中小学网络基础知识锐捷三层交换机课件.ppt

1、中小学网络基础知识部门/作者中小学常见网络拓扑局域网常用技术局域网常见攻击如何防御局域网攻击答疑第 3页 /共 4页校园网络的应用现状学校信息化应用学校信息化应用早期中小学网络第 4页 /共 4页家用路由器“傻瓜”交换机特点：1、低成本2、网络无冗余性3、交换机不可网管4、网络无安全性网络设备介绍第 5页 /共 4页二层二层“可网管可网管”交换机交换机特点：1、接口数量多，常见的接口数量为24口或48口2、接口速率多为100M/bps或1000M/bps3、具有二层数据转发功能二层数据转发功能4、可以划分VLAN虚拟局域网5、具有防环路机制6、有一定的安全防御功能网络设备介绍第 6页 /共 4

2、页三层三层“可网管可网管”交换机交换机特点：1、三层交换机从外观上分为“盒式交换机”和“箱式交换机”2、三层交换机具有二层交换机的所有功能3、三层交换机增加三层数据转发功能三层数据转发功能4、接口多为1000M/bps速率网络设备介绍第 7页 /共 4页“可网管可网管”路由器路由器特点：1、接口数量少2、支持各种广域网接口3、具有网络地址转换功能NAT4、完成三层数据转发5、具有防火墙和流量控制等功能目前中小学常见网络第 8页 /共 4页RG-S7610RSR 50-40认证管理系统认证管理系统&网管网管百兆电缆百兆电缆千兆光线千兆光线RG-S2100教学楼教学楼RG-S2100综合楼综合楼R

3、G-S2100艺体楼艺体楼RG-S2100PC实验楼实验楼服务器群服务器群PCPCPC核心层核心层接入层接入层 目前中小学常见网络第 9页 /共 4页RG-S7610RSR 50-40认证管理系统认证管理系统&网管网管百兆电缆百兆电缆千兆光线千兆光线RG-S5750RG-S2100教学楼教学楼RG-S5750RG-S2100综合楼综合楼RG-S5750RG-S2100艺体楼艺体楼RG-S2100PC实验楼实验楼服务器群服务器群PCPCPC核心层核心层接入层接入层“可网管”局域网优势第 10页 /共 4页层次性层次性易管理易管理冗余性冗余性安全性安全性流控性流控性“可网管可网管”局域网局域网局域

4、网技术第 11页 /共 4页IP地址及其分类地址及其分类局域网技术第 12页 /共 4页第 13页 /共 4页VLAN技术广播域广播域交换网络中存在的问题第 14页 /共 4页交换网络中的问题VLAN20VLAN10VLAN30VLAN40VLAN技术1234交换机交换机广播帧广播帧广播域广播域广播帧广播帧广播域广播域VLAN 概述（Virtual Local Area Network）VLAN是划分出来的逻辑网络，是第二层网络。VLAN端口不受物理位置的限制。VLAN 隔离广播域。VLAN的类型:Port VLANF0/1F0/2F0/3Port-VLAN原理 通过查找MAC地址表，交换机对

5、发往不同VLAN的数据不转发F0/1F0/2F0/3ABCVlan 10Vlan 20Vlan 10A BA CX交换机端口交换机端口MACMAC地址地址VLAN IDVLAN IDVLAN的类型:Tag VLANSwitch AVLAN30VLAN20 VLAN10Switch BVLAN30VLAN20VLAN10Tag VLANTagVLAN特点传输多个VLAN的信息实现同一VLAN跨越不同的交换机要求Ttunk至少要100M802.1Q工作原理802.1Q工作特点：802.1Q数据帧传输对于用户是完全透明的。Trunk上默认会转发交换机上存在的所有VLAN的数据。交换机在从Trunk口

6、转发数据前会在数据打上个Tag标签，在到达另一交换机后，再剥去此标签。A AB B数据帧数据帧TagTag标签标签数据包在三层网络如何通信第 20页 /共 4页AB192.168.1.0192.168.2.0192.168.3.0PC1PC2目的网段目的网段转发接口转发接口192.168.2.0B192.168.1.0目的网段目的网段转发接口转发接口192.168.2.0192.168.1.0A局域网常见攻击第 21页 /共 4页ARP攻击攻击ARP攻击就是将攻击就是将ARP表中表中IP与与MAC地址的对应关系进行了修改地址的对应关系进行了修改!第 22页 /共 4页ARP欺骗攻击分类-主机型

7、主机型ARP欺骗欺骗者主机冒充网关设备对其他主机进行欺骗网关欺骗者嗨，我是网关PC 1第 23页 /共 4页ARP欺骗攻击分类-网关型网关型ARP欺骗欺骗者主机冒充其他主机对网关设备进行欺骗23网关欺骗者嗨，我是PC1PC 1局域网常见攻击第 24页 /共 4页DHCP攻击攻击局域网常见攻击第 25页 /共 4页二层环路二层环路局域网常见攻击第 26页 /共 4页TCP半连接攻击半连接攻击客户端客户端A服务器服务器B发送 SYN1(seq#=100)1接收SYN发送SYN1,ACK1(seq#=300 ack#=101)2建立连接，ACK1(ack#=301)3接收SYN,ACKTCP半连接攻

8、击就是攻击者发送大量的半连接攻击就是攻击者发送大量的TCP链接，当目的主机回应链接，当目的主机回应TCP后，攻击者不发送确认报文，导致被攻击者系统资源被大量浪费后，攻击者不发送确认报文，导致被攻击者系统资源被大量浪费如何防御ARP攻击第 27页 /共 4页判断ARP欺骗攻击-主机怎样判断是否受到了ARP欺骗攻击？网络时断时续或网速特别慢在命令行提示符下执行“arp d”命令就能好上一会在命令行提示符下执行“arp a”命令查看网关对应的MAC地址发生了改变27如何防御ARP攻击第 28页 /共 4页判断ARP欺骗攻击-网关设备网关设备怎样判断是否受到了ARP欺骗攻击？ARP表中同一个MAC对应

9、许多IP地址28如何防御ARP攻击第 29页 /共 4页29安全地址获取安全地址获取丢弃丢弃转发转发ARPARP报文校验报文校验ARP报文S/T字段是否与安全地址一致ARPARP报文报文是否安全地址的获取是防ARP欺骗的前提，ARP报文校验是防ARP欺骗的手段手工指定 port-security自动获取DHCP SnoopingDot1x认证ARP-check检查ARP报文中sender MAC和sender IP是否和安全地址中的MAC 和 IP所对应一致如何防御DHCP攻击第 30页 /共 4页DHCP SnoopingDHCP安全特性过滤非法DHCP报文，防范非法的DHCP Server和对服务器的攻击对DHCP报文进行窥探，建立DHCP-Snooping数据库，为IP报文和ARP报文过滤提供依据ClienetServeruntrustuntrusttrust如何防止二层环路第 31页 /共 4页使用生成树使用生成树协议协议Spanning Tree，将出，将出现环路的接现环路的接口逻辑上进口逻辑上进行阻断行阻断如何防止TCP半连接第 32页 /共 4页TCP SYN代理功能代理功能TCP SYN 代理是先由路由器/防火墙代理服务端与客户端完成三次握手，如果连接合法，再与服务端建立连接。具备具备TCP SYN功能的网络设备充当了安全守卫者功能的网络设备充当了安全守卫者