学习端口
学习端口
什么是端口,学习端口
端口概念
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等。二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等。我们这里将要介绍的就是逻辑意义上的端口。
查看端口
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。
关闭/开启端口
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们可以通过下面的方法来关闭/开启端口。
关闭端口
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关闭了对应的端口。
开启端口
如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可。提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开启端口。
端口分类
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
1. 按端口号分布划分
(1)知名端口(Well-Known Ports)
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。
(2)动态端口(Dynamic Ports)
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后,就会释放所占用的端口号。
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。
2. 按协议类型划分
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下面主要介绍TCP和UDP端口:
(1)TCP端口
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以及HTTP服务的80端口等等。
(2)UDP端口
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的8000和4000端口等等。
常见网络端口
网络基础知识!端口对照
端口:0
服务:Reserved
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
端口:1
服务:tcpmux
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
端口:7
服务:Echo
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19
服务:Character Generator
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS 攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
端口:21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous 的FTP服务器的方法。这些服务器带有可读写的目录。木马 Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
端口:23
服务:Telnet
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了
找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E- MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
端口:31
服务:MSG Authentication
说明:木马Master Paradise、Hackers Paradise开放此端口。
端口:42
服务:WINS Replication
说明:WINS复制
端口:53
服务:Domain Name Server(DNS)
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
端口:67
服务:Bootstrap Protocol Server
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
端口:69
服务:Trival File Transfer
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。
端口:79
服务:Finger Server
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。
端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。
端口:99
服务:Metagram Relay
说明:后门程序ncx99开放此端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
端口:110
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:113
服务:Authentication Service
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是 FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET 服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER 扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
端口:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX 蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于 IMAP2,但并不流行。
端口:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、 private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口:443
服务:Https
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
端口:456
服务:[NULL]
说明:木马HACKERS PARADISE开放此端口。
端口:513
服务:Login,remote login
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
端口:544
服务:[NULL]
说明:kerberos kshell
端口:548
服务:Macintosh,File Services(AFP/IP)
说明:Macintosh,文件服务。
端口:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
端口:555
服务:DSF
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
端口:568
服务:Membership DPA
说明:成员资格 DPA。
端口:569
服务:Membership MSN
说明:成员资格 MSN。
端口:635
服务:mountd
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP 的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于 2049端口。
端口:636
服务:LDAP
说明:SSL(Secure Sockets layer)
端口:666
服务:Doom Id Software
说明:木马Attack FTP、Satanz Backdoor开放此端口
端口:993
服务:IMAP
说明:SSL(Secure Sockets layer)
端口:1001、1011
服务:[NULL]
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
端口:1024
服务:Reserved
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
端口:1025、1033
服务:1025:network blackjack 1033:[NULL]
说明:木马netspy开放这2个端口。
端口:1080
服务:SOCKS
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。
端口:1170
服务:[NULL]
说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
端口:1234、1243、6711、6776
服务:[NULL]
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。
端口:1245
服务:[NULL]
说明:木马Vodoo开放此端口。
端口:1433
服务:SQL
说明:Microsoft的SQL服务开放的端口。
端口:1492
服务:stone-design-1
说明:木马FTP99CMP开放此端口。
端口:1500
服务:RPC client fixed port session queries
说明:RPC客户固定端口会话查询
端口:1503
服务:NetMeeting T.120
说明:NetMeeting T.120
端口:1524
服务:ingress
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail 和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到 600/pcserver也存在这个问题
实验四 交换机端口安全技术
交换机端口安全技术 24.1 实验内容与目标 完成本实验,应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议,使接入交换机的PC 经
过认证后才能访问网络资源。通过本实验,掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一:建立物理连接并初始化交换机配置。 按实验组网图进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二:检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后,在PCA上用ping命令来测试到PCB的互通性,其结果是。 步骤三:配置802.1x协议。 实现在交换机SWA上启动802.1x协议,过程如下: 首先需要分别在和开启802.1x认证功能,在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户,用户名为abcde,密码为 明文格式的12345,该用户的服务类型server-type是,在如下的空格中完成该本地用户的配置命令。 步骤四:802.1x验证。 配置完成后,再次在PCA上用ping命令来测试到PCB的互通性,其结果是。 导致如上结果的原因是交换机上开启了802.1x认证,需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机,本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标,在弹出的窗口中双击“网络连接”图标,在弹出的窗口中右击“本地连接”图标,执行“属性”命令,如实验图24-2所示。 再选择“验证”选项卡,并选中“启用此网络的IEEE802.1x验证”复选框,如实验图24-3所示,然后单击“确定”按钮,保存退
vlan端口划分的基本配置
Vlan端口的基本划分配置 使用vlan的好处: 便于管理,避免大范围网络风暴,安全性较好,提高网络传输效能 创建vlan10,vlan20 [Huawei]vlan 10 [Huawei-vlan10]vlan 20 将相应的端口设为access模式然后划分到相应的vlan当中[Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]port link-type access [Huawei-GigabitEthernet0/0/1]port default vlan 10 [Huawei-GigabitEthernet0/0/1]quit [Huawei]int g0/0/2 [Huawei-GigabitEthernet0/0/1]port link-type access [Huawei-GigabitEthernet0/0/1]port default vlan 20 [Huawei-GigabitEthernet0/0/1]quit [Huawei]int g0/0/3 [Huawei-GigabitEthernet0/0/1]port link-type access [Huawei-GigabitEthernet0/0/1]port default vlan 10 [Huawei-GigabitEthernet0/0/1]quit [Huawei]int g0/0/4 [Huawei-GigabitEthernet0/0/1]port link-type access [Huawei-GigabitEthernet0/0/1]port default vlan 20 [Huawei-GigabitEthernet0/0/1]quit [Huawei]quit
断口的宏观形貌、微观形态及断裂机理
断口的宏观形貌、微观形态及断裂机理 按断裂的途径,断口可分为穿晶断裂和沿晶断裂两大类。穿晶断裂又分为穿晶韧性断裂和穿晶解理断裂(其中包括准解理断裂)。沿晶断裂也分为沿晶韧性断裂和沿晶脆性断裂。下面分别加以讨论。 1.穿晶断口 (1)穿晶韧窝型断口断裂穿过晶粒内部,由大量韧窝的成核、扩展、连接而形成的一种断口。 宏观形貌:在拉伸试验情况下,总是先塑性变形,引起缩颈,然后在缩颈部位裂纹沿与外力垂直的方向扩展,到一定程度后失稳,沿与外力成45°方向快速发展至断裂。众所周知,这种断口称为杯锥状断口。断口表面粗糙不平,无金属光泽,故又称为纤维状断口。 微观形态:在电子显微镜和扫描电镜下观察,断口通常是由大量韧窝连接而成的。每个韧窝的底部往往存在着第二相(包括非金属夹杂)质点。第二相质点的尺寸远小于韧窝的尺寸。韧窝形成的原因一般有两种形成情况: 1)韧窝底部有第二相质点的情况。由于第二相质点与基体的力学性能不同(另外,还 有第二相质点与基体的结合能力、热膨胀系数、第二相质点本身的大小、形状等的影响),所以在塑性变形过程中沿第二相质点边界(或穿过第二相质点)易形成微孔裂纹的核心。在应力作用下,这些微孔裂纹的核心逐渐长大,并随着塑性变形的增加,显微孔坑之间的连接部分逐渐变薄,直至最后断裂。图3-41是微孔穿过第二相质点的示意图。若微孔沿第二相点边界成核、扩展形成韧窝型裂纹后,则第二相质点留在韧窝的某一侧。 2)在韧窝的底部没有第二相质点存在的情况。韧窝的形成是由于材料中原来有显微孔穴或者是由于塑性变形而形成的显微孔穴,这些显微孔穴随塑性变形的增大而不断扩展和相互连接,直至断裂。这种韧窝的形成往往需要进行很大的塑性变形后才能够实现。因此,在这类断口上往往只有少量的韧窝或少量变形状韧窝,有的甚至经很大的塑性变形后仍见不到韧窝。当变形不大时,断口呈波纹状或蛇形花样,而当变形很大时,则为无特征的平面。 韧窝的形状与应力状态有较大关系。由于试样的受力情况可能是垂直应力、切应力或由弯矩引起的应力,这三种情况下韧窝的形状是不一样的。 (2)解理与准解理断口 1)解理断口。断裂是穿过晶粒、沿一定的结晶学平面(即解理面)的分离,特别是在低温或快速加载条件下。解理断裂一般是沿体心立方晶格的{100}面,六方晶格的{0001}面发生的。 宏观形貌:解理断裂的宏观断口叫法很多,例如称为“山脊状断口”、“结晶状断口”、以及“萘状断口”等(见图片3-53)。山脊状断口的山脊指向断裂源,可根据山脊状正交曲线群判定断裂起点和断裂方向。萘状断口上有许多取向不同、比较光滑的小平面,它们象条晶体一样闪闪发光。这些取向不同的小平面与晶粒的尺寸相对应,反映了金属晶粒的大小。微观形态:在电子显微镜下观察时,解理断口呈“河流花样”和“舌状花样”。 2)准解理断口。这种断口在低碳钢中最常见。前述的结晶状断口就是准解理断口,它在宏观上类似解理断口。 准解理断口的微观形态主要是由许多准解理小平面、“河流花样”、“舌状花样”及“撕裂
交换机带外管理及端口识别
交换机带外管理及端口识别 一、实验目的 1、熟悉普通二层交换机的外观; 2、了解普通二层交换机各端口的名称和作用; 3、了解交换机最基本的管理方式——带外管理的方法。 二、应用环境 网络设备的管理方式可以简单地分为带外管理(out-of-band)和带内管理(in-band)两 种管理模式。所谓带内管理,是指网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送,简而言之,就是占用业务带宽;而在带外管理模式中,网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送,也就是设备提供专门用于管理的带宽。 目前很多高端的交换机都带有带外网管接口,使网络管理的带宽和业务带宽完全隔离, 互不影响,构成单独的网管网。 通过Console 口管理是最常用的带外管理方式,通常用户会在首次配置交换机或者无法 进行带内管理时使用带外管理方式。 带外管理方式也是使用频率最高的管理方式。带外管理的时候,我们可以采用Windows 操作系统自带的超级终端程序来连接交换机,当然,用户也可以采用自己熟悉的终端程序。Console 口:也叫配置口,用于接入交换机内部对交换机作配置; Console 线:交换机包装箱中标配线缆,用于连接console 口和配置终端。 三、实验设备 1、DCS-3926S 交换机1 台 2、PC 机1 台 3、交换机 console 线1 根 四、实验拓扑 将PC 机的串口和交换机的console 口用console 线如图连接。
五、实验要求 1、正确认识交换机上各端口名称; 2、熟练掌握使用交换机 console 线连接交换机的console 口和PC 的串口; 3、熟练掌握使用超级终端进入交换机的配置界面。 六、实验步骤 第一步:认识交换机的端口。 0/0/1 中的第一个0 表示堆叠中的第一台交换机,如果是1,就表示第2 台交换机;第2 个0 表示交换机上的第1 个模块(DCS-3926s 交换机有3 个模块:网络端口模块(M0),模块1(M1),模块2(M2);最后的1 表示当前模块上的第1 个网络端口。 0/0/1 表示用户使用的是堆叠中第一台交换机网络端口模块上的第一个网络端口。 默认情况下,如果不存在堆叠,交换机总会认为自己是第0 台交换机。 第二步:连接console 线。 拔插console 线时注意保护交换机的console 口和PC 的串口,不要带电拔插。 第三步:使用超级终端连入交换机。 1、打开微软视窗系统,点击“开始”——“程序”——“附件”——“通讯”——“超级终端”。 2、为建立的超级终端连接取名字:点击后出现下图界面,输入新建连接的名称,系统 会为用户把这个连接保存在附件中的通讯栏中,以便于用户的下次使用。点击“确 定”按扭。
第八章实验讲义-- 交换机基本配置端口安全与STP
第12章交换机基本配置 交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备,可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。 12.2 实验0:交换机基本配置 1.实验目的: 通过本实验,可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 (1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal
交换机端口安全性
交换机端口安全性 【实验名称】 交换机端口安全性 【实验目的】 理解什么是交换机的端口安全性,如何配置端口安全性。 【背景描述】 从网络管理的安全性考虑,某企业网络管理员想对交换机上端口的访问权限做些限制,通过限制允许访问交换机某个端口的MAC地址以及IP地址(可选)来实现严格控制对该端口的输入。现在要通过在交换机上做适当配置来实现这一目标。 本实验以一台S2126G交换机为例,交换机名为SwitchA。一台PC机通过串口(Com)连接到交换机的控制(Console)端口,通过网卡(NIC)连接到交换机的fastethernet 0/1端口。假设该PC机的IP地址为192.168.0.137 ,网络掩码为255.255.255.0 ,MAC地址为00-E0-98-23-95-26,为了验证实验的效果,另准备一台PC机,其IP地址设为192.168.0.150 ,网络掩码为255.255.255.0 。 【实现功能】 通过在交换机上设置端口安全性来实现对网络访问的控制。 【实验拓扑】 F0/1Console NIC Com PC 【实验设备】 S2126G(1台) 【实验步骤】 第一步:在交换机上配置管理接口IP地址 SwitchA(config)# interface vlan 1 !进入交换机管理接口配置模式 SwitchA(config-if)# ip address 192.168.0.138 255.255.255.0 !配置交换机管理接口IP地址
SwitchA(config-if))# no shutdown !开启交换机管理接口 验证测试:验证交换机管理IP地址已经配置和开启,PC机与交换机有网络连通性SwitchA#show ip interface !验证交换机管理IP地址已经配置,管理接口已开启Interface : VL1 Description : Vlan 1 OperStatus : up ManagementStatus : Enabled Primary Internet address: 192.168.0.138/24 Broadcast address : 255.255.255.255 PhysAddress : 00d0.f8ef.9d08 SwitchA#ping 192.168.0.137 !验证交换机与PC机具有网络连通性 Sending 5, 100-byte ICMP Echos to 192.168.0.137, timeout is 2000 milliseconds. !!!!! Success rate is 100 percent (5/5) Minimum = 1ms Maximum = 3ms, Average = 1ms 第二步:打开交换机上fastethernet 0/1接口的端口安全功能 SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)#switchport mode access !配置fastethernet 0/1接口为access模式SwitchA(config-if)#switchport port-security !在fastethernet 0/1接口上打开端口安全功能 验证测试:验证已开启fastethernet 0/1接口的端口安全功能 SwitchA#show port-security interface fastethernet 0/1 Interface : Fa0/1 Port Security : Enabled Port status : up Violation mode : Protect Maximum MAC Addresses : 128 Total MAC Addresses : 0 Configured MAC Addresses : 0 Aging time : 0 mins Secure static address aging : Disabled 第三步:配置安全端口上的安全地址(可选) SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)# switchport port-security mac-address 00e0.9823.9526 ip-address 192.168.0.137 ! 手工配置接口上的安全地址 验证测试:验证已配置了安全地址 SwitchA#show port-security address
如何查看本机开放了哪些端口
如何查看本机开放了哪些端口 在默认状态下,Windows会打开很多“服务端口”,如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接,可以使用以下两种方法。 1.利用netstat命令 Windows提供了netstat命令,能够显示当前的TCP/IP 网络连接情况,注意:只有安装了TCP/IP协议,才能使用netstat命令。 操作方法:单击“开始→程序→附件→命令提示符”,进入DOS窗口,输入命令netstat -na 回车,于是就会显示本机连接情况及打开的端口,如图1。其中Local Address代表本机IP地址和打开的端口号(图中本机打开了135端口),Foreign Address是远程计算机IP地址和端口号,State表明当前TCP的连接状态,图中LISTENING是监听状态,表明本机正在打开135端口监听,等待远程电脑的连接。 如果你在DOS窗口中输入了netstat -nab命令,还将显示每个连接都是由哪些程序创建的。上图中本机在135端口监听,就是由svchost.exe程序创建的,该程序一共调用了4个组件(RPCRT4.dll、rpcss.dll、svchost.exe、KvWspXP_1.dll)来完成创建工作。如果你发现本机打开了可疑的端口,就可以用该命令察看它调用了哪些组件,然后再检查各组件的创建时间和修改时间,如果发现异常,就可能是中了木马。
2.使用端口监视类软件 与netstat命令类似,端口监视类软件也能查看本机打开了哪些端口,这类软件非常多,著名的有Tcpview、Port Reporter、绿鹰PC万能精灵、网络端口查看器等,如果你上网时启动这类软件,密切监视本机端口连接情况,这样就能严防非法连接,确保自己的网络安全。
交换机的端口安全配置
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
Vlan的划分和端口分配
路由器限速配置,下一跳配置。 三层交换机VLAN的划分,端口的分配。远程开启,WEB界面开启。 二级交换机远程开启,WEB界面开启,口端限速 路由器 静态路由格式ip route-sta 0.0.0.0 0.0.0.0 110.88.208.212 (0.0.0.0 是目标地址和子网掩码,110.88.208.212就是电信的IP,也就是下一跳) 防火墙web配置 步骤 1 将PC 与BSR/HSR 的LAN接口自动获取IP相连。 步骤 2 步骤 3 通过PC 上的Web浏览器登录BSR/HSR。 在IE地址栏上输入http://192.168.0.1,进入Web登录页面,登录页面如图所示。 步骤 4 输入用户名admin和密码Admin@123,进入BSR/HSR 配置界面。 限速配置 配置域间包过滤规则。 1. 选择“安全管理> 包过滤”,进入“包过滤”界面。 2. 单击“trust-untrust”对应的“详细”,进入“包过滤配置”界面。选中“入方向默 认包过滤”和“出方向默认包过滤”对应的“允许”。 3. 单击“应用”,在弹出“是否确认提交”的对话框中选择“确定”,完成配置。 新建ACL规则。 1. 选择“资源管理> ACL”,进入ACL界面。 2. 单击“新建”,进入“ACL基本配置”界面。 3. 在“ACL号”中输入“2000”。 4. 单击“应用”,在弹出“是否确认提交”的对话框中选择“确定”,完成配置。 5. 单击“新建”,进入“规则配置”界面。参数配置如图11-2 所示。
6. 单击“应用”,在弹出“是否确认提交”的对话框中选择“确定”,完成配置。 配置Trust区域的带宽限制。 1. 选择“服务管理> IP-CAR > 全局CAR-Class”,显示“全局CAR-Class 配置”界面。参数配置带宽数819200 2. 单击“应用”,在弹出“是否确认提交”的对话框中选择“确定”,完成全局Car- Class的配置。 3. 选择“服务管理> IP-CAR > CAR 策略”,显示“CAR 策略”界面。 4. 选择“trust”安全区域,单击“确定”。 5. 选择“基本配置”页签,选中“Ip-Car使能”,在弹出“是否确认使能”的对话框中选择“确定”,完成使能IP-CAR 配置。 6. 选择“全局CAR-Class 应用”页签,单击“新建”,显示“全局CAR-Class 应用配置”界面。参数配置全局car-class 0为819200 7. 单击“应用”,在弹出“是否确认提交”的对话框中选择“确定”,完成配置。 防火墙限速命令
扩展8个输入端口设计
课程设计说明书 课程名称:通信电子线路 设计题目:扩展8个输入端口设计 院系:电子信息与电气工程学院 学生姓名: 学号: 专业班级: 指导教师: 2012 年5 月18日
课程设计任务书
扩展8个输入端口设计 摘要:本设计主要利用型号为AT89S52的单片机及并行输入8位移位寄存器74LS165扩展了8个单片机的输入端口,并利用编程软件Keilc51及仿真软件Proteus编写与设计要求匹配的程序并进行了仿真。利用汇编语言编写单片机程序,焊接电路,使之实现既定目的。 关键词:AT89S52,74LS165,扩展
目录 1.设计背景 (1) 2.设计方案 (2) 2.1方案一:查询方式和P1口低电平输出 (2) 2.2方案二:中断方式和P1口高电平输出 (2) 3.方案实施 (2) 3.1硬件设计 (2) 3.1.1 电源电路的设计 (2) 3.1.2 复位电路设计 (3) 3.1.3 时钟电路设计 (3) 3.1.4并行输入8位移位寄存器74LS165设计 (4) 3.2软件设计 (5) 3.2.1 流程图设计 (6) 3.2.2 程序的编写与仿真 (6) 3.3 实物制作 (7) 4.结果与结论 (7) 4.1设计结果 (7) 4.2设计结论 (7) 5.收获与致谢 (7) 6.参考文献 (7) 7.附件 (8)
附件一:程序 (8) 附件二:电路原理图 (9) 附件三:元器件清单 (10) 附件四:实物图照片 (11)
1.设计背景 单片机自20世纪70年代问世以来,以其极高的性能价格比,受到人们的重视和关注,应用很广,发展很快。单片机体积小,重量轻,抗干扰能力强,价格低廉,环境要求不高,可靠性高,灵活性好,开发较为容易。由于具有上述优点,在我国,单片机以广泛地应用于工业自动化控制,自动化检测,智能仪器仪表,家用电器,电力电子,机电一体化设备等个方面。 AT89S52 是一种低功耗、高性能CMOS 8位微控制器,具有 8K 在系统可编程Flash 存储器。使用Atmel 公司高密度非易失性存储器技术制造,与工业80C51产品指令和引脚完全兼容。片上Flash允许程序存储器在系统可编程,亦适于常规编程器。在单芯片上,拥有灵巧的8位CPU 和 在系统可编程Flash,使得AT89S52为众多嵌入式控制应 用系统提供高灵活、超有效的解决方案。AT89S52具有以 下标准功能:8k字节Flash,256字节RAM,32 位I/O 口 线,看门狗定时器,2 个数据指针,三个16 位定时器/ 计数器,一个6向量2级中断结构,全双工串行口,片内 晶振及时钟电路。另外,AT89S52 可降至0Hz 静态逻辑 操作,支持2种软件可选择节电模式。空闲模式下,CPU 停 止工作,允许RAM、定时器/计数器、串口、中断继续工 作。掉电保护方式下,RAM内容被保存,振荡器被冻结, 单片机一切工作停止,直到下一个中断或硬件复位为止。图1 AT89S52管脚图
怎样查看电脑开了那些端口
怎样查看电脑开了那些端口.txt有没有人像我一样在听到某些歌的时候会忽然想到自己的往事_______如果我能回到从前,我会选择不认识你。不是我后悔,是我不能面对没有你的结局。看电脑端口哪些开了,在连接的 说到端口,这确实是个老话题,但一切都是从它开始的,不得不说。何谓端口,打个比方,你住在一座房子里,想让别人来拜访你,得在房子上开个大门,你养了个可爱的小猫,为了它的进出,专门给它修了个小门,为了到后花园,又开了个后门……所有这些为了进到这所房子里而开的门叫端口,这些为了别人进来而开的端口称它为“服务端口”。 你要拜访一个叫张三的人,张三家应该开了个允许你来的门--服务端口,否则将被拒之门外。去时,首先你在家开个“门”,然后通过这个“门”径直走进张三家的大门。为了访问别人而在自己的房子开的“门”,称为“客户端口”。它是随机开的而且是主动打开的,访问完就自行关闭了。它和服务端口性质是不一样的,服务端口是开了个门等着别人来访问,而客户端口是主动打开一个门去打开别人的门,这点一定要清楚。 下面从专业的角度再简单解释一下端口的概念。联网的计算机要能相互通信必须用同一种协议,协议就是计算机通信的语言,计算机之间必须说一种语言才能彼此通信,internet的通用语言是tcp/tp,它是一组协议,它规定在网络的第四层运输层有两种协议tcp、udp。端口就是这两个协议打开的,端口分为源端口和目的端口,源端口是本机打开的,目的端口是正在和本机通信的另一台计算机的端口,源端口分主动打开的客户端口和被动连接的服务端口两种。在internet中,你访问一个网站时就是在本机开个端口去连网站服务器的一个端口,别人访问你时也是如此。也就是说计算机的通讯就像互相串门一样,从这个门走进哪个门。 当装好系统后默认就开了很多“服务端口”。如何知道自己的计算机系统开了那些端口呢?这就是下面要说的。 二)、查看端口的方法 1、命令方式 下面以windows xp为例看看新安装的系统都开了那些端口,也就是说都预留了那些门,不借助任何工具来查看端口的命令是netstat,方法如下: a、在“开始”的“运行”处键入cmd,回车 b、在dos命令界面,键入netstat -na,图2显示的就是打开的服务端口,其中proto 代表协议,该图中可以看出有tcp和udp两种协议。local address代表本机地址,该地址冒号后的数字就是开放的端口号。foreign address代表远程地址,如果和其它机器正在通信,显示的就是对方的地址,state代表状态,显示的listening表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。就像你房子的门已经敞开了,但此时还没有人进来。以第一行为例看看它的意思。
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
交换机端口划分进VLAN
20140922_练习1 划分相应的接口进交换机的VLAN 1、试验拓扑工程图 需求描述: 1、创建Vlan 10、20、30、,Vlan 10并命名Caiwu ! 2、如图所示将交换机添加加相应接口! Switch> Switch> Switch>ENABLE Switch#config ter Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#host SW1 SW1(config)# SW1(config)# SW1(config)# //创建vlan10-30 SW1(config)#vlan 20 SW1(config-vlan)#vlan 30 SW1(config-vlan)#inter vlan 10 SW1(config-vlan)#name Caiwu //命名为Caiwu// SW1(config-if)#inter range f0/5-f0/10 //将5-10的接口放到vlan10中SW1(config-if-range)#switch access vlan 10
% Access VLAN does not exist. Creating vlan 10 SW1(config-if-range)# %LINK-5-CHANGED: Interface Vlan10, changed state to up SW1(config-if-range)#inter range f0/11-15 SW1(config-if-range)#switchport access vlan 20 SW1(config-if-range)#inter range f0/16-20 SW1(config-if-range)#switchport access vlan 30 SW1(config-if-range)#inter range f0/6-15 SW1(config-if-range)#switchport access vlan 20 SW1(config-if-range)#do wr Building configuration... [OK] SW1(config-vlan)#do show vlan //查看配置是否对// VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig0/1, Gig0/2 10 Caiwu active Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10 20 VLAN0020 active Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15 30 VLAN0030 active Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 0 0 10 enet 100010 1500 - - - - - 0 0 20 enet 100020 1500 - - - - - 0 0 30 enet 100030 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 0 0 1003 tr 101003 1500 - - - - - 0 0 1004 fdnet 101004 1500 - - - ieee - 0 0
扩展8个输出端口设计方案
扩展8个输出端口设计方案 1. 设计背景 MCS-51系列单片机有4个并行口(P0,P1,P2,P3口),但对一个稍微复杂的应 用系统来说,真正可供用户使用的并行口数量是有限的,况且常常因扩展I2C和SPI 的器件需占用某些并行口,这就迫使我们不得不扩展并行口以满足实际的需要。在RXD和TXD没被使用的情况下,可以利用RXD和TXD端口和移位寄存器74LS164将 串行口扩展为多组八位的并行输出口,这样就可以用本来闲置不用的端口进行并行 口的扩展,能充分利用单片机有限的I/O资源,并扩展了并行口的数量。 单片机的应用越来来越广泛,上述扩展并行口只是为了单片机更复杂的应用, 作为将来的相关技术人员,应该时刻关注单片机的的发展现状和未来的发展趋势, 首先先将动手能力和理论知识的结合起来,锻炼动手能力,扎实掌握基础知识,为 将来更深入学习和工作做准备。 2.设计方案 2.1原理图设计方案 1.方案比较与选择 AT89C52单片机有4个并行口,当部并行口不够用时可以外扩并行口芯片。可扩展的的并行口芯片很多,分成两类:不可编程的并行口芯片(74LS64)和可编程并行接口芯片(8255)。将用不可编程的并行口芯片74LS64扩展作为方案一,将用可编程并行接口芯片8255扩展作为方案二。 2.系统框图 根据课程设计要求,作为控制模块的AT89C52单片机要工作需要最小系统,而最小系统由晶振电路部分、复位电路部分和电源模块组成,由于要扩展八位并行输出口必定有扩展部分,作为扩展成功的标志输出显示部分势必不可少的,故系统框图如图2.1 电源 模块 复位电路 晶振电路主 控 模 块 (AT 89C5 2) 输 出 显 示 部 分 扩 展 部 分
利用命令查看端口及对应程序
利用命令查看端口及对应程序 利用 netstat 命令查看本机开放端口 netstat 是 windows 自带命令,用于查看系统开放的端口,主要参数只有 -a 和 -n ,前者表示显示所有连接和侦听端口,而后者表示以数字格式显示地址和端口号。 在“ 命令提示符” 中输入“ netstat -an ”, 即可显示本机所有开放端口。 其中 active connections 是指当前本机活动连接, proto 是指连接使用的协议名称 local address 是本地计算机 IP 地址和连接正在使用的端口号 foreign address 是指连接此端口的远程计算机的 IP 地址与端口号 state 则表示 TCP 连接状态 注意如果后面的 UDP 协议有异常连接,则可能有木马正使用端口号,正处于监听状态,如冰河木马的默认监听端口号是 7626 利用 netstat 命令查找打开可疑端口的恶意程序 先用命令提示符 " netstat -ano " 命令显示端口状态,再在结果中找到可疑端口,然后根据其 PID 在输入“ tasklist ” 命令显示中查找其对应程序,就可知道其程序名,进而查明程序的来源,采取适当的措施。 直接查看端口与程序 ( 以上两个命令的结合效果 ) 在命令提示符后输入“ netstat -anb ” 回车,即可显示所有端口及所对应的进程信息,用来查找木马非常方便 用第三方端口查看工具 FPORT fport 是 foundstone 出品的一个用来查看系统所有打开 TCP/IP 和 UDP 端口,及它们对应程序的完整路径, PID 标识,进程名称等信息的小工具
接入交换机常见安全配置
适用场景:1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中,若未指定优先级,则是根据它们的MAC地址(mac小的为主机)来确定谁是主机。优先级为越大越好,范围1-10。出场默认为1。 1、系统时间同步:如果客户有使用 ntp/sntp进行全网统一的时间配置的需求,可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址,此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一:限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二:限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三:使用加密管理协议,使用SSH管理,禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式
实验一 基于端口划分VLAN
实验一基于端口划分VLAN 一、实验目的: 1、理解VLAN的基本原理; 2、掌握按端口划分VLAN的方法; 3、理解VLAN间通信的基本原理。 二、实验内容: 根据以下网络拓扑结构图,按端口划分VLAN,使两个VLAN之间能够相互通信。 VLAN2:PC0,PC1,PC3 主机IP:192.168.2.1—192.168.2.3,VLAN2接口IP:192.168.2.4, 子网掩码:255.255.255.0; VLAN3:PC2,PC4,PC5 主机IP:192.168.3.1—192.168.3.3,VLAN3接口IP:192.168.3.4 子网掩码:255.255.255.0。 三、实验环境: Cisco Packet Tracer 5.2。 四、实验过程: 扼要地写出实验的过程。 五、实验结果及分析: 总结实验的结果,并作简要的分析; 简单附上本次实验的体会与收获。 说明:把本次实验写成实验报告,下周三交。 后附:Cisco3560、Cisco2960的配置 附:Cisco交换机的配置过程
(1)设置VTP管理域 Switch> enable //进入特权配置模式 Switch# config terminal //进入全局配置模式 Switch(config)# hostname VtpServer //交换机命名 VtpServer(config)# exit //退出全局配置模式 VtpServer# vlan database //进入VLAN配置模式 VtpServer(vlan)# vtp domain MathsGroup //创建VTP管理域,域名命名为MathsGroup VtpServer(vlan)#vtp server //将三层交换机配置成VTP管理域的服务器Switch> enable Switch# config terminal Switch(config)# hostname VtpInformation VtpInformation(config)# exit VtpInformation# vlan database VtpInformation(vlan)# vtp domain MathsGroup //将交换机加入VTP管理域VtpInformation(vlan)# vtp client //将交换机配置成VTP管理域的客户机 Switch> enable Switch# config terminal Switch(config)# hostname VtpMaths VtpMaths(config)# exit VtpMaths# vlan database VtpMaths(vlan)# vtp domain MathsGroup //将交换机加入VTP管理域 VtpMaths(vlan)# vtp client //将交换机配置成VTP管理域的客户机 (2)为交换机配置连接VLAN主干(trunk)链路的端口 VtpServer(vlan)# exit //退出VLAN配置模式 VtpServer# config terminal //进入全局配置模式 VtpServer(config)# interface f0/1 //进入接口配置模式,对端口f0/1进行配置VtpServer(config-if)# switchport mode trunk //将端口f0/1配置成trunk模式VtpServer(config-if)# exit VtpServer(config)# interface f0/2 VtpServer(config-if)# switchport mode trunk VtpInformation(vlan)# exit VtpInformation# config terminal VtpInformation(config)# interface f0/1 VtpInformation(config-if)# switchport mode trunk VtpMaths(vlan)# exit VtpMaths# config terminal VtpMaths(config)# interface f0/1 VtpMaths(config-if)# switchport mode trunk