一.数据通信基础
网络由硬件和软件组成(设备+设备中的协议)
- 设备:路由器(用于访问不同网段的网络),交换机(用来接入网络,网线连接电脑和交换机,实现多台电脑中的通信),防火墙(隔离内网和外网),无线AP(实现无线通信,如WiFi,无线ap和交换机之间也是通过网线连接的),交换机在链路层,路由器在网络层
- 网络类型:局域网,城域网,广域网
- 网络拓扑:星型(有一个中心),总线型(很多电脑都连接到一条网线上),环形网络,树型网络,全网状网络(去往一个目标有多条路)
- 交换机原理
- lan的分段:网线的距离有限(100m),所以出现了Hub(集线器)-但同一时间段内只能由一个人发送数据,已淘汰。冲突域:解决冲突域的是csma/cs。网桥:连接两个集线器的,是交换机的前身,就是端口较少。
- 交换机:端口多,通过mac地址转发,有缓存数据功能(查询过的就会记录下)
- 交换机转发类型:直通转发:直接通过mac地址表发送,数据来的就发送,不会对坏帧校验。存储转发:对数据进行校验。碎片隔离:数据小的就校验,大的就发送
- 多个冲突域:交换机可以隔离冲突域,每个口子可以同时发送数据
- 单工:只能发或收。半双工:可发可收,但是不能同时进行。全双工:可发可收可同时进行。
- 交换机的三种功能:地址学习;帧的转发/过滤;环路防止:企业级的交换机才有此功能。
- Mac地址表:放了所有pc机的mac地址。Mac地址:每个电脑的网卡标识,每个网卡都有一个mac地址
- Arp协议:帮助pc完成数据包目标mac的封装;交换机是通过mac地址进行数据转发。Mac是电脑网卡标识。Pc发送数据包时,要给数据包写上目标mac。Pc1 ping 1.1.1.2,pc1只知道对方的ip,不知道对方的mac,所以此时需要用到arp协议。
(pc1先发送一个arp请求包。arp请求包:请求目标主机的mac地址的。Arp请求包,是广播包,广播给所有主机,目标主机也能收到。目标主机收到arp请求,知道有人想要问他的mac地址,目标主机回应 arp回复。Pc1收到arp回复,知道了目标主机的mac,再发包,用单播。完成arp解析后,会把解析结果放在arp缓存表中,以后接着用)
- 路由器
- :实现不同网段的连接,所以连接互联网需要一个路由器,
- nat:ip地址转换功能,网络地址转换功能:将多个私网IP地址转换成一个公网IP,这样就可以实现多个内部用户共用一个公网IP地址来访问Internet,起到节省IP的作用。
- 1.1.1.1和2.2.2.2的网络通信:需要用到路由器(可称网关)
- 关键功能:实现不同网段的数据转发;NAT(地址转换)
- 防火墙
- 安全域:设置一下,哪个接口是信任网络(内网),哪个接口是非信任网(外网),哪个接口是半信任(DMZ)
- 安全策略:设置一下,哪些数据可以通过/哪里来地数据可以通过
3.内网电脑要想访问外网:要设置安全域,要防火墙开放策略,要IP地址转换(nat),要地址回环
案例:内网访问外网,要经过防火墙,那防火墙需要做两件事(1.把接口加入安全域,2.做放行策略)
(1)我的内网要访问防火墙本身,能通
- 安全域配置(g1/0/1这个接口为防火墙设备上的一个接口,要将其设为信任域;g1/0/2这个接口设为dnz) 即:将哪个接口设为信任接口,哪个接口设为非信任接口
Firewall zone trust
Add interface g1/0/1
Firewall zone dmz
Add interface g1/0/2
- 安全策略
Security-policy 添加安全策略
Rule name neiwang-to-fhq 创建一个安全规则,名字叫neiwang-to-fhq
Sourece-zone trust 来自内网的
Destingnation-zone local 去往防火墙本身的
Action permit 允许
记得要给防火墙接口开通允许ping权限(因为大多数安全设备都是禁ping的)
- 我的内网主机,要上网,访问外网,能通
所做操作
安全策略:允许数据包从truce(内网),到unstruce(外网)
NAT:要把私网IP,出去时转成公网IP
路由:让防火墙,拥有去往外网的路由表(例如这里外网假设为6.6.6.6),因为内网的数据
要去往外网,要经过防火墙,如果防火墙没有去往外网的路由表,就无法将数据转出去
- 设置安全策略
Security policy
Rule name nei-wai
Sourece-zone trust
Destingnation-zone untrust
Action permit
- NAT
Nat-policy
Rule name dainxin
Source-zone truce
Destingnation-zone untrust
Action source-nat easy-ip (设置nat策略,创建一个规则名字为dainxin,将从truce来,去往untrustd 的时候将IP转成外网口IP。。Easy-ip:做地址转换的时候,自动转换成设备出接口的地址)
- 让防火墙拥有外网的路由表 (64.1.1.10是连接外网和防火墙的路由接口地址):也可成设置回程路由,没有这个,内网也收不到来自外网的数据
Ip route-static 0.0.0.0 64.1.1.10
默认路由(缺省路由),目标0.0.0.0,代表所有目标,表不管去哪,即不单限与外网的某台机器,如6.6.6.6这台机器。
或写成
IP route-static 192.168.1.0 24 10.10.10.1
图示:内网-防火墙-外网
注:在b站听课所做的笔记,个人记录。略粗糙,经常搞不清交换机和路由器的区别,记下笔记加深印象~