【25软考网工】第五章（6）TCP和UDP协议、流量控制和拥塞控制、重点协议与端口

目录

一、TCP和UDP协议

1. TCP和UDP报文格式

1）TCP传输控制协议

2）UDP用户数据报协议

3）TCP与UDP对比

4）TCP和UDP类比

5）应用案例

例题1#可靠传输服务层

例题2#提供可靠传输功能层

6）TCP报文格式

例题3#TCP报文紧急标志

例题4#URG指针作用

例题5#TCP序号范围

7）UDP报文格式

例题6#UDP头部字节

例题7#UDP最大负载

2.知识小结

二、TCP三次握手

1. TCP三次握手建立连接

1）标志位

2）序列号

3）状态

2.TCP四次挥手断开连接

1）例题#连接释放报文段标志

2）例题#TCP连接建立请求后状态跳变

3）例题#netstat命令含义判断

​编辑

4）例题#FIN扫描目标主机判断

3. TCP序列号及确认号

1）控制报文

2）数据报文

3）例题#TCP序列号及确认号计算

​编辑

4）例题#发送数据计算

5）例题#TCP连接seq及ack值

4.知识小结

三、流量控制

1. TCP滑动窗口机制

2.例题

1）例题:流量控制协议

2）例题:流量控制协议及窗口字段相关

四、拥塞控制

1. TCP拥塞控制

1）慢开始与拥塞避免

2）快重传与快恢复

3）例题:快速重传触发条件

4)例题:快恢复新窗口值计算

5)例题:TCP拥塞控制说法

6)例题:慢启动拥塞控制

7)例题:cwnd的定义

8)例题:网络控制参数

9)例题:慢启动计算

2.知识小结

五、重点协议与端口号总结

1. 端口号

1）例题:Web访问端口使用情况

2. 网络协议

1）基于 TCP 的协议（可靠传输）

2）基于 UDP 的协议（高效传输）

3）特殊说明

4）协议层次:

3.主流 网络协议魔力图

4. 应用案例

1）例题:使用TCP协议的协议

2）例题:SNMP协议说法判断

5.知识小结

---

一、TCP和UDP协议

        传输层主要有两个协议：TCP和UDP

1. TCP和UDP报文格式

1）TCP传输控制协议

        TCP特点: TCP是面向连接的协议，一般用于传输数据量较少且对可靠性要求高的应用，如文件传输。

        TCP应用: Web、电子邮件等。

2）UDP用户数据报协议

        UDP特点: UDP是一种不可靠的、无连接的协议，用于传输数据量大、可靠性要求不高但要求速度快的场景，如音视频传输。

        UDP应用: 域名系统(DNS)、视频应用、IP语音(VoIP)等。

3）TCP与UDP对比

协议名称	传输控制协议(TCP)	用户数据报协议(UDP)
是否面向连接	面向连接	面向无连接
可靠性	可靠传输	不可靠传输
功能	流控及窗口机制	尽力而为的传输
应用	TCP应用:Web,电子邮件文件传输程序	UDP应用:域名系统(DNS),视频应用、IP语音(VolP)

4）TCP和UDP类比



• TCP: 面向连接，喝水慢，不易漏水，安全性高。
• UDP: 面向无连接，喝水快，易漏水，安全性低。

5）应用案例

例题1#可靠传输服务层

• 审题过程: 在OSI参考模型中，哪一层在物理线路之上提供可靠的数据传输服务？
• 答案: B,数据链路层
• 解析: 物理链路之上是数据链路层，OSI模型的数据链路层有很多可靠性保障机制。提供端到端的可靠传输才是传输层实现的。

例题2#提供可靠传输功能层



• 审题过程: 在OSI参考模型中，负责提供可靠的端到端数据传输的是哪一层的功能？
• 答案:C, 传输层
• 解析: 端到端的可靠传输服务是由传输层提供的，而节点到节点或点到点的可靠传输服务是由数据链路层提供的。

6）TCP报文格式

1.源端口和目的端口（16位）

• 源端口和目的端口: TCP报文的前两个字段，各占16位，取值范围为[0,65535]，最大端口号为65535。
• 知名端口: 小于1024的端口一般为知名端口，用于特定服务，
  • 如http网页使用80端口，https安全网页使用443端口,telnet使用23号端口。
• 普通端口则是指范围在1024~49151之间的端口号，通常用于一些特定的应用程序或服务，但并不像知名端口那样被广泛使用。常见的一些应用程序可能会使用这些端口。
• 除了知名端口和普通端口，还有动态/私有端口，范围在49152~65535之间，用于暂时分配给客户端应用程序使用。

2.序列号和确认号(32位）

• 序列号: 32位，每发送一个字节的数据，序列号加一。
• 序列号范围: 不重复的情况下，最多有2^32个序列号，即最多可标识4GB的数据。

3.窗口（16位）

• 窗口: 用于流量控制。

4.偏移值（4位）

• 偏移值: 描述TCP报头的长度或数据部分从哪开始，与IP报头的ihl类似，取值范围0-15，但只使用5-15，单位为四个字节。
• TCP报头长度: 可扩展，最小20字节，最长60字节（类似于IP报头），IP+TCP报头最小为40字节（20B+20B)，最大为120字节（60B+60B）。

5.六个标志位

        用于TCP的三次握手/四次挥手：

• SYN：建立连接
• SYN+ACK：对方回复
• ACK：再次发送建立连接
• FIN：断开连接

TCP头部中的六个标志位如下：

        1. SYN（Synchronize）：建立连接时使用，用于发起一个连接请求。
        2. ACK（Acknowledgment）：确认标志，用于对接收到的数据进行确认。
        3. FIN（Finish）：结束标志，用于释放连接，表示发送方已经完成发送数据的任务。
        4. RST（Reset）：重置标志，用于强制关闭连接，通常表示连接出现错误，必须释放连接，然后再重新建立连接。比如路由器上RST为1时表示恢复出厂设置
        5. PSH（Push）：数据推送标志，接收端将PUSH位置1，通知接收方立即将收到的数据交给应用层处理，而不是等待缓冲区填满再交付。

        6. URG（Urgent）：紧急指针标志，表示紧急数据在数据流中的位置，通常和紧急指针字段一起使用，用于紧急数据的传输。为1时表示有紧急数据需要发送，一般是带外网管数据。紧急指针指向网管数据所在位置

例题3#TCP报文紧急标志



• 审题过程: 若有带外数据需要传送，TCP报文中哪个标志字段置“1”？
• 答案: C ,URG
• 解析: URG=1时，表明紧急指针字段有效，有紧急数据需要传送。

例题4#URG指针作用



• 审题过程: TCP协议中，URG指针的作用是什么？
• 答案: C , 表明带外数据在TCP段中的位置
• 解析: URG指针与URG标志位不同，URG标志位表示有紧急数据，而URG指针指出紧急数据在TCP段中的具体位置。

例题5#TCP序号范围



• 审题过程: 主机A向主机B发送一个长度为L字节的文件，假设TCP的MSS为1460字节，则在TCP的序号不重复使用的前提下，L的最大值是多少？
• 答案: C, 2^32，即4GB
• 解析:20字节IP头部，20字节TCP头部，数据部分为1460，相加一共是1500字节，TCP 封装在以太网中。TCP协议的序号为32位，序号范围为0到2^32，但序号0也算一个序号，因此能表示的字节数是2^32字节，即4GB。
• 注意：题目问的是长度，不是TCP序号的最大值

7）UDP报文格式

UDP相较于TCP做了很大精简，省略诸多控制字段。UDP报头长度固定为8字节。

• 源端口/目的端口（16位）
• 长度（16位）：2^16，表示的范围为[0,65535]
• UDP数据部分长度：需要减去8字节（报头）的开销，最大为65527B

例题6#UDP头部字节

• 审题过程: UDP头部的大小为多少字节？
• 答案: A , 8字节
• 解析: UDP报文格式相对TCP做了很大精简，头部大小为固定的8字节。
• 注意：IP报头20-60字节（默认20字节），TCP报头20-60字节（默认20字节）UDP报头8字节。

例题7#UDP最大负载



• 审题过程: UDP段可容纳的最大负载是多少字节？
• 答案: A , 65527字节
• 解析: UDP报文长度字段为16位，可表示[0,65535]字节，减去8字节头部，UDP最大负载是65527字节。

2.知识小结

知识点	核心内容	考试重点/易混淆点	难度系数
TCP和UDP协议基本概念	TCP是面向连接的，可靠传输；UDP是无连接的，不可靠传输	TCP和UDP的差异及应用场景	★★★
TCP协议特点	面向连接、可靠传输、有流量控制、窗口机制	TCP用于网页、电子邮件、文件传输	★★★★
UDP协议特点	无连接、不可靠传输、尽力而为	UDP用于DNS、语音、视频类应用	★★★
传输层功能	提供端到端的可靠数据传输服务	区分数据链路层和传输层的功能	★★
TCP报文格式	原端口、目的端口、序列号、确认号、窗口、偏移值、标志位等	端口范围、序列号计算、窗口机制、标志位作用	★★★★★
TCP端口	知名端口（<1024），随机端口（>1024）	知名端口的应用实例	★★★
序列号与确认号	32位序列号，每发送一个字节加一	序列号不重复的最大值计算	★★★★
窗口机制	滑动窗口，用于流量控制	窗口大小的意义和作用	★★★★
TCP标志位	SYN、ACK、FIN、URG、PSH、RST	各标志位的作用和使用场景	★★★★★
UDP报文格式	原端口、目的端口、长度、校验和	UDP报文的简洁性	★★★
UDP长度字段	16比特，表示0到65535字节	UDP最大负载计算	★★★
TCP与UDP开销对比	TCP开销大，UDP开销小	通过实例对比TCP和UDP的开销	★★★

二、TCP三次握手

1. TCP三次握手建立连接



        本质过程：本质是打招呼过程，类比A向B传东西前确认："现在有空吗？"→"有空"→"好的，准备发数据"

        报文交互：

                第一步：主机A发送SYN=1的报文（序列号seq=0）

                第二步：主机B回复SYN=1,ACK=1的报文（seq=0,ack=1）

                第三步：主机A发送ACK=1的报文（seq=1,ack=1）

        特殊特性：实际上第三次握手时已可携带数据

1）标志位

        SYN作用：同步序列号，建立连接请求

        ACK作用：确认收到报文

组合形式：

• SYN+ACK组合表示"确认收到连接请求并同意建立"
• 单独ACK表示"确认收到数据"

2）序列号



确认号含义：

• 确认收到前序报文（如ack=1表示确认seq=0的报文）
• 请求下一序号报文（ack=1同时表示请求seq=1的报文）

递推规则：确认号始终等于对方序列号+1（ack=x+1）

3）状态

主动端状态：

• CLOSED→SYN_SENT（发送SYN后）
• SYN_SENT→ESTABLISHED（收到SYN+ACK并回复ACK后）

被动端状态：

• LISTEN→SYN_RCVD（收到SYN后）
• SYN_RCVD→ESTABLISHED（收到ACK后）

超时处理：SYN_SENT状态未收到响应会返回CLOSED

2.TCP四次挥手断开连接

完成数据传输，需要断开连接

• 第一步：主机A发送FIN 、ACK
• 第二步：主机B收到后回复ACK
• 第三部：主机B发送FIN、ACK请求断开连接
• 第四步：主机A发送ACK

        第一步和第二步完成，此时A断开连接

        第三步和第四步完成，此时B断开连接

注意：

• 第二步和第三步的序列号可以一样（双方都断开连接）也可以不一样（一方数据还在发送，等待发送完成再断开）

1）例题#连接释放报文段标志

• 关键考点：FIN标志在连接释放中的作用
• 解题要点：释放连接必须将FIN置1
• 正确答案：A（FIN置1）

2）例题#TCP连接建立请求后状态跳变



• 状态转换路径：SYN_SENT→CLOSED（超时未响应）
• 干扰项分析：TIME_WAIT是断开连接状态，LISTEN是服务端初始状态
• 正确答案：A

3）例题#netstat命令含义判断

• 端口类型判断：2011/2038/2052都是临时端口（>1024）
• 状态对应关系：
  • ESTABLISHED表示已完成三次握手
  • TIME_WAIT表示正在断开连接
• 安全连接标志：443端口对应HTTPS协议
• 正确答案：C

4）例题#FIN扫描目标主机判断

• 扫描技术对比：
  • 完全连接扫描（TCP全连接扫描）：完成三次握手（效率低）
  • SYN扫描（TCP半连接扫描）：收到ACK表示端口开放，TCP建立连接的第三步无法正常完成
  • FIN扫描：开放端口无响应，关闭端口返回RST
• 行为特征：活动主机对FIN扫描保持静默
• 正确答案：C

3. TCP序列号及确认号

1）控制报文

关联机制：PC1的seq与PC2的ack相互关联，确认号ack总等于对方seq+1（如seq=10时ack=11）

        

第二步返回的ack的双重含义：

        ①已收到ack−1及之前的数据 （如图中PC1发送的ack=10）

        ②请求发送seq=ack的新数据（PC2收到后回复的ack=11）

      

  三次握手特性：控制报文典型场景是三次握手，此时尚未传输实际数据，仅进行连接准备

2）数据报文



此时已完成三次握手

        字节计算规则：每个序列号对应1字节数据，ack值=最后接收的seq+数据字节数（如seq=201发100字节，则ack=301）

        数据范围表示：seq值表示数据起始编号，数据结束编号为seq+数据字节数−1（如seq=800发150字节，则数据编号为800-949）

        确认机制：接收方通过ack值确认已接收数据的最大编号（如ack=950表示949及之前数据已接收，请求对方发送编号seq为950的数据）

3）例题#TCP序列号及确认号计算

• 关键条件：①ASCII字符C占1字节 ②初始seq=42，ack=79，data=C
• 解题步骤：
  • 主机B的seq应等于主机A上次的ack值（79）
  • 确认号计算：ack=收到seq+数据字节数=42+1=43
• 易错点：忽略ASCII字符的字节长度特性，误认为需要随机生成序列号
• 答案：(36)C (37)B

4）例题#发送数据计算



• 关键条件：①初始seq=2000②FIN段seq=8001
• 计算原理：
  • 第三次握手开始携带数据，起始seq=2001
  • 有效数据seq范围为2001-8000（FIN段8001不含数据）
  • 总字节数=8000-2000=6000
• 记忆技巧：FIN段的seq
  值减初始seq即为总字节数（8001-2000-1=6000）
• 答案：A

5）例题#TCP连接seq及ack值



• 标志位规则：
  • 仅第一次握手ACK=0，其余所有报文ACK=1
  • 第二次握手SYN=1且ACK=1
• 序号计算：
  • 确认号ack等于对方seq+1（79→80）
  • 序列号seq独立生成（示例中为40）
• 典型错误：混淆SYN和ACK标志位的组合方式
• 答案：(63)D (64)C

4.知识小结

知识点	核心内容	考试重点/易混淆点	难度系数
TCP三次握手	主机A发送SYN=1报文 → 主机B回复SYN=1+ACK=1 → 主机A发送ACK=1完成连接建立	标志位组合：SYN/SYN+ACK/ACK; 状态转换：SYN_SENT → SYN_RECEIVED → ESTABLISHED	★★★
序列号机制	确认号=收到序列号+数据字节数（例：收到seq=42且data=1字节 → ack=43）	两层含义：确认已收数据 + 请求下一报文; 特殊规则：除第一个SYN报文外所有ACK=1	★★★★
TCP四次挥手	FIN+ACK → ACK → FIN → ACK（双向独立断开）	状态差异：TIME_WAIT出现在主动关闭方; 合并情况：第二/三次挥手可能合并	★★★★
端口扫描技术	SYN扫描：开放端口返回SYN+ACK，关闭返回RST; FIN扫描：开放端口无响应，关闭返回RST	FIN扫描的静默特性; 考试常混淆两种扫描响应模式	★★★★
数据载荷计算	序列号范围=数据字节数 （例：seq2001-8000含6000字节）	第三次握手可携带数据; FIN报文不含数据载荷	★★★★
连接状态判断	ESTABLISHED：已建立连接; TIME_WAIT：挥手阶段	易错点：将TIME_WAIT误判为建立中状态	★★★
安全协议识别	443端口=HTTPS加密连接	需区分HTTP(80)与HTTPS(443)	★★

三、流量控制



• 目的: 防止发送方发送速度过快，导致接收方处理不过来，造成丢包重传，浪费网络资源。
• TCP流量控制机制: 使用可变大小的滑动窗口。

1. TCP滑动窗口机制

实现原理：

• 可变窗口机制：接收方通过TCP报头中的窗口字段（16位）实时告知发送方自己的剩余接收缓冲区大小。
• 动态协商：窗口大小在通信过程中可动态调整（如网络拥塞或接收方处理能力变化时）。

工作原理：

• 在三次握手建立连接时，双方会告知彼此的窗口大小。
• 发送方根据接收方的窗口大小控制发送数据量。
• 接收方处理数据后，窗口大小增加，通知发送方可继续发送数据。

具体实现过程:

1.三次握手初始化

• 建立连接时，双方通过三次握手交换初始窗口大小（如示例中主机B告知A窗口为3）。
• 接收方的窗口值 = 当前接收缓冲区剩余容量（单位：字节）。

2.发送数据

• 发送方根据接收方通告的窗口大小（如窗口=3），发送不超过该容量的数据段（如发送3个数据包）。

3.接收方反馈

• 接收方处理完数据后，通过ACK确认报文告知发送方：
  • 已确认的数据位置（ACK号）。
  • 新的剩余窗口大小（更新后的窗口字段值）。

4.窗口动态调整

• 发送方根据最新窗口值调整后续发送量：
  • 若窗口增大（如从3→5），发送方可多发数据。
  • 若窗口减小（如从3→1），发送方需减少发送量。
  • 若窗口为0，发送方暂停发送，直到接收方重新通告非零窗口。

2.例题

1）例题:流量控制协议



• 答案: D. 可变大小的滑动窗口协议
• 解析: TCP使用的流量控制协议是可变大小的滑动窗口协议。

2）例题:流量控制协议及窗口字段相关



• 答案: B. 可变大小的滑动窗口协议, C. 窗口
• 解析:
  • TCP使用的流量控制协议是可变大小的滑动窗口协议。
  • TCP头中与之相关的字段是窗口字段，用于流量控制。

四、拥塞控制

1. TCP拥塞控制



有了流量控制可以调节发送端和接收端的节奏，为什么还要有拥塞控制？

    流量控制：在A、B 两个端点进行。

    拥塞控制：在A、B和所有网络节点中进行。

• 目的: 除了调节发送端和接收端的节奏外，还需考虑中间网络的拥塞情况。
• 范围: 在发送端、接收端及所有网络节点中进行。

1）慢开始与拥塞避免



慢开始:

• 初始拥塞窗口小，指数增长发送数据量。
• 达到门限值（ssthresh）后，转为拥塞避免。

拥塞避免:

• 拥塞窗口线性增长。
• 直到发生超时（网络拥塞）后：
  • 拥塞窗口重置为1，从1开始发；
  • 门限值设为拥塞时窗口大小（24）的一半（12）。

2）快重传与快恢复



快重传:

• 发送方收到3个重复ACK时，立即执行快重传算法，重传未确认报文段，不必等待超时。

快恢复:

• 门限值设为当前拥塞窗口（24）的一半（12）。
• 拥塞窗口从门限值开始，线性增长。

优点：效率高

总结：

• 快重传
  • 当发送方连续收到3个重复的ACK报文时,直接重传对方尚未收到的报文段
  • 不必等待那个报文段设置的重传计时器超时
• 快恢复
  • 当发送方连续收到3个冗余ACK时,执行“乘法减小”算法
  • 把ssthresh设置为当前cwnd的一半，然后cwnd从ssthresh开始使用拥塞避免算法

3）例题:快速重传触发条件

• 答案: D. 收到3个冗余ACK
• 解析: 在TCP拥塞控制机制中，快速重传的触发条件是收到3个冗余ACK。

4)例题:快恢复新窗口值计算

• 答案: A. 2000字节
• 解析: 当拥塞窗口为4000字节时，快恢复会将新的拥塞窗口设置为当前窗口的一半，即4000/2=2000字节。

5)例题:TCP拥塞控制说法



• 答案: D. 当网络出现拥塞时，慢启动门限值恢复为初始值（错误）
• 解析: 出现拥塞时，拥塞窗口恢复为初始值，门限值设置为发生拥塞时的一半。

6)例题:慢启动拥塞控制



• 答案: B. 6
• 解析: 拥塞窗口为8时发生拥塞，门限值设为4。经过4轮成功应答后，拥塞窗口依次为1-2-4-5，最终为6。1-2-4指数增长，4-5线性增长。

7)例题:cwnd的定义



• 答案: D. cwnd值存放在本地
• 解析: 拥塞窗口(cwnd)是TCP拥塞控制措施，存放在本地，根据网络拥塞程度动态变化。

8)例题:网络控制参数



• 答案: D. 拥塞窗口大小
• 解析: 拥塞窗口大小不随报文传送到对端实体，是发送方本地维护的状态变量。

9)例题:慢启动计算



• 答案: B. 2000
• 解析: TCP最大段长为1000字节，慢启动第一轮后拥塞窗口指数增长扩大到2000字节，而接收方窗口为5000字节，因此可发送的最大数据为两者最小值，即2000字节。

2.知识小结

知识点	核心内容	考试重点/易混淆点	难度系数
TCP流量控制	可变大小的滑动窗口	滑动窗口的作用与实现方式	★★★
	窗口字段用于流量控制	窗口字段的功能	★★
	三次握手过程中通知窗口大小	三次握手与窗口大小的关系	★★
TCP拥塞控制	慢开始与拥塞避免算法	拥塞控制与流量控制的区别	★★★★
	拥塞发生时的处理（一夜回到解放前，拐点变为一半）	拥塞发生后的两个动作	★★★★★
	快重传与快恢复机制	快重传的触发条件与快恢复的操作	★★★★
拥塞窗口与滑动窗口	拥塞窗口是本地计算的，滑动窗口是对方告知的	拥塞窗口与滑动窗口的区别	★★★
	发送数据应取拥塞窗口与滑动窗口的最小值	发送数据量的确定方式	★★★★
相关练习题	各类考试题目及解析	题目中的关键信息与答案选择	★★

五、重点协议与端口号总结

1. 端口号

        源端口分配规则: 客户端使用的源端口由系统随机分配，必须是当前未使用且大于1024的端口号

        目的端口规则: 服务器端使用知名端口号，如telnet服务固定使用23端口

        

        典型示例: PC1访问PC2时，源端口为随机值231029，目的端口为telnet的23端口

1）例题:Web访问端口使用情况

• 核心考点: 源端口必须大于1024的随机端口，目的端口通常是80/8080/443
• 选项分析:
  • A选项源端口为80（知名端口）不可能出现
  • B/C/D选项源端口均符合大于1024的要求
• 易错点: 容易误选D因看似与Web无关，实际考察端口分配规则
• 答案: A
• 扩展知识: 网站可自定义使用大于1024的非知名端口（如4000）

2. 网络协议

邮件协议三剑客:

• SMTP: 发送邮件，TCP/UDP 25端口（通常用TCP）
• POP3: 接收邮件，TCP 110端口
• IMAP: 客户端与服务器端邮件同步，TCP 143端口

1）基于 TCP 的协议（可靠传输）

协议	端口号	功能简述
FTP	20/21	文件传输（数据/控制端口）
SSH	22	安全的远程登录与管理
Telnet	23	明文远程登录（不推荐使用）
SMTP	25	发送邮件
POP3	110	从服务器下载邮件
IMAP	143	邮件同步与管理
HTTP	80	网页传输
HTTPS	443	加密的网页传输

助记：

        TCP协议多为需可靠传输的服务（如文件、邮件、网页），端口号多为两位数或常见端口。

2）基于 UDP 的协议（高效传输）

协议	端口号	功能简述
DNS	53	域名解析（默认UDP，大包用TCP）
DHCP	67/68	动态分配IP地址
TFTP	69	简单文件传输（无认证）
SNMP	161	网络设备管理
RIP	520	路由信息协议（小型网络）
NTP	123	网络时间同步

助记：“扔石头蛋蛋”对应：

• RIP（UDP 520）
• SNMP（UDP 161）
• TFTP（UDP 69）
• DNS（UDP 53）
• DHCP（UDP 67/68）

3）特殊说明

1. DNS：默认用UDP（查询响应快），但区域传输（Zone Transfer）或大包时用TCP。
2. ICMP：属于网络层协议（如Ping、Traceroute），与TCP/UDP无关，直接封装在IP中。
3. OSPF：是网络层路由协议（协议号89），直接封装在IP中。

4）协议层次:

•  以太网→数据链路层
•   ICMP/IP→网络层
•   TCP/UDP→传输层
•    应用层协议最多（需记忆各协议端口号）

3.主流 网络协议魔力图



TCP协议组:

• FTP(20/21): 文件传输（数据/控制端口）
• SSH(22): 加密安全登录
• Telnet(23): 明文远程登录
• HTTP(80)/HTTPS(443): 网页传输
• BGP(179): 边界网关协议
• RDP（2289）:远程桌面

UDP协议组

• R→RIP(520)路由协议信息
• S→SNMP(161/162)简单网络管理协议
• T→TFTP(69)简单文件测试需要
• D→DNS(53)
• D→DHCP(67/68)
• IKE(500) Internet密钥交换协议

物理层重点:

• 千兆/万兆以太网规范
• WiFi标准（802.11系列）的速率和频段

网络层协议号:

• ICMP→1
• IGMP→2 Internet组管理协议
• ESP→50（加密）
• AH→51（认证）
• OSPF→89

4. 应用案例

1）例题:使用TCP协议的协议

• 选项分析:
  • A(ICMP): 直接封装在IP层
  • B(IP): 可用TCP/UDP承载
  • D(SNMP): UDP协议
  • C(Email): 包含SMTP/POP3/IMAP均为TCP协议
• 答案: C
• 记忆要点: 邮件三协议必须使用TCP传输

2）例题:SNMP协议说法判断



• 选项分析:
  • A: 正确，SNMP实现统一网络管理
  • B: 错误，SNMP基于UDP（非TCP）
  • C: 错误，v2c未重新定义安全机制
  • D: 错误，v3不是IPv6专用
• 版本特性:
  • v3主要增强安全性（非IPv6支持）
  • UDP传输效率高但可靠性差
• 答案: A

5.知识小结

知识点	核心内容	考试重点/易混淆点	难度系数
TCP/UDP端口号	源端口随机分配（>1024），目标端口为知名端口（如Telnet:23，HTTP:80）	原端口不可能是知名端口（如80），目标端口可自定义	⭐⭐
邮件协议	SMTP（发邮件/TCP25）、POP3（收邮件/TCP110）、IMAP（同步邮件/TCP143）	协议功能区分； SMTP通常用TCP，但也可用UDP	⭐⭐⭐
协议层次与协议号	ICMP（协议号1）、OSPF（89）、ESP（50加密）、AH（51认证）	ICMP直接封装在IP层，非TCP/UDP	⭐⭐
TCP应用层协议	FTP（传文件）、SSH/Telnet（远程登录）、HTTP（80）/HTTPS（443）、BGP（179）、RDP（3389）	Telnet明文不安全，SSH推荐使用	⭐⭐⭐
UDP应用层协议	DNS（域名解析）、DHCP（分配IP）、TFTP（69）、SNMP（网管）、RIP（520）	助记法： 扔石头蛋蛋（R-RIP, S-SNMP, T-TFTP, D-DNS/DHCP）	⭐⭐⭐⭐
SNMP版本差异	v1/v2无安全机制，v3重新定义安全机制	v2未增强安全，v3非IPV6专用	⭐⭐⭐
经典易错题	Web访问中，原端口为80的情况不可能出现（应为随机>1024端口）	混淆源/目标端口规则	⭐⭐⭐⭐