网络知识培训

网络应用及安全培训贾志强2011.10大纲•1、网络参考模型及应用协议•2、网络类型、拓扑及设备•3、路由交换技术•4、网络操作系统•5、网络安全OSI参考模型和TCP/IP协议模型应用层表示层会话层传输层网络层数据链路层物理层应用层传输层网络层网络接口层传输层数据链路层物理层网络层上层数据上层数据TCP头数据IP头数据LLC头0101110101001000010数据MAC头表示层应用层会话层段包比特帧PDUFCSFCS封装数据上层数据LLC头+IP+TCP+上层数据IP+TCP+上层数据TCP+上层数据上层数据0101110101001000010传输层数据链路层物理层网络层表示层应用层会话层解封装数据TCP/IP协议模型各层作用应用层传输层网络层网络接口层提供应用程序网络接口建立端到端连接寻址和路由选择驱动程序和网卡、电缆的接口细节规定TCP/IP协议簇LANWANIPTCPUDPFTPHTTPSMTPtelnetDNSTFTPARPICMPRARPOSI1-2层OSI3层OSI4层OSI5-7层172.16.3.1172.16.3.2IP:172.16.3.2=???我需要知道176.16.3.2的物理地址.ARP协议172.16.3.1172.16.3.2IP:172.16.3.2=???我知道你的请求，这是我的物理地址我需要知道176.16.3.2的物理地址.172.16.3.1IP:172.16.3.2Ethernet:0800.0020.1111172.16.3.2IP:172.16.3.2=???我知道你的请求，这是我的物理地址我需要知道176.16.3.2的物理地址.•映射IPEthernet•LocalARP172.16.3.1IP:172.16.3.2Ethernet:0800.0020.1111172.16.3.2IP:172.16.3.2=???我知道你的请求，这是我的物理地址我需要知道176.16.3.2的物理地址.RARP协议Ethernet:0800.0020.1111IP=???我的地址是多少？Ethernet:0800.0020.1111IP=???我的地址是多少？我听到了广播你的地址是172.16.3.25.Ethernet:0800.0020.1111IP:172.16.3.25Ethernet:0800.0020.1111IP=???我的地址是多少？我听到了广播你的地址是172.16.3.25.•映射EthernetIPEthernet:0800.0020.1111IP:172.16.3.25Ethernet:0800.0020.1111IP=???我的地址是多少？我听到了广播你的地址是172.16.3.25.服务端口（TCP/UDP)NumberFTPdataTCP20FTPTCP21TFTPUDP69SMTPTCP25POP3TCP110SNMPUDP161DNSUDP|TCP53TELNETTCP23HTTPTCP80HTTPSTCP443NETBIOSUDP137常见服务及对应端口系统服务不能直接关闭服务来关闭端口。通过本地策略（secpol.msc)关闭指定端口。通过实例理解网络数据包的传送•Step1-PC1将IP数据包封装成以太网帧，并将其目的MAC地址设为R1FastEthernet0/0接口的MAC地址•Step2(1)-R1发现帧的目的mac地址是自己的mac地址•Step2(2-3)-R1剥离以太网帧后检测目的IP地址.•Step2(4)-R1在路由表中寻找目的IP地址.•Step2(5)-R1查询下一跳IP地址，更新目的地址从新封装成帧•Step2(6)-R3将以太网数据包从接口Fa0/0转发出去•Step3(1)-R2发现帧的目的mac地址是自己的mac地址•Step3(2-3)-R2剖离以太网帧头检测目的ip地址•Step3(4)-R2在路由表中寻找目的IP地址•Step3(4)-R2更新目的地址从新封装成帧•Step3(5)-R2将以太网数据包从接口S0/0转发出去•Step4(1)-R3接受PPP帧•Step4(2-3)-R3剥离PPP帧检测目的IP地址•Step4(4)-R3在路由表中寻找目的IP地址•Step4(5)-R3的快速以太口直接连接到目的，更新目的地址从新封装成帧.•Step5-IP数据包到达PC2.帧被剥离后继续检测上层协议网络类型、拓扑及设备网络类型•地理位置：局域网（LAN）城域网（MAN）广域网（WAN）•传输介质有线网同轴电缆网双绞线网光纤网无线网•通信方式点对点传输网络广播式传输网络•服务方式客户机/服务器网络对等网直通线：交换机—路由器交换机–PC机/服务器集线器--PC机/服务器交叉线：交换机—交换机PC机–PC机交换机—集线器集线器—集线器路由器—路由器接入线缆公司总部分部家庭办公用户移动办公用户因特网网络设备及部件ABCD物理层•所有设备在同一冲突域•所有设备在同一广播域•所有设备共享相同的带宽集线器运行在物理层•接入设备越多冲突机率越大•用CSMA/CD技术集线器：同一个冲突域•每段有自己的冲突域•所有的段都在同一广播域数据链路层或123124交换机和桥运行在链路层•每段有自己的冲突域•广播信息向所有段转发缓冲区交换交换机集线器桥交换机路由器冲突域1444广播域1114网络设备的域路由交换技术传统IPv4编址IPv4网络中的地址类型•网络地址：指代网络的地址。在网络的IPv4地址范围内，最小地址保留为网络地址。此地址的主机部分的每个主机位均为0。•广播地址：用于向网络中的所有主机发送数据的特殊地址。广播地址使用该网络范围内的最大地址。即主机部分的各比特位全部为1的地址。•主机地址：分配给网络中终端设备的地址。计算网络地址、主机地址和广播地址•网络前缀–通过前缀长度来指示•在地址中网络部分所占的比特数计算网络地址、主机地址和广播地址私有地址:10.0.0.0—10.255.255.255172.16.0.0—172.31.255.255192.168.0.0—192.168.255.255特殊IPv4地址•网络地址和广播地址•默认路由：0.0.0.0•环回地址：127.0.0.0/8•链路本地地址：169.254.0.0/16•熟悉Netsh命令•netsh-cinterfaceipdumpc:\interface.txt导入配置脚本：netsh-fc:\interface.txt•netshinterfaceipset（delete)address本地连接static192.168.83.1255.255.255.0192.168.83.2541IPv6•IPv6(InternetProtocolVersion6)•IPv6地址为128位长，通常写作8组，每组为四个十六进制数的形式。例如：2001:0db8:85a3:08d3:1319:8a2e:0370:7344•IPv6配置：•(1)IPv6协议栈的安装•在开始--运行处执行ipv6install•(2)IPv6地址设置•在开始--运行处执行netsh进入系统网络参数设置环境，然后执行•interfaceipv6addaddress“本地连接”2001:da8:207::9402路由技术路由器是计算机•路由器的基本组件–-CPU–RAM–ROM–操作系统•路由器是网络组成的中心–-路由器通常用于两种连接:•-WAN连接(连接到ISP)•-LAN连接路由器的CPU和存储器•路由器的组成及功能CPU–执行操作系统的指令随机访问存储器(RAM)–RAM中内容断电丢失•运行操作系统:•运行配置文件:•IP路由表:•ARP缓存:•数据包缓存区:只读存储器(ROM)–保存开机自检软件.，存储路由器的启动引导程序•bootstrap指令•基本的自检软件•迷你版IOS.非易失RAM(NVRAM)–存储启动配置.这包括IP地址，路由协议，主机名闪存–运行操作系统(CiscoIOS)Interfaces–拥有多种物理接口用于连接网络.接口类型举例:路由器启动步骤•路由器启动的主要步骤检测路由器硬件•Power-OnSelfTest(POST)•执行引导装入程序定位加载CiscoIOS软件•-定位IOS•-加载IOS定位加载启动配置文件或进入配置模式•-启动程序搜寻配置文件路由器接口•路由器管理接口：–Console口–Auxiliary口•路由器物理接口使得路由器接受或发送数据包•每个接口连接到一个独立的网络•路由器外部由各种插孔和插座组成•接口类型:–-以太网–-快速以太网–-串口路由器接口•两组主要的路由器接口1.局域网接口:被用来连接局域网拥有二层mac地址可被分配三层IP地址通常由RJ-45接口组成2.广域网接口用于连接外部网络.依靠广域网技术,可应用二层地址.使用三层地址路由表介绍•路由表存储在RAM中，包含以下信息:直连网络–一个设备连接到另一个路由器接口时会出现远程网络连接–这个网络并非直接连接到某一台路由器网络的详细信息包括源信息,网络地址和子网掩码,下一条路由的IP地址•建立路由表的三种途径:直连路由–直接连到路由器上的网络静态路由–管理员手工构建路由表动态路由–路由器之间动态学习到的路由表现实中的路由表静态路由•路由表中的静态路由–-包含:网络地址和子网掩码以及路由下一跳IP地址或出接口–-在路由表中用S标出–-在静态或动态路由被使用之前，路由表中必须包含与远程网络相关的直连路由•何时使用静态路由–-路由器较少–-唯一外连出口–-星型拓扑现实世界的静态路由动态路由•动态路由协议–-向路由表中添加远程网络–-探索网络–-更新和维护路由表•自主网络探索–-通过共享路由表信息路由器能探索到新的网络•动态路由协议的分类路由表原理•路由表的原则–-3条法则:1.每台路由器根据其自身路由表中的信息独立作出决策.2.一台路由器的路由表中包含某些信息并不表示其它路由器也包含相同的信息3.有关两个网络之间路径的路由信息并不能提供反向路径（即返回路径）的路由信息.路由表原理？？？1:2:3:？网络安全知识•1、网络安全定义•2、网络安全面临的威胁•3、网络攻击与防范•5、防火墙技术•6、入侵检测技术网络安全定义•从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全发展过程•物理安全•通信安全•辐射安全•计算机安全•网络安全•以上这些都是信息安全的范畴网络安全面临的威胁•物理安全威胁、操作系统的安全缺陷、网络协议的安全缺陷、应用软件的实现缺陷、用户使用的缺陷和恶意程序等6个方面的安全威胁。常用网络命令使用•Ping-t–l-n•Ipconfig/all/renew/release•Tracert•Netstat-a•Routeadd•Arp–d-s-a•组策略应用•组策略（GroupPolicy）是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。禁止运行指定程序(用户配置→管理模板→系统)锁定注册表编辑器阻止访问命令提示符禁止光盘自动播放防止用户访问所选驱动器保护虚拟内存页面文件完全禁止使用U盘(WIN7)允许识别指定U盘(WIN7)•本地策略应用•Secpol.msc关闭指定端口防止PING数字签名与数字水印•密码学基本概念•对称密码学•非对称密码学•数字签名密码技术概述••密码技术是防止信息泄露的技术，是信息安全技术中最重要和最基本的安全技术。•密码技术中常用的一些术语：•1．明文P（Plaintext）：可以理解的信息原文。•2．加密E（Encryption）：用某种方法伪装明文以隐藏它的内容