还剩18页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
计算机网络及安全培训目录TOC\o1-3\h\z\u第一部分交换网络基础介绍21.1局域网概述2传统以太网2交换式以太网41.2二层交换机原理6选购交换机的原则6交换机的主要参数6交换机的工作原理7接入层交换机常用命令81.3虚拟局域网(vlan)9(VirtualLocalAreaNetwork)9广播域9的优点10的四种划分方法10以太网交换机的端口分类111.4三层交换机工作原理13三层交换机功能模型13三层交换机的优势13交换机基础配置实例13第二部分防火墙和网闸基本介绍
142.1访问控制列表及应用14访问控制列表的作用14如何标识访问控制列表15配置实例(s5600系列)
152.2防火墙的基本介绍16防火墙firewall16防火墙的功能16防火墙的物理特性
172.3网闸的基本介绍17什么是网闸17___要使用安全隔离网闸18安全隔离网闸与物理隔离卡的主要区别是什么?19网闸工作原理19第三部分培训相关附件20第一部分交换网络基础介绍1.1局域网概述局域网一般在几十米到几公里范围内,一个局域网可以容纳几台至几千台计算机按局域网现在的特性看,局域网具有如下特性
(1)局域网分布于比较小的地理范围内因为采用了不同传输能力的传输媒介,因此局域网的传输距离也不同
(2)局域网往往用于某一群体比如一个公司、一个单位、某一幢楼、某一学校等局域网技术包含以太网令牌环和令牌总线技术等等这些技术当中以太网技术以其简明高效的特点逐渐占据了主导地位传统以太网网络中所有主机收发数据共享传输介质即同一时刻只能有一台主机在发送数据,各主机通过遵循C__A/CD规则来保证网络的正常通讯在以太网中,所有的主机共享传输介质,在一条总线上发送数据,(同一时刻只能有一台主机在发送,各主机通过遵循C__A/CD规则来保证网络的正常通讯)其基本思想是当一个节点要发送数据时,首先监听信道;如果信道空闲就发送数据,并继续监听;如果在数据发送过程中监听到了冲突,则立刻停止数据发送,等待一段随机的时间后,重新开始尝试发送数据以太网原理---C__A/CDCS载波侦听在发送数据之前进行监听,以确保线路空闲,减少冲突的机会__多址访问每个站点发送的数据,可以同时被多个站点接收CD冲突检测边发送边检测,发现冲突就停止发送,然后延迟一个随机时间之后继续发送具体原理流程如图
1.1所示图
1.1C__A/CD原理图传统以太网的缺陷传统的以太网在主机数目较多的情况下,性能受到严重影响网络中个别主机的故障,会影响所有主机的通讯多台主机在同时试图发送数据时,会使得网络冲突严重,致使网络利用率大大降低以太网所采用的C__A/CD技术,保证了将信道因冲突而产生的浪费缩减到最小,但不能保证网络高负荷时的传输效率某台主机发送的广播报文,会被网络中所有主机接收;在广播报文较多的情况下,网络性能受到严重影响广播风暴更会使得网络崩溃交换式以太网强烈的市场需求推动了交换式以太网的发展用户迫切希望能够独享更高的带宽需要找到解决冲突和广播泛滥的方法交换式以太网平时网络中所有的主机都不连通,当主机需要通信时,通过交换设备连接对端主机,完成后断开交换设备包括交换式集线器和交换机使用交换设备组网,物理上和逻辑上均为星型结构交换式以太网的优势扩展了网络带宽分割了网络冲突域,使得网络冲突被限制在最小的范围内交换机作为更加智能的交换设备,能够提供更多用户所要求的功能优先级、虚拟网、Qos等等以太网发展简史美国电气和电子工程师协会IEEE是一个国际性的电子技术与信息科学工程师的协会,它的任务是指定局域网的国际标准IEEE
802.3以太网标准IEEE
802.3u100BASE-T快速以太网标准IEEE
802.3z/ab1000Mb/s千兆以太网标准IEEE
802.3ae10GE以太网标准IEEE
802.4令牌环总线Token-PassingBus单一/多信道速率1510MBit/s网介质访问控制协议及其物理层技术规范; IEEE
802.5令牌环Token-PassingRing(基带速率1416MBit/s网介质访问控制协议及其物理层技术规范; IEEE
802.6城域网(MetropolitanAreaNetworks__C介质访问控制协议DQDB及其物理层技术规范;IEEE
802.7宽带技术__组,为其他分委员会提供宽带网络技术的建议;IEEE
802.8光纤技术__组,为其他分委员会提供光纤网络技术的建议;IEEE
802.9综合话音/数据的局域网(IVDLAN)介质访问控制协议及其物理层技术规范; IEEE
802.10局域网安全技术标准; IEEE
802.11无线局域网的介质访问控制协议C__A/CA及其物理层技术规范;1.2二层交换机原理选购交换机的原则按应用规模划分三层,按结构来分成固定端__换机和模块化交换机固定端__换机一般来讲是24或者48口,只能提供有限的数量端口和因定类型的交换接口100m端口,1000m端口;模块化交换机:我们在选购交换机的时候首先是根据我们的需求来决定,需求决定一切,比如网络规模,计算机数目,然后还有自身的一些情况等,第二是交换机的稳定性,第三就是性价比了那如何来评价交换机的好坏,下面我们来看一下交换机主要的一些参数交换机的主要参数1,背板带宽是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量背板带宽标志了交换机总的数据交换能力可以比如成立交桥所拥有车道路的总和,所有的端口间的通信都要通过背板完成,带宽越大,提供给各端口可用的带宽越大一台交换机的背板带宽越高,所能处理数据的能力就越强,背板带宽=端口数量*端口速率*22,转发速率也叫吞吐量,好比立交桥的车流量3,端口类型光纤端口,双绞线端口,模块插槽4,端口速率主要有100mbps1000mbps10Gbps.常见搭配形式包括m*10/100mbpsn*1000mbps+m*m*100mbpsm*1000mbpst和n*10Gbps+m*m*1000mbps5,延时指从交换机接收到数据包到开始向目端口__数据包之间的时间间隔6,延扩方式一是级联,二是堆叠7,管理功能指交换机如何控制用户访问交换机,以及用户对交换机的可视程度.应用的一些技术二层交换机工作在数据链路层,数据链路层在OSI模型型中为第二层,所以工作在数据链路层的交换机为二层交换机,那么三层交换机就是工作在网络层交换机里面一个非常最重要的东西,__C地址表:记录了交换机端口和端口下所对应主机的__C地址什么是__C地址它一般也是全球唯一的我们也是通过物理地址来识别主机的一个__C地址是48个比特组成,前面24位是厂家的标识,后面24位才是序列号,__C地址我们一般是不能修改的,当然如果很多技术员知道,在我们电脑里面可以修改,因为它是写入在操作系统里面的注册表里面,但是对于网络设备来说,__C地址是不能改的,交换机的工作原理
1.地址学习交换机根据收到数据帧中的源__C地址建立该地址同交换机端口的映射,并将其写入__C地址表中__C地址表里,一个端口可以对应多于__C地址,但是一个__C地址只能对应于一个端口
2.数据转发交换机将数据帧中的目的__C地址同已建立的__C地址表进行比较,以决定由哪个端口进行转发
3.地址洪泛如数据帧中的目的__C地址不在__C地址表中,则向所有端口转发这一过程称为洪泛当然__C地址并不是生成好就不变的,它是一个动态的对于广播和组播,交换机是把广播帧和组播帧向所有端口转发但一个交换机永远也不会学习到广播和组播地址,因为它们永远不会出现在一个帧的源地址中接入层交换机常用命令以常用的华为交换机为例进行讲解配置模式用户模式,系统模式常用命令及配置和tab键显示帮助/补全命令displaycur查看交换机当前全部置;displayversion查看交换机系统软件版本信息;sys进入系统模式sysname交换机命名superpassword 修改特权用户__undo;取消当前配置inte_____ ethernet 0/1 进入端口模式undoshutdown 激活端口quit返回reboot 交换机重启1.3虚拟局域网(vlan)VLAN(VirtualLocalAreaNetwork)中文名为虚拟局域网VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知IEEE于1999年颁布了用以标准化VLAN实现方案的
802.1Q协议标准草案VLAN技术的出现,使得___根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理L___段由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性
1.
3.2广播域广播域是指网络中能接收任一设备发出的广播帧的所有设备的__在主机A发送一个广播帧,在二层交换里面,如果我们不划vlan的话,所有的设备构成了一个广播域,当我们划了vlan后但是左右各属于不同的VLAN,形成各自广播域,广播报文不能跨越这些广播域传送二层交换机隔离冲突域但是不能隔离广播域,使用vlan的话就可以隔离广播域,(单播帧单播帧也称“点对点”通信此时帧的接收和传递只在两个节点之间进行,帧的目的__C地址就是对方的__C地址,网络设备(指交换机和路由器)根据帧中的目的__C地址,将帧转发出去广播帧的概念在广播帧中,帧头中的目的__C地址是“”,代表网络上所有主机网卡的__C地址)4以上是对vlan概念的一个理解,那我们使用vlan技术有什么作用呢VLAN的优点相对与传统的LAN技术,VLAN具有如下优势1隔离广播域,抑制广播报文.提高带宽的利用率2减少__和改变的代价3创建虚拟工作组,超越传统网络的工作方式4增强通讯的安全性VLAN的四种划分方法
1、基于交换机的端口的vlan划分当然,这些属于同一VLAN的端口可以不连续优点:非常简单,方便,只要指定划分的端口就可以了缺点:如果valn的用户离开了原来的端口,到某个新的交换机的端口,必须重新对电脑的vlan进行配置
2、基于__C地址的vlan划分优点对我们经常__的用户来讲是比较方便的,如笔记本,你从一个科移到另一个部门__到另一个部门上网的时候vlan的时候,如果这两个部门不在一个vlan就不需要修改配置,但前提是在配置网络的时候,就得把所有的用户都必须进行配置,如果用户很多,配置的工作量是很大的3,基于IP协议或者是IPX协议的vlan划分如果一个物理网络中既有IP网络又有IPX等多种协议运行的时候,可以采用这种vlan的划分方法4,基于子网的vlan划以上四种划分方式,使用较多的是基于交换机端口的划分以太网交换机的端口分类1Ac__ss端口一般用于接用户计算机的端口,ac__ss端口只能属于1个VLAN2Trunk端口一般用于交换机之间连接的端口,trunk端口可以属于多个VLAN,可以接收和发送多个VLAN的报文3Hybrid端口可以用于交换机之间连接,也可以用于接用户的计算机,hybrid端口可以属于多个VLAN,可以接收和发送多个VLAN的报文VLAN的链路类型ac__ss链路与干道链路干道链路1干道链路通常用于设备之间机间如交换机和路由器之间、交换机和交换机的互连IEEE
802.1Q定义了VLAN帧格式2,所有在干道链路上传输的帧都是打上标记的帧(taggedframe)当然如果每台交换机都是在一个vlan下的话,我们就直接用ac__ss口就可以了3要注意的就是在二层结构,相同vlan间是互通的,不同vlan是不能通信的vlan的基本配置VLAN的缺点
1、VLAN隔离了二层广播域,也就严格地隔离了各个VLAN之间的任何流量,分属于不同VLAN的用户不能互相通信VLAN互通的实现——使用VLANTrunking
2、二层交换机上和路由器上配置他们之间相连的端口使用VLANTrunking,使多个VLAN共享同一条物理连接到路由1.4三层交换机工作原理
1.
4.1三层交换机功能模型二层交换机和路由器在功能上的集成构成了三层交换机,三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能
1.
4.2三层交换机的优势
1、在逻辑上,三层交换和路由是等同的,三层交换的过程就是IP报文选路的过程
2、三层交换机与路由器在转发操作上的主要区别在于其实现的方式三层交换机通过硬件实现查找和转发;传统路由器通过微处理器上运行的软件实现查找和转发;三层交换机的转发路由表与路由器一样,需要软件通过路由协议来建立和维护
3、在局域网中引入三层交换,能够更加经济的替代传统路由器
1.
4.3交换机基础配置实例实例一,端口绑定基本配置1,端口+__C[SwitchA]amuser-bind__C-address00e0-fc22-f8d3inte_____Ethernet0/1------使用特殊的AMUser-bind命令,来完成__C地址与端口之间的绑定2,IP+__C[SwitchA]amuser-bindip-address.2__C-address00e0-fc22-f8d3------使用特殊的AMUser-bind命令,来完成IP地址与__C地之间的绑定3端口+IP+__C[SwitchA]amuser-bindip-address.2__C-address00e0-fc22-f8d3inte_____Ethernet0/1------使用特殊的AMUser-bind命令,来完成IP、__C地址与端口之间的绑定第二部分防火墙和网闸基本介绍
2.1访问控制列表及应用对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃而实现包过滤的核心技术是访问控制列表访问控制列表的作用访问控制列表可以用于防火墙;访问控制列表可以用于Qos(QualityofServi__),对数据流量进行控制;访问控制列表还可以用于地址转换;在配置路由策略时,可以利用访问控制列表来作路由信息的过滤如何标识访问控制列表利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围IPstandardlist2000-2999IPextendedlist3000-3999二层ACL4000-4999用户自定义5000-5999配置实例(s5600系列)要求正确配置ACL,限制所有科室在上班时间8:00至18:00访问财务科()的工资查询服务器配置步骤1.定义时间段[Quidway]time-rangehuawei8:00to18:00working-day2.进入3000号的高级访问控制列表视图[Quidway]aclnumber30003.定义访问规则.0time-rangehuawei4.进入GigabitEthernet1/0/1接口[Quidway-acl-adv-3000]inte_____GigabitEthernet1/0/15.在接口上用3000号ACL[Quidway-GigabitEthernet1/0/1]packet-filterinboundip-group
30002.2防火墙的基本介绍防火墙firewall防火墙是由软件、硬件构成的系统,用来在两个网络之间实施接入控制策略接入控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要防火墙内的网络称为“可信赖的网络”trustednetwork,而将外部的因特网称为“不可信赖的网络”untrustednetwork防火墙可用来解决内联网和外联网的安全问题
2.
2.2防火墙的功能防火墙的功能有两个阻止和允许“阻止”就是阻止某种类型的通信量通过防火墙(从外部网络到内部网络,或反过来)“允许”的功能与“阻止”恰好相反防火墙必须能够识别通信量的各种类型不过在大多数情况下防火墙的主要功能是“阻止”防火墙的物理特性防火墙的物理特性防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下内部区域(内网)内部区域通常就是指企业内部网络或者是企业内部网络的一部分它是互连网络的信任区域,即受到了防火墙的保护外部区域(外网)外部区域通常指Internet或者非企业内部网络它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问停火区(DMZ)停火区是一个隔离的网络,或几个网络位于停火区中的主机或服务器被称为堡垒主机一般在停火区内可以放置Web服务器,__il服务器等停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的___息,但却不允许他们访问企业内部网络注意2个接口的防火墙是没有停火区的
2.3网闸的基本介绍什么是网闸网闸的全称是安全隔离网闸,安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备___要使用安全隔离网闸当用户的网络需要保证__度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,用户必须使用开关在内外网之间来回切换,不仅管理起来非常麻烦,使用起来也非常不方便,如果采用防火墙,由于防火墙自身的安全很难保证所以防火墙也无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证,在这种情况下,安全隔离网闸能够同时满足这两个要求,又避免了物理隔离卡和防火墙的不足之处,是最好的选择网闸与传统防火墙的技术特点对比如下表所示安全隔离网闸与物理隔离卡的主要区别是什么? 安全隔离网闸与物理隔离卡最主要的区别是,安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换,而物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换硬盘
2.
3.4网闸工作原理 隔离网闸安全隔离与信息交换,是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术它采用独特的硬件设计并集成多种软件防护策略,能够抵御各种已知和未知的攻击,显著提高内网的安全强度,为用户创造无忧的网络应用环境 GAP源于英文的AirGap,GAP技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下,实现安全数据传输和资源共享的技术GAP中文名字叫做安全隔离网闸,它采用独特的硬件设计,能够显著地提高内部用户网络的安全强度 GAP技术的基本原理是切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据第三部分培训相关附件防火墙交换机基本配置路由器基本命令网闸培训计算机网络安全标准。