网络组建实习报告
学校:
学院:
专业:
班级:
姓名:
时间:
地点:
社会在加速度地发生变化,对人才的要求也越来越高,要用发展的眼光看问题,得不断提高思想认识,完善自己。作为一名IT从业者,所受的社会压力将比其他行业更加沉重,要学会创新求变,以适应社会的需要。本学期,经过院领导老师的精心准备策划,我们有幸到四川华迪信息技术有限公司进行了为期五十多天的实习。总的来说,此次实习是一次成功的顺利的实习。通过我们的努力,我们已最大可能的完成了实习大纲的要求,既充分巩固了大学前期四年的专业知识,又对专业科目学习有了新的理解,并且将四年的理论知识付诸与实际操作,让我们对知识的掌握更加透彻。这次专业认识实习增强了我们的职业意识,让我们对将来所要从事的行业有了一定的认识。
一、实习目的
通过这次实习,我们要了解网络工作原理、网络设备的分类和操作;掌握IP路由原理、路由设备工作原理,路由协议分类及比较;了解静态和动态路由原理及配置;了解NAT基本原理及静态和动态NAT的配置;理解局域网概念及对传统局域网设计、性能、冗余性、安全性等几个方面的弱势的解决方法;生成树协议及其分类;学会如何在不增加设备的情况下提高网络吞吐能力;针对协议的一些弱点如何对网络进行攻击;掌握综合布线知识;网路安全方面的问题;防火墙的配置等网络方面的一些知识。
二、实习时间
实习时间为:2014年11月至2015年2月。时长为三个月。
三、实习地点
***********************************************
四、实习单位
******************。
五、实习内容
网络组建方面我们学习了:
1、OSI参考模型功能分层(从下到上共7层):物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。
TCP/IP模型功能分层(共4层):网络接口层、网际层、运输层、应用层。
2、路由器和交换机的区别:交换机工作在数据链路层,路由器工作在网络层;交换机利用物理地址,路由器利用IP地址来确定数据转发的地址;
3、三种非屏蔽双绞线的作用及线序排列: (1)直连线的线序:
端1:橙白橙绿白蓝蓝白绿棕白棕 端2:橙白橙绿白蓝蓝白绿棕白棕 (2)交叉线的线序:
端1:橙白橙绿白蓝蓝白绿棕白棕 端2:绿白绿橙白蓝蓝白橙棕白棕
同种设备相接用交叉线,不同种设备用直连线。但PC与路由器相接时,可把PC看成一个路由器,用交叉线相连。 (3)反转线的作用:
反转线用于将计算机连接到交换机或路由器的控制端口.
4、区别route、router、routing? route(路由):是指路由器从一个接口上收到数据包,根据数据包的目的地址进行定向并转发到另一个接口的过程。
router(路由器):连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径、按前后顺序发送信号的设备。 routing(路由协议):在路由指导IP数据包发送过程中事先约定好的规定和标准。
5、ping:是DOS命令,一般用于检测网络的通与不通。
ping原理:利用网络上机器IP地址的唯一性,给目标IP地址发送一个数据包,再要求对方反回一个同样大小的数据包来确定两台网路机器是否连接相通,时延是多少。
6、NAT:网络地址转换。可以有效解决IP不够的问题。
NAT的工作方式:静态NAT,将一个私网地址和一个公共IP地址做一对一映射;动态NAT,将一个私网地址和一个公共地址池中的某个IP地址做映射,在映射关系建立后,也是一对一的地址映射,但所使用的公网IP地址不确定;Overloading,一种特殊的动态NAT,将多个私网IP地址映射到一个公网IP地址的不同端口号下,通常也称之PAT。 静态NAT的配置:(1)在内部本地地址与内部合法地址之间建立静态地址转换,在全局设置状态下输入:ipnat inside source static 内部本地ip内部全局ip。(2)指定连接网络的内部端口,在端口设置状态下输入:ipnat inside。(3)指定连接外部网路的外部端口:ipnat outside。(4)查看:show ipnat translation。(5)删除:no ipnat inside source static 内部本地ip内部全局ip。
动态NAT的配置:(1)创建ACL:指定内部本地IP地址范围: acce-list acl号 permit 192.168.10.0(内部ip)0.0.0.255(反掩码)。(2)创建内部全局IP地址池:ipnat pool池名内全ip开头—内全ip结尾(范围)。(3)映射ACL到地址池:ipnat inside source list acl号pool池名(4)指定内/外接口:与静态NAT相同,内部:ipnat inside 外部:ipnat outside。(5)清除动态表项:clear ipnat translation *。
7、生成树协议(Spanning Tree Protocol,STP)的主要任务是防止2层得循环。关于STP的术语:(1)根桥(Root Bridge),拥有最好的bridge ID即为根桥,根桥决定网路中哪些端口被堵塞,哪些端口作为转发模式。(2)根端口(Root Port):与根桥直接相连的端口,或者是到根桥最短的接口。(3)指定端口(Designated Port):耗费低的端口,作为转发端口。(4)非指定端口(Nondesignated Port):耗费较高为堵塞模式(Blocking Mode),即不转发帧。启用STP协议的命令:spanning-tree enable。
根交换机(Root):在一个广播域内选举,一个网络中只能选一台,优先级越小的(若相同则取MAC地址小的)为根交换机 生成树操作流程Spanning-Tree Operation one root bridge per broadcast domain one root port per nonnot bridge one designated port per segment Nondesignated ports are anused
8、PPP协议提供了一种标准的方式在点对点的链路上传输多种网络层协议的数据报。
PPP协议特点:支持点到点的连接,具有验证功能,通过PAP或CHAP方式验证,保证了网络的安全性。
PPP的两种验证方式:(1)密码验证协议(Paword Authentication Protocol),PAP为两种握手协议,以明文方式验证,适用于对网络安全要求相对较低的环境。(2)挑战握手验证协议(Chanllenge Handshake Authentication Protocol CHAP)只在网络上传输用户名,而不传输口令,安全性要比PAP高。
9、配置路由基本操作:
(1)全局配置模式下给路由器命名,hostname + 名字。 (2)关闭路由器自动域名解析功能,no ipdomainlookup。 (3)保证路由器和telent登陆安全,保密要求高时用SSH。 (4)按拓朴结构描述路由器接口
(5)使用相关的show命令(不止一个),用于显于路由器型号、CPU类型、内存、flash容量。
(6)要求路由器重启后所有的配置依然存在,show run与show start的区别。 (7)关闭所有路由器没有使用的接口。
(8)修改当前路由器时区为北京时区(北京为东8区)修改时间为当前时间。>(config)# clock timezone BJ 8 ># clock set 15:29:30 7jul 2011-9-10 (9)确定设备的Login和debug以日期作为时间戳模式。 网络应用方面我们学习了: (1)系统的安装 (2)虚拟机的使用 (3)Linux系统的使用 (4)建立局域网
(5)建立FTP进行文件传输 (6)建立VPN虚拟专用网 网络攻防方面:
(1)我们了解了什么是主动攻击,什么是被动攻击。 (2)从攻击方式上我们学习了:口令入侵 (3)所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法非常多,如[2]
(4)利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;
(5)利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;
(6)从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的帐号;
(7)查看主机是否有习惯性的帐号:有经验的用户都知道,非常多系统会使用一些习惯性的帐号,造成帐号的泄露。
(8)放置特洛伊木马程式能直接侵入用户的计算机并进行破坏,他常被伪装成工具程式或游戏等诱使用户打开带有特洛伊木马程式的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或执行了这些程式之后,他们就会象古特洛伊人在敌人城外留下的藏满士兵的木马相同留在自己的计算机中,并在自己的计算机系统中隐藏一个能在windows启动时悄悄执行的程式。当你连接到因特网上时,这个程式就会通知攻击者,来报告你的IP地址及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程式,就能任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
(9)在网上用户能利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就能达到欺骗的目的了。
(10)一般Web欺骗使用两种技术手段,即URL地址重写技术和相关信关信息掩盖技术。利用URL地址,使这些地址都向攻击者的Web服务器,即攻击者能将自已的Web地址加在所有URL地址的前面。这样,当用户和站点进行安全链接时,就会毫不防备地进入攻击者的服器,于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏,当浏览器和某个站点边接时,能在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息,用户由此能发现问题,所以攻击者往往在URLf址重写的同时,利用相关信息排盖技术,即一般用JavaScript程式来重写地址样和状枋样,以达到其排盖欺骗的目的。
(11)电子邮件是互连网上运用得十分广泛的一种通讯方式。攻击者能使用一些邮件炸弹软件或CGI程式向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,更有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。相对于其他的攻击手段来说,这种攻击方法具有简单、见效快等好处。
(12)攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们能使用网络监听方法,尝试攻破同一网络内的其他主机;也能通过IP欺骗和主机信任关系,攻击其他主机。
(13)这类攻击非常狡猾,但由于某些技术非常难掌控,如TCP/IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。他能磙坏两台机器间通信链路上的数据,其伪装的目的在于哄骗网络中的其他机器误将其攻击者作为合法机器加以接受,诱使其他机器向他发送据或允许他修改数据。TCP/IP欺骗能发生TCP/IP系统的所有层次上,包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害,则应用层的所有协议都将处于危险之中。另外由于用户本身不直接和底层相互相交流,因而对底层的攻击更具有欺骗性。
(14)网络监听是主机的一种工作模式,在这种模式下,主机能接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay for 视窗系统95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
(15)利用黑客软件攻击是互连网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,他们能非法地取得用户计算机的终极用户级权利,能对其进行完全的控制,除了能进行文件操作外,同时也能进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程式登陆上已安装好服务器端程式的计算机,这些服务器端程式都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,黑客软件的服务器端就安装完成了,而且大部分黑客软件的重生能力比较强,给用户进行清除造成一定的麻烦。特别是一种TXT文件欺骗手法,表面看上去是个TXT文本文件,但实际上却是个附带黑客程式的可执行程式,另外有些程式也会伪装成图片和其他格式的文件。
(16)许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于非常多系统在不检查程式和缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别设置一串准备用作攻击的字符,他甚至能访问根目录,从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏的根目录,从而获得终极用户的权限。又如,ICMP协议也经常被用于发动拒绝服务攻击。他的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。常见的蠕虫病毒或和其同类的病毒都能对服务器进行拒绝服务攻击的进攻。他们的繁殖能力极强,一般通过Microsoft的 Outlook软件向众多邮箱发出带有病毒的邮件,而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。
六、实习总结
通过这次实习,使我学习了很多新的知识并进一步巩固了学过的知识。深刻理解了路由器相关方面的知识,掌握了直连线、交叉线、反转线这三种非屏蔽双绞线的线序排列和作用,静态和动态路由、静态和动态NAT的配置。知道了我们常用的ping命令是什么,他的原理又是什么。了解了ACL技术,并使用ACL保护网络安全等知识。这次实习我们不光学到了技术方面的知识,也学到了一些为人处事的规则。老师就我们就业需要参加的面试对我们进行了相关的培训。还抽出时间对我们的面试技巧进行了考核。我最受益匪浅的是老师给我们讲的那堂职业规划的课,老师给我们讲了寻找潜在职位和找工作较好的办法,和面试前的准备工作及面试中的注意事项,这些经验对于毕业生的我们显得尤为重要。最难忘的就是那次模拟面试了,这是我的第一次面试,表现一点都不令人满意,但也让我了解了自己存在哪些不足之处,好让我能改善这些不足。这段时间让我对IT行业有了更深刻的认识,也让我喜欢上了这个行业,明确了自己的职业道路。
实习人:年月日
