MTU与IP分片(可选内容了解)这里来讲一个比较有趣的内容,相信大家都有设置过家用路由器的经历,不知道有没有发现一个事情,在设置拨号的时候,里面有一个MTU,值通常是1492或者1480,如果接入方式改为DHCP的情况下,MTU就变成了1500,为什么呢?(1)了解MTU的作用Maximum Transmission Unit(MTU):最大传输单元。还是以上面的例子,为什么路由器拨号的时候要把M
前言学习了IP协议后,都知道IP协议本身是不提供可靠性保障的,那么数据包在这么复杂的互联网环境中传输,总会遇到问题,如果遇到问题后,被丢弃、无回应,可能作为工程师的我们来说都不知道发生了什么事,更别提普通用户了,所以数据包发送出去如果被丢弃、或者某些原因造成的不可达,需要一种协议来进行通知原因,这个协议就是这篇要讲解的ICMP。ICMP有啥功能ICMP全称叫做Internet Control Me
不同网段通信的过程不同网段就分两种了,同一个局域网下面,不同网段之间的通信,或者是从局域网去往互联网的通信,那么这个过程又是怎么样的呢?还记得第二篇这个内容吗,访问者把数据交给网关,当时候是没有讲解这个里面的细节部分,这里就来填坑,之前介绍的时候省略掉了ARP的过程,那这里就用模拟器来还原下,由于现在还没学习过路由交换的知识点,这里简化下环境。看到这个图是不是比较迷糊,由于我们还没学习路由的知识点
填坑的开始在第二篇的时候以及第五篇都提到过,在通信过程中,A发送数据包给B,三层需要封装源目IP,二层需要封装源目MAC,这样才能够完成通信,那么在一个局域网中,甚至互联网中,二层的MAC该怎么去封装呢?又是如何去知道对方的MAC是多少的呢?这篇就来填这个之前一直说的这个坑,并且这个内容的知识点是学习后续的关键理论以及整个数据通信的核心部分,这个学好了在后续学习路由交换的技术以及排错都会有很大的帮
(1)子网掩码之所以出现大量地址浪费,在于早期的地址分类采用的是固定的网络位与主机位的长度,不能灵活的规划,所以在后面打破了这个规则,32比特的IP还是分为网络号与主机号,但是不在采用固定的长度形式,可以根据环境需求来变化长度,那就带来了一个问题,之前的主机与网络设备都是通过固定分类来识别的,而现在网络号的长度不确定,那怎么来识别呢?这个识别的功能就是子网掩码。(打破这个规则的是CIDR与VLSM
回顾之前上一篇了解了IP协议的各个字段的作用,以及提到了特别重要IP地址,在网络世界中作为通信识别的唯一寻址信息,让两台终端通信知道如何去跟回,其实网络世界更像我们现实世界的缩影,很多能在现实中找到相似的影子,特别在于寄信件的时候,里面最重要的就是地址信息,这个能是去往目的地的关键信息,现实中通过各个省份、城市、区县、区域来定位到具体位置,并且,这个地址是唯一的,不能出现重复,否则信件就不知道如何
前言在上一篇,学习了链路层的以太网协议,知道了MAC地址,在以太网中,找到对应的终端最终依靠的是MAC地址,但是在实际使用中,大家可能发现并不是使用的MAC地址,而是IP协议,比如(1)浏览器输入域名会通过DNS解析到IP地址;访问共享文件夹时,输入对方电脑的IP地址即可;在进入某个设备的后台的时候,输入对应设备的IP地址即可进入。 (2)博主比较喜欢看悬疑、推理、警匪的影视/电影,美剧
前言前面讲解了一个网址访问中的通信过程,接下来几篇来把这个过程里面一些细节的地方讲解下,这些完毕后就开始正式进入路由交换的内容了。相信大家都玩过单机游戏,记得博主最早开始喜欢玩像CS、半条命、帝国时代、魔兽争霸3、英雄无敌这些单机游戏,后来选了计算机专业后,为了更好的学习在第二学期购买了台笔记本,中午跟晚上就喜欢跟宿舍的人一起玩这种联机游戏,下面就从这样的故事来进入今天的主题内容。 我们
前言 前一篇介绍了OSI参考模型/TCP/IP协议体系每层的作用以及分层的好处,但是对于一个应用数据访问来说,在TCP/IP协议体系中,它不是独立完成的,而是各层之间共同完成,直到从物理层介质变成比特流发送出去,这一篇就以一个平时常用的网站访问来了解下整个的通信过程。(这个过程不严谨,只是让初学者理解起来更加方便,省去了一些细节的过程。)当我打开浏览器,访问自己博客时,中间经历了什么,它
网络协议在我们生活中,使用互联网是日常必不可少的事情了,经常会使用电脑或者手机去追剧、购物、聊天、办公,在使用的过程中,其实是会使用到很多的网络协议。以最常见的家庭网络举例,我们在办理了宽带后(不管从电信、联通、移动),接上一个家用无线路由器简单初始化后,对于用户而言它就可以直接使用了,它不会去关心怎么是实现的上网,上网的过程中发生了什么!但是作为学习计算机网络的我们,这个是必续了解了,毕竟以后是
关于华为设备远程登录配置开启的通用习惯1、HTTP/HTTPS相关服务 httpsecure-server enable httpserver enable 2、Telnet服务 telnetserver enable 3、SSH服务 stelnetserver enable sshuser admin authentication-type password在V200R019C10
1、正常开局最近的项目上了一台USG的6325E,需求很简单,打通外网,然后做好安全策略就行,这里用WEB开局,发现界面跟以外的不太一样,还在想E系列既然还更新新版本了进去后,会有一个明显的提示,说“当前设备未激活,功能不可用”,之前的版本都没有出现过这个,刚开始还以为是指的内容安全,没有在意。2、怀疑人生的开始开局完毕,防火墙上面测试到外网是没任何问题,可以通,包括SSL也可以拨入,这些都是防火
前言在很多时候想控制客户端上网,只能去找对应客户端所在的网段,查找到对应的IP或者MAC地址,在进行控制,而且IP并不能代表具体的某个“谁”,如果想知道“谁”做了什么,就只能通过IP去判断,在查找上面会有很大的限制。用户认证的出现用用户名代替了IP,防火墙可以不去关心你IP、MAC是多少,只看你的用户名,通过用户名来控制访问的权限、查看操作了什么,而这个用户最终关联到具体的某个主体上面去。将IP地
前言在讲解虚拟专用网时候,提到过,分为两种组网方式,一种是站点到站点的,也就是之前我们一直在讲解的内容,另外一种就是client到站点的,也就是远程拨号系列,这就是接下来要讲解的内容了。这种场景的特点为:客户端的地址不固定。且访问是单向的,即只有客户端向内网服务器发起访问。适用于企业出差员工或临时办事处员工通过手机、电脑等接入总部远程办公。可以实现的技术有PPTP、L2TP、SSL、IKEV2(目
回顾GRE配置BJ_FW身后有一个服务器,CS_FW与CD_R后面的client需要访问这个服务器,希望不把服务器暴露在公网上面,能实现的那就只有GRE与IPSec了,但是GRE没有安全性保障,IPSec有安全性,那能不能把GRE与IPSec结合起来一起使用呢?下面先回顾下GRE的配置,把各个点之前打通,然后在这个基础上面尝试下用IPSec部署,看看有什么样的效果。配置要点图里面BJ与CS是防火墙
IKE/ISKAMP的协商过程 这里主要讲解IKEV1的版本,在V1版本中有两个模式,一个主模式,一个野蛮模式(也称为积极模式),下面就以上一篇的拓扑跟配置为基础,来通过抓包来分析,先从IKE的主模式开始。IKE与IPSEC相关的配置回顾当192.168.10.1访问20.2的时候中间发生了什么事情?当192.168.10.2去ping或者其他流量访问192.168.20.2的时候,数据
IKE的出现上一篇通过IPSec实现了BJ到CS的业务互通,但是是通过手工方式把加密和验证密钥手动配置,为了保障安全性,就需要经常去修改这些密钥,小型场景还好,来来回回就这2个点,修改起来不算麻烦,但是随着企业业务发展,分支数量点增加,维护的工作量越大,最终需要投入更多成本进去。为了解决这个问题,智能密钥管家 IKE就出现了,它也加入了IPSec协议框架中,它为IPSec提供了在internet不
前言 IPSec算是比较复杂的协议之一了,标题写着“熟悉又陌生”,熟悉是IPSec这个技术应该听过很多次了,不管是在书中还是大佬聊天中说用IPSec可以实现这个需求,保护数据的安全,陌生则是并不知道IPSec具体是怎么工作的,为什么能够保证到数据的安全性,又在工作中应用这么广泛,所以这几篇也是最费心思了,博主的想法是把枯燥的固定算法等简单介绍,着重点在IPSec的整个框架以及在配置以及排
GRE的其他特性 上一篇光讲解配置就花了大量的篇幅,还一些特性没有讲解的,这里在来提及下。1、动态路由协议在上一篇中是使用的静态路由,那么在动态路由协议中应该怎么配置呢? undoip route-static 192.168.20.0 255.255.255.0 Tunnel0undo ip route-static 192.168.10.0 255.
GRE隧道是如何让异地局域网互通的?有这样一个环境,在北京的客户端内网是192.168.10.1想要去访问在长沙内网的服务器192.168.20.2的80服务,而客户又不想把服务器映射到公网对外发布,只想给企业内的进行访问,如果是你会怎么实现? 假设假设按照局域网互通的方法,两个防火墙之间通过静态路由相互指定走公网出去,会发生什么事?(1)192.168.10.1去访问192.168.2
虚拟专用网(VPN)相信IT人员是最熟悉的了,就算是一个不懂技术的多多少少也听过这个技术名词,特别是去年疫情其间流行的远程办公,大部分就通过VPN技术实现的,下面博主用实际场景介绍来带你走进新的知识点篇,企业组网常见的VPN系列。 异地局域网如何互通? 对于局域网互通相信大家都懂,多个网段有一台三层交换机,配置VLANIF打通即可,这样局域网之间就可以相互通信了,那么异地局域网
基于链路质量的负载分担(最后一个模式)这个特意放到结束篇来讲解,主要是在实际中用的并不是特别的多(博主暂时是没有用过该模式),还一个原因是在实验环境也很难呈现出这样的现象,最终决定放在结束篇讲解,作为一个简单的配置介绍,以及注意的地方。链路质量在实际中使用很少,目前博主没用上过,这里做个小实验感受下效果 配置步骤(有一个清晰的思路) 配置智能选路的思路在第25篇已经
基于链路的权重负载分担(真机演示)这里博主采用真机演示,模拟器只能配置没办法模拟出效果,真机能够真实的体验出效果,更好的去理解,所以这边采用真机配置了。环境简化了,防火墙内网接了一台测试电脑(博主用的),外网对接了两个线路,上网对接方式都是DHCP,一个宽带是20M,一个宽带是50M,我们来看看基于链路权重如何配置,以及需要注意什么。 需要考虑的问题如果在实际中遇到这样的需求,需要根据客
简介上一篇介绍了第一种方案:主备方式,在传统方案里面还有三种比较常用的,这一篇就来了解了解下是哪三种。 方案二:外网负载均衡这种方式有一定的局限性,但是配置是最简单的。(1)要求同一个运营商 (2)速率要求一样,否则会出现某一条带宽被占满导致网络访问缓慢以及丢包的情况。这里实验环境用的真机,一台6307E接了2个宽带,同运营商的50M速率,来看看直接使用
回顾下传统选路的几种方式(1)负载均衡:有两条默认路由同时存在路由表,防火墙通过算法自动选择一条线路出去。(2)主备模式:配置了优先级,比如默认走电信,联通备用。(3)基于内网的“负载分担”:比如某几个网段走电信,某几个网段走联通(4)基于ISP选路:比如电信走电信、联通走联通 两条外线都是同一个运营商场景两个外网线路是不同运营商场景上面对四种方式的作用与场景做了一个简单的回顾,对于外网
前言 如今的互联网时代,企业对于网络的要求越来越高,不管是从带宽还是可靠性方面考虑,会想运营商租用两条(甚至多条)的外网带宽,可能是同一个ISP的,也可能是不同的ISP的,随之带来的问题就是多条外网线路如何去规划、配置成了一个头疼的事情,接下来博主会从多方面讲解关于选路的内容,相信学习完选路的专题后对于规划、配置都有很大的帮助。 什么是选路?在之前的内容里面除了在NAT se
服务器有两个外网的时候,如何都能通过外网访问服务环境介绍:一个非常普通的环境,但是怪就怪在服务器这块,服务器有两个网卡,他本身有一个外网上网,这个时候客户想把这个服务器加入到防火墙的网络里面来,怎么才能够让公网的用户通过防火墙的外网地址 202.100.1.1:9898访问到服务器 192.168.10.1的80。(现在外网可以直接通过223.108.3.118直接访问80服务,但是通过202.1
需求:客户外网是ADSL拨号,但是可以获取到动态的公网地址,现在有一台服务器需要对外发布服务,但是存在一个问题就是ADSL拨号在一定时间后,运营商会回收这个地址,ADSL会重新拨号获取新的地址,本身客户记住的是A地址,但是重拨后换成了B地址,导致业务访问失败,需要解决地址变化带来的访问问题,解决这个就需要用到标题提到的一个技术叫做DDNS。简单了解下DDNS是干嘛的DDNS叫做动态域名解析,DDN
如果网关是在核心设备上面,还能用MAC地址进行控制吗?办公区域的网段都在三层上面,防火墙还能基于MAC来控制吗?采用正常配置模式的步骤与思路(1)配置思路与上面一样(2)与上面区别的地方在于网关都配置在三层交换机上面,三层需要与防火墙有一个对接(3)三层需要划分VLAN以及写默认路由,防火墙需要写回程路由当这些配置完成后,测试你会发现基于MAC控制的安全策略会失效!!,这是因为数据包在经过一个三层
案例四:如果想限制某些终端能上网,哪些不能上网有什么方法呢? 实际中有这样的需求,客户那边希望某些区域只能boss上网或者boss随时都可以上,但是员工需要休息时间才能上,针对这样的需求我们来看看怎么去实现!采用正常配置模式的步骤与思路(1)防火墙确定好内外网接口,配置对应的对接方式以及加入安全区域,开启DHCP(2)关于只让某一个能够上网或者不上网,在防火墙里面控制有两个办法,第一个是
Copyright © 2005-2025 51CTO.COM 版权所有 京ICP证060544号
