计算机网络层（2）

1.动态路由协议：

内部网关协议：用于一个自治系统的内部
外部网关协议：用于不同自治系统
RIP协议（Routing Information Protocol，路由信息协议）：路由信息协议是一种内部网关协议，是一种动态路由选择协议，通过要到达的主机需要经过的路由器的个数来判断网络的好换。rip协议认为：要到达对方主机所经过的路由器越少这条路越好。

rip适用于规模比较小的网络

因为rip协议忽略了带宽和流量的问题，如果到达对方主机经过的路由器少，但是这条路径流量非常大，很容易拥堵的话，走这条路会消耗更多的时间，所以走该路径不是一个好的选择。

OSPF协议（Open Shortest Path First， 开放最短路径优先）：是一种动态的链路状态协议。OSPF协议自行计算和生成到达对方主机的最优路径，无需人工配置，当网络发生变化时，协议自动计算，更正路由，方便网络进行管理。但是如果使用不当可能也会引起故障。

2.Tcpdump抓包工具

Tcpdump（dump the traffic on a network）是一个运行在linux平台，可以根据使用者需求对网络上传输的数据包进行捕获抓取的工具，tcpump可以对网络传输中的数据包的包头进行分析，支持网络层、特定的传输协议、数据发送和接受的主机、网卡和端口的过滤。

安装tcpdump工具：yum install tcpdump -y

命令参数介绍：

-A：以ASCII格式打印出所有分组，并将链路层的头最小化 

-c：在收到指定数量的分组后就会停止

-C：在将一个原始分组写入文件之前，检查文件当前的大小是否超过参数file_size中指定的大小，如果超过了就关闭当前文件，再打开一个新的参数的文件

-d：将匹配信息的包的代码以人们能够理解的汇编格式给出

-dd：将匹配信息的包的代码以c语言的程序段的格式给出

-ddd：将匹配信息的包的代码以十进制的形式给出

-i：指定监听的网络接口

-I：使标准输出变为缓冲形式输出

-n：不把网络地址转换成名字

-q：快速输出，只输出较少的协议信息

-r：从指定的文件中读取包

-w：直接将分组写入文件中，而不是分析打印到屏幕上

使用示例：

1.在ens33端口抓取来自192.168.31.129的包，保存到/lianxi/xiaoyu.txt

3.ARP协议

ARP协议（Address Resolution Protocol）：地址解析协议，将ip地址解析为mac地址。源主机将包含目标主机ip地址的请求包以广播的形式发出，如果目标主机收到了源主机的请求报文，就会响应源主机，源主机收到响应报文以后将mac地址存入源主机的arp缓存表中。

arp命令：

-v：显示详细信息

-n：以数字的形式显示ip地址

-a：查看缓存表

-d：清除缓存

-s：绑定ip地址和mac地址

arp病毒：
一个主机拼命的向网络中转发arp广播，广播网关的ip地址换了，不是以前的网关了，告诉现在的网关地址是自己的网关地址，那么其他主机收到该主机的报文包的时候就修改了网关地址，结果导致整个vlan的主机都上不了网，这就是arp攻击。

防范措施：安装防护墙，静态绑定正确的网关mac地址

拯救措施：抓包工具分析出病毒源、静态绑定正确的网关mac地址

arping命令：

用来向局域网内的其他主机发送arp请求，它可以用来测试局域网内的某个ip是否已经被使用

参数：

-l：用来发送arp request包的网络设备的名称

-q：不显示输出

-f：收到一个响应包以后退出

-b：发送广播帧，arping在开始时使用广播地址，在收到回复以后使用单播地址

-V：显示apring版本号

-w：指定一个超时时间，单位为秒

-s：设置发送arp包的源iip地址

-c：指定发送的包的数量

例：给192.168.31.129发送arp请求，看192.168.31.129是否已经被使用。

4.ICMP协议

iInternet Control Message Protocol,internet报文控制协议，他是TCP/IP协议的一个子协议，用于主机，路由之间传递控制消息。

icmp协议在封装好数据之后要加一个ip包头，再使用ip协议进行封装，因为icmp协议没有写明源ip地址和目的ip地址，但是ip包头有这些信息，icmp协议寄生在ip协议内部。

ping之死：

正常状态下机器收到icmp数据包以后就会回复同等大小的数据包，当成千上万个机器向同一台机器发送icmp报文就会消耗服务器的带宽和cpu资源，造成服务器卡死。

ping命令返回报文包信息说明：

一 台机器ping不通另外一台机器可能的原因：
1.防火墙没关

2.路由器问题

3.运营商：中间i线路断了，宽带断了

4.百度服务器出现问题

解决办法：

1.分段ping，从路由器开始往下ping

2.替换法：用其他设备ping通说明是本机家庭网络出现问题.替换服务器可能是服务器出现问题。

3.检车硬件再检查软件：先检查网络是否联通，检查ip地址、检查dns服务器、检查网关

ping命令参数：

-s：数据包大小

-c：指定发出包数量

-i：发送包的时间间隔

-w：设置超时时间

5.防火墙

防火墙是一个安全区域的分割墙，将外部网络和内部网络划分开，防止内部网络收到来自外部网络的攻击和入侵。

防火墙规则：

白名单策略：只允许符合规则的包通过防火墙
黑名单策略：禁止与安全规则冲突的包通过防火=

防火墙命令：

启动防火墙：systemctl start firewalld

查看防火墙状态：systemctl status firewalld

关闭防火墙：systemctl stop firewalld

禁用防火墙：systemctl disable firewalld

6.DHCP协议

Cynamic Host Configuration Protocol，动态主机配置协议，给没有ip地址的主机分配ip地址、子网掩码、网关、dns服务器地址等。无线路由上就有dhcp服务，它可以给我们连接到无线网络上的电脑或者手机分配ip地址。使用dhcp协议不仅减小了管理员的 工作量、加你笑傲了输入错误的可能、避免了ip地址的冲突且提高了ip地址的利用率。

在dhcp服务器中有一个地址记录文件（/var/lib/dhcpd/dhcpd.leses），该文件记录了ip地址分配情况。如果手动配置了ip地址，dhcp服务器就不会再次将已经手动分配的IP地址再次分配出去。因为在dhcp服务器分配ip地址之前会在局域网内发一个arp广播（arping）如果这个ip地址已经被使用就会给dhcp服务器一个回复，如果kdhcp服务器没有收到回复就说明该ip地址没有被占用，就会将该ip地址分配出去。

将ip地址为92.168.1.200的ip地址分配给mac地址为00:0c:29:0e:cb:e2的主机

临时配置ip地址192.168.227.144，网卡是ens33：

ip address add 192.168.227.144/24 dev ens33

永久配置ip地址：

cd /etc/sysconfig/network-script
vim ifcfg-ens33

添加、删除静态路由：

ip route add 192.168.100.0/24 via 192.168.88.2
ip route del 192.168.100.0/24 via 192.168.88.2

临时设置立即生效，但是重启以后会失效。永久设置要刷新服务才能生效。

7.NAT功能

Network Address Translation，网络地址转换。NAT功能可以经公网地址转换成私网地址，也恶意将私有地址转换成公有地址。私网ip地址不是唯一的，公网ip地址是唯一的。私网间的ip地址可以相同。nat功能很大程度上解决了ipv4地址不够用的问题。

（处于不同局域网的刘骏和田阳的ip地址可以是相同的）

NAT实现方式：

静态转换（Static Translation）：非常消耗公网ip，一个私网ip对应一个公网ip
动态转换（Dynamic Translation）：多个私网ip对应多个公网ip

端口多路复用（Port Address Translation）：内网的所有主机的地址在访问公网的时候都会使用同一个公网ip，很节约公网地址

使用端口多路复用方式的时候，因为每一个主机对应的交换机的端口不同，就避免了因为访问外网使用同一个地址，外网返回包的时候找不到对应主机的问题。

NAT转换表：记录公网和私网的地址转换

pc机访问公网流程：

1.pc机要访问外网的时候，包需要经过交换机才能到达外网，交换机解包发现pc机访问的是外网地址，就将pc机的ip地址换成自己的ip地址，再将pc机的ip地址和端口号存入地址转换表。然后将修改了ip地址的报文包发送出去。

2.外部服务器将信息打包好后，按照收到的ip地址将包传送回去。

3.交换机在收到外网的包时，进行解包，查看端口号，再根据地址转换表将目的ip地址修改成pc机的ip地址，再将包传送出去。

NAT地址转换优点：

节省公有合法地址、处理地址重叠

增强灵活性、提高了内网主机的安全性（隐藏内网ip地址）

NAT地址转换缺点：
每次到达交换机都要经过一个解包和打包，增大了延迟

提升了配置和维护的复杂性

不支持某些应用，可以通过静态NAT映射来避免