软考高级之系统架构师之数据通信与计算机网络

概念

OSPF

在划分区域之后，OSPF网络中的非主干区域中的路由器对于到外部网络的路由，一定要通过ABR(区域边界路由器)来转发，既然如此，对于区域内的路由器来说，就没有必要知道通往外部网络的详细路由，只要由ABR向该区域发布一条默认路由，告诉区域内的其他路由器，如果想要访问外部网络，可以通过ABR。这样在区域内的路由器中就只需要为数不多的区域内路由、AS中其他区域的路由和一条指向ABR的默认路由，而不用记录外部路由，能使区域内的路由表简化，降低对路由器的性能要求。这就是OSPF 路由协议中Stub Area，末梢区域的设计理念。

RSVP

RSVP是在应用程序开始发送报文之前来为该应用申请网络资源的，具有单向性、由接收者发起对资源预留的请求，并维护资源预留信息。路由器为每一条流进行资源预留的时候会沿着数据传输方向逐跳发送资源请求报文Path消息，其中包含自身对于带宽、延迟等参数的需求消息。收到请求的路由器在进行记录后，再把资源请求报文继续发到下一跳。当报文到达目的地，由接收方反向逐跳发送资源预留报文Resv消息给沿途的路由器进行资源预留。

DHCP

客户机会在租期过去50%时，直接向为其提供IP地址的DHCP Server发送单播的DHCP REQUEST消息包。如果客户机接收到该服务器回应的DHCP ACK消息包，客户机就根据包中所提供的新的租期以及其它已经更新的TCP/IP参数，更新自己的配置，IP租用更新完成。如果没有收到该服务器的回复，则客户机继续使用现有的IP地址，因为当前租期还有50%。

如果在租期过去50%时没有更新，则客户机将在租期过去87.5%时再次向为其提供IP地址的DHCP联系，发送广播的DHCP REQUEST消息包。如果还不成功，到租约100%时，客户机必须放弃这个IP地址，重新申请。如果此时无DHCP可用，客户机从169.254.0.0/16中随机选一个地址，每隔5分钟再进行尝试。

DHCP Decline：DHCP客户端收到DHCP服务器回应的ACK报文后，通过地址冲突检测发现服务器分配的地址冲突或由于其他原因导致不能使用，则发送Decline报文，通知服务器所分配的IP地址不可用。

单工、半双工、全双工

对端到端通信总线的信号传输方向与方式的分类定义如下：

• 单工：指A只能发信号，而B只能接收信号，通信是单向的
• 半双工：指A能发信号给B，B也能发信号给A，但这两个过程不能同时进行
• 全双工：在A给B发信号的同时，B也可以给A发信号，这两个过程可以同时进行互不影响

网络需求分析

网络需求分析包括网络总体需求分析、综合布线需求分析、网络可用性与可靠性分析、网络安全性分析需求分析、工程造价估算。

层次化网络设计模型

也叫网络分层设计模型，可以帮助设计者按层次设计网络结构，并对不同层次赋予特定的功能，为不同层次选择正确的设备与系统。通常包括三层：

1. 核心层：主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力，可靠性和高速传输。网络核心层将数据分组从一个区域高速地转发到另一个区域，快速转发和收敛是其主要功能。网络的控制功能要尽量少的在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计与网络设备的要求十分严格。如果需要连接因特网和外部网络，核心层还应包括一条或多条连接到外部网络的线路。其他功能：链路聚合、IP路由配置管理、IP组播、生成树、设置陷阱和报警、服务器群的高速连接等
2. 汇聚层：位于接入层和核心层之间的部分称为汇聚层，是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信流量，并提供到核心层的上行链路。因此汇聚层交换机与接入层交换机相比，需要更高的行能，更少的接口和更高的交换速率。其他功能：访问列表控制、VLAN间的路由选择执行、分组过滤、组播管理、QoS、负载均衡、快速收敛等
3. 接入层：网络中直接面向用户连接或访问网络的部分成为接入层，接入层的目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。其他功能：用户接入与认证、二三层交换、QoS、MAC地址认证过滤、计费管理、收集用户信息（如IP、Mac地址、访问日志）

为了保证网络的层次性，不能在设计中随意加入额外连接，除去接入层，其他层次应尽量采用模块化方式，模块间的边界应非常清晰。

进行层次化网络设计时，应是先从接入层开始设计，然后逐级往核心层走。原因是接入层其实代表需求，是因为有大量终端设备要接入，并有速度上的要求，基于负载、流量和行为的分析，然后才有汇聚层要达到什么要求，核心层得怎么设计。

一般情况下3个层次足够，过多的层次会导致整体网络性能的下降，提高网络的延迟，但是方便网络故障排查和文档编写。

扫描二维码关注公众号，回复： 16886230 查看本文章

网络系统生命周期

也叫网络设计过程，可以划分为五个阶段：

1. 需求规范：进行网络需求分析，有集中访谈和收集信息资料
2. 通信规范：进行网络体系分析，有网络内部通信流量分析
3. 逻辑网络设计：逻辑网络设计图（及文档），确定逻辑的网络结构，有网络IP地址分配方案制定，具体的软硬件、广域网连接和基本服务。网络结构设计、物理层技术选择、局域网技术选择与应用、广域网技术选择与应用、地址设计与命名模型、路由选择协议、网络管理、网络安全
4. 物理网络设计：确定物理的网络结构，依据逻辑网络设计的要求，确定设备的具体物理分布和运行环境。需要确定具体的软硬件，连接设备，布线和服务。设备选型、结构化布线、机房设计及物理网络设计相关的文档规范（如软硬件清单，费用清单）
5. 实施：进行网络设备安装，调试，以及网络运行时的维护工作

结构化布线系统

按照一般划分，结构化布线系统包括六个子系统：

1. 建筑群主干子系统
   提供外部建筑物与大楼内布线的连接点。EIA/TIA569标准规定网络接口的物理规格，实现建筑群之间的连接
2. 设备子系统
   EIA/TIA569标准规定设备间的设备布线。它是布线系统最主要的管理区域，所有楼层的资料都由电缆或光纤电缆传送至此。通常，此系统安装在计算机系统、网络系统和程控机系统的主机房内
3. 垂直主干子系统
   它连接通讯室、设备间和入口设备，包括主干电缆、中间交换和主交接、机械终端和用于主干到主干交换的接插线或插头。主干布线要采用星形拓扑结构，接地应符合EIA/TIA607规定的要求。
4. 管理子系统
   此部分放置电信布线系统设备，包括水平和主干布线系统的机械终端和1或交换。
5. 水平支干线子系统
   连接管理子系统至工作区，包括水平布线、信息插座、电缆终端及交换。指定的拓扑结构为星形拓扑。水平布线可选择的介质有三种(UTP电缆、STP电缆及光缆),最远的延伸距离为90米，除了90米水平电缆外，工作区与管理子系统的接插线和跨接线电缆的总长可达10米。
6. 工作区子系统
   工作区由信息插座延伸至站设备。工作区布线要求相对简单，这样就容易移动、添加和变更设备。

综合布线

机房是系统集成工程中服务器和网络设备的“家”，通常分为以下3类：
智能建筑弱电总控机房，工作包括布线、监控、消防、计算机机房、楼宇自控等；
电信间、弱电间和竖井；
数据中心机房，包括企业自用数据中心、运营商托管或互联网数据中心，大型的数据中心，可达数万台服务器。

机房工程
机房工程结合机房的环境条件、消防与安全、室内装修、送配电、综合布线、空气调节、照明、接地等方面的内容。机房建设工程不仅仅是一个装饰工程，更重要的 是一个集电工学、电子学、建筑装饰学、美学、暖通净化专业、计算机专业、弱电控制专业、消防专业等跨学科、跨专业领域的综合工程，并涉及到计算机网络工 程，PDS工程等专业技术的工程。
机房工程设计原则： 1) 实用性和先进性。 2) 安全可靠性。 3) 灵活性和可扩展性。 4) 标准化。 5) 经济性，投资保护。 6) 可管理性。 机房宜设于建筑物的第2、3层。 交流工作接地，接地电阻不大于4Ω。 安全保护接地，接地电阻不大于4Ω。 防静电接地，接地电阻不大于4Ω。
《大楼通信综合布线系统》适用于跨越距离不超过3000米、建筑总面积不超过100万平方米的布线区域，区域内的人员为50~5万人。
机房布线设计需要重点考虑以下几点： 考虑机房环境的节能、环保、安全； 适应冷热通道布置设备； 列头柜的设置； 敞开布线与线缆防火； 长跳线短链路与性能测试； 网络构架与外部网络，多运营商之间的网络互通； 高端产品应用的特殊情况； 机房与布线系统接地。
综合布线系统（Premises Distribution System，PDS）是楼宇和固区范围内，在统一的传输介质上建立的可以连接电话、计算机、会议电视和监视电视等设备的结构化信息传输系统。综合布线领 域广泛遵循的标准是TIA/EIA 568 A。
综合布线系统分为六个子系统：
1.工作区子系统：它是工作区内终端设备连接到信息插座之间的设备组成，包括信息插座、连接软线、适配器、计算机、网络集散器、电话、报警探头、摄像机、监视器、音响等。
2.水平子系统：水平子系统是布置在同一楼层上，一端接在信息插座，另一端接在配线间的跳线架上，它的功能是将干线子系统线路延伸到用户工作区，将用户工作区引至管理间子系统，并为用户提供一个符合国际标准，满足语音及高速数据传输要求的信息点出口。
3.管理间子系统：它是干线子系统和水平子系统的桥梁，同时又可为同层组网提供条件。其中包括双绞线跳线架、跳线(有快接式跳线和简易跳线之分)。
4. 垂直干线子系统：通常它是由主设备间至各层管理间，特别是在位于中央点的公共系统设备处提供多个线路设施，采用大对数的电缆馈线或光缆，两端分别端接在设备间和管理间的跳线架上，目的是实现计算机设备、程控交换机(PBX)、控制中心与各管理子系统间的连接，是建筑物干线电缆的路由。
5.设备间子系统：该子系统是由设备间中的电缆、连接跳线架及相关支撑硬件、防雷电保护装置等构成。可以说是整个配线系统的中心单元，因此它的布放、造型及环境条件的考虑适当与否，直接影响到将来信息系统的正常运行及维护和使用的灵活性。
6.建筑群子系统：它是将多个建筑物的数据通信信号连接成一体的布线系统，它采用架空或地下电缆管道或直埋敷设的室外电缆和光缆互连起来，是结构化布线系统的一部分，支持提供楼群之间通信所需的硬件。
综合布线常用公式：
（1）RJ-45头的需求量：m=n4+n415% m:表示RJ-45接头的总需求量；n:表示信息点的总量；n415%:表示留有的富余。
（2）信息模块的需求量：m=n+n3% m：表示信息模块的总需求量；n:表示信息点的总量；n3%：表示富余量。
（3）每层楼用线量：C=[0.55(L+S)+6]*n L:本楼层离管理间最远的信息点距离；S：本楼层离管理间最近的信息点距离；n:本楼层的信息点总数；0.55：备用系数。 网络规划、设计与实施 网络规划是要给网络建设和使用者做一个心中有数的设计结果。
网络规划率先考虑的有三个原则：实用性原则、开放性原则和先进性原则。
方案设计实施过程中必须考虑的原则如下：

1. 可靠性原则。网络的运行是稳固的。
2. 安全性原则。包括选用安全的操作系统、设置网络防火墙、网络防杀病毒、数据加密和信息工作制度的保密。
3. 高效性原则。性能指标高，软硬件性能充分发挥。
4. 可扩展性。能够在规模和性能两个方向上进行扩展。

网络控制

网络存储

DAS

直接连接存储，Direct Attached Storage，直连模式，不易扩展。在服务器上外挂一组大容量硬盘，存储设备与服务器主机之间采用SCSI通道连接，带宽为10MB/s、20MB/S、40MB/S和80MB/S等。直连式存储直接将存储设备连接到服务器上，这种方法难以扩展存储容量，而且不支持数据容错功能，当服务器出现异常时会造成数据丢失。

NAS

网络连接存储，网络附属存储，Network Attached Storage。有自己的文件系统，可以用 TCT/IP 作为其网览传输协议，用文件共享存取方式。是将存储设备通过标准的网络拓扑结构（如以太网）连接到一系列计算机上。它是一种专用数据存储服务器。它以数据为中心，将存储设备与服务器彻底分离，NAS 在网络中的独立设备，分配 IP 地址，通过网络来访问和存取。

将存储设备连接到现有的网络上，提供数据存储和文件访问服务的设备。NAS服务器是在专用主机上安装简化的瘦操作系统（只具有访问权限控制、数据保护和恢复等功能）的文件服务器。NAS服务器内置与网络连接所需要的协议，可以直接联网，具有权限的用户都可以通过网络访问 NAS服务器中的文件。

SAN

存储区域网络，Storage Area Network，块级存储，不是文件共享方式。

一种连接存储设备和存储管理子系统的专用网络，专门提供数据存储和管理功能。SAN可以被看作是负责数据传输的后端网络，而前端网络（或称为数据网络）则负责正常的TCP/IP传输。也可以把SAN看作是通过特定的互连方式连接的若干台存储服务器组成的单独的数据网络，提供企业级的数据存储服务。

DNS解析

将域名翻译为可由计算机直接读取的IP地址。根据查询对象不同DNS解析可分为递归解析和迭代解析两种方式。

可提供域名服务的包括本地缓存、本地域名服务器、权限域名服务器、顶级域名服务器以及根域名服务器。DNS主机名解析的查找顺序是，先查找客户端本地缓存，如果没有成功，则向DNS服务器发出解析请求。 本地缓存是内存中的一块区域，保存着最近被解析的主机名及其IP地址映像。由于解析程序缓存常驻内存中，所以比其他解析方法速度快。 当一个主机发出DNS查询报文时，这个查询报文就首先被送往该主机的本地域名服务器。本地域名服务器离用户较近，当所要查询的主机也属于同一个本地ISP时，该本地域名服务器立即就能将所查询的主机名转换为它的IP地址，而不需要再去询问其他的域名服务器。 每一个区都设置有域名服务器，即权限服务器，它负责将其管辖区内的主机域名转换为该主机的IP地址。在其上保存有所管辖区内的所有主机域名到IP地址的映射。 顶级域名服务器负责管理在本顶级域名服务器上注册的所有二级域名。当收到DNS查询请求时，能够将其管辖的二级域名转换为该二级域名的IP地址。或者是下一步应该找寻的域名服务器的IP地址。 根域名服务器是最高层次的域名服务器。每一个根域名服务器都要存有所有顶级域名服务器的IP地址和域名。当一个本地域名服务器对一个域名无法解析时，就会直接找到根域名服务器，然后根域名服务器会告知它应该去找哪一个顶级域名服务器进行查询。

递归查询

最常见也是默认的一种解析方式。如果客户端配置的本地域名服务器（Local DNS服务器）不能解析的话，则后面的查询过程全部由本地域名服务器代替DNS客户端进行查询，直到本地域名服务器从权威域名服务器得到正确的解析结果，然后由本地域名服务器告诉DNS客户端查询的结果。

在整个递归查询过程中，除一开始客户端向本地域名服务器发起查询请求外，其余各个环节均是以本地域名服务器为中心进行迭代查询，DNS客户端一直处于等待状态，直到本地域名服务器发回最终查询结果。相当于，在整个查询环节中本地域名服务器承担中介代理的角色。

递归解析的查询过程大致如下：

1. 客户端向本机配置的本地域名服务器发起DNS域名查询请求
2. 本地域名服务器收到请求后，会先查询本地缓存，如果有记录值会直接返回给客户端；如果没有记录，则本地域名服务器会向根域名服务器发起请求
3. 根域名服务器收到请求后，会根据所要查询域名中的后缀将所对应的顶级域名服务器（如.com、.cn等）返回给本地域名服务器
4. 本地域名服务器根据返回结果向所对应的顶级域名服务器发起查询请求
5. 对应的顶级域名服务器在收到DNS查询请求后，也是先查询自己的缓存，如果有所请求域名的解析记录，则会直接将记录返回给本地域名服务器，然后本地域名服务器再将记录返回给客户端，完成整个DNS解析过程
6. 如果顶级域名服务器没有记录值，就会将二级域名对应的服务器地址返回给本地域名服务器，本地域名服务器再次对二级域名服务器发起请求，如此类推，直到最终对应区域的权威域名服务器返回结果给本地域名服务器。然后本地域名服务器将记录值返回给DNS客户端，同时缓存本地查询记录，以便在TTL值内用户再次查询时直接将记录返回给客户端

迭代查询

递归查询除在一开始客户端发起查询请求外，其他环节都是由本地域名服务器代替客户端进行的。而迭代查询则是指所有查询工作全部由客户端自己进行，除此之外，整个查询路径和步骤与递归查询没有太大区别。

首先客户端向本地域名服务器发起请求，如果本地域名服务器没有缓存记录，客户端便会依次对根域名服务器、顶级域名服务器和二级域名服务器等发起迭代查询，直到获得最终的查询结果。

在以下条件之一满足时，就会采用迭代解析方式：

1. 在查询本地域名服务器时，如果客户端的请求报文中没有申请使用递归查询，即在DNS请求报文中的RD字段没有设置为1
2. 客户端在DNS请求报文中申请使用递归查询，但所配置的本地域名服务器禁止使用递归查询，即在应答DNS报文头部的RA字段设置为0

嗅探器

嗅探（Sniffers）是一种网络流量数据分析的手段，常见于网络安全攻防技术使用，也有用于业务分析领域。

https://dun.163.com/news/p/233ea1ba40a14791a5fb8d3b6847b663

80/20规则是指总流量的80%是网段内部的流量，而总流量的20%是网段外部的流量。

网络隔离

常见的网络隔离技术：

1. 防火墙：通过ACL进行网络数据包的隔离是最常见的隔离方法。局限于传输层以下的控制，对于病毒、木马、蠕虫、等应用层的攻击毫无办法；适合于网络隔离，不合适大型，双向访问业务网络隔离
2. 多重安全网关：也叫统一威胁管理（UTM），被称为新一代防火墙，能做到从网络层到应用层的全面检测。UTM功能有ACL，防入侵，防病毒，内容过滤，流量整形，防DOS
3. VLAN划分：VLAN划分技术避免广播风暴，解决有效数据传递问题；通过划分VLAN，隔离各个有安全性要求的部门。
4. 人工策略：断开网络物理连接，使用人工方式交换数据，这种方式安全性最好。

网闸

网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议摆渡，且对固态存储介质只有读和写两个命令。所以，物理隔离网闸从物理上隔离、阻断具有潜在攻击可能的一切连接，使黑客无法入侵、无法攻击、无法破坏，实现真正的安全。此设备对外网的任何响应都是对内网用户请求的应答。

使用安全隔离网闸的意义：

1. 当用户的网络需要保证高强度的安全，同时又与其他不信任网络进行信息交换的情况下，如果采用物理隔离卡，用户必须使用开关在内外网之间来回切换，不仅管理起来非常麻烦，使用起来也非常不方便。如果采用防火墙，由于防火墙自身的安全很难保证，所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入，安全性无法保证。在这种情况下，安全隔离网闸能够同时满足这两个要求，弥补物理隔离卡和防火墙的不足之处，是最好的选择。
2. 对网络的隔离是通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应层次上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。
3. 安装相应的应用模块之后，安全隔离网闸可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。

IPv6

另起一篇，参考

数据交换

Intemet 网络核心采取的交换方式为分组交换，分组交换也叫包交换，它将所接收的分组先进行存储再进行转发。

数据交换方式分为线路交换和存储转发，线路交换和存储转发的关键区别在于：前者静态分配线路，后者动态分配线路。
存储转发又分为报文交换和分组交换，分组交换又分为虚电路和数据报两种方式。
线路交换：交换（switch）的概念最早来源于电话系统。当用户发出电话呼叫时，电话系统中的交换机在呼叫者和接收者之间寻找并建立一条客观存在的物理通路。一旦通路被建立起来，便能够建立通话，线路是由发送和接收端专享的，直到通话的结束。这种数据交换的方式称为线路交换（circuit switching）。优点：传输延迟小，唯一的延迟是电磁信号的传播时间。一旦线路接通，便不会发生冲突。缺点：建立线路所需时间长。线路独享造成信道浪费。
报文交换：不事先建立线路，当发送方有数据块要发时，把数据块作为一个整体（也叫报文，message）交给交换设备（IMP），交换设备选择一条合适的空闲输出线，将数据块通过该输出线发送出去。这个过程中，交换设备的输入和输出线之间不建立物理连接，在每个交换设备处，报文首先被保存起来，在适当时被转发出去。缺点：对传输数据块大小不限制，报文较大时，IMP需要用硬盘进行缓存。单个大报文占用线路时间过长。
分组交换：分组交换技术严格限制数据块大小的上限，使分组可以在IMP的内存中存放，保证任何用户都不能独占线路超过几十毫秒，适合交互式通信。优点：吞吐率高，在具有多个分组的报文中，第二个分组尚未接到之前，第一个分组就可以继续往前传送，减少延迟提高吞吐率。缺点：存在拥塞，报文分片与重组，分组损失和失序等。分组交换是绝大多数计算机采用的技术，也有极少数计算机采用报文交换，但绝不采用线路交换。根据内部机制的不同，分组交换子网分为两类，一类采用面向连接（connected oriented），一类采用无连接（connect less），在有连接子网中，连接成为虚电路（virtual circuit），类似电话系统中的物理线路；无连接子网中的独立分组称为数据报（datagram），类似邮政系统中的电报。
信元交换技术是一种快速分组交换技术，它结合电路交换技术延迟小和分组交换技术灵活的优点。信元是固定长度的分组，ATM采用信元交换技术，其信元长度为53字节。

攻击

计算机网络上的通信面临以下四种威胁：

• 截获：攻击者从网络上窃听他人的通信内容
• 中断：攻击者有意中断他人在网络上的通信
• 篡改：攻击者故意篡改网络中传送的报文
• 伪造：攻击者伪造信息在网络上的传送

以上的四种威胁可以划分为两大类，即被动攻击和主动攻击。

截获信息的攻击属于被动攻击，而中断、篡改和伪造信息的攻击称为主动攻击。流量分析也是主动攻击。

参考