1网络层基本概念
1.1 基础
功能
网络层要实现的功能是把数据包由源节点送到目的节点,要实现这一功能需要解决包括寻址、路由选择及连接的建立、保持和终止等一系列问题。
虚拟互联网络
指互联起来的各种物理网络的异构性是客观存在的,但是通过IP协议是这些性能各异的网络从用户的角度看起来好像是一个统一的网络。
1.2 IP地址的表示方法和分类
IP地址是在IP协议中用来标识网络中不同主机的地址,在Internet上唯一。
共有两种版本的IP协议,分为IPv4和IPv6(默认前一种)。
IP地址有二进制表示法和十进制表示法两种表示方法,通常使用十进制,共四段,每段范围0~255,采用点进行间隔。
mac地址是以太网节点的物理接口,是数据链路层通信使用的地址;IP地址是网络层通信使用的地址。
在西门子设备中通常使用PST分配IP地址。
1.2.1IP地址的格式
IP地址=网络ID+主机ID(Host ID+Network ID)
或
IP地址=网络ID+子网ID+主机ID(划分子网后)
网络ID对应网络编址,主机ID对应网络中的站点编址,这样有利于将多个站点连成组,从而更方便地找到实际的计算机。
同一个网络上的所有主机网络ID相同,即处在同一个网段。主机部分使用的位数决定了网络中可以容纳的主机数量。
1.2.2 IP地址分类
为适应不同规模的网络,IP地址分为了5个不同的地址类别(ABCDE五类)。
c类网络地址用于支持小型网络,由3B的网络地址和1B的主机地址组成,每个网络能容纳254个主机。
局域网的IP普遍是192.168开头,这是因为在ABC这三类地址中,绝大多数的IP地址都是公有地址,需要向国际互联网信息中心申请注册。但是在IPv4地址协议中预留了3个IP地址段,作为私有地址,供组织机构内部使用。在C类地址中为192.168.0.0–192.168.255.255。虽然在局域网内也可以使用其它地址段(由于NAT和子网掩码的存在),使用192.168开头完全是习惯使然。
摘自https://www.zhihu.com/question/19813460
为什么局域网的IP普遍是192.168开头?
2 IP网络通信分析
2.1不同层次通信过程分析
2.2 ICMP协议
除IP外,作为对IP的补充,网络层还包括其他一些重要协议,如ARP、RARP、ICMP和IGMP等。
ICMP(Internet Control Message Protocol)Internet控制报文协议。ICMP属于错误侦测与回报机制,它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
ICMP协议是通过IP协议发送的。
时间戳
时间戳是指格林威治时间1970年01月01日00时00分00秒(北京时间1970年01月01日08时00分00秒)起至现在的总毫秒数。
时间戳请求报文和时间戳应答报文用于测试两台主机数据报来回一次的传输时间。
ping命令
ping命令用来测试主机到主机之间是否可通信。
使用方式:PC端win+r,在弹出的运行框中写入CMD,然后输入ping IP/网址或ping -t IP/网址(持续测试,按ctrl+c停止)
ping使用的是ICMP协议。
2.3 ARP/RARP协议
尽管在不同层中使用了不同协议,实际的网络通信过程最终是通过在链路层上使用MAC地址进行寻址的。
地址解析协议(Address Resolution Protocol,ARP)用来根据IP地址完成MAC地址的寻址;
反向地址解析协议(Reverse Address Resolution Protocol,RARP)用来根据MAC地址完成IP地址寻址。
3 IP协议
IP协议的工作原理是源节点的运输层把要传输的数据流分为一个个的数据报文,交给网络层;网络层根据一定的算法,为每个数据报文单独选择路由,每个数据报文沿着所选择的路由到达目的节点后,有目的节点的网络层拼装成原始的数据报文,然后上交给目的节点的传输层。
IP协议不保证服务的可靠性,不提供任何核查或追踪功能,不检查报文的遗失或丢弃,端到端的差错控制及数据报流的排序等工作都由高层协议负责。
IP数据报是网络层传输数据的基本单元。IP数据报的转发一般是通过路由器完成的。
3.1 IP数据报的结构
IP数据报由首部和数据部分构成。首部包含了数据目的地和其它数据之间的关系,数据部分包含该实体携带的要从原计算机传递到目的计算机的信息。首部由固定部分和可变部分组成,固定部分必须具备。
下图摘自百度百科 IP数据报
源地址
目的地址
服务类型:表示IP服务的质量,当其值为0、1、2时,表示优先级服务。
生存时间:(time to live,TTL)该值表明数据报在网络中实际可通过的路由器数目的。由传送IP数据包的主机赋予初始值,每通过一个路由器就减1,值为0时,该帧被丢弃,值范围(1-255),ping命令中可见。
TCP/IP中的网络层基于无连接的不可靠数据报文服务,这移位着每个数据报文都必须包含目的节点的地址。
3.2数据报分片和重组
链路层具有最大传输单元MTU这个特性,它限制了数据帧的最大长度,不同的网络类型都有一个上限值。如果网络层有数据报要传,而且数据报的长度超过了MTU,那么网络层就要对数据报进行分片(fragmentation)操作,使每一片的长度都小于或等于MTU,在数据传送到目的端后进行分片的重组。
3.3数据包与数据报
4子网技术
子网是指在一个IP地址上生成的若干个逻辑网络,即一个网络地址代表多个网络地址。
4.1子网划分
划分的原因
在一个网络上,通信量和主机的数量成比例,而且和每个主机产生的通信量的和成比例。随着网络规模的增大,通信量的增长将导致网络性能的下降。
由于一组主机倾向于互相通信,可以以此为依据划分子网,隔离各组间通信量以减轻网络负担。
子网划分方法为从主机号借用若干个位作为子网号,子网划分后IP地址结构如下:
IP地址=网络ID+子网ID+主机ID
划分子网为网络内部的事情,网络对外表现为没有划分子网的网络形式,即对外只存在一个网络,也就是网络号所代表的网络,这是由于IP地址网络号不变。
不同子网间需通过路由器进行通信。
4.2子网掩码
使用子网是为了减少IP的浪费。为了提高IP地址的使用效率,可以把一个网络通过子网掩码划分成多个子网。
子网掩码(Subnet Mask,SM)是一种用于屏蔽IP地址的网络部分,以区分一个IP地址中网络标识和主机标识的位掩码。
子网掩码的唯一作用为将某个IP地址划分成网络地址、子网地址和主机地址3部分。子网掩码不能单独存在,必须结合IP地址一起使用。
在二进制中,子网掩码仅包含一个连续1序列,子网掩码的组成就是把代表网络地址的部分均置为1,代表主机的部分均置为0,因此可以明确标识出网络部分的地址到何处为止。在同一个子网内所有设备的子网掩码都是相同的。
IP地址的二进制表示方法与子网掩码二进制表示方法进行按位与操作将得出子网地址。
默认子网掩码即未划分子网。C类网络默认子掩码为255.255.255.0
子网掩码的另一种表现方式
在IP地址(或网络号)后加上"/"符号以及1-32的数字,其中1-32的数字表示子网掩码(二进制形式)中前面1的个数。
4.3 概念区分
4.3.1 子网和VLAN的区分
https://www.zhihu.com/question/51675361?sort=created
VLAN 划分与子网划分联系与区别?
子网划分位于网络层,而VLAN划分位于数据链路层。
VLAN经常是和IP子网划分一起使用的,一个VLAN配一个IP子网,但是它们是独立的第2层和第3层构造,二者不存在必然的对应关系,这在设计网络时增加了灵活性。
仅划分子网时,不同子网在网络层无法进行通信,但数据链路层的报文是可达的,只不过在网络层被丢弃了;因此子网划分不能代替VLAN划分,只进行子网划分而不进行VLAN划分是没有意义的。vlan划分主要用于广播隔离。只进行VLAN划分而不进行子网划分虽然理论上可行,但不利于网络管理。
4.3.2 子网和局域网的区分
子网是网络层的概念,局域网是数据链路层的概念。
二者区别同子网与VLAN的区分相似,因为VLAN就是在LAN的逻辑上划分成多个广播域,而一个广播域对应一个 VLAN。
5硬件设备
5.1三层交换机
以下摘自https://www.cnblogs.com/josie-xu/p/10477177.html
三层交换机和路由器的区别
三层交换机虽然也具有“路由”功能,但是与路由器还是存在着相当大的本质区别的。三层交换机同时具备了数据交换和路由转发两种功能,但其主要功能还是数据交换;而路由器仅具有路由转发这一种主要功能。
工业交换机分为管理型交换机和非管理型交换机。
管理型交换机属于网络层设备,具备即插即用功能,支持SNMP 和 Web 管理、Telnet 等,极大改进了诊断、调试和组态等功能,需要通过web界面进行组态,支持故障诊断。
5.2路由器(router)
路由器是连接两个或多个网络的硬件设备,在网络间起网关的作用,因此有时也称网关(Gateway),其主要功能是进行路由选择和分组转发。转发时,路由器读取分组的网络层协议头(如IP头),根据其目的地址信息(IP地址),选择合适的路由,把该分组信息传递到下一个路由器或最终目的主机。
路由器通常带有管理控制功能。
路由器和交换机的区别
以太网交换机是利用目的节点MAC地址作为其转发决策,而路由器则利用协议报头中的网址作为其转发决策。现在某些交换机也具有了路由选择功能。
路由器的结构
路由器由输入/输出部分、包转发或包交换部分、路由计算或处理部分组成。
路由器和路由是两种不同的概念。
5.3接入点和客户端
无线AP(Access Point):即无线接入点,它是用于无线网络的无线交换机,也是无线网络的核心,是移动计算机用户进入有线网络的接入点,其功能是把有线网络转换为无线网络。
AP在WLAN中就相当于发射基站在移动通信网络中的角色。
客户端:相当于无线网卡
5.3.1信道划分
WLAN信道列表是法律所规定的IEEE 802.11(或称为WiFi)无线网络应该使用的无线信道。
WLAN有两个工作频段:2.4G和5G。这两个频段都是非授权频段,只要符合国家法规,不经授权就可使用。
2.4GHZ频段的信道划分
2.4G 频段的频带宽度有 83Mhz,被划分为 13 个信道,每个信道带宽 20Mhz,这些信道必然有重叠的部分。可以选择(1、6、11)、(3、8、13)或者(1、5、9、13),这三组信道每一组的三个信道是不重叠的。
5GHZ频段信道划分
2.4GHz穿透性好于5GHz,但5GHz传输距离好于2.4GHz。
6路由技术
6.1基本概念
路由是指路由器从一个接口上收到数据包,根据数据包的目的地址进行定向并转发到另一个接口的过程。
路由的过程为:
- 选用合适的路由算法,确定最佳路径
- 通过网络传输信息
6.2路由表
路由表存储着指向特定网络地址的路径。路由表中含有网络周边的拓扑信息。路由表建立的主要目标是为了实现路由协议和静态路由选择。
不考虑子网的情况下,路由表包含了两个表项:目标地址和下一跳的地址。
网络规模将影响路由表的长度和检索效率。
路由选择策略
静态路由选择策略:即非自适应路由选择。静态路由是在路由器中设置的固定的路由表。除非管理员干预,否则静态路由不会发生变化。一般用于网络规模不大、拓扑结构固定的网络中。
当动态路由与静态路由发生冲突时,以静态路由为准。
动态路由选择策略:即自适应路由选择。动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由器表的过程。
常用度量
跳数(hop count):数据包到达目的地必须通过的路由器数。跳数越少,该路由越好。路径常被用于描述到达目的地的跳数。
6.3典型路由协议
路由协议(Routing protocol)是一种指定数据包转送方式的网上协议。在互联网中,一个自治系统(autonomous system,AS)是一个有权自主地决定在本系统中应采用何种路由协议的小型单位,一个自治系统往往对应一个组织实体(例如一所大学,一个企业或者一个公司个体)内部的网络与路由器集合。用于自治系统内部的路由协议为内部网关协议(Interior Gateway Protocol,简称IGP)各内部路由器协议的区别在于距离度量标准和路由刷新算法不同。
RIP、OSPF是使用较为广泛的IGP类协议。
RIP协议
RIP(Routing Information Protocol,路由信息协议)是基于距离矢量算法的路由协议,利用跳数,即metirc来衡量到达目标地址的路由距离。
OSPF协议
OSPF(Open Shortest Path First,开放式最短路径优先)
7其它相关
多播
多播是指一台主机发出的包可以同时被其它多个有资格的主机接受,这些主机形成了一个组,它们在组内的通信是广播式的。
此外多播可用于不属于同一子网的主机,而广播不能跨越子网发送。
单播(unicast:point to point),点到点的通信方式;
多播(multicast:point tO multipoint),点到多点的通信方式;
广播(broadcast:point to all point),点到所有节点的通信方式。
NAT
NAT(Network Address Translation,网络地址转换),允许一个网络(多个内部地址)以一个公用IP地址出现在Internet上。
NAT常用类型有NAPT(Network Address Port Translation,网络地址端口转换)可将多个内部地址映射为一个合法公网地址,但以不同的协议端口号与不同的内部地址相对应,也就是<内部地址+内部端口>与<外部地址+外部端口>之间的转换。
VPN
虚拟专用网络(Virtual Private Network,VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。
在内网中架设一台VPN服务器,用户通过互联网上的公用链路连接VPN服务器进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样(虚拟专用)。其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。
Intranet penetration
其实现内网与公网(家庭网络/工作网络与因特网)间通信。
相关概念:
2. Intranet penetration: 又称 NAT penetration, 其设计目的是为了使具有某一个特定源 IP 地址和源端口号的数据包不被 NAT 设备屏蔽而正确路由到内网主机。
3. Intranet penetration tool: Ngrok, 花生壳, Frp, vpn, N2N
4. IP Port Mapping: 是 NAT 的一种,端口映射是把公网IP地址的某一个端口映射到内网的某台主机的某台端口。
5. **Proxy Server **: 功能是代理网络用户去取得网络信息。 形象地说, 它是网络信息的中转站, 是个人网络和 Internet 服务商之间的中间代理机构, 负责转发合法的网络信息, 对转发进行控制和登记。
简单来说,Intranet penetration就是将内网公网通过NAT隧道打通,从而让内网的数据让公网可以获取。
Implementation of Intranet penetration
常用的Intranet penetration proxy server有NPS,是github 上的开源软件:NPS-GitHub
2920
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
