计算机网络基础.

Slides:



Advertisements
Similar presentations
晏宏斌工程师 2014 年 9 月 “ 宽带网络校校通 ” 校园网建设要点和基础维护方法. – 中小学校园网络建设要点 – 常见网络故障处理基本方法 目 录目 录.
Advertisements

计算机网络与通信 03 信息安全 李 艇.
项目一:计算机网络基础 第一章 认识计算机网络
计算机网络原理与实用技术 陈涛 华中科技大学公共管理学院 2009年2月.
先介绍计算机网络基础知识,再分析网络视频监 控系统的架构、原理与维护。
朝阳区统计系统 网络基础知识培训 计算机中心
本周复习一下基本的网络知识 下周开始讲解路由器的配置方法 第四周开始到实验室做实验(主楼910,919)
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
《网络基础与Internet应用》.
課程名稱:計算機概論 授課老師:李春雄 博士
第 8 章 IP 基礎與定址.
第6章 计算机网络基础 1.
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
第三章 网络传输介质与互联设备 山西金融职业学院信息技术系 柴巧叶.
第 4 章 网络层.
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
網路硬體設備簡介 Crickstudy Authentication Institute.
《计算机网络技术》 课程整体设计介绍.
网络协议及架构安全 培训机构名称 讲师名字.
第2章 计算机网络的协议与体系结构 2.1 计算机网络体系结构的形成 2.2 协议与划分层次 2.3 计算机网络的原理体系结构
第6章 计算机网络基础.
计算机网络.
6.1 网络概述 6.2 Windows的网络功能 6.3 Internet概述 6.4 Internet的使用 6.5 网上浏览工具的使用
电子商务的网络技术 德州学院计算机系.
第1章 概述.
第8章 系統架構.
4.6 局域网标准 专门的LAN标准 OSI/RM和TCP/IP均属于WAN标准 LAN具有自身固有的特点:
Foundations of Computer Science Chapter 6 電腦網路
NetGuru 創新 網路通訊實驗教學解決方案 PART I TCP/IP通訊協定深入剖析/以NetGuru實作
2017/4/6 课程整体设计 计算机组网技术 梁建华.
第3章 局域网互连 3.1 网络互连的层次 3.2 网络互连的设备 3.3 实例教学 3.4 VLAN路由配置 3.5 VPN互连远程局域网.
第10讲 物理网络与链路层 物理网络与链路 局域网概念 以太网标准 MAC、IP和ARP. 第10讲 物理网络与链路层 物理网络与链路 局域网概念 以太网标准 MAC、IP和ARP.
無智慧報告—網路導論 義守電機 副教授 黃蓮池 在報告前.
第3章 计算机网络体系结构.
“通信工程基础” 主讲教师:姚玉坤 副教授 承担单位:重庆邮电大学通信与信息工程学院 —通信网络教研中心 办公地点:逸夫科技楼三楼
網路基本概念與設定方法 林文宗 資管系助理教授
PPP协议 点到点协议 深圳职业技术学院电信学院网络技术专业.
第5章 网络软件 开发技术 (一) 软件开发技术基础 计算机教学实验中心.
PPP协议 点到点协议 深圳职业技术学院计算机系网络专业.
第 6 章 IP 遶送.
網路概論.
计算机网络实用教程.
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
NTPC D-Link產品教育訓練 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
通訊協定 OSI分層模式 與 TCP/IP協定
HL-001 网络基础知识 ISSUE 5.1 江西陶瓷工艺美术职业技术学院.
(C) Active Network CO., Ltd
網路技術管理進階班---網路連結 講師 : 陳鴻彬 國立東華大學 電子計算機中心.
臺東縣中小學資訊教育校園網路管理暨資訊安全防護計畫研習
交换机、虚拟局域网组网 (VLAN)技术与配置
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
附錄 通訊協定堆疊.
ARP, RARP & ICMP.
ARP Spoofing -ARP 攻擊- 報告者 A 洪靖雅.
本章要点: 计算机网络的基本概念 Internet基础 Internet服务
第8章 配置Linux网络 本章将从介绍Webmin软件开始,详细介绍各种网络相关的配置,如设置以太网接口连接Internet、DHCP服务器架设、设置NFS实现Unix/Linux系统间文件共享和架设DNS服务器等。通过本章学习,用户可以到相关的网络知识,并能深入理解Fedora提升用户使用该操作系统的能力。
江西财经大学信息管理学院 《组网技术》课程组
校園網路架構介紹與資源利用 主講人:趙志宏 圖書資訊館網路通訊組.
第5讲 网络层 本讲目的: 概述: 理解网络层服务原理: 因特网的实现实例 网络层的服务 路由选择原理 分层的路由选择 IP协议
第十三章 TCP/IP 與 Internet 網路連結技術
常見網路設備簡介 A 周緯龍.
個人電腦與網路 1.個人電腦IP設定 自動取得IP與固定IP IP登錄系統與IP自動分配系統 固定IP申請 IP衝突處理
3.1 通訊協定 3.2 開放系統參考模式(OSI) 3.3 公眾數據網路 3.4 TCP/IP通訊協定
傳輸控制協議 /互聯網協議 TCP/IP.
1.4 计算机网络体系结构与协议 引言 网络系统的体系结构 网络系统结构参考模型ISO/OSI
Source: Journal of Network and Computer Applications, Vol. 125, No
Speaker : Chang Kai-Jia Date : 2010/04/26
網路概論 第3章 協定與模型.
指導教授:梁明章 A 許之青 國立高雄大學 2010/06/25
第4章 网络层.
Presentation transcript:

计算机网络基础

第一部分:OSI七层模型和TCP/IP ISO:国际标准化组织 ( International Organization for Standardization ) OSI:开放系统互联 ( open system interconnection ) 20世纪70年代后期,ISO创建OSI参考模型,希望不同供应商的网络能够相互协同工作,但迄今为止,这仍然是一个伟大的目标!

OSI模型 应用层 应用层 (高):负责主机之间的数据传输 表示层 会话层 传输层 网络层 数据流层:负责网络数据传输 数据链路层 物理层 Layer 2 of 2: Purpose: This figure orients the students to the next set of concepts. Emphasize: The Data Link layer of the OSI reference model is implemented by Switches and Bridges. These devices encapsulate date in “frames”. The Network layer of the OSI reference model is implemented by Routers. These devices encapsulate data in ‘packets’. The Transport layer of the OSI reference model is implemented by various protocols; one of which is TCP. TCP uses ports and encapsulates the data in ‘segments’. 数据流层:负责网络数据传输

应用层的作用 例子 QQ IE浏览器 Windows 应用层 用户接口 Slide 1 of 4: Purpose: This figure orients the students to the application layer. Emphasize: This layer discusses network applications rather than computer applications. So, applications such as spreadsheets, word processors, or presentation graphics are not the applications being described here. Network applications may be applications that support, electronic mail, file transfer, remote access, network management, and so on. Transition: The following discusses the presentation layer.

应用层的作用 例子 AVI MP3 JPEG QQ IE浏览器Windows 应用层 用户接口 数据表示 加密等特殊处理过程 表示层 Slide 2 of 4: Purpose: This figure orients the students to the presentation layer. Emphasize: This layer discusses code formatting, data presentation standards, and conversion. Transition: The following discusses the session layer.

应用层的作用 例子 AVI MP3 JPEG PID QQ IE浏览器Windows 应用层 用户接口 数据表示 加密等特殊处理过程 表示层 保证不同应用间的数据区分 会话层 Slide 3 of 4: Purpose: This figure orients the students to the session layer. Emphasize: This layer coordinates applications as they interact on different hosts. Examples of session-layer protocols include: NFS, SQL, RPC, and so on. Transition: The following displays the lower layers. PID

应用层的作用 例子 ASCII MP3 JPEG PID QQ IE浏览器Windows 应用层 用户接口 数据表示 加密等特殊处理过程 表示层 保证不同应用间的数据区分 会话层 Slide 4 of 4: Purpose: This figure orients the students to the entire OSI model stack. Emphasize: The lower layers sit below the upper three layers. The remainder of this course is focused on the lower layers. Transition: The following discusses the physical layer of the OSI reference model. 传输层 网络层 数据链路层 物理层

数据流层的作用 例子 EIA/TIA-232 V.35 设备间接收或发送比特流 说明电压、线速和线缆等 物理层 Slide 1 of 5 Purpose: This figure orients the students to the physical layer of the OSI Model. Emphasize: The physical layer specifies the electrical, mechanical procedural, and functional requirements for activating, maintaining, and deactivating the physical link between systems. Certain physical standards are associated with certain data link standards. For example, 802.3 is used with data link standard 802.2 for Ethernet. It is not used in WAN connections. This is covered more in-depth later in the course. Transition: The following discusses Layer 2, the Data Link layer, of the OSI reference model. 设备间接收或发送比特流 说明电压、线速和线缆等 EIA/TIA-232 V.35 物理层

数据流层的作用 例子 802.3 / 802.2 HDLC EIA/TIA-232 V.35 将比特组合成字节进而组合成帧 Slide 2 of 5: Purpose: This figure orients the students to the data link layer. Emphasize: The data link layer provides data transport across a physical link. 802.3 is and physical and data link Ethernet protocol. It is used with the 802.2 standard. Transition: The following discusses Layer 3, the network layer, of the OSI reference model. 将比特组合成字节进而组合成帧 用MAC地址访问介质 错误发现但不能纠正 802.3 / 802.2 HDLC 数据链路层 设备间接收或发送比特流 说明电压、线速和线缆等 EIA/TIA-232 V.35 物理层

数据流层的作用 例子 IP IPX 802.3 / 802.2 HDLC EIA/TIA-232 V.35 提供路由器用来决定路径的逻辑寻址 网络层 Slide 3 of 5: Purpose: This figure orients the students to the network layer. Emphasize: Network layer is where IP occurs. Transition: The following discusses Layer 4, the transport layer, of the OSI reference model. 将比特组合成字节进而组合成帧 用MAC地址访问介质 错误发现但不能纠正 802.3 / 802.2 HDLC 数据链路层 设备间接收或发送比特流 说明电压、线速和线缆等 EIA/TIA-232 V.35 物理层

数据流层的作用 例子 TCP UDP SPX IP IPX 802.3 / 802.2 HDLC EIA/TIA-232 V.35 可靠或不可靠的数据传输 数据重传前的错误纠正 TCP UDP SPX 传输层 提供路由器用来决定路径的逻辑寻址 IP IPX 网络层 Slide 4 of 5: Purpose: This figure orients the students to the transport layer. Emphasize: The Transport layer of the OSI reference model is implemented by various protocols; one of which is TCP. TCP uses ports and encapsulates the data in ‘segments’. TCP is connection oriented so it offers reliable service. The other major transport layer protocol discussed in this course is UDP. It offers speed but no reliability because it is connectionless. Transition: The following presents the entire OSI stack again. 将比特组合成字节进而组合成帧 用MAC地址访问介质 错误发现但不能纠正 802.3 / 802.2 HDLC 数据链路层 设备间接收或发送比特流 说明电压、线速和线缆等 EIA/TIA-232 V.35 物理层

数据流层的作用 例子 TCP UDP SPX IP IPX 802.3 / 802.2 HDLC EIA/TIA-232 V.35 应用层 表示层 例子 会话层 可靠或不可靠的数据传输 数据重传前的错误纠正 TCP UDP SPX 传输层 段Segment 提供路由器用来决定路径的逻辑寻址 IP IPX 网络层 包Packet Slide 5 of 5: Purpose: This figure reviews the entire OSI model stack. Emphasize: The upper layers sit above the lower layers. Transition: The following discusses encapsulation and de-encalsulation. 将比特组合成字节进而组合成帧 用MAC地址访问介质 错误发现但不能纠正 802.3 / 802.2 HDLC 数据链路层 帧Frame 设备间接收或发送比特流 说明电压、线速和线缆等 EIA/TIA-232 V.35 物理层 比特Bit

OSI参考模型 OSI(Open System Interconnection),开放式系统互联参考模型 。是一个逻辑上的定义,一个规范,它把网络协议从逻辑上分为了7层。每一层都有相关、相对应的物理设备,比如常规的路由器是三层交换设备,常规的交换机是二层交换设备。OSI七层模型是一种框架性的设计方法 ,建立七层模型的主要目的是为解决异种网络互连时所遇到的兼容性问题,其最主要的功能就是帮助不同类型的主机实现数据传输。它的最大优点是将服务、接口和协议这三个概念明确地区分开来,通过七个层次化的结构模型使不同的系统不同的网络之间实现可靠的通信 下层对上层提供服务,上层为下层提供接口,同层数据传输使用协议 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。

网络分层的优点 分层的优点: 1.促进标准化工作,允许各个供应商进行开发. 2.各层间相互独立,把网络操作分成低复杂性单元 3.灵活性好,某一层变化不会影响到别层,设计者 可专心设计和开发模块功能. 例如:不管物理层线缆如何我们都可以使用IP地址 不管使用何种计算机硬件,我们都可以上QQ

数据封装与解封装 + + + + + + + 封装 解封装 二进制的数据流 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 第7层头 第7层头 Data Data + 第6层头 第7层头 第6层头 第7层头 Data Data + 第5层头 第7层头 第6层头 Data 封装 解封装 第5层头 第6层头 第7层头 Data + 第4层头 第7层头 第6层头 第5层头 Data 第4层头 第5层头 第6层头 第7层头 Data + 第3层头 第7层头 第6层头 第5层头 第4层头 Data 第3层头 第4层头 第5层头 第6层头 第7层头 Data + 第2层头 第7层头 第6层头 第5层头 第4层头 第3层头 Data 第2层头 第3层头 第4层头 第5层头 第6层头 第7层头 Data + 第1层头 第7层头 第6层头 第5层头 第4层头 第3层头 第2层头 第1层头 第2层头 第3层头 第4层头 第5层头 第6层头 第7层头 Data Data 二进制的数据流

封装过程 传输层 网络层 FCS 数据链路层 FCS 物理层 应用层 表示层 会话层 上层数据 TCP 头 上层数据 IP 头 IP 头 Purpose: This figure illustrates de-encapsulation. Emphasize: At the destination, the headers at each layer are stripped off as the data moves back up the stack. LLC 头 LLC 头 IP + TCP +上层数据 FCS 数据链路层 MAC 头 LLC 头 + IP + TCP + 上层数据 FCS 物理层 0101110101001000010

解封装过程 传输层 网络层 数据链路层 物理层 应用层 表示层 会话层 上层数据 上层数据 TCP 头 TCP+上层数据 IP 头 Purpose: This figure illustrates de-encapsulation. Emphasize: At the destination, the headers at each layer are stripped off as the data moves back up the stack. IP + TCP +上层数据 数据链路层 LLC 头 LLC 头 + IP + TCP + 上层数据 MAC 头 物理层 0101110101001000010

RTD RTE HostA HostB RTA RTC 应用层 应用层 表示层 RTB 表示层 会话层 会话层 传输层 传输层 网络层 网络层 网络层 网络层 网络层 数据链路层 数据链路层 数据链路层 数据链路层 数据链路层 物理层 物理层 物理层 物理层 物理层 HostA RTA RTB RTC HostB

TCP/IP数据封装与解封装过程 10100101110001 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 主机 二层交换机 Data 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 TCP IP MAC+LLC 10100101110001 主机 二层交换机 路由器 主机

TCP/IP协议簇 应用层 传输层 网络层 应用层 表示层 内容分发 负载均衡 会话层 传输层 路由器 网络层 交换机 数据连路层 物理层 HTTP、FTP、SMTP、 SNMP、POP、TELNET、 RIP、NNTP等 表示层 内容分发 负载均衡 会话层 传输层 TCP和UDP 传输层 路由器 网络层 IP、ICMP、IGMP、 ARP、RARP等 网络层 交换机 网络接口层 数据连路层 Ethernet、ATM、FDDI、 X.25、ISDN等 物理层

网络接口层:物理层介质-网线及做法 网线分类:五类线(CAT5)、六类线(CAT6)五类线速度可以达到100M,6类线速度可以达到1000M 目前大部分为UTP非屏蔽双胶线 线序有T568A、T568B二种类型 568A标准:白绿,绿,白橙,蓝,白蓝,橙,白棕,棕 568B标准:白橙,橙,白绿,蓝,白蓝,绿,白棕,棕 一头T568A一头T568B的为交叉线 两台均为T568A或T568B为直通线 理论最远传输距离为100M, 实际传输距离根据交换机性能和网线质量而定。

网线制作工具和材料的认识 网线 RJ45水晶头 网线钳 网线测试仪

网线的制作 选择双绞线一端,用网钳剥去前端外封皮,长度约为1-1.5cm;

网线的制作 按照前面所述排好线序并紧密排列

网线的制作 钳将网线剪齐; 将网线与RJ45接头位置一一对齐,然后插入;

网线的制作 检查每根线都要能紧紧的顶在水晶头的末端 将RJ45接头插入网钳的相应位置,然后用力压紧; 五、测试 网线测试仪:用来检测网线制作是否正确的仪器。 将做好的网线的两头分别插入网线测试仪中,并启动开关,如果两边的指示灯同步亮,则表示网线制作成功。

网络接口层:物理层介质-光纤及接口 光纤主要分多模光纤和单模光纤 多模传输距离短,单模传输距离长 传输波长850nm、1310nm、1550nm

网络接口层:物理层介质-光纤及接口 常用光纤接口 FC:常见的圆形,带螺纹光纤接头 ST:卡接式圆形光纤接头

网络接口层:物理层介质-光纤及接口 常用光纤接口 LC:收发分离结构,一个LC型光接口需要配置两根光纤, 目前接至学校接入交换机就是这种 SC:方型光纤接头

光纤耦合器法兰盘类型 常见法兰盘类型 FC型法兰盘: 单SC型法兰盘 SC-FC转换器

光模块 一般使用是多模模块和单模模块 传输距离为有550m、10km、40km、80km 传输波长有850nm、1310nm、1550nm 传输速度有100M、1000M、10G、40G、100G 有单纤模块和双纤模块,双纤一纤为发一纤为收 常用接口类型为SFP和XFP

学校接入交换机尾纤维护 SC接头 光模块 单模尾纤 SC光纤藕合器 LC接头

学校接入交换机尾纤维护 SC接口藕合 LC接入光模块

学校接入交换机物理层维护 1、物理层看24口的灯是否亮,亮就是物理层通了。 2、学校接入交换机21-24为光电复用口,只能用一种类型的接口,设备默认为电口优先。所以24口接了网线的话,光口就会中断,到教育网就不通了。

网络接口层:MAC/物理地址 MAC(Medium/MediaAccess Control,介质访问控制) MAC(Medium/Media Access Control)地址,用来表示互联网上每一个站点的标识符,采用十六进制数表示,共六个字节(48位)。其中,前三个字节是由IEEE的注册管理机构RA负责给不同厂家分配的代码(高位24位),也称为“编制上唯一的标识符”(Organizationally Unique Identifier),后三个字节(低位24位)由各厂家自行指派给生产的适配器接口,称为扩展标识符(唯一性)。一个地址块可以生成224个不同的地址。MAC地址实际上就是适配器地址或适配器标识符EUI-48 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。

网络接口层:MAC/物理地址 任何一块网卡有全球唯一的MAC地址 用以唯一标识网内机器 MAC地址有48bit,用16进制数表示 厂商编号 序列号 24 bits 00e0.fc01.2345 Rom Ram 00e0.fc01.2345 任何一块网卡有全球唯一的MAC地址 用以唯一标识网内机器 MAC地址有48bit,用16进制数表示 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。

网络层:IP地址 IP地址 互联网协议地址(英语:Internet Protocol Address,又译为网际协议地址),缩写为IP地址(IP Address)。IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。 因此每台联网的PC上都需要有IP地址,才能正常通信。 IP地址是一个32位的二进制数,通常被分割为4个“8位二进制数”(也就是4个字节)。IP地址通常用“点分十进制”表示成(a.b.c.d)的形式,其中,a,b,c,d都是0~255之间的十进制整数。例如:

ARP与RARP 一、什么是ARP协议 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

ARP HostB 广播ARP请求 IP=1.1.1.3, MAC=? IP=1.1.1.2 MAC=00E0.FC02.2222 HostA HostB HostC IP=1.1.1.2 MAC=00E0.FC02.2222 IP=1.1.1.3 MAC=00E0.FC03.3333 单播ARP响应 IP=1.1.1.3, MAC=00E0.FC03.3333 要实现映射。在以太网上用ARP 缓存,生存时间

ARP与RARP 一、什么是RARP协议 反向地址转换协议(RARP:Reverse Address Resolution Protocol) 反向地址转换协议(RARP)允许局域网的物理机器从网关服务器的 ARP 表或者缓存上请求其 IP 地址。网络管理员在局域网网关路由器里创建一个表以映射物理地址(MAC)和与其对应的 IP 地址。当设置一台新的机器时,其 RARP 客户机程序需要向路由器上的 RARP 服务器请求相应的 IP 地址。假设在路由表中已经设置了一个记录,RARP 服务器将会返回 IP 地址给机器,此机器就会存储起来以便日后使用。

RARP HostB 广播RARP请求 无盘工作站 MAC=00E0.FC01.1111 RARP Server 无IP地址 HostB MAC=00E0.FC01.1111, IP=? MAC=00E0.FC01.1111 无IP地址 RARP Server HostB 无盘工作站 MAC=00E0.FC01.1111 IP=1.1.1.1 RARP Server MAC=00E0.FC01.1111, IP=1.1.1.1 单播RARP响应

ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的 ARP协议缺陷—ARP欺骗 ARP——Address Resolution Protocol地址解释协议 可以利用帧类型来识别ARP报文 ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的 帧类型—0x0806 ARP攻击利用ARP协议本身的缺陷来实现!

ARP欺骗攻击——仿冒网关 攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。 主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。 IP Address G MAC G 1.1.1.1 1-1-1 网关G 目的MAC 源MAC … 2-2-2 3-3-3 数据流被中断 网关MAC更新了 已更新 IP Address MAC Type 1.1.1.1(网关) 1-1-1 Dynamic 网关的 MAC is 2-2-2 发送伪造ARP信息 ARP表项更新为 攻击者B 正常用户A IP Address MAC Type 1.1.1.1(网关) 2-2-2 Dynamic IP Address B MAC B 1.1.1.20 5-5-5 IP Address A MAC A 1.1.1.5 3-3-3 这种攻击为ARP攻击中最为常见的攻击

ARP欺骗攻击——欺骗网关 攻击者伪造虚假的ARP报文,欺骗网关 网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网 IP Address MAC Type 1.1.1.5 3-3-3 Dynamic 已更新 ARP表项更新为 IP Address MAC Type 1.1.1.5 2-2-2 Dynamic IP Address G MAC G 1.1.1.1 1-1-1 网关G 数据流被中断 目的MAC 源MAC … 2-2-2 1-1-1 用户A的MAC is 2-2-2 用户A的MAC更新了 发送伪造ARP信息 IP Address B MAC B 1.1.1.20 5-5-5 IP Address A MAC A 1.1.1.5 3-3-3 攻击者B 正常用户A

ARP欺骗攻击——欺骗终端用户 攻击者伪造虚假的ARP报文,欺骗相同网段内的其他主机。 网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。 网关G IP Address G MAC G 1.1.1.1 1-1-1 目的MAC 源MAC … 2-2-2 3-3-3 数据流被中断 用户C的MAC更新了 IP Address C MAC C 1.1.1.8 9-9-9 用户C的MAC is 2-2-2 知道了 发送伪造ARP信息 攻击者B IP Address B MAC B 1.1.1.20 5-5-5 IP Address MAC Type 1.1.1.8 9-9-9 Dynamic 正常用户A IP Address A MAC A 1.1.1.5 3-3-3 ARP表项更新为 IP Address MAC Type 1.1.1.8 2-2-2 Dynamic

ARP泛洪攻击 攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网 已更新 IP Address MAC Type 1.1.0.2 2-2-2 Dynamic 1.1.0.3 2-2-3 1.1.0.4 2-2-4 1.1.0.5 2-2-5 1.1.0.6 2-2-6 …… ……. IP Address G MAC G 1.1.0.1 1-1-1 网关G ARP表项被占满 1.1.1.103 MAC is 3-3-3 ARP表项无法学习 用户A、A1、A2、A3…的MAC更新了 1.1.0.2 MAC is 2-2-2 1.1.0.3 MAC is 2-2-3 1.1.0.4 MAC is 2-2-4 …… 发送大量伪造ARP信息 IP Address B MAC B 1.1.1.20 5-5-5 IP Address A MAC A 1.1.1.103 3-3-3 正常用户A 攻击者B

ARP病毒工作原理 网络时断时续,有可能是ARP病毒造成的,感染病毒的计算机把自己仿冒成网关 因特网 网关 个人计算机 感染病毒的个人计算机 病毒在局域网中向正常的计算机发送伪造的网关ARP信息, 使得其它计算机将它当成网关进行数据通信, 从而窃取其它用户个人信息, 账号密码等数据资料,或者在用户浏览的网页中插入恶意代码. 由于部分ARP病毒编写人员的水平有限, 病毒工作不正常时就导致其它计算机不能正常使用或完全无法使用网络.

ARP病毒检测 局域网内有ARP病毒的现象 ARP检查 上网时断时续, 网速变慢, 可能连内网主页也无法打开 浏览网页时出现与网页内容无关的弹出窗口 ARP检查 使用nbtscan工具, 配合arp –a 命令

ARP病毒检测 使用腾迅电脑管家里的—工具箱—arp防火墙,360木马防火墙等安全软件

防御ARP攻击的关键 获取合法用户的IP-MAC对应关系 利用合法IP-MAC对应关系防止非法ARP报文对终端和网关欺骗 主要应对措施: 1 2 利用合法IP-MAC对应关系防止非法ARP报文对终端和网关欺骗 主要应对措施: 1、找到病毒机器,杀毒,及时进行系统补丁更新 2、电脑绑定网关 3、网关绑定电脑 4、电脑绑定其它电脑mac 5、arp包限速,主是应对arp泛洪攻击

ARP病毒自我防护 编辑批处理文件myarp.bat, 建立快键方式放到启动组中 或安装ARP病毒防火墙 @echo off :::::::::::::::::::: Find Local Mac if exist ipconfig.txt del ipconfig.txt ipconfig /all >ipconfig.txt if exist LocalMac.txt del LocalMac.txt find "Physical Address" ipconfig.txt >LocalMac.txt for /f "skip=2 tokens=12" %%M in (LocalMac.txt) do set LocalMac=%%M :::::::::::::::::::: Find Local IP if exist LocalIP.txt del LocalIP.txt find "IP Address" ipconfig.txt >LocalIP.txt for /f "skip=2 tokens=15" %%I in (LocalIP.txt) do set LocalIP=%%I :::::::::::::::::::: Find Gateway IP if exist GatewayIP.txt del GatewayIP.txt find "Default Gateway" ipconfig.txt >GatewayIP.txt for /f "skip=2 tokens=13" %%G in (GatewayIP.txt) do set GatewayIP=%%G :::::::::::::::::::: Find Gateway Mac if exist GatewayMac.txt del GatewayMac.txt arp -d ping -n 1 %GatewayIP% arp -a %GatewayIP% >GatewayMac.txt for /f "skip=3 tokens=2" %%H in (GatewayMac.txt) do set GatewayMac=%%H :::::::::::::::::::: Bind Gateway IP & Mac arp -s %LocalIP% %LocalMac% arp -s %GatewayIP% %GatewayMac% exit 编辑批处理文件myarp.bat, 建立快键方式放到启动组中 或安装ARP病毒防火墙

IP地址和子网划分 IP地址分类 1、公有地址 公有地址(Public address)由Inter NIC(Internet Network Information Center因特网信息中心)负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。 如:60.191.244.5 60.191.244.5 私有地址 私有地址(Private address)属于非注册地址,专门为组织机构内部使用。以下列出留用的内部私有地址,如: 192.168.0.1 172.168.8.1 10.10.135.5 判断是否一个网段 地址、网关(假设此时仍未涉及掩码) 解析网关地址 封装并交给网关

IP地址和子网划分  1.IP地址的结构 IP地址有两种表示形式:二进制表示和点分十进制表示。IPv4的地址长度均为32位,分别分配给了网络号和主机号。我们一般做表十进制点分号进行表示 二进制 点分十进制 地址类型 11000000 10101000 01100100 10101000 192.168.100.180 私网地址 00111100 10111111 11110100 00000101 60.191.244.5 公网地址

IP地址的分类 IP地址根据机构所拥有的主机数量分成了 因些、A类地址可用网络数为126(27-1)个,每个网络内有16777214(224-2)个,IP地址范围为,1.0.0.1-126.255.255.254 B类地址可用网络数为16384(214-1)个,每个网络内有65534(216-2)个,IP地址范围为,128.0.0.1-191.255.255.254

IP地址的分类 地址 类型 引导位 W的范围 地址结构 可用网络 地址数 可用主机 A类 1-126 网.主.主.主 126(27-1) 1-126 网.主.主.主 126(27-1) 16777214(224-2) B类 10 128-191 网.网.主.主 16384(214) 65534(216-2) C类 110 192-223 网.网.网.主 2097152(221) 254(28-2) D类 1110 224-239 组播地址 E类 1111 240- 研究和实验用地址

IP地址分类:公网地址与私网地址 可在因特网中合法使用的IP地址称为公网地址。私网地址属于非注册地址,专门为组织机构内部使用。以下列出留用的内部私有地址,: A类有:10.0.0.0/8、 B类有:172.16.0.0/16~172.31.0.0/16、 C类有:192.168.0.0/24-192.168.255.0/24

IP地址的分配原则 只有A、B、C三类地址可以分配给计算机和网络设备 网络地址的第一个数字不能为127,保留用来测试连接,如127.0.0.1 网络地址不能全为0,也不能全为255:全为0没有网络,全为255用作子网掩码 如0.0.0.0 255.255.255.255

IP地址的分配原则 主机地址中不能全为0,也不能全为255:主机地址全为0用来表示网络地址,全为255用作广播 如192.168.0.255 192.168.0.0 网络地址相同主机地址必须惟一 不能使用的IP:0.0.0.0、255.255.255.255、127.x.x.x、A.0.0.0、A.255.255.255、B.B.0.0、B.B.255.255、C.C.C.0、C.C.C.255

子网划分 1.子网划分的目的  节约使用IP地址。 2、子网划分的方法

子网掩码 1、基本概念 子网掩码是一个应用于TCP/IP网络的32位二进制值,它可以屏蔽掉ip地址中的一部分,从而分离出ip地址中的网络部分与主机部分, 基于子网掩码,管理员可以将网络进一步划分为若干子网 192.168.0.1/255.255.255.0 192.168.8.1/255.255.255.0 10.10.135.1/255.255.255.0 10.10.136.1/255.255.254.0

子网掩码 2、如何用子网掩码得到网络/主机地址 S1.将ip地址与子网掩码转换成二进制; S2.将二进制形式的ip地址与子网掩码做‘与’运算,将答案化为十进制便得到网络地址; S3.ip地址的其余部分就是主机地址。 举例 IP地址:192.168.100.100 子网掩码 255.255.255.0 则网络地址为 192.168.100.0

子网掩码 3、子网掩码的分类 1)缺省子网掩码: 即未划分子网,对应的网络号的位都置1,主机号都置0。 A类网络缺省子网掩码:255.0.0.0 B类网络缺省子网掩码:255.255.0.0 C类网络缺省子网掩码:255.255.255.0 2)自定义子网掩码: 将一个网络划分为几个子网,需要每一段使用不同的网络号或子网号,实际上我们可以认为是将主机号分为两个部分:子网号、子网主机号。 形式如下

子网掩码划分实例 因此二者不在同一子网内,二层不通,需三层互通 IP-1 11000000 10101000 00000000 00000101 IP-2 10001000 子网掩码 11111111 10000000 网络号1 网络号2   IP地址 子网掩码 网络号 IP-1 192.168.0.5 255.255.255.128 192.168.0.0 IP-2 192.168.0.136 192.168.0.128 因此二者不在同一子网内,二层不通,需三层互通

教育网学校IP规划示例一 1、学校一,共计分得教育IP为8个C,要分成机房、高一年级组、高二年级组、高三年级组、服务器组、机房电脑有350台:学校IP如下: IP起 IP止 子网掩码 10.10.32.1 10.10.39.254 255.255.248.0 采用C分类法,一般使用一个C,就是254个IP。由于机房机子较多,需要2个C,服务器较少,只要1/4C就行,其它保留,规划如下 使用部门 IP范围 子网掩码 网关 机房(2个C) 10.10.32.2-10.10.33.254 255.255.254.0 10.10.32.1 高一年级组(1个C) 10.10.34.2-10.10.34.254 255.255.255.0 10.10.34.1 高二年级组(1个C) 10.10.35.2-10.10.35.254 10.10.35.1 高三年级组(1个C) 10.10.36.2-10.10.36.254 10.10.36.1 服务器组(1/4C) 10.10.37.2-10.10.37.62 255.255.255.192 10.10.37.1

教育网学校IP规划示例二 1、学校二,共计分得教育IP为1个C,要分成学生组、教师组、服务器和监控组机房电脑有不超过126台:学校IP如下: 子网掩码 10.10.85.1 10.10.85.254 255.255.255.0 采用1/4C分类法,机房1/2C,教师1/4C,服务器监控组使用1/16c 使用部门 IP范围 子网掩码 网关 机房(1/2C) 10.10.85.2-10.10.85.125 255.255.255.128 10.10.85.1 教师组(1/4C) 10.10.85.130-10.10.85.191 255.255.255.192 10.10.85.129 服务器监控(1/16C) 10.10.85.242-10.10.85.254 10.10.85.241

IP规划思考 学校IP范围如下 IP起 IP止 子网掩码 10.10.86.1 10.10.87.254 255.255.254.0 学校对教师机A和B分别设置IP了如下IP: 机器名 IP地址 子网掩码 网关 教师机A 10.10.86.100 255.255.255.0 10.10.86.1 教师机B 10.10.87.100 请问A和B两台机器能上网吗?A和B能互通吗? A机可以上网、B机不可以,A和B不能互通 一般电信给的IP是4个或8个,对应掩码为255.255.255.252和255.255.255.248 如:A机地址61.175.233.242/30 B机61.175.233.78/24 结果A和B不能访问

路由交换基础-VLAN划分 学校IP范围如下 IP起 IP止 子网掩码 10.10.86.1 10.10.87.254 255.255.254.0 学校对教师机A和B分别设置IP了如下IP: 机器名 IP地址 子网掩码 网关 教师机A 10.10.86.100 255.255.255.0 10.10.86.1 教师机B 10.10.87.100 请问A和B两台机器能上网吗?A和B能互通吗? A机可以上网、B机不可以,A和B不能互通 一般电信给的IP是4个或8个,对应掩码为255.255.255.252和255.255.255.248 如:A机地址61.175.233.242/30 B机61.175.233.78/24 结果A和B不能访问

冲突域与广播域 在交换式以太网中,交换机的每个端口处于独立的冲突域中,终端主机独占端口的带宽。 冲突域 冲突域 网桥 二层交换机 冲突域

冲突域与广播域 路由器或三层交换机的三层接口处于独立的广播域中,终端主机发出的广播帧在三层接口被终止。 Hub 三层交换机 二层交换机 PCA PCB PCC PCD 路由器或三层交换机的三层接口处于独立的广播域中,终端主机发出的广播帧在三层接口被终止。

广播风暴 设备发出的广播帧在广播域中传播,占用网络带宽,降低设备性能。 二层交换机 二层交换机 二层交换机 广播帧 PCA PCB PCC PCD 设备发出的广播帧在广播域中传播,占用网络带宽,降低设备性能。

用路由器或三层交换机来隔离广播 路由器 二层交换机 二层交换机 广播帧 PCA PCB PCC PCD 路由器能够隔离广播,减小广播域范围。

用VLAN隔离广播 二层交换机使用VLAN隔离广播,减小广播域范围。 二层交换机 VLAN1 VLAN2 广播帧 PCA PCB PCC PCD 二层交换机使用VLAN隔离广播,减小广播域范围。

VLAN的优点 PCA PCB PCC PCD 工作组1 工作组2 有效控制广播域范围 增强局域网的安全性 灵活构建虚拟工作组

基于端口的VLAN VLAN Table VLAN ID Port 10 E1/0/1 E1/0/2 20 E1/0/3 E1/0/4 PCA PCC E1/0/1 E1/0/3 E1/0/2 E1/0/4 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 PCB PCD VLAN 10 VLAN 20

基于MAC地址的VLAN VLAN Table VLAN ID MAC Address 10 MAC_A MAC_B 20 MAC_C MAC_D PCA PCC E1/0/1 E1/0/3 E1/0/2 E1/0/4 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 PCB PCD VLAN 10 VLAN 20

基于协议的VLAN VLAN Table VLAN ID Protocol 10 IP 20 IPX PCA PCC E1/0/1 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 PCB PCD VLAN 10 运行IP协议 VLAN 20 运行IPX协议

VLAN标签 交换机用VLAN标签来区分不同VLAN的以太网帧 带有VLAN10标签的以太网帧 PCA PCC PCB 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 PCB 带有VLAN20标签的以太网帧 PCD VLAN 10 VLAN 20 交换机用VLAN标签来区分不同VLAN的以太网帧

802.1Q帧格式 DA SA Type Data CRC DA SA Type Data CRC tag TPID Priority 标准以太网帧 DA SA Type Data CRC tag TPID Priority CFI VLAN ID TCI 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 带有IEEE802.1Q标记的以太网帧

单交换机VLAN标签操作 在进入交换机端口时,附加缺省VLAN标签 出交换机端口时,去掉VLAN标签 不带VLAN标签的 以太网帧 PCA PCC Tag=10 Tag=20 PCB PCD 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 在进入交换机端口时,附加缺省VLAN标签 出交换机端口时,去掉VLAN标签

Access链路类型端口 只允许缺省VLAN通过,仅接收和发送一个VLAN的数据帧 一般用于连接用户设备 Access端口 PCA PCC Tag=10 Tag=20 PCB PCD 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 只允许缺省VLAN通过,仅接收和发送一个VLAN的数据帧 一般用于连接用户设备

跨交换机VLAN标签操作 带有VLAN标签的以太网帧在交换机间传递 不带VLAN标签的 以太网帧 PCA SWA SWB PCC Tag=10 E1/0/1 E1/0/1 E1/0/24 E1/0/24 E1/0/2 E1/0/2 Tag=20 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 PCB PCD 带有VLAN标签的以太网帧在交换机间传递

Trunk链路类型端口 允许多个VLAN通过,可以接收和发送多个VLAN的数据帧 缺省VLAN的以太网帧不带标签 一般用于交换机之间连接 Access端口 PVID:10 Access端口 PVID:10 Trunk端口 PVID:20 PCA PCC Tag=10 E1/0/1 E1/0/1 E1/0/24 E1/0/24 E1/0/2 E1/0/2 PCB PCD Trunk端口 PVID:20 此页标题禁止有多级标题,更不要出现所在章节的名称。 此页标题要简练,能直接表达出本页的内容。 内容页可以除标题外的任何版式,如图、表等。 该页在授课和胶片+注释中都要使用。 Access端口 PVID:20 Access端口 PVID:20 允许多个VLAN通过,可以接收和发送多个VLAN的数据帧 缺省VLAN的以太网帧不带标签 一般用于交换机之间连接

VLAN划分实例 在学校接入交换机BDCOM 3829HPOE上实现 组别 Vlan号 IP地址 端口号 Uplink(上联组) 100 10.10.251.101 G0/1 Tachers(教师组) 101 10.10.200.1 G0/2 Students(学生组) 102 10.10.201.1 G0/3 Servers(服务器组) 103 10.10.202.1 G0/4 学生组 VLAN102 教师组 VLAN101 服务器组 VLAN103 教育网 G0/1 G0/2 G0/3 G0/4

VLAN配置实例 Switch>enable --进入特权模式 Switch#config --进入配置态 组别 Vlan号 IP地址 端口号 Uplink(上联组) 100 10.10.251.101 G0/1 Tachers(教师组) 101 10.10.200.1 G0/2 Students(学生组) 102 10.10.201.1 G0/3 Servers(服务器组) 103 10.10.202.1 G0/4 Switch>enable --进入特权模式 Switch#config --进入配置态 Switch_config_vlan101#vlan 102 --创建VLAN102 Switch_config_vlan102#name students Switch_config_g0/2#interface g0/3 --进入G0/3 Switch_config_g0/3#switchport pvid 102 –把G0/3划给VLAN102 Switch_config_v101#interface vlan 102 --进入VLAN102 Switch_config_v102#ip addr 10.10.201.1 255.255.255.0 --设置VLAN102网关IP

常见网络服务-DHCP 缺点 人工配置 自动配置 优点 必须在每一个客户机上输入一个IP地址 用户可能输入错误的或非法的IP地址 计算机频繁地在子网间移动,也会加大对网络进行日常管理所需要的开销 DHCP服务器为DHCP客户机自动提供所有必要的配置信息 可以确保网络客户机使用正确的配置信息 消除了网络问题的一个常见的来源 DHCP还自动更新客户机配置信息,以反映网络结构的变化

常见网络服务-DHCP DHCP全称是Dynamic Host Configuration Protocol(动态主机配置协议),该协议可以自动为局域网中的每一台计算机自动分配IP地址。 DHCP功能向网络中的计算机分配IP地址 永久租用:不限定租期,用于IP地址充足的网络环境。 限定租期:将IP地址租借给客户端一段时间,租期到期后将会收回IP地址,多用于IP地址匮乏的网络环境。 为网络中的计算机配置TCP/IP信息 包括IP、网关、DNS等 配发的BDCOM3928HPOE可支持DHCP功能,同样windows2003 SERVER也支持

DHCP的运行机制 IP地址1 IP地址2 非DHCP客户机 配置静态IP地址 DHCP客户机 通过DHCP服务器 动态配置IP地址

双路由下的DHCP-LAN TO LAN INTERNET WAN WIFi-A LAN4 LAN3 WIFi WIFi-B LAN1

双路由下的DHCP-LAN TO LAN 在些种模式下,配置注意点有两个 1、Wifi-A启用DHCP SERVER服务,WIFI-B必须关闭DHCP SERVER服务,以保证整个网络只有一个DHCP SERVER,保证电脑能正确获取IP DSN和网关地址 2、一般路由器默认IP为192.168.1.1 为了保证不冲突,需更改Wifi-B的LAN管理地址,如192.168.1.2,不然会造成网络时断时续的情况

双路由下的DHCP-WAN TO LAN INTERNET WAN WIFi-A LAN4 LAN3 WIFi WIFi-B LAN1

双路由下的DHCP-WAN TO LAN 在些种模式下,配置注意点有两个 1、Wifi-A均可启用DHCP SERVER服务,但Wifi-B的WAN口建议使用静态地址,如192.168.1.8/255.255.255.0 2、此配置方式为两次NAT(网络地址转换),有些应用会受到一定的影响 3、如果两个路由不是用网线互联,而是用无线互联,需明白的是,无线在路由中属于LAN区域,因此桥接、wds、无线中继属于LAN-LAN互联、无线客户端模式属于WAN-LAN互联,配置注意点等同于以上两种拓扑 4、配置无线建议:不无线互联情况下,设备不同频道,无线要进行加密,加密不使用wep、关闭WPS功能

DNS服务 DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。 Sun 1.1.1.1 Hosts文件 Sun->1.1.1.1 Moon->1.1.1.3 Earth->1.1.1.4 Moon 1.1.1.3 Internet Earth 1.1.1.4

DNS服务的作用 将域名解析为IP地址 客户机向DNS服务器发送域名查询请求 DNS服务器告知客户机Web服务器的IP地址 如 www.lxedu.org 60.191.209.36 可以用使用nslookup查询

网络地址转换-NAT NAT(Network Address Translation,网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用IP地址空间的枯竭。 私网 公网 10.0.0.1 HostA 10.0.0.254/24 198.76.28.1/24 HostB 10.0.0.2 Internet Server 198.76.29.4/24 地址池 198.76.28.11 198.76.28.12 …… 198.76.28.20 NAT设备

网络地址转换-NAT NAT注意点 1、三层交换机带路由功能,但不带NAT,需要独立构置相应的NAT板 2、一般家庭用路由器、支持NAT,电信EPON、GPON等设备支持NAT 3、相关业务需要进行服务器映射,或启用UPNP