⚡️ 我的博客主页——注意安全的博客
文章目录
目录
一、网络的概念
1、网络的定义:是由网络互联设备通过网络链路的传输介质将终端设备连接起来进行资源共享、信息传输的平台。
信息安全的三要素CIA(“金三角”):
- 保密性(Confidentiality):确保信息只被授权用户获取,不会被泄露给非授权用户、实体或过程。
- 完整性(Integrity):保证信息在输入、传输和处理过程中不被非法授权用户修改和破坏,确保数据的一致性。
- 可用性(Availability):确保合法用户能够及时、可靠地访问信息和资源,不会被不正当地拒绝。
🙋“金三角”CIA是信息安全的核心,它们共同确保信息系统的安全性、可靠性和可控性。
2、网络的分类:资源子网、通信子网
- 资源子网:包括终端设备
- 通信子网:包括传输介质、网络互联设备
3、网络的组成:网络互联设备、传输介质、终端设备
- 网络互联设备:例如路由器、交换机、防护墙、IDS、IPS、无线接入点AP、无线控制器AC、基站、集线器、网桥
- 传输介质:例如光纤、同轴电缆、双绞线、光缆、无线
- 终端设备:例如PC、手机、ipad、无线控制器、导航、收费终端
⚠️ 提问:
1、小型企业网络和大型企业网络的组网有什么差别?
覆盖范围上
用户数量上
网络扩展性
网络设备类型上
拓扑结构上
成本上
性能要求上
2、大型企业网络设计的基本思想是什么?
企业业务除了要满足基本的CIA:保密性、完整性、可用性,还需要保证网络的可扩展性、高性能、满足多用户同时接入网络的稳定性、安全性,以及便于维护管理能力。
二、网络发展
网络 | 2G | 3G | 4G | 5G |
能够传输的信息 | 通话、信息 | 图片 | 视频 | 0延迟的物联网 |
三、企业网三层架构BCMSN
BCMSN(构建Cisco的多层交换网络) :Building Cisco Multilayer Switched Networks
1、企业网的概念:企业组网不受区域限制,通过远程互联技术,将异地的用户设备连接起来。
2、企业网络架构:小型局域网+汇聚层、接入层、核心层+服务器集群
(1)接入层(二层交换机)
功能:接入终端设备。
💡 涉及技术:无线网络技术(AP无线接入点)、二层安全技术(vlan、生成树STP)
(2)汇聚层(三层交换机)
💡 涉及技术:
路由技术
vlanif技术(做 VLAN间的数据转发)
冗余技术(双链路备份)
链路聚合技术(相当于分流)
MSTP多生成树协议+VRRP虚拟网关冗余技术
堆叠技术
(3)核心层
功能:数据的告诉转发、NAT、访问控制ACL。
涉及技术:
💡 路由功能/技术:获取从源主机到目的主机的目的IP,与已有的路由条目进行比对,相同丢弃,不同转发。
路由条目:目的网段+下一跳
路由条目6要素:目的网段、子网掩码、下一跳、出接口、管理距离和度量值。
💡 vlanif技术:一般不用路由器划分广播域,因为路由器贵接口少,全用来做vlan网关不值得。
所以用三层交换机的VLANIF(华为设备这么叫)接口或单臂路由来做 VLAN间的数据转发
💡 VRRP技术:能通过两个实网关虚拟出一个网关进行使用。
💡 堆叠技术:原理是虚拟化技术,可以满足备份、接入和虚拟网关3个条件。
四、网络通信协议模型(设备与设备之间通信)
🙋协议的概念:网络传输数据时,事先决定数据的格式和传输的规则,且网络设备遵循这一系列“规则”对数据进行处理。
(总结的说:协议是数据格式和计算机之间交换数据时必须遵守的规则的正式描述。)
协议能使不同厂商的设备、不同CPU、不同操作系统之间,只要遵循相同的协议就能实现通信。
1、OSI七层模型
(1)OSI7层模型包括:应用层;表示层;会话层;传输层;网络层;数据链路层;物理层。
(2)各层功能:
- 应用层:提供人机交互的界面,让机器与用户进行交互。
- 表示层:将文字、图片、视频、声音等应用层的数据转换成机器语言。
常见的编码解码方式:utf-8、GBK国标码、Unicode(统一码、国际码、万国码、单一码)、base64编码
- 会话层:隔绝不同应用程序。
- 传输层:约束传输方式,为传输前做准备。
- 网络层:控制数据走向。
- 数据链路层:添加源MAC地址和目的MAC地址。
- 物理层:将上层传输来的数据转换成比特流,从网线中发送出去。(二进制数在网线中的形式:波(波:方波、正弦波、余弦波、三角波))
2、TCP/IP协议簇 (协议划分)
(1)TCO/IP协议栈分为两种:
TCP/IP4层协议簇:应用层;传输层;网络层;网络接口层。
TCP/IP5层协议簇:应用层;传输层;网络层;数据链路层;物理层。
🔔 标准是4层,为与OSI7层参考模型对等即为5层。
(2)PDU(协议的传输单元):
协议 | 应用层 | 传输层 | 网络层 | 数据链路层 | 物理层 |
PDU | 高等数据 | 数据段 | 数据包(报文) | 数据帧 | bit(比特) |
PDU除了协议的传输单元,还有什么含义嘞???
电源分配单元,也可以说是插板,在PoE供电技术中也会提到欧~~
(3)各层级知识点
💦 应用层
应用层常用协议:
协议 | 名称 | 端口号 | 特点 |
HTTP | 超文本传输协议 | 80 | HTTP和HTTPS的区别:HTTPS有加密机制(S为Secure保护)。 |
HTTPS | 超文本传输安全协议 | 443 | |
FTP | 文件传输协议 | 20、21 | 旧的协议,需要搭建FTP服务器。(直接传输文件) |
TFTP | 69 | 可进行账号密码登录。(登录账号后传输文件) | |
DNS | 域名解析协议 | 53 | 功能:IP地址和域名的转化。 |
POP3 | 邮局协议版本3 | 110 | 本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。 |
telnet | 远程登录控制 | 23 | 缺点:抓包即可查看密码。(易泄露密码) |
SSH | 22 | 非对称加密。(安全) | |
SMTP | 简单邮件传输协议 | 25 | |
DHCP | 67 | ||
SNMP | 简单网络管理协议 | 162 | ☁️SNMP(简单网络管理协议)的默认管理进程(NMS)端口号是162, 用于接收SNMP Agent发送的Trap或Inform消息。 ☁️SNMP的代理进程(AGENT)端口号是161, 用于发送响应和管理进程的请求。 |
💦 传输层(FCS)
传输层协议特点:
传输方式 | TCP | UDP |
传输速度(>100ms) | 慢 | 快 |
可靠性 | 高(知是否丢包) | 低(偶尔网络差时才不可靠) |
面向连接 | 面向连接 | 非面向连接 |
传输效率 | 低(数据量少) | 高 |
使用场景 | 文字、邮件 | 视频、直播 |
💦 网络层
IPv4报文格式:
💦 数据链路层(FCS)
💦 物理层
五、常见的组网设备
1、集线器(HUB)(已淘汰)
(1)集线器:相当于一代交换机,HUB是交换机的前身。但容易数据冲突(半双工),所以普遍认为一个HUB为一个冲突域。
(2)工作层级:物理层
(3)集线器数据冲突的解决办法:CSMA/CD技术
- CSMA/CD技术名称:带有冲突检测的载波监听多路访问技术
- CSMA/CD技术原理:先听后发、边听边发、冲突停发、随机延迟后再发。
✏️ 新知识敲黑板!!什么是冲突域?什么是广播域?
冲突域: 就是所有节点竞争同一带宽,从一个节点上发出的报文(无论是单播、组播、广播),除这个发送节点和接收节点会接收到相应的报文之外,和它同一个介质(也就是同一台物理设备)上其余所有的节点都会收到不应该出现在这些节点上的报文。
广播域: 广播报文所能到达网络的整个访问范围称为二层广播域,简称广播域,同一广播域内的主机都能收到广播报文。广播报文一般采用 ARP 协议进行广播。
2、交换机(数据链路层)
(1)交换机概述:
交换机工作在数据链路层,它有效地隔离了以太网中的冲突域,极大地提升了以太网的性能。需要着重掌握交换机的基本工作原理、掌握交换机的基本配置。
(2)交换机三大功能:
- 无线延长传输距离
- 实现单播
- 解决冲突域(三层交换机的vlanif技术)
因为交换机的工作方式为全双工,所以不会数据冲突。
💡 因为端口和端口之间不竞争资源,所以交换机一个端口才为一个冲突域。
(3)交换机的MAC地址表:
- 二层交换机:只有一个MAC地址表
- 三层交换机:交换会在默认一个Mac地址表
(4)交换机基本特性:
- 冲突域:
- 广播域
广播包能够到达的区域叫广播域,例如arp。
交换机默认所有的端口都处在同一个广播域中。通过vlan的划分,可以分割广播域。
(5)交换机转发原理:
3、路由器(网络层)
(1)路由器:能够将数据包转发到正确的目的地,并在转发过程中选择最佳路径的设备。
(2)路由器三大功能:
- 连接不同网络。
- 路由:即如何建立并维持路由表,正确描述网络拓扑。
- 划分(隔离)广播域:广播域默认为1个,但是可以用vlan技术划分多个广播域。
💡 问:三层交换机和路由器都能进行路由转发,二者非本质区别是什么呢?
三层交换机和路由器的唯一区别:路由器有NAT功能(网络地址转换功能)
4、防火墙
(1)防火墙:是一种安全系统,其目的是在内部网络与外部网络之间建立一个安全边界,以保护网络不受未授权访问和其他潜在威胁。
(2)防护墙分类:
- 包过滤防火墙(Packet Filtering Firewall)
基于网络层和传输层,通过分析数据包的源地址、目标地址、协议类型以及端D口号等信息,与预设的安全策略进行匹配,决定数据包是被允许通过还是被拒绝。简单高效,但安全性有限,无法深入到应用层识别复杂攻击手段。
- 状态检测防火墙(statefulInspection Firewall)
在包过滤防火墙的基础上增加了对数据流状态的跟踪和分析,例如TCP连接状态,从而更准确地判断数据流的合法性,并有效抵御一些简单攻击。
- 应用代理防火墙(Application Proxy Firewall)
工作在应用层,通过代理服务器处理进出网络的数据包,可以对数据包内容进行深度检查,识别应用层协议,并进行加密和解密。安全性高,但资源消耗大,处理速度慢 。
- 统一威胁管理(Unified Threat Management,UTM)
集成了传统防火墙、入侵检测、反病毒、URL过滤、应用识别和控制、邮件过滤等功能,提供全面的安全防护。简化了网络安全管理,但可能存在性能瓶颈。
- 下一代防火墙(Next-Generation Firewall, NGFW)
通过深入分析网络流量中的用户、应用和内容,基于高性能并行处理引警,为用户提供应用层一体化安全防护,全面应对应用层威胁。
- 硬件防火墙(Hardware Firewall)
作为独立的硬件设备,拥有自己的资源,可以是框式、盒式、桌面式或插板形。
- 软件防火墙(software Firewall)
以软件形式安装在计算机或服务器上,可以作为基于主机的防火墙保护单个设备,或作为虚拟化环境中的网络防火墙保护整个虚拟网络。
- 云防火墙(Cloud Firewall)
部署在云服务提供商环境中的防火墙服务,通过服务订阅的方式提供给客户,也称为防火墙即服务(FWaaS)。
(3)防护墙的功能:
- 隔离不同安全级别的网络
- 实现不同安全级别的网络之间的访问控制(安全策略)
- 用户身份认证
- 实现远程接入功能
- 实现数据加密和虚拟局域网专用网业务
- 实现网络地址的转换(NAT功能)
(4)部署方式:
- 网络边界:作为内部网络和外部网络之间的第一道防线。
- 内部网络:在网络内部部署,以隔离不同部门或区域。
- 云防火墙:在云环境中提供安全服务,保护云资源。
5、无线设备
(1)无线接入点AP:
- 胖AP:不受无线控制器AC的统一管理和配置。
- 瘦AP:由无线控制器AC统一管理和配置。
- 云AP:如阿里云盘、百度网盘等云盘。
(2)无线控制器AC:
- 含义:对瘦AP进行统一管理和配置。
- AC绿色节能优势的体现:
POE供电技术(以太网供电技术):解决电源线数量问题。使用POE交换机,pc有poe功能,即可单接一根网线,既可以供电又可以实现网线功能。
AC除了作为无线控制器对AP进行统一管理,还有什么嘞???
无线控制器AC:对AP进行统一管理。
上网行为管理器AC:实时监控上网行为。
六、传输介质
1、网线
(1)双绞线:是一种常见的网线,由2根绝缘细铜线相互缠绕而成。
网线分类标准 | 网线名称 | 特点 | 应用场景 |
拧度(标准)不同 | 一类(CAT1) | 线缆最高频率带宽是750kHZ,主要用于传输语音, 用于八十年代初期,现已被标准淘汰。 | |
二类(CAT2) | 传输带宽为1mhz, 用于语音传输最高速率4mbps,常见于使用4mb令牌传递协议和旧的令牌网,已经淘汰。 | ||
三类(CAT3) | 传输带宽为16mhz, 用于语音传输最高速率为10mbps的数据传输主要用于10BASE-T 。 | ||
四类(CAT4) | 传输带宽为20mhz, 用于语音传输和最高传输速率为16MBPS 主要用于基于令牌网和10BASE-T/100BASE-T ,已被淘汰。 | ||
五类(CAT5) | 该类线增加了线的密度 传输带宽为100MHZ,用于语音和最高传输速率为100MBPS数据传输, 主要用于100BASE-T 和10BASE-T 网络, 现已被超五类替代。 | ||
超五类(CAT5E) | 衰减小 抗干扰比五类线增加了近端串音功率的测试要求,更小延时,性能得到提高。超五类线的最大带宽为100MHZ。由此已成为目前主流网线的选择。 | ||
六类(CAT6) | 传输带宽为250MHZ, 提供于2倍于超5类的带宽,传输性能远超过五类线,适用于传输速率1GBPS的应用。六类线与超五类的不同在于 改善了串扰及回波损耗方面的性能,对于新一代全双工高速网络,优良回波损耗性能是极重要的。 | ||
超六类线(CAT6A) | 六类线的改进版, 主要应用于万兆位网络中。传输频率为500MHZ, 最大传输速率可达10GBPS,外部串扰等方面有较大的改善。 | ||
七类(CAT7) | 主要是为了适应万兆网以太网技术的应用和发展。但不再是一种非屏蔽双绞线,而是一种屏蔽双绞线所以传输速率至少可达600MHZ,可提供至少500MHZ的综合衰减对串扰比和600MHZ整体带宽, 传输速率可达10GBPS。主要应用在工程领域。 | ||
八类线 | |||
网络设备(线序)不同 | 交叉线 | T568A--T568B | 同层设备 |
直通线 | T568B--T568B | 不同层设备 | |
全反线 | T568A--全反A | ||
在100M的网络传输, 实际只使用了1、2、3、6四根线, 也就是橙白、橙、绿白、绿这四根线。 1、2线用于发送数据, 3、6线用于接受数据, 4、5线为备用线 , 7、8线则为电话线。 | |||
T568A线序:绿白绿 橙白蓝 蓝白橙 棕白棕 | |||
T586B线序:橙白橙 绿白蓝 蓝白绿 棕白棕 | |||
包装(屏蔽类型)不同 | 屏蔽双绞线(STP、FTP) | STP:每条线都有各自屏蔽层 | 机房 |
FTP:整体屏蔽 | |||
非屏蔽双绞线(UTP) | 一般用 | 家庭、企业 |
以太网标准 | 类别 | 最长传输距离 |
10BASE-T | 3对3/4/5类双绞线 | 100m |
100BASE-TX | 2对5类双绞线 | 100m |
1000BASE-T | 4对5e类双绞线 | 100m |
(2)同轴电缆:
以太网标准 | 类别 | 最长传输距离 |
10BASE5 | 粗同轴电缆 | 500m |
10BASE2 | 细同轴电缆 | 185m |
(3)串口电缆:
以太网标准 | 速率 |
V.24 | 1.2kbps~~64kbps |
v.35 | 1.2kbps~~2.04Mbps |
2、光纤
光纤分类 | 传输方式 | 优点 | 缺点 |
单模光纤 | 只能传输一种模式的光 | 传输距离远,速率高 | 成本高 |
多模光纤 | 可以传输多种模式的光 | 但成本低 | 传输距离短,速率低 |
以太网标准 | 类别 | 最长传输距离 |
10BASE-F | 单模/多模光纤 | 2000m |
100BASE-FX | 单模/多模光纤 | 2000m |
1000BASE-LX | 单模/多模光纤 | 316m |
1000BASE-SX | 多模光纤 | 316m |