第五章計算機網絡與因特網5.1.1計算機網絡的組成與分類

計算機網絡定義：利用通信設備、通信線路和網絡軟件，把地理上分散且各自具有獨立工作能力的計算機（及其他智能設備）以相互共享資源（硬件、軟件和數據等）為目的連接起來的一個系統。

計算機網絡系統是一個集計算機硬件設備、軟件系統、通信設施、網絡信息為一體的，能夠實現資源共享的現代化綜合服務系統。計算機網絡的3個主要組成部分若干個主機（host）一個通信子網一系列的通信協議及相關的網絡軟件

通信協議： 是通信雙方事先約定好的必須遵守的規則（例如TCP/IP），用于主機與主機之間、主機與通信子網之間、通信子網中各結點之間的通信，是計算機網絡必不可少的組成部分。數據通信資源共享實現分布式的信息處理

提高計算機系統的可靠性和可用性

按網絡的使用性質分為：公用網專用網按網絡的使用范圍和對象分：企業網政府網金融網校園網按所使用的傳輸介質分：

有線網

無線網按網中各種設備互連的拓撲結構分：

星形網

環形網

總線網樹型網網狀網混合網按所使用的協議分為：

TCP/IP網(TransmissionControlProtocol/InternetProtocol)

SNA網(SystemsNetworkArchitecture)系統網絡體系結構

IPX網(InternetworkPacketeXchange)網間分組交換按網絡所覆蓋的地域范圍分：局域網(LocalAreaNetwork，簡稱LAN)(幾千米）廣域網(WideAreaNetwork，簡稱WAN)(幾十公里到幾千公里，甚至更大的范圍)城域網（MetropolitanAreaNetwork，簡稱MAN）(一個城市)

5.1.2網絡服務與網絡軟件工作模式

對等模式(peer-to-peer)

客戶機/服務器模式(client/server)

服務器：提供共享資源(如磁盤空間、打印機、處理器)的計算機。

客戶機：使用服務器資源的計算機。指用戶通過計算機網絡在共享資源及數據通信等方面能得到的新增功能。⑴文件服務（共享存儲服務）網絡版軟件進行程序的共享

數據文件的共享⑵打印服務⑶消息服務網絡實現用戶間的相互通信，傳遞以文本、圖像和聲音所表示的消息。電子郵件服務(郵件服務器)。⑷應用服務為網絡用戶運行軟件（應用服務器）。

數據庫服務器：運行數據庫管理系統軟件。3.網絡軟件⑴網絡操作系統：擴充以按照網絡體系結構和協議所開發的軟件模塊

功能：網絡通信、網絡服務、網絡管理、網絡安全、各種網絡應用。

組成：包含服務器軟件和客戶機軟件。

通常的操作系統(如Windows98/2000/XP)有一定的網絡通信和網絡服務的功能。安裝Windows98的計算機，相互連接可構成對等式網絡。在客戶機/服務器模式的網絡中，安裝Windows98的計算機一般只能作為客戶機，作為服務器使用的計算機必須安裝專門的網絡操作系統，例如，UNIX、Linux、WindowsNTServer⑵網絡應用軟件大多數為單機工作方式設計的應用軟件都可以安裝在網絡服務器上運行，如常用的文本處理軟件、電子表格軟件，繪圖軟件等。5.2.1局域網的特點與組成

1.計算機局域網定義LocalAreaNetwork，簡稱LAN 較小地域范圍(10公里范圍內)內的計算機網絡。一般是一幢建筑物內或一個單位幾幢建筑物內，使用專用的高速通信線路，把多臺計算機互連成網。局域網常見于公司，學校，政府機構。

主要特點：·為一個單位所擁有，地理范圍有限；·使用專用的共享的傳輸設備，數據傳輸效率高(10Mbps?1Gbps)；·通信延遲時間較低，可靠性好。組成:工作站(含網絡接口卡)、服務器(含網絡接口卡)、網絡打印機、傳輸介質、網絡互連設備(例如：集線器，交換機)等。網絡工作站網絡接口卡共享的傳輸介質網絡打印機網絡服務器ethernet網絡工作站一臺獨立的計算機,使用電纜或其他通信介質與一個局域網進行了連接時，它就成為網絡上的一個工作站，使用這臺計算機的用戶就成了一個網絡用戶。 工作站本身所具有的硬盤、光盤、程序、數據、打印機等都是該用戶的本地資源，網絡上其他工作站和服務器的資源稱為網絡資源。網絡服務器網絡上為所有用戶(工作站)提供軟件、數據、外設及存儲空間的計算機。根據其提供的服務可以將服務器分為：文件服務器(提供程序和數據)應用服務器(執行應用軟件，并回送結果)打印服務器(為工作站完成打印任務)

有些網絡服務器不僅為網絡用戶提供共享資源，而且還具有網絡的管理功能。網絡打印機

為所有網絡用戶提供打印服務的一臺共享的打印機。通常它有一個打印隊列，各個工作站發送來的打印文件均存儲在打印隊列中，然后逐個進行打印。打印隊列由打印服務器管理，打印服務器可以與文件服務器是同一臺計算機，也可以是連接在網上的另一臺專門的計算機。局域網的組成(2)結點（node）網絡上的每一臺設備，包括工作站、服務器以及打印機等都稱為網絡上的一個結點。網卡（網絡適配器）網絡上的每一個結點都有一塊網絡接口卡（簡稱網卡）。網卡和電纜負責把結點與網絡連接起來，將需要發送的數據從計算機傳送到網絡，需要接收的數據從網絡傳送到結點。

不同類型的網絡使用不同類型的網卡。網絡適配器(網卡)用以傳輸數據的傳輸介質用以連接各種設備的網絡拓撲結構對于共享資源(傳輸介質)的介質訪問控制方法局域網的分類按照使用的傳輸介質可分為：有線網，無線網按照網中各種設備互連的拓撲結構可分為：星型，環型，總線型，樹型，混合型按照所使用的介質訪問控制方法可分為：以太網、交換式局域網、標記環網、FDDI網等網絡傳輸介質

數據傳輸的信道。是局域網中各結點共享的資源。有線局域網通過專門鋪設的電纜（光纜，同軸電纜，雙絞線）把節點相連。無線局域網通過無線電或紅外線進行數據傳輸。介質訪問控制方法帶沖突檢測的載波偵聽多路訪問(CSMA/CD)方法（總線結構局域網使用）以太網采用此方法標記環法（環形結構局域網使用）計算機局域網主要特點地理范圍有限網絡中多臺計算機共享一個傳輸介質，數據傳輸速率高(10Mbps～1Gbps)能按廣播方式或組播方式通信通信延遲時間較低，可靠性較好(10-8～10-11)5.2.2常用局域網簡介

1.以太網（總線型拓撲結構）

2.交換式局域網

交換式以太網

ATM交換式局域網

3.光纖分布式數字接口網

FDDI（環形拓撲結構）

1.以太網（Ethernet）拓撲結構：總線結構

終端器終端器以太網拓撲結構示意圖以太網（Ethernet）(2)以太網物理結構(小型)物理結構：以集線器為中心，網絡中的每個結點通過網卡和網線（一般是5類雙絞線）連接到集線器。以太網（Ethernet）集線器集線器集線器集線器集線器以太網物理結構（中、大型）以太網（Ethernet）(3)集線器：簡稱Hub，用來連接網絡中各個結點基本功能: 把一個端口接收到的信息向所有端口分發出去，能對接收到的信號進行放大，以擴大網絡的傳輸距離，起著中繼器的作用以太網（Ethernet）(4)通信方式：

廣播方式通信。一個結點發送的信息，可以送達網上的所有其他結點。結點之間傳輸數據時，計算機必須把數據分成一個一個幀（frame），每個結點每次只能使用總線傳輸一個幀，然后把總線的使用權交出來，這樣就可以讓所有結點公平地使用總線。以太網（Ethernet）(5)介質訪問控制方法：帶沖突檢測的載波偵聽多路訪問(CSMA/CD)方法，由網卡來完成，以保證在結點相互通信時任何時候只有一個結點發送信息。

載波偵聽：發送信息之前先對總線偵聽，判斷是否空閑

沖突檢測：發送信息時檢測是否有沖突發生以太網（Ethernet）介質訪問地址（簡稱MAC地址）：為實現總線上任意兩個結點之間的通信，局域網中的每個結點的網卡都有的一個唯一的地址(48位二進制數)。當發送結點發送一幀信息時，幀中必須包含自己的MAC地址和接收結點的MAC地址。每次通信時，連接在總線上的所有結點的網卡都要檢測信息幀中的MAC地址，來決定是否應該接收該信息幀。信息幀的接收方，可以是一個結點，也可以是一組結點（稱為組播），甚至是網絡上所有其他的結點（稱為廣播）。以太網（Ethernet）(6)信息幀的格式：CRC發送的數據幀類型發送結點MAC地址接收結點MAC地址同步碼

8B6B 6B2B 46~1500B 4B幀頭部幀數據區以太網（Ethernet）(8)總線結構以太網的特點：以太網總線的最高數據傳輸速率為：10Mbps（10BASE-T）100Mbps（100BASE-T）(快速以太網)1Gbps（千兆位）(千兆位以太網)2.交換式局域網⑴交換式以太網拓撲結構：星形結構物理結構：以以太網交換器為中心，網絡中的每個結點通過網卡和網線連接在交換器上，并通過交換器進行相互通信。交換器從發送結點接收數據后，直接傳送給指定的接收結點，不向任何其他結點傳送數據。交換器交換器交換式以太網(2)以太網交換器（交換式集線器） 其基本組成部件是電子交換器，采用一個純粹的交換系統代替傳統集線器的共享介質中繼網段。連接在交換器上的每一個結點各自獨享一定的帶寬（10Mb/s或100Mb/s）。

⑵ATM交換式局域網

(AsynchronousTransferModel)

使用ATM交換機構建的局域網。

ATM交換機： 采用ATM交換技術，它既能 提供分組交換方式的常規 數據傳輸服務，又能提供

電路交換方式的實時數據 傳輸服務（如音頻、視頻 等應用），數據傳輸速率 高（每個端口獨享155Mbps或622Mbps），能方便地與ATM廣域網進行互連。ATM局域網一般用作校園網或企業網的骨干網。3.光纖分布式數字接口網（FDDI）

(FiberDistributedDataInterface)

FDDI拓撲結構：環型，雙環結構，每個設備可以掛接到兩個環路結點上 環上的結點依次獲得對環路的訪問權。為提高可靠性，FDDI采用雙環結構(分別稱為主/副環)，主環支持正常情況下的數據傳輸工作，副環作為—種冗余設施，保證在主環故障或者結點故障時環路仍然可以正常地工作。光纖傳輸線FDDI網的雙環結構光纖分布式數字接口網（FDDI）（2）FDDI使用的傳輸介質：光纖 傳輸速率為100Mb/s。由于光纖特有的低損耗特性，使得線路的不間斷距離增大，可用于長距離通信。多模光纖可達2km，單模光纖可達100km。具有高可靠性，數據傳輸的保密性。光纖分布式數字接口網（FDDI）（3）

FDDI網絡可以覆蓋較大的范圍，能支持較高的數據傳輸速率(100Mb/s)，實用中常用于構造局域網的主干部分，它把許多不同部門的局域網互相連接起來。由于FDDI的幀格式和其他常用局域網的幀格式不同，因此與其他局域網進行互連時，需要通過網關或路由器才能實現。FDDI網以太網以太網4.無線局域網

（WirelessLocalAreaNetwork，WLAN）局域網與無線通信技術相結合的產物。采用紅外線（IR,Infrared）或者無線電波（RF,RadioFrequency射頻）進行數據通信，能提供有線局域網的所有功能，同時還能按照用戶的需要方便地移動或改變網絡。無線電波作為無線局域網的傳輸介質是目前用得最多的，它使用的無線電波頻段主要是S頻段（～），它覆蓋范圍廣，使用擴頻方式通信時，抗干擾、抗噪聲、抗衰落能力強，通信安全，基本避免了通信信號的偷聽和竊取，具有很高的可用性。無線局域網（2）無線局域網實現無線通信的設備：無線網卡、無線HUB、無線網橋等無線接入點無線接入點集線器無線局域網（3）無線局域網采用的協議主要有：藍牙（）無線局域網（4）無線局域網技術的優點：具有很好的靈活性，最大通信范圍可達到幾十公里無線局域網的組建、配置和維護較容易無線局域網技術的缺點：無線局域網還不能完全脫離有線網絡，它只是有線網絡的補充產品比較貴傳輸速度較慢(目前還達不到2Mbps)局域網軟件局域網的工作模式：對等（peer-to-peer）模式網絡中的每臺PC機既可以作為工作站也可以作為服務器客戶/服務器模式網絡中每一臺計算機都扮演著固定的角色，要么是服務器，要么是客戶機。扮演服務器角色的大多是一些專門設計的高性能的硬件，如文件服務器、打印服務器、數據庫服務器等。局域網軟件（3）應用于客戶/服務器模式的網絡操作系統包含兩個部分：服務器軟件

安裝在服務器上，用于控制對服務器硬盤的訪問，維護與管理打印隊列，監測與記錄用戶的操作等例如：UNIX、LINUX、WindowsNTServer、WindowsXPServer、NetWare客戶機軟件

安裝在每個工作站上，當工作站啟動運行后，它將負責建立與網絡上其他結點的連接，發出服務的請求，并接受其他結點的服務。例如：Windows98、Windows2000局域網軟件(5)現代操作系統都具有一定的網絡通信和網絡服務功能。例如安裝了Windows98操作系統的計算機，它們可以互相連接構成一個對等模式網絡（只提供文件共享和打印共享兩種服務）。

5.2.4局域網的擴展與互連

局域網擴展與互連所使用的設備中繼器網橋

中繼器（Repeater）：也稱轉發器。把接收到的信號整形放大后繼續進行傳送，起到一個信號“接力”的作用。用于連接同類型的兩個局域網或者延伸一個局域網的范圍，當安裝一個局域網而物理距離又超過了線路的規定長度時，就可以用它進行延伸。中繼器工作在網絡的物理層，只放大信號，不能隔離不同網段之間不必要的網絡數據流量，但結構簡單，價格便宜，安裝容易。使用中繼器進行互連(2)

一般的中繼器只能用于連接兩個距離較近的以太網，使用光纖中繼器再加上光纖傳輸線路則可以連接兩個距離相隔較遠的局域網。網橋（Bridge）：用來連接兩個同類型的網段，比中繼器多了“幀過濾”功能.

過濾幀:網橋檢查每一信息幀的發送地址和目的地址。如果這兩個地址都在網橋的同一網段，該幀就不會被網橋發送到另一個網段，只有在信息幀的發送地址和目的地址不在同一網段的情況下，網橋才把該幀轉發給另一個網段。降低整個網絡的通訊負荷。網橋工作在網絡的鏈路層（實現兩個網絡鏈路層的互連）。通信子網路由器傳輸線局域網家庭用戶4.3計算機廣域網廣域網的本質特征：可以將任意距離的任意多的計算機進行互連。廣域網物理上由兩部分組成：資源子網通信子網廣域網特點：包含通信子網具有路由選擇功能點到點的通信方式廣域網(2)資源子網：運行用戶程序的主機（也稱數據終端設備，例如PC機、服務器、大型計算機、工作站、智能終端等），既是網絡中的數據處理系統，也是網絡中數據通信系統的信源或信宿，負責發送信息、接收信息與處理信息。廣域網(3)通信子網：進行數據通信的子網，是網絡中的數據通信系統，主要任務是實現計算機之間的數據傳輸。通信子網組成：傳輸線也稱線路、信道或干線，負責在交換單元之間傳送數據交換單元一種特殊的計算機，用于連接數據傳輸線。交換單元可以是分組交換節點或路由器等設備廣域網(4)構建廣域網的技術基礎：高速遠程數字通信干線本地網/用戶接入技術分組交換與路由技術4.3.2廣域網接入技術

1.撥號接入 家庭用戶利用本地網通過調制解調器撥號接入廣域網。調制解調器(MODEM)的組成與功能：調制器(Modulator)：數字信號→模擬信號解調器(DEModulator)：模擬信號→數字信號計算機MODEM本地環路電話局計算機網絡模擬信號數字信號數字信號MODEM撥號接入MODEM的傳輸速率：每秒鐘可傳送的數據量。目前主流產品速率是56K（協議），在實際使用過程中，由于線路的質量不佳，或網絡服務提供商不能提供足夠的帶寬，或者所連接的網絡發生擁塞等原因，都會使得傳輸速率降低。MODEM的類型：外置式內置式PCMCIA插卡式撥號接入撥號接入方式的缺點：網采用傳統的電路交換，每一條話路的帶寬是64K，建立在此基礎上的MODEM傳輸機制，發展到極限的也不過是56K的下傳速率,其中還包括控制信令部分,真正有效的數據還要少，線上傳送的是模擬信號，受外界電磁環境的干擾比較大。握手時間長，下載速度慢，容易掉線。2.綜合業務數字網(ISDN)通過普通的本地環路向用戶提供數字語音和數據傳輸服務。ISDN使用與模擬信號系統相同類型的雙絞銅線但卻提供端到端的數字通信線路，這是它與網的最大不同。ISDN通過標準的“用戶-網絡接口”（UNI），將各類不同的終端設備（PC機、機、機等）接入到ISDN網絡中。PC機接入ISDNISDN入戶線插口網絡終端NT1plusISDN內置適配卡綜合業務數字網(ISDN)(2)ISDN“用戶-網絡接口”有兩類：基群(一次群)速率接口PRI又稱作B-ISDN、“寬帶ISDN”包括30個B通道(數據通道)和一個D通道(信令通道)，30個B通道和D通道均為64Kbps(稱為30B+D)，可提供2Mbps的數據通信速率，為單位用戶的局域網與遠程廣域網互連提供了支持基本速率接口BRI又稱作N-ISDN、“窄帶ISDN”，俗稱“一線通”包括兩個B通道(速率為64Kbps)和一個D通道(16Kbps)用作控制信道)(稱為2B+D)，用戶使用一條線就能實現兩路數據傳輸。可以一邊上網,一邊同時打。如果2個通道都用作數據傳輸,則可提供速率為128Kbps的數據通信。3.不對稱數字用戶線技術（ADSL）數字用戶線(DSL)技術：通過本地環路提供數字服務的新技術中最有效的類型之一。這種類型有多種變化，名稱只在前幾個字上不同，因此它們被統稱為xDSL。不對稱數字用戶線(ADSL)：提供了高速發送和接收數字信息的能力。ADSL是一種為接收信息遠多于發送信息的用戶而優化的技術,為下行數據流提供比上行流更高的傳輸速率。數據上傳速度:640Kbps-1Mbps數據下行速度:1Mbps-8Mbps(理想狀態下最大可達10Mbps）不對稱數字用戶線技術（ADSL）(2)ADSL的安裝：專門為ADSL申請一條單獨的線路。在已有的線上改造。需配置:一個ADSLMODEM，計算機中需安裝10M/100M的以太網網卡，網卡與ADSLMODEM之間用雙絞線連接，設置有關參數。電話ADSL用戶插口PC機10Base-T以太網卡(住戶)ADSLMODEM電話交換機數字通信線路(電話局）ADSLMODEMADSLMODEM與PC機的連接雙絞線同軸電纜光導纖維（光纜）4.電纜調制解調技術（CableMODEM）

利用有線電視網高速傳送數字信息的技術。雙絞線的缺點：電氣特性使數據傳輸速度受到較大的限制缺少屏蔽易受干擾，從而降低了數據通信的性能同軸電纜（有線電視系統的傳輸介質）的優點：具有很高的容量抗電子干擾能力強使用頻分多路復用技術來同時傳送多個電視頻道由于有線電視系統的設計容量遠高于現在使用的電視頻道數目，未使用的帶寬(即頻道)可被用來傳輸數據電纜調制解調技術（2）使用CableMODEM傳輸數據時，將同軸電纜的整個頻帶劃分為3部分，分別用于：數字信號上傳，使用的頻帶為5～42MHz數字信號下傳，使用的頻帶為550～750MHz電視節目(模擬信號)下傳，使用的頻帶為50～550MHz，

數字信號和模擬信號可以同時傳送，互相不會發生沖突上傳數據和下載數據時的速率是不同的：數據下行傳輸速率：36Mb/s上傳信道傳輸速率：320kb/s～10Mb/s電纜調制解調技術（3）

采用頻分多路復用技術，將下傳和上傳的頻帶提供給多個用戶共享。每個用戶都需要一對調制解調器（一個調制解調器置于有線電視中心，另一個裝在用戶站點上)。這一對調制解調器必須調到相同的載波頻段，與電視信號一起在電纜上多路復用。 在一個大的都市地區，有線電視可能有百萬計的用戶，不可能為每個用戶分配一個獨立的載波頻段，因此頻分多路復用方法不具備可擴展性，需要在采用頻分多路復用技術的基礎上再采用時分多路復用技術。電纜調制解調技術（4）優點：集調制/解調功能、加密/解密功能、網卡及集線器等功能于一身無須撥號上網，不占用線，可永久連接理論上沒有距離限制，它覆蓋的地域很廣缺點：CABLEMODEM帶寬充足（最高速率可以達到36Mbps），但它屬于共享式的總線型網絡，同一個接入點如果上網的用戶增多，每一個用戶能分配的帶寬很有限，使數據傳輸速率不夠穩定。我國有線電視網用戶已達8000多萬，發展CableMODEM有多方面的有利條件。但現有的有線電視網都是單向廣播式，有線電視網要實現INTERNET接入，必須進行雙向改造，這項工程的投資是巨大的。電纜調制解調技術（5）

使用“光纖-同軸混合”線路（HFC：HybridFiberCoaxial）改造有線電視網絡，把干線全部更換為光纖，保留現存的同軸電纜連接用戶，在光纖和同軸電纜之間加入新的接口設備，并將所有放大器改造為雙向工作。當然，改造需要大量的投資。

使用光纖作為主要傳輸介質的遠程網接入系統。在交換局一側，應把電信號轉換為光信號，以便在光纖中傳輸，到達用戶端時，要使用光網絡單元（ONU）把光信號轉換成電信號，然后再傳送到計算機。交換局光網絡單元用戶終端光纖接入網示意圖光信號電信號電信號光纖接入網（2）光纖接入網分類： 按照主干系統和配線系統的交界點——光網絡單元（ONU）的位置可劃分為：光纖到路邊（FTTC）光纖到小區（FTTZ）光纖到大樓（FTTB）廣域網與局域網的本質區別是網絡的規模而不是距離局域網：發送方計算機把數據包通過一個共享介質或一個交換機發送給接受方計算機。通過衛星網橋可以用來連結一個局域網內任意距離的兩個網段，然而帶寬的限制決定了它不能連接任意多個場地的任意多臺計算機廣域網：由許多交換機以及連接到交換機的許多計算機構成。發送方計算機發送的數據包通過若干臺交換機到達接受方計算機。廣域網則能按需要連接距離較遠的許多場地，每個場地內有許多計算機，并能使得大量計算機相互之間能同時通信。4.3.3分組交換與路由

廣域網每一臺計算機都連接到交換機上。 計算機需要傳輸的信息預先都劃分為若干個數據包，以包為單位在網絡中傳輸，到達目的地計算機后，再把這些包拼裝恢復為原先的形式。 廣域網中的交換機稱為分組交換機或包交換機(packetswitch)，它負責對數據包在站點之間的存儲轉發。 廣域網的擴充：可加入其他的交換機或計算機。分組交換與存儲轉發交換機的基本工作模式：存儲轉發。 即每當交換機收到一個包后，檢查該數據包的目的地地址，決定應該送到哪個端口進行發送。 考慮到往往會有許多包必須在同一端口發送，包交換機的每個端口都有一個緩沖區（隊列），需要從該端口發送的所有數據包都存放在該端口的緩沖區中，端口每發送完一個包，就從緩沖區隊列中提取下一個包進行發送。

連接在廣域網上的每臺計算機都有一個地址。當一臺計算機發送一個數據包到另外一臺計算機去時，必須在數據包中包含目的計算機的地址。廣域網中計算機的編址方案（兩層地址）：計算機連接到的交換機編號+該計算機編號廣域網中計算機的物理編址（2）數據包的選路轉發與路由表：包交換機每收到一個包時，必須選擇一條路徑來轉發這個包。如果包的目的地是直接與之相連的一臺計算機，包交換機就將包發往該計算機。如果包的目的地是另一個包交換機上的計算機，就應通過連接該交換機的高速數據線路轉發給另一臺交換機。每一臺交換機都必須有一張路由表，用來給出目的地地址與輸出端口的關系。廣域網中計算機的物理編址(5)默認路由：路由表中重復的項會增加搜索路由表的時間。為了消除這種重復的路由，可以采用一個項來代替路由表中許多具有相同下一站的項，這稱為默認路由。

目的地下一站1－*(1,3)目的地下一站2－4(2,4)*(2,3)目的地下一站1(3,1)2(3,2)3－4(3,4)目的地下一站2(4,2)4－*(4,3)（b）交換機1（c）交換機2（d）交換機3（e）交換機4使用默認路由的路由表4.3.4常用廣域網不同廣域網的差異：采用的數據包格式不同地址格式不同相互連接的數據通信線路不同應用不同常用廣域網

⑴網——公共分組交換網

⑵幀中繼(交換)網

(FrameRelay)

⑶SMDS(交換多兆位數據服務)

(SwitchedMulti-megabitDataService)

⑷ATM(異步傳輸模式)

(AsynchronousTransferMode)常用廣域網(2)（1）網——公共分組交換網特點：使用公共網以分組交換方式進行數據傳輸由于信道質量較差，所以它在糾正信道差錯方面考慮比較周全，處理比較復雜，從而網絡延遲較大傳輸速率一般小于64Kb/s主要用于速度要求不高、數據傳輸量不大的業務用戶可以用專線或通過撥號方式接入分組網常用廣域網(3)（2）幀中繼(FrameRelay)網 幀中繼交換網，是分組網的改進方案特點： 使用光纖作為傳輸介質，一方面提高了信道的傳輸速率，另方面光纖通信的高可靠性使網中的差錯處理等得到了簡化，降低了傳輸延遲 分組（稱為幀）長度至少有1600字節,有些可達到8K字節，比分組網的128字節幀長要長的多,使交換機的開銷大大減少，適合計算機通信的需求 傳輸速率可以達到2Mbps常用廣域網(4)(3)SMDS(SwitchedMulti-MegabitDataService)

交換多兆位數據服務的簡稱，是遠程線路運營商提供的另一種高速廣域網數據服務。特點：對遠程數據傳輸進行了優化將數據包頭部開銷減到最小，并使每個包能裝多達9188字節的數據把信息切割成固定長度（53字節）的信元在網上傳輸）提供了一種虛擬專用網（VPN）的能力，使訪問通路只為一個用戶所專用，沒有人可以訪問其他人的信息，提供了像專用網絡那樣的安全性SMDS網絡的工作速度高于幀中繼常用廣域網(5)（4）ATM(AsynchronousTransferMode)

異步傳輸模式，是一種重要的廣域網技術。特點： 試圖設計一種單一的技術在廣域內提供語音、動態圖像和數據服務，其中包的尺寸是關鍵問題之一。ATM把數據分成較小的固定大小的包，稱為信元(cell)，每個ATM信元包括53個字節（5個字節的頭部信息，48個字節的數據） ATM網交換機有多個端口，每個端口可連接另一臺交換機或者一臺計算機 多數ATM網使用光纖作為通信介質。例如，ATM交換機上的一個典型端口其運行速率為OC-3(155Mbps)或者更高。4.4因特網及其應用4.4.1網絡互連與TCP/IP協議網絡互連需要解決的問題：不同的網絡技術使用互不兼容的包格式和編址方案。為了把許多不同類型的物理網絡連成一個統一的網絡，必須解決統一編址、包格式轉換等問題。計算機網絡中各個組成部分相互通信時都必須認同的一套規則，也稱為通信協議。網絡協議：計算機網絡中各個組成部分相互通信時都必須認同的一套規則，也稱為通信協議。例如：數據包（或幀）的格式與含義等實現這些規則的軟件稱為協議軟件。通信是一個很復雜的過程，一般都把通信問題劃分為許多子問題，然后為每個子問題設計一個單獨的協議，這樣做使得每個協議的設計、分析、實現和測試都比較容易。網絡體系結構網絡體系結構=網絡的層次結構+網絡協議2種網絡體系結構·開放系統互連參考模型（OSI/RM）

·TCP/IP開放系統互連參考模型（OSI/RM）

（OpenSystemInterconnection/ReferenceModel)

7層：

應用層：與用戶應用進程的接口(做什么？)

表示層：數據格式的轉換(對方看起來像什么？)

會話層：會話的管理和數據傳輸的同步

(輪到誰講和從何處講？)傳輸層：從端到端經網絡透明地傳輸報文(對方在何處？)網絡層：分組傳輸和路由選擇(走哪條路可到達該處？)

數據鏈路層：在鏈路上無差錯地逐幀傳輸信息(每一步應怎么走？)

物理層：將比特流送到物理介質上傳送(對上一層的每一步該怎樣利用物理介質？)TCP／IP協議標準將計算機網絡中的通信問題劃分為4個層次的模型:應用層傳輸層網絡互連層網絡接口和硬件層TCP／IP的分層結構：

應用層傳輸層（TCP或UDP）網絡互連層網絡接口和硬件層4321如電子郵件、HTML文檔等應用數據TCP數據報或UDP數據IP數據報如以太網信息幀或ATM信元OSI高層傳輸層網絡層物理層SMTP,FTP,Telnet協議

TCP／IP協議：目前在網絡互聯中用得最為廣泛的協議。TCP／IP是一個協議系列，包含了100多個協議。TCP／IP中兩個最基本最重要的協議：TCP(TransmissionControlProtocol，

傳輸控制協議)IP(InternetProtocol，網際協議)地址主機：hostcomputer，任何連接到網絡并運行應用程序的計算機。主機的機型不限，內存容量可大可小，CPU可快可慢、網絡速度可高可低。TCP／IP使得任何一對主機都可以相連，并進行數據通信。主機和路由器都需要運行TCP／IP協議軟件。主機的IP地址：在互連網中，為了實現計算機相互通信，必須為每一臺計算機分配一個唯一的地址(IP地址)。在網絡上發送的每個包中，都必須包含發送方主機(源)的IP地址和接收方主機(目的地)的IP地址。每個IP地址使用32個二進數位（4個字節）表示IP地址的組成：地址類型號網絡號（net-id）：用來指明主機所從屬的物理網絡的編號主機號（host-id）：主機在物理網絡中的編號IP地址的分類及格式：主機號網絡號001238

16

2431主機號網絡號01主機號網絡號011組播地址0111備用1111A類B類C類D類E類網址分類方案：A類地址用于擁有大量主機（≤16777214）的網絡，只有少數幾個網絡可獲得A類地址。IP地址的特征是其二進制表示的最高位為“0”B類地址用于規模適中的網絡（主機臺數≤65534）。IP地址的特征是其二進制表示的最高兩位為“10”C類地址用于主機數量不超過254臺的小網絡，IP地址的特征是其二進制表示的最高3位為“110”每一個IP地址由如下的三個部分構成：IP地址＝地址類型號+網絡號+主機號IP地址的表示：二進制表示：十進制表示：XXX.XXX.XXX.XXX（XXX取值范圍：0-255）例如：8A類地址，首字節0~127 8B類地址，首字節128~191 2C類地址，首字節192~223入網：用戶需申請并獲得IP地址授權機構分配的IP地址。實際上授權機構只是分配一個類型號和網絡號。組網者再對子網內的每一臺主機指定一個主機號，從而構成了網絡中每一臺計算機的IP地址。從不分配給任何主機使用的特殊IP地址：網絡地址：主機地址每一位都為“0”的IP地址。用來表示整個一個物理網絡，它指的是物理網絡本身而不是連到該網絡上的計算機。直接廣播地址：主機地址每一位都為“1”的IP地址。當一個包被發送到某個物理網絡的直接廣播地址時，這個包將送達該網絡上的每一臺主機。數據報

互連網中的各個物理子網使用的數據包（或信息幀）的格式可能是互不兼容的，因此不能直接將一個子網絡送來的包傳送給另一個子網絡。為了克服這種異構性，IP協議定義了一種獨立于各種物理網的數據包的格式，稱為IP數據報（IPdatagram）。版本號頭部長度服務類型數據報總長度發送數據報的計算機的IP地址（源IP地址）接收數據報的計算機的IP地址（目的地IP地址）數據開始……03478151631頭部數據區IP數據報組成：頭部主要是為了確定在網絡中進行數據傳輸的路由包括：發送數據報的計算機的IP地址 接收數據報的計算機的IP地址 IP協議的版本號（目前的版本是第4版，簡稱IPv4） 頭部長度（以32位為單位指出數據報頭部的長度） 數據報長度（頭部長度加上數據部分的長度） 服務類型（指明發送數據的計算機對數據傳輸的要求）數據區數據部分的長度可以根據應用而改變，數據量最小的時候也許只有1個字節（例如傳送鍵盤上輸入的一個字母），最大的時候可以達到64KB（包括頭部信息在內）路由器(router):用于連接異構網絡的基本設備。是一臺用于完成網絡互聯工作的專用計算機，可以把局域網與局域網、局域網與廣域網或兩個廣域網互相連接起來，被連接的這兩個網絡不必使用同樣的技術。路由器可以連接2個甚至多個物理網絡，因此，每個路由器應分配2個或多個IP地址。路由器每個端口的IP地址必須與相連子網的IP地址具有相同的子網地址。75以太網FDDI網.0廣域網FDDI網R1R2AB路由器與IP地址路由器任務:

將一個網絡中源計算機發出的IP數據報轉發到另一個網絡中的目標計算機。 由于不同類型物理網絡使用的幀格式和編址方案各不相同，路由器收到一個IP數據報后，它需要完成：路由選擇、幀格式的轉換、IP數據報的轉發等任務。例：準備IP數據報→地址解析→封裝以太網幀格式→路由器取IP數據報→地址解析→封裝FDDI幀格式→IP數據報發送到目的地計算機。（對照上圖）

4.4.2因特網（Internet）Internet是最大的計算機互連網，它使用TCP/IP協議將遍布世界各地的計算機網絡互連成為一個超級計算機網絡。Internet的發展 Internet起源于美國國防部ARPANET計劃，后來與美國國家科學基金會的科學教育網合并。1990年代起，美國政府機構和公司的計算機也紛紛入網，并迅速擴大到全球約100多個國家和地區。據估計，目前因特網已經連接數百萬個網絡，上億臺計算機，用戶數目超過億。Internet在美國分為三個層次：底層為大學校園網或企業網，中間層為地區網，最高層為全國主干網(如NSFnet，NationalScienceFoundationNetwork)。它們連通了美國東西海岸，并通過海底電纜或衛星通信等手段連接到世界各國。Internet是一種異構的計算機網絡，凡是采用TCP/IP協議，并且能與Internet中的任何一臺主機進行通信的計算機，都可以看成是Internet的一部分。Internet采用了目前分布式網絡最為流行的客戶機/服務器工作模式，大大增強了網絡信息服務的靈活性。理論上，Internet的IP地址空間可以包含200多萬個各類網絡，36億臺主機，每一臺主機都有一個IP地址。IP地址是用4個十進制數字來表示的，它不便于人們記憶和使用。因此，更合適的方法是使用具有特定含義的符號來表示因特網中的每一臺主機，當然，符號名應該與各自的IP地址對應。當用戶訪問網絡中的某個主機時，只需按名訪問，而無需關心它的IP地址。例如，是南京大學的

WWW服務器主機名（對應的IP地址為），因特網用戶只要使用就可訪問到該服務器。為了避免主機名字的重復，因特網將整個網絡的名字空間劃分為許多不同的域，每個域又劃分為若干子域，子域又分成許多子域，所有入網主機的名字即由一系列的“域”及其“子域”組成，子域的個數通常不超過5個，并且子域之間用“.”分隔，從左到右級別逐級升高，一般為:計算機名、網絡名、機構名、最高域名例如：表示中國(cn)教育科研網(edu)中的南京大學校園網(nju)內的一臺計算機。因特網主機名字的命名樹

根miledugovcomnetorgintcn……ukacedu……netnjuseutsinghua……pku主機域名:因特網中主機的符號名就稱為它的域名。域名使用的字符可以是字母、數字和連字符，但必須以字母或數字開頭并結尾。整個域名的總長不得超過255個字符。第1級域名:除美國以外，其他國家一般采用國家代碼作為第1級域名，美國通常以機構或行業名作為第1級域名。一臺主機只能有一個IP地址，但可以有多個域名(用于不同的目的)。主機從一個物理網絡移到另一個網絡時，其IP地址必須更換，但可以保留原來的域名。域名系統(DomainNameSystem，DNS)：把域名翻譯成IP地址的軟件。域名服務器(DomainNameServer)：運行域名系統的主機。為了實現域名的查找，需要在域名服務器之間建立許多指針(Pointer)。4.4.3因特網提供的服務因特網由大量的計算機和信息資源組成，它為網絡用戶提供了非常豐富的功能（也將其稱為服務）。因特網提供的服務：電子郵件（E-mail）文件傳輸（FTP）遠程登錄信息服務（WWW）BBS，專題討論，在線交談游戲等電子郵件（E-mail）：每個因特網用戶經過申請，都可以成為電子郵件系統的用戶，他們都有一個屬于自己的電子郵箱。網上的所有用戶均可向郵箱中發送郵件，但只有郵箱的所有者才能檢查、閱讀或刪除該郵箱中的郵件。每個電子郵箱都有一個唯一的郵件地址郵件地址的組成：郵箱名@郵箱所在的主機域名 例如，是一個郵件地址，它表示郵箱的名字是zhang，郵箱所在的主機是。使用這種方法來標識電子郵件地址時，發送郵件的計算機只要使用郵件地址中的第2部分來確定郵件應該送達的計算機，收到郵件的計算機則使用地址中的第1部分來選擇郵箱，并將郵件放進去。郵件服務器：用戶所在的計算機子網中專門用來存放所有郵箱的計算機。電子郵件一般由3個部分組成：郵件的頭部(header)：包括發送方地址、接收方地址（允許多個）、抄送方地址（允許多個）、主題等郵件的正文(body)：信件的內容郵件的附件：附件中可以包含一組文件，文件類型可以任意MIME(多用途Internet郵件擴充協議）(Multi-purposeInternetMailExtension)：為了讓用戶能使用任意的編碼書寫郵件正文，現在的郵件系統都使用MIME規程，它在郵件頭部和正文中都增加了一些說明信息，說明郵件正文使用的數據類型和編碼。郵件接收方則根據這些說明來解釋正文的內容。MIME還允許發送方將正文的信息分成幾個部分，每個部分可以指定不同的編碼方法。這樣，用戶就可以在同一信件正文中既發送普通文本又附加圖像了。MIME的主要優點：靈活性，它允許使用任何一種新的編碼方式，只要發送方和接收方都使用同一名字并能對該編碼進行解釋即可。使用電子郵件的用戶應安裝一個電子郵件程序（例如OutlookExpress），該程序由兩部分組成：郵件的讀寫程序：負責撰寫、編輯和閱讀郵件郵件傳送程序：負責發送郵件和從郵箱取出郵件發送郵件：郵件傳送程序必須與遠程的郵件服務器建立TCP連接，并按照SMTP(SimpleMailTransferProtocol，簡單郵件傳輸協議)傳輸郵件，若接收方郵箱在服務器上確實存在，才進行郵件的發送，以確保郵件不會丟失。接收郵件：按照POP3(PostOfficeProtocolv3)協議（郵件接收協議）向郵件服務器提出請求，只要用戶輸入的身份信息(用戶名和密碼)正確，就可以訪問自己的郵箱內容。郵件服務器上運行的軟件一方面執行SMTP協議，負責接收電子郵件并將它存入收件人的郵箱，另一方面還執行POP3協議，鑒別郵件用戶的身份，對收件人郵箱的存取進行控制。文件傳輸：把網絡上一臺計算機中的文件移動或拷貝到另外一臺計算機上。文件傳輸協議——FTP(FileTransferProtocol)：實施文件傳輸服務。FTP協議規定，需要進行文件傳輸的兩臺計算機應按照客戶/服務器模式工作，主動要求文件傳輸的發起方是客戶方，運行FTP客戶程序，參予文件傳輸的另一方為服務方，運行FTP服務器程序，兩者協同完成文件傳輸任務。匿名服務：服務需求：盡管登錄名和口令的使用可以防止文件未經授權就被隨意訪問，但是這種做法有時并不很方便。匿名方案：為了允許任何用戶都可以訪問文件，許多FTP服務器允許用戶使用一個特殊的帳戶，該帳戶的登錄名為anonymous，它可以以最小權限訪問FTP服務器上的文件，同時，要求用戶用他們的電子郵件帳戶名來作為口令，使得萬一發生問題時，FTP服務器可以發送電子郵件給用戶。匿名方案提供了基本共享文件服務。遠程登錄（remotelogin）：用戶把自己的機器暫時作為一臺終端，通過因特網掛接到遠程的大型或巨型機上，然后作為它的用戶使用大型或巨型機的硬件和軟件資源，因特網提供的這種服務稱為遠程登錄。需要登錄的計算機用戶應該預先申請合法的帳戶。遠程登錄的作用：使用其他計算機的強大的處理能力登錄到別的主機中運行該機器所安裝的軟件遠程登錄使用的協議：Telnet當用戶使用因特網的遠程登錄服務時，啟動了兩個程序進行工作：Telnet客戶程序Telnet服務器程序利用Windows的Telnet客戶程序進行遠程登錄，一般是在DOS模式下進行的：用戶輸入命令“telnet主機地址端口號”與遠程主機連接輸入用戶名和密碼，進入遠程的主機系統用戶按遠程主機的命令進行操作WWW（WorldWideWeb）有人譯作萬維網、環球網，或稱Web網、3W網，最初是由歐洲核物理研究中心（CERN）提出的。WWW是因特網上最廣泛使用的一種服務由被稱為Web服務器的計算機和安裝了WWW瀏覽器的計算機所組成Web服務器中存放著大量以超文本形式表示的需要公開發布的或可共享的信息這些超文本信息互相鏈接，從而形成了一個全球范圍的互相引用（關聯）的信息網絡安裝了WWW瀏覽器軟件（簡稱瀏覽器）的用戶，可以查詢和獲取分布在世界各地的Web服務器上的信息資源⑴網頁與HTML語言Web服務器中向用戶發布的文檔通常稱為網頁（Webpage），一個單位或者個人的主網頁稱為主頁（homepage）。網頁是一種采用HTML語言描述的超文本文件，其文件擴展名是html或htm。HTML(HyperTextMarkupLanguage)(超文本標記語言):

W3C(World-WideWebConsortiumWeb聯盟）制定的一種標準的超文本描述語言，它使用形如<xxx>和</xxx>的一對“括號”作為標記，描述文本的標題、文本的分段及格式、文本中的表格類型、文本的分區、文本的背景顏色、文字的顏色、字體和大小、文本頁面的邊距、文本中插圖的位置、大小及圖片名稱，以及文本中所定義的超鏈等。

HTML文檔包括：頭部（Head）：包含這個文檔的標題以及其它說明信息正文（Body）：包含該信息資源的具體內容（文字與圖片）瀏覽器在收到Web服務器傳送來的HTML文檔后，進行解釋，按照文 檔中的標記規 定進行處理。

<HTML><HEAD><TITLE>這是網頁的標題</TITLE></HEAD)<BODY> 這是網頁的正文，包括文字、圖片、超鏈以及它們的格式描述。 <IMGSRC="圖片的文件名"></BODY></HTML>HTML文檔的一般形式⑵統一資源定位器URL

(UniformResourceLocator)URL由兩部分組成：第1部分:指出客戶端希望得到主機提供的哪一種服務第2部分：主機名和網頁(在主機上的)位置URL的表示形式為： ://主機域名[:端口號]/文件路徑/文件名 ：表示客戶端和服務器執行HTTP傳輸協議，將遠程Web服務器上的文件（網頁）傳輸給用戶的瀏覽器 主機域名：提供此服務的計算機的域名 端口號：通常是默認的，如Web服務器使用的是80，一般不需要給出 /文件路徑/文件名：網頁在Web服務器中的位置和文件名（URL中如果沒有明確給出文件名時，則以或者為默認的文件名）⑶超鏈超鏈的鏈源：可以是文本中的任何一個字、詞或句子，甚至可以是一幅圖像。超鏈的鏈宿：可以是另一個Web服務器上的某個信息資源，它用URL指出，也可以是文本內部標記有書簽的某個地方。HTML文檔中指出超鏈鏈源的機制被稱作為錨(anchor)。例如：下面是一個HTML文檔片段，其中包含了一個指向URL地址的錨： 本書由<AHREF=“:///”>南京大學出版社</A>出版，該社是教育部直屬的大學出版社之一。 當瀏覽器接收到這個HTML文檔片段后，屏幕上的內容是：本書由南京大學出版社出版，該社是教育部直屬的大學出版社之一。⑷協議與Web瀏覽器WWW服務按客戶機/服務器模式工作。HTTP定義了瀏覽器發送給服務器的請求格式及服務器返回給瀏覽器的應答格式瀏覽器主要有兩個功能：向用戶提供友好的使用界面將用戶的信息查詢請求傳送給Web服務器工作過程：用戶給定了一個文檔的URL之后，瀏覽器開始與URL指定的計算機進行通信，請求服務器發送文檔。Web服務器接到請求后，就將相應的文檔傳送給瀏覽器，瀏覽器程序便對HTML文檔進行解釋，并將其內容顯示給用戶。與其他網絡服務不同的是，Web瀏覽器和服務器之間的連接只維持一小段時間。瀏覽器建立連接，發送請求，然后接收請求的信息，一旦文檔傳輸完畢，連接就被關閉。Web服務器程序重復地執行著一個簡單的任務：等待瀏覽器提出建立一個連接的請求，隨后服務器便發送所請求的網頁，發送完畢就關閉連接然后等待下一次連接。Web瀏覽器的結構比Web服務器復雜一些。瀏覽器除了建立連接、發出請求、接收服務器傳送來的文檔之外，還要對HTML文檔進行解釋并顯示文檔內容。瀏覽器由若干軟件模塊組成控制程序用戶輸入HTTP客戶程序FTP客戶程序E-mail客戶程序網絡接口HTML解釋器其他解釋器輸出驅動程序顯示器Web瀏覽器的主要組成部分控制流數據流瀏覽器的組成客戶程序解釋器控制程序：瀏覽器的中心，解釋鼠標與鍵盤輸入的信息，調用其他組件來執行用戶指定的操作。Web瀏覽器的重要特性：可以包含若干可選項，不僅能獲取和瀏覽網頁，而且還能完成其他傳統的Internet服務，只要在URL中指出相應的服務類型即可。服務類型：指的是瀏覽器希望主機提供的服務，除了（網頁瀏覽）之外，目前常用的還有：ftp：執行FTP協議，使遠程FTP服務器與用戶的計算機進行遠程文件傳輸操作mailto：執行SMTP協議，向遠程計算機發送電子郵件telnet：執行TELNET協議，登錄遠程計算機news：執行NNTP協議，遠程計算機提供網絡新聞服務(NetworkNewsTransferProtocol)每一種服務的URL格式并不完全相同⑸Web文檔的類型Web文檔有3種基本形式：靜態Web文檔（staticdocument）動態Web文檔（dynamicdocument）主動Web文檔（activedocument）靜態Web文檔：它的內容是在寫作的時候就確定的，未經修改不會變化。所以對靜態文檔的每次訪問都返回相同結果。優點：簡單、可靠、訪問速度快缺點：不靈活，一旦內容變化文檔就必須人工修改，不適合內容頻繁變化的應用場合動態Web文檔：它的內容是在瀏覽器訪問Web服務器時創建的。當瀏覽器的請求到達時，Web服務器便運行一個應用程序創建動態文檔，并把創建的文檔傳送給瀏覽器。由于每次訪問服務器都要創建新的文檔，所以文檔的內容是變化的，它能向用戶提供最新的信息。創建動態文檔的任務是服務器完成的。從瀏覽器的角度來看，動態文檔和靜態文檔并無區別，它們都采用HTML編寫，采用同樣的方法進行訪問，瀏覽器不知道服務器是從磁盤文件還是從計算機程序取得文檔的。動態Web文檔：動態文檔的需使用腳本語言如VBScript，JavaScript，Perl及CGI、ASP、ActiveX等編寫程序，并使用SQL查詢語言通過ODBC、JDBC、ADO等接口訪問數據庫。瀏覽器訪問動態文檔需要的時間稍多，因為服務器需要額外的時間去運行程序創建文檔。服務器端一般需要功能更強的計算機和數據庫系統作為支持。動態文檔的缺點：不能顯示變化著的信息。與靜態文檔類似，動態文檔在瀏覽器取得文檔后內容不會再改變，因此文檔就開始過時。主動Web文檔：它能持續地更新文檔的內容，即它能夠直接訪問信息源并連續地更新文檔內容。缺點：創建和運行這種文檔比較復雜 缺少安全性 由于主動文檔中的Applet必須運行在客 戶端，因而必須解決在不同的客戶端系統中這些Applet的兼容性問題4.5網絡信息安全

4.5.1概述

在網絡環境下，信息安全是一個非常突出的問題，即，在信息傳輸過程中，其安全有可能受到多種威脅。如，傳輸被中斷、信息被竊聽、信息被篡改、信息被偽造。安全安全這個概念具有相對性，不同的用戶有不同的理解和要求。如：有些單位的數據很有保密價值，他們就把網絡安全定義為其數據不被外界訪問；有些單位需要向外界提供信息，但禁止外界修改這些信息，他們就把網絡安全定義為數據不能被外界修改；有些單位注重通信的隱秘性，他們就把網絡安全定義為信息不可被他人截獲或閱讀；還有些單位對安全的要求更復雜，他們把數據劃分為不同的級別，其中有些數據對外界保密，有些數據只能被外界訪問而不能被修改等等。網絡安全網絡安全是一件很復雜的事需要正確評估系統信息的價值，確定相應的安全要求與措施安全措施必須能夠覆蓋數據在計算機網絡系統中存儲、傳輸和處理等各個環節，否則安全就不會有效網絡安全措施

由于沒有絕對安全的網絡，所以考慮安全問題時必須在安全性和實用性之間采取一個折衷的方案，在系統設計與實施時著重考慮如下的一種、幾種或全部安全措施：身份認證(authentication)

訪問控制(accesscontro1)

數據加密(dataconfidentiality)數據完整性(dataintegrity)數據可用性(dataavailability)防止否認(non-reputation)審計管理(auditmanagement)網絡安全級別計算機與網絡系統的安全級別通常分為4類7級：D、C1、C2、B1、B2、B3、A1。其中D級最低（安全保護功能很弱），A1級為最高安全等級。用戶可根據不同的安全需求來確定系統的安全等級。4.5.2數據加密為了在網絡通信被竊聽的情況下保證數據的安全性，必須對傳輸的數據加密。加密的基本思想：改變數據排列方式，以掩蓋其信息含義，使得只有合法的接收方才能讀懂。任何其他人即使截取了信息也無法解開。加密技術對稱密鑰加密公共密鑰加密數據加密——Why?篡改:重放:竊聽:“我們下午5點老地方見!”“嘿嘿嘿…”“我們下午5點老地方見!”“我們下午三點老地方見!”“我們今天下午三點鐘見面!”一天以后:“我們今天下午三點鐘見面!”采用數據加密技術以后…數據加密將信息(明文)轉換成一種加密的模式(密文),如果沒有通信雙方共享的秘密知識(密鑰),則無法理解密文通過對不知道密鑰的人隱藏信息達到保密的目的“我們下午5點老地方見!”“???…”“我們下午5點老地方見!”fojfejk;ladfjj093i2j3kj0gjklacnma./加密技術基礎明文P,密文C,加密變換(encrypt)EK

解密變換(decrypt)MK'

EK(P)=CMK'(C)=P例，E=（M+3）mod(26)M=(E–3)mod(26)加密解密CKeyKPPKeyK‘消息發送方和消息接收方必須使用相同的密鑰，該密鑰必須保密。發送方用該密鑰對待發消息進行加密，然后將消息傳輸至接收方，接收方再用相同的密鑰對收到的消息進行解密。這一過程可用數學形式表示。消息發送方:

E=encrypt(K,M)

加密函數encrypt有兩個參數：密鑰K和待加密消息M，加密后的消息為E消息接收方:

M=decrypt(K,E)=decrypt(K,encrypt(K,M))

使用的解密函數decrypt把加密過程逆過來，產生原來的消息例如：古代：凱撒密碼 現代：DES,AES,IDEA對稱密鑰加密特點：加密算法非常強大，僅依靠密文本身去解密幾乎是不可能的。加密方法的安全性依賴于密鑰的秘密性，而不是算法的秘密性。只需要保證密鑰的秘密性而不必確保算法的秘密性。算法不需要保密，制造商可以開發出低成本的算法芯片以實現數據的加密。相比較公共密鑰加密算法而言，加密解密速度都很快！缺點：密鑰的分發和管理非常復雜、代價高昂。

有n個用戶的網絡，需要n(n－1)/2個密鑰，對于用戶數目很大的大型網絡，密鑰的分配和保存就成了很大的問題。

“我們下午5點老地方見!”“???…”“我們下午5點老地方見!”fojfejk;ladfjj093i2j3kj0gjklacnma./凱撒(Cacser)密碼對26個英文字母進行移位代換，移位k=3。明文:abcdefghIjklm密文:defghIjklmnop明文:nopqrstuvwxyz密文:qrstuvwxyzabc它給每個用戶分配一對密鑰：私有密鑰：保密的，只有用戶本人知道公共密鑰：可以讓其他用戶知道該方法的加密函數具備如下數學特性：用公共密鑰加密的消息只有使用相應的私有密鑰才能解密；同樣，用私有密鑰加密的消息也只有相應的公共密鑰才能解密數學表示形式：假設M表示一條消息，pub-ua表示用戶a的公共密鑰，prv-ua表示用戶a的私有密鑰，那么： M=decrypt(prv-ua,encrypt(pub-ua,M)) M=decrypt(pub-ua,encrypt(prv-ua,M))只要消息發送方使用消息接收方的公共密鑰來加密待發消息，就只有消息接收方才能夠讀懂該消息，因為要解密必須要知道接收方的私有密鑰