中小学网络基础知识锐捷三层交换机

Server
trust untrust untrust
Clienet
www.ruijie.com.cn
第 30页 / 共 4页
如何防止二层环路
使用生成树 协议—— 协议 Spanning Tree，将出 ， 现环路的接 口逻辑上进 行阻断
www.ruijie.com.cn
第 31页 / 共 4页
如何防止TCP半连接
www.ruijie.com.cn 第 6页 / 共 4页
网络设备介绍
“可网管”路由器 可网管”
特点： 1、接口数量少 2、支持各种广域网接口 3、具有网络地址转换功能——NAT 4、完成三层数据转发 5、具有防火墙和流量控制等功能
www.ruijie.com.cn 第 7页 / 共 4页
目前中小学常见网络
wk.baidu.com
•
主机型ARP欺骗
› 欺骗者主机冒充网关设备对其他主机进行欺骗
网关
嗨，我是网关
PC 1
欺骗者
www.ruijie.com.cn
第 22页 / 共 4页
ARP欺骗攻击分类-网关型
•
网关型ARP欺骗
› 欺骗者主机冒充其他主机对网关设备进行欺骗
网关
嗨，我是PC1
PC 1
欺骗者
www.ruijie.com.cn
www.ruijie.com.cn
第 26页 / 共 4页
如何防御ARP攻击 判断ARP欺骗攻击-主机
• 怎样判断是否受到了ARP欺骗攻击？
› 网络时断时续或网速特别慢 › 在命令行提示符下执行“arp –d”命令就能 好上一会
› 在命令行提示符下执行“arp –a”命令查看 网关对应的MAC地址发生了改变
www.ruijie.com.cn
数据包在三层网络如何通信
192.168.1.0
192.168.3.0
192.168.2.0
PC1 目的网段
192.168.2.0 192.168.1.0
A 转发接口
B ——
B 目的网段
192.168.2.0 192.168.1.0
PC2 转发接口
—— A
www.ruijie.com.cn
“傻瓜”交换机
www.ruijie.com.cn
第 4页 / 共 4页
网络设备介绍
二层“可网管” 二层“可网管”交换机
特点： 1、接口数量多，常见的接口数量为24口或48口 2、接口速率多为100M/bps或1000M/bps 3、具有二层数据转发功能 二层数据转发功能 4、可以划分VLAN——虚拟局域网 5、具有防环路机制 6、有一定的安全防御功能
第 10页 / 共 4页
局域网技术
IP地址及其分类 地址及其分类
www.ruijie.com.cn
第 11页 / 共 4页
局域网技术
www.ruijie.com.cn
第 12页 / 共 4页
VLAN技术
交换网络中存在的问题
广播域
在交换机组成的校园网络里所有主机都在同一个广播域内
www.ruijie.com.cn
中小学网络基础知识
部门/作者
中小学常见网络拓扑 局域网常用技术 局域网常见攻击 如何防御局域网攻击 答疑
校园网络的应用现状
学校信息化应用
教学管理
• • • • • • • • • 数字广播 多媒体教学 备课系统 教学资源库 远程教育 学籍管理 多媒体录播系统 VOD ……
特色应用
• • • • • • • • • • 电子巡考 网上阅卷 平安校园 数字图书馆 家校互联平台 教育博客 网上辩论赛 同步课堂 网络教育电视台 ……
TCP SYN代理功能 代理功能 TCP SYN 代理——是先由路由器/防火墙代理服务端与客户 端完成三次握手，如果连接合法，再与服务端建立连接。
具备TCP SYN功能的网络设备充当了安全守卫者 具备 功能的网络设备充当了安全守卫者
www.ruijie.com.cn
第 32页 / 共 4页
核心层
接入层
百兆电缆 千兆光线
www.ruijie.com.cn
第 8页 / 共 4页
目前中小学常见网络
核心层 汇聚层 接入层
百兆电缆 千兆光线
www.ruijie.com.cn
第 9页 / 共 4页
“可网管”局域网优势
易管理
冗余性
层次性
“可网管” 可网管” 局域网
安全性 流控性
www.ruijie.com.cn
安全地址获取
安全地址的获 取是防ARP欺骗 的前提，ARP报 文校验是防ARP 欺骗的手段
ARP报文 ARP报文
ARP报文校验 ARP报文校验
ARP-check检查ARP报文 中sender MAC和sender IP是否和安全地址中的 MAC 和 IP所对应一致
ARP报文S/T字段是否 与安全地址一致
第 20页 / 共 4页
局域网常见攻击
ARP攻击 攻击
ARP攻击就是将 攻击就是将ARP表中 与MAC地址的对应关系进行了修改 表中IP与 地址的对应关系进行了修改!!!! 攻击就是将 表中 地址的对应关系进行了修改
www.ruijie.com.cn
第 21页 / 共 4页
ARP欺骗攻击分类-主机型
接收SYN
2
3
建立连接，ACK＝1 (ack#=301)
发送SYN＝1, ACK＝1 (seq#=300 ack#=101)
TCP半连接攻击就是攻击者发送大量的 半连接攻击就是攻击者发送大量的TCP链接，当目的主机回应 链接， 半连接攻击就是攻击者发送大量的 链接 TCP后，攻击者不发送确认报文，导致被攻击者系统资源被大量浪费 后 攻击者不发送确认报文，
www.ruijie.com.cn
802.1Q工作原理
Tag标签 Tag标签
交换机1 交换机1
数据帧
交换机2 交换机2 Trunk Trunk
A
B
• 802.1Q工作特点：
› 802.1Q数据帧传输对于用户是完全透明的。 › Trunk上默认会转发交换机上存在的所有VLAN的数据。 › 交换机在从Trunk口转发数据前会在数据打上个Tag标签，在到达另一交换机 后，再剥去此标签。
www.ruijie.com.cn 第 5页 / 共 4页
网络设备介绍
三层“可网管” 三层“可网管”交换机
特点： 1、三层交换机从外观上分为“盒式交换机”和“箱式交换机” 2、三层交换机具有二层交换机的所有功能 3、三层交换机增加三层数据转发功能 三层数据转发功能 4、接口多为1000M/bps速率
广播域
广播域
• VLAN 概述（Virtual Local Area Network）
› VLAN是划分出来的逻辑网络，是第二层网络。 › VLAN端口不受物理位置的限制。 › VLAN 隔离广播域。
www.ruijie.com.cn
VLAN的类型:Port VLAN
F0/1
F0/2
F0/3
基于交换机的端口(一个端口只属于一个VLAN， 基于交换机的端口(一个端口只属于一个VLAN， Port VLAN设置在连接主 VLAN设置在连接主 机的端口) 机的端口)
第 23页 / 共 4页
23
局域网常见攻击
DHCP攻击 攻击
www.ruijie.com.cn
第 24页 / 共 4页
局域网常见攻击
二层环路
www.ruijie.com.cn
第 25页 / 共 4页
局域网常见攻击
TCP半连接攻击 半连接攻击
客户端A 客户端 服务器B 服务器
1
发送 SYN＝1 (seq#=100) 接收SYN,ACK
www.ruijie.com.cn
Port-VLAN原理
通过查找MAC地址表，交换机对发往不同VLAN的数据不转发
MAC地址 交换机端口 MAC地址
F0/1 Vlan 10 A F0/2 F0/3 Vlan 10 C
F0/1 F0/2 F0/3 A B C
VLAN ID
10 20 10
Vlan 20 B
第 13页 / 共 4页
交换网络中的问题
VLAN20 VLAN10 VLAN30 VLAN40
通过VLAN技术可以对网络进行一个安全的隔离、分割广播域 通过VLAN技术可以对网络进行一个安全的隔离、分割广播域
www.ruijie.com.cn
第 14页 / 共 4页
VLAN技术
交换机
1
2
3
4
广播帧 广播帧
A A
X
B C
www.ruijie.com.cn
VLAN的类型:Tag VLAN
Switch A
Tag VLAN
Switch B
VLAN10 VLAN20 VLAN30
VLAN10
VLAN20 VLAN30
• TagVLAN特点
› 传输多个VLAN的信息 › 实现同一VLAN跨越不同的交换机 › 要求Ttunk至少要100M
否
丢弃
是
转发
www.ruijie.com.cn
第 29页 / 共 4页 29
如何防御DHCP攻击 DHCP Snooping
• DHCP安全特性
› ›
过滤非法DHCP报文，防范非法的DHCP Server和对服务器的攻击 对DHCP报文进行窥探，建立DHCP-Snooping数据库，为IP报文和ARP报文过 滤提供依据
www.ruijie.com.cn
行政管理
• • • • • • • • • • OA办公 电子政务平台 门户网站 一卡通 资产管理 财务管理 人事管理 视频会议 学生综合素质平台 ……
第 3页 / 共 4页
早期中小学网络
家用路由器
特点： 1、低成本 2、网络无冗余性 2 3、交换机不可网管 4、网络无安全性
www.ruijie.com.cn
第 27页 / 共 4页
27
如何防御ARP攻击 判断ARP欺骗攻击-网关设备
• 网关设备怎样判断是否受到了ARP欺骗攻击？
› ARP表中同一个MAC对应许多IP地址
www.ruijie.com.cn
第 28页 / 共 4页
28
如何防御ARP攻击
手工指定 port-security 自动获取 DHCP Snooping Dot1x认证