剑侠盟·网游特攻队

中国计算机网络拓扑结构

骨干网网络架构

主要分层汇接方式。纵向分为骨干网、城域网、接入网三个层级。

骨干网是最顶层的省际高速网络，基础电信运营商在各省会及主要城市设置骨干节点，并在节点间设置直联路，共同构成骨干网。

骨干网内分了核心节点和接入节点。

网间架构以直联为主。基础电信运营商的公众互联网网间主要通过设置在北京、上海、广州等13个城市的骨干直联点，以及设置在北京、上海、广州的交互中心实现互联。

骨干网路由在一个自治系统（AS）内部，使用IGP网关协议进行路由的传递，比如、静态路由、RIP、OSPF等。

在自治系统之前，使用BGP网关协议进行路由的传递。

IGP协议会在AS内部把路由收敛，然后在BGP协议把一个AS的路由传递给其他AS。这样AS之间就能够进行路由发现，从而能够互相通信。

BGP的特点：

增强型的距离矢量路由协议BGP有可靠的跌幅更新机制，BGP邻居使用TCP连接避免环路有灵活多变的跌幅策略和跌幅过滤方法

每个BGP路由器都只能属于一个AS。不同的AS使用AS号码区分。中国骨干网ISP名称英文名自治系统编号建立时间用途中国电信中国公用计算机互联网CHINANET/CHINA163AS41341994年大多电信用户的接入中国电信中国电信下一代承载网ChinaNet Next Carrying Network/CN2AS48092004年政企客户和数据中心中国电信CD2-DCIData Center Interconnection2015年数据中心之间的节点互联中国联通中国联通宽带互联网（中国网通互联网）CHINA169AS48372002年由2002年以前CHINANET在北方十个省区市的资源和吉通通信和中国金桥信息网构成中国联通中国联通工业互联网（中国网通公用互联网）CHINA UNICOM Industrial Internet, CUII/CNCNETAS9929主要提供国际和国内跨城市MPLS VPN和大客户互联网专线中国移动中国移动互联网CMNETAS98082000年用于承载公众类的互联网业务中国移动IP专用承载网用于承载包括软交换话音/信令、网络管理、电信运维支撑系统、自有业务等中国教育部和赛尔网络中国教育和科研计算机网CERNETAS45381994年由中国教育部投资并管理，赛尔网络运营，中国最大的公益性、学术性计算机互联网络中国科学院中国科技网CSTNETAS74971989年中国首次实现与国际互联网全功能连接的网络中国国际电子商务中心中国国际经济贸易互联网CIETNETAS9306全国外贸系统的政府部门和企事业单位专用，由中国国际电子商务中心负责组建、运行和维护，原本有少量国际出口带宽，但现在已完成不设国际出口带宽中国人民解放军中国长城互联网CGWNETAS9389中国人民解放军专用，不设国际出口带宽，根据相关的法规和纪律，涉及国家和军事秘密的内容禁止从非涉密设备或者外部网络访问中国广电CBNNET2018广电骨干网于2019年与CHINANET进行了互联互通中信网络奔腾一号光纤骨干网CITICNETAS18118服务政企用户中国电信主要网络ChinaNet网络承担了中国电信90%的业务负载

全程202.97.XXX.XXX 节点

CN2-GTCN2线路中的中端产品

一般来说是202.97和59.43两种节点都会出现，并且只有在国际出口才会走59.43 CN2节点。

CN2-GIACN2线路中的高端产品

CN2-GIA的省级/出国/国际骨干节点的全程和回程全部都以 59.43 开头

中国网络国际出口全球95%以上的国际通信流量都是通过海底光缆进行传输的。

看一个traceroutehttps://tools.ipip.net/traceroute.php

GFWGFW是一个分布式的入侵检测系统，而不是一个防火墙。防火墙是在网络链路上的网络设备，但是GFW并不是网络链路上。

GFW的工作流程

采集重组分析阻断采集端口镜像在网络的核心层交换机上设置端口镜像。把一份数据复制出来。

优点是成本低，不需要增加网络设备。对交换机没有性能影响。可从交换机上采集所有的用户数据。

缺点是要占用交换机端口。采集系统需要和交换机直连。

分光器当节点的核心交换机、汇聚层交换机没有足够的GE端口，或者希望在出口采集网络流量，就可以使用分光器。

在物理层进行光复制，对用户的数据进行采集。

优点是流量大，故障时对网络无影响，不用对网络设备做配置。不占用网络设备端口

缺点需要将设备的上联光纤改成分光器，会涉及到一次网络割接。

重组采集后的数据，由物理层到传输层，把光信号转成数字信号，就能对数据进行还原，还原后对ip包进行重组。比如http请求，重组出对应的http报文。

分析上一步重组好包后，对包进行分析，比如访问http报文有没有不合法的东西等。

一些网络穿透协议的分析，比如ss, ssr ， socks .

阻断措施DNS污染解析国外域名的时候，因为DNS解析是使用明文UDP。在域名解析的时候，GFW返回一个错误的结果，因为GFW更快的收到包，所以能更快的返回结果，请求端收到结果后，由于无法校验合法性，就会直接使用了。

封IP对于黑名单ip，把一些无效和路由加到路由表里。然后通过BGP协议广播出去骨干网上。这样就可以比较高效的阻断了。

封端口GFW采集的数据会做检测，如果检查到是网络穿透协议，会直接在骨干网路由器上进行封杀。

关键字阻断配合TCP RST对于明文传输的内容，比如http,pop3, ftp这些明文的协议，GFW检测到关键字，就向双方发送rst报文，各方收到后就会把连接释放。

站在巨人的肩膀上互联网网络架构发展白皮书(2017版)Submarine Cable Map