网络
1:网络的重要性:
所有的系统都有网络!
我们的生活已经离不开网络。
运维生涯50%的生产故障都是网络故障!
2:教室这么多的电脑如何上网的?
网卡(mac地址)
有线(双绞线传播电信号)双向,同时收发
无线(无线电波) 发的时候,不能收
交换
傻瓜交换机(tplink/dlink/水星...)
程控交换机(配置管理,可控 思科、华为、华三)
路由(双网卡)
内网卡---交换机 192.168.11.0/24(192.168.11.1~192.168.11.254)
外网卡---运营商 122.71.227.79(铁通)
查公网ip的方法:
windows,打开浏览器,访问百度,搜IP即可
linux:curl ifconfig.me
扩展:高级路由器还有上网行为管理器和防火墙功能哦
论坛:鸿鹄论坛(网络工程师)
3:osi 7层模型
分层的作用: 复用
网络工程师:
物理层 1层,通信介质的信号到数字信号(二进制0101)转换
数据链接层 2层 局域网之间计算机通信 通过mac地址(物理网卡)通信
网络层 3层 IP地址,路由(通过公网ip来访问全世界)
公网ip 具体的门牌号(唯一)
私网ip 家里的房间号(想对唯一)
传输层 4层 tcp/udp tcp(可靠,速度慢) udp(不可靠,速度快)
端口(让不同的应用程序,同时使用网络)
服务端使用的固定端口号,客户端使用随机端口号(支持多开)
开发工程师:
会话层 5层 控制发包的数据
表示层 6层 文件格式
应用层 7层 应用程序使用
对运维来说,重中之重的协议:tcp协议
4:tcp/ip协议 5层
物理层
数据链接层
网络层
传输层
应用层
一个数据包分成2部分,一个控制层面的数据,一个是应用层面的数据:控制层面只占一小部分,数据层面才占用大部分!
5:数据封装,解封装,数据传输过程
应用层---》数据
传输层---》tcp报头+数据
网络层---》ip包+tcp报头+数据
数据链接层=》数据帧+ip包+tcp报头+数据
物理层=》将完整的数据包,由二进制转换成电信号
封装
解封装
6:tcp三次握手,四次挥手
tcp协议在传输数据的时候,需要先进行三次握手,传输上三层数据,四次挥手
tcp的标识:
SYN:建立链接
ACK:回应标识
FIN 断开链接
PSH 数据包
URG 紧急指针
RST 重置(重传)
1.tcp的三次握手
1.TCP服务器进程先创建传输控制块TCB,时刻准备接受客户进程的连接请求,此时服务器就进入了LISTEN(监听)状态;
2.TCP客户进程也是先创建传输控制块TCB,然后向服务器发出连接请求报文,这是报文首部中的同部位SYN=1,同时选择一个初始序列号 seq=x ,此时,TCP客户端进程进入了 SYN-SENT(同步已发送状态)状态。TCP规定,SYN报文段(SYN=1的报文段)不能携带数据,但需要消耗掉一个序号。
3.TCP服务器收到请求报文后,如果同意连接,则发出确认报文。确认报文中应该 ACK=1,SYN=1,确认号是ack=x+1,同时也要为自己初始化一个序列号 seq=y,此时,TCP服务器进程进入了SYN-RCVD(同步收到)状态。这个报文也不能携带数据,但是同样要消耗一个序号。
4.TCP客户进程收到确认后,还要向服务器给出确认。确认报文的ACK=1,ack=y+1,自己的序列号seq=x+1,此时,TCP连接建立,客户端进入ESTABLISHED(已建立连接)状态。TCP规定,ACK报文段可以携带数据,但是如果不携带数据则不消耗序号。
5.当服务器收到客户端的确认后也进入ESTABLISHED状态,此后双方就可以开始通信了。
2.tcp的四次挥手
1.客户端进程发出连接释放报文,并且停止发送数据。释放数据报文首部,FIN=1,其序列号为seq=u(等于前面已经传送过来的数据的最后一个字节的序号加1),此时,客户端进入FIN-WAIT-1(终止等待1)状态。 TCP规定,FIN报文段即使不携带数据,也要消耗一个序号。
2.服务器收到连接释放报文,发出确认报文,ACK=1,ack=u+1,并且带上自己的序列号seq=v,此时,服务端就进入了CLOSE-WAIT(关闭等待)状态。TCP服务器通知高层的应用进程,客户端向服务器的方向就释放了,这时候处于半关闭状态,即客户端已经没有数据要发送了,但是服务器若发送数据,客户端依然要接受。这个状态还要持续一段时间,也就是整个CLOSE-WAIT状态持续的时间。
3.客户端收到服务器的确认请求后,此时,客户端就进入FIN-WAIT-2(终止等待2)状态,等待服务器发送连接释放报文(在这之前还需要接受服务器发送的最后的数据)。
4.服务器将最后的数据发送完毕后,就向客户端发送连接释放报文,FIN=1,ack=u+1,由于在半关闭状态,服务器很可能又发送了一些数据,假定此时的序列号为seq=w,此时,服务器就进入了LAST-ACK(最后确认)状态,等待客户端的确认。
5.客户端收到服务器的连接释放报文后,必须发出确认,ACK=1,ack=w+1,而自己的序列号是seq=u+1,此时,客户端就进入了TIME-WAIT(时间等待)状态。注意此时TCP连接还没有释放,必须经过2∗ *∗MSL(最长报文段寿命)的时间后,当客户端撤销相应的TCB后,才进入CLOSED状态。
6.服务器只要收到了客户端发出的确认,立即进入CLOSED状态。同样,撤销TCB后,就结束了这次的TCP连接。可以看到,服务器结束TCP连接的时间要比客户端早一些。
7:ip地址划分
ip地址:实际上是32位二进制数(01100100.00000100.00000101.00000110)100.4.5.6
0.0.0.0~255.255.255.255
a类 1.0.0.1~126.255.255.254
第一组:1-126开头的地址是A类
0<A类<127 128
b类 128.0.0.1~191.255.255.254
128<=B类<192 64
c类 192.0.0.1~223.255.255.254
d类 组播,VRRP协议,keepalive高可用
e类 科研
私有ip地址范围:
局域网地址:
A 10.0.0.0~10.255.255.255
65536*256 ==
B 172.16.0.0~172.31.255.255
65536*16
C 192.168.0.0~192.168.255.255
65536
127.0.0.0~127.255.255.255 本地回环地址,保留地址
0.0.0.0 === 任意的目的地
255.255.255.255 ===
为了缓解ipv4地址不够用的问题
1:ipv6 fe80::2e60:cff:fe9c:a4b3
2: NAT network address 转换
好处:
a:节约大量的公网ip地址
b:减少了网络攻击
8:子网掩码的作用:决定一个网段的大小(可用ip的数量)
192.168.11.0/24 === 192.168.11.0 netmask 255.255.255.0
11000000,10101000,00001011,00000000
11000000,10101000,00001011,11111111
11111111,11111111,11111111,00000000 255.255.255.0
192.168.11.0/24 === 192.168.11.0 netmask 255.255.255.0
192.168.11.0 网络号
192.168.11.1 起始地址
192.168.11.254 结束地址
192.168.11.255 广播地址
同一个网段的ip地址,才能直接相互通信,不同网段的ip地址,需要路由器才能相互通信!
192.168.11.0/25 === 192.168.11.0 netmask 255.255.255.128
11000000,10101000,00001011,0
11000000,10101000,00001011,00000000 192.168.11.0 网络号
11000000,10101000,00001011,01111111 192.168.11.127 广播地址
11111111,11111111,11111111,10000000 255.255.255.128
192.168.11.128/25 === 192.168.11.128 netmask 255.255.255.128
11000000,10101000,00001011,10000000
11111111,11111111,11111111,10000000
11000000,10101000,00001011,1
11000000,10101000,00001011,10000000 192.168.11.128 网络号
11000000,10101000,00001011,11111111 192.168.11.255 广播地址
a:红蜘蛛广播
b: 限制无线路由器的ip的数量
子网掩码的值
192.168.1.0/28
c: 运营商的固定ip数限制
电信给了我一个公网ip
9:dns解析流程
dns:domain name system域名系统
DNS服务器:
百度:111.13.100.92
腾讯:199.22.22.22
网易:123.55.22.66
dns服务器:把域名解析成ip地址
域名:baidu.com
dns服务器:baidu.com 119.22.22.22
描述:打开浏览器输入www.oldboyedu.com地址之后回车,网站的打开流程?
1)把www.oldboyedu.com解析成公网ip地址
2)浏览器使用它的公网ip访问www.oldboyedu.com的网站服务器
dns记录的类型:
qstack.com
A ip地址
CNAME 把你的域名解析到另一个域名 为网站添加cdn
MX 解析邮箱地址
NS dns.qstack.com NS == name server 授权dns
dns的命令
dig
dig @223.5.5.5 www.baidu.com +trace
dig www.baidu.com
nslookup
nslookup www.oldboyedu.com
host
host www.oldboyedu.com
10:arp协议
arp 数据链路层
ARP(Address Resolution Protocol)
把ip地址解析成mac地址
arp要注意的
a:arp欺骗
b:如果局域网规模太大,广播风暴
11:tcpdump抓包
tcpdump -i eth0 port 80 -nn -S
-i 指定网卡
port 指定端口号 http 80;ftp 21 ;ssh 22;telnet 23;smtp 25 ;dns udp53 ;ntp udp 123
抓icmp
tcpdump -i eth0 icmp -n
-n 不把ip解析成主机名
-nn 不把端口解析成应用层协议
-c 指定抓包的数量
-S 不把随机序列和确认序列解析成绝对值
tcpdump -i eth0 port 80 -c 10 -S
抓tcp某端口的数据包
tcpdump -i eth0 tcp port 21 -nn
抓udp某端口的数据包
tcpdump -i eth0 udp port 53 -nn
抓icmp的数据包
tcpdump -i eth0 icmp -nn
tcpdump抓的包,wireshark分析
12:linux的网络命令和固定网卡名称为eth0
配置静态ip
[root@edu ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0
TYPE="Ethernet"
PROXY_METHOD="none"
BROWSER_ONLY="no"
BOOTPROTO="dhcp"
DEFROUTE="yes"
IPV4_FAILURE_FATAL="no"
IPV6INIT="yes"
IPV6_AUTOCONF="yes"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
IPV6_ADDR_GEN_MODE="stable-privacy"
NAME="eth0"
UUID="fb32c09d-5a9f-40b9-852b-0f44ff2202ed"
DEVICE="eth0"
ONBOOT="yes"
[root@edu ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0
TYPE="Ethernet" #以太网
BOOTPROTO="static" #dhcp自动,还是手动静态ip
NAME="eth0" #网卡的名字
DEVICE="eth0" #设备名eth0
ONBOOT="yes" #开启自动连接网络
IPADDR="192.168.11.88"
NETMASK="255.255.255.0"
GATEWAY="192.168.11.1"
DNS1="223.5.5.5"
DNS2="223.6.6.6"
ping:测试网络连通
-c 3
nc 网络的瑞士军刀
服务端:nc -u -l 10000
客户端:nc -u 192.168.11.88 10000
nmap 扫描端口,黑客喜欢用
nmap 192.168.11.88
nmap -p1-5000 192.168.11.88
iftop:监控网络流量
路由跟踪
traceroute -n www.qq.com (linux)
tracert -d www.qq.com (windows)
固定网卡名称为eth0:
1)grubby --update-kernel=ALL --args="net.ifnames=0 biosdevname=0"
2)修改网卡配置文件的名称
mv /etc/sysconfig/network-scripts/ifcfg-ens32 /etc/sysconfig/network-scripts/ifcfg-eth0
3)修改网卡配置文件中设备的名字
sed -i 's#ens32#eth0#g' /etc/sysconfig/network-scripts/ifcfg-eth0
4)重启 reboot init6 shutdown -r now
13:网络问题如何排查?
a:xshell连不上的问题
第一步:检查网络适配器,是否禁用vmware的虚拟机网卡
第二步:检查vmware net8的地址是和虚拟机的ip处于同一网段。
第三步:检查系统的vmware服务是否启动
第四步:检查虚拟机的网络适配器是否连接
第五步:在vmware控制台登录linux,查看是否有ip地址
b:ping 不通百度的问题
第一步:是否能ping通外网ip,223.5.5.5,能ping通,说明是dns配置问题
第二步:是否能ping通网关,route -n去查网关,如果能ping通网关,你可能被上网行为管理器限制,还有一种可能,你配置了一个错误的网关!
c:ping 不通vmware网关的问题
第一步:重启vmware nat服务
第二步:把虚拟机的网络适配器,先断开,再连接
第三步:进入vmware linux系统,systemctl restart network(重复3次)
企业里面上不了网:
第一步:检查物理是否正常
第二步:ping网关
第三步: ping公网ip
第四步:ping www.baidu.com
tracert -d www.qq.com
第五步:ping 自己服务器
14:静态路由项目
a:手动配置ip
b:克隆虚拟机
echo 'net.ipv4.ip_forward = 1' >>/etc/sysctl.conf
sysctl -p
15:使用iptables实现nat上网
network02:
a:添加网关10.0.0.254,使network02能够访问外网
GATEWAY=10.0.0.254
b:配置iptable转发规则
iptables -F
iptables -t nat -F
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
-t nat 指定nat表
-A POSTROUTING链 数据包离开的时候,做修改
I INSERT 往前插入一条规则
A APPEND 往后追加一条规则
D DELETE 删除一条规则
-F 清空iptables规则
-s 源ip或者源ip段
-j MASQUERADE 指定动作为,模拟路由器的外网ip 10.0.0.12
c:开启内核转发参考
echo 'net.ipv4.ip_forward = 1' >>/etc/sysctl.conf
sysctl -p
network03:
a:添加网关192.168.0.12,使network03能够访问外网
iptables 四表五链:
四表:
filter 过滤 , input forward output
nat 转换 , PREROUTING input output POSTROUTIONG
mangle 修改数据包信息
raw 追踪数据包
五链:
PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARD:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外转发
POSTROUTIONG:发送到网卡接口之前
黑名单模式
默认策略:ACCEPT
iptables -P INPUT ACCEPT
iptables -D INPUT -p tcp -s 10.0.0.1 --dport 22 -j DROP
白名单模式
默认策略: DROP
iptables -A INPUT -p tcp -s 10.0.0.1 --dport 22 -j ACCEPT
iptables -P INPUT DROP
iptables规则,从上往下
16:把linux变成路由器(iptables + dhcp服务)
dhcp分配信息包括:
ip地址
子网掩码
网关
dns
dhcp服务安装:
yum install dhcp -y
vim /etc/dhcp/dhcpd.conf
subnet 192.168.0.0 netmask 255.255.255.0 { #192.168.0.0网络号,255.255.255.0子网掩码
range 192.168.0.26 192.168.0.200; #ip地址分配范围
option domain-name-servers 223.5.5.5; #指定给客户端分配的dns地址
option routers 192.168.0.12; #指定给客户端分配的网关ip
option broadcast-address 192.168.0.255; #指定广播地址
default-lease-time 3600; #dhcp默认租约时间
max-lease-time 7200; #dhcp最长租约时间
}
systemctl start dhcpd
systemctl enable dhcpd
17:实现多层端口映射
iptables -t nat -A PREROUTING -d 10.0.0.12 -p tcp --dport 3022 -j DNAT --to-destination 192.168.0.2:22
iptables -t nat -A PREROUTING -d 10.0.0.12 -p tcp --dport 1022 -j DNAT --to-destination 192.168.0.50:22
-t nat表
-A PREROUTING链 数据包进来的时候做处理
-d 目的ip是10.0.0.12
-p tcp协议
-dport 目的端口
-j 指定动作 DNAT
DNAT 做目的ip地址转换
--to-destination 192.168.0.2:22
iptables -t nat -A PREROUTING -d 10.0.0.12 -p tcp --dport 1080 -j DNAT --to-destination 192.168.0.50:80
18:上网行为管理器panabit(unix)FREEBSD
panabit 使用freebsd系统
