网络基础
网络认知
网络架构&解决方案
1.网络架构&解决方案概述:了解传统网络架构及现阶段网络安全在传统网络架构中的
位置
配置优化和冗余解决方案来提升网络性能
网络架构分层(接入层、汇聚层、核心层)是为了快速排查问题。
接入层:同一局域网中心
汇聚层:不同局域网中心
核心层:确保安全的同时保证网络中的所有/部分人员访问外网
现阶段网络中最重要的因素:
1、优化。保证网络中的路径最优。
2、确保网络可靠性,避免单点故障带来问题。
3、网络安全。
4、统一管理、运维。
5、展望未来。下一代网络到云上。
网络模型&网络安全
2.网络模型&网络安全: 掌传统OSI、TCPVP模型与网络安全之间的关系
OSI&TCP/IP协议基础
OSI七层模型
上三层:
7、应用层:提供应用程序
6、表示层:处理数据格式、数据加密等
5、会话层:建立、维护和管理会话
下四层:主要是寻址和转发
4、传输层:建立主机端到端连接
3、网络层:寻址和路由选择
2、数据链路层:提供介质访问、链路管理等
1、物理层:比特流传输
每一层利用下一层提供的服务与对等层(如HOST A的网络层利用数据链路层提供的服务与HOST B的网络层通信)通信。
网络数据流处理流程
拆封装到网络层(寻址和路由选择),知道目的地址,就可以下一步传递。
TCP/IP和OSI的对应关系
TCP/IP协议栈具有简单的分层设计,与OSI模型有清晰的对应关系
TCP/IP协议栈封装解封装过程
TCP/IP协议栈各层作用
传输层以上的协议有端口号,以下无端口号。例如HTTP-80,Telnet-23,FTP-20(传输数据)-21(传输控制信息)
TCP面向连接,可靠可控。UDP无面向连接,不可靠不可控。TCP连接需要三次握手,四次挥手,UDP单方面建立连接。
TCP三次握手,四次挥手
TCP/IP协议安全
IPV4安全隐患
1、缺乏数据源验证机制
2、缺乏完整性验证机制
3、缺乏机密性保障机制
TCP/IP协议栈常见安全风险
常见网络攻击方式
主动攻击和被动攻击。
主动攻击:窃取信息
被动攻击:拒绝服务、假冒攻击(假冒部分+数据载荷)、篡改攻击(报文首部+篡改内容)
路由
网络编址
IP基础
1、IP地址由32个二进制组成,通常用点分十进制形式表示。
2、IP地址分为网络部分和主机部分。
例如,192.168.1.1
| 进制 | 网络位 | 主机位 |
|---|---|---|
| 十进制 | 192.168.1 | .1 |
| 二进制 | 11000000.10101000.00000001 | .00000001 |
192.168.1.0是第一个地址,代表网段(主机位二进制全为0,十进制为0),不能使用
| 网络位 | 主机位 |
|---|---|
| 192.168.1 | .0 |
| 11000000.10101000.00000001 | .0000000 |
192.168.1.255是最后一个地址,作为广播地址(主机位二进制全为1,十进制为255),不能使用
| 网络位 | 主机位 |
|---|---|
| 192.168.1 | .255 |
| 11000000.10101000.00000001 | .11111111 |
192.168.1.253作为网关,不可使用。
| 网络位 | 主机位 |
|---|---|
| 192.168.1 | .253 |
| 11000000.10101000.00000001 | .11111101 |
网关的作用是转发来自不同网段之间的数据包。
同一局域网通信,二层通信(数据链路层通信)时不用网关,三层通信(网络层通信)时必须使用网关。
同一网段通信(网络位相同)不需要依靠网关转发,不同网段通信必须依靠网关转发。
IP详细介绍见https://s1gma0.github.io/2023/08/31/IP/
子网划分&掩码聚合
子网掩码是用来指明某一个ip地址的的哪些位标识的是主机所在的子网,哪些位标识是主机的位掩码。
通过IP地址和子网掩码的二进制与运算,可以得出主机的网络位和主机位。
如下,192.168.1.0和255.255.255.0(/24)相与
IP地址 1100 0000 1010 1000 0000 0001 0000 0000
子网掩码 1111 1111 1111 1111 1111 1111 0000 0000
二者相与 1111 1111 1111 1111 1111 1111 0000 0000
可知,前24位是网络位,即192.168.1,后8位为主机位,即.0
它的表示方法如下两种:
1、192.168.1.n/24 /24表示子网掩码二进制标识法中的前24位为1
2、192.168.1.n 255.255.255.0
常用的子网掩码有255.255.0.0(/16)、255.255.255.0(/24)
子网划分
192.168.1.1/26 192.168.1.129/30
1100 0000 1010 1000 0000 0001 0000 0001 192.168.1.1
1111 1111 1111 1111 1111 1111 1100 0000 /26
1100 0000 1010 1000 0000 0001 0000 0000 192.168.1.0(网络位)
1100 0000 1010 1000 0000 0001 1000 0001 192.168.1.129
1111 1111 1111 1111 1111 1111 1111 1100 /30
1100 0000 1010 1000 0000 0001 1000 0000 192.168.1.128(网络位)
网络位+主机位=32
1、192.168.1.1/26
主机位=32-26=6 2^6=64个地址 192.168.1.0-192.168.1.63
由于192.168.1.0 网段
一般使用网段的第一个或最后一个可用地址作为网关
192.168.1.63 作为广播地址
可用地址数=64-2=62
可用的地址范围192.168.1.1-62
2、192.168.1.129/30=2
主机位=32-30
3、192.168.1.0/24 网络位:24位 主机位:32-24=8位
网络位:192.168.1.0
主机位:2^8=256个地址
主机位可用地址:256-2=254个
假如有35台电脑,就需要35个终端地址和1个网关地址,共36个地址
此时因为有256个地址可用,有点浪费,仅需要6个主机位,2^6=64个地址即可。
网络位=32-6=26 仅需要192.168.1.0/26
1100 0000 1010 1000 0000 0001 0000 0000 192.168.1.0
1111 1111 1111 1111 1111 1111 1100 0000 /26
网络位:192.168.1.0
可用地址:192.168.1.1-62
可变长子网掩码
可变长子网掩码(Variable Length Subnet Mask,可变长度子网掩码):规定了如何在一个进行了子网划分的网络中的不同部分使用不同的子网掩码。
VLSM就是在类的IP地址的基础上,从它们的主机号部分借出相应的位数来做网络号,也就是增加网络号的位数。
VLSM合理划分网段,节省IP地址。
现有一个C类网络地址段 192.168.1.0/24,使用变长子网掩码给下列三个子网分配IP地址
财务终端数:30,业务终端数:10,总裁组终端数:2
2^5=32 财务网络位=32-5=27 192.168.1.0/27 1.0-1.31 可用地址:1.1-1.30 需要分配30+1个地址
2^4=16 业务网络位=32-4=28 192.168.1.32/28 1.32-1.47 可用地址:1.33-1.46 需要分配10+1个地址
2^2=4 总裁组网络位=32-2=30 192.168.1.48/30 1.48-1.51 可用地址:1.49-1.50 需要分配2+1个地址
(需要分配地址+1是因为需要网关来实现不同网段的通信)
掩码聚合
无类别域间路由
无类域间路由CIDR (Classless nter Domain Routing) 由RFC1817定义,CIDR突破了传统IP地址的分类边界,将路由表中的若干条路由汇聚为、条路由,减少了路由表的规模,提高了路由器的可扩展性。
如上图示,一个企业分配到了一段A类网地址,10.24.0.0/22。该企业准备这些A类网络分治各个用户群,目前已经分配了四个网段给用户,如果没有实施CIDR技术,企业路由器的路由表中会有四条下连网段的路由条目,并且会把它通告给其他路由器,通过实施CIDR技术,我们可以在企业的路由器上将淡四条路由10.24.0.0/24,10.24.1.0/24,10.24.2.0/24,10.24.3.0/24汇聚成一条路由10.24,0.0/22这样,企业路由器只需通告10.24..0/22这一条路由大大减小了路由表的规模。
聚合的时候,完全相同的留下,不同的舍去。偶聚奇不聚(奇数的时候不能聚合)。
0.0 1.0 2.0 的二进制形式缺少11形式,不能三个一起聚合。因此只能0.0,1.0聚合。
网络路由基础
路由器认知
自治系统(AS):由同一个机构管理、使用统一路由策略的路由器的集合。
路由选路:路由器负责为数据包选择一条最优路径,并进行转发。
路由器转发数据包时,需要知道下一跳和出接口才能将数据转发出去。
路由表
路由表中包含了路由器可以到达的目的网络,目的网络在路由表中不存在的数据包会被丢弃。
路由表中的路由有三种来源:直连路由、静态路由、动态路由。
路由器选择最优路由的顺序:最长掩码匹配————–路由优先级—————–cost开销10^8除以带宽值
最长掩码匹配规则:路由表中有多个匹配目的网络的路由条目,则路由器会选择掩码最长的条码。下图中就会选择第二条。
路由优先级:每一个路由协议都有协议优先级(数值越小,优先级越高),当有多个路由信息时,选择是最高优先级的路由作为最佳路由。
| 路由类型 | Direct | OSPF | Static | RIP |
|---|---|---|---|---|
| 优先级 | 0 | 10 | 60 | 100 |
路由度量(路由开销cost):对于相同路由类型(协议),当到达某个目标网段有多条路由供选择时,此时路由器会优先选cost值较小的链路,开销数字越小越优先。
静态路由基础
静态路由认知
静态路由是指由管理员手动配置和维护的路由
在广播型的接口(如以太网接口)上配置静态路由时,必须指定
下一跳地址
负载分担&路由备份
浮动静态路由再网络中主路由失效的情况下,会加入到路由表并承担数据转发业务。
在主链路正常的情况下,只有主路由会出现在路由表中;在主链路出现故障时,浮动静态路由会被激活并加入到路由表中,承担数据转发业务。
缺省路由
缺省路由是目的地址和掩码为全0的特殊路由 0.0.0.0/0
如果报文的目的地址无法匹配路由表中的任何一项,路由器将选择依照缺省路由来转发报文。
VLAN间路由
VLAN在分割广播域的同时也限制了不同VLAN间的主机进行二层通信的能力。
VLAN路由-三层交换机为每个VLAN创建一个VLANIF接口作为网关
交换
VLAN原理和配置
VLAN的起源
在传统局域网中,随着主机数量的增加,共享网络中的冲突会越来越严重,交换网络中的广播也会越来越多。
VLAN能够隔离广播域。
VLAN的帧格式
通过tag区分不同VLAN
VLAN标签长4个字节,直接添加在以太网帧头中,IEEE802.1Q文档对VLAN标签作出了说明。
TPID: Tag Protocol Identifier.2字节,固定取值,0x8100,是IEEE定义的新类型,表明这是一个携带802.1Q标签的帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃。
常见链路类型
用户主机和交换机之间的链路为接入链路(Access),交换机与交换机之间的链路为干道链路(Trunk)。
PVID
PVID表示端口在缺省情况下所属的VLAN
PVID的作用是防止交换机把收到的一个裸帧(没有tag的帧,无VLAN ID)直接丢弃
缺省情况下,X7系列交换机每个端口的PVID都是1.
端口类型-Access
1、Access端口在收到数据后会添加VLAN Tag,VLAN ID和端口的PVID相同
2、Access端口在转发数据前会移除VLAN Tag
端口类型-Trunk
Trunk允许多个不同VLAN同时通过
1、当Trunk端口收到帧时,如果该帧不包含Tag,将添加上端口的PVID;如果该帧包含Tag,则不改变
2、当Trunk端口发送帧时,该的VLANID在Trunk的允许发送列表中;若与端口的PVID相同时,则剥离Tag发送;若与端口的PVID不同时,则直接发送
VLAN的配置
1、创建VLAN
2、修改接口类型
3、设置接口允许通过的VLAN ID
1 | system-view |
1、如果一个Trunk链路PVID是5,且端口下配置port trunk allow-pass vlan 2 3,那么哪些VLAN的流量可以通过该Trunk链路进行传输?
VLAN 1 2 3都可以通过,因为Trunk接口允许VLAN 1通过
2、PVID为2的Access端口收到一个不带标记的顿会采取什么样的动作作?
收到数据后会添加VLAN Tag,VLAN ID和端口的PVID相同,即为2
整体总结
conadmin conadmin rsas
admin Nsf0cus@123