第3章-网络逻辑设计3.ppt

第3章网络逻辑设计3 内容 3 1网络设计原则3 2网络拓扑设计 重点 3 3地址和命名模型设计3 4网络带宽设计3 5交换和路由协议的选择3 6网络安全策略设计3 7网络管理策略设计 略 3 5交换和路由协议的选择 3 5 1交换技术3 5 2路由协议选择 3 5 1交换技术 常用交换技术第二层透明网桥 交换 多层交换扩展树增强VLAN技术 1 透明网桥 交换 功能 透明地转发帧学习对应于每个MAC地址 使用那个端口当还没有学习到目的地单播地址时泛洪帧过滤发出端口已包括目的地址的帧洪泛广播和多播 网桥和交换机上的交换表 2 冗余级联Uplinks 访问层 分布层 核心层 交换机A 交换机B 交换机C 主Uplink 次Uplink X X X 被STP阻塞 STP阻塞备用链路 当主链路失效时 STP恢复使用备用链路 3 传输VLAN信息的协议 VLAN标识 Inter SwitchLink ISL 标签协议 Cisco厂商所有 IEEE802 1Q 标签协议 IEEE标准 3 传输VLAN信息的协议 VLANTrunk协议 VTP VLAN管理协议 3 5 2路由协议选择 1 路由协议分类静态或动态距离矢量和链路状态协议内部和外部 1 路由协议分类 具有共同的目的 在路由器之间共享可达性信息 很多不同之处 内部或外部 支持度量 动态或静态和缺省 距离矢量或链路状态 有类或无类 扩展性 内部或外部协议 自治系统 两个个经常用到的定义 一组路由器为互联网呈现共同的路由策略 在单个实体管理下的一个或一组网络 内部路由协议用于自治系统内部外部路由协议用于自治系统之间 路由协议度量 度量 路由算法用来决定网络中一条路由比另外一条要好的确定因数度量例子 带宽 容量延迟 时间负载 网络通信总量可靠性 错误率跳数 分组到达目的地网络之前必须通过的路由器数目费用 由协议或管理员定义的任意值 路由算法 静态路由预先 离线计算缺省路由 如果不能识别目的地 就将分组发送到路由器X 动态路由协议 距离矢量算法 链路状态算法 2 静态路由实例 RouterA config iproute172 16 50 0255 255 255 0172 16 20 2子网50到172 16 20 2 路由器B 发送分组 e0 e0 e0 s0 s1 s0 s0 路由器A 路由器B 路由器C 主机A 主机C 主机B 172 16 10 2 172 16 30 2 172 16 50 2 172 16 20 1 172 16 40 1 172 16 10 1 172 16 30 1 172 16 50 1 172 16 20 2 172 16 40 2 缺省路由实例 RouterA config iproute0 0 0 00 0 0 0172 16 20 2如果不是本地 就发送到172 16 20 2 路由器B e0 e0 e0 s0 s1 s0 s0 路由器A 路由器B 路由器C 主机A 主机C 主机B 172 16 10 2 172 16 30 2 172 16 50 2 172 16 20 1 172 16 40 1 172 16 10 1 172 16 30 1 172 16 50 1 172 16 20 2 172 16 40 2 3 距离矢量和链路状态路由 1 距离矢量路由路由器维护了一张路由表 列出了到达每一个网络的已知网络 方向 矢量 和距离 路由器周期性地 如 每隔30秒 向本地网段上的所有其他路由器通过广播分组传输路由表如果需要 路由器根据接收到的广播更新路由表 距离矢量路由表 路由器A 路由器B 172 16 0 0 192 168 2 0 网络距离发送到172 16 0 00端口1192 168 2 01路由器B端口2 网络距离发送到192 168 2 00端口1172 16 0 01路由器A端口3 路由器A的路由表 路由器B的路由表 2 1 3 2 1 2 链路状态路由 路由器维护了一个到所有网段的链路状态拓朴数据库 并从这个数据库中计算出到网络其他网段的最佳路径 即计算出自己的路由表 链路状态 指该链路的参数 如路由器接口的状态 UP DOWN IP地址和掩码 带宽 延迟及网络类型等 仅当链路的参数更改时 路由器才发送一个链路状态广告 LSA 给邻居 邻居将更改传播到他的邻居 如果需要 路由器更新他们的拓扑数据库 3 距离矢量与链路状态的对比 距离适量算法保持了一张网络列表 带有下一条网段和距离 度量 信息链路状态算法保持一个路由器及其之间链路的数据库 链路状态算法将互联网当作图而非列表 当发生更改时 链路状态算法使用Dijkstra sshortest pathalgorithm找到任意两个节点之间的最短距离 4 距离矢量和链路状态的选择 选择链路状态协议网络的快速汇聚至关重要网络设计呈层次化 大型网络通常都是如此管理员对所选的链路状态协议十分了解 选择距离矢量协议网络使用简单的平面拓扑 且不需要层次化设计网络使用简单的集中星状拓扑 不考虑网络汇聚的最坏情况管理员没有足够的经验来运行链路状态协议并实现排错 4 动态IP路由协议 链路状态协议开放最短路经优先 OSPF 中间系统 中间系统 IS IS 距离矢量协议路由信息协议 RIP 版本1和2内部网关路由协议 IGRP 增强IGRP EIGRP 边界网管协议 BGP 1 路由信息协议 RIP TCP IP环境下开发的第一个标准路由协议两个版本 RIPv1 RIPv2易于配置和排错每隔30秒广播他的路由表 每个分组有25个路由使用单个路由度量 跳数 测量到达目的地网络的距离 最大跳数为15 RIPv2特点 具有路由更新的子网掩码支持前缀路由 无类路由 超网 支持变长子网掩码 VLSM 解决不连续的子网问题 2 IGRP解决了RIP的问题 RIP中的15跳限制IGRP支持255跳RIP仅依靠一种度量 跳数 IGRP使用带宽 延迟 可靠性 负载 缺省时仅使用带宽和延迟 RIP使用30 秒更新计时器IGRP使用90秒 CISCO专用 3 EIGRP 路由通告仅包括路由表的变化信息 而非全部路由表能非常快地适应网络上的变化使用可靠传输协议进行路由信息分发路由器跟踪邻居的路由表 从中选择后继路由器和可行后继路由器 CISCO专用 4 开放最短路径优先 OSPF 链路状态路由协议 支持VLSM 变长子网掩码 层次化的路由协议 可以逻辑定义网络 将路由器分配到不同的区域 area 中 从而避免将链路状态更新信息向整个网络扩散 使用口令验证方式对链路状态更新进行验证 基于国际标准的协议 支持非常大的互联网不使用大量的带宽 通过ABR连接的OSPF区域 ABR 区域边界路由器 5 IS IS IS IS 中间系统 中间系统链路状态路由协议ISO设计用于OSI协议 也可处理IP与OSPF类似更灵活 高效 扩展性更好用于大型网络 6 边界网关协议 BGP 允许路由器在不同自治系统上交换路由信息 外部路由协议 用于因特网上大的ISP和大的公司之间支持路由聚合BGP路由器维护一张列出到达特定网络的所有可行路径的路由表 可包含100 000多条路由 决策表实例 3 6网络安全策略设计 3 6 1网络安全设计步骤3 6 2网络威胁与攻击3 6 3网络安全技术 3 6 1网络安全设计步骤 第一步 列举可能的各种攻击与风险第二步 明确安全策略由需求及环境决定整体安全性级别影响业务运营的承受能力如何进行管理及控制 配置 界面 投入及允许实施周期第三步 建立安全模型安全算法 信息 界面要求连接协议 通信接口模块网络安全传输 安管系统 支撑系统 传输系统 3 6 1网络安全设计步骤 第四步 选择并实现物理 链路 网络层的安全操作系统的安全应用平台的安全第五步 安全产品的选型及测试按照企业信息与网络系统安全产品的功能规范测试范围 功能 性能 可用性 3 6 2网络威胁与攻击 1 网络攻击 网络攻击 被动攻击指对信息的保密性进行攻击 特点是偷听或监视信息的传输 主动攻击是篡改信息来源的真实性 信息传输的完整性和系统服务的可用性 包括中断 伪造 篡改等 案例 网络攻击 安全威胁 安全威胁的表现形式 信息泄露 媒体废弃 人员不慎 授权侵犯 非授权访问 旁路控制 假冒 窃听 电磁 射频截获 完整性侵犯 截获 修改 物理侵入 重放 业务否认 业务拒绝 资源耗尽 业务欺骗 业务流分析 特洛伊木马程序 后门等 3 6 3网络安全技术 1 各层的安全技术 案例 网络安全技术 2 防火墙技术 1 防火墙的功能防火墙是由软件或硬件构成的网络安全系统 防火墙用来在两个网络之间实施访问控制策略 只有防火墙安全策略允许的数据 才可以自由出入防火墙 其他数据禁止通过 防火墙受到攻击后 应能稳定有效的工作 防火墙可以记录和统计网络的使用情况 防火墙应能过滤和屏蔽一切有害的服务和信息 防火墙应能隔离网络中的某些网段 2 防火墙在网络中的位置 防火墙用来解决内网和外网之间的安全问题 3 防火墙的不足 不能防范不经过防火墙的攻击 不能防范恶意的知情者或内部用户的误操作 不能防止受病毒或木马文件 由于防火墙不检测数据的内容 因此防火墙不能防止数据驱动式的攻击 4 防火墙的类型 实现方法 软件防火墙功能强于硬件防火墙 硬件防火墙性能高于软件防火墙 安全策略 包过滤防火墙 代理型防火墙 软件防火墙 个人级软件防火墙 天网 瑞星防火墙产品 企业级软件防火墙 微软公司ISAServerCheckPoint公司FW 硬件防火墙 大多数企业级防火墙都基于PC架构 硬件防火墙产品 美国思科公司 CiscoPIX美国杰科公司 NetScreen中国天融信公司 网络卫士中国华为公司防火墙等 案例 CiscoPIX防火墙产品 4 包过滤防火墙 包过滤防火墙弱点 过滤的依据只是网络层和传输层的有限信息 安全要求不可能充分满足 随着过滤规则的增加 性能会受到很大影响 缺少审计和报警机制 5 代理型防火墙 代理型防火墙 代理型防火墙是工作在应用层 优点 可以对网络中任何一层的数据进行筛选和保护 缺点 速度较慢 当网关吞吐量较高时 容易成为内网与外网之间的瓶颈 6 DMZ DMZ的基本慨念DMZ区域内通常放置一些不含机密信息的公用服务器 如Web Email FTP等服务器 DMZ并不是网络组成的必要部分 DMZ将网络划分为 内网 外网和DMZ区域 DMZ DMZ网络访问控制策略 基本原则 权限设计最小权限 定义允许访问的网络资源和网络的安全级别 确定可信用户和可信任区域 明确网络之间的访问关系 制定访问控制策略 案例 DMZ区域与外网的访问控制 3 IDS入侵检测技术 入侵检测系统的概念 入侵检测过程 信息收集 信息预处理 数据检测分析和响应等 入侵检测系统本质上是一种 嗅探设备 入侵分析 案例 IDS在网络设计中的部署 IDS存在的问题 误报 漏报率高没有主动防御能力缺乏准确定位和处理机制性能普遍不足 4 IPS入侵防御技术 IPS的基本概念 IPS是一种主动 积极的入侵防御系统 IPS不但能检测入侵的发生 并且能实时终止入侵行为 IPS一般部署在网络的进出口处 IPS只能串联在网络上 对防火墙不能过滤的攻击进行处理 案例 IPS在网络设计中的部署 IPS存在的问题 单点故障如果IPS出现问题 则会严重影响网络的正常运转 性能瓶颈要求对数据包做快速转发 加载数量庞大的检测特征库时 IPS设备无法支持这种响应速度 误报和漏报规则动态更新总体拥有成本 5 VPN技术 1 VPN的定义VPN使用IP机制仿真出一个私有的广域网 2 VPN