网络之路第一章:Windows系统中的网络
0、序言
1、Windows系统中的网络
1.1、桌面中的网卡
1.2、命令行中的网卡
1.3、路由表
1.4、家用路由器
2、认识企业设备
当我们对普通的设备功能有了一定的概念之后,我们就可以向高端设备发起冲击了!认识企业级设备的方式主要有接触真机和凭空想象等,对于一般的初学者、学生和网络爱好者等而言,接触真机的机会可能会比较少,那我们接下来的介绍当中,可能更多的是靠想象多一些。
出于对各大网络设备品牌的了解,我还是推荐H3C作为新手的入门第一课,原因很简单,目前业内能把产品资料和技术资料等做得像H3C一样开放的,应该是没有,开放的资料体系就是我推荐的最主要原因。当然也有其二,那就是我是个老华三。
2.1、MSR810-W外观
首先介绍的就是真机设备,目前我手上有且仅有的就是两台低端MSR设备,一台是MSR810-W,之前做过一些介绍(淘了一台二手的H3C企业路由器,就用它来打开网络世界的大门、网络设备基本命令操作);另一台是MSR810-LM,也有一些介绍(MSR810-LM快速配置通过LTE模块上网、拨号有公网Ip地址了,肯定要通过DDNS用起来啊!)。
以MSR810-W为例,设备的正面外观长这样:
前面板有5个千兆电口、1个千兆光口、2个USB接口、1个Console接口,还有Micro SD卡插槽和指示灯等。和普通家用无线路由器相比,可以看到设备也是区分了WAN口和LAN口的,MSR810-W的WAN口是电口GE0和光口SFP5,这个光口就比家用设备高级多了,毕竟光口可以支撑400 Gbps以上的数据转发能力,虽然这个只是千兆;MSR810-W的LAN口是电口GE1-GE4,这些LAN口均支持切换为WAN口,这是家用设备所不能支持的;现在有些高端一些的家用无线路由器开始支持USB接口了,但是应该还没有设备支持Console接口和Micro SD卡,Console接口给了我们接触设备更底层的能力。
如果对于面板组件有疑问的,可以参考官网的“机箱外观及其说明”部分。
在设备背面,我们可以看到MSR810-W的天线。很遗憾,这两根短短的天线只能证明它有无线接入的能力,但是其性能只能和10年前的家用无线路由器相比肩,2.4 GHz的天线最大仅能支持到300 Mbps的接入带宽。
2.2、登录MSR810-W管理页面
如果是首次登录设备,MSR810-W默认没有配置WLAN网络,我们需要通过有线LAN来接入设备。比较友好的是,像MSR810-W这种低端设备,默认开启了DHCP功能,只要将电脑接入到LAN口下面,即可自动获取到192.168.0.1/23网段的地址。
和普通家用无线路由器一样,我们也可以在Web浏览器中通过网关IP地址直接登录设备管理页面;并且设备默认配置了一个admin账户,密码也是admin,可以直接登录。
密码和账号相同,属于弱口令,出于安全考虑,首次登录会提示修改密码。
按要求修改一个满足要求的新密码,就可以登录进设备了。
为了适应更多用户的使用需求,H3C的很多中低端设备的WEB页面已经做了很多功能上和易用性上的改进了。
从首页我们可以看到,左边是设备的导航栏,包含系统信息、快速设置、网络设置、上网行为管理、网络安全、认证管理、虚拟专网、高级选项和系统工具等,比家用无线路由器多了不少新功能。
拿系统信息来说,普通家用无线路由器有些可以看到运行时间、接口速率等信息,但很少能看到CPU使用率、内存使用率和端口状态等信息。这是一台2016年生产的设备,它拥有1 GB的运行内存,同时期的家用无线路由器高配也不过128 MB的运行内存,差了8倍以上。
别看它复杂,也有方便操作的一面。
在“系统信息”下的“功能向导”页签中,集合了比较常用的上网配置、上网行为、接入安全和设备维护等功能。
2.3、快速设置上网
如果您对设备丰富的功能不感兴趣,只是单纯想搞一台高性能的路由器来上网,那直接通过界面上“快速设置”进行操作就可以了(脚本案例来了!一台初始化配置的MSR810-W快速满足业务上线的4个要求)。
第一步是选择需要使用几个WAN口来接入互联网。如果用户仅租用了一个运营商网络,选择“单WAN场景”就可以了;如果用户租用了两个运营商网络,则可以使用“双WAN场景”。单WAN和双WAN场景的配置方法相同,理论上讲,设备最大应该可以支持通过5个物理接口接入5个运营商网络。
这里我们直接选择最常见的“单WAN场景”,和普通家用无线路由器相比,MSR810-W支持的连接方式也是PPPoE、DHCP和固定地址3种,但是它可以选择指定WAN接口线路(包括电口GE0、光口GE5和两个USB扩展的LTE模块)。
比如我们线路选择接线的“WAN0(GE0)”口,连接方式选择比较常用的PPPoE,再输入账号密码即可。
然后是“LAN配置”,也就是局域网配置,可以选择保持默认或自定义修改。
确认配置,点击“完成”。
一般来讲,到这里设备的基础配置就完成了,我们就可以通过MSR810-W的有线LAN来正常上网了。这是一台2016年的设备,只有200多块钱的价格,放到现在比中高端的家用路由器性能一点不差,只不过WLAN性能比较差罢了。
2.4、WLAN配置
在“快速设置”当中,是没有包含WLAN相关的配置,这就体现出和普通家用无线路由器的差异了。而且,设备的WLAN功能默认也是关闭的,需要手工配置才能使用。
如果我们要配置MSR810-W并不怎么好用的WLAN功能,需要在“网络设置”下的“WLAN配置”中进行操作。
可以看到,“WLAN配置”下共有两个页签:“无线服务”和“射频接口”。无线服务包括无线网络的SSID、加密和认证方式、密钥等配置。
我们点击页签中的“添加”按钮来创建无线服务,无线服务名称是这个配置的名称,而SSID(Service Set Identifier,服务集标识符)才是我们在连接WLAN网络时能看到的名称。加密方式一般分为两种,一种是开放式系统认证(Open system authentication),也就是不认证,对应图中的“非加密”选项;另一种是共享密钥认证(Shared key authentication),或称预共享密钥模式(pre-shared key),对应图中其他3个选项中的PSK;图中的WPA和WPA2都是802.11i安全机制,又被称为RSNA(Robust Security Network Association,健壮安全网络连接)安全机制,分为WPA(Wi-Fi Protected Access,Wi-Fi保护访问)和RSN(Robust Security Network,健壮安全网络),RSN也被称为WPA2。
除“非加密”的加密方式之外,都需要配置密钥(预共享密钥PSK)来做接入认证,也就是我们连接WLAN时输入的密码。“绑定VLAN”属于高级一点的功能,我们以后再介绍,这里使用默认即可。“无线服务状态”一定要选“开启”,否则没有无线信号。射频这里仅支持2.4 GHz,如果要用,就只能选它了。
最后点击“确定”,一个无线服务就创建好了。
然后我们就能搜到这个SSID了,可以看到,这里显示的名称不是无线服务名称,需要注意。
这时我们就可以正常连接进行使用了。
但是,毕竟是企业级路由器,多创建几个无线服务总是可以的。
这样,我们就拥有了4种不同配置的无线服务了。
从电脑终端来看,h7c是开放的,当我们尝试连接时,电脑也会提醒我们“其他人可能会看到你通过此网络发送的信息”。
所以,没有特殊情况的话,还是使用WPA/WPA2-PSK就好了。
在“射频接口”页签中,主要是调整天线相关的配置。
设备仅支持一个“射频接口”,不能更改;信道是具有一定频宽的射频,在WLAN标准协议里,2.4 GHz频段被划分为13个相互交叠的信道,每个信道的频宽是22 MHz,信道间隔为5 MHz;所以这13个信道里只有3个没有相互交叠的独立信道1、6、11,对于大型WLAN组网,肯定要考虑相关的信道设置,个人使用选择“自动”即可。
关于射频模式和带宽,可以参考之前的(【科普文】为什么无线速率分144M、300M、866M?怎么来的?)。对比802.11b、802.11g和802.11gn,不难看出,802.11gn能达到更大的链路速率,所以直接配置802.11gn就好了。
频宽参考下面这张图就好理解了,如果想要大带宽,我们就选择数值更大的40 MHz就好了。
当我们使用20 MHz的带宽时,无线链路速度是144.4 Mbps。
而当我们使用40 MHz的带宽时,无线链路速度就可以达到300 Mbps了。
2.5、LTE模块配置
我们从设备外观可以看到,MSR810-W前面板上有2个USB接口,我们可以通过这2个USB接口在设备上安装移动通信Modem模块(USB 3G/4G Modem),之后设备就可以接入移动通信网络。接入之后分别对应线路中的USB SIM0(Cellular0/0)和USB SIM1(Cellular0/1)。
USB 3G/4G Modem模块支持热插拔,并采用固定的Cellular接口对其配置进行管理。在设备没有安装模块的情况下,用户也可以进入该Cellular接口对模块进行配置,配置的参数在USB 3G/4G Modem模块被拔出后,可以继续保存。
虽然我有3个无线网卡,但是不确定适配关系。所以这里我们用另一台MSR810-LM来展示一下相关配置(MSR810-LM快速配置通过LTE模块上网)。
MSR810-LM内置的3G/4G Modem支持LTE-TDD和LTE-FDD,配置上相对于外接的移动通信Modem模块要简单得多,因为设备默认配置里面就有这部分的拨号配置,直接插上SIM卡就能看到设备面板上的LTE指示灯一直在闪烁。
为了确认,我们登录到设备的WEB管理页面,在“网络设置”→“外网配置”→“WAN配置”下面,可以看到存在一个接口SIM0,连接模式为拨号,已经获取到了IP地址。
接口的默认配置如下:
设备默认使用的是自动选择运营商模式,网络制式也是自动。如果明确自己的网络运营商和网络制式,我们也可以调整对应的配置,比如把运营商修改为电信,制式手工调整为4G。
然后我们可以看到再次拨号成功之后,IP地址发生了变化,整体连接速度还是很快的。所以,如果没有特殊需求,可以不调整网络制式,直接保持自动配置即可。
最后我们测速看一下带宽。
可以看到,下行带宽大约是43 Mbps,上行带宽大约是31 Mbps,网速基本保持稳定。在相同位置下,手机的下行带宽要高一些,但是上行带宽略低,同时上行带宽不太稳定。相比之下,MSR 810的测速结果比手机要稳定一些。
2.6、MSR810-W高级设置
除了前面介绍的这些基本配置,MSR810-W还有哪些作为企业路由器才有的高级功能呢?
首先,我们可以在H3C官网打开“导航”,依次选择“产品与解决方案”→“智能联接”→“路由器”,进入到路由器产品的介绍页面。
然后在“选择最适合您业务的产品”中,选择到“H3C MSR系列开放多业务路由器”下面的“H3C MSR 810无线营销路由器产品”,进入MSR 810的产品介绍页面。
在“选配信息”中,我们可以看到该系列所有的产品型号。现在我已经有MSR810-W(企业级6端口千兆无线路由器)和MSR810-LM(MSR810 企业级6端口千兆4G LTE路由器)这两款了。
在“组网应用”中,我们可以看到官方给出的3个典型场景,分别是贴合SDN应用场景的“AD-WAN总部-分支组网”、介绍功能完备性和智能化网络管理的“商业连锁企业组网”和突出产品安全功能的“金融广域网组网”。这些场景使用普通家用路由器基本上是无法满足的。
在“产品特点”中,我们可以看到比较详细的功能介绍,这些基本上都是普通路由器所不能支持的产品能力,比如SDN能力、上网行为管理和审计、VPN和安全防护功能、3G/4G无线通信和智能化网络管理等。
回到MSR810-W的配置页面,我们看看有哪些是普通家用路由器所没有的功能。首先是“网络设置”→“外网配置”中的“修改多WAN策略”,如果同时接入了两条及以上的宽带,我们就可以设置这些链路之间负载策略了。可以是平均分担或按照实际链路带宽分担,也可以是基于运营商进行转发或指定运营商的带宽,这两种都是提高带宽使用率的方法(一条100M宽带 + 一条200M宽带 = 300M,怎么就有人不信呢?);或者指定多链路作为主备链路使用,能提高可靠性,但是不能提高带宽。
当路由器配置了公网地址时,在多WAN场景下,为了确保进入和离开本地局域网的报文通过同一个WAN接口转发回互联网,需要开启“保存接口上一跳”功能。
在“网络设置”的“端口管理”中,支持将LAN侧的二层交换接口切换为三层路由接口使用。我们后面会介绍网络模型,到时候我们就会知道,“二层交换接口是在数据链路层上工作的接口,它们主要用于交换机连接计算机或服务器等网络设备;当数据从一个端口进入交换机时,交换机会根据目标MAC地址将数据转发到正确的端口,二层交换接口只处理MAC地址,不涉及网络层的IP地址。而三层路由接口是在网络层上工作的接口,它们主要用于连接路由器和其他网络设备,当数据从一个端口进入路由器时,路由器会根据目标IP地址将数据转发到正确的端口;三层路由接口可以实现网络的分段和子网划分,并且可以在不同的子网之间转发数据”。
一般的家用路由器可能也支持“NAT配置”,但是企业路由器能支持例如地址池转换、NAT hairpin或NAT ALG等这类高级配置,实现更多功能。
到这里,我们可以发现,“网络设置”中的高级功能大部分是和是否有公网地址、有几条互联网线路、有几个公网IP地址等问题相关的,这些都是普通家用宽带不满足的使用条件。
在“带宽管理”中,我们可以看到普通家用路由器一般都没有的“带宽保障”功能,这能保证我们在上网拥塞的时候优先保证部分用户的流量,或者保证某些应用的流量,提升上网体验。
在“上网行为管理”中,我们可以对用户访问的网址或应用进行控制,并可基于用户组和时间段等限制条件对用户的上网行为进行精细控制。效果可以参考我们之前配置的黑名单(如何通过iptables配置URL过滤黑名单?)或白名单(如何通过iptables配置URL过滤白名单?)。
如果您想使用上网行为管理但是又缺少相关配置经验的话,可以调用系统中预配置的“应用特征库”或“网址特征库”,如果需要更新特征库,就需要额外付费了。
如果启用了应用审计或网址过滤功能,我们还可以设置查看上网行为管理功能的应用控制功能和网址控制功能产生的日志信息,方便管理员对用户的上网行为进行分析与审计,也满足了公安部的审计要求。
在“网络安全”配置中,我们可以启用一些类如DDoS攻击防御、ARP攻击防御之类的高级安全特性。
“认证管理”这个配置就比较厉害了,通过配置Portal认证作为接入认证,可以对用户进行身份认证,以达到对用户访问进行控制的目的;支持WEB网页认证和微信客户端认证两种方式。也可以为不需要通过Portal认证即可访问网络资源的用户设置免认证规则。
“虚拟专网”其实就是VPN技术,也是我们之前做了大量介绍的内容(VPN专辑)。在WEB页面的配置中,仅展示了IPsec VPN和L2TP VPN的相关配置,像GRE VPN、ADVPN、MPLS VPN等高级VPN配置,就需要在命令行进行配置了。
在“高级选项”中,我们可以配置静态DNS或动态DNS(DDNS配置详解),还可以配置静态路由或策略路由,还有监控设备状态的SNMP(Simple Network Management Protocol,简单网络管理协议)协议、通过ACS(Auto-Configuration Server,自动配置服务器)对CPE(Customer Premises Equipment,用户侧设备)进行远程集中管理的CWMP(CPE WAN Management Protocol,CPE广域网管理协议)等。
在“系统工具”中,我们还可对接口的流量进行镜像,还可以进行抓包;还可以一键收集设备的诊断信息,这个“诊断”将是后面处理问题时的一个重要文件信息,包含了各个功能模块的运行信息,可用于定位问题。
以后在“远程管理”中,我们将开启命令行配置,常用的一般是Telnet或SSH。
除了我们前面介绍的特征库升级需要License授权,还有上图中的这些功能,都是需要购买产品授权才可以使用的功能。
如果您对产品的功能或配置还有其他疑问,也可以参考“系统工具”中的“用户FAQ”菜单,里面记录了一些其他用户常见的一些问题。
其实,H3C这类企业级的设备,配置大多是通过命令行实现的,正如我们今天所看到的,Web页面只是其中的部分配置,就已经如此强大了,可想而知后面的命令行世界会是多么的精彩!
声明:文中观点不代表本站立场。本文传送门:https://eyangzhen.com/415721.html
