1计算机网络详解

车辆厂网络拓扑展示

局域网

广域网

 

服务器

客户机

 

应用程序

服务  

 

OSI参考模型

     分层的好处

         数据通信的每个环节变化不影响其他环节

         各个厂商设备标准化

 

     应用层 能够产生网络流量的网络应用程序 QQ IE

     表示层 加密 压缩 二进制 ASCII IE浏览器出现乱码

     会话层 查木马 查看会话 netstat -nb

     传输层 可靠传输 不可靠传输 流量控制 滑动窗口技术面向连接(三次握手) 确认

     网络层 选择路径

     数据链路层 定义了如何标识网络设备 数据帧如何封装 帧头帧尾 透明封装

     物理层 发送和接收Bit 电压 接口

 

案例:和平医院不能更改IP地址就是因为在应用层包含了网络层的信息

 

从排错来看OSI参考模型

     从底层向高层逐一排错

        物理层错误连接是否正常

        数据链路层 ADSL拨号数据链路层通网络层才能通

                   arp -s 192.168.1.100-1d-0f-68-42-fe

        网络层选择路径出现的故障计算机没有设置网关

        表示层 IE乱码

        应用层 IE 插件

     替换法排错

 

 

从安全角度来看OSI参考模型

        物理层安全

        数据链路层安全在交换机上的端口绑定MAC地址

        网络层安全网络层防火墙 在网络设备上指定ACL 控制数据包流量

        应用层安全杀毒软件 应用层防火墙高级防火墙ISA 2006 可以基于源地址 目标地址 协议 端口号 时间 用户 文件类型 来控制网络流量

  

网络设备

      网卡MAC

      集线器HUB 10M 100M  100 不安全 是一个大的冲突域 30左右计算机

      交换机基于MAC地址转发数据,安全端口带宽独享 标准以太网10,快速以太网100G 1000M 广播域

      路由器基于IP地址转发数据广域网接口 隔绝广播 ACL

      网线双绞线 8 4  10M  100M 1236通信 1000M 8根全用

      直通线  交叉线 全反线 Console调路由器 10 100M123 6  1000M 8

 

演示:更改MAC地址

案例:MAC地址冲突造成的网络问题

 

网络设备和OSI参考模型

 

数据封装

数据段 消息

数据包

数据帧

   Bit

 

数据通信类型

单工

半双工 HUB

全双工以太网 交换机

演示:查看网卡的全双工半双工状态

演示:更改网卡网速

 

网络设计三层模型

      接入层交换机直接接用户计算机的交换机接入层交换机 口多 10 or 100M

      汇集层交换机接接入层交换机 端口带宽高 端口比接入层相对较少

      核心层交换机连接汇聚成交换机

Ping命令或 ip config /all 保存到d盘“ping命令.txt”:

ping www.baidu.com>>d:ping命令.txt

复制命令行:选中—回车—粘贴

2 TCP/IP协议和网络安全

传输层协议

  TCP 协议传输前 数据分段 编号 建立会话 可靠传输 流量控制功能 三次握手 netstat -n

  UDP 一个数据包就能完成任务不可靠传输 不建立会话 数据不分段 编号

 

演示:land攻击和syn攻击

 

应用层协议和传输层协议之间的关系

     服务器对外提供服务就需要使用一个应用层协议

     http=TCP+80

https=TCP+443

     ftp=TCP+21 or 20

    SMTP=TCP+25 发送电子邮件

     PoP3=TCP+110

    RDP=TCP+3389 远程桌面协议

     微软SQLServer数据库=TCP+1433

     DNS=UDP or TCP +53

   1024端口

   IP地址访问共享文件=TCP+445

   用计算机名访问共享文件=TCP+139

 

端口用来标识服务器的服务不同服务使用端口应该不同

 

演示:Windows上的服务和端口的关系

     查看侦听的端口netstat -anb

     安装SMTP Pop3服务 FTP Web服务

     查看新增加的侦听的端口

案例:端口冲突造成的Web服务启动失败

 

演示:更改服务默认端口增加安全性

     默认端口可以更改,客户端必须也得更改

更改远程桌面服务使用的端口

     使用更改后的使用客户端如何连接

 

演示:配置服务器的网络安全

     使用端口扫描工具扫描远程服务器端口

     telnet测试远程服务器的某个端口是否打开

     Windows防火墙的实现WindowsXP的网络安全

使用远程控制工具入侵服务器

     使用TCP/IP筛选配置服务器安全

 

案例:Windows防火墙引起的网络网络故障

     单向通信

 

演示:使用IPSec严格控制出入服务器的流量

灰鸽子木马防范

查看灰鸽子木马建立的会话

     msconfig 查看可疑的服务

     创建IPSec严格控制网络流量

 

结论:服务器网络安全

   在服务器上只打开必须的端口

   使用IPSec严格控制网络流量

 

网络层协议 IP RIP EIGRP OSPF

讲解:跨网段通信MAC地址和IP地址的作用

数据路由过程数据帧和数据包的变化

MAC地址决定下一跳给那个设备

IP地址决定最终计算机

 

ICMP 测试网络连通性 ping pathpingtracert(路由器上使用)

 

演示:使用ping命令查看网络是否拥堵  是否是路由问题造成的丢包

演示:使用ping –i参数找到数据包沿途经过的路由器

演示:通过TTL判断对方是什么系统

     Linux  64

     Windows 2000  128

     Unix系列    255

 

ping Ip -t ctrl +C 停止ping

pathping 跟踪数据包路径

pathping

 

IGMP 组播管理 点到点 广播 目标MAC IP地址全多播(组播)

               

案例:白求恩军医学院Pathping排除网络故障

 

   数据封装

   传输层 数据段 消息

   网络层 数据包

   数据链路层 数据帧

   物理层 Bit

  

Arp协议

ARP IP-->MAC地址 广播 arp -s 192.168.1.132-32-32-32-23-32

演示:利用ARP欺骗的软件

   ARP 欺骗 arp -s 192.168.1.1 22-21-21-21-12-12

网络执法官

P2P终结者

Cain密码捕获软件

 

演示:抓包工具分析数据包

 对于IP地址欺骗没有办法

3 IP地址  

32位二进制11111111 255

补充知识

IP地址

二进制   十进制

      1   1

     10   2

    100   4

   1000   8

  10000   16

 100000   32

 1000000  64

10000000 128

 

10000000 128

11000000 192

11100000 224

11110000 240

11111000 248

11111100 252

11111110 254

11111111 255

 

   IP地址

子网掩码的作用

   IP地址的分类默认子网掩码

   IP地址的分类

A 1-127           00000001--01111111  

B 128-191         10000000--10111111

C 192-223         11000000--11011111

D 224-239         11100000--11101111  

  多播地址  无子网掩码

E 240-255          11110000—11111111   用于测试

 

演示:默认子网掩码

 

   公网地址

   保留的私有地址

  10.0.0.0

  172.16.0.0--172.31.0.0

  192.168.0.0--192.168.255.0

特殊的一些地址

   主机位全0 代表本网段

   主机位全1 代表本网段所有主机   

  169.254.0.0 

  127.0.0.1

  0.0.0.0

 

演示:地址冲突 0.0.0.0

     演示:ping 192.168.80.255 所有计算机都能收

169.254地址

     Ping 127.0.0.1

 

   广播地址

   第二层广播 MAC地址FF-FF-FF-FF-FF-FF

   广播(第3层)255.255.255.255

   单播

   组播  224.0.0.0----239.255.255.255

 

子网划分

划分子网

确定需要的子网个数

确定每个子网主机数量

划分子网需要确认

    子网掩码

    子网网段

    开始地址和结束地址

 

    等长子网

    变长子网

B类网络的子网划分

超网

CIDR(无类域间路由选择)的子网掩码

        

思考:指定一个IP地址所属的网段 192.168.80.229/27

     点到点网络的子网掩码

     确定和222.223.239.89/26这个地址在同一个网段的地址范围

     判断一个地址是否可用 192.168.80.47/32 192.168.80.46/32

     判断这几个网段是否能够将子网掩码前移2位合并

 192.168.67.0/24

192.168.68.0/24

192.168.69.0/24

192.168.70.0/24

 

 192.168.0.0 255.255.255.0

 

 178.12.0.0 255.255.0.0

 

 178.12.0.0    255.255.128.0

 178.12.128.0  255.255.128.0

 

 10.0.0.0 255.0.0.0

 

 10.0.1.0 255.255.255.0

 10.0.2.0 255.255.255.0

 

 10.1.0.0 255.255.0.0

 10.2.0.0 255.255.0.0

 

   超网

 

讲解:一个计算机设置多个IP地址的应用

 

网络排错

  ipconfig /all

  ping 127.0.0.1 网卡驱动没问题

  ping 网关和局域网是通的

  ping 202.99.160.68 Internet网络层通

  ping www.inhe.net 查看域名解析是否正常网络层测试

  telnet www.inhe.net 80  应用层 测试测试应用层是否畅通 23默认端口

pathping www.inhe.net 跟踪数据包路径和计算丢包情况 

 

   检查IE设置

   替换法

4配置Cisco网络设备

路由器

模块化

固定模块

 

系列

IOS 2500系列路由器 2500 IOS 有企业版标准版

RAM 相当于计算机的内存 配置路由器的设置默认是RAM

NVRAM 相当于硬盘存放  startup-config

ROM   相当于计算机的BIOS , 不能删除存放 Bootstarp POST 微型IOS

Flash 存放IOS

 

IOS虚拟机

使用Dynamips搭建实验环境

 

telnet 192.168.1.200

R1

断开 ctrl+shift+6 X

查看会话 show session

断开会话 disconnect 1

 

路由器的用户模式

特权模式

命令的帮助

 

路由配置常用命令

Router#

show interface 查看路由器的接口

show running-config 查看路由的配置 密码 接口IP地址 ACL NAT

show version 查看路由器版本 配置寄存器的值

show ip interface brief 查看和Ip相关的接口信息

show ip route 查看路由表

show ip protocal 查看路由器运行的动态路由协议

全局配置命令

config t

Router(config)#

Router(config)#hostname Router1

Router1(config)#enable password aaa

Router1(config)#enable secret aaaa

 

配置Telnet密码 TCP 23

Router1(config)#line vty 0 4

Router1(config-line)#password aaa 设置Telnet密码

Router1(config-line)#login 要求必须登录

 

使用telnet连接路由器

CRT连接路由器

 

Telnet如果不需要密码执行以下命令

Router1(config)#line vty 0 4

Router1(config-line)#no login

Router1(config-line)#no password

 

配置路由器接口IP地址

Router1#config t

Router1(config)#interface fastEthernet 0/0

Router1(config-if)#ip address 192.168.0.1255.255.255.0

Router1(config-if)#no sh

Router1(config-if)#exit

 

广域网接口配置需要在DCE指定时钟频率

Router1(config)#interface serial 2/0

Router1(config-if)#clock rate 64000  DCE端配置时钟频率

Router1(config-if)#ip address 10.0.0.1255.255.255.0

Router1(config-if)#no sh

 

保存路由器配置

查看保存的路由器配置

 

查看运行的路由器配置

 

配置路由器能够进行域名解析

RA(config)#ip domain-lookup

RA(config)#ip name-server 222.222.222.222

建立主机列表

RAconfig# ip hostname ip_address

 

 

使用Cisco发现协议

CDP Cisco发现协议 CDP  二层地址  能够查看邻居信息

Router(config)#cdp run

Router#show cdp neighbors

RA#show CDPneighbors

 

从路由器Telnet到其他路由器

Router#telnet Router0

 

从路由器telnet 其他路由器临时退出会话

ctrl+shift+6

X

查看会话 show sessions

在路由器上查看连接过来的用户 show users

 

解析主机名

Router(config)#ip host Router0 172.16.5.1 添加名称和IP地址对应关系

RouterB(config)#ip domain-lookup 启用域名查找

RouterB(config)#ip name-server202.99.160.68 配置DNS服务器

 

检测路由器活动

Router#debug ip packet

Router#debug ip ?

 icmp     ICMP transactions

 nat      NAT events

 ospf     OSPF information

 packet   Packet information

 rip      RIP protocol transactions

 routing  Routing table events

Router#undebug all

 

PacketTracer模拟软件

5静态路由

路由

不同网段计算机通信就叫路由

对路由器的要求,必须知道到网络中各个网段如何转发

 

网络畅通的条件

 

静态路由管理员告诉路由器到各个网段如何转发

Router(config)#ip route 192.168.6.0255.255.255.0 192.168.1.2 ?(可以更改管理距离AD

删除理由表

跟踪数据包路径

 

路由汇总

路由汇总列外

 

 iproute 192.168.0.0 255.255.252.0 19

默认路由代表大多数网段的路由

 优先级最低

 

演示:默认路由产生大环

     默认路由产生数据包无限跳转

 

演示:Windows上的网关就是默认路由

Windows上的路由表

在计算机上添加路由表

route add 192.168.2.0 mask 255.255.255.0 192.168.1.2 添加路由表

route print 显示计算机上的路由表

netstat –r

 

案例和平医院网络排错网关也很重要

     车辆厂新增网段 和分厂不通

    

末端网络路由器使用默认路由减少路由表项

骨干网路由器通过路由汇总减少路由表项

6动态路由

静态路由不能自动根据网络变换而变化  规模小 没有环

 

动态路由

网络规模较大 or 具有网状结构的网络

动态路由路由器自己来学习到各个网段如何转发

  RIP度量值 跳数 每隔30秒广播  15 16不可到达 适合于小的网络 也适合没有环路的网络

 

 RIPv1 不包括子网信息只支持等长子网

 RIPv2 支持变长子网  路由信息通告中包括子网掩码信息

  Router(config-router)#version 2

连续子网不连续子网

  关闭自动汇总 就支持不连续子网

实验2 配置RIPv2支持不连续子网OK.pkt   不连续子网不支持

    Router(config-router)#no auto-summary

 

RIP 周期性广播路由表 30 度量值是跳数 15 16跳认为不可到达

RIPv1 广播传播路由信息支持等长子网 不支持变长子网和不连续子网

RIPv2 多播传播路由信息支持变长子网 不连续子网(关闭自动汇总)传播路由信息中包含了子网掩码信息

 

EIGRP协议 Cisco专有协议 非周期性更新路由信息,Hello报文发现和跟踪邻居 以太网5秒,T1或更低的速率 Hello报文以单播方式60秒发送一次,3倍时间确认失效,使用224.0.0.10用户邻居发现和回复,邻居使用单播地址确认 度量值默认带宽和延迟 支持大的网络默认100 最大255 必须是统一自制区域才能交换路由信息 支持变长子网和不连续子网(关闭自动汇总) 收敛速度块(有·)

度量值可以包括 跳数 带宽 延迟 负载 可靠性 代价(cost

 

EIGRP 相当于RIPv2 支持变长子网 关掉汇总,支持不连续子网。

 

Router#config t

Router(config)#router rip

Router(config-router)#network 172.16.0.0

Router(config-router)#network 10.0.0.0

Router(config-router)#version 2

Router(config-router)#no auto-summary

 

Router#show ip protocols 显示配置的所有动态路由协议

 

Router(config)#router eigrp 10

Router(config-router)#network 192.168.0.0

Router(config-router)#no auto-summary

手动汇总

Routerconfig#interfaceSerial 2/0

Routerconfig-if#ipsummary-address eigrp 10 192.168.0.0 255.255.255.128

Routerconfig-if#ex

Routerconfig#interfacefastEthernet 6/0

Routerconfig-if#ipsummary-address eigrp 10 192.168.0.0 255.255.255.128

 

 

查看ip路由协议配置信息

Show ip protocol

 

查看备用路径

Router#show ip eigrp topology

 

显示EIGRP协议活动

debug eigrp packets它将给我们显示出在两台相邻路由器间所发送的Hello数据包:

Router#debug eigrp packets

 

 

路由信息可信度值越低优先级越高

    直连的网络 0

    静态路由   1   iproute 10.0.0.0 255.0.0.0 192.168.1.1 121

   EIGRP      90

   OSPF       110

   RIP        120

 

OSPF 开放式路由协议 带宽 hello维持邻居关系

 路由表 由路由根据链路状态数据库算出来的,不出现环路,路由器之间更新的是链路状态,度量值带宽。触发式更新。

路由器三个表邻居表,链路状态表,路由表

特性

    有地区和自制系统组成

    最小化路由更新流量

    可扩展

    支持变长子网

    跳数不受限

    标准 开放的标准

 

OSPF配置

 

Router(config)#router ospf 110 进程号

Router(config-router)#network 172.16.0.00.0.255.255 area 0  区域号 只有同一个区域的接口才能交换链路状态信息

Router(config-router)#network 172.16.0.10.0.0.0 area 0

 

查看路由表

show ip route

 

查看链路状态数据库

Router#show ip ospf databases

 

查看邻居

Router#show ip ospf neighbor

 

测试OSPF收敛速度

 

DR 指定路由器 224.0.0.5224.0.0.6 维护邻居信息

224.0.0.5---AllSPFRouters.224.0.0.6---AllDRoutersDR+BDR

BDR 备用的指定路由器

 

更改DR BDR选举优先级

Router(config-if)#ip ospf priority 2

 

路由协议分以下几种类型,现在总结主要特点:

}  距离矢量协议,典型代表就是RIP,其特点就是周期性广播或多播将自己的路由表通告给其他路由器。

}  链路状态协议,典型代表就是OSPF,其特点就是周期性使用Hello包维护邻居信息,触发式更新链路状态,使用链路状态数据库计算路由表。

}  混合型协议,典型代表就是EIGRP,为什么说它是混合的呢?因为使用Hello包维护邻居信息,触发式更新,这些特性像链路状态的部分特性,但是它又直接通告路由表到其他路由器,这特性是距离矢量的特性。因此称EIGRP为混合型。

 

管理距离

 


7交换和VLAN

局域网组网设备

集线器

网桥

交换机

 

演示:查看交换机的MAC地址表

 

交换

   交换机MAC地址表是通过数据帧的源MAC地址构造的

   交换机端口可以实现安全

   交换机端口上实现安全

可以控制交换机端口连接计算机数量

 

在交换机端口绑定MAC地址 MACIP

Switch(config-if)#switchport mode access 配置该接口为访问接口

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-securityviolation shutdown

Switch(config-if)#switchport port-securitymaximum 1

Switch(config-if)#switchport port-securitymac-address 0090.0CD7.65C8

下面的命令一将现有的MAC地址绑定到端口个接口只能连接一个计算机

Switch(config-if-range)#switchportport-security mac-address sticky

再次查看MAC地址表就变成静态的了

 

生成树(STP

   交换机的端口状态

     阻断监听 学习 转发 禁用

  Hello 时间 BPDU 默认 2S

选根交换机(根网桥)网桥ID=优先级+MAC 网桥ID小的优先成为根

非根网桥选根端口 到根交换机近的端口

   1.最顶的网桥ID

   2.最低的到达根网桥的路径开销

   3.最低的发送方网桥ID

   4.最低的端口优先级

   5.最低的端口ID

 

每根网线两端确定一个指定端口,到根交换机近的为指定端口

 

确定根网桥

Switch#show spanning-tree   可以看到阻断的端口

---------------- ---- --- ----------------- --------------------------------

Gi5/1            Root FWD 4         128.6    P2p

Gi6/1            Altn BLK 4         128.7    P2p

Gi7/1            Altn BLK 4         128.8    P2p

Gi8/1            Altn BLK 4         128.9    P2p

更改网桥优先级

Switch(config)#spanning-tree vlan 1priority 4096

 

关闭vlan 1的生成树

Switch(config)#no spanning-tree vlan 1

 

交换机的配置

 

Switch(config)#interface vlan 1

Switch(config-if)#ip address 192.168.0.100255.255.255.0

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#ip default-gateway192.168.0.1

 

Switch(config)#enable password aaa

Switch(config)#line vty 0 ?

Switch(config)#line vty 0 15

Switch(config-line)#password aaa

Switch(config-line)#login

优化生成树

    当网络中的交换机数量增加或链路有变化时,所有交换机上重新进行生成树操作来确定阻断端口和转发端口。在完成重新计算之前,交换机不能转发任何数据。完成计算之后,才能转发数据,这个过程需要的时间就是生成树的收敛时间。在交换机端口上,生成树拓扑从阻塞到转发的典型收敛时间为50秒。也就是说网络拓扑有变化,网络会中断50秒。通过将汇聚层或核心层交换机设置为根网桥,可以使生成树收敛得又快又好。

 

配置PortFast 连接计算机和服务器的端口可以配置成portFast端口,立即进入转发状态,而避免监听状态和学习状态

在连接计算机的接口上配置PortFast  copy running-configstartup-config

 

练习:启用Portfast

Switch(config)#interface fastEthernet 0/1

Switch(config-if-range)#spanning-treeportfast

虚拟局域网VLAN

查看VLAN命令

Switch#show vlan

创建VLAN

Switch#config t

Switch(config)#vlan 2

Switch(config-vlan)#ex

Switch(config)#interface range fastEthernet0/11 - 24

Switch(config-if-range)#switchport accessvlan 2

 

VLAN间路由

 

单臂路由器

Switch(config-if)#switchport mode trunk

 

Router(config)#interface gigabitEthernet6/0

Router(config-if)#no sh

Router(config)#interface gigabitEthernet6/0.1

Router(config-subif)#encapsulation dot1Q 1

Router(config-subif)#ip address 192.168.0.1255.255.255.0

 

带路由模块的交换机实现VLAN间路由

 

VTP实现VLAN的添加 删除在一个交换机上统一配置

Switch(config)#vtp domain todd

Switch(config)#vtp password aaa

Switch(config)#vtp mode client

 

三层交换解决了VLAN间路由速度问题

 

举例说明VLAN的意义将安全要求相同的计算机放到一个VLAN 同一个网段有的计算机能访问Internet有的不能,结果造成乱改IP地址,造成IP地址冲突。

8网络安全

网络层安全--ACL

安全

非军事区 Internet 内网

 

三向外围王

背靠背防火墙

 

网络攻击

 

Dos DDos分布式拒绝服务攻击

 

后门程序

 

IP欺骗

 

捕获数据包

 

中间人攻击

 

访问控制列表顺序

默认拒绝

 

标准访问控制列表

    基于源IP地址过滤数据包

 

扩展访问控制列表

    基于源IP地址 目标IP地址 协议(TCP UDP IPTCP UDP ICMP ICMP)目标端口 来控制

 

定义标准ACL

Router#config t

Router(config)#access-list 10 deny host192.168.2.2

Router(config)#access-list 10 permit192.168.2.0 0.0.0.255

ACL 默认隐含拒绝所有

 

查看ACL

Router#show ip access-lists

 

ACL绑定到接口

 

Router#config t

Router(config)#interface serial 3/0

Router(config-if)#ip access-group 10 out

 

删除ACL

Router(config)#no access-list 10

 

ACL 从上到下依次检查,添加ACL时应该将具体IP地址或较为具体的网段放到ACL上面

 

调整ACL顺序,删除ACL,再创建

ACL在记事本中编辑好,粘贴到CLI

access-list 10 deny host 192.168.2.2

access-list 10 permit 192.168.2.0 0.0.0.255

 

 

先写拒绝的项,其余都允许

access-list 10 deny host 192.168.2.2

access-list 10 permit 192.168.2.0 0.0.0.255

access-list 10 permit any 最后写

 

ACL等价的写法

access-list 10 deny host 192.168.2.2  ==

access-list 10 deny 192.168.2.2 0.0.0.0

 

access-list 10 permit any ==

access-list 10 permit 0.0.0.0255.255.255.255

 

定义扩展ACL

 

Router(config)#access-list 110 permit tcp192.168.2.0 0.0.0.255 host 10.0.0.2 eq 80

Router(config)#interface serial 3/0

Router(config-if)#ip access-group 110 out

Router(config)#access-list 110 permit icmp192.168.2.0 0.0.0.255 any

Router(config)#access-list 110 permit ip192.168.0.0 0.0.0.255 any

ACL绑定到路由器telnet接口

Router(config-line)#access-class 11 in

 

访问控制列表位置

标准的ACL放到距离目标网络近的路由器上

扩展的ACL放到距离源地址较近的路由器上

 

案例:定义访问控制列表

IP地址欺骗对策

决不允许任何源地址是内部主机地址或网络地址的数据包进入一个私有的网络

 

RBconfig#access-list 150 deny ip 127.0.0.00.255.255.255 any log

RBconfig#access-list 150 deny ip 0.0.0.0255.255.255.255 any log

RBconfig#access-list 150 deny ip 10.0.0.00.255.255.255 any log

RBconfig#access-list 150 deny ip 172.16.0.00.15.255.255 any log

RBconfig#access-list 150 deny ip 192.168.0.00.0.255.255 any log

RBconfig#access-list 150 deny ip 224.0.0.015.255.255.255 any log

RBconfig#access-list 150 deny ip host255.255.255.255 any log  

RBconfig#access-list 150 permit ip any any

RBconfig#interface Serial 2/0

RBconfig-if#ip access-group 150 in

后面log的作用是:当数据包应用该策略被拒绝时将会在控制台显示。

这个访问控制列表拒绝任何来自以下源地址的数据包:

n   任何本地主机地址(127.0.0.0/8);

n   任何保留的私有地址;

n   任何组播IP地址(224.0.0.0/4)。

9网络地址转换和端口映射

NAT带来的好处

安全

单项通信

增加网段不用增加路由表

缺点

   消耗性能  

 

网络地址转换 NAT

静态NAT

CPE#config t

CPEconfig#ip NAT inside source static 10.0.0.2131.107.0.2

CPEconfig#ip NAT inside source static 10.0.0.3131.107.0.3

CPEconfig#ip NAT inside source static 10.0.0.4131.107.0.4

CPEconfig#ip NAT inside source static 10.0.0.5131.107.0.5

CPEconfig#ip NAT inside source static 10.0.0.6131.107.0.6

CPEconfig#interface fastEthernet 0/1

CPEconfig-if#ip NAT inside           --指定该接口为NAT的内网接口

CPEconfig-if#ex

CPEconfig#int

CPEconfig#interface Serial 0/0

CPEconfig-if#ip NAT outside     --指定

动态NATPAT

CPE#config t

CPE(config)#access-list10 permit 10.0.0.0 0.0.0.255

CPE(config)#ip nat pooltodd 131.107.0.1 131.107.0.1 netmask 255.255.255.0 --前后两个地址一样,因为就一个公网地址

CPE(config)#ip natinside source list 10 pool todd   overload   --overload参数将会启用PAT

CPE(config)#interfaceserial 0/0

CPE(config-if)#ip natoutside --指定NAT的外网接口

CPE(config-if)#ex

CPE(config)#interfacefastEthernet 0/1

CPE(config-if)#ip natinside      --指定NAT的内网接口

端口映射

CPE>en

CPE#config t

CPE(config)#ip natinside source static tcp 10.0.0.5 80 131.107.0.1 80

CPE(config)#ip natinside source static tcp 10.0.0.6 80 131.107.0.1 81

CPE(config)#ip natinside source static tcp 10.0.0.4 25 131.107.0.1 25

CPE(config)#ip natinside source static tcp 10.0.0.4 110 131.107.0.1 110

CPE(config)#interfacefastEthernet 0/1

CPE(config-if)#ip natinside

CPE(config-if)#ex

CPE(config)#interfaceserial 0/0

CPE(config-if)#ip natoutside

Windows实现的NAT和端口映射

Windows连接共享实现的端口映射

路由猫实现的端口映射

安全内网受保护

访问内网必须配置端口映射

 

 

举例说明:NAT对网络性能的影响

软件学院9楼增加一个网段网管并不知道

核寺院涉密系统

代理软件 ccproxy

10 Cisco无线网络

无线网

  无线局域网

接入数量

11Ipv6

为什么需要Ipv6   Ipv4的不足   Ipv6协议栈

IPv6

 IPv4不足的地方

     地址匮乏

     不安全 IPSec

     不支持 QoS

     不支持即插即用

Ipv6寻址表达式

Ipv6地址类型

Ipv6中特殊的地址

实战:Windows2008自动IP地址配置

实战:Ipv6通信本地链路地址通信

实战:Ipv6访问网站

IPv6地址 128

   2001:0300::34

  http://[2001:200::21]

   本地链路地址FE

   全局地址

配置Ipv6路由

   ipv6 unicast-routing

 

   RIPng OSPFv3 EIGRP

 

IPv4IPv6共存技术

双协议栈

6to4隧道技术

ISATAP隧道技术

NAT-PTNetwork AddressTranslation-Protocol

12广域网

广域网

 

专线安全 带宽有保证

电路交换电话

包交换类似以太网

 

铜线 x.25 光线帧中继

 

广域网封装

 

PPP协议 工业标准 HDLC 链路控制协议LCP 网络控制协议(NCP

 

远程访问出差 外地用户访问企业内网 技术支持

·

VPN 通过Internet访问内网

   PPTP协议 TCP 1723端口

   L2TP协议 TCP 1701端口

   SSL VPN  TCP 443 端口 https://

 

站点间VPN

通过Internet将多个局域网连接起来

 

远程访问配置步骤:

1.创建用户 允许拨入

2.启用远程访问 指定分配给远程用户的内网地址范围

跨网段地址分配