hybrid端口技术
实验七、交换机端口hybrid属性配置
1交换机端口链路类型介绍
交换机以太网端口共有三种链路类型:Access、Trunk和Hybrid。
●Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;
●Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用
于交换机之间连接的端口;
●Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用
于交换机之间连接,也可以用于连接用户的计算机。
其中,Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多个VLAN的报文发送时打标签;不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。
三种类型的端口可以共存在一台以太网交换机上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。
2各类型端口使用注意事项
配置Trunk端口或Hybrid端口,并利用Trunk端口或Hybrid端口发送多个VLAN报文时一定要注意:本端端口和对端端口的缺省VLAN ID(端口的PVID)要保持一致。
当在交换机上使用isolate-user-vlan来进行二层端口隔离时,参与此配置的端口的链路类型会自动变成Hybrid类型。
Hybrid端口的应用比较灵活,主要为满足一些特殊应用需求。此类需求多为在无法下发访问控制规则的交换机上,利用Hybrid端口收发报文时的处理机制,来完成对同一网段的PC机之间的二层访问控制。
3各类型端口在接收和发送报文时的处理
1)端口接收报文时的处理:
2)端口发送报文时的处理:
Tag通常是对进入端口的报文打上标签,untagged则是对出端口的报文去除标签。
简记:Access端口只连接到计算机,此种类型的端口只能和相同vlan-id主机通信;连接到计算机,从计算机接收报文时打上标记,发送到计算机剥离标记;
Trunk端口常用于交换机之间的连接,可以接收和发送多个vlan-id标记的报文,即多种标签报文混合在trunk管道上混跑,只有允许的才可以发送和接收。发送和接收都携带报文标签。可设置一个PVID标签,与此PVID相同的VLAN-ID数据,接收加上PVID,发送剥离此PVID.
Hybrid端口可连接计算机,也可以连接在交换机之间。Hybrid端口连接到计算机时,都要在hybrid命令后加上untagged,因为计算机的网卡是不能接收带标签报文的。虽然hybrid端口在声明时,只声明其属于某一个vlan,但如果在hybrid命令[SwitchA-Ethernet0/1]port hybrid vlan 20 30 100 untagged 命令后加上多个vlan-id,则表明该vlan可以和多个vlan-id的主机通信。这是和access端口不相同的地方。这个有点类似于把一个主机划分到多个vlan中,或者更准确地讲,一个vlan内主机可以和多个vlan通信。当Hybrid端口用于连接在交换机之间时,则与trunk端口一样使用。
1功能需求及组网说明
交换机Hybrid端口隔离配置图1
『配置环境参数』
1.PC1、PC2和PC3分别连接到二层交换机SwitchA的端口E0/1 、E0/2和
E0/3,端口分属于VLAN10、20和30,服务器连接到端口G2/1,属于VLAN100。
2.PC1的IP地址为10.1.1.1/24,PC2的IP地址为10.1.1.2/24,PC3的
IP地址为10.1.1.3/24,服务器的IP地址为10.1.1.254/24。
『组网需求』
1.PC1和PC2之间可以互访;
2.PC1和PC3之间可以互访;
3.PC1、PC2和PC3都可以访问服务器;
4.其余的PC间访问均禁止。
『交换机Hybrid端口配置流程』
利用Hybrid端口的特性――一个端口可以属于多个不同的VLAN,来完成分属
不同VLAN内的同网段PC机的访问需求。
『图1配置过程』
【SwitchA相关配置】
1.创建(进入)VLAN10,将E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1 /*E0/1加到了VLAN10中*/
2.创建(进入)VLAN20,将E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.创建(进入)VLAN30,将E0/3加入到VLAN30
[SwitchA]vlan 30
[SwitchA-vlan30]port Ethernet 0/3
4.创建(进入)VLAN100,将G2/1加入到VLAN100
[SwitchA]vlan 100
[SwitchA-vlan100]port GigabitEthernet 2/1
5.配置端口E0/1为Hybrid端口,能够接收VLAN20、30和100发过来的报文
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]port link-type hybrid
/*前面E0/1加到了VLAN10中,这里又将其端口类型设置为hybrid*/ [SwitchA-Ethernet0/1]port hybrid vlan 20 30 100 untagged /*这里对vlan 10没有作操作指示,10实际上是该hybrid端口的PVID*/
6.配置端口E0/2为Hybrid端口,能够接收VLAN10和100发过来的报文
[SwitchA]interface Ethernet 0/2
[SwitchA-Ethernet0/2]port link-type hybrid
[SwitchA-Ethernet0/2]port hybrid vlan 10 100 untagged
7.配置端口E0/3为Hybrid端口,能够接收VLAN10和100发过来的报文
[SwitchA]interface Ethernet 0/3
[SwitchA-Ethernet0/3]port link-type hybrid
[SwitchA-Ethernet0/3]port hybrid vlan 10 100 untagged
8.配置端口G2/1为Hybrid端口,能够接收VLAN10、20和30发过来的报文
[SwitchA]interface GigabitEthernet 2/1
[SwitchA-GigabitEthernet2/1]port link-type hybrid
[SwitchA-GigabitEthernet2/1]port hybrid vlan 10 20 30 untagged 【补充说明】
对于Hybrid端口来说,可以同时属于多个VLAN。这些VLAN分别是该Hybrid
端口的PVID,以及手工配置的”untagged”及”tagged”方式的VLAN。一定要
注意对应端口的VLAN配置,保证报文能够被端口进行正常的收发处理。
此应用在二层网络中,对相同网段的主机进行访问权限的控制。
2功能需求及组网说明
交换机Hybrid端口隔离配置图2
『配置环境参数』
1.PC1、PC2和PC3分别连接到二层交换机SwitchA的端口E0/1 、E0/2和
E0/3,端口分属于VLAN10、20和30;PC4和PC5分别连接到二层交换机
SwitchB的端口E0/1和E0/2,端口分属于VLAN10和20;
2.SwitchA通过端口G2/1,连接到SwitchB的端口G1/1;SwitchA的端口G2/1
和SwitchB的端口G1/1均不是Trunk端口;
3.PC1的IP地址为10.1.1.1/24,PC2的IP地址为10.1.1.2/24,PC3的
IP地址为10.1.1.3/24,PC4的IP地址为10.1.1.4/24,PC5的IP地址为
10.1.1.5/24。
『组网需求』
1.PC1和PC3之间可以互访;
2.PC2和PC3之间可以互访;
3.PC1和PC4之间可以互访;
4.PC2和PC5之间可以互访;
5.其余PC之间均禁止互相访问。
『图2配置过程』
【SwitchA相关配置】
1.创建(进入)VLAN10,将E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.创建(进入)VLAN20,将E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.创建(进入)VLAN30,将E0/3加入到VLAN30
[SwitchA]vlan 30
[SwitchA-vlan30]port Ethernet 0/3
4.配置端口E0/1为Hybrid端口,能够接收VLAN30发过来的报文
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]port link-type hybrid
[SwitchA-Ethernet0/1]port hybrid vlan 30 untagged
5.配置端口E0/2为Hybrid端口,能够接收VLAN30发过来的报文
[SwitchA]interface Ethernet 0/2
[SwitchA-Ethernet0/2]port link-type hybrid
[SwitchA-Ethernet0/2]port hybrid vlan 30 untagged
6.配置端口E0/3为Hybrid端口,能够接收VLAN10和20发过来的报文
[SwitchA]interface Ethernet 0/3
[SwitchA-Ethernet0/3]port link-type hybrid
[SwitchA-Ethernet0/3]port hybrid vlan 10 20 untagged
7.配置端口G2/1为Hybrid端口,能够接收并透传VLAN10和20发过来的报文
[SwitchA]interface GigabitEthernet 2/1
[SwitchA-GigabitEthernet2/1]port link-type hybrid
[SwitchA-GigabitEthernet2/1]port hybrid vlan 10 20 tagged
/* G2/1设置为Hybrid端口,且其功能等效于Trunk,可以不把它加入到某个VLAN 中,同时要带标签传输不同vlan标签的报文*/
【SwitchB相关配置】
1.创建(进入)VLAN10,将E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.创建(进入)VLAN20,将E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.配置端口G1/1为Hybrid端口,能够接收并透传VLAN10和20发过来的报文
[SwitchA]interface GigabitEthernet 2/1
[SwitchA-GigabitEthernet2/1]port link-type hybrid
[SwitchA-GigabitEthernet2/1]port hybrid vlan 10 20 tagged 3功能需求及组网说明
端口hybrid属性的配置
『配置环境参数』
1.交换机E0/1和E0/2属于vlan10
2.交换机E0/3属于vlan20
3.交换机E0/4和E0/5属于vlan30
4.交换机E0/23连接Server1
5.交换机E0/24连接Server2
6.Server1和Server2分属于vlan40和vlan50
7.PC和Server都在同一网段
8.E0/10连接BAS设备,属于vlan60
『组网需求』
1.利用二层交换机端口的hybrid属性灵活实现vlan之间的灵活互访;
2.Vlan10、vlan20和vlan30的PC均可以访问Server 1;
3.vlan 10、20以及vlan30的4端口的PC可以访问Server 2;
4.vlan 10中的2端口的PC可以访问vlan 30的PC;
5.vlan 20的PC可以访问vlan 30的5端口的PC;
6.vlan10的PC访问外网需要将vlan信息送到BAS,而vlan20和vlan30则
不需要。
『端口hybrid属性配置流程』
hybrid属性是一种混杂模式,实现了在一个untagged端口允许报文以
tagged形式送出交换机。同时可以利用hybrid属性定义分属于不同的vlan
的端口之间的互访,这是access和trunk端口所不能实现的。在一台交换机
上不允许trunk端口和hybrid端口同时存在。
1.先创建业务需要的vlan
[SwitchA]vlan 10
[SwitchA]vlan 20
[SwitchA]vlan 30
[SwitchA]vlan 40
[SwitchA]vlan 50
2.每个端口,都配置为 hybrid状态
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]port link-type hybrid
3.设置端口的pvid等于该端口所属的vlan
[Switch-Ethernet0/1]port hybrid pvid vlan 10
4.将希望可以互通的端口的pvid vlan,设置为untagged vlan,这样
从该端口发出的广播帧就可以到达本端口
[Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged
实际上,这种配置是通过 hybrid 端口的 pvid 来唯一的表示一个端口,接收
端口通过是否将 vlan 设置为 untagged vlan,来控制是否与 pvid vlan
为该 vlan 的端口互通。
5.以下各端口类似:
[Switch-Ethernet0/1]int e0/2
[Switch-Ethernet0/2]port link-type hybrid
[Switch-Ethernet0/2]port hybrid pvid vlan 10
[Switch-Ethernet0/2]port hybrid vlan 10 30 40 50 60 untagged
[Switch-Ethernet0/2]int e0/3
[Switch-Ethernet0/3]port link-type hybrid
[Switch-Ethernet0/3]port hybrid pvid vlan 20
[Switch-Ethernet0/3]port hybrid vlan 20 30 40 50 60 untagged
[Switch-Ethernet0/3]int e0/4
[Switch-Ethernet0/4]port link-type hybrid
[Switch-Ethernet0/4]port hybrid pvid vlan 30
[Switch-Ethernet0/4]port hybrid vlan 10 30 40 50 60 untagged
[Switch-Ethernet0/4]int e0/5
[Switch-Ethernet0/5]port link-type hybrid
[Switch-Ethernet0/5]port hybrid pvid vlan 30
[Switch-Ethernet0/5]port hybrid vlan 10 20 30 40 60 untagged
[Switch-Ethernet0/5]int e0/23
[Switch-Ethernet0/23]port link-type hybrid
[Switch-Ethernet0/23]port hybrid pvid vlan 40
[Switch-Ethernet0/23]port hybrid vlan 10 20 30 40 untagged
[Switch-Ethernet0/24]int e0/24
[Switch-Ethernet0/24]port link-type hybrid
[Switch-Ethernet0/24]port hybrid pvid vlan 50
[Switch-Ethernet0/24]port hybrid vlan 10 20 30 50 untagged
6.在上行口E0/10上允许vlan10以tagged形式送出,其它为untagged
[SwitchA]interface Ethernet 0/10
[SwitchA-Ethernet0/10]port link-type hybrid
[SwitchA-Ethernet0/10]port hybrid pvid vlan 60
[SwitchA-Ethernet0/10]port hybrid vlan 10 tagged
[SwitchA-Ethernet0/10]port hybrid vlan 20 30 untagged
本例中需求比较复杂,一般人员很难做到一次性在一个端口上指定哪些vlan允
许通过,可以根据需求逐条配置,交换机支持在端口上多次设置。
3测试验证
各台PC可以根据要求进行互访或者操作
浅析hybrid端口的收发报文模式
以太网端口有 3种链路类型:access、trunk、hybrid Access类型端口只能属于1个VLAN用于连接计算机端口; Trunk类型端口可以允许多个VLAN通过可以接收和发送多个VLAN报文般用于交换机的间连接端口; Hybrid类型端口可以允许多个VLAN通过可以接收和发送多个VLAN报文可以用于交换机的间连接也可以用于连接用户计算机 Hybrid端口和Trunk端口在接收数据时处理思路方法是样唯区别的处在于发送数据 时:Hybrid端口可以允许多个VLAN报文发送时不打标签而Trunk端口只允许缺省VLAN报文发送时不打标签 缺省VLAN: Access端口只属于1个VLAN所以它缺省VLAN就是它所在VLAN不用设置;Hybrid端口和Trunk端口属于多个VLAN所以需要设置缺省VLAN ID.缺省情况下Hybrid端口和Trunk端口缺省VLAN为VLAN 1; 如果设置了端口缺省VLAN ID当端口接收到不带VLAN Tag报文后则将报文转发到属于缺省VLAN端口;当端口发送带有VLAN Tag报文时如果该报文VLAN ID和端口缺省VLAN ID相同则系统将去掉报文VLAN Tag然后再发送该报文 注:对于华为交换机缺省VLAN被称为“Pvid Vlan”对于思科交换机缺省VLAN被称为“Native Vlan” 交换机接口出入数据处理过程: Acess端口收报文:收到个报文判断是否有VLAN信息:如果没有则打上端口PVID并进行交换转发如果有则直接丢弃(缺省) Acess端口发报文: 将报文VLAN信息剥离直接发送出去 trunk端口收报文: 收到个报文判断是否有VLAN信息:如果没有则打上端口PVID并进行交换转发如果有判断该trunk端口是否允许该VLAN数据进入:如果可以则转发否则丢弃 trunk端口发报文: 比较端口PVID和将要发送报文VLAN信息如果两者相等则剥离VLAN信息再发送如果不相
2013年专业技术人员考试——信息安全技术(单选,多选,判断)
专业技术人员考试——信息安全技术(单选) ____是在蜜罐技术上逐步发展起来的一个新的概念,在其中可以部署一个或者多个蜜罐,来构成一个黑客诱捕网络体系架构。A 蜜网 Backup 命令的功能是用于完成UNIX /Linux 文件的备份,下面说法不正确的是____。D Backup —d 命令当备份设备为磁带时使用此选项 FTP(文件传输协议,File Transfer Protocol ,简称FFP)服务、SMTP(简单邮件传输协议,Simple Mail Transfer Protocol ,简称SMTP)服务、HTTP(超文本传输协议,Hyper Text Transport Protocol ,简称HTTP)、HTTPS(加密并通过安全端口传输的另一种HTTP)服务分别对应的端口是____。B 21 25 80 443 iptables 中默认的表名是____。A filter UNIX /Linux 操作系统的文件系统是____结构。B 树型 UNIX /Linux 系统中,下列命令可以将普通帐号变为root 帐号的是____。D /bin /su 命令 UNIX 工具(实用程序,utilities)在新建文件的时候,通常使用____作为缺省许可位,而在新建程序的时候,通常使用____作为缺省许可位。B 666 777 Windows 系统安装完后,默认隋况下系统将产生两个帐号,分别是管理员帐号和____。C 来宾帐号 Windows 系统的用户帐号有两种基本类型,分别是全局帐号和____。A 本地帐号 Window 系统中对所有事件进行审核是不现实的,下面不建议审核的事件是____。C 用户打开关闭应用程序 包过滤防火墙工作在OSI 网络参考模型的____。C 网络层 保障UNIX /Linux 系统帐号安全最为关键的措施是____。A 文件/etc /passwd 和/etc /group 必须有写保护 不能防止计算机感染病毒的措施是_____。A 定时备份重要文件 不需要经常维护的垃圾邮件过滤技术是____。B 简单DNS 测试 布置电子信息系统信号线缆的路由走向时,以下做法错误的是____。A 可以随意弯折 采用“进程注入”可以____。C 以其他程序的名义连接网络 从系统结构上来看,入侵检测系统可以不包括____。C 审计 代表了当灾难发生后,数据的恢复程度的指标是____。A RPO 代表了当灾难发生后,数据的恢复时间的指标是____。B RTO 当您收到您认识的人发来的电子邮件并发现其中有意外附件,您应该____。C 用防病毒软件扫描以后再打开附件 对电磁兼容性(Electromagnetic Compatibility ,简称EMC)标准的描述正确的是____。C 各个国家不相同 防火墙是____在网络环境中的应用。B 访问控制技术 防火墙提供的接入模式不包括____。D 旁路接入模式 符合复杂性要求的WindowsXP 帐号密码的最短长度为____。B 6 关于NA T 说法错误的是____。D 动态NAT 又叫做网络地址端口转换NAPT 关于包过滤防火墙说法错误的是____。C 包过滤防火墙可以有效防止利用应用程序漏洞进行的攻击 关于网闸的工作原理,下面说法错误的是____. C 网闸工作在OSI 模型的二层以上 关于应用代理网关防火墙说法正确的是____。B 一种服务需要一种代理模块,扩展服务较难 关于用户角色,下面说法正确的是____。B 角色与身份认证无关 会让一个用户的“删除”操作去警告其他许多用户的垃圾邮件过滤技术是____。D 分布式适应性黑名单 基于网络的入侵检测系统的信息源是____。D 网络中的数据包 计算机网络组织结构中有两种基本结构,分别是域和____。B 工作组 美国国防部发布的可信计算机系统评估标准(TCSEC)定义了____个等级。C 七 某病毒利用RPCDCOM 缓冲区溢出漏洞进行传播,病毒运行后,在%System %文件夹下生成自身的拷贝nvchip4.exe ,添加注册表项,使得自身能够在系统启动时自动运行。通过以上描述可以判断这种病毒的类型为____。C 网络蠕虫病毒 某公司的工作时间是上午8点半至12点,下午1点555点半,每次系统备份需要一个半小时,下列适合作为系统数据备份的时间是____。D 凌晨l 点 目前对于大量数据存储来说,容量大、成本低、技术成熟、广泛使用的介质是____。B 磁带 内容过滤技术的含义不包括____。D 过滤用户的输入从而阻止用户传播非法内容 企业在选择防病毒产品时不应该考虑的指标为____。D 产品能够防止企业机密信息通过邮件被传出 容灾的目的和实质是____。C 保持信息系统的业务持续性 A B C D H G F J M N Q R
端口扫描实验报告
综合实验报告 ( 2010 -- 2011 年度第二学期) 名称:网络综合实验 题目:端口扫描程序 院系:信息工程系 班级: 学号: 学生姓名: 指导教师:鲁斌李莉王晓霞张铭泉设计周数: 2 周 成绩: 日期:2011年7月1日
一、综合实验的目的与要求 1.任务:设计并实现一个端口扫描程序,检测某个IP或某段IP的计算机的端口工作情况。 2.目的:加深对课堂讲授知识的理解,熟练掌握基本的网络编程技术和方法,建立网络编程整体概念,使得学生初步具有研究、设计、编制和调试网络程序的能力。 3.要求:熟悉有关定义、概念和实现算法,设计出程序流程框图和数据结构,编写出完整的源程序,基本功能完善,方便易用,操作无误。 4.学生要求人数:1人。 二、综合实验正文 1.端口扫描器功能简介:服务器上所开放的端口就是潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息,进行端口扫描的方法很多,可以是手工进行扫描、也可以用端口扫描软件进行。扫描器通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答,通过这种方法可以搜集到很多关于目标主机的各种有用的信息,例如远程系统是否支持匿名登陆、是否存在可写的FTP目录、是否开放TELNET 服务和HTTPD服务等。 2.实验所用的端口扫描技术:端口扫描技术有TCP connect()扫描、TCP SYN扫描、TCP FIN 扫描、IP段扫描等等。本次实验所用的技术是TCP connect()扫描,这是最基本的TCP 扫描,操作系统提供的connect()系统调用可以用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。这个技术的一个最大的优点是,你不需要任何权限。系统中的任何用户都有权利使用这个调用。 3.实验具体实现方案:编写一个端口扫描程序,能够显示某个IP或某段IP的计算机的某一个或某些端口是否正在工作。基本工作过程如下: (1) 设定好一定的端口扫描范围; (2) 设定每个端口扫描的次数,因为有可能有的端口一次扫描可能不通; (3) 创建socket,通过socket的connect方法来连接远程IP地址以及对应的端口; (4) 如果返回false,表示端口没有开放,否则端口开放。 4.有关TCP/IP的知识: 4.1套接字概念 1)在网络中要全局地标识一个参与通信的进程,需要采用三元组:协议、主机IP地址、端口号。
端口扫描与检测技术的实现论文
端口扫描与检测技术的实现 摘要 随着Internet日益广泛的应用,黑客攻击行为也是有增无减。如何有效地抵御这种攻击行为,一直是信息安全领域的焦点。 而其中,端口扫描技术吸引了越来越多人的关注。端口扫描是黑客搜集目标主机信息的一种常用方法。为了有效地对付网络入侵行为,对端口扫描进行研究是非常有益和必要的。攻击者在攻击一个目标时,首先要获取目标的一些基本信息,端口扫描就是其中最简单最重要的方法之一,它可以扫描目标机器中开放的端口,从而确定目标机器中提供的服务,为下一步攻击做准备。针对端口扫描技术,相应的端口扫描检测技术显的越发重要,作为网络安全技术中的一个重要课题,端口扫描检测技术意义重大。 本文首先阐述了端口扫描技术以及端口扫描检测技术的基本原理和常用方法,然后在此基础上设计了一个对基于网络的端口进行扫描,能判断出目标主机端口开放情况的程序以及一个从网络信息的数据包的捕获和分析着手,再通过统计判断是否存在端口扫描行为的程序,最后从攻击和防御的角度对端口扫描和检测技术作了演示及分析。 关键词:端口;端口扫描;数据包捕获;端口检测
The Realization of Port Scanning and Detecting Technology Abstract As the widely applying of Internet, the attacking behavior made by hacker is increasing but not decreasing. How to resist this kind of attacking behavior is always the key point of the domain of the information security. And the port scanning draws people's attention more and more. Port scanning is a usual method which is used by the hacker to collect the information of the target main processor. In order to deal with the invading behavior of the Internet effectively, it is very useful and necessary to work on the port scanning. When an attacker attacks to a target, he or she will firstly gets some basic information about the target, and the port scanning is one of the most simple and important methods which can scan the opening Port of the target machine to make sure the offering service made by the target machine, and it is a preparation to the next attacking. The port detecting seems more and more important referring to the port scanning. As an important task of the secure technique of Internet, the port detecting is of great significance. In this thesis, it firstly elaborates the basic principles and usual methods of the port scanning. On this basis, it then designs a program which can scan the Port of the Internet, and assess the opening situation of the target main processor, and the other program which begins on capturing and analyzing the information packet of Internet, and then assess whether there is a behavior about port scanning through statistic analyses. Lastly, it demonstrates and analyses the technology of port scanning and port detecting from the viewpoint of attacking and resisting. Key Words:port; port scanning; packet capture; port detecting
网络安全期末复习题及答案解析
网络安全期末复习题及答案 一、选择题: 1.计算机网络安全的目标不包括( A) A.可移植性 B.保密性 C.可控性 D.可用性 2.SNMP的中文含义为( B) A.公用管理信息协议 B.简单网络管理协议 C.分布式安全管理协议 D.简单邮件传输协议 3.端口扫描技术( D) A.只能作为攻击工具 B.只能作为防御工具 C.只能作为检查系统漏洞的工具 D.既可以作为攻击工具,也可以作为防御工具 4.在以下人为的恶意攻击行为中,属于主动攻击的是( A) A、身份假冒 B、数据解密 C、数据流分析 D、非法访问 5.黑客利用IP地址进行攻击的方法有:( A) A. IP欺骗 B. 解密 C. 窃取口令 D. 发送病毒 6.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常 服务,这属于什么攻击类型( A) A、拒绝服务 B、文件共享 C、BIND漏洞 D、远程过程调用 7.向有限的空间输入超长的字符串是哪一种攻击手段( A) A、缓冲区溢出 B、网络监听 C、拒绝服务 D、IP欺骗 8.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击 手段( B) A、缓存溢出攻击 B、钓鱼攻击 C、暗门攻击 D、DDOS攻击 9.Windows NT 和Windows 2000系统能设置为在几次无效登录后锁定帐号,这可以防 止:( B ) A、木马 B、暴力攻击 C、IP欺骗 D、缓存溢出攻击 10.当你感觉到你的Win2003运行速度明显减慢,当你打开任务管理器后发现CPU的使 用率达到了百分之百,你最有可能认为你受到了哪一种攻击。( B) A、特洛伊木马 B、拒绝服务 C、欺骗 D、中间人攻击 11.假如你向一台远程主机发送特定的数据包,却不想远程主机响应你的数据包。这时 你使用哪一种类型的进攻手段( B ) A、缓冲区溢出 B、地址欺骗 C、拒绝服务 D、暴力攻击 12.小李在使用super scan对目标网络进行扫描时发现,某一个主机开放了25和110端 口,此主机最有可能是什么( B) A、文件服务器 B、邮件服务器 C、WEB服务器 D、DNS服务器 13.你想发现到达目标网络需要经过哪些路由器,你应该使用什么命令( C) A、ping B、nslookup C、tracert D、ipconfig 14.黑客要想控制某些用户,需要把木马程序安装到用户的机器中,实际上安装的是 ( B) A.木马的控制端程序B.木马的服务器端程序 C.不用安装D.控制端、服务端程序都必需安装 15.为了保证口令的安全,哪项做法是不正确的( C ) A 用户口令长度不少于6个字符 B 口令字符最好是数字、字母和其他字符的混
交换机三种端口模式Access Hybrid和Trunk的理解
交换机三种端口模式Access Hybrid和Trunk的理解 TRUNK是端口汇聚的意思,允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量,大幅度提供整个网络能力。VLAN TRUNK一般是你设置了多个VLAN后,想通过一个端口传输多个VLAN,这个后需要把该端口设置为TRUNK了。 在技术领域中把TRUNK翻译为中文是“主干、干线、中继线、长途线” ,不过一般不翻译,直接用原文。而且这个词在不同场合也有不同的解释: 1、在网络的分层结构和宽带的合理分配方面,TRUNK被解释为“端口汇聚”,是带宽扩展和链路备份的一个重要途径。TRUNK把多个物理端口捆绑在一起当作一个逻辑端口使用,可以把多组端口的宽带叠加起来使用。TRUNK技术可以实现TRUNK内部多条链路互为备份的功能,即当一条链路出现故障时,不影响其他链路的工作,同时多链路之间还能实现流量均衡,就像我们熟悉的打印机池和MODEM池一样。 2、在电信网络的语音级的线路中,Trunk指“主干网络、电话干线”,即两个交换局或交换机之间的连接电路或信道,它能够在两端之间进行转接,并提供必要的信令和终端设备。 3、但是在最普遍的路由与交换领域,VLAN的端口聚合也有的叫TRUNK,不过大多数都叫TRUNKING ,如CISCO公司。所谓的TRUNKING是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的端口就称为TRUNK端口。与一般的交换机的级联不同,TRUNKING是基于OSI第二层数据链路层(DataLinkLayer)TRUNKING技术,如果你在2个交换机上分别划分了多个VLAN(VLAN也是基于Layer2的),那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通,就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样。那么如果交换机上划了10个VLAN 就需要分别连10条线作级联,端口效率就太低了。当交换机支持TRUNKING的时候,事情就简单了,只需要2个交换机之间有一条级联线,并将对应的端口设置为Trunk,这条线路就可以承载交换机上所有VLAN的信息。这样的话,就算交换机上设了上百个个VLAN也只用1个端口就解决了。 当一个VLAN跨过不同的交换机时,在同一 VLAN上但是却是在不同的交换机上的计算机进行通讯时需要使用Trunk。Trunk技术使得一条物理线路可以传送多个VLAN的数据。交换机从属于某一VLAN (例如VLAN 3)的端口接收到数据,在Trunk链路上进行传输前,会加上一个标记,表明该数据是VLAN 3的;到了对方交换机,交换机会把该标记去掉,只发送到属于VLAN 3的端口。 如果是不同台的交换机上相同id的vlan要相互通信,那么可以通过共享的trunk端口就可以实现,如果是同一台上不同id的vlan/不同台不同id的vlan它们之间要相互通信,需要通过第三方的路由来实现。 untag 就是普通的ethernet报文,普通PC机的网卡是可以识别这样的报文进行通讯;tag报文结构的变化是在源mac地址和目的mac地址之后,加上了 4bytes的vlan信息,也就是vlan tag头;一般来说这样的报文普通PC机的网卡是不能识别的下图说明了802.1Q封装tag报文帧结构带802.1Q 的帧是在标准以太网帧上插入了4个字节的标识。其中包含:2个字节的协议标识符(TPID),当前置0x8100的固定值,表明该帧带有802.1Q的标记信息。2个字节的标记控制信息(TCI),包含了三个域。Priority域,占3bits,表示报文的优先级,取值0到7,7为最高优先级,0为最低优先
端口扫描实验报告
网络端口扫描实验报告 一、网络端口扫描简介 TCP/IP协议在网络层是无连接的,而“端口”,就已经到了传输层。端口便是计算机与外部通信的途径。一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息。进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行。在手工进行扫描时,需要熟悉各种命令,对命令执行后的输析出进行分,效率较低。用扫描软件进行扫描时,许多扫描器软件都有分析数据的功能。通过端口扫描,可以得到许多有用的信息,从而发现系统的安全漏洞。扫描工具根据作用的环境不同可分为:网络漏洞扫描工具和主机漏洞扫描工具。前者指通过网络检测远程目标网络和主机系统所存在漏洞的扫描工具。后者指在本机运行的检测本地系统安全漏洞的扫描工具。本实验主要针对前者。 端口是TCP协议中定义的,TCP协议通过套接字(socket)建立起两台计算机之间的网络连接。它采用【IP地址:端口号】形式定义,通过套接字中不同的端口号来区别同一台计算机上开启的不同TCP和UDP连接进程。端口号在0~~65535之间,低于1024的端口都有确切的定义,它们对应着因特网上常见的一些服务。这些常见的服务可以划分为使用TCP端口(面向连接如打电话)和使用UDP端口
(无连接如写信)两种。端口与服务进程一一对应,通过扫描开放的端口就可以判断计算机中正在运行的服务进程。 二、实验目的 1.了解熟悉MFC及的基本原理和方法。 2.加深对tcp的理解,学习端口扫描技术和,原理熟悉socket编程。 3.通过自己编程实现简单的IP端口扫描器模型。 4.通过端口扫描了解目标主机开放的端口和服务程序。 三、实验环境 Windows操作系统 VC++6.0开发环境 四、实验设计 实验原理 通过调用socket函数connect()连接到目标计算机上,完成一次完整的三次握手过程,如果端口处于侦听状态,那么connect()就可以成功返回,否则这个端口不可用,即没有提供服务。 实验内容 1. 设计实现端口扫描器 2. IP地址、端口范围可以用户输入。 3. 要求有有好的可视化操作界面。 实验步骤: 1、用户界面:使用vc6.0里的MFC来开发用户界面 2、端口扫描:使用socket函数中的connect()连接计算机来判定目标计算机是否开放了要测试的端口 五、代码实现 #include
hybrid端口配置
1功能需求及组网说明 交换机Hybrid端口隔离配置图1 『配置环境参数』 1. PC1、PC2和PC3分别连接到二层交换机SwitchA的端口E0/1 、E0/2和 E0/3,端口分属于VLAN10、20和30,服务器连接到端口G2/1,属于VLAN100。 2. PC1的IP地址为10.1.1.1/24,PC2的IP地址为10.1.1.2/24,PC3的IP地址为10.1.1.3/24,服务器的IP地址为10.1.1.254/24。 『组网需求』 1. PC1和PC2之间可以互访; 2. PC1和PC3之间可以互访; 3. PC1、PC2和PC3都可以访问服务器; 4. 其余的PC间访问均禁止。
交换机Hybrid端口隔离配置图2 『配置环境参数』 1. PC1、PC2和PC3分别连接到二层交换机SwitchA的端口E0/1 、E0/2和 E0/3,端口分属于VLAN10、20和30;PC4和PC5分别连接到二层交换机SwitchB 的端口E0/1和E0/2,端口分属于VLAN10和20; 2. SwitchA通过端口G2/1,连接到SwitchB的端口G1/1;SwitchA的端口G2/1和SwitchB的端口G1/1均不是Trunk端口; 3. PC1的IP地址为10.1.1.1/24,PC2的IP地址为10.1.1.2/24,PC3的IP地址为10.1.1.3/24,PC4的IP地址为10.1.1.4/24,PC5的IP地址为10.1.1.5/24。 『组网需求』 1. PC1和PC3之间可以互访; 2. PC2和PC3之间可以互访; 3. PC1和PC4之间可以互访; 4. PC2和PC5之间可以互访; 5. 其余PC之间均禁止互相访问。 2数据配置步骤 『交换机Hybrid端口配置流程』
常见的端口扫描类型及原理
常见的端口扫描类型及原理 常见的扫描类型有以下几种: 秘密扫描 秘密扫描是一种不被审计工具所检测的扫描技术。 它通常用于在通过普通的防火墙或路由器的筛选(filtering)时隐藏自己。 秘密扫描能躲避IDS、防火墙、包过滤器和日志审计,从而获取目标端口的开放或关闭的信息。由于没有包含TCP 3次握手协议的任何部分,所以无法被记录下来,比半连接扫描更为隐蔽。 但是这种扫描的缺点是扫描结果的不可靠性会增加,而且扫描主机也需要自己构造IP包。现有的秘密扫描有TCP FIN 扫描、TCP ACK扫描、NULL扫描、XMAS扫描和SYN/ACK 扫描等。 1、Connect()扫描: 此扫描试图与每一个TCP端口进行“三次握手”通信。如果能够成功建立接连,则证明端口开发,否则为关闭。准确度很高,但是最容易被防火墙和IDS检测到,并且在目标主机的日志中会记录大量的连接请求以及错误信息。 TCP connect端口扫描服务端与客户端建立连接成功(目标
端口开放)的过程: ① Client端发送SYN; ② Server端返回SYN/ACK,表明端口开放; ③ Client端返回ACK,表明连接已建立; ④ Client端主动断开连接。 建立连接成功(目标端口开放)如图所示 TCP connect端口扫描服务端与客户端未建立连接成功(目标端口关闭)过程: ① Client端发送SYN; ② Server端返回RST/ACK,表明端口未开放。 未建立连接成功(目标端口关闭)如图所示。 优点:实现简单,对操作者的权限没有严格要求(有些类型的端口扫描需要操作者具有root权限),系统中的任何用户 都有权力使用这个调用,而且如果想要得到从目标端口返回banners信息,也只能采用这一方法。 另一优点是扫描速度快。如果对每个目标端口以线性的方式,使用单独的connect()调用,可以通过同时打开多个套接字,从而加速扫描。 缺点:是会在目标主机的日志记录中留下痕迹,易被发现,并且数据包会被过滤掉。目标主机的logs文件会显示一连串的连接和连接出错的服务信息,并且能很快地使它关闭。
华为交换机端口的hybrid属性配置
华为交换机端口的hybrid属性配置 先说一下以太网中端口类型: 以太网端口有三种链路类型:Access、Hybrid和Trunk。 Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口; Trunk类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口; Hybrid类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。 Hybrid端口和Trunk端口在接收数据时,处理方法是一样的,唯一不同之处在于发送数据时:Hybrid端口可以允许多个VLAN的报文发送时不打标签 ,而Trunk端口只允许缺省VLAN的报文发送时不打标签。 交换机上如果已经设置了某个端口为trunk端口,则不可以再把另外的端口设置为hybrid端口。 端口hybrid属性配置 『配置环境参数』 1.交换机SwitchA的端口E0/1.E0/2和E0/3和E0/4.E0/5分属于VLAN10、20和30,服务器Server1连接到端口E0/23,Server2连接到端口E0/24,分 别属vlan40,vlan50. 2.所有设备的ip地址均在同一网段。 『组网需求』 1.只有Vlan10.20及VLAN30中的4端口可访问Sever2; 2.Vlan10中的2端口pc可访问Vlan30; 3.三个Vlan的PC都可以访问服务器Server1; 4.Vlan20可访问Vlan30的5端口。 『交换机Hybrid端口配置流程』 利用Hybrid端口的特性――一个端口可以属于多个不同的VLAN,来完成分属不同VLAN内的同网段PC机的访问需求。 『配置过程』 【SwitchA相关配置】 1.首先创建业务需要的vlan
Access Hybrid和Trunk三种模式的区别及配置实例
端口Access、Hybrid和Trunk三种模式的理解Access、Hybrid和Trunk三种模式的理解 以太网端口的三种链路类型:Access、Hybrid和Trunk: Access 类型的端口只能属于1个VLAN,一般用于连接计算机的端口,也可以连接交换机和交换机。 Trunk 类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,trunk口一般用于连接两台交换机,这样可以只用一条trunk连接实现多个vlan的扩展(因为trunk允许多个vlan的数据通过,如果用access口,那么一个vlan就要一条连接,多个vlan 要多个连接,而交换机的接口是有限的)。对于trunk口发送出去的报文,只有默认vlan的报文不带vlan ID,其它vlan的报文都要带vlan ID(要不然,对端的交换机不知道该报文属于哪个vlan,无法处理,也就不能实现vlan跨交换机扩展了)。简而言之,trunk端口的设计目的就是通过一条连接实现多个vlan的跨交换机扩展。Hybrid 类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。trunk端口是hybrid端口的特例,就是说hybrid端口可以实现比trunk端口更多的功能。hybrid端口可以加入多个vlan,并可以设置该vlan的报文通过该端口发送是是否带vlan ID(trunk端口不能设置,只有默认vlan的报文不带vlan ID进行发送)。通过下
面的两个例子(转载的),大家应该可以看出hybrid端口的设计目的。 例一:『配置环境参数』 1. PC1、PC2和PC3分别连接到二层交换机SwitchA的端口E0/1 、E0/2和 E0/3,端口分属于VLAN10、20和30,服务器连接到端口G2/1,属于VLAN100。 2. PC1的IP地址为10.1.1.1/24,PC2的IP地址为10.1.1.2/24,PC3的IP地址为10.1.1.3/24,服务器的IP地址为10.1.1.254/24。『组网需求』 1. PC1和PC2之间可以互访; 2. PC1和PC3之间可以互访; 3. PC1、PC2和PC3都可以访问服务器; 4.其余的PC间访问均禁止。 【SwitchA相关配置】 1.创建(进入)VLAN10,将E0/1加入到VLAN10 [SwitchA]vlan 10
基于多线程的端口扫描程序
计算机网络课程课程设计任务书
计算机网络设计说明书 学院名称:计算机与信息工程学院 班级名称:网络工程122班 学生姓名: 学号: 题目:基于多线程的端口扫描程序 指导教师 姓名: 起止日期:2015年6月13日至2015年6月20日
一、选题背景 随着互联网的飞速发展,网络入侵行为日益严重,网络安全成为人们关注的焦点。端口扫描技术是网络安全扫描技术的重要技术之一。对目标系统进行端口扫描,是网络系统入侵者进入目标系统的第一步。网络安全探测在网络安全中起着主动防御的作用,占有非常重要的地位。网络安全探测的所有功能都是建立在端口扫描的基础上,所以对端口扫描技术的研究有着非常重要的现实意义。 现实世界中的很多过程都具有多条线索同时动作的特性。Java语言的一大特性就是内置对多线程的支持。多线程是指同时存在几个执行体,按几条不同的执行线索共同工作的情况,它使得编程人员可以很方便地开发出具有多线程功能、能同时处理多个任务的功能强大的应用程序。 端口是由计算机的通信协议TCP/IP协议定义的。其中规定,有IP地址和端口号作为套接字,它代表TCP连接的一个连接端,一般称为Socket。具体来说,就是用[IP:端口]来定位一台主机的进程。 可见端口与进程是一一对应的,如果某个进程正在等待连接,称之为该进程正在监听,那么就会出现与它相对应的端口。由此可见,通过扫描端口,就可以判断出目标计算机有哪些通信进程正在等待连接。 利用TCP connect扫描原理,扫描主机通过TCP/IP协议的三次握手与目标主机的指定端口建立一次完整的连接,如果目标主机该端口有回复,则说明该端口开放。利用多线程技术实现了对一目标IP进行设定数目的端口扫描,对多IP段的特定端口进行扫描。 二、方案设计 多线程端口扫描器是实现计算机的端口的扫描,只要在在前台设置好所要扫描的IP、起始端口、结束端口以及所要用到的线程数,点击扫描,就可以扫描到所输入IP地址主机的开放端口,并显示在主窗体中;点击退出,则可以退出该程序。IP设置应为所在主机的IP地址,起始端口和结束端口应为0~65535之间的一个数,且起始端口应小于结束端口的大小。线程数为0~200之间的一个数。点击开始后就会运行,直到扫描完毕显示出开放端口,如果没有开放端口,则只显示扫描完毕。 本系统要实现的功能: ①端口扫描功能:扫描开放的端口,并将扫描到的开放端口号送到前台。 ②图像显示功能:显示图形界面,以及显示扫描结果。 ③多线程功能:当客户端要求与服务器端建立连接时,服务器端就将用到多线程功能,为每一个建立起来的连接创建一个线程。 ④异常抛出功能:对于明显的数据错误,能提示出错误的类型并阻止程序的运行。 流程图:
端口扫描
一、高级ICMP扫描技术 Ping就是利用ICMP协议走的,高级的ICMP扫描技术主要是利用ICMP协议最基本的用途:报错。根据网络协议,如果按照协议出现了错误,那么接收端将产生一个ICMP的错误报文。这些错误报文并不是主动发送的,而是由于错误,根据协议自动产生。 当IP数据报出现checksum和版本的错误的时候,目标主机将抛弃这个数据报,如果是checksum出现错误,那么路由器就直接丢弃这个数据报了。有些主机比如AIX、HP-UX等,是不会发送ICMP的Unreachable数据报的。 我们利用下面这些特性: 1、向目标主机发送一个只有IP头的IP数据包,目标将返回Destination Unreachable的ICMP错误报文。 2、向目标主机发送一个坏IP数据报,比如,不正确的IP头长度,目标主机将返回Parameter Problem的ICMP错误报文。 3、当数据包分片但是,却没有给接收端足够的分片,接收端分片组装超时会发送分片组装超时的ICMP数据报。
向目标主机发送一个IP数据报,但是协议项是错误的,比如协议项不可用,那么目标将返回Destination Unreachable的ICMP报文,但是如果是在目标主机前有一个防火墙或者一个其他的过滤装置,可能过滤掉提出的要求,从而接收不到任何回应。可以使用一个非常大的协议数字来作为IP头部的协议内容,而且这个协议数字至少在今天还没有被使用,应该主机一定会返回Unreachable,如果没有Unreachable的ICMP数据报返回错误提示,那么就说明被防火墙或者其他设备过滤了,我们也可以用这个办法来探测是否有防火墙或者其他过滤设备存在。 利用IP的协议项来探测主机正在使用哪些协议,我们可以把IP头的协议项改变,因为是8位的,有256种可能。通过目标返回的ICMP错误报文,来作判断哪些协议在使用。如果返回Destination Unreachable,那么主机是没有使用这个协议的,相反,如果什么都没有返回的话,主机可能使用这个协议,但是也可能是防火墙等过滤掉了。NMAP的IP Protocol scan也就是利用这个原理。 利用IP分片造成组装超时ICMP错误消息,同样可以来达到我们的探测目的。当主机接收到丢失分片的数据报,并且在一定时间内没有接收到丢失的数据报,就会丢弃整个包,并且发送ICMP分片组装超时错误给原发送端。我们可以利用这个特性制造分片的数据包,然后等待ICMP组装超时错误消息。可以对UDP 分片,也可以对TCP甚至ICMP数据包进行分片,只要不让目标主机获得完整的数据包就行了,当然,对于UDP这种非连接的不可靠协议来说,如果我们没
华为交换机hybrid接口特性(精)
华为交换机的hybrid 特性 Hybrid 特性是华为交换机的专有特性,该特性为局域网的搭建提供了更多的灵活性和安全性。那么就让我们一起走进hybrid 世界,去体验hybrid 特性给我们带来的快乐。首先让我们来看一个网路拓扑图: Vlan 2 公司内部 这是一个公司的小型网络拓扑图,该公司现有财务和工程两个部门以及一个文件服务器,分别处于不同的VLAN ,现要求财务部和工程部都能访问公司内部文件服务器,但是财务部和工程部之间不能互相访问。看到这里,大家都想通过路由器或三层交换机做访问控制列表实现,没错是可以实现,但是现在只有二层设备。怎么办? 在华为环境下我们可以利用华为专有的hybrid 特性。首先我们先了解一下华为交换机的几种接口类型。 Access 接口:access 端口只能承载一个vlan 的流量,通常用于交换机与PC 相连的接口,当交换机通过access 接口收到一个数据帧时,先判断是否有vlan 信息,如果没有则打上该接口的PVID ,当交换机要通过一个access 接口转发数据
时,则先判断该数据帧的vlan 是否和自己在一个vlan, 如果是,则剥离vlan 信息,再转发,如果不是,则丢弃。 Trunk 接口:trunk 接口可以承载多个vlan 的流量,但在华为交换机上默认情况下只允许默认vlan 的流量通过,只允许对默认vlan 不打标记。通常用于与其它交换机相连的接口。当交换机通过trunk 接口收到一个数据帧时,先判断是否允许该vlan 的流量通过,如果允许,则对该数据进行处理,如果不允许,则直接丢弃。Trunk 接口发送数据时,同样判断是否允许该vlan 通过,如果允许则还要看源数据所在的vlan 是不是默认vlan ,如果是在默认vlan ,则去掉标记后转发,如果不是在默认vlan 则直接转发,如果不允许,则直接丢弃。当trunk 端口收到一个没有标记的数据帧时,会打上自己的PVID 。 Hybrid 接口:hybrid 接口可以承载多个vlan 的流量,可用在与PC 或交换机相连的接口,与trunk 接口的最大区别是可以对任何vlan 打标记或不打标记。当交换机从hybrid 接口接收数据帧时,先判断该数据的二层封装是否有vlan 信息,如果有,则看该接口是否对该vlan 打标记,如果对该vlan 打标记,则允许从该接口通过。如果没有明确说对该vlan 打标记还是不打标记,则丢弃。因为默认情况下,hybrid 接口只允许默认vlan 的数据帧通过,如果要允许其它的vlan 通过,就要对相应的vlan 打标记。如果收到的数据帧没有任何标记,则标记为接受端口的PVID 。在接口上配置对某些vlan 标记所起的作用只是允许和不允许该vlan 的数据帧通过的问题,在接口上配置为对某些vlan 不打标记时只在接口 发送数据帧时起作用,当接口收数据时,是不起作用的。当交换机通过hybrid 接口发送数据帧时,若该数据帧有标记,则判断该数据帧所标记的vlan 和发送接口是否在同一个vlan ,如果是在同一个vlan ,则去掉标记后转发(hybrid 接口对自己所在的vlan 是不标记的);如果不在同一个vlan ,则判断接口对该数据帧是标记还是不标记,如果是不标记,则去掉标记后再进行转发,如果是标记,则直接转发,若没有明确说明是标记,还是不标记,则直接丢弃。而对于没有没有标记的数据帧则直接转发。当把一个接口加入到vlan2后,再把该接口设置为hybrid 接口时,该接口的PVID 就变成了vlan2,同时对vlan2的数据帧不打标记。
信息安全技术试题2答案
1.通常为保证信息处理对象的认证性采用的手段是___C_______ A.信息加密和解密 B.信息隐匿 C.数字签名和身份认证技术 D.数字水印 2.关于Diffie-Hellman算法描述正确的是____B______ A.它是一个安全的接入控制协议 B.它是一个安全的密钥分配协议 C.中间人看不到任何交换的信息 D.它是由第三方来保证安全的 3.以下哪一项不在 ..证书数据的组成中? _____D_____ A.版本信息 B.有效使用期限 C.签名算法 D.版权信息 4.关于双联签名描述正确的是____D______ A.一个用户对同一消息做两次签名B.两个用户分别对同一消息签名 C.对两个有联系的消息分别签名D.对两个有联系的消息同时签名5.Kerberos中最重要的问题是它严重依赖于____C______ A.服务器B.口令 C.时钟D.密钥 6.网络安全的最后一道防线是____A______ A.数据加密B.访问控制 C.接入控制D.身份识别 7.关于加密桥技术实现的描述正确的是____A______ A.与密码设备无关,与密码算法无关B.与密码设备有关,与密码算法无关 C.与密码设备无关,与密码算法有关D.与密码设备有关,与密码算法有关 8.身份认证中的证书由____A______ A.政府机构发行B.银行发行 C.企业团体或行业协会发行D.认证授权机构发行 9.称为访问控制保护级别的是____C______ A.C1 B.B1 C.C2 D.B2 10.DES的解密和加密使用相同的算法,只是将什么的使用次序反过来? ____C______ A.密码B.密文 C.子密钥D.密钥 11.PKI的性能中,信息通信安全通信的关键是_____C_____ A.透明性B.易用性 C.互操作性D.跨平台性 12.下列属于良性病毒的是____D_____ A.黑色星期五病毒B.火炬病毒 C.米开朗基罗病毒D.扬基病毒 13.目前发展很快的基于PKI的安全电子邮件协议是____A______A.S/MIME B.POP C.SMTP D.IMAP 14.建立计算机及其网络设备的物理环境,必须要满足《建筑与建筑群综合布线系统工程设计规范》的要求,计算机机房的室温应保持在___A_______ A.10℃至25℃之间B.15℃至30℃之间 C.8℃至20℃之间D.10℃至28℃之间 15.SSL握手协议的主要步骤有____B______ A.三个B.四个 C.五个D.六个 16.SET安全协议要达到的目标主要有____C______ A.三个B.四个 C.五个D.六个 17.下面不属于SET交易成员的是_____B_____ A.持卡人B.电子钱包 C.支付网关D.发卡银行 18.使用加密软件加密数据时,往往使用数据库系统自带的加密方法加密数据,实施 _____A_____ A.DAC B.DCA C.MAC D.CAM 19.CTCA指的是____B______ A.中国金融认证中心B.中国电信认证中心 C.中国技术认证中心D.中国移动认证中心 20.下列选项中不属于SHECA证书管理器的操作范围的是_____C_____ A.对根证书的操作B.对个人证书的操作 C.对服务器证书的操作D.对他人证书的操作 1. Windows系统安全模型由登录流程、本地安全授权、安全账号管理器和安全引用监视器组合而成。 2. 注册表是按照子树、项、子项和值组成的分层结构。实际上注册表只有两个子树: HKEY_LOCAL_MACHINE和HKEY_USERS,但为了便于检索,用注册表编辑器打开注册表时,展现为五个子树,这些子树的总体组成了Windows中所有的系统配置。 3. 在Windows 2000 网络中有两种主要的帐号类型:域用户账号和本地用户账号。 5. E-mail系统主要由邮件分发代理、邮件传输代理、邮件用户代理及邮件工作站组成。 6. 电子邮件安全技术主要包括身份证认证技术、加密签名技术、协议过滤技术、防火墙 技术和邮件病毒过滤技术。 1. 信息安全的狭义解释 信息安全在不同的应用环境下有不同的解释。针对网络中的一个运行系统而言,信息安全就是指