西安电子科技大学计算机网络安全实验复习总结

线下实验一

网线制作与测试

• 网线制作规范

  • 剥线：用工具剪下所需的双绞线长度
  • 排列四对线：把四对线排序
  • 理线：把每对线捋直
  • 排序并整线：重新排序并整理平整
  • 插线：将每一根线依序放入RJ-45接头引脚内
  • 压线：使用压线钳压接RJ-45水晶头

• 直连线和交叉线的作用

  • 直连线用于连接不同种的设备，例如连接电脑和交换机、交换机和路由器等
  • 交叉线用于连接同种设备，例如电脑和电脑之间

访问H3C网络设备

• 如何访问H3C设备以及如何连线

  • 将路由器的配置电缆USB插口连接到PC的串口上
  • 将路由器的配置电缆RJ-45插头连接到路由器的Console端口
  • 连接好后还要安装驱动和终端仿真软件

• 超级终端软件的基本操作

  • 协议选择SERIAL
  • 串口类别中端口号为系统读取的端口号，波特率选择9600

• Comware常用命令

  • system-view：从用户视图进入系统视图
  • return：返回用户视图
  • quit：返回上一级视图

交换机基础和VLAN

• 实验3、4
  • 相当于是在交换机里添加了vlan10和vlan20，vlan10让目的地址为192.168.10.0/24的下一跳到192.168.10.254，vlan20让目的地址为192.168.20.0/24的下一跳到192.168.20.254
  • 然后把相应的端口加入vlan

线下实验二

ACL手册内容，掌握重要指令功能

• ACL：Access Control List 访问控制列表
• acl basic name PC1
• rule deny source 192.168.1.2 0
• quit
• int g0/1
• packet-filter name PC1 inbound
• quit

线下实验三

NAT的原理性内容

• 将ip报文中的ip地址字段转换为另一个ip地址字段的过程，主要实现使用私有ip地址的内部网络对使用公有ip地址的外部网络的访问

• 通过使用NAT，能使多数私有ip地址转换为少数的公有ip地址，减缓可用ipv4地址空间枯竭的速度

• 优点：在为内部网络主机提供隐私保护的前提下，实现内部网络的主机通过该功能范文外部网络的资源

• 缺点：涉及ip地址的数据报文的报头不能被加密；由于主机原始ip被屏蔽，网络调试变得更加困难

• 私有网络ip地址块：10.0.0.0/8、172.16.0.0/12、192.168.0.0/16

• 分类：

  • 基本地址转换：多对多地址转换

    当第一个内网主机访问外网时，NAT选择一个公有地址IP1，在地址转换表中添加记录并发送数据报；当另一内网主机访问外网时，NAT选择另一个公有地址IP2；以此类推，满足多台内网主机访问外网的请求。

  • NAPT：网络地址端口转换

    来自不同内部地址的数据报文可以映射到同一公有地址的不同端口号上。

  • 静态NAT：静态绑定转换

    内部网络主机的IP同公网IP是一对一静态绑定的，静态NAT中的公网IP只会给唯一且固定的内网主机IP转换使用。（其他都是动态分配的，刚开始不会固定。）

线上实验

ISO三种命令行模式及之间如何转换

• 用户模式：默认模式，刚登陆时的模式，操作有限，不能查看和更改路由器配置。提示符为>
• 特权模式：可以使用绝大多数命令，但不能对接口及网络协议进行配置。提示符为#
• 全局模式：可以配置路由器的全局参数，如主机名、特权密码等。提示符为(config)#
• 转换方式：在用户模式下输入enable并按下enter键进入特权模式，在特权模式下输入config terminal并按下enter键进入全局模式。

Packet Tracer如何配置ip，如何配置端口

• config界面的接口配置中可以配置各接口ip地址、子网掩码等基本信息

线上实验一

集线器和嗅探攻击实验

• 集线器是广播设备，从某个端口接收到MAC帧之后，向除了接收该MAC帧端口以外的所有其他端口输出该MAC帧。因此，当黑客终端接入到集线器上时，集线器接收到的所有MAC帧在转发时，都会转发给黑客终端，造成信息泄露。

线上实验二

终端以太网计入Internet实验

• 由于终端A和终端B通过以太网与作为接入控制设备的路由器R1实现互联，因此需要通过基于以太网的点对点协议（PPPoE）完成接入过程。
• 对于路由器R1：
  1. 需要配置注册用户
  2. 需要配置用于鉴别注册用户身份的鉴别协议
  3. 需要配置ip地址池
• 对于接入终端：
  1. 启动宽带接入程序，输入表明注册用户身份的有效用户名和口令
• 流程：
  1. 简历终端与路由器之间的点对点(PPP)会话
  2. 基于PPP会话建立PPP链路
  3. 路由器对终端用户进行身份认证
  4. 路由器对终端分配ip，并更新路由表

统一鉴别实验

• 目的：允许任何一个注册用户通过任何一台接入终端完成Internet访问过程
• 引入鉴别服务器，在鉴别服务器中定义所有注册用户。当接入控制设备（路由器）接收到用户发送的用户名和口令等身份标识信息时，通过互联网将身份标示信息转发给鉴别服务器，鉴别服务器将判别结果回送给接入控制设备。
• 鉴别服务器和接入控制设备之间需要配置共享密钥
  1. 通过共享密钥实现双向身份验证，避免假冒接入控制设备或鉴别服务器的情况
  2. 加密传输的身份标识信息和鉴别结果
• 每一台接入控制设备由 IP 地址和接入控制设备标识符唯一标识

线上实验三

访问控制列表实验

• 当交换机某个端口启动安全功能，访问控制列表中最大MAC地址数设置为1，并静态配置某终端的MAC地址后，只有该终端能通过该端口接发MAC帧，其他MAC地址不同的终端的MAC帧会被丢弃，并关闭该端口。需要通过特殊命令序列才能重新开启交换机端口。

安全端口实验

• 当交换机某个端口启动安全功能，访问控制列表中最大MAC地址数设置为2，此时接连接入两个不同的终端，并发送MAC帧后，访问控制列表会将接入的两个终端MAC地址写入访问控制列表。此时，再接入第三个MAC地址不同的终端，发送MAC帧，会发现交换机丢弃该MAC帧。因为此时访问控制列表已经达到了最大地址数2。

防DHCP欺骗攻击实验

• 如果交换机启动防DHCP欺骗的功能，可以将指定端口设置为信任端口，其他设置为非信任端口。此时，只有连接在信任端口的DHCP服务器才能为终端提供自动配置网络信息的服务。其他端口的DHCP消息都会被丢弃。