网络层

以太网UDP最大报文长度 2014年01月22日 22:47:28 奚华 阅读数 12097 对于以太网环境下UDP传输中的数据包长度问题 　　首先要看TCP/IP协议，涉及到四层：链路层，网络层，传输层，应用层。 　　其中以太网（Ethernet）的数据帧在链路层 　　IP包在网络层 　　TCP或UDP包在传输层 　　TCP或UDP中的数据（Data)在应用层 　　它们的关系是 数据帧｛IP包｛TCP或UDP包｛Data｝｝｝ 　　在应用程序中我们用到的Data的长度最大是多少，直接取决于底层的限制。 　　我们从下到上分析一下： 　　在链路层，由以太网的物理特性决定了数据帧的长度为（46＋18）－（1500＋18），其中的18是数据帧的头和尾，也就是说数据帧的内容最大为1500，即MTU（Maximum Transmission Unit）为1500； 　　在网络层，因为IP包的首部要占用20字节，所以这的MTU为1500－20＝1480； 　　在传输层，对于UDP包的首部要占用8字节，所以这的MTU为1480－8＝1472； 　　所以，在应用层，你的Data最大长度为1472。 　　（当我们的UDP包中的数据多于MTU(1472)时，发送方的IP层需要分片fragmentation进行传输，而在接收方IP层则需要进行数据报重组，由于UDP是不可靠的传输协议

数据帧（Frame)：数据链路层，传递的单位是frame 帧，就是数据链路层的协议数据单元，它包括三部分：帧头，里面有mac地址，通过这个地址可以在底层的交换机这个层面里顺着网线找到你的计算机。数据部分，ip数据包，意思是使用ip地址定位的一个数据包。帧尾。其中，帧头和帧尾包含一些必要的控制信息，比如同步信息、地址信息、差错控制信息等；数据部分则包含网络层传下来的数据，比如ip数据包。 数据包(Packet)：TCP/IP协议通信传输中的数据单位，处于网络层，在局域网中，“包”是包含在“帧”里的。packet是整个tcpip通信协议里网络层的传输单位，也是最小的单位。一个ip包里有什么呢？跟帧一样，有着目的地的ip地址及其来源的ip地址和其他的校验信息。它也被称为头。那么还有什么呢？来自传输层托付给自己待传送的信息。这个信息会被分成多个ip数据包发送出去。 所以网络层传递的是ip包，ip包里是待传输消息的一部分。 数据报（Datagram)：现在来到传输层了，传输层直接接受来自你的消息，小到你给朋友发个晚安，大到你给别人传递个文件，只要提供对方的ip地址（还有端口号），其它的都交给传输层帮助你实现。就很像你与快递公司的关系。一种发送前会先探路，保证送货到家的，这是tcp协议，另一种只管寄，不管是否查收的就是udp。这两种协议都会在发送前把你的消息拆分成多个ip数据包来传输

计算机自诞生伊始,经历了一系列演变与发展。大型通用机计算机、超级计算机、小型机、个人电脑、工作站、便携式电以及现如今的智能手机终端都是这一过程的产物。它们性能逐年增强,价格却逐年下降,机体规模也在逐渐变小。随着计算机的发展,人们不再局限于单机模式,而是将一个个计算机连接在一起,形成一个计算机网络。从而实现信息共享,同事在能在两台物理位置较远的机器之间即时传递消息。计算机网络根据规模可以分为WAN(Wide Area Network,广域网)和LAN(Local Area Network,局域网)。将有业务往来的计算机连在一起便组成了私有网络,将多个私有网络连接一起就成了为公众使用的互联网。随着互联网爆发性地发展与普及,信息网络如同我们身边的空气,触手可及。但是在以前,对一般人来说使用一台计算机都不是那么容易的事情。 计算机与网络大致可以分为7个阶段: 一、20世纪50年代的批处理时代 二、20世纪60年代的分时系统时代 三、20世纪70年代的计算机间通信时代 四、20世纪80年代的计算机网络时代 五、20世纪90年代的互联网普及时代 六、2000年的以互联网为中心的时代 七、2010年的无论何时何地一切皆TCP/IP的网络时代 互联网是由许多独立发展的网络通信技术融合而成。能够使它们之间不断融合并实现统一的正是TCP/IP技术。 那什么是TCP/IP呢? TCP

1.根据端口来划分VLAN 许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。 第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。 以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。 2.根据MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。 3

IP地址 一部分代表网络号，一部分代表主机号 十进制 二进制 A B C 类地址 子网掩码的作用 与IP地址进行"与运算"，保留网络号，使主机号归零。 这样计算机在通信时，就可以判断目标主机是否与自己在同一个网络内：若是，则直接发送；若不是，则把信息交给路由器，发送到对方的网络。这决定了数据链路层的MAC地址是目标计算机还是路由器接口。 C类网络·子网划分 划分2个子网： 划分4个子网： 划分为8个子网： B类网络·子网划分 A类网络·子网划分 来源： CSDN 作者： bijingrui 链接： https://blog.csdn.net/bijingrui/article/details/104741705

我们之前都是一个调度器来调度多台web后端服务器 但是调度器也有不能工作的时候，完一坏了所有的web服务器都不能访问，这就要求调度器也要备份 因此就引出了高可用的集群KeepAlived 也就是有多个调度器（有主有备），利用keepalived保证web服务通过正常的调度器工作 所有调度器同时宕机的可能性是很小的 1.keepalived的基本概念 Keepalived是Linux下的一个轻量级别的高可用解决方案 高可用（High Avalilability，HA），其实两种不同的含义：广义上来讲，是指整个系统的高可用性，狭义上来讲就是主机的冗余和接管 Keepalived起初是为LVS设计的，专门用来监控集群系统中的各个服务的节点的状态 它根据TCP/IP参考模型的第三，第四，第五层交换机制检测每个服务器的节点状态 如果某个服务器出现异常，或者工作出现故障，keepalived将检测到，并将出现故障的服务器节点从集群系统中剔除 这些工作都只自动完成的，不需要人为干预，需要人工完成的只是修复出现故障的服务节点 也就是可以使用keepalived可以实现调度器的转换 后来keepalived又加入了VRRP的功能 VRRP（Virtual Router Redundancy Protocol）虚拟路由冗余协议出现的目的是 解决静态路由出现单点故障的问题

《要维持一个安全的网络环境必须具备的四个安全能力》 1.风险预测能力 通过运用大数据技术对内部的安全数据和外部的危险情报进行主动探索分析和评估，能够使危险出现前提早发现问题，遇见肯能出现的危险调整安全策略进行防护 2.***防御能力 采用加固和隔离系统降低***面限制***接触系统发现漏洞和执行代码的能力，并通过转移***手段使***者难以定位系统核心以及可利用漏洞，通过事故预防和安全策略合规审计的方式，通过统一的策略管理和策略联动，防止***未授权进入系统 3.危险检测能力 通过对业务数据和基础设施的全面检测结合现有安全策略提出整改建议，与网络运维系统联动，实现安全策略整改和变更后持续进行监控，结合外部情况快速发现安全漏洞并进行响应。 4.事件响应能力 与网络运维系统进行对接实现安全联动，出现安全漏洞时短时间内进行安全策略的快速调整，被感染的系统和账号进行隔离，通过回顾和分析事件完整过程，利用持续监控所获取的数据，解决相应的安全问题 网络层安全防护 设计 1、通过FW或vFW中的FW、AV、IPS 模块实现网络层访问控制、恶意代码 防护、***防御。 2、在各个内网安全域边界处，部署防火墙实现域边界的网络层访问控制。 3、在内网边界处部署流量监控设备，实现全景网络流量监控与审计，并对 数据包进行解析，通过会话时间、协议类型等判断业务性能和交互响应时间。 主机层安全防护与 设计 1

网络分为： 局域网、城域网、广域网 把软件架构的分类: C/S 架构: Clinet -Server(客户端-服务器) B/S 架构: Browser/Server(浏览器/服务器) 传输协议: 1) UDP: ：用户数据报协议 (User Datagram Protocol), 不可靠的,速度快 UDP是无连接通信协议. 特点:数据被限制在64kb以内，超出这个范围就不能发送了。 数据报(Datagram):网络传输的基本单位 类似于： 发短信: 只管发, 不管收 2) TCP: TCP协议是面向 连接 的通信协议 ，即传输数据之前，在发送端和接收端建立逻辑连接， 然后再传输数据，它提供了两台计算机之间可靠无差错的数据传输。 可靠的 类似于： 打电话: TCP通信: 面向连接, 确保两台电脑是连接, 三次握手机制 * TCP/IP协议中的四层分别是 应用层、传输层、网络层和链路层 ，每层分别负责不同的通信功能。 链路层：链路层是用于定义物理传输通道，通常是对某些网络连接设备的驱动协议，例如针对光纤、网线提供的驱动。 网络层：网络层是整个TCP/IP协议的核心，它主要用于将传输的数据进行分组，将分组数据发送到目标计算机或者网络。 运输层：主要使网络程序进行通信，在进行网络通信时，可以采用TCP协议，也可以采用UDP协议。 应用层：主要负责应用程序的协议，例如HTTP协议

简单认识网络协议 通过浅谈互联网协议，我们已经了解了TCP/IP的参考模型，对网络的分层管理有了有一个概念。我们知道计算机之间的通信，靠的就是这些互联网协议（IPS,Internet Protocol Suite）来保障的。下面我们将通过最底层 数据链路层 到最顶层 应用层 ，来简单的了解一下计算机通信的背后到底是怎么样子。 0x01 数据链路层 ​ ​ 我们的电脑如果想要上网，首先要干嘛？想必大家会吧。我们要么连接WiFi，要么插根网线。之后我们就可以在广阔的物联网上冲浪，浏览浏览新闻，刷刷B站…（打住，回归正题。）网线，WiFi，无非就是我们把电脑连接起来的方式。利用这些电气属性，我们可以发送和接受0，1信号。这样计算机之间就建立了联系。 ​ 能发送0/1信号，计算机就可以进行交流了，最初的时候，各家都有各个的语言，但计算机又不像我们人类一样能学会多种语言。它有点笨，不能同时掌握多种方式的0/1信号的解读方式。 但慢慢地，一种叫做 "以太网" （Ethernet）的协议出现了，并占据了主导地位。 以太网协议 ​ 以太网规定了一种电信号的分组方式，一组电信号构成一个数据包，称做 以太网帧 ( Frame ) 。 ​ 以太网帧，分为 头部 ( Header )、 数据 ( Data )以及 校验和 ( Checksum )总共 3 大部分。 头部 包含数据包的一些说明项，比如发送者

前面实际上，已经说到了数据链路层可以非常方便的在一个子网络中进行数据包的发送。但是现实情况是，不可能所有需要进行通信的计算机都处于一个子网络中，这样理论上用广播的方式进行数据包的发送显然是不科学的。或者可以理解为，广播是无法在不同子网络的计算机上进行数据包的传输的。这样就需要引入 网络层。 (三) 网络层 因为不同的网络是不能直接使用广播来进行数据包的传输的，所以只是知道对方的mac地址是不够的，因为你根本不知道，对方和你在不在一个子网络。这样据需要引入新的协议来确定，两台计算机是否属于同一个子网络，如果属于同一个网络则用广播的方式进行数据包的发送，如果不是一个网络，则通过路由的方式发送数据包。 IP协议 :用来规定计算机网络地址的协议，就叫做ip协议。一般是由32个二进制位组成,这个地址分成两个部分，前一部分代表网络，后一部分代表主机。但是知道了ip地址还是无法确定两台计算机是否在一个子网络中，这样就需要 子网掩码 。一个子网络的子网掩码，网络部分全部为1，主机部分全部为0，这样只需要将两个ip地址分别与子网掩码做与（AND）运算就可以知道两台计算机是否属于同一个网络。 IP数据包 根据IP协议发送的数据，就叫做IP数据包。不难想象，其中必定包括IP地址信息。 但是前面说过，以太网数据包只包含MAC地址，并没有IP地址的栏位。那么是否需要修改数据定义，再添加一个栏位呢？