精华内容
下载资源
问答
  • 无线局域网鉴别与保密基础结构(WLAN Authentication and Privacy Infrastructure,WAPI)是无线局域网安全协议,也被列为多种检测的测试项目。自联盟成员西电捷通研发WAPI技术以来,我们在密切跟踪WAPI安全技术的...
  • 无线局域网安全协议分析

    千次阅读 2008-01-23 11:57:00
    最初人们在研究无线网络的安全问题时,理所当然地把原来应用于有线网络的安全协议植入到无线网络中去,但是这种移植的效果,从WLAN安全标准的发展情况看,还远远未达到要求。从计算机网络诞生的第一天起,无线网络的...
    目前,WLAN业务的需求日益增长,但是相应的安全措施却无法令人满意。最初人们在研究无线网络的安全问题时,理所当然地把原来应用于有线网络的安全协议植入到无线网络中去,但是这种移植的效果,从WLAN安全标准的发展情况看,还远远未达到要求。从计算机网络诞生的第一天起,无线网络的安全性问题就已成为网络发展的瓶颈。而无线应用的不断增长又使得该问题更彻底地暴露出来。大多数企业都愿意通过有线局域网来传送重要信息,而不用无线局域网,这使得企业虽然确保了信息的安全,却不能利用无线局域网的经济性和灵活性。 
    


    目前,IEEE正致力于消除WLAN的安全问题,并预期在2004年底提出一个新的无线安全标准来代替现有标准。然而许多企业并不想等那么久,它们愿意采用一些即时可用的安全技术来应对目前的需要。但是,当前可用的安全协议标准—WEP—并不能使那些重要信息免遭恶意攻击,另外还有一种过渡期的标准WPA,它弥补了WEP中的大多数缺陷,但也并非完美。IEEE 802.11i才是下一代无线安全标准,不过这还需要一段时间才能完成。那么,目前公司需要怎样保证WLAN的安全性呢,总不能在802.11i还未完成的这几个月内什么都不做吧?

    WLAN安全协议介绍
    WEP的基本概念
    WEP算法主要是防止无线传输信息被窃听,同时也能防止非法用户入侵网络。在一个运行WEP协议的网络上,所有用户都要使用共享密钥,也就是说用户在终端设备上需设置密码并且要和其相连的接入点设置的密码相对应。所有数据包都由共享密钥加密,如果没有这个密钥,任何非法入侵者或企图入侵者都无法解密数据包。但是,WEP机制自身却存在安全隐患。也许最大的隐患是许多接入点的配置默认WEP项是关闭的。接入点通常采用了默认的出厂配置,这导致了一个巨大的安全漏洞。
    即使WEP处于开启状态并且设置了新的共享密钥,这一机制也存在极大的隐患。WEP采用RC4加密机制来对数据加密。但问题是WEP密钥太易受攻击了,像AirSnort和WEPCrack这样的应用软件仅需要抓取100MB这么小的流量,在几秒内就能解密受WEP保护的网络信息。在大业务量的无线网络中,攻击者可在几分钟内免费接入到WLAN中。另外,WEP使用CRC来做数据校验,CRC很容易被攻击者通过翻转数据包中的比特来破坏其可靠性。
    WEP的另一个主要问题是其地址加密,WEP并不能提供一种方法以确保合法用户的身份不会被非法入侵者冒充。任何人只要知道WEP共享密钥和网络SSID(服务者身份)都能接入该网络。当用这些信息来连接网络时,管理者无法判断接纳还是拒绝这一连接。另外,一旦共享密钥被破译或丢失,就必须手动修改所有网络设备的共享密钥,这真是一个令人头疼的管理问题。如果密钥丢失而自己又毫不知情,这也将是一个安全隐患。
    虽然WEP有这么多缺点,但如果你的公司并未使用WPA或802.11i,WEP还是可以勉强接受的。如果你的公司还在权衡是否采用WPA,那么最好暂时先使用最优化的WEP协议。
    最优化使用WEP协议
    首先,确定WEP处于开启状态。Wi-Fi联盟确保符合802.11a、802.11b和802.11g标准的接入点和无线网卡都支持WEP协议(注意,默认状态不一定是开启状态),这可以避免入侵者的偶然攻击,比如那些在公共场所通过笔记本电脑上网的过路者。仅此一点,就相当重要。因为许多业内企业都反映,过路者能通过笔记本电脑轻松地连接到企业内部的无线局域网中,如果WEP能解决这一难题,我们就能节省出更多的时间来关注更危险的袭击。
    其次,各部门应该定期更改默认的SSID和共享密钥。因为攻击者很容易就能编程自动地搜索SSID和产品出厂时设置的默认密钥,定期改变SSID和密钥,将避免部门成为“盲测式攻击”的目标。值得注意的是,通过无线电波极易获取SSID,因此攻击者一般会锁定某一部门成为攻击目标,并且不达目的不会轻易罢手。
    再者,应该实现MAC地址过滤。这需要在接入点和路由器中配置合法设备的MAC地址列表,使那些列表中出现的MAC地址才能够接入到网络中。这样即使发现了正确的SSID和密钥,入侵者也不能接入到网络中。但这一反攻击措施仍不理想,因为入侵者可以采用欺骗手段,将其MAC地址设为合法用户的MAC地址从而接入无线网络中。
    最后,我们必须认识到,WEP并不能保证绝对的网络安全。但是,有WEP总比什么都没有好,因为像AirSnort和WEPCrack这样的软件很容易使企业成为攻击者的目标。想在无线网络上安全地发送密文,我们还需要做更多的工作。
    WPA的基本算法
    802.11i协议已于今年6月被IEEE批准为正式的WLAN安全标准,但由于Wi-Fi联盟要对符合该标准的各种设备进行通用性测试等一系列认证,故有望在年底推广应用,这一举措将彻底弥补WEP的安全漏洞。然而,很多企业迫不及待的需要一个安全协议。正是由于这种迫切需要,在推出802.11i之前,Wi-Fi联盟发布了一个过渡协议WPA,它可以看作是802.11i的一个简本。WPA主要完成了以下工作:解决了WEP的主要安全问题,尤其是它在共享密钥上的漏洞;添加了用户级的认证措施;解决了系统的升级问题,传统的802.11b的接入点和无线网卡只需要简单的软、硬件升级,就可以应用WPA协议了。
    WPA用新算法解决了WEP在加密和数据校验上的缺陷。这些算法就是TKIP和Michael。TKIP的设计一方面利用了传统接入点中RC4算法的硬件加速性能,一方面又避免了WEP的缺陷。TKIP的主要优点就在于它采用了密钥轮转,针对每一个包它都改变密钥,同时把初始矢量的大小加倍,这样使得网络更安全。因为如果初始矢量很短,并且可被预测,再加上使用静态密钥,无疑给攻击者打开方便之门。 Michael则是完成数据校验的MIC算法。一个MIC就是一段密文摘要。Michael算法允许WPA系统检查攻击者是否修改了数据包企图欺骗系统。因为现有的很多802.11b的网络接口卡和接入点的处理能力都比较低,因此Michael算法专门针对低运算能力进行了设计。也正因为如此,Michael所能提供的安全保证比同类校验算法要低一些。不过,即使这样,也远远好于WEP协议使用的CRC算法。接入点在收到包时,会采用Michael策略来进行处理。一旦它发现有两个包都没有通过某个共享密钥的Michael算法校验,那么它就会断开这一连接,同时等候一分钟,再创建一个新的连接。然而这一策略又会让入侵者发起另一种恶意攻击,那就是“拒绝服务”类型的攻击。攻击者会故意发送一些包让他们无法通过Michael算法校验,这样会引起接入点断掉某一用户的连接。如果不断发起这种攻击,攻击者就能使接入点长期处于下线状态。即使这样,Michael算法也比没有安全保证要好,虽然攻击者可以切断某个接入点,但Michael防止了攻击者进入网络内部从而造成更大的伤害。
    WPA还使用802.1x标准弥补了WEP的另一个缺陷,那就是它缺乏一种用户和网络间的认证。
    802.1x标准在两个终端间定义了一个扩展的认证协议和一个加密协议EAPOL(Extensible Authentication Protocolover LAN),这个协议可以实现用户到网络的认证。然而EAP最初是为有线网络设计的,它首先假定网络和终端设备间的物理连接是安全可靠的,因此它对防止窃听几乎无能为力。所以在WLAN中,终端和网络间的链路需要加密保护,EAP-TLS(EAP over Transport Level Security)和PEAP(Protected EAP)等隧道协议提供了这种必需的加密保护。   TLS是安全套接字协议的继承者,后者被广泛应用于Web服务中,来保护信息安全。EAP-TLS是对TLS的一个补充,它在用户和服务站点间使用数字证书来实现认证。
    虽然在大多数情况下,WEP将会升级为WPA,但这两种协议并不能共存。WPA的硬件如果安装在非WPA接入点或者网络接口卡中,它将退化为一个WEP硬件。WPA有一个操作模式允许WPA系统和WEP系统使用同样的广播密钥,在这种模式下,工作人员应该对WPA进行配置,防止同时使用WPA和WEP进行操作。
    802.11i协议构成
    802.11i协议包括WPA和RSN两部分。WPA我们在前面已经作了详述。RSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i的认证方案是基于802.1x和EAP,加密算法是AES。动态协商认证和加密算法使RSN可以与最新的安全水平保持同步,不断提供保护无线局域网传输信息所需要的安全性。

    协议间的过渡问题
    企业在众多安全协议中做出选择后,接下来就面临着从WEP到WPA,再到802.11i的软、硬件问题了。在2003年秋,Wi-Fi规定新的802.11b硬件必须支持WPA才能获得联盟的认证。WPA在设计之初就考虑了系统升级问题,因此传统的接入点和无线网卡只需进行简单的升级,理论上就能升级为WPA系统。但在实际应用中,可能不尽如人意。且不说一个企业的接入点是否能进行软件升级,单单从WPA的算法的复杂性来说,就远远高于WEP,这就需要设备有更强的处理能力,如果不引入更多的终端设备来分担处理任务的话,将会导致系统性能下降。这对使用WLAN的企业来说是不能接受的,因此,若想使用WPA,不仅要升级软件,还需要更新硬件设备。
    在软件方面,企业需要操作系统支持WPA,这主要是要求操作系统能够对WPA设备正确设置数据包的格式,同时还能在用户和网络接口卡间传递802.1x的认证信息。在使用WPA协议的网络上,用户还需要安装802.1x认证的客户端软件,这个软件给用户提供了一个接口来配置和管理802.1x的认证信息,例如数字证书和口令等。仅仅用户配置了信息还不够,在网络上还需要一个RADIUS服务器来完成认证,该服务器要支持EAP和EAPOL标准。
    从某种程度上说,针对WLAN的设计、维护网络安全远比在有线网络上复杂得多,也就是说需要更多的经济投入。但是如果企业很重视安全问题,又需要WLAN这种环境的灵活性,那么它必须在安全性和经济性之间找到平衡点。总的来说,从WEP过渡到WPA,可以使WLAN暂时处于更安全的保护下,同时,这也为将来采用802.11i做好了准备。

    目前企业该如何选择安全协议
    尽管WEP,WPA和802.11i看似界限清晰,但却有继承关系,企业可以通过逐步升级来使自己的无线局域网更加健壮安全。当然,对有些使用WLAN的企业来说,它们更喜欢一种跳跃式发展。这样,网络管理者面临的最基本的问题,就是选择等待802.11i的出台或是现在就应用WPA。考虑到WPA之后紧接着就是802.11i标准,那么现在采用WPA是否值得呢?答案是肯定的,因为对WLAN的安全袭击所造成的潜在损失实在太大了,我们无法知道等待802.11i出台期间会发生什么样的安全问题;而且,从WPA到802.11i具有很好的可移植性,802.11i对WPA向后兼容,即WPA的硬件和软件将继续与802.11i的硬件一起工作。
    802.11i在2004年年底将成为WLAN的最终安全标准,其相应的产品也会随后出现。但对大多数企业来说,现在使用WPA就已经足够了。WPA致力于解决WEP面临的所有问题,包括对AirSnort和WEPCrack这样的免费软件的攻击。如果一个企业想在WLAN上保证安全,WPA是一个明智的选择,即使在802.11i发布后它仍值得继续使用。
    对于WEP来说,它作为目前应用最广泛的WLAN安全协议,还远远不能保证WLAN的安全,那么它是否就一无是处呢?还有,如果你的无线设备并不支持WPA,能先用WEP吗?答案是,如果恰当使用WEP,它也可以在一定程度上降低网络被入侵的可能性。
    虽然WLAN技术在不断发展,但大多数安全专家还是主张将WLAN建立在企业核心系统网络之外,WLAN用户必须通过VPN才能访问网络内部。目前,Ipsec VPN仍是部署最为广泛的平台,为有线与无线客户设备和远程主机进行验证并提供安全访问,有效地保护着企业的内部资源。
    即使最近的802.11i协议,也存在着缺陷,并不能完全消除安全隐患,而且不管是WPA还是802.11i,其设备的向后兼容性都不是很好,所以对很多仍然用早期操作系统的公司来说,采用它们也并不是一个明智的选择。可以说,没有一种方案是能完全解决所有安全问题的,对企业来说,与其依赖一种安全技术,不如选择适合自身情况的无线安全方案,建立多层次的安全保护,这样才能在自己力所能及的范围内有效地避免无线技术带来的安全风险。 

    展开全文
  • 核心,您可以通过检查代码、了解架构和了解安全模型来预览技术。 在 Nest,我们认为支撑互联家居产品的核心技术需要开放且易于访问。 围绕共同基础进行调整将有助于产品安全、无缝地相互通信。 Nest 的第一个开源...
  • 局域网

    千次阅读 2019-08-18 16:10:27
    局域网 局域网接触的硬件、VLAN ※※※ 局域网 局域网 - (LAN) local area network :平时一般接触的网络都是局域网 局域网的组成: 1)Computer    PCs    Servers 2)Interconnections    NICs 网卡    ...

    局域网

    局域网接触的硬件、VLAN

    ※※※ 局域网

    • 局域网 - (LAN) local area network :平时一般接触的网络都是局域网
    • 局域网的组成:
      1)Computer
         PCs
         Servers
      2)Interconnections
         NICs 网卡
         Media 网络连接的媒介通常指网线
      3)Network devices
         Hubs 集线器
         Switches 交换机
         Routers 路由器
      4)Protocols
         Ethernet
         IP
         ARP
         DHCP

    局域网的硬件组成

    网线:

    • (1)Coaxial:同轴线缆(目前已经被淘汰)
         base:基带(数字信号)–适用于局域网传输
         10Base2:最快传输速度10MB/s,每个网段的距离限制为185米–细线缆
         10Base5:最快传输速度10MB/s,最远传输距离500米-粗线缆
         同轴线缆的连接拓扑为总线型拓扑,两端有电阻,以便吸收两端的信号。
    • (2)Twisted-Pair:双绞线
         双绞线:目前一般网线一般是8根线,两根两根线缠在一起的,总共四组;两根缠在一起可抵消电磁干扰
         100BaseT:是一种以100Mbps速率工作的局域网(LAN)标准,它通常被称为快速以太网标准,并使用UTP(非屏蔽双绞线)铜质电缆
         一般的双绞线最大传输距离100米;工作中一般会用交互机在中间将它们连起来,交互机有信号放大的作用。
         UTP(Unshelded):非屏蔽式双绞线
         STP(Shielded):屏蔽式双绞线



    • (3)GBIC :Giga Bitrate Interface Converter的缩写,是将千兆位电信号转换为光信号的接口器件

    网络适配器–网卡

    • Ethernet Evolution
    • LAN 标准

      目前用的是以太网2代,主要解决帧中2个字节为上层协议类型

    冲突检测的载波侦听多路访问CSMA/CD

    • 冲突域:在以太网中,如果某个CSMA/CD网络上的两台计算机在同时通信时会发生冲突,那么这个CSMA/CD网络就是一个冲突域(collision domain)。
    • 解决冲突域:CSMA/CD–冲突检测的载波侦听对路访问:主机通信线侦听,是否有数据传输,backoff等待时间,解决冲突问题。
    • CSMA/CD存在的问题是一个链路中主机越多,发生冲突的概率越大,因此CSMA/CD需要对链路中的主机有一定的限制。(最多1024台主机,早期解决冲突的方法,10MB以内)

    Hub集线器

    • Hub集线器的特点(目前已经被淘汰)
      ①Hub:多端口中继器(中继器:放大信号),工作在物理层
      ②Hub并不记忆报文是由哪个MAC地址发出,哪个MAC地址在Hub的哪个端口
      ③Hub的特点:
         共享带宽
         半双工

      由集线器连接的主机在一个冲突域中。只是将主机进行连接,不能隔断广播也不能隔断冲突域。

    网桥

    • 以太网桥(目前也不用)
      (1)交换式以太网的优势
         ①扩展了网络带宽
         ②分割了网络冲突域,使网络冲突被限制在最小的范围内
         ③交换机作为更加智能的交换设备,能够提供更多用户所要求的功能:优先级、虚拟网、远程检测……

    网桥和交换机的工作原理:
    ①以太网桥监听数据帧中源MAC地址,学习MAC,建立MAC表
    ②对于未知MAC地址,网桥将转发到除接收该帧的端口之外的所有端口
    ③当网桥接到一个数据帧时,如果该帧的目的位于接收端口所在网段上,它就过滤掉该数据帧;如果目的MAC地址在位于另外一个端口,网桥就将该帧转发到该端口
    ④当网桥接到广播帧时候,它立即转发到除接收端口之外的所有其他端口
    总结: 网桥和交换机中有一段内存空间;此内存空间记录的信息是MAC的地址和网桥端口(学习记录信息)。能隔断冲突域,不能隔断广播域(因为截断的流量是根据MAC表,而MAC表与端口对应是根据源MAC地址学习来的,源MAC地址只会出现单播)。

    网桥和交换机的作用: 交换机和网桥可以隔离冲突域,不能隔离广播域和多播/组播。

    交换机和网桥能构建MAC地址与设备端口的对应信息,因此交换机和网桥工作在数据链路层。数据链路层可以识别MAC地址。

    广播域:当其中一台主机向外发广播,另一主机能收到此广播,那么它们属于同一广播域。
    交互机和网桥不能隔离广播和多播/组播。

    集线器Hub和交换机Switch

    • 集线器Hub和交换机Switch
      ①集线器属于OSI的第一层物理层设备,而网桥属于OSI的第二层数据链路层设备
      ②从工作方式来看,集线器是一种广播模式,所有端口在一个冲突域里面。网桥的可以通过端口隔离冲突
      ③Hub是所有共享总线和共享带宽。网桥每个端口占一个带宽
      ④交换机每个端口连接一个网线,每根网线连接一台主机,则一个冲突域只有一台电脑。而且交换机可以同时通信(支持全双工)

    路由器

    • 路由器Router
      路由器的作用:
         ①分隔广播域
         ②选择路由表中到达目标最好的路径
         ③维护和检查路由信息
         ④连接广域网
      路由:把一个数据包从一个设备发送到不同网络里的另一个设备上去。这些工作依靠路由器来完成。路由器只关心网络的状态和决定网络中的最佳路径。路由的实现依靠路由器中的路由表来完成。

    当路由器收到一个主机发的广播或者组播/多播,路由器直接将其抛弃,隔离广播或多/组播;因为路由器中的表格记录(路由表)的是到达某个链路的路径(路由器将网络主机分成了多个链路)

    路由器转发报文依靠路由表,计算机都有路由表;路由表的作用进行路径的选择。

    计算机都有路由表:(后面详细介绍路由表)
        [root@centos7 ~]# route -n 
        Kernel IP routing table
        Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
        0.0.0.0         192.168.38.2    0.0.0.0         UG    100    0        0 ens33
        0.0.0.0         172.18.0.1      0.0.0.0         UG    101    0        0 ens37
        172.18.0.0      0.0.0.0         255.255.0.0     U     101    0        0 ens37
        192.168.38.0    0.0.0.0         255.255.255.0   U     100    0        0 ens33
        192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0
    

    常见的网络设备

    综上:
    网线 – 物理层
    集线器 – 物理层
    网卡 – 数据链路层
    交换机 – 数据链路层
    路由器 – 网络层

    VLAN

    • VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。
      搜索释义:虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。

    • 分隔广播域

    • 安全

    • 灵活管理

    • VLAN = 广播域 = 逻辑网络(subnet) = 网段 = 链路 = 子网

    • 以下是一种场景,对三个部门进行VLAN:

      交互机可以隔离冲突域,不能隔离广播域,但是不是所有的交换机都不能隔离广播域,具有VLAN的交换机可以实现分隔广播域。在同一广播域中通信直接广播,但是若想将同一广播域的某几个主机的通信单独隔离出来,需要路由器,路由器可以做安全策略隔离,但是这样成本有点高。因此在有些交换机中提出VLAN技术,可以在交换机上进行设置,可以将特定的某些端口划分至一个独立的网络中,这就是VLAN,一般一个VLAN有一个独立的标识,使用VLAN可以将企业内部进行部门划分网络以及客人网络域在交换机上配置安全策略,可以保障企业内部的安全。


      VLAN数据帧中用了12bit标识帧属于哪一个VLAN即总共4096个VLAN,已不足以满足使用—云计算。后面将使用XVLAN解决。

    • 在交换机中为了实现容错:会多路连接,但是可能导致回路问题,生成树协议将解决成环问题

    • 将交换机端口与端口对应的主机MAC绑定,有时需要这种情况。还有一种交换机自动学习的功能,第一次一插主机,就自动将主机MAC与交换机端口绑定。(交换机配置)–但一般不这样做,比较麻烦。

    局域网分层架构

    • 分层架构 – 从部署网络设备这个层面来分层的
    • 访问层:实现访问,将网络设备接入至网络中----交换机负责将网络设备连入网络。
    • 分布层:路由器:实现路由和分割网络,实现广播域的控制。
    • 核心层:价格昂贵的交换机,主要作用实现快速转发。(10G以上的带宽) ```
    
    
    展开全文
  • 作为一个经验法则,什么“CF”,它的意思是“核心基础”,开始是在C Objective-C和CocoaTouch发挥作用的类的名字开始与“NS”(下一步)。 很多组件有“CF”和“NS”实现 CFReadStream 与 NSInputStream , ...

    概述:网络框架

    最低水平网络架构可以在iPhone SDK是的BSD socket库。大多数开发人员可能不会需要这个强大的东西。许多常见任务(发送和接收数据,连接到HTTP服务器等)需要相当多的编码在C,如果使用直线上升BSD插座。苹果公司决定隐藏的复杂性,通过引入另外,更高层次,框架CFNetwork的。虽然我们仍然领土在这里,而不是Objective-C中的C(),它具有一些明显的优势,与运行循环的整合是其中之一(后面将详细讨论)。作为一个经验法则,什么“CF”,它的意思是“核心基础”,开始是在C Objective-C和CocoaTouch发挥作用的类的名字开始与“NS”(下一步)。很多组件有“CF”和“NS”实现CFReadStreamNSInputStreamCFNetServiceNSNetService通常情况下,“NS”版本是更高层次和更容易使用,但往往意味着相应的“CF”的版本是更灵活,功能丰富的。

    原文在此 

    http://mobileorchard.com/tutorial-networking-and-bonjour-on-iphone/

    展开全文
  • TCP 是互联网核心协议之一

    千次阅读 2017-11-07 20:05:53
    TCP 是互联网核心协议之一 一、TCP 协议的作用 互联网由一整套协议构成。TCP 只是其中的一层,有着自己的分工。 (图片说明:TCP 是以太网协议和 IP 协议的上层协议,也是应用层协议的下层协议。) 最底层的...

    TCP 是互联网核心协议之一


    一、TCP 协议的作用

    互联网由一整套协议构成。TCP 只是其中的一层,有着自己的分工。

    这里写图片描述

    (图片说明:TCP 是以太网协议和 IP 协议的上层协议,也是应用层协议的下层协议。)

    最底层的以太网协议(Ethernet)规定了电子信号如何组成数据包(packet),解决了子网内部的点对点通信。

    这里写图片描述

    (图片说明:以太网协议解决了局域网的点对点通信。)

    但是,以太网协议不能解决多个局域网如何互通,这由 IP 协议解决。

    这里写图片描述

    (图片说明:IP 协议可以连接多个局域网。)

    IP 协议定义了一套自己的地址规则,称为 IP 地址。它实现了路由功能,允许某个局域网的 A 主机,向另一个局域网的 B 主机发送消息。

    这里写图片描述

    (图片说明:路由器就是基于 IP 协议。局域网之间要靠路由器连接。)

    路由的原理很简单。市场上所有的路由器,背后都有很多网口,要接入多根网线。路由器内部有一张路由表,规定了 A 段 IP 地址走出口一,B 段地址走出口二,……通过这套”指路牌”,实现了数据包的转发。

    这里写图片描述

    图片说明:本机的路由表注明了不同 IP 目的地的数据包,要发送到哪一个网口(interface)。)

    IP 协议只是一个地址协议,并不保证数据包的完整。如果路由器丢包(比如缓存满了,新进来的数据包就会丢失),就需要发现丢了哪一个包,以及如何重新发送这个包。这就要依靠 TCP 协议。

    简单说,TCP 协议的作用是,保证数据通信的完整性和可靠性,防止丢包。

    二、TCP 数据包的大小

    以太网数据包(packet)的大小是固定的,最初是1518字节,后来增加到1522字节。其中, 1500 字节是负载(payload),22字节是头信息(head)。

    IP 数据包在以太网数据包的负载里面,它也有自己的头信息,最少需要20字节,所以 IP 数据包的负载最多为1480字节。

    这里写图片描述

    (图片说明:IP 数据包在以太网数据包里面,TCP 数据包在 IP 数据包里面。)

    TCP 数据包在 IP 数据包的负载里面。它的头信息最少也需要20字节,因此 TCP 数据包的最大负载是 1480 - 20 = 1460 字节。由于 IP 和 TCP 协议往往有额外的头信息,所以 TCP 负载实际为1400字节左右。

    因此,一条1500字节的信息需要两个 TCP 数据包。HTTP/2 协议的一大改进, 就是压缩 HTTP 协议的头信息,使得一个 HTTP 请求可以放在一个 TCP 数据包里面,而不是分成多个,这样就提高了速度。

    这里写图片描述

    (图片说明:以太网数据包的负载是1500字节,TCP 数据包的负载在1400字节左右。)

    三、TCP 数据包的编号(SEQ)

    一个包1400字节,那么一次性发送大量数据,就必须分成多个包。比如,一个 10MB 的文件,需要发送7100多个包。

    发送的时候,TCP 协议为每个包编号(sequence number,简称 SEQ),以便接收的一方按照顺序还原。万一发生丢包,也可以知道丢失的是哪一个包。

    第一个包的编号是一个随机数。为了便于理解,这里就把它称为1号包。假定这个包的负载长度是100字节,那么可以推算出下一个包的编号应该是101。这就是说,每个数据包都可以得到两个编号:自身的编号,以及下一个包的编号。接收方由此知道,应该按照什么顺序将它们还原成原始文件。

    这里写图片描述

    (图片说明:当前包的编号是45943,下一个数据包的编号是46183,由此可知,这个包的负载是240字节。)

    四、TCP 数据包的组装

    收到 TCP 数据包以后,组装还原是操作系统完成的。应用程序不会直接处理 TCP 数据包。

    对于应用程序来说,不用关心数据通信的细节。除非线路异常,收到的总是完整的数据。应用程序需要的数据放在 TCP 数据包里面,有自己的格式(比如 HTTP 协议)。

    TCP 并没有提供任何机制,表示原始文件的大小,这由应用层的协议来规定。比如,HTTP 协议就有一个头信息Content-Length,表示信息体的大小。对于操作系统来说,就是持续地接收 TCP 数据包,将它们按照顺序组装好,一个包都不少。

    操作系统不会去处理 TCP 数据包里面的数据。一旦组装好 TCP 数据包,就把它们转交给应用程序。TCP 数据包里面有一个端口(port)参数,就是用来指定转交给监听该端口的应用程序。

    这里写图片描述

    (图片说明:系统根据 TCP 数据包里面的端口,将组装好的数据转交给相应的应用程序。上图中,21端口是 FTP 服务器,25端口是 SMTP 服务,80端口是 Web 服务器。)

    应用程序收到组装好的原始数据,以浏览器为例,就会根据 HTTP 协议的Content-Length字段正确读出一段段的数据。这也意味着,一次 TCP 通信可以包括多个 HTTP 通信。

    五、慢启动和 ACK

    服务器发送数据包,当然越快越好,最好一次性全发出去。但是,发得太快,就有可能丢包。带宽小、路由器过热、缓存溢出等许多因素都会导致丢包。线路不好的话,发得越快,丢得越多。

    最理想的状态是,在线路允许的情况下,达到最高速率。但是我们怎么知道,对方线路的理想速率是多少呢?答案就是慢慢试。

    TCP 协议为了做到效率与可靠性的统一,设计了一个慢启动(slow start)机制。开始的时候,发送得较慢,然后根据丢包的情况,调整速率:如果不丢包,就加快发送速度;如果丢包,就降低发送速度。

    Linux 内核里面设定了(常量TCP_INIT_CWND),刚开始通信的时候,发送方一次性发送10个数据包,即”发送窗口”的大小为10。然后停下来,等待接收方的确认,再继续发送。

    默认情况下,接收方每收到两个 TCP 数据包,就要发送一个确认消息。”确认”的英语是 acknowledgement,所以这个确认消息就简称 ACK。

    ACK 携带两个信息。

    期待要收到下一个数据包的编号
    
    接收方的接收窗口的剩余容量
     
    • 1
    • 2
    • 3

    发送方有了这两个信息,再加上自己已经发出的数据包的最新编号,就会推测出接收方大概的接收速度,从而降低或增加发送速率。这被称为”发送窗口”,这个窗口的大小是可变的。

    这里写图片描述

    (图片说明:每个 ACK 都带有下一个数据包的编号,以及接收窗口的剩余容量。双方都会发送 ACK。)

    注意,由于 TCP 通信是双向的,所以双方都需要发送 ACK。两方的窗口大小,很可能是不一样的。而且 ACK 只是很简单的几个字段,通常与数据合并在一个数据包里面发送。

    这里写图片描述

    图片说明:上图一共4次通信。第一次通信,A 主机发给B 主机的数据包编号是1,长度是100字节,因此第二次通信 B 主机的 ACK 编号是 1 + 100 = 101,第三次通信 A 主机的数据包编号也是 101。同理,第二次通信 B 主机发给 A 主机的数据包编号是1,长度是200字节,因此第三次通信 A 主机的 ACK 是201,第四次通信 B 主机的数据包编号也是201。)

    即使对于带宽很大、线路很好的连接,TCP 也总是从10个数据包开始慢慢试,过了一段时间以后,才达到最高的传输速率。这就是 TCP 的慢启动。

    六、数据包的遗失处理

    TCP 协议可以保证数据通信的完整性,这是怎么做到的?

    前面说过,每一个数据包都带有下一个数据包的编号。如果下一个数据包没有收到,那么 ACK 的编号就不会发生变化。

    举例来说,现在收到了4号包,但是没有收到5号包。ACK 就会记录,期待收到5号包。过了一段时间,5号包收到了,那么下一轮 ACK 会更新编号。如果5号包还是没收到,但是收到了6号包或7号包,那么 ACK 里面的编号不会变化,总是显示5号包。这会导致大量重复内容的 ACK。

    如果发送方发现收到三个连续的重复 ACK,或者超时了还没有收到任何 ACK,就会确认丢包,即5号包遗失了,从而再次发送这个包。通过这种机制,TCP 保证了不会有数据包丢失。

    这里写图片描述

    (图片说明:Host B 没有收到100号数据包,会连续发出相同的 ACK,触发 Host A 重发100号数据包。)


    展开全文
  • 本文档是标准的WLAN核心协议介绍,英文版的,是学习WLAN的好材料。
  • 局域网技术

    2021-08-30 11:38:25
    IEEE802标准包括局域网参考模型与各层协议,其所描述的局域网参考模型与OSI参考模型的关系。如图所示 交换式局域网的基本概念 交换式局域网是相对共享式局域网而言 传统的共享介质局域网中,所有结点共享一条...
  • 文章目录Pre内部网络和外部网络 Pre 广域网是由很多的局域网组成的,比如公司网络、家庭网络、校园网络等。...当他用 UDP 协议向王者荣耀的服务器发送信息时,消息的源 IP 地址是一个内网 IP 地址,而
  • 一、网络体系结构及协议 1、ISO/OSI参考模型 2、网络协议 3、IP地址与子网掩码 二、局域网 1、局域网 2、虚拟局域网 一、网络体系结构及协议 1、ISO/OSI参考模型 在OSI参考模型中,将整个通信功能分为7层:...
  • 无线局域网

    千次阅读 2019-06-06 22:54:23
    一、无线局域网概述 1、WLAN在距离有限区域内实现无线通信,通常指采用无线传输介质的计算机局域网 2、优点:移动性、灵活性、可伸缩性、经济性 ...(3)无线接入点(AP):无线网络核心 (4)分布式系...
  • 大型局域网

    2021-03-25 22:49:16
    大型局域网是一种具有复杂互连结构的局域网,通常被划分成不同的功能层次(核心层、汇聚层、接入层),典型的层次结构如下图所示。这种层次结构有利发挥联网设备的最大效率,使得故障定位可分级进行,便于维护和管理,...
  • 两台主机均双网卡,两端分别为接局域网,不配网关。另外一端接核心,正常配置网关DNS。拔掉其中A局域网网线,B正常上网;拔掉B局域网网线,A网络卡顿。求解答什么原因
  • 网络(局域网和广域网、网址、协议、网络硬件) 局域网和广域网 1、局域网(Local Area Network),简称LAN,是指在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室、同一建筑物、同一公司和同一...
  • 局域网概述

    2016-12-22 15:40:48
    1、局域网(LAN)是一个覆盖地理范围相对较小的高速容错数据网络,它包括工作站、个人计算机、打印机和其他设备;局域网与广域网(WAN)和城域网(MAN)的主要区别在于覆盖范围、网络所有权、数据速率等方面,这些...
  • 局域网技术(一)

    千次阅读 2015-08-05 12:16:30
    一 ,局域网组网的基本概念  局域网(LAN)是指分布在相对较小... IEEE802标准包括局域网参考模型与各层协议,其所描述的局域网参考模型与OSI参考模型的关系。  对比图如下图所示:    (2)交换式局域网的基本概念
  • 集团内联网主要以总部局域网核心,采用广域网方式与外地子公司联网。集团广域网采用MPLS-VPN技术(Multiprotocol Label Switching,多协议标记交换),用来为各个分公司提供骨干网络...
  • 局域网LAN

    千次阅读 2017-04-14 20:29:52
    局域网概念 基本简介 局域网(Local Area Network,LAN)是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程...
  • 局域网设计

    2018-07-05 19:28:00
    一、局域网设计模型 1.局域网设计原则 +考察物理链路 物理链路的带宽是网络设计的基础 +分析数据流的特征 明确应用和数据流的分布特征,可以更加有效地进行资源分布 例如,企业邮件服务和工作组共享打印对于网络的...
  • 二、局域网的基本知识 本阶段要求掌握的知识框架如下: 一、 理解链路层协议。 二、 掌握以太网技术。 三、 无线以太和其他类型的以太。 详细介绍: 一、 面向比特的高级数据链路控制协议HDLC协议。(注意是...
  • TCP/IP协议是目前在网络中应用得最广泛的协议,ICP/IP实际上是一个关于Internet的标准,并随着的Internet广泛应用而风靡全球,它也成为局域网的首选协议。TCP/IP是一种分层协议,它共被分为个4层次,大约包含近期100...
  • 公司局域网如何组建 公司局域网搭建方法

    万次阅读 多人点赞 2018-07-17 11:31:23
    公司局域网如何组建 公司局域网搭建方法 本文章由注册用户丽丽小姐上传提供 版权声明我要发布反馈 阅读:91147次 我要评论  汇聚专业的企业网络组建知识,为消费者提供最权威的公司局域网设计方案,是消费者们...
  • 局域网技术基础理论

    千次阅读 2019-03-10 16:43:49
    IEEE802标准包括局域网参考模型与各层协议 其所描述的局域网参考模型与OSI参考模型的关系: 基于端口:就是基于交换机的端口来划分 基于MAC:就是基于终端的MAC 基于网络层地址定义:基于IP地址 基于IP...
  • 局域网监控软件

    2013-07-25 16:19:34
    7.聊天监控功能,记录所有局域网中所有计算机QQ聊天记录(WorkWin软件具备深入Windows核心捕获QQ聊天记录功能。全球首发支持QQ2009聊天记录监控),记录MSN聊天记录(WorkWin不依赖MSN通讯包,直接利用Windows核心...
  • 局域网技术(二)

    千次阅读 2015-08-06 09:36:31
    四,局域网互联设备类型  (1)中继器  中继器是网络物理层上面的连接设备。适用于完全相同的两类网络互联,主要功能是通过对数据信号的重新发送或者转发,来扩大网络传输的距离。  中继器连接图:     中继器是...
  • 算机网络技术 局域网课程设计 网络协议、服务器、路由器 信息化高速发展的今天,企业局域网的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到,利用网络技术,现代企业可以在供应商、...
  • 局域网知识大全

    千次阅读 2012-10-06 10:46:43
    局域网的配置管理 一.必备常识: (一).局域网的概念:  随着计算机的发展,人们越来越意识到网络的重要性,通过网络,人们拉近了彼此之间的距离。本来分散在各处的计算机被网络紧紧的联系在了一起。...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 40,572
精华内容 16,228
关键字:

局域网的核心协议是