「计算机网络」笔记（一）

2025 / 7 / 2

路由

本质是一套转发规则，指 数据在网路中从源设备到目标设备的传输路径选择过程，解决“数据该往哪里传”的问题。路由的实现通过“路由表”来决策。

DMZ（隔离区 \ 对外业务发布区）

DMZ 是网络安全中的一个专用区域，位于内部局域网（LAN）和外部公共网络（如互联网）之间，起到隔离和保护内部网络的作用。

核心作用：

• 缓冲防护：将需要向外部公开的服务（如网站服务器、邮件服务器）放置在DMZ中，避免直接暴露内部局域网。即使DMZ中的设备被攻击，也能减少内部网络的安全风险。
• 访问控制：通过防火墙规则限定DMZ与内部网络、外部网络的通信。外部用户可以访问DMZ中的服务器，但是无法访问内部的办公电脑或数据库。

企业网站服务器、在线交易平台等需要公开访问的服务，通常部署在DMZ。

VPN（虚拟专用网络）

VPN是一种通过公共网络（如互联网）建立加密连接的技术，能在不安全的网络环境中保障数据传输的私密性和安全性。

核心功能：

• 加密传输：对用户数据进行加密，防止被第三方窃听或篡改。
• 身份隐藏和访问控制：用户可通过VPN隐藏真实IP地址，绕过地域限制；企业员工可通过VPN远程安全访问公司内部网络，获取内部资源。

CIDR（无类别域间路由）

(Classless Inter-Domain Routing) 是一种用于简化IP地址分配和路由管理的技术，打破了传统IP地址分类（A、B、C类）的限制，通过更灵活的方式划分网络。

CIDR的表示方式

IP地址 + 前缀长度 ：X.X.X.X/n

X.X.X.X：网段的起始IP地址（网络地址）。

n：前缀长度（0-32），表示子网掩码中前n位为“1”。

例如：

192.168.1.0/24 ->前24位为“1” : 11111111.11111111.11111111.00000000 ->对应子网掩码255.255.255.0

如何通过CIDR计算网段范围

1. 确定子网掩码：根据前缀长度n确定

2. 计算网络地址和广播地址：

• 网络地址：IP 地址与子网掩码进行 “按位与” 运算的结果（网段的起始地址）。
• 广播地址：网络地址的后32-n位全为 1（网段的结束地址）

3. 可用IP范围：网络地址 + 1 至 广播地址 - 1。

例如：192.168.1.64/26

前缀长度n=26:11111111.11111111.11111111.11000000 ->子网掩码：255.255.255.192

192.168.1.64：11000000.10101000.00000001.01000000

网络地址：11000000.10101000.00000001.01000000（前26位固定，后六位为0）->192.168.1.64

 * 若两台设备的网络地址相同，则处于同一个网段

广播地址：11000000.10101000.00000001.01111111（前26位固定，后六位为1）->192.168.1.127

可用IP范围：192.168.1.65至192.168.1.126（共62个）

端口号

作用：区分一台设备上不同的应用程序（服务）

端口号范围：0-65535

目的端口&源端口

目的端口号：区分服务端不同应用程序（服务）

• 范围：0-1024
• 常见目的端口是规定好的：FTP：21    SMTP：25    HTTPS：443    HTTP：80    DNS：53

源端口：区分客户端的应用程序、会话

• 范围：1025-65535
• 动态随机，用户可自定义用途

OSI七层模型

应用层、表示层、会话层、网络层、传输层、数据链路层、物理层

2025/7/14

DHCP

动态主机配置协议 Dynamic Host Configuration Protocol（应用层协议）

功能：客户端分配IP，使得客户机能够利用这个IP上网

早期是为了解决IPv4公网不够用的问题，现在在企业网中使用，可以降低配置难度，减少配置错误、IP冲突，简化运维、降低运维成本投入，方便对所有终端IP的集中监控、管理。

DHCP DISCOVER：广播包，寻找能为它提供的DHCP Server

DHCP OFFER：DHCP应答包，告诉客户端可以提供的IP地址，客户端通过先收到的OFFER包获取IP。包括IP地址、默认网关、DNS服务器地址、租期。DHCP Server为此客户端保留它提供的IP地址。

DHCP REQUEST：确认接受使用的IP。

DHCP ACK：确认信息。

DHCP欺骗：伪造真正的DHCP服务器为客户端主机分配一个错误的信息。

防御DHCP欺骗：

启动DHCP Snooping：在交换机上配置此功能，只信任授权的DHCP服务器端口（称为“信任端口”），并过滤掉来自未授权端口的虚假DHCP响应

• 在交换机上开启DHCP Snooping全局功能。
• 指定信任的DHCP服务器端口（如连接合法DHCP服务器的端口）。
• 非信任端口只能发送DHCP请求，不能响应，从而阻止欺骗。

2025/7/15

字节&比特 

字节：Byte、B

比特：bit、b

Byte 

通常用来指代某个文件大小，或者说存储设备的存储容量

bit

 bit单位太小，通常只在数据通信形容带宽时出现