網路中明文認證協議有哪些

A. 計算機網路的認證協議

網路身份認證協議VIeID
全稱：(Virtual identity electronic identification) 通用賬戶協議，是俗稱的網路身份證。它是一種互聯網身份認證協議，其具有唯一性和信息不可否認性。其概念與OpenID相似，並具有開放、分散、自由等特性。

B. 路由器協議里明文認證和密文認證是什麼意思

明文就是你輸的什麼保存就是什麼，使用show命令就可以看到，密文就是加密了，再用show命令就是看到的加密後的信息，不解密就不知道是什麼，加密就是保障數據安全，md5就是種加密方式，使用非對稱加密方法，可靠點

C. 採用明文傳輸的協議有幾種

1、TCP/IP。
2、FTP。
3、HTTP。
4、POP。
5、Telent。

明文傳輸一般常指計算機於計算機之間進行數據傳輸時的方式。首先要知道的是，互聯網的數據都是相互交換的。這個過程需要傳輸，明文的意思就是沒有加密的文本。

例如http協議，我們常訪問的http網站就是明文傳輸，如果被抓包那就直接暴露裡面的信息，因為沒有加密，所以非常不安全，目前越來越多的網站使用https，s就是safe安全的意思，也就是https協議在傳輸的過程是加密的，這樣就安全很多了。

現在有的瀏覽器打開http網站直接就說網站不安全就是這個原因，可以從網址里看出小風教程網是https的。

(3)網路中明文認證協議有哪些擴展閱讀：

傳輸協議稱為通信協議（Communications Protocol）在電信中，是指在任何物理介質中允許兩個或多個在傳輸系統中的終端之間傳播信息的系統標准，也是指計算機通信或網上設備的共同語言。

通信協議定義了通信中的語法學,語義學和同步規則以及可能存在的錯誤檢測與糾正。通信協議在硬體，軟體或兩者之間皆可實現。

為了交換大量信息，通信系統使用通用格式(協議)。每條信息都有明確的意義使得預定位置給予響應，並獨立實現回應指定的行為，通信協議須參與實體都同意才能生效。

為了達成一致，協議必須要有技術標准.編程語言在計算方面也應有相應標准，所以在這個方面可以用編程語言做類比:編程語言是為了模式化的計算而傳輸協議為了更暢通的交流.

多類別協議構建了單個傳輸的不同方面，包括同時進行的協議模塊，和在軟體上實現時的協議棧。

D. 網路安全協議的分類

計算機網路安全的內容包括：
計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題，實施網路安全增強方案，以保證計算機網路自身的安全性為目標。
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題，在計算機網路安全的基礎上，如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。
計算機網路安全與商務交易安全實際上是密不可分的，兩者相輔相成，缺一不可。沒有計算機網路安全作為基礎，商務交易安全就猶如空中樓閣，無從談起。沒有商務交易安全保障，即使計算機網路本身再安全，仍然無法達到電子商務所特有的安全要求。 未進行操作系統相關安全配置
不論採用什麼操作系統，在預設安裝的條件下都會存在一些安全問題，只有專門針對操作系統安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統預設安裝後，再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」 是進行網路攻擊的首選目標。
未進行CGI程序代碼審計
如果是通用的CGI問題，防範起來還稍微容易一些，但是對於網站或軟體供應商專門開發的一些CGI程序，很多存在嚴重的CGI問題，對於電子商務站點來說，會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
拒絕服務（DoS，Denial of Service）攻擊
隨著電子商務的興起，對網站的實時性要求越來越高，DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經消失得無影無蹤，使對方沒有實行報復打擊的可能。2014年2月美國「雅虎」、「亞馬遜」受攻擊事件就證明了這一點。
安全產品使用不當
雖然不少網站採用了一些網路安全設備，但由於安全產品本身的問題或使用問題，這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高，超出對普通網管人員的技術要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統改動，需要改動相關安全產品的設置時，很容易產生許多安全問題。
缺少嚴格的網路安全管理制度
網路安全最重要的還是要思想上高度重視，網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。 一個全方位的計算機網路安全體系結構包含網路的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火牆技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術，在攻擊者和受保護的資源間建立多道嚴密的安全防線，極大地增加了惡意攻擊的難度，並增加了審核信息的數量，利用這些審核信息可以跟蹤入侵者。
在實施網路安全防範措施時：
首先要加強主機本身的安全，做好安全配置，及時安裝安全補丁程序，減少漏洞；
其次要用各種系統漏洞檢測軟體定期對網路系統進行掃描分析，找出可能存在的安全隱患，並及時加以修補；
從路由器到用戶各級建立完善的訪問控制措施，安裝防火牆，加強授權管理和認證；
利用RAID5等數據存儲技術加強數據備份和恢復措施；
對敏感的設備和數據要建立必要的物理或邏輯隔離措施；
對在公共網路上傳輸的敏感信息要進行強度的數據加密；
安裝防病毒軟體，加強內部網的整體防病毒措施；
建立詳細的安全審計日誌，以便檢測並跟蹤入侵攻擊等。
網路安全技術是伴隨著網路的誕生而出現的，但直到80年代末才引起關注，90年代在國外獲得了飛速的發展。近幾年頻繁出現的安全事故引起了各國計算機安全界的高度重視，計算機網路安全技術也因此出現了日新月異的變化。安全核心系統、VPN安全隧道、身份認證、網路底層數據加密和網路入侵主動監測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網路的整體安全性。安全核心系統在實現一個完整或較完整的安全體系的同時也能與傳統網路協議保持一致。它以密碼核心系統為基礎，支持不同類型的安全硬體產品，屏蔽安全硬體以變化對上層應用的影響，實現多種網路安全協議，並在此之上提供各種安全的計算機網路應用。
互聯網已經日漸融入到人類社會的各個方面中，網路防護與網路攻擊之間的斗爭也將更加激烈。這就對網路安全技術提出了更高的要求。未來的網路安全技術將會涉及到計算機網路的各個層次中，但圍繞電子商務安全的防護技術將在未來幾年中成為重點，如身份認證、授權檢查、數據安全、通信安全等將對電子商務安全產生決定性影響。 當許多傳統的商務方式應用在Internet上時，便會帶來許多源於安全方面的問題，如傳統的貸款和借款卡支付/保證方案及數據保護方法、電子數據交換系統、對日常信息安全的管理等。電子商務的大規模使用雖然只有幾年時間，但不少公司都已經推出了相應的軟、硬體產品。由於電子商務的形式多種多樣，涉及的安全問題各不相同，但在Internet上的電子商務交易過程中，最核心和最關鍵的問題就是交易的安全性。一般來說商務安全中普遍存在著以下幾種安全隱患：
竊取信息
由於未採用加密措施，數據信息在網路上以明文形式傳送，入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。
篡改信息
當入侵者掌握了信息的格式和規律後，通過各種技術手段和方法，將網路上傳送的信息數據在中途修改，然後再發向目的地。這種方法並不新鮮，在路由器或網關上都可以做此類工作。
假冒
由於掌握了數據的格式，並可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。
惡意破壞
由於攻擊者可以接入網路，則可能對網路中的信息進行修改，掌握網上的機要信息，甚至可以潛入網路內部，其後果是非常嚴重的。
因此，電子商務的安全交易主要保證以下四個方面：
信息保密性
交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉，因此在信息傳播中一般均有加密的要求。
交易者身份的確定性
網上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。
不可否認性
由於商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。因此電子交易通信過程的各個環節都必須是不可否認的。
不可修改性
交易的文件是不可被修改的，否則也必然會損害一方的商業利益。因此電子交易文件也要能做到不可修改，以保障商務交易的嚴肅和公正。
電子商務交易中的安全措施
在早期的電子交易中，曾採用過一些簡易的安全措施，包括：
部分告知（Partial Order）：即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去，然後再用電話告之，以防泄密。
另行確認（Order Confirmation）：即當在網上傳輸交易信息後，再用電子郵件對交易做確認，才認為有效。
此外還有其它一些方法，這些方法均有一定的局限性，且操作麻煩，不能實現真正的安全可靠性。
二十世紀90年代以來，針對電子交易安全的要求，IT業界與金融行業一起，推出不少有效的安全交易標准和技術。
主要的協議標准有：
安全超文本傳輸協議（S－HTTP）：依靠密鑰對的加密，保障Web站點間的交易信息傳輸的安全性。
安全套接層協議（SSL）：由Netscape公司提出的安全交易協議，提供加密、認證服務和報文的完整性。SSL被用於Netscape Communicator和Microsoft IE瀏覽器，以完成需要的安全交易操作。
安全交易技術協議（STT，Secure Transaction Technology）：由Microsoft公司提出，STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft在Internet Explorer中採用這一技術。
安全電子交易協議（SET，Secure Electronic Transaction）
1996年6月，由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標准SET發布公告，並於1997年5月底發布了SET Specification Version 1.0，它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。
SET 2.0預計今年發布，它增加了一些附加的交易要求。這個版本是向後兼容的，因此符合SET 1.0的軟體並不必要跟著升級，除非它需要新的交易要求。SET規范明確的主要目標是保障付款安全，確定應用之互通性，並使全球市場接受。
所有這些安全交易標准中，SET標准以推廣利用信用卡支付網上交易，而廣受各界矚目，它將成為網上交易安全通信協議的工業標准，有望進一步推動Internet電子商務市場。 虛擬專用網（VPN）
這是用於Internet交易的一種專用網路，它可以在兩個系統之間建立安全的信道（或隧道），用於電子數據交換（EDI）。它與信用卡交易和客戶發送訂單交易不同，因為在VPN中，雙方的數據通信量要大得多，而且通信的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術，只要通信的雙方默認即可，沒有必要為所有的VPN進行統一的加密和認證。現有的或正在開發的數據隧道系統可以進一步增加VPN的安全性，因而能夠保證數據的保密性和可用性。
數字認證
數字認證可用電子方式證明信息發送者和接收者的身份、文件的完整性（如一個發票未被修改過），甚至數據媒體的有效性（如錄音、照片等）。隨著商家在電子商務中越來越多地使用加密技術，人們都希望有一個可信的第三方，以便對有關數據進行數字認證。
隨著現代密碼學的應用，數字認證一般都通過單向Hash函數來實現，它可以驗證交易雙方數據的完整性，Java JDK1.1也能夠支持幾種單向Hash演算法。另外，S/MIME協議已經有了很大的進展，可以被集成到產品中，以便用戶能夠對通過E?mail發送的信息進行簽名和認證。同時，商家也可以使用PGP（Pretty Good Privacy）技術，它允許利用可信的第三方對密鑰進行控制。可見，數字認證技術將具有廣闊的應用前景，它將直接影響電子商務的發展。
加密技術
保證電子商務安全的最重要的一點就是使用加密技術對敏感的信息進行加密。現代密碼學一些專用密鑰加密演算法（如3DES、IDEA、RC4和RC5）和公鑰加密演算法（如RSA、SEEK、PGP和EU）可用來保證電子商務的保密性、完整性、真實性和非否認服務。然而，這些技術的廣泛使用卻不是一件容易的事情。
密碼學界有一句名言：加密技術本身都很優秀，但是它們實現起來卻往往很不理想。世界各國提出了多種加密標准，但人們真正需要的是針對企業環境開發的標准加密系統。加密技術的多樣化為人們提供了更多的選擇餘地，但也同時帶來了一個兼容性問題，不同的商家可能會採用不同的標准。另外，加密技術向來是由國家控制的，例如SSL的出口受到美國國家安全局（NSA）的限制。美國的商家一般都可以使用128位的SSL，但美國只允許加密密鑰為40位以下的演算法出口。雖然40位的SSL也具有一定的加密強度，但它的安全系數顯然比128位的SSL要低得多。一個法國的研究生和兩個美國柏克萊大學的研究生破譯了一個SSL的密鑰，這已引起了人們的廣泛關注。美國以外的國家很難真正在電子商務中充分利用SSL，這不能不說是一種遺憾。上海市電子商務安全證書管理中心推出128 位 SSL的演算法，彌補國內的空缺，並採用數字簽名等技術確保電子商務的安全。
電子商務認證中心（CA，Certificate Authority）
實行網上安全支付是順利開展電子商務的前提，建立安全的認證中心（CA）則是電子商務的中心環節。建立CA的目的是加強數字證書和密鑰的管理工作，增強網上交易各方的相互信任，提高網上購物和網上交易的安全，控制交易的風險，從而推動電子商務的發展。
為了推動電子商務的發展，首先是要確定網上參與交易的各方（例如持卡消費戶、商戶、收單銀行的支付網關等）的身份，相應的數字證書（DC：Digital Certificate）就是代表他們身份的，數字證書是由權威的、公正的認證機構管理的。各級認證機構按照根認證中心（Root CA）、品牌認證中心（Brand CA）以及持卡人、商戶或收單銀行（Acquirer）的支付網關認證中心（Holder Card CA，Merchant CA 或 Payment Gateway CA）由上而下按層次結構建立的。
電子商務安全認證中心(CA)的基本功能是：
生成和保管符合安全認證協議要求的公共和私有密鑰、數字證書及其數字簽名。
對數字證書和數字簽名進行驗證。
對數字證書進行管理，重點是證書的撤消管理，同時追求實施自動管理（非手工管理）。
建立應用介面，特別是支付介面。CA是否具有支付介面是能否支持電子商務的關鍵。
第一代CA是由SETCO公司（由Visa & MasterCard組建）建立的，以SET協議為基礎，服務於B?C電子商務模式的層次性結構。
由於B?B電子商務模式的發展，要求CA的支付介面能夠兼容支持B?B與B?C的模式，即同時支持網上購物、網上銀行、網上交易與供應鏈管理等職能，要求安全認證協議透明、簡單、成熟（即標准化），這樣就產生了以公鑰基礎設施（PKI）為技術基礎的平面與層次結構混合型的第二代CA體系。
二十世紀以來，PKI技術無論在理論上還是應用上以及開發各種配套產品上，都已經走向成熟，以PKI技術為基礎的一系列相應的安全標准已經由Internet特別工作組（IETF）、國際標准化組織（ISO）和國際電信聯盟（ITU）等國際權威機構批准頒發實施。
建立在PKI技術基礎上的第二代安全認證體系與支付應用介面所使用的主要標准有：
由Internet特別工作組頒發的標准：LDAP（輕型目錄訪問協議）、S/MIME（安全電子郵件協議）、TLC（傳輸層安全套接層傳輸協議)、CAT（通用認證技術，Common Authentication Technology）和GSS－API（通用安全服務介面）等。
由國際標准化組織（ISO）或國際電信聯盟（ITU）批准頒發的標准為9594－8/X.509（數字證書格式標准）。

E. 安裝常用的網路安全協議有哪些

常用的網路安全協議包括：SSL、TLS、IPSec、Telnet、SSH、SET 等

網路安全協議是營造網路安全環境的基礎，是構建安全網路的關鍵技術。設計並保證網路安全協議的安全性和正確性能夠從基礎上保證網路安全，避免因網路安全等級不夠而導致網路數據信息丟失或文件損壞等信息泄露問題。在計算機網路應用中，人們對計算機通信的安全協議進行了大量的研究，以提高網路信息傳輸的安全性。

網路安全的內容包括：計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題，實施網路安全增強方案，以保證計算機網路自身的安全性為目標。

F. 常用的網路協議有哪些

網路協議的本質是規則，即各種硬體和軟體必須遵循的共同守則。網路協議並不是一套單獨的軟體，它融合於其他所有的軟體系統中，因此可以說，協議在網路中無所不在。網路協議遍及OSI通信模型的各個層次，從我們非常熟悉的TCP/IP、HTTP、FTP協議，到OSPF、IGP等協議，有上千種之多。對於普通用戶而言，不需要關心太多的底層通信協議，只需要了解其通信原理即可。在實際管理中，底層通信協議一般會自動工作，不需要人工干預。但是對於第三層以上的協議，就經常需要人工干預了，比如TCP/IP協議就需要人工配置它才能正常工作。
區域網常用的三種通信協議分別是TCP/IP協議、NetBEUI協議和IPX/SPX協議。
TCP/IP協議毫無疑問是這三大協議中最重要的一個，作為互聯網的基礎協議，沒有它就根本不可能上網，任何和互聯網有關的操作都離不開TCP/IP協議。不過TCP/IP協議也是這三大協議中配置起來最麻煩的一個，單機上網還好，而通過區域網訪問互聯網的話，就要詳細設置IP地址，網關，子網掩碼，DNS伺服器等參數。
TCP/IP協議族中包括上百個互為關聯的協議，不同功能的協議分布在不同的協議層，
幾個常用協議如下：
1、Telnet（Remote
Login）：提供遠程登錄功能，一台計算機用戶可以登錄到遠程的另一台計算機上，如同在遠程主機上直接操作一樣。
2、FTP（File
Transfer
Protocol）：遠程文件傳輸協議，允許用戶將遠程主機上的文件拷貝到自己的計算機上。
3、SMTP（Simple
Mail
transfer
Protocol）：簡單郵政傳輸協議，用於傳輸電子郵件。
4、NFS（Network
File
Server）：網路文件伺服器，可使多台計算機透明地訪問彼此的目錄。
5、UDP（User
Datagram
Protocol）：用戶數據包協議，它和TCP一樣位於傳輸層，和IP協議配合使用，在傳輸數據時省去包頭，但它不能提供數據包的重傳，所以適合傳輸較短的文件。
HTTP協議簡介
HTTP是一個屬於應用層的面向對象的協議，由於其簡捷、快速的方式，適用於分布式超媒體信息系統。它於1990年提出，經過幾年的使用與發展，得到不斷地完善和擴展。目前在WWW中使用的是HTTP/1.0的第六版，HTTP/1.1的規范化工作正在進行之中，而且HTTP-NG(Next
Generation
of
HTTP)的建議已經提出。
HTTP協議的主要特點可概括如下：
1.支持客戶/伺服器模式。
2.簡單快速：客戶向伺服器請求服務時，只需傳送請求方法和路徑。請求方法常用的有GET、HEAD、POST。每種方法規定了客戶與伺服器聯系的類型不同。
由於HTTP協議簡單，使得HTTP伺服器的程序規模小，因而通信速度很快。
3.靈活：HTTP允許傳輸任意類型的數據對象。正在傳輸的類型由Content-Type加以標記。
4.無連接：無連接的含義是限制每次連接只處理一個請求。伺服器處理完客戶的請求，並收到客戶的應答後，即斷開連接。採用這種方式可以節省傳輸時間。
5.無狀態：HTTP協議是無狀態協議。無狀態是指協議對於事務處理沒有記憶能力。缺少狀態意味著如果後續處理需要前面的信息，則它必須重傳，這樣可能導致每次連接傳送的數據量增大。另一方面，在伺服器不需要先前信息時它的應答就較快。

G. 認證授權協議有哪些

802.1x協議是基於Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入埠(access port)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前，802.1x對連接到交換機埠上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL（基於區域網的擴展認證協議）數據通過設備連接的交換機埠；認證通過以後，正常的數據可以順利地通過乙太網埠。
基於乙太網埠認證的802.1x協議有如下特點：IEEE802.1x協議為二層協議，不需要到達三層，對設備的整體性能要求不高，可以有效降低建網成本；借用了在RAS系統中常用的EAP（擴展認證協議），可以提供良好的擴展性和適應性，實現對傳統PPP認證架構的兼容；802.1x的認證體系結構中採用了"可控埠"和"不可控埠"的邏輯功能，從而可以實現業務與認證的分離，由RADIUS和交換機利用不可控的邏輯埠共同完成對用戶的認證與控制，業務報文直接承載在正常的二層報文上通過可控埠進行交換，通過認證之後的數據包是無需封裝的純數據包；可以使用現有的後台認證系統降低部署的成本，並有豐富的業務支持；可以映射不同的用戶認證等級到不同的VLAN；可以使交換埠和無線LAN具有安全的認證接入功能。

H. 常見的網路協議有哪些

第一章 概述

電信網、計算機網和有線電視網 三網合一

TCP/IP是當前的網際網路協議簇的總稱，TCP和 IP是其中的兩個最重要的協議。

RFC標准軌跡由3個成熟級構成：提案標准、草案標准和標准。

第二章 計算機網路與網際網路體系結構

根據拓撲結構：計算機網路可以分為匯流排型網、環型網、星型網和格狀網。

根據覆蓋范圍：計算機網路可以分為廣域網、城域網、區域網和個域網。

網路可以劃分成：資源子網和通信子網兩個部分。

網路協議是通信雙方共同遵守的規則和約定的集合。網路協議包括三個要素，即語法、語義和同步規則。

通信雙方對等層中完成相同協議功能的實體稱為對等實體 ，對等實體按協議進行通信。

有線接入技術分為銅線接入、光纖接入和混合光纖同軸接入技術。

無線接入技術主要有衛星接入技術、無線本地環路接入和本地多點分配業務。

網關實現不同網路協議之間的轉換。

網際網路採用了網路級互聯技術，網路級的協議轉換不僅增加了系統的靈活性，而且簡化了網路互聯設備。

網際網路對用戶隱藏了底層網路技術和結構，在用戶看來，網際網路是一個統一的網路。

網際網路將任何一個能傳輸數據分組的通信系統都視為網路，這些網路受到網路協議的平等對待。

TCP/IP 協議分為 4 個協議層 ：網路介面層、網路層、傳輸層和應用層。

IP 協議既是網路層的核心協議 ，也是 TCP/IP 協議簇中的核心協議。

第四章 地址解析

建立邏輯地址與物理地址之間 映射的方法 通常有靜態映射和動態映射。動態映射是在需要獲得地址映射關系時利用網路通信協議直接從其他主機上獲得映射信息。 網際網路採用了動態映射的方法進行地址映射。

獲得邏輯地址與物理地址之間的映射關系稱為地址解析 。

地址解析協議 ARP 是將邏輯地址（ IP 地址）映射到物理地址的動態映射協議。

ARP 高速緩存中含有最近使用過的 IP 地址與物理地址的映射列表。

在 ARP 高速緩存中創建的靜態表項是永不超時的地址映射表項。

反向地址解析協議 RARP 是將給定的物理地址映射到邏輯地址（ IP地址）的動態映射。RARP需要有RARP 伺服器幫助完成解析。

ARP請求和 RARP請求，都是採用本地物理網路廣播實現的。

在代理ARP中，當主機請求對隱藏在路由器後面的子網中的某一主機 IP 地址進行解析時，代理 ARP路由器將用自己的物理地址作為解析結果進行響應。

第五章 IP協議

IP是不可靠的無連接數據報協議，提供盡力而為的傳輸服務。

TCP/IP 協議的網路層稱為IP層.

IP數據報在經過路由器進行轉發時一般要進行三個方面的處理：首部校驗、路由選擇、數據分片

IP層通過IP地址實現了物理地址的統一，通過IP數據報實現了物理數據幀的統一。 IP 層通過這兩個方面的統一屏蔽了底層的差異，向上層提供了統一的服務。

IP 數據報由首部和數據兩部分構成 。首部分為定長部分和變長部分。選項是數據報首部的變長部分。定長部分 20 位元組，選項不超過40位元組。

IP 數據報中首部長度以 32 位字為單位 ，數據報總長度以位元組為單位，片偏移以 8 位元組（ 64 比特）為單位。數據報中的數據長度 =數據報總長度－首部長度× 4。

IP 協議支持動態分片 ，控制分片和重組的欄位是標識、標志和片偏移， 影響分片的因素是網路的最大傳輸單元 MTU ，MTU 是物理網路幀可以封裝的最大數據位元組數。通常不同協議的物理網路具有不同的MTU 。分片的重組只能在信宿機進行。

生存時間TTL是 IP 數據報在網路上傳輸時可以生存的最大時間，每經過一個路由器，數據報的TTL值減 1。

IP數據報只對首部進行校驗 ，不對數據進行校驗。

IP選項用於網路控制和測試 ，重要包括嚴格源路由、寬松源路由、記錄路由和時間戳。

IP協議的主要功能 包括封裝 IP 數據報，對數據報進行分片和重組，處理數據環回、IP選項、校驗碼和TTL值，進行路由選擇等。

在IP 數據報中與分片相關的欄位是標識欄位、標志欄位和片偏移欄位。

數據報標識是分片所屬數據報的關鍵信息，是分片重組的依據

分片必須滿足兩個條件： 分片盡可能大，但必須能為幀所封裝 ;片中數據的大小必須為 8 位元組的整數倍 ，否則 IP 無法表達其偏移量。

分片可以在信源機或傳輸路徑上的任何一台路由器上進行，而分片的重組只能在信宿機上進行片重組的控制主要根據 數據報首部中的標識、標志和片偏移欄位

IP選項是IP數據報首部中的變長部分，用於網路控制和測試目的 (如源路由、記錄路由、時間戳等 )，IP選項的最大長度 不能超過40位元組。

1、IP 層不對數據進行校驗。

原因：上層傳輸層是端到端的協議，進行端到端的校驗比進行點到點的校驗開銷小得多，在通信線路較好的情況下尤其如此。另外，上層協議可以根據對於數據可靠性的要求， 選擇進行校驗或不進行校驗，甚至可以考慮採用不同的校驗方法，這給系統帶來很大的靈活性。

2、IP協議對IP數據報首部進行校驗。

原因： IP 首部屬於 IP 層協議的內容，不可能由上層協議處理。

IP 首部中的部分欄位在點到點的傳遞過程中是不斷變化的，只能在每個中間點重新形成校驗數據，在相鄰點之間完成校驗。

3、分片必須滿足兩個條件：

分片盡可能大，但必須能為幀所封裝 ;

片中數據的大小必須為8位元組的整數倍，否則IP無法表達其偏移量。

第六章 差錯與控制報文協議（ICMP）

ICMP 協議是 IP 協議的補充，用於IP層的差錯報告、擁塞控制、路徑控制以及路由器或主機信息的獲取。

ICMP既不向信宿報告差錯，也不向中間的路由器報告差錯，而是 向信源報告差錯 。

ICMP與 IP協議位於同一個層次，但 ICMP報文被封裝在IP數據報的數據部分進行傳輸。

ICMP 報文可以分為三大類：差錯報告、控制報文和請求 /應答報文。

ICMP 差錯報告分為三種 ：信宿不可達報告、數據報超時報告和數據報參數錯報告。數據報超時報告包括 TTL 超時和分片重組超時。

數據報參數錯包括數據報首部中的某個欄位的值有錯和數據報首部中缺少某一選項所必須具有的部分參數。

ICMP控制報文包括源抑制報文和重定向報文。

擁塞是無連接傳輸時缺乏流量控制機制而帶來的問題。ICMP 利用源抑制的方法進行擁塞控制 ，通過源抑制減緩信源發出數據報的速率。

源抑制包括三個階段 ：發現擁塞階段、解決擁塞階段和恢復階段。

ICMP 重定向報文由位於同一網路的路由器發送給主機，完成對主機的路由表的刷新。

ICMP 回應請求與應答不僅可以被用來測試主機或路由器的可達性，還可以被用來測試 IP 協議的工作情況。

ICMP時間戳請求與應答報文用於設備間進行時鍾同步 。

主機利用 ICMP 路由器請求和通告報文不僅可以獲得默認路由器的 IP 地址，還可以知道路由器是否處於活動狀態。

第七章 IP 路由

數據傳遞分為直接傳遞和間接傳遞 ，直接傳遞是指直接傳到最終信宿的傳輸過程。間接傳遞是指在信

源和信宿位於不同物理網路時，所經過的一些中間傳遞過程。

TCP/IP 採用 表驅動的方式 進行路由選擇。在每台主機和路由器中都有一個反映網路拓撲結構的路由表，主機和路由器能夠根據 路由表 所反映的拓撲信息找到去往信宿機的正確路徑。

通常路由表中的 信宿地址採用網路地址 。路徑信息採用去往信宿的路徑中的下一跳路由器的地址表示。

路由表中的兩個特殊表目是特定主機路由和默認路由表目。

路由表的建立和刷新可以採用兩種不同 的方式：靜態路由和動態路由。

自治系統 是由獨立管理機構所管理的一組網路和路由器組成的系統。

路由器自動獲取路徑信息的兩種基本方法是向量—距離演算法和鏈路 —狀態演算法。

1、向量 — 距離 (Vector-Distance，簡稱 V—D)演算法的基本思想 ：路由器周期性地向與它相鄰的路由器廣播路徑刷新報文，報文的主要內容是一組從本路由器出發去往信宿網路的最短距離，在報文中一般用(V，D)序偶表示，這里的 V 代表向量，標識從該路由器可以到達的信宿 (網路或主機 )，D 代表距離，指出從該路由器去往信宿 V 的距離， 距離 D 按照去往信宿的跳數計。 各個路由器根據收到的 (V ，D)報文，按照最短路徑優先原則對各自的路由表進行刷新。

向量 —距離演算法的優點是簡單，易於實現。

缺點是收斂速度慢和信息交換量較大。

2、鏈路 — 狀態 (Link-Status，簡稱 L-S)演算法的基本思想 ：系統中的每個路由器通過從其他路由器獲得的信息，構造出當前網路的拓撲結構，根據這一拓撲結構，並利用 Dijkstra 演算法形成一棵以本路由器為根的最短路徑優先樹， 由於這棵樹反映了從本節點出發去往各路由節點的最短路徑， 所以本節點就可以根據這棵最短路徑優先樹形成路由表。

動態路由所使用的路由協議包括用於自治系統內部的 內部網關協 議和用於自治系統之間的外部網關協議。

RIP協議在基本的向量 —距離演算法的基礎上 ，增加了對路由環路、相同距離路徑、失效路徑以及慢收斂問題的處理。 RIP 協議以路徑上的跳數作為該路徑的距離。 RIP 規定，一條有效路徑的距離不能超過

RIP不適合大型網路。

RIP報文被封裝在 UDP 數據報中傳輸。RIP使用 UDP 的 520 埠號。

3、RIP 協議的三個要點

僅和相鄰路由器交換信息。

交換的信息是當前本路由器所知道的全部信息，即自己的路由表。

按固定的時間間隔交換路由信息，例如，每隔30秒。

4、RIP 協議的優缺點

RIP 存在的一個問題是當網路出現故障時，要經過比較長的時間才能將此信息傳送到所有的路由器。

RIP 協議最大的優點就是實現簡單，開銷較小。

RIP 限制了網路的規模，它能使用的最大距離為15（16表示不可達）。

路由器之間交換的路由信息是路由器中的完整路由表，因而隨著網路規模的擴大，開銷也就增加。

5、為了防止計數到無窮問題，可以採用以下三種技術。

1）水平 分割 法(Split Horizon) 水平分割法的基本思想：路由器從某個介面接收到的更新信息不允許再從這個介面發回去。在圖 7-9 所示的例子中， R2 向 R1 發送 V-D 報文時，不能包含經過 R1 去往 NET1的路徑。因為這一信息本身就是 R1 所產生的。

2） 保持法 (Hold Down) 保持法要求路由器在得知某網路不可到達後的一段時間內，保持此信息不變，這段時間稱為保持時間，路由器在保持時間內不接受關於此網路的任何可達性信息。

3） 毒性逆轉法 (Poison Reverse)毒性逆轉法是水平分割法的一種變化。當從某一介面發出信息時，凡是從這一介面進來的信息改變了路由表表項的， V-D 報文中對應這些表目的距離值都設為無窮 (16)。

OSPF 將自治系統進一步劃分為區域，每個區域由位於同一自治系統中的一組網路、主機和路由器構成。區域的劃分不僅使得廣播得到了更好的管理，而且使 OSPF能夠支持大規模的網路。

OSPF是一個鏈路 —狀態協議。當網路處於收斂狀態時， 每個 OSPF路由器利用 Dijkstra 演算法為每個網路和路由器計算最短路徑，形成一棵以本路由器為根的最短路徑優先 (SPF)樹，並根據最短路徑優先樹構造路由表。

OSPF直接使用 IP。在IP首部的協議欄位， OSPF協議的值為 89。

BGP 是採用路徑 —向量演算法的外部網關協議 ， BGP 支持基於策略的路由，路由選擇策略與政治、經濟或安全等因素有關。

BGP 報文分為打開、更新、保持活動和通告 4 類。BGP 報文被封裝在 TCP 段中傳輸，使用TCP的179 號埠 。

第八章 傳輸層協議

傳輸層承上啟下，屏蔽通信子網的細節，向上提供通用的進程通信服務。傳輸層是對網路層的加強與彌補。 TCP 和 UDP 是傳輸層 的兩大協議。

埠分配有兩種基本的方式：全局埠分配和本地埠分配。

在網際網路中採用一個 三元組 （協議，主機地址，埠號）來全局惟一地標識一個進程。用一個五元組（協議 ,本地主機地址 ,本地埠號 ,遠地主機地址 ,遠地埠號）來描述兩個進程的關聯。

TCP 和 UDP 都是提供進程通信能力的傳輸層協議。它們各有一套埠號，兩套埠號相互獨立，都是從0到 65535。

TCP 和 UDP 在計算校驗和時引入偽首部的目的是為了能夠驗證數據是否傳送到了正確的信宿端。

為了實現數據的可靠傳輸， TCP 在應用進程間 建立傳輸連接 。TCP 在建立連接時採用 三次握手方法解決重復連接的問題。在拆除連接時採用 四次握手 方法解決數據丟失問題。

建立連接前，伺服器端首先被動打開其熟知的埠，對埠進行監聽。當客戶端要和伺服器建立連接時，發出一個主動打開埠的請求，客戶端一般使用臨時埠。

TCP 採用的最基本的可靠性技術 包括流量控制、擁塞控制和差錯控制。

TCP 採用 滑動窗口協議 實現流量控制，滑動窗口協議通過發送方窗口和接收方窗口的配合來完成傳輸控制。

TCP 的 擁塞控制 利用發送方的窗口來控制注入網路的數據流的速度。發送窗口的大小取通告窗口和擁塞窗口中小的一個。

TCP通過差錯控制解決 數據的毀壞、重復、失序和丟失等問題。

UDP 在 IP 協議上增加了進程通信能力。此外 UDP 通過可選的校驗和提供簡單的差錯控制。但UDP不提供流量控制和數據報確認 。

1、傳輸層（ Transport Layer）的任務 是向用戶提供可靠的、透明的端到端的數據傳輸，以及差錯控制和流量控制機制。

2 「傳輸層提供應用進程間的邏輯通信 」。「邏輯通信 」的意思是：傳輸層之間的通信好像是沿水平方向傳送數據。但事實上這兩個傳輸層之間並沒有一條水平方向的物理連接。

TCP 提供的可靠傳輸服務有如下五個特徵 ：

面向數據流 ; 虛電路連接 ; 有緩沖的傳輸 ; 無結構的數據流 ; 全雙工連接 .

3、TCP 採用一種名為 「帶重傳功能的肯定確認 （ positive acknowledge with retransmission ） 」的技術作為提供可靠數據傳輸服務的基礎。

第九章 域名系統

字元型的名字系統為用戶提供了非常直觀、便於理解和記憶的方法，非常符合用戶的命名習慣。

網際網路採用層次型命名機制 ，層次型命名機制將名字空間分成若乾子空間，每個機構負責一個子空間的管理。 授權管理機構可以將其管理的子名字空間進一步劃分， 授權給下一級機構管理。名字空間呈一種樹形結構。

域名由圓點 「．」分開的標號序列構成 。若域名包含從樹葉到樹根的完整標號串並以圓點結束，則稱該域名為完全合格域名FQDN。

常用的三塊頂級域名 為通用頂級域名、國家代碼頂級域名和反向域的頂級域名。

TCP/IP 的域名系統是一個有效的、可靠的、通用的、分布式的名字 —地址映射系統。區域是 DNS 伺服器的管理單元，通常是指一個 DNS 伺服器所管理的名字空間 。區域和域是不同的概念，域是一個完整的子樹，而區域可以是子樹中的任何一部分。

名字伺服器的三種主要類型是 主名字伺服器、次名字伺服器和惟高速緩存名字伺服器。主名字伺服器擁有一個區域文件的原始版本，次名字伺服器從主名字伺服器那裡獲得區域文件的拷貝，次名字伺服器通過區域傳輸同主名字伺服器保持同步。

DNS 伺服器和客戶端屬於 TCP/IP 模型的應用層， DNS 既可以使用 UDP，也可以使用 TCP 來進行通信。 DNS 伺服器使用 UDP 和 TCP 的 53 號熟知埠。

DNS 伺服器能夠使用兩種類型的解析： 遞歸解析和反復解析 。

DNS 響應報文中的回答部分、授權部分和附加信息部分由資源記錄構成，資源記錄存放在名字伺服器的資料庫中。

頂級域 cn 次級域 e.cn 子域 njust.e.cn 主機 sery.njust.e.cn

TFTP ：普通文件傳送協議（ Trivial File Transfer Protocol ）

RIP： 路由信息協議 (Routing Information Protocol)

OSPF 開放最短路徑優先 (Open Shortest Path First)協議。

EGP 外部網關協議 (Exterior Gateway Protocol)

BGP 邊界網關協議 (Border Gateway Protocol)

DHCP 動態主機配置協議（ Dynamic Host Configuration Protocol）

Telnet工作原理 : 遠程主機連接服務

FTP 文件傳輸工作原理 File Transfer Protocol

SMTP 郵件傳輸模型 Simple Message Transfer Protocol

HTTP 工作原理