day02-网工入门(二)
网工入门(二)
一、IP地址和子网掩码
1.1 IP地址概念
什么是IP地址?
- IP地址是用来标识网络中一台主机的唯一标志
- 通常采用32位点分十进制表示
IP地址分为两部分:网络位和主机位
- 网络位:表示某一个IP子网
- 主机位:表示本IP子网内的某台主机
怎么区分IP地址的网络位和主机位?需要用到子网掩码的知识
1.2 子网掩码
它是用来区分IP地址的网络位和主机位的,用连续的1
来表示网络位,用连续的0
来表示主机位,比如
子网掩码的简写表示
1.2.1 子网掩码案例
如果是不规则的192.168.1.3,子网掩码 255.255.255.192,它的网络位怎么分呢?
这个网段的IP范围(网络位相同)
用这个原理,可以判断两个IP地址是否在同网段,网络位相同就是在同一网段
1.3 IP地址分类与子网划分
IP地址分为三类:
- 网络地址,主机位全0
- 广播地址,主机位全1
- 可用地址
1.3.1 案例:计算可用地址
172.16.10.1/16这个B类地址的网络地址、广播地址以及可用地址分别是什么?
1.4 公网IP和私网IP
公网IP,由IANA统一分配,数量有限
私网IP,局域网使用,用于解决公网地址IP不够用的问题
1.5 特殊IP地址
1.6 IPV4和IPV6
IPV6的技术背景:
- IPV4地址数量有限,于2011年完全用尽,IPV4地址枯竭问题日益严重
- IPV6地址数量多,接近无限,用于解决IP分配问题
- IPV6配置较为麻烦,但是性能比IPV4好
二、交换机转发原理
收到数据包,根据数据包中的目标MAC和接口进行转发
2.1 交换机三种转发方式
三种方式分别是:
- 泛洪(一对多,发给所有)
- 转发(一对一发送)
- 丢弃
三种方式会在什么情况下触发?
从交换机收到的数据包说起,数据包里包含MAC地址和接口信息
交换机查询收到的数据包:
- 如果没查到对应的目标MAC地址,会采用泛洪的方式
- 如果查到了对应的目标MAC地址,会采用一对一的方式转发,不会泛洪
- 如果目标接口就是发出的接口,会丢弃数据包
2.2 ARP协议介绍
在交换机上可以查看mac地址表
ARP协议用在哪里?
PC发数据包,要给数据包加上目标MAC,然后一个正常的访问操作(如PC1 ping 1.1.1.2)只知道对方的IP,并不知道对方的MAC地址,像这种情况是怎么获取到对方的MAC地址的呢?
此时就用到了ARP协议:
- PC1会先发一个ARP请求包,请求目标主机的MAC地址。
- ARP请求包,是一个广播包,发给所有主机
- 目标主机收到ARP请求,通过ARP协议,回应MAC地址回去
- PC1收到目标主机的ARP回复,收到目标主机的MAC
- PC1再发包,因为已经有了MAC地址,查表(ARP缓存表)单播(一对一)发送就行,不用广播了
在PC机可以查到IP和MAC对应的ARP缓存表
三、防火墙
3.1 防火墙的概念
什么是防火墙?
- 是一个硬件设备,常用于企业网络中
- 部署在不同的区域之间,加强安全的作用
防火墙的接口类型:
- 路由模式(三层):物理口可以直接配置IP
- 交换模式(二层):物理口不能直接配IP,可以配置vlan和trunk(portswitch命令切换)
防火墙的安全域:
- 信任区:我的内网,自己人
- 非信任区:外网,外人
- DMZ区:中间区域(如服务器区),内网主机、外网用户都要访问
3.2 防火墙上手
实验拓扑
实现目标:
- 电脑能上网(192.168.1.1能ping通6.6.6.6)
步骤概览:
- AR2路由器需要加上默认静态路由,下一跳10.10.10.2
- 防火墙有到6.6.6.0/24的直连路由,不需要配置路由,配置IP即可
- 配置防火墙设置安全域,配置安全策略,允许PC出去
- 内网主机是私网IP,需要做NAT转换
- 配置回来的路由(非常重要,容易忽视)
完整步骤:
1、 AR2配置默认静态路由
2、防火墙FW1配置IP地址
用的ensp的USG6000V1防火墙,用户名admin,密码Admin@123
3、配置防火墙安全策略,允许PC出去
4、内网主机是私网IP,私网IP默认不能访问外网,需要做NAT转换
什么是easy-ip?
- 做地址转换的时候,自动转换成设备出接口的地址(案例中的6.6.6.1),不用设置地址池了
5、FW1上配置回来的路由
day02-网工入门(二)
http://gsproj.github.io/2024/07/28/08_网络/day02-网工入门-02/