文章介绍了网络中的防火墙类型,包括包过滤和应用过滤,并详细阐述了OSI七层模型的各层功能,如物理层的比特流传输,网络层的路由选择,传输层的TCP和UDP协议。同时,讨论了IP协议下的ARP和路由协议RIP与OSPF的差异,以及应用层的SSH和Telnet的安全特性。
一、防火墙
(一)包过滤防火墙
(二)应用过滤防火墙
二、OSI七层模型
- 物理层:主要定义一些硬件设备的标准,比如RJ45、光纤、双绞线,利用这些传输介质为数据链路层提供物理连接,实现比特流的透明传输,主要将数据链路层的数据帧转成比特流在物理介质上传输传输。
- 数据链路层:负责两个互连主机之间的通信传输,将网络层交来的数据包带上MAC地址封装成数据帧,交给物理层传输。
- 网络层:将传输层的数据段封装为数据包,包中带上了源地址和目的地址等信息,通过这些信息找到并将数据包转发给下一路由器(路由寻址和转发);在网络中两个主机之间可能有多个路由器,每个路由器相连组成了多条路径,,网络层的作用就是选出一条合适的路径来传输数据包(路由选择,可以通过静态路由和动态路由实现)。
- 传输层:将会话层的数据分片封装为数据段,数据段中包含了各个应用所对应的端口,在解封装的时候就可以通过这些端口将对应的数据给到不同应用。
- 会话层:将表示层交来的数据进行识别,并创建会话、保持会话处于活动状态。
- 表示层:将应用层交来的数据进行编码、加密、压缩送往会话层。
- 应用层:提供网络服务。
三、网络层
(一)ARP协议
为什么有了IP还要MAC地址
Address Resolution Protocol地址解析协议:将IP地址解析成MAC地址。
为什么需要这个协议:MAC地址主要用于标识局域网内的主机,当有发给本地局域网内一台主机的数据包时,交换机接收下来,然后把数据包中的IP地址按照“ARP表”中的对应关系映射成MAC地址,转发到对应的MAC地址的主机上。
(二)RIP
Routing Information Protocol路由信息协议(距离矢量路由协议),是一种分布式的基于距离矢量算法的协议。
简单来说就是,RIP使用跳数作为单位来计算目的网络的距离。
默认情况下,路由器到直接连接的网络设备跳数为0,从一个路由器到另一个路由器跳数就+1,大于等于16的跳数表示目的网络或主机不可达,所以RIP只适用于小型互联网(所以取值范围0-15)。
缺点:
使用跳数作为衡量单位虽然简单,但并不一定高效,因为一个跳数为2的路径带宽为1Gbps,和跳数为1的路径带宽为100Mbps,虽然第二个跳数少,但是并没有第一个传输高效。
RIP协议特点:
1、仅和相邻路由器进行交换信息。上图中R1与R2、R3为相邻路由器,与R5、R4、R6不是。
2、路由器交换的信息是当前本路由器所知道的所有信息。即自己现在的路由表。
3、周期性交换路由信息(如每隔30秒)。
(三)OSPF
视频
Open Shortest Path First开放式最短路径优先协议(链路状态路由协议)。
开销:OSPF依靠计算链路的带宽,来知道到达目的网络的最短路径,每条链路根据带宽不同会有一个度量值,这个度量值就是开销。
OSPF是基于链路开销选择最优路径,带宽越高开销越小。
触发更新或每隔30分钟向邻接路由器发送链路状态信息的摘要,增量更新机制。
每个路由将已知的链路状态信息告诉邻接,更新以后,每个路由器对网络里的链路状态都有相同的认知。然后每台路由器根据链路状态,计算出最优路径。
因为每个路由器都有一个链路状态信息数据库,这个数据库会随着网络的扩大,数据库也变得越来越大,这样路由器之间交换信息量就会非常大,所以OSPF有了分区域管理,路由器只知道本区域内的链路信息,和其他区域通过一个区域边界路由器进行交流,这样就解决了数据库过大的问题。
每个区域会选择一个DR和BDR,相当于组长和副组长,区域内的路由器只和这两台路由器建立邻接关系交换链路信息,减少了重复信息的交换。
(四)ACL
(五)NAT
四、传输层协议
(一)TCP
传输控制协议:
- TCP是面向连接的,可靠的端到端协议(基于三次握手建立连接)。
- TCP提供全双工服务,也就是数据在同一时间可以双向传输。
(1)三次握手(TCP建立连接的过程)
第一次握手:
客户端将标志位SYN置为1,随机产生一个值seq=x,并将该数据包发送给server,客户端进入SYN-SENT(请求)状态,等待server确认。
第二次握手
server收到数据包后由SYN=1了解到客户端请求建立连接,这时server将SYN和ACK都置为1,确认号ack=x+1,随机产生一个值sek=y,并将该数据包发送给client确认连接请求,server进入SYN-RCVD(received接受)状态。
第三次握手
client收到确认后,检查确认号ack是否为x+1,标志位ACK是否为1;如果正确,将ACK置为1,ack=y+1,并将数据包发送给server;
server检查ack是否为y+1,ACK是否为1;如果正确则建立连接成功,server和client进入established状态,完成三次握手。
注意:
SYN:同步标志位,用于建立会话连接,同步序列号;
ACK: 确认标志位,对已接收的数据包进行确认;
ack:TCP对上一次seq序号做出的确认号,给收到的sqp+1。
(二)UDP
用户数据包协议:
- UDP是无连接、不可靠的传输协议。
发送端不关心发送的数据是否能够到达目标主机,数据是否会出错等问题,接收端收到数据后也不会告知发送端是否收到。 - 无连接:双方不需要事先建立一条通信线路,而是把带有目的地址的数据包发送出去,由系统自动选择传输线路。
- 传输速度更快,效率更高(因为不需要告知对方当前数据传送的状态)。
五、应用层
(一)SSH和Telnet
- 本质:telnet是明码传输,ssh是加密传输。
- 端口区别:telnet是23 ssh是22。
六、思科命令
(一)路由器命令
其他
OSI七层模型
模型1(需要看)
模型2(列举了常见协议)
每层功能
封装与解封装
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
