目录
1.2例题:要求匹配192.168.1.0/24 ~192.168.1.7/24的IP地址
PC服务器常见三种外形介绍(硬盘尺寸相关知识普及)
一.塔式服务器
早期的服务器形式,目前使用较少;
外形以及结构和平时使用的立式PC差不多;
机箱空间大,主板扩展性强,插槽较多;
预留了足够的内部空间,以便日后进行硬盘和电源的冗余扩展,设计一般都考虑降噪。
二.刀片式服务器
如图所示为整框的刀片服务器,其中竖条是计算单元,可以单独拿出来;
密度更高的服务器,服务器组成一组,放在一个框里面,可以整框使用;
在标准高度的机架式机箱内可插装多个卡式的服务器单元,实现高可用和高密度,集中管理,高性能,灵活扩展,按需配置;
可以使用系统软件将这些母板集合成一个服务器集群,在集群模式下,所有的母板可以连接起来提供高速的网络环境,并同时共享资源,为相同的用户群服务。
三.机架式服务器
机架式服务器的外形看来不像计算机,而像交换机,有1U(1U=1.75英寸)、2U、4U等规格。机架式服务器安装在标准的19英寸机柜里面。这种结构的多为功能型服务器。
服务器的厚度主U大部分为2U。
1U=4.4cm
四.硬盘尺寸
目前生产环境中主流的两种类型硬盘:3.5寸 和 2.5寸 硬盘;
2.5寸硬盘可以通过使用硬盘托架后适用于3.5寸硬盘;
但是3.5寸硬盘没法转换成2.5寸硬盘。
ACL
一.ACL概述及其组成
1.ACL的概述及技术背景
- ACL是由一系列permit或deny语句组成的、有序规则的列表
- ACL是一个匹配工具,能够对报文进行匹配和区分
技术背景:需要一个工具实现流量过滤。
2.ACL的组成
由若干条permit或deny语句组成。
每条语句就是该ACL的一条规则;
每条语句中的permit或deny就是与这条规则相对应的处理动作。
二.通配符掩码
1.通配符
一个32比特长度的数值,用于指示IP地址中,哪些比特位需要严格匹配,哪些比特位无需匹配。
通配符通常采用类似网络掩码的点分十进制形式表示,但是含义却与网络掩码完全不同。
2.子网掩码
连续的1 代表网络位 ,连续的0代表主机位 0 1中间不能穿插
3.反掩码
连续的0代表网络位,连续的1代表主机位
1.1通配符掩码
根据参考ip地址,通配符“1”对应位可变 ,”0“对应位不可变 ,中间0 1可以穿插
1.2例题:要求匹配192.168.1.0/24 ~192.168.1.7/24的IP地址
将随机匹配的位置转换为二进制:
1 | 192.168.1.0000 0001 |
2 | 192.168.1.0000 0010 |
3 | 192.168.1.0000 0011 |
4 | 192.168.1.0000 0100 |
5 | 192.168.1.0000 0101 |
6 | 192.168.1.0000 0110 |
7 | 192.168.1.0000 0111 |
即随机匹配的位置为 192.168.1.0000 0111
通配符掩码为:0.0.0.7
三.ACL的分类与标识
基于ACL规则定义方式的分类:
分类 | 编号范围 | 规则定义描述 |
基本ACL (靠近目的点) | 2000~2999 | 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。 |
高级ACL (靠近源) | 3000~3999 | 可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。 |
二层ACL | 4000~4999 | 使用报文的以太网帧头信息来定义规则,如根据源MAC地址、目的MAC地址、二层协议类型等。 |
用户自定义ACL | 5000~5999 | 使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。 |
用户ACL | 6000~6999 | 既可使用IPv4报文的源IP地址或源UCL(User Control List)组,也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。 |
四.ACL访问控制列表实验相关命令(基本ACL)
实验准备(省略过程):
配置ip、网关;配置路由,实现全网互通
实验过程:
配置路由禁止访问命令
[Huawei]acl number 2000
#建立acl 2000规则
[Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0
#默认编号5 拒绝来自192.168.1.1的流量
[Huawei-acl-basic-2000]q
#退出acl 2000规则
[Huawei]int g0/0/1
#进入g0/0/1接口
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
#当设备从特定接口向外发送数据时执行ACL
[Huawei-GigabitEthernet0/0/1]q
#退出
五.ACL访问控制列表实验相关命令(高级ACL)
实验过程:
1.配置Server1中的FtpServer并启动
2.进入Client1的FtpClient中,输入要访问的服务器地址,并登录
3.对路由器进行配置:
[Huawei]acl 3000
#建立acl 3000规则
[Huawei-acl-adv-3000]rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0
destination-port eq www
#deny tcp:阻止tcp协议 192.168.1.1:源地址 0:单个地址 destination-port:目标端口 eq:等于 www:也可以写端口80
[Huawei-acl-adv-3000]q
#退出acl规则
[Huawei]int g0/0/0
#进入g0/0/0端口
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
#当接口收到数据包时执行acl
4.验证此时client1中httpclient不能访问server1
5.验证但此时client1中ftpclient可以访问server1
NAT
一.为什么使用NAT技术?
随着Internet的发展和网络应用的增多,IPv4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足的问题,但目前众多的网络设备和网络应用仍是基于IPv4的,因此在IPv6广泛应用之前,一些过渡技术的使用是解决这个问题的主要技术手段。
二.NAT的概念、功能和应用场景
1.NAT的概念
网络地址转换技术NAT(Network Address Translation)主要用于实现位于内部网络的主机访问外部网络的功能。
2.NAT的功能
当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地址,并且多个私网用户可以共用一个公网地址,这样既可保证网络互通,又节省了公网地址。
3.NAT的应用场景
随着网络设备的数量不断增长,对IPv4地址的需求也不断增加,导致可用IPv4地址空间逐渐耗尽。解决IPv4地址枯竭问题的权宜之计是分配可重复使用的各类私网地址段给企业内部或家庭使用。但是,私有地址不能在公网中路由,即私网主机不能与公网通信,也不能通过公网与另外一个私网通信。
NAT是将IP数据报文头部中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能。NAT一般部署在连接内网和外网的网关设备上。当收到的报文源地址为私网地址、目的地址为公网地址时,NAT可以将源私网地址转换成一个公网地址。这样公网目的地就能够收到报文,并做出响应。此外,网关上还会创建一个NAT映射表,以便判断从公网收到的报文应该发往的私网目的地址。
三.NAT的分类及其工作原理
NAT的实现方式有多种,适用于不同的场景。
1.静态NAT
静态NAT实现了私有地址和公有地址的一对一映射。如果希望一台主机优先使用某个关联地址,或者想要外部网络使用一个指定的公网地址访问内部服务器时,可以使用静态NAT。但是在大型网络中,这种一对一的IP地址映射无法缓解公用地址短缺的问题,但是可以起到隐藏内部网络的作用,但是这种方式又太笨拙,如果有多个ip地址映射的话需要一个个手工配置,所以又有了一个动态nat的概念。(一个外网地址对应一个内网地址)
- 工作原理
源地址为192.168.1.1的报文需要发往公网地址100.1.1.1。
在网关RTA上配置了一个私网地址192.168.1.1到公网地址200.10.10.1的映射。
当网关收到主机A发送的数据包后,会先将报文中的源地址192.168.1.1转换为200.10.10.1,
然后转发报文到目的设备。目的设备回复的报文目的地址是200.10.10.1。
当网关收到回复报文后,也会执行静态地址转换,将200.10.10.1转换成192.168.1.1,
然后转发报文到主机A。和主机A在同一个网络中其他主机,如主机B,访问公网的过程也需要网关RTA做静态NAT转换。
2.动态NAT
动态NAT通过使用地址池来实现。基于地址池的一对一映射,这种方式实际上还是一对一的映射,所以也没有缓解公用地址短缺的问题。(建立一个外网地址池,当多台内网去访问外网时,从池子里获取一个未被使用的地址;在池子里已经被使用的地址,会被打上已使用标签,不会再次分配给其他主机。)
- 工作原理
当内部主机A和主机B需要与公网中的目的主机通信时,网关RTA会从配置的公网地址池中选择一个未使用的公网地址与之做映射。
每台主机都会分配到地址池中的一个唯一地址。
当不需要此连接时,对应的地址映射将会被删除,公网地址也会被恢复到地址池中待用。
当网关收到回复报文后,会根据之前的映射再次进行转换之后转发给对应主机。
注意:动态NAT地址池中的地址用尽以后,只能等待被占用的公用IP被释放后,其他主机才能使用它来访问公网。
3.NAPT
基于地址池的多对一映射,映射到同一个ip,不同的端口号,可以节省ip地址。
- 工作原理
RTA收到一个私网主机发送的报文,源IP地址是192.168.1.1,源端口号是1025,目的IP地址是100.1.1.1,目的端口是80。
RTA会从配置的公网地址池中选择一个空闲的公网IP地址和端口号,并建立相应的NAPT表项。
这些NAPT表项指定了报文的私网IP地址和端口号与公网IP地址和端口号的映射关系。
之后,RTA将报文的源IP地址和端口号转换成公网地址200.10.10.1和端口号2843,并转发报文到公网。
当网关RTA收到回复报文后,会根据之前的映射表再次进行转换之后转发给主机A。主机B同理。
4.Easy IP
适用于小规模局域网中的主机访问Internet的场景。小规模局域网通常部署在小型的网吧或者办公室中,这些地方内部主机不多,出接口可以通过拨号方式获取一个临时公网IP地址。Easy IP可以实现内部主机使用这个临时公网IP地址访问Internet。
- 工作原理
RTA收到一个主机A访问公网的请求报文,报文的源IP地址是192.168.1.1,源端口号是1025。
RTA会建立Easy IP表项,这些表项指定了源IP地址和端口号与出接口的公网IP地址和端口号的映射关系。
之后,根据匹配的Easy IP表项,将报文的源IP地址和端口号转换成出接口的IP地址和端口号,并转发报文到公网。
报文的源IP地址转换成200.10.10.10/24,相应的端口号是2843。
路由器收到回复报文后,会根据报文的目的IP地址和端口号,查询Easy IP表项。
路由器根据匹配的Easy IP表项,将报文的目的IP地址和端口号转换成私网主机的IP地址和端口号,并转发报文到主机。
四.静态NAT配置的相关命令
[RTA]interface GigabitEthernet0/0/1
#进入端口
[RTA-GigabitEthernet0/0/1]ip address 192.168.1.254 24
#端口配置ip地址
[RTA-GigabitEthernet0/0/1]interface Serial1/0/0
[RTA-Serial1/0/0]ip address 200.10.10.2 24
[RTA-Serial1/0/0]nat static global 202.10.10.1 inside 192.168.1.1
[RTA-Serial1/0/0]nat static global 202.10.10.2 inside 192.168.1.2
#nat static global { global-address} inside {host-address }
用于创建静态NAT。
global参数用于配置外部公网地址。
inside参数用于配置内部私有地址。
五.动态NAT配置的相关命令
[RTA]nat address-group 1 200.10.10.1 200.10.10.200
#建立地址池
[RTA]acl 2000
#建立基本acl列表
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
#给需要地址转换的网段添加规则
[RTA-acl-basic-2000]quit
#退回系统视图
[RTA]interface serial1/0/0
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat
#添加规则
如果不写no-pat 默认是NAPT一般现网是不会写no-pat的,多对一映射
nat outbound命令用来将一个访问控制列表ACL和一个地址池关联起来,表示ACL中规定的地址可以使用地址池进行地址转换。ACL用于指定一个规则,用来过滤特定流量。后续将会介绍有关ACL的详细信息。
nat address-group命令用来配置NAT地址池。
本示例中使用nat outbound命令将ACL 2000与待转换的192.168.1.0/24网段的流量关联起来,并使用地址池1(address-group 1)中的地址进行地址转换。no-pat表示只转换数据报文的地址而不转换端口信息。