计算机网络 第四章 网络层

网络层概述

网络层其实还可以分为：数据平面和控制平面，数据平面主要是执行转发的功能；而控制平面主要是路由选择功能。

基于IP地址的路由转发过程

• 发送一个数据报，先要访问DNS服务器，把域名转换成IP地址。
• IP数据报中包含源地址和目的地址，在局域网中用ARP地址转换协议，将IP地址转换成MAC地址，当发送广播时产生匹配，数据报来到了边缘路由；每一个路由都有一个转发表；根据这个转发表，决定下一跳的物理地址；就这样直到到达目的地。

 

转发表一开始是怎么配置的？

再进行转发之前，路由算法决定了插入沿路路由中转发表的内容：路由途径是由软件算出来的（并负责更新），所以在控制平面也叫软件定义网络（SDN）;那么路由器和远程控制器是如何通信的呢？一般每个路由器中已经有了你这个路径的转发表，因为你以前用过，如果说你以前没有用过那么远程控制器就会给你计算最优的路径，计算好了就分发给各个沿途的路由器。

转发表更新

 

IP编址

32位的IP地址    层次化位网络部分和主机部分；也就是说，路由器只关心到某一个网段怎么走。

官方的划分：五类，但常用的只有三类。

IP地址的点分十进制：看到IP地址的二进制，要立马把它分成四份，每一份八位，立马反映出每八位的十进制。

范围：A类：1 -- 127（因为八位地址的首位是固定的0；结束的地方不能超过  10000000 -1 = 2^7 -1 = 127 ）

           B类： 128.0-255  ---191.0-255（10固定；起始位就是 10 000000 就是 128.0-255 ； 结束位不能超过 11000000 -1 =191）

           C类：192.0-255 --- 223.0-255（1110 0000）

注意：A类地址里的127.很特殊，代表本机地址；

特殊的几个地址：

127.0.0.1 （只有前四位有要求，本地环回地址）

169.254.0.1 （在没有获得分配的地址下，本段地址可通；访问不了外网）

保留给内网使用

10.0.0.0 （只要第一个八位是 十就行）

172.16.0.0 --- 172.31.0.0

192.168.0.0 --- 192.168.255.0

 

子网划分

超网

为了能够合并两个网段为一个网段：

DHCP 动态主机配置

 

静态IP地址（电脑固定位置，基本不动）

动态IP地址（移动电脑，笔记本，肯定是动态分配的）

DHCP就是一个网络上的地址分配服务器

过程：

 

什么是防火墙

在电脑中，防火墙是一种装置，它是由软件或硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限。换言之，防火墙是一个位于被认为是安全和可信的内部网络与一个被认为是不那么安全和可信的外部网络(通常是Internet)之间的一个封锁工具。防火墙是一种被动的技术，因为它假设了网络边界的存在，它对内部的非法访问难以有效地控制。因此防火墙只适合于相对独立的网络，例如企业内部的局域网络等。

二、防火墙的基本准则

1.过滤不安全服务

基于这个准则，防火墙应封锁所有信息流，然后对希望提供的安全服务逐项开放，对不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。这是一种非常有效实用的方法，可以造成一种十分安全的环境，因为只有经过仔细挑选的服务才能允许用户使用。

2.过滤非法用户和访问特殊站点

基于这个准则，防火墙应先允许所有的用户和站点对内部网络的访问，然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。这种方法构成了一种更为灵活的应用环境，网络管理员可以针对不同的服务面向不同的用户开放，也就是能自由地设置各个用户的不同访问权限。

三、防火墙的基本措施

防火墙安全功能的实现主要采用两种措施。

1.代理服务器(适用于拨号上网)

这种方式是内部网络与Internet不直接通讯，内部网络计算机用户与代理服务器采用一种通讯方式，即提供内部网络协议（NetBIOS、TCP/IP），代理服务器与Internet之间的通信采取的是标准TCP/IP网络通信协议，防火墙内外的计算机的通信是通过代理服务器来中转实现的，结构如下所示:

内部网络→代理服务器→Internet

这样便成功地实现了防火墙内外计算机系统的隔离，由于代理服务器两端采用的是不同的协议标准，所以能够有效地阻止外界直接非法入侵。

代理服务器通常由性能好、处理速度快、容量大的计算机来充当，在功能上是作为内部网络与Internet的连接者，它对于内部网络来说像一台真正的服务器一样，而对于互联网上的服务器来说，它又是一台客户机。当代理服务器接受到用户的请求以后，会检查用户请求的站点是否符合设定要求，如果允许用户访问该站点的话，代理服务器就会和那个站点连接，以取回所需信息再转发给用户。

另外，代理服务器还能提供更为安全的选项，例如它可以实施较强的数据流的监控、过滤、记录和报告功能，还可以提供极好的访问控制、登录能力以及地址转换能力。但是这种防火墙措施，在内部网络终端机很多的情况下，效率必然会受到影响，代理服务器负担很重，并且许多访问Internet的客户软件在内部网络计算机中无法正常访问Internet。

2.路由器和过滤器

这种结构由路由器和过滤器共同完成对外界计算机访问内部网络的限制，也可以指定或限制内部网络访问Internet。路由器只对过滤器上的特定端口上的数据通讯加以路由，过滤器的主要功能就是在网络层中对数据包实施有选择的通过，依照IP（Internet Protocol）包信息为基础，根据IP源地址、IP目标地址、封装协议端口号，确定它是否允许该数据包通过。这种防火墙措施最大的优点就是它对于用户来说是透明的，也就是说不须用户输入账号和密码来登录，因此速度比代理服务器快，且不容易出现瓶颈现象。然而其缺点也是很明显的，就是没有用户的使用记录，这样我们就不能从访问记录中发现非法入侵的攻击记录。