中国计算机网络拓扑结构
骨干网
网络架构
主要分层汇接方式。纵向分为骨干网、城域网、接入网三个层级。
骨干网是最顶层的省际高速网络,基础电信运营商在各省会及主要城市设置骨干节点,并在节点间设置直联路,共同构成骨干网。
骨干网内分了核心节点和接入节点。
网间架构以直联为主。基础电信运营商的公众互联网网间主要通过设置在北京、上海、广州等13个城市的骨干直联点,以及设置在北京、上海、广州的交互中心实现互联。
骨干网路由
在一个自治系统(AS)内部,使用IGP网关协议进行路由的传递,比如、静态路由、RIP、OSPF等。 在自治系统之前,使用BGP网关协议进行路由的传递。 IGP协议会在AS内部把路由收敛,然后在BGP协议把一个AS的路由传递给其他AS。这样AS之间就能够进行路由发现,从而能够互相通信。 BGP的特点:
- 增强型的距离矢量路由协议
- BGP有可靠的跌幅更新机制,BGP邻居使用TCP连接
- 避免环路
- 有灵活多变的跌幅策略和跌幅过滤方法 每个BGP路由器都只能属于一个AS。不同的AS使用AS号码区分。
中国骨干网
| ISP | 名称 | 英文名 | 自治系统编号 | 建立时间 | 用途 |
|---|---|---|---|---|---|
| 中国电信 | 中国公用计算机互联网 | CHINANET/CHINA163 | AS4134 | 1994年 | 大多电信用户的接入 |
| 中国电信 | 中国电信下一代承载网 | ChinaNet Next Carrying Network/CN2 | AS4809 | 2004年 | 政企客户和数据中心 |
| 中国电信 | CD2-DCI | Data Center Interconnection | 2015年 | 数据中心之间的节点互联 | |
| 中国联通 | 中国联通宽带互联网(中国网通互联网) | CHINA169 | AS4837 | 2002年 | 由2002年以前CHINANET在北方十个省区市的资源和吉通通信和中国金桥信息网构成 |
| 中国联通 | 中国联通工业互联网(中国网通公用互联网) | CHINA UNICOM Industrial Internet, CUII/CNCNET | AS9929 | 主要提供国际和国内跨城市MPLS VPN和大客户互联网专线 | |
| 中国移动 | 中国移动互联网 | CMNET | AS9808 | 2000年 | 用于承载公众类的互联网业务 |
| 中国移动 | IP专用承载网 | 用于承载包括软交换话音/信令、网络管理、电信运维支撑系统、自有业务等 | |||
| 中国教育部和赛尔网络 | 中国教育和科研计算机网 | CERNET | AS4538 | 1994年 | 由中国教育部投资并管理,赛尔网络运营,中国最大的公益性、学术性计算机互联网络 |
| 中国科学院 | 中国科技网 | CSTNET | AS7497 | 1989年 | 中国首次实现与国际互联网全功能连接的网络 |
| 中国国际电子商务中心 | 中国国际经济贸易互联网 | CIETNET | AS9306 | 全国外贸系统的政府部门和企事业单位专用,由中国国际电子商务中心负责组建、运行和维护,原本有少量国际出口带宽,但现在已完成不设国际出口带宽 | |
| 中国人民解放军 | 中国长城互联网 | CGWNET | AS9389 | 中国人民解放军专用,不设国际出口带宽,根据相关的法规和纪律,涉及国家和军事秘密的内容禁止从非涉密设备或者外部网络访问 | |
| 中国广电 | CBNNET | 2018 | 广电骨干网于2019年与CHINANET进行了互联互通 | ||
| 中信网络 | 奔腾一号光纤骨干网 | CITICNET | AS18118 | 服务政企用户 |
中国电信主要网络
ChinaNet
网络承担了中国电信90%的业务负载 全程202.97.XXX.XXX 节点
CN2-GT
CN2线路中的中端产品 一般来说是202.97和59.43两种节点都会出现,并且只有在国际出口才会走59.43 CN2节点。
CN2-GIA
CN2线路中的高端产品 CN2-GIA的省级/出国/国际骨干节点的全程和回程全部都以 59.43 开头
中国网络国际出口
全球95%以上的国际通信流量都是通过海底光缆进行传输的。
看一个traceroute
https://tools.ipip.net/traceroute.php
GFW
GFW是一个分布式的入侵检测系统,而不是一个防火墙。防火墙是在网络链路上的网络设备,但是GFW并不是网络链路上。
GFW的工作流程
- 采集
- 重组
- 分析
- 阻断
采集
端口镜像
在网络的核心层交换机上设置端口镜像。把一份数据复制出来。 优点是成本低,不需要增加网络设备。对交换机没有性能影响。可从交换机上采集所有的用户数据。 缺点是要占用交换机端口。采集系统需要和交换机直连。
分光器
当节点的核心交换机、汇聚层交换机没有足够的GE端口,或者希望在出口采集网络流量,就可以使用分光器。 在物理层进行光复制,对用户的数据进行采集。 优点是流量大,故障时对网络无影响,不用对网络设备做配置。不占用网络设备端口 缺点需要将设备的上联光纤改成分光器,会涉及到一次网络割接。
重组
采集后的数据,由物理层到传输层,把光信号转成数字信号,就能对数据进行还原,还原后对ip包进行重组。比如http请求,重组出对应的http报文。
分析
上一步重组好包后,对包进行分析,比如访问http报文有没有不合法的东西等。 一些网络穿透协议的分析,比如ss, ssr , socks .
阻断措施
DNS污染
解析国外域名的时候,因为DNS解析是使用明文UDP。在域名解析的时候,GFW返回一个错误的结果,因为GFW更快的收到包,所以能更快的返回结果,请求端收到结果后,由于无法校验合法性,就会直接使用了。
封IP
对于黑名单ip,把一些无效和路由加到路由表里。然后通过BGP协议广播出去骨干网上。这样就可以比较高效的阻断了。
封端口
GFW采集的数据会做检测,如果检查到是网络穿透协议,会直接在骨干网路由器上进行封杀。
关键字阻断配合TCP RST
对于明文传输的内容,比如http,pop3, ftp这些明文的协议,GFW检测到关键字,就向双方发送rst报文,各方收到后就会把连接释放。