多平台统一管理软件接口,如何实现多平台统一管理软件接口
367
2022-09-13
网络笔记
第一章 计算机网络
局域网:一般企业自己购买设备搭建的网络
广域网:一般企业付费购买网络线路,带宽不定。
INTNET:由网络运营商和用户构成。
客户机:安装了享受网络服务软件的计算机。
服务器:安装了提供网络服务软件的计算机。
网络传输过程例子:
OSI参考模型
应用层:提供接口 能产生流量的应用程序 如QQ
表示层:表示数据,处理数据。加密、压缩
会话层:维持不同应用程序对数据的分割。Msconfig netstat -nb
任务管理器查看进程位置
传输层:1.可靠传输 流量控制功能 差错检查 建立回话
2.不可靠传输
网络层:选择最佳路径
数据链路层;网络设备如何封装数据帧 设备地址(MAC地址)
物理层:电压标准 接口标准
OSI网络参考模型排错
物理层: 连接问题
数据链路层 :MAC 地址冲突
网络层: 计算机网关设置错误 路由表错误
应用层:应用程序问题 IE代理设置错误
OSI网络参考模型与网路安全
物理层安全:
数据链路层安全:MAC认证 ADSL拨号账号密码 划分Vlan
网络层安全:路由器ACL
传输层安全:控制端口安全
应用层安全:网站安全 操作系统安全
网络设备
网线: 双绞线 8根 100米距离 100M 1000M 线序 直通线
网卡 MAC:物理地址 硬件地址 不能更改 查看mac地址 ipconfig/all
集线器 HUB :群发 不安全 带宽共享 效率低
网桥 :基于MAC控制 可以学习MAC地址表
交换机Sw: 基于MAC转发数据 安全 带宽独享 全双工通信 学习MAC地址
路由器:负责在不同网段(类似电话号码区号)转发数据 一般有广域网接口 隔绝广播 目
标MAC全1广播 FFFFFFF
网络设备和osi参考模型
交换机基于MAC地址转发 数据链路层设备
路由器 基于IP 地址转发 网络层设备
集线器 物理层设备
分层考虑问题
网络排错方法 替换法
第二章 tcp/ip
传输层的两个协议
可靠传输:tcp协议 数据拆分多段 丢了重传 需要建立会话(消耗系统资源)
netstat -n
不可靠传输:UDP协议 一个数据包就能完整表达意思 屏幕广播 不建立会话
应用层协议
21传数据 20 验证身份)
如银行站点)
POP3=TCP+111
RDP=TCP+3389
DNS=UDP+53
SMTP=TCP+25
Ip 访问Windows共享文件夹=tcp+445
SQL=TCP+1433
telnet=tcp+23
服务和端口的关系
IP地址定义计算机 端口定位服务
服务侦听端口
服务器更具数据包的目标端口来区分客户端请求的服务
服务停止 侦听端口关闭
查看端口 netstat -an
查找端口 netstat -anb | find “3389”
帮助 netstat /?
网络安全
例如 服务器只做WEB服务器 关闭所有端口 只打开TCP 80端口
TCPIP筛选不影响出去的流量
例如 访问目标端口443原端口,作为WEB服务器只开启80端口 ,出去占用随机端口为1024后任意一个。
如何查看可疑木马?
1.netstat -n查看端口2.查看服务 msconfig
Ipsec技术控制木马产生流量?
1、打开本地安全策略
2、Ip安全策略 设置策略 只打开80流量,其余端口流量全部拒绝
网络安全
在windows2003server上使用TCP/IP筛选网络安全
Windows xp windowsserver2003防火墙
Windows xp windowsserver2003支持ipsec 严格控制进出计算机流量
WindowsTCPIP筛选安全级别高于防火墙,因为防火墙服务停止后,防火墙即便启用也不起作用。
网络层协议
Ip协议 选择最佳路径的协议
ICMP协议 测试网络状态的协议
Ping 估算带宽 查看网络是否畅通 断定远程系统
Pathping | 跟踪路径 计算丢包情况
IGMP 组播 配置在路由器上
点到点 :目标与原地址确定
广播 : 网卡绑定广播地址 目标地址全1 所有人都可以收到 例如视频课
多播 (组播):一组计算机可以收到 绑定组播地址
APR协议 将计算机的IP地址解析成MAC地址
查看缓存ARP地址 ARP -a
抓包工具排除网络故障
数据跨网段通信和同一网段通信过程
MAC地址决定吓一跳给那个设备
IP地址决定最终计算机
如果在一网段 解析MAC地址 如果不在一个网段解析网关MAC地址 也就是路由的MAC地址
第三章 IP地址与子网划分
二进制和十进制
1 1
10 2
100 4
1000 8
10000 16
100000 32
1000000 64
10000000 128
11000000 192
11100000 224
11110000 240
11111000 248
11111100 252
11111110 254
11111111 255
IP地址
32位二进制
子网掩码作用:计算机与另外计算机通信,首先需要判断是不是一个网段,用原IP地址与子网掩码做与运算,再用原子网掩码与目标地址做与运算,主机位归零后,留下的为网络部分,然后在做比较。
IP地址分类是构成。
A类地址:第一个8位为网络部分,后三个8位是主机部分。可用ip数量256*256*256-2
B类地址:前两个8位为网络部分,后两个8位是主机部分。可用ip数量256*256-2
C类地址:前三个8位为网络部分,最后一个8位是主机部分。可用ip数量256-2
主机部分全零代表网络号不可用,如10.0.0.0。
主机部分全1不可用,作为广播地址,如10.255.255.255.
D类地址 组播
E类地址 研究
互联网保留的私网地址
A:10.0.0.0
B:172.16.0.0-172.31.0.0
C:192.168.0.0-192.168.255.0
本地还回地址
127.0.0.1
169.254.0.0
等长子网划分
判断IP地址所属网段
192.168.0.101/27
一般子网掩码为24,27为在24基础上向后移动3位,二进制三位将网络分为了8段,网络断为0-255共256个地址,256/8=32,每个地址段分为32 如上图。101位于96-128段。主机位归零后,起点为96.所以192.168.0.101属于192.168.0.96子网。
变长子网划分
需求研发部20台,财务部50台,市场部100台。
20 50 100
0 32 64 128 255
等分一次除一次二 子网掩码往后移动一位 分两段
市场部:子网掩码255.255.255.128 ip192.168.0.129-254
等分二次除二次二 子网掩码往后移动二位 分四段
财务部:子网掩码255.255.255.192 ip192.168.0.65-126
等分三次除三次二 子网掩码往后移动三位 分八段
研发部:子网掩码255.255.255.224 Ip192.168.0.33-62
合并网段
将不同网段合并为一个网段 实际为将子网掩码向前移动
如 将19.168.0.2网段与192.168.1.2网段合并为一个网段 。 0 、1可合并,2 、3可合并
只需将子网掩码设置为255.255.254.0 网关设置为192.168.0.1
子网掩码往前移动1位合并2个网段
子网掩码往前移动2位合并4个网段
子网掩码往前移动3位合并8个网段
以此类推
第四章 Cisco ios
cisco路由器IOS命名规则:AAAAAA-BBBB-CC-DDD.EF
AAAAAA这组字符说明文件所适用的硬件平台
BBBB这组字符是说明这个IOS的包含的特性
CC是IOS文件格式
DDDD是iOS软件版本号
EE是IOS文件后缀,.bin或者.tar
配置路由器以太网接口和广域网接口
命令:
Show ? 查看show命令帮助
Disable 退出特权模式
Enable 进入特权模式
define enable action if no tacacs servers respond
译文:定义使操作如果没有tacacs服务器响应
Show interface e 1/0 查看端口状态
Show running-config 查看配置
Show version 查看版本号
Config terminal 配置终端 简写config t
全局配置模式【r(config)# 】
【r(config-if)# 】
hostname xxxxx 修改名字
enable password xxxx 修改密码
exit 退出全局模式
interface ethernet 1/0 在全局模式下进入配置接口模式
Ip address 192.168.0.2 255.255.255.0 配置IP地址 子网掩码
ip address 192.168.0.2 255.255.255.0 ? 加多个地址
No shutdown 不关闭启用 简写 no sh命令前加NO 是不起作用的意思
Shut down 关闭
注:路由器有三种基本的访问模式:1、 用户模式(User EXEC)用户模式是路由器启动时的缺省模式,提供有限的路由器访问权限,允许执行一些非破坏性的操作,如查看路由器的配置参数,测试路由器的连通性等,但不能对路由器配置做任何改动。该模式下的提示符(Prompt)为“>”。show interfaces命令,查看路由器接口信息,即为用户模式下的命令。2、 特权模式(Privileged EXEC)特权模式,也叫使能(enable)模式,可对路由器进行更多的操作,使用的命令集比用户模式多,可对路由器进行更高级的测试,如使用debug命令。在用户模式下通过使能口令进入特权模式。提示符为“#”。Show running-config即为特权模式命令。3、 配置模式(Global Configuration)配置模式是路由器的最高操作模式,可以设置路由器上的运行的硬件和软件的相关参数;配置各接口、路由协议和广域网协议;设置用户和访问密码等。在特权模式“#”提示符下输入config命令,进入配置模式。
配置广域网口
DCE端定义时钟频率 DTE接收
【r(config)# 】
Interface serial 2/0
【r(config-if)# 】
Clock rate ? 定义时钟频率
Clock rate 64000
Show controllers serial 2/0
查看端口是否为DCT
设置路由器为允许telnet模式
【r(config)# 】
Line vty 0 ? 最大允许16人同时连接
Line vty 0 15 可以同时打开十五个会话端口
Password aaa 设置密码
Login 设置必须登陆登陆
Show users 查看有多少人在连接路由器
禁止telnet 路由器
【r(config)# 】
Line vty 0 15 设置全部0-15端口
Login 必须登陆
No password 没有登陆密码
保存路由器配置
【r# 】
Copy running-config startup-config 拷贝运行配置到启动配置
Copy startup-config running-config 将以前的配置生效
设置允许网页访问
【r(config)# 】
Ip server
设置加密的enable 密码
【r(config)# 】
Enable secret xxxxxxxx
设置Telnet密码
将所有密码加密显示
常用
RRouter>enable //进入特权模式
Router#conf t //进入全局模式,全拼 configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname cisco //设置路由器名
cisco(config)#enable password 123 //设置进入特权状态的密码(password),此密码只在没有密文时起作用,并且在设置以后会以明文方式显示
cisco(config)#enable secret 456 //设置进入特权状态的密文
//console端口登录的密码
cisco(config)#line console 0
cisco(config-line)#password xxxxx
cisco(config-line)#login
//远程telnet端登陆的密码
cisco(config-line)#line vty 0 15
cisco(config-line)#password xxxxx
cisco(config-line)#login
cisco(config-line)#exit
cisco(config)#exit
cisco#copy running-config startup-config //保存当前配置为下次启动配置
Destination filename [startup-config]?
Building configuration...
[OK]
cisco#reload //重启路由器
路由器telnet 路由器
路由器配置域名解析
(config)#ip domain-lookup 打开域名解析(config)#ip r2 192.168.0.2 r2的地址是192.168.0.2(config)#ping r2
(config)#ping name-server 8.8.8.8 此命令是为路由器添加一个DNS地址
使用cdp思科发现协议 适用二层地址通信
Router1# show cdp neighbors
Router1# show cdp neighbors detail
第五章静态路由
网络畅通的条件 数据包能去能回
沿途的路由器必须知道到目标地址如何转发
沿途的路由器必须知道回来的数据包如何转发
路由器直连的网络 不用告诉
路由器没有直连的网络 管理员需要告诉路由器到目标网络如何转发,也就是添加静态
路由
路由只关心网段 不关心具体计算机
添加路由命令
(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.1 ×××为目标地址段 绿色为下一跳地址
R1# traceroute 192.168.1.2 跟踪数据包路径
R1#show ip route 查看路由表
(config)#no ip route 192.168.1.0 255.255.255.0 删除到192.168.1.0网段的路由条目
路由汇总前提条件:是相同网段的都在一台起始路由的一侧。如不在一侧则无法汇总如图172.16.10.0在另外一侧
使用CRID简化路由表
192.168.16.0/24 都除4 等同于 0 合并四个网段子网掩码向前移动两位/22
192.168.17.0/24 1
192.168.18.0/24 2
192.168.19.0/24 3
默认路由
网络地址与子网掩码都为0 意味着任何网络
Windows上添加路由表
Route add 0.0.0.0 mask 0.0.0.0 192.168.0.1
查看路由表
Route print
Netstat -r
网关是本网段的出口,是下一跳的地址。内网不设置网关。
网络负载均衡
第六章动态路由
Rip协议 跳数 30秒广播路由表 最大跳数16跳
配置rip协议
R1(config)#router rip
R1(config-router)#network 192.168.80.0 在RIP协议下将网段加入路由
查看动态路由配置情况
R3#show ip protocols
协议 优先级高于rip
R1(config)#router eigrp 10 自制区域号10,不同编号的路由器不能交换路由信息
优先级 : 直连 C 1 >静态 S> eigrp D 90>rip R 120
第七章交换机
集线器 :不安全 带宽共享 冲突域
交换机:基于目标MAC转发 学习MAC地址表 端口独享带宽 无冲突 广播FF
查看MAC表
SW#show mac-address-table
交换机端口安全
1、限制数量
Swich#config t
Swich(config)#interface fastEthernet 0/4
Swich(config-if)#switchport mode access
Swich(config-if)#swichport port -security
Swich(config-if)#swichport port -security violation shutdowm
Swich(config-if)#swichport port -security maxinum 2 设置交换机最大接入数量为2
2、绑定MAC
Swich(config)#interface range fastEthernet 0/1 - 24 range批量改变端口
Swich(config-if-range)#switchport mode access
Swich(config-if-range)#swichport port-security 交换机端口安全
Swich(config-if-range)#swichport port -security violation shutdowm 违反端口安全
Swich(config-if-range)#swichport port -security mac-address sticky 将现有MAC地址表改为静态
注:
交换机的端口工作模式一般可以分为三种:Access,Multi,Trunk。trunk模式的端口用于交换机与交换机,交换机与路由器,大多用于级联网络设备。Access多用于接入层也叫接入模式。主要是将端口静态接入。
1、access: 主要用来接入终端设备,如PC机、服务器、打印服务器等。 2、trunk: 主要用在连接其它交换机,以便在线路上承载多个vlan。 3、multi: 在一个线路中承载多个vlan,但不像trunk,它不对承载的数据打标签。主要用于接入支持多vlan的服务器或者一些网络分析设备。现在基本不使用此类接口,在cisco的网络设备中,也基本不支持此类接口了。
注:
理解Port-Security
1.Port-Security安全地址:secure MAC address 在接口上激活Port-Security后,该接口就具有了一定的安全功能,例如能够限制接口(所连接的)的最大MAC数量,从而限制接入的主机用户;或者限定接口所连接的特定MAC,从而实现接入用户的限制。那么要执行过滤或者限制动作,就需要有依据,这个依据就是安全地址 – secure MAC address。 安全地址表项可以通过让使用端口动态学习到的MAC(SecureDynamic),或者是手工在接口下进行配置(SecureConfigured),以及sticy MAC address(SecureSticky) 三种方式进行配置。 当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址,那么这个接口将只为该MAC所属的PC服务,也就是源为该MAC的数据帧能够进入该接口。
2.当以下情况发生时,激活惩罚(violation): 当一个激活了Port-Security的接口上,MAC地址数量已经达到了配置的最大安全地址数量,并且又收到了一个新的数据帧,而这个数据帧的源MAC并不在这些安全地址中,那么启动惩罚措施 当在一个Port-Security接口上配置了某个安全地址,而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时,启动惩罚措施 当设置了Port-Security接口的最大允许MAC的数量后,接口关联的安全地址表项可以通过如下方式获取: · 在接口下使用switchport port-security mac-address 来配置静态安全地址表项 · 使用接口动态学习到的MAC来构成安全地址表项 · 一部分静态配置,一部分动态学习
生成树协议:为了高可用,局域网交换机连接有了环路,为了阻断网络中广播,利用生成树协议
1、确定根交换机(依据根交换机默认优先级小的,MAC数值小)
2、确定根端口转发用户数据(路径短)
3、确定指定端口 阻断端口
查看生成树
Swich#show spanning-tree
修改根交换机优先级 值越小 优先级越高
Swich#config t
Swich(config)#spanning-tree ?查看帮助
Swich(config)#spanning-tree vlan 1 priority 4096
关闭生成树协议
Swich(config)#no spanning-tree vlan 1
第八章VLAN
一个VLAN=一个网段=一个广播域
Gi1/2干道链路:可以传输多个VLAN数据
跑多个VLAN时trunk
单个VLAN时access
步骤:
创建VLAN2
将接口添加到VLAN2
将G1 /1配置成干道链路
创建VLAN2
将G0/1配置成干道链路
将G0 /2配置成干道链路
将interface vlan 1 添加IP地址
将interface vlan 2 添加IP地址
配置VLAN:
查看VLAN
Swich#show vlan
创建VLAN2
Swich(config)#vlan2
将13-24放到VLAN2
Swich(config)#interface range fastethernet 0/13-24
端口与计算机相连为access模式,该端口的工作模式是access
Swich(config-if-range)#switchport mode access
端口在access的工作模式下允许VLAN2通过
Swich(config-if-range)#switchport access vlan2
配置干道链路:
Swich(config)#interface gigabitEthernet 1/1
Swich(config-if)#swich mode trunk encapsulation dot1q trunk协议封装为dot1q
Swich(config-if)#swich mode trunk 端口模式为trunk
第九章ACL
网络安全:
1、物理层安全:墙上不用的网线接口连接交换机的端口关掉
2、数据链路层安全:adsl拨号账号和密码 MAC地址绑定 交换机端口连接计算机数量控制 创建vlan
3、网络层安全:基于源ip地址 目标ip地址控制
4、传输层安全:会话攻击 LAND攻击 syn洪水攻击
5、应用层安全 登录密码
DMZ是英文"demilitarized zone"的缩写,中文名称为"隔离区",也称"非军事化区"。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
路由器实现的是网络层安全
1、标准的ACL
基于源地址进行控制
2、扩展的ACL
基于源地址 目标地址 协议 端口号 进行控制
访问标准控制列表
Router(config)#no access-list 10 删除控制列表
Router(config)#access-list 10 deny host 192.168.2.2 0.0.0.255拒绝这个地址
Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 允许这个网段
Router(config)#access-list 10 permit 192.168.2.0 0.0.0.255 允许这个网段
Router(config)#access-list 20 deny host 192.168.0.0 0.0.0.255 除去这个地址都可访问
Router(config)#access-list 20 permit any
扩展的Acl
Router> en
Router#config t
Router(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 any
ACL100允许 ip协议 192.168.2.0网段 访问 任何地址
Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255 eq 80
允许192.168.1.0网段访问10.0.0.0的80端口
Router(config)#access-list 100 permit icmp 192.168.0.0 0.0.0.255 any
允许192.168.0.0网段PING通任何地址
将ACL100 绑定到serial 3/0
Router(config)#interface serial 3/0
Router(config-if)#ip acess-group 100 out
使用ACL 保护路由器安全 控制Telnet 主机
Router(config)#access-list 10 permit 192.168.1.3 0.0.0.0 创建列表 只有一台计算机
Router(config-if)#ip access-group 10 in 将ACL绑定到物理接口
Router(config-line)#access-list 10 in 将ACL终端绑定到telnet 接口进入时检查list 10规则
第十章NAT和PAT
NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。
另外,这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用的IP地址空间的枯竭。
地址转换技术
1、内网能够主动访问外网,外网不能主动访问内网,内网安全。
2、节省公网IP地址
缺点:慢
PAT :端口地址转换,端口地址同时换。节省公网IP。
配置静态NAT:不节省公网IP,一个公网IP替换一个内网地址。
一一对应
动态NAT:先到先得公网地址
PAT:全部替换成一个公网地址,端口号不同,可以区分不同内网地址
在路由上配置PAT
开启ip数据包转发显示
Router#Debug ip packet 开启数据包转发显示
Router(config)#access-list 10 permit 10.0.0.0 0.0.0.255 定义内网访问控制列表
Router(config)#ip nat pool todd 131.107.0.1 131.107.0.1 netmask 255.255.255.0
定义公网地址池为131.107.0.1到 131.107.0.1
Router(config)#ip nat inside source list 10 pool todd overload 将访问列表与公网地址池绑定
定义进出端口为NAT
Router(config)#interface series 0/0
Router(config-If)#ip nat outside
Router(config)#interface fastEthernet 0/1
Router(config-if)#ip nat inside
在路由器上查看NAT活动
Router#debug ip nat
在windows上配置NAT
1.路由和远程访问配置nat
2.连接共享
端口映射 允许你使用公网地址访问内网服务器
1.在路由器上配置端口映射
CPE>en
CPE#
CPE#config t
CPE(config)#ip nat inside source stasic tcp 10.0.0.6 80 131.107.0.1 80 将外网地址131.107.0.1 80端口映射到内网10.0.0.6 80端口,其为WEB服务器,外网可以访问内网WEB服务
CPE(config)#intterface serial 0/0
CPE(config-if)#ip nat outsaide 告知路由s0/0位外网口
CPE(config)#intterface fastEthernet 0/1
CPE(config-if)#ip nat insaide 告知路由fa0/1位内网口
2.在WINDOWS上配置端口映射
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
发表评论
暂时没有评论,来抢沙发吧~