中小学网络基础知识锐捷三层交换机课件

中小学网络基础知识部门/作者中小学网络基础知识部门/作者中小学常见网络拓扑局域网常用技术局域网常见攻击如何防御局域网攻击答疑中小学常见网络拓扑第3页/共4页校园网络的应用现状学校信息化应用第3页/共4页校园网络的应用现状学校信息化应用早期中小学网络第4页/共4页家用路由器“傻瓜”交换机特点：1、低成本2、网络无冗余性3、交换机不可网管4、网络无安全性早期中小学网络第4页/共4页家用路由器“傻瓜”交换网络设备介绍第5页/共4页二层“可网管”交换机特点：1、接口数量多，常见的接口数量为24口或48口2、接口速率多为100M/bps或1000M/bps3、具有二层数据转发功能4、可以划分VLAN——虚拟局域网5、具有防环路机制6、有一定的安全防御功能网络设备介绍第5页/共4页二层“可网管”交换机特点网络设备介绍第6页/共4页三层“可网管”交换机特点：1、三层交换机从外观上分为“盒式交换机”和“箱式交换机”2、三层交换机具有二层交换机的所有功能3、三层交换机增加三层数据转发功能4、接口多为1000M/bps速率网络设备介绍第6页/共4页三层“可网管”交换机特点网络设备介绍第7页/共4页“可网管”路由器特点：1、接口数量少2、支持各种广域网接口3、具有网络地址转换功能——NAT4、完成三层数据转发5、具有防火墙和流量控制等功能网络设备介绍第7页/共4页“可网管”路由器特点：目前中小学常见网络第8页/共4页RG-S7610RSR50-40认证管理系统&网管百兆电缆千兆光线RG-S2100教学楼RG-S2100综合楼RG-S2100艺体楼RG-S2100PC实验楼服务器群PCPCPC核心层接入层目前中小学常见网络第8页/共4页RG-S7610R

目前中小学常见网络第9页/共4页RG-S7610RSR50-40认证管理系统&网管百兆电缆千兆光线RG-S5750RG-S2100教学楼RG-S5750RG-S2100综合楼RG-S5750RG-S2100艺体楼RG-S2100PC实验楼服务器群PCPCPC核心层汇聚层接入层目前中小学常见网络第9页/共4页RG-S7610“可网管”局域网优势第10页/共4页层次性易管理冗余性安全性流控性“可网管”局域网“可网管”局域网优势第10页/共4页层次性易管理冗局域网技术第11页/共4页IP地址及其分类局域网技术第11页/共4页IP地址及其分类局域网技术第12页/共4页局域网技术第12页/共4页第13页/共4页VLAN技术在交换机组成的校园网络里所有主机都在同一个广播域内广播域安全广播交换网络中存在的问题第13页/共4页VLAN技术在交换机组成的校园网络第14页/共4页交换网络中的问题

通过VLAN技术可以对网络进行一个安全的隔离、分割广播域VLAN20VLAN10VLAN30VLAN40第14页/共4页交换网络中的问题通过VLAN技术1234交换机广播帧广播域广播帧广播域VLAN概述（VirtualLocalAreaNetwork）VLAN是划分出来的逻辑网络，是第二层网络。VLAN端口不受物理位置的限制。VLAN隔离广播域。VLAN技术1234交换机广播帧广播域广播帧广播域VLANVLAN的类型:PortVLAN基于交换机的端口(一个端口只属于一个VLAN，PortVLAN设置在连接主机的端口)F0/1F0/2F0/3VLAN的类型:PortVLAN基于交换机的端口(一个端口Port-VLAN原理

通过查找MAC地址表，交换机对发往不同VLAN的数据不转发F0/1F0/2F0/3ABCVlan10Vlan20Vlan10ABACX交换机端口MAC地址VLANIDF0/1A10F0/2B20F0/3C10Port-VLAN原理通过查找MAC地址表，交换机VLAN的类型:TagVLANSwitchAVLAN30VLAN20VLAN10SwitchBVLAN30VLAN20VLAN10TagVLANTagVLAN特点传输多个VLAN的信息实现同一VLAN跨越不同的交换机要求Ttunk至少要100MVLAN的类型:TagVLANSwitchAVLAN30802.1Q工作原理802.1Q工作特点：802.1Q数据帧传输对于用户是完全透明的。Trunk上默认会转发交换机上存在的所有VLAN的数据。交换机在从Trunk口转发数据前会在数据打上个Tag标签，在到达另一交换机后，再剥去此标签。A交换机1交换机2B数据帧Tag标签TrunkTrunk802.1Q工作原理802.1Q工作特点：A交换机1交换机2数据包在三层网络如何通信第20页/共4页AB192.168.1.0192.168.2.0192.168.3.0PC1PC2目的网段转发接口192.168.2.0B192.168.1.0——目的网段转发接口192.168.2.0——192.168.1.0A数据包在三层网络如何通信第20页/共4页AB192局域网常见攻击第21页/共4页ARP攻击ARP攻击就是将ARP表中IP与MAC地址的对应关系进行了修改!!!!局域网常见攻击第21页/共4页ARP攻击ARP攻击第22页/共4页ARP欺骗攻击分类-主机型主机型ARP欺骗欺骗者主机冒充网关设备对其他主机进行欺骗网关欺骗者嗨，我是网关PC1第22页/共4页ARP欺骗攻击分类-主机型主机型A第23页/共4页ARP欺骗攻击分类-网关型网关型ARP欺骗欺骗者主机冒充其他主机对网关设备进行欺骗23网关欺骗者嗨，我是PC1PC1第23页/共4页ARP欺骗攻击分类-网关型网关型A局域网常见攻击第24页/共4页DHCP攻击局域网常见攻击第24页/共4页DHCP攻击局域网常见攻击第25页/共4页二层环路局域网常见攻击第25页/共4页二层环路局域网常见攻击第26页/共4页TCP半连接攻击客户端A服务器B发送SYN＝1(seq#=100)1接收SYN发送SYN＝1,ACK＝1(seq#=300ack#=101)2建立连接，ACK＝1(ack#=301)3接收SYN,ACKTCP半连接攻击就是攻击者发送大量的TCP链接，当目的主机回应TCP后，攻击者不发送确认报文，导致被攻击者系统资源被大量浪费局域网常见攻击第26页/共4页TCP半连接攻击客户如何防御ARP攻击第27页/共4页判断ARP欺骗攻击-主机怎样判断是否受到了ARP欺骗攻击？网络时断时续或网速特别慢在命令行提示符下执行“arp–d”命令就能好上一会在命令行提示符下执行“arp–a”命令查看网关对应的MAC地址发生了改变27如何防御ARP攻击第27页/共4页判断ARP欺骗攻如何防御ARP攻击第28页/共4页判断ARP欺骗攻击-网关设备网关设备怎样判断是否受到了ARP欺骗攻击？ARP表中同一个MAC对应许多IP地址28如何防御ARP攻击第28页/共4页判断ARP欺骗攻如何防御ARP攻击第29页/共4页29安全地址获取丢弃转发ARP报文校验ARP报文S/T字段是否与安全地址一致ARP报文是否安全地址的获取是防ARP欺骗的前提，ARP报文校验是防ARP欺骗的手段手工指定port-security自动获取DHCPSnoopingDot1x认证ARP-check检查ARP报文中senderMAC和senderIP是否和安全地址中的MAC和IP所对应一致如何防御ARP攻击第29页/共4页29安全地址获取如何防御DHCP攻击第30页/共4页DHCPSnoopingDHCP安全特性过滤非法DHCP报文，防范非法的DHCPServer和对服务器的攻击对DHCP报文进行窥探，建立DHCP-Snooping数据库，为IP报文和ARP报文过滤提供依据ClienetServeruntrustuntrusttrust如何防御DHCP攻击第30页/共4页DHCPSn如何防止二层环路第31页/共4页使用生成树协议——SpanningTree，将出现环路的接口逻辑上进行阻断如何防止二层环路第31页/共4页使用生成树协议——如何防止TCP半连接第32页/共4页TCPSYN代理功能TCPSYN代理——是先由路由器/防火墙代理服务端与客户端完成三次握手，如果连接合法，再与服务端建立连接。具备TCPSYN功能的网络设备充当了安全守卫者如何防止TCP半连接第32页/共4页TCPSYN中小学网络基础知识锐捷三层交换机课件中小学网络基础知识部门/作者中小学网络基础知识部门/作者中小学常见网络拓扑局域网常用技术局域网常见攻击如何防御局域网攻击答疑中小学常见网络拓扑第36页/共4页校园网络的应用现状学校信息化应用第3页/共4页校园网络的应用现状学校信息化应用早期中小学网络第37页/共4页家用路由器“傻瓜”交换机特点：1、低成本2、网络无冗余性3、交换机不可网管4、网络无安全性早期中小学网络第4页/共4页家用路由器“傻瓜”交换网络设备介绍第38页/共4页二层“可网管”交换机特点：1、接口数量多，常见的接口数量为24口或48口2、接口速率多为100M/bps或1000M/bps3、具有二层数据转发功能4、可以划分VLAN——虚拟局域网5、具有防环路机制6、有一定的安全防御功能网络设备介绍第5页/共4页二层“可网管”交换机特点网络设备介绍第39页/共4页三层“可网管”交换机特点：1、三层交换机从外观上分为“盒式交换机”和“箱式交换机”2、三层交换机具有二层交换机的所有功能3、三层交换机增加三层数据转发功能4、接口多为1000M/bps速率网络设备介绍第6页/共4页三层“可网管”交换机特点网络设备介绍第40页/共4页“可网管”路由器特点：1、接口数量少2、支持各种广域网接口3、具有网络地址转换功能——NAT4、完成三层数据转发5、具有防火墙和流量控制等功能网络设备介绍第7页/共4页“可网管”路由器特点：目前中小学常见网络第41页/共4页RG-S7610RSR50-40认证管理系统&网管百兆电缆千兆光线RG-S2100教学楼RG-S2100综合楼RG-S2100艺体楼RG-S2100PC实验楼服务器群PCPCPC核心层接入层目前中小学常见网络第8页/共4页RG-S7610R

目前中小学常见网络第42页/共4页RG-S7610RSR50-40认证管理系统&网管百兆电缆千兆光线RG-S5750RG-S2100教学楼RG-S5750RG-S2100综合楼RG-S5750RG-S2100艺体楼RG-S2100PC实验楼服务器群PCPCPC核心层汇聚层接入层目前中小学常见网络第9页/共4页RG-S7610“可网管”局域网优势第43页/共4页层次性易管理冗余性安全性流控性“可网管”局域网“可网管”局域网优势第10页/共4页层次性易管理冗局域网技术第44页/共4页IP地址及其分类局域网技术第11页/共4页IP地址及其分类局域网技术第45页/共4页局域网技术第12页/共4页第46页/共4页VLAN技术在交换机组成的校园网络里所有主机都在同一个广播域内广播域安全广播交换网络中存在的问题第13页/共4页VLAN技术在交换机组成的校园网络第47页/共4页交换网络中的问题

通过VLAN技术可以对网络进行一个安全的隔离、分割广播域VLAN20VLAN10VLAN30VLAN40第14页/共4页交换网络中的问题通过VLAN技术1234交换机广播帧广播域广播帧广播域VLAN概述（VirtualLocalAreaNetwork）VLAN是划分出来的逻辑网络，是第二层网络。VLAN端口不受物理位置的限制。VLAN隔离广播域。VLAN技术1234交换机广播帧广播域广播帧广播域VLANVLAN的类型:PortVLAN基于交换机的端口(一个端口只属于一个VLAN，PortVLAN设置在连接主机的端口)F0/1F0/2F0/3VLAN的类型:PortVLAN基于交换机的端口(一个端口Port-VLAN原理

通过查找MAC地址表，交换机对发往不同VLAN的数据不转发F0/1F0/2F0/3ABCVlan10Vlan20Vlan10ABACX交换机端口MAC地址VLANIDF0/1A10F0/2B20F0/3C10Port-VLAN原理通过查找MAC地址表，交换机VLAN的类型:TagVLANSwitchAVLAN30VLAN20VLAN10SwitchBVLAN30VLAN20VLAN10TagVLANTagVLAN特点传输多个VLAN的信息实现同一VLAN跨越不同的交换机要求Ttunk至少要100MVLAN的类型:TagVLANSwitchAVLAN30802.1Q工作原理802.1Q工作特点：802.1Q数据帧传输对于用户是完全透明的。Trunk上默认会转发交换机上存在的所有VLAN的数据。交换机在从Trunk口转发数据前会在数据打上个Tag标签，在到达另一交换机后，再剥去此标签。A交换机1交换机2B数据帧Tag标签TrunkTrunk802.1Q工作原理802.1Q工作特点：A交换机1交换机2数据包在三层网络如何通信第53页/共4页AB192.168.1.0192.168.2.0192.168.3.0PC1PC2目的网段转发接口192.168.2.0B192.168.1.0——目的网段转发接口192.168.2.0——192.168.1.0A数据包在三层网络如何通信第20页/共4页AB192局域网常见攻击第54页/共4页ARP攻击ARP攻击就是将ARP表中IP与MAC地址的对应关系进行了修改!!!!局域网常见攻击第21页/共4页ARP攻击ARP攻击第55页/共4页ARP欺骗攻击分类-主机型主机型ARP欺骗欺骗者主机冒充网关设备对其他主机进行欺骗网关欺骗者嗨，我是网关PC1第22页/共4页ARP欺骗攻击分类-主机型主机型A第56页/共4页ARP欺骗攻击分类-网关型网关型ARP欺骗欺骗者主机冒充其他主机对网关设备进行欺骗56网关欺骗者嗨，我是PC1PC1第23页/共4页ARP欺骗攻击分类-网关型网关型A局域网常见攻击第57页/共4页DHCP攻击局域网常见攻击第24页/共4页DHCP攻击局域网常见攻击第58页/共4页二层环路局域网常见攻击第25页/共4页二层环路局域网常见攻击第59页/共4页TCP半连接攻击客户端A服务器B发送SYN＝1(seq#=100)1接收SYN发送SYN＝1,ACK＝1(seq#=300ack#=101)2建立连接，ACK＝1(ack#=301)3接收SYN,ACKTCP半连接攻击就是攻击者发送大量的TCP链接，当目的主机回应TCP后，攻击者不发送确认报文，导致被攻击者系统资源被大量浪费局域网常见攻击第26页/共4页TCP半连接攻击客户如何防御ARP攻击第60页/共4页判断ARP欺骗攻击-主机怎样判断是否受到了ARP欺骗攻击？网络时断时续或网速特别慢在命令行提示符下执行“arp–d”命令就能好上一会在命令行提示符下执行“arp–a”命令查看网关对应的MAC地址发生了改变60如何防御ARP攻击第27页/共4页判断ARP欺骗攻如何防御ARP攻击第61页/