01基础
第 1 章 网络基础知识
网络基础知识地图分层图排障方法
Full Network Stack
完整网络知识体系交互教程
本教程面向已有基础的进阶学习者,将网络知识从 TCP/IP 专题扩展为完整体系:协议为什么要分层、链路如何转发帧、IP 如何跨网段寻址、TCP 如何可靠传输、动态路由如何收敛、应用协议如何组织语义,以及安全与排障如何落到真实命令。
Ethernet / VLAN
IPv4 / IPv6
DNS / ARP / DHCP / NAT
TCP / UDP / QUIC
RIP / OSPF / BGP / MPLS
TLS / IPsec / Firewall
10知识模块
19交互实验
24参考资料
12周学习路线
Scope And Method
范围与方法
本教程以本地附件《图解 TCP/IP》的书签目录校准知识范围,并结合 RFC/IANA 等公开标准资料补足现代协议与工程实践。附件 PDF 为扫描版,正文不可文本抽取;本教程仅借鉴其知识覆盖范围和组织粒度,不复制书籍正文。
| 依据类型 | 使用方式 | 限制与处理 |
|---|---|---|
| 本地附件目录 | 用于确认完整网络体系应覆盖基础、链路、IP、IP 相关技术、传输、路由、应用、安全与附录知识。 | 不引用或复刻书籍正文;扫描页未进行 OCR,目录来自 PDF 书签。 |
| 协议标准 | 用于关键定义、字段、状态、算法与协议边界,例如 TCP、IPv4、IPv6、DHCP、BGP、TLS。 | 标准文档是规范依据,教学解释会做简化,并在实验处标注近似模型。 |
| 工程实践 | 用于排障命令、观察指标、抓包思路、网络设计取舍。 | 不同操作系统、设备厂商、云网络和运营商链路会有实现差异。 |
Method
这份教程的组织方式:范围完整,解释可验证
1
目录校准
先确保不漏掉网络知识的大块边界。
2
标准核对
关键定义回到 RFC/IANA 等公开资料。
3
图解建模
把层次、路径、字段和状态画出来。
4
交互实验
用可调参数形成协议直觉。
5
排障映射
把知识点连到命令、抓包和日志。
6
复盘闭环
用自己的语言解释真实故障。
目录覆盖地图
每一章都能追到教程中的学习位置,避免“看完了但不知道放在哪一层”。
02体系
第 2 章 TCP/IP 基础知识
网络基础IP 与寻址传输层应用协议
03链路
第 3 章 数据链路
数据链路MAC 学习实验附录基础
04IP
第 4 章 IP 协议
IP 与寻址CIDR 实验报文字段MTU 实验
05辅助
第 5 章 IP 协议相关技术
IP 相关技术DNS 实验NAT 实验排障命令
06传输
第 6 章 TCP 与 UDP
TCP 与 UDP状态机拥塞窗口封装开销
07路由
第 7 章 路由协议
路由协议协议对比器
08应用
第 8 章 应用协议
应用协议排障与观测
09安全
第 9 章 网络安全
网络安全威胁与控制映射
10附录
附录基础
地址历史物理层传输介质
Knowledge Map
知识地图:把网络学成一张可推理的图
点击任意模块查看学习目标、必须掌握的核心概念、典型可观测信号和实践任务。完整网络知识不是协议名清单,而是从介质、转发、寻址、连接、语义到安全控制的连续链条。
Foundations
网络基础:协议、分层、交换方式与地址
网络的本质是让不同系统在不共享内部实现的情况下协同工作。协议定义双方能理解的消息格式和时序;分层让复杂系统有稳定边界;地址让实体能被定位;交换方式决定资源如何被占用。
协议是通信契约
协议规定消息格式、发送顺序、错误处理、状态转换和兼容性边界。越靠近底层,协议越关注传输形式;越靠近上层,协议越关注语义。
格式时序错误处理
分层是复杂度控制
上层只依赖下层承诺,不依赖下层实现。HTTP 不需要知道 Wi-Fi 的重传细节,交换机也不理解 HTTP 状态码。
抽象封装解耦
网络是资源共享系统
电路交换预留资源,分组交换统计复用资源。互联网选择分组交换,因此必须面对排队、丢包、拥塞和重传。
排队丢包拥塞
必须分清的三类地址
名字
域名和 URI 面向人和应用,靠 DNS 或应用目录解析,不能直接作为三层路由依据。
网络地址
IP 地址有层次结构,用于跨网络转发。路由器关心前缀匹配和下一跳。
链路地址
MAC 地址只在同一链路范围内有效。跨网段通信时,帧的目标 MAC 通常是下一跳网关。
交互:封装路径拼图
选择一个访问场景,观察名字、应用语义、端到端连接、逐跳转发和物理承载如何接力。
| 章内主题 | 必须理解的问题 | 实践抓手 |
|---|---|---|
| 网络出现背景 | 从单机、批处理、分时系统到互联网络,本质是资源共享、远程协作和信息流动效率提升。 | 用一条业务访问链描述参与者:终端、接入网、运营商、服务端、内容发布者。 |
| 协议与标准化 | 协议是互操作契约,标准化让不同厂商实现可协同;RFC/IETF 是 TCP/IP 体系的重要知识入口。 | 遇到争议概念时回到 RFC、IANA 注册表或厂商实现文档确认。 |
| OSI 通信示例 | 会话层以上处理语义和表示,传输层以下处理端到端、逐跳和物理承载。 | 能把一次 HTTPS 请求逐层写成:HTTP/TLS/TCP/IP/Ethernet/物理信号。 |
| 传输方式分类 | 有连接/无连接、电路/分组、单播/广播/多播/任播是理解协议行为的基础坐标。 | 解释为什么 TCP 有连接状态、UDP 无连接、IP 多播不是普通广播。 |
| 网络构成要素 | 网卡、中继器、网桥/二层交换机、路由器、4-7 层交换机和网关处理的层次不同。 | 排障时先判断设备是在转发帧、转发包、转发连接,还是理解应用语义。 |
Data Link
数据链路:同一链路内如何把帧送到下一跳
数据链路层把 IP 数据报承载为帧,并处理同一介质范围内的寻址、错误检测、介质接入和局部转发。以太网、Wi-Fi、PPP、VLAN、交换机转发表都属于这一层的核心知识。
共享介质到交换网络
早期以太网共享冲突域,现代交换网络把每个端口变成独立链路。交换机根据源 MAC 学习,根据目标 MAC 转发或泛洪。
VLAN 是二层广播域切分
VLAN 让同一物理交换网络承载多个逻辑二层网络。Access 端口面向终端,Trunk 端口携带标签穿越交换机之间的链路。
MTU 是跨层性能边界
链路 MTU 限制单个帧可承载的最大网络层报文。隧道、PPPoE、VPN 会额外消耗头部,容易触发 PMTUD 问题。
Link Figure
同一个 IP 包,每一跳都会换一层二层外衣
主机 A
构造 IP 包,查询下一跳 MAC,把数据放入以太网帧。
→
交换机 / 网关
交换机看 MAC 表;路由器解开帧、查路由,再重新封装新帧。
→
下一跳链路
IP 源/目的保持端到端语义,链路层源/目的随每一跳改变。
以太网帧
Dst MAC
Src MAC
Type
IP Datagram
FCS
下一跳后
新 Dst MAC
新 Src MAC
Type
同一个 IP Datagram
新 FCS
交互:VLAN 与下一跳判断
调整源/目的 VLAN 与三层网关,判断帧是二层直达、泛洪,还是必须交给网关。
二层转发转发结论
目标 MAC帧目标
同广播域边界判断
MAC/ARP观察点
| 技术 | 解决的问题 | 典型观察点 |
|---|---|---|
| Ethernet | 定义帧格式、MAC 地址、类型字段和错误检测。 | 接口速率、双工、FCS 错误、MAC 表。 |
| Wi-Fi | 在无线共享介质上处理关联、认证、重传、漫游和信道竞争。 | RSSI、SNR、重传率、信道拥塞、漫游事件。 |
| PPP / PPPoE | 在点到点链路上协商链路控制、认证和网络层参数。 | 拨号状态、MRU/MTU、认证日志。 |
| STP/RSTP | 防止二层环路导致广播风暴和 MAC 表震荡。 | 端口状态、根桥、拓扑变化计数。 |
| VLAN | 划分二层广播域并在 Trunk 上标记不同逻辑网络。 | 端口 VLAN、Trunk 允许列表、Native VLAN。 |
| 其他链路 | ATM、POS、FDDI、Token Ring、光纤通道、iSCSI、InfiniBand、DOCSIS 等代表不同历史阶段或专用场景的链路/承载技术。 | 理解其服务对象、封装方式、MTU/速率特征和与 IP 的承载关系。 |
| 公共接入网络 | 模拟电话线、ADSL、FTTH、有线电视、移动通信、专线、公共 Wi-Fi 和 VPN 是终端接入互联网的常见路径。 | 关注接入认证、最后一公里质量、NAT/CGNAT、隧道开销和运营商路径。 |
Internet Layer
IP 与寻址:跨网络通信的共同地基
IP 提供尽力而为的数据报服务。它不保证交付、顺序或可靠性,但提供跨链路统一寻址和逐跳转发能力。深入掌握 IP,要同时理解地址结构、路由表、分片、TTL/Hop Limit、IPv6 与 ICMP。
IPv4 学习重点
- 地址由网络前缀和主机位组成,CIDR 让前缀长度取代旧式 A/B/C 类边界。
- 路由采用最长前缀匹配:更具体的路由优先于默认路由。
- 广播和私有地址是局域网设计与 NAT 的基础。
- 分片会增加丢包影响范围,现代网络更偏向 PMTUD 与 MSS 调整。
IPv6 学习重点
- 地址空间巨大,常见地址包括全局单播、链路本地、唯一本地、多播和任播。
- 基本头固定 40 字节,扩展头把可选能力移出基本头。
- IPv6 路由器不执行中途分片,源主机依赖 PMTUD。
- 邻居发现、路由器通告和 PMTUD 依赖 ICMPv6,过滤策略必须谨慎。
Route Lookup
最长前缀匹配:路由表不是“最近”,而是“最具体”
命中路由:192.168.10.0/24
路由器会从所有匹配前缀里选择最长的那个。这里 /24 比 /16 和 /0 更具体,因此下一跳由 192.168.10.0/24 这条路由决定。
1
匹配前缀
先找出能覆盖目标地址的所有候选路由。
2
最长优先
候选中前缀越长,网络范围越具体。
3
确定下一跳
用胜出的路由条目决定出口和下一跳。
4
比较策略
同等前缀时再看 metric、管理距离或策略。
交互:CIDR 与子网容量
调节前缀长度,理解网络位、主机位、可用主机数和地址块大小。
255.255.255.0子网掩码
256地址块大小
254传统可用主机
LAN规划提示
交互:报文头字段地图
选择协议头,点击字段查看它解决的问题。
选择一个字段查看解释。
| 章内主题 | 关键机制 | 必须能回答的问题 |
|---|---|---|
| 网络层与链路层关系 | IP 屏蔽底层链路差异,但每一跳仍必须重新封装到具体链路帧中。 | 为什么 IP 目的地址不变,而二层源/目的 MAC 每一跳都可能变化? |
| 路由控制 | 路由表按最长前缀匹配选择下一跳;默认路由只是最宽泛的兜底路径。 | 为什么更具体路由会覆盖默认路由?为什么单向可达多半要看回程? |
| 地址结构 | IPv4 地址由网络前缀和主机部分组成,CIDR/VLSM 支持灵活聚合和切分。 | 如何从地址和前缀判断同网段、广播地址、可用范围和聚合边界? |
| 广播、多播、任播 | 广播用于同广播域所有节点,多播用于加入组的接收者,任播让多个节点共享一个服务地址。 | 为什么广播不能随意跨三层网络?多播为什么需要组管理和转发控制? |
| 分片与 PMTUD | IPv4 可分片但代价高;IPv6 路由器不分片;PMTUD 依赖控制消息反馈路径最小 MTU。 | 为什么隧道/VPN 常导致“能连上但大包卡住”? |
| IPv4/IPv6 首部 | IPv4 首部可变且有头部校验,IPv6 基本头固定并通过扩展头表达可选能力。 | 为什么 IPv6 基本头更简洁,但 ICMPv6 变得更关键? |
Transport Layer
TCP 与 UDP:进程间通信、可靠性与性能控制
传输层把主机到主机的 IP 通信变成进程到进程的通信。UDP 提供最小机制,TCP 提供可靠有序字节流,QUIC 在 UDP 之上实现加密、多路流和路径迁移。
Transport Shape
TCP 像对话,UDP 像明信片,QUIC 像加密多车道
ClientServer
SYN
LISTEN → SYN-RCVD
SYN-SENT
SYN + ACK
ACK
ESTABLISHED
DATA / ACK / Window
可靠有序字节流
UDP datagram #1
UDP datagram #2
QUIC stream A / B / C
UDP 不承诺连接状态;QUIC 把可靠性、拥塞控制和 TLS 1.3 放到用户态协议中,以连接 ID 支持弱网和迁移。
交互:传输协议选择器
按业务目标选择 TCP、UDP 或 QUIC,理解“可靠、有序、实时、弱网”的取舍。
| 维度 | UDP | TCP | QUIC |
|---|---|---|---|
| 抽象 | 数据报。 | 可靠、有序、全双工字节流。 | 加密连接中的多路流。 |
| 状态 | 协议本身无连接。 | 三次握手、状态机、四元组连接。 | 连接 ID、TLS 1.3、路径迁移。 |
| 可靠性 | 由应用决定。 | 序列号、ACK、重传、校验。 | 按流可靠传输,减少跨流队头阻塞。 |
| 性能控制 | 应用或上层协议自定义。 | 流控、拥塞控制、MSS、窗口、RTO。 | 拥塞控制与丢包恢复独立于内核 TCP。 |
| 常见应用 | DNS、实时媒体、游戏、隧道。 | SSH、HTTP/1.1、HTTP/2、数据库。 | HTTP/3、移动网络、低延迟连接。 |
| 章内主题 | 核心机制 | 掌握标准 |
|---|---|---|
| 端口与通信识别 | 五元组通常由源/目的 IP、源/目的端口、协议组成;端口把主机通信映射到进程。 | 能解释监听端口、临时端口、端口复用、连接表和 NAT 状态之间的关系。 |
| UDP | 头部短、无连接、无内建可靠性,应用可按场景选择重传、纠错、乱序容忍或实时丢弃。 | 能判断什么时候 UDP 更合适,以及为什么 DNS/媒体/游戏/QUIC 常选择 UDP。 |
| TCP 可靠性 | 序列号、确认应答、校验、重传、RTO、SACK 和乱序重排共同维持可靠字节流。 | 能从抓包中识别重传、重复 ACK、乱序、丢包恢复和 RTO。 |
| 连接管理 | SYN 建立状态,FIN 有序关闭,RST 异常中止,TIME-WAIT 处理延迟报文和四元组复用风险。 | 能解释常见状态:SYN-SENT、ESTABLISHED、CLOSE-WAIT、TIME-WAIT。 |
| 窗口、流控、拥塞控制 | rwnd 保护接收端,cwnd 保护网络;慢启动、拥塞避免、快速重传/恢复调节发送速率。 | 能区分带宽不足、RTT 高、窗口小、丢包、应用读写慢这几类慢。 |
| 提高利用率的机制 | MSS、窗口扩大、时间戳、SACK、Nagle、延迟 ACK、TSO/GSO 等共同影响吞吐和延迟。 | 知道“优化”有副作用,能结合应用消息模型判断是否需要调整。 |
| 其他传输层协议 | UDP-Lite、SCTP、DCCP 代表不同可靠性、多宿主或拥塞控制取舍。 | 理解它们的存在意义,不必把它们当作日常互联网主流。 |
Routing
路由协议:让网络自动学习可达性
静态路由适合简单稳定的网络;动态路由让设备交换可达性信息并在故障后收敛。理解路由协议要分清算法、作用域和策略:RIP 是距离向量,OSPF 是链路状态,BGP 是路径向量并承载自治系统间策略。
IGP 与 EGP
自治系统内部通常使用 IGP,例如 OSPF;自治系统之间使用 EGP,现实互联网中主要是 BGP。IGP 更关注快速收敛和内部拓扑,BGP 更关注策略、路径属性和稳定性。
MPLS 的位置
MPLS 不等同于普通 IP 路由。它通过标签转发在运营商和大型网络中支持流量工程、VPN 和更可控的转发路径。
Routing Map
路由协议要先分清作用域:区域内、AS 内、AS 之间
交互:路由协议对比器
选择协议,观察它的决策材料、收敛特点和常见故障。
| 章内主题 | 关键知识 | 故障或设计关注点 |
|---|---|---|
| 静态与动态路由 | 静态路由确定、简单、低开销;动态路由通过邻居交换可达性并自动收敛。 | 小网可静态,大网需动态;错误静态路由常造成黑洞或非对称路径。 |
| 自治系统、IGP/EGP | AS 是管理边界;IGP 管内部,EGP 管 AS 间可达性和策略。 | 不要用“最短路径”解释所有互联网路由,BGP 主要是策略系统。 |
| 距离向量与 RIP | 邻居之间交换距离信息,RIP 使用跳数度量并有最大跳数限制。 | 收敛慢、环路风险、计数到无穷、汇总和子网掩码处理是学习重点。 |
| 链路状态与 OSPF | 邻居建立、LSA 泛洪、区域划分、SPF 计算共同决定路径。 | 邻居状态、区域类型、Router ID、MTU、认证和 LSA 数据库是排障重点。 |
| 路径向量与 BGP | 通过 AS_PATH、LOCAL_PREF、MED、社区等属性表达路由策略。 | 前缀过滤、路由泄露、回程策略、收敛稳定性和多出口选择是核心。 |
| MPLS | 标签交换把转发决策从 IP 查表转移到标签路径,可服务 VPN 和流量工程。 | 理解标签分发、LSP、PHP、标签栈,而不是把 MPLS 简化为“更快的 IP”。 |
Application Protocols
应用协议:把字节解释成业务语义
应用层定义资源、命令、身份、状态码、消息边界和错误语义。深入网络不能只停在端口号,要理解应用协议如何依赖下层、如何被代理和缓存影响、如何暴露诊断信号。
远程登录
Telnet 代表早期明文远程会话,SSH 在不安全网络上提供服务器认证、加密、完整性和多通道连接。
文件与对象传输
FTP 使用控制连接与数据连接,部署上容易遇到 NAT 和防火墙问题;现代系统更多使用 HTTPS、SFTP 或对象存储 API。
电子邮件
SMTP 负责投递,IMAP/POP 负责读取,MIME 负责多媒体内容。邮件系统还涉及 DNS 记录、反垃圾策略和 TLS。
Web
URI 定位资源,HTTP 定义方法、状态、字段、缓存和内容协商,TLS 提供安全通道,HTTP/2 和 HTTP/3 改善连接复用。
网络管理
SNMP、MIB 和遥测系统把设备状态转化为可查询指标。现代运维还会结合日志、流量采样和分布式追踪。
实时与分布式应用
多媒体、P2P、目录服务和游戏更关注时延、抖动、NAT 穿越和弱网体验,常在 UDP 或 QUIC 上自定义控制逻辑。
Application Chain
应用协议不是端口号清单,而是一条语义处理链
URI
定位资源
scheme、host、path、query 决定访问目标和语义入口。
DNS
选择地址
递归缓存、权威记录、CDN 调度共同影响落点。
TLS
建立信任
SNI、证书链、ALPN 决定安全身份和协议版本。
HTTP
表达动作
方法、状态码、头字段、缓存和内容协商承载业务语义。
Proxy
改写路径
反向代理、WAF、缓存和负载均衡会改变观测点。
Logs
留下证据
访问日志、应用日志、trace id 和指标帮助复盘。
交互:HTTP 访问诊断器
选择浏览器或 curl 看到的现象,把应用层问题映射到状态码、头字段、TLS 和代理证据。
| 协议族 | 内部知识点 | 诊断入口 |
|---|---|---|
| 远程登录 | Telnet 明文会话;SSH 服务器身份、密钥交换、加密、完整性、用户认证和端口转发。 | ssh -v、host key、认证日志、密钥权限、堡垒机策略。 |
| 文件传输 | FTP 控制/数据连接、主动/被动模式、SFTP/HTTPS 的替代价值。 | NAT/防火墙数据端口、TLS 模式、目录权限、传输中断点。 |
| 电子邮件 | SMTP 投递、POP/IMAP 读取、MIME 内容封装、MX/SPF/DKIM/DMARC 与反垃圾策略。 | MX 查询、SMTP 返回码、队列、退信、TLS、认证和黑名单。 |
| WWW | URI/URL、HTML、HTTP 方法/状态/字段/缓存、Cookie、代理、CGI/动态内容、HTTP/2/HTTP/3。 | curl -v、浏览器网络面板、状态码、重定向、缓存头、TLS/SNI。 |
| 网络管理 | SNMP 管理框架、MIB 对象模型、RMON/采样、现代遥测和日志体系。 | OID、community/user、trap、接口计数器、NetFlow/sFlow、设备日志。 |
| 多媒体/P2P/LDAP | 实时媒体关注时延/抖动,P2P 关注发现和 NAT 穿越,LDAP 关注目录查询和身份数据。 | STUN/TURN、UDP 丢包、会话建立、目录绑定、查询延迟和权限。 |
Security
网络安全:每一层都有自己的攻击面
网络安全不是单个防火墙规则,而是身份、加密、完整性、访问控制、监测和恢复能力的组合。链路层有接入控制,网络层有 IPsec 与过滤,传输/应用层有 TLS 与认证,运维层有日志和检测。
安全目标
- 机密性:防止未授权读取,例如 TLS、SSH、IPsec。
- 完整性:防止数据被篡改,例如消息认证码和数字签名。
- 认证:确认通信对象和用户身份,例如证书、密钥、802.1X。
- 可用性:抵御故障、拥塞、DDoS、配置错误和资源耗尽。
常见控制点
- 边界:防火墙、ACL、NAT、WAF、反向代理。
- 接入:VLAN、802.1X、VPN、零信任网关。
- 检测:IDS/IPS、NetFlow、日志、异常连接和扫描告警。
- 加密:TLS、SSH、IPsec,关注证书链和密钥管理。
Defense Depth
安全控制要叠在路径上,而不是只堆在边界
接入层
802.1X、端口安全、VLAN 隔离
防止未授权入网
网络层
ACL、IPsec、路由过滤、反欺骗
限制可达性
传输层
TLS、SSH、握手校验、连接限速
保护会话
应用层
认证、授权、WAF、输入校验
保护业务语义
运维层
日志、IDS、NetFlow、告警和复盘
发现与恢复
一条请求的防御纵深
攻击并不总是从公网边界开始。无线接入、DNS 污染、ARP 欺骗、证书异常、弱口令、代理误配和日志缺失都可能成为突破点。每层至少要有一个可验证的控制和一个可观测的证据。
Threat
识别攻击面
Control
限制动作与路径
Evidence
留下可观测证据
Recovery
隔离、修复、复盘
交互:威胁与控制映射
选择威胁类型,查看应该在哪些层观察和控制。
| 章内主题 | 关键知识 | 验证与运维重点 |
|---|---|---|
| 防火墙与边界控制 | 包过滤、状态检测、应用层网关、WAF 和个人防火墙分别工作在不同层次。 | 确认方向、默认策略、状态表、命中计数、规则顺序和变更审计。 |
| IDS/IPS 与检测 | 基于签名、行为和流量特征识别扫描、漏洞利用、异常连接和横向移动。 | 告警要和流量、日志、资产、误报率一起看,避免只看单点事件。 |
| 密码学基础 | 对称加密效率高,公钥体系解决密钥交换和身份认证;哈希/MAC/签名解决完整性和不可抵赖。 | 关注算法强度、密钥长度、随机数、证书有效期、吊销和私钥保护。 |
| 身份认证 | 密码、密钥、证书、令牌、802.1X、MFA 和集中身份系统都是认证机制的一部分。 | 排查时看身份源、凭据状态、时间同步、证书链和授权策略。 |
| IPsec/VPN | 在网络层提供加密和认证,常用于站点到站点或远程接入 VPN。 | 关注 IKE、SA、路由、NAT-T、MTU/MSS、分流策略和重协商。 |
| TLS/HTTPS 与 802.1X | TLS 保护应用层连接;802.1X 在接入层控制终端入网。 | 验证 SNI、证书链、协议版本、套件、OCSP,以及接入认证日志。 |
Appendix Foundations
附录基础:把底层常识补齐
完整网络学习不能只停留在 IP 和 TCP。目录中的附录提醒了几个容易被跳过但很影响理解的底层主题:旧式地址分类、物理层、0/1 编码和传输介质。这些内容不一定每天配置,但会影响故障判断、容量估算和网络设计语言。
A/B/C 类地址的历史位置
早期 IPv4 使用 A、B、C 类地址划分网络规模;现代路由以 CIDR 为主,但理解旧式分类有助于读懂历史资料、默认掩码、私有地址段和部分教材术语。
Classful
CIDR
默认掩码
物理层与 0/1 编码
物理层把比特变成电信号、光信号或无线电波。编码、调制、时钟同步、噪声、衰减和误码会向上表现为重传、速率下降、链路 flap 或吞吐抖动。
信号
编码
误码
传输介质不是背景板
同轴电缆、双绞线、光纤和无线介质在带宽、距离、抗干扰、成本和部署方式上差异明显。网络排障时,物理介质常是被忽视的第一现场。
同轴
双绞线
光纤
无线
Media Spectrum
底层介质决定误码、距离、速率和稳定性上限
同轴电缆
共享介质历史、DOCSIS、有线电视网络;关注接头、阻抗和老化。
双绞线
最常见以太网介质;线序、类别、长度和干扰会影响速率协商。
光纤
长距离高带宽;重点是单模/多模、模块、光功率和清洁度。
无线
共享频谱;信号、噪声、信道、漫游和重传共同决定体验。
交互:传输介质选择器
按距离、干扰和带宽目标选择介质,并看到它在排障时最该观察的信号。
| 介质/主题 | 核心特征 | 常见故障表现 | 学习要求 |
|---|---|---|---|
| 同轴电缆 | 早期共享介质以太网和有线电视网络常见,抗干扰较强但部署灵活性有限。 | 接头、阻抗、老化导致信号质量下降。 | 了解历史和 DOCSIS 场景即可。 |
| 双绞线 | 现代以太网常见介质,依赖线序、线缆类别、长度和端口协商。 | 速率降级、CRC/FCS 错误、双工异常、PoE 供电问题。 | 会看接口速率、错误计数和线缆类别。 |
| 光纤 | 适合长距离和高带宽,关注单模/多模、波长、模块、光功率和清洁度。 | 光衰、模块不兼容、收发方向接反、间歇性丢包。 | 理解光模块、光功率和链路预算。 |
| 无线 | 共享频谱,受距离、遮挡、干扰、信道、漫游和终端能力影响。 | 高延迟、抖动、重传率高、漫游中断、速率波动。 | 会看 RSSI、SNR、信道拥塞和重传率。 |
| 0/1 编码 | 把比特映射到可传输信号,并解决同步、直流平衡和误码检测问题。 | 误码率上升会在链路层表现为帧校验错误或重传。 | 理解编码是“比特到信号”的桥梁。 |
Interactive Labs
交互实验:把体系知识变成可观察现象
以下实验均在浏览器本地运行。实验采用教学模型,用来训练协议直觉和排障路径;真实环境需要结合抓包、系统日志、设备配置和端到端观测。
实验一:封装开销计算器
调整负载、IP 版本和传输组合,观察有效载荷比例和帧数变化。
0 B估算线速字节
0 B头部与链路开销
0%有效载荷占比
1按 1500 MTU 估算帧数
实验二:交换机 MAC 学习
选择一帧的源和目标,观察交换机如何学习源 MAC,并决定单播、泛洪或丢弃。
| MAC | 端口 |
|---|
实验三:DNS 递归解析路径
选择缓存状态,观察从客户端到递归解析器、根、TLD、权威服务器的查询链。
实验四:NAPT 地址转换
观察多个内网连接如何共享一个公网地址,以及为什么返回流量依赖状态表。
实验五:TCP 状态机与握手/关闭
按步骤推进,观察客户端和服务端状态如何变化。
Client
CLOSED
Server
LISTEN
实验六:拥塞窗口模拟器
调节 RTT、MSS 和丢包轮次,观察慢启动、拥塞避免与乘性减小。
0 MSS峰值拥塞窗口
0 Mbps估算平均吞吐
0 MSS丢包后窗口
0 KB带宽时延积直觉
实验七:MTU 与 PMTUD
模拟不同路径 MTU 和网络行为,理解为什么大包可能卡住。
实验八:故障症状到验证命令
选择症状,生成排障假设、观察点和建议命令。
命令清单
实验九:关键概念自测
点击题目查看答案,建议先口头解释再展开。
Operations And Diagnosis
排障与观测:从现象回推协议边界
成熟的网络排障不是堆命令,而是先定位失败发生在哪个抽象边界,再选择最小验证动作。排障输出应包含现象、影响范围、假设、证据、排除项、结论和后续改进。
Diagnosis Funnel
把“网络不通”收敛成可验证的最小问题
现象与影响范围
端到端路径拆分
分层假设
最小验证命令
证据与复盘
排障的关键不是多跑命令
先判断失败发生在链路、寻址、路由、传输、应用还是安全策略边界,再选择能最大幅度减少不确定性的观测点。这样才能避免从 DNS 一路猜到防火墙,又从防火墙猜回代码。
分层定位流程
物理/链路
接口 up/down、速率、双工、VLAN、MAC 表、无线信号、错误包。
网际层
IP 地址、路由表、默认网关、TTL、ICMP、PMTUD、回程路由。
传输层
SYN/SYN-ACK/ACK、RST、FIN、重传、窗口、端口监听、连接表。
应用层
DNS、TLS 证书、HTTP 状态码、代理、认证、应用日志。
安全策略
防火墙、ACL、WAF、NAT 状态、IDS 告警、零信任策略。
抓包观察重点
握手阶段
只有 SYN 重传多半是路径、防火墙、监听或回程问题;收到 RST 代表某端或中间设备明确中止。
传输阶段
关注重复 ACK、重传、窗口归零、MSS、SACK、RTT 和乱序。吞吐低可能由丢包、高 RTT、窗口、应用读写慢共同导致。
链路阶段
关注 ARP/ND 是否解析、VLAN 是否一致、MAC 是否漂移、是否存在广播风暴或 STP 拓扑变化。
应用阶段
关注 DNS TTL、TLS SNI/证书链、HTTP Host/:authority、代理头、缓存命中和错误状态码。
常用命令速查
按验证目标分组,避免排障时在命令之间来回跳。
地址与路由
ip addr
ip route
ip neigh
链路与监听
ethtool eth0
bridge fdb show
ss -lntup
DNS 与应用
dig +trace example.com
curl -v --http2 https://example.com/
openssl s_client -connect example.com:443 -servername example.com
路径与抓包
ping -D -s 1472 example.com
tracepath example.com
sudo tcpdump -ni any 'host example.com'
复盘模板
把排障过程写成可复用的证据链。
01现象用户看到什么,何时发生,是否可复现。
02影响范围单用户、单网段、单服务,还是全局故障。
03失败层次假设链路、路由、传输、应用或安全策略。
04验证命令每个假设对应一个最小验证动作。
05关键报文/日志保留抓包、状态码、告警和时间线。
06排除项记录已经证伪的方向,避免重复绕圈。
07结论说明根因、触发条件和修复动作。
08后续改进补监控、补文档、补变更保护。
Roadmap
十二周学习路线
路线按“概念、图解、实验、复盘”组织。每周至少完成一次抓包或本地复现实验,并用自己的语言写一页总结。
Learning Arc
从“知道名词”推进到“能解释真实故障”
1
第 1-2 周
建立分层、封装、物理介质和链路直觉。
2
第 3-4 周
掌握二层边界、VLAN、IPv4 子网和路由表。
3
第 5-6 周
补齐 IPv6、DNS、ARP/ND、DHCP、NAT 与 ICMP。
4
第 7-8 周
深挖 TCP、UDP、QUIC、时延、丢包和拥塞。
5
第 9-10 周
理解动态路由和应用协议的语义链。
6
第 11-12 周
完成安全、排障和综合项目闭环。
第 1 周:协议与分层
画出 OSI 与 TCP/IP 对照,解释封装、解封装、PDU 和地址边界。
第 2 周:物理与链路
学习 0/1 编码、同轴/双绞线/光纤/无线介质、Ethernet、Wi-Fi、PPP、MAC、FCS、MTU、交换机转发。
第 3 周:VLAN 与二层故障
理解广播域、Trunk、STP、MAC 表、ARP 广播和常见环路问题。
第 4 周:IPv4 与子网
练习 CIDR、VLSM、私有地址、广播地址、最长前缀匹配。
第 5 周:IPv6 与 ICMPv6
学习地址类型、扩展头、邻居发现、路由器通告、PMTUD。
第 6 周:DNS/ARP/DHCP/NAT
拆解一次从开机入网到访问网站的完整辅助协议链。
第 7 周:TCP 深潜
抓包观察握手、关闭、重传、窗口、MSS、SACK、TIME-WAIT。
第 8 周:UDP/QUIC/实时
比较 DNS、媒体、游戏、HTTP/3 的时延和可靠性设计。
第 9 周:动态路由
理解 RIP、OSPF、BGP、MPLS 的作用域、算法和故障模式。
第 10 周:应用协议
拆解 SSH、SMTP/IMAP、HTTP、SNMP 的语义、状态和诊断信号。
第 11 周:网络安全
学习 TLS、SSH、IPsec、防火墙、IDS、802.1X 和证书链。
第 12 周:综合项目
选择一个真实服务,写从链路到应用安全的完整诊断报告。
References
参考文献与依据
访问日期:2026-05-26。本地附件《图解 TCP/IP》用于校准知识范围;协议定义和字段说明以公开标准资料为准。
- BOOK[日] 竹下隆史、[日] 村山公保、[日] 荒井透、[日] 苅田幸雄 著,乌尼日其其格 译。《图解 TCP/IP(第 5 版)》,人民邮电出版社 / 图灵教育,2013,ISBN 9787115318978;原作名《マスタリング TCP/IP 入門編 第 5 版》。本地附件 PDF 用于校准目录范围。
- RFCRFC 1122: Requirements for Internet Hosts -- Communication Layers。
- RFCRFC 791: Internet Protocol 与 RFC 8200: IPv6 Specification。
- RFCRFC 9293: Transmission Control Protocol (TCP) 与 RFC 768: User Datagram Protocol。
- RFCRFC 5681: TCP Congestion Control。
- RFCRFC 826: Address Resolution Protocol 与 RFC 4861: Neighbor Discovery for IPv6。
- RFCRFC 792: ICMP 与 RFC 4443: ICMPv6。
- RFCRFC 1191: Path MTU Discovery 与 RFC 8201: IPv6 Path MTU Discovery。
- RFCRFC 1034 与 RFC 1035:DNS 概念和实现。
- RFCRFC 2131: Dynamic Host Configuration Protocol。
- RFCRFC 2663: IP Network Address Translator Terminology and Considerations 与 RFC 3022: Traditional IP Network Address Translator。
- RFCRFC 2453: RIP Version 2、RFC 2328: OSPF Version 2、RFC 4271: BGP-4。
- RFCRFC 3031: Multiprotocol Label Switching Architecture。
- RFCRFC 9110: HTTP Semantics、RFC 8446: TLS 1.3、RFC 9000: QUIC。
- RFCRFC 4251: SSH Protocol Architecture、RFC 5321: SMTP、RFC 9051: IMAP4rev2、RFC 3411: SNMP Management Frameworks。
- RFCRFC 4301: Security Architecture for IP。
- IANAIANA Assigned Internet Protocol Numbers。