IP网络基础知识及原理ppt课件

1IPIP网络基础知识及原理网络基础知识及原理.2中国移动通信集团江西有限公司网络概述网络概述OSI参考模型参考模型TCP/IP协议协议 IP地址分类与子网划分地址分类与子网划分VLAN原理原理 基础知识基础知识网络模型网络模型协议栈协议栈IP地址与子网地址与子网VLAN技术技术目目 录录2022-9-22路由技术路由技术 路由技术基础路由技术基础.3中国移动通信集团江西有限公司数据通信基础通信数据通信基础通信2022-9-23v 通信简单地讲就是信息的相互传递。要传递信息当然会遇到信息怎样传输的问题，这个传输手段就是所谓的通信技术。我们可以通过任何手段传递信息，如古代时期的烽火台、驿站等，现代的电路交换、分组交换和信元交换等。每种传输手段都有各自的特点，分别应用于不同的领域和实际业务。v 如何更好地利用这些通信技术传递信息呢？这是一个组织问题。我们要更好地传递信息就必须有一个有效的组织结构通信网。通信网是利用各种通信技术而组建的网络，有了通信网，人们就可以更加有效地利用各种通信技术，并且更加有效地传递信息，为人类服务。v 虽然自然界中传递信息的方法很多，但作为通信研究，我们只涉及狭义的通信技术领域，即我们通常使用的通信手段电话、电报、传真、图形图像传输等使用的通信技术，它们一般需要通信介质（如光纤、电缆等）互连成为网络，在网络上传输信息。.4中国移动通信集团江西有限公司数据通信基础模拟和数字数据通信基础模拟和数字2022-9-24v 模拟信号和数字信号v 信号又分为两类，一类是数字信号，另一类是模拟信号。数字信号是一系列的脉冲，而模拟信号是一个在时间上连续变化的量。用数字信号进行的传输称为数字传输，用模拟信号进行的传输称为模拟传输。v 例如我们要传输声音信息，可以直接把声波变为电波在通信介质上传输，此时的电波是一个连续变化的电信号，这时就是模拟信号传输；另外，我们也可以把电波进行抽样，转变为离散的数字信号在物理网络上传输，这时我们传输的就是数字信号；达对端后再把数字信号还原为模拟信号。.5中国移动通信集团江西有限公司数据通信基础信息和数据数据通信基础信息和数据2022-9-25v 信息与数据v 要从数据中得到有用的信息，一般要经过计算机进行数据处理；同样，要想传输信息，也要使用计算机进行信息处理，把信息转换为数据。v 众所周知，计算机只能识别和处理二进制数据，它通常用“0”，“1”两种状态表示。v 例如，我们要监测和控制一个电灯的开关状态，可以用“0”这个数据表示电灯的关闭状态，用“1”这个数据表示电灯的打开状态。这里我们使用“0，1”数据来表示电灯开关的信息，我们在处理和传输时，只对表示信息的数据进行传输和处理，最终目的是得到我们想要的信息。.6中国移动通信集团江西有限公司数据通信基础数据的传输数据通信基础数据的传输2022-9-26v 数据分为模拟和数字数据，它们都既可以用模拟又可以用数字信号传输。数据的成功传输主要依赖于传输信号的质量和传输媒体的性能，当然还取决于发送和接收设备的性能。v 数据在线路上（连接发送和接收端的通信媒体，下同）可以有多种传输方式，它们是单工方式、半双工方式和全双工方式。单工方式指数据信号仅沿一个方向传输，发送方只能发送不能接收，接收方只能接收不能发送，它类似一个汽车的单行道。半双工通信是指信号可以沿两个方向（在同一个线路上）传送，但同一时刻只允许单方向传送。它类似于两个人开讨论会，一个人讲完，另一个人再讲，不允许两个人同时讲话。如果我们在发送和接收端建立两个信道，一个用来发送，一个用来接收，这时就是全双工通信，它允许数据同时发送和接收（在同一个线路上）。.7中国移动通信集团江西有限公司数据通信基础数据交换技术数据通信基础数据交换技术2022-9-27v 在通信领域，我们不可能对每对需要通信的用户都建立直接的通信介质的连接。为了实现接入通信网络的用户的连通，我们需要转接设备，即通信交换设备。v 在通信领域，常用的交换技术有三种：电路交换。报文交换和分组交换。.8中国移动通信集团江西有限公司数据通信基础数据交换技术数据通信基础数据交换技术2022-9-28v 长期以来用于电话网（PSTN）。电路交换在整个通信连接期间始终有一条电路被占用，并且按照时分复用TDM原理将信息从一个节点传递到另一个节点。这种技术也称为STM。v 在交换节点内部，电路交换可以用空分交换、时分交换或二者的组合来实现。电路交换很不灵活，一旦时隙的宽度被确定，相对比特率也就固定下来。例如PCM的基本时隙宽度是125us中的8bit，使用信道速率为64kbit/s。由于只有一个基本单元速率（以64Kbps为基本单元）用来传递信息，这种交换技术不适合用来传输综合业务。.9中国移动通信集团江西有限公司数据通信基础数据交换技术数据通信基础数据交换技术2022-9-29v 分组交换 分组交换工作原理与报文交换相同，但通信的单位从报文变为分组更小一些的数据单元。v 在分组网中，用户信息被封装在分组中，分组头包含了一些附加信息，用于网络中的路由选择、差错控制、流量控制等功能。v 在分组交换网络中可采用两种方式进行分组交换：数据报传输和虚电路。v 数据报：数据报方法同报文交换方式相似。每个分组都独立地处理。每个分组都包含源地址和目的地址，中间交换节点存储分组，并根据分组中的目的地址进行路由选择并转发分组。在这种技术中，把每个独立处理的分组称之为“数据报”。.10中国移动通信集团江西有限公司数据通信基础带宽和速率数据通信基础带宽和速率2022-9-210v 在通信领域我们经常会听到带宽和速率这两个专业名词，其含义是什么呢？带宽v 带宽一般用来描述两种对象，一个是信道（Channel），另一个是信号（signal）。对于信道来说，又可分为两种，模拟信道和数字信道。对信号来说，也可分为两种，数字信号和模拟信号。v 速率v 衡量信息传输速度的指标，以每秒传输的bit数为单位，即bps bit per second。1Kbps代表每秒中传输1千个比特；1Mbps代表每秒中传输100万个比特；1Gbps代表每秒中传输10亿个比特；1Tbps代表每秒中传输1万亿个比特。速率的单位关系如下：v 1Kbps1000bps；1Mbps1000Kbps；1Gbps1000Mbps；1Tbps=1000Gbps.11网络概述网络概述v网络定义网络定义vLAN 和和WANv网络拓扑网络拓扑v标准化组织标准化组织.12计算机网络计算机网络SOHOServerIP HotelIntranet移动移动.13网络的演进网络的演进Host主机网络主机网络低速连接低速连接HostWAN简单连接简单连接1960s 1970s基于网络的连接基于网络的连接1970s 1980s网络互联网络互联1980s .14LAN定义定义v LAN定义：通常指几公里以内的，可以通过某种介质互联的计算机、打印机、modem或其他设备的集合。v 特点：距离短、延迟小、数据速率高、传输可靠。v 标准（standard）：描述了协议的规定，设定了最简的性能集。.15LAN常用设备常用设备v LAN的设计目标：运行在有限的地理区域；允许同时访问高带宽的介质；通过局部管理控制网络的私有权利；提供全时的局部服务；联接物理相临的设备。HUB交换机交换机路由器路由器ATM 交换机交换机.16广域网定义及分类广域网定义及分类v WAN定义：在大范围区域内提供数据通信服务，主要用于互连局域网。v WAN分类：共用电话网：PSTN 综合业务数字网：ISDN 数字数据网：DDN X.25共用分组交换网 帧中继：Frame Relay 异步传输模式：ATM.17WAN交换模式交换模式v 电路交换：基于电话网的电路交换 优点：时延小、透明传输；缺点：带宽固定，网络资源利用率低。v 分组交换：以分组为单位存储转发 优点：多路复用，网络资源利用率高；缺点：实时性差。.18WAN常用设备常用设备v WAN的设计目标：运行在广阔的地理区域；通过低速串行链路进行访问；v 网络控制服从公共服务的规则；提供全时的或部分时间的联接性；联接物理上分离的、遥远的、甚至全球的设备。Modem/CSU/DSU路由器路由器广域网交换机广域网交换机接入服务器接入服务器.19带宽和延迟带宽和延迟v 带宽定义：描述网络上数据在一定时刻从一个节点传送到任意节点的信息量。v 以太网带宽：10M、100M、1000M等。v 广域网各类服务带宽。v 延迟：节点间数据传送时间。.20常见网络拓朴结构常见网络拓朴结构v 拓扑结构：总线、星型、树型 环型、网型.21标准化组织标准化组织v 国际标准化组织（ISO）v 电子电器工程师协会（IEEE）v 美国国家标准局（ANSI）v 电子工业协会（EIA/TIA）v 国际电信联盟（ITU）v INTERNET架构委员会（IAB）.22中国移动通信集团江西有限公司网络概述网络概述TCP/IP协议协议 IP地址分类与子网划分地址分类与子网划分VLAN原理原理 基础知识基础知识网络模型网络模型协议栈协议栈IP地址与子网地址与子网VLAN基础基础目目 录录2022-9-222OSI参考模型参考模型路由技术路由技术 路由技术基础路由技术基础.23中国移动通信集团江西有限公司OSI参考模型参考模型2022-9-223v OSI RM：开放系统互连参考模型（Open System Interconnection Reference Model）网络世界的法律网络世界的法律!.24中国移动通信集团江西有限公司七层功能七层功能2022-9-224v 分层有什么好处？应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层1234567底层底层:负责网络数据传输负责网络数据传输高层高层:负责主机之间的数据传输负责主机之间的数据传输.25中国移动通信集团江西有限公司七层功能七层功能2022-9-225应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层1234567提供应用程序间通信提供应用程序间通信处理数据格式、数据加密等处理数据格式、数据加密等建立、维护和管理会话建立、维护和管理会话建立主机端到端连接建立主机端到端连接寻址和路由选择寻址和路由选择提供介质访问、链路管理等提供介质访问、链路管理等比特流传输比特流传输.26中国移动通信集团江西有限公司数据封装数据封装2022-9-226v 数据封装和解封装过程。DataDataHDataHH主机主机服务器服务器交换机交换机路由器路由器应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层DataDataHDataHH.27中国移动通信集团江西有限公司物理层物理层2022-9-227v 物理层：定义电压、接口、线缆标准、传输距离等。v 物理层线缆：同轴电缆（coaxical cable）：细缆和粗缆 双绞线（twisted pair）：UTP、STP 光纤（fibre）无线电波（wireless radio）：无线局域网WLAN.28中国移动通信集团江西有限公司物理层物理层2022-9-228v 局域网与物理层 线缆标准：10Base-T、100Base-T、100Base-TX/FX、1000Base-T、1000Base-SX/LX；网络设备：中继器、集线器等。v 广域网与物理层 DTE设备：路由器、终端主机等；DCE设备：广域网交换机、Modem、CSU/DSU等；常见接口：RS-232、V.24、V.35等。.29常见的物理层接口常见的物理层接口2022-9-2v 10M以太网接口v 100M以太网接口v 1000M以太网接口.3010M以太网接口以太网接口2022-9-2v 10Base-T 目前使用最广泛的局域网标准之一 使用双绞线作为物理传输介质v 10Base5 曾经广泛应用于主干局域网 使用粗同轴电缆作为物理传输介质 v 10Base2 使用细同轴电缆作为物理传输介质.3110Base-T的物理介质的物理介质2022-9-2v 3类双绞线v 4类双绞线v 5类双绞线v 超5类双绞线v 6类双绞线有屏蔽与非屏蔽之分有屏蔽与非屏蔽之分均为均为8 8芯电缆芯电缆双绞线的类型由单位长度内双绞线的类型由单位长度内的绞环数确定的绞环数确定.325类双绞线的线序类双绞线的线序2022-9-2v直连网线v交叉网线Side 1Side 1Side 2Side 2Side 1Side 1123456781234567812345678123456781=1=白白/橙橙2=2=橙橙3=3=白白/绿绿4=4=蓝蓝5=5=白白/蓝蓝6=6=绿绿7=7=白白/棕棕8=8=棕棕Side 2Side 2Side 1Side 1Side 2Side 2Side 1Side 1Side 2Side 2123456781234567812345678123456781=1=白白/橙橙2=2=橙橙3=3=白白/绿绿4=4=蓝蓝5=5=白白/蓝蓝6=6=绿绿7=7=白白/棕棕8=8=棕棕1=1=白白/橙橙2=2=橙橙3=3=白白/绿绿4=4=蓝蓝5=5=白白/蓝蓝6=6=绿绿7=7=白白/棕棕8=8=棕棕1=1=白白/绿绿2=2=绿绿3=3=白白/橙橙4=4=蓝蓝5=5=白白/蓝蓝6=6=橙橙7=7=白白/棕棕8=8=棕棕.33100M以太网接口以太网接口2022-9-2v 100Base-TX 物理介质采用5类以上双绞线 网段长度最多100米v 100Base-FX 物理介质采用单模光纤，网段长度可达10公里 物理介质采用多模光纤，网段长度最多2000米v 快速以太网由IEEE 802.3u标准定义.341000M以太网接口以太网接口2022-9-2v 1000Base-T 物理介质采用5类以上双绞线，网段长度最多100米v 1000Base-F 物理介质采用多模光纤，网段长度最多500米v IEEE 802.3z和802.3ab.35设备连接方式设备连接方式2022-9-2主机主机路由器路由器交换机普通口交换机普通口交换机级连口交换机级连口交换机光口交换机光口主机主机crosscrossnormalN/ASC/ST路由器路由器crosscrossnormalN/ASC/ST交换机交换机普通口普通口normalnormalcrossNormalN/A交换机交换机级连口级连口N/AN/ANormalN/AN/A交换机交换机光口光口SC/STSC/STN/AN/ASC/ST.36中国移动通信集团江西有限公司数据链路层数据链路层2022-9-236v 数据链路层分为2个子层：LLC子层和MAC子层。v 数据链路层的功能：物理地址定义 网络拓扑结构 链路参数 差错验证 物理介质访问 流控制（可选）.37中国移动通信集团江西有限公司MAC/物理地址物理地址2022-9-237v MAC地址有48位，华为产品前3个字节是0 x00E0FC。00e0.fc01.2345厂商编号厂商编号序列号序列号24 bits24 bits00e0.fc01.2345RomRam.38中国移动通信集团江西有限公司LAN与数据链路层与数据链路层2022-9-238v IEEE802标准：当今最为流行的LAN标准 IEEE802.1 基本局域网问题 IEEE802.2 定义LLC子层 IEEE802.3 以太网标准 IEEE802.4 令牌总线网 IEEE802.5 令牌环网v 以太网交换机.39中国移动通信集团江西有限公司WAN与数据链路层与数据链路层2022-9-239v WAN数据链路层标准：HDLC PPP ISDN X.25 Frame Relayv WAN数据链路层设备：Modem、ISDN终端适配器 CSU/DSU、广域网交换机.40中国移动通信集团江西有限公司网络层网络层2022-9-240v 编址和路由应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层.41中国移动通信集团江西有限公司网络地址网络地址2022-9-241v 网络层地址由两部分地址组成：网络层地址和主机地址。网络层地址是全局唯一的。IP 地址地址IPX 地址地址网络地址网络地址主机地址主机地址10.8.2.48网络地址网络地址主机地址主机地址1aceb0b1.0000.0c00.6e25.42中国移动通信集团江西有限公司网络层协议操作网络层协议操作2022-9-242网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层网络层网络层数据链路层数据链路层物理层物理层表示层表示层会话层会话层传输层传输层应用层应用层ABCDERouter ARouter BRouter C.43中国移动通信集团江西有限公司端到端通信端到端通信2022-9-243传输虚电路传输虚电路HostWWW.HUAWEI.COMFTP.HUAWEI.COM应用数据应用数据WWWFTP传输数据包传输数据包211028801027DataData.44中国移动通信集团江西有限公司流量控制流量控制2022-9-244v 流量控制的三种方式：缓存技术：突发缓存，空闲发送。源抑制报文：利用ICMP协议向源端发送source quench报文。窗口机制：报文中包含窗口字段，用于控制源端一次发送数据的多少。.45中国移动通信集团江西有限公司会话层、表示层和应用层会话层、表示层和应用层2022-9-245v 会话层协议：SQL、NFS、RPC等；v 表示层协议：ASCII、MPEG、JPEG等；v 应用层协议：文字处理、邮件、电子表格等。.46中国移动通信集团江西有限公司网络概述网络概述OSI参考模型参考模型TCP/IP协议协议VLAN原理原理 基础知识基础知识网络模型网络模型协议栈协议栈VLAN基础基础目目 录录2022-9-246路由技术路由技术 路由技术基础路由技术基础 IP地址分类与子网划分地址分类与子网划分IP地址与子网地址与子网.47TCP/IP协议和协议和OSI参考模型参考模型2022-9-2v TCP/IP协议栈具有简单的分层设计，与OSI参考模型有清晰的对应关系。应用层表示层会话层传输层网络层数据链路层物理层应 用 层传输层网络层7654321物理层数据链路层OSI参考模型TCP/IP.48TCP/IP协议栈的封装过程协议栈的封装过程2022-9-2 用户数据用户数据Appl首部 应用数据Tcp首部Ip首部 应用数据Tcp首部以太网首部 应用数据Tcp首部Ip首部以太网首部TCP段IP数据报14 20204以太网帧46-1500字节应用程序 TCP IP以太网驱动程序.49TCP/IP协议数据封装方式协议数据封装方式2022-9-2TELNET23FTP20/21SMTP25TFTP69SEGMENTIP PACKETSFRAMESBITS.50TCP/IP协议栈协议栈2022-9-2HTTP、Telnet、FTP、TFTP、Ping、etcTCP/UDPARP/RARPIPIGMP ICMPEthernet、802.3、PPP、HDLC、FR、etc接口和线缆应用层传输层网络层 数据链路层提供应用程序网络接口建立端到端连接寻址和路由选择物理介质访问二进制数据流传输 物理层.51传输层协议概述传输层协议概述2022-9-2应用层传输层网络层网络接入层TCPUDP.52TCP/UDP报文格式报文格式2022-9-20816243116位源端口16位目的端口32位序列号32位确认号URGACKPSHRSTSYNFIN首部长度保留(6位)16位窗口大小16位TCP校验和16位紧急指针选项数据0816243116位源端口16位目的端口16位UDP校验和数据UDPUDP报文格式报文格式TCPTCP报文格式报文格式16位UDP长度.53端口号端口号2022-9-2v 传输层协议用端口号来标识和区分各种上层应用程序。HTTP FTPTelnet SMTPDNSTFTPSNMPTCPUDPIP IP 数数 据据 包包套套 接接 字字8020/2123255369161.54TCP连接连接2022-9-2clientserverSYN(seq=a)SYN(seq=b,ack=a+1)ACK(seq=b+1).55断开断开TCP连接连接2022-9-2clientserverFIN(seq=a)ACK(seq=a+1)FIN(seq=b,ack=a+1）ACK(seq=b+1).56滑动窗口滑动窗口2022-9-2需要修改窗口大小发送数据太快了！len 1024win4096len 1024win4096len 1024win4096ack 4097win2048len 1024win4096len 1024win4096ack 6145win2048len 1024win4096len 1024win4096len 1024win4096.57网络层协议概述网络层协议概述2022-9-2网络接入层应用层传输层网络层 IP ARP RARP ICMP.58IP报文格式报文格式2022-9-2版本报文长度服务类型总 长 度标 识 符标志片 偏 移生存时间协 议报 头 校 验 和源 IP 地 址目 的 IP 地 址IP 选 项.59ARP地址解析协议地址解析协议2022-9-2需要10.0.0.2的MAC地址？IP:10.0.0.1/24MAC:00-E0-FC-00-00-11IP:10.0.0.2/24MAC:00-E0-FC-00-00-12ARP Request?ARP Reply10.0.0.2 对应的MAC：00-E0-FC-00-00-12.60RARP反向地址解析协议反向地址解析协议2022-9-2我的IP地址是什么？无盘工作站RARP ServerRARP Request?RARP Reply你的IP地址是10.0.0.1.61ICMP协议协议2022-9-2B可达吗？ICMP Echo RequestICMP Echo Reply我在。AB.62模型对比和网络安全模型对比和网络安全2022-9-2v TCP/IPTCP/IP模型与模型与OSIOSI模型模型 七层七层 VS VS 四层四层v TCP/IPTCP/IP四层模型四层模型 网络接口层；网络接口层；(PPP(PPP、ARP)ARP)互联层；互联层；(IP(IP、ICMP)ICMP)传输层；传输层；(TCP(TCP、UDP)UDP)应用层；应用层；(HTTP(HTTP，SNMPSNMP，FTPFTP，SMTPSMTP，DNSDNS，Telnet)Telnet).63数据封装与传送数据封装与传送2022-9-2v 所有 TCP,UDP,ICMP 数据通过IP数据包封装进行传输。v IP数据报的传输是不可靠的。v IP 网络是面向无连接的。.64IP地址滥用地址滥用2022-9-2v 在同一个网段里，用户可以随意改变自己的在同一个网段里，用户可以随意改变自己的IPIP地址；黑客地址；黑客可以利用工具构建特殊的可以利用工具构建特殊的IPIP报，并指定报，并指定IPIP地址。地址。v IPIP伪装能做什么？伪装能做什么？DoS(DoS(主机、路由器）主机、路由器）伪装成信任主机伪装成信任主机 切断并接管连接切断并接管连接 绕过防火墙绕过防火墙v IPIP伪装给黑客带来的好处伪装给黑客带来的好处 获得访问权。获得访问权。不留下踪迹。（不留下踪迹。（synfloodingsynflooding工具）工具）.65数据报的分片与组装数据报的分片与组装2022-9-2MTU limiteddatagramsfragments数据报到达目的地时才会进行组装数据报到达目的地时才会进行组装 需要组装在一起的数据分片具有同样需要组装在一起的数据分片具有同样的标志号的标志号通过分片位移位标志数据分片在的数通过分片位移位标志数据分片在的数据报组装过程中的序列位置据报组装过程中的序列位置除了最后的数据片，其他的数据片均除了最后的数据片，其他的数据片均会置会置“MF”MF”位位receiving computersfragment reassembly buffer.66Ping o Death 攻击攻击2022-9-2攻击者构建分片目标接收分片重组分片Internetbuffer 65535 byteslast frag is too large causing 16-bit variablesto overflow.67TearDrop攻击攻击150Byte分片120Byte30Byte120Byte30Byte偏移1=0偏移2=120150Byte分片120Byte30Byte120Byte30Byte偏移1=0偏移2=80X=(偏移2+包长2)-包长1=?重组重组XX.68基于基于ICMP的欺骗的欺骗2022-9-2v Broadcast ICMP Smurf攻击，向网络的广播地址发送echo requset请求，将得到网络中所有主机的echo reply响应。v 对策：根据具体需要，可将边界路由器配置deny进入内网的ICMP echo request；配置关键的UNIX系统不响应ICMP echo request；配置路由器不响应directed-broadcast;.69Smurf 攻击攻击2022-9-2攻击者目标发送一个发送一个echo request echo request 的广播包的广播包源地址伪造成目标主机的地址源地址伪造成目标主机的地址因为中间网络的众多机器都响应广播包，因为中间网络的众多机器都响应广播包，目标主机会接收到大量的目标主机会接收到大量的 echo repliesecho replies中间网络.70UDP 协议协议2022-9-2v UDP UDP 是不可靠的是不可靠的:是指是指UDPUDP协议不保证每个数据报都能到协议不保证每个数据报都能到达希望的目的达希望的目的v 端口号区分发送进程与接收进程端口号区分发送进程与接收进程 DNSDNS、QQQQ、TFTPTFTP、SNMPSNMPclientserverport=33987/udpport=53/udpDNSport=7070/udpport=7070/udpRealAudio.71UDP Flood攻击攻击2022-9-2echoport 7攻击者攻击者chargenport 19intermediary目标目标 Network Congestion（udpflooding工具）工具）.72TCP 协议协议2022-9-2v TCP TCP 提供一种可靠的、面向连接的服务提供一种可靠的、面向连接的服务:在规定的时间内没有收到在规定的时间内没有收到“收到确认收到确认”信息，信息，TCP TCP 将重发将重发数据报。数据报。每个每个TCPTCP数据报都有唯一的数据报都有唯一的 sequence number sequence number，用于排序与，用于排序与重传。重传。v 与与UDPUDP一样一样,使用使用 port numbers port numbers 来区分收发进程来区分收发进程v 由标志位的组合指明由标志位的组合指明TCPTCP分组的功能分组的功能.73正常用户登录正常用户登录2022-9-2v 通过普通的网络连线，用户传送信息要求服务器予以确定通过普通的网络连线，用户传送信息要求服务器予以确定,v 服务器接收到客户请求后回复用户。服务器接收到客户请求后回复用户。v 用户被确定后，就可登入服务器。用户被确定后，就可登入服务器。.74SYN 欺骗欺骗2022-9-2v 用户传送众多要求确认的信息到服务器，使服务器里充斥用户传送众多要求确认的信息到服务器，使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址着这种无用的信息。所有的信息都有需回复的虚假地址（synflooding工具）工具）.75SYN 欺骗欺骗2022-9-2v 达到达到“拒绝服务拒绝服务”攻击的效果：攻击的效果：当服务器试图回传时，却无法找到用户。服务器于是暂时等当服务器试图回传时，却无法找到用户。服务器于是暂时等候，有时超过一分钟，然后再切断连接。候，有时超过一分钟，然后再切断连接。服务器切断连接时，黑客再度传送新一批需要确认的信息，服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致服务器处于瘫痪状态。这个过程周而复始，最终导致服务器处于瘫痪状态。.76SYN flood（洪水攻击）（洪水攻击）2022-9-2v 防御办法：防御办法：增加连接队列大小增加连接队列大小 缩短建立连接超时期限缩短建立连接超时期限 应用厂家的相关软件补丁应用厂家的相关软件补丁 应用网络应用网络IDSIDS.77示例：旁路流量清洗工作过程示例：旁路流量清洗工作过程2022-9-2流量分析系统流量分析系统流量清洗系统流量清洗系统受保护的服务器 业务管理系统业务管理系统1 12.12.1Netflow数据输出正常流量不受影响正常流量不受影响发现攻击通知业务管理系统通知防御设备，开启攻击防御流量回注3.13.1牵引流量,对异常流量进行清洗流量牵引未受保护的服务器 受保护的服务器 2.22.23.23.2将攻击的实时信息通知业务管理系统攻击停止，通知业务管理系统4 4.78示例：黑洞路由示例：黑洞路由2022-9-2v ip route 192.0.2.0 255.255.255.0 Null0.79安全要求安全要求2022-9-2.80中国移动通信集团江西有限公司IP地址分类与子网划分地址分类与子网划分OSI参考模型参考模型TCP/IP协议协议 网络概述网络概述 基础知识基础知识网络模型网络模型协议栈协议栈IP地址与子网地址与子网目目 录录2022-9-280VLAN原理原理VLAN基础基础路由技术路由技术 路由技术基础路由技术基础.812022-9-2二进制与十进制的转化二进制与十进制的转化111111111286432168421十进制总合为十进制总合为2552558bit.82二进制与十进制之间的转化二进制与十进制之间的转化中国移动通信集团江西有限公司822022-9-227262524232221201286432168421111010011*1281*641*320*161*80*40*21*164320233010128+8例子：例子：.83IP地址的进制转化地址的进制转化中国移动通信集团江西有限公司832022-9-2vIP地址：192.168.1.11 字节（8位）字节（8位）字节（8位）字节（8位）2726252423222120 2726252423222120 2726252423222120 2726252423222120 1 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 1 0 1 1 等于 192 168 1 11.84IP地址介绍地址介绍中国移动通信集团江西有限公司842022-9-2v IP地址唯一标示一台网络设备v 私有IP地址 10.0.0.010.255.255.255 172.16.0.0172.31.255.255 192.168.0.0192.168.255.255 10.110.192.11120.130.188.144.85IP地址分类地址分类中国移动通信集团江西有限公司852022-9-201 011 01 1 1 01 1 1 10Network(7bit)Network(14bit)Network(21bit)组 播 地 址保 留Host(24bit)Host(16bit)Host(8bit)A类 地 址B类 地 址C类 地 址D类 地 址E类 地 址128.0.0.0191.255.255.255 192.0.0.0223.255.255.255 224.0.0.0239.255.255.255240.0.0.0255.255.255.255v 1.0.0.0126.255.255.255.86特殊特殊IP地址地址中国移动通信集团江西有限公司862022-9-2网络部分 主机部分地址类型用 途127any全“0”全“1”Any全“0”Any全“1”网络地址代表一个网段广播地址特定网段的所有节点环回地址环回测试广播地址本网段所有节点所有网络华为Quidway路由器用于指定默认路由.87子网掩码介绍子网掩码介绍中国移动通信集团江西有限公司872022-9-2v 网络设备使用子网掩码（subnet masking）决定IP地址中哪部分为网络部分，哪部分为主机部分。v 子网掩码使用与IP地址一样的格式。子网掩码的网络部分和子网部分全都是1，主机部分全都是0。缺省状态下，如果没有进行子网划分，A类网络的子网掩码为255.0.0.0，B类网络的子网掩码为255.255.0.0，C类网络子网掩码为255.255.255.0。利用子网，网络地址的使用会更有效。对外 仍为一个网络，对内部而言，则分为不同的子网。.88网络地址与子网掩码网络地址与子网掩码中国移动通信集团江西有限公司882022-9-2IP地址：地址：192.168.1.100子网掩码：子网掩码：网络地址：网络地址：192.168.1.0255.255.255.0.89子网掩码的表示方法子网掩码的表示方法中国移动通信集团江西有限公司892022-9-2IPIP地址地址子网掩码子网掩码子网掩码比特数子网掩码比特数子网掩码表示子网掩码表示11111111 11111111 11111111 1111000011000000 10101000 00000001 000001118+8+8+4=28.90网络地址的计算网络地址的计算中国移动通信集团江西有限公司902022-9-2IPIP地址地址子网掩码子网掩码网络地址网络地址(二进制二进制)网络地址网络地址11111111 11111111 11111111 1111000011000000 10101000 00000001 0000011111000000 10101000 00000001 00000000IPIP地址为地址为:192.168.1.7/19:192.168.1.7/19.91主机数的计算主机数的计算中国移动通信集团江西有限公司912022-9-2主机数为：主机数为：2 2n n可用主机数为可用主机数为 :2:2n n-2-2子网掩码子网掩码N主机位主机位1111111111111100000000000000.92主机数计算举例主机数计算举例中国移动通信集团江西有限公司922022-9-2IP地址为：地址为：192.168.1.100/28 /28=255.255.255.240该子网掩码二进制表示为：该子网掩码二进制表示为：11111111，11111111，11111111，11110000 28bits 网络位4bits主机位主机总数为：主机总数为：24 可用主机数为可用主机数为:24-2.93子网数计算举例子网数计算举例中国移动通信集团江西有限公司932022-9-2IP地址为：地址为：192.168.1.100/28 /28=255.255.255.240该子网掩码二进制表示为：该子网掩码二进制表示为：11111111，11111111，11111111，11110000 28bits 网络位4bits主机位子网总数为：子网总数为：28-4可用子网数为可用子网数为:28-4-2.94子网规划举例子网规划举例中国移动通信集团江西有限公司942022-9-2v 例子：某公司分配到C类地址201.222.5.0。假设需要20个子网，每个子网有5台主机，我们该如何划分？201.222.5.0255.255.255.0201.222.5.8255.255.255.248201.222.5.16255.255.255.248201.222.5.24255.255.255.248201.222.5.32255.255.255.248201.222.5.9255.255.255.248201.222.5.17255.255.255.248201.222.5.25255.255.255.248201.222.5.33255.255.255.248.95C类子网规划示例类子网规划示例对于图中对于图中 C 类网络来说，如果子网有五位，则能提供类网络来说，如果子网有五位，则能提供 30 个子网个子网，每个子网可容纳，每个子网可容纳 6 台主机。台主机。子网位数子网位数子网掩码子网掩码子网数子网数每一子网主机数每一子网主机数2255.255.255.1922623255.255.255.2246304255.255.255.24014145255.255.255.2483066255.255.255.252622.96常用的网络测试工具常用的网络测试工具PINGv Ping是测试网络联接状况以及信息包发送和接收状况非常有用的工具，是网络测试最常用的命令。Ping向目标主机(地址)发送一个回送请求数据包，要求目标主机收到请求后给予答复，从而判断网络的响应时间和本机是否与目标主机(地址)联通。v 如果执行Ping不成功，则可以预测故障出现在以下几个方面：网线故障，网络适配器配置不正确，IP地址不正确。如果执行Ping成功而网络仍无法使用，那么问题很可能出在网络系统的软件配置方面，Ping成功只能保证本机与目标主机间存在一条连通的物理路径。.97常用的网络测试工具常用的网络测试工具 Ping的使用的使用v 命令格式：v ping IP地址或主机名-t-a-n count-l size v 参数含义：-t不停地向目标主机发送数据；-a 以IP地址格式来显示目标主机的网络地址；-n count 指定要Ping多少次，具体次数由count来指定；-l size 指定发送到目标主机的数据包的大小。.98常用的网络测试工具常用的网络测试工具 Ping的举例的举例v 测试本机与移动网站是否连接v ping v 测试本机与移动网站的网络连接状况v ping -n 10000.99常用的网络测试工具常用的网络测试工具 Tracertv Tracert命令用来显示数据包到达目标主机所经过的路径，并显示到达每个节点的时间。命令功能同Ping类似，但它所获得的信息要比Ping命令详细得多，它把数据包所走的全部路径、节点的IP以及花费的时间都显示出来。该命令比较适用于大型网络。.100常用的网络测试工具常用的网络测试工具 Tracert 举例举例v 测试本机到江西移动网站所经过的路径 tracert .101中国移动通信集团江西有限公司网络概述网络概述OSI参考模型参考模型TCP/IP协议协议 IP地址分类与子网划分地址分类与子网划分VLAN原理原理 基础知识基础知识网络模型网络模型协议栈协议栈IP地址与子网地址与子网VLAN技术技术目目 录录2022-9-2101路由技术路由技术 路由技术基础路由技术基础.102VLAN的产生原因广播风暴的产生原因广播风暴广广 播播 域域.103通过路由器将网络分段通过路由器将网络分段广播域广播域广播域广播域广播.104通过通过VLAN划分广播域划分广播域广播域广播域广播域广播域Port 1:VLAN-1Port 2:VLAN-2.105VLAN的优点的优点v 相对与传统的LAN技术，VLAN具有如下优势：隔离广播域，抑制广播报文.减少移动和改变的代价 创建虚拟工作组，超越传统网络的工作方式 增强通讯的安全性 增强网络的健壮性.106VLAN的划分方法的划分方法基于端口的基于端口的VLAN主机主机A主机主机B主机主机C主机主机DVLAN表表Port 1Port 2 Port 7Port 10端口所属VLANPort1VLAN5Port2VLAN10Port7VLAN5Port10VLAN10.107VLAN的划分方法的划分方法 基于基于MAC地址地址的的VLANVLAN表表MAC地址 所属VLANMAC AVLAN5MAC BVLAN10MAC CVLAN5MAC DVLAN10主机主机A主机主机B主机主机C主机主机D.108VLAN的划分方法的划分方法基于协议的基于协议的VLANVLAN表表协议类型所属VLANIPX协议VLAN5IP协议VLAN10主机主机B主机主机C主机主机D.109VLAN的可跨越性的可跨越性VLAN3VLAN5VLAN3VLAN5v VLAN数据可以跨越多台交换机被转递SWASWB.110VLAN的链路类型的链路类型接入链路Access-Link干道链路Trunk-LinkSWASWB.111以太网交换机的端口分类以太网交换机的端口分类v Access端口：一般用于接用户计算机的端口，access端口只能属于1个VLAN。v Trunk端口：一般用于交换机之间连接的端口，trunk端口可以属于多个VLAN，可以接收和发送多个VLAN的报文。v Hybrid端口：可以用于交换机之间连接，也可以用于接用户的计算机，hybrid端口可以属于多个VLAN，可以接收和发送多个VLAN的报文。.112端口的缺省端口的缺省ID（PVID）v Access端口只属于一个VLAN，所以它的缺省ID就是它所在的VLAN，不用设置。v Hybrid端口和Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID，缺省情况下为VLAN 1。.113Access-Link配置配置v 默认情况下，交换机所有端口都是Access-Link端口，并属于VLAN-1，即PVID(Port VLAN ID)为1Port-0/2:VLAN-5配置端口类型Switch-Ethernet0/1port link-type accessSwitch-Ethernet0/2port link-type access创建VLAN，并向VLAN中添加端口Switchvlan 3Switch-vlan1port ethernet 0/1Switchvlan 5Switch-vlan2port ethernet 0/2另外的一种向VLAN中添加端口的方法Switch-Ethernet0/1port access vlan 3Switch-Ethernet0/2port access vlan 5SWA.114Trunk-Link配置配置v 负责传输多个VLAN的数据v Trunk-Link端口PVID默认为1配置端口类型Switch-Ethernet0/3port link-type trunk配置Trunk-Link所允许传递的VLANSwitch-Ethernet0/3port trunk permit vlan all配置Trunk-Link端口PVIDSwitch-Ethernet0/3port trunk pvid vlan 1Port-0/3Port-0/3SWASWB.115IEEE802.1Q概述概述VLAN架构VLAN提供的服务VLAN涉及的协议和算法IEEE 802.1Q.116VLAN的帧格式的帧格式DASATYPEDATACRCDASATAGTYPEDATACRC标准以太网帧带有IEEE802.1Q标记的以太网帧0 x8100PRICFIVLAN IDTPIDTCI.117802.1Q的转发原则的转发原则Access-Linkv 当Access端口收到帧时 如果该帧不包含802.1Q tag header，将打上端口的PVID；如果该帧包含802.1Q tag header，交换机不作处理，直接丢弃。v 当Access端口发送帧时 剥离802.1Q tag header，发出的帧为普通以太网帧1.主机只能处理标准以太帧2.交换机内部的数据帧都是带标签.118802.1Q的转发原则的转发原则Trunk-Linkv 当Trunk端口收到帧时 如果该帧不包含802.1Q tag header，将打上端口的PVID；如果该帧包含802.1Q tag header，则不改变。v 当Trunk端口发送帧时 当该帧的VLAN ID与端口的PVID不同时，直接透传；当该帧的VLAN ID与端口的PVID相同时，则剥离802.1Q tag header Port-0/3Port-0/3.119802.1Q的转发原则的转发原则Hybird-Linkv 当Hybird端口收到帧时 如果该帧不包含802.1Q tag header，将打上端口的PVID；如果该帧包含802.1Q tag header，则不改变。v 当Hybird端口发送帧时 判断VLAN在本端口的属性。用“dis interface”可看到该端口对哪些 VLAN是untag，哪些VLAN是tag，如果是untag则剥离802.1Q tag header 再发送，如果是tag则直接透传。.120帧在网络通信中的变化帧在网络通信中的变化SWASWBVLAN 2.121中国移动通信集团江西有限公司网络概述网络概述OSI参考模型参考模型TCP/IP协议协议 IP地址分类与子网划分地址分类与子网划分路由技术基础路由技术基础 基础知识基础知识网络模型网络模型协议栈协议栈IP地址与子网地址与子网VLAN技术技术目目 录录2022-9-2121路由技术路由技术VLAN原理原理.122 什么是路由？什么是路由？v 路由是指导IP报文转发的路径信息。(N,R1,M）R1Destination network NOther networksR0R2M.123显示路由表信息显示路由表信息vQuidwaydisplay ip routingRouting Tables:Destination/Mask proto pref Metric Nexthop Interface 0.0.0.0/0 Static 60 0 120.0.0.2 Serial0 8.0.0.0/8 RIP 100 3 120.0.0.2 Serial0 9.0.0.0/8 OSPF 10 50 20.0.0.2 Ethernet0 9.1.0.0/16 RIP 100 4 120.0.0.2 Serial0 11.0.0.0/8 Static 60 0 120.0.0.2 Serial0 20.0.0.0/8 Direct 0 0 20.0.0.1 Ethernet0 20.0.0.1/32 Direct 0 0 127.0.0.1 LoopBack0 .124路由的来源（路由的来源（Protocol）v 链路层协议发现的路由 开销小，配置简单，无需人工维护。只能发现本接口所属网段的路由（如果是PPP链路呢？）。v 手工配置静态路由 无开销，配置简单，需人工维护，适合简单拓朴结构的网络。v 动态路由协议发现的路由 开销大，配置复杂，无需人工维护，适合复杂拓朴结构的网络。.125路由优先级（路由优先级（Preference）v 从优先级最高的协议获取的路由最先被优先选择加入路由表中。路由表路由表RIPOSPF10.0.0.0 R010.0.0.0 R110.0.0.0 R1.126路由优先级（路由优先级（Preference）v 不同厂商，路由协议的优先级规定不同，华为公司，路由协议的默认优先级如下：路由协议路由协议 优先级优先级DIRECT 0OSPF 10IS-IS15STATIC 60RIP 100IBGP 255OSPF ASE 150EBGP255Untrustworthy255注：除了直连路由，其它路由协议的默认优先级都可以修改；.127路由的花费（路由的花费（Metric）v 路由的花费标示出了到达这条路由所指的目的地址的代价，通常以下因素会影响到路由的花费值。线路延迟、带宽、线路占有率、线路可信度、跳数、最大传输单元v 静态路由的花费值为0。v 不同的动态路由协议