计算机网络[6-10]
【6】不同网段如何通信
1)为什么要区分不同网段?
不划分:
广播流量多,占用网络带宽和设备资源
管理复杂
2)如何划分?
IP地址:192.168.1.10/255.255.255.0 前24位都是1,都是网络号
网络号(网络地址):
网络号相同,都在同一个网段
网络号:192.168.1
子网掩码:255.255.255.0(简写为/24)
如何判断网络号:IP地址与子网掩码的二进制进行与运算
主机号(主机地址):.10
3)不同网段设备的通信
*路由器的某个接口IP就是网关 -> 设备连接在该R接口下,2SW、PC
step1:
判断是否在同一个网段(IP与子网掩码&与运算)
step2:
查默认网关(找到自己教室的门,R的某个接口)
step3:
查网关MAC地址(将数据包丢给网关)
①查ARP表
②广播
R1
2SW(交换机不认识IP地址,只认MAC地址,将数据包丢给网关)
PC
SMAC DMAC SIP DIP
网关MAC地址
step4:
PC1,封装,发送
step5:
路由选路
step6:
PC应答(SMAC、DMAC交换位置)
总结:
路由:
1.直连路由:路由器接口所连接子网的路由
2.静态路由:人为手工配置
3.动态路由:路由器与路由器之间,自动维护、优化路由表
OSPF
RIP
4.默认路由:IP地址与子网掩码都是0.0.0.0 /192.168.2.2 下一跳地址,匹配不上就走这里
路由的优先级:直连 > 人工设置(静态) > 动态
同网段通信与不同网段通信关系?
任何的三层通信都是由一段一段的二层通信拼接起来的
三层通信 = 二层通信 + 路由选路
S 静态路由
R 动态路由
【7】如何解决三层单点故障
PC1 – 2SW --> R1 <-- 2SW – PC2
- 一个电脑上面只能配置一个默认网关
VRRP:虚拟路由冗余协议
R1、R2虚拟成R3(R1主路由、R2备用路由) -> 默认网关
*R2每3秒监测R1(类比:心跳监测)
总结:
三层单点故障->R故障
解决:
1.多网关:IP冲突
2.VRRP虚拟路由冗余协议:将多台路由器 虚拟为 一台,配置虚拟路由器的IP地址为默认网关
虚拟路由器:
*Master
*Backup
*虚拟IP地址(1.3)
主备设备切换:
Master发送Advertisement报文-》告诉Backup“我还活着”(每3s)
【8】网段与广播域
-
网段:IP地址网络号
-
广播域:ARP广播包波及范围(广播包无法穿越三层设备)
-
不同网段通信->三层设备->R网关
是否在同一网段:只看IP地址的网络号,与它们所在位置无关
*三层路由设备可以隔离广播域
*得不到MAC地址,无法通信
配置: 一个网段 -》 一个广播域
【9】不同网段通信
隔离广播域:VLAN虚拟局域网
①VLAN
Access口:打/撕Tag(VLAN10、VLAN20…)
源MAC 目MAC Tag 源IP 目IP 数据
AAA BBB 10 1.10 1.20 xxx
- 进SW贴标,出SW撕标
Tag分组,
*2SW,多根线,分别对应不同Tag,对应不同VLAN(此处不需STP生成树破环)
->一个Tag,一根线,交换机利用率低
*Trunk口:不打标签、不撕标签(高速公路);也可以限制某个VLAN(VLAN10)
Access口、Trunk口:
*交换机接口级(下拉菜单选择)
R一根线解决->单臂路由:
一个物理口虚拟成多个不同的虚拟子接口(子母弹,1:几十个)
总结:
网段与广播域区别:网络号、广播域范围
-> 一个广播域,一个网段;限制广播风暴、减少资源浪费、增强局域网安全、简化管理
如何隔离广播域:
三层设备:路由器
VLAN:
·ACCESS口:Tag标签
·MAC表:交换机的MAC表也会有Tag字段(划分了VLAN)
·TRUNK口:高速公路,默认不对标签做操作
不同VLAN通信:
只有两个VLAN:路由、三层交换机
单臂路由:为多个虚拟子接口配置IP地址,划分为不同VLAN;对端交换机的接口配置为TRUNK口
【10】访问公网
①DNS、域名解析(分布式数据库)
通信:要知道ip地址
DNS:
- 首选DNS(LDNS):PC<–>首选DNS, 递归
- 其他DNS:由首选DNS去代理询问 -> DNS存储的IP与域名对应数量有限
首选DNS<–>其他DNS,迭代
*跨运营商访问,效果差(电信、联通之间)
域名解析:
1.A记录(Address)
2.NS记录(Name Server) DNS --> 深信服AD(NS):电信给电信,联通给联通;智能寻路:电信无了、电信卡(高可用)
总结:
本地DNS->根域名DNS->顶级域名服务器->权威域名服务器 (打不过,找大哥)
nslookup www.baidu.com
查看百度有哪些对应的ip
②源网络地址转换SNAT
SIP DIP SPort DPort Data
1.10 91.33 8888 80 xx
私网 公网 随机生成(源端口号:1024-65535)
私网PC无法直接访问互联网=》包能去但是无法回
NAT:网络地址转换
- 路由器中有一个NAT映射表:
IP(源) IP(新) Port Port
1.10 7.26 8888
2.10 7.26 9999 如果两个端口号之前冲突,再重新变化后来的那个
SNAT: 源网络地址转换,源ip变化
1.静态, 1:1
2.动态, M:N
3.NAPT:网络地址端口号映射
- 若设备随机的端口号一样,再添加一个Port(路由器再随机)
总结:
为什么私网IP无法访问公网服务?
【有去无回】
SNAT:修改数据包中的源IP
·静态SNAT,1:1
·动态SNAT,M:N
·NAPT网络端口地址转换
③目的网络地址转换:DNAT
- 服务器放在私网中
- 外面防止FW,配置DNAT(类比SNAT)
总结:
·互联网用户如何访问到内网的服务(私网IP)
·将企业局域网中的服务进行发布,https:443
ftp:21
http:80
…
·进两家超市买锅(两家超市内部构造不同) -> 导购
④IPV6
- IPV4地址不够
- 应对IPV4枯竭:
DHCP
NAT:一个公网IP,代理私网多个PC
*IPV6:
- 优势:
·更大地址空间(地址长度:128位),总数:2^128
·报文头部格式更简单
·更安全,集成了IPsec安全协议->身份验证+加密功能
- 劣势:
·IPV4与IPV6互通问题 -> 天窗问题:外链图片网站未升级为IPV4,格式不统一,部分功能不可用 -> 翻译网关(深信服:AD)
·两张网的运维问题
思科模拟器链接地址:
思科模拟器链接(内含汉化包)