20230512-端口映射应用场景

内网映射技术原理

内网映射项目实战

内网服务器对外发布

内网设备，从外部进行远程管理

内网监控视频，从外部取流

xxx

NVR 网络硬盘录像机

NAT 网络地址转换

nat 转换成公网ip 这个公网 ip 怎么来的

用的是企业宽带，互联网专线，运营商给咱们的固定的公网ip 这种宽带几千到上万一个月

用的是家用宽带，运营商不给固定公网ip 很多用户共用一个公网ip 几十一个月

现在的条件

硬件条件 企业级的路由器，化为ar2220

宽带条件，互联网专线，有5个可用的公网ip

要实现的目标

外网的访客，能访问到内网的服务器

sy 回车 进入配置模式

interface G0/0/1 进入连接宽带的外网接口

ip address 64.1.1.1 255.255.255.0 配上从运营商购买的公网ip

int g0/0/1 进入外网口

nat server global 64.1.1.2 inside 172.16.1.100

把内网服务器 172.16.1.100 映射为一个公网ip 64.1.1.2

外网的访客，可以通过64.1.1.2 这个公网ip 来访问172.16.1.100

实际工作中，几乎不会这么做

环路检测

主要原因，

土豪方法，有100个服务器，买100个公网ip 可以，不现实

用1个公网，来映射100个服务器

端口号

端口映射

数据包有个端口号，用来区分

收到腾讯课堂的数据包

收到网易云音乐数据包

收到杀毒软件更新的数据包

收到xxx 的数据包

netstat -nb

网络连接 tcp udp

深信服

tcp 稳 每个数据包都有确认机制，可能会增加延迟

udp 快 只管发 速度快，延迟低，可能丢包了还不知道

http 或https 都是基于tcp 的应用

端口可以随便选吗，留个悬念

闭坑指南

端口号，理论上，可以随便用

实际上，避开常见病毒的端口，以防误杀，有次映射为6666 不同，这端口号，和某危险应用相同，误拦截

避开运营商禁止的端口

避开运营商禁止的端口 问到

避开其他人用过的端口，专员的it 部门有记录

建议1024 以下不用，知名协议端口号会用

为什么要学网络技术

从事技术工作，但技术含量不高，希望转向网络技术/网络安全岗位

从事网络技术相关工作，提升技能，胜任工作，得到职业晋升

在校大学生，提升就业竞争力

技术学到什么层级

HCIA-Datacom 培养具备数通基础理论技能的网络工程师

IP
培养跨领域解决方案规划设计或单领域规划及部署的网络高级工程师

IE
培养具备跨领域解决方案坚实理论及部署能力的网络专家

大型WLAN 组网方案

技术发展方向

数通类

最易入行，下限第 上限高 职业发展方向宽

网络安全类

售后方向

售前方向

HCIA

HCIP

傻瓜交换机 组件一个同网段的，小型局域网的

企业的二层交换机 性能更好，功能更多，支持调试

核心三层交换机

路由器

防火墙

无线AC+AP

为什么网络有问题

1. 主机会受到太多的广播包
2. 万一发生故障，没做隔离，影响范围很大

3000个电脑，在一起，电脑的正常工作发广播包，我就会收到太多的广播包，消耗带宽，cpu 内存处理

用户私接小路由器，影响其他办公室，导致网络故障

eNSP

最后我们如何解决问题

拿出一个三层交换机，把各个楼层的傻瓜，连接到三层交换机

vlan 虚拟局域网，是一个隔离技术

1. 隔离广播
2. 隔离故障

vlan 配置

三层交换机

sy 回车，进入配置模式

undo in en 关掉设备的英文提示

vlan 10 创建vlan10

vlan 20 创建 vlan20

int g0/0/1 进入1号口
port link-type access 设置接口类型

port default vlan 10 把接口放到 vlan 10

交换机配vlan 的时候，接口设置类型

如果这个接口，连接的是一台电脑，一台傻瓜交换机，用access
如果这个接口，连接的是一台企业级交换机，用trunk

int g0/0/2 进入2号口

port link-type access 设置接口类型
port default vlan 20 把接口放到vlan 20

1 卡顿，解决了
故障隔离，解决了

问题又来了

为什么不是 vlan 1 和2 呢

vlan 1是默认 vlan

用了vlan 1

网关，是一个网络设备，三层交换机，路由器，防火墙，有实现不同网段之间的数据转发

int vlan 10
ip add 192.168.10.1 255.255.255.0
int vlan 20
ip add 192.168.10.1 255.255.255.0

三层交换机，输入了以下两条命令

总结以下

在实际工作中，vlan 是这么用的

用vlan 把用户隔离开，隔离的是不好的数据包，可能会引起故障的包

再用三层交换机，配好网关接口，把他们连通，连通的是好的包，正常通信

vlanif 网关接口，创建网关的时候，完整命令是 int vlanif 10

如何规划 vlan 的问题

问题，多少个主机放到1个vlan

如果办公电脑，这种普通人用的，一个vlan 不能放太多，

如果监控，门禁，哑终端，故障频率小，一个vlan 放多一些，问题不大

网络工程师职业规划

弱电

桌面运维

大学生

网络的就业方向岗位及薪资

从弱电施工转为网工

除了简单的交换机、路由器调试

还要会防火墙调试，网络组网，故障排除

环路怎么办，高可靠性组网需求怎么办，无线优化等等

避免环路又要用到生成树

高可靠性 mstp vrrp 堆叠 BFD ospf

无线优化，ac+ap 组网，信道优化，黑白名单

SSH 网络安全加固

先掌握基础设备调试

基本网络故障排除能力

能掌握网络规划设计能力更佳

1. 先满足自己的工作需求

2. 储备一些知识，掌握基本故障解决能力，提高一些职业竞争力

转行需谨慎，不要轻易尝试

年龄不大，可以尝试转行，同时在平时工作中注意多留意一些网络搭建方面的项目

30岁以下

一定要多学习拓展知识，以免错失机会

年龄小，发展上限高，无论内部调岗或转行都可行性大

除学习基本路由交换方面的核心技术之外，额外拓展例如安全等方面的技术知识

---

传统以太网的问题

二层广播域

在典型交换网络中，当某台主机发送一个广播帧或未知单帧时，该数据帧会被泛洪，甚至传递到整个广播域

广播域越大，产生的网络安全问题、垃圾流量问题，就越严重

Switch1与Switch2同属一个企业，该企业统一规划了网络中的vlan 其中vlan10 用于A 部门，vlan 20 用于B 部门，A B 部门的员工在switch1 和switch 2 上都有接入

PC1 发出的数据经过Switch1 和Switch2 之间的链路到达了switch2 如果不加处理，后者无法判断该数据所述的vlan，也不知道应该将这个数据输出到本地那个vlan 中

交换机如何识别接收到的数据帧属于哪个vlan

要使交换机能够分辨不同vlan 的报文，需要在报文中添加标识vlan 信息的字段

IEEE 802.1Q 协议规定，在以太网数据帧中，加入4个字节的vlan 标签，又称vlan Tag 简称tag

Vlan 数据帧

原始以太网数据帧 无标记帧

802.1QTag

TPID 标签协议标识符，标识数据帧的类型，值为0x8100 时表示802.1Q帧

PRI 优先级 标识帧的优先级，主要用于QoS
CFI 标准格式指示符，在以太网环境中，该字段的值为0

Vlan ID VLAN 标识符，标识该帧所述的vlan

802.1Q 帧标记帧

目的MAC 地址 源mac地址，tag 类型 data FCS

Switch1和switch2 之间的链路需要承载多个vlan 的数据，需要一种基于vlan 的数据标记手段，以便对不同vlan 的数据帧进行区分

IEEE 802.1Q 标准定义了该标记方法，该标准对传统的以太网数据帧进行修改，在帧头中插入 802.1Q Tag ，而在该Tag 中，便可以写入vlan 信息

整个网络是如何划分vlan的而

Vlan 划分方式

基于接口
基于mac 地址

基于ip 子网划分

基于协议划分

基于策略

–
基于接口的vlan 划分

原理

根据交换机的接口来划分 vlan

网络管理员预先给交换机的每个接口配置不同的pvid ，将该接口划入pvid 对应的vlan

当一个数据帧进入交换机时，如果没有带vlan 标签，该数据帧就会被打上接口指定的pvid 的tag 然后数据帧将在指定pvid 中传输

缺省 vlan pvid

port vlan id 是接口上的缺省 vlan

取值 1–4094

基于MAC 地址的vlan 划分

SW1 的mac 地址与vlan 表

基于mac 地址的vlan 划分

原理

根据数据帧的源mac 地址来划分vlan

网络管理员预先配置mac 地址和vlan id 映射关系表

当交换机收到的是untagged 帧时，就依据该表给数据帧添加指定vlan 的tag，然后数据帧将在指定vlan 中传输

映射表

记录了mac 地址和vlan id 的关联情况

以太网二层接口类型

access 接口
交换机上常用来连接用户pc 服务器等终端设备的接口，access 接口所连接的这些设备的网卡往往只收发无标记帧，access 接口只能加入一个vlan

Trunk 接口

Trunk 接口允许多个vlan 的数据帧通过，这些数据帧通过802.1Q Tag 实现区分，Trunk 接口常用于交换机之间的互联，也用于连接路由器、防火墙等设备的子接口

Hybrid 接口

Hybrid 接口与Trunk 接口类似，也允许多个vlan 的数据帧通过，这些数据帧通过802.1Q Tag 实现区分，用户可以灵活指定hybrid 接口在发送某个 vlan 的数据帧时是否携带tag

配置接口类型 port link-type hybrid

在接口视图下，配置接口的链路类型为hybrid

配置hybrid 接口加入 指定vlan

port hybrid untagged vlan {{ vlan-id1 [to vlan=id2] | all }}

配置hybrid 接口的缺省 vlan

port hybrid pvid vlan vlan-id

在接口视图下，配置hybrid 类型接口的缺省vlan

hybrid 接口的基础配置 1

解决方案

通过vlan 实现故障隔离

通过DHCP snooping 禁止私设服务器的DHCP 报文

通过ACL 访问控制列表，禁止用户区域DHCP 服务器报文

vlan 的接口类型

access 如果这个口只通过一个vlan 用access

trunk 如果这个口需要通过多个vlan 用 trunk

hybrid 应用灵活

业务隔离

可以通过划分不同的vlan 实现不同业务的隔离

链路聚合

链路聚合是把多条物理链路聚合在一起，形成一条逻辑链路

采用链路聚合既可以提供链路冗余性，又可以提高链路的带宽

聚合接口是一个手工配置的逻辑接口，链路聚合组是随着聚合接口的创建而自动生成的

操作key 是在链路聚合时，聚合控制根据成员端口的某些配置自动生成的一个配置组合

链路聚合模式

静态聚合模式

端口不与对端设备交互信息

根据本端设备信息选择参考端口

用户命令创建和删除静态聚合组

动态聚合模式

端口的LACP 协议自动使能，与对端设备交互LACP 报文

根据本端设备与对端设备交互信息选择参考端口

用户命令创建和删除动态聚合组

DHCP 系统组成

DHCP 服务器

能提供DHCP 功能的服务器或具有DHCP 功能的网络设备

DHCP 中继

一般为路由器或三层交换机等网络设备

DHCP 客户端

需要动态获得ip 地址的主机

手工分配

根据需求，网络管理员为某些少数特定的主机 如DNS 服务器，打印机 绑定固定的ip 地址，其地址不会过期

自动分配

为连接到网络的某些主机分配 ip 地址，该地址将长期由该主机使用

动态分配
主机申请ip 地址最常用的方法，DHCP 服务器为客户端指定一个ip 地址，同时为此地址规定了一个租用期限，如果租用时间到期，客户端必须重新申请ip 地址

---

vlan 技术特殊应用

vlan 数据转发原理

华为系pvid 思科系本征vlan 原理

无线网络，云桌面等环境pvid 应用实例

基本的vlan通信原理

什么是vlan 虚拟局域网，把一个大的局域网，分隔成多个小的局域网

隔离广播包，大网络，人太多了，广播包就太多了，当我收到太多的广播包，我会卡顿

隔离故障，否则，故障影响范围太大，排查麻烦

vlan 如何配置

vlan 的数据转发原理

ensp 华为出的一个网络设备模拟器，用来模拟搭建一个企业级网络

化为G口和E口有什么区别，工作中到底用什么口
f 四万兆
t 万兆
g 千兆
e 百兆

配vlan 的时候，交换机的接口类型，有多种，最常见的是两种

access 如果这个接口只连接一个vlan 用access

trunk

基本的vlan 配置

怎么创建vlan

怎么把中断 电脑 摄像头 门禁 放到对应的vlan

怎么配置 trunk 两台交换机互联，一个接口要通过多个vlan

怎么配置网关

交换机B，给交换机A，发数据包的时候，会给数据包带上vlan 标签

这样，交换机A 的trunk 接口收到数据包，看标签，就知道这个包是什么vlan

反着想问题，交换机A 的trunk 接口收到数据包，如果包没标签，那怎么处理

pvid 可以在trunk 口配一个pvid 的值，比如5

当咱们配了pvid，接下来，交换机A的trunk 接口收到数据包，如果包没标签，认为他属于vlan 5

云桌面，办公电脑不是普通的电脑，是一个类似于电视盒的小玩意

电视盒，专业名词，云终端，云电脑，只负责显示画面，不复杂计算

物理服务器，放到 vlan5

物理服务器全新的时候，还没进入云平台的管辖范围，还不会给自己打标签

作为网络设备的技术支持，要做到，让交换机收到没标签的包，还知道这个包，属于vlan5

网络技术学习路线

单核心网络

产品

二三层交换机
路由器
无线AC+AP
防火墙 无复杂策略

技术 dhcp
vlan
静态路由
nat

可胜任工作

小型弱电项目网络技术支持
小型企业运维

高可靠多分支网络

数通技术典型发展路线

小公司，小的网络

大公司 中大型的网络 hcip hcie

小公司，创业型，收入更高

网络安全发展路线

1. 系统继承商
2. 启明星辰
   深信服

云计算路线
普通二本，毕业去h3c公司

跳槽，去了腾讯，负责腾讯云的网络技术支持

打赏