网络分层基础概念（一）

集线器(HUB)是计算机网络中连接多个计算机或其他设备的连接设备，是对网络进行集中管理的最小单元。英文Hub就是中心的意思，像树的主干一样，它是各分支的汇集点。HUB是一个共享设备，主要提供信号放大和中转的功能，它把一个端口接收的所有信号向所有端口分发出去。一些集线器在分发之前将弱信号加强后重新发出，一些集线器则排列信号的时序以提供所有端口间的同步数据通信。

数据链路层

就是网卡把接收到的二级制信号转换为字节，然后写入由操作系统内核在内存中拥有的一块高速缓存区，通过中断切换到相应应用程序进程并取走数据。
用来处理链接网络的硬件部分。包括操作系统、硬件的设备驱动、NIC（Network Interface Card，网络适配器，即网卡）

数据帧

是数据链路层的协议数据单元，包括头部、数据部分、尾部。

节点物理地址

MAC（Media Access Control）地址,用来定义网络设备的位置。一个主机会有一个MAC地址。

ARP（Address Resolution Protocol 地址解析协议）

在OSI模型中ARP协议属于链路层；而在TCP/IP模型中，ARP协议属于网络层。是根据IP地址获取物理地址（MAC）的一个TCP/IP协议。

由于数据帧在网络传输时，只可以通过目的地MAC地址来寻址，所以必须将目的地IP地址转换为MAC地址并告知数据帧。

具体转换方式：数据发送端通过ARP协议发送广播到局域网内所有主机，询问大家谁拥有指定的IP地址，如果有就告知自己的MAC。

网桥

工作在数据链路层的介质访问控制（MAC）子层上，用于在多个使用同一种通信协议网段中传送数据包的设备。

交换机

数据链路层设备，功能类似网桥，可以独享网络带宽，两个端口工作时不影响其他端口的工作。主要用是作连接局域网（LAN）内多个节点，用于局域网内的数据交换，就是组件局域网用的。

交换机(Switch)是一种基于MAC（网卡的硬件地址）识别，能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。现在的交换机分为：二层交换机，三层交换机或是更高层的交换机。三层交换机同样可以有路由的功能，而且比低端路由器的转发速率更快。它的主要特点是：一次路由，多次转发。

VLAN

1、trunk口是用于VLAN内部通讯的，不是VLAN间通讯的。
2、VNAN的作用就是通过设备逻辑虚拟出一个个和物理局域网类似的虚拟局域网，所以也是不同的局域网，不同的局域网当然需要三层路由设备来通信啦。
二层交换确实使用MAC地址转发，因此，那些不可管理的傻瓜交换机就不支持VLAN啦，VLAN是一些智能二层机才带的功能。当然他们还是二层机。他们是靠在数据帧的头部打上TAG标致来判断VLAN的，当然这种判断有比较复杂的机制。因此支持VLAN的二层交换机既不是只靠MAC转发，也不是靠IP判断。
3、路由器能转发VLAN间的数据也要靠支持VLAN协议 802.1Q才行就是能做单臂路由功能。或者三层交换机，生成VLAN后VLAN间直连路由。

VPN

虚拟专用网络（VPN Virtual Private Network）用于连接距离较远的地域。这种服务包括IP-VPN和广域以太网。

虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。

IP-VPN

指在IP网络（互联网）上建立VPN。

网络层

IP协议

IP（Internet Protocol）网际协议，作用就是把各种数据包传送给对方。保证确实传送到对方，则需要满足各类条件。其中最重要的就是IP地址和MAC地址（Media Access Control Address）。

IP地址指明了节点被分配到的地址，MAC地址是指网卡所属的固定地址。IP地址可以和MAC地址进行匹配。IP地址可变换，但MAC地址基本不会改变。

在到达通信目标前的中转过程中，那些计算机和路由器等网络设备只能获悉很粗略的传输路线。这种机制称为路由选择（routing）。

路由器

工作在网络层，可识别数据帧携带的目的地IP地址，并转发为正确网络。是连接局域网（LAN）和广域网（WAN）的，用于用于不同网段之间的数据交换，局域网内各节点都是通过路由器和外网进行信息交换的。现在路由器都带有交换机功能。（一个WAN口+4个LAN口）

网络层协议：IP协议、ICMP协议、ARP协议、RARP协议和BOOTP协议。

路由器使用一系列算法决定网络间的最短路径。
路由器使用静态路由或动态路由来决定网络间的最短路径。静态路由需要管理员手动设置，而动态路由使用一些协议来动态发现网络间的路径并判断最短路径。通常，对于小型网络使用静态路由，大型复杂网络使用动态路由。

路由器(Router)亦称选径器，是在网络层实现互连的设备。它比网桥更加复杂，也具有更大的灵活性。路由器有更强的异种网互连能力，连接对象包括局域网和广域网。过去路由器多用于广域网，近年来，由于路由器性能有了很大提高，价格下降到与网桥接近，因此在局域网互连中也越来越多地使用路由器。路由器是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读”懂对方的数据，从而构成一个更大的网络。路由器有两大典型功能，即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等，一般由特定的硬件来完成；控制功能一般用软件来实现，包括与相邻路由器之间的信息交换、系统配置、系统管理等。

网关

电脑上的网关是配置一个IP地址，这个IP地址对应一台路由器设备，当电脑需要访问的目的IP不在局域网，则发送给网关设备，由网关设备来转发。

作为内网和外网的接入点，一般我们称为网关。网关是一个概念，不是硬件。

网关设备

网关(Gateway)又称网间连接器、协议转换器。网关在网络层以上实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。

路由器与网关

路由器集成了网关的功能，所以路由器也具有网关的功能。

从网关和路由器的定义来看，如果只是简单地连接两个网络，那么只需要网关就足够了。

如果需要连接多个网络，为了保证网络的可靠性，网络结构需要设计为全网状或部分网状，这样，为了网络间的通信，需要网关和路由器两种设备，因为当前路由器集成了网关的功能，所以只使用路由器一种设备就可以了。

简单而言：路由器实现局域网与广域网的连接，而网关实现两个网络的连接（广域网之间，局域网之间）。

DNS

DNS(Domain Name System)。DNS可以将域名自动转换为具体的IP地址。

ARP

IP间的通信依赖MAC地址。在网络中转时，会利用下一站中专设备的MAC地址来搜索下一个中转目标。这时会采用ARP协议（Address Resolution Protocol）。ARP是一种用以解析地址的协议，根据通信方的IP地址就可以反查出对应的MAC地址。

ARP是一种解决地址问题问题的协议。以目标IP地址为线索，用来定位下一个应该接收数据分包的网络设备对应的MAC地址。

ARP是借助ARP请求与ARP响应两种类型的包确定MAC地址的。

ICMP

架构IP网络时需要特别注意两点：确认网络是否正常工作，以及遇到异常时进行问题诊断。

ICMP主要功能包括：确认IP包是否成功送达目标地址，通知在发送过程当中IP包被废弃的具体原因，改善网络设备等。

ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。

信令

在网络中传输着各种信号，其中一部分是我们需要的（例如打电话的语音，上网的数据包等等），而另外一部分是我们不需要的（只能说不是直接需要）它用来专门控制电路的，这一类型的信号我们就称之为信令，信令的传输需要一个信令网。

最传统的信令是中国一号信令，过去电话用的多，现在基本用的最多的是七号信令（电话和网络传输都用到）。通讯设备之间任何实际应用信息的传送总是伴随着一些控制信息的传递,它们按照既定的通讯协议工作,将应用信息安全、可靠、高效地传送到目的地。这些信息在计算机网络中叫做协议控制信息,而在电信网中叫做信令(Signal)。英文资料还经常使用"Signalling"(信令过程)一词,但大部分中文技术资料只使用"信令"一词,即"信令"既包括"Signal"又包括"Signalling"两重含义。

定义

严格地讲，信令是这样一个系统，它允许程控交换、网络数据库、网络中其它“智能”节点交换下列有关信息：呼叫建立、监控（Supervision）、拆除（Teardown）、分布式应用进程所需的信息（进程之间的询问/响应或用户到用户的数据）、网络管理信息。信令是在无线通信系统中，除了传输用户信息之外，为使全网有轶序地工作，用来保证正常通信所需要的控制信号。

作用

信令不同于用户信息，用户信息是直接通过通信网络由发信者传输到收信者，而信令通常需要在通信网络的不同环节(基站、移动台和移动控制交换中心等)之间传输，各环节进行分析处理并通过交互作用而形成一系列的操作和控制，其作用是保证用户信息的有效且可靠的传输，因此，信令可看作是整个通信网络的控制系统，其性能在很大程度上决定了一个通信网络为用户提供服务的能力和质量。

NAT

NAT(Network Address Translator)适用于在本地网络中使用私有地址，在连接互联网时转而使用全局IP地址的技术。(内网/外网地址转换)

IP网络

IP网络是由通过路由设备互连起来的IP子网构成的，这些路由设备负责在IP子风间寻找路由，并将IP分组转发到下一个IP子网。

IP地址是IP网络中数据传输的依据，它标识了IP网络中的一个连接，一台主机可以有多个IP地址。IP分组中的IP地址在网络传输中是保持不变的。

IP隧道

两个网络无法直接通信，如A、B使用IPV6，而中间位置的网络C使用IPV4，就必须要采用IP隧道的功能。

IP隧道技术：是路由器把一种网络层协议封装到另一个协议中以跨过网络传送到另一个路由器的处理过程。

隧道技术是一种数据包封装技术，它是将原始IP包（其报头包含原始发送者和最终目的地）封装在另一个数据包（称为封装的IP包）的数据净荷中进行传输。

隧道技术

隧道技术（Tunneling）是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息，以便通过互联网传递被封装的负载数据。

为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。隧道技术可分别以第2层或第3层隧道协议为基础。

第2层隧道协议对应于OSI模型的数据链路层，使用帧作为数据交换单位。PPTP（点对点隧道协议）、L2TP（第二层隧道协议）和L2F（第2层转发协议）都属于第2层隧道协议，是将用户数据封装在点对点协议（PPP）帧中通过互联网发送。

第3层隧道协议对应于OSI模型的网络层，使用包作为数据交换单位。IPIP（IP over IP）以及IPSec隧道模式属于第3层隧道协议，是将IP包封装在附加的IP包头中，通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于，用户的数据包是被封装在哪种数据包中在隧道中传输。

PPTP协议

PPTP（Point to Point Tunneling Protocol）提供PPTP客户机和PPTP服务器之间的加密通信。PPTP客户机是指运行了该协议的PC机，如启动该协议的Windows95/98；PPTP服务器是指运行该协议的服务器，如启动该协议的WindowsNT服务器。PPTP是PPP协议的一种扩展。它提供了一种在互联网上建立多协议的安全虚拟专用网（VPN）的通信方式。远端用户能够透过任何支持PPTP的ISP访问公司的专用网。

通过PPTP，客户可采用拨号方式接入公用IP网。

协议转发

L2F(Layer Two Forwarding protocol )是由Cisco公司提出的可以在多种介质，如ATM、帧中继、IP网上建立多协议的安全虚拟专用网的通信。远端用户能通过任何拨号方式接入公用IP网，首先按常规方式拨到ISP的接入服务器（NAS），建立PPP连接；NAS根据用户名等信息，建立直达HGW服务器的第二重连接。在这种情况下，隧道的配置和建立对用户是完全透明的。

隧道协议（L2TP）

L2TP（Layer Two Tunneling Protocol）结合了L2F和PPTP的优点，允许用户从客户端或访问服务器端建立VPN连接。L2TP是把链路层的PPP帧装入公用网络设施，如IP、ATM、帧中继中进行隧道传输的封装协议。

通用路由封装协议（GRE）

通用路由封装（英语：Generic Routing Encapsulation，缩写为GRE），一种隧道协议，可以在虚拟点对点链路中封装多种网络层协议。通用路由封装（GRE）定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议。

GRE规定了如何用一种网络协议去封装另一种网络协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义，允许用户使用IP包封装IP、IPX、AppleTalk包，并支持全部的路由协议（如RIP2、OSPF等）。通过GRE，用户可以利用公共IP网络连接IPX网络、AppleTalk网络，还可以使用保留地址进行网络互连，或者对公网隐藏企业网的IP地址。

GRE协议的主要用途有两个：企业内部协议封装和私有地址封装。在国内，由于企业网几乎全部采用的是TCP/IP协议，因此在中国建立隧道时没有对企业内部协议封装的市场需求。企业使用GRE的唯一理由应该是对内部地址的封装。当运营商向多个用户提供这种方式的VPN业务时会存在地址冲突的可能性。

路由封装(GRE)最早是由Cisco提出的，而它已经成为了一种标准，被定义在RFC1701,RFC1702,以及RFC2784中。简单来说，GRE就是一种隧道协议，用来从一个网络向另一个网络传输数据包。

GRE的特点：

GRE是一个标准协议
支持多种协议和多播
能够用来创建弹性的VPN
支持多点隧道
能够实施QOS

GRE的缺点：

缺乏加密机制
没有标准的控制协议来保持GRE隧道（通常使用协议和keepalive）
隧道很消耗CPU
出现问题要进行DEBUG很困难
MTU和IP分片是一个问题