思維導(dǎo)圖：

網(wǎng)絡(luò)參考模型

OSI參考模型和TCP/IP參考模型

應(yīng)用與數(shù)據(jù)

大部分應(yīng)用所產(chǎn)生數(shù)據(jù)需要在不同的設(shè)備之間傳輸。對于一名網(wǎng)絡(luò)工程師來說，更需要關(guān)注數(shù)據(jù)的端到端傳輸?shù)倪^程。

計算機(jī)只能識別0和1組成的電子數(shù)據(jù)（digital data）。

而對人來說，我們不具備讀取電子數(shù)據(jù)的能力，所以在讀取信息的時候，需要將數(shù)據(jù)轉(zhuǎn)成人能理解的信息。

OSI參考模型

OSI參考模型（Open Systems Interconnection Reference Model），是由國際標(biāo)準(zhǔn)化組織ISO于1984年發(fā)布的用于開放網(wǎng)絡(luò)互聯(lián)的模型，它由七個層級構(gòu)成。

TCP/IP參考模型

OSI參考模型較為復(fù)雜，且TCP和IP兩大協(xié)議在業(yè)界被廣泛使用，所以TCP/IP參考模型成為了互聯(lián)網(wǎng)的實際參考模型。

TCP/IP把表示層和會話層都?xì)w入應(yīng)用層，數(shù)據(jù)鏈路層和物理層合并為網(wǎng)絡(luò)接口層，所以分成4層模型，考慮數(shù)據(jù)鏈路層和物理層一般是分開處理的，所以一般采用最右邊的TCP/IP對等模型

TCP/IP協(xié)議棧常見協(xié)議

TCP/IP協(xié)議棧定義了一系列的標(biāo)準(zhǔn)協(xié)議。

應(yīng)用層

應(yīng)用層為應(yīng)用軟件提供接口，使應(yīng)用程序能夠使用網(wǎng)絡(luò)服務(wù)。應(yīng)用程序會基于某一種傳輸協(xié)議，以及定義傳輸層所使用的端口號。

典型應(yīng)用層協(xié)議

• HTTP：超文本傳輸協(xié)議，提供測覽網(wǎng)頁服務(wù)。

• Telnet：遠(yuǎn)程登陸協(xié)議，提供遠(yuǎn)程管理服務(wù)。

• FTP：文件傳輸協(xié)議，提供互聯(lián)網(wǎng)文件資源共享服務(wù)。

• SMTP：簡單郵件傳輸協(xié)議，提供互聯(lián)網(wǎng)電子郵件服務(wù)。

• TFTP：簡單文件傳輸協(xié)議，提供簡單的文件傳輸服務(wù)。

FTP

FTP（File Transfer Protocol）是一個用于從一臺主機(jī)傳送文件到另一臺主機(jī)的協(xié)議，用于文件的“下載”和“上傳”，它采用C/S（Client/Server）結(jié)構(gòu)。使用FTP傳輸數(shù)據(jù)時，需要在服務(wù)器和客戶機(jī)之間建立控制連接和數(shù)據(jù)連接。

FTP連接的建立分為主動模式和被動模式，兩者的區(qū)別在于數(shù)據(jù)連接是由服務(wù)器發(fā)起還是由客戶端發(fā)起。

當(dāng)需要穿越防火墻的時候，需要用被動模式

缺省情況下采用主動模式，用戶可以通過命令切換。服務(wù)器的端口21用于傳輸控制命令，端口20用于傳輸數(shù)據(jù)。

FTP連接主動模式建立過程：

1. 服務(wù)器打開端口21，啟動監(jiān)聽，等待連接；

2. 客戶端發(fā)起控制連接的建立請求，服務(wù)器響應(yīng)；

3. 客戶端通過控制連接發(fā)送PORT命令，將客戶端數(shù)據(jù)連接的臨時口號告訴服務(wù)器；

4. 服務(wù)器的20端口與客戶建立起數(shù)據(jù)連接。

FTP連接被動模式建立過程：

1. 服務(wù)器打開端口21，啟動監(jiān)聽，等待連接；

2. 客戶端發(fā)起控制連接的建立請求，服務(wù)器響應(yīng)；

3. 客戶端通過控制連接發(fā)送命令字PASV，告知服務(wù)器處于被動模式；

4. 服務(wù)器回應(yīng)，將數(shù)據(jù)連接的臨時端口號告訴客戶；

5. 客戶端與服務(wù)器的臨時口建立起數(shù)據(jù)連接。

SFTP

SFTP（Secure File Transfer Protocol，安全文件傳輸協(xié)議）是一種基于SSH（Secure Shell）提供文件安全傳輸?shù)木W(wǎng)絡(luò)協(xié)議。

FTP vs SFTP

• FTP：明文傳輸不安全，雙通道協(xié)議，端口號20 21

• SFTP：傳輸?shù)恼J(rèn)證信息和數(shù)據(jù)進(jìn)行加密， 單通道協(xié)議端口號22

Telnet

Telnet是數(shù)據(jù)網(wǎng)絡(luò)中提供遠(yuǎn)程登錄的標(biāo)準(zhǔn)協(xié)議。

Telnet可以為用戶實現(xiàn)在本地計算機(jī)上操作遠(yuǎn)程設(shè)備。

用戶通過Telnet客戶端程序連接到Telnet服務(wù)器。用戶在Telnet客戶端中輸入命令, 這些命令會在服務(wù)器端運行，就像直接在服務(wù)端的控制臺上輸入一樣。

STelnet

STelnet（Secure Telnet）是一種安全的Telnet服務(wù)，使用戶可以從遠(yuǎn)端安全登錄到設(shè)備，所有交互數(shù)據(jù)均經(jīng)過加密，實現(xiàn)安全的會話連接。Telnet是明文傳輸?shù)?，并不安全，使用STelnet可以極大提升安全性。

Telnet vs STelnet

• Telnet：明文傳輸，端口22

• STelnet：通過SSH密文傳輸，端口22

STelnet服務(wù)端與客戶端的協(xié)商過程包括以下五個階段：

• 版本協(xié)商階段：SSH目前包括SSHv1和SSHv2兩個版本，雙方通過版本協(xié)商確定使用的版本。

• 算法協(xié)商階段：SSH支持多種加密算法，雙方根據(jù)本端和對端支持的算法，協(xié)商出最終使用的加密算法。

• 密鑰交換階段：通過密鑰交換算法生成會話密鑰，此后雙方的會話均通過會話密鑰加密。

• 用戶認(rèn)證階段：SSH客戶端向服務(wù)器端發(fā)起認(rèn)證請求，服務(wù)器端對客戶端進(jìn)行認(rèn)證。

• 會話交互階段：認(rèn)證通過后，服務(wù)器端和客戶端進(jìn)行信息的交互。

HTTP

HTTP（Hyper Text Transfer Protocol）超文本傳輸協(xié)議是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。設(shè)計HTTP最初的目的是為了提供一種發(fā)布和接收HTML頁面的方法。

WWW是World Wide Web的縮寫，又稱為3W或Web，中文譯為“萬維網(wǎng)”

HTTPS

HTTPS（Hypertext Transfer Protocol Secure，超文本傳輸安全協(xié)議），是以安全為目標(biāo)的HTTP通道。

HTTP vs HTTPS

HTTP：明文傳輸，端口80

HTTPS:加入TLS據(jù)傳輸提供身份驗證、加密及完整性校驗，端口443，主流網(wǎng)站都用HTTPS

DNS

在瀏覽網(wǎng)頁時，我們輸入網(wǎng)址這個字符串，但計算機(jī)去訪問這個網(wǎng)址時，真正需要知道的是網(wǎng)址對應(yīng)域名的IP地址，這時就需要由專門的域名解析系統(tǒng)（Domain Name System，簡稱DNS）來完成。

域名解析分為動態(tài)域名解析和靜態(tài)域名解析。在解析域名時，首先采用靜態(tài)域名解析的方法，如果靜態(tài)解析不成功，再采用動態(tài)域名解析的方法。

IPv4靜態(tài)域名解析是通過靜態(tài)域名解析表進(jìn)行的，即手動建立域名和IPv4地址之間的對應(yīng)關(guān)系表，該表的作用類似于Windows操作系統(tǒng)下的hosts文件，

動態(tài)域名解析需要專用的域名解析服務(wù)器（DNS Server）運行域名解析服務(wù)器程序，提供從域名到IP地址的映射關(guān)系，負(fù)責(zé)處理客戶端提出的域名解析請求。

傳輸層

傳輸層協(xié)議接收來自應(yīng)用層協(xié)議的數(shù)據(jù)，封裝上相應(yīng)的傳輸層頭部，幫助其建立“端到端”的連接。

傳輸層負(fù)責(zé)建立主機(jī)之間進(jìn)程與進(jìn)程之間的連接

傳輸層協(xié)議：

• TCP：一種面向連接的、可靠的傳輸層通信協(xié)議，由IETF的RFC 793定義。

• UDP：一種簡單的無連接的傳輸層協(xié)議，由IETF的RFC 768定義。

TCP和UDP - 報文格式

TCP報文頭部：

• Source Port：源端口，標(biāo)識哪個應(yīng)用程序發(fā)送。長度為16比特；

• Destination Port：目的端口，標(biāo)識哪個應(yīng)用程序接收。長度為16比特；

• Sequence Number：序號字段，TCP連接中傳輸?shù)臄?shù)據(jù)流每個字節(jié)都編上一個序號。序號字段的值指的是本報文段所發(fā)送數(shù)據(jù)的第一個字節(jié)的序號。長度為32比特；

• Acknowledgment Number：確認(rèn)序列號，是期望收到對方下一個報文段數(shù)據(jù)的第1個字節(jié)的序號，即上次已成功接收到的數(shù)據(jù)段的最后一個字節(jié)數(shù)據(jù)的序號加1。只有ACK標(biāo)識為1，此字段有效。長度為32比特；

• Header Length：頭部長度，指出TCP報文頭部長度，以32比特（4字節(jié)）為計算單位。若Option字段無內(nèi)容，則該字段為5，即頭部為20字節(jié)；

• Reserved：保留，必須填0。長度為6比特；

• Control bits：控制位，包含F(xiàn)IN、ACK、SYN等標(biāo)志位，代表不同狀態(tài)下的TCP數(shù)據(jù)段；

• Window：窗口TCP的流量控制，這個值表明當(dāng)前接收端可接受的最大的數(shù)據(jù)總數(shù)（以字節(jié)為單位）。窗口最大為65535字節(jié)。長度為16比特；

• Checksum：校驗字段，是一個強(qiáng)制性的字段，由發(fā)端計算和存儲，并由收端進(jìn)行驗證。在計算檢驗和時，要包括TCP頭部和TCP數(shù)據(jù)，同時在TCP報文段的前面加上12字節(jié)的偽頭部。長度為16比特；

• Urgent：緊急指針，只有當(dāng)Urgent標(biāo)志置1時緊急指針才有效。TCP的緊急方式是發(fā)送端向另一端發(fā)送緊急數(shù)據(jù)的一種方式。緊急指針指出在本報文段中緊急數(shù)據(jù)共有多少個字節(jié)（緊急數(shù)據(jù)放在本報文段數(shù)據(jù)的最前面）。長度為16比特；

• Options：選項字段（可選），長度為0-40字節(jié)。

UDP報文頭部：

• Source Port：源端口，標(biāo)識哪個應(yīng)用程序發(fā)送。長度為16比特；

• Destination Port：目的端口，標(biāo)識哪個應(yīng)用程序接收。長度為16比特；

• Length：該字段指定UDP報頭和數(shù)據(jù)總共占用的長度?？赡艿淖钚￠L度是8字節(jié)，因為UDP報頭已經(jīng)占用了8字節(jié)。由于這個字段的存在，UDP報文總長不可能超過65535字節(jié)（包括8字節(jié)的報頭，和65527字節(jié)的數(shù)據(jù)）；

• Checksum：覆蓋UDP頭部和UDP數(shù)據(jù)的校驗和，長度為16比特。

TCP和UDP - 端口號

TCP和UDP使用端口號來區(qū)分不同的服務(wù)?？蛻舳耸褂玫脑炊丝谝话汶S機(jī)分配，目標(biāo)端口則由服務(wù)器的應(yīng)用指定。源端口號一般為系統(tǒng)中未使用的，且大于1023的端口。目的端口號為服務(wù)端開啟的應(yīng)用（服務(wù)）所偵聽的端口，如HTTP缺省使用80。

網(wǎng)絡(luò)層

網(wǎng)絡(luò)層則負(fù)責(zé)數(shù)據(jù)從一臺主機(jī)到另外一臺主機(jī)之間的傳遞。

網(wǎng)絡(luò)層作用：負(fù)責(zé)將分組報文從源主機(jī)發(fā)送到目的主機(jī)。為網(wǎng)絡(luò)中的設(shè)備提供邏輯地址。負(fù)責(zé)數(shù)據(jù)包的尋徑和轉(zhuǎn)發(fā)。常見協(xié)議如IPv4、IPv6、ICMP和IGMP等。

IP報文頭部

IP報文轉(zhuǎn)發(fā)

源設(shè)備發(fā)出的報文會在其網(wǎng)絡(luò)層頭部攜帶源及目的設(shè)備的網(wǎng)絡(luò)層地址。具備路由功能的網(wǎng)絡(luò)設(shè)備（例如路由器等）會維護(hù)路由表。當(dāng)這些網(wǎng)絡(luò)設(shè)備收到報文時，會讀取其網(wǎng)絡(luò)層攜帶的目的地址，并在其路由表中查詢該地址，找到匹配項后，按照該表項的指示轉(zhuǎn)發(fā)數(shù)據(jù)。

采用IP作為網(wǎng)絡(luò)層協(xié)議，通信雙方的IP都是唯一的，IP是32位的二進(jìn)制數(shù)，可以用點分十進(jìn)制表示，比如192.168.1.1

IP數(shù)據(jù)包的封裝與轉(zhuǎn)發(fā)：

• 網(wǎng)絡(luò)層收到上層（如傳輸層）協(xié)議傳來的數(shù)據(jù)時候，會封裝一個IP報文頭部，并且把源和目的IP地址都添加到該頭部中；

• 中間經(jīng)過的網(wǎng)絡(luò)設(shè)備（如路由器），會維護(hù)一張指導(dǎo)IP報文轉(zhuǎn)發(fā)的“地圖”——路由表，通過讀取IP數(shù)據(jù)包的目的地址，查找本地路由表后轉(zhuǎn)發(fā)IP數(shù)據(jù)包；

• IP數(shù)據(jù)包最終到達(dá)目的主機(jī)，目的主機(jī)通過讀取目的IP地址確定是否接受并做下一步處理。

IP協(xié)議工作時，需要如OSPF、IS-IS、BGP等各種路由協(xié)議幫助路由器建立路由表，ICMP幫忙進(jìn)行網(wǎng)絡(luò)的控制和狀態(tài)診斷。

ICMP協(xié)議

Internet控制消息協(xié)議ICMP（Internet Control Message Protocol）是IP協(xié)議的輔助協(xié)議。

ICMP協(xié)議用來在網(wǎng)絡(luò)設(shè)備間傳遞各種差錯和控制信息，對于收集各種網(wǎng)絡(luò)信息、診斷和排除各種網(wǎng)絡(luò)故障等方面起著至關(guān)重要的作用。

ICMP消息封裝在IP報文中，IP報文頭部Protocol值為1時表示ICMP協(xié)議。

ICMP字段解析：

• ICMP消息的格式取決于Type和Code字段，其中Type字段為消息類型，Code字段包含該消息類型的具體參數(shù)。

• Checksum校驗和字段用于檢查消息是否完整。

• ICMP消息中包含32 bit的可變參數(shù)，這個字段一般不使用，通常設(shè)置為0。

• 在ICMP重定向消息中，這個字段用來指定網(wǎng)關(guān)IP地址，主機(jī)根據(jù)這個地址將報文重定向到指定網(wǎng)關(guān)；

• 在Echo請求消息中，這個字段包含標(biāo)識符和序號，源端根據(jù)這兩個參數(shù)將收到的回復(fù)消息與本端發(fā)送的Echo請求消息進(jìn)行關(guān)聯(lián)。尤其是當(dāng)源端向目的端發(fā)送了多個Echo請求消息時，需要根據(jù)標(biāo)識符和序號將Echo請求和回復(fù)消息進(jìn)行一一對應(yīng)。

ICMP差錯檢測

ICMP Echo Request和ICMP Echo Reply消息常用于診斷源和目的地之間的網(wǎng)絡(luò)連通性，同時還可以提供其他信息，如報文往返時間等。

ICMP的一個典型應(yīng)用是Ping。

ICMP錯誤報告

ICMP定義了各種錯誤消息，用于診斷網(wǎng)絡(luò)連接性問題；根據(jù)這些錯誤消息，源設(shè)備可以判斷出數(shù)據(jù)傳輸失敗的原因。

ICMP的另一個典型應(yīng)用是Tracert。

• Tracert基于報文頭中的TTL值來逐跳跟蹤報文的轉(zhuǎn)發(fā)路徑。源端首先將報文的TTL值設(shè)置為1。該報文到達(dá)第一個節(jié)點后，TTL超時，于是該節(jié)點向源端發(fā)送TTL超時消息，消息中攜帶時間戳。

• 然后源端將報文的TTL值設(shè)置為2，報文到達(dá)第二個節(jié)點后超時，該節(jié)點同樣返回TTL超時消息，以此類推，直到報文到達(dá)目的地。

• 這樣，源端根據(jù)返回的報文中的信息可以跟蹤到報文經(jīng)過的每一個節(jié)點，并根據(jù)時間戳信息計算往返時間。

ICMP定義了各種錯誤消息，用于診斷網(wǎng)絡(luò)連接性問題；根據(jù)這些錯誤消息，源設(shè)備可以判斷出數(shù)據(jù)傳輸失敗的原因。

• 如果網(wǎng)絡(luò)中發(fā)生了環(huán)路，導(dǎo)致報文在網(wǎng)絡(luò)中循環(huán)，且最終TTL超時，這種情況下網(wǎng)絡(luò)設(shè)備會發(fā)送TTL超時消息給發(fā)送端設(shè)備；

• 如果目的地不可達(dá)，則中間的網(wǎng)絡(luò)設(shè)備會發(fā)送目的不可達(dá)消息給發(fā)送端設(shè)備。目的不可達(dá)的情況有多種

OSPF協(xié)議

不同網(wǎng)絡(luò)間的互通，需要通過路由實現(xiàn)。

路由的獲取方式有：

• 直連路由

• 靜態(tài)路由

• 動態(tài)路由。動態(tài)路由因靈活性高、可靠性好、易擴(kuò)展等特點被廣泛應(yīng)用于網(wǎng)絡(luò)中。

OSPF是企業(yè)網(wǎng)絡(luò)中應(yīng)用最廣的動態(tài)路由協(xié)議。

LSDB（Link State Database, 鏈路狀態(tài)數(shù)據(jù)庫），OSPF設(shè)備之間會同步鏈路狀態(tài)信息，用于計算路由，保存這些信息的數(shù)據(jù)庫就是LSDB。

OSPF區(qū)域

OSPF Area用于標(biāo)識一個OSPF的區(qū)域。

區(qū)域是從邏輯上將設(shè)備劃分為不同的組，每個組用區(qū)域號（Area ID）來標(biāo)識。

企業(yè)網(wǎng)絡(luò)可以根據(jù)規(guī)模和需求規(guī)劃為單區(qū)域或多區(qū)域組網(wǎng)。

OSPF區(qū)域可以劃分為骨干區(qū)域和非骨干區(qū)域。骨干區(qū)域為Area0，其他區(qū)域為非骨干區(qū)域。

大型企業(yè)網(wǎng)絡(luò)中可以進(jìn)行分層次的OSPF區(qū)域規(guī)劃，如可以將出口設(shè)備和核心設(shè)備間規(guī)劃為骨干區(qū)域Area0，核心設(shè)備和匯聚設(shè)備之間規(guī)劃為非骨干區(qū)域，如Area10，Area20。

OSPF路由表

對于OSPF的路由表，需要了解：

• OSPF路由表包含Destination、Cost和NextHop等指導(dǎo)轉(zhuǎn)發(fā)的信息；

• 使用命令display ospf routing查看OSPF路由表。

數(shù)據(jù)鏈路層

數(shù)據(jù)鏈路層位于網(wǎng)絡(luò)層和物理層之間，可以向網(wǎng)絡(luò)層的IP和IPv6等協(xié)議提供服務(wù)。

以太網(wǎng)（Ethernet）是最常見的數(shù)據(jù)鏈路層協(xié)議。

數(shù)據(jù)鏈路層位于網(wǎng)絡(luò)層和物理層之間：

• 數(shù)據(jù)鏈路層向網(wǎng)絡(luò)層提供“段內(nèi)通信”；

• 負(fù)責(zé)組幀、物理編址和差錯控制等功能；

• 常見的數(shù)據(jù)鏈路層協(xié)議有：以太網(wǎng)、PPPoE和PPP等。

以太網(wǎng)幀結(jié)構(gòu)

以太網(wǎng)技術(shù)所使用的幀為以太網(wǎng)幀（Ethernet Frame）。以太幀有Ethernet II格式和IEEE 802.3格式兩個標(biāo)準(zhǔn)。

MAC（Media Access Control）地址在網(wǎng)絡(luò)中唯一標(biāo)識一個網(wǎng)卡。MAC地址有48 bit，如00-1E-10-DD-DD-02。MAC地址用于同網(wǎng)段內(nèi)的通信。

Ethernet II以太幀：

• DMAC：6字節(jié)，目的MAC地址，該字段標(biāo)識幀的接收者；

• SMAC：6字節(jié)，源MAC地址，該字段標(biāo)識幀的發(fā)送者；

• Type：2字節(jié)，協(xié)議類型。常見值：

• 0x0800：Internet Protocol Version 4（IPv4）；

• 0x0806：Address Resolution Protocol（ARP）。

IEEE 802.3 LLC以太幀：

• SNAP：Sub-network Access Protocol，子網(wǎng)訪問協(xié)議。SNAP由機(jī)構(gòu)代碼（Organization Code）和類型（Type）字段組成。

• FCS：Frame Check Sequence，幀校驗序列，這是一個32位的循環(huán)冗余校驗碼，主要用于校驗二層數(shù)據(jù)幀在傳輸過程中是否發(fā)生差錯

• 邏輯鏈路控制LLC（Logical Link Control）由目的服務(wù)訪問點DSAP（Destination Service Access Point）、源服務(wù)訪問點SSAP（Source Service Access Point）和Control字段組成。

• DSAP：1字節(jié)，目的服務(wù)訪問點，若后面類型為IP，該字段值設(shè)為0x06。服務(wù)訪問點的功能類似于Ethernet II幀中的Type字段或TCP/UDP傳輸協(xié)議中的端口號；

• SSAP：1字節(jié)，源服務(wù)訪問點，若后面類型為IP，該字段值設(shè)為0x06；

• Ctrl：1字節(jié)，該字段值通常設(shè)為0x03，表示無連接服務(wù)的IEEE 802.2無編號數(shù)據(jù)格式。

地址解析協(xié)議 (ARP)

ARP（Address Resolution Protocol，地址解析協(xié)議）是根據(jù)IP地址獲取數(shù)據(jù)鏈路層地址的一個TCP/IP協(xié)議。根據(jù)已知的IP地址解析獲得其對應(yīng)的MAC地址。

ARP是IPv4中必不可少的一種協(xié)議，它的主要功能是：

• 將IP地址解析為MAC地址；

• 維護(hù)IP地址與MAC地址的映射關(guān)系的緩存，即ARP表項；

• 實現(xiàn)網(wǎng)段內(nèi)重復(fù)IP地址的檢測。

數(shù)據(jù)封裝過程

發(fā)送方數(shù)據(jù)封裝

假設(shè)你正在通過網(wǎng)頁瀏覽器訪問華為官網(wǎng)，當(dāng)你輸入完網(wǎng)址，敲下回車后，計算機(jī)內(nèi)部會發(fā)生下列事情：

• IE瀏覽器（應(yīng)用程序）調(diào)用HTTP（應(yīng)用層協(xié)議），完成應(yīng)用層數(shù)據(jù)的封裝（圖中Data還應(yīng)包括HTTP頭部，此處省略）；

• HTTP依靠傳輸層的TCP進(jìn)行數(shù)據(jù)的可靠性傳輸，將封裝好的數(shù)據(jù)傳遞到TCP模塊；

• TCP模塊給應(yīng)用層傳遞下來的Data添加上相應(yīng)的TCP頭部信息（源端口、目的端口等）。此時的PDU被稱作Segment（段）；

• 在IPv4網(wǎng)絡(luò)中，TCP模塊會將封裝好的Segment傳遞給網(wǎng)絡(luò)層的IPv4模塊（若在IPv6環(huán)境，會交給IPv6模塊進(jìn)行處理）；

• IPv4模塊在收到TCP模塊傳遞來的Segment之后，完成IPv4頭部的封裝，此時的PDU被稱為Packet（包）；

• 由于使用了Ethernet作為數(shù)據(jù)鏈路層協(xié)議，故在IPv4模塊完成封裝之后，會將Packet交由數(shù)據(jù)鏈路層的Ethernet模塊（例如以太網(wǎng)卡）處理；

• Ethernet模塊在收到IPv4模塊傳遞來的Packet之后，添加上相應(yīng)的Ethernet頭部信息和FCS幀尾，此時的PDU被稱為Frame（幀）；

• 在Ethernet模塊封裝完畢之后，會將數(shù)據(jù)傳遞到物理層；

• 根據(jù)物理介質(zhì)的不同，物理層負(fù)責(zé)將數(shù)字信號轉(zhuǎn)換成電信號，光信號，電磁波（無線）信號等；

• 轉(zhuǎn)換完成的信號在網(wǎng)絡(luò)中開始傳遞。

接收方數(shù)據(jù)解封裝

經(jīng)過網(wǎng)絡(luò)傳遞之后，數(shù)據(jù)最終到達(dá)目的服務(wù)器。根據(jù)不同的協(xié)議頭部的信息，數(shù)據(jù)將被一層層的解封裝并做相應(yīng)的處理和傳遞，最終交由Web服務(wù)器上的應(yīng)用程序進(jìn)行處理。

常見網(wǎng)絡(luò)設(shè)備

企業(yè)園區(qū)網(wǎng)絡(luò)典型架構(gòu)

以下典型的企業(yè)園區(qū)網(wǎng)絡(luò)組網(wǎng)，由交換機(jī)、路由器、防火墻和服務(wù)器組成。通常會采用多層架構(gòu)，包括：接入層、匯聚層、核心層和出口層。

交換機(jī)：同網(wǎng)段或跨網(wǎng)段通信設(shè)備。

路由器：跨網(wǎng)段通信設(shè)備。

防火墻：可部署在網(wǎng)絡(luò)出口處進(jìn)行防護(hù)。

交換機(jī)

交換機(jī)是距離終端用戶最近的設(shè)備，用于終端接入網(wǎng)絡(luò)，并且可以使數(shù)據(jù)幀在同一網(wǎng)段內(nèi)轉(zhuǎn)發(fā)。

交換機(jī)工作在數(shù)據(jù)鏈路層，根據(jù)MAC地址表轉(zhuǎn)發(fā)數(shù)據(jù)幀。MAC地址表中存放了MAC地址與交換機(jī)端口之間的映射關(guān)系。

二層交換機(jī)工作在數(shù)據(jù)鏈路層，交換機(jī)不同的接口發(fā)送和接收數(shù)據(jù)是獨立的，各接口屬于不同的沖突域，因此有效地隔離了網(wǎng)絡(luò)中的沖突域。

二層交換設(shè)備通過學(xué)習(xí)以太網(wǎng)數(shù)據(jù)幀的源MAC地址來維護(hù)MAC地址與接口的對應(yīng)關(guān)系（保存MAC與接口對應(yīng)關(guān)系的表稱為MAC地址表），通過其目的MAC地址來查找MAC地址表決定向哪個接口轉(zhuǎn)發(fā)。

路由器

路由器工作在網(wǎng)絡(luò)層，使報文能夠在不同網(wǎng)絡(luò)間轉(zhuǎn)發(fā)。

路由器是網(wǎng)絡(luò)層設(shè)備，其主要功能是實現(xiàn)報文在不同網(wǎng)絡(luò)之間的轉(zhuǎn)發(fā)。如圖所示，位于不同網(wǎng)絡(luò)（即不同鏈路）上的Host A和Host B之間相互通信。與Host A在同一網(wǎng)絡(luò)（即同一鏈路）上的路由器接口接收到Host A發(fā)出的數(shù)據(jù)幀，路由器的鏈路層分析幀頭確定為發(fā)給自己的幀之后，發(fā)送給網(wǎng)絡(luò)層處理，網(wǎng)絡(luò)層根據(jù)網(wǎng)絡(luò)層報文頭以決定目的地址所在網(wǎng)段，然后通過查表從相應(yīng)的接口轉(zhuǎn)發(fā)給下一跳，直到到達(dá)報文的目的地Host B。

防火墻

防火墻是對網(wǎng)絡(luò)的訪問行為進(jìn)行控制的一種設(shè)備，安全防護(hù)是其核心特性，主要部署在網(wǎng)絡(luò)邊界。

防火墻采用安全區(qū)域，同一安全區(qū)域數(shù)據(jù)流動是安全的，不同安全區(qū)域數(shù)據(jù)流動觸發(fā)安全檢測，并且實施安全策略

防火墻功能

防火墻主要用于保護(hù)一個網(wǎng)絡(luò)免受來自另一個網(wǎng)絡(luò)的攻擊和入侵。因其隔離、防守的屬性，防火墻靈活應(yīng)用于企業(yè)網(wǎng)絡(luò)出口、大型網(wǎng)絡(luò)內(nèi)部子網(wǎng)隔離和數(shù)據(jù)中心邊界等場景。

防火墻可以實現(xiàn)的功能如下：

• 隔離不同安全級別的網(wǎng)絡(luò)；

• 實現(xiàn)不同安全級別網(wǎng)絡(luò)之間的訪問控制（安全策略）；

• 用戶身份認(rèn)證；

• 實現(xiàn)遠(yuǎn)程接入功能；

• 實現(xiàn)數(shù)據(jù)加密及虛擬專用網(wǎng)業(yè)務(wù)；

• 執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換；

• 其他安全功能。

防火墻與交換機(jī)、路由器的對比

交換機(jī)通常用來組建局域網(wǎng)，路由器用來連接不同的網(wǎng)絡(luò)，而防火墻主要部署在網(wǎng)絡(luò)邊界。

路由器與交換機(jī)的本質(zhì)是轉(zhuǎn)發(fā)，防火墻的本質(zhì)是控制。

防火墻與路由器、交換機(jī)的區(qū)別：

• 路由器與交換機(jī)本質(zhì)是轉(zhuǎn)發(fā)，而防火墻的本質(zhì)是控制；

• 路由器用來連接不同的網(wǎng)絡(luò)，通過路由協(xié)議保證互聯(lián)互通，確保將報文轉(zhuǎn)發(fā)到目的地；

• 交換機(jī)通常用來組建局域網(wǎng)，作為局域網(wǎng)通信的重要樞紐，通過二層/三層交換快速轉(zhuǎn)發(fā)報文；

• 防火墻主要部署在網(wǎng)絡(luò)邊界，對進(jìn)出網(wǎng)絡(luò)的訪問行為進(jìn)行控制，安全防護(hù)是其核心特性。

防火墻登錄和配置

不管是部署、操作或是維護(hù)網(wǎng)絡(luò)設(shè)備，都會涉及到對網(wǎng)絡(luò)設(shè)備的配置。配置之前，需要先登錄設(shè)備。

管理員對網(wǎng)絡(luò)設(shè)備的配置，有命令行和Web界面兩種方式。

防火墻默認(rèn)登錄接口GigabitEthernet0/0/0，也稱為MGMT接口。

Web登錄方法

• 缺省網(wǎng)址：https://192.168.0.1:8443（或http://192.168.0.1）

• 缺省用戶名：admin

• 缺省密碼：Admin@123

基本配置命令

配置接口IP地址，用來給設(shè)備上的物理或邏輯接口配置IP地址。

[FW] interface GigabitEthernet 0/0/1

[FW-GigabitEthernet0/0/1] ip address 10.102.0.1 255.255.255.0

查看當(dāng)前運行的配置

<FW> display current-configuration

配置文件保存

<FW> save

查看保存的配置

<FW> display saved-configuration

清除已保存的配置

<FW> reset saved-configuration

查看系統(tǒng)啟動配置參數(shù)，用來查看設(shè)備本次及下次啟動相關(guān)的系統(tǒng)軟件、備份系統(tǒng)軟件、配置文件、License文件、補(bǔ)丁文件以及語音文件。

<FW> display startup

配置系統(tǒng)下次啟動時使用的配置文件，設(shè)備升級時，可以通過此命令讓設(shè)備下次啟動時加載指定的配置文件。

<FW> startup saved-configuration configuration-file? ?

配置設(shè)備重啟

<FW> reboot