收藏
下载资源

第四章维护办公环境网络(共10页).doc

上传人:飞****2 文档编号:16824707 上传时间:2022-05-19 格式:DOC 页数:10 大小:42KB
返回 下载 相关 举报
第四章维护办公环境网络(共10页).doc_第1页
第1页 / 共10页
第四章维护办公环境网络(共10页).doc_第2页
第2页 / 共10页
点击查看更多>>
资源描述

《第四章维护办公环境网络(共10页).doc》由会员分享,可在线阅读,更多相关《第四章维护办公环境网络(共10页).doc(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、精选优质文档-倾情为你奉上第四章维护办公环境网络4.1IP地址分配4.1.1 简述DHCP4.1.2启用宽带路由器的DHCP服务1启用DHCP服务选择DHCP服务出现如图4.2所示界面1) 地址池开始和结束地址:设定地址池的范围。2) 地址租期:DHCP服务器分配给客户端的IP地址的有效使用时间。在租期结束之前,DHCP客户端会有一个续约的过程来保证长期使用同一个IP地址 3) 网关:填写路由器LAN口IP地址,缺省为192.168.1.1.4) DNS服务器;填写运营商提供的DNS服务器地址注意:配置了DHCP服务后,需要将内部局域网主机全部设置为:“自动获取IP地址”2. 客户端列表如图选

2、择客户端列表,显示了通过DHCP服务器获得IP地址的主机的主机名、MAC地址、获得的IP地址和有效时间3. 静态地址分配选择静态地址分配可以为指定MAC地址的主机预留IP地址在“IP地址”中填入为内部局域网主机预留的IP地址,在“状态”中选择此条目是否生效。配置完成后在静态地址分配界面就出现一个对应条目。当DHCP服务器为指定的主机分配IP地址时,就将静态分配的IP地址提供给主机,4.2广播与ARP协议原理4.2.1广播与广播域1) MAC地址的广播2) IP地址广播4.2.2ARP协议1. ARP概述2windows操作系统主机ARP命令的使用1) 清除ARP缓存使用arp-a可以查看ARP

3、缓存表,而要清除ARP缓存表要使用arp-d命令如下在清除ARP缓存后,在显示ARP缓存会提示没有ARP条目。2) ARP绑定是将IP地址和相应的主机MAC地址进行绑定,是防止ARP攻击的有效方法使用arp-s ip-address mac-ipress命令对IP地址和MAC地址进行绑定。如C;arp-s 10.0.0.200 00-1a-64-a1-52-f0 /静态绑定ARP条目其中,static表示静态绑定的ARP条目;dynamic表示动态学习到地ARP条目。静态绑定的ARP条目一直存在直到系统重启或ARP缓存被清除;动态学习到地ARP条目有老时化间(默认为120s)3cisco设备A

4、RP命令1) 查看ARP缓存表 使用show arp命令显示ARP缓存表如switch#show arp其中,age表示ARP条目存在的时间,-“表示始终存在2) 清除ARP表使用clear arp-cache命令清除ARP缓存表3) ARP绑定使用arp ip-adress mac-address arpa interface-type interface-number绑定ARP条目如switch(config)#arp 1.1.1.1 0011.1111.1111 arpa fastethernet 0/22Switch#show arp4ARP原理演示如图4.7,ARP演示过程,这是一个

5、对应的环境,PC1和PC2第一次通信,因此在通信双方的ARP缓存中不会有彼此的IP地址和MAC地址的映射具体步骤:(1)使用ipconfig/all查看PC1和PC2的MAC地址(2)用arp-a”查看PC1和PC2的缓存,“NO ARP Entries found”表示没有发现任何ARP映射条目(3)在PC1上pingPC2的IP地址,之后用“arp-a”命令查看ARP缓存信息其中,显示了PC1的ARP缓存中记录的关于PC2的IP 地址和MAC地址的对应关系,这是因为在ping命令发送数据之前,PC1先通过ARP请求获得了PC2的MAC地址。4.3解决IP地址冲突1分析问题2解决方法当员工主

6、机出现IP地址冲突时,网络管理员需要做两件事;第一, 恢复员工主机的正常通讯第二, 查找私自配置IP地址的主机首先恢复主机的正常通讯,1) 记录现在使用的IP地址,以便检查擅自修改IP地址的主机2) 通过禁用、起用网卡,重新获得IP地址,恢复网络的通讯,或使用ipconfig/release、ipconfig/renew重新获得IP地址然后,查找私自更改IP地址的主机(1) IP地址冲突主机原来使用的IP地址就是私自更改IP主机正使用的IP地址(2) 使用ping命令,ping上述IP地址(3) 使用arp-a命令显示ARP缓存,从中找出源IP地址对应的MAC地址(4) 找到此MAC地址的主机

7、3记录相关信息一般记录以下几点:1) 记录主机信息主要包括:主机名、MAC地址、IP地址、网关、员工、部门等2) 记录网络设备主要包括:端口IP地址、端口连接的设备等如果网络管理员没有记录相关信息,如何快速收集信息呢?通过局域网扫描软件(lansee等)对局域网中的主机进行扫描,得到主机的IP地址、主机名、MAC地址等信息注意:(1)在网络建立以后配置主机时,需要更改主机名来标识主机或主机使用人,以方便维护(2)除了使用局域网扫描软件,还可以通过命令行方式进行查找,(3)有时客户机开启防火墙、ARP防火墙等软件,就不能通过软件或命令方式获得主机相关信息,只能逐台进行查找4.4ARP攻击与ARP

8、欺骗的原理4.4.1ARP攻击和ARP欺骗的原理1ARP攻击的原理2. ARP欺骗的原理4.4.2ARP攻击应用案例1. 利用ARP欺骗管理网络1) 选择监控网段a第一次打开软件的时候,会弹出监控参数选择对话框。如图4.13所示。如选择监控所使用的网卡,单击确定即可b选择监控的IP地址段如图4.14所示首先填写监控的局域网段的范围为10.0.0.110.0.0.254,然后单击“添加/修改”按钮,IP地址段便在表格内生成,之后单击确定“即可注意指定的IP地址范围不一定是监控网卡所处的网段,只要监控主机可以访问到的局域网段均可监控2) 用户权限设定a进入软件界面后,软件将自动扫描指定IP网段范围

9、内的主机。并以列表的形式显示这些主机的MAC地址、IP地址、主机名称、主机状态等如图4.15所示;软件扫描结果b右击需要管理的主机,在菜单中选择“手工管理,弹出 如图4.16所示的对话框c对主机的管理方式有三种,分别如下l IP冲突;如果选择此项,被控主机屏幕的右下角将会提示IP冲突l 禁止与关键主机组进行TCP/IP连接:如果选择此项,被控主机将无法访问关键主机组中的成员l 禁止与所有主机进行TCP/IP连接;如果选择此项,被控主机将和所有主机失去连接d设定关键主机组单击图4.16中设置按钮,在弹出的对话框中填写10.0.0.200(网关IP地址)如图4.17所示添加关键主机,然后单击全部保

10、存按钮如图4.18所示,选择“第一组“之后任意给定一个管理频率,单击开始按钮e验证效果此时在被控主机上通过ping命令测试结果如图4.19、图4.20所示2处理ARP故障“1) 第一种解决方法处理ARP欺骗攻击最一般的方法是IP-MAC绑定,如图4.22所示可以在客户端主机和网关路由器上双向绑定IP-MAC来避免 ARP欺骗导致无法上网(1)在主机上绑定网关路由器的IP和MAC,可以通过之前的学习过的“arp-s命令实现(2)在网关路由器上绑定主机的IP和MAC,可以通过如下命令实现如router(config)#arp 10.0.0.6 0019 2101.9211 arpa f0/0如果要

11、查看配置结果,可以通过命令”show ip arp”(3)这时网络中如果有ARP病毒发作,或是用户使用类似网络执法官等软件便无法欺骗局域网中的主机了。可以在交换机上配置IP-MAC-port的绑定,使交换机丢弃这些欺骗报文,从而防止其全网泛滥如图switch(config)#arp 10.0.0.6 0019.2101.9211 arpa f0/2Switch(config)#arp 10.0.0.200 001a.64a1.52f0 arpa f0/1Switch(config#arp 10.0.0.7 0013.240a.b219 arpa f0/3 switch#show ip arp缺

12、点:如果网络终节点数很多,在路由器和交换机上的配置量便会随之增多,而且网络中如果采用DHCP动态分配 IP地址,一旦主机IP地址发生变化,将直接导致该主机无法上网A. 第二种解决方法使用ARP防火墙,自动抵御ARP欺骗和ARP攻击1) 在主机A上开启ARP防火墙,如图4.23所示 ,防火墙的主界面显示统计数据,包括:ARP协议收发数据包的统计、拦截ARP攻击的统计、自动绑定的IP/MAC地址(网关)等2) 在主机B上开启网络执法官软件,通过他来模拟ARP病毒发作具体设置:针对主机 A设置无法访问关键主机10.0.0.200(网关)3)在主机A上通过ping命令测试与网关的网络连通性如图4.24

13、所示:如图主机A和网关的连通性测试结果4)ARP防火墙统计数据的变化如图4.25所示:更新统计数据ARP接收的数据包数量急剧增加,ARP防火墙将所有的非广播(ARP的应答包)阻截,并且一直将网关的IP/MAC静态绑定在一起,如图4.26所示:网关的IP/MAC自动绑定基于ARP防火墙的安全防护机制使得ARP攻击失去了效果5)ARP防火墙原理分析A. 更改主机B上网络执法官的设置,使之定期给网关发送10.0.0.6的假MAC地址,再次进行连通性测试发现主机A和网关无法通信B. 进入ARP防火墙的“设置”对话框,单击“防御”选项卡如图4.27所示主动防御的三种模式:l 停用:关闭主动防御功能B. 宽带路由器绑定ARP4.4.3防御ARP攻击和ARP欺骗并查找攻击主机1. 防御ARP攻击和ARP欺骗2. 查找进行ARP攻击和ARP欺骗的主机上机实验部分实验案例一;收集网络信息实验案例二;ARP协议的应用案例本章总结部分本章作业专心-专注-专业

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 教案示例

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁