ccna和网络安全v3

51CTO计算机网络和网络安全视频教程第1章计算机网络详解OSI参考模型分层的好处数据通信的每个环节变化不影响其他环节各个厂商设备标准化应用层能够产生网络流量的网络应用程序QQIE表示层加密压缩二进制ASCII码IE浏览器出现乱码会话层查木马查看会话netstat-nb传输层可靠传输不可靠传输流量控制滑动窗口技术面向连接（三次握手）确认网络层选择路径数据链路层定义了如何标识网络设备数据帧如何封装帧头帧尾透明封装物理层发送和接收Bit流电压接口排错来看OSI参考模型底层向高层逐一排错物理层错误连接是否正常数据链路层ADSL拨号数据链路层通网络层才能通arp-s192.168.1.100-1d-0f-68-42-fe网络层选择路径出现的故障计算机没有设置网关表示层IE乱码应用层IE插件替换法排错从安全角度来看OSI参考模型物理层安全数据链路层安全在交换机上的端口绑定MAC地址网络层安全网络层防火墙在网络设备上指定ACL控制数据包流量应用层安全杀毒软件应用层防火墙高级防火墙ISA2006可以基于源地址目标地址协议端口号时间用户文件类型来控制网络流量网络设备网卡MAC8根4对10M100M1000M集线器（HUB）10M100M100米不安全是一个大的冲突域30左右计算机交换机基于MAC地址转发数据，安全端口带宽独享标准以太网10，快速以太网100，G1000M广播域路由器基于IP地址转发数据广域网接口隔绝广播ACL网线双绞线8根4对10M100M1236通信1000M8根全用直通线交叉线全反线Console调路由器10100M12361000M8数据封装数据段消息数据包数据帧Bit数据通信类型单工半双工HUB全双工以太网交换机演示：查看网卡的全双工半双工状态演示：更改网卡网速网络设计三层模型接入层交换机直接接用户计算机的交换机接入层交换机口多10or100M汇集层交换机接接入层交换机端口带宽高端口比接入层相对较少核心层交换机连接汇聚成交换机第2章TCP/IP协议和网络安全传输层协议TCP协议传输前数据分段编号建立会话可靠传输流量控制功能三次握手netstat-nUDP一个数据包就能完成任务不可靠传输不建立会话数据不分段编号land攻击目标地址和源地址相同的数据包建立会话syn半连接伪造源地址应用层协议和传输层协议之间的关系服务器对外提供服务就需要使用一个应用层协议http=TCP+80https=TCP+443ftp=TCP+21or20SMTP=TCP+25发送电子邮件PoP3=TCP+110RDP=TCP+3389远程桌面协议微软SQLServer数据库=TCP+1433DNS=UDPorTCP+531024端口用IP地址访问共享文件=TCP+445用计算机名访问共享文件=TCP+139端口用来标识服务器的服务不同服务使用端口应该不同演示：Windows上的服务和端口的关系查看侦听的端口netstat-anb安装SMTPPop3服务FTPWeb服务查看新增加的侦听的端口案例：端口冲突造成的Web服务启动失败演示：更改服务默认端口增加安全性默认端口可以更改，客户端必须也得更改更改远程桌面服务使用的端口使用更改后的使用客户端如何连接演示：配置服务器的网络安全使用端口扫描工具扫描远程服务器端口telnet测试远程服务器的某个端口是否打开Windows防火墙的实现WindowsXP的网络安全使用远程控制工具入侵服务器使用TCP/IP筛选配置服务器安全案例：Windows防火墙引起的网络网络故障单向通信演示：使用IPSec严格控制出入服务器的流量灰鸽子木马防范查看灰鸽子木马建立的会话msconfig查看可疑的服务创建IPSec严格控制网络流量结论：服务器网络安全在服务器上只打开必须的端口使用IPSec严格控制网络流量网络层协议IP（RIPEIGRPOSPF）讲解:跨网段通信MAC地址和IP地址的作用数据路由过程数据帧和数据包的变化ICMP测试网络连通性pingpathpingtracert（路由器上使用）演示：使用ping命令查看网络是否拥堵是否是路由问题造成的丢包演示：使用ping–i参数找到数据包沿途经过的路由器演示：通过TTL判断对方是什么系统Linux64Windows2000128Unix系列255pingIp-tctrl+C停止pingpathping跟踪数据包路径pathpingIGMP组播管理点到点广播目标MAC或IP地址全1多播（组播）数据封装传输层数据段消息网络层数据包数据链路层数据帧物理层BitArp协议ARPIP--MAC地址广播arp-s192.168.1.132-32-32-32-23-32演示：利用ARP欺骗的软件ARP欺骗arp-s192.168.1.122-21-21-21-12-12网络执法官P2P终结者Cain密码捕获软件演示：抓包工具分析数据包对于IP地址欺骗没有办法第3章IP地址32位二进制二进制十进制11102100410008100001610000032100000064100000001281000000012811000000192111000002241111000024011111000248111111002521111111025411111111255子网掩码的作用IP地址的分类默认子网掩码IP地址的分类A类1-12700000001--01111111B类128-19110000000--10111111C类192-22311000000--11011111D类224-23911100000--11101111多播地址无子网掩码E类240-25511110000—11111111用于测试公网地址保留的私有地址10.0.0.0172.16.0.0--172.31.0.0192.168.0.0--192.168.255.0特殊的一些地址主机位全0代表本网段主机位全1代表本网段所有主机169.254.0.0127.0.0.10.0.0.0广播地址第二层广播MAC地址FF-FF-FF-FF-FF-FF广播（第3层）255.255.255.255单播组播224.0.0.0----239.255.255.255子网划分划分子网确定需要的子网个数确定每个子网主机数量划分子网需要确认子网掩码子网网段开始地址和结束地址等长子网变长子网B类网络的子网划分超网CIDR(无类域间路由选择)的子网掩码思考：指定一个IP地址所属的网段192.168.80.229/27点到点网络的子网掩码确定和222.223.239.89/26这个地址在同一个网段的地址范围判断一个地址是否可用192.168.80.47/32192.168.80.46/32判断这几个网段是否能够将子网掩码前移2位合并192.168.67.0/24192.168.68.0/24192.168.69.0/24192.168.70.0/24超网网络排错ipconfig/allping127.0.0.1网卡驱动没问题ping网关和局域网是通的ping202.99.160.68Internet网络层通ping不能删除存放BootstarpPOST微型IOSFlash存放IOStelnet192.168.1.200R1断开ctrl+shift+6X查看会话showsession断开会话disconnect1路由配置常用命令Router#Showuser查看用户showinterface查看路由器的接口showrunning-config查看路由的配置密码接口IP地址ACLNATshowversion查看路由器版本配置寄存器的值showipinterfacebrief查看和Ip相关的接口信息showiproute查看路由表showipprotocal查看路由器运行的动态路由协议全局配置命令configtRouter(config)#Router(config)#hostnameRouter1Router1(config)#enablepasswordaaaRouter1(config)#enablesecretaaaa加密输出所有密码RA(config)#servicepassword-encryption配置理由时钟(现在全局配置模式设置时区。在特权模式配置时钟)R6(config)#clocktimezoneGNT+8R6(config)#exitR6#clockset11:54:00october222015配置Telnet密码TCP23Router1(config)#linevty04Router1(config-line)#passwordaaa设置Telnet密码Router1(config-line)#login要求必须登录使用telnet连接路由器CRT连接路由器SDM图形界面Telnet如果不需要密码执行以下命令Router1(config)#linevty04Router1(config-line)#nologinRouter1(config-line)#nopassword配置路由器接口IP地址Router1#configtRouter1(config)#interfacefastEthernet0/0Router1(config-if)#ipaddress192.168.0.1255.255.255.0Router1(config-if)#noshRouter1(config-if)#exit广域网接口配置需要在DCE指定时钟频率Router1(config)#interfaceserial2/0Router1(config-if)#clockrate64000在DCE端配置时钟频率Router1(config-if)#ipaddress10.0.0.1255.255.255.0Router1(config-if)#nosh保存路由器配置查看保存的路由器配置RA#copyrunning-configstartup-configRA#copystartup-configrunning-config配置路由旗帜消息Banner?配置路由器能够进行域名解析RA(config)#ipdomain-lookupRA(config)#ipname-server222.222.222.222建立主机列表RA（config）#iphostnameip_address使用Cisco发现协议CDPCisco发现协议CDP二层地址能够查看邻居信息Router(config)#cdprunRouter#showcdpneighborsRA#showCDPneighborsRA#showcdp查看cdp全局信息修改cdpRouter(config)#cdp?从路由器Telnet到其他路由器Router#telnetRouter0从路由器telnet其他路由器临时退出会话ctrl+shift+6X查看会话showsessions在路由器上查看连接过来的用户showusers解析主机名Router(config)#iphostRouter0172.16.5.1添加名称和IP地址对应关系RouterB(config)#ipdomain-lookup启用域名查找RouterB(config)#ipname-server202.99.160.68配置DNS服务器检测路由器活动Router#debugippacketRouter#debugip?icmpICMPtransactionsnatNATevent