网络安全知识

网络安全
培训开班第二十五天 1
网络分类 2
网络拓扑结构 3
数据通信过程 4
交换机配置 4
交换机常用命令 6
交换机的工作原理 9
培训开班第二十六天 10

网络的通信类型 10

VLAN：虚拟局域网 10

端口类型 11
综合练习： 11

设备网络参数 12

链路聚合 12

网络层 13

培训开班第二十七天 15
使用三层交换机链接网络: 15
添加S3700交换机,更合理的利用S5700 16
三层交换机接口配置ip思路 16
路由种类: 17
三层交换机配置: 18
三次握手 19
ACL 访问控制列表 20
培训开班第二十八天 22
私有地址范围 22
easy ip 配置 23
培训开班第三十天 25
升级企业级网络: 26

培训开班第二十五天
Modem:猫 调制解调器 56kbps => 7kB/s =》 拨号上网
描述速率的时候,用的都是bit,电脑上描述文件大小都是字节byte
1byte = 8 bit
ISDN:超级一线通,综合业务数字网
网络分类
按地域范围分类
局域网:LAN
广域网:WAN
城域网:MAN
按技术划分
对等网:网络中主机具有相同角色
C/S:客户机/服务器
B/S:浏览器/服务器
按安全划分
intranet:内部网络
extranet:外部网络
Internet:国际互联网

巨大中华:巨龙集团、大唐电讯、中兴、华为
中华酷联:中兴、华为、酷派、联想
网络拓扑结构
星型:重要、常用的结构
点到点:互联网上有应用,LAN几乎没有
总线型:几乎没有
网状:几乎没有OSI参考模型
OSI:开放系统互联 参考模型。ISO制定
自下向上是第一至第七层
物理层:一层
数据链路层:MAC地址、交换机
网络层:IP地址、路由器
传输层:TCP、UDP协议、端口号
会话层
表示层
应用层:七层
印表会传往树屋
TCP/IP参考模型
共五层(四层):前四层与OSI参考模型一样,OSI高三层合并为一个应用层
点到点:IP到IP
端到端:应用到应用
数据通信过程

1. 应用层程序准备好数据
2. 表示层负责将数据转换格式
3. 会话层负责建立会话连接,不是所有应用都有此步骤
4. 传输层负责把数据切分成一个个的片段,称作数据段segment。每个数据段加上编号,称作序列号。还需要指
   定使用的是TCP或UDP协议,以及端口号。
5. 网络层负责给数据加上IP地址,打成数据包package。
6. 数据链路层负责给数据加上MAC地址,打成数据帧frame。
7. 物理层将数据转换成二制的0和1,称作比特(流),在物理介质上传输。
8. 发送方,数据自上向下总是增加头部内容,称作封装过程。
9. 接收方,数据自下向上将发送方加入的头部移除,称作解封装过程。
   华为设备
   接口
   console:控制台接口,连接控制线缆到PC机。相当于是为设备提供键盘、鼠标、显示器。
   FastEthernet:快速以太网接口,速率100Mbps
   GigabitEthernet:吉比特接口,速度1000Mbps
   交换机配置
   命令需要在不同的模式下执行,不同模式有不同的指令
   用户视图:只能执行一些基本的查询指令:<主机名>
   系统视图:可以执行管理命令:[主机名]
   接口视图:只对某一接口生效的指令在这里执行:[主机名-接口]
   协议视图:配置相关协议时使用的视图:[主机名-协议]? # 显示该模式下所有的命令
   l? # 显示所有的以l开头的命令
   la

因为以la开头的命令只有一条,所以此时按tab可补全

改变为中文提示

language-mode Chinese
system-view

进入系统视图

[Huawei]sysname sw1

修改主机名为sw1

在华为设备上,任何与显示相关的命令,都以display开头

[sw1]display interface brief
[sw1]int g0/0/1

显示所有端口的简要信息

进入接口

[sw1-GigabitEthernet0/0/1]quit

返回一步

[sw1-GigabitEthernet0/0/1]return # 直接返回到用户视图
[sw1-GigabitEthernet0/0/1]ctrl+z # 按组合键也会返回到用户视图
翻译软件:搜狗搜译。
交换机常用命令

华为操作系统名为VRP,即多样化路由平台

display version

查看设备的软件版本号和运行时间

display current-configuration

查看设备当前的生效配置

配置密码

AAA模式,认证模式

Athentication:认证,你是谁

Athorization:授权,你能干什么

Audit:审计,你干了什么

system-view
[sw1]aaa
[sw1-aaa]local-user 用户名 password cipher 密码

设置加密密码

[sw1-aaa]quit
[sw1]user-interface console 0

进入控制台接口模式

[sw1-ui-console0]authentication-mode aaa

配置使用AAA认证

退出到最外面,再次回车,进入用户视图就需要用户名和密码了

save

系统提示将会把系统原有配置覆盖,是否要继续,选择y,系统再次提示文件名,直接回车,采用默认

的名字即可
reboot

重启

reset saved-configuration

擦除保存的配置,系统提示,是否真的擦除,回答y。注意,擦除的是已保

存的配置,不是当前内存中生效的配置。重启后,才会恢复到最初状态。
reboot

系统首先比较内存中配置与保存的配置是否一致,发现不一致,提示是否要把当前配置保存,此时回

答:n。系统再次提示,是否要继续重启,回答y
其他命令行小技巧

配置设备没有控制台超时时间,相当于配置主机、手机锁屏前的等待时间

[sw1]user-interface console 0
[sw1-ui-console0]idle-timeout 分钟数交换机工作原理
MAC地址:MAC是介质访问控制。
MAC地址也叫物理地址,因为设备在生产的时候,MAC地址已经烧到印制电路版中了
网卡有MAC地址,交换机、路由器每个端口也有MAC地址
MAC地址共48位(48个2进制数)、6字节。
表示的时候,往往是把2进制转换成16进制进行表示,每两个16进制数之间用冒号或减号分隔。一共是5个
冒号或分号隔开6段。
MAC地址前24位是厂商的组织唯一标识符,即OUI;后24位厂商自行决定

2进制与16进制的转换:4位2进制转换成一个16进制数

0000 -> 0
0001 -> 1
0010 -> 2
0011 -> 3
0100 -> 4
0101 -> 5
0110 -> 6
0111 -> 7
1000 -> 8
1001 -> 9
1010 -> A
1011 -> B
1100 -> C
1101 -> D
1110 -> E
1111 -> F
交换机的工作原理
交换机内部有一张MAC地址表,记录了每个端口连接设备的MAC地址
MAC地址表在开机的时候是空的,它要动态学习每个端口所连设备的MAC地址
当某一终端发送数据帧到交换机时,交换机根据数据帧的源MAC地址构建MAC地址表
交换机根据数据帧的目标MAC地址发送数据到指定端口
如果交换机在MAC地址表中找不到目标MAC地址连在自己的哪个端口上,将会把数据帧向除接收端口以外
的所有端口发出

培训开班第二十六天

nsd1907_net_day02

网络的通信类型

• 单播unicast：一对一
• 多播，也叫组播multicast：一对部分
• 广播broadcast：一对所有
• 在ipv6中，没有广播了，增加的是任播anycast。任播地址与单播地址一样，只不过这个地址配置在了多个节点上。

广播域

• 设备发出广播后，能够接收到广播的所有设备的集合是一个广播域。

• 没有任何配置的情况下，多台交换机连接起来，也是处于一个广播域。

• 交换机会将以下数据帧向所有端口发送

  • 广播
  • 组播
  • 未知地址的单播

VLAN：虚拟局域网

• 最主要的作用是划分广播域，实现广播控制

VLAN配置

• 创建VLAN：每个VLAN都有一个ID号，还可以添加可选的名字
• 将端口划分到VLAN

# 查看VLAN信息，默认所有端口都在vlan1中
<Huawei>system-view
[Huawei]display vlan  # 查看VLAN

# 创建一个VLAN
[Huawei]vlan 10    # VLAN id号范围是1-4094
[Huawei-vlan10]description ops   # VLAN10是运维部VLAN
[Huawei-vlan10]display this  # 查看当前模式下有哪些配置

# 批量创建VLAN
[Huawei]vlan batch 15 20   # 创建两个VLAN
[Huawei]vlan batch 21 to 25  # 创建5个VLAN
[Huawei]display vlan

# 删除VLAN：在创建VLAN的命令前加undo
[Huawei]undo vlan 20
[Huawei]undo vlan batch 15 21
[Huawei]undo vlan batch 22 to 25

端口类型

• 接入端口：接入端口仅属于一个VLAN
• 中继端口：不属于任何VLAN，但是可以承载所有VLAN的数据

[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access  # 设置端口类型
[Huawei-GigabitEthernet0/0/1]port default vlan 10   # 加入vlan10
[Huawei-GigabitEthernet0/0/1]display this

# 批量将端口加入VLAN
[Huawei]port-group 1   # 创建端口组，组号为1
[Huawei-port-group-1]group-member g0/0/5 g0/0/8  # 将不连续端口加入组
[Huawei-port-group-1]group-member g0/0/11 to g0/0/15 # 将连续端口加入组
[Huawei-port-group-1]port link-type access
[Huawei-port-group-1]port default vlan 10
[Huawei]display vlan

综合练习：

• 两台交换机sw1和sw2
• sw1:
  • vlan1: g0/0/1 - g0/0/2 pc1: 192.168.1.10 pc2: 192.168.1.20
  • vlan2: g0/0/3 - g0/0/4 pc3: 192.168.2.10 pc4: 192.168.2.20
  • vlan3: g0/0/5 - g0/0/6 pc5: 192.168.3.10 pc6: 192.168.3.20
  • g0/0/24 连接 sw2 g0/0/24
• sw2:
  • vlan1: g0/0/1 - g0/0/2 pc7: 192.168.1.70 pc8: 192.168.1.80
  • vlan2: g0/0/3 - g0/0/4 pc9: 192.168.2.90 pc10: 192.168.2.100
  • vlan3: g0/0/5 - g0/0/6 pc11: 192.168.3.110 pc12: 192.168.3.120
  • g0/0/24 连接 sw1 g0/0/24

设备网络参数

• IP地址：设备的地址
• 子网掩码：判断地址属于哪个网络
• 网关：数据包发出自己网络必须经过的地址

网络通信：A设备与B设备通，A先判断B与自己是不是在同一网络，如果是则直接发送；如果不是，则发往网关。

Trunk中继

• 中继链路主要用在交换机之间
• 中继链路不属于任何VLAN，但是允许所有VLAN的数据通过

# 配置中继，两个步骤。注意，链路两端的交换机端口都需要配置
# 1. 将端口设置为中继模式
[sw1]int g0/0/24
[sw1-GigabitEthernet0/0/24]port link-type trunk

# 2. 设置中继端口允许哪些VLAN的数据通过
[sw1-GigabitEthernet0/0/24]port trunk all-pass vlan all

链路聚合

• 交换机之间可以连接多条链路
• 将多条链路捆绑成一个逻辑端口，以提供更大的带宽，同时可以实现容错
• 注意
  • 参与捆绑的所有端口需要有一致的物理状态，如都是1000Mb/s
  • 参与捆绑的所有端口要么同属于同一VLAN，要么都是中继

# 1. 清除参与捆绑端口的配置
[sw1]clear configuration interface GigabitEthernet 0/0/23
[sw1]clear configuration interface GigabitEthernet 0/0/24
# 2. 创建名为Eth-Trunk 0的逻辑端口
[sw1]interface Eth-Trunk 0
# 3. 把物理端口加入到逻辑端口中
[sw1-Eth-Trunk0]trukport GigabitEthernet 0/0/23 0/0/24
# 4. 配置逻辑端口为中继状态
[sw1-Eth-Trunk0]port link-type trunk
[sw1-Eth-Trunk0]port trunk allow-pass vlan all
# 5. 将物理端口启用
[sw1]interface GigabitEthernet 0/0/23
[sw1－GigabitEthernet0/0/23]undo shutdown
[sw1]interface GigabitEthernet 0/0/24
[sw1－GigabitEthernet0/0/24]undo shutdown
# 6. 查看
[sw1]display vlan
[sw1]display interface Eth-Trunk 0
[sw1]display current-configuration

网络层

• IP地址：32位2进制数。

  • 私有地址
    • 10.0.0.0/8
    • 172.16.0.0 - 172.31.0.0/16
    • 192.168.0.0 - 192.168.255.0/24

• 路由器：

  • 路由：路径
  • 路由器：负责路径选择的设备

• ARP：地址解析协议

  • 三层需要IP地址
  • 二层需要MAC地址
  • ARP协议用于将IP地址解析为MAC地址

路由器工作原理

• 路由器负责将不同的网络连接起来；交换机连接的是相同网络
• 路由器是三层设备，它的每个端口都有IP地址
• 路由器收到数据包后，根据自己的路由表做出转发决定
• 如果目的地不在路由表中，则将数据包丢弃
• 路由器不允许广播通过
• 路由表的形成可以是管理员手工配置静态路由；也可以通过路由协议自动学习
• 路由表中保存的是最优路径，而不是全部路径

[R1]display interface brief  # 查看端口简要信息
[R1]display ip routing-table  # 查看路由表
[R1]int g0/0/0
[R1-GigabitEthernet 0/0/0]ip address 192.168.1.1 24  # 配置IP地址
[R1]display ip routing-table  # 配置IP地址后，路由表中将出现直连路由
[R1]ip route-static 目标网络 目标掩码 下一跳地址
[R1]ip route-static 192.168.3.0 24 192.168.2.2

# 缺省路由，也叫默认路由。不管目标是哪，下一跳一样，采用默认路由
[R1]ip route-static 0.0.0.0 0 下一跳
[R1]ip route-static 0.0.0.0 0 192.168.2.2

培训开班第二十七天
交换机 组建网络的基本设备,可以智能的通过数据帧中的mac地址进行数据转发
vlan 控制广播 增加安全 增加带宽的利用率 降低延迟
路由器 链接不同范围的网络
三层交换机 = 二层交换+三层转发

使用三层交换机链接网络:
1,创建对应vlan
2,将对应接口加入vlan
[Huawei]interface G0/0/2
[Huawei-GigabitEthernet0/0/2] port link-type access
[Huawei-GigabitEthernet0/0/2] port default vlan 2
[Huawei]interface G0/0/3
[Huawei-GigabitEthernet0/0/2] port link-type access
[Huawei-GigabitEthernet0/0/2] port default vlan 3
3,进入三层交换机的虚拟接口,配置ip地址,作为所在vlan设备的网关
[Huawei]interface Vlanif 1
[Huawei-Vlanif1]ip address 192.168.1.254 24
[Huawei]interface Vlanif 2
[Huawei-Vlanif1]ip address 192.168.2.254 24
[Huawei]interface Vlanif 3
[Huawei-Vlanif1]ip address 192.168.3.254 24

添加S3700交换机,更合理的利用S5700
1,在S3700创建vlan2 vlan3
2,将对应的接口加入vlan
interface e0/0/2
port link-type access
port default vlan 2
interface e0/0/3
port link-type access
port default vlan 3
3,在2台交换机之间的链路配置trunk(2台交换机的接口都要配置)
port link-type trunk
port trunk allow-pass vlan all

三层交换机接口配置ip思路
1,创建vlan
2,进入vlan接口(虚拟接口)配置ip
3,将接口加入该vlan

路由种类:
直连路由,配置好ip,开启接口后自动产生
静态路由,管理员手工配置
默认路由(缺省路由),属于特殊的静态路由,可以匹配任意网络,通常在网关出口使用
动态路由,由某种动态路由协议实现,适合大规模网络
ospf 开放最短路径优先

使用动态路由:
1,开启服务
2,配置区域 0
3,宣告所在网段 反掩码 1变0 0变1
255.255.255.0 /24
11111111.11111111.11111111.00000000
0.0.0.255

display ip interface brief 查看设备的ip地址配置情况

三层交换机配置:
ospf
area 0
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
network 192.168.3.0 0.0.0.255
network 192.168.4.0 0.0.0.255

路由器配置
ospf
area 0
network 192.168.4.0 0.0.0.255
network 192.168.5.0 0.0.0.255

可以通过查看路由表检查最终效果
排错: 1检查ip,2检查vlan,3检查路由协议(ospf)以及路由表

端口号 80 httpd
4000
4001
5000

osi 7层参考模型 物理层,数据链路层,网络层,传输层,会话层,表示层,应用层
tcp/ip 5层参考模型 物理层,数据链路层,网络层,传输层,应用层

网络层 点到点的数据传递
传输层 端到端的数据传递
传输质量
效率
质量

tcp 传输控制协议,效率低,可靠,面向连接
http,https,ssh,ftp,dns,

SYN 准备与对方建立连接
ACK 确认
FIN 准备与对方断开链接

三次握手

tcp 3306

udp 用户数据报协议,效率高,不可靠,无连接
50ms 60ms~100ms
1s=1000ms

ACL 访问控制列表
基本acl 列表号 2000~2999 源ip
高级acl 列表号 3000~3999 源ip 目标ip 协议 端口
练习1
在路由器中使用acl实现数据控制
禁止2.1通过:
acl 2000
rule deny source 192.168.2.1 0 //禁止源ip是2.1的数据
interface GigabitEthernet 0/0/1
traffic-filter inbound acl 2000 //在接口中应用acl
练习2
允许2.1与1.1通讯,拒绝其他主机与1.1通讯:
acl 2001
允许2.1通过
拒绝所有 any
acl 2001
rule permit source 192.168.2.1 0 //允许2.1通过
rule deny source any //拒绝所有
interface GigabitEthernet 0/0/1
undo traffic-filter inbound //清除原有acl
traffic-filter inbound acl 2001

培训开班第二十八天
回顾
直连路由,静态路由,缺省(默认)路由, 0.0.0.0 0,动态路由
传输层
tcp 三次握手 syn–>ack syn–>ack
四次断开 fin–>ack–>fin–>ack
ssh 22,http 80,ftp 21,dns 53,smtp 25,https 443

udp
tftp 69,dns 53,ntp 123

acl
基本 2000~2999 源ip
高级 3000~3999 源ip 目标ip 协议 端口
##############################################
使用高级acl配置网络:
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination 192.168.1.1 0 destination-port eq 21 //拒绝2.1访问1.1的ftp服务

in g0/0/1
undo traffic-filter inbound //如果有acl 2000,需要删除
traffic-filter inbound acl 3000 //在接口应用acl

[Huawei]acl 3000
[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.1.1 0 destination-port eq 80 //拒绝2.2访问1.1的www服务

#############################################
NAT 网络地址转换 , 可以将内部私有地址与外部公有地址相互转换,实现内外互通的目的
优点: 节约公网ip,增加安全,处理地址重叠

ipv4 42亿
A 1~127 255.0.0.0 /8
B 128~191 255.255.0.0 /16
C 192~223 255.255.255.0 /24

私有地址范围
A 10.0.0.0~10.255.255.255
B 172.16.0.0~172.31.255.255
C 192.168.0.0~192.168.255.255

nat常用的2种类型:
静态转换 1对1 适合服务器对外发布服务的环境 内外双方均可发起链接
easy ip 1对多 适合仅仅访问外网的需求,比如办公室环境员工上网, 只能由内向外发起数据请求

静态nat配置
[Huawei]interface GigabitEthernet 0/0/1 //进入外网接口
[Huawei-GigabitEthernet0/0/1]nat static global 100.0.0.2 inside 192.168.2.1 //配置nat实现2.1在访问外网时使用的地址是100.0.0.2
[Huawei-GigabitEthernet0/0/1]nat static global 100.0.0.3 inside 192.168.2.2 //配置nat实现2.2在访问外网时使用的地址是100.0.0.3

easy ip 配置
首先删除之前的静态nat
undo nat static global 100.0.0.2 inside 192.168.2.1
undo nat static global 100.0.0.3 inside 192.168.2.2
acl 2000 //定义acl
rule permit source any //设置允许访问外网的主机,放行所有人
in g0/0/1 //进入外网接口
nat outbound 2000 //开启nat功能,需要配合acl列表号
#########################################
实现网关的高可用
vrrp 虚拟路由冗余协议,可以理解为网关的备份

==========================
按拓扑需求配置ip
三层交换机接口配置ip需要先创建vlan
然后进入vlan配置ip,再将对应的接口加入vlan
in g0/0/2
port link-type access
port default vlan 2

三层交换机和路由器都开启动态路由
ospf
area 0
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255

pc2临时使用252或者253作为网关

vrrp三个角色
主路由器(master),负责转发数据
备份路由器(backup),监视主路由器,准备随时替代
虚拟路由器,客户机的网关

配置:
in vlan 1
vrrp vrid 1 virtual-ip 192.168.1.254
dis vrrp brief //查看vrrp信息
pc的网关修改为254

使用vrrp实现数据的负载均衡
sw1 vlan1 主 vlan2 备
sw2 vlan2 主 vlan1 备

所有交换机创建vlan2
所有链路配置为trunk,为了节约时间可以使用接口组
port-group 1 //创建1号接口组
group-member g0/0/1 to g0/0/3 //组中添加1口到3口
port link-type trunk //为所有加入的接口配置trunk
port trunk allow-pass vlan all
注意s3700使用的是E口

培训开班第三十天
准备环境: 所有交换机创建vlan2 ,sw1与sw2分别配置不通vlan的ip地址
所有交换机之间的链路配置为中继(trunk)链路
sw1 vlan1 主 vlan2 备
sw2 vlan1 备 vlan2 主
分别进入2台s5700配置vrrp
in vlan 1
vrrp vrid 1 virtual-ip 192.168.1.254
in vlan 2
vrrp vrid 2 virtual-ip 192.168.2.254
dis vrrp brief //查看vrrp状态

sw1
in vlan 1
vrrp vrid 1 priority 105 //修改sw1的vlan1中vrrp优先级
sw2
in vlan 2
vrrp vrid 2 priority 105 //修改sw2的vlan2中vrrp优先级
dis vrrp brief //再次查看vrrp状态

升级企业级网络:
1, 所有设备添加vlan3 vlan4,新添加的设备要创建vlan2~vlan4
相当于目前所有交换机拥有vlan 1~4
2,在网关设备添加新ip地址
3,完善全网trunk
4,完善vrrp
sw1 vlan1 主 vlan2 备 vlan3 主 vlan4 备
sw2 vlan1 备 vlan2 主 vlan3 备 vlan4 主

sw1
in vlan 3
vrrp vrid 3 virtual-ip 192.168.3.254
vrrp vrid 3 priority 105
in vlan 4
vrrp vrid 4 virtual-ip 192.168.4.254
sw2
in vlan 3
vrrp vrid 3 virtual-ip 192.168.3.254
in vlan 4
vrrp vrid 4 virtual-ip 192.168.4.254
vrrp vrid 4 priority 105

5,添加pc,配置ip与网关
pc1 192.168.1.1 192.168.1.254
pc2 192.168.2.1 192.168.2.254
pc3 192.168.3.1 192.168.3.254
pc4 192.168.4.1 192.168.4.254

6,为不同pc链接的交换机接口加入对应的vlan
pc1 vlan1
pc2 vlan2
pc3 vlan3
pc4 vlan4
最后效果是全网互通

7,添加连接外部网络的路由器ar2220两台
再给s5700与路由器链接的线路配置ip
路由器接口直接配ip即可
s5700配置ip先创建vlan

8,配置动态路由,在路由器与s5700开启ospf
并宣告自身所直连的网段

9,添加外部网络设备并配置ip