Gausst松鼠会

这个屌丝很懒，什么也没留下！

热门标签

【归纳整理】网络协议和网络设备_设备与协议的关系

作者：Gausst松鼠会 | 2024-04-25 22:54:55

踩

设备与协议的关系

1 引言

在上一阶段，我们主要学习是各种服务器的部署和工作原理，这些服务器都是工作在顶层、与人交互的应用软件。
在本阶段，学习主要依据OSI7层网络模型展开，理解各层的主要工作设备、协议及功能，理解各个网络设备的工作原理，了解网络设备的配置命令。

2 理论基础大纲

2.1 OSI模型及TCP/IP协议栈

（1）了解分层思想的目的、优点及层内层间的特点。
（2）掌握OSI 7层模型各层名称及功能。
（3）掌握TCP/IP协议栈各层名称及功能。
（4）掌握数据在不同层的传输单元。
（5）了解各层工作的硬件。
（6）掌握各层工作的协议及其端口号、协议号等。
（7）传送门→《OSI7层模型和TCP/IP5层协议簇/栈——数据的封装和解封装过程》

2.2 物理层网线光纤等基础知识

（1）了解电信号的三种转化形式（模拟信号、数字信号、光信号）的特点。
（2）了解如三种信号形式何完成远距离传输。
（3）掌握信号基本传输单位及其换算。
（4）了解光纤的分类及其特点。
（5）了解网线的协议。
（6）了解网线根据协议分类结果及其用途。
（7）掌握网络设备接口编号与网速的对应关系。
（8）注意不同情境下所说的网速单位一般不同，正常情况说网速带宽是指以字节B为单位，商品说明书以及运营商说明的带宽往往是以比特bit为单位。
（9）传送门→《物理层physical layer——如网线和光纤等相关知识》、《Packet Tracer仿真软件》

2.3 帧结构

（1）掌握帧结构的组成。
（2）了解帧结构遵循的两种协议。
（3）MAC子层：

1）重点掌握MAC子层帧头组成及长度。
2）重点掌握帧头中类型字段的种类及作用。
3）重点掌握帧尾遵循的协议及作用。

（4）IP包头：

1）重点掌握IP包头有哪些组成部分。
2）重点掌握各组成部分的长度及功能。

（5）掌握抓包实验及数据帧结构分析方法（基于科来网络分析系统）。
（6）了解MTU的含义及作用。
（7）传送门→《数据链路层及交换机工作原理》、《简单抓包实验及验证帧结构——基于“科来”软件》、《三层IP包头分析》

2.4 交换机及虚拟局域网技术

2.4.1 交换机基本原理

（1）了解交换机接口down掉的可能原因。
（2）重点理解一个数据帧在局域网传播过程中交换机的工作流程。
（3）重点掌握交换机的工作原理。
（4）了解MAC地址表的老化时间。
（5）了解接口号与MAC地址的对应关系。
（6）传送门→《数据链路层及交换机工作原理》

2.4.2 VLAN

（1）掌握常见的需要广播的协议。
（2）了解广播的危害。
（3）掌握两种控制广播的思路。
（4）理解设置VLAN的出发点。
（5）理解VLAN的实现原理。
（6）理解VLAN表的作用。
（7）掌握VLAN划分方式分类以及每种分类方式的依据和优缺点。
（8）理解服务器单独使用一个vlan的目的。
（9）传送门→《VLAN(Virtual LAN)—虚拟局域网技术及简单实验》

2.4.3 Trunk

（1）了解Trunk的定义。
（2）理解设置Trunk的出发点。
（3）了解Trunk标签的分类。
（4）了解交换机接口分类。
（5）掌握单播和广播时交换机处理vlan flg的工作过程。
（6）传送门→《Trunk中继技术—不同交换机同Vlan之间的通信及简单实验》

2.4.4 VTP

（1）了解VTP的定义、作用。
（2）掌握交换机的三种工作状态、及其对vlan表的操作关系。
（3）了解VTP域的定义、意义。
（4）了解组建VTP域的要求。
（5）传送门→《单臂路由器上部署DHCP服务器以及DHCP中继实验演示—基于Cisco Packet Tracer》

2.5 ARP协议原理及攻防

（1）了解广播与广播域的概念。
（2）了解广播时的IP地址与MAC地址。
（3）了解ARP协议的定义。
（4）理解ARP协议的功能。
（5）理解ARP缓存表的功能及形成方法。
（6）掌握ARP协议的原理与详细工作流程。
（7）掌握在cmd进行ARP缓存表查询、清除以及进行IP与MAC绑定等操作。
（8）掌握ARP攻击的原理、两种攻击方式以及结果。
（9）掌握ARP欺骗的原理、结果。
（10）掌握三种抵御ARP攻击的方法。
（11）传送门→《ARP协议工作原理、攻击、欺骗及防御》

2.6 ICMP协议

（1）了解ICMP协议的定义。
（2）掌握ICMP协议的三个作用。
（3）了解网络层由哪些协议组成。
（4）掌握ICMP报文结构。
（5）掌握报文的分类及用途。
（6）了解不同类型和代码组合报文含义。
（7）重点掌握ping和tracert命令的使用。
（8）理解tracert命令的原理。
（9）了解死亡之ping的攻击和防御方式。
（10）了解ICMP风暴的攻击和防御方式。
（11）传送门→《 ICMP协议—Internet控制报文协议》

2.7 单臂路由技术与三层交换机

2.7.1 单臂路由技术

（1）理解引入单臂路由技术的出发点。
（2）理解子接口功能、mac地址与父接口的关系。
（3）重点理解单臂路由技术的工作原理。
（4）了解单臂路由技术的局限性。
（5）传送门→《单臂路由工作原理及简单单臂路由实验—基于Cisco Packet Tracer》

2.7.2 DHCP中继技术

（1）了解DHCP Relay的定义。
（2）理解DHCP Relay的功能。
（3）重点理解DHCP relay的原理。
（4）传送门→《单臂路由器上部署DHCP服务器以及DHCP中继实验演示—基于Cisco Packet Tracer》

2.7.3 三层交换机

（1）理解三层交换机虚接口的作用。
（2）掌握三层交换机的作用。
（3）重点对比理解二层交换机、路由器、三层交换机的核心原理。
（4）重点理解一次路由，永久转换
（5）传送门→《三层交换机技术—工作原理及相关命令》

2.8 路由器理论

2.8.1 路由器基本原理

（1）掌握路由表的功能。
（2）掌握路由表的5种分类及优先级排序。
（3）重点掌握理解路由器的工作原理：
（4）对比路由器与交换机。
（5）cmd窗口根据数据帧传播路径：tracert 目标IP或域名。
（6）传送门→《路由表的分类及路由器简单原理》

2.8.2 HSRP协议

（1）了解常用的热备份协议类型。
（2）掌握HSRP协议的工作条件、组号范围、优先级范围、沟通时间、坚持时间。
（3）理解HSRP协议中设置占先权和跟踪的意义。
（4）掌握核心原理和工作流程。
（5）理解对双核心交换机上HSRP的工作原理。
（6）了解二层环路的危害及解决措施。
（7）对比掌握对路由器和对核心交换机设置HSRP协议的部署思路。
（8）传送门→《HSRP-热备份路由协议原理及实验演示—基于Cisco Packet Tracer》、《核心交换机配置热备份详解及实验演示—基于Cisco Packet Tracer》。

2.8.3 ACL

（1）掌握ACL表的定义、作用。
（2）理解ACL表能检查的对象。
（3）了解ACL表的应用场景。
（4）标准ACL表：

1）掌握表号范围。
2）掌握匹配内容。
3）理解应配置在哪个路由器、接口及方向。

（5）拓展ACL表：

1）掌握表号范围。
2）掌握匹配内容。
3）理解应配置在哪个路由器、接口及方向。

（6）掌握命名ACL表的优点。
（7）掌握利用命名ACL表编辑标准和拓展ACL表的方法。
（8）理解ACL表应用在路由器上的控制原理。
（9）传送门→《ACL（访问控制列表）原理及实验—根据设定的条件对接口上的数据包进行过滤》。

2.8.4 NAT

（1）掌握私有IP网段和公有IP网段范围。
（2）了解公有IP地址的静动态之分。
（3）了解NAT的定义。
（4）理解NAT的作用。
（5）掌握4种地址转换技术、及其优缺点。
（6）理解PAT的工作过程。
（7）理解静态PAT的用途。
（8）重点综合理解路由器工作原理。
（9）传送门→《NAT（网络地址转换）—实现公网IP和私网IP之间的转换》

2.8.5 动态路由协议

（1）对比掌握静态路由与动态路由的特点。
（2）掌握动态路由的度量值、收敛的定义。
（3）掌握动态路由的协议分类。
（4）了解RIP协议的定义。
（5）掌握RIP协议的基本参数：更新周期、端口号、度量值、更新方式。
（6）理解RIP协议的工作过程。
（7）理解RIP协议出现环路的可能性及其解决方法。
（8）了解RIP协议的局限性。
（9）传送门→《动态路由协议之RIP》

2.9 VPN

2.9.1 VPN概述

（1）对比了解对称加密算法和非对称加密算法的特点。
（1）掌握对称/非对称/Hsah算法常用类型。
（1）了解VPN的定义。
（1）掌握VPN的作用。

2.9.2 IPsecVPN

（1）了解IPsecVPN的定义。
（2）了解IPsecVPN的使用场合。
（3）掌握常用的IPsecVPN协议。
（4）掌握IPsecVPN的优点。
（5）理解IPsecVPN的本质。
（6）对比理解IPsecVPN两种工作模式的原理。
（7）对比理解配置IPsecVPN各阶段的目的、理解MAP映射的作用。
（8）传送门→《IPsec虚拟专网工作原理与配置详解》

2.9.3 RA-VPN

（1）了解RA-VPN的定义。
（2）了解RA-VPN的使用场合。
（3）掌握常用的RA-VPN协议。
（4）理解RA-VPN的两阶段工作过程。
（5）传送门→《远程访问虚拟专网工作流程及实验演示》

2.10 防火墙

（1）了解防火墙的定义。
（2）掌握防火墙的本职工作及基本功能。
（3）对比路由器与防火墙的特点。
（4）了解防火墙的5大衡量指标。
（5）掌握防火墙的三大区域。
（6）掌握防火墙隔离策略思路。
（7）了解防火墙的分类及发展史。
（8）重点理解掌握状态检测防火墙工作原理。
（9）重点掌握防火墙的三大工作模式并理解其在各模式中起到的作用
（10）传送门→《防火墙相关知识详解》

3 综合实验大纲

3.1 cmd命令

本阶段cmd命令主要用于测试网络是否通达。

ping 10.1.1.1
tracert www.baidu.com
tracert 10.1.1.1
ssh -l 用户名 1 10.1.1.25
1
2
3
4

3.2 PacketTracer命令

3.2.1 模式切换

enable					#可以缩写为en，从用户模式进入特权模式
configure terminal		#可缩写为conf t，从特权模式进入全局配置模式
interface 接口号			#可缩写为int 接口号，从全局配置模式进入接口配置模式
line console 0			#可缩写为line co 0，从全局配置模式进入console口配置模式
exit					#从下一级模式退出到上一级
end						#用户模式除外，其他模式直接退出到特权模式
1
2
3
4
5
6

3.2.2 快捷键

？						#该模式下支持的所有命令
en？					#查看该命令对应哪些缩写
向上箭头					#向上箭头可以自动填充上一次输入的命令
Tab键					#只要该缩写是某个特定命令的缩写，可使用Tab补充命令
ctrl+u					#快速删除整行正在编辑的命令
ctrl+a					#将光标定位到行首
ctrl+e					#将光标定位到行尾
1
2
3
4
5
6
7

3.2.3 密码设置

# 设置用户密码
conf t
	line co 0							#进入console口配置模式
		password 新密码					#设置用户新密码。
		login							#启用该命令
		end
# 设置特权密码
conf t										#进入全局配置模式
	enable password 新密码					#设置特权密码，该密码在running-config中以明文存在
	enable secret 新密码						#设置特权密码，该密码在running-config中以hash值存在，当设置密文密码时明文密码失效。
# 配置远程管理的账号及密码
conf t										#进入全局配置模式
	username 用户名1 password 密码1			#设置第一个账户密码
	username 用户名2 password 密码2			#设置第二个账户密码
	line vty 0 3							#进入虚拟终端配置模式。
		login local 						#采用本地账号数据库账号进行登录
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

3.2.4 远程管理设置

conf t										#进入全局配置模式
	hostname R1								#生成秘钥需要有自定义名字
	ip domain-name xx.qq.com				#生成秘钥需要有域名，不需要与公司域名相同。
	crypto key generate rsa					#crypto与安全相关的配置，key与秘钥相关，generate生成秘钥，ras算法类型。
	line vty 0 3							#进入虚拟console口配置模式
		login local 						#采用本地账号数据库账号进行登录
		transport input ?					#查看该接口输入端口类型
		transport input ssh					#限制接口仅开放ssh端口，另外可以设置Telnet模式
1
2
3
4
5
6
7
8

3.2.5 二层接口设

'''设trunk口'''
conf t
	int range f0/1 - 4							#批量对接口进行设置
		switchport trunk encapsulation dot1q	#核心交换机设置trunk标签类型
		encapsulation dot1q/isl					#二层交换机设置trunk标签类型
		Switchport mode trunk					#将接口设置为trunk口，缩写sw m t	
		exit
'''配置VTP域及创建VLAN类型'''
conf t
	vtp domain qq
	vlan 10									#创建VLAN 10，并进入VLAN配置模式
		name 自定义名						#对当前VLAN自定义名称，建议用英文名
		exit
'''划分接口至对应VLAN'''
conf t
	int f0/1
		switchport access vlan 30			#将f0/1接口划分到vlan 30组中，可以缩写为sw ac vlan 30
		exit
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

3.2.6 三级接口设置

'''设置三层交换机虚拟接口的网关及IP地址'''
en									#进入特权模式
conf t								#进入全局配置模式
ip default-gateway 网关				#设置网关
int vlan 1							#进入虚拟接口配置模式
ip add IP 子网掩码					#配置IP及子网掩码
no shut								#开启接口
exit

'''核心交换机启动三层接口功能'''
conf t
	ip routing
	
'''配置热备份'''
conf t
	int vlan 10							#进入需要配置热备份的网关虚拟接口
		stan 10 ip 192.168.1.254		#设置虚拟IP
		stan 10 prior 200				#设置优先权
		stan 10 preempt					#设置抢先权
		stan 10 track f0/5				#设置接口跟踪
		stan 10 track f0/6				#可以跟踪多个，每down掉一个降10点优先权
		
'''普通三层接口设置IP地址'''
int f0/0								#进入接口配置模式，接口为f0/0
	ip add 10.1.1.254 255.255.255.0		#为接口f0/1配置ip
	no shutdown							#开启接口
	exit
	
'''配置路由表'''
conf t
	ip route 10.2.1.0 255.255.255.0 20.1.1.2	#配置静态路由表
	ip route 0.0.0.0 0.0.0.0 20.2.1.2			#配置默认路由表
	ip route 0.0.0.0 0.0.0.0 20.5.1.2 2			#设置浮动路由，优先级低于20.3.1.2
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

3.2.7 ACL编辑及应用

conf t
	acc 1												#创建标准ACL表
	access-list 1 permit/deny 源IP或源网段 反子网掩码	#创建标准ACL及新增条目格式
	acc 100												#创建拓展ACL表
	access-list 100 permit/deny 协议 源IP或源网段 反子网掩码 目标IP或目标网段 反子网掩码 [eq 端口号] 
	ip access-list extended deny-to-internet			#创建命名ACL表
		deny ip 192.168.6.0 0.255.255.255 any
		petmit ip any any
		exit
	int f1/0											#进入需要配置ACL表的接口
	ip access-group deny-to-internet out				#指定应用ACL表和方向
	exit
1
2
3
4
5
6
7
8
9
10
11
12

3.2.8 NAT编辑及应用

conf t
	int f0/0										#指定接口是接内网或外网
		ip nat inside
		exit
	int f0/1										#指定接口是接内网或外网
		ip nat outside
		exit
	acc 1 permit 192.168.0.0 0.0.255.255
	ip nat inside source list 1 int f1/0 overload	#采用PAT配置模式
1
2
3
4
5
6
7
8
9

3.2.9 设置VPN

'''阶段一：管理连接'''
conf t
	crypto isakmp policy 1			#进入传输及策略配置模式，配置策略集1号。isakmp（IKE，网络密钥交换协议）
		encryption des/3des/aes		#常用aes
		hash md5/sha
		group 1/2/5					#指定非对称加密算法，默认采用DH算法，1 2 5指定公私钥长度。
		anthentication pre-share	#使用“预共享密钥”算法验证身份，预共享密钥需要在两家公司的设备上配置，不能泄露。
		lifetime 秒					#指定秘钥更新周期。可以不配，默认是86400秒即一天。两家公司设备宜设置一致，如不一致以间隔时间短的为准。
		exit
	crypto isakmp key 预共享密钥 addresss 对方的公网IP地址
	
'''阶段二：传输连接'''
conf t
	access-list 100 permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255
	crypto ipsec transform-set 传输模式名 esp-des/3des/aes esp/ah-md5/sha-hmac
	
'''阶段三：创建MAP映射''''
conf t
	crypto map map组名 2 ipsec-isakmp		#在这个一个map表组里，可以有多个表号。以支持同时对多个公司开通VPN。
		match address 200				#不同map表号的ACL表规则应该相互独立，不然数据帧将不知听谁指挥。
		set peer 对方公网IP2
		set stansform-set 传输模式名
		exit
	int f0/1						#假设f0/1就是接外网的接口
		crypto map map组名				#应用该map表。
		exit
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

3.2.10 部署DHCP服务器及DHCP中继

'''部署DHCP服务器'''
conf t
	ip dhcp excluded-address 10.1.1.1 10.1.1.9	#先预留地址后创建地址池
	ip dhcp excluded-address 10.1.1.254			#预留网关IP
	ip dhcp pool v10							#创建一个地址池，并命名为v10，回车进入DHCP地址池配置模式
		network 10.1.1.0 255.255.255.0			#定义地址池提供的IP及子网掩码
		default-router 10.1.1.254				#定义地址池提供的网关IP
		dns-server 40.1.1.1						#定义地址池提供的DNS服务器IP地址，在网络规划阶段就应该为各个服务器固定下IP
		lease 1 12 30							#定义租期，输入3个正整数，分别对应天数、时、分，该命令在PT仿真平台不支持
		exit
	no ip dhcp pool v10							#删除地址池
	no ip dhcp excluded-address 10.1.1.254		#删除IP预留
'''设DHCP中继'''
int f0/0.1					#单臂路由进入子接口配置模式
int vlan 10					#核心交换机进入对应频道配置模式
	ip helper-address 40.1.1.1	#收到DHCP请求时，转给DHCP服务器IP地址
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

3.2.11 查看及保存

# 查看配置文件
en
show running-config						#缩写为show run思科设备使用show命令查看配置
show startup-config						#思科设备使用show命令查看配置
display running-config					#有的设备使用display命令查看配置
copy running-config startup-config		#将运行配置文件保存为启动配置文件。
write									#有的设备支持使用该命令，将内存文件写入到硬盘中。
# 查看各类表格
en
show mac-address-table				#查看MAC地址表。可以采用缩写 show mac-
show ip interface brief				#查看接口列表。可以缩写为show ip int b
show ip route						#查看路由表，可发现直连路由已自动生成
show vlan brief						#查看VLAN表
show ip access-list 1		#查看表1，如果不指定表号，则查看所有ACL表。
1
2
3
4
5
6
7
8
9
10
11
12
13
14

3.3 设备配置整体思路

网络设备配置的整体思路和步骤，主要按以下两篇文章展开：
（1）《综合网络配置实验（含IP、RIP、VLAN、VTP、HSRP、ACL、NAT等配置完整命令）》
（2）《第52节防火墙部署实验》

3.4 本阶段其他琐碎实验参考

（1）交换机基本命令→《交换机的工作模式及基本命令—基于Cisco Packet Tracer》
（2）远程管理→《远程管理路由器及交换机—基于Cisco Packet Tracer》
（3）路由器IP配置、路由表配置→《路由实验演示》
（4）VLAN接口定义、划分、查看→《VLAN(Virtual LAN)—虚拟局域网技术及简单实验》
（5）Trunk接口的协议类型定义→《Trunk中继技术—不同交换机同Vlan之间的通信及简单实验》
（6）单臂路由技术的设置→《单臂路由工作原理及简单单臂路由实验—基于Cisco Packet Tracer》
（7）DHCP部署及其中继技术→《单臂路由器上部署DHCP服务器以及DHCP中继实验演示—基于Cisco Packet Tracer》
（8）三层交换机实验→《三层交换机实验演示——基于Cisco Packet Tracer》
（9）路由器配置热备份→《HSRP-热备份路由协议原理及实验演示—基于Cisco Packet Tracer》
（10）核心交换机配置热备份→《核心交换机配置热备份详解及实验演示—基于Cisco Packet Tracer》
（11）ACL表的编辑及修改实验演示→《ACL（访问控制列表）原理及实验—根据设定的条件对接口上的数据包进行过滤》
（12）NAT配置命令→《NAT（网络地址转换）—实现公网IP和私网IP之间的转换》
（13）动态路由协议之RIP实验演示→《动态路由协议之RIP》
（14）IPsecVPN配置实验演示→《IPsec虚拟专网配置实验详解及演示》
（15）远程访问VPN配置实验演示→《远程访问虚拟专网工作流程及实验演示》
（16）防火墙部署实验→《天融信Topgate防火墙基础配置案例》和《天融信Topgate防火墙高可用性（HA）配置案例》

4 归纳

在第一阶段的学习中，我们明白每一种服务的访问，都需要通过多次对话来建立，比如通过域名访问网页需要通过多次域名查询服务、建立TCP连接需要多次握手等等；在第二阶段，我们从宏观到微观，明白了每一次对话中，数据帧如何在各个网络设备中传递。这为以后分析网络安全和渗透提供了理论基础，让我们明白我们分析的问题是处在整个对话的哪个环节，更能对症下药。
现阶段学习的理论仍比较粗糙，多数停留在知道某个网络设备对数据帧进行了哪些解封装和封装的过程，但还没细致学习各个协议的内容，具体的封装过程还不清楚，理论知识的进一步提高将在下一阶段学习之后或在工作中根据需要再提高。

上下层接口对应关系：一般而言一个下层接口可以对应多个上层接口。

MAC地址表：MAC地址与交换机接口对应关系：一个MAC只允许出现在一个接口上，一个接口允许出现多个MAC地址。
ARP缓存表：一个MAC地址可以对应多个IP，一个IP只能对应一个MAC地址。

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/Gausst松鼠会/article/detail/487638