網(wǎng)絡(luò)安全培訓(xùn)課程

LOGO網(wǎng)絡(luò)安全培訓(xùn)課程

重慶網(wǎng)安計(jì)算機(jī)技術(shù)服務(wù)中心

目錄

認(rèn)識信息安全等級保護(hù)

12

了解網(wǎng)絡(luò)基礎(chǔ)及安全防護(hù)

學(xué)習(xí)網(wǎng)絡(luò)故障排查-實(shí)例

3Page2信息安全等級保護(hù)簡介

我國《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分細(xì)則》于1999年9月13日經(jīng)國家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布，根據(jù)細(xì)則將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分為五個(gè)安全保護(hù)等級：

第一級：用戶自主保護(hù)級。用戶自主保護(hù)級通過身份鑒別，自主訪問控制機(jī)制，要求系統(tǒng)提供每一個(gè)用戶具有對自身所創(chuàng)造的數(shù)據(jù)進(jìn)行安全保護(hù)的能力。適用于普通內(nèi)聯(lián)網(wǎng)用戶。

第二級：系統(tǒng)審計(jì)保護(hù)級。在用戶自主保護(hù)級的基礎(chǔ)上，重點(diǎn)強(qiáng)調(diào)系統(tǒng)的審計(jì)功能，要求通過審計(jì)、資源隔離等安全機(jī)帛，使每一個(gè)用戶對自己的行為負(fù)責(zé)。適用于內(nèi)聯(lián)/國際互聯(lián)網(wǎng)需要保密商務(wù)活動(dòng)的用戶。

第三級：安全標(biāo)記保護(hù)級。在系統(tǒng)審計(jì)保護(hù)的基礎(chǔ)上，從安全功能的設(shè)置和安全強(qiáng)度的要求方面均有明顯的提高。首先，增加了標(biāo)記和強(qiáng)制訪問控制功能。同時(shí)，對身份鑒別、審計(jì)、數(shù)據(jù)完整性等安全功能均有更進(jìn)一步的要求。如要求使用完整性敏感性標(biāo)記，確保信息在網(wǎng)絡(luò)傳輸?shù)耐暾?。一般黨政機(jī)關(guān)、金融機(jī)構(gòu)、大型商業(yè)工業(yè)用戶。

第四級：結(jié)構(gòu)化保護(hù)級。在安全標(biāo)記保護(hù)級的基礎(chǔ)上，重點(diǎn)強(qiáng)調(diào)通過結(jié)構(gòu)化設(shè)計(jì)方法使得所具有的安全功能具有更高的安全要求。適用于國家機(jī)關(guān)、中央金融機(jī)構(gòu)、尖端科技和國防應(yīng)用系統(tǒng)單位。

第五級：訪問控制保護(hù)級。訪問驗(yàn)證保護(hù)級重點(diǎn)強(qiáng)調(diào)”訪問“監(jiān)控器本身的可驗(yàn)證性，也是從安全功能的設(shè)計(jì)和實(shí)現(xiàn)方面提出更高要求。適用于國防關(guān)鍵應(yīng)用以及國家特殊隔離信息系統(tǒng)使用單位。

Page3信息安全等級保護(hù)

Page4信息安全系統(tǒng)定級

定級是等級保護(hù)工作的首要環(huán)節(jié)，是開展信息系統(tǒng)建設(shè)、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。信息系統(tǒng)安全級別定不準(zhǔn)，系統(tǒng)建設(shè)、整改、備案、等級測評等后續(xù)工作都失去了針對性。

信息系統(tǒng)的安全保護(hù)等級是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo(hù)措施為依據(jù)，也不以風(fēng)險(xiǎn)評估為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會(huì)穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的安全等級。

Page5系統(tǒng)定級一般流程

Page6

保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等，系統(tǒng)服務(wù)安全是指確信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全。信息安全是指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。

的侵害程度可能不同，因此，信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級稱業(yè)務(wù)信息安全等級。從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級稱系統(tǒng)服務(wù)安全等級。

對象的安全保護(hù)等級。由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者確定定級

系統(tǒng)定級一般流程

1、確定定級對象

Page72侵害的客體、確定業(yè)務(wù)信息安全受到破壞時(shí)所5侵害的客體、確定系統(tǒng)服務(wù)安全受到破壞時(shí)所

3、綜合評定對客體的侵害程度

6、綜合評定對客體的侵害程度

4、業(yè)務(wù)信息安全保護(hù)等級

7、系統(tǒng)服務(wù)安全保護(hù)等級

8、定級對象的安全保護(hù)等級

信息安全等級保護(hù)工作的重要意義

Page8

保障的基本制度、基本策略、基本方法信息安全等級保護(hù)制度是國家信息安全是當(dāng)今發(fā)達(dá)國家的通行做法，也是我國多年

；來信息安全工作經(jīng)驗(yàn)的總結(jié)

。

同步建設(shè)開展信息安全等級保護(hù)工作：有利于障重點(diǎn)；有利于明確責(zé)任

；有利于指導(dǎo)和服務(wù)；有利于保展。

；有利于產(chǎn)業(yè)發(fā)網(wǎng)絡(luò)基礎(chǔ)及安全防護(hù)

Page91

網(wǎng)絡(luò)基礎(chǔ)與OSI模型

2TCP-IP編址

3

交換原理和VLAN網(wǎng)絡(luò)基礎(chǔ)與OSI模型

?計(jì)算機(jī)網(wǎng)絡(luò)定義：通過通信線路和通信設(shè)備將不同地理位置上的計(jì)算機(jī)系統(tǒng)互連起來的一個(gè)計(jì)算機(jī)系統(tǒng)的集合，通過運(yùn)行特定的操作系統(tǒng)和通信協(xié)議來實(shí)現(xiàn)數(shù)據(jù)通信和資源共享。

?計(jì)算機(jī)網(wǎng)絡(luò)組成：通信線路、通信設(shè)備、計(jì)算機(jī)系統(tǒng)、操作系統(tǒng)、通信協(xié)議、通信子網(wǎng)、資源子網(wǎng)。

?計(jì)算機(jī)網(wǎng)絡(luò)類型：局域網(wǎng)、廣域網(wǎng)。

Page10計(jì)算機(jī)網(wǎng)絡(luò)組成

Page11計(jì)算機(jī)網(wǎng)絡(luò)類型

通常指幾公里以內(nèi)的，可以通過某種介質(zhì)互聯(lián)的計(jì)算機(jī)、打印機(jī)或其它

設(shè)備的集合。目前,大多數(shù)網(wǎng)絡(luò)都使用某些形式的以太網(wǎng)。

距離短、延遲小、

數(shù)據(jù)速率高、傳輸可靠

運(yùn)行在有限的地理區(qū)域；允許網(wǎng)絡(luò)設(shè)備同時(shí)訪問高帶寬的介質(zhì)；

通過局部管理控制網(wǎng)絡(luò)的權(quán)限；提供全時(shí)的局部服務(wù)；

連接物理上相鄰的設(shè)備。

Page12計(jì)算機(jī)網(wǎng)絡(luò)類型

在大范圍區(qū)域內(nèi)提供數(shù)據(jù)通信服務(wù)，主要用于互連局域網(wǎng)。

公用電話網(wǎng)：PSTN綜合業(yè)務(wù)數(shù)字網(wǎng)：ISDN數(shù)字?jǐn)?shù)據(jù)網(wǎng)：專線

幀中繼：FrameRelay異步傳輸模式：ATM運(yùn)行在廣闊的地理區(qū)域；通過低速串行鏈路進(jìn)行訪問；

網(wǎng)絡(luò)控制服從公共服務(wù)的規(guī)則；提供全時(shí)的或部分時(shí)間的連接；

連接物理上分離的、遙遠(yuǎn)的、甚至全球的設(shè)備

Page13OSI七層參考模型

?OSI模型：1984年由國際標(biāo)準(zhǔn)化組織ISO國際標(biāo)準(zhǔn)化組織提出。

?目的：提供一個(gè)大家共同遵守的標(biāo)準(zhǔn)，解決不同網(wǎng)絡(luò)之間的兼容性和互操作性問題。

?分層標(biāo)準(zhǔn)：依據(jù)功能來劃分。

?OSI七層參考模型的優(yōu)點(diǎn)：

促進(jìn)標(biāo)準(zhǔn)化工作,允許各個(gè)供應(yīng)商進(jìn)行開發(fā).

各層間相互獨(dú)立,把網(wǎng)絡(luò)操作分成低復(fù)雜性單元.

靈活性好,某一層變化不會(huì)影響到別層.

各層間通過一個(gè)接口在相鄰層上下通信.Page14OSI分層結(jié)構(gòu)

應(yīng)用層

應(yīng)用層(高)表示層

會(huì)話層

傳輸層

網(wǎng)絡(luò)層

數(shù)據(jù)流層

負(fù)責(zé)主機(jī)之間的數(shù)據(jù)傳輸

負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)傳輸

數(shù)據(jù)鏈路層

物理層

Page15OSI分層結(jié)構(gòu)

規(guī)定通信設(shè)備的機(jī)械的、電氣的、功能的和規(guī)程的特性。主要涉及比特的傳輸，網(wǎng)絡(luò)接口卡和網(wǎng)絡(luò)連接等.

沒有智能性，只能對bit流進(jìn)行簡單的處理。如傳輸，放大，復(fù)制等。

網(wǎng)線：bit流的傳輸.

中繼器：信號的放大.

集線器：信號的放大和復(fù)制.Page16OSI分層結(jié)構(gòu)

在相鄰節(jié)點(diǎn)之間建立鏈路，傳送數(shù)據(jù)幀。工作在同一個(gè)網(wǎng)段。主要涉及介質(zhì)訪問控制、連接控制、流量控制和差錯(cuò)控制等。

定義物理地址，標(biāo)識節(jié)點(diǎn)。

將bit流組合成數(shù)據(jù)幀。

交換機(jī)：能識別數(shù)據(jù)幀中的MAC地址信息，在同一網(wǎng)

段轉(zhuǎn)發(fā)數(shù)據(jù)。有智能，進(jìn)行定向轉(zhuǎn)發(fā)。

Page17OSI分層結(jié)構(gòu)

是一座橋梁，將不同規(guī)范的網(wǎng)絡(luò)互連起來。在不同網(wǎng)段路由數(shù)據(jù)包。

定義IP地址，由32bit的二進(jìn)制數(shù)組成，點(diǎn)分十進(jìn)制表示。

路由轉(zhuǎn)發(fā)，通過路由表實(shí)現(xiàn)三層尋址.MAC地址（二層）

物理地址

平面結(jié)構(gòu)

身份

IP地址

（三層）

邏輯地址

層次結(jié)構(gòu)

位置

Page18OSI分層結(jié)構(gòu)

實(shí)現(xiàn)終端用戶到終端用戶之間的連接?？梢詫?shí)現(xiàn)流量控制、負(fù)載均衡。

分段，使數(shù)據(jù)的大小適合在網(wǎng)絡(luò)上傳遞。

區(qū)分服務(wù)，端口號標(biāo)識上層的通信進(jìn)程。

Page19OSI分層結(jié)構(gòu)

在兩個(gè)應(yīng)用程序之間建立會(huì)話，管理會(huì)話，終止會(huì)話。一旦建立連接，會(huì)話層的任務(wù)就是管理會(huì)話。

主要由操作系統(tǒng)來完成，把不同的應(yīng)用程序設(shè)置內(nèi)存區(qū)間，分配相應(yīng)的內(nèi)存，CPU資源，保持不同的應(yīng)用程序的數(shù)據(jù)獨(dú)立性。

將數(shù)據(jù)轉(zhuǎn)換成接收設(shè)備可以了解的格式.

翻譯數(shù)據(jù)格式，加密，壓縮.Page20OSI分層結(jié)構(gòu)

為具體的應(yīng)用程序提供服務(wù)，實(shí)現(xiàn)各種網(wǎng)絡(luò)應(yīng)用（WWWFTPQQSMTPPOP3……）。

我們說某個(gè)應(yīng)用程序的界面是否友好，就是應(yīng)用層完成的。應(yīng)用層為用戶和計(jì)算機(jī)會(huì)話提供一個(gè)界面。

計(jì)算機(jī)有他的語言，人有人的語言，人要和計(jì)算機(jī)交流，必須有一個(gè)窗口來把信息傳遞出來。

Page21數(shù)據(jù)的封裝與解封裝

數(shù)據(jù)要通過網(wǎng)絡(luò)進(jìn)行傳輸，要從高層逐層的向下傳送，如果一個(gè)主機(jī)要傳送數(shù)據(jù)到別的主機(jī)，先把數(shù)據(jù)裝到一個(gè)特殊協(xié)議報(bào)頭中，這個(gè)過程叫封裝。

上述的逆向過程。

Page22封裝過程

Page23應(yīng)用層

表示層

會(huì)話層

傳輸層

網(wǎng)絡(luò)層

數(shù)據(jù)鏈路層

物理層

上層數(shù)據(jù)

TCP頭

上層數(shù)據(jù)

IP頭

TCP+上層數(shù)據(jù)

LLC頭

IP+TCP+上層數(shù)據(jù)

FCS

MAC頭

LLC頭+IP+TCP+上層數(shù)據(jù)

FCS

0101110101001000010

解封裝過程

Page24應(yīng)用層

表示層

會(huì)話層

傳輸層

網(wǎng)絡(luò)層

數(shù)據(jù)鏈路層

物理層

上層數(shù)據(jù)

上層數(shù)據(jù)

TCP+上層數(shù)據(jù)

IP+TCP+上層數(shù)據(jù)

LLC頭+IP+TCP+上層數(shù)據(jù)

0101110101001000010

數(shù)據(jù)傳輸過程

協(xié)議

應(yīng)用層

應(yīng)用層

表示層

表示層

會(huì)話層

會(huì)話層

傳輸層

傳輸層

網(wǎng)絡(luò)層

網(wǎng)絡(luò)層

網(wǎng)絡(luò)層

數(shù)據(jù)連路層

數(shù)據(jù)連路層

數(shù)據(jù)連路層

物理層

物理層

物理層

通

信

介

質(zhì)

通

信

介

質(zhì)

端系統(tǒng)A端系統(tǒng)BPage25沖突域和廣播域

沖突：在以太網(wǎng)中，當(dāng)兩個(gè)節(jié)點(diǎn)同時(shí)傳輸數(shù)據(jù)時(shí)，從兩個(gè)設(shè)備發(fā)出的幀將會(huì)碰撞，

在物理介質(zhì)上相遇，彼此數(shù)據(jù)都會(huì)被破壞。

沖突域：一個(gè)支持共享介質(zhì)的網(wǎng)段。

廣播域：廣播幀傳輸?shù)木W(wǎng)絡(luò)范圍，一般是路由器來設(shè)定邊界

（因?yàn)閞outer不轉(zhuǎn)發(fā)廣播）。

Page26OSI模型的缺陷及意義

許多功能在多個(gè)層次重復(fù)，有冗余感（如流2.3.4層都有，差錯(cuò)控制等，數(shù)據(jù)鏈路層有流控）。

各層功能分配不均勻（鏈路、網(wǎng)絡(luò)層任務(wù)重，會(huì)話層任務(wù)輕）。

功能和服務(wù)定義復(fù)雜，很難產(chǎn)品化。

提供了網(wǎng)絡(luò)間互連的參考模型。

成為實(shí)際網(wǎng)絡(luò)建模、設(shè)計(jì)的重要參考工具和理論依據(jù)。

為我們提供了進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)與分析的方法。

Page27TCP/IP與OSI

TCP/IP與OSI的比較:

?TCP/IP分四層，OSI分的是七層。

?TCP/IP網(wǎng)絡(luò)實(shí)踐上的標(biāo)準(zhǔn)，OSI網(wǎng)絡(luò)理論的標(biāo)準(zhǔn)。

?TCP/IP定義每一層功能如何實(shí)現(xiàn),OSI定義每一層做什么。

?TCO/IP的每一層都可以映射到OSI模型中去。

Page28TCP/IP與OSIPage29應(yīng)用層

表示層

應(yīng)用層

會(huì)話層

傳輸層

傳輸層

網(wǎng)絡(luò)層

網(wǎng)絡(luò)層

數(shù)據(jù)鏈路層

網(wǎng)絡(luò)接口層

物理層

TCP/IP應(yīng)用層

Page30應(yīng)用層

傳輸層

網(wǎng)絡(luò)層

網(wǎng)絡(luò)接口層

文件傳輸

-TFTP*

-FTP*E-Mail

遠(yuǎn)程登陸-SMTP

-Telnet*

網(wǎng)絡(luò)管理-SSH*

名稱管理-SNMP*

-DNS*TCP/IP傳輸層

應(yīng)用層

傳輸層

網(wǎng)絡(luò)層

網(wǎng)絡(luò)接口層

Page31傳輸控制協(xié)議(TCP)面向連接

用戶數(shù)據(jù)報(bào)協(xié)議(UDP)非面向連接

端口號

應(yīng)用層

FTPTELNET23TCPSMTPDNSTFTPSNMPRIP21255369161520端口號

傳輸層

UDPPage32端口號作用

TelnetZHostA源端口

目標(biāo)端口

…

HostZSP1028DP23…

目標(biāo)端口=23.

端口號標(biāo)識上層通信進(jìn)程。

小于1024為周知端口、1024-5000為臨時(shí)端口、大于5000為其他服務(wù)預(yù)留。

Page33TCP確認(rèn)機(jī)制

發(fā)送方

發(fā)送1接收1接收方

發(fā)送ACK2發(fā)送2接收2發(fā)送ACK3發(fā)送3

接收3接收ACK4滑動(dòng)窗口=1Page34TCP三次握手

HostAHostB1發(fā)送SYN(seq=100ctl=SYN)接收SYN接收SYN2發(fā)送SYN,ACK(seq=300ack=101ctl=syn,ack)3建立會(huì)話

(seq=101ack=301ctl=ack)TCP連接建立

Page35IP地址組成

IP地址為32Bit二進(jìn)制數(shù)組成，用點(diǎn)分十進(jìn)制表示。

（例如：/24）

IP地址=網(wǎng)絡(luò)位+主機(jī)位

用來標(biāo)識一個(gè)IP地址哪些是網(wǎng)絡(luò)位,哪些是主機(jī)位。

用1標(biāo)識網(wǎng)絡(luò)為，用0標(biāo)識主機(jī)位。

Page36IP地址分類

A類

（1-126）

B類

（128-191）

C類

（192-223）

前8位表示網(wǎng)絡(luò)位，前16位表示網(wǎng)絡(luò)位，前24位表示網(wǎng)絡(luò)位，后24位表示主機(jī)位。

后16位表示主機(jī)位。

后8位表示主機(jī)位。

D類

（224-239）

用于組播地址。

E類

（240-255）

科研使用。

Page37特殊IP地址

本地回環(huán)(loopback)測試地址

廣播地址

255.255.255.255

主機(jī)位全為1:代表該網(wǎng)段的所有主機(jī)。

代表任何網(wǎng)絡(luò)

Page38私有IP地址

A類1個(gè)：/8C類256個(gè)：

/24/24B類16個(gè)：

/16/16Page39子網(wǎng)劃分的核心思想

?“借用”主機(jī)位來“制造”新的“網(wǎng)絡(luò)”

網(wǎng)絡(luò)

60255.255.255.0子網(wǎng)（借位）

主機(jī)

000000101010000011111111

0000000000000010

00000000128

192

224

240

248

252

254

255

101011001111111110101100000100001111111100010000網(wǎng)絡(luò)號

1721620Page40劃分子網(wǎng)方法

?所選擇的子網(wǎng)掩碼將會(huì)產(chǎn)生多少個(gè)子網(wǎng)?:?2的x次方(x代表借掩碼位數(shù))。

?每個(gè)子網(wǎng)能有多少主機(jī)?:?2的y次方-2(y代表當(dāng)前主機(jī)位數(shù))。

?每個(gè)子網(wǎng)的廣播地址是?:?廣播地址=下個(gè)子網(wǎng)號-1?每個(gè)子網(wǎng)的有效主機(jī)分別是?:?忽略全為0和全為1的地址，剩下的就是有效主機(jī)地址。

Page41子網(wǎng)劃分優(yōu)點(diǎn)

?子網(wǎng)劃分可以解決IP地址緊缺的問題。

?子網(wǎng)劃分可以解決廣播問題，分割廣播域。

?例如：一個(gè)C類網(wǎng)絡(luò)，有254臺主機(jī)可以用。當(dāng)我們分給一個(gè)公司，但是該公司沒有這么多主機(jī)，地址就有很大的浪費(fèi)。通過子網(wǎng)劃分可以節(jié)省IP地址。

Page42交換機(jī)概述

是全雙工，可發(fā)可收。能識別數(shù)據(jù)幀中的MAC信息，根據(jù)地址信息把數(shù)據(jù)交換到特定的接口。

交換機(jī)是根據(jù)數(shù)據(jù)幀中的封裝的目的MAC地址來做出轉(zhuǎn)發(fā)數(shù)據(jù)的決定。

是目的MAC和交換機(jī)接口的映射，交換機(jī)根據(jù)MAC表把數(shù)據(jù)發(fā)送到相應(yīng)的接口。

Page43交換機(jī)的三個(gè)功能

Page44地址學(xué)習(xí)

幀的轉(zhuǎn)發(fā)/過濾

環(huán)路防止

交換機(jī)地址學(xué)習(xí)

MAC地址表

0260.8c01.1111AB0260.8c01.3333E00260.8c01.2222CE1E3DE20260.8c01.4444Page45?最初開機(jī)時(shí)MAC地址表是空的

?Mac地址表?xiàng)l目默認(rèn)老化時(shí)間是300秒，以下命令可改變老化時(shí)間:sw(config)#mac-address-tableaging-time?<10-1000000>Agingtimevalue交換機(jī)地址學(xué)習(xí)

MAC地址表

0260.8c01.1111AE0:0260.8c01.1111B0260.8c01.3333E00260.8c01.2222CE1DE2E30260.8c01.4444?主機(jī)A發(fā)送數(shù)據(jù)幀給主機(jī)C?交換機(jī)通過學(xué)習(xí)數(shù)據(jù)幀的源MAC地址，記錄下主機(jī)A的MAC地址對應(yīng)端口E0?該數(shù)據(jù)幀轉(zhuǎn)發(fā)到除端口E0以外的其它所有端口(不清楚目標(biāo)主機(jī)的單點(diǎn)傳送用泛洪方式)Page46幀的轉(zhuǎn)發(fā)

0260.8c01.1111AMAC地址表

E0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.4444B0260.8c01.3333E00260.8c01.2222CE1E3DE20260.8c01.4444?主機(jī)C發(fā)送數(shù)據(jù)給B：交換機(jī)發(fā)現(xiàn)目的B的MAC對應(yīng)E1接口，就把數(shù)據(jù)從這里發(fā)送出去。

?主機(jī)D發(fā)送廣播幀或多點(diǎn)幀：廣播幀或多點(diǎn)幀泛洪到除源端口外的所有端口。

Page47防止環(huán)路

x阻塞

?運(yùn)行STP協(xié)議防止環(huán)路。

?某些端口置于阻塞狀態(tài)就能防止冗余結(jié)構(gòu)的網(wǎng)絡(luò)拓?fù)渲挟a(chǎn)生回路。

Page48交換機(jī)配置

?配置命名：Switch(config)#hostnameSw1?配置管理IP：

Sw1(config)#intvlan1Sw1(config-if)#ipadd10Sw1(config-if)#noshut?配置網(wǎng)關(guān)

：

Sw1(config)#ipdefault-gateway01?查看MAC表。

Sw1#shmac-add?設(shè)置雙工和速率。

Sw1(config)#intf0/1Sw1(config-if)#speed10/100/autoSw1(config-if)#duplexhalf/full/autoPage49VLAN概述

Page50

第三層

第二層

第一層

銷售部

人力資源部

工程部

VLAN=一個(gè)廣播域=邏輯網(wǎng)段(子網(wǎng))

一個(gè)VLAN的優(yōu)點(diǎn)及分類

隔離二層廣播，優(yōu)化網(wǎng)性能。

優(yōu)點(diǎn)

VLAN可以跨越交換機(jī)，簡化布線，方便管理。

每個(gè)VLAN是一個(gè)獨(dú)立的子網(wǎng)，VLNA間的通信要通過三層設(shè)備實(shí)現(xiàn)，

可以通過訪問控制列表對VLNA間的通信進(jìn)行安全控制。

靜態(tài)VLAN：基于交換機(jī)接口。

動(dòng)態(tài)VLAN：基于主機(jī)MAC地址，不常用,需要在交換中建立一張VMPS表，來標(biāo)明哪些MAC屬于哪個(gè)VLAN.效率低。

分類

Page51VLAN運(yùn)行

交換機(jī)A紅色

VLAN黑色

VLAN綠色

VLAN?每個(gè)邏輯的VLAN就象一個(gè)獨(dú)立的物理橋

?交換機(jī)上的每一個(gè)端口都可以分配給不同的VLAN?默認(rèn)的情況下，所有的端口都屬于VLAN1（Cisco）

Page52VLAN運(yùn)作

交換機(jī)A交換機(jī)B紅色

VLAN黑色

VLAN綠色

VLAN紅色

VLAN黑色

VLAN綠色

VLAN?同一個(gè)VLAN可以跨越多個(gè)交換機(jī)

Page53VLAN運(yùn)作

干道連接

快速以太網(wǎng)

紅色

VLAN

黑色

VLAN綠色

VLAN紅色

VLAN黑色

VLAN綠色

VLAN?主干功能支持多個(gè)VLAN的數(shù)據(jù)

?主干使用了特殊的封裝格式支持不同的VLAN?只有快速以太網(wǎng)端口可以配置為主干端口

Page54VLAN的配置

?全局模式

Switch#configureterminal

Switch(config)#vlan3

Switch(config-vlan)#nameVlan3Switch(config-vlan)#exit

Switch(config)#end?數(shù)據(jù)庫模式

Switch#vlandatabase

Switch(vlan)#vlan3

VLAN3added:Name:VLAN0003Switch(vlan)#exit

APPLYcompleted.ExitingPage55VLAN的接入端口

?接入交換機(jī)端口在一個(gè)單一的數(shù)據(jù)的VLANPage56VLAN執(zhí)行的命令

?配置VLAN-vlan101-switchportmodeaccess-switchportaccessvlan101?驗(yàn)證VLAN-showinterfaces-showvlan

Page57配置VLAN的接入

Switch(config)#vlanvlan_id配置一個(gè)VLAN.Switch(config-vlan)#namevlan_name給VLAN命名.Switch(config-if)#switchportmodeaccess配置交換機(jī)的端口為接入模式.Switch(config-if)#

switchportaccessvlanvlan_id把接入端口劃分到vlan中.Page58查看VLANSwitch#showvlan

VLANNameStatusPorts

1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/7,Fa0/911asw11_dataactive12asw12_dataactive95VLAN0095activeFa0/899Trunk_Nativeactive100Internal_Accessactive111voice-for-group-11active112voice-for-group-12active1002fddi-defaultact/unsup1003token-ring-defaultact/unsup1004fddinet-defaultact/unsup1005trnet-defaultact/unsup

VLANTypeSAIDMTUParentRingNoBridgeNoStpBrdgModeTrans1

1enet1000011500-----011enet1000111500-----0.....Page59網(wǎng)絡(luò)故障排查

ARP及ARP防護(hù)

12arp原理

arp攻擊方式

3arp防護(hù)

Page60ARP協(xié)議原理

ARP協(xié)議是“AddressResolutionProtocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?，幀里面有目?biāo)主機(jī)的MAC地址；

在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。ARP協(xié)議的基本功能就是主機(jī)在發(fā)送報(bào)文前將目標(biāo)主機(jī)的IP地址解析成目標(biāo)主機(jī)的MAC地址，以保證通信的順利進(jìn)行。

Page61ARP協(xié)議原理

?Arprequest和reply的數(shù)據(jù)幀長都是42字節(jié)（28字節(jié)的arp數(shù)據(jù)、14字節(jié)的以太幀頭）

以太網(wǎng)

目的地址

6以太網(wǎng)

源地址

6幀

硬件

協(xié)議

硬件

協(xié)議

OP發(fā)送端

發(fā)送端

目的

目的

地址

地址

類型

地址

類型

以太網(wǎng)地址

IP地址

以太網(wǎng)地址

IP地址

長度

長度

2221641228字節(jié)ARP請求/應(yīng)答

64以太網(wǎng)首部

Page62ARP協(xié)議原理

以太網(wǎng)目的地址

以太網(wǎng)目的地址

以太網(wǎng)源地址

以太網(wǎng)源地址

硬件類型

硬件地址長協(xié)議地址長度

度

協(xié)議類型

操作

發(fā)送者以太網(wǎng)地址(0-3)發(fā)送者以太網(wǎng)地址(4-5)發(fā)送者協(xié)議地址(0-1)發(fā)送者協(xié)議地址(2-3)目的以太網(wǎng)地址(0-1)目的以太網(wǎng)地址(2-5)目的協(xié)議地址(0-3)Page63ARP協(xié)議原理

正常的ARP通訊過程只需ARPRequest和ARPReplay兩個(gè)過程，簡單的說就是一問一答：

internetinternetgatewayARPReplayARPRequestPCPage64ARP協(xié)議原理

網(wǎng)關(guān)回應(yīng)給主機(jī)的ARPReply報(bào)文

主機(jī)收到網(wǎng)關(guān)的ARPReply報(bào)文后，同樣會(huì)提取報(bào)文中的“Sender'shardwareaddress”和“Sender'sprotocolPCaddress”生成自己的ARP表項(xiàng)；

Page65ARP攻擊方式

?Arpfloodarp泛洪，只要是瞬間發(fā)送大量的arp數(shù)據(jù)包給switch，填滿switch的mactable，導(dǎo)致無法switch工作異常，

提示：這時(shí)switch就會(huì)象hub一樣工作

Page66ARP攻擊方式

?gratuitousarp

免費(fèi)arp，

原理：

1.gratuitousarp也是arprequest的一種，所以是

broadcast,就是群發(fā)，就是搞的地球人都知道

2.gratuitousarp的arp報(bào)文中，源ip和目的ip是

一樣的，就是為了再次確認(rèn)網(wǎng)絡(luò)中身份。

ms的ip地址沖突監(jiān)測機(jī)制就是通過

免費(fèi)arp實(shí)現(xiàn)的

Page67ARP攻擊方式

?免費(fèi)arp的精髓

前文說到構(gòu)建arpspoof的簡易方式。

這里我有一個(gè)疑問，如果攻擊者不讓其中的1個(gè)用戶訪問任何地址，是否需要發(fā)送整個(gè)網(wǎng)段的錯(cuò)誤的mac地址給

受害主機(jī)？？？

答案是NO

如果這樣勞命傷財(cái)，不是好辦法！

只要代表受害主機(jī)發(fā)送錯(cuò)誤的gratuitousarp。1個(gè)arp報(bào)文足以！當(dāng)然arptable有老化時(shí)間，不過謊話不停的說，說了多次，就變成“真”di了

這樣網(wǎng)絡(luò)中的其他主機(jī)都收到錯(cuò)誤的mac地址的arp報(bào)文進(jìn)行更新自身的arpcache。于是災(zāi)難就這樣發(fā)生了！

Page68ARP攻擊方式

免費(fèi)arp的工作原理

原來

良民的地址是

4444.4444.4444發(fā)送源ip和目的ip均為受害主機(jī)的

ip地址的免費(fèi)arp報(bào)文

普通交換機(jī)

GratuitousArpSendmacadd=錯(cuò)誤的mac地址

Sendipadd=受害主機(jī)ipTargetipadd＝受害主機(jī)ip這是廣播報(bào)文哦

我好毒、

我好毒

為什么整個(gè)網(wǎng)段都ping不通？！

我真實(shí)的mac是

恐怖份子

Page69極品良民

1111.1111.1111ARP攻擊方式

?Arpproxy

arp代理：arpproxy是arp的攻擊之首，

這也是傳說的“中間人”攻擊！

原理:雙向arpspoofPage70ARP攻擊方式

Proxyarp的工作原理

ArpreplytoGWSendmacadd＝恐怖份子mac

Sendipadd=極品良民ipTargetmacadd＝GWmac地址

Targetipadd＝GWip地址

S8610Gateway普通交換機(jī)

Arpreplyto良民

Sendmacadd＝恐怖份子mac

Sendipadd=網(wǎng)關(guān)ipTargetmacadd＝

良民mac地址

Targetipadd＝良民ip地址

IC、IP、IQ卡，

統(tǒng)統(tǒng)告訴我密碼

我要和網(wǎng)關(guān)通訊，沒錢了，我要查我的銀行賬戶

恐怖份子的潛臺詞：