《网络安全》网络安全2课件.ppt

上传人(卖家):晟晟文业 文档编号:3703138 上传时间:2022-10-06 格式:PPT 页数:89 大小:1.42MB
下载 相关 举报
《网络安全》网络安全2课件.ppt_第1页
第1页 / 共89页
《网络安全》网络安全2课件.ppt_第2页
第2页 / 共89页
《网络安全》网络安全2课件.ppt_第3页
第3页 / 共89页
《网络安全》网络安全2课件.ppt_第4页
第4页 / 共89页
《网络安全》网络安全2课件.ppt_第5页
第5页 / 共89页
点击查看更多>>
资源描述

1、第第 2 讲讲网络安全 第2讲 TCPIP深入理解ISO-OSI RM物理层:信息实际如何传送?缆线,信号的编码,网络接插件的电、机械接口数据链路层:每一步该怎么走?成帧,差错控制、流量控制,物理寻址,媒体访问控制网络层:数据如何到达对方?路由、转发,拥塞控制传输层:对方在何处?为会话层提供与下面网络无关的可靠消息传送机制 会话层:论到哪方传输,从何处开始传输?负责建立(或清除)在两个通信的表示层之间的通信通道,包括交互管理、同步,异常报告。表示层:对方看起来像什么?在两个应用层之间的传输过程中负责数据的表示语法应用层:做什么?处理应用进程之间所发送和接收的数据中包含的信息内容。网络安全 第2

2、讲 TCPIP深入理解TCPIP协议体系OSI层次划分TCP/IP层次划分应用层应用层会话层传输层会话层传输层网络层网络层数据链路层链路层物理层HTTPFTPTELNETDNSSNMPTCPUDPIPEthernet Token Ring FDDI WANS ARPICMPTCP/IP协议族中协议示例网络安全 第2讲 TCPIP深入理解v 相同点:1.都是基于独立的协议栈概念。2.两者都有功能相似的应用层、传输层、网络层。v 不同点:1.在OSI模型中,严格地定义了服务、接口、协议;在TCP/IP模型中,并没有严格区分服务、接口与协议。2.OSI模型支持非连接和面向连接的网络层通信,但在传输层

3、只支持面向连接的通信;TCP/IP模型只支持非连接的网络层通信,但在传输层有支持非连接和面向连接的两种协议可供用户选择。3.TCP/IP模型中不区分、甚至不提起物理层和数据链路层。6/19/2003Internet安全协议及标准Page:5TCP/IP工作方式6v某公司进行网络改造后,发现有一台客户某公司进行网络改造后,发现有一台客户端在调整办公室后无法访问服务器。端在调整办公室后无法访问服务器。v故障解决思路与步骤故障解决思路与步骤 由出错情况可知,由于其他客户端可以访问服由出错情况可知,由于其他客户端可以访问服务器,只有一个客户端无法访问,可以确定服务器,只有一个客户端无法访问,可以确定服

4、务器的应用程序是没有问题的,所以采用务器的应用程序是没有问题的,所以采用“从从下至上下至上”的方法排除网络故障,即从物理层开的方法排除网络故障,即从物理层开始。始。7v物理层检查物理层检查1.检查检查客户端网络的物理连接是否正常客户端网络的物理连接是否正常,查看,查看网线是否与墙上端口和设备相连,连接点是网线是否与墙上端口和设备相连,连接点是否牢靠?否牢靠?2.经检查经检查1没有问题,检查没有问题,检查交换机端口的工作状交换机端口的工作状态态。一般来说,针对严格管理的标准布线环。一般来说,针对严格管理的标准布线环境,有完备的境,有完备的网络记录文档网络记录文档。由此可以。由此可以查找到出现问题

5、客户端使用的墙上插座端口查找到出现问题客户端使用的墙上插座端口号为号为A201,而且知道,而且知道A201号口与交换机号口与交换机2号号口相连。口相连。78n 现场查看交换机端口的指示灯状态是否正常;现场查看交换机端口的指示灯状态是否正常;一般一般持续绿色持续绿色代表链路正常运行,代表链路正常运行,闪烁绿色闪烁绿色表表示正在发送或者接收数据。示正在发送或者接收数据。n 远程登录到交换机,使用远程登录到交换机,使用show ip interface brief命令查看其端口是否工作正常命令查看其端口是否工作正常Interface IP-Address OK?Method Status proto

6、col G1/0/2 unassigned YES unset up up由以上信息可知,端口状态和协议都工作在由以上信息可知,端口状态和协议都工作在up状态,这证明此终端到交换机的线缆连接状态,这证明此终端到交换机的线缆连接是正常的,初步可以排除是物理层的问题。是正常的,初步可以排除是物理层的问题。9v数据链路层检查数据链路层检查l 第二层的关键是第二层的关键是MAC地址,通过对照交换机接地址,通过对照交换机接口上的口上的MAC地址和客户端的地址和客户端的MAC地址是否相地址是否相同,可以同,可以排除施工时排除施工时网络记录文档网络记录文档是否出是否出现问题现问题。使用:。使用:show m

7、ac address-table interface g1/0/2 Vlan Mac Address Type Ports 10 0014.2275.57ac DYNAMIC Gi1/0/2可以显示连接此接口计算机的可以显示连接此接口计算机的MAC地址信息。地址信息。再在客户端上查看本机的再在客户端上查看本机的MAC地址,如果不匹地址,如果不匹配则说明交换机上的接口并不是真的连接了这配则说明交换机上的接口并不是真的连接了这台客户端。台客户端。10v网络层检查网络层检查l在客户端使用在客户端使用IPCONFIG/ALL命令进行检查命令进行检查Ethernet adapter 本地连接本地连接Dh

8、cp Enabled.:Yes IP address :10.10.2.41 DHCP Server :10.88.56.1 可以看到可以看到PC有有IP地址,但是这个地址对吗?通过地址,但是这个地址对吗?通过IP地址地址为为10.88.56.1的的DHCP服务器可以获得服务器可以获得10.10.x.x范围内的范围内的地址吗?地址吗?DHCP服务器分发的服务器分发的IP地址不属于子网。这种问题地址不属于子网。这种问题多出现在多出现在PC从某个子网移动到另一个子网时,从某个子网移动到另一个子网时,PC依然请求旧的依然请求旧的IP地址,从而产生问题。地址,从而产生问题。11v 解决方法解决方法l

9、让让PC的网络接口租用的的网络接口租用的IP地址重新交付地址重新交付给给DHCP服务器(即归还服务器(即归还IP地址)。地址)。1.IPCONFIG/RELEASE2.IPCONFIG/RENEW此时此时PC就会获得正确的就会获得正确的IP地址地址12v解读下面这段话:解读下面这段话:总公司的总公司的LAN骨干使用千兆网络,各地分公司骨干使用千兆网络,各地分公司的的WAN连接是连接是DDN专线接入;专线接入;总公司各办公室都提供高速总公司各办公室都提供高速有线网络有线网络接入,另接入,另外,在休息厅和阅览室设置了外,在休息厅和阅览室设置了无线网络无线网络;总公司建立了大型的总公司建立了大型的S

10、AN存储网络,所有的销存储网络,所有的销售人员都可以通过售人员都可以通过VPN访问方式从访问方式从外部网络外部网络访访问问内部网络内部网络服务,经过安全审核后经授权的员服务,经过安全审核后经授权的员工还可以访问工还可以访问SAN中的核心数据。中的核心数据。13vLAN、WAN、MAN:根据地理覆盖范围的大小,可以将计算机网络根据地理覆盖范围的大小,可以将计算机网络分为局域网、广域网和城域网。分为局域网、广域网和城域网。局域网(局域网(Local Area Network):是一个数据):是一个数据通信系统,其传输范围是中等地理区域,它具通信系统,其传输范围是中等地理区域,它具有高数据传输速率。

11、有高数据传输速率。城域网(城域网(Metropolitan Area Network):它的):它的地理范围是一个城市及其郊区,主要应用于大地理范围是一个城市及其郊区,主要应用于大中型城市地区,基于中型城市地区,基于LAN和和WAN之间。之间。14vLAN、WAN、MAN:广域网(广域网(Wide Area Network):在一个广泛):在一个广泛地理范围内建立的计算机通信网,范围可以超地理范围内建立的计算机通信网,范围可以超越城市和国家。在实际应用中,越城市和国家。在实际应用中,LAN可与可与WAN互联,或通过互联,或通过WAN与位于其他地点的与位于其他地点的WAN/LAN互联,这时互联,

12、这时LAN就成为就成为WAN上的一上的一个端系统。个端系统。WAN传输距离远,拓扑结构复杂,传输距离远,拓扑结构复杂,由此带来的问题是路由选择的复杂性。另外,由此带来的问题是路由选择的复杂性。另外,它的传输速率与它的传输速率与LAN相比较低。相比较低。1516v解读下面这段话:解读下面这段话:总公司的总公司的LAN骨干使用千兆网络,各地分公司骨干使用千兆网络,各地分公司的的WAN连接是连接是DDN专线接入;专线接入;总公司各办公室都提供高速总公司各办公室都提供高速有线网络有线网络接入,另接入,另外,在休息厅和阅览室设置了外,在休息厅和阅览室设置了无线网络无线网络;总公司建立了大型的总公司建立了

13、大型的SAN存储网络,所有的销存储网络,所有的销售人员都可以通过售人员都可以通过VPN访问方式从访问方式从外部网络外部网络访访问问内部网络内部网络服务,经过安全审核后经授权的员服务,经过安全审核后经授权的员工还可以访问工还可以访问SAN中的核心数据。中的核心数据。17v有线网络有线网络&无线网络:无线网络:有线网络:提供有线网络:提供LAN中各种设备间的高速连接,有线网中各种设备间的高速连接,有线网络的连接介质可分为两类:络的连接介质可分为两类:金属导体,如同轴电缆,双绞线,利用铜和铁等金属金属导体,如同轴电缆,双绞线,利用铜和铁等金属导体的电流变化来传输数据。导体的电流变化来传输数据。以光纤

14、维代表的透明玻璃或塑胶绳媒体,它们利用光以光纤维代表的透明玻璃或塑胶绳媒体,它们利用光波来传输数据。波来传输数据。无线网络:使用无线射频(无线网络:使用无线射频(RF)技术通过空中接口来收)技术通过空中接口来收发数据,通常将这种采用无线传输数据或媒体的计算机发数据,通常将这种采用无线传输数据或媒体的计算机网络称为无线局域网。网络称为无线局域网。要实现合理的网络传输和覆盖,必须将有线与无线,空要实现合理的网络传输和覆盖,必须将有线与无线,空中与地面相结合,取长补短。中与地面相结合,取长补短。18v解读下面这段话:解读下面这段话:总公司的总公司的LAN骨干使用千兆网络,各地分公司骨干使用千兆网络,

15、各地分公司的的WAN连接是连接是DDN专线接入;专线接入;总公司各办公室都提供高速总公司各办公室都提供高速有线网络有线网络接入,另接入,另外,在休息厅和阅览室设置了外,在休息厅和阅览室设置了无线网络无线网络;总公司建立了大型的总公司建立了大型的SAN存储网络,所有的销存储网络,所有的销售人员都可以通过售人员都可以通过VPN访问方式从访问方式从外部网络外部网络访访问问内部网络内部网络服务,经过安全审核后经授权的员服务,经过安全审核后经授权的员工还可以访问工还可以访问SAN中的核心数据。中的核心数据。19v外部网络外部网络&内部网络:内部网络:内部网络和外部网络是利用内部网络和外部网络是利用网络边

16、界的节点网络边界的节点进进行分类,以确定私有网络和公共网络的界线的行分类,以确定私有网络和公共网络的界线的一种描述方法。一种描述方法。内部网络(内部网络(Intranet)是建立在企业内部的)是建立在企业内部的Internet,它采用防止外界侵入的安全措施,它采用防止外界侵入的安全措施,将将Internet技术运用到企业内部的信息系统中,技术运用到企业内部的信息系统中,以企业员工为服务对象,构建企业级的信息集以企业员工为服务对象,构建企业级的信息集成和信息服务。成和信息服务。外部网络(外部网络(Extranet)的信息交流着眼于企业)的信息交流着眼于企业外部。外部。20vSAN SAN是一种是

17、一种存储设备网络存储设备网络,实现的方式之一是,实现的方式之一是通过光纤通道连接完成的。通过光纤通道连接完成的。SAN类似于类似于LAN体体系结构,它可以通过系结构,它可以通过HUB、Switch、控制器来、控制器来连接各种设备。连接各种设备。SAN使使Server可以与存储设备可以与存储设备(如磁盘子系统和磁带库)建立多个直接连接。(如磁盘子系统和磁带库)建立多个直接连接。21基本形式的基本形式的SAN网络网络HBA(Host Bus Adapter):主机总线适配器,是一个在):主机总线适配器,是一个在server和存和存储装置间提供储装置间提供I/O处理和物理连接的电路板和处理和物理连接

18、的电路板和/或集成电路适配器。或集成电路适配器。22vVPN Virtual Private Network 虚拟专用网虚拟专用网 采用一种称为采用一种称为“隧道隧道”或或“数据封装数据封装”的技术的技术解决企业员工需要通过解决企业员工需要通过Internet访问企业内部访问企业内部服务器的问题。它可以通过特殊的加密通讯协服务器的问题。它可以通过特殊的加密通讯协议在连接在议在连接在Internet上不同地方的两个或多个上不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就企业内部网之间建立一条专有的通讯线路,就如同架设了一条专线,但是并不需要真正的去如同架设了一条专线,但是并不需要真正

19、的去铺设线路。铺设线路。VPN被定义为通过一个公用网络建被定义为通过一个公用网络建立一个临时的、安全的连接。立一个临时的、安全的连接。VPN的核心是利的核心是利用公共网络建立一个物理上不存在的虚拟的私用公共网络建立一个物理上不存在的虚拟的私有网。有网。23 其他服务其他服务:www、ftp MRTG:定义、安装:定义、安装 视频服务视频服务:相关概念、配置:相关概念、配置 邮件服务邮件服务:名词、相关协议、传递方式、配置:名词、相关协议、传递方式、配置 Proxy:定义、工作流程、配置:定义、工作流程、配置 DNS:定义、工作流程、实例:定义、工作流程、实例 网络设备:网络设备:概述、路由与交

20、换、概述、路由与交换、NAT、实例、实例 校园网概述:网络说明校园网概述:网络说明、IP地址范围、网络拓扑结构地址范围、网络拓扑结构 24 v 吉林大学校园网始建于吉林大学校园网始建于1995年,年,在五校区网络整合完成后已成为国内覆盖面积最在五校区网络整合完成后已成为国内覆盖面积最大的校园计算机网络。校园网采用大的校园计算机网络。校园网采用多层次树型结构多层次树型结构。分布在市内各个方位的五校。分布在市内各个方位的五校区局域网,通过区局域网,通过光纤线路光纤线路互连,形成互连,形成双千兆双千兆带宽的校园网主干,使吉林大学校园带宽的校园网主干,使吉林大学校园网具备了城域网的规模。网具备了城域网

21、的规模。在各个校区,主要楼宇通过千兆连接到校区主节点,其在各个校区,主要楼宇通过千兆连接到校区主节点,其它楼宇百兆上连。在广域网方面,它楼宇百兆上连。在广域网方面,校园网通过校园网通过1200兆光纤连接到位于吉林大学内兆光纤连接到位于吉林大学内的教育网吉林省主节点,的教育网吉林省主节点,后者目前与教育网东北节点以后者目前与教育网东北节点以2.5G互连。互连。v 在网络服务方面,校园网在网络服务方面,校园网50多台服务器以及学校各部门多台服务器以及学校各部门20多台服务器共同提供形多台服务器共同提供形式多样的服务。包括式多样的服务。包括WWW、文件下载、电子邮件、代理服务、虚拟主机、个人、文件下

22、载、电子邮件、代理服务、虚拟主机、个人主页、主页、BBS、视频点播、电视转播、教学管理系统、财务管理系统、图书馆书目、视频点播、电视转播、教学管理系统、财务管理系统、图书馆书目查询系统、科技文献全文检索系统等。查询系统、科技文献全文检索系统等。v 作为中国第二代互联网计划作为中国第二代互联网计划CNGI-6IX和第二代中国教育和科研网和第二代中国教育和科研网CERNET-II的的节点学校之一,吉林大学节点学校之一,吉林大学IPv6网络已经于网络已经于2004年年12月月23日全面开通,日全面开通,并与并与CERNET-II以及国外以及国外INTERNET-II网络实现互联。网络实现互联。校内所

23、有路由设备已经升级,校内所有路由设备已经升级,全面支持全面支持Ipv6相关协议,具备了向全体师生提供相关协议,具备了向全体师生提供Ipv6相关服务的条件。相关服务的条件。v 截至到截至到2013年年03月月12日日12时时,吉林大学校园网入网计算机总数为吉林大学校园网入网计算机总数为 77706台台.25 vCernet:202.198.16.0-202.198.31.255 202.198.32.0-202.198.47.255 202.198.48.0-202.198.63.255 202.198.64.0-202.198.79.255 202.198.144.0-202.198.159.

24、255 202.198.160.0-202.198.175.255 219.217.0.0-219.217.15.255 219.217.48.0-219.217.63.255 59.72.0.0-59.72.127.255 202.127.245.0-202.127.245.255 222.27.64.0-222.27.95.255 vCncnet:202.98.13.0-202.98.13.255 202.98.17.0-202.98.17.255 202.98.18.0-202.98.18.127 202.98.18.224-202.98.18.255 202.111.177.224-2

25、02.111.177.255vChinanet:222.168.43.160-222.168.43.19126 v 中国教育和科研计算机网中国教育和科研计算机网CERNET是由国家投资建设,教育是由国家投资建设,教育部负责管理,清华大学等高等学校承担建设和管理运行的全部负责管理,清华大学等高等学校承担建设和管理运行的全国性学术计算机互联网络。国性学术计算机互联网络。它主要面向教育和科研单位,是它主要面向教育和科研单位,是全国最大的公益性互联网络。全国最大的公益性互联网络。1996年被国务院确认为全国骨年被国务院确认为全国骨干网。它分四级管理,分别是干网。它分四级管理,分别是全国网络中心、地区网

26、络中心全国网络中心、地区网络中心和地区主结点、省教育科研网、校园网和地区主结点、省教育科研网、校园网。CERNET全国网络全国网络中心设在清华大学,负责全国主干网的运行管理。地区网络中心设在清华大学,负责全国主干网的运行管理。地区网络中心和地区主结点分别设在清华大学、北京大学、北京邮电中心和地区主结点分别设在清华大学、北京大学、北京邮电大学、上海交通大学、西安交通大学、华中科技大学、华南大学、上海交通大学、西安交通大学、华中科技大学、华南理工大学、电子科技大学、东南大学、东北大学等理工大学、电子科技大学、东南大学、东北大学等10所高校,所高校,负责地区网的运行管理和规划建设。负责地区网的运行管

27、理和规划建设。2727 28 29 30 31 高速同步串口高速同步串口:主要用于连接:主要用于连接DDN、帧中、帧中继、继、X.25、PSTN等。通过这种端口所连等。通过这种端口所连接的网络的两端都要求实时同步。接的网络的两端都要求实时同步。异步串口异步串口:主要用于:主要用于Modem或或Modem池池的连接,实现远程计算机通过公用电话网的连接,实现远程计算机通过公用电话网拨入网络。它不要网络两端保持实时同步,拨入网络。它不要网络两端保持实时同步,只要求能连续即可,这种接口所连接的通只要求能连续即可,这种接口所连接的通信方式速率较低。信方式速率较低。Console口口:使用配置专用线直接连

28、接至:使用配置专用线直接连接至计算机串口,利用终端仿真程序进行路由计算机串口,利用终端仿真程序进行路由器本地配置。器本地配置。AUX口口为异步端口,主要用于远程配置,为异步端口,主要用于远程配置,也可用于拨号连接,还可通过收发器与也可用于拨号连接,还可通过收发器与MODEM相连。相连。32 v 路由和交换是网络世界中两个重要的概念。路由和交换是网络世界中两个重要的概念。传统的交换发生传统的交换发生在网络的第二层,即数据链路层,在网络的第二层,即数据链路层,而路由则发生在第三层,而路由则发生在第三层,网络层网络层。所以传统意义上的交换机是。所以传统意义上的交换机是OSIOSI参考模型第二层的参考

29、模型第二层的设备,设备,也就是数据链路层的设备,也就是数据链路层的设备,交换机根据每一个数据交换机根据每一个数据包中的目的包中的目的MACMAC地址作简单的转发,转发决策并不需要判断地址作简单的转发,转发决策并不需要判断数据包深层的其他信息。而路由器是数据包深层的其他信息。而路由器是OSIOSI参考模型第三层的参考模型第三层的设备,也就是网络层的设备,它负责检查进入的分组,为它设备,也就是网络层的设备,它负责检查进入的分组,为它们选择通过网络的最佳路径,然后将它们交换到合适的输出们选择通过网络的最佳路径,然后将它们交换到合适的输出端口上。这是传统意义上的路由和交换。端口上。这是传统意义上的路由

30、和交换。v 现在,路由的智能和交换的性能被有机的结合起来,三层交现在,路由的智能和交换的性能被有机的结合起来,三层交换机和多层交换机在网络中已经大量使用。换机和多层交换机在网络中已经大量使用。33 vNAT英文全称是英文全称是Network Address Translation,也就是,也就是网络地址转换网络地址转换,它是一个它是一个IETF标准,允许一个机构以一个地址出现标准,允许一个机构以一个地址出现在在Internet上。上。NAT将每个局域网节点的地址转换成将每个局域网节点的地址转换成一个一个IP地址,反之亦然。它也可以应用到防火墙技地址,反之亦然。它也可以应用到防火墙技术里,把个别

31、术里,把个别IP地址隐藏起来不被外界发现,使外地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备,同时,它还帮助网界无法直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有络可以超越地址的限制,合理地安排网络中的公有Internet 地址和私有地址和私有IP地址的使用。地址的使用。34 v NATNAT技术能帮助解决令人头痛的技术能帮助解决令人头痛的IPIP地址紧缺的问题,而且能使地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。得内外网络隔离,提供一定的网络安全保障。v 它解决问题的办法是:在内部网络中使用内部地址,通过它解决问题的办法是:在

32、内部网络中使用内部地址,通过NATNAT把内部地址翻译成合法的把内部地址翻译成合法的IPIP地址在地址在InternetInternet上使用,其具体上使用,其具体的做法是把的做法是把IPIP包内的地址域用合法的包内的地址域用合法的IPIP地址来替换。地址来替换。v NATNAT功能通常被集成到路由器、防火墙、功能通常被集成到路由器、防火墙、ISDNISDN路由器或者单独路由器或者单独的的NATNAT设备中。设备中。NATNAT设备维护一个状态表,用来把非法的设备维护一个状态表,用来把非法的IPIP地地址映射到合法的址映射到合法的IPIP地址上去。每个包在地址上去。每个包在NATNAT设备中都

33、被翻译成设备中都被翻译成正确的正确的IPIP地址,发往下一级,这意味着给处理器带来了一定地址,发往下一级,这意味着给处理器带来了一定的负担。但对于一般的网络来说,这种负担是微不足道的。的负担。但对于一般的网络来说,这种负担是微不足道的。35 静态静态NAT(Static NAT)动态地址动态地址NAT(Pooled NAT)网络地址端口转换网络地址端口转换NAPT(PortLevel NAT)v 静态静态NAT设置起来最为简单和最容易实现的一种,内部网络设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。中的每个主机都被永久映射成外部网络中的某个合

34、法的地址。v 动态地址动态地址NAT则是在外部网络中定义了一系列的合法地址,则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。采用动态分配的方法映射到内部网络。v NAPT则是把内部地址映射到外部网络的一个则是把内部地址映射到外部网络的一个IP地址的不同地址的不同端口上。根据不同的需要,三种端口上。根据不同的需要,三种NAT方案各有利弊。方案各有利弊。36 v NAT技术可以让区域网路中的所有机器经由一台通往技术可以让区域网路中的所有机器经由一台通往Internet的的server 线出去,而且只需要注册该线出去,而且只需要注册该server的一个的一个IP就够了就够了

35、。最简单的最简单的NAT设备有两条网络连接:一条连接到设备有两条网络连接:一条连接到Internet,一,一条连接到专用网络。专用网络中使用私有条连接到专用网络。专用网络中使用私有IP地址(有时也被地址(有时也被称做称做Network 10地址,地址使用留做专用的从地址,地址使用留做专用的从10.0.0.0开始的开始的地址)的主机,通过直接向地址)的主机,通过直接向NAT设备发送数据包连接到设备发送数据包连接到Internet上。与普通路由器不同,上。与普通路由器不同,NAT设备实际上对包头进行设备实际上对包头进行修改,将专用网络的源地址变为修改,将专用网络的源地址变为NAT设备自己的设备自己

36、的Internet地址,地址,而普通路由器仅在将数据包转发到目的地前读取源地址和目而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。的地址。路由协议vInternet 路由选择的树状结构:自治系统自治系统局域网局域网局域网局域网核心系统核心系统GGGGGG核心网关非核心网关部分AS间交换路由信息(信任关系)v 自治系统(ASAutonomous System):包括多个网络和非核心网关,并通过唯一的核心网关与主干网相连。通过它进入主干网(核心系统)。AS的建立是为了便于扩展并减 轻 主干网路由信息更新的过大开销。核心网关由Internet网络操作中心统一管理,非核心网关由本地管理v

37、路由信息的交换:1.自治系统要通过系统内一个授权的非核心网关向所属核心网关报告本地路由信息,核心网关也要通过它报告主干网路由信息。(外部网关协议EGPExternal Gateway Protocol.如EGP,BGP)2.核心网关之间相互交换路由信息。(核心网关协议GGPGateway-Gateway Protocol).3.自治系统是独立的。其内部可采用自己的路由协议。(内部网关协议IGPInternal Gateway Protocol 如OSPF,RIP,IGRP 等)v 信任关系:为减轻自治系统对主干网的依赖,提高系统的可靠性,一些自治系统间可直接建立联系,交换路由信息,而不必通过主

38、干网。(称信任关系)v 路径:本地网络将数据发送到核心网关,进入主干网,再通过核心网关送到目的主机所在的自治系统,然后由内部路由到达目的主机。39 v CISCO学院实验室学院实验室网络拓扑图网络拓扑图40 User Access VerificationvPassword:vLAB_A User EXEC modevLAB_A vLAB_A#Privileged EXEC modevLAB_A#Global configuration modevLAB_A(config)#vLAB_A(config)#配置接口vLAB_A(config-if)#vLAB_A(config-if)#vLAB_

39、A(config)#vLAB_A(config)#配置路由协议vLAB_A(config-router)#vLAB_A(config-router)#vLAB_A(config-router)#vLAB_A(config)#vLAB_A(config)#配置DNSvLAB_A(config)#vLAB_A#vLAB_A#检查配置并测试连接性vLAB_A#保存配置41 42 v DNS,Domain Name System,域名系统。,域名系统。v 在一个在一个TCP/IP架构的网络环境中,架构的网络环境中,DNS是一个非常重要而是一个非常重要而且常用的系统。主要的功能是将人易于记忆的且常用的系

40、统。主要的功能是将人易于记忆的Domain Name与人不容易记忆的与人不容易记忆的IP Address作转换。它包括正向解作转换。它包括正向解析和逆向解析。析和逆向解析。正向解析正向解析指将主机域名解析为对应的指将主机域名解析为对应的IP地地址的过程。址的过程。反向解析反向解析指由指定的指由指定的IP地址解析出对应的主机地址解析出对应的主机域名。域名。43 v DNS是属于是属于分层的(分层的(Hierarchical)分布式数据库()分布式数据库(Distributed Database)体系结构体系结构,虽然每台,虽然每台DNS服务器只负责某些范围的域名解析工作,但是它服务器只负责某些范

41、围的域名解析工作,但是它最大的长处是:可将世界上分散在各地的最大的长处是:可将世界上分散在各地的DNS集合而成为一个逻辑上的数集合而成为一个逻辑上的数据库。因为没有一台据库。因为没有一台DNS服务器可以容纳世界上所有主机的资料记录,所服务器可以容纳世界上所有主机的资料记录,所以就必须通过以就必须通过DNS服务器间的查询和缓存记忆来分享资料,以便响应来自服务器间的查询和缓存记忆来分享资料,以便响应来自客户端的域名解析请求。客户端的域名解析请求。v 例如:吉林大学的例如:吉林大学的Domain Name为为,这个,这个Domain Name当当然不是凭空而来的,是从然不是凭空而来的,是从所分配下来

42、。所分配下来。又是从又是从.cn授予授予的。的。.cn是从哪里来的呢?答案是从是从哪里来的呢?答案是从“.”,也就是所谓的,也就是所谓的“根域根域”(root domain)来的。根域已经是)来的。根域已经是Domain Name的最上层。而的最上层。而“.”这层是由这层是由InterNIC(Internet Network Information Center,互联网信息中心)所管,互联网信息中心)所管理。全世界的理。全世界的Domain Name就是这样,一层一层的授予下来。就是这样,一层一层的授予下来。网络安全 第2讲 TCPIP深入理解名字是否在本服务区所辖子域哪种求解方式开始将询问发

43、往某服务器结果产生一个指定下一服务器的响应,并传回求解者从数据库中取出相应地址将结果传回求解者请求下一服务器,求解名字,并将结果返回求解者构成域名询问求解者操作服务器操作YN递归求解反复求解下一次求解域名解析算法图域名解析算法图:45 v 例:例:查询查询Domain Name为为时,时,DNS Server处理处理如下如下:46 1.客户端向服务器提出查询项目;客户端向服务器提出查询项目;2.当被询问到有关本域名之内的主机名称的时候,当被询问到有关本域名之内的主机名称的时候,DNS服务器会直接做出回答;服务器会直接做出回答;3.如果所查询的主机名属于其它域名,会检查快取记忆体如果所查询的主机

44、名属于其它域名,会检查快取记忆体(Cache)查看是否有相关查看是否有相关资料;资料;4.如果没有发现,则会转向如果没有发现,则会转向 root 服务器查询;服务器查询;5.root 服务器会将该域名之下一层授权服务器会将该域名之下一层授权(authoritative)服务器的地址告知服务器的地址告知(可能会超过可能会超过一台一台);6.然后本地服务器会向其中的一台服务器查询,并将这些服务器名单存到记忆体中,然后本地服务器会向其中的一台服务器查询,并将这些服务器名单存到记忆体中,以备将来之需以备将来之需(省却再向省却再向 root 查询的步骤查询的步骤);7.远方服务器回应查询;远方服务器回应

45、查询;8.若该回应并非最后一层的答案,则继续往下一层查询,直到获得客户端所要查询若该回应并非最后一层的答案,则继续往下一层查询,直到获得客户端所要查询的结果为止;的结果为止;9.将查询结果返回给客户端,并同时将结果储存一个备份在自己的快取记忆里面;将查询结果返回给客户端,并同时将结果储存一个备份在自己的快取记忆里面;10.如果在存放时间尚未过时之前再接到相同的查询,则以存放于快取记忆里面的资如果在存放时间尚未过时之前再接到相同的查询,则以存放于快取记忆里面的资料来做回应。料来做回应。47 vDomain(域(域/网域)网域)将整个将整个internet 分成许多的分成许多的domain,每个,

46、每个domain下又下又可细分为许多可细分为许多domain,然后这些细分的,然后这些细分的domain视实际视实际需求又可再细分成许多需求又可再细分成许多domain一直循环下去。基本上一直循环下去。基本上每个每个domain內的內的mapping由一部主机负责管理。由一部主机负责管理。顶级域名(顶级域名(toplevel domain):):域名级数是从右至左,域名级数是从右至左,按照按照“.”分开的部分数确定的,有几个部分就是几级。分开的部分数确定的,有几个部分就是几级。“顶级域名顶级域名”即即“一级域名一级域名”,如,如.com表示商业机构;表示商业机构;另外也包括以地理域名命名的顶级

47、域名,如国家顶级另外也包括以地理域名命名的顶级域名,如国家顶级域名域名,.aa表示南极洲;表示南极洲;.cn表示中国等。表示中国等。48 vName Server 负责记录负责记录forward/reverse mapping的机器会执的机器会执行一个叫行一个叫name server的软件,透过这个软件回的软件,透过这个软件回应来自其他机器对应来自其他机器对domain name或或IP的查的查询询。vzone&domain 每个每个domain交由一个机器负责,其实更精确地交由一个机器负责,其实更精确地说应该是每个说应该是每个zone交由一个交由一个 name server来负责,来负责,所

48、谓所谓zone就是把一个就是把一个domain扣掉分给下层负责扣掉分给下层负责的部分,剩下来的部分就是的部分,剩下来的部分就是zone。49 v Primary/Secondary(master/slave)如果如果zone交由一部交由一部name server管理管理,万一这个,万一这个name server 当掉,可能造成当掉,可能造成INTERNET上其它机器无法取得属于这个上其它机器无法取得属于这个zone的资料(就是的资料(就是domain name和和ip mapping)。为了避免)。为了避免这种情况,我们可以把这个这种情况,我们可以把这个zone的资料同时交给多部的资料同时交给

49、多部name server负责。原本的这部被称为负责。原本的这部被称为primary name server,其它,其它的被称为的被称为 secondary name server。Secondary name server会定期将会定期将primary name server上上 zone的资料拷贝一份下来的资料拷贝一份下来备用。备用。primary/secondary在新版在新版name server程式中被改称为程式中被改称为master/slave。50 v Forward/Reverse(正解(正解/反解)反解)domain name IP mapping应该看成两个命名空间:应该看

50、成两个命名空间:一个是一个是 domain name-IP,称之为称之为forward mapping,在这个命名空间中,在这个命名空间中,先分成先分成top domain,再细分,再细分sub domain,再细分,以此类推。例如,再细分,以此类推。例如 -15.16.192.152 表示在代表表示在代表的的 sub domain 的机器上,可以查到其的机器上,可以查到其mapping table上有一条记录是上有一条记录是winnie-15.16.192.152。一个是一个是IP-domain name,称称之之为为reverse mapping。在这个命名空间中,。在这个命名空间中,所有

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 办公、行业 > 各类PPT课件(模板)
版权提示 | 免责声明

1,本文(《网络安全》网络安全2课件.ppt)为本站会员(晟晟文业)主动上传,163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。
2,用户下载本文档,所消耗的文币(积分)将全额增加到上传者的账号。
3, 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(发送邮件至3464097650@qq.com或直接QQ联系客服),我们立即给予删除!


侵权处理QQ:3464097650--上传资料QQ:3464097650

【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。


163文库-Www.163Wenku.Com |网站地图|