网段

VLAN基础（三）在GNS3 1.3.10中使用三层交换完成不同VLAN之间的通信 简介： 三层交换技术就是：二层交换技术+三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。 每个VLAN对应一个IP网段。在二层上，VLAN之间是隔离的，这点跟二层交换机中交换引擎的功能是一模一样的。不同IP网段之间的访问要跨越VLAN，要使用三层转发引擎提供的VLAN间路由功能。在使用二层交换机和路由器的组网中，每个需要与其他IP网段通信的IP网段都需要使用一个路由器接口作为网关。而第三层转发引擎就相当于传统组网中的路由器，当需要与其他VLAN通信时也要在三层交换引擎上分配一个路由接口，用来做VLAN的网关。三层交换机上的这个路由接口是在三层转发引擎和二层转发引擎上的，是通过配置转发芯片来实现的，与路由器的接口不同，它是不可见的。 实际操作： 1.添加所需设备，并对它们进行相关设置，具体设置方法请看VLAN基础（一） 2.将各个设备连接好，并显示出所有接口 3.点击开启按钮，开启所有设备 4.用笔记功能将每台设备的配置标记在它旁边，稍后进行设置 5.在sw1进入全局模式关闭路由功能，添加三个vlan，并检查是否添加成功 进入全局模式：conf t 关闭路由功能：no ip routing 新建vlan：vlan 10

静态路由原理与配置——理论篇 目标：理解路由的原理 学会配置静态路由和默认路由 学习内容： ①路由原理 ②路由器的工作原理 ③路由表的形成 ④静态路由和默认路由 ⑤路由器转发数据包的封装过程 一、路由原理 路由器工作在OSI参考模型的网络层，他的额重要作用是为数据宝选择最佳路径，最终送达目的地。 在只有一个网段的网络中，数据包可以很容易地从源主机到达目标主机。但是如果一台计算机要和非本网段的计算机进行通信，数据包可能就要经过很多路由器。如图所示，主机 A 和主机 B 所在的网段被许多路由器隔开，这时主机 A 与主机 B 的通信就要经过这些中间路由器，这就要面临一个很重要的问题——如何选择到达目的地的路径。数据包从 A 到达B 有很多条路径可供选择，但是很显然，在这些路径中在某一时刻总会有一条路径是最快的。 因此，为了尽可能地提高网络访问速度，就需要有一种方法来判断从源主机到达目标主机所经过的最佳路径，从而进行数据转发，这就是路由技术。 二、路由器的工作原理 首先来看一下路由器是如何工作的。对于普通用户来说，能够接触到的只是局域网。通过在 PC 上设置默认网关就可以使局域网的计算机与 Internet 进行通信。其实在 PC 上所设置的默认网关就是路由器以太口的 IP 地址。如果局域网的计算机要和外面的计算机进行通信，只要把请求提交给路由器的以太口即可，接下来的工作就由路由器来完成

3.1 网卡介绍 如图所示，你的机器有两块网卡，一个是有线，一个是无线。 装完VM 之后，会出现两块虚拟网卡，如图 VM 有四种连接方式，我们着重介绍前三种 3.2 桥接 选择桥接模式，说明 VM 是利用你机器的真实网卡。 它的好处有两点： 1、 配置简单，只要选择桥接模式，并且虚拟机设置跟你真实 windows 在同一个网段 ip 地址，就可以通信。 2、不光和你的真实机通信，局域网中还有同网段的其他机器也可以通信。 它的坏处是需要占用网段的一个 ip ，如果你是在家里一个人用，问题不大，如果是在学校局域网中，会出现 ip 冲突的情况哦。 一般是选择这个桥接模式。 3.3 NAT NAT 模式通过假网卡 VMware Network Adapter VMnet8 通信。 虚拟机只能和你的真实机通信，不能连接其他机器。 不占用你真实网段的 ip 地址。 如果真实机器能访问互联网，那虚拟机也能访问互联网。 3.4 Host-only Host-only 模式通过假网卡 VMware Network Adapter VMnet1 通信。 虚拟机只能和你的真实机通信，不能连接其他机器。 不占用你真实网段的 ip 地址。 不能网络互联网。 来源： https://www.cnblogs.com/schangxiang/p/11319350.html

拓扑结构【路由器和计算机 没有交换机】 第一步打开通道 （红灯变路灯）设置好IP地址 路由器：n-用户模式-enable（en按tab键补全）-特权模式-configure terminal(configure t 按tab键补全)-全局配置模式-interface-接口模式【配置接口】 【一】 配置路由器接口： int f0/0 【回车】 IP address 路由器接口f0/0地址 子网掩码 【回车】 int f0/1 IP address 路由器接口f0/1地址 子网掩码 no shutdown【打通接口 变绿灯】 路由器： 四个网段：10.1.1.0 10.2.2.0 10.3.3.0 10.4.4.0【从左-右】 三个路由器： router7 f0/0 :10.1.1.1 f0/1:10.2.2.2【router7 f0/1和router6 f0/0都在10..2.2.0网段】 router6 f0/0:10.2.2.1 f0/1:10.3.3.2【router6 f0/1和router8 f0/0都在10.3.3.0网段】 router8 f0/0:10.3.3.1 f0/1:10.4.4.2 配置接口 路由器router7：命令之间回车 路由器 右键 CIL 进入 Continue with configuration dialog?[yes/no]: 【输入n】

五、访问控制列表 <2000-2999>标准访问控制列表 <3000-3999>扩展访问控制列表 <4000-4999>指定一个L2的acl群组 <5000-5999>用户自定义访问控制列表 ACL的五大要素：源地址、源端口、目标地址、目标端口、协议 如果简单说来就是：源地址访问目的地址的什么协议的什么端口 思路：应用需要用什么协议，需要用什么端口--------确定IP地址 1.标准访问控制列表 Forexample1： rule 0 deny source 192.168.16.2 0 #这条的意思是：访问规则0，拒绝源网段192.168.16.0的访问， 而子网掩码为 0 就相当于 255.255.255.255 也就是 32 ，为完全匹配的意思，就是说单单只拒绝这个一 IP 地址的访问 。 先搭建一个前期的可访问的路由的环境： R1: [router]interface GigabitEthernet 0/0/0 [router-GigabitEthernet0/0/0]ip address192.168.10.2 255.255.255.0 [router]ip route-static 192.168.1.0255.255.255.0 192.168.10.1 [router]ip route-static192.168.2.0 255.255.255.0 192

DHCP DHCP（Dynamic Host Configuration Protocol）动态主机配置协议，采用客户端/服务器模式，DHCP客户端向DHCP服务器动态地请求网络配置信息，DHCP服务器根据策略返回相应的配置信息（IP地址、子网掩码、缺省网关等网络参数） 基本架构 基本架构中的三种角色 DHCP Client DHCP客户端，通过与DHCP服务器进行报文交互，获取IP地址和其他网络配置信息，完成自身的地址配置。在设备接口上配置DHCP Client功能，这样接口可以作为DHCP Client，使用DHCP协议从DHCP Server动态获得IP地址等参数，方便用户配置，也便于集中管理。 DHCP Relay DHCP中继，负责转发来自客户端方向或服务器方向的DHCP报文，协助DHCP客户端和DHCP服务器完成地址配置功能。如果DHCP服务器和DHCP客户端不在同一个网段范围内，则需要通过DHCP中继来转发报文，这样可以避免在每个网段范围内都部署DHCP服务器，既节省了成本，又便于进行集中管理。 在DHCP基本协议架构中，DHCP中继不是必须的角色。只有当DHCP客户端和DHCP服务器不在同一网段内，才需要DHCP中继进行报文的转发。 DHCP Server DHCP服务器，负责处理来自客户端或中继的地址分配、地址续租、地址释放等请求

Nmap网络安全审计 什么是Nmap Nmap是由Gordon Lyon设计并实现的，于1997开始发布。最初设计Nmap的目的只是希望打造一款强大的端口扫描工具。但是随着时间的发展，Nmap的功能越来越全面。2009年7月17日，开源网络安全扫描工具Nmap正式发布了5.00版，代表着Nmap从简单的网络连接端扫描软件转变为全方面的安全和网络工具组件 Nmap的功能： 1. 主机发现功能 ：向目标计算机发送特制的数据包组合，然后根据目标的反应来判断它是否处于开机并连接到网络的状态。 2. 端口扫描： 向目标计算机的指定端口发送特制的数据包组合，然后根据目标端口的反应来判断它是否开放。 3. 服务及版本检测： 向目标计算机的端口发送特制的数据包组合，然后根据目标的反应来检测它运行服务的服务类型和版本。 4. 操作系统检测： 向目标计算机发送特制的数据包组合，然后根据目标的反应来检测它的操作系统类型和版本。 除了这些基本功能之外，Nmap还实现一些高级审计技术，例如伪造发起扫描端的身份，进行隐蔽扫描，规避目标的安全防御设备，对系统进行安全漏洞检测，并提供完善的报告选项等。此外Nmap还推出了强大的脚本引擎（NSE）。 Nmap的安装 这么简单的东西就不写了... Nmap的基本操作 最简单的方法就是直接在命令行输入： Nmap 192.168.0.1

拓补结构 底层的两台交换机的配置跟之前的一样，重点是每台主机和第三台交换机的配置中要加入网关： 10网段的网关为192.168.10.254 20网段的网关为192.168.20.254 配置命令： 1、创建vlan 10与20 2、int g0/0/1进入1口 3、port link-type trunk设置接口类型为trunk型，port trunk allow-pass vlan 10 20允许通过vlan 10和20 4、int vlanif 10进入vlan10中进行设置 5、ip address 192.168.10.254 24添加10网段的网关，同样的操作进入vlan20添加20网段的网关 6、测试连通性，结果显示全部主机都能互通。 通过dis ip int br可查看当前ip配置信息。 来源： https://www.cnblogs.com/zxh666/p/11930575.html

ACL（访问控制列表）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器，那些数据包可以接收，那些数据包需要拒绝。 基本原理为：ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。 ACL通过在路由器接口处控制数据包是转发还是丢弃来过滤通信流量。 路由器根据ACL中指定的条件来检测通过路由器的数据包，从而决定是转发还是丢弃数据包。 ACL有三种类型： 1、标准ACL：根据数据包的源IP地址来允许或拒绝数据包。标准ACL的访问控制列表号是1~99。 2、扩展ACL：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包。扩展ACL的访问控制列表号是100~199. 3、命名ACL允许在标准ACL和扩展ACL中使用名称代替表号。 ACL依靠规则对数据包执行检查，而这些规则通过检查数据包中的指定字段来允许或拒绝数据包。ACL通过五个元素来执行检查，这些元素位于IP头部和传输层头部中。他们分别是源IP地址、目标IP地址、协议、源端口及目标端口。 如果对接口应用了ACL，也就是说该接口应用了一组规则，那么路由器将对数据包应用该组规则进行检查 1、如果匹配了第一条规则，则不再往下检查，路由器将决定该数据包允许通过或拒绝通过。 2

un in en关闭信息显示 一、拓扑结构 PC1-->192.168.10.1/24 PC2-->192.168.10.2/24 PC3-->192.168.20.1/24 PC4-->192.168.20.2/24 PC5-->192.168.10.3/24 PC6-->192.168.10.4/24 PC7-->192.168.20.3/24 PC8-->192.168.20.4/24 10网段网关192.168.10.254/24 20网段网关192.168.20.254/24 二、设备配置 1、LSW1与LSW2两台交换机配置：创建vlan10和vlan20——连接PC的端口设置为access类型，10网段的PC并入vlan10，20网段的PC并入vlan20——GE0/0/2端口设置为trunk型，允许vlan10 20通过。 2、LS3交换机配置：创建vlan10 20——GE0/0/1、GE0/0/2和GE0/0/24（24口为级联口）端口均设为trunk型，允许vlan10 20通过。 3、R1路由器配置： 创建子接口0/0/0.10——封装802.1Q协议为dot1q termination vid 10——添加网关ip address 192.168.10.254 24——开启arp广播arp broadcast enable 创建子接口0/0/0.20—