1当纱、通訊介質(zhì)

連接網(wǎng)絡(luò)首先要用的東西就是傳輸線，它是所有網(wǎng)絡(luò)的最小要求踩窖。常見的傳輸線有四種基本類型：同軸電纜坡氯、雙絞線、光纖和無線電波洋腮。每種類型都滿足了一定的網(wǎng)絡(luò)需要箫柳，都解決了一定的網(wǎng)絡(luò)問題。

（1）啥供、有線介質(zhì)

同軸電纜

同軸電纜的中央是同芯悯恍，軸芯外包這一層絕緣層，絕緣層外再是一層屏蔽層伙狐，屏蔽層氫電線很好地包起來涮毫，再往外就是外包皮了。由于同軸電纜的這種結(jié)構(gòu)鳞骤，它對外界具有很強(qiáng)的抗干擾能力窒百。同軸電纜是局域網(wǎng)最普遍使用的傳輸媒體。

雙絞線

在局域網(wǎng)中豫尽，雙絞線用的非常廣泛，這主要是因為他們低成本顷帖、告訴杜賀高可靠性美旧，雙絞線有兩種基本類型：屏蔽雙絞線（STP）渤滞、和非屏蔽雙絞線（UTP），它們都是由兩根絞在一起的導(dǎo)線來形成傳輸電路榴嗅。兩根導(dǎo)線絞在一起主要是為了防止干擾（線對上的差分信號具有共模抑制干擾的作用）妄呕。

光纖

有些網(wǎng)絡(luò)應(yīng)用要求很高，它要求可靠嗽测、高速地長距離傳送數(shù)據(jù)绪励，這種情況下，光纖就是一個理想的選擇唠粥。光纖具有園柱形的形狀疏魏，由三部分組成：纖芯、包層和護(hù)套晤愧。纖芯是最內(nèi)層部分大莫，它由一根或多根非常細(xì)的由玻璃或塑料制成的絞合線或纖維組成。每一根纖維都由各自的包層包著官份，包層是玻璃或塑料涂層只厘，它具有與纖芯不同的光學(xué)特性。最外層是護(hù)套舅巷，它包著一根或一束已加包層的纖維羔味。護(hù)套是由塑料或其他材料制成的，用它來防止潮氣钠右、擦傷介评、壓傷或其它外界帶來的危害。

無線介質(zhì)

傳輸線系統(tǒng)除同軸電纜爬舰、雙絞線们陆、和光纖外，還有一種手段是根本不使用導(dǎo)線情屹，這就是無線電通信坪仇，無線電通信利用電磁波或光波來傳輸信息，利用它不用敷設(shè)纜線就可以把網(wǎng)絡(luò)連接起來垃你。無線電通信包括兩個獨特的網(wǎng)絡(luò)：移動網(wǎng)絡(luò)的無線LAN網(wǎng)絡(luò)椅文。利用LAN網(wǎng)，機(jī)器可以通過發(fā)射機(jī)和接收機(jī)連接起來惜颇；利用移動網(wǎng)皆刺，機(jī)器可以通過蜂窩式通信系統(tǒng)連接起來，該通信系統(tǒng)由無線電通信部門提供凌摄。

2羡蛾、靜態(tài)路由

（1）、什么是路由

路由：一種三層數(shù)據(jù)交換方式锨亏。把一個數(shù)據(jù)包從一個設(shè)備（數(shù)據(jù)鏈路）發(fā)送到不同網(wǎng)絡(luò)里的另一個設(shè)備（數(shù)據(jù)鏈路）上去痴怨。這些工作依靠路由器來完成忙干。路由器并不關(guān)心主機(jī)，他們只關(guān)心網(wǎng)絡(luò)的狀態(tài)和決定網(wǎng)絡(luò)中的最佳路徑
路由的實現(xiàn)依靠路由器中的路由表來完成浪藻；對于每個不同的可路由協(xié)議來說捐迫，在路由器會分別構(gòu)造一張路由表。

每個路由器針對每個可路由協(xié)議來說只能有一張路由表

（2）爱葵、路又能做什么

• 識別分組中的目的ip地址

• 識別分組中源ip地址---主要在策略路由中存在

• 在路由表中發(fā)現(xiàn)可能的路徑

• 選擇路由表中到達(dá)目標(biāo)最好的路徑

• 維護(hù)和檢查路由信息

3施戴、什么是路由表

[root@nfs ~]# show ip route

1．靜態(tài)路由表

由系統(tǒng)管理員事先設(shè)置好固定的路由表稱之為靜態(tài)（static）路由表，一般是在系統(tǒng)安裝時就根據(jù)網(wǎng)絡(luò)的配置情況預(yù)先設(shè)定的萌丈，它不會隨未來網(wǎng)絡(luò)結(jié)構(gòu)的改變而改變赞哗。

2．動態(tài)路由表

動態(tài)（Dynamic）路由表是路由器根據(jù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況而自動調(diào)整的路由表。路由器根據(jù)路由選擇協(xié)議（Routing Protocol）提供的功能浓瞪，自動學(xué)習(xí)和記憶網(wǎng)絡(luò)運(yùn)行情況懈玻，在需要時自動計算數(shù)據(jù)傳輸?shù)淖罴崖窂健?/p>

永久特性

攜帶permanent參數(shù)，使按需鏈路中接口關(guān)閉乾颁，不會導(dǎo)致路由條目消失涂乌。但命令clear ip route *會刪除所有路由，包括帶有永久特性的靜態(tài)路由英岭。

浮動特性

設(shè)置管理距離大于IGP的靜態(tài)路由作為浮動靜態(tài)路由湾盒，IGP工作正常時不會出現(xiàn)，IGP路由消失后出現(xiàn)在路由表中诅妹，實現(xiàn)冗余備份罚勾。

遞歸路由

只有BGP的下一跳地址必須為直連接口的地址，靜態(tài)路由可以選擇除目的網(wǎng)段外的其他任何三層設(shè)備地址吭狡。
PC無條件接收Proxy-ARP Reply并加入ARP表尖殃；路由器先判斷應(yīng)答者所在網(wǎng)段是否可達(dá)。
遞歸路由對路徑選擇無影響划煮，只是為了使路由器能接收代理ARP回復(fù)送丰。ARP表存放后到的更新。
如要精確選路弛秋，使用命令clear arp-cache清空arp表器躏，并使用命令no ip arp-proxy關(guān)閉不所需要路徑特定接口的代理ARP功能。

缺省路由

邊緣路由器除添加明細(xì)路由外蟹略，還需設(shè)置一條缺省路由指向外網(wǎng)登失。

路由線路圖：

圖片.png

4、iptables配置-----NAT地址轉(zhuǎn)換

（1）挖炬、iptables nat 原理

同filter表一樣揽浙，net表也有三條缺省的“鏈”（chains）：

• PREROUTING:目的DNAT規(guī)則
  把從外來的訪問重定向到其他的機(jī)子上，比如內(nèi)部SERVER，或者DMZ捏萍。
  因為路由時只檢查數(shù)據(jù)包的目的ip地址太抓，所以必須在路由之前就進(jìn)行目的PREROUTING

DNS

系統(tǒng)先PREROUTING DNAT翻譯——>再過濾（FORWARD）——>最后路由空闲。
路由和過濾（FORWARD)中match 的目的地址令杈，都是針對被PREROUTING DNAT之后的。

• POSTROUTING:源SNAT規(guī)則
  在路由以后在執(zhí)行該鏈中的規(guī)則碴倾。
  系統(tǒng)先路由——>再過濾（FORWARD)——>最后才進(jìn)行POSTROUTING SNAT地址翻譯
  其match 源地址是翻譯前的逗噩。

固定public 地址（外網(wǎng)接口地址）的最基本內(nèi)訪外SNAT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to 你的eth0地址

多個內(nèi)網(wǎng)段SNAT,就是多條SNAT語句

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

對于”內(nèi)網(wǎng)訪問內(nèi)網(wǎng)SERVER在外網(wǎng)的地址”的特殊處理

• 網(wǎng)內(nèi)客戶機(jī)10.4.3.119發(fā)起一個訪問請求給映射后的地址124.126.86.138（10.4.3.150）
• 防火墻收到這個向124.126.86.138請求后根據(jù)策略表匹配發(fā)現(xiàn)是一個對內(nèi)部服務(wù)器10.4.3.150映射，防火墻會通過純路由的方式將數(shù)據(jù)包轉(zhuǎn)發(fā)給服務(wù)器 10.4.3.150
• 服務(wù)器10.4.3.150收到請求后跌榔，發(fā)現(xiàn)源地址為10.4.3.119的客戶機(jī)發(fā)來了一個請求异雁，并且這臺主機(jī)與自己在同一個網(wǎng)段內(nèi)，于是直接將回應(yīng)包SYN+ACK發(fā)送給主機(jī)10.4.3.119（就不再經(jīng)過FW）
• 10.4.3.119收到這個包后會感覺很奇怪僧须，因為它從來就沒有給10.4.3.150發(fā)送過連接請求報文（他只給124.126.86.138)發(fā)送過纲刀，所以就會將回應(yīng)報文丟棄
  解決：增加一個朝向內(nèi)部網(wǎng)10.4.3.150訪問的POSTROUTING SNAT

5、把Linux變成路由（iptables+dhcp服務(wù)）

ip地址
子網(wǎng)掩碼
網(wǎng)關(guān)
dns

1担平、安裝dhcp服務(wù)
[root@yangdan ~ ]# yum install dhcp -y

2示绊、配置dhcp服務(wù)
[root@yangdan ~ ]# vim /etc/dhcpd.conf

subnet 192.168.0.0 netmask 255.255.255.0{    #192.168.0.0網(wǎng)絡(luò)號，255.255.255.0子網(wǎng)掩碼
range 192.168.0.26 192.168.0.200        #ip地址分配范圍
option donmain-name-servers 223.5.5.5            #指定給客戶端分配的dns地址
option routers 192.168.0.12;                  #指定給客戶端分配的網(wǎng)關(guān)ip option broadcast-address 192.168.0.255;       #指定廣播地址
default-lease-time 3600;                      #dhcp默認(rèn)租約時間
max-lease-time 7200;                          #dhcp最長租約時間
}
3暂论、重啟
[root@yangdan ~ ]# systemctl start  dhcpd
[root@yangdan ~ ]# systemctl enable dhcpd

6面褐、實現(xiàn)多層端口映射

[root@yandan ~ ]# iptables -t nat -A PREROUTING -d 10.0.0.12 -p tcp --dport 3022 -j DNAT --to-destination 192.168.0.2:22

[root@yangdan ~ ]# iptables -t nat -A PREROUTING -d 10.0.0.12 -p tcp --dport 1022 -j DNAT --to-destination 192.168.0.50:22
[root@yangdan ~ ]# iptables -t nat -A PREROUTING -d 10.0.0.12 -p tcp --dport 1080 -j DNAT --to-destination 192.168.0.50:80

參數(shù)：
-t nat表
-A PREROUTING鏈 數(shù)據(jù)包 進(jìn)來的時候做處理
-d 目的ip是10.0.0.12
-p tcp協(xié)議
-d port 目的端口
-j 指定動作 DNAT
DNAT 做目的ip地址轉(zhuǎn)換
--to-destination 192.168.0.2:22
ptables -t nat -A PREROUTING -d 10.0.0.12 -p tcp --dport 1080 -j DNAT --to-destination 192.168.0.50:80

7、上網(wǎng)行為管理器panabit（unix）FREEBSD

panabit 使用freebsd系統(tǒng)0