月度归档: 2014 年 8 月

网工 错题整理01

1、AI芯片架构

AI 芯片架构是专门为人工智能应用设计的硬件架构。

常见的 AI 芯片架构包括以下几种类型:

  1. 通用图形处理单元(GPGPU)架构:基于传统的图形处理单元进行优化,具有大量的并行计算核心,适用于大规模数据的并行处理。
  2. 张量处理单元(TPU)架构:专为深度学习中的张量运算而设计,具有高效的矩阵乘法单元和低功耗的特点。
  3. 现场可编程门阵列(FPGA)架构:具有可编程性,可根据具体的应用需求进行灵活配置。
  4. 专用集成电路(ASIC)架构:为特定的人工智能任务定制设计,具有高性能和低功耗的优势,但开发成本较高。

2、数据库模式

在数据库领域,数据库的模式(Schema)是指数据库中数据的结构化定义,它定义了数据库中各种对象的组织方式,包括表、视图、索引、键、数据类型等。模式可以分为三个主要层次:外模式(External Schema)、概念模式(Conceptual Schema)和内模式(Internal Schema)。这三个层次共同构成了数据库的三级模式体系结构。

  1. 外模式(External Schema)
    • 定义:外模式也称为子模式或用户模式,它是用户看到的数据视图。每个用户或应用程序可能有自己的外模式,它定义了用户可以访问的那些数据的结构。
    • 特点:外模式是数据库用户视图的局部逻辑结构,可以对应一个或多个表的部分内容。
    • 用途:外模式用于简化用户的操作,让用户不必关心数据库的整体结构,只需要知道如何使用自己的数据。
  2. 概念模式(Conceptual Schema)
    • 定义:概念模式也称为逻辑模式,它是数据库中全部数据的全局逻辑视图。它定义了数据库中所有数据的逻辑结构、数据类型、数据之间的关系等。
    • 特点:概念模式描述了数据库的整体结构,是所有外模式的集合。
    • 用途:概念模式用于确保数据的一致性和完整性,是数据库管理员(DBA)的主要关注点。
  3. 内模式(Internal Schema)
    • 定义:内模式也称为物理模式或存储模式,它描述了数据在物理存储介质上的存储方式,包括存储结构、存储方法、存取路径等。
    • 特点:内模式涉及数据的实际物理存储细节,如数据块的大小、存储位置、索引类型等。
    • 用途:内模式主要用于优化数据存储和检索,提高数据访问效率,通常由数据库管理系统(DBMS)自动管理。

三级模式体系结构的作用

  • 数据独立性:三级模式体系结构的设计目的是为了实现数据独立性,即数据的物理结构变化不会影响逻辑结构,逻辑结构的变化也不会影响用户视图。
  • 简化用户操作:通过外模式,用户只需关注自己关心的数据部分,而无需了解整个数据库的复杂结构。
  • 增强数据一致性:概念模式确保数据的一致性和完整性,防止数据冗余和异常。

这些模式之间的映射关系(外模式到概念模式、概念模式到内模式)是由数据库管理系统(DBMS)维护的,用户通常不需要直接操作这些映射。

3、鸿蒙操作系统

鸿蒙操作系统是基于 Lnux 系统来开发操作系统的。两大好处在于一是可以很好地兼安卓系统的 APP,毕竟安卓系统是基于 Linu 系统来进行开发的。另一方面鸿蒙是一个集计算机,手机,汽车等设备于 一体的大一统的系统。鸿蒙系统道从分层设计,从下向上依次为内核层,系统服务层,框架层和应用层 内核层 内核层由鸿蒙微内核,Linux 内核,LiteOS 组成,未来将发展为完全的鸿微内核架构。采用多内核设计,支持针对不同资源受设备选用不同的 OS 内核。 系统服务层 是鸿蒙的核心能力集合,通过框架层对应用程序提供服务。它是系统基本能力子系统集,基础软件服务子系统集,增强软件服务子系统集,硬件服务子系统集。 框架层 应用程序提供了 JavaCC++ JS 等多语言的用户程序框架和 Abity 框架 应用层 应用层包括系统应用和第三方非系统应用。鸿蒙的应用由一个多个 FA (Feature Abilit) PA (Particle blity。其中 FA 有界面,其供与用户交互的能力,而PA则无界面,提供后代运行任务 的能力及统一的数据访问抽象

4、软件著作权

自软件开发完成之日起,著作权就完成就产生了。所以享有著作的时间是作品完成时。作品完成后如会发表、发布,么这个时间就是发表日期。但是如果去版权登记机构登记,那么取得版权登 证书的时间就是证书发证日期。

5、存储器

RAM(随机存储器)的种类主要有以下两种:

  1. 静态随机存储器(SRAM):
    • 速度快,不需要刷新电路就能保存数据。
    • 集成度较低,功耗较大,成本较高。
    • 常用于高速缓存(Cache)。
  2. 动态随机存储器(DRAM):
    • 集成度高,功耗较低,成本相对较低。
    • 需要定时刷新电路来保持数据。
    • 是计算机主存的常用类型。

ROM(只读存储器)的种类主要包括:

  1. 掩膜 ROM:
    • 由生产厂家在制造时写入信息,用户无法更改。
  2. 可编程只读存储器(PROM):
    • 用户可以一次性写入信息,但写入后无法修改。
  3. 可擦除可编程只读存储器(EPROM):
    • 可以用紫外线擦除信息,然后重新编程。
  4. 电可擦除可编程只读存储器(EEPROM):
    • 可以通过电信号进行擦除和重新编程。

6、文件类型

在操作系统中,不同的文件类型对于系统的稳定性和数据完整性有着不同的影响。当系统在写回磁盘的过程中突然掉电,不同类型的文件受到影响的程度也会有所不同。下面是对选项A到D的分析:

A. 目录(Directory)

  • 影响程度:高
  • 原因:目录包含了文件系统的结构信息,包括文件的位置、权限等元数据。如果在更新目录时系统掉电,可能会导致文件系统结构混乱,进而影响到文件的访问和管理。例如,一个文件可能被标记为不存在,或者两个文件可能被错误地认为位于同一位置。

B. 空闲块(Free Blocks)

  • 影响程度:较低
  • 原因:空闲块记录的是未被使用的磁盘空间。虽然空闲块的信息对于磁盘空间管理很重要,但如果在更新空闲块列表时掉电,可以通过文件系统的检查和修复工具来恢复这些信息,不会导致数据丢失。

C. 用户程序(User Program)

  • 影响程度:低
  • 原因:用户程序通常是可执行文件,一旦安装完成就很少改变。即使在更新用户程序时掉电,最坏的情况也只是该程序损坏,可以通过重新安装来解决,不会影响其他部分的系统功能。

D. 用户数据(User Data)

  • 影响程度:较高
  • 原因:用户数据是指用户创建的文件和数据,如文档、图片等。虽然用户数据的丢失或损坏会影响用户的体验,但通常可以通过备份和恢复机制来减轻这种影响。对于单个用户来说,这可能是一个严重的损失,但对于整个系统的稳定性来说,影响相对较小。

7、编译器和解释器

编译器和解释器都是编程语言处理程序,它们的主要作用是将程序员编写的源代码转换成计算机可以直接执行的形式。尽管它们的目标相似,但在工作方式上存在显著差异。下面是编译器和解释器的主要特点:

编译器 (Compiler)

  1. 一次性转换
    • 编译器将整个源代码一次性转换成目标代码(通常是机器代码或字节码),然后再执行。
    • 编译过程通常发生在程序运行之前。
  2. 生成可执行文件
    • 编译器通常会生成一个可执行文件或库文件,可以直接在目标平台上运行,无需额外的编译步骤。
  3. 执行速度
    • 由于编译后的代码通常是针对特定硬件优化过的机器码,因此执行速度较快。
  4. 错误检测
    • 编译器会在编译过程中检测语法错误和类型错误,并在编译阶段给出错误信息。
  5. 独立执行
    • 编译后的程序可以独立运行,不需要编译器本身的支持。

可移植性

  • 平台相关性
    • 编译后的代码通常是针对特定架构(例如 x86 或 ARM)的,这意味着如果要在不同的硬件平台上运行,可能需要重新编译。
    • 不同的操作系统也可能需要不同的编译选项或库文件。
  • 跨平台编译
    • 有些编译器支持交叉编译,即在一个平台上编译出另一个平台的可执行文件。
    • 使用像 LLVM 这样的工具链可以提高代码的可移植性,因为它可以在多种平台上生成代码。

解释器 (Interpreter)

  1. 逐行解释
    • 解释器直接读取源代码,并逐行解释执行,而不是先将其转换成目标代码。
    • 解释过程与程序的执行过程同步进行。
  2. 动态执行
    • 解释器允许程序在运行时动态修改和扩展,适用于需要频繁更改代码的场合。
  3. 执行速度
    • 由于解释器在运行时逐行解释代码,因此执行速度通常比编译后的程序慢。
  4. 错误检测
    • 解释器在执行代码时会检测错误,因此错误通常在运行时出现。
  5. 依赖解释器
    • 使用解释器的语言需要解释器在目标系统上可用才能运行。

示例

  • 编译型语言:C, C++, Rust
  • 解释型语言:Python, Ruby, JavaScript (在浏览器中通常由JavaScript引擎解释执行)

总结

  • 编译器:一次性将源代码转换为目标代码,生成可执行文件,执行速度快,适合大型项目或对性能要求较高的应用。
  • 解释器:逐行解释源代码,适合快速开发和测试,便于调试和修改,适合脚本语言或小型项目。

可移植性

  • 平台无关性
    • 解释器通常不关心底层硬件细节,这使得源代码更容易在不同平台上运行,只要目标平台上安装了解释器即可。
    • 源代码可以几乎不变地在多个操作系统和架构之间移植。
  • 即时编译 (JIT)
    • 许多现代解释器采用 JIT 编译技术,在运行时将代码编译成本地机器码,这可以提高执行效率同时保持良好的可移植性。

8、光纤损耗计算(以多少千米每分贝计算)

光纤信号经 10km 线路传输后光功率下降到输入功率的 50%, 只考虑光纤线路的衰减,则该光纤的损耗系数为

首先,光功率下降到输入功率的 50%,即衰减了 50%。

根据损耗系数的定义:损耗系数 = -(10×lg(输出功率 / 输入功率))÷ 传输距离

已知传输距离为 10km,输出功率为输入功率的 50%,即 0.5 倍输入功率。

光损耗系数 = -(10×lg(0.5))÷ 10 ≈ 0.3 dB/km

光纤通信中的损耗系统计算通常涉及几个关键因素,包括光纤本身的损耗、连接器损耗、接头损耗以及弯曲损耗等。这些因素共同决定了信号从发送端到接收端的整体损耗水平。

光纤损耗系统的计算公式

计算示例

假设您有一段长度为 10km 的单模光纤,光纤本身的损耗为 0.2 dB/km;两端各有一个连接器,每个连接器的损耗为 0.5 dB;中间有一个接头,其损耗为 0.1 dB;光纤的弯曲损耗为 0.2 dB(假设在整个链路中有轻微的弯曲)。

则总损耗 Ltotal可以这样计算:

Ltotal=(10×0.2)+(2×0.5)+0.1+0.2=2+1+0.1+0.2=3.3 dB

这意味着从发送端到接收端的总损耗为 3.3 dB。

https://www.tfngw.com/portal/news/detail.html?id=67

网工 错题整理04

RTO和RPO

关于灾难恢复指标RTO和RPO的说法正确的是(请答此空)。双活数据中心中,RTO和RPO的值趋近于()。

A. RPO越小投资越小

B. RTO越小投资越小

C. RPO越大投资越大

D. RTO越小投资越大

所谓 RTO,Recovery Time Objective(恢复目标时间),它是指灾难发生后,从 IT 系统当机导致业务停顿之时开始,到 IT 系统恢复至可以支持各部门运作、恢复运营之时,此两点之间的时间段称为 RTO。所谓 RPO,Recovery Point Objective,(恢复目标点)是指从系统和应用数据而言,要实现能够恢复至可以支持各部门业务运作,系统及生产数据应恢复到怎样的更新程度。这种更新程度可以是上一周的备份数据,也可以是上一次交易的实时数据。

RPO和RTO越小,投资将越大。双活数据中心中,RTO和RPO的值趋近于0。

机柜高度

网络机柜的高度一般是24U ,如果设备为6-10U 一般可以装2台

生产某种产品有两个建厂方案。(1)建大厂:需要初 期投资500万元。如果产品销路好,每年可以获利200万 元;如果销路不好,7每年会亏损20万元。(2)建小厂, 需要初期投资200万元。如果产品销路好,每年可以获利 100万元;如果销路不好,每年只能获利20万元。 市场调研表明,未来2年,这种产品销路好的概率为70%。 如果这2年销路好,则后续5年销路好的概率上升为80%;如果这2年销路不好,则后续5年销路好的概率仅为10%。 为取得7年最大总收益,决策者应( )。

网工 网络安全设备

网闸、防火墙、IDS、IPS、WAF、上网行为管理、漏洞扫描设备

网闸

主要应用理电子政务网,在政务内网和政务外网之间用物理隔离,政务外网和因特网之间可以是逻辑隔离。

网闸(Network Security Gateway)中的“分时连接”是一种特殊的连接机制,用于在不同的网络之间进行数据传输时增加额外的安全层。这种机制通常用于确保数据的安全性和完整性,尤其是在需要严格控制数据流动的情况下。

隔离网闸原理是基于“代理+摆渡”的概念。摆渡的思想是内外网隔分开时对网闸中的存储设备写入和读出,间接实现信息交换,内外网之间不能建立网络连接,以保证内外网不能通过网络协议互相访问。网闸的代理功能是数据的“拆卸”,把数据还原成原始的部分,拆除各种通信协议添加的“包头包尾”,在内外网之间传递净数据。

网闸的主要实现技术包括实时开关技术和单向连接技术。

实时开关的原理是使硬件直接连接两个网络,两个网络之间通过硬件开关来保证同时连通。通过开关的快速切换,并剥去TCP报头,通过不可路由的数据转存池来实现数据转发。

单向连接是指数据只能从一个网络单向到另外一个网络摆渡数据,两个网络是完全断开的。单向连接实际上通过硬件实现一条“只读”的单向传输通道来保证安全隔离。

网络开关技术是将一台机器虚拟成两套设备,通过开关来确保两套设备不连通,同一时刻最多只有一个虚拟机是激活的。

分时连接的工作原理

  1. 物理隔离
    • 网闸在物理上将两个网络隔离开来,不允许直接的数据连接。这意味着没有任何网络线缆直接连接两个网络。
  2. 数据断点
    • 数据传输不是连续的,而是通过分时的方式进行。这意味着数据包需要在网闸的一侧被接收、存储,然后在适当的时候传输到另一侧。
  3. 数据审查
    • 在数据从一侧传输到另一侧之前,网闸会对数据进行深度检查,包括内容过滤、格式验证、病毒扫描等。
    • 只有经过验证的数据才会被允许传输到另一侧。
  4. 数据转换
    • 网闸还可以在数据传输过程中进行必要的转换,例如将数据从一种格式转换为另一种格式,或者对数据进行加密。
  5. 分时机制
    • 数据传输的时间窗口被精确控制,确保数据包只能在特定的时间段内从一侧传输到另一侧。
    • 例如,数据包可能只在特定的时段内被允许从一侧传递到另一侧,而在这段时间之外,两侧的网络是完全隔离的。

分时连接的好处

  1. 增强安全性
    • 分时连接减少了攻击者利用网络连接进行攻击的机会。
    • 由于数据传输是分时进行的,攻击者很难实时地利用数据传输过程中的漏洞。
  2. 防止数据泄露
    • 通过深度检查和过滤,可以防止敏感数据的意外或非法泄露。
  3. 合规性
    • 在需要遵循严格数据保护法规的行业中,分时连接可以帮助组织满足合规性要求。
  4. 减少误报
    • 由于数据传输是经过严格审查的,因此减少了误报的可能性。

应用场景

  • 政府机构
    • 需要严格控制数据流动的政府机构,如军事、情报部门等。
  • 金融机构
    • 需要确保金融数据安全的银行、证券交易所等。
  • 医疗保健
    • 需要保护患者隐私和个人健康信息的医疗机构。
  • 科学研究
    • 需要保护知识产权和研究数据的科研机构。

总结

分时连接是网闸中一种用于增强数据传输安全性的机制。通过物理隔离、数据审查和精确控制数据传输时间等方式,它能够提供比传统防火墙更高水平的安全保障。这种机制特别适用于需要极高安全性的网络环境中,以确保数据的安全传输。

防火墙

逻辑隔离设备,保护内部网络不受攻击 ,一般部署于网络的边界。

包过滤防火墙、应用代理防火墙、状态检测防火墙

包过滤防火墙不检查应用层数据 、效率高安全性低。

防火墙的部署模式

直连部署、旁路部署、透明部署

注意大多情况下防火墙以直路方式连接到网络环境中,与直路部署方式相比,防火墙旁挂部署的优点主要在于:

  1. 可以在不改变现有网络物理拓扑的情况下,将防火墙部署到网络中。
  2. 可以有选择地将通过汇聚交换机的流量引导到防火墙上,即对需要进行安全检测的流量引导到防火墙上进行处理,对不需要进行安全检测的流量直接通过汇聚交换机转发到核心交换机。

漏洞扫描系统的好处:

  1. 提高安全性:帮助企业或组织及时发现潜在威胁、修复已知的漏洞、提高系统的整体安全性。
  2. 提升响应速度:一旦新漏洞被公开或者新的补丁发布时,快速响应对于防止攻击至关重要。漏洞扫描器可以帮助迅速定位受影响的系统和服务。
  3. 自动化检测:减少人为干预、提高了效率
  4. 减少损失、节省成本:预防性的投资安全措施往往比发生安全事故后补救措施更加经济高效、避免财务损失、声誉损害。

IDS/IPS

为了能检测到企业网络中的内网服务器区域的网络攻击行为,提高内部网络的安全性,需要在内网服务器区添加(1)设备,该设备适合采用旁路形式接入网络中。 为了进一步提高总部网络安全性,对识别到的网络攻击行为进行阻断,应该采用(2)设备串接在防火墙后。简述这两种设备最大的区别。

网工 IPV6

https://info.support.huawei.com/info-finder/encyclopedia/zh/IPv6.html

什么是IPv6地址?

IPv6地址由网络前缀和接口标识两个部分组成。网络前缀有n位,相当于IPv4地址中的网络ID;接口标识有(128-n)比特,相当于IPv4地址中的主机ID。

地址2001:A304:6101:1::E0:F726:4E58的构成示意图

IPv6地址长度为128位,表示为”X:X:X:X:X:X:X:X”, 每个X代表4个十六进制值字符,以冒号分隔,一共被分为8组。为了书写方便,例如,IPv6地址:FC00:0000:130F:0000:0000:09C0:876A:130B,还可以写为缩略形式:每组中的前导“0”都可以省略,可写为:FC00:0:130F:0:0:9C0:876A:130B。如果地址中包含连续两个或多个均为0的组,可以用双冒号“::”来代替,进一步简写为:FC00:0:130F::9C0:876A:130B。

但是,由于无法在短时间内将网络中的全部系统从IPv4升级到IPv6。最有效的过渡方案便是IPv6地址支持内嵌IPv4地址。原先的IPv4地址由32位二进制数值组成,但为了便于识别和记忆,采用了”点分十进制表示法”。表示为”d. d. d. d”,其中每一个d代表一个十进制整数, 以点分号分隔,一共有4个整数。现在,IPv4地址转变为了一种特殊形式的IPv6地址:”X:X:X:X:X:X:d.d.d.d” , 其中”X:X:X:X:X:X”的前80位设为0,后16位设为1,然后再跟IPv4地址。例如,IPv4地址是192.168.0.1,那么嵌入在IPv6协议中呈现的地址为 ::FFFF:192.168.0.1。

需要注意的是,在一个IPv6地址中只能使用一次双冒号“::”,否则当计算机将压缩后的地址恢复成128位时,无法确定每个“::”代表0的个数。

接口标识可通过三种方法生成:手工配置、系统通过软件自动生成或IEEE EUI-64规范生成。其中,EUI-64规范自动生成最为常用

将接口的MAC地址转换为IPv6接口标识的过程。这种由MAC地址产生IPv6地址接口标识的方法可以减少配置的工作量,尤其是当采用无状态地址自动配置时,只需要获取一个IPv6前缀就可以与接口标识形成IPv6地址。

IPV6 地址的分类

IPv6地址分为单播地址、任播地址(Anycast Address)、组播地址三种类型。和IPv4相比,取消了广播地址类型,以更丰富的组播地址代替,同时增加了任播地址类型。

IPV6单播地址

IPv6定义了多种单播地址,目前常用的单播地址有:未指定地址、环回地址、全球单播地址、链路本地地址、唯一本地地址ULA(Unique Local Address)。

  • 1、未指定地址IPv6中的未指定地址即 0:0:0:0:0:0:0:0/128 或者::/128。该地址可以表示某个接口或者节点还没有IP地址,可以作为某些报文的源IP地址(例如在NS报文的重复地址检测中会出现)。源IP地址是::的报文不会被路由设备转发。
  • 2、环回地址IPv6中的环回地址即 0:0:0:0:0:0:0:1/128 或者::1/128。环回与IPv4中的127.0.0.1作用相同,主要用于设备给自己发送报文。该地址通常用来作为一个虚接口的地址(如Loopback接口)。实际发送的数据包中不能使用环回地址作为源IP地址或者目的IP地址
  • 3、全球单播地址是带有全球单播前缀的IPv6地址,其作用类似于IPv4中的公网地址。这种类型的地址允许路由前缀的聚合,从而限制了全球路由表项的数量。全球单播地址由全球路由前缀(Global routing prefix)、子网ID(Subnet ID)和接口标识(Interface ID)组成,

有0010 0011 转换成16进制 就是2 或者3

4、链路本地地址是IPv6中的应用范围受限制的地址类型,只能在连接到同一本地链路的节点之间使用。它使用了特定的本地链路前缀FE80::/10(最高10位值为1111111010),同时将接口标识添加在后面作为地址的低64比特。

当一个节点启动IPv6协议栈时,启动时节点的每个接口会自动配置一个链路本地地址(其固定的前缀+EUI-64规则形成的接口标识)。这种机制使得两个连接到同一链路的IPv6节点不需要做任何配置就可以通信。所以链路本地地址广泛应用于邻居发现,无状态地址配置等应用。

以链路本地地址为源地址或目的地址的 IPv6 报文不会被路由设备转发到其他链路。

5、唯一本地地址:唯一本地地址的作用类似于IPv4中的私网地址,任何没有申请到提供商分配的全球单播地址的组织机构都可以使用唯一本地地址。唯一本地地址只能在本地网络内部被路由转发而不会在全球网络中被路由转发。

6、唯一的本地 IPv6 单播地址(ULA,Unique Local IPv6 Unicast Address)
在 RFC4193 中标准化了一种用来在本地通信中取代单播站点本地地址的地址。ULA 拥有固定前缀 FD00:/8,后面跟一个被称为全局 ID 的 40bit 随机标识符。

IPv6组播地址

IPv6的组播与IPv4相同,用来标识一组接口,一般这些接口属于不同的节点

FF00::/8 为前缀

IPv6任播地址

IPv6任播地址仅可以被分配给路由设备,不能应用于主机。任播地址不能作为IPv6报文的源地址。

IPv6 报文结构

基本首部和扩展首部

示例:2001:0db8:0000:0000:0000:0:02:8329 。
为方便起见,可以通过应用以下规则将 IPv6 地址缩写为较短的符号。
从任何十六进制数字组中删除一个或多个前导零;通常对全部或全部前导零进行此操作。例如,组 0042 被转换为 42 。
零的连续部分用双冒号(:)替换。双冒号只能在地址中使用一次,因为多次使用会使地址不确定。
例子:
地址:2001:0db8:0000:0000:0000:0000:2:8329
删除每组中的所有前导零后:2001:db8:0:0:0:f100:42:8329
省略连续的零部分后:2001:db8:: ff0:42:8329

IPv6中的扩展首部

IPv6协议明确支持扩展首部的概念,这些扩展首部被放置在IPv6基本首部之后,并且在需要时可以添加多个扩展首部。IPv6扩展首部的使用更加灵活和强大。

在 IPv6 首部中有一个“下一头部”字段,若 IPv6 分组没有扩展首部,则其“下一头部”字段中的值为 TCP 或 UDP,

这是因为在没有扩展首部的情况下,IPv6 分组通常承载的是上层协议的数据,如 TCP 或 UDP 。

例如,如果 IPv6 分组承载的是 Web 页面请求的数据,那么“下一头部”字段的值可能就是 TCP;如果是实时音频流数据,可能就是 UDP 。

IPv6扩展首部类型

IPv6扩展首部包括但不限于以下几种:

  1. 逐跳选项首部 (Hop-by-Hop Options Header)
    • 该首部包含适用于数据包经过的所有节点的信息。
    • 用于实现特定的功能,如调试、测量、认证等。
    • 逐跳选项首部必须紧接在IPv6基本首部之后。
  2. 目的地选项首部 (Destination Options Header)
    • 该首部包含仅适用于最终目的地节点的信息。
    • 可以用于传输到达目的地之前的特定信息,如认证数据等。
    • 可以在数据包的开始位置或结束位置出现,取决于其作用域。
  3. 路由首部 (Routing Header)
    • 该首部允许数据包沿着指定的路径传输,而不是通过正常的路由机制。
    • 可以用于实现源路由或中间节点路由。
    • 路由首部可以出现在IPv6基本首部之后,也可以放在目的地选项首部之后。
  4. 分段首部 (Fragment Header)
    • 该首部用于分割大的IPv6数据包以适应较小的MTU(最大传输单元)。
    • 包含分割后的数据包的标识符和偏移量等信息。
  5. 认证首部 (Authentication Header, AH)
    • 用于提供数据包完整性和数据源认证。
    • 可以提供无连接完整性保护、数据来源验证和防重放攻击。
  6. 封装安全负载首部 (Encapsulating Security Payload, ESP)
    • 用于提供数据包的加密和完整性保护。
    • 可以用于实现IPSec(Internet Protocol Security)。
  7. 流标签首部 (Flow Label)
    • 用于标识属于同一流的数据包。
    • 可以用于提供QoS(Quality of Service)保证。

扩展首部的顺序

IPv6扩展首部的顺序很重要,因为它们决定了数据包如何被处理。通常的顺序如下:

  1. IPv6基本首部
  2. 逐跳选项首部(如果存在)
  3. 路由首部(如果存在)
  4. 目的地选项首部(如果存在)
  5. 分段首部(如果存在)
  6. 认证首部(如果使用AH)
  7. 封装安全负载首部(如果使用ESP)
  8. 上层协议首部(如TCP或UDP)

Global routing prefix:全球路由前缀。由提供商(Provider)指定给一个组织机构,通常全球路由前缀至少为 48 位。目前已经分配的全球路由前缀的前 3bit 均为 001。

Subnet ID:子网 ID。组织机构可以用子网 ID 来构建本地网络(Site)。子网 ID 通常最多分配到第 64 位。子网 ID 和 IPv4 中的子网号作用相似。

Interface ID:接口标识。用来标识一个设备(Hos)。

IPv6相对IPv4的优势主要包括以下几点:

  1. 更大的地址空间
    • IPv4使用32位地址,理论上可以提供约43亿个唯一IP地址。
    • IPv6采用128位地址格式,提供了大约3.4×10^38个地址,几乎是一个无限的地址空间。这解决了IPv4地址耗尽的问题,并为未来互联网的发展预留了足够的地址资源。
  2. 改进的安全性
    • IPv6在设计时就内置了对IPSec(Internet Protocol Security)的支持,这是一种网络层安全协议,用于保证数据传输的安全性和完整性。虽然IPv4也可以通过额外配置支持IPSec,但在IPv6中它是标准的一部分。
  3. 更好的头部结构
    • IPv6的包头比IPv4更简单且固定长度,减少了处理开销并提高了路由器的转发效率。
    • IPv6取消了IPv4中的某些字段,如校验和,这些功能现在由上层协议来实现,从而简化了包头处理。
  4. 无状态地址自动配置(SLAAC)
    • IPv6设备可以通过邻居发现协议(NDP)自动配置自己的IP地址和其他参数,而不需要DHCP服务器或其他手动配置。这简化了网络管理,并促进了即插即用能力。
  5. 移动性支持
    • IPv6原生支持移动IPv6(MIPv6),它允许节点在不同网络间移动时保持连接不中断,这对于无线设备尤其重要。
  6. 增强的多播支持
    • IPv6多播机制更加高效,定义了更多的多播地址范围,支持“范围”和“标志”,使得多播应用更为广泛且易于部署。
  7. 简化的分片机制
    • 在IPv6中,只有源主机负责执行分片,中间路由器不再需要进行分片操作。这减少了路由过程中的复杂性,提高了效率。
  8. 服务质量(QoS)
    • IPv6提供了流量类别和流标签字段,可以帮助区分不同类型的数据流,为实时应用(如语音和视频)提供优先级服务。
  9. 无需NAT(网络地址转换)
    • 由于IPv6拥有庞大的地址空间,通常不再需要NAT来扩展私有网络到公共互联网的连接,从而避免了与NAT相关的复杂性和潜在性能问题。

网工 PGP、PKI

PGP (Pretty Good Privacy) 是一种广泛使用的加密协议,用于保护电子邮件和文件的隐私和完整性。PGP 结合了对称加密、非对称加密、哈希函数和数字签名技术,提供了一个全面的加密解决方案。下面是对 PGP 安全协议的详细介绍:

PGP 的核心组件

PGP 主要由以下几个组件组成:

  1. 非对称加密:用于密钥交换和数字签名。
  2. 对称加密:用于加密实际的消息内容。
  3. 哈希函数:用于生成消息摘要,以确保消息的完整性。
  4. 数字签名:用于验证消息的来源和完整性。
  5. 密钥管理:用于管理公钥和私钥。

PGP 的工作流程

PGP 的工作流程可以分为以下几个步骤:

  1. 生成密钥对
    • 用户生成一对公钥和私钥,公钥可以公开分享,私钥则需要保密。
  2. 消息加密
    • 发送方使用接收方的公钥加密一个随机生成的对称密钥。
    • 发送方使用对称密钥加密消息内容。
    • 结果是一个“数字信封”,其中包含了加密过的对称密钥和加密过的消息。
  3. 数字签名
    • 发送方使用哈希函数对消息进行摘要。
    • 发送方使用自己的私钥对消息摘要进行加密,生成数字签名。
    • 发送方将消息、加密过的对称密钥和数字签名一起发送给接收方。
  4. 消息验证与解密
    • 接收方使用发送方的公钥验证数字签名,确认消息的完整性和来源。
    • 接收方使用自己的私钥解密“数字信封”中的对称密钥。
    • 接收方使用解密后的对称密钥解密消息内容。

PGP 的特点

  • 灵活性:PGP 支持多种加密算法,用户可以根据需要选择不同的算法。
  • 可扩展性:PGP 可以与其他应用程序集成,如电子邮件客户端。
  • 数字签名:提供了一种验证消息来源和完整性的方法。
  • 密钥管理:提供了密钥的生成、分发、撤销和更新机制。
  • 加密强度:使用了强大的加密算法,如RSA、AES等,以确保数据的安全。

示例步骤

假设Alice想要向Bob发送一封加密的电子邮件。

  1. 生成密钥对
    • Alice和Bob各自生成一对公钥和私钥。
  2. 加密过程
    • Alice使用Bob的公钥加密一个随机生成的对称密钥。
    • Alice使用这个对称密钥加密电子邮件内容。
    • Alice使用自己的私钥对电子邮件的摘要进行加密,生成数字签名。
  3. 发送
    • Alice将加密过的对称密钥、加密过的邮件内容和数字签名一起发送给Bob。
  4. 解密过程
    • Bob使用Alice的公钥验证数字签名。
    • Bob使用自己的私钥解密加密过的对称密钥。
    • Bob使用解密后的对称密钥解密邮件内容。

PKI 公钥基础设施

RA 为注册机构审核用户的资格,减轻CA的负担,可以和CA在同一设备上、CA为认证中心、用户不会和CA打交道,

公钥基础设施(Public Key Infrastructure,简称PKI)是一种用于管理和验证数字证书的技术框架,它在网络安全领域扮演着至关重要的角色。PKI的主要作用包括:

  1. 身份验证
    • PKI通过数字证书来验证实体的身份,确保通信双方能够准确识别对方的真实身份。
    • 数字证书是由可信的第三方机构(证书颁发机构,CA)签发的,这些证书包含公钥和其他相关信息,如有效期、所有者的名称等。
  2. 加密和解密
    • PKI利用非对称加密算法,通过公钥和私钥配对实现数据的加密和解密。
    • 发送方使用接收方的公钥加密数据,接收方使用自己的私钥解密数据,保证了传输过程中的数据机密性。
  3. 数据完整性
    • PKI支持数字签名技术,可以确保数据在传输过程中不被篡改。
    • 发送方使用自己的私钥对数据进行签名,接收方使用发送方的公钥验证签名,以确认数据的完整性和来源的真实性。
  4. 不可否认性
    • 通过数字签名,PKI可以提供不可否认性,确保发送方不能否认自己发送的消息。
    • 这种特性对于许多交易和法律文件的电子化至关重要。
  5. 密钥管理
    • PKI提供了一套完整的密钥生命周期管理方案,包括密钥的生成、分发、存储、撤销和销毁等。
    • 这有助于确保密钥的安全性和有效性,减少因密钥管理不当而导致的安全风险。
  6. 信任模型
    • PKI建立了一个信任模型,其中证书颁发机构(CA)扮演着核心角色,负责验证实体的身份并颁发数字证书。
    • 用户可以通过信任根CA来信任由该CA签发的证书,从而建立起整个信任链。
  7. 证书管理
    • PKI还涉及证书的管理,包括证书的发布、吊销、更新和撤销列表(Certificate Revocation List, CRL)的维护等。
    • 这些功能确保了即使证书丢失或被窃取,也可以及时撤销以防止进一步的安全威胁。

总结起来,PKI是一种综合性的安全解决方案,它通过一系列技术和协议确保了网络通信的安全性、可靠性和隐私性。在电子商务、在线支付、电子邮件加密等领域,PKI的应用极为广泛。