计算机网络基础

衡量网络性能的指标
1.带宽：单位时间内能够传输的数据总量，单位bps
2.时延：报文从一段到另一端所需时间，单位ms
    总时延=发送时延+传播时延+处理时延+排队时延
3.抖动：最大时延和最小时延的时间差
4.丢包：
5并发连接数：所能处理的最多（点对点连接）——内存、文件描述符等
6.新建连接数：可以处理的每秒新建连接数量——CPU
7.并发用户数：同一时刻与服务器进行交互的在线用户数量
#byte字节=8bit比特




如何选择设备——参数选择



1.同网段主机之间通信

（1）主机首先根据IP号和子网掩码来计算网络号，查看是否处于同一网段

（2）根据ARP协议

（2-1）首先，在本机的ARP缓存表中查看目的IP地址的MAC地址

（2-2）如果查询到对应条目，则直接封装数据包进行转发

（2-3）如果不存在对应条目，则在使用ARP协议进行广播查询

（2-3-1）主机封装广播数据包（目的MAC地址是FFFFFFFFFFFF），发送到二层交换机，二层交换机首先学习该端口和数据包的源MAC地址的映射，更新到交换机的MAC地址表

（2-3-2）交换机转发该数据包到除本端口之外的所有端口，数据包被对应端口的主机或者交换机接收或转发

（2-3-3）主机接收到数据包之后，根据目的IP地址和自身IP地址是否匹配来选择是否应答；目的IP地址与自身IP地址匹配的话，主机生成已知目的IP地址和MAC地址以及自身IP地址和MAC地址的数据包发送给APR广播请求的主机

（2-3-4）在响应包返回的途中，交换机学习对应端口和MAC地址的映射并进行转发

（2-3-5）发起ARP请求的主机收到ARP广播请求响应并更新本主机的ARP表

（3）根据ARP协议查找对应IP和MAC地址进行发送数据包



1二层交换机的动作：

（1）学习——学习入端的端口号和MAC地址映射

（2）转发——根据MAC地址表进行转发或者进行广播



1.ARP欺骗（其他主机能够接收到ARP广播包，所以可以伪造）只改变MAC地址，因为同网段的时候，主要根据MAC地址进行通信，

2.为了实施ARP欺骗，攻击者需要确保被攻击主机的ARP缓存表中的对应条目不会改变（一直发ARP回应）

3.监听、拦截、篡改

4.防御：

（1）主机，将ARP表中将重要的条目（例如网关等）设置为静态，静态优先级高于动态，不易被修改

（2）交换机，将MAC地址表中的MAC地址与对应的IP进行绑定，不再单独记录MAC地址

（3）VLAN划分网段


如何解决二次交换机单点故障（端口故障）
1.两个交换机之间链接冗余——ARP广播包会转发到”所有“端口，出现环路转发，导致广播包循环转发（广播风暴），错误学习MAC和端口信息（MAC震荡），并且占用资源——所以不可行
2.为解决上面的广播风暴——STP生成树协议——在逻辑上隔断某些接口，封闭其余冗余链接
3.交换机故障入如何解决？——设备级的冗余备份——堆叠——和VRRP十分相似

https://www.bilibili.com/video/BV1FM4y1b7nk/?spm_id_from=333.337.search-card.all.click&vd_source=e8770ec4ee12e852559a686ab27c953e
http://www.js-glwa.com/?m=home&c=View&a=index&aid=233
https://baijiahao.baidu.com/s?id=1713409225430045030&wfr=spider&for=pc


主机如何获取IP地址
1.手动配置——
2.DHCP——动态主机配置协议——应用层协议
2-1早期未来解决IPv4公网地址不够用
2-2工作原理
2-2-1DHCP DISCOVER——广播包，寻找能为他提供IP的DHCP Server
2-2-2DHCP OFFER——DHCP应答包，告诉客户端它可以提供的IP地址——IP地址、默认网关、DNS服务器地址、租期——DHCP服务器为此客户端保留所提供的IP地址
2-2-3DHCP REQUEST——客户端确认接受使用的IP
2-2-4DHCP ACK——DHCP服务器确认信息
3DHCP风险
3-1先收到哪一个OFFER应答包就是要哪一个
3-2广播包——黑客在网络中也部署了DHCP服务器——DHCP欺骗（分配错误信息）——地址冲突，无法上网、错误网关（信息泄露、拦截、篡改）、DNS信息（钓鱼网站）
4DHCP欺骗如何防御
4-1DHCP SNOPPING——将链路中的接口分为信任接口和非信任接口，DHCP SNOPPING技术不接受非信任接口的OFFER包
4-2所有的中继设备接口设置为非信任接口，主机与合法DHCP服务器的中继设备设置信任接口



链路聚合
1.交换机链路端口带宽有限，但要支持一定数量的主机高速上网
2.将多个端口的链路虚拟成一个端口和一条链路（不存在环路——解决广播风暴，但仍然能解决单点故障——逻辑上一个端口，物理上多个端口——接口之间实现负载分担）



1.交换机中的MAC地址表存储于缓存中、MAC地址表中条目有老化时间（有效时间）、MAC地址表大小有限制——导致交换机不知道如何转发（找不到端口和MAC地址的映射）——交换机泛洪（广播）：泛洪时候知道MAC地址，但不知道要往哪个端口转发，所有都转发，而且有携带数据；但广播不知道MAC地址，也没有具体数据——导致信息泄露，占用交换机带宽和资源

2.黑客主机伪造大量数据包，其中的源MAC地址被随机填充，这样大量的数据包就能把交换机原先的MAC地址表中条目置换，造成泛洪攻击

3.一个端口可以对应多个MAC地址

4.port security端口安全特性——人为设置一个端口对应的MAC地址数量，超过该数量之后，交换机不能继续学习该端口上的对应MAC地址——导致黑客不能置换交换机中MAC地址的所有条目




1为什么要划分网段：

（1）广播流量太多，占用网络带宽和设备资源

（2）管理复杂，不利于发现问题、排除故障

（3）不利于安全风险的隔离，安全问题影响范围大

2如何划分网段

(1）只要网络号相同，就在同一个网段——IP地址和子网掩码与运算

（2）主机号（主机地址）：IP地址是网络号和主机号的结合


1.路由器端口有IP地址和MAC地址

2.网关：主机号为1

3不同网段主机通信

（1）主机判断两个IP地址是否在同一个网段

（2）主机通过本地路由表查看默认网关

（3）主机和网关都在同网段

（4）主机通过ARP表查找网关MAC地址（和同一网段的主机通信一样）

（5）主机封装数据包

源地址：本机IP地址和MAC地址

目的地址：另一太台主机的IP地址和网关MAC地址

（6）将数据包发送给交换机，交换机根据数据包内目的MAC地址和MAC地址表进行转发给网关（路由器）

（7）路由选择：网关抹去原数据包中的所有MAC地址，根据目的IP查询路由表，得到下一跳的IP地址，再查询本地ARP缓存得到对应的MAC地址（此处如果不知道对应的MAC地址，则使用ARP协议查询，同样也有ARP缓存表），将下一跳的MAC地址作为目的MAC地址，要转发过去的端口MAC地址作为源MAC地址，进行封装转发——同时TTL（生存时间）-1

（7-1）直连路由 ——路由器接口所连接子网的路由，根据路由器接口IP配置，自动生成

（7-2）静态路由——网络管理员手动写的路由表——适用于网络规模不大，拓扑结构固定——配置简单、不占用资源——需要网络管理员逐条配置，不能动态调整

（7-3）动态路由——路由器和路由器之间定期自动的交换数据优化路由表——适用于网络规模大、网络拓扑结构复杂的网络——只需要占用路由器资源（CPU、内存）和未来带宽资源——常见协议OSPF和RIP
（7-3-1）（AS内部）域内路由选择——IGP类别（内部网关协议）——IRP（内部路由协议）
（7-3-1-2）路由信息协议RIP：基于距离向量的协议
    （7-3-1-2-1）RIP要求自治系统AS内部的每一个路由器都要维护从它自己到AS内其他路由器距离记录。称为距离向量D-V
    （7-3-1-2-2）使用跳数来度量距离——直连路由距离为1，非直连网络的距离为所经过的路由器数量+1——一条路径被允许的最大距离是15
    （7-3-1-2-3）RIP认为好的路由就是距离短的路由——当达到同一网络有多条“距离相等“的路由时，就可以进行等价负载均衡
    （7-3-1-2-4）和谁交换信息——仅和相邻路由器交换信息
              交换什么信息——自己的路由表
              何时交换信息——周期性交换
    （7-3-1-2-5）工作宗旨：不比原来的差就进行更新
    （7-3-1-2-6）坏消息传播得慢——路由环路（距离无穷计算）——触发更新，而不是周期更新
（7-3-1-1）开放最短路径优先OSPF：基于链路状态的协议，克服RIP协议的缺点，使用DIjkstra最短路径算法
    （7-3-1-1-1）相邻路由器通过Hello分组简历和维护邻居关系
    （7-3-1-2-2）链路状态通告LSA

（7-3-2）（AS之间）域间路由选择——EGP类别（外部网关协议）——ERP（外部路由协议）
（7-3-2-1）边界网关协议BGP
（7-4）默认路由——IP地址和子网掩码为0.0.0.0和0.0.0.0，并写明写一跳的IP——当其余路由无法匹配时候，使用默认路由——如果没有默认路由，且报文IP不再路由表中，则丢弃，返回ICMP报文指出目的不可达
（7-5）路由优先级——直连路由>静态路由>动态路由>默认路由
（8） 重复（7）的步骤，直到目的主机接收数据
（9）目的主机应答：数据包中IP地址分别为请求主机IP和本主机IP，目的MAC地址为网关MAC，源MAC地址为本机MAC地址
##该过程中IP地址不变，MAC地址每一跳改变
##可以理解为同网段基于MAC地址通信，不同网段基于同网段和IP地址通信


三层路由的单点故障（设备故障）
1.VRRP——虚拟路由冗余协议——将物理多台冗余的路由器虚拟成为一个虚拟路由
2.给该虚拟路由配置IP等信息
3.在主机中将该主机的默认路由设置为虚拟路由
4.在该虚拟路由中，各个物理冗余路由作为Backup路由器
5.虚拟路由中的可用主要 物理路由器（Master路由器）将自身MAC地址发给主机
6.虚拟路由中，Master路由器周期性通知Backup路由器自身的情况，如果一段时间内BAckup路由没有接受到信息，则认为Master路由器故障，自身”转正“成为Master路由器



网段和广播域
        网段            广播域
判断标准                  网络号                       能够接收到同一个ARP广播包的设备的集合（没有跨路由通信——广播包没有办法穿过三层设备——跨路由则一定处于不同网段）
是否能通信       同一网段一定可以通信    在同一个广播域内不同网段的主机不能通信（不同网段通信需要三层设备网关）
三层设备能够隔离广播域


虚拟局域网VLAN——广播域隔离（同一个广播域内多个不同网段）
1.Access口——起到打/撕标签作用（标签在数据包MAC地址和IP地址之间）
（1）将主机的数据包打上标签（比如接入一台主机配置为Vlan10，另一台接入主机配置为Vlan20），进入交换机端口时检查标签，如果标签符合则进入，当该数据包从另一个接口离开交换机去往目的主机的时候再撕去标签
（2）当数据包标签和端口标签不一致的时候不会进行转发（两个交换机之间多个链路，多个标签接口——因为有标签，所有不需要破环）
2.Trunk口——既不打标签，也不撕开标
（1）两个交换机之间的接口，解决了Access口两个交换机之间连接多个链路时的资源浪费
（2）所有标签的数据包都能通过
##在这种情况下，如果仍然想要不同网段进行通信，则使用一个路由器连接到一个交换机（有几个网段就几个链路），并在相应接口填充标签，接口不够，成本太高
3.单臂路由——一个路由器一个链路支持多个网段
（1）把路由器一个物理接口虚拟成多个物理接口，并分别配置不同的IP设置成对应的网关，并将其划分到不到网段（类似于Access口的作用），具备打/撕标签的作用
（2）把交换机上对应的接口设置为Trunk




单臂路由（虚拟接口）


域名解析
浏览器首先看一下自己的缓存里有没有，如果没有就向操作系统的缓存要，还没有就检查本机域名解析文件 hosts，如果还是没有，就会 DNS 服务器进行查询
1.首先，向本地DSN服务器发起请求，若本地DNS服务器知道对应的IP则返回IP地址

2若找不到，则本地DNS服务器向根DNS服务器发起请求，根DSN服务器返回对应的顶级域名服务器IP

3.本地DNS服务器根据的顶级DNS服务器IP，向顶级DNS服务器发起请求，顶级DNS服务器返回权威DNS服务器的IP

4.本地DSN服务器根据权威DNS服务器IP，向权威DNS服务器发起请求，权威DNS服务器返回目标域名的IP地址

5.本地DNS服务器将接收到的对应服务器IP地址发送给客户端

以上解析过程中，如果服务器有着属于多个不同运营商的IP地址，则可能发生跨运营商方法或者访问了故障IP（比如本地是联通网络，选择的服务器IP是电信网络）

避免跨运营商访问和故障IP：

1.需要服务器端的AD协助

2.权威DNS服务器不再记录A记录，而是改为NS记录，返回的是对应目标服务器的域名解析服务器AD

3.本地域名解析服务器查询AD，得到最优的目标服务器IP，从而进行访问

##A记录：源码对应IP地址

##NS记录：name server纪录



源头网络地址转换NAT（子网IP可以访问外网，但外网响应无法回来）——内网主机访问互联网服务器

1.请求出去：NAT将子网IP转换为代理的公网IP，使其能够进行通信（SNAT转换——源IP地址转换）

2.响应回来：目的IP地址为代理的公网IP，达到NAT之后，将目的地址转换为真正的目的IP地址，进行通信

3.NAT映射缓存表

原先的IP   转换后的IP （端口1--NAPT）（端口2--NAPT）

4.分类

（4-1）静态：一对一

（4-2）动态：谁先来，谁先用公网IP，一个公网IP可以对应多个子网IP（同一时刻只能一对一）

（4-3）NAPT(网络地址端口转换)：在动态转换的基础上加上源端口号，使用源端口号来区分不同的子网IP（两台子网主机使用到同一个端口怎么办？）——NAT再额外使用一个端口号来代理原先的源端口号


目的网络地址转换DNAT（服务器处于内网，不然易被攻击）——互联网主机访问内网服务器

1.防火墙具有路由功能

2.根据目的端口号进行映射

目的端口号   最终目的IP地址

3.SNAT和DNAT配对使用才能相互访问（访问不同于通信）



IPsec VPN
1.site to site不同地域分公司场景——IPSec VPN——网络层（电脑本身不支持IPSec VPN协议，所以要单独配置一台电脑服务）
2.Sangfor VPN——传输层
3.封装&加密

IPSec  https://zhuanlan.zhihu.com/p/488141423?utm_id=0

SSL VPN
1.client to site 移动办公——SSL VPN——应用层（电脑本身支持SSL VPN协议，不必单独配置）
2.对称加密算法（加解密使用同一个密钥）
（1）风险：密钥传输过程中容易泄露；n个人相互通信则需要n*(n-1)/2个密钥，密钥匙了过多，不易于管理
（2）优势：算法简单，资源消耗少
（2）DES
（3）3DES
（4）IDEA
（5）RC
（6）AES
3.非对称加密算法（加密使用公钥——派发出去   解密使用私钥——自己保留）
（1）缺点：算法复杂，加密速度较慢
（2）优势：安全
（3）RSA、ECC、Rabin、Elgamal
4.数据传输使用对称加密算法，对称密钥的传输通过非对称加密算法
5.如何验证公钥的合法性（公钥被替换）
（1）CA机构（可信机构）颁发 数字证书（证明公钥的合法性）
（2）客户端如何验证证书的合法性——客户端拥有所有CA机构的公钥，CA机构使用自己的私钥去加密（签名），客户端如果能使用对应的公钥解密，则说明是合法的证书
（3）数字证书一般包含了用户身份信息、用户公钥信息、CA结构的数字签名、有效期
（4）数字证书分类
（4-1）签名证书：主要对用户信息签名，保证用户信息的真实性和不可否认性
（4-2）加密证书：主要对传送的信息进行加密，确保信息的机密性和完整性
6.HTTPS的加密过程：
（6-1）HTTPS是SSL协议基础上的HTTP协议
（6-2）SSL握手——主机对服务器发起请求——服务器返回SSL证书给客户端——客户端验证证书合法性——证书合法的话，取出其中的公钥，并根据SSL中的随机数生成对象密钥——客户端使用公钥加密对称密钥并发送给服务器——服务器使用私钥解密获得对称密钥——之后的数据传输使用该对称密钥
（6-3）SSL解密
（6-3-1）中间人解密：AC作为中间人，作为客户端和服务器之间的桥梁进行加解密（两端加解密）——由于AC发给客户端的证书是假的，所以会报警
（6-3-2）无感知高效SSL解密（依赖安全准入插件）

MPLS VPN
1.专线是被独享吗？——同一个物理线路虚拟为多个线路
2.IP路由转发——标签转发技术（ATM技术）——IP简单成本低
3.MPLS——多协议标签转发协议
（1）打标签——二层头部|MPLS标签|三层头部|数据
（2）只在网络边缘使用IP转发，在MPLS骨干网使用MPLS标签转发
4.MPLS实际上是一种隧道技术——标签和标签之间是一条隧道

MPLS技术：https://zhuanlan.zhihu.com/p/130990098?utm_id=0

 

tcpdump使用
https://www.cnblogs.com/cuijy1/p/16378280.html