1 -> 网络层
网络层是计算机网络架构中的关键层次,负责在不同网络之间传输数据包,并通过路由选择算法为数据包通过通信子网选择最佳路径。网络层的核心协议是IP(Internet Protocol),它提供了一种不可靠的端到端数据包传输服务,依靠IP地址进行数据的寻址和转发。除了IP协议,网络层还包括其他重要协议,如ICMP(Internet Control Message Protocol),用于传输控制信息,以及IGMP(Internet Group Management Protocol),用于管理多播组成员。网络层使用的主要设备是路由器,它连接不同网络,并根据路由表转发数据包。
总而言之,网络层在复杂的网络环境中负责寻找合适的传输路径。
2 -> IP协议
2.1 -> 基本概念主机:配置有IP地址,但不执行路由控制的设备。
路由器:既配置有IP地址,又能执行路由控制的设备。
节点:主机和路由器的总称。
2.2 -> 协议头格式
4位版本号(version):指定IP协议的版本,对于IPv4来说,就是4。4位头部长度(header Length):IP头部的长度,以32bit为单位,即length乘以4的字节数。4位表示的最大值是15,因此IP头部最大长度为60字节。8位服务类型(Type Of Service):包含3位优先权字段(已废弃),4位TOS字段和1位保留字段(必须置为0)。4位TOS分别表示:最低延迟,最大吞吐量,最高可靠性,最低成本。这四者互斥,只能选择其一。对于ssh/telnet等应用,最低延迟至关重要;对于ftp等应用,最大吞吐量更为重要。16位总长度(total length):IP数据报的总字节数。16位标识(id):唯一标识主机发送的报文。如果IP报文在数据链路层被分片,每个片段的这个id都相同。3位标志字段:第一位保留(保留指的是目前未使用,但可能将来会用到)。第二位置为1表示禁止分片,此时如果报文长度超过MTU,IP模块将丢弃报文。第三位表示“更多分片”,如果分片了,最后一个分片置为0,其他为1,类似于结束标记。13位分片偏移(framegament offset):表示分片相对于原始IP报文开始处的偏移。实际偏移的字节数是这个值乘以8。因此,除了最后一个报文外,其他报文的长度必须是8的整数倍(否则报文将不连续)。8位生存时间(Time To Live,TTL):数据报到达目的地的最大跳数。一般为64。每次经过一个路由,TTL减1,直到减到0还没到达目的地,就会被丢弃。这个字段主要用于防止路由循环。8位协议:表示上层协议的类型。16位头部校验和:使用CRC进行校验,以检测头部是否损坏。32位源地址和32位目标地址:表示发送端和接收端。选项字段(长度不定,最多40字节)。3 -> 网段划分IP地址分为两个部分,网络号和主机号。
网络号:保证两个互连网段具有不同的标识。主机号:同一网段内,主机之间具有相同的网络号,但必须有不同的主机号。
不同的子网其实就是将网络号相同的主机归为一组。如果在子网中增加一台主机,这台主机的网络号必须与该子网的网络号一致,但主机号不能与子网中的其他主机重复。通过合理设置主机号和网络号,可以确保在互连网络中,每台主机的IP地址都是唯一的。
然而,手动管理子网内的IP地址是一件相当繁琐的事情。
有一种技术叫做DHCP,可以自动为子网内新增的节点分配IP地址,避免了手动管理IP的麻烦。一般路由器都具有DHCP功能,因此路由器也可以视为一个DHCP服务器。过去曾提出一种划分网络号和主机号的方案,将所有IP地址分为五类,如下图所示。
A类 0.0.0.0 到 127.255.255.255B类 128.0.0.0 到 191.255.255.255C类 192.0.0.0 到 223.255.255.255D类 224.0.0.0 到 239.255.255.255E类 240.0.0.0 到 247.255.255.255随着Internet的快速发展,这种划分方案的局限性很快显现出来,大多数组织都申请B类网络地址,导致B类地址很快被分配完,而A类却浪费了大量地址。
例如,申请了一个B类地址,理论上一个子网内可以容纳65,000多个主机。A类地址的子网内的主机数更多。然而在实际网络架设中,不太可能存在一个子网内有这么多主机。因此,大量IP地址被浪费了。针对这种情况,提出了新的划分方案,称为CIDR(Classless Interdomain Routing):
引入一个额外的子网掩码(subnet mask)来区分网络号和主机号。子网掩码也是一个32位的正整数,通常以一串”0″结尾。通过将IP地址和子网掩码进行”按位与”操作,可以得到网络号。网络号和主机号的划分与IP地址是A类、B类还是C类无关。
可见,IP地址与子网掩码做与运算可以得到网络号,主机号从全0到全1就是子网的地址范围。
IP地址和子网掩码还有一种更简洁的表示方法,例如140.252.20.68/24,表示IP地址为140.252.20.68,子网掩码的高24位是1,也就是255.255.255.0。
4 -> 特殊的IP地址将IP地址中的主机地址全部设为0,就成为了网络号,代表这个局域网。将IP地址中的主机地址全部设为1,就成为了广播地址,用于向同一个链路上所有连接的主机发送数据包。127.*的IP地址用于本机环回(loop back)测试,通常是127.0.0.1。
5 -> IP地址的数量限制我们知道,IP地址(IPv4)是一个4字节32位的正整数。因此一共只有2的32次方个IP地址,大约是43亿左右。而TCP/IP协议规定,每个主机都需要有一个IP地址。
这是否意味着只能有43亿台主机接入网络呢?
实际上,由于一些特殊的IP地址的存在,数量远低于43亿;此外,IP地址不是按主机数量配置的,而是每个网卡都需要配置一个或多个IP地址。
CIDR在一定程度上缓解了IP地址不够用的问题(提高了利用率,减少了浪费,但IP地址的绝对上限并未增加),但仍不足以完全解决问题。这时有三种方式来应对:
动态分配IP地址:只给接入网络的设备分配IP地址。因此,同一个MAC地址的设备每次接入互联网时,得到的IP地址可能不同。NAT技术:NAT(网络地址转换)技术是一种网络协议,允许一个组织的私有网络使用一组保留的IP地址与互联网通信,同时对外只显示一个或少数几个公共IP地址。NAT的主要目的是节省公共IP地址,并提供一定程度的网络安全保护。NAT技术通过在网络路由器或防火墙上实现,对进出私有网络的数据包进行地址和端口号的转换。IPv6:IPv6并不是IPv4的简单升级版。这是两个互不兼容的协议;IPv6使用16字节128位来表示一个IP地址;但目前IPv6尚未普及。6 -> 私有IP地址和公网IP地址如果一个组织内部组建局域网,IP地址只用于局域网内的通信,而不直接连接到Internet上,理论上使用任意的IP地址都可以,但是RFC 1918规定了用于组建局域网的私有IP地址。
10.,前8位是网络号,共16,777,216个地址。172.16.到172.31.,前12位是网络号,共1,048,576个地址。192.168.,前16位是网络号,共65,536个地址。包含在这个范围内的,都称为私有IP,其余的则称为全局IP(或公网IP)。
一个路由器可以配置两个IP地址,一个是WAN口IP,一个是LAN口IP(子网IP)。路由器LAN口连接的主机,都属于当前这个路由器的子网。不同路由器的子网IP通常都是相同的(通常都是192.168.1.1)。子网内的主机IP地址不能重复,但子网之间的IP地址可以重复。每个家用路由器实际上是运营商路由器子网中的一个节点。这样的运营商路由器可能有很多级,最外层的运营商路由器的WAN口IP就是一个公网IP了。当子网内的主机需要与外网通信时,路由器会将IP头部中的IP地址替换(替换为WAN口IP),这样逐级替换,最终数据包中的IP地址成为一个公网IP。这种技术称为NAT(Network Address Translation,网络地址转换)。如果希望我们自己实现的服务器程序能够在公网上被访问到,就需要将程序部署在一台具有外网IP的服务器上。这样的服务器可以在阿里云/php中文网上购买。7 -> 路由在复杂的网络结构中,找出一条通往终点的路线。
路由的过程,就是这样一跳一跳(Hop by Hop)“问路”的过程。
所谓“一跳”就是数据链路层中的一个区间。具体在以太网中指从源MAC地址到目的MAC地址之间的帧传输区间。
IP数据包的传输过程也类似于问路。
当IP数据包到达路由器时,路由器会先查看目的IP。路由器决定这个数据包是能直接发送给目标主机,还是需要发送给下一个路由器。依次反复,直到到达目标IP地址。那么如何判定当前这个数据包该发送到哪里呢?这就依赖于每个节点内部维护的路由表。
路由表可以使用route命令查看。如果目的IP命中了路由表,就直接转发即可。路由表中的最后一行,主要由下一跳地址和发送接口两部分组成,当目的地址与路由表中其他行都不匹配时,就按缺省路由条目规定的接口发送到下一跳地址。假设某主机上的网络接口配置和路由表如下:
这台主机有两个网络接口,一个网络接口连接到192.168.10.0/24网络,另一个网络接口连接到192.168.56.0/24网络。路由表的Destination是目的网络地址,Genmask是子网掩码,gateway是下一跳地址,Iface是发送接口,Flags中的U标志表示此条目有效(可以禁用某些条目),G标志表示此条目的下一跳地址是某个路由器的地址,没有G标志的条目表示目的网络地址是与本机接口直接相连的网络,不必经路由器转发。转发过程例1:如果要发送的数据包的目的地址是192.168.56.3
与第一行的子网掩码做与运算得到192.168.56.0,与第一行的目的网络地址不符。再与第二行的子网掩码做与运算得到192.168.56.0,正是第二行的目的网络地址,因此从eth1接口发送出去。由于192.168.56.0/24正是与eth1接口直接相连的网络,因此可以直接发到目的主机,不需要经路由器转发。转发过程例2:如果要发送的数据包的目的地址是202.10.1.2
依次与路由表前几项进行对比,发现都不匹配。按缺省路由条目,从eth0接口发出去,发往192.168.10.1路由器。由192.168.10.1路由器根据它的路由表决定下一跳地址。
