Zen01 Blog

归档

Thu, 13 Mar 2025 10:40:26 +0800

关于

Thu, 13 Mar 2025 10:18:26 +0800

我向来是不惮以最坏的恶意来推测自己的，然而今日却也要写些东西了。这博客初建时，我本也未必想明白要写些什么，只觉得大抵是该写点，便写了。如今想来，人生在世，不过是一场漫长而又短暂的修行——爱也好，痛也罢，终是要一一尝遍的。

有人说，写博客的人多半是闲得发慌。这话倒也不错，但我以为，纵然是闲，也闲得有些意思。古人云"立言"，我自不敢这般狂妄，只想着把平日里的所思所想，或是读过的书、走过的路、遇见的人，零碎地记在这里。像是在黑夜的海上抛下一只只小舟，不知能否渡人，至少能渡己，好让自己在回望时，不至于觉得这一路走得太过荒凉。

我也知道，这些文字未必有多少人看，更未必能有什么用处。但我想，人生本无甚固定的意义，我们各自走过的路、爱过的人、受过的伤，总该有些东西留存下来，才不算白活。这便是我开此博客的缘由——不为别的，只为在时光里留一点痕迹，为那些消散在风中的事物，存个念想罢了。至于将来会怎样，我也说不大准，只管走下去就是了。

防火墙与入侵检测系统

Thu, 13 Feb 2025 14:00:00 +0800

前言

防火墙、入侵检测系统（IDS）和入侵防御系统（IPS）是网络安全防御的核心组件。理解它们的工作原理、部署位置和配置方法，是软考中级网络工程师的重要考点。

防火墙基础

防火墙定义

防火墙是位于内部网络和外部网络之间的网络安全设备，通过执行访问控制策略来保护网络安全。

基本功能

访问控制：允许/拒绝特定流量
网络隔离：划分安全区域（DMZ、内网、外网）
地址转换（NAT）：隐藏内部网络结构
日志审计：记录所有通过/拒绝的连接

防火墙分类

按实现方式分类

类型	工作层次	优点	缺点
包过滤（Packet Filter）	网络层/传输层	速度快	无法检查应用层数据
状态检测（Stateful Inspection）	网络层/传输层	跟踪连接状态	资源消耗大
应用层代理（Application Proxy）	应用层	精细控制	性能瓶颈
混合型（Next-Gen FW）	多层	综合防护	成本高、配置复杂

按部署位置分类

类型	位置	特点
主机防火墙	单台主机	保护本机，软件防火墙
网络防火墙	网络边界	保护整个网段，硬件设备
分发防火墙	各主机	分布式防护，适合大型网络

安全区域与DMZ

DMZ（非军事区）

DMZ是位于内网和外网之间的缓冲区域，用于放置对外提供服务的服务器。

安全区域设计

1
2
3
4
5
6


Internet
 |
 |---- [防火墙]
 |
 +---- DMZ区（Web、DNS、邮件服务器）
 |---- 内网（办公网络）

DMZ配置原则

外网 → DMZ：允许必要的访问（如用户访问Web服务）
外网 → 内网：严格限制，一般禁止
DMZ → 内网：仅允许必要的数据库连接
内网 → DMZ：禁止（防止被渗透后跳板攻击）

端口策略示例

方向	源	目的	协议	端口	动作
In	Any	DMZ	TCP	80	允许（HTTP）
In	Any	DMZ	TCP	443	允许（HTTPS）
In	Any	DMZ	TCP	22	允许（SSH管理）
Out	DMZ	Internal	TCP	3306	允许（MySQL）
In	Any	Internal	TCP	Any	拒绝（禁止外网直连内网）

NAT技术

NAT类型

类型	描述	应用场景
静态NAT（一对一）	1个私网IP对应1个公网IP	服务器发布
动态NAT（PAT）	多个私网IP共享1个公网IP	家庭/办公上网
端口转发（Port Forwarding）	公网IP端口映射到内网IP端口	内网服务发布

PAT工作原理

1
2
3
4
5
6
7


内网多台主机（192.168.1.x）访问互联网
 |
 |---- NAT路由器（公网IP：202.114.0.1）
 |
 通过不同端口（源端口）区分
 |
 v---- Internet

NAT转换表示例：

内网IP:端口	公网IP:端口
192.168.1.10:1234	202.114.0.1:20001
192.168.1.11:5678	202.114.0.1:20002
192.168.1.12:7890	202.114.0.1:20003

入侵检测系统（IDS）

IDS定义

IDS是对网络入侵行为进行检测的设备或系统，通过分析网络流量、系统日志等数据来识别可疑活动。

IDS分类

按检测方法分类

类型	原理	代表技术
异常检测（Anomaly）	建立正常行为基线，偏离即报警	统计分析、机器学习
误用检测（Misuse）	匹配已知攻击特征库	特征匹配、协议分析

按部署位置分类

类型	部署位置	优点	缺点
NIDS（网络IDS）	网络关键节点	监控整个网段	加密流量难以检测
HIDS（主机IDS）	重要服务器	精确检测主机行为	消耗主机资源
DIDS（分布式IDS）	多个位置	综合分析	成本高、复杂

常见检测技术

签名检测：匹配已知攻击特征
协议分析：检测异常协议行为
流量异常：流量统计、阈值报警
漏洞扫描：检测端口扫描、指纹识别

入侵防御系统（IPS）

IPS vs IDS

特性	IDS	IPS
作用	检测和报警	检测并阻断
工作方式	旁路部署	串联部署
性能影响	不影响网络流	增加延迟
误报影响	可容忍	误报可能阻断合法流量

IPS防御技术

虚拟补丁（Virtual Patching）：在IPS上阻断漏洞利用流量
流量清洗：过滤DDoS攻击流量
行为分析：基于应用层协议（HTTP/HTTPS）的防护
沙箱隔离：可疑文件隔离执行

防火墙配置实例

ACL规则编写

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


! 拒绝所有流量
access-list 100 deny ip any any

! 允许内网访问DNS
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 53

! 允许外网访问DMZ的Web服务
access-list 100 permit tcp any host 202.114.0.10 eq 80

! 允许已建立的连接返回
access-list 100 permit tcp any any established

防火墙区域配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


firewall zone trust
 description 内网区域
 set zone trust
 add interface ethernet0/1

firewall zone untrust
 description 外网区域
 set zone untrust
 add interface ethernet0/0

firewall zone dmz
 description DMZ区域
 set zone dmz
 add interface ethernet0/2

! 允许untrust访问dmz的HTTP/HTTPS
access-policy from untrust to dmz action permit tcp-http
access-policy from untrust to dmz action permit tcp-https

! 禁止untrust访问trust
access-policy from untrust to trust action deny

网络安全部署策略

纵深防御（Defense in Depth）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


Internet
 |
 v---- 第1层：边界防火墙/IPS
 |
 v---- 第2层：网络IDS
 |
 v---- 第3层：主机HIDS
 |
 v---- 第4层：数据加密/备份
 |
 v---- 核心资产

最小权限原则

默认拒绝：未明确允许的流量一律拒绝
按需开放：仅开放必需的端口和服务
定期审计：定期审查和清理不需要的规则
分权管理：不同管理员拥有不同权限级别

练习题

题目1：关于DMZ区域的描述，正确的是（）

A. DMZ应该放置内部文件服务器 B. DMZ允许内网无限制访问外网 C. DMZ服务器对外提供服务，安全性低于内网 D. DMZ和内网可以直接互通，无需控制

答案：C（DMZ是牺牲区域，安全性低于内网）

题目2：以下关于NAT的描述，错误的是（）

A. NAT可以缓解IPv4地址不足的问题 B. 静态NAT实现私网IP和公网IP一对一映射 C. PAT通过端口号区分不同的内部主机 D. NAT能够加密内部网络的通信内容

答案：D（NAT仅做地址转换，不加密内容）

题目3：IDS和IPS的主要区别是（）

A. IPS部署在内网，IDS部署在边界 B. IPS能够阻断攻击，IDS仅检测报警 C. IDS检测更准确，IPS误报率更高 D. IPS只支持签名检测，IDS支持异常检测

答案：B（IPS=IDS+阻断）

附录

参考文献

《网络安全原理与实践》- William Stallings
《防火墙技术指南》- Cisco Press
软考中级网络工程师网络安全部分

文章封面

网络防御

网络安全基础——加密与认证

Thu, 13 Feb 2025 13:00:00 +0800

前言

网络安全是软考中级网络工程师考试的重要组成部分。随着网络安全威胁的日益严重，掌握加密、认证、访问控制等安全机制，对于构建安全网络系统和应对考试都至关重要。

网络安全威胁类型

常见威胁分类

威胁类型	描述	防护措施
窃听（Sniffing）	捕获传输中的数据	加密传输
篡改（Tampering）	非法修改传输中的数据	完整性校验、数字签名
伪造（Spoofing）	冒充合法用户/设备	身份认证、反欺诈
拒绝服务（DoS）	耗尽资源使服务不可用	流量清洗、入侵检测
权限提升	获得未授权的高权限	访问控制、最小权限原则

加密技术

对称加密（Symmetric Encryption）

发送方和接收方使用相同的密钥进行加密和解密。

算法示例：DES、3DES、AES、RC4

优点：加密解密速度快缺点：密钥分发问题

流程：

1
2


明文 + 密钥 → 加密算法 → 密文
密文 + 密钥 → 解密算法 → 明文

非对成加密（Asymmetric Encryption）

使用公钥加密、私钥解密，也称为公钥密码体制。

算法示例：RSA、ECC、ElGamal

优点：解决密钥分发问题缺点：计算复杂、速度慢

流程：

1
2


发送方：明文 + 接收方公钥 → 加密算法 → 密文
接收方：密文 + 接收方私钥 → 解密算法 → 明文

哈希函数（Hash Function）

将任意长度的输入映射为固定长度的输出，用于完整性和身份验证。

特性：

单向性：无法从哈希值反推原文
抗碰撞性：难以找到两个不同输入产生相同输出
雪崩效应：输入微小变化导致输出巨大变化

常将算法：MD5（128位）、SHA-1（160位）、SHA-256（256位）

应用场景：

数字签名
完整性校验
口令存储（存储哈希值而非明文）

身份认证机制

认证类型对比

认证类型	因素	示例	安全性
你知道什么（What you know）	密码、PIN等	低
你拥有什么（What you have）	USB Key、智能卡	中	双因素认证
你是什么（What you are）	指纹、人脸、虹膜	高	生物特征

AAA认证架构

AAA是认证、授权、计费的统一框架：

Authentication（认证）：确认用户身份
Authorization（授权）：确认用户权限
Accounting（计费）：记录用户操作行为

流程：

1
2
3
4
5
6
7


用户 → 认证请求 → NAS（网络接入服务器）
 ↓
 RADIUS/TACACS+ 服务器
 ↓
 验证通过/拒绝 → NAS
 ↓
 允许/拒绝访问 → 用户

RADIUS协议

特点：

标准：RFC 2865/2866
传输：UDP 1812（认证）、1813（计费）
加密：仅加密密码字段，属性明文传输
架构：客户端-服务器模式

RADIUS属性：

属性类型	属性ID	用途
UserName	1	用户名
User-Password	2	用户密码
Framed-IP-Address	8	分配的IP地址
NAS-IP-Address	4	网络接入服务器IP

TACACS+协议

特点：

Cisco私有：但成为事实标准
传输：TCP 49（可靠传输）
全加密：整个报文加密
分离控制：认证、授权、计费独立处理

PKI公钥基础设施

PKI组成

CA（Certificate Authority）：证书授权中心，签发数字证书
RA（Registration Authority）：注册中心，审核证书申请
证书库：存储已撤销证书的CRL
终端实体：持有证书的最终用户

X.509证书结构

数字证书包含：

版本号：V3最常见
序列号：CA唯一分配
签名算法：如RSA with SHA-256
颁发者：CA的DN（Distinguished Name）
有效期：起止时间
主体：证书持有者的DN
公钥信息：算法及公钥值
签名：CA的数字签名

SSL/TLS握手过程

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


客户端 服务端
 | |
 |---- Client Hello -->|
 |<-- Server Hello ------|
 |<-- Certificate ------|
 |---- Client Key Exchange -->|
 |---- Change Cipher Spec -->|
 |<-- Server Hello Done -----|
 |---- Change Cipher Spec -->|
 |---- Finished -------->|
 |<-- Finished ----------|
 | |
(建立加密通道)

访问控制列表（ACL）

ACL类型

标准ACL：1-99，检查源地址
扩展ACL：100-199，检查源/目的地址、协议、端口
命名ACL：使用名称标识更易管理

通配符

符号	含义	示例
host x.x.x.x	指定单个主机	host 192.168.1.10
any	任意地址	ip any any
eq	等于	eq 80
gt	大于	gt 1024
lt	小于	lt 1024
range	范围	range 100 200

练习题

题目1：以下关于对称加密和非对称加密的描述，错误的是（）

A. 对称加密速度快于非对称加密 B. 非对称加密解决了密钥分发问题 C. RSA属于对称加密算法 D. AES属于对称加密算法

答案：C（RSA是非对称加密）

题目2：MD5哈希函数的输出长度是（）

A. 128位 B. 160位 C. 256位 D. 512位

答案：A（MD5输出128位，SHA-1是160位，SHA-256是256位）

题目3：RADIUS协议使用的传输层协议和端口是（）

A. TCP 1812 B. UDP 1812 C. TCP 1813 D. UDP 1813

答案：B（RADIUS使用UDP 1812端口）

附录

参考文献

《网络安全基础与应用》- William Stallings
《密码学导论》- 潘承喜
软考中级网络工程师网络安全部分

文章封面

安全防护

路由算法与路由协议

Thu, 13 Feb 2025 12:00:00 +0800

前言

路由是网络层的核心功能，负责将数据包从源地址转发到目的地址。理解路由算法和常用路由协议的工作原理，是软考中级网络工程师的重要内容。

路由基础

路由表结构

路由器通过查找路由表来决定数据包的转发路径：

目的网络	子网掩码	下一跳	接口
192.168.1.0	255.255.255.0	192.168.1.2	Ethernet0
192.168.2.0	255.255.255.0	192.168.1.1	Ethernet1
0.0.0.0	0.0.0.0	202.114.0.1	Ethernet2

最后一行是默认路由，当目的地址不匹配任何具体路由时使用。

路由选择原则

最长前缀匹配：选择子网掩码最长（即网络位最多）的路由
管理距离优先：相同前缀时，选择管理距离（Metric）更小的
负载均衡：多条等价路由时可以分担流量

路由算法

静态路由 vs 动态路由

类型	特点
静态路由	手工配置，固定不变，适合小型网络
动态路由	自动学习和更新，适应网络变化，适合大型网络

常用路由算法

1. 距离向量（Distance Vector）

原理：路由器只知道自己到目的网络的距离（跳数），与邻居交换信息

算法：Bellman-Ford算法

优点：简单、配置容易缺点：慢收敛、计数到无穷问题、路由环路

代表协议：RIP（Routing Information Protocol）

2. 链路状态（Link State）

原理：路由器掌握整个网络拓扑结构，计算最短路径

算法：Dijkstra算法

优点：收敛快、无环路缺点：计算复杂、资源消耗大

代表协议：OSPF（Open Shortest Path First）

3. 路径向量（Path Vector）

原理：记录到达目的的完整路径，避免环路

代表协议：BGP（Border Gateway Protocol）

路由协议详解

RIP协议

特点：

最大跳数：15跳（16跳视为不可达）
更新周期：每30秒广播路由表
度量标准：跳数（Hop Count）
端口：UDP 520

版本：

RIPv1：有类路由（Classful）
RIPv2：无类路由（Classless，支持CIDR和VLSM）

OSPF协议

特点：

开放标准：公开协议，互操作性好
链路状态：使用Dijkstra算法
区域概念：将AS划分为区域，减少路由表规模
度量标准：代价（Cost），基于带宽计算
- 100Mbps → Cost = 1
- 10Mbps → Cost = 10
快速收敛：触发更新，仅当网络变化时发送
认证支持：支持明文和MD5认证

OSPF区域类型：

骨干区域（Area 0）：必须连续，其他区域必须连接
普通区域：连接到骨干区域
末梢区域：只有一个出口点（ABR）

BGP协议

特点：

外部网关协议：用于自治系统（AS）之间的路由
路径向量协议：携带AS路径信息
TCP端口179：可靠传输
策略路由：基于属性（AS-PATH等）实现路由策略

BGP类型：

eBGP：外部BGP，不同AS之间
iBGP：内部BGP，同一AS内部

BGP选路原则：

忽略下一跳AS（Local Pref）
AS_PATH最短
ORIGIN类型（IGP < EGP < Incomplete）
MED值（多出口歧视）
Router ID最小
Cluster List长度
Peer IP地址

路由配置示例

静态路由配置

1
2
3
4
5
6


# IP route命令格式
ip route [目标] [mask] [网关] [interface]

# 示例
ip route 192.168.2.0 255.255.255.0 192.168.1.1
ip route 0.0.0.0 0.0.0.0 202.114.0.1 # 默认路由

OSPF基本配置

1
2
3


router ospf 1
 network 192.168.1.0 0.0.0.255 area 0
 network 192.168.2.0 0.0.0.255 area 1

练习题

题目1：RIP协议中，当路由器收到跳数为16的路由信息时，会（）

A. 正常更新路由表 B. 将该路由标记为不可用 C. 丢弃该路由信息 D. 向源路由器发送错误消息

答案：C（RIP最大跳数为15，16视为不可达）

题目2：OSPF协议中，以下关于区域的描述错误的是（）

A. 骨干区域的区域ID必须是0 B. 所有区域必须与骨干区域相连 C. OSPF支持VLSM D. OSPF使用跳数作为度量标准

答案：D（OSPF使用Cost，不是跳数）

题目3：路由器收到一个数据包，查路由表发现有多条匹配路由时，优先选择（）

A. 跳数最少的 B. 带宽最大的 C. 子网掩码最长的 D. 管理距离最小的

答案：C（最长前缀匹配原则）

附录

参考文献

《路由算法与协议》- RFC文档
CCNP路由与交换指南
软考中级网络工程师网络管理部分

文章封面

网络拓扑

IP地址与子网划分

Thu, 13 Feb 2025 11:00:00 +0800

前言

IP地址与子网划分是软考中级网络工程师的必考知识点，也是网络设计和管理的基础。掌握IP地址的分类、子网掩码的计算以及CIDR表示法，对于实际网络规划和考试都至关重要。

IP地址基础

IPv4地址结构

IPv4地址是32位二进制数，通常用点分十进制表示：

1
2


IP地址：192.168.1.1
二进制：11000000.10101000.00000001.00000001

IPv4地址由两部分组成：

网络部分（Network ID）：标识主机所在的网络
主机部分（Host ID）：标识该网络中的具体主机

特殊IP地址

地址类型	用途
0.0.0.0	当前网络（默认路由）
127.x.x.x	环回地址（本地测试）
255.255.255.255	有限广播地址
私有IP	用于内部网络，不路由到互联网

子网掩码（Subnet Mask）

定义

子网掩码是一个32位的二进制数，用于区分IP地址中的网络部分和主机部分：

1表示网络位
0表示主机位

常见子网掩码

子网掩码	CIDR	可用主机数
255.0.0.0	/8	16,777,214
255.255.0.0	/16	65,534
255.255.255.0	/24	254
255.255.255.128	/25	126
255.255.255.192	/26	62

CIDR表示法

CIDR（无类域间路由）用斜线记法表示子网掩码：

1
2
3
4
5
6


传统表示法：
IP地址：192.168.1.0
子网掩码：255.255.255.0

CIDR表示法：
192.168.1.0/24

/24的含义：前24位是网络位，后8位是主机位。

子网划分步骤

例题

将网络192.168.1.0/24划分成4个子网，每个子网至少有50台主机。

解答步骤

第1步：确定所需位数

需要4个子网，需要借用2位主机位（2² = 4）新子网掩码：/24 + 2 = /26

第2步：计算新的子网

1
2
3
4
5
6
7


原网络：192.168.1.0/24
子网块大小：2^(8-2) = 64个IP

子网1：192.168.1.0/26 （范围：192.168.1.1 - 192.168.1.62）
子网2：192.168.1.64/26 （范围：192.168.1.65 - 192.168.1.126）
子网3：192.168.1.128/26 （范围：192.168.1.129 - 192.168.1.190）
子网4：192.168.1.192/26 （范围：192.168.1.193 - 192.168.1.254）

验证：每个子网可用主机数 = 2^(32-26) - 2 = 62台，满足50台的要求。

计算公式总结

可用主机数

1

可用主机数 = 2^(32 - 子网掩码位数) - 2

子网范围

1
2
3


子网起始地址 = 网络地址 + 1
子网结束地址 = 下一子网网络地址 - 2
广播地址 = 子网网络地址 + (2^主机位数 - 1)

VLSM（可变长子网掩码）

VLSM允许不同子网使用不同长度的子网掩码，更高效地利用IP地址空间。

示例：

子网	子网掩码	可用主机数	用途
192.168.1.0/24	255.255.255.0	254	普通用户
192.168.2.0/25	255.255.255.128	126	服务器群
192.168.2.128/26	255.255.255.192	62	管理网络
192.168.2.192/28	255.255.255.240	14	打印机网络

IPv6简介

IPv6地址格式

IPv6地址是128位，用冒号分十六进制表示：

1
2
3


2001:0db8:85a3:0000:0000:8a2e:0370:7334
可简化为：
2001:db8:85a3::8a2e:370:7334

IPv6优势

地址空间巨大：2^128个地址，号称可以为地球上每一粒沙子分配一个IP
简化头部：固定40字节头部，提高路由效率
内置安全性：支持IPSec
更好的QoS支持：对流量标识和分类更灵活

练习题

题目1：IP地址192.168.100.5/24的子网掩码是（）

A. 255.0.0.0 B. 255.255.0.0 C. 255.255.255.0 D. 255.255.255.255

答案：C（/24对应255.255.255.0）

题目2：子网202.96.0.0/20可以划分成多少个/26的子网？（）

A. 8 B. 16 C. 32 D. 64

答案：D（20→26相差6位，2^6 = 64）

题目3：某公司申请到一个C类IP地址段202.114.0.0/24，需要划分成6个子网，每个子网最多30台主机，应使用的子网掩码是（）

A. 255.255.255.192 B. 255.255.255.224 C. 255.255.255.240 D. 255.255.255.248

答案：D（需要2^6≥6，借用3位主机位，/27 = 255.255.255.224）

附录

参考文献

《TCP/IP详解卷1：协议》- W. Richard Stevens
CCNA自学指南
软考中级网络工程师辅导教程

文章封面

数字网络

OSI七层模型与TCP/IP协议栈

Thu, 13 Feb 2025 10:00:00 +0800

前言

OSI七层模型和TCP/IP协议栈是软考中级网络工程师考试的核心知识点之一。理解这两者之间的关系和各自的功能，对于掌握网络原理、应对考试题目至关重要。

OSI七层模型

OSI（Open Systems Interconnection，开放系统互连）参考模型是由ISO（国际标准化组织）于1984年提出的网络体系结构模型，将网络通信过程划分为七个层次：

层次	名称	主要功能	协议示例
第7层	应用层（Application Layer）	为应用程序提供服务	HTTP、FTP、SMTP、DNS
第6层	表示层（Presentation Layer）	数据格式化、加密解密	SSL/TLS、JPEG、ASCII
第5层	会话层（Session Layer）	建立、管理和终止会话	NetBIOS、RPC
第4层	传输层（Transport Layer）	端到端传输、流量控制	TCP、UDP
第3层	网络层（Network Layer）	路由选择、逻辑寻址	IP、ICMP、IGMP
第2层	数据链路层（Data Link Layer）	物理寻址、差错检测	Ethernet、MAC、PPP
第1层	物理层（Physical Layer）	比特传输	光纤、双绞线、电波

记忆口诀

从下往上：物数网传会表应

从上往下：应表会传网数物

TCP/IP协议栈

TCP/IP模型是实际使用的网络协议体系，相比OSI模型更为简洁实用。它通常被描述为四层结构：

TCP/IP四层模型

TCP/IP层	对应OSI层	主要协议
应用层	应用层、表示层、会话层	HTTP、FTP、DNS、SMTP
传输层	传输层	TCP、UDP
网际层（Internet Layer）	网络层	IP、ICMP、ARP
网络接口层	数据链路层、物理层	Ethernet、Wi-Fi、PPP

TCP与UDP对比

特性	TCP	UDP
连接	面向连接（三次握手）	无连接
可靠性	可靠传输（确认、重传）	不可靠
速度	较慢	快
资源消耗	高	低
应用场景	文件传输、邮件、网页	视频直播、在线游戏、DNS查询

数据封装过程

数据从应用层向下传输到物理层时，每一层都会添加自己的头部信息：

1
2
3
4
5
6
7
8
9


应用数据
 ↓ (添加TCP头部：端口号、序列号等)
TCP段
 ↓ (添加IP头部：源IP、目的IP等)
IP数据报
 ↓ (添加以太网头部：MAC地址等)
以太网帧
 ↓ (转换为电信号/光信号)
比特流

考试重点：数据在每一层被封装时添加的是什么信息，封装的顺序是什么。

常见考点总结

1. 层次对应关系

TCP/IP的应用层对应OSI的上三层（应用层、表示层、会话层）
网际层对应OSI的网络层
网络接口层对应OSI的下两层（数据链路层、物理层）

2. 协议归属

HTTP、FTP、DNS → 应用层
TCP、UDP → 传输层
IP、ICMP → 网络层
Ethernet、MAC、ARP → 数据链路层

3. 端口号

常用端口号需要熟记：

服务	端口	协议
FTP	20(数据), 21(控制)	TCP
SSH	22	TCP
Telnet	23	TCP
SMTP	25	TCP
DNS	53	TCP/UDP
HTTP	80	TCP
HTTPS	443	TCP

4. IP地址分类（IPv4）

类别	第一字节范围	网络数	主机数
A类	1-126	126	16,777,216
B类	128-191	16,384	65,536
C类	192-223	2,097,152	254
D类（组播）	224-239	-	-
E类（保留）	240-255	-	-

注意：A类的127.x.x.x是环回地址，用于本地测试。

练习题

题目1：在OSI七层模型中，为应用程序提供服务的层次是（）

A. 表示层 B. 会话层 C. 应用层 D. 传输层

答案：C

题目2：以下协议中，属于传输层的是（）

A. HTTP B. IP C. TCP D. ARP

答案：C

题目3：TCP协议通过（）来保证可靠性

A. 三次握手 B. 滑动窗口 C. 确认与重传 D. 拥塞控制

答案：C（三次握手是建立连接的方式）

附录

参考文献

《计算机网络第8版》- 谢希仁
软考中级网络工程师考试大纲
RFC 1180 - TCP相关标准

文章封面

网络架构

搜索

Mon, 01 Jan 0001 00:00:00 +0000

友链

Mon, 01 Jan 0001 00:00:00 +0000

欢迎交换友链！请在评论区留言。