 / 删除程序单击开始, 指向设置, 单击控制面板, 然后双击添加 / 删除程序 2 在添加 / 删除程序中单击添加 / 删除 Windows 组件 3 在 Windows 组件向导, 选中管理和监视工具, 然后单击详细信息 4 在管理和监视工具对话框中, 选中网络监视器复选框, 然后单击确定 5 如果系统提示用户需要其他文件, 请插入 Windows 2000 光盘, 或者键入网路上文件的位置的路径网络监视器只能在 Windows 2000 Server 上使用在 Windows 2000 Server 上安装时, 该程序自动安装网络监视器驱动程序 (2) 安装网络监视器驱动程序 1 网络监视器驱动程序使网络监视器可接受来自本地网卡的帧在 Windows 2000 Server 和 Professional 中都可安装 2 在控制面板中打开网络和拨号连接单击开始指向设置, 再单击控制面板, 然后双击网络和拨号连接 3 单击本地连接, 单击文件菜单, 然后单击属性 4 在本地连接属性对话框中, 单击协议, 然后单击添加 5 在选择网络组建类型对话框中, 单击协议, 然后单击添加 6 在选择网络协议对话框中, 单击网络监视器驱动程序, 然后单击确定 7 如果系统提示用户需要其他文件, 请插入 Windows 2000 的光盘, 或键入网络上文件位置的路径要完成安装过程, 必须登录为管理员或管理组成员还可能需先断开与网络的连接, 因为如果用户的计算机连接在网络上, 则网络规则设置也可能会禁止用户完成该过程如果用户正在运行 Windows 2000 Server, 用户可以使用网络监视器显示并分析网络监视器驱动程序收集到的信息

272 266 第 11 章网络管理与安全 (3) 捕获网络数据网络监视器复制帧的过程称为捕获可以捕获发到本地网卡或从本地网卡发出的所有网络通信, 也可以设置一个捕获筛选器来捕获帧的子集, 如 TCP 序列的帧, 还可以指定一系列条件来触发网络监视器捕获筛选器的事件通过使用网络监视器的触发器, 网络监视器可以实时响应网络上的事件例如, 可以使 Windows 在网络监视器检测到网络上的一系列特定情况启动可执行文件在捕获数据之后, 还可以查看它网络监视器通过将原始捕获数据转化为它的逻辑帧结构, 从而可进行许多数据分析工作网络监视器使用网络驱动程序接口规范 (NDIS) 功能, 将它检测到的所有帧复制到捕获缓存中捕获网络帧的操作步骤如下 : 1 打开网络监视器单击开始, 指向设置, 然后单击控制面板, 双击管理工具, 然后单击网络监视器 2 如果系统提示在默认的网络上捕获帧, 那么请选择在默认情况下想要捕获数据的本地网络 3 在捕获菜单上单击开始 4 如果系统提示输入其他文件, 请插入 Windows 2000 关盘或者键入网络上文件位置的路径 (4) 显示捕获的数据网络监视器通过解释在捕获过程中收集的原始数据以及在帧查看器对话框中显示数据来简化数据分析过程要在帧查看器对话框中显示捕获的信息, 请在进行捕获时单击捕获菜单上的停止和查看或者打开一个捕获文件.cap 要显示 Network General Sniffer 捕获帧的数据, 请打开未压缩的 Sniffer 文件要查看压缩的 Sniffer 文件, 请在 Sniffer 中打开此文件然后以不压缩格式保存此文件或者从 Network General 中获取 Sniffer 文件的解压缩工具帧查看器对话框如表 11-1 所示表 11-1 帧查看器窗格显示摘要详细信息十六进制已捕获的一般信息, 按捕获的顺序排列帧的内容, 包含发送此帧所使用的协议捕获数据的十六进制和 ASCII 表示法 2. 事件查看器使用事件查看器可以监视各种硬件和软件活动事件查看器通过检查事件日志完成这个任务, 事件日志记录应用程序系统和安全事件例如, 可以查看事件日志, 检查动态主机配置协议服务 (DHCP) 启动和停止的时间以

273 11.8 网络安全监视系统 267 及该服务器是否因为出错而无法启动 Windows 2000 系统以 3 种日志方式记录事件 : 1 应用程序日志 : 应用程序日志包含由应用程序或系统程序记录的事件例如, 数据库程序可在应用日志中记录文件错误, 程序开发员决定记录哪一个事件 2 系统日志 : 系统日志包含 Windows 2000 的系统组件记录的事件, 例如, 在启动过程将加载的驱动程序或者其他系统组建的失败记录在系统日志中 Windows 2000 预先确定由系统组件记录的事件类型 3 安全日志 : 安全日志可以记录安全事件, 如有效的和无效的登录尝试, 以及与创建打开或删除文件等资源使用相关联的事件管理器可以指定在安全日志中记录什么事件例如, 如果用户已启用登录审核, 登录系统的尝试将记录在安全日志里事件查看器显示下述事件的类型 1 错误 : 重要的问题, 如数据丢失或功能丧失例如, 如果在启动过程中某个服务加载失败, 这个错误将被记录下来 2 警告 : 并不是非常重要, 但是可能说明将来的潜在问题的事件例如, 当磁盘空间不足时, 将会记录警告 3 信息 : 描述了应用程序驱动程序或服务的成功操作的事件例如, 当网络驱动程序加载成功时, 将会记录一个信息事件 4 成功审核 : 成功地审核安全访问尝试例如, 用户试图登录系统成功后被作为成功审核事件记录下来 5 失败审核 : 失败的审核安全登录尝试例如, 用户试图访问网络驱动器并失败了, 则该尝试将会作为失败审核事件记录下来启动 Windows 2000 时,Event-Log 服务会自动启动所有用户都可以查看应用程序和系统日志, 但只有管理员才能访问安全日志在默认的情况下, 安全日志时关闭的, 可以使用组策略来启用安全日志 3. IPSec 监视器 IPSec 监视器用来确认受 IPSec 安全体制保护的通信是否成功, 它显示了本地或远程计算机上的活动安全关联 (SA) 例如, 可以使用 IPSec 监视器来确定是否有身份验证或 SA 失败安全策略设置不兼容或身份验证方法不匹配就可能导致这样的失败 IPSec 监视器可以在本地计算机上运行, 如果远程计算机网络连接, 也可以远程运行启动 IPSec 监视器的操作 : 1 单击开始, 然后单击运行 2 键入 ipsecmon Computername 其中 Computername 是要监视的计算机名, 这时会打开如图 11-4 所示的对话框

274 268 第 11 章网络管理与安全图 11-4 IP 安全监视器对话框 3 单击选项可设置刷新速度, 默认值是 15 s 每一个动态安全关联都显示一个条目每个条目中的信息包括活动 IPSec 策略的名称, 活动筛选器操作和 IP 筛选器列表 ( 包括活动筛选的相信信息 ), 如果指定, 还会有隧道端点 IPSec 监视器还提供有助于调整 IPSec 性能和排除故障的许多统计信息, 包括 : 1 主模式和快速模式中的主密钥和会话密钥总数, 成功的安全关联最初将创建一个主密钥和一个会话密钥 ( 后续的密钥重新生成并显示未附加密钥 ) 2 发送或接受的加密 (ESP) 字节总数或验证过的 (ESP 或 AH) 字节数因为 ESP 提供身份验证和机密性, 所以两个计算器值都增加 3 软关联总数对话框刷新速度是唯一可配置的选项默认情况下, 统计每 15 s 更新一次统计内容是随着每次用 IPSec 的通信累积的 4. 系统监视器系统监视器用于衡量自己计算机或网络中其他计算机的性能, 跟踪系统资源的使用情况, 测试应用程序使用系统资源的情况, 提高有关服务器的安全信息等它可以通过配置一系列的计数器来实现其功能, 系统监视器可以 : 1 收集并查看本地计算机或多台远程计算机上的实时性能数据 2 查看计数器日志中当前或以前搜集的数据 3 用图形直方图或报表视图来表示数据 4 利用自动操作将系统监视器的功能并入 Microsoft Word 或 Microsoft office 套件中的其他应用程序 5 在性能视图下创建 HTML 页

275 11.8 网络安全监视系统创建可使用 Microsoft 管理控制台在其他计算机上安装的并可重新使用的监视配置系统监视器科研通过下列方式定义要求搜集的数据 : 1 数据类型通过指定性能对象性能计数器和对象实例来选择要搜集的数据一些对象提供有关系统资源 ( 如内存 ) 的数据, 而其他对象则提供有关应用程序运行的数据 ( 如计算机中正在运行的系统服务或 Microsoft BackOffice 应用程序 ) 2 数据源系统监视器可以从本地计算机或网络上用户所拥有权限的其他计算机中搜集数据 ( 默认情况下, 应该拥有管理权限 ) 此外, 可以包含实时数据和以前使用计数器日志搜集的数据 3 采样参数系统监视器支持根据需要手动采样或根据指定的时间间隔自动采样查看记录的数据时, 还可以实时选择开始和停止的时间, 以便查看跨越特定时间范围的数据系统监视器还可以灵活设置视图的外观

276 附录 1 参考模拟试卷试卷一一选择题 1.OSI 模型的工作是作为一个 ( ) A. 制造计算机的蓝图 B. 功能准则 C. 传输数据的协议 D. 所有其他组织向它汇报的控制体 2. 当数据分组从低层向高层传送时, 分组的头要被 ( ) A. 加上 B. 去掉 C. 重新处置 D. 修改 3. 多个数据字符组成的数据块之前, 以一个或多个同步字符 SYN 作为开始, 帧尾是另一个控制字符, 这种传输方案称为 ( ) A. 面向字符的同步传输 B. 异步传输 C. 面向位的同步传输 D. 起止式传输 4. 数据链路层中的数据块常被称做 ( ) A. 信息 B. 分组 C. 帧 D. 比特流 5.ISO 为运输层定义了 4 种类型的服务原语, 由运输层服务用户产生的原语是 ( ) A. 请求原语指示原语 B. 请求原语响应原语 C. 指示原语确认原语 D. 相应原语确认原语 6. 表示层的功能是 ( ) A. 给物理层送一串位以供传输 B. 在屏幕上显示数据以供用户查看 C. 将数据转换成一种默认格式 D. 上述全是 7. ( ) 层决定同步点的位置 A. 数据链路层 B. 网络层 C. 会话层 D. 表示层 8.ATM 技术是一种 ( ) A. 类似于高速电话交换的包交换技术 B. 提供低耗数据传输的串行电缆技术 C. 允许数据在非高峰时间传输的新的 WAN 解决方法 D. 提供类似以太网特性的光缆策略

277 试卷一千兆以太网比快速以太网有 ( ) 数据传输率和 ( ) 的碰撞域 A. 高大 B. 高小 C. 低大 D. 低小 10.ISDN 中 2B+D 通路中的 B 和 D 的意义是 ( ) A.4 KHz 的模拟话路和内部信令 B.64 Kbps 的 PCM 通路和内部信令 C.16 Kbps 的数字通路和带外信令 D.64 Kbps 的 PCM 通路和带外信令二填空题 1. 信息交换方式有 3 种, 其中方式又分为和方式 2. 计算机网络的三个组成部分是和 3. 网络交换机的三种交换方式是和 4. 对于一个大中型网络, 需要一个网络管理系统进行管理当前流行的各类网管平台软件都支持协议驻留在的网管平台软件可以通过该协议调阅被管的网络结点中的内容三简答题 1. 说明曼彻斯特编码方式的优点和缺点, 并对比特流写出曼彻斯特的编码图示 2. 协议与服务有何区别? 有何关系? 3. 若两台计算机通过一条 M 的同轴电缆链接, 电缆的时延特性为 4.33 us/km, 考虑与延时有关的其他因素 38.5 us, 网络的传输速率为 10 Mb/s, 假设在检测到总线空时站点就发送, 问发送的帧的最短长度是多少字节? 4. 若生成多项式为 x 3 +1, 信息比特多项式为 x 6 +x 4 +1, 则循环冗余码的校验码是多少? 5. 设某路由器建立了如下的路由表 : 此路由器可以直接从接口 0 和接口 1 转发分组, 也可通过相邻的路由器 R2 R3 和 R4 进行转发现共收到 5 个分组, 其目的站 IP 地址分别为 : (1) (2) (3) (4) (5) 分别计算其下一站 6.SMTP 和 POP 协议都是我们在中经常用到的协议, 试说明两种协议的不同用处

278 272 附录 1 参考模拟试卷 7. 什么是虚拟局域网? 试卷二一选择题 1.OSI 模型的任何给定层都会给报文加上一个报头 ( ) A. 对 B. 错 2. 调制解调器的作用是 ( ) A. 传送数字信号 B. 传送模拟信号 C. 进行数字和模拟信号转换 D. 防止信号衰减 3.SDLC HDLC 和 LLC 都是在 OSI 模型的哪一层上操作的协议? A. 数据链路层 B. 网络层 C. 会话层 D. 表示层 4. 运输层的功能是 ( ) A. 移动数据通过多个网络 B. 保证可靠的数据传送 C. 为一个应用向另一个应用携带数据 D. 以上都不是 5. 会话层的功能是 ( ) A. 将数据转换成物理层可以理解的一串 1 和 0 B. 将数据转换成发送和接收计算机都能理解的语言 C. 将数据以一种可靠的方式移动通过网络 D. 维持网络应用之间的对话 6. 邮件服务和目录服务是通过 ( ) 层提供给用户的 A. 数据链路层 B. 网络层 C. 会话层 D. 应用层 7.X.25 协议属 OSI( ) 层上的操作 A. 物理 B. 数据链路 C. 网络 D. 以上全是 8. 因为 ATM( ) 即信元沿同一条路径走, 信元一般不会失序 A. 是异步的 B. 是多路复用的 C. 是一个网络 D. 用虚电路 9.100Base-X 与 1000Base-T4 的区别是 ( ) A. 数据传输率 B. 拓扑结构 C. 帧格式 D. 工作站和 HUB 之间的电缆数目 10. 局域网功能的两个方面是 ( ) A. 避免冲突和冲突检测 B. 避免冲突和令牌传递 C. 分布检测和重发

279 试卷三 273 D. 令牌传递和分布检测二填空题 1. 常用的多路复用方式有等 2. 一个网络可分为两个子网, 即和子网 3.RIP 协议是一个基于的路由协议,OSPF 协议也称为协议 4.ATM 的信元总长是个字节, 信息段是个字节 5. 影响局域网络的 3 个主要因素是和三简答题 1.HDLC 为数据链路层的通信规程中,(1) 一帧的信息字段 I= 地址字段为 A= , 控制字段为 C= , 生成多项式为 G(x)= x 4 +x+1, 求出 CRC 校验码?(2) 设有一原始数据码为 , 试问在传输线路上的数据码是什么? 在接收端接收到的数据码又是什么? 2. 什么是 (N)-PDU,(N)-SDU? 它们相互有什么关系? 3. 试描述防火墙分为哪几种类型? 各有什么优缺点? 4. 假设一个网桥连接 2 个 802.5(TOKEN RING)LAN, 如下图所示, 在左边的网络中的一个站点要向右边网络的一个站点发送一帧数据网桥在向右边的网络转发了帧的拷贝后, 请问它是将地址识别位和数据拷贝位置位以表示收到这帧, 然后将帧发送到左边网络的下一个站呢还是不做这些操作就像是该帧丢失了一样呢? 5. 快速以太网的出现, 在提高传输率的同时, 帧的最小长度没有改变, 那么其传输速率的提高是以什么为代价的? 6. 解释 URL 的含义, 并给出几个不同的实例说明具体的 URL 表现形式 7. 在以太网的帧格式中, 为什么有一个填充字段, 填充字段的长度最小值是多少? 最小值在什么情况下出现? 以太网的帧长度最小是多少? 为什么要有最小值? 试卷三一选择题 1. 当数据从设备 A 向设备 B 传送时,A 的第 5 层信息的头被 B 的 ( ) 层读取 A. 应用层 B. 会话层

280 274 附录 1 参考模拟试卷 C. 网络层 D. 物理层 2. 物理层的职责是 ( ) A. 多工信号 B. 将位组合成帧 C. 将数据从一个网络段移到另一个网络段 D. 确定 1 和 0 是怎样将电或电磁信号传送过网络 3.go back N ( 后退 N) 差错处理策略和选择重发的区别主要是 ( ) A. 两者的接收窗口不一样 B. 发送窗口不一样 C. 回答信息不一样 D. 计时器超时不一样 4. 整个报文 (message) 的端到端 (end end ) 传递是 ( ) 层的事情 A. 数据链路层 B. 网络层 C. 运输层 D. 表示层 5. 当采用数据包服务时, 负责端到端的流量控制的是 ( ) A. 主机 B. 通信子网 C. 主机和通信子网 D. 交换机 6. 下面中哪个不是 TCP/IP 所带来的标准工具? A.TELNET B.FTP C.FTAM D.SMTP 7.ATM 协议的 ( ) 层将其他网络接收到数据重组 A. 物理 B.ATM C. 应用适配层 D. 数据适配层 8.IEEE802 规范主要与 OSI 模型的哪些层有关? A. 较低的 4 层 B. 物理层和网络层 C. 物理层和数据链路层 D. 数据链路层和网络层 9.Ethernet 和 Token Ring 都使用哪一种交换技术? A. 包交换 B. 消息交换 C. 电路交换 D. 上述都不是 10.xDSL 技术包括了 A.HFC B.ADSL C.ISDN D.SDH 二填空题 1. 数据通信中的差错控制方法有和两类 2. 网络协议的 3 个要素是和子网 3. 网络在不同层次上互联的设备名称是和 4. 计算机之所以可以通过 Internet 互相通信, 是因为它们遵循了一套共同的 Internet 协议这套协议的核心是, 在其上建立的无连接的运输层协议是, 万

281 试卷三 275 维网 WWW 超文本传输遵循协议, 电子邮件传输遵循协议 5. 数据包交换有两种类型, 分别是交换和交换三简答题 1.IEEE 802 协议中, 为什么将数据链路层分为两个子层? 2. 令牌环网的数据传送率为 4 Mb/s, 线路的传播延时为 5 μs/km 那么 1 bit 的延迟相当于多长的线路? 3. 说出一个情况说明若不经过 3 次握手, 一个 TCP 连接会出问题? 4. 对于选择重传协议, 发送窗口大小 Wt 接收窗口大小 Wr 和序号比特数 n 之间的关系是什么? 为什么? 5. 下图给出了一个单位分配到的网络地址是掩码是单位管理员将本单位的网络又分成了 3 个子网如果你是网管人员, 请你分配合适的子网地址和掩码主机 (H1~H6) 地址和路由器 (R1 R2) 地址

282 附录 2 词汇表第一章计算机网络的基本概念协议 : Protocol, 指通信双方通信时遵守的一系列约定或规范资源子网 : 计算机网络从信息的不同处理方式分为通信子网和资源子网, 资源子网指互联的主机对面向用户的信息进行处理的实体的集合通信子网 : 控制信息在网络上从一方传递到另一方的软硬件资源的集合 IMP: Interface Message Processor, 接口报文处理机, 指通信子网中对信息进行转发的设备节点存储转发 : Store and Forward, 是信息在网络上传输的一种方式, 指信息包从一个通信节点发送到另一个通信节点时, 一个节点先将报文接收下来, 等转发的线路空闲时再发送到下一个节点这样一条物理线路可以被多个收发会话所共享网络拓扑结构 : 指组成网络的通信节点和主机被通信线路链接的具体形状网络拓扑有总线星型树型环型和不规则的网状型等分组交换 : 是分组转发的一种类型, 分组就是将要发送的报文分成长度固定的格式进行存储转发的数据单元, 长度固定有利于通信节点的处理第二章计算机网络体系结构基本理论网络体系结构 : 构成计算机网络系统的功能划分和它们之间的相互关系基本参考模型 : 指国际标准化组织 ISO 定义的开放系统互联参考模型 (OSI/RM), 基本参考模型将网络的体系结构划分成 7 层, 俗称 7 层协议标准实体系统子系统 : OSI 参考模型中的几个术语, 实体 (Entity) 指执行某个特定功能的进程系统 ( System) 指网络上执行全部功能的集合子系统指执行某一层功能的实体的集合 TCP/IP 协议 : 指一簇协议的集合,Internet 采用的协议, 其中的主要协议是 TCP( 传输控制协议 ) 和 IP( 互联网协议 )

283 第三章数据通信基础 277 第三章数据通信基础基带传输 : 由计算机或终端产生的频谱从零开始, 而未经调制的数字信号所占用的频率范围就叫基本频带 ( 这个频带从直流起可高到数百千赫, 甚至若干兆赫 ), 简称基带 (Base Band), 这种数字信号就称基带信号传送数据时, 以原封不动的形式, 把基带信号送入线路, 称为基带传输频带传输 : 用基带脉冲对载波波形的某些参量进行控制, 使这些参量随基带脉冲变化, 也就是调制, 经过调制的信号称为已调信号已调信号通过线路传输到接收端, 然后经过解调恢复为原始基带脉冲传送数据时, 把已调信号送入线路, 称为频带传输模拟信号 : 模拟信号是一种连续变化的信号, 其取值可以为无限多个数字信号 : 数字信号是一种离散信号, 只包含有限数目的预定值数字信号从一个值到另一个值的转换是瞬时发生的同步传输 : 在同步传输方式中, 利用时钟的同步使发送和接收装置之间的定时不发生误差使时钟保持同步的方法之一, 是在接收装置和发送装置之间采用单独的时钟信息, 称为同步法另一种方法是将定时信号包含在数据信号中发送, 直接从数据波形本身中提取同步信号, 称自同步法同步传输又分为面向字符方式和面向比特方式异步传输 : 在异步传输方式中, 每次传送一个字符 (5~8 位 ), 都在每个字符代码前加一起始位, 表示该字符代码的开始在字符和校验码后加一停止位, 以示该代码的结束, 所以又称起止式同步波特 : 波特表示每秒种传输离散信号事件的个数或每秒信号电平的变化次数也即波特所表示的是调制速度, 是单位时间内传输线路上调制状态的变化数带宽 : 在通信信道上可以传输的频率范围称带宽调制方式 : 调制是使载波信号的幅度频率或相位 ( 其中的一种或几种 ) 随发送信号变化的过程常见的调制方式有幅度调制频率调制相位调制等多路复用 : 多路复用指的是复用信道, 即是利用一个物理信道同时传输多个信号, 以提高信道利用率, 使得一条线路能同时由多个用户使用而互不影响时分多路复用 : 时分多路复用是将传输信号的时间进行分割, 使不同的信号在不同时间内传送, 即将整个传输时间分为许多时间间隔 ( 称为时隙时间片等,Slot Time), 每个时间片被一路信号占用

284 278 附录 2 词汇表频分多路复用 : 频分复用是把线路或空间的频带资源分成多个频段 ( 带 ), 将其分别分配给多个用户, 每个用户终端的数据通过分配给它的子通路 ( 频段 ) 传输波分多路复用 : 在光纤信道上使用的是频分多路复用的一个变种, 即波分多路复用不同的信号使用不同波长的光波在光纤中传输检错 : 检错是指在要发送的数据块上附加足够的冗余信息, 使接收方知道有差错发生, 给出错误指示, 但不知道是什么样的差错纠错 : 纠错是指在要发送的数据块上附加足够的冗余信息, 使接收方能够推导出已发送的数据应该是什么 CRC 校验 : CRC(Cyclic Redundancy Code) 校验, 即循环冗余校验, 是一种实践中广泛采用的检错方法曼彻斯特编码,4B/5B 编码 : 曼彻斯特编码在每个比特间隙中间引入跃迁来同时代表不同比特和同步信息一个负电平到正电平的跳变代表比特 1 而一个正电平到负电平的跳变则代表比特 0 曼彻斯特编码的缺点在于编码效率较低, 只有 50% 因而人们采取了各种编码效率更高的编码方法,4B/5B 编码就是其中一种它实际上是用 5 比特的码组来编码 4 比特的输入数据, 其特点是每个 5 比特码组中不含多于 3 个 0, 或者不会少于 2 个 1 转换成电信号的波形采用了非归零反相编码 (NRZI) 方式第四章 OSI 下三层 RS232-C: 是由美国电子工业协会 EIA 制定的一个终端 DTE 与 Modem(DCE) 间的物理层接口标准 DTE: DTE(Data Terminal Equipment) 是数据终端设备, 也就是具有一定数据处理能力以及发送和接收数据能力的设备及其通信控制器 DCE: DCE(Data Circuit-Terminating Equipment) 是数据电路端接设备, 指自动呼叫设备, 调制解调器 (Modem) 以及其他一些中间装置的集合帧 : 帧是具有一定长度和格式的信息块, 一般由一些字段和标志组成比特填充 : 为了避免在两个标志字段之间的比特串中碰巧出现了和标志字段一样的组合, 从而造成被误认为是帧边界的错误, 可以采用比特填充法具体做法是 : 在发送端, 在加标志字段之前, 先对比特串扫描, 若发现 5 个连续的 1, 立即在其后加一个 0 在接收端收到帧后, 去掉头尾的标志字段, 对比特串进行扫描, 当发现 5 个连续的 1 时, 立即删除其后的 0, 这样就还原成原来的比特流了透明传输 :

285 第五章运输层 279 透明传输就是不管所传数据是什么样的比特组合, 都应当能够在链路上传送而不会使接收方误认为是控制信息链路 : 链路就是一条无源的点到点的物理线路段, 中间没有任何其他的交换节点数据链路 : 数据链路是链路的硬件加上实现数据传输规程的软件 HDLC: HDLC(High-level Data Link Control) 是一个面向位的数据链路层协议滑动窗口 : 滑动窗口是数据链路层的流量控制协议, 主要是通过发送窗口和接收窗口来限制发送方和接收方所能发送和接收的分组数量达到流量控制的目的虚电路 : 分组交换的一种方式, 数据传输前, 需要建立一条由发送方到接收方的虚电路, 所有分组将沿着这条虚电路转发, 数据传输完后要进行虚电路拆除数据包 : 分组交换的一种方式, 所有分组独立转发, 与先前传送的分组无关路由 : 路由选择是网络层功能的一部分, 负责确定所收到的分组应传送的外出路线即在具有许多节点的广域网里, 应通过哪条通路才能将数据从源主机传到所要通信的目的主机 RIP: RIP(Routing Information Protocol) 是一种采用距离向量路由算法的协议距离向量路由选择 : 一种自适应路由算法, 路由器通过向邻居扩散它所知道的路由使得所有路由器找到到达其他路由器的最短路径链路状态路由选择 : 一种自适应路由算法, 所有路由器在整个网络扩散它的邻居信息, 路由器根据这些信息构造出整个网络的拓扑结构, 再根据一定的算法算出最短路径拥塞控制 : 当到达通信子网中某一部分的分组数高于一定的阈值, 使得该部分网络来不及处理这些分组时, 就会使这部分以至整个网络的性能下降, 这种情况称为拥塞拥塞控制就是研究如何避免和解决拥塞流量控制 : 流量控制是保证发送方不会以高于接收方能承受的速率传输数据, 一般采用接收方向发送方发送反馈信息的方式进行控制 X.25: X.25 是一个公共分组交换网采用的标准访问协议, 它定义了 DTE 和 DCE 通信时下三层的交换信息的格式和意义第五章运输层运输服务质量 : 运输层依据会话层的服务质量 (QoS,Quality of Service) 要求, 选择适当的网络层服务和运

286 280 附录 2 词汇表输层协议, 以便提供可靠的价格合理的与网络层无关的数据传送服务运输服务质量包括差错率差错恢复能力吞吐率延时费用等残留差错率 : 残留差错是指网络实体不可检测的差错残留差错率反映了网络层的差错检测能力服务访问点 SAP TSAP: (N) 层实体向 (N+1) 层实体提供服务,(N+1) 层实体向 (N) 层实体请求服务, 从概念上讲, 这是通过位于 ( N ) 层和 ( N+1) 层的界面上的服务访问点 (N)-SAP(N-Service Access Point ) 来实现的 (N)-SAP 是一个访问工具, 由一组服务元素和抽象操作组成, 并由 ( N+1) 实体在该点调用 TSAP 是指传输服务访问点 (Transport SAP) 协议数据单元 PDU TPDU: 已建立起连接的同层对等 (N) 实体间交换信息的单元称为 (N) 协议数据单元 (N )-PDU (( N ) Protocol Data Unit) TPDU 是指运输协议数据单元 (Transport PDU) 服务原语 : 服务的请求与提供是通过在服务访问点 SAP 上服务原语 (Primitive) 的发送或接收来实现的这是 (N)- 服务用户与 (N)- 服务提供者跨服务访问点 (N)-SAP 进行交互, 它指出了相应的服务和必须执行的抽象操作服务原语是一种原子动作, 它由服务用户发出也可由服务提供者发起原语所描述的交互只是一种抽象交互方式交互, 并不涉及交互实体在服务访问点 N-SAP 上如何具体交换信息第六章 OSI 高三层协议同步点 : 同步是在发生了错误或不符合协议的情况下, 使会话实体返回到一个已知状态的过程这个已知状态就是一个同步点, 同步点分为主同步点和次同步点活动 : 活动用于区别数据传送的不同逻辑工作段每次活动可以看成一次独立的数据传送, 或者可看成会话服务用户间传送数据中的一个特定阶段令牌 : 令牌是会话连接的属性, 表示会话连接用户使用会话服务的权力抽象语法 : 在实际的计算机中, 分别用各自的形式 ( 局部语法 ) 来表示信息语义的,OSI 环境下, 将信息表示标准化, 这个标准的语义表示就是抽象语法传送语法 : 由应用实体提交来的抽象语法表示的信息要传到对方去, 需要对信息进行编码, 这就是传送语法表示上下文 : 对于某一抽象语法, 表示实体将根据应用的要求, 选择适当的传送语法, 并按表示协议与对方进行协商, 最后确定适当的传送语法, 这种抽象语法与传送语法对应关系称为表示上下文, 其控制功能称为上下文控制 ASN.1: Abstract Syntax Notation One, 由 OSI 定义的抽象语法的表示法, 称为抽象语法记法 1 公共应用服务元素 CASE:

287 第七章局域网体系结构及应用 281 公共应用服务元素 (CASE) 是用户元素和特定应用服务元素公共使用的那部分服务元素, 因此, 公共应用服务元素提供给各种特定应用服务元素和用户元素都是通用的服务, 这些服务均与应用的性质无关特定访问服务元素 SASE: 提供满足特定应用的特殊需求能力的服务元素 MHS: 报文处理系统 (Message Handling System), 是 OSI 参考模型应用层所支持的一种应用, 它可以利用分组交换网作为运载工具, 传递包括文本话音图象二进制数据等多种类型的报文, 从而为用户提供电子邮件服务 FTAM: 文件传送访问和管理 (File Transfer Access and Management), 是 OSI 参考模型应用层所支持的一种应用, 规定了在不同的系统之间传送访问和管理文件而要进行转换的标准第七章局域网体系结构及应用 LAN: Local Area Network, 局域网, 覆盖范围较小的一类网络, 通常指一个大楼或一个工厂的范围, 局域网有自己的明显一些特征 IEEE802 标准 : IEEE 制定的局域网标准, 包括 CSMA/CD 令牌总线和令牌环等, 它被 ANSI 接受为美国国家标准, 被 ISO 作为国际标准 ( 称为 ISO8802 标准 ) CSMA/CD: Carry Sense Multiple Access/Collision Detection, 带冲突检测的载波侦听多路访问, 是局域网采用的一种总线竞争协议 Ethernet: 以太网, 一种局域网标准, 与 IEEE802.3 标准基本相似 FDDI: 光纤分布式数据接口 (Fiber Distributed Data Interface), 是由 ANSI X3T9.5 委员会负责制定的标准该标准规定了一个 100Mbps 光纤环型局域网的介质访问控制 (MAC) 协议和物理层规范 LLC: Logical Link Control, 逻辑链路控制, 其协议标准是 IEEE802.2 MAC: Media Access Control, 介质访问控制包括 CSMA/CD,Token Ring,Token Bus 等多种协议快速以太网 : 快速以太网, 是指最大数据传输速率能达到 100Mbps 的以太网技术, 其标准是 IEEE802.3u 高速以太网 : 是指最大数据传输速率能达到 1 Gbps 的以太网技术, 其标准是 IEEE802.3z 交换式以太网 : 具有交换功能的以太网技术, 其交换设备是以太网交换集线器或以太网交换机

288 282 附录 2 词汇表第八章 IP 网络协议及技术 IP 层 IP 层,Internet Protocol 层, 也被称为网际层网络互联层是 TCP/IP 模型的关键部分它的功能是使主机可以把 IP 数据包 (Datagram) 发往任何网络, 并使数据包独立地传向目标 ( 中途可能经由不同的网络 ) IP 地址 IP 地址是网络协议地址 (Internet Protcol address, IP) 的简称用于 Internet 上主机的唯一标识 IP 数据包 IP 是 TCP/IP 协议族中最为核心的协议所有的 TCP UDP ICMP 及 IGMP 数据都以 IP 数据包格式传输 IP 数据包与硬件帧有类似的基本格式 : IP 数据包也是以一个头部开始, 后跟数据区重组在所有的段的基础上重新产生原数据包的过程叫重组 (Reassembly) ICMP TCP/IP 协议系列包含了一个专门用于发送差错报文的协议, 这一协议就叫 Internet 控制报文协议 (ICMP, Internet Control Message Protocol) 该协议对 IP 的标准执行是必要的两个协议是相互依赖的 :IP 在发送一个差错报文时要用到 ICMP, 而 ICMP 利用 IP 来传递报文 Ipv6: Internet Protocol version 6,IP 协议版本 6 IPv6 是下一代 IP 协议它对 IP 协议的改进主要是将 IP 地址扩展为 16 个字节并提供了更好的安全性 IPv6 曾被称为 Ipng 第九章 TCP 和 UDP 协议 TCP: Transmission Control Protocol, 传输控制协议,TCP 协议将数据分成可被 IP 层传输的数据包交 IP 层传送, 或者将从 IP 层收到的数据包重新组合为完整的消息并进行校验 TCP 工作在 ISO/OSI 的第四层即运输层 UDP: User Datagram Protocol, 用户数据包协议它是 TCP/IP 协议中的非连接协议, 对应于 ISO/OSI 模型中的运输层它将应用程序产生的数据信息转化成数据包, 然后经由 IP 发送它不验证消息是否正确发送, 其可靠性依赖于产生消息的应用程序自身第十章应用层协议 HTTP: Hypertext Transfer Protocol, 超级文本传输协议用于在 Internet 上访问信息的客户机 / 服务器协议 DNS:

289 第十一章网络管理与安全 283 Domin Name System, 域名系统, 或者 Domin Name Service, 域名服务域名系统指给 Internet 上的主机指定域名地址, 同时可使其也具有 IP 地址域名地址由用户使用并自动转换成可供 IP 包路由软件使用的数据形式的 IP 地址域名服务指实现域名系统的 Internet 工具电子邮件, 指在计算机或终端机之间通过网络 ( 局域网或 Internet) 进行消息和文件的交换 SMTP: Simple Mail Transfer Protocol, 简单邮件传输协议, 是 TCP/IP 协议的一种, 用于在网络上从一台计算机向另一台计算机发送消息该协议典型地用于 Internet 上对电子邮件进行路由传送 FTP: File Transfer Protocol 文件传输协议, 一种在基于 TCP/IP 协议的网络 ( 如 Internet) 中远程传送文件或从远端取回文件到本地机器的协议该协议允许用户对远程文件使用 FTP 命令 WWW: WWW(World Wide Web) 是一个大规模联机式的信息储藏所, 用户可以通过一个被称作为浏览器 (Browser) 的交互式应用程序来查找浏览信息 Intranet: 企业内部互联网用来在公司或组织内处理信息的网络它可以提供文档分发软件发布访问数据库等服务, 并且使用了 Web Web 浏览器 FTP 服务电子邮件等服务程序第十一章网络管理与安全 SNMP: Simple Network Management Protocol, 简单网络管理协议, 它能实时地监测和维护从小型的局域网到大型的互联网在网络正常运行时, 它能提供统计配置和测试手段 ; 而当网络出现故障或异常时, 它又能提供必要的差错检测和恢复功能 SNMP 是基于 TCP/IP 的网络管理协议, 也能扩展到其他类型的网络设备上 SNMP 协议使用户能够通过轮询设置一些关键字和监视一些网络事件来达到网络管理目的它工作在 TCP/IP 协议体系中的 UDP 协议上 DES: Data Encryption Standard, 数据加密标准 DES 体制属于常规密钥密码体制它由 IBM 公司研制, 于 1977 年被美国定为联邦信息标准 DES 是一种分组密码密钥 : 设已知信息 m, 通过一组含有参数 k 的变换 Ek 得到密文 c, 即 : c=ek(m) 这个过程称之为加密, 参数 k 被称为密钥公钥 : 在非对称加密体系中使用的两种密钥之一该密钥是公开的它和相应的私钥一起工作私钥 : 在非对称加密体系中使用的两种密钥之一为了保证安全通信, 只有私钥的制造者知道它鉴别 : 用来确定传输的数据是否完整的过程, 特别是用来确定消息的完整性

290 284 附录 2 词汇表数字签名 : 一种身份验证机制消息创建者通过这种方法在消息中添加一段代码, 这段代码就是签名这种签名能够说明消息的来源并保证消息的完整性防火墙 FireWall: 防火墙是一类防范措施的总称, 它使得内部网络与 Internet 之间或者与其他外部网络互相隔离限制网络互访用来保护内部网络防火墙简单的可以只用路由器实现, 复杂的可以用主机甚至一个子网来实现设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道, 简化网络的安全管理 SSL: Secure Sockets Layer, 安全套接字协议层, 由 Netscape Communication 开发的一个推荐开放标准, 使用了公用密钥加密技术, 用于建立一个安全的通信通道以防止对敏感信息的截取和侦听安全套接字层的设计包括实现与其他 Internet 服务的协商工作, 其主要设计目的是实现在 WWW 上进行电子商务活动

展开

Microsoft PowerPoint - 数据通信-ch1.ppt

Microsoft PowerPoint - 数据通信-ch1.ppt 主要内容与基本要求主要内容数据通信与计算机网络计算机网络的发展过程分类以及主要性能指标 ; 分组交换的基本原理及其与电路交换报文交换的联系与区别 ; 计算机网络的协议与体系结构第 1 章概述基本要求掌握分组交换电路