IP Layer Basics, Firewall, VPN, and NAT Prof. Michael Tsai 2013/4/29 and 2013/5/6
IP (Network layer) 的主要功能 Forwarding: Router通常有多個interface (網卡)。把 packet從來源的interface移到目的地方向的interface 並發送出去叫做forwarding。 一般client並不會開啟此一功能! Routing: 找出往目的地方向的一條路徑。通常由 routing algorithms/protocol決定。 因為系上通常到特定的目的地都只有一條路徑,我們 網管的工作通常只會接觸到第一部分。
系上防火牆的Routing table (部分) 192.168.219.0/ 255.255.255.0 192.168.48.0/ 255.255.248.0 192.168.55.254 192.168.219.254 140.112.30.254 Routing Table: 192.168.48.0 255.255.248.0 192.168.55.254 192.168.219.0 255.255.255.0 192.168.219.254 140.112.28.0 255.255.252.0 140.112.30.254 0.0.0.0 0.0.0.0 140.112.x.x 140.112.28.0/ 255.255.252.0
IP封包的格式(v4) 表示是否需要特殊處理(如即時的影像或聲音) v4 or v6 用來處理 fragmentation 最多可以經過 幾台機器(router) Transport layer使用的協定 (通常為TCP or UDP)
ICMP (Internet Control Message Protocol) 一些管理用的訊息,用來通知client關於網路的狀況。 常用的用途: 通知client此路不通。(Destination network/host/protocol/port unreachable or unknown) Ping使用的echo request & reply TTL expire (用來偵測或預防路徑中的loop或是traceroute使 用)
Firewall 菜瓜布 Bit Torrent 封包 馬撒起 Firewall 規則表: 如果是小小郭的封包,直接丟掉 如果是去以下IP address的封包(x.x.x.x, y.y.y.y, z.z.z.z)直接丟掉 剩下的可以過 凱莉 小小郭
NAT (Network Address Translation) 只有一塊門牌發給我們,怎麼辦呢? 對照表: 菜瓜布有連到8.8.8.8 要找助教請轉到192.168.0.4 內部用: 192.168.0.2 菜瓜布 Src: 192.168.0.2 Dest: 8.8.8.8 門牌: 140.112.91.208 Src: 8.8.8.8 Dest: 192.168.0.2 馬撒起 Src: 140.112.91.208 Dest: 8.8.8.8 內部用: 192.168.0.3 Src: 8.8.8.8 Dest: 140.112.91.208 凱莉 內部用: 192.168.0.4 內部用門牌:192.168.0.254 小小郭 內部用: 192.168.0.5
VPN (Virtual Private Network) 菜瓜布 內部用: 192.168.0.2 門牌: 140.112.91.208 內部用: 192.168.0.3 馬撒起 Src: 140.113.x.x Dest: 140.112.91.208 凱莉 內部用: 192.168.0.4 內部用門牌: 192.168.0.254 Src: 192.168.0.6 Dest: 192.168.0.5 Src: 192.168.0.6 Dest: 192.168.0.5 小小郭 門牌: 140.113.x.x 內部用: 192.168.0.5 姜姜 內部用: 192.168.0.6 透過網路連線,把通往內部的封包都先送到 140.112.91.208,然後再解開轉送到真正的目的地