pfSensebook之網(wǎng)絡(luò)概念-創(chuàng)新互聯(lián)

網(wǎng)絡(luò)概念

  • 了解公共和私人IP地址

    專注于為中小企業(yè)提供成都做網(wǎng)站、成都網(wǎng)站制作服務(wù),電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)梨樹免費做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動了上千企業(yè)的穩(wěn)健成長,幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴充和轉(zhuǎn)變。

  • IP子網(wǎng)劃分概念

  • IP地址,子網(wǎng)和網(wǎng)關(guān)配置

  • 了解CIDR子網(wǎng)掩碼表示法

  • CIDR概述

  • 廣播域名

  • IPv6

本書不是對網(wǎng)絡(luò)的介紹,但有一些網(wǎng)絡(luò)概念需要解決。 對于沒有基本的網(wǎng)絡(luò)基礎(chǔ)知識的讀者,我們建議找到更多的介紹性材料,因為本章不會提供所有必要的信息。 IPv6概念將在本章后面的IPv6中介紹。 為了清楚起見,傳統(tǒng)的IP地址被稱為IPv4地址。 除另有說明外,大多數(shù)功能都可以使用IPv4或IPv6地址。 通用術(shù)語IP地址是指IPv4或IPv6。

OSI模型層簡介

OSI模型具有由七層組成的網(wǎng)絡(luò)框架。 這些圖層按從低到高的順序排列。 下面解釋了每個級別的簡要信息。 更多信息可以在維基百科中找到(http://en.wikipedia.org/wiki/OSI_model)。

Layer 1 - 物理層:

指的是將原始數(shù)據(jù)傳輸?shù)剿懈邔拥碾娎|或光纜。
Layer 2 - 數(shù)據(jù)鏈接:

通常是指以太網(wǎng)或在線路上正在會話的另一個類似的協(xié)議。本書通常將第二層稱為以太網(wǎng)交換機或其他相關(guān)主題,如ARP和MAC地址。
Layer 3 - 網(wǎng)絡(luò)層:

用于將數(shù)據(jù)沿著一個主機到另一個主機的路徑傳遞的協(xié)議,例如IPv4,IPv6,路由,子網(wǎng)等。
Layer 4 - 傳輸層:

用戶之間的數(shù)據(jù)傳輸通常是指TCP或UDP或其他類似的協(xié)議。
Layer 5 - 會話層:

管理用戶之間的連接和會話(通常稱為“對話框”),以及如何正確連接和斷開連接。
Layer 6 - 表示層:

處理用戶所需的數(shù)據(jù)格式之間的任何轉(zhuǎn)換,如不同的字符集,編碼,壓縮,加密等。
Layer 7 - 應(yīng)用層:

與用戶或軟件應(yīng)用程序進(jìn)行交互,包括熟悉的協(xié)議,如HTTP,SMTP,SIP等

了解公共和私人IP地址

私人IP地址

網(wǎng)絡(luò)標(biāo)準(zhǔn)RFC 1918定義了保留的IPv4子網(wǎng),僅用于私有網(wǎng)絡(luò)(表RFC 1918專用IP地址空間)。 RFC 4193為IPv6(RFC 4193唯一本地地址空間)定義了唯一的本地地址(ULA)。 在大多數(shù)環(huán)境中,RFC 1918的私有IP子網(wǎng)被選擇并用于所有內(nèi)部網(wǎng)絡(luò)設(shè)備。 然后通過實施網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)軟件(如pfSense)的防火墻或路由器將設(shè)備連接到Internet。 IPv6通過全球單播地址(GUA)從內(nèi)部網(wǎng)絡(luò)完全路由而無需NAT。 NAT將在網(wǎng)絡(luò)地址轉(zhuǎn)換中進(jìn)一步解釋。

RFC 1918 私有IP地址空間
CIDR 范圍IP 地址范圍
10.0.0.0/810.0.0.0 - 10.255.255.255
172.16.0.0/12172.16.0.0 - 172.31.255.255
192.168.0.0/16192.168.0.0 - 192.168.255.255

RFC 4193特有的本地地址空間
前綴IP 地址范圍
fc00::/7fc00:: - fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

特殊用途IPv4網(wǎng)絡(luò)的完整列表可以在RFC 3330中找到。有一些私有IPv4地址,例如1.0.0.0/8和2.0.0.0/8,這些IPv4地址已經(jīng)分配給日益縮小的IPv4池。 使用這些地址是有問題的,不建議使用。 此外,避免使用169.254.0.0/16,根據(jù)RFC 3927保留“Link-Local”自動配置。 它不應(yīng)該由DHCP分配或手動設(shè)置,并且路由器將不允許來自該子網(wǎng)的數(shù)據(jù)包在特定的廣播域外傳播。 RFC 1918有足夠的地址空間,所以不需要突破RFC 1918私有IP地址空間中的地址范圍。 不正確的尋址會導(dǎo)致網(wǎng)絡(luò)故障,應(yīng)該予以糾正。

公共 IP地址

除大的網(wǎng)絡(luò)外,公共IP地址由互聯(lián)網(wǎng)服務(wù)提供商分配。需要數(shù)百或數(shù)千個公共IP地址的網(wǎng)絡(luò)通常具有直接從其地區(qū)互聯(lián)網(wǎng)注冊機構(gòu)(RIR)分配的地址空間。 RIR是一個監(jiān)督在世界指定地區(qū)分配和注冊公共IP地址的組織。

大多數(shù)住宅互聯(lián)網(wǎng)連接被分配一個公共IPv4地址。大多數(shù)業(yè)務(wù)類連接被分配多個公共IP地址。在許多情況下,單個公共IP地址就足夠了,可以與NAT一起使用,將數(shù)百個專用地址系統(tǒng)連接到Internet。這本書將有助于確定所需的公共IP地址的數(shù)量。

大多數(shù)IPv6部署將使最終用戶至少有一個/ 64前綴網(wǎng)絡(luò)用作路由內(nèi)部網(wǎng)絡(luò)。對于每個站點,大致有2 64個IPv6地址或18個地址,完全從Internet上路由而不需要NAT。

保留和文件地址

除了在RFC 1918中定義的范圍之外,RFC 5735還描述了為其他特殊用途(如文檔,測試和基準(zhǔn)測試)保留的IP范圍。 RFC 6598更新了RFC 5735,并為運營商級NAT定義了地址空間。 這些特殊的網(wǎng)絡(luò)包括:

RFC 5735 保留地址空間
CIDR 范圍目的
192.0.2.0/24文檔和示例代碼
198.51.100.0/24文檔和示例代碼
203.0.113.0/24文檔和示例代碼
198.18.0.0/25對網(wǎng)絡(luò)設(shè)備進(jìn)行基準(zhǔn)測試
100.64.0.0/10電信級NAT空間

在整本書中,我們使用了來自上述文檔范圍的地址以及RFC 1918網(wǎng)絡(luò)的示例,因為它們對用戶更為熟悉。

有些人發(fā)現(xiàn)這些地址昨時用于×××甚至本地網(wǎng)絡(luò)。 我們不推薦將它們用于除預(yù)定目的以外的任何其他用途,但是它們比RFC 1918網(wǎng)絡(luò)更不容易被看到。

IP子網(wǎng)劃分概念

在設(shè)備上配置TCP / IP設(shè)置時,必須指定子網(wǎng)掩碼(或IPv6的前綴長度)。 此掩碼使設(shè)備能夠確定本地網(wǎng)絡(luò)上的哪些IP地址,以及設(shè)備路由表中的網(wǎng)關(guān)必須到達(dá)哪些IP地址。 默認(rèn)的LAN IP地址為192.168.1.1,掩碼為255.255.255.0或CIDR表示的/ 24的網(wǎng)絡(luò)地址為192.168.1.0/24。

IP地址,子網(wǎng)和網(wǎng)關(guān)配置

主機的TCP / IP配置由地址,子網(wǎng)掩碼(或IPv6的前綴長度)和網(wǎng)關(guān)組成。 IP地址與子網(wǎng)掩碼的結(jié)合是主機如何識別本地網(wǎng)絡(luò)上的哪些IP地址。本地網(wǎng)絡(luò)以外的地址被發(fā)送到主機配置的默認(rèn)網(wǎng)關(guān),它假定將把流量傳遞到所需的目的地。此規(guī)則的一個例外是指示設(shè)備聯(lián)系通過本地連接的路由器可達(dá)的特定非本地子網(wǎng)的靜態(tài)路由。網(wǎng)關(guān)和靜態(tài)路由的列表保存在每個主機的路由表上。

在典型的pfSense部署中,主機會在pfSense設(shè)備的LAN范圍內(nèi)分配一個IP地址,子網(wǎng)掩碼和網(wǎng)關(guān)。 pfSense上的LAN IP地址成為默認(rèn)網(wǎng)關(guān)。對于通過LAN以外的接口連接的主機,請使用適用于設(shè)備連接的接口的相應(yīng)配置。

一個網(wǎng)絡(luò)中的主機直接相互通信,而不需要默認(rèn)網(wǎng)關(guān)的參與。這意味著沒有防火墻(包括pfSense)可以控制網(wǎng)段內(nèi)的主機到主機的通信。如果需要此功能,則需要通過使用多個交換機,VLAN來分割主機,或使用PVLAN等同等交換機功能。虛擬局域網(wǎng)(VLAN)涵蓋VLAN。

了解CIDR子網(wǎng)掩碼表示法

在配置地址和網(wǎng)絡(luò)時,pfSense使用CIDR(Classless Inter-Domain Routing,也叫無類別域間路由,它消除了傳統(tǒng)的A類、B類和C類地址以及劃分子網(wǎng)的概念,因而可以更加有效地分配IPv4的地址空間。它可以將好幾個IP網(wǎng)絡(luò)結(jié)合在一起,使用一種無類別的域際路由選擇算法,使它們合并成一條路由從而較少路由表中的路由條目減輕Internet路由器的負(fù)擔(dān)。)表示法,而不是通用子網(wǎng)掩碼255.x.x.x。 請參閱下表CIDR子網(wǎng)表:查找十進(jìn)制子網(wǎng)掩碼的CIDR值。

CIDR 子網(wǎng)表
子網(wǎng)掩碼CIDR 前綴總IP地址數(shù)可用的IP地址數(shù)24網(wǎng)絡(luò)的數(shù)量
255.255.255.255/32111/256th
255.255.255.254/3122*1/128th
255.255.255.252/30421/64th
255.255.255.248/29861/32nd
255.255.255.240/2816141/16th
255.255.255.224/2732301/8th
255.255.255.192/2664621/4th
255.255.255.128/251281261 half
255.255.255.0/242562541
255.255.254.0/235125102
255.255.252.0/22102410224
255.255.248.0/21204820468
255.255.240.0/204096409416
255.255.224.0/198192819032
255.255.192.0/1816,38416,38264
255.255.128.0/1732,76832,766128
255.255.0.0/1665,53665,534256
255.254.0.0/15131,072131,070512
255.252.0.0/14262,144262,1421024
255.248.0.0/13524,288524,2862048
255.240.0.0/121,048,5761,048,5744096
255.224.0 0/112,097,1522,097,1508192
255.192.0.0/104,194,3044,194,30216,384
255.128.0.0/98,388,6088,388,60632,768
255.0.0.0/816,777,21616,777,21465,536
254.0.0.0/733,554,43233,554,430131,072
252.0.0.0/667,108,86467,108,862262,144
248.0.0.0/5134,217,728134,217,7261,048,576
240.0.0.0/4268,435,456268,435,4542,097,152
224.0.0.0/3536,870,912536,870,9104,194,304
192.0.0.0/21,073,741,8241,073,741,8228,388,608
128.0.0.0/12,147,483,6482,147,483,64616,777,216
0.0.0.0/04,294,967,2964,294,967,29433,554,432

注意

使用/ 31網(wǎng)絡(luò)是RFC 3021定義的特殊情況,其中子網(wǎng)中的兩個IP地址可用于點對點鏈接以節(jié)省IPv4地址空間。 并非所有操作系統(tǒng)都支持RFC 3021,所以請謹(jǐn)慎使用。 在不支持RFC 3021的系統(tǒng)上,子網(wǎng)不可用,因為子網(wǎng)掩碼定義的唯一兩個地址是空路由和廣播,并且沒有可用的主機地址。

pfSense 2.3.4-RELEASE-p1支持使用/ 31網(wǎng)絡(luò)接口和虛擬IP地址。

那么CIDR值從哪里來?

當(dāng)轉(zhuǎn)換為二進(jìn)制時,CIDR值來自子網(wǎng)掩碼中的數(shù)字。

常見的子網(wǎng)掩碼255.255.255.0是二進(jìn)制的11111111.11111111.11111111.00000000。 這加起來有24個,因此是/24。

子網(wǎng)掩碼255.255.255.192是二進(jìn)制的11111111.11111111.11111111.11000000,或者26個,因此是/ 26。

CIDR概述

除了指定子網(wǎng)掩碼之外,CIDR還可以用于IP或網(wǎng)絡(luò)匯總目的。 CIDR子網(wǎng)表中的“總IP地址”列指出給定CIDR掩碼總結(jié)了多少個地址。 出于網(wǎng)絡(luò)匯總的目的,“24網(wǎng)絡(luò)數(shù)量”列是有用的。 CIDR匯總可用于pfSense Web界面的多個部分,包括防火墻規(guī)則,NAT,虛擬IP,IPsec和靜態(tài)路由。

可以包含在單個CIDR掩碼中的IP地址或網(wǎng)絡(luò)被稱為“CIDR可匯總的”。

在設(shè)計網(wǎng)絡(luò)時,確保在特定位置使用的所有專用IP子網(wǎng)都是CIDR可匯總的。 例如,如果在一個位置需要三個/ 24子網(wǎng),則應(yīng)使用子網(wǎng)劃分為四個/ 24網(wǎng)絡(luò)的一個/ 22網(wǎng)絡(luò)。 下表顯示了與子網(wǎng)10.70.64.0/22一起使用的四個/ 24個子網(wǎng)。

CIDR 路由可匯總
10.70.64.0/22 分成24網(wǎng)絡(luò)
10.70.64.0/24
10.70.65.0/24
10.70.66.0/24
10.70.67.0/24

這使通過使用專用WAN線路或×××連接到另一個物理位置的多站點網(wǎng)絡(luò)的路由更易于管理。 使用CIDR可匯總的子網(wǎng),一個路由目標(biāo)覆蓋每個位置的所有網(wǎng)絡(luò)。 沒有它,每個位置有幾個不同的目標(biāo)網(wǎng)絡(luò)。

可以在subnetmask.info網(wǎng)站上找到的網(wǎng)絡(luò)計算器進(jìn)行CIDR計算。

計算器從點分十進(jìn)制轉(zhuǎn)換為CIDR掩碼,反之亦然,如圖下圖所示。 如果本章提供的CIDR子網(wǎng)表不可用,可以使用此工具將CIDR前綴轉(zhuǎn)換為點分十進(jìn)制表示法。 輸入CIDR前綴或點分十進(jìn)制掩碼,然后單擊相應(yīng)的計算按鈕以查找轉(zhuǎn)換。

pfSense book之網(wǎng)絡(luò)概念

子網(wǎng)掩碼轉(zhuǎn)換

在Network/Node Calculator(網(wǎng)絡(luò)/節(jié)點計算器)部分輸入十進(jìn)制掩碼和IP地址, 點擊Calculate, 在下面就會顯示計算的結(jié)果。 在本例子中,網(wǎng)絡(luò)地址是10.70.64.0/22,可用的/ 24網(wǎng)絡(luò)是64到67。本表中的術(shù)語“Broadcast Address(廣播地址)”是指該范圍內(nèi)的高地址。

pfSense book之網(wǎng)絡(luò)概念

Network/Node Calculator(網(wǎng)絡(luò)/節(jié)點計算器)

找到一個匹配的CIDR網(wǎng)絡(luò)

別名支持格式為x.x.x.x-y.y.y.y的IPv4地址范圍。 對于網(wǎng)絡(luò)類型別名,IPv4范圍將自動轉(zhuǎn)換為等效的CIDR塊。 對于主機類型別名,范圍將轉(zhuǎn)換為IPv4地址列表。

如果不需要完全匹配,則可以將數(shù)字輸入到Network/Node Calculator(網(wǎng)絡(luò)/節(jié)點計算器)進(jìn)行計算。

廣播域名

廣播域是共享同一個第2層網(wǎng)段的網(wǎng)絡(luò)部分。在沒有VLAN的單個交換機的網(wǎng)絡(luò)中,廣播域就是整個交換機。在沒有使用VLAN的多個互連交換機的網(wǎng)絡(luò)中,廣播域包括所有這些交換機。

單個廣播域可以包含多個IPv4或IPv6子網(wǎng),但是,這通常不被認(rèn)為是良好的網(wǎng)絡(luò)設(shè)計。應(yīng)通過使用單獨的交換機或VLAN將IP子網(wǎng)隔離到不同的廣播域中。例外是在單個廣播域內(nèi)運行IPv4和IPv6網(wǎng)絡(luò)。這就是所謂的雙堆棧,它是一種常用且有用的技術(shù),它為主機使用IPv4和IPv6連接。

廣播域可以通過將兩個網(wǎng)絡(luò)接口橋接在一起進(jìn)行組合,但是在這種情況下必須小心避免交換機環(huán)路。對于某些沒有組合廣播域但具有相同凈效應(yīng)的協(xié)議,也可以通過代理,例如將DHCP請求轉(zhuǎn)發(fā)到另一個接口上的廣播域的DHCP中繼。

翻譯自pfsense book!

2017-11-11

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

本文標(biāo)題:pfSensebook之網(wǎng)絡(luò)概念-創(chuàng)新互聯(lián)
文章位置:http://bm7419.com/article14/dihgge.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供商城網(wǎng)站、App設(shè)計、網(wǎng)站設(shè)計公司、網(wǎng)站建設(shè)自適應(yīng)網(wǎng)站、動態(tài)網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都做網(wǎng)站