0、序言
《网络之路》系列编写的背景比较简单,我在2022年11月份以近乎裸考的状态通过了软考高级网络规划设计师认证,让我感觉我这些年做的笔记没有白费,日日学才能日日精,读书破万卷,下笔如有神。这里也是想告诉新学者,只要足够勤奋再简单的知识也能推陈出新。
本系列文章计划的主要受众是大学生、应届生以及其他有一定学习能力的人员,我们将从Windows电脑系统开始,一同打开网络世界的大门。
1、Windows系统中的网络
为了方便大家理解,前面简单介绍了一下OpenStack(什么是OpenStack?),主要是想引出其对云计算场景中的资源分类,尤其是三大核心组件:负责计算服务的Nova、负责网络服务的Neutron和负责存储服务的Cinder。
对应到我们日常使用的电脑上面,计算服务主要是指CPU、内存、显卡这类和电脑性能关联性较强的组件,存储服务主要是指硬盘、移动硬盘、U盘等具有数据存储功能的组件,网络服务主要网卡、蓝牙、Modem等组件。
在相同的硬件资源下,我们可以在上层安装不同的操作系统,比如说常用的Windows系统(Windows跳板机部署)、Linux系统(CentOS操作系统最小化安装部署、Ubuntu的安装初体验)、macOS系统(VMware ESXI部署macOS(上)、VMware ESXI部署macOS(下))、Android系统(既然Win11不支持Android,那就直接装一台Android-X86吧)等。这里面应该属Linux系统比较典型,日常使用中,Linux系统经常是不使用UI桌面进行交互的,主要是在命令行进行操作,当有需要时,我们可能才考虑为系统安装一个桌面组件(配置CentOS 7通过MSTSC连接远程桌面)。
1.1、桌面中的网卡
那我们现在要学习网络,首先要了解电脑上有什么网络。
一般来讲,如果我们想查看电脑的网络设置时,一般可以右击任务栏右下角的网卡图标,然后选择“打开网络和Internet设置”。
不同版本系统的页面可能存在差异,但是Windows 11以下的系统都是在页面中找到“更改适配器选项”,然后点击,我们就进入到了“网络连接”页面。
可以看到,该页面通过控制面板打开的层级为“控制面板\网络和 Internet\网络连接”。或者说,你也可以通过运行“ncpa.cpl”来打开“网络连接”页面。
在“网络连接”页面中,我们找到正在使用的网卡,右击图标,可以看到一些常用选项,一般最常用的是“状态”和“属性”,我们先选择“状态”。
然后我们就能得到网卡的“状态”信息和“网络连接详细信息”。
在“状态”信息中,我们一般关注IPv4连接的状态是否是Internet,如果不是Internet,可能会访问互联网受限;还有速度是否和网卡速率匹配,这个速率决定了文件传输的最大速度,如果是100 Mbps的速度,传输文件最快是100/8=12.5 MBytes/s。点击“详细信息”,我们主要关注IPv4地址、IPv4子网掩码、IPv4默认网关和IPv4 DNS服务器信息,这些决定了我们访问网络时所使用的身份。
有关什么是IP地址,可以参考一下(从家庭上网认识网络相关概念、网络协议:RFC791,INTERNET PROTOCOL);关于IP地址有哪些区别,可以参考(私有互联网的地址分配)。请注意:如果IPv4地址显示为169.254.x.x,一般为获取IPv4地址异常,无法访问网络,需要排查。
上面是有线网卡的状态,无线网卡的状态和有线网卡基本类似。
主要区别是无线网卡的速度比较多样,想了解数值具体是如何协商的可以参考(【科普文】为什么无线速率分144M、300M、866M?怎么来的?)。下面还有一个信号质量的图标,除此之外,其余状态信息基本保持一致。
前面的这些信息中,我们一般会手工修改影响我们网络身份的IPv4地址、IPv4子网掩码、IPv4默认网关和IPv4 DNS服务器信息。修改时,可以在“状态”页面点击“属性”,也可以直接在右击网卡时选择“属性”。
目前用的比较多的还是IPv4网络,我们可以选中“Internet协议版本4(TCP/IP4)”,然后点击“属性”,也可以直接双击“Internet协议版本4(TCP/IP4)”打开IPv4配置页面。
然后按照我们的实际需求,修改IP地址配置是“自动获得IP地址”还是“使用下面的IP地址”来手工指定IP地址;修改DNS服务器是“自动获取DNS服务器地址”还是“使用下面的DNS服务器地址” 来手工指定DNS服务器。配置完成后,点击“确定”退出配置页面。
以上是IPv4部分的网络配置,IPv6部分可以先参考之前的文章(IPv6协议规范、IPv6从入门到精通、IPv6地址架构一本通、听了无数遍的IPv4地址耗尽,IPv6应用的这些背景你需要了解一下),入门选手暂时无需了解。
1.2、命令行中的网卡
如果想进一步学习网络知识,肯定还是要了解命令行(Command Line Interface,CLI)配置的,在Windows系统中,一般常用CMD或PowerShell。
按“Win+R”组合键,打开运行对话框,输入“cmd”,按回车键来打开CMD控制台。
也可以输入“PowerShell”来打开PowerShell控制台,两者的命令大抵相同。
要查看网卡信息,可以在命令行中输入ipconfig命令来查看。
使用命令ipconfig /?我们可以看到ipconfig命令的所有用法,能通过UI交互配置的基本上都可以使用命令行配置。我们之前曾经演示过通过命令行和页面两种方式配置IPsec(使用MMC和netsh两种方式配置Windows Server传输模式IPsec)。
比如可以通过ipconfig /all命令显示网卡的完整配置信息,跟在页面看到的“网络连接详细信息”完全一致。
如果要检测网络连接,我们常使用的两条命令就是ping和tracert。
这两个命令都是基于ICMP协议的工具(Internet控制消息协议ICMP报文详解),ping用于探测网络是否可达,tracert用于探测网络转发路径。
到这里,我们大概掌握了如何查看电脑终端的网络身份-IP地址。从操作过程中不难看出,使用桌面UI进行配置,操作简单并且显示比较直观,但是步骤稍微多一些;而通过命令行进行配置,往往需要比较简单的命令就能获取比较全面的结果,但是相对而言的操作难度比较大。
那如果要区分UI交互操作和CLI命令行交互操作孰优孰劣,也只能是见仁见智了,一般配置的时候也是两者结合着来。
1.3、路由表
这里就可以提一个通过UI交互看不到的操作,那就是路由表。目前我们还没有什么方式可以在UI交互中找到路由表的相关展示界面,最简单的方法范围是通过命令行进行操作。
我们可以在命令行中通过route命令来操作网络路由表,最常用的命令就是print(打印路由)、add(添加路由)和delete(删除路由),还有一个不太常用的change(修改现有路由)。
例如,使用命令route print -4,就可以打印IPv4的所有路由表信息。
注意,这里就能看出命令行难不难了,如果大家具备高中的英语水平的话,就能看出route print可以直译成中文“路由打印”,-4代表强制匹配IPv4路由表。其实这也是一般系统的命令行配置的典型案例,比如其他的Linux操作系统、macOS操作系统等等,也都是采用这种英文单词组合的方式。比如在CentOS系统中,查看路由表的命令可以是route,-v表示查看详细信息。
也可以使用ip route。
这两个命令其实是有差别的,分别属于不同的模块。route命令就是route模块,ip route命令其实是ip命令下面的route模块,我们可以使用Linux系统的帮助命令help来查看详细信息。
ip help命令直译为“ip帮助”,可以查看ip命令支持的配置参数。可以看到,route只是众多配置参数中的一个。
而ip route help命令直译为“ip路由帮助”,可以查看ip route命令支持的配置参数。
对比route help(路由帮助)所显示的route命令所支持的配置参数,我们可以看到,两者的配置功能存在很大差异。这种情况下就要结合实际情况来进行使用了。
然后回到Windows系统中,还记得tracert看到的转发路径吗?
tracert的全称是traceroute,直译为“追踪路由”或“追踪路径”,也就是检查从电脑本机访问到目标站点所经过的网络转发设备。比如说我的电脑怎么知道第一跳要发送到192.168.1.1这台设备,就是查的本地的路由表。
路由表是一个网络设备(如路由器、交换机、网络终端等)中存储的表格,包含了该设备可到达其他网络的信息和如何到达这些网络的路径。路由表中的每一条记录称为路由项(或路由记录),它指示了到达某个目标网络的下一跳路由器或直接连接的接口,并指定了到达目标网络的路由协议和距离等信息。
还是以我们电脑的路由表为例,我们看到主要有5列,分别为网络目标、网络掩码、网关、接口和跃点数。接口指的就是我电脑本身的网卡所使用的IP地址,跃点数也叫距离,不过我们还是习惯称之为“优先级”,在网络目标和网络掩码相同时来区分几条路由项的优先级,数值更小的路由项会被优先选中以转发数据,下一跳就是网关对应的地址。
当终端或网络设备要发送数据包时,它会根据最长匹配原则查找路由表,确定数据包的下一步去向。查找成功之后设备将数据包转发到正确的下一跳路由器或直接连接的接口,最终到达目标网络。
网关这里我们可以看到他有3个值,网卡数量越多,对应的网关数量也就会越多。其中“在链路上”表示接口的IP地址可以匹配网络目标与网络掩码所对应的网络,如10.153.117.4/24可以分别对应10.153.117.0/255.255.255.0、10.153.117.4/255.255.255.255和10.153.117.255/255.255.255.255,参考(网络协议:RFC791,INTERNET PROTOCOL、从家庭上网认识网络相关概念)我们可以知道,这三个路由项可以简写成10.153.117.0/24、10.153.117.4/32和10.153.117.255/32,分别是网络地址、主机地址和广播地址。
1)网络地址(Network Address):网络地址是指一个IP地址中用来标识网络部分的位。在IPv4中,网络地址通常由32位二进制数表示,并根据子网掩码将其划分为网络地址和主机地址两部分。网络地址标识了设备所连接的网络。
2)主机地址(Host Address):主机地址是指一个IP地址中用来标识主机部分的位。主机地址标识了设备在该网络中的具体位置。
3)广播地址(Broadcast Address):广播地址是一个特殊的IP地址,用于向同一网络中的所有设备发送数据包。在IPv4中,广播地址的格式是将网络地址部分全部设置为1,主机地址部分全部设置为0,即最后一个主机地址。广播地址是一种广泛使用的网络通信机制,例如DHCP、ARP等都使用广播地址。
也就是说,当我们确定了接口的IP地址和掩码之后,就能对应的确认该IP地址所对应的网络地址、主机地址和广播地址,这几个路由项所对应的网关都是“在链路上”,去往这些网络目标的报文都会从对应的网卡进行转发,这些路由项也叫“直连路由”。
如果不是直连路由转发,那就要经过“网关设备”了。网关设备是一种用于实现网络互联的设备,通常用于将一个网络与另一个网络连接起来,从而实现网络间的通信。网关设备可以是路由器、交换机、防火墙、代理服务器等,它们的主要功能是实现数据包的转发和路由选择,如果要访问的目标IP地址不在网关设备上,他会继续重复查路由表转发这一操作,转发到它的“下一个”网关设备,以确保数据能够正确地到达目的地。
所以,就出现了我们使用tracert看到的一跳一跳的现象,除了最后一跳是目标主机之外,中间经过的每一跳都可以看做是一个“网关”。
还是之前上海的云主机,我通过openVPN实现了我电脑直连这台云主机(巧用openVPN实现访问云资源池业务),现在这台云主机上有两个网卡,都配置了IP地址。
我现在想从我的电脑上直接访问172.31.0.73/24这个IP地址,我们先看一下路由表的查表结果。
没有命中明细的路由项,只能匹配到0.0.0.0/0这个路由项,转发给192.168.1.1这个网关。但是实际上我们知道转发给192.168.1.1是不能成功转发到目的主机的,所以此时我们要修改主机的路由表,通过route add命令来增加一条路由项。
如果出现“请求的操作需要提升”这个提示,就说明我们该使用管理员权限了。
操作成功之后,我们就可以看到添加的路由项了。然后测试一下是否可以访问。
可以看到,正如我们前面所说,现在当请求报文转发给网关10.153.214.1时,他发现请求的IP地址就在本地,也就是“在链路上”,所以直接进行了响应。而配置路由这个操作,我们之前也使用了自动下发命令(解决openVPN的递归路问题还是要从服务器端下手),所以正常是可以直接通信的。
对应的,如果我们想删除这条路由,使用route delete命令就可以了。
以上只是经过一台网关设备的场景,如果经过多台网关设备,则在沿途的每一台设备上都要添加对应的路由表项,才能保证报文正确送达。
现在,你知道路由表对于网络通信的正确性和效率有多重要了吧?
1.4、家用路由器
要说网关设备,可能大家在日常生活中接触最多的应该就是家用无线路由器了。以我目前在用的路由器Mercury D121G来说,它主要由3部分组成:WAN、LAN和WLAN。
其中WAN全称是Wide Area Network,俗称广域网,是一个覆盖范围较大的网络,通常用于连接不同地区或城市的网络;对于家用路由器而言,一般指连接到互联网的接口,实现对互联网的访问。
LAN全称是Local Area Network,俗称局域网,是一个局限于特定区域内的网络,例如家庭、办公室、校园等。LAN的接入范围相对较小,设备连接较为方便,传输速度相对较快,成本较低。对于家用路由器而言,一般指路由器和终端通过网线连接的接口,并将家庭的所有网络设备连接到一起。
WLAN全称是Wireless Local Area Network,俗称无线局域网,可以理解为人们常说的Wi-Fi。WLAN的覆盖范围与LAN相似,但主要区别是wireless,和LAN使用的网线等有线电缆进行区分,WLAN使用无线技术Wi-Fi,不需要使用有线电缆,就可以可以满足手机、平板电脑等设备使用Wi-Fi等无线技术连接到LAN进行通信。WLAN便于设备的移动和部署,但速度相对较慢,信号受到环境、距离等因素的影响较大。
因为是家用无线路由器,它的配置和企业版的设备相比,就简单得多。这就和我们前面介绍Windows系统一样,家用路由器的功能基本上都能通过GUI界面的交互来实现,但是一些复杂的功能,还是需要通过命令来配置,这部分复杂的功能,需要在企业版设备上才能配置使用。
我们首先通过浏览器登录Mercury D121G的管理页面,地址栏输入我们前面看到的网关IP地址192.168.1.1,然后输入管理员的账号密码就可以登陆了。
登录成功之后,首页主要展示状态信息、基础的Wi-Fi设置和WAN口设置。
从上面的示意图中我们能看到设备左边显示的是连接互联网的示意图,这边就是WAN侧;右边是连接的设备信息,而且有两条线,一条的图标是网口,代表有线网LAN,另一条是无线的图标,代表无线网WLAN。
下面是网络相关的配置,因为一般家庭用路由器LAN侧仅支持一个网段,所以这里淡化了LAN侧相关的内网网段等配置,而且有线接口属于插上就能用的状态,所以简化的就只有Wi-Fi设置了。主要是配置无线网络名称SSID(Service Set Identifier,服务集标识符)和认证密码,这样我们搜索对应的无线名称,然后输入密码就可以加入到路由器网络了。
WAN口设置就是接入互联网的相关配置了,一般需要按照运营商所提供的上网方式来设置路由器,以正常联网。
常用的接入方式为“宽带拨号上网”,也叫PPPoE(Point-to-Point Protocol over Ethernet,在以太网上承载的PPP协议),之前我测试DDNS时发现自己分配到的是公网IP地址就是用的这种方式。
但是北京这边是用光猫做的拨号,所以正常我使用“自动获得IP地址”就可以了,但是毕竟我家里有服务器,我更喜欢使用手工指定IP地址的“固定IP地址”方式,在家用路由器领域也算是高端玩家了。
正常来讲,对于一般的家用网络,配置好这两个地方就能够让家里的设备访问到互联网了。但是现在我们要向网络工程师发起冲刺,肯定要更大程度地了解家用路由器的设置,为我们后面认识企业级路由器打下基础。
进入“高级设置”之后,我们看到左边的可配置项多了一些,包含了网络参数、Wi-Fi设置、上网控制、高级用户和设备管理等配置项。
在“WAN口设置”中,主要是多了“WAN口速率设置”和“数据包MTU”,老版本的路由器WAN口速率多为100 Mbps,限制了上网的速率;而我这里受光猫的影响,200 Mbps的宽带也只能协商到100 Mbps,本来我之前买了一个千兆口的光猫打算给大家演示一下刷华为EPON的,但是因为我没有宽带的账号密码导致计划流产。所以这里一般建议保持“10/100/1000M自动协商”就可以了。
LAN口设置,主要是配置LAN口的IP地址,也就是内网设备所看到的网关IP地址,如果你不喜欢192.168.1.1/24这个地址,也可以设置为“手动”来自行修改。
家用路由器中的NAT(Network Address Translation,网络地址转换)是在访问互联网时,将内网所有主机的私有IP地址转换为WAN口配置的IP地址的过程,用于实现允许LAN侧网络用户访问外部公共网络的目的。开启硬件NAT,可以使数据通过硬件转发,从而大幅提高数据转发速率,有效提高上网速率上限,使自己的情况进行修改,不过对于家用网络而言,影响不大。
MAC地址设置这个功能对于一般的家庭用户而言,根本用不到。如果确有需要,主要是某些企业用户对接入网络的终端MAC有认证,或者某些地区的运营商会将线路与MAC地址进行绑定,此时网络管理员或运营商会提供一个“有效的MAC地址”,我们需要通过本功能将MAC地址设置为该“有效的MAC地址”才能正常共享上网。
DHCP服务器,主要功能是通过DHCP协议自动给局域网中的设备分配IP、子网掩码、网关和DNS等网络参数配置(如果按照找工作来理解DHCP,那就简单明了了)。地址池开始地址和地址池结束地址决定了内网终端能获取到的IP地址范围;“地址租期”指自动分配的IP地址的有效时间,超过该时间后局域网内的设备将重新获取IP。“网关”指给局域网中设备分配的网关IP地址,默认为LAN口的IP地址。“DNS服务器”指给内网用户分配的DNS服务器地址,如果未指定,则默认使用路由器作为代理服务器进行解析。
IP与MAC绑定,通过添加IP地址与MAC地址的绑定条目,可以为指定内网终端始终分配固定的IP地址;同时,将IP地址和MAC地址进行ARP绑定,也可以使该主机可以免遭ARP攻击。
大多数的设备现在已经支持IPv6功能,但是我还是不太喜欢使用,如果数据转发路径中的任意一台广域网设备不支持IPv6,那我的业务都会受到影响。所以,建议您在确认宽带运营商、终端以及服务提供商支持IPv6功能的前提下再开启此功能。
“Wi-Fi设置”包含了主人网络、访客网络、定时开关和WDS无线桥接等配置,除了Wi-Fi名称和密码的配置之外,我们还可以配置信道、模式、频段带宽和信号强度等高级设置,使网络更好用。
上网控制中包含家长控制、行为管理和主人网络保护等功能,属于比基础网络更高级的行为管理功能。通过“家长控制”功能,我们可以对非家长设备的上网时间进行限制。通过“行为管理”功能,我们可以管理设备的上网行为,包括限制上网速率和上网时间。通过“主人网络保护”功能,我们可以创建一个“主人网络白名单”,使得列表外的无线设备无法连接到主人网络。
还有一些“高级用户”功能,如虚拟服务器、DMS主机、UpnP设置、路由功能、DDNS等配置,随着目前互联网IP地址的不断收紧,这些功能正在逐步离我们越来越远。通过“虚拟服务器”功能,我们可以使本路由器局域网中的某些服务器或服务端口可以在广域网被访问到,所有对此端口的服务请求将被重新定位给通过IP地址指定的局域网中的服务器。通过“DMZ主机”功能,可以使广域网中的设备直接访问到局域网中的DMZ主机。通过“DDNS服务”功能(DDNS配置详解),可以将WAN口的公网IP地址和DDNS服务商提供的固定域名进行绑定,使得外网主机和路由器进行通信时,可直接使用域名进行访问。
现在应该就剩下“路由功能”还能用了,我们可以配置静态路由条目,当数据包与静态路由匹配成功时,将按照指定的路径进行转发(网络之路2:初识路由表)。
最后就是“设备管理”了,我们可以配置WEB管理设置、软件升级、备份和导入、重启和恢复出厂设置、自动清理、修改管理员密码、诊断工具和系统日志等功能。这里面的功能大多可以通过名称来判断具体是什么用途,不再赘述。
最后提一下可能会比较实用的“诊断工具”,当我们访问网络出现异常或想检测网络状态时,我们可以使用其中的Ping或者Tracert工具,来诊断路由器的连接状态。
声明:文中观点不代表本站立场。本文传送门:https://eyangzhen.com/415344.html
