爲本人觀看韓立剛老師視頻所作筆記與總結!下面爲視頻鏈接:算法
https://www.bilibili.com/video/av10921041/?from=search&seid=733222547867341420安全
第三章:網絡層服務器
兩種服務(網絡層想運輸層提供):網絡
虛電路服務:發送端和接收端相同的分組都沿着同一條虛電路傳送(先發先到)負載均衡
數據報服務(如今所採用的服務):發送端和接收端相同的分組可能沿着不一樣路徑傳送(先發不必定先到)ide
網絡層關注的是如何將分組從源端沿着網絡路勁送達目的端(就是快遞)性能
在計算機通訊中,可靠交付應當由端系統(兩端:發送端和接收端)而不是網絡(物流公司)負責spa
虛電路:邏輯上的鏈接,全部的分組都沿着這條邏輯鏈接(同一條虛電路)按照配置好的方式傳送,並非真正創建了一條物理鏈接(目的地固定,能夠不寫地址)3d
數據報:網絡層向上只提供簡單靈活的,無鏈接的,盡最大努力交付(不可靠)的數據報服務視頻
網絡在發送分組是不須要先創建鏈接,每個分組(即IP數據報)獨立發送,與其先後的分組無關(不進行編號)
網絡層提供的服務不可靠
盡最大努力交付的好處:
網絡中的路由器造價簡單便宜(相比較交換機)
若是須要可靠的通訊,則由運輸層服務
網絡的造價大大下降
數據包寫上地址以後,路由器根據裏面的路由表臨時決定(網絡的健壯性)怎麼走
網際協議IP
網絡互聯的設備:中間設備又稱中間系統或中繼系統:
物理層中繼系統:轉發器(集線器)(用於信號放大)
數據鏈路層中繼系統:網橋或橋接器(交換機)
網絡層中繼系統:路由器
網絡層以上的中繼系統:網關(如今網關指的是路由器的接口)
虛擬互聯網絡的意義:
互聯起來的各類物理網絡的異構性原本是客觀存在的,可是咱們利用IP協議就可使這些性能各異的網絡從用戶看起來好像是一個統一的網絡,從而屏蔽掉一些不須要的細節
使用IP協議的虛擬互聯網絡課簡稱爲IP網
網絡的4個協議:
網際協議IP:其餘三個協議都依賴於IP協議
地址解析協議ARP:負責解析對方網卡,計算機,路由器的MAC地址
網際控制報文協議ICMP:報告網絡故障(好比超時)
網際組管理協議IGMP
層次化IP地址:網絡ID和主機ID
127:本地環回地址(本身的地址,即127.0.0.x)(不屬於A類地址)
一個路由器的不一樣接口必須是不一樣的網段
路由器的接口(相似網卡:有IP地址和MAC地址)
特殊的幾個地址:
127.0.0.1 本地環回地址
169.254.0.0 計算機沒有手動分配地址時自動分配的地址,沒法訪問網絡,須要一個正確的地址
10.0.0.0 保留的A類私網地址,即互聯網上沒有分配給服務器來用,留給企業或政府或學校用(不一樣的學校都是用10.0.0.0網段,由於不一樣的學校之間沒打算通訊,因此即便地址有可能重疊也不要緊)
172.16.0.0——172.31.0.0保留的B類私網地址
192.168.0.0——192.168.255.0保留的C類私網地址
私網地址外部沒法鏈接
子網掩碼的做用:將IP地址劃分紅網絡地址和主機地址兩部分,必須結合IP地址一塊兒使用(將子網掩碼與其IP地址進行與運算,從而能夠獲得該計算機所處的網段),不能單獨存在
要向不一樣網段的計算機傳送數據——將數據包給網關
也能夠更改子網掩碼,將本來兩個不一樣的網段,經過和子網掩碼進行與運算後獲得的結果相同,此時傳數據則能夠直接傳送而不用傳給網關,所以子網掩碼寫錯會形成網絡故障,必須寫正確
子網劃分(意義:充分利用IP地址):
主機地址不全爲1或全爲0
全0表示網段
全1則是廣播,網段中全部計算機都能收到
路由器的地址就是此網段的網關,網關通常使用的是本網段的第一個地址
點對點網絡的子網掩碼最好是252:剩4個地址,只有2個能用
除了等長子網的劃分,還要會變長子網的劃分
等長子網的掩碼相同,變長子網的掩碼不一樣
此處計算題爲重點
超網:用來合併網段
若不用超網,則須如此:在路由器的接口上加兩個地址,讓一個路由器的接口當兩個網段的網關,此時兩個網段的計算機通信時,數據報經過路由器轉發
不一樣網段的計算機通訊過程:
1. 交換機給予數據幀的MAC地址轉發數據幀,路由器基於數據包的IP地址轉發數據包
2. 數據包(數據+IP)在傳輸過程不變,過網絡設備數據幀(數據包+MAC)要用新的網絡層地址從新封裝
3. MAC地址決定了數據幀下一跳哪一個設備接收,IP地址決定了數據包的起點和終點
若全部計算機沒有網絡設備,用廣播,則不用IP地址(安全問題)
ARP協議
動態路由選擇協議都屬於IP協議
ARP協議(靠廣播,因此這一步很不安全)用於將IP地址解析成MAC地址
RARP協議就是請求IP地址的過程
知道ARP欺騙是怎麼回事
ARP欺騙對策:ARP防火牆
IP數據報格式(IP數據包)
一個IP數據報由首部和數據兩部分組成
首部的前一部分是固定長度,共20字節,是全部IP數據報必須具備的
首部的固定部分後面是一些可選字段,長度可變
版本:指定是IPv4仍是IPv6
首部長度:由於有可變部分,因此須要標明
區分服務(服務質量):標明數據部分的緊急程度(好比同時進行語音聊天和下載文件,語音的緊急程度更高),須要在計算機和路由器上都加標記,才能實現緊急的流量優先傳輸
總長度:佔16位,因此數據報的最大長度爲65535字節,且不超過最大傳輸單元MTU
標識:是一個計數器,用來產生數據報的標識,不是序號,每產生一個數據包就加1
標緻:表示數據包是否分片
片偏移:較長的分組在分片後某片在原分組中的相對位置,片pianist以8個字節爲偏移單位(片偏移記錄的是原來的偏移量除以8以後的數據)
生存時間(TTL):每過一個路由器,TTL就減1(防止數據包在網絡上無線循環)
協議:記錄數據報攜帶的數據使用何種協議,以便目的主句的IP層將數據部分上交給哪一個處理過程(進程)
首部校驗和:值檢驗數據報的首部,不採用CRC檢驗碼而採用簡單的計算方法
可選字段:用於安全措施,1到40個字節,實際上可選字段不多被使用
數據路由:路由器在不一樣網段轉發數據包
路由:數據包不一樣網段通訊
沿途的路由器必須知道到目標網路(來和回) 下一跳給哪一個接口
IP轉發分則的流程
靜態路由:管理員添加路由表的時候,阣 須要知道沒有直連的網段怎麼走
計算機上也有路由表:計算機的網關就是默認路由
若是計算機有兩個網卡,一個連Internet,另外一個連局域網,只將連Internet的網卡設置網關,另外一個不設置網關(有規律的丟包),也不要設置成本身的地址(形成網絡堵塞或不通),網卡是流量的出口,可是所連局域網的計算機的網卡要設置成本身的地址
ICMP協議:(網際控制報文協議)
用於探測網絡有沒有故障
不是高層協議,而是IP層的協議
ICMP報文做爲IP層數據報的數據,加上數據報的首部,組成IP數據報
類型:包括ICMP差錯報告報文和ICMP詢問報文
差錯報告報文有5種:終點不可達
源點抑制
時間超時
參數問題
改變路由(重定向)
詢問報文有2種:回送請求和回答報文
時間戳請求和回答報文
Ping命名只能檢測是是否通
Pathping命令能跟蹤數據包的路徑,能夠知道在哪一個地方不通,還能計算丟包率
丟包率分爲在路由器轉的時候的丟包率和在線路上傳輸的時候的丟包率
動態路由協議(不用管理員靜態添加路由表):網絡規模大則用動態路由協議
1.RIP協議(最先):
週期性廣播:30秒
經過條數計算最佳路徑,當須要17跳是則認爲不可到達
可是最佳路徑還要考慮帶寬,算法比較簡單
2.OSPF協議(內部網關協議)(開放式最短路徑優先協議):用於Internet
OSPF爲開放式(各個廠家都支持)
度量值:帶寬
支持多區域:分區域(2級結構)——分治思想
觸發式跟新:鄰居表:向鄰居發一個hello包表示還在
鏈路狀態表:交換全部的鄰居表算開銷和帶寬
計算路由表:使之不產生環路
支持負載均衡
直接用IP數據報傳輸路由表
支持可變長子網的劃分
反轉掩碼:掩碼的反碼
靜態路由的優先級>OSPF協議>RIP協議
外部網關協議(BGP):
RIP協議和OSPF協議都是自制系統協議(保證一個系統內的正確尋址)
BGP協議用於各個系統之間選擇路徑
每一個自治系統有一個發言人
BGP創建時交換整個路由表,以後只交換變化部分
虛擬專用網絡VPN:
實質是在互聯網上傳私有數據的方式,並經過撥號等方式保證安全
網絡地址轉換NAT:端口映射
使公網地址能夠訪問內網的地址