网络安全容易学么？

Posted 2023-04-24

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了网络安全容易学么？相关的知识，希望对你有一定的参考价值。

给你个文件就知道了。
实验一交换机功能及配置
一、交换机的联接
1、使用普通端口联接（不可取，严重影响网速）
有一个48口交换机，普通端口100Mbps,两个高速端口，为1000Mbps,背板带宽为：
（48*100+2*1000）*2Mbps=13.2Gbps --à13.2Gbps
2、级联
3、堆叠(最优联接方法)
二、交换机的性能指标：
1、支持的MAC地址数目
2、背板带宽
3、包转发率
4、支持的协议
SNMP（简单网络管理协议），IEEE802.11（无线），IEEE802.1q(VLAN)

三、交换机配置的几种模式：
1. 用户模式（switch>）
2.特权模式(switch#) switch>enable （ena）
3.全局配置模式( (config)#) switch#config terminal (config t)
（1）接口配置模式 (config)#interface fa 0/1
启用接口：no shutdown 使能
（2）线路配置模式(config)#line vty 10 00-15
Exit end
Ip address
三、交换机的初始配置及console端口配置：
1.带外管理
适用范围：
联线方法：
使用：超级终端
Usb-à串口
2. 带内管理
联线方法：
三种方法登录。（telnet、http、厂家专用网管软件）
3.交换机的初始配置
Switch>ena
Switch#Setup（更改交换名字、三个密码、vlan1的IP地址、保存返回）

带外管理配置交换机

流程：

结束

共享式以太网特征：：中心结点是集线器这是共享式以太网。（物理上是星状，逻辑上是总线拓扑结构），每一结点共享带宽。
交换式以太网特征：（中心结点是交换机）
交换机带宽为30Mbps，每一个结点的带宽为：30Mbps
1、独享带宽
2、能够为多对结点同时建立并发联接
3、并行性
注：集线器收到数据帧一定会向所有端口转发。（因为集线器工作物理层，相当于一条线）
交换机在以下两种情况下会向所有端口转发数据帧：
1、目标地址为全1时（广播地址）
2、端口-MAC地址映射表还没有内容时。（即查不到目的MAC地址时）。
PDU：是指协议数据单元。
ARP：地址解析协议，实现从IP地址到MAC地址的映射。 IP--àMAC
查看计算机中的ARP缓存： Arp -a
删除计算机中的ARP缓存：arp -d
查看路由路的ARP解析缓存 Show arp
查看路由路的IP路由 Show ip route
查看路由路的接口配置 Show int
查看交换机的端口-MAC地址映射表：Show mac-address-table
删除交换机的端口-MAC地址映射表：Clea mac-address-table
1、交换机的地址学习功能和转发/过滤决策
端口-MAC地址映射表

设备名

MAC地址

端口号

PC0

00e006123456

Fa0/1

内存（ram）
PC0向交换机发送了一个帧：包含目标MAC地址、源MAC地址

掌握两类帧：
假设主机PC1去ping主机pc1，使用的PDU是icmp格式的帧，由于PC1第一次与PC2通信，还不知道PC2的MAC地址，无法组装ICMP帧。(此时模拟器中的紫色帧无法发出，查看这个ICMP帧发现，没有源MAC地址)
为了获得PC2的MAC地址，PC1发出了一个ARP请求（绿色的帧，查看帧结构发现，其目标MAC地址是全1，即向所有结点广播，查询192.168.1.2的MAC地址）
ARP帧到达交换机时，交换机学习到了PC1的信息，可以在交换机中用SHOW验证。
交换机向所有结点查询：192.168.1.2的MAC地址，PC2收到后回复交换机一个ARP帧，交换机学习到了PC2的信息。交换机向PC1回复一个ARP信息，PC1记下192.168.1.2对应的MAC地址在ARP缓存中。（可以用arp –a验证）
问题关键：
1、 PC1、PC2中的各个帧中的目的MAC地址、源MAC地址（帧结构）。
2、不同阶段的PC1、PC2中的ARP缓存内容。
Arp –a arp -d
3、不同阶段的交换机中的端口-MAC地址映射表。
Show mac-address-table 查看端口-MAC地址映射表
Clea mac-address-table 清除端口-MAC地址映射表

2、地址学习与转发/过滤决策
思考练习题：
1、刚开机时，
PC1的ARP缓存内容：no
PC2的ARP缓存内容：no
交换机内容：no
2、工作在模拟模式，pc1向pc2 发送ping, 当PC1发出的arp包到达交换机时，
交换机内容：
Arp帧的结构：
3、当PC1发出的arp包到达pc2时，
PC2的ARP缓存内容：
回复Arp帧的结构：

4、当PC2发出的回复ARP包到达交换机时
交换机内容：
回复Arp帧的结构：

5、当回复的ARP包到达PC1时，
PC1的ARP缓存内容：
6、当PC1发送的ICMP帧到达交换机时，
交换机这时候该干什么？
7、 ICMP帧到达PC2时，
观察进出PC2的两个ICMP帧有什么不同？

当PC2发出的回应ICMP帧经交换机到达PC1后，整个PING过程完成。

8、实验中，ARP帧起到了什么作用？（提示：有两个作用）。

9、不使用ARP帧，直接由PC1向PC2发出ICMP帧可以吗？

实验二：三层交换实验（单个路由器）
接入路由器：
1、支持slip（串行线路网际协议、用于普通modem拨号上网）协议
2、ppp协议（点对点协议）

路由器实验：（三层交换实验）
1、搭建网络（如图）
2、配置
S0交换机网段为：192.168.1.0/24 网关为：192.168.1.254/24
S1交换机网段为：192.168.2.0/24 网关为：192.168.2.254/24
(注意：交换机初始配置中接口IP不能与各PC的IP地址重合)
Router1的fa0/0的IP为：192.168.1.254/24
（ip address 192.168.1.254 255.255.255.0）
No shutdown开启端口
查看路由路IP show ip route
查看路由路端口 show int
查看路由路的ARP解析缓存 Show arp
Router1的fa0/1的IP为：192.168.2.254/24
No shutdown开启端口
Write 保存
路由器直接相连的路径，是直连路由，不需要配置，路由器自动识别。
3、在模拟状态下，pc1向copypc1发送ping数据，分析过程：
（过滤：只允许icmp和arp帧通过。）
实验三：网络常用的检测命令（八个命令）
一、 Ipconfig
1、 ipconfig 查看TCP/IP的基本配置。
（可以看到什么？）
2、 ipconfig /all 查看TCP/IP的完整配置
DHCP:动态主机分配协议，DHCP服务器为网络终端分配IP地址。
DNS：域名服务器。网址（域名）与IP的映射
域名-----àip地址-----------àMAC地址
DNS（域名解析）arp（地址解析）
RARP（反向地址解析）
3、 ipconfig /renew 从dhcp服务器重新获取一个新的ip地址。
4、 ipconfig/release 释放IP地址。
5、 ipconfig/flushdns 清理DNS解析缓存的内容
dns:域名服务器。域名（网址）与IP的映射
6、ipconfig/displaydns 显示DNS解析缓存的内容
二、ping命令
功能：向目标主机发送回送请求信息。
测试网络连通性
1、回环测试
Ping 127.0.0.1
Ping localhost
本机的IP地址
2、 Ping网关
3、持续不断发送回送请求信息
Ping -t www.baidu.com
检测网络质量
4、-a 反向解析出IP地址或域名。
5、 -n 3
6、-l 300 icmp包的大小为300B 默认为32B
三、tracert （路由跟踪）
跟踪到达目的主机的路径，即从本机到达目的主机经过了哪些网关（结点、路由器）。
-d 不将地址解析成主机名。加快显示速度。
-h 搜索目标的最大跃点数。默认30
–w 等待每个回复的超时时间(以毫秒为单位)。
-j与主机列表一起的松散源路由(仅适用于 IPv4)。
路由器(wan口)、光modem、无线ap(无线网桥)
四、netstat
端口65536 80
-a 显示所有活动连接信息及端口号 all active
-n 以数字形式显示连接信息
-r 显示本机路由信息。
-s 显示每个协议的统计信息
-p tcp 显示指定协议连接。
五、arp
arp攻击 Ip到mac地址映射
处理（清除、建立）ARP解析缓存。
-d 删除ARP解析缓存
-a 显示ARP解析缓存
arp -s 157.55.85.212 00-aa-00-62-c6-09 添加静态项。
局域网的组建：
1、线路及设备连接
传输介质、网卡
网络互联设备：路由器（不用在局域网）、交换机（二层）、无线AP（access point、无线访问点、无线桥接器）、Modem（调制解调器）（不用在局域网）、网关（工作在传输层及传输层以上）（不用在局域网）
2、网络地址的配置
3、连通性测试
4、共享资源(文件夹、打印机)
Gpedit.msc 组策略编辑器 regedit
开启Guest帐号：计算机管理本地用户和组用户Guest，[属性]中“帐号已停用”去勾。
取消“使用简单文件共享”方式：资源管理器工具文件夹选项查看，“使用简单件共享(推荐)”去勾。
本地安全策略里的一些设置：(1)用户权利指派--删除“拒绝从网络访问这台计算机”的guest帐号。(2)安全选项--“网络访问：本地帐户的共享和安全模式”改成“经典：本地用户自己的身份验证”(3)安全选项--“帐户：使用空白密码的本地用户只允许进行控制台登录”设置为“禁用”。（即禁用：没有密码的账户只能在本机登录）

六、net命令
Net view \\IP 查看对方局域网的共享资源。
Net view 查看本地局域网的共享资源
Net use x: \\ip\文件夹映射远程计算机上文件夹为本机上磁盘（x）。映射网络驱动器
Net start 启动远程主机上服务。
Net stop 关闭远程主机上服务。
Net user查看有哪些用户
net user 用户名　密码　/add 建立用户 (关闭防火墙)
net user guest /active:yes 激活guest用户
net user 帐户名查看指定帐户的属性
net user 用户名 /delete 删除用户
net localgroup administrators 用户名 /add
把“用户”添加到管理员组中使其具有管理员权限。
Net time 查看远程主机当前时间
七、route
Route print 显示路由表信息（与netstat /r功能一样）
Route add 增加一条静态路由
Route delete 删除一条路由
Route change 修改路由信息
route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2
destination mask gateway 最大跃点数 interface
目标掩码网关接口
route CHANGE 157.0.0.0 MASK 255.0.0.0 157.55.80.5 METRIC 2 IF 2
route DELETE 157.0.0.0
route DELETE 3ffe::/32 （ipv6地址）
3ffe:0000: 0000: 0000: 0000: 0000: 0000: 0000 16*8=128
目标地址下一站（下一跳）
北京武胜
重庆万隆

八、nslookup命令
查询DNS域名和主机的IP地址
Nslookup www.baidu.com 别名

实验四：静态路由与默认路由配置
一、实训目的
1、掌握静态路由的设置
静态路由是指路由信息由管理员手工配置，而不是路由器通过路由算法学习得到。适合拓扑结构固定的小规模网络。
2、掌握默认路由的设置
默认路由也是一种静态路由，位于路由表最后，当数据包与所有路由信息都不匹配时，就使用默认路由。
静态路由优于默认路由。
3、掌握配置命令：
格式：R0(config)#ip route 目的网络掩码下一跳IP地址（一定在邻近的路由器上）
例：R0(config)#ip route 0.0.0.0 0.0.0.0 172.16.30.254
二、配置训练：
配置路由器要求:

设备名

端口

IP地址

默认网关

路由器R0

Fa0/0

192.168.1.254/24

Fa0/1

192.168.2.1/24

路由器R1

Fa0/1

192.168.3.1/24

Fa0/0

192.168.2.2/24

路由器R2

Fa0/0

192.168.3.2/24

Fa0/1

192.168.4.254/24

PC0

Fa0/0

192.168.1.1/24

192.168.1.254/24

Pc1

Fa0/0

192.168.4.1/24

192.168.4.254/24

目标网络：192.168.4.0/24 下一跳：192.168.2.2（最近的路由器上面最近的接口）
Ip route 192.168.1.0 255.255.255.0 192.168.2.1

1、配置静态路由：
分析：
R0: 192.168.1.0/24与192.168.2.0/24这两个网络与R0直连，R0能直接判断，不需要配置静态路由。但R0不知道192.168.3.0/24与192.168.3.0/24的路由，需要配置下一跳地址。如下：
目标网络：192.168.3.0/24 下一跳地址：192.168.2.2
ip route 192.168.3.0 255.255.255.0 192.168.2.2
目标网络：192.168.4.0/24 下一跳地址：192.168.2.2
R1：请同学们思考，写出路由。
192.168.4.0 /24 192.168.3.2
192.168.1.0/24 192.168.2.1
R2：请同学们思考，写出路由。
配置完成后，保存（write），显示路由（show ip route）。

2、配置默认路由R0为例,
目标网络：192.168.3.0/24 下一跳地址：192.168.2.2
目标网络：192.168.4.0/24 下一跳地址：192.168.2.2
去往这两个网络的下一跳都是192.168.2.2，我们可以使用一条默认路由来完成这个功能。
目标网络：ip route 0.0.0.0 0.0.0.0 192.168.2.2
R1不适合设置默认路由。（思考：为什么？）
R2的默认路由：（自行设置）
删除路由命令：no ip route 目标网络掩码下一跳
Show running-config show ip route
三、总结
进入特权模式 ena
进入全局配置模式 config t
进入接口模式 interface fa0/0
为接口配置IP地址：ip address ip地址
在全局配置模式下配置路由：ip route 目标网络掩码下一跳
怎样确定下一跳？（最近的路由器上面最近的接口）

实验五：交换机的VLAN实验
1、实验目的
理解二层交换机的缺陷，理解VLAN并掌握其应用，掌握VLAN的基础配置。
2、 VLAN基础知识
（1）、二层交换机的缺陷
二层交换机是一个广播域（广播域就是一个广播帧所能到达的范围）。过多的广播帧会发生碰撞，最终将网络资源耗尽。
（2）虚拟局域网（VLAN）
根据功能、部门及应用，将局域网设备从逻辑上划分成一个网段，一个网段就是一个广播域，与具体的物理位置无关。这种建立在交换技术上的逻辑网络就是VLAN。
一个VLAN就是一个广播域，VLAN工作在第二层，VLAN之间通信是通过第三层的路由器来完成的。
VLAN的优点：
安全：敏感数据用户与其他用户隔离，降低了泄密的风险。
成本降低：成本高昂的网络升级需求减少，使现有的带宽和上行链路的利用率更高，节约了成本。
性能提高：划分了VLAN后减少了网络上不必要的流量，提高了性能。
防范广播风暴：减少了参与广播风暴的设备数量。
简化项目管理或应用管理：根据用户或应用划分后，VLAN将用户与网络设备聚合到一起，以支持商业或地域上的需求。
（3）VLAN帧格式
IEEE802.1Q规定：在以太网报文的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN Tag （VLAN标签），用来标识VLAN相关信息。
802.3以太网帧格式：

前导码

目标MAC地址

源MAC地址

类型

数据

帧校验序列

8B

6B

6B

2B

46-1500B

4B

以太网最小的帧64B，最大的帧1518B

这四个字节的802.1Q标签头包含了2个字节的标签协议标识（TPID）和2个字节的标签控制信息（TCI）。
标签协议标识（TPID）（Tag ProtocolIdentifier）是IEEE定义的新的类型，表明这是一个加了802.1Q标签的帧。TPID包含了一个固定的值0x8100。
标签控制信息（TCI）是包含的是帧的控制信息，它包含了下面的一些元素：
Priority：这3 位指明帧的优先级。一共有8种优先级，0－7。IEEE 802.1Q标准使用这三位信息。
Canonical Format Indicator( CFI )：，CFI值为0说明是规范格式，1为非规范格式。它被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。
VLAN Identified( VLAN ID ):
这是一个12位的域，指明VLAN的ID，取值范围为0～4095，一共4096个，由于0 和4095 为协议保留取值，所以VLAN ID 的取值范围为1～4094，网络设备根据报文是否携带VLAN tag，及相关信息对报文进行处理，利用VLAN ID识别属于哪一个VLAN。
（4）划分方法：
基于交换机端口的划分：
是最简单、最有效的划分方法，按照设备的端口来定义VLAN成员，将指定端口加入VLAN后，该端口就可以转发该VLAN报文了。
但无法自动解决终端的移动、增加和变更的问题，终端一旦离开这个端口就需要重新定义新端口的VLAN。
基于MAC地址的划分：（基于用户的VLAN）
按照报文的源MAC地址来定义VLAN成员，将指定报文加入该VLAN的Tag后发送。通常与安全技术（如802.1X）联合使用，以实现终端的安全、灵活接入。
虽然操作繁琐，但可以对VLAN成员实现自动跟踪。
基于ip子网的划分：(子网VLAN)
根据报文的源ip地址及子网掩码进行划分的。
设备从端口收到Untagged的报文后，根据报文的源ip地址来确定所属的VLAN，自动划分到指定的VLAN中传输。
此特性主要用于将指定网段或IP地址的报文划分到VLAN中传送。
基于协议的划分（协议VLAN）
根据端口接收报文所属的协议（族）类型，以及封装格式来给报文分配不同的VLANID。可用来划分VLAN的协议有IP、IPX（互联网分组交换协议，是netware网络的协议）、AT(Appletalk, apple计算机网络协议)等。封装格式有EthernetⅡ、802.3RAW（novell公司）、802.2LLC、802.2SNAP等。
此特性主要用于将网络中提供的服务类型与VLAN相关联，以方便管理和维护。参考技术A 看你是具体干什么了。
要是当个普通的网管，只要会点基本的电脑网络维护知识即可。
要是维护大企业的网络安全，就比较复杂，需要熟悉各类交换机，防火墙安全配置，熟悉各类网络安全架构等。