【网络安全学习笔记】

网络架构

网管软件实时检查可以提高网络的可用性。

建立TCP连接

三次握手

断开TCP连接

四次握手

IPV4安全隐患

缺乏数据源验证机制
缺乏完整性验证机制
缺乏机密性保障机制

VLAN的原理和配置

链路类型

用户主机和交换机之间的链路为接入链路（Access），交换机和交换机之间的链路为干道链路（Trunk）。

PVID

• PVID表示端口在缺省情况下所属的VLAN；
• 缺省情况下，X7系列交换机每个端口的PVID都是1。

端口类型-Access

• Access端口在收到数据后会添加VLAN Tag，VLAN ID和端口的PVID相同；
• Access端口在转发数据前会移除VLAN Tag。

端口类型-Trunk

• 当Trunk端口收到帧时，如果该帧不包含Tag，将添加上端口的PVID；
• 当Trunk端口发送帧时，该帧的VLAN ID在Trunk的允许发送列表中:若与端口的PVID相同时，则剥离Tag发送;若与端口的PVID不同时，则直接发送。

网络编址

IP编址

• IP地址分为网络部分和主机部分。
• IP地址由32个二进制位组成，通常用点分十进制形式表示。

网络地址

后面全为0。

主机地址

后面全为1。

网关

网关用来转发来自不同网段之间的数据包。

IP地址分类

• A类：0.0.0.0~127.255.255.255
• B类:128.0.0.0~191.255.255.255
• C类:192.0.0.0~223.255.255.255
• D类:224.0.0.0~239.255.255.255
• E类：240.0.0.0~255.255.255.255

私有地址范围

• 10.0.0.0~10.255.255.255
• 172.16.0.0~172.31.255.255
• 192.168.0.0~192.168.255.255

特殊地址

• 127.0.0.0~127.255.255.255
• 0.0.0.0
• 255.255.255.255

网路路由基础

自治系统

自治系统(AS)：由同一个管理机构管理、使用统一路由策略的路由器的集合。

路由优先级

路由类型	DIrect	OSPF	Static	RIP
路由协议优先级	0	10	60	100
优先级越小越优先

静态路由基础知识

静态路由应用场景

• 静态路由是指由管理员手动配置和维护的路由。
• 在广播型的接口(如以太网接口)，上配置静态路由时，必须要指定下一跳地址。

负载分担

静态路由支持到达同一目的地的等价负载分担。

缺省路由

• 缺省路由是目的地址和掩码都为全0的特殊路由。
• 如果报文的目的地址无法匹配路由表中的任何一项,路由器将选择依照缺省路由来转发报文。

配置步骤

1. 给所有终端设备配置地址、掩码、网关
2. 在网络设备上配置网关
3. 配置互联地址
4. 配置静态路由
5. 验证通信

VLAN间路由

VLAN的局限性

VLAN在分割广播域的同时也限制了不同VL AN间的主机进行二层通信的能力。

STP原理和配置

二层环路引起的问题

交换机之间通过多条链路互连时，虽然能够提升网络可靠性，但同时也会带来环路问题。

广播风暴

• 环路会引起广播风暴。
• 网络中的主机会收到重复数据帧。

MAC地址表震荡

环路会引起MAC地址表震荡。

STP工作原理

• 交换机角色:
  根桥交换机、非根桥交换机
• 端口角色:
  根端口（R）、指定端口(D)、预备端口(阻塞端口)(A)
• 桥ID=优先级+交换机的MAC地址
• 优先级:
  默认是32768,修改时只能以4096倍数修改
• 根桥交换机选举规则:
  比较桥ID,桥ID小的交换机为根桥交换机
• 根端口选举:
  每个非根交换机上有且只能有一个根端口，且根桥交换机上不能有根端口。和根桥交换机直连的非根交换机端口为根端口。
• 指定端口选举规则:
  每个网段必须包含一个指定端口。选举指点端口时比较到达根桥交换机的开销值,到达根桥交换机的开销小的端口为指点端口，如果两个端口到达指定端口开销相同则比较接口本身所在非根交换机的桥ID大小， 越小越优先。
• 阻塞端口(预备端口) :
  除了根端口、指定端口之外的端口被称为阻塞端口。

STP的作用

STP通过阻塞端口来消除环路，并能够实现链路备份的目的。

STP操作

1. 选举一个根桥。
2. 每个非根交换机选举一个根端口。
3. 每个网段选举一个指定端口。
4. 阻塞非根、非指定端口。

端口状态转换

1. 端口初始化或使能;
2. 端口被选为根端口或指定端口。
3. 端口不再是根端口或指定端口。
4. forward delay计时器超时。
5. 端口禁用或链路失效。

多生成树协议

单生成树的弊端

1. 部分VLAN路径不通
2. 无法实现流量分担
3. 次优二层路径

虚拟路由冗余协议

单网关的缺陷

当网关路由器RouterA出现故障时，本网段内以该设备为网关的主机都不能与Internet进行通信。

多网关存在的问题

• 通过部署多网关的方式实现网关的备份。
• 但多网关可能会出现一些问题:网关间IP地址冲突;主机会频繁切换网络出口。

VRRP基本概述

• VRRP能够在不改变组网的情况下，将多台路由器虚拟成一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关，实现网关的备份。
• 协议版本: VRRPv2 (常用)和VRRPv3:
  • VRRPv2仅适用于IPv4网络，VRRPv3适用于IPv4和IPv6两 种网络。
• VRRP协议报文:
  • 只有一种报文: Advertisement报文; 其目的IP地址是 224.0.0.18, 目的MAC地址是01 -00-5e-00-00-12,协议号是112。

VRRP联动功能

解决方法:利用VRRP的联动功能监视上行接口或链路故障，主动进行主备切换。

镜像技术原理及配置

镜像概述

镜像定义

• 将镜像端口(源端口)的报文复制一份到观察端口(目的端口)。

镜像作用

• 获取完整报文用于分析网络状况。

镜像优点

• 不影响原有网络，快捷方便。
• 采集的是实时数据流，真实可靠。

访问控制列表

ACL应用场景

ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。

分类	编码范围	参数
基本ACL	2000-2999	源IP地址等
高级ACL	3000-3999	源IP地址、目的IP地址、源端口、 目的端口等
二层ACL	4000-4999	源MAC地址、目的MAC地址、以太帧协议类型等

策略路由-PBR

对流量行为的控制需求分析

• 控制网络流量可达性
• 调整网络流量路径。

策略路由的优势

• 基于转发平面，不会影响路由表表项，且设备收到报文后，会先查找策略路由进行匹配转发；若匹配失败，则再查找路由表进行转发。
• 可基于源地址、目的地址、协议类型、报文大小等进行策略制定。
• 需手工逐跳配置，以保证报文按策略进行转发。
• 常用工具: Traffic-Filter.、Traffic-Policy、 Policy-Based-Route等。

网络地址转换

静态NAT

• 静态NAT实现了私有地址和公有地址的一对一映射。
• 一个公网IP只会分配给唯一且固定的内网主机。

动态NAT

• 动态NAT基于地址池来实现私有地址和公有地址的转换。

NAPT

网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。

NAT服务器

通过配置NAT服务器,可以使外网用户访问内网服务器。