2.1.2 OSI七层模型详解

OSI（开放系统互联）模型将网络通信分为七层，用于标准化协议、划分职责与隔离复杂性。各层自下而上依次为：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。分层思想使得设备、协议与应用可以独立演进，同时为运维排错提供清晰的定位路径。

各层职责与运维关注点（含命令与示例）#

1. 物理层（Physical）
负责比特流在物理介质上的传输，定义电气特性、接口规范、速率与介质类型。
运维关注点：链路是否通、网卡/光模块状态、速率/双工匹配。

示例：查看网卡链路与速率

# 安装基础工具（RHEL/CentOS）
yum install -y ethtool iproute
# 或 Debian/Ubuntu
apt-get update && apt-get install -y ethtool iproute2

# 查看链路状态
ethtool eth0
# 预期：Link detected: yes / Speed: 1000Mb/s / Duplex: Full

# 查看接口统计（收发错误/丢包）
ip -s link show dev eth0

排错要点：
- Link detected: no → 检查网线/光纤、对端端口、交换机接口是否 shut
- 速率/双工不一致 → 强制一致或恢复自协商

---

2. 数据链路层（Data Link）
封装帧、MAC寻址、差错检测、介质访问控制。
运维关注点：MAC学习、VLAN划分、CRC错误、环路。

示例：查看ARP、MAC与VLAN

# 查看ARP缓存（邻居发现）
ip neigh show

# 查看网桥/VLAN（若使用Linux bridge）
bridge link
bridge vlan show

排错要点：
- CRC/错误包增长 → 线缆/接口问题或双工不匹配
- MAC漂移 → 交换环路或虚拟化迁移

---

3. 网络层（Network）
逻辑寻址与路由转发，核心协议为IP。
运维关注点：IP地址规划、子网划分、路由表、MTU、ICMP连通性。

示例：路由与MTU检查

# 查看IP与路由
ip addr show dev eth0
ip route show

# MTU检查
ip link show dev eth0 | grep mtu

# 连通性测试
ping -c 4 8.8.8.8

排错要点：
- 目的不可达 → 路由缺失/网关错误
- 大包丢弃 → MTU不一致（可用ping -M do -s测试）

---

4. 传输层（Transport）
提供端到端的可靠/不可靠传输，TCP/UDP。
运维关注点：端口可达性、连接数、重传、RTT。

示例：端口与连接检查

# 查看监听端口
ss -lntup

# 查看到目标端口的连通性
nc -vz 10.0.0.10 3306

# 查看TCP重传与连接状态
ss -s

排错要点：
- SYN_SENT过多 → 目标端口不通/防火墙阻断
- TIME_WAIT过多 → 应用短连接过多或未复用

---

5. 会话层（Session）
会话建立、管理与终止，多由应用/中间件实现。
运维关注点：会话保持、长连接稳定性、断线重连。

示例：HTTP长连接验证

# 观察Keep-Alive
curl -I http://example.com | grep -i connection

# 模拟长连接（HTTP/1.1）
curl -v http://example.com --http1.1

排错要点：
- 频繁断连 → 负载均衡会话保持配置问题
- 连接空闲超时 → 服务端/中间件超时过短

---

6. 表示层（Presentation）
数据表示、加解密、压缩与编码转换。
运维关注点：证书配置、加密套件兼容、编码问题。

示例：TLS证书检查

# 检查证书与协议支持
openssl s_client -connect example.com:443 -servername example.com

# 查看证书过期时间
echo | openssl s_client -connect example.com:443 -servername example.com 2>/dev/null \
| openssl x509 -noout -dates

排错要点：
- 握手失败 → TLS版本/套件不兼容
- 乱码 → 字符集配置不一致

---

7. 应用层（Application）
面向用户的协议服务，如HTTP、DNS、SSH。
运维关注点：服务可用性、响应码、鉴权与访问控制。

示例：HTTP/DNS检查

# HTTP响应码
curl -I http://example.com

# DNS解析
dig @8.8.8.8 example.com +short

排错要点：
- 4xx/5xx → 应用或鉴权配置问题
- DNS解析超时 → DNS服务不可达或递归失败

---

分层协作与排错流程示例#

场景：业务无法访问 Web 服务（HTTP 503）

1. 物理层：检查链路

ethtool eth0 | grep -E "Link|Speed|Duplex"

2. 数据链路层：检查错误包

ip -s link show dev eth0

3. 网络层：检查路由与连通性

ip route show
ping -c 4 10.0.0.10

4. 传输层：检查端口

nc -vz 10.0.0.10 80
ss -lntup | grep :80

5. 应用层：检查响应

curl -I http://10.0.0.10
tail -n 50 /var/log/nginx/error.log

---

练习#

1. 使用 ip -s link 找出本机接口的错误包/丢包字段，并解释其含义。
2. 构造一个MTU不匹配场景（比如虚拟机与宿主机不同MTU），使用 ping -M do -s 定位问题。
3. 用 ss -s 统计 TCP 连接状态，并分析 TIME_WAIT 过多可能的原因。
4. 用 openssl s_client 验证一台HTTPS站点的证书有效期，并记录到期日期。