计算机网络及安全手册.doc

计算机网络及安全培训目 录第一部分 交换网络基础介绍211 局域网概述21.1.1 传统以太网21.1.2 交换式以太网412 二层交换机原理61.2.1选购交换机的原则61.2.2交换机的主要参数61.2.3 交换机的工作原理71.2.4 接入层交换机常用命令813 虚拟局域网（vlan）91.3.1 VLAN（Virtual Local Area Network）91.3.2广播域91.3.3 VLAN的优点101.3.4 VLAN的四种划分方法101.3.5 以太网交换机的端口分类1114三层交换机工作原理131.4.1三层交换机功能模型131.4.2三层交换机的优势131.4.3交换机基础配置实例13第二部分 防火墙和网闸基本介绍142.1 访问控制列表及应用142.1.1访问控制列表的作用142.1.2如何标识访问控制列表152.1.3 配置实例（s5600系列）152.2 防火墙的基本介绍162.2.1 防火墙(firewall)162.2.2防火墙的功能162.2.3 防火墙的物理特性172.3 网闸的基本介绍172.3.1什么是网闸172.3.2为什么要使用安全隔离网闸182.3.3 安全隔离网闸与物理隔离卡的主要区别是什么？192.3.4网闸工作原理19第三部分 培训相关附件20第一部分 交换网络基础介绍11 局域网概述局域网一般在几十米到几公里范围内，一个局域网可以容纳几台至几千台计算机。按局域网现在的特性看，局域网具有如下特性。（1）局域网分布于比较小的地理范围内。因为采用了不同传输能力的传输媒介，因此局域网的传输距离也不同。（2）局域网往往用于某一群体。比如一个公司、一个单位、某一幢楼、某一学校等。局域网技术包含以太网,令牌环和令牌总线技术等等,这些技术当中以太网技术以其简明高效的特点逐渐占据了主导地位1.1.1 传统以太网网络中所有主机收发数据共享传输介质。即同一时刻只能有一台主机在发送数据，各主机通过遵循CSMA/CD规则来保证网络的正常通讯。在以太网中，所有的主机共享传输介质，在一条总线上发送数据，（同一时刻只能有一台主机在发送，各主机通过遵循CSMA/CD规则来保证网络的正常通讯。）其基本思想是：当一个节点要发送数据时，首先监听信道；如果信道空闲就发送数据，并继续监听；如果在数据发送过程中监听到了冲突，则立刻停止数据发送，等待一段随机的时间后，重新开始尝试发送数据以太网原理-CSMA/CDCS：载波侦听在发送数据之前进行监听，以确保线路空闲，减少冲突的机会。 MA ：多址访问每个站点发送的数据，可以同时被多个站点接收。 CD ：冲突检测 边发送边检测，发现冲突就停止发送，然后延迟一个随机时间之后继续发送。 具体原理流程如图1.1所示：图1.1 CSMA/CD 原理图传统以太网的缺陷传统的以太网在主机数目较多的情况下，性能受到严重影响： 网络中个别主机的故障，会影响所有主机的通讯。 多台主机在同时试图发送数据时，会使得网络冲突严重，致使网络利用率大大降低。 以太网所采用的CSMA/CD技术，保证了将信道因冲突而产生的浪费缩减到最小，但不能保证网络高负荷时的传输效率。 某台主机发送的广播报文，会被网络中所有主机接收；在广播报文较多的情况下，网络性能受到严重影响。广播风暴更会使得网络崩溃。1.1.2 交换式以太网强烈的市场需求推动了交换式以太网的发展 用户迫切希望能够独享更高的带宽 需要找到解决冲突和广播泛滥的方法交换式以太网 平时网络中所有的主机都不连通，当主机需要通信时，通过交换设备连接对端主机，完成后断开。 交换设备包括：交换式集线器和交换机。 使用交换设备组网，物理上和逻辑上均为星型结构。交换式以太网的优势 扩展了网络带宽 分割了网络冲突域，使得网络冲突被限制在最小的范围内 交换机作为更加智能的交换设备，能够提供更多用户所要求的功能：优先级、虚拟网、Qos等等以太网发展简史美国电气和电子工程师协会(IEEE)是一个国际性的电子技术与信息科学工程师的协会 ，它的任务是指定局域网的国际标准。IEEE802.3 以太网标准IEEE802.3u 100BASE-T快速以太网标准IEEE802.3z/ab 1000Mb/s千兆以太网标准IEEE802.3ae 10GE以太网标准IEEE 802.4 令牌环总线Token-Passing Bus (单一/多信道速率 1, 5, 10 MBit/s)网介质访问控制协议及其物理层技术规范； IEEE 802.5 令牌环Token-Passing Ring （基带速率 1, 4, 16 MBit/s) 网介质访问控制协议及其物理层技术规范；IEEE 802.6 城域网（Metropolitan Area Networks)MAC 介质访问控制协议DQDB及其物理层技术规范；IEEE 802.7 宽带技术咨询组，为其他分委员会提供宽带网络技术的建议；IEEE 802.8 光纤技术咨询组，为其他分委员会提供光纤网络技术的建议；IEEE 802.9 综合话音/数据的局域网（IVD LAN）介质访问控制协议及其物理层技术规范；IEEE 802.10 局域网安全技术标准；IEEE 802.11 无线局域网的介质访问控制协议CSMA/CA及其物理层技术规范； 12 二层交换机原理1.2.1选购交换机的原则按应用规模划分：三层，按结构来分成固定端口交换机和模块化交换机。固定端口交换机一般来讲是24或者48口，只能提供有限的数量端口和因定类型的交换接口100m端口，1000m端口；模块化交换机:我们在选购交换机的时候首先是根据我们的需求来决定，需求决定一切，比如网络规模，计算机数目，然后还有自身的一些情况等，第二是交换机的稳定性，第三就是性价比了。那如何来评价交换机的好坏，下面我们来看一下交换机主要的一些参数1.2.2交换机的主要参数1，背板带宽：是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。背板带宽标志了交换机总的数据交换能力,可以比如成立交桥所拥有车道路的总和，所有的端口间的通信都要通过背板完成，带宽越大，提供给各端口可用的带宽越大一台交换机的背板带宽越高，所能处理数据的能力就越强，背板带宽=端口数量*端口速率*22，转发速率：也叫吞吐量，好比立交桥的车流量3，端口类型：光纤端口，双绞线端口，模块插槽4，端口速率：主要有100mbps,1000mbps,10Gbps.常见搭配形式包括：m*10/100mbps,n*1000mbps+m* m*100mbps,m*1000mbpst和n*10Gbps+m* m*1000mbps5，延时：指从交换机接收到数据包到开始向目端口复制数据包之间的时间间隔6，延扩方式：一是级联，二是堆叠7，管理功能：指交换机如何控制用户访问交换机，以及用户对交换机的可视程度.应用的一些技术。二层交换机工作在数据链路层，数据链路层在OSI模型型中为第二层，所以工作在数据链路层的交换机为二层交换机，那么三层交换机就是工作在网络层。交换机里面一个非常最重要的东西，MAC地址表:记录了交换机端口和端口下所对应主机的MAC地址。什么是MAC地址 ：它一般也是全球唯一的。我们也是通过物理地址来识别主机的：一个MAC地址是48个比特组成，前面24位是厂家的标识，后面24位才是序列号，MAC地址我们一般是不能修改的，当然如果很多技术员知道，在我们电脑里面可以修改，因为它是写入在操作系统里面的注册表里面，但是对于网络设备来说，MAC地址是不能改的，1.2.3 交换机的工作原理 1.地址学习：交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射，并将其写入MAC地址表中。MAC地址表里，一个端口可以对应多于MAC地址，但是一个MAC地址只能对应于一个端口。2.数据转发：交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较，以决定由哪个端口进行转发。3.地址洪泛：如数据帧中的目的MAC地址不在MAC地址表中，则向所有端口转发。这一过程称为洪泛。 当然MAC地址并不是生成好就不变的，它是一个动态的。对于广播和组播，交换机是把广播帧和组播帧向所有端口转发。但一个交换机永远也不会学习到广播和组播地址，因为它们永远不会出现在一个帧的源地址中。1.2.4 接入层交换机常用命令以常用的华为交换机为例进行讲解配置模式：用户模式，系统模式常用命令及配置：?和tab键 显示帮助/补全命令display cur 查看交换机当前全部置；display version 查看交换机系统软件版本信息；sys 进入系统模式 sys name 交换机命名super password 修改特权用户密码undo； 取消当前配置interfaceethernet0/1进入端口模式 undo shutdown 激活端口 quit 返回reboot 交换机重启13 虚拟局域网（vlan）1.3.1 VLAN（Virtual Local Area Network）中文名为虚拟局域网。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。 IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。1.3.2广播域广播域是指网络中能接收任一设备发出的广播帧的所有设备的集合。在主机A发送一个广播帧，在二层交换里面，如果我们不划vlan的话，所有的设备构成了一个广播域，当我们划了vlan后但是左右各属于不同的VLAN，形成各自广播域，广播报文不能跨越这些广播域传送。二层交换机隔离冲突域但是不能隔离广播域，使用vlan的话就可以隔离广播域，（单播帧 单播帧也称“点对点”通信。此时帧的接收和传递只在两个节点之间进行，帧的目的MAC地址就是对方的MAC地址，网络设备（指交换机和路由器）根据帧中的目的MAC地址，将帧转发出去。广播帧的概念 ：在广播帧中，帧头中的目的MAC地址是“FF.FF.FF.FF.FF.FF”，代表网络上所有主机网卡的MAC地址。） 4,以上是对vlan概念的一个理解，那我们使用vlan技术有什么作用呢。1.3.3 VLAN的优点相对与传统的LAN技术，VLAN具有如下优势：1,隔离广播域，抑制广播报文.提高带宽的利用率2,减少移动和改变的代价3,创建虚拟工作组，超越传统网络的工作方式4,增强通讯的安全性1.3.4 VLAN的四种划分方法1、基于交换机的端口的vlan划分。当然，这些属于同一VLAN的端口可以不连续。优点:非常简单，方便，只要指定划分的端口就可以了。缺点:如果valn的用户离开了原来的端口，到某个新的交换机的端口，必须重新对电脑的vlan进行配置。 2、基于MAC地址的vlan划分。优点：对我们经常移动的用户来讲是比较方便的，如笔记本，你从一个科移到另一个部门移动到另一个部门上网的时候vlan的时候，如果这两个部门不在一个vlan就不需要修改配置，但前提是：在配置网络的时候，就得把所有的用户都必须进行配置，如果用户很多，配置的工作量是很大的。3，基于IP协议或者是IPX协议的vlan划分。如果一个物理网络中既有IP网络又有IPX等多种协议运行的时候，可以采用这种vlan的划分方法。4，基于子网的vlan划。以上四种划分方式，使用较多的是基于交换机端口的划分。1.3.5 以太网交换机的端口分类1,Access端口：一般用于接用户计算机的端口，access端口只能属于1个VLAN。2,Trunk 端口： 一般用于交换机之间连接的端口，trunk 端口可以属于多个VLAN ， 可以接收和发送多个VLAN 的报文。 3,Hybrid 端口： 可以用于交换机之间连接，也可以用于接用户的计算机，hybrid 端口可以属于多个VLAN ， 可以接收和发送多个VLAN 的报文。 VLAN的链路类型：access链路与干道链路干道链路1 干道链路通常用于设备之间机间如交换机和路由器之间、交换机和交换机的互连,IEEE 802.1Q定义了VLAN帧格式2，所有在干道链路上传输的帧都是打上标记的帧（tagged frame）。当然如果每台交换机都是在一个vlan下的话，我们就直接用access口就可以了。3,要注意的就是在二层结构，相同vlan间是互通的，不同vlan是不能通信的vlan的基本配置VLAN的缺点1、VLAN隔离了二层广播域，也就严格地隔离了各个VLAN之间的任何流量，分属于不同VLAN的用户不能互相通信。VLAN互通的实现使用VLAN Trunking2、二层交换机上和路由器上配置他们之间相连的端口使用VLAN Trunking，使多个VLAN共享同一条物理连接到路由14三层交换机工作原理1.4.1三层交换机功能模型二层交换机和路由器在功能上的集成构成了三层交换机，三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。1.4.2三层交换机的优势1、在逻辑上，三层交换和路由是等同的，三层交换的过程就是IP报文选路的过程。2、三层交换机与路由器在转发操作上的主要区别在于其实现的方式： 三层交换机通过硬件实现查找和转发； 传统路由器通过微处理器上运行的软件实现查找和转发； 三层交换机的转发路由表与路由器一样，需要软件通过路由协议来建立和维护。3、在局域网中引入三层交换，能够更加经济的替代传统路由器1.4.3交换机基础配置实例实例一，端口绑定基本配置 1，端口+MACSwitchAam user-bind MAC-address 00e0-fc22-f8d3 interface Ethernet 0/1-使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。2，IP+MAC SwitchAam user-bind ip-address 10.1.1.2 MAC-address 00e0-fc22-f8d3 -使用特殊的AM User-bind命令，来完成IP地址与MAC地之间的绑定。3,端口+IP+MACSwitchAam user-bind ip-address 10.1.1.2 MAC-address 00e0-fc22-f8d3 interface Ethernet 0/1-使用特殊的AM User-bind命令，来完成IP、MAC地址与端口之间的绑定。第二部分 防火墙和网闸基本介绍2.1 访问控制列表及应用对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。2.1.1访问控制列表的作用 访问控制列表可以用于防火墙； 访问控制列表可以用于Qos（Quality of Service），对数据流量进行控制； 访问控制列表还可以用于地址转换； 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。2.1.2如何标识访问控制列表利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围IP standard list2000-2999IP extended list3000-3999二层ACL4000-4999用户自定义5000-59992.1.3 配置实例（s5600系列）要求正确配置ACL，限制所有科室在上班时间8:00至18:00访问财务科（IP:129.110.1.2）的工资查询服务器。 配置步骤：1定义时间段Quidway time-range huawei 8:00 to 18:00 working-day2进入3000号的高级访问控制列表视图Quidway acl number 30003定义访问规则Quidway-acl-adv-3000 rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei4进入GigabitEthernet1/0/1接口Quidway-acl-adv-3000 interface GigabitEthernet1/0/15在接口上用3000号ACLQuidway-GigabitEthernet1/0/1 packet-filter inbound ip-group 30002.2 防火墙的基本介绍2.2.1 防火墙(firewall) 防火墙是由软件、硬件构成的系统，用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。防火墙内的网络称为“可信赖的网络”(trusted network)，而将外部的因特网称为“不可信赖的网络”(untrusted network)。防火墙可用来解决内联网和外联网的安全问题。 2.2.2防火墙的功能防火墙的功能有两个：阻止和允许。“阻止”就是阻止某种类型的通信量通过防火墙（从外部网络到内部网络，或反过来）。“允许”的功能与“阻止”恰好相反。防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。 2.2.3 防火墙的物理特性防火墙的物理特性。防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：内部区域（内网）：内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域，即受到了防火墙的保护。外部区域（外网）：外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。停火区（DMZ）：停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器 等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。注意：2个接口的防火墙是没有停火区的。