將OSI模型視為一種抽象概念很有用，它使我們能夠推斷網(wǎng)絡上關(guān)注點的分離。

譯自Deciphering the Open Systems Interconnection Model，作者 Laura Santamaria。

除非你學習過網(wǎng)絡認證，否則開放系統(tǒng)互聯(lián) (OSI) 模型對你來說可能多少有些神秘。也許你從同事那里聽說過它，也許你在 AWS 上某個產(chǎn)品的營銷活動中看到過它。

也許你認為“第 3 層”只是一個新的流行語。然而，對OSI 模型的這種簡寫引用，如果你能解碼它們，就會很有用，因為它們可以幫助你理解工具可能適合的網(wǎng)絡堆棧位置，或者在事故呼叫期間查找問題的位置。

在我們深入探討之前，讓我先解決一個有爭議的問題。許多人會說理論上的 OSI 模型已經(jīng)過時了。該模型是理論性的，這是真的，現(xiàn)實世界肯定比它可能讓你相信的要復雜得多。它的各層并沒有與特定的設備完美對應，并且存在其他更準確地反映現(xiàn)實世界的模型，例如傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議 (TCP/IP) 模型。

圖片

將 OSI 模型視為一種抽象很有用，它使我們能夠推斷網(wǎng)絡上關(guān)注點的分離。當我們的數(shù)據(jù)無法到達目的地時，我們用它來思考故障排除步驟，并且在我們構(gòu)建分布式系統(tǒng)時，我們用它來思考架構(gòu)需求。

它不是一個具有嚴格邊界和規(guī)則的定理。它是一種我們在系統(tǒng)科學中發(fā)現(xiàn)的理論：試圖近似現(xiàn)實世界以幫助我們更好地理解它。

分層詳解

為了理解該模型，讓我們跟蹤數(shù)據(jù)從你的計算機到另一個系統(tǒng)，并探索它在此過程中是如何變化的。假設你正在使用你的計算機，需要與同事聊天。你打開你的聊天應用程序并寫一條消息。數(shù)據(jù)移動開始，當你發(fā)送它時，OSI 模型就開始發(fā)揮作用。該模型的頂層四層稱為“主機層”，由于我們位于主機（你的計算機）上，因此我們將從這里開始本練習。

主機層

主機層

第 7 層：應用層

我們從第 7 層，應用層開始。“應用”在這里并不一定指你的聊天應用程序，而是指它用于發(fā)送消息的協(xié)議的實現(xiàn)。例如，該協(xié)議可能是 WebSocket。此層中的其他協(xié)議包括用于電子郵件應用程序的 SMTP（簡單郵件傳輸協(xié)議）或用于 Web 瀏覽器的 HTTP（超文本傳輸協(xié)議）。你使用的應用程序或 API 使用這些協(xié)議接受數(shù)據(jù)。在本例中，你的聊天應用程序?qū)崿F(xiàn)邏輯以接收你使用的數(shù)據(jù)并識別正確的傳輸協(xié)議。

第 6 層：表示層

一旦你的應用程序識別出正確的協(xié)議，數(shù)據(jù)就會下降到第 6 層，表示層。在表示層——它仍然在你的機器上，甚至可能在同一個應用程序中！——數(shù)據(jù)被轉(zhuǎn)換為正確的協(xié)議。例如，如果你正在發(fā)送 GIF，表示層會獲取顯示格式并對其進行編碼以通過網(wǎng)絡傳輸。由于我們在聊天應用程序中，聊天也可能被計費為加密通信。數(shù)據(jù)加密也發(fā)生在第 6 層，壓縮也可能發(fā)生在你發(fā)送圖像時。

第 5 層：會話層

然后我們下降到第 5 層，會話層。（我們?nèi)匀辉谀愕挠嬎銠C上。）如果你剛剛打開你的聊天應用程序，你可能需要登錄。第 5 層是我們打開會話并進行身份驗證的地方。如果你開發(fā)或維護過具有登錄或身份驗證需求的應用程序，你可能熟悉用戶會話。視頻或音頻會議應用程序在開始呼叫時打開會話，并在終止呼叫時關(guān)閉會話。在這種情況下，當你登錄應用程序時，它設置并發(fā)送了一系列調(diào)用和響應中的第一個，以建立連接。根據(jù)應用程序的架構(gòu)，當你與同事發(fā)送私信時，可能會打開另一個會話。

第 4 層：傳輸層

注意，我們已經(jīng)到達了第四層，但仍然沒有離開主機！在這個抽象的世界里，沒有任何數(shù)據(jù)離開你的電腦，它仍然只是一堆沒有特定方向的數(shù)據(jù)。這種情況即將改變。第四層，傳輸層，是主機中的最后一層。在這里，數(shù)據(jù)開始打包并準備傳輸。這種打包的正式術(shù)語是“封裝”。（在接收端，當數(shù)據(jù)從較低層移動到較高層時，它會經(jīng)過“解封裝”。）在第四層，例如 TCP/IP 連接，一旦數(shù)據(jù)到達目標機器（目標端口），就會獲得一個要使用的端口號，以及它將從中離開的端口號（源端口）。此時，數(shù)據(jù)及其報頭稱為段。從這里開始的段流入將離開你的電腦的數(shù)據(jù)流中，因此此處生成的所有元數(shù)據(jù)的報頭對于在另一端將其解析回正確的服務至關(guān)重要：你同事的聊天應用程序。

媒體層

最底下的三層稱為媒體層?！懊襟w”一詞在這里指的是硬件，這些層主要在專用于網(wǎng)絡的硬件上工作。

第三層：網(wǎng)絡

在第三層，網(wǎng)絡層，數(shù)據(jù)通常會被分解成較小的塊，稱為數(shù)據(jù)包，以便傳輸。每個數(shù)據(jù)包都帶有一個報頭，其中包含主機地址和最終目標地址（如果通過互聯(lián)網(wǎng)傳輸，通常是 IP 地址）。在硬件方面，第三層通常由路由器表示。最終目標地址通常是設備存儲的路由表的一部分。路由器使用路由算法來決定到達目的地的最佳路徑，因為它通常不止一步之遙，并且數(shù)據(jù)包經(jīng)常從一個路由器轉(zhuǎn)發(fā)到另一個路由器。

第二層：數(shù)據(jù)鏈路層

參考路由表獲取 IP 地址后，我們下降到第二層，數(shù)據(jù)鏈路層。在這里，你的 MAC（媒體訪問控制）地址被添加到數(shù)據(jù)的報頭作為源地址，然后系統(tǒng)嘗試識別哪個設備應該是數(shù)據(jù)到達最終目的地的下一站。一旦它擁有中間連接的 MAC 地址，系統(tǒng)就會將該 MAC 地址作為目標地址添加到報頭中，創(chuàng)建一個幀。然后系統(tǒng)識別要從中發(fā)送幀的端口，準備下降到第一層。如果我們將不同的層與不同的硬件部件關(guān)聯(lián)起來，這一層的物理盒子將是交換機，它保存 MAC 地址表，該表將每個物理端口映射到特定的 MAC 地址?？傆幸粋€端口被保存為萬能端口，表中沒有的所有內(nèi)容都會被轉(zhuǎn)發(fā)。

在我們的示例中，在這個階段沒有涉及獨立的交換機。第二層（以及第三層，從技術(shù)上講）的邏輯位于你的計算機內(nèi)部。第二層邏輯和使用的第一層端口曾經(jīng)是稱為網(wǎng)絡接口卡 (NIC) 的物理硬件的一部分。如果你以前組裝過臺式機，你可能知道它為網(wǎng)卡。（你可能記得通過總線將網(wǎng)卡連接到主板或插入一個加密狗。）現(xiàn)在大多數(shù)用戶系統(tǒng)都將此接口內(nèi)置到主板或片上系統(tǒng)中。然而，在更大的環(huán)境中，例如辦公室網(wǎng)絡，在第二層可能會有一個交換機（或交換機路由器組合設備）。

圖片

最后，我們下降到第一層，物理層。數(shù)據(jù)現(xiàn)在可以移動了！數(shù)據(jù)總是以比特流（0 和 1 的流）的形式在物理層移動，這可以意味著物理電纜或無線連接。但是，如果你連接到互聯(lián)網(wǎng)，數(shù)據(jù)必須在某些時候穿過物理電纜。第一層中最大的電纜構(gòu)成了互聯(lián)網(wǎng)骨干：巨大的光纖和銅纜束，在地下和海洋下在世界各地的不同中心之間運行。骨干網(wǎng)在交換點相遇，數(shù)據(jù)從一個 ISP 或網(wǎng)絡轉(zhuǎn)移到另一個 ISP 或網(wǎng)絡。由于存在許多交換點和網(wǎng)絡，因此存在許多路由，這就是運輸變得復雜的地方。

傳輸

實際上，你的數(shù)據(jù)會沿著各種不同的路徑傳輸。它會經(jīng)過你筆記本電腦上的所有OSI層，然后通過1層連接跳轉(zhuǎn)到你的無線接入點。之后，它可能會在接入點內(nèi)部上升到2層以獲取新的MAC地址目標，然后再下降到1層，跳轉(zhuǎn)到一個將數(shù)據(jù)轉(zhuǎn)發(fā)到路由器的交換機。然后，路由器會查詢其路由表以決定使用哪個端口。假設你的數(shù)據(jù)需要通過互聯(lián)網(wǎng)傳輸，路由器會將其發(fā)送到你的ISP，并通過各層傳輸?shù)?層。它也可能被發(fā)送到另一個路由器，然后該路由器會將其跳躍式地發(fā)送到目的地。設備可以處理多個OSI層，因此如果你試圖追蹤它，這個概念模型可能會失效。如果你正在使用VPN，那么當你的數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸時，事情會變得更加復雜。

一旦你的數(shù)據(jù)到達正確的系統(tǒng)，它就開始向上返回到同事的電腦。它可能會通過交換機或路由器（或兩者?。┑竭_正確的機器，然后向上層移動，從1層到7層。當它向上移動時，報頭會在解封裝過程中被剝離，數(shù)據(jù)會被重新組裝、解密并轉(zhuǎn)換為應用程序可以理解的內(nèi)容。最后，你的貓GIF出現(xiàn)在你同事的屏幕上。

圖片

如果你們都在同一個網(wǎng)絡上，你的數(shù)據(jù)會下降到你的機器的1層，然后可能通過連接（1層）到交換機（2層）。在交換機上，其表中已經(jīng)包含了同事機器的MAC地址，數(shù)據(jù)不需要到路由器。相反，它會下降到端口并通過連接直接到達同事的機器。這是現(xiàn)實生活中最簡單的網(wǎng)絡設置，因為我們現(xiàn)在很少再使用直接的物理連接了。在這種簡單的設置中，只有當你要跨越多個網(wǎng)絡時，才需要跳到3層。如果你在選擇的云提供商上有一個虛擬網(wǎng)絡，然后嘗試連接到另一個虛擬網(wǎng)絡，你需要建立一個IP地址并打開一個端口以通過開放的互聯(lián)網(wǎng)連接，或者使用某種虛擬路由解決方案，例如Equinix的Fabric Cloud Router，來跨網(wǎng)絡連接。

現(xiàn)實生活

OSI抽象之外的世界上的硬件并不那么簡單。有具有淺層路由表的3層交換機；能夠處理到4層的多層交換機，因為它們理解MAC地址、IP地址、協(xié)議和端口；處理1、2和3層的橋接路由器；甚至可以在任何層工作的網(wǎng)關(guān)。

使用OSI模型進行故障排除是很常見的。正如開發(fā)人員使用回溯和斷點來發(fā)現(xiàn)代碼在哪里中斷一樣，網(wǎng)絡工程師使用OSI模型來發(fā)現(xiàn)數(shù)據(jù)在哪里停止流動。從找到一個關(guān)閉的端口到發(fā)現(xiàn)HTTP工作但HTTPS不工作，OSI模型可以提供一個清單來驗證你的所有網(wǎng)絡組件是否正常工作。它不僅適用于數(shù)據(jù)中心或本地網(wǎng)絡。你可以使用OSI模型來排除Kubernetes集群的虛擬網(wǎng)絡或Docker容器的端口故障。虛擬網(wǎng)絡通常遵循與物理網(wǎng)絡相同的許多約定，從端口和連接到VLAN（虛擬局域網(wǎng)）和IP-WAN（互聯(lián)網(wǎng)協(xié)議廣域網(wǎng)）。

TCP/IP模型更準確地代表了我們所知的互聯(lián)網(wǎng)，許多人認為它是更實用的學習模型。然而，許多（如果不是全部）網(wǎng)絡工具和硬件供應商都使用OSI模型的層命名方案來引用功能，例如“2層本地網(wǎng)絡”或“3層網(wǎng)絡連接”。網(wǎng)絡安全供應商可能會談論分布式系統(tǒng)第3層和第4層的攻擊。理解這些術(shù)語背后的概念很重要，即使只是為了跟上討論的上下文。