《《 网络互连技术与实训》 第3章二层安全控制技术ppt课件.ppt》由会员分享,可在线阅读,更多相关《《 网络互连技术与实训》 第3章二层安全控制技术ppt课件.ppt(94页珍藏版)》请在三一办公上搜索。
1、第 3 章二层安全控制技术,3.1 VLAN技术原理, 传统的局域网使用的是二层交换机代替集线器(Hub),每个端口可以看成是一根单独的总线,可以使冲突域缩小到每个端口,使得网络发送单播报文的效率大大提高,极大地提高了二层网络的性能。, 但是网络中所有端口仍然处于同一个广播域,交换机在传递广播报文的时候依然要将广播报文复制多份,发送到网络的各个角落。 随着网络规模的扩大,网络中的广播报文越来越多,广播报文占用的网络资源越来越多,严重影响网络性能,这就是所谓的广播风暴问题。, 过去由于交换机的二层网络工作原理的限制,交换机对广播风暴的问题无能为力。 为了提高网络的效率,一般需要将通过路由器网络进
2、行分段:把一个大的广播域划分成几个小的广播域。, 图3.1中用路由器替换图3.2中的中心结点交换机,使得广播报文的发, 送范围大大减小。 这种方案解决了广播风暴的问题,但是用路由器是在网络层上分段将网络隔离,网络规划复杂,组网方式不灵活,并且大大增加了管理维护的难度。, 作为替代的LAN分段方法,虚拟局域网(VLAN)被引入到网络解决方案中来,用于解决大型的二层网络环境面临的问题。,3.1.1 VLAN的定义和特点, 虚拟局域网(Virtual Local Area Network,VLAN)逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个物理上实际的网络划分成多个小的逻辑的网络。 这
3、些小的逻辑的网络形成各自的广播域,也就是虚拟局域网VLAN。, VLAN与传统的LAN相比,具有以下优势。, 减少移动和改变的代价实现动态管理网络。 虚拟工作组使用VLAN的最终目标就是建立虚拟工作组模型。, 它的主要特点集中表现在以下几个方面。 提高带宽的利用率 增强通信的安全性 增强网络的健壮性 提高网络管理效率,3.1.2 VLAN工作原理, 交换机在网络当中处于第二层设备,主要功能就是数据帧的快速转发,交换机在转发数据时,不同于集线器,它主要依据内部的转发表项来转发数据帧,那么这个转发表就是MAC地址表,如图3.3所示。, 在上一章中已经详细说明了交换机的MAC地址表的形成过程。 划分
4、VLAN之后的交换机的数据转发流程发生了变化,因为此时交换机转发数据时参考的依据多了一项,即VID表如表3.1所示。, VID表包含了VLAN编号和端口号的对应关系,当交换机再进行转发数据帧的时候,它会优先检查目的MAC地址所对应的端口的VID号和数据源所对应的端口的VID是否一致,如果一致则进行数据转发,否则丢弃该数据帧。,3.1.3 IEEE 802.1Q协议, IEEE 802.1Q定义了以下内容。 VLAN的架构; VLAN中所提供的服务; VLAN实施中涉及的协议和算法,1802.1Q帧的格式, IEEE 802.1Q协议不仅规定VLAN中的MAC帧的格式,而且还制定诸如帧发送及校验
5、、回路检测,对业务质量(QoS)参数的支持以及对网管系统的支持等方面的标准。, 传统的以太网数据帧(见图3.4)在目的MAC地址和源MAC地址之后封装的是上层协议的类型字段。, 而IEEE 802.1Q协议规定在目的MAC地址和源MAC地址之后封装4个字节的VLAN标志(Tag),用以标识VLAN的相关信息,如图3.5所示。,2交换机端口类型, 支持802.1Q的交换机端口类型一般分为Accesss、Trunk,思科、华为以及H3C等厂商的交换机均是这样划分的,但对于其他厂商的交换机叫法不同,如D-LINK的交换机的端口类型称之为Untagged和Tagged,对于H3C的交换机它还增加了一个
6、新的端口类型Hybrid。,(1)Access, Access类型的端口只能属于一个VLAN,一般用于连接计算机的端口; Access接口接收到的数据帧都是untag报文,如果收到tag报文将自动丢弃;, Access接口向外发送的数据帧时,必须保证数据帧中不包含VLAN标签,即必须是untag报文; 在交换机初始状态所有端口的类型默认为Access。,(2)Trunk, Trunk类型的端口默认属于VLAN1,当Trunk端口所存在的本地交换机VID表中有多个VLAN时,那么Trunk端口也自动属于这些VLAN,并自动加入到VID表中,例如假设端口E1/0/1属性为Trunk时,其交换机VI
7、D表如表3.2所示。, Trunk类型的端口可以接收和发送VLAN1的untag报文。 Trunk类型的端口可以接收本地交换机VID表中存在的所有VLAN的tag报文,然后查找VID表向相应端口转发;当Trunk端口接收到含有本地交换机VID表不存在的VID标签的tag报文时将自动丢弃该数据帧。, Trunk类型的端口向外发送数据帧时,都是含有VID值的tag报文;当向外发送的tag帧VID值为1时,其自动将其变为untag报文。 Trunk类型的端口一般用于交换机之间连接的端口,两台交换机Trunk端口之间所连接的链路称之为802.1Q中继链路。, 由于思科高端交换机对中继链路封装格式有两种
8、标准分别是802.1Q(前面已经介绍不再重复)和ISL(Inter-Switch Link)思科所独有的标准。, ISL称之为交换机间链路,ISL所产生的tag报文是在每个untag帧的头部增加26字节信息VLAN标签,在帧尾部附加4字节CRC,因此ISL的tag报文中含有更多的域,但是它只支持1024个VLAN。, 大部分思科交换机只支持802.1Q,但也有的思科交换机支持ISL。 当网络中同时存在802.1Q的tag报文和ISL的tag报文时,这两种技术无法兼容,会造成内部网络VLAN的混乱。, 如果真的存在上述情况,唯一的解决方法就是通过路由器透明桥接实现兼容。, 对于negotiate
9、参数,属于默认模式会自动检测对端端口的封装格式; Switch(config-if)#switchport mode trunk “在接口模式下指定类型为trunk”。,(3)Hybrid, H3C独有的类型,功能上可以认为是Access和Trunk的混合体。, Hybrid类型的端口通过设置PVID参数来指定该端口属于哪一个VLAN,当Hybrid端口所存在的本地交换机VID表中有多个VLAN时,那么Hybrid端口不能自动但可以人为指定属于这些VLAN或者某几个VLAN,并将VID表专门分为了PVID表和VID表。, 例如假设端口E1/0/1属于Hybrid类型时,它的PVID值设为2,允
10、许该端口可以访问VLAN3、4,但不能访问VLAN5、6,其PVID表和VID表分别如表3.3和表3.4所示。, Hybrid端口接收untag报文时,首先查找PVID表读取本地端口所对应的PVID值,然后根据PVID值所对应的VID值,查找VID表来确定哪些端口可以访问,然后转发untag报文;接收到tag报文时,与Trunk端口处理方式一样。, Hybrid端口向外发送数据帧时,如果此前本地交换机收到的该帧为tag报文则发送tag报文,如果此前本地交换机收到的该帧为untag报文则发送untag报文。 Hybrid端口可以用于交换机之间连接,也可以用于连接用户的计算机。,3.2 VLAN的
11、分类及实现, 一般来说,按照VLAN技术的应用对象进行分类可以分为基于端口的VLAN、基于MAC的VLAN、基于协议的VLAN、基于IP的VLAN等。 对于基于端口的VLAN,又可以分为基于单台交换机的VLAN应用和跨交换机VLAN应用。,3.2.1 基于端口的VLAN,1基于单台交换机的VLAN应用 例如,在某一小型公司只有20个左右的网络用户,在这种情况下,一台24口的二层可网管交换机就可以满足用户的网络需求。, 但是,为了保障相关部门的独立性和安全行,我们需要将其按照部门划分VLAN,根据用户所连接的以太网交换机的端口来划分。, 假设我们将端口E1/0/1到E1/0/5分给财务部,将端口
12、E1/0/6到E1/0/10分给行政部,将端口E1/0/11到E1/0/20分给市场部,此时我们需要建立3个VLAN,分别是VLAN 2、3、4。, 这种划分的方法的优点是,定义VLAN成员时非常简单,只要将所有的端口都指定一下就可以了。 它的缺点是,如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。,(1)H3C设备的配置命令,第1步,创建VLAN并进入VLAN视图; 第2步,将指定端口加入到当前VLAN中。,(2)思科设备的配置命令,第1步,创建VLAN;第2步,将指定端口加入到当前VLAN中。,2公共端口的应用, 公共端口是指独立于其他VLAN的一
13、个接口(见图3.6),可以同时是被多个VLAN访问,但又不影响其他VLAN的访问控制功能。 公共端口技术常用于宽带路由器、打印服务器等网络公共资源的设置。,3跨交换机的VLAN应用, 跨交换机的VLAN(见图3.7)是指在多个交换机上分别设置VLAN参数,将不同的交换机通过Trunk接口级联在一起,在中继链路传输tag报文,从而实现相同VLAN的通信以及不同VLAN的访问控制功能。, 当同一VLAN的PCB与PCD通信时,其通信步骤如下。 第1步,PCB发出的untag报文进入交换机端口E1/0/2,交换机会根据VID表,发现可以向端口E1/0/24转发报文。, 第2步,当E1/0/24向外转
14、发报文时,由于其为Trunk属性且报文来自于VLAN20,则生成VID值为20的tag报文。 第3步,当带有VID值为20的tag报文进入另一台交换Trunk端口时,Trunk端口会读取tag报文的VID值,并查找本地交换机的VID表,向端口E1/0/2转发。, 第4步,当端口E1/0/2向外转发报文时,由于其属性为Access,则去除VLAN标志,向外发送untag报文。 第5步,当PCD收到untag报文时,会做出响应,发出untag的响应报文。 两台交换机VID表如表3.6所示。,3.2.2 GVRP, GVRP(GARP VLAN registration protocol)被称为通用
15、VLAN注册协议,专门用于解决多交换机中的VLAN信息不一致的问题。 其中GARP(通用属性注册协议)主要用于建立一种属性传递扩散的机制,以保证协议实体能够注册和注销该属性。, GARP作为一个属性注册协议的载体,可以用来传播属性。 将GARP报文的内容映射成不同的属性即可支持不同上层协议应用。, 手工配置的VLAN称为静态VLAN,通过GVRP创建的VLAN称为动态VLAN。 GVRP有3种注册模式,不同的模式对静态VLAN和动态VLAN的处理方式也不同。 GVRP的3种注册模式分别定义如下。, Normal模式 Fixed模式 Forbidden模式,(1)H3C设备的配置命令 (2)思科
16、设备的配置命令,3.2.3 VTP, VTP(VLAN中继协议)是一种消息协议,使用第二层帧,在全网的基础上管理VLAN的添加、删除和重命名,以实现VLAN配置的一致性。, VTP模式有以下3种模式。 服务器模式(Server 缺省) 客户机模式(Client) 透明模式(Transparent), 使用VTP时,加入VTP域的每台交换机在其中继端口上通告如下信息。 管理域; 配置版本号; 它所知道的VLAN; 每个已知VLAN的某些参数。,3.2.4 基于MAC地址的VLAN,1H3C交换机的配置 2思科交换机的配置,3.2.5 基于协议的VLAN,3.2.6 基于IP的VLAN,3.3 V
17、LAN的扩展技术,3.3.1 Isolate-user-vlan,3.3.2 Super VLAN,3.3.3 VLAN VPN,3.4 端口接入控制, 端口接入控制的主要目的是验证用户身份的合法性,以及在认证基础上对用户的网络访问行为进行授权和计费。 目前有多种方式实现端口接入控制,常见的接入控制技术有802.1x、MAC地址认证,当然对于互联网的访问控制技术还有以太网访问控制列表以及PORTAL认证。,3.4.1 802.1x,1H3C交换机802.1x的配置 2思科交换机802.1x的配置,3.4.2 MAC地址认证,3.4.3 Portal认证,3.5 镜像技术, 镜像就是将指定端口的
18、报文或者符合规则的报文复制到目的端口。 用户可以通过镜像技术,进行网络监管和故障排除。 它一般分为端口镜像和流镜像。,3.5.1 端口镜像, 源端口(或者叫被镜像端口)是被监控的端口,用户可以对通过该端口的报文进行监控和分析。 目的端口(或者叫镜像端口)为监控端口,该端口将接收到的报文转发到数据监测设备,以便对报文进行监控和分析。, 端口镜像的方向分为3种。, 入方向:仅对从源端口收到的报文进行镜像。 出方向:仅对从源端口发出的报文进行镜像。 双向:对从源端口收到和发出的报文都进行镜像。,1H3C交换机配置步骤 2思科交换机配置步骤,3.5.2 流镜像, 流镜像是指通过制定一定的规则,将符合规则的数据包复制到用户指定的目的地以进行网络检测和故障排除。 流镜像分为3种:流镜像到端口、流镜像到CPU、流镜像到VLAN。,
