计算机网络技术
目录
一、交换机配置
1、以太网MAC地址(交换机设备工作在TCLP的数据链路层)
2、Ethernet II帧格式
3、交换机工作原理
4、交换机以太网接口的工作模式
4.1、交换机以太网接口双工模式
4.2、交换机以太网接口速率
5、Cisco交换机的命令行
二、路由器配置
1、IP数据包格式
2、IPv6数据包格式
3、广播与广播域
三、传输层协议
四、Linux防火墙-Iptables
2、 Iptables 组成
链(Chain)
数据包过滤的匹配流程
3、 Iptables防火墙配置
iptables命令
一、交换机配置
(交换机设备又被称作透明设备)
1、以太网MAC地址(交换机设备工作在TCLP的数据链路层)
以太网地址用来识别一个以太网上的某个单独的设备或一组设备。
2、Ethernet II帧格式
3、交换机工作原理
使用模拟器构建局域网
构建IP的规划
点击设备,再点击Desktop,设置IP地址,给所有的终端都设置IP地址
点击交换机,点击CLI
进入用户模式,可执行show命令,查看当前交换机的版本
输入enable,进入特权模式
输入? 查看所有信息
可查看show version 以及show interface网卡信息
输入命令show mac-address-table 地址表
点击模拟器上的终端,点Desktop,选run打开命令提示符,输入指令ping加IP地址 完成一个数据包
ARP协议地址解析协议,将已知的IP地址解析为mac地址
mac地址表的超时时间为300秒交换机的工作原理
1.交换机刚接触网络处于初始状态
2.会接收到来自于连接主机的未知数据帧(包含学习过程,学习未知数据帧的源mac)
3.广播数据帧
4.指定主机回应
5.回应到交换机后再次学习源mac
6.让主机实现了单播通信
4、交换机以太网接口的工作模式
4.1、交换机以太网接口双工模式
单工 :两个数据站之间只能沿单一方向传输数据
半双工 :两个数据站之间可以双向数据传输,但不能同时进行
全双工 :两个数据站之间可双向且同时进行数据传输
4.2、交换机以太网接口速率
接口连接时进行协商
协商失败则无法正常通信
5、Cisco交换机的命令行
用户模式
特权模式:enable
全局模式:configure terminal
接口模式:enterface FastEthernet0/1
vlan模式:vlan dataabase
二、路由器配置
网络层作用: 定位,路由,流控; 封装IP 头部
1、IP数据包格式
| | 长度(位) | 描述 |
|---|---|---|
| 版本 (Version) | 4 | 标识IP协议版本,IPv4为4,IPv6为6。 |
| 首部长度 (IHL) | 4 | 以4字节为单位,表示IP头部总长度(如5表示20字节,6表示24字节含选项)。 |
| 服务类型 (Type of Service, ToS) | 8 | 优先级和QoS策略(现代网络中常称为DSCP)。 |
| 总长度 (Total Length) | 16 | 整个IP数据包长度(头部+数据),最大值65535字节(受MTU限制)。 |
| 标识 (Identification) | 16 | 唯一标识数据包,用于分片重组。 |
| 标志 (Flags) | 3 | - 保留位 - 不分片 (DF):禁止分片 - 更多分片 (MF):后续还有分片。 |
| 片偏移 (Fragment Offset) | 13 | 分片在原始数据中的位置(单位:8字节,实际偏移需乘以8)。 |
| 生存时间 (TTL) | 8 | 防止环路,每跳减1,归零则丢弃。 |
| 协议 (Protocol) | 8 | 上层协议类型(如TCP=6,UDP=17,ICMP=1)。 |
| 首部校验和 (Header Checksum) | 16 | 校验头部完整性(仅IPv4,IPv6无此字段)。 |
| 源地址 (Source Address) | 32 | 发送方IPv4地址(如192.168.1.1)。 |
| 目的地址 (Destination Address) | 32 | 接收方IPv4地址。 |
| 选项 (Options) | 可变(0~40字节) | 扩展功能(如时间戳、路由记录),需按4字节对齐。 |
2、IPv6数据包格式
IPv6头部固定为 40字节,简化了字段并支持扩展头部:
| 字段 | 长度(位) | 描述 |
|---|---|---|
| 版本 (Version) | 4 | 固定为6。 |
| 流量类型 (Traffic Class) | 8 | 类似IPv4的ToS,用于QoS。 |
| 流标签 (Flow Label) | 20 | 标识数据流,实现端到端服务质量控制。 |
| 有效载荷长度 (Payload Length) | 16 | 数据部分的长度(不含头部),最大支持65535字节(扩展头部可突破此限制)。 |
| 下一个头部 (Next Header) | 8 | 标识扩展头部类型或上层协议(如TCP=6,UDP=17)。 |
| 跳数限制 (Hop Limit) | 8 | 类似IPv4的TTL,每跳减1,归零则丢弃。 |
| 源地址 (Source Address) | 128 | 发送方IPv6地址(如2001:0db8:85a3::8a2e:0370:7334)。 |
| 目的地址 (Destination Address) | 128 | 接收方IPv6地址。 |
MAX TTL (每经过一个路由器减 1 ):
windows : 64
linux : 128
网络设备: 255
3、广播与广播域
广播与广播域
广播:将广播地址做为目的地址的数据帧
广播域:网络中能接收到同一个广播所有节点的集合
MAC地址广播
广播地址为FF-FF-FF-FF-FF-FF
IP地址广播
广播MAC地址为FF-FF-FF-FF-FF-FF
广播IP地址为IP地址网段的广播地址
4.1 、路由的概念
跨越从源主机到目标主机的一个互联网络来转发数据包的过程
路由表
路由器中维护的路由条目的集合
路由器根据路由表做路径选择
路由表的形成
直连网段
配置 IP 地址,端口 UP 状态,形成直连路由
非直连网段 
静态配置
动态学习
注意:路由器连接的两个网段不能相同
在路由器上的接口需要配置IP地址去连接不同的局域网
将2.0区域主机的网关地址设置为fa0/1的接口IP
一般将地址设为最小IP或最大IP
配置f0/0的地址(必须写标准的子网掩码表示格式)
输入指令no shutdown:将接口从“管理员关闭”(administratively down)状态切换为“启用”
否则接口状态异常
将路由器两侧接口输入好IP,输入指令:show IP route;查看路由条目
在主机终端配置输入网关,即可联机
(mac地址不能跨网络学习)即路由器的功能:隔离广播
增设一个路由器2,一个交换机,两个主机终端
路由器1与路由器2之间的局域网地址设置为192.168.3.0/30(/30只有两个地址刚好对应两个路由器)
路由器2下面区域网络地址设为192.168.4.0/24
4区域连接路由器2的网关地址设为:192.168.4.254/24
路由器1设为3.1/30
路由器2设为3.2/30
实验:4.1发送文件至1.1失败
在4.1取得路由器2的mac地址后重新封装无法发送
原因:路由器2不识得1.1的网络:路由器1不识得4.1的网络
方法:路由器1认识1.1的网络IP,让路由器2通过路由器1认识1.1的IP,(静态路由条目)
1.路由器2进入全局模式,输入指令IP route 192.168.1.0.255.255.255.0(1.1的网络id和子网掩码)192.168.3.1(路由器1的地址)
2.输入指令show ip route
3.在路由器1里面同样进入全局模式,输入指令IP route 192.168.4.0.255.255.255.1(4.1的网络id和子网掩码)192.168.3.2(路由器2的地址) 4.4 、静态路由
静态路由
由管理员手工配置的,是单向的
缺乏灵活性
4.5 、默认路由
默认路由
当路由器在路由表中找不到目标网络的路由条目时,路由器把请求转发到默认路由接口
数据包每经过路由器之后会改变自身的原mac
路由器转换特点总结:IP不变mac变
当路由器接受到数据包时查看mac表,有则转发,无则放弃三、传输层协议
TCP/IP协议族的传输层协议主要有两个:
1、TCP(Transmission Control Protocol ),传输控制协议
TCP是面向连接的、可靠的进程到进程通信的协议
TCP提供全双工服务,即数据可在同一时间双向传输TCP报文段
TCP将若干个字节构成一个分组,叫报文段(Segment)
TCP报文段封装在IP数据报文中
ACK:确认控制位
SYN:链接控制位
FIN:断开控制位序号:发送端为每个字节进行编号,便于接收端正确重组
确认号:用于确认发送端的信息
窗口大小:用于说明本地可接收数据段的数目,窗口大小是可变的
SYN:同步序号位,TCP需要建立连接时将该值设为1
ACK:确认序号位,当该位为1时,用于确认发送方的数据
FIN:当TCP断开连接时将该位置为1
| 端口 | 协议 | 说明 |
| 21 | FTP | FTP 服务器所开放的控制端口 |
| 23 | TELNET | 用于远程登录,可以远程控制管理目标计算机 |
| 25 | SMTP | SMTP 服务器开放的端口,用于发送邮件 |
| 80 | HTTP | 超文本传输协议 |
| 110 | POP3 | 用于邮件的接收 |
2 、 UDP ( User Datagram Protocol ),用户数据报协议
无连接、不可靠的传输协议
花费的开销小
UDP 报文的首部格式
| 源端口号(16) | 目标端口号(16) |
| UDP长度(16) | UDP校验(16) |
UDP 长度:用来指出 UDP 的总长度,为首部加上数据。
校验和:用来完成对 UDP 数据的差错检验,它是 UDP 协议提供的唯一的可靠机制
| 端口 | 协议 | 说明 |
| 69 | TFTP | 简单文件传输协议 |
| 111 | RPC | 远程过程调用 |
| 123 | NTP | 网络时间协议 |
四、Linux防火墙-Iptables
Iptables 是一个用户空间程序,可以用于设置和管理 Linux 操作系统的内核级防火墙。它通过表、链和规则组成,可以灵活地根据不同的需求进行配置。
iptables 具有以下特点
Iptables 作为内核级别的防火墙,具有高效、稳定、安全等优点。Iptables 的表、链、规则结构非常灵活,可适应各种不同的网络环境和应用场景。Iptables 相对于其他防火墙工具而言比较容易学习和掌握,并且拓展性非常强2、 Iptables 组成
Iptables 的核心是由表(table)、链(chain)和规则(rule)三部分组成的。
在 iptables 中,表是一个规则的集合,每个表都包含若干个链和一些相关的规则。常用的五种 table 如下:- raw表:确定是否对该数据包进行状态跟踪。包含两个规则链,OUTPUT、PREROUTING。
- mangle表:修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链,INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。
- nat表:负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、PREROUTING、POSTROUTING。
- filter表:负责过滤数据包,确定是否放行该数据包(过滤)。包含三个规则链,INPUT、FORWARD、OUTPUT。
表之间的优先级数据包到达防火墙时,规则表之间的优先顺序raw > mangle > nat > filter
链(Chain)
- INPUT链: 当接收到防火墙本机地址的数据包(入站)时,应用此链中的规则。
- OUTPUT链: 当防火墙本机向外发送数据包(出站)时,应用此链中的规则。
- FORWARD链: 当接收到需要通过防火墙发送给其他地址的数据包(转发)时,应用此链中的规则。
- PREROUTING链: 在对数据包作路由选择之前,应用此链中的规则,用来修改目的地址,如DNAT。
- POSTROUTING链: 在对数据包作路由选择之后,应用此链中的规则,用来修改源地址,如SNAT
数据包过滤的匹配流程
入栈——转发——出站
入站
入站数据包从A网络发到B网络,首先发到防火墙,先后顺序经过有PREROUTING链的三个表(raw、mangle、nat),如果都是放通状态的会经过路由选择,然后根据目的地址一层一层往上送,经过有INPUT的两个表(mangle、filter),一直送到应用程序。
转发
目的地不是本机,数据包先从A网络过滤,经过PREROUTING链,看是否是自己的目的地址,如果是外网到内网需要用nat转换成内网IP,找到内网用户,经过FORWARD链进行过滤,允许放通的到达POSTROUING链,再把内网地址转换成公网,这样数据包才能回去;如果是内网往外网发顺序就是反过来
出站
从本机的应用程序发出来, 经过路由选择,让路由知道从哪里发,先后顺序经过有OUTPUT链的四个表(raw、mangle、nat、filter),都放通后到达POSTROUING链的两个表(mangle、nat),如果没有什么转换地址,就出站。
3、 Iptables防火墙配置
-
iptables命令
链名必须大写,控制类型必须大写| 选项 | 作用 |
|---|---|
| -t | 指定表名(raw、mangle、nat、filter) |
| -j | 指定控制类型 |