数据链路层

主要知识点:点对点协议,常见广播方式

点对点协议

PPP

提供一种点到点链路上封装网络层协议信息的标准方法

PPPOE

可以使以太网的设备通过一个监督的桥接设备连接到远端的接入集中器上。

集中器实现对接入设备的控制和计费

局域网数据链路层结构

IEEE 802 分为两子层:

逻辑链路控制(LLC),与硬件无关,实现流量控制

媒体接入控制(MAC),与硬件相关,提供硬件与LLC的接口

MAC

数据帧的封装卸载,帧的寻址和识别,帧的接收与发送,链路管理,帧的差错控制。

访问方式:CSMA/CD,令牌环,令牌总线

帧由八个字段组成,用途不同,长度不等。

  1. 前导字段:形为1010...1010,长度7个字节
  2. 帧起始字段:固定格式10101011,长度一个字节,不计算在有效信息字段之内,作为同步信号使用,由网卡自动产生,并附加到帧上
  3. 目的地址,源地址字段:可以是6个字节,最高位0,代表普通地址,最高位1,代表组地址,全1位广播地址
  4. 类型字段:标识上一层使用的什么协议,也可以表示长度。有两个字节,1-1500表示长度值,1536-65535,表示类型值。
MAC地址

也叫硬件地址,链路地址,48比特组成。

前24位是厂商编号,由IEEE分配给厂家。

后24位是序列号,由厂家烧入网卡的EPROM(一种闪存芯片),表示真真的主机地址,用于接受发送数据,也用于识别主机,全球唯一。

LLC

提供四种服务:

1,不确认的无连接服务,即数据报服务,用于点对点通信,广播,多播(组播) 2,面向连接服务,虚电路服务,适用于传输很长的数据文件 3,带确认的无线连接服务,可靠数据服务,只存在于令牌总线中 4,高速传送服务,专为城域网所用

CSMAC/CD

一种争用型的介质访问控制协议,原理是发生数据前先监听信道是否空闲,若空闲则发送数据,发送时继续监听,若有冲突,立即停止发送,等待一段时间再发送。

在网络负载较小的时候,CSMA/CD协议效率很高,但是负载增大时,发送效率急剧下滑,适合传输非实时数据。

重要概念:

1,多路访问

2,载波监听

3,冲突检测

4,退避算法,截断的二进制指数退避算法

IEEE 802 系列协议

1,IEEE 802.1系列

  • IEEE 802.1d :生成树协议(STP)
  • IEEE 802.1P:交换机与优先级相关流量处理协议
  • IEEE 802.1q:虚拟局域网虚拟桥接局域网协议(VLAN)
  • IEEE 802.1s:多生成树协议(MSTP)
  • IEEE 802.1w:快速生成树协议(RSTP)
  • IEEE 802.1X:基于端口的访问控制协议

2,IEEE 802.2系列

IEEE 802.2逻辑链路控制,提供LAN,MAC子层与高层协议间一致接口

3,IEEE 802.3系列

  • IEEE 802.3ab
  • IEEE 802.3u
  • IEEE 802.3z:定义了帧突发方式,突发限制65535比特
  • IEEE 802.3ae

4,IEEE 802.4:令牌总线网

5,IEEE 802.5:令牌换线网

6,IEEE 802.6:城域网MAN,定义城域网媒体访问控制子层和物理层规范

7,IEEE 802.7:宽带技术咨询组

8,IEEE 802.8:光纤技术咨询组

9,IEEE 802.9:集成数据与语音服务

10,IEEE 802.10:定义局域网互连安全机制

11,IEEE 802.11:无线局域网标准

12,IEEE 802.12:按需优先定义使用所需优先访问方法的100Mb/s的以太网标准

13,IEEE 802.13:无

14,IEEE 802.14:有线电视标准

15,IEEE 802.15:无线个人局域网(PAN)

16,IEEE 802.16:宽带无线接入标准

传输介质特性

一般使用10Base-T,数字代表速率,单位Mb/s,Base表示基带,Broad表示宽带,T表示双绞线,F表示光纤。

网络层

IP协议与IP地址

IP数据报头

  • 版本—-长度为4,值为二进制
  • 头部长度—-长度为4
  • 区分服务—-长度为8,制定特殊数据处理方式,优先权和Tos
  • 总长度—-长度16,首部加数据之和的长度,数据报最大长度为65535
  • 标识符—-长度16,同数据分段后,标识符一致
  • 标记字段—-长度3,第一位不使用,第二位1表示不能分片,0表示允许分片,第三位为1表示之后还有分片,为0表示是最后一个分片。
  • 分片偏移字段—-长度13位,单位8字节,表示所分片的分组,处于原始数据的相对位置
  • 生存时间—-长度8位,设置最多可以经过路由器的数,常为16,32,64,128
  • 协议字段—-长度8位,指明上层分组所使用的协议
  • 头部校验—-长度16位,根据IP头部计算得到的校验和码
  • 源地址,目标地址字段—-长度32位
  • 可选字段—-长度可变,1-40字节不等

IPv4地址

使用32位的二进制表示,四个字节。

点分十进制表示法

地址分类:

1,A类地址—-1.0.0.0-126.255.255.255

  • 10.x.x.x是私有地址—-不再互联网使用,只在局域网使用
  • 127.x.x.x是保留地址—-用作回环地址,向自己发送流量

2,B类地址—-128.0.0.0-191.255.255.255

  • 172.16.0.0-172.31.255.255是私有地址
  • 169.254.x.x是保留地址—-如果IP设置自动获取,没有找到相应的DHCP服务,可能得到保留地址中的IP

3,C类地址—-192.0.0.0-223.255.255.255

  • 192.168.x.x是私有地址

4,D类地址—-224.0.0.0-239.255.255.255

  • 224.0.0.1代表所有主机与路由器
  • 224.0.0.2代表所有组播路由器
  • 224.0.0.5代表OSPF路由器
  • 224.0.0.6代表OSPF指定路由与备用路由
  • 224.0.0.7代表ST路由
  • 224.0.0.8代表ST主机
    • 224.0.0.9代表RIP-2路由
  • 224.0.0.12代表DHCP服务器/中继代理
  • 224.0.0.14代表RSVP封装
  • 224.0.0.18代表虚拟路由器冗余协议

5,E类地址—-240.0.0.0-247.255.255.255

特殊IP

有限组播—-255.255.255.255—-会被发送到相同屋里网络所有主机

直接组播—-主机字段全1,如192.1.1.255—-会被路由发送到专门的网路主机

网络地址—-主机位全0,如192.168.1.0,表示一个子网

换回地址—-127.x.x.x向自己发送数据

子网掩码

用于区分网络地址,主机地址,广播地址。是区分网络地址和子网大小的重要指标。 掩码不是IP,/从左到右连续1的总数表示,描述称为建网比特数

1,主机数=可用主机数+2

2,A类默认掩码是255.0.0.0,B类默认是255.255.0.0,C类默认是255.255.255.0

IP地址::={<网络号>,<子网号>,<主机号>}

为了解决IP损耗过大,路由表项增长剧烈:

VLSM(可变长子网掩码)—-允许一个组织在同一个网络地址空间中使用多个不同的子网掩码,可理解为把大网分解成为小网

CIDR(无类别域间路由)—-路由器通过前缀来描述有多个位是网络位,剩下的则是主机位,提高了IPv4扩展性和效率,可以理解为把小网合并成大网

计算子网步骤:

1,IP转为二进制

2,子网掩码转为二进制

3,IP与子网掩码按位与

4,结果转为十进制

计算广播地址:

1,IP转为二进制

2,子网掩码转为二进制

3,IP地址与子网掩码按位与

4,子网主机地址全设置1(第四部分)

5,结果转为十进制

子网范围:

子网范围=子网地址-广播地址

最大可用主机数:

最大可用主机数=2主机位-2

主机位:

反转子网掩码二进制

这部分题很多,看起来很复杂,其实有一定的技巧性,计算量并不大,主要是对理论知识的运用,需要多加练习。


ICMP

TCP/IP协议族的子协议,处于网络层,用于IP主机和路由器之间船体控制消息。

控制消息是指网络不通,主机是否可达,路由器是否可用等消息。

报文:

封装在IP数据报内,不能保证经过传输的ICMP报文不产生错误

格式:

8位类型-8位代码-16位校验和

分类:

ICMP差错报告报文,ICMP询问报文

应用:

Ping命令—-使用回送应当和回送请求报文

Tranceroute命令—-使用时间超时报文和目的不可达报文

ARP和RARP

地址解析协议(ARP)—-32位IP解析成48位以太网地址

反向地址解析协议(RARP)—-48位以太网地址解析成32位IP地址

ARP报文封装在以太帧中进行发送

原理:

1,发送ARP请求—-广播方式发送ARP请求分组:本身IP地址,MAC地址,需要解析的IP地址

2,ARP响应—-与请求解析的IP地址一致的主机响应,单播方式,响应分组:响应方IP地址,MAC地址

3,A主机写高速缓存—-写入ARP高速缓存:记录IP地址与MAC地址的对应关系,每个对应关系有一定的生存时间,过期删除

ARP病毒

利用ARP协议漏洞,破坏客户主机建立正确的IP地址与MAC地址对应关系,发送虚假MAC给主机,可以盗取账号,阻塞网络,瘫痪网络

方式:

发送大量的虚假ARP报文,没有感染ARP木木也可能导致网络访问不稳定。

ARP欺骗原理

相同IP的主机,攻击者让原先的主机瘫痪,仿冒原主机响应,请求主机更新本地ARP缓存,MAC发送变化,攻击者可以窃取数据。

解决手段

1,接入交换机端口绑定固定MAC地址

2,查看接入交换机端口是否异常(短时间多个MAC地址)

3,安装ARP防火墙

4,发现ARP缓存中MAC不正确时arp -d清除缓存

5,使用arp -s gate-way-mac 设置静态绑定

IPv6

下一代IP协议,长度128位,通常写做8组,每组4个十六进制数

书写规则

1,任何一个16位段中起始的0都不必写出来,如果少于4个十六进制的数字,就认为忽略起始部分的0,末尾不能忽略

2,任何一个由全0组成的一个或多个16位段的单个连续字符串都可以用双冒号“::”表示,::只能使用一次

单播地址

用于表示单台设备地址

与多播地址的区别在于多播地址高8位总是FF

分类:

1,全球单播地址—-全球唯一,48位路由选择前缀+16位子网ID+64位接口ID

2,链路本地单播地址—-用于启动或尚未获取较大范围地址时,链路节点自动地址配置,起始前10固定是1111111010(FE80::/10)

3,地区本地单播地址—-给定区域内的唯一地址,其他区域可以相同,起始前10位固定是1111111011(FE8C::/10)

4,任意播地址—-取自单播地址空间,使用好处是路由器总会选择最近的的或代价最小的服务器路由

5,组播地址—-由一台设备发送给多台设备,报文包括一个源地址,和多个目标地址

NAT

网络地址转换,将数据报文中的IP地址转换位另一个IP地址,一般是私有地址转为共有地址。

静态NAT—-内外网IP地址映射关系是固定的

动态NAT—-内外网IP地址映射关系是动态的

NAPT

NAT的一种变形,允许多个内部地址映射到同一个共有地址。

隐藏内部IP配置,节省外部接入IP地址资源

传输层

网络服务分类

1,面向连接服务

2,无线连接服务

TCP

传输控制协议(TCP)

一种可靠的面向连接的字节流服务

报文首部格式

  • 源端口和目的端口—-长度16位,取值0-65535
  • 序列号—-长度32位,取值[0,232-1]
  • 确认号—-长度32位,期望收到对方下一个报文第一个数据字段的序号
  • 报头长度—-数据偏移长度,长度4位,单位32位,
  • 保留字段—-长度6位,通常为0
  • 标记—-紧急(URG),确认(ACK),推送(PSH),复位(RST),同步(SYN),终止(FIN)
  • 窗口大小—-长度16位,范围[0,216-1],进行流量控制柜,单位字节,期望一次接收的字节数
  • 校验和—-长度16位,对TCPO报文头顶校验计算,验证
  • 紧急指针—-长度16位,偏移量
  • 选项—-长度可变到40字节,为保证报头长度为32的倍数,而进行填充0

TCP建立连接

三次握手建立连接

1,第一次握手—-源主机发送一个标志位位SYN=1的TCP数据段,标明初始序号,源主机进入SYN-SENT状态

2,第二次握手—-目标主机接收到SYN后发送确认数据和报文,ACK=1,目标主机进入SYN-RCVD状态,源主机进入ESTABLISHED状态

3,第三次握手—-源主机回送一个确认数据段,带有递增的发送序号和确认序号。

TCP释放连接

双方均处于ESTABLISHED状态

第一步—-源主机发送释放报文,进入GIN-WAIT状态

第二步—-目标主机接收到后,发出确认报文,目标主机进入CLOSE-WAIT状态,源主机停止发送报文,连接进入HALF-CLOSE状态,等待目标主机发出FIN报文

第三步—-目标主机确认没有数据,向源主机发送后,发出释放报文,,目标主机进入LAST-ACK状态

第四步—-源主机接收到确认报文后,,对此发送确认报文,等待一段时间,确定送达后,进入CLOSED状态,目标主机也进入CLOSED状态

重传时间

可靠性的保证机制是超时重传,核心是重传超时时间的计算

参数如下:

  • 往返时间(RTT)—-给对端发送一个数据报,接收对端的ACK,计算包往返的时间:RTT=链路层传播时间+端点协议栈的的处理时间+中间设备处理时间
  • 加权平均往返时间(RTTS)—-平滑往返时间,是通过多次RTT的样本计算出的结果:新的RTTS=(1-α)x 旧的RTTS+α x 新的RTT样本,推荐阿尔法值为1/8
  • 重传超时时间(RTO)—-基于RTT计算出的一个定时器超时时间,每发送一个TCP报文段,就开启一个重传计时器。公式:RTO=RTTS+4xRTTD,RTTD初始值为1/2xRTT样本值,计算RTTD公式:新的RTTD=(1-β)x 旧的RTTD+β x |RTTS-新的RTT样本|

TCP拥塞控制

防止过多数据注入网络,避免设备过载 机制:

  • 慢开始+拥塞避免—-发送方位置一个拥塞窗口的状态变量,大笑取决于网络拥塞程度。一开始就发送较大的数据,让cwnd缓慢增加

  • 快重传快恢复—-在接收到失序的报文时,立即发出重复确认,发送方只要收到三个重复确认,就立即重传对方未接受到的报文段。

慢开始只有在TCP建立连接和网络出现超时是才使用

UDP

用户数据报协议

一种不可靠的,无连接的数据报服务,比TCP效率更高

头部结构

  • 源端口号—-16位
  • 目标端口号—-16位
  • 长度—-16位
  • 校验和—-16位

协议端口号

端口号用于识别主机进程,取值范围0-65535

常用协议端口

FTP-DATA—-FTP数据传输—-20

FTP—-FTP控制—-21

SSH—-SSH登陆—-22

TELNET—-远程登陆—-23

SMTP—-简单邮件传输协议—-25

DNS—-域名解析—-53

DHCP—-DHCP服务器开启,用于监听和接收客户请求—-67

DHCP—-客户端开启,用于接收DHCP服务器的消息—-68

TFTP—-简单FTP—-69

HTTP—-超文本传输—-80

POP3—-邮局协议—-110

IMAP—-交互式邮件存取协议—-143

SNMP—-简单网管协议—-161

SNMP(Trap)—-SNMP Trap报文—-162

应用层

DNS—-域名系统,把主机域名解析为IP地址的系统,由解析器和域名服务器构成。

主要基于UDP协议,少数情况使用TCP协议,端口号53

域名系统:

  • DNS名字空间—-明明方法层次树状结构,每个主机都有唯一的层次结构,即为域名,域名结构为:主机…三级域名.顶级域名

  • 域名服务器—-按空间层次分为,根域名服务器,顶级域名服务器,权限域名服务器,本地域名服务器;按作用分为主域名服务器,辅域名服务器,缓存域名服务器,转发域名服务器

域名解析

将域名解析为IP地址,方法有递归查询和迭代查询

递归查询—-先查询本地,然后查询上一级

迭代查询—-先查询本地,失败则直接向根域名服务器发起查询请求

DHCP

动态主机配置协议,基于BOOTP,简化主机IP配置管理

当需要跨域多个网段提供DHCP服务,必须使用DHCP中继代理,即在DHCP客户和服务器之间设立转发消息的主机或路由

服务端DHCP服务使用67端口,客户端DHCP服务使用68端口

windows系统系统DHCP无法找到对应服务器,获取IP时,获取到的IP为169.254.x.x

DHCP工作过程

1,客户端发起IP租用请求

2,服务器提供IP租用服务

3,客户端IP租用选择

4,客户端确认IP租用

5,客户端重新登录

6,更新租约

WWW

万维网,巨大的,可以互联的资源空间

通过URL定位,使用HTTP协议传送,用HTML文档展示

三个标准组成:URL,HTTP,HTML

URL—-统一资源定位符

HTTP—-超文本传送协议

HTML—-超文本标记语言

HTTP请求报文方法:

GET—-读取URL标识的信息

HEAD—-读取URL标识信息首部

POST—-把消息加载到指定的网页

PUT—-指明URL创建或修改资源

DELETE—-删除URL所指定的资源

OPTION—-请求以下参数信息

TRACE—-进行换回测试

CONNECT—-用于代理服务器

E-mail

电子信箱,提供信息交换的通信方式,可以文字,图像,声音

常用协议:

1,SMTP(简单邮件传输协议)—-邮件发送接收,25端口

2,POP(邮局协议)—-目前POP3,当邮件被读取,POP服务器就会删除邮件

3,IMAP(internet 邮件访问协议)—-目前IMAP4,替代POP3,提供邮件检索和处理,143端口

邮件安全

攻击方法:

  • 利用邮件服务器操作系统漏洞
  • 利用邮件服务器软件本身漏洞
  • 在传输过程中窃听

PGP

一款邮件加密协议,采用RSA算法和船体加密的杂合算法,数字签名的邮件文摘算法,加密前压缩

FTP

文件传输协议,控制文件的双向传输,客户端端口20,服务器端端口21

两种工作方式:

主动式

被动式

TFTP

简单文件传输协议,基于UDP,支持文件传输,但不支持交互,一般用于路由,交换机,防火墙配置文件,IOS备份和替换

OSI网络管理:

  • 性能管理
  • 配置管理
  • 故障管理
  • 安全管理
  • 计费管理

管理系统组成:

  • 管理站—-管理代理和信息库
  • 代理—-手机被管理设备各种请求
  • 管理信息库—-分布式数据库,提供被管理系统及设备信息
  • 网络管理协议—-SNMP,CMIS/CMIP

SNMP

简单网络管理协议,在应用岑进行设备通信管理的协议,基于UDP

一组标准,由SNMP协议,管理信息库(MIB),管理信息结构组成(SMI)

实体发送请求和应答端口默认161,代理发送陷阱报文默认端口162

Telnet

TCP/IP终端仿真协议,一种基于TCP的虚拟终端通信技术,端口23

实现数据传输,远程登陆,远程管理交换机和路由器

SSH

安全外壳协议,创建在应用层和传输层基础上的加密隧道安全协议

特点是加密和认证

三个部分组成:

1,传输层协议—-服务器认证,数据机密性,完整性保护,数据压缩,密钥交换

2,用户认证协议—-提供会话唯一表示,然后服务器和客户端之间进行认证

3,连接协议—-提供交互式登录会话,可以远程执行命令

VoIP

将模拟声音信号数字化,通过数据报在IP数据网络上做实时传输

RIP

路由信息协议

使用距离矢量路由协议

每个路由器都有一个矢量表,列出一直的每个目标的最佳距离及使用路线

基于UDP协议,端口520

RIPv1基于广播

RIPv2基于组播

更新周期30s,180s不回应,标识不可达,240s不回应,删除路由信息

解决矢量路由协议问题措施:

1,水平分割

2,路由中毒

3,反向中毒

4,抑制定时器

5,触发更新

OSPF

开放式最短路径优先

一个内部网关协议

用于单一自治系统

适用消息,中型,较大网络

采用最短路径优先算法

基于IP,协议号89

组播方式发送数据报

AS

自治系统,使用同一个内部路由协议的一组网络,编号1-64511位共有AS,64512-65535为私有AS

IGP

内部网关协议,发现和计算自治域内的路由信息,使用协议有RIP,OSFP,IS-IS,EIGRP,IGRP

EGP

外部网关协议,连接不同自治系统的相邻路由交换路由信息协议,使用BGP协议

链路状态路由协议

路由器会与相邻的路由器共享路由信息

OSFP报文:

1,HELLO

2,数据库描述信息

3,链路状态请求信息

4,链路状态更新信息

5,链路状态应答消息

BGP

边界网关协议,母亲BGP4,一种增强的距离矢量路由协议,基于TCP,端口179

特点:

1,不用周期性发送路由信息

2,路由变化,发送增量路由

3,周期性发送KEEPLIVE报文校验TCP连通性

BGP消息:

1,OPEN报文

2,KEEPLIVE报文

3,UPDATE报文

4,NOTIFICATION报文

工作流程:

1,BGP路由器直接进行TCP三次握手,建立会话

2,交换OPEN信息

3,交换所有BGP路由,直到平衡

4,路由更新

5,KEEPLIVE验证路由器是否可用

6,出现问题,发送NOTIFICATION消息通知错误

IGMP

internet 组管理协议,一个组播协议,运行与主机和组播路由间