网络基础应用知识

25/11/2023
阅读时间 2 分钟

在了解网络安全这门课程的时候我们还需要了解一下网络这门学科的基础知识，自己有将自己的基础打牢古才能将上层建筑建设的稳。

简述IP地址

作用

用来标识一个网络节点的互联网地址，有IPv4和IPv6两个版本

IPv4地址：互联网协议地址
- 作用：标识一个节点的网络位置
- 长度： 32个二进制位
- 组成：网络位+主机位
- 表示方式：点分十进制
- 数量：2的32次方

公有地址和私有地址

公有地址互联网上的合法地址，这些地址你需要向一些运营商缴纳费用申请，手机可以直接上网通信的，全球唯一。
私有地址这些地址是预留在企业内部使用的，无需缴费，每个人或者公司都能是使用，主要是解决IP地址不足的问题。这个地址在局域网中唯一，但是私有地址有范围的控制（在ABC三大类中各有若干IP地址给私有地址）
私有地址有私有地址的范围：
- A类 10.0.0.0~10.255.255.255—-有效主机地址—-10.0.0.1~10.255.255.254
- B类 172.16.0.0~172.31.255.255—-有效主机地址—-172.16.0.0.1~172.31.255.254
- C类 192.168.0.0~192.168.255.255—-有效主机地址—-192.168.0.1~192.168.255.254

子网掩码

作用：区分IP地址中的网络位和主机位，它也是由32位二进制组成
子网掩码可以分为两类：
- 默认子网掩码（只存在于ABC三类）
  - A类：255.0.0.0
  - B类：255.255.0.0
  - C类：255.255.255.0
- 自己定义的子网掩码
  - 32位IP地址中网络位为1，主机位为0，主机位除去首尾剩下的就是可以留存的主机数量，首代表着这个网络段，尾代表着这个网络的广播地址。

网关

从当前网段前往其他网段的出口（相同网段通信不需要网关）

网络通信原理

OSI七层模型和TCP/IP五层模型

OSI七层模型中的上三层相当于TCP/IP五层模型中的第一层其他的都是一一对应

而对于TCP/IP五层模型中在数据包装格式中，每一层都有自己的PDU（协议数据单元即协议的数据包）

OSI七层模型               TCP/IP五层模型           对应的PDU     数据的封装过程
  应用层
  表示层
  会话层                  应用层                  数据                                         |数据|
  传输层                  传输层                  数据段                             |TCP头部|数据|
  网络层                  网络层                  数据包                     |IP头部|TCP头部|数据|
  数据链路层            数据链路层             数据帧        |MAC头部|IP头部|TCP头部|数据|尾部|
  物理层                  物理层                  比特流

AAA

AAA是网络安全中进行访问控制的一种安全管理机制，提供认证、授权和计费三种安全服务

弹性交换网络

冲突域和广播域

冲突域：就是连接在同一导线上的所有工作站集合
广播域：网络中能接收任意设备发出的广播帧的所有设备的集合
区别：
- 交换机每一个接口都是一个冲突域
- 路由器每个接口都是一个广播域

交换机的工作原理

学习——>广播——>转发——>更新

路由器的工作原理

路由器是根据路由表来转发数据包的，当一个路由器接收到一个数据包的时候，会查找路由表中是否存在这个数据包的目的地址。如果存在，就按照此路由链路下一跳的地址进行转发，如果不存在则丢弃这个数据包。

VLAN

VLAN：虚拟局域网
作用：分割广播域
优势
- 限制广播域，节省带宽资源
- 增强局域网安全性
- 提高网络的健壮性
- 灵活的构建局域网
划分方式
- 基于接口的划分（主要划分方式）
- 基于MAC的划分
- 基于子网的划分
- 基于协议的划分
端口类型（华为）
- Access接口：一般用于链接终端
  - Access链路一般用于交换机连接终端，同一时刻只能同一VLAN间相互通信，发送数据的时候会剥离VLAN标签
- Trunk接口：一般用于链接交换机、路由器
  - Trunk链路一般用于交换机连接交换机，同一时刻可以支持多个VLAN的数据转发，发送数据的时候携带VLAN标签
- Hybrid：既可以连接终端，也可以连接网络设备
MUX VLAN
- 类型
  - 主VLAN
  - 辅助VLAN（组VLAN和隔离VLAN）

链路聚合Eth-Trunk的作用

Eth-Trunk作为一种捆绑技术，可以把多个独立的物理接口绑定在一起作为一个大的逻辑接口来使用。优点：可以增加设备之间的互联贷款，提高设备的可靠性，对流量负载均衡，提高线路利用率

链路聚合分为两类（手工链路和LACP链路）

特点：
- 手工链路：当两台设备中至少有一台不支持LACP协议时，可以使用手工负载分担模式的Eth-Trunk。在手工负载分担的模式下，加入Eth-Trunk的连路都进行数据转发。
- LACP链路：LACP模式也称为M:N模式，其中M条链路处于活动状态，N条链路处于非活动状态作为备份
区别：
- 手工链路：不需要支持LACP协议、正常情况下，所有链路都是活动链路、无法检测链路错连。
- LACP链路：需要支持LACP协议、正常情况下部分链路是活动链路、可以检测链路错连
系统默认的LACP的优先级
- 默认优先级是32768 ，提供了一种通过vlan进行网络资源控制的机制，通过MUX VLAN 提供的二层流量隔离机制。可以实现企业内部员工之间相互通信，而企业外来访客之间是互相隔离的。

IPv6

按功能分类
- 单播地址：给一个接口使用
- 组播地址：给多个接口使用
- 任播地址：其实是一个单播地址，在不同网络位置的多台主机公用一个单播地址
报文结构
- 组成：
  - 基本包头+扩展报头—上层协议数据单元
  - 基本包头：
    - 长度固定40个字节
    - 分为八个字段
      - 版本、流量类别、流标签、载荷长度、下一报头、跳数限制、源IP、目的IP
按范围分类
- IPv6全球单播地址：GUA
  - 范围：2000-3fff
  - 类似于IPv4的公网地址
- IPv6唯一本地地址：
- IPv6链路本地地址：LLA
  - FE80-FEBF
  - 功能受限制的IPv6地址，只能作用于一条链路上，或者一根网线上
- IPv6组播地址

路由

动态路由

IGP：内部网关路由协议-在同一个AS内部使用（在企业内部或者数据中心内部使用）

DV：距离矢量路由协议
- RIP（v1/v2）
- IGRP-思科私有协议
- EIGRP-思科私有协议
LS：链路状态路由协议
- OSPF：开放式最短路径优先（企业用：功能多，可以精细化控制）
- ISIS：中间系统到中间系统（数据中心用，转发能力强，大流量转发）
EGP：外部网关路由协议：在不同的AS之间使用（AS：自治系统）
- BGP：边界网关协议

特点：

自动计算路由，无需手动配置
网络拓扑变更时候，自动更新路由，不用手动配置
支持负载均衡，提高网络可靠性
选择最优路径

OSPF

详见https://www.tianlangz.top/post/网络安全基础/ospf/

协议

MAC地址

MAC地址也叫物理地址，由48位二进制组成，前二十四位表示的是厂商标识，后二十四位表示的是厂商自己分配的编号，在前二十四位中第八位为0则表示单播地址，第八位为1则表示组播地址，如果MAC地址全部为0，则表示这是一个待填充的地址，全部为1则表示这是一个广播地址。

DNS协议

DNS即Domain Name System，域名系统
端口号：53
主要作用：DNS服务器可以为客户端提供“IP地址和域名”的地址解析服务

ARP协议

ARP即Address Resolution Protocol，地址解析协议
主要作用：基于已知的目标IP地址解析出对应目标的MAC地址
分类：
- 普通ARP（正向ARP）：通过IP地址解析MAC地址
- 反向ARP（RARP）：通过MAC地址解析IP地址
- 免费ARP：查询想使用的IP地址是否在局域网内被占用
- 逆向ARP（IARP）：通过物理地址获取IP地址（一般出现在帧中继网络中，实现IP和DLCI地址映射）
- 代理ARP：路由器收到ARP request 时，发现源IP和目标IP不在同一网段，就会当代理ARP角色，作为回答，告诉查询者它想要的MAC地址。
发送ARP请求报文时，目的MAC字段为全0的MAC地址0x0000-0000-0000（在前面的MAC地址中我说过全为0的MAC地址指的是待填充的MAC地址）
静态ARP
- 手工建立的IP地址和MAC地址之间的固定映射关系就是指静态ARP
- 配置方法：
```
arp -s 主机地址 mac地址   
arp -s 192.168.222.4 00-50-56-ff-17-93
```

ICMP协议

ICMP即Internet Control Message Protocol，控制消息协议，协议号1，位于TCP/IP的第三层。
作用：检测网络通信故障，实现链路追踪。
ICMP协议中两大应用：
- ping命令：检查网络是否畅通的常用命令
- tracert命令：用于检查IP数据包访问目标所采取的路径
ICMP的常见回显消息
- Reply from————————目标地址······连接成功
- Destination host unreachable——目标主机不可达
- Request timed out —————-请求时间超时
- Unknow host ……——————–未知主机名

TCP协议

TCP即Transmission Control Protocol传输控制协议
作用：是一种面向连接的、可靠的传输层通信协议
TCP的可靠依据：
- 三次握手
  - 第一次握手：建立连接时，客户端发送syn包（seq=j）到服务器。
  - 第二次握手：服务器收到syn包，必须确认客户端的SYN（ack=j+1），同时自己也发送一个SYN包（seq=k）即SYN+ACK包
  - 第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK（ack=k+1），此包发送完毕，客户端和服务器TCP连接成功
- 四次挥手
  - 第一次挥手：数据传输完毕后需要断开连接，客户端发送fin包（seq=u）到服务器。
  - 第二次挥手：服务器收到fin包即刻向客户端发送ack包（ack=u+1，seq=v）
  - 第三次挥手：服务器再发送完上个包后随后紧接着发送一个fin包（seq=w，ack=u+1）服务器进入最后确认状态
  - 第四次挥手：客户端在接到服务器发送的报文后发出确认包文（seq=u+1，ack=w+1）随后服务器等待2MSL后（最大报文生存时间）进入close状态。

UDP协议

UDP即User Datagram Protocol 用户数据报协议
非连接的协议、不可靠的传输层协议

Telnet协议

Telnet：远程终端协议
端口号：TCP 23

FTP和TFTP协议

FTP文件传输协议
TFTP简单文件传输协议
区别：
1. 标准FTP端口号：TCP 20和21。标准TFTP端口号UDP 69.
2. FTP用于稳定的传输大容量文件，TFTP用来传输一些小的文件，速度虽然快但很容易丢包。

STP协议

STP协议有三类
- STP：生成树协议
- RSTP：快速生成树协议
- MSTP：多生成树协议
STP的作用
- 防止数据转发环路的出现。
优先级
- 桥的默认优先级是：32768 步长：4096
- 端口的默认优先级是128
工作原理

默认情况下，交换机的STP协议是自动开启的，通过与其他交换机互相发送消息比较BPDU（协议中BPDU分为两类：配置BPDU和拓扑变更BPDU），从而确保网络中去往任何设备仅存在一条最短的，无环，2层转发路径。
- 首先确定交换机的角色（根交换机和非根交换机）
- 其次确定端口的角色（根端口，指定端口和非指定端口）
- 最后确定端口的状态（down、listening、learning、forwarding、blocking）
选举规则
- 交换机选举规则
  - 通过比较每个交换机BID（桥ID）的值来确定
  - 首先比较其中的优先级，值越小越优先
  - 如果优先级相同，通过比较MAC地址来确定，一样是值越小越好
- 根端口的选举规则
  - 在非根交换机上，有且仅有一个，看接口到根交换机的路径成本。
  - 非根交换机上到根交换机花费最小的端口就是根端口
  - 当到根交换机的cost值相同时，比较发送者的BID（桥ID-8字节：桥优先级-2字节+桥MAC-6字节）
  - 当这两个值都相同时，比较发送者PID（端口ID-16位=端口优先级-4位+端口号-12位）
  - 当发送者的PID也相同时，比较接收者的PID
- 指定端口的选举规则
  - 作用：专门用来发送BPDU报文（发送根桥指令的）
  - 规则：
    - 比较到根交换机最小的cost值
    - cost值相同时，两台交换机相互比较BID，PID
  - 定律
    - 根网桥（根交换机）上的所有端口都是指定端口
    - 一根网线上一端是根端口另一端一定是指定端口
    - 每个端口都承担一个角色
    - 同一条链路上有且仅有一个指定端口
- 内部路径开销是指本桥端口到主桥的开销
- MSTP和RSTP对比，有什么优势？
  
  MSTP（多生成树协议）：继承了RSTP（快速生成树）的优点，并且引入了实例的概念，实现基于实例的负载均衡。不但可以实现多链路之间的备份，还可以提高多个链路的利用率。
BPDU

BPDU内包含了STP所需的路径和优先级信息，STP便利用这些信息来确定根桥以及到根桥的路径。概念介绍网桥协议数据单元。是一种生成树协议问候数据报文

网桥协议数据单元
组成部分
- 根ID：发送此配置BPDU的交换机所认为的根交换机的交换机标识
- 到根的路径开销：从发送此配置BPDU的交换机到达根交换机的最短路径总开销（cost），含交换机根端口的开销，不含发送此配置BPDU的端口的开销
- 桥ID：发送此配置BPDU的交换机的STP交换机标识
- 端口ID：发送此配置BPDU的交换机端口的STP端口标识
- 优先级是：根ID > 路径开销 > 桥ID > 端口ID（值越小越优先）
RSTP
- stp root primary配置当前的设备为根桥，配置后优先级为0，并且不能修改优先级
- RSTP端口角色
  - Root Port————非根桥交换机上前往根桥最优的接口
  - Alternate Port————从指定桥到根的另一条可切换路径，作为根端口的备份端口
  - Backup Port————作为指定端口的备份，提供了另一条从根桥到相应网段的备份通路
MSTP
- 当STP选举出端口角色后，即便角色为指定端口和根端口，仍然需要等待两个Forward Delay时间（30秒）才能进入转发

DHCP协议

动态主机配置协议
- 可以给电脑，手机等联网设备分配IP地址、子网掩码、网关、DNS
角色
- DHCP服务器
  - 分配IP地址的服务器
- DHCP客户端
  - 计算机、手机等
- DHCP中继
  - 只有DHCP客户端的网关接口，才有资格称为DHCP中继
  - 配置过程：
    - 开启DHCP中继DHCP功能
    - 设置DHCP中继接口的模式为relay
    - 指定DHCP中继接口的DHCP服务器地址

服务器配置代码：
[R1]dhcp enable---------启动DHCP
[R1]ip pool vlan10-----------创建DHCP地址池，后面的vlan10是地址池的名字
[R1-ip-pool-vlan10]network 192.168.1.0 mask 24----------指定网段信息
[R1-ip-pool-vlan10]gateway-list 192.168.1.254-----------指定网关地址
[R1-ip-pool-vlan10]dns-list 8.8.8.8-----------指定DNS地址
[R1-ip-pool-vlan10]least day 3----------指定租约
一定要记得最后要在接口上启用DHCP
[R1]int g 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.253 24
[R1-GigabitEthernet0/0/0]dhcp select global


中继器配置代码
[R2]int g 0/0/1
[R2-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[R2-GigabitEthernet0/0/1]dhcp select relay----------------启用DHCP中继代理模式
[R2-GigabitEthernet0/0/1]dhcp relay server 10.10.10.1-------指定DHCP服务器地址

DHCP首次接入过程
- 发现阶段：discover
- 提供阶段：offer
- 选择阶段：request
- 确认阶段：ACK
在DHCP设置排除地址的作用
- 把地址保存下来不参与地址分配