Linux-什么是网桥？

1网桥

网桥（Bridge）是一种网络设备，用于连接两个或多个网络（通常是以太网）以形成一个扩展的网络。它在数据链路层（第二层）操作，并根据目标MAC地址将数据帧从一个网络转发到另一个网络。

1.1桥接原理

桥接：把一台机器上的若干个网络接口“连接”起来。其结果是，其中一个网口收到的报文会被复制给其他网口并发送出去。以使得网络端口之间的报文能够互相转发；网桥就是这样一个设备，它有若干个网口，并且这些网口是桥接起来的，与网桥相连的主机就能通过交换机的报文转发而互相通信。

主机A发送的报文被送到交换机S1的eth0口，由于eth0与eth1、eth2桥接在一起，故而报文被复制到eth1和eth2，并且发送出去，然后被主机B和交换机S2接收到。而S2又会将报文转发给主机C、D

1.2配置实现网桥

工具包：bridge-utils,目前CentOS8无此包

yuminstallbridge-utils查看CAM(contentaddressablememory内容可寻址存储器)表brctlshowmacsbr0添加和删除网桥中网卡brctladdif|delifbr0eth0启用STP[root@centos7~]brctlstpbr0on[root@centos7~]1创建网桥nmclic/24查看网桥配置文件cat/etc/sysconfig/network-scripts/ifcfg-br0DEVICE=br0STP=yesTYPE=BridgeBOOTPROTO=staticIPADDR=192.168.0.100PREFIX=24cat/etc/sysconfig/network-scripts/ifcfg-br0-port0TYPE=EthernetNAME=br0-port0DEVICE=eth0ONBOOT=yesBRIDGE=br0UUID=23f41d3b-b57c-4e26-9b17-d5f02dafd12d5删除br0nmclicondownbr0rm/etc/sysconfig/network-scripts/ifcfg-br0*nmcliconreload

2网络测试诊断工具

1测试网络连通性

ping

2显示正确的路由表

iproute

3跟踪路由

traceroute

tracepath

mtr

4确定名称服务器使用

nslookup

host

dig

5抓包工具

tcpdump

wireshark

6安全扫描工具

nmap

netcat：网络界的瑞士军刀，即nc

7流量控制工具

tc

案例：

tcqdiscadddeveth0rootnetemloss50%tcqdiscadddeveth0rootnetemdelay1000mstcqdiscshowdeveth0tcqdiscdel

2.1fping

fping是一个程序，用于将ICMP探测发送到网络主机，类似于ping，fping的历史由来已久：RolandSchemers在1992年确实发布了它的第一个版本，从那时起它就确立了自己的地位，成为网络诊断和统计的标准工具。

相对于ping多个主机时性能要高得多。fping完全不同于ping，可以在命令行上定义任意数量的主机，或者指定包含要ping的IP地址或主机列表的文件,常在shell脚本中使用。

CentOS中由EPEL源提供

官网：

2.3nmap

Nmap（NetworkMapper）是一个用于网络探测和安全评估的开源工具。它被广泛用于网络发现、端口扫描、服务识别和漏洞扫描等任务。Nmap提供了丰富的功能和灵活的选项，使其成为网络管理员和安全专业人员的首选工具之一。

官方帮助：

格式：

nmap[ScanType(s)][Options]{targetspecification}命令选项-sTTCPconnect()扫描，这是最基本的TCP扫描方式。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息-sSTCP同步扫描(TCPSYN)，因为不必全部打开一个TCP连接，所以这项技术通常称为半开扫描(half-open)。这项技术最大的好处是，很少有系统能够把这记入系统日志-sF,-sX,-sN秘密FIN数据包扫描、圣诞树(XmasTree)、空(Null)扫描模式。这些扫描方式的理论依据是：关闭的端口需要对你的探测包回应RST包，而打开的端口必需忽略有问题的包-sPping扫描，用ping方式检查网络上哪些主机正在运行。当主机阻塞ICMPecho请求包是ping扫描是无效的。nmap在任何情况下都会进行ping扫描，只有目标主机处于运行状态，才会进行后续的扫描-sUUDP的数据包进行扫描，想知道在某台主机上提供哪些UDP服务，可以使用此选项-sAACK扫描，这项高级的扫描方法通常可以用来穿过防火墙。-sW滑动窗口扫描，非常类似于ACK的扫描-sRRPC扫描，和其它不同的端口扫描方法结合使用。-bFTP反弹攻击(bounceattack)，连接到防火墙后面的一台FTP服务器做代理，接着进行端口扫描。-P0在扫描之前，不ping主机。-PT扫描之前，使用TCPping确定哪些主机正在运行-PS对于root用户，这个选项让nmap使用SYN包而不是ACK包来对目标主机进行扫描。-PI设置这个选项，让nmap使用真正的ping(ICMPecho请求）来扫描目标主机是否正在运行。-PB这是默认的ping扫描选项。它使用ACK(-PT)和ICMP(-PI)两种扫描类型并行扫描。如果防火墙能够过滤其中一种包，使用这种方法，你就能够穿过防火墙。-O这个选项激活对TCP/IP指纹特征(fingerprinting)的扫描，获得远程主机的标志，也就是操作系统类型-I打开nmap的反向标志扫描功能。-f使用碎片IP数据包发送SYN、FIN、XMAS、NULL。包增加包过滤、入侵检测系统的难度，使其无法知道你的企图-v冗余模式。强烈推荐使用这个选项，它会给出扫描过程中的详细信息。-SIP在一些情况下，nmap可能无法确定你的源地址。在这种情况使用这个选项给出指定IP地址-gport设置扫描的源端口-oN把扫描结果重定向到一个可读的文件logfilename中-oS扫描结果输出到标准输出。--host_timeout设置扫描一台主机的时间，以毫秒为单位。默认的情况下，没有超时限制--max_rtt_timeout设置对每次探测的等待时间，以毫秒为单位。如果超过这个时间限制就重传或者超时。默认值是大约9000毫秒--min_rtt_timeout设置nmap对每次探测至少等待你指定的时间，以毫秒为单位-Mcount置进行TCPconnect()扫描时，最多使用多少个套接字进行并行的扫描

案例：

仅列出指定网段上的每台主机,不发送任何报文到目[root@centos8~]可以指定一个IP地址范围[root@centos8~]批量扫描一个网段的主机存活数/24nmap–v–snip/24扫描主机nmap–v–[root@centos8~]探测目标主机开放的端口,可指定一个以逗号分隔的端口列表(如-PS22,443,80)[root@centos8~]使用SYN半开放扫描[root@centos8~]扫描开放了TCP端口的设备[root@centos8~]扫描开放了UDP端口的设备[root@centos8~]只扫描UDP端口nmap–用于扫描目标主机服务版本号[root@centos8~]查看主机当前开放的端口nmaplocalhost探测目标主机开放的端口探测目标主机操作系统类型#探测目标主机操作系统类型

【啰嗦两句】

很赞哦!（12）