Linux网络——Day4——动态路由、NAT

动态路由 
  动态路由特点 
根据网络拓扑或流量变化,由路由器通过路由协议自动设置, 减少了管理任务,但占用了网络带宽,适合ISP服务商、广域网、园区网等大型网络

OSPF协议
  Open Shortest Path First ( 开放式最短路径优先)

  OSPF区域
    为了适应大型的网络,OSPF在AS内划分多个区域,其中骨干区域Area 0这个必须要有,他连接着其他区域

  每个OSPF路由器只维护所在区域的完整链路状态信息

  区域ID可以表示成一个十进制的数字,也可以表示成一个IP

启动OSPF路由进程
  Router(config)# router  ospf  [进程编号id]
指定OSPF协议运行的接口和所在的区域
  Router(config-router)# network  [网段]  [反掩码]  area [区域号]

动态路由原理:
  两个相连的路由成为邻居,如果他们都开启了ospf动态路由,就会相互学习,把对方的路由表中的信息学来,从而使网络中的路由相互都能通信


TCP和UDP协议

TCP
  传输控制协议,可靠的、面向连接的协议,但是传输效率低

UDP
   用户数据报协议,传输效率高,但是不可靠的、无连接的服务

TCP的三次握手与四次断开
  ACK    应答回复
  SYN    连接请求
  FIN     断开请求

  三次握手:A发送SYN  --->  B接收到后发送SYN和ACK  --->  A再反馈ACK
  四次断开:A发送FIN  --->  B接收到后发送ACK,并且完成自己正在进行的数据传递  --->  B在传递结束后发送SYN  --->  A再反馈ACK

TCP的应用

端口  协议  说明
21 FTP  FTP服务器所开放的控制端口
23 TELNET  用于远程登录,可以远程控制管理目标计算机
25 SMTP  SMTP服务器开放的端口,用于发送邮件
80 HTTP  超文本传输协议
53 DNS  域名服务,当用户输入网站的名称后,由DNS负责将它解析成IP地址,这个过程中用到的端口号是53

UDP
   UDP首部格式

源端口号(16) 目标端口号(16)
UDP长度(16) UDP校验和(16)
数据

  UDP长度:用来指出UDP的总长度
  校验和:用来完成对UDP数据的差错检验,它是UDP协议提供的唯一的可靠机制

UDP端口及应用

端口 协议 说明
69 TFTP 简单文件传输协议
123 NTP 网络时间协议
53 DNS 域名服务

UDP的流控和差错控制
  UDP缺乏可靠机制,只有校验和来提供差错控制
  如果出现丢包需要上层协议来提供差错控制:例如TFTP协议


访问控制列表概述
  访问控制列表(ACL):
     读取第三层、第四层包头信息,根据预先定义好的规则对包进行过滤,访问控制列表的处理过程

     如果匹配第一条规则,则不再往下检查,路由器将决定该数据包允许通过或拒绝通过。
     如果不匹配第一条规则,则依次往下检查,直到有任何一条规则匹配。
     如果最后没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包。

  访问控制列表的类型:
     标准访问控制列表,基于源IP地址过滤数据包,列表号是1~99 

  扩展访问控制列表
    基于源IP地址、目的IP地址、指定协议、端口等来过滤数据包,列表号是100~199 

标准访问控制列表
  配置:先创建控制列表再应用到接口上。
  标准访问控制列表的创建
     Router(config)# access-list  [列表编号]  deny  [IP]  [反子网掩码]
  列表编号如果不存在就创建 ,存在就是修改其信息, deny 表示拒绝,permit  表示允许 ,反子网掩码中0表示严格匹配,255表示匹配通配,表明这一位不需要进行匹配操作

  隐含拒绝语句,在所有匹配结束后,默认有下面这个判断在最后:
     Router(config)#access-list  1  deny  0.0.0.0  255.255.255.255

 注:access-list  1  deny  192.168.1.1  0.0.0.0 ===  access-list  1  deny  host  192.168.1.1  ---> 表示192.168.1.1这个IP不能通过
       access-list  1  deny  0.0.0.0  255.255.255.255 === access-list  1  deny  any  ---> 表示拒绝所有

将ACL应用于接口
   Router(config-if)#ip  access-group  [列表号 in或out]

删除已建立的访问控制列表
   Router(config)#no  access-list [列表号]

接口上取消ACL
   Router(config-if)#no  ip  access-group  [列表号 in 或out]

查看访问控制列表
  Router#show  access-lists

删除ACL
  Router(config)#no  access-list  列表号
  注:不能删除单条ACL语句,只能删除整个ACL。


NAT(网络地址转换)
  作用:通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上。

  优点:
     节省公有合法IP地址
     处理地址重叠
     安全性

  缺点:
     延迟增大
     配置和维护的复杂性

NAT实现方式

静态转换
   IP地址的对应关系是一对一,而且是不变的,借助静态转换,能实现外部网络对内部网络中某些特设定服务器的访问。
   静态NAT配置:
      配置接口IP及路由
         Router(config)#ip nat inside source static 192.168.1.1 61.159.62.131

      在内外接口上启用NAT:
         出口配置Router(config-if)#iip  nat  outside
         入口配置Router(config-if)#iip  nat  inside 

   端口映射:   
   在内网服务区上配置端口映射,将其的80端口映射为公网的一个IP的80端口,将其web服务发布到Internet。
   注意只有外网的设备可以连接内网映射的这个公网的IP的web服务,而内网服务器并不能和外网相连。

   配置:
    Router(config)#ip nat inside source static  [tcp或者udp]  [内网的IP地址]  [端口号]  [注册的公网IP]  [端口号]

端口多路复用(PAT)
    通过改变外出数据包的源IP地址和源端口并进行端口转换,内部网络的所有主机均可共享一个合法IP地址实现互联网的访问,节约IP。

   PAT的配置:
      Router(config)# access-list  [列表编号]  deny  [IP]  [反子网掩码]
      Router(config)#ip nat inside source list [acl控制列表号] interface g0/[端口号] overload

NAT两种实现方式的区别:
  静态转换的对应关系一对一且不变,并且没有节约公用IP,只隐藏了主机的真实地址。
  端口多路复用可以使所有内部网络主机共享一个合法的外部IP地址,从而最大限度地节约IP地址资源。

开启nat排错功能
    Router#debug  ip  nat    其中S表示源地址  D表示目的地址

关闭nat排错功能
    Router#undebug  ip  nat

NAT的原理:
  静态是吧内网的一个IP经过路由后,变成一个公网IP,可以实现,内外网互通,其存在的主要目的是,在需要的时候配置端口映射,而这个只能是外网连内网。
  PAT是用过acl控制列表,按照列表要求,允许或拒绝某些IP转发,把其转换为路由器接往外网的端口号作为连接外网的IP,有数据发出的时候,路由器会随机生成一个端口号,并且记录下来,当数据返回的时候,再转发给内网IP地址,不过这只能是内网请求访问外网连接,外网不能主动连接内网。

你可能感兴趣的:(网络)