6、路由交换安全与VPN讲义.pptxVIP

路由交换安全与VPN讲义;局域网与VLAN;局域网设备在OSI/RM中的位置;局域网标准;;;;;;广播域和冲突域;冲突域和广播域;Multicast, broadcast, and unknown destination events become global events;;;;VLAN的类型;基于物理端口分组（Port Based）;基于物理端口分组（Port Based）;二层VLAN：根据MAC Address分组 MAC Address VLAN 1212354145121 1 2389234873743 2 3045834758445 2 5483573475843 1;基于MAC 地址分组（MAC Based）;基于MAC 地址分组（MAC Based）;基于网络层协议分组;基于网络地址分组;基于网络地址分组;交换机之间传输VLAN成员信息;交换机之间传输VLAN成员信息;VLAN的优点;VLAN的优点 — 易于维护;每个网络都有广播流量。广播的频率与应用类型、服务器类型、物理分段以及网络资源的使用方式密切相关。 如果需要预先测试网络，确保不会有与广播相关的问题。一种有效的方式是对物理网络进行分段，用防火墙隔离各个段。 即使一个网段上有过量的广播数据，其他网段不会受影响。这种分段能力提供了更高的可靠性，是广播流量尽可能减小，从而应用有更多的带宽可用。;当两个交换机之间没有路由器时，广播流量被转发至每个交换机端口。这种整个网络中只有一个广播域的网络被称为平坦型网络。 优点：低延迟，高流通率，易于管理。 缺点：容易受到广播数据报的攻击。 VLAN能有效地提供路由器的防火墙功能，从而保护网络不受有害广播数据的影响。另外，VLAN有所有交换机的优点。 VLAN的组越小，一个VLAN中的广播风暴所影响的用户就越少。可以根据应用类型以及应用的广播频率来划分VLAN。;监听的威胁 经常有重要的、机密的数据通过LAN。机密数据需要安全的访问控制机制。LAN的一个缺点就是它太容易被渗透。插入一个可用的接口，一个恶意的用户就可获得整个网段上的数据。 通过物理隔离，可以实现 控制一个组中的用户数量 防止其它用户在没有申请的情况下进入VLAN 把未使用的端口划到一个低性能的网段;实现这种结构的VLAN相当直观。交换机端口按应用类型和访问级别进行分组。有安全要求的应用和资源一般放在一个安全的VLAN中。交换机限制对安全VLAN的访问。可以根据主机地址、应用类型和协议类型设置安全控制机制。 可以用访问控制列表来增强安全性，这种技术在VLAN之间通讯时特别有用。在安全子网中，路由器也象交换机一样提供安全控制。路由器可以根据工作站地址、应用类型和协议类型甚至时间来设置安全控制机制。;VLAN的问题;目录;VPN概述;VPN概述;VPN概述;VPN概述;VPN的类型;VPN的安全性;VPN系统组成;VPN系统组成;VPN关键技术;VPN关键技术;VPN的隧道技术;VPN的隧道技术;VPN的隧道技术;IPSec架构;IPSec发展历史;IPSec的应用方式;IPSec的内容;VPN概述;IPSec安全体系结构;IP安全体系结构;IP安全体系结构;IP安全体系结构;IP安全体系结构;IP安全体系结构;IP安全体系结构;IP安全体系结构;IP安全体系结构;IP安全体系结构;IPSEC外发数据报处理;IP安全体系结构;传输模式;隧道模式;隧道模式;AH协议;AH协议;AH协议;AH协议;AH – Transport and Tunnel;ESP协议;ESP协议;ESP协议;ESP协议;ESP – Transport and Tunnel;密钥管理;密钥管理;IKE协议;The end. Thanks