维护办公环境网络

《维护办公环境网络》由会员分享，可在线阅读，更多相关《维护办公环境网络（10页珍藏版）》请在装配图网上搜索。

1、第四章维护办公环境网络4.1IP地址分配4.1.1 简述DHCP4.1.2启用宽带路由器的DHCP服务1启用DHCP服务选择DHCP服务出现如图4.2所示界面1) 地址池开始和结束地址：设定地址池的范围。2) 地址租期：DHCP服务器分配给客户端的IP地址的有效使用时间。在租期结束之前，DHCP客户端会有一个续约的过程来保证长期使用同一个IP地址 3) 网关：填写路由器LAN口IP地址，缺省为192.168.1.1.4) DNS服务器;填写运营商提供的DNS服务器地址注意：配置了DHCP服务后，需要将内部局域网主机全部设置为：“自动获取IP地址”2. 客户端列表如图选择客户端列表,显示了通过D

2、HCP服务器获得IP地址的主机的主机名、MAC地址、获得的IP地址和有效时间3. 静态地址分配选择静态地址分配可以为指定MAC地址的主机预留IP地址在“IP地址”中填入为内部局域网主机预留的IP地址，在“状态”中选择此条目是否生效。配置完成后在静态地址分配界面就出现一个对应条目。当DHCP服务器为指定的主机分配IP地址时，就将静态分配的IP地址提供给主机，4.2广播与ARP协议原理4.2.1广播与广播域1) MAC地址的广播2) IP地址广播4.2.2ARP协议1. ARP概述2windows操作系统主机ARP命令的使用1) 清除ARP缓存使用arp-a可以查看ARP缓存表，而要清除ARP缓存

3、表要使用arp-d命令如下在清除ARP缓存后，在显示ARP缓存会提示没有ARP条目。2) ARP绑定是将IP地址和相应的主机MAC地址进行绑定，是防止ARP攻击的有效方法使用arp-s ip-address mac-ipress命令对IP地址和MAC地址进行绑定。如C；arp-s 10.0.0.200 00-1a-64-a1-52-f0 /静态绑定ARP条目其中，static表示静态绑定的ARP条目；dynamic表示动态学习到地ARP条目。静态绑定的ARP条目一直存在直到系统重启或ARP缓存被清除；动态学习到地ARP条目有老时化间（默认为120s）3cisco设备ARP命令1) 查看ARP缓

4、存表 使用show arp命令显示ARP缓存表如switch#show arp其中，age表示ARP条目存在的时间，-“表示始终存在2) 清除ARP表使用clear arp-cache命令清除ARP缓存表3) ARP绑定使用arp ip-adress mac-address arpa interface-type interface-number绑定ARP条目如switch(config)#arp 1.1.1.1 0011.1111.1111 arpa fastethernet 0/22Switch#show arp4ARP原理演示如图4.7,ARP演示过程，这是一个对应的环境，PC1和PC2

5、第一次通信，因此在通信双方的ARP缓存中不会有彼此的IP地址和MAC地址的映射具体步骤：（1）使用ipconfig/all查看PC1和PC2的MAC地址（2）用arp-a”查看PC1和PC2的缓存，“NO ARP Entries found”表示没有发现任何ARP映射条目（3）在PC1上pingPC2的IP地址，之后用“arp-a”命令查看ARP缓存信息其中，显示了PC1的ARP缓存中记录的关于PC2的IP 地址和MAC地址的对应关系，这是因为在ping命令发送数据之前，PC1先通过ARP请求获得了PC2的MAC地址。4.3解决IP地址冲突1分析问题2解决方法当员工主机出现IP地址冲突时，网络

6、管理员需要做两件事;第一， 恢复员工主机的正常通讯第二， 查找私自配置IP地址的主机首先恢复主机的正常通讯，1) 记录现在使用的IP地址，以便检查擅自修改IP地址的主机2) 通过禁用、起用网卡，重新获得IP地址，恢复网络的通讯,或使用ipconfig/release、ipconfig/renew重新获得IP地址然后，查找私自更改IP地址的主机（1） IP地址冲突主机原来使用的IP地址就是私自更改IP主机正使用的IP地址（2） 使用ping命令，ping上述IP地址（3） 使用arp-a命令显示ARP缓存，从中找出源IP地址对应的MAC地址（4） 找到此MAC地址的主机3记录相关信息一般记录以下

7、几点:1) 记录主机信息主要包括:主机名、MAC地址、IP地址、网关、员工、部门等2) 记录网络设备主要包括：端口IP地址、端口连接的设备等如果网络管理员没有记录相关信息,如何快速收集信息呢?通过局域网扫描软件(lansee等)对局域网中的主机进行扫描，得到主机的IP地址、主机名、MAC地址等信息注意：（1）在网络建立以后配置主机时，需要更改主机名来标识主机或主机使用人，以方便维护(2)除了使用局域网扫描软件，还可以通过命令行方式进行查找，（3）有时客户机开启防火墙、ARP防火墙等软件，就不能通过软件或命令方式获得主机相关信息，只能逐台进行查找4.4ARP攻击与ARP欺骗的原理4.4.1ARP

8、攻击和ARP欺骗的原理1ARP攻击的原理2. ARP欺骗的原理4.4.2ARP攻击应用案例1. 利用ARP欺骗管理网络1) 选择监控网段a第一次打开软件的时候，会弹出监控参数选择对话框。如图4.13所示。如选择监控所使用的网卡，单击确定即可b选择监控的IP地址段如图4.14所示首先填写监控的局域网段的范围为10.0.0.110.0.0.254,然后单击“添加/修改”按钮，IP地址段便在表格内生成，之后单击确定“即可注意指定的IP地址范围不一定是监控网卡所处的网段，只要监控主机可以访问到的局域网段均可监控2) 用户权限设定a进入软件界面后，软件将自动扫描指定IP网段范围内的主机。并以列表的形式显

9、示这些主机的MAC地址、IP地址、主机名称、主机状态等如图4.15所示;软件扫描结果b右击需要管理的主机，在菜单中选择“手工管理,弹出 如图4.16所示的对话框c对主机的管理方式有三种，分别如下l IP冲突;如果选择此项，被控主机屏幕的右下角将会提示IP冲突l 禁止与关键主机组进行TCP/IP连接：如果选择此项，被控主机将无法访问关键主机组中的成员l 禁止与所有主机进行TCP/IP连接；如果选择此项，被控主机将和所有主机失去连接d设定关键主机组单击图4.16中设置按钮，在弹出的对话框中填写10.0.0.200(网关IP地址)如图4.17所示添加关键主机，然后单击全部保存按钮如图4.18所示，选

10、择“第一组“之后任意给定一个管理频率，单击开始按钮e验证效果此时在被控主机上通过ping命令测试结果如图4.19、图4.20所示2处理ARP故障“1) 第一种解决方法处理ARP欺骗攻击最一般的方法是IP-MAC绑定，如图4.22所示可以在客户端主机和网关路由器上双向绑定IP-MAC来避免 ARP欺骗导致无法上网(1)在主机上绑定网关路由器的IP和MAC,可以通过之前的学习过的“arp-s命令实现(2)在网关路由器上绑定主机的IP和MAC,可以通过如下命令实现如router(config)#arp 10.0.0.6 0019 2101.9211 arpa f0/0如果要查看配置结果，可以通过命令

11、”show ip arp”(3)这时网络中如果有ARP病毒发作，或是用户使用类似网络执法官等软件便无法欺骗局域网中的主机了。可以在交换机上配置IP-MAC-port的绑定，使交换机丢弃这些欺骗报文，从而防止其全网泛滥如图switch(config)#arp 10.0.0.6 0019.2101.9211 arpa f0/2Switch(config)#arp 10.0.0.200 001a.64a1.52f0 arpa f0/1Switch(config#arp 10.0.0.7 0013.240a.b219 arpa f0/3 switch#show ip arp缺点:如果网络终节点数很多,

12、在路由器和交换机上的配置量便会随之增多,而且网络中如果采用DHCP动态分配 IP地址，一旦主机IP地址发生变化，将直接导致该主机无法上网A. 第二种解决方法使用ARP防火墙，自动抵御ARP欺骗和ARP攻击1) 在主机A上开启ARP防火墙，如图4.23所示 ，防火墙的主界面显示统计数据，包括：ARP协议收发数据包的统计、拦截ARP攻击的统计、自动绑定的IP/MAC地址（网关）等2) 在主机B上开启网络执法官软件，通过他来模拟ARP病毒发作具体设置：针对主机 A设置无法访问关键主机10.0.0.200(网关)3）在主机A上通过ping命令测试与网关的网络连通性如图4.24所示：如图主机A和网关的连

13、通性测试结果4）ARP防火墙统计数据的变化如图4.25所示：更新统计数据ARP接收的数据包数量急剧增加，ARP防火墙将所有的非广播（ARP的应答包）阻截，并且一直将网关的IP/MAC静态绑定在一起，如图4.26所示：网关的IP/MAC自动绑定基于ARP防火墙的安全防护机制使得ARP攻击失去了效果5）ARP防火墙原理分析A. 更改主机B上网络执法官的设置，使之定期给网关发送10.0.0.6的假MAC地址，再次进行连通性测试发现主机A和网关无法通信B. 进入ARP防火墙的“设置”对话框，单击“防御”选项卡如图4.27所示主动防御的三种模式：l 停用：关闭主动防御功能B. 宽带路由器绑定ARP4.4.3防御ARP攻击和ARP欺骗并查找攻击主机1. 防御ARP攻击和ARP欺骗2. 查找进行ARP攻击和ARP欺骗的主机上机实验部分实验案例一;收集网络信息实验案例二;ARP协议的应用案例本章总结部分本章作业