计算机网络下

IP地址与子网划分

IP 是网络层协议,也是当今应用最广泛的网络协议之一 image-20220401092517287

IP的主要作用

 标识节点和链路        用唯一的IP地址标识每一个节点
                     用唯一的IP网络标识每一个链路

 寻址和转发           确定节点所在网络的位置,进而确定节点所在的位置
                    IP路由器选择适当的路径将IP包转发到目的的节点

 适应各种数据链路    根据链路的MTU对IP包进行分片和重组
                  为了通过实际的数据链路传递信息,须建立IP地址到数据链路层地址的映射

IP地址格式和表示方式

image-20220401092656925

私有 IP 地址 (private IP address):为了节约 IP 地址空间 , 并增加了安全性,保 留了一些 IP 地址段作为私网 IP ,不会在公网上出现。处于私有 IP 地址的网络称为 内网或私网 , 与外部进行通信就必须通过网络地址翻译 (NAT)。 私有地址的范围 :

1.A 类地址中 :10.0.0.0到 10.255.255.255.255
2.B 类地址中 :172.16.0.0到 172.31.255.255
3.C 类地址中 :192.168.0.0到 192.168.255.255

169.254.0.0 为内网无法获得ip自动分配

image-20220401093008428

子网划分:命令ipcalc

apt-get install ipcalc
ipcalc 192.168.0.0/26

image-20220401093238179

关于具体的原理,请查阅视频,文档写起来太艰难了:)

交换机

交换机作用

                连接多个以太网物理段,隔离冲突域
                对以太网帧进行高速而透明的交换转发 
                自行学习和维护Mac地址信息

交换机特点

                主要工作在OSI模型的物理层、数据链路层
                提供以太网间的透明桥接和交换
                依据链路层的Mac地址,将以太网数据帧在端口进行转发

交换机背板带宽

背板带宽  考察交换机上所有端口能提供的总带宽。
计算公式为端口数*相应端口速率*2(全双工模式)                       
如果总带宽≤标称背板带宽,那么背板带宽就是线速带宽

教程以H3C S1848G作为演示案例

交换机可通过多种方式进行配置调试,如console、http、telnet等.

使用http的方法进行管理时,设备的默认IP为192.168.0.233.默认账号密码均为admin

image-20220401111620255

成功登录后的页面如下:

image-20220401112233990

端口镜像: 设备-->端口镜像

image-20220401113916690

image-20220401114114991

image-20220401114135261

VLAN:网络-->VLAN

image-20220401114427045

image-20220401114457157

image-20220401114529767

MAC地址:网络-->MAC地址

MAC地址表:

image-20220401114722257

image-20220401115113298

image-20220401115133510

MAC泛洪攻击:攻击者伪造大量的MAC把交换机地址表填满,会进入“通转发”模式,接到数据包,转发到全部的接口

macof

image-20220401114818044

image-20220401114920205

路由协议

1、RIP(Routing Information Protocol):路由信息协议。 是一种比较简单的内部网关协议,主要用于规模较小的网络,比如校园网以及结构较简单的地区性网络。对于更为复杂的环境和大型网络,一般不使用RIP。 RIP是一种基于距离矢量(Distance-Vector)算法的协议,它通过UDP报文进行路由信息的交换,使用的端口号为520。其使用跳数来衡量到达目的地址的距离,为了限制收敛时间,RIP规定度量值(该值等于从本网络到达目的网络间的路由器数量)为0到15之间的整数,大于等于16的跳数将会定义为网络或主机不可达,因此RIP不适合大型网络。 RIP有两个版本:RIP V1(有类别路由协议)和RIP V2(无分类路由协议)。

2、OSPF(Open Shortest Path First):开放式最短路径优先协议。 属于链路状态路由协议,OSPF提出了“区域(area)”的概念,每个区域中所有路由器维护着一个相同的链路状态数据库 (LSDB),其使用链路状态数据库,通过最短生成树算法(SPF算法)计算得到路由表,因此其收敛速度较快。目前OSPF协议在各种网络中广泛部署,目前针对IPv4协议使用的是OSPF Version 2(RFC2328);针对IPv6协议使用OSPF Version 3(RFC2740)。

3、BGP(Border Gateway Protocol):边界网关协议。 为了维护各个ISP的独立利益,标准化组织制定了ISP间的路由协议BGP,其用来处理各ISP之间的路由传递。 与内部网关协议不同的是,其不在于发现和计算路由,而在于控制路由的传播和选择最佳路由。

vlan组网方案示意图:

image-20220401134601562

飞塔防火墙

Fortinet:行业领先的网络安全和恶意软件防护公司

本教程以飞塔80D为例进行讲解防火墙的使用。

使用console口连接防火墙

Linux中使用minicom工具进行console的连接,在正式使用前需要使用进行必要的配置

minicom -s

image-20220401185354985

选择串口设置,将串行设备设置为/dev/ttyS0,Bps/Par/Bits修改为9600 8N1

image-20220401185512587

minicom

image-20220401185632242

FG080D3914002712 # execute factoryreset     ###恢复出厂设置

image-20220401185816154

默认的情况下,飞塔80D的web访问地址为:https://192.168.1.99/,默认用户admin,密码为空。

image-20220401190934046

修改网站页面语言

system-->settings-->Language

image-20220401191050296

配置网口

网络-->接口

image-20220401191748362

飞塔共有4个网口,我们模拟所做出的规划如下:

port1   外网口,模拟为宽带入线
port2   第一个内网网段        172.16.0.0/24
port3   第二个内网网段        172.16.1.0/24
port4   第三个内网网段        172.16.2.0/24

由于现在进行访问所使用的为port1口,未防止配置后无法维持远程连接,为此先配置port2-4。

port2的配置:

image-20220401192458713

port3/4的配置方法类似,最终的效果如下:

image-20220401192703575

port1的修改内容,则需要根据实际的网络状况进行配置,一般来讲:

自定义:可用于企业拥有固定IP的专线网络
DHCP  :  可用于作为一个网络的子网,且网络存在DHCP服务
PPPoE :   可用于为宽带拨号上网的情况

另外由于外网流量的不确定性,最好将外网可进行远程访问进行关闭。

image-20220401192820944

更改配置后,需要在物理上进行线路的调整,调整的方式如下:

 将外网的网线接入port1
 将调试主机接入port2,且将IP地址配置为DHCP
 随后访问https://172.16.0.1

恢复远程访问后,可查看端口的情况进行确认。此时会发现port1具备了IP地址。

image-20220401193531789

此时我们的主机并不能访问互联网,同时进行ping port1/2得到的情况如下:

image-20220401193914609

导致此问题的缘由在于,在没有设置规则的情况下,默认的访问策略为拒绝,或者说我们现在的流量被防火墙阻断了。为此需要添加防火墙的策略。

策略与对象-->IPv4策略-->新建

需要建立2条的访问策略,放行port1到port2的流量以及port2到port1的流量。

image-20220401194245746

image-20220401194405438

完成策略的创建后,即可访问互联网。

在实际的工作中,可以依据实际的情况进行相应的访问控制(主要通过源地址、目的、时间、服务、动作).

那么这需要我们进行必要的规划设计,我们可以考虑如下的场景:

port2为IT人员所使用的网段
port3为销售人员所使用的网段
port4为内部服务器所使用的网段

那么所规划的策略就可以进行针对性的设计。

将内网的服务器发布至公网

在实际场景中,如果公司拥有多个公网IP地址,可以将内网的IP映射至公网,那么可以提供公网的服务。

策略&对象-->虚拟IP-->新建

image-20220401195727066

同时建立一条访问策略,允许port1至port2的流量中,可以访问192.168.2.157

image-20220401200219449

在kali终端中,通过Python3快速建立一个web服务

python3 -m http.server

image-20220401200007858

浏览器中访问对应的地址,即可校验通过外网IP可访问内网的资源.

image-20220401200328727

Copyright © fsec.io 2022 all right reserved,powered by farmsec该文件修订时间: 2022-04-04 12:46:21

results matching ""

    No results matching ""