一.传输介质类型
1.基本概念
计算机总是以二进制的数字(0或1)形式工作
1)数字和模拟
模拟数据一般采用模拟信号(Analog Signal),例如用一系列连续变化的电磁波(如无线电与电视广播中的电磁波),或电压信号(如电话传输中的音频电压信号)来表示。存在无线多的状态,随着线缆的长度,波形会变弱,会受噪音影响。如有限电视。
数字数据则采用数字信号(Digital Signal),例如用一系列断续变化的电压脉冲(如我们可用恒定的正电压表示二进制数1,用恒定的负电压表示二进制worter991/数0),或光脉冲来表示。使用抽象的电子脉冲来传播。一个系统将数据传输到另一个系统的格式。
当模拟信号采用连续变化的电磁波来表示时,电磁波本身既是信号载体,同时作为传输介质;而当模拟信号采用连续变化的信号电压来表示时,它一般通过传统的模拟信号传输线路(例如电话网、有线电视网)来传输。 当数字信号采用断续变化的电压或光脉冲来表示时,一般则需要用双绞线、电缆或光纤介质将通信双方连接起来,才能将信号从一个节点传到另一个节点。
2)异步和同步
异步传输:使用开始和停止位来控制会话
同步传输:使用时钟脉冲启动时间序列来控制会话,以位流的方式传输数据
3)宽带和基带
宽带(broadband):将通信通道分为若干不同的独立通道,从而能同时传输不同类型的数据。
基带(baseband):只允许一次传输一个信号。
4)带宽和数据流量
带宽:一秒内通过一个链路传输电子脉冲的数据,是一个链路的传输能力,与链路的可用频率和数据有关。以秒来计算
数据流量:通过链路传输的实际数据量,使用压缩机制数据流量可大于带宽值。以秒来计算。
2.线缆
1)同轴电缆
同轴电缆(Coaxial Cable)是指有两个同心导体,而导体和屏蔽层又共用同一轴心的电缆。最常见的同轴电缆由绝缘材料隔离的铜线导体组成,在里层绝缘材料的外部是另一层环形导体及其绝缘体,然后整个电缆由聚氯乙烯或特氟纶材料的护套包住 。
同轴电缆可用于模拟信号和数字信号的传输,适用于各种各样的应用,其中最重要的有电视传播、长途电话传输、计算机系统之间的短距离连接以及局域网等。同轴电缆作为将电视信号传播到千家万户的一种手段发展迅速,这就是有线电视。一个有线电视系统可以负载几十个甚至上百个电视频道,其传播范围可以达几十千米。长期以来同轴电缆都是长途电话网的重要组成部分。
同轴电缆由里到外分为四层:中心铜线(单股的实心线或多股绞合线),塑料绝缘体,网状导电层和电线外皮。中心铜线和网状导电层形成电流回路。因为中心铜线和网状导电层为同轴关系而得名。
优点
- 更加抗电磁干扰
- 支持更大的带宽
- 支持更长的长度
缺点:昂贵、布线不方便
2)双绞线
双绞线(twisted pair,TP)是一种综合布线工程中最常用的传输介质,是由两根具有绝缘保护层的铜导线组成的。把两根绝缘的铜导线按一定密度互相绞在一起,每一根导线在传输中辐射出来的电波会被另一根线上发出的电波抵消,有效降低信号干扰的程度。
根据有无屏蔽层,双绞线分为屏蔽双绞线(Shielded Twisted Pair,STP)与非屏蔽双绞线(Unshielded Twisted Pair,UTP)。
线缆的缠绕、使用的屏蔽层、导电材料质量、隔离层决定了数据能够传输的速率,即决定了双绞线的质量。
屏蔽双绞线线缆缠绕:每对线的电压具有相同的幅度,只是相位相反,线缆缠绕的越紧,越能抗干扰和衰减
七类屏蔽双绞线
类型
双绞线类型 | 最高频率带宽 | 适用网络带宽 |
一类 | 750kHz | 1Mbps |
二类 | 1MHz | 4Mbps |
三类 | 16MHz | 10Mbps |
四类 | 20MHz | 16Mbps |
五类 | 100MHz | 100Mbps |
超五类 | 100MHz | 1000Mbps |
六类 | 250MHz | 1Gbps |
超六类 | 500MHz | 10Gbps |
七类 | 600MHz | 10Gbps |
超七类 | 1200MHz | 10Gbps |
3)光缆
光缆(optical fiber cable)是为了满足光学、机械或环境的性能规范而制造的,它是利用置于包覆护套中的一根或多根光纤作为传输媒质并可以单独或成组使用的通信线缆组件。光缆主要是由光导纤维(细如头发的玻璃丝)和塑料保护套管及塑料外皮构成,光缆内没有金、银、铜铝等金属,一般无回收价值。光缆是一定数量的光纤按照一定方式组成缆芯,外包有护套,有的还包覆外护层,用以实现光信号传输的一种通信线路。 即:由光纤(光传输载体)经过一定的工艺而形成的线缆。光缆的基本结构一般是由缆芯、加强钢丝、填充物和护套等几部分组成,另外根据需要还有防水层、缓冲层、绝缘金属导线等构件。
光纤是光导纤维的简写,是一种由玻璃或塑料制成的纤维,可作为光传导工具。传输原理是“光的全反射”。
光是一种电磁波,可见光部分波长范围是:390~760nm(纳米)。大于760nm部分是红外光,小于390nm部分是紫外光。光纤中应用的是:850nm,1310nm,1550nm三种。
a)光纤的材质
光纤的种类分为石英光纤和全塑光纤。
通信中所用的光纤一般是石英光纤。石英的化学名称叫二氧化硅(SiO2),它和我们日常用来建房子所用的砂子的主要成分是相同的。但是普通的石英材料制成的光纤是不能用于通信的。通信光纤必须由纯度极高的材料组成;不过,在主体材料里掺入微量的掺杂剂,可以使纤芯和包层的折射率略有不同,这是有利于通信的。
全塑光纤是一种通信用新型光纤,尚在研制、试用阶段。全塑光纤具有损耗大、纤芯粗(直径100~600μm)、数值孔径(NA)大(一般为0.3~0.5,可与光斑较大的光源耦合使用)及制造成本较低等特点。目全塑光纤适合于较短长度的应用,如室内计算机联网和船舶内的通信等。
b)光纤传输模型
按照光纤传输的模式数量,可以将光纤的种类分为多模光纤和单模光纤。
单模光纤这是指在工作波长中,只能传输一个传播模式的光纤,通常简称为单模光纤(SMF:Single ModeFiber)。在有线电视和光通信中,是应用最广泛的光纤。
多模光纤将光纤按工作波长以其传播可能的模式为多个模式的光纤称作多模光纤(MMF:MUlti ModeFiber)。纤芯直径为50μm,由于传输模式可达几百个,与SMF相比传输带宽主要受模式色散支配。
c)光纤收发器
光纤收发器是一种将短距离的双绞线电信号和长距离的光信号进行互换的以太网传输媒体转换单元,在很多地方也被称之为光电转换器。
按光纤性质分类
- 单模光纤收发器:传输距离20公里至120公里
- 多模光纤收发器:传输距离2公里到5公里
按光纤来分,可以分为多模光纤收发器和单模光纤收发器。
d)光纤跳线
光纤跳线用来做从设备到光纤布线链路的跳接线。有较厚的保护层,一般用在光端机和终端盒之间的连接,应用在光纤通信系统、光纤接入网、光纤数据传输以及局域网等一些领域。
(1)跳线类型
TIA-598C由美国电信行业协会制定的光纤跳线颜色编码标准,该标准定义了光纤以及光纤跳线的识别方案。以下是非军事应用和军事应用光纤跳线的颜色和对应的光纤跳线类型。
护套颜色 | 非军事应用光纤跳线类型 | 军事应用光纤跳线类型 |
橙色 | OM1 62.5μm多模光纤跳线 | OM2 50μm多模光纤跳线 |
OM2 50μm多模光纤跳线 | ||
水绿色 | OM3 50μm多模光纤跳线 | 未定义 |
水绿色/紫色 | 水绿色用于OM3/OM4光纤跳线(以及高级别OM2光纤跳线) 紫罗兰用于欧洲的OM4光纤跳线,在北美越来越普遍 | 未定义 |
黄色 | OS1/OS2单模光纤跳线 | OS1/OS2单模光纤跳线 |
蓝色 | 保偏(PM)单模光纤跳线 | 未定义 |
黑色 | 户外光纤跳线 | 户外光纤跳线 |
灰色 | 未定义 | 62.5μm多模光纤跳线 |
绿色 | 未定义 | 100/140μm多模光纤跳线 |
光纤跳线中的黄色代表单模、橙色代表千兆多模、蓝色代表万兆多模。
(2)接口类型
- LC跳线。连接SFP模块的连接器,常用于路由器,一定程度上可提高光纤配线架中光纤连接器的密度。(路由器常用)
- SC跳线。它是TIA-568-A标准化的连接器,SC型光纤跳线是一种插拔式的设备,常作为连接GBIC光模块的连接器。
- FC跳线。FC是Ferrule Connector的缩写,表明其外部加强件是采用金属套,紧固方式为螺丝扣。FC是单模网络中最常见的连接设备之一。
- ST跳线,是多模网络(例如大部分建筑物内或园区网络内)中最常见的连接设备。(对于10Base-F连接来说,连接器通常是ST类型。常用于光纤配线架)
- 其他接口。其他接口还有:MTRJ跳线、MPO跳线、MU跳线、SMA跳线、FDDI跳线、E2000跳线、DIN4跳线、D4跳线等。
- 布线需要考虑的问题:噪声、衰减、串扰、线缆阻燃率
e)光模块
光模块是进行光电和电光转换的光电子器件。光模块的发送端把电信号转换为光信号,接收端把光信号转换为电信号。光模块按照封装形式分类,常见的有SFP,SFP+,SFF,千兆以太网路界面转换器(GBIC)等。
光收发一体化模块主要功能是实现光电/电光变换,包括光功率控制、调制发送,信号探测、IV 转换以及限幅放大判决再生功能,此外还有防伪信息查询、TX-disable 等功能,常见的有:SFP、SFF、SFP+、GBIC、XFP 、1x9等。
(1)SFP 光模块:
- 可选波长:850nm,1310nm,1490nm,1550nm,CWDM,DWDM。
- 速率:0-10Gbit/s
(2)SFP RJ45电口模块:
接口:RJ45,COPPER。
速率:10/100/1000M自适应,强制1000M
(3)XFP 光模块:
- 可选波长:850nm,1310nm,1270nm,1330nm,CWDM,DWDM。
- 速率:10Gbit/s
(4)GBIC 光模块
- 可选波长:850nm,1310nm,1490nm,1550nm,CWDM,DWDM
- 速率:1.25Gbit/s
(5)GBIC RJ45电口模块
- 接口:RJ45,COPPER
- 速率:10/100/1000M自适应,强制1000M
(6)SFP+ 光模块
- 可选波长:850nm,1310nm,1270nm,1330nm,CWDM,DWDM
- 速率:10Gbit/s
(7)X2 光模块
- 可选波长:850nm,1310nm,1270nm,1330nm,CWDM,DWDM
- 速率:10Gbit/s
(8)XENPAK 光模块
- 可选波长:850nm,1310nm,1270nm,1330nm,CWDM,DWDM
- 速率:10G
光模块的传输距离分为短距、中距和长距三种。一般认为2km及以下的为短距离,10~20km的为中距离,30km、40km及以上的为长距离。光模块的传输距离受到限制,主要是因为光信号在光纤中传输时会有一定的损耗和色散。损耗是光在光纤中传输时,由于介质的吸收散射以及泄漏导致的光能量损失,这部分能量随着传输距离的增加以一定的比率耗散。色散的产生主要是因为不同波长的电磁波在同一介质中传播时速度不等,从而造成光信号的不同波长成分由于传输距离的累积而在不同的时间到达接收端,导致脉冲展宽,进而无法分辨信号值。
中心波长指光信号传输所使用的光波段。目前常用的光模块的中心波长主要有三种:850nm波段、1310nm波段以及1550nm波段
- 850nm波段:多用于短距离传输
- 1310nm和1550nm波段:多用于中长距离传输
3.布线问题
布线要考虑对噪声、长度的衰减、串扰、线缆阻燃率等问题
二.网络互联基础设施
1.网络类型
- 环形拓扑(ring):一个系统失效会影响到其他系统。每个节点都依赖于前面的节点
- 总线型(bus)
- 星型(star)
- 网状(mesh)
2.介质访问控制技术
MTU:规定一个数据帧运载多少数据的参数,就是一个数据的大小。
令牌传递:拥有令牌的才能传递,没有令牌的检测网络看是否有可用的令牌。用于令牌环、FDDI网络。
CSMA/CD(带冲突检测的载波侦听多路访问协议):所有设备都监听网络是否有载波,若没有就可以传输数据了。
CSMA/CA:与CSMA/CA功能一样,使用在无线网。
冲突(collision):当同时多个设备监听到网络没有载波时,就存在冲突。当一个计算机将数据帧放在网络时,与另一台计算机数据帧冲突,会放弃此次传输,并通告其他工作站网络中存在冲突。 所有工作站开始进行随机冲突计时,这种计时为后退算法(back-off algorithm)
冲突域(collision domain):减少网络冲突数量,增加网络性能; 一个VLAN为一个冲突域。使用在以太网。
以太网:IEEE 802.3标准
令牌环:IEEE 802.5标准,传输速率 4-16Mpbs,通过主动监控和信标
FDDI(光纤分布式数据接口):一种高速的令牌传输介质访问技术,最高100Mpbs传输速率。双反向旋转提供容错
3.传输方法
单播(unicast): 是指封包在计算机网络的传输中,目的地址为单一目标的一种传输方式。它是现今网络应用最为广泛,通常所使用的网络协议或服务大多采用单播传输,例如一切基于TCP的协议。 点对点通信。
组播(multicast): 也叫多播, 多点广播或群播。 指把信息同时传递给一组目的地址。它使用策略是最高效的,因为消息在每条网络链路上只需传递一次,而且只有在链路分叉的时候,消息才会被复制。 一个点对一组通信。
广播(broadcast):是指封包在计算机网络中传输时,目的地址为网络中所有设备的一种传输方式。实际上,这里所说的“所有设备”也是限定在一个范围之中,称为“广播域”。一对多通信。
任播(anycast):是一种网络寻址和路由的策略,使得资料可以根据路由拓朴来决定送到“最近”或“最好”的目的地。在IPV6中使用,替代了广播。
4.常见网络协议和服务
1)ARP
- 工作在数据链路层。
- IP地址到MAC地址映射。
- 初次通过广播查找MAC地址。
攻击类型:ARP 表中毒,攻击者通过修改ARP表指向自己的MAC
MAC地址到IP地址的映射为RARP.
2)DHCP
基于UDP的协议。主机向服务器请求的端口号为68。服务器向客户端应答的端口为67
攻击:DHCP服务器欺骗,在交换机上配置DHCP snooping
3)ICMP:网际控制消息协议
- 日常使用通信判断的ping协议。工作在网络层,协议号为1
4)多播协议IGMP
工作在网络层,协议号为2.
有三个版本:
- V1 定期向所有的网络上系统发送询问和更新数据库,指出那个系统属于那个组
- V2 细粒度的问询类型,允许系统离开一个组时向代理发送信号
- V3 具备指定它从哪个特定资源接收多播信息
5)SNMP
专门设计用于在 IP 网络管理网络节点(服务器、工作站、路由器、交换机及HUBS等)的一种标准协议,它是一种应用层协议。
使用UDP的 161 、162端口。有V1和V2两个版本。社区字符串都使用明文传输。
6)DNS
用于域名解析。使用TCP和UDP的53端口
7)路由协议:
由内部协议和外部协议之分。
- 内部路由协议
- 静态路由
- 动态路由
- 距离矢量:RIP
- 链路状态:OSPF、IGRP、EIGRP、IS-IS(不使用IP地址,使用ISO地址,通过流量计算最佳路径)
- 外部路由协议:BGP、EGP
5.速率、带宽、时延、发送时延、传播时延
速率:指的是单位时间传送的比特数,其单位是 b/s(比特每秒)。一个比特(bit)就是一个二进制数字中的一个 1 或 0。
比特是计算机中的最小单位,一个字节(Byte)=8个bit。
1Kb = 1024bit
1KB = 1024Byte
1Mb = 1024 Kb
1MB = 1024KB
所以有 1 Mb = 0.125 MB (1/8 * MB)
带宽:在计算机网络中,带宽用来表示通信线路的数据传输能力,因此网络带宽指的是在单位时间内从网络中的某一点到另一点所能通过的最高速率。
时延:数据从网络的一端传送到另一端所需的时间。
发送时延:主机或者路由器发送数据帧说需要的时间,由此发送时延的计算公式为:
传播时延:电磁波在信道中传播一定距离需要话费的时间,由此传播时延的计算公式为:
电磁波在自由空气中传输速率为:3.0 * 10^5 km/s,电磁波在网络传输媒体中的传播速率则相对要低一点:
- 在光纤中的传播速率大约为:2.0*10^5 km/s
- 在铜线电缆中的传播速率约为:2.3*10^5 km/s
三.网络互联设备
1.中继器(repeater)
- 中继和放大线路段之间的信号
- 工作在物理层
- 对于模拟信号,在放大信号的同时,也放大了噪音
集线器(hub):多端口中继器
2.网桥(bridge)
- 数据链路层
- 基于MAC地址过滤
- 只有一个IP地址
3.交换机
集成了中继器和网桥的功能。在ASIC上工作,硬件和芯片级别的。
工作层:第二层、第三层
4.路由器
- 工作在网络层
- 基于IP地址
- 每个接口都一个IP地址,代表一个网段
5.网关
- 应用层
- 连接不同类型的网络;执行协议和格式的翻译
6.防火墙
包过滤防火墙:基于网络协议首部值作出访问决策的防火墙技术。仅能控制网络层和传输层的数据包。常见的ACL。也称无状态检测(stateless inspection)
动态包过滤防火墙:工作在网络层。查看目标和源地址、端口、所请求的服务。路由器使用ACL监控对网络的可接受的访问
状态检测防火墙:采用一种基于连接的状态检测机制,将属于同一连接的所有数据包当作一个整体来看待,并建立状态表,通过规则表与状态表的共同配合,对表中的各个连接以及状态进行识别,从而达到对数据流进行控制的目的。 状态检测防火墙截取到数据包时,首先检查其是否属于某一有效的连接,若是,说明该包所属的数据流以通过安全规则检查,从而不需要再进行规则检查,而只需要检查其在数据流中的状态是否正确即可,只有当数据包不属于任何有效连接或状态不匹配时,才对其进行规则检查。这样避开了复杂的安全规则检查,可极大地提高防火墙的整体效率。 状态检测防火墙的实现是基于连接的,对于数据包自身包含有状态信息的TCP服务来说,其实现较为直观,然而对于无连接的UDP服务,通常采用为UDP服务建立虚拟连接的方法达到上述目的。 发生在网络或应用层。
电路级代理防火墙:工作在会话层。从网络角度监控流量,不能看到数据包的内容,不执行深层次检查。只基于它能看到的协议首部和会话做出访问决策。SOCKS是电路级防火墙。不需要为每个协议设置一个代理。不提供应用级代理防火墙的更深层次的检查,只查看报文头部,不需要为每个协议设置一个代理。
应用级网关防火墙:运行的代理程序对数据包进行逐个检查和过滤,而不是简单的复制数据让数据包轻易通过网关。特定的应用代理检查通过网关的数据包,在OSI的应用层上验证数据包内容。这些代理可以对应用协议中的特定信息或命令进行过滤,这就是所谓的关键词过滤或者命令字过滤。例如,FTP应用代理能够过滤许多命令字,以便对特定用户实现更加精细的控制,以保护FTP服务器免遭非法入侵。
防火墙的规则
- 默认拒绝:默认一条为拒绝。
- 沉没规则:不记录“噪杂”流量便放弃。不对不重要的数据包做响应,减少日志规模
- 隐形规则:不允许未经授权的系统访问防火墙软件
- 清理规则:最后一条规则记录任何不符合前面规则的流量
- 否定规则:用了代替广泛允许的“任何规则”。否定规则规定什么系统能够被访问和如何被访问,对许可权限控制较紧
7.应用代理
应用级代理:工作在应用层,理解整个数据包内容,能理解到ftp get或ftp put命令信息,需要理解所传输的协议
四.广域网
1.多路复用技术
广域网的链路是昂贵的,因此必须有一种办法将有限的带宽在所有时间内充分利用起来,就产生了多路复用技术。
数据通信系统或计算机网络系统中,传输媒体的带宽或容量往往会大于传输单一信号的需求,为了有效地利用通信线路,希望一个信道同时传输多路信号,这就是所谓的多路复用技术(Multiplexing)。采用多路复用技术能把多个信号组合起来在一条物理信道上进行传输,在远距离传输时可大大节省电缆的安装和维护费用。频分多路复用FDM (Frequency Division Multiplexing)和时分多路复用TDM (Time Division Multiplexing)是两种最常用的多路复用技术。
频分多路复用(FDM):用于移动数据的无线频谱。将可用的频带划分为较窄的频带,用于采用多个并行的通道传输数据
时分多路复用技术(TDM):若媒体能达到的位传输速率超过传输数据所需的数据传输速率,则可采用时分多路复用TDM技术,也即将一条物理信道按时间分成若干个时间片轮流地分配给多个信号使用。每一时间片由复用的一个信号占用,而不像FDM那样,同一时间同时发送多路信号。
波分多路复用(WDM):光的波分多路复用是指在一根光纤中传输多种不同波长的光信号,由于波长不同,所以各路光信号互不干扰,最后再用波长解复用器将各路波长分解出来。所选器件应具有灵敏度高、稳定性好、抗电磁干扰、功耗小、体积小、重量轻、器件可替换性强等优点。光源输出的光信号带宽为40nm,在此宽带基础上可实现多个通道传感器的大规模复用。
码分多址(CDMA,Code-DivisionMultiple Access):通信系统中,用户传输信息所用的信号不是靠频率或时隙的不同来区分,而是用各自不同的编码序列来区分,或者说,靠信号的不同波形来区分。如果从频域或时域来观察,多个CDMA信号是互相重叠的。接收机用相关器可以在多个CDMA信号中选出其中使用预定码型的信号。其它使用不同码型的信号因为和接收机本地产生的码型不同而不能被解调。它们的存在类似于在信道中引入了噪声和干扰,通常称之为多址干扰。
空分多址(SDMA):也称为多光束频率复用。它通过标记不同方位的相同频率的天线光束来进行频率的复用。SDMA系统可使系统容量成倍增加,使得系统在有限的频谱内可以支持更多的用户,从而成倍的提高频谱使用效率。
2.广域网线路
2.1.T载波
1)T1
- 提供最多24条通道
- 每个通道在确定的时间片插入8个位
- 24个8位时间片组成一个T1帧,共享带宽
- 速度1.544Mbps
2)T3
提供最多28条通达
通过时分多路复用(Time-Division Multiplexing TDM)执行多路复用功能
2.2.E载波
30个通道将8位数据交错置于一个帧中。用于欧洲国家。
- E0 64Kbit/s
- E1 2.048Mbit/s
- E2 8.448Mbit/s
- E3 34.368Mbit/s
- E4 139.264Mbit/s
- E5 565.148Mbit/s
2.3.光载波
高速光纤:传输速率为数字信号位流的速度,是基本速率单位的整数倍
传输速率
- OC-1 51.84Mbps
- OC-3 155.52Mbps
- 0C-9 455.56Mbps
- OC-12 622.08Mbps
- OC-19 933.12Mbps
- OC-24 1.244Gbps
- OC-36 1.866Gbps
- OC-48 2.488Gbps
- OC-96 4.977Gbps
- OC-192 9.953Gbps
- OC-768 40Gbps
- OC-3072 160Gbps
3.WAN连接技术
1)CSU/DSU
- 用在T1/T3线路上
- DSU设备将路由器、网桥和多路复用器的数字信号转换为能在电话公司的数字线路传输的信号
- CSU将网络直接连接到电话公司的线路
2)广域交换类型
- 电路交换:整个报文的比特流连续的从源点直达终点,好像在一个管道中传送。 流量可预测的、恒定的方式流动。固定延迟,通常承载语音,例如ISDN、电话呼叫
- 报文交换:整个报文先传输到相邻的结点,全部存储下来后查找转发表,转发到下一个结点。支持爆发式数据流量,例子:帧中继
- 分组交换:单个分组(报文的一部分)传送到相邻结点,存储下来后查找转发表,转发到下一个结点。
3)虚电路
永久电路(PVC):与客户事先预定可用带宽的专用线路那样工作,成本较高。
交换式电路(SVC):与拨号连接相似,较为经济。
4)帧中继
工作在数据链路层,是一种使多个公司和网络共享相同的WAN介质的协议。花费使用带宽来计算。常用的设备DTE、DCE(一般也可定位一种接口)
- DTE 数据终端设备,客户拥有,提供公司自己网络和帧中继网络之间的连通性的路由器和交换机。
- DCE 数据电路终端设备,服务提供商的设备,完成实际的数据传输和交换。使用虚电路转发数据帧。
5)X.25
载波交换技术,使用虚电路转发数据帧,数据被分为若干128字节的单位。
6)ATM
是面向连接的,数据分片为大小固定的53字节的信元
7)SDLC(同步数据链路控制协议)
基于使用专用、租用链路以及永久物理连接的网络,最早IBM提出。面向位的同步协议,主要用于系统网络架构内的IBM主机之间通信
主要解决大型机能够进行远程通信。
8)HDLC(高级数据链路控制)
面向位的数据链路层协议,用于设备间的串行WAN通信
9)PPP(点对点协议)
为点对点连接进行装帧和封装的数据链路协议,数据链路层协议。由LCP和NCP协议组成。
- LCP(链路控制协议):建立、配置和维护连接。执行封装格式选项、处理对数据包大小的不同限制、检测环回链路以及其他常见错误配置和在需要的时候终止链路
- NCP(网络控制协议):配置网络层协议,确保与其他协议集成工作。若从IP网络传输到另一个类型网络(IPX、NetBEUI)需要使用
(10)HSSI(高速串行接口)
一种将多路复用和路由器联系至高速通信服务(ATM和帧中继)的接口,支持T3连接,速度高达52Mbps。通常集成到路由器和多路复用设备,工作在物理层。
五.远程连接
1.ISDN(综合业务数字网)
一种由电话公司和ISP提供的技术。所有流量以数字形式传输。只用于模拟语音传输。
提供两种服务
- 基础速率接口(BRI)
- 两个B通道:用于数据传输
- 一个D通道:用于呼叫的建立、网络管理、错误控制、呼叫者ID管理等
- 带宽为144Kbps
- 主速率接口(PRI)
-
- 22个B通道,每个通道64Kbps
- 1个D通道
- 带宽为1.544Mbps
2.DSL(数字用户线路)
1)对称DSL(SDSL)
- 提供相同的上行和下行速率
- 192Kbps-1.1Mbps
2)非对称DSL(ADSL)
- 下行别上行快
- 上行速度128Kbps-384Kbps
- 下行速度768Kbps
3)高位率DSL(HDSL)
在不使用中继器的情况下,可在铜电话线上提供T1的速度
4)高数据率数字用户线路(VDSL)
5)数据传输速率高的ADSL
- 下行速度13Mbps
- 上行速度2Mbps
6)速率自适应数字用户线(RADSL)
- 根据线路质量和长度来调节传输速度
- 线缆调制解调器
- 最高50Mbps
3.VPN
3.1.工作在数据链路层的VPN
基于PPP协议
1)点对点隧道协议(PPTP)
- 使用通用路由封装和TCP来封装
- 工作在数据链路层
- 延伸和保护PPP连接
- 只能通过IP网络传输
2)第二层隧道协议(L2TP)
- 将PPTP和CISCO的L2F协议功能整合在一起
- 可以在非IP网络进行传输
- 提供一条不能理解PPP的网络隧道来延伸PPP连接
- 工作在数据链路层
- 与IPSEC结合
3.2.PPP常用身份验证协议
1)PAP(密码身份验证协议)
密码认证协议(PAP),是 PPP 协议集中的一种链路控制协议,主要是通过使用 2 次握手提供一种对等结点的建立认证的简单方法。
- 实现身份标识和身份验证。
- 需要用户输入用户名和密码
- 采取明文发送
完成链路建立阶段之后,对等结点持续重复发送 ID/ 密码给验证者,直至认证得到响应或连接终止。
对等结点控制尝试的时间和频度。所以即使是更高效的认证方法(如CHAP),其实现都必须在 PAP 之前提供有效的协商机制
常见配置方法
假定由两个路由节点需要通过广域网连接,A节点的路由器为R1,B节点的路由器为R2。PAP是单向认证的。
R1>enable
R1#conf t
R1(config)#interface serial 0/1/0
R1(config-if)#clock rate 64000 //设置时钟频率,连接的两端须保持一致。
R1(config-if)#ip add 192.168.10.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#encapsulation ppp //配置接口封装为ppp协议
Router(config-if)#ppp authentication pap //配置ppp协议验证方式为pap
Router(config-if)#exit
Router(config)#username test password 12345678 //配置对端验证使用的用户名和密码
-----------------------------------------------------------------------------------------------------
R2#conf t
R2(config)#interface serial 0/1/0
R2(config-if)#encapsulation ppp //设置接口封装使用ppt协议
R2(config-if)#ip add 192.168.10.2. 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#ppp pap sent-username test password 12345678 //设置使用的用户名、密码,此处为在R1端配置的信息。
2)CHAP(挑战握手认证协议)
Challenge Handshake Authentication Protocol,通过三次握手周期性的校验对端的身份,在初始链路建立时完成,可以在链路建立之后的任何时候重复进行。
工作步骤
1)用户向身份验证服务器发送一个登陆请求
2)服务器向用户发送一个随机值
3)用户使用密码加密随机值,返回服务器
4)服务器使用预先定义密码解密,与原始值进行比较,如果两个值相同,验证通过
MS-CHAP是CHAP的Microsoft版本,提供双向身份验证功能。提供两个版本,两个版本不兼容
通过递增改变的标识符和可变的挑战值,CHAP 防止了来自端点的重放攻击,使用重复校验可以限制暴露于单个攻击的时间。认证者控制验证频度和时间。
该认证方法依赖于只有认证者和对端共享的密钥,密钥不是通过该链路发送的。
虽然该认证是单向的,但是在两个方向都进行 CHAP 协商,同一密钥可以很容易的实现相互认证。
CHAP 要求密钥以明文形式存在,无法使用通常的不可回复加密口令数据库。
常见配置方法
假定由两个路由节点需要通过广域网连接,A节点的路由器为R1,B节点的路由器为R2。CHAP是单向认证的。
R1(config)#interface serial 1/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#clock rate 64000 //设置时钟频率,连接的两端须保持一致。
R1(config-if)#no shutdown
R1(config-if)#encapsulation ppp //配置封装使用ppp协议
R1(config-if)#ppp authentication chap
R1(config-if)#username test password 12345678 //配置认证使用的用户名、密码
----------------------------------------------------------------------------------------
R2(config)#interface serial 1/0
R2(config-if)#ip address 192.168.1.2 255.255.255.
R2(config-if)#no shutdown
R2(config-if)#encapsulation ppp
R2(config-if)#username test password 12345678
R2(config-if)#ppp chap password 123
R2(config-if)#ppp chap hostname ccie
3)EAP(可扩展身份验证协议)
EAP协议是使用可扩展的身份验证协议的简称,全称Extensible Authentication Protocol。是一系列验证方式的集合,设计理念是满足任何链路层的身份验证需求,支持多种链路层认证方式。
EAP协议是IEEE 802.1x认证机制的核心,它将实现细节交由附属的EAP Method协议完成,如何选取EAP method由认证系统特征决定。这样实现了EAP的扩展性及灵活性。EAP可以提供不同的方法分别支持PPP,以太网、无线局域网的链路验证。
EAP可分为四层:EAP底层,EAP层,EAP对等和认证层(EAP peer and authentication layer)和EAP方法层。
EAP底层负责转发和接收被认证端(peer)和认证端之间的EAP frames;EAP层接收和转发通过底层的EAP包;EAP对等和认证层在EAP对等层和EAP认证层之间对到来的EAP包进行多路分离;EAP方法层实现认证算法接收和转发EAP信息。基于EAP衍生了许多认证协议,如EAP-TLS [RFC5216]和EAP-pwd [RFC5931]等。其中EAP-SIM,EAP-smartcard和LEAP可以较好的适用于资源受限的设备。
根据场景形成的常见类型
- EAP-TLS:基于数字证书进行身份验证
- EAP-MDS:基于散列值进行身份验证
- EAP-PSK:提供相互身份验证,使用预先共享的秘钥生成会话秘钥
- EAP-TTLS:扩展TLS功能
- EAP-IKE2:提供相互身份验证,使用非对称或对称密钥或者密码建立会话密钥
EAP-TLS认证过程如下:
a)客户端发出EAP-start消息请求认证;
b)AP发出请求帧,要求客户端输入用户名;
c)客户机响应请求,将用户名信息通过数据帧发送至AP;
d)(AP将客户端传来的信息重新封装成RADIUSAccessRequest包发送给服务器;
e)RADIUS服务器验证用户名合法后向客户端发送数字 证书;
f)客户端通过数字证书验证服务器的身份;
g)客户端向服务器发送自己的数字证书;
h)服务器通过数字证书验证客户端的身份,至此完成相互认证;
i)在相互认证的过程中,客户端和服务器获得主会话密钥;
l)认证成功,RADIUS服务器向AP发送RADIUSACCEPT消息,其中包含密钥信息;
m)AP向客户端转发EAPSuccess消息,认证成功
虽然EAP-TLS的安全核心是验证数字证书,但是在此之前仍然需要client提供identity以供验证身份的合法性才会开始证书的双向验证,所以需要先在UI上输入identity(username).
3.2.工作在网络层VPN
IPSEC:提供加密、数据完整性和基于系统的身份验证
- 身份验证首部(AH):提供数据完整性、数据源验证和免受重放攻击的保护
- 封装安全有效载荷(ESP):提供机密性、数据源验证和数据完整性
- 互联网安全连接和密钥管理协议(ISAKMP):提供安全连接创建和密钥交换的框架
- 互联网密钥交换(IKE):提供验证的密钥材料以和ISAKMP一起使用
- 只支持IP网络
- 用于LAN网络间通信,非用户之间
3.3.工作在传输层VPN
SSL、TLS
- 工作在传输层
- 用于保护HTTP流量
- 提供细粒度的访问控制和配置
- 嵌入Web浏览器,方便部署
- 仅能保护少数协议类型
六.无线网络
1.无线通信技术
通过无线电波经由空气和空间传输信号。通常以频率和幅度来描述。信号的频率规定所传送数据的数量和距离。频率越高信号运载的数据越多。
频率越高,信号越容易受到大气层的干扰,传输距离更短。
每台设备必须与需要进行通信的其他所有无线设备共享所分配的无线电频谱。在同一时间只有一台计算机发送数据,使用CSMA/CA(冲突避免)技术; 无线设备在发送数据前,先发送一段广播,表明将要传输数据,其他设备接收到此广播后,会延迟自己发送信息的时间,以努力消除或减少冲突。
2.扩频(spread spectrum)
无线频谱(spectrum)是有限的,通过扩频,以允许无线设备访问和共享有限的通信介质。以某种方式超出分配的频率给单独信号分配频率.
发送系统一次能够使用不止一个频率,实现对有效带宽的高效利用。用于减少诸如拥挤的无线点频带、干扰和窃听等不利条件的影响.
1)跳频扩频(FHSS)
- 利用这个带宽并将其分割成更小的子通道
- 发送方和接收方在每个通道上工作一段时间,然后转移到另一个频道
- 窃听者更难侦听并修改所传输的数据
2)直接序列扩频(DSSS)
- 采用一种对消息应用子位的不同方法
- 发送系统使用子位生成一种不同的数据格式。 接收端应用这些子位将信号重新组合成原始数据格式。 这些子位称为碎片,它们的应用顺序成为碎码(chipping code)
两种技术区别
- FHHS只使用一部分有效带宽, 提供1-2Mbps带宽
- DSSS应用所有有效带宽,提供11Mbps带宽
- DSSS将信号扩大到一个更大的频率波段,FHSS仅使用窄波段载波
3)正交频分多路复用(OFDM)
- 通过无线频率信号传输更多的数据
- 一种数字多载波调整方案,将几个调整的载波紧密结合在一起,从而减少数据传输所需的带宽
- 使用大量紧密间隔的正交副载波信号,数据被分割进入几个平行的数据流或者通达,每个副载波都有一个数据流或者通道
- 应用数字电视、音频广播、DSL带宽、无线网络和4G移动通达信
3.WLAN组件
无线AP:与有线对接
无线NIC:将用户的数据调制陈哥AP能接收和处理的无线射频信号。接收AP的信号
无线AP和无线NIC组成一个基本服务集(BSS),这个组别指派一个名称,就是一个SSID值
4.无线标准
1)局域网标准
协议号 | 带宽 | 频段 | 扩频技术 | 备注 |
802.11b | 11Mbps | 2.4GHz | DSSS | 向下兼容 |
802.11a | 54Mbps | 5GHz | OFDM | 不兼容,频率大,覆盖的范围小 |
802.11e | 对QoS与多媒体流量的适当支持 | |||
802.11f | 负责无线用户漫游 | |||
802.11g | 54Mbps | 2.4GHz | 向下兼容,可以与802.11b工作。与802.11a相比 工作在更加拥挤的带宽下 | |
802.11h | 建立在802.11a之上,适用于欧洲国家 | |||
802.11j | 整合不同的标准,改善之间的互操作性 | |||
802.11n | 110Mbps | 5GHz | ||
802.11ac | 1.3Gbps | 5GHz | 向下兼容802.11a、802.11b、802.11g、802.11n。是802.11n的扩展 |
Wi-Fi 6(原称:802.11.ax),是Wi-Fi标准的名称。Wi-Fi 6将允许与多达8个设备通信,最高速率可达9.6Gbps。
2019年9月16日,Wi-Fi联盟宣布启动Wi-Fi 6认证计划。
2)城域网标准:802.16
无线个人区域网络:802.15.4
- 工作在2.4GHz
- 常工作在设备之间短距离通信
- 低成本,低带宽
3)ZigBee
250kbps
蓝牙无线技术:
提供1-3Mbps带宽
工作距离1米、10米、100米
工作在2.4GHz
攻击
蓝牙劫持(Bluejacking):通过蓝牙连接未授权的设备
采取设置为“无法发现”模式
卫星通信:先调制成无线点信号传送给卫星,通过卫星在给接收天线进行解调
5.移动无线通信
- 1G(第一代通信技术)
- 频谱 900MHz
- 使用FDMA
- 不支持消息传输(短信)、数据传输(网络)
- 只提供基本电话服务
- 1980-1994年
- 2G
- 频谱1800MHz
- 使用TDMA
- 目标传输率115-128kbps
- 仅支持文本,不支持发送图片
- 支持呼叫者ID和语音邮件
- 1995-2001年
- 3G
- 频谱2GHz
- 使用CDMA
- 支持语音,会议呼叫和低质量视频
- 支持图形和格式化文本的消息传递
- 支持数据包交换,能上网
- 目标传输速率2Mbps(3.5G时为10Mbps)
- 支持IEEE802.11或蓝牙
- 2002-2005年使用
- 4G
- 支持各种频谱
- 使用OFDM
- 提供高清视频
- 提供完全统一的消息传递
- 支持IPv6的数据传递
- 移动支持100Mbps,静止1Gbps的速度
- 支持多种方式建立连接
- 2010-至今
- 5G
- 使用3GPP
- 使用3500MHz-3600MHz频率
- 提供高达10Gbps
6.WLAN安全
WLAN使用IEEE 802.11标准。
1)使用WEP
AP通过两种方式对无线设备进行身份验证
开放系统身份验证(OSA):不要求无线设备向AP证明它有一个实现身份验证的加密密钥
无线设备只需要提供正确的SSIS值
以明文进行传输
共享密钥身份验证(SKA)
工作流程
- AP向无线设备发送一个随机值
- 无线设备用他的加密密钥对这个值进行加密,再将结果返回
- AP解密并提出响应,如果这个值与原始值相同,无线设备就通过身份验证
对传输进行加密
使用有限等效加密(WEP)
3个问题
- 使用RC4算法,一种流对称密码
- 所有人都是用一个静态加密密钥
- 初始化向量(IV)值被重复使用
- 完整性问题,攻击者能够通过移动特定的位和改变完整性校验值(ICV)来修改无线数据包中的数据
不建议使用,不安全
2)WPA
暂时密钥完整性协议(TKIP):
- 向后兼容WLAN设备
- 能够轮流应用加密密钥,有助于阻止使用静态密钥代带来的弱点
- 增加了IV值的长度,保障每一个数据帧都有一个不同的IV值
- IV值结合了传送方的MAC地址和原始WEP密钥
- 增加了加密的随机性
使用MIC处理完整性问题
使用对称密钥和散列函数
使用RC4加密
3)WPA2
使用AES算法
使用CBC-MAC计算器模式(CCM)加密保护
4)安全加固
- 改变默认的SSID
- 用户访问网络前,对其身份进行验证
- 使用对立的VLAN
- 外来用户设置不可信VLAN
- 部署无线入侵检测系统
- 部署AP只能覆盖核心区域,降低信号泄露
- 配置AP在DMZ区域
- 实现无线设备能够使用VPN
- 配置AP只允许已知的MAC地址
- 执行WLAN渗透测试
七.网络加密
1)端到端加密
- 为用户提供了决定哪些数据被加密以及如何加密的灵活性
- 每个应用程序或用户可选择特定配置
- 网络中每一跳不解密数据包,包头不加密
缺点:数据包头部、地址和路由信息不加密
2)链路加密
- 所有数据都加密
- 工作在OSI最底层
- 每一跳必须接收一个密钥,必须进行解密
八.网络攻击
1)SYN Flood
SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
2)IP欺骗性攻击
假设有一个合法用户(61.61.61.61)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为61.61.61.61,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从61.61.61.61发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户61.61.61.61再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击时,攻击者会伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击 。
3)UDP洪水攻击
攻击者利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。
4)Ping洪流攻击
由于在早期的阶段,路由器对包的最大尺寸都有限制。许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机 。
5)teardrop攻击
泪滴攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃 。
6)Land攻击
Land攻击原理是:用一个特别打造的SYN包,它的原地址和目标地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留,直到超时,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续5分钟)。
7)Smurf攻击
一个简单的Smurf攻击原理就是:通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞。它比ping of death洪水的流量高出1或2个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃 。
8)Fraggle攻击
原理:Fraggle攻击实际上就是对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP。
9)VLAN跳跃攻击(vlan hopping attacks)
VLAN跳跃攻击(VLANhopping)依靠的是动态中继协议(DTP(DYNAMICTRUNKPROTCOL))。如果有两个相互连接的交换机,DTP(DYNAMICTRUNKPROTCOL)就能够对两者进行协商,确定它们要不要成为802.1Q中继,洽商过程是通过检查端口的配置状态来完成的。
VLAN跳跃攻击充分利用了DTP(DYNAMICTRUNKPROTCOL),在VLAN跳跃攻击中,黑客可以欺骗计算机,冒充成另一个交换机发送虚假的DTP(DYNAMICTRUNKPROTCOL)协商消息,宣布它想成为中继;真实的交换机收到这个DTP(DYNAMICTRUNKPROTCOL)消息后,以为它应当启用802.1Q中继功能,而一旦中继功能被启用,通过所有VLAN的信息流就会发送到黑客的计算机上。
中继建立起来后,黑客可以继续探测信息流,也可以通过给帧添加802.1Q信息,指定想把攻击流量发送给哪个VLAN。