计算机网络技术 - 总述

参考模型的分层模型:

  1. 分层思想:

    1. 实现复杂问题简单化,解耦合

  2. OSI参考模型:

    OSI-1

  3. TCP/IP协议族:

    1. 每个层对应的协议和关系:

      TCP-IP

    2. 数据在不同的层的叫法和设备所在的层:

      TCP-IP2

数据封装传输过程:

数据传输

物理层:

  1. 传输介质:
    1. 网线、光纤、空气
    2. 光纤类型:
      • 单模光纤:单模的意思是只能传输一种光,在长距离传输比多模效率更高,短距离都是一样的
      • 多模光纤:多模的意思是可以传输多种光
    3. 网线/双绞线:
      • 5类双绞线、超5类、6类、超6类…..
      • T568A:白绿、绿、白橙、蓝、白蓝、橙、白棕、棕
      • T568B:白橙、橙、白绿、蓝、白蓝、绿、白棕、棕
    4. 网线的用途分类:
      • 交叉线:一端为A,一端为B,同种设备之间使用(具有三层功能及三层以上的设备也称为同种设备,如路由器和PC机,此处的功能是指五层模型)
      • 直通线:两端都为A或B,异种设备之间使用
      • 全反线:一端为A,另一端为反A,也称console线
  2. 信号分类:
    1. 电信号:
      • 模拟信号:用到的设备放大器,使用放大器进行远距离传播,但是噪声也会一起放大
      • 数字信号:用到的设备中继器(相当于是放大器),只能短距离回复信号
    2. 光信号:
      • 通过光纤来进行传输

数据链路层:

传输单元–>帧

帧结构:

帧结构

在数据链路层工作的设备:交换机/网卡

交换机:

  1. 交换机是二层设备,实现不同主机在同一个局域网中数据的通信

  2. 工作原理(流程):

    • 交换机(Switch)的工作原理基于网络数据帧的传输和转发,主要在局域网(LAN)中使用。
    • 当交换机接收到来自PC发送的帧后,首先学习帧中的源MAC地址来形成MAC地址表,然后检查帧中的目标MAC地址,并匹配MAC地址表,如表中有匹配项,则单播转发,如表中无匹配项,则除源发送端口外广播转发

  3. MAC地址表的老化(老化等同于丢失)时间默认是300秒(时间可修改)

  4. 交换机的主要作用:是根据目标设备的MAC地址,将数据帧从源设备准确地传送到目标设备。(也就是说交换机是根据MAC地址转发数据的)

    交换机

交换机的端口:

  • E:10Mb
  • F:100Mb
  • G:1000Mb
  • Te:10000Mb
  • F0/1:0表示模块号,1表示接口号
  • 接口速率自适应:如:1000/100/10M,表示速率工作模式可以为10、100、1000任何一种状态
  • 端口状态:up(开启)/down(关闭)
    • down有三种可能:
      • 人工down掉
      • 速率不匹配
      • 双工模式不匹配(双工duplex)
      • 双工模式:单工、半双工、全双工

IP数据包格式:(网络层)

  • 版本:说明是IPv4还是IPv6版本

  • 首部长度:IP包头部长度,因为长度可变,因此需要定义

  • 优先级与服务类型:

  • 总长度:IP数据总长度,也就是3、4、5层所有的数据

  • 标识符:标识数据报文的所有分片,同一个数据的报文分片标识是一致的

  • 标志:有三个比特,第一个备用的,没有什么含义,第二个比特如果是0表示分片了,是1表示没有分片,第三个比特是0表示不是最后一个分片,是1表示是最后一个分片

  • 段偏移量:决定IP分片的顺序

  • TTL:防止数据包在网络上永久循环下去

  • 协议号:用来标识封装的上层数据是UDP还是TCP,UDP是17,TCP是6

  • 首部校验和:是IP包头的校验和,也就是第三层(20-60字节)

    IP数据包格式

路由器/交换机命令(命令可以共用):

  • 静态路由:ip route 目标网段 子网掩码 下一跳IP地址

    如:ip route 10.1.1.0 255.255.255.0 20.1.1.1

  • 默认路由:ip route 0.0.0.0 0.0.0.0 下一跳IP地址

​ 如:ip route 0.0.0.0 0.0.0.0 20.1.1.1

  • 浮动路由:在静态或默认路由后加空格+正整数

    如:ip route 10.1.1.0 255.255.255.0 20.1.1.1

​ ip route 10.1.1.0 255.255.255.0 30.1.1.1 5(表示比上边这个优先级小,优先采用上边这个往10.1.1.0网段传递信息)

  1. 查看路由表:show ip route

  2. 查看接口列表:show ip int brief

  3. 手工开启接口:no shutdown

  4. 查看running-config配置:show running-config

  5. 查看MAC地址表:show mac-address-table

  6. do的用法:其他模式加do+空格可以强制使用特权模式的命令

    如:do run、do sh ip b、do wr等

  • 删除配置:
    1. 在哪配置的,就在哪删除
    2. 命令前加no空格(no+空格+需要删除的命令)
    3. 原命令中有参数,并且参数具有唯一性,则删除时不需要加参数
    4. 如:hostname sw1,删除:no hostname

ARP协议:(网络层)

  1. 广播:将广播地址做为目的地址的数据帧
  2. 广播域:网络中能接受到同一个广播所有节点的集合(越小越好)
  3. MAC地址广播:广播地址为FF-FF-FF-FF-FF-FF
  4. IP地址广播:
    1. 255.255.255.255
    2. 广播IP地址为IP地址网段的广播地址,如192.168.1.255/24
  5. 什么是ARP协议:
    1. Address Resolution Protocol,地址解析协议
    2. 作用:将一个已知的IP地址解析成MAC地址
    3. ARP协议原理:
      • 发送ARP广播请求(ARP报文)
        1. ARP报文内容:我的IP地址,我的MAC地址,你的IP地址,你的MAC地址是什么(前三个都是知道的)
      • 接受ARP单播应答
    4. ARP缓存表的性质:后来的信息会覆盖前面的信息,只学习更新后面来的信息,然后把前面的信息覆盖,还不会进行身份验证,来确保信息的准确性
    5. ARP攻击或欺骗的原理:(利用ARP缓存表的原理)
      • 通过发送伪造虚假的ARP报文(广播或单播),来实现的攻击或欺骗
      • 如虚假报文的MAC是伪造的不存在的,实现ARP攻击,结果为中断通信/断网
      • 如果虚假报文的MAC是攻击者自身的MAC地址,实现ARP欺骗,结果可以监听、窃取、篡改、控制流量,但不中断通信
    6. ARP协议没有验证机制,所以才会被攻击和欺骗
    7. ARP攻击者通过发送虚假伪造的ARP报文对受害者进行ARP缓存投毒,而受害人没有办法进行身份(真伪)验证
  6. ARP防御:
    1. 静态ARP绑定:
      1. 手工绑定/双向绑定
      2. Windows客户机上:
      3. arp -s 10.1.1.254(IP地址) MAC地址
      4. arp -a 查看ARP缓存表
    2. ARP防火墙:
      1. 自动绑定静态ARP,主动防御
    3. 硬件级ARP防御:
      1. 交换机支持“端口”做动态ARP绑定(配合DHCP服务器)或做静态ARP绑定

路由器的工作原理:(从进入到出去的整个过程)

  1. 一个帧到达路由器后,路由器首先检查目标MAC地址是否是自己的,如果不是则丢弃,如果是则解封装,并将IP包送到路由器内部
  2. 路由器检查IP包头中的目标IP,并匹配路由表,如果匹配失败,则丢弃,并向源IP回馈错误信息,如匹配成功,则将IP包路由到出接口
  3. 封装帧,首先将出接口的MAC地址作为源MAC封装好,然后检查ARP缓存表,检查是否有下一跳的MAC地址,如果有则提取出来作为目标MAC地址封装到帧中,如果没有,则发送ARP广播请求下一跳的MAC地址,并获取到对方的MAC地址,再记录缓存,并封装帧,最后将帧发送出去

VLAN(Virtual LAN 虚拟局域网):(交换机)

  1. VLAN是二层技术
  2. 广播的危害:
    1. 增加网络/终端负担,传播病毒,安全性低
  3. 如何控制广播:
    1. 控制广播=隔离广播域
    2. 路由器隔离广播(物理隔离广播)
    3. 路由器隔离广播缺点:成本高、不灵活
    4. VLAN技术控制广播,VLAN技术是在交换机上实现的且是通过逻辑隔离划分的广播域
  4. VLAN的作用:
    1. 控制广播,逻辑隔离广播域
  5. 一个VLAN也就相当于一个广播域
  6. VLAN的类型:
    1. 静态VLAN:
      1. 手工配置
      2. 基于端口划分的VLAN
    2. 动态VLAN:
      • 第一种:
      • 手工配置
      • 基于MAC地址划分的VLAN
      • 第二种:
      • 采用802.1x端口认证
      • 基于账号来划分VLAN

VTP协议:

  1. VTP(VLAN Trunking Protocol)是一种用于在网络中自动同步虚拟局域网(VLAN)信息的协议(虚拟局域网的中继协议)。它主要用于在网络中管理VLAN的创建、删除和重命名,以及在交换机之间同步VLAN配置

  2. 命令:vtp domain wencol 作用是将当前设备的VTP域名设置为”wencol”,这样配置后,该设备将与其他具有相同VTP域名的设备共享VLAN信息

trunk(接口类型):

  1. 在交换机端口上配置,配置完trunk后这个链路就是公共链路,允许所有的VLAN通过(trunk是只允许打标签)
  2. trunk/中继链路/公共链路
    1. 作用:允许所有VLAN数据通过trunk链路
    2. 方法:通过在数据帧上加标签,来区分不同的VLAN的数据
  3. trunk标签:
    1. ISL标签:cisco私有的,标签大小30字节(26+4)
    2. 802.1q标签:公有协议,所有厂家都支持,标签大小4字节,属于内部标签
  4. 交换机端口链路类型:
    1. 接入端口:也称为access端口,一般用于连接PC,只能属于某1个VLAN,也只能传输1个VLAN的数据
    2. 中继端口:也称为trunk端口,一般用于连接其他交换机,属于公共端口,允许所有VLAN得的数据

路由器部署DHCP服务器命令:

DHCP服务

单臂路由:

单臂路由

encapsulation dot1q 10:也表示给VLAN10起网关,可以识别802.1q标签的10标签

  • 单臂路由的缺点:(已被三层交换机取代)
    • 网络瓶颈
    • 容易发生单点物理故障(所有子接口依赖于总物理接口)
    • VLAN间通信的每一个帧都进行单独路由

ICMP协议:(网络层)

  1. ICMP没有端口号
  2. ICMP(Internet Control Message Protocol)网际控制报文协议,用来传送问题消息的。通过它所传递的消息,管理者能迅速对问题做出判断,使问题得到及时解决。
  3. ICMP协议是干什么的:
    1. 网络探测与回馈机制
    2. 网络探测
    3. 路由跟踪
      1. 命令:Windows:tracret IP地址
      2. Linux或路由器:tracreoute IP地址
    4. 错误反馈
  4. ICMP协议的封装格式:
    1. 帧头+IP包+ICMP头+数据+帧尾
    2. 帧头:MAC地址
    3. IP包:可以知道谁向谁发送的探测或跟踪
    4. ICMP头:ICMP类型字段、代码
    5. ICMP类型字段:
      • 8:ping请求
      • 0:ping应答
      • 3:目标主机不可达
      • 11:TTL超时(路由环路)
    6. 数据:一般就是一个填充报文,就是单纯的通信,使对方收到数据后,给一个反馈,证明收到数据了,可以通信了,没有意义,数据是有ICMP协议生成的
    7. 帧尾:加密算法

三层交换机:

  1. 三层交换机=三层路由+二层交换机
  2. 三层路由引擎是可以关闭和开启的:
    1. 都是在全区模式下配置:(思科)
    2. ip routing 开启三层路由功能
    3. no ip routing 关闭三层路由功能
  3. 三层交换机的优点:
    1. 与单臂路由相比:
    2. 解决了网络瓶颈问题
    3. 解决了单点故障(虚拟接口不再依赖任何的物理接口)
    4. 一次路由,永久交换(不像其他路由器,经过的帧每次都要解封再封装)
  4. 三层交换机上起虚接口:(配置VLAN的网关)
    1. int vlan 10(生成进入一个虚拟接口,而这个接口是VLAN10)
    2. ip add 10.1.1.254 255.255.255.0(给VLAN10配置网关IP)
    3. no shut(开启端口)
    4. exit(退出)
  5. 二层端口升级为三层端口:
    1. int f0/x(x表示要进入哪个)
    2. no switchport(将进入这个端口升级为三层端口)

HSRP协议/VRRP协议:

HSRP协议

  • HSRP(Hot Standby Router Protocol)是一种用于提高网络冗余性的协议。它允许多台路由器在网络中提供冗余的默认网关服务,以确保在主动路由器出现故障时,备用路由器可以立即接管其功能

  • VRRP是一种开放标准的冗余路由协议,由IETF(Internet工程任务组)定义,用于提供冗余的默认网关服务(原理和HSRP相似)

  • HSRP协议工作原理:

    • 多个路由器在同一LAN(本地区域网络)上配置为HSRP组。其中一个路由器被选举为活动路由器(Active Router),其余的路由器则是备用路由器(Standby Router)。
    • 活动路由器定期发送HSRP Hello消息到组播地址,以宣告自己的存在。备用路由器收到Hello消息后,知道活动路由器仍然正常运行。
    • 如果活动路由器停止发送Hello消息(故障或失去了与LAN的连接),备用路由器将在一定的时间内没有接收到活动路由器的消息后,它会认为活动路由器不可用,并开始执行状态切换过程。
    • 备用路由器成为新的活动路由器,并接管原来活动路由器的IP地址。这个过程是无缝的,对网络中的其他设备来说是透明的。

  • 总结:通过HSRP协议,网络管理员可以实现对网络的高可用性设计,确保在路由器故障时仍然能够提供连续的网络服务。

  • 命令配置:

    HSRP协议配置

防火墙:

  1. 防火墙的定义:是一款具备安全防护功能网络设备(最本质的意义:网络隔离/区域隔离)

  2. 网络隔离:将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护

  3. 防火墙基本功能:

    1. 访问控制
    2. 攻击防护
    3. 冗余设计
    4. 路由、交换
    5. 日志记录
    6. 虚拟专网VPN
    7. NAT

  4. 防火墙区域概念:(原理)

    1. 内部区域
    2. DMZ区域:称为“隔离区”,也称“非军事化区/停火区”
    3. 外部区域

  5. 衡量防火墙性能的5大指标:

    1. 吞吐量:在不丢包的情况下单位时间内通过的数据包数量
    2. 时延:数据包第一个比特进入防火墙到最后一个比特从防火墙输出的时间间隔
    3. 丢包率:通过防火墙传送时所丢失数据包数量占所发送数据包的比率
    4. 并发连接数:防火墙能够同时处理的点对点连接的最大数目
    5. 新建连接数:在不丢包的情况下每秒可以建立的最大连接数

  6. 防火墙的工作模式:(标准应用)

    1. 透明模式:
      1. 工作在第二层,不改变数据包的 IP 地址。
      2. 无需修改现有网络结构,易于部署。
      3. 透明模式/桥模式一般用于用户网络已经建设完毕,网络功能基本已经实现的情况下,用户需要加装防火墙以实现安全区域隔离的要求
      4. 一般将网络分为内部网、DMZ区和外部网
    2. 路由模式:
      1. 工作在网络层(第三层),处理 IP 地址和网络子网
      2. 路由/NAT模式一般用于防火墙当作路由器和NAT设备连接上网的同时,提供安全过滤功能
    3. 混杂模式:
      • 一般网络情况为透明模式和路由模式的结合

ACL访问控制列表:

  1. ACL(Access Control List,访问控制列表)是一种用于控制网络设备(如路由器、交换机、防火墙等)上数据流的访问权限的机制

  2. ACL基于一组规则来决定是否允许或拒绝特定类型的数据流通过设备

  3. ACL是一种包过滤技术,ACL表应用在端口上的时候,才表示是流量过滤,其余地方就不是代表过滤了

  4. ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号、5层数据(一般都是基于三层和四层过滤)

  5. ACL在路由器上配置,也可以在防火墙上配置(一般称为策略)

  6. ACL主要分为2大类:

    1. 标准ACL:

      1. 表号:1-99(也就是这个表的名字,没有大小之分)

      2. 特点:只能基于源IP对包进行过滤

      3. 命令:

        ACL1

        ACL2

        • show ip access-list 查看全部ACL表

        • show ip access-list 表号 查看某个ACL表

        • 将ACL表应用到接口:

          ACL3

        • no access-list 表号 删除这个表号

      4. 案例:

        1. ​ 在特权模式配置

          ACL4

    2. 扩展ACL:

      1. 表号:100-199

      2. 特点:可以基于源IP、目标IP、端口号、协议等对包进行过滤

      3. 命令:

        • 将ACL表应用到接口:

          ACL5

        • show ip access-list 查看全部ACL表

        • show ip access-list 表号 查看某个ACL表

          ACL6

      4. 案例:

        ACL7

  7. ACL原理:

    1. ACL表必须应用到接口的进或出方向才生效
    2. 一个接口的一个方向只能应用一张表
    3. 进还是出方向的应用,取决于流量控制总方向
    4. ACL表是严格遵循自上而下检查每一条,所以要严格注意书写顺序
    5. 每一条是由条件和动作组成,当流量没有满足某条件,则继续检查下一条,但是当流量满足其中一条时,不论是拒绝还是同意都不会再继续检查下一条,因为已经得到结果,当流量没有满足所有条件时,则会拒绝进入(出去)(ACL表会默认写一条拒绝所有流量进入,一直在ACL表的最后一个),当流量满足其中一个条件时,则就不会被拒绝进入(出去)
    6. 标准ACL尽量写在靠近目标的地方
    7. wencoll小原理:
      1. 做流量控制,首先要先判断ACL写的位置(那个路由器?那个接口的那个方向?)
      2. 再考虑怎么写ACL
      3. 如何写?
        1. 首先要判断最终要允许所有还是拒绝所有
        2. 然后写的时候要注意:将严格的控制写在前面
    8. 一般情况下,标准或扩展ACL一旦编写号,无法修改某一条,也无法删除某一条,也无法修改顺序,也无法往中间插入新的条目,只能一直在最后添加新的条目(如想修改或插入或删除,只能删除整张表,重新写)

  8. 命名ACL:

    1. 作用:可以对标准或扩展ACL进行自定义命名

    2. 优点:自定义命名更容易辨认,也便于记忆!可以任意修改某一条,或删除某一条,也可以往中间插入某一条

    3. 命令:

      ACL8

      ACL9

NAT技术:

  1. NAT(Network Address Translation)网络地址转换

  2. 私有IP地址范围:

    1. 10.0.0.0/8(只要是10开头的都是,不管子网掩码是多少,如:10.1.1.1/24也是私有IP地址)
    2. 172.16.0.0/16-172.31.0.0/16(只要是172.16开头的一直到172.31开头的都是私有IP地址,不管子网掩码是多少)
    3. 192.168.0.0/16(只要是192.168开头的,不管子网掩码是多少)

  3. NAT主要实现公私有IP地址转换,一般是路由器或者防火墙上来完成,不建议在三层交换机上配置(目的就是为了减少IP地址不够用的问题)

  4. NAT有3大类:

    1. 静态NAT:(静态PAT,端口映射技术)(外网访问内网一般需要静态)

      1. 一对一映射,每个内部IP地址都映射到一个特定的公共IP地址(一般是针对服务器使用静态NAT)

    2. 动态NAT:

      1. 一对多映射,内部IP地址动态地映射到一组公共IP地址。(当外部池只有一个IP地址时,也有是多对一了,当其中一个主机占用着这个公网IP的时候,其他的主机也就无法上网)

    3. PAT(端口地址转换或NAT重载)(内网访问外网采用动态PAT):

      1. 多对一映射,多个内部IP地址通过不同的端口号共享一个公共IP地址。(路由器也会生成一个端口号)

        NAT1

    4. 定义内外网端口:

      1. 内到外:转换源IP
      2. 外到内:转换目标IP

    5. NAT命令:

      1. 定义内外网端口:

        NAT2

      2. 配置PAT:

        1. 没有进入端口,所以这个ACL就不代表是流量过滤了

          NAT3

      3. 配置静态端口转换:

        NAT4

    6. 路由器实现生成路由表,然后才是NAT转换表

    7. 从内网到外网是先路由再转换(也就是现生成路由表,然后才是NAT转换表),而从外网到内网是先转换再路由(根据NAT转换表进行转换,然后再根据路由表进行路由)

VPN技术:(协议)

  1. VPN(Virtual Private Network)虚拟专用网络/虚拟专网

  2. 引入:VPN可以实现在不安全的网络上,安全的传输数据,好像专网,VPN只是一个技术,使用PKI技术来保证数据的安全三要素

  3. 安全三要素:

    1. 机密性
    2. 完整性
    3. 身份验证/不可否认性

  4. 加密技术:

    1. 对称加密:
      1. 加密与解密使用相同的密钥
      2. 密钥是通信双方协商生成,生成过程是明文通信,密钥容易泄露
      3. 特点:速度快、安全性低
      4. 对称加密算法:DES、3DES、AES
    2. 非对称加密算法:
      1. 使用公私钥加密数据
      2. 公私钥成对生产,互为加解密关系
      3. 公私钥不能互相推算
      4. 双方交换公钥
      5. 使用对方的公钥加密实现机密性,使用自己的私钥进行签名,实验身份验证
      6. 特点:速度慢,安全性高
      7. 非对称加密算法:RSA、DH

  5. 完整性算法/hash值算法:MD5、SHA

  6. VPN的类型:

    1. 远程访问VPN:(Remote Access VPN)
      1. 一般用在个人到安全连接企业内部
      2. 一般出差员工或者在家办公,安全连接内网时使用
      3. 一般公司部署VPN服务器,员工在外拨号连接VPN即可
      4. 常见RA-VPN协议:PPTP VPN、L2TP VPN、SSTP VPN、EZ VPN、SSLVPN
    2. 点到点VPN:
      1. 一般用在企业对企业安全连接
      2. 一般需要在两个企业总出口设备之间建立VPN通道
      3. 常见的点到点VPN:IPsec VPN

  7. IPsecVPN(点对点):

    1. 属于点到点VPN,可以在两家企业之间建立VPN通道

    2. VPN隧道优点:安全性、合并两家企业内网

    3. VPN隧道技术:

      1. 传输模式:只加密上层数据、不加密私有IP包头、速度快
      2. 隧道模式(默认):加密整个私有IP包、包括IP包头、更安全、速度慢

    4. VPN隧道技术:重新封装技术+加密认证技术

    5. IPsecVPN分为2大阶段:

      1. 第一阶段:管理连接

        • 目的:通信双方设备通过非对称加密算法加密对称加密算法所使用的对称密钥

        • 命令:

          VPN1

      2. 第二阶段:数据连接

        • 目的:通过对称加密算法加密实际所要传输的私网数据

        • 命令:

          都是在全局模式下

          VPN2

          VPN3

          VPN4

          VPN5

      3. 查看命令:

        VPN6

    6. 路由器的工作原理:

      1. 内网–到–外网:先查看状态–NAT–策略(ACL)–路由–VPN–到外网

    7. 远程访问VPN:

      1. 在公司需要搭建VPN服务器
      2. VPN服务器需要对VPN客户端进行身份验证
      3. VPN服务器需要给VPN客户端下发权限及IP地址

参考链接: