声明:基于
教材/202605-5.计算机网络.pdf与 软考高级 · 系统架构设计师「计算机网络」知识域整理,便于检索与二次编辑;修订时请仍以该书与近年真题为准。
计算机网络:从分层到安全——架构师备考技术笔记
副标题(SEO):系统架构设计师 / 软考高级 / OSI与TCP·IP / 子网 / TCP·UDP / DNS·DHCP / 防火墙·VPN
推荐标签:架构师 软考 系统架构设计师 计算机网络 TCP/IP 网络安全
TL;DR
- 分层:端到端找传输层,选路与逻辑寻址找网络层,帧与 MAC 找数据链路层。
- 子网:先分清要的是子网数量还是主机数量;别忘了网络地址/广播地址占坑。
- TCP vs UDP:可靠完整 vs 低延迟轻量;握手解决序号同步与旧连接问题。
- 应用协议:DNS 解析、DHCP 分配、HTTP(S) Web;HTTPS = HTTP + TLS(概念层理解即可)。
- 安全:防火墙控边界,VPN 做隧道,哈希验完整性,加密保机密,证书绑身份。
目录
- TL;DR
- 一、模型与分层
- 二、网络层与 IP 子网
- 三、传输层 TCP/UDP
- 四、应用层常见协议
- 五、网络设备与拓扑(架构表达)
- 六、网络安全基础
- 七、架构案例可用的「网络段落」模板
- 八、伪代码与直观示例
- 九、易错点与自检
- 十、扩展阅读
一、模型与分层
1.1 OSI 参考模型
| 层级 | 核心问题(工程师视角) |
|---|---|
| 物理层 | 比特传输、电气与机械特性 |
| 数据链路层 | 帧定界、MAC、相邻链路差错检测 |
| 网络层 | 逻辑寻址、路由与转发 |
| 传输层 | 端到端、端口复用、可靠/不可靠传输 |
| 会话层 | 会话建立/维护/释放(常与上层合并理解) |
| 表示层 | 编码、加密、压缩等表示问题 |
| 应用层 | 面向用户的网络应用协议 |
1.2 TCP/IP 与 OSI 的映射关系
TCP/IP 网络接口层 ≈ OSI 物理 + 数据链路;网际层以 IP 为核心;传输层 TCP/UDP;应用层 集成各类应用协议。备考时以职责为准,不必纠缠部分教材的图示细节差异。
本节自检
- 「路由器主要工作在哪一层?」——网络层(网际层)。
- 「MAC 地址是哪一层概念?」——数据链路层。
二、网络层与 IP 子网
2.1 IPv4 地址结构
IPv4 地址 32 位,表示为点分十进制。子网掩码标识前缀长度:/24 即前 24 位为网络前缀。
2.2 特殊地址
- 网络地址:主机位全 0
- 广播地址:主机位全 1
- 回环:
127.0.0.0/8(常用127.0.0.1) - 私网:
10.0.0.0/8、172.16.0.0/12、192.168.0.0/16
2.3 子网划分(考试常用思路)
借主机位作子网位:若借 (k) 位,子网数 (\le 2^k)(是否减 2 视是否使用全 0/全 1 子网,以教材规定为准)。每个子网可用主机数:(2^h - 2)((h) 为主机位数)。
本节自检
- 题干「至少划分 N 个子网」→ 找最小 (k) 使 (2^k \ge N)。
- 「某子网需要 M 台主机」→ 找最小 (h) 使 (2^h - 2 \ge M)。
子网:前缀与主机位**
三、传输层 TCP/UDP
3.1 对比
| 维度 | TCP | UDP |
|---|---|---|
| 连接 | 面向连接 | 无连接 |
| 可靠性 | 可靠、有序(重传、序号) | 尽力交付 |
| 开销 | 头部较大、机制多 | 头部小 |
| 典型场景 | 文件、网页、邮件等 | 实时类、查询类(考试语境) |
3.2 三次握手与四次挥手(抓考点)
- 三次握手:同步 ISN,双方确认收发能力;降低陈旧连接请求带来的错误建立。
- 四次挥手:全双工关闭,常考 TIME_WAIT 的作用(以教材表述为准:如确保最后的 ACK 被收到、使旧报文在网络中消失等)。
3.3 端口
端口标识主机上的应用进程,是传输层复用与分用的关键。
四、应用层常见协议
- DNS:域名 → IP;查询常呈现 UDP 特征(大数据量/区域传输等场景可能用 TCP)。
- DHCP:动态主机配置(地址、掩码、网关、DNS 等)。
- HTTP / HTTPS:请求-响应模型;HTTPS 引入 TLS,提供机密性、完整性、身份认证(与证书体系配合)。
- FTP / 邮件相关:按教材列举的端口与模式记忆即可。
五、网络设备与拓扑(架构表达)
- 路由器:跨网络转发,维护路由表;连接不同 IP 子网。
- 交换机:二层转发,基于 MAC;划分碰撞域。
- VLAN:逻辑划分广播域,提升安全与管理灵活性。
- 三层交换机:具备部分三层能力(教材深度为准)。
写架构案例时建议描述:边界、流量路径、故障域、安全分区(如 DMZ),避免设备清单式堆砌。
六、网络安全基础
- 防火墙:访问控制、状态检测、应用代理等机制的组合(按教程分类记忆)。
- DMZ:对外服务区与内网之间的缓冲带。
- VPN:隧道 + 加密 + 认证,用于远程接入与站点互联。
- 对称加密:共享密钥,速度快;非对称加密:公钥/私钥,适合密钥交换与签名。
- 哈希(摘要):检测篡改;不等于保密。
七、架构案例可用的「网络段落」模板(可直接改写)
本系统网络采用 分区分域 设计:对外服务部署于 DMZ,通过 防火墙 基于最小权限开放端口;内网管理流量与业务流量 VLAN 隔离;跨地域节点采用 VPN 或专线 互联,核心链路 冗余 并与 负载均衡 联动;对外 Web 采用 HTTPS 与 证书 校验,关键操作配合 多因素认证(结合题目业务再落地细节)。
八、伪代码与直观示例
下列代码仅为**理解「连接」与「端口」**之用,非生产级;运行环境需本地 Python。
# 理解向:TCP 需要 connect/accept 建立连接;UDP 直接 sendto/recvfrom
# (以下伪代码省略异常处理与资源关闭)
import socket
def demo_tcp_echo_server(host="127.0.0.1", port=9000):
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.bind((host, port))
sock.listen(1)
conn, addr = sock.accept()
data = conn.recv(1024)
conn.sendall(b"ACK:" + data)
conn.close()
sock.close()
def demo_udp_server(host="127.0.0.1", port=9001):
sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
sock.bind((host, port))
data, addr = sock.recvfrom(1024)
sock.sendto(b"ACK:" + data, addr)
sock.close()
说明:SOCK_STREAM 对应 TCP;SOCK_DGRAM 对应 UDP。考试更常考语义对比而非 API。
九、易错点与自检
| 易错点 | 错误理解 | 正确理解 |
|---|---|---|
| 端到端 | 归到网络层 | 传输层 |
| 哈希 | 用来加密保密 | 主要用于完整性 |
| 防火墙 | 万能防病毒 | 访问控制与边界安全的一环 |
| 子网主机数 | 用 (2^h) 未减 2 | 通常要减网络与广播 |
综合自检(简答)
- 说明三次握手解决的核心问题(序号同步、防旧连接)。
- 说明为何释放连接需要四次挥手(全双工)。
- 给出一个划分
/24为 4 个子网的前缀长度变化思路(借位)。
十、扩展阅读
- 官方教程「计算机网络」章节与课后题
- RFC 793(TCP)、RFC 768(UDP)——选读,以考试范围为准
- 《TCP/IP 详解 卷1》(兴趣延伸)
你觉得最易混的概念是:「网络层 vs 传输层」还是「加密 vs 完整性」? 评论区可以点名,我后续在系列里单独拆一篇对比表。
