wang_dian1的博客

firewalld防火墙是Centos7系统默认的防火墙管理工具，取代了之前的iptables防火墙，也是工作在网络层，属于包过滤防火墙。firewalld和iptables都是用来管理防火墙的工具（属于用户态）来定义防火墙的各种规则功能，内部结构都指向netfilter网络过过滤子系统（属于内核态）来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。

将外网发来的数据包的目的地址由公网IP/端口，转换为私网IP/端口，网关服务器在更具路由转发。第二步：配置好虚拟机的IP地址与网关地址，并开启路由转发，同上即可。第一步，开启三台服务器，一台客户端，一台网关服务器，一台服务端。第一步：配置三台虚拟机，外网虚拟机做客服端，内网虚拟机做服务端。第二步，在网关服务器上开启路由转发，并使用SNAT转换地址。第三步：做DNAT转换把，内网服务器及端口号映射在外网口。

Linux 系统的防火墙 ：IP信息包过滤系统，它实际上由两个组件netfilter 和 iptables组成。主要工作在网络层，针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。

要解决网络中断的问题，可以依靠再添加网关的方式解决，不过由于大多数主机只允许配置一个默认网关，此时需要网络管理员进行手工干预网络配置，才能使得主机使用新的网关进行通信；为了更好地解决网络中断的问题，网络开发者提出了VRRP，它既不需要改变组网情况，也不需要在主机上做任何配置，只需要在相关路由器上配置极少的几条命令，就能实现下一跳网关的备份，并且不会给主机带来任何负担。通常情况下，虚拟路由器回应ARP请求使用的是虚拟MAC地址，只有虚拟路由器做特殊配置的时候，才回应接口的真实MAC地址。：虚拟路由器的标识。

三层交换机具有路由功能，所以两个VLAN之间可以互相访问，每个VLAN 虚接口就是该网段的网关在三层交换机上配置的VLAN 接口为虚接口。

为了解决广播风暴，通常使用分隔广播域的方法来解决，分隔广播域的方法有两种物理分割采用子网划分的方式逻辑分割用vlan划分。

子网划分，IP地址的换算

信息：人对事物存在的某种认识数据：用于描述事物的具体量值信号：信息传递的媒介。

进入系统试图模式 – > 更改用户名 --> 进入千兆端口 --> 添加IP地址 --> 打开端口。上图只是实现了PC1到PC2的通讯，还需要给R2添加一个非直连网段。，IP地址可以自定义但是相连的两个地址必须在一个网段。完成PC1和PC2之间我网络互通。未连通则出现timeout！

路由： 从源主机到目标主机的转发过程路由器：能够将数据包转发到正确的目的地，并在转发的过程中选择最佳的路径。