一、核心概念簡介
OSI(Open Systems Interconnection)模型是由 ISO 於 1984 年制定的網路通訊參考架構,將網路通訊的複雜過程切割為七個功能層次,每一層各司其職,並透過標準介面與相鄰層溝通。
OSI 模型將「兩台電腦如何透過網路交換資料」這件事,拆解成七個可獨立設計、獨立排障的標準層次。
雖然現今實際網路普遍採用 TCP/IP 四層模型,OSI 七層模型仍是業界進行故障排除、協定分析、架構溝通的通用參考框架,Cisco 在其所有認證課程中均以 OSI 模型作為教學基礎。
二、技術規格表
| 層次 | 名稱 | PDU 單位 | 主要協定 / 技術 | 代表設備 | 定址方式 |
|---|---|---|---|---|---|
| L7 | Application 應用層 | Data | HTTP(80)、HTTPS(443)、FTP(21)、SSH(22)、DNS(53)、DHCP(67/68)、SMTP(25)、SNMP(161) | 防火牆、Proxy、WAF | — |
| L6 | Presentation 表現層 | Data | TLS/SSL、JPEG、MPEG、ASCII、Unicode、Base64 | — | — |
| L5 | Session 會議層 | Data | NetBIOS、RPC、PPTP、L2TP | — | — |
| L4 | Transport 傳輸層 | Segment | TCP(連線導向)、UDP(無連線) | Load Balancer、防火牆 | Port Number (0–65535) |
| L3 | Network 網路層 | Packet | IPv4、IPv6、ICMP、ARP、OSPF、EIGRP、BGP | Router、L3 Switch | IP Address |
| L2 | Data Link 資料連結層 | Frame | Ethernet(802.3)、Wi-Fi(802.11)、802.1Q(VLAN)、STP(802.1D) | Switch、Bridge、WAP | MAC Address |
| L1 | Physical 實體層 | Bit | Ethernet 電纜、光纖、Wi-Fi 無線射頻、USB、DSL | Hub、Repeater、NIC | — |
常用 TCP / UDP 連接埠速查表
| 服務 | Protocol | Port | 說明 |
|---|---|---|---|
| FTP Data | TCP | 20 | 資料傳輸通道 |
| FTP Control | TCP | 21 | 指令控制通道 |
| SSH | TCP | 22 | 加密遠端管理(取代 Telnet) |
| Telnet | TCP | 23 | 明文傳輸,不建議使用 |
| SMTP | TCP | 25 | 郵件發送 |
| DNS | UDP / TCP | 53 | 查詢用 UDP,Zone Transfer 用 TCP |
| DHCP Server | UDP | 67 | 伺服器監聽 |
| DHCP Client | UDP | 68 | 用戶端發送 |
| HTTP | TCP | 80 | 明文 Web |
| HTTPS | TCP | 443 | 加密 Web(TLS) |
| SNMP | UDP | 161 | 網路設備監控 |
| Syslog | UDP | 514 | 系統日誌 |
三、運作機制分析
3.1 資料封裝(Encapsulation)與解封裝(De-encapsulation)
當應用程式送出資料時,資料從 L7 向下傳遞,每一層在前端加上自己的 Header(L2 還會在尾端加上 Trailer),稱為封裝(Encapsulation)。接收端則從 L1 向上逐層剝除 Header,稱為解封裝(De-encapsulation)。
3.2 TCP 三向交握(Three-Way Handshake)
TCP 在傳輸資料前,需先透過三向交握建立連線,確保雙方準備就緒並同步 Sequence Number。
| 步驟 | 方向 | Flag | 說明 |
|---|---|---|---|
| Step 1 | Client → Server | SYN | Client 發出連線請求,送出初始 Sequence Number(ISN) |
| Step 2 | Server → Client | SYN-ACK | Server 確認並回應自己的 ISN,ACK = Client ISN + 1 |
| Step 3 | Client → Server | ACK | Client 確認 Server 的 ISN,連線建立完成 |
3.3 TCP vs UDP 比較
| 項目 | TCP | UDP |
|---|---|---|
| 連線方式 | Connection-Oriented(需三向交握) | Connectionless(直接傳送) |
| 可靠性 | 高(ACK 確認、重傳機制) | 低(不保證到達) |
| 速度 | 較慢(overhead 大) | 較快(overhead 小) |
| 流量控制 | 有(Sliding Window) | 無 |
| 適用情境 | HTTP、HTTPS、FTP、SSH、Email | DNS 查詢、DHCP、VoIP、串流、SNMP |
| Header 大小 | 20–60 bytes | 8 bytes |
3.4 各層設備的轉發邏輯
| 設備 | 運作層次 | 轉發依據 | 廣播域 |
|---|---|---|---|
| Hub | L1 | 所有 Port 廣播 | 共用一個廣播域 |
| Switch | L2 | MAC Address Table | 每個 VLAN 一個廣播域 |
| Router | L3 | Routing Table(IP) | 隔離廣播域 |
| L3 Switch | L2 + L3 | MAC + IP(Hardware ASIC) | VLAN 間路由 |
| Firewall | L3–L7 | ACL、狀態表、應用識別 | 依策略隔離 |
四、實務維運與資安策略
4.1 各層資安威脅與防護
| 層次 | 常見威脅 | 防護措施 |
|---|---|---|
| L7 | SQL Injection、XSS、DDoS、釣魚攻擊 | WAF、應用程式防火牆、IPS |
| L6 | SSL Strip、憑證偽造、弱加密演算法 | 強制 TLS 1.2+、憑證 Pinning、HSTS |
| L5 | Session Hijacking、Session Fixation | Session Timeout 設定、加密 Session Token |
| L4 | TCP SYN Flood、Port Scanning、UDP Flood | SYN Cookie、防火牆 Port 過濾、Rate Limiting |
| L3 | IP Spoofing、ICMP Flood、路由欺騙 | ACL、uRPF、BGP Prefix Filtering |
| L2 | ARP Spoofing、MAC Flooding、VLAN Hopping | Dynamic ARP Inspection(DAI)、Port Security、802.1X |
| L1 | 實體竊聽、線路破壞、未授權接入 | 機房門禁、上鎖線架、監控攝影、光纖加密 |
4.2 障礙排除方法論:Bottom-Up vs Top-Down
Cisco 官方認可的 OSI 排障方式有三種,選擇哪種取決於問題的初始線索:
- Bottom-Up(由下往上):從 L1 開始確認實體連線,適用於完全無法通訊的情況。優先檢查 Link Light、Cable、Interface status。
- Top-Down(由上往下):從 L7 應用層開始,適用於特定服務無法存取但網路可 Ping 通的情況。
- Divide-and-Conquer(對半切):從 L3 開始,先確認 IP 連通性,再決定往上或往下追查,效率最高,適合有經驗的工程師。
4.3 企業實務排障指令
! ── L1 / L2 實體與連結層確認 ──
show interfaces GigabitEthernet0/0
GigabitEthernet0/0 is up, line protocol is up ← 兩個 up 才正常
show mac address-table
確認 Switch 是否學到正確 MAC Address
! ── L3 網路層確認 ──
show ip interface brief
確認 IP 已正確設定且 Protocol up
ping 192.168.1.1
!!!!! 代表 5 個封包全部回應成功
traceroute 8.8.8.8
顯示封包逐跳路徑,找出斷點位置
! ── L4 傳輸層確認 ──
telnet 192.168.1.1 443
確認目標 Port 是否開放(能連就代表 L4 通)
! ── 檢視 ARP Table(L2 ↔ L3 交界)──
show arp
Protocol Address Age Hardware Addr Interface
Internet 10.0.0.1 - aabb.cc00.0100 Gi0/04.4 企業維運建議
- L1:機房佈線採用色碼管理(不同顏色線材對應不同用途),並定期使用纜線測試儀(Cable Tester)確認連接品質
- L2:啟用 BPDU Guard 與 PortFast 於接取層 Switch Port,防止 STP 被意外干擾;啟用 Port Security 限制每個 Port 最大 MAC 數量
- L3:所有路由器與 L3 Switch 啟用 ACL 過濾不必要流量;生產環境路由協定應啟用 Authentication(如 OSPF MD5 Authentication)
- L4:防火牆採用 Stateful Inspection,只允許 Established 連線回程;關閉非必要 Port,遵循最小開放原則
- L7:外對內服務一律使用 HTTPS;管理界面(如 Web UI)禁止對 Internet 開放,限制管理 IP 來源
4.5 商業影響分析
| OSI 層次 | 維運落實 | 企業效益 |
|---|---|---|
| L2 VLAN 分割 | 依部門、業務隔離廣播域 | 降低廣播風暴風險,提升網路效能;隔離財務、HR 等敏感系統,符合資安合規要求 |
| L3 ACL 管控 | 限制跨 VLAN 存取權限 | 實現最小權限原則,降低內部橫向移動(Lateral Movement)風險 |
| L4 Firewall | Stateful 封包過濾 | 有效阻擋未授權連線,符合 ISO 27001、PCI-DSS 等法規要求 |
| L6 TLS 加密 | 所有 Web 服務啟用 HTTPS | 防止資料被攔截竊聽,建立用戶信任,避免資料外洩罰款 |
| L1 備援線路 | 核心設備雙電源、雙上行 | 消除單點故障(SPOF),提升 SLA 可用性至 99.9%+ |
五、常見問題 Q&A
Switch 運作於 L2,依據 MAC Address 在同一個網段內轉發 Frame,速度快(ASIC 硬體處理)但無法跨越廣播域。Router 運作於 L3,依據 IP Address 在不同網段之間路由 Packet,並隔離廣播域。企業網路通常以 Switch 建立高速 LAN,再以 Router(或 L3 Switch)連接不同部門 VLAN 及對外 Internet,兩者分工合作。
DNS 查詢的資料量小(通常 <512 bytes),使用 UDP 速度更快且 Overhead 低,即使偶爾 Timeout 重查成本也低。但 DNS Zone Transfer 需要傳輸大量完整區域資料,資料量可能超過 UDP 單封包上限,且不允許資料遺失,因此改用 TCP 的可靠傳輸機制。這是 CCNA 考試中 TCP vs UDP 選擇題的經典考點。
「Interface up」代表 L1 實體層正常(有電訊號,線材沒斷),但「line protocol down」代表 L2 無法建立連線。常見原因包括:兩端 Encapsulation 不一致(如一端設 HDLC、另一端設 PPP)、Keepalive 封包沒有收到、或 Clock Rate 未在 DCE 端設定。排查方向:先確認兩端 Encapsulation 一致(show interfaces),再確認 DCE 端有設定 clock rate。
記憶 OSI 層次的常用口訣(由上往下 L7→L1):All People Seem To Need Data Processing(Application、Presentation、Session、Transport、Network、Data Link、Physical)。考試中「PDU 名稱」與「各層代表協定」是高頻考點,請務必熟記。