網(wǎng)絡(luò)基礎(chǔ)知識培訓(xùn)_第1頁
網(wǎng)絡(luò)基礎(chǔ)知識培訓(xùn)_第2頁
網(wǎng)絡(luò)基礎(chǔ)知識培訓(xùn)_第3頁
網(wǎng)絡(luò)基礎(chǔ)知識培訓(xùn)_第4頁
網(wǎng)絡(luò)基礎(chǔ)知識培訓(xùn)_第5頁
已閱讀5頁,還剩97頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

網(wǎng)絡(luò)基礎(chǔ)及新技術(shù)學(xué)習(xí)內(nèi)容提要1網(wǎng)絡(luò)基礎(chǔ)知識2常見網(wǎng)絡(luò)技術(shù)及應(yīng)用3103工程講解OSI參考模型OSIRM:開放系統(tǒng)互連參考模型(OpenSystemInterconnectionReferenceModel)網(wǎng)絡(luò)世界的通信證!保證不同應(yīng)用間的數(shù)據(jù)區(qū)分用戶接口數(shù)據(jù)表示加密等特殊處理過程TelnetHTTPASCIIEBCDICJPEGOperatingSystem/ApplicationAccessScheduling傳輸層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層物理層例子會話層表示層應(yīng)用層應(yīng)用層作用TCPUDPSPX802.3/802.2HDLCEIA/TIA-232

V.35IPIPX例子數(shù)據(jù)流層的作用傳輸層數(shù)據(jù)鏈路層物理層可靠或不可靠的數(shù)據(jù)傳輸數(shù)據(jù)重傳前的錯誤糾正將比特組合成字節(jié)進(jìn)而組合成幀用MAC地址訪問介質(zhì)錯誤發(fā)現(xiàn)但不能糾正設(shè)備間接收或發(fā)送比特流說明電壓、線速和線纜等網(wǎng)絡(luò)層提供路由器用來決定路徑的邏輯尋址傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層上層數(shù)據(jù)上層數(shù)據(jù)TCP頭數(shù)據(jù)IP頭數(shù)據(jù)LLC頭0101110101001000010數(shù)據(jù)MAC頭表示層應(yīng)用層會話層段包比特幀PDUFCSFCSOSI與網(wǎng)絡(luò)硬件的關(guān)系路由器和交換機(jī)上的內(nèi)容智能服務(wù)器的負(fù)載均衡和第四層交換機(jī)第三層交換機(jī)和路由器第二層交換機(jī)和集線器中繼器典型網(wǎng)絡(luò)模型賀歲大片——《網(wǎng)絡(luò)帝國》路由器(男主角)網(wǎng)絡(luò)中最重要的設(shè)備,提供最豐富的接口連接、軟件特性,也是構(gòu)建網(wǎng)絡(luò)的核心力量。以太網(wǎng)設(shè)備(L2/L3/LAN接入)(女主角)提供各種以太網(wǎng)接口類型的線速轉(zhuǎn)發(fā)功能,是構(gòu)建局域網(wǎng)和城域網(wǎng)的核心力量。路由交換設(shè)備(反串)提供LAN交換板的路由器;提供增強(qiáng)型引擎的交換機(jī)——路由器和交換機(jī)的融合趨勢越來越明顯。其他設(shè)備(配角)網(wǎng)管、安全、語音、視訊設(shè)備,提供網(wǎng)絡(luò)的管理或業(yè)務(wù)增值功能。二層或物理層交換設(shè)備(劇務(wù))ATM交換機(jī)、FR、X.25交換機(jī)、DDN節(jié)點(diǎn)機(jī)、傳輸設(shè)備。對各種物理端口進(jìn)行帶寬或時隙的拆分。交換機(jī)每段有自己的沖突域廣播信息向所有段轉(zhuǎn)發(fā)MAC地址表轉(zhuǎn)發(fā)緩沖區(qū)交換路由器路由器的核心作用是實(shí)現(xiàn)網(wǎng)絡(luò)互連分組數(shù)據(jù)轉(zhuǎn)發(fā)路由(尋徑):路由表建立、刷新、查找子網(wǎng)間的速率適配隔離網(wǎng)絡(luò),防止網(wǎng)絡(luò)風(fēng)暴,指定訪問規(guī)則(防火墻)不同網(wǎng)段或者異種網(wǎng)絡(luò)互連WAN路由器工作流程IPETHPPP以太口串口IPETHPPP以太口串口協(xié)議封裝路由選擇協(xié)議轉(zhuǎn)換路由器路由器WAN傳送拆包LAN1LAN2接收發(fā)送工作過程運(yùn)營級網(wǎng)絡(luò)的規(guī)劃流程設(shè)備選型物理連通IP連通路由規(guī)劃拓?fù)湟?guī)劃MPLS/VPN規(guī)劃QOS規(guī)劃板卡規(guī)劃IP地址規(guī)劃業(yè)務(wù)隔離及關(guān)鍵業(yè)務(wù)確保帶寬及流量控制網(wǎng)絡(luò)安全部署網(wǎng)管規(guī)劃可運(yùn)營可管理的安全網(wǎng)絡(luò)策略路由高級路由協(xié)議規(guī)劃網(wǎng)絡(luò)的層次劃分核心層交換數(shù)據(jù)包,實(shí)現(xiàn)高速的數(shù)據(jù)流量運(yùn)轉(zhuǎn),核心層的設(shè)備不但需要容量大,轉(zhuǎn)發(fā)快,而且需要具備高穩(wěn)定性。但通常對業(yè)務(wù)的需求高。匯聚層隔離拓樸結(jié)構(gòu)變化、控制路由表的大小及控制流量、端口的收斂。實(shí)現(xiàn)豐富的業(yè)務(wù)特性。接入層將終端用戶接入到網(wǎng)絡(luò)中,大量的端口,強(qiáng)大的接入能力。實(shí)現(xiàn)豐富的業(yè)務(wù)特性。幾點(diǎn)說明在小型的網(wǎng)絡(luò)中,層次不一定這么明顯,很可能只有兩個甚至一個層次的設(shè)備。在一些大型網(wǎng)絡(luò)中,層次可能劃分的更細(xì):例如,增加了邊緣接入層、和骨干核心層。在某個范圍之內(nèi)的核心層,在上一級網(wǎng)絡(luò)中很可能只是匯聚層。舉例:黑龍江省國家稅務(wù)局網(wǎng)絡(luò)內(nèi)容提要1網(wǎng)絡(luò)基礎(chǔ)知識2常見網(wǎng)絡(luò)技術(shù)及應(yīng)用3103工程講解以太網(wǎng)技術(shù)的發(fā)展趨勢企業(yè)以太網(wǎng)城域以太網(wǎng)Stackwise/IRFMSTPWLANVoiceVLANIDS聯(lián)動可信準(zhǔn)入

鏈路聚合MPLSVPNQinQMulti-VRF10GRPR/DPTIPV6千兆接入三層到桌面EPONMPLS-TP/MacinMacPOE100G以太網(wǎng)虛擬交換機(jī)內(nèi)容提要1Vlan、VoiceVlan、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻擊、DDOS攻擊7OSPF協(xié)議簡介VLAN發(fā)展----起源L2L2L2L2L2廣播域廣播報文VLAN發(fā)展----起源L2L2L2L2L2廣播域廣播報文使用路由器隔離廣播域,減少廣播報文對網(wǎng)絡(luò)的影響L2L2L2L2L2廣播報文VLAN2VLAN3VLAN4一個VLAN,一個廣播域VLAN發(fā)展----起源VLAN的引入,為解決廣播報文的泛濫提供了新的方法限制廣播域,抑制廣播報文隔離用戶,保證網(wǎng)絡(luò)安全虛擬工作組,超越傳統(tǒng)網(wǎng)絡(luò)的工作組方式VLAN發(fā)展----劃分方法基于MAC地址基于交換機(jī)端口基于協(xié)議基于IP子網(wǎng)VLAN與二層交換----鏈路類型干道鏈路接入鏈路跨越交換機(jī)的VLAN報文轉(zhuǎn)發(fā)Trunk端口Trunk端口Access端口Access端口VLAN與二層交換---標(biāo)簽化的報文VLAN10VLAN10VLAN20VLAN20VLAN20標(biāo)簽報文VLAN10標(biāo)簽報文無標(biāo)簽報文VLAN與二層交換----交換規(guī)則主機(jī)和交換機(jī)之間傳送的是untagged報文交換機(jī)之間用干道鏈路(Trunk)連接交換機(jī)用Tag來標(biāo)識報文所屬的VLAN干道鏈路上傳輸?shù)氖荰aggedFrame不同VLAN之間在二層不能相互通訊VLAN發(fā)展----VLAN與三層路由不同VLAN之間是隔離一個VLAN原則上對應(yīng)一個IP子網(wǎng)(PVLAN,VLAN聚合除外)VLAN之間互通需要三層路由VLAN與三層路由----三層交換機(jī)+=每一個VLAN對應(yīng)一個IP網(wǎng)段,在二層上,VLAN之間是隔離的。不同的IP網(wǎng)段之間的訪問要跨越VLAN,可以使用三層轉(zhuǎn)發(fā)引擎提供的VLAN間路由功能。三層轉(zhuǎn)發(fā)引擎就相當(dāng)于傳統(tǒng)路由器的路由功能,當(dāng)VLAN之間相互通信時也要,需要在三層交換引擎上分配一個路由虛接口,三層交換機(jī)上的路由虛接口與路由器的接口不同,不特定于某個物理端口。在三層交換機(jī)上為VLAN指定路由虛接口的操作就是為VLAN指定一個IP地址、子網(wǎng)掩碼和MAC地址,MAC地址是由設(shè)備制造過程中分配的,在配置過程中由交換機(jī)自動配置。+VLANVLAN應(yīng)用——PVLAN

PVLAN:PrimaryVLAN,即私有VLAN優(yōu)點(diǎn):節(jié)約交換機(jī)VLAN的使用數(shù)量特點(diǎn):PVLAN是個純二層的概念,在單個交換機(jī)上配置的VLAN對于其他交換機(jī)是不可見的,不能與Trunk同時使用PVLAN-實(shí)現(xiàn)原理

使用兩層VLAN隔離的方法,只有上層VLAN全局可見,相當(dāng)于在一個VLAN內(nèi)實(shí)現(xiàn)用戶隔離,達(dá)到端口隔離的效果VLAN應(yīng)用——VLAN聚合

VLANAggregation:RFC3069——SuperVLAN,SubVLAN概念:在一個物理網(wǎng)絡(luò)內(nèi),用VLAN隔離廣播域,不同的VLAN屬于同一個子網(wǎng)。優(yōu)點(diǎn):節(jié)約大量的IP地址:子網(wǎng)地址、廣播地址、網(wǎng)關(guān)地址,擴(kuò)展容易VLAN聚合--工作原理

正常情況下,一個VLAN對應(yīng)一個IP子網(wǎng)

VLAN聚合中,SuperVLAN對應(yīng)的路由虛接口,作為所有其SubVLAN包含的端口下掛的主機(jī)的網(wǎng)關(guān)地址。不同SubVLAN下的主機(jī)是不能互通的,如果互通,需要在SuperVLAN上配置ARPProxy。241Subvlan3Subvlan2Subvlan43SuperVLAN1路由接口/24LanSwitchIP地址:/24網(wǎng)關(guān):IP地址:/24網(wǎng)關(guān):VoiceVLAN背景隨著語音技術(shù)的日益發(fā)展,IP電話、IAD(IntegratedAccessDevice,綜合接入設(shè)備)應(yīng)用越來越廣泛,尤其在寬帶小區(qū),網(wǎng)絡(luò)中經(jīng)常同時存在語音數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)兩種流量。語音數(shù)據(jù)在傳輸時需要具有比業(yè)務(wù)數(shù)據(jù)更高的優(yōu)先級,以減少傳輸過程中可能產(chǎn)生的時延和丟包現(xiàn)象。提高語音數(shù)據(jù)傳輸優(yōu)先級的傳統(tǒng)處理方法是使用ACL對語音數(shù)據(jù)進(jìn)行區(qū)分,并使用QoS保證傳輸質(zhì)量。為簡化用戶配置、更方便的管理語音流的傳輸策略,交換機(jī)提供了VoiceVLAN功能。VoiceVLAN的主要特點(diǎn)就是可以通過報文的源MAC地址自動識別出語音流量,并將語音流量分發(fā)到特定的VLAN(VoiceVLAN)中傳輸。VoiceVLAN技術(shù)優(yōu)勢相對于使用ACL/QoS來區(qū)分語音流的方法,VoiceVLAN對語音流的管理具有以下一些優(yōu)勢:配置簡單:用戶只需要在全局和端口下進(jìn)行簡單的配置,開啟VoiceVLAN功能,即可對語音數(shù)據(jù)進(jìn)行分類處理,而不需要配置復(fù)雜的二層ACL和QoS,也不必關(guān)心各規(guī)則的匹配順序以及下發(fā)至端口造成的其他問題。便于維護(hù):用戶可以在全局配置對語音數(shù)據(jù)的匹配規(guī)則(VoiceVLANOUI地址)進(jìn)行修改,在新增IP語音設(shè)備的情況下,各端口能夠迅速根據(jù)更新的匹配規(guī)則識別語音流,用戶不需要配置新的二層ACL和QoS策略。實(shí)現(xiàn)靈活:相對于ACL/QoS的純手工靜態(tài)配置,VoiceVLAN功能在全局提供了安全/普通兩種模式,端口上又可以分為自動/手動模式,實(shí)現(xiàn)更為靈活,用戶可以根據(jù)自己需要進(jìn)行組合,最大限度滿足用戶的需求。VoiceVLAN組網(wǎng)應(yīng)用內(nèi)容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻擊、DDOS攻擊7OSPF協(xié)議簡介VRRP工作原理VRRP負(fù)載和網(wǎng)絡(luò)流量均衡內(nèi)容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻擊、DDOS攻擊7OSPF協(xié)議簡介802.1X的背景和概念

--傳統(tǒng)局域網(wǎng)的缺陷安全性問題:1.用戶只要能接入局域網(wǎng)設(shè)備,就可以訪問網(wǎng)中的設(shè)備或資源;2.WLAN的安全性問題更顯得突出;運(yùn)營管理問題:1.IEEE802LAN協(xié)議定義的局域網(wǎng)不提供接入認(rèn)證;2.對于電信接入、寫字樓、移動辦公等應(yīng)用需要對用戶的接入進(jìn)行認(rèn)證、計費(fèi)和配置;802.1X簡介

802.1X協(xié)議是IEEE在2001.6通過的正式標(biāo)準(zhǔn),標(biāo)準(zhǔn)的起草者包括Microsoft,Cisco,Extreme,Nortel等802.1X協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前,802.1X對連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前,802.1X只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口;認(rèn)證通過以后,正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。802.1X工作過程802.1X特點(diǎn)基于以太網(wǎng)端口認(rèn)證的802.1x協(xié)議有如下特點(diǎn):IEEE802.1X協(xié)議為二層協(xié)議,不需要到達(dá)三層,對設(shè)備的整體性能要求不高,可以有效降低建網(wǎng)成本;借用了在RAS系統(tǒng)中常用的EAP(擴(kuò)展認(rèn)證協(xié)議),可以提供良好的擴(kuò)展性和適應(yīng)性,實(shí)現(xiàn)對傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容;802.1X的認(rèn)證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能,從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離,由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對用戶的認(rèn)證與控制,業(yè)務(wù)報文直接承載在正常的二層報文上通過可控端口進(jìn)行交換,通過認(rèn)證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包;可以使用現(xiàn)有的后臺認(rèn)證系統(tǒng)降低部署的成本,并有豐富的業(yè)務(wù)支持;可以映射不同的用戶認(rèn)證等級到不同的VLAN;可以使交換端口和無線LAN具有安全的認(rèn)證接入功能。

802.1X與其他認(rèn)證方式的簡單比較

802.1XPPPoEWeb認(rèn)證是否需要安裝客戶端軟件

是是否

XP不需要業(yè)務(wù)報文效率高低,有封裝開銷高組播支持能力好低,對設(shè)備要求高好有線網(wǎng)上的安全性擴(kuò)展后可用可用可用

設(shè)備端的要求低高較高處理流程清晰清晰較復(fù)雜802.1X認(rèn)證的優(yōu)勢簡潔高效:純以太網(wǎng)技術(shù)內(nèi)核,保持了IP網(wǎng)絡(luò)無連接特性,不需要進(jìn)行協(xié)議間的多層封裝,去除了不必要的開銷和冗余;消除網(wǎng)絡(luò)認(rèn)證計費(fèi)瓶頸和單點(diǎn)故障,易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。

容易實(shí)現(xiàn):可在普通L3、L2、IPDSLAM上實(shí)現(xiàn),網(wǎng)絡(luò)綜合造價成本低,保留了傳統(tǒng)AAA認(rèn)證的網(wǎng)絡(luò)架構(gòu),可以利用現(xiàn)有的RADIUS設(shè)備。

安全可靠:在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證,結(jié)合MAC、端口、賬戶、VLAN和密碼等;綁定技術(shù)具有很高的安全性,在無線局域網(wǎng)網(wǎng)絡(luò)環(huán)境中802.1x結(jié)合EAP-TLS,EAP-TTLS,可以實(shí)現(xiàn)對WEP證書密鑰的動態(tài)分配,克服無線局域網(wǎng)接入中的安全漏洞。

行業(yè)標(biāo)準(zhǔn):IEEE標(biāo)準(zhǔn),和以太網(wǎng)標(biāo)準(zhǔn)同源,可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無縫融合,幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備,包括路由器、交換機(jī)和無線AP上都提供對該協(xié)議的支持。在客戶端方面微軟WindowsXP操作系統(tǒng)內(nèi)置支持,Linux也提供了對該協(xié)議的支持。

應(yīng)用靈活:可以靈活控制認(rèn)證的顆粒度,用于對單個用戶連接、用戶ID或者是對接入設(shè)備進(jìn)行認(rèn)證,認(rèn)證的層次可以進(jìn)行靈活的組合,滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。

易于運(yùn)營:控制流和業(yè)務(wù)流完全分離,易于實(shí)現(xiàn)跨平臺多業(yè)務(wù)運(yùn)營,少量改造傳統(tǒng)包月制等單一收費(fèi)制網(wǎng)絡(luò)即可升級成運(yùn)營級網(wǎng)絡(luò),而且網(wǎng)絡(luò)的運(yùn)營成本也有望降低。

802.1X在大中型網(wǎng)絡(luò)中的應(yīng)用模式AAA/DHCP/DNS支持802.1X設(shè)備端支持802.1X設(shè)備端802.1X客戶端802.1X認(rèn)證服務(wù)器802.1X客戶端內(nèi)容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻擊、DDOS攻擊7OSPF協(xié)議簡介訪問控制列表(AccessControlList,ACL)ACL簡介: 訪問控制列表(AccessControlList,ACL)是路由器和交換機(jī)接口的指令列表,用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議,如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句,表只是一個框架結(jié)構(gòu),其目的是為了對某種訪問進(jìn)行控制。

ACL具體的執(zhí)行流程:數(shù)據(jù)包只有在跟第一個判斷條件不匹配時,它才被交給ACL中的下一個條件判斷語句進(jìn)行比較。如果匹配(假設(shè)為允許發(fā)送),則不管是第一條還是最后一條語句,數(shù)據(jù)都會立即發(fā)送到目的接口。如果所有的ACL判斷語句都檢測完畢,仍沒有匹配的語句出口,則該數(shù)據(jù)包將視為被拒絕而被丟棄。

注意:一個端口執(zhí)行哪條ACL,這需要按照列表中的條件語句執(zhí)行順序來判斷。如果一個數(shù)據(jù)包的報頭跟表中某個條件判斷語句相匹配,那么后面的語句就將被忽略,不再進(jìn)行檢查。ACL作用1.ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如,ACL可以根據(jù)數(shù)據(jù)包的協(xié)議,指定數(shù)據(jù)包的優(yōu)先級。

2.ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網(wǎng)段的通信流量。

3.ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL允許主機(jī)A訪問人力資源網(wǎng)絡(luò),而拒絕主機(jī)B訪問。

4.

ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。某部門要求只能使用WWW這個功能,就可以通過ACL實(shí)現(xiàn);又例如,為了某部門的保密性,不允許其訪問外網(wǎng),也不允許外網(wǎng)訪問它,就可以通過ACL實(shí)現(xiàn)。

這里要注意,ACL不能對本路由器產(chǎn)生的數(shù)據(jù)包進(jìn)行控制。ACL分類目前有兩種主要的ACL:標(biāo)準(zhǔn)(standard)ACL和擴(kuò)展(extended)ACL標(biāo)準(zhǔn)的ACL使用1~99

以及1300~1999之間的數(shù)字作為表號擴(kuò)展的ACL使用100~199以及2000~2699之間的數(shù)字作為表號

標(biāo)準(zhǔn)ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量,或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量,或者拒絕某一協(xié)議簇(比如IP)的所有通信流量。

擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍。例如,網(wǎng)絡(luò)管理員如果希望做到“允許外來的Web通信流量通過,拒絕外來的FTP和Telnet等通信流量”,那么,他可以使用擴(kuò)展ACL來達(dá)到目的,標(biāo)準(zhǔn)ACL不能控制這么精確。從IOS12.0開始,思科(CISCO)路由器新增加了一種基于時間的訪問列表。通過它,可以根據(jù)一天中的不同時間,或者根據(jù)一星期中的不同日期,或二者相結(jié)合來控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。

內(nèi)容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻擊、DDOS攻擊7OSPF協(xié)議簡介QOS簡介什么叫QOSQoS(QualityofService),又稱服務(wù)質(zhì)量,是指為使用戶在吞吐量、延遲抖動、延遲,丟包率等方面獲得預(yù)期服務(wù)水平所采取的一系列技術(shù)的集合。更簡單地說:QoS就是針對各種不同需求,提供不同服務(wù)質(zhì)量的網(wǎng)絡(luò)服務(wù)?,F(xiàn)狀傳統(tǒng)IP網(wǎng)采用了FIFO,對報文的吞吐量、延遲、延遲抖動、丟包率等都不能預(yù)期,可能很好,也可能極差,一切都要視網(wǎng)絡(luò)狀況而定。QOS模型QoS的實(shí)現(xiàn)模型主要有集成服務(wù)模型(IntegratedService)和差別服務(wù)模型(DifferentiatedService)。集成服務(wù)模型是端到端的基于流的QoS技術(shù),它通過信令向網(wǎng)絡(luò)申請?zhí)囟ǖ腝oS服務(wù),網(wǎng)絡(luò)在流量參數(shù)描述的范圍內(nèi),預(yù)留資源以承諾滿足該請求。差別服務(wù)模型是一種基于類的QoS技術(shù),它在網(wǎng)絡(luò)邊界將數(shù)據(jù)流按QoS要求進(jìn)行簡單分類,并根據(jù)業(yè)務(wù)的不同服務(wù)等級約定,有差別地進(jìn)行流量控制和轉(zhuǎn)發(fā)來解決擁塞問題。QoS(QualityofService)QoS概念: QoS是一種控制機(jī)制,它提供了針對不同用戶或者不同數(shù)據(jù)流才用相應(yīng)不同的優(yōu)先級,或者是根據(jù)應(yīng)用程序的要求,保證數(shù)據(jù)流的性能達(dá)到一定的水準(zhǔn)。QoS的保證對于容量有限的網(wǎng)絡(luò)來說是十分重要的,特別是對于串流多媒體應(yīng)用,例如VoIP和IPTV等,因?yàn)檫@些應(yīng)用常常需要固定的傳輸率,對延時也比較敏感。

內(nèi)容提要1Vlan、VoiceVlan、QinQ、PVlan等3VRRP4802.1x5ACL2IPv66QoS7ARP攻擊、DDOS攻擊8OSPF協(xié)議簡介ARP協(xié)議介紹

ARP——AddressResolutionProtocol地址解釋協(xié)議,RFC826為IP地址到MAC地址提供動態(tài)映射,定位到目的IP的對應(yīng)MAC才能實(shí)現(xiàn)數(shù)據(jù)交換以太網(wǎng)目的地址以太網(wǎng)源地址幀類型硬件地址協(xié)議類型硬件地址長度協(xié)議地址長度OP發(fā)送端以太網(wǎng)地址目的以太網(wǎng)地址發(fā)送端IP地址目的IP地址662222116644以太網(wǎng)首部28字節(jié)ARP請求/應(yīng)答誰是?告訴我MAC地址

的MAC地址是AARP請求ARP應(yīng)答免費(fèi)ARP

的MAC地址是CMACAMACBMACCMACDARP欺騙攻擊—仿冒網(wǎng)關(guān)攻擊者發(fā)送偽造的網(wǎng)關(guān)ARP報文,可廣播給同網(wǎng)段內(nèi)的所有其他主機(jī)主機(jī)訪問網(wǎng)關(guān)的流量,被重定向到錯誤的MAC地址,無法正常訪問外網(wǎng)是最常見的ARP攻擊方式,導(dǎo)致網(wǎng)絡(luò)癱瘓,甚至數(shù)據(jù)被竊取用戶A的ARP表項(xiàng)IPAddressMACTypeGDynamicBDynamicBDynamic目的MAC源MAC目的IP源IP5-5-5A用戶A的上網(wǎng)流量被錯誤的發(fā)送到攻擊者B攻擊者BIP:MAC:B用戶AIP:MAC:A網(wǎng)關(guān)GIP:MAC:G

的MAC地址是BARP欺騙攻擊—欺騙網(wǎng)關(guān)攻擊者偽造虛假的用戶ARP報文,發(fā)給網(wǎng)關(guān)網(wǎng)關(guān)發(fā)給該用戶的數(shù)據(jù)重定向到錯誤的MAC地址,該用戶收不到網(wǎng)關(guān)返回的數(shù)據(jù)而無法正常訪問外網(wǎng)目的MAC源MAC目的IP源IP5-5-5G網(wǎng)關(guān)發(fā)給用戶A的流量被錯誤的發(fā)送到攻擊者B攻擊者BIP:MAC:B用戶AIP:MAC:A網(wǎng)關(guān)GIP:MAC:G網(wǎng)關(guān)的ARP表項(xiàng)IPAddressMACTypeADynamicBDynamicBDynamic

的MAC地址是BARP欺騙攻擊—欺騙終端用戶攻擊者偽造虛假的用戶ARP報文,發(fā)送給網(wǎng)段內(nèi)的其他主機(jī)網(wǎng)段內(nèi)的其他主機(jī)發(fā)給該用戶的數(shù)據(jù)被重定向到錯誤的MAC地址,該用戶與其他主機(jī)無法互訪目的MAC源MAC目的IP源IP5-5-5A網(wǎng)關(guān)發(fā)給用戶A的流量被錯誤的發(fā)送到攻擊者B攻擊者BIP:MAC:B用戶AIP:MAC:A網(wǎng)關(guān)GIP:MAC:G用戶CIP:MAC:C用戶A的ARP表項(xiàng)IPAddressMACTypeGDynamicBDynamicCDynamicBDynamic

的MAC地址是BARP泛洪攻擊攻擊者偽造大量不同ARP報文在網(wǎng)段內(nèi)進(jìn)行廣播導(dǎo)致網(wǎng)關(guān)ARP表項(xiàng)被占滿,無法正常學(xué)習(xí)合法用戶的ARP,網(wǎng)絡(luò)癱瘓大量廣播報文消耗交換機(jī)和網(wǎng)絡(luò)資源,網(wǎng)絡(luò)明顯變慢大量的ARP廣播報文攻擊者BIP:MAC:B用戶AIP:MAC:A網(wǎng)關(guān)GIP:MAC:GARP廣播報文對應(yīng)的MAC是A無法學(xué)習(xí)!網(wǎng)關(guān)的ARP表項(xiàng)(存在大量虛假ARP)IPAddressMACType0-0-1Dynamic0-0-2Dynamic0-0-3Dynamic0-0-4Dynamic……DynamicARP攻擊防御的三個控制點(diǎn)網(wǎng)關(guān)G用戶接入設(shè)備網(wǎng)關(guān)防御合法ARP綁定,防御網(wǎng)關(guān)被欺騙

VLAN內(nèi)的ARP學(xué)習(xí)數(shù)量限制,防御ARP泛洪攻擊1接入設(shè)備防御將合法網(wǎng)關(guān)IP-MAC進(jìn)行綁定,防御仿冒網(wǎng)關(guān)攻擊

ARP入侵檢測

ARP限速,防止大流量ARP報文沖擊網(wǎng)絡(luò)綁定用戶的靜態(tài)MAC2客戶端防御合法網(wǎng)關(guān)ARP綁定,防止網(wǎng)關(guān)仿冒攻擊綁定該主機(jī)的合法IP-MAC,過濾掉所有非法ARP報文ARP限速3根據(jù)前述ARP攻擊原理,解決ARP欺騙攻擊有以下三個控制點(diǎn):ARP攻擊防御總結(jié)部署方式預(yù)防類型實(shí)現(xiàn)方式部署位置部署要求A:ARP限速4限制端口下ARP報文速率,避免大量虛假ARP占用網(wǎng)絡(luò)帶寬,導(dǎo)致網(wǎng)絡(luò)設(shè)備CPU負(fù)載過重接入交換機(jī)支持ARP限速特性B:DHCP監(jiān)控1,2,3,4監(jiān)控DHCP過程,自動建立綁定表項(xiàng),通過ARPDetection防止虛假ARP在網(wǎng)絡(luò)中傳播接入交換機(jī)支持DHCP監(jiān)控模式特性C:1x認(rèn)證監(jiān)控1,2,3,4監(jiān)控1x認(rèn)證過程,自動建立綁定表項(xiàng),通過ARPDetection防止虛假ARP在網(wǎng)絡(luò)中傳播接入交換機(jī)支持1x認(rèn)證監(jiān)控模式D:手工靜態(tài)綁定1,2,3,4對不采用DHCP、1x認(rèn)證的端口,手工配置ARPDectection綁定表項(xiàng)接入交換機(jī)支持手工靜態(tài)綁定特性E:普通認(rèn)證方式1,4認(rèn)證服務(wù)器向接入終端下發(fā)對應(yīng)網(wǎng)關(guān)的IP-MAC綁定,終端PC生成靜態(tài)表項(xiàng);可進(jìn)行終端ARP流量檢測,超過閾值自動下線認(rèn)證服務(wù)器、接入客戶端配置網(wǎng)關(guān)的IP-MAC綁定列表,接入終端支持ARPF:簡單網(wǎng)關(guān)綁定1接入終端若發(fā)送帶有網(wǎng)關(guān)IP的ARP報文,進(jìn)行丟棄接入交換機(jī)支持簡單網(wǎng)關(guān)綁定特性G:ARP一致性檢查2,4檢查ARP報文的源MAC與以太頭中的源MAC是否一致,不一致則不學(xué)習(xí)和更新ARP表項(xiàng)網(wǎng)關(guān)支持ARP一致性檢查特性預(yù)防類型:1.仿冒網(wǎng)關(guān)2.欺騙網(wǎng)關(guān)3.欺騙終端用戶4.ARP泛洪內(nèi)容提要1Vlan、VoiceVlan、QinQ、PVlan等3VRRP4802.1x5ACL2IPv66QoS7ARP攻擊、DDOS攻擊8OSPF協(xié)議簡介OSPF簡介OSPF(OpenShortestPathFirst,開放最短路徑優(yōu)先協(xié)議)是一種基于鏈路狀態(tài)路由選擇算法的內(nèi)部網(wǎng)關(guān)路由協(xié)議。OSPF的版本有OSPFv1、OSPFv2和OSPFv3,前兩者用于IPv4,OSPFv3用于IPv6。OSPF的功能比RIP強(qiáng)大的多,適用于比較大型的網(wǎng)絡(luò),但也很復(fù)雜。OSPF的發(fā)展歷史1989年的RFC1131是描述OSPF的第1個IETF標(biāo)準(zhǔn),這個版本被稱為OSPFv1。

1998年形成了OSPFv2的最終標(biāo)準(zhǔn)RFC2328。

IETF在1999年12月發(fā)布了基于IPv6的OSPF路由協(xié)議標(biāo)準(zhǔn)——RFC2740,被稱為OSPFv3。

OSPF的基本思想每個OSPF路由器都維護(hù)一個用于跟蹤網(wǎng)絡(luò)狀態(tài)的鏈路狀態(tài)數(shù)據(jù)庫(LSDB),各路由器通過鏈路狀態(tài)信息的交換實(shí)現(xiàn)LSDB的一致。

OPSF基于Dijkstra算法和自治系統(tǒng)中路由器的鏈路狀態(tài)進(jìn)行路由計算,得到最短路徑。OSPF的特點(diǎn)基于鏈路狀態(tài)路由算法支持多種度量方法收斂速度快劃分3個區(qū)域的自治系統(tǒng)OSPF區(qū)域劃分區(qū)域劃分的目的降低LSDB的大小。減少LSA交互的數(shù)量。減輕路由計算量。區(qū)域的分類主干域(0域)普通域(非0域)虛連接區(qū)域劃分中的注意事項(xiàng)不同區(qū)域的LSDB是不一樣的;某個區(qū)域的詳細(xì)拓?fù)浣Y(jié)構(gòu)對其他區(qū)域來說是不可見的;區(qū)域邊界路由器可以同時屬于多個域,其中肯定有主干域。OSPF路由器分類區(qū)域內(nèi)部路由器(InternalRouter,IR)區(qū)域邊界路由器(AreaBorderRouter,ABR)主干路由器

(BackboneRouter,BR)

自治系統(tǒng)邊界路由器

(ASBoundaryRouter,ASBR)

OSPF路由器分類

OSPF路由選擇分類

域內(nèi)路由域間路由自治系統(tǒng)外部路由

域內(nèi)路由

OSPF路由選擇分類

域間路由

OSPF路由選擇分類

OSPF數(shù)據(jù)包簡介近鄰關(guān)系的建立過程有時也被稱為交換協(xié)議。一般來講,在點(diǎn)對點(diǎn)網(wǎng)絡(luò)、虛擬鏈路網(wǎng)絡(luò)和點(diǎn)對多點(diǎn)網(wǎng)絡(luò)中,鄰居之間都可以建立近鄰關(guān)系;而在廣播網(wǎng)絡(luò)和NBMA網(wǎng)絡(luò)中,只有DR(BDR)和鄰居之間才能建立近鄰關(guān)系。鄰居之間建立近鄰關(guān)系的過程,就是它們進(jìn)行鏈路狀態(tài)數(shù)據(jù)庫LSDB的交互,并最終實(shí)現(xiàn)LSDB同步的過程。四種數(shù)據(jù)包

數(shù)據(jù)庫描述DD(DatabaseDescription)包鏈路狀態(tài)請求LSR(LinkStateRequest)包鏈路狀態(tài)更新LSU(LinkStateUpdate)包鏈路狀態(tài)確認(rèn)LSAck(LinkStateAcknowledge)包

內(nèi)容提要1網(wǎng)絡(luò)基礎(chǔ)知識2常見網(wǎng)絡(luò)技術(shù)及應(yīng)用3103工程講解103工程背景

金稅三期工程的總體規(guī)劃,本次工程廣域網(wǎng)是一個覆蓋總部、省局、地市、區(qū)縣和稅務(wù)分局(所)等各級國、地稅稅務(wù)機(jī)關(guān)的綜合性通信平臺。主要用于承載稅務(wù)系統(tǒng)各類業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)其他應(yīng)用兩大類業(yè)務(wù),服務(wù)對象涉及全國以及稅務(wù)系統(tǒng)內(nèi)部工作人員。103工程建設(shè)要求建設(shè)要求103工程實(shí)施目標(biāo)103工程網(wǎng)絡(luò)拓?fù)?03工程設(shè)備介紹-SR6608H3CSR6608路由器在本次工程中用于各個市局節(jié)點(diǎn)的路由器,根據(jù)行政區(qū)劃,和設(shè)備辦卡的不同,分為RT5路由器和RT6路由器,2-1包共計使用了226臺該型號路由器(一般1個地市安裝1-2臺路由器)103工程設(shè)備介紹-MSR5040H3CSR5040路由器在本次工程中用于各個縣局節(jié)點(diǎn)的路由器,根據(jù)行政區(qū)劃,做為RT7A路由器,2-1包共計使用了20臺該型號路由器(一般1個區(qū)縣安裝1-2臺路由器)103工程設(shè)備介紹-MSR3020H3CSR3020路由器在本次工程中用于各個縣局節(jié)點(diǎn)的路由器,根據(jù)行政區(qū)劃,作為RT7B路由器,2-1包共計使用了920臺該型號路由器(一般1個區(qū)縣局安裝1-2臺路由器)103工程設(shè)備介紹-MSR3010H3CMSR3010路由器在本次工程中用于各個稅務(wù)所級節(jié)點(diǎn)的路由器,根據(jù)行政區(qū)劃,作為RT8路由器,2-1包共計使用了423臺該型號路由器(一般1個稅

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論