网络和多媒体知识(2)

6.路由选择策略

静态路由选择（不能根据网络流量和拓扑结构的变化来调整自身的路由表，也就不能找出最佳路由)：

固定式路由选择：每个网络节点存储一张表格，表格中每一项记录着对应某个目的节点的下一节点或链路，当一个分组到达某节点时，该节点只要根据分组上的地址信息，便可从固定的路由表中查出对应的目的节点及所应选择的下一节点。

洪泛式路由选择：又叫扩散法，一个分组由源站发送到与其相邻的所有节点，最先到达目的节点的一个或若干个分组肯定经过了最短的路径，其主要应用在诸如军事网络等强壮性要求很高的场合：

随机路由选择：一个分组只在与其相邻的节点中随机的选择一条转发：

动态路由选择（节点的路由选择要依靠网络当前的状态信息来决定。这种策略能较好地适应网络流量、拓扑结构的变化，有利于改善网络的性能。但由于算法复杂，会增加网络的负担)：

分布式路由选择。基本算法有距离向量算法（各节点周期性地向所有相邻节点发送路由刷新报文）和链路状态算法（各节点独立计算最短通路、能够快速适应网络变化、交换的路由信息少，复杂难以实现)：

集中式路由选择。由网络控制中心(Network Control Center,NcC)负责全网状态信息的收集、路由计算及最佳路由的实现。最简单的方法是将最新路由定期发送到网络中各节点上去混合式动态路由选择。将分布路由选择与集中路由选择、以及其它路由选择方法混合使用。

7.IP地址

分类地址格式：P地址分四段，每段八位，共32位二进制数组成。

在逻辑上，这32位P地址分为网络号和主机号，依据网络号位数的不同，可以将IP 地址分为以下几类：

其中，A类地址网络号占8位，主机号则为32-8=24位，能分配的主机个数为224-2个（注意：主机号为全0和全1的不能分配，是特殊地址）；

同理，B类地址网络号为16位，C类地址网络号为24位，同样可推算出主机号位数和主机数。

上图中红色的位数表示该位固定为该值，是每类IP地址的标识。

子网划分：

按上述划分的ABC三类，一般是最常用的，但是却并不实用，因为主机数之间相差的太大了，不利于分配，因此，我们一般采用子网划分的方法来划分网络，即

自定义网络号位数，就能自定义主机号位数，就能根据主机个数来划分出最适合

的方案，不会造成资源的浪费。

因此就有子网的概念，一般的IP地址按标准划分为ABC类后，可以进行再一步的

划分，将主机号拿出几位作为子网号，就可以划分出多个子网，此时IP地址组成为：

网络号+子网号+主机号。

网络号和子网号都为1，主机号都为0，这样的地址为子网掩码。

要注意的是：子网号可以为全0和全1，主机号不能为全0或全1，因此，主机数需

要-2，而子网数不用。

还可以聚合网络为超网，就是划分子网的逆过程，将网络号取出几位作为主机号，此时，这个网络内的主机数量就变多了，成为一个更大的网络。

无分类编址：

除了上述的分类编址外，还有无分类编址，即不按照AB类规则，自动规定网络号，无分类编址格式为：1P地址/网络号，示例：128.168.0.11/20表示的P地址为 128.168.0.11,其网络号占20位，因此主机号占32-20=12位，也可以划分子网。

特殊含义的IP地址：

8.IPv6

主要是为了解决Pv4地址数不够用的情况而提出的设计方案，IPv6具有以下特性：

IPv6地址长度为128位，地址空间增大了296倍；

灵活的IP报文头部格式，使用一系列固定格式的扩展头部取代了IPv4中可变长度的选项字段。IPv6中选项部分的出现方式也有所变化，使路由器可以简单撸过选项而不做任何处理，加快了报文处理速度；

IPv6简化了报文头部格式，加快报文转发，提高了吞吐量；

提高安全性，身份认证和隐私权是Pv6的关键特性：

支持更多的服务类型；

允许协议继续演变，增加新的功能，使之适应未来技术的发展。

层次化网络模型从下至上分为三层：

接入层：功能单一，向本地网段提供用户接入。

汇聚层：功能多样，可以有多层，包括网络访问策略、数据包的处理、过滤、寻址等中间操作。

核心层：功能单一，只负责高速的数据交换。

网络地址翻译AT:公司内有很多电脑，在公司局域网内可以互联通信，但是要访问外部因特网时，只提供固定的少量地址能够访问因特网，将公司所有电脑这个大的地址集合映射到能够访问因特网的少量IP地址集合的过程就称为NAT。很明显，使用了NAT后，一个公司只有少量固定IP地址可以上网，大大减少了IP地址的使用量。

默认网关：一台主机可以有多个网关。默认网关的意思是一台主机如果找不到可用的网关，就把数据包发给默认指定的网关，由这个网关来处理数据包。现在主机使用的网关，一般指的是默认网关。

默认网关的P地址必须与本机P地址在同一个网段内，即同网络号。

冲突域和广播域：

路由器可以阻断广播域和冲突域，交换机只能阻断冲突域，因此一个路由器下可以划分多个广播域和多个冲突域；一个交换机下整体是一个广播域，但可以划分多个冲突域；而物理层设备集线器下整体作为一个冲突域和一个广播域。

虚拟局域网VLAN:

是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样。VLAN工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较， LAN技术更加灵活，它具有以下优点：网络设备的移动、添加和修改的管理开销减少：可以控制广播活动；可提高网络的安全性。

虚拟专用网VPN:

是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式】 Frame Relay(帧中继)等之上的逻辑网络，用户数据在逻辑链路中传输。

8. 网络安全

物理层主要使用物理手段，隔离、屏蔽物理设备等，其它层都是靠协议来保证传输的安全，具体如下图所示：

SSL协议用于网银交易

三方面的服务：用户和服务器的合法性验证、加密数据以隐藏被传输的数据、保护数据的完整性。

实现过程：接通阶段——密码交换阶段（客户端和服务器之间交换双方认可的密码）—一会谈密码阶段（客户端和服务器之间产生彼此交谈的会谈密码）——检验阶段——客户认证阶段——结束阶段。

9.防火墙

防火墙是在内部网络和外部因特网之间增加的一道安全防护措施，它认为内部网络是安全的，外部网络是不安全的。

分为网络级防火墙和应用级防火墙，两级之间的安全手段如下所示：

网络级防火墙层次低，但是效率高，因为其使用包过滤和状态监测手段，一般只检验网络包外在（起始地址、状态）属性是否异常，若异常，则过滤掉，不与内网通信，因此对应用和用户是透明的。但是这样的问题是，如果遇到伪装的危险数据包就没办法过滤。

应用级防火墙，层次高，效率低，因为应用级防火墙会将网络包拆开，具体检查里面的数据是否有问题，会消耗大量时间，造成效率低下，但是安全强度高。包括双宿主主机、屏蔽主机网关、被屏蔽子网等方法。

被屏蔽子网方法，是在内网和外网之间增加了一个屏蔽子网，相当于多了一层网络，称为DMZ（非军事区），这样，内网和外网通信必须多经过一道防火墙，屏蔽子网中一般存放的是邮件服务器、WEB服务器这些内外网数据交互的服务器，可以屏蔽掉一些来自内部的攻击，但是完全来自系统内部服务器的攻击还是无法屏蔽掉。