1.
2.
3.
4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14.
15.
16. 17. 18.
19. 20.
21. 22. 23. 24. 25.
网络工程(期末考试范围)
TCP/IP网络是一种构建在其他链路技术之上的虚拟网络,其协议族本身只包括网络层及其之上的协议规范。下面(本文)的所有概念中都只涉及IPv4的技术,当前的Internet中有IPv4和IPv6两种不兼容的网络部署。
TCP/IP网络中的私用地址范围包括:10.0.0.0~10.255.255.255、172.16.0.0~172.31.255.255、192.168.0.0~192.168.255.255。另外127.0.0.0~127.255.255.255用于主机内的本地回环接口(loop back)而不能离开本主机。
TCP/IP网络为解决私用IP地址接入公用Internet的问题使用NAT技术,根据RFC3489(STUN)规范中的定义,网络NAT设备的行为模式分为4种:Full Cone(全锥型),Restricted Cone(地址受限锥型),Port Restricted Cone(端口受限锥型),Symmetric(对称型)。
TCP/IP网络的Full Cone型NAT只针对内网IP/Port进行映射,相同的内网IP/Port具有相同的NAT IP/Port,不考虑任何外网IP/Port的不同。
TCP/IP网络的Restricted Cone型NAT上的映射对不同的外网IP进行了区分。
TCP/IP网络的Port Restricted Cone型NAT上的映射对不同的外网IP/Port进行了区分。 TCP/IP网络的Symmetric型NAT的映射对内网同一IP/Port上的不同会话也进行了区分。 TCP/IP网络中UPnP可让客户端通过控制协议控制NAT设置特定的IP:Port映射关系。 TCP/IP网络中缺省路由之目的网络表示为:网络号码:0.0.0.0,网络掩码:0.0.0.0。 TCP/IP网络中OSPF是一种基于“链路状态(link state)”的动态路由协议。 TCP/IP网络中RIP是一种基于“距离矢量(distance verctor)”的动态路由协议。
用一句话描述RIP这种典型的距离矢量路由协议的运行机制:每个路由器都周期性地向其邻居路由器扩散自己的路由表并且根据所收到到的信息累加距离参量以计算出其自身的路由表。 TCP/IP网络中RIP路由更新时采用“水平分割(split horizon)”防止路由环路,具体做法是:如果一个路由器A发送了一条路由给相邻路由器B,则B不会将该路由重新在接收接口上再发送回A。 TCP/IP网络中RIP路由更新时采用“毒性逆转(poision reverse)”防止路由环路,当一个路由器A探测到它的直连路由失效时,A会将该路由的度量置为不可达并通告给它的所有相邻路由器。当相邻路由器收到此不可达路由不需要遵守“水平分割”原则而是允许将该路由发送回路由器A。这样可以保证所有路由器都能够加快路由收敛速度。
TCP/IP网络中自治系统间使用的路由协议为BGP是目前唯一的外部网关协议,其运行在TCP的179端口。BGP采用的是一种以策略为计算要素的路径矢量算法,与内部网关协议不同,BGP不是单纯依赖客观因素决定最佳路由。
TCP/IP网络中组播的地址范围为:224.0.0.0~239.255.255.255,除去第一个直接的最高4位(等于“1110”),其有效位为28比特。
TCP/IP网络中组播保留的本地子网地址范围为:224.0.0.0~224.0.0.255,且发送时TTL设置为1。保留的私用地址范围为:239.0.0.0~239.255.255.255。
TCP/IP网络中组播可用的MAC地址范围为:0100.5e00.0000~0100.5e7f.ffff(有效位共23比特),由于IP组播地址的有效位为28比特,所以会出现32:1的地址重叠问题(即32个IP组播地址对应1个组播MAC地址)。
TCP/IP网络中组播的本地网络成员关系管理协议为IGMP。
TCP/IP网络中主要有组播分布树:有源树和共享树。其中有源树使用更多的状态存储空间,但是可以针对每个接收者提供最优的传输路径。而共享树使用较少的状态存储空间,但是可能只获得次优的传输路径。
TCP/IP网络中组播路由协议中使用有源树的有:DVMRP、PIM-DM、MOSPF,使用共享树的有:PIM-SM、CBT。
TCP/IP网络中组播的数据包转发采用“反向路径转发(RPF)”,即路由器只转发从数据包源地址对应的上游接口收到的组播包。
TCP/IP网络中组播路由协议的行为模式分为:密集模式和稀疏模式。其中密集模式使用“push”操作,稀疏模式使用“pull”操作。
TCP/IP网络中组播路由协议属于密集模式的有:DVMRP,PIM-DM,属于稀疏模式的有:PIM-SM,MOSPF,CBT。
VoIP中目前提出了多种信令协议,其中包括:H.323,SIP,MGCP,Megaco/H.248。
26. VoIP中媒体点播应用采用RTSP协议完成控制(播放、暂停、录制、快进等)功能。
27. VoIP中使用RTP和RTCP作为媒体传输协议,两者都使用UDP传输。RTP使用的目的端口值一般
是偶数,而RTCP的目的端口为对应的RTP目的端口值+1。
28. VoIP中SIP使用的地址采用了URL格式:sip:
sip:agent@abc.com。
29. VoIP中SIP使用SDP协议描述通信各方的媒体参数。其中接收端口的描述使用“m”,例如:m=audio
3456 RTP/AVP 8,说明使用UDP的3456端口接收语音流。
30. VoIP中SIP使用的主要Method包括:INVITE,BYE,CANCEL,OPTIONS,ACK,REGISTER,
INFO,NOTIFY,SUBSCRIBE,UNSUBSCRIBE,REFER,PRACK,PUBLISH。发起新的呼叫使用INVITE。
31. VoIP中STUN技术只是一种NAT映射关系探测技术,并且只能支持各种Cone型NAT之间的穿越(包
括Symmetric / Full Cone 和 Symmetric / Restricted Cone),但是无法穿透Symmetric / Symmetric和Symmetric / Port Restricted。由于实际部署中很多NAT设备为了安全考虑大都采用Symmetric工作方式,所以在实际应用中STUN的应用受到很大限制,在实际应用中需要采用TURN的全代理方式弥补STUN的不足。
32. VoIP中TURN技术与STUN不同,TURN可以中转UDP和TCP数据,所以能够支持所有类型的NAT
网络情况,不过其性能收到TURN服务器的计算容量和带宽影响。
33. VoIP中ICE是一种整合了STUN,TURN和SIP技术在内的一种解决NAT问题的框架性方案。除了
提供给VoIP应用之外,还能解决其他涉及到NAT问题的端到端应用。
34. PPP(点对点协议)支持两种接入认证方式:PAP和CHAP,其中PAP采用2次握手方式并且使用明
文密钥进行认证,CHAP采用3次握手方式并且使用哈希后的加密直进行认证,该值由client通过MD5算法对challenge、hostname、password进行哈希计算得出,所以不会在网络中传递password保障了认证安全。
35. PPP协议功能中包括:认证、压缩、差错检测,但是不支持QoS。 36. PPP协议中的NCP部分用于协商网络层协议。
37. PPP协议中的LCP和NCP需要经过3个步骤建立一个连接:链路建立,认证、协议协商。
38. 帧中继FR(Frame Relay)技术较多采用永久虚电路PVC(Permanent Virutal Circuit)方式进行路由
器间的广域网连接。在N个路由器之间完成全互连方式(full mesh)需要N×(N-1)/2条PVC。帧中继接口中的DLCI只具有本地意义,用来在相邻路由器的FR接口之间定义虚电路信息。 39. MPLS(多协议标签交换)技术可以在针对承载网络使用不同的标签信息,在ATM接口中使用VCI/VPI
作为标签,在FrameRelay接口中使用DLCI作为标签。对于在数据帧没有子信道标识的接口则在链路层和网络层之间插入“shim”字段作为交换标签。MPLS通过LDP(Label Distribution Protocol)完成标签与路由之间的映射关系设置。
40. BGP/MPLS-VPN中的几个关键概念包括:VRF(由接口、路由表、路由协议、RD和RT规则组成的
一个在PE设备上的虚拟路由器),RT(用于筛选所需路由的BGP过滤属性),RD(PE上区分不同VPN路由的附加信息)。
41. BGP/MPLS-VPN中采用了多层标签栈机制,其中:外层标签用于MPLS交换,内层标签用于区分不
同的VPN流量。
42. BGP/MPLS-VPN的路由扩散过程:CE路由器通过普通的平面路由技术将VPN路由扩散到相应的PE
路由器,PE路由器根据接收端口进入该VPN对应的VRF进行处理。VRF对该路由打上RD使其与普通的IPv4路由进行区分,并将该VPN路由附加RT属性通过BGP消息中在iBGP邻居间进行扩散,接收到扩散消息的PE(也是iBGP路由器)根据本地的RT配置进行过滤,具有该VPN接入的PE路由器接收该VPN路由并将其转换为IPv4格式后扩散给自己一侧的CE路由器。 43. BGP/MPLS-VPN的数据转发过程:VPN源主机发送IP报文经过CE设备路由到PE设备,PE设备的
接受端口关联到该VPN的VRF处理,VRF为该IP报文打上内层Label标识流量属于该VPN,然后再打上外层Label进入MPLS域进行转发,到达目的MPLS路由器后除掉了外层Label,再根据内层标签进入对应VPN的VRF进行处理,首先去掉内层Label,通过VRF对应的输出接口将IP报文路由给目的网络一侧的CE设备,CE设备负责将IP报文路由到VPN目的主机。 44. SNMP(简单网络管理协议)的被管设备上运行Agent(代理)侧功能,其缺省监听UDP的161端口,
对设备上的Trap(异常)信息通告确认发送给Manager(管理站)监听的UDP 162端口。
45. SNMP模型中有关被管设备的管理信息由MIB(Management Information Base)定义,其描述语言和
语法由SMI(Structure of Management Information)规则定义。
46. SSH(Security Shell)是一组提供安全远程访问和数据转发的应用层安全协议。可用来替代不安全的
远程访问工具Telnet和文件传输工具FTP,另外还可以用来建立加密的数据转发隧道提供给其他非安全的协议使用。其服务端缺省监听TCP的22端口。
47. SSL/TLS是一种在传输层上提供安全机制的协议集合,主要。在其之上构架的安全HTTP服务
(HTTPS)缺省监听TCP的443端口,而不是HTTP监听的TCP 80端口。
48. IPsec是完全建立在网络层之上的一种安全机制,具有两种协议:AH(Authentication Header,只提
供IP头验证)和ESP(Encapsulating Security Payload,同时提供验证和数据加密),这两种协议都可以提供两种操作模式:transport传输模式和tunnel隧道模式。
49. 网络socket编程中涉及到整数的字节顺序转换函数包括:htons、htonl,ntohs,ntohl,分别用于16
和32位整数的主机序/网络序转换。
50. 网络socket编程中UDP协议服务端完成监听的函数调用顺序是:bind。
51. 网络socket编程中TCP协议服务端完成监听的函数调用顺序是:bind、listen。
52. 网络socket编程中TCP服务器端收到新的连接请求后,调用accept返回新的连接句柄。 53. 网络socket编程中UDP协议的数据收发函数可使用send、recv、sendto、recvfrom。 54. 网络socket编程中TCP协议的数据收发函数只能使用send、recv。 55. 网络socket编程中停止数据收发的函数是shutdown。 56. 网络socket编程中关闭句柄的函数是close。
57. 网络socket编程中通用协议函数的socket地址操作类型为:struct sockaddr。
58. 网络socket编程中涉及IPv4协议函数的socket地址操作类型为:struct sockaddr_in。
59. 网络socket编程中的非阻塞socket的收发(recv、send)操作错误返回码EWOULDBLOCK为正常的
处理状态返回,表示该操作目前还不能完成,需要稍后重新发起处理调用。
60. 网络socket编程中的非阻塞socket的连接(connect)操作错误返回码EINPROGRESS为正常的处理
状态返回,表示该connect操作未完成TCP的3次握手,需要等待一段未知时间,这种情况可能出现在传输时延较长的网络中。
61. IP Virtual Server via NAT技术概要:
(1) client向虚拟IP地址发送请求报文;
(2) 调度server将报文目的地址改写为选中的后台server并发送报文; (3) 后台server收到请求后处理并将响应报文发回给调度server; (4) 调度server收到响应报文后改写源地址发回给client。 62. IP Virtual Server via IP Tunnel技术概要:
(1) client向虚拟IP地址发送请求报文;
(2) 调度server将请求报文封装在隧道中发送给选中的后台server;
(3) 后台server收到报文后解封装然后处理请求将响应报文直接发送给client。 63. IP Virtual Server via Direct Routing技术概要:
(1) client向虚拟IP地址发送请求报文;
(2) 调度server将请求报文的目的MAC地址直接修改为选中的后台server的MAC地址并发送出去; (3) 后台server收到报文后处理请求将响应报文直接发送给client。
64. OSPF中网络层次结构划分的简要说明:单个OSPF网络按照链路状态扩散范围可划分为多个区域
(Area),其中至少包含一个Area 0作为骨干区域,其他区域都必须与Area 0相连,区域之间由区域边界路由器(ABR)连接。OSPF网络与其他路由协议网络或其他自治系统网络之间由自治系统边界路由器(ASBR)连接。
65. BGP/MPLS-VPN中外层标签和内层标签的定义:两层标签都用于MPLS报文转发。其中:外层标签
用来指示报文去往iBGP邻居的LSP路径中的下一跳LSR。内层标签用于在iBGP邻居中区分出该报文所属VRF/VPN。所以只有外层标签用于真正的MPLS交换,而内层标签只是映射不同VPN的RD信息。
66. 举例一个SIP呼叫过程按时间顺序的简单描述:
(1) 主叫发送INVITE给被叫; (2) 被叫响应200 OK给主叫;
(3) 主叫响应ACK给被叫; (4) 双方进入通话状态;
(5) 主叫先挂机导致发送BYE给被叫; (6) 被叫响应200 OK给主叫。
67. 在NBMA(Non-Broadcast Multi-Access)网络环境中,例如Frame-Relay,OSPF的接口配置模式中
支持5种网络类型(通过ip ospf network
? point-to-point由于是点对点邻居关系,所以不需要选举DR,而且由于采用组播方式所以不需要
配置邻居IP地址。
? point-to-multipoint从名称能看出与point-to-point方式有类似情况,类似点对点关系所以不需要
选举DR,由于采用组播方式所以不需要配置邻居IP地址。
? point-to-multipoint nonbroadcast在邻居关系上与point-to-multipoint类似,所以也不需要选举DR,
但是由于采用单播方式发送OSPF报文,所以需要配置邻居IP地址。
? broadcast方式不是点对点邻居关系,所以需要选举DR,由于采用组播方式所以不需要配置邻居
IP地址。
? nonbroadcast方式也不是点对点邻居关系,所以需要选举DR,由于采用单播方式所以需要配置
邻居IP地址。
综上所述可以看出不同的网络类型可以导致不同的邻居路由器操作行为,在进行OSPF路由部署时,需要在多个路由器上采用相同的网络类型和相关配置才能正确扩散路由信息。
68. 在3种无线局域网技术中,802.11b和802.11g工作在2.4GHz频段,802.11a工作在5GHz工作频段;
802.11b的最大传输速率为11Mbps,而802.11a和802.11g能达到54Mbps。 69. 对本地主机的ARP请求由被请求主机自己完成ARP响应,而路由器可以通过代理ARP(Proxy ARP)
来响应对非本地主机的ARP请求。
70. 动态主机配置协议DHCP用于给主机自动配置:IP地址、子网掩码、缺省网关,DNS服务器。 71. 动态路由协议RIP版本1(RIPv1)的扩散报文中对每条路由只包括路由目的IP地址和度量(metirc),
而版本2(RIPv2)则增加了子网掩码(Subnet Mask)和下一跳(Next Hop)信息。所以RIPv1不能用于变成子网掩码(VLSM)网络中。
72. RIP只采用路由跳数(hop counts)作为度量因素,并且支持的最大跳数为15。如果路由的跳数为16
则标识该路由不可达。
73. 在多访问网络中,RIPv1的扩散报文采用广播方式发送,而RIPv2则采用组播方式,减少了对无关节
点的干扰。
74. 动态路由协议OSPF通常采用本路由器中highest(数值最大)的IP地址作为路由器ID,由于任何物
理接口上配置的IP地址都会因为该接口的失效而失去可达性,所以在配置OSPF时通常配置一个回环接口(loopback interface),而回环接口的IP会比其他物理接口的最高IP地址更优先成为路由器的ID。
75. OSPF配置命令ip router
算法的不同OSPF进程实例。
76. 只有无类别地址路由协议才支持变成子网掩码路由VLSM,例如:BGP、OSPF、RIPv2。 77. 虚拟局域网VLAN技术中的802.1Q使得单个LAN接口上封装多个VLAN流量,即支持trunk功能。
除了IEEE的规范802.1Q之外,Cisco有一个与802.1Q功能对应的私有协议ISL(Inter-Switch Link)。 78. cisco私有的VLAN中继协议VTP(VLAN Trunk Protocol)用于在不同交换机之间维护VLAN网络
的全网一致性。VTP有3种工作模式:服务器模式、客户模式和透明模式。其中服务器模式可以设置VLAN信息,服务器会自动将这些信息广播到网络中其他交换机以统一配置;客户模式下交换机不能配置VLAN信息,只能被动接受服务器的VLAN配置;透明模式下是独立配置,它可以配置VLAN信息,但是不广播自己的VLAN信息,同时它接收服务器发来的VLAN信息后并不使用,而是直接转发给别的交换机。
79. 802.1P标准中的GVRP协议为不同交接机之间的trunk端口上提供802.1Q兼容的动态管理功能。该
协议的功能基本等同与VTP协议。
80. 访问列表ACL(Access List)通过检查IP报文中的相关字段进行流量过滤,可以在一定程度上提供
网络安全的目的。每个ACL由1条至多条记录组成,每个记录包括匹配条件(match condition)和
81.
82.
83.
84.
85.
86.
87.
88.
处理手段(deny或permit),报文经由输入和输出接口时被相应的ACL按记录的先后顺序进行处理,一次匹配成功即完成处理,如果匹配失败则继续下一记录的匹配直到最后一条记录,每个ACL的缺省最后一条记录是将该报文丢弃(即处理手段为deny)。
标准访问列表Standard Access List只能通过IP报文的源地址进行匹配限制处理,当需要匹配多个主机时,ACL使用通配符掩码(wildcard mask),与子网掩码相反,通配符掩码的0位表示需要对该bit进行匹配操作,而1位则表示可以忽略。例如:配置单个主机的通配符掩码为0.0.0.0,配置所有地址的通配符掩码为255.255.255.255:
扩展访问列表Extended Access List可以对IP报文中的:源IP地址、目的IP地址、协议字段、特定协议的附加字段进行匹配,可以完成比标准访问列表根据细致的流量过滤。另外,动态访问列表和反身访问列表都是基于扩展访问列表的特定应用。
动态访问列表可以根据用户认证结果对流量过滤进行动态绑定,用户首先需要通过telnet登陆ACL所在的路由器完成用户名认证,只有输入正确口令后才能允许后继流量通过该路由器,否则流量将被路由器丢弃。所以动态ACL可以用于需要灵活控制用户临时行为的网络环境中。
反身访问列表(Reflective ACL)类似源地址NAT应用场景,不过反身ACL并不对IP报文中的地址字段进行修改,而且对出接口流量进行记录,只有符合出流量登记的入流量才能被允许通过。所以反身ACL适合用在非NAT情况下的局部网络安全,一定程度上能够起到防火墙的作用。
访问列表的部署位置遵循尽量避免被deny的流量跨越网络的原则:即标准访问列表因为只检查源IP地址所以只能部署在靠近目的网络一侧,而扩展访问列表由于提供了针对目的IP地址的检查所以应该尽量部署在靠近源网络一侧。
SNMP中的MIB分为标量和向量(表格类)两种,其中标量MIB在一个代理设备中最多只存在一个对象实例,例如:系统名称sysName、系统位置sysLocation;而向量MIB则可能存在多个示例,例如:IP路由表中的下一跳字段ipRouteNextHop,同一字段下的不同记录示例由该向量表的索引值区分,从而保证MIB变量的无歧义性。
关于测试NAT类型的简单场景和相关步骤:NAT设备在一般情况下尽量保持端口不改变,由于这个前提使得有的NAT设备在应对不同内网IP地址使用相同的源端口进进行外部通信时,会有不同的处理方式。以Cisco 3640路由器的NAT行为举例,当第一个内网主机使用端口5000向外发送流量时,NAT保持5000端口不变,此时NAT的类型经过测试属于Port Restricted Cone,而第二个内网主机也使用端口5000向外发送流量时,NAT无法继续使用5000端口,此时针对第二个主机的NAT类型经过测试改为Symmetric。所以从中可以看出在设计对NAT类型进行测试时,应该尽量同时使用2个以上的内网主机,使得测试结果更加准确。
有鉴于此,设计一个简单的场景:内网主机A,内网主机B,NAT设备C、外网主机D、外网主机E,端口P1、P2、P3、P4,P5,其测试步骤:
? 从A:P1向D:P2发送UDP报文,在C上查看转换映射表得到C:P3,如果从E上向C:P3发送
UDP报文能够被A:P1收到,则说明C为Full Cone。
? 否则,如果从D:P4向C:P3发送UDP报文能否给A:P1收到,则说明C为Restricted Cone。 ? 否则,从A:P1向E:P2发送UDP报文,在C上查看转换映射表得到C:P5,如果P3等于P5,则
说明C为Port Restricted Cone。 ? 否则,C为Symmetric。
? 如果从A上的流量测试表示C为Port Restricted Cone,根据前面的说明,为了准确测试NAT针
对不同主机的转换行为,需要从B:P1进行上面针对A的操作过程,这样才能对同一内网中不同主机采用相同端口向往发送流量时的NAT类型进行准确的判断。
基于SNMP的网络拓扑发现过程:支持SNMP的路由器设备至少应该支持RFC1213中定义的几个MIB:ifTable(接口表)、ipAddrTable(IP地址表)、ipRouteTable(IP路由表),其中ifTable包含有本路由器的所有物理接口,ipAddrTable包含有本路由器所有配置的IP地址(例如每个接口配置至少1个IP地址),ipRouteTable包含有从本路由器到达的所有下一跳路由器的IP地址。通过这些信息结合“数据结构”课程中所学的图的遍历算法,可以由初始给定的一个路由器逐步获取网络中所有路由器的节点信息和路由器之间的链路信息,从而获取整个网络的拓扑信息。由于每个路由器都拥有多个IP地址,所以ipAddrTable的信息用来查找路由器节点,而ipRouteTable的ipRouteNextHop字段用于定位下一步搜索的节点地址。对于拥有多于2个路由器的非点对点网络,应该将该网络抽象为子网节点,凡是拥有位于该子网内接口的路由器节点都与该子网节点通过独立的链路相连。基于
SNMP的网络拓扑发现的结果是一个在IP网络层次上的逻辑拓扑,针对IP层以下的承载网络的拓扑信息还无法完全依赖IP路由器的MIB信息获得。对于支持承载层物理编址的子网,非路由器的活动主机信息可通过ipNetToMediaTable表获得。
89. 在Linux操作系统的CentOS发行版中设置以太网eth0的IP地址为静态地址方式,其中IP地址为
192.168.1.10,子网掩码为255.255.255.0,网关为192.168.1.1。需要配置文件:/etc/sysconfig/network-scripts/ifcfg-eth0,其文件内容如下:
DEVICE=eth0 ONBOOT=yes
IPADDR=192.168.1.10 NETMASK=255.255.255.0 GATEWAY=192.168.1.1
90. 在Linux操作系统的CentOS发行版中设置以太网eth0的IP地址为DHCP方式。需要配置文件:
/etc/sysconfig/network-scripts/ifcfg-eth0,其文件内容如下:
DEVICE=eth0 ONBOOT=yes BOOTPROTO=dhcp
91. 在Linux操作系统的CentOS发行版中启用SSH、DHCP、DNS、HTTP服务,使用iptables设置防火
墙开放相应端口。具体操作如下:
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT iptables -t filter -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT iptables -t filter -A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT iptables -t filter -A INPUT -p udp -m state --state NEW -m udp --dport 67 -j ACCEPT iptables -t filter -A INPUT -j DROP
92. 在Linux操作系统的CentOS发行版中设置强制门户(门户的服务端口为8070),采用iptables方法的
具体操作:
iptables -A FORWARD -m mark --mark 99 -j DROP
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8070 iptables -t nat -A PREROUTING -j MARK --set-mark 99
如果用户通过强制门户的认证后,则执行以下操作,其中$MAC为用户终端的MAC地址:
iptables -t nat -I PREROUTING -m mac --mac-source $MAC -j RETURN
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库网络工程2015考试范围在线全文阅读。
相关推荐: