計算機網絡安全筆記（計算機網絡安全相關知識）

本篇文章給大家談談計算機網絡安全筆記，以及計算機網絡安全相關知識對應的知識點，希望對各位有所幫助，不要忘了收藏本站喔。

本文目錄一覽：

• 1、★★急求自考計算機網絡安全真題及答案（☆高分懸賞☆）
• 2、計算機網絡筆記——數據鏈路層（停等協議、GBN、SR）
• 3、計算機網絡筆記——數據鏈路層
• 4、計算機網絡自學筆記:TCP
• 5、網絡工程師筆記-網絡安全技術
• 6、計算機網絡自學筆記：選路算法

★★急求自考計算機網絡安全真題及答案（☆高分懸賞☆）

這里有你想要的一切...

全國2010年4月自學考試計算機網絡安全試題及答案

全國2009年7月自考計算機網絡安全試卷及答案

全國2010年4月自學考試計算機網絡安全試題及答案

備注：以上兩套真題答案由楊尚杰為你親情制作.

自考樂園俱樂部全網首發..★★★歡迎下載...歡迎交流...

其他：

2010自考計算機網絡安全串講習題(燕園試題)

自考計算機網絡安全教材(高清掃描版)

計算機網絡安全超強筆記

-------請到自考樂園俱樂部下載

如果你還想找更多關于自考計算機網絡安全的資料（比如筆記，課后答案...等等）...也歡迎你自己去這個俱樂部找找...一定會得到意想不到的收獲...

--------------------------------------------------------

這里也許更適合你....

百度貼吧：自考樂園俱樂部

自我感覺自考樂園俱樂部最適合你...

本人也是自考計算機網絡（獨立本科），和你也有類似想法...

偶然間發現原來竟然有這樣一個圈子：自考樂園俱樂部

這里幾乎聚集了最多的自考計算機網絡獨立本科的朋友，和幾乎全部自考本專業的資料（更可貴的是還能免費下載...）

也歡迎你和我們一起加入這個圈子...

------------------------------------------

以下是這個俱樂部的簡介：

☆自考樂園---心境隨緣，誠與天下自考人共勉?。?！

☆自考樂園---分享快樂，你的快樂老家?。?！

☆自考樂園---引領成功，你的精神樂園?。?！

--------------------------------------

☆★☆與千萬自考生同行，你準備好了嗎?

你希望在自考的征途中，有一群和你志同道合的人同行？

你愿意在漫長的自考歲月中，有一群人和你分享快樂，分擔憂愁嗎？

你渴望在一個人奮斗時，有一群人在背后默默支持你嗎？

你是否也一直在苦苦尋找這樣一個平臺，一群志同道合的人，一片積極向上的心，一個共同的追求，一個誠摯的鼓勵，一個堅實的支持......對?。?！就是這里?。?！這里有你想要的一切......

與志者同行，你也將成為志者?。?！

與成功者同行，你也將獲得成功?。?！

與千萬自考生同行，你準備好了嗎？？？

與千萬自考生同行，你做好了準備嗎？？？

今天我們誠摯的發出邀請，真誠的歡迎廣大報考和我相同專業的考生加入本俱樂部，一起交流，進步，提高.......我們正尋找特別的你親情加入.........

---------------------------------

我也認為百度貼吧：自考樂園俱樂部最好.......

尤其是他們所共享的自考資料...幾乎可以說是網上最全面，最系統的...

加入自考樂園俱樂部...絕對會讓你受益多多...

以下僅例舉幾科資料：

●★自考樂園發帖須知★● ●自考樂園優秀主題簡介● [置頂]

【資料整理】自考中國近現代史綱一貼通（資料大全） [精品]

【資料整理】自考馬克思主義基本原理概論一貼通（資料大全） [精品]

【資料整理】自考計算機網絡原理一貼通（資料大全） [精品]

【資料整理】自考Java語言程序設計(一)一貼通（資料大全） [精品]

【資料整理】自考高等數學(工本)一貼通（資料大全） [精品]

【資料整理】自考自考網絡操作系統一貼通（資料大全） [精品]

【資料整理】自考數據結構一貼通（資料大全） [精品]

【資料整理】自考數據庫系統原理一貼通（資料大全） [精品]

【資料整理】自考英語二一貼通（資料大全） [精品]

【資料整理】自考互聯網及其應用一貼通（資料大全） [精品]

【資料整理】自考計算機網絡管理一貼通（資料大全） [精品]

【資料整理】自考計算機網絡安全一貼通（資料大全） [精品]

--------------------------------------------------

最后預祝所有的朋友:

自考快樂

天天有份好心情?。?！-------------------自考樂園俱樂部

===========================================================

關于自考，你還有什么疑惑，歡迎在百度上給我留言，我會盡力幫助你的...

如果你要加入自考樂園俱樂部，也歡迎給我留言，我會給你發邀請鏈接...

==============================================================

百度貼吧：自考樂園俱樂部

參考資料：百度貼吧：自考樂園俱樂部

計算機網絡筆記——數據鏈路層（停等協議、GBN、SR）

流量控制：防止發送端發送和接收端接收速度不匹配造成傳輸錯誤

傳輸層和數據鏈路層均有流量控制，但是控制手法不一樣

傳輸層：端到端，接收端向發送端發送一個窗口公告。告訴發送端目前我能接收多少

數據鏈路層：點到點，接收端接收不下的就不回復確認（ack），讓發送端自己重傳

涉及協議較多分批寫

優點 ：最簡單的控制協議

缺點 ：但是性能較弱,信道利用率低

控制方法 ：

發送方：發送一個幀

接收方：接收到幀后返回改幀的ack

發送方：接收到ack后發送下一個幀

差錯控制 ：

注意 ：

滑動窗口協議是基于停止等待協議的優化版本

停止等待協議性能是因為需要等待ack之后才能發送下一個幀，在傳送的很長時間內信道一直在等待狀態

滑動窗口則利用緩沖思想，允許連續發送(未收到ack之前)多個幀，以加強信道利用

窗口 ：其實就是緩沖幀的一個容器，將處理好的幀發送到緩沖到窗口，可以發送時就可以直接發送，借此優化性能。一個幀對應一個窗口。

GBN是滑動窗口中的一種，其中 發送窗口 1 , 接收窗口=1 因發送錯誤后需要退回到最后正確連續幀位置開始重發，故而得名。

控制方法 ：

發送端：在將發送窗口內的數據連續發送

接收端：收到一個之后向接收端發送累計確認的ack

發送端：收到ack后窗口后移發送后面的數據

累計確認 ：累計確認允許接收端一段時間內發送一次ack而不是每一個幀都需要發送ack。該確認方式確認代表其前面的幀都以正確接收到

eg:發送端發送了編號 0,1,2,3,4,5 的幀，等待一段時間后（超過3的超時計時器）累計收到的ack對應 0,2 幀，則證明已經成功 0,1,2 均已經成功接收， 3 傳輸錯誤。并且哪怕 4,5 兩個幀接收成功后也不會返回 4,5 的ack會一直等待從 3 開始重傳

差錯控制 ：

發送幀丟失、ack丟失、ack遲到 等處理方法基本和停等協議相同，不同的是采用累計確認恢復的方式，當前面的幀出錯之后后面幀無論是否發送成功都要重傳

優點：信道利用率高（利用窗口有增加發送端占用，并且減少ack回復次數）

缺點：累計確認使得該方法只接收正確順序的幀，而不接受亂序的幀，錯誤重傳浪費嚴重

發送窗口大小問題

窗口理論上是越多性能越好，但是窗口不能無限大，n比特編碼最大只能2^(n-1)個窗口，否則會造成幀無法區分（本質就是留了一個比特區分兩組幀）

SR協議可以說是GBN的plus版本，在GBN的基礎上改回每一個幀都要確認的機制，解決了累計確認只接收順序幀的弊端只需要重發錯誤幀。

其中 發送窗口 1 , 接收窗口 1 , 接收窗口 發送窗口 (建議接 收窗口 = 發送窗口 接收窗口少了溢出多了浪費).

控制方法 ：

發送端：將窗口內的數據連續發送

接收端：收到一個幀就將該幀緩存到窗口中并回復一個ack

接收端：接收到順序幀后將數據提交給上層并接收窗口后移（若接收到的幀不是連續的順序幀時接收窗口不移動）

發送端：接收到順序幀的ack后發送窗口后移（同理發送窗口接收到的ack不連續也不移動）

差錯控制 ：

發送幀丟失、ack丟失、ack遲到 三類處理方式仍然和停等協議相同，不同的是SR向上層提交的是多個連續幀，停等只提交一個幀（不連續的幀要等接收或重傳完成后才會提交）

發送窗口大小問題

同GBN一樣，發送窗口和接收窗口都不能無限多，且不說緩存容量問題，當兩組幀同時發送時會造成無法區分，大小上限仍然是2^(n-1)個窗口（本質就是留了一個比特寫組號）

窗口大小這里留一張截圖，方便理解

假設窗口大小都為3（圖中編號到了3是借4窗口的圖，正常應編號到2,但是不妨礙理解）

左邊是錯誤重發，第一組的0幀ack丟失了

右邊是正常收發

三種協議對比：

停等協議：單線程的傻子，簡單不易出錯，但是效率極其低下

GBN：假的多線程(接收端太坑啦)，接收端是情種，只等待自己哪一個幀，丟棄了后來的幀

SR：多線程，接收端有收藏癖，等待集齊一套召喚神龍（提交給上層這只神龍……）

計算機網絡筆記——數據鏈路層

封裝成幀 ：在一段數據的前后部分添加 首部 和 尾部 ，這樣就構成了一個幀。

接收端在收到物理層上交的比特流后，就能根據首部和尾部的標記，從收到的比特流中識別幀的開始和結束.

首部和尾部包含許多的控制信息，他們的一個重要作用： 幀定界 （確定幀的界限）。

幀同步 ：接收方應當能從接收到的二進制比特流中區分出幀的起始和終止。

1. 字符計數法

2. 字符（節）填充法

3. 零比特填充法

4. 違規編碼法。

字節計數法 : Count字段的脆弱性（其值若有差錯將導致災難性后果）

字符填充法 : 實現上的復雜性和不兼容性

目前較普遍使用的幀同步法是 比特填充 和 違規編碼法 。

差錯源于噪聲：

冗余編碼： 在數據前面添加校驗數據，和最終收到的數據比對是否有誤，有誤證明傳輸出錯

板栗??

一段晦澀的話

“可靠傳輸”：數據鏈路層發送端發送什么，接收端就收到什么。

鏈路層使用CRC檢驗，能夠實現無比特差錯的傳輸，但這還不是可靠傳輸。

原理： 多個校驗位同時檢驗一個數據

構成： 檢驗位和數據位

檢驗位個數：海明不等式 2^r = k + r + 1 計算得出（r為檢驗位個數，k為數據位位數）

檢驗位位置：2的（1-r次方）

編碼： （以數據D = 101101為例）

最終傳輸數據（海明碼）： 00 1 0 011 1 01

校驗：

????板栗+1

計算機網絡自學筆記:TCP

如果你在學習這門課程，僅僅為了理解網絡工作原理，那么只要了解TCP是可靠傳輸，數據傳輸丟失時會重傳就可以了。如果你還要參加研究生考試或者公司面試等，那么下面內容很有可能成為考查的知識點，主要的重點是序號/確認號的編碼、超時定時器的設置、可靠傳輸和連接的管理。

1 TCP連接

TCP面向連接，在一個應用進程開始向另一個應用進程發送數據之前，這兩個進程必須先相互“握手”，即它們必須相互發送某些預備報文段，以建立連接。連接的實質是雙方都初始化與連接相關的發送/接收緩沖區，以及許多TCP狀態變量。

這種“連接”不是一條如電話網絡中端到端的電路，因為它們的狀態完全保留在兩個端系統中。

TCP連接提供的是全雙工服務 ，應用層數據就可在從進程B流向進程A的同時，也從進程A流向進程B。

TCP連接也總是點對點的 ，即在單個發送方與單個接收方之間建立連接。

一個客戶機進程向服務器進程發送數據時，客戶機進程通過套接字傳遞數據流。

客戶機操作系統中運行的 TCP軟件模塊首先將這些數據放到該連接的發送緩存里 ，然后會不時地從發送緩存里取出一塊數據發送。

TCP可從緩存中取出并放入報文段中發送的數據量受限于最大報文段長MSS，通常由最大鏈路層幀長度來決定(也就是底層的通信鏈路決定)。 例如一個鏈路層幀的最大長度1500字節，除去數據報頭部長度20字節，TCP報文段的頭部長度20字節，MSS為1460字節。

報文段被往下傳給網絡層，網絡層將其封裝在網絡層IP數據報中。然后這些數據報被發送到網絡中。

當TCP在另一端接收到一個報文段后，該報文段的數據就被放人該連接的接收緩存中。應用程序從接收緩存中讀取數據流(注意是應用程序來讀，不是操作系統推送)。

TCP連接的每一端都有各自的發送緩存和接收緩存。

因此TCP連接的組成包括:主機上的緩存、控制變量和與一個進程連接的套接字變量名，以及另一臺主機上的一套緩存、控制變量和與一個進程連接的套接字。

在這兩臺主機之間的路由器、交換機中，沒有為該連接分配任何緩存和控制變量。

2報文段結構

TCP報文段由首部字段和一個數據字段組成。數據字段包含有應用層數據。

由于MSS限制了報文段數據字段的最大長度。當TCP發送一個大文件時，TCP通常是將文件劃分成長度為MSS的若干塊。

TCP報文段的結構。

首部包括源端口號和目的端口號，它用于多路復用/多路分解來自或送至上層應用的數據。另外，TCP首部也包括校驗和字段。報文段首部還包含下列字段:

32比特的序號字段和32比特的確認號字段。這些字段被TCP發送方和接收方用來實現可靠數據傳輸服務。

16比特的接收窗口字段，該字段用于流量控制。該字段用于指示接收方能夠接受的字節數量。

4比特的首部長度字段,該字段指示以32比特的字為單位的TCP首部長度。一般TCP首部的長度就是20字節。

可選與變長的選項字段,該字段用于當發送方與接收方協商最大報文段長度，或在高速網絡環境下用作窗口調節因子時使用。

標志字段ACK比特用于指示確認字段中的ACK值的有效性，即該報文段包括一個對已被成功接收報文段的確認。 SYN和FIN比特用于連接建立和拆除。 PSH、URG和緊急指針字段通常沒有使用。

?序號和確認號

TCP報文段首部兩個最重要的字段是序號字段和確認號字段。

TCP把數據看成一個無結構的但是有序的字節流。TCP序號是建立在傳送的字節流之上，而不是建立在傳送的報文段的序列之上。

一個報文段的序號是該報文段首字節在字節流中的編號。

例如，假設主機A上的一個進程想通過一條TCP連接向主機B上的一個進程發送一個數據流。主機A中的TCP將對數據流中的每一個字節進行編號。假定數據流由一個包含4500字節的文件組成(可以理解為應用程序調用send函數傳遞過來的數據長度)，MSS為1000字節(鏈路層一次能夠傳輸的字節數)，如果主機決定數據流的首字節編號是7。TCP模塊將為該數據流構建5個報文段(也就是分5個IP數據報)。第一個報文段的序號被賦為7;第二個報文段的序號被賦為1007,第三個報文段的序號被賦為2007，以此類推。前面4個報文段的長度是1000，最后一個是500。

確認號要比序號難理解一些。前面講過，TCP是全雙工的，因此主機A在向主機B發送數據的同時，也可能接收來自主機B的數據。從主機B到達的每個報文段中的序號字段包含了從B流向A的數據的起始位置。 因此主機B填充進報文段的確認號是主機B期望從主機A收到的下一報文段首字節的序號。

假設主機B已收到了來自主機A編號為7-1006的所有字節，同時假設它要發送一個報文段給主機A。主機B等待主機A的數據流中字節1007及后續所有字節。所以，主機B會在它發往主機A的報文段的確認號字段中填上1007。

再舉一個例子，假設主機B已收到一個來自主機A的包含字節7-1006的報文段，以及另一個包含字節2007-3006的報文段。由于某種原因，主機A還沒有收到字節1007-2006的報文段。

在這個例子中，主機A為了重組主機B的數據流，仍在等待字節1007。因此，A在收到包含字節2007-3006的報文段時，將會又一次在確認號字段中包含1007。 因為TCP只確認數據流中至第一個丟失報文段之前的字節數據，所以TCP被稱為是采用累積確認。

TCP的實現有兩個基本的選擇:

1接收方立即丟棄失序報文段;

2接收方保留失序的字節，并等待缺少的字節以填補該間隔。

一條TCP連接的雙方均可隨機地選擇初始序號。 這樣做可以減少將那些仍在網絡中的來自兩臺主機之間先前連接的報文段，誤認為是新建連接所產生的有效報文段的可能性。

?例子telnet

Telnet由是一個用于遠程登錄的應用層協議。它運行在TCP之上，被設計成可在任意一對主機之間工作。

假設主機A發起一個與主機B的Telnet會話。因為是主機A發起該會話，因此主機A被標記為客戶機，主機B被標記為服務器。用戶鍵入的每個字符(在客戶機端)都會被發送至遠程主機。遠程主機收到后會復制一個相同的字符發回客戶機，并顯示在Telnet用戶的屏幕上。這種“回顯”用于確保由用戶發送的字符已經被遠程主機收到并處理。因此，在從用戶擊鍵到字符顯示在用戶屏幕上之間的這段時間內，每個字符在網絡中傳輸了兩次。

現在假設用戶輸入了一個字符“C”，假設客戶機和服務器的起始序號分別是42和79。前面講過，一個報文段的序號就是該報文段數據字段首字節的序號。因此，客戶機發送的第一個報文段的序號為42，服務器發送的第一個報文段的序號為79。前面講過，確認號就是主機期待的數據的下一個字節序號。在TCP連接建立后但沒有發送任何數據之前，客戶機等待字節79，而服務器等待字節42。

如圖所示，共發了3個報文段。第一個報文段是由客戶機發往服務器，其數據字段里包含一字節的字符“C”的ASCII碼，其序號字段里是42。另外，由于客戶機還沒有接收到來自服務器的任何數據，因此該報文段中的確認號字段里是79。

第二個報文段是由服務器發往客戶機。它有兩個目的:第一個目的是為服務器所收到的數據提供確認。服務器通過在確認號字段中填入43，告訴客戶機它已經成功地收到字節42及以前的所有字節，現在正等待著字節43的出現。第二個目的是回顯字符“C”。因此，在第二個報文段的數據字段里填入的是字符“C”的ASCII碼，第二個報文段的序號為79，它是該TCP連接上從服務器到客戶機的數據流的起始序號，也是服務器要發送的第一個字節的數據。

這里客戶機到服務器的數據的確認被裝載在一個服務器到客戶機的數據的報文段中，這種確認被稱為是捎帶確認.

第三個報文段是從客戶機發往服務器的。它的唯一目的是確認已從服務器收到的數據。

3往返時延的估計與超時

TCP如同前面所講的rdt協議一樣，采用超時/重傳機制來處理報文段的丟失問題。最重要的一個問題就是超時間隔長度的設置。顯然，超時間隔必須大于TCP連接的往返時延RTT，即從一個報文段發出到收到其確認時。否則會造成不必要的重傳。

?估計往返時延

TCP估計發送方與接收方之間的往返時延是通過采集報文段的樣本RTT來實現的，就是從某報文段被發出到對該報文段的確認被收到之間的時間長度。

也就是說TCP為一個已發送的但目前尚未被確認的報文段估計sampleRTT，從而產生一個接近每個RTT的采樣值。但是，TCP不會為重傳的報文段計算RTT。

為了估計一個典型的RTT，采取了某種對RTT取平均值的辦法。TCP據下列公式來更新

EstimatedRTT=(1-?)*EstimatedRTT+?*SampleRTT

即估計RTT的新值是由以前估計的RTT值與sampleRTT新值加權組合而成的。

參考值是a=0.125，因此是一個加權平均值。顯然這個加權平均對最新樣本賦予的權值

要大于對老樣本賦予的權值。因為越新的樣本能更好地反映出網絡當前的擁塞情況。從統計學觀點來講，這種平均被稱為指數加權移動平均

除了估算RTT外，還需要測量RTT的變化，RTT偏差的程度，因為直接使用平均值設置計時器會有問題(太靈敏)。

DevRTT=(1-β)*DevRTT+β*|SampleRTT-EstimatedRTT|

RTT偏差也使用了指數加權移動平均。B取值0.25.

?設置和管理重傳超時間隔

假設已經得到了估計RTT值和RTT偏差值，那么TCP超時間隔應該用什么值呢?TCP將超時間隔設置成大于等于估計RTT值和4倍的RTT偏差值,否則將造成不必要的重傳。但是超時間隔也不應該比估計RTT值大太多，否則當報文段丟失時，TCP不能很快地重傳該報文段，從而將給上層應用帶來很大的數據傳輸時延。因此，要求將超時間隔設為估計RTT值加上一定余量。當估計RTT值波動較大時，這個余最應該大些;當波動比較小時，這個余量應該小些。因此使用4倍的偏差值來設置重傳時間。

TimeoutInterval=EstimatedRTT+4*DevRTT

4可信數據傳輸

因特網的網絡層服務是不可靠的。IP不保證數據報的交付，不保證數據報的按序交付，也不保證數據報中數據的完整性。

TCP在IP不可靠的盡力而為服務基礎上建立了一種可靠數據傳輸服務。

TCP提供可靠數據傳輸的方法涉及前面學過的許多原理。

TCP采用流水線協議、累計確認。

TCP推薦的定時器管理過程使用單一的重傳定時器，即使有多個已發送但還未被確認的報文段也一樣。重傳由超時和多個ACK觸發。

在TCP發送方有3種與發送和重傳有關的主要事件:從上層應用程序接收數據，定時器超時和收到確認ACK。

從上層應用程序接收數據。一旦這個事件發生，TCP就從應用程序接收數據，將數據封裝在一個報文段中，并將該報文段交給IP。注意到每一個報文段都包含一個序號，這個序號就是該報文段第一個數據字節的字節流編號。如果定時器還沒有計時，則當報文段被傳給IP時，TCP就啟動一個該定時器。

第二個事件是超時。TCP通過重傳引起超時的報文段來響應超時事件。然后TCP重啟定時器。

第三個事件是一個來自接收方的確認報文段(ACK)。當該事件發生時，TCP將ACK的值y與變量SendBase(發送窗口的基地址)進行比較。TCP狀態變量SendBase是最早未被確認的字節的序號。就是指接收方已正確按序接收到數據的最后一個字節的序號。TCP采用累積確認，所以y確認了字節編號在y之前的所有字節都已經收到。如果YSendBase,則該ACK是在確認一個或多個先前未被確認的報文段。因此發送方更新其SendBase變量，相當于發送窗口向前移動。

另外，如果當前有未被確認的報文段，TCP還要重新啟動定時器。

快速重傳

超時觸發重傳存在的另一個問題是超時周期可能相對較長。當一個報文段丟失時，這種長超時周期迫使發送方等待很長時間才重傳丟失的分組，因而增加了端到端時延。所以通常發送方可在超時事件發生之前通過觀察冗余ACK來檢測丟包情況。

冗余ACK就是接收方再次確認某個報文段的ACK，而發送方先前已經收到對該報文段的確認。

當TCP接收方收到一個序號比所期望的序號大的報文段時，它認為檢測到了數據流中的一個間隔，即有報文段丟失。這個間隔可能是由于在網絡中報文段丟失或重新排序造成的。因為TCP使用累計確認，所以接收方不向發送方發回否定確認，而是對最后一個正確接收報文段進行重復確認(即產生一個冗余ACK)

如果TCP發送方接收到對相同報文段的3個冗余ACK.它就認為跟在這個已被確認過3次的報文段之后的報文段已經丟失。一旦收到3個冗余ACK，TCP就執行快速重傳 ，

即在該報文段的定時器過期之前重傳丟失的報文段。

5流量控制

前面講過，一條TCP連接雙方的主機都為該連接設置了接收緩存。當該TCP連接收到正確、按序的字節后，它就將數據放入接收緩存。相關聯的應用進程會從該緩存中讀取數據，但沒必要數據剛一到達就立即讀取。事實上，接收方應用也許正忙于其他任務，甚至要過很長時間后才去讀取該數據。如果應用程序讀取數據時相當緩慢，而發送方發送數據太多、太快，會很容易使這個連接的接收緩存溢出。

TCP為應用程序提供了流量控制服務以消除發送方導致接收方緩存溢出的可能性。因此，可以說 流量控制是一個速度匹配服務，即發送方的發送速率與接收方應用程序的讀速率相匹配。

前面提到過，TCP發送方也可能因為IP網絡的擁塞而被限制，這種形式的發送方的控制被稱為擁塞控制(congestioncontrol)。

TCP通過讓接收方維護一個稱為接收窗口的變量來提供流量控制。接收窗口用于告訴發送方，該接收方還有多少可用的緩存空間。因為TCP是全雙工通信，在連接兩端的發送方都各自維護一個接收窗口變量。 主機把當前的空閑接收緩存大小值放入它發給對方主機的報文段接收窗口字段中，通知對方它在該連接的緩存中還有多少可用空間。

6 TCP連接管理

客戶機中的TCP會用以下方式與服務器建立一條TCP連接:

第一步: 客戶機端首先向服務器發送一個SNY比特被置為1報文段。該報文段中不包含應用層數據，這個特殊報文段被稱為SYN報文段。另外，客戶機會選擇一個起始序號，并將其放置到報文段的序號字段中。為了避免某些安全性攻擊，這里一般隨機選擇序號。

第二步: 一旦包含TCP報文段的用戶數據報到達服務器主機，服務器會從該數據報中提取出TCPSYN報文段，為該TCP連接分配TCP緩存和控制變量，并向客戶機TCP發送允許連接的報文段。這個允許連接的報文段還是不包含應用層數據。但是，在報文段的首部卻包含3個重要的信息。

首先，SYN比特被置為1。其次，該 TCP報文段首部的確認號字段被置為客戶端序號+1最后，服務器選擇自己的初始序號，并將其放置到TCP報文段首部的序號字段中。 這個允許連接的報文段實際上表明了:“我收到了你要求建立連接的、帶有初始序號的分組。我同意建立該連接，我自己的初始序號是XX”。這個同意連接的報文段通常被稱為SYN+ACK報文段。

第三步: 在收到SYN+ACK報文段后，客戶機也要給該連接分配緩存和控制變量?？蛻魴C主機還會向服務器發送另外一個報文段，這個報文段對服務器允許連接的報文段進行了確認。因為連接已經建立了，所以該ACK比特被置為1，稱為ACK報文段，可以攜帶數據。

一旦以上3步完成，客戶機和服務器就可以相互發送含有數據的報文段了。

為了建立連接，在兩臺主機之間發送了3個分組，這種連接建立過程通常被稱為 三次握手(SNY、SYN+ACK、ACK，ACK報文段可以攜帶數據) 。這個過程發生在客戶機connect()服務器，服務器accept()客戶連接的階段。

假設客戶機應用程序決定要關閉該連接。(注意，服務器也能選擇關閉該連接)客戶機發送一個FIN比特被置為1的TCP報文段，并進人FINWAIT1狀態。

當處在FINWAIT1狀態時，客戶機TCP等待一個來自服務器的帶有ACK確認信息的TCP報文段。當它收到該報文段時，客戶機TCP進入FINWAIT2狀態。

當處在FINWAIT2狀態時，客戶機等待來自服務器的FIN比特被置為1的另一個報文段，

收到該報文段后，客戶機TCP對服務器的報文段進行ACK確認，并進入TIME_WAIT狀態。TIME_WAIT狀態使得TCP客戶機重傳最終確認報文，以防該ACK丟失。在TIME_WAIT狀態中所消耗的時間是與具體實現有關的，一般是30秒或更多時間。

經過等待后，連接正式關閉，客戶機端所有與連接有關的資源將被釋放。 因此TCP連接的關閉需要客戶端和服務器端互相交換連接關閉的FIN、ACK置位報文段。

網絡工程師筆記-網絡安全技術

1.HTTPS是安全的超文本協議，可以保障通信安全，銀行可以通過HTTPS來提供網上服務，用戶通過瀏覽器就可以管理自己的賬戶信息，是HTTP的安全版，即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL，SSL默認端口為443

2.POP郵局協議：用戶接收郵件

3.SNMP簡單網絡管理協議，用于網絡管理

4.HTTP超文本傳輸協議，眾多web服務器都使用HTTP，但它是不安全的協議

電子郵件協議有SMTP、POP3、IMAP4，它們都隸屬于TCP/IP協議簇，默認狀態下，分別通過TCP端口25、110和143建立連接。

1.SMTP協議

SMTP的全稱是“Simple Mail Transfer Protocol”，即簡單郵件傳輸協議。它是一組用于從源地址到目的地址傳輸郵件的規范，通過它來控制郵件的中轉方式。SMTP 協議屬于TCP/IP協議簇，它幫助每臺計算機在發送或中轉信件時找到下一個目的地。SMTP 服務器就是遵循SMTP協議的發送郵件服務器。SMTP認證，簡單地說就是要求必須在提供了賬戶名和密碼之后才可以登錄 SMTP 服務器，這就使得那些垃圾郵件的散播者無可乘之機。增加 SMTP 認證的目的是為了使用戶避免受到垃圾郵件的侵擾。SMTP已是事實上的E-Mail傳輸的標準。

2.POP協議

POP郵局協議負責從郵件服務器中檢索電子郵件。它要求郵件服務器完成下面幾種任務之一：從郵件服務器中檢索郵件并從服務器中刪除這個郵件；從郵件服務器中檢索郵件但不刪除它；不檢索郵件，只是詢問是否有新郵件到達。POP協議支持多用戶互聯網郵件擴展，后者允許用戶在電子郵件上附帶二進制文件，如文字處理文件和電子表格文件等，實際上這樣就可以傳輸任何格式的文件了，包括圖片和聲音文件等。在用戶閱讀郵件時，POP命令所有的郵件信息立即下載到用戶的計算機上，不在服務器上保留。

3.POP3(Post Office Protocol 3)即郵局協議的第3個版本,是因特網電子郵件的第一個離線協議標準。

4.IMAP協議

互聯網信息訪問協議（IMAP）是一種優于POP的新協議。和POP一樣，IMAP也能下載郵件、從服務器中刪除郵件或詢問是否有新郵件，但IMAP克服了POP的一些缺點。例如，它可以決定客戶機請求郵件服務器提交所收到郵件的方式，請求郵件服務器只下載所選中的郵件而不是全部郵件?？蛻魴C可先閱讀郵件信息的標題和發送者的名字再決定是否下載這個郵件。通過用戶的客戶機電子郵件程序，IMAP可讓用戶在服務器上創建并管理郵件文件夾或郵箱、刪除郵件、查詢某封信的一部分或全部內容，完成所有這些工作時都不需要把郵件從服務器下載到用戶的個人計算機上。

支持種IMAP的常用郵件客戶端有：ThunderMail,Foxmail,Microsoft Outlook等。

5.PGP安全電子郵件協議：

（1）通過散列算法對郵件內容進行簽名，保證信件內容無法修改

（2）使用公鑰和私鑰技術保證郵件內容保密且不可否認，能確認發送者身份，防止非授權者閱讀電子郵件

（3）發信人與收信人的公鑰都保存在公開的地方，公鑰的權威性則可以由第三方進行簽名認證，在PGP系統中，信任是雙方的直接關系

1.Needham-Schroeder協議是基于共享秘鑰的認證協議

1.VPN：虛擬專用網絡，是通過隧道技術利用公共網絡建立專用網絡的技術。

2.VPN技術主要有：

（1）隧道技術

（2）加解密技術

（3）秘鑰管理技術

（4）身份認證技術

3.鏈路層的VPN協議：

（1）L2TP協議

（2）PPTP協議

4.傳輸層VPN協議：TLS協議

5.網絡層VPN協議是：IPSec協議

1.數字證書能夠驗證一個實體身份，而這是在保證數字證書本身有消息這一前提下才能夠實現的

2.驗證數字證書的有效性是通過驗證頒發證書的CA的簽名實現的，比如：某網站向CA申請了數字證書，用戶登錄該網站時，通過驗證CA的簽名，可以確認該數字證書的有效性

3.例子：甲和乙進行通信，甲對發送的消息附加了數字簽名，乙收到消息后利用甲的公鑰驗證該消息的真實性

4.數字簽名技術（Digital Signature）是不對稱加密算法的典型應用，原理是：數據源發送方使用自己的私鑰對數據進行加密處理，完成對數據的合法簽名，數據接收方利用發送方的公鑰來解讀收到的數字簽名，并將解讀結果用于對數據完整性的檢驗，以確認簽名的合法性

5.證書鏈服務（交叉認證）是一個CA擴展其信任范圍或被認可范圍的一種實現機制，不同認證中心發放的證書之間通過證書鏈可以方便的實現相互信任從而實現互訪

1.DES是一種共享秘鑰的算法，是一種對稱秘鑰系統，加解密使用相同的秘鑰

2.DES通常選取一個64位（bit）的數據庫，使用56位的秘鑰，在內部實現多次替換和變位操作來達到加密的目的

3.MD5和SHA屬于摘要算法：美國對稱密碼數據加密標準，是指單向哈希函數將任意長度的輸入報文經計算得到固定位輸出稱為報文摘要，該算法是不可逆的，找出具有同一報文摘要的兩個不同報文是很困難的

4.Diffie-Hellman為秘鑰交換算法

5.AES高級加密標準：是美國采用的一種區塊加密標準，用來替代原先的DES加密算法

6.公鑰體系中，甲發給乙的數據要用乙的公鑰進行加密，在公鑰密碼體系中，加密秘鑰是公開的，而解密秘鑰是需要保密的，公鑰密碼體系中，密碼對產生器產生出接收者乙的一對秘鑰：加密秘鑰和解密秘鑰，發送者甲所用的加密秘鑰就是接收者乙的公鑰，公鑰向公眾公開，而乙所用的解密秘鑰就是接收者的私鑰，對其他人保密

網絡攻擊是以網絡為手段竊取網絡上其他計算機的資源或特權，對其安全性或可用性進行破壞的行為，網絡攻擊分為主動攻擊和被動攻擊：

1.被動攻擊：網絡竊聽，截取數據包并進行分析，從中竊取重要信息，被動攻擊很難被發現，主要是預防為主，目前手段是數據加密傳輸，在密碼學和安全協議加持下目前有5類安全服務：

（1）身份認證

（2）訪問控制

（3）數據保密

（4）數據完整性

（5）數據不可否認性

2.主動攻擊：竊取、篡改、假冒和破壞，字典式口令猜測，IP地址欺騙和服務拒絕攻擊等都屬于主動攻擊，一個好的身份認證系統（數據加密、數據完整性校驗、數字簽名和訪問控制等安全機制）可以預防主動攻擊，但是杜絕很難，目前對付主動攻擊方法是及時發現并及時恢復所造成的破壞，目前有很多實用的工具，常見的有下面幾種攻擊方法：

（1）獲取口令

（2）放置特洛伊木馬程序

（3）www的欺騙技術

（4）電子郵件攻擊

（5）通過一個節點來攻擊其他節點

（6）網絡監聽

（7）尋找系統漏洞

（8）利用賬號進行攻擊

（9）偷取特權

3.例子：公司面臨網絡攻擊來自多個方面，安裝用戶認證系統來防范公司內部攻擊

1.Kerberos進行認證是一種使用對稱秘鑰加密算法來實現通過可信第三方秘鑰分發中心的身份認證系統

2.Kerberos認證，客戶方需要向服務器方遞交自己的憑據來證明自己的身份，該憑據是由KDC專門為客戶和服務器方在某一階段內通信而生成的

3.Kerberos認證，憑據中包括客戶和服務器方的身份信息和在下一階段雙方使用的臨時加密秘鑰，還有證明客戶方擁有會話秘鑰的身份認證者信息

4.身份認證信息的作用是防止攻擊者在將來將同樣的憑據再次使用，可以在報文中加入時間戳來防止重放攻擊

1.計算機病毒是一種程序，它會將自身附著在主機上，目的是進一步繁殖和傳播。從個人到大型組織，任何擁有適當技能的人都可以創建計算機病毒，并且可以感染計算機、智能手機、平板電腦，甚至智能 汽車 ?！坝嬎銠C病毒”一詞經常被錯誤的被用成一個總稱，泛指所有感染軟件、計算機和文件的可疑程序、插件或代碼。這一短語的誤用可能是因為計算機病毒較常出現在電視節目和電影中。這類程序實際上正確的總稱應該是惡意軟件，計算機病毒只是其中的一種類型，其他類型的惡意軟件還包括間諜軟件、蠕蟲和特洛伊木馬等。

2.計算機病毒是一種安裝在設備上并繁殖的惡意軟件。有些病毒旨在竊取或破壞數據，而另一些病毒則旨在破壞程序或系統的穩定性，甚至使其無法使用。還有一些可能只是程序員為了好玩而制作的，例如在打開計算機或打開應用程序后顯示圖像或文本消息。

3.嚴格意義上來說，如果感染主機的惡意軟件不是為了繁殖和傳播而設計的，那么從技術上講，無論它有多危險，它都不會被歸類為計算機病毒。

4.通常是根據計算機病毒的目標和功能進行分類，而不是根據創建過程和編碼風格，且同一計算機病毒也有可能被歸入多個類別。以下是一些常見的計算機病毒示例：

（1）瀏覽器劫持病毒：這類計算機病毒會感染受害者的Web瀏覽器，并且通常用于篡改受害者的主頁、竊取數據和展示廣告。

（2）引導扇區病毒：除了硬盤驅動器的引導扇區之外，這類病毒還會影響用于幫助系統啟動的磁盤。

（3）電子郵件病毒：這類病毒旨在通過將自身附加到電子郵件、使用受害者的地址簿生成電子郵件或以竊取數據的意圖感染電子郵件應用程序來成倍增加。

（4）宏病毒：宏計算機病毒以宏語言編碼，以便它們可以附加到文檔中，并在打開它們所附加的文件后立即激活。

（5）多態病毒：一種可以改變自身以逃避安全系統和防病毒程序檢測的計算機病毒。

（6）常駐病毒：常駐病毒會在感染操作系統后繼續在后臺運行，從而對系統和應用程序性能產生負面影響。

（7）非駐留病毒：這類病毒會在執行任務后自行關閉。

5.雖然許多計算機病毒可以很好地隱藏在你的設備上，但有幾個明顯的行為可以表明你可能已經感染了病毒，例如系統速度明顯下降、系統和應用程序設置被神秘地更改、收到不擁有的服務和應用程序的通知，未經你的許可安裝瀏覽器擴展或插件，以及無法上網或打開某些程序等。

6.重要的是要采取多種策略，以確保您的計算機和其他智能設備免受病毒和其他形式的惡意軟件的侵害，以下是保護計算機免受病毒侵害的一些方法：

（1）保持操作系統和應用程序處于最新狀態：這將使病毒更難感染你的計算機設備。

（2）僅連接到受信任的互聯網連接：這也可以保護你免受其他類型的攻擊，例如ARP欺騙。

（3）避免可疑附件：切勿打開來自未知發件人的電子郵件附件，因為這些附件可能包含惡意軟件和其他病毒。

（4）僅從官方網站和可信來源下載文件：從不熟悉的網站下載文件始終存在風險。無論下載看起來多么合法，如果它不是來自可信來源，請避免下載。

（5）安裝防病毒軟件：高質量的防病毒軟件可以幫助用戶清除計算機上的病毒，并可以預防病毒感染。

6.目前網絡上流行的“熊貓燒香”病毒屬于蠕蟲類型的病毒，感染exe、com、pif、htm和sap等文件，還能刪除gho備份文件，被感染的電腦所有exe可執行文件都變成熊貓舉著三根香的模樣

7.病毒前綴是指一個病毒的種類，用來區分病毒的種族分類的

（1）木馬病毒：前綴為Trojan，木馬病毒可以通過網絡實現對遠程計算機的遠程攻擊，能遠程控制計算機

（2）蠕蟲病毒：前綴為Worm

（3）宏病毒：前綴為Macro

8.病毒名是指一個病毒的家族特征，是用來區別和標識病毒家族的，如以前著名的CIH病毒的家族名都是統一的CIH，震蕩波蠕蟲病毒的家族名是Sasser等

9.病毒后綴是指一個病毒的變種特征，是用來區別具體某個家族病毒的某個變種的，一般采用英文字母表示，如Worm.Sasser.b就是震蕩波蠕蟲病毒的變種B，稱為“震蕩波B變種”

1.釣魚網站是一種網絡欺詐行為，指不法分子利用各種手段，仿冒真實網站的URL地址以及頁面內容，或者利用真實網站服務器程序上的漏洞在站點的某些網頁中插入危險的HTML代碼，依次來騙取用戶的賬號密碼等資料

2.釣魚網站可以通過Email傳播網址

1.網絡管理中要防止各種安全威脅，安全威脅分為主要和次要安全威脅，主要安全威脅有：

（1）篡改管理信息：通過改變傳輸中的SNMP報文實施未經授權的管理操作

（2）假冒合法用戶：未經授權的用戶冒充授權用戶

2.次要安全威脅有：

（1）消息泄露：SNMP引擎之間交換的信息被第三者偷聽

（2）修改報文流：由于SNMP協議通常是基于無連接的傳輸服務，重新排序報文流、延遲或重放報文的威脅都可能出現，這種威脅危害在于通過報文的修改可能實施非法的管理操作

3.無法預防的威脅有：

（1）拒絕服務：因為很多情況下拒絕服務和網絡失效是無法區別的，所以可以由網絡管理協議來處理，安全系統不必采取措施

（2）通信分析：第三者分析管理實體之間的通信規律，從而獲取管理信息

1.路由表：用來指定路由規則，指定數據轉發路徑

2.ARP表：用來實現iP地址和網絡設備物理地址MAC的轉換

3.NAT：將一個地址映射到另一個地址域的技術，而NAT表記錄這些映射記錄

4.過濾規則用以制定內外網訪問和數據發送的一系列安全策略

1.IPSec VPN包含了認證頭AH和封裝安全載荷ESP

（1）AH主要用以提供身份認證、數據完整性保護、防重放攻擊多項功能

（2）ESP則可以提供數據加密、數據源身份認證、數據完整性保護、防重放攻擊多項功能

（3）IPSec VPN可提供傳輸模式和隧道模式，但沒有入侵檢測功能

（4）IPSec加密和認證過程中所使用的秘鑰有IKE（因特網秘鑰交換協議）機制來生成和分發，IKE解決了在不安全的網絡環境中安全地建立或更新共享秘鑰的問題

計算機網絡自學筆記：選路算法

網絡層必須確定從發送方到接收方分組所經過的路徑。選路就是在網絡中的路由器里的給某個數據報確定好路徑(即路由)。

一 臺主機通常直接與一臺路由器相連接，該路由器即為該主機的默認路由器，又稱為該主機的默認網關。 每當某主機向外部網絡發送一個分組時，該分組都被傳送給它的默認網關。

如果將源主機的默認網關稱為源路由器,把目的主機的默認網關稱為目的路由器。為一個分組從源主機到目的主機選路的問題于 是可歸結為從源路由器到目的路由器的選路問題。

選路算法的目標很簡單:給定一組路由器以及連接路由器的鏈路，選路算法要找到一條從源路由器到目的路由器的最好路徑，通常一條好路徑是指具有最低費用的路徑。

圖 G=(N，E)是一個 N 個節點和 E 條邊的集合，其中每條邊是來自 N 的一對節點。在網 絡選路的環境中，節點表示路由器，這是做出分組轉發決定的節點，連接節點的邊表示路由 器之間的物理鏈路。

一條邊有一個值表示它的費用。通常一條邊的費用可反映出對應鏈路的物理長度、鏈路速度或與該鏈路相關的費用。

對于 E 中的任一條邊(xy)可以用 c(xy )表示節點 x 和 y 間邊的費用。一般考慮的都是無向 圖，因此邊(xy)與邊(y x)是相同的并且開銷相等。節點 y 也被稱為節點 x 的鄰居。

在圖中為各條邊指派了費用后，選路算法的目標自然是找出從源到目的間的最低費用路徑。圖 G=(N，E)中的一條路徑(Path)是一個節點的序列，使得每一對以(x1,x2)， (x2,x3)，…，是 E 中的邊。路徑的費用是沿著路徑所有邊費用的總和。

從廣義上來說，我們對 選路算法分類的一種方法就是根據該算法是全局性還是分布式來區分的。

.全局選路算法： 用完整的、全局性的網絡信息來計算從源到目的之間的最低費用路徑。

實際上， 具有全局狀態信息的算法常被稱作鏈路狀態 LS 算法， 因為該算法必須知道網絡中每條鏈路的費用。

.分布式選路算法： 以迭代的、分布式的方式計算出最低費用路徑。通過迭代計算并與相鄰節點交換信息，逐漸計算出到達某目的節點或一組目的節點的最低費用路徑。

DV 算法是分布式選路算法， 因為每個節點維護到網絡中的所有其他節點的費用(距離)估計的矢量。

選路算法的第二種廣義分類方法是根據算法是靜態的還是動態的來分類。

一： 鏈路狀態選路算法 LS

在鏈路狀態算法中，通過讓每個節點向所有其他路由器廣播鏈路狀態分組， 每個鏈路狀態分組包含它所連接的鏈路的特征和費用， 從而網絡中每個節點都建立了關于整個網絡的拓撲。

Dijkstra 算法計算從源節點到網絡中所有其他節點的最低費用路徑.

Dijkstra 算法是迭代算法，經算法的第 k 次迭代后，可知道到 k 個目的節點的最低費用路徑。

定義下列記號:

D(V)隨著算法進行本次迭代，從源節點到目的節點的最低費用路徑的費用。

P(v)從源節點到目的節點 v 沿著當前最低費用路徑的前一節點(，的鄰居)。

N`節點子集；如果從源節點到目的節點 v 的最低費用路徑已找到，那么 v 在 N`中。

Dijkstra 全局選路算法由一個初始化步驟和循環組成。循環執行的次數與網絡中的節點個數相同。在結束時，算法會計算出從源節點 u 到網絡中每個其他節點的最短路徑。

考慮圖中的網絡，計算從 u 到所有可能目的地的最低費用路徑。

.在初始化階段 ，從 u 到與其直接相連的鄰居 v、x、w 的當前已知最低費用路徑分別初始化為 2，1 和 5。到 y 與 z 的費用被設為無窮大，因為它們不直接與 u 連接。

.在第一次迭代時， 需要檢查那些還未加到集合 N`中的節點，找出在前一次迭代結束時具有最低費用的節點。那個節點是 x 其費用是 1，因此 x 被加到集合 N`中。然后更新所有節點的 D(v)，產生下表中第 2 行(步驟)所示的結果。到 v 的路徑費用未變。經過節點 x 到 w 的 路徑的費用被確定為 4。因此沿從 u 開始的最短路徑到 w 的前一個節點被設為 x。類似地， 到 y 經過 x 的費用被計算為 2，且該表項也被更新。

.在第二次迭代時 ，節點 v 與 y 被發現具有最低費用路徑 2。任意選擇將 y 加到集合 N` 中，使得 N’中含有 u、x 和 y。通過更新，產生如表中第 3 行所示的結果。

.以此類推…

當 LS 算法結束時，對于每個節點都得到從源節點沿著它的最低費用路徑的前繼節點， 對于每個前繼節點，又有它的前繼節點，按照此方式可以構建從源節點到所有目的節點的完 整路徑。

根據從 u 出發的最短路徑，可以構建一個節點(如節點 u)的轉發表。

二 距離矢量選路算法 DV

LS 算法是一種使用全局信息的算法，而距離矢量算法是一種迭代的、異步的和分布式的算法。

Bellman-Ford 方程：

設 dx(y)是從節點 x 到節點 y 的最低費用路徑的費用，則有? dx(y) = min {c(x,v) + dv(y) }

PS： 方程中的 min，是指取遍 x 的所有鄰居。

Bellman-Ford 方程含義相當直觀，意思是從 x 節點出發到 y 的最低費用路徑肯定經過 x 的某個鄰居，而且 x 到這個鄰居的費用加上這個鄰居到達目的節點 y 費用之和在所有路徑 中其總費用是最小的。 實際上，從 x 到 v 遍歷之后，如果取從 v 到 y 的最低費用路徑，該路 徑費用將是 c(x,v)+ dv(y)。因此必須從遍歷某些鄰居 v 開始，從 x 到 y 的最低費用是對所有鄰 居的 c(x,v)+dv(y)的最小值。

在該 DV 算法中，當節點 x 看到它的直接相連的鏈路費用變化，或從某個鄰居接收到一 個距離矢量的更新時，就根據 Bellman-Ford 方程更新其距離矢量表。

三 LS 與 DV 選路算法的比較

DV 和 LS 算法采用不同的方法來解決計算選路問題。

在 DV 算法中，每個節點僅與它的直接相連鄰居交換信息，但它為它的鄰居提供了從其 自己到網絡中(它所知道的)所有其他節點的最低費用估計。

在 LS 算法中，每個節點(經廣播)與所有其他節點交換信息，但它僅告訴它們與它直接 相連鏈路的費用。

·報文復雜性：

LS 算法要求每個節點都知道網絡中每條鏈路的費用，需要發送 O(nE)個消息。

DV 算法要求在每次迭代時，在兩個直接相連鄰居之間交換報文，算法收斂所需的時間 依賴于許多因素。當鏈路費用改變時，DV 算法僅當在會導致該節點的最低費用路徑發生改 變時，才傳播已改變的鏈路費用。

·收效速度：

DV算法收斂較慢，且在收斂時會遇到選路環路。DV算法還會遭受到計數到無窮的問題。

?健壯性：? 在 LS 算法中，如果一臺路由器發生故障、或受到破壞，路由器會向其連接的鏈路廣播 不正確費用，導致整個網絡的錯誤。

在 Dv 算法下， 每次迭代時，其中一個節點的計算結果會傳遞給它的鄰居，然后在下次迭代時再間接地傳遞給鄰居的鄰居。在這種情況下，DV 算法中一個不正確的計算結果也會擴散到整個網絡。

四.層次選路

兩個原因導致層次的選路策略：

?規模： 隨著路由器數目增長，選路信息的計算、存儲及通信的開銷逐漸增高。

?管理自治： 一般來說，一個單位都會要求按自己的意愿運行路由器(如運行其選擇的某 種選路算法)，或對外部隱藏其內部網絡的細節。

層次的選路策略是通過將路由器劃分成自治系統 AS 來實施的。

每個 AS 由一組通常在相同管理控制下的路由器組成(例如由相同的 ISP 運營或屬于相同 的公司網絡)。在相同的 AS 內的路由器都全部運行同樣的選路算法。

在一個自治系統內運行的選路算法叫做自治系統內部選路協議。 在一個 AS 邊緣的一臺 或多臺路由器，來負責向本 AS 之外的目的地轉發分組，這些路由器被稱為網關路由器

在各 AS 之間，AS 運行相同的自治系統間選路協議。

關于計算機網絡安全筆記和計算機網絡安全相關知識的介紹到此就結束了，不知道你從中找到你需要的信息了嗎 ？如果你還想了解更多這方面的信息，記得收藏關注本站。