《锐捷三层交换机网管路由培训课件》由会员分享,可在线阅读,更多相关《锐捷三层交换机网管路由培训课件(33页珍藏版)》请在金锄头文库上搜索。
1、中小学网络基础知识部门/作者中小学常见网络拓扑局域网常用技术局域网常见攻击如何防御局域网攻击答疑第 3页 / 共 4页校园网络的应用现状教学管理数字广播多媒体教学备课系统教学资源库远程教育学籍管理多媒体录播系统VOD特色应用电子巡考网上阅卷平安校园数字图书馆家校互联平台教育博客网上辩论赛同步课堂网络教育电视台行政管理OA办公电子政务平台门户网站一卡通资产管理财务管理人事管理视频会议学生综合素质平台学校信息化应用学校信息化应用早期中小学网络第 4页 / 共 4页家用路由器“傻瓜”交换机特点:1、低成本2、网络无冗余性3、交换机不可网管4、网络无安全性网络设备介绍第 5页 / 共 4页二层二层“可
2、网管可网管”交换机交换机特点:1、接口数量多,常见的接口数量为24口或48口2、接口速率多为100M/bps或1000M/bps3、具有二层数据转发功能二层数据转发功能4、可以划分VLAN虚拟局域网5、具有防环路机制6、有一定的安全防御功能网络设备介绍第 6页 / 共 4页三层三层“可网管可网管”交换机交换机特点:1、三层交换机从外观上分为“盒式交换机”和“箱式交换机”2、三层交换机具有二层交换机的所有功能3、三层交换机增加三层数据转发功能三层数据转发功能4、接口多为1000M/bps速率网络设备介绍第 7页 / 共 4页“可网管可网管”路由器路由器特点:1、接口数量少2、支持各种广域网接口3
3、、具有网络地址转换功能NAT4、完成三层数据转发5、具有防火墙和流量控制等功能目前中小学常见网络第 8页 / 共 4页RG-S7610RSR 50-40认证管理系统认证管理系统&网管网管百兆电缆百兆电缆千兆光线千兆光线RG-S2100教教学学楼楼RG-S2100综综合合楼楼RG-S2100艺艺体体楼楼RG-S2100PC实实验验楼楼服服务务器器群群PCPCPC核心层核心层接入层接入层 目前中小学常见网络第 9页 / 共 4页RG-S7610RSR 50-40认证管理系统认证管理系统&网管网管百兆电缆百兆电缆千兆光线千兆光线RG-S5750RG-S2100教教学学楼楼RG-S5750RG-S21
4、00综综合合楼楼RG-S5750RG-S2100艺艺体体楼楼RG-S2100PC实实验验楼楼服服务务器器群群PCPCPC核心层核心层汇聚层汇聚层汇聚层汇聚层接入层接入层“可网管”局域网优势第 10页 / 共 4页层次性层次性易管理易管理冗余性冗余性安全性安全性流控性流控性“可网管可网管”局域网局域网局域网技术第 11页 / 共 4页IP地址及其分类地址及其分类局域网技术第 12页 / 共 4页第 13页 / 共 4页VLAN技术在交换机组成的校园网络里所有主机都在同一个广播域内在交换机组成的校园网络里所有主机都在同一个广播域内广播域广播域交换网络中存在的问题第 14页 / 共 4页交换网络中的
5、问题 通过通过VLANVLAN技术可以对网络进行一个安全的隔离、分割广播域技术可以对网络进行一个安全的隔离、分割广播域VLAN20VLAN10VLAN30VLANVLAN技术1234交换机交换机广播帧广播帧广播域广播域广播帧广播帧广播域广播域VLAN 概述(Virtual Local Area Network)VLAN是划分出来的逻辑网络,是第二层网络。VLAN端口不受物理位置的限制。VLAN 隔离广播域。VLAN的类型:Port VLAN基于交换机的端口基于交换机的端口( (一个端口只属于一个一个端口只属于一个VLANVLAN, Port VLANPort VLAN设置在连接设置在连接主机的
6、端口主机的端口) )F0/1F0/2F0/Port-VLAN原理 通过查找MAC地址表,交换机对发往不同VLAN的数据不转发F0/1F0/2F0/3ABCVlan 10Vlan 20Vlan 10A BA CX交换机端口交换机端口MACMAC地址地址VLAN IDVLAN IDF0/1F0/1A A1010F0/2F0/2B B2020F0/3F0/3C CVLAN的类型:Tag VLANSwitch AVLAN30VLAN20 VLAN10Switch BVLAN30VLAN20VLAN10Tag VLANTagVLAN特点传输多个VLAN的信息实现同一VLAN跨越不同的交换机要求Ttunk
7、至少要100M802.1Q工作原理802.1Q工作特点:802.1Q数据帧传输对于用户是完全透明的。Trunk上默认会转发交换机上存在的所有VLAN的数据。交换机在从Trunk口转发数据前会在数据打上个Tag标签,在到达另一交换机后,再剥去此标签。A A交换机交换机交换机交换机1 1 1 1交换机交换机交换机交换机2 2 2 2B B数据帧数据帧TagTag标签标签TrunkTrunkTrunkTrunkTrunkTrunkTrunkT数据包在三层网络如何通信第 20页 / 共 4页AB192.168.1.0192.168.2.0192.168.3.0PC1PC2目的网段目的网段转发接口转发接
8、口192.168.2.0B192.168.1.0目的网段目的网段转发接口转发接口192.168.2.0192.168.1.0A局域网常见攻击第 21页 / 共 4页ARP攻击攻击ARP攻击就是将攻击就是将ARP表中表中IP与与MAC地址的对应关系进行了修改地址的对应关系进行了修改!第 22页 / 共 4页ARP欺骗攻击分类-主机型主机型ARP欺骗欺骗者主机冒充网关设备对其他主机进行欺骗网关欺骗者嗨,我是网关PC 第 23页 / 共 4页ARP欺骗攻击分类-网关型网关型ARP欺骗欺骗者主机冒充其他主机对网关设备进行欺骗23网关欺骗者嗨,我是PC1PC 局域网常见攻击第 24页 / 共 4页DHC
9、P攻击攻击局域网常见攻击第 25页 / 共 4页二层环路二层环路局域网常见攻击第 26页 / 共 4页TCP半连接攻击半连接攻击客户端客户端A服务器服务器B发送 SYN1(seq#=100)1接收SYN发送SYN1, ACK1 (seq#=300 ack#=101)2建立连接,ACK1(ack#=301)3接收SYN,ACKTCP半连接攻击就是攻击者发送大量的半连接攻击就是攻击者发送大量的TCP链接,当目的主机回应链接,当目的主机回应TCP后,攻击者不发送确认报文,导致被攻击者系统资源被大量浪费后,攻击者不发送确认报文,导致被攻击者系统资源被大量浪费如何防御ARP攻击第 27页 / 共 4页判
10、断ARP欺骗攻击-主机怎样判断是否受到了ARP欺骗攻击?网络时断时续或网速特别慢在命令行提示符下执行“arp d”命令就能好上一会在命令行提示符下执行“arp a”命令查看网关对应的MAC地址发生了改变如何防御ARP攻击第 28页 / 共 4页判断ARP欺骗攻击-网关设备网关设备怎样判断是否受到了ARP欺骗攻击?ARP表中同一个MAC对应许多IP地址如何防御ARP攻击第 29页 / 共 4页29安全地址获取安全地址获取丢弃丢弃转发转发ARPARP报文校验报文校验ARP报文S/T字段是否与安全地址一致ARPARP报文报文是否安全地址的获取是防ARP欺骗的前提,ARP报文校验是防ARP欺骗的手段手
11、工指定 port-security自动获取DHCP SnoopingDot1x认证ARP-check检查ARP报文中sender MAC和sender IP是否和安全地址中的MAC 和 IP所对应一致如何防御DHCP攻击第 30页 / 共 4页DHCP SnoopingDHCP安全特性过滤非法DHCP报文,防范非法的DHCP Server和对服务器的攻击对DHCP报文进行窥探,建立DHCP-Snooping数据库,为IP报文和ARP报文过滤提供依据ClienetS如何防止二层环路第 31页 / 共 4页使用生成树使用生成树协议协议Spanning Tree,将出,将出现环路的接现环路的接口逻辑上进口逻辑上进行阻断行阻断如何防止TCP半连接第 32页 / 共 4页TCP SYN代理功能代理功能TCP SYN 代理是先由路由器/防火墙代理服务端与客户端完成三次握手,如果连接合法,再与服务端建立连接。具备具备TCP SYN功能的网络设备充当了安全守卫者功能的网络设备充当了安全守卫者
