計算機網路 第四章 網路層
網路層概述
網路層其實還可以分為:資料平面和控制平面,資料平面主要是執行轉發的功能;而控制平面主要是路由選擇功能。
基於IP地址的路由轉發過程
- 傳送一個數據報,先要訪問DNS伺服器,把域名轉換成IP地址。
- IP資料報中包含源地址和目的地址,在區域網中用ARP地址轉換協議,將IP地址轉換成MAC地址,當傳送廣播時產生匹配,資料報來到了邊緣路由;每一個路由都有一個轉發表;根據這個轉發表,決定下一跳的實體地址;就這樣直到到達目的地。
轉發表一開始是怎麼配置的?
再進行轉發之前,路由演算法決定了插入沿路路由中轉發表的內容:路由途徑是由軟體算出來的(並負責更新),所以在控制平面也叫軟體定義網路(SDN);那麼路由器和遠端控制器是如何通訊的呢?一般每個路由器中已經有了你這個路徑的轉發表,因為你以前用過,如果說你以前沒有用過那麼遠端控制器就會給你計算最優的路徑,計算好了就分發給各個沿途的路由器。
轉發表更新
IP編址
32位的IP地址 層次化位網路部分和主機部分;也就是說,路由器只關心到某一個網段怎麼走。
官方的劃分:五類,但常用的只有三類。
IP地址的點分十進位制:看到IP地址的二進位制,要立馬把它分成四份,每一份八位,立馬反映出每八位的十進位制。
範圍:A類:1 -- 127(因為八位地址的首位是固定的0;結束的地方不能超過 10000000 -1 = 2^7 -1 = 127 )
B類: 128.0-255 ---191.0-255(10固定;起始位就是 10 000000 就是 128.0-255 ; 結束位不能超過 11000000 -1 =191)
C類:192.0-255 --- 223.0-255(1110
注意:A類地址裡的127.很特殊,代表本機地址;
特殊的幾個地址:
127.0.0.1 (只有前四位有要求,本地環回地址)
169.254.0.1 (在沒有獲得分配的地址下,本段地址可通;訪問不了外網)
保留給內網使用
10.0.0.0 (只要第一個八位是 十就行)
172.16.0.0 --- 172.31.0.0
192.168.0.0 --- 192.168.255.0
子網劃分
超網
為了能夠合併兩個網段為一個網段:
DHCP 動態主機配置
靜態IP地址(電腦固定位置,基本不動)
動態IP地址(移動電腦,筆記本,肯定是動態分配的)
DHCP就是一個網路上的地址分配伺服器
過程:
什麼是防火牆
在電腦中,防火牆是一種裝置,它是由軟體或硬體裝置組合而成,通常處於企業的內部區域網與Internet之間,限制Internet使用者對內部網路的訪問以及管理內部使用者訪問外界的許可權。換言之,防火牆是一個位於被認為是安全和可信的內部網路與一個被認為是不那麼安全和可信的外部網路(通常是Internet)之間的一個封鎖工具。防火牆是一種被動的技術,因為它假設了網路邊界的存在,它對內部的非法訪問難以有效地控制。因此防火牆只適合於相對獨立的網路,例如企業內部的區域網絡等。
二、防火牆的基本準則
1.過濾不安全服務
基於這個準則,防火牆應封鎖所有資訊流,然後對希望提供的安全服務逐項開放,對不安全的服務或可能有安全隱患的服務一律扼殺在萌芽之中。這是一種非常有效實用的方法,可以造成一種十分安全的環境,因為只有經過仔細挑選的服務才能允許使用者使用。
2.過濾非法使用者和訪問特殊站點
基於這個準則,防火牆應先允許所有的使用者和站點對內部網路的訪問,然後網路管理員按照IP地址對未授權的使用者或不信任的站點進行逐項遮蔽。這種方法構成了一種更為靈活的應用環境,網路管理員可以針對不同的服務面向不同的使用者開放,也就是能自由地設定各個使用者的不同訪問許可權。
三、防火牆的基本措施
防火牆安全功能的實現主要採用兩種措施。
1.代理伺服器(適用於撥號上網)
這種方式是內部網路與Internet不直接通訊,內部網路計算機使用者與代理伺服器採用一種通訊方式,即提供內部網路協議(NetBIOS、TCP/IP),代理伺服器與Internet之間的通訊採取的是標準TCP/IP網路通訊協議,防火牆內外的計算機的通訊是通過代理伺服器來中轉實現的,結構如下所示:
內部網路→代理伺服器→Internet
這樣便成功地實現了防火牆內外計算機系統的隔離,由於代理伺服器兩端採用的是不同的協議標準,所以能夠有效地阻止外界直接非法入侵。
代理伺服器通常由效能好、處理速度快、容量大的計算機來充當,在功能上是作為內部網路與Internet的連線者,它對於內部網路來說像一臺真正的伺服器一樣,而對於網際網路上的伺服器來說,它又是一臺客戶機。當代理伺服器接受到使用者的請求以後,會檢查使用者請求的站點是否符合設定要求,如果允許使用者訪問該站點的話,代理伺服器就會和那個站點連線,以取回所需資訊再轉發給使用者。
另外,代理伺服器還能提供更為安全的選項,例如它可以實施較強的資料流的監控、過濾、記錄和報告功能,還可以提供極好的訪問控制、登入能力以及地址轉換能力。但是這種防火牆措施,在內部網路終端機很多的情況下,效率必然會受到影響,代理伺服器負擔很重,並且許多訪問Internet的客戶軟體在內部網路計算機中無法正常訪問Internet。
2.路由器和過濾器
這種結構由路由器和過濾器共同完成對外界計算機訪問內部網路的限制,也可以指定或限制內部網路訪問Internet。路由器只對過濾器上的特定埠上的資料通訊加以路由,過濾器的主要功能就是在網路層中對資料包實施有選擇的通過,依照IP(Internet Protocol)包資訊為基礎,根據IP源地址、IP目標地址、封裝協議埠號,確定它是否允許該資料包通過。這種防火牆措施最大的優點就是它對於使用者來說是透明的,也就是說不須使用者輸入賬號和密碼來登入,因此速度比代理伺服器快,且不容易出現瓶頸現象。然而其缺點也是很明顯的,就是沒有使用者的使用記錄,這樣我們就不能從訪問記錄中發現非法入侵的攻擊記錄。