《网络安全培训课程ppt课件.ppt》由会员分享,可在线阅读,更多相关《网络安全培训课程ppt课件.ppt(76页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、LOGO重庆网安计算机技术服务中心网络安全培训课程网络安全培训课程经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用目录认识信息安全等级保护1 了解网络基础及安全防护2学习网络故障排查-实例32经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用信息安全等级保护简介 我国计算机信息系统安全保护等级划分细则于1999年9月13日经国家质量技术监督局审查通过并正式批准发布,根据细则将计算机信息系统安全保护能力划分为五个安全保护等级:第一级:用
2、户自主保护级。用户自主保护级通过身份鉴别,自主访问控制机制,要求系统提供每一个用户具有对自身所创造的数据进行安全保护的能力。适用于普通内联网用户。第二级:系统审计保护级。在用户自主保护级的基础上,重点强调系统的审计功能,要求通过审计、资源隔离等安全机帛,使每一个用户对自己的行为负责。适用于内联/国际互联网需要保密商务活动的用户。第三级:安全标记保护级。在系统审计保护的基础上,从安全功能的设置和安全强度的要求方面均有明显的提高。首先,增加了标记和强制访问控制功能。同时,对身份鉴别、审计、数据完整性等安全功能均有更进一步的要求。如要求使用完整性敏感性标记,确保信息在网络传输的完整性。一般党政机关、
3、金融机构、大型商业工业用户。第四级:结构化保护级。在安全标记保护级的基础上,重点强调通过结构化设计方法使得所具有的安全功能具有更高的安全要求。适用于国家机关、中央金融机构、尖端科技和国防应用系统单位。第五级:访问控制保护级。访问验证保护级重点强调”访问“监控器本身的可验证性,也是从安全功能的设计和实现方面提出更高要求。适用于国防关键应用以及国家特殊隔离信息系统使用单位。3经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用信息安全等级保护4经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,
4、增加赔偿的金额为消费者购买商品的价款或接受服务的费用信息安全系统定级 定级是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准,系统建设、整改、备案、等级测评等后续工作都失去了针对性。信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,也不以风险评估为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。5经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受
5、服务的费用系统定级一般流程 信息系统安全包括业务信息安全和系统服务安全。信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。6经营者提供商品或者服务有欺诈行为的,应当按照消费者的要
6、求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用系统定级一般流程3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全保护等级4、业务信息安全保护等级8、定级对象的安全保护等级1、确定定级对象7经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用 信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法;是当今发达国家的通行做法,也是我国多年来信息安全工作经验的总结。信息安全等
7、级保护工作的重要意义 开展信息安全等级保护工作:有利于同步建设;有利于指导和服务;有利于保障重点;有利于明确责任;有利于产业发展。8经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用网络基础及安全防护 网络基础与网络基础与OSI模型模型1 TCP-IP编址编址23 交换原理和交换原理和VLAN9经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用网络基础与OSI模型n计算机网络定义:通过通信线路和通信设备将不同地理位置上的计算机系统互连起
8、来的一个计算机系统的集合,通过运行特定的操作系统和通信协议来实现数据通信和资源共享。n计算机网络组成:通信线路、通信设备、计算机系统、操作系统、通信协议、通信子网、资源子网。n计算机网络类型:局域网、广域网。10经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用计算机网络组成11经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用计算机网络类型运行在有限的地理区域;允许网络设备同时访问高带宽的介质;通过局部管理控制网络的权限;提供全时的局
9、部服务;连接物理上相邻的设备。通常指几公里以内的,可以通过某种介质互联的计算机、打印机或其它设备的集合。目前,大多数网络都使用某些形式的以太网。距离短、延迟小、数据速率高、传输可靠12经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用计算机网络类型运行在广阔的地理区域;通过低速串行链路进行访问;网络控制服从公共服务的规则;提供全时的或部分时间的连接;连接物理上分离的、遥远的、甚至全球的设备在大范围区域内提供数据通信服务,主要用于互连局域网。公用电话网:PSTN综合业务数字网:ISDN数字数据网:专线帧中继:Fram
10、e Relay异步传输模式:ATM13经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用OSI七层参考模型nOSI模型:1984年由国际标准化组织ISO国际标准化组织提出。n目的:提供一个大家共同遵守的标准,解决不同网络之间的兼容性和互操作性问题。n分层标准:依据功能来划分。nOSI七层参考模型的优点:促进标准化工作,允许各个供应商进行开发.各层间相互独立,把网络操作分成低复杂性单元.灵活性好,某一层变化不会影响到别层.各层间通过一个接口在相邻层上下通信.14经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求
11、增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用OSI分层结构数据流层数据流层传输层传输层数据链路层数据链路层网络层网络层物理层物理层应用层应用层(高高)会话层会话层表示层表示层应用层应用层负责主机之间的数据传输负责主机之间的数据传输负责网络数据传输负责网络数据传输15经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用OSI分层结构 规定通信设备的机械的、电气的、功能的和规程的特性。主要涉及比特的传输,网络接口卡和网络连接等.没有智能性,只能对bit 流进行简单的处理。如传输,放大,复制等
12、。网线:bit 流的传输.中继器:信号的放大.集线器:信号的放大和复制.16经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用OSI分层结构 在相邻节点之间建立链路,传送数据帧。工作在同一个网段。主要涉及介质访问控制、连接控制、流量控制和差错控制等。定义物理地址,标识节点。将bit流组合成数据帧。交换机:能识别数据帧中的MAC地址信息,在同一网 段转发数据。有智能,进行定向转发。17经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用OS
13、I分层结构 是一座桥梁,将不同规范的网络互连起来。在不同网段路由数据包。定义IP地址,由32bit的二进制数组成,点分十进制表示。路由转发,通过路由表实现三层寻址.MAC地址(二层)物理地址 平面结构 身份IP地址(三层)逻辑地址 层次结构 位置18经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用OSI分层结构 实现终端用户到终端用户之间的连接。可以实现流量控制、负载均衡。分段,使数据的大小适合在网络上传递。区分服务,端口号标识上层的通信进程。19经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其
14、受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用OSI分层结构 在两个应用程序之间建立会话,管理会话,终止会话。一旦建立连接,会话层的任务就是管理会话。主要由操作系统来完成,把不同的应用程序设置内存区间,分配相应的内存,CPU资源,保持不同的应用程序的数据独立性。将数据转换成接收设备可以了解的格式.翻译数据格式,加密,压缩.20经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用OSI分层结构 为具体的应用程序提供服务,实现各种网络应用(WWW FTP QQ SMTP POP3)。我们说某个应用程序的
15、界面是否友好,就是应用层完成的。应用层为用户和计算机会话提供一个界面。计算机有他的语言,人有人的语言,人要和计算机交流,必须有一个窗口来把信息传递出来。21经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用数据的封装与解封装 数据要通过网络进行传输,要从高层逐层的向下传送,如果一个主机要传送数据到别的主机,先把数据装到一个特殊协议报头中,这个过程叫封装。上述的逆向过程。22经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用封装过程上层数
16、据上层数据LLC 头头+IP+TCP+上层数据上层数据IP+TCP+上层数据上层数据TCP+上层数据上层数据上层数据上层数据0101110101001000010传输层传输层 数据链路层数据链路层物理层物理层 网络层网络层 表示层表示层应用层应用层会话层会话层FCSFCSTCP 头头LLC 头头IP 头头MAC 头头23经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用解封装过程上层数据上层数据LLC 头头+IP+TCP+上层数据上层数据IP+TCP+上层数据上层数据TCP+上层数据上层数据上层数据上层数据0101
17、110101001000010传输层传输层 数据链路层数据链路层物理层物理层 网络层网络层 表示层表示层应用层应用层会话层会话层TCP 头头IP 头头LLC 头头MAC 头头24经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用数据传输过程通通 信信 介介 质质应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据连路层数据连路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据连路层数据连路层物理层物理层网络层数据连路层物理层通通 信信 介介 质质协议端系统端系统A A端系统端
18、系统B B25经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用冲突域和广播域冲突域:一个支持共享介质的网段。广播域:广播帧传输的网络范围,一般是路由器来设定边界(因为router不转发广播)。冲突:在以太网中,当两个节点同时传输数据时,从两个设备发出的帧将会碰撞,在物理介质上相遇,彼此数据都会被破坏。26经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用OSI模型的缺陷及意义 提供了网络间互连的参考模型。成为实际网络建模、设计的重要参
19、考工具和理论依据。为我们提供了进行网络设计与分析的方法。许多功能在多个层次重复,有冗余感(如流2.3.4层都有,差错控制等,数据链路层有流控)。各层功能分配不均匀(链路、网络层任务重,会话层任务轻)。功能和服务定义复杂,很难产品化。27经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用TCP/IP与OSITCP/IP与OSI的比较:nTCP/IP 分四层,OSI分的是七层。nTCP/IP网络实践上的标准,OSI网络理论的标准。nTCP/IP定义每一层功能如何实现,OSI定义每一层做什么。nTCO/IP的每一层都可以
20、映射到OSI模型中去。28经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用TCP/IP与OSI应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层传输层传输层网络层网络层网络接口层网络接口层29经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用TCP/IP应用层应用层应用层传输层传输层网络层网络层文件传输文件传输-TFTP*-FTP*E-Mail-SMTP远程登陆远程登陆-Telne
21、t*-SSH*网络管理网络管理-SNMP*名称管理名称管理-DNS*网络接口层网络接口层30经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用TCP/IP传输层传输控制协议传输控制协议(TCP)面向连接面向连接用户数据报协议用户数据报协议(UDP)非面向连接非面向连接应用层应用层传输层传输层网络层网络层网络接口层网络接口层31经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用端口号TCP端口号端口号FTPTELNETDNSSNMPTFT
22、PSMTPUDP应用层应用层2123255369161RIP520传输层传输层32经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用端口号作用源端口源端口目标端口目标端口Host A102823SPDPHost ZTelnet Z目标端口目标端口=23.端口号标识上层通信进程。小于1024 为周知端口、1024-5000为临时端口、大于5000为其他服务预留。33经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用TCP 确认机制发送方发
23、送方 发送发送 1接收接收 1发送发送 ACK 2发送发送 2接收接收 2发送发送 ACK 3发送发送 3接收接收 3接收接收 ACK 4滑动窗口=1接收方接收方34经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用TCP 三次握手发送发送 SYN(seq=100 ctl=SYN)接收接收 SYN发送发送 SYN,ACK(seq=300 ack=101 ctl=syn,ack)建立会话建立会话(seq=101 ack=301 ctl=ack)Host AHost B123接收接收 SYNTCP连接建立35经营者提供
24、商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用IP地址组成 IP地址为32Bit二进制数组成,用点分十进制表示。(例如:192.168.1.1/24)IP地址=网络位+主机位 用来标识一个IP地址哪些是网络位,哪些是主机位。用1 标识网络为,用0标识主机位。36经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用IP地址分类A类(1-126)前8位表示网络位,后24位表示主机位。B类(128-191)前16位表示网络位,后16位表示主机位。C类
25、(192-223)前24位表示网络位,后8位表示主机位。D类(224-239)用于组播地址。E类(240-255)科研使用。37经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用特殊IP地址本地回环本地回环(loopback)测试测试地址地址广播地址广播地址代表任何网络代表任何网络0.0.0.0127.0.0.1255.255.255.255主机位全为1:代表该网段的所有主机。38经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用私有I
26、P地址C类256个:192.168.0.0/24-192.168.255.0/24A类1个:10.0.0.0/8B类16个:172.16.0.0/16-172.31.0.0/1639经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用子网划分的核心思想n“借用”主机位来“制造”新的“网络”16网络网络主机主机172.16.2.160 255.255.255.017220101011001111111110101100000100001111111100010000111111110000001010100000000
27、000000000000000000010子网(借位)子网(借位)网络号网络号12819222424024825225425540经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用划分子网方法n所选择的子网掩码将会产生多少个子网?:n2的x 次方(x代表借掩码位数)。n每个子网能有多少主机?:n2的y 次方-2(y代表当前主机位数)。n每个子网的广播地址是?:n广播地址=下个子网号-1n每个子网的有效主机分别是?:n忽略全为0和全为1的地址,剩下的就是有效主机地址。41经营者提供商品或者服务有欺诈行为的,应当按照消
28、费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用子网划分优点n子网划分可以解决IP地址紧缺的问题。n子网划分可以解决广播问题,分割广播域。n例如:一个C类网络,有254台主机可以用。当我们分给一个公司,但是该公司没有这么多主机,地址就有很大的浪费。通过子网划分可以节省IP地址。42经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用交换机概述 是全双工,可发可收。能识别数据帧中的MAC信息,根据地址信息把数据交换到特定的接口。交换机是根据数据帧中的封装的目的MAC地址来做出转发数据
29、的决定。是目的MAC和交换机接口的映射,交换机根据MAC表把数据发送到相应的接口。43经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用交换机的三个功能地址学习帧的转发/过滤环路防止44经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用交换机地址学习n最初开机时MAC地址表是空的nMac地址表条目默认老化时间是300秒,以下命令可改变老化时间:sw(config)#mac-address-table aging-time?Aging t
30、ime valueMAC地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD45经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用交换机地址学习n主机A发送数据帧给主机Cn交换机通过学习数据帧的源MAC地址,记录下主机A的MAC地址对应端口E0 n该数据帧转发到除端口E0以外的其它所有端口(不清楚目标主机的单点传送用泛洪方式)0260.8c01.11110260.8c01.22220260.8c01.33330260.8
31、c01.4444E0:0260.8c01.1111E0E1E2E3DCBAMAC地址表地址表46经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用帧的转发n主机C发送数据给B:交换机发现目的B的MAC对应E1接口,就把数据从这里发送出去。n主机D发送广播帧或多点帧:广播帧或多点帧泛洪到除源端口外的所有端口。0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABE0:0260.8c01.1111E2:0260.8c01.2222E1:0
32、260.8c01.3333E3:0260.8c01.4444MAC地址表地址表47经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用防止环路n运行STP协议防止环路。n某些端口置于阻塞状态就能防止冗余结构的网络拓扑中产生回路。阻塞阻塞x48经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用交换机配置n配置命名:Switch(config)#hostname Sw1n配置管理IP:Sw1(config)#int vlan 1 Sw1(co
33、nfig-if)#ip add 172.16.1.210 255.255.255.0 Sw1(config-if)#no shutn配置网关:Sw1(config)#ip default-gateway 172.16.1.201n查看MAC表。Sw1#sh mac-addn设置双工和速率。Sw1(config)#int f0/1 Sw1(config-if)#speed 10/100/auto Sw1(config-if)#duplex half/full/auto49经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的
34、费用VLAN概述第三层第三层第二层第二层第一层第一层销售部销售部人力资源部人力资源部工程部工程部一个VLAN=一个广播域=逻辑网段(子网)50经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用VLAN的优点及分类 静态VLAN:基于交换机接口。动态VLAN:基于主机MAC地址,不常用,需要在交换中建立一张VMPS表,来标明哪些MAC属于哪个VLAN.效率低。隔离二层广播,优化网性能。VLAN可以跨越交换机,简化布线,方便管理。每个VLAN是一个独立的子网,VLNA间的通信要通过三层设备实现,可以通过访问控制列表对V
35、LNA间的通信进行安全控制。优点分类51经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用VLAN运行n每个逻辑的VLAN就象一个独立的物理桥n交换机上的每一个端口都可以分配给不同的VLANn默认的情况下,所有的端口都属于VLAN1(Cisco)交换机交换机 A绿色绿色VLAN黑色黑色VLAN 红色红色VLAN52经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用VLAN运作n同一个VLAN可以跨越多个交换机交换机交换机A交换机交换机B
36、绿色绿色VLAN黑色黑色VLAN 红色红色VLAN绿色绿色VLAN黑色黑色VLAN 红色红色VLAN53经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用VLAN运作n主干功能支持多个VLAN的数据n主干使用了特殊的封装格式支持不同的VLANn只有快速以太网端口可以配置为主干端口 干道连接干道连接 快速以太网快速以太网绿色绿色VLAN黑色黑色VLAN 红色红色VLAN绿色绿色VLAN黑色黑色VLAN 红色红色VLAN54经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消
37、费者购买商品的价款或接受服务的费用VLAN的配置全局模式Switch#configure terminal Switch(config)#vlan 3 Switch(config-vlan)#name Vlan3Switch(config-vlan)#exit Switch(config)#endSwitch#vlan database Switch(vlan)#vlan 3 VLAN 3 added:Name:VLAN0003Switch(vlan)#exit APPLY completed.Exiting.数据库模式55经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到
38、的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用VLAN的接入端口n接入交换机端口在一个单一的数据的VLAN56经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用VLAN执行的命令n配置VLAN-vlan 101-switchport mode access-switchport access vlan 101n验证VLAN-show interfaces-show vlan57经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的
39、费用配置VLAN的接入Switch(config)#vlan vlan_id配置一个VLAN.Switch(config-vlan)#name vlan_name给VLAN命名.Switch(config-if)#switchport mode access 配置交换机的端口为接入模式.Switch(config-if)#switchport access vlan vlan_id把接入端口划分到vlan中.58经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用查看VLANSwitch#show vlanVLAN
40、Name Status Ports-1 default active Fa0/1,Fa0/2,Fa0/3,Fa0/4 Fa0/5,Fa0/7,Fa0/911 asw11_data active12 asw12_data active95 VLAN0095 active Fa0/899 Trunk_Native active100 Internal_Access active111 voice-for-group-11 active112 voice-for-group-12 active1002 fddi-default act/unsup1003 token-ring-default act
41、/unsup1004 fddinet-default act/unsup1005 trnet-default act/unsupVLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1-1 enet 100001 1500 -0 enet 100011 1500 -0 .59经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用网络故障排查ARP及ARP防护 arp原理原理1 arp攻击方式攻击方式23 arp防护防护60经营者提供商品或者服务有欺诈行为
42、的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用ARP协议原理 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面有目标主机的MAC地址;在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。ARP协议的基本功能就是主机在发送报文前将目标主机的IP地址解析成目标主机的MAC地址,以保证通信的顺利进行。61经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿
43、其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用ARP协议原理以太网目的地址以太网源地址帧类型硬件地址协议类型硬件地址长度协议地址长度OP发送端以太网地址目的以太网地址发送端IP地址目的IP地址662222116644以太网首部28字节ARP请求/应答nArp request和reply的数据帧长都是42字节(28字节的arp数据、14字节的以太帧头)62经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用ARP协议原理63经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失
44、,增加赔偿的金额为消费者购买商品的价款或接受服务的费用ARP协议原理internetinternetinternetinternetARP RequestPCgatewayARP Replay 正常的ARP通讯过程只需ARP Request和ARP Replay两个过程,简单的说就是一问一答:64经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用ARP协议原理PC网关回应给主机的ARP Reply报文 主机收到网关的ARP Reply报文后,同样会提取报文中的“Senders hardware address”和“
45、Senders protocol address”生成自己的ARP表项;65经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用ARP攻击方式nArp flood arp 泛洪,只要是瞬间发送大量的arp数据包给switch,填满switch的mac table,导致无法switch工作异常,提示:这时switch就会象hub一样工作66经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用ARP攻击方式ngratuitous arp 免费a
46、rp,原理:1.gratuitous arp也是arp request的一种,所以是 broadcast,就是群发,就是搞的地球人都知道 2.gratuitous arp的arp报文中,源ip和目的ip是 一样的,就是为了再次确认网络中身份。ms的ip地址冲突监测机制就是通过 免费arp实现的 67经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用ARP攻击方式n免费arp的精髓 前文说到构建arp spoof的简易方式。这里我有一个疑问,如果攻击者不让其中的1个用户访问任何地址,是否需要发送整个网段的错误的mac
47、地址给 受害主机?答案是 NO 如果这样劳命伤财,不是好办法!只要代表受害主机发送错误的gratuitous arp。1个arp报文足以!当然arp table有老化时间,不过谎话不停的说,说了多次,就变成“真”di了 这样网络中的其他主机都收到错误的mac地址的arp报文进行更新自身的arp cache。于是灾难就这样发生了!68经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用ARP攻击方式免费arp的工作原理普通交换机普通交换机极品良民极品良民恐怖份子恐怖份子GratuitousArpSend mac add
48、=错误的错误的mac地址地址Send ip add=受害主机受害主机ipTarget ip add受害主机受害主机ip这是广播报文哦这是广播报文哦为什么整个为什么整个网段都网段都ping不通?!不通?!发送发送源源ip和目的和目的ip均为均为受害主机的受害主机的ip地址地址的免费的免费arp报文报文我好毒、我好毒、我好毒我好毒原来 良民的地址是4444.4444.4444我真实的mac是1111.1111.111169经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用ARP攻击方式nArp proxy arp 代理
49、:arp proxy是arp的攻击之首,这也是传说的“中间人”攻击!原理:双向arp spoof70经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用ARP攻击方式Proxy arp的工作原理普通交换机普通交换机极品良民极品良民恐怖份子恐怖份子Arp reply to GWSend mac add恐怖份子恐怖份子macSend ip add=极品良民极品良民ipTarget mac add GW mac地址地址Target ip addGW ip地址地址我要和网关通我要和网关通讯,没钱了,讯,没钱了,我要查我的银我
50、要查我的银行账户行账户S8610GatewayIC、IP、IQ卡,卡,统统告诉我密码统统告诉我密码恐怖份子的潜台词:恐怖份子的潜台词:Hello,良民,我是网关!Hello,网关,我是良民!Arp reply to 良民良民Send mac add恐怖份子恐怖份子macSend ip add=网关网关ipTarget mac add 良民良民mac地址地址Target ip add良民良民 ip地址地址71经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或接受服务的费用ARP攻击方式Proxy arp的工作原理普通交换机普通交换