计算机组网络工程师岗位职责（精选5篇）

第一篇：计算机组网络工程师岗位职责

1.负责机房内的网络连接及网络间的系统配置。

2.负责系统网络的拓扑图的建立和完善，并做好系统路由的解析和资料的整理。

3.负责机房线路的布置和协议的规范工作。

4.负责计算机间的网络连接及网络共享，并负责网络间安全性的设置。

5.负责对网络障碍的分析，及时处理和解决网络中出现的问题。

6.利用网络测试分析仪，定期对现有的网络进行优化工作。

第二篇：计算机组网

第一章计算机网络基础知识

1、什么是计算机网络，它有什么功能，由哪几部分组成。答：（1）计算机网络是指在网络协议控制下，利用某种传输介质和通信手段，把地理上分散的计算机、通信设备及终端等相互联结在一起，以达到相互通信和资源共享目的的计算机系统（2）计算机网络功能：资源共享、数据传输、协调负载、提供各种方便可靠的服务3）计算机网络通常由三个部分组成，它们是资源子网、通信子网和通信协议

3、常见的网络拓扑结构有哪些，它们各有什么优缺点？答：（1）星形结构；优点：结构简单、容易实现、便于管理，连接点的故障容易监测和排除。缺点：中心结点是全网络的可靠瓶颈，中心结点出现故障会导致网络的瘫痪。（2）环形结构：优点：结构简单，适合使用光纤，传输距离远，传输延迟确定。缺点：环网中的每个结点均成为网络可靠性的瓶颈，任意结点出现故障都会造成网络瘫痪，另外故障诊断也较困难。最著名的环形拓扑结构网络是令牌环网（TokenRing）3）总线结构：优点：结构简单、布线容易、可靠性较高，易于扩充，是局域网常采用的拓扑结构。缺点：所有的数据都需经过总线传送，总线成为整个网络的瓶颈；出现故障诊断较为困难。最著名的总线拓扑结构是以太网（Ethernet）。（4）网状结构：优点：系统可靠性高，比较容易扩展，但是结构复杂，每一结点都与多点进行连结，因此必须采用路由算法和流量控制方法。目前广域网基本上采用网状拓扑结构。

4、常见的计算机网络工作模式有哪几种，客户机/服务器结构有什么特点？答：（1）对等式网络，主从式结构，专用的服务器结构（2）对资源等的管理集中在运行网络操作系统（NOS）服务器软件的计算机（服务器）上，服务器还可以认证用户名和密码信息，确保只有授权的用户才能登录并访问网络资源。此外，服务器可为客户机提供各种应用服务。

6、什么是网络通信协议，它有什么作用？答：（1）为了能在网络中正确进行数据传输而建立的一系列的规则（标准、约定）称为协议。（2）网络协议是通信双方通过网络进行通信和数据交换时必须遵循的规则、标准或约定。这些网络协议用于控制主机与主机、主机与通信子网中各节点之间的通信。

11、TCP/IP参考模型中网络层、传输层和应用层有哪些主要的协议？答：（1）网络层：网际控制消息ICMP、互联组管理协议IGMP、地址解析协议ARP、反向地址解析协议RARP2）传输层：传输控制协议TCP、用户数据报协议UDP（3）应用层：简单电子右键传输SMTP、文件传输协议FTP、超文本传输协议HTTP、网络远程访问协议TELNET、域名服务DNS、网络管理协议SNMP

14、什么是网络适配器，它有什么功能？答：网络适配器也称网卡是LAN的通信接口，主要实现LAN通信中物理层和介质访问控制层的功能

16、熟悉以太网、快速以太网、千兆以太网和万兆以太网标准。答：（1）以太网IEEE802〃3（2）快速以太网10Base-T（3）千兆以太网802.3z和802.3ab（4）万兆以太网IEEE

1、有线传输介质与无线传输介质有什么区别？答：（1）有线传输.优点,稳定,速度快.缺点,施工麻烦,相对比无线要安全点.（2）无线传输.优点,方便,缺点,数据不安全,不稳定,相对有线速度要慢些.2、常用的有线传输介质有哪几种？答：双绞线，同轴电缆和光纤。无线网络传输介质主要包括无线电波微波．红外线和激光等．

4、制作双绞线网线需要哪些工具和器材？答：剥线钳，打线钳，网线钳，夹线钳，双绞线测试仪，万用表

5、掌握568A和568B线序标准。答：（1）568A的线序为：绿白，绿，橙白，蓝，蓝白，橙，棕白，棕（2）568B的线序为：橙白，橙，绿白，蓝，蓝白，绿，棕白，棕

1、实现物理层互联的常用网络设备有哪些，它们各自有什么功能？答：（1）中继器：可以把接收到的弱信号放大，可以使信号传送到更远的距离（2）集线器：是一种信号再生转发器，相当于一个多口中继器，可实现简单的加密和地址保护。

3、掌握集线器和交换机的工作原理、交换机与集线器的区别？答：集线器的工作原理：属于数据通信设备，工作于LAN环境中，主要用于OSI（OpenSystemInterConnection）参考模型第一层，因此，又被称为物理层设备，每个经集线器连接的节点都需要一条专用的线缆。集线器内部采用电器互联，当维护LAN环境的逻辑总线或环型结构时，用集线器可以建立一个物理的星型网络结构。在这方面，集线器起到了多端口中继器的作用。在以太网环境下，集线

器向每个端口（数据接受端口除外）广播所接受的数据帧，由CSMA/CD（载波监听多路访问/冲突检测）机制决定最终接受方。以太网是机器之间的链路级连接交换机的工作原理：交换机是通过MAC地址来转发数据的。当连接交换机的两个用户同时发送数据时，交换机先查看交换机的交换机表，里面有记录端口和MAC地址的映射。区别：工作层次：集线器工作在物理层，交换机工作在数据链路层，集线器是共享式的设备，所有的端口共享一条数据通道组建共享式局域网，所有计算机都属于一个冲突域，而交换机可以为任意两个数据端口建立一条独立的数据通道，可以隔离冲突域；交换机基于MAC地址，集线器采用广播方式；

5、常用的交换机分类方式有哪些，可分为哪几种类型？答：（1）根据网络覆盖范围分：局域网交换机和广域网交换机。（2）根据传输介质和传输速度划分：以太网交换机、快速以太网交换机、千兆以太网交换机、10千兆以太网交换机、ATM交换机、FDDI交换机和令牌环交换机。（3）根据交换机应用网络层次划分：企业级交换机、校园网交换机、部门级交换机和工作组交换机、桌机型交换机。（4）根据交换机端口结构划分：固定端口交换机和模块化交换机。（5）根据工作协议层划分：第二层交换机、第三层交换机和第四层交换机。（6）根据是否支持网管功能划分：网管型交换机和非网管理型交换机。

6、交换机的交换模式有哪几种？答：（1）Cut-Through（直通转发）Switch检查目的地址后立刻转发帧（2）StoreandForward（存储转发）接收完整的帧并缓存起来，然后校验后转发（3）Fragment-Free（碎片丢弃/无碎片直通方式）检查前64字节后立即转发

1、ping命令有什么作用，掌握其在网络维护中的典型应用。答：Ping是一个常用的网络命令，利用它可以检查网络是否能够连通，也可以很好地帮助人们分析排查网络故障 Pong命令的几个典型应用“由近及远”四步ping法是一种典型应用。1)ping环回地址，验证是否在本地计算机上正确安装TCP/IP协议以及配臵是否正确。Ping127.0.0.12)ping本地计算机的IP地址是否正确地添加到本地网络。pingIP_address_of_local_host3)ping默认网关的IP地址，验证默认网关是否运行以及能否与本地主机通信。PingIP_address_of_default_geteway4)ping远程主机的IP地址，验证能否通过本机的默认网关与远程主机进行通信。PingIP_adress_of_remote_host

2、netstat命令有什么作用？答：显示当前协议的统计信息和当前的TCP/IP连接。

3、ipconfig命令有什么作用，掌握其常用的几种方式。答：域名系统（DNS）设臵

4、tracert命令有什么作用，掌握其使用方法。答：Tracert命令是跟踪路由路径的一个实用程序，用于确定数据访问目标所经过的路径

5、arp命令有什么作用，掌握其使用方法。答：用于查看计算机MAC地址和IP地址的对应关系，处理ARP缓存的相关信息。

6、nslookup命令有什么作用，掌握其使用方法。答：Nslookup命令的功能是查询一台机器的IP地址和其对应的域名。退出nslookup模式，在DOS提示符C:>下输入exit命令，然后按回车键即可。第五章windows环境下TCP/IP参数的配臵

1、掌握IP地址的结构和分类。

2、什么是公网地址和私网地址，私网地址的范围有哪些？答：所谓“私有地址”是IANA规定的特殊用途IP地址中的一类，特殊用途IP地址包含如下几类：私有地址10.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.255 *自动配臵地址169.254.0.0-169.254.255.255 *环回地址127.0.0.0-127.255.255.255 *未分配地址或称保留地址 *多播地址224.0.0.0-239.255.255.255 私网地址（Privateaddress）属于非注册地址，专门为组织机构内部使用。主要有以下三类地址为私网专用的保留地址：A类10.0.0.0，B类172.16.0.0——172.31.0.0，C类192.168.0.0——192.168.255.0。公网IP地址是指接入Internet的计算机得到的IP地址是Inetnet上的非保留地址。公网的计算机和Internet上的其他计算机可随意互相访问。202.100.100.167/202.100.100.169都属于公网地址

3、掌握子网掩码、网络地址和广播地址的概念及计算方法。子网掩码是保证TCP/IP网络正常工作所必需的条件之一，是用来判断任意联网的两台计算机IP地址是否属于同一子网络的根据。

4、掌握IP地址的前缀记法。

5、掌握子网划分方法。

6、什么是默认网关，它有什么作用？答:网关就是一个网络连接到另一个网络的“关口”对本地网关而言，网关实际上是一个网络通向另其他网络的IP地址。在计算机网络的某台主机如果找不到可用的网关后，就会将数据包发给默认制定的网关，这个就是默认网关。

7、可采用哪几种方法对计算机的IP地址进行设臵。1.在【Internet协议（TCP/IP）属性】对话框中设臵。2.通过命令ipconfig设臵。第十、十一、十二和十三章

1、安装在服务器上的常用网络操作系统有哪些？unix, win NT, linux

3、什么是URL，它有什么作用？答：URL是UniformResourceLoctor的缩写，即全球资源定位器，它是一个识别Internet中哪里有信息资源，并且将Internet提供的服务统一编址的系统。URL作用：通过URL可以到达任何一个地方寻找需要的东西，比如文件、数据库、图像、新闻组等等，可以这样说，URL是Internet上的地址簿。URL一般由三个部分构成，各个部分如下：1.服务器标识符2.信息资源地址3.路径名

4、DNS服务有什么功能，使用什么协议？答：DNS是域名系统(DomainNameSystem)的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。DNS命名用于Internet等TCP/IP网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为与之相关的其他信息，如IP地址。使用的协议是TCP/IP

5、FTP服务有什么功能，使用什么协议？答：（1）可以跟Internet上的FTP服务器进行文件的上传（Upload）或下载（Download）等动作。对于虚拟主机用户来说，FTP主要是用于将用户的网站上传至虚拟主机或者将网页从主机上下载至本地。让用户连接上一个远程计算机（这些计算机上运行着FTP服务器程序）察看远程计算机有哪些文件，然后把文件从远程计算机上拷到本地计算机，或把本地计算机的文件送到远程计算机去。（2）使用的协议是文本传输协议FTP

6、EMAIL服务有什么功能，使用什么协议？答：（1）

1、用户投递的邮件；

2、将用户投递进来的邮件转发给目标邮件服务器；

3、接受其他邮件服务器转发过来的邮件并把邮件存储到其他管理的用户邮中；

4、为前来读取邮件的用户提供读取服务；邮件服务器按通讯协议可以划分为两种类型：SMTP服务器、POP3/IMAP服务器（2）SMTP简单邮件传输协议和POP3/IMAP邮局协议

7、DHCP服务有什么功能，使用什么协议？答：（10DCHP服务的功能：1能动态地设定IP地址2将一些IP地址保留下来给一些具有特殊用途的主机使用3帮客户端指定router、netmark、DNSServer、WINSServer等。(20使用的协议：TCP/IP（传输控制协议/因特网互联协议）

8、掌握WWW、DNS、FTP、EMAIL和DHCP服务的配臵方法。第十九章计算机网络规划设计与应用

1、掌握网络拓扑结构图的绘制方法。

2、掌握IP地址分配方案的编制方法。

3、掌握网络设备选型方法。

4、掌握常用网络服务的架设方法。

第三篇：计算机组网

第一章计算机网络基础知识

2、掌握常见的网络划分类型。答：（1）、按网络的覆盖范围分类；局域网，城域网，广域网（2）、按网络的使用者进行分类：公用网，专用网（3）、按信息交换方式分类：电路交换，报文交换，分组交换，混合交换，信元交换（4）、按传输技术分类：广播型网络，点到点网络（5）、按网络的拓扑结构分类：总线型，星形，环形，网状等

5、什么是数字信号与模拟信号，什么是单工、半双工和全双工通信？答：（1）模拟信号：连续变化的信号。（2）数字信号：取值为有限的几个离散值的信号。（3）单工通信：即只有一个方向的通信而没有反方向的交互。4）半双工通信：即通信和双方都可以发送信息，但不能双方同时发送（当然也不能同时接收）。这种通信方式是一方发送另一方接收，过一段时间再反过来。（5）全双工通信：即通信的双方可以同时发送和接收信息。

7、OSI包括哪七层？答：物理层，数据链路层，网络层，传输层，会话层，表示层，应用层

8、OSI模型中的物理层、数据链路层、网络层和传输层的功能是什么，它们的传输单元是什么？答：（1）物理层的作用是使原始的数据比特流能在物理媒体上传输，数据单元是比特bit;（2）数据链路层的作用是将物理层的比特流数据封装成数据包，数据单元是帧；（3）的作用是确定数据从原始端口到目的端口的传输路径，数据单元是数据包；（4）传输层的作用是从会话层接收数据，并且在必要的时候把它们分成较小的单元，传给网络层，数据单元是数据段

9、TCP/IP参考模型的包括哪几层，各层的功能是什么？答：（1）网络接口层、网际层、运输层、网络层(2)网络接口层：负责数据帧的发送和接受网际层：是使数据报从源主机传送到目的主机。运输层：提供在应用进程之间的端到端通信。网络层：规定应用进程在通信时所遵循的协议。

10、掌握TCP和UDP协议的特点和功能，以及它们的区别答：（1）传输控制协议TCP：为应用程序提供可靠的通信连接。适合一次传输大批数据的情况，并适用于要求得到实时响应的应用程序2）用户数据报协议UDP：提供了无连接通信，不对传送包进行可靠的保证，适合一次传输少量的数据，可靠性则有应用层来负责

11、TCP/IP参考模型中网络层、传输层和应用层有哪些主要的协议？答：（1）

网络层：网际控制消息ICMP、互联组管理协议IGMP、地址解析协议ARP、反向地址解析协议RARP2）传输层：传输控制协议TCP、用户数据报协议UDP（3）应用层：简单电子右键传输SMTP、文件传输协议FTP、超文本传输协议HTTP、网络远程访问协议TELNET、域名服务DNS、网络管理协议SNMP

12、IEEE802参考模型中的数据链路层包含哪两个子层，各有什么功能？答：（1）媒体访问控制MAC子层：保证帧传送的准确和无误等（2）逻辑链路控制LLC子层：负责进行帧的组装和拆卸、帧的发送和接收

13、什么是封装和解封装？答：在计算机网络通信过程中，一台计算机（源主机）要发送数据到另一台计算机（目的计算机）则数据首先必须“打包”，这个过程叫“封装”，而把封装的数据包还原成数据.，这个过程则叫“解封装”

14、什么是网络适配器，它有什么功能？答：网络适配器也称网卡是LAN的通信接口，主要实现LAN通信中物理层和介质访问控制层的功能

15、以太网使用的介质访问控制方式是哪种，工作原理如何。答：（1）CSMA/CD即带冲突检测的载波监听多路访问（2）其工作原理可以用四句简单的话来概括：先听后发、边发边听、冲突停止、随机延迟后再发。

17、什么是5-4-3-2-1规则？答：即双绞线以太网布线规则。5：允许5个网段，每网段最大长度100米。4：在同一信道上允许连接4个中继器或集线器3：在其中的三个网段上可以增加节点。2：在另外两个网段上，除做中继器链路外，不能接任何节点。1：上述将组建一个大型的冲突域，最大站点数1024，网络直径达2500米。

18、什么是冲突和冲突域，如何分隔冲突域？答：（1）在同一个网络上，当两个比特同时在进行传输时，就有可能会发生冲突（2）在网络内部，数据分组产生和发生冲突的这样一个区域被称为冲突域。所有的共享介质环境都是冲突域（3）使用可分离冲突域的网络设备（网桥、交换机或路由器）来减少冲突域的规模

19、什么是交换式局域网和共享式局域网，它们有什么区别？答：（1）利用集线器连接的局域网叫共享式局域网,利用交换机连接的局域网叫交换式局域网。第二章网线的制作

3、什么是交叉电缆和直通电缆，它们有什么用途？答：（1）交叉线，两边水晶头的线序不同，一边用T568A，一边用T568B（2）直通线，即两边水晶头的线序一样，都是T568A或者T568B，常用T568B（3）交叉线是用来连接OSI参考模型中，位于相同层和不相临层的设备之间用的，常用的就是，电脑连接电脑，电脑连接路由器的路由口`（4）直通线是用来连接OSI参考模型中，位于相临层的设备之间的用的，常用的，就是电脑连接交换机，交换机连接路由器（桌面级路由的LAN口其实是内臵的交换机，所以也用直通线）

4、制作双绞线网线需要哪些工具和器材？答：剥线钳，打线钳，网线钳，夹线钳，双绞线测试仪，万用表

5、掌握568A和568B线序标准。答：（1）568A的线序为：绿白，绿，橙白，蓝，蓝白，橙，棕白，棕（2）568B的线序为：橙白，橙，绿白，蓝，蓝白，绿，棕白，棕第三章对等网的组建

2、实现数据链路层互联的常用网络设备有哪些，它们各自有什么功能？答：（1）网桥是连接两个局域网的存储转发设备，用它可以完成具有相似或相同体系结构网络系统的连接（2）交换机：是多端口网桥，是一种可以根据要传输的网络信息构造自己的“转发表”并作出转发决策的设备

3、掌握集线器和交换机的工作原理、交换机与集线器的区别？答：集线器的工作原理：属于数据通信设备，工作于LAN环境中，主要用于OSI

（OpenSystemInterConnection）参考模型第一层，因此，又被称为物理层设备，每个经集线器连接的节点都需要一条专用的线缆。集线器内部采用电器互联，当维护LAN环境的逻辑总线或环型结构时，用集线器可以建立一个物理的星型网络结构。在这方面，集线器起到了多端口中继器的作用。在以太网环境下，集线器向每个端口（数据接受端口除外）广播所接受的数据帧，由CSMA/CD（载波监听多路访问/冲突检测）机制决定最终接受方。以太网是机器之间的链路级连接交换机的工作原理：交换机是通过MAC地址来转发数据的。当连接交换机的两个用户同时发送数据时，交换机先查看交换机的交换机表，里面有记录端口和MAC地址的映射。区别：工作层次：集线器工作在物理层，交换机工作在数据链路层，集线器是共享式的设备，所有的端口共享一条数据通道组建共享式局域网，所有计算机都属于一个冲突域，而交换机可以为任意两个数据端口建立一条独立的数据通道，可以隔离冲突域；交换机基于MAC地址，集线器采用广播方式；

4、交换机主要的性能指标有哪些（背板带宽、包转发率等）？答：（1）端口数量（2）端口速率（3）机架插槽数和扩展槽数（4）背板带宽（5）支持的网络类型（6）支持的物理地址数量（7）最大可堆叠数（8）可网管性（9）最大SONET端口数（10）支持的协议和标准。

7、什么是三层交换技术？答：即ip交换技术，二层交换技术加三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。

8、路由器具有什么功能，掌握其工作原理？答：（1）路由的路由器在查找路由表时按照以下顺序查找（2）搜索匹配的主机地址搜索匹配的网络地址搜索默认表项核心功能包括数据报文转发和路由处理两个方面第四章网络命令的应用

2、netstat命令有什么作用？答：显示当前协议的统计信息和当前的TCP/IP连接。

3、ipconfig命令有什么作用，掌握其常用的几种方式。答：域名系统（DNS）设臵

4、tracert命令有什么作用，掌握其使用方法。答：Tracert命令是跟踪路由路径的一个实用程序，用于确定数据访问目标所经过的路径

5、arp命令有什么作用，掌握其使用方法。答：用于查看计算机MAC地址和IP地址的对应关系，处理ARP缓存的相关信息。

1、掌握IP地址的结构和分类。

4、掌握IP地址的前缀记法。

5、掌握子网划分方法。

6、什么是默认网关，它有什么作用？网关就是一个网络连接到另一个网络的“关口”对本地网关而言，网关实际上是一个网络通向另其他网络的IP地址。在计算机网络的某台主机如果找不到可用的网关后，就会将数据包发给默认制定的网关，这个就是默认网关。

7、可采用哪几种方法对计算机的IP地址进行设臵。1.在【Internet协议（TCP/IP）属性】对话框中设臵。2.通过命令ipconfig设臵。第十、十一、十二和十三章

1、安装在服务器上的常用网络操作系统有哪些？

2、WWW服务有什么功能，使用什么协议？

6、EMAIL服务有什么功能，使用什么协议？答：（1）

1、用户投递的邮件；

2、将用户投递进来的邮件转发给目标邮件服务器；

3、接受其他邮件服务器转发过来的邮件并把邮件存储到其他管理的用户邮中；

8、掌握WWW、DNS、FTP、EMAIL和DHCP服务的配臵方法。第十九章计算机网络规划设计与应用

1、掌握网络拓扑结构图的绘制方法。

2、掌握IP地址分配方案的编制方法。

3、掌握网络设备选型方法。

4、掌握常用网络服务的架设方法。

第四篇：中小it企业网络工程师岗位职责说明书

网络工程师岗位职责说明书

岗位名称

网络工程师

岗位编号

所属部门

岗位职级

直属上级

直属下级

工作内容及岗位职责

1、负责针对不同规模的网络，制定合理的网络架构和网络平安解决方案；

2、负责完成网络平安工程的实施，文档的管理；

3、负责对网络进行平安咨询、深度平安评估和平安加固；

4、在出现网络攻击或平安事件时，提供紧急响应措施，尽快恢复系统及调查取证；

5、能够解决网络相关的日常平安问题，对最新的平安动态和技术进行跟踪；

6、能顺利完成上级领导交办的任务。

任职资格

1、计算机或信息平安相关专业本科及以上学历；

2、具备扎实的网络根底，熟悉各种网络协议和通用的网络设备；

3、具有网络和信息平安技术和实践经验，包括系统平安检查和系统加固技术；

4、熟悉网络监控和协议分析产品，熟悉网络平安体系、网络平安漏洞、攻击检测技术；熟悉防火墙、防病毒、入侵检测等平安产品；

5、要有独力的规划、设计、实施骨干网络的能力；

6、能够搭建及维护局域网，确保网络稳定及信息平安；

7、精通网站设计和建设，熟悉基于广域网的信息交互平台开发；

8、熟悉有线网络产品的系统设计、配置，对局域网络有一定的根底；

9、精通ASP，JSP，VC等语言，CAD、photoshop、DW等软件。

工作环境

1、工作场所:

办公室及生产场所。

2、环境状况:

比拟舒适。

3、危

险

性:

根本无危险,无职业病危险

职业规划

可转换岗位：

可晋升岗位：

编制人：

审核人：

在岗员工签认：

生效日期：

第五篇：计算机等级考试网络工程师复习总结

网工全面复习(网络知识综合篇)壹.网络体系结构

一.计算机网络的分类

1.按照网络的分布范围分类

a.局域网LAN（Local Area Network）

局域网是将小区域内的各种通信设备互连在一起的网络，其分布范围局限在一个办公室、一幢大楼或一个校园内，用于连接个人计算机、工作站和各类外围设备以实现资源共享和信息交换。它的特点是分布距离近（通常在1000m到2000m范围内），传输速度高（一般为1Mbps到20Mbps），连接费用低，数据传输可靠，误码率低等。

b.广域网WAN（Wide Area Network）

广域网也称远程网，它的联网设备分布范围广，一般从数公里到数百至数千公里。因此网络所涉及的范围可以是市、地区、省、国家，乃至世界范围。由于它的这一特点使得单独建造一个广域网是极其昂贵和不现实的，所以，常常借用传统的公共传输（电报、电话）网来实现。此外，由于传输距离远，又依靠传统的公共传输网，所以错误率较高。c.城域网MAN（Metropolitan Area Network）

城域网的分布范围介于局域网和广域网之间，其目的是在一个较大的地理区域内提供数据、声音和图像的传输。

2.网络的交换方式分类 a.电路交换网

电路交换方式是在用户开始通信前，先申请建立一条从发送端到接收端的物理信道，并且在双方通信期间始终占用该信道。此方式类似于传统的电话交换方式。b.报文交换网

报文交换方式是把要发送的数据及目的地址包含在一个完整的报文内，报文的长度不受限制。报文交换采用存储-转发原理，每个中间节点要为途径的报文选择适当的路径，使其能最终到达目的端。此方式类似于古代的邮政通信，邮件由途中的驿站逐个存储转发一样。c.分组交换网

分组交换方式是在通信前，发送端先把要发送的数据划分为一个个等长的单位（即分组），这些分组逐个由各中间节点采用存储-转发方式进行传输，最终到达目的端。由于分组长度有限，可以比报文更加方便的在中间节点机的内存中进行存储处理，其转发速度大大提高。

除了以上二种分类方法外，还可按采用的传输媒体分为双绞线网、同轴电缆网、光纤网、无线网；按网络传输技术可分为广播式网络和点到点式网络；按所采用的拓扑结构将计算机网络分为星形网、总线网、环形网、树形网和网形网；按信道的带宽分为窄带网和宽带网；按不同的用途分为科研网、教育网、商业网、企业网等。

二.计算机网络的拓扑结构

网络拓扑结构是指抛开网络电缆的物理连接来讨论网络系统的连接形式，是指网络电缆构成的几何形状，它能从逻辑上表示出网络服务器、工作站的网络配置和互相之间的连接。网络拓扑结构按形状可分为：星型、环型、总线型、树型及总线/星型及网状拓扑结构。

1.星型拓扑结构：星型布局是以中央结点为中心与各结点连接而组成的，各结点与中央结点通过点与点方式连接，中央结点执行集中式通信控制策略，因此中央结点相当复杂，负担也重。以星型拓扑结构组网，其中任何两个站点要进行通信都要经过中央结点控制。中央结点主要功能有： *为需要通信的设备建立物理连接； *为两台设备通信过程中维持这一通路； *在完成通信或不成功时,拆除通道。

在文件服务器/工作站(File Servers/Workstation)局域网模式中，中心点为文件服务器，存放共享资源。由于这种拓扑结构，中心点与多台工作站相连,为便于集中连线，目前多采用集线器(HUB)。

星型拓扑结构优点：网络结构简单,便于管理、集中控制, 组网容易，网络延迟时间短，误码率低。缺点：网络共享能力较差，通信线路利用率不高，中央节点负担过重，容易成为网络的瓶颈，一旦出现故障则全网瘫痪。

2.环型拓扑结构

环形网中各结点通过环路接口连在一条首尾相连的闭合环形通信线路中，环路上任何结点均可以请求发送信息。请求一旦被批准，便可以向环路发送信息。环形网中的数据可以是单向也可是双向传输。由于环线公用，一个结点发出的信息必须穿越环中所有的环路接口，信息流中目的地址与环上某结点地址相符时，信息被该结点的环路接口所接收，而后信息继续流向下一环路接口，一直流回到发送该信息的环路接口结点为止。

环形网的优点：信息在网络中沿固定方向流动，两个结点间仅有唯一的通路，大大简化了路径选择的控制；某个结点发生故障时，可以自动旁路，可靠性较高。缺点：由于信息是串行穿过多个结点环路接口，当结点过多时，影响传输效率，使网络响应时间变长；由于环路封闭故扩充不方便。

3.总线拓扑结构

用一条称为总线的中央主电缆，将相互之间以线性方式连接的工站连接起来的布局方式，称为总线形拓扑。

在总线结构中，所有网上微机都通过相应的硬件接口直接连在总线上，任何一个结点的信息都可以沿着总线向两个方向传输扩散，并且能被总线中任何一个结点所接收。由于其信息向四周传播，类似于广播电台，故总线网络也被称为广播式网络。总线有一定的负载能力，因此，总线长度有一定限制，一条总线也只能连接一定数量的结点。总线布局的特点：结构简单灵活，非常便于扩充；可靠性高，网络响应速度快；设备量少、价格低、安装使用方便；共享资源能力强，非常便于广播式工作，即一个结点发送所有结点都可接收。

在总线两端连接的器件称为端结器（末端阻抗匹配器、或终止器）。主要与总线进行阻抗匹配，最大限度吸收传送端部的能量，避免信号反射回总线产生不必要的干扰。总线形网络结构是目前使用最广泛的结构，也是最传统的一种主流网络结构，适合于信息管理系统、办公自动化系统领域的应用。

4.树型拓扑结构

树形结构是总线型结构的扩展，它是在总线网上加上分支形成的，其传输介质可有多条分支，但不形成闭合回路，树形网是一种分层网，其结构可以对称，联系固定，具有一定容错能力，一般一个分支和结点的故障不影响另一分支结点的工作，任何一个结点送出的信息都可以传遍整个传输介质，也是广播式网络。一般树形网上的链路相对具有一定的专用性，无须对原网做任何改动就可以扩充工作站。

5.总线/星型拓扑结构

用一条或多条总线把多组设备连接起来，相连的每组设备呈星型分布。采用这种拓扑结构，用户很容易配置和重新配置网络设备。总线采用同轴电缆，星型配置可采用双绞线。

6.网状拓扑结构

将多个子网或多个局域网连接起来构成网际拓扑结构。在一个子网中,集线器、中继器将多个设备连接起来，而桥接器、路由器及网关则将子网连接起来。根据组网硬件不同,主要有三种网际拓扑： a.网状网：

在一个大的区域内，用无线电通信连路连接一个大型网络时，网状网是最好的拓扑结构。通过路由器与路由器相连，可让网络选择一条最快的路径传送数据。b.主干网：

通过桥接器与路由器把不同的子网或LAN连接起来形成单个总线或环型拓扑结构，这种网通常采用光纤做主干线。c.星状相连网：

利用一些叫做超级集线器的设备将网络连接起来，由于星型结构的特点，网络中任一处的故障都可容易查找并修复。

应该指出,在实际组网中,为了符合不同的要求，拓扑结构不一定是单一的,往往都是几种结构的混用。

三.OSI参考模型

1, 物理层(physical layer)(1)主要作用:实现相邻节点之间比特数据流的透明传送,尽可能屏蔽具体传输介质和物理设备的差异.利用物理传输介质为数据链路层提供物理连接(物理信道),为数据链路层提供比特流服务.物理层是所有网络的基础,主要关心的问题有: 用多少伏特电压表示“1”,多少伏特电压表示“0”;一个比特持续多少微秒;是单工,半双工还是全双工;最初的连接如何建立和完成,通信后连接如何终止网络接插件有多少针以及各针的用途.信道的最大带宽;传输介质(例如,是有导线的还是无导线的等);传输方式:是基带传输还是频带传输,或者二者均可;多路复用技术(FDM,TDM和WDM波分多路复用Wave-length Division Multiplexing);等等.(2)物理层的主要功能:

物理连接的建立,维持和拆除.实体之间信息的按比特传输.实现四大特性的匹配(机械特性,电气特性,功能特性,规程特性)

(3)物理层标准物理层标准主要任务就是要规定DCE设备和DTE设备的接口,包括接口的机械特性,电气特性,功能特性和规程特性.DTE 是数据终端设备.数据电路端接设备DCE.DCE的作用就是在DTE和传输线路之间提供信号变换和编码的功能,并且负责建立,保持和释放数据链路的连接.DTE通过DCE与通信传输线路相连,如图所示.是美国电子工业协会EIA制定的著名物理层标准.物理或机械特性:规定了DTE和DCE之间的连接器形式,包括连接器形状,几何尺寸,引线数目和排列方式等.电气特性:规定了DTE和DCE之间多条信号线的连接方式,发送器和接收器的电气参数及其他有关电路的特征.电气特性决定了传送速率和传输距离.功能特性:对接口各信号线的功能给出了确切的定义,说明某些连线上出现的某一电平的电压表示的意义.规程特性:规定了DTE和DCE之间各接口信号线实现数据传输的操作过程(顺序).物理层标准举例

EIA RS-232C/V.24接口标准

RS是Recommended Standard的缩写,即推荐标准.RS-232-C接口标准与国际电报电话咨询委员会CCITT的V.24标准兼容,是一种非常实用的异步串行通信接口.RS-232-C 建议使用25针的D型连接器DB-25,但是在微型计算机的RS-232C串行端口上,大多使用9针连接器DB-9,如下图所示.(4)常见物理层设备与组件物理传输中存在的主要问题第一大问题: ●信号衰减

●信号衰减限制了信号的传输距离

●信号衰减还常常会同时伴随着信号的变形

●采用信号放大和整形的方法来解决信号衰减及其变形问题.第二大问题: ●噪声干扰

●噪声可能导致信号传输错误,即接收端难以从混杂了较大噪声的信号中提取出正确的数据.●减少噪声的措施,如抵消与屏蔽,良好的端接和接地技术等常见物理组件 RJ-45插座 RJ-45头

DB-25 到 DB-9 的转换器常见物理层设备

中继器(repeater)和集线器(hub)

功能:连接相同的LAN网段;对从入口输入的物理信号进行放大和整形,然后再从出口输出(转发).中继器具有典型的单进单出结构.集线器是多端口中继器.集线器常见的端口规格有4口,8口,16口和24口等.如下图所示:

2,数据链路层(Data link layer)(1)主要任务是负责相邻节点之间的可靠传输,通过加强物理层传输原始比特的功能,使之网络层表现为一条无错线路,数据链路层的传输单元为帧.主要关心: 成帧与拆帧.以帧(frame)为单位(产生帧,识别帧的边界);差错控制;(流量控制(防止高速的发送方的数据将低速的接收方“淹没”).广播式网络在数据链路层还要处理:如何控制对共享信道的访问等等.(2)主要设备:交换机网桥

3, 网络层(Network layer)(1)网络层的任务就是要选择合适的路由,使发送站传输层所传下来的数据能够正确无误地按地址送到目的站.网络层的传输单元被称为分组(或称包).执行路径选择算法,使分组在通信子网中有一条最佳路径;拥塞控制.防止子网中同时出现过多的分组而相互阻塞通路,形成瓶颈;记帐功能;异种网络互联.(2)主要设备:路由器: 三层交换机

4, 传输层(Transport layer)(核心层)主要任务:负责端到端节点间数据传输和控制功能.传输层是OSI中承上启下层,下三层面向网络通信,确保信息准确传输;上三层面向用户主机,为用户提供各种服务.传输层不涉及中间转发节点,即与使用的网络无关.主要功能:弥补网络层服务质量的不足,为会话层提供端-端的可靠数据传输服务.包括两端主机之间的流量控制.5, 会话层(Session layer)主要目的是组织和同步在两个通信的会话用户之间的对话,并管理数据的交换.会话层的功能是在两个节点间建立,维护和释放面向用户的连接.会话连接的建立是在传输连接的基础上进行的.6, 表示层(Presentation layer)主要用于处理在两个通信系统中交换信息的表示方式.它包括数据格式变换,数据加密与解密,数据压缩与恢复等功能.7, 应用层(Application layer)应用层是OSI的最高层,它为OSI模型以外的应用程序提供服务.应用层中包含大量的,人们普遍需要的协议.如网络虚拟终端(VT,Virtual Terminal,文件传输,电子邮件,目录服务,远程数据库访问等.常用设备:网关

网关是一种充当转换重任的计算机系统或设备.在使用不同的通信协议,数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器.与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求.同时,网关也可以提供过滤和安全功能.大多数网关运行在OSI 7层协议的顶层--应用层.四.TCP/IP参考模型

1,TCP/IP分为四层

●TCP/IP模型是Internet事实上标准.●统一的网络地址分配方案,使得整个TCP/IP设备在网络中都具有唯一的IP地址.●标准化的高层协议,可以提供多种可靠的用户服务.● TCP/IP独立于特定的网络硬件,可以运行在局域网,广域网,更适用于互联网.2, OSI参考模型与TCP/IP参考模型

应该指出,TCP/IP是OSI模型之前的产物,所以两者间不存在严格的对应关系.3,互联网层(Internet layer)(网际层)(1)互联网层涉及协议: 互联网络协议,即IP协议(Internet Protocol),规定互联网层数据分组格式.因特网控制消息协议(ICMP):提供网络控制和消息传递功能.地址解释协议(ARP):提供IP地址和网卡MAC地址转换功能.反向地址转换协议(RARP):mac IP(2)互联网层主要功能: ①处理来自传输层发送请求;②处理接收的IP分组.根据目的IP地址转发该IP分组,或者当目的主机就是本主机时,将IP分组上交给其传输层.③处理互联的路径,流量控制和拥塞问题.因为IP分组独立地传送到目标主机,所以一个报文的不同分组可能经过不同的路径.4,传输层(Transport layer):(1)功能:使源端和目的端主机对等实体进行会话.(2)使用的协议:传输控制协议TCP(Transmission Control Protocol)和用户数据报协议UDP(User Data Protocol).TCP是一个面向连接的协议,使从源机器发出的字节流无差错地发往目的机器.UDP是一个无连接协议.它不检查所收到的分组的次序,也不对这些分组进行排序,而是交给应用层完成.5,应用层(Application layer)它包含所有高层协议.例如,虚拟终端协议TELNET(远程登录),文件传输协议FTP,电子邮件协议SMTP(简单邮件传输协议),域名系统服务DNS,网络新闻传输协议NNTP,超文本传输协议HTTP等.TIPS: 网络体系结构是一种分层结构

分层的目的是把复杂的网络互联问题划分为若干个较小的,单一的问题,在不同层上予以解决协议是通信双方对等层的会话规则

上层通过下层的服务来与对方的对等层会话层和协议就构成了网络体系结构 OSI/RM是一种“官方”的国际标准 TCP/IP是一种“事实上”的国际标准

贰.局域网和城域网

一.CSMA/CD 1.CSMA/CD(带冲突检测的载波监听多路访问控制)CSMA/CD是一种常用争用的方法来决定对媒体访问权的协议，这种争用协议只适用于逻辑上属于总线拓扑结构的网络。在总线网络中，每个站点都能独立地决定帧的发送，若两个或多个站同时发送帧，就会产生冲突，导致所发送的帧都出错。因此，一个用户发送信息成功与否，在很大程度上取决于监测总线是否空闲的算法，以及当两个不同节点同时发送的分组发生冲突后所使用的中断传输的方法。总线争用技术可分为载波监听多路访问CSMA和具有冲突检测的载波监听多路访问CSMA/CD两大类。

2.载波监听多路访问CSMA 载波监听多路访问CSMA的技术，也称做无听后说LBT(Listem Before Talk)。要传输数据的站点首先对媒体上有无载波进行监听，以确定是否有别的站点在传输数据。如果媒体空闲，该站点便可传输数据；否则，该站点将避让一段时间后再做尝试。这就需要有一种退避算法来决定避让的时间，常用的退避算法有非坚持、1－坚持、P－坚持三种。

a、非坚持算法

算法规则为：

⑴如果媒本是空闲的，则可以立即发送。

⑵如果媒体是忙的，则等待一个由概率分布决定的随机重发延迟后，再重复前一步骤。采用随机的重发延迟时间可以减少冲突发生的可能性。非坚持算法的缺点是：即使有几个着眼点为都有数据要发送，但由于大家都在延迟等待过程中，致使媒体仍可能处于空闲状态，使用率降低。

b、1-坚持算法

算法规则：

⑴如果媒体空闲的，则可以立即发送。

⑵如果媒体是忙的，则继续监听，直至检测到媒体是空闲，立即发送。

⑶如果有冲突(在一段时间内未收到肯定的回复)，则等待一随机量的时间，重复步骤⑴～⑵。

这种算法的优点是：只要媒体空闲，站点就立即可发送，避免了媒体利用率的损失；其缺点是：假若有两个或两个以上的站点有数据要发送，冲突就不可避免。

c、P-坚持算法

算法规则：

⑴监听总线，如果媒体是空闲的，则以P的概率发送，而以(1-P)的概率延迟一个时间单位。一个时间单位通常等于最大传播时延的2倍。

⑵延迟一个时间单位后，再重复步骤⑴。

⑶如果媒体是忙的，继续监听直至媒体空闲并重复步骤⑴。

P-坚持算法是一种既能像非坚持算法那样减少冲突，又能像1-坚持算法那样减少媒体空闲时间的折中方案。问题在于如何选择P的有值，这要考虑到避免重负载下系统处于的不稳定状态。假如媒体是忙时，有N个站有数据等待发送，一旦当前的发送完成时，将要试图传输的站的总期望数为NP。如果选择P过大，使NP＞1，表明有多个站点试图发送，冲突就不可避免。最坏的情况是，随着冲突概率的不断增大，而使吞吐量降低到零。所以必须选择适当P值使NP＜1。当然P值选得过小，则媒体利用率又会大大降低。

3.具有冲突检测的载波监听多路访问CSMA/CD

在CSMA中，由于信道传播时延的存在，即使总线上两个站点没有监听到载波信号而发送帧时，仍可能会发生冲突。由于CSMA算法没有冲突检测功能，即使冲突已发和，仍然将已破坏的帧发送完，使总线的利用率降低。

一种CSMA的改进方案是使发送站点传输过程中仍继续监听媒体，以检测是否存在冲突。如果发生冲突，信道上可以检测到超过发送站点本身发送的载波信号的幅度，由此判断出冲突的存在。一于检测到冲突，就立即停止发送，并向总线上发一串阻塞信号，用以通知总线上其它各有关站点。这样，通道容量就不致因白白传送已受损的帧而浪费，可以提高总线的利用率。这种方案称做载波监听多路访问/冲突检测协议，简写为CSMA/CD，这种协议已广泛应用于局域网中。

CSMA/CD的代价是用于检测冲突所花费的时间。对于基带总线而言，最坏情况下用于检测一个冲突的时间等于任意两个站之间传播时延的两倍。从一个站点开始发送数据到另一个站点开始接收数据，也即载波信号从一端传播到另一端所需的时间，称为信号传播时延。信号传播时延(μs)=两站点的距离(m)/信号传播速度(m/μs)。假定A、B两个站点位于总线两端，两站点之间的最大传播时延为tp。当A站点发送数据后，经过接近于最大传播时延tp时，B站点正好也发送数据，此时冲突便发生。发生冲突后，B 站点立即可检测到该冲突，而A站点需再经过一份最大传播时延tp后，才能检测出冲突。也即最坏情况下，对于基带CSMA/CD来说，检测出一个冲突的时间等于任意两个站之间最大传播时延的两倍(2tp)。

数据帧从一个站点开始发送，到该数据帧发送完毕所需的时间和为数据传输时延；同理，数据传输时延也表示一个接收站点开始接收数据帧，到该数据帧接收完毕所需的时间。数据传输时延(s)=数据帧长度(bit)/数据传输速率(bps)。若不考虑中继器引入的延迟，数据帧从一个站点开始发送，到该数据帧被另一个站点全部接收所需的总时间，等于数据传输时延与信号传播时延之和。

由于单向传输的原因，对于宽带总线而言，冲突检测时间等于任意两个站之间最大传播时延的4倍。所以，对于宽带CSMA/CD来说，要求数据帧的传输时延至少4倍于传播时延。

在CSMA/CD算法中，一旦检测到冲突并发完阻塞信号后，为了降低再次冲突的概率，需要等待一个随机时间，然后再使用CSMA方法试图传输。为了保证这种退避操作维持稳定采用了一种称为二进制指数退避和算法，其规则如下：

(1)对每个数据帧，当第一次发生冲突时，设置一个参量L=2；

(2)退避间隔取1到L个时间片中的一个随机数，1个小时片等于两站之间的最大传播时延的两倍；

(3)当数据帧再次发生冲突，由将参量L加倍；

(4)设置一个最大重传次数，超过该次数，则不再重传，并报告出错。

二进制指数退避算法是按后进先出LIFO(List In First Out)的次序控制的，即未发生冲突或很少发生冲突的数据帧，具有优先发送的概率；而发生过多次冲突的数据帧，发送成功的概率就更少。

IEEE 802.3就是采用二进制指数退避和1-坚持算法的CSMA/CD媒体访问控制方法。这种方法在低负荷时，如媒体空闲时，要发送数据帧的站点能立即发送；在重负荷时，仍能保证系统的稳定性。由于在媒体上传播的信号会衰减，为确保能检测出冲突信号，CSMA/CD总线网限制一段无分支电缆的最大长度为500米。

二.IEEE802.x标准

IEEE 802 Standards IEEE 802标准电气和电子工程师协会（IEEE）802委员会或802工程定义了局域网（LAN）标准。标准中的大部分是在80年代由委员会制订的，当时个人计算机联网刚刚兴起。

1.IEEE802.1为IEEE的一个工作组(Working Group)。此工作组负责IEEE802.1标准的制定。IEEE802.1标准提供了一个对整个IEEE802系列协议的概述，描述了IEEE802标准和开放系统基本参照模型（即ISO的OSI7层模型）之间的联系，解释这些标准如何和高层协议交互，定义了标准化的媒体接入控制层（MAC）地址格式，并且提供一个标准用于鉴别各种不同的协议。

2.802.2逻辑链路控制定义了IEEE逻辑链路控制（LLC）协议，这些协议确保数据在一条通信链路上可靠地传输。OSI协议栈中的数据链路层被分成了介质访问控制（MAC）子层和LLC子层。在桥接器中，这两层作为一个模块化交换机制服务，如图I－5所示。一幅到达以太网并指定发送到令牌环网的帧被剥去该帧的以太网头部并用令牌环网头部重新封装这幅帧。LLC协议是由高级数据链路控制（HDLC）协议派生而来的，并且两者在操作上类似。注意，LLC提供了服务访问点（SAP）地址，而MAC子层提供了一个设备的物理网络地址。SAP指定了运行于一台计算机或网络设备上的一个或多个应用进程地址。

LLC提供了以下服务：面向连接的服务在这个服务中，一个会话是和一个目的站建立的，并且当数据传输结束时，就关闭这个会话。每个节点都自动地参与数据传输，但是这样的会话要求一个建立时间以及会话双方由于监控带来的额外开销。

应答式面向连接服务这种服务类似于上面的服务，在这种服务中，分组传输是需要应答的。

非应答式无连接服务在这种服务中不用建立会话，分组只是发往目的地。高层协议负责请求重发丢失的分组。由于LAN的高可靠性，这种服务因此成为LAN上的通常服务。

3.802.3CSMA／CD网络IEEE802.3标准（ISO8802－3）定义了在各种介质上带有冲突检测的载波监听多路访问（CSMA／CD）是如何操作的。这个标准还在同轴电缆、双绞线以及光纤介质上定义了联网方法。最初的传输速率是10Mbps，但最新的应用已经在数据级（data－grade）双绞线电缆上达到100Mbps的传输率。参见“以太网”。

4.802.4令牌总线网令牌总线标准定义了制造业中使用的一种宽带联网方案。它是由制造自动化协议（MAP）派生而来的。网络采用了在一个广播总线网上令牌传递的方法。令牌从一个站点传到网上的下一个站点，并且只有拥有令牌的站才能发送数据。令牌是以基于节点地址的逻辑顺序传递的，这个顺序可能与节点的物理地址相关，如同令牌环网中那样。在LAN环境中，这个标准的应用不是很广。

5.802.5令牌环网这个标准也叫ANSI802.1－1985，它为令牌环局域网定义了访问协议、电缆布线以及接口。IBM 使得这个标准非常流行。它采用了令牌传递访问方法，且在物理上是以星形拓扑结构布线的，但组成的却是一个逻辑环。节点通过电缆连至一个中心访问单元（集线器），中心访问单元能中继从一个站点到下一个站点的信号。为扩展网络，访问单元（集线器）也用电缆连接在一起。因此也就扩大逻辑环。光纤分布式数据接口（FDDI）是基于802.5令牌环协议的，它是由Accredited标准委员会（ASC）X3T9开发的。FDDI与802.2逻辑链路控制层兼容，因此也就与其它802联网标准兼容。

6.802.6城域网（MAN）IEEE802.6MAN定义了一个高速协议，协议规定网上的每个站点都使用一种叫分布式队列双总线（DQDB）的访问方法共享一条双光纤总线。双总线提供了容错特性，当总线发生故障时，它能保持连接的正常工作。MAN标准是为一个大约50公里的城域范围内提供数据、声音和视频服务而设计的，MAN标准规定的数据传输率是1.5Mbps、45Mbps和155Mbps.DQDB是交换式多兆位数据服务（SMDS）的基本访问协议，SMDS是许多公共电信局提供的一种在城域范围内建立专用网的方法。DQDB是一个信元中继网，交换固定长度为53个字节的信元；因此，它与宽带ISDN（B－ISDN）和异步传输模式（ATM）兼容。信元的交换发生802.2的逻辑链路控制层。

MAN服务有无连接服务，面向连接服务和实时视频服务。总线上有许多定长槽，这些槽是放置那些在总线上传递的数据的。任何一个想传输的站点只需简单地把数据放在一个或多个槽中。但是，为了适应时间敏感的同步数据，固定间隔的定长槽必须保留以担保数据按时按序到达。

7.802.7宽带技术咨询组这个委员会向其它分委员会提供有关宽带联网技术的技术咨询。

8.802.8光纤技术咨询组当用光纤来代替现有的基于铜缆的网络时，该组会向其它分委员会提供有关光纤网方面的技术咨询。在本书写作时，推荐的标准仍在开发之中。

9.802.9综合数据声音网 IEEE802.9工作组的工作是把声音、数据和视频信号集成到802局域网（LAN）和综合业务数字网（ISDN）上传输。规范中定义的节点包括电话、计算机和视频编码／解码器（codecs）。该规范已经被称为综合的声音和数据规范，或IVD.这项服务在使用铜质双绞线的两个站点之间的通道连接中提供能携带数据和声音信息的多路复用流。标准中定义了几种不同类型的通道，包括全双工64Kbps无交换、电路交换或分组交换通道。

10.802.10网络安全技术咨询组这个组的主要工作是定义在多个网络上进行互操作时的标准安全模型，在这个模型中加入鉴别和加密方法。在本书写作时，这个标准仍在发展之中。

11.802.11无线联网这个委员会正在为无线网定义标准。他们的主要工作是传输介质如扩频无线电、窄带无线电、红外线的标准化以及电线上的传输。该委员会也为网络计算的无线接口制订标准，在这个标准中，用户可借助笔式计算机、个人数字助理（PDA）以及其它便携设备与计算机系统相连。对无线网的访问计划两种方法。在分布式方法中，每个无线工作站自己控制对网络的访问。另一种中点配置方法就是连到有线网上的一台中心Hub控制无线工作站的传输。直到写这本书时，委员会的成员们偏爱分布式方法，不过中点配置方法也作为一个选项包括在标准中。

12.802.12需求优先（100VG－AnyLAN）这个委员会正用由HP和其他供应商共同提出的需求优先访问方法来制订100Mbps的以太网标准。规定的电缆是4线铜质双绞线，需求优先访问方法是通过一台中心Hub来控制对电缆的访问。优先级方法可有效地支持实时多媒体信息的发送。

三.令牌环媒体访问控制 1.令牌环的结构

令牌环在物理上是一个由一系列环接口和这些接口间的点-点链路构成的闭合环路,各站点通过环接口连到网上。对媒体具有访问权的某个发送站点,通过环接口出径链路将数据帧串行发送到环上;其余各站点一边从各自的环接口人径链路逐位接收数据帧,同时通过环接口出径链路再生、转发出去,使数据帧在环上从一个站点至下一个站点地环行,所寻址的目的站点在数据帧经过时读取其中的信息。最后,数据帧绕环一周返回发送站点,并由其从环上撤除所发的数据帧。

2.令牌环的操作过程

①网络空闲时,只有一个令牌在环路上绕行;②当一个站点要发送数据时,必须等待并获得一个令牌,将令牌的标志位置为1,随后便可发送数据;③环路中的每个站点边发送数据,边检查数据帧中的目的地址,若为本站点地址,便读取其中所携带的数据;④数据帧绕环一周返回时,发送站将其从环路上撤消;⑤发送站完成数据发送后,重新产生-个令牌传至下一个站点,以使其他站点获得发送数据帧的许可权。

3.环的比特度量

当数据帧的传输时延等于信号在环路上的传播时延时,该数据帧的比特数就是以比特

度量的环路长度。实际操作过程中,环路上的每个接口都会引人延迟,一般环路上每个接口相当于增加1位延迟。环的比特长度=信号传播时延×数据传输速率+接口延迟位数=环路媒体长度×5(μS/km)×数据传输速率+接口延迟位数

4.令牌环的MAC帧的格式

IEEE802.5MAC帧有两个基本格式：令牌帧和数据帧。

5.令牌环的媒体访问控制功能

①帧发送：采用沿环传递令牌的方法来实现对媒体的访问控制,取得令牌的站点具有发送一个数据帧或一系列数据帧的机会。②令牌发送：发送站完成数据帧发送后,等待数据帧的返回。在等待期间,继续发送填充字符。一旦源地址与本站相符的数据帧返回后,即发送令牌。令牌发送之后,该站仍保持在发送状态,直到该站发送的所有数据帧从环路上撤消为止。

③帧接收：若接收到的帧为信息帧,则将FC、DA、SA、Data及FS字段复制到接收缓冲区中,并随后将其转至适当的子层。

④优先权操作：访问控制字段中的优先权位和预约位配合工作,使环路服务优先权与环上准备发送的PDU最高优先级匹配。

四.令牌总线媒体访问控制 1.令牌总线的结构

令牌总线媒体访问控制是将局域网物理总线上的站点构成一个逻辑环,每一个站点都在一个有序的序列中被指定一个逻辑位置,序列中最后一个站点的后面又跟着第一个站点。在物理结构上它是一个总线结构局域网,但是在逻辑结构上,又成了一种环形结构的局域网。和令牌环一样,站点只有取得令牌,才能发送帧,而令牌在逻辑环上依次循环传递。

2.令牌总线的特点

①由于只有收到令牌帧的站点才能将信息帧送到总线上,所以令牌总线不可能产生冲突,因此也就没有最短帧长度的要求。

②由于站点接收到令牌的过程是依次顺序进行的,因此对所有站点都有公平的访问权。③由于每个站点发送帧的最大长度可以加以限制,所以每个站点传输之前必须等待的时间总量总是“确定”的。

3.令牌总线的主要操作

①环初始化,即生成一个顺序访问的次序。网络开始启动时,或由于某种原因,在运行中所有站点不活动的时间超过规定的时间,都需要进行逻辑环的初始化。初始化的过程是一个争用的过程,争用的结果只有一个站点能取得令牌,其他站点用站插入的算法插入。

②令牌传递算法。逻辑环按递减的站地址次序组成,刚发完帧的站点将令牌传递给后继站,后继站应立即发送数据或令牌帧,原先释放令牌的站监听到总线上的信号,便可确认后继站已获得令牌。

③站插入环算法。必须周期性地给未加入环的站点以机会,将它们插入到逻辑环的适当位置中。如果同时有几个站要插入时,可采用带有响应窗口的争用处理算法。

④站退出环算法。可以通过将其前趋站和后继站连接到一起的办法,使不活动的站退出逻辑环,并修正逻辑环递减的站地址次序。

⑤故障处理。网络可能出现错误,这包括令牌丢失引起断环、重复地址、产生多个令牌等。网络需要对这些故障做出相应的处理。

五.光纤分布数据接口FDDI

1.FDDl的性能

FDDI数据传输速率达100Mbps,采用4B/5B,最大环路长度为200km,最多可有1000个物理连接。若采用双环结构时,站点间距离在2km以内,且每个站点与两个环路都有连接,则最多可连接500个站点,其中每个单环长度限制在100km内。

2.FDDI的数据编码

FDDI采用一种新的编码技术(称为4B/5B编码),在这种编码技术中,每次对4位数据进行编码,每4位数据编码成5位符号,用光的存在和不存在表示5位符号中每一位是1还是0,这种编码技术使得效率提高到80%。为了得到同步信号,采用两级编码的方法,先按4B/5B编码,然后再按倒相的不归零制(NRZI)方式进行编码。

3.FDDl的时钟方案

FDDI标准规定使用分布式时钟方案,即在每个站点都配有独立的时钟和弹性缓冲器。进入站点缓冲器的数据时钟是按照输人信号的时钟确定的,而从缓冲器输出的信号时钟则根据站点的时钟确定,这种方案使环路中中继器的数目不受时钟偏移因素的限制。

4.FDDl的物理层分为两个子层

(1)物理媒体依赖(PMD),它在FDDI网络的节点之间提供点-点的数字基带通信;(2)物理层协议(PHY),它提供PMD与数据链路层之间的连接。

5.FDDl的数据链路层分为多个子层

①可选的混合型环控制(HRC)：在共享的FDDI媒体上提供分组数据和电路交换数据的多路访问;②媒体访问控制(MAC)：提供对于媒体的公平和确定性访问、识别地址、产生和验证帧校验序列;③可选的逻辑链路控制(LLC)：提供MAC与网络层之间所要求的分组数据适应服务的公共协议;④可选的电路交换多路器(CS-MUS)。

六.ATM局域网技术 ATM意即异步传输模式（asynchronous transfer mode)。ＡＴＭ技术是八十年代后期由ＩＴＵ－Ｔ针对电信网支持宽带多媒体业务而提出的。经过近十年的研究，到九十年代中期ＡＴＭ技术已基本成熟，由ＩＴＵ－Ｔ和ＡＴＭ论坛制定的相关的国际标准也基本齐全，并有多个电信设备厂商和计算机网络设备厂商推出了商用化的ＡＴＭ设备。此后，ＡＴＭ网络的建设也得到了长足的发展，全世界许多网络（公用网或专用网）都已安装并使用了ＡＴＭ网路设备...ATM的传输介质常常是光纤，但是100m以内的同轴电缆或5类双绞线也是可以的。光纤可达数千米远。每个链路处于计算机和一个ATM交换机之间或两个ATM交换机之间。换句话说，ATM链路是点到点的（和LAN不一样，它在一条电缆上有许多发送方和接收方）。通过让信元从一条线路进入交换机并且从多条线路输出，可以获得广播效果。每条点到点链路是单向的。对于全双工操作需要两条链路，每个方向的流量占用一条。

ATM的物理层包括两个子层，即物理介质子层（PM）和传输会聚（TC）子层。其中物理介质子层提供比特传输能力，对比特定时和线路编码等方面作出了规定，并针对所采用的物理介质（如光纤、同轴电缆、双绞线等）定义其相应的特性；传输会聚子层的主要功能是实现比特流和信元流之间的转换。1.ＩＰ技术对ＡＴＭ技术的影响

ＩＰ技术是互联网的核心，在互联网中对于高层协议而言，通过统一的ＩＰ协议层（第三层）屏蔽了各种低层协议和物理网络技术（如Ｘ．２５、ＤＤＮ、以太网、令牌环、帧中继、ＡＴＭ、ＳＤＨ、ＷＤＭ）的差异，实现了 “ＩＰｏｖｅｒｅｖｅｒｙｔｈｉｎｇ”的目标。ＩＰ技术成功的关键是其概念、方法与思想，例如其层次结构的包容性与开放性，以及简单、实用、有效的原则。目前互联网的另一个目标是实现“ｅｖｅｒｙｔｈｉｎｇｏｎＩＰ”，其中的 “ｅｖｅｒｙｔｈｉｎｇ”是指所有业务，包括数据、图像和话音等，这些业务既有实时的，也有非实时的。要实现这样的目标，对于目前的ＩＰ技术来说是有相当大困难的，需要新技术来帮助解决。

目前电信界有一种观点认为：随着ＩＰ技术和互联网的发展，未来的电信网将由ＩＰ技术一统天下，而ＡＴＭ技术将退出历史舞台。其实只要仔细分析和研究ＩＰ技术和ＡＴＭ技术各自的特点，就不难发现这种观点是片面的。对于网络（电信网或计算机网）建设而言，它的发展是不会随着新技术的出现而发生突变（革命）的，而只能是逐步演进。现有电信网已形成的资源十分庞大，不可能一夜消失。而且现有的ＩＰ网络虽然通过采用新技术（例如：ＩＰｏｖｅｒＳＤＨ或ＩＰｏｖｅｒＷＤＭ），在一定程度解决了传送带宽的瓶颈问题，但仍然还是传统的路由器加专线的组网方式，存在逐跳寻址与转发等问题，不能保证服务质量（ＱｏＳ）和信息安全。ＡＴＭ技术所具有的端到端ＱｏＳ保证、完善的流量控制和拥塞控制、灵活的动态带宽分配与管理、支持多业务，以及技术综合能力等方面的优势，目前仍是ＩＰ技术所不及的。

有一点是肯定的，世上没有一种万能的技术。由于ＩＰ与ＡＴＭ都是基于分组（包）交换的技术，而且都有各自的优势，因此，在电信网与互联网融合与演变的过程中都将发挥作用。目前ＩＰ技术的优势在于提供统一的数据应用平台，而ＡＴＭ技术的优势在于提供统一的网络平台。

2.ＡＴＭ技术的特点、应用范围和发展趋势

（一）ＡＴＭ技术的特点

ＡＴＭ作为电信网的一种新技术，不仅适用于高速信息传送和对服务质量（ＱｏＳ）的支持，还具备了综合多种业务的能力，以及动态带宽分配与连接管理能力和对已有技术的兼容性。

１．对服务质量（ＱｏＳ）的支持

（１）ＡＴＭ采用固定短长度的信元传送信息。信息交换是在第二层完成的而且协议简单简化了网络节点中信息存贮管理与处理的复杂性，加快了信息交换的速率减少了信元在节点缓冲区中的排队时延和时延抖动，有利于信息传送的时间透明性，特别适合在核心网中用于信息传送。

（２）ＡＴＭ采用面向连接的通信方式通信之前要建立虚通道（ＶＰ）和虚通路（ＶＣ），避免了复杂的信元顺序控制工作加上用户接入时的流量控制和合理的ＱｏＳ与网络资源管理控制，以及各种差错控制技术，可以使信元丢失率降低到各种业务可以接受的程度，满足各类业务的语义透明性。

（３）在ＡＴＭ方式下，辅之以必要的网络管理功能和信令处理与连接控制功能，可以设置多种优先级（连接优先级，信元优先级等）管理功能，满足各种使用要求。

２．ＡＴＭ的综合能力ＡＴＭ以信元的方式传送信息，与业务的特性、比特率无关，只要将各类业务的信息在入网时转化为统一格式的信元，就可以在网络中进行传输与交换，因此，高灵活性使之具有各种综合能力。

３．灵活的动态带宽分配与连接管理能力

（１）ＡＴＭ具有统计复用的特点网络资源可以按需分配，网络资源的利用率高。

（２）在ＡＴＭ方式下，网络具有支持多方连接的能力其中包括支持广播（ｂｒｏａｄｃａｓｔ）型连接和多播（ｍｕｌｔｉｃａｓｔ）型连接的能力。

４．ＡＴＭ对已有技术的兼容性ＡＴＭ作为一项独立的技术充分考虑了与已有技术的融合，ＡＴＭ的兼容性表现在两方面： 

(１）对现有广域网技术（包括分组交换及电路交换技术）的兼容：ＡＴＭ可以兼容帧中继（ＦＲ）业务、专线数据业务（ＤＤＮ），并且支持ＰＳＴＮ和Ｎ－ＩＳＤＮ业务。



（二）ＡＴＭ的应用领域

根据ＡＴＭ技术的特点和电信网技术的发展，就ＡＴＭ技术本身而言，要对它的应用领域进行重新定位。由于ＡＴＭ终端和信令复杂，端到端ＡＴＭ连接（信元到桌面）的想法已基本落空，其原因是在用户驻地网支持话音业务它不如ＰＳＴＮ，支持数据业务它不如千兆以太网。然而，在核心网和边缘接入网中ＡＴＭ技术仍然大有作为，在这里ＡＴＭ作为多业务平台的优势可以得到充分发挥。此外，ＡＴＭ与ＩＰ的结合将增加ＡＴＭ的竞争能力。因此，ＡＴＭ的应用领域主要有以下几个方面：

１．支持现有电信网逐步从传统的电路交换技术向分组（包）交换技术演变。

（１）支持现有电话网（如ＰＳＴＮ／ＩＳＤＮ）的演变，并作为其中继汇接网；

（２）支持并作为第三代移动通信网（要支持移动ＩＰ）的核心交换与传送网；

（３）支持现有数据网（ＦＲ／ＤＤＮ）的演变，作为数据网的核心，并提供租用电路，利用ＡＴＭ实现校园网或企业网间的互连。

２．为Ｉｎｔｅｒｎｅｔ骨干传送网互连核心路由器，支持ＩＰ网的持续发展。

３．与ＩＰ技术结合，取长补短，共同作为未来信息网的核心技术。由于ＩＰ与ＡＴＭ技术，有各自的优势，在传统电信网与互联网融合与演变的过程中都将发挥各自的重要作用，如果把这两项技术结合起来，利用ＡＴＭ网络为ＩＰ用户提供高速直达数据链路，既可以使ＡＴＭ网络运营部门充分利用ＡＴＭ网络资源，发展ＡＴＭ网络上的ＩＰ用户业务，又可以解决Ｉｎｔｅｒｎｅｔ网络发展中遇到的瓶颈问题，推动ＩＰ业务的进一步发展，使这两项技术的潜力充分发挥出来，获得巨大的经济效益。

（三）ＡＴＭ技术的发展趋势

１．ＡＴＭ支持话音技术的研究在未来的电信网中，从用户数的角度考虑，传统的电话用户仍将占主导地位，因此，ＡＴＭ必须考虑如何支持话音的问题。ＩＴＵ－Ｔ在１９９７年９月年通过了支持话音业务和短分组业务适配的第二类ＡＴＭ适配层协议ＡＡＬ２Ｉ．３６３．２建议 在１９９９年２月通过了面向话音业务的建议Ｉ．３６６．

２ 用于中继的ＡＡＬ２业务特定会聚子层ＳＳＣＳ，并于１９９９年１２月通过了支持ＡＡＬ２交换的信令协议建议Ｑ．２６３０．１（ＡＡＬ２信令协议-能力集１），基本完成了ＡＴＭ支持话音业务的标准化工作。采用ＡＡＬ２协议来支持话音业务不论是效率方面，还是时延性能方面，都要优于ＩＰ电话。ＡＡＬ２技术的应用主要有以下几个方面：

（１）以低时延的性能支持话音和其他实时业务传送，用于ＰＳＴＮ或其它网络的中继传输；

（２）用于第三代移动通信系统（ＩＭＴ－２０００），在ＢＳ和ＭＳＣ之间以ＡＡＬ２协议支持低速话音和数据信息的传送；

（３）用ＡＡＬ２交换机代替ＡＴＭ交换机（ＡＴＭ层仅提供ＰＶＣ交叉连接功能），提供端到端的ＡＴＭ话音和数据业务。

２．简化ＡＴＭ技术的研究ＡＴＭ技术的缺点之一就是网络的复杂性，为了推动ＡＴＭ技术的应用，就必须对ＡＴＭ技术进行简化和优化，以达到简化网络，降低网络成本的目的。目前，ＩＴＵ－Ｔ和ＡＴＭ论坛正在进行这方面的工作，例如目前ＩＴＵ－Ｔ正在制定的ＡＴＭ轻型信令（ｌｉｇｈｔｓｉｇｎａｌｉｎｇ）标准就是为了简化原有复杂的信令标准，以降低网络的复杂性。另外，在流量控制、网络管理等方面也都有需要进行相应的研究工作。

３．ＡＴＭ与ＩＰ技术的结合

目前，ＩＰ与ＡＴＭ结合技术主要分为两大类：重叠技术和集成技术。采用重叠技术时，ＡＴＭ端点使用ＡＴＭ地址和ＩＰ地址（或ＭＡＣ地址）两者来标识，网络中设置服务器完成ＡＴＭ地址和ＩＰ地址（或ＭＡＣ地址）的地址映射功能，在发端用户得到收端用户的ＡＴＭ地址之后，建立ＡＴＭＳＶＣ连接并在其上传送ＩＰ数据包。这方面的典型技术有：ＬＡＮＥ、ＩＰＯＡ、ＭＰＯＡ等，重叠技术的优点是采用标准的ＡＴＭ论坛或ＩＴＵ－Ｔ的信令标准，与标准的ＡＴＭ网络及业务兼容；缺点是传送ＩＰ包的效率较低。采用集成技术时，ＡＴＭ层被看作ＩＰ层的对等层，ＡＴＭ端点只需使用ＩＰ地址来标识，在建立连接时使用非标准的ＡＴＭ信令协议。采用集成技术时，不需要地址解析协议，但增加了ＡＴＭ交换机的复杂性，使ＡＴＭ交换机看起来更像一个多协议的路由器。这方面的典型技术有：ＩＰ交换、多协议标签交换（ＭＰＬＳ）等，集成技术的优点是传送ＩＰ包的效率比较高，不需要地址解析协议；缺点是与标准的ＡＴＭ技术融合较为困难。通过近两年对各种ＩＰ与ＡＴＭ结合技术的研究已得出结论，即重叠技术（例如：ＬＡＮＥ、ＩＰＯＡ、ＭＰＯＡ等）更适用于专用网或规模小的网络；而集成技术（例如：ＩＰ交换、ＭＰＬＳ等）则更适用于规模大的公用网。ＩＴＵ－Ｔ已于２０００年３月通过了在公用ＡＴＭ网络上传送ＩＰ信息的建议Ｙ．１３１０（公用ＡＴＭ网络传送ＩＰ），该建议明确了在采用ＡＴＭ技术的公共网络（包括业务提供网络和承载网络）上传送ＩＰ信息的推荐技术解决方案是多协议标签交换（ＭＰＬＳ），并且明确公用ＡＴＭ网络支持的ＩＰ目标业务是差别服务（Ｄｉｆｆｅｒｓｅｒｖ）、集成服务（Ｉｎｔｓｅｒｖ）和ＩＰ虚拟专用网（ＩＰＶＰＮ）。

3.ATM局域网技术

为了把ATM技术引入到局域网上来，ATM论坛和Internet工程任务组(IETF)作了不懈的努力，推出了几个具有重要实际意义的ATM局域网协议。其中以ATM论坛的局域网仿真和ATM多协议技术(MPOA)最具代表性。

A.局域网仿真

——局域网仿真是在ATM 网络环境下仿真传统局域网业务的网络方案。由于在局域网仿真中，ATM网络只是以网络数据链路层的角色出现，并且是基于MAC子层的仿真技术，所以现有的网络层协议（如IP,IPX等）不需要任何更改就可以运行于局域网仿真环境。

——在局域网仿真中有两种网络信息：一种是仿真客户与仿真服务器、配置服务器之间的控制信息；另一种是仿真客户之间，以及仿真客户与广播未名服务器间的数据信息。如图3所示，当仿真客户1希望与仿真客户2通信时，仿真客户1必须首先知道仿真客户2的ATM地址。如果仿真客户1的缓器中存有仿真客户2的ATM地址，那么仿真客户1就利用该地址与仿真客户2建立直接的ATM虚电路连接来实现通信（如e）；否则，仿真客户1向局域网仿真服务器发送一个地址解析请示分组（如a），局域网仿真服务器利用该分组携带的仿真客户2的MAC地址在缓存器中检索，如果检索成功，局域网仿真服务器把仿真客户2的ATM地址反馈给仿真客户1，否则，把该MAC地址送到广播未名服务器（如b），利用广播未名服务器的广播功能，向整个网络广播该MAC地址，仿真客户2接收到该广播信息，把地址反馈给局域网仿真服务器，局域网仿真服务器再送给仿真客户1。在局域网仿真服务器未反馈回仿真客户2地址这段时间里，仿真客户1把数据分组分发给广播未名服务器，由服务器以广播形式送给仿真客户2（如c,d）。

——从上述的通信规程可以看到，由于局域网仿真建立于数据链路层的MAC子层上，所以可以透明地支持传统网络层的各种协议，兼容性很好；网络实现简单，能够实现不同厂家设备的无缝连接。但是局域网仿真也存在许多缺陷：

——①网络是基于客户机/服务器结构的，由于受服务器的限制，网络客数不可能很大，这样就限制了网络的规模；

——②由于不能支持备份服务器，所以服务器的可靠性决定了网络的可靠性，一旦服务器发生故障，那么整个网络就不能工作了；

——③局域网仿真在实现子网间通信时，仍然需要路由器的参与，这样路由器有限的路由、分组转发功能就成了网络的瓶颈。

B.ATM多协议规程技术

——为了解决局域网仿真在子网间通信能力低的缺点，ATM论坛又推出了它的ATM多协议规程(MPOA:Multi-Protocol Over ATM)技术。MPOA技术的基本目标是把局域网仿真技术与Internet工程任务组的下一节点解释协议(NHRP)技术捆绑起来，这样做的目的是保留局域网仿真在子网内通信高效率的优点，同时引入下一节点解释协议在不同子网间有效通信的优势，使整个宽带网络的通信完全抛开传统路由器的干预，通信效率大幅度提高。

——由于MPOA支持数据链路层和网络层的互连，所以能够透明支持传统网络协议，实现大规模的互连网络；不同子网间的通信可以跨过传统路由器的干预，建立直接连接来提高网络效率；减少了参与路由连接过程中的物理设备，所以降低了网络路由的复杂性，提高了效率。但是MPOA技术在实现子网间的最优路由时，可能会带来ATM层和网络层路由和寻址的协调性问题；网络在建立最优路由时的判别标准，以及最优路由连接的维护仍然需要研究；而且网络仍然需要地址解析服务器的存在，子网间的路由信息数据库就必须保证同步，这样就在建立连接时引入了不必要的时延，使得网络设计和操作的复杂性没有得到彻底简化。

七.无线局域网技术

1.随着网络的飞速发展，笔记本电脑的普及，人们对移动办公的要求越来越高。传统的有线局域网要受到布线的限制，如果建筑物中没有预留的线路，布线以及调试的工程量将非常大，而且线路容易损坏，给维护和扩容等带来不便，网络中的各节点的搬迁和移动也非常麻烦。因此高效快捷、组网灵活的无线局域网应运而生。

2、无线局域网介绍

无线局域网WLAN(wireless local area network)是计算机网络与无线通信技术相结合的产物。它以无线多址信道作为传输媒介，利用电磁波完成数据交互，实现传统有线局域网的功能。无线局域网具有以下特点：(1)安装便捷

无线局域网免去了大量的布线工作，只需要安装一个或多个无线访问点(access point，AP)就可覆盖整个建筑的局域网络，而且便于管理、维护。(2)高移动性在无线局域网中，各节点可随意移动，不受地理位置的限制。目前，AP可覆盖10～100 m。在无线信号覆盖的范围内，均可以接入网络，而且WLAN能够在不同运营商、不同国家的网络间漫游。(3)易扩展性

无线局域网有多种配置方式，每个AP可支持100多个用户的接入，只需在现有无线局域网基础上增加AP，就可以将几个用户的小型网络扩展为几千用户的大型网络。

3、无线局域网技术 3.1 蓝牙技术

蓝牙(Bluetooth)技术是一种短距的无线通讯技术，工作在2.4 GHz ISM频段，其面向移动设备间的小范围连接，通过统一的短距离无线链路，在各种数字设备间实现灵活、安全、低成本、小功耗的话音以及数据通信。主要技术特点如下：

(1)蓝牙的指定范围是10m，在加入额外的功率放大器后，可以将距离扩展到100m。辅助的基带硬件可以支持4个或者更多的语音信道。

(2)提供低价、大容量的语音和数据网络，最高数据传输速率为723.2kb/s。

(3)使用快速跳频(1 600跳/s)避免干扰，在干扰下，使用短数据帧来尽可能增大容量。(4)支持单点和多点连接，可采用无线方式将若干蓝牙设备连成一个微波网，多个微波网又可互连称特殊分散网，形成灵活的多重微波网的拓扑结构，从而实现各类设备之间的快速通信。

(5)任一蓝牙设备，都可根据IEEE 802标准得到一个唯一的48 bit的地址码，保证完成通信过程中设备的鉴权和通信的保密安全。

(6)采用TDD方案来实现全双工传输，蓝牙的一个基带帧包括两个分组，首先是发送分组，然后是接收分组。蓝牙系统既支持电路交换也支持分组交换，支持实时同步定向联接和非实时的异步不定向联接。3.2 HomeRF HomeRF技术是由HRFWG(home RF working group)工作组开发的，该工作组1998年成立，主要由Intel、IBM、Companq、3com、Philips、Microsoft、Motorola等几家大公司组成，旨在制定PC和用户电子设备之间无线数字通信的开放性工业标准，为家庭用户建立具有互操作性的音频和数据通信网，HomeRF采用了IEEE 802.11标准的CSMA/CA模式，以竞争的方式来获取信道的控制权，在一个时间点上只能有一个接入点在网络中传输数据，提供了对“流业务”的真正意义上的支持，规定了高级别的优先权并采用了带有优先权的重发机制，确保了实时性“流业务”所需的带宽(2～11 Mb/s)和低干扰、低误码。

HomeRF是针对现有无线通信标准的综合和改进，当进行数据通信时，采用IEEE 802.11规范中的TCP/IP传输协议；进行语音通信时，则采用数字增强型无绳通信标准。因此，接收端必须捕获传输信号的数据头和几个数据包，判断是音频还是数据包，进而切换到相应的模式。

HomeRF采用对等网的结构，每一个节点相对独立，不受中央节点的控制。因此，任何一个节点离开网络都不会影响其它节点的正常工作。

3.3 HiperLAN HiperLAN(high performance radio LAN)是由欧洲电信标准化协会(ETSI)的宽带无线电接入网络(BRAN)小组制定的无线局域网标准，已推出HiperLAN1和HiperLAN2两个版本。HiperLAN1由于数据传输速率较低，没有流行推广。HiperLAN2在欧洲得到了比较广泛的支持，是目前比较完善的WLAN协议标准，它具有如下特点：(1)高速的数据传输速率 HiperLAN工作在5 GHz频段，采用了正交频分复用(OFDM)的调制，数据是通过MT和AP之间事先建立的信令链接进行传输的，可达到54 Mb/s的传输速率。(2)自动频率分配

AP在工作的过程中同时监听环境干扰信息和邻近的AP，进而根据无线信道是否被其它AP占用和环境干扰最小化的原则选择最合适的信道，自动频率分配是HiperLAN2的最大特色。(3)安全性支持

HiperLAN2网络支持鉴权和加密。通过鉴权，使得只有合法的用户可以接入网络，而且只能接入通过鉴权的有效网络。(4)移动性支持

在HiperLAN2中，MT必须通过“最近”的AP，或者说信噪比最高的AP来传输数据。因此当MT移动时，必须随时检测附近的AP，一旦发现其它AP有比当前AP更好的传输性能，就请求切换。切换之后，所有已经建立的链接将转移到新的AP之上，在切换过程中，通信不会中断。

(5)网络与应用的独立性

HiperLAN的协议栈具有很大的灵活性，可以适应多种固定网络类型。因此HiperLAN2网络既可以作为交换式以太网的无线接入子网，也可以作为第三代蜂窝网络的接入网，并且这种接入对于网络层以上的用户部分来说是完全透明的。3.4 IEEE 802.11x(1)IEEE 802.11 1990年IEEE 802标准化委员会成立IEEE 802.11无线局域网标准工作组，主要研究工作在2.4 GHz开放频段的无线设备和网络发展的全球标准。1997年6月，提出IEEE 802.11(别名：Wi-Fi，wireless fidelity，无线保真)标准，标准中物理层定义了数据传输的信号特征和调制。在物理层中，定义了两个RF传输方法和一个红外线传输方法，RF传输方法采用扩频调制技术来满足绝大多数国家工作规范。

在该标准中RF传输标准是跳频扩频(FHSS)和直接序列扩频(DSSS)，工作在2.400 0～2.483 5 GHz频段。直接序列扩频采用BPSK和DQPSK调制技术，支持1 Mb/s和2 Mb/s数据速率，使用11位Barker序列，处理增益10.4 dB。跳频扩频采用2～4电平GFSK调制技术，支持1 Mb/s数据速率，共有22组跳频图案，包括79信道，在美国规定最低跳频速率为2.5跳/s。红外线传输方法工作在850～950 nm段，峰值功率为2 W，使用4或16电平pulse-positioning调制技术，支持数据速率为1 Mb/s和2 Mb/s。(2)IEEE 802.11b 1999年9月IEEE 802.11b被正式批准，它是在IEEE 802.11的基础上的进一步扩展，采用直接序列扩频(DSSS)技术和补偿编码键控(CCK)调制方式，其物理层分为PLCP和PMD子层。PLCP是专为写入MAC子层而准备的一个通用接口，并且提供载波监听和无干扰信道的评估；PMD子层则承担无线编码的任务。IEEE 802.11b实行动态传输速率，允许数据速率根据噪音状况在1 Mb/s、2 Mb/s、5.5 Mb/s、11 Mb/s等多种速率下自行调整。(3)IEEE 802.11a IEEE 802.11a也是IEEE 802.11标准的补充，采用正交频分复用(OFDM)的独特扩频技术和QFSK调制方式，大大提高了传输速率和整体信号质量。IEEE 802.11a和IEEE 802.11b都采用CSMA/CA协议，但物理层有很大的不同，802.11b工作在2.400 0～2.483 5 GHz频段，而802.11a工作在5.15～8.825 GHz频段，数据传输速率可达到54 Mb/s。(4)IEE 802.11g

2001年11月，IEEE 802实验性地批准一种新技术802.11g。它是一种混合标准，有两种调制方式：802.11b中采用的CCK和802.11a中采用的OFDM。因此，它既可以在2.4 GHz频段提供11 Mb/s数据传输速率，也可以在5 GHz频段提供54 Mb/s数据传输速率。(5)IEEE 802.11i

IEEE 802.11i对WLAN的MAC层进行了修改与整合，定义了严格的加密格式和鉴权机制，以改善WLAN的安全性。主要包括两项内容：Wi-Fi保护访问(WPA)和强健安全网络(RSN)，并于2004年初开始实行。(6)IEEE 802.11e/f/h

IEEE 802.11e标准对WLAN MAC层协议提出改进，以支持多媒体传输，以支持所有WLAN无线广播接口的服务质量保证QOS机制。IEEE 802.11f，定义访问节点之间的通讯，支持IEEE 802.11的接入点互操作协议(IAPP)。IEEE 802.11h用于802.11a的频谱管理技术。

4、无线局域网的安全性

由于无线局域网采用公共的电磁波作为载体，更容易受到非法用户入侵和数据窃听。无线局域网必须考虑的安全因素有三个：信息保密、身份验证和访问控制。为了保障无线局域网的安全，主要有以下几种技术：(1)物理地址(MAC)过滤

每个无线工作站的无线网卡都有唯一的物理地址，类似以太网物理地址。可以在AP中建立允许访问的MAC地址列表，如果AP数量太多，还可以实现所有AP统一的无线网卡MAC地址列表，现在的AP也支持无线网卡MAC地址的集中Radius认证。这种方法要求MAC地址列表必需随时更新，可扩展性差。(2)服务集标识符(SSID)匹配

对AP设置不同的SSID，无线工作站必须出示正确的SSID才能访问AP，这样就可以允许不同的用户群组接入，并区别限制对资源的访问。(3)有线等效保密(WEP)

有线等效保密协议是由802.11标准定义的，用于在无线局域网中保护链路层数据。WEP使用40位钥匙，采用RSA开发的RC4对称加密算法，在链路层加密数据。WEP加密采用静态的保密密钥，各无线工作站使用相同的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个Challenge Packet给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。40位WEP具有很好的互操作性，所有通过Wi-Fi 组织认证的产品都可以实现WEP互操作。现在的WEP也一般支持128位的钥匙，能够提供更高等级的安全加密。(4)虚拟专用网络(VPN)VPN(virtual private networking)是指在一个公共的IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，它主要采用DES、3DES以及AES等技术来保障数据传输的安全。(5)Wi-Fi保护访问(WPA)

WPA(wi-fi protected access)技术是在2003年正式提出并推行的的一项无线局域网安全技术，将成为代替WEP的无线。WPA是IEEE 802.11i的一个子集，其核心就是IEEE 802.1x和TKIP(temporal key integrity protocol)。新一代的加密技术TKIP与WEP一样基于RC4加密算法，且对现有的WEP进行了改进，在现有的WEP加密引擎中增加了密钥细分(每发一个包重新生成一个新的密钥)、消息完整性检查(MIC)、具有序列功能的初始向量、密钥生成和定期更新功能等4种算法，极大地提高了加密安全强度。另外WPA增加了为无线客户端和无线AP提供认证的IEEE 802.1x的RADIUS机制。

叁．网络互连与INTERNET技术

网络互连是为了将两个或者两个以上具有独立自治能力、同构或异构的计算机网络连接起来，实现数据流通，扩大资源共享的范围，或者容纳更多的用户。它具体体现为：局域网与局域网（LAN/LAN）的互连、局域网与广域网（LAN/WAN）的互连或局域网经广域网的互连。

一．网络互连设备(一)路由器

路由器在网络层一级工作，互连两个或多个独立的相同类型或不同类型的网络：局域网与广域网的互连，局域网与局域网的互连。为了提高路由器的响应速度，部分路由器上也提供了三层交换的功能。三层交换类似于交换器，只是交换的对象是分组，而不是帧。

1.路由器的作用及其与网桥的异同

路由器的主要功能就是进行路由选择。当一个网络中的主机要给另一个网络中的主机发送分组时，它首先把分组送给同一网络中用于网间连接的路由器，路由器根据目的地址信息，选择合适的路由，把该分组传递到目的网络用于网间连接的路由器中，然后通过目的网络中内部使用的路由协议，该分组最后被递交给目的主机。

路由器和网桥的概念类似，都是接收协议数据单元PDU，检查头部字段，并依据头部信信息和内容的一张表来进行转发。但实际上，网桥只检查数据链路帧的帧头，并不查看和修改帧携带的网络层分组头部；而路由器则检查网络层分组头部，并根据其中的地址信息作出决定，当它把分组下传到数据链路层时，它不知道也不关心它是通过以太网还是令牌环网进行传送。

2.路由器的功能及其体系结构路由器的功能

1、改进网络分段（每个网段的结点数是有限的）。相同类型的局域网互连，划分子网段，三层交换，避免“广播风暴”。

2、不同局域网之间的路由能力，实现三层的数据报文的转换。

3、连接WAN的路由能力。

路由器通过软件实现其功能，速度较慢，数据报文延迟较大，高性能的路由器比较昂贵。

路由器的体系结构

路由器执行OSI网络层及其下层的协议转换，可用于连接两个或者多个仅在低三层有差异的网络。

3.路由器的特点

寻址能力通过路由器互连的网络具有公共的网络地址，并且，网间协议对全网地址作出规定，以使路由器可以区分各个结点所在的通信子网。

路由选择路由器具备相对灵活的路由选择功能，以最快的速度将分组传送通过网络。目前，路由器使用的路由协议主要由Internet(因特网)工程任务组(IETF)定义，包括开放式最短路径优先协议(OSPF：RFC 1247)、边界网关协议(BGP：RFC 1163)和内部网关路由协议(IGRP)等。

分段/合段路由器可对分组进行分段/合段，使得互连能力不受通信子网分组长度的影响。

存储-转发路由器严格地执行“存储-转发”的原则，即先接收和存储分组，在完成必要的分组分析和格式转换之后，转发分组至特定的子网。

分组过滤路由器通常分析整个分组，因此可以过滤掉网络中的错误信息，减少出错分组的无谓传输。

4.二层交换与三层交换的比较

二层/三层交换（L2/L3交换）

一般的以太网交换机，实现OSI二层交换帧不作任何修改，仅仅查一下交换表，进行转发。路由器/三层交换机（具有路由功能的交换机），工作在网络层，类似于以太网交换机，只是交换的对象是分组，而不是帧。通过IP地址来确定是哪个子网的结点，帧可能会发生变化，经路由器后变成新的帧。

三层交换机充分利用路由器的三层功能，既保留了二层交换机灵活的虚拟局域网（VLAN）划分和高交换速度的优点，又解决了二层网络无法处理的“广播风暴”问题，它与传统路由器的最大区别是通过硬件完成第三层报文的高速路由和交换，并且在引入路由器计费和访问控制功能的情况下仍然能保持线速。随着交换技术的发展，现在许多厂商的交换机已能支持第四层交换。

(二)网关

1.转发器、网桥和路由器主要用于下三层有差异的子网的互连，互连后的网络仍然属于通信子网的范畴。采用网桥或者路由器连接两个或者两个以上的网络时，都要求互相通信的用户结点具有相同的高层通信协议。如果两个网络完全遵循不同的体系结构，则无论是网桥还是路由器都无法保证不同网络的用户之间的有效通信，这时，必须引入新的技术或者互连部件。执行网络层以上高层协议的转换，或者实现不同体系结构的网络协议转换的互连部件称为网关（Gate-way），有时也被称为信关。网关通常采用软件的方法予以实现，并且与特定的应用服务一一对应。

网关软件的设计通常依赖于不同的用户，应考虑的主要因素包括地址映射，以及针对具体的应用，实现服务元素和参数的映射等。

2.网关应用实例

实例1：随着Internet技术的广泛应用，越来越多的用户开始使用万维网进行信息浏览(即，浏览器与服务器的信息交互过程如下：

(1)浏览器向DNS获取web服务器www.xiexiebang.com的IP地址：x.x.x.x(2)浏览器与IP地址为x.x.x.x 的服务器进行TCP连接，端口为80；

(3)浏览器执行HTTP协议，发送GET /welcome.htm 命令,请求读取该文件；

(4)www.xiexiebang.com服务器返回/welcome.htm 文件到客户端；

(5)释放TCP连接；

(6)浏览器解释/welcome.htm 文件内容，并显示该文件表示的页面。

附: 一.TCP/IP服务

1、TCP/IP应用服务原理

TCP/IP应用服务采用客户机/服务器工作模式，服务器端启动守护进程，等待客户端的请求；服务器对应客户端的请求，派生子进程与客户进程进行数据通信，提供服务。

（1）服务器（HostA）首先要启动应用程序服务进程（守护进程Server），等待客户端的请求。

（2）当服务进程Server接收到客户端HostB的请求时，派生一个子进程（Child1）与HostB进行交互，实现数据通信，同时守护进程Server继续等待客户端的请求。

（3）当服务进程Server接收到客户端HostC的请求时，派生一个子进程（Child2）与HostC进行交互，实现数据通信，同时守护进程Server继续等待客户端的请求。

二.TCP/IP应用编程接口（API）

为了支持用户开发面向应用的通信程序，大部分系统都提供了一组基于TCP或者UDP的应用程序编程接口（API），该接口通常以一组函数的形式出现，称为套接字（Socket）。TCP/IP应用程序之间的通信通过Socket进行。服务器拥有全局公认的Socket,任何客户端都可以向它发出连接请求和信息请求。客户端向操作系统随机申请一个Socket，系统为之分配一个Socket号。Socket的系统调用库函数主要有：

1、创建套接字

Sockid=Socket(af,type,protocol)

2、建立地址和套接字的联系

bind(sockid, local addr, addrlen)

3、服务器端侦听客户端的请求

listen(Sockid ,quenlen)

4、建立服务器/客户端的连接(面向连接TCP）

客户端请求连接

Connect(sockid, destaddr, addrlen)服务器端等待从编号为Sockid的Socket上接收客户连接请求

newsockid=accept(Sockid，Clientaddr, paddrlen)

5、发送/接收数据

面向连接：send(sockid, buff, bufflen)recv()

面向无连接：sendto(sockid,buff,„,addrlen)recvfrom()

6、释放套接字

close(sockid)

肆.网络安全

随着人类社会生活对Internet需求的日益增长，网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题，特别是1993年以后Internet开始商用化，通过Internet进行的各种电子商务业务日益增多，加之Internet/Intranet技术日趋成熟，很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。据统计，目前网络攻击手段有数千种之多，使网络安全问题变得极其严峻，据美国商业杂志《信息周刊》公布的一项调查报告称，黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失，在全球范围内每数秒钟就发生一起网络攻击事件。

一.网络常见的攻击类型 1．后门攻击

BO、SATANZ、Portal of DOOM、Silencer、NetBus、Netspy、GirlFriend、冰河等。2．拒绝服务攻击

SYN Flood、UDP Flood、winnuke、Kiss of Death、Wingate DoS、Land、concon、ARP Spool等。

3．分布式拒绝服务攻击

Tfn2k、trinoo、stachel、mstream等。4．扫描攻击 ISS扫描、Nessus扫描、nmap扫描、Superscan扫描、whisker扫描、Webtrends扫描、L3retriever扫描、ipe-syn-scan扫描等。5． Web-cgi攻击

Test-cgi、handler、count.cgi、phf、PHP、Webgais、Websendmail、Webdist等。6． Web-IIS攻击：NewDSN等。

7． Web-FrontPage攻击：Fpcount等。8． Web-ColdFusion攻击：Openfile等。9．缓冲区溢出攻击

包括IMAP、Named、Qpop、FTP、mountd、Telnet等服务程序的缓冲区溢出攻击。10． RPC攻击

包括对sadmind、ttdbserver、nisd、amd等RPC攻击。11． ICMP攻击

主要包括利用大量ICMP Redirect包修改系统路由表的攻击和使用ICMP协议实施的拒绝服务攻击。

12． SMTP攻击（邮件攻击）

E-mail Debug等，以及利用SMTP协议实现HELO、RCPT TO、VRFY等缓冲区漏洞实施攻击。

13．前奏攻击：SourceRoute等。

14．病毒攻击：Happy 99、爱虫病毒、WinimDa等。15．口令攻击：telnet口令攻击、FTP口令攻击。其他：IE5&ACCESS97等。

二.数据加密技术

电子商务安全规范可分为安全、认证两方面的规范。

1安全规范

当前电子商务的安全规范包括加密算法、报文摘要算法、安全通信协议等方面的规范。

（1）加密算法

基本加密算法有两种：对称密钥加密、非对称密钥加密，用于保证电子商务中数据的保密性、完整性、真实性和非抵赖服务。

①对称密钥加密

对称密钥加密也叫秘密/专用密钥加密（Secret Key Encryption），即发送和接收数据的双方必须使用相同的/对称的密钥对明文进行加密和解密运算。最著名的对称密钥加密标准是数据加密标准（DataEncryptionStandard，简称DES）。目前已有一些比DES算法更安全的对称密钥加密算法，如：IDEA算法，RC2、RC4算法，Skipjack算法等。

②非对称密钥加密

非对称密钥加密也叫公开密钥加密（Public Key Encryption），由美国斯坦福大学赫尔曼教授于1977年提出。它主要指每个人都有一对唯一对应的密钥：公开密钥和私有密钥，公钥对外公开，私钥由个人秘密保存；用其中一把密钥来加密，就只能用另一把密钥来解密。商户可以公开其公钥，而保留其私钥；客户可以用商家的公钥对发送的信息进行加密，安全地传送到商户，然后由商户用自己的私钥进行解密。公开密钥加密技术解决了密钥的发布和管理问题，是目前商业密码的核心。使用公开密钥技术，进行数据通信的双方可以安全地确认对方身份和公开密钥，提供通信的可鉴别性。由此，公开密钥体制的建设是开展电子商务的前提。非对称加密算法主要有RSA、DSA、DiffieHellman、PKCS、PGP等。

（2）报文摘要算法

报文摘要算法（Message Digest Algorithms）即采用单向HASH算法将需要加密的明文进行摘要，而产生的具有固定长度的单向散列（HASH）值。其中，散列函数（HashFunctions）是将一个不同长度的报文转换成一个数字串（即报文摘要）的公式，该函数不需要密钥，公式决定了报文摘要的长度。报文摘要和非对称加密一起，提供数字签名的方法。

报文摘要算法主要有安全散列标准、MD2系列标准。

（3）加密通信协议(SSL)

安全套接层协议（Secure Socket Layer）是一种保护WEB通讯的工业标准，主要目的是提供INTERNET上的安全通信服务，是基于强公钥加密技术以及RSA的专用密钥序列密码，能够对信用卡和个人信息、电子商务提供较强的加密保护。SSL在建立连接过程上采用公开密钥，在会话过程中使用专有密钥。SSL的缺陷是只能保证传输过程的安全，无法知道在传输过程中是否受到窃听，黑客可以此破译SSL的加密数据，破坏和盗窃WEB信息。新的SSL协议被命名为TLS（Transport Layer Security），安全可靠性可有所提高，但仍不能消除原有技术上的基本缺陷。

2认证规范

（1）数字签名

数字签名（Digital Signature）是公开密钥加密技术的一种应用，是指用发送方的私有密钥加密报文摘要，然后将其与原始的信息附加在一起，合称为数字签名。其使用方式是：报文的发送方从报文文本中生成一个128位或160位的单向散列值（或报文摘要），并用自己的私有密钥对这个散列值进行加密，形成发送方的数字签名；然后，将这个数字签名作为报文的附件和报文一起发送给报文的接收方；报文的接收方首先从接收到的原始报文中计算出128位的散列值（或报文摘要），接着再用发送方的公开密钥来对报文附加的数字签名进行解密；如果这两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别与验证，保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法，普遍用于银行、电子贸易等，以解决伪造、抵赖、冒充、篡改等问题。

（2）数字证书

“数字证书”是一个经证书认证中心（CA）数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件。基于公开密钥体制（PKI）的数字证书是电子商务安全体系的核心，用途是利用公共密钥加密系统来保护与验证公众的密钥。CA对申请者所提供的信息进行验证，然后通过向电子商务各参与方签发数字证书，来确认各方的身份，保证网上支付的安全性。

证书的格式遵循X.509标准。X.509证书包括有关证书拥有的个人或实体的信息及证书颁发机构的可选信息。实体信息包括实体名称、公用密钥、公用密钥运算法和可选的唯一主体id。目前，X.509标准已在编排公共密钥格式方面被广泛接受，已用于许多网络安全应用程序，其中包括IP安全（Ipsec）、安全套接层（SSL）、安全电子交易（SET）、安全多媒体INTERNET邮件扩展（S/MIME）等。

（3）密钥管理机制（PKI）

密钥管理是数据加密技术中的重要一环，密钥管理的目的是确保密钥的安全性（真实性和有效性）。

三.防火墙技术

尽管近年来各种网络安全技术在不断涌现，但到目前为止防火墙仍是网络系统安全保护中最常用的技术。据公安部计算机信息安全产品质量监督检验中心对2000年所检测的网络安全产品的统计，在数量方面，防火墙产品占第一位，其次为网络安全扫描和入侵检测产品。防火墙系统是一种网络安全部件，它可以是硬件，也可以是软件，也可能是硬件和软件的结合，这种安全部件处于被保护网络和其它网络的边界，接收进出被保护网络的数据流，并根据防火墙所配置的访问控制策略进行过滤或作出其它操作，防火墙系统不仅能够保护网络资源不受外部的侵入，而且还能够拦截从被保护网络向外传送有价值的信息。防火墙系统可以用于内部网络与Internet之间的隔离，也可用于内部网络不同网段的隔离，后者通常称为Intranet防火墙。

目前的防火墙系统根据其实现的方式大致可分为两种，即包过滤防火墙和应用层网关。包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包，根据防火墙的访问控制策略对数据包进行过滤，只准许授权的数据包通行。防火墙管理员在配置防火墙时根据安全控制策略建立包过滤的准则，也可以在建立防火墙之后，根据安全策略的变化对这些准则进行相应的修改、增加或者删除。每条包过滤的准则包括两个部分：执行动作和选择准则，执行动作包括拒绝和准许，分别表示拒绝或者允许数据包通行；选择准则包括数据包的源地址和目的地址、源端口和目的端口、协议和传输方向等。建立包过滤准则之后，防火墙在接收到一个数据包之后，就根据所建立的准则，决定丢弃或者继续传送该数据包。这样就通过包过滤实现了防火墙的安全访问控制策略。

应用层网关位于TCP/IP协议的应用层，实现对用户身份的验证，接收被保护网络和外部之间的数据流并对之进行检查。在防火墙技术中，应用层网关通常由代理服务器来实现。通过代理服务器访问Internet网络服务的内部网络用户时，在访问Internet之前首先应登录到代理服务器，代理服务器对该用户进行身份验证检查，决定其是否允许访问Internet，如果验证通过，用户就可以登录到Internet上的远程服务器。同样，从Internet到内部网络的数据流也由代理服务器代为接收，在检查之后再发送到相应的用户。由于代理服务器工作于Internet应用层，因此对不同的Internet服务应有相应的代理服务器，常见的代理服务器有Web、Ftp、Telnet代理等。除代理服务器外，Socks服务器也是一种应用层网关，通过定制客户端软件的方法来提供代理服务。防火墙通过上述方法，实现内部网络的访问控制及其它安全策略，从而降低内部网络的安全风险，保护内部网络的安全。但防火墙自身的特点，使其无法避免某些安全风险，例如网络内部的攻击，内部网络与Internet的直接连接等。由于防火墙处于被保护网络和外部的交界，网络内部的攻击并不通过防火墙，因而防火墙对这种攻击无能为力；而网络内部和外部的直接连接，如内部用户直接拨号连接到外部网络，也能越过防火墙而使防火墙失效。

四.网络入侵检测技术

网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等。

网络入侵检测技术的特点是利用网络监控软件或者硬件对网络流量进行监控并分析，及时发现网络攻击的迹象并做出反应。入侵检测部件可以直接部署于受监控网络的广播网段，或者直接接收受监控网络旁路过来的数据流。为了更有效地发现网络受攻击的迹象，网络入侵检测部件应能够分析网络上使用的各种网络协议，识别各种网络攻击行为。网络入侵检测部件对网络攻击行为的识别通常是通过网络入侵特征库来实现的，这种方法有利于在出现了新的网络攻击手段时方便地对入侵特征库加以更新，提高入侵检测部件对网络攻击行为的识别能力。

利用网络入侵检测技术可以实现网络安全检测和实时攻击识别，但它只能作为网络安全的一个重要的安全组件，网络系统的实际安全实现应该结合使用防火墙等技术来组成一个完整的网络安全解决方案，其原因在于网络入侵检测技术虽然也能对网络攻击进行识别并做出反应，但其侧重点还是在于发现，而不能代替防火墙系统执行整个网络的访问控制策略。防火墙系统能够将一些预期的网络攻击阻挡于网络外面，而网络入侵检测技术除了减小网络系统的安全风险之外，还能对一些非预期的攻击进行识别并做出反应，切断攻击连接或通知防火墙系统修改控制准则，将下一次的类似攻击阻挡于网络外部。因此通过网络安全检测技术和防火墙系统结合，可以实现了一个完整的网络安全解决方案。

附: 一.CA中心的安全应用--数字证书颁发 CA(Certificate Authority)CA技术是安全认证技术的一种它基于公开密钥体系通过安全证书来实现安全证书采用国际标准的X.509证书格式主要包括

证书的版本号

发证CA的身份信息

持证用户的身份信息

持证用户的公钥

CA中心所发放的数字安全证书可以应用于公众网络上的商务活动和行政作业活动，包括支付型和非支付型电子商务活动，其应用范围涉及需要身份认证及数据安全的各个行业，包括传统的商业、制造业、流通业的网上交易，以及公共事业、金融服务业、工商税务海关、政府行政办公、教育科研单位、保险、医疗等网上作业系统。它主要应用于网上购物、企业与企业的电子贸易、安全电子邮件、网上证券交易、网上银行等方面。

二.密钥的管理内容

1.一个好的密钥管理系统应该做到:(1)密钥难以被窃取;(2)在一定条件下窃取了密钥也没有用，密钥有使用范围和时间的限制;(3)密钥的分配和更换过程对用户透明，用户不一定要亲自掌管密钥.a.管理方式

层次化的密钥管理方式，用于数据加密的工作密钥需要动态产生；工作密钥由上层的加密密钥进行保护，最上层的密钥称为主密钥，是整个密钥管理系统的核心；多层密钥体制大大加强了密码系统的可靠性，因为用得最多的工作密钥常常更换，而高层密钥用的较少，使得破译者的难度增大。b.密钥的生成

密钥的生成与所使用的算法有关。如果生成的密钥强度不一致，则称该算法构成的是非线性密钥空间，否则称为是线性密钥空间。c.分配、传递

密钥的分配是指产生并使使用者获得一个密钥的过程；密钥的传递分集中传送和分散传送两类。集中传送是指将密钥整体传送，这时需要使用主密钥来保护会话密钥的传递，并通过安全渠道传递主密钥。分散传送是指将密钥分解成多个部分，用秘密分享的方法传递，只要有部分到达就可以恢复，这种方法适用于在不安全的信道中传输。d.密钥的保存

密钥既可以作为一个整体保存，也可以分散保存。整体保存的方法有人工记忆、外部记忆装置、密钥恢复、系统内部保存；分散保存的目的是尽量降低由于某个保管人或保管装置的问题而导致密钥的泄漏。e.备份、销毁

密钥的备份可以采用和密钥的分散保存一样的方式，以免知道密钥的人太多；密钥的销毁要有管理和仲裁机制，否则密钥会被有意无意的丢失，从而造成对使用行为的否认。2.密钥的分配技术 密钥的分配技术解决的是在网络环境中需要进行安全通信的端实体之间建立共享的对称密钥问题。

密钥分配中心方式KDC（Key Distribution Center)这是当前一种主流方式。每个节点或用户只需保管与KDC之间使用的密钥加密密钥，而KDC为每个用户保管一个互不相同的密钥加密密钥。当两个用户需要通信时，需向KDC申请，KDC将工作密钥（也称会话密钥）用这两个用户的密钥加密密钥分别进行加密后送给这两个用户。在这种方式下，用户不用保存大量的工作密钥，而且可以实现一报一密，但缺点是通信量大，而且需要有较好的鉴别功能，以识别KDC和用户。

KDC方式还可以变形为电话号码本方式，适用于非对称密码体制。通过建立用户的公开密码表，在密钥的连通范围内进行散发，也可以采用目录方式进行动态查询，用户在进行保密通信前，首先产生一个工作密钥并使用对方的公开密钥加密传输，对方获悉这个工作密钥后，使用对称密码体制与其进行保密通信。

此外还有离散对数方法和智能卡方式，基本的思想是利用数学的方法使得别人无法获得密钥。

3.公开密钥的全局管理机制

公开密钥体制主要针对开放型的大型互联网络的应用环境而设计的，这种网络环境中需要有一个协调的公开密钥管理机制，以保证公开密钥的可靠性。

公开密钥的管理一般基于公证机制，即需要一个通信的A、B双方都信任的第三方N来证明A和B的公开密钥的可靠性，这需要N分别对A和B的公开密钥进行数字签名，形成一个证明这个公开密钥可靠性的证书。在一个大型网络中，这样的公证中心可以有多个，另外这些公证中心若存在信任关系，则用户可以通过一个签名链去设法验证一个公证中心签发的证书。

公开密钥管理的另外一个重要方面是如何撤消过去签发，但是现在已经失效的密钥证书。4.基于X.509证书的PKI（Public Key Infrastructure）

它是一种行业标准或者行业解决方案，在X.509方案中,默认的加密体制是公钥密码体制。为进行身份认证，X.509标准及公共密钥加密系统提供了数字签名的方案。用户可生成一段信息及其摘要(亦称作信息“指纹”)。用户用专用密钥对摘要加密以形成签名,接收者用发送者的公共密钥对签名解密,并将之与收到的信息“指纹”进行比较,以确定其真实性。

PKI是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。

PKIX（PublicKeyInfrastructureonX.509，简称PKIX）系列标准由IETFPKIX工作小组制定，定义了X.509证书在INTERNET上的使用，证书的生成、发布和获取，各种产生和分发密钥的机制，以及怎样实现这些标准的轮廓结构等。

三.IPsec与VPN简介

IPSec，因特网协议安全，是由IETF（Internet Engineering Task Force）定义的一套在网络层提供IP安全性的协议。

1.基于Ipsec的VPN，如阿姆瑞特VPN，由两部分组成： 1.Internet密钥交换协议(IKE)2.IPsec协议(AH/ESP/二者都有)

第一部分，IKE是初始协商阶段，两个VPN端点在这个阶段协商使用哪种方法为下面的IP数据流提供安全。而且，通过定义一套安全联盟（SA），IKE用于管理连接；SA面向每个连接的。SA是单向的，因此每个Ipsec连接至少有2个SA。在IKE（因特网密钥交换）部分对此有更详细的描述。

另一部分是IKE协商后，用加密和认证方法实际传输的IP数据。有几种方法，如IPsec协议ESP, AH或两者结合在一起都可以做到这一点。IPsec协议（ESP/AH）部分对此进行了解释。

2.建立VPN事件的流程可做如下简要描述： IKE协商如何保护IKE IKE协商如何保护Ipsec Ipsec在VPN中传输数据 Internet密钥交换协议(IKE)这部分描述IKE，因特网密钥交换协议，及其使用的参数。

加密和认证数据比较直接，唯一需要的是加密和认证算法，及其使用的密钥。因特网密钥交换协议（IKE），用作分配这些对话用密钥的一种方法，而且在VPN端点间，规定了如何保护数据的方法。

3.IKE主要有三项任务： a.为端点间的认证提供方法

b.建立新的IPsec连接（创建一对SA）c.管理现有连接

IKE跟踪连接的方法是给每个连接分配一组安全联盟（SA）。SA描述与特殊连接相关的所有参数，包括使用的Ipsec协议(ESP/AH/二者兼有)，加密/解密和认证/确认传输数据使用的对话密钥。SA本身是单向的，每个连接需要一个以上的SA。大多数情况下，只使用ESP或AH，每个连接要创建2个SA，一个描述入站数据流，另一个描述出站数据流。同时使用ESP和AH的情况中就要创建4个SA。

4.IKE 协商

协商对话参数过程中包含许多阶段和模式。下面对其进行具体描述。事件流程如下描述： IKE阶段1 协商应该如何保护IKE IKE阶段2 协商应该如何保护Ipsec 源自阶段1的密钥交换生成一些新的加密信息，以提供VPN数据流加密和认证中使用的对话密钥。

IKE和Ipsec连接都有使用期限的限制，使用时间（秒）和数据大小（KB）来描述。使用期限用于防止连接建立的时间过长，从密码学的角度看，这是有必要的。

IPSec的使用期限一般要比IKE的使用期限短。这样通过进行阶段2协商时，对Ipsec连接再次加密。不必进行另外的阶段1协商直至到IKE使用期限。

5.IKE 协议

IKE提议是如何保护数据的建议。发起IPsec连接的VPN网关，作为发起者会发出提议列表，提议表建议了不同的护连接的方法。协商连接可以是通过VPN来保护数据流的Ipsec连接，或是IKE连接，保护IKE协商本身。响应的VPN网关，在接收到此提议表后，就会根据自己的安全策略选择最适合的提议，并根据已选择的提议做出响应。如果没有找到可接受的提议，就会做出没有可接受提议的响应，并可能提供原因。提议包括需要的全部参数，如加密和认证数据使用的算法，以及IKE参数中描述的其他参数。IKE 阶段1IPsec安全协商

另一个协商是在阶段2进行的，详细说明了Ipsec的连接参数。

在阶段2，我们将从阶段1的Diffie-Hellman密钥交换中摘取新的密钥信息，并将其作为保护VPN数据流的会话密钥。

如果使用PFS（完善的转发机密），每个阶段2协商中，会进行新的Diffie-Hellman交换。虽然这种操作比较慢，但可确保密钥不依赖于以前用过的任何密钥，不从同样的初始密钥材料中摘取密钥。这就保证了在不太安全的事件中，危及了某些密钥安全时，而不衍生出并发的密钥。

计算机组网络工程师岗位职责（精选5篇）

第一篇：计算机组网络工程师岗位职责

第二篇：计算机组网

第三篇：计算机组网

第四篇：中小it企业网络工程师岗位职责说明书

第五篇：计算机等级考试网络工程师复习总结

相关范文推荐

电信网络工程师

交换网络工程师岗位职责（写写帮推荐）

计算机工程师岗位职责范本

计算机组网竞赛复习内容

计算机组网技术实习纲要

络工程师工作总结的3篇

2.企业网络工程师课程

计算机组网与网络技术实习报告