网络基础知识学习笔记

参考菜鸟教程。个人学习整理，仅供参考。三年前学过，三年没用忘了，重新学习整理一下。

OSI七层网络模型

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3BzdoOAP-1591085543199)(C:\Users\youzhen\AppData\Roaming\Typora\typora-user-images\image-20200601094735586.png)]

1）物理层（Physical Layer）

**、维持、关闭通信端点之间的机械特性、电气特性、功能特性以及过程特性。**该层为上层协议提供了一个传输数据的可靠的物理媒体。简单的说，物理层确保原始的数据可在各种物理媒体上传输。**物理层记住两个重要的设备名称，中继器（Repeater，也叫放大器）和集线器。

2）数据链路层（Data Link Layer）

数据链路层在物理层提供的服务的基础上向网络层提供服务，其最基本的服务是将源自网络层来的数据可靠地传输到相邻节点的目标机网络层。为达到这一目的，数据链路必须具备一系列相应的功能，主要有：如何将数据组合成数据块，在数据链路层中称这种数据块为帧（frame），帧是数据链路层的传送单位；如何控制帧在物理信道上的传输，包括如何处理传输差错，如何调节发送速率以使与接收方相匹配；以及在两个网络实体之间提供数据链路通路的建立、维持和释放的管理。数据链路层在不可靠的物理介质上提供可靠的传输。该层的作用包括：物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。

有关数据链路层的重要知识点：

1> 数据链路层为网络层提供可靠的数据传输；

2> 基本数据单位为帧；

3> 主要的协议：以太网协议；

4> 两个重要设备名称：网桥和交换机。

3）网络层（Network Layer）

网络层的目的是实现两个端系统之间的数据透明传送，具体功能包括寻址和路由选择、连接的建立、保持和终止等。它提供的服务使传输层不需要了解网络中的数据传输和交换技术。如果您想用尽量少的词来记住网络层，那就是"路径选择、路由及逻辑寻址"。

网络层中涉及众多的协议，其中包括最重要的协议，也是TCP/IP的核心协议——IP协议。IP协议非常简单，仅仅提供不可靠、无连接的传送服务。IP协议的主要功能有：无连接数据报传输、数据报路由选择和差错控制。与IP协议配套使用实现其功能的还有地址解析协议ARP、逆地址解析协议RARP、因特网报文协议ICMP、因特网组管理协议IGMP。具体的协议我们会在接下来的部分进行总结，有关网络层的重点为：

1> 网络层负责对子网间的数据包进行路由选择。此外，网络层还可以实现拥塞控制、网际互连等功能；

2> 基本数据单位为IP数据报；

3> 包含的主要协议：

IP协议（Internet Protocol，因特网互联协议）;

ICMP协议（Internet Control Message Protocol，因特网控制报文协议）;

ARP协议（Address Resolution Protocol，地址解析协议）;

RARP协议（Reverse Address Resolution Protocol，逆地址解析协议）。

4> 重要的设备：路由器。

4）传输层（Transport Layer）

第一个端到端，即主机到主机的层次。传输层负责将上层数据分段并提供端到端的、可靠的或不可靠的传输。此外，传输层还要处理端到端的差错控制和流量控制问题。 传输层的任务是根据通信子网的特性，最佳的利用网络资源，为两个端系统的会话层之间，提供建立、维护和取消传输连接的功能，负责端到端的可靠数据传输。在这一层，信息传送的协议数据单元称为段或报文。 网络层只是根据网络地址将源结点发出的数据包传送到目的结点，而传输层则负责将数据可靠地传送到相应的端口。 有关网络层的重点：

• 1> 传输层负责将上层数据分段并提供端到端的、可靠的或不可靠的传输以及端到端的差错控制和流量控制问题；
• 2> 包含的主要协议：TCP协议（Transmission Control Protocol，传输控制协议）、UDP协议（User Datagram Protocol，用户数据报协议）；
• 3> 重要设备：网关。

5）会话层

会话层管理主机之间的会话进程，即负责建立、管理、终止进程之间的会话。会话层还利用在数据中插入校验点来实现数据的同步。

6）表示层

表示层对上层数据或信息进行变换以保证一个主机应用层信息可以被另一个主机的应用程序理解。表示层的数据转换包括数据的加密、压缩、格式转换等。

7）应用层

为操作系统或网络应用程序提供访问网络服务的接口。

会话层、表示层和应用层重点：

• 1> 数据传输基本单位为报文；
• 2> 包含的主要协议：FTP（文件传送协议）、Telnet（远程登录协议）、DNS（域名解析协议）、SMTP（邮件传送协议），POP3协议（邮局协议），HTTP协议（Hyper Text Transfer Protocol）。

IP地址

1）网络地址

IP地址由网络号（包括子网号）和主机号组成，网络地址的主机号为全0，网络地址代表着整个网络。

2）广播地址

广播地址通常称为直接广播地址，是为了区分受限广播地址。

广播地址与网络地址的主机号正好相反，广播地址中，主机号为全1。当向某个网络的广播地址发送消息时，该网络内的所有主机都能收到该广播消息。

3）组播地址

D类地址就是组播地址。

先回忆下A，B，C，D类地址吧：

A类地址以0开头，第一个字节作为网络号，地址范围为：0.0.0.0~127.255.255.255；(modified @2016.05.31)

B类地址以10开头，前两个字节作为网络号，地址范围是：128.0.0.0~191.255.255.255;

C类地址以110开头，前三个字节作为网络号，地址范围是：192.0.0.0~223.255.255.255。

D类地址以1110开头，地址范围是224.0.0.0~239.255.255.255，D类地址作为组播地址（一对多的通信）；

E类地址以1111开头，地址范围是240.0.0.0~255.255.255.255，E类地址为保留地址，供以后使用。

注：只有A,B,C有网络号和主机号之分，D类地址和E类地址没有划分网络号和主机号。

4）255.255.255.255

该IP地址指的是受限的广播地址。受限广播地址与一般广播地址（直接广播地址）的区别在于，受限广播地址只能用于本地网络，路由器不会转发以受限广播地址为目的地址的分组；一般广播地址既可在本地广播，也可跨网段广播。例如：主机192.168.1.1/30上的直接广播数据包后，另外一个网段192.168.1.5/30也能收到该数据报；若发送受限广播数据报，则不能收到。

注：一般的广播地址（直接广播地址）能够通过某些路由器（当然不是所有的路由器），而受限的广播地址不能通过路由器。

5）0.0.0.0

常用于寻找自己的IP地址，例如在我们的RARP，BOOTP和DHCP协议中，若某个未知IP地址的无盘机想要知道自己的IP地址，它就以255.255.255.255为目的地址，向本地范围（具体而言是被各个路由器屏蔽的范围内）的服务器发送IP请求分组。

6）回环地址

127.0.0.0/8被用作回环地址，回环地址表示本机的地址，常用于对本机的测试，用的最多的是127.0.0.1。

7）A、B、C类私有地址

私有地址(private address)也叫专用地址，它们不会在全球使用，只具有本地意义。

A类私有地址：10.0.0.0/8，范围是：10.0.0.0~10.255.255.255

B类私有地址：172.16.0.0/12，范围是：172.16.0.0~172.31.255.255

C类私有地址：192.168.0.0/16，范围是：192.168.0.0~192.168.255.255

子网掩码及网络划分

什么是子网掩码？

子网掩码是标志两个IP地址是否同属于一个子网的，也是32位二进制地址，其每一个为1代表该位是网络位，为0代表主机位。

为什么进行子网划分

• 减少网络流量，无论什么样的流量，我们都希望它少些，网络流量亦如此。如果没有可信赖的路由器，网络流量可能导致整个网络停顿，但有了路由器后，大部分流量都将呆在本地网络内，只有前往其他网络的分组将穿越路由器。路由器增加广播域，广播域越多，每个广播轻松划分子网域就越小，而每个网段的网络流量也越少。

• 优化网络性能，这是减少网络流量的结果。

• 简化管理，与庞大的网络相比，在一系列相连的小网络中找出并隔离网络问题更容易。

• 有助于覆盖大型地理区域，WAN链路比LAN链路的速度慢得多，且更昂贵;单个大跨度的大型网络在前面说的各个方面都可能出现问题，而将多个小网络连接起来可提高系统的效率。

明确条件

我们创建子网的时候，一定是根据一定的要求创建的，这个要求就是我们实际的网络需求。一般我们按如下步骤来明确我们的网络需求：
(1)确定需要的网络ID数:

每个LAN子网一个;

每条广域网连接一个。

(2)确定每个子网所需的主机数:

每个TCPIIP主机一个;
每个路由器接口一个。
(3)根据上述需求，确定如下内容:

一个用于整个网络的子网掩码;
每个物理网段的唯一子网ID;
每个子网的主机范围。

已知网络地址和子网掩码，求子网划分结果

A类

网络地址=192.168.10.0
子网掩码=255.255.255.192

B类

网络地址=172.16.0.0
子网掩码=255.255.255.128

• 多少个子网?
  2^9=512。一共借用了9个主机位
• 每个子网多少台主机?
  2^7-2 = 126。 还有16-9=7位主机位

C类

网络地址=10.0.0.0
子网掩码=255.255.240.0(/20)时，12位用于子网划分，余下12位用于主机编址。

多少个子网?
2^12=4096。
每个子网的主机数?
2^12-2=4094
有哪些合法的子网?
需要考虑哪些字节?借用的主机号来自于第二和第三个字节，因此要考虑第二个和第三个字节，在第二个字节中，子网号的间隔为1;在第三个字节中，子网号为0、16、32等，因为256-240=160

网络协议

ARP/RARP协议

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。

在LAN内的通信，必须在数据帧头中指定通信目标的MAC地址。而为了获取MAC地址，TCP/IP协议下使用的是ARP。ARP解析MAC地址的方法，则是通过广播。也就是说，如果广播报文无法到达，那么就无从解析MAC地址，亦即无法直接通信。

路由选择协议

常见的路由选择协议有：RIP协议、OSPF协议。

RIP****协议 ：底层是贝尔曼福特算法，它选择路由的度量标准（metric)是跳数，最大跳数是15跳，如果大于15跳，它就会丢弃数据包。

OSPF****协议 ：Open Shortest Path First开放式最短路径优先，底层是迪杰斯特拉算法，是链路状态路由选择协议，它选择路由的度量标准是带宽，延迟。

TCP/IP协议

TCP/IP协议是Internet最基本的协议、Internet国际互联网络的基础，由网络层的IP协议和传输层的TCP协议组成。通俗而言：TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台联网设备规定一个地址。

TCP协议的三次握手和四次挥手：

注：seq:"sequance"***；ack:"acknowledge"确认号；SYN:"synchronize"请求同步标志；；ACK:“acknowledge"确认标志”**；**FIN："Finally"结束标志。

**TCP连接建立过程：**首先Client端发送连接请求报文，Server段接受连接后回复ACK报文，并为这次连接分配资源。Client端接收到ACK报文后也向Server段发生ACK报文，并分配资源，这样TCP连接就建立了。

**TCP连接断开过程：**假设Client端发起中断连接请求，也就是发送FIN报文。Server端接到FIN报文后，意思是说"我Client端没有数据要发给你了"，但是如果你还有数据没有发送完成，则不必急着关闭Socket，可以继续发送数据。所以你先发送ACK，“告诉Client端，你的请求我收到了，但是我还没准备好，请继续你等我的消息”。这个时候Client端就进入FIN_WAIT状态，继续等待Server端的FIN报文。当Server端确定数据已发送完成，则向Client端发送FIN报文，“告诉Client端，好了，我这边数据发完了，准备好关闭连接了”。Client端收到FIN报文后，“就知道可以关闭连接了，但是他还是不相信网络，怕Server端不知道要关闭，所以发送ACK后进入TIME_WAIT状态，如果Server端没有收到ACK则可以重传。”，Server端收到ACK后，“就知道可以断开连接了”。Client端等待了2MSL后依然没有收到回复，则证明Server端已正常关闭，那好，我Client端也可以关闭连接了。Ok，TCP连接就这样关闭了！

为什么要三次握手？

在只有两次"握手"的情形下，假设Client想跟Server建立连接，但是却因为中途连接请求的数据报丢失了，故Client端不得不重新发送一遍；这个时候Server端仅收到一个连接请求，因此可以正常的建立连接。但是，有时候Client端重新发送请求不是因为数据报丢失了，而是有可能数据传输过程因为网络并发量很大在某结点被阻塞了，这种情形下Server端将先后收到2次请求，并持续等待两个Client请求向他发送数据…问题就在这里，Cient端实际上只有一次请求，而Server端却有2个响应，极端的情况可能由于Client端多次重新发送请求数据而导致Server端最后建立了N多个响应在等待，因而造成极大的资源浪费！所以，"三次握手"很有必要！

为什么要四次挥手？

试想一下，假如现在你是客户端你想断开跟Server的所有连接该怎么做？第一步，你自己先停止向Server端发送数据，并等待Server的回复。但事情还没有完，虽然你自身不往Server发送数据了，但是因为你们之前已经建立好平等的连接了，所以此时他也有主动权向你发送数据；故Server端还得终止主动向你发送数据，并等待你的确认。其实，说白了就是保证双方的一个合约的完整执行！

使用TCP的协议：FTP（文件传输协议）、Telnet（远程登录协议）、SMTP（简单邮件传输协议）、POP3（和SMTP相对，用于接收邮件）、HTTP协议等。

UDP协议

UDP用户数据报协议，是面向无连接的通讯协议，UDP数据包括目的端口号和源端口号信息，由于通讯不需要连接，所以可以实现广播发送。

UDP通讯时不需要接收方确认，属于不可靠的传输，可能会出现丢包现象，实际应用中要求程序员编程验证。

UDP与TCP位于同一层，但它不管数据包的顺序、错误或重发。因此，UDP不被应用于那些使用虚电路的面向连接的服务，UDP主要用于那些面向查询—应答的服务，例如NFS。相对于FTP或Telnet，这些服务需要交换的信息量较小。

每个UDP报文分UDP报头和UDP数据区两部分。报头由四个16位长（2字节）字段组成，分别说明该报文的源端口、目的端口、报文长度以及校验值。UDP报头由4个域组成，其中每个域各占用2个字节，具体如下：

• （1）源端口号；
• （2）目标端口号；
• （3）数据报长度；
• （4）校验值。

使用UDP协议包括：TFTP（简单文件传输协议）、SNMP（简单网络管理协议）、DNS（域名解析协议）、NFS、BOOTP。

TCP 与 UDP **的区别：**TCP是面向连接的，可靠的字节流服务；UDP是面向无连接的，不可靠的数据报服务。

DNS协议

DNS是域名系统(DomainNameSystem)的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务，可以简单地理解为将URL转换为IP地址。域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个惟一的IP地址，在Internet上域名与IP地址之间是一一对应的，DNS就是进行域名解析的服务器。DNS命名用于Internet等TCP/IP网络中，通过用户友好的名称查找计算机和服务。

NAT协议

NAT网络地址转换(Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

​ 公网IP和私有IP的转换

DHCP协议

DHCP动态主机设置协议（Dynamic Host Configuration Protocol）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址，给用户或者内部网络管理员作为对所有计算机作*管理的手段。

HTTP协议

超文本传输协议（HTTP，HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。　　HTTP 协议包括哪些请求？

GET：请求读取由URL所标志的信息。

POST：给服务器添加信息（如注释）。

PUT：在给定的URL下存储一个文档。

DELETE：删除给定的URL所标志的资源。

HTTP 中， POST 与 GET 的区别

• 1）Get是从服务器上获取数据，Post是向服务器传送数据。

• 2）Get是把参数数据队列加到提交表单的Action属性所指向的URL中，值和表单内各个字段一一对应，在URL中可以看到。

• 3）Get传送的数据量小，不能大于2KB；Post传送的数据量较大，一般被默认为不受限制。

• 4）根据HTTP规范，GET用于信息获取，而且应该是安全的和幂等的。

• I. 所谓 安全的 意味着该操作用于获取信息而非修改信息。换句话说，GET请求一般不应产生副作用。就是说，它仅仅是获取资源信息，就像数据库查询一样，不会修改，增加数据，不会影响资源的状态。

• II. 幂等 的意味着对同一URL的多个请求应该返回同样的结果。

一次网络请求过程

在浏览器中输入 http://www.baidu.com/ 后执行的全部过程。

现在假设如果我们在客户端（客户端）浏览器中输入 http://www.baidu.com， 而 baidu.com 为要访问的服务器（服务器），下面详细分析客户端为了访问服务器而执行的一系列关于协议的操作：

• 1）客户端浏览器通过DNS解析到www.baidu.com的IP地址220.181.27.48，通过这个IP地址找到客户端到服务器的路径。客户端浏览器发起一个HTTP会话到220.161.27.48，然后通过TCP进行封装数据包，输入到网络层。
• 2）在客户端的传输层，把HTTP会话请求分成报文段，添加源和目的端口，如服务器使用80端口监听客户端的请求，客户端由系统随机选择一个端口如5000，与服务器进行交换，服务器把相应的请求返回给客户端的5000端口。然后使用IP层的IP地址查找目的端。
• 3）客户端的网络层不用关系应用层或者传输层的东西，主要做的是通过查找路由表确定如何到达服务器，期间可能经过多个路由器，这些都是由路由器来完成的工作，不作过多的描述，无非就是通过查找路由表决定通过那个路径到达服务器。
• 4）客户端的链路层，包通过链路层发送到路由器，通过邻居协议查找给定IP地址的MAC地址，然后发送ARP请求查找目的地址，如果得到回应后就可以使用ARP的请求应答交换的IP数据包现在就可以传输了，然后发送IP数据包到达服务器的地址。

公司如何组建局域网

什么是局域网？所谓的局域网(Local Area Network，简称LAN)，用于将有限范围内（例如一个实验室、一层办公楼或者校园）的各种计算机、终端与外部设备互联成网。

10人以下企业网络组建

10人以下，规模比较小的公司一般对网络应用需求较低，由于人数少，基本也不存在划分VLAN（虚拟局域网）的需求，所以，选择一个多口的交换机就足够了。

10人-100人规模的企业，需要路由功能和子网划分

满足这类需求，一般比较合适的是路由器+交换机的配置。路由器提供内网和外网的链接和VLAN（虚拟局域网）的划分，以及各种防火墙和路由功能的配置。而交换机一头连到路由器上，作为一个子网，另一头链接子网中的各台终端。划分几个子网，则从路由连出几台交换机即可。树形拓扑结构有以下优点：1、易于故障的诊断； 2、易于网络的升级。

对于100人至500人的企业，重视内网的速率

满足这类需求的，一般采用三层交换机+二层交换机的方案。三层交换机作为网络的核心，提供网络的配置、划分和各个VLAN间的数据交换，而每个VLAN由二层交换机组建。网络主干设备的选型，建议网络主干设备或核心层设备选择具备第3层交换功能的高性能主干交换机。如果要求局域网主干具备高可靠性和可用性，还应该考虑核心交换机的冗余与热备份方案设计。汇聚层或接入层的网络设备类型，通常选择普通交换机即可，交换机的性能和数量由入网计算机的数量和网络拓扑结构决定。

需要对比选择：企业宽带、综合布线设计、网络设备

参考https://blog.csdn.net/dengzhongmingabc/article/details/81078341

路由器和交换机

项目	路由器	交换机
传输速度	比交换机慢，同一网线上网相互影响	比较路由器快，同一网线各自上网互不受影响
使用范围	必需的网络设备，在路由器无法全部连接电脑的情况下，再加交换机。	单独交换机无法实现上互联网功能，交换机在局域网中起到拓展的作用
网络地址	路由器可以把一个IP分配给很多个主机使用，但IP都是相同的	交换机可以多个主机连起来，主机对外各有各的IP，IP都不同
安全性能	路由器提供了防火墙的服务，路由器同时具有交换机的功能	交换机不具备此功能，交换机不具备路由功能
数据转发	以MAC地址来确定转发数据的目的地址，一般硬件自带	以不同网络的ID号来确定数据转发地址。IP地址由网络管理员或系统自动分配
购买价格	较高（因为部份路由器具备交换机功能）	高

• 1、交换机主要是实现大家通过一根网线上网，但是大家上网是分别拨号的，各自使用自己的宽带，大家各自上网没有影响，哪怕其他人在下载，对自己上网也没有影响，并且所有使用同一台交换机的电脑都是在同一个局域网内。

  2、路由器比交换机多了一个虚拟拨号功能，通过同一台路由器上网的电脑是共用一个宽带账号，大家之间上网是相互影响的，比如一台电脑在下载，那么同一个路由器上的其他电脑会很明显的感觉到网速很慢。同一台路由器上的电脑也是在一个局域网内的。

  再举例说明：路由器和交换机之前的区别

  我们知道路由器一般有5个端口，其中一个为WAN端口，与宽带线相连接的，其他四个端口是用来连接上网电脑的，也就是说一个路由器最多可支持4台电脑共享上网，要实现更多电脑共享一根宽带线怎么办？那么这个时候我们就需要用到交换机了，交换机与路由器不同，交换机一般拥有至少8个以上端口，我们只需要将路由器中1-4个端口中的其中一根端口将网线与交换机任意端口连接，交换机其他端口就又可以连接很多电脑实现上网了，这么一来一根网线通过路由器结合交换机连接就可以远远实现大于4个人共享上网了，交换机在这里的作用相当于增加网线端口，可以理解为分流，一个变N个端口。

交换机可以代替路由器吗？

• 路由器可以当交换机用，但普通交换机不可能当路由器用。交换机可以将多台电脑连接起来，与交换机互连的电脑本身则具备了互相通信的功能，组建成了一个内部局域网，可以实现公司内部通讯，无法访问外网（也就是互联网），如果需要访问互联网还需要有网络支持，也就是交换机一端需要连接到路由器，路由器即可实现交换功能，还可以拨号，实现宽带连接，并将宽带资源分配个交换机使用，这样就实现了多台电脑共享上网。

  温馨提醒：路由器当交换机用，一定要把路由器的IP地址改掉，否则IP地址冲突大家都上不了网，还要关掉DHCP功能，否则影响电脑自动获取IP。不建议公司把路由器当交换机用，因为，即便路由器间不互相冲突能正常上网，但绝对会影响网速。进而影响工作效率，因此对于中小企业来说，一台路由器和一台交换机是必须具备的网络设备

  一台路由器能带多少台机？

  就无线路由器来说，一个无线路由器号称可以带机200台，一条网线，如果只用来看网页也许带几十台电脑都没问题，但是如果有几台电脑不限速下载，那网络就接近瘫痪，就实际接线而言，通常普通路由器有5个端口，WAN端口用来接网线，剩余4个端口，每个端口只能接一台电脑，如果要实现很多台电脑上网的话，就要用到交换机。对企业路由器来说，企业在选择一款适用的路由器时必然要考虑路由的端口数，市场上的选择很多，可以从几个端口到数百个端口，用户必须根据自己的实际需求及将来的需求扩展等多方面来考虑。一般而言，对于中小企业来说，几十个端口一般都能满足企业的需求; 真正重要的是对大型企业端口数的选择，一般都要根据网段的数目先做个统计，并对企业网络今后可能的发展做个预测，然后再做选择，从几十到几百个端口，可以根据需求进行合理选择。

  一台交换机能带几台机？

  交换机设备的端口数量是交换机最直观的衡量因素，通常此参数是针对固定端口交换机而言，常见的标准的固定端口交换机端口数有8、12、16、24、48等几种。而非标准的端口数主要有：4端口，5端口、10端口、12端口、20端口、22端口和32端口等。一般来说端口数决定了接机数，固定端口交换机虽然相对来说价格便宜一些，但由于它只能提供有限的端口和固定类型的接口，因此，无论从可连接的用户数量上，还是所从可使用的传输介质上来讲都具有一定的局限性，但这种交换机在工作组中应用较多，一般适用于小型网络、桌面交换环境。

如何使用VLAN设计局域网

参考https://www.funstec.com/enterprise/339.html

什么是VLAN？

VLAN(Virtual LAN)，翻译成中文是“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络，也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指使用路由器分割的网络——也就是广播域。

为什么要使用VLAN？

如果仅有一个广播域，有可能会影响到网络整体的传输性能。

广播帧会非常频繁地出现。利用TCP/IP协议栈通信时，除了前面出现的ARP外，还有可能需要发出DHCP、RIP等很多其他类型的广播信息。

如果整个网络只有一个广播域，那么一旦发出广播信息，就会传遍整个网络，并且对网络中的主机带来额外的负担。因此，在设计LAN时，需要注意如何才能有效地分割广播域。

与路由器相比，二层交换机一般带有多个网络接口。因此如果能使用它分割广播域，那么无疑运用上的灵活性会大大提高。

用于在二层交换机上分割广播域的技术，就是VLAN。通过利用VLAN，我们可以*设计广播域的构成，提高网络设计的*度。

交换机使用VLAN分割广播域

VLAN间通信

VLAN间路由，可以使用普通的路由器，也可以使用三层交换机

交换机的端口

交换机的端口，可以分为以下两种：

• 访问链接(Access Link)
• 汇聚链接(Trunk Link)

访问链接

访问链接，指的是“只属于一个VLAN，且仅向该VLAN转发数据帧”的端口。在大多数情况下，访问链接所连的是客户机。

通常设置VLAN的顺序是：

• 生成VLAN
• 设定访问链接(决定各端口属于哪一个VLAN)

设定访问链接的手法，可以是事先固定的、也可以是根据所连的计算机而动态改变设定。前者被称为“静态VLAN”、后者自然就是“动态VLAN”了。

汇聚链接

汇聚链接(Trunk Link)指的是能够转发多个不同VLAN的通信的端口。

汇聚链路上流通的数据帧，都被附加了用于识别分属于哪个VLAN的特殊信息。

默认条件下，汇聚链接会转发交换机上存在的所有VLAN的数据

汇聚方式

在交换机的汇聚链接上，可以通过对数据帧附加VLAN信息，构建跨越多台交换机的VLAN。

附加VLAN信息的方法，最具有代表性的有：

• IEEE802.1Q
• ISL

为什么要路由？

在LAN内的通信，必须在数据帧头中指定通信目标的MAC地址。而为了获取MAC地址，TCP/IP协议下使用的是ARP。ARP解析MAC地址的方法，则是通过广播。也就是说，如果广播报文无法到达，那么就无从解析MAC地址，亦即无法直接通信。

使用路由器进行VLAN间路由

路由器和交换机的接线方式，大致有以下两种：

• 将路由器与交换机上的每个VLAN分别连接
• 不论VLAN数目多少，都只用一条网线连接路由器与交换机–使用汇聚连接

进行VLAN间通信时，即使通信双方都连接在同一台交换机上，也必须经过：

发送方——交换机——路由器——交换机——接收方

使用三层交换机进行VLAN间路由(VLAN内通信)

三层交换机，本质上就是“带有路由功能的(二层)交换机”。路由属于OSI参照模型中第三层网络层的功能，因此带有第三层路由功能的交换机才被称为“三层交换机”。

在一台本体内，分别设置了交换机模块和路由器模块;而内置的路由模块与交换模块相同，使用ASIC硬件处理路由。因此，与传统的路由器相比，可以实现高速路由。并且，路由与交换模块是汇聚链接的，由于是内部连接，可以确保相当大的带宽。

和使用汇聚链路连接路由器与交换机时的情形相同。

加速VLAN间路由的机制

加速VLAN间路由的手法多由各厂商独有的技术所实现，并且该功能的称谓也因厂商而异

传统型路由器存在的意义

• 用于与WAN连接
• 保证网络安全
• 支持除TCP/IP以外的网络架构

VLAN和子网的区别

通过创建VLAN，我们无需路由器就可以在不同的LAN中分布交换机，这是通过在交换机（VRF）中为每个VLAN创建流表并将不同的设备分配给这些VLAN来实现的，这些设备可以直接通信就像它们是LAN的一部分一样，彼此之间相互通信，并且通过此VLAN发送的任何广播都将发送到所有设备。 要访问其他VLAN，您需要在两者之间合并一个路由器，或为此目的使用第3层交换机。 VLAN在OSI模型的第2层上工作。

子网是分配IP地址的方法，在IP网络中，属于子网的任何IP地址都可以访问任何其他IP地址（如果它是同一子网的一部分），这些子网根据子网掩码进行区分。 子网划分在OSI模型的第3层上工作。

VLAN本质上是网络中驻留的“网段”。

如果您的网络被视为/ 16或子网掩码为255.255.0.0，则子网掩码的主机部分为零。 这意味着您大约可以使用65,534个可用主机地址。 这些地址是您的子网。

对于/ 24（子网掩码为255.255.255.0（最常见）），总共可以有254个可用主机地址。 这又是一个子网。

假设您想优化上面提到的/ 16并实现VLAN。 您可以将VLAN划分为/ 24，并为每个VLAN使用254个主机的整个范围。 例如。

如果您的网络是10.0.0.0/16，则可以这样构造VLAN

局域网10 10.0.10.0/24

局域网20 10.0.20.0/24

Vlan30 10.0.30.0/24

因此，VLAN是子网的“部分”。 如果给定较大的地址子网，则这是正确的网络设计。

防火墙

什么是防火墙？

一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

防火墙的功能

1. 防火墙是网络安全的屏障
2. 防火墙可以强化网络安全策略
3. 对网络存取和访问进行监控审计
4. 防止内部信息的外泄

网关

网关(Gateway)又称网间连接器、协议转换器。网关在网络层以上实现网络互连，是复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。 网关是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器。与网桥只是简单地传达信息不同，网关对收到的信息要重新打包，以适应目的系统的需求。同层–应用层。

按照不同的分类标准，网关也有不同种类。TCP/IP协议里的网关是最常用的，在这里我们所讲的“网关”均指TCP/IP协议下的网关。

网关实质上是一个网络通向其他网络的IP地址。比如有网络A和网络B，网络A的IP地址范围为“192.168.1.1~192. 168.1.254”，子网掩码为255.255.255.0；网络B的IP地址范围为“192.168.2.1~192.168.2.254”，子网掩码为255.255.255.0。在没有路由器的情况下，两个网络之间是不能进行TCP/IP通信的，即使是两个网络连接在同一台交换机(或集线器)上，TCP/IP协议也会根据子网掩码(255.255.255.0)判定两个网络中的主机处在不同的网络里。而要实现这两个网络之间的通信，则必须通过网关。如果网络A中的主机发现数据包的目的主机不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给网络B的网关，网络B的网关再转发给网络B的某个主机。网络B向网络A转发数据包的过程。

对默认网关，其意思是一台主机如果找不到可用的网关，就把数据包发给默认指定的网关，由这个网关来处理数据包。现在主机使用的网关，一般指的是默认网关。

P协议下的网关。

网关实质上是一个网络通向其他网络的IP地址。比如有网络A和网络B，网络A的IP地址范围为“192.168.1.1~192. 168.1.254”，子网掩码为255.255.255.0；网络B的IP地址范围为“192.168.2.1~192.168.2.254”，子网掩码为255.255.255.0。在没有路由器的情况下，两个网络之间是不能进行TCP/IP通信的，即使是两个网络连接在同一台交换机(或集线器)上，TCP/IP协议也会根据子网掩码(255.255.255.0)判定两个网络中的主机处在不同的网络里。而要实现这两个网络之间的通信，则必须通过网关。如果网络A中的主机发现数据包的目的主机不在本地网络中，就把数据包转发给它自己的网关，再由网关转发给网络B的网关，网络B的网关再转发给网络B的某个主机。网络B向网络A转发数据包的过程。

对默认网关，其意思是一台主机如果找不到可用的网关，就把数据包发给默认指定的网关，由这个网关来处理数据包。现在主机使用的网关，一般指的是默认网关。

[外链图片转存中…(img-rMypALbP-1591085543206)]

所以说，只有设置好网关的IP地址，TCP/IP协议才能实现不同网络之间的相互通信。在和 Novell NetWare 网络交互操作的上下文中，网关在 Windows 网络中使用的服务器信息块 (SMB) 协议以及 NetWare 网络使用的 NetWare 核心协议 (NCP) 之间起着桥梁的作用。网关也被称为 IP 路由器。