《网络技术讲座》由会员分享,可在线阅读,更多相关《网络技术讲座(50页珍藏版)》请在金锄头文库上搜索。
1、网络技术讲座段运生提纲园区网的规划设计园区网的运维管理下一代互联网技术介绍数据中心技术介绍数据中心安全管理园区网的规划设计三层架构:核心层、汇聚层、接入层两层架构:扁平化几个概念冲突域与广播域IP子网二层交换和VlanNAT冲突域与广播域冲突(collision):在以太网中,当两个节点同时传输数据时,从两个设备发出的帧将会碰撞,在物理介质上相遇,彼此数据都会被破坏冲突域(collisiondomain)一个支持共享介质的网段广播域(broadcastdomain):广播帧传输的网络范围,一般是路由器来设定边界(因为router不转发广播)为什么要划分子网减少网减少网络流量:广播域越小,流量越
2、少流量:广播域越小,流量越少优化网络性能简化管理二层交换和Vlan如何实现在纯交换的网络中划分广播域?有了VLAN是不是就不需要路由器?Vlan间的通信问题?ARP协议172.16.3.1172.16.3.2IP: 172.16.3.2 = ?我需要知道我需要知道176.16.3.2的物理的物理地址地址.ARP协议172.16.3.1172.16.3.2IP: 172.16.3.2 = ?我知道你的请求,这是我我知道你的请求,这是我的物理地址的物理地址我需要知道我需要知道176.16.3.2的物理的物理地址地址.ARP协议172.16.3.1IP: 172.16.3.2 Ethernet: 0
3、800.0020.1111 172.16.3.2IP: 172.16.3.2 = ?我知道你的请求,这是我我知道你的请求,这是我的物理地址的物理地址我需要知道我需要知道176.16.3.2的物理的物理地址地址.ARP协议映射 IP EthernetLocal ARP172.16.3.1IP: 172.16.3.2 Ethernet: 0800.0020.1111 172.16.3.2IP: 172.16.3.2 = ?我知道你的请求,这是我我知道你的请求,这是我的物理地址的物理地址我需要知道我需要知道176.16.3.2的物理的物理地址地址.交换机如何学习主机的位置最初开机时最初开机时MAC地
4、址表是空的地址表是空的MAC地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD交换机如何学习主机的位置主机主机A发送数据帧给主机发送数据帧给主机C交换机通过学习数据帧的源交换机通过学习数据帧的源MAC地址,记录下主机地址,记录下主机A的的MAC地址地址 对应端口对应端口E0 该数据帧转发到除端口该数据帧转发到除端口E0以外的其它所有端口以外的其它所有端口 (不清楚目标主机的不清楚目标主机的单点传送用泛洪方式单点传送用泛洪方式)0260.8c01.11110260.8c01.22220260.8c0
5、1.33330260.8c01.4444E0: 0260.8c01.1111E0E1E2E3DCBAMAC地址表地址表交换机如何学习主机的位置主机主机D发送数据帧给主机发送数据帧给主机C交换机通过学习数据帧的源交换机通过学习数据帧的源MAC地址,记录下主机地址,记录下主机D的的MAC地址对应端地址对应端口口E03该数据帧转发到除端口该数据帧转发到除端口E3以外的其它所有端口以外的其它所有端口 (不清楚目标主机的单点不清楚目标主机的单点传送用泛洪方式传送用泛洪方式)0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0: 0260.8
6、c01.1111E3: 0260.8c01.4444E0E1E2E3DCABMAC地址表地址表NAT对于内部通讯可以利用私网地址,如果需要与外部通讯或访问外部资源,则可通过将私网地址转换成公网地址来实现。通过公网地址与端口的结合,可使多个私网用户共用一个公网地址。通过静态映射,不同的内部服务器可以映射到同一个公网地址。外部用户可通过公网地址和端口访问不同的内部服务器,同时还隐藏了内部服务器的真实IP地址,从而防止外部对内部服务器乃至内部网络的攻击行为。NAT类型:一对一,一对多园区网的运维管理接入层安全出口运维设备安全网络的监控管理接入层安全端口认证MAC地址表容量攻击防护广播风暴抑制环路保护
7、ARP防护DHCP防护ACL端口认证802.1x认证PORTALPPPoEMAC地址表容量攻击防护地址表容量攻击防护MAC地址表容量攻击,是指攻击源发送源MAC地址不断变化的报文,网络设备在收到这种报文后,会进行源MAC地址学习。由于MAC地址表容量是有限的,当MAC地址表项达到最大容量后,正常报文的MAC地址学习将无法完成。在进行二层转发时,这些报文将会在VLAN内广播,严重影响网络带宽,同时也会对网络设备下挂主机造成冲击。提供设置单个端口或者单个VLAN允许学习的最大MAC地址数目的功能。用户可以根据端口或者VLAN下挂的主机数目来设置该端口或者VLAN最大允许学习的MAC地址数目,防止一
8、个端口或者VLAN就把系统的MAC地址表项耗尽。在设置端口MAC地址最大学习数目时,还可以选择超过部分是否转发,防止未知单播报文在VLAN内广播,对其他设备造成冲击。广播风暴抑制网络中存在大量的广播或者组播报文,会占用宝贵的网络带宽,从而严重影响网络设备的转发性能。而且当网络中某台设备存在环路时,广播和组播报文会在网络中泛滥,导致整个网络的瘫痪。基于端口配置;广播、组播和未知单播报文过滤功能。既可以按照PPS来限制端口每秒允许通过的广播、组播和未知单播报文个数,也可以按照流量绝对值来限制端口允许通过的广播、组播和未知单播报文速率。环路保护STP交换机交换机YMAC 0c0022222222缺省
9、的优先级缺省的优先级 32768交换机交换机 XMAC 0c0011111111缺省的优先级缺省的优先级 32768 端口端口 0端口端口 1端口端口0端口端口110baseTx x100baseTRoot Bridge指派端口指派端口根端口根端口 (F)非指派端口非指派端口(阻塞阻塞)指派端口指派端口环路保护当这个端口收到任何的BPDU就马上设为Error-Disabled状态.当交换机STP功能启用的时候,默认所有端口都会参与STP,并发送和接受BPDU.当BPDUGUARD开启后,在正常情况下,一个下联寝室的端口是不会收到任何BPDU的,因为PC和小交换机都不支持STP,所以不会收发BP
10、DU.当这个端口下如果有自回环的环路,那么它发出去的BPDU在小交换机上回环后就会被自己接收到,这个时候BPDUGUARD就会把它立刻设为Error-Disabled状态,这个端口就相当于被关闭了,不会转发任何数据,也就切断了环路,保护了整个网络.ARP防护ARP欺骗攻击和ARP泛洪攻击,而ARP欺骗攻击又包括仿冒网关、欺骗网关和欺骗终端用户。ARP防护收到ARP报文时,会根据报文源MAC地址进行HASH计算,并且记录单位时间收到的ARP报文数目。当S12500检测到某些固定源MAC地址的ARP报文发送的速率超过预定速率,则认为该源MAC地址的主机在进行ARP攻击。如果用户启用ARP防攻击功能
11、,则会打印提示信息并记录到日志信息中,并下发一条表项过滤此源MAC地址的报文,对该攻击源进行屏蔽。收到ARP报文时,会判断该报文的源IP地址和本网段接口IP地址是否相同。如果发现地址相同,则S12500会立即发送一个地址冲突报文和免费ARP广播报文。地址冲突报文是通知对端主机或者设备,该地址已经被占用;免费ARP广播报文,是通知本网段内其他主机和网络设备,纠正本网段内其他主机或者网络设备的ARP表项,防止ARP表项指向错误的MAC地址。ARP报文端口限速功能,能够针对每个物理端口配置ARP报文限速速率。对于经过交换机的ARP报文(包括正常转发或者上送CPU处理的ARP报文),如果检测到报文中的
12、以太网源MAC地址和发送端以太网MAC地址不一致,则直接丢弃。DHCP防护地址盗用,是指一个非法用户仿冒合法用户的IP地址,盗用合法用户的IP地址进行上网。网络设备会学习到错误的ARP表项,影响合法用户的正常上网。到来自网络上其他设备的DHCPServer发出的DHCP报文时,会自动识别出私设的DHCP服务器,并打印告警信息提示管理员。只有信任端口上的DHCP服务器可以给网络提供DHCP服务。对于非信任端口,上行的DHCP服务器报文将被拦截,ACL标准访问控制列表扩展访问控制列表标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议出口运维多出口的运
13、维:负载均衡(由外向内的访问,由内向外的访问)用户连接数的管理:僵尸网络,ddos带宽管理:流量控制设备设备安全管理VLAN口令访问控制网络监控SNMPFlow日志日志管理:设备运行日志,用户认证日志,NAT日志,URL日志,MAC日志等下一代互联网技术介绍IPv6产生的背景生的背景IPv6的的优点点IPv6地址表示地址表示IPv6地址分地址分类IPv6基本功能基本功能IPv6过渡技渡技术IPv6产生的背景产生的背景IPv4地址空间不足骨干路由器维护的路由表表项数量过大不易进行自动配置和重新编址不能解决日益突出的安全问题NATIPv6的优点的优点128位地址结构,提供充足的地址空间层次化的网络
14、结构,提高了路由效率IPv6报文头简洁、灵活,效率更高,易于扩展支持自动配置,即插即用支持端到端的安全新增流标签功能,更利于支持QoIPv6地址表示地址表示IPv6地址包括128比特,由使用由冒号分隔的16比特的十六进制数表示。16比特的十六进制数对大小写不敏感。如:FEDC:BA98:7654:3210:FEDC:BA98:7654:3210。对于中间比特连续为0的情况,还提供了简易表示方法。例如:1080:0:0:0:8:800:200C:417A等价于1080:8:800:200C:417AIPv6地址分类地址分类IPv6单播地址播地址:所有格式前缀不是组播格式前缀(11111111)的
15、IPv6地址都是IPv6单播格式,标识了一个接口IPv6任播地址任播地址:用来标识一组接口的地址,发往任播地址的报文被送到这组接口中与其最近的接口.用途之一是用来标识属于同一提供因特网服务的组织的一组路由器。这些地址可在IPv6路由头中作为中间地址,以使报文能够通过特定聚合或聚合顺序发送。另一个用途就是标识特定子网的一组路由器。IPv6组播地址播地址:用来标识一组接口嵌入嵌入IPv4地址的地址的IPv6地址地址:主要用在一种自动隧道技术IPv6基本功能基本功能IPv6邻居居发现协议:实现了在IPv4中的地址解析协议(ARP)、控制报文协议(ICMP)中的路由器发现部分、重定向协议的所有功能,并
16、具有邻居不可达检测机制。IPv6路径路径MTU发现协议:使用路径MTU发现得到源和目的节点之间路径的最大MTU。如果路径上的MTU不足以传输整个报文,则源节点分片后重新发送。IPv6域名解析域名解析:AAAA recordIPv6过渡技术过渡技术IPv6/IPv4双双协议栈隧道技隧道技术:不用把所有的设备都升级为双栈,只要求IPv4/IPv6网络的边缘设备实现双栈和隧道功能。IPv6网络边缘设备收到IPv6网络的IPv6报文后,将IPv6报文封装在IPv4报文中,成为一个IPv4报文,在IPv4网络中传输到目的IPv6网络的边缘设备后,解封装去掉外部IPv4头,恢复原来的IPv6报文,进行IP
17、v6转发。数据中心技术介绍虚拟化网络融合技术虚拟化虚拟化用多个物理实体创建一个逻辑实体,或者用一个物理实体创建多个逻辑实体。实体可以是计算、存储、网络或应用资源。虚拟化实质:隔离。虚拟化技术将不同的业务隔离开来,彼此不能互访,从而保证业务的安全需求;将不同的业务的资源隔离开来,从而保证业务对于数据中心资源的需求。虚拟化分类网络虚拟化计算虚拟化存储虚拟化虚拟化应用场景主机HBANIC存储虚拟化交换机虚拟化防火墙虚拟化网络融合技术FCoE:将FC帧封装在以太网帧中,允许以太网LAN和FCSAN的业务流量在同一个以太网中传送。不不丢帧的以太技的以太技术标准:准:传统的以太网是一种尽力服务的网络模式,
18、当网络拥塞时将发生丢帧。传统FCSAN网络依靠BB_Credit流控机制保证无丢帧传输,FCoE实现了以太网中传输FC帧,所以FCoE需要以太网实现不丢帧传输技术。数据中心安全网络安全防火墙IPS漏洞扫描安全审计VPN虚拟机安全WEB安全安全分区安全策略的基础是基于业务的逻辑分区和安全域划分,数据中心业务安全分区的优势:增加新功能区更容易不同区域可实施不同的安全策略每个分区按照需求可独立的扩展发生故障易定位易恢复等优点。IPS通过对流经该关键路径上的网络数据流进行2到7层的深度分析,能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2
19、P、IM、网游等网络攻击或网络滥用,从而可为网络提供三大保护功能:保护网络应用、保护网络基础设施、保护网络性能。虚拟机安全服务器虚拟化是在物理服务器上借助虚拟化软件(如VMWareESX、CitrixXEN)实现多个虚拟机(VirtualMachine,VM)的虚拟化运行环境。安装在服务器上实现虚拟化环境的软件层被称为VMM(VirtualMachineMonitor)。VMM为每个虚拟机提供虚拟化的CPU、内存、存储、IO设备(如网卡)以及以太网交换机等硬件环境。将虚拟机产生的网络流量全部交给与服务器相连的物理交换机进行处理,即使同一台服务器的虚拟机间流量,也将发往外部物理交换机进行查表处理,之后再180度掉头返回到服务器上。Web安全审计设备:用来截获所有HTTP数据或者仅仅满足某些规则的会话访问控制设备:用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式架构/网络设计工具:当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。WEB应用加固工具:这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且能够保护WEB应用编程错误导致的安全隐患。数据中心安全数据安全备份快照容灾数据中心监控机房环境硬件利用服务监控谢谢!
