01. IT技术包括的技能
CCNA+网络安全+企业解决问题案例
IT 技能
- 企业网络的管理和维护
- 企业服务器的管理和维护
- 运行在这些服务器上的应用,web服务,数据库,邮件服务以及办公系统的管理和维护
- 数据库管理和维护
- 确保网络安全
- 确保IT系统高可用
- 服务器虚拟化技能
02. 课程目标
课程目标
- 掌握TCP/IP协议
- 掌握网络安全
- 能够配置路由器和交换机
- 能够设计和管理企业局域网和广域网
Cisco认证课程体系
- CCNA
- CCIP
- CCNP
- CCIE
第一章 计算机网络
- Internet 示意图
- 局域网和广域网
- 服务器和客户机
- 网际互联模型
- 理解OSI参考模型
- 网络设备
- 数据封装
- 传输模式
- Cisco 组网三层模型
OSI
标准化
- 应用层:能够产生网络流量的应用程序
- 表示层:加密,压缩,二进制 ASCII码
- 会话层:服务器端和客户端保持的联系
netstat -n
netstat --help
显示协议统计信息和当前 TCP/IP 网络连接。
NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [-p proto] [-r] [-s] [-x] [-t] [interval]
-a 显示所有连接和侦听端口。
-b 显示在创建每个连接或侦听端口时涉及的
可执行程序。在某些情况下,已知可执行程序承载
多个独立的组件,这些情况下,
显示创建连接或侦听端口时
涉及的组件序列。在此情况下,可执行程序的
名称位于底部 [] 中,它调用的组件位于顶部,
直至达到 TCP/IP。注意,此选项
可能很耗时,并且在你没有足够
权限时可能失败。
-e 显示以太网统计信息。此选项可以与 -s 选项
结合使用。
-f 显示外部地址的完全限定
域名(FQDN)。
-n 以数字形式显示地址和端口号。
-o 显示拥有的与每个连接关联的进程 ID。
-p proto 显示 proto 指定的协议的连接;proto
可以是下列任何一个: TCP、UDP、TCPv6 或 UDPv6。如果与 -s
选项一起用来显示每个协议的统计信息,proto 可以是下列任何一个:
IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。
-q 显示所有连接、侦听端口和绑定的
非侦听 TCP 端口。绑定的非侦听端口
不一定与活动连接相关联。
-r 显示路由表。
-s 显示每个协议的统计信息。默认情况下,
显示 IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 的统计信息;
-p 选项可用于指定默认的子网。
-t 显示当前连接卸载状态。
-x 显示 NetworkDirect 连接、侦听器和共享
终结点。
-y 显示所有连接的 TCP 连接模板。
无法与其他选项结合使用。
interval 重新显示选定的统计信息,各个显示间暂停的
间隔秒数。按 CTRL+C 停止重新显示
统计信息。如果省略,则 netstat 将打印当前的
配置信息一次。
- 传输层:可靠传输(三次握手,流量控制,丢包重传),不可靠传输(广播)
- 网络层:选择最佳路径,网络地址规划
- 数据链路层:如何标识网络设备 mac 帧开始和结束,透明传输,差错校验
- 物理层:定义网络设备接口标准 电压标准
网络排错
从底层到高层排查,(底层为高层服务)
网线是否连接?收发数据包是否正常?速度与双工是否匹配?
速率不一致,MAC地址冲突,拨号上网失败
IP地址设置错误 网关 子网掩码错误
应用设置错误
重装,重启 格式化
替换法 排错
从安全角度理解OSI参考模型
物理层安全: (物理接口)
数据链路层安全:(无线网没有密码,MAC认证,ADSL拨号上网)
网络层安全:封端口,基于IP地址实现的数据包过滤
传输层安全
应用层安全: 应用漏洞
网络设备
网卡,集线器,交换机,路由器,双绞线,水晶头
网络设备.png
网线:8根 4对 10M 100M 1000M
2根发送,2根接收
现在网卡自适应
直通线
线序一致,橙 白橙 绿 白蓝 蓝 白绿 棕白 棕
适用于 计算机接交换机 计算机接集线器
直通线.png
交叉线
计算机接计算机使用交叉线
全反线
用于配置连接路由器,交换机
全反线.png
网卡
Mac地址,物理地址不能改变,但可以改注册表 告诉计算机使用指定mac地址进行通信 网卡的mac地址不变
48位二进制全球唯一,前24位代表厂家,后24位厂家指定
ipconfig /all
regedit:打开系统注册表
集线器(HUB)
冲突域 不安全 宽带共享 计算机不能太多
采用网桥优化
网桥
能够构造MAC地址,基于MAC地址转发数据 划分冲突域 发展成如今的交换机
交换机
能够构造MAC地址,比网桥性能好、安全 带宽端口独享,转发广播包到所有接口
交换机与网桥.png
路由器
网关:路由器的接口
广域网接口 不同网段之间转发数据 隔绝广播
- 广播信息控制
- 多点发送信息控制
- 路径优化
- 流量控制
- 逻辑寻址
-
提供WAN连接
路由器.png
冲突域和广播域
冲突域和广播域.png
网络设备和OSI参考模型
网络层设备
路由器是网络层设备
数据链路层设备
数据能够看到 mac地址
交换机是数据链路层设备
物理层设备
网线 集线器 数据无法看到显示是比特流
病毒是一种应用程序,交换机不会中病毒,但是会受到某种病毒的影响(如 病毒发送广播)
数据封装
应用层准备传输的数据文件
传输层进行文件分段;加入TCP头信息
网络层将传输层数据加上IP头整合成数据包
数据链路层将数据包加上MAC 地址形成数据帧
物理层将数据帧转化成比特流
数据封装.png
数据帧.png
解封装.png
传输模式
按数据流的方向分成三种传输模式:
- 单工 (电视台,电视机)
- 半双工 (对讲机)
-
全双工 (电话 QQ)
传输模式.png
Cisco 组网三层模型
- 核心层
- 汇聚层
- 接入层
第二章 TCP/IP协议和安全
TCP/IP协议
- OSI和DOD模型
- 传输层协议
- 应用层协议
- 应用层协议和服务
- 配置服务器网络安全
- 网络层协议
-
使用抓包工具排除网络故障
image.png
传输层 TCP UDP
网络层 IP ARP ICMP IGMP
传输层协议
TCP
可靠传输 编号 丢包重传 流量控制 三次握手 建立会话
一个数据包无法处理完成,需要多个数据包处理的数据文件采用TCP协议
通过建立会话攻击
SYN攻击 伪造源地址 使用不存在的地址向目标地址建立会话
LAND 攻击 目标地址与源地址相同 自身给自身建立会话
UDP
不可靠传输 不需要编号 不建立会话 广播 多播
一个数据包就可以处理完成数据文件
应用层协议和传输层协议之间的关系
http = TCP + 80
https = TCP + 443
ftp = TCP + 21
telnet = TCP + 23
SMTP = TCP + 25
PoP3 = TCP + 110
RDP = TCP + 3389
SQL = TCP + 1433
DNS = UDP + 53 or TCP +53
共享文件夹 = TCP + 445
服务和应用层协议之间的关系
服务运行后 就会在TCP/UDP 的某个端侦听客户端的请求
netstat -an
协议 本地地址 外部地址 状态
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:902 0.0.0.0:0 LISTENING
TCP 0.0.0.0:912 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5357 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7680 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49664 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49665 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49666 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49667 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49668 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49669 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49670 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1258 0.0.0.0:0 LISTENING
TCP 127.0.0.1:4000 0.0.0.0:0 LISTENING
TCP 127.0.0.1:4300 0.0.0.0:0 LISTENING
TCP 127.0.0.1:4301 0.0.0.0:0 LISTENING
TCP 127.0.0.1:8307 0.0.0.0:0 LISTENING
TCP 127.0.0.1:10000 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12101 0.0.0.0:0 LISTENING
TCP 127.0.0.1:59950 127.0.0.1:59951 ESTABLISHED
TCP 127.0.0.1:59951 127.0.0.1:59950 ESTABLISHED
服务和端口是对应的
入侵
扫描端口 为了确定计算机运行的服务
telnet ip 端口
telnet 域名 端口
更改服务的默认端口,客户端也要改 更改端口增加安全
netstat -an | find "3389"
数据包中的IP地址定位网络中的计算机,目标端口定位服务器上的服务
端口不能冲突
安全防护
TCP/IP筛选--适用于服务器
从最底层防护 :关闭网卡的不需要提供服务的所有TCP/UDP的服务端口,只开启需要的端口提供服务
域名解析跑 UDP 协议
Windows 防火墙
net user admin admin
cmd 打开cmd
msconfig 打开系统配置
msinfo32 打开系统信息
mstcs 打开远程桌面连接
wf.msc 打开高级安全windows Defender 防火墙
windows 防火墙对木马程序无能为力
windows 防火墙适用于XP,依赖于服务
windows 防火墙只对访问该计算机的请求生效;对于中了木马主动去访问无法防护
使用ipSet 严格控制网络流量;使用IPSet防护木马流量
严格控制流量
最优匹配规则
网络层协议
IP ICMP IGMP ARP
IP协议 是选择最佳路径的(RIP EIGRP OSPF)
ICMP协议 用于测试网络故障 ping命令用的就是ICMP协议
ping 命令
可以用来排除网络故障
-t 一直ping
-l 1024 调整数据包大小
根据TTL判断对方是什么系统 linux 默认64 windows 128 unix 255
C:\>ping 192.168.186.2
Pinging 192.168.186.2 with 32 bytes of data:
Reply from 192.168.186.2: bytes=32 time<1ms TTL=128
Reply from 192.168.186.2: bytes=32 time<1ms TTL=128
Reply from 192.168.186.2: bytes=32 time<1ms TTL=128
Reply from 192.168.186.2: bytes=32 time<1ms TTL=128
Ping statistics for 192.168.186.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
pathping 命令
ping 命令只能告诉我们源地址到目标地址的网络通还是不通,无法告诉我们在哪里不通;
pathping 能够跟着数据包的路径,能够判断出哪里不通,也能够计算丢包率,能够计算哪里的网络是否畅通
pathping 222.222.222.222 跟着路径 计算丢包情况
tracert 222.222.222.222 跟着路径 不计算丢包情况
C:\>pathping www.baidu.com
通过最多 30 个跃点跟踪
到 www.a.shifen.com [61.135.169.121] 的路由:
0 XST [192.168.65.214]
1 192.168.64.254
2 112.64.183.17
3 * * *
正在计算统计信息,已耗时 50 秒...
指向此处的源 此节点/链接
跃点 RTT 已丢失/已发送 = Pct 已丢失/已发送 = Pct 地址
0 SSF [192.168.65.214]
0/ 100 = 0% |
1 2ms 0/ 100 = 0% 0/ 100 = 0% 192.168.64.254
0/ 100 = 0% |
2 6ms 0/ 100 = 0% 0/ 100 = 0% 112.64.183.17
跟踪完成。
C:\>tracert 222.222.222.222
通过最多 30 个跃点跟踪到 222.222.222.222 的路由
1 3 ms 1 ms 1 ms 192.168.64.254
2 3 ms 4 ms 2 ms 112.64.183.17
3 2 ms 3 ms 2 ms 139.226.209.113
4 13 ms 7 ms 20 ms 139.226.225.121
5 33 ms 35 ms 33 ms 219.158.6.197
6 132 ms 30 ms 239 ms 219.158.5.138
7 * * * 请求超时。
8 30 ms * 33 ms 202.97.88.253
9 * * * 请求超时。
10 * 34 ms * 27.129.1.46
11 * * * 请求超时。
12 * * * 请求超时。
ping 222.222.222 -i 1
ICMP 是 internet 控制报文协议(Internet Control Message Protocol)
IGMP 协议 internet 组播协议(在路由器的接口上运行,周期性扫描本网段是否有绑定某个多播地址的计算机) 多播
点到点:访问网站
广播:
组播
IGMP协议的作用
ARP 协议 将 IP地址广播解析成MAC
arp -a
C:\>arp -a
接口: 192.168.65.214 --- 0xa
Internet 地址 物理地址 类型
192.168.1.1 00-74-9c-86-49-1d 动态
192.168.64.254 00-74-9c-86-49-1d 动态
192.168.65.193 54-dc-1d-22-ae-54 动态
192.168.65.208 1c-77-f6-a9-13-ce 动态
192.168.79.255 ff-ff-ff-ff-ff-ff 静态
224.0.0.2 01-00-5e-00-00-02 静态
224.0.0.22 01-00-5e-00-00-16 静态
224.0.0.251 01-00-5e-00-00-fb 静态
224.0.0.252 01-00-5e-00-00-fc 静态
239.255.255.250 01-00-5e-7f-ff-fa 静态
255.255.255.255 ff-ff-ff-ff-ff-ff 静态
接口: 192.168.186.1 --- 0xb
Internet 地址 物理地址 类型
192.168.186.254 00-50-56-f8-e0-59 动态
192.168.186.255 ff-ff-ff-ff-ff-ff 静态
224.0.0.2 01-00-5e-00-00-02 静态
224.0.0.22 01-00-5e-00-00-16 静态
224.0.0.251 01-00-5e-00-00-fb 静态
224.0.0.252 01-00-5e-00-00-fc 静态
239.255.255.250 01-00-5e-7f-ff-fa 静态
255.255.255.255 ff-ff-ff-ff-ff-ff 静态
arp -s 192.168.1.1 00-74-9c-86-49-18
ARP协议 将IP地址广播解析成MAC
ARP协议进行欺骗的应用
网络执法官 arp防火墙
p2p终结者 控制本网段用户上网流量 禁止用户访问哪些网站
Cain 能够捕获本网段 用户访问网站的账号和密码(通过拦截数据包)
使用抓包工具排除网络故障
Mac地址 和 IP地址
计算机通信过程
交换机通过mac地址转发数据
计算机通信过程.jpg
网卡有mac地址,计算机有IP地址
代理服务器可以绕过防火墙
搭建一个可以不被防火墙拦截的服务器,通过该服务器跳转到被防火墙拦截的网站
第三章 IP地址和子网规划
IP地址由32位二进制组成;分为两部分:网络ID 和 主机ID
v4 32位二进制
32位二级制 分为 4部分
二进制 2 进 一
十进制 10 进 1
10进制数据 -- 2进制数据
1 -- 1
2 -- 10
4 -- 100
8 -- 1000
16 -- 1 0000
32 -- 10 0000
64 -- 100 0000
128 -- 1000 0000
128 -- 1000 0000
192 -- 1100 0000
224 -- 1110 0000
240 -- 1111 0000
248 -- 1111 1000
252 -- 1111 1100
254 -- 1111 1110
255 -- 1111 1111
子网掩码的作用
确定目标主机和源主机是否在同一个网段
子网掩码的作用.png
image.png
路由器负责转发不同网段的数据
层次话IP地址将32位的IP地址分为网络ID和主机ID
IP地址分类
A类 1- 127
B 128 - 191
C 192 - 223
D 224 -239
E 240 -255
缺省子网掩码
A类网络缺省子网掩码: 255.0.0.0
B 255.255.0.0
C 255.255.255.0
保留的私有网络地址
A类地址(1个): 10.0.0.0
B类地址(32个)172.16.0.0 -- 172.31.0.0
C类地址(256个)192.168.0.0 -- 192.168.255.0
特殊的地址
主机位全0代表本网段 (类似区号)
主机位全1代表本网段所有主机 (广播)
169.254.0.0 (没有DNS服务器分配,自己分配,凑合着用)
127.0.0.1 (本地环回地址,通则表示TCP/IP协议工作正常)
0.0.0.0 (正在请求地址或和别人地址冲突)
广播地址
第二层广播 MAC地址 FF-FF-FF-FF-FF-FF
第三场广播 本网广播 255.255.255.255
定向广播 192.168.80.255
组播 224.0.0.0 --239.255.255.255
等长子网划分
为什么要子网划分:避免地址浪费
划分子网分两步:
- 确认子网掩码
- 确认子网的第一可用地址和最后一个可用地址
将一个网段等分成两个子网
C类地址等分(192.168.0.0网段等分)
192.168.0.1 -- 192.168.0.126
192.168.0.129 -- 192.168.0.254
B类地址等分(172.16网段等分)
172.16.0.1 -- 172.16.127.254
172.16.128.1 -- 172.16.255.254
A类地址等分(10.0网段划分)
10.0.0.1 -- 10.127.255.254
10.128.0.1 -- 10.255.255.254
image.png
将一个网段等分成4个子网
image.png
等分成8个子网
image.png
判断IP 地址所属的网段
image.png
断定IP地址所属子网规律
image.png
A类网络子网划分
image.png
根据划分的子网数量,确定往右移动几位子网掩码,确定每个子网可以的地址范围
变长子网划分
先等分
点到点网络子网掩码
/30 255.255.255.252
使用超网合并网络
路由器接口可以加多个IP地址
使用超网合并两个网段
合并网络规律总结
根据子网掩码判断主机所在的网段
IP地址:219.148.38.148.
子网掩码:255.255.255.224
默认网关:219.148.38.129
219.148.38.128 --219.148.38.159 --32 --30个地址可以使用
一个计算机设置多个IP地址
以下网址在什么情况下是属于同一个网段,什么情况下不在同一个网段
192.168.0.10
192.168.2.10
判断源地址与目标地址是否属于同一个网段,用子网掩码确认
192.168.0.10 /16 192.168.2.10 /16
当子网掩码为 255.255.0.0 时 192.168.0.10 和192.168.2.10属于同一个网段
当子网掩码为255.255.255.0时,192.168.0.10 和192.168.2.10属于不同网段
192.168.0.10 /24 192.168.2.10 /24
第四章 配置Cisco网络设备
- Cisco路由器硬件和IOS
- 路由器虚拟机Dynamips
- 模拟软件PacketTracer
- Cisco命令行帮助功能
- 路由器的常规配置
Cisco路由器硬件和IOS
- Cisco 的网际操作系统(IOS)是一个为国际互连优化的复杂的操作系统
- IOS 可以被视作一个网际互连中枢:一个高度智能的管理员,负责管理的控制复制的分布式网络资源的功能。它允许你配置这些设备正常工作
Cisco路由器硬件分类
从结构上分别“模块化路由器”和非模块化路由器“
非模块化的只能提供固定的端口
Cisco路由器的主要组件
- Flash 存放操作系统
- RAM 相当于内存
- ROM 相当于计算机的BIOS
- CPU 负责处理转发数据包
- NVRAM 相当于硬盘 保存配置
路由器IOS命名
Cisco 路由器 IOS 命名规范:AAAAA-BBBB-CC-DDDD.EE
- AAAAA 这组字符是说明文件所适用的硬件平台
- BBBB 这组字符是说明这个ISO中所包含的特性
- CC 这组字符是IOS文件格式
- DDDD IOS软件版本,表示IOS软件的版本号
- EE 这个是 IOS 文件的后缀,.bin 或者 .tar
如:rsp-jo3sv-mz.122-1.bin
Dynamips 搭建实验环境
路由器的常规配置
进入特权模式:#
enable
show interfaces 查看接口
show interfaces fast0/0
show running config
show ip route
show version
配置路由器
#config t
#hostname RA
#enable password todd 设置路由器密码
配置路由器以太网接口
#interface fastEthernet 0/0
#ip address192.168.80.10
#no shutdown
配置路由器广域网接口(带宽固定,时钟频率)
#show controllers serial 1/0
#interface serial 1/0
#ip address 192.168.81.1 255.255.255.0
#clock rate 64000
#no shutdown
将运行的环境配置存在硬盘中
copy running-config startup-config
配置路由器运行telnet
config t
line vty 0 1276
password a1!
login
telnet 不需要密码
line vty 0 1276
no login
不允许telnet
login
no password
telnet 192.168.80.100
高级设置
配置路由器启用域名解析
config t
ip route 0.0.0.0 0.0.0.0 192.168.80.1
show arp
ip domainin-lookup 启用域名解析功能
ip name-server 222.222.222.222 配置域名解析服务器
trace route www.baidu.com 跟踪路由
直接配置主机地址
ip host RA 192.168.81.1
Cisco 发现协议 CDP (通过mac地址通信)[默认开启]
show cdp neighbors
show cdp neighbors detail
使用路由器telnet其他路由器
telnet RA
exit
show sessions
show users
ctrl +shift +6 x 可以临时退出telnet
show seesin 可以查看断开的telnet
1 2 能够连接会话 不让再次输入密码
路由器密码安全
show running-config 可以看到未加密的enable密码
加密的enable密码 优先于enable密码
enable secret todd100
加密输出所有密码
service password-encryption
不加密查看
no service password-encryption
监控路由器的活动
debug ip packet detail
undebug all
un all
debug ip ?
路由器上一个物理接口上配置多个IP地址
ip address 192.168.90.1 255.255.255.0 secondary
ip address 192.168.90.1 255.255.255.0 secondary
show ip interface fastEthernet 0/0
show interface fastEthernet 0/0
show ip interface brief
SDM 和 CRT 安装管理路由器
SDM 图型界面
CRT telnet 到路由
串口配置路由器
第 5 章 静态路由
网络畅通的条件
数据包有去有回
沿途的路由器必须知道到达目标网络的下一跳给谁(路由器的接口)
沿途的路由器必须知道回来的数据包下一跳给谁
不通畅的情况?
去了回不来 请求超时
没有去 目标主机不可到达
添加路由表
去向路由
ip route 192.168.1.0 255.255.255.0 172.16.0.2
show ip route
ip route 192.168.1.0 255.255.255.0 172.16.1.2
ip route 192.168.1.0 255.255.255.0 172.16.2.2
tracert 跟踪数据包经过的路由器
tracert 192.168.1.2
路由汇总和默认路由
智能DNS
windows 网关计算默认路由
netstat -r
route print
在计算机上配置静态路由表
route delete 0.0.0.0
route add 10.0.0.0 mask 255.0.0.0 10.0.0.10 metric 10
route add 0.0.0.0 mask 0.0.0.0 192.168.1.1 metric 10
内网计算机的本地连接需要指定网关
连接内网的连接不能配置网关
连接Internet的连接需要配置网关
internet的路由表
地址统一规划
网站域名解析优化
网络负载均衡
总结:
- 网络畅通的条件是数据包既能转发到目的地,还要能够返回
- 网络排错最基本的原理就是一一检查沿途的路由器是否有到达网络的路由,然后再一一检查沿途路由是否有数据包返回所需的路由
- 计算机的网关就是计算机的默认路由,网络排错应该检查计算机是否配置了正确的IP地址、网关以及子网掩码
- 将IP地址连续的地址分配给物理位置连续的网络,这样便于路由汇总,减小路由器的路由表
- 路由汇总的极限计算默认路由,默认路由优先级最低
- 路由器是根据路由表转发数据的,网络管理员可以通过给路由器添加路由表来控制数据包传递的路径
- 计算机要设对网关
删除路由表
no ip route 192.168.80.1 255.255.255.0
默认路由:
网络地址和子网掩码都为0的路由就是默认路由
ip route 0.0.0.0 0.0.0.0 10.0.0.2
无类域间路由
让默认路由代替大多数网段的路由
默认路由与环状网络
第6章 动态路由
让路由器自动选择最佳路径
- 什么是动态路由协议
- RIP协议的特点和配置
- RIP协议的两个版本
- EIGRP协议的特点和配置
- EIGRP自动汇总和手动汇总
- OSPF协议的特点和配置
什么是动态路由协议?
动态路由就是配置网络中的路由器运行动态路由协议,路由表项是通过相互连接的路由器之间交换彼此信息,然后按照一定的算法优化出来的。
动态路由协议有哪些动能:
- 能够知道有哪些邻居路由器
- 学习到网络中有哪些网段
- 能够学习到某个网段的所有路径
- 能够从众多的路径中选择最佳路径
- 能够维护和更新路由信息
RIP协议
- 路由信息协议(RIP)是一个真正的距离矢量路由选择协议。它每隔30s就送出自己完整的路由表到所有激活的接口
- RIP只使用跳数来决定到达远程网络的最佳方式,并且在默认时它所允许的最大跳数为15跳,也就是说16跳的距离将被认为不可到达
- 在小型网络中,RIP会运转良好,但是对于使用慢速wan链接的大型网络或者对于安装有大量路由器的网络来说,它的效率就很低了
- 即便是网络没有变化,也就是每隔30s发送路由表到所有激活接口,占用网络带宽
配置RIP协议
show ip route 查看路由表
router rip 开启路由器的rip协议
network 192.168.1.0 网卡接口进行RIP协议工作
network 192.168.2.0
network 10.0.0.0 仅配置网络部分代表整个网段
show ip protocols 查看路由器的动态路由配置信息
tracert 192.168.4.2 跟着路由表
RIPV1 和RIPV2
RIPV1 被提出较早,其中有许多缺陷
RIPV2 定义了一套有效的改进方案,新的RIPV2路由信息通告中包括了子网掩码信息,所以支持变长子网,关闭自动汇总就支持不连续子网,组播方式发送路由更新报文,组播地址为224.0.0.9,减少网络和系统资源消耗,并提供了验证机制,增强安全性。
RIPV2支持变长子网,关闭自动汇总,支持不连续子网
RIPV1支持等长子网,关闭自动汇总,支持不连
RIP2启用
version 2 使用RIPV2版本
no auto-summary 不自动汇总
EIGRP (增强的内部网关协议)
Cisco 公司专有协议,非周期性更新路由信息,hello包,以太网5s, T1 60s 3倍失效时间,244.0.0.10 多播地址发现邻居 度量值 宽带 和延迟 跳数 负责 可靠性 代价()
最大跳数100跳(默认) 255跳
支持变长子网, 关闭自动汇总,支持不连续子网
具有备用路径
EIGRP术语
可行距离(FD)
被通过距离(AD)
继任者(最佳路径)
可行的继任者(备用路径)
配置EIGRP
router eigrp 10
network 172.16.0.0
network 192.168.1.0
shop ip eigrp topology 显示备用路径
shop ip protocols 查看路由协议配置信息
显示eigrp协议活动
debug eigrp packets 显示出在两台相邻路由器间所发送的hello数据包
eigrp 手动汇总
config t
interface serial 2/0
ip summary-address eigrp 10 192.168.16.0 255.255.252.0
interface serial 3/0
ip summary-address eigrp 10 10.7.78.0 255.255.254.0
OSPF协议 (internet 开方式协议)
开放最短路径优先(OSPF)是一个开放标准的路由协议,他被各种网络开发商所广泛使用,其中包括Cisco
度量值 带宽
hello包 维持邻居关系
三个表
邻居表
链路状态表
路由表(链路状态表状态最短路径优先)
支持变长子网
跳数不受限制
支持多区域
OSPF协议具有下列特性:
- 由区域和自治系统组成
- 最小化的路由更新的流量
- 允许可缩放性
- 支持变VLSM和CIDR
- 拥有不受限的跳数
- 允许多销售商的设备集成(开放的标准)
- 度量值是带宽
OSPF相关术语
- 链路:就是指定给任一给定网络的一个网络或路由器接口
- 路由器ID(RID):是一个用来标识路由器的IP地址
- 邻居:可以是两台或更多的路由器,都有某个接口连接到一个公共的网络上
- 邻接: 是两台OSPF路由器之间的关系,它们允许直接交换路由更新数据
- hello协议:OSPF的hello协议可以动态发现邻居,并维护邻居关系
- 邻居关系数据库:是一个OSPF路由器的列表,HELLO数据包可以被相互看见
- 拓扑数据库:包含由来自所有从某个区域接收到的链路状态通告的信息
- 链路环状通过:包含有在OSPF路由器中共享的链路状态和路由信息
- 指定路由:当OSPF路由器连接的相同的多路访问的网络时,都需要指定一台路由器(DR)
- 备用指定路由器:是多路访问链路上跃跃欲试的待命DR
- OSPF: 是一组相邻的在同一区域内的路由器,共享一个公共的区域ID
- 广播(多路访问):就像以太网,它允许多台设备连接到同一个网络
- 非广播的多路访问:是哪些像帧中继,异步传输模式(ATM)类型的网络
- 点到点:被定义为一种包含两台路由器直接连接的网络拓扑,这一连接位路由器提供了单一的通信路径
- 点到多点:点到多点也被定义为一种网络拓扑,这种拓扑包含由路由器上的某个单一接口与多个目的路由器间的一系列连接
配置OSPF
show ip route
show ip protocols
router ospf 1 (1为进程号)
network 172.16.0.0 0.0.255.255 area 0
network 192.168.0.0 0.0.0.3 area 0
子网掩码进行位运算
network 192.168.0.0 0.0.0.255 area 0
查看OSPF活动
show ip ospf neighbor 查看邻居
show ip ospf neighbor detail
show ip ospf database 查看链路状态
show ip ospf interface 查看哪些接口运行ospf协议
debug ip ospf events 查看ospf事件
路由器优先级
连接接口 > 静态路由 > eigrp > ospf > rip >external eigrp > 未知
默认AD 0 > 1 > 90 > 110 > 120 > 170 > 255
路由再发布
将静态路由发布到EIGRP 和 RIP
必须是点到点网络
ip route 0.0.0.0 0.0.0.0 serial 7/0
router eigrp 10
network 0.0.0.0
eigrp 和 rip 再发布
eigrp 协议 通告给 rip
router rip
redistribute eigrp 10 metric 3
rip协议 通告给eigrp
router eigrp 10
redistribute rip metric 10000 100 255 1 1500
OSPF 和 EIGRP 再发布
eigrp 协议 通告给 OSPF
router ospf 1
redistribute eigrp 10 metric-type 1 subnets
OSPF协议 通告给 eigrp
router eigrp 10
redistribute rip metric 10000 100 255 1 1500
第 7 章 交换和 VLAN
交换:更多用于局域网
集线器 》 网桥 》 交换机
交换机
- 交换机的每一个端口是一个冲突域
- 基于数据帧的mac地址转发数据
- 所有端口在同一个广播域
show mac-address-table 查看mac地址表
交换机端口安全(数据链路层安全)
端口和mac地址绑定
config t
interface fastEthernet 0/3
switchport mode access
switchport port-security
switchport port-security violation shutdown
switchport port-security mac-address mac地址
限制交换机端口连接的计算机数量
config t
interface fastEthernet 0/3
switchport mode access
switchport port-security
switchport port-security violation shutdown
switchport port-security maximum 2
选择端口
interface range fastEthernet 0/1 -24
switchport port-security mac-address sticky
生成树协议
步骤
- 选择根网桥
- 选择根端口
- 选择指定端口
查看树结构
show spanning-tree
修改根网桥
spanning-tree vlan 1 priority 4096
快速端口
interface fastEthernet 1/1
spanning-tree portfast
生成树协议
- 冗余拓扑避免单点失败
- 冗余拓扑产生广播风暴
- 冗余拓扑产生mac地址表混乱
交换机的IP地址配置
config t
interface vlan 1
ip address 192.168.0.254 255.255.255.0
no shutdown
添加默认网关
ip default-gateway 192.168.0.1
运行telnet
line vty 0 15
password a1!
login
VLAN
VLAN 是交换机组网才有的概念;
按部门或管理的要求来创建局域网,而不是按位置划分网段
更灵活 安全
show vlan
confi t
vlan 2
exit
interface range fastEthernet 0/13 -24
switchport mode access
switchport access vlan 2
干道链路:进行VLAN 标记
confi t
vlan 2
exit
interface range fastEthernet 0/13 - 24
switchport mode access
switchport access vlan 2
exit
interface gigabitEthernet 1/1
switchport mode trunk
interface rang gigabitEthernet 0/1 -2
switchport trunk encapsulation dot1q
switchport mode trunk
配置VLAN 间的路由
interface vlan 1
ip address 192.168.0.1 255.255.255.0
no shutdown
exit
interface vlan 2
ip address 192.168.2.0 255.255.255.0
no shutdown
IP address :配置IP 地址
IP route : 配置路由表
单臂路由器实现VLAN间路由
interface gigabitEthernet 6/0
no shutdown
interface gigabitEthernet 6/0.1 配置路由器的子接口
encapsulation dot1q 1
interface gigabitEthernet 6/0.2 配置路由器的子接口
encapsulation dot1q 2
配置 VTP 协议
vtp 域:在交换机之间传递VLAN管理信息,在Server交换机上创建 删除,Vlan client 交换机自动学习
VTP domain todd
vtp password a1!
vtp mode client
vtp mode server
第8章 网络安全
- 网络安全简介
- 访问控制列表
- 基于时间的访问控制列表
- 使用ACL降低安全威胁
- ACL的位置
安全包括的方面
- 数据存储安全 (权限控制) NTFS权限
- 操作系统安全 系统安全策略
- 数据传输安全 IPSec 加密通信
- 应用程序安全 开发人员开发安全代码
- 用户使用安全 培训
从OSI参考模型来看网络安全
物理层安全
通过网络设备进行攻击:例Hub和无线Ap进行攻击
物理层安全措施 使用交换机替代hub,给无线AP配置密码实现无线设备的接入保护和实现数据加密通信
数据链路层安全
恶意获取数据或mac地址,例如:arp欺骗,arp广播等
数据链路层安全措施:子啊交换机的端口控制连接计算机的数量或绑定mac地址,或在交换机上划分VLAN。ADSL拨号上网的账号和密码实现的是数据链路层安全。
网络层安全
网络层攻击举例: IP Spoofing(IP 欺骗)
Fragmentation Attacks(碎片攻击),REassembly attacks(重组攻击),
PING of death (ping 死攻击)
网络层安全措施举例:在路由器上设置访问控制列表和IPSec,在Windows上实现的windows防火墙和IPSec
传输层安全
传输层攻击举例:Port Scan (端口扫描),TCP reset attack(TCP重置攻击) SYN Dos floods(SYN拒绝服务攻击),LAND attack (LAND 攻击) Session hijacing(会话劫持)
应用层安全
应用成攻击举例:MS-SQL slammer worm 缓冲区溢出,IIS红色警报,EMail蠕虫,蠕虫,病毒,木马,垃圾邮件,IE漏洞
安全措施:安装杀毒软件,更新操作系统
安全网络架构
防火墙种类
防火墙总体分为包过滤,应用级网关和代理服务器等几大类型
包过滤防火墙
数据包的源地址 目标地址 协议 端口
应用防火墙
目标地址 源地址 协议 端口 时间 扩展名 病毒 用户名
代理服务器
常见的安全威胁
IP大多与生俱来就是不安全的,让我们来分析一些常见的攻击
- 应用层攻击
- 拒绝服务攻击Dos
- 分布式拒绝服务攻击
- LAND攻击
- 中间人攻击
- 后门程序
- 包嗅探
- 口令攻击
路由器上的安全
路由器上访问控制列表
- 路由器不但能够在不同网段转发数据包,而且还能够基于数据包的目标地址,源地址,协议和端口号来过允许特定的数据包通过或拒绝通过
- 要实现这样的控制需要在路由器定义访问控制列表(ACL),并将这些ACL绑定到路由器的接口
- 下面介绍两种类型的访问控制列表,即标准访问控制列表和扩展访问控制列表
标准的ACL
ACL 应用顺序,由上到下
允许 172.16.1.2 0.0.0.0
拒绝 172.16.1.0 0.0.0.255
允许 172.16.0.0 0.0.255.255
拒绝 172.0.0.0 0.255.255.255
ACL 的等价写法
host 192.168.2.2 == 192.168.2.2 0.0.0.0
0.0.0.0 255.255.255.255 ==any
基于源地址
config t
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 10 permit 192.168.2.0 0.0.0.255
show ip access-lists 查看标准访问列表
绑定到接口
config t
interface serial 3/0
ip access-group 10 out
拒绝某台主机通过
access-list 10 deny192.168.2.2 0.0.0.0
扩展的ACL
基于源地址 目标地址 协议 目标端口 时间
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
access-list 100 permit tcp 192.168.2.0 0.0.0.255 10.0.0.0 255.255.255.255 eq 80
access-list 100 permit icmp 192.168.0.0 0.0.0.255 any
config t
interface serial 3/0
ip access-group 100 out 绑定到物理接口
IP协议(TCP UDP ICMP) 无端口
ICMP 无端口
命名 ACL
可以添加 删除其中的某一项 不能调整顺序
ip access-list standard allowWeb
permit 192.168.1.0 0.0.0.255
permit 192.168.2.0 0.0.0.255
no permit 192.168.1.0 0.0.0.255
ip access-group allowWeb out
ACL 和接口绑定
一个接口在一个方向只能绑定一个ACL
一个ACL 可以绑定到多个接口
删除 ACL 100 接口绑定没有删除 但 ACL 无效了
no ip access-group 100 put
ACL 保护路由器安全
config t
access-list 10 permit 192.168.1.3 0.0.0.0
line vty 0 15
access-class 10 in 帮到telnet 接口上
ACL的位置
标准ACL 应该在距离目标网络近的路由器上创建
扩展的ACL 应该在距离源地址网络近的路由器上创建
image.png
Ip地址欺骗--入站:绝不允许任何源地址是内部主机地址或网络地址的数据包进入私有的网络
出站:绝不允许任何任何含有非内部网络有效地址的IP数据包出站
DOS
第9章 网络地址转换 NAT 和 PAT
- NAT技术简介
- NAT
- PAT
- 静态映射
- 端口映射
- 在windows上实现NAT和端口映射
PAT:端口地址转换
节省公网IP地址
内网相对安全
性能差
PAT 应用场景 可以私自加网段,而不要配置路由
网络地址转换的类型
- 静态NAT 是为了在本地和全球地址空间允许一对一映射二设计的
- 动态NAT可以实现映射一个未注册IP地址到注册IP地址池中的一个注册IP地址
- 复用是最流行的NAT配置类型,也被称为端口的地址映射(PAT).通过使用PAT,可以实现上千个用户仅通过一个真实的全球IP地址连接到internet
配置静态NAT
config t
ip nat inside source static 10.0.0.2 131.107.0.2
ip nat inside source static 10.0.0.3 131.107.0.3
ip nat inside source static 10.0.0.4 131.107.0.4
ip nat inside source static 10.0.0.5 131.107.0.5
interface fastEthernet 0/1
ip nat inside
exit
interface serial 0/0
ip nat outside
debug ip packet 在路由器上显示NAT信息
debug ip nat 在路由器上显示数据包转发信息
配置动态NAT
access-list 10 permit 10.0.0.0 0.0.0.255
ip nat pool todd 131.107.0.1 131.107.0.3 netmask 255.255.255.0
ip nat inside source list 10 pool todd
interface fastEthernet 0/1
ip nat inside
exit
interface serial 0/0
ip nat outside
配置端口地址转换 PAT
端口转换从4000开始
access-list 10 permit 10.0.0.0 0.0.0.255
ip nat pool todd 131.107.0.1 131.107.0.1 netmask 255.255.255.0
ip nat inside source list 10 pool todd overload (overload 很重要,有才会转换端口)
interface fastEthernet 0/1
ip nat inside
exit
interface serial 0/0
ip nat outside
show ip nat translations 显示nat转换关系
端口映射
在路由器上配置端口映射
enable
config t
ip nat inside source static tcp 10.0.0.6 80 131.107.0.1 80
ip nat inside source static tcp 10.0.0.6 80 131.107.0.1 8080
interface fastEthernet 0/1
ip nat inside
interface serial 0/0
ip nat outside
TP-link路由器实现端口映射
192.168.1.1
第10章 IPv6
- 为什么需要IPv6
- IPv6地址体系
- IPv6下的计算机IP地址配置方式
- IPv6和IPv4的共存技术
IPv4存在的问题,安全问题,地址资源不够用的问题
为什么需要IPv6
IPv4的不足之处
- 地址空间不足
2.对现有路由技术的支持不够 - 无法提供多样的Qos
Qos: 服务质量
IPv6的改进
对于IPv4的改进
- 扩展的地址空间和结构化路由层次
- 简化了报头格式
- 简单的管理
- 安全性
IPv6的改进
- Qos能力
- 改进的多点寻址方案
- 定义了一种新的群通信地址方式(Anycast)
- 可移动性
本地链路地址
在启用IPv4和IPv6的状态下,同一网段的计算机默认优先采用IPv6进行通信
hostname
ipconfig /all
http://[::1]:8080
IPv6 地址分配的方法
- 静态
2000:13::200 - 自动配置
无状态:
向路由器发送由前缀请求 配置 IPv6 地址的路由器接口收到 发送路由通告,获得网络部分+自己d的mac地址 构成 IPv6 地址
有状态 有DHCP服务器
路由通过中 M=1 向DHCP服务器请求IP地址
O=1 向DHCP服务器请 其他设置 DNS服务器 搜索后缀等
配置IPv6地址
无状态配置
config t
ipv6 unicast-routing 启动ipv6支持
interface fastEthernet 0/0
ipv6 address 2001:13::1/64
no shutdown
有状态 有DHCP服务器
config t
ipv6 unicast-routing 启动ipv6支持
interface fastEthernet 0/0
ipv6 nd managed-config-flag 主机使用DHCP服务器获取有状态地址
ipv6 nd other-config-flag 主机使用DHCP服务器获取其他设置
IPv6 静态路由
2001:1::1/64
2001:2::1/64
2001:2::2/64
2001:3::1/64
查看接口的IPv6地址
show ipv6 interface fastEthernet 0/0
查看IPv6路由表
show ipv6 route
添加IPv6路由表
ipv6 router 2001:3::1/64 2001:2::2
ipv6 router 2001:1::1/64 2001:2::1
添加ipv6地址方法
interface fastEthernet 0/0
ipv6 address 2001:1::/64 eui-64 通过mac地址构造ipv6地址
show ipv6 interface fastEthernet 0/0
ipv6 address 2001:1::1/64
IPv6动态路由
配置RIPng协议支持IPv6
enable
config t
ipv6 unicast-routing 启动ipv6支持
ipv6 router rip 1
exit
interface fastEthernet 0/0
ipv6 rip 1enable
配置EIGRPv6协议支持IPv6
enable
config t
ipv6 unicast-routing 启动ipv6支持
ipv6 router eigrp 10
no shutdown
router-id 4.0.0.1
exit
interface fastEthernet 0/0
ipv6 eigrp 10
配置OSPFv3协议支持IPv6
enable
config t
ipv6 unicast-routing 启动ipv6支持
ipv6 router ospf 1
exit
interface fastEthernet 0/0
ipv6 ospf 1 area 0
IPv4 和 IPv6 共存
升级网络层设备
[RA]10.0.0.1 [RB][10.0.0.2 | 10.0.1.1] [RC]10.0.1.2
RA ipv4配置
enable
config t
interface serial 1/0
clock rate 64000
ip address 10.0.0.1 255.255.255.0
no shutdown
ip route 10.0.1.0 255.255.255.0 10.0.0.2 路由表配置到一个网段要经过的地址
RA IPv6配置
enable
config t
ipv6 unicast-routing 启动ipv6支持
interface fastEthernet 0/0
ipv6 address 2001:1::1/64
exit
interface tunnel 0 配置隧道
no shutdown
ipv6 address 2001:2::1/64
tunnel source 10.0.0.1 源地址
tunnel destination 10.0.1.2
tunnel mode ipv6ip
exit
配置ipv6路由
ipv6 route 2001:3::/64 2001:2::2
ISATAP 隧道
interface tunnel 0
ipv6 address 2001:3::/64 eui-64
no ipv6 nd suppress-ra
tunnel source 192.168.0.2
tunnel mode ipv6ip isatap
no shutdown
netsh
interface
ipv6
isatap
set router 192.168.0.2
配置静态NAT-PT
enable
config t
interface fastEthernet 0/0
ipv6 nat
exit
interface serial 1/0
ipv6 nat v6v4 source 2001:2::2 10.0.2.2
ipv6 nat v4v6 source 10.0.1.122 2001:3::122
ipv6 nat prefix 2001:3::/96
配置动态NAT-PT
enable
config t
interface fastEthernet 0/0
ipv6 nat
exit
interface serial 1/0
ipv6 nat
exit
ipv6 access-list v4map
permit 2001:2::/64 any
exit
ipv6 access-list v6list
permit 2001:2::/64 any
exit
ipv6 nat prefix 2001::/96 v4-mapped v4map
ipv6 nat v6v4 pool v4pool 10.0.2.100 10.0.2.200 prefix-length 24
ipv6 nat v6v4 source list v6 v6list pool v4pool
第 11 章 广域网
- 广域网与局域网的区别
- 广域网连接类型
- 典型的广域网封装协议
- 广域网协议HDLC的配置和应用场景
- PPP协议的应用场景和配置
- 配置路由器广域网接口支持帧中继永久虚电路
- 介绍虚拟专有网络(VPN)
- 配置Cisco路由器作为VPN服务器
- 配置Windows Server 2003 作为 VPN 服务器
使用PPP协议封装
支持身份验证
支持多协议
config t
username RB password a1!
interface serial 1/0
encapsulation ppp
ppp authentication chap
show interface serial 1/0
image.png
配置帧中继
R0
enable
config t
hostname R0
interface serial 0/1/0
encapsulation frame-relay
no shutdown
exit
interface serial 0/1/0.1 point-to-point
ip address 192.168.3.2 255.255.255.0
frame-relay interface-dlci 20
exit
interface serial 0/1/0.2 point-to-point
ip address 192.168.2.2 255.255.255.0
frame-relay interface-dlci 21
exit
router eigrp 10
network 172.16.0.0
network 192.168.3.0
network 192.168.2.0
R1
enable
config t
hostname R1
interface serial 0/1/0
encapsulation frame-relay
no shutdown
exit
interface serial 0/1/0.1 point-to-point
ip address 192.168.1.2 255.255.255.0
frame-relay interface-dlci 30
exit
interface serial 0/1/0.2 point-to-point
ip address 192.168.2.1 255.255.255.0
frame-relay interface-dlci 31
exit
router eigrp 10
network 172.17.0.0
network 192.168.2.0
network 192.168.1.0
R2
enable
config t
hostname R2
interface serial 0/1/0
encapsulation frame-relay
no shutdown
exit
interface serial 0/1/0.1 point-to-point
ip address 192.168.1.1 255.255.255.0
frame-relay interface-dlci 40
exit
interface serial 0/1/0.2 point-to-point
ip address 192.168.3.1 255.255.255.0
frame-relay interface-dlci 41
exit
router eigrp 10
network 172.18.0.0
network 192.168.3.0
network 192.168.1.0
路由器降级使用,替代帧中继
enable
config t
frame-relay switching
interface serial 1/1
encaplution frame-relay
clock rate 64000
no shutdown
frame-relay intf-type dce
frame-relay route 20 interface serial 1/0 21
frame-relay route 30 interface serial 1/0 31
exit
interface serial 1/0
encaplution frame-relay
clock rate 64000
no shutdown
frame-relay intf-type dce
frame-relay route 21 interface serial 1/1 20
frame-relay route 31 interface serial 1/1 30
show interface serial 1/0
VPN技术
使用的协议
pptp tcp 1723端口 本身就自带加密的功能
l2TP 需要IPSec设置安全 支持更广泛的网络
SSL VPN
SSTP
网友评论