中小学网络基础知识锐捷三层交换机.ppt

中小学网络基础知识 部门 作者 中小学常见网络拓扑局域网常用技术局域网常见攻击如何防御局域网攻击答疑 第3页 共4页 校园网络的应用现状 学校信息化应用 早期中小学网络 第4页 共4页 家用路由器 傻瓜 交换机 特点 1 低成本2 网络无冗余性3 交换机不可网管4 网络无安全性 网络设备介绍 第5页 共4页 二层 可网管 交换机 特点 1 接口数量多 常见的接口数量为24口或48口2 接口速率多为100M bps或1000M bps3 具有二层数据转发功能4 可以划分VLAN 虚拟局域网5 具有防环路机制6 有一定的安全防御功能 网络设备介绍 第6页 共4页 三层 可网管 交换机 特点 1 三层交换机从外观上分为 盒式交换机 和 箱式交换机 2 三层交换机具有二层交换机的所有功能3 三层交换机增加三层数据转发功能4 接口多为1000M bps速率 网络设备介绍 第7页 共4页 可网管 路由器 特点 1 接口数量少2 支持各种广域网接口3 具有网络地址转换功能 NAT4 完成三层数据转发5 具有防火墙和流量控制等功能 目前中小学常见网络 第8页 共4页 RG S7610 RSR50 40 认证管理系统 网管 百兆电缆 千兆光线 RG S2100 教学楼 RG S2100 综合楼 RG S2100 艺体楼 RG S2100 PC 实验楼 服务器群 PC PC PC 核心层 接入层 目前中小学常见网络 第9页 共4页 RG S7610 RSR50 40 认证管理系统 网管 百兆电缆 千兆光线 RG S5750 RG S2100 教学楼 RG S5750 RG S2100 综合楼 RG S5750 RG S2100 艺体楼 RG S2100 PC 实验楼 服务器群 PC PC PC 核心层 汇聚层 接入层 可网管 局域网优势 第10页 共4页 局域网技术 第11页 共4页 IP地址及其分类 局域网技术 第12页 共4页 第13页 共4页 VLAN技术 在交换机组成的校园网络里所有主机都在同一个广播域内 广播域 安全 广播 交换网络中存在的问题 第14页 共4页 交换网络中的问题 通过VLAN技术可以对网络进行一个安全的隔离 分割广播域 VLAN20 VLAN10 VLAN30 VLAN40 VLAN技术 1 2 3 4 交换机 广播帧 广播域 广播帧 广播域 VLAN概述 VirtualLocalAreaNetwork VLAN是划分出来的逻辑网络 是第二层网络 VLAN端口不受物理位置的限制 VLAN隔离广播域 VLAN的类型 PortVLAN 基于交换机的端口 一个端口只属于一个VLAN PortVLAN设置在连接主机的端口 F0 1 F0 2 F0 3 Port VLAN原理 通过查找MAC地址表 交换机对发往不同VLAN的数据不转发 F0 1 F0 2 F0 3 A B C Vlan10 Vlan20 Vlan10 ABAC X VLAN的类型 TagVLAN TagVLAN特点传输多个VLAN的信息实现同一VLAN跨越不同的交换机要求Ttunk至少要100M 802 1Q工作原理 802 1Q工作特点 802 1Q数据帧传输对于用户是完全透明的 Trunk上默认会转发交换机上存在的所有VLAN的数据 交换机在从Trunk口转发数据前会在数据打上个Tag标签 在到达另一交换机后 再剥去此标签 A 交换机1 交换机2 B 数据帧 Tag标签 Trunk Trunk 数据包在三层网络如何通信 第20页 共4页 A B 192 168 1 0 192 168 2 0 192 168 3 0 PC1 PC2 局域网常见攻击 第21页 共4页 ARP攻击 ARP攻击就是将ARP表中IP与MAC地址的对应关系进行了修改 第22页 共4页 ARP欺骗攻击分类 主机型 主机型ARP欺骗欺骗者主机冒充网关设备对其他主机进行欺骗 网关 欺骗者 嗨 我是网关 PC1 第23页 共4页 ARP欺骗攻击分类 网关型 网关型ARP欺骗欺骗者主机冒充其他主机对网关设备进行欺骗 23 网关 欺骗者 嗨 我是PC1 PC1 局域网常见攻击 第24页 共4页 DHCP攻击 局域网常见攻击 第25页 共4页 二层环路 局域网常见攻击 第26页 共4页 TCP半连接攻击 客户端A 服务器B TCP半连接攻击就是攻击者发送大量的TCP链接 当目的主机回应TCP后 攻击者不发送确认报文 导致被攻击者系统资源被大量浪费 如何防御ARP攻击 第27页 共4页 判断ARP欺骗攻击 主机 怎样判断是否受到了ARP欺骗攻击 网络时断时续或网速特别慢在命令行提示符下执行 arp d 命令就能好上一会在命令行提示符下执行 arp a 命令查看网关对应的MAC地址发生了改变 27 如何防御ARP攻击 第28页 共4页 判断ARP欺骗攻击 网关设备 网关设备怎样判断是否受到了ARP欺骗攻击 ARP表中同一个MAC对应许多IP地址 28 如何防御ARP攻击 第29页 共4页 29 安全地址获取 丢弃 转发 ARP报文校验 ARP报文S T字段是否与安全地址一致 ARP报文 是 否 安全地址的获取是防ARP欺骗的前提 ARP报文校验是防ARP欺骗的手段 手工指定port security自动获取DHCPSnoopingDot1x认证 ARP check检查ARP报文中senderMAC和senderIP是否和安全地址中的MAC和IP所对应一致 如何防御DHCP攻击 第30页 共4页 DHCPSnooping DHCP安全特性过滤非法DHCP报文 防范非法的DHCPServer和对服务器的攻击对DHCP报文进行窥探 建立DHCP Snooping数据库 为IP报文和ARP报文过滤提供依据 Clienet Server untrust untrust trust 如何防止二层环路 第31页 共4页 使用生成树协议 Spann