ccna和网络安全v3

51CTO计算机网络和网络安全视频教程

第1章计算机网络详解

OSI参考模型

分层的好处

数据通信的每个环节变化不影响其他环节

各个厂商设备标准化

应用层能够产生网络流量的网络应用程序QQ IE

表示层加密压缩二进制ASCII码IE浏览器出现乱码

会话层查木马查看会话netstat -nb

传输层可靠传输不可靠传输流量控制滑动窗口技术面向连接（三次握手）确认

网络层选择路径

数据链路层定义了如何标识网络设备数据帧如何封装帧头帧尾透明封装

物理层发送和接收Bit流电压接口

?排错来看OSI参考模型

底层向高层逐一排错

物理层错误连接是否正常

数据链路层ADSL拨号数据链路层通网络层才能通

arp -s 192.168.1.1 00-1d-0f-68-42-fe

网络层选择路径出现的故障计算机没有设置网关

表示层IE乱码

应用层IE 插件

替换法排错

从安全角度来看OSI参考模型

物理层安全

数据链路层安全在交换机上的端口绑定MAC地址

网络层安全网络层防火墙在网络设备上指定ACL 控制数据包流量

应用层安全杀毒软件应用层防火墙高级防火墙ISA 2006 可以基于源地址目标地址协议端口号时间用户文件类型来控制网络流量

?网络设备

网卡MAC8根4对10M 100M 1000M

集线器（HUB）10M 100M 100米不安全是一个大的冲突域30左右计算机

交换机基于MAC地址转发数据，安全端口带宽独享标准以太网10，快速以太网100，G 1000M

广播域

路由器基于IP地址转发数据广域网接口隔绝广播ACL

网线双绞线8根4对10M 100M 1236通信1000M 8根全用

直通线交叉线全反线Console调路由器10 100M 123 6 1000M 8

数据封装

数据段消息

数据包

数据帧

Bit

数据通信类型

单工

半双工HUB

全双工以太网交换机

演示：查看网卡的全双工半双工状态

演示：更改网卡网速

网络设计三层模型

接入层交换机直接接用户计算机的交换机接入层交换机口多10 or 100M

汇集层交换机接接入层交换机端口带宽高端口比接入层相对较少

核心层交换机连接汇聚成交换机

第2章TCP/IP协议和网络安全

传输层协议

TCP 协议传输前数据分段编号建立会话可靠传输流量控制功能三次握手netstat -n UDP 一个数据包就能完成任务不可靠传输不建立会话数据不分段编号

land攻击目标地址和源地址相同的数据包建立会话

syn半连接伪造源地址

应用层协议和传输层协议之间的关系

服务器对外提供服务就需要使用一个应用层协议

http=TCP+80

https=TCP+443

ftp=TCP+21 or 20

SMTP=TCP+25 发送电子邮件

PoP3=TCP+110

RDP=TCP+3389 远程桌面协议

微软SQLServer数据库=TCP+1433

DNS=UDP or TCP +53

1024端口

用IP地址访问共享文件=TCP+445

用计算机名访问共享文件=TCP+139

端口用来标识服务器的服务不同服务使用端口应该不同

演示：Windows上的服务和端口的关系

查看侦听的端口netstat -anb

安装SMTP Pop3服务FTP Web服务

查看新增加的侦听的端口

案例：端口冲突造成的Web服务启动失败

演示：更改服务默认端口增加安全性

默认端口可以更改，客户端必须也得更改

更改远程桌面服务使用的端口

使用更改后的使用客户端如何连接

演示：配置服务器的网络安全

使用端口扫描工具扫描远程服务器端口

telnet测试远程服务器的某个端口是否打开

Windows防火墙的实现WindowsXP的网络安全

使用远程控制工具入侵服务器

使用TCP/IP筛选配置服务器安全

案例：Windows防火墙引起的网络网络故障

单向通信

演示：使用IPSec严格控制出入服务器的流量

灰鸽子木马防范

查看灰鸽子木马建立的会话

msconfig查看可疑的服务

创建IPSec严格控制网络流量

结论：服务器网络安全

在服务器上只打开必须的端口

使用IPSec严格控制网络流量

网络层协议IP （RIP EIGRP OSPF）

讲解:跨网段通信MAC地址和IP地址的作用

数据路由过程数据帧和数据包的变化

ICMP 测试网络连通性ping pathpingtracert（路由器上使用）

演示：使用ping命令查看网络是否拥堵是否是路由问题造成的丢包演示：使用ping –i参数找到数据包沿途经过的路由器

演示：通过TTL判断对方是什么系统

Linux 64

Windows 2000 128

Unix系列255

ping Ip -t ctrl +C 停止ping

pathping跟踪数据包路径

pathping

IGMP 组播管理点到点广播目标MAC 或IP地址全1 多播（组播）

数据封装

传输层数据段消息

网络层数据包

数据链路层数据帧

物理层Bit

Arp协议

ARP IP-->MAC地址广播arp -s 192.168.1.1 32-32-32-32-23-32

演示：利用ARP欺骗的软件

ARP 欺骗arp -s 192.168.1.1 22-21-21-21-12-12

网络执法官

P2P终结者

Cain密码捕获软件

演示：抓包工具分析数据包

对于IP地址欺骗没有办法

第3章IP地址

32位二进制

二进制十进制

1 1

10 2

100 4

1000 8

10000 16

100000 32

1000000 64

10000000 128

10000000 128

11000000 192

11100000 224

11110000 240

11111000 248

11111100 252

11111110 254

11111111 255

子网掩码的作用

IP地址的分类默认子网掩码

IP地址的分类

A类1-127 00000001--01111111

B类128-191 10000000--10111111

C类192-223 11000000--11011111

D类224-239 11100000--11101111 多播地址无子网掩码E 类240-255 11110000—11111111用于测试

公网地址

保留的私有地址

10.0.0.0

172.16.0.0--172.31.0.0

192.168.0.0--192.168.255.0

特殊的一些地址

主机位全0 代表本网段

主机位全1 代表本网段所有主机

169.254.0.0

127.0.0.1

0.0.0.0

广播地址

第二层广播MAC地址FF-FF-FF-FF-FF-FF

广播（第3层）255.255.255.255

单播

组播224.0.0.0----239.255.255.255

子网划分

划分子网

确定需要的子网个数

确定每个子网主机数量

划分子网需要确认

子网掩码

子网网段

开始地址和结束地址

等长子网

变长子网

B类网络的子网划分

超网

CIDR(无类域间路由选择)的子网掩码

思考：指定一个IP地址所属的网段192.168.80.229/27

点到点网络的子网掩码

确定和222.223.239.89/26这个地址在同一个网段的地址范围

判断一个地址是否可用192.168.80.47/32 192.168.80.46/32

判断这几个网段是否能够将子网掩码前移2位合并

192.168.67.0/24

192.168.68.0/24

192.168.69.0/24

192.168.70.0/24

超网

网络排错

ipconfig /all

ping 127.0.0.1 网卡驱动没问题

ping 网关和局域网是通的

ping 202.99.160.68 Internet网络层通

ping https://www.wendangku.net/doc/6a12788744.html, 查看域名解析是否正常网络层测试

telnet https://www.wendangku.net/doc/6a12788744.html, 80 应用层测试测试应用层是否畅通23默认端口pathping https://www.wendangku.net/doc/6a12788744.html, 跟踪数据包路径和计算丢包情况

检查IE设置

替换法

第4章配置Cisco网络设备

系列

IOS 2500系列路由器2500 IOS 有企业版标准版

RAM 相当于计算机的内存配置路由器的设置默认是RAM

NVRAM 相当于硬盘存放startup-config

ROM 相当于计算机的BIOS , 不能删除存放Bootstarp POST 微型IOS Flash 存放IOS

telnet 192.168.1.200

R1

断开ctrl+shift+6 X

查看会话show session

断开会话disconnect 1

路由配置常用命令

Router#

Show user 查看用户

show interface 查看路由器的接口

show running-config 查看路由的配置密码接口IP地址ACL NAT

show version 查看路由器版本配置寄存器的值

show ip interface brief 查看和Ip相关的接口信息

show ip route 查看路由表

show ipprotocal查看路由器运行的动态路由协议

全局配置命令

config t

Router(config)#

Router(config)#hostname Router1

Router1(config)#enable password aaa

Router1(config)#enable secret aaaa

加密输出所有密码

RA(config)# service password-encryption

配置理由时钟(现在全局配置模式设置时区。在特权模式配置时钟) R6(config)#clock timezone GNT +8

R6(config)#exit

R6#clock set 11:54:00 october 22 2015

配置Telnet密码TCP 23

Router1(config)#line vty 0 4

Router1(config-line)#password aaa设置Telnet密码

Router1(config-line)#login 要求必须登录

使用telnet连接路由器

CRT连接路由器

SDM 图形界面

Telnet如果不需要密码执行以下命令

Router1(config)#line vty 0 4

Router1(config-line)#no login

Router1(config-line)#no password

配置路由器接口IP地址

Router1#config t

Router1(config)#interface fastEthernet 0/0

Router1(config-if)#ip address 192.168.0.1 255.255.255.0

Router1(config-if)#no sh

Router1(config-if)#exit

广域网接口配置需要在DCE指定时钟频率

Router1(config)#interface serial 2/0

Router1(config-if)#clock rate 64000 在DCE端配置时钟频率Router1(config-if)#ip address 10.0.0.1 255.255.255.0

Router1(config-if)#no sh

保存路由器配置

查看保存的路由器配置

RA#copy running-config startup-config

RA#copy startup-config running-config

配置路由旗帜消息

Banner ?

配置路由器能够进行域名解析

RA(config)#ip domain-lookup

RA(config)#ip name-server 222.222.222.222

建立主机列表

RA（config）# ip host name ip_address

使用Cisco发现协议

CDPCisco发现协议CDP 二层地址能够查看邻居信息

Router(config)#cdp run

Router#showcdp neighbors

RA#show CDP neighbors

RA#showcdp查看cdp全局信息

修改cdp

Router(config)#cdp ?

从路由器Telnet到其他路由器

Router#telnet Router0

从路由器telnet 其他路由器临时退出会话

ctrl+shift+6

X

查看会话show sessions

在路由器上查看连接过来的用户show users

解析主机名

Router(config)#ip host Router0 172.16.5.1 添加名称和IP地址对应关系RouterB(config)#ip domain-lookup 启用域名查找

RouterB(config)#ip name-server 202.99.160.68 配置DNS服务器

检测路由器活动

Router#debugip packet

Router#debugip ?

icmp ICMP transactions

nat NAT events

ospf OSPF information

packetPacket information

ripRIP protocol transactions

routing Routing table events

Router#undebug all

第5章静态路由

不同网段计算机通信就叫路由

网络畅通的条件

静态路由管理员告诉路由器到各个网段如何转发

Router(config)#ip route 192.168.6.0 255.255.255.0 192.168.1.2 ？（可以更改管理距离AD）删除理由表

跟踪数据包路径

路由汇总

路由汇总列外

ip route 192.168.0.0 255.255.252.0 19

默认路由代表大多数网段的路由

优先级最低

演示：Windows上的网关就是默认路由

Route print

Netstat –r

Windows上的路由表

在计算机上添加路由表

route add 192.168.2.0 mask 255.255.255.0 192.168.1.2 添加路由表

route print 显示计算机上的路由表

netstat–r

末端网络路由器使用默认路由减少路由表项

骨干网路由器通过路由汇总减少路由表项

第6章动态路由

静态路由不能自动根据网络变换而变化规模小没有环

动态路由

网络规模较大or 具有网状结构的网络

动态路由路由器自己来学习到各个网段如何转发

RIP 度量值跳数每隔30秒广播15跳16不可到达适合于小的网络也适合没有环路的网络

RIPv1 不包括子网信息只支持等长子网

RIPv2 支持变长子网路由信息通告中包括子网掩码信息

Router(config-router)#version 2

连续子网不连续子网

关闭自动汇总就支持不连续子网

实验2 配置RIPv2支持不连续子网OK.pkt不连续子网不支持

Router(config-router)#no auto-summary

RIP 周期性广播路由表30秒度量值是跳数15跳16跳认为不可到达

RIPv1 广播传播路由信息支持等长子网不支持变长子网和不连续子网

RIPv2 多播传播路由信息支持变长子网和不连续子网（关闭自动汇总）传播路由信息中包含了子网掩码信息

EIGRP协议

Cisco专有协议非周期性更新路由信息，Hello报文发现和跟踪邻居以太网5秒，T1或更低的速率Hello报文以单播方式60秒发送一次，3倍时间确认失效，使用224.0.0.10用户邻居发现和回复，邻居使用单播地址确认度量值默认带宽和延迟支持大的网络默认100跳最大255跳必须是统一自制区域才能交换路由信息支持变长子网和不连续子网（关闭自动汇总）收敛速度块（有·）

度量值可以包括跳数带宽延迟负载可靠性代价（cost）

EIGRP 相当于RIPv2 支持变长子网关掉汇总，支持不连续子网。

Router#config t

Router(config)#router rip

Router(config-router)#network 172.16.0.0

Router(config-router)#network 10.0.0.0

Router(config-router)#version 2

Router(config-router)#no auto-summary

Router#showip protocols 显示配置的所有动态路由协议

Router(config)#router eigrp 10

Router(config-router)#network 192.168.0.0

Router(config-router)#no auto-summary

手动汇总

Router（config）#interface Serial 2/0

Router（config-if）#ip summary-address eigrp 10 192.168.0.0 255.255.255.128

Router（config-if）#ex

Router（config）#interface fastEthernet 6/0

Router（config-if）#ip summary-address eigrp 10 192.168.0.0 255.255.255.128

查看ip路由协议配置信息

Show ip protocol

查看备用路径

Router#showipeigrp topology

显示EIGRP协议活动

debug eigrp packets它将给我们显示出在两台相邻路由器间所发送的Hello数据包:

Router#debugeigrp packets

OSPF 开放式路由协议-+

带宽hello维持邻居关系

路由表由路由根据链路状态数据库算出来的，不出现环路，路由器之间更新的是链路状态，度量值带宽。触发式更新。

路由器三个表邻居表，链路状态表，路由表

特性

有地区和自制系统组成

最小化路由更新流量

可扩展

支持变长子网

跳数不受限

标准开放的标准

OSPF配置

Router(config)#router ospf 110 进程号

Router(config-router)#network 172.16.0.0 0.0.255.255 area 0 区域号只有同一个区域的接口才能交换链路状态信息

Router(config-router)#network 172.16.0.1 0.0.0.0 area 0

查看路由表

show ip route

查看链路状态数据库

Router#showipospf databases

查看邻居

Router#showipospf neighbor

查看链路状态表

Router#showipospf neighbor detail

查看OSPF事件

Router#debugipospf events

测试OSPF收敛速度

DR 指定路由器224.0.0.5 224.0.0.6 维护邻居信息

224.0.0.5---AllSPFRouters.224.0.0.6---AllDRouters（DR+BDR）

BDR 备用的指定路由器

更改DR BDR选举优先级

Router(config-if)#ipospf priority 2

路由再发布

将静态路由发布到EIGRP 和RIP

RIP和EIGRP协议进行再发布

Router1(config)#router rip

Router1(config-router)#redistribute eigrp 10 metric 3

Router1(config-router)#exit

Router1(config)#router eigrp 10

Router1(config-router)#redistribute rip metric 10000 100 255 1 1500

OSPF和EIGRP协议再发布

Router1(config)#router ospf 1

Router1(config-router)#redistribute eigrp 10 metric-type 1 subnets

Router1(config-router)#exit

Router1(config)#router eigrp 10

Router1(config-router)#redistribute ospf 1 metric 10000 100 255 1 1500

路由协议分以下几种类型，现在总结主要特点：

?距离矢量协议，典型代表就是RIP，其特点就是周期性广播或多播将自己的路由表通告给其他路由器。

?链路状态协议，典型代表就是OSPF，其特点就是周期性使用Hello包维护邻居信息，触发式更新链路状态，使用链路状态数据库计算路由表。

?混合型协议，典型代表就是EIGRP，为什么说它是混合的呢？因为使用Hello包维护邻居信息，触发式更新，这些特性像链路状态的部分特性，但是它又直接通告路由表到其他路由器，这特性是距离矢量的特性。因此称EIGRP为混合型。

管理距离

第7章交换和VLAN

局域网组网设备

集线器

网桥

交换机

交换

交换机MAC地址表是通过数据帧的源MAC地址构造的

交换机端口可以实现安全

交换机端口上实现安全

可以控制交换机端口连接计算机数量

在交换机端口绑定MAC地址MAC和IP

Switch(config-if)#switchport mode access 配置该接口为访问接口

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security violation shutdown

Switch(config-if)#switchport port-security maximum 1

Switch(config-if)#switchport port-security mac-address 0090.0CD7.65C8

下面的命令一将现有的MAC地址绑定到端口个接口只能连接一个计算机Switch(config-if-range)#switchport port-security mac-address sticky

再次查看MAC地址表就变成静态的了

生成树（STP）

交换机的端口状态

阻断监听学习转发禁用

Hello 时间BPDU 默认2S

选根交换机（根网桥）网桥ID=优先级+MAC 网桥ID小的优先成为根

非根网桥选根端口到根交换机近的端口

1.最顶的网桥ID

2.最低的到达根网桥的路径开销

3.最低的发送方网桥ID

4.最低的端口优先级

5.最低的端口ID

每根网线两端确定一个指定端口，到根交换机近的为指定端口

确定根网桥

Switch#show spanning-tree 可以看到阻断的端口

---------------- ---- --- --------- -------- --------------------------------

Gi5/1 Root FWD 4 128.6 P2p

Gi6/1 Altn BLK 4 128.7 P2p

Gi7/1 Altn BLK 4 128.8 P2p

Gi8/1 Altn BLK 4 128.9 P2p

更改网桥优先级

Switch(config)#spanning-tree vlan 1 priority 4096

关闭vlan 1生成树

Switch(config)#no spanning-treevlan 1

生成树快速端口

Switch#config t

Switch(config)#interface fastEthernet 1/1

Switch(config-if)#spanning-tree portfast

交换机的配置

Switch(config)#interface vlan 1

Switch(config-if)#ip address 192.168.0.100 255.255.255.0

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#ip default-gateway 192.168.0.1

Switch(config)#enable password aaa

Switch(config)#line vty 0 ?

Switch(config)#line vty 0 15

Switch(config-line)#password aaa

Switch(config-line)#login

优化生成树

当网络中的交换机数量增加或链路有变化时，所有交换机上重新进行生成树操作来确定阻断端口和转发端口。在完成重新计算之前，交换机不能转发任何数据。完成计算之后，才能转发数据，这个过程需要的时间就是生成树的收敛时间。在交换机端口上，生成树拓扑从阻塞到转发的典型收敛时间为50秒。也就是说网络拓扑有变化，网络会中断50秒。通过将汇

聚层或核心层交换机设置为根网桥，可以使生成树收敛得又快又好。

配置PortFast连接计算机和服务器的端口可以配置成portFast端口，立即进入转发状态，而避免监听状态和学习状态

在连接计算机的接口上配置PortFast copy running-config startup-config

练习：启用Portfast

Switch(config)#interfacefastEthernet 0/1

Switch(config-if-range)#spanning-tree portfast

虚拟局域网VLAN

查看VLAN命令

Switch#showvlan

创建VLAN

Switch#config t

Switch(config)#vlan 2

Switch(config-vlan)#ex

Switch(config)#interface range fastEthernet 0/11 - 24

Switch(config-if-range)#switchport access vlan 2

Switch(config)#interface vlan 1

Switch(config-if)#ip address 192.168.0.100 255.255.255.0

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#ip default-gateway 192.168.0.1

Switch(config)#enable password aaa

Switch(config)#line vty 0 ?

Switch(config)#line vty 0 15

Switch(config-line)#password aaa

Switch(config-line)#login

配置跨交换机VLAN

Switch#config t

Switch(config)#vlan 2

Switch(config-vlan)#exit

Switch(config)#interface rang fastEthernet 0/13 - 24

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 2

Switch(config-if-range)#exit

Switch(config)#interface gigabitEthernet 1/1

Switch(config-if)#switchport mode trunk

Switch#configure t

Switch(config)#interface range gigabitEthernet 0/1 -2

Switch(config-if-range)#switchport trunk encapsulation dot1q 封装格式

Switch(config-if-range)#switchport mode trunk

VLAN间路由

单臂路由器

Switch(config-if)#switchport mode trunk

Router(config)#interface gigabitEthernet 6/0

Router(config-if)#no sh

Router(config)#interface gigabitEthernet 6/0.1

Router(config-subif)#encapsulation dot1Q 1

Router(config-subif)#ip address 192.168.0.1 255.255.255.0

带路由模块的交换机实现VLAN间路由

VTP实现VLAN的添加删除在一个交换机上统一配置

Switch(config)#vtp domain todd

Switch(config)#vtp password aaa

Switch(config)#vtp mode client

三层交换解决了VLAN间路由速度问题

Switch(config)#spanning-tree portfast

第8章网络安全

1. 数据存储安全NTFS权限

2. 操作系统安全系统安全策略

3. 数据传输安全IPSec 加密通信

4. 应用程序安全开发人员开发安全代码

5. 用户使用安全培训

标准访问控制列表

基于源IP地址过滤数据包

扩展访问控制列表

基于源IP地址目标IP地址协议（TCP UDP IP（TCP UDP ICMP）ICMP）目标端口来控制

定义标准ACL

Router#config t

Router(config)#access-list 10 deny host 192.168.2.2

Router(config)#access-list 10 permit 192.168.2.0 0.0.0.255

ACL 默认隐含拒绝所有

查看ACL

Router#showip access-lists

将ACL绑定到接口

Router#config t

Router(config)#interface serial 3/0

Router(config-if)#ip access-group 10 out

删除ACL

Router(config)#no access-list 10

ACL项从上到下依次检查，添加ACL时应该将具体IP地址或较为具体的网段放到ACL上面

调整ACL顺序，删除ACL，再创建

将ACL在记事本中编辑好，粘贴到CLI

access-list 10 deny host 192.168.2.2

access-list 10 permit 192.168.2.0 0.0.0.255

先写拒绝的项，其余都允许

access-list 10 deny host 192.168.2.2

access-list 10 permit 192.168.2.0 0.0.0.255

access-list 10 permit any 最后写

ACL等价的写法

access-list 10 deny host 192.168.2.2 ==

access-list 10 deny 192.168.2.2 0.0.0.0

access-list 10 permit any ==

access-list 10 permit 0.0.0.0 255.255.255.255

定义扩展ACL

Router(config)#access-list 110 permit tcp 192.168.2.0 0.0.0.255 host 10.0.0.2 eq 80

Router(config)#interface serial 3/0

Router(config-if)#ip access-group 110 out

Router(config)#access-list 110 permit icmp 192.168.2.0 0.0.0.255 any

Router(config)#access-list 110 permit ip 192.168.0.0 0.0.0.255 any

将ACL绑定到路由器telnet接口

Router(config-line)#access-class 11 in

访问控制列表位置

标准的ACL放到距离目标网络近的路由器上

扩展的ACL放到距离源地址较近的路由器上

iP地址欺骗对策

决不允许任何源地址是内部主机地址或网络地址的数据包进入一个私有的网络

RB（config）#access-list 150 deny ip 127.0.0.0 0.255.255.255 any log RB（config）#access-list 150 deny ip 0.0.0.0 255.255.255.255 any log RB（config）#access-list 150 deny ip 10.0.0.0 0.255.255.255 any log RB（config）#access-list 150 deny ip 172.16.0.0 0.15.255.255 any log RB（config）#access-list 150 deny ip 192.168.0.0 0.0.255.255 any log RB（config）#access-list 150 deny ip 224.0.0.0 15.255.255.255 any log RB（config）#access-list 150 deny ip host 255.255.255.255 any log

RB（config）#access-list 150 permit ip any any

RB（config）#interface Serial 2/0

RB（config-if）#ip access-group 150 in

后面log的作用是：当数据包应用该策略被拒绝时将会在控制台显示。

这个访问控制列表拒绝任何来自以下源地址的数据包：

?任何本地主机地址（127.0.0.0/8）；

?任何保留的私有地址；

?任何组播IP地址（224.0.0.0/4）。

ACL保护路由器安全

Router(config)#line vty 0 15

Router(config-line)#access-class 10 in

第9章网络地址转换NAT和端口映射PAT

NAT带来的好处

安全

单项通信

增加网段不用增加路由表

缺点

消耗性能

显示NAT的转换关系

CPE#show ip nat translations

在路由器上显示NAT信息

CPE#debug ip nat

显示数据包转发信息

ISP#debug ip packet

静态NAT

CPE#config t

CPE（config）#ip NAT inside source static 10.0.0.2 131.107.0.2

CPE（config）#ip NAT inside source static 10.0.0.3 131.107.0.3

CPE（config）#ip NAT inside source static 10.0.0.4 131.107.0.4

CPE（config）#ip NAT inside source static 10.0.0.5 131.107.0.5

CPE（config）#ip NAT inside source static 10.0.0.6 131.107.0.6

CPE（config）#interface fastEthernet 0/1

CPE（config-if）#ip NAT inside --指定该接口为NAT的内网接口

CPE（config-if）#ex

CPE（config）#interface Serial 0/0

CPE（config-if）#ip NAT outside --指定

动态NAT和PAT

CPE#config t

CPE(config)#access-list 10 permit 10.0.0.0 0.0.0.255

CPE(config)#ip nat pool todd 131.107.0.1 131.107.0.1 netmask 255.255.255.0 --前后两个地址一样，因为就一个公网地址

CPE(config)#ip nat inside source list 10 pool todd overload --overload参数将会启用PAT CPE(config)#interface serial 0/0

CPE(config-if)#ip nat outside --指定NAT的外网接口

CPE(config-if)#ex

CPE(config)#interface fastEthernet 0/1

CPE(config-if)#ip nat inside --指定NAT的内网接口

端口映射

CPE>en

CPE#config t

CPE(config)#ip nat inside source static tcp 10.0.0.5 80 131.107.0.1 80

CPE(config)#ip nat inside source static tcp 10.0.0.6 80 131.107.0.1 81

CPE(config)#ip nat inside source static tcp 10.0.0.4 25 131.107.0.1 25

CPE(config)#ip nat inside source static tcp 10.0.0.4 110 131.107.0.1 110

CPE(config)#interface fastEthernet 0/1

CPE(config-if)#ip nat inside

CPE(config-if)#ex

CPE(config)#interface serial 0/0

CPE(config-if)#ip nat outside

Windows实现的NAT和端口映射

Windows连接共享实现的端口映射

路由猫实现的端口映射

安全内网受保护

访问内网必须配置端口映射

路由环境中IP地址自动分配方法

Router(config-if)#ip helper-address 192.168.0.199

第10章Ipv6

IPv6地址语法：

IPv4地址表示为点分十进制格式，32位的地址分成4个8位分组，每个8位写成十进制，中间用点号分隔。

IPv6地址表示为冒号分十六进制格式，128位地址以16位为一分组，每个16位分组写成4个十六进制数，中间用冒号分隔。

下面试举一例，先看一个以二进制形式表示的IPv6地址：

0010000111011010000000001101001100000000000000000010111100111011

0000001010101010000000001111111111111110001010001001110001011010

该128位地址以16位为一分组可表示为：

0010000111011010 0000000011010011 0000000000000000 0010111100111011

思科中小企业网络安全解决方案

思科中小企业网络安全解决方案

思科中小企业网络安全解决方案 供应商：思科系统网络技术有限公司发布时间：2006-05-11 10:39:58 “为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏”。 ----国际标准化组织（ISO） 从“信息化高速公路”到“数字地球”，信息化浪潮席卷全球。Internet的迅猛发展不仅带动了信息产业和国民经济地快速增长，也为企业的发展带来了勃勃生机。 以Internet 为代表的信息技术的发展不仅直接牵动了企业科技的创新和生产力的提高，也逐渐成为提高企业竞争力的重要力量。 企业通过Internet 可以把遍布世界各地的资源互联互享，但因为其开放性，在Internet 上传输的信息在安全性上不可避免地会面临很多危险。当越来越多的企业把自己的商务活动放到网络上后，针对网络系统的各种非法入侵、病毒等活动也随之增多。 而我们面临的这些信息安全问题的解决，主要还是依赖于现代信息理论与技术手段；依赖于安全体系结构和网络安全通信协议等技术；依赖借助于此产生

的各种硬件的或软件的安全产品。这样，这些安全产品就成为大家解决安全问题的现实选择。 中国网络安全需求分析 网络现状分析 中国国内企业和政府机构都希望能具有竞争力并提高生产效率，这就必须对市场需求作出及时有力的响应，从而引发了依赖互联网来获取、共享信息的趋势，这样才能进一步提高生产效率进而推动未来增长。 然而，有网络的地方就有安全的问题。过去的网络大多是封闭式的，因而比较容易确保其安全性，简单的安全性设备就足以承担其任务。然而，当今的网络已经发生了变化，确保网络的安全性和可用性已经成为更加复杂而且必需的任务。用户每一次连接到网络上，原有的安全状况就会发生变化。所以，很多企业频繁地成为网络犯罪的牺牲品。因为当今网络业务的复杂性，依靠早期的简单安全设备已经对这些安全问题无能为力了。 主要网络安全问题及其危害---- 网络网络攻击在迅速地增多。 网络攻击通常利用网络某些内在特点，进行非授权的访问、窃取密码、拒绝服务等等。 考虑到业务的损失和生产效率的下降，以及排除

思科自防御网络安全方案典型配置

思科自防御网络安全方案典型配置 1. 用户需求分析 客户规模： ?客户有一个总部，具有一定规模的园区网络； ?一个分支机构，约有20－50名员工； ?用户有很多移动办公用户 客户需求： ?组建安全可靠的总部和分支LAN和WAN； ?总部和分支的终端需要提供安全防护，并实现网络准入控制，未来实现对VPN用户的网络准入检查； ?需要提供IPSEC/SSLVPN接入； ?在内部各主要部门间，及内外网络间进行安全区域划分，保护企业业务系统； ?配置入侵检测系统，检测基于网络的攻击事件，并且协调设备进行联动； ?网络整体必须具备自防御特性，实现设备横向联动抵御混合式攻击； ?图形化网络安全管理系统，方便快捷地控制全网安全设备，进行事件分析，结合拓扑发现攻击，拦截和阻断攻击； ?整体方案要便于升级，利于投资保护； 思科建议方案： ?部署边界安全：思科IOS 路由器及ASA防火墙，集成SSL/IPSec VPN； ?安全域划分：思科FWSM防火墙模块与交换机VRF及VLAN特性配合，完整实现安全域划分和实现业务系统之间的可控互访； ?部署终端安全：思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成； ?安全检测：思科IPS42XX、IDSM、ASA AIP模块，IOS IPS均可以实现安全检测并且与网络设备进行联动； ?安全认证及授权：部署思科ACS 4.0认证服务器； ?安全管理：思科安全管理系统MARS，配合安全配置管理系统CSM使用。

2. 思科建议方案设计图 点击放大 3. 思科建议方案总体配置概述 ?安全和智能的总部与分支网络 o LAN：总部，核心层思科Cat6500；分布层Cat4500；接入层Cat3560和CE500交换机，提供公司总部园区网络用户的接入；分支可以采用思科ASA5505 防火墙内嵌的 8FE接口连接用户，同时其头两个LAN端口支持POE以太网供电，可以连接AP及IP 电话等设备使用，并且ASA5505留有扩展槽为便于以后对于业务模块的支持。 o WAN：总部ISR3845 路由器，分支ISR2811或者ASA防火墙，实现总部和分支之间安全可靠地互联，可以采用专线，也可以经由因特网，采用VPN实现；并且为远程办公 用户提供IPSEC/SSL VPN的接入。 ?总部和分支自防御网络部署说明 o总部和分支路由器或者ASA防火墙，IPS，及IPSec VPN和WEB VPN功能，实现安全的网络访问和应用传输，以及高级的应用控制；另外，可利用思科Auto-Secure功能 快速部署基本的安全功能。 o安全域划分：实现行业用户内部业务系统逻辑隔离，并且保证在策略允许的情况下实现可控的互访，可以利用思科FWSM防火墙模块与C6K交换机完美集成，并且思科交换 机VRF特性相结合，二层VLAN隔离，三层VRF隔离，最终利用VRF终结业务对应不 同的虚拟防火墙，并且配置各个业务网段专用虚拟防火墙实现不同安全区域业务之间的 可控互访。 o终端安全：终端安全＝NAC+CSA，利用思科NAC APPLINACE 解决方案通过配置CAM/CAS两台设备实现思科NAC解决方案保证对于网络内主机的入网健康检查，利用 思科CSA软件对于用户服务器及客户机进行安全加固、病毒零天保护、限制非法应用 （P2P)、限制U盘使用等操作，并且两套解决方案可以实现完美结合，并且CSA和与 MARS以及IPS进行横向联动，自动拦截攻击。 o安全检测：思科IPS42XX、IDSM、ASA AIP模块均可以实现安全检测并与网络设备进行联动，思科安全IPS设备支持并联和串连模式，旁路配置时可以监控各个安全域划分 区域内部业务，识别安全风险，与MARS联动，也可以与思科网络设备防火墙、C6K交

思科实验报告

网络应用基础课程实验报告 院系：________________________ 专业：_____ _________ 班级：__ ____________________指导老师：___________________________学号：_______________________姓名：________________________

目录 实验一Google地球和维基 ............ 错误!未定义书签。实验二AC网站注册 ....................... 错误!未定义书签。实验三网线制作 ............................ 错误!未定义书签。实验四Ad-Hoc点对点无线局域网方案错误!未定义书签。 实验五基本结构型无线局域网方案错误!未定义书签。实验六交换机的基本配置............. 错误!未定义书签。

实验一Google地球和维基 一、实验目的 1．了解Google地球的使用方法； 2．了解维基。 二、实验设备 1．PC机（要求内存128M及以上，带RJ-45接口的独立网卡，预装Win2000或Win XP系统）； 2．HUB（集线器）或交换机1台； 3．制作完成的直通双绞线若干； 4．机房的电脑能上网。 三、实验内容 1．下载Google地球，安装并使用； 2．使用百度百科，了解维基等概念。 四、实验步骤 1 打开IE浏览器在百度中输入Google Earch 2 查找Google地球的界面并下载软件 3 下载完后进行安装 4 打开Google地球进行相关的操作，例如查找武汉长江职业学院。 在搜索界面输入武汉长江职业学院然后点击搜索，完成。 二 1 打开百度浏览器输入维基概念进行搜索 维基的概念是一个自由免费，内容开放的百科全书协作计划，参与者来自世界各地，这个站点使用wiki。这意味着任何人都可以编辑维基百科中的任何文章及条目。博客是由个人创建，而维基网页时有一群分享信息飞人一起创建，编辑的。

思科网络研究设计实训报告

《网络设计》实训报告 课题名称：网络设计 专业：计算机网络技术 班级：网络G092 学号： 27# 姓名： 指导教师： 2010年12月27日

目录《网络设计》实训报告0 一、课程设计目的2 二、课程设计题目描述2 三、课程设计报告内容3 3.1 设计任务3 3.2 设计要求及设计步骤3 3.3 设计概述4 3.4设计方案的论证16 3.5 设计代码18 四、结论25 五、结束语25 六、参考书目26

一、课程设计目的 课程设计是教学的一个重要环节，本次课程设计的主要目的： 1．进一步加深、巩固学生对所学网络的基础知识的掌握，对《思科网络技术》的基本概念的了解。 2．通过实训，达到让学生能够将书本的知识与实际操作相结合的目的，提理论的实践应用能力、提高高动手能力。 在设计的过程中，对于出现的新问题，有新的思路，能够使用更适合的方法处理，并且是自己自学能力和一学期学习效果的检验。 二、课程设计题目描述 2.1现有需求 某高校现有两个地理位置分离的分校区，每个校区入网信息点有2000多个，现准备通过科教网接入因特网，但从科教网只申请到4个B网络 （172.17.1.0\172.17.10.0\172.17.20.0\172.17.30.0）为了安全，要求每个分校区的学生公寓子网和教师子网不在同一广播域。同时，学校现有一台服务器供学校师生链接校园网站服务。 2.2未来发展 未来的3-5年，校园电脑会增加500台左右，主要增加在科研网，用于学校对学生的科研教育用。 2.3网络功能 根据学校现有的规模和需求及发展范围建立的网络有如下功能; 1)建立学校自己的网站，向外界发布信息，并进行网络上的服务 2)科教网连接Internet，供学生及教师的学习需求 3)校园内部网络实现资源共享，以提高工作效率 4)建立网络时应注意网络的扩展性，以方便日后的网络升级和增加计算机 5)在校园内部建立学生数据库，如学生档案，成绩评定，学习及考试日程

2019年思科网络安全期末考试答案

网络安全不断努力保护连接互联网的网络系统以及与系统相关的所有数据免受未经授权的使用或免受损害。 此试题参考以下领域的内容： Introduction to Cybersecurity 1.1.1 个人数据简介 数据完整性的目标包括数据在传输期间保持不变以及不会被未经授权的实体更改。身份验证和加密是确保机密性的方法。可用性的目标是确保数据始终可用。 考试结果 / 试题反馈报告 Introduction to Cybersecurity (版本 2) - 网络安全课后评估* 以下是针对您未获得满分的试题给出的反馈。 某些交互式试题可能不显示您的答案。 1 以下哪种说法正确描述了网络安全？ 正确 您的 响应 响应 它是一种安全策略开发框架。 它是基于标准的模型，用于开发防火墙技术以对抗网络犯罪分子。 它是一种面向最终用户的综合安全应用的名称，该应用用于保护工作站免遭攻击。 它不断努力保护连接互联网的系统以及与这些系统相关的数据免遭未经授权的使用或免遭损害。 2 确保数据完整性的两个目标是什么？（选择两项。） 正确 您的 响应 响应 数据随时可用。 数据在传输过程中保持不变。 对数据的访问需经过身份验证。 数据不被未经授权的实体更改。 数据在传输过程中和存储在磁盘上时经过加密。

机密性确保数据只能由已获得授权的人员访问。身份验证将有助于验证人员的身份。 此试题参考以下领域的内容： Introduction to Cybersecurity 1.2.1 组织数据简介 3 Web 服务器管理员正在配置访问设置，要求用户在访问某些网页之前先进行身份验证。通过该配置可以满足哪项信息安全要求？ 正确 您的 响应 响应 完 整 性 可扩展性 可用性 机密性 此试题参考以下领域的内容： Introduction to Cybersecurity 1.2.1 组织数据简介

思科ACS网络设备安全管理方案

思科ACS网络设备安全管理方案 一、网络设备安全管理需求概述 就北京中行网络布局来看，网络的基础设施现包含几百个网络设备。在网络上支撑的业务日益关键，对网络安全和可靠性要求更为严格。 可以预测的是，大型网络管理需要多种网络管理工具协调工作，不同的网络管理协议、工具和技术将各尽其力，同时发挥着应有的作用。比如：对于Telnet 网络管理手段。有些人可能会认为，今后这些传统的设备管理手段，会减少使用甚或完全消失。但实际上，Telnet命令行设备管理仍因其速度、强大功能、熟悉程度和方便性而广受欢迎。尽管其他网络设备管理方式中有先进之处，基于Telnet 的管理在未来依然会是一种常用管理方式。 随着BOC网络设备数量的增加，为维持网络运作所需的管理员数目也会随之增加。这些管理员隶属于不同级别的部门，系统管理员结构也比较复杂。网络管理部门现在开始了解，如果没有一个机制来建立整体网络管理系统，以控制哪些管理员能对哪些设备执行哪些命令，网络基础设施的安全性和可靠性问题是无法避免的。 二、设备安全管理解决之道 建立网络设备安全管理的首要出发点是定义和规划设备管理范围, 从这一点我门又可以发现，网络设备安全管理的重点是定义设备操作和管理权限。对于新增加的管理员，我们并不需要对个体用户进行权限分配，而是通过分配到相应的组中，继承用户组的权限定义。 通过上面的例子，我们可以发现网络安全管理的核心问题就是定义以下三个

概念：设备组、命令组和用户组。设备组规划了设备管理范围；命令组制定了操作权限；用户组定义了管理员集合。根据BOC的设备管理计划，将它们组合在一起，构成BOC所需要的设备安全管理结构。 安全设备管理包括身份验证Authentication、授权Authorization和记帐Accounting三个方面的内容。例如：管理员需要通过远程Login或是本地Login 到目标设备，能否进入到设备上，首先要通过严格的身份认证；通过身份验证的管理员能否执行相应的命令，要通过检查该管理员的操作权限；管理员在设备上的操作过程，可以通过记帐方式记录在案。 AAA的应用大大简化了大型网络复杂的安全管理问题，提高了设备集中控制强度。目前AAA在企业网络中越来越成为网络管理人员不可缺少的网络管理工具。 Cisco Secure ACS 3.1以后的版本提供的Shell壳式授权命令集提供的工具可使用思科设备支持的高效、熟悉的TCP/IP协议及实用程序，来构建可扩展的网络设备安全管理系统。 三、Cisco ACS帮助BOC实现设备安全管理 熟悉Cisco IOS的用户知道，在IOS软件中，定义了16个级别权限，即从0到15。在缺省配置下，初次连接到设备命令行后，用户的特权级别就设置为1。为改变缺省特权级别，您必须运行enable启用命令，提供用户的enable password 和请求的新特权级别。如果口令正确，即可授予新特权级别。请注意可能会针对

计算机网络实验报告

实验报告 实验课程：计算机网络原理 学生姓名：许伟伟 学号：5400209156 专业班级：物流091 2012年06月 01 日

目录 一、实验一网络操作系统的安装及配置………………………1-6 二、实验二以太网组网实验书…………………………………7-20 三、实验三域名服务器的配置书………………………………21-32 四、实验四FTP服务器安装……………………………………33-43 五、实验五WEB服务器安装应用………………………………44-48 六、实验六连接Internet及相关操作………………………49-53

南昌大学实验报告一 学生姓名：许伟伟学号：5400209156 专业班级：物流091 实验类型：□验证□综合□设计□创新实验日期：2012.4.19 实验成绩： 一、实验项目名称：对其它流行NOS的认识 二、实验目的： 1．进一步掌握网络操作系统的概念。 2．了解流行的NOS并对其进行比较。 3、选择适和自己的NOS使用。 三、实验基本原理 NOS：网络操作系统（NOS：Network Operating System） 网络操作系统（NOS）是一种包含将计算机和设备接入局域网或网联特殊功能的操作系统。较为普遍的DOS 和Windows 系统下的网络操作系统包括Novell Netware、Windows NT、Windows 2000、Sun Solaris 、Red Hat UnixWare 7.1.1、Linux 6.1和IBM OS/2。Cisco IOS （因特网操作系统）也是一种网络操作系统，它主要集中于英特网网络设备能力。几乎所有的思科网络设备如思科路由器、交换机等都安装了该系统。 四、主要仪器设备及耗材 PC机2台，HUB（集线器）1台，网线测试器1台，网卡（RJ-45接口）2块。 五、实验步骤 1、接入Internet；在搜索引擎中搜索相关网站、信息。

网络实验报告总结.doc

实验 1 PacketTrace基本使用 一、实验目的 掌握 Cisco Packet Tracer软件的使用方法。 二、实验任务 在 Cisco Packet Tracer中用HUB组建局域网，利用PING命令检测机器的互通性。 三、实验设备 集线器（ HUB）一台，工作站PC三台，直连电缆三条。 四、实验环境 实验环境如图1-1 所示。 图 1-1交换机基本配置实验环境 五、实验步骤 （一）安装模拟器 1、运行“ PacketTracer53_setup”文件，并按如下图所示完成安装； 点“ Next ”

选择“ I accept the agreement”后，点“ next”不用更改安装目录，直接点“ next ” 点“ next ”

点“ next ” 点“ install”

正在安装 点“ Finish ”，安装完成。 2、进入页面。 （二）使用模拟器 1、运行Cisco Packet Tracer 软件，在逻辑工作区放入一台集线器和三台终端设备PC，用 直连线按下图将HUB 和PC工作站连接起 来， HUB端 接 Port 口， PC端分别接以太网口。

2、分别点击各工作站PC，进入其配置窗口，选择桌面项，选择运行IP 地址配置（IP Configuration ），设置IP 地址和子网掩码分别为PC0：1.1.1.1 ，255.255.255.0 ；PC1：1.1.1.2 ，255.255.255.0 ； PC2： 1.1.1.3 ， 255.255.255.0 。 3、点击 Cisco Packet Tracer软件右下方的仿真模式按钮，如图1-2所示。将Cisco Packet Tracer的工作状态由实时模式转换为仿真模式。 图1-2 按Simulation Mode 按钮 4、点击PC0进入配置窗口，选择桌面Desktop 项，选择运行命令提示符Command Prompt，如图1-3 所示。 图5、在上述DOS命令行窗口中，输入(Simulation Panel)中点击自动捕获1-3进入PC配置窗口 Ping 1.1.1.3命令，回车运行。然后在仿真面板 / 播放（ Auto Capture/Play）按钮，如图1-4 所示。 图 1-4 点击自动抓取 /运行按钮 6、观察数据包发送的演示过程，对应地在仿真面板的事件列表（ 的类型。如图1-5 和图 1-6 所示。 Event List ）中观察数据包

网络设计与实现实验报告

网络设计与实现 实验报告 学院： 班级： 姓名： 学号： 指导老师： 2013.6.30

Packet Tracer 是由Cisco公司发布的一个辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络障碍提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力。 线路测试与数据包的抓取：

操作：在模拟模式下，右击Auto Capture/Play，线路会自动进行包的抓取以测试线路的好坏，如果包发送成功则会在接受到的包上打钩，否则打叉。 数据包的分析： 在模拟模式下，右边对话框图的最上方有个Event List表示刚刚检测线路发生的一些事件，该对话框直观地显示当前捕获到的数据包的详细信息，包括持续时间、源设备、目的设备、协议类型和协议的详细信息，在事件清单的Info下左击相应颜色块即可显示详细的有关数据包的分析： 第五章实例 更改hostname 配置FastEthernet0/0端口

配置Serial2/0端口 配置默认路由，将路由地址、网关和下一跳地址输入然后单击add

也可以在cli窗口下键入命令来进行上述的配置 Enable 进入特权模式 Config t 进入全局配置模式 Interface 进入接口配置模式 组网实验1： 实验设备与材料，两台路由器，两台以太网交换机，四台PC（均能运行超级终端）一根串行电缆，四根Console线，七根以太网线 网络拓扑结构如图：

Pc1 ip 地址150.1.1.3 255.255.0.0 Pc2 ip 地址150.1.1.2 255.255.0.0 Pc3 ip 地址152.1.1.3 255.255.0.0 Pc4 ip 地址152.1.1.2 255.255.0.0 两台交换机不用配置 Router A 配置fastethernet0/0 ip 地址150.1.1.1 255.255.0.0 Serial2/0 ip 地址191.1.1.1 255.255.0.0 Static静态路由0.0.0.0/0 via 191.1.1.2 Clock rate 64000 Router B 配置fastethernet0/0 ip 地址152.1.1.1 255.255.0.0 Serial2/0 ip 地址191.1.1.2 255.255.0.0 Static静态路由150.1.1.0、24 via 191.1.1.1 从pc1上的run窗口ping pc4的地址152.1.1.2可以ping通，说明组网成功

思科网络实验报告2静态路由的配置

集美大学 计算机工程学院 实验报告 实验名称基本静态路由配置 课程名称计算机网络 班级 日期— 成绩_________________ 一、实验目的 1、为接口分配适当的地址，并进行记录。 2、根据拓扑图进行网络布线。 3、清除启动配置并将路由器重新加载为默认状态。 4、在路由器上执行基本配置任务。 5、配置并激活串行接口和以太网接口。 6、确定适当的静态路由、总结路由和默认路由。 二、实验场景 对一个网络地址进行子网划分以便完成拓扑结构图所示的网络编址。连接到ISP路由器的LAN编址和HQ与ISP路由器之间的链路已经完成。但还需要配置静态路由以便非直连网络中的主机能够彼此通信。 实际拓扑图： 192.163.2. E伽

三、实验器材 (1 )直通以太网电缆 3 条 (2 )交叉以太网电缆 1 条 (3)PC机 3 台 (4)路由器 3 台 (5)交换器 2 台 四、实验内容 任务1 :对地址空间划分子网 步骤1 :研究网络要求。 在网络设计中，使用192.16820/24 地址空间。对该网络进行子网划分，以提供足够的IP地址来支持60台主机。 步骤2 :创建网络设计时思考以下问题： 需要将192.168.2.0/24 网络划分为多少个子网？_4个___ 这些子网的网络地址分别是什么？ 子网0: _192.168.2. 0/26 ___________________________ 子网 1 : _192.168.2.64/26 __________________________ 子网2: _192.168.2.128/26 _________________________ 子网3: _192.168.2.192/26 _________________________ 这些网络以点分十进制格式表示的子网掩码是什么？ 255.255.255.192 以斜杠格式表示的网络子网掩码是什么？_/26 ___ 每个子网可支持多少台主机？_62 ______ 步骤3 :为拓扑图分配子网地址。 1. 将子网1分配给连接到HQ的LAN。 2. 将子网2分配给HQ和BRANCH 之间的WAN链路。 3. 将子网3分配给连接到BRANCH的LAN。 4. 子网0用于供将来扩展。

cisco网络安全答案1

1.What is a ping sweep? A ping sweep is a network scanning technique that indicates the live hosts in a range of IP addresses. A ping sweep is a software application that enables the capture of all network packets sent across a LAN. A ping sweep is a scanning technique that examines a range of TCP or UDP port numbers on a host to detect listening ser A ping sweep is a query and response protocol that identifies information about a domain, including the addresses assigne domain. Observable Description Max Value Earned Value 1 correctness of response 2 points for Option 1 0 points for any other option 2 2 2 Which access attack method involves a software program attempting to discover a system password by using an electronic dict buffer overflow attack port redirection attack Denial of Service attack brute-force attack IP spoofing attack packet sniffer attack Observable Description Max Value Earned Value 1 correctness of response 2 points for Option 4 0 points for any other option 2 0 3 How is a Smurf attack conducted?

网络互连实验报告(思科模拟器)

《网络互联设计课程实验报告》 16 / 17 学年第二学期 姓名：_ 学号：_ 班级： 指导教师： 计算机科学与工程学院 2017

【实验目的】 熟练应用所学知识来实现三种状态：全网连通状态、远程登录状态和流量控制状态。 【背景描述】 某校园网中，接入层设备采用二层交换机，汇聚层设备采用三层交换机，在 接入交换机上划分了办公子网 VLAN20 和学生子网 VLAN30，在汇聚交换机上划分了服务器子网 VLAN10，为了保证网络的稳定性，接入层和汇聚层通过两条链路相连。汇聚层交换机与 RouterA 相连，RouterA 与 RouterB 相连， RouterB 连接到 ISP，通过 ISP 连接到 Internet，另外在 RouterB 上连有一台 主机 PC4，禁止 VLAN30 网段的主机访问 PC4，其他通过路由协议，实现全网 互通。另外，为了网管人员管理设备方便，要求在任意主机上都能远程登录任意一台交换机或路由器。 【实验器材】 1）思科模拟器 【实验过程】 A：实现全网连通状态

二层交换机的配置 spanning-tree mode pvst 生成树协议 interface FastEthernet0/1 0/1接口划分到vlan20 switchport access vlan 20 interface FastEthernet0/2 0/2接口划分到vlan30 switchport access vlan 30 ! interface FastEthernet0/3 0/3接口和0/4接口开启trunk switchport mode trunk模式作为冗余接口 interface FastEthernet0/4 switchport mode trunk 三层交换机的配置 ip routing 开启路由功能 ! spanning-tree mode pvst 生成树协议 interface FastEthernet0/1 0/1接口划分到vlan10 switchport access vlan 10 ! interface FastEthernet0/2 0/2 0/3 0/4接口开启trunk switchport mode trunk模式 ! interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk ! interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk ! interface Vlan10 为三个vlan分配IP地址（不ip address 192.168.1.190 255.255.255.192同网段） !

正确配置思科路由器口令从而保障网络安全

正确配置思科路由器口令从而保障网络安全.txt始终相信，这世间，相爱的原因有很多，但分开的理由只有一个--爱的还不够。人生有四个存折：健康情感事业和金钱。如果健康消失了，其他的存折都会过期。正确配置思科路由器口令从而保障网络安全 网络的安全管理涉及到许多方面，但纵观许多安全事件，可以得到一个基本的结论，危害都是由于忽视了基本的安全措施而造成的。本文将讨论维护思科路由器口令安全的重要性，解释思科路由器IOS的三种模式，并向读者展示如何配置五大口令保护网络安全。 借助口令保障路由器安全的原因 首先，作为思科设备的管理员，我们必须认识到，路由器并不存在什么自动化的口令防御。管理员必须认真对待思科设备的口令设置问题。 思科设备运行的灵魂是IOS，它有不同的模式。这些模式是分等级设置的，这意味着访问的越深入，所要求的特权就越多，为每一相应层次设置的口令就越多。 思科IOS的三大模式 用户模式 在用户模式中，显示的是路由器的基本接口信息。有人认为这种模式根本就没有用，因为这种模式中无法作出配置改变，用户也无法查看任何重要的信息。 特权模式 管理员可以在这种模式中查看和改变配置。笔者以为，在这个级别上，拥有一套口令集是绝对重要的。要从用户模式切换到特权模式，管理员需要键入enabel命令，并按下回车键： Router> enable Router# 全局配置模式 从特权模式下，我们现在可以访问全局配置模式。这里，我们可以作出改变影响整个路由器的运行，这些改变当然包括配置上的改变。作为管理员，我们需要更进一步，深入到路由器的命令中，对其配置作出合理的改变。 下面给出的是一个访问这种模式的例子： Router# configure terminal Router(config)# 正确配置五大口令 首先，要知道思科的IOS拥有五大口令，分别是控制台口令、AUX口令、VTY口令、Enable

网络工程师思科实训报告

网络工程师思科实训报告 我于年月日受系部委派参加了为期五天的上海xxXX年度络工程师职业体验竞赛学习。此次活动的地点位于xx（上海、昆山、嘉兴）实训基地的江苏xx市，该实训基地由政府和xx共同投资和政府补贴。下面我谈一下参加此次学习过程的几点心得。 ●一、大赛目的 此次竞赛由上海xx计算机科技举办，体验过程分为两个部络职业体验竞赛和赛前免费培训。举办该活动的目的是以提升大学生职业能力为目标，旨在通过优化整合中外优质教育培训资源，把高新技术培训和职业资格认证相结合，探索培训教育的有效途径，培养符合行业发展和企业需要的人才，促进大学生就业和创业。 xx为中国十大品牌it教育机构和中国it职业行业最具影响力的十大品牌，拥有一流的实训基地、配备超大机房、一流的师资水平的高品质就业技能培训。在整个活动中，这一点是得到了充分的肯定的。xx对此次体验赛给予了高度的重视，提供了最好的服务环境和教学师资，使此次体验变得尤为可贵。 ●二、学习过程 此次活动中前四天为免费实训阶段，最后一天为竞赛单元。主要学习了络技术(level 1)、络技术(level 1络系统集成项目(level 1)等内容。整个过程学习强度比较大，内容比较多，属于高度浓缩的精华，通过理论和实验的方式，反复实践，辅导，使参加者不但了解了原理、思路，更让我们实践操作，强化学习。应该说，这是一套比较合理的培训模式。在硬件上，xx的超大机房，为每个参加

者配备了两个路由器，和实验操作电脑。解决理论和实践脱节的问题。在师资上，xx提供的都是该行业权威的专业人才，此次为我们上课的张硕淳老师是中国声誉最高的大师级认证：rhca的13个成员之一，此外，他还同时拥有四个ie。能让他为我们上课，是一件非常荣幸的事情。在整个上课过程中，思维敏锐，节奏轻快，娓娓道来，让人觉得有点神通的感觉。 三、体会心得 此次活动对我来说，一定是受益匪浅的。 1、xx应该是一个可以让你真正学到东西的地方。xx作为一个高品质的就业培训基地，他打破大学中传统的单一的教学方式。其完善的教学模式，让人循序渐进，一点一滴的构建出自己的知识堡垒。为自己学到一门就业技能提供了一个最好的方式。 2、 xx还可以让人认识到自己的不足，并制定出正确的就业方向。如何才能在严峻的就业压力下存活，靠的就就是自己的特长，专学。如果知识在大学的泛泛而学，出去是没有一点竞争力的。不知道自己学过什么，当然就对找任何工作都是没有信心的。 3、高强度的学习压力，让人提前感受工作环境的氛围。只有付出才能有回报，只有自己不断的付出，才能有自己的立锥之地。不能想学习是一件很安逸的事情，不伤点脑细胞的工作怎么能算高技术含量的工作呢？it行业一定是要你拥有一些别人所不能企及的就业能力的。这才是实力。

网络工程设计实验报告

网络工程设计报告 班级：通信1202 姓名：默成 学号：4

小型企业网设计 一.企业网络需求分析 为适应企业信息化的发展，满足日益增长的通信需求和网络的稳定运行，今天的企业网络建设比传统企业网络建设有更高的要求，主要表现在如下几个面。 带宽性能需求 现代企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP、视频会议等多媒体业务。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网的主流。从2004年全球交换机市场分析可以看到，增长最迅速的就是10 Gbps级别机箱式交换机，可见，万兆位的大规模应用已经真正开始。所以，今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标准，核心层及骨干层必须具有万兆位级带宽和处理性能，才能构筑一个畅通无阻的"高品质"企业网，从而适应网络规模扩大，业务量日益增长的需要。

稳定可靠需求 现代企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企业网络在可靠性设计面主要应从以下3个面考虑。 1、设备的可靠性设计：不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多面去考察。 2、业务的可靠性设计：网络设备在故障倒换过程中，是否对业务的正常运行有影响。 3、链路的可靠性设计：以太网的链路安全来自于多路径选择，所以在企业网络建设时，要考虑网络设备是否能够提供有效的链路自愈手段，以及快速重路由协议的支持。 应用服务需求 现代企业网络应具备更智能的网络管理解决案，以适应网络规模日益扩大，维护工作更加复杂的需要。当前的网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力的任务。所以现代的大型企业网络迫切需要网络设备具备支撑"以应用为中心"的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。

网络设备配置实验实验报告

、实验目的 1.理解理解Trunk链路的作用和VLAN勺工作原理 2.掌握交换机上创建VLAN接口分配 3 ?掌握利用三层交换机实现VLAr间的路由的方法。 二、实验环境 本实验在实验室环境下进行操作，需要的设备有：配置网卡的PCM若干台, 双绞线若干条，CONSO线缆若干条，思科交换机cisco 2960两台。 三、实验内容 1.单一交换机的VLAF配己置; 2.跨交换机VLANE置，设置Trunk端口; 3.测试VLAN分配结果; 4?在三层交换机上实现VLAN勺路由; 5.测试VLAr间的连通性 四、实验原理 1 .什么是VLAN VLAN是建立在局域网交换机上的，以软件方式实现逻辑工作组的划分与管理，逻辑工作组的站点不受物理位置的限制，当一个站点从一个逻辑工作组移到另一个逻辑工作组时，只需要通过软件设定，而不需要改变它在网络中的物理位置；当一个站点从一个物理位置移动到另一个物理位置时，只要将该计算机连入 另一台交换机，通过软件设定后该计算机可成为原工作组的一员。 相同VLAN内的主机可以相互直接通信，不同VLAN中的主机之间不能直接通信，需要借助于路由器或具有路由功能的第三层交换机进行转发。广播数据包只可以在本VLAN内进行广播，不能传输到其他VLAN中0 2.交换机的端口 以太网交换机的每个端口都可以分配给一个VLAN分配给同一个VLAN的端口共享广播域，即一个站点发送广播信息，同一VLAN中的所有站点都可以接收到。 交换机一般都有三种类型的端口: TRUN口、ACCES S CONSOL E。 CONSOL端口：它是专门用于对交换机进行配置和管理的。通过Console 端口 连接并配置交换机，是配置和管理交换机必须经过的步骤。 ACCES S （默认）：ACCES端口只能通过缺省VLAN ID的报文。 TRUNKS:为了让连接在不同交换机但属于同一VLAN的计算机之间能够相互通 信，必须把两个交换机相级联的那两个端口配置成TRUNI口工作

思科网络设备安全

本文档描述了如何增强网络中路由器的安全性，常见的使用方法和相应的配置命令和配置例子。 网络安全 关闭不必要的服务 关闭所有路由器或交换机上的不必要的服务，如Finger、Bootp、Http等； Command： Router(config)#no ip finger #关闭finger服务 Router(config)# no ip bootp server #关闭bootp服务 Router(config)# no ip http server #关闭http服务 Example： Router(config)#no ip finger Router(config)# no ip bootp server Router(config)# no ip http server 设置加密特权密码 使用加密的特权密码，注意密码的选择： 不要使用登录名，不管以何种形式（如原样或颠倒、大写和重复等）

不要用名字的第一个、中间一个或最后一个字（不管是现用名还是曾用名） 不要用最亲近的家人的名字（包括配偶、子女、父母和宠物） 不要用其他任何容易得到的关于你的信息 不要使用纯数字或完全同一个字母组成的口令 不要使用在英文字典中的单词 不要使用短于6位的口令 不要将口令告诉任何人 不要将口令电子邮件给任何人 如果可能，应该使用大小写混合的字母 使用包括非字母字符的口令 使用容易记的口令，这样就不必将它写下来 使用不用看键盘就可以很快键出的口令 Command： Router(config)#enable secret #设置加密的特权密码 Example： Router(config)#enable secret @$!ainf0: #设置加密的特权密码为@$!ainf0:

网络工程规划与设计 实训报告

原创性声明 本人郑重声明：所呈交的设计报告，是本人在导师的指导下，独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究作出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 作者签名： 日期：年月日

摘要 随着社会全面迈入信息时代，以计算机网络技术已经深入到经济生活的各个层面。各个公司，通过引入信息网络，共享信息，提高企业的竞争。本方案书主要是为了解决公司普遍遇到的划分网络，限制上网等问题，规划设计方法，网络性能以及应用分析。旨在为公司拓展网络规划，方便管理等方面提供参考。通过对公司原有网络的分析，通过对公司网络进行VLAN的划分，满足公司管理需求。而实现冗余，引入防火墙等安全设备，是为了实现公司网络安全，高效快速地访问网络的目的。 关键字：三层交换机路由器 VLAN 防火墙 ACL

目录 1 需求分析 (5) 2 总体设计 (6) 基本拓扑图 (6) 总体设计说明 (6) 3.详细设计与实现 (7) 网络规划设计 (7) 详细拓扑图 (7) 各系统详细设计 (7) 网络系统实现 (8) 内网各设备具体配置 (9) 外网各设备具体配置 (14) 安全各设备具体配置 (16) 4. 系统测试 (18) 内网部分测试 (18) 外网部分测试 (19) 安全部分测试 (19) 应用程序测试 (20) 5. 实训设计体会 (24) 6. 致谢 (25) 7.参考文献 (26) 教师评语及成绩评定表 (27)

1、需求分析 1）背景模块： 公司现有PC数量近500台，服务器的数量有近20台，新厂为增加网络的稳定性和易管理性，在原有的基础上采购了两台核心层交换机，10台连接不同楼层的楼间层交换机，28台同一楼层互联的的桌面型交换机，2台中级路由。 2）业务模块： 应用服务方面，包括Web服务，打印、文件共享服务，邮件收发服务，无线web服务，商品采购调度和财务管理，网络的管理，添置防火墙等安全设施 3）管理模块： 实现对公司内外网的网络流量控制管理，远程管理，带宽的优化以及多线路策略 5）安全模块： 1．内部网络使用vlan划分网段，使其便于管理和可隔离广播域，不同区域的用户设置不同的权限，防止网络窃听以及非授权的跨区域访问 2．使用防火墙分割内网和外网，禁止外网访问内部web服务器，以及商品信息数据库，内部网络办公区的用户需要经过与服务器来实现用户名认证，限制其上网权限。无线区的用户可以实现无限制的外网连接．但是限制其进行内网访问。 3、远程接入的用户使用vpn方式访问公司内部网络，并且限制远程用户可以访问的区域范围，并对其进行监控管理 4．保障网络服务器、交换设备、路由设备、工作站、连接器件、电源等硬件设备的性能和质量，并对至关重要的设备和器件（如电源）采用冗余设计 6）前景模块： 由于网络时代的发展迅猛，为了适应今后的需求，在拓扑结构里面留有待扩展的IP地址还有设备接入口，方便今后的网络结构扩充。 7) 应用模块： 该公司的主要应用系统为商品采购和管理系统，主要负责商品的调度，采购和统计功能。