1、通訊介質

連接網(wǎng)絡首先要用的東西就是傳輸線，它是所有網(wǎng)絡的最小要求。常見的傳輸線有四種基本類型：同軸電纜、雙絞線、光纖和無線電波。每種類型都滿足了一定的網(wǎng)絡需要，都解決了一定的網(wǎng)絡問題。

（1）、有線介質

同軸電纜

同軸電纜的中央是同芯，軸芯外包這一層絕緣層，絕緣層外再是一層屏蔽層，屏蔽層氫電線很好地包起來，再往外就是外包皮了。由于同軸電纜的這種結構，它對外界具有很強的抗干擾能力。同軸電纜是局域網(wǎng)最普遍使用的傳輸媒體。

雙絞線

在局域網(wǎng)中，雙絞線用的非常廣泛，這主要是因為他們低成本、告訴杜賀高可靠性，雙絞線有兩種基本類型：屏蔽雙絞線（STP）、和非屏蔽雙絞線（UTP），它們都是由兩根絞在一起的導線來形成傳輸電路。兩根導線絞在一起主要是為了防止干擾（線對上的差分信號具有共模抑制干擾的作用）。

光纖

有些網(wǎng)絡應用要求很高，它要求可靠、高速地長距離傳送數(shù)據(jù)，這種情況下，光纖就是一個理想的選擇。光纖具有園柱形的形狀，由三部分組成：纖芯、包層和護套。纖芯是最內層部分，它由一根或多根非常細的由玻璃或塑料制成的絞合線或纖維組成。每一根纖維都由各自的包層包著，包層是玻璃或塑料涂層，它具有與纖芯不同的光學特性。最外層是護套，它包著一根或一束已加包層的纖維。護套是由塑料或其他材料制成的，用它來防止潮氣、擦傷、壓傷或其它外界帶來的危害。

無線介質

傳輸線系統(tǒng)除同軸電纜、雙絞線、和光纖外，還有一種手段是根本不使用導線，這就是無線電通信，無線電通信利用電磁波或光波來傳輸信息，利用它不用敷設纜線就可以把網(wǎng)絡連接起來。無線電通信包括兩個獨特的網(wǎng)絡：移動網(wǎng)絡的無線LAN網(wǎng)絡。利用LAN網(wǎng)，機器可以通過發(fā)射機和接收機連接起來；利用移動網(wǎng)，機器可以通過蜂窩式通信系統(tǒng)連接起來，該通信系統(tǒng)由無線電通信部門提供。

2、靜態(tài)路由

（1）、什么是路由

路由：一種三層數(shù)據(jù)交換方式。把一個數(shù)據(jù)包從一個設備（數(shù)據(jù)鏈路）發(fā)送到不同網(wǎng)絡里的另一個設備（數(shù)據(jù)鏈路）上去。這些工作依靠路由器來完成。路由器并不關心主機，他們只關心網(wǎng)絡的狀態(tài)和決定網(wǎng)絡中的最佳路徑
路由的實現(xiàn)依靠路由器中的路由表來完成；對于每個不同的可路由協(xié)議來說，在路由器會分別構造一張路由表。

每個路由器針對每個可路由協(xié)議來說只能有一張路由表

（2）、路又能做什么

• 識別分組中的目的ip地址

• 識別分組中源ip地址---主要在策略路由中存在

• 在路由表中發(fā)現(xiàn)可能的路徑

• 選擇路由表中到達目標最好的路徑

• 維護和檢查路由信息

3、什么是路由表

[root@nfs ~]# show ip route

1．靜態(tài)路由表

由系統(tǒng)管理員事先設置好固定的路由表稱之為靜態(tài)（static）路由表，一般是在系統(tǒng)安裝時就根據(jù)網(wǎng)絡的配置情況預先設定的，它不會隨未來網(wǎng)絡結構的改變而改變。

2．動態(tài)路由表

動態(tài)（Dynamic）路由表是路由器根據(jù)網(wǎng)絡系統(tǒng)的運行情況而自動調整的路由表。路由器根據(jù)路由選擇協(xié)議（Routing Protocol）提供的功能，自動學習和記憶網(wǎng)絡運行情況，在需要時自動計算數(shù)據(jù)傳輸?shù)淖罴崖窂健?/p>

永久特性

攜帶permanent參數(shù)，使按需鏈路中接口關閉，不會導致路由條目消失。但命令clear ip route *會刪除所有路由，包括帶有永久特性的靜態(tài)路由。

浮動特性

設置管理距離大于IGP的靜態(tài)路由作為浮動靜態(tài)路由，IGP工作正常時不會出現(xiàn)，IGP路由消失后出現(xiàn)在路由表中，實現(xiàn)冗余備份。

遞歸路由

只有BGP的下一跳地址必須為直連接口的地址，靜態(tài)路由可以選擇除目的網(wǎng)段外的其他任何三層設備地址。
PC無條件接收Proxy-ARP Reply并加入ARP表；路由器先判斷應答者所在網(wǎng)段是否可達。
遞歸路由對路徑選擇無影響，只是為了使路由器能接收代理ARP回復。ARP表存放后到的更新。
如要精確選路，使用命令clear arp-cache清空arp表，并使用命令no ip arp-proxy關閉不所需要路徑特定接口的代理ARP功能。

缺省路由

邊緣路由器除添加明細路由外，還需設置一條缺省路由指向外網(wǎng)。

路由線路圖：

圖片.png

4、iptables配置-----NAT地址轉換

（1）、iptables nat 原理

同filter表一樣，net表也有三條缺省的“鏈”（chains）：

• PREROUTING:目的DNAT規(guī)則
  把從外來的訪問重定向到其他的機子上，比如內部SERVER，或者DMZ。
  因為路由時只檢查數(shù)據(jù)包的目的ip地址，所以必須在路由之前就進行目的PREROUTING

DNS

系統(tǒng)先PREROUTING DNAT翻譯——>再過濾（FORWARD）——>最后路由。
路由和過濾（FORWARD)中match 的目的地址，都是針對被PREROUTING DNAT之后的。

• POSTROUTING:源SNAT規(guī)則
  在路由以后在執(zhí)行該鏈中的規(guī)則。
  系統(tǒng)先路由——>再過濾（FORWARD)——>最后才進行POSTROUTING SNAT地址翻譯
  其match 源地址是翻譯前的。

固定public 地址（外網(wǎng)接口地址）的最基本內訪外SNAT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to 你的eth0地址

多個內網(wǎng)段SNAT,就是多條SNAT語句

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

對于”內網(wǎng)訪問內網(wǎng)SERVER在外網(wǎng)的地址”的特殊處理

• 網(wǎng)內客戶機10.4.3.119發(fā)起一個訪問請求給映射后的地址124.126.86.138（10.4.3.150）
• 防火墻收到這個向124.126.86.138請求后根據(jù)策略表匹配發(fā)現(xiàn)是一個對內部服務器10.4.3.150映射，防火墻會通過純路由的方式將數(shù)據(jù)包轉發(fā)給服務器 10.4.3.150
• 服務器10.4.3.150收到請求后，發(fā)現(xiàn)源地址為10.4.3.119的客戶機發(fā)來了一個請求，并且這臺主機與自己在同一個網(wǎng)段內，于是直接將回應包SYN+ACK發(fā)送給主機10.4.3.119（就不再經(jīng)過FW）
• 10.4.3.119收到這個包后會感覺很奇怪，因為它從來就沒有給10.4.3.150發(fā)送過連接請求報文（他只給124.126.86.138)發(fā)送過，所以就會將回應報文丟棄
  解決：增加一個朝向內部網(wǎng)10.4.3.150訪問的POSTROUTING SNAT

5、把Linux變成路由（iptables+dhcp服務）

ip地址
子網(wǎng)掩碼
網(wǎng)關
dns

1、安裝dhcp服務
[root@yangdan ~ ]# yum install dhcp -y

2、配置dhcp服務
[root@yangdan ~ ]# vim /etc/dhcpd.conf

subnet 192.168.0.0 netmask 255.255.255.0{    #192.168.0.0網(wǎng)絡號，255.255.255.0子網(wǎng)掩碼
range 192.168.0.26 192.168.0.200        #ip地址分配范圍
option donmain-name-servers 223.5.5.5            #指定給客戶端分配的dns地址
option routers 192.168.0.12;                  #指定給客戶端分配的網(wǎng)關ip option broadcast-address 192.168.0.255;       #指定廣播地址
default-lease-time 3600;                      #dhcp默認租約時間
max-lease-time 7200;                          #dhcp最長租約時間
}
3、重啟
[root@yangdan ~ ]# systemctl start  dhcpd
[root@yangdan ~ ]# systemctl enable dhcpd

6、實現(xiàn)多層端口映射

[root@yandan ~ ]# iptables -t nat -A PREROUTING -d 10.0.0.12 -p tcp --dport 3022 -j DNAT --to-destination 192.168.0.2:22

[root@yangdan ~ ]# iptables -t nat -A PREROUTING -d 10.0.0.12 -p tcp --dport 1022 -j DNAT --to-destination 192.168.0.50:22
[root@yangdan ~ ]# iptables -t nat -A PREROUTING -d 10.0.0.12 -p tcp --dport 1080 -j DNAT --to-destination 192.168.0.50:80

參數(shù)：
-t nat表
-A PREROUTING鏈 數(shù)據(jù)包 進來的時候做處理
-d 目的ip是10.0.0.12
-p tcp協(xié)議
-d port 目的端口
-j 指定動作 DNAT
DNAT 做目的ip地址轉換
--to-destination 192.168.0.2:22
ptables -t nat -A PREROUTING -d 10.0.0.12 -p tcp --dport 1080 -j DNAT --to-destination 192.168.0.50:80

7、上網(wǎng)行為管理器panabit（unix）FREEBSD

panabit 使用freebsd系統(tǒng)0