銳捷三層交換機(jī)網(wǎng)管路由培訓(xùn)課件

中小學(xué)網(wǎng)絡(luò)基礎(chǔ)知識(shí)部門(mén)/作者中小學(xué)常見(jiàn)網(wǎng)絡(luò)拓?fù)渚钟蚓W(wǎng)常用技術(shù)局域網(wǎng)常見(jiàn)攻擊如何防御局域網(wǎng)攻擊答疑第3頁(yè)/共4頁(yè)校園網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀學(xué)校信息化應(yīng)用網(wǎng)絡(luò)設(shè)備介紹第5頁(yè)/共4頁(yè)二層“可網(wǎng)管”交換機(jī)特點(diǎn)：1、接口數(shù)量多，常見(jiàn)的接口數(shù)量為24口或48口2、接口速率多為100M/bps或1000M/bps3、具有二層數(shù)據(jù)轉(zhuǎn)發(fā)功能4、可以劃分VLAN——虛擬局域網(wǎng)5、具有防環(huán)路機(jī)制6、有一定的安全防御功能網(wǎng)絡(luò)設(shè)備介紹第6頁(yè)/共4頁(yè)三層“可網(wǎng)管”交換機(jī)特點(diǎn)：1、三層交換機(jī)從外觀(guān)上分為“盒式交換機(jī)”和“箱式交換機(jī)”2、三層交換機(jī)具有二層交換機(jī)的所有功能3、三層交換機(jī)增加三層數(shù)據(jù)轉(zhuǎn)發(fā)功能4、接口多為1000M/bps速率網(wǎng)絡(luò)設(shè)備介紹第7頁(yè)/共4頁(yè)“可網(wǎng)管”路由器特點(diǎn)：1、接口數(shù)量少2、支持各種廣域網(wǎng)接口3、具有網(wǎng)絡(luò)地址轉(zhuǎn)換功能——NAT4、完成三層數(shù)據(jù)轉(zhuǎn)發(fā)5、具有防火墻和流量控制等功能

目前中小學(xué)常見(jiàn)網(wǎng)絡(luò)第9頁(yè)/共4頁(yè)RG-S7610RSR50-40認(rèn)證管理系統(tǒng)&網(wǎng)管百兆電纜千兆光線(xiàn)RG-S5750RG-S2100教學(xué)樓RG-S5750RG-S2100綜合樓RG-S5750RG-S2100藝體樓RG-S2100PC實(shí)驗(yàn)樓服務(wù)器群PCPCPC核心層匯聚層接入層“可網(wǎng)管”局域網(wǎng)優(yōu)勢(shì)第10頁(yè)/共4頁(yè)層次性易管理冗余性安全性流控性“可網(wǎng)管”局域網(wǎng)局域網(wǎng)技術(shù)第11頁(yè)/共4頁(yè)IP地址及其分類(lèi)第13頁(yè)/共4頁(yè)VLAN技術(shù)在交換機(jī)組成的校園網(wǎng)絡(luò)里所有主機(jī)都在同一個(gè)廣播域內(nèi)廣播域安全廣播交換網(wǎng)絡(luò)中存在的問(wèn)題第14頁(yè)/共4頁(yè)交換網(wǎng)絡(luò)中的問(wèn)題

通過(guò)VLAN技術(shù)可以對(duì)網(wǎng)絡(luò)進(jìn)行一個(gè)安全的隔離、分割廣播域VLAN20VLAN10VLAN30VLAN40VLAN技術(shù)1234交換機(jī)廣播幀廣播域廣播幀廣播域VLAN概述（VirtualLocalAreaNetwork）VLAN是劃分出來(lái)的邏輯網(wǎng)絡(luò)，是第二層網(wǎng)絡(luò)。VLAN端口不受物理位置的限制。VLAN隔離廣播域。Port-VLAN原理

通過(guò)查找MAC地址表，交換機(jī)對(duì)發(fā)往不同VLAN的數(shù)據(jù)不轉(zhuǎn)發(fā)F0/1F0/2F0/3ABCVlan10Vlan20Vlan10ABACX交換機(jī)端口MAC地址VLANIDF0/1A10F0/2B20F0/3C10VLAN的類(lèi)型:TagVLANSwitchAVLAN30VLAN20VLAN10SwitchBVLAN30VLAN20VLAN10TagVLANTagVLAN特點(diǎn)傳輸多個(gè)VLAN的信息實(shí)現(xiàn)同一VLAN跨越不同的交換機(jī)要求Ttunk至少要100M802.1Q工作原理802.1Q工作特點(diǎn)：802.1Q數(shù)據(jù)幀傳輸對(duì)于用戶(hù)是完全透明的。Trunk上默認(rèn)會(huì)轉(zhuǎn)發(fā)交換機(jī)上存在的所有VLAN的數(shù)據(jù)。交換機(jī)在從Trunk口轉(zhuǎn)發(fā)數(shù)據(jù)前會(huì)在數(shù)據(jù)打上個(gè)Tag標(biāo)簽，在到達(dá)另一交換機(jī)后，再剝?nèi)ゴ藰?biāo)簽。A交換機(jī)1交換機(jī)2B數(shù)據(jù)幀Tag標(biāo)簽TrunkTrunk局域網(wǎng)常見(jiàn)攻擊第21頁(yè)/共4頁(yè)ARP攻擊ARP攻擊就是將ARP表中IP與MAC地址的對(duì)應(yīng)關(guān)系進(jìn)行了修改!!!!第22頁(yè)/共4頁(yè)ARP欺騙攻擊分類(lèi)-主機(jī)型主機(jī)型ARP欺騙欺騙者主機(jī)冒充網(wǎng)關(guān)設(shè)備對(duì)其他主機(jī)進(jìn)行欺騙網(wǎng)關(guān)欺騙者嗨，我是網(wǎng)關(guān)PC1第23頁(yè)/共4頁(yè)ARP欺騙攻擊分類(lèi)-網(wǎng)關(guān)型網(wǎng)關(guān)型ARP欺騙欺騙者主機(jī)冒充其他主機(jī)對(duì)網(wǎng)關(guān)設(shè)備進(jìn)行欺騙23網(wǎng)關(guān)欺騙者嗨，我是PC1PC1局域網(wǎng)常見(jiàn)攻擊第25頁(yè)/共4頁(yè)二層環(huán)路局域網(wǎng)常見(jiàn)攻擊第26頁(yè)/共4頁(yè)TCP半連接攻擊客戶(hù)端A服務(wù)器B發(fā)送SYN＝1(seq#=100)1接收SYN發(fā)送SYN＝1,ACK＝1(seq#=300ack#=101)2建立連接，ACK＝1(ack#=301)3接收SYN,ACKTCP半連接攻擊就是攻擊者發(fā)送大量的TCP鏈接，當(dāng)目的主機(jī)回應(yīng)TCP后，攻擊者不發(fā)送確認(rèn)報(bào)文，導(dǎo)致被攻擊者系統(tǒng)資源被大量浪費(fèi)如何防御ARP攻擊第29頁(yè)/共4頁(yè)29安全地址獲取丟棄轉(zhuǎn)發(fā)ARP報(bào)文校驗(yàn)ARP報(bào)文S/T字段是否與安全地址一致ARP報(bào)文是否安全地址的獲取是防ARP欺騙的前提，ARP報(bào)文校驗(yàn)是防ARP欺騙的手段手工指定port-security自動(dòng)獲取DHCPSnoopingDot1x認(rèn)證ARP-check檢查ARP報(bào)文中senderMAC和senderIP是否和安全地址中的MAC和IP所對(duì)應(yīng)一致如何防御DHCP攻擊第30頁(yè)/共4頁(yè)DHCPSnoopingDHCP安全特性過(guò)濾非法DHCP報(bào)文，防范非法的DHCPServer和對(duì)服務(wù)器的攻擊對(duì)DHCP報(bào)文進(jìn)行窺探，建立DHCP-Snooping數(shù)據(jù)庫(kù)，為IP報(bào)文和ARP報(bào)文過(guò)濾提供依據(jù)ClienetServeruntrustuntrusttrust如何防止二層環(huán)路第31頁(yè)/共4頁(yè)使用生成樹(shù)協(xié)議——SpanningTree，將出現(xiàn)環(huán)路的接口邏輯上