网络防御技术链路层的安全PPT课件

1、 传统的交换机不能够分割广播域，传统的交换机不能够分割广播域， 如果如果A A主机发送一个广播，那么下图网络中所有主主机发送一个广播，那么下图网络中所有主机都能够收到广播。机都能够收到广播。 如果要分割广播域必须使用路由器！如果要分割广播域必须使用路由器！ 问题问题: :能否有一种不使用路由器，却能够在交换式能否有一种不使用路由器，却能够在交换式网络中限制广播的方法？网络中限制广播的方法？第1页/共47页 采用采用VLANVLAN技术可以分割广播域。技术可以分割广播域。即一个即一个VLANVLAN即是一个广播域。即是一个广播域。在一个在一个VLANVLAN中所有的机器都中所有的机器都能够接收到

2、广播，其它的能够接收到广播，其它的VLANVLAN则不能够接收。则不能够接收。就像路由器的一个端口划分一个广播域一样。就像路由器的一个端口划分一个广播域一样。 主机主机A A、C C、D D在同一个在同一个VLAN 2VLAN 2中，中， 如果主机如果主机A A发送一个单播给主机发送一个单播给主机D D，C C是否能是否能够收到？够收到？不能够不能够 如果主机如果主机A A发送一个广播，谁能够收到？发送一个广播，谁能够收到？C C、D D均可以均可以VLAN第2页/共47页 VLANVLAN（Virtual Local Area NetworkVirtual Local Area Networ

3、k）是）是虚拟局域网，是一种将局域网设备从逻辑上划分虚拟局域网，是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据成一个个网段，从而实现虚拟工作组的新兴数据交换技术，主要应用于交换机和路由器中，但主交换技术，主要应用于交换机和路由器中，但主流应用还是在交换机之中。流应用还是在交换机之中。第3页/共47页第4页/共47页第5页/共47页第6页/共47页第7页/共47页 一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。从而提高交换式网络的整体性能。第8页/共47页n在还没有创建VLAN之前第9页/共47页 创建创建VL

4、ANVLAN之后之后第10页/共47页 将不同用户群划分在不同VLAN，可以控制用户访问权限和逻辑网段大小，从而提高交换式网络的安全性。第11页/共47页 虚拟的工作组，通过灵活的VLAN设置，可以把不同物理地点的用户划分到同一工作组内。第12页/共47页基于端口的基于端口的VLANVLAN在实现上包括两个步骤：在实现上包括两个步骤：首先启用首先启用VLANVLAN（用（用VLAN IDVLAN ID标识）；标识）；而后将交换机端口指定到相应而后将交换机端口指定到相应VLANVLAN下。下。第13页/共47页vlanvlan命令命令 语法格式为：语法格式为：vlan vlan vlan-idv

5、lan-id 该命令执行于全局配置模式下，是进入该命令执行于全局配置模式下，是进入VLANVLAN配置模式配置模式的导航命令。的导航命令。 使用该命令的使用该命令的nono选项可以删除选项可以删除VLANVLAN：no vlan no vlan vlan-vlan-idid 注意：缺省的注意：缺省的VLANVLAN（VLAN 1VLAN 1）不允许删除。）不允许删除。例如启用例如启用VLAN 10VLAN 10，执行如下：，执行如下：Switch(config)# vlan 10Switch(config)# vlan 10Switch(config-vlan)#Switch(config-v

6、lan)#第14页/共47页switchport accessswitchport access命令命令 语法格式为：语法格式为：switchport access vlan switchport access vlan vlan-idvlan-id no switchport access vlanno switchport access vlan 该命令将端口设置为该命令将端口设置为 statics accessportstatics accessport，并将它指派为一个，并将它指派为一个VLANVLAN的成员端口；使用该命令的的成员端口；使用该命令的nono选项将该端口指派到缺省的选项

7、将该端口指派到缺省的VLANVLAN中；中；switch portswitch port缺省模式为缺省模式为accessaccess，缺省的，缺省的VLANVLAN为为VLAN 1VLAN 1； 如果输入的是一个新的如果输入的是一个新的VLAN IDVLAN ID，则交换机会创建一个，则交换机会创建一个 VLANVLAN，并将，并将该端口设置为该该端口设置为该 VLAN VLAN 的成员；如果输入的是已经存在的的成员；如果输入的是已经存在的 VLAN IDVLAN ID，则增加则增加VLANVLAN的成员端口；的成员端口； 例如将交换机例如将交换机F0/5F0/5端口指定到端口指定到VLAN

8、10VLAN 10的配置为：的配置为：Switch(config)# interface fastEthernet 0/5Switch(config)# interface fastEthernet 0/5Switch(config-if)# switchport access vlan 10Switch(config-if)# switchport access vlan 10第15页/共47页 VLAN VLAN 配置有两个主要步骤：第一是创建配置有两个主要步骤：第一是创建VLANVLAN，第二是把某个端口，第二是把某个端口加入加入VLANVLAN。步骤如下：步骤如下：switch 普通模

9、式普通模式switch enable 进入特权模式进入特权模式switch# 特权模式特权模式switch #configure t 进入全局配置模式进入全局配置模式switch(config)#vlan 2 创建创建 vlan 2switch(config-vlan)#name sales 将将 vlan 2 命名为命名为 salesswitch(config-vlan)#exit 退出退出VLAN配置模式配置模式switch(config)#interface fastethernet 1/1 进入端口配置配置进入端口配置配置switch(config-if)#switchport acc

10、ess vlan 2 把端口跟把端口跟VLAN关联关联switch#show vlan 显示显示VLAN信息信息switch(config)#no vlan 2 删除删除vlan 2（注：删除某个（注：删除某个vlan时，时， 应先将属于该应先将属于该vlan的端口加入到别的的端口加入到别的vlan，再删除它），再删除它） 第16页/共47页 配置配置VLANVLAN时，时，VLANVLAN号要从号要从2 2开始。开始。这是因为默认情况下，也就是还没有这是因为默认情况下，也就是还没有配置配置VLANVLAN之前，所有的端口都属于之前，所有的端口都属于VLAN 1VLAN 1，所以我们要从，所以

11、我们要从2 2开始配置。开始配置。第17页/共47页第18页/共47页第19页/共47页第20页/共47页第21页/共47页第22页/共47页网络隔离的技术路线网络隔离的技术路线第23页/共47页基于网络隔离的数据交换原理基于网络隔离的数据交换原理第24页/共47页第25页/共47页第26页/共47页第27页/共47页 一旦数据全部写入存储介质，立即中断与外部一旦数据全部写入存储介质，立即中断与外部主机的连接。恢复到图主机的连接。恢复到图1 1的状态。转而发起对内部主的状态。转而发起对内部主机的非机的非TCP/IPTCP/IP协议的数据连接。固态存储介质将数协议的数据连接。固态存储介质将数据发

12、送给内部主机。内部主机收到数据后，立即进据发送给内部主机。内部主机收到数据后，立即进行行TCP/IPTCP/IP的封装和应用协议的封装，并发送给内网。的封装和应用协议的封装，并发送给内网。见图见图3 3所示。这个时候内网电子邮件系统就收到了外所示。这个时候内网电子邮件系统就收到了外网的电子邮件系统通过网络隔离设备转发的电子邮网的电子邮件系统通过网络隔离设备转发的电子邮件。件。 第28页/共47页第29页/共47页第30页/共47页第31页/共47页第32页/共47页第33页/共47页第34页/共47页网络隔离技术要点与发展方向网络隔离技术要点与发展方向第35页/共47页第36页/共47页第37页/共47页第38页/共47页第39页/共47页病毒过滤内核防护访问控制协议转换安全审计身份验证病毒过滤内核防护协议转换内部网内部网专用隔离硬件外部网外部网内网处内网处理单元理单元外网处外网处理单元理单元第40页/共47页第41页/共47页不可信外网不可信外网可信内网可信内网存储介质存储介质外网机外网机内网机内网机K1K2逻辑条件：K3=K1*K2通过两个开关的不能同时闭合来保证通过两个