考试时间：2026 年 1 月 14 日 8：30-10：30

考前一天开始复习。13 号上午在复习马原，下午马原考完开始复习。早上考完后在折腾推荐信最后的事情。考试范围是 4-8 章。4-5 章之前写作业的时候看过 PPT，有一点印象，向学长要了往年计网的卷子，和两种计网的 PPT 一起打包上传到 notebooklm。先抄书打印大抄对着大抄把知识点弄懂，抄到晚上八点多开始看考卷，到第二天凌晨一点一共看了两套卷。考场上差点没做完

当天整理的笔记：

U4-数据平面#

考点#

1. 子网划分与 CIDR（第 4 章）： - 练习点：根据给定 IP 和掩码计算网络地址、广播地址、地址范围。 - 难点：最长前缀匹配原则的转发表项查找。 2. IP 数据报分片计算（第 4 章）： - 练习点：根据 MTU 计算分片数量、每个分片的总长度、标志位（MF）片偏移（Offset，注意单位是 8 字节）

知识点#

网络层的主要功能：

选路：确定往目标路由器的路由，计算转发表。转发表记录分组字段和路由器输出端口之间的联系。由控制面完成，确定分组如何前往目标节点。网络范围内的功能。参考计网U5-控制平面
转发：路由器根据转发表，把分组从输入端口转到输出端口。由数据面在路由器内部分组转运完成。这是路由器的主要功能

路由器：

路由器的功能：选路与转发。选路功能是用选路协议计算转发表。转发功能用转发表来转发数据报文。
路由器的组成：
- 输入端口：物理、链路层来解封数据包，查找转发表来寻找输出端口。排队会发生 HOL 阻塞
- 交换结构：通过内存、总线、互联网络交换
- 输出端口：网络、链路、物理发送数据。有调度算法。缓冲区满时会发生丢包。有丢尾、优先级丢弃、主动队列管理（AQM，使用 RED 算法主动丢弃分组。到 minth 时按概率 p 丢弃分组，到 maxth 时丢弃每个分组，可以与 TCP 拥塞控制一起用）
- 路由选择处理器：调度策略，决定多个队列中如何选择下一个分组。

IP 协议和编址：

Ipv4 数据报格式：20 字节头字段（160 比特），包括协议号，TTL，检验和，源与目标地址
分片与重组：链路层最大帧载荷为 MTU。超过就会被分片和重组。分片的数据长度为 8B 的整数倍，分片头部包含表示，偏移量，标志位，TTL 等。
IP 编址与子网划分： CIDR，无分类编址，a.b.c.d/x，x 是网络前缀长度。包括地址分配，地址聚合和最长前缀匹配（查转发表时，如果一个地址有多个项，那就选前缀最长最精确的那个）。全 0 地址保留给网络本身，全 1 地址保留给本地广播地址，127 打头的地址保留为内部回路测试。DHCP 是动态主机配置协议分配 IP 给主机，建立在 UDP 协议之上。发现-提供-请求-ACK。
子网：有相同网络前缀，内部通信不经过路由器，被路由器隔开。子网掩码：指示 IP 号和主机号的边界。子网内部数据可以直接交付，子网间数据只能间接交付，通过查找转发表来实现。转发表（包含目标地址、下一跳地址、输出端口、掩码，有默认缺省项）采用逐跳选路，下一跳地址必须包含在当前子网中。转发表内有地址聚合。
网络地址转换 NAT：用一个 IP 地址接入多台设备。维护 NAT 转换表，广域 IP 、端口和局域 IP、端口的互相转换，同时处理 65536 个连接。但架构上有争议。因为端口对应的是进程而不是主机。用 upnp 和中继服务器可以实现 NAT 穿越。
IPv6：与 ipv4 不兼容，要双协议栈和隧道

[!note]- 数据报分片处理过程

根据报头长度 H 和输出线路的 MTU，确定分片的最大数据长度 N

将数据报的载荷划分成长度为 N 的若干数据块（最后一个数据块可能不足 N 字节）

将原始报头加到每一个数据块的前面，修改报头中的以下字段：

总长度＝ H + 数据块长度

最后一个报头的 MF 位置 0，其余报头的 MF 位置 1

偏移量＝数据块在原始数据报载荷中的字节序号/8

TTL=TTL-1

计算头部检查和

U5-控制平面#

考点#

3. 路由算法（第 5 章）： - Dijkstra（链路状态算法）：通过表格记录迭代过程（N′, D (v), p (v)）。 - Distance Vector（距离向量算法/Bellman-Ford）：处理邻居通告，更新自己的路由表。注意“无穷计数”问题和“毒性逆转”

知识点#

计网U4-数据平面：转发。路由器决定从哪个端口发向哪个端口控制平面：路由。全局规划分组应该经过哪个路口。如何找到源路由器到目标路由器的最佳路径？

如何实现控制平面？

每路由器控制：传统办法。路由器内部执行路由协议，运行算法组件，路由器间互相通信交换路由信息计算转发表。OSPF 和 BGP 协议基于这个。
逻辑集中控制：SDN 方法。远程计算转发表，路由器只负责转发

虚电路

本质：预先选好源到目的主机的路径
组成：端到端路径；每条链路的虚电路号；沿途每个路由器的转发表<进入端口，进入VC号> à<输出端口，输出VC号>（分组仅携带 VC 号，不携带目标地址）
使用信令协议

数据报网络 分组携带目的地址，路由器按转发表转发分组

Q 数据报网络提供最小服务的好处？可运行在各种链路上；为传输层服务的设计增加灵活性

Q 数据报网路符合因特网设计的原则？提供尽力而为的服务；复杂工作推到网络边缘

Q 数据报网络和虚电路网络转发表区别？虚电路 Hash 表或索引表 O (1)，数据报网络顺序表 O (N)

路由算法：（图算法） LS 链路状态路由算法：dijkstra，计算全局。OSPF 协议是一种 LS 协议

流程：
1. 发现相邻节点，获知对方网络地址：HELLO 报文
2. 测量相邻节点代价：延迟、开销。通过对方的 echo 报文得知
3. 组装 LS 分组：发送者名称、序号 seq、年龄 age、相邻节点延迟列表
4. LS 分组扩散：设置 age，每扩散一次 age 减 1. Age=0 自动抛弃
5. 计算路由找最短路径：dijkstra 算法。使用（D 距离, P 前驱）标记节点，节点分为临时节点和永久节点。每次找节点代价最小的临时节点，变为永久节点，并 relax 相应的距离
问题：出现震荡。当链路代价=链路承载流量时

DV 距离矢量算法：只计算局部。相邻路由器维护、交换、更新路由表

流程：BF 算法：对于每个节点 y；x 往 y 的代价记为 D_x(y)，x 有邻居 v，则 $D_x(y)=min_v{c(x,y)+D_v(y)}$ 。迭代时期望 D_x(y) 收敛于真实最小值 $d_x(y)$ 。
问题：无穷计算问题。好消息快，坏消息慢（如断联）
水平分裂算法：B 知道要通过 A 才能到 X，因此 B 向 A 报告 B 到 X 的距离为无穷大
- 问题：环路下会失效（A-B-C-X，A-C。C-X 断了，B 给 A 的信息还没断，会循环）

算法	LS	DV
消息复杂度	O（nE）n：全体链路信息局部传播	只和邻居交换信息
收敛时间	O（n²）	收敛较慢，有环路
健壮性	错误信息影响局部	影响全局

层次路由： 把互联网分成路由器区域 AS（autonomous systems），自治系统，用 AS Number 标识，方便管理。一个 ISP 掌管数个 AS。AS 内部运行相同路由协议（RIP、OSPF），网关路由器可连接到别的 AS。AS 间运行 AS 间路由协议。解决平面路由规模巨大难控制的问题

AS 内路由：（Intra-AS：）

RIP：路由信息协议。DV 算法。只数跳数，最大跳数 15，不管时间。周期性更新：每隔约 30 秒，把自己的数据给邻居公告。一次公告最多 25 个子网，最多 16 跳。毒性逆转阻止回路。180 秒邻居无响应则认定为失效。以应用进程的方式实现（route-d），UDP 520 端口周期性发送。应用层协议
OSPF：开放最短路优先协议。泛洪 LS 算法。每个路由器内都构建完整网络拓扑图。数代价，代价由管理员配置。链路状态会触发式更新。封装在 IP 数据报里，协议号 89。 OSPF 将网络层次化（AS）：路由器分层为本地、主干（标识为 0）。本地包括边界路由器和区域边界路由器 ABR（连接骨干路由器）。骨干路由器运行 OSPF。边界路由器将数据传输到 ABR，进入骨干传输。

AS 间路由：（Inter-AS：主要依据策略而不是路由测度）

BGP：建立在 TCP 上的边界网关协议，在不同 AS 间交换前缀可达性信息。路由目标不是具体的 IP 地址，而是 CIDR 前缀。基于策略的路由。更新时只发生增量更新
- EBGP：跨 AS，从相邻 AS 获取可达性信息
- IBGP：在同一个 AS 传递信息，传递 eBGP 学到的外部路由信息给 AS 的其他路由器
BGP 路由属性：
- AS-PATH：经过的所有 AS 列表，防止环路
- NEXT-HOP：通往目的地下一跳的路由器接口 IP 地址。对于 eBGP 学来的路由，这个是外部地址。本 AS 内要重新用 OSPF 等协议找 NEXT-HOP 的最佳路径）。实施路径通告，可以设置规则不通告。
路径选择：本地偏好、最短 AS-PATH、热土豆路由（距离当前路由器最近的出口网关）、BGP 标识符

广播选路：flooding。反向路径传播 ( V-1 + 2*[E-V+1] )，生成树（V-1），

SDN 方式：集中控制处理。架构包括数据平面交换机—南向 API（openflow 流表，包含多种数据、TCP）—SDN 控制器—北向 API—控制应用

ICMP: 因特网控制报文协议。不传数据，用于调试网络（如 ping：echo，traceroute 将 TTL 设置为 1、2、3 来查询节点）。封装在 IP 报中传输。 SNMP：简单网络管理协议。由 Get（读）、Set（写）、Trap (报告) 构成

U6-链路层#

考点#

循环冗余码（CRC 计算）（第 6 章）： 练习点：模 2 除法计算余数。记得在原始数据 D 后面补 r 个 0（r 为生成多项式 G 的阶数）

知识点#

链路层：负责数据的点到点传输。由节点（电脑、服务器、主机）、链路（网线、Wifi 信号）、帧（数据包单位）组成。主要运行在网卡中。提供成帧（将数据报 Datagram 封装成帧 Frame）、链路接入、可靠交付、检错服务。从一个节点移动到另一个节点

检错技术：

奇偶校验
校验和：数据分段加起来并取反码，主要应用在传输层和网络层
循环冗余校验 CRC：D 是发送的数据，G 是生成多项式，r 是生成多项式的阶数（G 的位数-1.）在 D 后面补 r 个 0，模 2 除以 G 得到 R（模 2 下减法定义为异或），拼接 DR 并发送。接收端用 DR 除以 G，若余数非零则出错。传输层使用的 CRC 可在专用硬件上实现，链路层则使用校验和

多路访问协议：MAC 媒体访问控制协议：控制节点何时占有信道

信道划分协议：TDMA 分时，FDMA 分频，CDMA 码分
随机访问协议：
1. ALOHA：时分 ALOHA（时间被划分为等长的时隙，每个时隙传 1 帧，37%，需要时钟同步），纯 ALOHA（18%）
2. CSMA 载波侦听多路访问：先侦听，若忙则等待，空闲发送
3. CSMA/CD 带冲突检测：早期以太网的核心。先侦听后发送。发送时侦听，发现冲突立刻停止发送，发送 jam 信号，等待二进制指数后退算法：第 n 次等待 K x 512 比特时间，K 在 0-2ⁿ-1 中选一个数。最小帧长 64 字节，无确认机制
轮流 MAC 协议：轮询 polling ，使用令牌发送（蓝牙），没有冲突，时间慢，单点故障

局域网与寻址

MAC 地址：物理硬件的地址，在网卡 ROM 中。48 位，全球唯一。广播地址 12 个 F。世界上先有 MAC，再有 IP。MAC 扁平结构，IP 有层次。
ARP 地址解析协议：知道对方的 IP 地址，求对方的 MAC 地址。用于封装以太网帧。
- AB 在同一个子网：A 想要查看 IP B 的 MAC 地址，发现 A 本地 ARP 表没有 B。于是 A 广播 ARP 分组，目标的 MAC 为全 F。B 收到广播后单播回复 A，A 收到并存入 ARP 表。每个设备有 ARP 缓存
- AB 在不同子网：跨子网。A 的 ARP 不查 B，查默认网关的 MAC 地址，但 IP 仍然是 B 的 IP
以太网帧结构：[前导码 | 目的 MAC | 源 MAC | 类型 | 数据 | CRC]。前导码用于同步时钟。类型 2 字节指明高层协议是 ARP 还是 IP。CRC 是差错检测。无连接、不可靠，没有 ACK，错了直接扔掉。802.3 协议。最小帧长 64（避免冲突）

交换机

三种设备：集线器：物理层全员广播电信号。交换机：链路层维护 MAC 表（记录哪个设备是哪个端口）点对点传输，在局域网内部传帧。路由器：基于 IP 地址转发数据包，可以在局域网和广域网间传包。
自学习：从 x 端口接到源 MAC 是 A 的数据包，自动在表中把 A 的 MAC 与 x 端口绑定。
转发：若目标 MAC 在表里，单播转发到对应端口。目标 MAC 不在表里或广播帧，则泛洪。
VLAN 虚拟局域网：用软件划分交换机的端口形成局域网，隔离广播域。Trunk 干线连接交换机

U7-无线移动网络#

考点#

CDMA（码分多址）

知识点#

网络问题：信号衰减、干扰、隐藏终端、 WiFi (IEEE 802.11)：

局域网的组成单元是基本服务集 BSS：包括无线终端，无线接入点 AP（链路层）。每个无线接口都有唯一 MAC 地址。所有通信经过 AP 来实现
CSMA/CA 协议：侦听，等待 DIFS（分布式帧间间隔，较长）后发送。若信道忙，冻结倒计时，并选取随机回退值。（如果不使用信道预约机制）发送后接收方确认无误时，等待 SIFS （短帧间间隔，较短）发送 ACK 链路层确认。
RTS/CTS 信道预约机制：发送方发送 RTS，请求发送，广播要发送的时间。AP 广播 CTS 允许发送并让邻居闭嘴。其他节点收到 RTS/CTS 时
802.11 帧结构和地址：地址 1 接收端 MAC，地址 2 发送端 MAC，地址 3 网关 MAC。AP 收到无线帧后，会转成标准的 802.3 以太网帧发到有限网络上。
终端在子网中移动：切换 AP，更新交换机转发表
安全：802.11i，将 AP 与鉴权服务器 AS 分离，

字段	含义	手机 H1 发给 AP	AP 发给手机 H1
地址 1	接收者 (这一跳谁收)	AP 的 MAC	H1 的 MAC
地址 2	发送者 (这一跳谁发)	H1 的 MAC	AP 的 MAC
地址 3	路由器接口 (连接有线网的网关)	R1 的 MAC	R1 的 MAC
移动层管理：

归属网络、归属代理、外地网络、外地代理
间接的三角路由：通信者用永久 IP 发数据包，被归属代理截获，归属代理通过封装和隧道发给外地代理，外地代理发给移动节点，移动节点直接把数据发给通信者。

蜂窝网络架构：

eNodeB (基站)：处理无线电信号，管理资源分配。
MME (移动性管理实体)：控制平面的核心。负责用户鉴权、移动性管理（你在哪个小区）、设备状态追踪。
HSS (归属用户服务器)：数据库。存着你的 SIM 卡信息、余额、加密密钥等。
S-GW (服务网关) / P-GW (PDN 网关)：数据平面的路由器。P-GW 是连接外部因特网的网关，给你分配 IP 地址（NAT）。

U8-网络安全#

（AI 辅助整理）

考点#

知识点#

网络安全：数据机密性、完整性、端点鉴别（身份真实）、运行安全性（网络服务可用不受攻击）；被动攻击和主动攻击

密码学算法：

对称密钥加密：AES DES 3DES
非对称密钥加密：RSA

根据提供的资料，第八章“网络安全”是考试的重点章节，既包含理论概念（如安全四要素、攻击类型），也包含核心计算（RSA 算法）和具体协议的应用（SSL, IPsec, PGP）。

以下是基于你提供的试卷和教材内容的详细复习指南：

一、网络安全基础原理#

1. 安全通信的四大目标 这是单选题常考点，需明确区分：

机密性 (Confidentiality)：只有发送方和预定接收方能理解报文内容（防窃听）。
完整性 (Message Integrity)：确保报文在传输过程中未被篡改（防修改）。
端点鉴别 (End-point Authentication)：确认通信对端的身份真实可靠（防假冒）。
运行安全性 (Operational Security)：网络服务可用，防止 DoS 攻击等。

2. 攻击类型

被动攻击：试图获取信息但不影响系统资源。
- 例如：窃听 (Sniffing)、流量分析。
主动攻击：试图改变系统资源或影响操作。
- 伪装 (Masquerade)：冒充他人身份。
- 重放 (Replay)：截获数据包并在稍后重新发送（如重放口令或加密的凭证）。
- 报文修改：篡改、删除或插入报文。
- 拒绝服务 (DoS)：耗尽服务器资源使其无法提供服务。

二、核心算法与机制（重点）#

1. 密码学基础

对称密钥加密 (Symmetric Key)：
- 特点：加密和解密使用同一个密钥。
- 算法：DES（56 位密钥，已过时）、AES（目前标准）、3DES。
- 缺点：密钥分发困难。
- 应用：通常用于长报文的数据加密（因为效率高）。
公开密钥加密 (Public Key)：
- 特点：使用一对密钥（公钥 $K^+$ 和 私钥 $K^-$ ）。
- 规则：公钥加密需私钥解密；私钥加密（签名）需公钥解密。
- 缺点：计算量大，速度慢。
- 应用：通常用于密钥分发、数字签名。

2. RSA 算法计算（必考大题） 这是本章最重要的计算题，务必掌握求解步骤。

基本原理：
1. 选素数：选择两个大素数 $p, q$ 。
2. 计算 $n$ ： $n = p \times q$ 。
3. 计算 $z$ （欧拉函数）： $z = (p-1)(q-1)$ 。
4. 选公钥指数 $e$ ：要求 $e$ 与 $z$ 互质。
5. 求私钥指数 $d$ ：满足 $e \times d \equiv 1 \pmod z$ 。即 $(e \times d - 1)$ 能被 $z$ 整除。
6. 加密： $C = m^e \pmod n$ 。
7. 解密： $m = C^d \pmod n$ 。
真题案例 (2018 年试卷)：给定 $p=3, q=11$ 。
1. 求 $n, z$ ： $n = 33, z = (3-1)(11-1) = 20$ 。
2. 选 $e=3$ (与 20 互质)，求 $d$ ：需满足 $3d \mod 20 = 1$ 。因为 $3 \times 7 = 21$ ，故 $d=7$ 。
3. 加密 $m=9$ ： $C = 9^3 \mod 33 = 729 \mod 33 = 3$ 。

3. 完整性与数字签名

密码散列函数 (Hash)：将任意长度报文映射为固定长度摘要。
- 特性：单向性（无法反推）、抗碰撞性。
- 算法：MD5（128 位）、SHA-1（160 位）。
报文鉴别码 (MAC)：使用共享秘密密钥生成的散列值，用于认证来源和完整性。
数字签名 (Digital Signature)：
- 原理：发送方用私钥对报文摘要进行加密。接收方用发送方的公钥解密摘要并验证。
- 功能：提供鉴别（确认是谁发的）、完整性（确认没被改）、不可否认性（发送方无法抵赖）。
- 注意：MAC 不能提供不可否认性，因为密钥是共享的；数字签名可以。

4. 身份认证与公钥分发

重放攻击：攻击者拦截并重发旧的认证报文。
防御重放：使用不重数 (Nonce)，即生存期只使用一次的随机数。
中间人攻击：攻击者假冒通信双方。
数字证书 (Certification)：
- 由认证中心 (CA) 颁发。
- 作用：将实体身份（如域名、人名）与公钥绑定。
- 验证：使用 CA 的公钥验证证书上的签名，从而确认证书中包含的公钥是真实的。

三、安全协议（应用层到网络层）#

1. 安全电子邮件 (PGP)

机密性：使用一次性对称会话密钥加密邮件内容，然后用接收方的公钥加密该会话密钥。
完整性与鉴别：使用发送方的私钥对报文摘要进行签名。
过程：先签名（用私钥），后加密（用对称密钥），再加密对称密钥（用接收方公钥）。

2. 运输层安全 (SSL/TLS)

位置：位于应用层和传输层之间（对开发者像传输层，技术上像应用层）。
握手过程（简化版）：
1. 协商算法。
2. 服务器发送证书（含服务器公钥）。
3. 客户验证证书，生成预主密钥 (Pre-Master Secret)，用服务器公钥加密后发送。
4. 双方根据预主密钥生成会话密钥（用于后续对称加密）。

3. 网络层安全 (IPsec)

模式：
- 运输模式 (Transport Mode)：只加密载荷（上层数据），不加密 IP 头。
- 隧道模式 (Tunnel Mode)：加密整个原始 IP 数据报，并封装在一个新的 IP 数据报中（新 IP 头+ESP 头+加密的旧 IP 头和数据）。常用于 VPN。
协议：
- AH (鉴别首部)：提供源鉴别和完整性，不提供机密性（不加密）。
- ESP (封装安全载荷)：提供机密性、源鉴别和完整性。
安全关联 (SA)：单向逻辑连接，由 SPI 标识。

4. 无线网络安全 (802.11)

WEP：早期协议，存在严重漏洞（IV 重复使用，密钥流易被破解）。
802.11i (WPA2)：更安全，使用 EAP 协议和鉴别服务器（AS）进行相互鉴别，使用 AES 加密。

四、运行安全（防火墙）#

1. 包过滤防火墙 (Packet Filter)

无状态 (Stateless)：逐个检查数据包，根据 IP、端口、TCP 标志位（SYN/ACK）决定放行或丢弃。
有状态 (Stateful)：跟踪 TCP 连接状态。例如，如果一个入站数据包不属于任何已建立的连接（不在连接表中），则丢弃。

2. 应用程序网关

针对特定应用（如 Telnet, FTP），所有数据必须通过网关中继，安全性高但性能开销大。

五、复习总结（必背公式与考点）#

RSA 公式：
- $ed \equiv 1 \pmod{(p-1)(q-1)}$
- 加密： $m^e \pmod n$
- 解密： $c^d \pmod n$
密钥用途：
- 加密：用接收者的公钥。
- 签名：用发送者的私钥。
模式区分：
- IPsec 隧道模式：隐藏了内部 IP 地址，用于 VPN。
- SSL：提供基于套接字的安全，保护应用层数据（如 HTTPS）。
散列与摘要：MD5 (128 位), SHA-1 (160 位)。

这一章的复习重点在于RSA 的计算和各个层级安全协议（SSL, IPsec, PGP）的工作原理及区别。

Mirawind's Blog

U4-数据平面#

考点#

知识点#

U5-控制平面#

考点#

知识点#

U6-链路层#

考点#

知识点#

U7-无线移动网络#

考点#

知识点#

U8-网络安全#

考点#

知识点#

一、网络安全基础原理#

二、核心算法与机制（重点）#

三、安全协议（应用层到网络层）#

四、运行安全（防火墙）#

五、复习总结（必背公式与考点）#