网络设备安全.pptxVIP

网络设备平安;目录;网络平安问题;;1.1 网络根底;网络的概念;通信协议的概念;语义 发送方、接收方 ;网络通信协议的问题：计算机间通信仅靠一个通信协议无法完成！！！ 解决方法：网络分层 各层内使用自己的通信协议完成层内通信； 各层间通过接口提供效劳； 各层可以采用最适合的技术来实现； 各层内部的变化不影响其他层。;定义传输介质、信号波形〔电压、电流〕等，实现比特流传输。;按照TCP/IP模型搭建计算机网络时， 在计算机上需要安装配置的组件。;AH;1.2 典型网络设备;使用TCP/IP模型通信的网络设备;;交换机;交换机的工作原理 选择性转发 ;以太网 LAN 交换机采用五种根本操作来实现其用途： 获取 过期 泛洪 选择性转发 过滤;交换机的分类;按端口速率分类 10Mbps、100Mbps、1000Mbps 按是否可物理扩展分类;按转发方式分类;按照工作层次分类： 二层交换机 三层交换机;VLAN的概念;;路由器;路由器工作在网络层，实现不同网段之间的通信。;路由器核心：路由表 目的地址、子网掩码 下一跳地址、输出端口 注意：路由器的路由描述方式是局部的;[RTB]display ip routing-table Routing Tables: Public Destinations : 10 Routes : 10 Destination/Mask Proto Pre Cost NextHop Interface ;路由器和三层交换机的比较;典型网络拓扑结构;在会聚层交换机上进行VLAN的创立，并在接入层交换机上通过将接入端口指定到相应的VLAN中来按部门划分播送域，由会聚层交换机实现其下的接入层各VLAN之间的路由。在会聚层交换机和核心层交换机之间运行动态路由选择协议，由核心层交换机实现整个局域网的路由。 对于带宽需求较高的局部，在接入层交换机和会聚层交换机之间进行链路聚合。 对网络可用性要求较高的局部，进行设备和链路的冗余，保障可用性的同时，通过负载均衡提高网络通信效率。;1.3 网络设备平安;网络设备自身平安保障;关闭不使用的接口或端口 使用SSH代替Telnet进行设备远程访问管理 严格控制远程访问用户的权限 对于远程访问进行严格的限制 交换机管理VLAN与业务VLAN相独立 ;交换机数据平安;路由协议平安;局域网平安;IEEE 802.1x技术 在以太网接入设备的???口一级对所接入的设备进行认证和控制。在应用了IEEE 802.1x的交换机端口上，如果该端口连接的终端设备能够通过认证，就可以访问网络中的资源；而如果不能通过认证，那么无法访问网络中的资源。 ;端口平安技术 基于MAC地址对网络接入进行控制的平安机制，它通过定义各种端口平安模式，让网络设备的端口学习到该端口下的合法的终端MAC地址； 通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问； 通过检测从端口发出的数据帧中的目的MAC地址地址来控制对非授权设备的访问。 端口平安模式 noRestrictions模式 autolearn模式 secure模式;端口绑定技术 将用户的IP地址和MAC地址绑定到指定的交换机端口上，使交换机只对从相应端口收到的指定IP地址和指定MAC地址的数据报文进行转发，从而实现对端口转发的报文进行过滤控制，增强端口的平安性，实现IP源防护〔IP Source Guard，IPSG〕功能。 交换机上支持IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN、IP+MAC+VLAN等六种绑定表项的组合，因此它既支持IP+MAC的绑定，也支持单独只绑定IP地址或单独只绑定MAC地址。 ;DHCP Snooping技术 保证客户端从合法的DHCP效劳器获取IP地址。 将连接DHCP效劳器的端口指定为信任端口，而将其它的端口指定为不信任端口来保证客户端从合法的DHCP效劳器获取IP地址。 在不信任端口上配置DHCP报文限速功能来防范基于DHCP请求的DoS攻击。 监听DHCP报文，记录客户端的IP地址与MAC地址。 监听DHCP-REQUEST报文和从信任端口上收到的DHCP-ACK报文，记录客户端的MAC地址以及动态获得的IP地址，并将其保存到DHCP Snooping绑定表中。通过读取DHCP Snooping绑定表中表项的内容可以生成动态端口绑定表项，从而实现动态IP地址与端口的绑定。;终端准入控制〔End user Admission Domination，EAD〕