一、网络体系结构与分层模型

1.1 OSI七层模型与TCP/IP四层模型对比

OSI（开放系统互连）模型作为理论框架，将网络通信划分为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。而实际应用中广泛采用的TCP/IP四层模型（网络接口层、网际层、传输层、应用层）更强调实用性。例如，HTTP协议位于应用层，通过传输层的TCP协议实现可靠传输，最终依赖物理层的双绞线或光纤介质完成数据传输。

关键区别：OSI模型严格分层，每层功能独立；TCP/IP模型则合并了会话层、表示层到应用层，更贴近实际开发需求。开发者需理解这种对应关系，例如Socket编程时，socket(AF_INET, SOCK_STREAM, 0)中的AF_INET即对应TCP/IP的网络接口层。

1.2 数据封装与解封装过程

数据从应用层向下传输时，每层会添加头部信息（封装）。例如，发送HTTP请求时：

1. 应用层：生成HTTP请求报文（如GET /index.html HTTP/1.1）。
2. 传输层：TCP头部添加源/目的端口（如80端口），计算校验和。
3. 网络层：IP头部添加源/目的IP地址（如192.168.1.100 → 10.0.0.1）。
4. 数据链路层：以太网帧头部添加MAC地址（如002B4D:5E → FFFFFF:FF）。

接收方则反向解封装，逐层剥离头部信息。开发者可通过Wireshark抓包工具观察这一过程，例如分析TCP三次握手的SYN、SYN-ACK、ACK报文。

二、IP地址与子网划分

2.1 IPv4地址分类与CIDR表示法

IPv4地址分为A、B、C、D、E五类，但实际使用中更依赖CIDR（无类别域间路由）表示法。例如，192.168.1.0/24表示子网掩码为255.255.255.0，可容纳254台主机。

子网划分案例：将10.0.0.0/16划分为4个子网：

1. 借2位主机位作为子网位（/18），得到子网掩码255.255.192.0。
2. 子网范围：
   • 10.0.0.0/18（10.0.0.1-10.0.63.254）
   • 10.0.64.0/18（10.0.64.1-10.0.127.254）
   • 依此类推。

开发者需掌握ipcalc工具或手动计算子网，例如通过256 - (256 - 子网掩码最后一段值)计算每个子网的主机数。

2.2 IPv6地址结构与优势

IPv6采用128位地址（如200185a300000370:7334），支持自动配置（SLAAC协议）。其头部简化（固定40字节），去除了校验和字段，依赖上层协议（如TCP/UDP）保证可靠性。

迁移建议：企业网络可逐步部署双栈（IPv4+IPv6），例如在DNS中同时配置A记录（IPv4）和AAAA记录（IPv6），确保兼容性。

三、路由与交换技术

3.1 静态路由与动态路由协议

静态路由需手动配置，适用于小型网络。例如：

# Linux配置静态路由
ip route add 10.0.0.0/8 via 192.168.1.1

动态路由协议（如OSPF、BGP）自动计算最佳路径。OSPF使用Dijkstra算法，通过LSA（链路状态通告）同步拓扑信息；BGP则用于跨AS（自治系统）路由，通过路径属性（如AS_PATH、LOCAL_PREF）选择最优路由。

企业级建议：数据中心内部推荐OSPF，跨地域网络使用BGP，结合iBGP（内部BGP）和eBGP（外部BGP）实现层次化路由。

3.2 VLAN与三层交换

VLAN（虚拟局域网）通过802.1Q标签隔离广播域。例如，将交换机端口Gi1/0/1加入VLAN 10：

# Cisco交换机配置
interface GigabitEthernet1/0/1
 switchport mode access
 switchport access vlan 10

三层交换实现VLAN间路由，通过SVI（交换虚拟接口）配置IP地址。例如：

interface Vlan10
 ip address 192.168.10.1 255.255.255.0

四、传输层协议详解

4.1 TCP可靠传输机制

TCP通过序列号、确认号、重传定时器保证可靠性。例如，发送方发送SEQ=100, LEN=100的数据，接收方回复ACK=200表示已收到前200字节。

拥塞控制算法：

• 慢启动：初始cwnd（拥塞窗口）=1 MSS，每收到一个ACK，cwnd加倍。
• 拥塞避免：当cwnd达到ssthresh（慢启动阈值），改为线性增长。
• 快速重传：收到3个重复ACK时，立即重传丢失的报文段。

开发者可通过netstat -s查看TCP统计信息，优化tcp_retries2（重传次数）等内核参数。

4.2 UDP适用场景与优化

UDP适用于实时性要求高的场景（如DNS查询、视频流）。开发者可通过以下方式优化：

• 前向纠错（FEC）：发送冗余数据包，允许接收方恢复丢失的数据。
• 多路径传输：使用MP-TCP（多路径TCP）或SCTP（流控制传输协议）提升可靠性。

五、网络安全技术

5.1 防火墙与访问控制

防火墙规则遵循“最小权限原则”。例如，仅允许80、443端口入站：

# iptables配置示例
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j DROP

下一代防火墙（NGFW）：集成应用层过滤、入侵防御（IPS）等功能，例如通过DPI（深度包检测）识别BitTorrent流量。

5.2 加密协议与应用

TLS 1.3相比TLS 1.2简化了握手过程（从2-RTT降至1-RTT），支持0-RTT数据传输。开发者可通过OpenSSL实现：

// TLS服务器示例
SSL_CTX *ctx = SSL_CTX_new(TLS_server_method());
SSL_CTX_use_certificate_file(ctx, "server.crt", SSL_FILETYPE_PEM);
SSL_CTX_use_PrivateKey_file(ctx, "server.key", SSL_FILETYPE_PEM);

密钥交换：推荐使用ECDHE（椭圆曲线迪菲-赫尔曼），相比RSA更高效且支持前向保密（PFS）。

六、实用工具与调试技巧

1. 网络诊断：

   • ping：测试连通性（ping -c 4 8.8.8.8）。
   • traceroute：追踪路径（traceroute -n google.com）。
   • mtr：结合ping和traceroute功能。

2. 性能优化：

   • 调整TCP窗口大小（net.ipv4.tcp_window_scaling=1）。
   • 启用TCP快速打开（net.ipv4.tcp_fastopen=3）。

3. 自动化脚本：

   # 批量测试端口可达性
   for port in {80,443,22}; do
     timeout 1 bash -c "echo >/dev/tcp/example.com/$port" && \
     echo "Port $port is open" || echo "Port $port is closed"
   done

本文通过体系化梳理计算机网络的核心知识点，结合实际配置示例与优化建议，为开发者提供了从理论到实践的完整指南。掌握这些知识后，可更高效地设计网络架构、排查故障并保障安全性。