showip

实验拓扑： 实验需求：如图，R1,R2,R3为公网路由器，属于AS65001。R4，R6为A公司的总公司和子公司出口路由器，R5,R7为B公司的总公司和子公司的出口路由器。运营商为R4,R5连接R1的网段均部署为私网网段172.16.40.0/24 ,为R6,R7连接R3的网段部署为172.16.60.0/24和172.16.70.0/24 。 要求使A公司的总公司(40.1)能与子公司出口路由器的内网网段(60.1)通信，B公司的总公司(40.1)能与子公司出口路由器的内网网段(70.1)通信。 实验步骤： 首先进行基本配置。(R1,R3的下行口一会再配） R1: f0/0:12.0.0.1/24 l0:1.1.1.1/32 R2: f0/0:12.0.0.2/24 f0/1:23.0.0.2/24 l0:2.2.2.2/32 R3 f0/0:23.0.0.3/24 l0:3.3.3.3/32 R4 f0/0:172.16.40.2/24 l0:192.168.40.1/24 R5 f0/0:172.16.40.2/24 l0:192.168.40.1/24 R6 f0/0:172.16.60.2/24 l0:192.168.60.1/24 R7 f0/0:172.16.70.2/24 l0:192.168.70.1/24 首先在R1,R2,R3上运行ospf协议。 R1

第一部分：扩展ACL 拓扑图 地址表 Device Interface IP address R1 F 0/0 172.16.19.1 F 0/1 10.3.19.1 S 0/0/1 10.1.19.1 R2 S 0/0/1 10.1.19.2 S 0/0/0 10.2.19.2 R3 F 0/0 192.168.19.3 S 0/0/0 10.2.19.3 PC-1 NIC 172.16.19.100 Default Gateway 172.16.19.1 PC-2 NIC 10.3.19.100 Default Gateway 10.3.19.1 Server1 NIC 192.168.19.100 Default Gateway 192.168.19.3 配置扩展ACL前先把地址分配端口，网络连通，然后配置静态路由。 R1(config)#ip route 172.16.19.0 255.255.255.0 10.1.19.2 R1(config)#ip route 10.2.19.0 255.255.255.0 10.1.19.2 R1(config)#ip route 192.168.19.0 255.255.255.0 10.1.19.2 R2(config)#ip route 172.16.19.0 255.255.255.0 10.1.19.1 R2(config)

一、GNS3的基本使用方法 1.创建/打开项目 可以在file目录下执行创建项目/打开项目/删除项目等操作。 2.配置路由/交换机 单击Edit 选择preferences 里面有很丰富的功能，我们这里演示配置路由的功能 选择IOS routers 可以新增/删除/修改/配置 路由或者交换机 3.主界面介绍 4.建立的拓扑 5.显示对应设备的端口信息 二、建立拓扑具体操作 1.子网划分 2.配置路由器 配置路由器的端口以R1为例，其余同理。 （1）配置f0/0端口 配置完成后观察到配置成功 （2）配置f1/2端口 在执行和f0/0端口同样命令的时候可能会出现以下情况，需要我们输入：no switchport 此时输入: do show ip interface b观察到f1/2的端口并未修改成功 重新执行配置指令 配置成功 （3）配置f1/0端口 过程同f1/2 R2、R3同R1。 3.配置pc 4.配置静态路由 为什么要配置静态路由？ 答：路由关系是需要双向解析的，和NAT单向不同的。在几个网段互联时就需要配置静态路由来指定某一个网段通过哪个地址去访问。 配置192.168.1.0到192.168.3.0的静态路由 同理，配置192.168.1.0到192.168.4.0的静态路由 同理，配置R2通往R3、R2通往R1、R3通往R1、R3通往R2的静态路由 5.进行ping测试

交换机上的trunk，hybrid，access配置和应用 以太网端口的链路类型： Access类型：端口只能属于一个vlan，一般用于连接计算机。 Trunk类型：端口可以属于端个vlan，可以接收和发送多个vlan报文，多用于交换机之间。 hybrid类型：端口可以属于多个vlan，可以接收和发送多个vlan的报文，可以用于交换机之间，也可以用于连接用户主机。 www.2cto.com 三种类型的端口可以共存在一台设备上，但Trunk端口和Hybrid端口之间不能直接切换，只能先设为Access端口，再设置为其他类型端口。例如：Trunk端口不能直接被设置为Hybrid端口，只能先设为Access端口，再设置为Hybrid端口。 各端口链路类型设置指令: 操作命令设置端口为Access端口 port link-type access 设置端口为Hybrid端口 www.2cto.com port link-type hybrid 设置端口为Trunk端口 port link-type trunk 恢复端口的链路类型为缺省的Access端口 undo port link-type hybrid端口和trunk端口的区别： Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。 设置以太网端口缺省VLAN ID：

需要的环境PacketTracer6（思科） 对路由器配置动态路由实现不同网段之间的通信 按要求搭建上面的网络拓扑结构 使用鼠标拖动将所需要的结构放入到空白处 配置好各台pc机的ip地址以及网关地址（ip地址以及各网关地址注明在上面） 对路由器连接的各个端口进行配置，命令如下： 左边路由器： enable 15 configure terminal interface fastethernet 0/0（查看端口号使用鼠标移入有连接的颜色的节点） ip address 222.1.3.2 255.255.255.0 no shutdown exit interface serial 3/0 ip address 222.1.5.2 255.255.255.0 no shutdown exit interface serial 2/0 ip address 222.1.4.2 255.255.255.0 no shutdown exit 右边路由器： enable 15 configure terminal interface fastethernet 0/0 ip address 222.1.2.5 255.255.255.0 no shutdown exit interface serial 3/0 ip address 222.1.6.2 255.255.255.0 no

二层安全： Switch Security交换机安全 越底层安全问题越严重 DMZ区域概念：UNTRUST和TRUST区域均能主动访问DMZ区域，但是DMZ不能主动访问任何区域。 【目录】 1、MAC layer attacks ***方法： MAC地址flooding*** MAC地址的欺骗*** 解决方案： 基于源MAC地址允许流量：端口安全 基于源MAC地址限制流量：static CAM (发现***后采取的办法) 阻止未知的单/组播帧 802.1x基于端口的认证 2、VLAN attacks ***方法： 主机与SWITCH形成TRUNK接口 解决方案： switch mode access VACL PVLAN 3、spoof attacks 3.1、DHCP spoof 解决方案： DHCP snooping 3.2、IP spoof 解决方案： IP 源防护 3.3、ARP spoof 解决方案： 静态绑定ARP条目 DAI 4、attacks on switch devices 关闭不必要的服务，比如CDP 限制广播/组播流量 为交换机设置登录密码 使用SSH实现安全的登录 【原文】 ＜part-1.MAC层***＞ A、MAC Flooding MAC layer attacks 原理：***者不断更换源MAC地址，占满交换机的内存表，使交换机内存溢出 解决办法：

本文简要介绍了linux系统上的ip地址管理的方法，这两种方法都是通过配置内核生效的方法，重启后配置失效。 一、 ifconfig 用于配置常驻内核的网络接口，一句话言之，立即生效，非永久有效，即重启后配置失效。 查看当前系统上活动网卡信息 ifconfig 设置IP和掩码 ifconfig ens160 192.168.99.28 netmask 255.255.255.0 设置网关 route add default gw 192.168.99.254 开启关闭接口 ifdown ens160 ifup ens160 ifconfig ens160 up ifconfig ens160 down #将接口ifdown以后，它显示仍然是UP、Running状态；但不会显示IP地址，这个更像 #将接口ifconfig DEV down以后，接口就不会显示up状态，而显示down状态。 修改MAC ifconfig ens160 hw ether 00:DD:BB:CC:DD:EE 开启ARP ifconfig eth0 arp 关闭ARP ifconfig eth0 -arp 设置MTU ifconfig eth0 mtu 1500 删除地址 ifconfig eth0 0 #将地址指定为0，则可以删除地址。 二、 ip 用于显示和操纵路由表，设备、策略路由等

1.IP地址的作用：在一定范围，唯一的标示，一个上网的设备； 2.子网掩码的作用：区分IP地址中的网络位和主机位，必须与IP地址一一对应，成对出现； 3.子网掩码中1所对应的IP地址中的位，称之为网络位；子网掩码中0所对应的IP地址中的位，称之为主机位； 4.子网掩码特点： #与IP地址一一对应； #1和0永远是连续的，不会交叉出现； #左边永远是1，右边永远是0； 相关易混淆概念： -反掩码 (inverse-mask) 即将掩码中的1和0互相变化就可以了。 -通配符(wildcard bits) 0和1可以交叉出现，也可以不交叉； 5.IP地址的分类： 目的：便于IP地址的管理； 原则：看IP地址中第一个字节前面几个固定的bit A类：第一个字节的，前面1个bit是0 则称位A类，范围0-127 默认掩码255.0.0.0 B类：第一个字节的，前面2个bit，如果是10 ，则称为B类，范围128-191 默认掩码255.255.0.0 C类：第一个字节的，前面3个bit，如果是110，则称之为C 192-223 默认掩码 255.255.255.0 D 类：第一个字节的，前面4个bit，如果是1110，则称之为D 224-239 无掩码 E类：剩下的 240-255 实验室保留使用 6.特殊的IP地址（不能用-不能配置在网络设备上）： 网络地址：IP地址中的主机位，全为0