9实用网络技术

第九章 实用网络技术

公共传输网络分为：电路交换网络【公共交换电话网（PSTN）和综合业务数据网（ISDN） 】分组交换网络 【X.25、帧中继及ATM】。

虚电路和电路交换的最大区别：虚电路只给出了两个远程端点之间的传输通路，并没有把通路上的带宽固定分配给通路两端的用户，其它用户的信息流仍可以共享传输通路上物理两路的带宽。虚电路又可分为永久虚电路和交换虚电路。永久虚电路由公共传输网络提供者设置，这种虚电路一经设置便长期存在。交换虚电路需要两个远程端点通过呼叫控制协议建立，在完成当前数据传输后再拆除。呼叫控制协议在建立虚电路时，必须根据保温的端点地址选择合适的路径转发报文。

X.25是使用最早的分组交换协议标准。ITU提供的X.25 协议描述了主机（DTE）与分组交换网(PSN)之间的接口标准，使主机不必关心网络内部的操作就能方便的实现对各种不同网络的访问。 X.25 实际上是DTE与PSN之间接口的一组协议，包括物理层和分组层三个层次。 X.25的分组级相当于OSI参考模型中的网络层，其主要功能是向主机提供多信道的虚电路服务。

X.25 分组级的主要功能是将链路层所提供的链接DTE-DCE 的一条或多条物理链路复用成数条逻辑信道，并且对每一条逻辑信道所建立的虚电路执行与链路层单链路协议类似的链路建立、数据传输、流量控制、顺序和差错检错、链路的拆除等操作。

X.25提供虚呼叫和永久虚电路两种虚电路服务，虚呼叫即需要呼叫建立与拆除过程的虚电路服务，永久虚电路即在接入时协商指定的部需要呼叫建立与拆除过程的虚电路服务。每条虚电路都要赋予一个虚电路信号，X.25 中的虚电路号由逻辑信道组号（0~15）和逻辑信道号（0~255）组成。.

公用数据网有虚电路和数据报两种操作方式。

X.25 所规定的虚电路服务属于面向连接的OSI服务方式。

【X.25分组级分组格式：

(1)通用式标识（GFI）第一位（b8）称作Q位或先定位，只用于数据分组中。第二位（b7）称D位或传送确认位。第三、四位(b6、b5)用以指示数据分组的序号是用3位即模8（b5置“1”）还是7位即模128（b6置“1”），这两位或者取“10”，或者取“01”。

（2）逻辑信道标识

若该字节的最后一位（b1）为“0”，则表示分组为数据分组，若该位为“1”，则表示分组为控制分组。

（3）分组类型标识

由第三个字节组成，用于区分分组的类型和功能。若该字节的最后一位（b1）为“0”，则表示分组为数据分组；若该位为“1”，则表示分组为控制分组。】

x.25分组头部格式

在数据分组编码第三字节最末位M为“0” ，其他分组为1。M（More Data）位置“1”，表示还有后继的数据，即当前数据分组中的数据将以同一逻辑信道上的下一数据分组中的数据作为逻辑继续。P(S)、P(R)分别称为分组发送顺序号和接受顺序号。它们的作用是控制每天逻辑信道上向分组交换网发送或从交换网接受的数据流，而不只为站点之间提供确认手段。气目的是为了调节每个逻辑信道上的流量，一防止对分组交换网的压力过重。

帧中继技术首先是淡化了交换设备上的层次概念，将数据链路层和网络层进行了融合。融合的目的一方面减少了层次之间的借口处理，另一方面是简化流量控制的功能。上述的优化使得帧中继成为一种极为精简的协议，仅仅需要提供组帧、路由选择和高速传输的功能，从而可以获得较高的性能和有效性。 帧中继是继X.25后发展起来的数据通信方式。从原理上看，帧中继与X.25带宽较窄，而帧中继和ATM带宽较宽，所以常将帧中继和ATM称为快速分组交换。 帧中继保留了X.25链路层的HDLC帧格式，但不采用HDLC的平衡链路接入规程LAPB(Link Access Procedure-Balanced)，而采用D通道链路接入规程LAPD（Link Access Procedure on the D-Channel）。LAPD规程能在链路层实现链路的服用和粘接。与X.25相比，帧中继在操作处理上做了大量的简化。帧中继不考虑传输差错问题，其中间节点只做帧的转发操作，不需要执行接收确认和请求重发等操作，差错控制和流量控制均交由高层端系

统完成，所以大大缩短了节点的时延，提高了网内数据的传世速率。

帧中继网络的特点：（FR支持OSI下两层服务并提供部分的网络层功能）1、FR采用光纤作为传输介质，传输误码率降低 2、将分组重发、流量控制、纠正错误、防止拥塞等处理过程由端系统去实现；简化了节点的处理过程，缩短了处理时间，降低了网络时延

3、 具有灵活可靠的组网方式，可采用永久虚电路的方式，一条物理连接能够提供多个逻辑连接，用户所需的进网端口数减少。4、FR具有按需分配带宽的特点，用户支付了一定的费用购买“承诺信息速率”，当突发性数据发生时，在网络允许的范围内，可以使用更高的速率5、使用FR，用户接入费用相应减少。

帧中继的帧格式

（1）．帧中继的帧格式中，标志字段F和帧校验序列FCS的作用于HDLC中的类似。F字段用以标志帧的起始和结束，其比特模式为01111110，可采用0比特插入法实现数据的透明传输。（2）帧格式中的地址字段的主要作用是路由寻址，也监管拥塞控制

（3）．数据链路连接标识符DLCL由高、低两部分共10比特组成，用于惟一标识一个虚连

（4）命令|响应C\R与高层应用有关，帧中继本身并不适用。

（5）扩展地址位EA为“0”表示下一字节仍为地址，为“1”表示地址结束

（6）发送方将前向显示拥塞通知位FECN置“1”，用于通知接收方网络出现拥塞。将反向显 示拥塞通知位PECN 置“1”，用于通知发送方网络出现拥塞。

（7）可丢弃位DE由用户设置，若置“1”，表示当网络发生拥塞时，该帧可被优先丢弃。 帧中继的应用：帧中继即可作为公用网络的借口，也可作为专用网络的借口。一般速率在56Kbps到E1速率（2.048Mbps）间。

帧中继的常见应用1.局域网的互连2.语音传输3.文件传输

ATM是一种转换模式，在这一模式中信息被组织成信元，包含一段信息的信元并不需要周期性的出现在信道上，从这个意义上来说，这种转换模式是异步的（面向连接的）。

分组交换、帧中继和ATM交换三种方式的功能比较：分组交换网的交换节点参与了OSI第1到第3层的全部功能；帧中继节点只参与第2层功能的核心部分（2a），也即数据链路层中的帧定界、0比特插入和CRC检验功能，第2层的其他功能，即差错控和流量控制，以及第3层功能则由终端处理；ATM网络则更为简单，除了第1层的功能之外，交换节点不参与任何工作。从功能分布的情况来看，ATM网和电路交换网有点相似，可以说ATM网是综合了分组交换和电路交换的优点而形成的一种网络。

ATM的优点:1)ATM网络使用固定长度的信元作为传输的基本单元，固定长度的信元头部可以简化ATM交换机的处理；ATM网络允许混合使用多种高质量的传输介质（双绞线、同轴电缆和单模\多模光纤），并且可以支持不同的传输速率（25Mbps、45Mbps、155Mbps、625Mbps）；同时，高质量的传输介质使得ATM网络可以简化差错控制和流量控制的处理，从而，提高网络（或者ATM交换机）的吞吐量。 2)ATM网络可以同时支持数据、数字化语音/图像的传输，支持多媒体传输的应用，不同的应用需要具有不同的处理策略，资源预留机制可以支持高实时性的应用要求；ATM技术课用于组建各种规模的网络，如WAN、LAN等。

ATM的特征:1. 基于信元的分组交换技术(ATM仍然采用分组交换技术，ATM网络中传输的分组称为信元。ATM的信元具有固定的长度，即总是53个字节。其中5个字节是信头（Header），48个字节是信息段) 2.快速交换技术(ATM将电路交换与分组交换二者结合起来，类似于电路交换，端用户之间的信息传输之前必须事先分配逻辑信道，建立虚拟连接，并且ATM交换机的内部实现输入端口的信元直接交换到输出端口。逗留的时间不会超过100us。交换机的输入/输出速率高，一般为155.252Mbps、622.080Mbps等)

ATM 网络环境的组成：ATM网络（由ATM交换机和传输介质组成，其中传输介质可以是双绞线、同轴电缆和光纤。ATM网络又被分为专用ATM网络和通用ATM网络两类） ATM终端用户（包括ATM网络的用户设备，可以是主机、互连设备，这些设备通过ATM适配卡接入ATM

网络）。 ATM网络支持面向连接的信元交换，数据信元交换之前必须建立虚拟连接。采用复用/解复用技术。带宽预约的过程发生在VC建立时。

ATM子层：主要定义信元头得结构，以及使用物理链路的方法。 ATM的信头有两种形式，分别对用户-网络接口UNI和网络节点接口NNI。

GFC:一般流量控制字段，又称接入控制字段，用以确定发送顺序的优先级。

VPI/VCI：虚路径标识字段/虚通道标识字段，用作路由选择。

ATM子层的功能：

（1） 信元的汇集和分检：负责激昂多个输入端口iode信元分检到不同的输出端口

（2） VPI/VCI的管理：根据VPI/VCI映射表，将输入端口来的信元中的VPI/VCI映射成输出端口对应的VPI/VCI，并填充进信元头。

（3） 信元头的增删：ATM子层实体接受来自于AAL子层的信元体，并增加信元头，形成信元，接收方ATM子层实体执行相反的动作，完成删除信元头得任务。

（4） 信元率的调整：不同的链路需要不同的信元速率，如果输入的实际信元不够时，ATM层必须生成空信元填充信道。

ATM适配层：ITU的通信业务分类。

CLASS A :支持源/宿之间具有实时要求的恒定位速率（CBR），CBR业务采用面向连接的工作方式

CLASS B:支持源/宿之间具有实时性要求的可变位速率（VBR）业务，VBR业务采用面向连接的工作方式。

CLASS C:支持源/宿之间无实时性要求的可变位速率（VBR）业务。

CLASS D:支持面向无连接的数据传输服务。

AAL5的工作过程

发送SAR子层实体接到CS-PDU,执行拆卸工作，将CS-PDU拆卸成若干信元数据（长度为48字节），并依次提交物理层增加信元头和传输，由于PAD字段的增加，使得这种拆卸可以完整的进行。

为了保证收方SAR实体可以正确的组装CS-PDU，AAL5利用信元头的PT中的第2位来指明本信元在整个CS-PDU对应的信元流中的位置，收方SAR实体接到PT(b4b3b2)=0*1的信元时，组装CS-PDU,并上交给收方CS子层实体，收方CS子层实体计算CRC,并与CS-PDU中的CRC比较：如果一致，根据CS-PDU尾部的LF，截取用户数据并投递给用户，如果出错，并且无法恢复，根据用户需要，确定是否将有错的用户数据投递给用户。

ATM采用异步时分复用方式工作

第三层交换的引入的原因：传统的网络互连设备的局限性（传统的网络互连设备包括网桥、路由器、交换机等）

第三层交换技术的引入：然交换技术可以克服网络带宽的局限，并提供灵活的网络配置，而路由技术在目前的情况下有必不可少，于是人们就将这两种不同的技术结合起来，从而推出一种新的网络互连技术，这就是第三层交换技术，简称L3交换。如果仅考虑IP网，则可称为IP交换技术。 前已提出的L3交换解决方案分为两类：一类基于核心模型，另一类基于边缘多层混合交换模型。

局域网L3交换技术

1.Fast IP技术

Fast IP 技术是一种典型的基于边缘多层混合交换模型的L3交换解决方案，它采用了“路由一次，随后交换”的技术。下一跳解析协议是Fast IP 的主要技术基础。

2. Net Flow 技术

Met Flow 技术是典型的基于核心模型的L3交换方案，其目的是提高网络核心节点即路由器的性能。

广域网L3交换解决方案，其基本思想是增强广域网核心路由器的路由/转发能力。

虚拟局域网（VLAN）是通过路由和交换设备在网络的物理拓扑结构基础上建立的逻辑网络。一个VLAN可以看作是一组网络节点的集合，这些节点不必位于同一个物理网络中，但可以不受地理位置的限制而像在同一个局域网中那样进行数据通信。

虚拟局域网的交换技术：口交换、帧交换和信元交换。

虚拟局域网的划分方法：1）按交换端口号划分VLAN（2）按MAC地址划分VLAN（3）按第三层协议划分VLAN

虚拟局域网的互连方式：

（1）边界路 边界路由指的是将路由功能包含在位于主干网络边界的每一个LAN交换设备中，此时VLAN间的报文将由交换设备内在的路由能力进行处理，从而无须在将其传送至某个外部的路由器上，数据额转发延迟因而也将得以降低

（2）“独臂”路由器 采用“独臂“路由器的网络方案能消除主干网上集中式处理和高延迟的路由功能

（3）MPOA路由 MPOA的目的是给可能属于不同路由子网的多个用ATM网络连接的设备提供直接的虚拟连接，也就是说，MPOA将使得多个属于不同ELAN的站的通过ATM网络直接进行通信，而用不着经过一个中间路由器。

（4）第三层交换

VPN定义：虚拟专用网指的是依靠ISP和其它NSP，在公用网络中建立专用的数据通信网络技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 专用网一般指的是构建在Internet上能够自我管理的专用网络，

VPN特点（1）安全保障（2）服务质量保障（3）可扩充性和灵活性（4）可管理性

VPN的安全技术：隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。 VPN技术将成为当前广域网建设的最佳解决方案之一

网络管理基本功能（1）故障管理 网络管理器必须具备快速和可靠的故障检测、诊断和恢复功能。（2）计费管理。（3）配置管理 配置管理功能至少应包括识别被管理网络的拓扑结构、标识网络中的各种现象、自动修改制定设备的配置、动态维护网络配置数据库等内容。（4）性能管理 性能管理的目的是在使用最少的网络资源和具有最小延迟的前提下，确保网络能提供可靠、连续的通信能力，并使网络资源的使用达到最优化的程度。（5）安全管理 安全管理的目的是确保网络资源不被非法使用，防止网络资源由于入侵者攻击而遭受破坏。 目前最有影响的网络管理协议：一个是简单网络管理协议SNMP，另一个是公共管理信息服务和公共管理信息协议 CMIS/CMIP。

计算机网络安全包括物理安全（网络设备、程序、线路等方面的安全）信息安全(止在网络中存储或传送的信息收到破坏)

网络安全是为了在数据传输期间保护数据并且保证数据的传输是可信的，它强调的是网络中信息或数据的完整性、可用性以及保密性。完整性，是指保护信息不被非授权用户修改或破坏，可用性是指避免拒绝授权访问或拒绝服务，保密性是指保护信息不被泄露给非授权用户。 网络安全攻击:截获是以保密性作为攻击目标 ，修改是以完整性作为攻击目标，伪造是以完整性作为攻击目标。中断是以可用性为攻击目标。

网络安全机制：

（1）传统的加密机制 所谓加密就是将明文（原文件）经过处理转换成密文的过程，解密就是加密的逆过程，即将密文翻译成明文的过程。加密/解密必须遵循明文与密文的相互交换是惟一的、无误差的可逆变换的规则。

根据数据加密的密钥情况，可以将加密技术分为对称为数据加密技术和非加密技术。对称数据加密技术的加密和解密过程采用不同的密钥，即加密密钥和解密密钥不同。

传统的加密机制又五部分组成：明文、加密算法、密钥、密文、解密算法 它的原理是：发送方用该密钥对待发数据进行加密，然后加密数据传送到接收方，接收方再用相同的密钥对收到的加密数据进行解密。

（2）公开密钥加密

（3）加密算法 DES明文长度是64bit,而密钥的长度为56bit

(4) 认证报文认证的四种方式：使用传统方式的认证，没有报文加密的报文认证，使用密钥

的报文认证码方式，使用单向散列函数的认证。

（5） 数字签名就是附加在数据单元上的一些数据，或是对数据单元作得密码变换，也就是信息的发送者使用公开密钥算法的主要技术产生的别人无法伪造的一段数字串。

使用数字签名是因为对文件进行加密只解决了传送信息的保密问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其它的手段，而这一手段就是数字签名。在电子商务安全保密系统中，数字签名技术有着提别重要的地位，在电子商务安全服务中的源认证、完整性服务、不可否认服务中都用到数字签名技术。数字签名方法主要有三种：RSA签名、DSS签名、Hash签名。着三种算法可单独使用，也可综合使用。用RSA或其它公开密钥密码算法的最大方便是没有密钥分配问题。DSS数字签名是由美国国家标准化研究院和国家安全局共同开发的。Hash签名是最主要的数字签名方法，也称之为数字摘要法

加入数字签名和验证的文件传输过程如下：

（1） 首先发送方用哈希函数从原文得到数字签名，然后采用公开密钥体系用发送方的私有密钥对数字签名进行加密，并把加密后的熟悉签名附加在要发送的原文后面。

（2） 发送方选择一个秘密密钥对文件进行加密，并把加密后的文件通过网络传输到接收方。

（3） 发送方用接收方的公开密钥对秘密密钥进行加密，并通过网络吧加密后的秘密密钥传输到接收方。

（4） 接收方使用自己的私有密钥对密钥信息进行解密买得到秘密密钥的明文。

（5） 接收方用秘密密钥对文件进行解密，得到经过加密的数字签名。

（6） 接收方用发送方的公开密钥对数字签名进行解密，得到数字签名的明文。

（7） 接收方用得到的明文和哈希函数重新计算数字签名，并与解密后的数字签名进行对比。如果两个数字签名是相同的，则说明文件在传输过程中没有被破坏。

的报文认证码方式，使用单向散列函数的认证。

（5） 数字签名就是附加在数据单元上的一些数据，或是对数据单元作得密码变换，也就是信息的发送者使用公开密钥算法的主要技术产生的别人无法伪造的一段数字串。

使用数字签名是因为对文件进行加密只解决了传送信息的保密问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其它的手段，而这一手段就是数字签名。在电子商务安全保密系统中，数字签名技术有着提别重要的地位，在电子商务安全服务中的源认证、完整性服务、不可否认服务中都用到数字签名技术。数字签名方法主要有三种：RSA签名、DSS签名、Hash签名。着三种算法可单独使用，也可综合使用。用RSA或其它公开密钥密码算法的最大方便是没有密钥分配问题。DSS数字签名是由美国国家标准化研究院和国家安全局共同开发的。Hash签名是最主要的数字签名方法，也称之为数字摘要法

加入数字签名和验证的文件传输过程如下：

（1） 首先发送方用哈希函数从原文得到数字签名，然后采用公开密钥体系用发送方的私有密钥对数字签名进行加密，并把加密后的熟悉签名附加在要发送的原文后面。

（2） 发送方选择一个秘密密钥对文件进行加密，并把加密后的文件通过网络传输到接收方。

（3） 发送方用接收方的公开密钥对秘密密钥进行加密，并通过网络吧加密后的秘密密钥传输到接收方。

（4） 接收方使用自己的私有密钥对密钥信息进行解密买得到秘密密钥的明文。

（5） 接收方用秘密密钥对文件进行解密，得到经过加密的数字签名。

（6） 接收方用发送方的公开密钥对数字签名进行解密，得到数字签名的明文。

（7） 接收方用得到的明文和哈希函数重新计算数字签名，并与解密后的数字签名进行对比。如果两个数字签名是相同的，则说明文件在传输过程中没有被破坏。

第九章 实用网络技术

公共传输网络分为：电路交换网络【公共交换电话网（PSTN）和综合业务数据网（ISDN） 】分组交换网络 【X.25、帧中继及ATM】。

虚电路和电路交换的最大区别：虚电路只给出了两个远程端点之间的传输通路，并没有把通路上的带宽固定分配给通路两端的用户，其它用户的信息流仍可以共享传输通路上物理两路的带宽。虚电路又可分为永久虚电路和交换虚电路。永久虚电路由公共传输网络提供者设置，这种虚电路一经设置便长期存在。交换虚电路需要两个远程端点通过呼叫控制协议建立，在完成当前数据传输后再拆除。呼叫控制协议在建立虚电路时，必须根据保温的端点地址选择合适的路径转发报文。

X.25是使用最早的分组交换协议标准。ITU提供的X.25 协议描述了主机（DTE）与分组交换网(PSN)之间的接口标准，使主机不必关心网络内部的操作就能方便的实现对各种不同网络的访问。 X.25 实际上是DTE与PSN之间接口的一组协议，包括物理层和分组层三个层次。 X.25的分组级相当于OSI参考模型中的网络层，其主要功能是向主机提供多信道的虚电路服务。

X.25 分组级的主要功能是将链路层所提供的链接DTE-DCE 的一条或多条物理链路复用成数条逻辑信道，并且对每一条逻辑信道所建立的虚电路执行与链路层单链路协议类似的链路建立、数据传输、流量控制、顺序和差错检错、链路的拆除等操作。

X.25提供虚呼叫和永久虚电路两种虚电路服务，虚呼叫即需要呼叫建立与拆除过程的虚电路服务，永久虚电路即在接入时协商指定的部需要呼叫建立与拆除过程的虚电路服务。每条虚电路都要赋予一个虚电路信号，X.25 中的虚电路号由逻辑信道组号（0~15）和逻辑信道号（0~255）组成。.

公用数据网有虚电路和数据报两种操作方式。

X.25 所规定的虚电路服务属于面向连接的OSI服务方式。

【X.25分组级分组格式：

(1)通用式标识（GFI）第一位（b8）称作Q位或先定位，只用于数据分组中。第二位（b7）称D位或传送确认位。第三、四位(b6、b5)用以指示数据分组的序号是用3位即模8（b5置“1”）还是7位即模128（b6置“1”），这两位或者取“10”，或者取“01”。

（2）逻辑信道标识

若该字节的最后一位（b1）为“0”，则表示分组为数据分组，若该位为“1”，则表示分组为控制分组。

（3）分组类型标识

由第三个字节组成，用于区分分组的类型和功能。若该字节的最后一位（b1）为“0”，则表示分组为数据分组；若该位为“1”，则表示分组为控制分组。】

x.25分组头部格式

在数据分组编码第三字节最末位M为“0” ，其他分组为1。M（More Data）位置“1”，表示还有后继的数据，即当前数据分组中的数据将以同一逻辑信道上的下一数据分组中的数据作为逻辑继续。P(S)、P(R)分别称为分组发送顺序号和接受顺序号。它们的作用是控制每天逻辑信道上向分组交换网发送或从交换网接受的数据流，而不只为站点之间提供确认手段。气目的是为了调节每个逻辑信道上的流量，一防止对分组交换网的压力过重。

帧中继技术首先是淡化了交换设备上的层次概念，将数据链路层和网络层进行了融合。融合的目的一方面减少了层次之间的借口处理，另一方面是简化流量控制的功能。上述的优化使得帧中继成为一种极为精简的协议，仅仅需要提供组帧、路由选择和高速传输的功能，从而可以获得较高的性能和有效性。 帧中继是继X.25后发展起来的数据通信方式。从原理上看，帧中继与X.25带宽较窄，而帧中继和ATM带宽较宽，所以常将帧中继和ATM称为快速分组交换。 帧中继保留了X.25链路层的HDLC帧格式，但不采用HDLC的平衡链路接入规程LAPB(Link Access Procedure-Balanced)，而采用D通道链路接入规程LAPD（Link Access Procedure on the D-Channel）。LAPD规程能在链路层实现链路的服用和粘接。与X.25相比，帧中继在操作处理上做了大量的简化。帧中继不考虑传输差错问题，其中间节点只做帧的转发操作，不需要执行接收确认和请求重发等操作，差错控制和流量控制均交由高层端系

统完成，所以大大缩短了节点的时延，提高了网内数据的传世速率。

帧中继网络的特点：（FR支持OSI下两层服务并提供部分的网络层功能）1、FR采用光纤作为传输介质，传输误码率降低 2、将分组重发、流量控制、纠正错误、防止拥塞等处理过程由端系统去实现；简化了节点的处理过程，缩短了处理时间，降低了网络时延

3、 具有灵活可靠的组网方式，可采用永久虚电路的方式，一条物理连接能够提供多个逻辑连接，用户所需的进网端口数减少。4、FR具有按需分配带宽的特点，用户支付了一定的费用购买“承诺信息速率”，当突发性数据发生时，在网络允许的范围内，可以使用更高的速率5、使用FR，用户接入费用相应减少。

帧中继的帧格式

（1）．帧中继的帧格式中，标志字段F和帧校验序列FCS的作用于HDLC中的类似。F字段用以标志帧的起始和结束，其比特模式为01111110，可采用0比特插入法实现数据的透明传输。（2）帧格式中的地址字段的主要作用是路由寻址，也监管拥塞控制

（3）．数据链路连接标识符DLCL由高、低两部分共10比特组成，用于惟一标识一个虚连

（4）命令|响应C\R与高层应用有关，帧中继本身并不适用。

（5）扩展地址位EA为“0”表示下一字节仍为地址，为“1”表示地址结束

（6）发送方将前向显示拥塞通知位FECN置“1”，用于通知接收方网络出现拥塞。将反向显 示拥塞通知位PECN 置“1”，用于通知发送方网络出现拥塞。

（7）可丢弃位DE由用户设置，若置“1”，表示当网络发生拥塞时，该帧可被优先丢弃。 帧中继的应用：帧中继即可作为公用网络的借口，也可作为专用网络的借口。一般速率在56Kbps到E1速率（2.048Mbps）间。

帧中继的常见应用1.局域网的互连2.语音传输3.文件传输

ATM是一种转换模式，在这一模式中信息被组织成信元，包含一段信息的信元并不需要周期性的出现在信道上，从这个意义上来说，这种转换模式是异步的（面向连接的）。

分组交换、帧中继和ATM交换三种方式的功能比较：分组交换网的交换节点参与了OSI第1到第3层的全部功能；帧中继节点只参与第2层功能的核心部分（2a），也即数据链路层中的帧定界、0比特插入和CRC检验功能，第2层的其他功能，即差错控和流量控制，以及第3层功能则由终端处理；ATM网络则更为简单，除了第1层的功能之外，交换节点不参与任何工作。从功能分布的情况来看，ATM网和电路交换网有点相似，可以说ATM网是综合了分组交换和电路交换的优点而形成的一种网络。

ATM的优点:1)ATM网络使用固定长度的信元作为传输的基本单元，固定长度的信元头部可以简化ATM交换机的处理；ATM网络允许混合使用多种高质量的传输介质（双绞线、同轴电缆和单模\多模光纤），并且可以支持不同的传输速率（25Mbps、45Mbps、155Mbps、625Mbps）；同时，高质量的传输介质使得ATM网络可以简化差错控制和流量控制的处理，从而，提高网络（或者ATM交换机）的吞吐量。 2)ATM网络可以同时支持数据、数字化语音/图像的传输，支持多媒体传输的应用，不同的应用需要具有不同的处理策略，资源预留机制可以支持高实时性的应用要求；ATM技术课用于组建各种规模的网络，如WAN、LAN等。

ATM的特征:1. 基于信元的分组交换技术(ATM仍然采用分组交换技术，ATM网络中传输的分组称为信元。ATM的信元具有固定的长度，即总是53个字节。其中5个字节是信头（Header），48个字节是信息段) 2.快速交换技术(ATM将电路交换与分组交换二者结合起来，类似于电路交换，端用户之间的信息传输之前必须事先分配逻辑信道，建立虚拟连接，并且ATM交换机的内部实现输入端口的信元直接交换到输出端口。逗留的时间不会超过100us。交换机的输入/输出速率高，一般为155.252Mbps、622.080Mbps等)

ATM 网络环境的组成：ATM网络（由ATM交换机和传输介质组成，其中传输介质可以是双绞线、同轴电缆和光纤。ATM网络又被分为专用ATM网络和通用ATM网络两类） ATM终端用户（包括ATM网络的用户设备，可以是主机、互连设备，这些设备通过ATM适配卡接入ATM

网络）。 ATM网络支持面向连接的信元交换，数据信元交换之前必须建立虚拟连接。采用复用/解复用技术。带宽预约的过程发生在VC建立时。

ATM子层：主要定义信元头得结构，以及使用物理链路的方法。 ATM的信头有两种形式，分别对用户-网络接口UNI和网络节点接口NNI。

GFC:一般流量控制字段，又称接入控制字段，用以确定发送顺序的优先级。

VPI/VCI：虚路径标识字段/虚通道标识字段，用作路由选择。

ATM子层的功能：

（1） 信元的汇集和分检：负责激昂多个输入端口iode信元分检到不同的输出端口

（2） VPI/VCI的管理：根据VPI/VCI映射表，将输入端口来的信元中的VPI/VCI映射成输出端口对应的VPI/VCI，并填充进信元头。

（3） 信元头的增删：ATM子层实体接受来自于AAL子层的信元体，并增加信元头，形成信元，接收方ATM子层实体执行相反的动作，完成删除信元头得任务。

（4） 信元率的调整：不同的链路需要不同的信元速率，如果输入的实际信元不够时，ATM层必须生成空信元填充信道。

ATM适配层：ITU的通信业务分类。

CLASS A :支持源/宿之间具有实时要求的恒定位速率（CBR），CBR业务采用面向连接的工作方式

CLASS B:支持源/宿之间具有实时性要求的可变位速率（VBR）业务，VBR业务采用面向连接的工作方式。

CLASS C:支持源/宿之间无实时性要求的可变位速率（VBR）业务。

CLASS D:支持面向无连接的数据传输服务。

AAL5的工作过程

发送SAR子层实体接到CS-PDU,执行拆卸工作，将CS-PDU拆卸成若干信元数据（长度为48字节），并依次提交物理层增加信元头和传输，由于PAD字段的增加，使得这种拆卸可以完整的进行。

为了保证收方SAR实体可以正确的组装CS-PDU，AAL5利用信元头的PT中的第2位来指明本信元在整个CS-PDU对应的信元流中的位置，收方SAR实体接到PT(b4b3b2)=0*1的信元时，组装CS-PDU,并上交给收方CS子层实体，收方CS子层实体计算CRC,并与CS-PDU中的CRC比较：如果一致，根据CS-PDU尾部的LF，截取用户数据并投递给用户，如果出错，并且无法恢复，根据用户需要，确定是否将有错的用户数据投递给用户。

ATM采用异步时分复用方式工作

第三层交换的引入的原因：传统的网络互连设备的局限性（传统的网络互连设备包括网桥、路由器、交换机等）

第三层交换技术的引入：然交换技术可以克服网络带宽的局限，并提供灵活的网络配置，而路由技术在目前的情况下有必不可少，于是人们就将这两种不同的技术结合起来，从而推出一种新的网络互连技术，这就是第三层交换技术，简称L3交换。如果仅考虑IP网，则可称为IP交换技术。 前已提出的L3交换解决方案分为两类：一类基于核心模型，另一类基于边缘多层混合交换模型。

局域网L3交换技术

1.Fast IP技术

Fast IP 技术是一种典型的基于边缘多层混合交换模型的L3交换解决方案，它采用了“路由一次，随后交换”的技术。下一跳解析协议是Fast IP 的主要技术基础。

2. Net Flow 技术

Met Flow 技术是典型的基于核心模型的L3交换方案，其目的是提高网络核心节点即路由器的性能。

广域网L3交换解决方案，其基本思想是增强广域网核心路由器的路由/转发能力。

虚拟局域网（VLAN）是通过路由和交换设备在网络的物理拓扑结构基础上建立的逻辑网络。一个VLAN可以看作是一组网络节点的集合，这些节点不必位于同一个物理网络中，但可以不受地理位置的限制而像在同一个局域网中那样进行数据通信。

虚拟局域网的交换技术：口交换、帧交换和信元交换。

虚拟局域网的划分方法：1）按交换端口号划分VLAN（2）按MAC地址划分VLAN（3）按第三层协议划分VLAN

虚拟局域网的互连方式：

（1）边界路 边界路由指的是将路由功能包含在位于主干网络边界的每一个LAN交换设备中，此时VLAN间的报文将由交换设备内在的路由能力进行处理，从而无须在将其传送至某个外部的路由器上，数据额转发延迟因而也将得以降低

（2）“独臂”路由器 采用“独臂“路由器的网络方案能消除主干网上集中式处理和高延迟的路由功能

（3）MPOA路由 MPOA的目的是给可能属于不同路由子网的多个用ATM网络连接的设备提供直接的虚拟连接，也就是说，MPOA将使得多个属于不同ELAN的站的通过ATM网络直接进行通信，而用不着经过一个中间路由器。

（4）第三层交换

VPN定义：虚拟专用网指的是依靠ISP和其它NSP，在公用网络中建立专用的数据通信网络技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 专用网一般指的是构建在Internet上能够自我管理的专用网络，

VPN特点（1）安全保障（2）服务质量保障（3）可扩充性和灵活性（4）可管理性

VPN的安全技术：隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。 VPN技术将成为当前广域网建设的最佳解决方案之一

网络管理基本功能（1）故障管理 网络管理器必须具备快速和可靠的故障检测、诊断和恢复功能。（2）计费管理。（3）配置管理 配置管理功能至少应包括识别被管理网络的拓扑结构、标识网络中的各种现象、自动修改制定设备的配置、动态维护网络配置数据库等内容。（4）性能管理 性能管理的目的是在使用最少的网络资源和具有最小延迟的前提下，确保网络能提供可靠、连续的通信能力，并使网络资源的使用达到最优化的程度。（5）安全管理 安全管理的目的是确保网络资源不被非法使用，防止网络资源由于入侵者攻击而遭受破坏。 目前最有影响的网络管理协议：一个是简单网络管理协议SNMP，另一个是公共管理信息服务和公共管理信息协议 CMIS/CMIP。

计算机网络安全包括物理安全（网络设备、程序、线路等方面的安全）信息安全(止在网络中存储或传送的信息收到破坏)

网络安全是为了在数据传输期间保护数据并且保证数据的传输是可信的，它强调的是网络中信息或数据的完整性、可用性以及保密性。完整性，是指保护信息不被非授权用户修改或破坏，可用性是指避免拒绝授权访问或拒绝服务，保密性是指保护信息不被泄露给非授权用户。 网络安全攻击:截获是以保密性作为攻击目标 ，修改是以完整性作为攻击目标，伪造是以完整性作为攻击目标。中断是以可用性为攻击目标。

网络安全机制：

（1）传统的加密机制 所谓加密就是将明文（原文件）经过处理转换成密文的过程，解密就是加密的逆过程，即将密文翻译成明文的过程。加密/解密必须遵循明文与密文的相互交换是惟一的、无误差的可逆变换的规则。

根据数据加密的密钥情况，可以将加密技术分为对称为数据加密技术和非加密技术。对称数据加密技术的加密和解密过程采用不同的密钥，即加密密钥和解密密钥不同。

传统的加密机制又五部分组成：明文、加密算法、密钥、密文、解密算法 它的原理是：发送方用该密钥对待发数据进行加密，然后加密数据传送到接收方，接收方再用相同的密钥对收到的加密数据进行解密。

（2）公开密钥加密

（3）加密算法 DES明文长度是64bit,而密钥的长度为56bit

(4) 认证报文认证的四种方式：使用传统方式的认证，没有报文加密的报文认证，使用密钥

的报文认证码方式，使用单向散列函数的认证。

（5） 数字签名就是附加在数据单元上的一些数据，或是对数据单元作得密码变换，也就是信息的发送者使用公开密钥算法的主要技术产生的别人无法伪造的一段数字串。

使用数字签名是因为对文件进行加密只解决了传送信息的保密问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其它的手段，而这一手段就是数字签名。在电子商务安全保密系统中，数字签名技术有着提别重要的地位，在电子商务安全服务中的源认证、完整性服务、不可否认服务中都用到数字签名技术。数字签名方法主要有三种：RSA签名、DSS签名、Hash签名。着三种算法可单独使用，也可综合使用。用RSA或其它公开密钥密码算法的最大方便是没有密钥分配问题。DSS数字签名是由美国国家标准化研究院和国家安全局共同开发的。Hash签名是最主要的数字签名方法，也称之为数字摘要法

加入数字签名和验证的文件传输过程如下：

（1） 首先发送方用哈希函数从原文得到数字签名，然后采用公开密钥体系用发送方的私有密钥对数字签名进行加密，并把加密后的熟悉签名附加在要发送的原文后面。

（2） 发送方选择一个秘密密钥对文件进行加密，并把加密后的文件通过网络传输到接收方。

（3） 发送方用接收方的公开密钥对秘密密钥进行加密，并通过网络吧加密后的秘密密钥传输到接收方。

（4） 接收方使用自己的私有密钥对密钥信息进行解密买得到秘密密钥的明文。

（5） 接收方用秘密密钥对文件进行解密，得到经过加密的数字签名。

（6） 接收方用发送方的公开密钥对数字签名进行解密，得到数字签名的明文。

（7） 接收方用得到的明文和哈希函数重新计算数字签名，并与解密后的数字签名进行对比。如果两个数字签名是相同的，则说明文件在传输过程中没有被破坏。

的报文认证码方式，使用单向散列函数的认证。

（5） 数字签名就是附加在数据单元上的一些数据，或是对数据单元作得密码变换，也就是信息的发送者使用公开密钥算法的主要技术产生的别人无法伪造的一段数字串。

使用数字签名是因为对文件进行加密只解决了传送信息的保密问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其它的手段，而这一手段就是数字签名。在电子商务安全保密系统中，数字签名技术有着提别重要的地位，在电子商务安全服务中的源认证、完整性服务、不可否认服务中都用到数字签名技术。数字签名方法主要有三种：RSA签名、DSS签名、Hash签名。着三种算法可单独使用，也可综合使用。用RSA或其它公开密钥密码算法的最大方便是没有密钥分配问题。DSS数字签名是由美国国家标准化研究院和国家安全局共同开发的。Hash签名是最主要的数字签名方法，也称之为数字摘要法

加入数字签名和验证的文件传输过程如下：

（1） 首先发送方用哈希函数从原文得到数字签名，然后采用公开密钥体系用发送方的私有密钥对数字签名进行加密，并把加密后的熟悉签名附加在要发送的原文后面。

（2） 发送方选择一个秘密密钥对文件进行加密，并把加密后的文件通过网络传输到接收方。

（3） 发送方用接收方的公开密钥对秘密密钥进行加密，并通过网络吧加密后的秘密密钥传输到接收方。

（4） 接收方使用自己的私有密钥对密钥信息进行解密买得到秘密密钥的明文。

（5） 接收方用秘密密钥对文件进行解密，得到经过加密的数字签名。

（6） 接收方用发送方的公开密钥对数字签名进行解密，得到数字签名的明文。

（7） 接收方用得到的明文和哈希函数重新计算数字签名，并与解密后的数字签名进行对比。如果两个数字签名是相同的，则说明文件在传输过程中没有被破坏。