溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶(hù)服務(wù)條款》

pfSense book之網(wǎng)絡(luò)概念

發(fā)布時(shí)間:2020-07-30 15:09:04 來(lái)源:網(wǎng)絡(luò) 閱讀:3299 作者:鐵血男兒 欄目:建站服務(wù)器

網(wǎng)絡(luò)概念

  • 了解公共和私人IP地址

  • IP子網(wǎng)劃分概念

  • IP地址,子網(wǎng)和網(wǎng)關(guān)配置

  • 了解CIDR子網(wǎng)掩碼表示法

  • CIDR概述

  • 廣播域名

  • IPv6

本書(shū)不是對(duì)網(wǎng)絡(luò)的介紹,但有一些網(wǎng)絡(luò)概念需要解決。 對(duì)于沒(méi)有基本的網(wǎng)絡(luò)基礎(chǔ)知識(shí)的讀者,我們建議找到更多的介紹性材料,因?yàn)楸菊虏粫?huì)提供所有必要的信息。 IPv6概念將在本章后面的IPv6中介紹。 為了清楚起見(jiàn),傳統(tǒng)的IP地址被稱(chēng)為IPv4地址。 除另有說(shuō)明外,大多數(shù)功能都可以使用IPv4或IPv6地址。 通用術(shù)語(yǔ)IP地址是指IPv4或IPv6。


OSI模型層簡(jiǎn)介

OSI模型具有由七層組成的網(wǎng)絡(luò)框架。 這些圖層按從低到高的順序排列。 下面解釋了每個(gè)級(jí)別的簡(jiǎn)要信息。 更多信息可以在維基百科中找到(http://en.wikipedia.org/wiki/OSI_model)。

Layer 1 - 物理層:

指的是將原始數(shù)據(jù)傳輸?shù)剿懈邔拥碾娎|或光纜。
Layer 2 - 數(shù)據(jù)鏈接:

通常是指以太網(wǎng)或在線(xiàn)路上正在會(huì)話(huà)的另一個(gè)類(lèi)似的協(xié)議。本書(shū)通常將第二層稱(chēng)為以太網(wǎng)交換機(jī)或其他相關(guān)主題,如ARP和MAC地址。
Layer 3 - 網(wǎng)絡(luò)層:

用于將數(shù)據(jù)沿著一個(gè)主機(jī)到另一個(gè)主機(jī)的路徑傳遞的協(xié)議,例如IPv4,IPv6,路由,子網(wǎng)等。
Layer 4 - 傳輸層:

用戶(hù)之間的數(shù)據(jù)傳輸通常是指TCP或UDP或其他類(lèi)似的協(xié)議。
Layer 5 - 會(huì)話(huà)層:

管理用戶(hù)之間的連接和會(huì)話(huà)(通常稱(chēng)為“對(duì)話(huà)框”),以及如何正確連接和斷開(kāi)連接。
Layer 6 - 表示層:

處理用戶(hù)所需的數(shù)據(jù)格式之間的任何轉(zhuǎn)換,如不同的字符集,編碼,壓縮,加密等。
Layer 7 - 應(yīng)用層:

與用戶(hù)或軟件應(yīng)用程序進(jìn)行交互,包括熟悉的協(xié)議,如HTTP,SMTP,SIP等

了解公共和私人IP地址

私人IP地址 

網(wǎng)絡(luò)標(biāo)準(zhǔn)RFC 1918定義了保留的IPv4子網(wǎng),僅用于私有網(wǎng)絡(luò)(表RFC 1918專(zhuān)用IP地址空間)。 RFC 4193為IPv6(RFC 4193唯一本地地址空間)定義了唯一的本地地址(ULA)。 在大多數(shù)環(huán)境中,RFC 1918的私有IP子網(wǎng)被選擇并用于所有內(nèi)部網(wǎng)絡(luò)設(shè)備。 然后通過(guò)實(shí)施網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)軟件(如pfSense)的防火墻或路由器將設(shè)備連接到Internet。 IPv6通過(guò)全球單播地址(GUA)從內(nèi)部網(wǎng)絡(luò)完全路由而無(wú)需NAT。 NAT將在網(wǎng)絡(luò)地址轉(zhuǎn)換中進(jìn)一步解釋。

RFC 1918 私有IP地址空間
CIDR 范圍IP 地址范圍
10.0.0.0/810.0.0.0 - 10.255.255.255
172.16.0.0/12172.16.0.0 - 172.31.255.255
192.168.0.0/16192.168.0.0 - 192.168.255.255

RFC 4193特有的本地地址空間
前綴IP 地址范圍
fc00::/7fc00:: - fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

特殊用途IPv4網(wǎng)絡(luò)的完整列表可以在RFC 3330中找到。有一些私有IPv4地址,例如1.0.0.0/8和2.0.0.0/8,這些IPv4地址已經(jīng)分配給日益縮小的IPv4池。 使用這些地址是有問(wèn)題的,不建議使用。 此外,避免使用169.254.0.0/16,根據(jù)RFC 3927保留“Link-Local”自動(dòng)配置。 它不應(yīng)該由DHCP分配或手動(dòng)設(shè)置,并且路由器將不允許來(lái)自該子網(wǎng)的數(shù)據(jù)包在特定的廣播域外傳播。 RFC 1918有足夠的地址空間,所以不需要突破RFC 1918私有IP地址空間中的地址范圍。 不正確的尋址會(huì)導(dǎo)致網(wǎng)絡(luò)故障,應(yīng)該予以糾正。

公共 IP地址

除最大的網(wǎng)絡(luò)外,公共IP地址由互聯(lián)網(wǎng)服務(wù)提供商分配。需要數(shù)百或數(shù)千個(gè)公共IP地址的網(wǎng)絡(luò)通常具有直接從其地區(qū)互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)(RIR)分配的地址空間。 RIR是一個(gè)監(jiān)督在世界指定地區(qū)分配和注冊(cè)公共IP地址的組織。


大多數(shù)住宅互聯(lián)網(wǎng)連接被分配一個(gè)公共IPv4地址。大多數(shù)業(yè)務(wù)類(lèi)連接被分配多個(gè)公共IP地址。在許多情況下,單個(gè)公共IP地址就足夠了,可以與NAT一起使用,將數(shù)百個(gè)專(zhuān)用地址系統(tǒng)連接到Internet。這本書(shū)將有助于確定所需的公共IP地址的數(shù)量。


大多數(shù)IPv6部署將使最終用戶(hù)至少有一個(gè)/ 64前綴網(wǎng)絡(luò)用作路由內(nèi)部網(wǎng)絡(luò)。對(duì)于每個(gè)站點(diǎn),大致有64個(gè)IPv6地址或18個(gè)地址,完全從Internet上路由而不需要NAT。


保留和文件地址

除了在RFC 1918中定義的范圍之外,RFC 5735還描述了為其他特殊用途(如文檔,測(cè)試和基準(zhǔn)測(cè)試)保留的IP范圍。 RFC 6598更新了RFC 5735,并為運(yùn)營(yíng)商級(jí)NAT定義了地址空間。 這些特殊的網(wǎng)絡(luò)包括:

RFC 5735 保留地址空間
CIDR 范圍目的
192.0.2.0/24文檔和示例代碼
198.51.100.0/24文檔和示例代碼
203.0.113.0/24文檔和示例代碼
198.18.0.0/25對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行基準(zhǔn)測(cè)試
100.64.0.0/10電信級(jí)NAT空間


在整本書(shū)中,我們使用了來(lái)自上述文檔范圍的地址以及RFC 1918網(wǎng)絡(luò)的示例,因?yàn)樗鼈儗?duì)用戶(hù)更為熟悉。

有些人發(fā)現(xiàn)這些地址昨時(shí)用于×××甚至本地網(wǎng)絡(luò)。 我們不推薦將它們用于除預(yù)定目的以外的任何其他用途,但是它們比RFC 1918網(wǎng)絡(luò)更不容易被看到。


IP子網(wǎng)劃分概念

在設(shè)備上配置TCP / IP設(shè)置時(shí),必須指定子網(wǎng)掩碼(或IPv6的前綴長(zhǎng)度)。 此掩碼使設(shè)備能夠確定本地網(wǎng)絡(luò)上的哪些IP地址,以及設(shè)備路由表中的網(wǎng)關(guān)必須到達(dá)哪些IP地址。 默認(rèn)的LAN IP地址為192.168.1.1,掩碼為255.255.255.0或CIDR表示的/ 24的網(wǎng)絡(luò)地址為192.168.1.0/24。

IP地址,子網(wǎng)和網(wǎng)關(guān)配置

主機(jī)的TCP / IP配置由地址,子網(wǎng)掩碼(或IPv6的前綴長(zhǎng)度)和網(wǎng)關(guān)組成。 IP地址與子網(wǎng)掩碼的結(jié)合是主機(jī)如何識(shí)別本地網(wǎng)絡(luò)上的哪些IP地址。本地網(wǎng)絡(luò)以外的地址被發(fā)送到主機(jī)配置的默認(rèn)網(wǎng)關(guān),它假定將把流量傳遞到所需的目的地。此規(guī)則的一個(gè)例外是指示設(shè)備聯(lián)系通過(guò)本地連接的路由器可達(dá)的特定非本地子網(wǎng)的靜態(tài)路由。網(wǎng)關(guān)和靜態(tài)路由的列表保存在每個(gè)主機(jī)的路由表上。


在典型的pfSense部署中,主機(jī)會(huì)在pfSense設(shè)備的LAN范圍內(nèi)分配一個(gè)IP地址,子網(wǎng)掩碼和網(wǎng)關(guān)。 pfSense上的LAN IP地址成為默認(rèn)網(wǎng)關(guān)。對(duì)于通過(guò)LAN以外的接口連接的主機(jī),請(qǐng)使用適用于設(shè)備連接的接口的相應(yīng)配置。


一個(gè)網(wǎng)絡(luò)中的主機(jī)直接相互通信,而不需要默認(rèn)網(wǎng)關(guān)的參與。這意味著沒(méi)有防火墻(包括pfSense)可以控制網(wǎng)段內(nèi)的主機(jī)到主機(jī)的通信。如果需要此功能,則需要通過(guò)使用多個(gè)交換機(jī),VLAN來(lái)分割主機(jī),或使用PVLAN等同等交換機(jī)功能。虛擬局域網(wǎng)(VLAN)涵蓋VLAN。


了解CIDR子網(wǎng)掩碼表示法

在配置地址和網(wǎng)絡(luò)時(shí),pfSense使用CIDR(Classless Inter-Domain Routing,也叫無(wú)類(lèi)別域間路由,它消除了傳統(tǒng)的A類(lèi)、B類(lèi)和C類(lèi)地址以及劃分子網(wǎng)的概念,因而可以更加有效地分配IPv4的地址空間。它可以將好幾個(gè)IP網(wǎng)絡(luò)結(jié)合在一起,使用一種無(wú)類(lèi)別的域際路由選擇算法,使它們合并成一條路由從而較少路由表中的路由條目減輕Internet路由器的負(fù)擔(dān)。)表示法,而不是通用子網(wǎng)掩碼255.x.x.x。 請(qǐng)參閱下表CIDR子網(wǎng)表:查找十進(jìn)制子網(wǎng)掩碼的CIDR值。

CIDR 子網(wǎng)表
子網(wǎng)掩碼CIDR 前綴總IP地址數(shù)可用的IP地址數(shù)24網(wǎng)絡(luò)的數(shù)量
255.255.255.255/32111/256th
255.255.255.254/3122*1/128th
255.255.255.252/30421/64th
255.255.255.248/29861/32nd
255.255.255.240/2816141/16th
255.255.255.224/2732301/8th
255.255.255.192/2664621/4th
255.255.255.128/251281261 half
255.255.255.0/242562541
255.255.254.0/235125102
255.255.252.0/22102410224
255.255.248.0/21204820468
255.255.240.0/204096409416
255.255.224.0/198192819032
255.255.192.0/1816,38416,38264
255.255.128.0/1732,76832,766128
255.255.0.0/1665,53665,534256
255.254.0.0/15131,072131,070512
255.252.0.0/14262,144262,1421024
255.248.0.0/13524,288524,2862048
255.240.0.0/121,048,5761,048,5744096
255.224.0 0/112,097,1522,097,1508192
255.192.0.0/104,194,3044,194,30216,384
255.128.0.0/98,388,6088,388,60632,768
255.0.0.0/816,777,21616,777,21465,536
254.0.0.0/733,554,43233,554,430131,072
252.0.0.0/667,108,86467,108,862262,144
248.0.0.0/5134,217,728134,217,7261,048,576
240.0.0.0/4268,435,456268,435,4542,097,152
224.0.0.0/3536,870,912536,870,9104,194,304
192.0.0.0/21,073,741,8241,073,741,8228,388,608
128.0.0.0/12,147,483,6482,147,483,64616,777,216
0.0.0.0/04,294,967,2964,294,967,29433,554,432


注意

使用/ 31網(wǎng)絡(luò)是RFC 3021定義的特殊情況,其中子網(wǎng)中的兩個(gè)IP地址可用于點(diǎn)對(duì)點(diǎn)鏈接以節(jié)省IPv4地址空間。 并非所有操作系統(tǒng)都支持RFC 3021,所以請(qǐng)謹(jǐn)慎使用。 在不支持RFC 3021的系統(tǒng)上,子網(wǎng)不可用,因?yàn)樽泳W(wǎng)掩碼定義的唯一兩個(gè)地址是空路由和廣播,并且沒(méi)有可用的主機(jī)地址。


pfSense 2.3.4-RELEASE-p1支持使用/ 31網(wǎng)絡(luò)接口和虛擬IP地址。


那么CIDR值從哪里來(lái)?


當(dāng)轉(zhuǎn)換為二進(jìn)制時(shí),CIDR值來(lái)自子網(wǎng)掩碼中的數(shù)字。

常見(jiàn)的子網(wǎng)掩碼255.255.255.0是二進(jìn)制的11111111.11111111.11111111.00000000。 這加起來(lái)有24個(gè),因此是/24。

子網(wǎng)掩碼255.255.255.192是二進(jìn)制的11111111.11111111.11111111.11000000,或者26個(gè),因此是/ 26。

CIDR概述

除了指定子網(wǎng)掩碼之外,CIDR還可以用于IP或網(wǎng)絡(luò)匯總目的。 CIDR子網(wǎng)表中的“總IP地址”列指出給定CIDR掩碼總結(jié)了多少個(gè)地址。 出于網(wǎng)絡(luò)匯總的目的,“24網(wǎng)絡(luò)數(shù)量”列是有用的。 CIDR匯總可用于pfSense Web界面的多個(gè)部分,包括防火墻規(guī)則,NAT,虛擬IP,IPsec和靜態(tài)路由。


可以包含在單個(gè)CIDR掩碼中的IP地址或網(wǎng)絡(luò)被稱(chēng)為“CIDR可匯總的”。


在設(shè)計(jì)網(wǎng)絡(luò)時(shí),確保在特定位置使用的所有專(zhuān)用IP子網(wǎng)都是CIDR可匯總的。 例如,如果在一個(gè)位置需要三個(gè)/ 24子網(wǎng),則應(yīng)使用子網(wǎng)劃分為四個(gè)/ 24網(wǎng)絡(luò)的一個(gè)/ 22網(wǎng)絡(luò)。 下表顯示了與子網(wǎng)10.70.64.0/22一起使用的四個(gè)/ 24個(gè)子網(wǎng)。

CIDR 路由可匯總
10.70.64.0/22 分成24網(wǎng)絡(luò)
10.70.64.0/24
10.70.65.0/24
10.70.66.0/24
10.70.67.0/24

這使通過(guò)使用專(zhuān)用WAN線(xiàn)路或×××連接到另一個(gè)物理位置的多站點(diǎn)網(wǎng)絡(luò)的路由更易于管理。 使用CIDR可匯總的子網(wǎng),一個(gè)路由目標(biāo)覆蓋每個(gè)位置的所有網(wǎng)絡(luò)。 沒(méi)有它,每個(gè)位置有幾個(gè)不同的目標(biāo)網(wǎng)絡(luò)。


可以在subnetmask.info網(wǎng)站上找到的網(wǎng)絡(luò)計(jì)算器進(jìn)行CIDR計(jì)算。


計(jì)算器從點(diǎn)分十進(jìn)制轉(zhuǎn)換為CIDR掩碼,反之亦然,如圖下圖所示。 如果本章提供的CIDR子網(wǎng)表不可用,可以使用此工具將CIDR前綴轉(zhuǎn)換為點(diǎn)分十進(jìn)制表示法。 輸入CIDR前綴或點(diǎn)分十進(jìn)制掩碼,然后單擊相應(yīng)的計(jì)算按鈕以查找轉(zhuǎn)換。

pfSense book之網(wǎng)絡(luò)概念

子網(wǎng)掩碼轉(zhuǎn)換

在Network/Node Calculator(網(wǎng)絡(luò)/節(jié)點(diǎn)計(jì)算器部分輸入十進(jìn)制掩碼和IP地址, 點(diǎn)擊Calculate, 在下面就會(huì)顯示計(jì)算的結(jié)果。 在本例子中,網(wǎng)絡(luò)地址是10.70.64.0/22,可用的/ 24網(wǎng)絡(luò)是64到67。本表中的術(shù)語(yǔ)“Broadcast Address(廣播地址)”是指該范圍內(nèi)的最高地址。

pfSense book之網(wǎng)絡(luò)概念

Network/Node Calculator(網(wǎng)絡(luò)/節(jié)點(diǎn)計(jì)算器

找到一個(gè)匹配的CIDR網(wǎng)絡(luò)

別名支持格式為x.x.x.x-y.y.y.y的IPv4地址范圍。 對(duì)于網(wǎng)絡(luò)類(lèi)型別名,IPv4范圍將自動(dòng)轉(zhuǎn)換為等效的CIDR塊。 對(duì)于主機(jī)類(lèi)型別名,范圍將轉(zhuǎn)換為IPv4地址列表。


如果不需要完全匹配,則可以將數(shù)字輸入到Network/Node Calculator(網(wǎng)絡(luò)/節(jié)點(diǎn)計(jì)算器進(jìn)行計(jì)算


廣播域名

廣播域是共享同一個(gè)第2層網(wǎng)段的網(wǎng)絡(luò)部分。在沒(méi)有VLAN的單個(gè)交換機(jī)的網(wǎng)絡(luò)中,廣播域就是整個(gè)交換機(jī)。在沒(méi)有使用VLAN的多個(gè)互連交換機(jī)的網(wǎng)絡(luò)中,廣播域包括所有這些交換機(jī)。


單個(gè)廣播域可以包含多個(gè)IPv4或IPv6子網(wǎng),但是,這通常不被認(rèn)為是良好的網(wǎng)絡(luò)設(shè)計(jì)。應(yīng)通過(guò)使用單獨(dú)的交換機(jī)或VLAN將IP子網(wǎng)隔離到不同的廣播域中。例外是在單個(gè)廣播域內(nèi)運(yùn)行IPv4和IPv6網(wǎng)絡(luò)。這就是所謂的雙堆棧,它是一種常用且有用的技術(shù),它為主機(jī)使用IPv4和IPv6連接。


廣播域可以通過(guò)將兩個(gè)網(wǎng)絡(luò)接口橋接在一起進(jìn)行組合,但是在這種情況下必須小心避免交換機(jī)環(huán)路。對(duì)于某些沒(méi)有組合廣播域但具有相同凈效應(yīng)的協(xié)議,也可以通過(guò)代理,例如將DHCP請(qǐng)求轉(zhuǎn)發(fā)到另一個(gè)接口上的廣播域的DHCP中繼。


翻譯自pfsense book!

2017-11-11

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI