网络专业培训课件

网络专业培训课件第一章网络基础与架构（）1/812基础概念网络模型本章我们将学习网络的基本定义、分类以及网络架构的核心概念，为深入理解七层模型与四层模型，掌握各层功能与协议OSI TCP/IP后续学习奠定基础34物理基础拓扑结构探讨网络的物理层面，包括传输介质、信号传输原理及网络设备工作学习不同网络拓扑结构的特点、优缺点及应用场景，理解网络设计的机制核心思想互联网的变革力量互联网作为世纪最具革命性的技术之一，彻底改变了人类社会的信息交流方式从最21初的到如今的全球网络，互联网的发展历程映射了人类信息技术的巨大飞跃ARPANET在过去的几十年里，互联网已经从单纯的学术研究网络，演变为支撑全球经济、政治、文化发展的关键基础设施它推动了全球化经济的迅速发展•信息传播方式的根本变革•社交网络的兴起与社会结构的重塑•数字化转型与智能化浪潮•互联网结构不断演进，从早期的集中式架构，到分布式网络，再到如今的云计算、边缘计算等新型架构，每一次技术革新都带来深远影响现代互联网已经成为一个包含数十亿设备、承载海量数据的复杂系统，其影响力已经渗透到人类生活的方方面面计算机网络定义与分类网络的基本定义计算机网络是将分布在不同地理位置的多台自主计算机，通过通信设备与线路连接起来，由功能完善的软件实现资源共享和信息传递的系统其核心特征包括资源共享能力（硬件、软件、数据）•分布式处理能力•可靠性与负载均衡•灵活的扩展性•按覆盖范围分类局域网（）LAN覆盖范围通常在几百米到几公里，如校园、企业内部网络特点是传输速率高、延迟低、错误率小，常见技术有以太网、等Wi-Fi城域网（）MAN覆盖一个城市或特定区域，范围在公里，连接多个局域网，常见于政府、教育机构网络互联5-50广域网（）WAN跨越国家甚至全球范围，如互联网特点是传输距离远、连接复杂，通常由电信运营商提供基础设施网络拓扑结构详解总线型拓扑星型拓扑所有设备连接到同一传输介质上，信号向两端传所有设备连接到中央节点如交换机，数据必须播，直到到达终端经过中心节点传输优点结构简单，节省线缆，易于实现优点可靠性高，单点故障影响小；管理方便，易于扩展缺点可靠性低，任一处故障会影响整个网络；网络容量有限缺点中心节点故障影响全网；线缆消耗较大树型拓扑环型拓扑层次化结构，从根节点向下分支，结合了总线型和星型的特点各设备形成闭环，数据按固定方向传输，直到到达目标设备优点层次分明，易于管理和扩展；故障影响范围可控优点结构均匀，传输距离长，性能稳定缺点根节点故障影响大；下层设备依赖上层设缺点单点故障会影响整个网络；添加设备复杂备与模型OSI TCP/IP七层参考模型四层模型OSI TCP/IP国际标准化组织（）提出的开放系统互连参考模型，将复杂的网络通信过程分为七实际互联网应用的主流模型，将网络功能分为四层ISO个功能层次应用层对应的应用层、表示层和会话层，包含、、等协议OSI HTTP FTP DNS应用层提供用户接口和应用服务（如、）HTTPFTP传输层对应的传输层，主要协议为和OSI TCP UDP表示层数据格式转换、加密解密、压缩解压缩网际层对应的网络层，主要协议为OSI IP会话层建立、管理和终止会话连接网络接口层对应的数据链路层和物理层，如以太网协议OSI传输层端到端的可靠数据传输（如、）TCP UDP模型更加简洁实用，直接对应实际网络实现，是现代互联网的基础虽然模TCP/IP OSI网络层提供路由选择和地址管理（如）IP型在实际应用中较少直接使用，但其清晰的分层概念为理解网络通信提供了重要框架数据链路层成帧、差错检测和介质访问控制物理层比特流的传输，提供物理连接物理层与传输介质铜缆传输介质主要包括双绞线、同轴电缆等，是局域网中最常用的传输介质双绞线分为屏蔽（）和非屏蔽（）两种，常用于以太网连接STP UTP类线最高支持传输速率，传输距离约米5100Mbps100类线支持传输速率，抗干扰能力更强61Gbps同轴电缆抗干扰能力强，传输距离可达数百米光纤传输介质利用光在玻璃或塑料纤维中传播来传输信号，分为单模和多模两种单模光纤芯径小（），光线沿直线传播，适合远距离传输（数十公里）9μm多模光纤芯径大（），光线呈锯齿状传播，适合近距离传输（数百米）50-

62.5μm传输优势高带宽（可达数）、低损耗、抗电磁干扰、安全性高Tbps无线传输介质利用电磁波在自由空间传播，不需要物理连接，提供灵活的网络接入微波通信高频电磁波，用于点对点通信，如卫星通信无线局域网（）基于标准，工作在和频段WLAN IEEE

802.

112.4GHz5GHz蜂窝移动通信网络，提供广域移动数据服务4G/5G蓝牙短距离无线通信技术，用于物联网设备连接/ZigBee网络设备介绍第层第层1-22集线器（）交换机（）Hub Switch工作在物理层，简单转发电信号，所有端工作在数据链路层，根据地址转发数MAC口共享带宽，已基本被淘汰据帧，每个端口独立带宽，是局域网的核心设备第层第层34-7路由器（）高级设备Router工作在网络层，根据地址转发数据包，包括防火墙、负载均衡器、应用网关等，IP连接不同网络，实现最佳路径选择提供特定网络服务和安全功能网络设备是构建计算机网络的硬件基础，按照功能和工作层次可分为不同类型理解各类设备的功能特点和适用场景，是网络规划和故障排除的关键知识点随着网络技术的发展，设备功能日益融合，出现了多层交换机、三层交换机等集成多种功能的设备在小型网络中，一台集成路由功能的无线路由器可能已经足够；而在大型企业网络中，则需要专业级的核心交换机、边界路由器、安全设备等共同构建复杂的网络架构现代网络设备通常还具备远程管理、智能诊断、自动配置等功能，大大简化了网络运维工作第一章小结网络基础概念我们学习了计算机网络的定义、分类及发展历程，理解了网络如何连接计算机并实现资源共享网络拓扑结构掌握了总线型、星型、环型、树型等网络拓扑结构的特点与应用场景，理解了现代以太网中星型拓扑的优势网络分层模型深入学习了七层模型与四层模型，理解了分层设计的意义及各层功能OSI TCP/IP网络传输与设备了解了各种传输介质的特性，以及集线器、交换机、路由器等网络设备的工作原理与应用通过本章学习，我们建立了对网络基础架构的系统认识，为后续深入学习网络协议、网络安全等内容奠定了坚实基础网络技术的核心在于连接与通信，而网络的分层设计使得复杂的通信过程变得可管理、可理解在实际工作中，这些基础知识将帮助我们更好地设计、实施和维护各类网络系统第二章核心协议与传输技术（）2/8协议详解IP深入学习地址体系、子网划分技术以及向过渡的关键知识IP IPv4IPv6路由技术掌握网络路由的基本原理，学习常见路由协议的工作机制及应用场景传输控制理解协议特性，掌握可靠传输的实现机制及流量控制技术TCP/UDP应用协议学习、等关键应用层协议，了解新兴传输技术的原理与应用HTTP DNS地址与子网划分IP地址结构子网掩码与IPv4CIDR地址是一个位的二进制数，通常以四组十进制子网掩码用于确定地址中的网络部分和主机部分，表IPv432IP数表示（如）每组数字范围为，示方法与地址相同，网络部分全为，主机部分全为

192.

168.

1.10-255IP1对应一个位二进制数地址分为网络标识和主机（如）8IPv

40255.

255.

255.0标识两部分，根据网络部分的长度可分为（无类域间路由）是现代地址分配的主要方法，CIDR IP类地址前位为网络标识，首位为，范围以斜线记法表示网络前缀的长度，如A80表示前位为网络标识

1.

0.

0.0~

126.

255.

255.

255192.

168.

1.0/2424类地址前位为网络标识，首两位为，范围B1610子网划分步骤

128.

0.

0.0~

191.

255.

255.255确定所需子网数量类地址前位为网络标识，首三位为，范围

1.C24110计算所需主机位数

192.

0.

0.0~

223.

255.

255.

2552.D类地址用于多播，首四位为1110，范围

3.借用主机位作为子网位

224.

0.

0.0~

239.

255.

255.

2554.计算每个子网的网络地址、广播地址和可用IP范围类地址保留研究用，首四位为，范围E1111例如，将划分为个子网，需要借用

192.

168.

1.0/

244240.

0.

0.0~

255.

255.

255.255个主机位，得到个子网、24/

26192.

168.

1.0/

26、和

192.

168.

1.64/

26192.

168.

1.128/

26192.

168.

1.192/26路由原理与协议静态路由动态路由由网络管理员手动配置的固定路由路径，适用于小型网络或网络拓扑变化不频繁的环境通过路由协议自动发现和维护路由信息，能够适应网络拓扑变化主要分为两类优点配置简单，不消耗网络带宽，安全性高距离矢量协议根据跳数或其他度量值选择路径，如、RIP BGP缺点不能自动适应网络变化，网络规模扩大时维护工作量大链路状态协议基于网络拓扑图计算最短路径，如、OSPF IS-IS配置示例动态路由具有自适应性强、维护简便的优势，但会消耗网络资源并可能引入安全风险ip route

192.

168.

2.

0255.

255.

255.

0192.

168.

1.2协议协议OSPF BGP开放最短路径优先协议，是企业内部最常用的协议边界网关协议，互联网核心路由协议，用于自治系统之间的路由交换IGP特点基于链路状态算法，支持，收敛速度快特点路径矢量协议，考虑路由策略而非最短路径VLSM工作机制建立邻接关系同步链路状态数据库计算最短路径树路由属性通过、等属性影响路由选择→→AS_PATH LOCAL_PREF区域划分通过区域（）概念减少路由更新流量，提高可扩展性应用场景互联、多出口网络、数据中心互联Area ISP传输层协议与TCP UDP协议特性协议特性TCP UDP传输控制协议（）是一种面向连接的、可靠的传输层用户数据报协议（）是一种无连接的传输层协议，具TCP UDP协议，具有以下特点有以下特点面向连接通信前需建立连接，通信后需释放连接无连接发送数据前无需建立连接可靠传输通过确认机制、重传机制保证数据可靠到达不可靠传输无确认机制，不保证数据到达无流量控制发送方自主控制发送速率流量控制通过滑动窗口机制控制发送速率无拥塞控制不考虑网络状况拥塞控制根据网络状况动态调整发送速率报文独立每个报文独立传输，无序列关系全双工通信数据可同时双向传输开销小头部仅字节，远小于的字节8TCP20三次握手TCP四次挥手TCP客户端发送包（序号），进入状态

1.SYN=x SYN_SENT主动方发送包，进入状态

1.FIN FIN_WAIT_1服务器回应包（序号，确认号），

2.SYN+ACK=y=x+1被动方发送包，进入状态，主动

2.ACK CLOSE_WAIT进入状态SYN_RCVD方进入状态FIN_WAIT_2客户端发送包（确认号），双方进入

3.ACK=y+1被动方发送包，进入状态

3.FIN LAST_ACK状态ESTABLISHED主动方发送包，进入状态，等待

4.ACK TIME_WAIT后关闭连接2MSL可靠传输机制流量控制拥塞控制重传机制流量控制是防止发送方发送数据过拥塞控制是防止网络中注入过多数通过重传机制确保数据可靠到TCP快，超过接收方处理能力的机制据而导致网络性能下降的机制达，主要包括通过滑动窗口（通过以下算法实现拥塞控制TCP SlidingTCP超时重传发送数据后启动定时器，）实现流量控制Window超时未收到则重传ACK接收窗口（）接收方在慢启动（）连接初rwnd SlowStart重传超时时间（）基于RTO RTT头部中通告自己的缓冲区大小始阶段，拥塞窗口（）从TCP cwnd1（往返时间）计算，考虑网络波动开始，每收到一个就增加ACK1发送窗口调整发送方根据接收窗指数退避连续超时重传时，RTO口大小调整发送速率拥塞避免（Congestion呈指数增长，避免网络拥塞恶化）超过阈值后，零窗口处理当接收窗口为时，Avoidance cwnd0每个增加发送方停止发送数据，定期发送窗RTT1选择性确认（）允许接收SACK口探测包快速重传（）Fast Retransmit方确认不连续的数据块，提高重传收到个重复时立即重传，不3ACK效率等待超时快速恢复（）快Fast Recovery速重传后，减半而非重置为cwnd1应用层协议概览协议协议HTTP/HTTPS DNS超文本传输协议（）是的基础，用于浏览器与域名系统（）将域名转换为地址，是互联网的电话HTTP WebDNS IP服务器之间的通信簿请求方法、、、等域名层次结构根域顶级域（）二级域子HTTP GETPOST PUTDELETE→.com/.cn→→域状态码（成功）、（未找到）、HTTP200404500（服务器错误）等解析过程递归查询和迭代查询特性持久连接、管道化请求、缓存控制记录类型（地址）、（地址）、HTTP/

1.1A IPv4AAAA IPv6（别名）、（邮件服务器）等特性多路复用、服务器推送、头部压缩CNAME MXHTTP/2缓存机制通过（生存时间）控制缓存时间，提高查特性基于协议，改进传输性能TTLHTTP/3QUIC询效率是的安全版本，通过加密保护数据HTTPS HTTPSSL/TLS安全扩展提供身份验证和数据完整性保护传输，防止窃听和中间人攻击DNSSEC其他重要协议互联网运行依赖多种应用层协议，每种协议针对特定需求设计文件传输协议，用于文件上传下载FTP电子邮件传输和获取协议SMTP/POP3/IMAP动态主机配置协议，自动分配地址DHCP IP网络时间协议，同步网络设备时钟NTP简单网络管理协议，监控和管理网络设备SNMP会话发起协议，用于和视频会议SIP VoIP与技术P2P VoIP技术技术P2P VoIP点对点（）技术是一种分布式应用架构，每个网络语音（）技术通过网络传输语音通话，Peer-to-Peer Voiceover IPIP节点既是服务提供者也是服务消费者，没有中心服务器替代传统电话网络文件共享原理关键技术P2P VoIP分片下载大文件分成多个小块，可以从多个节点同时下载语音编解码如、、等，平衡质量与带宽G.711G.729Opus协议基于分享率的激励机制，鼓励用户上传信令协议（会话发起协议）、定义呼叫建立与管BitTorrentSIP H.323理网络分布式哈希表，用于去中心化资源定位实时传输协议，负责媒体流传输和质量监控DHT RTP/RTCP穿透通过等技术解决私网通信问题NAT STUN/TURN/ICE保障优先级标记、带宽预留，减少延迟和抖动QoS回声消除处理回音问题，提高通话质量应用领域P2P面临的挑战VoIP文件共享（、）•BitTorrent eMule流媒体直播（）网络延迟和抖动影响通话质量•P2P CDN•区块链和加密货币防火墙和造成连接困难••NAT分布式存储和计算安全问题（窃听、欺骗）••紧急呼叫定位•第二章小结1寻址与路由IP我们学习了地址体系、子网划分技术，以及静态路由和动态路由（、）IPv4/IPv6OSPF BGP的工作原理这些知识是网络规划和故障排除的基础2传输控制机制深入理解了与的特性区别、的三次握手和四次挥手过程，以及流量控制、拥塞控TCPUDPTCP制和重传机制如何保证数据可靠传输这些机制是网络性能优化的关键所在3应用层协议掌握了、等核心应用层协议的工作原理，了解了它们如何为上层应用提供HTTP/HTTPS DNS服务这些知识有助于理解网络应用的运行机制新兴传输技术学习了和等新兴网络技术的基本原理和应用场景，了解了它们如何改变传统的通信和P2P VoIP内容分发模式这些技术代表了网络应用的发展趋势第三章网络安全与管理（）3/8安全威胁分析全面了解当前网络安全威胁形势，掌握常见攻击类型及防护原则防御体系构建学习防火墙、入侵检测系统等安全设备的部署与配置，建立多层次防御加密与认证深入理解、加密算法及安全通信原理，保障数据传输安全VPN管理与监控掌握网络管理工具与监控系统的应用，实现网络状态可视化与异常预警本章将深入探讨网络安全与管理的核心技术，从安全威胁分析到防御体系构建，从加密通信到监控管理，全面提升网络安全防护能力在当今日益严峻的网络安全形势下，掌握这些知识和技能对于保障信息系统安全运行至关重要同时，通过学习网络管理工具和技术，能够提高网络运维效率，及时发现并解决潜在问题网络安全威胁现状网络攻击类型分析真实安全事件案例勒索软件事件WannaCry分布式拒绝服务攻击（）DDoS年月，勒索软件在全球范围内爆发，影响了多个国家的超过万台计算机系统20175WannaCry15020利用大量受控主机同时向目标发起请求，耗尽目标系统资源，导致服务中断攻击手段利用服务漏洞（）传播Windows SMBEternalBlue常见类型洪水、洪水、洪水、反射放大攻击SYN UDPHTTP影响范围医院、学校、企业等多个领域防护措施及时安装安全补丁、备份重要数据钓鱼攻击供应链攻击事件SolarWinds通过伪装成可信实体，诱骗用户提供敏感信息或执行危险操作年，攻击者通过入侵软件供应链，植入后门，影响了数千家机构2020SolarWinds常见形式钓鱼邮件、钓鱼网站、鱼叉式钓鱼（针对特定目标）攻击特点高度隐蔽，利用可信渠道影响范围政府机构、企业、关键基础设施启示第三方安全风险管理的重要性中间人攻击攻击者秘密中继或篡改通信双方的数据，而双方以为是直接通信实现方式欺骗、劫持、会话劫持ARP DNSSSL/TLS恶意软件设计用于未经授权访问或破坏系统的软件主要类型病毒、蠕虫、木马、勒索软件、后门程序当前网络安全威胁呈现出复杂化、持续化和产业化的特点根据中国国家计算机网络应急技术处理协调中心（）的报告，年仅在中国境内就发现超过万个恶意程序样本，检测到的攻击次数同比增长超过面对日益严峻的安全形势，组织需要建立全面的安全CNCERT2023100DDoS40%防御体系，包括技术防护、管理措施和安全意识培训等多个层面，形成纵深防御此外，安全事件响应能力也至关重要，能够在安全事件发生时迅速控制局面，最小化损失防火墙与入侵检测系统防火墙技术入侵检测与防御系统防火墙是网络安全的第一道防线，根据预设规则控制进出网络的流量系统负责监控网络流量，识别并响应潜在的恶意活动IDS/IPS防火墙类型检测方法包过滤防火墙基于地址、端口号等网络层信息过滤数据包特征匹配将流量与已知攻击特征比对IP状态检测防火墙跟踪连接状态，根据会话上下文做出决策异常检测建立正常行为基线，发现偏离行为应用层防火墙分析应用层协议内容，识别恶意行为协议分析验证流量是否符合协议规范下一代防火墙（）集成、应用控制、高级威胁防护等功能行为分析学习网络行为模式，识别可疑活动NGFW IPS部署模式部署类型边界防火墙部署在内网与外网边界，控制进出流量网络型（）监控整个网段流量NIDS/NIPS三明治部署在区两侧各部署一个防火墙，形成双重保护主机型（）监控单台主机的活动DMZ HIDS/HIPS内部分区防火墙在内网不同安全区域间部署，实现横向防护分布式多个传感器协同工作，覆盖大型网络防火墙和是网络安全防御体系的核心组件，两者结合使用可以提供更全面的保护防火墙侧重于访问控制，根据策略决定允许或阻止哪些流量；而则专注于威胁检测和响应，能够识别绕过防火墙的攻击在实际部署中，应根据网络规模、IDS/IPS IDS/IPS业务需求和安全等级选择合适的产品和部署方式，并定期更新规则库和策略，以应对不断演变的威胁现代安全产品还越来越多地融合人工智能技术，提高检测准确率并减少误报，同时通过自动化响应机制加快应对速度与加密技术VPN技术加密技术基础VPN虚拟专用网络（）在公共网络上建立加密通道，实现安全的加密是信息安全的核心技术，通过数学算法将明文转换为密文，VPN远程访问和站点连接保护数据机密性类型对称加密VPN远程访问连接个人用户与企业网络使用相同的密钥进行加密和解密，速度快但密钥分发困难VPN站点到站点连接两个或多个网络，如总部与分支机构VPN常用算法、、、AES DES3DES ChaCha20内网在企业内部网络中建立隔离的安全通道VPN优点计算效率高，适合大量数据加密协议缺点密钥管理复杂，难以安全分发VPN非对称加密工作在网络层，提供端到端加密，适合站点连接IPsec基于浏览器，便于远程访问，无需客户端SSL/TLS VPNWeb使用公钥和私钥对，解决了密钥分发问题常用算法、、开源方案，灵活可靠，支持多种认证方式RSA ECCDSAOpenVPN优点密钥管理便捷，支持数字签名新一代协议，简单高效，性能优越WireGuard VPN缺点计算复杂度高，速度较慢应用场景VPN混合加密远程办公安全接入•结合两种加密方式的优点，如协议分支机构互联TLS•云资源安全访问使用非对称加密交换会话密钥••保护公共上的通信使用对称加密保护数据传输•Wi-Fi•和加密技术是网络安全的重要基础，为数据传输和远程访问提供了可靠保护随着远程工作的普及和云计算的发展，的应用越VPN VPN来越广泛同时，加密技术也在不断演进，如基于格子密码学的后量子加密算法，旨在抵抗未来量子计算带来的安全威胁在实际应用中，需要根据安全需求、性能要求和兼容性考虑选择合适的加密算法和解决方案，并确保正确实现和配置，避免因实现缺陷导致安VPN全风险无线网络安全1WEP有线等效保密最早的Wi-Fi安全标准，已被证明存在严重安全漏洞•使用RC4流密码算法•密钥长度仅40位或104位•缺乏密钥管理机制•IV重用导致密钥可被破解安全评级极低，几分钟内可破解2WPA Wi-Fi保护访问为解决WEP问题的过渡方案•使用TKIP协议，仍基于RC4•引入消息完整性检查MIC•动态密钥分配•仍存在一些安全弱点安全评级中低，可能在几小时内破解3WPA2Wi-Fi保护访问2长期以来的主流无线安全标准•采用AES-CCMP加密•提供更强的密钥管理•支持企业级认证

802.1X/EAP•个人版本仍存在字典攻击风险安全评级较高，但存在KRACK攻击漏洞4WPA3Wi-Fi保护访问3最新的Wi-Fi安全标准，提供更高安全性•采用SAE同步身份验证替代PSK•增强的保护防止离线字典攻击•192位安全套件企业版•前向保密机制安全评级高，目前最安全的标准无线网络因其开放传输特性，面临比有线网络更多的安全挑战除了加密协议外，还需注意其他常见无线攻击及防护措施常见无线攻击恶意接入点攻击者设置钓鱼Wi-Fi，诱骗用户连接并截取信息中间人攻击在用户与合法AP之间插入恶意设备，监听或修改通信去认证攻击向客户端发送伪造的去认证帧，强制断开连接信号干扰通过高功率设备干扰正常Wi-Fi信号，导致拒绝服务网络管理与监控工具协议与网络管理常用网络监控工具SNMP简单网络管理协议（）是标准化的网络设备监控和管理协议，广泛应用于各类网络设备SNMP架构组件SNMPWireshark管理站运行管理应用程序的服务器NMS功能强大的网络协议分析器，可捕获和分析网络数据包，深入查看各层协议细节，是网络故障排查的必备工具代理运行在被管理设备上的软件Agent管理信息库定义可被查询和设置的变量MIB操作SNMPGet管理站向代理请求信息Nagios/Zabbix管理站修改代理上的值Set企业级网络监控系统，提供设备状态监控、性能数据收集、告警通知和报表生成等功能，适合大型网络环境代理主动向管理站发送通知Trap版本SNMP使用团体名认证，安全性低SNMPv1/v2c communityPrometheus/Grafana提供加密和认证机制，安全性高SNMPv3开源监控解决方案，负责时序数据收集和存储，提供可视化界面，广泛用于云原生环境监控Prometheus Grafana其他实用工具基本连通性测试和路径跟踪Ping/Traceroute网络扫描和安全评估工具Nmap流量监控和图形化展示MRTG/Cacti商业网络管理套件SolarWinds/PRTG有效的网络管理需要结合多种工具和技术，实现全面监控和快速响应在实践中，通常采用分层管理模型底层使用等协议收集基础数据，中层部署专业监控平台集中分析和展示，顶层实现自动化运维和智能预警随着网络规模扩大和复杂度提高，基于的网络管理工具也在兴起，SNMP AI能够自动识别异常模式、预测潜在故障并提供优化建议此外，随着理念的普及，网络监控也在向监控即代码方向发展，通过编程方式定义和管理监控配置，提高灵活性和可重复性DevOps第三章小结边界防护技术安全威胁认知学习了防火墙和入侵检测系统的工作原理、类型我们了解了当前网络安全面临的主要威胁，包括和部署方式，掌握了网络边界保护的核心技术，攻击、钓鱼、中间人攻击等，以及真实安DDoS理解了深度防御体系的构建方法全事件案例分析，认识到安全防护的紧迫性和重要性加密与安全通信深入理解了技术和加密算法基础，包括VPN对称加密、非对称加密的原理和应用，以及安全战略思考无线网络安全标准的演进和防护措施通过本章学习，认识到网络安全是一个持续过程，监控与管理需要技术、管理和人员三方面协同，形成全面的掌握了协议及网络管理基础，了解了多种安全防护战略，而非单纯依赖某一技术或产品SNMP网络监控工具的功能和应用场景，为构建高效的网络管理体系奠定基础第三章内容帮助我们建立了网络安全防护的整体框架，从威胁识别到防御部署，从安全通信到持续监控，形成了闭环的安全管理流程在实际工作中，应当遵循木桶原理，均衡提升各环节的安全能力，避免短板效应此外，随着网络技术的发展，安全威胁也在不断演变，需要持续学习和更新安全知识，保持警觉性，才能有效应对不断变化的安全挑战第四章实战应用与工具（）4/8版本控制掌握基础操作与工作流程，学习如何有效管理配置文件和代码变更Git网络配置实践路由器与交换机的基本配置，包括地址分配、设置与路由配置IP VLAN服务部署搭建常见网络服务，如、服务器等，理解服务配置与维护要点DNS Web实验案例通过综合项目实践，锻炼网络规划、故障排查与安全加固等实战能力本章将理论与实践相结合，通过具体操作和案例学习，帮助您将前几章学到的知识应用到实际工作中从基础的版本控制工具使用，到网络设备配置，再到服务器部署和综合项目实践，全面提升您的动手能力和问题解决能力这些实战技能是网络工程师日常工作的核心，也是理论知识转化为实际价值的关键环节与版本控制基础Git核心概念常用命令Git GitGit是目前最流行的分布式版本控制系统，广泛用于代码和配置文件管理#仓库初始化git init#创建新仓库git clone[url]工作区域#克隆远程仓库#基本操作git status#查看状态git add[file]#添加到暂存区git commit-m message#提交更改git log工作区Working Directory当前编辑的文件#查看提交历史#分支管理git branch#列出分支git branch暂存区Staging Area准备提交的文件[name]#创建分支git checkout[name]#切换分支git merge本地仓库Local Repository已提交的历史版本[branch]#合并分支#远程操作git remoteadd[name][url]#添加远程仓库git pull#拉取远程更新git push#远程仓库Remote Repository托管在服务器上的版本推送本地更改工作流程Git

1.在工作区修改文件

2.将修改添加到暂存区git add

3.将暂存区内容提交到本地仓库git commit

4.将本地仓库推送到远程git push与GitHub GiteeGitHub和Gitee是两个流行的Git远程仓库托管平台，提供代码存储、协作和项目管理功能特点GitHub•全球最大的代码托管平台，开源项目众多•提供ActionsCI/CD、Pages、Projects等丰富功能•社区活跃，适合开源协作特点Gitee•国内领先的代码托管平台，访问速度快•提供Pages、Jenkins集成等功能•支持中文界面，适合国内团队使用在网络管理中的应用GitGit不仅适用于软件开发，在网络管理中也有广泛应用网络配置管理将路由器、交换机配置文件纳入版本控制自动化脚本管理管理网络自动化脚本的变更文档版本控制维护网络架构图、操作手册等文档网络配置实操12设备基础配置交换机配置Cisco VLANCisco是全球领先的网络设备厂商，其设备配置是网络工程师的基本技能VLAN是局域网分段的重要技术，能够提高网络安全性和性能//进入特权模式Router enableRouter#//进入全局配置模式Router#configure terminalRouterconfig#//配置主机名Routerconfig#//创建VLANSwitchconfig#vlan10Switchconfig-vlan#name FinanceSwitchconfig-vlan#exit//配置接口VLANSwitchconfig#hostname R1R1config#//配置接口IP地址R1config#interface GigabitEthernet0/0R1config-if#ip address

192.

168.

1.1interface rangefa0/1-5Switchconfig-if-range#switchport modeaccessSwitchconfig-if-range#switchport accessvlan

255.

255.

255.0R1config-if#no shutdownR1config-if#exit//配置静态路由R1config#ip route

192.

168.

2.

0255.

255.

255.010Switchconfig-if-range#exit//配置中继端口Switchconfig#interface gi0/1Switchconfig-if#switchport mode

192.

168.

1.2//保存配置R1#write memorytrunkSwitchconfig-if#switchport trunkallowed vlan10,20,30Switchconfig-if#exit34地址规划实践路由协议配置IP合理的IP地址规划是网络设计的关键环节，影响网络可扩展性和管理便捷性动态路由协议能自动适应网络变化，适用于复杂网络环境地址规划步骤配置示例IP OSPF

1.确定网络需求（设备数量、安全区域等）//启用OSPF进程R1config#router ospf1//指定要通告的网络R1config-router#network

192.

168.

1.

00.

0.

0.255area0R1config-

2.选择合适的私有地址空间（如

10.

0.

0.0/8）router#network

10.

1.

1.

00.

0.

0.255area0//配置路由器IDR1config-router#router-id

1.

1.

1.1//配置接口成本R1config#

3.按功能划分子网（办公、服务器、管理等）interface gi0/0R1config-if#ip ospfcost

104.预留未来扩展空间

5.记录和维护IP地址分配文档子网划分示例•办公网络

10.

1.

0.0/24-

10.

1.

255.0/24网络服务部署服务器搭建服务器基础DNS Web域名系统DNS是互联网的基础服务，负责域名解析和服务发现Web服务器是提供网站内容的核心组件，常用的有Nginx和Apache安装与配置安装与配置BIND NginxBINDBerkeleyInternet NameDomain是最常用的DNS服务器软件Nginx以高性能、低资源消耗和高并发能力著称#安装BINDyum installbind bind-utils#CentOS/RHELapt installbind9bind9-utils#Debian/Ubuntu#主配置文件#安装Nginxyum installnginx#CentOS/RHELapt installnginx#Debian/Ubuntu#基本配置/etc/nginx/nginx.confhttp{server/etc/named.confoptions{directory/var/named;allow-query{any;};recursion yes;};#创建区域文件zone{listen80;server_name example.com www.example.com;location/{root/var/www/html;example.com IN{type master;file example.com.zone;};#区域文件/var/named/example.com.zone$TTL86400@IN indexindex.html;}#配置HTTPS listen443ssl;ssl_certificate/etc/nginx/ssl/cert.pem;SOA ns

1.example.com.admin.example.com.2023010101;Serial3600;ssl_certificate_key/etc/nginx/ssl/key.pem;#反向代理配置location/api/{proxy_passRefresh1800;Retry604800;Expire http://backend_server;proxy_set_header Host$host;}}}86400;Minimum TTL@IN NSns

1.example.com.@IN A

192.

168.

1.10www INA

192.

168.

1.20mail INA

192.

168.

1.30邮件服务器基础服务器配置DHCP邮件系统通常由MTA邮件传输代理、MDA邮件投递代理和MUA邮件用户代理组成动态主机配置协议DHCP实现IP地址自动分配，简化网络管理Postfix流行的MTA，负责邮件发送和接收基本配置地址池范围、默认网关、DNS服务器Dovecot提供IMAP/POP3服务，管理邮箱访问高级功能固定IP分配、选项配置、多子网支持SpamAssassin垃圾邮件过滤实现软件ISC DHCPServer、Microsoft DHCP、路由器内置DHCP主要协议SMTP发送、IMAP/POP3接收、DKIM/SPF认证实验与项目案例网络拓扑设计实验网络故障排查实验安全攻防演练该实验模拟企业网络规划与设计流程，该实验模拟真实网络环境中的常见故障，该实验通过模拟安全攻击场景，提高学包括需求分析、拓扑设计、地址规划训练学员的问题分析和解决能力员的安全意识和防护能力IP和服务部署故障类型实验环境实验内容连接故障物理连接问题、配置错误、搭建包含漏洞的测试网络，包括服IP Web根据业务需求设计三层网络架构配置不当务器、数据库服务器和各类网络设备

1.VLAN（核心层、汇聚层、接入层）路由故障路由表不正确、路由协议配演练内容规划和子网划分，实现网络置错误

2.VLAN信息收集端口扫描、服务识别、操作隔离服务故障解析失败、服务DNS DHCP系统指纹配置路由协议，实现不同网段互通异常

3.漏洞发现服务漏洞、配置错误、弱密部署、等基础服务性能问题网络拥塞、带宽瓶颈、

4.DHCP DNSMTU码不匹配实施安全策略，如和防火墙规

5.ACL攻击演示常见攻击、权限提升、Web则排查工具网络渗透学习目标、、等防护措施漏洞修复、配置加固、入侵•ping traceroutenslookup基本命令检测掌握网络架构设计思想和方法•分析数据包安全建议理解网络分层的意义和实现方式•Wireshark•设备日志和监控数据提高综合规划和配置能力•SNMP•定期进行安全评估和漏洞扫描•实施纵深防御策略•保持系统和应用程序更新•实验和项目案例是理论与实践相结合的重要环节，通过动手操作加深对网络技术的理解在实验过程中，应注重培养系统性思维和问题解决能力，不仅要知道怎么做，更要理解为什么这样做优秀的网络工程师除了掌握技术细节，还需具备良好的文档习惯、沟通能力和持续学习精神建议学员在完成基础实验后，尝试设计和实施更复杂的项目，如搭建企业网络环境、构建云网络架构等，进一步提升综合能力课程总结与展望专家1实践应用2核心协议3安全与管理4网络基础知识5通过本课程的学习，我们系统地掌握了计算机网络的基础架构、核心协议、安全防护和实战应用，建立了完整的网络技术知识体系从网络拓扑结构、模型开始，到寻址、路由协议，再到安全防护、服务部署，循序渐进地理解了现代网络技术的精髓OSI IP课程要点回顾网络技术发展趋势网络基础理解了网络的定义、分类和拓扑结构，掌握了与模型的基本概念OSI TCP/IP与网络虚拟化SDN核心协议深入学习了、等核心协议的工作原理，以及路由、传输机制的关键技术IP TCP/UDP网络安全了解了常见网络威胁和防护手段，掌握了防火墙、加密等安全技术软件定义网络将控制平面与数据平面分离，提供更灵活的网络管理方式实战应用通过实验和项目案例，将理论知识转化为实际操作能力与边缘计算5G高速移动网络与分布式计算结合，推动物联网和智能应用发展零信任安全从内部可信外部不可信转向默认不信任的安全模型网络自动化通过编程和自动化工具提高网络配置和管理效率网络技术的演进永不停止，作为网络专业人员，需要保持持续学习的态度建议关注行业动态，参与技术社区，阅读专业书籍和文档，参加认证考试，通过实践项目积累经验记住，扎实的基础知识和实践能力是应对技术变革的最佳准备希望本课程为您的网络技术之旅奠定了坚实基础，期待您在这个充满挑战和机遇的领域取得更大的成就！。