[工学]网络技术讲义.ppt

网络技术 网络定义 把地理位置分布的计算机用传输介质连接起来，实现硬件和软件以及资源共享 三种通讯模式 广播 组播 单播 网络设备工作原理 中继器 集线器 二层交换机 三层交换机 路由器 入侵检测设备 硬件防火墙 以太网技术 以太网Ethernet是使用最广泛的局域网LAN技术,其体系结构是基于CSMA/CD访问方法,载波侦听多址访问/冲突检测 网卡上有一个唯一的介质访问MAC地址 由十二位十六进制组成 网络适配器俗称网卡,用于数模转换 为计算机和网络提供物理连接的接口 CSMA/CD载波侦听多路访问/冲突检测协议 中继器 物理层设备,对信号进行再生放大,同时也放大噪声,延长线缆 双绞线最大传输距离是100米 集线器 物理层设备,共享式设备,不屏敝广播,带数据的真实广播 任意时刻只有一台主机向另一台主机发送数据,具有多个端口,能够集中线路. 性能低,所以端口在一个冲突域中 集联,最多可以四个集线器 二层交换机 可在交换机上作配置的交换机我们称它为可调交换机。比如在交换机上划分VLAN。 不可调交换机；不能作任何配置，在一个广播域中。 只有在一个网段的计算机才可能通信 二层交换机 二层交换机工作在数据链路层 防止冲突,利用MAC寻址, 两两主机能够同时发送数据. 二层交换机 二层交换机,数据链路层 独享带宽,用硬件进行自学习转发,网速快 二层交换机主要功能 划分VLAN 端口隔离 端口+MAC地址捆绑 一般将二层交换机用于接入层 虚拟局域网 端口绑定 为了防止小区内有恶意用户盗用PC1的IP地址，将PC1的MAC地址和IP地址绑定到Switch A上的Ethernet1/0/1端口。 路由器 用于连接两个或多个不同的子网 ACL过滤子网,QOS服务质量,组播 DHCP服务,HSRP热备份等 路由器是企业网的边界设备 三层交换机 二层交换机+路由器 具有交换和路由功能 一次路由，多次交换。 CEF思科快速转发 网络设计模型 核心层（core layer）通过高速转发数据流来提供最佳的和可靠的传输结构。 汇聚层（distribution layer）位于接入层和核心层之间，有助于区别核心与网络的其他部分。 接入层（access layer）将数据流导入网络，并进行网络入口控制。 网络安全拓扑分析 IDS入侵检测系统 入侵检测系统尝试对网络数据流进行侦听，并尝试通过对侦听的分析尽可能的防止对被保护资源的非法访问。入侵检测通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或违反安全策略的行为和遭到袭击的迹象。 设备特点： 对进行受保护网络的数据进行精细的数据抽样分析 对可能的入侵进行记录和实时报警 入侵检测系统是透明的，网络内其它部件不会因它的存在而改变本身的网络性质 入侵检测系统可以防止被攻击 入侵检测系统拓扑 IDS入侵检测系统规则 规则 将正常流量创建规则，后面的流量对比规则，异常流量会被发现，就会报警 由于流量改变，需从新创建规则 规则详细内容包括；协议，原IP，目的IP，原端口，目标端口，数据流向等 报警记录包括；严重，中度，轻微 轻微：当用户设置的规则被检测器使用时将会轻微的报警，警告用户发现入侵企图 中级：当用户设置的规则被检测器使用时将会中级级别的报警，警告用户有入侵者在利用漏洞攻击目标 严重：当用户设置的规则被检测器使用时将会严重级别的报警，警告用户正在破坏系统或网络，请用户给与足够的重视 网络安全 防火墙（包过滤） 标准访问控制列表 扩展访问控制列表 基于接口的访问控制列表 基于特殊时间段的访问控制列表 硬件防火墙 内部区域 安全值100 外部区域 安全值0 DMZ非军事防域区域 安全值50 安全区域 DMZ 外部区域 WEB in OUT * * 在高可用、高性能、高安全、高效率、高平台上实现资源共享、信息流通、统一的验证、统一的管理 活动目录数据库 为账户设置登陆时间 为账户设置过期时间 电影服务器 流媒体 电影服务器 流媒体 电影服务器 流媒体 广播 组播 单播 1.544M 1.544M*8=12.3M 8台计算机 10M 1.544M 我不看电影 我要看电影 我要看电影 我不看电影 A 先侦听后传输 D 冲突 传输数据 2 3 1 4 1 4 3 7 2 6 5 9 8 1 4 3 7 2 6 5 9 8 数据 1 3 4 2 中继器 200米 发送者 接收者 Hub 以太网Ethernet 10 所有节点共享10M带宽 同一时间只能有一个设备发送信息 1 2 3 4 端口号 MAC表 1 2 3 4 MAC1 MAC2 MAC3 MAC4 mac