2009年 7月 25日 6时 8分 计算机网络安全基础第 1章 网络基础知识与 Internet
本章是计算机网络安全的第一课,在这一章里将要介绍:
● 网络参考模型 OSI
● 网络互联设备
● 局域网技术
● 广域网协议
● TCP/ IP与 Internet提供的主要服务
2009年 7月 25日 6时 8分 计算机网络安全基础
1.1 网络参考模型 OSI
1.1.1 分层通信
( 1) 应用层 。 这是 OSI模型的最高层 。 它是应用进程访问网络服务的窗口 。 这一层直接为网络用户或应用程序提供各种各样的网络服务,它是计算机网络与最终用户间的界面 。
应用层提供的网络服务包括文件服务,打印服务,报文服务,目录服务,网络管理以及数据库服务等 。
( 2) 表示层 。 表示层保证了通信设备之间的互操作性 。 该层的功能使得两台内部数据表示结构都不同的计算机能实现通信 。 它提供了一种对不同控制码,字符集和图形字符等的解释,而这种解释是使两台设备都能以相同方式理解相同的传输内容所必需的 。 表示层还负责为安全性引入的数据提供加密与解密,以及为提高传输效率提供必需的数据压缩及解压等功能 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.1 网络参考模型 OSI
( 3) 会话层 。 会话层是网络对话控制器,它建立,维护和同步通信设备之间的交互操作,保证每次会话都正常关闭而不会突然断开,使用户被挂起在一旁 。 会话层建立和验证用户之间的连接,包括口令和登录确认;它也控制数据的交换,决定以何种顺序将对话单元传送到传输层,以及在传输过程的哪一点需要接收端的确认 。
( 4) 传输层 。 传输层负责整个消息从信源到信宿 ( 端到端 ) 的传递过程,同时保证整个消息无差错,按顺序地到达目的地,并在信源和信宿的层次上进行差错控制和流量控制 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.1 网络参考模型 OSI
( 5) 网络层 。 网络层负责数据包经过多条链路,由信源到信宿的传递过程,并保证每个数据包能够成功和有效率地从出发点到达目的地 。 为实现端到端的传递,网络层提供了两种服务:线路交换和路由选择 。 线路交换是在物理链路之间建立临时的连接,每个数据包都通过这个临时链路进行传输;路由选择是选择数据包传输的最佳路径 。 在这种情况下,每个数据包都可以通过不同的路由到达目的地,
然后再在目的地重新按照原始顺序组装起来 。
( 6)数据链路层。 数据链路层从网络层接收数据,并加上有意义的比特位形成报文头和尾部(用来携带地址和其他控制信息)。这些附加信息的数据单元称为帧。数据链路层负责将数据帧无差错地从一个站点送达下一个相邻站点,
即通过一些数据链路层协议完成在不太可靠的物理链路上实现可靠的数据传输。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.1 网络参考模型 OSI
( 7) 物理层 。 物理层是 OSI的最低层,它建立在物理通信介质的基础上,作为系统和通信介质的接口,用来实现数据链路实体间透明的比特 ( bit) 流传输 。 为建立,
维持和拆除物理连接,物理层规定了传输介质的机械特性,电气特性,功能特性和过程特性 。
在上述七层中,上五层一般由软件实现,而下面的两层是由硬件和软件实现的。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.1 网络参考模型 OSI
1.1.2 信息格式
2009年 7月 25日 6时 8分 计算机网络安全基础
1.2 网络互联设备网络互联设备用于局域网 ( LAN) 的网段,
它们有四种主要的类型:
● 中继器 ● 网桥 ● 路由器 ● 网关
OSI层次 互连设备 作 用物理层 中继器 在电缆段间复制比特数据链路层 网桥 在 LAN之间存储转发帧网络层 路由器 在不同的网络间存储转发分组运输层及以上 网关 提供不同体系间互连接口
2009年 7月 25日 6时 8分 计算机网络安全基础
2009年 7月 25日 6时 8分 计算机网络安全基础
1.2 网络互联设备
1.2.1 中继器和集线器中继器的主要功能在于延长电缆的有效连接长度,
因为在传输过程中信号的衰减会限制电缆的有效连接长度。此外,中继器还能起到改变以太网的拓扑结构的作用。
集线器( Hub) 与中继器类似,是能够集中完成多台设备连接的专用设备。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.2 网络互联设备
1.2.2 网桥网桥( Bridge) 是一种在数据链路层实现互联的存储转发设备。
网桥从一个网段将数据帧段转发至另一个网段。
网桥工作在 OSI参考模型的数据链路层。
1.2.3 路由器路由器实现网络互联是发生在网络层。主要功能有路由选择,多路重发以及出错检测等 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.2 网络互联设备
1.2.4 网关网关( Gateway) 实现的网络互联发生在网络层之上,它是网络层以上的互联设备的总称。
目前,典型的网络结构通常是由一主干网和若干段子网组成,主干网与子网之间通常选用路由器进行连接,
子网内部往往有若干个局域网,这些局域网之间采用中继器或网桥来进行连接 。 校园网,公用交换网,卫生网络和综合业务数字网络等,一般都采用网关进行互联 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.3 局域网技术目前,流行的局域网主要有三种:
● 以太网
● 令牌环网
● FDDI
2009年 7月 25日 6时 8分 计算机网络安全基础
1.3 局域网技术
1.3.1 以太网和 IEEE 802.3
以太网是由施乐公司于七十年代开发,IEEE 802.3
发表于 1980年,它是以以太网作为技术基础 。 如今以太网和 IEEE 802.3占据了局域网市场的最大份额,而以太网通常指所有采用载波监听多路访问/冲突检测
( CSMA/ CD) 的局域网,包括 IEEE 802.3。
●物理连接
IEEE 802.3规定了几种不同类型的物理层,而以太网仅仅定义了一种物理层,每一种 IEEE 802.3物理层协议都有一个概括它们自身特点的名称。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.3 局域网技术
●数据帧格式
2009年 7月 25日 6时 8分 计算机网络安全基础
1.3 局域网技术
1.3.2 令牌环和 IEEE 802.5
●令牌的传递令牌环传递网络的主要特点是在网络上传递一个比较小的数据帧,即令牌,如果网络上的某个节点拥有令牌,就表示它拥有传输数据的权力。如果一个接到令牌的网络站点没有数据需要传递时,令牌就被简单地传递到下一个网络站点,在允许的最大时间范围内可将令牌保留在手中。
●物理连接
2009年 7月 25日 6时 8分 计算机网络安全基础
1.3 局域网技术
●优先级网络站点优先权决定了它能够俘获令牌的概率,只有网络站点的优先权等于或高于令牌包含的优先权值时,
该网络站点才能俘获令牌,
●错误管理机制令牌环网络采用多种机制来检测和恢复网络中产生的错误。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.3 局域网技术
1.3.3 FDDI
光纤分布式数据接口( FDDI) 标准是由 ANSI
X3T9.5标准委员会在八十年代中期制定的。它规定了传输速度为 100Mbps,采用令牌传递方式,以及使用光纤作为介质的双环 LAN。
FDDI技术最重要的特征之一就是采用光纤作为传输介质,其优点包括安全性,可靠性以及传输速度等方面较传统的介质要好得多 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.3 局域网技术
● FDDI标准
FDDI的规范说明包括下列四个单独部分:
( 1)介质访问控制( MAC)
( 2)物理层协议( PHY)
( 3)物理层介质( PHM)
( 4)站点管理( SMT)
●物理连接
FDDI规定采用双环连接,其中一个环作为主环,
通常用于数据传输,另一个作为副环,作为备份 。 双环上数据的传输是互为反向的 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网技术
1.4.1 广域网基本技术
1,包交换
2,广域网的构成
3.存储转发
4.广域网的物理编址
5.下一站转发
6.源地址独立性
7.层次地址与路由的关系
8.广域网中的路由
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
1.4.2 广域网协议
1,SDLC及其派生协议同步数据链控制 ( SDLC) 协议主要用于 IBM的系统网络体系结构 ( SNA) 环境中 。 它基于同步机制采用了面向二进制位的操作方法 。
● SDLC
SDLC协议支持各种各样链路类型和网络拓扑结构,
包括点对点链路、环形拓扑和总线型拓扑、半双工和全双工传输设备,以及电路交换和封包交换网络。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
SDLC协议通常设有二种类型的站点,即主动型站点和从动型站点 。
SDLC协议的主动型站点与从动站点的连接可以根据下面的方式进行连接:
( 1) 点对点连接
( 2) 多点连接
( 3) 集线式连接
SDLC协议的帧格式为:
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
● SDLC派生协议
( 1) HDLC( 高层数据链路控制协议 )
( 2) LAP( 链路访问过程,SDLC协议的子集 )
( 3) LAPB( 平衡电路访问过程 )
( 4) QLLC协议(增强逻辑链路控制协议 )
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
2,点对点协议
● PPP的组成点对点协议( PPP) 提供了一种点对点链路传输数据报文的方法。
PPP协议的数据帧格式,
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
● 点对点的链路控制协议点对点技术中的链路控制协议 ( LCP) 提供用于建立,配置,维护和关闭点对点连接的方法,与其它类型的网络协议类似,LCP也有自己的数据帧格式,通常情况下有如下三种协议帧:
链路建立帧 —— 用于建立和配置数据链路链路关闭帧 —— 用于关闭数据链路链路维护帧 —— 用于管理和维护数据链路
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
3,分组交换 X.25
X.25是一组协议,它规定了广域网如何通过公用数据网进行连接 。 X.25定义的是数据终端设备 ( DTE) 和数据电路设备 ( DCE) 之间的接口标准 。
DTE主要指用户终端或主机设备等,而 DCE通常指调制解调器,分组交换机或其它与公用数据网连接的端口等 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
X.25和 ISO参考模式
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
● 数据帧格式数据帧的第三层分组由一个分组头字段和用户数据字段组成;第二层分组由帧的控制字段和帧的寻址字段、
帧检查顺序( FCS) 字段组成。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
● 协议分析
X.25第三层分组的头字段由一个通用格式识符
( GFI),一个逻辑通道标识符 ( LCI) 和一个分组类型标识 ( PTI) 组成 。 一个字节长的 GFI用于指明分组头的通用格式,LCI用于标识虚拟电路,其长度为 3个字节,PTI主要用于区分 X.25的 17种分组类型 。
X.25在第三层使用了三个虚拟电路操作过程:
( 1) 建立会话
( 2) 传输数据
( 3) 消除会话
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
4,帧中继帧中继提供一种统计复用手段,使用同一物理链路上可以有多个逻辑会话(称为虚电路),它提供了对带宽的灵活有效的利用。
● 帧的格式
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
● 信令协议帧中继网络中目前有三种信令协议在使用,它们是:
( 1) 本地管理接口 ( LMI)
( 2) CCITT标准 Q.922,基于原始 LMI
( 3) ANSI标准 TI.617,基于原始 LMI
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
● 阻塞的防止帧中继采用如下几个方面的手段处理阻塞:
( 1) 本地管理接口 ( LMI) 。 LMI提供一种基于
PVC的简单流控机制,当缓冲区将要满时,可向外部设备发出一个 LMI信息 ( RNR位置 1),要求停发数据,
当缓冲区空时,另一个 LMI信息 ( RNR位置 0),通知外部设备,允许发送数据
( 2)直接阻塞通知,向外部设备报告阻塞。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础互联网协议( IP) 和传输控制协议
( TCP) 是互联网协议族中最为有名的两个协议,其应用非常广泛,它能够用于任何相互连接的计算机网络系统之间的通信,
对局域网( LAN) 和广域网( WAN) 都有非常好的效果。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
1.5.1 TCP/ IP与 OSI参考模型
● TCP/IP协议和 OSI模型的对应关系
TCP/ IP协议 OSI模型
FTP,TELNET,SMTP,RPC,SNMP,DNS,TFTP,BOOTP,HTTP 应用层
TCP,UDP 传输层
IP(ICMP,IGMP),(ARP,RARP) 网络层
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
● TCP/IP的主要协议之间的相关性图中每个封闭的多边形对应了一个协议,并且位于它所直接使用的协议之上。如 SMTP依赖于 TCP,而
TCP依赖于 IP。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
● TCP/IP的层次结构
l,应用层 。 向用户提供一组常用的应用程序 。
2,传输层 ( TCP和 UDP) 。 提供应用程序间的通信,
提供了可靠的传输 ( UDP不能提供可靠的传输 ) 等 。
3,网络层 ( IP) 。 负责数据包的寻径功能,以保证数据包可靠到达目标主机,若不能到达,则向源主机发送差错控制报文 。
4,网络接口层 。 这是 TCP/ IP软件的最低层,负责接收 IP数据包并通过网络发送之,或者从网络上接收物理帧,抽出 IP数据包,并把它交给 IP层 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
1.5.2 网络层( IP层)
将所有的低层的物理实现隐藏起来,作用是将数据包从源主机发送出去,并且使这些数据包独立地到达目的主机。
在数据包传送过程中,即使是连续的数据包,也可能走过不同的路径,到达目的主机的顺序也会不同于它们被发送时的顺序。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
● TCP/IP数据流程
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
● IP数据包一个 IP数据包由包头和数据体两部分组成。包头由
20字节的固定部分和变长的可选项成。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
● IP地址在 Internet中,每一台主机都有一个唯一的地址,网关常常有不止一个的地址。地址由两部分组成:网络号和主机号。这种组合是唯一的,以使每一个 IP地址表示
Internet中的唯 — 一台主机。所有 IP地址都是 32位长。
IP地址分为五类,平常使用的是 A,B,C三类地址地址类型 地址形式
A N.H.H.H
B N.N.H.H
C N.N.N.H
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
● IP层的其它一些协议
ICMP( Internet控制信息协议 ) 用来传送一些关于网络和主机的控制信息 。 如目标主机是不可到达的,路由的重定向等 。
ARP( 地址解析协议 ) 用来将 IP地址映射成相应的主机 MAC地址 。
RARP( 反向地址解析协议 ) 用来将物理地址映射成 32位的 IP地址 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
1.5.3 传输层( TCP和 UDP)
● TCP
TCP协议,即传输控制协议,是一个可靠的、面向连接的协议。它允许在 Internet上两台主机间信息的无差错传输。
● UDP
无连接方式,即 UDP方式,当源主机有数据时,就发送。它不管发送的数据包是否到达目标主机,数据包是否出错,收到数据包的主机也不会告诉发送方是否正确收到了数据,因此,这是一种不可靠的数据传输方式。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
1.5.4 应用层协议
Telnet,也就是虚终端服务 。 它允许一台主机上的用户登录进另一台远程主机,并在远程主机中工作,而用户当前所使用的主机好象仅仅是远程主机的一个终端 。
FTP,即文件传输协议 。 提供了一个有效的途径,
将数据从一台主机传送到另一台主机 。 文件传输有文本和二进制两种模式 。 文本模式用来传输文本文件,并实现一些格式转换 。
SMTP,即电子邮件服务使用缺省的端口 25,以电子数据的方式,使用户快速,方便地传送信息 。 即使相隔大洲,大洋,电子邮件也可以在短短的几分钟内到达接收方的电子信箱 。
HTTP,即超文本传输协议,用来在 WWW服务器上取得用超文本标记语言书写的页面 。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.1 远程终端访问服务
Telnet是一种因特网远程终端访问标准 。 它真实地模仿远程终端,但是不具有图形功能,它仅提供基于字符应用的访问 。 Telnet允许为任何站点上的合法用户提供远程访问权,而不需要做特殊约定 。
Telnet并不是一种非常安全的服务,虽然在登录时要求用户认证 。 由于 Telnet发送的信息都未加密,所以它容易被网络监听 。 只有当远程机和本地站点之间的网络通信是安全时,Telnet才是安全的 。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.2 文件传输服务文件传输协议( FTP) 是为进行文件共享而设计的因特网标准协议。 匿名 FTP服务器的功能:
● 更好更完善的日志,它可记录,装载,下载或传送它的每个命令 。
● 提供路径的信息,当用户访问那个路径时,为用户显示关于路径内容的有关信息 。
● 能对用户分类 。
● 对某类用户可加以限制,如限制同时访问服务器的匿名用户的个数,此限制可按某天什么时间或某周哪一天进行调整 。 使用这些限制能控制 FTP服务器的负荷 。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
● 在传输文件时,具有压缩,tar和自动处理文件的能力 。
●非匿名 chroot访问。只需限制对机器访问的用户,
这就允许建立一个特别账号访问一些文件。
保护匿名 FTP区不受滥用的干扰措施:
( 1)确保入站路径只可写。
( 2)取消创建子路径和某些文件的权力。
( 3)预定装载。
( 4)文件及时转移。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.3 电子邮件服务电子邮件是最流行和最基本的网络服务之一。它的危险性相对小些,但并不是没有风险。
简单邮件传输协议( SMTP) 是收发电子邮件的一种因特网标准协议。一般来说,SMTP本身不存在安全问题,但 SMTP服务器则可能有安全问题。发送邮件给用户所用的程序通常也应当能被任何一个接收邮件的用户所运行,这就使它得到广泛的应用,同时也为侵袭者提供了目标。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.4 Usenet新闻服务
Usenet新闻组和电子邮件具有很大的相似性,但是它适合于多个用户之间的通讯。新闻组是因特网上的公告牌,它是为多用户对多用户通讯而设计的。邮件列表也支持多对多通讯,但效率低、用户少,原因是没有简单的办法找到列表的所有用户,而且对每个收信者都要做信息拷贝。
网络新闻传输协议( NNTP) 是用来在因特网上传输新闻的。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.5 WWW服务
WWW 即 World Wide Web,中文称为环球信息网,
也简称为 Web,二者实际上是同一含义 。
创建 WWW是为了解决 Internet上的信息传递问题,
在 WWW创建以前,几乎所有的信息发布都是通过 E-
mail,FTP,Archie和 Gopher实现的 。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.6 网络用户信息查询服务可以用 finger和 whois来获得网上成员的一些信息 。
finger服务可查询在目标主机上有账号的用户的个人信息,而不论这个用户当前是否登录在被查询的机器上 。 这些信息包括登录名,最近在何时何地登录的情况以及用户自己提供的简介 。
whois服务类似于 finger,但它可得到主机,网络,
域及它们的管理员的信息 。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.7 实时会议服务实时会议服务通常包括 talk IRC,以及通过 MBONE。
所有这些服务为人们提供一种相互交流的途径。电子邮件和 Usenet新闻是为促进异步通信而设计的,即使参与者没有登录,它们也能工作,他们在下次登录时,可以阅读 E-mail信息或新闻。与此相反,实时会议服务是为在线伙伴交互式会话而设计的。
talk是因特网上最早使用的实时会议系统。
因特网联机聊天( IRC) 类似于一个文化沙龙,很多人可以利用它相互交谈。
MBONE是新的网络服务资源,它主要是同时扩展实时会议服务功能。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.8 DNS服务名字服务是指在人们使用的主机名与机器使用的数字 IP地址之间进行转换。
1.6.9 网管服务有许多种服务软件用来管理和维护网络 。简单网络管理协议
( SNMP) 是为集中管理网络设备而设计的一种协议(路由器、网桥、集中器、集线器及其一些扩展设备、甚至主机),SNMP管理站可用 SNMP从网络设备上查询信息,也可用来控制网络设备的某些功能(启动或关闭某个接口、设置参数,等等)。同时利用
SNMP,网络设备也可以向 SNMP管理站提供紧急信息(例如,掉线信息,某条网线出现大量错误等)。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.10 NFS文件系统几乎所有版本的 UNIX,都有 NFS的存在。通过
NFS机制,服务器端可以将自己的一部分目录或文件调出,让多个客户主机透明地使用服务器上的文件和目录。
NFS是一个高层的协议,构筑在一些低层协议之上。
协议的模型如下,应用层 NFS
表示层 XDR
会话层 RPC
传输层 UDP
网络层 IP
与网络相关部分
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
● RPC
RPC提供了一套机制,使得一台主机可以产生一个系统调用,调用类似于本地进程的一部分,但实际上却是在网络中的另一台主机中执行。
● XDR
表示层是为了支持结构化的或数据类型更为复杂的字节流的传送,提供了将要传送的数据编码和解码的一系列服务 。
2009年 7月 25日 6时 8分 计算机网络安全基础习题与思考题
1.举出使用分层协议的两条理由?
2,有两个网络,它们都提供可靠的面向连接的服务 。 一个提供可靠的字节流,另一个提供可靠的字节流 。 请问二者是否相同? 为什么?
3,举出 OSI参考模型和 TCP/IP参考模型的两个相同的方面和两个不同的方面 。
4,TCP和 UDP之间的主要区别是什么?
5,网桥,路由器,网关的主要区别是什么?
6,分析路由器的作用及适用场合?
7,Internet提供的主要服务有哪些?
8,电子邮件的头部主要包括哪几部分? ( 写出最重要的三个 )
9,接入 Internet需要哪些设备和条件?
10,用路由器连接起来的网络和用网桥连接起来的网络其本质区别是什么?
本章是计算机网络安全的第一课,在这一章里将要介绍:
● 网络参考模型 OSI
● 网络互联设备
● 局域网技术
● 广域网协议
● TCP/ IP与 Internet提供的主要服务
2009年 7月 25日 6时 8分 计算机网络安全基础
1.1 网络参考模型 OSI
1.1.1 分层通信
( 1) 应用层 。 这是 OSI模型的最高层 。 它是应用进程访问网络服务的窗口 。 这一层直接为网络用户或应用程序提供各种各样的网络服务,它是计算机网络与最终用户间的界面 。
应用层提供的网络服务包括文件服务,打印服务,报文服务,目录服务,网络管理以及数据库服务等 。
( 2) 表示层 。 表示层保证了通信设备之间的互操作性 。 该层的功能使得两台内部数据表示结构都不同的计算机能实现通信 。 它提供了一种对不同控制码,字符集和图形字符等的解释,而这种解释是使两台设备都能以相同方式理解相同的传输内容所必需的 。 表示层还负责为安全性引入的数据提供加密与解密,以及为提高传输效率提供必需的数据压缩及解压等功能 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.1 网络参考模型 OSI
( 3) 会话层 。 会话层是网络对话控制器,它建立,维护和同步通信设备之间的交互操作,保证每次会话都正常关闭而不会突然断开,使用户被挂起在一旁 。 会话层建立和验证用户之间的连接,包括口令和登录确认;它也控制数据的交换,决定以何种顺序将对话单元传送到传输层,以及在传输过程的哪一点需要接收端的确认 。
( 4) 传输层 。 传输层负责整个消息从信源到信宿 ( 端到端 ) 的传递过程,同时保证整个消息无差错,按顺序地到达目的地,并在信源和信宿的层次上进行差错控制和流量控制 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.1 网络参考模型 OSI
( 5) 网络层 。 网络层负责数据包经过多条链路,由信源到信宿的传递过程,并保证每个数据包能够成功和有效率地从出发点到达目的地 。 为实现端到端的传递,网络层提供了两种服务:线路交换和路由选择 。 线路交换是在物理链路之间建立临时的连接,每个数据包都通过这个临时链路进行传输;路由选择是选择数据包传输的最佳路径 。 在这种情况下,每个数据包都可以通过不同的路由到达目的地,
然后再在目的地重新按照原始顺序组装起来 。
( 6)数据链路层。 数据链路层从网络层接收数据,并加上有意义的比特位形成报文头和尾部(用来携带地址和其他控制信息)。这些附加信息的数据单元称为帧。数据链路层负责将数据帧无差错地从一个站点送达下一个相邻站点,
即通过一些数据链路层协议完成在不太可靠的物理链路上实现可靠的数据传输。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.1 网络参考模型 OSI
( 7) 物理层 。 物理层是 OSI的最低层,它建立在物理通信介质的基础上,作为系统和通信介质的接口,用来实现数据链路实体间透明的比特 ( bit) 流传输 。 为建立,
维持和拆除物理连接,物理层规定了传输介质的机械特性,电气特性,功能特性和过程特性 。
在上述七层中,上五层一般由软件实现,而下面的两层是由硬件和软件实现的。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.1 网络参考模型 OSI
1.1.2 信息格式
2009年 7月 25日 6时 8分 计算机网络安全基础
1.2 网络互联设备网络互联设备用于局域网 ( LAN) 的网段,
它们有四种主要的类型:
● 中继器 ● 网桥 ● 路由器 ● 网关
OSI层次 互连设备 作 用物理层 中继器 在电缆段间复制比特数据链路层 网桥 在 LAN之间存储转发帧网络层 路由器 在不同的网络间存储转发分组运输层及以上 网关 提供不同体系间互连接口
2009年 7月 25日 6时 8分 计算机网络安全基础
2009年 7月 25日 6时 8分 计算机网络安全基础
1.2 网络互联设备
1.2.1 中继器和集线器中继器的主要功能在于延长电缆的有效连接长度,
因为在传输过程中信号的衰减会限制电缆的有效连接长度。此外,中继器还能起到改变以太网的拓扑结构的作用。
集线器( Hub) 与中继器类似,是能够集中完成多台设备连接的专用设备。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.2 网络互联设备
1.2.2 网桥网桥( Bridge) 是一种在数据链路层实现互联的存储转发设备。
网桥从一个网段将数据帧段转发至另一个网段。
网桥工作在 OSI参考模型的数据链路层。
1.2.3 路由器路由器实现网络互联是发生在网络层。主要功能有路由选择,多路重发以及出错检测等 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.2 网络互联设备
1.2.4 网关网关( Gateway) 实现的网络互联发生在网络层之上,它是网络层以上的互联设备的总称。
目前,典型的网络结构通常是由一主干网和若干段子网组成,主干网与子网之间通常选用路由器进行连接,
子网内部往往有若干个局域网,这些局域网之间采用中继器或网桥来进行连接 。 校园网,公用交换网,卫生网络和综合业务数字网络等,一般都采用网关进行互联 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.3 局域网技术目前,流行的局域网主要有三种:
● 以太网
● 令牌环网
● FDDI
2009年 7月 25日 6时 8分 计算机网络安全基础
1.3 局域网技术
1.3.1 以太网和 IEEE 802.3
以太网是由施乐公司于七十年代开发,IEEE 802.3
发表于 1980年,它是以以太网作为技术基础 。 如今以太网和 IEEE 802.3占据了局域网市场的最大份额,而以太网通常指所有采用载波监听多路访问/冲突检测
( CSMA/ CD) 的局域网,包括 IEEE 802.3。
●物理连接
IEEE 802.3规定了几种不同类型的物理层,而以太网仅仅定义了一种物理层,每一种 IEEE 802.3物理层协议都有一个概括它们自身特点的名称。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.3 局域网技术
●数据帧格式
2009年 7月 25日 6时 8分 计算机网络安全基础
1.3 局域网技术
1.3.2 令牌环和 IEEE 802.5
●令牌的传递令牌环传递网络的主要特点是在网络上传递一个比较小的数据帧,即令牌,如果网络上的某个节点拥有令牌,就表示它拥有传输数据的权力。如果一个接到令牌的网络站点没有数据需要传递时,令牌就被简单地传递到下一个网络站点,在允许的最大时间范围内可将令牌保留在手中。
●物理连接
2009年 7月 25日 6时 8分 计算机网络安全基础
1.3 局域网技术
●优先级网络站点优先权决定了它能够俘获令牌的概率,只有网络站点的优先权等于或高于令牌包含的优先权值时,
该网络站点才能俘获令牌,
●错误管理机制令牌环网络采用多种机制来检测和恢复网络中产生的错误。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.3 局域网技术
1.3.3 FDDI
光纤分布式数据接口( FDDI) 标准是由 ANSI
X3T9.5标准委员会在八十年代中期制定的。它规定了传输速度为 100Mbps,采用令牌传递方式,以及使用光纤作为介质的双环 LAN。
FDDI技术最重要的特征之一就是采用光纤作为传输介质,其优点包括安全性,可靠性以及传输速度等方面较传统的介质要好得多 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.3 局域网技术
● FDDI标准
FDDI的规范说明包括下列四个单独部分:
( 1)介质访问控制( MAC)
( 2)物理层协议( PHY)
( 3)物理层介质( PHM)
( 4)站点管理( SMT)
●物理连接
FDDI规定采用双环连接,其中一个环作为主环,
通常用于数据传输,另一个作为副环,作为备份 。 双环上数据的传输是互为反向的 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网技术
1.4.1 广域网基本技术
1,包交换
2,广域网的构成
3.存储转发
4.广域网的物理编址
5.下一站转发
6.源地址独立性
7.层次地址与路由的关系
8.广域网中的路由
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
1.4.2 广域网协议
1,SDLC及其派生协议同步数据链控制 ( SDLC) 协议主要用于 IBM的系统网络体系结构 ( SNA) 环境中 。 它基于同步机制采用了面向二进制位的操作方法 。
● SDLC
SDLC协议支持各种各样链路类型和网络拓扑结构,
包括点对点链路、环形拓扑和总线型拓扑、半双工和全双工传输设备,以及电路交换和封包交换网络。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
SDLC协议通常设有二种类型的站点,即主动型站点和从动型站点 。
SDLC协议的主动型站点与从动站点的连接可以根据下面的方式进行连接:
( 1) 点对点连接
( 2) 多点连接
( 3) 集线式连接
SDLC协议的帧格式为:
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
● SDLC派生协议
( 1) HDLC( 高层数据链路控制协议 )
( 2) LAP( 链路访问过程,SDLC协议的子集 )
( 3) LAPB( 平衡电路访问过程 )
( 4) QLLC协议(增强逻辑链路控制协议 )
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
2,点对点协议
● PPP的组成点对点协议( PPP) 提供了一种点对点链路传输数据报文的方法。
PPP协议的数据帧格式,
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
● 点对点的链路控制协议点对点技术中的链路控制协议 ( LCP) 提供用于建立,配置,维护和关闭点对点连接的方法,与其它类型的网络协议类似,LCP也有自己的数据帧格式,通常情况下有如下三种协议帧:
链路建立帧 —— 用于建立和配置数据链路链路关闭帧 —— 用于关闭数据链路链路维护帧 —— 用于管理和维护数据链路
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
3,分组交换 X.25
X.25是一组协议,它规定了广域网如何通过公用数据网进行连接 。 X.25定义的是数据终端设备 ( DTE) 和数据电路设备 ( DCE) 之间的接口标准 。
DTE主要指用户终端或主机设备等,而 DCE通常指调制解调器,分组交换机或其它与公用数据网连接的端口等 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
X.25和 ISO参考模式
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
● 数据帧格式数据帧的第三层分组由一个分组头字段和用户数据字段组成;第二层分组由帧的控制字段和帧的寻址字段、
帧检查顺序( FCS) 字段组成。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
● 协议分析
X.25第三层分组的头字段由一个通用格式识符
( GFI),一个逻辑通道标识符 ( LCI) 和一个分组类型标识 ( PTI) 组成 。 一个字节长的 GFI用于指明分组头的通用格式,LCI用于标识虚拟电路,其长度为 3个字节,PTI主要用于区分 X.25的 17种分组类型 。
X.25在第三层使用了三个虚拟电路操作过程:
( 1) 建立会话
( 2) 传输数据
( 3) 消除会话
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
4,帧中继帧中继提供一种统计复用手段,使用同一物理链路上可以有多个逻辑会话(称为虚电路),它提供了对带宽的灵活有效的利用。
● 帧的格式
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
● 信令协议帧中继网络中目前有三种信令协议在使用,它们是:
( 1) 本地管理接口 ( LMI)
( 2) CCITT标准 Q.922,基于原始 LMI
( 3) ANSI标准 TI.617,基于原始 LMI
2009年 7月 25日 6时 8分 计算机网络安全基础
1.4 广域网协议
● 阻塞的防止帧中继采用如下几个方面的手段处理阻塞:
( 1) 本地管理接口 ( LMI) 。 LMI提供一种基于
PVC的简单流控机制,当缓冲区将要满时,可向外部设备发出一个 LMI信息 ( RNR位置 1),要求停发数据,
当缓冲区空时,另一个 LMI信息 ( RNR位置 0),通知外部设备,允许发送数据
( 2)直接阻塞通知,向外部设备报告阻塞。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础互联网协议( IP) 和传输控制协议
( TCP) 是互联网协议族中最为有名的两个协议,其应用非常广泛,它能够用于任何相互连接的计算机网络系统之间的通信,
对局域网( LAN) 和广域网( WAN) 都有非常好的效果。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
1.5.1 TCP/ IP与 OSI参考模型
● TCP/IP协议和 OSI模型的对应关系
TCP/ IP协议 OSI模型
FTP,TELNET,SMTP,RPC,SNMP,DNS,TFTP,BOOTP,HTTP 应用层
TCP,UDP 传输层
IP(ICMP,IGMP),(ARP,RARP) 网络层
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
● TCP/IP的主要协议之间的相关性图中每个封闭的多边形对应了一个协议,并且位于它所直接使用的协议之上。如 SMTP依赖于 TCP,而
TCP依赖于 IP。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
● TCP/IP的层次结构
l,应用层 。 向用户提供一组常用的应用程序 。
2,传输层 ( TCP和 UDP) 。 提供应用程序间的通信,
提供了可靠的传输 ( UDP不能提供可靠的传输 ) 等 。
3,网络层 ( IP) 。 负责数据包的寻径功能,以保证数据包可靠到达目标主机,若不能到达,则向源主机发送差错控制报文 。
4,网络接口层 。 这是 TCP/ IP软件的最低层,负责接收 IP数据包并通过网络发送之,或者从网络上接收物理帧,抽出 IP数据包,并把它交给 IP层 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
1.5.2 网络层( IP层)
将所有的低层的物理实现隐藏起来,作用是将数据包从源主机发送出去,并且使这些数据包独立地到达目的主机。
在数据包传送过程中,即使是连续的数据包,也可能走过不同的路径,到达目的主机的顺序也会不同于它们被发送时的顺序。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
● TCP/IP数据流程
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
● IP数据包一个 IP数据包由包头和数据体两部分组成。包头由
20字节的固定部分和变长的可选项成。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
● IP地址在 Internet中,每一台主机都有一个唯一的地址,网关常常有不止一个的地址。地址由两部分组成:网络号和主机号。这种组合是唯一的,以使每一个 IP地址表示
Internet中的唯 — 一台主机。所有 IP地址都是 32位长。
IP地址分为五类,平常使用的是 A,B,C三类地址地址类型 地址形式
A N.H.H.H
B N.N.H.H
C N.N.N.H
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
● IP层的其它一些协议
ICMP( Internet控制信息协议 ) 用来传送一些关于网络和主机的控制信息 。 如目标主机是不可到达的,路由的重定向等 。
ARP( 地址解析协议 ) 用来将 IP地址映射成相应的主机 MAC地址 。
RARP( 反向地址解析协议 ) 用来将物理地址映射成 32位的 IP地址 。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
1.5.3 传输层( TCP和 UDP)
● TCP
TCP协议,即传输控制协议,是一个可靠的、面向连接的协议。它允许在 Internet上两台主机间信息的无差错传输。
● UDP
无连接方式,即 UDP方式,当源主机有数据时,就发送。它不管发送的数据包是否到达目标主机,数据包是否出错,收到数据包的主机也不会告诉发送方是否正确收到了数据,因此,这是一种不可靠的数据传输方式。
2009年 7月 25日 6时 8分 计算机网络安全基础
1.5 TCP/ IP协议基础
1.5.4 应用层协议
Telnet,也就是虚终端服务 。 它允许一台主机上的用户登录进另一台远程主机,并在远程主机中工作,而用户当前所使用的主机好象仅仅是远程主机的一个终端 。
FTP,即文件传输协议 。 提供了一个有效的途径,
将数据从一台主机传送到另一台主机 。 文件传输有文本和二进制两种模式 。 文本模式用来传输文本文件,并实现一些格式转换 。
SMTP,即电子邮件服务使用缺省的端口 25,以电子数据的方式,使用户快速,方便地传送信息 。 即使相隔大洲,大洋,电子邮件也可以在短短的几分钟内到达接收方的电子信箱 。
HTTP,即超文本传输协议,用来在 WWW服务器上取得用超文本标记语言书写的页面 。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.1 远程终端访问服务
Telnet是一种因特网远程终端访问标准 。 它真实地模仿远程终端,但是不具有图形功能,它仅提供基于字符应用的访问 。 Telnet允许为任何站点上的合法用户提供远程访问权,而不需要做特殊约定 。
Telnet并不是一种非常安全的服务,虽然在登录时要求用户认证 。 由于 Telnet发送的信息都未加密,所以它容易被网络监听 。 只有当远程机和本地站点之间的网络通信是安全时,Telnet才是安全的 。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.2 文件传输服务文件传输协议( FTP) 是为进行文件共享而设计的因特网标准协议。 匿名 FTP服务器的功能:
● 更好更完善的日志,它可记录,装载,下载或传送它的每个命令 。
● 提供路径的信息,当用户访问那个路径时,为用户显示关于路径内容的有关信息 。
● 能对用户分类 。
● 对某类用户可加以限制,如限制同时访问服务器的匿名用户的个数,此限制可按某天什么时间或某周哪一天进行调整 。 使用这些限制能控制 FTP服务器的负荷 。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
● 在传输文件时,具有压缩,tar和自动处理文件的能力 。
●非匿名 chroot访问。只需限制对机器访问的用户,
这就允许建立一个特别账号访问一些文件。
保护匿名 FTP区不受滥用的干扰措施:
( 1)确保入站路径只可写。
( 2)取消创建子路径和某些文件的权力。
( 3)预定装载。
( 4)文件及时转移。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.3 电子邮件服务电子邮件是最流行和最基本的网络服务之一。它的危险性相对小些,但并不是没有风险。
简单邮件传输协议( SMTP) 是收发电子邮件的一种因特网标准协议。一般来说,SMTP本身不存在安全问题,但 SMTP服务器则可能有安全问题。发送邮件给用户所用的程序通常也应当能被任何一个接收邮件的用户所运行,这就使它得到广泛的应用,同时也为侵袭者提供了目标。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.4 Usenet新闻服务
Usenet新闻组和电子邮件具有很大的相似性,但是它适合于多个用户之间的通讯。新闻组是因特网上的公告牌,它是为多用户对多用户通讯而设计的。邮件列表也支持多对多通讯,但效率低、用户少,原因是没有简单的办法找到列表的所有用户,而且对每个收信者都要做信息拷贝。
网络新闻传输协议( NNTP) 是用来在因特网上传输新闻的。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.5 WWW服务
WWW 即 World Wide Web,中文称为环球信息网,
也简称为 Web,二者实际上是同一含义 。
创建 WWW是为了解决 Internet上的信息传递问题,
在 WWW创建以前,几乎所有的信息发布都是通过 E-
mail,FTP,Archie和 Gopher实现的 。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.6 网络用户信息查询服务可以用 finger和 whois来获得网上成员的一些信息 。
finger服务可查询在目标主机上有账号的用户的个人信息,而不论这个用户当前是否登录在被查询的机器上 。 这些信息包括登录名,最近在何时何地登录的情况以及用户自己提供的简介 。
whois服务类似于 finger,但它可得到主机,网络,
域及它们的管理员的信息 。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.7 实时会议服务实时会议服务通常包括 talk IRC,以及通过 MBONE。
所有这些服务为人们提供一种相互交流的途径。电子邮件和 Usenet新闻是为促进异步通信而设计的,即使参与者没有登录,它们也能工作,他们在下次登录时,可以阅读 E-mail信息或新闻。与此相反,实时会议服务是为在线伙伴交互式会话而设计的。
talk是因特网上最早使用的实时会议系统。
因特网联机聊天( IRC) 类似于一个文化沙龙,很多人可以利用它相互交谈。
MBONE是新的网络服务资源,它主要是同时扩展实时会议服务功能。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.8 DNS服务名字服务是指在人们使用的主机名与机器使用的数字 IP地址之间进行转换。
1.6.9 网管服务有许多种服务软件用来管理和维护网络 。简单网络管理协议
( SNMP) 是为集中管理网络设备而设计的一种协议(路由器、网桥、集中器、集线器及其一些扩展设备、甚至主机),SNMP管理站可用 SNMP从网络设备上查询信息,也可用来控制网络设备的某些功能(启动或关闭某个接口、设置参数,等等)。同时利用
SNMP,网络设备也可以向 SNMP管理站提供紧急信息(例如,掉线信息,某条网线出现大量错误等)。
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
1.6.10 NFS文件系统几乎所有版本的 UNIX,都有 NFS的存在。通过
NFS机制,服务器端可以将自己的一部分目录或文件调出,让多个客户主机透明地使用服务器上的文件和目录。
NFS是一个高层的协议,构筑在一些低层协议之上。
协议的模型如下,应用层 NFS
表示层 XDR
会话层 RPC
传输层 UDP
网络层 IP
与网络相关部分
2009年 7月 25日 6时 8分 计算机网络安全基础
l.6 Internet提供的主要服务
● RPC
RPC提供了一套机制,使得一台主机可以产生一个系统调用,调用类似于本地进程的一部分,但实际上却是在网络中的另一台主机中执行。
● XDR
表示层是为了支持结构化的或数据类型更为复杂的字节流的传送,提供了将要传送的数据编码和解码的一系列服务 。
2009年 7月 25日 6时 8分 计算机网络安全基础习题与思考题
1.举出使用分层协议的两条理由?
2,有两个网络,它们都提供可靠的面向连接的服务 。 一个提供可靠的字节流,另一个提供可靠的字节流 。 请问二者是否相同? 为什么?
3,举出 OSI参考模型和 TCP/IP参考模型的两个相同的方面和两个不同的方面 。
4,TCP和 UDP之间的主要区别是什么?
5,网桥,路由器,网关的主要区别是什么?
6,分析路由器的作用及适用场合?
7,Internet提供的主要服务有哪些?
8,电子邮件的头部主要包括哪几部分? ( 写出最重要的三个 )
9,接入 Internet需要哪些设备和条件?
10,用路由器连接起来的网络和用网桥连接起来的网络其本质区别是什么?