CCNA Security笔记
Cisco ASA5500(VTM)集成了PIX、VPN3000、IPS功能
硬件IPS:(4240)入侵防护系统
CSA:基于主机的IPS
功能:限制用户行为,对应用程序进行控制
ISR增强特性:(ISR1800/2800/3825/3845)
1、无线模块
2、硬件IPS模块
3、Web Cache
4、NAM(网络分析模块)
Role-based CLI views配置:
1、激活AAA:aaa new-model
2、配置enable secret:enable secret huda
3、进入Root View模式R1#enable view root
Password:cisco
4、配置View“test”:R1(config)#parser view test定义用户
5、R1(config-view)#secret huda定义密码
6、R1(config-view)#command exec include ping定义可使用的命令
IOS安全保护,防止恶意删除,命令配置:
Router(config)secret boot-image(加密隐藏保护IOS)Router(config)secret boot-config(加密备份配置)
注意:只有Console口才能禁用和恢复。
Rommon1>bootflash:c2800nm-adventerprisek9-mz.124.15.
T5.bin
Secure boot-config restore flash:/secure.cfg
Router#copy flash:/secure.cfg running-config
Cisco IOS Login Enhancements(防止恶意猜密码,DOS攻击)配置实例:
Login block-for600attempts3with60(任何人60S内密码输错3次将挂起600S),只有permit用户不受这个限制
Login delay2
Login quiet-mode access-class block.ssh.new
Login on-failure trap every3
Login on-success trap
Ip access-list standard block.ssh.new
Permit137.78.5.5
Permit61.149.0.00.0.255.255
AAA:
1、Authentication:(认证)用户名和密码
2、Authorization:(授权)
1.授权用户使用的命令
2.授权用户访问的信息
3.授权用户获得的信息
注意:授权的主要作用是在用户都有效的情况下,区分特权用户和普通用户
3、Accorting:(审计)
什么人、什么时候、做了什么事情(类似于生活中的摄像头)
Client与NAS之间三大协议原因:
登入nas telnet/ssh/http/https……
拨入nas pptp/I2tp/ipsec vpn
穿越nas auth-proxy(IOS)/cut-through(ASA)
NAS与AAA服务器通讯两大协议:
Tacacs+:思科私有、TCP、端口号49,加密所有数据
Radius:工业标准、UDP、认证授权端口号:1645和1812,审计:1646和1813,只对密码加密。
AAA配置:定义name认证策略
AAA(config)#aaa new-model
配置线下保护策略:
AAA(config)#aaa authentication login noacs line none
命令解释:login(登陆)认证策略,策略名为noacs,策略为先使用线下密码认证(line),如果线下没有密码就不认证(none)
调用线下保护策略:
AAA(config)#line console0
AAA(config)#login authentication noacs
定义AAA服务器:
AAA(config)#tacacs-server host192.168.1.254key cisco
测试AAA服务器
AAA#test aaa group tacacs+test cisco new-code
定义Login认证策略
AAA(config)#aaa authentication login vty.auth group tacacs+ AAA(config)#line vty04
AAA(config-line)#login authentication vty.auth
当AAA服务器不可达时使用本地认证:
AAA(config)#aaa authentication login vty.auth group tacacs+ local
SDM Router配置:
1、创建本地用户名和密码(级别15级)
SDM(config)#username admin privliege15secret cisco
2、启用HTTP或者HTTPS服务器
SDM(config)#ip http secure-server
3、配置HTTP的本地认证
SDM(config)#ip http authentication local
4、配置VTY线路的本地用户认证
SDM(config)#line vty015
SDM(config-line)#login local
5、限制VTY线路拨入协议(可选)
SDM(config-line)#transport input ssh
CLI配置Syslog:(Kiwi syslog网上可下载免费版)
Router(config)#logging on(默认已激活)
Router(config)#logging trap7(默认级别6)
Router(config)#logging192.168.1.254
Router(config)#logging buffered7(本地cache log)
Router(config)#show logging(查询log配置和log buffer)
SNMP简单网络管理协议:(oidview Pro)
SNMPv1/2C基本配置
基本trap配置:
Router(config)#snmp-server location huda
Router(config)#snmp-server contact huda
Router(config)#snmp-server enable traps
Router(config)#snmp-server host192.168.1.254GW
基本Get/Set配置:
Router(config)#snmp-server community gwro ro
Router(config)#snmp-server community gwrw rw
SNMPV3基本配置:
snmp-server engine remote192.168.1.254123456(可选)(管理中心IP)123456(管理中心engineID)
snmp-server engineID local101010101010(本地engineID可选)
snmp-server view Test mib-2include(MIB范围)
snmp-server group GRP1v3priv read Test write Test(创建组) snmp-server user user1GRP1v3auth md5123priv des321 snmp-server host192.168.1.254version3priv user1(Trap配置)
CLI SSH配置步骤:
1.配置主机名
Router(config)#hostname SSHRouter
2.配置域名
SSHRouter(config)#ip domain name https://www.doczj.com/doc/044520730.html,
3.产生RSA密钥对
SSHRouter(config)#crypto key generate rsa modulus1024 4.创建本地用户名和密码(级别可选)
SSHRouter(config)#username admin privilege15secret cisco 5.配置本地认证和登陆协议限制
SSHRouter(config)#line vty015
SSHRouter(config-line)#login local
SSHRouter(config-line)#transport input ssh
NTP网络时间协议:
NTP服务器端配置:
R1(config)#clock timezone GMT+8
R1(config)#clock set8:00:0012sep1012
R1(config)#ntp authentication-key1md5cisco(可选)
R1(config)#ntp authenticate(可选)
R1(config)#ntp trusted-key1(可选)
R1(config)#ntp master
NTP客户端配置:
R2(config)#clock timezone GMT+8
R2(config)#ntp authentication-key1md5cisco(可选)
R2(config)#ntp authenticate(可选)
R2(config)#ntp trusted-key1(可选)
R2(config)#ntp server192.168.1.254key1
主要的二层攻击手段:
1.CAM Table Overflow/Spoofing MAC Address Attack
CAM Table Overflow:
攻击者通过伪造大量MAC地址,伪装不同的源的单薄包,从端口进入,每进入一个,交换机就学习一个,很快就将交换机的CAM表填满,将其它正常PC的MAC地址冲掉,这时候,PC去往另个一PC 的未知单薄包,就会在交换机的相同VLAN内进行泛洪。而攻击者只要接到交换机上就能收到的PC的单薄包
Spoofing MAC Address Attack:
攻击者将自己的MAC伪装成PC的MAC地址,欺骗了发送PC,PC就会将数据包发送给攻击者。
防范:Port-Security
2.STP Attack
1.Root guard(可以进行选举,但是不转发流量)
Switch(config)#int f0/1
Switch(config)#spanning-tree guard root
2.BPDU Guard(只能接主机端口,接交换机就shutdown)
Switch(config)#int f0/1
Switch(config)#spanning-tree bpduguard enable
3.BPDU Filetering(过滤后恢复正常)
Switch(config)#int f0/1
Switch(config)#spanning-tree bpdufilter enable
3.DHCP Attack
DHCP Spooning:
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan11-200
Switch(config)#int f0/1
Switch(config-if)#ip dhcp snooping limite rate100(对DHCP 包速率限制每秒100个)
Switch(config)#ip dhcp snooping trust(定义接口为信任端口)
4.ARP Spoofing Attack(通过免费ARP实现对主机的欺骗)
最好使用DCHP Snooping提供MAC到IP的映射表
全局VLAN启用DAI配置:
Switch(config)#ip arp inspection vlan100
上联接口建议配置:
Switch(config)#int g0/1
Switch(config-if)#ip arp inspection trust
其它交换机安全特性:
1.SPAN(交换机端口分析)
Switch(config)#minitor session1source int g0/2
Switch(config)#minitor session1destination int g0/3
2.VACL
1.能够对VLAN内和VLAN间的流量进行控制
2.能够对IP和none IP的流量进行控制
3.VACL优先于ACL,无方向性、进入或离开都受控制
VACL配置:
Switch(config)#ip access-list extand huda
Switch(config-ext-nacl)#permit tcp any host2.2.2.2eq23 Switch(config-ext-nacl)#permit tcp host2.2.2.2eq23any Switch(config-access-map)#vlan access-map VACL10 Switch(config-access-map)#match ip address huda Switch(config-access-map)#action foward
Switch(config)#vlan filter VACL vlan-list1-100
3.二层隔离技术
1.Switchport Protect(端口保护:应用在接PC接口上)
2.Pvlan(3560以上)
Primary Vlan一个Primiscuous与任意类型接口Isolated Vlan一个Isolated混合端口Community Vlan多个Community团体之间、混合端口
4.Storm-control
基于接口限制广播,单播,组播的占用率
Switch(config-if)#storm-control broadcast level8765
超过87%以上采取行为,低于65%恢复正常
Switch(config-if)#storm-control multicast level pps2k1k
默认的行为:过滤
Switch(config-if)#storm-control action shutdown
Switch(config-if)#storm-control action drop
Cisco终端安全技术
802.1X:
1.在无线和有线网络运用的EAP的一种方式
2.主要用于封装EAP的二层技术,简称EAPOL
3.提供了对网络的物理访问限制
802.1X认证基本配置:
1.创建Dot1X认证策略
aaa authentication dot1X default group radius
2.全局激活Dot1X
dot1x system-auth-control
3.接口启用Dot1X
Switchport access vlan1
Switchport mode access
Dot1x port-control auto
NAC:网络准入控制
确保顺从(OSI|SP|AntiViirus|personal|FW)的主机进入网络,并且支持不顺从主机的修复
1.NAC framework
2.Cisco NAC Appliance(Cisco clean Access)基于硬件架构
CSA:Cisco提供的主机IPS,保护并且控制服务器和终端设备
1.文件系统权限保护
2.网络访问控制
3.配置的保护
4.可执行空间的保护
Storage-Area Network:(SAN是SCSI和网络的合并)
SAN三种传输技术:
1.Filbre Channel:光纤传输、主机到存储网络
2.iSCSI:TCP/IP传输、主机到存储网络
3.FCIP:存储网络到存储网络
Auxiliary VLAN配置
Int f0/1
Switchport access vlan10
Switchport mode access
Switchport voice vlan210
Switchport port-security
Switchport port-security maximum2 Switchport port-security maximum1vlan access Switchport port-security maximum1vlan voice
IOS安全经典特性
1.IP TCP Intercept(抵御SYN的DOS攻击)
IP TCP Intercept配置:
Ip access-list extended DOS
Permit tcp any host1.1.1.1
Ip tcp intercept list DOS
2.Unicast Reverse Path Forwarding(uRRF)
3.IP Source Tracker
https://www.doczj.com/doc/044520730.html,flow
5.NBAR
防火墙的三种类型
1.Packet Filtering(包过滤):
一个老的防火墙技术,也就是我们使用的访问控制列表ACL
1.Standerd(标准):NAT|VTY|SNMP|路由控制
2.Extended(扩展):控制源|目地|端口|协议|TOS|时间
https://www.doczj.com/doc/044520730.html,d(命名):便于配置与修改
4.Reflexive/Extablished:提供简单的防火墙功能
传统ACL的缺陷:
1.Block Based on address/port
2.Ports permanently open
3.Does not work with dynamic applications
2.Proxy server(代理服务器)
软件防火墙的主流技术,经成为web流量使用代理服务器Proxy Servers特点:
1.两个TCP会话
2.性能低下
3.支持的应用较少
4.工作在OSI模型的高层,最安全的防火墙
3.Stateful packet filtering(状态监控包过滤)
硬件防火墙的主流技术,为穿越TCP和UDP流维护状态化表项
Cisco两大IOS防火墙技术
1.Cisco IOS Classic Firewall(又名CBAC)
2.Cisco IOS Zone-Based Firewall
Cisco IOS Classic Firewall Overview Traafic Filtering(流量过滤)
Traafic Inspection(流量监控)Alerts and Audit Trails(告警和审计)Cisco IOS Classic Firewall配置步骤Step1:选择内外接口
Step2:配置IP ACL
Step3:配置全局参数
Step4:配置监控策略
Step5:运用监控策略和ACL到接口
应用监控策略和ACL到接口
Int f1/0
Ip address202.100.1.10255.255.255.0 Ip access-group Outside.Control in
Ip inspect CBAC out
建议监控策略和ACL应用到外部接口
CCNA Security笔记 Cisco ASA5500(VTM)集成了PIX、VPN3000、IPS功能 硬件IPS:(4240)入侵防护系统 CSA:基于主机的IPS 功能:限制用户行为,对应用程序进行控制 ISR增强特性:(ISR1800/2800/3825/3845) 1、无线模块 2、硬件IPS模块 3、Web Cache 4、NAM(网络分析模块) Role-based CLI views配置: 1、激活AAA:aaa new-model 2、配置enable secret:enable secret huda 3、进入Root View模式R1#enable view root Password:cisco 4、配置View“test”:R1(config)#parser view test定义用户 5、R1(config-view)#secret huda定义密码 6、R1(config-view)#command exec include ping定义可使用的命令
IOS安全保护,防止恶意删除,命令配置: Router(config)secret boot-image(加密隐藏保护IOS)Router(config)secret boot-config(加密备份配置) 注意:只有Console口才能禁用和恢复。 Rommon1>bootflash:c2800nm-adventerprisek9-mz.124.15. T5.bin Secure boot-config restore flash:/secure.cfg Router#copy flash:/secure.cfg running-config Cisco IOS Login Enhancements(防止恶意猜密码,DOS攻击)配置实例: Login block-for600attempts3with60(任何人60S内密码输错3次将挂起600S),只有permit用户不受这个限制 Login delay2 Login quiet-mode access-class block.ssh.new Login on-failure trap every3 Login on-success trap Ip access-list standard block.ssh.new Permit137.78.5.5
01CCNA考试个人笔记 1.选择题 1.交换 1.二层交换机:分割减少冲突,这里不是冲突域;收到未知的帧将会泛洪; 2.MAC地址的作用:在二层唯一确定一台设备;使同一网络的不同设备可以通信; 3.IEEE802.3标准规定了以太网的物理层和数据链路层的MAC子层; 4.在交换机新建一个vlan,等于增加了一个广播域,冲突域的个数不变; 5.vlan的作用:逻辑微分组、安全性、增加广播域; 路由器一个接口是一个广播域,一个vlan也是一个广播域;交换机一个接口是一个冲突域;集线器的所有接口都在一个冲突域中; 6.要想远程管理交换机,需要在交换机上配置ip default-gateway和interface vlan; 7.查看Trunk的命令:show interface trunk和show interface switchport; 8.交换机为什么从不学习广播地址?因为广播地址永远不会成为一个帧的源地址; 9.Trunk链路的模式有auto、on和desirable; auto:不会主动发DTP信息; on:强制成为trunk,也主动发DTP信息; desirable:DTP主动模式,发DTP和对方协商; 一端已经设置为auto模式,另一端必须设置为desirable模式才能协商成trunk; 10.RSTP的优点:能够减少汇聚时间;比STP增加端口角色alternate和backup;在点到点链路提供比STP更快的传输和转发; 11.VLAN的特点:微分段、安全性、灵活性;一个VLAN=一个广播域=逻辑网段(子网);Trunk协议有两种,一种是通用的802.1Q协议,一种是cisco专用的ISL协议; 12.VTP管理VLAN的范围是1~1005,而可以修改的VLAN范围是2~1002; 13.要实现VLAN间路由,有三种接口需要配置:Access接口、Trunk接口、SVI接口; 14.802.1Q native vlan是不做标记的,所以在trunk两边的native需要一致; 15.哪一个环境下交换机在vlan出现多个相同的单播帧?拓扑中有不合适的冗余; in an improprely implemented redundant topology; 16.EtherChannel中两个端口需要speed一致; 在EtherChannel中,端口上那一项参数可以配置不一样?DTP negotiation settings; 2.路由 1.路由器的TTL值默认是255; 2.距离矢量协议:周期性向邻居广播整个路由表; 4.EIGRP建立邻居关系必须满足本个条件:收到Hello或ACK、具有匹配的As号、具有相同的度量(K值); 默认情况下,EIGRP是不支持VLSM的,我们可以通过关闭EIGRP的自动汇总来让EIGRP 支持VLSM; 3.OSPF为什么要划分区域:减少路由表大小、限制LSA的扩散、加快OSPF收敛速度、增加OSPF稳定性; OSPF的BR的选举:优先级+RouterID; 链路状态协议的特点:提供查看拓扑的命令,show ip ospf database;计算最短路径;利用触发更新;邻居之间只能交换LSA,但不能交换路由信息; 4.OSPF的进程号仅仅具有本地意义,进程号不同不影响邻居关系的建立;
邮件用户代理(MAU)用于发送邮件并将受到的邮件放到客户端的邮箱里,接受和放松是两个独立的进程。通过MUA 程序,我们可以发送邮件,也可以把接收到的邮 件保存在客户端的邮箱中 邮件传送代理(MTA) 进程用于发送电子邮件。MTA 从MUA 处或者另一台电子邮件服务器上的MTA 处接收信息。根据消息标题的内容,MTA 决定如何将该消息发送到目的地。如果邮件的目的地址位于本地服务器上,则该邮件将转给MDA。如果邮件的目的地址不在本地服务器上,则MTA 将电子邮件发送到相应服务器上的MTA 上。邮件分发代理(MDA) MDA 从MTA 处接收所有的邮件,并放到相应的用户邮箱中。 SMB(服务消息块) 是应用层协议,主要是用于对文件、打印机、串行端口的共享以及网络基点之间的各种通信。 默认路由管理距离最低但优先级最低 单出口路由只需要配置默认路由就可以了 表示层 表示层有三个主要功能: 对应用层数据进行编码与转换,从而确保目的设备可以通过适当的应用程序理解源 设备上的数据; 采用可被目的设备解压缩的方式对数据进行压缩; 对传输数据进行加密,并在目的设备上对数据解密。 应用层(第七层)是最高层。该层为用于通信的应用程序和用于消息传输的底层网络提供接口。应用层协议用于在源主机和目的主机上运行的程序之间进行数据交换 会话层 会话层,顾名思义,它就是用于在源应用程序和目的应用程序之间创建并维持对话。 会话层用于处理信息交换,发起对话并使其处于活动状态,并在对话中断或长时间 处于空闲状态时重启会话。 物理层的三个基本功能是:-物理组件-数据编码-信号 使用代码组的优点有:-降低比特电平错误-限制传输到介质中的效能-帮助甄别数据比特和控制比特-更有效地检测介质错误 以太网MAC地址为协助确定以太网中的源地址和目的地址,创建了称为介质访问控制(MAC) 地址的唯一标识符。MAC 编址作为第2 层PDU 的一部分添加上去 载波侦听多路访问/冲突检测(CSMA/CD) 用来检测和处理冲突,并管理通信的恢复。 不管介质速度如何,将比特发送到介质并在介质上侦听到它都需要一定的时间。这段时间称为碰撞槽时间 以太网MAC 子层主要有两项职责:1.数据封装 2.介质访问控制 传输层的主要功能包括1分段和重组2会话多路复用3面向连接的会话4可靠传 输5有序的数据重构6流量控制 网络的划分依据包括以下因素:1地理位置 2 用途 3 所有权 大型网络的常见问题是:性能下降安全问题地址管理 常用的路由协议包括:1路由信息协议(RIP)2强型内部网关路由协议(EIGRP)3开放最短路径优先(OSPF) 尽管路由协议能为路由器提供最新的路由表,但也需要付出代价。首先,交换路由信息增加了消耗网络带宽的开销。 路由表的原则-3 条法则: 1每台路由器根据其自身路由表中的信息独立作出决策. 2一台路由器的路由表中包含某些信息并不表示其它路由器也包含相同的信息
CCNA中文笔记第7章:VLAN 作者:红头发 Chapter7 Virtual LANs(VLANs) VLAN Basics 如何在1个交换性的网络里,分割广播域呢答案是创建VLAN.VLAN是连接到定义好了的switch的端口的网络用户和资源的逻辑分组.给不同的子网分配不同的端口,就可以创建更小的广播域.默认情况下,在某个VLAN中的主机是不可以与其他VLAN通信的,除非你使用router来创建VLAN间的通信 VLAN的一些特点: 1.网络的增加,移动和改变,只需要在适当的VLAN中配置合适的端口 2.安全,因为不同VLAN的用户不能互相通信,除非依靠router来做VLAN间的通信 3.因为VLAN可以被认为是按功能划分的逻辑分组,所以VLAN和物理位置,地理位置无关 4.VLAN增加安全性 5.VLAN增加广播域的数量,而减小广播域的大小 Broadcast Control 每种协议都会有广播的现象发生,至于发生不频率,次数,一般由以下几点决定: 1.协议类型 2.在网络上运行的应用程序 3.这些服务如何的被使用 Security 安全性是VLAN的1大特点,不同VLAN的用户不能互相通信,除非依靠router 来做VLAN间的通信
Flexibility and Scalability VLAN的灵活性和可扩展性: 1.可以不管物理位置如何,把适当的端口分配到适当的 VLAN中就可以了.可以把VLAN理解正下面的样子: 2.当VLAN增加的太大以后,你可以划分更多的VLAN,来减少广播消耗掉更多带宽的影响,在VLAN中的用户越少,被广播影响的就越少,来比较下下面2个图,明显可以发现,图2,即VLAN的具有更高的灵活性和可扩展性,如下: VLAN Memberships 手动由管理员分配端口划分的VLAN叫静态VLAN(static VLAN);使用智能管理软件,动态划分VLAN的叫动态VLAN(dynamic VLAN) Static VLANs Dynamic VLANs 动态VLAN:使用智能管理软件,可以基于MAC地址,协议,甚至应用程序来动态创建VLAN.Cisco设备管理员可以使用VLAN管理策略服务器(VLAN Management Policy Server,VMPS)的服务来建立个MAC地址数据库,来根据这个动态创建VLAN,VMPS数据库把MAC地址映射VLAN上 Identifying VLANs 当帧在网络中被交换,switches根据类型对其跟踪,加上根据硬件地址来判断如何对它们进行操作.有1点要记住的是:在不同类型的连接中,帧被处理的方式也不一样 要 交换环境中的2种连接类型: 1.access links:指的是只属于一个VLAN,且仅向该VLAN转发数据帧的端口,也叫做native VLAN.switches把帧发送到access-link设备之前,移去任何的VLAN信息.而且
课程安排: D1,路由基础汇总,EIGRP协议介绍及配置 D2,OSPF协议介绍及基本配置 D3,OSPF协议介绍及高级配置 D4,多协议互操作及路由控制(收发过滤) D5,BGP协议介绍及配置 资料推荐: 模拟器,Packet Tracer、GNS3(调用IOS) 远程登录,cmd、putty、secureCRT 路由基础: 路由,一条路由表示一个网段 路由器,运行路由协议、生成路由表、根据路由表转发报文。 路由协议,共享路由信息的方式 路由表,收集不同方式获取的路由,组成路由表 路由协议: 作用范围:自治系统AS(1-65535) IGP,一个AS内传递路由。RIP EIGRP OSPF EGP,AS间传递路由。BGP 传递路由方式: 距离矢量路由协议, 路由器间分享路由表
RIP EIGRP BGP 链路状态路由协议, 路由器间分享直连链路信息(确保可达,可靠) OSPF 路由传递是否携带掩码: 有类,RIPv1 IGRP 不携带掩码,自动汇总 无类,RIPv2 EIGRP OSPF BGP 携带掩码,支持VLSM,支持手动汇总 路由注入路由表: 管理距离值小,度量值小 管理距离值,衡量协议(路由获取方式)优劣 直连0,静态1,EIGRP5\90\170,OSPF110,BGP20\200 RIP120 度量值,衡量路径优劣 RIP,跳数hop,1-15 EIGRP,带宽、延时、可靠性、负载 OSPF,开销(与带宽成反比) 查找路由表: 最长匹配,掩码最长 递归查找,找到出接口 Show ip route 192.168.1.0/24 serial 1/0 //递归查找
CCNA笔记 第一章,网际互连 把一个大的网络划分为一些小的网络就称为网络分段,这些工作由路由器,交换机和网桥来按成。 引起LAN通信量出现足赛的可能原因如下: 1.在一个广播域中有太多的主机 2.广播风暴 3.组播 4.低的带宽 路由器被用来连接各种网络,并将数据包从一个网络路由到另一个网络。 默认时,路由器用来分隔广播域,所谓广播域,是指王端上所有设备的集合,这些设备收听送往那个王端的所有广播。尽管路由器用来分隔广播域,但重要的是要记住,路由器也用来分隔冲突域。 在网络中使用路由器有两个好处: 1.默认时路由器不会转发广播。 2.路由器可以根据第三层(网络层)信息对网络进行过滤。 默认时,交换机分隔冲突域。这是一个以太网术语,用来描述:某个特定设备在网段上发送一个数据包,迫使同一个网段上的其他设备都必须主要道这一点。在同一时刻,如果两个不同的设备试图发送数据包,就会产生冲突域,此后,两个设备都必须重新发送数据包。 网际互连模型 当网络刚开始出现时,典型情况下,只能在同一制造商的计算机产品之间进行通信。在20世纪70年代后期,国际标准化组织创建了开放系统互联参考模型,也就是OSI七层模型。 OSI模型时为网络而构建的最基本的层次结构模型。下面是分层的方法,以及怎样采用分层的方法来排除互联网络中的故障。 分层的方法 参考模型时一种概念上的蓝图,描述了通信是怎样进行的。他解决了实现有效通信所需要的所有过程,并将这些过程划分为逻辑上的组,称为层。 参考模型的优点 OSI模型时层次化的,任何分层的模型都有同样的好处和优势。 采用OSI层次模型的优点如下,当然不仅仅是这些: 1.通过网络组件的标准化,允许多个提供商进行开发。 2.允许各种类型网络硬件和软件相互通信。 3.防止对某一层所作的改动影响到其他的层,这样就有利于开发。
ccna读书笔记进行搜索 troubleshooting ip address 一些网络问题的排难: 1.打开windows里的1个dos窗口,ping本地回环地址,如果反馈信息失败,说 明ip协议栈有错,必须重新安装tcp/ip协议。 2.如果1成功,ping本机ip地址,如果反馈信息失败,说明你的网卡不能和ip 协议栈进行通信。(written by 红头发,chinaitlab bbs) 第三篇:ccna培训读书笔记 ccna培训笔记总结 1、 ccna基础:熟悉一些常用的网络设备、熟悉常用的网络电缆、熟悉简单的lan技术和拓扑结构、熟悉简单的wan技术和拓扑结构、知道一些简单的宽带 技术、精通osi参考模型、熟悉tcp/ip参考模型、会进行ip地址计算 2、 ccna:routing and switching supportccnp:routing and switching support ccie:routing and switchingsecuritycommunications and services 3、 ciscoios 执行模式: user exec(用户执行模式) privilege exec(特权模式) 4、熟悉应用交换机命令行帮助工具:上下文提示帮助(提供命令列表和具体命令可供选择的参数)、历史命令缓存(重新回放原来输入的命令,对比较复杂的命令尤其有效)、控制台错误信息(如果输入命令错误,指出错误原因,并提示你修改) 5、 configuration mode(配置模式):global configuration mode(全局配置模式)和 interface configuration mode(接口配置模式) 6、为交换机命名hostname sw1、配置管理地址ip address 配置ip地址、配置缺省网关 ip default- 、使用show命令显示交换机的配置 show version、show running-configuration、show interface type/nummber(0/1)、show ip 7、路由器启动后如果在nvram中发现配置文件,其就会进入用户模式提示符,如果没有发现,就会进入setup初始化状态 8、 enable secret(安全使能密钥)和enable password(使能密钥)不能相同,如果设定安全使能密钥的话,使能密钥就没什么用了
网络的三层架构: 1.接入层: 提供网络接入点, 相应的设备端口相对密集. 主要设备:交换机,集线器. 2.汇聚层: 接入层的汇聚点, 能够提供路由决策.实现安全过滤,流量控制.远程接入. 主要设备:路由器. 3.核心层: 提供更快的传输速度, 不会对数据包做任何的操作 ================================================================ OSI七层网络模型: Protocol data unit 1.物理层: 速率,电压,针脚接口类型 Bit 2.数据链路层: 数据检错,物理地址MAC Frame 3.网络层: 路由(路径选择),逻辑的地址(IP) Packet 4.传输层: 可靠与不可靠传输服务, 重传机制. Segment 5.会话层: 区分不同的应用程序的数据.操作系统工作在这一层 DATA 6.表示层: 实现数据编码, 加密. DATA 7.应用层: 用户接口 DATA Bit, Frame, Packet, Segment 都统一称为: PDU(Protocol Data Unit) ================================================================物理层: 1.介质类型: 双绞线, 同轴电缆, 光纤 2.连接器类型: BNC接口, AUI接口, RJ45接口, SC/ST接口 3.双绞线传输距离是100米. 4.HUB集线器: 一个广播域,一个冲突域.泛洪转发. 共享带宽. 直通线: 主机与交换机或HUB连接 交叉线: 交换机与交换机,交换机与HUB连接 全反线(Rollback): 用于对CISCO的网络设备进行管理用. ================================================================数据链路层:
CCNA SECURITY笔记 A)命令级别: a) . Privilege exec level 1 clear line * privilege configure all level 5 router ”all”就是把全局配置模式下的router这个命令下面的所有命令给于5级别。 如果不加all,则只有router 后面的命令在5级别可以使用。 意思是把原来exec下面的【包括#和>下面的,不论是原来是什么级别的命令clear line *】移动到1级别去。 将高级别的命令放到级别的时候也要有先后顺序的: 比如:你要把router 这个命令放到level 1下面去,但是你没有把configure terminal放过去,你是看不到router 命令的。因为路由器觉得router是在全名模式下的命令,你必须要进入全局模式下才可以敲入router. 如下图:R1(config)>router R1(config)>router os 1 R1(config-router)>network 192.168.1.1 0.0.0.0 a 0 虽然进入到全名模式也是>这个符号,但是也要进入这种全局模式。才有router命令。 b) .View 命令集:将命令做成一集合,然后授权给某个用户使用。控制力度更强。 则此用户只能使用此命令集中的命令。 Root view 比15级别更强 Aaa new-mode Eablesecretwang/enble pass wang配置进入到root view下面的密码 Root view 可以创建删除VIEW,但是15级别不可以。 Enable view (进入root view) Parser view y uan(创建一个view) Secret yeslabccies配置y uan这个子view下面的密码 Commands exec include show version 使用本地数据库绑定VIEW 先去掉aaa new-model 只是为了演示,其实一般都是用AAA做VIEW的授权 User yuan password yuan User yuan view yuan B ) CISCO路由器的加密级别0,5,6,7 0 是不加密 5 是MD5 6是在做VPN的时候加密的 6: key config-key password-encrypt wang1245 passwor encryption aes cryptiskmap key 0 yuan add 192.168.1.1 最后变成:cryptoisakmp key 6 ZFSN\VVKfdcf\cBKKBLZWDgVXGD address 192.168.1.1 7是开启了service password-encrytion C) chatper认证不能够使用enable secret 加密
CCNA网络小菜鸟笔记 第一章,网际互连 把一个大的网络划分为一些小的网络就称为网络分段,这些工作由路由器,交换机和网桥来按成。 引起LAN通信量出现足赛的可能原因如下: 1.在一个广播域中有太多的主机 2.广播风暴 3.组播 4.低的带宽 路由器被用来连接各种网络,并将数据包从一个网络路由到另一个网络。 默认时,路由器用来分隔广播域,所谓广播域,是指王端上所有设备的集合,这些设备收听送往那个王端的所有广播。尽管路由器用来分隔广播域,但重要的是要记住,路由器也用来分隔冲突域。 在网络中使用路由器有两个好处: 1.默认时路由器不会转发广播。 2.路由器可以根据第三层(网络层)信息对网络进行过滤。 默认时,交换机分隔冲突域。这是一个以太网术语,用来描述:某个特定设备在网段上发送一个数据包,迫使同一个网段上的其他设备都必须主要道这一点。在同一时刻,如果两个不同的设备试图发送数据包,就会产生冲突域,此后,两个设备都必须重新发送数据包。 网际互连模型 当网络刚开始出现时,典型情况下,只能在同一制造商的计算机产品之间进行通信。在20世纪70年代后期,国际标准化组织创建了开放系统互联参考模型,也就是OSI七层模型。 OSI模型时为网络而构建的最基本的层次结构模型。下面是分层的方法,以及怎样采用分层的方法来排除互联网络中的故障。 分层的方法 参考模型时一种概念上的蓝图,描述了通信是怎样进行的。他解决了实现有效通信所需要的所有过程,并将这些过程划分为逻辑上的组,称为层。 参考模型的优点 OSI模型时层次化的,任何分层的模型都有同样的好处和优势。 采用OSI层次模型的优点如下,当然不仅仅是这些: 1.通过网络组件的标准化,允许多个提供商进行开发。 2.允许各种类型网络硬件和软件相互通信。 3.防止对某一层所作的改动影响到其他的层,这样就有利于开发。 OSI参考模型 OSI模型规范重要的功能之一,是帮助不能类型的主机实现相互之间的数据传输。 OSI模型有7个不同的层,分为两个组。上面三层定义了中断系统中的应用程序将被彼此通
CCNA培训笔记总结 1、CCNA基础:熟悉一些常用的网络设备、熟悉常用的网络电缆、熟悉简单的LAN技术和 拓扑结构、熟悉简单的WAN技术和拓扑结构、知道一些简单的宽带技术、精通OSI参考模型、熟悉TCP/IP参考模型、会进行IP地址计算 2、CCNA:routing and switching support CCNP: routing and switching support CCIE: routing and switching Security communications and services 3、CISCO IOS 执行模式:USER EXEC(用户执行模式)PRIVILEGE EXEC(特权模式) 4、熟悉应用交换机命令行帮助工具:上下文提示帮助(提供命令列表和具体命令可供选择 的参数)、历史命令缓存(重新回放原来输入的命令,对比较复杂的命令尤其有效)、控制台错误信息(如果输入命令错误,指出错误原因,并提示你修改) 5、Configuration mode(配置模式):global Configuration mode(全局配置模式)和interface Configuration mode(接口配置模式) 6、为交换机命名hostname sw1、配置管理地址ip address 192.168.1.5对于特殊交换机只能 为VLAN1 配置IP地址、配置缺省网关ip default-gateway 172.16.10.1 、使用SHOW命令显示交换机的配置show version、show running-configuration、show interface type/nummber(0/1)、show ip 7、路由器启动后如果在NVRAM中发现配置文件,其就会进入用户模式提示符,如果没有 发现,就会进入SETUP初始化状态 8、Enable secret(安全使能密钥)和enable password(使能密钥)不能相同,如果设定安全使 能密钥的话,使能密钥就没什么用了 9、路由器基于上写文的帮助功能:对不识别的符号进行解析、命令提示、回放最后一次输 入的命令以及历史命令方便路由器的配置节省时间 10、快捷键诠释:CTRL+A(把光标快速移动到整行的最开始)CTRL+E (把光标快速移 动到整行的最末尾)CTRL+B(后退一个字符)CTRL+F(前进一个字符)CTRL+D(删除单独一个字符)show history 显示历史缓冲区中的内容 11、把RAM中正在运行的配置保存在NVRAM中copy running-config startup-config 12、配置路由器的密码:line console o/vty 0 4/—login—password cisco或者是以前的老 命令enable password/secret cisco 取消密码命令no login—no enable password 13、Interface type slot/port 配置接口命令适合于模块化的设备接口 14、设定时钟速率(仅仅在DCE接口上)Router(con-if)#clock rate 6400 15、Serial 口一般是连接在CSU/DCE等类型的提供时钟频率的设备上,但是,假如你的 试验环境里采用了背对背的配置,那么需要将一端作为DCE设备提供时钟频率。默认的思科的ROUTER都是DTE,所以你必须让一个serial接口来提供时钟频率,采用的命令是clock rate transparent 透明模式 16、思科的router的默认serial连接带宽是T-1(1.544Mbps),有的路由协议要以带宽 作为度来进行衡量,所以我们可以给接口配置带宽,使用bandwidth命令,注意参数单位是kbyte,设定带宽,出于管理目的,如路由选择,QOS管理 17、开启和关闭一个接口使用no shutdown或者shutdown命令(在接口配置模式下) 18、IP地址是软件或逻辑地址,MAC地址是硬件地址,MAC地址是烧录在NIC里的, MAC地址用于在本地网络查找主机,IP地址在公共网络上要求必须是唯一的,也叫做网络地址(network address),硬件地址也可以叫做节点地址(node address) 19、如果没有一个三层设备路由VLAN间的流量,不同VLAN的网络设备无法通讯。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章、作者信息和本声明。否则将追究法律责任。 前记:虽然只有短短的五天CCNA培训,但学习的东西还挺多的,压力也很大.老师课堂上又讲得太快,笔记都记得一塌糊涂.只能回来后慢慢整理一下,在这里写出来和大家分享一下,匆促落笔,难免有错误,不足之处,望大家不吝批评指正. CCNA培训课笔记(一) 一. 建议学好Cisco+windows+Linux这方面的知识,将来就会有好前途.考过CCNA之后,因为现在的CCNP太多人考,市场需求也基本饱和,所建议以后学CCSP、CCVP比较有市场. 二. 开始课程的学习: 学习CCNA主要是学习两大板块的知识,即route+switch.关于教材方面,如果个人自己英文好的话建议买英文的原版教材看.因为中文的教材一般都是直接直译过来的. (1) 首先学习的是OSI参考模型, 由上到下分别为七层: 应用层(第七层,Application layer):文件、打印、消息、数据库和应用服务 表示层(第六层,Presentation layer):数据加密、压缩和转换服务器 会话层(第五层,Session layer):会话控制 传输层(第四层,Transport layer):端到端连接 网络层(第三层,Network layer)路由选择 数据链路层(第二层,Data layer):组帧,由MAC、LLC组成 物理层(第一层,Physical layer):物理拓扑 注意:工作在网络层的路由器为广播域, 每个接口各自为冲突域; 工作在数据链路层的交换机为一个广播域,每个接口各自为冲突域 工作在物理层的集线器为一个广播域,一个冲突域. (2) 接下来学习的是TCP/IP参考模型(协议书) 由上到下分为四层: 应用层:用户能够用到的,比如http,https,ftp,telnet,snmp等 传输层: TCP(可靠的连接保证),UDP(不可靠的连接) 网络层:(host-to-host) IP:RIPv2、EIGRP(思科专有)、OSPF(华为重点掌握,面试常考) 接入层:ARP(地址解释协议):IP地址->MAC地址,ICMP(互联控制管理协
传输层:1、端口号1-1024 注明端口1025-65525 动态端口,高端口 快速区分本地及对端进程 2、可靠性 传输层的工作----首先将上册数据切割成段(受mtu限制mtu:最大传输单元),然后在每一段前面添加报头(tcp和udp间选择) tcp:传输控制协议 面向连接的可靠传输协议 面向连接:建立一条端到端的虚电路(tcp使用三次握手) 可靠:4种可靠机制 确认 重传 排序 流控(滑动窗口机制) Udp 用户数据报文协议 非面向连接不可靠传输,尽力而为的协议
Ip地址 默认下分为5类 Abcde Abc三类常用地址 D 组播地址 E 保留地址,科研使用 A 第一个8位是网络位后三个8位主机位255.0.0.0 B 两个两个255.255.0.0 C 三个一个255.255.255.0 A 1-126 B 128-191 C 192-223 D 224-239
E 240-255 在abc三类中还存在公有地址和私有地址的区别 私有地址 A 10.0.0.0 255.0.0.0 B 172.16.0.0 255.255.0.0 -----172.31.0.0 255.255.0.0 C 192.168.0.0 255.255.255.0----192.168.255.0 255.255.255.0 T特殊地址 0.0.0.0 无效地址,在设备没有ip地址时向dhcp 服务器请求地址时使用 255.255.255.255 受限广播地址 在每一个网段当中 主机位全0 192.168.1.0000 0000 255.255.255.0 网络号用于标示整个网段不是可用ip地址 192.168.1.0 255.255.255.0 简写:192.168.1.0/24 在每一个网段中 主机位全1 192.168.1.1111 1111/24 192.168.1.255/24 直接广播地址 169.254.0.0/16 本地链路地址,本地私有地址 127 127.0.0.1 环回tcp/ip协议栈道测试使用 子网划分变长子网掩码,通过按顺序借位(借主机位)延迟子网掩码起到将一个网络变做多个网络号,同时每个网络号中主机数量相对减少 子网汇总聚合通过回收子网掩码,起到将多个网络号合成一个网络号减少路由表条目数量-----取相同位,去不同位 配置: Switch> switch部分为主机名,在默认情况下所有的交换机都叫switch所有的路由器为router > 部分为模式部分 Switch> 用户模式,为设备第一级模式也是最低级模式 可以对设备进行简单的静态查看show Switch>enable 键入授权 Switch# 进入特权模式,该模式为第二级模式,在该模式下可以对设备进行所有的
第一章OSI七层网络参考模型 1.1计算机网络的产生与发展 1.2计算机网络的定义 1.3计算机网络的分类 1.4OSI七层网络参考模型 OSI参考模型的优点: 1.4.1物理层(Physical Layer) 1物理层的功能:完成相邻节点之间原始的比特流的传输; 2物理层的介质 1)同轴电缆(Coax cable) 粗缆:IEEE 10BASE-5标准 IEEE:国际电子和电气工程师协会 10:最大传输带宽为10Mbps BASE:基带传输方式 5:最大的传输距离为500M 使用AUI连接器; 细缆:IEEE 10BASE-2标准(185M) 使用BNC连接器。 2)双绞线(Twisted-pair) 使用RJ-45连接器;RJ-11 按抗干扰能力:UTP(非屏蔽双绞线)和STP(屏蔽双绞线) UTP按类别:1-7类,5类线缆最流行 双绞线的制作标准:TIA/EIA 568A和TIA/EIA 568B 双绞线的应用: 直通线/平行线/直连线(Straight-Through Cable):主机与交换机、交换机与路由器以太网接口采用直通线互连。 交叉线(Crossover Cable): 主机与主机、交换机与交换机、路由器与路由器以太网接口、主机与路由器以太网接口都采用交叉线互连。 反转线(Rollover Cable): 连接到网络设备的Console端口(控制台端口)来配置设备使用。 3)光缆(Fiber-Optic Cable) 分为单模光纤(single-mode)和多模光纤(Multimode) 一般有SC和ST两种连接器最连接器 4)无线电波 3物理层的设备 DTE(数据终端设备):包括计算机、终端等。 DCE(数据通讯设备):调制解调器、基带Modem等。 中继器(Repeater):将信号放大以延长数据的传输距离。 集线器(HUB):多端口的中继器 1.4.2数据链路层(Data Link Layer) 数据帧(Frame) 1数据链路层的功能
群地址:https://www.doczj.com/doc/044520730.html,/read.php?tid=24225(技术交流QQ群不断更新) 优秀资料补充贴【一份资料50元】 https://www.doczj.com/doc/044520730.html,/read.php?tid=31637&page=1&toread=1#tpc 凡是能为鸿鹄论坛提供优秀资料的朋友,我们会给予50人民币的奖励。 一模拟软件: 1.工大瑞谱版,使用极其简单,使用已搭建的拓扑,可满足大部分NA,NP,以及一部分IE 实验 https://www.doczj.com/doc/044520730.html,/read.php?tid=17673 2.小凡的DynamipsGUI,GUI界面,自己搭建拓扑,也很方便, https://www.doczj.com/doc/044520730.html,/read.php?tid=12606 3.GNS3,这个很少人知道。。但是功能很强大,图形化界面,十分易学,我就在用这个~ https://www.doczj.com/doc/044520730.html,/read.php?tid=24828 4.Packet Tracer 是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境https://www.doczj.com/doc/044520730.html,/read.php?tid-2845 5.html 5.SnifferPro4.70.530抓包工具 https://www.doczj.com/doc/044520730.html,/read.php?tid=24829 6.聚生网管V2.10特别破解版 https://www.doczj.com/doc/044520730.html,/read.php?tid=24830 7.SecureCRT6.2.0.195汉化绿色破解版支持SSH的终端仿真程序 https://www.doczj.com/doc/044520730.html,/read.php?tid=24831 8.各种IOS版本大全-c2600 c2500 c7200 c3725 c3745 c3620 c2691 c3640 等等 https://www.doczj.com/doc/044520730.html,/read.php?tid=25083 9..DynamipsGUI 加强版 https://www.doczj.com/doc/044520730.html,/read.php?tid=25426 10.终结版-思科+华为模拟器+模拟器教程+CCNP教程+算号器 https://www.doczj.com/doc/044520730.html,/read.php?tid=25080 11.菜鸟电脑实用软件-OEM品牌-XP序号替换-常用工具-火车头抓包-简单修复-绿色程序-隐身专家-防骗专家-MAC修改等 https://www.doczj.com/doc/044520730.html,/read.php?tid=29604 12.FTP下载工具_鸿鹄VIP版,(FlashFXP 是一个功能强大的FXP/FTP 软件)
1.1.2 当今最常用的几例通信工具 即时消息(IM)以先前的 Internet 中继聊天 (IRC) 服务为基础,同时合并了多个其他功能(如文件传输、语音和视频通信)。 1.3.2 网络要素 下图显示了一个典型网络的各个要素,包括设备、介质和服务,它们通过规则结合在一起,共同作用来发送消息。 交换机—用于互连局域网的最常见设备 防火墙—为网络提供安全保障 路由器—当消息在网络中传输时,帮助定向消息 无线路由器—家庭网络中常用的一种路由器 网云—用于概述一组网络设备,其详细信息对于后续讨论可能并不重要 串行链路—一种 WAN 互连形式,用闪电形状的线条表示 协议是网络设备用于彼此通信的规则。现在,联网的行业标准是 TCP/IP(传输控制协议
/Internet 协议)协议族。TCP/IP 协议指定了格式、编址和路由机制,从而确保消息可传递到正确的收件人。
1.4.1 网络体系结构 描述网络体系结构的特征:容错能力、可扩展性、服务质量以及安全性。 1.4.5 提供网络安全保障
维护通信完整性 使用数字签名、哈希算法和校验和机制可以在整个网络中保证源完整性和数据完整性,从而防止未经授权地修改信息的情况。
2.1.1 通信要素 通信的第一步是将消息或信息从一个人或设备发送给另一个人或设备。人们使用许多不同的通信方式来交流观点。所有这些方式都有三个共同的要素。第一个要素是消息来源,即发送方。消息来源是需要向其他人或设备发送消息的人或电子设备。第二个通信要素是消息的目的地址,即接收方。目的地址接收并解释消息。第三个要素称为通道,包括提供消息传送途径的介质。 2.1.2 传达消息 将数据划分为更小、更易于管理的片段,然后再通过网络发送。将数据流划分为较小的片段称为分段。消息分段主要有两个优点。 首先,通过从源设备向目的设备发送一个个小片段,就可以在网络上交替发送许多不同会话。用于在网络上将交替发送的多个不同会话片段组合起来的过程称为多路复用。
1.VLSM的划分: ?分析需求看企业网中需要有多少个IP广播域; ?分析企业中最大的广播域内需要多少个节点; ?根据第二步的分析对主类地址段进行第一次子网化; ?将IP地址段按从小到大的顺序进行划分,并将划分出来的子网段分配给 相应的广播域; ?把最大的子网段保留用以下一次子网化使用; ?此方法为闫辉视频中初次接触,但个人不赞成其划分原则。原因如下: 通过划分网段将网段分成了很多隔离的网段,未保证网段的连续,且若 后期需要扩展划分网段,又将扩大网段的不连续性,这样不利于网络的 路由汇总。 2.路由表里路由条目拥有六大元素: ?前缀:主机位全为0的网络号; ?掩码:伴随前缀确认网络位和主机位; ?下一跳地址:去往目的网段的下游的第一台三层设备的接收接口的IP地 址; ?出站接口:描述通过什么接口把报文发出去; ?Metric(度量值):描述路由条目的好坏; ?AD(管理距离):描述一种路由信息获悉方式的可靠程度。 3.路由汇总和路由聚合: ?路由汇总只能汇总到主类的边界,也就是说A类只能汇总到/8,B类只 能汇总到/16,C类只能汇总到/24; ?路由聚合是将连续的主类路由合并成一个超网,即CIDR。 4.ARP协议只存在于以太网中,用来获取物理地址: ARP Request:二层广播; ARP Reply:单播。 5.广播分为二层广播和三层广播。 6.ARP表的默认超时时间是4小时。 7.ARP常用命令:
show arp; clear arp-cache; 8.将路由器的两个接口配置成一个广播域: Bridge irb Bridge 1 protocol ieee Bridge 1 route ip Interface fa 0/0 No shut Bridge-group 1 Interface fa 0/1 No shut Bridge-group 1 Interface bvi 1 No shut Ip add 192.10.0.6 255.255.254.0 9.ARP表项: ?直接在路由器接口配置IP地址,其接口对应的ARP表项为永久生效,只 有当IP地址更改时才会失效; ?若将路由器使用no ip routing模拟成PC,则此路由器接口配置IP地址对 应的ARP表项不会永久生效,但使用ip default-gateway之后其对应的网 关的ARP表项在此路由器上仍会永久生效; 10.使用Proxy ARP的条件: 请求者和被请求者不在同一个广播域; 路由器的接口开启代理ARP(默认开启); 路由器拥有被请求者的ARP表项。 11.开启代理arp的命令:ip proxy-arp。 12.满足代理ARP的条件后,当路由器收到这样一份ARP请求的时候会将接收此 ARP请求的接口的MAC地址作为ARP应答响应给请求者。 13.免费ARP/无故ARP(ip gratuitous-arps)默认为开启状态: 当设备更换IP后,发送源IP和目的IP为本设备IP,源MAC为本设备MAC,