上午的考试为62道选择题，总分75分，通过分数通常为45分。纵观下面的考点分布，根据考试用书的章节，将各章节考点的分数占比从高到低排序：

“第6章网络互连与互联网”，占比高达20%。
“第8章网络安全”，占比12%。
“第9章网络操作系统与应用服务器配置”，占比12%。
“第12章网络规划和设计”，占比10%。
“第13章计算机基础知识”，占比10%。
“第2章数据通信基础”，占比8%。
“第4章局域网与城域网”，占比8%。
“第10章组网技术”，占比8%。
“第3章广域通信网”，占比5%。

校验码

常识

概念

增量备份是备份的一个类型，是指在一次全备份或上一次增量备份后，以后每次的备份只需备份与前一次相比增加或者被修改的数据，能节约备份时间。

在局域网应用中，由于数据通信量的快速增长，交换机带宽往往不够用，于是出现了将多条物理链路当作一条逻辑链路使用的链路聚合技术，这时网络通信由聚合到逻辑链路中的所有物理链路共同承担。

单位

存储单位

位（bit）
字节（Byte）
字、字长

定义：CPU一次能处理的二进制就是一个字；CPU一次能处理的二进制的位数就是字长；
举例说明
32位的CPU，一次能处理32位的二进制（32bit是一个字），此时字长是32；所以 1字 = 32 bit（32个字长）；
64位的CPU，一次能处理64位的二进制（64bit是一个字），此时字长是64；所以 1字 = 64 bit；（64个字长）

周期和频率

f=1/T

T是周期，T是指以秒为单位。

f是指赫兹，赫兹是国际单位制中频率的单位（赫兹(H·Hertz)是德国著名的物理学家,1887年,是他通过实验证实了电磁波的存在。后人为了纪念他,把“赫兹”定为频率的单位），它具体是指每秒中的周期性变动重复次数的计量。秒是时间的计量单位。

1、频率：1秒中发生的次数；
2、周期：发生一次所需要的时间；
3、频率和周期互为倒数。时间(s)=1÷时钟频率Hz
- 4、1Hz —— 1s
- 5、KHz —— ms
- 6、MHz —— us

波特率

波特率用于描述UART通信时的通信速度，其单位为bps bit per second）即每秒钟传送的bit的数量 。bps=bit/s

通过知道每秒钟传送的bit的数量，可得到1个bit传送的时间，从而知道传输的是1个1还是2个1(电平一样)。但是这个接收方和发送方时间基准可能不同（即串口异步），从而造成累计误差，为了避免误差，最多只发8位

周期

周期类型	与其它周期类型的关系
振荡周期	1/ (晶振频率) 或 1/(RC震荡频率）
时钟周期	振荡周期* 分频比
机器周期	时钟周期* 单片机T数
单指令周期	机器周期
双指令周期	2* 机器周期
四指令周期	4* 机器周期

时钟频率

时钟以精确和固定的时间间隔，触发电信号，其信号被控制单元用于推进CPU的内部操作。

时钟周期

时钟周期也称为振荡周期，定义为时钟频率的倒数，**单片机中最小的时间单位。**
例如51单片机中，时钟频率是12MHz，那么它的时钟周期就是1/12us。
在51单片机中晶振频率没有分频就直接作为CPU频率使用，所以
时钟周期 = 晶振周期 = 振荡周期。

状态周期

在51单片机中把一个时钟周期定义为一个节拍（用P表示），二个节拍定义为一个状态周期（用S表示）。即两个时钟周期=状态周期。

机器周期

例如，取指令、存储器读、存储器写等，这每一项工作称为一个基本操作。完成一个基本操作所需要的时间称为机器周期。
51单片机的一个机器周期同6个S周期（状态周期）组成，即51单片机的机器周期由6个状态周期组成，也就是 机器周期=6个状态周期=12个时钟周期
那么以12Mhz的振荡频率为例，一个机器周期的时长是1us。

速率

速率：bps=bit/s；

公式

逻辑异或的公式：相同逻辑变量异或结果为0；相异逻辑变量异或结果为1。

$0\bigoplus0或者1\bigoplus1=0$

$0\bigoplus1=1$

不发生死锁的资源数R，M个进程，每个进程要N个资源，不发生死锁：R = M *（N－1）+1

信噪比

SNR（Signal-Noise Radio)，信号与噪声的功率之比。信噪比越高越好。

线性单位：
$SNR = \frac{P_s}{P_n} = (\frac{V_s}{V_n})^2$

以dB为单位：

$SNR (dB) = 10log_{10}{\frac{P_s}{P_n}} \ = 20log_{10}{\frac{V_s}{V_n}}$

$P_s$ 表示信号的有效功率， $P_n$ 表示噪声的有效功率。
$V_s$ 表示信号的电压幅值（有效值）， $V_n$ 表示噪声的电压幅值（有效值)。

香农 (Shanon) 定律

香农定理指出：在一条带宽为W（HZ），信噪比为S/N的有噪声极限数据速率

C=W*$log_2(1+S/N)$

C数据传输速率，W带宽，S为信号功率,N为噪声功率,S/N为信噪比,通常把信噪比表示成10lg(S/N)分贝(dB)

信道带宽为3kHz,信噪比为20dB,它的最大数据传输率是多少?（$log_{10}101$=2.004,log102=0.301）

信噪比：由10lg(S/N) = 20db ，可得 S/N = 100

香农定理：C=C=H * log2(1+S/N)，可得3000*log2(1+100)≈20100b/s

设信道带宽为1000Hz，信噪比为30dB，则信道的最大数据速率约为( )b/s。

$C=W\times\log_2(1+\frac{s}{n})=1000\times10 = 10000bps$

dB=10 * lg(S/N),当S/N为1000时dB为30

速率为C = w * log(1 + S/N) = 1000 * 10 = 10000b/s

尼奎斯特定理

尼奎斯特定理：有限带宽无噪声信道的极限波特率，若信道带宽为W（HZ）,则最大码元速率（波特率）为：B=2W（baud）**(码元速率是带宽的两倍)**

由尼奎斯特定理可得：

$V_{max}=Blog_{2}N=2Wlog_{2}N$ 单位（b/s），V是数据的速率，B是码元速率，N是波形的种类

采用四相位调制,表示有四种波形,为了标识这四种波形,至少需要2位,也就是用2位来表示一个码元

设信道带宽为4kHz，采用4相调制技术，则信道支持的最大数据速率是（）。

$2H\log_2{k}=8000\log_24$

例：设信道带宽为 3400Hz，调制为 4 种不同的码元，根据 Nyquist 定理，理想信道的数据速率为？

1，根据题意例出尼奎斯特定理算式：Vmax=2 W long 2N
2, 直接套入数字：Vmax=2x3400x$log_24$
3, Vmax=2x3400x2=13600b/S=13.6kb/s

例1：设信道采用2DPSK调制，码元速率为300波特，则最大数据速率为

解：Vmax=B log2N=300x1=300b/s

例2：在异步通信中，每个字符包含1位起始位，7位数据位，1位奇偶效验位和两位终止位，若每秒传送100个字符，采用4DPSK调制，则码元速率为？有效数据速率为？

1，根据题意计算数据速率为（1+7+1+2）*100=1100b/s
2，由尼奎斯特定理得出，1100b/s=B*$log_24$
3，B=1100/2=550baud
4, 有效数据速率，即单位时间内传输的数据位，即7*100=700b/S

时延

时延是指一个报文或分组从一个网络的一端传送到另一个端所需要的时间。它包括了发送时延，传播时延，处理时延，排队时延。

往返时间RTT：数据报文在端到端通信中的来回一次的时间。

发送时延是主机或路由器发送数据帧所需要的时间，也就是从发送数据的第一个比特算起，到该帧的最后一个比特发送完毕所需的时间。发送时延也称为传输时延。
- 发送时延 = 数据帧长度（b） / 信道带宽（b/s）

传播时延是电磁波在信道中传播一定的距离需要花费的时间。
- 传播时延 = 信道长度（m） / 电磁波在信道上的传播速率（m/s）

处理时延：主机路由器在收到分组需要花费一定事件处理如分析分组首部，分组中提取数据，差错检验，查找路由等

排队时延：

电信号在电缆上传播的速度为光速的2/3，即20km/ms

卫星传播延迟恒定为270ms与地面距离无关

例：在相隔2000km的两地间通过电缆以4800b/s的速率传送3000比特长的数据包，从开始发生到接收数据需要的时间是？如果用50Kb/s的卫星信道传送，则需要的时间

对于电缆：

传输延迟T1=2000km/(20km/ms)=10ms

发送延迟T2=3000b/(4800b/s)=625ms

T=T1+T2=625ms+10ms=635ms

对于卫星：

传输延迟 T1=270ms

发送延迟 T2=3000 b/(50kb/s)=60ms

T=T1+T2=270ms+60ms=330ms

设备

光功率计（optical power meter）是指用于测量绝对光功率或通过一段光纤的光功率相对损耗的仪器。测量光缆是否有问题

光时域反射计（OTDR）是通过对测量曲线的分析，了解光纤的均匀性、缺陷、断裂、接头耦合等若干性能的仪器。判断出光缆的故障位置

元组

IPSEC中安全关联（security Associations）三元组是<安全参数索引SPI，目标IP地址，安全协议>

在生成快速转发表的过程中，五元组是指源IP地址、目的IP地址、源端口号、目的端口号、协议号

计算机

编码

ASCII 编码

计算机是以二进制的形式来存储数据的，它只认识 0 和 1 两个数字，我们在屏幕上看到的文字，在存储之前都被转换成了二进制（0和1序列），在显示时也要根据二进制找到对应的字符。

可想而知，特定的文字必然对应着固定的二进制进行标识，否则在转换时将发生混乱。那么，怎样将文字与二进制对应起来呢？这就需要有一套规范，计算机公司和软件开发者都必须遵守，这样的一套规范就称为字符集（Character Set）或者字符编码（Character Encoding）。

严格来说，字符集和字符编码不是一个概念，字符集定义了文字和二进制的对应关系，为字符分配了唯一的编号，而字符编码规定了如何将文字的编号存储到计算机中。

可以将字符集理解成一个很大的表格，它列出了所有字符和二进制的对应关系，计算机显示文字或者存储文字，就是一个查表的过程。

ASCII

进制

http://c.biancheng.net/view/1725.html

转换为十进制

假设当前数字是 N 进制，那么：

对于整数部分，从右往左看，第 i 位的位权等于$N^{i-1}$
对于小数部分，恰好相反，要从左往右看，第 j 位的位权为$N^{-j}$

整数部分

例如，将八进制数字 53627 转换成十进制：

53627 = 5×8^4 + 3×8^3 + 6×8^2 + 2×8^1 + 7×8^0 = 22423（十进制）

小数部分

例如，将八进制数字 423.5176 转换成十进制：

423.5176 = 4×8^2 + 2×8^1 + 3×8^0 + 5×8^-1 + 1×8^-2 + 7×8^-3 + 6×8^-4 = 275.65576171875（十进制）

十进制转换

整数部分

十进制整数转换为 N 进制整数采用“除 N 取余，逆序排列”法。具体做法是：

将 N 作为除数，用十进制整数除以 N，可以得到一个商和余数；
保留余数，用商继续除以 N，又得到一个新的商和余数；
仍然保留余数，用商继续除以 N，还会得到一个新的商和余数；
……
如此反复进行，每次都保留余数，用商接着除以 N，直到商为 0 时为止。

把先得到的余数作为 N 进制数的低位数字，后得到的余数作为 N 进制数的高位数字，依次排列起来，就得到了 N 进制数字。

将十进制数字 36926 转换成八进制的过程：

小数部分

十进制小数转换成 N 进制小数采用“乘 N 取整，顺序排列”法。具体做法是：

用 N 乘以十进制小数，可以得到一个积，这个积包含了整数部分和小数部分；
将积的整数部分取出，再用 N 乘以余下的小数部分，又得到一个新的积；
再将积的整数部分取出，继续用 N 乘以余下的小数部分；
……
如此反复进行，每次都取出整数部分，用 N 接着乘以小数部分，直到积中的小数部分为 0，或者达到所要求的精度为止。

把取出的整数部分按顺序排列起来，先取出的整数作为 N 进制小数的高位数字，后取出的整数作为低位数字，这样就得到了 N 进制小数。

将十进制小数 0.930908203125 转换成八进制小数的过程：

如果一个数字既包含了整数部分又包含了小数部分，那么将整数部分和小数部分开，分别按照上面的方法完成转换，然后再合并在一起即可

十进制数字 36926.930908203125 转换成八进制的结果为 110076.7345；

二进制和八进制、十六进制的转换

二进制整数和八进制整数之间的转换

二进制整数转换为八进制整数时，每三位二进制数字转换为一位八进制数字，运算的顺序是从低位向高位依次进行，高位不足三位用零补齐

八进制整数转换为二进制整数时，思路是相反的，每一位八进制数字转换为三位二进制数字，运算的顺序也是从低位向高位依次进行

二进制整数和十六进制整数之间的转换

原码补码反码

概念引入

在介绍补码概念之前，先介绍一下“模”的概念：“模”是指一个计量系统的计数范围，如过去计量粮食用的斗、时钟等。计算机也可以看成一个计量机器，因为计算机的存储和处理的位数是有限的，因此它也有一个计量范围，即都存在一个“模”。如：时钟的计量范围是0~11，模=12。表示n位的计算机计量范围是

$$
0\sim2^n-1
$$
，模=

$$
2^n
$$
“模”实质上是计量器产生“溢出”的量，它的值在计量器上表示不出来，计量器上只能表示出模的余数。任何有模的计量器，均可化减法为加法运算。

就是取反后加1

假设当前时针指向8点，而准确时间是6点，调整时间可有以下两种拨法：一种是倒拨2小时，即8-2=6；另一种是顺拨10小时，8+10=12+6=6，即8-2=8+10=8+12-2(mod 12)．在12为模的系统里，加10和减2效果是一样的，因此凡是减2运算，都可以用加10来代替。若用一般公式可表示为：a-b=a-b+mod=a+mod-b。对“模”而言，2和10互为补数。实际上，以12为模的系统中，11和1，8和4，9和3，7和5，6和6都有这个特性，共同的特点是两者相加等于模。对于计算机，其概念和方法完全一样。n位计算机，设n=8，所能表示的最大数是11111111，若再加1成100000000(9位)，但因只有8位，最高位1自然丢失（相当于丢失一个模）。又回到了 00000000，所以8位二进制系统的模为$2^8$

在这样的系统中减法问题也可以化成加法问题，只需把减数用相应的补数表示就可以了。把补数用到计算机对数的处理上，就是补码。

8-2=8+10=8+12-2(mod 12)

00001011- 00000100 = 00000111（11-4=7）

补码：00001011- 00000100 = 00001011+（11111011+1）

编码

计算机中的有符号数有三种表示方法，即原码、反码和补码。三种表示方法均有符号位和数值位两部分

符号位，都是用0表示“正”，用1表示“负”，
数值位，三种表示方法各不相同。

在计算机系统中，数值一律用补码来表示和存储。原因在于，使用补码，可以将符号位和数值域统一处理；同时，加法和减法也可以统一处理

数据编码

原码求补码

正数

正整数与原码相同。

例：+9的补码是00001001。

负数

求负整数的补码，将其原码除符号位外的所有位取反（0变1，1变0，符号位为1不变）后加1 。

同一个数字在不同的补码表示形式中是不同的。比如-15的补码，在8位二进制中是11110001，然而在16位二进制补码表示中，就是1111111111110001。以下都使用8位2进制来表示。

例：求-5的补码。

-5对应带符号位负数5（10000101）→除符号位外所有位取反（11111010）→加 00000001为 (11111011)

所以-5的补码是11111011。

0的补码

数0的补码表示是唯一的。

[+0]补=[+0]反=[+0]原=00000000

[ -0]补=11111111+1=00000000

补码求原码

已知一个数的补码，求原码的操作其实就是对该补码再求补码：

⑴如果补码的符号位为“0”，表示是一个正数，其原码就是补码。

⑵如果补码的符号位为“1”，表示是一个负数，那么求给定的这个补码的补码就是要求的原码。

例：已知一个补码为11111001，则原码是10000111。

解：因为符号位为“1”，表示是一个负数，所以该位不变，仍为“1”。其余七位1111001取反后为0000110；再加1，所以是10000111。

计算机分类

Flynn

Flynn根据不同的指令流和数据流组织方式，把计算机系统分成如下4类：

类型	特点	典型
SISD	传统串行计算机，一个时钟周期仅处理一条指令和一条数据	早期的大型机 / 微型机 / 单核 PC
SIMD	所有处理器单时钟一条指令处理多条数据	矩阵处理器 / 向量流水线
MISD(只有理论意义)	多个处理单元各自独立使用指令处理一条数据	实时容错计算机 / 单一信号多频滤波器
MIMD	每个处理器执行各自的指令和各自的数据	超级计算机 / 集群服务器 /多核计算机

串行计算机单个处理器 + 单条指令 + 单条数据 = SISD

现代计算机多个处理器 + 独立指令(或单条指令) + 独立数据 = MIMD (或SIMD)

超级计算机多个处理器 + 独立指令 + 独立数据 = MIMD

CPU

cpu组成：

运算器
控制器
寄存器组（PC、IR、PSW、DR、通用寄存器等）
内部总线
中断系统组成

如下图所示：

控制器

控制器的功能：它决定了计算机运行过程的自动化

从指令cache中取出一条指令，并指出下一条指令在指令cache中的位置。
对指令进行译码或测试，并产生相应的操作控制信号，以便于启动规定的动作。例如：一次数据cache的读写操作，一个算术逻辑运算操作，一个输入输出操作。
指挥并控制CPU，数据cache和输入输出设备之间数据流向的方向。

控制器的组成

程序计数器PC：程序的执行分两种情况，一是顺序执行，二是转移执行。
- PC（程序计数器）是用于存放下一条指令所在单元的地址。当执行一条指令时，处理器首先需要从 PC 中取出指令在内存中的地址，通过地址总线寻址获取。执行指令时，CPU 将自动修改 PC 的内容，以便使其保持的总是将要执行的下一条指令的地址。由于大多数指令都是按顺序来执行的，所以修改的过程通常只是简单地对 PC 加 1。
- 当遇到转移指令时，后继指令的地址根据当前指令的地址加上一个向前或向后转移的位移量得到，或者根据转移指令给出的直接转移地址得到。
指令寄存器IR：用来存放当前正在执行的指令。当 CPU 执行一条指令时，先把它从内存储器取到缓冲寄存器中，再送入IR暂存。
- 指令寄存器的位数取决于（）。指令字长
地址寄存器AR：AR保存当前CPU所访问的内存单元的地址，暂存指令执行地址
指令译码器ID：对指令进行“翻译”，确定指令执行什么操作。指令分为操作码和地址码两部分

运算器

(1) 算术逻辑单元ALU：处理数据，实现对数据的算术运算和逻辑运算。

(2) 累加寄存器AC：为ALU提供一个工作区，例如，在执行一个减法运算前，先将被减数取出暂存在AC中，再从内存储器中取出减数，然后同AC的内容相减，将所得的结果送回AC中

(3) 数据缓冲寄存器DR：用来暂时存放由内存读出的一条指令或一个数据字；反之，当向内存存入一条指令或一个数据字时，也暂时将它们存放在数据缓冲寄存器中。DR的主要作用为：作为CPU和内存、外部设备之间数据传送的中转站，起操作速度上的缓冲

(4) 状态条件寄存器PSW：保存由算术指令和逻辑指令运行或测试的结果建立的各种条件码内容，主要分为状态标志和控制标志

指令系统

RISC精简指令集，是计算机中央处理器的一种设计模式。这种设计思路可以想像成是一家流水线工厂，对指令数目和寻址方式都做了精简，使其实现更容易，指令并行执行程度更好，编译器的效率更高。

指令系统	特点
CISC（复杂）	数量多，使用频率差别大，可变长格式
RISC（精简）	数量少，使用频率接近，定长格式，大部分为单周期指令，操作寄存器，只有Load/Store操作内存支持

指令

https://blog.csdn.net/helloword111222/article/details/121312837

指令的地址码字段通常不代表操作数的真实地址，故把它称为形式地址，记作A。操作数的真实地址称为有效地址，记作EA，它是由寻址方式和形式地址共同确定的。

格式：操作码 | 寻址特征 | 形式地址A

立即数寻址和寄存器寻址在效率上是最快的，但是寄存器数目少，不可能将操作数都存入其中等待使用，立即数的使用场合也非常有限，这样就需要将数据保存在内存中，然后使用直接寻址、寄存器间接寻址、寄存器相对寻址、基址加变址寻址、相对基址及变址寻址等寻址方式将内存中的数据移入寄存器中

立即寻址

立即寻址的特点是操作数设在指令字内，即形式地址A不是操作数地址，而是操作数本身，又称为立即数。数据是采用补码存放的。

优点：是只要取出指令就能立即获得操作数，在执行阶段不必再访问存储器。

缺点：A的位数限制了这类指令所能表达的立即数的范围。

直接寻址

直接寻址的特点是指令中的形式地址A就是操作数的实际地址EA

优点：寻找操作数比较简单，不需要专门计算操作数的地址，在指令执行阶段对主存只访问一次。

缺点：A的范围限制了操作数的寻址范围，而且必须修改A的值，才能修改操作数的地址。

间接寻址

形式地址不直接指出操作数的地址，而是指出操作数有效地址所在的存储单元地址，也就是说有效地址是由形式地址间接提供的，即为间接寻址。

优点：1，扩大了操作数的寻址范围。

2，便于编制程序。例如间接寻址可以很方便地完成子程序的返回。如下图

缺点：是指令在执行阶段需要访问两次内存（一次间接寻址）或多次（多次间接寻址），使执行时间延长。

寄存器寻址

在寄存器的指令中，地址码字段直接指出了寄存器的编号，即EA=Ri.

如下图示：

优点：操作数不在主存中，而在寄存器中，故寄存器寻址在指令执行阶段无需访存，减少执行时间。地址字段只需指明寄存器编号（寄存器数量有限），故指令字较短，节省了存储空间。

寄存器间接寻址

寄存器寻址指令中的Ri的内容不是操作数，而是操作数所处在主存单元的地址号，即有效地址EA=(Ri)，与寄存器寻址相比指令的执行阶段还需要访存，但他比间接寻址少访存一次。

基址寻址

基址寻址需设基址寄存器BR，其操作数的有效地址EA等于指令字中的形式地址与基址寄存器中的内容相加，即

EA=A+（BR）

基址寄存器可采用隐式和显式两种。

1
2
3

隐式：在计算机内专门设有一个基址寄存器BR，不必指明该基址寄存器，只需有指令的寻址特征反映出基址寻址即可。

显式：在一组通用寄存器里，由用户明确指出那个寄存器用作基址寄存器，存放基地址。

基址寻址主要用于为程序或数据分配存储空间，故基址寄存器的内容通常由操作系统或管理程序确定，在程序的执行过程中其值是不可变的，而指令字中的A是可变的。

优点：基址寻址可以扩大寻址范围，寄存器位数可以大于形式地址A的位数。

变址寻址

变址寻址与基址寻址极为相似，其有效地址EA等于形式地址A与变址寄存器IX的内容相加之和，

即：EA=A+（IX）

在变址寻址中，变址寄存器的内容是用户设定的，而指令之中的A 是不可改变的。

变址寄存器主要用于处理数组问题，在数组处理过程中可设定A为数组的首地址，不断改变变址寄存器IX的内容，便可容易形成数组中任意数据的地址，特别适合变址循环程序。

相对寻址

相对寻址的有效地址是将程序计数器PC的内容（当前指令的地址）与指令中的形式地址A相加之和，即：EA=（PC）+A

相对寻址常被用于转移类指令，转以后的目标地址与当前指令有一段距离，称为相对位移量，他有指令字的形式地址A给出，故又称A 为位移量。位移量A可正可负，通常用补码表示。

指令系统分类总结

如果按功能分类，STC89C52系列单片机指令系统可分为：

1.数据传送类指令；
2.算术操作类指令；
3.逻辑操作类指令；
4.控制转移类指令；
5.布尔变量操作类指令。

存储器

外存ROM只读存储器

掉电数据不丢失，用来放程序

常见的外存设备：硬盘、flash、rom、u盘、光盘、磁带

磁盘

RAID 0：将多个较小的磁盘合并成一个大的磁盘，不具有冗余，并行I/O，速度最快， 磁盘容量利用率最高，可靠性最差

RAID 1：两组相同的磁盘系统作镜像，速度没有提高，但是允许单个磁盘出错，可靠性最好，但是其磁盘的利用率却只有50%，是所有RAID上磁盘利用率最低的一个级别。

RAID2：2级廉价冗余磁盘阵列是采用海明码作错误检测的一种磁盘阵列。

RAID3：存放数据的原理和RAID0、RAID1不同。RAID3是以一个硬盘来存放数据的奇偶校验位，数据分段存储于其余硬盘中。利用单独的校验盘来保护数据虽然没有镜像的安全性高，但是硬盘利用率得到了很大的提高，为n-1。

RAID4：4级廉价冗余磁盘阵列是一种可独立地对组内各磁盘进行读写的磁盘阵列,、该阵列也只用一个检验盘。

RAID 5：向阵列中的磁盘写数据，奇偶校验数据存放在阵列中的各个盘上，允许单个磁盘出错。RAID 5也是以数据的校验位来保证数据的安全，但它不是以单独硬盘来存放数据的校验位，而是将数据段的校验位交互存放于各个硬盘上。这样，任何一个硬盘损坏，都可以提供其他硬盘上的校验位来重建损坏的数据。raid5实际数据存储为n-1块硬盘的容量

RAID 5存在分散在不同条带上的奇偶校验数据。允许一块数据盘故障，并可通过奇偶校验数据计算得到故障硬盘中的数据。如果出现两块或两块以上数据盘故障，整个RAID组故障。

RAID 6存在两组独立的分散在不同条带上的校验数据，允许两块数据盘故障，并可通过校验数据计算得到故障硬盘中的数据。

与RAID 5相比，RAID 6增加了第二个独立的奇偶校验信息块

内存/主存RAM

内存（RAM随机存储器）又叫内部存储器和主存储器，暂时存放数据，掉电数据丢失，常见的内存设备：RAM、DDR

它用于暂时存放CPU中的运算数据
它是外存与CPU进行沟通的桥梁。计算机中所有程序的运行都在内存中进行，内存性能的强弱影响计算机整体发挥的水平。只要计算机开始运行，操作系统就会把需要运算的数据从内存调到CPU中进行运算，当运算完成，CPU将结果传送出来。

虚拟内存

如果我们运行的程序较多，占用的空间就会超过内存（内存条）容量。例如计算机的内存容量为2G，却运行着10个程序，这10个程序共占用3G的空间，也就意味着需要从硬盘复制 3G 的数据到内存，这显然是不可能的。

操作系统（Operating System，简称 OS）为我们解决了这个问题：当程序运行需要的空间大于内存容量时，会将内存中暂时不用的数据再写回硬盘；需要这些数据时再从硬盘中读取，并将另外一部分不用的数据写入硬盘。这样，硬盘中就会有一部分空间用来存放内存中暂时不用的数据。这一部分空间就叫做虚拟内存（Virtual Memory）。

3G - 2G = 1G，上面的情况需要在硬盘上分配 1G 的虚拟内存。

硬盘的读写速度比内存慢很多，反复交换数据会消耗很多时间，所以如果你的内存太小，会严重影响计算机的运行速度，甚至会出现”卡死“现象，即使CPU强劲，也不会有大的改观。

总结：CPU直接从内存中读取数据，处理完成后将结果再写入内存。

QQ是怎么运行起来的呢？

首先，有一点你要明确，你安装的QQ软件是保存在硬盘中的。

双击QQ图标，操作系统就会知道你要运行这个软件，它会在硬盘中找到你安装的QQ软件，将数据（安装的软件本质上就是很多数据的集合）复制到内存。对！就是复制到内存！QQ不是在硬盘中运行的，而是在内存中运行的。

为什么呢？因为内存的读写速度比硬盘快很多。

对于读写速度，内存 > 固态硬盘 > 机械硬盘。机械硬盘是靠电机带动盘片转动来读写数据的，而内存条通过电路来读写数据，电机的转速肯定没有电的传输速度（几乎是光速）快。虽然固态硬盘也是通过电路来读写数据，但是因为与内存的控制方式不一样，速度也不及内存。

所以，不管是运行QQ还是编辑Word文档，都是先将硬盘上的数据复制到内存，才能让CPU来处理，这个过程就叫作载入内存（Load into Memory）。完成这个过程需要一个特殊的程序（软件），这个程序就叫做加载器（Loader）。

CPU直接与内存打交道，它会读取内存中的数据进行处理，并将结果保存到内存。如果需要保存到硬盘，才会将内存中的数据复制到硬盘。

例如，打开Word文档，输入一些文字，虽然我们看到的不一样了，但是硬盘中的文档没有改变，新增的文字暂时保存到了内存，Ctrl+S才会保存到硬盘。因为内存断电后会丢失数据，所以如果你编辑完Word文档忘记保存就关机了，那么你将永远无法找回这些内容。

Cache存储器和主存映射

Cache是在计算机存储系统的层次结构中，介于中央处理器和主存储器之间的高速小容量存储器。它和主存储器一起构成一级的存储器。高速缓冲存储器和主存储器之间信息的调度和传送是由硬件自动进行的，所以其读写速度最快。内存速度次之，硬盘是有机械装置的存储方式，比较慢，光盘最慢。

Cache存储器的组织结构与主存储器不一样，它以行(line)作为基本单元。每一行又分为标志项和数据域两部分。数据域中存放着若干项数据，而标志项则是这一块数据的地址标识。

当CPU发出对存储器的读命令后，其访问地址先送给Cache控制器，Cache检查其地址标识符目录以确定是否有匹配项。若发现有匹配项(命中)，则根据其访问地址确定是对该行数据块中的第几项进行读取，然后该项即进入Cache的数据寄存器。如果没有命中，则去主存储器读取数据。这时不仅仅只是读该地址指定的存储单元而且把其相邻的K-1个单元(K是Cache中一行所能保存的数据单元个数)的内容都读入Cache中保存。因为根据局部性原理，这一块数据很有可能将被CPU访问。同时把指定的存储单元的内容送入CPU。如果Cache存储器已满；还要根据某种淘汰算法从Cache中清除一行以存放该数据块。

当CPU发出访存请求后，存储器地址先被送到Cache控制器以确定所需数据是否已在 Cache中，若命中(hit)则直接对Cache进行访问。这个过程称为Cache的地址映射(mapping)。为了适应Cache存储器的极高存取速率，映射也必须在极短的时间内完成。Cache存储器的映射机制比较复杂，常见的映射方法有直接映射、相联映射和组相联映射。

直接映像

主存与Cache的划分：将主存根据Cache的大小分成若干分区，Cache也分成若干个相等的块，主存的每个分区也分成与Cache相等的块。

主存与Cache的映像：主存中的每一个分区由于大小相同，可以与整个Cache相像，其中的每一块正好配对。编号不一致的块是不能相互映像的。

特点：
- 优点：地址变换简单。
- 缺点：每块相互对应，不够灵活。
主存与Cache的地址组成：
- 主存：区号+块号+块内地址
- Cache：块号+块内地址
全相联映像

主存与Cache的划分：将主存与Cache划分成若干个大小相等的块。

主存与Cache的映像：主存中每一块都可以调到Cache中的每一块。

特点：
优点：访问灵活，冲突率低，只有Cache满时才会出现在冲突。缺点：地址变换比较复杂，速度相对慢。

主存与Cache的地址组成：
- 主存：块号+块内地址
- Cache：块号+块内地址
组相联映像

主存与Cache的划分：
- 主存：主存根据Cache大小划分成若干个区，每个区内划分成若干个组，每个组再划分成若干个块。
- Cache：划分成若干个组，每个组划分成若干个块。
主存与Cache的映像：主存的每个分区与Cache采用直接映像，主存的每个组之内采用全相联映像。

特点：融合了直接映像与全相联映像两种映像方式，结合了两者的优据点。具体实现容易，命中率与全相联映像接近。

主存与Cache的地址组成：
- 主存：区号+组号+块号+块内地址
- Cache：组号+块号+块内地址

容量为64块的Cache采用组相联方式映像，字块大小为128个字，每4块为一组。若主存容量为4096块，且以字编址，那么主存地址应为 (30) 位，主存区号应为 (31) 位

组相联的地址构成为：区号+组号+块号+块内地址。

主存的每个分区大小与整个Cache大小相等，故此主存需要分的区数为：4096/64=64，因为$2^6$＝64，因此需要6位来表示区号。

每4块为一组，故共有组数 64/4 = 16 ，因为$2^4$＝16，因此需要4位表示组号。

每组4块，故表示块号需要2位。

块内地址共128字节，$2^7$＝128，所以块内地需要7位表示。

所以：主存地址的位数＝6+4+2+7 ＝ 19

主存区号的位数＝6

中断/DMA/通道

https://blog.51cto.com/u_15270205/2911616

中断

中断方式是程序切换，每次操作需要保护和恢复现场，中断次数多，CPU需要花较多的时间处理中断，中断次数多也会导致数据丢失

引入中断的原因：
1.适应 I/O 设备工作速度低问题
2.将有用信息送至不受电源控制的存储系统中，带电源恢复后接着使用
中断处理程序的流程：

1.中断请求
2.中断判优：可能会有多个部件同时请求中断，此时需要判优
3.中断响应：判优完成之后，就需要对 CPU 进行中断了
4.中断服务：此次响应完以后，就需要跳到中断服务程序里，求执行某些操作
5.中断返回：服务程序执行完成之后，就要返回原来的地方，继续执行原本的程序
中断服务程序流程：

1.保护现场。（保护程序断点，保护通用寄存器和状态寄存器）
2.中断服务程序:不同的 I/O 设备具有不同的中断服务程序
3.恢复现场：将原程序中断时现场恢复到原来的寄存器中（采用取数指令或出栈指令）
4:中断返回：中断服务程序的最后一条指令通常是返回指令，时原程序的断点处，以便继续执行原程序。
⚠️注意：计算机在执行中断的时候，可能会出现新的中断，这时候有两种方：一种对于新的中断不理睬，叫做单重中断，另一种暂停现在执行的中断，转向新的中断，叫做多重中断。这两种中断最大的区别就是开中断的位置的区别

DMA

DMA是存储器直接访问，这是指一种高速的数据传输操作，允许在外部设备和存储器之间直接读写数据。DMA直接通过一个通路把数据传送到主存储器，无需cpu的参与

主要特点：
- 直接通过一条数据通路直接与主存进行交换信息
- 无需CPU的直接参与，大大提高了cpu资源利用率
- I/O与CPU并行工作
- 适合于高速 I/O 或辅存与主存之间交换信息
工作机制：DMA由专门的硬件（DMA）控制下，实现高速外设和主存储器之间自动成批交换数据尽量减少CPU干预的输入/输出操作方式。
DMA 工作流程
- 1.预处理：
  cpu 给 dma 指明传送方向是输入还是输出
  给 DMA 地址寄存送入设备号，启动设备
  向 DMA 主存地址寄存器送入交换数据的主存起始地址
  对计数器赋予交换数据的个数
- 2.数据传送：
  以块为单位
- 3.后处理
  中断服务程序，做 DMA 结束处理（包括，检验送入主存的数是否正确，决定是否使用 DMA 传送其他数据块，，测试传送过程是否正确）
注意
- DMA传送虽然脱离CPU的控制，但并不是说DMA传送不需要进行控制和管理。通常是采用DMA控制器来取代CPU，负责DMA传送的全过程控制。DMA 中的程序中断部件的作用是向 CPU 提出传输结束
- DMA是必须利用中断的，否则CPU无法得到数据已经传输结束,当数据传输开始结束的时候,需要给CPU一个中断信号，CPU进行处理.这个就大大的节约了CPU的资源。

IO通道

就是来负责管理I/O设备以及实现主存与I/O设备之间交换信息的部件，他有自己的指令和程序，专门负责数据输入输出的传输控制（相当于cpu把传输控制下放给了通道），具有一些专用的通道指令，它受CPU的I/O指令启动I/O设备，执行通道指令，组织I/O设备和主存交换信息，向CPU报告中断

通道控制方式：

所需的CPU干预更少，并且一个通道可以控制多个设备——-进一步CPU的负担

有专门的指令来改变通道程序

总结

中断控制方式虽然在某种程度上解决了上述问题，但由于中断次数多，因而CPU仍需要花较多的时间处理中断，而且能够并行操作的设备台数也受到中断处理时间的限制，中断次数增多导致数据丢失。
DMA方式不需CPU干预传送操作,仅仅是开始和结尾借用CPU一点时间,其余不占用CPU任何资源，中断方式是程序切换,每次操作需要保护和恢复现场
DMA方式和通道方式较好地解决了上述问题。这两种方式采用了外设和内存直接交换数据的方式。只有在一段数据传送结束时，这两种方式才发出中断信号要求CPU做善后处理，从而大大减少了CPU的工作负担。

	DMA	中断	通道
驱动方式	直接存储器存取方式的基本思想是在I/O设备和内存之间开辟直接的数据交换通路，彻底“解放” CPU	允许I/O设备主动打断CPU的运行并请求服务	DMA方式的发展，它可以进一步减少CPU的干预，即把对一个数据块的读（或写）为单位的干预，减少为对一组数据块的读（或写）及有关的控制和管理为单位的干预。
适用场景	不需要CPU干预介入的控制器来控制内存与外设之间的数据交流的场合 I/O通道方式：适用于以字节为单位的干预，同时实现CPU、通道和I/O设备三者并行操作的场合	适用于高效场合
处理方法	获取总线的3种方式分别为:暂停方式、周期窃取方式和共享方式	在系统中具有多个中断源的情况下,常用的处理方法有，多中断信号线法.中断软件查询法.雏菊链法、总线仲裁法和中断向量表法	通道是一种通过执行通道程序管理I/O操作的控制器,它使主机与1/0操作之间达到更高的并行程度。

操作系统

操作系统内核功能通常包含以下几部分：

系统调用接口（System call interface）。
程序管理（Process control）。
内存管理（Memory management）。
文件系统管理（FileSystem management）。
设备驱动（Device driver）。

但不包括版本管理。

时间片轮转法

时间片轮转算法的基本思想是，系统将所有的就绪进程（不是线程）按先来先服务算法的原则，排成一个队列，每次调度时，系统把处理机分配给队列首进程，并让其执行一个时间片。当执行的时间片用完时，由一个计时器发出时钟中断请求，调度程序根据这个请求停止该进程的运行，将它送到就绪队列的末尾，再把处理机分给就绪队列中新的队列首进程，同时让它也执行一个时间片。

主要用于分时系统中的进程调度。为了实现轮转调度，系统把所有就绪进程按先入先出的原则排成一个队列。新来的进程加到就绪队列末尾。每当执行进程调度时，进程调度程序总是选出就绪队列的队首进程，让它在CPU上运行一个时间片的时间。时间片是一个小的时间单位，通常为10~100ms数量级。当进程用完分给它的时间片后，系统的计时器发出时钟中断，调度程序便停止该进程的运行，把它放入就绪队列的末尾；然后，把CPU分给就绪队列的队首进程，同样也让它运行一个时间片，如此往复。

采用此算法的系统，其程序就绪队列往往按进程到达的时间来排序。进程调度程序总是选择就绪队列中的第一个进程，也就是说按照先来先服务原则调度，但一旦进程占用处理机则仅使用一个时间片。在使用先一个时间片后，进程还没有完成其运行，它必须释放出处理机给下一个就绪的进程，而被抢占的进程返回到就绪队列的末尾重新排队等待再次运行。

假设某分时系统采用简单时间片轮转法，当系统中的用户数为n,时间片为q时，系统对每个用户的响应时间T=（）。

考点

背

USB是是英文Universal Serial Bus（通用串行总线）的缩写，是一个外部总线标准。
UART（Universal Asynchronous Receiver/Transmitter）通用异步接收/发送装置，是一个并行输入成为串行输出的芯片。
PCI是Peripheral Component Interconnect（外设部件互连标准）的缩写，它是个人电脑中使用最为广泛的接口，是并行通信方式。
2C总线由数据线SDA和时钟线SCL两条线构成通信线路，是串行通信方式。

下列I/O接口类型中，采用并行总线的是()。C
A.USB
B.UART
C.PCI
D.L2C

中断向量可提供中断程序的入口地址

虚拟存储器由主存-辅存两级存储器组成

CPU响应DMA请求是在一个总线周期结束

计算机系统的主存主要是由（）构成的。DRAM动态随机存储器

操作系统内核功能通常包含以下几部分：

系统调用接口（System call interface）。
程序管理（Process control）。
内存管理（Memory management）。
文件系统管理（FileSystem management）。
设备驱动（Device driver）。
但不包括版本管理。

在程序执行过程中，Cache与主存的地址映像由（）。硬件自动完成

计算

内存按字节编址从A5000H到DCFFFH的区域其存储容量为 224KB

A5000H-DCFFFH+1H = 38FFFH

求编码个数时，需要用最大编号减去最小编号，再加一；

因为编码时两端都有编码，用最大编码减去最小编码时相当于丢掉了最小编码，所以还需要加回来。

如果主存容量为16M字节，且按字节编址，表示该主存地址至少应需要（）位。

24,16M=16 * 1024 * 1024 = 2^24

采用n位补码(包含一个符号位)表示数据，可以直接表示数值(1)。D

（1）A.2n B.-2n C.2n-1 D.-2n-1

解析：补码的取值范围：$-2^{n-1} \sim 2^{n-1}-1$

采用n位补码表示数据时，用1位表示数的符号（0为正1为负），其余n-1位表示数值。若表示整数，可表示的最大整数的二进制形式为n-1个1，最小数为1之后跟n-1个0.

某计算机系统中互斥资源R的可用数为8，系统中有3个进程P1、P2 和P3竞争R，且每个进程都需要i个R，该系统可能会发生死锁的最小i值为（）。

利用公式（i-1） 3+1>R；i每个进程需要的资源，R总共有的资源*

（i-1）* 3+1>8，得出i最小为4。

不发生死锁的资源数R
M个进程，每个进程要N个资源，不发生死锁：R = M ×（N－1）+1

若在系统中有若干个互斥资源R，6个并发进程，每个进程都需要2个资源R，那么使系统不发生死锁的资源R的最少数目为（）。7

死锁的发生是由于并发进程竞争资源而出现相互等待的现象。那么如果每个进程需要2个资源的话，即进程必须获得到2个资源才可以顺利的运行。那么在极端的情况下，6个进程每个都只获得了1个资源，这时6个进程都不能运行，而处于等待，这个时候就会等待其它进程释放1个资源，而获取到该释放的资源，才凑齐2个资源，得以运行，那么如果想保证不发生死锁的话，即只要在极端情况下，再多增加一个资源，就可以打破死锁了。6X1+1=7.

设X、Y为逻辑变量，与逻辑表达式等价的是（ )。X+Y

若每一条指令都可以分解为取指、分析和执行三步。已知取指时间t取指=5△t，分析时间t分析=2△t，执行时间t执行=5△t。如果按顺序方式从头到尾执行完 500 条指令需（1） △t。如果按照[执行]k、[分析]k+1、[取指]k+2重叠的流水线方式执行指令，从头到尾执行完 500 条指令需（2） △t。

顺序执行很简单，500*12
重叠流水线方式参考下图：

将一条指令的执行过程分解为取指、分析和执行三步，按照流水方式执行，若取指时间t取指=4△t、分析时间t分析=2△t、执行时间t执行=3△t，则执行完100条指令，需要的时间为（5） △t.

假设执行 n 条指令，使用流水时间最长的乘以 n-1，再加上一条指令的执行时间，即（ 100-1）＊4△t +（ 4△t + 2△t + 3△t） =396△t + 9△t ＝ 405△t

存储

主存容量和内存地址关系

当计算机的地址总线为32时,也就是说该计算机的寻址范围为2^32,即主存容量为4GB。

计算机可以找到4GB个储存单元，但是一个储存单元到底是8位还是16位还是32位，不一定（不同的计算机定义不同）

八位机一个储存单元就是八位，十六位机就是十六位，32位机就是32位。因为32位机的数据总线是32位的，也就意味着每读取一次，可以获得32位的数据。所以将内存划分成32位为一格一格的比较好。

计算机采用分级存储体系的主要目的是为了解决（）的问题。存储容量，成本和速度之间的矛盾

计算机网络

概念

网络把许多计算机连接在一起，而互联网把许多网络通过路由器连接到一起

06大涛网络协议神图

数据通信流程

数据通信 data communication 是在两台设备之间通过「诸如线缆的某种形式的传输介质」进行的数据交换。

数据通信系统的效率取决于四个关键因素：传递性、准确性、及时性和抖动性。

传递性 Delivery 。系统必须将数据传递到正确的目的地。数据必须由而且只能由预定的设备或用户接收。
准确性 Accuracy 。系统必须准确地传递数据。在传递过程中发生改变和不正确的数据，都是不可用的。
及时性 Timeliness 。系统必须以及时的方式传递数据。传递延误的数据是无用的。就视频和音频数据而言，及时传递意味着在数据产生时就传递数据，所传递数据的顺序和产生时的顺序相同，而且没有明显的延迟。这种传递称为实时传输。
抖动性 Jitter 。抖动是指分组到达时间的变化，音频或视频的分组在传递过程中延迟各不相同。

比如，假定每 30 ms发送一个视频的分组，其中某些分组到达延时 30 ms，而另一些分组延时 40 ms，就引起视频不均匀后果。

组成

图1.1数据通信的五个组成部分

报文 message 是进行通信的信息（数据），它可以是文本、数字、图片、声音、视频等信息形式。
发送方 sender 是指发送数据报文的设备，它可以是计算机、工作站、手机、摄像机等。
接收方 receiver 是指接收报文的设备，它可以是计算机、工作站、手机、电视等。
传输介质 transmission medium 是报文从发送方到接收方之间所经过的物理通路，它可以是双绞线、同轴电缆光纤和无线电波。
协议 protocol 是管理数据通信的一组规则，它表示通信设备之间的一组约定。如果没有协议，即使两台设备之间可能是连接的，那也无法通信，就像一个说法语的人无法被一个只说日语的人理解一样。

数据表示

文本：在数据通信中，文本表示为位模式，即位 0 00 或 1 11序列。模式中位的数目取决于该文本中的符号数目。每一种位模式称为一种编码 code ，表示符号的过程称为编码过程。当前流行的编码系统是统一码 Unicode ，用 32 3232 位表示一个符号或字符，它可表示世界上任何一种语言。几十年前，美国制定的美国信息交换标准代码 American Standard Code for Information Interchange, ASCII 现在是统一码前面的 127 127127 个字符，也称为基本拉丁字符集 Basic Latin 。
数字：数字也用位模式表示。但诸如ASCII的编码不是用来表示数字的。数字直接转换为二进制数。原因是简化数字的数学运算。
图像：现在，图像 image 也采用位模式表示。就最简单的形式而言，图像被划分成像素（图片的基本元素）矩阵，每个像素是一个小点。像素的多少取决于称为分辨率的因素。例如，一幅图像可以划分成 1000像素或 10000 像素，后一种有更清晰的图像表示（更高分辨率），但需要更多的内存来存储图像。

将图像划分成像素，对每个像素分配一个位模式。模式的大小和值取决于该图像，就一幅仅由黑白点（例如棋盘）构成的图像而言，1位模式就足以表示一个像素。

如果像素不是由纯白或纯黑的像素构成，则可通过增加位模式的大小来包含更多的灰度范围。例如，可以采用 2位模式来表示 4个级别的灰度。黑像素可以用 00表示，深灰像素用 01 ，浅灰像素用 10，白像素用 11 来表示制。

有几种方法表示彩色图像：一种方法是每个颜色像素被分解为三原色 three primary colors ：红、绿、蓝 RGB ，然后测量每种色彩的浓度，并为其赋予一种位模式；另一种方法是每个颜色像素被分解为三原色：黄、紫、青 yellow, cyan, and magenta, YCM 。
音频 audio ：指录音带、声音广播或音乐等声音的表示。音频与文本、数字或图像有本质的不同。它是连续的、非离散的。即使用麦克风将声音或音乐转换成电信号，所产生的也是一个连续的信号。【计算机网络】第二部分物理层和介质(4) 数字传输和【计算机网络】第二部分物理层和介质(5) 模拟传输介绍，如何将声音或音乐转换成数字或模拟信号。
视频 video ：指录像带、图像或动画的合成，既可以由一个连续实体（如电视摄像机 TV camera）产生，也可以由一组图像或动画合成，这些图像的每一幅都是一个离散的实体，组织起来即可表示运动的意思。正如第4章和第5章所述，同样可以将视频转换为数字或模拟信号。

数据流

网络准则

性能
可靠性
安全性

物理结构

连接类型

点到点 point-to-point 连接提供两台设备之间专用的链路。链路全部的能力均为两台设备之间的传输所共用。大多数点到点连接，采用实际长度的线或电缆来连接两端，但诸如微波或卫星链路的其他选择也是可行的（见图1.3a）。当使用红外线遥控器切换电视频道时，就在遥控器和电视控制系统之间建立了一条点到点连接。
多点连接 multipoint connection 也称为多站连接 multidrop connection 是两台以上设备共享单一链路的情形（见图1.3b）。在多点环境中，通道的能力在空间或时间上共享。如果同时可以有多台设备使用链路，这是空间上共享连接；如果用户必须轮流使用，这是时间上共享连接。

物理拓扑结构

物理拓扑结构 physical topology 一词指的是网络在物理上分布的方式。两台或更多的设备连接到一条链路，两条或更多的链路组成拓扑结构。网络拓扑结构是所有链路及其互相连接的设备（通常称为节点）之间关系的几何表示。有四种可能的基本拓扑结构：网状、星型、总线和环状

传输介质

光纤

光纤传输介质由可以传送光波的玻璃纤维或透明塑料制成，外包一层比玻璃折射率低的材料。光波在光纤中以什么模式传播，这与芯线和包层的相对折射率、芯线的真径以及工作波长有关

多模光纤：进入光纤的光波在两种材料的介面上形成全反射，从而不断地向前传播。光波在光导纤维中以多种模式传播，不同的传播模式有不同的电磁场分布和不同的传播路径。多模光纤的带宽约为2.5Gbps
单模光纤：芯线的直径小到光波波长大小，则光纤就成为波导，光在其中无反射地沿直线传播，很少反射，所以色散减小、带宽增加，传输距离也得到加长。但是与之配套的光端设备价格较高，单模光纤的带宽超过10Gbps。

单模光纤比多模光纤的数据速率高，但价格更昂贵。光导纤维作为传输介质，其优点是很多的。首先是它具有很高的数据速率、极宽的频带、低误码率和低延迟。典型数据速率是100 Mb/s，甚至可达1000 Mb/s，而误码率比同轴电缆可低两个数量级，只有10 。其次是光传输不受电磁于扰，不可能被偷听，因而安全和保密性能好。最后，光纤重量轻、体积小、铺设容易。

无源光网络 (PON)

无源光网络 (PON)是一种纯介质网络，避免了外部设备的电磁于扰和雷电影响，减少了线路和外部设备的故障率，提高了系统可靠性，同时节省了维护成本。分光器就是连接OLT和ONU的无源设备，它的功能是分发下行数据，并集中上行数据。分光器带有一个上行光接口，若干下行光接口,实现点对多点的通讯。

RJ-45端口和双绞线

百兆用4根，千兆用8根

双绞线的4、5线对为正极为PD设备供电，7、8线对为负极为PD设备供电，3、6是用于传输数据的。

RJ-45端口：这种端口通过双绞线连接以太网。

10Base-T的RJ-45端口标识为“ETH”，而100Base-TX的RJ-45端口标识为“10/100bTX”。

双绞线可按其是否外加金属网丝套的屏蔽层而区分为屏蔽双绞线（STP）和非屏蔽双绞线（UTP）。从性价比和可维护性出发，大多数局域网使用非屏蔽双绞线（UTP -Unshielded Twisted pair）作为布线的传输介质来组网。 UTP网线由一定长度的双绞线和RJ45水晶头组成

双绞线由8根不同颜色的线分成4对绞合在一起，成对扭绞的作用是尽可能减少电磁辐射与外部电磁干扰的影响。

网线的线序又分为两种：568A与568B。

标准568A线序：1-绿白，2-绿，3-橙白，4-蓝，5-蓝白，6-橙，7-棕白，8-棕；
标准568B线序：1-橙白，2-橙，3-绿白，4-蓝，5-蓝白，6-绿，7-棕白，8-棕；

直连线，同一根网线的两端使用同样的线序；

交叉线，同一根网线的两段使用不同的线序。

即，网线的两端都使用568A或568B的是直连线；网线两端，一端用568A，一端用568B的是交叉线。在实际运用中一般都使用568B，通常认为568B对电磁干扰的屏蔽比较好。

计算机网络中直连电缆和交叉电缆的区别

以太网电缆中，收、发各由一对双绞线承当，对于所连接的两台设备，要做到收发对应才能正常工作。普通以太网电缆就是常用的直连线，两头是完全一样的。一般用于网络设备与终端设备之间的连接（比如交换机与电脑），因为它们的收发定义刚好是反过来的。以太网交叉电缆就是交叉线，两头的1、2与3、6是交叉连接的。用于同类设备之间连接（比如电脑连电脑、交换机连交换机等），因为它们的收发定义是相同的，用交叉线使收发对应起来。不过现在很多设备都有收发自动反转功能，在大多数情况下都可以用直连线。

同种设备用交叉线，异种设备用直连线。

DTE和DCE

数据终端设备，所有具有作为二进制数字数据源点或终点能力的单元。就是与我们直接接触的一些设备，如计算机、打印机、传真机等等，我们需要通信的信息都可以通过它转化为数字世界中的01信号。

DTE产生了包含一定信息的二进制数字数据，但这种数据不适合直接在通信双方之间的介质(或网络)上传输，因此引入了DCE来对二进制数字数据进行调制或转换等工作，使其适于远距离传输

DCE：数据电路终接设备，任何能够通过网络发送和接收模拟或数字数据的功能单元。

高速同步串口

高速同步串口（Synchronous Serial Port）：在路由器与广域网的连接中，应用最多的是高速同步串行口，这种端口用于连接DDN、帧中继、X.25和PSTN等网络。

Console端口

Console端口：Console端口通过专用电缆连接至计算机串行口，利用终端仿真程序对路由器进行本地配置。路由器的Console端口为RJ-45口。

特殊ip

224.0.0.1 所有主机
224.0.0.2 所有路由器
224.0.0.5 所有运行OSPF路由器
224.0.0.6 OSPF DR/BDR
224.0.0.9 RIPv2 路由器
224.0.0.18 VRRP（虚拟路由器冗余协议）
如果都没有得到**DHCP服务器端**的回应，客户机会从**169.254.0.0/16**这个自动保留的私有IP地址中选用一个IP地址

协议端口

ICMP 1
FTP 数据20控制21
Telnet 23
SMTP简单邮件传输 25
RSVP 46
DNS 53(TCP和UDP都可调用)
DHCP 67、68
TFTP 69
HTML 80
ospf:89
x2.5 93
pop3 110 ，建立连接用TCP
VRRP 112
SQL services 118
IS-IS 124
IMAP 143
SQL server 156
SNMP协议实体发送请求和应答报文的默认端口号是161，SNMP代理发送陷阱报文(Trap) 的默认端口号是162。
BGP 149
IKE端口是udp的500
rip: 520
https/ssl 443

从IPv4向IPv6过渡的策略

两种向IPv6过渡的策略，即使用双协议栈和隧道技术。

双协议栈（dual stack）是指在完全过渡到IPv6之前，使一部分主机（或路由器）装有两个协议栈，一个IPv4和一个IPv6。因此双协议栈主机（或路由器）既能够和IPv6的系统通信，又能够和IPv4的系统进行通信。双协议栈的主机（或路由器）记为IPv6/ IPv4，表明它具有两种IP地址：一个IPv6地址和一个IPv4地址。

隧道技术（tunneling）。这种方法的要点就是在IPv6数据报要进入IPv4网络时，将IPv6数据报封装成为IPv4数据报（整个的IPv6数据变成了IPv4数据报的数据部分）。然后IPv6数据报就在IPv4网络的隧道中传输。当IPv4的数据报离开IPv4网络中的隧道时再将其数据部分（即原来的IPv6数据报）交给主机的IPv6协议栈。

网络交换技术

采用交换网络——将多个计算机网络或通信网络相互连接，以实现信息交换和资源共享的技术叫网络互联技术，也即网络交换技术。交换网络由一系列互联的节点构成，这些节点称为交换机 switch ，交换机能在链接到交换机的两台或多条设备之间，建立起临时连接（即组建局域网和VLAN）

交换方式：电路交换、分组交换、报文交换，前两种目前普遍使用。第三种（在报文交换中，每个交换机存储整个报文，并转发到下一个交换机）在一般通信中已逐步淘汰——尽管在低层看不见报文的交换，但它仍然存在于某些网络应用中，如电子邮件 E-mail 。

物理层

物理层的作用：连接不同的物理设备，传输比特流。该层为上层协议提供了一个传输数据的可靠的物理媒体。简单的说，物理层确保原始的数据可在各种物理媒体上传输。

物理层考虑以下一系列问题：

接口与介质的物理特性。物理层定义了设备与传输介质之间的接口特性，也定了传输介质的类型。
位的表示。物理层的数据是没有任何解释的位 bit 流（由 0 和 1 所组成的序列）。要进行传输，位必须编码成信号一一电信号或光信号。物理层定义编码 encoding 的类型（如何将 0 和 1 转换成信号）。
数据速率。传输速率 transmisson rate ，即每秒发送的位数，也在物理层定义。换言之，物理层也定义一个位持续多长时间。
位同步。发送方与接收方不仅使用相同的比特率，还必须位同步。换言之，发送方的时钟与接收方的时钟必须同步。
线路配置。物理层涉及设备与介质的连接。在点到点配置中，两个设备通过一条专用链路连接。在多点配置中，许多设备共享一条链路。
物理拓扑结构。物理拓扑结构定义如何将设备连接成网络。设备的连接方式可以是网状拓扑结构（每台设备均与其他设备连接）、星型拓扑结构（通过中心设备与其他设备连接）、环状拓扑结构（每台设备与下一台设备连接以组成一个环）和总线拓扑结构（每台设备都在一条公共链路上）。
传输方式。物理层也定义两台设备之间的传输方向：单工、半双工和全双工。在单工方式中，只有一个设备能发送，另一个设备只能接收。单工方式是单向通信。在半双工方式中，两台设备都能发送和接收，但不能在同一时刻。在全双工（或双工）方式中，两个设备能在同一时刻发送与接收。

网络拓扑

网络拓扑(Network Topology)结构是指用传输介质互连各种设备的物理布局。指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。如果两个网络的连接结构相同我们就说它们的网络拓扑相同，尽管它们各自内部的物理接线、节点间距离可能会有不同。

五种网络拓扑结构

网状拓扑结构：网络的每台设备之间均有点到点的链路连接，常用于广域网。
总线型结构：各工作站和服务器均挂在一条总线上，各工作站地位平等，无中心节点控制，公用总线上的信息多以基带形式串行传递，其传递方向总是从发送信息的节点开始向两端扩散，各节点在接受信息时都进行地址检查，看是否与自己的工作站地址相符，相符则接收网上的信息,多用于同轴电缆架构的以太网。
环型结构：由网络中若干节点通过点到点的链路首尾相连形成一个闭合的环，这种结构使公共传输电缆组成环型连接，数据在环路中沿着一个方向在各个节点间传输，信息从一个节点传到另一个节点，多用于令牌环网、城域网FDDI网。
星型结构：星型结构是指各工作站以星型方式连接成网。网络有中央节点，其他节点（工作站、服务器）都与中央节点直接相连，这种结构以中央节点为中心，因此又称为集中式网络。
树型结构：网络的每台设备之间均有点到点的链路连接，层次级网络，每个节点可能采用其他拓扑结构，比如星型结构。

DSL

DSL是介于物理层和数据链路层之间

数字用户线路（Digital Subscriber Line），DSL允许用户在传统电话线上提供高速的传输，用户计算机借助于DSL调制解调器连接到电话线上，通过DSL连接访问互联网络或者企业网络。 DSL技术存在多种类型，以下是常见的技术类型：

ADSL：非对称DSL，用户的上下行流量不对称，一般具有三个信道，分别为1.544-9Mb/s的高速下行信道， 16-

640Kb/s的双工信道，64Kb/s的语音信道。

SDSL: 对称DSL，用户的上下行流量对等，最高可以达到 1.544Mb/s。

HDSL：高比特率DSL，是在两个线对上提供1.544Mb/s或在三个线对上提供2.048Mb/s对称通信的技术，其最大特点是可以运行在低质量线路上，最大距离为3700-4600m。

VDSL:_甚高比特率DSL，一种快速非对称DSL业务，可以在一对电话线上提供数据和语音业务。

xDSL

①HDSL中断距离可达3-5KM、传输速率2.048Mbits/s

②ADSL是一种非对称的DSL技术

③VDSL是一种非对称的技术，也是DSL中传输速度最快的技术

④SDSL：单线路数字用户技术是对称的

⑤RADSL：速率自适应数字用户线技术，是采用非对称技术。

ADSL

下面是家庭用户安装 ADSL 宽带网络时的拓扑结构图，图中左下角的 X 是（）设备，为了建立虚拟拨号线路，在用户终端上应安装（）协议。
在这里插入图片描述
问题1：
A. DSLAM
B. HUB
C. ADSL Modem
D. IP Router
问题2：
A. ARP
B. HTTP
C. PPTP
D. PPPoE
答案：
A
D
解析：
在 ADSL 宽带拓扑结构中，来自用户线路的流量若要进入 IP 网络，需要在局端经过数字用户线路进入 IP 网络，需要在局端经过数字用户线路接入复用器（DSLAM）设备进行解调，还原成数字信号，再经由宽带接入服务器（BAS）进入到因特网。

ADSL采用的两种接入方式是（）。虚拟拨号接入和专线接入

ADSL用于连接公共交换电话网PSTN，PSTN属于电路交换网，所以ADSL是电路交换网的一部分。X.25，FRN和ATM都是分组交换网。

设备

中继器【Repeater，也叫放大器】：同一局域网的再生信号；两端口的网段必须同一协议；5-4-3规程：10BASE-5以太网中，最多串联4个中继器，5段中只能有3个连接主机；

集线器：同一局域网的再生、放大信号（多端口的中继器）；半双工，不能隔离冲突域也不能隔离广播域。

传输介质

同轴电缆：

基带同轴电缆
宽带同轴电缆

数据链路层

数据链路层 data link layer 将「物理层对数据不做任何改动的传输通道」变成可靠的链路，这样可以将物理层的数据无差错地传递给上层（网络层）。基本数据单位为帧；

功能

封装成帧

封装成帧：“帧”是数据链路层数据的基本单位,在数据报添加首部和尾部构成一个帧，帧最少64

网络层的IP数据报传到数据链路层就成为帧的数据部分，首部和尾部包括许多必要的控制信息和进行帧定界的作用。为了提高帧的传输效率，应尽量使帧的数据部分长度大于首部和尾部的长度，而每一种链路层协议也都规定了帧的数据部分上限最大传送单元MTU

最大传输单元MTU

最大传输单元MTU(Maximum Transmission Unit)，数据链路层的数据帧不是无限大的，数据帧长度受MTU限制。

路径MTU:由链路中MTU的最小值决定

物理寻址

物理寻址。如果帧是发送给网络中不同系统，则数据链路层在帧的头部添加发送方的物理地址与接收方的物理地址。如果帧要发往发送方网络之外的系统，那么接收方的地址就是「连接一个网络到下一个网络的设备的地址」。

透明传输

“透明”是指即使控制字符在帧数据中，但是要当做不存在去处理。即在控制字符前加上转义字符ESC。

差错监测

由于信道噪声等各种原因，帧在传输过程中可能会出现错误。用以使发送方确定接收方是否正确收到由其发送的数据的方法称为差错控制。通常，错误可分为位错和帧错：

位错指帧中某些位出现了差错。
帧错指帧的丢失、重复或失序等错误

差错检测：奇偶校验码、循环冗余校验码CRC、海明码

奇偶校验码
- 局限性：当出错两位时，检测不到错误。
循环冗余检验码：根据传输或保存的数据而产生固定位数校验码。
海明码

奇偶校验码

在待发送的数据后面添加1位奇偶校验位，使整个数据(包括所添加的校验位在内)中”1”的个数为奇数(奇校验)或偶数(偶校验)

若有奇数个位发生误码，奇偶性发生变化，可检查出误码；

若有偶数个位发生误码，奇偶性不发生变化，则不能检查出误码

循环冗余校验码CRC

收发双方约定好一个生成多项式G(x)；

发送方基于待发送的数据和生成多项式计算出差错检测码(冗余码)，将其添加到待传输数据的后面一起传输；接收方通过生成多项式来计算收到的数据是否产生了误码

1001多项式为x^3 + x^0
1001的阶r为3，加3个0
模二除法，数据加0后除以多项式G（x），余数为冗余码

海明码

实现原理，是在m个数据位之外加上k个校验位，从而形成一个m+k位的新的码字，使新的码字的码距比较均匀地拉大。把数据的每一个二进制位分配在几个不同的偶校验位的组合中，当某一位出错后，就会引起相关的几个校验位的值发生变化，这不但可以发现出错，还能指出是哪一位出错，为进一步自动纠错提供了依据。

假设校验位有k位，那么校验码最多有2^k个，显然其中有一个校验码是正确的，那么就能校验出 $2^k-1$个错位。所以，如果能满足一个则n和k的关系必须满足以下关系：

2^k -1 >= n+k

https://blog.csdn.net/konley233/article/details/108134466

原始数据：1011，求校验码个数

这样 n=4 , 将 k=1,2,3,… 代入公式很容发现 k=3就满足条件，2^3-1 >=4+3

所以校验码位数为3位，数据和校验码一共7位。
确认校验码位置

海明码的长度 = 原始信息码 + 校验码。此题中，海明码长度 = 4 + 3 = 7位

分配校验码的位置：校验位的位置一般为2^n（n≥0），针对此题来说就是1、2、4、8的位置上。

7 6 5 4 3 2 1 位数

1 0 1 1 信息位

r2 r1 r0 校验位
计算校验码

① 将每个信息位数拆分成n个校验位数之和

在本题中，信息位是：7、6、5、3，校验位是：4、2、1，则

7 = 4 + 2 + 1，表示第7位的信息码由第4、2、1位的校验码所校验，下同

6 = 4 + 2，

5 = 4 + 1

3 = 2 + 1

② 分组

将上面等式中，各个校验码所校验的位数进行分组

如r2是第4位，而4校验了上面的7、6、5位，可以写成

r2（7，6，5）

r1（7，6，3）

r0（7，5，3）

③计算

将分组的元素转为该位置对应的信息码再进行异或运算即可

注意，是异或运算，即同0异1的原则

r2 = 1 ⊕ 0 ⊕ 1 = 0

r1 = 1 ⊕ 0 ⊕ 1 = 0

r0 = 1 ⊕ 1 ⊕ 1 = 1

到这里基本就算完了，可以知道r2 = 0，r1 = 0，r0 = 1

7 6 5 4 3 2 1 位数

1 0 1 0 1 0 1 信息位

r2 r1 r0 校验位

7	6	5	4	3	2	1	位数
1	0	1		1			信息位
			r2		r1	r0	校验位

7	6	5	4	3	2	1	位数
1	0	1	0	1	0	1	信息位
			r2		r1	r0	校验位

IEEE802标准

IEEE于1980年2月成立了局域网标准委员会（简称IEEE802委员会），专门从事局域网标准化工作，并制定了IEEE802标准。

802标准所描述的局域网参考模型只对应OSI参考模型的数据链路层与物理层，它将数据链路层划分为逻辑链路层LLC子层和介质访问控制MAC子层。

其中IEEE802.2LAN标准定义了逻辑链路控制LLC子层的功能与服务，并且是基标准。

IEEE 802委员会的任务是制定局域网和城域网标准，目前有20多个分委员会，如下。

802.1研究局域网体系结构、寻址、网络互联和网络管理。
- IEEE802.1d 冗余链路stp协议
- IEEE802.1W 快速stp协议
- IEEE802.1q 虚拟局域网VLAN
  - 最多可以配置4049个 VLAN
  - GVRP协议所支持的VLANID范围为1-4094，而VTP协议只支持1-1001号的VLAN。
- IEEE802.1x 认证系统
- IEEE802.1p Qos
- IEEE802.1g 网桥
802.2研究逻辑链路控制子层（LLC）的定义。
802.3研究以太网介质访问控制协议CSMA/CD及物理层技术规范。
- IEEE802.3u 快速/百兆以太网 LAN
  - 100Base-TX 两对五类UTP无屏蔽双绞线 100m
  - 100Base-FX 一对单模光纤SMF 40Km
    - 采用的编码技术为( )。4B/5B+NRZI
  - 100Base-T4四对3类UTP（淘汰）100m
- IEEE802.3z 千兆以太网 LAN
  - 1000 base-cx标准使用的是屏蔽双绞线（2对STP），双绞线长度可以达到25m；
  - 1000 base-sx标准使用的是波长为850nm的多模光纤（短波），光纤长度可以达到300～550m。
  - 1000 base-lx标准使用的是波长为1300nm的单模光纤（长波），光纤长度可以达到3000m；支持1000m以上传输距离
- **IEEE802.3ae 万兆以太网 ** MAN
- ieee 802.3ab 千兆以太网 MAN
  - 1000 base-T：1000BaseT是一种使用4对UTP作为网络传输介质的千兆以太网技术，最长有效距离与100BaseTX一样可以达到100米。可以采用这种技术在原有的快速以太网系统中实现从100Mb/s~1000Mb/s的平滑升级。与前面介绍的其他3种网络介质不同，1000BaseT不支持8B/10B编码方案，需要采用专门的更加先进的编码/译码机制。
802.4研究令牌总线网（Token-Bus）的介质访问控制协议及物理层技术规范。
802.5研究令牌环网（Token-Ring）的介质访问控制协议及物理层技术规范。
802.6研究城域网介质访问控制协议DQDB及物理层技术规范。
802.7宽带技术咨询组，提供有关宽带联网的技术咨询。
802.8光纤技术咨询组，提供有关光纤联网的技术咨询。
802.9研究综合声音数据的局域网（IVDLAN）介质访问控制协议及物理层技术规范.
802.10局域网安全机制，网络安全技术咨询组，定义了网络互操作的认证和加密方法。
802.11研究无线局域网（WLAN）的介质访问控制协议及物理层技术规范。
- 802.11b 2.4GHz
- 802.11g 2.4GHz
- 802.11n 2.4&5
- 802.11a 5.0GHz
- 802.11ac 5.0GHz
802.12研究需求优先的介质访问控制协议（100VG-AnyLAN）。
802.14研究采用线缆调制解调器（Cable Modem）的交互式电视介质访问控制协议及物理层技术规范。
802.15 研究采用蓝牙技术的无线个人网（Wireless Personal Area Network,WPAN)技术规范。
802.16 无线城域网，宽带无线接入工作组，开发2~66GHz的无线接入系统空中接口。
802.17弹性分组环（RPR）工作组，制定了弹性分组环网访问控制协议及有关标准。
802.18宽带无线局域网技术咨询组（Radio Regulatory）。
802.19多重虚拟局域网共存（Coexistence）技术咨询组。
802.20移动宽带无线接入（MBWA)工作组，正在制定宽带无线接入网的解决方案。（20)802.21研究各种无线网络之间的切换问题，正在制定与介质无关的切换业务（MIH)标准。
802.22无线区域网（Wireless Regional Area Network，WRAN）工作组，正在制定利用感知无线电技术，在广播电视频段的空白频道进行无干扰无线广播的技术标准。

IEEE 802.11

IEEE802.11定义了无线局域网的两种工作模式，其中的（1）模式是一种点对点连接的网络，不需要无线接入点和有线网络的支持。IEEE802.11g的物理层采用了扩频技术，工作在（2）频段。

AD HOC,2.4GHZ

无线局域网的新标准IEEE802.11n提供的最高数据速率可达到（67）Mb/S。300

MAC和LLC

由于局域网是分组广播式网络，网络层的路由功能是不需要的，所以在IEE802标准中，网络层简化成了上层协议的服务访问点SAP。又由于局域网使用多种传输介质，而介质访问控制协议与具体的传输介质和拓扑结构有关，所以，IEEE802 标准把数据链路层划分成了两个子层。与物理介质相关的部分叫作介质访问控制（Medium Access Control，MAC）子层，与物理介质无关的部分叫作逻辑链路控制（Logical Link Control，LLC）子层。LLC提供标准的OSI数据链路层服务，这使得任何高层协议（例如TCP/IP、SNA 或有关的OSI 标准）都可运行于局域网标准之上。局域网的物理层规定了传输介质及其接口的电气特性、机械特性、接口电路上和信具速率等。

一、实现不同

1、MAC子层：MAC子层是由网络接口卡（NIC:网卡）来实现。

2、LLC子层：LLC子层是由传输驱动程序实现的。

二、依赖体不同

1、MAC子层：MAC子层依赖于各自的物理层。

2、LLC子层：LLC子层在IEEE802.2标准中定义，为802标准系列共用。

三、主要功能不同

1、MAC子层：MAC子层的的主要功能为数据帧的封装/卸装，帧的寻址和识别，帧的接收与发送，链路的管理，帧的差错控制。MAC子层的存在屏蔽了不同物理链路种类的差异性

2、LLC子层：LLC子层的主要功能为负责识别网络层协议，传输可靠性保障和控制，数据包的分段与重组，数据包的顺序传输。

LLC层

逻辑链路控制（logical link control，LLC）层位于OSI网络模型的数据链路层，由IEEE802.2标准定义，用户的数据链路服务通过LLC子层为上层（IP层）提供统一的接口，提供给其他802协议（e.g. 802.3, 802.11,etc）使用。MAC可以在LLC层的支持下执行寻址方式和网络层协议识别功能，然后进行封装。

LLC定义了三种数据通信操作类型：

类型1：无连接。该方式对信息的发送通常无法保证接收。
类型2：面向连接。该方式提供了四种服务：连接的建立、确认和承认响应、差错恢复（通过请求重发接收到的错误数据实现）以及滑动窗口（系数：128）。通过改变滑动窗口可以提高数据传输速率。
类型3：无连接承认响应服务。

介质访问控制MAC层

CSMA/CA

IEEE802.11的MAC子层协议，CSMA/CA用于无线局域网

CSMA/CA采用能量检测（ED）、载波检测（CS）和能量载波混合检测三种检测信道空闲的方式

CSMA/CD

IEEE802.3的MAC子层协议，CSMA/CD用于总线式以太网

CSMA/CD通过电缆中电压的变化来检测，当数据发生碰撞时，电缆中的电压就会随着发生变化

CSMA/CD即载波监听多路访问/碰撞检测

载波监听（carrier sense），意思就是以太网络上的各个工作站在发送数据前，都要监听总线上有没有数据正在传输。若有数据传输（称总线为忙），则不发送数据，需要等待；若无数据传输（称总线为空），可以立即发送准备好的数据。
多路访问（multiple access)，意思就是以太网络上的各个工作站在发送数据时，共同使用一条总线，且发送数据是广播式的。
冲突（collision），意思就是，若以太网上有两个或两个以上工作站同时发送数据，在总线上就会产生信号的冲突；多个工作站都同时发送数据，在总线上就会产生信号的冲突，哪个工作站接收到的数据都辨别不出真正的信息。这种情况称冲突或者碰撞。为了减少冲突发生的影响，工作站在发送数据过程中还要不停地检测自己发送的数据，检测自己传输过程中有没有其他工作站在发送数据，在传输过程中与其它工作站的数据发生冲突，这就是冲突检测（collision detected）。

当初学习的时候，对于为什么要监听空闲和检测碰撞一直很疑惑，其实原因很简单，对于总线型网络来说，如果有多个主机同时发送信号，那么是很难从中分辨出信息的。举个栗子就是一堆不同频率相位的正弦混合在一起，让你从波形图中画出某条正弦曲线，是不是感觉非常的困难？为了避免在网络中遇到这个问题，所以采用载波监听和碰撞检测的方法。

CSMA/CD工作原理

载波监听用处

载波监听其实就是检测信道是不是为空，如果是，那么就可以发送自己的信息了。如果信道正忙，那么只能等到信道空闲，才能发送自己的信息。那么，是不是只要空闲发送自己的信息就永远不会出错呢？当然不是，我们联系生活中的一个栗子就能知道，当开会讨论的时候，如果一片安静，那么之后就可能会有两个或者多个人同时开始说话发言。信道上也是如此，甚至更加明显。因为载波监听只能是在自己的位置监听，而从别的主机发送过来的信号需要时间。这就不可避免的会出现主机B明明发送了信息，但是主机A没有发现，也发送一个信息出来，这样便会发生碰撞，导致数据信号失真。

碰撞检测用处

碰撞检测就是为了解决上面说的同时发送，或者说在很短时间（B发送信号尚未到达A）内同时发送引发的碰撞问题。碰撞检测适配器在发送数据的过程中也要检测信道信号变化，若发现信号电压变化幅度增大超过某个阈值，则认为发生碰撞。

二进制指数退避算法

以太网采用截断二进制指数退避算法来解决碰撞问题。截断二进制算法并不复杂，这种算法让发生碰撞的站在停止发送数据后，不是等待信道变为空闲后就立即再发送数据，而是推迟一个随机的时间。这样做是为了使的重传时再次发生冲突的概率减少。当重传次数达16次仍不能成功时，则表明同时打算发送数据的站太多，以至连续发生冲突，则丢弃该帧，并向高层报告。

如何确定碰撞后的重传时机

https://juejin.cn/post/7101509003724881928

https://www.modb.pro/db/221017

最小帧长问题

1
2

为什么先监听后发数据还是会发生冲突呢？
答：因为电磁波在总线上总是以有限的速率传播的，加上传输数据的信道可能很长(出现传播时延)，因而会发生冲突。

在这里插入图片描述

局域网

局域网（Local Area Network）：简称LAN，是指在某一区域内由多台计算机，外部设备（例如打印机）互联成的网络，使用广播信道。在这个网络之间，每个设备都可以完成文件管理、资源共享。

覆盖的地理范围较小，只在一个相对独立的局部范围内联，如一座或几种的建筑群内
使用专门铺设的传输介质（双绞线、同轴电缆）进行联网，数据传输速率高（10Mb/s~10Gb/s）
通信延迟时间短，误码率低，可靠性较高
各站为平等关系，共享传输信道
多采用分布式控制和广播式信道，能进行广播和组播
星型和总线形是局域网最常用的拓扑结构。

决定局域网的主要要素为：网络拓扑，传输介质与介质访问控制方法

局域网的分类

以太网
令牌环网。物理上采用了环形拓扑结构
FDDI网（Fiber Distributed Data Interface）。物理上采用了双环拓扑结构，逻辑上是环形拓扑结构
ATM网（Asynchronous Transfer Mode）。较新型的单元交换技术，使用53字节固定长度的单元进行交换
无线局域网（Wireless Local Area Network, WLAN）采用了IEEE802.11标准

以太网

以太网。以太网是应用最为广泛的局域网，包括标准以太网（10Mbps）、快速以太网（100Mbps）、千兆以太网（1000Mbps）和10G以太网，它们都符合IEEE802.3系列标准规范。

以太网第一个广泛部署的高速局域网；

以太网数据速率快；

以太网硬件价格便宜，网络造价成本低。
拓扑结构
- 逻辑拓扑总线型
- 物理拓扑是星型或拓展星型
特点
- 造价低廉（以太网网卡不到100块）
- 是应用最广泛的局域网技术
- 比令牌环网、ATM网更便宜，简单
- 满足网络速率要求：10Mb/s~10Gb/s
以太网两个标准：
1. DIX Ethernet V2：第一个局域网产品（以太网）规约
2. IEEE 802.3：IEEE 802委员会802.3工作组制定的第一个IEEE的以太网标准。802.3局域网即以太网

ATM网

如果网络需求对QoS要求很高，应考虑采用（）网络。ATM

拓扑结构

采用同轴电缆

协议

HDLC协议

高级数据链路控制（High-Level Data Link Control或简称HDLC），是一个在同步网上传输数据、面向比特的数据链路层协议

HDLC特点

1 HDLC协议不依赖于任何一种字符编码集；
2 数据报文可透明传输，用于实现透明传输的“0比特插入法”易于硬件实现；
3全双工通信，有较高的数据链路传输效率；
4所有帧采用CRC检验，对信息帧进行顺序编号，可防止漏收或重份，传输可靠性高；
5传输控制功能与处理功能分离，具有较大灵活性。

帧类型

信息帧
管理帧：流量和差错控制
无编号帧：用于链路控制

数据链路控制规程功能

数据链路层是OSI参考模型的第二层，它在物理层提供的通信接口与电路连接服务的基础上，将易出错的数据电路构筑成相对无差错的数据链路，以确保DTE与DTE之间、DTE与网络之间有效、可靠地传送数据信息。为了实现这个目标，数据链路控制规程的功能应包括以下几个部分：

1帧控制

数据链路上传输的基本单位是帧。帧控制功能要求发送站把网络送来的数据信息分成若干码组，在每个码组中加入地址字段、控制字段、校验字段以及帧开始和结束标志，组成帧来发送；要求接收端从收到的帧中去掉标志字段，还原成原始数据信息后送到网络层。

2帧同步

在传输过程中必须实现帧同步，以保证对帧中各个字段的正确识别。

3差错控制

当数据信息在物理链路中传输出现差错，数据链路控制规程要求接收端能检测出差错并予以恢复，通常采用的方法有自动请求重发ARQ和前向纠错两种。采用ARQ方法时，为了防止帧的重收和漏收，常对帧采用编号发送和接收。当检测出无法恢复的差错时，应通知网络层做相应处理。

4流量控制

流量控制用于克服链路的拥塞。它能对链路上信息流量进行调节，确保发送端发送的数据速率与接收端能够接收的数据速率相容。常用的流量控制方法是滑动窗口控制法。

5链路管理

数据链路的建立、维持和终止，控制信息的传输方向，显示站的工作状态，这些都属于链路管理的范畴。

6透明传输

规程中采用的标志和一些字段必须独立于要传输的信息，这就意味着数据链路能够传输各种各样的数据信息，即传输的透明性。

7寻址

在多点链路中，帧必须能到达正确的接收站。

8异常状态恢复

当链路发生异常情况时，如收到含义不清的序列或超时收不到响应等，能自动重新启动，恢复到正常工作状态。

PPP

PPP可以用于同步传输也可以用于异步传输，而HDLC只能用在同步网上；PPP是面向字节的，而HDLC是面向比特位的。可以说HDLC是PPP的前身。PPP，可以在多种链路上支持点对点的通信，而且支持多种网络层协议，并且PPP和以太网相结合产生的PPPoE

vtp协议

是VLAN中继协议，也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在企业网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到Server 上的VLAN 信息。

VLAN中继协议（VLAN Trunking Protocol，VTP）是Cisco公司的专利协议。VTP在交换网络中建立了多个管理域，同以管理域中的所有交换机共享VLAN信息。一台交换机只能参加一个管理域，不同管理域中的交换机不共享VLAN信息。通过VTP协议，可以在一台交换机上配置所有的VLAN，配置信息通过VTP报文可以传播到管理域中的所有交换机。
按照VTP协议，交换机的运行模式分为3种：

服务器模式（Server）：交换机在此模式下创建、添加、删除和修改VLAN配置，并从中继端口发出VTP组播帧，把配置信息分发到整个管理域中的所有交换机。一个管理域中可以有多个服务器。
客户机模式（Client）：在此模式下不允许创建、修改或删除VLAN，但可以监听本管理域中其他交换机的VTP组播信息，并据此修改自己的VLAN配置。
透明模式（Transparent）：在此模式下可以进行VLAN配置，但配置信息不会传播到其他交换机，在透明模式下，可以接收和转发VTP帧，但是并不能据此更新自己的VLAN配置，知识起到通路的作用。

帧中继协议(虚电路)

https://zhuanlan.zhihu.com/p/392346480

https://www.qingsword.com/qing/675.html

帧中继Frame Relay，简称FR，可以将它看做X.25协议的简化版本，帧中继网络中不考虑传输差错问题，其中的结点只做帧的转发操作，不需要执行接收确认和请求重发等操作；帧中继是一种严格意义上的二层协议。

在帧中继网络中使用VC（Virtual Circuit，虚电路）来互连各个分支，并不需要两个分支之间有单独的物理链路。下面是物理专线和帧中继虚电路的示意图：

Cisco-CCNA-Framerelay-1

使用虚电路的最主要好处就是配置方便，建立和拆除虚电路只需要使用命令配置即可，所以虚电路并非真正的物理链路，只是在现有网络的基础上添加的一系列转发规则，就好像在源和目的间存在一条专线一样；相比之下专线则需要综合布线施工，建立和拆除难度较大。

工作原理

帧中继能够在单一物理传输线路上提供多条虚电路，每条虚电路采用数据链路连接标识符DLCI来进行标识。

DLCI只在本地接口和与之直接相连的对端DCE接口有效，不具有全局有效性，实现的是一种逻辑的点到点连接
帧中继的工作范围

在DTE设备和帧中继交换机之间
特点

价格昂贵、传输带宽低、响应速度慢、配置复杂、部署难度大、排错困难；只支持单播流量通行。

帧中继帧格式

帧中继的帧和以太网帧一样，也工作在数据链路层，帧的格式如下图：

Cisco-CCNA-Framerelay-4

帧中继帧的各字段解释如下：

Flag标志：标志帧的开始和结束
地址：地址字段2个字节中包含了DLCI号（帧中继的帧中只有一个DLCI号，即去往的目的地的DLCI号，2个字节中的10个比特用来储存这个DLCI号）；拥塞控制（Congestion Control）占3比特，其中包括1比特的FECN位，1比特的BECN位和1比特的DE位；除此之外地址域中还包含3个比特的其他值。
数据：是一个可变长的字段，包含了封装的上层协议数据。
帧效验序列：用来保证传输数据的完整性

帧转发方式

Cisco-CCNA-Framerelay-3

在图三中，假设R1要将数据发往R3，R1封装DLCI号103（至于为什么R1知道发往R3要封装103这个在下面的帧中继寻址方式中会详细的介绍），将封装好的帧发往帧中继交换机FR1。根据FR1上管理员的配置，FR1知道如果从接口1接收到DLCI号为103的帧，应该将DLCI号修改成112并从接口3发出。此时帧到达FR3，FR3也根据配置得知，从自己的1接口接收到的DLCI号为112的帧，应该将DLCI号修改成301，并从3号接口发出。此时R3接收到FR3发过来的帧中继帧，解封装后交给上层处理。
从上面的工作方式中可以看出，只要R1封装DLCI号103的帧，就能将数据发往R3，帧中继网云使用DLCI号103和DLCI号301在R1和R3之间建立了一条永久虚电路（PVC），同理R1到R4可以封装104，R4到R1可以封装401。

帧中继交换表

在图三的帧中继网络中，FR1-3三台帧中继交换机上都维护着一个帧中继交换表，下面是FR1的帧中继交换表的样式：

Cisco-CCNA-Framerelay-5

帧中继术语

VC（Virtual Circuit，虚电路）帧中继网络中两台DTE设备之间的连接称为虚电路，现在常用的虚电路为PVC（Permanent Virtual Circuit，永久虚电路），PVC由运营商预先配置。

帧中继是一种面向连接的技术，在通信之前必须建立连接，DTE之间建立的连接称为虚电路。帧中继虚电路有两种类型：PVC和SVC。

永久虚电路PVC：是指给用户提供的固定的虚电路，该虚电路一旦建立，则永久生效，除非管理员手动删除。

PVC一般用于两端之间频繁的、流量稳定的数据传输。目前在帧中继中使用最多的方式是永久虚电路方式

交换虚电路SVC：是指通过协议自动分配的虚电路。在通信结束后，该虚电路会被自动取消

由于帧中继收敛速度慢，链路初始建立时间较长，因此使用的很少。

2）DLCI（Data Link Connection Identifier，数据链路连接标识符）

Cisco-CCNA-Framerelay-2

DLCI是源设备和目的设备之间标识逻辑电路的一个数据值，该数据值只具有本地意义。在图二中，R1上的DLCI号103标识的是R1到R3的连接，R1上的DLCI号104标识的是R1到R4的连接。不同DTE设备上的DLCI号可以相同，但在同一台DTE设备上不能用相同的DLCI号来标识到不同的连接。
DLCI号的范围是0-1023，其中0-15以及1008-1023被保留用作特殊用途，所以用户可以配置的DLCI号为16-1007。

3）LMI（Local Management Interface，本地管理接口）

LMI是用户端和帧中继交换机之间的信令标准，负责管理设备之间的连接，维护设备的状态。LMI被用来获知路由器被分配了哪些DLCI，确定PVC的操作状态，有哪些可用的PVC，另外还用来发送维持分组，确保PVC处于激活状态。
LMI的类型有三种：ANSI、Cisco、Q933A，DTE端的LMI配置要和帧中继上的一致，否则LMI不能正常工作，进而导致PVC失败。思科路由上默认的LMI类型为Cisco。

拥塞控制功能

帧中继网络没有采用流量控制机制，只有拥塞控制功能。采用显式信令控制时，如果LAP-D帧中的FECN比特置1，则表示（）。

FECN（Forward Explicit Congestion Notification，前向显式拥塞通知）：当一台帧中继交换机意识到网络上发生拥塞的时候，会向目的设备发送FECN分组，此时FECN比特置为1，告知网络上发生了拥塞。

BECN（Backward Explicit Congestion Notification，后向显式拥塞通知）：当一台帧中继交换机意识到网络上发生拥塞的时候，会向源路由器发送BECN分组，此时BECN比特置为 1，指示路由器降低分组的发送速率。如果路由器在当前的时间间隔内接收到任何BECN，它会按照25%的比例降低分组的发送速率。所以A是正确的。

设备

交换机

交换机有多个网络端口，它通过识别数据帧的目标 MAC 地址，根据 MAC 地址表决定从哪个端口发送数据。MAC 地址表不需要在交换机上手工设置，而是可以自动生成的。

交换机是如何添加、更新、删除 MAC 地址表条目的？

在初始状态下，交换机的 MAC 地址表是空的，不包含任何条目。当交换机的某个端口接收到一个数据帧时，它就会将这个数据帧的源 MAC 地址、接收数据帧的端口号作为一个条目保存在自己的 MAC 地址表中，同时在接收到这个数据帧时重置这个条目的老化计时器时间。这就是交换机自动添加 MAC 地址表条目的方式。

在新增这一条 MAC 地址条目后，如果交换机再次从同一个端口收到相同 MAC 地址为源 MAC 地址的数据帧时，交换机就会更新这个条目的老化计时器，确保活跃的的条目不会老化。但是如果在老化时间内都没收到匹配这个条目的数据帧，交换机就会将这个老化的条目从自己的 MAC 地址表中删除。

还可以手动在交换机的 MAC 地址表中添加静态条目。静态添加的 MAC 地址条目优先动态学习的条目进行转发，而且静态条目没有老化时间，会一直保存在交换机的 MAC 地址表中。

如何使用 MAC 地址表条目进行转发？

当交换机的某个端口收到一个单播数据帧时，它会查看这个数据帧的二层头部信息，并进行两个操作。一个操作是根据源 MAC 地址和端口信息添加或更新 MAC 地址表。另一个操作是查看数据帧的目的 MAC 地址，并根据数据帧的目的 MAC 地址查找自己的 MAC 地址表。在查找 MAC 地址表后，交换机会根据查找结果对数据帧进行处理，这里有 3 中情况

交换机没有在 MAC 地址表中找到这个数据帧的目的 MAC 地址，因此交换机不知道自己的端口是否有连接这个 MAC 地址的设备。于是，交换机将这个数据帧从除了接收端口之外的所有端口泛洪出去。
交换机的 MAC 地址表中有这个数据帧的目的 MAC 地址，且对应端口不是接收到这个数据帧的端口，交换机知道目的设备连接在哪个端口上，因此交换机会根据 MAC 地址表中的条目将数据帧从对应端口单播转发出去，而其它与交换机相连的设备则不会收到这个数据帧。
交换机的 MAC 地址表中有这个数据帧的目的 MAC 地址，且对应端口就是接收到这个数据帧的端口。这种情况下，交换机会认为数据帧的目的地址就在这个端口所连接的范围内，因此目的设备应该已经收到数据帧。这个数据帧与其它端口的设备无关，不会将数据帧从其它端口转发出去。于是，交换机会丢弃数据帧。

网络层

基本数据单位为IP数据报；
iP协议（Internet Protocol，因特网互联协议）提供不可靠、无连接的传送服务。
IP协议的主要功能有：无连接数据报传输、数据报路由选择和差错控制。

IP协议的转发流程

网络地址转换NAT技术

用于多个主机通过一个公有IP访问访问互联网的私有网络中，减缓了IP地址的消耗，但是增加了网络通信的复杂度。
NAT工作原理：从内网出去的IP数据报，将其IP地址替换为NAT服务器拥有的合法的公共IP地址，并将替换关系记录到NAT转换表中；
从公共互联网返回的IP数据报，依据其目的的IP地址检索NAT转换表，并利用检索到的内部私有IP地址替换目的IP地址，然后将IP数据报转发到内部网络。

ARP协议与RARP协议

地址解析协议 ARP（Address Resolution Protocol）：为网卡（网络适配器）的IP地址到对应的硬件地址提供动态映射。可以把网络层32位地址映射为数据链路层MAC48位地址。ARP协议建立了主机IP地址和MAC地址的映射关系。
ARP 是即插即用的，一个ARP表是自动建立的，不需要系统管理员来配置。

RARP(Reverse Address Resolution Protocol)协议指逆地址解析协议，可以把数据链路层MAC48位地址转化为网络层32位地址。

IGMP

因特网组管理协议

组播：在同一网络可达范围内，一个网络设备与关心其数据的部分设备进行通信就是组播。通过IGMP协议去申请加入或者离开这个组

ICMP协议

ICMP（Internet Control Message Protocol）封装在IP数据报中传输，是一种面向无连接的协议，是TCP/IP协议簇中的一个重要子协议，传送有关网络层通信问题的信息。ICMP常见应用有：

报告访问失效（报告源主机网络不可达）；
报告网络拥塞（发送源抑制报文给源主机，降低发送速率）；
帮助排错（利用ICMP回声功能，ping工具）；
声明报文超时（TraceRoute工具，利用较小的TTL值发现中间设备）。

ICMP报文封装在IP数据报当中。

ICMP协议的应用

Ping应用：网络故障的排查；

Traceroute应用： Tracert程序主要用于查看数据包从源端到目的端的路径信息，从而检查网络连接是否可用。当网络出现故障时，用户可以使用该命令定位故障点。

tracert是利用ICMP和TTL进行工作的。首先，tracert会发出TTL为1的ICMP数据包(包含40字节数据，包括源地址、目标地址和发出的时间标签)。当到达路径上的第一个路由器时，路由器会将TTL减1，此时TTL为0，该路由器会将此数据包丢弃，并返回一个超时回应数据包(包括数据包的源地址、内容和路由器的IP地址)。当tracert收到该数据包时，它便获得了这个路径上的第一个路由器。接着tracert在发送另一个TTL为2的数据包，第一个路由器会将此数据包转发给第二个路由器，而第二个路由器收到数据包时，TTL为0。第二个路由器便会返回一个超时回应数据包，从而tracert便发现了第二个路由器。tIacert每次发出数据包时便将TTL加1，来发现下一个路由器。这个动作一直重复，直到到达目的地或者确定目标主机不可到达为止。当数据包到达目的地后，目标主机并不会返回超时回应数据包。tracert在发送数据包时，会选择一个一般应用程序不会使用的号码(3000以上)来作为接收端口号，所以当到达目的地后，目标主机会返回一个IcMP port un-reachable(端口不可到达)的消息。当tracert收到这个消息后，就知道目的地已经到达了。

设备

路由器

传输层

负责向两台主机进程之间的通信提供通用的数据传输服务
提供端到端的、可靠的TCP协议（Transmission Control Protocol，传输控制协议）或不可靠的UDP协议（User Datagram Protocol，用户数据报协议）传输以及端到端的差错控制和流量控制
数据单元称为段或报文

TCP

TCP(Transmission Control Protocol: 传输控制协议)，是计算机网络中非常复杂的一个协议。

TCP协议的特点

TCP是面向连接的协议；

TCP是面向字节流的协议；

TCP的一个连接有两端，即点对点通信；

TCP提供可靠的传输服务；

TCP协议提供全双工通信（每条TCP连接只能一对一）。

TCP协议的功能

对应用层报文进行分段和重组；

面向应用层实现复用与分解；

实现端到端的流量控制；

拥塞控制；

传输层寻址；

对收到的报文进行差错检测（首部和数据部分都检错）；

实现进程间的端到端可靠数据传输控制。

可靠传输

基本原理：

不可靠传输信道在数据传输中可能发生的情况：比特差错、乱序、重传、丢失；

基于不可靠信道实现可靠数据传输采取的措施。

差错检测：利用编码实现数据包传输过程中的比特差错检测。
确认：接收方向发送方反馈接收状态。
重传：发送方重新发送接收方没有正确接收的数据。
序号：确保数据按序提交。
计时器：解决数据丢失问题。
停止等待协议：是最简单的可靠传输协议，但是该协议对信道的利用率不高。
连续ARQ(Automatic Repeat reQuest：自动重传请求)协议：滑动窗口+累计确认，大幅提高了信道的利用率。

TCP协议的可靠传输：

基于连续ARQ协议，在某些情况下，重传的效率并不高，会重复传输部分已经成功接收的字节。

流量控制

流量控制：让发送方发送速率不要太快，TCP协议使用滑动窗口实现流量控制。

拥塞控制

拥塞控制与流量控制的区别：流量控制考虑点对点的通信量的控制，而拥塞控制考虑整个网络，是全局性的考虑。拥塞控制的方法：慢启动算法+拥塞避免算法。

慢开始和拥塞避免：

【慢开始】拥塞窗口从1指数增长；

到达阈值时进入【拥塞避免】，变成+1增长；

【超时】，阈值变为当前cwnd的一半（不能<2）；

再从【慢开始】，拥塞窗口从1指数增长。

快重传和快恢复：

发送方连续收到3个冗余ACK，执行【快重传】，不必等计时器超时；

执行【快恢复】，阈值变为当前cwnd的一半（不能<2），并从此新的ssthresh点进入【拥塞避免】。

通信流程

名词解释

SYN 同步序列号，TCP建立连接时将这个位置1。SYN这个标志位只有在TCP建立连接时才会被置1 ,握手完成后SYN标志位被置0
ACK 是TCP报头的控制位之一，对数据进行确认。确认由目的端发出，用它来告诉发送端这个序列号之前的数据段都收到了。比如确认号为X，则表示前X-1个数据段都收到了，只有当ACK=1时,确认号才有效，当ACK=0时，确认号无效，这时会要求重传数据，保证数据的完整性。
FIN 发送端完成发送任务位，当TCP完成数据传输需要断开时,提出断开连接的一方将这位置1。
rst：在建立tcp连接过程中，出现错误连接时，rst标志字段置1

三次握手

在这里插入图片描述

第一次握手：客户向服务器发送连接请求段，建立连接请求控制段（SYN=1），seq=x表示传输的报文段的第一个数据字节的序列号是x，此序列号代表整个报文段的序号；客户端进入 SYN_SEND （同步发送状态）

第二次握手：服务器发回确认报文段，同意建立新连接的确认段（SYN=1），确认序号字段有效（ACK=1），服务器告诉客户端报文段序号是y（seq=y），表示服务器已经收到客户端序号为x的报文段，准备接受客户端序列号为x+1的报文段（ack=x+1）；服务器由LISTEN进入SYN_RCVD （同步收到状态）;

第三次握手：客户对服务器的连接进行确认。确认序号字段有效(ACK=1),客户此次的报文段的序列号是x+1(seq=x+1),客户期望接受服务器序列号为y+1的报文段(ack_seq=y+1);当客户发送ack时，客户端进入ESTABLISHED 状态;当服务收到客户发送的ack后，也进入ESTABLISHED状态;第三次握手可携带数据。

第一次握手：标志位SYN = 1，随机生成一个客户端序列号seq1 = x
第二次握手：标志位SYN ,ACK = 1，确认客户端序列号ack = x + 1，随机生成一个服务端序列号seq2=y
第三次握手：标志位ACK = 1, 确认服务端序列号ack = y + 1，客户端序列号seq2= x + 1

3次握手的特点
没有应用层的数据 ,SYN这个标志位只有在TCP建立连接时才会被置1 ,握手完成后SYN标志位被置0。

4次挥手

第一次：客户向服务器发送释放连接报文段，发送端数据发送完毕，请求释放连接（FIN=1），传输的第一个数据字节的序号是x（seq=x）；客户端状态由ESTABLISHED进入FIN_WAIT_1（终止等待1状态）；

第二次：服务器向客户发送确认段，确认字号段有效（ACK=1），服务器传输的数据序号是y（seq=y），服务器期望接收客户数据序号为x+1（ack_seq=x+1）;服务器状态由ESTABLISHED进入CLOSE_WAIT（关闭等待）；客户端收到ACK段后，由FIN_WAIT_1进入FIN_WAIT_2；

第三次：服务器向客户发送释放连接报文段，请求释放连接（FIN=1），确认字号段有效（ACK=1），表示服务器期望接收客户数据序号为x+1（ack_seq=x+1）;表示自己传输的第一个字节序号是y+1（seq=y+1）；服务器状态由CLOSE_WAIT 进入 LAST_ACK （最后确认状态）；

第四次：客户向服务器发送确认段，确认字号段有效（ACK=1），表示客户传输的数据序号是x+1（seq=x+1），表示客户期望接收服务器数据序号为y+1+1（ack_seq=y+1+1）；客户端状态由FIN_WAIT_2进入TIME_WAIT，等待2MSL时间，进入CLOSED状态；服务器在收到最后一次ACK后，由LAST_ACK进入CLOSED。

由TCP的三次握手和四次断开可以看出，TCP使用面向连接的通信方式，大大提高了数据通信的可靠性，使发送数据端和接收端在数据正式传输前就有了交互，为数据正式传输打下了可靠的基础。

UDP

UDP(User Datagram Protocol: 用户数据报协议)

UDP协议的特点：

UDP是无连接协议；
UDP不能保证可靠的交付数据；
UDP是面向报文传输的；
UDP没有拥塞控制；
UDP首部开销很小。

区别

TCP是面向连接的、可靠的、基于字节流的传输层协议；UDP是一个面向无连接的传输层协议，即发送数据前不需要先建立链接。
可靠性：TCP是基于连接的，无差错，不丢失，不重复，且按序到达，可靠性高（TCP的可靠体现在TCP在传递数据之前，会有三次握手来建立连接，而且在数据传递时，有确认、窗口、重传、拥塞控制机制，在数据传完后，还会断开连接用来节约系统资源）；UDP是基于无连接的，尽最大努力交付，即不保证可靠交付，可靠性较低；
安全性：由于TCP是连接的通信，需要有三次握手、重新确认等连接过程，会有延时，实时性差，由于协议所致，安全性较高；而UDP无连接，无建立连接的过程，因而实时性较强，安全略差；如果对实时性要求高和高速传输的场景下需要使用UDP；如果需要传输大量数据且对数据可靠性要求高的场景使用TCP；
开销方面：在传输相同大小的数据时，TCP首部开销20字节；UDP首部开销只有8个字节，TCP报头比UDP复杂，故实际包含的用户数据较少。TCP无丢包，而UDP有丢包，故TCP开销大，UDP开销较小；
连接数：每条tcp连接只能是点到点的；udp支持一对一、一对多、多对一、多对多的交互通信。

应用层

应用层：直接面向用户和应用程序，提供文件下载、电子邮件等方面的服务。
表示层：提供数据格式翻译、数据加密与解密、数据压缩与解压缩的服务。
会话层：提供增强会话服务。

应用层(application-layer）的任务是通过应用进程间的交互来完成特定网络应用。应用层协议定义的是应用进程（进程：主机中正在运行的程序）间的通信和交互的规则。

数据传输基本单位为报文

应用层包括:

超文本传输协议（HTTP）:万维网的基本协议；
文件传输（TFTP简单文件传输协议）；
远程登录（Telnet），提供远程访问其它主机功能, 它允许用户登录internet主机，并在这台主机上执行命令；
网络管理（SMTP简单网络管理协议），该协议提供了监控网络设备的方法，以及配置管理,统计信息收集,性能管理及安全管理等；

HTTP

HTTP协议是Hyper Text Transfer Protocol（超文本传输协议）的缩写,是用于从万维网（WWW:World Wide Web ）服务器传输超文本到本地浏览器的传送协议。。
HTTP是一个基于TCP/IP通信协议来传递数据（HTML 文件, 图片文件, 查询结果等）。

HTTP三点注意事项：

HTTP是无连接：无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间。
HTTP是媒体独立的：这意味着，只要客户端和服务器知道如何处理的数据内容，任何类型的数据都可以通过HTTP发送。客户端以及服务器指定使用适合的MIME-type内容类型。
HTTP是无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。另一方面，在服务器不需要先前信息时它的应答就较快。无状态协议，即：服务器不需要知道客户端是谁,只认请求（一次请求request,一次相应response）

HTTP请求响应报文

HTTP 请求报文由3部分组成(请求行+请求头+请求体)

响应报文与请求报文一样,由三个部分组成(响应行,响应头,响应体)

状态码

1XX：信息状态码
- 100 Continue 继续，一般在发送post请求时，已发送了http header之后服务端将返回此信息，表示确认，之后发送具体参数信息

2XX：成功状态码

200	OK	请求成功。一般用于GET与POST请求
201	Created	已创建。成功请求并创建了新的资源
202	Accepted	已接受。已经接受请求，但未处理完成
203	Non-Authoritative Information	非授权信息。请求成功。但返回的meta信息不在原始的服务器，而是一个副本
204	No Content	无内容。服务器成功处理，但未返回内容。在未更新网页的情况下，可确保浏览器继续显示当前文档
205	Reset Content	重置内容。服务器处理成功，用户终端（例如：浏览器）应重置文档视图。可通过此返回码清除浏览器的表单域
206	Partial Content	部分内容。服务器成功处理了部分GET请求

3XX：重定向

300	Multiple Choices	多种选择。请求的资源可包括多个位置，相应可返回一个资源特征与地址的列表用于用户终端（例如：浏览器）选择
301	Moved Permanently	永久移动。请求的资源已被永久的移动到新URI，返回信息会包括新的URI，浏览器会自动定向到新URI。今后任何新的请求都应使用新的URI代替
302	Found	临时移动。与301类似。但资源只是临时被移动。客户端应继续使用原有URI
303	See Other	查看其它地址。与301类似。使用GET和POST请求查看
304	Not Modified	未修改。所请求的资源未修改，服务器返回此状态码时，不会返回任何资源。客户端通常会缓存访问过的资源，通过提供一个头信息指出客户端希望只返回在指定日期之后修改的资源
305	Use Proxy	使用代理。所请求的资源必须通过代理访问
306	Unused	已经被废弃的HTTP状态码
307	Temporary Redirect	临时重定向。与302类似。使用GET请求重定向

4XX：客户端错误

400	Bad Request	客户端请求的语法错误，服务器无法理解
401	Unauthorized	请求要求用户的身份认证
402	Payment Required	保留，将来使用
403	Forbidden	服务器理解请求客户端的请求，但是拒绝执行此请求
404	Not Found	服务器无法根据客户端的请求找到资源（网页）。通过此代码，网站设计人员可设置”您所请求的资源无法找到”的个性页面

5XX:服务器错误

500	Internal Server Error	服务器内部错误，无法完成请求
501	Not Implemented	服务器不支持请求的功能，无法完成请求
502	Bad Gateway	作为网关或者代理工作的服务器尝试执行请求时，从远程服务器接收到了一个无效的响应
503	Service Unavailable	由于超载或系统维护，服务器暂时的无法处理客户端的请求。延时的长度可包含在服务器的Retry-After头信息中。服务器的问题，找网管
504	Gateway Time-out	充当网关或代理的服务器，未及时从远端服务器获取请求
505	HTTP Version not supported	服务器不支持请求的HTTP协议的版本，无法完成处理

请求头和响应头

HTTP消息头

HTTP消息头是指，在超文本传输协议（ Hypertext Transfer Protocol ，HTTP）的请求和响应消息中，协议头部分的那些组件。HTTP消息头用来准确描述正在获取的资源、服务器或者客户端的行为，定义了HTTP事务中的具体操作参数。

Query Params：常用是get方式请求，query是指请求行中请求的参数，一般是指URL中？后面的参数

Body Params：常用是post方式请求，body是指请求体中的数据

请求头

HTTP协议使用TCP协议进行传输，在应用层协议发起交互之前，首先是TCP的三次握手。完成了TCP三次握手后，客户端会向服务器发出一个请求报文

keep-alive
由于TCP的可靠性，每条独立的TCP连接都会进行一次三次握手，从上面的Network的分析中可以得到握手往往会消耗大部分时间，真正的数据传输反而会少一些(当然取决于内容多少)。HTTP1.0和HTTP1.1为了解决这个问题在header中加入了Connection: Keep-Alive，keep-alive的连接会保持一段时间不断开，后续的请求都会复用这一条TCP，不过由于管道化的原因也会发生队头阻塞的问题。HTTP1.1默认开启Keep-Alive，HTTP1.0可能现在不多见了，如果你还在用，可以升级一下版本，或者带上这个header。connection keep-alive

协议头	说明	示例	状态
Accept	可接受的响应内容类型（`Content-Types`）。	`Accept: text/plain`	固定
Accept-Charset	可接受的字符集	`Accept-Charset: utf-8`	固定
Accept-Encoding	可接受的响应内容的编码方式。	`Accept-Encoding: gzip, deflate`	固定
Accept-Language	可接受的响应内容语言列表。	`Accept-Language: en-US`	固定
Accept-Datetime	可接受的按照时间来表示的响应内容版本	Accept-Datetime: Sat, 26 Dec 2015 17:30:00 GMT	临时
Authorization	用于表示HTTP协议中需要认证资源的认证信息	Authorization: Basic OSdjJGRpbjpvcGVuIANlc2SdDE==	固定
Cache-Control	用来指定当前的请求/回复中的，是否使用缓存机制。	`Cache-Control: no-cache` max-age：缓存无法返回缓存时间长于max-age规定秒的文档	固定
Connection	客户端（浏览器）想要优先使用的连接类型	Connection: keep-alive``Connection: Upgrade	固定
Cookie	由之前服务器通过`Set-Cookie`（见下文）设置的一个HTTP协议Cookie	`Cookie: $Version=1; Skin=new;`	固定：标准
Content-Length	以8进制表示的请求体的长度	`Content-Length: 348`	固定
Content-MD5	请求体的内容的二进制 MD5 散列值（数字签名），以 Base64 编码的结果	Content-MD5: oD8dH2sgSW50ZWdyaIEd9D==	废弃
Content-Type	请求体的MIME类型（用于POST和PUT请求中）	Content-Type: application/x-www-form-urlencoded	固定
Date	发送该消息的日期和时间（以RFC 7231中定义的”HTTP日期”格式来发送）	Date: Dec, 26 Dec 2015 17:30:00 GMT	固定
Expect	表示客户端要求服务器做出特定的行为	`Expect: 100-continue`	固定
From	发起此请求的用户的邮件地址	`From: user@itbilu.com`	固定
Host	表示服务器的域名以及服务器所监听的端口号。如果所请求的端口是对应的服务的标准端口（80），则端口号可以省略。	Host: www.itbilu.com:80``Host: www.itbilu.com	固定
If-Match	仅当客户端提供的实体与服务器上对应的实体相匹配时，才进行对应的操作。主要用于像 PUT 这样的方法中，仅当从用户上次更新某个资源后，该资源未被修改的情况下，才更新该资源。	If-Match: “9jd00cdj34pss9ejqiw39d82f20d0ikd”	固定
If-Modified-Since	把浏览器端缓存页面的最后修改时间发送到服务器去，服务器会把这个时间与服务器上实际文件的最后修改时间进行对比。如果时间一致，那么返回304，客户端就直接使用本地缓存文件。如果时间不一致，就会返回200和新的文件内容。客户端接到之后，会丢弃旧文件，把新文件缓存起来，并显示在浏览器中.	If-Modified-Since: Dec, 26 Dec 2015 17:30:00 GMT	固定
If-None-Match	If-None-Match和ETag一起工作，工作原理是在HTTP Response中添加ETag信息。当用户再次请求该资源时，将在HTTP Request 中加入If-None-Match信息(ETag的值)。如果服务器验证资源的ETag没有改变（该资源没有更新），将返回一个304状态告诉客户端使用本地缓存文件。否则将返回200状态和新的资源和Etag. 使用这样的机制将提高网站的性能	If-None-Match: “9jd00cdj34pss9ejqiw39d82f20d0ikd”	固定
If-Range	如果该实体未被修改过，则向返回所缺少的那一个或多个部分。否则，返回整个新的实体	If-Range: “9jd00cdj34pss9ejqiw39d82f20d0ikd”	固定
If-Unmodified-Since	仅当该实体自某个特定时间以来未被修改的情况下，才发送回应。	If-Unmodified-Since: Dec, 26 Dec 2015 17:30:00 GMT	固定
Max-Forwards	限制该消息可被代理及网关转发的次数。	`Max-Forwards: 10`	固定
Origin	发起一个针对跨域资源共享的请求（该请求要求服务器在响应中加入一个`Access-Control-Allow-Origin`的消息头，表示访问控制所允许的来源）。	`Origin: http://www.itbilu.com`	固定: 标准
Pragma	与具体的实现相关，这些字段可能在请求/回应链中的任何时候产生。	`Pragma: no-cache`	固定
Proxy-Authorization	用于向代理进行认证的认证信息。	Proxy-Authorization: Basic IOoDZRgDOi0vcGVuIHNlNidJi2==	固定
Range	表示请求某个实体的一部分，字节偏移以0开始。	`Range: bytes=500-999`	固定
Referer	表示浏览器所访问的前一个页面，可以认为是之前访问页面的链接将浏览器带到了当前页面。`Referer`其实是`Referrer`这个单词，但RFC制作标准时给拼错了，后来也就将错就错使用`Referer`了。	Referer: http://itbilu.com/nodejs	固定
TE	浏览器预期接受的传输时的编码方式：可使用回应协议头`Transfer-Encoding`中的值（还可以使用”trailers”表示数据传输时的分块方式）用来表示浏览器希望在最后一个大小为0的块之后还接收到一些额外的字段。	`TE: trailers,deflate`	固定
User-Agent	浏览器的身份标识字符串	`User-Agent: Mozilla/……`	固定
Upgrade	要求服务器升级到一个高版本协议。	Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11	固定
Via	告诉服务器，这个请求是由哪些代理发出的。	Via: 1.0 fred, 1.1 itbilu.com.com (Apache/1.1)	固定
Warning	一个一般性的警告，表示在实体内容体中可能存在错误。	Warning: 199 Miscellaneous warning	固定

响应头

响应报文：当收到get或post等方法发来的请求后，服务器就要对报文进行响应。

响应头	说明	示例	状态
Access-Control-Allow-Origin	指定哪些网站可以`跨域源资源共享`	`Access-Control-Allow-Origin: *`	临时
Accept-Patch	指定服务器所支持的文档补丁格式	Accept-Patch: text/example;charset=utf-8	固定
Accept-Ranges	服务器所支持的内容范围	`Accept-Ranges: bytes`	固定
Age	响应对象在代理缓存中存在的时间，以秒为单位	`Age: 12`	固定
Allow	对于特定资源的有效动作;	`Allow: GET, HEAD`	固定
Cache-Control	通知从服务器到客户端内的所有缓存机制，表示它们是否可以缓存这个对象及缓存有效时间。其单位为秒	`Cache-Control: max-age=3600`	固定
Connection	针对该连接所预期的选项	`Connection: close`	固定
Content-Disposition	对已知MIME类型资源的描述，浏览器可以根据这个响应头决定是对返回资源的动作，如：将其下载或是打开。	Content-Disposition: attachment; filename=”fname.ext”	固定
Content-Encoding	响应资源所使用的编码类型。	`Content-Encoding: gzip`	固定
Content-Language	响就内容所使用的语言	`Content-Language: zh-cn`	固定
Content-Length	响应消息体的长度，用8进制字节表示	`Content-Length: 348`	固定
Content-Location	所返回的数据的一个候选位置	`Content-Location: /index.htm`	固定
Content-MD5	响应内容的二进制 MD5 散列值，以 Base64 方式编码	Content-MD5: IDK0iSsgSW50ZWd0DiJUi==	已淘汰
Content-Range	如果是响应部分消息，表示属于完整消息的哪个部分	Content-Range: bytes 21010-47021/47022	固定
Content-Type	当前内容的`MIME`类型	Content-Type: text/html; charset=utf-8	固定
Date	此条消息被发送时的日期和时间(以RFC 7231中定义的”HTTP日期”格式来表示)	Date: Tue, 15 Nov 1994 08:12:31 GMT	固定
ETag	对于某个资源的某个特定版本的一个标识符，通常是一个消息散列	ETag: “737060cd8c284d8af7ad3082f209582d”	固定
Expires	指定一个日期/时间，超过该时间则认为此回应已经过期	Expires: Thu, 01 Dec 1994 16:00:00 GMT	固定: 标准
Last-Modified	所请求的对象的最后修改日期(按照 RFC 7231 中定义的“超文本传输协议日期”格式来表示)	Last-Modified: Dec, 26 Dec 2015 17:30:00 GMT	固定
Link	用来表示与另一个资源之间的类型关系，此类型关系是在RFC 5988中定义	`Link:` ; rel=”alternate”	固定
Location	用于在进行重定向，或在创建了某个新资源时使用。	Location: http://www.itbilu.com/nodejs	固定
P3P	P3P策略相关设置	P3P: CP=”This is not a P3P policy!	固定
Pragma	与具体的实现相关，这些响应头可能在请求/回应链中的不同时候产生不同的效果	`Pragma: no-cache`	固定
Proxy-Authenticate	要求在访问代理时提供身份认证信息。	`Proxy-Authenticate: Basic`	固定
Public-Key-Pins	用于防止中间攻击，声明网站认证中传输层安全协议的证书散列值	Public-Key-Pins: max-age=2592000; pin-sha256=”……”;	固定
Refresh	用于重定向，或者当一个新的资源被创建时。默认会在5秒后刷新重定向。	Refresh: 5; url=http://itbilu.com
Retry-After	如果某个实体临时不可用，那么此协议头用于告知客户端稍后重试。其值可以是一个特定的时间段(以秒为单位)或一个超文本传输协议日期。	示例1:Retry-After: 120示例2: Retry-After: Dec, 26 Dec 2015 17:30:00 GMT	固定
Server	服务器的名称	`Server: nginx/1.6.3`	固定
Set-Cookie	设置`HTTP cookie`	Set-Cookie: UserID=itbilu; Max-Age=3600; Version=1	固定标准
Status	通用网关接口的响应头字段，用来说明当前HTTP连接的响应状态。	`Status: 200 OK`
Trailer	`Trailer`用户说明传输中分块编码的编码信息	`Trailer: Max-Forwards`	固定
Transfer-Encoding	用表示实体传输给用户的编码形式。包括：`chunked`、`compress`、 `deflate`、`gzip`、`identity`。	Transfer-Encoding: chunked	固定
Upgrade	要求客户端升级到另一个高版本协议。	Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11	固定
Vary	告知下游的代理服务器，应当如何对以后的请求协议头进行匹配，以决定是否可使用已缓存的响应内容而不是重新从原服务器请求新的内容。	`Vary: *`	固定
Via	告知代理服务器的客户端，当前响应是通过什么途径发送的。	Via: 1.0 fred, 1.1 itbilu.com (nginx/1.6.3)	固定
Warning	一般性警告，告知在实体内容体中可能存在错误。	Warning: 199 Miscellaneous warning	固定
WWW-Authenticate	表示在请求获取这个实体时应当使用的认证模式。	`WWW-Authenticate: Basic`	固定

HTTP2

多路复用

HTTP1.1 如果要同时发起多个请求，就得建立多个 TCP 连接，因为一个 TCP 连接同时只能处理一个 HTTP1.1 的请求。

在 HTTP2 上，多个请求可以共用一个 TCP 连接，这称为多路复用。同一个请求和响应用一个流来表示，并有唯一的流 ID 来标识。多个请求和响应在 TCP 连接中可以乱序发送，到达目的地后再通过流 ID 重新组建。多路复用通过更小的二进制帧构成多条数据流，交错的请求和响应可以并行传输而不被阻塞，这样就解决了HTTP1.1时复用会产生的队头阻塞的问题

队头堵塞：

队头阻塞是由 HTTP 基本的“请求 - 应答”模型所导致的。HTTP 规定报文必须是“一发一收”，这就形成了一个先进先出的“串行”队列。队列里的请求是没有优先级的，只有入队的先后顺序，排在最前面的请求会被最优先处理。如果队首的请求因为处理的太慢耽误了时间，那么队列里后面的所有请求也不得不跟着一起等待，结果就是其他的请求承担了不应有的时间成本，造成了队头堵塞的现象。

首部压缩

HTTP2有首部压缩的功能，如果两个请求首部(headers)相同，那么会省去这一部分，只传输不同的首部字段，进一步减少请求的体积。

// 请求1
:authority: unpkg.zhimg.com
:method: GET
:path: /za-js-sdk@2.16.0/dist/zap.js
:scheme: https
accept: */*
accept-encoding: gzip, deflate, br
accept-language: zh-CN,zh;q=0.9
cache-control: no-cache
pragma: no-cache
referer: https://www.zhihu.com/
sec-fetch-dest: script
sec-fetch-mode: no-cors
sec-fetch-site: cross-site
user-agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.122 Safari/537.36

// 请求2
:authority: zz.bdstatic.com
:method: GET
:path: /linksubmit/push.js
:scheme: https
accept: */*
accept-encoding: gzip, deflate, br
accept-language: zh-CN,zh;q=0.9
cache-control: no-cache
pragma: no-cache
referer: https://www.zhihu.com/
sec-fetch-dest: script
sec-fetch-mode: no-cors
sec-fetch-site: cross-site
user-agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.122 Safari/537.36

从上面两个请求可以看出来，有很多数据都是重复的。如果可以把相同的首部存储起来，仅发送它们之间不同的部分，就可以节省不少的流量，加快请求的时间。

HTTP/2 在客户端和服务器端使用“首部表”来跟踪和存储之前发送的键－值对，对于相同的数据，不再通过每次请求和响应发送。

下面再来看一个简化的例子，假设客户端按顺序发送如下请求首部：

1
2
3

Header1:foo
Header2:bar
Header3:bat

当客户端发送请求时，它会根据首部值创建一张表：

如果服务器收到了请求，它会照样创建一张表。当客户端发送下一个请求的时候，如果首部相同，它可以直接发送这样的首部块：

62 63 64

服务器会查找先前建立的表格，并把这些数字还原成索引对应的完整首部。

优先级

HTTP2 可以对比较紧急的请求设置一个较高的优先级，服务器在收到这样的请求后，可以优先处理。

流量控制

由于一个 TCP 连接流量带宽（根据客户端到服务器的网络带宽而定）是固定的，当有多个请求并发时，一个请求占的流量多，另一个请求占的流量就会少。流量控制可以对不同的流的流量进行精确控制。

服务器推送

HTTP2 新增的一个强大的新功能，就是服务器可以对一个客户端请求发送多个响应。换句话说，除了对最初请求的响应外，服务器还可以额外向客户端推送资源，而无需客户端明确地请求。

例如当浏览器请求一个网站时，除了返回 HTML 页面外，服务器还可以根据 HTML 页面中的资源的 URL，来提前推送资源。

HTTPS协议

超文本传输安全协议（Hypertext Transfer Protocol Secure，简称：HTTPS）是一种通过计算机网络进行安全通信的传输协议。HTTPS经由HTTP进行通信，利用SSL/TLS来加密数据包。HTTPS的主要目的是提供对网站服务器的身份认证，保护交换数据的隐私与完整性。

HTTP协议采用明文传输信息，存在信息窃听、信息篡改和信息劫持的风险，而协议TLS/SSL具有身份验证、信息加密和完整性校验的功能，可以避免此类问题发生。

不同HTTP的协议

HTTP和HTTPS协议的区别

HTTS协议需要CA证书，费用较高；而HTTP协议不需要；
HTTP协议是超文本传输协议，信息是明文传输的，HTTPS则是具有安全性的SSL加密传输协议；
使用不同的连接方式，端口也不同，HTTP协议端口是80，HTTPS协议端口是443；
HTTP协议连接很简单，是无状态的；HTTPS协议是有SSL和HTTP协议构建的可进行加密传输、身份认证的网络协议，比HTTP更加安全。

HTTP 1.0和 HTTP 1.1 有以下区别

连接方面，http1.0 默认使用非持久连接，而 http1.1 默认使用持久连接。http1.1 通过使用持久连接来使多个 http 请求复用同一个 TCP 连接，以此来避免使用非持久连接时每次需要建立连接的时延。
资源请求方面，在 http1.0 中，存在一些浪费带宽的现象，例如客户端只是需要某个对象的一部分，而服务器却将整个对象送过来了，并且不支持断点续传功能，http1.1 则在请求头引入了 range 头域，它允许只请求资源的某个部分，即返回码是 206（Partial Content），这样就方便了开发者自由的选择以便于充分利用带宽和连接。
缓存方面，在 http1.0 中主要使用 header 里的 If-Modified-Since、Expires 来做为缓存判断的标准，http1.1 则引入了更多的缓存控制策略，例如 Etag、If-Unmodified-Since、If-Match、If-None-Match 等更多可供选择的缓存头来控制缓存策略。
http1.1 中新增了 host 字段，用来指定服务器的域名。http1.0 中认为每台服务器都绑定一个唯一的 IP 地址，因此，请求消息中的 URL 并没有传递主机名（hostname）。但随着虚拟主机技术的发展，在一台物理服务器上可以存在多个虚拟主机，并且它们共享一个IP地址。因此有了 host 字段，这样就可以将请求发往到同一台服务器上的不同网站。
http1.1 相对于 http1.0 还新增了很多请求方法，如 PUT、HEAD、OPTIONS 等。

HTTP 1.1 和 HTTP 2.0 的区别

二进制协议：HTTP/2 是一个二进制协议。在 HTTP/1.1 版中，报文的头信息必须是文本（ASCII 编码），数据体可以是文本，也可以是二进制。HTTP/2 则是一个彻底的二进制协议，头信息和数据体都是二进制，并且统称为”帧”，可以分为头信息帧和数据帧。帧的概念是它实现多路复用的基础。
多路复用： HTTP/2 实现了多路复用，HTTP/2 仍然复用 TCP 连接，但是在一个连接里，客户端和服务器都可以同时发送多个请求或回应，而且不用按照顺序一一发送，这样就避免了”队头堵塞”【1】的问题。
数据流： HTTP/2 使用了数据流的概念，因为 HTTP/2 的数据包是不按顺序发送的，同一个连接里面连续的数据包，可能属于不同的请求。因此，必须要对数据包做标记，指出它属于哪个请求。HTTP/2 将每个请求或回应的所有数据包，称为一个数据流。每个数据流都有一个独一无二的编号。数据包发送时，都必须标记数据流 ID ，用来区分它属于哪个数据流。
头信息压缩： HTTP/2 实现了头信息压缩，由于 HTTP 1.1 协议不带状态，每次请求都必须附上所有信息。所以，请求的很多字段都是重复的，比如 Cookie 和 User Agent ，一模一样的内容，每次请求都必须附带，这会浪费很多带宽，也影响速度。HTTP/2 对这一点做了优化，引入了头信息压缩机制。一方面，头信息使用 gzip 或 compress 压缩后再发送；另一方面，客户端和服务器同时维护一张头信息表，所有字段都会存入这个表，生成一个索引号，以后就不发送同样字段了，只发送索引号，这样就能提高速度了。
服务器推送： HTTP/2 允许服务器未经请求，主动向客户端发送资源，这叫做服务器推送。使用服务器推送提前给客户端推送必要的资源，这样就可以相对减少一些延迟时间。这里需要注意的是 http2 下服务器主动推送的是静态资源，和 WebSocket 以及使用 SSE 等方式向客户端发送即时数据的推送是不同的。

DHCP

Dynamic Configuration Protocol动态主机设置协议：是应用UDP协议的应用层协议。

作用：为临时接入局域网的用户自动分配IP地址。

DHCP有三种机制分配IP地址：

1
2
3

1) 自动分配方式(Automatic Allocation)，DHCP服务器为主机指定一个永久性的IP地址，一旦DHCP客户端第一次成功从DHCP服务器端租用到IP地址后，就可以永久性的使用该地址。
2) 动态分配方式(Dynamic Allocation)，DHCP服务器给主机指定一个具有时间限制的IP地址，时间到期或主机明确表示放弃该地址时，该地址可以被其他主机使用。
3) 手工分配方式(Manual Allocation)，客户端的IP地址是由网络管理员指定的，DHCP服务器只是将指定的IP地址告诉客户端主机。

在50%租期时客户端未得到原服务器端的回应，则客户端在87.5%租期时会停止租约，并广播发送DHCP Request，任意一台DHCP服务器端都可回应，该过程称为重绑定。100%租期，重新DHCP Discover。

当DHCP客户机第一次登录网络的时候（也就是客户机上没有任何IP地址数据时），它会通过UDP 67端口向网络上发出一个DHCPDISCOVER数据包（包中包含客户机的MAC地址和计算机名等信息）。因为客户机还不知道自己属于哪一个网络，所以封包的源地址为0.0.0.0，目标地址为255.255.255.255，然后再附上DHCP discover的信息，向网络进行广播。

DHCP discover的等待时间预设为1秒，也就是当客户机将第一个DHCP discover封包送出去之后，在1秒之内没有得到回应的话，就会进行第二次DHCP discover广播。若一直没有得到回应，客户机会将这一广播包重新发送四次（以2，4，8，16秒为间隔，加上1-1000毫秒之间随机长度的时间）。如果都没有得到DHCP服务器端的回应，客户机会从169.254.0.0/16这个自动保留的私有IP地址中选用一个IP地址，并且每隔5分钟重新广播一次，如果收到某个服务器的响应，则继续IP租用过程。

DNS

域名系统（DNS），主机的域名到 IP 地址的映射

域名解析的顺序：

浏览器缓存；
找本机的hosts文件；
路由缓存；
找DNS服务器（本地域名、顶级域名、根域名）->迭代解析、递归查询。
顶级域（com，cn，net，gov，org）、二级域（baidu,taobao,qq,alibaba）、三级域（www）(12-2-0852)。

各数据封包格式

链路层封包格式

由图：一帧为1518B，数据字段的最大长度为1500字节

DMAC（DestinationMAC）是目的MAC地址。DMAC字段长度为6个字节，标识帧的接收者。
SMAC（SourceMAC）是源MAC地址。SMAC字段长度为6个字节，标识帧的发送者。
类型字段（Type）用于标识数据字段中包含的高层协议，该字段长度为2个字节。类型字段取值为0x0800的帧代表IP协议帧；类型字段取值为0806的帧代表ARP协议帧。
- 类型：确定以太网头后面跟的是哪个协议
  
  0x0800 ip协议
  
  0x0806 arp协议
  
  0x0835 rarp协议
数据字段(Data)是网络层数据，最小长度必须为46字节以保证帧长至少为64字节（46+18），数据字段的最大长度为1500字节。
循环冗余校验字段（CRC）提供了一种错误检测机制。该字段长度为4个字节。

注意

1、IEEE802.2/802.3封装常用在无线

2、以太网封装常用在有线局域网

vlan帧结构

以太网帧长度最大为：1518b。 vlan帧会在源mac地址后增加4b的标记字段，长度范围最大为1522b。最小64b

其中4字节标记字段包括：

（1）类型tpid，叫做标记协议id值。占16位，对于以太网，设置为十六进制0x8100。

（2）用户优先级tci：标签控制信息字段、包括用户优先级priority，规范格式指示器cfi、vid。

（3）priority（简称PRI）定义数据帧的优先级。

（4）规范格式标识符cfi：指出mac地址为以太网还是令牌环格式。在以太网交换机中，规范格式指示器总是设置为0。

（5）vlan id：12位，vlan标识符（vid），指出帧的源vlan。一共支持4096个v……

VLAN帧的最小帧长是(1)字节，其中表示帧优先级的字段是(2)。 64，PRI

网络层封包格式

IP数据报格式示意图

版本（version）
占 4 位，表示 IP 协议的版本。通信双方使用的 IP 协议版本必须一致。目前广泛使用的IP协议版本号为 4，即 IPv4。
首部长度（网际报头长度IHL）
占 4 位，可表示的最大十进制数值是 15。这个字段所表示数的单位是 32 位字长（1 个 32 位字长是 4 字节）。因此，当 IP 的首部长度为 1111 时（即十进制的 15），首部长度就达到 60 字节。当 IP 分组的首部长度不是 4 字节的整数倍时，必须利用最后的填充字段加以填充。

数据部分永远在 4 字节的整数倍开始，这样在实现 IP 协议时较为方便。首部长度限制为 60 字节的缺点是，长度有时可能不够用，之所以限制长度为 60 字节，是希望用户尽量减少开销。最常用的首部长度就是 20 字节（即首部长度为 0101），这时不使用任何选项。

区分服务（tos）
也被称为服务类型，占 8 位，用来获得更好的服务。这个字段在旧标准中叫做服务类型，但实际上一直没有被使用过。1998 年 IETF 把这个字段改名为区分服务（Differentiated Services，DS）。只有在使用区分服务时，这个字段才起作用。
总长度（totlen）
首部和数据之和，单位为字节。总长度字段为 16 位，因此数据报的最大长度为 2^16-1=65535 字节。
标识（identification）
用来标识数据报，占 16 位。IP 协议在存储器中维持一个计数器。每产生一个数据报，计数器就加 1，并将此值赋给标识字段。当数据报的长度超过网络的 MTU，而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。具有相同的标识字段值的分片报文会被重组成原来的数据报。
标志（flag）
占 3 位。第一位未使用，其值为 0。第二位称为 DF（不分片），表示是否允许分片。取值为 0 时，表示允许分片；取值为 1 时，表示不允许分片。第三位称为 MF（更多分片），表示是否还有分片正在传输，设置为 0 时，表示没有更多分片需要发送，或数据报没有分片。
片偏移（offsetfrag）
占 13 位。当报文被分片后，该字段标记该分片在原报文中的相对位置。片偏移以 8 个字节为偏移单位。所以，除了最后一个分片，其他分片的偏移值都是 8 字节（64 位）的整数倍。

生存时间（TTL）表示数据报在网络中的寿命，占 8 位。该字段由发出数据报的源主机设置。其目的是防止无法交付的数据报无限制地在网络中传输，从而消耗网络资源。路由器在转发数据报之前，先把 TTL 值减 1。若 TTL 值减少到 0，向IP报文的源地址发送一个出错信息，并丢弃该报文，不再转发。因此，TTL 指明数据报在网络中最多可经过多少个路由器。TTL 的最大数值为 255。若把 TTL 的初始值设为 1，则表示这个数据报只能在本局域网中传送。

协议
表示该数据报文所携带的数据所使用的协议类型，占 8 位。该字段可以方便目的主机的 IP 层知道按照什么协议来处理数据部分。不同的协议有专门不同的协议号。例如，TCP 的协议号为 6，UDP 的协议号为 17，ICMP 的协议号为 1。
首部检验和（checksum）
用于校验数据报的首部，占 16 位。数据报每经过一个路由器，首部的字段都可能发生变化（如TTL），所以需要重新校验。而数据部分不发生变化，所以不用重新生成校验值。
源地址
表示数据报的源 IP 地址，占 32 位。
目的地址
表示数据报的目的 IP 地址，占 32 位。该字段用于校验发送是否正确。
可选字段
该字段用于一些可选的报头设置，主要用于测试、调试和安全的目的。这些选项包括严格源路由（数据报必须经过指定的路由）、网际时间戳（经过每个路由器时的时间戳记录）和安全限制。
填充
由于可选字段中的长度不是固定的，使用若干个 0 填充该字段，可以保证整个报头的长度是 32 位的整数倍。
数据部分
表示传输层的数据，如保存 TCP、UDP、ICMP 或 IGMP 的数据。数据部分的长度不固定。

IPv6报文格式

IPv6数据报的格式

IPv6包头长度固定为40字节，去掉了IPv4中一切可选项，只包括8个必要的字段，因此尽管IPv6地址长度为IPv4的四倍，IPv6包头长度仅为IPv4包头长度的两倍。

其中的各个字段分别为：　　

·****Version（版本号）：4位，IP协议版本号，值= 6。

·****Traffice Class（通信类别）：8位，指示IPv6数据流通信类别或优先级。功能类似于IPv4的服务类型（TOS）字段。

·****Flow Label（流标记）：20位，IPv6新增字段，标记需要IPv6路由器特殊处理的数据流。该字段用于某些对连接的服务质量有特殊要求的通信，诸如音频或视频等实时数据传输。在IPv6中，同一信源和信宿之间可以有多种不同的数据流，彼此之间以非“0”流标记区分。如果不要求路由器做特殊处理，则该字段值置为“0”。

·****Payload Length（负载长度）：16位负载长度。负载长度包括扩展头和上层PDU，16位最多可表示65，535字节负载长度。超过这一字节数的负载，该字段值置为“0”，使用扩展头逐个跳段（Hop-by-Hop）选项中的巨量负载（Jumbo Payload）选项。

·****Next Header（下一包头）：8位，识别紧跟IPv6头后的包头类型，如扩展头（有的话）或某个传输层协议头（诸如TCP，UDP或着ICMPv6）。　

·****Hop Limit（跳段数限制）：8位，类似于IPv4的TTL（生命期）字段。与IPv4用时间来限定包的生命期不同，IPv6用包在路由器之间的转发次数来限定包的生命期。包每经过一次转发，该字段减1，减到0时就把这个包丢弃。

·****Source Address（源地址）：128位，发送方主机地址。

·****Destination Address（目的地址）：128位，在大多数情况下，目的地址即信宿地址。但如果存在路由扩展头的话，目的地址可能是发送方路由表中下一个路由器接口。

· 扩展首部：IPv6包头设计中对原IPv4包头所做的一项重要改进就是将所有可选字段移出IPv6包头，置于扩展头中。由于除Hop-by-Hop选项扩展头外，其他扩展头不受中转路由器检查或处理，这样就能提高路由器处理包含选项的IPv6分组的性能。

通常，一个典型的IPv6包，没有扩展头。仅当需要路由器或目的节点做某些特殊处理时，才由发送方添加一个或多个扩展头。与IPv4不同，IPv6扩展头长度任意，不受40字节限制，以便于日后扩充新增选项，这一特征加上选项的处理方式使得IPv6选项能得以真正的利用。但是为了提高处理选项头和传输层协议的性能，扩展头总是8字节长度的整数倍。

目前，RFC 2460中定义了以下6个IPv6扩展头：Hop-by-Hop（逐个跳段）选项包头、目的地选项包头、路由包头、分段包头、认证包头和ESP协议包头。

传输层封包格式

TCP报文段结构

最大报文段长度：报文段中封装的应用层数据的最大长度。

TCP首部：

序号字段：TCP的序号是对每个应用层数据的每个字节进行编号；

确认序号字段：期望从对方接收数据的字节序号，即该序号对应的字节尚未收到。用ack_seq标识；

TCP段的首部长度最短是20B ，最长为60字节。但是长度必须为4B的整数倍。

TCP标记的作用：

UDP格式

UDP数据报结构：

首部:8B，四字段/2B【源端口 | 目的端口 | UDP长度 | 校验和】

UDP报文格式

源端口(Source Port)和目的端口(Destination Port)字段包含了16比特的UDP协议端口号，它使得多个应用程序可以多路复用同一个传输层协议 – UDP协议，仅通过不同的端口号来区分不同的应用程序。

长度(Length)字段记录了该UDP数据包的总长度(以字节为单位)，包括8字节的UDP头和其后的数据部分。最小值是8(即报文头的长度)，最大值为65,535字节。

UDP检验和(Checksum)的内容超出了UDP数据报文本身的范围，实际上，它的值是通过计算UDP数据报及一个伪包头而得到的。但校验和的计算方法与通用的一样，都是累加求和。

所谓“伪首部”是因为这种伪首部并不是UDP用户数据报的真正首部。只是在计算检验和时，临时和UDP用户数据报连接在一起，得到一个过渡的UDP用户数据报。检验和就是按照这个过渡的UDP用户数据报来计算的。伪首部既不向下传送也不向上递交，而仅仅是为了计算检验和。

HDLC

HDLC协议的全称是高级链路控制协议（High Level Data Link Control），是一种在网上同步传输数据，面向比特的数据链路层协议，广泛用于公用数据网，支持全双工或半双工传输，使用后退N帧ARQ流控方案。HDLC定义了3种类型的站（主站、从站、复合站），两种链路配置（不平衡配置、平衡配置），3种数据传输方式（NRM、ABM、ARM）。

帧标志F：HDLC用一种特殊的位模式01111110作为标志以确定帧的边界，采用位填充技术来区分是标志字段还是数据字段，发送站的数据比特序列一旦发现0后有5个1，则在第7位插入0。

**地址字段A:**地址字段用于标识从站的地址，用在点对多点的链路中，地址通常是8位长。

控制字段C：帧编号N(S),捎带的肯定应答序号N(R),PF位，P询问、F终止

帧校验序列FCS：含有除标志字段之外的所有其他字段的校验和。通常使用16比特的CRC-CCITT（G(x)=X16+X12+X5+1）标准产生校验序列，有时也采用CRC-32产生32位的校验序列。

X．25

X.25是CCITT公布的用于连接数据终端至分组交换数据网络的推荐标准，X.25是一个面向连接的接口，采用虚电路传递数据分组至网络上的适当终点处。在X.25的网络中，用户的计算机终端设备将与分组/拆装设备（PAD）连接，负责完成分割分组、寻址、重组装分组的工作，而不同的X.25网络之间则要使用X.75协议互联。X.25是一个基于分组交换技术构建的网络，分组交换本身是适于无连接业务的，要为用户提供面向连接的接口服务，则必须借助虚拟电路技术（VC），虚电路服务具有两种形式，一种是交换虚电路SVC，一种是永久虚电路PVC。最常见的X.25协议支持的最大传输速率为64Kb/s。

X.25的三层结构

X.25层次结构	对应OSI层	相应标准
分组层	网络层	X.25 PLP 通过建立虚拟连接，提供点对点、面向连接服务。X.25 PLP 层采用后退N帧 ARQ流控协议。PLP协议把用户数据分成一定大小的块，一般为128字节，再加上24位或32的分组头组成数据分组
链路访问层	数据链路层	使用平衡式链路访问规程LAPB，LAPB是源于HDLC的一种面向位的协议，实际上是平衡的异步方式类别下的HDLC。LAPB是HDLC的一个子集
物理层	物理层	X.21，但可以使用RS-232C和V.35代替

相关知识点

选择重发ARQ协议（有噪声环境双工）：滑动窗口协议与自动请求重发技术的结合，当收到否定应答（NAK）时，只重发出错的帧。W发=W收≤2K-1。

后退N帧ARQ协议（有噪声环境双工）：滑动窗口协议与自动请求重发技术的结合，当收到否定应答（NAK）时，将从出错处重发已发出过的N个帧。接收窗口W收=1，同时W收≤2K -1。（K为帧编号的位数）

帧中继

帧中继是综合业务数字网络（ISDN）的一个产物，没有专门定义物理层接口（可以使用X.21，V.35等接口协议），帧中继在第二层建立虚电路，因而第三层被简化掉了，FR的帧层也比HDLC操作简单，只做检错，不再重传，没有滑动窗口式的流控，只有拥塞控制，把复杂的检错丢给高层去处理。帧中继使用的核心协议是LAPD，它比LAPB简单，省去了控制字段。帧中继是基于分组（帧）交换的透明传输，可以承载IP数据报；可提供面向连接的服务，支持交换虚电路（SVC）和永久虚电路（PVC）；帧长可变，长度可达1600～4096字节，可以承载各种局域网的数据帧；可以应付突发的数据传输，可以提供2～45Mb/s的数据率；帧中继不适于延迟较敏感的应用（音频和视频），无法保证可靠提交。

标志字段：LAPD的帧头和帧尾都是一个字节的帧标志字段，编码为01111110，与HDLC一样。

地址字段：

·EA：地址扩展比特。该比特为0时表示地址向后扩展一个字节，为1时表示最后一个字节。
·C/R：命令/响应比特。协议本身不使用这个比特，用户可以用这个比特区分不同的帧。
·FECN：向前拥塞比特。若网络置该位为1，则表示在帧的传送方向上出现了拥塞，该帧到达接收端后，接收方可根据此调整发送方的数据率。
·BECN：向后拥塞比特。若网络置该位为1，则表示在帧传送相反的方向上出现了拥塞，该帧到达发送端后，发送方可据此调整发送数据速率。
·DE：优先丢弃比特。当网络发生拥塞时，DE位置1的帧会优先丢弃。
·DLCI：数据链路连接标识符。帧中继使用虚拟电路的方式提供面向连接的服务，在帧头中包括DLCI字段，每个DLCI都标识一个虚电路，其中DLCI0用于信令传输。
信息字段：信息字段长度可变，1600是默认最大长度。

帧校验序列：与HDLC相同。

帧中继的拥塞控制

在帧中继承载业务中，使用显式信令和隐式信令来避免拥塞的发生。显示信令利用FECN和BECN比特位置1来向端用户发出拥塞警告，以避免拥塞的发生。隐式信令是指上层协议对网络拥塞的监控，当网络开始丢帧时，上层协议就自动降低发送速率，以便网络从拥塞中恢复正常运行。帧中继还可以利用CLLM（强化链路层管理）的方法，缓解拥塞。

ATM问题

ATM是一种可以将局域网功能、广域网功能、语音、视频和数据，集成进一个统一的协议设计。ATM标准最早是作为B-ISDN标准的一部分而出现的，它在QoS方面有突出表现。在ATM传输中，ATM把用户数据组成53B的信元作为分组交换的信息单位，采用统计时分复用模式，提供面向连接的虚电路服务。ATM连接可以是点到点的连接，也可以是点到多点的连接，分为PVC和SVC两种虚电路。ATM通常是在光纤的基础上建立的，典型的数据速率为155.5Mb/s，因此它是不提供应答的，将少量的错误交给高层处理。ATM的目的是实现实时通信，对于偶然的信元错误是不重传的，对于要重传的信息由高层处理。

ATM的分层体系结构

层次	子层	功能	与OSI对应
高层		对用户数据的控制	高层
ATM适配层（AAL）	汇聚子层（CS）	为高层数据提供统一接口	第四层
拆装子层（SAR）	分割和合并用户数据		第四层
ATM层		VPI和VCI的管理；信元头的组装和拆分；信元的多路复用；流量控制	第三层
物理层	传输汇聚子层（TC）	信元校验和速率控制；数据帧的组装和拆分	第二层
物理层	物理介质子层（PMD）	比特定时；物理网络接入	第一层

ATM信元头结构

流控标志（GFC）：用于主机和网络之间的流控或优先级控制。

·虚通路标识符（VPI）：8位（UNI）或12位（NNI），常用是8位，因此一个主机上的虚通路数256个。

·虚信道标识符（VCI）：16位，理论上每个主机上的虚通路可以包含65536个虚信道，不过部分信道是用于控制的，并不传送用户数据。

*****在ATM中，虚电路有两级：虚通路（VP）和虚信道（VC），虚通路是由多条虚信道捆绑在一起形成的。在ATM逻辑通道中，是使用VPI+VCI的组合来标识连接的，在做VP交换或交叉连接时，只需交换VP，无需改变VCI的值。

·负载类型（PTI）：区分不同的拥塞信息。

·信元丢失优先级（CLP）：这一位用于区分信息的优先级，如果出现拥塞，交换机优先丢弃CLP被置1的信元。

·头校验和（HEC）：它支队信元头进行校验，采用的是X8+X2+X+1的8位CRC校验。

PPP的帧格式

局域网的帧格式

名词解释

mac地址

网卡

又称为网络适配器或网络接口卡NIC，但是现在更多的人愿意使用更为简单的名称“网卡”。通过网卡能够使不同的计算机之间连接，从而完成数据通信等功能

每个网卡或三层网口都有一个 MAC 地址， MAC 地址是烧录到硬件上，因此也称为硬件地址。MAC 地址作为数据链路设备的地址标识符，需要保证网络中的每个 MAC 地址都是唯一的，才能正确识别到数据链路上的设备。

每一个网卡在出厂时，都会给分配一个编号，这个编号就称之为mac地址。MAC地址,用于标识网络设备,类似于身份证号，且唯一

组成：以太网内的MAC地址是一个48bit（6 个字节）的值，前 3 个字节表示厂商识别码，每个网卡厂商都有特定唯一的识别数字。后 3 个字节由厂商给每个网卡进行分配。厂商可以保证生产出来的网卡不会有相同 MAC 地址的网卡。

广播域和冲突域

1.广播域
【概念】接收同样广播消息的节点的集合。简单的说如果站点发出一个广播信号，所有能接收收到这个信号的设备范围称为一个广播域。

【设备】第三层设备能划分广播域。即路由器的每一个端口就是一个广播域。

2.冲突域
【概念】连接在同一导线上的所有工作站的集合，或者说是同一物理网段上所有节点的集合或以太网上竞争同一带宽的节点集合。

【设备】第二层设备能划分冲突域。即交换机的每一个端口就是一个冲突域。

　　　　集线器Hub是物理层设备，不能划分冲突域。所以Hub下面连接的所有主机组成一个冲突域

单播、组播、广播

单播：在同一网络内，两个设备点对点的通信就是单播通信。

组播：在同一网络可达范围内，一个网络设备与关心其数据的部分设备进行通信就是组播。通过IGMP协议去申请加入或者离开这个组

广播：在同一网络可达范围内，一个网络设备向本网络内所有设备进行通信就是广播。

众所周知，TCP是可靠传输（先与另一个通信端点建立可靠连接，再传输数据），因此TCP一般只支持单播这种通信方式，而UDP通信不需要建立连接就可以发送数据，因此，通常我们说的广播、组播

IP地址由主机号和网络号组成，主机号全为“0”的是网络地址，主机号全为“1”的是广播地址

组播的地址是保留的D类地址从 224.0.0.0—239.255.255.255

IP地址

A类（8网络号+24主机号)
B类（16网络号+16主机号）
C类（24网络号+8主机号）可以用于标识网络中的主机或路由器
D类地址作为组播地址
E类是地址保留

网络号+主机号

A类：默认8bit子网ID，第一位为0，最大为127，0-127。前面一个字节做网络号/网段

B类：默认16bit子网ID，前两位为10，最大为191，128-191。前面两个字节做网络号/网段

C类：默认24bit子网ID，前三位为110，最大为224，192-224。前面三个字节做网络号/网段

公有IP

公有IP（可直接连接Internet）,经由InterNIC所统一规划的IP
私有ip地址

私有IP（不可直接连接Internet ）,主要用于局域网络内的主机联机规划

回环ip地址
- 通常 127.0.0.1 称为回环地址。回环地址主要用于本地网络接口的测试和诊断。通过将网络数据包发送到本地回环地址，可以测试网络协议栈的正常运行，以及确保计算机网络接口卡的驱动程序和硬件设备都能够正常工作。在实际应用中，回环地址可以用于各种网络诊断和测试工具，例如ping、traceroute、telnet等
- 回环地址可以在不需要其他计算机或网络连接的情况下进行测试，使其成为网络接口测试和网络应用程序开发的有用工具。可以用于模拟一些网络服务，例如Web服务器、FTP服务器、邮件服务器等。

子网掩码

子网掩码（subnet mask，又叫网络掩码、地址掩码）是一个32bit由1和0组成的数值，并且1和0分别连续

子网划分，在主机号上按位进行子网络的划分，主机号=子网号+主机号

子网掩码划分最多30位，因为一个规定子网里最少容纳2台主机，30位的掩码就是2个主机位

子网掩码的分类

缺省子网掩码

也叫默认子网掩码，即未划分子网，对应的网络号的位都置 1 ，主机号都置 0 。

未做子网划分的IP地址：网络号＋主机号，则：

A类网络缺省子网掩码： 255.0.0.0，用CIDR表示为/8
B类网络缺省子网掩码： 255.255.0.0，用CIDR表示为/16
C类网络缺省子网掩码： 255.255.255.0，用CIDR表示为/24
自定义子网掩码

将一个网络划分子网后，把原本的主机号位置的一部分给了子网号，余下的才是给了子网的主机号。其形式如下：

做子网划分后的IP地址：网络号＋子网号＋子网主机号，举个例子：

192.168.1.100/25，其子网掩码表示：255.255.255.128，意思就是将192.168.1.0这个网段的主机位的最高1位划分为了子网。

子网掩码，与ip地址相与，得到对应的网络号

子网ID:IP地址中由子网掩码中1覆盖的连续位

主机ID:IP地址中由子网掩码中0覆盖的连续位

网关

网关地址就是一个IP地址，是分配给路由器/vlan一个接口的IP地址

网关地址就是一个IP地址，是分配给路由器一个接口的IP地址
比方说：
我有一个电脑，IP是192.168.1.1，子网掩码是24位的，那么他的网络号就是192.168.1.0，我在给他指定一个网关是192.168.1.254
这个时候，我的这台电脑想要和同网的192.168.1.2 通信，那么他就不用网关了，直接发到局域网上就可以了。
但是如果我想要发给远程的主机，比方说IP是192.168.2.1 同样24位的，他的网络号就是192.168.2.0 这时网关就起作用了，我的电脑就会把数据发给网关由网关再转发一直到达目的地也就是IP 是192.168.2.1的主机上。

网关是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器。与网桥只是简单地传达信息不同，网关对收到的信息要重新打包，以适应目的系统的需求，网关的作用就是对两个网络段中的使用不同传输协议的数据进行互相的翻译转换。

在如下拓扑图示例中，A与B，C与D，都可以直接相互通信（都是属于各自同一网段，不用经过路由器），但是A与C，A与D，B与C，B与D它们之间不属于同一网段，所以它们通信是要经过本地网关，然后路由器根据对方IP地址，在路由表中查找恰好有匹配到对方IP地址的直连路由，于是从另一边网关接口转发出去实现互连。

在这里插入图片描述

自治系统AS

224.0.0.1 所有主机
224.0.0.2 所有路由器
224.0.0.5 所有运行OSPF路由器
224.0.0.6 OSPF DR/BDR
224.0.0.9 RIPv2 路由器
224.0.0.18 VRRP（虚拟路由器冗余协议）

自治系统AS：指处于一个管理机构下的网络设备群，AS内部网络自治管理，对外提供一个或多个出入口

自治系统内部的路由协议为内部网关协议，如RIP、OSPF等；
自治系统外部的路由协议为外部网关协议，如BGP。

静态路由：人工配置，难度和复杂度高。

动态路由：

链路状态路由选择算法LS：向所有隔壁路由发送信息收敛快；全局式路由选择算法，每个路由器计算路由时，需构建整个网络拓扑图；利用Dijkstra算法求源端到目的端网络的最短路径；Dijkstra(迪杰斯特拉)算法；
距离-向量路由选择算法DV：向所有隔壁路由发送信息收敛慢、会存在回路；基础是Bellman-Ford方程（简称B-F方程）。

内部网关路由协议IGP

路由器之间实现路由信息共享的机制

RIP协议

路由信息协议 RIP(Routing Information Protocol)【应用层】，基于距离矢量的路由选择算法，较小的AS（自治系统），适合小型网络；RIP报文，封装进UDP数据报（端口520）。

RIPv1属于有类路由协议，不携带子网掩码，不支持VLSM，以广播形式进行路由信息的更新，周期性更新（30秒）；
RIPv2属于无类路由协议(CIDR)，携带子网掩码，支持VLSM，以组播（组播地址224.0.0.9）形式进行路由更新，触发更新（有更改即可更新）来加速路由收敛。

功能特性：

RIP是距离矢量路由协议，只以跳数作为度量值，且最大跳数为15跳（跳数最大为16跳，意味不可达），并通过邻居路由器间的周期性(每隔30s)广播发送路由表更新并计算路由，收敛速度慢，V1版本只支持有类网络，V2版本才支持VLSM，路由协议优先级为100，可信任度不高，容易产生路由环路。

IGRP
是Cisco公司开发的路由协议。它也是一个距离矢量协议，但是与RIP相比，它有下列优点：
①使用了带宽和延迟等参数作为路由度量标准；

②利用触发更新来加快路由收敛；

③支持不等费用通路的负载均衡；

④最大跳步数扩充到255，可以支持更大的网络。

IGRP不使用跳步数作为路由度量，虽然在一般情况下可以简化为跳步数。IGRP的路由度量因素包括带宽、延迟、可靠性、负载和MTU，其中前两者是默认的，但是可以通过配置加入其他参数。可靠性和负载划分为1~255级，可靠性1是最低的，可靠性255是最高的，负载！使用最少，负载255是百分之百利用的。MTU指最大帧长度，在实际运行中，它是一个常数值，通常采用一条通路中最小的MTU值。这些因素综合起来作为路由费用的度量，使得IGRP可以选择更好的路由。相对于RIP的跳步计数，IGRP协议的路由选择更加合理。

IGRP的路由更新周期是90秒，持有时间是280秒，为了加速收敛，采用了触发更新技术。

OSPF协议

开放最短路径优先协议 OSPF(Open Shortest Path First)【网络层】，基于链路状态的路由选择算法（即Dijkstra算法/SPF），较大规模的AS ，适合中大型网络，直接封装在IP数据报传输(端口89)。

功能特性：

OSPF是基于链路状态的路由协议，以COST开销作为其度量值，并采用SPF算法计算出最佳路由，支持VLSM，支持触发更新，收敛速度快，路由协议优先级为10，可信任度高。

IS-IS协议

IS-IS（Intermediate system to intermediate system，中间系统到中间系统）是内部网关协议，是电信运营商普遍采用的内部网关协议之一，也是一个分级的链路状态路由协议。封装在链路层

与OSPF相似，它也使用Hello协议寻找毗邻节点。

和ospf不同的是一个路由器只属于一个区域。ospf路由器的不同端口属于不同区域

IS-IS具有层次性，分为两层Level-1和Level-2

Level-1（L1）是普通区域（Area），Level-2（L2）是骨干区（Backbone）。
骨干区Backbone是连续的Level-2路由器的集合，由所有的L2（含L1/L2）路由器组成，L1和L2运行相同的SPF算法，一个路由器可能同时参与L1和L2。

外部网关路由协议EGP

生成 BGP 路由有宣告network 与引入import 两种方式

A.Network 方式逐条精确匹配路由

B.Network 方式优先级高

C.Import 方式按协议类型引入路由

在不同自治系统之间用外部网关协议（Exterior Gateway Protocol，EGP）交换路由信息。最新的EGP协议叫做BGP（Border Gateway Protocol）。BGP的主要功能是控制路由策略，例如是否愿意转发过路的分组等。BGP的4种报文表示在下表中，这些报文通过TCP连接传送。BGP支持CIDR技术。

BGP封装在TCP数据报传输(端口179)

CIDR

CIDR（无类别域间路由，Classless Inter-Domain Routing）是一个在Internet上创建附加地址的方法，这些地址提供给服务提供商（ISP），再由ISP分配给客户。

/8掩码是A类，/16掩码是B类,/24掩码是C类等等。但是/12，/18，/25呢？这就是无类的概念了，CIDR的作用就是支持IP地址的无类规划，把IP的网段规划成更细的方式来表示，这样可以有效的节约IP地址的使用和方便管理。

端口

TCP/IP协议采用端口标识通信的进程，用于区分一个系统里的多个进程

特点

1、对于同一个端口，在不同系统中对应着不同的进程

2、对于同一个系统，一个端口只能被一个进程拥有

3、一个进程拥有一个端口后，传输层送到该端口的数据全部被该进程接收，同样，进程送交传输层的数据也通过该端口被送出

vlan

VLAN是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网（广播域）。VLAN最大的特性是不受物理位置的限制，可以进行灵活的划分。VLAN具备了一个物理网段所具备的特性。相同VLAN内的主机可以相互直接通信，不同VLAN间的主机之间互相访问必须经由路由设备进行转发。广播数据包只可以在本VLAN内进行广播，不能传输到其他VLAN中

考点

背

https://zhuanlan.zhihu.com/p/515239767

帧经过交换机时，其源、目标MAC是不会变的（数据帧在交换机之间转发）

原因：交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表。在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。因此，交换机可用于划分数据链路层广播，即冲突域；但它不能划分网络层广播，即广播域。

这种情况只需要坚持一个原则，数据帧在交换机之间转发不更改源MAC地址和目标MAC地址；

就好比主机A和主机B通过若干个交换机相连（并没有路由器在中间），那么此时的MAC地址是什么？源MAC地址自然是主机A的网卡所对应的MAC地址，目标MAC地址则是主机B的网卡所对应的MAC地址；

帧经过路由器时，进行路由转发，IP地址不会变的，但MAC地址一定会变（数据帧在路由器之间转发）；

当主机A发向主机B的数据流在网络层封装成IP数据包，IP数据包的首部包含了源地址和⽬标地址。主机A会⽤本机配置的24位IP网络掩码255.255.255.0与目标地址进⾏与运算，得出⽬标网络地址与本机的⽹络地址是不是在同⼀个⽹段中。如果不是将IP数据包转发到网关。

在发往⽹关前主机A还会通过ARP的请求获得默认⽹关的MAC地址。在主机A数据链路层IP数据包封装成以太网数据帧，然后才发住到网关……也就是路由器上的⼀个端⼝。

当网关路由器接收到以太网数据帧时，发现数据帧中的目标MAC地址是自己的某⼀个端⼝的物理地址，这时路由器会把以太网数据帧的封装去掉。路由器认为这个IP数据包是要通过自己进行转发，接着它就在匹配路由表。匹配到路由项后，它就将包发往下⼀条地址。

路由器转发数据包就是这样，所以它始终是不会改IP地址的。只会改MAC。

根域名服务器采用的迭代查询，中介域名服务器采用的是递归查询,辅助域名服务器配置了迭代算法

对于CSMA/CD，线路利用率越高，冲突越高，平均传输延迟就越大；而且平均传输延迟的增加速度远高于线路利用率的提高速度。

对于令牌环，线路利用率的提高虽然也会造成平均传输延迟的提高，但对平均传输延迟的提高影响不太大。

以太网帧结构中填充式保持最小帧长

采用以太网链路聚合技术将（）。

在局域网应用中，由于数据通信量的快速增长，交换机带宽往往不够用，于是出现了将多条物理链路当作一条逻辑链路使用的链路聚合技术，这时网络通信由聚合到逻辑链路中的所有物理链路共同承担。

传统以太网使用的是曼彻斯特编码，效率50％。

如果网络需求对QoS要求很高，应考虑采用（）网络。ATM

HDLC是一种（）协议。面向比特的同步链路控制

五类、六类网线的标准是由（）制定的。ISO/IEC JTC1 SC25委员会

ATM 适配层的功能是（）。分割和合并用户数据

IS-IS 路由协议中的路由器的不同接口可以属于不同的区域（×）ospf才是

所谓移动IP是指（1）；实现移动IP的关键技术是（2）。

移动主机在离开家乡网络的远程站点可以联网工作
移动主机具有一个家乡网络地址并获取一个外地转交地址

在以太网中发生冲突时采用退避机制，（）优先传输数据。冲突域中重传计时器首先过期的设备

存储区域网络(StorageAreaNetwork，SAN）是一种专用网络，可以把一个或多个系统连接到存储设备和子系统。 SAN可以被看作是负责存储传输的“后端”网络，而“前端”网络（或称数据网络）负责正常的TCP/IP传输。

与NAS相比，SAN具有下面几个特点。

SAN具有无限的扩展能力。由于SAN采用了网络结构，服务器可以访问存储网络上的任何一个存储设备，因此用户可以自由增加磁盘阵列、带库和服务器等设备，r使得整个系统的存储空间和处理能力得以按客户需求不断扩大。

（2）SAN具有更高的连接速度和处理能力

ARP 协议数据单元封装在( )中传送。以太网数据帧

MIB-2的系统组中，（）对象以7位二进制数表示，每一位对应OSI/RM 7层协议中的一层。

sysservices

在DNS服务器中，区域的邮件服务器及其优先级由()资源记录定义。MX

可以发出SNMP GetRequest的网络实体是()。Manager

SNMP报文中不包括()。优先级

5G网络采用()可将5G网路分割成多张虚拟网路。网路切片技术

IEEE

4G移动通信标准TD-LTE(即TDD-LTE).与FDD-LTE的主要区别是划分上下行信道的方式不同，前者用时分多路方式，而后者用频分多路方式。其他方面大同小异。

在下面的标准中，定义快速生成树协议的是（1），支持端口认证的协议是（2）。

IEEE802.1w
IEEE802.1x

在802.11中采用优先级来进行不同业务的区分，优先级最低的是（）。分布式协调功能竞争访问

Wi-fi联盟认可了802.11i标准，并称之为wap2。Wap2使用了aes-ccmp 机密技术

Wi-Fi联盟制定的安全认证方案WPA（Wi-Fi Protected Access）是 ( ) 标准的子集。802.11i

协议

PGP是支持电子邮件加密的协议

匿名 FTP 访问通常使用（）作为用户名。anonymous

路由器出厂时，默认的串口封装协议是HDLC

IP

地址192.168.37.192/25是(1) ，地址172.17.17.255/23是(2)。

IP地址由主机号和网络号组成，主机号全为“0”的是网络地址，主机号全为“1”的是广播地址

192.168.37.192/25 = 192.168.37.1|1000000

主机号非全“0”，也非全“1”，所以是一主机地址

172.17.17.255/23 = 172.17.0001000|1.11111111

主机号全为“1”，此地址为广播地址

IPv6地址的格式前缀用于表达地址类型或子网地址，例如60位地址12AB00000000CD3有多种合法的表示形式，下面的选项中，不合法的是（）。12AB:0:0:CD3/60

IPv6将整个地址分为8节来表示，每节含16个地址位，以4个十六进制数书写，节与节之间用冒号分隔。

如果在4位的十六进数中，如其高位为0，则可省略。连续的一个或者多个全零组可用重叠的冒号“::”表示。

若以零开头零可以省略，全段为0可以用一个0表示，连续的全零的段可用“**::**”表示（只能出现一次）。

同一个地址不同表示法的例子：

2020:0410:0000:0001:0000:0000:0000:abcd

2020:410:0:1:0:0:0:abcd

2020:410:0:1**::**abcd

给定一个C类网络192.168.1.0/24，要在其中划分出3个60台主机的网段和2个30台主机的网段，则采用的子网掩码应该分别为（）。255.255.255.192和255.255.255.224

24位网络号，还剩8位主机号，可以有2的8次方个主机地址，也就是256个，如果要求每个子网60台，那么是不是要分配6位（2的6次方=64，可以满足），所以子网掩码就是255.255.255.192，同样2个30台，就要分配5位（2的5次方=32），所以子网掩码就是255.255.255.224

设IP地址为18.250.31.14，子网掩码为255.240.0.0，则子网地址是 ( )

子网掩码，与ip地址相与，得到对应的网络号。 IP地址18.250.31.14/255.240.0.0的二进制形式为：

11111111.11110000.00000000.00000000

00010010.11111010.00011111.00001110

则子网地址是00010010.11110000.00000000.00000000,即18.240.0.0。

一个局域网中某台主机的IP地址为176.68.160.12，使用22位作为网络地址，那么该局域网的子网掩码为（1），最多可以连接的主机数为（2）。

由于22位作为网络地址，因此该局域网的网络地址为176.68.160.0。在子网掩码中，网络地址部分全部置为1，主机地址部分全部置为0。因此，该局域网的子网掩码为255.255.252.0。（2）由于该局域网的子网掩码为255.255.252.0，主机地址有10位，因此最多可以连接2^10-2=1022台主机。其中，减去2是因为网络地址和广播地址不能被分配给主机使用。

将地址段172.16.32.0/24，172.16.33.0/24，172.16.34.0/24，172.16.35.0/24进行聚合后得到的地址是（）。

将IP地址转换为二进制：
172.16.32.0/24=172.16.00100000.00000000

172.16.33.0/24=172.16.00100001.00000000

172.16.34.0/24=172.16.00100010.00000000

172.16.35.0/24=172.16.00100011.00000000

最长相同网络位为22位，故聚合地址为172.16.00100000.00000000=172.16.32.0/22

ipv6

ipv6定义了很多可选的扩展首部。可提供比ipv4更多的功能。基本首部长度是40字节。

IPv6协议数据单元由一个固定头部和若干个扩展头部以及上层协议提供的负载组成，其中用于标识松散源路由功能的扩展头是（1）。如果有多个扩展头部，第一个扩展头部为（2）。路由选择头部 ,逐跳头部

ipv6地址的格式前缀（fp）用于表示地址类型或子网地址。为了实现ip地址的自动配置，ipv6主机将mac地址附加在地址前缀1111 1110 10之后，产生一个链路本地地址，如果通过了邻居发现协议的验证，则表明自我配置的链路本地地址是有效的。

IPv6中没有“校验和”字段。

IPv6链路本地单播地址的前缀为（59），可聚集全球单播地址的前缀为（60）1111 1110 10, 001

OSPF

为减小多路访问网络中的OSPF流量，OSPF会在每一个Ma网络（多路访问网络）选举一个指定路由器（DR）和一个备用指定路由器（BDR）

DR选举规则：最高OSPF接口优先级拥有者被选为DR，如果优先级相等（默认为1），具有最高OSPF RouterlD的路由器被选举为DR，并且DR具有非抢占性。[优先级0不参与选举]

备用指定路由器（BDR）：监控DR状态，并在当前DR发生故障后接替其角色。具有最高OSPF RouterlD的路由器被选举为BDR

在OSPF的广播网络中，有4台路由器Router A、Router B、Router C和Router D，其优先级分别为2、1、1和0，Router ID分别为192.168.1.1、192.168.2.1、192.168.3.1和192.168.4.1、若在此4台路由器上同时启用OSPF协议，OSPF选出的BDR为（47）。C
A.Router A

B.Router B

C.Router C

D.Router D

OSPF协议适用于4种网络。下面选项中，属于广播多址网络的是 (1) ，属于非广播多址网络的是 (2) 。

Ethernet
Frame Relay

运行 OSPF 协议的路由器每 10 秒钟向它的各个接口发送 Hello 分组，接收到 Hello 分组的路由器就知道了邻居的存在。如果在（）秒内没有从特定的邻居接收到这种分组，路由器就认为那个邻居不存在了。

40。OSPF规定路由器失效时间是Hello分组间隔时间的4倍

DHCP

DHCP协议的功能是（1）。在Linux中提供DHCP服务的程序是（2）；DHCP服务将主机的MAC地址和IP地址绑定在一起的方法是在（3）文件中添加“host主机名{hardware Ethernetxx xx.xx.xx.xx.xx fixed-address 192.168.0.9}”配置项；创建DHCP租用文件的命令是（4）；通过运行（5）命令可以设置在操作系统启动时自动运行DHCP服务。

为客户机自动配置IP地址
/usr/sbin/dhcpd
/etc/dhcpd.conf
touch /var/state/dhcp/dhcpd.leases
chkconfig

当DHCP客户机第一次登录网络的时候（也就是客户机上没有任何IP地址数据时），它会通过UDP 67端口向网络上发出一个DHCPDISCOVER数据包（包中包含客户机的MAC地址和计算机名等信息）。因为客户机还不知道自己属于哪一个网络，所以封包的源地址为0.0.0.0，目标地址为255.255.255.255，然后再附上DHCP discover的信息，向网络进行广播。

DHCP discover的等待时间预设为1秒，也就是当客户机将第一个DHCP discover封包送出去之后，在1秒之内没有得到回应的话，就会进行第二次DHCP discover广播。若一直没有得到回应，客户机会将这一广播包重新发送四次（以2，4，8，16秒为间隔，加上1-1000毫秒之间随机长度的时间）。如果都没有得到DHCP服务器端的回应，客户机会从169.254.0.0/16这个自动保留的私有IP地址中选用一个IP地址，并且每隔5分钟重新广播一次，如果收到某个服务器的响应，则继续IP租用过程。

DhcpDiscover。当主机启动时需要自动分配IP地址，又不知道DHCP服务器地址，故请求报文DhcpDiscover中目的IP地址为 255.255.255.255。

ftp

许多网络通信需要进行组播，以下选项中不采用组播协议的应用是（1）。在IPv4中把（2）类地址作为组播地址。FTP,D

SNMP

SNMP 是专门设计用于在 IP 网络管理网络节点（服务器、工作站、路由器、交换机及HUBS等）的一种标准协议，它是一种应用层协议。 SNMP 使网络管理员能够管理网络效能，发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息（及事件报告）网络管理系统获知网络出现问题

SNMP协议实体发送请求和应答报文的默认端口号是161，SNMP代理发送陷阱报文(Trap) 的默认端口号是162。

在SNMP v2中，一个实体发送一个报文一般要经过下面4个步骤。

（1）根据要实现的协议操作构造PDU；（2）把PDU、源和目标端口地址以及团体名传送给认证服务，认证服务产生认证码或对数据进行加密，返回结果；（3）加入版本号和团体名，构造报文；（4）进行BER编码，产生0/1比特串，发送出去。

计算

在重负载时，令牌环网比以太网的利用率高

ITU V.90调制解调器（Modem）的下载速度为56kb/s，上传速率是33.6kb/s。

路由收敛是指网络设备路由表和网络拓扑结构一致

客户机会在租期过去50%的时候，直接向为其提供IP地址的DHCP Server发送DHCP REQUEST消息包。满了是发DHCP DISCOVER。

某局域网采用CSMA/CD协议实现介质访问控制，数据传输速率为10Mbps，主机甲和主机乙之间的距离为2km，信号传播速度是200m/μs。若主机甲和主机乙发送数据时发生冲突。从开始发送数据起，到两台主机均检测到冲突时刻为止，最短需经过的时间是（）μs。

基带CSMA/CD:传输时延>=2倍于传播时延

宽带CSMA/CD:传输时延>=4倍于传播时延

在以太网中为了确保发送数据站点在传输时能检测到可能存在的冲突，数据帧的传输时延至少要两倍与传播时延（因为宽带CSMA/CD是单向传输）。由此可以算出传输时延≥2*2000/200=20μs。当冲突刚好发生在链路中间的时候，时间是最短的，所以是20μs/2=10μs。

以100Mb/s以太网连接的站点A和B相距2000m，通过停等机制进行数据传输，传播速度为200m/us，最高的有效传输速率为（14）Mb/s。82.9

解析：以太网数据帧最大1518字节，最小64字节。停等机制说的就是，发送方把数据发过去，要停下来不能再发了，要等接收方发确认帧，收到之后再发。这里需要计算两个时间，一个是发送时间，一个是传输时间。

以太网数据帧最大为1518字节，姑且按最大帧计算，则帧发送时间：

1518*8/100mb/s=121.44us

数据帧传播时间=2000m/(200m/us)=10us

题目指出采用停等传输机制，即收到确认帧后再发下一帧，确认帧是64B，则确认帧发送时间：64*8/100Mb/s=5.12us

总时间：121.44us+5.12us+10us+10us=146.56us

则有效速率为：1518*8/146.56=82.9Mb/s（直接用1518，不用考虑MTU静载荷1500），故选B

海明码构造办法是:在数据位之间插入k个校验位,通过扩大码距来实现检错和纠错。设数据位是n位,校验位是k位,则n和k必要满足如下关系。

$2^k-1>=n+k$

数据为16位时,至少需要5位校验位

通信

图片说明通信的目的就是传递信息。通信中产生和发送信息的一端叫作信源，接收信息的一端叫作信宿，信源和信宿之间的通信线路称为信道。信息在进入信道时要变换为适合信道传输的形式，在进入信宿时又要变换为适合信宿接收的形式。信道的物理性质不同，对通信的速率和传输质量的影响也不同。另外，信息在传输过程中可能会受到外界的干扰，把这种干扰称为噪声。不同的物理信道受各种干扰的影响不同，例如，如果信道上传输的是电信号，就会受到外界电磁场的干扰，光纤信道则基本不受电磁场干扰。

知识点

载波

载波是指被调制以传输信号的波形，一般为正弦波，也可以是非正弦波（如周期性脉冲序列）。载波信号，就是把普通信号（声音、图象）加载到一定频率的高频信号上，在没有加载普通信号的高频信号时，高频信号的波幅是固定的，加载之后波幅就随着普通信号的变化而变化（调幅），还可以调相，调频。载波信号一般要求正弦载波的频率远远高于调制信号的带宽，否则会发生混叠，使传输信号失真

因为有用信息一般都是低频信号，不利于传播，所以要用一个高频的或者振幅更大的波（载波）来作为载体传播出去（频率越高越好传播）

作用包括：

1、减小传输中的噪声；

2、频分复用，即同一频率之间同一信道传输多路信号而不混叠；

3、可传播更远距离，有利于接收。

E1：E1由32个子信道组成， 30个传送话音数据，2个子信道

在E1载波中，E1信道的速率(0),每个子信道(话音信道)的数据速率是（1），E1载波的控制开销占（2），E1基本帧的传送时间为（19）。
- 2.048Mb/s
- 64kb/s
- 6.25% = 2/32*100%
- 125us
E2由4个E1组成
E3由4个E2组成
- E3数据速率是34.368Mb/s (约为34)

T1载波的数据速率1.544mb/s，每个信道的数据速率是（） kb/s。64

T3数据速率为44.736Mb/s

频段

频段：无线通信使用的是电磁波，既然是波，那就有频率，通过将电磁波的频率划分为不同的 “段”，即是频段（是指一个连续电磁波的频率范围）

通常无线路由器都会有两个频段：2.4GHz和5GHz。之所以叫2.4G，是因为这个频段的频率范围为：2.4GHZ~2.4835GHZ。5G频率范围是5.15-5.825GHz

波长=波速 * 周期=波速/频率，所以频率越高，波长越短

信道

信道就是在频段基础上的更进一步的划分。信道是指的通过时间、频率来切分出来的可以分配给不同终端使用的资源。目的是为了避免很多个设备之间的竞争

既然是避免冲突，为什么不多划分很多信道呢？

首先，信道越多，那每个信道的宽度就很窄了，信道里边终端的冲突概率就变得更大了，如果想要避免或是减少冲突，那么则需要花费更多的时间来监测冲突，有问题的情况下，还需要重发数据包，那么速度肯定也提不上去。

2,4G频段一共有14个信道，但在中国只允许使用前13个信道。每个信道22MHZ宽，实际使用来传输数据的只有20MHZ宽，其余的2MHZ用来隔离信道，就好比马路两侧的绿化带

在2.4GHz频段，1、6和11是唯一不重叠的频道。所以，两个设备要相隔5个信道才不会相互干扰，即1、6、11相互隔开，致使一个区域只能有3个无线设备

在这里插入图片描述

信道带宽

信道包括模拟信道和数字信道。在模拟信道，带宽按照信号频带范围公式W=f2-f1 计算；数字信道的带宽为信道能够达到的最大数据速率

传输速率：传输速度的单位是每秒比特（bit/s）或每秒字节（Byte/s）

信道复用

多路复用技术是把多个低速信道组合成一个高速信道的技术。这种技术要用到两个设备，其中，多路复用器（Multiplexer）在发送端根据某种约定的规则把多个低带宽的信号复合成个高带宽的信号；多路分配器（Demultiplexer）在接收端根据同一规则把高带宽信导分解成您个低带宽信号。多路复用器和多路分配器统称多路器，简写为MUX

频分复用FDM

频分复用是将所给的信道带宽分割成互不重叠的许多小区间，每个小区间能顺利通过一路信号，在一般情况下可以通过正弦波调制的方法实现频分复用。频分复用的多路信号在频率上不会重叠，但在时间上是重叠的。

OFDM

OFDM(Orthogonal Frequency Division Multiplexing)即正交频分复用技术，实际上OFDM是MCM(Multi Carrier Modulation)，多载波调制的一种。通过频分复用实现高速串行数据的并行传输, 它具有较好的抗多径衰落的能力，能够支持多用户接入。 [1]

时分多路复用TDM

时分多路复用（TDM）是按传输信号的时间进行分割的，它使不同的信号在不同的时间内传送，将整个传输时间分为许多时间间隔（Slot time，TS，又称为时隙），每个时间片被一路信号占用。TDM就是通过在时间上交叉发送每一路信号的一部分来实现一条电路传送多路信号的。电路上的每一短暂时刻只有一路信号存在。

SONET采用的成帧方法

码分复用CDM

码分复用是一种以扩频技术为基础的复用技术

波分复用WDM

使用在光纤通信中，不同的信道用不同的波长的光波承载。在同一根光纤中同时传输两个或众多不同波长光信号的技术，称为波分复用。

信号调制编码

电(电压或电流),有直流和交流之分。在通信应用中,用作信号传输的一般都是交流电。呈正弦变化的交流电信号,随着时间的变化,其幅度时正、时负以一定的能量和速度向前传播。

信号的“频率”：正弦波幅度在1秒钟内的重复变化次数

周期：信号波形变化一次所需的时间,以秒为单位。

波行进一个周期所经过的距离称为“波长”，用λ表示,以米为单位。　

f（频率）、T（周期）和λ（波长）存在如下关系:

c=λ/T=λ×f

其中,c是电磁波的传播速度,等于3x10^8米/秒。

根据脉冲编码调制方案，采样的频率决定了恢复的模拟信号的质量。尼奎斯特采样定理说明，为了恢复原来的模拟信号，采样领率必须大于模拟信号最高频率的二倍

$f=\frac{1}{T}\geq2f_{max}$

数字调制

数字信号调制成模拟信号

数据的三种调制方法：调幅、调频、调相，分别称为振幅键控ASK、移频键控FSK、移相键控PSK。

图片说明

ASK——幅移键控，通过调整振幅来表示不同数据；

FSK——频移键控，通过调整频率来表示不同数据；

PSK——相移键控，通过调整相位来表示不同数据；

DPSK——相对相移键控调制，信息是通过连续信号之间的载波信号的相位差别被传输的

DPSK

DPSK（Differential Phase Shift Keying，差分移相键控）是利用调制信号前后码元之间载波相对相位的变化来传递信息的。

DPSK调制技术即差分相移键控，采用了2种相位，通过前沿有无相位的改变来表示数据“0”和“1”。

4相调制

数据速率是码元速率的两倍

脉冲编码调制PCM

属于基带传输

PCM 即脉冲编码调制 (Pulse Code Modulation)。在PCM过程中，将输入的模拟信号进行采样、量化和编码，用二进制进行编码的数来代表模拟信号的幅度

抽样是把时间连续的模拟信号转换成时间上离散、幅度连续的抽样信号；

量化是把时间离散、幅度连续的抽样信号转换成时间离散、幅度离散的数字信号；

编码是将量化后的信号编码形成多位二进制码组成的码组表示抽样值，完成模拟信号到数字信号的转换。编码后的二进制码组经数字信道传输，在接收端，经过译码和滤波，还原为模拟信号。

抽样

抽样是把模拟信号以其信号带宽2倍以上的频率提取样值，变为在时间轴上离散的抽样信号的过程。例如，话音信号带宽被限制在0.3～3.4kHz内，用 8kHz的抽样频率（fs），就可获得能取代原来连续话音信号的抽样信号。对一个正弦信号进行抽样获得的抽样信号是一个脉冲幅度调制（PAM）信号，对抽样信号进行检波和平滑滤波，即可还原出原来的模拟信号。

量化

抽样信号虽然是时间轴上离散的信号，但仍然是模拟信号，其样值在一定的取值范围内，可有无限多个值。显然，对无限个样值一一给出数字码组来对应是不可能的。为了实现以数字码表示样值，必须采用“四舍五入”的方法把样值分级“取整”，使一定取值范围内的样值由无限多个值变为有限个值。这一过程称为量化。

pcm编码

量化后的抽样信号与量化前的抽样信号相比较，当然有所失真，且不再是模拟信号。这种量化失真在接收端还原模拟信号时表现为噪声，并称为量化噪声。量化噪声的大小取决于把样值分级“取整”的方式，分的级数越多，即量化级差或间隔越小，量化噪声也越小。

编码

量化后的抽样信号在一定的取值范围内仅有有限个可取的样值，且信号正、负幅度分布的对称性使正、负样值的个数相等，正、负向的量化级对称分布。若将有限个量化样值的绝对值从小到大依次排列，并对应地依次赋予一个十进制数字代码（例如，赋予样值0的十进制数字代码为0），在码前以“+”、“－”号为前缀，来区分样值的正、负，则量化后的抽样信号就转化为按抽样时序排列的一串十进制数字码流，即十进制数字信号。简单高效的数据系统是二进制码系统，因此，应将十进制数字代码变换成二进制编码。根据十进制数字代码的总个数，可以确定所需二进制编码的位数，即字长。这种把量化的抽样信号变换成给定字长的二进制码流的过程称为编码。

不归零码
- 高电平代表1，低电平代表0
曼彻斯特码，又叫数字双相码
- 电位由高到底代表1，电位由低到高代表0
差分曼彻斯特码，又叫条件双相码（CDP码）
- 两个相邻的波形，如果后一个波形和前一个的波形相同，则后一个波形表示0，如果波形不同，则表示1
4B/5B编码（todo）

双相码：抗干扰性好，实现自同步。

曼彻斯特：用于以太网编码，效率为50%

差分曼彻斯特：用于令牌环网，效率为50%。

双相码的每一个码元都要调制为两个不同的电平，因而调制速率是码元速率的2倍

通信方式和交换方式

单工通信
半双工
全双工

同步方式

异步传输（发送和接受不在同一时钟下）：在字符前后插入起始位（0）和停止位（1）.但是加入的同时会造成速率的降低
同步传输

考点

背

telnet协议是一种()的远程登录协议。TCP

我国自行研制的移动通信3G标准是（）。TD-SCDMA

4G无线通信采用的载波调制技术是OFDM， 5G采用改进的 F-OFDM

不属于4G标准的是WCDMA

LTE、LTE-Advanced、WIMAXII、Wireless MAN、UMB等属于4G标准

RS-232-C的电气特性采用V.28标准电路，允许的数据速率是（1），传输距离不大于（2）

20kb/s,15m

同步数字系列SDH (Synchronous Digital Hierarchy)中最常用的是

STM-1(155.520 Mb/s、

STM-4(622.080 Mb/s、

STM-16（2488.320 Mb/s

STM-64（10Gb/s

在光纤通信标准中，OC-3的数据速率是（）。155Mb/s

按照美国制定的光纤通信标准SONET，OC-48的线路速率是（） Mb/s。2488.32

无线漫游是由无线客户端而不是AP发起的(AP:无线访问接入点)

利用SDH实现广域网互联，如果用户需要的数据传输速率较小，可以用准同步数字系列（PDH）兼容的传输方式在每个STM-1帧中封装　（）　个E1信道。63

ITU V.90调制解调器（Modem）的下载速度为56kb/s，上传速率是33.6kb/s。

跳频扩频是在时间周期后跳到另一个载频上，减少了干扰，并不能扩大通信的范围，选项b错误。

计算

8 个9600b/s 的信道按时分多路复用在一条线路上传输，在统计TDM 情况下，假定每个子信道有80%的时间忙，复用线路的控制开销为5%，那么复用线路的带宽为（15）。

（15）A．32kb/s B．64 kb/s C．72 kb/s D．96 kb/s

试题解析：

（8 * 9600）* 80% / （1-5%）≈ 64kb/s。

5个64kb/s 的信道按统计时分多路复用在一条主线路上传输，主线路的开销为4% ，假定每个子信道利用率为90% ，那么这些信道在主线路上占用的带宽为（）kb/s。

子信道利用率为90%,）因此复用后速率为： 5 * 64kbps * 90%=288kbps，又因为开销占了4%,t因此实际传送的数据只占96%，所以实际要占288/0.96=300kbps。

在PCM中，若对模拟信号的采样值使用64级量化，则至少需使用( )位二进制。

量化，就是把经过抽样得到的瞬时值将其幅度离散，即用一组规定的电平，把瞬时抽样值用最接近的电平值来表示，离散值的个数决定了量化的精度。64级量化，需要使用的二进制位数是6，因为2的6次方=64。

设信道带宽为3400HZ，采用PCM编码，采样周期为125μs，每个样本量化为256个等级，则信道的数据速率为( )。

采样周期125μs，f=1s/125us=8000Hz ,每秒采样8000次，256个量化级是8b，速率=8×8000=64Kb/s.

8条模拟信道采用TDM复用成1条数字信道，TDM帧的结构为8字节加1比特同步开销(每条模拟信道占1个字节)。若模拟信号频率范围为10~16kHz. 样本率至少为（）样本/秒，此时数字信道的数据速率为（） Mbps。

采样频率应为信道最高频率的2倍，所以模拟信号频率范围为10~16kHz，那么样本率至少为16k * 2 =32kHz。题干中声明，8条模拟信道采用TDM复用成1条数字信道，TDM帧的结构为8字节加1比特同步开销，其中1B为8 b，即一共有8 B * 8 b+1 b=65b。1个采样样本占65比特，则数据速率为32k*65b=2080kbps=2.08mbps

点拨：其中32kHz是每秒采样的样本数，即每秒采样32k个样本

若8进制信号的信号速率是4800Baud，则信道的数据速率为()kb/s。
A.9.6
B.14.4
C.19.2
D.38.4
信管网参考答案：B

传输

在地面上相隔2000KM的两地之间通过卫星信道传送4000比特长的数据包，如果数据速率为64Kb/S，则从开始发送到接收完成需要的时间是（）。

卫星信道的传输延迟为270ms，4000比特数据包发送时间为4000b/64kb/s=62.5ms，二者相加 270+62.5=332.5ms。

两个部件的可靠度R均为0.8，由这两个部件串联构成的系统的可靠度为（1）；由这两个部件并联构成的系统的可靠度为（2）。（1）

本题知识点：广域通信网 Cnitpm.com, 串联的可靠度=R*R=0.64。并行的可靠度=1-(1-R)(1-R)=1-0.04=0.96

在地面上相距2000公里的两地之间通过电缆传输4000比特长的数据包，数据速率为64Kb/s，从开始发送到接收完成需要的时间为（）。72.5ms

电缆传播速度20km/ms

网络安全

网络安全威胁的类型

网络威胁是对网络安全缺陷的潜在利用，这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全所面临的威胁可以来自很多方面，并且随着时间的变化而变化。网络安全威胁有以下几类。

（1）窃听。在广播式网络系统中，每个节点都可以读取网上传输的数据，例如搭线窃听、安装通信监视器和读取网上的信息等。网络体系结构允许监视器接收网上传输的所有数据帧而不考虑帧的传输目标地址，这种特性使得偷听网上的数据或非授权访问很容易而且不易发现。

（2）假冒。当一个实体假扮成另一个实体进行网络活动时就发生了假冒。

重放

重放。重复一份报文或报文的一部分，以便产生一个被授权效果。

措施：随机数，时间戳

拒绝服务(DDoS)

分布式拒绝服务（Distributed Denial of Service，简称DDoS）将多台计算机联合起来作为攻击平台，通过远程连接，利用恶意程序对一个或多个目标发起DDoS攻击，消耗目标服务器性能或网络带宽，从而造成服务器无法正常地提供服务。

攻击原理

通常，攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上，并在网络上的多台计算机上安装代理程序。在所设定的时间内，主控程序与大量代理程序进行通讯，代理程序收到指令时对目标发动攻击，主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。

常见的DDoS攻击类型

DDoS攻击分类	攻击子类	描述
畸形报文	畸形报文主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文等。	畸形报文攻击指通过向目标系统发送有缺陷的IP报文，使得目标系统在处理这样的报文时出现崩溃，从而达到拒绝服务的攻击目的。
传输层DDoS攻击	传输层DDoS攻击主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等。	以Syn Flood攻击为例，它利用了TCP协议的三次握手机制，当服务端接收到一个Syn请求时，服务端必须使用一个监听队列将该连接保存一定时间。因此，通过向服务端不停发送Syn请求，但不响应Syn+Ack报文，从而消耗服务端的资源。当监听队列被占满时，服务端将无法响应正常用户的请求，达到拒绝服务攻击的目的。
DNS DDoS攻击	DNS DDoS攻击主要包括DNS Request Flood、DNS Response Flood、虚假源+真实源DNS Query Flood、权威服务器攻击和Local服务器攻击等。	以DNS Query Flood攻击为例，其本质上执行的是真实的Query请求，属于正常业务行为。但如果多台傀儡机同时发起海量的域名查询请求，服务端无法响应正常的Query请求，从而导致拒绝服务。
连接型DDoS攻击	连接型DDoS攻击主要是指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻击。	以Slowloris攻击为例，其攻击目标是Web服务器的并发上限。当Web服务器的连接并发数达到上限后，Web服务即无法接收新的请求。Web服务接收到新的HTTP请求时，建立新的连接来处理请求，并在处理完成后关闭这个连接。如果该连接一直处于连接状态，收到新的HTTP请求时则需要建立新的连接进行处理。而当所有连接都处于连接状态时，Web将无法处理任何新的请求。Slowloris攻击利用HTTP协议的特性来达到攻击目的。HTTP请求以`\r\n\r\n`标识Headers的结束，如果Web服务端只收到`\r\n`，则认为HTTP Headers部分没有结束，将保留该连接并等待后续的请求内容。
Web应用层DDoS攻击	Web应用层攻击主要是指HTTP Get Flood、HTTP Post Flood、CC等攻击。	通常应用层攻击完全模拟用户请求，类似于各种搜索引擎和爬虫一样，这些攻击行为和正常的业务并没有严格的边界，难以辨别。Web服务中一些资源消耗较大的事务和页面。例如，Web应用中的分页和分表，如果控制页面的参数过大，频繁的翻页将会占用较多的Web服务资源。尤其在高并发频繁调用的情况下，类似这样的事务就成了早期CC攻击的目标。由于现在的攻击大都是混合型的，因此模拟用户行为的频繁操作都可以被认为是CC攻击。例如，各种刷票软件对网站的访问，从某种程度上来说就是CC攻击。CC攻击瞄准的是Web应用的后端业务，除了导致拒绝服务外，还会直接影响Web应用的功能和性能，包括Web响应时间、数据库服务、磁盘读写等。

措施

配置最小特权访问策略、部署IPS防护、启用防火墙的防DDOS功能、购买流量清洗服务、停止不必要的服务端口等。

SQL注入攻击

SQL注入攻击：黑客从正常的网页端口，进行网站访问，通过巧妙构建SQL语句，获取数据库敏感信息，或直接向数据库插入恶意语句。

SQL注入攻击防范的主要方法如下：

对用户输入做严格检查，防止恶意SQL输入。
部署DBS数据库审计系统、WAF，进行安全阻断。

跨站脚本攻击

跨站脚本攻击（Cross Site Script，为了区别在CSS简称为XSS）指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

XSS跨站脚本攻击核心都是利用了脚本注入，

因此解决办法其实很简单：

部署WAF，防火墙，自动过滤攻击报文。
对用户输入进行过滤，对特殊字符如”<”，”>”转义，可以从根本上防止这一问题。

病毒

计算机病毒的分类方法有许多种，按照最通用的区分方式，即根据其感染的途径以及采用的技术区分，计算机病毒可分为文件型计算机病毒、引导型计算机病毒、宏病毒和目录型计算机病毒。

文件型计算机病毒感染可执行文件（包括EXE和COM文件。
引导型计算机病毒影响软盘或硬盘的引导扇区。
目录型计算机病毒能够修改硬盘上存储的所有文件的地址。
宏病毒感染的对象是使用某此程序创建的文本文档、数据库、电子表格等文件，从文件名可以看出Macro.Melissa是一种宏病毒。

病毒的分类和命名规则

病毒名称的一般格式为<病毒前缀>.<病毒名>.<病毒后缀>。病毒前缀是指病毒的种类，不同种类的病毒其前缀是不同的。比如常见的木马病毒的前缀为Trojan，蠕虫病毒的前缀是Worm等。病毒名是指一个病毒的家族特征，例如CIH 病毒的家族名是“CIH”，振荡波蠕虫病毒的家族名是”Sasser”。病毒后缀是用来区别某个家族病毒的不同变种的，一般都采用英文字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种b。如果病毒变种非常多，可以采用数字与字母混合表示。

杀毒软件报告发现病毒Macro.Melissa，由该病毒名称可以推断出病毒类型是（1），这类病毒主要感染目标是（2）。宏病毒，word/excel

硬件和兼容部件并不能保证正常而有效地工作，除非用户选择了适当的安全策略和打开了能增加其系统安全的部件。

木马

C&C

一句话木马：eval（）

APT

安全技术

任何形式的网络服务都会导致安全方面的风险，问题是如何将风险降低到最低程度，目前的网络安全措施有数据加密、数字签名、身份认证、防火墙和入侵检测等。
（1）数据加密。数据加密是通过对信息的重新组合，使得只有收发双方才能解码并还原信息的一种手段。随着相关技术的发展，加密正逐步被集成到系统和网络中。在硬件方面，已经在研制用于 PC 和服务器主板的加密协处理器。
（2）数字签名。数字签名可以用来证明消息确实是由发送者签发的，而且，当数字签名用于存储的数据或程序时，可以用来验证数据或程序的完整性。
（3）身份认证。有多种方法来认证一个用户的合法性，例如密码技术、利用人体生理特征（如指纹）进行识别、智能IC卡和USB盘等。

（4）防火墙。防火墙是位于两个网络之间的屏障，一边是内部网络（可信赖的网络），另一边是外部网络（不可信赖的网络）。按照系统管理员预先定义好的规则控制数据包的进出。
（5）内容检查。即使有了防火墙、身份认证和加密，人们仍担心遭到病毒的攻击。

信息加密和摘要技术

对称加密算法

加密密钥和解密密钥相同的算法，称为对称加密算法，对称加密算法相对非对称加密算法加密的效率高，适合大量数据加密。常见的对称加密算法有DES、3DES、RC5、IDEA

数据加密标准（DES）：一种分组密码，在加密前，先对整个明文进行分组。每一个分组为64位，之后进行16轮迭代，产生一组64位密文数据，使用的密钥是56位。

3DES：使用两个密钥，执行三次DES算法，密钥长度是112位。56*2=112

IDEA明文、密文均为 64 位，密钥长度128位

RC4常用流密码，密切长度可变

非对称加密算法

加密密钥和解密密钥不相同的算法，称为非对称加密算法，这种方式又称为公钥密码体制，解决了对称密钥算法的密钥分配与发送的问题。在非对称加密算法中，私钥用于解密和签名，公钥用于加密和认证。

RSA

邮件加密pgp

pgp（pretty good privacy），是一个基于rsa公钥加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者，并能确信邮件没有被篡改。它可以提供一种安全的通讯方式，而事先并不需要任何保密的渠道用来传递密匙。它采用了一种rsa和传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计。它的功能强大，有很快的速度。而且它的源代码是免费的。

报文摘要-Hash算法

将一段数据（任意长度）经过一道计算，转换为一段定长的数据（MD5 128位，SHA 160位）

特点
- 不可逆性（单向）：几乎无法通过Hash结果推导出原文，即无法通过x的Hash值推导出x
- 碰撞性：几乎没有可能找到一个y，使得y的Hash值等于x的Hash值
- 雪崩效应：输入轻微变化，Hash输出值产生巨大变化

报文摘要
- MD5：对任意长度报文进行运算，先把报文按512位分组，最后得到128位报文摘要。
- SHA：对512位长的数据块进行复杂运行，最终产生160位散列值，比MD5更安全，计算比MD5慢。

作用：
- 文件完整信校验

账号密码存储
用户身份认证

认证

认证又分为实体认证和消息认证两种。

实体认证是识别通信对方的身份，防止假冒，可以使用数字签名的方法。
消息认证是验证消息在传送或存储过程中有没有被篡改，通常使用报文摘要的方法。下面介绍3种身份认证的方法，前两种是基于共享密钥的，最后一种是基于公钥的认证。

BYOD（Bring Your Own Device，自带设备），即通过Wi-Fi的接入方式自带设备，提高工作效率，这已成为业界的趋势。而目前我们所了解的无感知认证，就是通过BYOD的方式无需用户介入自动接入Wi-Fi网络。无感知认证主要分为Portal、802.1x以及MAC等多种方式。

web/Portal认证

Portal认证的基本过程是：客户机首先通过DHCP协议获取到IP地址（也可以使用静态IP地址），但是客户使用获取到的IP地址并不能登上Internet，在认证通过前只能访问特定的IP地址，这个地址通常是PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这个能力。一般通过修改接入设备的访问控制表（ACL）可以做到。

用户登录到Portal Server后，可以浏览上面的内容，比如广告、新闻等免费信息，同时用户还可以在网页上输入用户名和密码，它们会被WEB客户端应用程序传给 Portal Server，再由Portal Server与NAS之间交互来实现用户的认证。

802.1x

802.1x协议为二层协议，不需要到达三层，而且接入层交换机无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本。

IEEE802.1x是IEEE（美国电气电子工程师学会）802委员会制定的应用于LAN交换机和无线LAN接入点的用户认证技术。

PPPOE

以太网上点对点协议（PPP over Ethernet）

MAC认证

以终端MAC地址作为身份认证的凭据，进行系统认证。适用于哑终端认证和免认证场景。

计算机科学中，哑终端表示一个相对于其他种类比较“聪明”的计算机终端来说，功能较为有限的计算机终端。打印机

MAC旁路认证：适用于802.1x中无法启用802.1x的哑终端。将MAC地址作为用户和密码来接入网络。

MAC认证的用户名格式：

1.MAC地址：将用户的MAC地址作为用户名，同时使用MAC地址或自定义的字符串作为PASSWORD

2.固定用户名形式：不论用户的MAC何值，所有用户均使用接入控制设备上指定的一个固定用户名和密码来替代MAC地址作为身份信息认证。

3.DHCP：获取用户的DHCP选项字段以及一个固定密码来代替MAC地址作为认证信息。

数字签名和证书

数字签名好比现实中你的签字

数字证书好比现实中你的身份证

数字签名

数字签名的作用就是确认发送者身份和消息完整

数字证书

数字证书确认发送者身份

场景：A 声明自己是某银行办事员向客户索要账户和密码，客户验证了 A 的签名，确认索要密码的信息是 A 发过来的，那么客户就愿意告诉A用户名和密码么？
显然不会。因为客户仅仅证明信息确实是 A 发过来的没有经过篡改的信息，但不能确认 A 就是银行职员、做的事情是否合法。这时需要有一个权威中间部门M（如政府、银监会等），该部门向 A 颁发了一份证书，确认其银行职员身份。这份证书里有这个权威机构 M 的数字签名，以保证这份证书确实是 M 所发。
数字证书采用公钥体制进行加密和解密。每个用户有一个私钥来解密和签名：同时每个用户还有一个公钥来加密和验证。

注册机构RA:/负责受理用户申请证书，对申请人的合法性进行认证，并决定是批准或拒绝证书申请。注册机构并不给用户签发证书而只是对用户进行资格审查。
证书颁发机构CA:负责给用户颁发、管理和撤销证书。较小的机构，可以由CA兼任RA的工作

VPN虚拟专用网

虚拟专用网络（Virtual Private Network，VPN）是在公用网络上建立专用网络的技术。由于整个 VPN 网络中的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商ISP所提供的网络平台，所以称之为虚拟网。

实现VPN 的关键技术主要有以下几种。

隧道技术（Tunneling）实现 VPN 的最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP 隧道的建立可以在链路层和网络层。

VPN主要隧道协议有PPTP、L2TP、IPsec、SSL VPN、TLS VPN.
加解密技术（Encryption&Decryption）。VPN可以利用已有的加解密技术实现保密通信，保证公司业务和个人通信的安全。
密钥管理技术（Key Management），建立隧道和保密通信都需要密钥管理技术的支撑，密钥管理负责密钥的生成、分发、控制和跟踪，以及验证密钥的真实性等。
身份认证技术（Authentication），加入VPN的用户都要通过身份认证，通常使用用户名和密码，或者智能卡来实现用户的身份认证。

IPSec

企业对网络安全性的需求日益提升，而传统的TCP/IP协议缺乏有效的安全认证和保密机制。IPSec（Internet Protocol Security）作为一种开放标准的安全框架结构，可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。

架构

AH：数据完整性
ESP：数据加密，ip端口50
- 3des
- aes-128
- aes-192
- aes-256
- des
- sml
IKE：密钥，端口是udp的500

模式

隧道模式：隧道模式是对整个IP数据包提供安全传输机制。是在一个IP数据报的后面和前面都添加一些控制字段，构成IPsec数据报

在隧道模式下，IPSec会另外生成一个新的IP报头，并封装在AH或ESP之前

传输模式：在传输模式下，IPsec包头增加在原IP包头和数据之间，在整个传输层报文段的后面和签名添加一些控制字段，构成IPsec数据报。这种方式是把整个传输层报文段都保护起来。因此只能保证原IP包数据部分的安全性

在传输模式下，AH或ESP报头位于IP报头和传输层报头之间。

应用场景

企业分支可以通过IPSec VPN接入到企业总部网络。

SSL

SSL VPN是基于应用层的VPN技术。

SSL认证过程

安全套接字协议SSL（Secure Socket Layer）工作在应用层和传输层之间，提供身份认证和保密通信功能。SSL所包含的协议有SSL握手协议、SSL修改密文协议、SSL警告协议和SSL记录协议。

SSL握手协议负责身份认证和密钥生成。
SSL记录协议负责接收应用层报文，并将数据划分成可管理的块（214个字节），选择性地压缩数据，应用报文认证码（MAC）对数据进行加密，并增加首部，通过TCP报文段传输数据；接收者将数据进行解密、验证、解压，重装配成应用报文，然后交付更高级的用户。

在客户端与服务器间传输的数据是通过使用对称算法（如 DES 或 RC4）进行加密的。公用密钥算法（通常为 RSA）是用来获得加密密钥交换和数字签名的，此算法使用服务器的SSL数字证书中的公用密钥。有了服务器的SSL数字证书，客户端也可以验证服务器的身份。SSL 协议的版本 1 和 2 只提供服务器认证。版本 3 添加了客户端认证，此认证同时需要客户端和服务器的数字证书。

SSL安全连接建立在TCP443端口，统一资源定位器使用HTTPS://开头。

SSL和IPSec

IPSec适用于网对网的VPN连接（Site-Site），广泛应用于VPN路由器部署中。IPSecVPN用户通常需要有相应的客户端软件。

SSL比较适用于移动用户的远程接入（Client-Site），广泛应用于网络安全交易和远程控制。SSLVPN通常无需安装客户端，浏览器即可。

防火墙

随着Internet的广泛应用，人们在扩展了获取和发布信息能力的同时也带来了信息被污染和破坏的危险。这些安全问题主要是由网络的开放性、无边界性和自由性等因素造成的。
（1）计算机操作系统本身有一些缺陷。

（2）各种服务，如Telnet、NFS、DNS和Active X等存在安全漏洞。

（3）TCP/IP 协议几乎没有考虑安全因素。

（4）追查黑客的攻击很困难，因为攻击可能来自 Internet 上的任何地方。对于一组相互信任的主机，其安全程度是由最弱的一台主机

所决定的，一旦被攻破，就会殃及其他主机。出于对以上问题的考虑，应该把被保护的网络与开放的、无边界的、不可信任的网络

隔离起来，使其成为可管理、可控制、安全的内部可信任网络。要做到这一点，最基本的隔离手段就是使用防火墙。

“防火墙”一词来自建筑物中的同名设施，从字面意思上说，它用于防止火灾从建筑物的一部分蔓延到其他部分。Internet防火墙也要起到

同样的作用，防止 Internet上的不安全因素蔓延到企业或组织的内部网。

从狭义上说，防火墙是指安装了防火墙软件的主机或路由器系统；从广义上说，防火墙还包括整个网络的安全策略和安全行为。

AT&T的两位工程师William Cheswich和Steven Bellovin给出了防火墙的明确定义。

（1）所有的从外部到内部或从内部到外部的通信都必须经过它。

（2）只有内部访问策略授权的通信才能被允许通过。

（3）系统本身具有很强的可靠性。

总而言之，防火墙是一种网络安全防护手段，其主要目标就是通过控制进/出一个网络的权限，并对所有经过的数据包都进行检查，防止内网络受到外界因素的干扰和破坏。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，能有效地监视内部网络和

Internet之间的任何活动，保证内部网络的安全；在物理实现上，防火墙是位于网络特殊位置的一组硬件设备——路由器、计算机或其

他特别配置的硬件设备。防火墙可以是一个独立的系统，也可以在一个经过特别配置的路由器上实现防火墙。

工作模式

交换模式 (二层模式)

交换模式的防火墙其实等于从数据链路层开始解析的基于包过滤原理 / 状态机制的网络级防火墙；如果防护墙支持路由模式，则即等于带有加强的过滤规则和状态机制的路由器。

路由模式 (三层模式）

当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及 DMZ 三个区域相连的接口分别配置成不同网段的 IP 地址，重新规划原有的网络拓扑，此时相当于一台路由器。

混合模式

如果防火墙既存在工作在路由模式的接口（接口具有 IP 地址），又存在工作在透明模式的接口（接口无 IP 地址），则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况，此时启动 VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）功能的接口需要配置 IP 地址，其它接口不配置 IP 地址。

背

X.509数字证书标准推荐使用的密码算法是(43)，而国密SM2数字证书采用的公钥密码算法是(44)RSA，ECC

报文摘要算法生成报文摘要的目的是防止发送的报文被篡改

DHCP Snooping是 DHCP 的一种安全特性，主要应用在交换机上，作用是屏蔽接入网络中的非法的 DHCP 服务器。即开启 DHCP Snooping 功能后，网络中的客户端只有从管理员指定的 DHCP 服务器获取 IP 地址。

IPSec是网络层安全协议，L2TP和PPTP是链路层安全协议，TLS是传输层安全协议。

下图所示为一种数字签名方案，网上传递的报文是 (1) ，防止A抵赖的证据是 (2) 。$E_B(D_A(P))$,$D_A(P)$

题图中所示为一种利用公钥加密算法实现的数字签名方案，发送方A要发送给接收方B的报文P经过A的私钥签名和B的公钥加密后形成报文$E_B(D_A(P))$发送给B，B利用自己的私钥$D_B$和A的公钥$E_A$对消息$E_B(D_A(P))$进行解密和认证后得到报文P，并且保存经过A签名的消息$D_A(P)$作为防止A抵赖的证据。

无线局域网通常采用的加密方式是WPA2，其安全加密算法是（）。AES和TKIP

网络规划

综合布线系统

综合布线系统就是为了顺应发展需求而特别设计的一套布线系统
对于现代化的大楼来说，就如体内的神经，它采用了一系列高质量的标准材料
以模块化的组合方式，把语音、数据、图像和部分控制信号系统用统一的传输媒介进行综合
经过统一的规划设计，综合在一套标准的布线系统中，将现代建筑的三大子系统有机地连接起来，为现代建筑的系统集成提供了物理介质
可以说，结构化布线系统的成功与否直接关系到现代化的大楼的成败，选择一套高品质的综合布线系统是至关重要的

综合布线系统采用的是星型结构，主要由6个子系统构成，而

这6个子系统每一个都可以独立的、不受其他影响的进入到PDS（综合布线系统）终端中，这6个子系统分别是

工作区子系统

工作区子系统由终端设备连接到信息插座之间的设备组成。包括：信息插座、插座盒、连接跳线和适配器组成。

水平区子系统应由工作区用的信息插座，楼层分配线设备至信息插座的水平电缆、楼层配线设备和跳线等组成。水平子系统根据整个综合布线系统的要求，应在二级交接间、交接间或设备间的配线设备上进行连接，以构成电话、数据、电视系统和监视系统，并方便地进行管理。
水平布线子系统

本系统主要负责将管理子系统配线架的电缆从干线子系统延伸至信息插座位置，一般来说这些系统都处在同一楼层
管理子系统
管理子系统设置在一层楼分配线设备的房间内。管理间子系统应由交接间的配线设备，输入/输出设备等组成，也可应用于设备间子系统中。管理子系统应采用单点管理双交接。
垂直干线子系统

是综合布线系统的中心系统，主要负责连接楼层配线架系统与主配线架系统
设备间子系统
设备间是在每一幢大楼的适当地点设置进线设备，进行网络管理以及管理人员值班的场所。设备间子系统应由综合布线系统的建筑物进线设备、电话、数据、计算机等各种主机设备及其保安配线设备等组成。
建筑群子系统

建筑群子系统将一栋建筑的线缆延伸到建筑群内的其它建筑的通信设备和设施。它包括铜线、光纤、以及防止其它建筑的电缆的浪涌电压进入本建筑的保护设备。

网络分层设计模型

核心层：核心层是网络主干部分，是整个网络性能的保障，其设备包括路由器、防火墙、核心层交换机等等，相当于公司架构里的管理高层。核心层的主要功能是实现骨干网络之间的优化传输，负责整个网络的连通和快速交换。骨干层设计任务的重点通常是冗余能力、可靠性和高速传输。核心层一直被认为是所有流量的最终承受者和汇聚者。

汇聚层：汇聚层是网络接入层和核心层的”中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址之间的过滤等功能。

接入层：通常将网络中直接面向用户连接或访问网络的部分称为接入层，也就相当于公司架构里的基层员工，因此接入层交换机具有低成本和高端口密度特性。接入层通过光纤、双绞线、同轴电缆、无线接入技术等传输媒介，实现与用户的对接，并进行业务和带宽的分配。

在网络的分层设计模型中，对核心层工作规程的建议是（69）。尽量避免使用访问控制列表以减少转发延迟

EIA/TIA-568标准规定，在综合布线时，如果信息插座到网卡之间使用无屏蔽双绞线，布线距离最大为（）米。10米

HFC网络中，从运营商到小区采用的接入介质为（），小区入户采用的接入介质为（）。

光纤，同轴电缆

通过HFC网络实现宽带接入，用户端需要的设备是（1），局端用于控制和管理用户的设备是（2）。

cable modem
cmts

电缆调制解调器（Cable Modem，CM）是基于HFC网络的宽带接入技术。用于调制解调以及作为以太网接口。CM是用户设备与同轴电缆网络的接口。在下行方向，它接收前端设备CMTS（Cable Modem Termination System）发送来的QAM信号，经解调后传送给PC的以太网接口。在上行方向，CM把PC发送的以太帧封装在时隙中，经Q调制后，通过上行数据通路传送给CMTS。

三层交换机包括二层交换机和三层交换机转发，均由硬件实现；通常三层交换机用在单位内部，路由器放置在出口；三层交换机除了存储转发外，还可以采用直通交换技术。

网络常见部署模式

网络有四种常见的部署模式：单臂模式部署、路由模式部署、网桥模式部署、旁路模式部署

无线

1、AP：

无线AP即无线接入点，它用于无线网络的无线交换机，也是无线网络的核心，简单的说就是功能增强版无线路由器

2、AC：

AC是用来管理AP用的，可以对AP进行集中式管理

3、WIFI：

Wi-Fi是一种可以将个人电脑、手持设备等终端以无线方式互相连接的技术。Wi-Fi是一个无线网路通信技术的品牌，由Wi-Fi联盟所持有。

4、WLAN：

WLAN是Wireless Local Area Network的简称，指应用无线通信技术将计算机设备互联起来，构成可以互相通信和实现资源共享的网络体系。

无线通信网

无线网主要使用 3 种通信技术：红外线、扩展频谱和窄带微波技术。
红外通信

红外线（Infrared Ray，IR）通信技术可以用来建立 WLAN，IR 通信分为 3 种技术：
- ①定向红外光来：用于点对点链路，可以连接几座大楼中的网络，每幢大楼的路由器或网桥在视距范围内通过IR收发器互相连接。
- ② 全方向广播红外线：基站置于天花板上，基站上的发射器向各个方向广播信号，所有终端的IR收发器都用定位光束瞄准天花板上的基站，可以接收基站发出的信号，或向基站发送信号。
- ③ 浸反射红外线：在这种配置中，所有的发射器都集中瞄准天花板上的一点。红外线射到天花板上后被全方位地漫反射回来，并被房间内所有的接收器接收。
扩展频谱通信
扩展频谱通信技术起源于军事通信网络，其主要想法是将信号散布到更宽的带宽上以减少发生阻塞和干扰的机会。早期的扩频方式是频率跳动扩展频谱（FHSS），更新的版本是直接序列扩展频谱（DSSS），这两种技术在IEEE 802.11定义的WLAN中都有应用。
窄带微波通信
窄带微波（Narrowband Microwave）是指使用微波无线电频带（RF）进行数据传输.
其带宽刚好能容纳传输信号。以前所有的窄带微波无线网产品都需要申请许可证，现在已经出现了ISM 频带内的窄带微波无线网产品

wlan数据转发方式

数据转发方式

WLAN网络中的数据包括控制报文（管理报文）和数据报文。

控制报文是通过CAPWAP的控制隧道转发的

用户的数据报文分为

隧道转发（又称为“集中转发”）方式
直接转发（又称为“本地转发”）方式
Soft-GRE转发方式。

隧道转发方式

隧道转发方式是指用户的数据报文到达AP后，需要经过CAPWAP数据隧道封装后发送给AC，然后由AC再转发到上层网络，如下图

直接转发方式

直接转发方式是指用户的数据报文到达AP后，不经过CAPWAP的隧道封装而直接转发到上层网络，如下图

直接转发方式的集中认证

如果采用直接转发方式，业务数据不经过AC转发。当无线用户接入网络需要进行用户接入认证（例如，802.1X认证等）且接入控制点部署在AC上时，用户的认证报文就无法通过AC集中管理，这就给管理员对用户的统一控制造成了不便。所以在直接转发方式下AC会将用户的认证报文通过CAPWAP隧道集中到AC转发，如图3。

隧道转发方式、直接转发方式优缺点：

数据转发方式	优点	缺点
隧道转发	AC集中转发数据报文，安全性更高，方便集中管理和控制，新增设备部署配置方便，对现网改动小。	业务数据必须经过AC封装转发，报文转发效率比直接转发方式低，AC所受压力大。
直接转发	业务数据不需要经过AC封装转发，报文转发效率高，AC所受压力小。	业务数据不便于集中管理和控制，新增设备部署对现网改动大。

背

POE (Power Over Ethernet)指的是在现有的以太网Cat.5布线基础架构不作任何改动的情况下，在为一些基于IP的终端（如IP电话机、无线局域网接入点AP、网络摄像机等）传输数据信号的同时，还能为此类设备提供直流供电的技术。 POE也被称为基于局域网的供电系统。

组网技术

组网技术是部署和配置网络设备

优先级

优先级：直连 0、静态 60、rip 100、ospf 10/150

Router ID的选取顺序：
- 手工配置最优先
- 第二优先级：从loopback接口里，选择IP地址最大的
- 第三优先级：在物理接口中，选择IP地址最大的

cisco

命令

常规

退回到上一级模式（exit）；

直接退回到特权模式（end）；

帮助信息（如？、co？、copy？）

命令自动补齐（Tab）；

Reload重启。

模式

用户模式 Swtich>
特权模式 Swtich# en
- show interface显示接口状态
- show run查看当前生效的配置信息
- show vlan
- show ip rou
- show ip nat translations
- show spanning-tree查看生成树协议

全局配置模式Swtich（config）# conf t

修改交换机名称（hostname X）；
交换机线路视图模式 line console 0

交换机端口视图模式
1
2
int f0/1
int range f0/1-5 //同时配置多个端口1-5 加个range即可
- no sh //打开端口
- 配置交换机端口参数（speed、duplex（双工模式：全双工，半双工））；
- 查看交换机版本信息（show version）；
- 将交换机端口分配到VLAN switchport access vlan <1-4094>
- 配置Tag VLAN switchport mode trunk
- ip address IP subnetmask //给端口如VLAN1配置IP地址以及子网掩码

no shutdown代表什么意思,为什么每次为端口分配ip后都需要这句话,是不是必须得?

No shutdown是开启端口的意思,路由器启机以后端口默认的状态是shutdown的,所以必须用no shutdown来开启端口。接口如果被shutdown了，即使接了网线，网络也是无法通行的

远程登录

技术原理

交换机的管理方式基本分为两种：带内管理和带外管理。

通过远程Telnet、拨号等方式属于带内管理。
通过交换机的Console端口管理交换机属于带外管理；这种管理方式不占用交换机的网络端口，第一次配置交换机必须利用Console端口进行配置。

line vty 0 4

line vty 0 4，该命令是允许用户远程登陆，即不用用户插Console线缆，只要设备连接网络，配置了接口IP地址即可远程使用Telnet、或者ssh的方式登陆到设备上，，CISCO设备一般支持16个并行的远程虚拟终端，按照编号就是：0 - 15.， Line vty 0 4 就是指同时允许5个虚拟终端登陆进行配置,需注意这里配置完成后一定要注意配置enable的密码，要不Telnet是上不去的

switch（config）#enable password 888 //设置进入特权模式进的密码；

Switch（config）#line console 0 //可以设置通过console端口连接设备及telnet远程登录时所需要的密码。
Switch（config-line）#password 777
Switch（config）#login //允许登录
Switch（config）#line vty 04 ////设置最多可以有16终端接入,如果命令是line vty 0 4表示是最多允许5个接入
Switch（config-line）#password 123//设置远程（telnet）登录密码为123
Switch（config）#login

三层交换机和路由配置

交换机端口添加ip可作为管理，互联，网关使用（网关就是去往其它网段的时候需要网关来进行转发）。没配置ip的一般当作二层接入端口来使用,配置了就是三层交换机

三层交换机开启路由功能W1(config)#ip routing

当Router2想要访问Router1后面的许多的网段的时候，不可能手动去添加静态路由，因为那样工作量太大，也容易配置错误，所以这个时候就只用在Router2上面添加一条简单的默认路由就可以了。

默认路由：是对IP数据包中的目的地址找不到存在的其他路由时，路由器所选择的路由（默认路由代表所有网段，不过同时它的优先级也是最低的。）

ip route 0.0.0.0 0.0.0.0 10.0.0.2
静态路由：一种路由的方式，路由项（routing entry）由手动配置，而非动态决定

ip route 192.168.2.0(目标网段) 255.255.255.0 192.168.3.2（下一条地址）

交换机

背景

交换机接口工作模式

access是指定接口连接的是主机
trunk是指定接口连接的是交换机，可以通过多个VLAN的数据。

https://betheme.net/qianduan/39145.html?action=onClick

TRUNK是端口汇聚的意思，通过配置软件的设置，将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽，将属于这几个端口的带宽合并，给端口提供一个几倍于独立端口的独享的高带宽。
Trunk是一种封装技术，它是一条点到点的链路袭，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。基于端口汇聚（Trunk）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量，大幅提供整个网络能力。
核心技术：打标（给信息打上标签）

带有VLAN标签的以太网帧在交换机间传递
主机不管是发送还是接受的信息都是不带标签的。
标签只存在串口线路上。
目的：通过一根网线，传递不同VLAN信息。

交换机划分VLAN配置

实验目标
理解虚拟 LAN（VLAN）基本原理；掌握一般交換机按端口划分 VLAN 的配置方法；掌握Tag VLAN配置方法。

实验背景
某一公司内财务部、销售部的PC通过2台交换机实现通信；要求财务部和销售部内的PC可以互通，但为了数据安全起见，销售部和财务部需要进行互相隔离，现要在交换机上做适当配置来实现这一目的。

技术原理

VLAN是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。VLAN最大的特性是不受物理位置的限制，可以进行灵活的划分。VLAN具备了一个物理网段所具备的特性。相同VLAN内的主机可以相互直接通信，不同VLAN间的主机之间互相访问必须经由路由设备进行转发。广播数据包只可以在本VLAN内进行广播，不能传输到其他VLAN中。

Port VLAN是实现VLAN的方式之一，它利用交换机的端口进行VLAN的划分，一个端口只能属于一个VLAN.
Tag VLAN是基干交换机端口的另外一种类型，主要用于使交换机的相同Vlan内的主机之间可以直接访问，同时对于不同Vlan的主机进行隔离。

Tag VLAN遵循IEEE802.1Q协议的标准。在使用配置了Tag VLAN的端口进行数据传输时，需要在数据帧内添加4个字节的802.1Q标签信息，用于标示该数据帧属于那个VLAN，便于对端交换机接收到数据帧后进行准确的过滤。

三层交换机实现不同vlan路由转发功能

三层交换的工作原理可以用以下通信实现过程来描述：

①假设两个使用IP协议的站点A、B通过第三层交换机进行通信，发送站点A在开始发送时，把自己的IP地址与目的站点B的IP地址比较，判断B是否与自己在同一子网内。若目的站B与发送站A在同一子网内，则直接进行二层的转发。
②若两个站点不在同一子网内，发送站A则要向“默认网关”发出ARP（地址解析）封包，而“默认网关”的IP地址其实是三层交换机的三层交换模块。
③当发送站A对“默认网关”的IP地址广播出一个ARP请求时，若三层交换模块在以前的通信过程中已经知道B站的MAC地址，则向发送站A回复B的MAC地址；否则，三层交换模块根据路由信息向B站广播一个ARP请求。
④B站得到此ARP请求后向三层交换模块回复其MAC地址，由三层交换模块保存此地址并回复给发送站A；同时将B站的MAC地址发送到二层交换引擎的MAC地址表中。
⑤此后，A向B发送的数据帧便全部交给二层交换处理，信息得以高速交换。

微信图片_20220616151120

实验目标
掌握交換机Tag VLAN的配置；掌握三层交換机基本配置方法；掌握三层交換机VLAN路由的配置方法通过三层交换机实现VLAN间相互通信；

实验背景
某企业有两个主要部门，技术部和销售部，分处于不同的办公室，为了安全和便于管理对两个部门的主机进行了VLAN的划分，技术部和销售部分处于不同的VLAN。现由于业务的需求需要销售部和技术部的主机能够相互访问，获得相应的资源，两个部门的交换机通过一台三层交换机进行了连接。

二层交换以mac作为通信手段，三层交换路由，以IP作为通信手段

pc:

ip:192.168.1.2
网关：192.168.1.1

二层：

int f0/2 vlan 2
- switchport access vlan 2
- no sh
int int f0/3 vlan 3
- switchport access vlan 3
- no sh
int f0/1
- sw mode trunk

三层

ip routing
int vlan 2
- no sh
- ip address 192.168.1.1
int vlan 3
- no sh
- ip address 192.168.2.1

快速生成树

什么是环路问题

就是两个交换机连接的网络形成了一个环，比如图中的情况：
电脑A发了一个广播的数据包，数据包从网络1出来的广播包从交换机A出去走了一圈，从交换机B走回来了，同时这个包也可以从交换机B走出去，然后又从交换机A走回来。

从LAN1出来的广播包，从绿色的线走到交换机A，此时交换机A看MAC地址就知道了，电脑是在LAN1里面的
与此同时LAN1出来的广播包从红色的线走到了交换机B，交换机B看MAC地址也可以知道电脑是在LAN1里面的
数据包过了交换机A，在LAN2中广播，沿着绿色的线继续走，走到了交换机B，交换机B看了MAC地址，发现这个MAC地址从别的网络过来了，就以为电脑换位置了，于是更新自己的转发表，电脑在LAN2
同样的，交换机A收到了从交换机B过来的数据包，也会以为电脑换位置了，电脑换成LAN2了

这会带来两个问题：

给交换机的学习带来困难，甚至无法学习到准确的结果
交换机无法学习导致，或者学习结果不准确会导致这个包要一直在网络上广播，太多包在广播了就会导致性能问题。

实验目标

理解生成树协议工作原理；掌握快速生成树协议RSTP基本配置方法；

实验背景
学校为了开展计算机教学和网络办公，建立了一个计算机教室和一个校办公区，这两处的计算机网络通过两台交换机互连组成内部校园网，为了提高网络的可靠性，作为网络管理员，你要用2条链路将交换机互连，现要求在交换机上做适当配置，使网络避免环路。

技术原理

生成树协议（spanning-tree），作用是在交换网络中提供冗余各份链路，并且解决交换网络中的环路问题；

生成树协议是利用SPA算法，在存在交换环路的网络中生成一个没有环路的树形网络。运用该算法将交换网络的冗余备份链路从逻辑上断开，当主链路出现故障时，能够自动的切换到备份链路，保证数据的正常转发；

生成树协议版本：STP、RSTP（快速生成树）、MSTP（多生成树协议）

生成树协议的特点，收敛时间长。从主要链路出现故障到切换至备份链路需要50秒的时间。

快速生成树在生成树协议的基础上增加了两种端口角色：替换端口和备份端口，分别做为根端口和指定端口的冗余端口。当根端口或指定端口出现故障时，冗余端口不需要经过50秒的收敛时间，可以直接切换到替换端口或备份端口，从而实现RSTP协议小于1秒的快速收敛。

Switch#show spanning-tree

0/1和0/2 trunk
Switch(config)#:spanning-tree mode rapid-pvst

0/1和0/2 trunk
Switch(config)#:spanning-tree mode rapid-pvst

测试

关闭f0/1，f0/2启动

路由器

单臂路由配置

实验目标
掌握单臂路由配置方法；通过单臂路由实现不同VLAN间互相通信；

实验背景
某企业有两个主要部门，技术部和销售部，分处于不同的办公室，为了安全和便于管理对两个部门的主机进行了VLAN的划分，技术部和销售部分处于不同的VLAN。现由于业务的需求需要销售部和技术部的主机能够相互访问，获得相应的资源，两个部门的交换机通过一台路由器进行了连接。

技术原理
单臂路由：是为实现VLAN间通信的三层网络设备路由器，它只需要一个以太接口，通过创建子接口可以承担所有VLAN的网关，而在不同的VLAN间转发数据。

交换机

0/1，mode trunck
0/2,vlan 2
0/3,vlan 3

子接口

0/0 no shut
int f0/0.1 //进入路由器0模块第0端口第1子接口

encapsulation dot1Q 2 //绑定vlan中继协议,封装协议设置为dot1q允许通过的vlan为2

ip address 192.168.1.1 255.255.255.0
int f0/0.2

encapsulation dot1Q 3 //封装协议设置为dot1q允许通过的vlan为2

ip address 192.168.2.1 255.255.255.0

静态路由

实验目标
掌握静态路由的配置方法和技巧；掌握通过静态路由方式实现网络的连通性；熟悉广域网线缆的连接方式；

实验背景
学校有新旧两个校区，每个校区是一个独立的局域网，为了使新旧校区能够正常相互通讯，共享资源。每个校区出口利用一台路由器进行连接，两台路由器间学校申请了一条2M的DDN专线进行相连，要求你做适当配置实现两个校区间的正常相互访问。

技术原理
路由器属于网路层设备，能够根据IP包头的信息，选择一条最佳路径，将数据包转发出去。实现不同网段的主机之间的互相访问。路由器是根据路由表进行选路和转发的。而路由表里就是由一条条路由信息组成。
生成路由表主要有两种方法：手工配置和动态配置，即静态路由协议配置和动态路由协议配置。
静态路由是指由网络管理员手工配置的路由信息。
静态路由除了具有简单、高效、可靠的优点外，它的另一个好处是网络安全保密性高。
缺省路由可以看作是静态路由的一种特殊情况。当数据在查找路由表时，没有找到和目标相匹配的路由表项时，为数据指定的路由。

int f1/0
- no shutdown
- ip address 192.168.1.1 255.255.255.0
int serial 2/0
- ip address 192.168.3.1 255.255.255.0
- clock rate 64000
- no shutdown
ip route 192.168.2.0 255.255.255.0 192.168.3.2 （匹配192.168.2.0网段的下一条地址192.168.3.2）

show ip route

C 192.168.1.0/24 is directly connected, FastEthernet1/0

S 192.168.2.0/24 [1/0] via 192.168.3.2

C 192.168.3.0/24 is directly connected, Serial2/0

int s 2/0
- ip address 192.168.3.2 255.255.255.0
int f1/0
- ip address 192.168.2.1 255.255.255.0
ip route 192.168.1.0 255.255.255.0 192.168.3.1
show ip route

S 192.168.1.0/24 [1/0] via 192.168.3.1

C 192.168.2.0/24 is directly connected, FastEthernet1/0

C 192.168.3.0/24 is directly connected, Serial2/0

rip动态路由配置

实验目标
掌握RIP协议的配置方法；掌握查看通过动态路由协议RIP学习产生的路由；熟悉广域网线缆的连接方式；

实验背景
假设校园网通过一台三层交换机连到校园网出口路由器上，路由器再和校园外的另一台路由器连接。现要做适当配置，实现校园网内部主机与校园网外部主机之间的相互通信。为了简化网管的管理维护工作，学校决定采用RIP V2协议实现互通。

技术原理
RIP（Routing Information Protocols，路由信息协议）是应用较早、使用较普通的IGP内部网关协议，适用用于小型同类网络，是距离矢量协议；RIP协议跳数做为衡量路径开销的，RIP协议里规定最大跳数为15
RIP协议有两个版本：RIPv1和RIPv2，

RIPv1属于有类路由协议，不支持VLSM，以广播形式进行路由信息的更新，更新周期为30秒；

RIPv2属于无类路由协议，支持VLSM，以组播形式进行路由更新。

router rip 激活rip协议

version 2 启用rip版本2
network 邻近网络段

交换机

f0/10 vlan10 192.168.1.1
f0/20 vlan20 192.168.3.1
router rip 启动RIP路由协议
- network 192.168.1.0 设置发布路由
- network 192.168.3.0
- version 2

f0/0 192.168.3.2
s2/0 192.168.4.1
router rip
- network 192.168.3.0
- network 192.168.4.0
- version 2
- clock rate 64000(dce线缆需要配置时钟)

f0/0 192.168.2.1
s2/0 192.168.4.2
router rip
- version 2
- network 192.168.2.0
- network 192.168.4.0

OSPF动态路由配置

实验目标

掌握OSPF协议的配置方法；掌握查看通过动态路由协议OSPF学习产生的路由；熟悉广域网线缆的连接方式；
实验背景

假设某公司通过一台三层交换机连到公司出口路由器上，路由器再和公司外的另一台路由器连接。现要做适当配置，实现公司内部主机与公司外部主机之间的相互通信。为了简化网管的管理维护工作，公司决定采用OSPF协议实现互通。
技术原理

OSPF开放式最短路径优先协议，是目前网络中应用最广泛的路由协议之一。属于内部网关路由协议，能够适应各种规模的网络环境，是典型的链路状态协议。OSPF路由协议通过向全网扩散本设备的链路状态信息，使网络中每台设备最终同步一个具有全网链路状态的数据库，然后路由器采用SPF算法，以自己为根，计算到达其他网络的最短路径，最终形成全网络路由信息。

交换机

vlan 10
- int f0/10
- switchport vlan 10
- ip address 192.168.1.1
vlan 20
- int f0/20
- ip address 192.168.3.1
- switchport vlan 20
router ospf 1
- network 192.168.1.0 0.0.0.255 area 0
- network 192.168.3.0 0.0.0.255 area 0

路由器1

int f0/0
- ip address 192.168.3.2 255.255.255.0
int serial 2/0
- no shutdown
- clock rate 64000
- ip address 192.168.4.1 255.255.255.0
router ospf 1
- network 192.168.3.0 0.0.0.255 area 0
- network 192.168.4.0 0.0.0.255 area 0

路由器2

int f0/0
- ip address 192.168.2.1 255.255.255.0
int serial 2/0
- no shutdown
- clock rate 64000
- ip address 192.168.4.2 255.255.255.0
router ospf 1
- network 192.168.2.0 0.0.0.255 area 0
- network 192.168.4.0 0.0.0.255 area 0

NAT

NAT分为两种类型：

NAT（网络地址转换）
- 静态NAT：实现内部地址与外部地址一对一的映射。现实中，一般都用于服务器；
- 动态NAT：定义一个地址池，自动映射，也是一对一的。现实中，用得比较少；
NAPT（网络端口地址转换IP地址对应一个全局地址）。

NAPT：使用不同的端口来映射多个内网IP地址到一个指定的外网IP地址，多对一。

网络地址转换

实验目标
理解NAT网络地址转换的原理及功能；掌握静态NAT的配置，实现局域网访问互联网；

实验背景
你是某公司的网络管理员，欲发布公司的WWW服务。现要求将内网Web服务器IP地址映射为全局IP地址，实现外部网络可访问公司内部Web服务器。

技术原理

网络地址转换NAT（Network Address Translation），被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

默认情况下，内部IP地址是无法被路由到外网的，内部主机10.1.1.1要与外部internet通信，IP包到达NAT路由器时，IP包头的源地址10.1.1.1被替换成一个合法的外网IP，并在NAT转换表中保存这条记录。当外部主机发送一个应答到内网时，NAT路由器收到后，查看当前NAT转换表，用10.1.1.1替换掉这个外网地址。

NAT将网络划分为内部网络和外部网络两部分，局域网主机利用NAT访问网络时，是将局域网内部的本地地址转换为全局地址（互联网合法的IP地址）后转发数据包；

int f0/0
- ip address 192.168.1.1 255.255.255.0
int s 2/0
- ip address 222.0.1.1 255.255.255.0
- clock rate 64000
静态路由
- ip route 222.0.2.0 255.255.255.0 222.0.1.2（下一条地址）
指定内外部端口
- int f 0/0
  - ip nat inside
- int s 2/0
  - ip nat outside
- ip nat inside source static 192.168.1.2 222.0.1.3(将内部IP地址转为外部IP 222.0.1.3)

int s 2/0
- ip address 222.0.1.2 255.255.255.0
int f0/0
- ip address 222.0.2.1 255.255.255.0
静态路由
- ip route 192.168.1.0 255.255.255.0 222.0.1.1
- 配置默认路由：ip route 0.0.0.0 255.255.255.255 0.0.0.0

配置静态路由的命令的格式为：

router(config)# ip route network [mask] {address | interface} [distance] [permanent]

其中各参数含义如下：

network：目标网络的网络ID。

mask：目标网络的子网掩码。

address：到达目标网络经过的下一跳路由器的入口IP地址。

interface：到达目标网络的必经的本地路由器的出口的接口名称。

distance：管理开销，不需要改变默认管理开销时，使用该参数进行修改。

permanent：永久有效。如果配置了该选项，即使该接口被关闭，这条静态路由也不会被删除。

例：ip route 192.168.1.0 255.255.255.0 192.168.2.1

其中，192.168.1.0是目标网络的网络ID；255.255.255.0是目标网络的子网掩码；192.168.2.1是下一跳路由器的与本路由器直连的那个接口的IP地址。

网络端口地址转换NAPT配置

实验目标

理解NAT网络地址转换的原理及功能；掌握NAPT的配置，实现局域网访问互联网；

实验背景

你是某公司的网络管理员，公司办公网需要接入互联网，公司只向ISP申请了一条专线，该专线分配了三个公网IP地址，配置实现全公司的主机都能访问外网。

技术原理
NAT将网络划分为内部网络和外部网络两部分，局域网主机利用NAT访问网络时，是将局域网内部的本地地址转换为全局地址（互联网合法的IP地址）后转发数据包；NAT分为两种类型：NAT（网络地址转换）和NAPT（网络端口地址转换IP地址对应一个全局地址）。
NAPT：使用不同的端口来映射多个内网IP地址到一个指定的外网IP地址，多对一。
NAPT采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。

指定内外部端口

int f 0/0
- ip nat inside
int s 2/0
- ip nat outside
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat pool 5ijsj 200.1.1.3 200.1.1.3 netmask 255.255.255.0
ip nat inside source list 1 pool 5ijsj overload

路由器综合路由配置

实验目标
掌握综合路由的配置方法；掌握查看通过路由重分布学习产生的路由；熟悉广域网线缆的连接方式；

实验背景
假设某公司通过一台三层交换机连到公司出口路由器R1上，路由器R1再和公司外的另一台路由器R2连接。三层交换机与R1间运行RIPV2路由协议，R1与R2间运行OSPF路由协议。现要做适当配置，实现公司内部主机与公司外部主机之间的相互通信。

技术原理
为了支持本设备能够运行多个路由协议进程，系统软件提供了路由信息从一个路由进程重分布到另外一个路由进程
的功能。比如你可以将OSPF路由域的路由重新分布后通告RIP 路由域中，也可以将RIP 路由域的路由重新分布后通告到OSPF 路由域中。路由的相互重分布可以在所有的IP 路由协议之间进行。
要把路由从一个路由域分布到另一个路由域，并且进行控制路由重分布，在路由进程配置模式中执行以下命令：

redistribute protocol
[metric metric] [metricpe metric-type] [match internal | external type | nssa-external type] [tag tag] [route-map route-map-name] [subnets]

vlan 2 f0/10 192.168.2.1
vlan 1 f0/1 192.168.1.1

int 0/0 192.168.2.2
int 1/0 192.168.3.1
router rip
- network 192.168.2.0
- version 2
router ospf 1
- network 192.168.3.0 0.0.0.255 area 0

int 1/0 192.168.3.2
int 0/0 192.168.4.1
router ospf 1
- network 192.168.3.0 0.0.0.255 area 0
- network 192.168.4.0 0.0.0.255 area 0
路由重分布
- router rip
  - redistribute ospf 1
- router ospf 1
  - redistribute rip subnets

ACL控制列表配置

实验目标
理解标准IP访问控制列表的原理及功能；掌握编号的标准IP访问控制列表的配置方法；

实验背景
你是公司的网络管理员，公司的经理部、财务部门和销售部分别属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。
PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。

技术原理
ACLs的全称为接入控制列表（Access Control Lists），也称为访问列表（Access Lists），俗称为防火墙，在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制：允许通过或丢弃，从而提高网络可管理性和安全性；IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围分别为1~ 99、1300~ 1999，100~ 199，2000~2699；

标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；

扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用；

配置静态路由

ip route 172.16.4.0 255.255.255.0 172.16.3.2

ip route 0.0.0.0 0.0.0.0 172.16.3.1

ip access-list standard 5ijsj
- permit 172.16.1.0 0.0.0.255(或者deny 172.16.2.0 0.0.0.255)
int s2/0
- ip access-group 5ijsj out

华为命令

安装ensp virtualbox:https://www.virtualbox.org/wiki/Download_Old_Builds_5_2

命令尽量不要缩写

名词解释

Router ID唯一的标识一台OSPF路由器，是OSPF路由器的身份证Router ID和IP地址一样，采用点分十进制格式来表示

模式

系统视图

system-view进入系统视图
查看
- display interface brief 查看接口
- display ip interface brief 查看接口ip
- display vlan
- display ip routing-table 查看路由表
- display this 查看最近命令
- dis current-configuration | b display vlan 查看从display vlan开始后面的所有配置命令
设置
- sysname name更改设备名字
- telnet server enable//开启设备telnet功能
- 设置时间
  - clock timezone
    设置所在时区
    clock datetime
    设置当前时间和日期
    clock daylight-saving-time
    设置采用夏时制
- undo info-center enable 阻断提示信息
创建

-
int g0/0/0
- ip address 192.168.2.2 24 添加端口地址
- undo ip add 192.168.2.2 2 24取消端口地址
- display ip interface brief

用户接口视图

AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能

这三种安全功能的具体作用如下：

• 认证：验证用户是否可以获得网络访问权。

• 授权：授权用户可以使用哪些服务。

• 计费：记录用户使用网络资源的情况。

telnet server enable//开启设备telnet功能
user-interface vty 0 4 //开启登录端口0-4
- [Huawei-ui-vty0-4]authentication-mode password
- [Huawei-ui-vty0-4]protocol inbound telnet //通过telnet协议登录
- [Huawei-ui-vty0-4]authentication-mode aaa//认证方式为aaa
[Huawei]aaa //启用aaa
- 配置用户
  - local-user admin123 privilege level 0 password cipher admin123//配置用户名密码，用户等级
    - [Huawei-aaa]local-user admin123 password admin123 //配置用户名密码
    - [Huawei-aaa]local-user admin123 privilege level 15 //用户等级为15
  - [Huawei-aaa]local-user admin123 service-type telnet //用户用于telnet
- 设置登录信息
  - header login
    用户登录前显示的标题消息
  - header shell
    用户登录后显示的标题消息

交换机

配置交换机的远程管理IP地址

[huawei] interface Vlanif 1 //进入 vlan1

[huawei-Vlanif1] ip address 192.168.1.254 24 //配置 IP

[huawei-Vlanif1] undo shutdown // 开启接口

[huawei] dns domain dtwlxy.com //设置域名

[huawei] dns server 192.168.254.254 //设置域名 ip

display vlan //显示 vlan

save //保存 reboot //重启设备

display curr //显示当前配置

配置交换机端口速率，双工，ARP

[huawei] int g 0/0/1 //进入端口

[huawei- g0/0/1] description negotiation auto //取消协商

[huawei- g0/0/1]duplex full //全双工

[huawei- gigabitEthernet 0/0/1] auto duplex full //自动

[huawei- gigabitEthernet 0/0/1] speed 10 //速率 10M

[huawei- gigabitEthernet 0/0/1] auto speed 100 //自动

[huawei] arp static 192.168.1.8 5489-98cf-2603 //绑定

[huawei] display arp

[huawei] display arp all //查看 ARP

VLAN和VLANIF地址配置

[huawei-g0/0/2]port trunk allow-pass vlan 10 20

vlan 100 //创建vlan 100（批量创建命令：vlan batch/10 20, vlan batch 30 to 40 //批量创建连续 VLAN）
- [huawei-vlan10] description dt //VLAN 描述
- [Switch-vlan100]quit//退出vlan模式
[Switch]interface gigabitethernet 0/0/1//进入接口
[Switch-GigabitEthernet0/0/1]port link-type access //把交换机接口模式设置为access(trunk)
[Switch-GigabitEthernet0/0/1]port default vlan 100 //把接口划入vlan100
[Switch-GigabitEthernet0/0/1]quit //退出
[Switch]interface vlanif 100 //进入三层vlanif接口
[Switch-Vlanif100]ip address 172.16.1.1 24//配置IP地址
[Switch-Vlanif100]quit//退出

单臂路由 VLAN 间通信

首先基本配置，ip，VLAN 等。

[huawei-GigabitEthernet0/0/1.1] ip address 192.168.1.254 24 //配置 ip

[huawei-GigabitEthernet0/0/1.1] dot1q termination vid 10//封装

[huawei-GigabitEthernet0/0/1.1] arp broadcast enable//开启 arp

[huawei] display ip interface brief //查看接口

[huawei]display ip routing-table //查看路由表

[huawei] display current-configuration //查看配置

链路聚合

增加带宽

提高可靠性

提供备份功能

链路聚合手动模式

[SW1]int Eth-Trunk 10  //创建聚合组序号为10
[SW1-Eth-Trunk10]trunkport GigabitEthernet 0/0/1 to 0/0/3 //把g0/0/1到0/0/3添加到组
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW1-Eth-Trunk10]port link-type trunk //把三个端口设置为Trunk口
[SW1-Eth-Trunk10]port trunk allow-pass vlan all //允许所有的VLAN通过

[SW2]int Eth-Trunk 10
[SW2-Eth-Trunk10]trunkport GigabitEthernet 0/0/1 to 0/0/3
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW2-Eth-Trunk10]port link-type trunk 
[SW2-Eth-Trunk10]port trunk allow-pass vlan all

链路聚合LACP模式

 [SW1]int Eth-Trunk 10  //创建链路聚合组10
[SW1-Eth-Trunk10]mode lacp-static //配置链路聚合模式LACP
[SW1-Eth-Trunk10]trunkport GigabitEthernet 0/0/1 to 0/0/3 //把g0/0/1-0/0/3添加到组
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW1-Eth-Trunk10]quit

[SW2]int Eth-Trunk 10
[SW2-Eth-Trunk10]mode lacp-static
[SW2-Eth-Trunk10]trunkport GigabitEthernet 0/0/1 to 0/0/3
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW2-Eth-Trunk10]quit

在SW1上修改最大活动接口

1	[SW1-Eth-Trunk10]max active-linknumber 5 //设置最大活动端口数为5

在SW1上修改LACP抢占功能并且查看信息

[SW1]int Eth-Trunk 10
[SW1-Eth-Trunk10]lacp preempt enable//启用LACP抢占功能
[SW1-Eth-Trunk10]lacp preempt delay 10//抢占延迟为10
[SW1-Eth-Trunk10]quit

DHCP配置

配置基于全局 DHCP协议

system-view//进入系统模式
[SwitchA] dhcp enable//启用dhcp服务
[SwitchA] interface vlanif 20
- [SwitchA] dhcp select global
[SwitchA]ip pool 1 //系统视图下创建全局IP地址池1（1是地址池名字）
[SwitchA-ip-pool-1]network 192.168.20.0 mask 24 //配置地址池范围
[SwitchA-ip-pool-1]gateway-list 192.168.20.254 //配置PC电脑网关，即vlan20的ip地址
[SwitchA-ip-pool-1]dns-list 8.8.8.8//配置DNS
[SwitchA-ip-pool-1]excluded-ip-address 192.168.20.151 192.168.20.253//保留IP地址
[SwitchA-ip-pool-1]lease 10//配置租期
[SwitchA-ip-pool-1]display this
[SwitchA-ip-pool-1]quit//退出

配置VLANIF10接口下的客户端从全局地址池ip pool 1中获取IP地址。
- [SwitchA]interface vlanif 20//进入VLAN10接口
- [SwitchA-Vlanif20]ip address 10.1.1.254 255.255.255.128//配置VLAN网关
- [SwitchA-Vlanif20]dhcp select global/interface//全局或接口dhcp服务器
如何指定vlan10和vlan20使用不同地址池
- 在不同vlan视图中创建地址池，即可绑定

配置基于接口 DHCP 协议

[huawei] dhcp enable //开启 dhcp 接口
[huawei] int g0/0/1 //进入接口，或者vlan
[huawei-G0/0/1] dhcp select interface //基于接口
[huawei-G0/0/1] dhcp server dns-list 8.8.8.8 //DNS
[huawei-G0/0/1] dhcp server lease day 2 //租约默认为 1
[huawei-G0/0/1] dhcp server excluded-ip-address 192.168.1.1 192.168.1.10 //排除范围，网关是默认排除的
[huawei-G0/0/1] display this
[huawei] display ip pool //查看 dhcp

DHCP的配置（vlanif下配置）

<Huawei>system-view #进入系统模式
[Huawei]vlan 10 
#创建vlan10 和 vlan 20 
#或用vlan batch 10 20 （同时创建vlan 10和 vlan 20）
[Huawei-vlan10]quit 
[Huawei]vlan 20
[Huawei-vlan20]quit #退出
[Huawei]display vlan summary #查看vlan 信息
[Huawei]interface vlanif 10 #进入vlan 10
[Huawei-Vlanif10]ip address 192.168.10.254 24 #配置IP及掩码
[Huawei-Vlanif10]interface vlanif 20
[Huawei-Vlanif20]ip address 192.168.20.254 24
[Huawei-Vlanif20]quit 
[Huawei]interface gigabitether 0/0/1#进入g0/0/1接口
[Huawei-GigabitEthernet0/0/1]port link-type access #配置链路为access模式
[Huawei-GigabitEthernet0/0/1]port default vlan 10 #讲链路接入vlan10
[Huawei-GigabitEthernet0/0/1]interface gigabitether 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 20
[Huawei-GigabitEthernet0/0/2]quit

[Huawei]interface vlanif 10#进入vlan 10
[Huawei-Vlanif10]dhcp select interface #配置为接口DHCP
[Huawei-Vlanif10]dhcp server dns-list 8.8.8.8 #配置dns
[Huawei-Vlanif10]dhcp server excluded-ip-address 192.168.10.100 192.168.10.253 #配置排除地址，网关是默认排除的
[Huawei-Vlanif10]dhcp server lease day 10 #配置租期
[Huawei-Vlanif10]quit 
[Huawei]interface vlanif 20
[Huawei-Vlanif20]dhcp select interface 
[Huawei-Vlanif20]dhcp server dns-list 8.8.8.8
[Huawei-Vlanif20]dhcp server excluded-ip-address 192.168.20.100 192.168.20.253
[Huawei-Vlanif20]dhcp server lease day 10
[Huawei-Vlanif20]quit

ACL访问控制列表配置

ACL是一个匹配工具，能够对报文进行匹配和区分。ACL技术总是与防火墙、路由策略、QoS、流量过滤等其他技术结合使用。

可以匹配IP或者网段

分类	编号范围	规则定义描述
基本ACL	2000-2999	仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。
高级ACL	3000-3999	可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。

基础配置

[Huawei]time-range workday 8：30 to 18：00 working-day//配置时间段，工作日下的8.30-18
[Huawei-acl-basic-2000]rule permit source 192.168.1.10 0 time-range workday//只允许192.168.1.10这个用户在工作日可以telnet交换机

配置路由器基本ACL:2000-2999

huawei] acl 2000 //启用编号为2000的ACL

[huawei-acl-basic-2000] rule 5 permit/deny source 1.1.1.1 0 //注意反掩码 0，默认步长为 5

[huawei-acl-basic-2000]rule 10 deny any //拒绝任意

配置路由器高级 ACL：3000-3999

[huawei] acl 3000//启用编号为3000的ACL

[huawei-acl-adv-3000] rule 10 deny ip source 192.168.1.0 0.0.0.255（反掩码） destination 192.168.3.100 0（反掩码） //拒绝

192.168.1.0网段访问192.168.3.100这个服务器

[huawei-acl-adv-3000] rule 20 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.3.100 0//允许192.168.2.0网段访问192.168.3.100这个服务器

[huawei-acl-adv-3000] rule 30 deny ip source any destination 192.168.3.100 0//拒绝所有ip访问192.168.3.100这个服务器

[huawei] int g0/0/1 //进入接口

[huawei-G0/0/1] traffic-filter inbound acl 3000 //应用进入的规则

[huawei-G0/0/1] traffic-filter outbound acl 3000 //应用出去的规则

[huawei] display acl all //查看所有的 acl

配置用户访问路由器权限

[huawei]user-interface vty 0 4

[huawei-ui-vty0-4]acl 2000 inbound //应用 acl

[huawei] dis acl all //查看 acl 全部消息

[huawei] dis acl 2000 //查看 acl2000

[Huawei-acl-basic-2000]rule deny**//这个地方rule deny可以不用写，acl在这种场景下最后隐含有一条deny any的语句**

[Huawei]user-interface vty 0 4//进入虚拟接口0-4

[Huawei-ui-vty0-4]acl 2000 inbound//应用ACL，只允许匹配acl数据流的的用户telent登陆交换机，没有被permit的全部被deny

NAT地址转换配置

NAT类型：

NAT（网络地址转换）
- 静态NAT：内网中一个主机的私有IP地址与一个公网IP地址相绑定。现实中，一般都用于服务器；
- 动态NAT：定义一个地址池，自动映射，也是一对一的。现实中，用得比较少；
easy ip
NAPT：“内部网络主机的IP＋端口号”和“公网IP＋端口号”执行一对一绑定

一对一：静态

[huawei-GigabitEthernet0/0/1] nat static global 12.1.1.3 inside 10.1.0.100 //一对一转换

[huawei-router]interface LoopBack 0 //回环地址，配置一个IP地址为 2.2.2.2的环回接口，用以模拟Internet中的地址

ip address 2.2.2.2 32

[router]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 //配置静态路由

PC的IP地址10.1.0.100会被转换的Global IP是12.1.1.3

多对一：动态

[huawei] nat address-group 1 202.169.10.50 202.169.10.60 //设置NAT地址池，编号为1，范围从202.169.10.50开始，至202.169.10.60结束

[huawei] acl 2000 //配置 acl(过滤抓流量)

[huawei-acl-basic-2001] rule 5 permit source 172.17.1.0 0.0.0.255 ////设置ACL200编号为5的规则，允许上述源地址通过

[huawei] interface g0/0/1 //进入接口

//意为当符合ACL 2000的数据从g0/0/0端口出去时，会将从地址池1中取出地址取代原地址成为新的源地址

[huawei-gigabitEthernet0/0/1] nat outbound 2000 address-group 1 no-pat

[huawei] display nat outbound //查看 NAT

Easy IP

没有地址池的概念，因为外网随时会变，适用于不具备固定公网ip地址的场景

Easy-IP是NAPT的一种方式，直接借用路由器出接口IP地址作为公网地址，将不同的内部地址映射到同一公有地址的不同端口号上，实现多对一地址转换，我们将R1的g0/0/0接口配置为Easy-IP接口。

[R1]int g0/0/0
//首先将先前在g0/0/0端口设定的NAT地址池模式关闭
[R1-GigabitEthernet0/0/0]undo nat outbound 2000 address-group 1 no-pat
//重新在g0/0/0端口上绑定规则2000，此时配置的就是Easy-IP特性
[R1-GigabitEthernet0/0/0]nat outbound 2000

nat server

解决安全问题，负载均衡

指定[公有地址：端口]与[私有地址：端口]的一对一映射关系。将内网服务器映射到公网。外网主机主动访问[公有地址：端口]实现对内网服务器的访问。

在R1上配置NAT Server将内网服务器192.168.1.10的80端口映射到公有地址122.1.2.1的80端口。

[R1] interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1] ip address 122.1.2.1 24
[R1-GigabitEthernet0/0/1] nat server protocol tcp global 122.1.2.1 80 inside 192.168.1.10 80

路由

开销：rip为例，路由器跳数作为开销。ospf用$100M/接口带宽$作为开销

内部network宣告的路由优先级为10，而外部用import宣告的优先级为150

静态路由配置

静态路由的配置（关联下一跳IP的方式）[Router]ip route-static 网络号掩码下一跳IP地址 [preference 60 权重是60]
静态路由的配置（关联出接口的方式）[Router）ip route-static 网络号掩码出接口
静态路由的配置（关联出接口和下一跳IP的方式）[Router]ip route-static 网络号掩码出接口下一跳IP地址

配置示例：
[R1]ip route-static 192.168.100.0 255.255.255.0 192.168.12.2
[R1]ip route-static 192.168.100.0 24 192.168.12.2

默认路由配置

[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.12.2
或
[R1]ip route-static 0.0.0.0 0 192.168.12.2

动态路由

动态路由是外网学习内网的路径，而不是内网学习外网路由路径，因为外网的服务器有几百万个，如果去学习的话会对内部交换机路由器资源损耗

配置路由器RIP协议：RIPv1 RIPv2

配置各台设备的IP地址

配置RIPv2，实现网络连通

[AR1]rip //启用RIP的进程

[AR1-rip-1]version 2 //修改RIP的版本为2，默认版本号为1

[AR1-rip-1]network 10.0.0.0 //宣告网段，RIP只能宣告直连网络的主类网络号，这个是a类

[AR1-rip-1]network 172.16.0.0 //b类

[AR2]rip

[AR2-rip-1]version 2

[AR2-rip-1]network 172.16.0.0

[AR2-rip-1]network 192.168.1.0 //c类

配置路由器OSPF 协议

Router ID唯一的标识一台OSPF路由器

接触过OSPF的小伙伴都知道，Router ID非常重要，它用来唯一的标识一台OSPF路由器，是OSPF路由器的身份证

router-id选举规则

（1）优选手工配罩的router-id。
①ospf进程手工配置的router-id具有最高优先级（不能配置为255.255.255.255和0.0.0.0）
②在全局模式下配置的公用router-id的优先级仅次于直接给OSPF进程手工配置router-id，即它具有第二优先级。
（2）在没有手工配置的前提下，优选loopback接口地址中最大的地址作为routekid。
（3）在没有配置loopback接口地址的前提下，优选其他接口的IP地址中选择最大的地址作为router-id（不考虑接口的Up/Dow状态）。s

区域号是0，通常被称为骨干区域

骨干区域负责区域之间的路由，非骨干区域之间的路由信息必须通过骨干区域来转发

[huawei] ospf 1 //查看 ospf 默认是进程 1

[huawei-ospf-1] area 0 //进入区域 0

[huawei-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255//发布直连网段

[huawei-ospf-1] silent-interface g0/0/2 //被动接口

[huawei] dis ospf interface //查看 ospf 通告

[huawei] dis ospf peer //查看 ospf 邻居

[huawei] dis ip routing-table //查看路由表

[huawei] dis ospf routing //查看 ospf 路由表

BGP配置

[R1] int LoopBack 0 #进入回环接口0。

[R1-LoopBack0] ip address 1.1.1.1 32 #配置IP地址为1.1.1.1，掩码为255.255.255.255。

[R1] bgp 100 #配置BGP的AS域100。

[R1-bgp] router-id 1.1.1.1 #配置router-id为1.1.1.1。

[R1-bgp] peer 192.168.10.2 as-number 200 #配置EBGP对等体为192.168.10.2，AS号为200。

[R1-bgp] network 10.1.1.0 24 #通告10.1.1.0网段的路由；把业务网段10.1.1.0变成BGP路由。

[R1-bgp] network 10.1.2.0 24 #通告10.1.2.0网段的路由；把业务网段10.1.2.0变成BGP路由。

[R2-bgp] peer 3.3.3.3 as-number 200 #配置IBGP对等体为R3，AS号为200。

[R2-bgp] peer 3.3.3.3 next-hop-local #对3.3.3.3配置下一跳为本地。

[R2-bgp] peer 3.3.3.3 connect-interface LoopBack 0 #对3.3.3.3配置更新源接口为环回接口Looback 0。

[R2-bgp] preference 200 100 100 #配置EBGP路由优先级200，IBGP路由优先级100，本地产生的路由优先级100，BGP默认优先级为255。

[R2-bgp] peer 3.3.3.3 default-route-advertise #对3.3.3.3下发默认路由。

[R2-bgp] aggregate 10.1.0.0 16 as-set #配置聚合路由为10.1.0.0/16且携带AS属性。

[R2] acl 2000 #创建acl2000。

[R2-acl-basic-2000] rule deny source 10.1.1.0 0.0.0.255 #对源地址段为10.1.1.0的路由执行丢弃。

[R2-bgp] filter-policy 2000 import #调用acl 2000的接收路由方向的过滤列表。

[R3-bgp] peer 4.4.4.4 reflect-client #配置对4.4.4.4的路由反射器；让R4成为R3的客户端，其余路由器可以学习到R4的BGP路由；BGP路由默认只能学习到左右两端的路由所以这个时候就需要来配置一个路由反射。

[R3-bgp] display bgp peer #查看对等体关系。

BGP属性相关配置。

[R3-bgp] peer 2.2.2.2 preferred-value 100 #对2.2.2.2对等体修改首选值为100。

[R2-bgp] default local-preference 150 #修改默认的本地优先级为150；选路的优先级，长用于边界路由器之上。

[R2] acl 2000 #创建acl 2000。

[R2-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255 #匹配地址为10.1.1.0/24网段的IP。

[R2] route-policy 1 permit node 1 #创建路由策略列表1，放行规则1。

[R2-route-policy] if-match acl 2000 #匹配ACL 2000。

[R2-route-policy] apply cost 100 #设置cost 为100。

[R2-bgp] peer 3.3.3.3 route-policy 1 export #对3.3.3.3对等体通告路由方向调用路由策略。

路由总结

静态路由（动态路由相反）

配置简单.
手工配置，可控性高。
节省网络带宽。
网络大，工作量大，比如配置1000条静态路由。
网络故障，无法响应拓扑动态变化。

默认路由

默认路由是一种特殊的静态路由，走投无路的选择。
配置简单，简化管理。
降低路由 CPU、内存资源。
使用场景：网络出口路由器/防火墙/核心交换机。

BFD

配置双向转发检测(Bidirectional Forwarding Deteletion，BFD)实现链路故障快速检测和静态路由的自动切换。

BFD检测。首先做静态路由使全网互通。

[R1] bfd #开启BFD功能。

[R1] bfd 1 bind peer-ip 192.168.20.2 source-ip 192.168.10.1 auto #BFD 1 绑定的对端IP为192.168.20.2，源IP为192.168.10.1，auto是自动协商标识符的意思。

[R1] bfd 2 bind peer-ip 192.168.20.2 source-ip 192.168.10.1 #BFD 2 绑定的对端IP为192.168.20.2，源IP为192.168.10.1。

[R1-bfd-session-2] discriminator local 10 #本地标识符10。

[R1-bfd-session-2] discriminator remote 20 #远端标识符20。

[R1-bfd-session-2] commit #提交配置。

网关冗余技术VRRP

通过把几台路由设备联合组成一台虚拟的“路由设备”，使用一定的机制保证当主路由设备出现故障时，及时将业务切换到备份路由设备，从而保持通讯的连续性和可靠性

VRRP（Virtual Router Redundancy Protocol）虚拟路由冗余协议用来做出口网关的备份

作用：用来做出口网关的备份保证出口网关的高用性

VRRP的好处：

1，主路由失效后，备份路由器立即顶替主路由器的工作，保证数据不会丢失

2，两个不同的路由器成为不同组的主路由器，相互备份

3，跟踪上行链路接口状态，当上行链路接口失效时，自动将备份路由器提升为主路由器，保证数据不会丢失

VRRP工作原理：

通过在冗余网关间共享虚拟Mac和ip地址，保证数据转发时并不是转给某一个具体网关ip，而是把数据传给虚拟网关ip，因此不论那个路由器成为主路由器，都不会影响数据通信，通过两个设备间的心跳线组播对数据端口进行监控，一旦检测数据转发的端口坏掉，主路由器会停止hello包，备份路由提升为主路由器，由于此切换非常迅速而且不用改变IP地址和MAC地址，实现数据的稳定高效转发。

创建VRRP备份组并给备份组配置虚拟IP地址

[interface-GigabitEthernet0/0/0]vrrp vrid virtual-router-idName virtual-ip virtual-address注意：各备份组之间的虚拟IP地址不能重复；同属一个备份组的设备接口需使用相同的VRID。
配置路由器在备份组中的优先级

[interface-GigabitEthernet0/0/0]vrrp vrid virtual-router-idName priority priority-value注意：通常情况下，Master设备的优先级应高于Backup设备。
配置备份组中设备的抢占延迟时间**(主路由器没有问题后，回去抢占，可以配置延长多久时间抢占)**

[interface-GigabitEthernet0/0/0]vrrp vrid virtual-router-id preempt-mode timer delay delay-2 配置VRRP位抢占模式，延时2s抢占

[interface-GigabitEthernet0/0/0]vrrp vrid virtual-router-id preempt-mode disable缺省情况下，抢占模式已被激活。
配置VRRP备份组监视接口
[interface-GigabitEthernet0/0/0]vrrp vrid virtual-router-id track interface interface-type interface-number [increased value-increased | reduced value-decreased]
可配置设备，当检测到上行接口或链路出现故障时，增加或者减少自身优先级，IP地址拥有者和Eth-trunk成员口不允许配置VRRP监视功能。
配置VRRP备份组联动普通BFD会话（BFD实现毫秒级的切换）
[interface-GigabitEthernet0/0/0]vrrp vrid virtual-router-id track bfd-session（bfd-session-id session-name bfd-configure-
name}[increased value-increased | reduced value-reduced]
如果选择参数session-name bfd-configure-name，可以绑定静态BFD会话或者标识符自协商的静态BFD会话。
如果选择参数bfd-session-id，只能绑定静态BFD会话。

策略路由和路由策略

（1）功能不同。策略路由通过定义策略和应用，实现数据流量按照规划的路径走。路由策略是通过ACL/Route-policy等方式控

制路由发布，让对方学到适当路由条目。
（2）作用层面不同。策略路由作用于转发层面（数据报文），路由策略作用于控制层面（路由信息）

（3）与路由表关系不同。策略路由需要手工逐跳配置，以保证报文按策略转发。路由策略可以跟路由表天然集成。

（4）应用工具和命令不同，策略路由使用traffic-policy和，而路由策略使用route-policy和filter-policy

配置安全策略

通过安全区域区分受信任网络和不受信任网络

[FW]firewall zone trust  //进入trust区域
[FW-zone-trust]add int g1/0/0   //把g1/0/0加入trust区域  undo add int g1/0/0  取消加入
[FW]firewall zone untrust 
[FW-zone-untrust]add int g1/0/1

配置安全策略

192.168.5.2和192.168.5.3不能ping通1.1.1.1，
192.168.5.0上其余的pc可以ping通（先配置不能ping通的，否则会没有效果）

[FW]security-policy  
[FW-policy-security]rule name starry  //配置一个规则
[FW-policy-security-rule-starry]source-zone trust   //源地址
[FW-policy-security-rule-starry]destination-zone untrust  //目的地址
[FW-policy-security-rule-starry]source-address 192.168.5.2 32  //表示5.2这个IP地址
[FW-policy-security-rule-starry]source-address 192.168.5.3 32
[FW-policy-security-rule-starry]action deny  //拒绝动作

[FW]security-policy 
[FW-policy-security]rule name starry1
[FW-policy-security-rule-starry1]source-zone trust
[FW-policy-security-rule-starry1]destination-zone untrust
[FW-policy-security-rule-starry1]source-address 192.168.5.0 24  //表示5.0这个网段
[FW-policy-security-rule-starry1]action permit

IPSec配置

配置网络可达-》配置acl识别哪些流量加密-》创建安全提议-》创建安全策略-》应用安全策略

回环ip地址

通常 127.0.0.1 称为回环地址。回环地址主要用于本地网络接口的测试和诊断。通过将网络数据包发送到本地回环地址，可以测试网络协议栈的正常运行，以及确保计算机网络接口卡的驱动程序和硬件设备都能够正常工作。在实际应用中，回环地址可以用于各种网络诊断和测试工具，例如ping、traceroute、telnet等

回环地址可以在不需要其他计算机或网络连接的情况下进行测试，使其成为网络接口测试和网络应用程序开发的有用工具。可以用于模拟一些网络服务，例如Web服务器、FTP服务器、邮件服务器等。

isp(router)

g0
- ip add 100.1.1.2 30
g2
- ip add 200.1.1.2 30
interface LoopBack 0 //回环地址
- ip address 2.2.2.2 32

g0
- ip address 192.168.20.254 24
g1
- ip address 200.1.1.1 30
ip route-static 0.0.0.0 0 200.1.1.2
acl 2000
- rule 10 permit source 192.168.20.0 0.0.0.255
int g0/0/1
- nat outbound 2000
acl 3000
- rule 10 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

g0
- ip address 192.168.10.254 24
g1
- ip address 100.1.1.1 30
ip route-static 0.0.0.0 0 100.1.1.2
acl 2000
- rule 10 permit source 192.168.10.0 0.0.0.255
int g0/0/1
- nat outbound 2000
acl 3000
- rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

配置ipsec提议

[R1]ipsec proposal cd//ipsec提议名称cd

[R1-ipsec-proposal-cd]esp authentication-algorithm MD5 //认证算法采用 MD5

[R1-ipsec-proposal-cd]esp encryption-algorithm des //加密算法,用对称加密算法

display ipsec proposal

第三步：配置ipsec手动方式安全策略
[R1]ipsec policy chengdu 10 manual //配置IPSEC 策略 chegndu，方式为手动
[R1-ipsec-policy-manual-chengdu-10]security acl 3000 //包含 ac1 3000 的流量
[R1-ipsec-policy-manual-chengdu-10]proposal cd //采用ipsec 提议 cd
[R1-ipsec policy manual-chengdu-10]tunnel local 100.1.1.1//配置隧道本地地址 100.1.1.1
[R1-ipsec-policy-manual-chengdu-10]tunnel remote 200.1.1.1//配置隧道远端地址 200.1.1.1
[R1-ipsec-policy-manual-chengdu-10]sa spi inbound esp 54321//配置入方向 SA编号54321

[R1-ipsec-policy-manual-chengdu-10]sa spi outbound esp 12345//配置出方向 SA 编号 54321

[R1-ipsec-policy-manual-chengdu-10]sa string-key inbound esp cipher summer//配置入方向SA的认证密钥为 summer

[R1-ipsec-policy-manual-chengdu-10]string-key outbound esp cipher summer//配置出方向SA 的认证密钥为 summer

R2同理，4，5命令相反。6，7相反，8，9相反

第四步：在接口上应用 ipsec 策略

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]ipsec policy chengdu //在接口上应用 ipsce 策略

g0/0/1: undo acl 2000

acl 3001

rule 10 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0(拒绝nat)
rule 20 permit ip

int g0/0/1

nat outbound 3001

r2一样

wlan

供电

poe priority是要设置设备的优先级，题目中要求IP Phone的优先级要低于AP的优先级，在华为poe设备中，优先对优先级为critical的端口连接的PD设备进行供电，其次为优先级为high的端口连接的PD设备进行供电，故此处选优先级相对较低的high

优先级：critical>high

交换机

交换方式

存储转发
直通式交换
碎片过滤交换

交换协议

二层交换，根据MAC地址交换
三层交换，根据网络地址ip交换
多层交换，根据端口，应用协议交换

连接方式

交换机之间的连接方式主要有两种方式：级联和堆叠，其中堆叠方式通过专用的堆叠端口使用堆叠电缆进行连接，可以共享背板带宽；级联方式用双绞线通过普通的端口连接在一起，无法共享背板带宽。

堆叠型交换机。这种交换机具有专门的堆叠端口，用堆叠电缆把一台交换机的UP口连接到另一台交换机的DOWN口，以实现端口数量的扩充，如图 10-1 所示。一般交换机能够堆叠4~9层，堆叠后的所有交换机可以当作一台交换机来统一管理。

(1) 堆叠技术的优点：

1.增加网络端口，提高端口密度，扩充网络带宽。

2.逻辑上变为一台设备，简化了本地管理

堆叠技术的缺点：

1.堆叠是一种非标准化的技术，同一组堆叠交换机必须是同一品牌；

2.堆叠不支持即插即用，物理连接完毕后，还要对交换机进行相应的设置，才能正常运行。

3.系统升级会造成业务中断

级联交换机。这种交换机没有堆叠端口，但可以通过级联方式进行扩充。级连模式使用以太网端口（100M FE端口、GE端口或10GE端口）进行层次间互联，如图 10-2 所示。可以通过统一的网管平台实现对全网设备的管理。为了保证网络运行的效率，级连层数一般不要超过4层。

网络的分层结构

网络的分层结构把复杂的大型网络分解为多个容易管理的小型网络，每一层交换设备分别实现不同的特定任务。分层的网络设计如图10-3所示。

接入层交换机。接入层是工作站连接网络的入口，实现用户的网络访问控制，这一层的交换机应该以低成本提供高密度的接入端口。例如，华为S2700系列最多可以提供52个快速以太网端口，适合中小型企业网络使用。
汇聚层交换机。汇聚层将网络划分为多个广播/组播域，可以实现 VLAN 间的路由选择，并通过访问控制列表实现分组过滤。这一层交换机的端口数量和交换速率要求不是很高，但应提供第三层交换功能。例如，华为S5700-SI系列交换机具有多个10M/100M/1000M Base-T 端口和千兆 SFP 端口，可以支持多种光模块收发器，同时提供先进的服务质量（Qos）管理和速度限制，以及安全访问控制列表、组播管理和高性能的 IP 路由。
核心层交换机。核心层应采用可扩展的高性能交换机组成园区网的主干线路，提供链路冗余、路由冗余、VLAN 中继和负载均衡等功能，并且与汇聚层交换机具有兼容的技术，支持相同的协议。例如，华为 S6700 系列交换机就是一种适合部署到核心网络的交换机。

端口类型

双绞线
光纤
GBIC：GBIC端口。交换机上的GBIC（Giga Bit-rate Interface Converter，GBIC）插槽（Slot）
用于安装千兆位端口光电转换器。GBIC 模块是将位电信号转换为光信号的热插拔器件，分为用于级连的GBIC模块和用于堆叠的GBIC模块，如图10-6所示。用于级连的GBIC模块又分为适用于多模光纤（MMF）或单模光纤（SMF）的不同类型。
SFP端口。小型机架可插拔设备（Small Form-factor Pluggable，SFP）是GBIC的升级版本，其功能基本和GBIC一致，但体积减少一半，可以在相同的面板上配置更多的端口。有时也称SFP模块为小型化GBIC（MINI-GBIC）模块，如图10-7所示。

路由器

端口类型

路由器不仅能实现局域网之间的连接，还能实现局域网与广域网、广域网与广域网之间的相互连接。路由器与广域网连接的端口称为 WAN 端口，路由器与局域网连接的端口称为 LAN端口。常见的网络端口有以下几种。
（1）RJ-45 端口。这种端口通过双绞线连接以太网。10Base-T 的 RJ-45 端口标识为 ETH，100Base-TX的RJ-45端口标识为10/100 b TX，这是因为快速以太网路由器采用10/100Mbps自适应电路

（2）AUI 端口。AUI 端口是一种 D 型 15 针连接器，用在令牌环网或总线型以太网中。路由器经 AUI 端口通过粗同轴电缆收发器连接 10Base-5 网络，也可以通过外接的 AUI-to-RJ-45适配器连接 10Base-T以太网，还可以借助其他类型的适配器实现与10Base-2 细同轴电缆或10Base-F 光缆的连接。AUI 端口如图 10-9 所示，

（3）高速同步串口。在路由器与广域网的连接中，应用最多的是高速同步串行口（Synchronous Serial Port），这种端口用于连接DDN、帧中继、X.25和PSTN等网络。通过这种端口所连接的网络两端要求同步通信，以很高的速率进行数据传输。高速同步串行口如图10-9所示。

（4）ISDN BRI 端口。ISDN BRI 端口通过 ISDN 线路实现路由器与Internet 或其他网络的远程连接，如图 10-9 所示。ISDN BRI 的 3 个通道（2B+D）的总带宽为 144kbps，端口采用 RJ-45标准，与 ISDN NTI 的连接使用 RJ-45-to-RJ-45 直通线。
（5）异步串口.异步串口（ASYNC）主要应用于与Modem或Modem池的连接，以实现远程计算机通过 PSTN 拨号接入。异步端口的速率不是很高，也不要求同步传输，只要求能连续通信。如图 10-10所示为异步串口。

（6）Console 端口。Console 端口通过配置专用电缆连接至计算机串行口，利用终端仿真程序（如Hyper Terminal）对路由器进行本地配置。路由器的Console端口为RJ-45口（如图10-9所示）。Console 端口不支持硬件流控。

（7）AUX 端口。对路由器进行远程配置时要使用 AUX 端口（Auxiliary Prot），如图 10-9所示。AUX 端口在外观上与 RJ-45 端口一样，只是内部电路不同，实现的功能也不一样。通过AUX 端口与 Modem进行连接必须借助 RJ-45 to DB9 或RJ-45 to DB25 适配器进行电路转换。
AUX 端口支持硬件流控。

路由器的操作系统

路由器都有一个操作系统，各个厂家的路由器操作系统不尽相同，但基本的工作原理都是相近似的。例如，华为路由器、交换机等数据网络产品采用的是通用路由平台VRP（Versatile Routing Platform），常用的 VRP 有VRP5 和 VRP8 两个版本。VRP5是目前大多数华为设备使用的组件化设计、高可靠性网络操作系统，而VRP8 支持分布式应用和虚拟化技术，可以适应企业快速扩展的业务需求。
IOS软件系统包括“BootROM软件”和“系统软件”两部分，是路由器、交换机等设备启动、运行的必要软件，为网络设备提供支撑、管理、业务等功能。网络设备加电后，首先运行BootROM软件，初始化硬件并显示的硬件参数信息，然后再运行系统软件。系统软件一方面提供对硬件的驱动和适配功能，另一方面实现了业务功能特性。
路由器或交换机的操作是由配置文件（configuration file或config）控制的。配置文件包含有关设备如何操作的指令，是由网络管理员创建的，一般有几百到几千个字节大小。
IOS 命令在所有路由器产品中都是通用的。这意味着只要掌握一个操作界面就可以了，即命令行界面（Command Line Interface，CLI），所以无论是通过控制台端口，或通过一部Modem，还是通过Telnet 连接来配置路由器，用户看到的命令行界面都是相同的。
IOS有3种命令级别，即用户视图、系统视图和具体业务视图。在不同的视图中可执行的命令集不同，可实现的管理功能也不同，详见下面的解释。

STP生成树协议

在所有交换机上选举根桥 (Root Bridge)，BID最小的成为根桥，具体选举规则如下：

BID（桥ID）：BID由2字节桥优先级和6字节的桥MAC地址组成

a. 先比较BID中的优先级，具有最小优先级的交换机定为根桥。
b. 如果优先级一样，再比较BID中的MAC地址，MAC地址最小的确定为跟桥

交换机默认优先级32768

在所有非根交换机上选举根端口 (Root Port)，选举规则如下：

PID（端口ID）：由端口优先级和端口编号组成

a. 非根桥交换机上，到根桥的根路径开销最小的端口，即为该非根交换机的根端口
b. 如果根路径开销相同，则比较对端交换机的BID，越小越优
c. 如果对端交换机的BID相同，则比较对端的PID，越小越优
d. 如果对端的PID相同，则比较本端的PID，越小越优。

在所有链路上选举指定端口（Designated Port），在链路中间观察两端的端口，到根桥的根路径开销最小的端口成为指定端口。具体选举规则如下：

a. 在各个链路上，到根桥的根路径开销最小的端口，即为指定端口
b. 如果根路径开销相同，则比较两端交换机的BID，越小越优
c. 如果对端交换机的BID相同，则比较两端交换机的PID，越小越优

阻塞端口

至此，其余既不是根端口也不是指定端口的都是阻塞端口。通过阻塞端口消除环路

stp阻塞端口消除环路,存在带宽浪费

RSTP在STP基础上改进，实现网络拓扑的快速收敛

MSTP在STP和RSTP基础上改进,实现vlan数据负载均衡

Qos

https://www.h3c.com/cn/d_202205/1603716_30005_0.htm

QoS（Quality of Service）要求，QoS通常用带宽、时延、时延抖动和分组丢失率来衡量。QoS的关键指标包括可用性、吞吐量、时延、时延变化（包括抖动和漂移）和丢失

ACL访问控制列表

ping命令主要用于测试网络的连通性。在某台主机上无法访问域名为aaa．13bb．cn的网站，而局域网中的其他主机可正常访问，原因是该计算机连接的网络中网络设备(防火墙)配置了拦截的ACL规则。

访问控制列表(Access Control List，ACL)是路由器的一组指令，用于设置路由器过滤数据包的规则，这种规则可以实现下列功能：

. 内部过滤分组；
. 保护内部网络免受外部的攻击；
. 限制对虚拟终端的访问。

AS即直连方式存储，英文全称是Direct Attached Storage。中文翻译成“直接附加存储”。顾名思义，在这种方式中，存储设备是通过电缆(通常是SCSI接口电缆)直接到服务器的。

DAS，也可称为SAS(Server-Attached Storage，服务器附加存储)。它依赖于服务器，其本身是硬件的堆叠，不带有任何存储操作系统。
NAs(Network Attached Storage：网络附属存储)是一种将分布、独立的数据整合为大型、集中化管理的数据中心，以便于对不同主机和应用服务器进行访问的技术。按字面简单说就是连接在网络上，具备资料存储功能的装置，因此也称为“网络存储器”。它是一种专用数据存储服务器。它以数据为中心，将存储设备与服务器彻底分离，集中管理数据，从而释放带宽、提高性能、降低总拥有成本、保护投资。其成本远远低于使用服务器存储，而效率却远远高于后者。
SAN存储域网络(Storage Atea Network)的支撑技术是Fibre Channel(FC)技术，这是ANSI为网络和通道I／O接口建立的一个标准集成。支持HlPPI、IPI、SCSI、IP、ATM等多种高级协议，它的最大特性是将网络和设备的通信协议与传输物理介质隔离开。这样多种协议可在同一个物理连接上同时传送，高性能存储体和宽带网络使用单I／0接口使得系统的成本和复杂程度大大降低。

开放系统的数据存储有多种方式，属于网络化存储的是（）。nas,san

以下关于交换机获取与其端口连接设备的MAC地址的叙述中，正确的是（）。交换机获取与其端口连接的设备的mac地址的方法是检验端口流入分组的源地址，并将其记录在地址表中。

网络操作系统和服务器

在进行域名解析的过程中，若主域名服务器故障，辅助域名服务器启动，但返回结果的是转发域名服务器，说明辅助域名服务器配置了迭代算法

windows操作系统中dhcp服务器的租约默认的有线网络8天，无线网络8小时（datacenter版为6小时）

代理服务器为局城网用户提供Internet访问时，不提供（）服务。数据加密

Windows IIS

IIS是一款由微软公司开发的Web服务器软件，它的全称是Internet Information Services

IIS可以在Windows操作系统上运行，为网站和Web应用程序提供服务。 IIS的主要功能是接收来自客户端的HTTP请求，并将请求发送到相应的Web应用程序。IIS还可以处理其他协议，如FTP、SMTP等。IIS还提供了许多高级功能，如虚拟主机、安全性、负载均衡和故障转移等。

\1. IIS是一个Web服务器软件，它可以在Windows操作系统上运行。它可以处理来自客户端的HTTP请求，并将请求发送到相应的Web应用程序。

\2. IIS支持多种协议，包括HTTP、FTP、SMTP等。这意味着您可以在同一个服务器上运行多个应用程序，每个应用程序使用不同的协议。

\3. IIS支持虚拟主机。这意味着您可以在同一个服务器上运行多个网站，每个网站都有自己的域名和IP地址。

\4. IIS提供了许多安全功能，如SSL证书、IP地址过滤、访问控制等。这些功能可以帮助您保护您的网站和应用程序免受攻击。

\5. IIS还提供了负载均衡和故障转移功能。这意味着如果一个服务器出现故障，请求会自动转移到另一个服务器上，从而保证您的网站和应用程序的可用性。除了以上的功能，IIS还有很多其他的功能，如WebDAV、Web服务扩展、ASP.NET等。这些功能可以帮助您更好地管理和扩展您的Web应用程序。

认证

Windows IIS服务支持的身份认证方式有四种：.NET Passport身份验证、集成Windows身份验证、摘要式身份验证和基本身份验证。

集成Windows身份验证以Kerberos票证的形式通过网络向用户发送身份验证信息，并提供较高的安全级别。Windows集成身份验证使用Kerberos版本5和NTLM身份验证。集成windows身份验证是安全级别最高的验证方法
摘要式身份验证，将用户凭据作为MD5哈希或消息摘要在网络中进行传输，这样就无法根据哈希对原始用户名和密码进行解码。
.NET Passport身份验证，对IIS的请求必须在查询字符串或Cookie中包含有效的.NET Passport凭据，提供了单一登录安全性，为用户提供对Internet上各种服务的访问权限。
基本身份验证：用户凭据以明文形式在网络中发送。这种形式提供的安全级别很低，因为几乎所有协议分析程序都能读取密码。所以答案是C。

背

路由器命令“Router(config)# access-list 1 deny 192.168.1.1”的含义是( )。不允许源地址为192.168.1.1的分组通过

Access-list 10 deny tcp any(源地址) host 172.16.30.2(目的地址) eq 23/telnet

禁止任何主机访问10.37.16.30.2的telnet服务

linux

文件

文件目录

网络配置文件

配置文件	功能	R舌示例
/etc/sysconfig/network	包括主机甚本网络信息，用于系统启动功	NETWORKING=yes/no#网络是否被配置 HOSTNAME= server1#主机名 GATEWAY=192.168.0.1#网关的IP地址 FORWARD_IPV4=yes/no#是否开启IP转发功能 GATEWAYDEV= eth0#网关设备
/etc/hostname	包含了系统的主机名称.，包括完全的域名	192.168.0.100 serverl.abc.com.en#设置主名为serverl abc.com
/etc/hosts	存放的是IP地址和主机名之间的映射，如果在该列表中指出某台主机的IP地址，那么访问该主机时将无须进行DNS解析	127.0.0.1 localhost.localdomain localhost 192.168.0.101 server 192.168.0.102 otherpe otheralias
/etc/host.conf	如何解析主机域名	order hosts，#解析顺序为hosts、bin bind multi on#允许/etc/hosts中将多个IP指向一台主机
/etc/resolv.conf	存放域名、域名服务器的 irtfe址	domain abc.com #设置域名 search abc.com abc.edu.cn #指明域名查询顺序 nameserver 192.168.0.14 #主域名服务器IP nameserver 192.168.0.15 #从域名服务器IP
/etc/protocols	设定系统支拎的协议，一般不要换改	协议名代码别名注释 ip 0 IP #Internct protocol….
/etc/serviccs	设定系统提供的服务和使用的端口与协议，一般不要换改	服务端口号/协议说明 ftp 20/tcp
/eic/xinetd.conf	设置超级服务器xinctd

用户管理配置文件

（1）/etc/passwd文件：对所有可读，每个用户在此中有一行对应的记录，形式如下：

用户名：加密的口令：用户ID：组ID：用户的命名或描述：登录目录：登录shell

（2）/etc/shadow文件：超级用户可读，包含了系统中所有用户及其口令等相关信息

（3）/etc/group文件：记录了用户组的基本属性信息，形式如下：

用户组名：加密后的组口令：组ID：组成员列表命令

命令

常用命令

登录
shutdown关闭系统
reboot重启计算机，等同于shutdown -r now
halt关闭，sync sync halt
exit退出登录
logout重新登录
su临时切换用户
who显示当前用户

目录文件类命令

cd 切换目录 dir 显示目录内容 ls 显示目录内容

cat 显示内容，适合小文件

less 分屏显示，可前后翻

more 分屏显示内容，不可向前翻阅

head 显示文件头部内容

tail 显示文件尾部内容

touch 创建文件或更新文件访问时间

mkdir 创建目录

rmdir 删除目录

rm 删除文件或目录(-r)

cp 复制文件或目录

mv 移动或改名

chown 修改文件所有者

chgrp 修改文件所属组

chmod 修改文件目录权限

find 查找文件或目录

环境

date
显示或设置日期和时间
time
取以秒为单位的当前时间
set
显示环境变量

进程

kill中止一个进程
top显示资源使用情况
jobs全部作业
ps查找进程
pstree显示进程树
free内存空间

磁盘管理

mount装载一个文件系统
umount卸载一个文件系统
df查看磁盘剩余空间
du查看磁盘使用情况

网络配置命令

ipconfig

ipconfig /flushdns是清除DNS缓存记录;

ipconfig /displaydns为显示DNS缓存记录;

ipconfig /release是释放DHCP自动分配的IP地址

ipconfig /all 自动获得IP地址

ipconfig /renew 重新得到新的IP地址

ifconfig

网络接口设置命令ifconfig，基本格式：ifconfig Interface-name ip-address up|down

可以使用ifconfig命令来配置并查看网络接口的配置情况。
　（1）配置eth0的IP地址，同时激活该设备。
　　#ifconfig eth0 192.168.1.10 netmask 255.255.255.0 up
　　（2）配置eth0别名设备eth0:1的IP地址，并添加路由。
　　#ifconfig eth0 192.168.1.3
　　#route add –host 192.168.1.3 dev eth0:1
　　（3）激活设备。
　　#ifconfig eth0 up
　　（4）禁用设备。
　　#ifconfig eth0 down
　　（5）查看指定的网络接口的配置。
　　#ifconfig eth0
　　（6）查看所有的网络接口配置。
　　#ifconfig

route

配置路由命令route，基本格式：route[-选项]

常用对数和选项说明如下：

·del:删除一个路由表项

·add:增加一个路由表项

·target:配置的目的网段或者生机。可以是IP，或者是网络或主机名

·netmask Nm:用来指明要添加的路由表项的子网掩码

·gw Gw:任何通往目的地的IP分组都要通过这个网关

可以使用route命令来配置并查看内核路由表的配置情况。
　　　（1）添加到主机的路由。
　　#route add –host 192.168.1.2 dev eth0:0
　　#route add –host 10.20.30.148 gw 10.20.30.40
　　（2）添加到网络的路由。
　　#route add –net 10.20.30.40 netmask 255.255.255.248 eth0
　　#route add –net 10.20.30.48 netmask 255.255.255.248 gw 10.20.30.41
　　#route add –net 192.168.1.0/24 eth1
　　（3）添加默认网关。
　　#route add default gw 192.168.1.1
　　（4）查看内核路由表的配置。
　　#route
　　（5）删除路由。
　　#route del –host 192.168.1.2 dev eth0:0
　　#route del –host 10.20.30.148 gw 10.20.30.40
　　#route del –net 10.20.30.40 netmask 255.255.255.248 eth0
　　#route del –net 10.20.30.48 netmask 255.255.255.248 gw 10.20.30.41
　　#route del –net 192.168.1.0/24 eth1
　　#route del default gw 192.168.1.1
　　对于1和2两点可使用下面的语句实现：
　　Ifconfig eth0 172.16.19.71 netmask 255.255.255.0
　　Route 0.0.0.0 gw 172.16.19.254
　　Service network restart

ping

网络测试命令ping

·-t:校验与指定的计算机的连接，直到用户中断

·-a:将地址解析为计算机名

·-n count:发送由count指定数量的ECHO报文，在发送指定数目（默认4）的包后停止

·-l length:发送包含由length指定数据长度的ECHO报文

·-I ttl:将“生存时间”字段设置为ttl指定的数值

netstat

网络查询命令netstat，netstat[-选项][-参数]

·-a:显示所有连接的信息

·-i:显示所有已配置网络设备的统计信息

·-c:持续更新网络状态（每秒一次）直至被人为中止

·-r:显示内核路由表

·-n:以数字（原始）格式而不是已解析的名称显示远程和本地连接

可以使用netstat命令来显示网络状态信息。
　　例如：
　　（1）显示网络接口状态信息。
　　#netstat –i
　　（2）显示所有监控中的服务器的Socket和正使用Socket的程序信息。
　　#netstat –lpe
　　（3）显示内核路由表信息。
　　#netstat –r
　　#netstat –nr
　　（4）显示TCP/UDP传输协议的连接状态。
　　#netstat –t
　　#netstat –u

tracert

可以使用tracert命令显示数据包到达目的主机所经过的路由

arp

arp 查看arp缓存。

arp -a 当你需要显示当期ip地址对应的mac地址时使用

arp -s 添加一个IP地址和MAC地址的对应记录

arp –s 192.168.33.15 00:60:08:27:CE:B2　　

arp –d 192.168.33.15

背

window用户管理，组策略A-G-DL-P,用户账号-全局组-域本地组-资源权限

安装Liux时必须创建的分区有：/boot分区、swap分区、/根分区。其中，交换分区（swap）用来支持虚拟内存的交换空间，当没有足够的内存来处理系统数据时，就要使用交换分区的空间。

window

命令

修复

DISM.exe /Online /Cleanup-image /Scanhealth

DISM.exe /Online /Cleanup-image /Checkhealth

DISM.exe /Online /Cleanup-image /Restorehealth

sfc /scannow

环境变量

window+r —> sysdm.cpl —> 高级 —>环境变量

任务进程

查看任务进程：tasklist
删除任务pid ：taskkill /f /pid
taskkill /f /im 程序名杀掉对应程序名称的所有进程
netstat -ano | find “3306”查看3306端口的任务进程

知识点

命令

nslookup为显示域名解析服务器；

ftp命令

“get”命令，用来从服务器端下载一个文件。

“put”命令，用来向FTP服务器端上传一个文件。

“！dir”命令，用来显示客户端当前目录中的文件信息。

“lcd”命令，用来设置客户端当前的目录。

“bye”命令，用来退出FTP连接。

查看OSPF接口的开销、状态、类型、优先级等的命令是( 1 )；查看OSPF在接收报文时出错记录的命令是( 2 )。

display ospf interfacc

display ospf error

使用（）命令可以查看IS-IS协议的概要信息。display isis brief

以下的访问控制列表中，（）禁止所有Telnet访问子网10.10.1.0/24。access-list 15 deny tcp any 10.10.1.0 0.0.0.255 eq 23

在 Windows 客户机上可使用 ipconfig/release 释放当前 IP 地址

C：＼> nslookup ＞ set type=ptr ＞211.151.91.165 查询 211.151.91.165 到域名的映射

Windows系统下，通过运行（）命令可以打开Windows管理控制台。mmc

在Linux系统中，利用（）命令可以分页显示文件的内容。more

软著

著作权的保护期限是作者死后第50年的12月31日。

专利权是指国家根据发明人或设计人的申请，以向社会公开发明创造的内容，以及发明创造对社会具有符合法律规定的利益为前提，根据法定程序在一定期限内授予发明人或设计人的一种排他性权利。

商标权是民事主体享有的在特定的商品或服务上以区分来源为目的排他性使用特定标志的权利，有效期为10年，但期满前12个月内可申请续展，续展可无限重复进行，因此其有可能无限期地拥有商标权。

知识产权一般都具有法定的保护期限，一旦保护期限届满，权利将自行终止，成为社会公众可以自由使用的知识。 商业秘密权受法律保护的期限是不确定的，一旦为公众所知悉，即成为公众可以自由使用的知识。

商业秘密权是商业秘密的合法控制人采取了保密措施，依法对其经营信息和技术信息享有的专有使用权

本题考查知识产权知识。公民为完成法人或者其他组织工作任务所创作的作品是职务作品，职务作品可以是作品分类中的任何一种形式，如文字作品、电影作品、计算机软件等。职务作品的著作权归属分两种情形：
一般职务作品的著作权由作者享有。所谓一般职务作品是指虽是为完成工作任务而为，但非经法人或其他组织主持，不代表其意志创作，也不由其承担责任的职务作品。对于一股职务作品，法人或其他组织享有在其业务范围内优先使用的权利，期限为两年。优先使用权是专有的，未经单位同意，作者不得许可第三人以与法人或其他组织使用的相同方式使用该作品。在作品完成两年内，如单位在其业务范围内不使用，作者可以要求单位同意由第三人以与法人或其他组织使用的相同方式使用，所获报酬，由作者与单位按约定的比例分配。

软件开发与标准

背

在基于Web的电子商务应用中，访问存储于数据库中的业务对象的常用方式之一是（）。JDBC

软件开发的增量模型( )。是一种能够快速构造可运行产品的好方法

SOA（面向服务的架构）是一种（）服务架构。粗粒度、松耦合

SNMPc软件支持的4个内置TCP服务是（）。

FTP、SMTP、WEB和TELNET

以下域名服务器中，没有域名数据库的（）。缓存域名服务器

网络安全等级保护第三级且是在上一级基础上增加的安全要求是()。

评价系统可靠性通常采用MTBF(Mean Time Between Failures，平均故障间隔时间)和MTTR(Mean Time to Repair，平均修复时间)这两个技术指标。其中MTBF是指系统无故障运行的平均时间，通常以(小时)为单位。MTBF 越(大)，可靠性也就越高，在实际的网络中，故障难以避免，保证可靠性的技术从两个方面实现，故障检测技术和链路冗余，其中常见的关键链路冗余有接口备份、(链路聚合)、(VRRP)和双机热备份技术。

系统开发和运行基础

软件的分类
系统软件，如操作系统
支撑软件，如开发工具
应用软件，如office
实时处理软件，一般是工业软件

软件生存周期

软件定义
问题定义，落实问题的性质、工程目标和规模，明白要解决什么问题
可行性研究，估计系统的成本和效益
需求分析，明确系统必须具备哪些功能，用数据字典和简要算法描述系统逻辑性

软件开发
概要设计，确立总体结构和模块关系，定义模块之间的接口，设计全局数据结构，制定综合测试计划
详细设计，设计模块内的细节，如算法、数据结构和接口信息

编码和单元测试，使用程序设计语言实现模块内功能并测试该模块
综合测试

软件开发模型

瀑布模型，自顶到下的线性模型，开发后期的测试阶段才能发现问题，增加了开发的风险
快速原型模型
增量模型，先开发核心模块，其他构件逐步附加
螺旋模型，适合于大型复杂项目
喷泉模型，面向对象的典型开发模型

结构化设计、面向对象设计
耦合度：做到高内聚（模块内）低耦合（模块间）是一个较科学的做法
程序控制的三种结构，顺序、选择、循环
面向对象方法（OO）=对象+类+继承+通过消息的通信
对象是具有特殊属性（数据）和行为方式（方法）的实体
类是具有相同属性和行为的一个或多个对象的描述
实例是类所描述的一个具体的对象

统一建模语言UML，是一种图示建模语言，UML表示法包括事务、关系和图三种构造块

软件测试
人工测试，也叫代码审查，可调编码错和逻辑错
机器测试——白盒测试，要完全理解程序结构和处理过程，测试逻辑路径，也称为结构测试，逻辑覆盖是白盒测试的常用方法
机器测试——黑盒测试，测试程序的输入输出，也叫功能测试，黑盒白盒互为补充

软件调试技术一般有蛮干法、原因排除法（对分查找法、归纳法、演绎法）、回溯法

软件项目管理

软件编码规模=(最大规模+4最可能的规模+最小规模)/6

进度安排工具
关键日期表
甘特图能直观表明每个任务的计划进度和当前进度
网络图，PERT和CPM都采用网络图，网络图找工期要找最长路径
软件过程能力评估，ISO9000:2000和CMM（软件成熟度模型），CMM五个级别，级别三为已定义级，CMM5（5级别）达到优化级

语言

python不是编译型

标准

数据标准化三个阶段

业务建模阶段：现实业务过程全面分析和了解；以业务模型为基础；是数据标准化的基础和前题。

数据规范化阶段：关键和核心；对数据元素进行提取、规范化及管理的过程；是数据标准化的核心和重点。

文档规范化阶段：是实际应用的关键，是实现离散数据有效合成的重要途径；是数据标准化的成果有效应用的关键

项目收尾：合同收尾，管理收尾

结构化开发方法是传统的、也是应用较为广泛的一种软件开发方法，它基于数据流进行需求分析和软件设计，用抽象模型的概念，按照软件内部数据传递和转换关系，对问题和功能自顶向下逐层分解。Jackson系统开发方法是一种典型的面向数据结构的分析和设计方法，以活动为中心，一连串活动的顺序组合成一个完整的工作进程。Booch方法是一种面向对象的软件开发方法。UNL仅仅是一种建模标准语言，规定了构成软件的各个元素和构件的图示规范。

软件风险一般包括不确定性和损失两个特性，其中不确定性是指风险可能发生，也可能不发生；损失是当风险确实发生时，会引起的不希望的后果和损失

软件测试时，白盒测试不能发现( ) 功能正确

“白盒法”把测试对象看做是一个打开的盒子，测试人员需了解程序的内部结构和处理过程，以检查处理过程的细节为基础，对程序中尽可能多的逻辑路径进行测试，检验内部控制结构和数据结构是否有错，实际的运行状态与预期的状态是否一致。常用的白盒测试用例设计方法有基本路径测试、循环覆盖测试、逻辑覆盖测试。白盒测试不关心功能需求，故无法确定功能正确与否。

在面向数据流的设计方法中，一般把数据流图中的数据流划分为（）两种。变换流和事务流

依据《数据中心设计规范》，在设计数据中心时，成行排列的机柜，其长度大于()米时，两端应设有通道。
A.5
B.6
C.7
D.8
信管网参考答案：B

项目流程

关键路径从起点开始数到终点最长的那一条就是关键路径；

松弛时间是指值=通过整个活动的最长路径-通过GH整个活动的最长路径

经过GH的最长路径=20-17=3

某软件项目的活动图如下图所示，其中顶点表示项目里程碑，连接顶点的边表示包含的活动，边上的数字表示该活动所需的天数，则完成该项目的最长时间为（1）活动BD最多可以晚（2）一天开始而不会影响整个项目的进度。24，2

某软件项目的活动图如下图所示，其中顶点表示项目里程碑，连接顶点的边表示包含的活动，边上的数字表示活动的持续时间（天）。完成该项目的最少时间为（7）。由于某种原因，现在需要同一个开发人员完成BC和BD，到完成该项目如最少时闻为（8）天。18,20

关键路径：最长的一段（abcefj==abdgfj=18天），bd、bc只能由同一个人来完成，因此最快的方式为，先完成bd再去完成bc（因此相当于此时，关键路径abcefj上推迟了2天完成，因此此时项目完成的最少时间为20天）。

图形

使用PERT图进行进度安排，不能清晰地描述　（1）　，但可以给出哪些任务完成后才能开始另一些任务。下面PERT图所示工程从A到K的关键路径是　（2）　（图中省略了任务的开始和结束时刻）。

各任务之间的并行情况
ABEGHJK

关键路线(Critical Path)是PERT网络中花费时间最长的事件和活动的序列。

PERT图的特点是通过关键路径法进行包括费用在内的资源最优化考虑，压缩关键路径上的工作，在规定的时间以前把它高效率地完成。PERT图不仅给出了每个任务的开始时间、结束时间和完成该任务所需的时间，还给出任务之间的关系，即哪些任务完成后才能开始另外一些任务，以及如期完成整个工程的关键路径，但是PERT图不能反映任务之间的并行关系。按照定义，题中的PERT图的关键路线是ABEGHJK。