網(wǎng)絡(luò)安全培訓(xùn)課程

1、LOGO重慶網(wǎng)安計(jì)算機(jī)技術(shù)服務(wù)中心網(wǎng)絡(luò)安全培訓(xùn)課程網(wǎng)絡(luò)安全培訓(xùn)課程Page 2目錄認(rèn)識信息安全等級保護(hù)1 了解網(wǎng)絡(luò)基礎(chǔ)及安全防護(hù)2學(xué)習(xí)網(wǎng)絡(luò)故障排查-實(shí)例3Page 3信息安全等級保護(hù)簡介 我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分細(xì)則于1999年9月13日經(jīng)國家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布，根據(jù)細(xì)則將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分為五個(gè)安全保護(hù)等級： 第一級：用戶自主保護(hù)級。用戶自主保護(hù)級通過身份鑒別，自主訪問控制機(jī)制，要求系統(tǒng)提供每一個(gè)用戶具有對自身所創(chuàng)造的數(shù)據(jù)進(jìn)行安全保護(hù)的能力。適用于普通內(nèi)聯(lián)網(wǎng)用戶。 第二級：系統(tǒng)審計(jì)保護(hù)級。在用戶自主保護(hù)級的基礎(chǔ)上，重點(diǎn)強(qiáng)調(diào)系統(tǒng)的審計(jì)功能，要求通過審計(jì)、

2、資源隔離等安全機(jī)帛，使每一個(gè)用戶對自己的行為負(fù)責(zé)。適用于內(nèi)聯(lián)/國際互聯(lián)網(wǎng)需要保密商務(wù)活動(dòng)的用戶。 第三級：安全標(biāo)記保護(hù)級。在系統(tǒng)審計(jì)保護(hù)的基礎(chǔ)上，從安全功能的設(shè)置和安全強(qiáng)度的要求方面均有明顯的提高。首先，增加了標(biāo)記和強(qiáng)制訪問控制功能。同時(shí)，對身份鑒別、審計(jì)、數(shù)據(jù)完整性等安全功能均有更進(jìn)一步的要求。如要求使用完整性敏感性標(biāo)記，確保信息在網(wǎng)絡(luò)傳輸?shù)耐暾浴Ｒ话泓h政機(jī)關(guān)、金融機(jī)構(gòu)、大型商業(yè)工業(yè)用戶。 第四級：結(jié)構(gòu)化保護(hù)級。在安全標(biāo)記保護(hù)級的基礎(chǔ)上，重點(diǎn)強(qiáng)調(diào)通過結(jié)構(gòu)化設(shè)計(jì)方法使得所具有的安全功能具有更高的安全要求。適用于國家機(jī)關(guān)、中央金融機(jī)構(gòu)、尖端科技和國防應(yīng)用系統(tǒng)單位。 第五級：訪問控制保護(hù)級。訪問

3、驗(yàn)證保護(hù)級重點(diǎn)強(qiáng)調(diào)”訪問“監(jiān)控器本身的可驗(yàn)證性，也是從安全功能的設(shè)計(jì)和實(shí)現(xiàn)方面提出更高要求。適用于國防關(guān)鍵應(yīng)用以及國家特殊隔離信息系統(tǒng)使用單位。 Page 4信息安全等級保護(hù)Page 5信息安全系統(tǒng)定級 定級是等級保護(hù)工作的首要環(huán)節(jié)，是開展信息系統(tǒng)建設(shè)、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。信息系統(tǒng)安全級別定不準(zhǔn)，系統(tǒng)建設(shè)、整改、備案、等級測評等后續(xù)工作都失去了針對性。 信息系統(tǒng)的安全保護(hù)等級是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo(hù)措施為依據(jù)，也不以風(fēng)險(xiǎn)評估為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系

4、統(tǒng)的安全等級。Page 6系統(tǒng)定級一般流程 信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全。信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。 業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級稱業(yè)務(wù)信息安全等級。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級稱系統(tǒng)服務(wù)安全等級。 由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者確定定級對象的安全保護(hù)等級。Page 7系統(tǒng)定級一般流程3、綜合

5、評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體7、系統(tǒng)服務(wù)安全保護(hù)等級4、業(yè)務(wù)信息安全保護(hù)等級8、定級對象的安全保護(hù)等級1、確定定級對象Page 8 信息安全等級保護(hù)制度是國家信息安全保障的基本制度、基本策略、基本方法 ；是當(dāng)今發(fā)達(dá)國家的通行做法，也是我國多年來信息安全工作經(jīng)驗(yàn)的總結(jié) 。信息安全等級保護(hù)工作的重要意義 開展信息安全等級保護(hù)工作：有利于同步建設(shè) ；有利于指導(dǎo)和服務(wù)；有利于保障重點(diǎn)；有利于明確責(zé)任 ；有利于產(chǎn)業(yè)發(fā)展。Page 9網(wǎng)絡(luò)基礎(chǔ)及安全防護(hù) 網(wǎng)絡(luò)基礎(chǔ)與網(wǎng)絡(luò)基礎(chǔ)與OSI模型模型1 TCP-IP

6、編址編址23 交換原理和交換原理和VLANPage 10網(wǎng)絡(luò)基礎(chǔ)與OSI模型n 計(jì)算機(jī)網(wǎng)絡(luò)定義：通過通信線路和通信設(shè)備將不同地理位置上的計(jì)算機(jī)系統(tǒng)互連起來的一個(gè)計(jì)算機(jī)系統(tǒng)的集合，通過運(yùn)行特定的操作系統(tǒng)和通信協(xié)議來實(shí)現(xiàn)數(shù)據(jù)通信和資源共享。n 計(jì)算機(jī)網(wǎng)絡(luò)組成：通信線路、通信設(shè)備、計(jì)算機(jī)系統(tǒng)、操作系統(tǒng)、通信協(xié)議、通信子網(wǎng)、資源子網(wǎng)。n 計(jì)算機(jī)網(wǎng)絡(luò)類型：局域網(wǎng)、廣域網(wǎng)。Page 11計(jì)算機(jī)網(wǎng)絡(luò)組成Page 12計(jì)算機(jī)網(wǎng)絡(luò)類型運(yùn)行在有限的地理區(qū)域；允許網(wǎng)絡(luò)設(shè)備同時(shí)訪問高帶寬的介質(zhì)；通過局部管理控制網(wǎng)絡(luò)的權(quán)限；提供全時(shí)的局部服務(wù)；連接物理上相鄰的設(shè)備。 通常指幾公里以內(nèi)的，可以通過某種介質(zhì)互聯(lián)的計(jì)算機(jī)、打

7、印機(jī)或其它設(shè)備的集合。目前,大多數(shù)網(wǎng)絡(luò)都使用某些形式的以太網(wǎng)。距離短、延遲小、數(shù)據(jù)速率高、傳輸可靠Page 13計(jì)算機(jī)網(wǎng)絡(luò)類型運(yùn)行在廣闊的地理區(qū)域；通過低速串行鏈路進(jìn)行訪問；網(wǎng)絡(luò)控制服從公共服務(wù)的規(guī)則；提供全時(shí)的或部分時(shí)間的連接；連接物理上分離的、遙遠(yuǎn)的、甚至全球的設(shè)備在大范圍區(qū)域內(nèi)提供數(shù)據(jù)通信服務(wù)，主要用于互連局域網(wǎng)。公用電話網(wǎng)：PSTN綜合業(yè)務(wù)數(shù)字網(wǎng)：ISDN數(shù)字?jǐn)?shù)據(jù)網(wǎng)：專線幀中繼：Frame Relay異步傳輸模式：ATMPage 14OSI七層參考模型n OSI模型：1984年由國際標(biāo)準(zhǔn)化組織ISO國際標(biāo)準(zhǔn)化組織提出。n 目的：提供一個(gè)大家共同遵守的標(biāo)準(zhǔn)，解決不同網(wǎng)絡(luò)之間的兼容性和互操

8、作性問題。n 分層標(biāo)準(zhǔn)：依據(jù)功能來劃分。n OSI七層參考模型的優(yōu)點(diǎn)： 促進(jìn)標(biāo)準(zhǔn)化工作,允許各個(gè)供應(yīng)商進(jìn)行開發(fā). 各層間相互獨(dú)立,把網(wǎng)絡(luò)操作分成低復(fù)雜性單元. 靈活性好,某一層變化不會影響到別層. 各層間通過一個(gè)接口在相鄰層上下通信.Page 15OSI分層結(jié)構(gòu)數(shù)據(jù)流層數(shù)據(jù)流層傳輸層傳輸層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層網(wǎng)絡(luò)層物理層物理層應(yīng)用層應(yīng)用層 (高高) 會話層會話層表示層表示層應(yīng)用層應(yīng)用層負(fù)責(zé)主機(jī)之間的數(shù)據(jù)傳輸負(fù)責(zé)主機(jī)之間的數(shù)據(jù)傳輸負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)傳輸負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)傳輸Page 16OSI分層結(jié)構(gòu) 規(guī)定通信設(shè)備的機(jī)械的、電氣的、功能的和規(guī)程的特性。主要涉及比特的傳輸，網(wǎng)絡(luò)接口卡和網(wǎng)絡(luò)連接等. 沒有

9、智能性，只能對bit 流進(jìn)行簡單的處理。如傳輸，放大，復(fù)制等。 網(wǎng)線：bit 流的傳輸. 中繼器：信號的放大. 集線器：信號的放大和復(fù)制.Page 17OSI分層結(jié)構(gòu) 在相鄰節(jié)點(diǎn)之間建立鏈路，傳送數(shù)據(jù)幀。工作在同一個(gè)網(wǎng)段。主要涉及介質(zhì)訪問控制、連接控制、流量控制和差錯(cuò)控制等。 定義物理地址，標(biāo)識節(jié)點(diǎn)。 將bit流組合成數(shù)據(jù)幀。交換機(jī)：能識別數(shù)據(jù)幀中的MAC地址信息，在同一網(wǎng) 段轉(zhuǎn)發(fā)數(shù)據(jù)。有智能，進(jìn)行定向轉(zhuǎn)發(fā)。Page 18OSI分層結(jié)構(gòu) 是一座橋梁，將不同規(guī)范的網(wǎng)絡(luò)互連起來。在不同網(wǎng)段路由數(shù)據(jù)包。 定義IP地址，由32bit的二進(jìn)制數(shù)組成，點(diǎn)分十進(jìn)制表示。 路由轉(zhuǎn)發(fā)，通過路由表實(shí)現(xiàn)三層尋址.M

10、AC地址（二層） 物理地址 平面結(jié)構(gòu) 身份IP地址 （三層） 邏輯地址 層次結(jié)構(gòu) 位置Page 19OSI分層結(jié)構(gòu) 實(shí)現(xiàn)終端用戶到終端用戶之間的連接?？梢詫?shí)現(xiàn)流量控制、負(fù)載均衡。 分段，使數(shù)據(jù)的大小適合在網(wǎng)絡(luò)上傳遞。 區(qū)分服務(wù)，端口號標(biāo)識上層的通信進(jìn)程。Page 20OSI分層結(jié)構(gòu) 在兩個(gè)應(yīng)用程序之間建立會話，管理會話，終止會話。一旦建立連接，會話層的任務(wù)就是管理會話。 主要由操作系統(tǒng)來完成，把不同的應(yīng)用程序設(shè)置內(nèi)存區(qū)間，分配相應(yīng)的內(nèi)存，CPU資源，保持不同的應(yīng)用程序的數(shù)據(jù)獨(dú)立性。 將數(shù)據(jù)轉(zhuǎn)換成接收設(shè)備可以了解的格式. 翻譯數(shù)據(jù)格式，加密，壓縮.Page 21OSI分層結(jié)構(gòu) 為具體的應(yīng)用程序提

11、供服務(wù)，實(shí)現(xiàn)各種網(wǎng)絡(luò)應(yīng)用（WWW FTP QQ SMTP POP3）。 我們說某個(gè)應(yīng)用程序的界面是否友好，就是應(yīng)用層完成的。應(yīng)用層為用戶和計(jì)算機(jī)會話提供一個(gè)界面。 計(jì)算機(jī)有他的語言，人有人的語言，人要和計(jì)算機(jī)交流，必須有一個(gè)窗口來把信息傳遞出來。Page 22數(shù)據(jù)的封裝與解封裝 數(shù)據(jù)要通過網(wǎng)絡(luò)進(jìn)行傳輸，要從高層逐層的向下傳送，如果一個(gè)主機(jī)要傳送數(shù)據(jù)到別的主機(jī)，先把數(shù)據(jù)裝到一個(gè)特殊協(xié)議報(bào)頭中，這個(gè)過程叫封裝。 上述的逆向過程。Page 23封裝過程上層數(shù)據(jù)上層數(shù)據(jù)LLC 頭頭 + IP + TCP + 上層數(shù)據(jù)上層數(shù)據(jù)IP + TCP +上層數(shù)據(jù)上層數(shù)據(jù)TCP+上層數(shù)據(jù)上層數(shù)據(jù)上層數(shù)據(jù)上層數(shù)據(jù)0

12、101110101001000010傳輸層傳輸層 數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層 網(wǎng)絡(luò)層網(wǎng)絡(luò)層 表示層表示層應(yīng)用層應(yīng)用層會話層會話層FCSFCSTCP 頭頭LLC 頭頭IP 頭頭MAC 頭頭Page 24解封裝過程上層數(shù)據(jù)上層數(shù)據(jù)LLC 頭頭 + IP + TCP + 上層數(shù)據(jù)上層數(shù)據(jù)IP + TCP +上層數(shù)據(jù)上層數(shù)據(jù)TCP+上層數(shù)據(jù)上層數(shù)據(jù)上層數(shù)據(jù)上層數(shù)據(jù)0101110101001000010傳輸層傳輸層 數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層 網(wǎng)絡(luò)層網(wǎng)絡(luò)層 表示層表示層應(yīng)用層應(yīng)用層會話層會話層TCP 頭頭IP 頭頭LLC 頭頭MAC 頭頭Page 25數(shù)據(jù)傳輸過程通通 信信 介介 質(zhì)質(zhì)應(yīng)用層

13、應(yīng)用層表示層表示層會話層會話層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)連路層數(shù)據(jù)連路層物理層物理層應(yīng)用層應(yīng)用層表示層表示層會話層會話層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)連路層數(shù)據(jù)連路層物理層物理層網(wǎng)絡(luò)層數(shù)據(jù)連路層物理層通通 信信 介介 質(zhì)質(zhì)協(xié)議端系統(tǒng)端系統(tǒng)A A端系統(tǒng)端系統(tǒng)B BPage 26沖突域和廣播域沖突域：一個(gè)支持共享介質(zhì)的網(wǎng)段。廣播域：廣播幀傳輸?shù)木W(wǎng)絡(luò)范圍，一般是路由器來設(shè)定邊界（因?yàn)閞outer不轉(zhuǎn)發(fā)廣播）。 沖突：在以太網(wǎng)中，當(dāng)兩個(gè)節(jié)點(diǎn)同時(shí)傳輸數(shù)據(jù)時(shí)，從兩個(gè)設(shè)備發(fā)出的幀將會碰撞，在物理介質(zhì)上相遇，彼此數(shù)據(jù)都會被破壞。Page 27OSI模型的缺陷及意義 提供了網(wǎng)絡(luò)間互連的參考模型。 成為實(shí)際網(wǎng)絡(luò)建

14、模、設(shè)計(jì)的重要參考工具和理論依據(jù)。 為我們提供了進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)與分析的方法。 許多功能在多個(gè)層次重復(fù)，有冗余感（如流2.3.4層都有，差錯(cuò)控制等，數(shù)據(jù)鏈路層有流控）。 各層功能分配不均勻（鏈路、網(wǎng)絡(luò)層任務(wù)重，會話層任務(wù)輕）。 功能和服務(wù)定義復(fù)雜，很難產(chǎn)品化。Page 28TCP/IP與OSITCP/IP與OSI的比較:n TCP/IP 分四層，OSI分的是七層。n TCP/IP網(wǎng)絡(luò)實(shí)踐上的標(biāo)準(zhǔn)，OSI網(wǎng)絡(luò)理論的標(biāo)準(zhǔn)。n TCP/IP定義每一層功能如何實(shí)現(xiàn),OSI定義每一層做什么。n TCO/IP的每一層都可以映射到OSI模型中去。Page 29TCP/IP與OSI應(yīng)用層應(yīng)用層表示層表示層會話層會

15、話層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層應(yīng)用層應(yīng)用層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層Page 30TCP/IP應(yīng)用層應(yīng)用層應(yīng)用層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層文件傳輸文件傳輸- TFTP *- FTP *E-Mail- SMTP遠(yuǎn)程登陸遠(yuǎn)程登陸- Telnet *- SSH*網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理- SNMP *名稱管理名稱管理- DNS*網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層Page 31TCP/IP傳輸層傳輸控制協(xié)議傳輸控制協(xié)議(TCP) 面向連接面向連接用戶數(shù)據(jù)報(bào)協(xié)議用戶數(shù)據(jù)報(bào)協(xié)議(UDP) 非面向連接非面向連接應(yīng)用層應(yīng)用層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層Page 32端口

16、號TCP端口號端口號FTPTELNETDNSSNMPTFTPSMTPUDP應(yīng)用層應(yīng)用層2123255369161RIP520傳輸層傳輸層Page 33端口號作用源端口源端口目標(biāo)端口目標(biāo)端口Host A102823SPDPHost ZTelnet Z目標(biāo)端口目標(biāo)端口 = 23.端口號標(biāo)識上層通信進(jìn)程。小于1024 為周知端口、1024-5000為臨時(shí)端口、大于5000為其他服務(wù)預(yù)留。Page 34TCP 確認(rèn)機(jī)制發(fā)送方發(fā)送方 發(fā)送發(fā)送 1接收接收 1發(fā)送發(fā)送 ACK 2發(fā)送發(fā)送 2接收接收 2發(fā)送發(fā)送 ACK 3發(fā)送發(fā)送 3接收接收 3接收接收 ACK 4滑動(dòng)窗口 = 1接收方接收方Page 3

17、5TCP 三次握手發(fā)送發(fā)送 SYN (seq=100 ctl=SYN)接收接收 SYN發(fā)送發(fā)送 SYN, ACK (seq=300 ack=101 ctl=syn,ack)建立會話建立會話(seq=101 ack=301 ctl=ack)Host AHost B123接收接收 SYNTCP連接建立Page 36IP地址組成 IP地址為32Bit二進(jìn)制數(shù)組成，用點(diǎn)分十進(jìn)制表示。（例如：/24） IP地址=網(wǎng)絡(luò)位+主機(jī)位 用來標(biāo)識一個(gè)IP地址哪些是網(wǎng)絡(luò)位, 哪些是主機(jī)位。 用1 標(biāo)識網(wǎng)絡(luò)為，用0標(biāo)識主機(jī)位。Page 37IP地址分類A類 （1-126） 前8位表示網(wǎng)絡(luò)位，后2

18、4位表示主機(jī)位。B類 （128-191）前16位表示網(wǎng)絡(luò)位，后16位表示主機(jī)位。C類 （192-223）前24位表示網(wǎng)絡(luò)位，后8位表示主機(jī)位。D類 （224-239）用于組播地址。E類 （240-255）科研使用。Page 38特殊IP地址本地回環(huán)本地回環(huán)(loopback)測試地測試地址址廣播地址廣播地址代表任何網(wǎng)絡(luò)代表任何網(wǎng)絡(luò)55主機(jī)位全為1: 代表該網(wǎng)段的所有主機(jī)。Page 39私有IP地址C類256個(gè)： /24 - /24A類1個(gè)：/8B類16個(gè)： 172.16.0

19、.0/16 -/16Page 40子網(wǎng)劃分的核心思想n “借用”主機(jī)位來“制造”新的“網(wǎng)絡(luò)”16網(wǎng)絡(luò)網(wǎng)絡(luò)主機(jī)主機(jī)60 17220101011001111111110101100000100001111111100010000111111110000001010100000000000000000000000000010子網(wǎng)（借位）子網(wǎng)（借位）網(wǎng)絡(luò)號網(wǎng)絡(luò)號128192224240248252254255Page 41劃分子網(wǎng)方法n所選擇的子網(wǎng)掩碼將會產(chǎn)生多少個(gè)子網(wǎng)?:n2的x 次方(x代表借掩碼位數(shù))。n每個(gè)子網(wǎng)能有多少主機(jī)?:

20、n2的y 次方-2(y代表當(dāng)前主機(jī)位數(shù))。n每個(gè)子網(wǎng)的廣播地址是?:n廣播地址=下個(gè)子網(wǎng)號-1n每個(gè)子網(wǎng)的有效主機(jī)分別是?:n忽略全為0和全為1的地址，剩下的就是有效主機(jī)地址。Page 42子網(wǎng)劃分優(yōu)點(diǎn)n子網(wǎng)劃分可以解決IP地址緊缺的問題。n子網(wǎng)劃分可以解決廣播問題，分割廣播域。n例如：一個(gè)C類網(wǎng)絡(luò)，有254臺主機(jī)可以用。當(dāng)我們分給一個(gè)公司，但是該公司沒有這么多主機(jī)，地址就有很大的浪費(fèi)。通過子網(wǎng)劃分可以節(jié)省IP地址。Page 43交換機(jī)概述 是全雙工，可發(fā)可收。能識別數(shù)據(jù)幀中的MAC信息，根據(jù)地址信息把數(shù)據(jù)交換到特定的接口。 交換機(jī)是根據(jù)數(shù)據(jù)幀中的封裝的目的MAC地址來做出轉(zhuǎn)發(fā)數(shù)據(jù)的決定。 是

21、目的MAC和交換機(jī)接口的映射，交換機(jī)根據(jù)MAC表把數(shù)據(jù)發(fā)送到相應(yīng)的接口。Page 44交換機(jī)的三個(gè)功能地址學(xué)習(xí)幀的轉(zhuǎn)發(fā)/過濾環(huán)路防止Page 45交換機(jī)地址學(xué)習(xí)n 最初開機(jī)時(shí)MAC地址表是空的n Mac地址表?xiàng)l目默認(rèn)老化時(shí)間是300秒，以下命令可改變老化時(shí)間: sw(config)#mac-address-table aging-time ? Aging time valueMAC地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCDPage 46交換機(jī)地址學(xué)習(xí)n 主機(jī)A發(fā)送數(shù)據(jù)幀給主機(jī)Cn 交換機(jī)通

22、過學(xué)習(xí)數(shù)據(jù)幀的源MAC地址，記錄下主機(jī)A的MAC地址對應(yīng)端口E0 n 該數(shù)據(jù)幀轉(zhuǎn)發(fā)到除端口E0以外的其它所有端口(不清楚目標(biāo)主機(jī)的單點(diǎn)傳送用泛洪方式)0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0: 0260.8c01.1111E0E1E2E3DCBAMAC地址表地址表Page 47幀的轉(zhuǎn)發(fā)n 主機(jī)C發(fā)送數(shù)據(jù)給B：交換機(jī)發(fā)現(xiàn)目的B的MAC對應(yīng)E1接口，就把數(shù)據(jù)從這里發(fā)送出去。n 主機(jī)D發(fā)送廣播幀或多點(diǎn)幀：廣播幀或多點(diǎn)幀泛洪到除源端口外的所有端口。0260.8c01.11110260.8c01.22220260.8c01.33

23、330260.8c01.4444E0E1E2E3DCABE0: 0260.8c01.1111E2: 0260.8c01.2222E1: 0260.8c01.3333E3: 0260.8c01.4444MAC地址表地址表Page 48防止環(huán)路n 運(yùn)行STP協(xié)議防止環(huán)路。n 某些端口置于阻塞狀態(tài)就能防止冗余結(jié)構(gòu)的網(wǎng)絡(luò)拓?fù)渲挟a(chǎn)生回路。阻塞阻塞xPage 49交換機(jī)配置n 配置命名：Switch(config)# hostname Sw1n 配置管理IP： Sw1(config)# int vlan 1 Sw1(config-if)# ip add 10

24、 Sw1(config-if)# no shutn 配置網(wǎng)關(guān) ： Sw1(config)# ip default-gateway 01n 查看MAC表。 Sw1#sh mac-addn 設(shè)置雙工和速率。 Sw1(config)# int f0/1 Sw1(config-if)#speed 10 / 100 / auto Sw1(config-if)#duplex half / full / autoPage 50VLAN概述第三層第三層第二層第二層第一層第一層銷售部銷售部人力資源部人力資源部工程部工程部一個(gè)VLAN =一個(gè)廣播域 = 邏輯網(wǎng)段 (子網(wǎng)) Page 51VLA

25、N的優(yōu)點(diǎn)及分類 靜態(tài)VLAN：基于交換機(jī)接口。 動(dòng)態(tài)VLAN：基于主機(jī)MAC地址，不常用, 需要在交換中建立一張VMPS表，來標(biāo)明哪些MAC屬于哪個(gè)VLAN. 效率低。 隔離二層廣播，優(yōu)化網(wǎng)性能。 VLAN可以跨越交換機(jī)，簡化布線，方便管理。 每個(gè)VLAN是一個(gè)獨(dú)立的子網(wǎng)，VLNA間的通信要通過三層設(shè)備實(shí)現(xiàn)，可以通過訪問控制列表對VLNA間的通信進(jìn)行安全控制。優(yōu)點(diǎn)分類Page 52VLAN運(yùn)行n 每個(gè)邏輯的VLAN就象一個(gè)獨(dú)立的物理橋n 交換機(jī)上的每一個(gè)端口都可以分配給不同的VLANn 默認(rèn)的情況下，所有的端口都屬于VLAN1（Cisco）交換機(jī)交換機(jī) A綠色綠色VLAN黑色黑色VLAN 紅色

26、紅色VLANPage 53VLAN運(yùn)作n 同一個(gè)VLAN可以跨越多個(gè)交換機(jī)交換機(jī)交換機(jī)A交換機(jī)交換機(jī)B綠色綠色VLAN黑色黑色VLAN 紅色紅色VLAN綠色綠色VLAN黑色黑色VLAN 紅色紅色VLANPage 54VLAN運(yùn)作n 主干功能支持多個(gè)VLAN的數(shù)據(jù)n 主干使用了特殊的封裝格式支持不同的VLANn 只有快速以太網(wǎng)端口可以配置為主干端口 干道連接干道連接 快速以太網(wǎng)快速以太網(wǎng)綠色綠色VLAN黑色黑色VLAN 紅色紅色VLAN綠色綠色VLAN黑色黑色VLAN 紅色紅色VLANPage 55VLAN的配置全局模式Switch# configure terminal Switch(conf

27、ig)# vlan 3 Switch(config-vlan)# name Vlan3Switch(config-vlan)# exit Switch(config)# endSwitch# vlan database Switch(vlan)# vlan 3 VLAN 3 added: Name: VLAN0003Switch(vlan)# exit APPLY completed.Exiting.數(shù)據(jù)庫模式Page 56VLAN的接入端口n 接入交換機(jī)端口在一個(gè)單一的數(shù)據(jù)的VLANPage 57VLAN執(zhí)行的命令n 配置VLAN-vlan 101-switchport mode acces

28、s-switchport access vlan 101n 驗(yàn)證VLAN-show interfaces-show vlanPage 58配置VLAN的接入Switch(config)# vlan vlan_id配置一個(gè)VLAN.Switch(config-vlan)# name vlan_name給VLAN命名.Switch(config-if)# switchport mode access 配置交換機(jī)的端口為接入模式.Switch(config-if)# switchport access vlan vlan_id把接入端口劃分到vlan中.Page 59查看VLANSwitch#sho

29、w vlanVLAN Name Status Ports- - - -1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/7, Fa0/911 asw11_data active12 asw12_data active95 VLAN0095 active Fa0/899 Trunk_Native active100 Internal_Access active111 voice-for-group-11 active112 voice-for-group-12 active1002 fddi-default act/unsup1003

30、token-ring-default act/unsup1004 fddinet-default act/unsup1005 trnet-default act/unsupVLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 - - - - - - - - -1 enet 100001 1500 - - - - - 0 enet 100011 1500 - - - - - 0 . . . . .Page 60網(wǎng)絡(luò)故障排查ARP及ARP防護(hù) arp原理原理1 arp攻擊方式攻擊方式23 arp防護(hù)防護(hù)Page 61ARP協(xié)議原

31、理 ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?，幀里面有目?biāo)主機(jī)的MAC地址； 在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。 ARP協(xié)議的基本功能就是主機(jī)在發(fā)送報(bào)文前將目標(biāo)主機(jī)的IP地址解析成目標(biāo)主機(jī)的MAC地址，以保證通信的順利進(jìn)行。Page 62ARP協(xié)議原理以太網(wǎng)目的地址以太網(wǎng)源地址幀類型硬件地址協(xié)議類型硬件地址長度協(xié)議地址長度OP發(fā)送端以太網(wǎng)地址目的以太網(wǎng)地址發(fā)送端IP地址目的IP地址6622221

32、16644以太網(wǎng)首部28字節(jié)ARP請求/應(yīng)答n Arp request和reply的數(shù)據(jù)幀長都是42字節(jié)（28字節(jié)的arp數(shù)據(jù)、14字節(jié)的以太幀頭）Page 63ARP協(xié)議原理Page 64ARP協(xié)議原理ARP RequestPCgatewayARP Replay 正常的ARP通訊過程只需ARP Request和ARP Replay兩個(gè)過程，簡單的說就是一問一答： Page 65ARP協(xié)議原理PC網(wǎng)關(guān)回應(yīng)給主機(jī)的ARP Reply報(bào)文 主機(jī)收到網(wǎng)關(guān)的ARP Reply報(bào)文后，同樣會提取報(bào)文中的“Senders hardware address”和“Senders protocol addres

33、s”生成自己的ARP表項(xiàng)；Page 66ARP攻擊方式n Arp flood arp 泛洪，只要是瞬間發(fā)送大量的arp數(shù)據(jù)包給switch，填滿switch的mac table，導(dǎo)致無法switch工作異常， 提示：這時(shí)switch就會象hub一樣工作Page 67ARP攻擊方式ngratuitous arp 免費(fèi)arp， 原理： 1.gratuitous arp也是arp request的一種，所以是 broadcast,就是群發(fā)，就是搞的地球人都知道 2. gratuitous arp的arp報(bào)文中，源ip和目的ip是 一樣的，就是為了再次確認(rèn)網(wǎng)絡(luò)中身份。 ms的ip地址沖突監(jiān)測機(jī)制就是通

34、過 免費(fèi)arp實(shí)現(xiàn)的 Page 68ARP攻擊方式n 免費(fèi)arp的精髓 前文說到構(gòu)建arp spoof的簡易方式。 這里我有一個(gè)疑問，如果攻擊者不讓其中的1個(gè)用戶訪問任何地址，是否需要發(fā)送整個(gè)網(wǎng)段的錯(cuò)誤的mac地址給 受害主機(jī)？ 答案是 NO 如果這樣勞命傷財(cái)，不是好辦法！ 只要代表受害主機(jī)發(fā)送錯(cuò)誤的gratuitous arp。1個(gè)arp報(bào)文足以！當(dāng)然arp table有老化時(shí)間，不過謊話不停的說，說了多次，就變成“真”di了 這樣網(wǎng)絡(luò)中的其他主機(jī)都收到錯(cuò)誤的mac地址的arp報(bào)文進(jìn)行更新自身的arp cache。于是災(zāi)難就這樣發(fā)生了！Page 69ARP攻擊方式免費(fèi)arp的工作原理普通交換

35、機(jī)普通交換機(jī)極品良民極品良民恐怖份子恐怖份子GratuitousArpSend mac add=錯(cuò)誤的錯(cuò)誤的mac地址地址Send ip add=受害主機(jī)受害主機(jī)ipTarget ip add受害主機(jī)受害主機(jī)ip這是廣播報(bào)文哦這是廣播報(bào)文哦為什么整個(gè)為什么整個(gè)網(wǎng)段都網(wǎng)段都ping不通？！不通？！發(fā)送發(fā)送源源ip和目的和目的ip均為均為受害主機(jī)的受害主機(jī)的ip地址地址的免費(fèi)的免費(fèi)arp報(bào)文報(bào)文我好毒、我好毒、我好毒我好毒原來 良民的地址是4444.4444.4444我真實(shí)的mac是1111.1111.1111Page 70ARP攻擊方式n Arp proxy arp 代理：arp proxy是a

36、rp的攻擊之首， 這也是傳說的“中間人”攻擊！ 原理: 雙向arp spoofPage 71ARP攻擊方式Proxy arp的工作原理普通交換機(jī)普通交換機(jī)極品良民極品良民恐怖份子恐怖份子Arp reply to GWSend mac add恐怖份子恐怖份子macSend ip add=極品良民極品良民ipTarget mac add GW mac地址地址Target ip addGW ip地址地址我要和網(wǎng)關(guān)通我要和網(wǎng)關(guān)通訊，沒錢了，訊，沒錢了，我要查我的銀我要查我的銀行賬戶行賬戶S8610GatewayIC、IP、IQ卡，卡，統(tǒng)統(tǒng)告訴我密碼統(tǒng)統(tǒng)告訴我密碼恐怖份子的潛臺詞：恐怖份子的潛臺詞：Hello，良民，我是網(wǎng)關(guān)！Hello，網(wǎng)關(guān)，我是良民！Arp reply to 良民良民Send mac add恐怖份子恐怖份子macSend ip add=網(wǎng)關(guān)網(wǎng)關(guān)ipTarget mac add 良民良民mac地址地址Target ip add良民良民 ip地址地址Page 72ARP攻擊方式Proxy arp的工作原理普通交換機(jī)普通交換機(jī)極品良民極品良民恐怖份子恐怖份子我要和網(wǎng)關(guān)通