初识计算机网络¶

当今，我们所处的时代，是一个网络和信息化大发展的时代，大到国家级5G、物联网、云计算等科技应用，小到家庭的无线WiFi、有线电视网等，都属于网络的范畴。由此可见，人们生活的方方面面已经和网络的发展紧密的结合在了一起。

那么，我们怎么描述网络这个词呢，也就是计算机网络的定义，可以用一句话来概括，“多个处于不同地理位置的，具有独立处理功能的计算机，通过网络设备和传输介质等连接在一起，形成能够实现资源共享和数据传输的网络”。

现在我们随时随地使用网络，非常的便捷。我们不禁要想，世界上最早期的网络是什么呢？

其实，最早期的网络，它还没有被称作“网络”这个名字，它的名字叫通信系统。世界上最早的通信系统被应用于军事领域，1951年应用于美国空军的SAGE(半自动化地面防空系统)，被称作计算机和通信技术相结合的先驱。

而在民用领域，美国通用电气公司的信息服务系统则是世界上最大的商用数据处理网络。

直到1969年，美国国防部建成的ARPAnet，也叫“阿帕网”，它具有五大特征，这五大特征被认为是现代计算机网络的一般特征。

可以说，ARPAnet是现代计算机网络的开端，这五大特征分别是：资源共享、分散控制、分组交换、采用专门的通信控制处理机、分层的网络协议。

接下来，就要了解一下，我国在网络领域的发展：1989年，国家计委组织建立中关村地区教育与科研示范网络NCFC，1990年我国正式注册了国家顶级域名CN，1994年我国用64kb/s国际专线正式接入互联网。

从1994年开始，分别由邮电部、教育部、中科院、国家计委主持建立四大国家骨干网，即中国公用计算机互联网、中国教育科研网、中国科技网、中国金桥信息网。

另外，要了解一下我国建设信息高速公路的三金工程：金桥、金关、金卡。

计算机网络基本概念¶

• network：网络，一组相互连接的网络、通讯的设备。网络是由两个或两个以上相连的计算机组成。

• internet：互联网，多个互联互通的网络。（通用名词，泛指多个计算网络互联组成的网络）

• Internet：因特网，互联全世界的网络。（专有名词）。特指网络世界上最大的一张互联网。我们平时说的上网就是上因特网。

• ISP：Internet Server Provider，因特网服务提供商，向用户提供网络接入服务的运营商。又称因特网服务提供者、互联网服务提供商、网络服务供应商，即指提供互联网访问服务的公司。

• LAN：局域网，LAN 是包含在较小地理区域内的网络，通常位于同一建筑物内。家庭 Wi-Fi 网络和小型企业网络是常见的 LAN 示例。

• 大多数 LAN 是从一个中心位置连接到互联网，即路由器。

• 家庭 LAN 通常使用单个路由器，而较大空间中的 LAN 可能另外使用网络交换机 ，以提高数据包传输效率。

• 以太网：以太网最早是指由DEC（Digital Equipment Corporation）、Intel和Xerox组成的DIX（DEC-Intel-Xerox）联盟开发并于1982年发布的标准。

经过长期的发展，以太网已成为应用最为广泛的局域网，包括：

IEEE 802.3规范则是基于以太网的标准制定的，并与以太网标准相互兼容。在TCP/IP中，以太网的IP数据报文的封装格式由RFC894定义，IEEE802.3网络的IP数据报文封装由RFC1042定义。

当今最常使用的以太网封装格式是RFC894定义的格式，通常称为Ethernet_II或者Ethernet DIX。

两个设备之间通信的五个要素：发送者、接收者、介质、协议、数据。

通信是双向的，主机A要发送数据给主机B，主机B也要回复。如果要实现不同厂商的硬件，软件之间相互兼容，连通，就需要遵循一个统一的标准。

计算机网络标准化工作 :

① 法定标准 : 权威机构制订的正式的，合法的标准 , 比如计算机网络中指的是 OSI 七层参考模型 ;

② 事实标准 : 市场竞争中 , 占据了主流的的技术 , 该技术的协议标准 , 成为了 事实上的标准 , 计算机网络中指的是 TCP / IP 协议 ;

二、标准化工作流程

RFC ( Request For Comments ) 标准化工作流程 : 因特网标准的形式 , RFC 因特网标准 从制定 到正式称为标准 , 经过四个阶段 ;

① 因特网草案 ( Internet Draft ) : 该阶段的标准不是 RFC 文档 ; 只是一个草案 , 然后以邮件方式 , 发送给 RFC 编辑邮箱 ;

② 建议标准 ( Proposed Standard ) : 该阶段开始称为 RFC 文档 ;

③ 草案标准 ( Draft Standard ) : 将 上一个 建议标准放到网上 , 让其它人建议修改 , 请求评论 , 形成草案标准 ;

标准化工作组织 :

① ISO ( International Organization for Standardization ) 国际标准化组织 : 主要贡献是 提出了 OSI 七层参考模型 , HDLC 协议 ;

② ITU ( International Telecommunication Union ) 国际电信联盟 : 主要贡献是 制定通信规则 ;

③ IEEE ( Institute of Electrical and Electronics Engineers ) 国际电气电子工程师协会 : 学术机构 , 主要贡献是 制定 IEEE 802 系列的标准 , 5G 标准 ;

④ IETF ( Internet Engineering Task Force ) 因特网工程任务组 : 负责 因特网 相关标准制定 ; 审核 RFC 标准文档 ;

自 1997 年起，中国互联网络信息中心（CNNIC）定期组织开展中国互联网络发展状况统计调查工作，每年发布两次《中国互联网络发展状况统计报告》，至今已持续发布 52 次。

《报告》力图通过统计数据真实反映我国互联网发展历程，成为我国政府部门、国内外行业机构、专家学者和广大人民群众了解中国互联网发展状况的重要参考。

因特网的组成¶

• 边缘部分

由所有连接在因特网上的**主机**组成（台式电脑，大型服务器，笔记本电脑，平板，智能手机等）。这部分是**用户直接使用**的，用来进行**通信**（传送数据、音频或视频）和**资源共享**。

• 核心部分

由**大量网络**和连接这些网络的**路由器**组成。这部分是**为边缘部分提供服务**的（提供连通性和交换）。

路由器是一种专用计算机，但我们不称它为主机，路由器是实现分组交换的关键构建，其任务是转发收到的分组，这是网络核心最重要的部分。

处在互联网边缘的部分就是连接在互联网上的所有的主机。这些主机又称为**端系统 (end system)**。

端系统在功能上可能有很大的差别：

1. 小的端系统可以是一台普通个人电脑，具有上网功能的智能手机，甚至是一个很小的网络摄像头。
2. 大的端系统则可以是一台非常昂贵的大型计算机。
3. 端系统的拥有者可以是个人，也可以是单位（如学校、企业、政府机关等），当然也可以是某个ISP。

端系统之间通信的含义

“主机 A 和主机 B 进行通信”实际上是指：“运行在主机 A 上的某个程序和运行在主机 B 上的另一个程序进行通信”。

即“主机 A 的某个进程和主机 B 上的另一个进程进行通信”。简称为“计算机之间通信”（端到端通信）。端系统之间的通信方式通常可划分为两大类：

客户-服务器方式/CS架构：

• 客户 (client) 和服务器 (server) 都是指通信中所涉及的两个应用进程。
• 客户 - 服务器方式所描述的是进程之间服务和被服务的关系。
• 客户是服务的请求方，服务器是服务的提供方。

服务请求方和服务提供方都要使用网络核心部分所提供的服务。

对等连接方式：

• 对等连接 (peer-to-peer，简写为 P2P ) 是指两个主机在通信时并不区分哪一个是服务请求方还是服务提供方。
• 只要两个主机都运行了对等连接软件 ( P2P 软件) ，它们就可以进行**平等的、对等连接通信**。
• 双方都可以下载对方已经存储在硬盘中的共享文档。

计算机网络性能指标¶

速率¶

速率（speed）是指单位时间内信道所能传输的数据量，等值于每秒传输的比特数（注意这里是比特位）

单位是 b/s(或者bit/s、bps、比特/秒) ， ==注意，在速率的进制是是十进制上，==即1Kb = 1000b

• Kbps（Kilobits Per Second，**千**比特每秒）
• Mbps（Megabits Per Second，**兆**比特每秒，约等于 1 MB/s）
• Gbps（Gigabits Per Second，**吉**比特每秒）
• Tbps（Terabits per second，**太**比特每秒）

在【计算机组成原理】和【计算机网络】这两门科目中，KMGT 所对应的单位是有所不同的：

• 【计算机组成原理】： KMGT 的单位是二进制单位
• 【计算机网络】： KMGT 的单位是十进制单位
• 【操作系统】中的 KMGT 与【计算机组成原理】的 KMGT 一致，都是二进制单位

带宽¶

在【通信原理】中，带宽原本表示通信线路允许通过的信号频率范围，单位是赫兹（Hz）。

在【计算机网络】中，带宽表示网络的通信线路所能传送数据的能力，是数字信道所能传送的“最高数据传输速率”的同义词，单位是比特/秒（b/s）。

不管是在【通信原理】还是【计算机网络】中，带宽的本质都一样，表示的是信道传输数据的能力强弱：信道带宽越大，传输数据的能力越强

带宽（bandwidth）是指在单位时间（一般指的是1秒钟）从网络一端流到另一端的**最大数据位数，带宽其实是指数据管道的宽度，体现为通信线路传送数据的能力。**

带宽 bandwidth ：带宽是指在单位时间（一般指的是1秒钟）内能传输的数据量，是几乎所有互联网服务提供商在商业和营销中称之为“速度”的东西。

带宽的单位也是比特/秒（bit/s，简写为bps）

吞吐量¶

吞吐量（throughput）表示在**单位时间内通过某个网络（或信道、接口）的实际数据量。吞吐量通常用于对实际网络的测量，以便获知到底有多少数据量能够通过网络。**

单位通常是 b/s, kb/s , Mb/s 等

TCP 的最大吞吐量，也称为带宽时延积（Bandwidth-Delay Product），可以简单地用以下公式表示：

最大吞吐量 = 接收窗口大小 / RTT

• 接收窗口大小 (Receive Window Size, RWIN)

这是接收端告知发送端，它当前能够接收的数据量。它限制了发送端在不收到确认（ACK）的情况下可以发送的最大数据量。单位通常是**字节（Bytes）**。

• 往返时延 (Round-Trip Time, RTT)

这是数据包从发送端到接收端，再回到发送端所花费的时间。单位通常是**秒（Seconds）或 **毫秒（Milliseconds）。

这个公式的直观理解是：在一次 RTT 的时间内，发送端最多能发送一个接收窗口大小的数据量。所以，每秒能发送的最大数据量就是窗口大小除以 RTT。

时延¶

时延（Delay）指数据（一个报文或分组）从网络（或链路）的一端传送到另一端所需要的总时间，它由4部分构成：发送时延、传播时延、处理时延、排队时延。

总时延=发送时延+传播时延+处理时延+排队时延

• 发送时延：结点将分组的所有比特推向（传输）链路所需要的时间，即从发送分组的第一个比特算起，到该分组的最后一个比特推向传输链路所需要的时间。也称传输时延。

• 传播时延：电磁波在信道中传播一定的距离需要花费的时间，即一个比特从链路的一端传播到另一端所需要的时间。

• 我们假设AB之间的链路长度为100米，传输数率为10m/s，则传播时延为10秒。

• 一般在链路中，传输速率为2.0×10^8 m/s 左右

• 处理时延

• 排队时延

带宽可以用高速公路做比喻来帮助理解它的含义：高速公路的车道可以衡量传输的能力。公路的宽度好比是带宽，行驶在公路上的汽车就好比是网络传输的数据。

车道越多，车辆通行能力就越强，发生堵车的概率就越低。同样的，拥有更宽的带宽，也就是有更大的数据传输能力。

在日常，我们与运营商签宽带，一般都是讲百兆带宽/千兆带宽，一百兆（100M），两百兆，其实这是一个带宽单位。表示单位时间内传输的数据量（每秒）。

在计算机网络或网络运营商中，100兆的准确描述应该是 100 Mbps，就是就是 Mega bits per second 。

在计算机中，数据容量的单位是大家常见的：B，KB，MB，GB。这个B是指 bytes 。

1 bytes = 8 bits

所以，100 Mbps = 100/8 MB/s = 12.5‬ MB/s

百兆宽带，理论上的下载速度，应该可以达到上述值，但是要考虑网络传输各种信号衰减和延迟，实际达不到这个理想环境。

中国网络运营商带宽

随着移动互联网的兴起、“云时代”的到来，把文件存储在网盘、把拍好的照片、视频分享到网上，已成为网民越来越普遍的需求。

网速快慢，不仅指下载速度，还需要更多需要提高上传速率。

而恰恰是在上传速率上，中国的宽带运营商显露出了严重的不足——上下行不对称已经形成默认的潜规则，用户的上行带宽远远低于下行带宽。

ADSL时代，上行下行不对称是技术问题，ADSL（Asymmetric Digital Subscriber Loop）技术是一种不对称数字用户线实现宽带接入互连网的技术，它采用频分复用技术把普通的电话线分成了电话、上行和下行三个相对独立的信道，从而避免了相互之间的干扰，一根线缆内多条电线上的对称信号会显著地限制数据传输速率与线缆的有效通信长度，在大多数情况下，其下行与上行带宽之比可达到10:1的比率。

到了光纤时代，技术上是不存在不对称问题的，光纤具有频带宽、容量大、信号质量好、可靠性高等特点，是目前宽带业务发展的方向。

是利用两条光纤分别负责上行和下行，不存在ADSL上下行不对称的技术问题，以PON技术为例，下行和上行是频分复用，互不影响，并且因为光纤传输的原理，即使你家离局端20公里，速率也不会有太大变化。

从拨号上网的ADSL时代发展到光纤，技术上已经解决了宽带网络的上下行速率对等问题。但是实际上，光纤用户依然被宽带运营商限制了上行带宽，即使是光纤入户（FTTH）的百兆带宽，上传带宽也不足4M（上传速度最大为512K/s）。

他们都受网络带宽和设备性能制约。 在日常网络传输中大致1Mbps=128Kb/s

例如上行的网络带宽为100Mbps，那么最大上传速度就是12800Kb/s，也就是12.5Mb/s

国内家庭宽带速率的现状

如今家庭宽带已经普及100M宽带，而200M，500M甚至1000M的宽带也慢慢开始在各城市推广上线。根据工信部《工业和信息化部公告》〔2018年第54号〕

标准规定：公众用户固定宽带接入业务，当下行小于等于150M时，签约上行接入速率与签约下行接入速率按照最低1:5的比例配置，当下行大于150M时，签约上行速率不低于30M。从2019年1月1日起生效.

如果你家是电信200M用户，那么理应上行速率为30M，转换为上传速度，理论上满速约为4M/S，外网访问内网在线播放1080P电影实测流畅。

在网络中，有两个常见的与带宽有关的概念——「上行速率」、「下行速率」。

• 上行速率是指用户向网络发送信息时的数据传输速率；

• 下行速率是指网络向用户发送信息时的传输速率。

例如，用户用FTP上传文件到网上，影响上传速度的就是「上行速率」；而从网上下载文件，影响的就是「下行速率」

延迟 delay：数据从一个节点到另外一个节点所经历的时间，通常以 ms 为单位。

http://www.jiangmen.gov.cn/bmpd/jmszwfwsjglj/ztzl/wlxxaq/xxjs/content/post_1768548.html

中国互联网¶

中国互联网的一个重要特点是网络访问路径归中国政府所有，私营企业和个人只能从国家租用带宽。

以前早期的四大国网，即：

• 中国科学技术网

• 中国公用计算机互联网

• 中国教育和科研计算机网

• 中国金桥信息网

是中国大陆互联网的“骨干”。后来占主导地位的电信提供商也开始提供互联网服务。

2015 年 1 月，中国在连接北京、上海和广州的三个接入点的基础上，在世界互联网骨干网中增加了 7 个新接入点。

公共互联网服务通常由省级电信公司提供，有时在网络之间进行交易。没有全国性网络的互联网服务供应商无法与他们的带宽供应商电信公司竞争，而且经常会倒闭。

这些网络之间的互连是互联网用户的一个大问题，因为通过全球互联网的互联网流量非常缓慢。然而，主要的互联网服务提供商不愿帮助竞争对手。

骨干网¶

几台计算机连接起来，互相可以看到其他人的文件，这叫局域网，整个城市的计算机都连接起来，就是城域网，把城市之间连接起来的网就叫骨干网。

城域网逐渐向上汇聚，连接到省节点。省节点汇聚，连接到上层普通核心节点。核心节点汇聚，再连接到核心骨干节点。

另外，各个骨干节点互相连接，以提高连通性和带宽。这样，实现了中国电信的全国网络交换。

这些骨干网是国家批准的可以直接和国外连接的互联网。其他有接入功能的ISP（互联网服务提供商）想连到国外都得通过这些骨干网。

骨干网（Backbone Network）是用来连接多个区域或地区的高速网络。

每个骨干网中至少有一个和其他骨干网进行互联互通的连接点。不同的网络供应商都拥有自己的骨干网，用以连接其位于不同区域的网络。

ISP所管辖的网络就叫骨干网，骨干网的服务商就叫ISP。

中国骨干网¶

1987 年 9 月 20 日，北京中国兵器工业计算机应用研究所的钱天白教授，发出了我国第一封电子邮件，内容是：

“Across the Great Wall we can reach every corner in the world. ”（“越过长城，我们能到达世界的每个角落。” ）

这封邮件当时具有极为深远的意义，它被视为中国与互联网的第一次 “亲密接触”。而钱天白教授，也被世人称为 “中国互联网之父”。

其实，当时钱天白所使用的网络，并不是我国自主建设的 Internet 骨干网。

而是 1986 年计算机应用技术研究所与德国卡尔斯鲁厄大学合作建设的一个国际联网项目——中国学术网（Chinese Academic Network，简称 CANET）

这封邮件的传输路径，也颇为曲折。邮件发出之后，首先通过意大利公用分组网 ITAPAC 设在北京侧的 PAD 机，跨过半个地球，进入意大利本土的 ITAPAC 主网。然后再进入德国的 DATEX―P 分组网。最终，到达卡尔斯鲁厄大学。

当时这条线路的速率仅仅只有 300bps。

不管怎么说，这封邮件还是拉开了中国互联网时代的序幕。此后，越来越多的国内高校和科研院所，开始加入到互联网的研究中，并尝试组建更大规模的计算机网络。

1994 年 4 月 20 日，NCFC 接入 Internet 的 64K 国际卫星专线正式开通（通过美国 Sprint 公司），实现了与 Internet 的全功能连接。从这一天起，中国正式迈入互联网世界的大门，被国际上承认为真正拥有全功能 Internet 的第 77 个国家。

一个月后，5 月 21 日，中科院计算机网络信息中心完成了中国国家顶级域名（CN）服务器的设置，改变了中国的 CN 顶级域名服务器一直放在国外的历史。

（中国顶级域名 CN 由钱天白教授于 1990 年 11 月 28 日代表中国正式在 SRI-NIC 正式注册登记。）

NCFC 连入 Internet 之后，中科院对它进行了进一步的扩建。

1995 年 4 月，中科院启动京外单位联网工程（简称 “百所联网”工程），目标是在北京地区已经入网的 30 多个研究所的基础上把网络扩展到全国 24 个城市，实现国内各学术机构的计算机互联，并与 Internet 互联。

1996 年 2 月，中科院做出决定，将以 NCFC 为基础发展起来的这个互联网络，正式改名为 “中国科技网（CSTNet）”。

四大IP骨干网¶

(1) 中国公用计算机互联网 CHINANET

(2) 中国教育和科研计算机网 CERNET

(3) 中国科学技术网 CSTNET

(4) 中国联通互联网 UNINET

(5) 中国网通公用互联网 CNCNET

(6) 中国国际经济贸易互联网 CIETNET

(7) 中国移动互联网 CMNET

(8) 中国长城互联网 CGWNET（建设中）：国防部，给军队专用，

(9) 中国卫星集团互联网 CSNET（建设中）

http://www1.cnic.cas.cn/xwdt/ttxw/201404/t20140419_4093684.html

中国科学技术网¶

中国科技网实在中关村地区教育与科研示范网（NCFC）和中国科学院网（CASnet）的基础上，建设和发展起来的覆盖全国范围的大型计算机网络，是我国最早建设并获得国家正式承认具有国际出口的中国四大互联网络之一。

中国科技网的服务主要包括网络通信服务，信息资源服务，超级计算服务和域名注册服务。中国科技网拥有科学数据库，科技成果，科技管理，技术资料和文献情报等特有的科技信息资源，向国内外用户特工各种科技信息服务。

中国科技网的网络中心还受国务院的委托，管理中国互联网信息中心（CNNIC），负责提供中国顶级域"CN"的注册服务。

中国教育和科研计算机网（CERNET）¶

1994 年 7 月初，由清华大学等六所高校建设的 “中国教育和科研计算机网”试验网开通，并通过 NCFC 的国际出口与 Internet 互联。

1994 年 8 月，由国家计委投资，国家教委主持的中国教育和科研计算机网（CERNET）正式立项。

1995 年 12 月，“中国教育和科研计算机网（CERNET）示范工程”建设完成。这张网，就是我们现在常说的 “教育网”（大学生读者应该比较熟悉）。

CERNET是中国第一个覆盖全国的、由国内科技人员自行设计和建设的国家级大型计算机网络。该网络由教育部主管；

由清华大学、北京大学、上海交通大学、西安交通大学、东南大学、华中理工大学、华南理工大学、北京邮电大学、东北大学和电子科技大学等十所高校承担建设，于 1995年11月建成。

全国网络中心设在清华大学，八个地区网点分别设立在北京、上海、南京、西安、广州、武汉、成都、和沈阳。CERNET是为教育、科研和国际学术交流服务的非盈利性网络。

中国金桥信息网（CHINAGBN）¶

1993 年 3 月 12 日，朱镕基副总理主持会议，提出和部署建设国家公用经济信息通信网（简称金桥工程）。

1993 年 8 月 27 日，李鹏总理批准使用 300 万美元总理预备费，支持启动金桥前期工程建设。

1994 年 6 月 8 日，金桥前期工程建设全面展开。1995 年 8 月，金桥工程初步建成，在 24 省市开通联网（卫星网），并与国际网络实现互联。

1996 年 9 月 6 日，中国金桥信息网（CHINAGBN）连入美国的 256K 专线正式开通。

中国金桥信息网宣布开始提供 Internet 服务，主要提供专线集团用户的接入和个人用户的单点上网服务。

最终，国内形成了四大骨干网的格局。正是这些网络，支撑起了中国互联网的起步。

1997 年 12 月，四大骨干网实现互联互通。此后，中国的互联网，进入了崭新的时代！

中国电信/ChinaNet¶

1994 年 9 月，就在中国迈入互联网世界后不久，中国邮电部电信总局与美国商务部签订协议，正式启动中国公用计算机互联网的建设。

这个网，就是现在大名鼎鼎的中国第一骨干网——ChinaNet。

中国邮电部在 1995 年建立了 ChinaNet（中国公用计算机互联网），也就是大家俗称的 163 网。这张网，当时是国内普通网民接入互联网的主要通道。

1995 年 1 月，根据协议约定，邮电部电信总局分别在北京、上海开通了接入美国 Internet 的 64K 专线（同样是通过美国 Sprint 公司）。北京和上海这两个节点之间，采用 2M 带宽相连。

1996 年 1 月，电信总局正式开始向全社会提供 Internet 接入服务（通过电话网、DDN 专线以及 X.25 网等方式），于1996年6月在全国正式开通。这一举动，宣告了中国互联网民用化时代的开始。

由于窄带拨号接入的入网领示号为 163，因此 ChinaNet 也被称为 163 网络（和网易的 163 没有关系）。

因为当时中国邮电还没有实行 “邮电分营”，所以这张网是邮电部电信总局负责建设和维护。1997 年，邮电部实施 “邮电分营”，这张网的责任主体，变成了 “中国电信”（老电信）。

同年，中国电信各省公司开始独立建设省内 IP 骨干网（省网）。建成之后，整个 ChinaNet 分为骨干网、省网和城域网三级结构。其中，骨干网分为核心层、汇聚层两层。

1998年7月，ChinaNet骨干网第二阶段建设开始。八个大区域的骨干带宽被扩展到155M，且所有节点路由器被替换为千兆路由器。

到了2000年的下半年，中国电信借助DWDM（波分复用）和千兆路由器技术，再次对ChinaNet进行大规模升级和扩容。网络节点间的路由中继，由155M提升到2.5Gbps，提速16倍。

截至到2000年底，ChinaNet在国内总带宽已达到800Gbps。2001年3月，ChinaNet的国际出口总带宽突破3Gbps。

从2002年开始，ChinaNet逐步进入10G时代。ChinaNet的数据传输能力，达到国际先进水平。2003年，ChinaNet进行优化整合，推行扁平化，取消省网，网络结构调整为骨干网和城域网两级。

ChinaNet 163主干网主要以202.97开头，AS4134，是电信最基础的负载网，2021年针对NTT和美国都进行了升级更新扩容。

因为ChinaNet用户量大，高峰期会策略性丢包，且有QOS策略（企业、机房用的163和家用163完全不一样的感受）

（中国电信上海最近可以千兆宽带加50元/月升级精品网，就是这种高qos的163），它的特点是：宽带大，用户量大

CN2是中国电信网络线路，全名为中国电信下一代承载网，英文为Chinatelecom Next Carrier Network，缩写为CNCN，由于是两个CN字母组成，所以简称CN2。

2004年左右，为了满足高品质业务的需求，中国电信启动了CN2网络的招标建设。2005年开始建设。

CN2，全称Chinatelecom Next Carrier Network（中国电信下一代承载网络），简称CNCN，又称CN2，刚好符合它作为中国电信第二张承载网的身份。

中国电信将CN2定位为“精品网络项目”，非常有前瞻性。后来的事实证明，CN2在抢占政企高端市场方面，确实发挥了重要作用。

CN2的基本建网特点，就是扁平化、大容量和轻载运行。建网初期的核心技术，是IP/MPLS。从架构上来看，CN2和ChinaNet有很大区别。

CN2一共是7个核心节点，分别是北京、上海、广州、南京、武汉、西安、成都。

相比老大哥ChinaNet的设备和技术都先进很多，比ChinaNet的体验更好，这些也决定了价格，一般只用于政企客户和数据中心，只有个别地区才能申请CN2家宽，如上海。在国内，CN2还是主要承载省际之间的网络互联。

为了解决境外服务器回到国内的网络拥堵问题，中国电信的CN2网络在这里起到非常关键的作用。

CN2还在香港、新加坡、东京、伦敦、法兰克福等国际大城市设立了POP节点，提供国际Internet接入和网间互联业务。

目前，CN2主要由北京出口到伦敦，上海出口到圣何塞、洛杉矶、法兰克福、东京、香港，广州出口到圣何塞、洛杉矶、新加坡、香港。

这里补充一下：AS4809即CN2的主要IP段是59.43。

目前中国电信共有两条线路接入全球互联网，分别是：163骨干网(也就是CN1)线路以及现在新建设的CN2线路；

出海的时候这两条线路是相互独立的，163骨干网(CN1)线路和CN2线路的简单区别如下：

• 163骨干网接入的是as4134带宽、CN2线路接入的是as4809带宽；
• 163骨干网是以202.97 IP地址开头的路由，而CN2线路是以59.43 IP地址开头的路由；
• 163骨干网海外出口带宽容量大，价格便宜，而CN2线路整体带宽容量较小，费用高；

CN2 GT线路：中国电信CN2产品线中的Global Transit产品，特点是：国际出口拥有单独的线路，但进入国内使用的是163出口线路；

CN2 GIA线路：也是中国电信一款比较受欢迎的产品，特点是：就是在与目标服务器的连接路由中，从国内的跨省部分就开始走CN2，无需与普通用户产生拥挤，所以线路优化的更为彻底，属于专线，拥堵更少，连接更快，干扰最小。

​ CN2 GIA拥有独立的回国线路，目前使用的用户有限，所以快速访问基本没有什么大问题；

​ CN2 GIA作为目前中外国际线路中的最高级别，是企业型和高端用户的优先选择，与其它线路相比，CN2 GIA具有独一无二的连接优势

CN2 GT：GT是Global Transit的简称，其实就是依托于ChinaNet(AS4134)和CN2网络连接全球，国内部分走ChinaNet，国际部分走CN2。

一些VPS或者服务器商家把电信链路称之为CN2 GT，一些叫CN2，其实都是一个意思，但是跟直连还是两码事，这个要搞清楚。

中国联通¶

1994年7月19日，中国联通经国务院批准，正式挂牌成立，主要经营GSM移动通信业务。随着2G向3G的演进，有了GPRS数据业务，中国联通也建设了UNINET骨干网，作为自家GPRS网络的接入点，也是面向全国提供互联网服务的载体。

因为UNINET的拨号上网接入号码为“165”，所以这个网也被称为165网。

1999年10月22日，中国网通（小网通、老网通）由中科院、广电总局、铁道部、上海市政府四方出资成立，在全国17个城市开通互联网服务。

网通也建设了一张自己的骨干网，就是“中国网通公用互联网”（CNCNET）。

此外，邮电部当年除了163网之外，在1997年还建设了一张中国公众多媒体通信网。这张网络很特别，完全独立于163网，采用私有地址10.0.0.0/8，只能国内互相访问，相当于是一张“国内局域网”。

如果需要访问163网和Internet的话，需要找专门的代理服务器跳转。

因为这张网络的接入号码为169，故又称169网。169网有一个很大的优势，就是价格便宜。当时163的使用费是每小时10元，而169只需要每小时4元。因此，169受到很多普通网民的喜爱。

2002年，国内电信行业重组，中国电信“南北分家”。北方九省一市电信公司从原中国电信剥离，与小网通、吉通合并，成立新的中国网通（大网通、新网通）。

“南电信，北网通”，于是，中国网通在既有CNCNET的基础上，得到了中国电信从163网拆出来的部分精华骨干网。为了区别于中国电信的163网，网通带走的这个网被称为“CHINA169”。

值得一提的是，当时吉通并入中国网通，CHINAGBN（中国金桥网）也随之并入CHINA169中。

2008年，中国电信业再次重组，中国联通和中国网通合并，变成新的中国联通。新的中国联通，自然而然地接管了CHINA169。

此外，网通最初的骨干网CNCNET（主要承载原网通NGN软交换、DCN等业务）也交给联通运营。这个CNCNET（自治域为AS9929，经常被称为9929网络）保持相对独立，后来被称为“联通A网”。

与之相对应的“联通B网”，就是原联通建设的IP承载网，主要承载2G/3G移动网业务的那个网。后来好像逐渐没用了，业务迁到了A网。

2018年，联通将IP承载A网改名为CUII，中国联通工业（产业）互联网。CUII的定位有点像中国电信的CN2，主要提供国际和国内跨地市MPLS-VPN和大客户互联网专线任务的承载，常用于企业宽带和IDC，极少用于家用宽带。

总之，联通主要就是“China169+CUII”的双网格局。

中国移动CMNET¶

2000年4月20日，中国移动正式成立，5月16日挂牌。

中国移动成立初期，也是主要以移动语音业务为主。后来，随着业务的发展，才逐步建设了较为完整的IP骨干网，名为CMNET（China Mobile Network，中国移动互联网），自治域为AS9808，也称9808网络。

当时，CMNET是中国移动GPRS网络的两大接入点（另一个是CMWAP）之一。通过CMNET接入点，中国移动手机用户可以接入CMNET网络，访问Internet。

CMNET为骨干网和省网两级自治域、多层结构。骨干网分为核心层、汇聚层和接入层。

北京、上海、广州3个节点为核心节点，它们与相连链路共同构成骨干核心层。骨干核心层提供大区内省份流量的交换，并负责全网与国际Internet、国内其他运营商的互联。

汇聚层负责汇接各省到骨干网的连接。南京、武汉、成都、西安、沈阳等节点为汇聚节点，负责本大区内省份流量之间的交换。

接入层负责汇聚本省省际流量和出网流量。接入节点一般双上联核心节点，部分流量较大的省份，会采用多上联。

国内和国际网间互联方面，节点都设置在北京、上海、广州。

除了CMNET之外，中国移动还有IP专用承载网，简称IP专网。当时建设这个网的主要目的，是为了承载高价值客户业务，如话音，流媒体，信令，网管，大型客户的VPN等业务。

IP专网为三层结构，分别为核心、汇聚和接入三层，采用单一自治域，目前已经延伸到国内330多个主要地市。

ISP互联¶

这一层级的网络主要由电信运营商构建，可以是网络覆盖全球的顶级运营商，也可以是覆盖某区域、某国家甚至某几个城市的中小运营商。

电信运营商在这一层级因其覆盖范围、网络能力的差异，同样形成了 Tier1-Tier3 的层级结构。

中间层网络是对基础网络的补充与加强，不会产生直接面向终端用户的新互联网应用，而是服务于互联网的应用，也可称之为叠加网络层。

该层级涉及的企业涵盖面最广，既有专营CDN 和云业务的第三方服务商，也有电信运营商和内容服务提供商，甚至经营网络基础设施的 IDC 服务提供商、软件服务提供商和硬件设备厂商也加入其中。

物理互联是互联网网络之间的物理连接方式，可以分为直接电路相联以及交换中心互联。

直接电路，顾名思义，是两个互联网网络通过彼此的互通路由器进行直接电路的连接；

交换中心是多个网络主体为连通各自网络而建立的集中交换平台，也是他们之间交换流量和资源的服务场所。

直接电路相连通常适用于较大网络之间的流量交换，交换中心互联通常适用于大网与小网，以及小网之间的小流量集中交换。

**逻辑互联**是互联网网络之间交换流量与路由信息的方式，可以分为对等互联（Peering）与转接互联（Transit）。

对等互联，指两个网络通过 IP 路由协议，相互公平地交换各自网络及其客户网络的路由可达信息，但不允许对方通过自己访问与自己建立对等互联关系的第三方网络。

对等互联通常适用于规模相当的网络之间，通常是免费模式，如全球顶级运营商 AT&T、NTT、TATA 网络间就采取了对等互联。

转接互联，指处于主导地位的网络向其他网络提供（出售）自己网络的完全路由可达信息，后者通过前者而获得互联网的通达性。与对等互联类似，转接互联也是通过 IP 路由协议实现不同网络之间的流量和路由信息交换。

但转接互联是典型的客户－提供者的商务关系，用户（通常是下游网络）购买提供者（通常是上游网络，处于主导地位）的业务，转接服务的提供者允许其客户访问自己网络中的任一目的地址，并允许其透过自己的网络访问其他网络，因此转接服务的客户方通常需要按带宽规模向提供方支付互联结算费用，如中国移动、中国联通购买了 AT&T、Verizon 等全球顶级运营商的转接服务。

主要采用分层汇接方式，纵向分为骨干网、城域网和接入网三个层级。

首先，骨干网是最顶层的省际高速网络，基础电信运营商在各省省会及主要城市设置骨干节点，并在节点间设置直联链路，共同构成骨干网。骨干网内按分层方式设置核心节点、接入节点等，但近两年骨干网分层结构日渐模糊，逐渐向单层次、网状网（full-mesh）发展。其次，骨干网之下设置省网及城域网，用于省内流量的疏导，但近年来，随着网络扁平的不断深化，大部分省网基本被取消。城域网内部架构通常采用分层星形汇接结构，一般分为两到三层，下层节点以星形汇接的方式上联至上层节点。

城域网流量经过层层汇聚后，省际流量汇聚到骨干节点后再通过骨干网疏导。最后，城域网之下设置接入网，用于宽带用户/企业接入互联网。接入网包含固定接入网和移动接入网两部分。固定接入网即宽带用户/企业通过 DSL、光纤等固定方式接入，随着光纤宽带网络建设加速实施，目前大部分用户采用光纤接入方式；移动接入网即移动用户通过基站的移动方式接入（不含 WIFI 方式），随着4G 网络大规模部署，4G 用户逐渐成为主流，

网间架构以直联为主，网间带宽接近 4T。我国基础电信运营商的公众互联网网间主要通过设置在京沪穗等13个城市的骨干直联点，以及设置在京沪穗的交换中心实现互联

全球互联网发展历程¶

在互联网网络形成之初，能够提供的网络应用非常有限，电信运营商作为基础网络层的主体，负责接入所有的互联网企业与终端用户。

在此阶段，互联网网络架构实则是基础网络层架构

少数电信运营商搭建了全球性的互联网骨干网络，他们之间通过网络两两直联，构成了全球互联网的顶层架构。

这些电信运营商也被称之为 Tier-1 级运营商或全球顶级运营商。

其他区域或地区级的电信运营商，其互联网网络主要集中在某个区域或某个国家甚至某几个城市，他们通过购买 Tier-1 级运营商的转接服务，或者通过加强彼此之间的网络对等互联，实现全球通达，这些电信运营商被称之为 Tier-2 或 Tier-3 级运营商。

而其他终端用户、互联网内容提供商、各类有上网需求的企业主要通过接入这些电信运营商的网络实现连通。

进入二十一世纪后，随着互联网跨越式的发展，新业务新应用不断涌现，互联网日渐融入到人们工作、生活中，为满足人们不断提升的互联网应用体验要求，互联网业务需要尽可能靠近用户端，也推动着互联网网络架构一方面从基础网络单层结构扩展为基础网络与应用网络的多层结构，另一方面，网络互联方式更加丰富，网络主体在多个层面广泛对等互联，推向架构逐步迈向扁平。

一是 Tier2、Tier3 级运营商积极寻找互联机会。随着 Tier2、Tier3 级运营商网络的扩张，网间流量快速增长，在高昂转接结算费的压力下，下游网络开始寻找广泛对等互联机会。根据 PCH《2016年全球对等互联调查报告》，互联协议中 99.98%属于对等互联，仅有0.02%属于购买转接服务。与此同时，低连通度网络比例正在大幅缩减，2011 年-2016 年，低连通度网络占比从 62%降至 35%，缩减近一半。

二是各类互联网企业自建网络，形成应用网络层。随着互联网内容提供商的规模扩张，业务节点的不断增加，完全依托电信运营商网络难以实现多节点内容的实时同步与便利调度，互联网内容提供商纷纷自建骨干网络。与此同时，随着互联网创新的活跃，互联网上出现了将互联网应用更便捷地推向用户终端的 CDN 服务商，提供弹性网络资源降低互联网应用开发成本的云服务提供商，他们与互联网内容提供商一样，也搭建了自有骨干网，共同构建应用网络层。

三是交换中心的出现，促进网络扁平化演进。互联网交换中心的出现，吸引了包括中小电信运营商、互联网内容提供商、学校、研究机构等网络的广泛接入。各类网络主体通过接入交换中心，实现“一点接入、多点连通”，很好地满足了他们低成本、广覆盖的互联需求，促进网络的扁平化演进。

现阶段，随着互联网应用形态的不断丰富，互联网应用创新的日益活跃，互联网网络架构的应用网络层越发壮大，大型内容提供商、CDN 和云服务提供商开始掌握网络话语权。

以 Google、微软等公司为代表的大型互联网企业开始了全面的网络基础设施布局，涉足了包括自有骨干网、海缆、宽带接入（有线、无线）、数据中心、云服务、DNS 域名解析等多个领域。

从节点来看，如 CDN 服务提供商 Akamai 在全球 100 多个国家、900 多个城市拥有超过 2500 多个节点，甚至高于全球顶级运营商的节点数量；从网络规模来看，全球互联网企业自建骨干网带宽复合增长率 70%，远超运营商骨干网带宽 39%复合增长率。

由此，大型内容提供商议价能力和互联地位大幅提升，Google、Amazon、Facebook 等都与多家 Tier1运营商实现对等互联。

应用层网络正在牵引网络流量与网络架构的变迁

互联网的流量不再完全由基础网络层的路由策略决定，应用层网络通过部署全局负载均衡（GSLB）、CDN 等方式引导自有流量。

从流量看，Akamai承载全球 30%的流量，而 Google 的网络一旦发生故障，将影响全球40%流量，这都充分说明了应用网络层对于网络的掌控力正在逐步加强。

全球互联网发展驶入快车道，流量增长不断提速。全球化背景下，区域之间、国家之间的信息往来日趋频繁。

作为数据传输和资源共享的主要载体，互联网在支撑企业跨境运营、公众跨境访问方面发挥了重要作用，其承载的数字化信息流量在加速增长。

2012 年-2016 年，全球互联网流量从 510.6 EB 攀升至 1125.6 EB，年复合增长率达到 21.9%；

预计 2017 年-2021 年，全球互联网流量将以更高的速度增长至 3200 EB 以上，这对互联网网络架构有效承载流量提出更高要求。

配合完成视频分发、提升用户体验的 CDN 网络逐渐成为互联网流量的主要载体。随着蓝光、4K、超高清等技术渐被广泛应用于各类视频服务，互联网视频业务对全球互联网流量的贡献力度正在逐年增强。

2012 年-2016 年，互联网视频业务流量在全球互联网流量中的占比从 65%上升到 73%

而 CDN 网络作为保障视频业务质量的基础，受到愈来愈多的互联网视频服务提供商的青睐，而互联网巨头倾向于自建 CDN 实现包括视频在内的多种静态自有内容的分发。

由此，CDN 对互联网流量的承载和疏导作用日益凸显，自建 CDN 成为主力军。

2012 年-2016 年，CDN 承载流量在全球互联网流量中的占比从33.7%上升到 52.0%，其中 Google、Amazon、Facebook 和 Microsoft等巨头自建 CDN 的流量占比在 2016 年达到 61%；

预计 2017 年-2021年，CDN承载流量在全球互联网流量中的占比将持续累积至70%以上，这恰好是网络掌控力转向应用网络层的例证。

不论是 Google 曾在美国试点的 GoogleFiber、搭建的浮空通信平台，还是 Google、百度、阿里、腾讯纷纷运营的公共递归 DNS，都属于互联网企业对于基础网络层业务的尝试。

而迅雷、小米等诸多互联网企业试图将CDN 的缓存节点推向用户边缘，则算是对基础网络层服务的间接替代。

ASN和BGP¶

我们已经理解同一个运营商比如中国电信的网络的流量连接。那么，如果是中国联通和中国电信的互相连接呢？

ISP 之间往往会在核心机房出连接，进行流量交换。

AS4837 中国联通 辽宁朝阳市 -> AS4837 中国联通 辽宁沈阳 -> AS4837 中国联通 北京 -> AS4134 中国电信骨干网 北京 -> AS4134 中国电信 广东广州 -> AS4134 中国电信 广东深圳

需要在 ISP 之间流量交换，也是我们跨运营商连接往往质量不如同运营商连接的原因之一。

一般大型 ISP 之间的流量阶段会因为流量不均衡，分为对等和不对等的关系。不对等的关系，往往意味着网间的流量需要在经济上进行结算。

有趣的是，根据工业和信息化部的安排，中国电信、中国联通和中国移动三大运营商以及中国教育和科研计算机网、中国科技网、中国国际经济贸易互联网、中国长城互联网等公益性网络无需向任何其他运营商支付网间结算费用

2020 年 7 月 1 日以前，中国移动须单方面向中国电信和中国联通按照最高 8 万元 / Gbps / 月支付网间结算费用

https://steinslab.io/archives/2210

跨国传输¶

跨国互联网传输，不得不请出我们的海底光缆了。

海底光缆，Submarine (Undersea) Optical Fibre Cable，又称海底通讯电缆，是用绝缘材料包裹的导线，铺设在海底，用以设立国家之间的电信传输。

比如亚太直达海底光缆，就提供了中美的网络连接能力。

亚太直达海底光缆（英语：Asia-America Gateway，简称 AAG），又称亚美国际海缆，是一条长 20,000 千米（12,000 英里）的海底通信光缆系统，通过关岛和夏威夷横跨太平洋，连接东南亚与美国大陆。这条海缆取代 2000 年启用、2016 年退役的中美海缆。

自治系统¶

更具体地说，自治系统（AS）是具有统一路由策略的巨型网络或网络群组。连接到 Internet 的每台计算机或设备都连接到一个 AS。

通常，每个 AS 由单个大型组织（例如 Internet 服务提供商（ISP）、大型企业技术公司、大学或政府机构）运营。

自治系统或自治域（英文：Autonomous system, AS）是指在互联网中，一个或多个实体管辖下的所有 IP 网络和路由器的组合，它们对互联网执行共同的路由策略。AS 必须具有一个公开且正式登记的自治系统编号（ASN）。

ASN 编号是受由互联网地址分派机构（IANA, Internet Assigned Numbers Authority）统一管理的。

每个 AS 都分配有一个官方编号或自治系统编号（ASN），类似于每个企业如何获得具有唯一官方编号的营业执照。外部各方通常仅通过编号来引用 AS。

AS 编号或 ASN 是介于 1 和 65534 之间的唯一 16 位数字或介于 131072 和 4294967294 之间的 32 位数字。

它们通过这种格式表示：AS（数字）。例如，Cloudflare 的 ASN 是 AS13335。据不完全估计，全世界有超过 90,000 个 ASN 在使用。

我们熟知的互联网是由一个又一个的自治系统 AS 组成的。我们平时可能会对设备的 IP 地址比较关注。但是，无论我们使用的家庭宽带还是机房网络，设备都会连接到 1 个 AS。我们可以这样作比喻，IP 地址就是我们具体地址的门牌号。AS 更像是我们的管辖邮局。而 ASN 更像是受到统一规定的邮政编码。

不同规模的 AS 例子，不同类型的机构都可以是作为一个 AS 存在于互联网上。

另外，每个 AS 都会控制一定数量的 IP 地址空间。这样，我们如果想要达到某一 IP 地址，就有迹可循了（之后我们会介绍 BGP）。

Internet Exchange Point (IXP)¶

Internet 交换点 (IXP) 是一个物理位置，Internet 服务提供商 (ISP) 和 CDN 等 Internet 基础设施公司通过它相互连接。这些位置位于不同网络的 “边缘”，并允许网络提供商在他们自己的网络之外共享传输。通过在 IXP 位置内部存在，公司能够缩短来自其他参与网络的传输路径，从而减少延迟，缩短往返时间，并可能降低成本。

IXP 的作用很好理解：在物理结构上，假如我们有 AS1、AS2、AS3，如果我们要形成直接的互联关系，最暴力的方式两两互联形成星型结构，然而这么做是不经济的。如果有一个专业的机房，给我们提供了一个稳定量大的集换节点，许多 AS 都去接入这家节点，我们就能很方便地和各个 AS 做直接流量交换。—— 当然，实际的接入会考虑到成本问题，可以灵活地制定和数个 AS 的流量交换策略。

IXP 工作在 OSI 网络模型第二层，协议栈和我们家用的路由器没什么两样，重点在其规模。

AS 规模和连接关系¶

考虑连接关系之前，我们还是要考虑一些技术世界外的关系。

不同 AS 之间的规模可能是不同的，那么 AS 之间的流量流入和流出可能也是不同的。这意味着，在商业关系上，AS 之间可以分为也意味着不同的结算关系。

• Tier1 级别的运营商一般是有海底光缆、覆盖大的巨型运营商，如 AS3356 Level 3，AS3491 PCCW 等。

• Tier2 Tier3 级别的运营商向下分销。这就意味着流量是和商业行为绑定的。

互联网中的自治域之间存在着商业上的竞争关系，跨自治域的流量传输遭遇质量降级甚至传输失败并不鲜见。

AS 连接关系¶

有许多对 AS 拓扑关系的研究工作。这里介绍 Caida.org 对 AS 关系的定义。

• Provider 和 Customer
• 即提供者与消费者的关系。商业关系上，是 Customer 向 Provider 付费
• Customer 为了连接更广泛的网络，会通过 Provider 访问互联网的其余部分（后文说的 Transmit）
• Customer 和 Provider
• 即消费者与提供者的关系。商业关系上，是 Provider 向 Customer 收费
• Provider 向 Customer 提供更广泛的互联网访问
• Peer 和 Peer
• 两家 AS 往往流量规模相当，他们不互相结算流量
• 这个连接关系只交换两家 AS 的内部流量

Transit¶

即我们刚才提到的 Provider 和 Customer 关系。由上层 ISP 提供向其和互联网其余部分的连接。Customer 向 Provider 付费。

Peering¶

AS 之间通过私有专线或者接入 IX 的方式，形成对等的连接。AS 之间互相的流量是对等的，所以才产生这种不结算的关系。

BGP 协议¶

边界网关协议（英语：Border Gateway Protocol，缩写：BGP）是互联网上一个核心的去中心化自治路由协议。它通过维护 IP 路由表或 “前缀” 表来实现自治系统（AS）之间的可达性，属于矢量路由协议 (wikipedia)。

我们这之前提到，AS 控制一定数量的 IP。换句话解释，BGP 会将 AS 自身的 IP 路由信息发送给邻居连接的 AS，并接受其他 AS 传递的 BGP 信息，

我们本节会对 BGP 的原理进行了解，去理解 BGP 是如何让我们全世界可达的。具体对 BGP 协议有兴趣的读者可以参阅相关的更深入的资料。

BGP 也分为 EBGP 和 IBGP。我们这里重点讨论的是 AS 之间的 EBGP（运行于不同 AS 之间的 BGP 称为 EBGP）。

接入网和接入技术¶

接入网是指将端系统连接到其边缘路由器的物理链路。边缘路由器是端系统到任何其他远程端系统的路径上的第一台路由器。

接入技术要解决的问题是如何将用户连接到各种网络上，分为两个层面：

• 一是个人用户如何连接到网络（主要指互联网）上

• 二是单位的局域网如何连接到 Internet 以及分公司网络与总公司网络的连接，即网络之间的相互连接问题。

用户要访问互联网有两种途径，一种是用户计算机连接到单位的局域网上，假设单位的局域网已经是与互联网连通的，此时用户可以通过单位的局域网来访问互联网。

另一种是用户计算机连接到某个 ISP（Internet Service Provider，互联网服务提供商），直接访问互联网。

用户计算机连接到某个 ISP（Internet Service Provider，互联网服务提供商），直接访问互联网。

PPP（Point-to-Point Protocol）协议是一种点到点的链路层协议，主要用于在全双工的同异步链路上进行点到点的数据传输。

PPP（Point to Point Protocol），即点对点的协议，它是一种数据链路层协议。

它为在廉价的线路（RS232 串口链路、电话 ISDN 线路等）上传输 OSI 模型中的网络层报文提供了一种有效的方法。人们早期通过拨号上网就是使用了这种技术。

PPP链路的建立有三个阶段的协商过程，链路层协商、认证协商（可选）和网络层协商

严格地说，PPP 不是一个协议，而是一个协议族，它包含了

• LCP（Link Control Protocol，链路控制协议）：用来建立、拆除和监控数据链路。
• NCP（Network Control Protocol，网络控制协议）：用来协商在数据链路上所传输的网络层报文的一些属性和类型。
• PAP（Password Authentication Protocol，密码认证协议）
• CHAP（Challenge Handshake Authentication Protocol，询问握手认证协议）等有关协议

ASDL

ADSL（Asymmetric Digital Subscriber Line， 非对称数字用户线路）是 xDSL 家族（ADSL、VDSL、HDSL 等）中的一员，因为 ADSL 技术提供的上行带宽和下行带宽不对称（不相等），因此称为非对称数字用户线路。

ADSL 利用分布广泛的公共电话线路来为用户提供互联网服务，在用户电话进线处用一个分离器将电话线一分为二，一边连接用户的电话机，另一边连接一个 ADSL Modem（俗称"猫"）的终端设备。

在 ADSL Modem 上通过双绞线连接计算机，用户通过拨号方式来访问互联网。

ADSL 采用频分复用（FDM）技术把普通的电话线分成了三个独立的信道，即语音信道、上行信道和下行信道。

语音信道用于传输电话语音，上行信道和下行信道用于传输上网的数据，三个信道不会相互干扰，这样就解决了 PPP 拨号方式下打电话和上网不能同时进行的问题。

理论上，ADSL 可在 5km 的范围内，在一对铜缆双绞线上提供最高 1Mbps 的上行速率和最高 8Mbps 的下行速率，能同时提供话音和数据业务。

一般来说，ADSL 速率完全取决于线路的距离，线路越长，速率越低。 ADSL 技术能够充分利用现有公共交换电话网的线路资源，只需要在线路两端加装 ADSL 设备即可为用户提供较好的宽带服务，无须重新布线，从而可极大地降低建设成本。

因此，ADSL技术在居民宽带接入中得到了广泛的应用，为互联网的推广和普及起到了极大的推动作用。

最新的 ADSL2+技术可以提供最高 24Mbps 的下行速率，和第一代 ADADSL2+打破了 ADSL 接入方式带宽限制的瓶颈，在速率、距离、稳定性、功率控制、维护管理等方面进行了改进，其应用范围更加广阔。

FTTB/FTTO/FTTH/FTTR

随着互联网的发展，人们对多媒体音视频的使用已非常普遍，高清图像和视频的传输需要大的带宽线路。

但传统的 ADSL 只能提供最高理论值为 8Mbps 的下载带宽，这个带宽是永远不会改变的，而且在实际使用过程中，由于普通电话线路噪声的影响，很难达到 8Mbps 的理想带宽。

然，传统的 ADSL 技术已不能满足用户对上网带宽的需求，迫切需要一种新的技术来取代传统的电话线路。

FTTx是**光纤到x（Fiber To The x）**，它是光纤通信中光纤接入的总称，x代表光纤线路的目的地。

如 x = H(Fiber to the Home)光纤到户，x = O(Fiber to the Office)光纤到办公室，x = B(Fiber to the Building) 光纤到楼。

FTTx技术范围从区域电信机房的局端设备到用户终端设备，包括：

• 光线路终端OLT（Optical Line Terminal）
• 光网络单元ONU（Optical Network Unit）
• 光网络终端ONT（Optical Network Terminal）

根据光网络单元ONU在用户端的位置不同，FTTx有多种类型，可分成

• 光纤到交换箱（FTTCab）

• 光纤到路边（FTTC）

• 光纤到大楼（FTTB）

"B"代表"Building"，即光纤到楼宇。FTTB通常将光纤引入多户住宅楼宇或商业大厦，而不是单一住宅。在这种情况下，光纤通常到达建筑物内的一个中心位置，然后通过内部布线将互联网服务传送到各个单位。

• 光纤到户（FTTH）

"H"代表"Home"，即光纤到户。这种情况下，光纤被铺设到用户的家庭内，通常调制解调器或光纤终端设备被安装在用户的家中，以提供互联网服务。FTTH适用于个人家庭，服务范围覆盖整个家庭。

• 光纤到办公室（FTTO）

• 光纤到桌子（FTTD）

"D"代表"Desk"，即光纤到桌子。这种应用通常见于企业环境，光纤被铺设到每个工作台，以提供高速网络连接。

等服务形态。美国运营商Verizon将FTTB及FTTH合称光纤到驻地（FTTP）。

由于光传输技术的极大进步，以及光纤制造成本的大幅下降，使得大面积的光纤布线成为可能。

同时，国家为实现互联网战略，在全国各大中小城市积极实施"光进铜退"工程，各大运营商将光纤铺设到了城市的每一栋楼内，即所谓的光纤到楼（Fiber to The Building，FTTB），很多地方已实现了光纤到户（Fiber to The Home，FTTH）

从而取代基于铜线的传统公共电话网。**千兆光纤入户**的方案正在受到运营商的关注。

FTTB 采用的是专线接入，光纤直接通到大楼，再用双绞线接到用户的计算机上，用户上网无须拨号，使用起来与单位的局域网用户是一样的。

FTTH 是光纤直接通到用户家中，连接到一个称为"光猫"的用户终端设备上，在"光猫"的 LAN 口上连一条双绞线到用户的计算机上，再通过与 ADSL 一样的拨号方式上网。

CPE的全称叫做 Customer Premise Equipment，业内喜欢称之为"客户终端设备"。其实，Premise有"前提、假设"的意思，更准确的翻译应该是"客户前置设备"

所谓"前置"，是指它总是站在用户设备的"前面"。它的作用，是将移动通信信号（4G、5G等）或有线宽带信号，转换成本地局域网信号，供用户设备使用。

CPE，即**用户终端设备，通常是指安装在用户地点，如家庭或企业中，由互联网服务提供商(ISP)管理的设备**。

CPE可能包括各种类型的设备，例如调制解调器(Modem)、网关、无线接入点(WAP)甚至是一些特定的网络终端设备，其核心目的是为用户提供网络接入服务。

从本质上来说，光猫属于CPE的一种。 光猫和5G CPE的区别在于，光猫向上连接的是运营商光纤接入网设备，而5G CPE连接的是5G基站。

目前5G CPE产品，使用的都是和5G手机相同或类似的5G芯片，它拥有强大的5G接入能力，支持SA/NSA组网，兼容4G/5G信号。

5G CPE，属于一种5G终端设备。它接收运营商基站发出的5G信号，然后转换成Wi-Fi信号或有线信号，让更多本地设备（手机、平板、电脑）上网。

可以说，5G CPE就是一个加强版"光猫"。5G CPE的优势，就是移动性和灵活性。

与常规“光猫”只能固定在一处使用不同，5G CPE可以"移动"。凡是有5G信号的地方，都可以使用5G CPE。

例如，当我们一家人去郊区别墅度假时，可以使用5G CPE，架设一个Wi-Fi 6高速热点，让家庭成员们都能够上网，分享游玩的视频。

再比如，当公司外出举办活动或参加展会时，可以使用5G CPE，方便员工和客户上网。甚至你要去摆地摊，也可以带上CPE，相当于带了一根光纤宽带在身边。

传统的“光纤宽带”，开通起来还算比较容易，去营业厅办理套餐，就能开通。但取消就麻烦多了。现在的宽带业务，基本上都有协议期，协议期没结束，就不能随意停机。

5G CPE体积大，天线增益更强，功率更高，信号收发能力比手机更强，所以还经常被用于各种外场5G场景测试。

简而言之，5G CPE融合了Wi-Fi的低成本，还有5G的大带宽，将两者的优势结合，形成对传统光纤宽带的有力补充。

除了上网之外，5G CPE未来还会充当家庭智能网关的作用。

一直以来，家用路由器市场都是众多厂商的竞争焦点。不是因为路由器赚钱，而是因为它是全家网络流量的出入口，也是家庭数字应用的基础平台。

5G CPE，扮演着和路由器同样的角色，它将是未来5G家庭的“智慧网关”，更是全家智能生活的支点。

用户通过5G CPE，可以控制家中的多种智能设备，在实现万物互联的同时，显著提高了家庭成员的生活体验。

https://36kr.com/p/2172154926737923

**无源光网络PON(Passive Optical Network)技术**是最新发展的点到多点的光纤接入技术。

PON是一种纯介质网络，利用光纤实现数据、语音和视频的全业务接入。

无源光网络是指利用**点对多点拓扑**和**分光器**将数据从单个传输点传送到多个用户端点的光纤网络，与 AON 相比，多个客户通过光纤分支树和无源分路器/合路器单元连接到单个收发器，完全在光域中运行，在 PON 架构中没有电源。

PON 是指（服务提供商的中心局）局端的 OLT（光线路终端）设备**和（终端用户）客户端的 **ONU（光网络单元）设备，以及连接 OLT 和 ONU 的 ODN（光分配网络）全部采用无源设备的光接入网络。

• OLT是放置在局端的终结PON协议的汇聚设备。
• ODN是一个连接OLT和ONU的无源设备，它的功能是分发下行数据，并集中上行数据。
• ONU是位于客户侧的给用户提供各种接口的用户侧终端。

在PON中，OLT到ONU的数据传输方向称之为下行方向，反之为上行方向。上下行方向数据传输原理是不同的：

• 下行方向：OLT采用广播方式，将IP数据、语音、视频等多种业务，通过1:N无源光分路器分配到所有ONU单元。当数据信号到达ONU时，ONU根据OLT分配的逻辑标识，在物理层上做判断，接收给它自己的数据帧，丢弃那些给其它ONU的数据帧。
• 上行方向：来自各个ONU的多种业务信息，采用时分多址接入TDMA(Time Division Multiple Access)技术，分时隙互不干扰地通过1:N无源光分路器耦合到同一根光纤，最终送到OLT。

因此，设备上的PON接口亦称之为PON上行接口。

PON 有 EPON 和 GPON 两种技术。IEEE 802.3ah工作组制定了Ethernet PON(EPON)标准，ITU/FSAN制定了Gigabit PON(GPON)标准。

• EPON（以太网无源光网络） 采用 IEEE 802.3 标准，采用以太网格式封装，技术简单，成本较低；

可提供上、下行对称的1.25Gbit/s线路传输速率，实现一个点到多点结构的吉比特以太网光纤接入系统。EPON属于IEEE以太网标准的范围，对于向全IP网络过渡是一个很好的选择。

• GPON（千兆无源光网络） 由 ITU-T 标准化，采用 GEM 封装，技术复杂，成本较高。

在EFM提出EPON概念的同时，ITU/FSAN又提出了GPON，并对其进行了标准化，其技术特色是在二层采用ITU-T定义的通用成帧规程GFP（Generic Framing Procedure）对Ethernet、TDM、ATM等多种业务进行封装映射，能提供1.25Gbit/s和2.5Gbit/s下行速率，和155Mbit/s、622Mbit/s、1.25Gbit/s、2.5Gbit/s几种上行速率，并具有较强的OAM功能。当前在高速率和支持多业务方面，GPON有优势，但技术的复杂和成本目前要高于EPON，产品的成熟性也逊于EPON。

近年来，PON承载由于其具备长距离传输、高QoS保证和高带宽性能等优势，已经逐渐成为下一代接入网的主流承载技术。

EPON 和 GPON 两者虽然都是无源光网络，但采用的是不同的标准体系。由于 GPON 的技术更先进，随着制造成本的下降，GPON 是今后的发展主流。

光线路终端 (OLT)¶

OLT是无源光网络的起点，它通过以太网电缆连接到核心交换机。

OLT 的主要功能是为 PON 网络转换、帧和传输信号，并协调光网络终端复用以共享上行传输。

OLT设备一般包含机架、CSM（Control and Switch Module）、ELM（EPON Link Module，PON卡）、冗余保护-48V直流电源模块或1个110/220V交流电源模块、风扇。

在这些部分中，PON卡和电源支持热插拔，同时内置另一个模块，OLT 有两个浮动方向：上游（从用户那里分配不同类型的数据和语音流量）和**下游**（获取数据、语音、

OLT 是放在 ISP 数据机房的连接设备，也称为 OLT 交换机，一般直接连在 BRAS 下，一个 OLT 通过分光器可以挂多个 ONU。

它的功能包括一方面将承载各种业务的信号在局端进行汇聚后向终端用户传输，另一方面将来自终端用户的信号按照业务类型分别送入各种业务网中，它是 PON 的核心部分。

光网络单元（ONU）/光网络终端（ONT）¶

ONU 将通过光纤传输的光信号转换为电信号。然后将这些电信号发送给各个订户。

通常，ONU 和最终用户的住所之间有一段距离或其他接入网络，此外，ONU 可以发送、聚合和整理来自客户的不同类型的数据，并将其向上发送到 OLT。

整理是优化和重组数据流的过程，以便更有效地交付，OLT 支持带宽分配，允许平滑地将数据浮动传输到 OLT，这些数据通常以突发的形式从客户到达，ONU 可以通过多种方式和电缆类型连接，如双绞铜线、同轴电缆、光纤或通过 Wi-Fi。

最终用户设备也可以称为光网络终端 (ONT)，其实ONT本质上和ONU是一样的，ONT 是 ITU-T 术语，而 ONU 是 IEEE 术语，属于不同的标准体，都是指GEPON系统中的用户侧设备，但在实践中，ONT和ONU根据它们的位置有一点区别。

ONT是光网络终端，应用于最终用户，俗称光猫。ONU是指光网络单元，它与最终用户之间可能还有其他网络。

举个简单的例子，比如在一个小区里面，ONT是直接放在用户家中的设备，而ONU可能就是放置在楼道中，各个用户通过交换机等设备连接至ONU。

ONT（Optical Network Terminal）即光网络终端，俗称光猫，是接入网络中为家庭用户提供网络的设备，可以提供高速上网、IPTV、语音、WiFi等业务。

ONU设备是指光网络单元（Optical Network Unit）设备，它是一种用于光纤网络接入的终端设备。

ONU设备常见于光纤到户（FTTH）网络中，它充当光纤网络与用户设备之间的桥梁，实现光纤信号的解析和转换，以便用户设备能够与光纤网络进行通信。

ONU设备通常包含一个光学接口，用于接收来自光纤网络的光信号，并将其转换为电信号供用户设备使用。

ONU设备还提供一个或多个用户接口，用于连接用户设备，如计算机、路由器、电话等。通过这些用户接口，用户设备可以通过ONU设备与光纤网络进行通信，实现高速、稳定的网络接入。

ONU 是放置在客户端的光网络连接设备，现在运营商提供的光纤入户业务中，家庭用户终端设备使用的“光猫”就是一种 ONU。

它的一端通过光纤连接到 ISP 运营商，另一端通过电口（双绞线）连接到用户计算机。

图 7-5 所示是一款“光猫”实物图，左边是连接光纤的接口，标记为 POTS 的端口可以连接电话机，LAN 口可连接计算机。有的 ONU 设备上还有 CATV（电视）接口。

桥接型ONT仅负责透传，为用户提供上网和IPTV通道，在用户设备如路由器或者PC上拨号成功后才可以连网。部分桥接ONT还支持语音功能，可以连接电话机。

桥接型ONT如果下游连接一个无线路由器，就可以无线上网了。

网关型ONT相比桥接型ONT来说，它可以实现路由转发自动分配IP地址，无需用户自己拨号即可连网。部分网关型ONT还自带双频WiFi（2.4G Hz & 5G Hz），可提供无线网络。

智能ONT与传统ONT最大的差别在于，它可以与传感器（门磁/烟雾/水浸/红外报警器等）配套使用，提供实时视频监控、智能提速、家居控制等新功能，结合云平台和智慧家APP还可实现智能家居的远程控制。

融合网关主要是将STB功能（iTV）集成到网关ONT上，减少盒子的数量，安装化繁为简，并且支持4K视频，它主要用于酒店场景，一站式解决Wi-Fi覆盖和视频体验。

10G PON ONT的用户侧速率可达千兆，不仅可以满足家庭用户的4K/8K高清视频、AR/VR、家庭云，视频通话等高带宽业务，还可提供高达万兆的专线接入业务。

ODN 位于 OLT 和 ONU 之间，为 OLT 和 ONU 提供光传输手段，完成光信号在传输过程中的分配任务。

它不是单独的一个设备，而是包括了光纤、光纤配线架、光交接箱、光分线盒、光分路器、光转接头和尾纤等一系列设备。

简单地说，就是把 OLT 和众多 ONU 连接起来的中间设施，是运营商光网络的最基础部分。

ODN 是无源的，所谓无源就是不需要供电，无须担心因停电而造成网络中断，只要保证中心机房设备正常工作即可，因此对运营商来说是非常省事的。

FTTH 的优点主要有：

第一，它是无源网络，从局端到用户，中间基本可以做到无源，对运营商来说维护非常简单；

第二，传输介质采用的是光纤，因此传输距离远，适合于大规模部署；

第三，从理论上来讲，单模光缆的带宽可以做到无穷大，也就是说单模光缆的带宽可以是无限的，因此不再有 ADSL 的带宽限制；

第四，FTTH 的上行数据带宽和下行数据带宽是相等的，不存在 ADSL 中的非对称情况。

ONT就是我们俗称的光猫，分为

• SFU（SingleFamilyUnit，单个家庭用户单元）
• HGU（HomeGatewayUnit，家庭网关单元）
• SBU（SingleBusinessUnit，单个商业用户单元）

SFU一般具有1～4个以太网接口、1～2个固定电话接口，有的型号还具有有线电视接口。

SFU不带家庭网关功能，需通过以太网口连接的终端才能拨号上网，远端管理功能弱。FTTH早期使用的光猫属于SFU，目前已很少使用。

近几年开通的FTTH用户配备的光猫均为HGU。相对于SFU，HGU具有如下优点：

（1）HGU属于网关设备，便于家庭内部组网；而SFU则是一个透传设备，不具备网关能力，在家庭组网时一般需要如家用路由器的网关类设备配合。

（2）HGU支持路由模式，具备NAT功能，是一个三层设备；而SFU型仅支持二层桥接模式，相当于一个二层交换机。

（3）HGU可以实现自身宽带拨号应用，下挂的电脑、移动终端等可以不拨号直接上网；而SFU则必须由用户电脑等终端或家用路由器拨号上网。

（4）HGU更易于大规模运维管理。HGU通常自带wifi，并带有USB接口。

SBU主要用于FTTO用户的接入，一般具有以太网接口，有些型号具有E1接口、固定电话接口，或带wifi功能示。

相对于SFU和HGU，SBU的电气防护性能更好、稳定性更高，也常用于室外如视频监控等场合。

ONU分为MDU（Multi-DwellingUnit，多住户单元）和MTU（Multi-TenantUnit，多租户单元）

MDU主要应用于FTTB应用类型下的多个住宅用户的接入，一般具有至少4个用户侧接口，通常具有8路、16路、24路FE或FE+POTS（固定电话）接口。

PPPoE协议¶

PPP 协议是为串行通信设计的，它具有身份认证和计费等优点，但它是窄带技术，带宽非常有限。

而以太网技术发展迅猛，尤其是快速以太网的广泛应用为用户提供了更大的带宽，但在传统的以太网模型中，并不存在所谓的用户计费的概念。

因此，如何解决高带宽和用户控制管理之间的矛盾是运营商迫切需要解决的问题。

IETF 的工程师们提出了在以太网上传送 PPP 数据包的思想，即 PPPoE 协议（Point to Point Protocol over Ethernet）。

它是在以太网络中传输 PPP 帧信息的技术，它将 PPP 与以太网的优点结合在一起，从而有效地解决了带宽与用户控制管理之间的矛盾，极高的性价比使 PPPoE 在 ADSL、FTTH 等宽带应用中被广泛采用，为推动互联网的发展起到了巨大的作用。

PPPoE 协议使用 Client/Server 模型，PPPoE 的客户端为 PPPoE Client，PPPoE 的服务器端为 PPPoE Server。

PPPoE Client 向 PPPoE Server 发起连接请求，两者之间会话协商通过后，PPPoE Server 向 PPPoE Client 提供接入控制、认证等功能。

PPPoE（PPP over Ethernet）协议是一种把PPP帧封装到以太网帧中的链路层协议。PPPoE可以使以太网网络中的多台主机连接到远端的宽带接入服务器。

现在宽带默认是由光猫进行拨号上网，也叫路由模式。这样的优点是比较稳定，缺点是多设备使用就逊色一些。这种方式做到了插上即用，适合大多数人，也是现在网络运营商装维人员的默认安装方法。

运营商喜欢路由模式主要有两个原因：

• 免去用户配置路由器的麻烦和问题，节省装维用人成本。同样数量的用户，装维人员比原来少一大半。
• 路由模式方便控制终端。比如限制接入数量、并发上限，屏蔽端口、应用，乃至智能路由、负载均衡。这方面最成熟的就是上海 SDN 云宽带。

在路由模式下，光猫除了完成光电转换外，还完成了路由器的功能，实现PPPOE拨号、NAT地址转换等。家庭无线路由器直接插在光猫宽带上网端口，通过自动获取IP地址的方式上网，这是光猫的默认模式。

目前默认的都是路由模式，但最早期的光猫都是桥接模式，因为光猫无WIFI，无路由器则无WIFI，后来变为带WIFI的光猫，IPTV的推出，宽带速率逐步提高，也是顺应时代的发展，逐步更新换代，让我们真正体验光的速度。

缺点

• 光猫的路由功能、无线速率低，而且大部分的光猫只能支持802.11n无线标准，也就是支持单频2.4G频段，单频2.4G无线接入的速率低。

同时也不能满足家庭的有线联网设备的接口数量。如果对网速要求较高，比如玩大型游戏，下载高清视频等，自带无线WIFI不能满足需求，需要外接路由器。

在国内早期的互联网环境中，运营商甚至坚称：一台电脑接一条宽带线，这样才能享受到最好的宽带服务。

由一用户向运营商申请一条宽带上网线路，然后利用路由器(或开启MODEM的路由功能)、交换机、集线器等网络共享设备以达到多户人家同时共用一条宽带上网线路上网的行为。

直到今日，国内众多高校依旧对校园网络共享行为进行严格限制：

• 对每人接入校园网络的设备数量进行限制
• 如果存在接入路由器并存在多人使用时，将采取断网、封禁等惩罚措施

**存活时间（英语：Time To Live，简写TTL）**是电脑网络技术的一个术语，指一个数据包在经过一个路由器时，可传递的最长距离（跃点数）。 每当数据包经过一个路由器时，其存活次数就会被减一。

当其存活次数为0时，路由器便会取消该数据包转发，IP网络的话，会向原数据包的发出者发送一个ICMP TTL数据包以告知跃点数超限。 其设计目的是防止数据包因不正确的路由表等原因造成的无限循环而无法送达及耗尽网络资源。

检测TTL 是最简单的多设备检测方式，因为 TTL 每过一个路由值都会 -1，所以只需要抓包然后读出我们的包头里面的 TTL 值是否是一般情况下系统默认的 128 或者 64 就可以判断我们是否共享了网络。

但在 OpenWRT 中我们可以简单的通过添加 iptables 或者 nftables 防火墙规则来实现路由器下所有设备 TTL 值的统一。

这是一个比较有效且合理的检测技术，IPv4数据包下存在 TTL（Time To Live）这一字段，数据包每经过一个路由器（即经过一个网段），该TTL值就会减一。

不同的操作系统的默认 TTL 值是不同的，Windows 是 128， macOS/iOS、Linux 是 64。

因此如果我们自己接入路由器到校园网，我们的通过路由器的数据包会变为 127 或 63，一旦校园网抓包检测到这种数据包TTL不是128或64，就会判定为用户接入了路由器。

光猫工作在桥接模式下，相当"网桥"的功能，需要家庭无线路由器PPPOE拨号，才能连接到互联网。

OSI参考模型¶

国际标准化组织ISO为了使网络应用更为普及，推出了OSI参考模型，即开放式系统互联（Open System Interconnect）模型，一般都叫OSI参考模型。

OSI参考模型是ISO组织在1985年发布的网络互连模型，其含义就是为所有公司使用一个统一的规范来控制网络，这样所有公司遵循相同的通信规范，网络就能互联互通了。

OSI模型的七层框架¶

OSI模型定义了网络互连的七层框架（物理层、数据链路层、网络层、传输层、会话层、表示层、应用层）。每一层实现各自的功能和协议，并完成与相邻层的接口通信。

OSI模型各层的通信协议，大致举例如下表所示：

表：OSI模型各层的通信协议举例

TCP/IP 协议体系结构模型¶

TCP/IP包含了一系列的协议，也叫TCP/IP协议族（TCP/IP Protocol Suite，或TCP/IP Protocols），简称TCP/IP。

TCP/IP协议族提供了点对点的连结机制，并且将传输数据帧的封装、寻址、传输、路由以及接收方式，都予以标准化。

TCP/IP协议是Internet互联网最基本的协议，其在一定程度上参考了七层ISO模型。但是这显然是有些复杂的，所以在TCP/IP协议中，七层被简化为了五层。

TCP/IP模型中的各种协议，依其功能不同，被分别归属到这四层之中，常被视为是简化过后的七层OSI模型。

数据的封装与解封装¶

• 应用数据需要**经过每一层处理**之后才能通过网络传输到目的端。

• 数据封装：逐层向下传递数据，并添加报头和报尾的过程为**封装（封包）**

• 数据解封装：反之，接收方需要**逐层向上**传递数据，称为**解封（拆包）**

• OSI 把每一层数据称为 PDU（Protocol Data Unit，协议数据单元）

• TCP/IP

类比，就是由两个对象的某些相同或相似的性质，推断它们在其他性质上也有可能相同或相似的一种推理形式。

原子核模型是通过类比太阳系获得的，锯是鲁班类比茅草划伤手指获得的，电脑的CPU就像人的大脑；你为什么不结婚，你为什么不上清华大学；这些都是类比。

类比利用新知识和旧知识之间的相似性，将旧知识的特性映射到新知识上，降低了学习新知识的难度。

类比是思维的梯子，它是旧知识和新知识之间的桥梁。类比使得你不需要从头向新知识上爬，而可以借助类比这个梯子，从旧知识爬到新知识上，减少了认知难度和时间

这种用类比来解释问题往往就会面临『十个类比九个错』的尴尬局面，如果别人用类比回答你的为什么，你需要仔细想一想它的类比里究竟哪里有漏洞；

类比带来的解释往往只能有片面的相似性，我们永远也无法找到绝对正确的类比，它只在我们想要通俗易懂地展示事物的特性时才能发挥较大的作用。——出自《为什么 TCP 建立连接需要三次握手》

我认为上面这段文字非常精髓的把在技术中使用比喻的优缺点都说到了，用比喻的话能够更快的让不懂这个技术的人较快的大概明白这个东西某一方面的特性或作用，但几乎所有比喻都不是完美的呈现事务本来面貌的，毕竟用生活中的东西和技术上的知识本来就属于两个差别比较大的不同范畴，不可能找到完全一样的事务做出完美的比喻，比喻后几乎一定会产生一定程度上的误导，笔记中既有严禁定义又使用了比喻是希望能更快的使读者对技术某一方面有更快更直观的理解，但希望看过比喻大概了解了一个技术后一定要去看该部分中更为严谨的描述，以便能够真正确切的掌握一个技术而不是仅仅对技术有个模糊且有一定偏差的印象，这不仅是对自己负责，也是今后靠技术吃饭拿到一定薪酬的保证。

物理层¶

所谓的物理层，是指光纤、电缆或者电磁波等真实存在的物理媒介。这些媒介可以传送物理信号，比如亮度、电压或者振幅。

物理层要考虑的是怎样才能在连接各种计算机的传输媒介上传输比特流，物理层为数据链路层提供了底层的物理环境支撑。

对于数字应用来说，我们只需要两种物理信号来分别表示0和1，比如用高电压表示1，低电压表示0，就构成了简单的物理层协议。针对某种媒介，电脑可以有相应的接口，用来接收物理信号，并解读成为0/1序列。

在计算机网络中，用来连接各种网络设备的传输媒体种类众多。

传输媒体**也称为传输介质或传输媒介，它就是数据传输系统中在发送器和接收器之间的物理通路。一类是**导引型传输媒体，另一类是**非导引型传输媒体**。

• 在**导引型传输媒体**中，常见的有同轴电缆、双绞线、光纤、电力线。

• 在**非导引型传输媒体**中，常见的是无线电波、微波、红外线，可见光。例如使用2.4G赫兹和5.8G赫兹频段的WiFi。

计算机网络体系结构中的物理层，就是要解决在各种传输媒体上传输比特0和1的问题，进而给数据链路层提供**透明**传输比特流的服务。

所谓透明，是指数据链路层看不见，也无需看见物理层究竟使用的是什么方法来传输比特0和1的，他只享受物理层提供的比特流传输服务即可。

"物理层" 概念 : 各种计算机通过**传输媒体**连接 , 物理层负责解决在**传输媒体**上传输数据比特流 。传输媒体不属于计算机网络体系结构的任何一层。如果非要将它添加到体系结构中，那只能将其放置到物理层之下。

• 机械特性 : 定义物理连接特性 , 包括 采用的规格 , 接口形状 , 引线数目 , 排列情况 , 引脚数量 ;

​ 引脚排列示例 : 水晶头的引脚排列情况 , 插座的间距规格等 ;

• 电气特性 : 传输二进制时 , 传输信号的 电压范围 , 阻抗匹配 , 传输速率 , 距离限制 ;

​ 电压范围示例 : 规定信号电平 +10V ~ +15V 表示二进制数据 0 , 信号电平 -10V ~ -15V 表示二进制数据 1 ;

​ 电缆长度示例 : 路由器 到 主机间的电缆长度必须在 20 米以内 ;

功能特性 : 描述电平的意义 , 接口部件信号线用途 ;

• 电平意义示例 : 描述当一个接口的引脚处于高电平的含义 ;
• 注意与 电气特性 区分 : 电气特性是描述 根据 电压 得到 电平 , 功能特性是指 电平的意义 ;

编码与调制¶

在计算机网络中，常见的是将数字基带信号通过**编码或调制**的方法在相应信道进行传输

不归零编码

归零编码

曼彻斯特编码

曼彻斯特编码是一种双相码。可以用高电平到低电平的转换边表示"0"，而用低电平到高电平的转换边表示"1"，相反的表示也是允许的。比特中间的电平转换边既表示了数据代码，同时也作为定时信号使用。曼彻斯特编码使用在低速以太网中。

曼彻斯特编码中的每个比特位需要两次信号变化，因此编码效率只有50%，所以数据速率是波特率的一半。

差分曼彻斯特编码

差分码又称相对码，在差分码中利用电平是否跳变来分别表示"1"或"0"，分为**传号差分码和空号差分码**。

• **传号差分码**是当输入数据为"1"时，编码波型相对于前一代码电平产生跳变；输入为"0"时，波型不产生跳变。

• **空号差分码**是当输入数据为"0"时，编码波型相对于前一代码电平产生跳变；输入为"1"时，波型不产生跳变。

**差分曼彻斯特编码**兼有差分码和曼彻斯特编码的特点，与曼彻斯特编码不同的是，这种码元中间的电平转换边只作为定时信号，而不表示数据。差分曼彻斯特编码用在令牌环网中.

数字信号转换为模拟信号，在模拟信道中传输，例如WiFi，采用补码键控CCK/直接序列扩频DSSS/正交频分复用OFDM等**调制**方式。

模拟信号转换为另一种模拟信号，在模拟信道中传输，例如，语音数据加载到模拟的载波信号中传输。频分复用FDM技术，充分利用带宽资源。

常见传输介质和网络设备¶

双绞线/同轴电缆/网线¶

网线应该是一个统称的概念，准确说应该包含双绞线、光缆、同轴电缆等。

**同轴电缆**一般用于早期以太网，传输速度通常在 10Mbps 以内。当然粗缆是可以到 1-2Gbps 的速度，不过现在几乎被我们接下来要说到的网线给取代了。

内导体同质心线，可以是单股实心线，或者是多股的角和线。绝缘层、网状编织的外导体屏蔽层、绝缘保护套层。同轴电缆的横切面可以看出各层都是共圆心的，也就是同轴心的。这就是同轴电缆名称的由来。

同轴电缆有两类，一类是50欧阻抗的基带同轴电缆，用于数字传输，在早期局域网中广泛使用。

另一类是75欧阻抗的宽带同轴电缆，用于模拟传输，目前主要用于有线电视的入户线。同轴电缆价格较贵，且布线不够灵活和方便，随着集线器的出现，在局域网领域，双绞线取代了同轴电缆。

我们口语上经常说的网线实际上是双绞线，市面上的网线通常为八芯双绞线，传输距离建议不超过一百米。

双绞线采用了一对互相绝缘的金属导线对绞的方式来抵御频率小于25MHz以下电磁波干扰。

把两根绝缘的铜导线按一定密度互相绞在一起，可以降低信号干扰的程度，每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消。

“双绞线”的名字也是由此而来。但是在常规的企业应用、家庭应用中光缆和同轴电缆用量很少，所以大家都把双绞线默认为网线了。

双绞线从大类上可以分为屏蔽双绞线、非屏蔽双绞线

• 屏蔽双绞线（Shielded Twisted Pair，STP）有一层或几层屏蔽层，在数据传输时可减少电磁干扰，所以它的稳定性较高，主要用在干扰比较大的地方。

• 非屏蔽双绞线（Unshielded Twisted Pair，UTP）没有那一层铝箔屏蔽层。市面上主流的常用的都是非屏蔽网线。价格更低、直径更小、重量更轻、易安装、易弯曲，但抗干扰性相对弱一些，在大多数环境中使用广泛。

常见的网线标准有五类线、超五类线、六类线、超六类线和七类线这五种标准。不同标准传输速率不同，但是都不建议超过 100 米。

双绞线的绞合度是不一样的，而且八根芯的颜色也不一样，常见网线标准之间的区分就是绞合度、铜芯粗细、有无龙骨、有无屏蔽层等。

其实这八根芯的颜色排列也是有讲究的，在我们线缆制作中会有线序的说法，下面就是两种线序标准：

• 直通线：两头都是568B标准， 两端线序相同，用于不同设备之间互连，比如电脑和路由器。
• 交叉线：一头是568A，而另一头是568B， 两端线序不同，用来同种设备之间互连，比如电脑与电脑。

现网设备接口都支持自适应功能，可以自动翻转线序，不管是直通线还是交叉线可以随意使用，目前使用的基本都是直通线。但在认证考试中要注意。

以太网线缆标准¶

从以太网诞生到目前为止，成熟应用的以太网物理层标准主要有以下几种：

10兆以太网线缆标准¶

10兆以太网线缆标准在IEEE802.3中定义，线缆类型如下表所示。

100兆以太网线缆标准¶

100兆以太网又叫快速以太网FE（Fast Ethernet），在数据链路层上跟10M以太网没有区别，仅在物理层上提高了传输的速率。

10BASE-T和100BASE-TX都是运行在五类双绞线上的以太网标准，所不同的是线路上信号的传输速率不同，10BASE-T只能以10M的速度工作，而100BASE-TX则以100M的速度工作。

100BASE-T4现在很少使用。

千兆以太网线缆标准¶

千兆以太网是对IEEE802.3以太网标准的扩展。在基于以太网协议的基础之上，将快速以太网的传输速率从100Mbit/s提高了10倍，达到了1Gbit/s。千

用户可以采用这种技术在原有的快速以太网系统中实现从100Mbit/s到1000Mbit/s的升级。

千兆以太网物理层使用8B10B编码。在传统的以太网传输技术中，数据链路层把8位数据组提交到物理层，物理层经过适当的变换后发送到物理链路上传输。但变换的结果还是8比特。

在光纤千兆以太网上，则不是这样。数据链路层把8比特的数据提交给物理层的时候，物理层把这8比特的数据进行映射，变换成10比特发送出去。

万兆以太网线缆标准¶

万兆以太网使用IEEE 802.3标准标准说明

IEEE 802.3 标准制定了以太网(Ethernet)的技术标准，它规定了包括物理层的连线、电子信号和介质访问控制的内容。

以太网是目前应用最普遍的局域网技术，取代了其他局域网标准如令牌环、FDDI和ARCNET。

以太网的标准拓扑结构为总线型拓扑，但目前的快速以太网(100BASE-T、1000BASE-T标准)为了减少冲突，将能提高的网络速度和使用效率最大化，使用交换机（Switch hub）来进行网络连接和组织。

如此一来，以太网的拓扑结构就成了星型；但在逻辑上，以太网仍然使用总线型拓扑和CSMA/CD (Carrier Sense Multiple Access/Collision Detection，即载波多重访问/碰撞侦测)的总线技术。

802.3 标准支持IEEE 802.1网络架构。

以太网通讯具有自相关性的特点，这对于电信通讯工程十分重要。

Ethernet

以太网实现了网络上无线电系统多个节点发送信息的想法，每个节点必须获取电缆或者信道才能传送信息，有时也叫作以太(Ether)。

这个名字来源于19世纪的物理学家假设的电磁辐射媒体——光以太。

每一个节点有全球唯一的48位地址也就是制造商分配给网卡的MAC地址，以保证以太网上所有节点能互相鉴别。

48位MAC地址池 是 32位IPv4地址池 的65536倍.

由于以太网十分普遍，许多制造商把以太网卡直接集成进计算机主板。

《数据中心虚拟化技术权威指南》

《以太网权威指南 》

光纤：远距传输理想之选¶

现在在中大型商用场景下网线已经远远不能满足我们当前的网络规模了，即便是加上中继，传输质量和范围都无法满足我们现在的需求，所以有了光纤的出现。

光纤全称光导纤维，通常由玻璃或塑料制成，最外层会涂一层隔绝光线的材料。光纤是一种比较脆弱的传输介质，使用中切忌拉扯、挤压，会造成光纤永久性的损坏。

光纤具有绝缘性能好、信号衰减小、传输速度快、传输距离大的优势，通常应用于主干网的连接，不受外界电磁场的影响，带宽几乎无限制，可以实现每秒万兆位的数据传送，传输距离可达数百公里。

光纤有单模光纤和多模光纤之分：

• 单模光纤：传输距离长，可达 20-120 公里的距离。单模光纤条线大多数黄色的。

• **多模光纤**的芯线粗、传输距离短、整体传输性差，传输距离相对单模来说较短（最长约2KM），但是成本相对低廉。

多模光纤适用于低速短距离的场景，比如说一个局域网里的交换机之间的互联，交换机和路由器之间的互联都可以用多模光纤，传输距离在 2 公里以内。

可以存在多条不同角度入射的光线在一条光纤中传输。这种光纤就称为**多模光纤**。单模光纤条线大多数黄色的。

光纤接头连接器¶

• ST(AT&T版权所有)，也许是多模网络(例如大部分建筑物内或园区网络内)中最常见的连接设备。它具有一个卡口固定架，和一个2.5毫米长圆柱体的陶瓷(常见)或者聚合物卡套以容载整条光纤。

ST的英文全称有时记做”Stab & Twist”，很形象的描述，首先插入，然后拧紧！

• SC接口（常用于交换机 ）

SC同样具有2.5毫米卡套，不同于ST/FC，它是一种插拔式的设备，因为性能优异而被广泛使用。它是TIA-568-A标准化的连接器，但初期由于价格昂贵(ST价格的两倍)而没有被广泛使用。

材质为塑料，推拉式连接，接口可以卡在光模块上，常用于交换机。

SC的英文全称有时记做”Square Connector”, 因为SC的外形总是方状的。

• LC接口（用于路由器上连接SFP光模块 ），材质为塑料，用于连接SFP光模块，接口可以卡在光模块上。

光口

光口是光纤接口的简称，也可称之为：G口 (意思是G光纤口) 。 光纤接口是用来连接**光纤线缆的物理接口**。

其原理是利用了光从光密介质进入光疏介质从而发生了全反射。通常有SC、ST、FC等几种类型，应用于机房，机柜等大型设备的一个光纤带宽接口。

电口

电口是相对光口来讲的，是指防火器的物理特性，主要指**铜缆**，是处理的电信号。目前使用普遍的网络接口有百兆电口和千兆电口等。

简单来说，电口就是普通的网线接口，一般速率为10M或者100M,部分支持1000M。电口的最远距离为100米。

RJ45

RJ45接口通常用于数据传输，最常见的应用为网卡接口。

RJ45是各种不同接头的一种类型；RJ45头根据线的排序不同的法有两种：

• 橙白、橙、绿白、蓝、蓝白、绿、棕白、棕;

• 绿白、绿、橙白、蓝、蓝白、橙、棕白、棕;

因此使用RJ45接头的线也有两种即：直通线、交叉线。

光模块

现在的防火墙路由器交换机都是模块化组件化，一般设备本身没有光口不能连接光纤。所以如果需要光纤通讯，需要单独选配光模块。

**光模块（Optical Modules）**作为光纤通信中的重要组成部分，是实现光信号传输过程中光电转换和电光转换功能的光电子器件。

它主要由光电子器件（光发射器、光接收器）、功能电路和光接口等部分组成，主要作用就是实现光纤通信中的光电转换和电光转换功能。

https://support.huawei.com/enterprise/zh/doc/EDOC1100115015

https://support.huawei.com/enterprise/zh/doc/EDOC1100130745

电磁波：突破网线限制¶

但随着终端的多样化，以及有线对设备移动范围的限制，我们开始使用**电磁波**作为对有线网络的扩展。

电磁波信号包括：无线电波、中波、短波、超声波、 微波、红外线、可见光、紫外线等。

电磁波的范围很广，适合作为信号传输的只有介于 3 Hz 和约 300 GHz 之间的无线电波，无线电波又被称为射频电波，我们的无线网络就是用的无线电波中超高频的一部分。

国内最常用的频段是 2.4 GHz 和 5 GHz

无线网络信号是在空气中通过电磁波来传播的。电磁波有一定的频率。

WLAN 信号属于电磁波信号，

电磁波在日常生活与通信中有极为广泛的应用，如无线广播、电视信号、地面微波、 红外线、紫外线等

民用的这种无线电磁波的频率主要是有 2.4 GHZ （左右） 和 5G GHZ

2.4G工作频率范围为 2.4～2.483GHz，在此频率范围内定 义了 14 个信道，每个频道的频宽为 2.412GHz，相邻两个信道的中心频率之间相差 5MHz，信道 1 的中心频率为 2.412GHz，信道 2 的中心频率为 2.417GHz，以此类推至信 道 13。

信道 14 是特别为日本定义的，其中心频率与信道 13 的中心频率相差 12MHz。

不同的国家的信道开放情况不一样，在北美，如美国、加拿大开放的信道范围为 1～ 11 信道，在欧洲的大部分地区开放 1～13 信道，在中国也同样开放 1～13 信道，而在日 本开放全部的 1～14 信道。

从信道工作频率图可以看出，许多信道相互之间频率交叠，比如信道1在频率上与信道 2～5 都有交叠。

如果两个无线设备同时工作在信道 1、3，则其发送的无线信号会互相 干扰，而工作在信道 1、6，则信号相互之间没有干扰

为了最大程度地利用频段资源， 减少信道间的干扰，通常使用 1、6、11；2、7、12；3、8、13；4、9、14 这 4 组互不干 扰的信道。

由于只有部分国家开放了 12～14 信道，所以一般情况下，都使用 1、6、11 这 3 个信道进行无线部署。

在高密场景下通常推荐使用1、9、5、13四个信道组合方式。

路由器、交换机和 AP¶

到这里，我们常见的传输介质已经讲完了，接下来我们再来聊聊网络设备，前面有和大家简单提到过。我们主要讲路由器、交换机和 AP 这三种网络设备。

先来看看路由器，路由器是连接两个网络的硬件设备，是网络的大门，同时也承担寻路功能，因此，路由器又叫做网关设备。

它帮助我们将数据运送到互联网上，然后互联网中的无数台路由器又帮助我们将信息运送到目的地。

交换机是用于数据转发交换的设备。通常用于路由器和各终端直接的连接，可将交换机视为路由器接口的拓展。

随着网络的发展，也出现了三层交换机来承载部分内网寻路的工作，但是请大家记住，交换机的本职工作还是内网交换，在大型网络寻路中还是要通过路由器来实现；

同样的，路由器的工作是不同网络之间的寻路，请不要将路由器作为交换机使用，尤其是终端较多的情况下。

AP 是用于无线网络的交换机，用来接入无线终端，是无线网络中的核心设备。

大家家里应该都会有无线路由器这种东西，AP 的功能和无线路由器上的天线是一样的，都用作无线终端的接入。

咱们的无线路由器上通常还会标有 LAN 和 WAN，LAN 口一般都是交换口，也就是一个小交换机，WAN 承担的就是路由功能啦。

以太网链路层的分层结构¶

在以太网中，针对不同的双工模式，提供不同的介质访问方法：

• 在半双工模式下采用的是CSMA/CD的访问方式。
• 而在全双工模式下则可以直接进行收发，不用预先判断链路的忙闲状态。

半双工和全双工是物理层的概念，而针对物理层的双工模式提供不同访问方式则是数据链路层的概念，这样就形成了以太网的一个重要特点：数据链路层和物理层是相关的。

由于以太网的物理层和数据链路层是相关的，针对物理层的不同工作模式，需要提供特定的数据链路层来访问。这给设计和应用带来了一些不便。

以太网双工模式¶

以太网的物理层存在半双工和全双工两种模式。

• 半双工

• 任意时刻只能接收数据或者发送数据。

• 采用CSMA/CD访问机制。
• 有最大传输距离的限制。

HUB工作在半双工模式

• 全双工

在有L2交换机取代了HUB组建以太网后，以太网由共享式转变为交换式。而且用全双工代替了半双工，传输数据帧的效率大大提高，最大吞吐量达到双倍速率。

全双工从根本上解决了以太网的冲突问题，以太网从此告别CSMA/CD。

全双工的工作模式：

• 同一时刻可以接收和发送数据。
• 最大吞吐量达双倍速率。
• 消除了半双工的物理距离限制。

最近10年制造的网卡、L2、ME设备都支持全双工模式，HUB除外。

实现全双工的硬件保证：

• 支持全双工的网卡硬件
• 收发线路完全分离的物理介质
• 点到点的连接

以太网自动协商¶

自动协商的目的

最早的以太网都是10M半双工的，所以需要CSMA/CD等一系列机制保证系统的稳定性。随着技术的发展，出现了全双工，接着又出现了100M，以太网的性能大大改善。但是随之而来的问题是：如何保证原有以太网络和新以太网的兼容？

于是，提出了自动协商技术来解决这种矛盾。自动协商的主要功能就是使物理链路两端的设备通过交互信息自动选择同样的工作参数。

自动协商的内容主要包括双工模式、运行速率以及流控等参数。一旦协商通过，链路两端的设备就锁定在同样的双工模式和运行速率。

自动协商原理

自动协商是建立在双绞线以太网的一种底层机制上的，它只对双绞线以太网有效。

在双绞线链路上，如果没有数据传输，链路并不是一直空闲，而是不断的互相发送一种频率较低的脉冲信号，任何具有双绞线接口的以太网卡都能识别这种信号。

如果再插入一些频率更低的脉冲，这些脉冲称为快速链路脉冲FLP（Fast Link Pulse），两端设备也能识别。于是，可以利用FLP进行少量的数据传输，达到自动协商的目的。

综合布线¶

综合布线系统（PDS，Premises Distribution System）又称建筑物结构化综合布线系统（SCS，Structured Cabling System），也称开放式布线系统。是一种在建筑物和建筑群中综合数据传输的网络系统。

它把建筑物内部的语音交换、智能数据处理设备及其他广义的数据通信设施相互连接起来，并采用必要的设备同建筑物外部数据网络或电话局线路相连。

结构化布线系统根据各节点的地理分布情况、网络配置情况和通信要求安装适当的布线介质和连接设备，是智能系统建筑工程的重要组成部分。

中国国家标准 GB 50311-2016《综合布线系统工程设计规范》 也采用了 7个子系统 的划分方式，明确包括：

根据 GB50311-2007《综合布线系统工程设计规范》国家标准规定，在综合布线系统工程设计中，按照下列 7 个部分进行：

1. 工作区子系统：（办公室内部布线等）
2. 水平配线子系统：（同一楼层布线）
3. 垂直子系统（电信间子系统）
4. 干线子系统（垂直子系统）
5. 设备间子系统（中心机房）
6. 建筑群子系统（楼宇子系统）
7. 进线间子系统

ISO/IEC 11801 将建筑物综合布线系统划分为以下 6 个子系统，即

• 工作区子系统
• 水平子系统
• 干线子系统：（楼层间垂直布线）
• 设备间子系统：（设备管理中心布线）
• 管理子系统：（楼层机柜等的布线）
• 建筑群子系统：（建筑物间布线）

工作区子系统¶

一个独立的需要设置终端的区域即一个工作区，工作区子系统应由配线（水平）布线系统的信息插座、延伸到工作站终端设备处的连接电缆及适配器组成。

一个工作区的服务面积可按 5～10 m2 估算，每个工作区设置一个电话机或计算机终端设备，或按用户要求设置

水平配线子系统¶

根据标准，水平配线子系统**是指从**电信间（或楼层配线设备） 到**工作区信息插座**之间的所有布线部分。

干线子系统：由设备间至电信间、电信间之间、建筑群各建筑物之间的主干缆线，以及相关的配线设备、跳线和机械终端等组成的布线系统。

某公司新建综合业务大楼，共9层，每层建有弱电间1个，4层建有机房。1~3 层做为商场，计划部署无线网络接入，供入住商家和访客使用，商家和访客设置不同资源访问权限;

4~9层为办公区域，通过部署有线接入，计划部署信息面板600个。

［问题1](6 分)

请根据建设需求，补充完成以下结构化综合布线规划表。

［问题2](6=分)

商场的无线系统采用AC+FIT AP模式时，请简述AC的主要配置内容。

1、ac基础配置：配置ac的管理ip地址，用于远程管理和网络连通；

2、设置ac设备名称、位置等信息便于识别和管理 vlan相关配置：根据业务场景划分不同的vlan，配置不同的vlan参数，将商家和访客的网络流程进行隔离，实现不同的访问控制 ap管理配置：发现和注册fit ap，设置ap的工作模式、频段、信道等参数；

3、对ap进行分组管理，便于批量配置和策略下发 认证配置：配置无线认证方式（如：wpa-2、portal、802.1x）

4、安全配置：配置无线加密方式和密钥；配置acl访问控制，防止访问非法资源

［问题3](4 分)

请列举常用无线认证方式，商场打印机和访客分别采用什么认证方式较为合适?

［问题4](4 分)

当前配置的AP最大接入用户≤30，由于商场空间大，人流量大，计划通过缩小AP部署间隔、增加AP数量等方式，提升无线上网体验，请问该方式部署规划存在哪些缺点?应采用什么措施解决?

1.信息插座、水平线缆、配线架等

5.4层机房

二、 ac基础配置：配置ac的管理ip地址，用于远程管理和网络连通；设置ac设备名称、位置等信息便于识别和管理 vlan相关配置：根据业务场景划分不同的vlan，配置不同的vlan参数，将商家和访客的网络流程进行隔离，实现不同的访问控制 ap管理配置：发现和注册fit ap，设置ap的工作模式、频段、信道等参数；对ap进行分组管理，便于批量配置和策略下发 认证配置：配置无线认证方式（如：wpa-2、portal、802.1x） 安全配置：配置无线加密方式和密钥；配置acl访问控制，防止访问非法资源 三、 wpa2-psk: 802.1x: portal认证：访客 四、 成本增加、管理复杂、信号干扰 措施： 1.优化成功控制策略：在满足覆盖和性能要求的前提下，选择高性价比的ap；优化网络拓扑，减少不必要的布线和设备，降低成本 2.集中管理设备优化：采取功能更强大的ac管理系统 3.合理划分信道，避免相邻ap信道重叠或干扰最小

跳线¶

**跳线用于实现配线架与集线设备之间、信息插座与计算机之间、集线设备之间，以及集线设备与路由设备之间的连接。

****跳线主要分为两类，即**双绞线跳线和光纤跳线**，分别应用于不同的综合布线系统。

• 光纤跳线：又叫光纤连接器，两端都有连接头。机房中常见的光纤跳线使用场景是将接入层交换机与上层的汇聚层连接起来，或汇聚层、核心层设备之间相互连接。

• 光纤尾纤：又叫猪尾巴，是指光纤线缆只有一端有连接头，而另一端是一根光纤线缆纤芯的裸纤，需要通过熔接与其他光纤线缆纤芯相连。

配线架¶

网络配线架，英文名为Patch Panel，是数据中心中用于管理网络电缆的关键设备。它通常安装在机柜或墙上，通过其前面板端口，可以轻松实现电缆的互连。

从物理外观来看，配线架和交换机看起来很相似，因为它们都表现为机架中的成排插座。 事实上，配线架是一种无源设备，具有一排端口，用于电缆管理，将多个网络端口捆绑在一起，以连接传入和传出电缆。

配线架的定位是在局端对前端信息点进行管理的模块化的设备。前端的信息点线缆(超5类或者6类线)进入设备间后首先进入配线架，将线打在配线架的模块上，然后用跳线(RJ45接口)连接配线架与交换机。

在配线架中标记单条电缆的能力创建了一种干净且有组织的方式来识别信号流和排除技术问题。 同时，配线架也避免了因多次插拔线缆而对交换机端口造成的损坏。

这些端口能够容纳不同类型的电线，如RJ45、光纤或同轴电缆，实现与服务器、交换机和路由器的无缝连接。在配线架的背面，则是高效的线缆管理系统，它允许工作人员组织和识别线缆，以最大限度地减少因维护或故障导致的断网时间。

目前市面上的网络配线架一般为24口或48口，长度为19英寸，高度1U。其前端外壳通常采用ABS塑料，这种材料具有良好的耐冲击性，能够适应网络配线架在安装及长期使用过程中可能受到的撞击。

ABS塑料还具有优异的耐高低温性能，可以在极端气候条件下保持稳定，不易被腐蚀，且绝缘性能出色，保证了信号的有效传输。

随着技术的发展，网络配线架已经衍生出多种类型，包括一体式网络配线架、模块化网络配线架、角型网络配线架和电子智能网络配线架等。这些不同类型的配线架根据其结构和功能，适用于不同的应用场景。

例如，一体式配线架因其生产工艺成熟、成本较低而广受欢迎，适合快速部署和简单网络环境。而模块化配线架则因其高度的灵活性和兼容性，更适合复杂或需要频繁变更的网络环境。

理线架¶

理线架是用来整理线缆的一种环式支架，通常与配线架搭配使用。理线架可以对线缆起到固定、绑扎、整理的作用，这样做的好处是使机柜内的线缆变得整齐、美观。

在过去的工程施工中，经常使用绑扎带对线缆进行捆扎，虽然也能一定程度上保持线缆的整齐和美观，但是无法防范一个隐患，那就是线缆产生的拉力很容易造成与配线架上模块接口的插接松动，产生接触不良，从而导致网络故障。

使用理线架之后就会很大程度上解决这个问题，因为理线架对线缆有一个托力可以将线缆托平，使线缆不对模块施力。

福禄克测试¶

福禄克网线测试是综合布线工程验收必要的测试，能测出网线通断情况，还能对其他十几项参数进行测试并给出专业测试报告。包括网线长度、传输时延、时延偏离、支流环路电阻、插入损耗（衰减）、回波损耗，近端串扰、远端近端串扰、衰减串扰比，远端衰减串扰比、综合等效远端串扰、远端综合等效远端串扰、综合近端串扰、远端综合近端串扰、综合衰减串扰比、远端综合衰减串扰比等参数。

换句话说，网线相关的参数有肉眼可见的，更有看不到的，看不到的这些数据就要用专业测试的方法来获取。

很多人认为做布线工程只要用网络测试仪测试下通不通就可以了，其实这是很大的误解。因为测试仪只测试导通，不对线材性能做判断。所以如果只用网络测试仪，只要线材是导通的都认为合格。

那么五类线，超五类线，六类线，七类就没有区别的意义了，只要线材打了都是一样的。

而福禄克的测试仪（通常指认证级别测试仪DTX-1800，DSX-5000，DTX-1200，DTX-LT）能测试出通断（接线图）以外，还能对其他十几项参数进行测量。

包括：长度、传输时延、时延偏离、支流环路电阻、插入损耗（衰减）、回波损耗，近端串扰、远端近端串扰、衰减串扰比，远端衰减串扰比、综合等效远端串扰、远端综合等效远端串扰、综合近端串扰、远端综合近端串扰、综合衰减串扰比、远端综合衰减串扰比等参数。而这些指标是认证线材合格必要测试的。

例如：近端串扰损耗（NEXT）：一条链路中，处于双绞线一侧的某发送线对对于同侧的其他相邻（接收）线对通过电磁感应所造成的信号耦合，即近端串扰。越大的NEXT值近端串扰损耗越大。近端串扰与双绞线类别、连接方式、频率值、施工工艺有关。在接点图正常的情况下，该值如果出现负数，一般的原因应该与双绞线质量和施工工艺有关。对双绞线质量影响很大的因素是在生产过程中产生的，在串连机上包好绝缘层的芯线其同芯度的偏差；对绞工序的密度、均匀度、粘合度；成缆时的综合绞距、四对芯线平衡性；包外绝缘层过程中对四对缆芯的结构破坏等。一条合格的双绞电缆，其性能要完全达到标准规定的参数要求，生产单位必须在规格设定、原材料采购、生产设备、人员素质等各方面都严格把关。

例如：插入损耗（衰减）：当信号在电缆上传播时，信号强度随着距离增大逐渐变小。衰减量与线路长度、芯线直径、温度、阻抗、信号频率有关。这里要强调的衰减值在同样测试条件下是比较固定的，影响该项目性能的因素主要跟双绞线的制造工艺有关。但是为了达到较好的传输效果，布线工程设计时机房的位置尽量要靠近施工环境的平面中心，使布线的路由最短化。衰减在不同的布线等级标准里要求是不一致的，但在芯线直径不能大规模增大情况下，不同性能等级之间的衰减值规定并不像串扰那样差别巨大。

WLAN 概述¶

WLAN 是无线局域网络的简称，全称为Wireless Local Area Networks，是一种利用无线技术进行数据传输的系统，该技术的出现能够弥补有线局域网络之不足，以达到网络延伸之目的。

Wi-Fi 是基于 IEEE 802.11 标准的 WLAN。WLAN（Wireless Local Area Network，无线局域网）有许多标准协议，如IEEE 802.11协议族、HiperLAN 协议族等。

Wi-Fi 是无线保真的缩写，英文全称为Wireless Fidelity，在无线局域网才对范畴是指“无线兼容性认证”，实质上是一种商业认证，同时也是一种无线联网技术，与蓝牙技术一样，同属于在办公室和家庭中使用的短距离无线技术。

同蓝牙技术相比，它具备更高的传输速率，更远的传播距离，已经广泛应用于笔记本、手机、汽车等广大领域中。

WIFI 是无线局域网联盟的一个商标，该商标仅保障使用该商标的商品互相之间可以合作，与标准本身实际上没有关系，但因为 WIFI 主要采用 802.11b 协议，因此人们逐渐习惯用WIFI来称呼 802.11b 协议。

从包含关系上来说，WIFI 是 WLAN 的一个标准，WIFI 包含于 WLAN 中，属于采用WLAN协议中的一项新技术。

在一些大型企业，企业园区，大学校园，公共景点，火车站等区域。要求无线全覆盖。这个时候需要一些企业级的无线技术。

IEEE 802 标准:

• 802.2 逻辑链路控制

• 802.3 以太网-CSMA/CD接入方法

• 802.10 安全

• 802.11 无线局域网

• 它是IEEE国际电气和电子工程师协会制定的一个通用无线局域网标准。最初的IEEE 802.11标准只是用于数据存取，传输速率最高只能达到2Mb/s。

• 由于速度慢不能满足数据应用发展的需求，所以后来该协会又推出了 IEEE 802.11b、 802.11a、 802.11g 这三个新的标准。

• 这三个标准都是经IEEE批准的无线局域网规范，标准的确立也就意味着厂商们的认可和支持，它们之问技术差别很大，所走的发展道路也不一样。

IEEE 定义的二层标准：802.11

• 802.11n (已经属于上一代标准，理论最大速度 600Mbit/s)Wi-Fi 4

• 802.11b （）

• 802.11ac (目前大面积商用，号称是千兆WIFI) Wi-FI 5

• 802.11ax (目前还没有大面积商用) Wi-FI 6

双频¶

无线网络信号是在空气中通过电磁波为介质来传播的。电磁波有一定的频率。民用的这种无线电磁波的频率主要是有 2.4 GHZ （左右） 和 5 GHZ

2.4G、5G、6G频段各有不同的工作信道。

现在一般市面上买到的无线路由器都支持双频，可以发射两个不同频率的无线信号。分别由不同天线发射出来的。

• 2.4 GHZ 普通 速率低 干扰大 传输距离远（俗称穿墙能力，准确说应该是绕墙能力）
• （802.11 b g n ）
• 5 GHZ 高配 速率快 干扰小 传输距离近 （穿墙能力没有2.4G信号强）
• （802.11 a n ac）

电磁波传输的速度是光速（光在真空中的速度3.00×108 m/s）。

对于电磁波来说，波长越长，越容易衍射，体现在“绕过物体的能力”。即我们平时说的信号穿墙能力的体现之一！

c=fλ 光速=频率*波长 光速固定，频率越高，波长越小。频率越低，波长越大。

根据不同频段无线电的特性，无线路由器所发出的信号对不同材质的穿透难度和衰减程度也是不同的。

Wi-Fi信号的穿透性能大致如下（由易到难）：空气<木板/玻璃<砖墙/水泥墙<瓷砖墙/钢筋水泥墙<金属板。

2.4 GHZ

http://www.srrc.org.cn/article24658.aspx

2.4G频段被分为14个交叠的、错列的20MHz信道，信道编码从1到14，邻近的信道之间存在一定的重叠范围。

信号强度¶

在无线网络中，使用AP设备和天线来实现有线和无线信号互相转换。

有线网络侧的数据从AP设备的有线接口进入AP后，经AP处理为射频信号，从AP的发送端（TX）经过线缆发送到天线，从天线处以高频电磁波（2.4GHz/5GHz/6GHz频率）的形式将其发射出去。高

频电磁波通过一段距离的传输后，到达无线终端位置，由无线终端的接收天线接收，再输送到无线终端的接收端（RX）处理。反之，从无线终端的发送端（TX）发出去的数据，也是按照上述的流程，逆向处理一遍，输送给AP的接收端（RX）。

在发送和接收天线之间的信号即是无线信号。信号强度在无线信号传输过程中会逐渐衰减。在了解信号强度时，一并介绍常见的几个有关联的基本概念：射频发射功率、EIRP、RSSI、下行信号强度、上行信号强度。

无线AP¶

无线接入点（AP）：电信级无线覆盖设备，相当于一个连接有线网和无线网的桥。

其主要作用是将各个无线网络客户端连接到一起，实现大范围、多用户的无线连接，根据应用场景不同，AP通常可分为室内型和室外型，室内环境下覆盖范围通常在30米~100米，室外环境最大覆盖范围可达到800米。

无线AC¶

接入控制器（AC）：无线局域网接入控制设备，负责将来自不同AP的数据进行汇聚并接入Internet，同时完成AP设备的配置管理和无线用户的认证、管理，以及带宽、访问、切换、安全等控制功能。

AC控制器的特性

1、统一管理

类似于单一访问点的设置过程，AC控制器支持高达1000个无线访问点的集中配置，通过一个直观的WEB管理界面，就可以将无线的参数和安全设置下发到网络中的所有AP，简化了无线网络的部署和维护。

2、 自动管理

设备能够自动发现网络中的AP，分配IP和信道；自动检测网络中的AP；自动进行链路检测；自动检测接入AP上网移动终端用户的信息，AP故障信息短信自动通知。

3、性能优化

自动检测网络状态，以确保最佳的性能和响应能力；自动重新分配信道和调整射频参数以保证最大连通性；可对AC和AP进行升级、备份、恢复等操作；可配置黑白名单，有效地控制接入设备；

可限定用户的上网速率等信息，实现可控的网络设置；智能云端版本升级。

4、配置标准

拥有固定的IP地址，操作简单、即插即用，即使非专业用户也能轻松使用。

Portal认证¶

场景一：北京国际机场，岩松打开iPhone搜索Wi-Fi信号，看到机场Wi-Fi登录页面，输入手机号获取密码，输入密码后连接Internet刷微博。

场景二：某餐馆，顾客小e拿出手机扫了餐桌上的二维码，弹出“连接网络”页面，单击“连接网络”后以匿名方式连接Internet，在朋友圈和大家分享美食。

场景三：某酒店，出差人员张经理在酒店办理入住手续时获得以房间号为帐号和一个随机密码。通过手机连接酒店提供的Wi-Fi，输入帐号和密码后下载出差地的离线地图。

这几种连接Internet有一个共同点，就是都会弹出登录页面，术语称之为Portal认证页面。

根据国家接入互联网的相关规定，在接入互联网之前必须通过身份认证。从终端的角度看，考虑到终端的复杂性，在终端上安装认证客户端进行身份认证是不现实的。而几乎全部的智能终端都装有Web浏览器。身份认证最好是能够通过Web页面的方式进行。问题是，旅客如何申请登录帐号？

现在常用获取账号的方式有：

l 通过短信获取密码

l 公用的帐号和密码（扫描二维码）

把登录帐号和密码都编码在二维码图案中，使用智能终端扫描后即可自动完成登录。

l 通过打印纸条提供帐号和密码

l 关注微信公共帐号后获取上网帐号和密码

使用微信关注某个公共帐号后接入Internet。

Portal认证有如下优点：

l 不需要安装客户端。使用Web页面认证，使用方便，减少客户端的维护工作量。

l 便于运营。可以在Portal页面上开展业务拓展，如广告展示、责任公告、企业宣传等。

l 提供计费功能，通过计费功能来限制终端接入网络的时长。

Portal认证优势明显，故此无处不在。

Portal认证通常也称为Web认证，是基于网页的形式向用户提供身份认证和个性化的信息服务。

一般将Portal认证网站称为门户网站。用户上网时，必须在门户网站进行认证，只有认证通过后才可以使用网络资源。

**主动认证：**用户可以主动访问已知的 Portal 认证网站，输入用户名和密码进行认证，这种开始 Portal 认证的方式称作主动认证。

**强制认证：**反之，如果用户试图通过 HTTP 访问其他外网，将被强制访问Portal认证网站，从而开始 Portal 认证过程，这种方式称作强制认证。

Portal认证系统的典型组网方式由四个基本要素组成：认证客户端、接入设备、Portal服务器与认证/授权服务器。

我们在图书馆，车站，等公共基础场所，一般 wifi 本身是没有密码的，我们连接上 wifi 后，访问外网，就会被重定向至 Portal 认证网站，要求通过手机短信或微信登录等方式验证上网。

Portal认证特点：

1. 不需要安装客户端，直接使用 Web 页面认证，使用方便，减少客户端的维护工作量。
2. 便于运营，可以在 Portal 页面上开展业务拓展，如广告推送、责任公告、企业宣传等。
3. 技术成熟，被广泛应用于运营商、连锁快餐、酒店、学校等网络。

应用场景：

1. 访客接入
2. 低成本混合接入：Portal + MAC旁路。

https://forum.huawei.com/enterprise/zh/thread/580888141160660992

加密¶

什么是 WPA？¶

接下来是 WPA，即 Wi-Fi 保护访问。该协议于 2003 年推出，它是 Wi-Fi 联盟对 WEP 的替代协议。它与 WEP 有相似之处，但在处理安全密钥的方式和用户授权方式上进行了改进。WEP 为每个授权系统提供相同的密钥，而 WPA 使用临时密钥完整性协议 (TKIP)，该协议可动态更改系统使用的密钥。这可以防止入侵者创建自己的加密密钥以匹配安全网络使用的密钥。TKIP 加密标准后来被高级加密标准 (AES) 所取代。

此外，WPA 包括消息完整性检查，以确定攻击者是否已捕获或更改数据包。WPA 使用的密钥为 256 位，相比 WEP 系统中使用的 64 位和 128 位密钥有了显著提升。但是，尽管存在这些改进，WPA 的元素还是遭到利用 - 这导致 WPA2 诞生。

您有时会听到与 WPA 相关的术语“WPA 密钥”。WPA 密钥是用于连接到无线网络的密码。您可以从运行网络的任何人那里获取 WPA 密码。在某些情况下，无线路由器上可能会印有默认的 WPA 密码。如果您无法确定路由器密码，也可以重置它。

什么是 WPA2？¶

WPA2 于 2004 年推出，它是 WPA 的升级版本。WPA2 基于强大的安全网络 (RSN) 机制，并在两种模式下运行：

• 个人模式或预共享密钥 (WPA2-PSK) - 依赖共享密码进行访问，通常用于家庭环境。对一些中小型企业网络或者家庭用户，部署一台专用的认证服务器代价过于昂贵，维护也很复杂，通常采用WPA/WPA2预共享密钥模式，即WPA/WPA2_PSK，事先在STA和WLAN设备端配置相同的预共享密钥，然后通过是否能够对协商的消息成功解密，来确定STA配置的预共享密钥是否和WLAN设备配置的预共享密钥相同，从而完成STA的接入认证。
• 企业模式 (WPA2-EAP) - 顾名思义，更适合组织或企业使用。在大型企业网络中，通常采用802.1X的接入认证方式。802.1X认证是一种基于接口的网络接入控制，用户提供认证所需的凭证，如用户名和密码，通过特定的用户认证服务器（一般是RADIUS服务器）和可扩展认证协议EAP（Extensible Authentication Protocol）实现对用户的认证

两种模式都使用 CCMP - 它代表“计数器模式密码区块链消息身份验证代码协议”。CCMP 协议基于高级加密标准 (AES) 算法，该算法提供消息真实性和完整性验证。CCMP 比 WPA 最初的临时密钥完整性协议 (TKIP) 更强大、更可靠，使攻击者更难发现模式。

但是，WPA2 仍然有缺点。例如，它容易遭受密钥重新安装攻击 (KRACK)。KRACK 利用了 WPA2 中的一个弱点，该弱点允许攻击者伪装成克隆网络并强制受害者连接到恶意网络。这使黑客能够解密一小段数据，这些数据可能被聚合以破解加密密钥。但是，设备可以打补丁，WPA2 仍然被认为比 WEP 或 WPA 更安全。

什么是WPA3？¶

WPA3 是 Wi-Fi 保护访问协议的第三次迭代。Wi-Fi 联盟于 2018 年推出了 WPA3。WPA3 引入了供个人和企业使用的新功能，包括：

• 个性化数据加密：在登录公共网络时，WPA3 通过一个并非共享密码的流程注册新设备。

​ WPA3 使用 Wi-Fi 设备调配协议 (DPP) 系统，该系统允许用户使用近场通信 (NFC) 标签或二维码来允许网络上的设备。

​ 此外，WPA3 安全功能使用 GCMP-256 加密，而不是以前使用的 128 位加密。

Equals 协议的同步身份验证：这用于创建安全握手，其中，网络设备将连接到无线接入点，并且两个设备进行通信以验证身份和连接。即使用户的密码强度很低，WPA3 也可使用 Wi-Fi DPP 提供更安全的握手。

更强的暴力破解攻击防护：WPA3 只允许一名用户猜测一次，从而防止离线密码猜测，迫使用户直接与 Wi-Fi 设备交互，这意味着他们每次想猜测密码时都必须亲自到场。WPA2 在公共开放网络中缺乏内置的加密和隐私功能，使得暴力破解攻击成为重大威胁。

WPA3 设备在 2019 年开始广泛使用，并且向后兼容使用 WPA2 协议的设备。

Wi-Fi联盟于2018年开始了WPA3认证计划，但直到2020年，所有携带“Wi-Fi CERTIFIED™”标志的设备才强制要求支持WPA3。 自那时起，几乎所有的WiFi路由器制造商都推出了支持最新无线加密标准的型号，因此对于那些仍然依赖不支持WPA3的旧路由器的用户来说，有很多选项可供选择。

WLAN密码破解¶

https://github.com/conwnet/wpa-dictionary

如何识别您的 Wi-Fi 网络安全机制类型：¶

在 Windows 10 中：

• 在任务栏中找到 Wi-Fi 连接图标并单击它
• 然后单击当前 Wi-Fi 连接下方的**属性**
• 向下滚动并在**属性**下查找 Wi-Fi 详细信息
• 在此设置下，查找**安全类型** ，其中显示了您的 Wi-Fi 协议

在 macOS 中：

• 按住 Option 键
• 单击工具栏中的 Wi-Fi 图标
• 这将显示您的网络详细信息，包括您的 Wi-Fi 安全类型

在 Android 中：

• 在您的 Android 手机上，进入**设置**
• 打开 Wi-Fi 类别
• 选择您连接的路由器并查看其详细信息
• 这将显示您的连接是什么 Wi-Fi 安全类型
• 此界面的路径可能因您的设备而异

企业基本组网概述¶

一般企业网络基本架构分为三层：

• 接入层： 为前端试备接入提供大量的接口
• 汇聚层：对接入层的大量流量和数据进行汇聚和控制
• 核心层：是整个网络的核心，提供高速转发的功能

接入网¶

接入网是指将端系统连接到其边缘路由器的物理链路。边缘路由器是端系统到任何其他远程端系统的路径上的第一台路由器。

双向链路检测¶

**双线路备份**或**链路冗余**的功能。使用了**静态路由**和 **BGP 邻居检测**机制，确保在主线路出现故障时，流量能自动切换到备用线路。

BFD（Bidirectional Forwarding Detection，双向转发检测）是一种基于RFC 5880标准的高速故障检测机制。

两个系统建立BFD会话后，在它们之间的通道上周期性地发送BFD报文，如果一方在协商的检测时间内没有接收到BFD报文，则认为这条双向通道上发生了故障。

上层协议通过BFD感知到链路故障后可以及时采取措施，进行故障恢复。

数据链路层¶

链路层负责无差错地将数据从一个站点发送到相邻的站点。

它从网络层接收数据包，然后将它封装到称为“帧”的数据单元里，再传给物理层，进行传输。

• **链路**是从一个结点到相邻结点的一段物理线路。

• **数据链路**则是在链路的基础上增加了一些必要的硬件（如网络适配器）和软件（如协议的实现）

网络中的主机、路由器等都必须实现数据链路层

**链路[Link]**是指从一个节点到相邻节点的一段物理线路（有线或无线），而中间没有任何其他的交换节点。

当在一条链路上传送数据时，出需要链路本身，还需要一些必要的通信协议来控制这些数据的传输，把实现这些协议的硬件和软件加到链路上，就构成了**数据链路。**

帧**是数据链路层对等实体之间在水平方向进行逻辑通信的**协议基本数据单元PDU(Protocol Data Unit)

（注：实体是指任何可发送或接收信号的硬件或软件进程对等实体是指通信双方相同层次中的实体。）

世界上有个协会叫作IEEE，即电子工程师协会，里面有个分会，叫作IEEE802委员会，是专门来制定局域网各种标准的。

802下面还有个分部，叫作802.3.就是我们经常提到的 IEEE802.3，这个部门制定的规范叫以太网规范，这个以太网规范中就定义了上面提到的“以太网首部”，这个以太网规范，实际只定义了数据链路层中的MAC层和物理层规范。

（注意数据链路层包括MAC子层和LLC子层两个子层，而LLC子层是在IEEE802.2中规范的）。

数据链路层属于计算机网路的低层。数据链路层使用的信道主要有以下两种类型：

• 点对点信道
• 广播信道

MTU¶

考虑到对缓存空间的需求以及差错控制等诸多因素。

每一种**数据链路层**协议都规定了帧的数据载荷的长度上限，即**最大传送单元（Maximum Transfer Unit，MTU）**。

• 帧定界：有开头和结尾，确定帧的长度。

• 帧同步：接收方从接收到二进制比特流中区分出帧头和帧尾。、

数据链路层中并不能传输任意大小的数据帧。**网络接口**也可以配置的最大传输单元（MTU）

在我们最常用的以太网中，MTU 默认值是 1500 比特位（这也是 Linux 的默认值）。

一旦网络包超过 MTU 的大小，就会在网络层分片，以保证分片后的 IP 包不大于 MTU值。

显然，MTU 越大，需要的分包也就越少，自然，网络吞吐能力就越好。

早期的以太网使用共享链路的工作方式，为了保证CSMA/CD（载波多路复用/冲突检测）机制，所以规定了以太帧长度最小为64字节，最大为1518字节。

• 最小64字节是为了保证最极端的冲突能被检测到，64字节是能被检测到的最小值；

• 最大不超过1518字节是为了防止过长的帧传输时间过长而占用共享链路太长时间导致其他业务阻塞。

（如果数据部分不足46字节，则用填充位来填充这个数据帧））

所以规定以太网帧大小为64~1518字节，虽然技术不断发展，但协议一直没有更改。

根据rfc894的说明，以太网封装IP数据包的最大长度是1500字节，也就是说以太网最大帧长应该是

• 以太网"7字节"的**前导同步码**

• 1字节的帧开始定界符”加上“首部”，再加上1500，最后加上“帧校验序列”。

具体就是：7字节前导同步码 + 1字节帧开始定界符 + 6字节的目的MAC + 6字节的源MAC + 2字节的帧类型 + 1500 + 4字节的FCS。

路径MTU

当在同一个网络上的两台主机互相进行通信时，该网络的MTU是非常重要的。

但是如果两台主机之间的通信要通过多个网络，那么每个网络的链路层就可能有不同的MTU。

重要的不是两台主机所在网络的MTU的值，重要的是两台通信主机路径中的最小MTU。它被称作**路径MTU**

两台主机之间的路径MTU不一定是个常数。它取决于当时所选择的路由。

而选路不一定是对称的（从A到B的路由可能与从B到A的路由不同），因此路径MTU在两个方向上不一定是一致的

大部分网络设备都是1500。如果本机的MTU比网关的MTU大，大的数据包就会被拆开来传送，这样会产生很多数据包碎片，增加丢包率，降低网络速度。

把本机的MTU设成比网关的MTU小或相同，就可以减少丢包 。

Maxitum Segment Size 是最大分段大小。MSS最大传输大小的缩写，是TCP协议里面的一个概念。

MSS就是TCP数据包每次能够传输的**最大数据分段**。

为了达到最佳的传输效能TCP协议在建立连接的时候通常要协商双方的MSS值，这个值TCP协议在实现的时候往往用MTU值代替（需要减去IP数据包包头的大小20Bytes和TCP数据段的包头20Bytes）, 通讯双方会根据双方提供的MSS值得最小值确定为这次连接的最大MSS值

https://info.support.huawei.com/info-finder/encyclopedia/zh/MTU.html

以太网数据帧¶

以太网帧格式多达5种，事实上，今天的大多数TCP/IP应用都是用**Ethernet V2**帧格式。

而交换机之间的BPDU数据包是IEEE802.3/LLC的帧，VLAN Trunk协议如802.1Q和Cisco的CDP等则是采用IEEE802.3/SNAP的帧。

估计是网络设备间一些协议才用到802.3帧格式，是因为需要802.3帧携带一些控制信息。

在TCP/IP中，RFC标准分别定义了以太网的IP数据报文封装格式和IEEE802.3网络的IP数据报文封装格式。

当今最常使用的封装格式是Ethernet II，又称为Ethernet DIX。

以太网常用帧格式主要有两种，一种是==Ethernet II，另一种是**==IEEE 802.3 格式**。这两种格式区别是：

• Ethernet II中包含一个Type字 段，其中Type字段描述了，以太网首部后面所跟数据包的类型，
• 例如当**Type为0x8000时，为IP协议包**。
• 当**Type为8060时，后面为ARP协议包**。
• 而在IEEE 802.3格式中，此位置是长度字段。

封装成帧是指数据链路层给上层交付下来的协议数据单元PDU添加帧头和帧尾使之成为帧。帧的首部和尾部中包含有一些重要的控制信息。

https://www.cnblogs.com/zy09/p/15545684.html

tcp-segmentation-offload

简称TSO，是一种利用网卡对TCP数据包分片，减轻CPU负荷的一种技术，有时也被叫做LSO (Large segment offload) ，TSO是针对TCP的，UFO是针对UDP的。

如果硬件支持TSO功能，同时也需要硬件支持的TCP校验计算和分散/聚集 (Scatter Gather) 功能。命令： ethtool -K eth0 tso on|off

在不支持TSO的网卡上，TCP层向IP层发送数据会考虑mss，使得TCP向下发送的数据可以包含在一个IP分组中而不会造成分片。

mss是在TCP初始建立连接时由网卡MTU确定并和对端协商的，所以在一个MTU＝1500的网卡上，TCP向下发送的数据不会大于min(mss_local, mss_remote)-ip头-tcp头。

网卡支持TSO时，TCP层会逐渐增大mss（总是整数倍数增加）。

https://info.support.huawei.com/info-finder/encyclopedia/zh/MTU.html

HDLC¶

HDLC（High-Level Data Link Control） 是一种**面向比特的同步数据链路层协议**，用于在点对点或多点链路上可靠地传输数据帧。

链路层设备¶

个或多个以太网通过网桥连接后，就成为一个覆盖范围更大的以太网，而原来的每个以太网就成为一个网段，网桥工作在**链路层的MAC子层**，可以使以太网各网段成为**隔离开**的碰撞域（又称冲突域）。

局域网交换机¶

以太网交换机的每个端口都直接与单台主机或另一个交换机相连，通常都工作在全双工方式。

以太网交换机的特点：

• 以太网交换机的每个端口都**直接**与单台主机相连（而网桥的端口往往连接到一个网段），并且一般都工作在全双工方式。
• 以太网交换机能同时联通多对端口，使每对相互通信的主机都能像独占通信媒体那样，**无碰撞**地传输数据。
• 以太网交换机是一种即插即用设备，其内部的帧的转发表是通过自学习算法**自动**地逐渐建立起来的。
• 以太网交换机由于使用专用的交换结构芯片，交换速率较高。
• 以太网交换机**独占**传输媒体的带宽。

以太网交换机主要采用两种交换方式：①直通式交换机 ②存储转发式交换机。

❗️❗️❗️对于**默认工作在全双工方式**下的交换机，假设是10Mb/s的以太网，虽然每个端口到主机的带宽还是10Mb/s，但由于一个用户在通信时是独占而不是和其他网络用户共享传输媒体的带宽，因此拥有N个端口的交换机1的总容量是N×10Mb/s，这正是**交换机的最大优点**。

举个例子吧，若一个网络采用一个具有24个10Mb/s端口的全双工交换机作为连接设备，则每个连接点平均获得的带宽为10Mb/s（假如说是传统的共享式10Mb/s以太网，每个结点平均获得的带宽只有10÷24Mb/s），该交换机的总容量是24×10Mb/s，如果这个交换机是半双工交换机，那总容量是12×10Mb/s。

从本质上说，交换机**就是个多端口的网桥，工作在数据链路层（局域网交换机是数据链路层设备，能实现**数据链路层和物理层**的功能），可以**分割冲突域，但是**不能分割广播域**（广播域属于网络层概念，只有网络层设备如路由器才能分割广播域）。

利用以太网交换机还可以方便的实现虚拟局域网VLAN，VLAN**不仅**可以隔离冲突域，**而且**可以隔离广播域。

网络层¶

https://support.huawei.com/enterprise/zh/doc/EDOC1100145161

IP协议¶

在IP网络上，如果用户要将一台计算机连接到Internet上，就需要向因特网服务提供方ISP（Internet Service Provider）申请一个IP地址。

IP地址是在计算机网络中被用来唯一标识一台设备的一组数字。

IPv4¶

IP地址是在网络中逻辑地标识网络节点位置的工具，代表了节点之间传递数据信息的原始发送者或最终接收者，即数据流的源或目的地址的编码。

• 对于一台主机，作为数据的终端，拥有1个IP地址就可以参与到网络中与其他节点进行通讯。

• 对于一个网络设备，作为数据的中转站，每个接口都拥有1个或多个IP地址，用于指导主机数据在网络中的转发。

• 为了方便网络的管理，网络按规模划分了网络段，单位是子网。子网的范围包含了若干主机和网络设备接口，因此它拥有一系列IP地址，也称为IP地址池，用于在内部进行分配。

IPv4地址由32位二进制数值组成，但为了便于用户识别和记忆，采用了“点分十进制表示法”。

采用了这种表示法的IPv4地址由4个点分十进制整数来表示，每个十进制整数对应一个字节。例如，IPv4地址使用二进制的表示形式为00001010 00000001 00000001 00000010，采用点分十进制表示法表示为10.1.1.2。

IPv4地址由如下两部分组成：

• 网络号码字段（Net-id）：用来标识一个网络。
• 主机号码字段（Host-id）：用来区分一个网络内的不同主机。对于网络号相同的设备，无论实际所处的物理位置如何，它们都是处在同一个网络中。

IPv4地址的主要特点有：

• IP地址不能反映任何有关主机位置的地理信息，只能通过网络号码字段判断出主机属于哪个网络。
• 当一台主机同时连接到两个网络上时，该主机就必须同时具有两个相应的IP地址，其网络号码Net-id是不同的，这种主机称为多地址主机（Multihomed Host）。
• 在IP地址中，所有分配到网络号码Net-id的网络都是平等的。

最初设计互联网络时，为了便于寻址以及层次化构造网络，每个IP地址包括两个标识码（ID），即**网络ID**和**主机ID**。

同一个物理网络上的所有主机都使用同一个网络ID，网络上的每个主机（包括网络上工作站，服务器和路由器等）有一个主机ID与其对应。

IP地址就是给英特网上的每个主机（路由器）的每个接口分配一个在全世界范围内是唯一的32位的标识符。(a.b.c.d)

IP 地址当中, 有一层逻辑的划分，就是 网地址 和 主机地址 。 前面一部分 N 位表示一个网， 后面剩下的表示网中的一台主机.

• 第一个字段是网络号。（ 网地址 ）用于识别主机所在的网络；
• 第二个字段是主机号。（主机地址）用于识别该网络中的主机。

一个主机号在前面的网络号所指明的网络范围内必须是唯一的，所以一个IP地址在整个网络中都是唯一的。目前分为A、B、C、D、E 五类IP地址。

按 网地址 所占位数的不同, IP 地址整个被分成了 A, B, C, D, E 五类.。其中D, E 类特殊, 我们主机会被分配到的地址是 A, B, C 类中的一种.

IP地址根据网络ID的不同分为5种类型，A类地址、B类地址、C类地址、D类地址和E类地址。

网络地址： 网络地址是指仅包含网络号而不包含主机号的IP地址，它用于唯一标识一个网络。

在网络通信中，网络地址用于路由和寻址。例如，一个IP地址为192.168.0.0，IP掩码为255.255.255.0，那么它的网络地址就是192.168.0.0。

广播地址：

广播地址是指在特定网络上发送广播消息的地址。它用于向网络上的所有设备发送信息。广播地址通常是某个网络的最大可能地址，将主机号部分全部设置为1。

例如，在 IP 地址为192.168.0.0，IP掩码为255.255.255.0 的情况下，广播地址就是192.168.0.255。

主机地址： 主机地址是指除网络地址和广播地址之外的IP地址部分。它用于标识一个特定的主机或设备。主机地址可以是网络中的任意一个有效地址。

例如，在 IP 地址为192.168.0.0，IP掩码为255.255.255.0 的情况下，可以有从192.168.0.1到192.168.0.254的主机地址。

网络地址和广播地址不能被分配给具体的设备，否则会导致通信问题。

默认网关：通常情况下，IP地址段中的第一个地址（如192.168.0.1）被分配给默认网关，用于连接不同网络之间的通信。

IP地址段中的最后一个地址（如192.168.0.254）通常用作保留地址或广播地址。

子网掩码¶

IP地址是计算机在网络内的唯一标识，而子网掩码顾名思义是用于划分子网的。

子网掩码与IP地址一样都是由4个数段组成，每个数段的取值范围是0-255（共256个值，即2的8次方），在计算机网络中子网掩码与IP地址是必须组合使用的，子网掩码由连续的1和0组成：

• 连续的1表示网络地址（网络号），1的个数代表网络号的长度
• 连续的0表示每个子网中的主机地址，0的个数代表主机号的个数

通过0的个数可以计算出子网的容量（即子网中主机的IP地址范围，该掩码同一网段下可以分配多少个IP）

子网掩码只有一个作用，就是将某个IP地址划分成网络地址和主机地址两部分。掩码在二进制的表示形式上就是一堆连续的1，后面接连续的0

子网掩码是一个32位地址（32bits），用于屏蔽IP地址的一部分以区别网络标识和主机标识，并说明该IP地址是在局域网上，还是在远程网上。

将子网掩码和IP地址按位AND运算，就可得到这个IP地址的网络号。

224用8位二进制表示就是1110 0000，

子网掩码是255.255.255.224，而255.255.255这是固定的网络号，224是在主机号中划分出来的网络号（子网划分）。

224的二进制是1110 0000，也就是二进制的前三位都是1，也就是网络号。

答案中202.3.1都是一样的，重点是比较后面的数字是否在同一个网络号上。

无类型域间选路，简称**CIDR**。这种方式打破了原来设计的几类地址的做法，将32位的IP地址一分为二，前面是**网络号**，后面是**主机号**。

从哪里分呢？你如果注意观察的话可以看到，10.100.122.2/24，这个IP地址中有一个斜杠，斜杠后面有个数字24。这种地址表示形式，就是CIDR。

后面24的意思是，32位中，前24位是网络号，后8位是主机号。

截至 2023 年 12 月，我国 IPv4 地址数量为 39219 万个，IPv6 地址数量为 68042 块 /32，IPv6 活跃用户数达 7.62 亿；

我国域名总数为 3160 万个，其中，“.CN”域名数量为 2013 万个；

我国移动电话基站总数达 1162 万个，互联网宽带接入端口数量达 11.36 亿个，光缆线路总长度达 6432 万公里。

A类地址¶

A类网络地址的IP地址范围为1.0.0.1－127.255.255.254； 在IP地址的四段号码中，第一段号码为网络号，剩下的三段号码为本地计算机的主机号。

如果用二进制表示IP地址的话，A类IP地址就由1字节的网络地址和3字节主机地址组成，网络地址的最高位必须是“0”。所以默认的子网掩码为：255.0.0.0。

A类IP地址中网络的标识长度为7位（第1个字节的最高位固定为0），主机标识的长度为24位。

• 范围：可用的A类网络有126个。每个网络中可以容纳2^24-2个，约一亿多个主机。

• 应用：A类地址分配给规模特别大的网络使用。A类网络用第一个字节表示网络本身的地址，后面三个字节作为连接于网络上的主机地址。例如MS和IBM，阿里这样公司的网络。

A 类占整个地址空间的 50%。 然而，只有 126 个组织可以分配 A 类网络地址。 有趣的是，每个组织都可以为 16,000,000 台主机提供地址。

超大型组织会分配整个 A 类地址块。时至今日，仍有公司和政府组织拥有 A 类地址。例如，通用电气公司拥有 3.0.0.0/8，苹果电脑公司拥有 17.0.0.0/8，美邮政总局拥有 56.0.0.0/8。

明明第一个字节有8位！！！为什么可以表示的网络段只有126个？为什么1---127是128个，而网络段只有126个

A类地址中的**私有地址**和**保留地址**：

① 10.X.X.X是私有地址（所谓的私有地址就是在互联网上不使用，而被用在局域网络中的地址）。

② 127.X.X.X是保留地址，用做循环测试用的。

A类地址默认子网掩码为255.0.0.0 。一个A类IP地址由1字节（每个字节是8位）的网络地址和3个字节主机地址组成，网络地址的最高位必须是“0”,即第一段数字范围为1～127。

每个A类地址理论上可连接16777214台主机，Internet有126个可用的A类地址。

随着IPv4位址枯竭已进入最后阶段，一些组织（如斯坦福大学，以前使用36.0.0.0/8，现在为APNIC拥有）已返还其拥有的块，以推迟地址耗尽时间。

中国共有**7976.6万**个A类IP，全球总共有20.974亿个A类IP地址。中国的A类IP地址占全球的**3.8031%**。

中国作为全球第一大人口大国，其人口13.64亿，占全球72.40亿的**18.84%。相比之下，A类地址只占全球的**3.8031%，相差数倍。反观美国，其人口3.226亿，占全球4.46%，其拥有A类地址据说占超过70%。

事实上，IP的地址的分配存浪费现象。比如：给苹果公司分配了17.0.0.0/8，及一个“完整”的A类IP地址，可以代表1677万个主机。然而苹果公司再有能耐，其研发部门、财务部门、市场部门等等部门加起来拥有的主机（电脑）加起来能够达到1677万么？这里还姑且不计算苹果公司的私有地址。再比如：子网划分可以很大程度上合理使用IP地址资源，然而子网划分技术本身又会产生许多无法分配给主机的广播地址（全1）和本网络地址（全0）。因此综上所述，能够真真切切使用A类IP地址的国人，远低于7976.6

B类地址¶

一个B类IP地址是指，在IP地址的四段号码中，前两段号码为网络号码，剩下的两段号码为本地计算机的号码。

如果用二进制表示IP地址的话，B类IP地址就由2字节的网络地址和2字节主机地址组成，网络地址的最高位必须是“10”（二进制的10）（1000 0000(128) ——>1011 1111(191)）。

B类IP地址中网络的标识长度为16位(网络号范围:128.1 ~ 191.255)，主机标识的长度为16位，B类网络地址适用于中等规模规模的网络，每个网络所能容纳的计算机数为6万多台。

B 类占整个地址空间的 25%。 最多 16,384 个组织可以分配 B 类网络地址，每个网络可以支持 65,534 台主机。

只有那些特大型的公司/组织或政府部门有可能会使用到所有 65,000 个地址。 与 A 类网络类似，B 类地址空间浪费许多 IP 地址。

私有号段：172.16.0.0-172.31.255.255

/x ，x 一般用十进制写法，表示二进制网络地址得前x位是固定的。

比如 , /8 ，表示前8位为固定， 192.0.0.0/8 就表示 192.n.n.n

比如 , /27 ，表示前27位为固定， 192.168.1.0/27 就表示 192.168.1.n（其中n转为二进制，表示 111x xxxx，二进制前三位是固定的）

又因为最后一部分的 《1110 0000》=128+64+32= 224，所以可以用 255.255.255.224 来表示 /27

该企业办公网络采用172.16.1.0/24地址段，部门终端数量如表1-1所示，请将网络地址规划补充完整。

(1)255.255.255.224

(2)172.16.1.65~172.16.1.126

(3)172.16.1.33-172.16.1.62

(4)255.255.255.128

C类地址¶

一个C类地址由3个字节的网络地址和1个字节的主机地址组成，网路地址的最高位必须是“110”，

也即网络地址的范围是：11000000.00000000.00000000-11011111.11111111.11111111转化为10进制为：192.0.0.0到223.255.255.255，默认的子网掩码为：255.255.255.0.

数量：可用的C类网络有：**2^16*32**个，约有**209万**个。每个网路能容纳的主机个数为：254个。

应用：C类地址一般分配给小型网路，如一般的局域网和校园网，它连接的主机数量比较少，把用户分为若干段进行管理。

C段指的是同一内网段内的其他服务器，每个IP有ABCD四个段，举个例子，192.168.0.1，A段就是192，B段是168，C段是0，D段是1，而C段嗅探的意思就是拿下它同一C段中的其中一台服务器，也就是说是D段1-255中的一台服务器，然后利用工具嗅探拿下该服务器。

C段扫描：运营商分配给IDC机房地址时大部分都是连续 的 IP地址，租给客户（渗透目标）时很大概率会分配同C段内IP地址（除非目标就一个IP地址），使用工具扫描可以探测出同段服务。

D类地址¶

私有地址¶

https://www.iana.org/assignments/iana-ipv4-special-registry/iana-ipv4-special-registry.xhtml

在互联网寻址架构中，互联网工程任务组（IETF）和互联网编号分配机构（IANA）为特殊目的保留了各种互联网协议（IP）地址

每次笔记本dhcp获取地址失败后，就会随机在这个B类地址段获取一个地址；在 rfc5735 里面有对所有特殊网络地址说明；

169.254.0.0/16 - This is the "link local" block. As described in [RFC3927], it is allocated for communication between hosts on a single link. Hosts obtain these addresses by auto-configuration, such as when a DHCP server cannot be found.

RFC3927中指出，在IP网络里，每台主机都需要一个IP地址，通常情况下是通过DHCP服务器自动分配，但某些特殊情况下，**DHCP分配失败**或者**没有DHCP服务器**时，终端机器可以自己分配一个IP来完成这个工作。这就是DHCP故障转移机制。

169.254.0.0/16是链路本地地址是互联网协议地址仅用于本地网络（链接）或主机连接到的点对点连接的段内的通信。路由器不转发与链路本地地址的数据包。链路本地地址可以由管理员手动或由操作系统程序来分配。它们大多使用无状态地址自动分配。在IPv4中，它们通常仅当地址配置的没有外部，状态机制存在，如动态主机配置协议（DHCP失败），或者当另一个初级配置方法未能实现（ip冲突）。

RFC1918 指明了A、B、C三类网络的专用地址群，这些地址只能用于机构内部通信，不能用于因特网主机通讯。在外网中的所有路由器，对目的地址是专用地址的数据包一律不进行转发。

https://www.rfc-editor.org/rfc/rfc1918.html#3.%20Private%20Address%20Space

• 10.0.0.0/8
• 192.168.0.0/16
• 172.16.0.0/12

特殊地址¶

网络地址： 网络地址是指仅包含网络号而不包含主机号的IP地址（或者说主机号全为0），它用于唯一标识一个网络。

​ 在网络通信中，网络地址用于路由和寻址（特指一个网段）。例如，一个IP地址为192.168.0.0，IP掩码为255.255.255.0，那么它的网络地址就是192.168.0.0。

​ 子网掩码和IP地址进行逻辑与运算后，可以得到网络地址。

广播地址： 广播地址是指在特定网络上发送广播消息的地址。它用于向网络上的所有设备发送信息。广播地址通常是某个网络的最大可能地址，将主机号部分全部设置为1。

​ 例如，在 IP 地址为192.168.0.0，IP掩码为255.255.255.0 的情况下，广播地址就是192.168.0.255。

主机地址： 主机地址是指除网络地址和广播地址之外的IP地址部分。它用于标识一个特定的主机或设备。主机地址可以是网络中的任意一个有效地址。

​ 例如，在 IP 地址为192.168.0.0，IP掩码为255.255.255.0 的情况下，可以有从192.168.0.1到192.168.0.254的主机地址。

网关地址：网关的IP地址是具有路由功能的设备的IP地址，具有路由功能的设备有路由器、启用了路由协议的服务器（实质上相当于一台路由器）、代理服务器（也相当于一台路由器）。

​

子网划分/VLSM¶

IP地址的数量是有限的、紧缺的。当网络规模较少，不足以使用一个主类网地址段的时候，会产生地址浪费。

• 比如网络中只有2台主机，这个网络只需要2个IP地址，但是最小的主类网C类网的每个网段拥有254个可用地址，这样就会浪费252个地址。

• 比如网络中有260台主机，主类网C类网无法满足，B类网每个网段拥有65534个可用地址，这样就会产生非常多的浪费。当前，也可以分配2个C类网的网段，减少浪费，不过浪费还是不可避免的。

所以，在实际网络中，子网划分的必须要做的。

子网允许将一个大的网络划分成许多小的网络，以方便使用和管理。并且在一个企业或组织内部可以将子网应用到不同的部门，这样使得网络更加合理。

子网将一部分主机部分拿出来作为子网部分，俗称“借位”，从而形成一种新的IP地址结构，即在IP地址的网络部分和主机部分之间又出现了子网部分。

如何实现？1个IP地址如何区分它的网络部分（含子网部分）和主机部分？不同的IP地址又是如何区分它们是否在同一网段？

这里说同一网段，一般是指同一个子网段。

子网划分的术语叫做VLSM（可变长子网掩码，Variable Length Subnet Mask），这里的子网掩码，又称为网络掩码，就是来解决子网划分的问题。

子网掩码和IP地址一样也是32位，用二进制表示是一堆连续的1、后面接一堆连续的0。

• 值为1的位对应IP地址中的网络部分（含子网部分）；

• 值为0的位对应主机部分

当然，子网掩码，也可以用点分十进制表示，或者直接用掩码长度表示。

通过将IP地址的网络部分进一步划分为若干个子网，解决了IP地址空间利用率低和两级IP地址不够灵活的问题。

当一个单位的主机很多时，为了便于管理，可将单位内部的主机号码再进一步划分为多个子网。通过子网划分，整个网络地址可以划分成更多的小网络。

子网的划分是网络内部的行为，从外部看，这个单位只有一个网络号码。

只有当外部的报文进入到本单位范围后，本单位的路由设备才根据子网号码再进行选路，找到目的主机。

通过改变ip的掩码长度来改变ip的网络地址，把原来的ip地址从网络位+主机位，改成网络位+子网位+主机位。从而达到缩小主机个数或者扩大主机个数。

缩小主机位，可以避免ip资源的浪费，减小广播域，提高效率。扩大主机位可以使节点的路由条目简化。

就是借用ip地址四段中某一段，使得这段既有网络位又有主机位。

我们知道，ip地址用32位二进制数字表示，为了方便记忆，每8位用十进制数据和.来分开，如222.90.12.24，分为四段，每段的取值是在0-255间。

公网ip是用来寻址和定位某一台设备。

定长掩码/等长子网划分¶

• 定长子网掩码划分子网：所划分出的每一个子网都使用同一个子网掩码。
• 特点：每个子网所分配的IP地址数量相同，容易造成地址资源的浪费。

【例1】假设申请到的 C 类网络为218.75.230.0，使用定长的子网掩码划分子网来满足需求：

• 网络 1 需要 IP 地址数量为 9
• 网络 2 需要 IP 地址数量为 28
• 网络 3 需要 IP 地址数量为 15
• 网络 4 需要 IP 地址数量为 13
• 网络 5 需要 IP 地址数量为 4

【解】因为有 5 个子网，因此可以从主机号借来 3 个比特作为子网号使用，则子网掩码为：11111111.11111111.11111111.1110000 --> 255.255.255.224

该 C 类网的格式如下表所示，子网号一共 3 个比特，可划分 8 个子网；

所以一共划分为 8 个子网，可供上述 5 个子网选择使用：

变长子网掩¶

• 变长子网掩码划分子网：所划分出的每一个子网可以使用不同的子网掩码。
• 特点：每个子网所分配的IP地址数量可以不同，尽可能减少对地址资源的浪费。
• 在地址块中选取子块的原则：每个子块的起点位置不能随便选取，只能选取主机号部分是块大小整数倍的地址作为起点。建议先为大的子块选取。

采用可变长度子网掩码，网络的类别已不重要了，网络中主机的数量也不是固定的，而是依据实际情况的需要而确定。

为了实现灵活的网络大小规划，在网络号与主机号中间增加了一个概念——子网。

子网概念的增加并没有改变 IP 地址的实际长度，而是采用：从表示主机的二进制位的位数中借用一定的位数来表示子网的方法实现（网络中主机数会减少）

同时，子网掩码也不再是 8 位、16、24 位这些 8 的倍数了，它会根据实际需要使用不同的位数来表示网络号。

VLSM的作用就是在类的IP地址的基础上，从它们的主机号部分借出相应的位数来做网络号，也就是增加网络号的位数。

【例 1】假设申请到的地址块为218.75.230.0/24，使用变长的子网掩码划分子网来满足需求：

• 网络 1 需要 IP 地址数量为 9
• 网络 2 需要 IP 地址数量为 28
• 网络 3 需要 IP 地址数量为 15
• 网络 4 需要 IP 地址数量为 13
• 网络 5 需要 IP 地址数量为 4

从地址块 218.75.230.0/24 中取出 5 个地址块（/30，/28，/28，/28，/27）：

https://www.cnblogs.com/Mount256

https://support.huawei.com/enterprise/zh/doc/EDOC1100033729/aa71da89

该企业办公网络采用172.16.1.0/24地址段，部门终端数量如表1-1所示，请将网络地址规划补充完整。

超网¶

超网(Supernetting)是与子网类似的概念，IP地址根据子网掩码被分为独立的网络地址和主机地址。

超网，也称无类别域间路由选择（CIDR），它是集合多个同类互联网地址的一种方法。

超网与子网相反，在子网划分中，一个大网络被分成多个较小的子网，在超网中，多个网络组合成一个更大的网络，称为超网络或**超网**。

路由表包含每个网络的子网掩码条目，如果有很多小型网络，则路由表的大小会增加。

当路由器有一个大路由表时，路由器处理路由表需要很长时间，超网用于减小 IP 路由表的大小，以提高网络路由效率。

合并网段

示例：某企业有一个网段，该网段有200台主机，使用 192.168.0.0/255.255.255.0网段。后来计算机数量增加到400台，为后来增加的200台主机使用 192.168.1.0/255.255.255.0网段。

在路由器配置了 192.168.0.1 的IP地址接口，再添加 192.168.1.1 地址后，这样192.168.0.0和192.168.1.0这两个网段内的主机就通过路由器转发来实现通信了。

那么有没有更好的办法，让这两个C类网段的计算机认为在一个网段？

这就需要将192.168.0.0/24和192.168.1.0/24 两个C类网络合并。网段合并：子网掩码向前移动1位，使得网络部分保持前部分相同。

注：子网掩码往左移1位，能够合并2个连续的网段，但**不是任何连续的网段都能合并**。

①、合并之后网段为：192.168.0.0/23

网络规划案例¶

https://blog.csdn.net/m0_63624418/article/details/133420879

网络层概述¶

路由器是用来连接多个不同网络（或子网），工作在TCP/IP体系的网络层，负责处理IP数据包。现在我们从整体宏观的视角来看就是：

既然一个路由器能连接多个不同的网络（或子网），那么很多个路由器用通信线路连接起来，就组成了更大范围的网络互联。

同样的道理再扩大范围，也就不难理解：因特网上存在着大量的数以万计的路由器，再加上通信线路以及其它的网络设备就组成了全世界最大的广域网。

其实这就像日常生活中的交通一样，在我们生活的某个城市（无论是大城市还是县城、乡镇），都有为我们出行提供服务的公路，比如从当地的一所学校到一家大型超市，通过查地图我们能知道到达某个路口之后应该怎么走，最终到达目的地。

类比到计算机网络中也是一样的，路口就相当于路由器，公路就相当于通信线路，人就相当于数据包。

现实中的人是灵活的，去往一个陌生地方可以查地图、用导航，如果途中实在迷路还可以询问一下别人。

那么网络中的数据包怎么办呢，它们不像人这么智能，这时候就需要路由器为它指明路径了。

路由¶

技术背景：在一个典型的数据通信网络中，往往存在多个不同的IP网段，数据在不同的IP网段之间的转发，就需要借助具有路由功能的设备**（路由设备）**

当路由设备收到一个IP数据包，路由器会根据**数据包的目的IP**地址，去查找自己的==FIB表（Forwarding Information Base，转发信息库）==

• 如果查找结果中有匹配的表项（**"最匹配"**的路由条目后），那么便依据此表项所指示的出接口或下一跳进行转发；
• 如果没有匹配的表项，就去检查是否存在默认路由(默认路由做为兜底方案)；
• 如果默认路由也不存在，这个IP数据包会被丢弃，同时路由设备会向数据包的源端设备发送ICMP（Internet Control Message Protocol，因特网控制消息协议）报错消息，报告该目的地址或网络不可达。

默认路由在局域网中有非常重要的应用，因为在局域网中路由器一般用来连接外网（比如与电信等通信运营商连接）。

如果使用静态路由的话，管理员就需要知道外网的全部网段，这几乎是一件不可能的事情，但如果在路由表中增加一条默认路由，就可以让局域网内的所有用户在访问外网时都走这条默认路由，从而用一条命令就可以解决问题

路由就是报文从源端到目的端的路径。当报文从路由器到目的网段有多条路由可达时，路由器可以根据路由表中最佳路由进行转发。

最佳路由的选取与发现此路由的路由协议的优先级、路由的度量有关。当多条路由的协议优先级与路由度量都相同时，可以实现负载分担，缓解网络压力；

路由器获取路由的方式有三种，分别是**动态路由（例如OSPF）、**静态路由、直连路由

一个网络中可能会同时存在这三种方式，那么采用不同方式获取路由的路由器之间如何实现路由可达？

当多条路由的协议优先级与路由度量不同时，可以构成路由备份，提高网络的可靠性。

每台路由器中都保存着一张本地核心路由表，同时各个路由协议也维护着自己的路由表。

• 协议路由表

协议路由表中存放着该协议发现的路由信息。路由协议可以引入并发布其他协议生成的路由。

例如，在路由器上运行**OSPF（Open Shortest Path First）**协议，需要使用OSPF协议通告直连路由、静态路由或者IS-IS路由时，要将这些路由引入到OSPF协议的路由表中。

• 本地核心路由表

本地核心路由表用来保存协议路由和决策优选路由，这张路由表依据各种路由协议的优先级和度量值来选取路由。

可以使用display ip routing-table命令查看。

控制平面和转发平面¶

现代路由器一般是采用**控制平面与数据平面**分离的设计。高效分工、各司其职。

• 控制平面：即路由器的CPU，主要是处理**路由协议（OSPF、ISIS、BGP）**等决策性工作。

• 网络层的控制平面的功能，即网络范围的逻辑，控制平面功能控制数据报沿着从源主机到目的主机的端到端路径中路由器之间的路由方式。涉及到路由选择算法，以及广泛用于今天因特网中的诸如OSPF和BGP等路由选择协议。

• 路由选择：是指确定分组从源到目的地所采取的的端到端路径的网络范围处理过程。时间长（几秒），通常用软件来实现。它根据**路由选择协议**构造出路由表，路由表需要对网络拓扑变化的计算最优化。

• 传统方法：由路由器的硬件使用路由选择算法决定插入该转发表的内容。控制平面路由选择协议和数据平面转发功能已经被实现成一个整体，并位于一台路由器中。

• 软件定义网络SDN：通过将这些控制平面功能作为一种单独的服务，明确地分离数据平面和控制平面，控制平面功能通常置于一台远程控制器中。以软件编程的方式来实现控制。

• 数据平面：即接口、交换模块。进行具体的数据包转发工作。

• 数据平面功能，即网络层中每台路由器的功能，该数据平面功能决定到达路由器输入链路之一的数据报（即网络层的分组）如何转发到该路由器的输出链路之一。
• 转发：是指将分组从一个输入链路接口转移到适当的输出链路接口的路由器本地动作。时间短（几纳秒），通常用硬件来实现。转发由三部分组成：交换结构、输入端口、输出端口。
• 转发是一个节点在本地执行的一个相对简单的过程，即报文从某台设备的一个端口进入而从另一个端口出去。
  • 输入端口：物理层的比特流→数据链路层中解析出帧→网络层中解析出 IP 数据报→输入端口。
  • 输出端口：输出端口→网络层封装 IP 首部→数据链路层封装帧首部→物理层传输比特流。
  • 交换结构：路由器的关键部件，它根据**转发表**对分组进行处理。转发表是由路由器得来的，转发表的结构应当使查找过程最优化。

各自职责：控制面作为"领导"，确定战略方向后，将工作细化成可执行的单元，下发给接口板上的转发信息表FIB。

报文到达时，各个接口直接查询FIB就能完成傻瓜似的转发。

为了提高转发性能。接口板其实是有自己的专用处理器（华为叫NP，网络处理器），可对报文进行硬件级转发。

所以，各个接口板其实是并行工作的，可以做到**线速转发**。

线速转发是指网络设备处理数据包的速度，与接收数据包的线路速度（即物理接口的带宽）完全匹配。

控制平面¶

控制平面是指系统中用来传送指令、计算表项的部分。诸如协议报文收发、协议表项计算、维护等都属于控制平面的范畴。

例如，在路由系统中，负责路由协议学习、路由表项维护的进程就属于控制平面；而在交换系统中，负责MAC地址学习的进程则属于控制平面。

转发平面¶

转发平面是指系统中用来进行数据报文的封装、转发的部分。诸如数据报文的接收、解封装、封装、转发等都属于转发平面的范畴。

例如，系统接收到IP报文后，需要进行接封装、查路由表、从出接口转发等，系统中负责以上行为的进程则属于转发平面。

控制平面和转发平面相对独立又协同工作。系统的控制平面进行协议交互、路由计算后，生成若干表项，下发到转发平面，指导转发平面对报文进行转发。

例如，路由器通过OSPF协议建立了路由表项，再进一步生成FIB表，快速转发表等，指导系统进行IP报文转发。

良好的系统

控制平面和转发平面可以是物理分离，也可以是逻辑分离。

高端的设备如核心交换机、核心路由器，一般采用控制平面和转发平面物理分离。其主控板上的CPU不负责报文转发，而专注于系统的控制；而业务板则负责数据报文转发。如果主控板损坏，业务板仍然能够转发报文。

对于入门级的网络设备，受限于成本，一般只做到逻辑分离。即设备启动后，系统将CPU和内存资源划分给不同的进程，有的进程负责路由学习，有的进程负责报文转发。

路由器数据转发过程

• 入接口处理（接口板）

• 路由器收到这个报文，链路层将物理层的比特流解析为帧。如果二层帧目的地址是路由器本身（包括MAC地址、PPP等），则进行三层解析。

• 三层解析、查路由表（主控板）

• 路由器进行三层解析，得知帧所承载的网络层协议类型为IPv4（协议类型值是0x800），即需要进行IPv4转发；

• 查路由表（实际是接口板的FIB表），得知该报文并不是发给自己的，而是需要送往出端口Port2，因此，路由器不再继续分析IP头后面的内容。

• 出接口处理（接口板）
• IP报文的二层已经被剥离，但三层的**源IP和目的IP**是没有被修改过的（IP报文的TTL要减一）。
• 出接口要做的事：需要确定二层的源地址、目的地址。（在发送报文时，路由器需要确定出接口上二层的源地址、目的地址。）
• 然后封装二层信息，从出接口发送出去。

核心问题：在发送报文时，路由器需要确定出接口上二层的源地址、目的地址。

https://www.zhihu.com/question/263357419/answer/268370992

IP选路机制和选路策略¶

IP 层执行机制（Mechanism）：

• 当一个 IP 分组到达时，IP 层（通常在操作系统内核中实现）会进行快速查找。
• 它查看当前内存中的**路由表 (Routing Table / FIB)**，找到最匹配（最长前缀匹配）的条目。
• 然后，它**机械地**执行该条目指定的动作：将分组发送给下一个跳的 IP 地址，并通过指定的网络接口发送。
• 重点： IP 层**不关心**这些路由是如何来的，它只管**高效地执行**既定的指令。

路由守护程序提供策略（Policy）：

• 路由守护程序运行在**用户空间 (User Space)**，通过实现路由协议（如 OSPF, BGP, RIP 等）来与其他路由器交换信息。
• 它**根据预设的规则**（如协议的优先级、管理员的配置策略、度量值计算等），选择最优的路径。
• 然后，它将这些**最优路径**以**路由条目**的形式**注入 (Inject)** 到内核的路由表（即 IP 层所使用的表）中。
• 重点： 守护程序**决定**了路由表的**内容**，即制定了**策略**。

网络设备中**控制平面 (Control Plane)** 和 数据平面 (Data Plane) 的经典划分：

• 策略 / 守护程序 属于 控制平面 (Control Plane)，负责决策。
• 机制 / IP 层 属于 数据平面 (Data Plane)，负责转发。

没有达到目的地的路由

如果路由表中没有默认项，而又没有找到匹配项，这种情况下，结果取决于该IP数据报是由主机产生的还是被转发的（例如，是不是一个路由器）：

• 如果数据报是由本地主机产生的，那么就给发送该数据报的应用程序返回一个差错，或者是“主机不可达差错”或者是“网络不可达差错”
• 如果是被转发的数据报，那么就给原始发送端发送一份ICMP主机不可达的差错报文。
• 当路由器收到一份IP数据报但又不能转发时，就要发送一份 ICMP "主机不可达" 差错报文

在Linux内核层面，

在内核源码中，与 IPv4 路由表相关的核心实现和数据结构定义主要位于 net/ipv4/ 目录下。

• 数据结构 (存储结构)：

• FIB (Forwarding Information Base)： 这是内核用于实际转发数据包的路由表。

• 数据结构类型： Linux 内核使用高度优化的数据结构来实现 FIB。

  最常用的是 Trie 树（Patricia Trie 或 Radix Tree） 或类似的变种，以实现对 IP 地址的**最长前缀匹配 (Longest Prefix Match, LPM)** 的快速查找。

• 查找算法 (机制)：

• 内核实现了基于这些 Trie 树的查找算法。

  • 当数据包到达时，ip_rcv 路径中的某个函数（例如涉及 ip_route_input() 或 ip_route_output() 的调用链）会调用这些算法，遍历 Trie 树，以最快速度找到最具体的匹配路由条目。

• 这部分代码负责执行之前提到的**“选路机制”**。

• 用户接口：net/core/rtnetlink.c

虽然内核负责查找和维护数据结构，但路由表的**内容**是由用户空间添加的。这是通过 Netlink 机制实现的：

• Netlink： 是一种特殊的套接字机制，用于**用户空间**进程（如 ip route 工具或路由守护程序）与**内核**网络子系统之间进行通信。

• rtnetlink.c 及相关代码负责处理来自用户空间的添加、删除、修改路由条目的请求，并确保这些更改被安全、原子地应用到内核的 FIB 数据结构中。

• 缓存机制：Routing Cache (在较新内核中已被替换或弱化)

在旧版本的内核中，路由查找结果会存储在一个 路由缓存 (Routing Cache) 中，以加速对相同目标的重复查找。

然而，由于缓存同步和内存消耗的问题，在较新的 Linux 内核中，路由缓存的概念已被**更细粒度的、基于流的（Per-Flow）*或**邻居发现 (Neighbor Discovery)* 机制所替代或优化，以提高性能和减少开销。

Flags Possible flags include

• U (route is up)
• H (target is a host)
• G (use gateway)
• R (reinstate route for dynamic routing)
• D (dynamically installed by daemon or redirect)
• M (modified from routing daemon or redirect)
• A (installed by addrconf)
• C (cache entry
• ! (reject route)

路由表和转发表¶

路由表被称为**路由信息库（Routing Information Base，RIB），转发表也叫转发信息库（Forwarding Information base，FIB）**。

具备路由功能的华为数通设备（路由器、三层交换机等），都维护着两种重要的数据表：路由表（RIB）、转发表(FIB)。

路由表通常存储在设备的动态内存中，如RAM随机存储器中，每台路由器都维护着一张全局路由表，另外路由器所运行的每种路由协议也维护着该协议自己的路由表。

全局路由表，就是通过display ip routing-table命令输出的表格。

路由器可以通过多种途径获取路由信息，它可以运行多种动态路由协议，而每一种通过动态路由协议所获知的路由信息首先存储于该协议自己的路由表中，然后路由器根据路由优先级和度量值等信息来进行路由的优选，并将优选路由加载到全局路由表中。

实际上路由表并不直接指导数据转发，也就是说，路由器在执行路由查询时，并不是在路由表中进行报文目的地址的查询，真正指导数据转发的是FIB表。

由于两张表的一致性，在绝大多数场合中，我们阐述路由器转发数据过程时，会用"路由器查询路由表来决定数据转发的路径"这一说法，但需要注意的是，路由器查询的是FIB表，位于控制层面的路由表只是提供了路由信息而已。

路由器的结构结构可划分为两大部分：路由选择部分**和**分组转发部分

路由选择部分==也叫做**控制部分**，其核心构件是**==路由选择处理机**。

路由选择处理机的任务是根据所选定的路由协议构造出路由表，同时经常或定期地和相邻的路由器交换路由信息而不断地更新和维护路由表。

分组转发部分由三部分组成：交换结构、输入端口和输出端口。

交换结构的作用就是根据**转发表(forwarding table)**对分组进行处理，将某个输入端口进入的分组从一个合适的输入端口转发出去。

请注意“转发”和“路由选择”是有区别的。

路由器转发数据包的关键是**路由表**和**转发表**，每个路由器都至少保存着一张路由表和一张FIB（Forwarding Information Base）表。路由器通过路由表选择路由，通过FIB表指导报文进行转发。

• **路由表**被称为路由信息库（Routing Information Base，简称RIB）
• **转发表**被称为转发信息库（Forwarding Information Base，简称FIB）

在路由器中，执行命令 display ip routing-table时，可以查看路由器的路由表概要信息。

路由表是一个存储在路由器或者我们计算机中的电子表格或类数据库。路由表存储着指向特定网络地址的路径（在有些情况下，还记录有路径的路由度量值。）

出接口其实和下一跳同理，不过唯一区别就是出接口指的是自己本地出去的接口，而下一跳是直连路由器的ip地址，一个是接口，一个是IP地址，一个是本地，一个是下一路由器。

• 优先级Preference：表示此路由的**路由协议优先级**。
• 针对同一目的地，可能存在不同下一跳、出接口等多条路由，这些不同的路由可能是由不同的路由协议发现的，也可以是手工配置的静态路由。
• 事实上，在某一时刻，到某一目的地的当前路由仅能由唯一的路由协议来决定。
• 为了判断最优路由，各路由协议（包括静态路由）都被赋予了一个优先级，当存在多个路由信息源时，具有较高优先级（取值较小）的路由协议发现的路由将成为最优路由，并将最优路由放入本地路由表中。

• 核心关键：就是路由器会选择优先级最高（数值最小）的将成为当前的最优路由。，路由来源的优先级值（Preference）越小代表加入路由表的优先级越高。

• 路由开销Cost：

• 下一跳NextHop

• 下一跳 是

• 出接口Interface

• 出接口 指的是

display ip routing-table：

最长匹配原则¶

当路由器收到一个IP数据包时，会将数据包IP头部中的目的IP地址与自己本地路由表中的表项进行bit by bit（逐位）查找，直到找到匹配度最长的条并按照这个条目所指示进行，这叫最长匹配原则。

路由协议优先级Preference¶

如果是思科，静态优于其他，仅次于直连。

ip route-static 0.0.0.0 0.0.0.0 192.168.2.1 preference 100

配置一条静态默认路由，将所有未知目的地的流量发送给下一跳 192.168.2.1，并将其路由优先级设为 100（低于默认静态路由优先级），通常用于备用出口。

静态路由与动态路由¶

路由器不仅支持静态路由，同时也支持RIP（Routing Information Protocol）、OSPF（Open Shortest Path First）、IS-IS（Intermedia System-Intermedia System）和BGP（Border Gateway Protocol）等动态路由协议。

路由协议是路由器之间维护路由表的规则，用于发现路由，生成路由表，并指导报文转发。依据来源的不同，路由可以分为三类：

• 直连路由：通过链路层协议发现的路由。

• 直连路由的目的地址是路由器本地接口所在的网段，由路由器自行发现并写入路由表中；

• 静态路由：通过网络管理员手动配置的路由。

• 动态路由：通过动态路由协议发现的路由。
• RIP（Routing Information Protocol）
• OSPF（Open Shortest Path First）
• IS-IS（Intermedia System-Intermedia System）
• BGP（Border Gateway Protocol）

**静态路由**配置方便，对系统要求低，适用于拓扑结构简单并且稳定的小型网络。缺点是不能自动适应网络拓扑的变化，需要人工干预。

动态路由协议有自己的路由算法，能够自动适应网络拓扑的变化，适用于具有一定数量三层设备的网络。缺点是配置对用户要求比较高，对系统的要求高于静态路由，并将占用一定的网络资源和系统资源。

直连路由¶

直连路由：由链路层协议发现的，一般指去往路由器的接口地址所在网段的路径，该路径信息不需要网络管理员维护，也不需要路由器通过某种算法进行计算获得，只要该接口处于活动状态（Active），路由器就会把通向该网段的路由信息填写到路由表中去。

每当初始化一个接口时（通常是用ifconfig命令设置接口地址），就为接口自动创建一个直接路由。

• 对于点对点链路和环回接口来说，路由是到达主机（例如，设置 H标志）。

• 对于广播接口来说，如以太网，路由是到达网络。

动态路由的分类¶

当相邻路由器之间进行通信，以告知对方每个路由器当前所连接的网络，这时就出现了动态选路。

路由器之间必须采用选路协议进行通信，这样的选路协议有很多种。

路由器上有一个进程称为路由守护程序（ routing daemon），它运行选路协议，并与其相邻的一些路由器进行通信。

路由守护程序根据它从相邻路由器接收到的信息，更新内核中的路由表。

RIP 属于动态路由协议（Routing Information Protocol），而华为设备出厂时：

• 仅启用基本的静态路由、直连路由；
• 所有动态路由协议（包括 RIP、OSPF、BGP、IS-IS）默认都不会自动运行；
• 需要你在系统视图或接口视图中手动启用并配置。

对动态路由协议的分类可以采用以下不同标准：

根据作用范围不同，路由协议可分为：

• 内部网关协议IGP（Interior Gateway Protocol）：在一个自治系统内部运行。常见的IGP协议包括RIP、OSPF和IS-IS。
• 每个自治系统可以选择该自治系统中各个路由器之间的选路协议。
• 虽然 RIP 使用 UDP（传输层），但它**不是为应用程序服务的**，而是为**网络层路由功能服务的**，因此**逻辑上属于网络层协议**。
• 外部网关协议EGP（Exterior Gateway Protocol）：运行于不同自治系统之间。BGP是目前最常用的EGP协议。

根据使用算法不同，路由协议可分为：

• 距离矢量协议（Distance-Vector Protocol）：包括RIP和BGP。其中，BGP也被称为路径矢量协议（Path-Vector Protocol）。
• 链路状态协议（Link-State Protocol）：包括OSPF和IS-IS。

最长匹配原则

将数据包的目的IP地址与自己本地路由表中的所有路由表项进行**逐位(bit-by-bit)比对**，直到找到**匹配度最长**的条目。

dis ip routing-table 192.168.2.1 查看路由匹配情况，显示与目的地址最长匹配的路由表项。

• 对于 display ip routing-table ip-address，显示与目的地址最长匹配的路由表项。
• 对于**display ip routing-table** ip-address mask，显示与目的地址和掩码精确匹配的路由表项。
• 对于**display ip routing-table** ip-address longer-match，显示与目的地址和自然掩码指定的IP地址匹配的所有路由表项。
• 对于**display ip routing-table** ip-address mask longer-match，显示与目的地址和输入掩码指定的IP地址匹配的所有路由表项。
• 对于**display ip routing-table** ip-address1 mask1 ip-address2 mask2，该命令用来查看目的地址在输入的*ip-address1* mask1*到*ip-address2 *mask2*范围内的路由表项。

ECMP等价路由¶

多条路由的优先级和路由度量都相同时，这几条路由就称为等价路由。多条等价路由可以实现负载分担。

即根据五元组（源地址、目的地址、源端口、目的端口、协议）进行转发，当五元组相同时，路由器总是选择与上一次相同的下一跳地址发送报文。

当五元组不同时，路由器会选取相对空闲的路径进行转发。

等价多路径路由ECMP（Equal-Cost Multi-Path routing）实现了**等价多路径负载均衡和链路备份**的目的。

ECMP应用于多条不同链路到达同一目的地址的网络环境中。

如果使用传统的路由技术，发往该目的地址的数据包只能利用其中的一条链路，其它链路处于备份状态或无效状态，并且在动态路由环境下相互的切换需要一定时间。

而ECMP可以在该网络环境下同时使用多条链路，不仅增加了传输带宽，并且可以无时延无丢包地备份失效链路的数据传输。ECMP的负载分担方式可以分为**逐流负载分担以及逐包负载分担**。

• **逐流负载分担**能保证包的顺序，保证了同一数据流的帧在同一条下一跳路由转发，而不同数据流在不同的下一跳路由上转发。

• **逐包负载分担**可以提高ECMP的带宽利用率，使等价多路径路由分担更均匀，但存在数据包乱序的问题，需要确保流量接收的设备或终端支持报文乱序组包的功能。

相较于逐流负载分担，逐包负载分担优先级更高，当两者配置同时存在时逐包负载分担方式生效。

RIP路由¶

RIP是Routing Information Protocol（路由信息协议）的简称，它是一种较为简单的内部网关协议（Interior Gateway Protocol）。 <<<<<<< HEAD =======

RIP是一种基于距离矢量（Distance-Vector）算法的协议，它使用跳数（Hop Count）作为度量来衡量到达目的网络的距离。

RIP通过UDP报文进行路由信息的交换，使用的端口号为520。

它的核心工作方式就是：定期（默认每 30 秒）将自身的整个或部分路由表信息，自动发送给直接相连的邻居路由器。

核心工作逻辑（距离矢量）

1. 发送路由表： 路由器 A 会将自己的路由表（它知道如何到达哪些网络，以及开销是多少）发送给所有与其直接相连的邻居路由器 B 和 C。
2. 更新路由表：
3. 邻居路由器 B 收到 A 发来的路由信息后，会将**度量值（Metric，即跳数/Hop Count）加 1**。
4. B 将加 1 后的度量值与自己路由表中已有的到达同一目的网络的路由进行比较。
5. **如果**收到的路由（经过 A）的跳数更少，则 B 会更新自己的路由表，将下一跳（Next Hop）指向 A。
6. 度量值（Metric）： RIP 使用 跳数 作为度量值。每经过一个路由器，跳数就加 1。
7. 限制： RIP 规定最大跳数是 15。任何大于等于 16 的跳数都被视为**不可达（Infinity）**。这也是 RIP 不适合大型网络的主要原因。
8. 防止环路机制： 为了避免路由环路，RIP 使用了一些附加机制，例如：
9. 水平分割（Split Horizon）： 从某个接口学到的路由，不会再从该接口发回给邻居。
10. 毒性逆转（Poison Reverse）： 将度量值设为 16（不可达），然后发回给邻居，明确宣告某条路由已失效。

总之，“路由器自动将自身的路由信息传递给相邻的路由器是 RIP 协议维持网络拓扑信息的基础和主要逻辑。

1. 水平分割（Split Horizon）¶

• 规则：从某个接口学到的路由，不再从该接口发送回去。
• 目的：防止路由环路（尤其在两两相连的简单拓扑中）。
• 行为：**直接不发送**该路由更新。

🌰 举例： R1 →（从接口S0学到路由X）→ R2 R2 **不会**再通过 S0 把路由X发回给 R1。

2. 毒性反转（Poison Reverse）¶

• 规则：从某个接口学到的路由，仍然从该接口发回去，但将 metric 设为 16（RIP 中表示“不可达”）。
• 目的：加速收敛，明确告诉邻居“这条路不通”，避免对方等待超时。
• 行为：主动发送“毒化”路由。

在大多数实现（包括 Cisco、华为等）中：

✅ 启用毒性反转时，设备会自动禁用普通水平分割，转而使用“带毒化的反向通告”。

也就是说：

• 你不能同时让“不发送”和“发送毒化路由”同时发生——这是矛盾的。
• 毒性反转是一种“更积极”的水平分割变体，它用“发送毒路由”代替了“沉默不发”。

因此，当你**同时开启两者**时，系统通常会**优先采用毒性反转的行为**，因为：

1. 它提供了**更快的故障收敛**；
2. 它**兼容水平分割的防环目标**，还额外传递了“显式不可达”信息。

🔧 这不是“水平分割失效”，而是**毒性反转替代了它的实现方式**。

旁路由¶

+------------------+       +---------------------+
|                  |       |                     |
|   主路由          |<----->|  光猫 / 上游网络      |
| (192.168.1.1)    |       | (WAN)               |
|                  |       |                     |
+--------+---------+       +---------------------+
         |
         | (LAN: 192.168.1.0/24)
         |
         |    +------------------+
         +--->|  普通设备        |
         |    | (PC、手机等)     |
         |    +------------------+
         |
         |
         |    +------------------+
         +--->|  旁路由          |
              | (192.168.1.2)    |
              | 运行 AdGuard/      |
              | OpenWrt/软路由    |
              +------------------+
                      |
                      | (可选：接管 DNS 或网关)
                      v
                [透明代理 / 广告过滤 / 科学上网]

当路由器检测到一台主机或网络设备使用非优化路由的时候，它会向该主机或网络设备发送一个ICMP重定向报文，请求主机或网络设备改变路由。

在这种旁路由场景，就会发生ICMP重定向。发生ICMP重定向的目的是：

• 旁路由发给PC，你可以直接把自己的网关(默认路由)指向主路由就行。没必要指向我了。

回送ICMP重定向的条件必须满足如下：

1、PC等局域网设备的默认网关被指向为旁路由的IP，而不是主路由的IP。

2、旁路由自身的下一跳路由指向了主路由。

3、在旁路由上，数据的出接口和入接口必须相同。

4、内核必须配置成可以发送重定向报文。

510a4e0e411cf95f3eb937e20565779a0723c268

RIP协议是最早的内部网关协议之一，RIP协议被设计用于使用同种技术的中小型网络。由于RIP的实现较为简单，在配置和维护管理方面也远比OSPF和IS-IS容易，因此在实际组网中仍有广泛的应用。

流量行为控制¶

路由策略¶

路由策略（Routing Policy）是为了改变网络流量所经过的途径而修改路由信息的技术，主要通过改变路由属性（包括可达性）来实现。

策略路由¶

策略路由PBR（Policy-Based Routing）是一种依据用户制定的策略进行路由选择的机制，分为本地策略路由、接口策略路由和智能策略路由SPR（Smart Policy Routing）。

ACL¶

https://info.support.huawei.com/info-finder/encyclopedia/zh/ACL.html

https://support.huawei.com/enterprise/zh/doc/EDOC1100034260/9aca1495

访问控制列表ACL（Access Control List）**是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。**

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

ACL的组成

• ACL编号：用于标识ACL，表明该ACL是数字型ACL。

根据ACL规则功能的不同，ACL被划分为**基本ACL**、高级ACL、**二层ACL**和**用户ACL**这几种类型，每类ACL编号的取值范围不同。

除了可以通过ACL编号标识ACL，设备还支持通过名称来标识ACL，就像用域名代替IP地址一样，更加方便记忆。这种ACL，称为**命名型ACL**。

命名型ACL实际上是“名字+数字”的形式，可以在定义命名型ACL时同时指定ACL编号。如果不指定编号，则由系统自动分配。

例如，下面就是一个既有名字“deny-telnet-login”又有编号“3998”的ACL。

#                                                                               
acl name deny-telnet-login 3998                                                 
 rule 0 deny tcp source 10.152.0.0 0.0.63.255 destination 10.64.0.97 0 destination-port eq telnet                            
 rule 5 deny tcp source 10.242.128.0 0.0.127.255 destination 10.64.0.97 0 destination-port eq telnet
#   

• 规则：即描述报文匹配条件的判断语句。

• 规则编号：用于标识ACL规则。可以自行配置规则编号，也可以由系统自动分配。

  • ACL规则的编号范围是0～4294967294，所有规则均按照规则编号从小到大进行排序。
  • 系统按照规则编号从小到大的顺序，将规则依次与报文匹配，一旦匹配上一条规则即停止匹配。
• 动作：包括permit/deny两种动作，表示允许/拒绝。
• 匹配项：ACL还支持很多其他规则匹配项。例如，二层以太网帧头信息（如源MAC、目的MAC、以太帧协议类型）、三层报文信息（如目的地址、协议类型）以及四层报文信息（如TCP/UDP端口号）等。

设备将报文与ACL规则进行匹配时，遵循“一旦命中即停止匹配”的机制

无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”，该报文最终是被允许通过还是拒绝通过，实际是由应用ACL的各个业务模块来决定。

不同的业务模块，对命中和未命中规则报文的处理方式也各不相同。

例如，在Telnet模块中应用ACL，只要报文命中了permit规则，就允许通过；

而在流策略中应用ACL，如果报文命中了permit规则，但流行为动作配置的是deny，该报文仍会被拒绝通过。

ACL分类¶

在网络中，ACL（访问控制列表）使用**反掩码（Wildcard Mask）来精确地指定**一个或一组 IP 地址，从而决定哪些流量应该被允许或拒绝。

简单来说，反掩码就是告诉 ACL 哪些 IP 地址的位是重要的，哪些是可以忽略的。

反掩码¶

反掩码与子网掩码（Subnet Mask）正好相反：

• 子网掩码：用 1 来表示网络位（必须匹配），用 0 来表示主机位（可以变化）。
• 反掩码：用 0 来表示该 IP 地址的对应位**必须精确匹配**，用 1 来表示该 IP 地址的对应位**可以任意匹配**。

这个"任意"就是为什么它被称为"通配符"（Wildcard）。

示例，假设你有一个 IP 地址 192.168.10.10，以及一个反掩码 0.0.0.0。

• IP 地址：192.168.10.10
• 反掩码：0.0.0.0

因为反掩码所有位都是 0，这意味着 IP 地址的每一位都**必须精确匹配**。所以，这个 ACL 规则只适用于 192.168.10.10 这个 IP 地址。

ACL实战¶

假设用户已经使用STelnet/Telnet登录设备

# 配置ACL 2005规则，限制VTY 0～VTY 4界面只允许IP地址为192.168.1.5的用户和10.10.5.0/24网段的用户登录设备

<HUAWEI> system-view
[HUAWEI] acl 2005
[HUAWEI-acl-basic-2005] rule permit source 192.168.1.5 0         //允许IP地址为192.168.1.5的用户登录设备
[HUAWEI-acl-basic-2005] rule permit source 10.10.5.0 0.0.0.255   //允许10.10.5.0/24网段的用户登录设备
[HUAWEI-acl-basic-2005] quit
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] acl 2005 inbound
[HUAWEI-ui-vty0-4] quit

旁路由¶

TTL¶

生存时间 (TTL) 是指数据包在被路由器丢弃之前可存在于网络内部的时间或“跃点”数。特指在**网络层**。

IP数据包被创建并通过 Internet 发送时，有可能持续无限期地在路由器之间传递。IPv4数据包下存在 TTL（Time To Live）这一字段，数据包每经过一个路由器（即经过一个网段），该TTL值就会减一。

为了减轻这种可能性，数据包在设计时带有称为生存时间或跃点限制的到期时间。数据包 TTL 可用于确定数据包已流通多长时间，并允许发送方通过 Internet 接收有关数据包路径的信息。

TTL 的设计原本是为了**防止网络出现环路**，限制一个包能被转发的最大次数。

设备（比如路由器）在转发IP数据包的时候会把 TTL 减 1，如果 TTL 还是大于 0，才会转发出去；

如果等于 0，包还没有到达目的地，设备就会丢弃这个包（然后可能发一个 ICMP 告诉 Src IP 这个包因为 TTL 减到 0 而寿终正寝了）。

当其存活次数为0时，路由器便会取消该数据包转发，IP网络的话，会向原数据包的发出者发送一个ICMP TTL数据包以告知跃点数超限。

常用的网络命令 ping 和 traceroute 都使用 TTL。使用 traceroute 命令时，一串剩余计数越来越高的 TTL 的数据包流将通过 Internet 发送到目的地。

由于连接的每一步都是其中一个数据包的最后一站，因此每个位置都会在丢弃数据包后向发送方返回 ICMP 消息。

然后，ICMP 消息返回到发送方所花费的时间就可以用于确定到达网络上每个连续跃点所花费的时间。

为什么三层 IP 协议会有一个 TTL 字段，但是二层没有呢？

TTL 这个机制只能作为防环的一种最后手段，并没有解决问题。在三层上讲，假设一个包的 TTL 被从 64 减到 0 最后丢弃了，那么包已经经过了 64 次转发，这些工作量已经被浪费掉了。

在二层上讲，环路一旦出现，损失就更大了，每次转发流量都会被放大好几倍，可以想象，即使有 TTL，出现环路的话一个包也会被转发成千上万次，也不会有什么改善。

为什么三层还要有 TTL？因为二层网络一般是一个组织控制的，一个公司有多个网络，自己内部想怎么设计都可以。跨组织之间一般是三层，通过路由协议（最流行的是 BGP）来交换路由信息。

一个网络内，我们可以通过技术手段保证没有环路，并对此负责。但是三层方面，我们不能保证邻居的网络没问题，不能保证他们不会把错误的包发送回来导致环路，所以 TTL 是一个在全局层面上，作的最后一个防线。

TTL的典型应用

禁止共享网络

某校园网，相信大家都知道是禁止单一账号下多设备同时访问互联网的，具体表现为 1 个账号只能同时让 1 台有线设备和 1 台无线设备接入互联网，这给我们一些拥有多设备的同学带来了很大的不便，因此不少同学想到了使用家用路由器的方式来解决这个问题，然而校园网会进行共享上网检测，一旦发现一个 IP 下有多个不同设备的流量，就会封禁账号 2-8 小时不等，害的同学们怨声载道。

对于家用的上网资费，平均一年就要数百甚至上千元人民币，而校园网的资费一般都很低，如果一个宿舍只用一个账号一个路由器就可以实现全员上网的话，那 ISP 肯定要亏死，因此肯定会封禁像路由器这种设备的。

ISP 在把 IP 包转发给用户这边的时候，无论 TTL 还剩下多少，都改成 1 才转发给用户。这样，用户的设备**可以收到包却不能转发**。

因为设备（比如路由器）在转发包的时候会把 TTL 减 1，如果 TTL 还是大于 0，才会转发出去；如果等于 0，就会直接丢弃。

即，网络上是不存在 TTL=0 的包的，这是协议规定的。

不同的操作系统的默认 TTL 值是不同的，Windows 是 128， macOS/iOS、Linux 是 64。

因此如果我们自己接入路由器到校园网，我们的通过路由器的数据包会变为 127 或 63，一旦校园网抓包检测到这种数据包TTL不是128或64，就会判定为用户接入了路由器。

共享上网检测机制的研究

目前已知的（可能）存在的有：

• 基于 IPv4 数据包包头内的 TTL 字段的检测
• 基于 HTTP 数据包请求头内的 User-Agent 字段的检测
• DPI (Deep Packet Inspection) 深度包检测技术
• 基于 IPv4 数据包包头内的 Identification 字段的检测
• 基于网络协议栈时钟偏移的检测技术
• Flash Cookie 检测技术

Linux协议栈¶

https://arthurchiao.art/blog/linux-net-stack-zh/

收包流程¶

1. 网卡驱动初始化
2. 数据包到达网卡 NIC(Network Interface Card)
3. NIC 检验 MAC 网卡(网卡非混杂模式)和帧的校验字段

网卡驱动初始化¶

网卡成功完成初始化之后，数据包通过网线到达网卡时，才能被正确地收起来送到更上层去处理。 因此，我们的工作必须从网卡初始化开始，更准确地说，就是**网卡驱动模块的初始化**。 这一过程虽然是**厂商相关**的，但是非常重要；弄清楚了网卡驱动的工作原理， 才能对后面的部分有更加清晰的认识和理解。

网卡驱动一般都是作为独立的**内核模块**（kernel module）维护

数据包到达网卡¶

网卡校验数据帧地址¶

NIC 会校验收到数据包的目的 MAC 地址是不是自己的 MAC 地址，在网卡非混杂模式下，MAC 地址不是自己的数据包通常就会丢弃。

帧的校验字段 FCS（Frame Check Sequence 帧校验序列）

校验完 MAC 地址之后 NIC 还会校验帧的校验字段 FCS，一次来确保接收到的数据包是正确的，如果校验失败就直接丢弃数据包

以太网卡有两种工作模式：正常模式和混杂模式。

• 网卡在正常模式下，处于非侦听状态，只能接收到发给自己的数据包和广播包，而丢弃其他包。

• 混杂模式下，使网卡工作在侦听状态时，网卡就具有了广播地址，可以接收流经该网卡的所有数据包，而不管数据包的目的 MAC 地址是不是与网卡本身一致。

使用非混杂模式的场景：

• 抓包
• 虚拟机
• 抓包程序会把网卡设置为非混杂模式，因此抓包程序需要 root 权限，没有 root 权限无法修改硬件设备的配置。

校验完 MAC 地址之后 NIC 还会校验帧的校验字段 FCS，一次来确保接收到的数据包是正确的，如果校验失败就直接丢弃数据包

NIC 将数据包的引用放入接收的 ring buffer¶

单CPU处理网络IO存在瓶颈，目前经常使用网卡多队列提高性能。

通常情况下，每张网卡有一个队列(queue)，所有收到的包从这个队列入， 内核从这个队列里取数据处理。

该队列其实是ring buffer(环形队列)，内核如果取数据不及时，则会存在丢包的情况。

一个CPU处理一个队列的数据，这个叫中断。默认是cpu0(第一个CPU)处理， 一旦流量特别大， 这个CPU负载很高， 性能存在瓶颈。

在多核CPUI上，网卡开发了多队列功能，即一个网卡有多个队列，收到的包根据TCP四元组信息hash后放入其中一个队列，后面该链接的所有包都放入该队列。

每个队列对应不同的中断，使用irqbalance将不同的中断绑定到不同的核。充分利用了多核并行处理特性，提高了效率。

CPU 执行硬件中断和网卡的驱动程序¶

网卡接收到数据包后，会通过**硬件中断(IRQ)**的方式，通知内核有新的数据到了。这时内核就应该调用中断处理程序来响应它。

• 对上半部来说，既然是快速处理，其实就是要把网卡的数据读到内存中，然后更新一下硬件寄存器的状态（表示数据已经读好了）。最后再发送一个软中断信号，通知下半部做进一步的处理。
• 下半部被软中断信号唤醒后，需要从内存中找到网络数据，再按照网络协议栈，对数据进行逐层解析和处理，直到把它送给应用程序。

实际上，上半部会打断 CPU 正在执行的任务，然后立即执行中断处理程序。而下半部以内核线程的方式执行。

并且每个 CPU 都对应一个软中断内核线程，名字为 “ksoftirqd/CPU 编号”，比如说， 0 号 CPU 对应的软中断内核线程的名字就是 ksoftirqd/0。

网络服务模型和QOS¶

随着网络技术的飞速发展，IP网络已经从当初的单一数据网络向集成数据、语音、视频、游戏的多业务网络转变。网络中所承载的数据呈几何级倍数增长，而且这些业务对网络带宽、时延有着极高的要求。

同时，由于硬件芯片研发的难度大、周期长、成本高等原因，带宽逐渐成为互联网发展的瓶颈，导致网络发生拥塞，产生丢包，业务质量下降，严重时甚至造成业务不可用。

所以，要在IP网络上开展这些实时性业务，就必须解决网络拥塞问题。

解决网络拥塞的最好的办法是增加网络的带宽。但从运营、维护的成本考虑，一味增加网络带宽是不现实的，最有效的解决方案就是应用一个“有保证”的策略对网络拥塞进行管理。

QoS（Quality of Service，服务质量）技术就是在这种背景下发展起来的。

QoS技术本身不会增加网络带宽，而是在有限的带宽资源下，如何平衡地为各种业务分配带宽，针对各种业务的不同需求，为其提供端到端的服务质量保证。

QOS的度量指标

既然要提高网络质量，首先我们需要了解一下哪些因素会影响网络的服务质量。从传统意义上来讲，影响网络质量的因素包括：

• 带宽/吞吐量
• 时延
• 时延变化（抖动）
• 丢包率

因此，要提高网络的服务质量，就可以从保证传输链路的带宽，降低报文传送的时延和抖动，降低丢包率等方面着手。而这些影响网络服务质量的因素，也就成为QoS的度量指标。

QoS服务模型¶

QoS模型不是一个具体功能，而是端到端QoS设计的一个方案。例如，网络中的两个主机通信时，中间可能会跨越各种各样的设备。

只有当网络中所有设备都遵循统一的QoS服务模型时，才能实现端到端的质量保证。IETF、ITU-T等国际组织都为自己所关注的业务设计了QoS模型。

• 尽力而为（Best-Effort）服务模型
• 综合服务（Integrated Service，简称IntServ）模型
• 差分服务（Differentiated Service，简称DiffServ）模型

尽力而为（Best-Effort）服务模型¶

Best-Effort是最简单的QoS服务模型，应用程序可以在任何时候，发出任意数量的报文，而且不需要通知网络。对Best-Effort服务，网络尽最大的可能性来发送报文，但对时延、可靠性等性能不提供任何保证。

Best-Effort服务模型适用于对时延、可靠性等性能要求不高的业务质量保证。Best-Effort现在Internet的缺省服务模型，它适用于绝大多数网络应用，如FTP、E-Mail等。

在理想状态下，如果有足够的带宽，Best-Effort是最简单的服务模式。而实际上，这种“简单“带来一定的限制。因此，Best-Effort适用于对时延、可靠性等性能要求不高的业务，如FTP、E-Mail等。

综合服务（IntServ）模型¶

由于网络带宽的限制，Best-Effort服务模型不能为一些实时性要求高的业务提供有力的质量保障，于是IETF在1994年的RFC1633中提出了InterServ模型。

IntServ模型是指用户在发送报文前，需要通过信令（Signaling）向网络描述自己的流量参数，申请特定的QoS服务。网络根据流量参数，预留资源（如带宽、优先级）以承诺满足该请求。

在收到确认信息，确定网络已经为这个应用程序的报文预留了资源后，用户才开始发送报文。

用户发送的报文应该控制在流量参数描述的范围内。网络节点需要为每个流维护一个状态，并基于这个状态执行相应的QoS动作，来满足对用户的承诺。

网络设备¶

在企业组网中，防火墙，路由器，交换机是不可缺少的三大件。

防火墙¶

防火墙通俗讲是用于控网络之间的隔离，专业讲是用于保护一个安全区域免受另外一个安全区域的网络攻击和入击行为。

从防火墙的定义中可以看出防火墙是基于安全区域的，其它厂商（Cisco,Juniper等）都是有这个概念的。

安全区域（Security Zone），也称为区域（Zone），是一个逻辑概念，用于管理防火墙设备上安全需求相同的多个接口，也就是说它是一个或多个接口的集合。

路由器¶

路由器是连接两个或多个网络的硬件设备，在网络间起网关的作用，是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。

它能够理解不同的协议，例如某个局域网使用的以太网协议，因特网使用的TCP/IP协议。这样，路由器可以分析各种不同类型网络传来的数据包的目的地址，把非TCP/IP网络的地址转换成TCP/IP地址。

或者反之；再根据选定的路由算法把各数据包按最佳路线传送到指定位置。所以路由器可以把非TCP/ IP网络连接到因特网上。

路由器可以割分广播域，路由器一个接口就是一个广播域（如：我们可以把路由器每个接口配置一个网段）

交换机¶

交换机的作用是放到路由器后端,来扩展路由器接口不够用而使用的。交

换机分为两种：二层交换机和三层交换机：

二层交换机：是我们比较常用的家廷傻瓜交换机，不需要做任何配置，直接插上去就可以使用，主要用来做网口的扩展。

三层交换机：拥有很强二层数据处理能力，工作在OSI网络标准模型的第三层：网络层。三层交换机的最重要目的是加快大型局域网内部的数据交换，同时具备vlan功能。

可以把大型局域网按功能或地域等因素划成一个个小的局域网，减小广播风暴的危害。

网络可靠性¶

Smart Link和Monitor Link简介¶

双上行组网是目前常用应用组网之一，提供物理的冗余也带了环路问题，常规的解决方案是**采用生成树协议来保证冗余性同时解决环路问题**。

Smart Link，又叫做**备份链路**。一个Smart Link由两个接口组成，其中一个接口作为另一个的备份。Smart Link常用于双上行组网，提供可靠高效的备份和快速的切换机制。

Monitor Link是一种接口联动方案，它通过监控设备的上行接口，根据其Up/Down状态的变化来触发下行接口Up/Down状态的变化，从而触发下游设备上的拓扑协议进行链路的切换。

下游设备连接到上游设备，当使用单上行方式时，若出现单点故障，会造成业务中断。若采用双上行方式，将一台下游设备同时连接到两台上游设备，可降低单点故障对网络的影响，提高了可靠性。

组网中采用Smart Link技术有以下优点：

• 能够实现在双上行组网的两条链路正常情况下，一条链路处于转发状态，而另一条处于阻塞待命状态，从而可避免环路的不利影响。
• 配置和使用更为简洁，便于用户操作。
• 当主用链路发生故障后，流量会在毫秒级的时间内迅速切换到备用链路上，极大限度地保证了数据的正常转发。

在一些二层拓扑协议（如Smart Link）组网中，拓扑协议无法监视到上行接口的状态，从而导致拓扑协议无法进行链路切换。

Monitor Link可用于扩展一些二层拓扑协议的应用范围，通过监控上行链路对下行链路进行同步设置，达到上行链路故障迅速传达给下行设备，从而触发下游设备上的拓扑协议进行链路的切换，防止长时间因上行链路故障而出现流量丢失。