計(jì)算機(jī)網(wǎng)絡(luò)概述課件

第一講

交換式局域網(wǎng)概述第一講

交換式局域網(wǎng)概述本講主要內(nèi)容主要局域網(wǎng)協(xié)議共享式與交換式局域網(wǎng)交換式局域網(wǎng)的主要設(shè)備交換式局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)本講主要內(nèi)容主要局域網(wǎng)協(xié)議局域網(wǎng)協(xié)議局域網(wǎng)主要有兩種協(xié)議：以太網(wǎng)：CSMA/CD,帶沖突檢測(cè)的載波偵聽(tīng)多路訪(fǎng)問(wèn)協(xié)議，其特點(diǎn)是通過(guò)競(jìng)爭(zhēng)方式發(fā)送數(shù)據(jù)，易產(chǎn)生沖突，是一種低負(fù)荷高效的網(wǎng)絡(luò)。是目前局域網(wǎng)的主流協(xié)議。令牌環(huán)網(wǎng)：全網(wǎng)只有一個(gè)令牌，只有持有令牌的節(jié)點(diǎn)，才能夠發(fā)送信息，沒(méi)有沖突產(chǎn)生。是一種高負(fù)荷高效的網(wǎng)絡(luò)。局域網(wǎng)協(xié)議局域網(wǎng)主要有兩種協(xié)議：以太網(wǎng)工作方式：先聽(tīng)后發(fā)、邊發(fā)邊聽(tīng)、沖突停止、隨機(jī)延遲后重發(fā)沖突域：一個(gè)沖突域中，同時(shí)只能有一個(gè)節(jié)點(diǎn)發(fā)送數(shù)據(jù)，其他節(jié)點(diǎn)只能接收數(shù)據(jù)超過(guò)一個(gè)節(jié)點(diǎn)發(fā)送數(shù)據(jù)，必然產(chǎn)生沖突，發(fā)送失敗。一個(gè)沖突域中的節(jié)點(diǎn)不能太多，否則很容易產(chǎn)生沖突，降低以太網(wǎng)的工作效率以太網(wǎng)工作方式：先聽(tīng)后發(fā)、邊發(fā)邊聽(tīng)、沖突停止、隨機(jī)延遲后重發(fā)兩種典型的以太網(wǎng)共享式以太網(wǎng)：用集線(xiàn)器（HUB）連接的以太網(wǎng)就是共享式的以太網(wǎng)。所有連接到集線(xiàn)器的設(shè)備共享同一介質(zhì)所有連接到集線(xiàn)器的設(shè)備也共享同一沖突域和帶寬。交換式以太網(wǎng)：用交換機(jī)連接的以太網(wǎng)是交換式以太網(wǎng)。交換式以太網(wǎng)允許多對(duì)結(jié)點(diǎn)同時(shí)通信，每個(gè)結(jié)點(diǎn)可以獨(dú)占傳輸通道和帶寬它從根本上解決了共享以太網(wǎng)所帶來(lái)的問(wèn)題。兩種典型的以太網(wǎng)共享式以太網(wǎng)：用集線(xiàn)器（HUB）連接的以太網(wǎng)以太網(wǎng)共享式以太網(wǎng)HUBHUBHUB不能發(fā)送A向B發(fā)送時(shí)，E向D不能發(fā)送同一沖突域ABCDEF以太網(wǎng)共享式以太網(wǎng)HUBHUBHUB不能發(fā)送A向B發(fā)送時(shí)，E交換式以太網(wǎng)ABCA向B發(fā)送數(shù)據(jù)時(shí)，D可向E發(fā)送數(shù)據(jù)，C可向F發(fā)送數(shù)據(jù)DEF交換機(jī)交換式以太網(wǎng)ABCA向B發(fā)送數(shù)據(jù)時(shí)，D可向E發(fā)送數(shù)據(jù)，C可向交換機(jī)功能自動(dòng)建立和維護(hù)MAC地址表當(dāng)交換從端口收到數(shù)據(jù)幀后，會(huì)自動(dòng)地將幀的源地址與交換機(jī)的端口建立聯(lián)系，形成MAC地址表的一條記錄轉(zhuǎn)發(fā)數(shù)據(jù)幀目的MAC地址是廣播或組播地址，則向除接收端口外的所有端口轉(zhuǎn)發(fā)；目的地址是單播地址，但這個(gè)地址不在交換機(jī)的MAC地址表中，也會(huì)向除接收端口外的所有端口轉(zhuǎn)發(fā)；目的地址在交換機(jī)的地址表中，那么就根據(jù)地址表轉(zhuǎn)發(fā)到相應(yīng)的端口；如果數(shù)據(jù)幀的目的與源地址在同一個(gè)端口上，丟棄這個(gè)數(shù)據(jù)幀。交換機(jī)功能自動(dòng)建立和維護(hù)MAC地址表交換機(jī)中MAC地址表的建立F0/1PC2:MAC2PC3:MAC3PC4:MAC4F0/2F0/3F0/4PC1:MAC1目的MAC地址端口號(hào)MAC1F0/1PC5:MAC5MAC4F0/4MAC5F0/4HUB網(wǎng)絡(luò)剛啟動(dòng)時(shí),交換機(jī)的MAC地址表為空交換機(jī)中MAC地址表的建立F0/1PC2:MAC2PC3:M交換機(jī)幀轉(zhuǎn)發(fā)F0/1PC2:MAC2PC3:MAC3PC4:MAC4F0/2F0/3F0/4PC1:MAC1目的MAC地址端口號(hào)MAC1F0/1PC5:MAC5MAC4F0/4MAC5F0/4HUBPC1→PC2MAC2F0/2交換機(jī)幀轉(zhuǎn)發(fā)F0/1PC2:MAC2PC3:MAC3PC4:交換機(jī)幀轉(zhuǎn)發(fā)F0/1PC2:MAC2PC3:MAC3PC4:MAC4F0/2F0/3F0/4PC1:MAC1目的MAC地址端口號(hào)MAC1F0/1PC5:MAC5MAC4F0/4MAC5F0/4HUBPC1→PC4MAC2F0/2交換機(jī)幀轉(zhuǎn)發(fā)F0/1PC2:MAC2PC3:MAC3PC4:交換機(jī)幀轉(zhuǎn)發(fā)F0/1PC2:MAC2PC3:MAC3PC4:MAC4F0/2F0/3F0/4PC1:MAC1目的MAC地址端口號(hào)MAC1F0/1PC5:MAC5MAC4F0/4MAC5F0/4HUBPC4→PC5MAC2F0/2交換機(jī)幀轉(zhuǎn)發(fā)F0/1PC2:MAC2PC3:MAC3PC4:交換機(jī)性能指標(biāo)背板帶寬：是交換機(jī)所能吞吐的最大數(shù)據(jù)量，決定了交換機(jī)總的數(shù)據(jù)交換能力，單位為Gbps，從幾Gbps到上百Gbps不等。一臺(tái)交換機(jī)的背板帶寬越高，所能處理數(shù)據(jù)的能力就越強(qiáng)，但同時(shí)設(shè)計(jì)成本也會(huì)越高包轉(zhuǎn)發(fā)率：是交換機(jī)每秒鐘能轉(zhuǎn)發(fā)最小數(shù)據(jù)包的能力。該指標(biāo)能夠真實(shí)反映交換機(jī)的性能，是決定交換機(jī)性能的關(guān)鍵。對(duì)于三層交換設(shè)備，廠(chǎng)家必須分別提供二層轉(zhuǎn)發(fā)速率和三層轉(zhuǎn)發(fā)速率，單位為Mbps如H3C的S5500-28C-EI,其背板帶寬為256Gbps，包轉(zhuǎn)發(fā)率為96Mpps交換機(jī)性能指標(biāo)背板帶寬：是交換機(jī)所能吞吐的最大數(shù)據(jù)量，決定了交換的功能指標(biāo)支持協(xié)議的多少（vlan(802.1Q)，生成樹(shù)（802.1D），網(wǎng)管協(xié)議（SNMP），DHCP等）服務(wù)質(zhì)量QOS（QualityofService)廣播風(fēng)暴抑制端口聚合，端口隔離流量控制組播交換的功能指標(biāo)支持協(xié)議的多少（vlan(802.1Q)，生成路由器路由器一般用于廣域網(wǎng)與局域網(wǎng)的邊界上，其主要功能是：路由選擇：實(shí)現(xiàn)局域網(wǎng)和廣域網(wǎng)間的路由選擇；網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(NetworkAddressTranslator)：實(shí)現(xiàn)內(nèi)網(wǎng)和公網(wǎng)IP地址間的轉(zhuǎn)換，相當(dāng)于代理服務(wù)器網(wǎng)絡(luò)管理：路由器可通過(guò)ACL，流量控制等功能實(shí)現(xiàn)網(wǎng)絡(luò)管理路由器路由器一般用于廣域網(wǎng)與局域網(wǎng)的邊界上，其主要功能是：路由器的性能指標(biāo)包轉(zhuǎn)發(fā)能力:是指路由器每秒所轉(zhuǎn)發(fā)包的數(shù)量，單位PPSIP路由協(xié)議支持：包括靜態(tài)路由，動(dòng)態(tài)路由協(xié)議(RIPv1/v2、OSPFv2、BGP、IS-IS),路由策略等QoS支持：流分類(lèi)，流量監(jiān)管，基于目的地址或者源地址的限速，流量整形，擁塞避免算法等NAT支持：靜態(tài)NAT、動(dòng)態(tài)NAT、NAPT等路由器的性能指標(biāo)包轉(zhuǎn)發(fā)能力:是指路由器每秒所轉(zhuǎn)發(fā)包的數(shù)量，單防火墻防火墻：通過(guò)對(duì)數(shù)據(jù)包的過(guò)濾，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，防止非法用戶(hù)的非授權(quán)訪(fǎng)問(wèn)或非法數(shù)據(jù)包的侵入；除了包過(guò)濾功能之外，防火墻通常還具有路由選擇和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能。小型網(wǎng)絡(luò)常用防火墻代替邊界路由器；防火墻的端口通常有WAN、LAN和DMZ。WAN端口用于連接因特網(wǎng)，LAN端口用于連接內(nèi)部網(wǎng)絡(luò)，DMZ端口用于連接DMZ區(qū)的服務(wù)器；防火墻的類(lèi)型分為包過(guò)濾防火墻、應(yīng)用網(wǎng)關(guān)、電路層網(wǎng)關(guān)和SPI防火墻。包過(guò)濾防火墻使用最多。防火墻防火墻：通過(guò)對(duì)數(shù)據(jù)包的過(guò)濾，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，防止非IDS與IPS入侵檢測(cè)系統(tǒng)IDS(IntrusionDetectionSystem)是對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)視，主動(dòng)對(duì)網(wǎng)絡(luò)中的行為、安全日志、審計(jì)數(shù)據(jù)或其他可獲得信息進(jìn)行檢測(cè)，在發(fā)現(xiàn)可疑事件時(shí)，發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。傳統(tǒng)的安全措施使用IDS+防火墻，即使用IDS檢測(cè)可疑事件，使用防火墻阻斷可疑數(shù)據(jù)包，這種方式已經(jīng)不能適應(yīng)網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展。因而出現(xiàn)了入侵防御系統(tǒng)IPS入侵防御系統(tǒng)IPS(IntrusionPreventionSystem)，根據(jù)預(yù)先設(shè)定的安全策略，深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)包。通過(guò)協(xié)議分析、特征匹配、流量統(tǒng)計(jì)分析、事件關(guān)聯(lián)分析等手段，發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊行為，并根據(jù)攻擊行為的危險(xiǎn)等級(jí)主動(dòng)采取告警、丟棄報(bào)文、切斷會(huì)話(huà)、切斷TCP連接等措施，保護(hù)網(wǎng)絡(luò)完全。入侵檢測(cè)系統(tǒng)可以理解為網(wǎng)絡(luò)的監(jiān)視系統(tǒng)，對(duì)通過(guò)的數(shù)據(jù)進(jìn)行監(jiān)視，并對(duì)可疑數(shù)據(jù)發(fā)出報(bào)警信號(hào)；入侵防御系統(tǒng)更像是網(wǎng)絡(luò)的保安，它不僅監(jiān)視通過(guò)的數(shù)據(jù)，還可阻斷可疑數(shù)據(jù)。IDS與IPS入侵檢測(cè)系統(tǒng)IDS(IntrusionDet虛擬局域網(wǎng)VLAN虛擬局域網(wǎng)VLAN(VirtualLocalAreaNetwork）是將局域網(wǎng)從邏輯上劃分若干個(gè)子網(wǎng)的技術(shù)。每個(gè)子網(wǎng)形成一個(gè)獨(dú)立的網(wǎng)段，即一個(gè)單獨(dú)的沖突域和廣播域，實(shí)現(xiàn)了對(duì)沖突域和廣播域的分割和隔離。VLAN分為基于端口的VLAN，基于MAC（IP）地址的VLAN虛擬局域網(wǎng)V