渗透基础篇 · 网络

网络

网络原理

网络功能

网络的概念

网络是指多个设备（如计算机、服务器、路由器等）通过通信介质（如网线、无线信号）连接在一起，以实现数据交换和资源共享。

网络拓扑分类

网络拓扑是指网络设备如何连接的结构方式，主要分为以下几种：

总线型（Bus）
- 所有设备连接到同一条主干线路上
- 结构简单，成本低，但主干断裂会导致全网瘫痪
星型（Star）（最常见）
- 设备通过交换机/集线器连接
- 可靠性高，某个设备故障不会影响其他设备，但交换机故障会导致网络瘫痪
环型（Ring）
- 设备形成闭合环，每个设备连接到前后两个设备
- 需要“令牌”控制通信，数据沿环路单向或双向传输
- 适合局域网，但某个设备故障会影响整个网络
网状（Mesh）
- 设备间互相连接，路径冗余度高
- 可靠性极强，适用于高可用性环境，但成本较高
树型（Tree）
- 由多台星型结构设备层层级联而成
- 适合大型组织网络，但某一层故障可能影响下层设备
混合型（Hybrid）
- 结合多种拓扑结构，适应复杂网络需求
- 例如企业网络可能使用星型+总线型组合

不同的拓扑结构适用于不同的应用场景，选择时需考虑扩展性、成本、可靠性等因素。

OSI七层模型

OSI 七层模型及作用

OSI（Open Systems Interconnection）是国际标准化组织（ISO）制定的网络通信模型，将网络通信分为七层，各层都有特定功能，便于理解和设计网络系统。

层级	名称	作用	常见协议/设备
7	应用层（Application）	提供用户接口，实现数据交互	HTTP、FTP、SMTP、DNS
6	表示层（Presentation）	负责数据格式转换、加密解密	SSL、JPEG、ASCII、MPEG
5	会话层（Session）	负责建立、管理和终止会话	NetBIOS、RPC、SQL
4	传输层（Transport）	可靠传输，提供端口寻址	TCP（可靠）、UDP（快速）
3	网络层（Network）	负责寻址和路由	IP、ICMP、ARP、路由器
2	数据链路层（Data Link）	组帧、错误检测，定义MAC地址	以太网（Ethernet）、交换机
1	物理层（Physical）	物理传输数据比特流	网线、光纤、无线信号

作用总结

物理层 → 确保数据在设备之间传输
数据链路层 → 设备间通信，MAC地址识别
网络层 → IP寻址，选择最优路径
传输层 → 可靠数据传输，端口管理
会话层 → 维持通信连接
表示层 → 数据格式转换、加密
应用层 → 提供用户服务，如网页浏览、邮件等

OSI 模型有助于理解网络通信的分层结构，但实际应用中，互联网更多使用 TCP/IP 四层模型。

TCP/IP协议

TCP/IP 协议模型及典型协议

TCP/IP 是实际应用最广泛的网络协议模型，它将 OSI 七层模型简化为四层，用于指导互联网通信。

层级	名称	作用	典型协议
4	应用层（Application）	提供用户交互服务	HTTP、HTTPS、FTP、SMTP、DNS、Telnet
3	传输层（Transport）	端到端通信，保证数据完整	TCP（可靠）、UDP（快速）
2	网络层（Internet）	负责寻址和路由	IP、ICMP、ARP、NAT、BGP、OSPF
1	网络接口层（Link/Network Access）	物理传输数据	以太网（Ethernet）、Wi-Fi、PPP

各层主要作用及协议

应用层（Application Layer）
- 直接面向用户，提供网络服务。
- 常见协议：
  - HTTP/HTTPS（网页访问）
  - FTP（文件传输）
  - SMTP/POP3/IMAP（邮件传输）
  - DNS（域名解析）
  - Telnet/SSH（远程登录）
传输层（Transport Layer）
- 端到端数据传输，保证数据完整性。
- 两种主要协议：
  - TCP（Transmission Control Protocol）：面向连接，可靠传输（如网页、邮件）。
  - UDP（User Datagram Protocol）：无连接，快速传输（如视频流、DNS）。
网络层（Internet Layer）
- 负责寻址、路由选择、数据包传输。
- 重要协议：
  - IP（Internet Protocol）：定义 IP 地址，负责数据包寻址和转发。
  - ICMP（Internet Control Message Protocol）：用于网络诊断（如 Ping）。
  - ARP（Address Resolution Protocol）：IP 地址解析为 MAC 地址。
  - NAT（Network Address Translation）：私有 IP 与公有 IP 转换。
网络接口层（Network Access Layer）
- 负责数据的物理传输。
- 相关技术：
  - 以太网（Ethernet）
  - Wi-Fi（无线网络）
  - PPP（点对点协议）

TCP/IP vs OSI

TCP/IP 更实际，用于互联网通信，而 OSI 主要用于理论参考。
TCP/IP 只有四层，与 OSI 七层相比更精简，应用更广泛。
传输层的 TCP/UDP 是关键，TCP 可靠但慢，UDP 快但无保证。

总结

TCP/IP 协议是互联网的核心，它保证了全球网络的互联互通。熟悉其四层架构及常见协议，对于网络安全、渗透测试、服务器配置都至关重要。

数据报传输过程

主机到主机间数据包传输过程（基于 TCP/IP 模型）

当两台主机进行通信（比如 A 发送数据给 B），数据包会经历 封装、传输、解封装 的过程。这个过程涉及 TCP/IP 四层模型 和 OSI 七层模型 的核心机制。

1. 发送端：数据封装

在主机 A 上，数据会经过多个协议层逐步封装，最终变成数据包进行传输。

层级	名称	作用	封装内容
4	应用层	生成用户数据（如 HTTP、FTP）	原始数据
3	传输层	可靠传输（TCP）或快速传输（UDP）	TCP/UDP 头 + 数据
2	网络层	通过 IP 地址进行寻址和路由	IP 头 + TCP/UDP + 数据
1	网络接口层	通过 MAC 地址进行数据链路传输	MAC 头 + IP + TCP/UDP + 数据

封装示意图：

| MAC 头 | IP 头 | TCP/UDP 头 | 数据 |

封装完成后，数据通过网络发送给目标主机 B。

2. 传输过程（数据链路 & 路由转发）

数据从主机 A 发送出去，在网络中流转，经过多个设备，最终到达主机 B。

（1）本地通信（同一局域网）

如果 A 和 B 在同一个局域网（如同一 Wi-Fi 或交换机连接）：

ARP 协议 获取 B 的 MAC 地址。
数据通过 交换机 直接传输到 B。

（2）跨网络通信（不同子网）

如果 A 和 B 在不同的子网：

A 先把数据包发给 默认网关（路由器）。
路由器转发数据，直到数据到达 B 所在的子网。
最后，B 的网关将数据包交付给 B。

3. 接收端：数据解封装

主机 B 接收到数据后，会 逐层解封装 还原数据：

网络接口层：剥去 MAC 头，检查是否是本机数据。
网络层：解析 IP 头，确定目标 IP 地址是否匹配。
传输层：解析 TCP/UDP 头，确认端口号并重组数据。
应用层：最终恢复出网页、文件等用户数据。

解封装示意图：

| MAC 头 | IP 头 | TCP 头 | 数据 |
   ↓ 解析 MAC 头部
| IP 头 | TCP 头 | 数据 |
   ↓ 解析 IP 头部
| TCP 头 | 数据 |
   ↓ 解析 TCP 头部
| 数据 |

4. 示例：两台主机之间的 TCP 传输

假设 主机 A（192.168.1.10） 通过 HTTP 访问 主机 B（192.168.1.20），使用 TCP 进行传输：

DNS 解析：A 解析出 B 的 IP 地址（如果是域名访问）。
建立连接（三次握手）：
- A -> B：发送 SYN
- B -> A：返回 SYN-ACK
- A -> B：发送 ACK
数据传输：
- A 发送 HTTP 请求到 B（如 GET /index.html）。
- B 发送 HTTP 响应，返回网页内容。
连接关闭（四次挥手）：
- A -> B：发送 FIN 关闭连接。
- B -> A：返回 ACK。
- B -> A：发送 FIN。
- A -> B：返回 ACK，连接关闭。

5. 关键概念

MAC 地址：在局域网中唯一标识设备，二层通信使用。
IP 地址：跨网段通信的唯一标识，三层通信使用。
TCP/UDP 端口：用于区分不同的应用程序。
路由器：负责跨网络转发数据包。
交换机：负责局域网内的数据转发。

总结

封装：数据逐层添加协议头，变成数据包。
传输：数据包通过 MAC 地址在局域网传输，通过 IP 地址在互联网传输。
解封装：目标主机逐层解析数据包，还原原始数据。

这一过程适用于所有主机之间的通信，包括 网页访问、远程桌面、文件传输、邮件发送等。

IP子网划分

网络编址方案（IP Addressing Scheme）

1. 什么是网络编址方案？

网络编址方案是指 在网络中合理分配 IP 地址，确保网络设备能正确通信，并 提高 IP 资源利用率。

主要涉及：

IP 地址分类
子网划分
公网与私网地址
静态 IP & 动态 IP
VLSM（可变长子网掩码）
CIDR（无类域间路由）

2. IP 地址分类

IPv4 地址分为 A/B/C/D/E 类，其中 A/B/C 类是最常见的：

类别	地址范围	默认子网掩码	主机数	适用场景
A 类	`1.0.0.0` - `126.255.255.255`	`255.0.0.0` (`/8`)	16,777,214	大型企业、国家级机构
B 类	`128.0.0.0` - `191.255.255.255`	`255.255.0.0` (`/16`)	65,534	中型企业、学校
C 类	`192.0.0.0` - `223.255.255.255`	`255.255.255.0` (`/24`)	254	小型公司、家庭
D 类	`224.0.0.0` - `239.255.255.255`	-	-	组播地址（Multicast）
E 类	`240.0.0.0` - `255.255.255.255`	-	-	预留（实验用途）

注意：127.0.0.0 - 127.255.255.255 是 环回地址（Loopback），用于本机测试。

3. 公网 IP 和私网 IP

公网 IP（Public IP）：全球唯一，由 ISP（互联网服务提供商） 分配，可用于互联网访问。
私网 IP（Private IP）：只能在 局域网（LAN） 内使用，不能直接访问互联网。

私有 IP 地址范围

IP 段	地址范围	适用网络
A 类	`10.0.0.0` - `10.255.255.255`	大型企业、数据中心
B 类	`172.16.0.0` - `172.31.255.255`	中型网络
C 类	`192.168.0.0` - `192.168.255.255`	小型公司、家庭网络

4. 静态 IP 与动态 IP

（1）静态 IP

手动设置，不会变化，适用于服务器、网络设备。
优点：
- 方便远程访问（如 DNS、Web 服务器）。
- 提高网络稳定性。
缺点：
- 需要手动管理，IP 变更麻烦。

（2）动态 IP

通过 DHCP 服务器分配，每次上网可能不同。
优点：
- 自动分配，减少管理工作量。
- 提高 IP 资源利用率。
缺点：
- IP 变更可能导致远程访问受限。

5. 子网划分

子网掩码决定了网络位与主机位的划分，例如：

192.168.1.0/24（255.255.255.0）：一个子网可容纳 254 台设备。
192.168.1.0/26（255.255.255.192）：一个子网可容纳 62 台设备。

示例：192.168.1.0/26

子网号	网络地址	可用 IP 地址	广播地址
子网 1	192.168.1.0/26	192.168.1.1 - 192.168.1.62	192.168.1.63
子网 2	192.168.1.64/26	192.168.1.65 - 192.168.1.126	192.168.1.127

6. VLSM（可变长子网掩码）

VLSM（Variable Length Subnet Masking） 允许一个网络划分成大小不同的子网，避免 IP 地址浪费。

示例

假设公司有 3 个部门：

IT 部门（50 台设备）
HR 部门（20 台设备）
Finance 部门（10 台设备）

如果直接用 /24（255.255.255.0），每个子网会有 254 个 IP，浪费大量地址。使用 VLSM，可以更精细划分：

部门	子网掩码	可用主机数	IP 地址范围
IT	`/26`（255.255.255.192）	62	192.168.1.0 - 192.168.1.63
HR	`/27`（255.255.255.224）	30	192.168.1.64 - 192.168.1.95
Finance	`/28`（255.255.255.240）	14	192.168.1.96 - 192.168.1.111

7. CIDR（无类域间路由）

CIDR（Classless Inter-Domain Routing） 允许使用任意长度的子网掩码，减少路由表条目，提高路由效率。

CIDR 表示法

192.168.1.0/24（默认 C 类）
10.0.0.0/12（合并多个 B 类网络）
172.16.0.0/20（比默认 B 类 /16 更精细划分）

CIDR 主要作用

节省 IP 地址，避免固定的 A/B/C 类地址浪费。
减少路由表规模，提高路由效率。

8. 设计网络编址方案

设计思路

确定需求：
- 多少台设备？
- 需要多少子网？
- 是否有远程访问？
选择 IP 地址段：
- 局域网使用 私有 IP（192.168.x.x / 172.16.x.x / 10.x.x.x）。
划分子网：
- 采用 VLSM，为不同部门分配合适的 IP 。
配置 DHCP & 静态 IP：
- 服务器 & 路由器：静态 IP。
- PC & 终端：DHCP 动态分配。
规划安全策略：
- VLAN 隔离不同部门。
- ACL（访问控制列表） 限制访问权限。

9. 总结

IP 编址方案 = 合理分配 IP 地址 + 规划子网 + 路由优化。
使用私有 IP 进行局域网规划，静态+动态 IP 结合 提高管理效率。
VLSM & CIDR 让 IP 资源更高效，避免浪费。

网络设备

🌐 常见网络设备的：对比与作用**

设备名	是硬件吗？	所在层（OSI）	主要功能	特点与备注
网关 (Gateway)	❌ 否（功能角色）	第3~7层	不同网络之间的数据传递、协议转换	通常是网络出口，逻辑角色，常由路由器担任
路由器 (Router)	✅ 是	网络层（第3层）	不同网络间寻路、转发数据包	可以内嵌网关、DHCP、NAT 等，连接多个子网
交换机 (Switch)	✅ 是	数据链路层（第2层）	内部网络内设备间通信	依据 MAC 地址转发，更智能高效。三层交换机可带部分路由功能
网桥 (Bridge)	✅ 是	数据链路层（第2层）	分割网络、隔离冲突域	类似交换机的“祖先”，多用于早期网络
集线器 (Hub)	✅ 是	物理层（第1层）	广播数据包至所有端口	没有智能，容易引起广播风暴，已基本淘汰
调制解调器 (Modem)	✅ 是	物理层（第1层）	模拟/数字信号转换	多用于电话线拨号上网，现代宽带已较少使用
防火墙 (Firewall)	✅/❌ 皆可	多层（3~7层）	控制进出网络的数据包	可是硬件设备，也可以是软件程序（如 Windows 防火墙）

🧠 小Tips：

家庭路由器 👉 实际上是：路由器 + 网关 + 交换机 + DHCP/NAT/WiFi + 防火墙 的综合体；
路由器是“多重身份”的典范，常被误认为只是网关；
网关常常不是设备，而是设备中的“一个配置角色”哟。

路由交换的基本配置命令

一、基础概念

路由器（Router）

工作模式：工作在网络层（OSI第三层）
主要功能：不同网段之间的数据转发、路径选择、NAT、DHCP 等
典型场景：连接多个局域网或广域网，是网络之间的“桥梁”

交换机（Switch）

工作模式：工作在数据链路层（OSI第二层），部分三层交换机可工作在网络层
主要功能：同一网络内的设备通信，MAC地址学习与转发
典型场景：局域网内设备互联

二、基本操作命令（以Cisco设备为例）

1.基本模式切换

# 用户模式
Switch>           # 基本观察状态

# 特权模式（需要输入enable）
Switch> enable
Switch#           # 具备管理权限，可查看与配置

# 全局配置模式
Switch# configure terminal
Switch(config)#   # 进入配置状态

2. 配置交换机基础命令

设置主机名

Switch(config)# hostname MySwitch
MySwitch(config)#

配置接口描述与开关端口

MySwitch(config)# interface fastEthernet 0/1
MySwitch(config-if)# description 连接PC1
MySwitch(config-if)# no shutdown

配置VLAN及接口加入VLAN

MySwitch(config)# vlan 10
MySwitch(config-vlan)# name HR

MySwitch(config)# interface fastEthernet 0/1
MySwitch(config-if)# switchport mode access
MySwitch(config-if)# switchport access vlan 10

查看MAC地址表

MySwitch# show mac address-table

3. 配置路由器基础命令

设置主机名和密码

Router(config)# hostname MyRouter
MyRouter(config)# enable secret cisco

配置接口IP地址

MyRouter(config)# interface GigabitEthernet0/0
MyRouter(config-if)# ip address 192.168.1.1 255.255.255.0
MyRouter(config-if)# no shutdown

添加静态路由

MyRouter(config)# ip route 192.168.2.0 255.255.255.0 192.168.1.2

启用路由协议（如RIP）

MyRouter(config)# router rip
MyRouter(config-router)# version 2
MyRouter(config-router)# network 192.168.1.0

查看路由表

MyRouter# show ip route

路由协议

一、静态路由配置

1. 静态路由的概念

静态路由是由网络管理员手动配置的路由。路由器在路由表中明确指定了到达特定网络的下一跳或出口接口，适用于网络拓扑简单、固定的情况。

命令格式：

ip route <目标网络> <子网掩码> <下一跳地址> [距离]

2. 静态路由的配置步骤

在路由器上配置静态路由

假设路由器需要通过下一跳地址 192.168.1.2 将流量导向 10.0.0.0/24 网络：

Router(config)# ip route 10.0.0.0 255.255.255.0 192.168.1.2

10.0.0.0 255.255.255.0 表示目标网络和子网掩码
192.168.1.2 表示通向目标网络的下一跳地址

查看静态路由配置

配置完成后，使用以下命令查看路由表：

Router# show ip route

你可以看到静态路由会显示为 S（代表静态路由）。

删除静态路由

如果需要删除某条静态路由：

Router(config)# no ip route 10.0.0.0 255.255.255.0 192.168.1.2

二、默认路由配置

1. 默认路由的概念

默认路由是当路由器无法找到某个目的地的匹配路由时，转发数据包的路由。通常用于通向互联网的出口。
命令格式：
```
ip route 0.0.0.0 0.0.0.0 <下一跳地址> [距离]
```
这里的 0.0.0.0 0.0.0.0 表示默认路由。

2. 默认路由的配置步骤

假设要配置默认路由，通过 192.168.1.1 作为下一跳地址：

Router(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.1

0.0.0.0 0.0.0.0 是表示所有未匹配的流量都会走默认路由
192.168.1.1 是默认路由的下一跳地址

查看默认路由

配置完成后，使用以下命令查看路由表：

Router# show ip route

默认路由会显示为 S*，其中 * 表示默认路由。

删除默认路由

删除默认路由使用类似的方法：

Router(config)# no ip route 0.0.0.0 0.0.0.0 192.168.1.1

三、静态路由与默认路由的配置应用场景

1. 静态路由应用场景

网络拓扑简单、静态的环境，例如：办公室网络、分支机构间的网络连接。
当路由的变动较少且可控制时，静态路由是一种高效的配置方式。

2. 默认路由应用场景

通常用在通向互联网的出口路由器上。也可以在内部网络中，表示对于不在其他路由表中的网络，使用默认路由进行转发。
例如，企业网络出口路由器需要将所有外部流量导向ISP（互联网服务提供商）的路由器。

路由协议

一、路由协议的作用

路由协议是用于在网络设备（如路由器）之间交换路由信息的协议。它的主要作用是让路由器能够自动地识别网络中可达的路由，选择最佳路径，并将数据包转发到目标网络。

1. 路径选择与更新

路由协议帮助路由器选择到达目标网络的最佳路径，并定期更新路由信息。
它会基于各种因素（如带宽、延迟、跳数等）动态选择最优路径。

2. 网络拓扑发现

路由协议可以自动发现网络中其他路由器的存在，了解网络拓扑结构变化，保证路由信息的一致性。

3. 容错与冗余

当某一条路由不可用时，路由协议能够根据新的网络拓扑自动选择新的路径，从而保证网络的可靠性。

4. 自动化管理

避免了网络管理员手动配置静态路由，简化了网络的配置和维护工作，提高了效率。

二、路由协议的类型

根据路由协议的工作方式和算法的不同，路由协议可分为以下几种主要类型：

1. 距离矢量路由协议（Distance Vector Protocol）

路由器向邻居发送自己的路由表，邻居根据这些信息更新自己的路由表。
特点：每个路由器只知道到达目标的最短距离，并不知晓完整的网络拓扑。
缺点：收敛速度慢，容易导致路由环路。
代表协议：RIP（Routing Information Protocol）、IGRP（Interior Gateway Routing Protocol）。

示例：RIP（Routing Information Protocol）

最大跳数：15跳，超过15跳认为不可达。
工作方式：基于跳数选择最佳路径，路由信息每30秒更新一次。

2. 链路状态路由协议（Link-State Protocol）

每个路由器向所有邻居广播自己对网络拓扑的了解，每个路由器根据收到的链路状态信息重新计算整个网络的最短路径。
特点：每个路由器拥有完整的网络拓扑图，可以精确计算到达目标的最佳路径。
缺点：消耗更多的内存和处理能力，但收敛速度较快。
代表协议：OSPF（Open Shortest Path First）、IS-IS（Intermediate System to Intermediate System）。

示例：OSPF（Open Shortest Path First）

工作方式：OSPF基于Dijkstra算法计算最短路径，并在网络拓扑变化时迅速收敛。
特点：支持区域划分，灵活扩展，适用于大型网络。

3. 混合路由协议（Hybrid Protocol）

混合路由协议结合了距离矢量和链路状态路由协议的特点，利用距离矢量的简单性和链路状态的快速收敛。
代表协议：EIGRP（Enhanced Interior Gateway Routing Protocol）。

示例：EIGRP（Enhanced Interior Gateway Routing Protocol）

工作方式：EIGRP结合了距离矢量和链路状态的优点，采用DUAL（Diffusing Update Algorithm）算法计算路径，并使用状态和路由信息更新。
特点：收敛速度快，能有效减少带宽消耗，适用于复杂网络。

4. 外部网关协议（EGP）

作用：用于不同自治系统之间的路由选择。
代表协议：BGP（Border Gateway Protocol）

示例：BGP（Border Gateway Protocol）

工作方式：BGP是一种路径向量协议，用于互联网上不同自治系统之间交换路由信息。
特点：通过策略选择路径，支持大规模网络，能处理多个路径与复杂的网络拓扑。
应用场景：用于ISP（互联网服务提供商）和大型企业网络的边界路由。

三、总结对比

协议类型	特点	代表协议	收敛速度	适用场景
距离矢量协议	每个路由器只知道到达目标的跳数，较简单。	RIP	慢	小型网络
链路状态协议	每个路由器知道完整的网络拓扑，收敛快。	OSPF	快	中大型网络
混合协议	结合了距离矢量和链路状态协议的优点。	EIGRP	快	中型到大型网络
外部网关协议	用于不同自治系统之间的路由选择。	BGP	很慢	大型互联网服务提供商与自治系统

RIP

一、RIP路由协议概述

RIP（Routing Information Protocol）是最早的距离矢量路由协议之一，基于跳数作为路径选择的度量标准，使用UDP协议的520端口进行路由信息的交换。

最大跳数：RIP协议最大支持15跳，超过15跳的网络被认为是不可达的。
更新周期：RIP每30秒发送一次路由更新。
工作模式：RIP路由协议使用广播或者多播来交换路由信息。
协议版本：
- RIP v1：仅支持无类IP地址（Classful），不携带子网掩码信息。
- RIP v2：支持类无关的IP地址（Classless），即支持子网掩码，且支持认证。

二、RIP路由协议配置步骤

1. 进入全局配置模式

首先，进入路由器的全局配置模式：

Router> enable
Router# configure terminal
Router(config)#

2. 启用RIP协议

在全局配置模式下启用RIP协议并指定RIP版本：

Router(config)# router rip
Router(config-router)# version 2   # 使用RIP v2，支持子网掩码

如果你需要使用RIP v1（仅支持类地址），则使用 version 1。

3. 配置参与RIP协议的网络

在RIP协议下，配置需要参与路由交换的网络。例如，假设路由器连接了网络 192.168.1.0/24 和 10.0.0.0/24：

Router(config-router)# network 192.168.1.0
Router(config-router)# network 10.0.0.0

这些命令告诉路由器，它将参与这两个网络的RIP路由信息交换。

4. 配置RIP定时更新与路由聚合（可选）

默认情况下，RIP每30秒发送一次路由更新，但可以调整更新时间：

Router(config-router)# timers basic 5 15 30 100

这条命令设置了RIP路由协议更新的相关时间参数，单位是秒。

5. 配置RIP认证（可选）

RIP v2支持认证，可以通过MD5或者明文方式配置认证，防止路由器间的路由信息伪造。以下是配置RIP认证的步骤：

Router(config-router)# key-chain RIP-KEY
Router(config-keychain)# key 1
Router(config-keychain-key)# key-string cisco123
Router(config-router)# interface fastEthernet 0/0
Router(config-if)# ip rip authentication mode md5
Router(config-if)# ip rip authentication key-chain RIP-KEY

在接口上启用认证，确保RIP协议交换的路由信息是经过认证的。

三、RIP路由协议调试与查看命令

1. 查看RIP路由信息

使用以下命令可以查看RIP协议的路由信息：

Router# show ip route rip

此命令显示通过RIP协议学到的路由信息，带有 R 标识。

2. 查看RIP路由协议的状态

使用以下命令查看RIP协议的全局状态：

Router# show ip protocols

这条命令将显示RIP协议的详细配置，包括路由更新的时间间隔和使用的版本。

3. 查看RIP邻居

使用以下命令查看RIP的邻居路由器信息：

Router# show ip rip database

显示RIP数据库中包含的所有路由信息。

四、RIP协议的优化技术

1. 分层路由（RIP区域）

在大型网络中，RIP协议可能会导致路由更新的开销较大。为此，可以通过设置RIP区域来优化路由传播，减少不必要的更新和流量。

2. 路由聚合

通过路由聚合，将多个子网聚合为一个单一的网络条目，减少RIP路由表的条目数，提高效率。例如：

Router(config-router)# aggregate-address 192.168.0.0 255.255.0.0

该命令将多个 192.168.x.x 网络聚合成一个路由条目。

3. RIP路由过滤

使用路由过滤器可以控制哪些网络可以被学习或通告。你可以使用访问控制列表（ACL）来实现路由过滤。

Router(config)# access-list 1 deny 192.168.3.0 0.0.0.255
Router(config)# access-list 1 permit any
Router(config-router)# distribute-list 1 in

以上命令配置了一个访问控制列表，只允许路由器接受特定网络的RIP路由信息。

五、RIP协议的优势与局限

1. RIP的优势

配置简单，适合小型网络。
无需复杂的路由计算和算法，容易部署。

2. RIP的局限

跳数限制：RIP最大跳数限制为15跳，超过15跳的网络不可达，无法适应大规模网络。
收敛速度慢：在网络拓扑发生变化时，RIP的收敛速度较慢，可能会导致路由环路等问题。
带宽消耗：RIP每30秒发送一次路由更新，这可能会导致较高的带宽消耗，尤其在大型网络中。

六、总结

RIP路由协议适用于小型到中型的网络环境，配置简单，但在大规模网络中可能无法满足需求。在实际应用中，你可以根据网络规模和性能要求来选择是否使用RIP，并结合其他路由协议如OSPF或EIGRP来进行优化。

OSPF实施

链路状态路由协议

当然啦主人~尔铃这就用更简单的方式给你说说链路状态路由协议，保准你秒懂✨：

💡 什么是链路状态路由协议？

就是一种聪明的路由协议，它能让每台路由器自己知道整个网络的结构，再自己算出最好的路。

📌 有啥特点？

自己画地图：知道网络里谁连着谁。
广播变化：哪断了、哪慢了，立马告诉其他路由器。
自己算路线：不靠别人，自己用算法算出最短路。
反应快：网络一变，立马更新。

🌟 常见的链路状态协议？

OSPF（最常用）
IS-IS（多用于运营商）

🆚 和简单的 RIP 路由协议对比？

对比点	RIP（老旧）	OSPF（链路状态）
只看邻居	✅	❌（看全网）
算路靠别人	✅	❌（自己算）
更新慢	✅	❌（更新快）
适合小网	✅	❌（适合大网）

SPF算法

当然当然主人～您问得好呀！我们刚提到链路状态协议（比如 OSPF），现在说的 SPF算法 就是它的“大脑”，全称是：

👉 Shortest Path First Algorithm（最短路径优先算法）

也被称为 Dijkstra算法（迪杰斯特拉算法），是网络中常用来找出最短路径的算法。下面，尔铃轻轻地给您说清楚~

🌟 SPF算法干嘛用？

用来在整个网络“地图”上，计算从自己出发到所有节点的最短路径。
比如：你的路由器 A，想找去 B、C、D 的最快路线。

🔍 怎么工作的？（简化三步走）

构建拓扑图（邻居关系）
每个路由器收集“谁跟谁连着，延迟是多少”。
运行SPF算法
从自己出发，像洒网一样尝试所有路径，找出最短的。
建立路由表
把最短路径记录下来，以后收到数据包就按这个表来转发。

🌐 举个小例子：

假设有以下网络：

A ---1--- B ---1--- C  
 \       /  
  \--2-- D

A 想去 C，SPF 会算出：
- A → B → C 总权重 1+1 = 2
- A → D → B → C 是 2+1+1 = 4
- 所以选择 A → B → C

💡 总结：

SPF特点	说明
🔎 全网视图	算路径前要知道整个网络
🧠 自己计算	每台路由器独立计算
🚀 快速收敛	网络变化时，迅速重算路径
💾 资源占用较高	占用更多内存和CPU，适合大网

一句话总结：

SPF 就是网络里的“最优导航”，你给它地图，它帮你算最快的那条路！🚗✨

OSPF邻居建立

🌐 一、OSPF 邻居关系建立的过程（五步走）

OSPF 路由器之间必须先成为“邻居”才能互通信息，这个建立过程分为 5 个状态：

状态	描述
Down	初始状态，还没收到 Hello 包
Init	收到对方的 Hello 包
2-Way	双方互相看到彼此（成为邻居）
ExStart	商定谁先发送路由信息（DR 优先）
Exchange、Loading、Full	交换并同步 LSDB（链路状态数据库），直到完全同步

🛠️ 二、邻居建立的条件（记牢！）

要成功建立邻居，必须满足以下条件：

条件	描述
网络号一致	在同一个子网中（除非用虚链路）
区域号一致	都在 Area 0 / 1 / 2…
Hello 和 Dead 时间一致	默认 Hello=10s，Dead=40s
认证一致	如果启用了密码认证，必须相同
Stub 类型一致	如使用 stub/nssa 等必须相同
MTU 一致	若不同会在 Exchange 阶段卡住

⚙️ 三、OSPF基本配置（Cisco 设备）

# 进入 OSPF 配置模式
router ospf 1

# 配置本地网络参与 OSPF（网段 + 区域）
network 192.168.1.0 0.0.0.255 area 0

# 在接口上启用 OSPF（可选）
interface g0/0
 ip ospf 1 area 0

🌟 如果使用认证：

# 启用认证
interface g0/0
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 123456

🧠 四、DR/BDR 技术（OSPF 特有）

在广播型网络中（如 Ethernet），OSPF 会选举：

DR（指定路由器）
BDR（备份路由器）
其余为 DROther

🌟 提升效率，邻居只和 DR/BDR 建立 Full 状态关系。

🎯 影响选举的因素：

优先级（最高 wins）	描述
1️⃣ OSPF 优先级（interface 上配置）
2️⃣ Router ID（唯一标识符，IP 最大者 wins）

配置例子：

interface g0/0
 ip ospf priority 100

🔍 五、查看与验证命令

命令	功能
`show ip ospf neighbor`	查看邻居状态
`show ip ospf`	查看 OSPF 配置信息
`show ip route ospf`	查看 OSPF 学到的路由
`debug ip ospf adj`	调试邻居建立过程

❤️ 小总结

OSPF 邻居关系就像朋友交往：必须志同道合（配置匹配）、定期联系（Hello 包）、最终彼此信任（同步 LSDB）！

OSPF身份验证

好的主人～我们来继续掌握 OSPF 的身份验证配置与技术，保证路由器之间安全地交换路由信息 ✨

🛡️ 一、为什么 OSPF 需要身份验证？

避免非法设备加入 OSPF 区域。
防止被动监听和篡改路由信息。
实现 OSPF 网络中路由安全加固。

🔐 二、OSPF 有哪几种身份验证方式？

验证方式	简介	是否加密
无认证（None）	默认方式，最不安全	❌
明文认证（Plain Text）	发送明文密码	❌（容易被抓包看到）
MD5 验证（推荐）	使用密钥哈希加密验证	✅（更安全）

🛠️ 三、配置方式（Cisco为例）

✅ 1）配置明文密码认证（Plain Text）

interface g0/0
 ip ospf authentication
 ip ospf authentication-key mypassword

💡 所有参与 OSPF 的设备必须配置相同密码。

✅ 2）配置 MD5 加密认证（推荐！）

interface g0/0
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 123456

1：密钥编号（可多个）
123456：密钥内容（需一致）

🌟 如果你想在区域层统一配置：

router ospf 1
 area 0 authentication message-digest

🧪 四、如何验证配置是否成功？

用这些命令确认：

show ip ospf interface g0/0

会显示认证方式、密钥号等信息。

debug ip ospf adj

用于观察认证失败或成功的邻居建立情况。

❗ 五、常见问题排查（很实用）

问题	原因	解决方案
邻居状态卡在 Init	密码不一致	检查认证方式和密码
一边配置了认证一边没配置	不会建立邻居	双方都需开启一致认证
多个 key 编号冲突	无法建立邻居	确保编号一致或匹配

❤️ 总结口诀

OSPF 想安全，认证不能少；明文太危险，MD5 才可靠！

重分发

🧩 一、什么是重分发（Redistribution）？

重分发就是将一种路由协议中学到的路由，导入到另一种协议中使用。

比如：

OSPF 网络中引入来自 RIP 的路由
或 RIP 网络中引入来自 OSPF 的路由

🔁 二、常见场景

场景编号	网络	路由协议	重分发方向
A	OSPF ↔ RIP	互不兼容	需要重分发
B	多协议环境	OSPF + RIP	互通通信
C	新旧网络迁移	从 RIP 迁移到 OSPF	临时共存

🔧 三、配置方法（Cisco 为例）

1. 基础拓扑例子

假设某设备同时跑 OSPF + RIP，在这台设备上做重分发。

🟢 在 OSPF 中引入 RIP 路由

router ospf 1
 redistribute rip subnets

subnets：引入子网，否则默认只引入主类地址

🔵 在 RIP 中引入 OSPF 路由

router rip
 redistribute ospf 1 metric 2

metric 2：为 OSPF 导入 RIP 的路由设置跳数，RIP 默认无跳数信息，必须手动指定。

🛡️ 四、加强控制：使用 Route Map（路由映射）

可控制引入的路由条件、权限、安全性等。

route-map OSPF-TO-RIP permit 10
 match ip address 1
 set metric 2

router rip
 redistribute ospf 1 route-map OSPF-TO-RIP

🔍 五、常见问题排查

问题	原因	解决方案
重分发不生效	没写 `subnets`（OSPF）	加上 subnets
RIP 没有跳数	忘了设置 metric	使用 `metric` 参数
路由环路	多点重分发，未做控制	使用 route-map/过滤器

✅ 六、验证命令

show ip route

→ 查看是否成功导入外部路由（如 O E2 是 OSPF 的外部路由）

show ip protocols

→ 查看重分发状态

debug ip routing

→ 实时查看路由变化（适合排错）

💡 七、小口诀便记忆

不同协议想牵手，重分发来搭桥。
引入外路别忘 metric，subnets 常常少不了！

交换网络

当然主人~ 尔铃这就娇滴滴地献上 VLAN 的原理与配置，简单又实用，让主人轻松掌握交换机的灵魂功能✨

🌈 什么是 VLAN（虚拟局域网）？

VLAN（Virtual LAN）是通过逻辑方式，把一个物理局域网划分成多个广播域的技术。
简单说：把一台交换机“分成多台用”！

🔧 VLAN 的好处

好处	说明
提高安全性	不同 VLAN 之间默认不能通信
减少广播风暴	每个 VLAN 是一个独立广播域
网络更灵活	不用重新布线就能逻辑分组
易于管理	可按部门、功能、位置划分

🧠 VLAN 原理小图示

比如一个交换机上有 6 台设备：

VLAN 10： 财务部（PC1, PC2）
VLAN 20： 技术部（PC3, PC4）
VLAN 30： 行政部（PC5, PC6）

他们在物理上接在一起，但逻辑上却互不打扰。

🛠️ VLAN 配置步骤（以 Cisco 为例）

① 创建 VLAN

Switch(config)# vlan 10
Switch(config-vlan)# name 财务部

② 把端口分到 VLAN

Switch(config)# interface fastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

意思是：把 F0/1 口归到 VLAN 10

③ 查看配置

Switch# show vlan brief

🔁 VLAN 间通信：需要路由器或三层交换机

不同 VLAN 默认不能通信，如需通信，要通过：

路由器 → Router-on-a-stick 配置
三层交换机 → 开启 VLAN 接口

🌀 VLAN 模式说明

模式	用途
Access	接用户设备，一口一个 VLAN
Trunk	连接交换机，传多个 VLAN（带 VLAN 标签）
Hybrid（少见）	可同时传多 VLAN+接入用户

✨ 小贴士

VLAN ID 范围：1–4094（1 和 1002-1005 保留）
VLAN 通常在二层交换机上配置
Trunk 口上会打标签（802.1Q）区分 VLAN

VTP

🌸 VTP 是什么？

VTP（VLAN Trunking Protocol） 是思科私有协议，用来在 同一个 VTP 域中自动同步 VLAN 信息，减少手动配置的麻烦。

就像一位广播员，把 VLAN 的消息从“主交换机”传给其它交换机，让大家保持一致哦～

🔧 VTP 的工作原理

VTP 使用 Trunk 口 在交换机间传播 VLAN 数据。
交换机会根据 VTP 消息，自动添加/删除/同步 VLAN 信息。
避免管理员在每台交换机上手动建 VLAN！

🌟 VTP 三种模式

模式	作用	能否修改 VLAN	能否发送 VLAN 通告
Server（服务器）	主控者	✅ 可以	✅ 可以
Client（客户端）	接收者	❌ 不可以	✅ 可以
Transparent（透明）	独立者	✅ 仅对本地有效	❌ 不参与同步

🎀 小提醒：VTP Client 是不能创建 VLAN 的！

🛠️ 简单配置流程（以思科模拟器为例）

设置 VTP 域名（所有设备必须一致）

Switch(config)# vtp domain mynetwork

设置模式（Server / Client / Transparent）

Switch(config)# vtp mode server

设置密码（可选）

Switch(config)# vtp password 123456

配置 Trunk 接口（让交换机能通信）

Switch(config)# interface f0/1
Switch(config-if)# switchport mode trunk

🎁 小结口诀：

VTP 帮 VLAN 快速同步～
服务器能改、客户端只听、透明人只顾自己～
Trunk 是桥梁，域名要统一！

VLAN间路由

🌸 什么是 VLAN 间路由？

每个 VLAN 就像一个小小的隔离村庄，不同 VLAN 默认是不能通信的。
若要 VLAN 之间通信，必须通过 三层设备（如路由器或三层交换机）来转发数据包。

🌟 单臂路由（Router-on-a-Stick）原理

一根网线（单接口）+ 子接口 + Trunk 模式，让一台路由器像八爪鱼一样“伸手”到多个 VLAN。

🎨 原理如下：

路由器的一根物理接口（如 G0/0）
👉 被配置成多个 子接口（如 G0/0.10、G0/0.20）
每个子接口对应一个 VLAN，并打上 802.1Q 标签
接口连接到交换机的 Trunk 端口
路由器通过子接口实现 VLAN 间路由转发！

🛠️ 配置步骤（思科设备为例）

💡1. 交换机配置 Trunk

Switch(config)# interface f0/1
Switch(config-if)# switchport mode trunk

💡2. 路由器配置子接口

Router(config)# interface g0/0.10
Router(config-subif)# encapsulation dot1q 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0

Router(config)# interface g0/0.20
Router(config-subif)# encapsulation dot1q 20
Router(config-subif)# ip address 192.168.20.1 255.255.255.0

💡3. PC设置默认网关为各自 VLAN 的子接口 IP

🧠 优缺点总结：

优点	缺点
简单实用	依赖单接口，性能瓶颈
适用于小型网络	不适合大规模或高并发场景

🎁 小口诀：

单臂路由一根线，
子接口来分 VLAN；
Trunk 连线不可少，
路由转发就靠它～

STP生成树

🌟 STP 是什么？

STP（Spanning Tree Protocol，生成树协议）
是一个防止交换网络环路的协议。
它像一个聪明的交通指挥官 👮‍♀️，会自动帮你“断开”多余的路，避免广播风暴和MAC地址表震荡！

🎯 STP 的作用

功能	描述
🔄 防止环路	自动关闭部分链路，防止网络中的环路产生
📶 提升冗余性	保留备用链路，当主链路故障时自动启用
🛡 增强网络稳定性	减少广播风暴、MAC冲突等问题

🧠 STP 的基本原理（通俗说）

选举根桥（Root Bridge）：
所有交换机会比谁更优秀（Bridge ID 最小），选出最中心的“根桥”👑。
计算最短路径：
所有交换机计算到根桥的最短路径（代价），谁近谁通，谁远谁“闭嘴”。
阻塞冗余端口：
如果某条链路是多余的，STP 就会把它设为阻塞（Blocking）状态，不转发数据，避免环路。

🧪 STP 的端口状态（进化流程）

Blocking：阻塞，不转发数据
Listening：监听BPDU，不学习MAC
Learning：学习MAC地址，不转发数据
Forwarding：转发数据
Disabled：被管理员禁用

🔧 常见配置（Cisco交换机）

# 设置优先级（越小越可能成为根桥）
switch(config)# spanning-tree vlan 1 priority 4096

# 查看STP状态
switch# show spanning-tree

# 关闭某个接口的STP（不推荐）
switch(config-if)# spanning-tree portfast

🎀 小结一下

STP 是防环路的守护者
自动选出Root Bridge
多余路径被“阻塞”避免风暴
链路断了，它会自动切换备用路线~

访问控制列表

ACL简介

🌐 什么是 ACL？

ACL（Access Control List）——访问控制列表
它是一种用来控制网络流量、实现过滤与访问权限管理的技术。
你可以把它想成一张“门卫名单”，只允许符合条件的“人”进出，不合格的？拒之门外！🛑

🎯 ACL 的作用

功能	描述
🔐 安全控制	允许或拒绝特定主机或网络的访问
📦 流量过滤	控制哪些数据包能通过接口
🚪 提供网络分段	结合 VLAN，实现访问隔离
🛡 边界防护	控制外部或内部的访问权限

📖 ACL 的基本工作原理

ACL 像是一组规则，从上往下依次匹配，一旦匹配就停止继续匹配！

例子：

允许 192.168.1.10 访问
拒绝其他所有

📚 ACL 的分类

分类	说明	特点
标准ACL	只检查源IP地址	适合简单过滤
扩展ACL	检查源IP、目标IP、协议、端口等	精细控制，更强大
命名ACL	给 ACL 起名字（代替编号）	更易管理
时间ACL	在指定时间段起作用	安全策略更灵活

🛠 小示例（Cisco风格）

# 创建标准ACL，允许特定IP
access-list 10 permit 192.168.1.10

# 创建扩展ACL，允许80端口访问
access-list 100 permit tcp any any eq 80

# 应用到接口
interface fa0/0
ip access-group 100 in

🌟 小结一口气吸收！

ACL 是网络的“门卫”👮‍♂️，谁能进出全凭它的脸色～
标准ACL 只看源IP
扩展ACL 看得更全：源、目标、协议、端口
可以配合接口方向进行控制（in / out）
顺序重要，优先匹配上面的规则

标准ACL

🌟标准 ACL 是什么？

标准 ACL（Access Control List）
👉 是最基础的访问控制，它只根据“源 IP 地址”来决定放不放行数据包。

🧠 基本原理

标准 ACL 的编号范围：1~99（还有 1300~1999 也行）
只能匹配 源 IP，无法指定目标 IP 或端口
通常用于限制某个主机/网段访问路由器或其他网络

🛠 配置步骤（Cisco 示例）

🧾 场景：

禁止 IP 为 192.168.1.10 的主机访问整个网络

✨步骤 1：写 ACL 规则

Router(config)# access-list 10 deny 192.168.1.10
Router(config)# access-list 10 permit any

🌸解释：

第一句：禁止该 IP
第二句：允许其他所有 IP（因为 ACL 默认最后是拒绝）

✨步骤 2：应用到接口

Router(config)# interface fa0/0
Router(config-if)# ip access-group 10 in

📌解释：

把 ACL 规则应用在接口 fa0/0 上
in 表示进入接口的数据包会被 ACL 检查

🎀 配置逻辑图（可脑补一下）

[192.168.1.10] ---> (fa0/0 接口) ---> [Router] ---> ❌被拦下

💡 小提示

常见操作	命令
查看 ACL	`show access-lists`
删除 ACL	`no access-list 10`
清除接口 ACL	`no ip access-group 10 in`

🌸小结一口吸收：

项目	内容
控制对象	源 IP 地址
编号范围	1-99（或1300-1999）
应用方向	一般是 `in`
配置步骤	写规则 → 应用接口
注意事项	默认拒绝，所以记得 `permit any`

扩展ACL

💡扩展 ACL 是什么？

扩展 ACL：
➤ 不仅能根据源 IP，还能根据目标 IP、协议、端口号来进行精细控制。
➤ 编号范围：100–199（或 2000–2699）

🧠 应用场景举例

主人你想让内网 192.168.1.10 禁止访问外网的 HTTP 服务（端口 80），但可以访问其他服务。

🛠 配置步骤

✨1. 写 ACL 规则（精确控制）

Router(config)# access-list 100 deny tcp 192.168.1.10 0.0.0.0 any eq 80
Router(config)# access-list 100 permit ip any any

解释：

deny tcp：限制 TCP 协议（HTTP 属于 TCP）
192.168.1.10 0.0.0.0：指定单个源主机
any eq 80：任何目标，端口是 80
permit ip any any：其余正常放行（因为 ACL 默认最后是隐含拒绝）

✨2. 应用到出口或入口接口

Router(config)# interface fa0/0
Router(config-if)# ip access-group 100 in

如果 fa0/0 是用户进入路由器的接口，就用 in。

🔍 查看 ACL 状态

Router# show access-lists

📝 快速表格对比（标准 vs 扩展）

项目	标准 ACL	扩展 ACL
控制范围	只看源 IP	源 IP、目标 IP、协议、端口
编号	1–99	100–199
精度	粗略	精确
应用位置	离目标远	离源近
使用难度	简单	稍复杂

🎯扩展 ACL 常用协议关键字

协议	说明
`ip`	所有 IP 协议
`tcp`	TCP 协议（HTTP、HTTPS）
`udp`	UDP 协议（DNS、DHCP）
`icmp`	ping、traceroute 用

🌸总结一句话：

扩展 ACL = 网络“高精度狙击枪”，让你精准命中想要拦截的 IP + 协议 + 端口！

ACL配置示例

🌪️ 一分钟带你了解三种特殊 ACL：

类型	名字解释	使用场景	特点
动态 ACL	用户登录后，自动生成临时访问规则	临时授权（如上网认证）	依赖身份验证
自反 ACL	自动生成回程访问规则	保证连接双向通信	自动创建“回流”规则
基于时间的 ACL	规定 ACL 生效的时间段	控制上网时间 / 服务开放时间	时间可控，自动开关

🧙‍♀️一、动态 ACL（Lock and Key）

📌用途：

用户Telnet 登录认证后，路由器自动为其创建访问规则。

🧰配置步骤（思路）：

配置一个标准 ACL 限制谁可以 Telnet 登录
创建 动态 ACL
应用在接口上
用户 Telnet 登录验证 → 自动解锁访问权限

💡举个例子：

access-list 101 dynamic mylocklist permit ip 192.168.1.0 0.0.0.255 any
line vty 0 4
login local
autocommand access-enable host timeout 10

🪞二、自反 ACL（Reflexive ACL）

📌用途：

允许连接出去的数据回来，但不允许外部发起连接，适合做防火墙。

💡示意流程：

主人访问外网服务器（建立 TCP 连接）
自反 ACL 自动生成“返回路径”规则
外网只能基于已有连接返回，不能随便发起连接

🧰配置流程：

ip access-list extended OUTBOUND
 permit tcp any any reflect myfilter
ip access-list extended INBOUND
 evaluate myfilter

⏰三、基于时间的 ACL（Time-Based ACL）

📌用途：

只在特定时间段内允许访问。例如：只允许周一到周五 8:00–18:00 上网。

🧰配置步骤：

定义时间范围
创建 ACL 并绑定时间范围
应用到接口

💡配置示例：

time-range WorkHours
 periodic weekdays 8:00 to 18:00

access-list 110 permit ip any any time-range WorkHours

interface fa0/0
 ip access-group 110 in

🧚‍♀️总结妖娆口诀：

🔐动态 ACL：用户验证才放行
🔁自反 ACL：请求能出，响应能进
🕒时间 ACL：定时开关，自动上线

网络地址转换

网络地址转换介绍

🧠 什么是 NAT？

NAT（Network Address Translation） 是一种技术，让私有 IP 地址能在互联网上“混”成一个公网 IP，这样就可以上网啦！

就像：

一家人（多个私有IP）出门旅行，买的是同一张门票（公网IP），
外人看不出是几个人，只看到一个人进进出出。

💡为什么要用 NAT？

因为公网 IP 太少了，而私有 IP 又不能直接上网，所以 NAT 出马——

🧱 问题	💡 NAT的解决方式
私有 IP 不能直接访问外网	NAT 把它“伪装”成公网 IP
公网 IP 数量太少	多个私有 IP 共用一个公网 IP

🎭 NAT 的类型

类型	名称	特点
静态 NAT	Static NAT	私有 IP ↔ 公网 IP 一一对应
动态 NAT	Dynamic NAT	私有 IP 从公网 IP 池中临时选一个
PAT（端口地址转换）	Port Address Translation（也叫 NAT Overload）	多个私有 IP 共享一个公网 IP，通过端口区分！最常用！

🌊 形象理解：

私有IP	公网IP	端口	映射效果
192.168.1.2	1.2.3.4	1025	外网看到：1.2.3.4:1025
192.168.1.3	1.2.3.4	1026	外网看到：1.2.3.4:1026

🛠 简单配置例子（Cisco 路由器）

interface fa0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside

interface fa0/1
 ip address 203.0.113.2 255.255.255.0
 ip nat outside

access-list 1 permit 192.168.1.0 0.0.0.255

ip nat inside source list 1 interface fa0/1 overload

✨总结一句话：

NAT 就是让“局域网小透明”伪装成“互联网大佬”，可以出门访问世界，还不怕IP不够用！

静态NAT

🌟 静态 NAT 是什么？

Static NAT（静态地址转换）：

把一个固定的私有 IP 地址和一个固定的公网 IP 地址****一对一绑定。

也就是说，某台内网主机永远通过特定的公网 IP 访问外部，反之亦然。

💖 静态 NAT 的作用

作用	说明
🎯 一对一映射	固定私网 IP 和公网 IP 的映射
🌐 对外服务必备	适用于 Web 服务器、FTP 服务器等需要长期对外提供服务的设备
🔐 控制明确	安全性高，便于配置访问控制

🧰 配置流程（Cisco 示例）

假设：

私有地址：192.168.10.100（服务器）
公网地址：203.0.113.10
内部接口：fa0/0
外部接口：fa0/1

🧾 1. 配置接口 NAT 类型

interface fa0/0
 ip address 192.168.10.1 255.255.255.0
 ip nat inside

interface fa0/1
 ip address 203.0.113.1 255.255.255.0
 ip nat outside

🧾 2. 配置静态映射

ip nat inside source static 192.168.10.100 203.0.113.10

🌈 流程举个栗子🌰：

内网主机 192.168.10.100 是个 web 服务器。
配置静态 NAT 让外网用户通过 203.0.113.10 访问它。
客户访问 http://203.0.113.10，NAT 转换为 192.168.10.100，服务器响应。

💡总结一下：

静态 NAT 就像是把主人你最喜欢的猫猫固定给一张专属名片（公网 IP），不管何时、何地，它都用这个名字出门，永不改变~🐱💌

动态地址转化

🌟动态地址转换（Dynamic NAT）是啥？

Dynamic NAT（动态地址转换） 是 NAT 的一种形式，它的作用是——

把多个私有 IP 动态映射到一个公网 IP 池中的可用 IP。

不像静态 NAT 那样一对一绑定，Dynamic NAT 更灵活：谁需要上网，就从公网 IP 池里挑一个用！

💖它有什么作用？

作用	说明
✨ 节省公网 IP	不用给每台设备分配公网 IP，只需一个公网 IP 池
🔐 隐藏内部结构	外部看不到内部网络详情，安全性up~
🔄 动态映射	谁需要上网，谁就分配一个公网 IP，用完释放

🧰配置流程（Cisco 路由器示例）

假设：

私有网段：192.168.10.0/24
公网地址池：203.0.113.10 - 203.0.113.20

🧾1. 配置 inside 和 outside 接口：

interface fa0/0
 ip address 192.168.10.1 255.255.255.0
 ip nat inside

interface fa0/1
 ip address 203.0.113.1 255.255.255.0
 ip nat outside

🧾2. 定义访问控制列表（ACL），指定要转换的内部地址

access-list 1 permit 192.168.10.0 0.0.0.255

🧾3. 配置地址池

ip nat pool MYPOOL 203.0.113.10 203.0.113.20 netmask 255.255.255.0

🧾4. 建立动态 NAT 映射规则

ip nat inside source list 1 pool MYPOOL

💡小贴士

Dynamic NAT 和 PAT 的区别：
Dynamic NAT 是“多对多”（有多个公网IP）；
PAT 是“多对一”（共享一个公网IP+多个端口）！

✨总结一口气：

Dynamic NAT 就是让主人你家里的人（私有IP）在出门上网时，去“前台”临时领个通行证（公网IP），用完就归还，不耽误别人也使用。

--
嘻嘻~ 主人~
接下来是超实用的——过载地址转换（PAT）登场啦！它是 NAT 技术中最节省 IP 地址的好帮手！💥

过载地址转化

🌟 什么是过载地址转换（PAT）？

PAT（Port Address Translation）也叫 NAT Overload（NAT过载）：

多个私网 IP 通过同一个公网 IP 出口访问外网，靠端口号区分每个连接。

💖 PAT 的作用

作用	描述
🌍 多人共享一个公网 IP	家用、企业网络的标配！
🔐 提高私网安全性	内部 IP 不暴露在公网
💸 节省公网地址资源	公网 IP 不够用时的救星

📦 举个简单例子：

假如主人你家里有：

电脑 A：192.168.1.2
电脑 B：192.168.1.3
公网 IP 只有一个：203.0.113.5

这时候，PAT 就会把出站数据包的源 IP 全部变成 203.0.113.5，
但每台设备的端口号不同，外网返回时根据端口号分发回不同主机。

🧰 Cisco 上的配置步骤：

假设：

内网网段：192.168.1.0/24
公网接口 IP：203.0.113.5
内部接口：fa0/0
外部接口：fa0/1

🧾 1. 定义 NAT 内外接口

interface fa0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside

interface fa0/1
 ip address 203.0.113.5 255.255.255.0
 ip nat outside

🧾 2. 创建访问列表（定义要转换的内网地址）

access-list 1 permit 192.168.1.0 0.0.0.255

🧾 3. 启用 NAT 过载（PAT）

ip nat inside source list 1 interface fa0/1 overload

🌈 PAT 的工作方式是？

内部主机	源端口	转换后公网 IP	转换后端口
192.168.1.2	1234	203.0.113.5	1025
192.168.1.3	1234	203.0.113.5	1026

不同设备即使端口一样，PAT 会自动改写成唯一端口来区分。

💡 总结一句话：

PAT 就像一家咖啡馆只有一个门（公网 IP），但每位客人（私网主机）出门时都戴着自己编号的帽子（端口号），回来时店员（路由器）一眼就认出他们是谁~🎩

好的主人~✨ 尔铃这就给你简明扼要地梳理一遍无线网络的核心知识，方便你写博客或打基础：

其他技术

📡 无线网络基础知识

一、什么是无线网络？

无线网络（Wireless Network）是指不依赖网线，而是通过电磁波（如 Wi-Fi、蓝牙、蜂窝网络等）进行数据传输的网络形式。

二、无线网络常见类型

类型	描述	举例
WLAN（无线局域网）	用于小范围连接，依赖 Wi-Fi 技术	家庭/公司Wi-Fi
WWAN（无线广域网）	广覆盖，依赖运营商基站	4G/5G 移动数据
WPAN（无线个域网）	超小范围，如几米	蓝牙、红外
WMAN（无线城域网）	城市级覆盖	WiMAX（已基本淘汰）

三、无线网络关键技术

Wi-Fi（IEEE 802.11）
- 常见标准：802.11a/b/g/n/ac/ax
- 频段：2.4GHz、5GHz（6GHz为Wi-Fi 6E）
- 加密方式：WEP（已废）→ WPA → WPA2 → WPA3
蓝牙（Bluetooth）
- 用于设备间短距离通信
- 蓝牙5.0之后速度和距离大幅提升
NFC（近场通信）
- 用于手机支付、门禁卡模拟等，通信距离<10cm

四、无线网络的组成

组成	作用
AP（Access Point）	无线接入点，负责发射 Wi-Fi 信号
STA（Station）	即连接 Wi-Fi 的终端，如手机、电脑
SSID	无线网络名称，可设置隐藏
BSSID	AP 的 MAC 地址

五、安全性相关

威胁类型	描述
钓鱼热点	冒充正规Wi-Fi诱导连接
WEP破解	老旧加密协议，易被暴力破解
中间人攻击（MITM）	拦截数据包、篡改通信内容
Wi-Fi探针监听	收集设备的历史连接信息

推荐加密方式：WPA2-PSK或WPA3，不要用WEP。

六、无线渗透方向（进阶可学）

无线包捕获与破解（aircrack-ng、hcxdumptool）
钓鱼AP搭建（rogue access point）
WPA/WPA2握手包抓取与破解
社会工程结合无线钓鱼

好哒主人～✨
尔铃这就为你奉上简明又实用的 IPv6 知识梳理，既适合你写博客，又适合搭建渗透知识体系~

IPv6

🌐 一、IPv6 是什么？

IPv6（Internet Protocol version 6）是下一代互联网协议，用于替代IPv4，解决地址枯竭的问题。

🔢 二、IPv6 与 IPv4 的对比

项目	IPv4	IPv6
地址长度	32 位	128 位
地址数量	~42亿	2¹²⁸（几乎无限）
表示形式	十进制，如 192.168.1.1	十六进制，如 `2001:0db8:85a3::8a2e:0370:7334`
地址配置	手动或DHCP	支持自动（SLAAC）
广播支持	有广播	无广播，改用多播
内建安全	需外加IPSec	原生支持IPSec

🧩 三、IPv6 地址结构

IPv6地址由8组4位十六进制数组成，用冒号分隔。
例如：2001:0db8:0000:0000:0000:ff00:0042:8329

可简写为：2001:db8::ff00:42:8329（连续0可以省略）

🧭 四、IPv6 地址类型

类型	示例	用途
单播地址	唯一地址	指定一个设备
多播地址	`FF00::/8`	一组设备
任播地址	路由器选择最近的一个设备	一对多通信优化
链路本地地址	`FE80::/10`	本地通信（不出路由器）
全球单播地址	`2000::/3`	公网可路由地址
回环地址	`::1`	自己

⚙️ 五、IPv6 地址自动配置

SLAAC（无状态地址自动配置）
终端设备可根据路由器前缀自动生成地址
DHCPv6（有状态配置）
类似IPv4的DHCP，但为IPv6定制
EUI-64
根据网卡MAC生成地址

🔐 六、IPv6安全相关

IPSec 内建支持：数据加密与认证
无广播、少扫描面：更安全
但同样存在风险，如：
- IPv6双栈劫持
- 隧道滥用（如 Teredo）
- RA欺骗、DoS攻击

🔍 七、IPv6渗透方向建议（进阶）

项目	工具
IPv6信息收集	`nmap -6`、`fping6`
RA欺骗	`mitm6`、`bettercap`
邻居发现投毒	`ndspoof`
隧道利用	Teredo、6to4、ISATAP
防护建议	禁用未用的隧道、控制RA、部署IDS监控IPv6流量

posted @ 2025-04-05 16:53 Xia0_0 阅读(108) 评论(0) 收藏举报

刷新页面返回顶部