网络基础知识笔记

一、互联网的起源与发展

互联网的雏形可追溯至1969年美国国防部高级研究计划局（ARPA）的ARPANET项目，最初仅连接了四台计算机，用于军事通信。1983年，​TCP/IP协议成为互联网标准通信协议，奠定了不同网络互联的基础。随后，美国国家科学基金会（NSF）于1986年建立NSFNET，将互联网从军事用途转向科研和公众服务，推动了全球互联网的普及。20世纪90年代，​万维网（WWW）​的发明让互联网进入大众视野，用户通过浏览器即可访问超文本信息，极大促进了信息共享。中国互联网始于1987年钱天白教授发出的第一封电子邮件，1994年正式接入国际互联网，开启了高速发展期。截至2025年，全球互联网用户已突破49亿，占全球人口的62.5%。

---

二、网络模型：信息传输的基石

网络模型有三种，分别是OSI模型七层模型、TCP/IP模型四层模型、TCP/IP五层模型。

OSI模型七层模型：

1. 应用层：直接面向用户，提供文件传输、网页浏览等服务
2. 表示层（SSL VPN、数据压缩）：格式转换与安全处理
3. 会话层（RPC）：会话管理与连接控制
4. 传输层（TCP/UDP）：确保数据可靠传输或高效传输。
5. 网络层（GRE VPN、IP Sec VPN）：基于IP路由通信，路由器。
6. 数据链路层（以太网帧）：基于MAC地址通信，交换机。
7. 物理层（bit流）：光纤、无线网络、同轴电缆等物理设备，集线器。

TCP/IP四层模型：

1. ​应用层​（如HTTP、FTP、SSL VPN）：直接面向用户，提供文件传输、网页浏览等服务。
2. ​传输层​（TCP/UDP）：确保数据可靠传输或高效传输。
3. ​网络层​（IP协议）：通过IP地址实现跨网络的路由寻址。
4. ​链路层​（以太网、Wi-Fi）：负责物理设备间的数据帧传输。

TCP/IP五层模型

1. 应用层：直接面向用户，提供文件传输、网页浏览等服务。
2. 传输层：确保数据可靠传输或高效传输。
3. 网络层：通过IP地址实现跨网络的路由寻址。
4. 数据链路层：负责物理设备间的数据帧传输。
5. 物理层：光纤、无线网络、同轴电缆等物理设备，集线器。

互联网基于三种模型架构实现通信。应用层为应用软件提供接口，使应用程序能够使用网络服务。应用层协议会指定使用相应的传输层协议，以及传输层所使用的端口等。传输层协议接收来自应用层协议的数据，封装上相应的传输层头部，帮助其建立“端到端”（Port to Port）的连接。

对于数据发送方数据封装：

在数据传输中：

对于数据解封装：

---

三、IP路由与OSPF协议

IP路由

IP路由是互联网数据传输的核心机制，负责在源主机与目的主机之间选择最佳路径，确保数据包通过网络逐跳转发。其核心原理包括：

1. ​路由表与转发表
   路由器根据转发表决定数据包的下一跳路径。转发表中的路由信息可通过静态配置​（管理员手动设置）或动态协议​（如OSPF、BGP）生成。
2. ​路由优先级与开销
   • ​优先级（Preference）​：当多个路由协议提供相同路由时，优先级数值较小的路由优先选择（如静态路由优先级通常高于动态路由）。
   • ​开销（Cost/Metric）​：动态路由协议根据链路带宽、延迟等因素计算路径代价。例如，OSPF中开销与带宽成反比，高带宽链路开销更低。

什么是路由表？一个路由表通常包含以下信息：

• 目的网络：标识目的网段
• 掩码：与目的地址共同标识一个网段
• 出接口：数据包被路由后离开本路由器的接口
• 下一跳：路由器转发到达目的网段的数据包所使用的下一跳地址

OSPF协议

由于静态路由由网络管理员手工配置，因此当网络发生变化时，静态路由需要手动调整，这制约了静态路由在现网大规模的应用。动态路由协议因其灵活性高、可靠性好、易于扩展等特点被广泛应用于现网。在动态路由协议之中，OSPF（Open Shortest Path First，开放式最短路径优先）协议是使用场景非常广泛的动态路由协议之一。 OSPF在RFC2328中定义，是一种基于链路状态算法的路由协议。

---

四、交换网络技术：VLAN与生成树

1. ​VLAN（虚拟局域网）​
   通过逻辑划分隔离广播域，提升网络安全性。例如，财务部和销售部分属不同VLAN，即使物理连接同一交换机，也无法直接通信。配置时需定义Access端口​（绑定单一VLAN）和Trunk端口​（跨交换机传输多VLAN数据）。
2. ​生成树协议（STP/RSTP）​
   用于消除网络环路，防止广播风暴。传统STP收敛时间长达50秒，而快速生成树（RSTP）​通过预选备份端口（Alternate Port）将收敛时间缩短至1秒内。现代网络中，RSTP通过端口角色（根端口、指定端口）动态调整路径，确保高可用性。

---

五、ACL与网络安全

访问控制列表（ACL）是网络安全的核心技术之一，通过定义流量过滤规则，实现对网络资源的精细化访问控制。以下从原理、应用场景、技术优势及挑战等方面展开分析。

---

ACL的核心原理与分类

1. 基本原理
   ACL通过匹配数据包的源/目的IP地址、端口号、协议类型等字段，执行“允许（permit）”或“拒绝（deny）”动作。例如，企业可通过ACL阻止研发部门访问财务服务器。

• 默认规则：未匹配任何规则时，通常默认拒绝所有流量。
• 优先级与逻辑关系：规则按编号顺序执行，支持规则间“与”“或”逻辑组合，实现复杂策略。

1. 主要分类

• 标准ACL（2000-2999）：仅基于源IP过滤，适用于简单场景，如限制特定IP段的访问。
• 高级ACL（3000-3999）：支持源/目的IP、端口、协议等多维度匹配，适合复杂策略（如封禁病毒端口）。
• 二层ACL：基于MAC地址、VLAN ID等二层信息控制局域网流量。
• 动态ACL：结合身份认证与时间范围，实现临时访问权限管理。

---

ACL在网络安全中的典型应用

1. 安全防护与攻击防御

• 阻止非法访问：通过ACL拒绝恶意IP（如DDoS攻击源）访问内网资源。
• 端口封禁：针对常见病毒端口（如勒索病毒的445端口）配置ACL，阻断传播路径。
• 网络边界防护：在路由器或防火墙接口应用ACL，过滤外部高危流量。

1. 访问权限控制

• 部门隔离：划分不同部门VLAN，通过ACL限制跨部门访问敏感数据。
• 用户权限分级：例如仅允许管理员访问设备管理端口（如SSH的22端口）。

1. 带宽管理与服务质量优化

• 流量优先级控制：限制P2P下载、视频流等非关键业务带宽，保障核心业务（如VoIP）的传输质量。
• 路由策略配合：与BGP等路由协议结合，过滤无效或非法路由信息。

---

ACL的技术优势与挑战

1. 优势

• 灵活性与细粒度：支持从IP到应用层的多级控制，适应复杂网络需求。
• 低部署成本：无需专用硬件，可在交换机、路由器等现有设备上配置。
• 扩展性：支持跨设备、多接口策略统一管理。

1. 挑战与局限性

• 性能瓶颈：大规模规则集可能导致设备处理延迟，需硬件加速或规则优化。
• 配置复杂性：规则顺序错误易引发策略冲突，需借助工具进行规则审计。
• 协议兼容性：部分老旧设备不支持IPv6 ACL或新型加密协议。

---

ACL配置最佳实践

1. 规则设计原则

• 最小权限原则：默认拒绝所有流量，仅开放必要服务。
• 规则顺序优化：高频匹配规则置于顶部，减少处理时间。
• 日志记录：启用ACL日志功能，便于事后审计与攻击溯源。

1. 与流量策略结合
   ACL常与Traffic Policy协同使用，例如：

• 通过ACL分类流量（如视频会议），再用流量策略标记优先级或限速。
• 动态调整策略，如工作日与节假日采用不同ACL规则。

1. 定期维护与更新

• 根据业务变化调整规则，避免冗余或失效策略。
• 结合威胁情报更新ACL，封禁最新攻击特征（如新型病毒端口）。

---

六、IPv4与IPv6的演进

什么是IP地址

IP地址标识了网络中的一个节点，每个IP地址都拥有自己的网段，各个网段可能分布在网络的不同区域。

IPv4地址：

IPv4地址是TCP/IP协议中最为核心的协议族。它工作在TCP/IP协议栈的网络层。IPv4共由32位比特位组合，约43亿个地址（2^32个除去保留地址、内网地址、广播地址等可分配地址实际约为38亿），通常用点分十进制表示。

IPv4地址分为A、B、C、D、E五类，其中A（1.0.0.0~126.255.255.255）、B（128.0.0.0~191.255.255.255）、C（192.0.0.0~223.255.255.255）用于单播，D类为组播，E类保留。A\B\C类地址都存在相应的私有IP，A类的私有IP范围为10.0.0.0~10.255.255.255、B类私有IP范围为172.10.0.0~172.31.255.255、C类的私有IP范围为192.168.0.0~192.168.255.255。

除此之外，还有有限广播地址255.255.255.255、任意地址0.0.0.0、环回地址127.0.0.0/8以及本地链路地址169.254.0.0/24。

IP地址由网络部分、主机部分和子网掩码构成，网络部分加子网掩码相当于日常所说的网段（192.168.1.0/24），再加上主机部分就是我们所说的IP地址（192.168.1.1/24）。网络部分用来标识IP所属的网络，主机部分用来区分一个网络内的不同主机，能够标识网段上的某台设备。

前面说到，有一些地址是不能用来使用的。比如192.168.1.0虽然在排列组合里面包括，但是不能作为终端设备的IP地址。除此之外广播地址也不能直接作为主机地址，广播地址是主机位全为1的地址，转换成10进展就是255，例如192.168.1.255/24就是在192.168.1.0/24这个网段进行广播的广播地址。

那么我们怎么计算IP地址的网络部分和主机部分呢？这就需要子网掩码，子网掩码区分了IP字段的主机主机部分和网络部分。例如：172.16.10.1/16这个B类地址、广播地址以及可用地址数量分别是？

IPv4的报文结构主要是由以太网头部、IP头部、TCP头部、用户数据、以太网尾部组成。其中头部信息包括：IP版本、头部长度、服务类型、总长度、数据包分片、TTL、协议号、纠错码、源IP地址和目的IP地址。

由于数据的大小可能非常大，所以在传输数据包的过程中需要分片，分片是将报文分割成多个片段。

分片涉及到标识、标志和片段偏移移三个部分，标识是标识分片后的数据包能够找到自己的组，标志是表示表示数据包是否分片，片段偏移是表示数据包分片后的片段在整个数据包中的位置，这样后面可以准确无误的拼装起来。

IPv6地址：

20世纪80年代，IETF发布RFC791，即IPv4协议，标志IPv4正式标准化。在此后的十几年间，IPv4协议成为最主流的协议之一。然而，随着互联网规模越来越大，IPv4的挑战越来越多。

128位地址，近乎无限的地址空间，简化报头结构，并原生支持IPSec加密，提升安全性。其核心改进包括：

• ​无状态地址自动配置（SLAAC）：自主生成地址
• ​邻居发现协议（NDP）​：移动网络通信改进
• IPv6简化IP头部：提高传输效率
• 增强QoS特性：针对性服务
• 层次化地址结构：路由聚合、路由快速查询。

与IPv4不同，IPv6取消分类设计，采用单播、组播、任播三类地址，简化地址分配逻辑

IP地址规划

IP地址规划要和网络结构、路由协议、流量规划、业务规则等结合起来考虑。IP地址的规划尽可能和网络层次对应，应该是自顶向下的一种规划。总的来说，规划应该满足唯一性、连续性、拓展性、结构化、业务相关性。

---

七、VPN技术

VPN的定义与核心功能

在复杂的网络当中，数据的传输有可能被截取其中的信息。早先使用的方案是通过物理层直接拉一条专线以达到安全的目的。但是物理链路铺设需要耗费大量的时间和金钱，对此一种虚拟网络计算VPN被开发。VPN（虚拟专用网络）是一种在公共网络（如互联网）上构建加密通道的技术，用于实现远程用户或不同局域网之间的安全通信，其核心功能包括：

• ​加密通信：通过隧道协议（如IPSec、SSL）对数据进行加密，防止窃听和篡改。
• ​身份认证：确保接入用户或设备的合法性，如通过预共享密钥、数字证书等方式。
• ​逻辑隔离：在不改变物理网络结构的情况下，通过虚拟通道隔离不同用户或组织的通信。

---

VPN的工作原理

1. ​隧道技术
   VPN的核心是隧道技术，其过程分为三步：
   • ​封装：原始数据包（如企业内网请求）被添加VPN协议头（如GRE、IPSec），形成新的外层IP包。
   • ​传输：封装后的数据通过公共网络传输，外层IP头指向VPN网关地址，内层保留真实通信地址。
   • ​解封装：目标VPN网关剥离外层协议头，还原原始数据并转发至内网服务器47。
     例如，某员工通过VPN访问公司内网时，其访问请求会被加密并封装为互联网可传输的格式，到达公司VPN网关后解密并转发。
2. ​加密与认证机制
   • ​IPSec协议：支持对数据完整性（AH协议）和机密性（ESP协议）的双重保护，通过IKE协议动态协商加密密钥。
   • ​SSL/TLS协议：常用于浏览器与服务器的安全通信（如网页版VPN），基于证书实现双向认证。

---

VPN的主要分类

1. ​按应用场景分类
   • ​远程访问VPN​（Client-to-Site）：适用于出差员工通过客户端软件（如OpenVPN）接入企业内网。
   • ​站点到站点VPN​（Site-to-Site）：连接两个局域网，常见于企业总部与分支机构之间的通信，如IPSec VPN或MPLS VPN。
2. ​按协议层次分类
   • ​网络层VPN：如IPSec、GRE，直接封装IP数据包，适用于复杂网络环境。
   • ​数据链路层VPN：如L2TP、PPTP，模拟物理专线，支持非IP协议传输。
   • ​应用层VPN：如SSL VPN，通过浏览器实现免客户端接入，适合移动端使用。
3. ​按实现方式分类
   • ​自建VPN：企业部署VPN服务器或硬件网关（如防火墙），成本可控但维护复杂。
   • ​运营商VPN：租用MPLS专线，由运营商提供高可靠性服务，适合跨国企业。

---

主流VPN技术对比

​技术类型	​特点	​典型协议	​适用场景
​IPSec VPN	支持端到端加密，与NAT兼容性差，需配置复杂策略68	AH、ESP、IKE	企业站点间安全互联
​SSL VPN	基于HTTPS，无需专用客户端，支持细粒度访问控制79	TLS/SSL	远程办公、移动设备接入
​L2TP VPN	结合PPTP和L2F协议，依赖IPSec加密，支持多协议传输67	L2TP/IPSec	跨平台设备拨号连接
​MPLS VPN	运营商级服务质量（QoS），高带宽低延迟，但成本较高910	MPLS	大型企业跨区域组网
​GRE Over IPsec	先通过GRE封装非IP协议（如组播），再用IPSec加密，兼顾灵活性与安全性67	GRE、IPSec	视频会议、多协议传输场景

---

典型应用场景

1. ​远程办公
   员工通过SSL VPN或L2TP VPN接入企业内网，访问ERP、OA系统，同时确保传输数据加密。例如，疫情期间企业普遍采用VPN支持居家办公。
2. ​跨地域组网
   企业使用IPSec VPN或MPLS VPN连接总部与分支机构，实现文件共享、数据库同步等业务。
3. ​数据隐私保护
   个人用户通过商业VPN服务隐藏真实IP地址，规避地理位置限制（如访问Netflix、GitHub、GPT等），同时防止公共网络（学校、公司、机场）下的数据泄露。
4. ​物联网安全
   工业设备通过VPN与云端平台通信，防止生产数据在传输过程中被截获，支持双向认证（如使用X.509证书）。

---

VPN的优势与挑战

1. ​优势
   • ​成本低：相比专线费用，VPN利用互联网大幅降低组网成本。
   • ​扩展性强：新增站点只需配置VPN设备，无需改造物理网络。
   • ​灵活接入：支持多种终端（PC、手机、IoT设备）随时随地上线。
2. ​挑战
   • ​性能瓶颈：加密过程增加延迟，高并发场景可能需硬件加速。
   • ​协议兼容性：部分老旧设备不支持新型加密算法（如AES-256）。
   • ​管理复杂度：大规模部署时需统一策略管理，防止配置错误导致安全漏洞。