网桥,二层交换机,路由器的功能,区别;广播域,冲突域。讲解这些设备的运作,
-
网桥与路由器的比较:
网桥并不了解其转发帧中高层协议的信息,这使它可以同时以同种凡是处理IP、IPX等协议,它还提供了将无路由协议的网络(如NetBEUI)分段的功能。
由于路由器处理网络层的数据,因此它们更容易互连不同的数据链路层,如令牌环网段和以太网段。网桥通常比路由器难控制。象IP等协议有复杂的路由协议,使网管易于管理路由;IP等协议还提供了较多的网络如何分段的信息(即使其地址也提供了此类信息)。而网桥则只用MAC地址和物理拓扑进行工作。因此网桥一般适于小型较简单的网络。 -
路由器与交换机的主要区别体现在以下几个方面:
- 1.工作层次不同---交换机是工作在数据链路层,也就是第二层,路由器一开始就设计工作在OSI模型的网络层。由于交换机工作在OSI的第二层,所以它的工作原理比较简单,而路由器工作在OSI的第三层,可以得到更多的协议信息,路由器可以做出更加智能的转发决策。
- 2.数据转发所依据的对象不同---交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不同网络的ID号(即IP地址)来确定数据转发的地址。IP地址是在软件中实现的,描述的是设备所在的网络,有时这些第三层的地址也称为协议地址或者网络地址。MAC地址通常是硬件自带的,由网卡生产商来分配的,而且已经固化到了网卡中去,一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。
- 3.传统的交换机只能分割冲突域,不能分割广播域;而路由器可以分割广播域---由交换机连接的网段仍属于同一个广播域,广播数据包会在交换机连接的所有网段上传播,在某些情况下会导致通信拥挤和安全漏洞。连接到路由器上的网段会被分配成不同的广播域,广播数据不会穿过路由器。虽然第三层以上交换机具有VLAN功能,也可以分割广播域,但是各子广播域之间是不能通信交流的,它们之间的交流仍然需要路由器。
- 4.路由器提供了防火墙的服务---路由器仅仅转发特定地址的数据包,不传送不支持路由协议的数据包传送和未知目标网络数据包的传送,从而可以防止广播风暴。
交换机一般用于LAN-WAN的连接,交换机归于网桥,是数据链路层的设备,有些交换机也可实现第三层的交换。 路由器用于WAN-WAN之间的连接,可以解决异性网络之间转发分组,作用于网络层。他们只是从一条线路上接受输入分组,然后向另一条线路转发。这两条线路可能分属于不同的网络,并采用不同协议。相比较而言,路由器的功能较交换机要强大,但速度相对也慢,价格昂贵,第三层交换机既有交换机线速转发报文能力,又有路由器良好的控制功能,因此得以广泛应用。
-
网桥(Bridge) 是工作于数据链路层用来连接不同网段的网络设备。
- 原理: 将两个LAN连起来,根据MAC地址来转发帧,可以看作一个“低层的路由器”
- 网桥的基本特征:
- 1、网桥在数据链路层上实现局域网互连;
- 2、网桥能够互连两个采用不同传输介质与不同传输速率的网络
- 3、网桥以接收、存储、地址过滤与转发的方式实现互连的网络之间的通信;
- 4、网桥需要互连的网络在数据链路层以上采用相同的协议
- 5、网桥可以分隔两个网络之间的通信量,有利于改善互连网络的性能与安全性。
-
交换机(Switch) 工作于数据链路层,也叫交换式集线器,它通过对信息进行重新生成,并经过内部处理后转发至指定端口,具备自动寻址能力和交换作用,交换机有多个端口,每个端口都具有桥接功能,可以连接一个局域网或一台高性能服务器或工作站。实际上,交换机有时被称为多端口网桥。
-
原理:
换机内部的CPU会在每个端口成功连接时,通过将MAC地址和端口对应,形成一张MAC表。在今后的通讯中,发往该MAC地址的数据包将仅送往其对应的端口,而不是所有的端口。因此,交换机可用于划分数据链路层广播,即冲突域;但它不能划分网络层广播,即广播域。
由于交换机根据所传递信息包的目的地址,将每一信息包独立地从源端口送至目的端口,避免了和其他端口发生碰撞,因此,交换机可以同时互不影响的传送这些信息包,并防止传输碰撞,提高了网络的实际吞吐量。 -
主要功能 包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。
-
二层交换机:
二层交换机工作于OSI模型的第2层(数据链路层),故而称为二层交换机。二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。 -
工作原理:
- 当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的;
- 再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;
- 如表中有与这目的MAC地址对应的端口,把数据包直接复制到这端口上;
- 如表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应时,交换机又可以学习一目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。
- 不断的循环这个过程,对于全网的MAC地址信息都可以学习到,二层交换机就是这样建立和维护它自己的地址表。
-
三层交换机:
三层交换机就是具有部分路由器功能的交换机,工作在OSI网络标准模型的第三层:网络层。三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,能够做到一次路由,多次转发。 -
过程:
使用IP的设备A------------------------三层交换机------------------------使用IP的设备B
比如A要给B发送数据,已知目的IP,那么A就用子网掩码取得网络地址,判断目的IP是否与自己在同一网段。如果在同一网段,但不知道转发数据所需的MAC地址,A就发送一个ARP请求,B返回其MAC地址,A用此MAC封装数据包并发送给交换机,交换机起用二层交换模块,查找MAC地址表,将数据包转发到相应的端口。
如果目的IP地址显示不是同一网段的,那么A要实现和B的通讯,在流缓存条目中没有对应MAC地址条目,就将第一个正常数据包发送向一个缺省网关,这个缺省网关一般在操作系统中已经设好,这个缺省网关的IP对应第三层路由模块,所以对于不是同一子网的数据,最先在MAC表中放的是缺省网关的MAC地址(由源主机A完成);然后就由三层模块接收到此数据包,查询路由表以确定到达B的路由,将构造一个新的帧头,其中以缺省网关的MAC地址为源MAC地址,以主机B的MAC地址为目的MAC地址。通过一定的识别触发机制,确立主机A与B的MAC地址及转发端口的对应关系,并记录进流缓存条目表,以后的A到B的数据(三层交换机要确认是由A到B而不是到C的数据,还要读取帧中的IP地址。),就直接交由二层交换模块完成。这就通常所说的一次路由多次转发。 -
特点:
1.由硬件结合实现数据的高速转发。
2.简洁的路由软件使路由过程简化。
-
-
路由器(Router) 是网络连接设备的重要组成部分通常位于网络层,它相对网桥提供了一个更高层次的LAN互联。路由器能根据分组类型过滤和选择路由,支持在LAN段之间有多个链路的网络,当某个链路损坏时,可选择其他路由以及根据网络通信的情况决定路由。
- 工作原理:
- 1、路由器接收来自它连接的某个网站的数据。
- 2、路由器将数据向上传递,并且(必要时)重新组合IP数据报。
- 3、路由器检查IP头部中的目的地址,如果目的地址位于发出数据的那个网络,那么路由器就放下被认为已经达到目的地的数据,因为数据是在目的计算机所在网络上传输。
- 4、如果数据要送往另一个网络,那么路由器就查询路由表,以确定数据要转发到的目的地。
- 5、路由器确定哪个适配器负责接收数据后,就通过相应的软件传递数据,以便通过网络来传送数据
- 功能:
- 1、实现IP、TCP、UDP、ICMP等网络的互连。
- 2、对数据进行处理。收发数据包,具有对数据的分组过滤、复用、加密、压缩及防护墙等各项功能。
- 3、依据路由表的信息,对数据包下一传输目的地进行选择。
- 4、进行外部网关协议和其他自制域之间拓扑信息的交换。
- 5、实现网络管理和系统支持功能。
- 工作原理:
-
冲突域
冲突域是数据必然发送到的区域。
HUB是无智能的信号驱动器,有入必出,整个由HUB组成的网络是一个冲突域。
交换机的一个接口下的网络是一个冲突域,所以交换机可以隔离冲突域。 -
广播域
广播数据时可以发送到的区域是一个广播域。
交换机和集线器对广播帧是透明的,所以用交换机和HUB组成的网络是一个广播域。
路由器的一个接口下的网络是一个广播域。所以路由器可以隔离广播域。
常见端口表及其运行的服务
1 | 2 | 3 |
---|---|---|
21 | ftp | 主要看是否支持匿名,也可以跑弱口令 |
22 | ssh | SSH远程登录协议 |
23 | telnet | telnet终端仿真协议 |
80 | web | 常见web漏洞以及是否为一些管理后台 |
443 | openssl | 心脏滴血以及一些web漏洞测试 |
512 | rexec | 可远程执行shell命令,或实现暴力破解 |
873 | rsync | 主要看是否支持匿名,也可以跑弱口令 |
1433 | SQl server | |
2375 | Docker Remote | API未授权访问 |
2601,2604 | zebra路由,默认密码zebra | |
3128 | squid代理默认端口,如果没设置口令很可能就直接漫游内网了 | |
3306 | MySQL | 能够外联数据库 |
3312/3311 | kangle | 主机管理系统登陆 |
3389 | RDP | 远程桌面看看能不能弱口令 |
6379 | redis | 一般无认证,可直接访问 |
8000-9090 | 都是一些常见的web端口,有些运维喜欢把管理后台开在这些非80的端口上 | |
10000 | Virtualmin/Webmin | 服务器虚拟主机管理系统 |
计算机网络模型架构分析
- OSI参考模型(低到高):物理层、数据链路层、网络层传输层、会话层、表示层、应用层。七层中,越往下越靠近计算机底层,越往上越靠近用户。
-
物理层: 用于定义网络通信中通信设备的机械电气、功能和规程等特性,用于建立维护和拆除物理链路的连接。
-
数据链路层: 负责物理层和网络层之间的通信。
-
网络层: 为传输层提供服务——面向连接的网络服务和无连接的网络服务。
-
传输层: OSI结构核心——中间层
唯一负责总体数据传输和控制的一层,在模型中是负责数据通信的最高层。下三层协议是面向网络通信,上三层是面相信息处理的。- 功能:
为对话或连接提供可靠的传输服务。
在通向网络的单一物理连接上实现该连接的复用。
在单一连接上提供端到端的序号与流量控制差错控制及恢复等服务
- 功能:
-
会话层: 负责在网络中两个节点之间建立和维持通信。
- 功能:
建立通信链接,保持规会话过程通信链接的畅通。
同步两个节点之间的对话决定通信是否被中断以及通信中断时从何处重新发送。
支持校验点功能,会话在通信失效时可以从校验点恢复通信。对大文件传送极为重要。
- 功能:
-
表示层: 解决用户信息的语法表示问题,即提供格式化的表示和数据转换服务,数据的压缩、解压、加密都在该层完成。.
-
应用层: 最高层,可以向应用程序提供服务,这些服务按其向应用程序提供的特性分组,并称为服务元素。
-
计算机网络各层中的协议及其功能
- 数据链路层: 以太网技术、点到点协议(PPP)高级数据链路控制协议(HDLC)、高级数据通信控制协议(ADCCP)
- 网络层: 包括4个核心协议
- IP(网际协议): 对数据包进行寻址和路由,从一个网络转发到另一个网络
- ICMP(网际控制报文协议): 用于在IP主机和路由器之间传递控制消息。控制+ 消息是指网络是否联通、主力是否可达、路由是否可用等网络本身的消息。
- ARP(地址解析协议): 可以通过IP地址得知其物理地址。
- RARP(逆向地址解析协议): 物理地址向IP地址转换。
- 传输层:
- TCP: 是一种可靠的面相连接的协议,允许将一台主机的字节流无差错的传送到目的主机。同时要完成流量控制功能,协调收发双方的发送与接收速度达到正确传输的目的。
- UDP: 是一种不可靠的无连接协议。传输速率较高。
- 应用层
- Telnet(网络终端协议): 实现远程登录功能
- FTP(文件传输协议): 实现交互式文件传输功能
- SMTP(简单邮件传输协议): 实现电子邮件传输
- DNS(域名系统): 实现网络设备到名称到IP地址的映射。
- SNMP(简单网络管理协议): 管理与监视网络设备
- RIP(路由信息协议): 网络设备之间交换路由信息
- NFS(网络文件系统): 网络中不同主机间的文件共享
- HTTP(超文本传输协议): 提供发布和接受HTM页面的方法。
kali如何配置静态ip地址
- 1、在root用户下打开网卡的配置文件,路径是/etc/network/interfaces。命令:
vim /etc/network/interfaces
添加如下文本
auto eth0
iface eth0 inet static
address xxx.xxx.xxx.xxx
netmask xxx.xxx.xxx.xxx
gateway xxx.xxx.xxx.xxx
- 2、配置DNS信息命令:
vim /etc/resolv.conf
添加文本:
nameserver 114.114.114.114
- 3、重启网卡命令:
service networking restart