常用网络设备课件

常用网络设备2012年5月一、核心交换机：核心交换机并不是交换机的一种类型，而是放在核心层（网络主干部分称）的交换机叫核心交换机。多少台电脑要用上核心交换机基本在50台以下无需用核心交换机.有个路由器即可。所谓的核心交换机是针对网络架构而言，如果是个几台电脑的小局域网，一个8口的小交换机就可以称之为核心交换机!而在网络行业中核心交换机是指有网管功能，吞吐量强大的2层或者3层交换机，一个超过100台电脑的网络,如果想稳定并高速的运行,核心交换机必不可少。

一、交换机

核心交换机与普通交换机通常将网络中直接面向用户连接或访问网络的部分称为接入层，将位于接入层和核心层之间的部分称为分布层或汇聚层，接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性；汇聚层交换机是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。而将网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供优化、可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性、性能和吞吐量。

一、交换机一、交换机

2、功能：汇聚层主要承担的基本功能有：

1、汇接接入层的用户流量，进行数据分组传输的汇聚、转发和交换；

2、根据接入层的用户流量，进行本地路由、过滤、流量均衡、QoS优先级管理，以及安全机制，IP地址转换、流量整形、组播管理等处理；

3、根据处理结果将用户流量转发到核心交换层或在本地进行路由处理；4、完成各种协议的转换（如路由的汇总和重新发布等），以保证核心层连接运行不同的协议的区域。三、接入层交换机：接入层交换机：通常将网络中直接面向用户连接或访问网络的部分称为接入层，将位于接入层和核心层之间的部分称为分布层或汇聚层。接入交换机一般用于直接连接电脑，汇聚交换机一般用于楼宇间。汇聚相对于一个局部或重要的中转站，核心相当于一个出口或总汇总。原来定义的汇聚层的目的是为了减少核心的负担,将本地数据交换机流量在本地的汇聚交换机上交换,减少核心层的工作负担,使核心层只处理到本地区域外的数据交换。

二、路由器1、原理路由器（Router）是用于连接多个逻辑上分开的网络，所谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时，可通过路由器来完成。因此，路由器具有判断网络地址和选择路径的功能，它能在多网络互联环境中，建立灵活的连接，可用完全不同的数据分组和介质访问方法连接各种子网，路由器只接受源站或其他路由器的信息，属网络层的一种互联设备。它不关心各子网使用的硬件设备，但要求运行与网络层协议相一致的软件。路由器分本地路由器和远程路由器，本地路由器是用来连接网络传输介质的，如光纤、同轴电缆、双绞线；远程路由器是用来连接远程传输介质，并要求相应的设备，如电话线要配调制解调器，无线要通过无线接收机、发射机。

二、路由器2、工作原理（1）工作站A将工作站B的地址12.0.0.5连同数据信息以数据帧的形式发送给路由器1。（2）路由器1收到工作站A的数据帧后，先从包头中取出地址12.0.0.5，并根据路径表计算出发往工作站B的最佳路径：R1->R2->R5->B；并将数据包发往路由器2。（3）路由器2重复路由器1的工作，并将数据包转发给路由器5。（4）路由器5同样取出目的地址，发现12.0.0.5就在该路由器所连接的网段上，于是将该数据包直接交给工作站B。（5）工作站B收到工作站A的数据帧，一次通信过程宣告结束。事实上，路由器除了上述的路由选择这一主要功能外，还具有网络流量控制功能。有的路由器仅支持单一协议，但大部分路由器可以支持多种协议的传输，即多协议路由器。由于每一种协议都有自己的规则，要在一个路由器中完成多种协议的算法，势必会降低路由器的性能。因此，我们以为，支持多协议的路由器性能相对较低。用户购买路由器时，需要根据自己的实际情况，选择自己需要的网络协议的路由器。

二、路由器3、作用路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。从过滤网络流量的角度来看，路由器的作用与交换机和网桥非常相似。但是与工作在网络物理层，从物理上划分网段的交换机不同，路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如，一台支持IP协议的路由器可以把网络划分成多个子网段，只有指向特殊IP地址的网络流量才可以通过路由器。对于每一个接收到的数据包，路由器都会重新计算其校验值，并写入新的物理地址。因此，使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。但是,对于那些结构复杂的网络，使用路由器可以提高网络的整体效率。路由器的另外一个明显优势就是可以自动过滤网络广播。从总体上说，在网络中添加路由器的整个安装过程要比即插即用的交换机复杂很多。PDH介绍在数字通信系统中，传送的信号都是数字化的脉冲序列。这些数字信号流在数字交换设备之间传输时，其速率必须完全保持一致，才能保证信息传送的准确无误，这就叫做“同步”。在数字传输系统中，有两种数字传输系列，一种叫“准同步数字系列”（PlesiochronousDigitalHierarchy），简称PDH；另一种叫“同步数字系列”（SynchronousDigitalHierarchy），简称SDH。速率不同的低次群分路信号若直接复用成高次群信号会在高次群信号中产生码元的重叠错位，使接收端无法正常分接、恢复低次群分路信号。因此，速率不同的低次群分路信号不能直接复用，要在复用之前对各分路信号速率进行统一的调整，使各分路信号速率达到同步。调整方法通常采用正码速调整法，即在各分路信号中插入一些脉冲，通过控制插入脉冲的多少来调整各分路信号的速率。三、PDH和SDH

SDH技术与PDH技术相比，有如下明显优点：1、统一的比特率，统一的接口标准，为不同厂家设备间的互联提供了可能。2、网络管理能力大大加强。3、提出了自愈网的新概念。用SDH设备组成的带有自愈保护能力的环网形式，可以在传输媒体主信号被切断时，自动通过自愈网恢复正常通信。4、采用字节复接技术，使网络中上下支路信号变得十分简单。5、灵活的复用映射结构，使各种业务灵活上下。6、SDH设备牟容纳各种新的业务信号，如宽带ISDN/FDDI（光纤分布式数据接口）/ATM等。7、SDH帧结构中安排了丰富的开销比例,因而使网络的操作维护管理功能大大加强,便于集中统一管理,大大节约了维护费用的开支.由于SDH具有上述显著优点，它将成为实现信息高速公路的基础技术之一。但是在与信息高速公路相连接的支路和叉路上，PDH设备仍将有用武之地。三、PDH和SDH

四、硬件防火墙一、硬件防火墙的工作原理和网络安全防御策略

1、防火墙在网络中的位置

外部防火墙工作在外部网络和内部网络之间，这样的布署将内部网络和外部网络有效地隔离起来，已达到增加内部网络安全的目的。一般情况下，还要设立一个隔离区(DMZ)，放公开的服务器，让外网访问时，就能增加内网的安全。而内部防火墙保护隔离区对内网的访问安全，这样的综合布署将有效提高网络安全。

2、硬件防火墙的构成

硬件防火墙为了克服软件防火墙在大中型网络中的不足，对软件防火墙进行了改进。通过硬件和软件的结合来设计防火墙，硬件和软件部分都必须单独设计，将软件防火墙嵌入在硬件中同时，采用专门的操作系统平台(加入Linux系统，因为有些指令程序需要安装在Windows系统之中，而Windows稳定性不如Linux，如果在本身就很脆弱的系统平台中布署安全策略．这样的防火墙也会不安全)，从而避免通用操作系统的安全性漏洞。对软硬件的特殊要求，使硬件防火墙的实际带宽与理论值基本一致，提高吞吐量、增加安全性，加快运行速度。将这样的硬件防火墙安装进入大中型网络，不仅在可以有效地保障内网与外网链接时的安全．而且可以保障内部网络中不同部门不同区域之间的安全。

四、硬件防火墙3、大中型网络安全威胁来源

现今的网络使用的都是TcP，IP协议，TCP报文段传输最重要的就是报文段首(segmenthea&r)~的内容。客户端和服务端的服务响应都是与报文段首部的数据相关联，而三次握手能够实现也和报文段首部的数据相关，其安全性也取决于首部内容，因此黑客经常利用TCPflP协议的漏洞对报文段首部下手从而实现有外网对内网进行攻击。

在大中型网络内部也有部门的划分，对于一些比较重要的部门就连内部网络其他部门也要授权后才能进行访问，这样就会最大限度保障网络的安全，因为有的大型网络的安全关系到国家社会的安全和稳定，所以如果在内部发生网络威胁将会带来更大的损失。

4、网络中的攻击手段

网络中主要的攻击手段就是对服务器实行拒绝服务攻击，用IP欺骗使服务器复位合法用户的连接，使其不能正常连接．还有就是迫使服务器缓冲区满，无法接受新的请求。

四、硬件防火墙（1）伪造IP欺骗攻击

IP欺骗中攻击者构造一个TCP数据，伪装自己的IP和一个合法用户IP相同，并且对服务器发送TCP数据，数据中包含复位链接位(RST)，当发送的连接有错误时，服务器就会清空缓冲区中建立好的正确连接。这时，如果那个合法用户要再发送合法数据，服务器就不会为其服务，该用户必须重新建立连接。

（2）SYN

FLooD攻击

SYNFLOOD是利用了TCP协议的缺陷，一个正常的TCP连接需要三次握手，首先户端发送一个包含SYN标志的数据包，然后服务器返回一个SYN／ACK的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包ACK，这样才完成TCP连接。在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保存在一个空间有限的缓冲区队(BacklogQueue)中。SYNFLOOD攻击就是利用服务器的连接缓冲区，使用一些特制的程序，向服务器端不断地成倍发送仅有SYN标志的TCP连接请求，当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中，这样就会使服务器端的TCP资源迅速耗尽，当缓冲区队列满时，服务器就不再接收新的连接请求了。其他合法用户的连接都会被拒绝，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。

四、硬件防火墙（3）ACK

Hood攻击

用户和服务器之间建立了TCP连接后，所有TCP报文都会带有ACK标志位，服务器接受到报文时，会检查数据包中表示连接的数据是否存在，如果存在，在检查连接状态是否合法，合法就将数据传送给应用层，非法则服务器操作系统协议栈会回应RST包给用户。对于JSP服务器来说，小的ACK包冲击就会导致服务器艰难处理正常得连接请求，而大批量高密度的ACKFlood会让A．pache或IIS服务器出现高频率的网卡中断和过重负载，最终会导致网卡停止响应。ACKFlood会对路由器等网络设备以及服务器造成影响。

（4）UDPFlood攻击

UDPFlood攻击是利用UDP协议无连接的特点，伪造大量客户端IP地址向服务发起UDP连接，一旦服务器有一个端口响应并提供服务，就会遭到攻击，UDPFloo会对视频服务器和DNS服务器等造成攻击。

四、硬件防火墙（5）ICM

PFlood攻击

ICMPFlood通过Ping产生的大量数据包，发送给服务器，服务器收到大量IC数据包，使CPU占用率满载继而引起该TCP／IP栈瘫痪，并停止响应TCP／IP请求，从而遭受攻击，因此运行逐渐变慢，进而死机。

除了以上几种攻击手段，在网络中还存在一些其他攻击手段，如宽带DOS攻击，自身消耗DOS攻击，将服务器硬盘装满，利用安全策略漏洞等等，这些需要硬件防火墙对其做出合理有效防御。

四、硬件防火墙阻断新建连接就是在防火墙发现连半开连接数阈值和新建连接数阈值被超时时，SYNFLOOD攻击检测发现攻击，暂时阻止客户向服务器发出的任何请求。防火墙能在服务器处理新建连接报文之前将其阻断，削弱了网络攻击对服务器的影响，但无法在服务器被攻击时有效提升服务器的服务能力。因此，一般配合防火墙SYNFlood攻击检测，避免瞬间高强度攻击使服务器系统崩溃。释放无效链接是当服务器上半开连接过多时，要警惕冒充客户端的虚假IP发起无效连接，防火墙要在这些连接中识别那些是无效的．向服务器发送复位报文，让服务器进行释放，协助服务器恢复服务能力。

SYNCo0kie和SafeReset是验证发起连接客户的合法性。防火墙要保护服务器入口的关键位置，对服务器发出的报文进行严格检查。

（3

）ACK

Flood攻击防御策略

防火墙对网络进行分析，当收包异常大于发包时，攻击者一般采用大量ACK包，小包发送，提高速度，这种判断方法是对称性判断．可以作为ACKFlood攻击的依据。防火墙建立hash表存放TCP连接状态，从而大致上知道网络状况。（4）UDPHood攻击防御策略

UDPF1ood攻击防御比较困难，因为UDP是无连接的，防火墙应该判断UDP包的大小，大包攻击则采用粉碎UDP包的方法，或者对碎片进行重组。还有比较专业的防火墙在攻击端口不是业务端口是丢弃UDP包，抑或将UDP也设一些和TCP类似的规则。

（5）ICM

PFlood攻击防御策略

对于ICMPFlood的防御策略，硬件防火墙采用过滤ICMP报文的方法。

硬件防火墙还对网络中其他的一些攻击手段进行着安全有效的防御，保护着网络的安全。

四、硬件防火墙

四、硬件防火墙对于大中型网络来说，硬件防火墙相当重要，因此选购硬件防火墙也是很重要的。首先品牌很重要，好的硬件防火墙需要资金和技术作为后盾，大品牌大公司生产的技术相对来说会更好，而且售后服务也会更好。其次是安全性能，网络的安全是信息安全的生命．只有硬件防火墙本身安全，没有漏洞才能保护好大中型网络内部安全。再次，防火墙的数据处理能力是主要性能标准，尤其是在大型网络中，如果没有一定的数据吞吐量是无法完成保护网络安全的目的的。最后就是硬件防火墙的兼容性，良好的兼容性也是网络安全的重要前提。

综合来说，硬件防火墙在大中型网络中起到了保卫安全的重要作用，大中型网络的安全关乎到企业社会和国家的信息安全，因此通过理论研究硬件防火墙，对保障信息安全起着重要作用。一、物理隔离的必要性

电力监控系统及调度数据网作为电力系统的重要基础设施，不仅与电力生产、经营和服务相关，而且与电网调度和控制系统的安全运行紧密关联，是电力系统安全的重要组成部分。物理隔离指内部网不直接或间接地连接公共网。物理隔离的目的是保护网络设备及计算机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离，才能真正保证内部信息网络不受来自互联网的黑客攻击。同时，物理隔离也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。在物理隔离技术出现之前，对网络的信息安全采取了许多措施，如在网络中增加防火墙、防病毒系统，对网络进行入侵检测、漏洞扫描等。由于这些技术的极端复杂性，安全控制十分有限性，这些在线分析技术无法提供涉密机构提出的高度数据安全要求。而且，此类软件的保护是一种逻辑机制，对于逻辑实体而言极易被操纵。因此，必须有一道绝对安全的大门，保证涉密网的信息不被泄露和破坏，这就是物理隔离所起的作用。

五、物理隔离装置

1、隔离装置接入点电力专用安全隔离装置作为安全区I/II与安全区III的必备边界，具有最高的安全防护强度，是安全区I/II横向防护的要点。其中，安全隔离装置（正向）用于安全区I/II到安全区III的单向数据传递；安全隔离装置（反向）用于安全区III到安全区I/II的单向数据传递。五、物理隔离装置

2、正向隔离装置功能安全隔离装置（正向）具有如下功能：

（1）现两