计网week5

计网 六.链路层 3.多点访问协议

两种类型的链路：点对点，广播 相较于点对点，广播存在冲突问题

多路访问协议(MAC)：分布式算法决定节点如何使用共享信道

第一种信道划分MAC协议： TDMA：按时划分信道，多个广播信号轮流使用信道 CDMA：按编码划分信道，所有站点在整个频段上同时进行传输，采用编码原理加以区分

第二种： 随机存取： 当节点有帧要发送时，以信道的带宽的全部进行发送，没有节点间的预先协调 协议规定如何检测冲突、如何从冲突中恢复

时隙ALOHA：所有帧是等长的，时间被划分为等长的时隙，每个时隙可发送一帧，节点只在时隙开始时发送帧，如果发生冲突，所有站点都能检测到

缺点：有空闲的时隙，需要时钟上的同步 纯ALOHA(无时隙)：当有帧需要传输时，立刻传输，效率比时隙的要低

CSMA/CD(冲突检测)：在发送帧前侦听信道，冲突发生时终止传输，减少对信道的浪费 发送方适配器检测到冲突，除放弃外，还会发送一个Jam信号，所有听到冲突的适配器也是如此(强化冲突，让所有站点都知道冲突) 如果放弃，适配器进入指数退避状态 二进制指数退避算法：在第m次失败后，适配器随机选择一个[0, 2^m-1]中的数字k，等待k*512位时(在十兆bps的情况下，一位时=0.1微秒)，重新开始侦听信道 指数退避的好处：适应当前负载，在一个变化的碰撞窗口中随机选择时间点尝试重发

CSMA/CA(冲突避免)：对于有线网来说，只要避免冲突就能发送成功，但是无线网不一样，冲突不代表失败，不冲突不代表成功 WLAN构成：基站、无线链路、移动主机节点 CSMA/CA会在发送前侦听信道，但不会检测冲突 运作过程：

如果站点侦测到信道空闲持续DIFS长，则传输整个帧如果侦测到忙碌，则选择一个随机的回退值，如果后续信道空闲，则回退值递减，如果忙碌，则回退值不会变化；如果回退值递减为0，则发送整个帧接收方检测帧，如果正确，则在SIFS后发送ACK发送方如果没有收到ACK，则增加回退值，重复2

为了使各种MAC操作互相配合，IEEE 802.11推荐使用3种帧间隔（IFS），便提供基于优先级的访问控制：

DIFS(分布式协调IFS)：最长的IFS，优先级最低，用于异步帧竞争访问的时延PIFS（点协调IFS）：中等长度的IFS，优先级居中，在PCF操作中使用SIFS（短IFS）：最短的IFS，优先级最高，用于需要立即响应的操作

DOCSIS：使用于如有线电视公司提供的线缆接入网络 采用TDM的方式将上行信道分成若干个时隙 上行信道传输主机的预约信息，下行信道公布预约结果 预约失败，则会采用类似二进制指数退避的方式等待

第三种：轮流MAC协议 轮询：主节点邀请各节点依次发送 轮流MAC：令牌传递，控制令牌(token)循环从一个节点到下一个节点，令牌报文：特殊的帧

4.LANs

LAN(MAC/物理/以太网)地址：用于使帧从一个网卡传递到另一个网卡 48bitMAC地址固化在适配器的ROM，有时也可以通过软件设定 理论上全球任何两个网卡的MAC地址都不相同，如：1A-2F-BB-76-09-AD 广播地址：FF-FF-FF-FF-FF-FF IP地址和MAC地址的作用是不同的 IP地址是分层的，一个子网的所有站点网络号一致，路由聚集，减少路由表 mac地址是一个平面的，每个网卡从生产出来就有一个唯一的地址，可以完成一个物理网络内部的节点到节点的数据交付 网络地址和mac地址分离：网卡坏了，ip不变，可以捆绑到另一个网卡的mac上，物理网路还可以支持除IP之外的其它网络层协议 MAC地址由IEEE管理和分配，制造商会购入MAC地址空间(保证唯一性)

ARP(Address Resolution Protocol)协议：在LAN的每个IP节点都有一个ARP表，ARP表包含一些节点的IP/MAC地址的映射；会有一个TTL来定时清除失效的映射

以太网：最流行的LAN技术，98%的市场占有率 早期LAN使用一个总线将所有节点串起来，在两端末尾放上吸收电磁波的材质；后来用的是hub(集线器)来实现局域网；现在用的是switch(交换机)来实现 网段(LAN segments)：一个站点可以发送的网络范围 所有以hub连到一起的站点处于一个网段，处在一个碰撞域内 通过hub可拓展节点之间的最大距离，不能将10BaseT和100BaseT的网络连到一起 交换机：端口执行以太网协议，对帧进行存储和转发 对于到来的帧，使用以太网协议，检查帧头，根据目标MAC地址进行选择性转发；当帧需要转向某个网段进行转发，需要使用CSMA/CD进行接入控制 性质：透明：主机对交换机的存在可以不关心；即插即用，自学习：交换机无需配置；全双工

以太帧结构：

前导码：比如7B 10101010 + 1B 10101011，用来同步接收方和发送方的时钟速率 地址：6字节源MAC地址，目标MAC地址 类型：指出高层协议 CRC：校验码

以太网是无连接(无需握手)、不可靠的服务 以太网的MAC协议：采用二进制退避的CSMA/CD介质访问控制形式

10BaseT：T表示双绞线，10Mbps基带传输，最大传输距离100m，用hub实现局域网 Manchester(曼彻斯特)编码：在10BaseT中使用，每一个bit的位时中间有个信号跳变，允许发送方和接收方进行时钟同步

100BaseT中4b5b编码：

千兆以太网：采用标准的以太帧格式，允许点对点链路和共享广播信道，物理编码：8b10b编码，在共享模式，继续使用CSMA/CD技术

七.网络安全 1.加密原理

简单的加密：对称密钥加密 如：DES

AES：高级加密标准(AES,Advanced Encryption Standard)，是最常见的对称加密算法 公开密钥加密（public-key cryptography）也称为非对称密钥加密（asymmetric cryptography），是一种密码学算法类型。该加密算法使用两个不同的密钥：加密密钥和解密密钥，一个是私人密钥，另一个则是公开密钥 RSA加密：RSA算法是最常见的公开密钥加密算法之一，RSA算法基于一个数学上的事实：将两个大质数相乘很容易，但是想要将其乘积分解成原始的质数因子却非常困难。这就是所谓的“陷门函数TDF”的概念，是RSA加密安全性的基础

2.认证

目标：Bob需要Alice证明她的身份 Protocol ap1.0(认证协议)：Alice说：“我是Alice” Protocol ap2.0：Alice说：“我是Alice”，顺带发送IP地址 Protocol ap3.0：Alice说：“我是Alice”，顺带发送密码 Protocol ap3.1：Alice说：“我是Alice”，顺带发送加密后的密码 Nonce：一生只用依次的整数® Protocol ap4.0：Bob向Alice发送一个nonce，R，Alice必须返回加密之后的R，使用双方约定好的key Protocol ap5.0：使用nonce、公开密钥加密技术

3.报文完整性

数字签名：发送方加密了数据，相当于给这份数据签字 假设Alice收到报文m，以及数字签名： K B ( m ) K_B(m) KB​(m)；然后用Bob的公钥对 K B ( m ) K_B(m) KB​(m)进行解密，判断与m是否一致 但是报文比较长，加密会耗费大量资源，所以一般用报文摘要 报文摘要的产生：对m使用散列函数H，得到H(m) 散列函数算法：MD5、SHA-1

4.密钥分发和证书

通信双方如何分享对称式的密钥?：trusted key distribution center(CDK)在实体之间扮演可信赖的中介 通信双方如何分享公共密钥?：certification authority(CA)在实体之间扮演可信赖的中介 KDC：服务器和每一个注册用户都分享一个对称式的密钥 具体流程：

CA：将每一个注册实体E和它的公钥捆绑 E需要到CA注册自己的公钥 证书包括：串号(证书发行者唯一)，证书拥有者信息，包括算法和密钥值本身 根证书：根证书是未被签名的公钥证书或自签名的证书 信任树：信任根证书CA颁布的证书，拿到了根CA的公钥

5.各个层次的安全性

安全电子邮件： Alice： 产生随机的对称密钥 K s K_s Ks​，使用 K s K_s Ks​对报文加密(为了效率)，对 K s K_s Ks​用Bob的公钥进行加密，将密文和加密后的密钥发送给Bob 现实中的电子邮件加密标准：PGP(pretty good privacy)

传输层的安全性： SSL(secure sockets layer)：基于TCP的为应用提供传输层次的安全性，比较复杂

网络层的安全性：主要是发送端主机对IP数据报中的数据进行加密 两个主要协议：认证头部(AH)协议、封装安全载荷(ESP)协议 AH头部包括：连接ID、认证数据、下一个字段(TCP/UDP) ESP会将数据和ESP尾部加密，next header字段在ESP尾部，ESP认证的头部与AH类似

6.防火墙

firewall：将组织内部网络和互联网隔离开来，按照规则允许某些分组进出，或者阻塞掉某些分组 第一种：分组过滤，内部网络通过配置防火墙的路由连接到互联网上 路由器对分组逐个过滤，根据规则来决定是否转发

ACL(Access Control Lists)：规则的表格，top-bottom应用到输入的分组对

这个是有状态的分组过滤

第二种：应用程序网关，根据应用数据的内容来过滤进出的数据报 分组过滤无法确定数据报的源地址的真实性 如果有多个应用需要控制，就需要多个应用程序网关 IDS：入侵检测系统，会深入分组检查分组的内容，检查分组间的相关性，判断是否是有害的分组