osi七层模型:
应用层:提供用户接口,与用户进行交互
表示层:进行数据格式的转换
会话层:建立、维护和验证会话
传输层:保证目标从源到目的地的传输(传输协议和端口号)
网络层:进行路由的选择转发(ip)
数据链路层:建立实体链路连接,通过mac地址提供可靠的数据传输服务(mac)
物理层:进行比特流的传输
tcp和udp的区别
tcp是面向连接的,是可靠的,有确认重传机制,一个字节一个字节发送,传输速率慢准确性高
udp是无连接的,不可靠的,数据是封装后一块一块发的,传输速率高,但准确性较低
QQ使用的是udp,udp并不是不安全,如果使用tcp会有许多控制位和序列号进而有许多线程,因为它们更容易的控制一个链接,而udp则没有控制位和序列号,进而就不好处理udp连接
网段通信过程
1、判断在不在同一网段(通过网络号和子网掩码进行运行获得)
2、查询arp表(更新arp表)
3、发送arp广播包(出入接口外其他接口均转发,非目标则丢弃 )
交换机(mac表)收到广播包后首先进行学习,学习记录后进行广播转发
4、单播应答
发送到交换机通过前面的记录进行转发
5、更新arp表
后续发送就是单播了
arp表和mac表都存在内存里
ARP欺骗
在 同一个局域网内,一台电脑需要请求信息会发送一个ARP请求,这个请求是广播的,这时在同一个广播域内所有设备都会收到ARP广播的包,如果在这时你欺骗那台发送ARP请求的电脑,告诉他你想要请求或者发送数据的mac地址是我,那么你就可以在他发送数据到目标地址的途中修改或者窃取数据了(ARP是谁后来相信谁ip和mac是暂时匹配的,屏蔽延时2s,在2s内回复)
解决方法
1、通过写入静态的arp表(静态优先级高)
2、端口上将主机ip和mac地址绑定
3、vlan
二层交换机的工作原理
1、学习
2、查询mac地址表(老化时间0-100万秒,0
是不老化)
3、若没有mac地址表里没有,则进行泛洪
广播和泛洪的区别
原因不同,广播是全f目的是寻址,泛洪是因为mac地址表里没有该mac地址所以进行泛洪;广播没有具体内容,泛洪有具体的内容,目的地址
泛洪攻击
源mac随机一直发送给交换机,交换机只能泛洪,最终数据量过大导致交换瘫痪
解决方法:
端口安全特性:设置某个端口学习的上限
如何解决二层交换机单点故障
生成树(stp)解决二层交换机的环路问题 避免产生广播风暴
链路聚合
将多个接口虚拟成一个接口进而实现1+1=2的带宽,也可以解决二层单点故障
主机如何获取ip地址
1、手动配置
2、DHCP(应用层协议)
DHCP的工作过程
DHCP discover包:广播包,寻找能提供DHCPserver的服务器
DHCP offer包:DHCP应答包,告诉客户端它可以提供ip地址,DHCP server为它保留为它提供的ip地址(提供ip地址,默认网关,dns服务器地址,租期)
DHCP request:确认接受使用ip
DHCP ack:确认信息
(DHCP先到先接受 )
网关
进行数据包的转发,流量过滤,协议的转换
DHCP欺骗
伪造DHCP服务器为客户端主机提供一个错误的信息
DHCP的影响:1、地址冲突,无法上网
2、错误的网关信息,信息泄露、拦截、篡改
3、错误的dns信息,钓鱼网站
解决方法:
DHCP snopping:
设置信任接口(正常转发offer和ack),非信任接口(拦截offer和ack)
除了主机和合法服务器的中继设备设为信任端口外其他都设为非信任端口
为什么网络要分段?
1、广播流量太多
2、管理复杂
3、不利于安全风险的隔离,安全问题影响范围大
不同网段设备的通信过程
1、判断是不是在一个网段
2、查默认网关
3、查网关mac
4、封装发送数据包
5、路由选路(每一跳源mac和目标mac都会改变)
6、应答包(源和目的调换)
三层通信=多个二层通信
路由
直连路由:路由器接口所连接的子网的路由
静态路由:手工逐条配置,更改需要手动配置
动态路由:当路由发生变化时可以自动做出调整
默认路由:当路由器找不到存在的其他路由时就会选择默认路由
路由优先级:直连路由优先级最高,人工设置的优先级优于自动学习的路由
三层单点故障
vrrp协议(虚拟路由冗余协议):将多台物理路由器虚拟为一条 路由,两台路由器(master路由器、backup路由器、虚拟ip地址)
网段和广播域的区别
网段:网络号相同
广播域:能收到广播包的所有设备的集合
vlan
trunk:通过多个vlan,用于交换机与交换机,交换机和路由器之间
access:打标签/撕标签,用与交换机连接主机或路由器连接主机
单臂路由
虚拟子接口
DNS域名解析协议
域名-》IP
域名解析:A(address)记录
NS(Name Server)记录
NAT
SNAT:
将私网ip转换为公网ip进行访问,根据源端口号
一对一,多对多
DNAT:
将外网ip转换为内网ip,根据目的端口号