网络体系结构是计算机网络的核心框架，也是网络安全学习的基础——所有网络攻击、防御技术，均围绕各层协议的漏洞与特性展开。本文聚焦安全方向必备的 OSI 七层模型与 TCP/IP 四层模型，详细解析各层功能、数据单位及核心协议，结合安全应用场景标注重点，帮助学习者建立“分层理解、聚焦安全”的知识体系，为后续网络安全技术学习筑牢基础。

核心说明：网络体系结构的核心价值是“分层解耦”，将复杂的网络通信过程拆分为多个独立的功能层，每层只关注自身核心任务，通过接口与相邻层交互。这种结构不仅降低了网络设计与实现的复杂度，也为网络安全防护提供了明确的分层思路——不同层的安全风险的对应不同的防御策略（如数据链路层的 ARP 欺骗、传输层的 SYN 洪水、应用层的 SQL 注入）。

第一章 网络体系结构概述

网络体系结构是指计算机网络中各层及其协议的集合，本质是一套“规则约定”，规定了网络中不同设备之间如何通信、如何交换数据。目前主流的两种体系结构分别是 OSI 七层参考模型（理论标准）和 TCP/IP 四层模型（实际应用标准），二者核心一致，只是分层方式不同，网络安全学习需同时掌握两种模型的对应关系，才能精准定位安全问题。

重点提示：TCP/IP 四层模型是实际网络中广泛应用的标准（如互联网、企业内网），也是网络安全实操的核心场景；OSI 七层模型是理论框架，用于理解网络通信的完整流程，帮助我们清晰区分各层的功能边界与安全风险，二者需结合记忆。

第二章 OSI 七层参考模型（安全必背）

OSI（Open Systems Interconnection，开放系统互联）七层模型由国际标准化组织（ISO）制定，是网络通信的理论标准，从下到上分为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。每层均有明确的功能、数据单位和核心协议，其中数据链路层、网络层、传输层、应用层是网络安全的重点关注层，会话层和表示层可结合应用层理解。

2.1 物理层（Layer 1）—— 通信的物理基础

核心功能

负责将计算机中的二进制数据（比特流）转换为物理介质可传输的信号（如电信号、光信号、无线电信号），实现比特流的透明传输，主要关注“物理连接”和“信号传输”，不涉及数据的处理与解析。

简单理解：物理层相当于“网线、光纤、无线信号”等物理介质的“规则约定”，确保不同设备的物理接口能够匹配，信号能够正常传输。

数据单位

比特（bit）：计算机中最小的数据单位，只有 0 和 1 两种状态，是物理层唯一的数据单位。

常见协议与设备

协议：无专门的核心协议，主要是物理接口标准（如 RJ45 接口标准、光纤接口标准、RS-232 串口标准）。

设备：中继器、集线器（HUB）。

安全关注点（了解即可）

物理层的安全风险主要集中在“物理连接破坏”，如网线被剪断、无线信号被干扰、物理设备被非法接入（如未经授权接入集线器），防御重点是物理隔离、设备门禁、无线信号加密。

2.2 数据链路层（Layer 2）—— 帧的封装与传输

核心功能

接收物理层传输的比特流，封装成“帧”（Frame），实现相邻设备之间的点对点通信；负责帧的差错控制（检测并纠正传输中的比特错误）、流量控制（避免接收方被数据淹没），以及介质访问控制（解决多设备共享物理介质的冲突问题）。

简单理解：数据链路层相当于“相邻设备之间的通信规则”，确保数据在两个直接连接的设备之间准确传输，比如电脑与交换机、交换机与路由器之间的通信。

数据单位

帧（Frame）：由首部、数据部分、尾部组成，首部包含 MAC 地址（源设备和目的设备的物理地址），尾部包含差错校验字段（如 CRC 校验码）。

常见协议（安全必背）

• 以太网协议（Ethernet）：最常用的局域网协议，定义了帧的结构和 MAC 地址格式，是数据链路层的核心协议，也是 ARP 协议的基础。

• ARP 协议（地址解析协议）：将网络层的 IP 地址转换为数据链路层的 MAC 地址，是网络通信的“桥梁”，也是网络安全中 ARP 欺骗、ARP 缓存投毒攻击的核心目标。

• PPP 协议（点对点协议）：用于拨号上网、专线连接等点对点通信场景，如家庭宽带拨号、路由器之间的专线连接。

• HDLC 协议（高级数据链路控制协议）：一种面向比特的同步通信协议，主要用于广域网场景。

常见设备

网桥、交换机（二层交换机）：交换机是数据链路层的核心设备，通过 MAC 地址表转发帧，实现局域网内多设备的通信，也是 VLAN（虚拟局域网）的实现载体。

安全关注点（重点）

数据链路层是网络安全的重要防线，核心风险包括 ARP 欺骗（伪造 MAC 地址，拦截或篡改数据）、MAC 地址欺骗（伪造合法 MAC 地址接入网络）、VLAN 逃逸（突破 VLAN 隔离，访问其他网段），防御重点是开启 ARP 防护、绑定 MAC 地址与 IP 地址、合理划分 VLAN。

2.3 网络层（Layer 3）—— 分组转发与路由选择

核心功能

负责将数据链路层的帧解封，提取出分组（Packet），实现“跨网段通信”；核心任务是路由选择（根据路由表，选择从源主机到目的主机的最佳路径）和分组转发（将分组转发到下一跳设备）；同时负责拥塞控制（避免网络过载导致的分组丢失）和异构网络互联（连接不同类型的局域网、广域网）。

简单理解：网络层相当于“网络中的导航系统”，确保数据能够从一个网段的主机，传输到另一个网段的主机，比如从家里的电脑访问互联网上的服务器。

数据单位

分组（Packet）：也叫数据报，由首部和数据部分组成，首部包含 IP 地址（源 IP 和目的 IP）、路由信息、协议类型等字段。

常见协议（安全必背）

• IP 协议（网际协议）：网络层的核心协议，定义了 IP 地址格式和分组转发规则，是互联网通信的基础，分为 IPv4 和 IPv6 两个版本，目前 IPv4 仍为主流，但 IPv6 是未来趋势。

• ICMP 协议（互联网控制消息协议）：辅助 IP 协议工作，用于发送差错报告（如目标不可达、超时）和控制消息（如 ping 命令的请求与响应），ping、tracert 命令均基于 ICMP 协议，也是网络扫描、故障排查的常用工具。

• ARP 协议（地址解析协议）：跨层协议（数据链路层+网络层），已在数据链路层详细说明，核心作用是 IP 地址与 MAC 地址的转换。

• RARP 协议（反向地址解析协议）：将 MAC 地址转换为 IP 地址，用于无盘工作站等场景（目前较少使用）。

• 路由协议：分为静态路由和动态路由，动态路由协议如 RIP、OSPF、BGP，用于路由器之间交换路由信息，确定最佳转发路径。