网络安全基础知识pdownh

id地址就是一个唯一标识。是一段网络编码(二进制)由32位组成

IP地址形式：x.x.x.x 范围：0-255

局域网通信规则：在同一个局域网中所有的IP必须在同一网段中才可以互为通信。IP地址构成：网络位+主机位(网络位相同的IP地址，为同一网段)子网掩码如何确定网络位：与255对应的数字为网络位，与0对应的数字为主机位。

注意：一个IP地址必须配套一个子网掩码。总结：当主机位全部置0代表网段，主机位全部置255代表该网段的广播地址。

国际标准组织ISO定义地址分类：五大类（是以IP地址的第一位进行区分的）A类：1-126 默认子网掩码：255.0.0.0B类：128-191 默认子网掩码255.255.0.0C类：192-223 默认子网掩码：255.255.255.0D类：224-239 组播地址E类：240-254 科研使用

1、查看IP：

2、PING命令：

1.1、概述批处理(Batch)，也称为批处理脚本。顾名思义，批处理就是对某对象进行批量的处理，通常被认为是一种简化的脚本语言，它应用于DOS和Windows系统中。批处理文件的扩展名为bat 。目前比较常见的批处理包含两类：DOS批处理和PS批处理。PS批处理是基于强大的图片编辑软件Photoshop的，用来批量处理图片的脚本；而DOS批处理则是基于DOS命令的，用来自动地批量地执行DOS命令以实现特定操作的脚本。更复杂的情况，需要使用if、for、goto等命令控制程式的运行过程，如同C、Basic等高级语言一样。如果需要实现更复杂的应用，利用外部程式是必要的，这包括系统本身提供的外部命令和第三方提供的工具或者软件。批处理程序虽然是在命令行环境中运行，但不仅仅能使用命令行软件，任何当前系统下可运行的程序都可以放在批处理文件中运行。

1.2、批处理作用

1.3、如何创建批处理

注：修改扩展名时，需要将文件的扩展名显示出来后在进行修改！案例：新建一个记事本文件，然后将扩展名改为.bat 内容如下：d:cdcd tmpdel ./s/q

1.4、批处理基本语法@echo off

pause

案例：@echo offpause

color 0a

:menu

goto menu

ping 127.136.27.1 >null 2>null 无论能不能ping通都不打印

%input%

start

if "%input%"=="1" goto a

%userprofile%

netstat -an

1.1、Windows服务系统：

win2000 win2003 win2008 win2012

win2000主要版本:

Windows 2000共有四个主要版本：Professional（专业版）、Server（服务器版）、Advanced Server（高级服务器版）和Datacenter Server（数据库服务器中心版）。另有Powered（服务器嵌入版）等特殊版本。

win2000各版本介绍：

win2003主要版本：

Windows Server 2003 Web Edition Web版Windows Server 2003 Standard Edition 标准版Windows Server 2003 Enterprise Edition 企业版Windows Server 2003 Datacenter Edition 数据中心版

win2003个版本介绍：Windows Server 2003 Web版：

Windows Server 2003 标准版：

销售目标是中小型企业，支持文件和打印机共享，提供安全的Internet连接，允许集中的应用程序部署。支持4个处理器；最低支持256MB的内存，最高支持4GB的内存。

Windows Server 2003 企业版：

Windows Server 2003 企业版与 Windows Server 2003 标准版的主要区别在于：Windows Server 2003 企业版 支持高性能服务器，并且可以群集服务器，以便处理更大的负荷。通过这些功能实现了可靠性，有助于确保系统即使在出现问题时仍可用。

Windows Server 2003 数据中心版：

针对要求最高级别的可伸缩性、可用性和可靠性的大型企业或国家机构等而设计的。它是最强大的服务器操作系统。分为32位版与64位版：

标准32位版其安装文件的核心所在文件夹是i386可以安装在X86-64处理器中，而64位标准版安装文件的核心所在文件夹是ia64，与X64版的AMD64不同，这两种64位版互不兼容。

win2008主要版本：每个Windows Server 2008 R2版本都为给定的数据中心提供一个关键功能。七个版本中有三个是核心版本，还有四个是特定用途版本。

核心版本

标准版：对于大部分想要利用多个Windows Server 2008R2功能的数据中心来说，该版本应该是一个良好的基础操作系统。它专门设计用来提高服务器基础设施的可靠性和灵活性，同时帮助节省时间并减少成本。

企业版：该版本是标准版之上的一个版本。该操作系统平台为关键业务工作负载提供更具成本效益且可靠的支持。它还为虚拟化、节能和管理性提供创新功能，并且帮助移动的工作人员更容易地访问公司资源。

基础版：该版本是一个划算的入门级技术基础，面向小企业主和支持小型企业的IT人才。基础版价格实惠、容易部署并且可靠，它为企业提供可靠的技术来运行大部分流行的商务应用，同时还分享信息和资源。

特定用途版

数据中心版：这是一个专为在小型和大型服务器上部署关键业务应用和大型虚拟化设计的企业级平台。该版本想要提供一个可在其上建立企业级虚拟化和可扩展解决方案的基础。

Web版：Web Server 2008 R2是一个强劲的Web应用和服务平台。Web Server 2008 R2运用IIS7.5搭建，专门设计成面向互联网的服务器。当Web Server 2008 R2与多种普遍的开发平台一起使用时，它提供改良的管理和诊断工具来帮助降低基础设施成本。

HPC版：该版本为管理高性能计算能力提供全面且省钱的解决方案。HPC Server 2008R2是微软的第三代HPC解决方案，它易于与现有的IT基础设施集成，允许终端用户使用熟悉的Windows技术访问HPC资源。因为专用集群和平等开发工具的紧密结合设置锚定在VisualStudio 2010，开发者可以轻松且快速地搭建强劲且可扩展的应用。

安腾版：该版本为基于安腾的系统而生，它交付一个企业级平台用于部署关键业务应用。Windows Server 2008 R2、SQLServer 2008 R2和现有的开发者工具阵容，加上相关的.NET框架，将是每个产品线上支持英特尔安腾处理器和相关OEM服务器平台的最后一代。

Windows Server 2008 R2 有7个版本

这是微软第一个仅支持64位的操作系统。

微软称，从Windows Server 2008 R2开始，WindowsServer将不再推出32位系统版本。微软将只发布64位系统的Windows Server 2008 R2。

通过设置，Windows Server 2008 R2可以免费使用900天。所以网上没有关于它的软改方法。

win2012版本

Windows Server 2012有四个版本：Foundation(基础版)，Essentials(精简版)， Standard(标准版)和Datacenter(数据中心版)

1.2、Liunx服务系统

Liunx服务系统：Redhat Centos

Redhat

红帽的商业模式，简单的说就是红帽将开源社区项目产品化，使普通企业客户更容易消费开源创新技术的一种方法。 从用户角度来看，不同的投资预算与研发能力的企业都可以通过红帽获得开源软件的价值。

红帽产品涉及5大技术领域：云计算、存储、虚拟化、中间件、操作系统。

操作系统

（1）红帽企业Linux红帽在2014年6月发布了最新旗舰版企业操作系统——红帽企业Linux 7。基于红帽企业Linux 7操作系统，企业可整合裸机服务器、 虚拟机、基础设施即服务(IaaS)和平台即服务(PaaS)，以构建一个强大稳健的数据中心环境，满足不断变化的业务需求。

（2）红帽卫星红帽卫星是一个综合性解决方案，它通过配置软件分发、补丁和配置管理，以及物理、虚拟和云环境的订阅管理为红帽系统提供完整的生命周期管理，为管理构建、部署、运行和淘汰系统所需的工具提供了单独的管理控制台和方法论。

Centos

CentOS 是一个基于Red Hat Linux 提供的可自由使用源代码的企业级Linux发行版本。每个版本的 CentOS都会获得十年的支持（通过安全更新方式）。新版本的 CentOS 大约每两年发行一次，而每个版本的 CentOS 会定期（大概每六个月）更新一次，以便支持新的硬件。这样，建立一个安全、低维护、稳定、高预测性、高重复性的 Linux 环境。CentOS是Community Enterprise Operating System的缩写。

CentOS 是RHEL（Red Hat Enterprise Linux）源代码再编译的产物，而且在RHEL的基础上修正了不少已知的 Bug ，相对于其他 Linux 发行版，其稳定性值得信赖。

CentOS在2014初，宣布加入Red Hat。

CentOS 加入红帽后不变的是：1. CentOS 继续不收费2. 保持赞助内容驱动的网络中心不变3. Bug、Issue 和紧急事件处理策略不变4. Red Hat Enterprise Linux 和 CentOS 防火墙也依然存在变化的是：6. 我们是为红帽工作，不是为 RHEL7. 红帽提供构建系统和初始内容分发资源的赞助8. 一些开发的资源包括源码的获取将更加容易9. 避免了原来和红帽上一些法律的问题

版本列表：

1.1、用户概述

1.2 内置账户

administrator # 管理员账户guest # 来宾账户user # 普通用户

system # 系统账户 == 权限至高无上local services # 本地服务账户 == 权限等于普通用户network services # 网络服务账户 == 权限等于普通用户

1.3 配置文件

每个用户都有自己的配置文件（家目录）在用户第一次登录时自动产生，路径：win/win2008 C:\用户xp/win2003 C:\Documents and Settings\

1.4 用户管理命令

3.1 组概述组的作用：简化权限的赋予赋权限方式：

3.2 内置组

内置组的权限默认已经被系统赋予。

3.3 组管理命令

右键电脑-管理

Windows远程管理有两种类型：

xp配置（1）域配置

注意：系统默认我们在按5次shift后会去C:\windows\system32 下找sethc这个名字的程序然后运行

文件系统（存储文件的方式）即在外部存储设备上组织文件的方法。常见的文件系统：格式化 == 制作文件系统

1、提高磁盘读写性能2、可靠性，加密文件系统，访问控制列表-ACL（设置权限）3、磁盘利用率，压缩，磁盘配额（为不同的用户设置使用空间）4、支持单个文件大于4个G

同理子文件夹（密码）的权限继承了他的父级文件夹（最高机密）得权限

当用户同时属于多个组时权限是累加的

多方权限累加

相同的权限允许和拒绝发生碰撞拒绝最大

只有管理员组的用户可以操作

文件复制后，文件的权限会被目标文件的权限所覆盖（无论同分区还是跨分区）。跨分区移动文件权限会被覆盖，同分区移动文件权限会被保留。

注意：1）在本地登录时Z只受NTFS权限影响2）远程登陆时，将受共享和NTFS权限共同影响，且取交集3）所以建议设置共享权限Everyone为完全控制，具体权限在NTFS权限设置即可

添加共享名，并设置该文件夹共享给指定的用户a，赋予完全控制权限

自动分配IP地址

地址池/作用域：（IP、子网掩码、网关、DNS、租期）DHCP协议端口是 67/68

也称为DHCP租约过程，分为4步1、发送DHCP Discovery广播包

客户机广播请求IP地址（携带着自己的MAC地址一起发出）

2、响应DHCP Offer广播包

服务器响应提供的IP地址（但无子网掩码、DNS、网关等参数）

3、客户机发送DHCP Request广播包

客户机选择IP（确认用哪个服务器响应的IP）

4、发送DHCP ACK广播包

服务器确定租约，并提供网卡详细参数IP、子网掩码、网关、DNS、租期等

注意：如果有多台DHCP服务器，谁先响应就用谁。

当租期到50%后，客户机会再次发送DHCP Request广播包，进行续约，若服务器无响应，则继续使用并在87.5%再次请求，若仍然无响应就释放IP地址，重新发送DHCP Discovery广播包来获取IP地址。注：当无任何服务器响应时，给自己分配一个169.254.x.x/16 该地址只能在内网使用，无法访问外网。

分配IP一定要预留一部分IP，备用（添加服务器时用）

1）攻击DHCP服务器：

2）伪装DHCP服务器

域名系统（服务）协议 Domain Name Service

域名系统（服务）协议（DNS），主要用于域名与 IP 地址的相互转换。

大多数因特网服务依赖于 DNS 而工作，一旦 DNS 出错，就无法连接 Web 站点。

它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。

“主机名”.“域名"称为完全限定域名(FQDN)，一个域名下可以有多个主机，域名全球唯一，那么"主机名”."域名"也是全球唯一的。

注意：配置服务器前一定要配置静态IP

反向解析

1、dns缓存2、本地hosts文件3、本地dns服务器

1、dns高速缓存2、本地域名解析文件3、转发器4、根

HTTP协议端口号：80HTTPS协议端口号：443

1）微软：IIS（可以发布WEB网站和FTP站点）2）Liunx：Apache/LAMP/Tomcat/nginx3）第三方：phpstudy XAMPP

FTP（File Transfer Protocol，文件传输协议） 是 TCP/IP 协议组中的协议之一。FTP协议包括两个组成部分，其一为FTP服务器，其二为FTP客户端。其中FTP服务器用来存储文件，用户可以使用FTP客户端通过FTP协议访问位于FTP服务器上的资源。在开发网站的时候，通常利用FTP协议把网页或程序传到Web服务器上。此外，由于FTP传输效率非常高，在网络上传输大的文件时，一般也采用该协议。

默认情况下FTP协议使用TCP端口中的 20和21这两个端口，其中20用于传输数据，21用于传输控制信息。20端口：数据端口21端口：控制端口

主动模式和被动模式是站在服务器角度

服务器主动给客户机发送数据叫主动模式服务器被动接收客户机发送过来的数据叫被动模式

域（Domain）是计算机网络的一种形式，其中所有用户账户，计算机，打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。

域之间相互访问则需要建立信任关系。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理，以及相互通信和数据传输。

域既是 Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在 Windows 网络操作系统中，域是安全边界。

1）工作组：默认模式，人人平等，不方便管理2）域：人人不同等，集中管理里，统一管理

集中/统一管理

1）域控制器 DC（Domain Controller）2）成员机

1）安装域控制器 就生成了域环境2）安装了活动目录 就生成了域控制器3）活动目录 AD （Active Directory）

特点：1）AD2）集中管理/统一管理

组织单位(Organizational Unit)简称OU 是可以将用户、组、计算机和其它组织单位放入其中的AD(Active Directory，活动目录)容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。

通俗一点说，如果把AD比作一个公司的话，那么每个OU就是一个相对独立的部门。 创建组织单位OU的创建需要在DC(域控制器)中进行

作用：通过组策略可以修改计算机的各种属性，如开始菜单、桌面背景、网络参数等。组策略在域中，是基于OU来下发的组策略在域中下发后，用户的应用顺序是：LSDOU

注意：当上级强制和下级组织继承同时设置，强制生效；

将复杂的流程分解为几个功能相对单一的子过程

TCP/IP 5层协议簇/协议栈

帧头内容：目标mac 源mac 类型帧头中的类型作用：识别上层协议，为上层提供服务。mac地址：也叫物理地址，全求唯一！长度：48位，6字节

帧头： 6+6+2 = 12字节MTU值：1500字节帧尾： 4字节

工作在数据链路层的设备：交换机/网卡

交换机收到一个数据帧后：1、首先学习帧中的源MAC地址来形成MAC地址表2、然后检查帧中的目标MAC地址，并匹配MAC地址表，如表中有匹配项，则单播转发，如表中无匹配项，则除接收端口外广播转发。3、MAC地址表的老化时间默认是300秒（可修改）

交换机端口：

接口速率自适应：1000/100/10M自适应速率工作模式可以为10，100，1000任何一种状态端口状态：up down

down的3种可能：

pt软件安装包：

可以查看交换机的基本简单配置，且不能做任何修改配置！

可以查看所有配置！不能修改配置，但可以做测试，保存，初始化操作！

默认不能查看配置！可以修改配置，且全局生效！

默认不能查看配置！可以修改配置，且对该端口生效！

默认不能查看配置！可以修改配置，且对console口生效！

快捷键ctrl+u：快速删除光标所有字符ctrl+a：快速定位光标到行首ctrl+e：快速定位光标到行尾

在内存中存在一个文件：第一次开机系统会在内存中自动创建一个干净的running-config。交换机所有配置都在running-config文件中注意：running-config这个文件是在内存中的

将配置文件保存在交换机的硬盘中，持久化存储！

保存配置：

交换机开机动作1、先去硬盘中查找startup-config是否存在。2、如果不存在，则在内存中创建新的running-config文件。3、如果存在，则复制到内存中并改名为running-config。

开启接口

Status administratively down 表示人为关闭的 物理状态Protocol down 协商状态

1）在哪配置的在哪删！2）命令前加no空格！3）原命令中有参数，并且参数具有唯一性，则删除时不需要加参数。如：

telnet明文传输，不安全，容易被截获

用rsa密钥算法生成密钥对 要求必须有主机名和域名（随便起）

ssh时需要此条配置

二层接口默认开启三层接口默认管理down（人工关闭）

交换机接口默认是开启的路由器接口默认是关闭的，需要人工开启

1）查看端口列表

2）根据上图连接的端口情况分别进入g0/g1手工开启

以上操作做完所有设备均以连通，可以互PING进行检测

1）路由器配置

2）PC远程连接测试telnet

ssh

想要跨网段管理交换机，需要给交换机配置网关

1）交换机配置

2）PC0测试连接PC0管理s2交换机

这里需要注意：远程连接时必须配置特权密码，不管是几层设备sw2(config)#enable password 123

交换机

路由器

1、版本（4）：IP协议的版本，目前的IP协议版本号为4，下一代IP协议版本号为6。

2、首部长度（4）：主要是用来标识有没有启动可选项，IP报头的长度。固定部分的长度（20字节）和可变部分的长度之和。共占4位。最大为1111，即10进制的15，代表IP报头的最大长度可以为15个32bits（4字节），也就是最长可为15*4=60字节，除去固定部分的长度20字节，可变部分的长度最大为40字节。也就是说如果长度=20代表没有启动可选项，如果20<长度<60代表启动了可选项。

3、优先级与服务类型（8）：Qos与Tos，前三个bit代表优先级，中间四个bit代表服务类型，最后一个bit没有被启用(保留使用，方便以后扩展开发)

4、总长度（16）：整个报文长度，上三层数据的总长度。IP包头长度+TCP/UDP包头长度+数据长度

7、标志（3）：R、DF、MF三位。目前只有后两位有效，DF位：为1表示不分片，为0表示分片。MF：为1表示“还有更多分片”，为0表示这是最后一片。用来标识数据包是否被分片及是否是最后一个分片

10、首部校验和（16）：计算IP头部的校验和，检查IP报头的完整性。

11、源地址（32）：标识IP数据报的源端地址。

12、目标地址（32）：标识IP数据报的目标地址。

MAC地址广播：广播地址为：FF-FF-FF-FF-FF-FF

IP广播地址：1、255.255.255.2552、广播IP地址为IP地址网段的广播地址，如192.168.1.255/24

原理：1）发送ARP广播请求

主机A ----- IP 192.168.1.1 ----- MAC mac-a主机B ----- IP 192.168.1.2 ----- MAC mac-b主机C ----- IP 192.168.1.3 ----- MAC mac-c(虚假的地址) 中间人网关 ----- IP 192.168.1.254主机A与主机B的通信：

当判断目标IP与自己在同一网段时，会直接发送ARP广播报文去请求它的MAC地址，如果判断不在同一网段，发送ARP广播报文，请求网关的MAC地址。

ARP广播攻击原理：

ARP欺骗目的：截获数据欺骗和攻击的原理相同，都是发送虚假的ARP报文(单播/广播)来实现的攻击和欺骗，如虚假的报文中的MAC是伪造的不存在的，实现ARP攻击，结果为中断通信/断网，如果虚假的报文中MAC地址是攻击者自身的MAC地址。实现ARP欺骗，结果可以监听/窃取/篡改/控制流量，不中断通信。

手工绑定网关IP+MAC地址电脑和路由器手工双向绑定windows客户机上：arp -s 10.1.1.254 00-01-2c-a0-e1-09arp -a 查看ARP缓存表

自动绑定静态ARP，主动防御，不断向网关发送报文证明自己的身份

交换机支持“端口”做动态ARP绑定 (配合DHCP服务)或做静态ARP绑定

如：

网络拓扑图10网段想要PING通70网段

路由表中的优先级：管理距离值越大，优先级越低 ；

配置命令：静态路由

默认路由

浮动路由在静态路由或动态路由后加空格+数字（正整数）

路由器的工作原理：1）一个帧到达路由器，路由器首先检查目标MAC是否是自己，如果不是则丢弃，如果是则解封装并将IP包送到路由器内部。

2）路由器检查IP包头中的目标IP，并匹配路由表，如果匹配失败则丢弃，并向源IP回馈错误信息，如匹配成功则将IP包路由到出接口。

3）封装帧，首先将出接口MAC地址作为源MAC封装好，然后检查ARP缓存表，检查是否有下一跳MAC地址，如有，将提取并作为目标MAC地址封装到帧中，如没有，则发送ARP广播请求下一跳的MAC，并获取到对方的MAC地址，在记录到缓存，并封装帧，最后将帧发送出去。

为实现交换机以太网的广播隔离，一种理想的解决方案就是采用虚拟局域网技术。这种对连接到第2层交换机端口的网络用户的逻辑分段技术实现非常灵活，它可以不受用户物理位置限制，根据用户需求进行VLAN划分；可在一个交换机上实现，也可跨交换机实现；可以根据网络用户的位置、作用、部门或根据使用的应用程序、上层协议或者以太网连接端口硬件地址来进行划分。

广播的危害：增加网络/终端负担，传播病毒，安全性

如何控制广播？路由器隔离（物理隔离），成本高，不灵活

采用新的技术VLAN来控制广播，VLAN 技术是在交换机上实现的是通过逻辑隔离划分的广播域。VLAN是控制广播，逻辑隔离广播域。一个VLAN = 一个广播域 = 一个网段VLAN的类型：

作用：trunk端口不属于任何VLAN，允许任何vlan的数据通过。方法：通过在数据帧上加标签，来区分不同vlan的数据。

1）ISL标签：cisco私有的，标签大小30字节 26+4。加在帧的两边，前面加26字节，后面加4字节。

2）802.1q：公有协议，所有厂家都支持，标签大小4字节。属于内部标签。将帧切开，标签加在帧的中间4个字节。

1）接入端口：也成为access端口，一般用于连接PC，只能属于某一个vlan，也只能传输一个vlan的数据。2）中继端口：也成为trunk端口，一般用于连接其他交换机，属于公共端口，允许所有vlan的数据通过。

一旦端口配置成trunk端口，那么该端口不会在vlan表里出现！！！

配置trunk主要解决了跨交换机相同vlan的PC间的通信

单臂路由（router-on-a-stick）是指在路由器的一个接口上通过配置子接口（或“逻辑接口”，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通。

单臂路由的子接口路由器的物理接口可以被划分成多个逻辑接口，这些被划分后的逻辑接口被形象的称为子接口。值得注意的是这些逻辑子接口不能被单独的开启或关闭，也就是说，当物理接口被开启或关闭时，所有的该接口的子接口也随之被开启或关闭。

优缺点VLAN能有效分割局域网，实现各网络区域之间的访问控制。但现实中，往往需要配置某些VLAN之间的互联互通。比如，你的公司划分为领导层、销售部、财务部、人力部、科技部、审计部，并为不同部门配置了不同的VLAN，部门之间不能相互访问，有效保证了各部门的信息安全。但经常出现领导层需要跨越VLAN访问其他各个部门，这个功能就由单臂路由来实现。

实验背景

直通线连接所有设备，并由上图所示配置客户机IP，并手工开启路由器F0/0端口

VLAN 10(IT部)，20(财务部)

将F0/1端口加入到VLAN10,F0/2端口加入到VLAN20。

通过查看vlan列表可以看见F0/1端口配置在vlan10，F0/2端口配置在vlan20上。

允许任何vlan的数据通过。作用：trunk端口不属于任何VLAN，允许任何vlan的数据通过。方法：通过在数据帧上加标签，来区分不同vlan的数据。

由于trunk端口不属于任何vlan，所以在vlan列表里没有该端口，反之如果vlan里没有我们要找的端口，那么这个端口可能被配置成了trunk端口。

一旦开启子接口，那么父接口起到了通道作用，只进行传输

完成以上步骤PC0与PC1就是实现了，不同VLAN间的通信。不同VLAN通信时靠路由实现的。

某个端口要想所有vlan端口的数据通过，必须将该端口设置成中继端口(配置trunk)根据图中所示配置中继端口。给连接路由器f0/5端口的交换机配置trunk，允许任何vlan的数据通过

sw1 F0/3配置trunk

sw2 F0/3 F0/4配置trunk

sw3 F0/4配置trunk

sw2配置

sw3配置

创建子接口，不同vlan配置不同网关

查看路由表

创建地址池

删除地址池

继续上面的操作，上面是将路由器做DHCP服务器，下面我们要使用dns服务器做服务器，当公司人数超过千人时路由器不适合做DHCP。

进入路由删除上面配置的地址池

作用：跨网段获取IP地址

哪些vlan需要路由转发DHCP广播，就在路由对应的接口配置DHCP中继

PC1发送一个DHCP广播包，经过交换机的vlan10，最后转发到路由器的f0/0.1接口，f0/0.1只能解析来自vlan10的数据包，并且这个广播包到f0/0.1后不会在转发出去，因为做了vlan限制了广播域，其他接口均收不到，因此为了让这个数据包转发给DHCP服务器，我们需要在f0/0.1这个接口开启DHCP中继，让这个广播包到达f0/0.1这个接口后在单独发送给DHCP服务器一份。

ICMP（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。

从技术角度来说，ICMP就是一个“错误侦测与回报机制”，其目的就是让我们能够检测网路的连线状况﹐也能确保连线的准确性。当路由器在处理一个数据包的过程中发生了意外，可以通过ICMP向数据包的源端报告有关事件。其功能主要有：侦测远端主机是否存在，建立及维护路由资料，重导资料传送路径（ICMP重定向），资料流量控制。ICMP在沟通之中，主要是透过不同的类别(Type)与代码(Code) 让机器来识别不同的连线状况。

网络探测与回馈机制

更多查看：

三层交换机就是具有部分路由器功能的交换机，工作在OSI网络标准模型的第三层：网络层。三层交换机的最重要目的是加快大型局域网内部的数据交换，所具有的路由功能也是为这目的服务的，能够做到一次路由，多次转发。

三层交换机 = 二层交换机 + 三层路由器

三层路由引擎是可以开启或关闭的

与单臂路由对比：

1）解决了网络瓶颈问题(不用单根线往三层传送数据，实现了每个vlan用一跟虚拟的线，并且带宽很高)。2）解决了单点故障(虚拟接口不在依赖于任何物理接口)3）一次路由，永久交换。

三层交换机上起虚接口(配置VLAN网关)

给三台二层交换机的F0/3配置成trunk，因为要传输不同vlan的数据；以第一台为例其他两台同理：

连接二层交换机的三层交换机的三个端口配置trunk

在三层交换机上创建VTP并创建VLAN

二层交换机对应的端口加入到对应的VLANsw1

其他两个二层交换机同理将端口加入到VLAN，因在三层交换机已经创建了VTP并创建了VLAN，下面所属的三台二层交换机会同样学习到，所以直接将端口加入到VLAN即可，无需再次创建。主要用来同步VLAN

不同VLAN 配置不同网关

将原来交换机的F0/4接口升级为三层设备(路由器)的接口；

三层交换机

配置默认路由，下一跳IP为公司总出口

公司网关

配置默认路由

运营商路由

路由配置

R2-GW

R-waiwang

R1-GWR1-GW(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2R2-GWR1-GW(config)#ip route 0.0.0.0 0.0.0.0 20.1.1.2

R-waiwang(config)#ip route 0.0.0.0 0.0.0.0 20.1.1.1

R1-活跃路由器

查看热备份配置信息

R2-备份路由器

查看热备份配置信息

我们进入活跃路由器将网关接口f0/0,down掉，备份路由器每隔一段时间会与活跃路由器进行通信(检测端口是否正常)，当检测到活跃路由器异常时会自动升级为活跃路由器，如果活跃路由器的故障修复重新启动，那么会重新接管活跃路由器的身份，备份路由器会自动降级。

也就是说活跃路由器故障那么会由备份路由器接管，故障修复后备份路由器会回到原来的位置。备份路由器的身份转变取决于活跃路由器是否出现异常。

查看备份路由器的热备份信息

拓扑图

core-1

core-2

sw1

sw2

选择core-1创建VTP并创建vlan，其他交换机会自动学习到。

sw1

sw2

core-1:

core-2:

虚拟网关core1:

core2:

core-1

core-2

zong-GW

liantong-R1

liantong-R2

core-1

core-2

liantong-R2

liantong-R1往左走配默认路由

访问控制列表(Access Control Lists，ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号、[5层数据]ACL在路由器上配置，也可以在防火墙上配置(一般称为策略)

1）表号：1-99；2）特点：只能基于源IP对包进行过滤；3）命令

反子网掩码作用：用来匹配条件，与0对应需要严格匹配，与1对应忽略；

例1：access-list 1 deny 10.1.1.1 0.0.255.255数据包中源IP只要是10.1开头的都不允许通过例2：access-list 1 deny 10.0.0.0 0.255.255.255拒绝所有源IP为10开头的例3：access-list 1 deny 10.1.1.1 0.0.0.0简写：access-list 1 deny host 10.1.1.1拒绝源IP为10.1.1.1的主机例4:access-list 1 deny 0.0.0.0 255.255.255.255简写：access-list 1 deny any拒绝所有

案例：

1）表号：100-199；2）特点：可以基于源IP、目标IP、端口号、协议等对包进行过滤；3）命令

案例：协议：tcp/udp/icmp/ip

1）ACL表必须应用到接口的进或出方向才生效；2）一个接口的一个方向只能应用一张表；3）进还是出方向应用？取决于流量控制总方向；4）ACL表是严格自上而下检查每一条，所以要注意书写顺序；5）每一条是由条件和动作组成，当某流量没有满足条件，则继续检查下一条；6）标准ACL尽量写在靠近目标的地方；7）扩展ACL尽量写在靠近源目标的地方；8）一般情况下，标准或扩展ACL一旦编写好，无法修改某一条，也无法删除某一条，也无法往中间插入条目，也无法修改顺序，只能一直在最后添加条目；如想修改，插入或删除，只能删除整张表，重新写！！！no access-list 表号

1）做流量控制，首先要判断ACL写的位置，哪个路由器？哪个接口的哪个方向？2）判断最终要允许所有还是拒绝所有3）将严格写在前面

查看ACL表命令：show ip access-list [表ID]

作用：可以对标准或扩展ACL进行自定义命名。优点：自定义命名更容易辨认，也便于记忆！也可以任意修改某一条，或删除某一条，也可以往中间插入某一条。

NAT不仅能解决IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

1、宽带分享：这是 NAT 主机的最大功能。2、安全防护：NAT 之内的 PC 联机到 Internet 上面时，他所显示的 IP 是 NAT 主机的公共 IP，所以 Client 端的 PC 当然就具有一定程度的安全了，外界在进行 portscan（端口扫描） 的时候，就侦测不到源Client 端的 PC 。

IP地址分为公网IP和私网IP：公网IP只能在公网上使用，私网IP只能在内网使用，公网上不允许出现私有地址。私网IP可以重复在内网使用。

NAT主要是实现公私有IP地址转换，一般是路由器或防火墙上配置，不建议在三层交换机配置。

NAT分三类：

告诉路由器哪个是内网端口，哪个是外网端口；数据从内网往外网走和外网往内网走地址转换是不一样的；

内到外：转换源IP外到内：转换目标IP

192.168.1.1访问外网的200.1.1.1(百度web)过程：内网访问外网：

外网访问内网：

优点：不用在手工一个一个去配。缺点：不能同时上网，互相竞争外部地址池资源。

NAT地址转换表是内网访问外网时生成的，外网访问内网时只是使用了这张表的对应关系，找到对应的PC/应用

如下图所示：公司服务器发布一个web服务，希望外网用户可以访问到本公司的服务。