IPV4地址分类
公有IP地址:
A类地址:0.0.0.0—126.255.255.255
B类地址:128.0.0.0—191.255.255.255
C类地址:192.0.0.0—223.255.255.255
D类地址:224.0.0.0—239.255.255.255 多点广播地址
E类地址:240.0.0.0—255.255.255.254 保留,主要用于internet试验和开发
广播地址:255.255.255.255
私有IP地址:
10.0.0.0—10.255.255.255
172.16.0.0—172.16.255.255
192.168.0.0—192.168.255.255
IPV4报头:
TCP/UDP协议
UDP
UDP:用户数据报文协议。
非面向连接的不保证可靠的传输协议。仅完成传输层基本工作—分段、端口号。
UDP报头:
TCP
TCP:传输控制协议
面向连接的可靠传输协议。在完成传输层基本工作的基础上,还需保证传输的可靠性。
面向连接:通过三次握手建立端到端的虚链路,之后餐能才能传递数据。导致TCP只能基于单播通讯。
可靠传输:四种传输机制—确认、重传、排序、流控(滑动窗口)。
TCP报头:
ARP协议
ARP:地址解析协议
AARP 正向:已知对端的IP地址,通过广播获取对端的MAC地址。
RARP 反向:已知对端的MAC地址,通过单播获取对端的IP地址。
FARP 无故:在刚使用IPV4地址时,对地址进行冲突检测;向本地IP地址进行AARP行为。
流量进入交换机后的处理
在流量进入交换机后,先识别流量的源MAC地址,生成映射列表(MAC地址表);再关注目标MAC,查询本地的MAC表,若MAC表中存在目标MAC接口记录,将单播基于该接口进行转发;若MAC表中没有记录,那么进行未知单播处理方案—洪泛(除流量进入接口外的所有接口进行拷贝转发)。
广播与广播域
广播:将一个数据包发送给本地广播域内的所有用户。实质上是将目标MAC地址设定为全F,由于该MAC地址为广播地址,交换机只能对其流量进行洪泛处理。
广播域:交换机的洪泛范围。
同一网段与不同网段的访问
终端在访问其他终端前,通过目标IP地址判断是否与本地IP地址处于同一网段。
若在同一网段,通过ARP协议获取对端的MAC地址,获取成功则单播通讯,获取失败则放弃通讯;
若在不同网段,将源、目IP地址正常填写,但目的MAC地址为本地终端所在网段的网关MAC地址,然后将流量传递给路由器来处理。使用ARP通过网关的IP地址来获取网关的MAC地址。
PDU
PDU:协议数据单元,对各层数据封装的单位的称呼。
各层数据 | 称呼 |
---|---|
应用层 | 报文 |
传输层 | 段 |
网络层 | 包 |
数据链路层 | 帧 |
物理层 | 比特流 |
ACL(访问控制列表)
匹配规则:上条匹配按上条执行,不再查看下条。末尾隐含允许所有。
ACL号 | 种类 | 特点 |
---|---|---|
2000-2999 | 标准ACL | 仅关注源IP,靠近目标调用 |
3000-3999 | 扩展ACL | 关注源、目IP,源、目端口,协议号 |
4000-4999 | 基于MAC的ACL | 关注MAC地址进行操作 |
配置ACL
[r2]acl 2000
[r2-acl-basic-2000]rule deny source 192.168.1.1 0.0.0.0
接口调用
[r2]interface g0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000
拒绝Telnet连接
[r2]acl 3000
[r2-acl-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.1.2 0 destination-port eq 23
基于时间的ACL
[r2]time-range qq 9:00 to 12:00 daily
[r2]time-range qq 13:30 to 16:00 daily
[r2]acl 3002
[r2-acl-adv-3002]rule permit ip source 172.16.10.253 0 destination any
[r2-acl-adv-3002]rule permit ip source 172.16.20.253 0 destination any
[r2-acl-adv-3002]rule deny ip source 172.16.10.0 0.0.0.255 destination any time-range qq
[r2-acl-adv-3002]rule deny ip source 172.16.20.0 0.0.0.255 destination any time-range qq
NAT
NAT地址分为:内部本地、内部全局、外部本地、外部全局。(本地为私有地址,全局为公有地址)
注:华为设备不需要在边界路由器上各个接口定义方向,但NAT还是在边界路由器上进行配置。
静态NAT
与Cisco中的一对一相同。
[RTA-Serial1/0/0]nat static global 202.10.10.1 inside 192.168.1.1
[RTA-Serial1/0/0]nat static global 202.10.10.2 inside 192.168.1.2
[RTA]display nat static
动态NAT
与Cisco中的多对多相同。
[RTA]nat address-group 1 200.10.10.1 200.10.10.200 //公有IP范围
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 //私有IP范围
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat
私有 公有
[RTA]display nat address-group 1
注:携带no-pat为静态多对多,不携带no-pat为动态多对多。
Easy NAT
与Cisco中的一对多相同,PAT端口地址转换。
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 私有IP地址
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0 该接口为公有ip地址所在接口;
[RTA-Serial1/0/0]nat outbound 2000
[RTA]display nat outbound
NAT服务器
与Cisco的端口映射相同。
[RTA-GigabitEthernet0/0/1]interface Serial1/0/0 该接口为连接公网的接口
[RTA-Serial1/0/0]ip address 200.10.10.2 24
[RTA-Serial1/0/0]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080