Download
1 / 33
330 likes | 492 Views
中小学网络基础知识. 部门 / 作者. 中小学常见网络拓扑 局域网常用技术 局域网常见攻击 如何防御局域网攻击 答疑. 校园网络的应用现状. 学校信息化应用. 早期中小学网络. 特点: 1 、低成本 2 、网络无冗余性 3 、交换机不可网管 4 、网络无安全性. 家用路由器. “傻瓜”交换机. 网络设备介绍. 二层“可网管”交换机. 特点: 1 、接口数量多,常见的接口数量为 24 口或 48 口 2 、接口速率多为 100M/bps 或 1000M/bps 3 、具有 二层数据转发功能 4 、可以划分 VLAN—— 虚拟局域网
E N D
中小学网络基础知识 部门/作者
中小学常见网络拓扑 局域网常用技术 局域网常见攻击 如何防御局域网攻击 答疑
校园网络的应用现状 学校信息化应用 第 3页 / 共 4页
早期中小学网络 特点: 1、低成本 2、网络无冗余性 3、交换机不可网管 4、网络无安全性 家用路由器 “傻瓜”交换机 第 4页 / 共 4页
网络设备介绍 二层“可网管”交换机 特点: 1、接口数量多,常见的接口数量为24口或48口 2、接口速率多为100M/bps或1000M/bps 3、具有二层数据转发功能 4、可以划分VLAN——虚拟局域网 5、具有防环路机制 6、有一定的安全防御功能 第 5页 / 共 4页
网络设备介绍 三层“可网管”交换机 特点: 1、三层交换机从外观上分为“盒式交换机”和“箱式交换机” 2、三层交换机具有二层交换机的所有功能 3、三层交换机增加三层数据转发功能 4、接口多为1000M/bps速率 第 6页 / 共 4页
网络设备介绍 “可网管”路由器 特点: 1、接口数量少 2、支持各种广域网接口 3、具有网络地址转换功能——NAT 4、完成三层数据转发 5、具有防火墙和流量控制等功能 第 7页 / 共 4页
目前中小学常见网络 核心层 接入层 教学楼 RSR 50-40 综合楼 RG-S7610 RG-S2100 PC 服务器群 艺体楼 认证管理系统&网管 RG-S2100 PC 实验楼 RG-S2100 PC 百兆电缆 千兆光线 RG-S2100 PC 第 8页 / 共 4页
目前中小学常见网络 核心层 汇聚层 接入层 RG-S5750 教学楼 RSR 50-40 RG-S5750 综合楼 RG-S7610 RG-S2100 PC 服务器群 RG-S5750 艺体楼 认证管理系统&网管 RG-S2100 PC 实验楼 RG-S2100 PC 百兆电缆 千兆光线 RG-S2100 PC 第 9页 / 共 4页
易管理 冗余性 “可网管”局域网 层次性 安全性 流控性 “可网管”局域网优势 第 10页 / 共 4页
局域网技术 IP地址及其分类 第 11页 / 共 4页
局域网技术 第 12页 / 共 4页
VLAN技术 交换网络中存在的问题 安全 广播 广播域 在交换机组成的校园网络里所有主机都在同一个广播域内 第 13页 / 共 4页
交换网络中的问题 VLAN20 VLAN10 VLAN30 VLAN40 通过VLAN技术可以对网络进行一个安全的隔离、分割广播域 第 14页 / 共 4页
VLAN技术 1 3 4 2 交换机 广播帧 广播帧 广播域 广播域 • VLAN 概述(Virtual Local Area Network) • VLAN是划分出来的逻辑网络,是第二层网络。 • VLAN端口不受物理位置的限制。 • VLAN 隔离广播域。
VLAN的类型:Port VLAN F0/1 F0/2 F0/3 基于交换机的端口(一个端口只属于一个VLAN, Port VLAN设置在连接主机的端口)
Port-VLAN原理 通过查找MAC地址表,交换机对发往不同VLAN的数据不转发 F0/2 F0/3 F0/1 Vlan 10 Vlan 10 Vlan 20 A B C A B A C X
Switch B Tag VLAN Switch A VLAN10 VLAN20 VLAN30 VLAN10 VLAN20 VLAN30 VLAN的类型:Tag VLAN • TagVLAN特点 • 传输多个VLAN的信息 • 实现同一VLAN跨越不同的交换机 • 要求Ttunk至少要100M
802.1Q工作原理 Tag标签 交换机2 交换机1 数据帧 Trunk Trunk B A • 802.1Q工作特点: • 802.1Q数据帧传输对于用户是完全透明的。 • Trunk上默认会转发交换机上存在的所有VLAN的数据。 • 交换机在从Trunk口转发数据前会在数据打上个Tag标签,在到达另一交换机后,再剥去此标签。
数据包在三层网络如何通信 192.168.3.0 192.168.1.0 192.168.2.0 PC1 PC2 B A 第 20页 / 共 4页
局域网常见攻击 ARP攻击 ARP攻击就是将ARP表中IP与MAC地址的对应关系进行了修改!!!! 第 21页 / 共 4页
ARP欺骗攻击分类-主机型 • 主机型ARP欺骗 • 欺骗者主机冒充网关设备对其他主机进行欺骗 网关 嗨,我是网关 PC 1 欺骗者 第 22页 / 共 4页
ARP欺骗攻击分类-网关型 • 网关型ARP欺骗 • 欺骗者主机冒充其他主机对网关设备进行欺骗 网关 嗨,我是PC1 PC 1 欺骗者 第 23页 / 共 4页 23
局域网常见攻击 DHCP攻击 第 24页 / 共 4页
局域网常见攻击 二层环路 第 25页 / 共 4页
发送 SYN=1 (seq#=100) 1 接收SYN 发送SYN=1, ACK=1 (seq#=300 ack#=101) 接收SYN,ACK 2 建立连接,ACK=1 (ack#=301) 3 局域网常见攻击 TCP半连接攻击 客户端A 服务器B TCP半连接攻击就是攻击者发送大量的TCP链接,当目的主机回应TCP后,攻击者不发送确认报文,导致被攻击者系统资源被大量浪费 第 26页 / 共 4页
如何防御ARP攻击 判断ARP欺骗攻击-主机 • 怎样判断是否受到了ARP欺骗攻击? • 网络时断时续或网速特别慢 • 在命令行提示符下执行“arp –d”命令就能好上一会 • 在命令行提示符下执行“arp –a”命令查看网关对应的MAC地址发生了改变 第 27页 / 共 4页 27
如何防御ARP攻击 判断ARP欺骗攻击-网关设备 • 网关设备怎样判断是否受到了ARP欺骗攻击? • ARP表中同一个MAC对应许多IP地址 第 28页 / 共 4页 28
如何防御ARP攻击 安全地址的获取是防ARP欺骗的前提,ARP报文校验是防ARP欺骗的手段 • 手工指定 • port-security • 自动获取 • DHCP Snooping • Dot1x认证 安全地址获取 ARP报文 ARP报文校验 ARP-check检查ARP报文中sender MAC和sender IP是否和安全地址中的MAC 和 IP所对应一致 否 ARP报文S/T字段是否与安全地址一致 丢弃 是 转发 第 29页 / 共 4页 29
如何防御DHCP攻击 DHCP Snooping • DHCP安全特性 • 过滤非法DHCP报文,防范非法的DHCP Server和对服务器的攻击 • 对DHCP报文进行窥探,建立DHCP-Snooping数据库,为IP报文和ARP报文过滤提供依据 Server trust untrust Clienet untrust 第 30页 / 共 4页
如何防止二层环路 使用生成树协议——Spanning Tree,将出现环路的接口逻辑上进行阻断 第 31页 / 共 4页
如何防止TCP半连接 TCP SYN代理功能 TCP SYN 代理——是先由路由器/防火墙代理服务端与客户端完成三次握手,如果连接合法,再与服务端建立连接。 具备TCP SYN功能的网络设备充当了安全守卫者 第 32页 / 共 4页
