计算机网络安全基础

路由器 交换机
传输层 网络层
Ethernet、ATM、FDDI、 X.25、ISDN等
物理层
应用层 表示层 会话层 传输层 网络层 数据连路层 物理层
4
TCP会话连接
主机A：客户端
1
发送TCP SYN分段 (seq=100 ctl=SYN)
SYN received
3
Established (seq=101 ack=301 ctl=ack)
计算机网络安全基础
1
内容概述
• 计算机网络基础 • 局域网技术及解决方案 • 广域网技术及解决方案 • 网络安全相关技术及解决方案
2
OSI 七层参考模型
Application Presentation
Session Transport Network Data Link Physical
数据 代码流 会话流 分段 （Segment） 包（Packet） 帧（Frame）
主机 B：服务端
SYN received
2
发送TCP SYN&ACK分段 (seq=300 ack=101 ctl=syn,ack)
5
TCP连接的终止
主机B：服务端
1 发送TCP FIN分段
关闭A到B 的连接
4 发送TCP ACK分段
主机 A：客户端
2 发送TCP ACK分段 3 发送TCP FIN分段
9
局域网技术
4、局域网（以太网）设备：
4）交换机：是数据链路层设备，它将较大的局域网分解成较小的子 网，另每个端口下连接的单个设备或子网独享10M（或100M）分段，然后 再实现分段间通信。
交换机对大网进行细分，减少了从一个分段到另一个分段时不必要 的网络信息流，从而解决了网络拥塞问题，提高网络整体性能。
关闭A到B 的连接
6
局域网技术及解决方案
7
局域网技术
1、局域网（LAN）的定义：
LAN是一个覆盖地理位置相对较小的高速数据网络，通过电缆将服务 器、工作站、打印机和其它设备连接到一起。这种网络通常位于一个比 较集中的建筑群内。
2、LAN 拓扑结构：
电脑连接的方式叫“网络拓扑”，常见的LAN物理拓扑结构有三种： 总线型、环型和星型。而逻辑拓扑结构只有总线型和环型两种。逻辑总 线型和环型拓扑结构通常可以在星型物理拓扑结构中实现。
图一 总线型 （以太网）
图三 星型
图二 环型 （令牌环、 FDDI）
8
局域网技术
3、以太网类型：
1）标准以太网：速率为10Mbps，传输介质为同轴电缆或双绞线； 2）快速以太网：速率为100Mbps，传输介质为双绞线或光纤； 3）千兆以太网：速率为1000Mbps，传输介质为双绞线或光纤； 4）万兆以太网：速率为10000Mbps,传输介质为双绞线或光纤.
控制广播活动：VLAN可保护网络不受由广播流量所造成的影响， 一个VLAN内的广播信息不会传送到VLAN之外，网络管理人员可以通过设 置VLAN灵活控制广播域。
增强网络安全：VLAN创造了虚拟边界，它只能通过路由跨越，因 此通过将网络用户划分到不同VLAN并结合访问控制，可控制VLAN外部站 点对VLAN内部资源的访问，提高网络的安全性。
1000M Catalyst 2950T
1000M
中心两台Catalyst 6509 配置千兆模块，支持 VLAN和高速三层交换
在具备光纤资源的营 业部采用 Catalyst4000/3500接入 ，否则采用Catalyst 2950T接入
• 更高的性能
基于光纤和UTP的千兆以太网及以太网通道 高效的第三层交换
• 更好的可管理性
强大的网络管理工具：CiscoWorks2000
• 支持未来业务的发展
13
企业总部局域网网络解决方案
OA服务器
业务服务器
邮件服务器
Catalyst 3550 10/100M
1000M 1000M
1000M 4GB GEC
比特流
Application Presentation
Session Transport Network Data Link Physical
3
TCP/IP协议簇
HTTP、FTP、SMTP、 SNMP、POP、TELNET、
RIP、NNTP等
内容分发
应用层
负载均衡
TCP和UDP
IP、ICMP、源自文库GMP、 ARP、RARP等
常见交换机类型：10M、10/100M、1000M，端口从8口到48口不等。 交换机还有可堆叠、不可堆叠，可网管、不可网管以及是否带三层 路由功能之分。
交换机
集线器 子网A
集线器 子网B
10
局域网技术
5、虚拟局域网（VLAN）简介：
1）所谓VLAN，是指一个由多个段组成的物理网络中的结点的逻辑分 组，利用VLAN，工作组应用可以象所有工作组成员都连接到同一个物理 网段上一样进行工作，而不必关心用户实际连接到哪个网段上。VLAN是 交换式LAN的最大特点。
4、局域网（以太网）设备：
1）网络线缆：同轴电缆、双绞线、光纤。 2）网卡：一种电脑辅助板卡，一面插入电脑母板的扩展槽，另一面 与网络线缆相连。网卡完成网络通信所需的各种功能。只有通过网卡， 电脑才能通过网络进行通信。 目前常用的以太网卡：10M、10/100M自适应、1000M。 3）集线器：是一种连接多个用户节点的物理层设备，每个经集线器 连接的节点都需要一条专用电缆，用集线器可以建立一个物理的星型网 络结构。 常用的集线器按速率分有10M、100M、10/100M自适应三种，支持的 端口数从8口到24口不等。集线器令所有端口共享10M（或100M）带宽。
3）VLAN的划分方法： MAC地址、IP地址、交换机端口
12
局域网络的设计需求
• 更高的可靠性
冗余的网络结构：STP，PVST 高速故障链路切换：Uplink fast, Backbone fast, Port fast
• 更高的安全性
完整的网络安全策略：VLAN, 基于交换机端口的安全性，……
交换机
交换机
A楼
部门A 部门B
交换机
B楼
部门A 部门B
11
局域网技术
5、虚拟局域网（VLAN）简介：
2）VLAN的优点： 改进管理的效率：VLAN提供了有效的机制来控制由于企业结构、
人事或资源变化对网络系统所造成的影响。例如，当用户从一个地点移 到另一个地点时，只需对交换机的配置稍做改动即可，大大简化了重新 布线。配置和测试的步骤。