[转帖]计算机网络体系结构及协议-信息系统项目管理师必读

翔羽

高层协议介绍

　传输层

　1. 传输层在OSI中的地位和作用

　　OSI七层模型中的物理层、数据链路层和网络层是面向网络通信的低三层协议。运输层负责端到端的通信，既是七层模型中负责数据通信的最高层，又是面向网络通信的低三层和面向信息处里的高三层之间的中间层。运输层位于网络层之上、会话层之下，它利用网络层子系统提供给它的服务区开发本层的功能，并实现本层对会话层的服务。
　　运输层是OSI七层模型中最重要、最关键的一层，是唯一负责总体数据传输和控制的一层。运输层的两个主要目的是：第一，提供可靠的端到端的通信；第二，向会话层提供独立于网络的运输服务。
　　在讨论为实现这两个目标所应具有的功能之前，先考察一下运输层所处的地位。首先，运输层之上的会话层、表示层及应用层局部包含任何数据传输的功能，而网络层又不一定需要保证发送站的数据可靠地送至目的站会话层不必考虑实际网络的结构属性连接方式等实现的细节。
　　根据运输层在七层模型中的目的和单位，它的主要功能是：对一个进行的对话或连接提供可靠的运输服务，在通向网络的单一物理连接上实现该连接的复用，在单一连接上提供端到端的序号与流量控制端到端的差错控制及恢复等服务。
　　运输层反映并扩展了网络层子系统的服务功能，并通过运输层地址提供给高层用户传输数据的通信端口，是系统间高层资源的共享不必考虑数据通信方面的问题。

　2.运输服务

　　运输层的服务包括的内容有：服务的类型、服务的等级、数据的传输、用户的接口、连接管理、快速数据传输、状态报告、安全保密等。
　　(1)服务类型。 运输服务有两大类，即面向连接的服务和面向无连接服务。面向连接的服务提供运输服务用户之间逻辑连接的建立、维持和拆除，是可靠的服务，可提供流量控制、差错控制和序列控制。无连接服务，只能提供不可靠的服务。
　　需要说明的是，面向连接的运输服务与面向连接的网络层服务十分相似，两者都向用户提供连接的建立、维持和拆除，而无连接的运输服务与无连接的网络层服务业十分相似。那么，既然运输层服务与网络层服务如此相似，又为什么要将它们划分为两个层次呢？前面章节已经介绍过，网络层是通信子网的一个组成部分，网络服务质量并不可靠，如会频繁的丢失分组、网络层系统可能崩溃或不断的进行网络复位。对于这种情况，用户将束手无策，因为用户不能对通信子网加以控制，因而无法采用更优的通信处理机来解决网络服务质量低劣的问题，更不能通过改进数据链路层纠错能力来改善它。解决这个问题的唯一可能办法就是在网路层上增加一层运输层。运输层的存在，使运输服务比网络服务更可靠，分组的丢失、残缺、甚至网络的复位均可被运输层检测出来，并采取相应的补救错施。而且，因为运输服务独立于网络服务，可以采用一种标准的原预计作为运输服务，而网络服务则随不同的网络可能有很大的不同。因为运输服务是标准的，用运输服务原语编写的应用程序能广泛适应于各种网络，因而不必担心不同的通信子网所提供的不同的服务及服务质量。
　　⑵.服务等级。运输协议实体应该允许运输层用户能选择运输层所提供的服务等级，以利于更有效的利用所提供的链路际互连网络资源。可提供的服务包括差错和丢失数据的程度、允许的平均延迟和最大延迟、允许的平均吞吐率和最小吞吐率以及优先级水平等。更具这些要求，可将运输层协议服务等级细分为以下四类：
　　①.可靠的面向连接的协议；
　　②.不可靠的无连接协议；
　　③.需要定序和定时传输的话音传输协议；
　　④.需要快速和高可靠的实时协议。
　　⑶.数据传输。数据传输的任务是在两个运输实体之间传输用户数据和控制数据。一般采用全双工服务，来别也可采用半双工服务。数据可分为正常的服务数据分组和快递服务数据分组两种，对快速服务数据分组的传输可暂时中止当前的数据传输，在接收短用中短方式优先接收。
　　⑷.用户接口。用户接口机制可以有多种方式，包括采用过程调用、通过邮箱传输数据和参数、用DMA方式在主机与具有运输层实体的前端处理机之间传输等。
　　⑸.连接管理。面向连接的协议需要提供建立和终止连接的功能。一般总是提供对称的功能，即两个对话的实体豆油连接管理的功能，对简单的应用也有仅对一方提供连接管理功能的情况。连接的终止可以采用立即终止传输，或等待全部数据传输完再终止连接。
　　⑺.安全保密。包括对发送者和接收者的确认、数据的加密以及通过保密的链路和节点的路由选择等安全保密服务。

　3.服务质量

　　服务质量QOS（Quallity of Service）是指在运输两节点之间看到的某些运输连接的特征，是运输层性能的度量，反映了传输质量及服务的可用性。
　　服务质量可用一些参数来描述，如连接建立延迟、连接建立失败、吞吐量、输送延迟、残留差错率、连接拆除延迟、连接拆除失败概率、连接会弹率传输失败率等等。用户可以在连接建立是指明所期望的、可以接受的或不接受的QOS参数值。通常，用户使用连接建立源于在用户与运输服务提供者之间协商QOS，协商过的QOS适用于整个运输连接的生存期。但主呼用户请求的QOS可能被运输服务者提供者降低，也可能被被呼用户降低。
　　根据用户要求和差错性质，网络服务按质量可分为以下三种类型：
　　⑴.A型网络服务,具有了接受的残留差错率和故障通知率；
　　⑵.B型网络服务,具有可接受的残留差错率和不可接受的故障通知率;
　　⑶.C型网络服务,具有不可接受的残留差错率。
　　可见,网络服务质量的划分是以用户要求为依据的.若用户要求比较高,则一个网络可能归于C型；反之，则一个网络可能归于B型甚至A型。例如，对于某个电子邮件系统来说，每周丢失一个分组的网络也许可算做A型；而同一个网络对银行系统来说则只能算作C行了。三种类型的网络服务中,A型服务质量最高，B型网络服务质量次之，C型网络服务质量最差。

　4.运输层协议等级

　　运输层的功能是要弥补从网络层获得的服务和拟向运输服务用户提供的服务之间的差距,它所担心的是提高服务质量,包括优化成本。
　　运输层的功能按级别划分，OSI定义了五种协议级别，即级别0（简单级）、级别1（基本差错恢复级）、级别2（多路复用级）、级别3（差错恢复和多路复用级）和级别4（差错检测和恢复级）。服务质量划分的较高的网络，仅需药较简单的协议级别；反之，服务质量划分的较低的网络，仅需要较复杂的协议级别。

　5.运输服务原语

　　服务在形式上是一组原语（Primitive）来描述的。原语被用来统治服务提供者采取某些行动，或报告某同层尸体已经采取的行动。在OSI参考模型中，服务原语划分为四种类型：
　　⑴.请求(Request)。用户利用它要求服务提供者提供某些服务，如建立连接或发送数据等；
　　⑵.指示(Indication)。服务提供者执行一个请求以后，用指示原语通知收方的用户实体，告知有人想要与之建立连接或发送数据等；
　　⑶.响应(Response)。收到指示原语后，利用响应原语向对方作出反应，；例如同意或不同意建立连接等；
　　⑷.确认(Confirm)。请求对方可以通过接收确认原语来获悉对方是否同意接受请求。
原语可以携带参数，如连接请求原语的参数肯恩公之命他摇匀阿台机器连接，需要什么服务类别等。连接指示原语的参数肯恩公包含呼叫者的表示、需要服务的类别等。被呼叫实体可以在响应原语中的参数里表示同意或不同意连接，若同意，则肯恩公对某些参数给出协商制，比如最大数据吞吐量等。ISO 定义的运输服务包括了4种类型共10个运输服务原语。

　2 会话层

　　会话层在运输层提供的服务上，加强了会话管理、同步和活动管理等功能。

　1.实现会话连接到运输连接的映射

　　会话层的主要功能是提供建立连接并有序传输数据的一种方法，这种连接就叫作绘画(Session)。会话可以使一个远程终端登录到远地的计算机，进行文件传输或进行其它的应用。
　　会话连接建立的基础是建立运输连接，只有当运输连接建立好之后，会话连接才能依赖于它而建立。会话与运输层的连接有三种对应关系。一种是一对一的关系，即在会话层建立会话时，必须建立一个运输连接，当会话结束时，这个运输连接也被释放。另一种是多对一的关系，例如在多顾客系统中，一个客户所建立的一次会话结束后，又有另一顾客要求建立另一个会话，此时运载这些会话的运输连接没有必要不停的建立和释放，但在同一时刻，一个运输连接只能对应一个会话连接。第三种是一对多的关系，若运输连接建立后中途失效，此时会话层可以重新建立一个运输连接而不用废弃原有的会话，当新的运输连接建立后，原来的会话可以继续下去。

　2.会话连接的释放

　　会话连接的释放不同于运输连接的释放，它采用有序释放方式，也即使用完全的握手，包括请求、指示、响应和确认原语，只有双方同意，会话菜终止。这种释放方式不会丢失数据。对于异常原因，会话层也可以不经协商立即释放，但这样可能会丢失数据。

　3.会话层管理

　　与其它各层一样，两个会话实体之间的交互活动都需要协调、管理和控制。会话服务的获得是执行会话层协议的结果，会话层协议支持并管理同等对接会话实体之间的数据交换。由于会话层往往是由一系列交互对话组成的，所以对话的次序、对化的进展情况必须加以控制和管理。在会话层管理中考虑了令牌与对话管理、活动与活动单元以及同步与重新同步等措施。
　　⑴.令牌和对话管理。从原理上说，所有OSI的连接都是全双工的。但在许多情况下高层软件为方便起见往往设计成半双工交互式通信。例如，远程终端访问一个数据库管理系统，往往是发出一个查询，然后等待回答，要么轮到用户发送，要么轮到数据库发送，保持这种轮换并强制实行的过程就叫作对话管理。实现对话管理的方法是使用数据令牌(DataToken)，令牌是会话连接的一个属性，它表示了会话服务用户对某种服务的独占使用权，只有我有令牌的用户可以发送数据，另一方必须保持沉默。令牌是一种非共享的OSI资源。
　　⑵.活动与对话单元。会话服务用户之间的合作可以划分为不同的逻辑单位，每一个逻辑单位成为一个活动(Activity)，每个活动的内容具有相对的完整性和独立性。在任一时刻，一个会话连接只能为一个活动所使用，但允许某个活动跨越多个会话连接。另外，可以允许有多个活动顺序的使用一个会话连接，但在世上不允许重叠。活动与会话连接的关系可以用电话用户线路的连接关系说明，一对拨通的电话相当于一个会话连接，使用者对电话线通话的用户进行的对话相当于活动显然一个电话人一时刻只能供一个人使用，即支持一个活动。然而，当一对用户通完话后可不挂断电话，让后续需要统一电话线路连接的人接着使用，这就相当于一个会话连接顺序的工多个活动使用。若在通话过程中线路出现故障引起中断，则需要重新再接电话继续对话，这就相当于一个活动跨越了多个连接。
　　对化单元是一个活动中数据的基本交换单元，通常代表逻辑上重要的工作部分。在活动中，存在一系列的交互通话，每个单项的连接通信动作所传输的数据就构成一个对化单元。
　　(3)同步与重新同步。会话层的另一个服务是同步。所谓同步就是使会话服务用户对会话的进展情况有一致的了解,在会话被中断后可以从中断处继续下去,而不必从头恢复会话，这种会话进程的了解是通过设置同步点来获得的。会话层允许会话用户在传输的数据中自由设置同步点，并对每个同步点与同步序号，用以识别和管理同步点，这些同步点是插在用户数据流中一起传送给对方的。当接收方通知发送方它收到一个同步点时，发送方就可确定接收方已将此同步点之前发送的数据流全部收妥。
　　会话层定义了两个两类同步点。主同步点用于在同步的数据流中划分出对话单元，一个主同步点是一个对话单元的结束和下一个对话单元的开始；次同步点用于在一个对话单元内部实现数据结构化。主同步点与次同步点有一些不同，在重新同步时只可能回到最近的主同步点；每一个插入数据流中的主同步点都被明确地确认，而次同步点不被确认。

　4.OSI会话服务

　　会话层可以向用户提供许多服务，为使两个会话服务用户在会话建立阶段能协商所需的服务，将服务分成若干个单元。通用的功能单元包括：
　　(1) 核心功能单元，提供连接管理和全双工数据传输的基本功能。
　　(2) 协商释放功能单元，提供有次序的释放服务。
　　(3) 同步功能单元，在会话连接期间提供同步或重新同步。，
　　(4) 活动管理功能单元，提供对话活动的识别、开始、结束、暂停和 新开始等。
　　(5) 异常报告功能单元，在会话连接期间提供异常情况报告。
　　上述所有功能的执行均有相应的用户服务原语，每一种语类型都可能具有请求、指示、响应和确认四种形式。

　5.OSI会话协议

　　OSI的会话层协议填补了运输层所提供的服务与会话用户所要求的服务之间的缝隙。会话服务提供了各种与数据交换的管理和构造有关的服务。
　　会话协议含有34种会话协议数据单元的类型，会话协议数据单元与会话服务原语之间具有相对应的映象关系，大多数服务原语导致会话协议实体产生并发送一个相应的会话协议数据单元。

　3 表示层

　1.表示层的特点及功能

　　OSI环境的低五层提供透明的数据传输，应用层负责处理语义，而表示层则负责处理语法，由于各种计算机都可能有各自的数据描述方法，所以不同类型计算机之间交换的数据，一般需经过格式转换才能保证其意义不变。表示层要解决的问题是如何描述数据结构并使之与具体的机器无关，其作用是对原站内部的数据结构进行编码，使之形成适合于传输的比特流，到了目的站再进行解码，转换成用户所要求的格式。
　　为使各个系统间交换的信息具有相同的语义，应用层采用了相互承认的抽象语法。抽象是对数据一般结构的描述。表示实体实现抽象语法与传输语法间的转换，传输语法是同等表示实体之间通信时对用户信息的描述，是对抽象语法比特流进行编码得到的。抽象语法
与传输语法之间的对应关系称为上下关系。
　　表示层的主要功能为：
　　（1）语法转换。将抽象语法抟换成传输语法，并在对方实现相反的转换。涉及的内容有代码转换、字符转换、数据格式的修改，以及对数据结构操作的适应、数据压缩、加密等。
　　（2）语法协商。根据应用层的要求协商选用合适的上下文，即确定传输语法并传送。
　　（3）连接管理。包括利用会话层服务建立表示连接，管理在这个连接之上的数据传输和同步控制，以及正常或异常地终止这个连接。

　2. 语法转换

　　（1）数据表示。不同厂家生产的计算机具有不同的内部数据表示。如IBM公司的主机广泛使用EBCDIC码，而大多数其它厂商的计算机则使用ASCII码；Intel公司的80X86芯片从右到左计数字节，而Motorola公司的68020和68030芯片则从左到右计数；大多数微型机用16位或32位整数的补码运算，而CDC的Cyber机用60位的反码。由于表示方法的不同，即使所有的位模式都正确接收，也不能保证数据含义的不变。人们要的是保留含义，而不是位模式。为了解决此类问题，必须进行数据表示方式的转换。可以在发送方转换，也可以在接收方转换，或者双方都向一种标准格式转换。
　　（2）数据压缩。强调数据压缩的必要性是基于以下几个原因。首先，随着多媒体技术的发展，数字化/音频数据的吞吐、传输和存储问题日益凸现。具有中等分辩率（640×480）的彩色（24bit/像素）数字视频图像的数据量约7.37Mbit/帧，若按25帧/秒的动画要求，则视频数据的传输速率大约为184Mbps。由此可见，高效实时地数据压缩对于缓解网络带宽和取得适宜的传输速率是非常必要的。其次，网络的费用依赖于传输的数据量，在传输之前
对数据进行压缩可减少传输费用。
　　实现数据压缩的可能性是基于以下原因。首先，是原始信源数据（视/音频）存在着很大的冗余度，比如电视图像帧内邻近像素之间空域相关性及前后之间的时域相关性都很大，信息有冗余。其次，是有可能利用人的视觉对于边缘急剧变化不敏感（视觉掩盖效应）各眼睛对图像的亮度信息敏感、对颜色分辨力弱的特点以及听觉的生理特性实现高压缩比，而使由压缩数据恢复的图像及声音数据仍有满意的主观质量。第三，利用数据本身的特征也可实现压缩。
　　(3)网络安全和保密。随着计算机网络应用的普及，计算机网络的安全和保密问题就变得越来越重要了。为保护网络的安全，最常见的方法是采用加密措施。从理论上讲，加密可以在任何一层上实现，但实际应用中常常在物理层、运输层和表示层三层实现加密。在物理层加密的方案叫做链路加密，它的特点是可以对整个报文进行加密；在运输层实现加密可以提高有效性，因为表示层可以对数据事先进行压缩处理；而在表示层可以有选择地对数据实现加密。

　3.OSI表示服务原语

　　表示层大部分服务原语与会话层的相类似。在实施中，几乎所有的表示服务原语只是穿过表示层到会话层。有些表示服务原语可不加改变直接映射成相应的会话服务原语，即无需产生一个表示协议数据单元。通常与这些原语有关的参数在会话服务原语的用户数据字段中传输。

　4.抽象语法标记ASN.1

　　表示编码、 传输和解码数据结构的关键,是要有一种足够灵活的 、适应各种类型应用的标准数据描写方法.为此,OSI中提出了一种标记法,叫做抽象语法标记1,简称为ASN.1.发送时将ASN.1数据结构编码成位流,这种位流的格式叫做抽象语法.
　　在ASN.1中为每个应用所需的所有数据结构类型下了定义，并将它们组成库。当一个应用想发送一个数据结构时，可以将数据结构与其对应的ASN.1标识一起传给表示层。以ASN.1定义作为索引，表示层便知道数据结构的域的类型及大小，从而对它们编码 传输；在另一端，接收表示层查看此数据结构的ASN.1标识，从而了解数据结构的域的类型及大小。这样，表示层便就可以实现从通信线路上所用的外部数据格式到接收计算机所用的内部数据格式的转换。
　　数据类型的ASN.1描述称为抽象语法，同等表示实体之间通信时对用户信息的描述称为传输语法。为抽象语法指定一种编码规则，便构成一种传输语法。在表示层中，可用这种方法定义多种传输语法。传输语法与抽象语法之间是多一多对应关系，即一种传输语法可用于多种抽象 语法 的数据传输，而一种抽象语法的数据 值可用多传输语法来传输。
　　每个应用层协议中的抽象语法与一个能对其进行编码的传输语法的组合，就构成一个表示上下文(Presentation Context).表示上下文表示连接建立时协商确定，也可以在通信过程 中重新定义。表示层提供定义表示上下文的设施。

　4 应用层

　　应用层也称为应用实体(AE),它由若干个特定应用服务元素(SASE)和一个或多个公用服务元素（CASE）组成 。每个SASE提供特定的应用服务，例如文件传输访问和管理（FTAM）电子文电处理系统（MHS） 虚拟终端协议(VIP)等。CASE提供一组公用的应用服务，例如联系控制服务元素（ACSE）可靠传输服务元素（RTSE）和远程操作服务元素(ROSE)等。

　1.文件传输 访问和管理（FTAM）功能

　　FTAM是一个用于传输、访问和管理开放系统工程中文件的一个信息标准化。FTAM服务使用户即使不了解所使用的实际文件系统的实现细节，也能对该文件系统进行操作，或对数据的描述进行维护。
　　一个具有通用目的的文件传输协议必须考虑异种机的环境，因为不同的系统可能有不同的文件夹格式和结构。对于M种本地文件结构和N种输入文件夹结构来说，为了避免M*N 种可能的不同文件夹结构之间的映射 转换问题，可以采用一种虚拟文件夹的方案。该方案制定了一个通用的虚拟文件结构，使文件传输系统中交换的只是虚拟文件，而在端系统则对虚拟文件格式和本地文件格式实施一种局部的转换。
　　虚拟文件可以组成一个虚拟文件库，虚拟文件库模型是FTAM的基础。FTAM定义了一系列用户服务原语，用以实现文件的有关操作。

　2.电子邮件功能

　　电子邮件是允许终端用户编辑文电的一种设施。这种服务是邮政发展的主要方向，是一种新的分布式综合文电处理系统，它可分为单系统电子邮件和网络电子邮件两类。
向单系统电了邮件中，允许一个共享计算机系统上的所有用户交换文电。每个用户在系统上登记，并有惟一的标识符，与每个用户相联系的是一个邮箱。用户可以调用电子邮箱设施，准备文电，并把它给此系统上的任何其它用户。邮箱实际上只是由文件管理系统维护的一个文件目录，每个邮箱有一个用户与之相联。任何输入信件只是简单地作为文件存放于用户邮箱目录之下，用户可以取出并阅读这个文电。
　　在单系统电子邮件设施中，文电只能在特定系统的用户之间交换。若希望通过网络系统在更广泛的范畴内交换文电，就需要包括OSI模型的1-6层的服务，并在应用层制订一个标准化的文电传输协议，这就是网络电子邮件。
　　CCITT发表了一个关于文电处理系统MHS（Message Handling System）的X.400建议。MHS包含了网络电子邮件的需要，规定了通过网络发送文电所用的服务，为构筑用户接口提供了基础。1988年CCITT又发表了经过修订的MHS建议，该版本对早期版本进行了功能扩充，并使用新的抽象模型来描述服务和协议，从而使MHS与OSI参考模型统一在一起来。MHS（88）是CCITT与ISOR联合版本，ISO称其为面向文电的正文交换系统MOTIS（Message Oriented Text Interchange Systems).
　　文电处理系统具有以下几个特点：
　　（1）文电以存储--转发的方式进行传输；
　　（2）文电的递交和交付可以不同时进行，即发送者可以在适当的时候将文电递交给系统，而接收者也可以在以后的某个时间里接收交付的文电，在此期间文电保存在邮箱中；
　　（3）同一份文电可以交付给多个接收者（多地址交付）；
　　（4）文电的内容形式、编码类型可以由系统自动进行转换，以适应接收终端的要求；
　　（5）交付时间的控制可由发送方规定，经过若干时间后系统才可将文电交付给接收方；
　　（6）系统可以将文电交付与否的结果通知给发送方。
　　在X.400中定义了MHS模型，这个模型为所有其它的建议提供了一个框架。它定义了三种类型的实体：用户代理UA（User Agent）、文电传输代理MTA（Message Transfer Agent）和温点存储MS（Message Store）。次处还有访问单元AU以及物理投递访问单元PDAU，分别与其它的通信及投递服务接口。
用户代理AU代表用户进行操作，为用户与文电处理系统交换文电起桥梁作用。它直接与用户有关，执行文电准备、整理、回复、检索和转发等功能。
　　文电传输代理MTA为文电传输提供存储－转发服务，接受从UA来的文电并把它投递给其它UA。MTA的集合构成文电传输系统MTS。MTA必须为文电进行路径选择和转发，使文电通过一系列MTA经存储转发到达目的地。使用存储转发的方法，消除了对所有的UA和MTA必须连续工作的需要。
　　文电存储器MS作为UA和MTA之间的中介体，它是MHS的一个可选功能，其主要功能是存储和检索被投递的文电。MS可以与UA或MTA共存于一个系统中，也可以独立设置。

　3.虚拟终端协议VTP

　　鉴于终端标准化工作进展迟缓，ISO提出了虚拟终端的概念。虚拟终端方法就是对终端访问中的公共功能引进一个抽象模型，然后用该模型来定义一组通信服务以支持分布式的终端服务。这就需要在虚拟终端服务与本地终端访问方式之间建立映射，使实终端可在OSI环境中以虚拟终端方式进行通信。ISO将虚拟终端标准列入应用层，归属于特定应用服务元素。
虚拟终端是对各种实终端具有的功能进行一般化、标准化之后得到的通用模型。但由于目前现有的实终端种类太多，具有的功能也不利于终端功能的扩充。
VTP的根本目的是将实终端的特性变换成标准化的形式，即虚拟终端。
VTP有两种模型：非对称模型和对称模型。在非对称模型中，虚拟终端可以看成是实际终端和本地映象功能的结合；在对称模型中，两边都使用了一种代表虚拟终端状态的共享表示单元，这个表示单元可以看做是一种数据结构，两边都可对称地进行读、写。对称模型即允许终端－主机对话，也允许终端－终端及主机－主机间的对话。

　4.其它应用功能

　　其它许多应用已经或正在标准化，如：
　　(1)目录服务：类似于电子电话本，它提供了在网络上找人或查询的可用服务地址的方法；
　　(2)远程作业录入：允许用户将作业提交到另一台计算机去执行；
　　(3)图形：具有发送工程图至远地显示、标绘的功能；
　　(4)信息通信：用于办公室和家庭的公用信息服务。

[此贴子已经被作者于2006-3-16 8:57:19编辑过]

翔羽

TCP/TP协议簇

　　网络互连是目前网络技术研究的热点之一,并且已经取得了很大的进展.在诸多网络互连协议中,传输控制协议/互连网协议TCP/IP(Transmission Control Protocol/Internet Protocol)是一个使用非常普遍的网络互连标准协议。TCP/IP协议是美国的国防部高级计划研究局DARPA为实现ARPANET(后来发展为Internet)互连网而开发的，也是很多大学及研究所多年的研究及商业化的结果。目前，众多的网络产品厂家都支持TCP/IP协议，TCP/IP已成为一个事实上的工业标准。 

　1 TCP/IP的体系结构和功能 

　　TCP/IP是一组协议的代名词，它还包括许多别的协议，组成了TCP/IP协议簇。一般来说，TCP提供运输层服务，而IP提供网络层服务。TCP/IP的体系结构与ISO的OSI七层参考模型的对应关系如图3.20所示。

　　在TCP/IP层次模型中，第二层为TCP/IP的实现基础，其中可包含MILNET，IEEE802.3的CSMA/CD、IEEE802.5的TokenRing。
　　在第三层网络中，IP为网际协议(Internet Protocol)、ICMP为网际控制报文协议(Internet Control Message Protocol)、ARP为地址转换协议(Address Resolution Protocol)、RARP为反向地址转换协议(Reverse ARP)。 
　　第四层为运输层，TCP为传输控制协议、UDP为用户数据报协议(User Datagram Protocol)。 
　　第五－七层中，SMTP为简单邮件传送协议(Simple Mail Transfer Protocol)、DNS为域名服务(Domain Name Service)、FTP为文件传输协议(File Transfer Protocol)、TELNET为远程终端访问协议。
　　TCP/IP协议本身的分层模型如图3.21所示。以下各节侧重从体系结构的角度分层介绍TCP/IP的协议组。

　2 TCP/IP的数据路层
 
　　数据链路层不是TCP/IP协议的一部分，但它是TCP/IP赖以存在的各种通信网和TCP/IP之间的接口，这些通信网包括多种广域网如ARPANFT、MILNET和X.25公用数据网，以及各种局域网，如Ethernet、IEEE的各种标准局域网等。IP层提供了专门的功能，解决与各种网络物理地址的转换。
　　一般情况下、各物理网络可以使用自己的数据链路层协议和物理层协议，不需要在数据链路层上设置专门的TCP/IP协议。但是，当使用串行线路连接主机与网络，或连接网络与网络时，例如用户使用电话线和MODEM接入或两个相距较远的网络通过数据专线互连时，则需要在数据链路层运行专门的SLIP(serial Line IP)协议的PPP(Point to Point Protocal)协议。 

　1.SLIP协议

　　SLIP提供在串行通信线路上封装IP分组的简单方法，用以使用远程用户通过电话线和MODEM能方便地接入TCP/IP网络。
　　SLIP是一种简单的组帧方式，使用时还存在一些问题。首先，SLIP不支持在连接过程中的动态IP地址分配，通信双方必须事先告知对方IP地址，这给没有固定IP地址的个人用户上Internet网带来了很大的不便：其次，SLIP帧中无协议类型字段，因此它只能支持IP协议；再有，SLIP帧中列校验字段，因此链路层上无法检测出传输差错，必须由上层实体或具有纠错能力的MODEM来解决传输差错问题。

　2.PPP协议

　　为了解决SLIP存在的问题，在串行通信应用中又开发了PPP协议。PPP协议是一种有效的点一点通信协议，它，由串行通信线路上的组帧方式，用于建立、配制、测试和拆除数据链路的链路控制协议LCP及一组用以支持不同网络层协议的网络控制协议NCPs三部分组成。
　　由于PPP帧中设置了校验字段，因而PPP在链路层上具有差错检验的功能。PPP中的LCP协议提供了通信双方进行参数协商的手段，并且提供了一组NCPs协议，使得PPP可以支持多种网络层协议，如IP、IPX、OSI等。另外，支持IP的NCP提供了在建立连接时动态分配IP地址的功能，解决了个人用户上Internet网的问题。

　3 TCP/IP网络层
 
　　网络层中含中有四个重要的协议：互连网协议IP、互连网控制报文协议ICMP、地址转换协议ARP和反向地址转换协议RARP。
　　网络层的功能主要由IP来提供。除了提供端到端的分组分发功能外，IP还提供了很多扩充功能。例如，为了克服数据链路层对帧大小的限制，网络层提供了数据分块和重组功能，这使得很大的IP数据报能以较小的分组在网上传输。
　　网络层的另一个重要服务是在互相独立的局域网上建立互连网络，即网际网。网间的报文来往根据它的目的IP地址通过路由器传到另一网络。

　1.互连网协议IP(Internet Protocol) 

　　网络层最重要的协议是IP，它将多个网络联成一个互连网，可以把高层的数据以多个数据报的形式通过互连网分发出去。
　　IP的基本任务是通过互连网传送数据报，各个IP数据报之间是相互独立的。主机上的IP层向运输层提供服务。IP从源运输实体取得数据，通过它的数据链路层服务传给目的主机的IP层。IP不保证服务的可靠性，在主机资源不足的情况下，它可能丢弃某些数据报，同时IP也不检查被数据链路层丢弃的报文。

　　在传送时，高层协议将数据传IP，IP再将数据封装为互连网数据报，并交给数据链路层协议通过局域网传送。若目的主机直接连在本网中，IP可直接通过网络将数据报传给目的主机；若目的主机在远在网络中，则IP路由器传送数据报，而路由器则依次通过下一网络将数据报传送到目的主机或再下一个路由器。也即一个IP数据报是通过互连网络，从一个IP模块传到另一人个IP模块，直到终点为止。
　　需要连接独立管理的网络的路由器，可以选择它所需的任何协议，这样的协议称为内部网间连接器协议IGP(Interior Geteway PROTOCOL)。在IP环境中，一个独立管理的系统称为自治系统。
　　跨越不同的管理域的路由器(如从专用网到PDN)所使用的协议，称为外部网间连接器协议EGP(Exterior Gateway Protocol),EGP是一组简单的定义完备的正式协议。

　2.互连网控制报文协议ICMP

　　从IP互连网协议的功能，可以知道IP提供的是一种不可靠的无法接报文分组传送服务。若路由器或麻风故障使网络阻塞，就需要通知发送主机采取相应措施。
　　为了使互连网能报告差错，或提供有关意外情况的信息，在IP层加入了一类特殊用途的报文机制，即互连网控制报文协议ICMP。
　　分组接收方利用ICMP来通知IP模块发送方某些方面所需的修改。ICMP通常是由发现别的站发来的报文有问题的站产生的，例如可由目的主机或中继路由器来发现问题并产生有关的ICMP。如果一个分组不能传送，ICMP便可以被用来警告分组源，说明有网络、主机或端口不可达。ICMP也可以用来报千网络阻塞。ICMP是IP正式协议的一部分，ICMP数据报通过IP送出，因此它在功能上属于网络第三层，但实际上它是像第四层协议一被编码的。

　3.地址转换协议ARP

　　在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互连网地址是在国际范围标识主机的一种逻辑地址。为了让报文在物理网上传送，必须知道彼此的物理地址。这样就存在把互连网地址变换为物理地址的地址转换问题。以以太网(Ethernet)环境为例，为了正确地向目的站传送报文，必须把目的站的32位IP地址转换成48位以太网目的地址DA。这就需要在网络层有一组服务将IP地址转换为相应物理网络地址，这组协议即是ARP。
　　在进行报文发送时，如果源网络层给的报文只有IP地址，而没有对应的以太网地址，则网络层广播ARP请求以获取目的站信息，而目的站必须回答该ARP请求。这样源站点可以收到以太网48位地址，并将地址放入相应的高速缓存(cache)。下一次源站点对同一目的站点的地址转换可直接引用高速缓存中的地址内容。地址转换协议ARP使主机可以找出同一物理网络中任一个物理主机的物理地址，只需给出目的主机的IP地址即可。这样，网络的物理编址可以对网络层服务透明。
　　在互联网环境下，为了将报文送到另一个网络的主机，数据报先定向发送方所在网络ＩP路由器。因此，发送主机首先必须确定路由器的物理地址，然后依次将数据发往接收端。除基本ARP机制外，有时还需在路由器上设置代理ARP，其目的是由IP路由器代替目的站对发送方ARP请求做出响应。

　4.反向地址转换协议RARP

　　反向地址转换协议用于一种特殊情况，如果站点初始化以后，只有自己的物理地址而没有IP地址，则它可以通过RARP协议，发出广播请求，征求自己的IP地址，而RARP服务器则负责回答。这样，无IP地址的站点可以通过RARP协议取得自己的IP地址，这个地址在下一次系统重新开始以前都有效，不用连续广播请求。RARP广泛用于获取无盘工作站的IP地址。

　4 TCP/IP 的运输层
 
　　TCP/IP 在这一层提供了两个主要的协议：传输控制协议(TCP)和用户数据协议(UDP)，另外还有一些别的协议，例如用于传送数字化语音的NVP协议。 

　1.传输控制协议 TCP

　　TCP提供的是一种可靠的数据流服务。当传送受差错干扰的数据，或基础网络故障，或网络负荷太重而使网际基本传输系统(无连接报文递交系统)不能正常工作时，就需要通过其它协议来保证通信的可靠。TCP就是这样的协议，它对应于OSI模型的运输层，它在IP协议的基础上，提供端到端的面向连接的可靠传输。
　　TCP采用“带重传的肯定确认”技术来实现传输的可靠性。简单的“带重传的肯定确认”是指与发送方通信的接收者，每接收一次数据，就送回一个确认报文，发送者对每个发出去的报文都留一份记录，等到收到确认之后再发出下一报文分组。发送者发出一个报文分组时，启动一个计时器，若计时器计数完毕，确认还未到达，则发送者重新送该报文分组。
　　简单的确认重传严重浪费带宽，TCP还采用一种称之为“滑动窗口”的流量控制机制来提高网络的吞吐量，窗口的范围决定了发送方发送的但未被接收方确认的数据报的数量。每当接收方正确收到一则报文时，窗口便向前滑动，这种机制使网络中未被确认的数据报数量增加，提高了网络的吞吐量。
　　TCP通信建立在面向连接的基础上，实现了一种“虚电路”的概念。双方通信之前，先建立一条连接，然后双方就可以在其上发送数据流。这种数据交换方式能提高效率，但事先建立连接和事后拆除连接需要开销。TCP连接的建立采用三次握手的过程，整个过程由发送方请求连接、接收方再发送一则关于确认的确认三个过程组成。

　2.用户数据报协议 UDP
 
　　用户数据报协议是对IP协议组的扩充，它增加了一种机制，发送方使用这种机制可以区分一台计算机上的多个接收者。每个UDP报文除了包含某用户进程发送数据外，还有报文目的端口的编号和报文源端口的编号，从而使UDP的这种扩充，使得在两个用户进程之间的递送数据报成为可能。
　　UDP是依靠IP协议来传送报文的，因而它的服务和IP一样是不可靠的。这种服务不用确认、不对报文排序、也不进行流量控制，UDP报文右能会出现丢失、重复、失序等现象。

　5 TCP/IP 的会话层至应用层

　　TCP/IP的上三层与OSI参考模型有较大区别，也没有非常明确的层次划分。其中FTP、TELNET、SMTP、DNS是几个在各种不同机型上广泛实现的协议，TCP/IP中还定义了许多别的高层协议。

　1.文件传输协议 FTP 

　　文件传输协议是网际提供的用于访问远程机器的一个协议，它使用户可以在本地机与远程机之间进行有关文件的操作。FTP工作时建立两条TCP连接，一条用于传送文件，另一条用于传送控制。
　　FTP采用客户/服务器模式，它包含客户FTP和服务器FTP。客户FTP启动传送过程，而服务器对其做出应答。客户FTP大多有一个交互式界面，使用权客户可以灵活地向远地传文件或从远地取文件。

　2.远程终端访问 TELNET 

　　TELNET的连接是一个TCP连接，用于传送具有TELNET控制信息的数据。它提供了与终端设备或终端进程交互的标准方法，支持终端到终端的连接及进程到进程分布式计算的通信。

　3.域名服务 DNS 

　　DNS是一个域名服务的协议，提供域名到IP地址的转换，允许对域名资源进行分散管理。DNS最初设计的目的是使邮件发送方知道邮件接收主机及邮件发送主机的IP地址，后来发展成为右服务于其它许多目标的协议。

　4.简单邮件传送协议 SMTP
 
　　互连网标准中的电子邮件是一个单间的基于文件的协议，用于可靠、有效的数据传输。SMTP作为应用层的服务，并不关心它下面采用的是何种传输服务，它可能过网络在TCP连接上传送邮件，或者简单地在同一机器的进程之间通过进程通信的通道来传送邮件。这样，邮件传输就独立于传输子系统，可在TCP/IP环境、OSI运输层或X.25协议环境中传输邮件。
　　邮件发送之前必须协商好发送者、接收者。SMTP服务进程同意为基本个接收方发送邮件时，它将邮件直接交给接收方用户或将邮件逐个经过网络连接器，直到邮件交给接收方用户。在邮件传输过程中，所经过的路由被记录下来。这样，当邮件不能正常传输时可按原路由找到发送者。
　　在当前的UNIX版本中，已将TCP/IP协议融入其中，使之成为UNIX操作系统的一个部分。DOS上也推出了相应的TCP/IP软件产品。SUN公司则将TCP/IP广泛推向商务系统，它在所在的工作站系统中都预先安装了TCP/IP网络软件及网络硬件，使网络和计算机成为一体，同时也使TCP/IP网络软件及其客户/服务器的工作方式 为广大用户所接受。

[此贴子已经被作者于2006-3-16 8:47:45编辑过]

翔羽

1 局域网的参考模型

　　局域网是一个通信网，只涉及到相当于OSI/RM通信子网的功能。由于内部大多采用共享信道的技术，所以局域网通常不单独设立网络层。局域网的高层功能由具体的局域网操作系统来实现。
　　IEEE 802标准的局域网参考模型与OSI/RM的对应关系如图4.6所示，该模型包括了OSI/RM最低两层（物理层和链路层）的功能，也包括网间互连的高层功能和管理功能。从图中可见，OSI/RM的数据链路层功能，在局域网参考模型中被分成媒体访问控制MAC（Medium Access Control)和逻辑链路控制LLC（Logical Link Control)两个子层。
　　在OSI/RM中，物理层、数据链路层和网络层使计算机网络具有报文分组转接的功能。对于局域网来说，物理层是必需的，它负责体现机械、电气和过程方面的特性，以建立、维持和拆除物理链路；数据链路层也是必需的，它负责把不可靠的传输信道转换成可靠的传输信道，传送带有校验的数据帧，采用差错控制和帧确认技术。
　　但是，局域网中的多个设备一般共享公共传输媒体，在设备之间传输数据时，首先要解决由哪些设备占有媒体的问题。所以局域网的数据链路层必须设置媒体访问控制功能。由于局域网采用的媒体有多种，对应的媒体访问控制方法也有多种，为了使数据帧的传送独立于所采用的物理媒体和媒体访问控制方法，IEEE 802 标准特意把 LLC 独立出来形成一具单独子层，使用权LLC子层与媒体无关，仅让MAC子层依赖于物理媒体和媒体访问控制方法。
　　由于穿越局域网的链路只有一条，不需要设立路由器选择和流量控制功能，如网络层中的分级寻址、排序、流量控制、差错控制功能都可以放在数据链路层中实现。因此，局域网中可以不单独设置网络层。当局限于一个局域网时，物理层和链路层就能完成报文分组转接的功能。但当涉及网络互连时，报文分组就必须经过多条链路才能到达目的地，此时就必须专门设置一个层次来完成网络层的功能，在职IEEE 802 标准中灾一层被称为网际层。
　　在参考模型中，每个实体和另一个系统和同等实体按协议进行通信；而一个系统中上下层之间的通信，则通过接口进行，并用服务访问点SAP（Server Access Point) 来定义接口。为了对多个高层实体提供支持，在LLC层的顶部有多个LLC服务访问点（LSAP），为图中的实体A和B提供接口端；在网际层的顶部有多个网间服务访问点（NSAP），为实体C、D和E提供接口端；媒体访问控制服务访问点（MSAP）向LLC实体提供单个接口端。
　　LLC子层中规定了无确认无连接、有确认无连接和面向连接三种类型的链路服务。无确认城无连接服务是一促数据报服务，信息帧在LLC实体间交换时，无需在同等层实体间事先建立逻辑链路，对这种LLC帧进行确认外，其它类似于无确认无连接服务；面向连接服务提供访问点之间的虚电路服务，在任何住处帧交换前，一对LLC实体之间必须建立逻辑路，在数据传送过程中，信息帧依次发送，并提供差错恢复和流量控制功能。
　　MAC子层在支持LLC层完成毁灭体访问控制功能时，可以提供多个可供选择的毁灭体访问控制方式。使用MSAP支持LLC子层悍，MAC子层实现帧的寻址和识别。MAC到MAC的操作通过同等层协议来进行MAC还产生帧检验序列和完成帧检验等功能。

　2 IEEE 802标准

　　IEEE在1980年2月成立了局域网标准化委员会（简称IEEE 802 委员会），专门从事局域网的协议制订，形成了一毓的标准，称为IEEE 802标准。亥标准已被国际标准化组织ISO采纳，作为局域网的国际标准系列，称为ISO 8802标准。要这些标准中，根据局域网的多种类型，规定了各自的拓朴结构、媒体访问控制方法、帧和格式和听任等内容。IEEE 802标准系列中各个子标准之间的关系如图4.7所示。
　　IEEE 802.1是局域网的体系结构、网络管理和网际互连协议。IEEE 802.2集中了数据链路层中与媒体无亲的LLC协议。涉及与媒体访问有关的协议，则根据具体网络的媒体访问控制访问分别处理，其中主要的MAC协议有：IEEE 802.3载波监听多路访问/冲突检测CSMA/CD访问方法和物理层协议、IEEE 802.4令牌总线（Token Bus)访问方法和物理层的协议、IEEE 802.5令牌环（Token Ring)访问方法和物理层协议，IEEE 802.6关于城域网的分布式他列总线DQDB（Distributed Queue Dual Bus)的标准等。
　　IEEE 802标准定义了LLC子层和MAC子层的帧格式。数据传输过程中，LLC子层将高层递交的报文分组作为LLC的信息字段，再加上LLC子层目的服务访问点（DSAP）、源服务访问点（SSAP）及相应的控制信息以构成LLC帧。LLC帧格式及其控制字段定义见图4.8。
　　LLC的链路只有异步平衡方式（ABM），而不用政党响应方式（NRM）和异步响应（ARM）。也即节点均为组合站，它们既可作为主站发送命令，也可作为从站响应命令。IEEE 802.2标准定义的LLC帧格式与HDLC的帧格式有点类似，其控制字段的格式和功能完全效仿HDLC的平衡方式制定。LLC帧也分为信息帧、监控帧和无编号帧三类。信息帧主要用于信息数据传输，监控帧主要用于流量控制，无编号帧用于LLC子层传输控制信号以对逻辑链路进行建立与释放。LLC帧的类型取决于控制字段的第１、２位，信息帧和监控帧的控制字段均为２字长，无编号帧的控制字段为１字节。监控帧控制字段中的第５～８位为保留位，一般设置为０。控制字段中的其它位含义与HDLC控制字段中的含义相同

翔羽

3 CSMA/CD媒体访问控制

　　CSMA/CD是一种常用争用的方法来决定对媒体访问权的协议，这种争用协议只适用于逻辑上属于总线拓扑结构的网络。在总线网络中，每个站点都能独立地决定帧的发送，若两个或多个站同时发送帧，就会产生冲突，导致所发送的帧都出错。因此，一个用户发送信息成功与否，在很大程度上取决于监测总线是否空闲的算法，以及当两个不同节点同时发送的分组发生冲突后所使用的中断传输的方法。总线争用技术可分为载波监听多路访问CSMA和具有冲突检测的载波监听多路访问CSMA/CD两大类。

　3.1 载波监听多路访问CSMA

　　载波监听多路访问CSMA的技术，也称做无听后说LBT(Listem Before Talk)。要传输数据的站点首先对媒体上有无载波进行监听，以确定是否有别的站点在传输数据。如果媒体空闲，该站点便可传输数据；否则，该站点将避让一段时间后再做尝试。这就需要有一种退避算法来决定避让的时间，常用的退避算法有非坚持、1－坚持、P－坚持三种。

　1、非坚持算法
　　算法规则为：
　　⑴如果媒本是空闲的，则可以立即发送。
　　⑵如果媒体是忙的，则等待一个由概率分布决定的随机重发延迟后，再重复前一步骤。
采用随机的重发延迟时间可以减少冲突发生的可能性。非坚持算法的缺点是：即使有几个着眼点为都有数据要发送，但由于大家都在延迟等待过程中，致使媒体仍可能处于空闲状态，使用率降低。

　2、1-坚持算法
　　算法规则：
　　⑴如果媒体空闲的，则可以立即发送。
　　⑵如果媒体是忙的，则继续监听，直至检测到媒体是空闲，立即发送。
　　⑶如果有冲突(在一段时间内未收到肯定的回复)，则等待一随机量的时间，重复步骤⑴～⑵。
　　这种算法的优点是：只要媒体空闲，站点就立即可发送，避免了媒体利用率的损失；其缺点是：假若有两个或两个以上的站点有数据要发送，冲突就不可避免。

　3、P-坚持算法
　　算法规则：
　　⑴监听总线，如果媒体是空闲的，则以P的概率发送，而以(1-P)的概率延迟一个时间单位。一个时间单位通常等于最大传播时延的2倍。
　　⑵延迟一个时间单位后，再重复步骤⑴。
　　⑶如果媒体是忙的，继续监听直至媒体空闲并重复步骤⑴。
　　P-坚持算法是一种既能像非坚持算法那样减少冲突，又能像1-坚持算法那样减少媒体空闲时间的折中方案。问题在于如何选择P的有值，这要考虑到避免重负载下系统处于的不稳定状态。假如媒体是忙时，有N个站有数据等待发送，一旦当前的发送完成时，将要试图传输的站的总期望数为NP。如果选择P过大，使NP＞1，表明有多个站点试图发送，冲突就不可避免。最坏的情况是，随着冲突概率的不断增大，而使吞吐量降低到零。所以必须选择适当P值使NP＜1。当然P值选得过小，则媒体利用率又会大大降低。

　3.2具有冲突检测的载波监听多路访问CSMA/CD

　　在CSMA中，由于信道传播时延的存在，即使总线上两个站点没有监听到载波信号而发送帧时，仍可能会发生冲突。由于CSMA算法没有冲突检测功能，即使冲突已发和，仍然将已破坏的帧发送完，使总线的利用率降低。
　　一种CSMA的改进方案是使发送站点传输过程中仍继续监听媒体，以检测是否存在冲突。如果发生冲突，信道上可以检测到超过发送站点本身发送的载波信号的幅度，由此判断出冲突的存在。一于检测到冲突，就立即停止发送，并向总线上发一串阻塞信号，用以通知总线上其它各有关站点。这样，通道容量就不致因白白传送已受损的帧而浪费，可以提高总线的利用率。这种方案称做载波监听多路访问/冲突检测协议，简写为CSMA/CD，这种协议已广泛应用于局域网中。
　　CSMA/CD的代价是用于检测冲突所花费的时间。对于基带总线而言，最坏情况下用于检测一个冲突的时间等于任意两个站之间传播时延的两倍。从一个站点开始发送数据到另一个站点开始接收数据，也即载波信号从一端传播到另一端所需的时间，称为信号传播时延。信号传播时延(μs)=两站点的距离(m)/信号传播速度(200m/μs)。如图4.9所示，假定A、B两个站点位于总线两端，两站点之间的最大传播时延为tp。当A站点发送数据后，经过接近于最大传播时延tp时，B站点正好也发送数据，此时冲突便发生。发生冲突后，B 站点立即可检测到该冲突，而A站点需再经过一份最大传播时延tp后，才能检测出冲突。也即最坏情况下，对于基带CSMA/CD来说，检测出一个冲突的时间等于任意两个站之间最大传播时延的两倍(2tp)。
　　数据帧从一个站点开始发送，到该数据帧发送完毕所需的时间和为数据传输时延；同理，数据传输时延也表示一个接收站点开始接收数据帧，到该数据帧接收完毕所需的时间。数据传输时延(s)=数据帧长度(bit)/数据传输速率(bps)。若不考虑中继器引入的延迟，数据帧从一个站点开始发送，到该数据帧被另一个站点全部接收所需的总时间，等于数据传输时延与信号传播时延之和。
　　由上述分析可知，为了确保发送数据站点在传输时能检测到可能存在的冲突，数据帧的传输时延至少要两倍于传播时延。换句话说，要求分组的长度不短于某个值，否则在检测出冲突之前传输已经结束，但实际上分组已被冲突所破坏。由此引出了CSMA/CD总线网络中最短帧长的计算关系式：
　　　　　　　最短数据帧长(bit) 　　　任意两站点间的最大距离(m)
　　　　　　　数据传输速率(Mbps)　　　　　　　　200m/us
计算时要注意单位统一。
　　由于单向传输的原因，对于宽带总线而言，冲突检测时间等于任意两个站之间最大传播时延的4倍。所以，
对于宽带CSMA/CD来说，要求数据帧的传输时延至少4倍于传播时延。
　　在CSMA/CD算法中，一旦检测到冲突并发完阻塞信号后，为了降低再次冲突的概率，需要等待一个随机时间，然后再使用CSMA方法试图传输。为了保证这种退避操作维持稳定采用了一种称为二进制指数退避和算法，其规则如下：
　　(1)对每个数据帧，当第一次发生冲突时，设置一个参量L=2；
　　(2)退避间隔取1到L个时间片中的一个随机数，1个小时片等于两站之间的最大传播时延的两倍；
　　(3)当数据帧再次发生冲突，由将参量L加倍；
　　(4)设置一个最大重传次数，超过该次数，则不再重传，并报告出错。
　　二进制指数退避算法是按后进先出LIFO(List In First Out)的次序控制的，即未发生冲突或很少发生冲突的数据帧，具有优先发送的概率；而发生过多次冲突的数据帧，发送成功的概率就更少。
　　IEEE 802.3就是采用二进制指数退避和1-坚持算法的CSMA/CD媒体访问控制方法。这种方法在低负荷时，如媒体空闲时，要发送数据帧的站点能立即发送；在重负荷时，仍能保证系统的稳定性。由于在媒体上传播的信号会衰减，为确保能检测出冲突信号，CSMA/CD总线网限制一段无分支电缆的最大长度为500米。

　3.3 IEEE 802.3媒体访问控制协议

　1.CSMA/CD总线的实现模型
　　IEEE 802.3是一个使用CSMA/CD媒体访问控制方法的局域网标准。CSMA/CD总线的实现模型如图4.10所示，它对应于OSI/RM的最低两层。从逻辑上可以将其划分为两大部分：一部分由LLC子层和MAC子层组成，实现OSI/RM的数据链路层功能，另一部分实现物理层功能。

　　把依赖于媒体的特性从物理层中分离出来的目的，是要使得LLC子层和MAC子层能适应于各类不同的媒体。
　　物理层内定义了两个兼容接口：依赖于媒体的媒体相关接口MDI和访问单元接口AUI。MDI是一个同轴电缆接口，所有站点都必须遵循IEEE 802.3定义的物理媒体信号的技术规范，与这个物理媒体接口完全兼容。由于大多站点都设在离电缆连接处有一段距离的地方，在与电缆靠近的MAC中只有少量电路，而大部分硬件和全部的软件都在站点中，AUI的存在为MAC和站点的配合使用带来了极大的灵活性。
　　MAC子层和LLC子层之间和接口提供每个操作的状态信息，以供高一层差错恢复规程所用。MAC子层和物理层之间的接口，提供包括成帧、载波监听、启动传输和解决争用、在两层间传送串行比特流的设施及用于定时等待等功能。

　2.IEEE 802.3 MAC帧格式
　　MAC帧是在MAC子层实体间交换的协议数据单元,IEEE 802.3 MAC帧的格式如图4.11所示.
　　IEEE 802.3 MAC帧中包括前导码P、帧起始定界符SFD、目的地址DA、源地址SA、表示数据字段字节数长度的字段LEN、要发送的数据字段、填充字段PAD和帧校验序列FCS等8个字段。这8个字段中除了数据字段和填充字段外，其余的长度都是固定的。
　　前导码字段P占7个字节，每个字节的比特模式为“10101010”，用于实现收发双方的时钟同步。帧起始定界符字段SFD占1个字节，其比特模式为“10101011”，它紧跟在前导码后，用于指示一帧的开始。前导码的作用是使接收端能根据“1”、“0”交变的比特模式迅速实现比特同步，当检测到连续两位“1”(即读到帧起始定界符字段SFD最末两位)时，便将后续的信息递交给MAC子层。
　　地址字段包括目的地址字段DA和源地址字段SA。目的地址字段占2个或6个字节，用于标识接收站点的地址，它可以是单个的地址，也可以是组地址或广播地址。DA字段最高位为“0”表示单个的地址，该地址仅指定网络上某个特定站点；DA字段最高位为“1”、其余位不为全“1”表示组地址，该地址指定网络上给定的多个站点；DA字段为全“1”，则表示广播地址，该地址指定网络上所有的站点。源地址字段也占2个或6个字节，但其长度必须与目的地址字段的长度相同，宁用于标识发送站点的址。在6字节地址字段中，可以利用其48位中的次高位来区分是局问部地坦还是全局地址。局部地址是由网络管理员分配，且只在本网中有效的地址；全局地址则是由IEEE统一分配的，采用全局地址的网卡出厂时被赋予惟一的IEEE地址，使用这种网卡的站点也就具有了全球独一无二的物理地址。
　　长度字段LEN占两个字节,其值表示数据字段的内容即为LLC子层递交的LLC帧序列,其长度为0～1500个字节。
　　为使CSMA/CD协议正常操作，需要维持一个最短帧长度，必要时可在数据字段之后、帧校验序列FCS之前以字节为单位添加填充字符。这是因为正在发送时产生冲突而中断的帧都是很短的帧，为了能方便地区分出这些无效帧，IEEE 802.3规定了合法的MAC帧的最短帧长。对于10Mbps的基带CSMA/CD网，MAC帧的总长度为64～1518字节。由于除了数据字段和填充字段外，其余字段的总长度为18个字节，所以当数据字段长度为0时，填充字段必须有46年字节。
　　帧校验序列FCS字段是32位(即4个字节)的循环冗余码(CRC)，其校验范围不包括前导字段P及帧起始定界符字段SFD。

　3. IEEE 802.3 MAC子层的功能
　　IEEE802.3 标准提供了MAC子层的功能说明，内容主要有数据封装和媒体访问管理两个方面。数据封装(发送和接收数据封装)包括成帧(帧定界和帧同步)、编址(源地址脏乱目的地址的处理)和差错检测(物理媒体传输差错的检测)等；媒体访问管理包括媒体分配和竞争处理。MAC功能模块如图4.12所示。
　　当LLC子层请求发送一数据帧时，MAC子层的发送数据封装部分便按MAC子层的数据帧格式组帧。首先将一个前导P和一个帧起始定界符SFD附加到帧的开阔部分，填上目的地址和源地址，计算出LLC数据帧的字节数，填入数据长度计数字段LEN。必要时还要将填充字符PAD附加到LLC数据帧后，以确保传送帧的长度满足最短帧长的要求。最后求出CRC校验附加到帧校验列FCS中。守成数据封装后的MAC帧，便可递交MAC子层的发送媒体访问管理部分以供发送。
　　借助于监视物理层收发信号(PLS)部分提供的载波监听信号，发送媒体访问管理设法避免发送信号与媒体上其它信息发生冲突。在媒体空闲时，经短暂的帧间延迟(提供给媒体恢复时间)之后，就启动帧发送。然后，MAC子层将串行位流送给PLS接口以供发送。PLA完成产生媒体上电信号的任务，同时监视媒体和产生冲突检测信号。在没有争用的情况下，即可完成发送。发送完成后，MAC子层通过LLC与MAC间的接口通知LLC子层，等待下一个发送请求。假如产生冲突，PLS接通冲突检测信号，接着发送媒体访问管理开始处理冲突。道德它发送一串称为阻塞(JAM)码的位诹列来强制冲突，由此食品保证有足够的冲突持续时间，以使其它与冲突有关的发送站点都得到通知。在阻塞信号结束时，发送媒体访问管理就暂停发送，等待一个随机选择的时间间隔后再进行重发尝试。发送媒体访问管理用二进制指数退避算法调整媒体负载。最后，或者重发成功或者在媒体故障、过载的情况下，放弃重发尝试。
　　接收媒体访问管理部分的功能是，首先由PLS检测到达帧，使接收时钟与前导码同步，并接通载波监听信号。接收媒体访问管理部件要检测到达的帧是否错误，帧长是否超过最大长度，是否为8位的整倍数。还要过滤因冲突产生的碎片信号(即小于最短长度的帧)。
　　接收数据解封部分的功能，用于检验帧的目的地址字段，以确定本站点是否应该接收该帧。如地址符合，将其送到LLC子层，并进行差错检验。

　3.4 IEEE 802.3物理层规范

　　IEEEE 802.3委员会在定义可选的物理配置方面表现了极大的多样性和灵活性。为了区分各种可选用的实现方案，该委员会给出了一种简明的表示方法：
　　　　　　〈数据传输率(Mpbs)> <信号方式> <最大段长度(百米)>
如10BASE5、10BASE2、10BROAD36。但10BASE-F有些例外，其中的T表示双绞线、光纤。IEEE 802.3的10Mbps可选方案见表4.3。

　　(1)10BASE5和10BASE2。前面介绍IEEEE 802.3时所涉及的物理范围，实际上所说的就是基于以太网的10BASE5。
　　与10BASE5一样，10BASE2也使用50欧姆同軸电缆和曼切斯特编码.数据速率为10Mbps.两者的区别在于10BASE5使用粗缆(50mm),10BASE2使用细缆(5mm).由于两者数据传输率相同,所以可以使用10BASE2电缆段和10BASE5电缆段共存于一个网络中.
　　(2)10BASE-T。10BASE-T定义了一个物理上的星形拓扑网,其中央节点是一个集线器,每个节点通过一对双绞线与集线器相连.集线器的作用类似于一个转发器,它接收来自一条线上的信号并向其他的所有线转发.由于任意一个站点发出的信号都能被其他所有站点接收,若有两个站点同时要求传输,冲突就必然发生.所以,尽管这种策略在物理上是一个星形结构，但从逻辑上看与CSMA/CD总线拓扑的功能是一样的。
　　(3)10BROAD36。10BROAD36是802.3中为一针对宽带系统的规范，它采用双电缆带宽或中分带宽的75欧姆CATV同軸电缆。从端出发的段的最大长度为1800cm,由于是但向传输，所以最大的端－端距离为3600m。
　　(4)10BASE-F。10BASE-F是802.3中关于以光纤作为媒体的系统的规范。该规范中，每条传输线路均使用一条光纤，每条光纤采用曼切斯特编码传输一个方向上的信号。每一位数据经编码后，转换为一对光信号元素(有光表示高、无光表示低)，所以，一个10bps的数据流实际上需要20Mbps的信号流。

翔羽

网络管理基础与网络安全

　　随着网络的规模不断扩大,复杂性不断增加，为确保向用户提供满意的服务，迫切需要一个高效的网络管理系统对整个网络进行自动化的管理工作。网络管理是计算机网络发展中的关键技术，对网络的正常运行起着极其重要的作用。
　1.网络管理的基本功能
　　网络管理的目的协调、保持网络系统的高效、可靠运行，当网络出现故障时，能及时报告和处理。ISO建议网络管理应包含以下基本功能：故障管理、计费管理、配置管理、性能管理和安全管理。
　　(1)故障管理(Fault Management)。故障管理是网络管理中最基本的功能之一。当网络发生故障时，①必须尽可能快地找出故障发生的确切位置；②将网络其它部分与故障部分隔离，以确保网络其它部分能不受干扰继续运行；③重新配置或重组网络,尽可能降低由于隔离故障后对网络带来的影响;④修复或替换故障部分,将网络恢复为初始状态.对网络组成问部件状态的临测是网络故障检测的依据。不严重的简单故障或偶然出现的错误通常被记录在错误日志中，一般需做特别处理；而严重一些的故障则需要通知网络管理器，即发出报警。因此网络管理器必具备快速和可靠故障临测、诊断和恢复功能。
　　(2)计费管理(Accounting Management)。在商业有偿使用的网络上，计贯管理功能统计哪些用户、使用何信道、传输多少数据、访问什么资源等信息；另一方面，计费管理功能还可以统计不同线路和各类资源的利用情况。因此可见，计费管理的根本依据是网络用这些信息，并制定一种用户可接受的计费方法。商业性网络中的计费系统还要包含诸如每次通信的开始和结束时间、通信中使用的服务等级以及通信中的另一方等更详细的计费信息，并使用能够随时查询这些信息。
　　(3)配置管理(Configuration Management)。配置管理也是网络管理的基本功能。计算机网络由各种物理结构
和逻辑结构组成，这些结构中有许多参数、状态等信息需要设置并协调。另外，网络运行在多变的环境中，系统本身也经常要随着用户的增、减或设备的维修而调整配置。网络管理系统必须具有足够的手段支持这些调整的变化，使网络更有效地工作。这些手段构成了网络管理的配置管理功能。配置管理功能至少应包括识别被管理网络的拓朴结构、标识网络中的各种现象、自动修改指定设备的配置、动态维护网络配置数据库等内容。
　　(4)性能管理(Performance Management)。性能管理的目的是在使用最少的网络资源和具有最小延迟的前提下，确保网络能提供可靠、连接的通信能力，并使网络资源的使用达到最优化的程度。网络的性能管理有监测和控制两大功能，监测能实现对网络中的活动进行跟踪，控制功能实施相应调整来提高网络性能。性能管理的具体内容包括：从被管对象中收集与网络性能有关的数据，分析和统计历史数据，建立性能分析的模型，预测网络性能的长期趋势，并根据分析和预测的结果，对网络拓朴结构、某些对象的配置和参数做出调整，逐步达到最佳运行状态。如果需要做出的调整时、还要考虑扩充或重建网络。
　　(5)安全管理(Security Management)。安全管理的目的是确保网络资源不被非法使用，防止网络资源由于入侵者攻击而遭受破坏。其主要内容包括：与安全措施有关的信息分发(如密钥的分发和访问权设置等)，与安全的通知(如网络有非法侵入、无权用户对特定信息的访问个图等)，安全服务措施的创建、控制和删除，与安全有关的网络操作事件的记录、维护和查询日志管理工作等等。个完善的计算机网络管理系统必须制定网络管理的安全策略，并根据这一策略设计实现网络安全管理系统。

　2.网络管理系统的构成
　　一个具体的网络管理系统不一定要完全包含上述的五大管理功能，不同的系统可以选取其中的几个功能加以
组合，但几乎每个网络管理系统都会包括故障管理功能。
　　现代计算机网络的管理系统模型主要由以下几部分组成：(1)多个被管代理(Managed Agents),也称管理代理；(2)至少一个网络管理器(Network Manager),也称管理工作站；(3)一个通用的网络管理协议(Network Management Protocol);(4)一个或多个管理信息库(MIB-Management Information Base)。
　　所有被管理的网络设备，包括用户站点和网络互连设备等，统称为被管对象(Managed Object)。驻留在这些被管对象上配合网络管理的处理实体称为被管代理，而驻留在管理工作站上实施管理的处理褓称为管理器。管理器和被管代理通过交换管理进行工作，这种信息交换通过一种网络管理协议来实现，分别驻留在被管对象和管理工作站上的管理信息库(MIB)中。
　　任何王码电脑公司软件中心促可被管理的被管对象，例如主机、工作站、文件预备器、打印服务器、终端服务器路由器，网桥或中继器等都有一个被管代理，被管代理时刻监听和、响应来自网络管理器的查询或命令。
　　任一网络管理至少都应该有一个网络工作站，驻留在网络管理工作站上的网络管理器负责网络管理的全部监视和控制工作。网络通过与被管代理的住处交互(发送请求/接受响应)来完成管理工作。被管代理与网络管理器之间的信息交互的动作规则和数据格式等，则由网络管理协议来规定。网络管理协议与管理信息库一起协调工作，简化了网络管理的复杂过程。因为管理信息库中的管理信息描述了所有被管对象及其属性值，使得网络管理的全部工作就是对这些对象及属性值变量的读取(Get,对应于监视)或设置(Set，对应于控制)。

　3.网络管理协议
　　目前最有影响的网络管理协议有两个：一个是简单网络管理协议SNMP(Simple Net-work Management Protocol)；另一个是公共管理信息服务和公共管理信息协议CMIS/CMIP(Coommon Management Information Sever/Common Maagement Information Protocol)。
　　ISO早在提出OSI/RM的同时，就提出了网络管理标准的框架，并制定了基于开放系统互连参考模型的CMIS/CMIP。然而由于种种原因，符合OSI网络管理标准的可供实用的产品几乎没有。与此同时，Internet组织在长期运行因特网的实践中，提出了一个基于TCP/IP协议簇的网络管理标准协议SNMP，并得到了众多网络产品生产厂家的广泛支持，使之成为事实上的网络管理工业标准。
　　与CMIS/CMIP相比，SNMP流行更广、应用更多、获得的支持更广泛。SNMP的最大的优点是简易性与可扩展性，它体现了网络管理系统的一个重要准则，即网络管理功能的实现不能影响网络的正常功能，不给网络附加过多的开销。下面将摘要介绍SNMP网络管理协议。
　　SNMP设计为一种基于用户数据报协议UDP（User Datagram Protocol）的应用层协议，它是TCP/IP协议簇的一部分。SNMP的管理站根据管理需要产生三种类型的SNMP消息：所有这三种消息在代理方面均以Get Next Request 和Set Request, 前两种实现Get功能，后一种实现SET 功能。所有这三种消息在代理方面均以GET RESPONSE 消息确认，并传递给管理应用。
　　因为管理站要管理相当多的代理，而每个代理维护的对象数量又非常大，在实现过程中，管理站不可能频繁定期轮询全部代理中所胡的对象的数据。为此，SNMP采用了一种不完全的轮询协议，它允许某些未经询问不发送的信息,这种信息称为Trap。其工作机制如下：在初始化阶段，或者每隔一段较长时间，管理站通过轮询所有代理来了解某些关键信息，一旦了解到了这些信息，管理站可以不再进行轮询；另一方面，每个代理负责向管理站通知可能出现的异常情事件，这些事件通过SNMP TRAP消息传递；一旦管理站得到一个意外事件的通知，它可能采取一些动作，如直接轮询报告该事件的代理或还轮询与该代理邻近的一些代理以便取得更多有关该意外事件的特定信息。由Trap导致的轮询有助于大理节省网络带宽和降低代理的响应时间，尤其是管理站不需要的管理信息不必通过网络传递，代理也可以不用频繁响应那些不感兴趣的请求。
　　使用SNMP前提是要求所有的代理和管理站都支持UDP和 IP，这就限制了对于某些设备的管理，例如某些不支持TCP/IP 协议的网桥和调制调解器等设备只能被排除在网管范围之外。此外，可能有许多小系统（个人计算机、工作站、可编程控制器等）虽然支持TCP/IP，但是它们不能承受由于增加了SNMP、代理逻辑和MIB的维护而带来额外负担。为了管理那些没有实现SNMP的设备，可以引入委托，即SNMP代理代表了被委托的设备。管理站给它的委托代理发送关于该设备的查询，委托代理再把每个查询转换为该设备所使用的管理协议；反之，当代理收到对某个查询的响应时，它把响应递交给管理站。与此相似，如果来自于该设备的某些通知传给代理后，代理再以TRAP消息的形式发送给管理站。
　　网络管理技术仍在继续发展，，INTERNET体系结构委员会的长期目标是研究和开发OSI的网络管理标准，并希望最终使这些协议同时适用于TCP/IP和OSI网络环境，即CMOT(CMIP Over TCP/IP)

　网络安全

　1.网络上的不安全因素
　　随着全球信息化的飞速发展，大量建设的各种信息化系统已经成为国家和政府的关键基础设施，其中许多业务都是国际性的，诸如电信、电子商务、金隔网络等。网络信息安全已成为亟待解决、影响国家全局和长远利益的重大关键问题。
　　计算机犯罪是一种高技术型犯罪，由于其犯罪的隐蔽性，因此对计算机网络安全构成了很大的威胁。计算机犯罪已经引起全社会的普遍关注。随着Internet的广泛应用，采用浏览器/服务器模式的Intranet纷纷建成，这使网络用户可以方便地访问和共享网络资源。但同时对企业的重要信息，如贸易秘密、产品开发计划、市场策略、财务资料等的安全无疑埋下了致命的威胁。必须认识到，对于大到整个Internet，小到各Intranet及各校园网，都存在着来自网络内部与外部的威胁。对Inetrnet的构成威胁可分为两类：故意危害和无意危害。
　　故意危害Internet安全的主在有三种人：故意破坏者又称黑客（Hackers）、不遵守规则者(Vandals)和刺探秘密者(Crackers)。故意破坏者企图通过各种手段去破坏网络资源与信息，例如涂抹别人的主页、修改系统配置、造成系统瘫痪；不遵守规则者企图访问不允许访问的系统，这种人可能仅仅是到网中看看、找些资料，也可能想盗用别人的计算机资源（如CPU时间）；刺探秘密者的企图是通过非法手段侵入他人系统，以窃取重要秘密和个人资料。
　　除了泄露信息对企业网构成威胁之外，还有一种危险是有害信息的侵入。有人在网上传播一些不健康的图片、文字或散布不负责任的消息；另一种不遵守网络使用规则的用户可能通过玩一些电子游戏将病毒带入系统，轻则造成信息出误，严重时将会造成网络瘫痪。

　2.防火墙（Firewall）技术
　　防火墙是有被保护的Intranet与Internet之间竖起的一道安全屏障，用于增强Intranet的安全性。Internet/Intranet防火墙，用以确定哪些服务可以被Interneth上的用户访问，外部的哪些人可以访问内部的嗖服务以及外部服务可以被内部人员访问，目前的防火墙技术可以起到以下安全作用：
　　（1）集中的网络安全。防火墙允许网络管理员定义一个中心（阻塞点）来防止非法用户（如黑客、网络破坏者等）进入内部网络，禁止存在不安全因素的访问进出网络，并抗击来自各种线路的攻击。防火墙技术能够简化网络的安全管理、提高网络的安全性。
　　（2）安全警报。通过防火墙可以方便地监视网络的安全性，并产生报警信号。网络管理员必须审查并记录所有通过防火墙的重要信息。
　　（3）重新部署网络地址转换（NAT）。Internet的迅速发展使得有效的未被申请的IP地址越来越少，这意味着想进入Internet的机构可能申请不到足够的IP地址来满足内部网络用户的需要。为了接入Internet，可以通过网络地址转换NAT(Network Address Translator)来完成内部私有地址到外部注册地址的映射。防火墙是部署NAT的理想位置。
　　（4）监视INTERNET的使用。防火墙也是审查和记录内部人员对INTERNET使用的一个最佳位置，可以在此对内部访问INTERNET的情况进行记录。
　　（5）向外发布信息。防火墙除了起到安全屏障作用外，也是部署WWW服务器和FTP服务器的理想位置。允许INTERNET访问上述服务器，而禁止对内部受保护的其它系统进行访问。
　　但是，防火墙也是自身的局限性，它无法防范来自防火墙以外的其它途径所进行的攻击。例如在一个被保护的的网络上有一个没有限制的拨号访问存在，这样就为从后门进行攻击留下了可能性；另外，防火墙也不能防止来自内部变节者或不经心的用户带来的威胁；同时防火墙也不能解决进入防火墙的数据带来的所有安全问题，如果用户抓来一个程序在本地运行，那个程序可能就包含一段恶意代码，可能会导致敏感信息泄露或遭到破坏。
　　典型的防火墙系统可以由一个或多个构件组成，其主要部分是：包过滤路由器也称分组过滤路由器、应用层网关，电路层网关。
　　包过滤路由器对IP地址，TCP或UDP分组头信息进行检查与过滤，以确定是否与设备的过滤规则匹配继而决定此数据包按照由表中的信息被转发或被丢弃。包过滤方式的主要优点是仅一个关健位置设置一个包过滤路由器就可以保护整个网络，而且包过滤对用户是透明的，不必在用户机上再安装特定的软件。包过滤也有它的缺点和局限性，如包过滤规则配置比较复杂，而且几乎没有什么工具能对过滤规则的正确性进行测试；包过滤也没法查出具有数据驱动攻击这一类潜在危险的数据包；另外，随着过滤数目的增加，路由器的吞吐量会下降，从而影响网络性能。
　　应用层网关也就是通常所说的代理服务器。代理服务器运行在INTERNET和INTRANET之间，当收到用户对某站点的访问请求后，会检查请求是否符合规则。若规则允许用户访问该站的话，代理服务器便会经客户身份去那个站点取回所需的信息再发回给客户。因此代理服务器会像一堵墙一样挡在内部用户和外界之间，从外部只能看到该代理服务器而无法获知任何内部资料，诸如用户的IP地址等。应用层网关比单一的包过滤更为可靠，而且会详细记录所有的访问状态但是应用层网关也存在一些不足之外，首先因为它不允许用户直接访问网络，会使访问速度变慢；而且应用层网关需要对每一个特定的Internet服务器安装相应的代理服务软件，用户不能使用未被服务器支持的服务，对每一类服务要使用特殊的客户端软件；更不幸的是，并不是所有的Internet应用软件都可以使用代理服务理。
　　电路层网关是一种特殊的功能，它也可以由应用层网关来完成。电路层网关只依赖于TCP连接，并不进行任何的包处理或过滤。在Telnet的连接中，电路层网关简单地进行了中继，并不做任何审查、过滤或协议管理。它只在内部连接和外部连接之间来回拷贝字节，但隐藏受保护网络的有关信息。电路层网关常用于对外连接，此时假设网络管理员对其内部用户是信任的。它的优点是主机可以被设置成混合网关，对于内连接它支持应用层或代理服务，而对于外连接煞费苦心支持的电路层功能。这样，使得防火墙系统对于要访问Internet服务的内部用户来说使用起来很方便，同时又能提供保护内部网络免于外部攻击的防火墙功能。

caozihao

埋头苦干

lukaizjg

基础知识,必了解

zhaofz

谢谢,挺全的

pcangel2007

不错挺全的

^_^