思維導圖：

網(wǎng)絡參考模型

OSI參考模型和TCP/IP參考模型

應用與數(shù)據(jù)

大部分應用所產(chǎn)生數(shù)據(jù)需要在不同的設備之間傳輸。對于一名網(wǎng)絡工程師來說，更需要關注數(shù)據(jù)的端到端傳輸?shù)倪^程。

計算機只能識別0和1組成的電子數(shù)據(jù)（digital data）。

而對人來說，我們不具備讀取電子數(shù)據(jù)的能力，所以在讀取信息的時候，需要將數(shù)據(jù)轉成人能理解的信息。

OSI參考模型

OSI參考模型（Open Systems Interconnection Reference Model），是由國際標準化組織ISO于1984年發(fā)布的用于開放網(wǎng)絡互聯(lián)的模型，它由七個層級構成。

TCP/IP參考模型

OSI參考模型較為復雜，且TCP和IP兩大協(xié)議在業(yè)界被廣泛使用，所以TCP/IP參考模型成為了互聯(lián)網(wǎng)的實際參考模型。

TCP/IP把表示層和會話層都歸入應用層，數(shù)據(jù)鏈路層和物理層合并為網(wǎng)絡接口層，所以分成4層模型，考慮數(shù)據(jù)鏈路層和物理層一般是分開處理的，所以一般采用最右邊的TCP/IP對等模型

TCP/IP協(xié)議棧常見協(xié)議

TCP/IP協(xié)議棧定義了一系列的標準協(xié)議。

應用層

應用層為應用軟件提供接口，使應用程序能夠使用網(wǎng)絡服務。應用程序會基于某一種傳輸協(xié)議，以及定義傳輸層所使用的端口號。

典型應用層協(xié)議

• HTTP：超文本傳輸協(xié)議，提供測覽網(wǎng)頁服務。

• Telnet：遠程登陸協(xié)議，提供遠程管理服務。

• FTP：文件傳輸協(xié)議，提供互聯(lián)網(wǎng)文件資源共享服務。

• SMTP：簡單郵件傳輸協(xié)議，提供互聯(lián)網(wǎng)電子郵件服務。

• TFTP：簡單文件傳輸協(xié)議，提供簡單的文件傳輸服務。

FTP

FTP（File Transfer Protocol）是一個用于從一臺主機傳送文件到另一臺主機的協(xié)議，用于文件的“下載”和“上傳”，它采用C/S（Client/Server）結構。使用FTP傳輸數(shù)據(jù)時，需要在服務器和客戶機之間建立控制連接和數(shù)據(jù)連接。

FTP連接的建立分為主動模式和被動模式，兩者的區(qū)別在于數(shù)據(jù)連接是由服務器發(fā)起還是由客戶端發(fā)起。

當需要穿越防火墻的時候，需要用被動模式

缺省情況下采用主動模式，用戶可以通過命令切換。服務器的端口21用于傳輸控制命令，端口20用于傳輸數(shù)據(jù)。

FTP連接主動模式建立過程：

1. 服務器打開端口21，啟動監(jiān)聽，等待連接；

2. 客戶端發(fā)起控制連接的建立請求，服務器響應；

3. 客戶端通過控制連接發(fā)送PORT命令，將客戶端數(shù)據(jù)連接的臨時口號告訴服務器；

4. 服務器的20端口與客戶建立起數(shù)據(jù)連接。

FTP連接被動模式建立過程：

1. 服務器打開端口21，啟動監(jiān)聽，等待連接；

2. 客戶端發(fā)起控制連接的建立請求，服務器響應；

3. 客戶端通過控制連接發(fā)送命令字PASV，告知服務器處于被動模式；

4. 服務器回應，將數(shù)據(jù)連接的臨時端口號告訴客戶；

5. 客戶端與服務器的臨時口建立起數(shù)據(jù)連接。

SFTP

SFTP（Secure File Transfer Protocol，安全文件傳輸協(xié)議）是一種基于SSH（Secure Shell）提供文件安全傳輸?shù)木W(wǎng)絡協(xié)議。

FTP vs SFTP

• FTP：明文傳輸不安全，雙通道協(xié)議，端口號20 21

• SFTP：傳輸?shù)恼J證信息和數(shù)據(jù)進行加密， 單通道協(xié)議端口號22

Telnet

Telnet是數(shù)據(jù)網(wǎng)絡中提供遠程登錄的標準協(xié)議。

Telnet可以為用戶實現(xiàn)在本地計算機上操作遠程設備。

用戶通過Telnet客戶端程序連接到Telnet服務器。用戶在Telnet客戶端中輸入命令, 這些命令會在服務器端運行，就像直接在服務端的控制臺上輸入一樣。

STelnet

STelnet（Secure Telnet）是一種安全的Telnet服務，使用戶可以從遠端安全登錄到設備，所有交互數(shù)據(jù)均經(jīng)過加密，實現(xiàn)安全的會話連接。Telnet是明文傳輸?shù)?，并不安全，使用STelnet可以極大提升安全性。

Telnet vs STelnet

• Telnet：明文傳輸，端口22

• STelnet：通過SSH密文傳輸，端口22

STelnet服務端與客戶端的協(xié)商過程包括以下五個階段：

• 版本協(xié)商階段：SSH目前包括SSHv1和SSHv2兩個版本，雙方通過版本協(xié)商確定使用的版本。

• 算法協(xié)商階段：SSH支持多種加密算法，雙方根據(jù)本端和對端支持的算法，協(xié)商出最終使用的加密算法。

• 密鑰交換階段：通過密鑰交換算法生成會話密鑰，此后雙方的會話均通過會話密鑰加密。

• 用戶認證階段：SSH客戶端向服務器端發(fā)起認證請求，服務器端對客戶端進行認證。

• 會話交互階段：認證通過后，服務器端和客戶端進行信息的交互。

HTTP

HTTP（Hyper Text Transfer Protocol）超文本傳輸協(xié)議是互聯(lián)網(wǎng)上應用最為廣泛的一種網(wǎng)絡協(xié)議。設計HTTP最初的目的是為了提供一種發(fā)布和接收HTML頁面的方法。

WWW是World Wide Web的縮寫，又稱為3W或Web，中文譯為“萬維網(wǎng)”

HTTPS

HTTPS（Hypertext Transfer Protocol Secure，超文本傳輸安全協(xié)議），是以安全為目標的HTTP通道。

HTTP vs HTTPS

HTTP：明文傳輸，端口80

HTTPS:加入TLS據(jù)傳輸提供身份驗證、加密及完整性校驗，端口443，主流網(wǎng)站都用HTTPS

DNS

在瀏覽網(wǎng)頁時，我們輸入網(wǎng)址這個字符串，但計算機去訪問這個網(wǎng)址時，真正需要知道的是網(wǎng)址對應域名的IP地址，這時就需要由專門的域名解析系統(tǒng)（Domain Name System，簡稱DNS）來完成。

域名解析分為動態(tài)域名解析和靜態(tài)域名解析。在解析域名時，首先采用靜態(tài)域名解析的方法，如果靜態(tài)解析不成功，再采用動態(tài)域名解析的方法。

IPv4靜態(tài)域名解析是通過靜態(tài)域名解析表進行的，即手動建立域名和IPv4地址之間的對應關系表，該表的作用類似于Windows操作系統(tǒng)下的hosts文件，

動態(tài)域名解析需要專用的域名解析服務器（DNS Server）運行域名解析服務器程序，提供從域名到IP地址的映射關系，負責處理客戶端提出的域名解析請求。

傳輸層

傳輸層協(xié)議接收來自應用層協(xié)議的數(shù)據(jù)，封裝上相應的傳輸層頭部，幫助其建立“端到端”的連接。

傳輸層負責建立主機之間進程與進程之間的連接

傳輸層協(xié)議：

• TCP：一種面向連接的、可靠的傳輸層通信協(xié)議，由IETF的RFC 793定義。

• UDP：一種簡單的無連接的傳輸層協(xié)議，由IETF的RFC 768定義。

TCP和UDP - 報文格式

TCP報文頭部：

• Source Port：源端口，標識哪個應用程序發(fā)送。長度為16比特；

• Destination Port：目的端口，標識哪個應用程序接收。長度為16比特；

• Sequence Number：序號字段，TCP連接中傳輸?shù)臄?shù)據(jù)流每個字節(jié)都編上一個序號。序號字段的值指的是本報文段所發(fā)送數(shù)據(jù)的第一個字節(jié)的序號。長度為32比特；

• Acknowledgment Number：確認序列號，是期望收到對方下一個報文段數(shù)據(jù)的第1個字節(jié)的序號，即上次已成功接收到的數(shù)據(jù)段的最后一個字節(jié)數(shù)據(jù)的序號加1。只有ACK標識為1，此字段有效。長度為32比特；

• Header Length：頭部長度，指出TCP報文頭部長度，以32比特（4字節(jié)）為計算單位。若Option字段無內容，則該字段為5，即頭部為20字節(jié)；

• Reserved：保留，必須填0。長度為6比特；

• Control bits：控制位，包含F(xiàn)IN、ACK、SYN等標志位，代表不同狀態(tài)下的TCP數(shù)據(jù)段；

• Window：窗口TCP的流量控制，這個值表明當前接收端可接受的最大的數(shù)據(jù)總數(shù)（以字節(jié)為單位）。窗口最大為65535字節(jié)。長度為16比特；

• Checksum：校驗字段，是一個強制性的字段，由發(fā)端計算和存儲，并由收端進行驗證。在計算檢驗和時，要包括TCP頭部和TCP數(shù)據(jù)，同時在TCP報文段的前面加上12字節(jié)的偽頭部。長度為16比特；

• Urgent：緊急指針，只有當Urgent標志置1時緊急指針才有效。TCP的緊急方式是發(fā)送端向另一端發(fā)送緊急數(shù)據(jù)的一種方式。緊急指針指出在本報文段中緊急數(shù)據(jù)共有多少個字節(jié)（緊急數(shù)據(jù)放在本報文段數(shù)據(jù)的最前面）。長度為16比特；

• Options：選項字段（可選），長度為0-40字節(jié)。

UDP報文頭部：

• Source Port：源端口，標識哪個應用程序發(fā)送。長度為16比特；

• Destination Port：目的端口，標識哪個應用程序接收。長度為16比特；

• Length：該字段指定UDP報頭和數(shù)據(jù)總共占用的長度?？赡艿淖钚￠L度是8字節(jié)，因為UDP報頭已經(jīng)占用了8字節(jié)。由于這個字段的存在，UDP報文總長不可能超過65535字節(jié)（包括8字節(jié)的報頭，和65527字節(jié)的數(shù)據(jù)）；

• Checksum：覆蓋UDP頭部和UDP數(shù)據(jù)的校驗和，長度為16比特。

TCP和UDP - 端口號

TCP和UDP使用端口號來區(qū)分不同的服務?？蛻舳耸褂玫脑炊丝谝话汶S機分配，目標端口則由服務器的應用指定。源端口號一般為系統(tǒng)中未使用的，且大于1023的端口。目的端口號為服務端開啟的應用（服務）所偵聽的端口，如HTTP缺省使用80。

網(wǎng)絡層

網(wǎng)絡層則負責數(shù)據(jù)從一臺主機到另外一臺主機之間的傳遞。

網(wǎng)絡層作用：負責將分組報文從源主機發(fā)送到目的主機。為網(wǎng)絡中的設備提供邏輯地址。負責數(shù)據(jù)包的尋徑和轉發(fā)。常見協(xié)議如IPv4、IPv6、ICMP和IGMP等。

IP報文頭部

IP報文轉發(fā)

源設備發(fā)出的報文會在其網(wǎng)絡層頭部攜帶源及目的設備的網(wǎng)絡層地址。具備路由功能的網(wǎng)絡設備（例如路由器等）會維護路由表。當這些網(wǎng)絡設備收到報文時，會讀取其網(wǎng)絡層攜帶的目的地址，并在其路由表中查詢該地址，找到匹配項后，按照該表項的指示轉發(fā)數(shù)據(jù)。

采用IP作為網(wǎng)絡層協(xié)議，通信雙方的IP都是唯一的，IP是32位的二進制數(shù)，可以用點分十進制表示，比如192.168.1.1

IP數(shù)據(jù)包的封裝與轉發(fā)：

• 網(wǎng)絡層收到上層（如傳輸層）協(xié)議傳來的數(shù)據(jù)時候，會封裝一個IP報文頭部，并且把源和目的IP地址都添加到該頭部中；

• 中間經(jīng)過的網(wǎng)絡設備（如路由器），會維護一張指導IP報文轉發(fā)的“地圖”——路由表，通過讀取IP數(shù)據(jù)包的目的地址，查找本地路由表后轉發(fā)IP數(shù)據(jù)包；

• IP數(shù)據(jù)包最終到達目的主機，目的主機通過讀取目的IP地址確定是否接受并做下一步處理。

IP協(xié)議工作時，需要如OSPF、IS-IS、BGP等各種路由協(xié)議幫助路由器建立路由表，ICMP幫忙進行網(wǎng)絡的控制和狀態(tài)診斷。

ICMP協(xié)議

Internet控制消息協(xié)議ICMP（Internet Control Message Protocol）是IP協(xié)議的輔助協(xié)議。

ICMP協(xié)議用來在網(wǎng)絡設備間傳遞各種差錯和控制信息，對于收集各種網(wǎng)絡信息、診斷和排除各種網(wǎng)絡故障等方面起著至關重要的作用。

ICMP消息封裝在IP報文中，IP報文頭部Protocol值為1時表示ICMP協(xié)議。

ICMP字段解析：

• ICMP消息的格式取決于Type和Code字段，其中Type字段為消息類型，Code字段包含該消息類型的具體參數(shù)。

• Checksum校驗和字段用于檢查消息是否完整。

• ICMP消息中包含32 bit的可變參數(shù)，這個字段一般不使用，通常設置為0。

• 在ICMP重定向消息中，這個字段用來指定網(wǎng)關IP地址，主機根據(jù)這個地址將報文重定向到指定網(wǎng)關；

• 在Echo請求消息中，這個字段包含標識符和序號，源端根據(jù)這兩個參數(shù)將收到的回復消息與本端發(fā)送的Echo請求消息進行關聯(lián)。尤其是當源端向目的端發(fā)送了多個Echo請求消息時，需要根據(jù)標識符和序號將Echo請求和回復消息進行一一對應。

ICMP差錯檢測

ICMP Echo Request和ICMP Echo Reply消息常用于診斷源和目的地之間的網(wǎng)絡連通性，同時還可以提供其他信息，如報文往返時間等。

ICMP的一個典型應用是Ping。

ICMP錯誤報告

ICMP定義了各種錯誤消息，用于診斷網(wǎng)絡連接性問題；根據(jù)這些錯誤消息，源設備可以判斷出數(shù)據(jù)傳輸失敗的原因。

ICMP的另一個典型應用是Tracert。

• Tracert基于報文頭中的TTL值來逐跳跟蹤報文的轉發(fā)路徑。源端首先將報文的TTL值設置為1。該報文到達第一個節(jié)點后，TTL超時，于是該節(jié)點向源端發(fā)送TTL超時消息，消息中攜帶時間戳。

• 然后源端將報文的TTL值設置為2，報文到達第二個節(jié)點后超時，該節(jié)點同樣返回TTL超時消息，以此類推，直到報文到達目的地。

• 這樣，源端根據(jù)返回的報文中的信息可以跟蹤到報文經(jīng)過的每一個節(jié)點，并根據(jù)時間戳信息計算往返時間。

ICMP定義了各種錯誤消息，用于診斷網(wǎng)絡連接性問題；根據(jù)這些錯誤消息，源設備可以判斷出數(shù)據(jù)傳輸失敗的原因。

• 如果網(wǎng)絡中發(fā)生了環(huán)路，導致報文在網(wǎng)絡中循環(huán)，且最終TTL超時，這種情況下網(wǎng)絡設備會發(fā)送TTL超時消息給發(fā)送端設備；

• 如果目的地不可達，則中間的網(wǎng)絡設備會發(fā)送目的不可達消息給發(fā)送端設備。目的不可達的情況有多種

OSPF協(xié)議

不同網(wǎng)絡間的互通，需要通過路由實現(xiàn)。

路由的獲取方式有：

• 直連路由

• 靜態(tài)路由

• 動態(tài)路由。動態(tài)路由因靈活性高、可靠性好、易擴展等特點被廣泛應用于網(wǎng)絡中。

OSPF是企業(yè)網(wǎng)絡中應用最廣的動態(tài)路由協(xié)議。

LSDB（Link State Database, 鏈路狀態(tài)數(shù)據(jù)庫），OSPF設備之間會同步鏈路狀態(tài)信息，用于計算路由，保存這些信息的數(shù)據(jù)庫就是LSDB。

OSPF區(qū)域

OSPF Area用于標識一個OSPF的區(qū)域。

區(qū)域是從邏輯上將設備劃分為不同的組，每個組用區(qū)域號（Area ID）來標識。

企業(yè)網(wǎng)絡可以根據(jù)規(guī)模和需求規(guī)劃為單區(qū)域或多區(qū)域組網(wǎng)。

OSPF區(qū)域可以劃分為骨干區(qū)域和非骨干區(qū)域。骨干區(qū)域為Area0，其他區(qū)域為非骨干區(qū)域。

大型企業(yè)網(wǎng)絡中可以進行分層次的OSPF區(qū)域規(guī)劃，如可以將出口設備和核心設備間規(guī)劃為骨干區(qū)域Area0，核心設備和匯聚設備之間規(guī)劃為非骨干區(qū)域，如Area10，Area20。

OSPF路由表

對于OSPF的路由表，需要了解：

• OSPF路由表包含Destination、Cost和NextHop等指導轉發(fā)的信息；

• 使用命令display ospf routing查看OSPF路由表。

數(shù)據(jù)鏈路層

數(shù)據(jù)鏈路層位于網(wǎng)絡層和物理層之間，可以向網(wǎng)絡層的IP和IPv6等協(xié)議提供服務。

以太網(wǎng)（Ethernet）是最常見的數(shù)據(jù)鏈路層協(xié)議。

數(shù)據(jù)鏈路層位于網(wǎng)絡層和物理層之間：

• 數(shù)據(jù)鏈路層向網(wǎng)絡層提供“段內通信”；

• 負責組幀、物理編址和差錯控制等功能；

• 常見的數(shù)據(jù)鏈路層協(xié)議有：以太網(wǎng)、PPPoE和PPP等。

以太網(wǎng)幀結構

以太網(wǎng)技術所使用的幀為以太網(wǎng)幀（Ethernet Frame）。以太幀有Ethernet II格式和IEEE 802.3格式兩個標準。

MAC（Media Access Control）地址在網(wǎng)絡中唯一標識一個網(wǎng)卡。MAC地址有48 bit，如00-1E-10-DD-DD-02。MAC地址用于同網(wǎng)段內的通信。

Ethernet II以太幀：

• DMAC：6字節(jié)，目的MAC地址，該字段標識幀的接收者；

• SMAC：6字節(jié)，源MAC地址，該字段標識幀的發(fā)送者；

• Type：2字節(jié)，協(xié)議類型。常見值：

• 0x0800：Internet Protocol Version 4（IPv4）；

• 0x0806：Address Resolution Protocol（ARP）。

IEEE 802.3 LLC以太幀：

• SNAP：Sub-network Access Protocol，子網(wǎng)訪問協(xié)議。SNAP由機構代碼（Organization Code）和類型（Type）字段組成。

• FCS：Frame Check Sequence，幀校驗序列，這是一個32位的循環(huán)冗余校驗碼，主要用于校驗二層數(shù)據(jù)幀在傳輸過程中是否發(fā)生差錯

• 邏輯鏈路控制LLC（Logical Link Control）由目的服務訪問點DSAP（Destination Service Access Point）、源服務訪問點SSAP（Source Service Access Point）和Control字段組成。

• DSAP：1字節(jié)，目的服務訪問點，若后面類型為IP，該字段值設為0x06。服務訪問點的功能類似于Ethernet II幀中的Type字段或TCP/UDP傳輸協(xié)議中的端口號；

• SSAP：1字節(jié)，源服務訪問點，若后面類型為IP，該字段值設為0x06；

• Ctrl：1字節(jié)，該字段值通常設為0x03，表示無連接服務的IEEE 802.2無編號數(shù)據(jù)格式。

地址解析協(xié)議 (ARP)

ARP（Address Resolution Protocol，地址解析協(xié)議）是根據(jù)IP地址獲取數(shù)據(jù)鏈路層地址的一個TCP/IP協(xié)議。根據(jù)已知的IP地址解析獲得其對應的MAC地址。

ARP是IPv4中必不可少的一種協(xié)議，它的主要功能是：

• 將IP地址解析為MAC地址；

• 維護IP地址與MAC地址的映射關系的緩存，即ARP表項；

• 實現(xiàn)網(wǎng)段內重復IP地址的檢測。

數(shù)據(jù)封裝過程

發(fā)送方數(shù)據(jù)封裝

假設你正在通過網(wǎng)頁瀏覽器訪問華為官網(wǎng)，當你輸入完網(wǎng)址，敲下回車后，計算機內部會發(fā)生下列事情：

• IE瀏覽器（應用程序）調用HTTP（應用層協(xié)議），完成應用層數(shù)據(jù)的封裝（圖中Data還應包括HTTP頭部，此處省略）；

• HTTP依靠傳輸層的TCP進行數(shù)據(jù)的可靠性傳輸，將封裝好的數(shù)據(jù)傳遞到TCP模塊；

• TCP模塊給應用層傳遞下來的Data添加上相應的TCP頭部信息（源端口、目的端口等）。此時的PDU被稱作Segment（段）；

• 在IPv4網(wǎng)絡中，TCP模塊會將封裝好的Segment傳遞給網(wǎng)絡層的IPv4模塊（若在IPv6環(huán)境，會交給IPv6模塊進行處理）；

• IPv4模塊在收到TCP模塊傳遞來的Segment之后，完成IPv4頭部的封裝，此時的PDU被稱為Packet（包）；

• 由于使用了Ethernet作為數(shù)據(jù)鏈路層協(xié)議，故在IPv4模塊完成封裝之后，會將Packet交由數(shù)據(jù)鏈路層的Ethernet模塊（例如以太網(wǎng)卡）處理；

• Ethernet模塊在收到IPv4模塊傳遞來的Packet之后，添加上相應的Ethernet頭部信息和FCS幀尾，此時的PDU被稱為Frame（幀）；

• 在Ethernet模塊封裝完畢之后，會將數(shù)據(jù)傳遞到物理層；

• 根據(jù)物理介質的不同，物理層負責將數(shù)字信號轉換成電信號，光信號，電磁波（無線）信號等；

• 轉換完成的信號在網(wǎng)絡中開始傳遞。

接收方數(shù)據(jù)解封裝

經(jīng)過網(wǎng)絡傳遞之后，數(shù)據(jù)最終到達目的服務器。根據(jù)不同的協(xié)議頭部的信息，數(shù)據(jù)將被一層層的解封裝并做相應的處理和傳遞，最終交由Web服務器上的應用程序進行處理。

常見網(wǎng)絡設備

企業(yè)園區(qū)網(wǎng)絡典型架構

以下典型的企業(yè)園區(qū)網(wǎng)絡組網(wǎng)，由交換機、路由器、防火墻和服務器組成。通常會采用多層架構，包括：接入層、匯聚層、核心層和出口層。

交換機：同網(wǎng)段或跨網(wǎng)段通信設備。

路由器：跨網(wǎng)段通信設備。

防火墻：可部署在網(wǎng)絡出口處進行防護。

交換機

交換機是距離終端用戶最近的設備，用于終端接入網(wǎng)絡，并且可以使數(shù)據(jù)幀在同一網(wǎng)段內轉發(fā)。

交換機工作在數(shù)據(jù)鏈路層，根據(jù)MAC地址表轉發(fā)數(shù)據(jù)幀。MAC地址表中存放了MAC地址與交換機端口之間的映射關系。

二層交換機工作在數(shù)據(jù)鏈路層，交換機不同的接口發(fā)送和接收數(shù)據(jù)是獨立的，各接口屬于不同的沖突域，因此有效地隔離了網(wǎng)絡中的沖突域。

二層交換設備通過學習以太網(wǎng)數(shù)據(jù)幀的源MAC地址來維護MAC地址與接口的對應關系（保存MAC與接口對應關系的表稱為MAC地址表），通過其目的MAC地址來查找MAC地址表決定向哪個接口轉發(fā)。

路由器

路由器工作在網(wǎng)絡層，使報文能夠在不同網(wǎng)絡間轉發(fā)。

路由器是網(wǎng)絡層設備，其主要功能是實現(xiàn)報文在不同網(wǎng)絡之間的轉發(fā)。如圖所示，位于不同網(wǎng)絡（即不同鏈路）上的Host A和Host B之間相互通信。與Host A在同一網(wǎng)絡（即同一鏈路）上的路由器接口接收到Host A發(fā)出的數(shù)據(jù)幀，路由器的鏈路層分析幀頭確定為發(fā)給自己的幀之后，發(fā)送給網(wǎng)絡層處理，網(wǎng)絡層根據(jù)網(wǎng)絡層報文頭以決定目的地址所在網(wǎng)段，然后通過查表從相應的接口轉發(fā)給下一跳，直到到達報文的目的地Host B。

防火墻

防火墻是對網(wǎng)絡的訪問行為進行控制的一種設備，安全防護是其核心特性，主要部署在網(wǎng)絡邊界。

防火墻采用安全區(qū)域，同一安全區(qū)域數(shù)據(jù)流動是安全的，不同安全區(qū)域數(shù)據(jù)流動觸發(fā)安全檢測，并且實施安全策略

防火墻功能

防火墻主要用于保護一個網(wǎng)絡免受來自另一個網(wǎng)絡的攻擊和入侵。因其隔離、防守的屬性，防火墻靈活應用于企業(yè)網(wǎng)絡出口、大型網(wǎng)絡內部子網(wǎng)隔離和數(shù)據(jù)中心邊界等場景。

防火墻可以實現(xiàn)的功能如下：

• 隔離不同安全級別的網(wǎng)絡；

• 實現(xiàn)不同安全級別網(wǎng)絡之間的訪問控制（安全策略）；

• 用戶身份認證；

• 實現(xiàn)遠程接入功能；

• 實現(xiàn)數(shù)據(jù)加密及虛擬專用網(wǎng)業(yè)務；

• 執(zhí)行網(wǎng)絡地址轉換；

• 其他安全功能。

防火墻與交換機、路由器的對比

交換機通常用來組建局域網(wǎng)，路由器用來連接不同的網(wǎng)絡，而防火墻主要部署在網(wǎng)絡邊界。

路由器與交換機的本質是轉發(fā)，防火墻的本質是控制。

防火墻與路由器、交換機的區(qū)別：

• 路由器與交換機本質是轉發(fā)，而防火墻的本質是控制；

• 路由器用來連接不同的網(wǎng)絡，通過路由協(xié)議保證互聯(lián)互通，確保將報文轉發(fā)到目的地；

• 交換機通常用來組建局域網(wǎng)，作為局域網(wǎng)通信的重要樞紐，通過二層/三層交換快速轉發(fā)報文；

• 防火墻主要部署在網(wǎng)絡邊界，對進出網(wǎng)絡的訪問行為進行控制，安全防護是其核心特性。

防火墻登錄和配置

不管是部署、操作或是維護網(wǎng)絡設備，都會涉及到對網(wǎng)絡設備的配置。配置之前，需要先登錄設備。

管理員對網(wǎng)絡設備的配置，有命令行和Web界面兩種方式。

防火墻默認登錄接口GigabitEthernet0/0/0，也稱為MGMT接口。

Web登錄方法

• 缺省網(wǎng)址：https://192.168.0.1:8443（或http://192.168.0.1）

• 缺省用戶名：admin

• 缺省密碼：Admin@123

基本配置命令

配置接口IP地址，用來給設備上的物理或邏輯接口配置IP地址。

[FW] interface GigabitEthernet 0/0/1

[FW-GigabitEthernet0/0/1] ip address 10.102.0.1 255.255.255.0

查看當前運行的配置

<FW> display current-configuration

配置文件保存

<FW> save

查看保存的配置

<FW> display saved-configuration

清除已保存的配置

<FW> reset saved-configuration

查看系統(tǒng)啟動配置參數(shù)，用來查看設備本次及下次啟動相關的系統(tǒng)軟件、備份系統(tǒng)軟件、配置文件、License文件、補丁文件以及語音文件。

<FW> display startup

配置系統(tǒng)下次啟動時使用的配置文件，設備升級時，可以通過此命令讓設備下次啟動時加載指定的配置文件。

<FW> startup saved-configuration configuration-file? ?

配置設備重啟

<FW> reboot