圖說OSI七層網絡模型

時間 2019-11-25

原文原文鏈接

開放式系統互聯通訊參考模型（英語：Open System Interconnection Reference Model，縮寫爲 OSI），簡稱爲OSI模型（OSI model），一種概念模型，由國際標準化組織提出，一個試圖使各類計算機在世界範圍內互連爲網絡的標準框架。定義於ISO/IEC 7498-1。算法

各層協議

osi七層和tcp/ip四層對比

七層模型

數據傳輸過程1

數據傳輸過程2

OSI將計算機網絡體系結構(architecture）劃分爲如下七層:
物理層: 將數據轉換爲可經過物理介質傳送的電子信號至關於郵局中的搬運工人。數據庫

數據鏈路層: 決定訪問網絡介質的方式。安全

在此層將數據分幀，並處理流控制。本層指定拓撲結構並提供硬件尋址，至關於郵局中的裝拆箱工人。網絡

網絡層: 使用權數據路由通過大型網絡至關於郵局中的排序工人。數據結構

傳輸層: 提供終端到終端的可靠鏈接至關於公司中跑郵局的送信職員。框架

會話層: 容許用戶使用簡單易記的名稱創建鏈接至關於公司中收寄信、寫信封與拆信封的祕書。異步

表示層: 協商數據交換格式至關公司中簡報老闆、替老闆寫信的助理。tcp

應用層: 用戶的應用程序和網絡之間的接口老闆。工具

OSI網絡七層模型-結構圖

概念學習理解較爲枯燥

層次劃分

根據建議X.200，OSI將計算機網絡體系結構劃分爲如下七層，標有1～7，第1層在底部。現「OSI/RM」是英文「Open Systems Interconnection Reference Model」的縮寫。學習

第7層應用層

主條目：應用層

應用層（Application Layer）提供爲應用軟件而設的接口，以設置與另外一應用軟件之間的通訊。例如: HTTP，HTTPS，FTP，TELNET，SSH，SMTP，POP3等。

應用層（Application Layer）：該層爲用於通訊的應用程序和用於消息傳輸的底層網絡提供接口。網絡應用是計算機網絡存在的緣由，而應用層正是應用層協議得以存在和網絡應用得以實現的地方。應用層（Application layer）是七層OSI模型的第七層。應用層直接和應用程序接口並提供常見的網絡應用服務。應用層也向表示層發出請求。

應用層應用層是開放系統的最高層,是直接爲應用進程提供服務的。其做用是在實現多個系統應用進程相互通訊的同時,完成一系列業務處理所需的服務.其服務元素分爲兩類:公共應用服務元素CASE和特定應用服務元素SASE.CASE提供最基本的服務,它成爲應用層中任何用戶和任何服務元素的用戶，主要爲應用進程通訊,分佈系統實現提供基本的控制機制；特定服務SASE則要知足一些特定服務,如文卷傳送,訪問管理,做業傳送,銀行事務,訂單輸入等。這些將涉及到虛擬終端,做業傳送與操做,文卷傳送及訪問管理,遠程數據庫訪問,圖形核心系統,開放系統互連管理等等。

第6層表達層

主條目：表達層

表達層（Presentation Layer）把數據轉換爲能與接收者的系統格式兼容並適合傳輸的格式。

        表示層位於OSI分層結構的第六層，它的主要做用之一是爲異種機通訊提供一種公共語言，以便能進行互操做。這種類型的服務之因此須要，是由於不一樣的計算機體系結構使用的數據表示法不一樣。與第五層提供透明的數據運輸不一樣，表示層是處理全部與數據表示及運輸有關的問題，包括轉換、加密和壓縮。每臺計算機可能有它本身的表示數據的內部方法，

        例如，ASCII碼與EBCDIC碼，因此須要表示層協定來保證不一樣的計算機能夠彼此理解。例如，IBM主機使用EBCDIC編碼，而大部分PC機使用的是ASCII碼。在這種狀況下，便須要表示層來完成這種轉換。若是您想要用盡可能少的詞語來記住這第6層，那就是「一種通用的數據格式」。

        表示層爲應用層提供的服務有三項內容語法轉換：

        語法轉換涉及代碼轉換和字符集的轉換，數據格式的修改、數據結構操做的適配、數據壓縮、數據加密等。

        語法選擇：語法選擇是提供初始選擇的一種語法和隨後修改這種選擇的手段。

        聯接管理：利用會話層提供的服務創建表示聯接，管理在這一聯接之上的數據運輸和同步控制，以及正常或非正常地終止聯接。

工做原理

        在表示層，數據將按照網絡能理解的方案進行格式化；這種格式化也因所使用網絡的類型不一樣而不一樣。表示層管理數據的解密與加密，如系統口令的處理若是在Internet上查詢你銀行帳戶，使用的便是一種安全鏈接。你的帳戶數據在發送前被加密，在網絡的另外一端，表示層將對接收到的數據解密。除此以外，表示層協議還對圖片和文件格式信息進行解碼和編碼。加密分爲鏈路加密和端到端的加密。對於表示層，參與的加密屬於端到端的加密，指信息由發送端自動加密，並進入TCP/IP數據包封裝，而後做爲不可閱讀和不可識別的數據進入互聯網。到達目的地後，再自動充足解密，成爲可讀數據。端到端加密面向網絡高層主體，不對下層協議進行信息加密，協議信息以明文進行傳送，用戶數據在中央節點不需解密。

第5層會話層

主條目：會話層

會話層（Session Layer）負責在數據傳輸中設置和維護計算機網絡中兩臺計算機之間的通訊鏈接。

⑴爲會話實體間創建鏈接爲給兩個對等會話服務用戶創建一個會話鏈接,應該作以下幾項工做.① 將會話地址映射爲運輸地址.② 選擇須要的運輸服務質量參數(QOS).③ 對會話參數進行協商.④ 識別各個會話鏈接.⑤ 傳送有限的透明用戶數據.

⑵數據傳輸階段這個階段是在兩個會話用戶之間實現有組織的,同步的數據傳輸.用戶數據單元爲SSDU,而協議數據單元爲SPDU.會話用戶之間的數據傳送過程是將SSDU轉變成SPDU進行的.

⑶鏈接釋放鏈接釋放是經過"有序釋放","廢棄"，"有限量透明用戶數據傳送"等功能單元來釋放會話鏈接的。會話層標準爲了使會話鏈接創建階段能進行功能協商，也爲了便於其它國際標準參考和引用,定義了12種功能單元。各個系統可根據自身狀況和須要，以核心功能服務單元爲基礎,選配其餘功能單元組成合理的會話服務子集。

會話劫持與安全

        會話劫持因爲會話層傳輸數據的特色因此在發生會話時可能會出現會話劫持。會話劫持發生在攻擊者試圖接管兩臺計算機間所創建的TCP會話的時候。會話劫持的基本步驟包括：尋找會話、猜想序號、迫使用戶掉線、接管會話。會話劫持的目的是竊取有效系統的一個受權鏈接。若是黑客成功了，那麼他就能夠執行本地命令。若是他劫持了一個特權賬戶，那麼黑客就擁有了與特權用戶同樣的訪問權限。會話劫持之因此會如此的危險是由於它容許控制現有的賬號，這使得攻擊就幾乎沒有痕跡。兩種可用於會話劫持的工具是Ettercap和Hunt。

阻止和檢測會話劫持

        有兩種主要的機制能夠解決劫持的問題：阻止和檢測。

        阻止的方法包括限制到達的鏈接數，以及配置網絡拒絕來自網絡但卻稱來自本地地址的數據包。

        加密也會有所幫助。若是你必須容許來自外部的可信任主機的鏈接，那麼要使用Kerberos或IPsec進行加密。FTP和Telnet是至關脆弱的，咱們須要使用更安全的協議。SecureShell(SSH)是一個很好的選擇。SSH在本地和遠程主機上創建一個加密的通道。使用IDS或IPS系統能夠改進檢測。使用交換機、諸如SSH的安全協議，以及更加隨機的初始序列號都將增長會話劫持的難度。

第4層傳輸層

主條目：傳輸層

傳輸層（Transport Layer）把傳輸表頭（TH）加至數據以造成數據包。傳輸表頭包含了所使用的協議等發送信息。例如:傳輸控制協議（TCP,UDP）等。

傳輸層（Transport Layer）是ISO OSI協議的第四層協議，實現端到端的數據傳輸。該層是兩臺計算機通過網絡進行數據通訊時，第一個端到端的層次，具備緩衝做用。當網絡層服務質量不能知足要求時，它將服務加以提升，以知足高層的要求；當網絡層服務質量較好時，它只用不多的工做。傳輸層還可進行復用，即在一個網絡鏈接上建立多個邏輯鏈接。傳輸層在終端用戶之間提供透明的數據傳輸，向上層提供可靠的數據傳輸服務。傳輸層在給定的鏈路上經過流量控、分段/重組和差錯控制。一些協議是面向連接的。這就意味着傳輸層能保持對分段的跟蹤，而且重傳那些失敗的分段。

第3層網絡層

主條目：網絡層

網絡層（Network Layer）決定數據的路徑選擇和轉寄，將網絡表頭（NH）加至數據包，以造成分組。網絡表頭包含了網絡數據。例如:互聯網協議（IP）等。

網絡層是OSI參考模型中的第三層，介於傳輸層和數據鏈路層之間，它在數據鏈路層提供的兩個相鄰端點之間的數據幀的傳送功能上，進一步管理網絡中的數據通訊，將數據設法從源端通過若干個中間節點傳送到目的端，從而向運輸層提供最基本的端到端的數據傳送服務。主要內容有：虛電路分組交換和數據報分組交換、路由選擇算法、阻塞控制方法、X.25協議、綜合業務數據網（ISDN）、異步傳輸模式（ATM）及網際互連原理與實現。

網絡層的目的是實現兩個端系統之間的數據透明傳送，具體功能包括尋址和路由選擇、鏈接的創建、保持和終止等。它提供的服務使傳輸層不須要了解網絡中的數據傳輸和交換技術。若是您想用盡可能少的詞來記住網絡層，那就是「路徑選擇、路由及邏輯尋址」。網絡層爲了說明網絡層的功能，它是由若干個網絡節點按照任意的拓撲結構相互鏈接而成的。網絡層關係到通訊子網的運行控制，體現了網絡應用環境中資源子網訪問通訊子網的方式。網絡層從物理上來說通常分佈地域寬廣，從邏輯上來說功能複雜，所以是OSI模型中面向數據通訊的下三層（也即通訊子網）中最爲複雜也最關鍵的一層。

第2層數據鏈路層

主條目：數據鏈路層

數據鏈路層（Data Link Layer）負責網絡尋址、錯誤偵測和改錯。當表頭和表尾被加至數據包時，會造成幀。數據鏈表頭（DLH）是包含了物理地址和錯誤偵測及改錯的方法。數據鏈表尾（DLT）是一串指示數據包末端的字符串。例如以太網、無線局域網（Wi-Fi）和通用分組無線服務（GPRS）等。

分爲兩個子層：邏輯鏈路控制（logic link control，LLC）子層和介質訪問控制（media access control，MAC）子層。

數據鏈路層是OSI參考模型中的第二層，介乎於物理層和網絡層之間。數據鏈路層在物理層提供的服務的基礎上向網絡層提供服務，其最基本的服務是將源自網絡層來的數據可靠地傳輸到相鄰節點的目標機網絡層。爲達到這一目的，數據鏈路必須具有一系列相應的功能，主要有：如何將數據組合成數據塊，在數據鏈路層中稱這種數據塊爲幀（frame），幀是數據鏈路層的傳送單位；如何控制幀在物理信道上的傳輸，包括如何處理傳輸差錯，如何調節發送速率以使與接收方相匹配；以及在兩個網絡實體之間提供數據鏈路通路的創建、維持和釋放的管理。移動通訊系統中Uu口協議的第二層，也叫層二或L2。

第1層物理層

主條目：物理層

物理層（Physical Layer）在局部局域網上傳送數據幀（data frame），它負責管理計算機通訊設備和網絡媒體之間的互通。包括了針腳、電壓、線纜規範、集線器、中繼器、網卡、主機適配器等。

物理層的媒體包括架空明線、平衡電纜、光纖、無線信道等。通訊用的互連設備指DTE和DCE間的互連設物理層備。DTE即數據終端設備，又稱物理設備，如計算機、終端等都包括在內。而DCE則是數據通訊設備或電路鏈接設備，如調制解調器等。數據傳輸一般是通過DTE──DCE，再通過DCE──DTE的路徑。互連設備指將DTE、DCE鏈接起來的裝置，如各類插頭、插座。LAN中的各類粗、細同軸電纜、T型接、插頭，接收器，發送器，中繼器等都屬物理層的媒體和鏈接器。