计算机网络及网络安全技术11

《计算机网络及网络安全技术11》由会员分享，可在线阅读，更多相关《计算机网络及网络安全技术11（169页珍藏版）》请在金锄头文库上搜索。

1、1,1,1, 2003, Cisco Systems, Inc. All rights reserved.,Presentation_ID,计算机网络及网络安全技术,北京华胜天成科技股份有限公司 售前技术部：王超 2005年1月,内容概述,计算机网络基础 局域网技术及解决方案 广域网技术及解决方案 网络安全相关技术及解决方案 问题&应答,计算机网络基础,OSI 七层参考模型,Application,TCP/IP协议簇,传输层,数据连路层,网络层,物理层,会话层,表示层,应用层,内容分发 负载均衡,路由器,交换机,TCP会话连接,SYN received,主机A：客户端,主机 B：服务端,发送T

2、CP SYN分段 (seq=100 ctl=SYN),TCP连接的终止,主机B：服务端,主机 A：客户端,关闭A到B的连接,关闭A到B的连接,局域网技术及解决方案,局域网技术,1、局域网（LAN）的定义：LAN是一个覆盖地理位置相对较小的高速数据网络，通过电缆将服务器、工作站、打印机和其它设备连接到一起。这种网络通常位于一个比较集中的建筑群内。,2、LAN 拓扑结构：电脑连接的方式叫“网络拓扑”，常见的LAN物理拓扑结构有三种：总线型、环型和星型。而逻辑拓扑结构只有总线型和环型两种。逻辑总线型和环型拓扑结构通常可以在星型物理拓扑结构中实现。,局域网技术,3、以太网类型：1）标准以太网：速率为1

3、0Mbps，传输介质为同轴电缆或双绞线；2）快速以太网：速率为100Mbps，传输介质为双绞线或光纤；3）千兆以太网：速率为1000Mbps，传输介质为双绞线或光纤；4）万兆以太网：速率为10000Mbps,传输介质为双绞线或光纤.,4、局域网（以太网）设备：1）网络线缆：同轴电缆、双绞线、光纤。 2）网卡：一种电脑辅助板卡，一面插入电脑母板的扩展槽，另一面与网络线缆相连。网卡完成网络通信所需的各种功能。只有通过网卡，电脑才能通过网络进行通信。目前常用的以太网卡：10M、10/100M自适应、1000M。3）集线器：是一种连接多个用户节点的物理层设备，每个经集线器连接的节点都需要一条专用电缆，

4、用集线器可以建立一个物理的星型网络结构。常用的集线器按速率分有10M、100M、10/100M自适应三种，支持的端口数从8口到24口不等。集线器令所有端口共享10M（或100M）带宽。,局域网技术,4、局域网（以太网）设备：4）交换机：是数据链路层设备，它将较大的局域网分解成较小的子网，另每个端口下连接的单个设备或子网独享10M（或100M）分段，然后再实现分段间通信。交换机对大网进行细分，减少了从一个分段到另一个分段时不必要的网络信息流，从而解决了网络拥塞问题，提高网络整体性能。常见交换机类型：10M、10/100M、1000M，端口从8口到48口不等。交换机还有可堆叠、不可堆叠，可网管、不

5、可网管以及是否带三层路由功能之分。,局域网技术,5、虚拟局域网（VLAN）简介：1）所谓VLAN，是指一个由多个段组成的物理网络中的结点的逻辑分组，利用VLAN，工作组应用可以象所有工作组成员都连接到同一个物理网段上一样进行工作，而不必关心用户实际连接到哪个网段上。VLAN是交换式LAN的最大特点。,部门A,部门B,部门A,部门B,局域网技术,2）VLAN的优点：改进管理的效率：VLAN提供了有效的机制来控制由于企业结构、人事或资源变化对网络系统所造成的影响。例如，当用户从一个地点移到另一个地点时，只需对交换机的配置稍做改动即可，大大简化了重新布线。配置和测试的步骤。控制广播活动：VLAN可保

6、护网络不受由广播流量所造成的影响，一个VLAN内的广播信息不会传送到VLAN之外，网络管理人员可以通过设置VLAN灵活控制广播域。增强网络安全：VLAN创造了虚拟边界，它只能通过路由跨越，因此通过将网络用户划分到不同VLAN并结合访问控制，可控制VLAN外部站点对VLAN内部资源的访问，提高网络的安全性。,3）VLAN的划分方法：MAC地址、IP地址、交换机端口,5、虚拟局域网（VLAN）简介：,局域网络的设计需求,更高的可靠性 冗余的网络结构：STP，PVST 高速故障链路切换：Uplink fast, Backbone fast, Port fast更高的安全性 完整的网络安全策略：VLA

7、N, 基于交换机端口的安全性，更高的性能 基于光纤和UTP的千兆以太网及以太网通道 高效的第三层交换更好的可管理性 强大的网络管理工具：CiscoWorks2000支持未来业务的发展,企业总部局域网网络解决方案,企业总部局域网网络解决方案特点,特点： 1.系统全套备份,稳定可靠；双中心配置，中心设备交换引擎、路由引擎冗余配置；二级交换机到中心交换机链路冗余配置 2.高性能；Catalyst 6500交换机可具有高达256Gbps的交换交换矩阵，保证中心高性能交换；千兆主干，满足大负荷网络运行需求 3.三层交换，虚拟网络划分，有效隔离办公与业务网络，避免广播风暴，提高网络性能 4.边缘交换机采用

8、10/100M端口连接终端用户，Catalyst 3550 光纤千兆上联，堆叠扩展用户数目，节省上联链路；Catalyst 2950采用UTP千兆上联，投资保护 5.思科GEC/FEC带宽聚合技术保证网络速度不会造成人行业务的瓶颈 6.实施丰富的网络安全控制策略，ACL,VLAN；可以配置入侵检测模块IDS 7.管理简单，浏览器方式无需专门培训；配置CiscoWorks 2000网管软件及NAM模块 8.良好的扩充性, 可满足不断增长的用户网络需求 9.支持多媒体应用，视频点播、IP电话机供电,企业大型分支机构局域网网络解决方案,企业大型分支机构局域网网络解决方案特点,1.系统稳定可靠；采用C

9、atalyst4506/4507组成双中心，且链路冗余； 2.高性能全交换、千兆主干，满足大负荷网络运行需求；中心交换机备板64Gbps，二层和三层交换性能为48MPPS; 3.三层交换，虚拟网络划分，有效隔离办公与业务网络，避免广播风暴，提高网络性能； 4.边缘交换机采用10/100M端口连接终端用户，Catalyst 3550光纤千兆上联，可堆叠扩展用户数目，节省上联链路；Catalyst 2950采用UTP千兆上联，投资保护 5.思科GEC/FEC带宽聚合技术保证网络速度不会造成业务的瓶颈 6.系统安全, 保密性高; ACL，VLAN等网络安全策略 7.管理简单，浏览器方式无需专门培训;

10、 配置 CiscoWorks 2000或CiscoWorks Windows网管软件 8.良好的扩充性 9.支持多媒体应用，视频点播、IP电话机供电,企业中型分支机构局域网网络解决方案,CiscoWorks for Windows 网管,OA/邮件服务器,4GB GEC,中心两台Catalyst3550T交换机，通过千兆连接，支持VLAN和高速三层交换,1000M,业务服务器,Catalyst 2950T,1000M,1000M,Catalyst 2950T,工作站 10/100M 接入,1000M,1000M,Catalyst 2950T,企业中型分支机构局域网网络解决方案特点,1.系统稳定

11、可靠；采用Catalyst 3550T组成双中心，且链路冗余； 2.高性能全交换、千兆主干，满足大负荷网络运行需求；中心交换机备板24Gbps; 性能价格比高; 17Mpps的二、三层转发速率； 3.三层交换，虚拟网络划分，有效隔离办公与业务网络，避免广播风暴，提高网络性能； 4.边缘交换机采用10/100M端口连接终端用户，Catalyst 3550光纤千兆上联，可堆叠扩展用户数目，节省上联链路；Catalyst 2950T采用UTP千兆上联，投资保护 5.思科GEC/FEC带宽聚合技术保证网络速度不会造成业务的瓶颈 6.系统安全, 保密性高; ACL，VLAN等网络安全策略 7.管理简单，

12、浏览器方式无需专门培训; 配置 CiscoWorks Windows网管软件 8.良好的扩充性 9.支持多媒体应用，视频点播,企业小型分支机构局域网网络解决方案,CiscoWorks for Windows,OA/邮件服务器,4GB GEC,中心两台Catalyst3550交换机，通过千兆连接，支持VLAN和高速三层交换,100M,业务服务器,100M,100M,工作站,100M,100M,企业小型分支机构局域网网络解决方案特点,1.系统稳定可靠；采用Catalyst 3550组成双中心，且链路冗余； 2.性价比高，全交换、百兆主干，满足小规模网络运行需求；中心交换机备板8.8Gbps; 6.

13、6Mpps的二、三层转发速率； 3.三层交换，虚拟网络划分，有效隔离办公与业务网络，避免广播风暴，提高网络性能； 4.思科GEC/FEC带宽聚合技术保证网络速度不会造成业务的瓶颈 5.系统安全, 保密性高; ACL，VLAN等安全策略 6.管理简单，浏览器方式无需专门培训; 配置 CiscoWorks Windows网管软件 7.良好的扩充性 8.支持多媒体应用，视频点播,IEEE 802.1x,Authentication Server,2,3,802.1x is a client-server-based access control and authentication protocol

14、 that restricts unauthorized devices from connecting to a LAN through publicly accessible ports,4,1,1,User activates link (i.e. PC Powers on),2,Switch requests Authentication Server if user authorised to access LAN,3,4,Authentication Server responds with authority access,Switch opens controlled port

15、 (if authorised) for user to access LAN,802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。,802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道）,802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN

16、）通过。,802.1x是用来做什么的？,在win98下提供的客户端：,在winXP下提供的客户端：,IEEE 802.1x 认证客户端,广域网技术及解决方案,广域网综述,广域网综述：广域网是地理位置较为分散的局域网之间链接通道的集合。广域网的出现是为了解决局域网与一台远程工作站或另一个局域网链接的问题，在这种情况下，需要链接的距离已超过了线缆媒体的规格，或者不可能进行物理性的线缆连接，为了实现广域网，需要用到下面这些传输媒体：,普通电话网（PSTN） X.25专线 一线通ISDN DDN专线 帧中继业务 国际互联网(Internet) 高速光缆 卫星链路 微波传输链路 无线广播媒体,一线通IS

17、DN,一线通ISDN：ISDN是一种建立在全数字化网络基础上的综合业务数字网络，中国电信称之为“一线通”。它有以下特点：,1）通过一根普通电话线您可以进行多种业务通信，如用于电话、上网、传真、会议电视、局域网互连等； 2）因为ISDN提供2B+D服务（B信道传输速率为64K，D信道为“服务信道”传输速率16K），通过一根普通电话线您可以同时进行两路通信，比如边上国际互联网边打电话，或两部电话同时通话等；3）可以同时使用两个B信道来进行数据传输，从而获得128K的总体传输速率，当一个B信道用于语音传送时，另一个B信道上的传输速率就会降回原始的64K，当语音停止传送时，数据传送速率就会立即恢复成128K。,