中小学网络基础知识锐捷三层交换机.ppt

中小学网络基础知识,部门/作者,中小学常见网络拓扑局域网常用技术局域网常见攻击如何防御局域网攻击答疑,第3页/共4页,校园网络的应用现状,学校信息化应用,第4页/共4页,早期中小学网络,家用路由器,“傻瓜”交换机,特点：1、低成本2、网络无冗余性3、交换机不可网管4、网络无安全性,第5页/共4页,网络设备介绍,二层“可网管”交换机,特点：1、接口数量多，常见的接口数量为24口或48口2、接口速率多为100M/bps或1000M/bps3、具有二层数据转发功能4、可以划分VLAN虚拟局域网5、具有防环路机制6、有一定的安全防御功能,第6页/共4页,网络设备介绍,三层“可网管”交换机,特点：1、三层交换机从外观上分为“盒式交换机”和“箱式交换机”2、三层交换机具有二层交换机的所有功能3、三层交换机增加三层数据转发功能4、接口多为1000M/bps速率,第7页/共4页,网络设备介绍,“可网管”路由器,特点：1、接口数量少2、支持各种广域网接口3、具有网络地址转换功能NAT4、完成三层数据转发5、具有防火墙和流量控制等功能,第8页/共4页,目前中小学常见网络,RG-S7610,RSR50-40,认证管理系统&网管,百兆电缆,千兆光线,RG-S2100,教学楼,RG-S2100,综合楼,RG-S2100,艺体楼,RG-S2100,PC,实验楼,服务器群,PC,PC,PC,核心层,接入层,第9页/共4页,目前中小学常见网络,RG-S7610,RSR50-40,认证管理系统&网管,百兆电缆,千兆光线,RG-S5750,RG-S2100,教学楼,RG-S5750,RG-S2100,综合楼,RG-S5750,RG-S2100,艺体楼,RG-S2100,PC,实验楼,服务器群,PC,PC,PC,核心层,汇聚层,接入层,第10页/共4页,“可网管”局域网优势,第11页/共4页,局域网技术,IP地址及其分类,第12页/共4页,局域网技术,第13页/共4页,VLAN技术,在交换机组成的校园网络里所有主机都在同一个广播域内,广播域,安全,广播,交换网络中存在的问题,第14页/共4页,交换网络中的问题,通过VLAN技术可以对网络进行一个安全的隔离、分割广播域,VLAN20,VLAN10,VLAN30,VLAN40,VLAN技术,1,2,3,4,交换机,广播帧,广播域,广播帧,广播域,VLAN概述（VirtualLocalAreaNetwork）VLAN是划分出来的逻辑网络，是第二层网络。VLAN端口不受物理位置的限制。VLAN隔离广播域。,VLAN的类型:PortVLAN,基于交换机的端口(一个端口只属于一个VLAN，PortVLAN设置在连接主机的端口),F0/1,F0/2,F0/3,Port-VLAN原理,通过查找MAC地址表，交换机对发往不同VLAN的数据不转发,F0/1,F0/2,F0/3,A,B,C,Vlan10,Vlan20,Vlan10,ABAC,X,VLAN的类型:TagVLAN,TagVLAN特点传输多个VLAN的信息实现同一VLAN跨越不同的交换机要求Ttunk至少要100M,802.1Q工作原理,802.1Q工作特点：802.1Q数据帧传输对于用户是完全透明的。Trunk上默认会转发交换机上存在的所有VLAN的数据。交换机在从Trunk口转发数据前会在数据打上个Tag标签，在到达另一交换机后，再剥去此标签。,A,交换机1,交换机2,B,数据帧,Tag标签,Trunk,Trunk,第20页/共4页,数据包在三层网络如何通信,A,B,192.168.1.0,192.168.2.0,192.168.3.0,PC1,PC2,第21页/共4页,局域网常见攻击,ARP攻击,ARP攻击就是将ARP表中IP与MAC地址的对应关系进行了修改!,第22页/共4页,ARP欺骗攻击分类-主机型,主机型ARP欺骗欺骗者主机冒充网关设备对其他主机进行欺骗,网关,欺骗者,嗨，我是网关,PC1,第23页/共4页,ARP欺骗攻击分类-网关型,网关型ARP欺骗欺骗者主机冒充其他主机对网关设备进行欺骗,23,网关,欺骗者,嗨，我是PC1,PC1,第24页/共4页,局域网常见攻击,DHCP攻击,第25页/共4页,局域网常见攻击,二层环路,第26页/共4页,局域网常见攻击,TCP半连接攻击,客户端A,服务器B,TCP半连接攻击就是攻击者发送大量的TCP链接，当目的主机回应TCP后，攻击者不发送确认报文，导致被攻击者系统资源被大量浪费,第27页/共4页,如何防御ARP攻击,判断ARP欺骗攻击-主机,怎样判断是否受到了ARP欺骗攻击？网络时断时续或网速特别慢在命令行提示符下执行“arpd”命令就能好上一会在命令行提示符下执行“arpa”命令查看网关对应的MAC地址发生了改变,27,第28页/共4页,如何防御ARP攻击,判断ARP欺骗攻击-网关设备,网关设备怎样判断是否受到了ARP欺骗攻击？ARP表中同一个MAC对应许多IP地址,28,第29页/共4页,如何防御ARP攻击,29,安全地址获取,丢弃,转发,ARP报文校验,ARP报文S/T字段是否与安全地址一致,ARP报文,是,否,安全地址的获取是防ARP欺骗的前提，ARP报文校验是防ARP欺骗的手段,手工指定port-security自动获取DHCPSnoopingDot1x认证,ARP-check检查ARP报文中senderMAC和senderIP是否和安全地址中的MAC和IP所对应一致,第30页/共4页,如何防御DHCP攻击,DHCPSnooping,DHCP安全特性过滤非法DHCP报文，防范非法的DHCPServer和对服务器的攻击对DHCP报文进行窥探，建立DHCP-Snooping数据库，为IP报文和ARP报文过滤提供依据,Clienet,Server,untrust,untrust,trust,第31页/共4页,如何防止二层环路,使用生成树协议Spanni