《3.计算机网络设计重点.pptVIP

7.3 网络安全设计技术 7.3.3 ACL网络安全技术（重要） 1. ACL（访问控制列表）工作原理 ACL(Access Control List)是网络设备处理数据包转发的一组规则。 ACL采用包过滤技术，在路由器中读取第三层和第四层数据包包头中的信息，如源地址、目的地址、源端口、目的端口等，然后根据网络工程师预先定义好的ACL规则，对数据包进行过滤，从而达到访问控制的目的。 7.3 网络安全设计技术 2. ACL配置的基本原则 （1）最小权限原则。 只满足ACL部分条件的数据包不允许通过。 （2）最靠近受控对象原则。 标准ACL尽可能放置在靠近目的地址的地方； 扩展ACL尽量放置在靠近源地址的地方。 （3）立即终止原则。 （4）默认丢弃原则。 如果数据包与所有ACL行都不匹配，将被丢弃。 7.3 网络安全设计技术 （5）单一性原则。 一个接口在一个方向上只能有一个ACL。 （6）默认设置原则。 路由器或三层交换机在没有配置ACL的情况下，默认允许所有数据包通过。 防火墙在在没有配置ACL的情况下，默认不允许所有数据包通过。 冲突域与广播域对比 冲突域：在同一个冲突域中的每一个节点都能收到所有被发送的帧; 广播域：网络中能接收任一设备发出的广播帧的所有设备的集合; 冲突域：基于第一层（物理层）; 广播域：基于第二层（数据链路层）; 流量与带宽的区别 (1)带宽是一个固定值，流量是一个变化的量。 (2)带宽由网络工程师规划分配，有很强的规律性； (3)流量由用户网络业务形成，规律性不强。 (4)带宽与设备、传输链路相关； (5)网络流量与使用情况、传输协议、链路状态等因素相关。 链路聚合的条件 (1)各链路的传输介质必须相同，均为超五类双绞线或均为光纤； (2)各链路传输速率必须相同，如都为100M或1000M； (3)各分离链路必须是全双工链路 (4)各链路两端的参数必须一致，如流量控制； (5)各链路速率不小于100M等。 * * Q:计算满配置需求的背板带宽 A:2*10,000M*2+48*1,000M*2=136,000M=132.8GBps 大于 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * * (6)包转发率：交换机往往采用包转发率(通吐量)衡量其性能。单位：pps(packet/s,包/秒) 以太网最小包为64byte，加上帧开销20byte，因此最小包为84byte 。 算例：对于1个全双工1000Mbps接口达到线速时要求：转发能力＝1000Mbps/((64+20)*8bit)＝1.488Mpps 算例：对于1个全双工100Mbps接口达到线速时要求：转发能力＝100Mbps/((64+20)*8bit)＝0.149Mpps 书表9-1 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * * 算例：Q:计算cisco 2960S-48FPL满配置线速工作的包转发率： A:2*14.88+48*1,488=101.2Mpps 等于 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * * 9.1.2路由设备 (1)路由器概念：英文router为信息流或数据分组选择路由的设备。 用于连接多个逻辑上分开的网络，所谓逻辑网络是代表一个单独的网络或者一个子网。 (2)路由与交换区别：交换机主要工作在第二层（数据链路层），而路由发生在第三层，即网络层 。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * * a.数据包路由（寻径功能）：路由表的建立、维护和查找。 b.隔离广播、访问控制：路由器阻止广播的通过。并且可以设置访问控制列表（ACL）对流量进行控制。 c.网络/子网/VLAN互访：支持不同的数据链路层协议，连接异种网络。 e.子网间的速率匹配：路由器有多个接口，不同接口具有不同的速率，路由