精品資料（2021-2022年收藏的）第四章維護(hù)辦公環(huán)境網(wǎng)絡(luò)

1、第四章維護(hù)辦公環(huán)境網(wǎng)絡(luò)4.1IP地址分配4.1.1 簡述DHCP4.1.2啟用寬帶路由器的DHCP服務(wù)1啟用DHCP服務(wù)選擇DHCP服務(wù)出現(xiàn)如圖4.2所示界面1) 地址池開始和結(jié)束地址：設(shè)定地址池的范圍。2) 地址租期：DHCP服務(wù)器分配給客戶端的IP地址的有效使用時(shí)間。在租期結(jié)束之前，DHCP客戶端會有一個續(xù)約的過程來保證長期使用同一個IP地址 3) 網(wǎng)關(guān)：填寫路由器LAN口IP地址，缺省為192.168.1.1.4) DNS服務(wù)器;填寫運(yùn)營商提供的DNS服務(wù)器地址注意：配置了DHCP服務(wù)后，需要將內(nèi)部局域網(wǎng)主機(jī)全部設(shè)置為：“自動獲取IP地址”2. 客戶端列表如圖選擇客戶端列表,顯示了通過D

2、HCP服務(wù)器獲得IP地址的主機(jī)的主機(jī)名、MAC地址、獲得的IP地址和有效時(shí)間3. 靜態(tài)地址分配選擇靜態(tài)地址分配可以為指定MAC地址的主機(jī)預(yù)留IP地址在“IP地址”中填入為內(nèi)部局域網(wǎng)主機(jī)預(yù)留的IP地址，在“狀態(tài)”中選擇此條目是否生效。配置完成后在靜態(tài)地址分配界面就出現(xiàn)一個對應(yīng)條目。當(dāng)DHCP服務(wù)器為指定的主機(jī)分配IP地址時(shí)，就將靜態(tài)分配的IP地址提供給主機(jī)，4.2廣播與ARP協(xié)議原理4.2.1廣播與廣播域1) MAC地址的廣播2) IP地址廣播4.2.2ARP協(xié)議1. ARP概述2windows操作系統(tǒng)主機(jī)ARP命令的使用1) 清除ARP緩存使用arp-a可以查看ARP緩存表，而要清除ARP緩存

3、表要使用arp-d命令如下在清除ARP緩存后，在顯示ARP緩存會提示沒有ARP條目。2) ARP綁定是將IP地址和相應(yīng)的主機(jī)MAC地址進(jìn)行綁定，是防止ARP攻擊的有效方法使用arp-s ip-address mac-ipress命令對IP地址和MAC地址進(jìn)行綁定。如C；>arp-s 10.0.0.200 00-1a-64-a1-52-f0 /靜態(tài)綁定ARP條目其中，static表示靜態(tài)綁定的ARP條目；dynamic表示動態(tài)學(xué)習(xí)到地ARP條目。靜態(tài)綁定的ARP條目一直存在直到系統(tǒng)重啟或ARP緩存被清除；動態(tài)學(xué)習(xí)到地ARP條目有老時(shí)化間（默認(rèn)為120s）3cisco設(shè)備ARP命令1) 查看

4、ARP緩存表 使用show arp命令顯示ARP緩存表如switch#show arp其中，age表示ARP條目存在的時(shí)間，-“表示始終存在2) 清除ARP表使用clear arp-cache命令清除ARP緩存表3) ARP綁定使用arp ip-adress mac-address arpa interface-type interface-number綁定ARP條目如switch(config)#arp 1.1.1.1 0011.1111.1111 arpa fastethernet 0/22Switch#show arp4ARP原理演示如圖4.7,ARP演示過程，這是一個對應(yīng)的環(huán)境，PC1

5、和PC2第一次通信，因此在通信雙方的ARP緩存中不會有彼此的IP地址和MAC地址的映射具體步驟：（1）使用ipconfig/all查看PC1和PC2的MAC地址（2）用arp-a”查看PC1和PC2的緩存，“NO ARP Entries found”表示沒有發(fā)現(xiàn)任何ARP映射條目（3）在PC1上pingPC2的IP地址，之后用“arp-a”命令查看ARP緩存信息其中，顯示了PC1的ARP緩存中記錄的關(guān)于PC2的IP 地址和MAC地址的對應(yīng)關(guān)系，這是因?yàn)樵趐ing命令發(fā)送數(shù)據(jù)之前，PC1先通過ARP請求獲得了PC2的MAC地址。4.3解決IP地址沖突1分析問題2解決方法當(dāng)員工主機(jī)出現(xiàn)IP地址沖突

6、時(shí)，網(wǎng)絡(luò)管理員需要做兩件事;第一， 恢復(fù)員工主機(jī)的正常通訊第二， 查找私自配置IP地址的主機(jī)首先恢復(fù)主機(jī)的正常通訊，1) 記錄現(xiàn)在使用的IP地址，以便檢查擅自修改IP地址的主機(jī)2) 通過禁用、起用網(wǎng)卡，重新獲得IP地址，恢復(fù)網(wǎng)絡(luò)的通訊,或使用ipconfig/release、ipconfig/renew重新獲得IP地址然后，查找私自更改IP地址的主機(jī)（1） IP地址沖突主機(jī)原來使用的IP地址就是私自更改IP主機(jī)正使用的IP地址（2） 使用ping命令，ping上述IP地址（3） 使用arp-a命令顯示ARP緩存，從中找出源IP地址對應(yīng)的MAC地址（4） 找到此MAC地址的主機(jī)3記錄相關(guān)信息一般

7、記錄以下幾點(diǎn):1) 記錄主機(jī)信息主要包括:主機(jī)名、MAC地址、IP地址、網(wǎng)關(guān)、員工、部門等2) 記錄網(wǎng)絡(luò)設(shè)備主要包括：端口IP地址、端口連接的設(shè)備等如果網(wǎng)絡(luò)管理員沒有記錄相關(guān)信息,如何快速收集信息呢?通過局域網(wǎng)掃描軟件(lansee等)對局域網(wǎng)中的主機(jī)進(jìn)行掃描，得到主機(jī)的IP地址、主機(jī)名、MAC地址等信息注意：（1）在網(wǎng)絡(luò)建立以后配置主機(jī)時(shí)，需要更改主機(jī)名來標(biāo)識主機(jī)或主機(jī)使用人，以方便維護(hù)(2)除了使用局域網(wǎng)掃描軟件，還可以通過命令行方式進(jìn)行查找，（3）有時(shí)客戶機(jī)開啟防火墻、ARP防火墻等軟件，就不能通過軟件或命令方式獲得主機(jī)相關(guān)信息，只能逐臺進(jìn)行查找4.4ARP攻擊與ARP欺騙的原理4.4.

8、1ARP攻擊和ARP欺騙的原理1ARP攻擊的原理2. ARP欺騙的原理4.4.2ARP攻擊應(yīng)用案例1. 利用ARP欺騙管理網(wǎng)絡(luò)1) 選擇監(jiān)控網(wǎng)段a第一次打開軟件的時(shí)候，會彈出監(jiān)控參數(shù)選擇對話框。如圖4.13所示。如選擇監(jiān)控所使用的網(wǎng)卡，單擊確定即可b選擇監(jiān)控的IP地址段如圖4.14所示首先填寫監(jiān)控的局域網(wǎng)段的范圍為10.0.0.110.0.0.254,然后單擊“添加/修改”按鈕，IP地址段便在表格內(nèi)生成，之后單擊確定“即可注意指定的IP地址范圍不一定是監(jiān)控網(wǎng)卡所處的網(wǎng)段，只要監(jiān)控主機(jī)可以訪問到的局域網(wǎng)段均可監(jiān)控2) 用戶權(quán)限設(shè)定a進(jìn)入軟件界面后，軟件將自動掃描指定IP網(wǎng)段范圍內(nèi)的主機(jī)。并以列表

9、的形式顯示這些主機(jī)的MAC地址、IP地址、主機(jī)名稱、主機(jī)狀態(tài)等如圖4.15所示;軟件掃描結(jié)果b右擊需要管理的主機(jī)，在菜單中選擇“手工管理,彈出 如圖4.16所示的對話框c對主機(jī)的管理方式有三種，分別如下l IP沖突;如果選擇此項(xiàng)，被控主機(jī)屏幕的右下角將會提示IP沖突l 禁止與關(guān)鍵主機(jī)組進(jìn)行TCP/IP連接：如果選擇此項(xiàng)，被控主機(jī)將無法訪問關(guān)鍵主機(jī)組中的成員l 禁止與所有主機(jī)進(jìn)行TCP/IP連接；如果選擇此項(xiàng)，被控主機(jī)將和所有主機(jī)失去連接d設(shè)定關(guān)鍵主機(jī)組單擊圖4.16中設(shè)置按鈕，在彈出的對話框中填寫10.0.0.200(網(wǎng)關(guān)IP地址)如圖4.17所示添加關(guān)鍵主機(jī)，然后單擊全部保存按鈕如圖4.18

10、所示，選擇“第一組“之后任意給定一個管理頻率，單擊開始按鈕e驗(yàn)證效果此時(shí)在被控主機(jī)上通過ping命令測試結(jié)果如圖4.19、圖4.20所示2處理ARP故障“1) 第一種解決方法處理ARP欺騙攻擊最一般的方法是IP-MAC綁定，如圖4.22所示可以在客戶端主機(jī)和網(wǎng)關(guān)路由器上雙向綁定IP-MAC來避免 ARP欺騙導(dǎo)致無法上網(wǎng)(1)在主機(jī)上綁定網(wǎng)關(guān)路由器的IP和MAC,可以通過之前的學(xué)習(xí)過的“arp-s命令實(shí)現(xiàn)(2)在網(wǎng)關(guān)路由器上綁定主機(jī)的IP和MAC,可以通過如下命令實(shí)現(xiàn)如router(config)#arp 10.0.0.6 0019 2101.9211 arpa f0/0如果要查看配置結(jié)果，可以

11、通過命令”show ip arp”(3)這時(shí)網(wǎng)絡(luò)中如果有ARP病毒發(fā)作，或是用戶使用類似網(wǎng)絡(luò)執(zhí)法官等軟件便無法欺騙局域網(wǎng)中的主機(jī)了?？梢栽诮粨Q機(jī)上配置IP-MAC-port的綁定，使交換機(jī)丟棄這些欺騙報(bào)文，從而防止其全網(wǎng)泛濫如圖switch(config)#arp 10.0.0.6 0019.2101.9211 arpa f0/2Switch(config)#arp 10.0.0.200 001a.64a1.52f0 arpa f0/1Switch(config#arp 10.0.0.7 0013.240a.b219 arpa f0/3 switch#show ip arp缺點(diǎn):如果網(wǎng)絡(luò)終節(jié)點(diǎn)

12、數(shù)很多,在路由器和交換機(jī)上的配置量便會隨之增多,而且網(wǎng)絡(luò)中如果采用DHCP動態(tài)分配 IP地址，一旦主機(jī)IP地址發(fā)生變化，將直接導(dǎo)致該主機(jī)無法上網(wǎng)A. 第二種解決方法使用ARP防火墻，自動抵御ARP欺騙和ARP攻擊1) 在主機(jī)A上開啟ARP防火墻，如圖4.23所示 ，防火墻的主界面顯示統(tǒng)計(jì)數(shù)據(jù)，包括：ARP協(xié)議收發(fā)數(shù)據(jù)包的統(tǒng)計(jì)、攔截ARP攻擊的統(tǒng)計(jì)、自動綁定的IP/MAC地址（網(wǎng)關(guān)）等2) 在主機(jī)B上開啟網(wǎng)絡(luò)執(zhí)法官軟件，通過他來模擬ARP病毒發(fā)作具體設(shè)置：針對主機(jī) A設(shè)置無法訪問關(guān)鍵主機(jī)10.0.0.200(網(wǎng)關(guān))3）在主機(jī)A上通過ping命令測試與網(wǎng)關(guān)的網(wǎng)絡(luò)連通性如圖4.24所示：如圖主機(jī)A和網(wǎng)關(guān)的連通性測試結(jié)果4）ARP防火墻統(tǒng)計(jì)數(shù)據(jù)的變化如圖4.25所示：更新統(tǒng)計(jì)數(shù)據(jù)ARP接收的數(shù)據(jù)包數(shù)量急劇增加，ARP防火墻將所有的非廣播（ARP的應(yīng)答包）阻截，并且一直將網(wǎng)關(guān)的IP/MAC靜態(tài)綁定在一起，如圖4.26所示：網(wǎng)關(guān)的IP/MAC自動綁定基于ARP防火墻的安全防護(hù)機(jī)制使得ARP攻擊失去了效果5）ARP防火墻原理分析A. 更改主機(jī)B上網(wǎng)絡(luò)執(zhí)法官的設(shè)置，使之定期給網(wǎng)關(guān)發(fā)送10.0.0.6的假M(fèi)AC地址，