网络笔记

标签：网络基础

第一章 计算机网络

局域网：一般企业自己购买设备搭建的网络

广域网：一般企业付费购买网络线路，带宽不定。

INTNET：由网络运营商和用户构成。

客户机：安装了享受网络服务软件的计算机。

服务器：安装了提供网络服务软件的计算机。

网络传输过程例子：

OSI参考模型

应用层：提供接口 能产生流量的应用程序 如QQ

表示层：表示数据，处理数据。加密、压缩

会话层：维持不同应用程序对数据的分割。Msconfig  netstat -nb   

        任务管理器查看进程位置

传输层：1.可靠传输 流量控制功能 差错检查 建立回话

        2.不可靠传输

网络层：选择最佳路径

数据链路层；网络设备如何封装数据帧   设备地址（MAC地址）  

物理层：电压标准 接口标准

OSI网络参考模型排错

物理层： 连接问题

数据链路层 ：MAC 地址冲突

网络层： 计算机网关设置错误 路由表错误

应用层：应用程序问题 IE代理设置错误

OSI网络参考模型与网路安全

物理层安全：

数据链路层安全：MAC认证 ADSL拨号账号密码 划分Vlan

网络层安全：路由器ACL

传输层安全：控制端口安全

应用层安全：网站安全 操作系统安全

网络设备

网线:  双绞线 8根 100米距离 100M 1000M 线序 直通线       

网卡 MAC：物理地址 硬件地址 不能更改  查看mac地址 ipconfig/all

集线器 HUB :群发 不安全 带宽共享 效率低

网桥 :基于MAC控制 可以学习MAC地址表

交换机Sw: 基于MAC转发数据 安全 带宽独享 全双工通信 学习MAC地址

路由器：负责在不同网段（类似电话号码区号）转发数据 一般有广域网接口 隔绝广播 目

         标MAC全1广播 FFFFFFF

网络设备和osi参考模型

交换机基于MAC地址转发 数据链路层设备

路由器 基于IP 地址转发 网络层设备

集线器 物理层设备

分层考虑问题

网络排错方法 替换法

第二章 tcp/ip

传输层的两个协议

可靠传输：tcp协议 数据拆分多段 丢了重传 需要建立会话（消耗系统资源）

          netstat -n

不可靠传输：UDP协议 一个数据包就能完整表达意思 屏幕广播 不建立会话

应用层协议

http=tcp+80

ftp=tcp+21/20( 21传数据 20 验证身份)

https=tcp+443(访问安全站点 如银行站点)

POP3=TCP+111

RDP=TCP+3389

DNS=UDP+53

SMTP=TCP+25

Ip 访问Windows共享文件夹=tcp+445

SQL=TCP+1433

telnet=tcp+23

服务和端口的关系

IP地址定义计算机 端口定位服务

服务侦听端口

服务器更具数据包的目标端口来区分客户端请求的服务

服务停止 侦听端口关闭

查看端口 netstat -an

查找端口 netstat -anb | find “3389”     

 帮助    netstat  /?

网络安全

例如 服务器只做WEB服务器  关闭所有端口 只打开TCP 80端口

TCPIP筛选不影响出去的流量

例如 访问目标端口443原端口，作为WEB服务器只开启80端口 ，出去占用随机端口为1024后任意一个。

如何查看可疑木马？

1.netstat -n查看端口2.查看服务 msconfig

Ipsec技术控制木马产生流量？

1、打开本地安全策略

2、Ip安全策略 设置策略 只打开80流量，其余端口流量全部拒绝

网络安全

在windows2003server上使用TCP/IP筛选网络安全

Windows xp windowsserver2003防火墙

Windows xp windowsserver2003支持ipsec 严格控制进出计算机流量

WindowsTCPIP筛选安全级别高于防火墙，因为防火墙服务停止后，防火墙即便启用也不起作用。

网络层协议

Ip协议 选择最佳路径的协议

ICMP协议 测试网络状态的协议

          Ping 估算带宽 查看网络是否畅通 断定远程系统

          Pathping | 跟踪路径 计算丢包情况

IGMP 组播 配置在路由器上

      点到点 ：目标与原地址确定

       广播  ： 网卡绑定广播地址 目标地址全1 所有人都可以收到 例如视频课

       多播 （组播）：一组计算机可以收到 绑定组播地址

APR协议 将计算机的IP地址解析成MAC地址

         查看缓存ARP地址 ARP -a

抓包工具排除网络故障

数据跨网段通信和同一网段通信过程

MAC地址决定吓一跳给那个设备

IP地址决定最终计算机

如果在一网段 解析MAC地址 如果不在一个网段解析网关MAC地址 也就是路由的MAC地址

第三章 IP地址与子网划分

二进制和十进制

1     1

10     2

100     4

1000     8

10000     16

100000     32

1000000     64

10000000    128

11000000     192

11100000      224

11110000      240

11111000       248

11111100        252

11111110        254

11111111        255

IP地址

32位二进制

子网掩码作用：计算机与另外计算机通信，首先需要判断是不是一个网段，用原IP地址与子网掩码做与运算，再用原子网掩码与目标地址做与运算，主机位归零后，留下的为网络部分，然后在做比较。

IP地址分类是构成。

A类地址：第一个8位为网络部分，后三个8位是主机部分。可用ip数量256*256*256-2

B类地址：前两个8位为网络部分，后两个8位是主机部分。可用ip数量256*256-2

C类地址：前三个8位为网络部分，最后一个8位是主机部分。可用ip数量256-2

主机部分全零代表网络号不可用，如10.0.0.0。

主机部分全1不可用，作为广播地址，如10.255.255.255.

D类地址 组播

E类地址 研究

互联网保留的私网地址

A:10.0.0.0

B：172.16.0.0-172.31.0.0

C：192.168.0.0-192.168.255.0

本地还回地址

127.0.0.1

169.254.0.0

等长子网划分

判断IP地址所属网段

192.168.0.101/27

一般子网掩码为24，27为在24基础上向后移动3位，二进制三位将网络分为了8段，网络断为0-255共256个地址，256/8=32，每个地址段分为32 如上图。101位于96-128段。主机位归零后，起点为96.所以192.168.0.101属于192.168.0.96子网。

变长子网划分

需求研发部20台，财务部50台，市场部100台。

      20       50          100

0   32   64      128            255

等分一次除一次二 子网掩码往后移动一位 分两段

市场部：子网掩码255.255.255.128  ip192.168.0.129-254

等分二次除二次二 子网掩码往后移动二位 分四段

财务部：子网掩码255.255.255.192  ip192.168.0.65-126

等分三次除三次二 子网掩码往后移动三位 分八段

研发部：子网掩码255.255.255.224  Ip192.168.0.33-62

合并网段

将不同网段合并为一个网段 实际为将子网掩码向前移动

如 将19.168.0.2网段与192.168.1.2网段合并为一个网段 。 0 、1可合并，2 、3可合并

   只需将子网掩码设置为255.255.254.0 网关设置为192.168.0.1

子网掩码往前移动1位合并2个网段

子网掩码往前移动2位合并4个网段

子网掩码往前移动3位合并8个网段

以此类推

第四章 Cisco ios

cisco路由器IOS命名规则：AAAAAA-BBBB-CC-DDD.EF

AAAAAA这组字符说明文件所适用的硬件平台

BBBB这组字符是说明这个IOS的包含的特性

CC是IOS文件格式

DDDD是iOS软件版本号

EE是IOS文件后缀，.bin或者.tar

配置路由器以太网接口和广域网接口

命令：

     Show ?  查看show命令帮助

     Disable 退出特权模式

     Enable 进入特权模式

define enable action if no tacacs servers respond

译文：定义使操作如果没有tacacs服务器响应

     Show interface e 1/0  查看端口状态

     Show running-config 查看配置

     Show version  查看版本号

     Config terminal 配置终端 简写config t

全局配置模式【r(config)#  】

【r(config-if)# 】

hostname xxxxx 修改名字

 enable password xxxx 修改密码   

exit 退出全局模式

interface ethernet 1/0 在全局模式下进入配置接口模式  

Ip address 192.168.0.2 255.255.255.0 配置IP地址  子网掩码

ip address 192.168.0.2 255.255.255.0 ? 加多个地址

No shutdown 不关闭启用 简写 no sh命令前加NO 是不起作用的意思

Shut down 关闭    

注：路由器有三种基本的访问模式：
1、 用户模式（User EXEC）
用户模式是路由器启动时的缺省模式，提供有限的路由器访问权限，允许执行一些非破坏性的操作，如查看路由器的配置参数，测试路由器的连通性等，但不能对路由器配置做任何改动。该模式下的提示符（Prompt）为“＞”。show interfaces命令，查看路由器接口信息，即为用户模式下的命令。
2、 特权模式(Privileged EXEC)
特权模式，也叫使能（enable）模式，可对路由器进行更多的操作，使用的命令集比用户模式多，可对路由器进行更高级的测试，如使用debug命令。在用户模式下通过使能口令进入特权模式。提示符为“＃”。Show running-config即为特权模式命令。
3、 配置模式(Global Configuration)
配置模式是路由器的最高操作模式，可以设置路由器上的运行的硬件和软件的相关参数；配置各接口、路由协议和广域网协议；设置用户和访问密码等。在特权模式“＃”提示符下输入config命令，进入配置模式。

配置广域网口

DCE端定义时钟频率 DTE接收

【r(config)# 】

Interface serial 2/0

【r(config-if)# 】

Clock rate ?   定义时钟频率

Clock rate 64000

Show controllers serial 2/0

查看端口是否为DCT

设置路由器为允许telnet模式

【r(config)# 】

Line vty 0 ?  最大允许16人同时连接

Line vty  0 15 可以同时打开十五个会话端口

Password aaa 设置密码

Login        设置必须登陆登陆

Show users  查看有多少人在连接路由器

禁止telnet 路由器

【r(config)# 】

Line vty 0 15  设置全部0-15端口

Login        必须登陆

No password    没有登陆密码

保存路由器配置

【r# 】

Copy running-config startup-config  拷贝运行配置到启动配置

Copy startup-config running-config  将以前的配置生效

设置允许网页访问

【r(config)# 】

Ip http server

设置加密的enable 密码

【r(config)# 】

Enable secret xxxxxxxx

设置Telnet密码

将所有密码加密显示

常用

RRouter>enable //进入特权模式

Router#conf t //进入全局模式，全拼 configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#hostname cisco  //设置路由器名

cisco(config)#enable password 123 //设置进入特权状态的密码(password)，此密码只在没有密文时起作用，并且在设置以后会以明文方式显示

cisco(config)#enable secret 456 //设置进入特权状态的密文

//console端口登录的密码

cisco(config)#line console 0

cisco(config-line)#password xxxxx

cisco(config-line)#login

//远程telnet端登陆的密码

cisco(config-line)#line vty 0 15

cisco(config-line)#password xxxxx

cisco(config-line)#login

cisco(config-line)#exit

cisco(config)#exit

cisco#copy running-config startup-config //保存当前配置为下次启动配置

Destination filename [startup-config]?

Building configuration...

[OK]

cisco#reload //重启路由器

路由器telnet 路由器

路由器配置域名解析

(config)#ip domain-lookup  打开域名解析
(config)#ip r2 192.168.0.2  r2的地址是192.168.0.2
(config)#ping r2

(config)#ping name-server 8.8.8.8  此命令是为路由器添加一个DNS地址

使用cdp思科发现协议 适用二层地址通信

Router1# show cdp neighbors

Router1# show cdp neighbors detail

第五章静态路由

网络畅通的条件 数据包能去能回

    沿途的路由器必须知道到目标地址如何转发

    沿途的路由器必须知道回来的数据包如何转发

路由器直连的网络 不用告诉

路由器没有直连的网络 管理员需要告诉路由器到目标网络如何转发，也就是添加静态        

路由

路由只关心网段 不关心具体计算机

添加路由命令

(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.1 黄色为目标地址段 绿色为下一跳地址

R1# traceroute 192.168.1.2 跟踪数据包路径

R1#show ip route 查看路由表

(config)#no ip route 192.168.1.0 255.255.255.0 删除到192.168.1.0网段的路由条目

路由汇总前提条件：是相同网段的都在一台起始路由的一侧。如不在一侧则无法汇总如图172.16.10.0在另外一侧

使用CRID简化路由表

192.168.16.0/24       都除4  等同于 0   合并四个网段子网掩码向前移动两位/22

192.168.17.0/24                      1

192.168.18.0/24                      2

192.168.19.0/24                      3

默认路由

网络地址与子网掩码都为0 意味着任何网络

Windows上添加路由表

Route add 0.0.0.0 mask 0.0.0.0 192.168.0.1

查看路由表

Route print

Netstat -r

网关是本网段的出口，是下一跳的地址。内网不设置网关。

网络负载均衡

第六章动态路由

Rip协议 跳数 30秒广播路由表 最大跳数16跳

配置rip协议

R1(config)#router rip

R1(config-router)#network 192.168.80.0 在RIP协议下将网段加入路由

查看动态路由配置情况

R3#show ip protocols

 协议 优先级高于rip

R1(config)#router eigrp 10 自制区域号10，不同编号的路由器不能交换路由信息

优先级 : 直连  C   1 >静态 S> eigrp  D  90>rip  R 120

第七章交换机

集线器 ：不安全 带宽共享 冲突域

交换机：基于目标MAC转发 学习MAC地址表 端口独享带宽 无冲突 广播FF

查看MAC表

SW#show mac-address-table

交换机端口安全

1、限制数量

Swich#config t

Swich(config)#interface fastEthernet 0/4

Swich(config-if)#switchport mode access

Swich(config-if)#swichport port -security

Swich(config-if)#swichport port -security violation  shutdowm

Swich(config-if)#swichport port -security maxinum 2 设置交换机最大接入数量为2

2、绑定MAC

Swich(config)#interface range fastEthernet 0/1 - 24   range批量改变端口

Swich(config-if-range)#switchport mode access

Swich(config-if-range)#swichport port-security         交换机端口安全

Swich(config-if-range)#swichport port -security violation shutdowm   违反端口安全

Swich(config-if-range)#swichport port -security mac-address sticky 将现有MAC地址表改为静态

注：

交换机的端口工作模式一般可以分为三种：Access，Multi，Trunk。trunk模式的端口用于交换机与交换机，交换机与路由器，大多用于级联网络设备。Access多用于接入层也叫接入模式。主要是将端口静态接入。

1、access: 主要用来接入终端设备，如PC机、服务器、打印服务器等。   2、trunk: 主要用在连接其它交换机，以便在线路上承载多个vlan。   3、multi: 在一个线路中承载多个vlan，但不像trunk,它不对承载的数据打标签。主要用于接入支持多vlan的服务器或者一些网络分析设备。现在基本不使用此类接口，在cisco的网络设备中，也基本不支持此类接口了。

注：

理解Port-Security    

1.Port-Security安全地址：secure MAC address  在接口上激活Port-Security后，该接口就具有了一定的安全功能，例如能够限制接口（所连接的）的最大MAC数量，从而限制接入的主机用户；或者限定接口所连接的特定MAC，从而实现接入用户的限制。那么要执行过滤或者限制动作，就需要有依据，这个依据就是安全地址 – secure MAC address。      安全地址表项可以通过让使用端口动态学习到的MAC（SecureDynamic），或者是手工在接口下进行配置（SecureConfigured），以及sticy MAC address（SecureSticky） 三种方式进行配置。      当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址，那么这个接口将只为该MAC所属的PC服务，也就是源为该MAC的数据帧能够进入该接口。   

2.当以下情况发生时，激活惩罚（violation）：      当一个激活了Port-Security的接口上，MAC地址数量已经达到了配置的最大安全地址数量，并且又收到了一个新的数据帧，而这个数据帧的源MAC并不在这些安全地址中，那么启动惩罚措施      当在一个Port-Security接口上配置了某个安全地址，而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时，启动惩罚措施      当设置了Port-Security接口的最大允许MAC的数量后，接口关联的安全地址表项可以通过如下方式获取：  · 在接口下使用switchport port-security mac-address 来配置静态安全地址表项 · 使用接口动态学习到的MAC来构成安全地址表项 · 一部分静态配置，一部分动态学习

生成树协议：为了高可用，局域网交换机连接有了环路，为了阻断网络中广播，利用生成树协议

1、确定根交换机（依据根交换机默认优先级小的，MAC数值小）

2、确定根端口转发用户数据（路径短）

3、确定指定端口 阻断端口

查看生成树

Swich#show spanning-tree

修改根交换机优先级 值越小 优先级越高

Swich#config t

Swich(config)#spanning-tree ?查看帮助

Swich(config)#spanning-tree vlan 1 priority 4096

关闭生成树协议

Swich(config)#no spanning-tree vlan 1

第八章VLAN

一个VLAN=一个网段=一个广播域

Gi1/2干道链路：可以传输多个VLAN数据

跑多个VLAN时trunk

单个VLAN时access

步骤：

创建VLAN2

将接口添加到VLAN2

将G1 /1配置成干道链路

创建VLAN2

将G0/1配置成干道链路

将G0 /2配置成干道链路

将interface  vlan  1 添加IP地址

将interface  vlan  2 添加IP地址

配置VLAN：

查看VLAN

Swich#show vlan

创建VLAN2

Swich(config)#vlan2

将13-24放到VLAN2

Swich(config)#interface range fastethernet 0/13-24

端口与计算机相连为access模式，该端口的工作模式是access

Swich(config-if-range)#switchport mode access

端口在access的工作模式下允许VLAN2通过

Swich(config-if-range)#switchport access vlan2

配置干道链路：

Swich(config)#interface gigabitEthernet 1/1

Swich(config-if)#swich mode trunk encapsulation dot1q trunk协议封装为dot1q

Swich(config-if)#swich mode trunk 端口模式为trunk

第九章ACL

网络安全：

1、物理层安全：墙上不用的网线接口连接交换机的端口关掉

2、数据链路层安全：adsl拨号账号和密码 MAC地址绑定 交换机端口连接计算机数量控制 创建vlan

3、网络层安全：基于源ip地址 目标ip地址控制

4、传输层安全：会话攻击 LAND攻击 syn洪水攻击

5、应用层安全 登录密码

DMZ是英文"demilitarized zone"的缩写，中文名称为"隔离区"，也称"非军事化区"。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。

路由器实现的是网络层安全

1、标准的ACL

基于源地址进行控制

2、扩展的ACL

基于源地址 目标地址 协议 端口号 进行控制

访问标准控制列表

Router（config）#no access-list 10 删除控制列表

Router（config）#access-list 10 deny host 192.168.2.2 0.0.0.255拒绝这个地址

Router（config）#access-list 10 permit 192.168.1.0 0.0.0.255 允许这个网段

Router（config）#access-list 10 permit 192.168.2.0 0.0.0.255 允许这个网段

Router（config）#access-list 20 deny host 192.168.0.0 0.0.0.255 除去这个地址都可访问

Router（config）#access-list 20 permit any

扩展的Acl

Router> en

Router#config t

Router（config）#access-list 100 permit ip 192.168.2.0 0.0.0.255 any

ACL100允许 ip协议 192.168.2.0网段 访问 任何地址

Router（config）#access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255 eq 80

允许192.168.1.0网段访问10.0.0.0的80端口

Router（config）#access-list 100 permit icmp 192.168.0.0 0.0.0.255 any

允许192.168.0.0网段PING通任何地址

将ACL100 绑定到serial 3/0

Router（config）#interface serial 3/0

Router（config-if）#ip acess-group 100 out

使用ACL 保护路由器安全 控制Telnet 主机

Router（config）#access-list 10 permit 192.168.1.3 0.0.0.0 创建列表 只有一台计算机

Router（config-if）#ip access-group 10 in 将ACL绑定到物理接口

Router（config-line）#access-list 10 in 将ACL终端绑定到telnet 接口进入时检查list 10规则

第十章NAT和PAT

    NAT(Network Address Translation，网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址)，但现在又想和因特网上的主机通信(并不需要加密)时，可使用NAT方法。

    这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址。这样，所有使用本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特网连接。

    另外，这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用的IP地址空间的枯竭。

地址转换技术

1、内网能够主动访问外网，外网不能主动访问内网，内网安全。

2、节省公网IP地址

缺点：慢

PAT ：端口地址转换，端口地址同时换。节省公网IP。

配置静态NAT：不节省公网IP，一个公网IP替换一个内网地址。

一一对应

动态NAT：先到先得公网地址

PAT：全部替换成一个公网地址，端口号不同，可以区分不同内网地址

在路由上配置PAT

开启ip数据包转发显示

Router#Debug ip packet 开启数据包转发显示

Router（config)#access-list 10 permit  10.0.0.0  0.0.0.255 定义内网访问控制列表

Router（config)#ip nat pool todd 131.107.0.1 131.107.0.1 netmask 255.255.255.0

定义公网地址池为131.107.0.1到 131.107.0.1

Router（config)#ip nat inside source list 10 pool todd overload 将访问列表与公网地址池绑定

定义进出端口为NAT

Router（config)#interface series 0/0

Router（config-If)#ip nat outside

Router（config)#interface fastEthernet 0/1

Router（config-if)#ip nat inside

在路由器上查看NAT活动

Router#debug ip nat

在windows上配置NAT

1.路由和远程访问配置nat

2.连接共享

端口映射 允许你使用公网地址访问内网服务器

1.在路由器上配置端口映射

CPE>en

CPE#

CPE#config t

CPE(config)#ip nat inside source stasic tcp 10.0.0.6 80 131.107.0.1 80 将外网地址131.107.0.1 80端口映射到内网10.0.0.6  80端口，其为WEB服务器，外网可以访问内网WEB服务

CPE(config)#intterface serial 0/0

CPE(config-if)#ip nat outsaide   告知路由s0/0位外网口

CPE(config)#intterface  fastEthernet 0/1

CPE(config-if)#ip nat insaide   告知路由fa0/1位内网口

2.在WINDOWS上配置端口映射

网络笔记

标签：网络基础

原文地址：http://13299452.blog.51cto.com/13289452/1969090