菜鸟网管的入门之路-第二章、技术篇（网络基本概念、规划及接入）

二、技术篇 

常见问题、设置方法、搭建方法、使用技巧及软件介绍

一、非软件部分

1.网络基本概念

现在常说的网络可简单认为是以太网，以太网是一种计算机网络技术。IEEE组织的IEEE 802.3标准制定了以太网的技术标准，它规定了包括物理层的连线、电子信号和介质访问层协议的内容。（百度百科）

生活中常见的网络通讯基本上都使用到了以太网的技术。根据使用范围的大小可分为广域网（WAN）、城域网(MAN)及局域网(LAN)，我校所在的区域所有教育系统全部接入了上级部门部署的教育城域网，整个教育城域网是主干万兆的环形网络，到各区教育局再分到各个下属学校及机构。而需要网管员维护的无非是本校的有线及无线的局域网。

由于网络几乎是所有工作的基础，特专门说明。

数据在网络中是以“包”的形式传输的。在发送数据时把完整的数据处理成一定大小的数据包，这些包通过路由器和交换机传输到目的地，然后在目的地重新还原为有用的数据。整个过程就像是快递的运送过程，快递并不是直接从发送者手里寄到接收者手里的，中间会经过各个中转站。交换机和路由器的作用就像是这些中转站，它们把接收到的数据包选择合适的路径之后再发送出去。交换机则像是一个区域的中转站，在一个地区内中转站知道所有的地址，所以可以直接把快递送过去。但是一旦遇到跨省市的快递，区域的中转站无疑是无法知道接收方的具体位置的，这个时候只能将快递运送到负责各省市的中转站，这个中转站的作用就像是路由器，负责不同区域之间快递的转发。

交换 switch 路由 route

***网络安全***

2.网络常见技术

网络规划

网络规划是网络建设的第一步，合理的网络建设能够保障各系统的稳定运行，一旦出现问题也能够最大程度地保障其他业务不受到影响，便于后期的维护。网络规划主要考虑网络的使用用途及接入用户数量。如监控和办公网络就不可以放到同一个局域网内，一旦办公网络出现问题如网络风暴就会影响到监控数据的正常传输。

在进行网络规划之前要对IP协议有所了解，所有接入网络的设备都必须有一个IP地址以标识身份，在此基础上才能够实现数据从哪里来要到哪里去的功能。与之对应的是每一个设备都有唯一的物理地址（MAC地址），一般情况下MAC地址是唯一且固化在设备内的。

这就意味着同一个设备可以有不同的IP地址，同一个IP地址也可以分配给不同的设备。这就类似于房屋与门牌号的关系，即一所房子它的地理位置是固定的，通过门牌号也可以找到这个房子，但是如果将它规划到新的区域，房子的地理位置不变但是可以有一个新的门牌号，通过新的门牌号我们仍然可以找到这个房子，但是通过旧的门牌号却不能找到或者说会找到门牌号新分配到的房子。

IP和MAC的关系就像是门牌号和房子的关系，必须现有物理存在的房子，门牌号才有实际的意义，必须有MAC地址，才能够通过IP实现其他功能。

IP地址

常见的IP地址用32位二进制数表示，最小为00000000 00000000 00000000 00000000，最大为11111111 11111111 11111111 11111111。但是使用二进制表示十分不方便，常采用点分十进制表示，即把32位分为4段，每段8位用十进制表示，这样就可以表示为0.0.0.0到255.255.255.255。这样就是我们常见到的IP地址的表示形式了。

但是，通过上面的范围可以看到，这种IP地址的数目是有限的，随着社会的发展，物联网的快速普及，原有的IP方式已经不能够满足实际需求。因此，出现了新的ipv6协议以补充和替换原有的IPv4协议。

IPv6将原有的32位二进制升级为128位二进制数，可提供的IP地址是IPv4的为2^64倍，预计能够满足需求。同样由于二进制读数的不便，IPv6地址采用冒号十六进制来表示分为8段，范围从::（全0）到ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff，同样提供/n的方式分割地址前缀。与IPv4不同的是，IPv6可以在没有DHCP服务器的情况下自动通过本机的MAC地址分配IPv6地址。IPv6在生活中接触较少，部分网站及应用支持IPv6，部分通信运营商如移动向用户提供IPv6地址。IPv6内容仅了解即可。

回到实际，虽然IPv4地址正在枯竭，但是日常生活中并没有感到使用上的问题，这是因为在实际应用中，网络通常是由众多的路由器和网段组成的，而不同网段内的IP地址是可以相同的，就像每个班级的学生都可以排为1-40号，但是100班和101班都可以用相同的学生序号。简单来说路由器就是用来实现不同网段（班级）间的互联，而网段（班级）内的同学则可以使用相同的序号（私有IP）进行通讯。

相应的，IP地址也可以分为两个部分：网络号、主机号。

网络号：用于区分不同的IP网络，即该IP所属的IP网段。一个网络中所有的设备IP地址都具有相同的网络号。

主机号：用于表示该网络内的一个IP节点，在一个网段内部，主机号是唯一的。

这样，路由器就不需要记录所有设备的IP地址，只需要记录自己网段内的主机号及外部网络的网络号。

 在现实生活中，各个网段内具有的IP节点数各不相同，为了更好地管理和使用IP地址资源，IP地址被分为5累-A/B/C/D/E。每类地址的网络号和主机号在32位地址中占用的位数各不相同，因而其可以容纳的主机数也有很大区别。

如图（百度百科），A类地址前8位为网络号，后24位为主机号则每个A类网络有2^24个A类IP地址。B类前16位为网络号，后16位为主机号，每个B类网络有2^16个B类地址。C类地址前24位为网络号，后8位为主机号，每个C类网络友2^8个IP地址。D类、E类用途较少不做介绍。

IP地址用于唯一地标识一台网络设备，但并不是每一个IP地址都用于这个目的，一些特殊的IP地址就用于其他用途。

主机号全0的IP地址称为网络地址，代表一个网段，如：1.0.0.0/8意味着前八位为网络位，后24位为主机位，这个地址代表1.0.0.0-1.255.255.255这个网段；192.168.1.0/24，意味着前24位为网络位，后8位为主机位，代表192.168.1.0-192.168.1.255这个网段。

主机号全1的IP地址叫做广播地址。这种地址用于标识一个网络内所有的主机。例如10.255.255.255是网络10.0.0.0/8的广播地址，标识10.0.0.0内所有的主机，一个发往10.255.255.255的数据包将会被这个网段所有主机接收。

网络号位127的IP地址用于环路测试目的，127.0.0.1用于表示本机localhost。

综上，每一个网段都会有一个网络地址和一个网络广播地址，因此实际可用于主机的地址数实际上等于网段内所有的地址数减2。如192.168.1.0/24有8个主机位。256个地址，但是192.168.1.0代表网络地址，192.168.1.255为广播地址，实际有254个可用地址。

这其中又有三类IP地址被称为私有地址可以供局域网内使用。

10.0.0.0-10.255.255.255

172.16.0.0-172.31.255.255

192.168.0.0-192.168.255.255

一般情况下，家庭中用192.168段居多，因为这个网段已经能够提供2^16个地址，能够满足需求。而我校所处的教育城域网使用10.0.0.0段地址用以满足全市所有接入设备的使用需求。

子网划分

虽然一个IP地址能够分为网络位和主机位两部分，但是实际使用中往往需要更为细致的划分。解决的方法称为子网划分，即允许将一个自然分类的网络分解为多个子网（subnet）。

划分子网的方式就是从主机位部分借用若干位作为子网号，剩余的位作为主机位。于是两级的IP地址划分方式变成三级，包括网络号、子网号以及主机号。

这样就可以将现有的网络划分为多个子网，是内部网络的操作并不涉及外部网络，因此也不需要在对外网络通信时进行其他操作。

只根据IP地址本身无法确定子网的长度，为了将主机号和子网号区别开来，我们使用子网掩码（subnet mask：即网络位加子网位长度，如掩码为24则代表IP地址前24位为子网地址，后8位为主机号）进行区分。同样的，由于子网掩码是32位二进制数，使用不便，所以一般有两种使用的方式。

如下：

掩码位数 十进制表示    可提供的IP数

……

23        255.255.254.0        510

24       255.255.255.0        254

25        255.255.255.128    126

26        255.255.255.192    62

……

如：192.168.0.1/24，代表该IP地址所处子网为192.168.0.0，广播地址为192.168.0.255，有254个可用地址。

192.168.0.1/25，代表该IP地址所处子网为192.168.0.0，广播地址为192.168.0.127，共有126个可用地址。

通过子网掩码，我们可以将较大的网络划分为小的子网，以实现资源的充分利用。但是有时候一个子网内的IP数目又不能满足我们的需求，这时就可以将原有的两个子网通过子网位减一位的方式将主机位扩大，以实现扩大可用IP数的目的。如：192.168.0.1/23，意味着该主机处于192.168.0.0这个子网，广播地址为192.168.1.255，可用地址为510个。

通过以上内容，不难发现，虽然子网掩码能够帮助我们合理地划分或者合并子网，但是仍然严格按照两倍或者二分之一的方式，这就要求我们在规划子网时合理分配，不能够随意分配。要优先安排较大的子网，然后安排较小的子网，如果先安排较小的子网可能会导致后续空间的不足。

以下图为例：

假设每一小格代表64个IP地址，则每4个颜色相同的小格代表256个IP地址。如果想要分配512个IP地址，如方式1所包含的区域，这种方式是可行的，其网段为192.168.0.0/23，广播地址为192.168.1.255，有510个可用地址。但是如方式3，这种在已分配掉部分地址后想要利用剩余地址的方式是不可以的。

这种规则实际上是由子网掩码特殊的分割方式要求的，如下表：由于每个子网要512个地址，故主机位因增加一位到了9位，而整个网络网络位为21位，所以可供子网使用的只有32-21-9=2位，由此可以看到所划分的子网必须是特定网段并不是有足够的地址就可以划分到同一网段。

而像方式3，网段会是192.168.4.127/23，很明显这不在下表合法的分配方式中。

IP第三、四段（红色为子网号）	网段	子网掩码	广播地址
0000000x xxxxxxxx	192.168.0.0	255.255.254.0或23	192.168.1.255
0000001x xxxxxxxx	192.168.2.0	255.255.254.0或23	192.168.3.255
0000010x xxxxxxxx	192.168.4.0	255.255.254.0或23	192.168.5.255
0000011x xxxxxxx	192.168.6.0	255.255.254.0或23	192.168.7.255

以图形的方式表示，就像是把方块放入合适的格子里，必须严格按照格子的位置放置方块。

判断某一设备所在子网，具体的计算方式如下，以134.144.1.5/26为例：

134.144.1.5转化为二进制为10000110 10010000 00000001 00000101

子网掩码为                          11111111 11111111 11111111 11000000

则前26位 10000110 10010000 00000001 00为网络号，转化为10进制为134.144.1.0，后六位为主机位转化为十进制为5，该网的广播地址为后六位全为1时，则为134.144.1.63，这个子网有62个可用地址。

应用举例:

某单位网段为10.0.0.0/21，现监控需要160个IP地址，办公需要700个IP地址，服务器最多需要50个IP地址，该如何划分。

首先，我们不可能严格依据需要的IP去划分子网，无法操作且不符合后期拓展的实际。如监控现需要160个IP，那么大于这个数目的最小子网为子网掩码为24位的子网，可提供254个IP地址。办公需要700个IP地址，则需要子网掩码为22位的子网，可提供1022个IP地址。服务器的子网掩码应为26，可提供62个IP地址。

因此，首先安排办公子网，该子网为10.0.0.0/22，广播地址为10.0.3.255，可用地址为1022个，然后安排监控子网，该子网地址为10.0.4.0/24，广播地址为10.0.4.255，可用地址为254个，最后安排服务器子网，该子网为10.0.5.0，广播地址为10.0.5.63，可用地址为62个。地址段如下图所示：

当然，这个分配方式仅仅满足现在的需求，如果未来需要扩大办公子网，按照上面的分配方式就没有办法实现。所以在规划网络时不仅要满足当下的需求也要考虑到未来的发展。可以适当预留部分地址或者预留相邻的网段，即使没有合并子网也可以在使用时较为方面。

硬件技术

网络接入

常见的网络接入方式有三种，光纤、双绞线及WIFI。

光纤：

光纤介质可简单分为跳线和光缆，跳线用于接入设备，光缆则是多根光纤聚成一捆可以满足多条线路传输信号的需要。一般来说，跳线较为柔软，有橡胶表皮及尼龙线层保护内芯。一般光缆会内附钢丝，提供更好的抗外力的性能。

 此外还有常用于光纤入户的短距离的皮线，这种线缆不会内置太多光纤但内附钢丝且线径较细，便于现场施工作业。如下图：

虽然形状规格各异，但绝大多数光纤的核心基本上都是包覆层包裹的玻璃纤维，根据直径和承载波长的不同可分为多模光纤和单模光纤。

一般来说，多模光纤直径较粗，可传输不同波长信号，适用于中短距离传输，跳线颜色为橙色或蓝色，一般会发出肉眼可见的红光。单模跳线直径较细，只能用于特定波长信号传输，适合长距离传输，跳线颜色为黄色。

此外，光纤有多种接头以满足不同的场景。如接线架上多用fc、st，交换机光模块多使用lc，家庭光猫多使用sc接口。

由于光纤的内芯很细，一般情况下需要专门的设备才能进行施工熔接。施工前将光纤剥离，清洁，然后将要连接的两端使用工具切成平整的断面，然后使用熔接机进行熔接。

为保证强度，常将接头处用包含钢丝的热缩管固定保护。

 光纤接入设备时常用到两种设备：光模块和光纤收发器。光模块一般是直接插入到交换机等设备，光模块拉环为蓝色时时单模模块、黑色则意味着多模模块；光纤收发器则是转化为双绞线再接入其他设备。

双绞线：

双绞线是使用最为普遍的网络部署和接入介质，一般由8根四对相互缠绕的导线、增加强度的尼龙绳和保护层组成。根据线径的粗细及线缆结构的不同，可以将简单双绞线分为以下几类：

类别	特点	速度
五类以下	使用较少	如有4根导线最大支持100Mbps	从上至下线径越来越粗，抗干扰能力越来越强，能够传输的速率越来越快
五类 CAT5（下图1）	使用全部8根导线	支持1000Mbps
六类 CAT6（下图2）	中间增加十字龙骨	支持高于1000Mbps
六类以上	常增加屏蔽层，暂没有统一标准

除了上面的分类，还可通过有无屏蔽层将双绞线分为屏蔽双绞线以及非屏蔽双绞线。    在实际使用中，双绞线接头的线序常采用统一标准T568B，具体线序为橙白、橙、绿白、蓝、蓝白、绿、棕白、棕。由于线径的不同，六类水晶头的导线排列方式也有所不同。

双绞线制作（怎么制作网线-百度经验 (baidu.com)）

1.我们先准备好需要的材料。取一条适当长度的双绞线；若干个RJ45水晶头；一把双绞线压线钳；还有双绞线测试仪。

2.用压线钳将双绞线一端的外皮剥去3CM，然后按EIA/TIA 568B标准顺序将线芯撸直并拢。

3.将芯线放到压线钳切刀处，8根线芯要在同一平面上并拢，而且尽量直，留下一定的线芯长度约1.5CM处剪齐。

4.将双绞线插入RJ45水晶头中，插入过程均衡力度直到插到尽头。并且检查8根线芯是否已经全部充分、整齐地排列在水晶头里面。

5.用压线钳用力压紧水晶头，抽出即可。

 

6.一端的网线就制作好了，同样方法制作别一端网线。最后把网线的两头分别插到双绞线测试仪上，打开测试仪开关测试指示灯亮起来。如果正常网线，两排的指示灯都是同步亮的，如果有此灯没同步亮，证明该线芯连接有问题，应重新制作。

     

WIFI：

无线局域网是当下十分普遍的网络接入方式，可以在一定范围提供网络接入服务。根据工作频率的不同可简单将WIFI分为2.4g和5g，频率越高传输速率越快相应信号范围就会越小。

无线路由器是最为常见的设备，后文以tplink设备为例简单介绍其功能和设置。

对于大部分家庭来说，使用无线路由器就可以满足上网的需求，但是对于具有一定规模的或者有着规划的场景来说使用无线路由器就不太能够满足需求，而且会带来维护和使用上的不便。

比如我校使用了实名认证设备，要求每一个用户都使用城域网的地址接入，并且会对账号、IP及MAC地址进行绑定。如果使用无线路由器的DHCP及nat功能就会导致用户无法获取到城域网的IP地址，多个用户就绑定在了路由器的wan口地址下，这样是不符合国家相关的要求的，也不便于查找和维护。所以，在核心交换机统一分配地址的环境下，我们采取两种方式接入网络，一是关闭无线路由器的DHCP功能，将某一个lan口当作上联口，使用“无线交换机”的功能，或者在路由器的模式中直接将其设置为ap模式；另外一种是提供统一的无线覆盖，即ac+ap的方式（后文介绍）。

交换机 switch

同一网段内使用。

路由器 route

跨网段时使用。

无线接入 无线局域网  WLAN

简单来说就是通过无线的方式接入局域网。常见的参数有2.4G、5G，还有扩充的WiFi6。

常见有两种部署方式，一是无线路由器，二是ac+ap。

无线路由器

ac+ap

ac全称为access control，意为接入控制。ap全称为access point意为接入点又称热点。和一般的无线路由器不同，ac+ap的方式可以实现多个信号发射点共用一个ssid（WiFi名），并且可以几乎无感知地在各个热点的信号范围内切换。

所以这种方式多用于大范围的无线网络覆盖，但是大范围就带来了另外一个隐患-安全风险。所以，这种方式还通常结合身份认证一起使用，这个功能可在ac实现也可通过另外的服务器实现。

防火墙    Firewall

防火墙这一概念来自于，江南传统民居建筑的墙体之所以采取这种形式，主要是因为在聚族而居的村落中，民居建筑密度较大，不利于防火的矛盾比较突出，火灾发生时，火势容易顺房蔓延。而在居宅的两山墙顶部砌筑有高出屋面的马头墙，则可以应村落房屋密集防火、防风之需，在相邻民居发生火灾的情况下，起着隔断火源的作用。

信息技术中提到的防火墙起到类似的作用，旨在保护系统不受外来攻击的侵害。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

计算机防火墙、网络防火墙

1、记录计算机网络之中的数据信息

数据信息对于计算机网络建设工作有着积极的促进作用，同时其对于计算机网络安全也有着一定程度上的影响。通过防火墙技术能够收集计算机网络在运行的过程当中的数据传输、信息访问等多方面的内容，同时对收集的信息进行分类分组，借此找出其中存在安全隐患的数据信息，采取针对性的措施进行解决，有效防止这些数据信息影响到计算机网络的安全。除此之外，工作人员在对防火墙之中记录的数据信息进行总结之后，能够明确不同类型的异常数据信息的特点，借此能够有效提高计算机网络风险防控工作的效率和质量。 [4] 

2、防止工作人员访问存在安全隐患的网站

计算机网络安全问题之中有相当一部分是由工作人员进入了存在安全隐患的网站所导致的。通过应用防火墙技术能够对工作人员的操作进行实时监控，一旦发现工作人员即将进入存在安全隐患的网站，防火墙就会立刻发出警报，借此有效防止工作人员误入存在安全隐患的网站，有效提高访问工作的安全性。 [4] 

3、控制不安全服务

计算机网络在运行的过程当中会出现许多不安全服务，这些不安全服务会严重影响到计算机网络的安全。通过应用防火墙技术能够有效降低工作人员的实际操作风险，其能够将不安全服务有效拦截下来，有效防止非法攻击对计算机网络安全造成影响。此外，通过防火墙技术还能够实现对计算机网络之中的各项工作进行实施监控，借此使得计算机用户的各项工作能够在一个安全可靠的环境之下进行，有效防止因为计算机网络问题给用户带来经济损失。

---百度百科 https://baike.baidu.com/item/%E9%98%B2%E7%81%AB%E5%A2%99/52767?fr=aladdin

VPN 、内网穿透

大多数情况下，工作都会在固定的地点接入网络。对于偶尔不在单位但仍需接入办公网的情况时，就需要通过技术手段接入局域网。常见的的实现方式有VPN内网穿透、zerotier、frp等。通过在局域网内部署服务端，然后在外网登陆客户端就可以实现接入。使用内网穿透一定要注意安全问题，其次内网穿透的效果取决于多种因素，例如：公网IP、运营商、网络状态等等。