网络技术基础(4)——IP地址规划

本文涉及的产品
公网NAT网关,每月750个小时 15CU
简介: 【2月更文挑战第8天】网络基础笔记

IP地址

  • IP地址在网络中用于标识一个节点(或者网络设备的接口)。

  • IP地址用于IP报文在网络中的寻址。

image.png

IP地址的表示

  • 一个IPv4地址有32 bit。

  • IPv4地址通常采用“点分十进制”表示。

  • IPv4地址范围:0.0.0.0~255.255.255.255。

image.png

IP地址构成

  • 网络部分:用来标识一个网络。

  • 主机部分:用来区分一个网络内的不同主机。

  • 网络掩码:区分一个IP地址中的网络部分及主机部分。

image.png
image.png

⭐⭐⭐⭐⭐【重点知识点】:

当最后一位为0时,例如 192.168.10.0,它代表的是一个网络的地址,即网络号

当最后一位为255时,例如 192.168.10.255,它代表的是该网络的广播地址,即广播地址

可使用主机地址为192.168.10.1~254

IP地址寻址

  • 网络部分:用来标识一个网络,代表IP地址所属网络。

  • 主机部分:用来区分一个网络内的不同主机,能唯一标识网段上的某台设备。

image.png

IP地址分类

为了方便IP地址的管理及组网,IP地址分成五类:

image.png

A/B/C类默认网络掩码:

A类 : 8 bit,0.0.0.0~127.255.255.255/8

B类 : 16 bit,128.0.0.0~191.255.255.255/16

C类 : 24 bit,192.0.0.0~191.223.255.255/24

⭐⭐⭐⭐⭐【重点知识点】:

例题:172.16.10.1/16这个B类地址的网络地址、广播地址以及可用地址数分别是?

image.png

私有IP地址

公网IP地址 : IP地址是由IANA统一分配的,以保证任何一个P地址在Internet上的唯一性。这里的IP地址是指公网IP地址。

私网IP地址 : 实际上一些网络不需要连接到internet,比如一个大学的封闭实验室内的网络,只要同一网络中的网络设备的IP地址不冲突即可。在IP地址空间里,A、B、C三类地址中各预留了一些地址专门用于上述情况,称为私网IP地址。

  • A类:10.0.0.0~10.255.255.255

  • B类:172.16.0.0~172.31.255.255

  • C类:192.168.0.0~192.168.255.255

image.png

⭐⭐⭐⭐⭐【重点知识点】:

NAT技术

NAT(Network Address Translation)是一种网络技术,用于在计算机网络中实现私有 IP 地址和公共 IP 地址之间的转换。

NAT 技术主要用于解决 IPv4 地址短缺的问题。由于全球范围内 IPv4 地址的数量有限,为了更有效地利用这些地址,私有 IP 地址范围(如 192.168.0.0/16、172.16.0.0/12 和 10.0.0.0/8)被引入,以供在局域网内部使用。

NAT 技术通过在网络边界设备上进行地址转换,将内部网络中使用的私有 IP 地址转换为公共 IP 地址。这样,内部网络中的多个设备可以共享一个公共 IP 地址,从而实现了多个设备访问互联网的能力。

NAT 技术的主要优点包括:

  • 节约公共 IP 地址资源,减轻 IPv4 地址短缺问题。

  • 提供了一定的网络安全性,因为外部网络无法直接访问内部网络中的设备。

  • 简化了网络配置和管理,减少了对路由器和防火墙的需求。

然而,NAT 技术也有一些限制和局限性,例如:

  • NAT 可能会引入一定的网络延迟和性能损耗。

  • 对于某些应用程序或协议,NAT 可能会导致连接问题或需要额外的配置。

  • NAT 无法解决 IPv4 地址短缺的根本问题,而且在应对大规模互联网部署时可能面临一些挑战。

随着 IPv6 的逐渐普及,IPv4 地址短缺问题将得到缓解,而 NAT 技术在 IPv6 网络中的需求也相应减少。

特殊IP地址

IP地址空间中,有一些特殊的IP地址,这些IP地址有特殊的含义和作用,举例如下:

image.png

IPv4和IPv6

由全球IP地址分配机构,IANA(Internet Assigned Numbers Authority)管理的IPv4地址,于2012全用尽。随着最后一个IPv4公网地址分配完毕,加上接入公网的用户及设备越来越多,IPv4耗竭的问题日益严重,这是当前IPv6替代IPv4的最大源动力。

image.png

子网划分

image.png

如何进行子网划分?——原网段分析

image.png
image.png

如何进行子网划分?——向主机借位

image.png

eNSP 网络基础配置命令总结

eNSP配置命令

<Huawei>  不同模式具有不同权限

<Huawei>  第一级模式  该模式可查看所有设备参数

<Huawei> system-view 键入系统命令

[Huawei]  第二级模式  该模式用于管理设备

第三级模式为各种专用配置模式: [Huawei---???]

[Huawei]interface GigabitEthernet 0/0/0  进入某个特定的接口配置IP地址  在配置IP地址时, 子网掩码可以使用简写

[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.10 24

[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.10 255.255.255.0

注:这里的子网掩码俩种都可以使用

[Huawei]display ip interface brief   查看接口摘要

<r1>save   

       ...... y    保存命令

帮助系统:

?查看该模式或该单词后面可以配置的命令及注解

 tab键  自动补全一个单词

静态路由配置命令

<r1> display ip routing-table    查看路由器路由表的指令
[r1] ip route-static 192.168.3.0 24 192.168.2.2    目标网段 下一跳
[r1] display ip routing-table protocol static     查看路由表中通过静态写的路由
[r1] undo ip route-static 192.168.3.0 255.255.255.0 192.168.2.2 —删除静态路由指令
拓展配置:
1、环回接口:测试 ,逻辑接口,并不真实存在
作用:模拟一个网段
[r1] interface LoopBack ?
<0-1023> LoopBack interface number
2.缺省路由
缺省和黑洞相遇100%成环
[r1] ip route-static 0.0.0.0 0 12.0.0.2 —代表所有IP
访问互联网
3.空接口:NULL 0
[r1] ip route-static 192.168.0.0 22 NULL 0—做法,在黑洞路由器上配置一条去往汇总网段的

DHCP配置命令

将路由器配置为DHCP服务器的命令

[Huawei]dhcp enable 首先设备整体开启dhcp 服务

[Huawei]ip pool wangcai 创建名为wangci的dhcp池塘,名字自取;但一台设备上可以创建多个池塘,不过一个池塘只能为一个广播域服务;

[Huawei-ip-pool-wangcai]network 192 168.1.0 mask24 关联接口;定义地址范围

[Huawei-ip-pool-wangcai]gateway-list192.168.1.1 该网段网关ip地址

[Huawei-ip-pool-wangcai]dns-list192.168.2.10 该网络的dns服务器地址

[Huawei-ip-pool-wangcai]quit 退出

切记:华为设备在配置完池塘后,必须到路由器分配ip地址的接口上再开启对应的服务

[Huawei]interface g 0/0/0

[Huawei-GigabitEthernet0/0/0]dhcp select global

PC>ipconfig

<R1>display current-configuration —查看设备所做的所有

RIP协议配置命令

1、RIPV1的配置

[r1]rip 1     启动,启动时可以定义进程号,进程号仅具有本地意义;若不定义默认为1

[r1-rip-1]version 1    选择版本1;

宣告:RIP只能宣告主类网段号

[r1-rip-1]network 1.0.0.0

[r1-rip-1]network 12.0.0.0

2、RIP的扩展配置

2.1、RIPV2的手工汇总

在更新源路由器上,所有更新发出的接口上进行汇总配置即可

[r1]int g 0/0/0

[r1-GigabitEthernet0/0/0]rip summary-address 1.1.0.0 255.255.252.0

2.2、RIPV2的认证

在邻居间进行身份的核实,已经路由器信息加密;用于保障邻居间共享信息的安全性

[r2]int g 0/0/1

[r2-GigabitEthernet0/0/1]ip authentication-more md5 usual cipher 123456

2.3、沉默接口

[r1]rip

[r1-rip-1]silent-interface GigabitEtherne0/0/2 该接口是这台路由器上连接PC终端的接口

2.4、加快收敛;

[r1]rip

[r1-rip-1]timers rip 15    90     150

                            更新  失效  刷新

注:若进行了计时器修改,全网所有运行 RIP 协议的路由器建议修改的一致;

2.5、缺省路由

[r3]rip

[r3-rip-1]default-route originate 缺省路由源头

注:此时边界路由器上自身没有缺省路由,若需要生成指向ISP 的缺省路由,需要手工静态编写;

OSPF配置命令

[r1]ospf 1 router-id 1.1.1.1 

  进程号,默认为1 手工配置

配置共三步

1) 划分区域     2) 激活接口     3) 共享接口信息

[r1-ospf-1]area 0  0 为区域号

[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

[r1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255

OSPF 在宣告时,需要使用反掩码来进行范围的选定:

[r3-ospf-1]area 1        

[r3-ospf-1-area-0.0.0.1]network 23.1.1.2 0.0.0.0

[r2]display ospf peer  查看邻居表

[r2]display ospf peer brief  查看邻居表摘要

[r2]display ospf lsdb 查看OSPF本地数据库目录

[r3]display ip routing-table protocol ospf  查看路由表中关于 odpf协议的路由

[r1]ospf 1                

[r1-ospf-1]bandwidth-reference ?

  INTEGER<1-2147483648>  The reference bandwidth (Mbits/s)

[r1-ospf-1]bandwidth-reference 1000  修改设备的参考带宽,若修改全网的所有设备均修改为一致

ospf的拓展配置

1) DR/BDR选举--ospf 邻居间是否可以建立成为邻接关系

选举规则:

1、先比较参选接口的优先级,默认为 1;取值范围 0-255,越大越优2、若优先级相同,比较 RID, 数值大优

[r1]int g0/0/2

[r1-GigabitEthernet0/0/2]ospf dr-priority 3 进人参选接口修改优先级

2、DR 选举非抢占,故修改优先级后,必须重启所有参选设备的 ospf 协议才能重新选择:

<r1>reset ospf process

Warning: The OSPF process will be reset. Continue? Y/NJ:y

3、若将接口优先级修改为 0,将自动放弃选举,即便现在为 DR 也会放角色

[r1-GigabitEthernet0/0/2]ospf dr-priority 0  不参选

2) 手工认证 --直连的邻居或邻接关系间,进行安全加密

[r1]interface GigabitEthernet 0/0/0

[r1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456

邻居间认证,模式,秘钥编号,密码必须一致

3) 手工汇总

由 OSPF 协议在同一区城内邻居间相互传递的是拓扑物理信息,该信息不可被修改,故 ospf 协议不支持接口汇总;仅能在 ABR 交互区城间计算所有路由条目时进行区域间汇总;

[r2]ospf 1

[r2-ospf-1]area 0 路由条目的源头区城-

[ospf-1-area-0.0.0.0]abr-summary 1.1.0.0 255.255.252.0

只能在 ABR上进行配置

4) 沉默接口

 用于连接 PC 用户的接口,仅接收不发送 OSPF 信息,千万不能用于连接邻居的接口,否则邻居间将无法沟通

[R1]ospf 1

[r1-ospf-1]silent-interface GigabitEthernet 0/0/2

5)  缺省路由

 边界路由器上配置后将向内部所有运行 OSPF 协议的路由发送缺省路由使得内部所有运行 OSPF 的路由器生成缺省路由指向边界路由器;若边界路由器本地需要指向 isp 的缺省路由,必须管理员手配静态缺省

[r3]ospf 1

[r3-ospf-1]default-route-advertise always

vlan配置命令

1、创建 vlanVLAN 编号 0-4095 其中 1-4094 可用 默认存在 van1,且默认所有接口屈于 vlan1

[sw1]vlan 2

[sw1-vlan2]q

[sw1]vlan batch 4 to 100  批量创建

[sw1]undo vlan batch 2 to 100

2、接口划分到VLAN中        

[sw1]interface GigabitEthernet 0/0/1

[sw1-GigabitEthernet0/0/1]port link-type  access 先将接口修改为接入模式

[sw1-port-group-default]port default vlan 2  在将接口划分到VLAN2中

批量划分

[sw1]port-group group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/4

[sw1-port-group]port link-type access

[sw1-port-group]port default vlan 3

3、trunk 干道 

[sw1]int g 0/0/5

[sw1-GigabitEthernet0/0/5]port link-type trunk  先将接口改为trunk模式

[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3  在定义trunk干道可以识别的流量有哪些,默认仅允许VLAN1

[sw2-port-group-link-flap]port trunk allow-pass vlan all  允许所有VLAN通过该trunk干道

4、VLAN间路由--路由子接口--单臂路由

[router]int g 0/0/0.1 创建子接口 默认子接口为开启ARP功能

[router-GigabitEthernet0/0/0.1]dot1q termination vid 2 定义其负责的vlan

[router-GigabitEthernet0/0/0.1]ip address  192.168.1.254 24  网关VLAN

[router-GigabitEthernet0/0/0.1]arp broadcast enable  手动开启ARP功能

[router-GigabitEthernet0/0/0.1]q

ACL配置命令

[r2]acl2000    启动ACL ; 2000-2999 范围为标准列表使用,

permit允许    deny拒绝

[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0

[r2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255

[r2-acl-basic-2000]rule permit source 192.168.3.0 0.255.0.255

[r2-acl-basic-2000]rule deny source any  

[r2]display acl 2000   查看表中记录

Basic ACL 2000,4 rulesAcl's step is 5

  rule 5 deny source 192.168.1.3 0

  rule 10 deny source 192.168.2.0 0.0.0.255

  rule 15 deny

  rule 20 permit source 192.0.3.0 0.255.0.255自动以5为步调增加序列号;便于删除和插入

[r2-acl-basic-2000]undo rule 10   删除

[r2-acl-basic-2000]rule 3 permit source 192.168.1.2 0  加入

调用:

注意: ACL 在编写完成后,必须在路由器接口上实际调用方可生效,切记一个接口的单一方向只能调用一张表

[r2-GigabitEthernet0/0/1]traffic-filter ?

    inbound     Apply ACL to the inbound direction of the interface

    outbound     Apply ACL to the outbound direction of the interface

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001

二、扩展 ACL的配置 由于扩展 ACL 回精确的匹配目标 IP地址,故不存在误删流量的情况,调用时尽量靠近源头,避免对资源的占用;

1) 仅关注源、目标ip 地址的扩展 ACL

[R1]acI 3000       3000-3999 扩展配置

[R1-acl-adv-3000]rule deny ip source 192.168.1.3 0 destination 192.168.3.3 0

                                                             源IP                                  目标IP

源、目IP地址处,均可使用通配符来匹配范围或具体IP,或使用any

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 接口调用

2)关注源、目标p 地址以及目标端口

Ping-->ICMP   internet 控制管理协议

Telnet -- 远程登录   基于TCP的23号端口工作,可用于终端设备服务设备的远程登录管理

远程的条件:

1、终端与服务端间可达

2、服务端开启远程登录功能

[R1]aaa

[R1-aaa]local-user panxi privilege level 15(超级管理员) password cipher 123456

                              账号                         权限                                                   密码

[R1-aaa]local-user panxi service-type telnet

                               账号                      功能

之后在管理接口上调用认证模式为 aaa 审计

[R1]user-interface vty 0 4(虚拟管理接口)5个账号可以同时尽量)

[R1-ui-vty0-4]authentication-mode aaa

基于目标端口号的ACL配置命令

[R1-acl-adv-3001]rule deny tcp source 192.168.1.5 0 destination 192.168.1.1 0 destination-port eq 23                   协议 TCP             源IP                                  目标IP

            目标端口

以上命令的意义,在于拒绝了源 192.168.1.5 对目标 192.168.1.1 的 tcp下目标端口23 访问,及拒 telnet登录;

[R1-acl-adv-3002]rule deny icmp source 192.168.1.5 0 destination 192.168.1.1 0

                                            协议              源ip                                    目标IP                            

以上命令意义,为拒绝源 192.168.1.5 对目标 192.168.1.1 的cmp 访问,及拒绝了 ping

不用写端口号

NAT配置命令

所有的nat配置地点为边界路由器外侧接口

(1)一对一配置:静态nat在边界路由器上固定的将一个IP地址与另一个IP地址绑定转换;

注:华为设备配置一对一时,不能使用边间路由器外侧接口实际配置的IP地址,而是需要重新申请公有IP,在nat配置过程中,实现漂浮地址

[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.2

                                                                  公有                 私有

(2)一对多配置:最常见的nat一种,也被华为系称为最简单的nat,将多个i盘地址转换为同一个IP地址,为了实现多个IP地址同时转换以个IP地址,需要基于数据包中的端口号进行区分,故一对多又被称为pat-端口地址转换

先使用 ACL 定义感兴趣流量,及可以被实现转换的私有 ip 地址范围;

[r2]acI 2000

[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

[r2-ac-basic-2000]q

再在边界路由器连接外侧的接口上调用 nat 中关联 ACL 即可

[r2]int g0/0/2

[r2-GigabitEthernet0/0/2]nat outbound 20003) 端口映射:将公有IP的某一个端口固定分配给内部的某一个私有IP地址的端口号

[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.2 80

将配置命令所在接口的IP地址的80端口与内部私有的192.168.1.280端口号进行绑定映射

Warning:The port 80 is well-known port. lf you continue it may cause function failureAre you sure to continue?Y/N]:y

[R2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8888 i

nside 192.168.1.3 80

将该命令所在的接口公有IP地址8888端口固定映射给192.168.1.380端口--外部访12.1.1.18888端口时被转换为192.168.1.380端口

(4)多对多:将多个IP地址与多个公有IP地址进行映射绑定

先采用ACL定义可以被转换的私有IP地址

[R1]acl 2000

[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

在定义可以被被转换的公有IP地址范围

[R1]nat address-group 1 12.1.1.3 12.1.1.10

12.1.1.312.1.1.10 一共有8个IP地址

最后在边界路由器上链接外侧接口进行nat配置

[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

no-pat 增加一个no-pat指令

直接回车确认

切记: 若不配置 no-pat,那么 192.168.1.0/24 范围的所有 p 与12.1.1.3121.1.10 的公有地址之间为一对多规则:

若配置了 no-pat,那么最新出来 8 个私有 ip 地址与2.1.1.312.1.1.10 逐一形成一对一的静态关系
相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
相关文章
|
28天前
|
人工智能 自然语言处理
WebDreamer:基于大语言模型模拟网页交互增强网络规划能力的框架
WebDreamer是一个基于大型语言模型(LLMs)的网络智能体框架,通过模拟网页交互来增强网络规划能力。它利用GPT-4o作为世界模型,预测用户行为及其结果,优化决策过程,提高性能和安全性。WebDreamer的核心在于“做梦”概念,即在实际采取行动前,用LLM预测每个可能步骤的结果,并选择最有可能实现目标的行动。
59 1
WebDreamer:基于大语言模型模拟网页交互增强网络规划能力的框架
|
25天前
|
网络安全 Python
Python网络编程小示例:生成CIDR表示的IP地址范围
本文介绍了如何使用Python生成CIDR表示的IP地址范围,通过解析CIDR字符串,将其转换为二进制形式,应用子网掩码,最终生成该CIDR块内所有可用的IP地址列表。示例代码利用了Python的`ipaddress`模块,展示了从指定CIDR表达式中提取所有IP地址的过程。
40 6
|
1月前
|
网络协议 安全 文件存储
动态DNS(DDNS)技术在当前网络环境中日益重要,它允许使用动态IP地址的设备通过固定域名访问
动态DNS(DDNS)技术在当前网络环境中日益重要,它允许使用动态IP地址的设备通过固定域名访问,即使IP地址变化,也能通过DDNS服务保持连接。适用于家庭网络远程访问设备及企业临时或移动设备管理,提供便捷性和灵活性。示例代码展示了如何使用Python实现基本的DDNS更新。尽管存在服务可靠性和安全性挑战,DDNS仍极大提升了网络资源的利用效率。
53 6
|
1月前
|
网络协议 网络安全 网络虚拟化
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算。通过这些术语的详细解释,帮助读者更好地理解和应用网络技术,应对数字化时代的挑战和机遇。
103 3
|
1月前
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
87 2
|
1月前
|
网络协议 Linux
使用nmcli命令设置IP地址并排查网络故障
nmcli 是一个功能强大的网络管理工具,通过它可以轻松配置IP地址、网关和DNS,同时也能快速排查网络故障。通过正确使用nmcli命令,可以确保网络配置的准确性和稳定性,提高系统管理的效率。希望本文提供的详细步骤和示例能够帮助您更好地掌握nmcli的使用方法,并有效解决实际工作中的网络问题。
85 2
|
2月前
|
存储 安全 网络安全
浅谈网络安全的认识与学习规划
浅谈网络安全的认识与学习规划
46 6
|
3月前
|
网络协议 安全
网络中IP地址与域名系统
网络中IP地址与域名系统
71 3
|
3月前
|
域名解析 弹性计算 云计算
【深度好文】中小企业上云,为什么做好网络架构规划很重要!
本文通过一位小微软件公司技术负责人的实际体验为始,引发了对大量小微企业上云架构实践的研究。 发现中小企业上云时,往往聚焦于业务测试和服务尽快上线,很难有精力投入在云上技术架构的规划和设计中。所以,大家云上的架构五花八门,很多架构缺乏长远规划,极可能给业务未来发展埋下隐患。 基于此,我们沉淀了一套《应用上云经典托管架构》,强调了上云架构规划对于业务的重要性,并带领大家理解了方案中的网络规划和架构设计全过程。 作为从事企业上云IT部门,或者初创事业的个人开发者们,都可以参考和了解。
|
2月前
|
算法 决策智能
基于prim算法求出网络最小生成树实现网络社团划分和规划
该程序使用MATLAB 2022a版实现路线规划,通过排序节点权值并运用Prim算法生成最小生成树完成网络规划。程序基于TSP问题,采用遗传算法与粒子群优化算法进行路径优化。遗传算法通过编码、选择、交叉及变异操作迭代寻优;粒子群优化算法则通过模拟鸟群觅食行为,更新粒子速度和位置以寻找最优解。