網(wǎng)絡(luò)基礎(chǔ)知識(shí)培訓(xùn)

網(wǎng)絡(luò)基礎(chǔ)及新技術(shù)學(xué)習(xí)內(nèi)容提要1網(wǎng)絡(luò)基礎(chǔ)知識(shí)2常見網(wǎng)絡(luò)技術(shù)及應(yīng)用3103工程講解OSI參考模型OSIRM：開放系統(tǒng)互連參考模型（OpenSystemInterconnectionReferenceModel）網(wǎng)絡(luò)世界的通信證!保證不同應(yīng)用間的數(shù)據(jù)區(qū)分用戶接口數(shù)據(jù)表示加密等特殊處理過程TelnetHTTPASCIIEBCDICJPEGOperatingSystem/ApplicationAccessScheduling傳輸層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層物理層例子會(huì)話層表示層應(yīng)用層應(yīng)用層作用TCPUDPSPX802.3/802.2HDLCEIA/TIA-232

V.35IPIPX例子數(shù)據(jù)流層的作用傳輸層數(shù)據(jù)鏈路層物理層可靠或不可靠的數(shù)據(jù)傳輸數(shù)據(jù)重傳前的錯(cuò)誤糾正將比特組合成字節(jié)進(jìn)而組合成幀用MAC地址訪問介質(zhì)錯(cuò)誤發(fā)現(xiàn)但不能糾正設(shè)備間接收或發(fā)送比特流說明電壓、線速和線纜等網(wǎng)絡(luò)層提供路由器用來決定路徑的邏輯尋址傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層上層數(shù)據(jù)上層數(shù)據(jù)TCP頭數(shù)據(jù)IP頭數(shù)據(jù)LLC頭0101110101001000010數(shù)據(jù)MAC頭表示層應(yīng)用層會(huì)話層段包比特幀PDUFCSFCSOSI與網(wǎng)絡(luò)硬件的關(guān)系路由器和交換機(jī)上的內(nèi)容智能服務(wù)器的負(fù)載均衡和第四層交換機(jī)第三層交換機(jī)和路由器第二層交換機(jī)和集線器中繼器典型網(wǎng)絡(luò)模型賀歲大片——《網(wǎng)絡(luò)帝國(guó)》路由器（男主角）網(wǎng)絡(luò)中最重要的設(shè)備，提供最豐富的接口連接、軟件特性，也是構(gòu)建網(wǎng)絡(luò)的核心力量。以太網(wǎng)設(shè)備（L2/L3/LAN接入）（女主角）提供各種以太網(wǎng)接口類型的線速轉(zhuǎn)發(fā)功能，是構(gòu)建局域網(wǎng)和城域網(wǎng)的核心力量。路由交換設(shè)備（反串）提供LAN交換板的路由器；提供增強(qiáng)型引擎的交換機(jī)——路由器和交換機(jī)的融合趨勢(shì)越來越明顯。其他設(shè)備（配角）網(wǎng)管、安全、語音、視訊設(shè)備，提供網(wǎng)絡(luò)的管理或業(yè)務(wù)增值功能。二層或物理層交換設(shè)備（劇務(wù)）ATM交換機(jī)、FR、X.25交換機(jī)、DDN節(jié)點(diǎn)機(jī)、傳輸設(shè)備。對(duì)各種物理端口進(jìn)行帶寬或時(shí)隙的拆分。交換機(jī)每段有自己的沖突域廣播信息向所有段轉(zhuǎn)發(fā)MAC地址表轉(zhuǎn)發(fā)緩沖區(qū)交換路由器路由器的核心作用是實(shí)現(xiàn)網(wǎng)絡(luò)互連分組數(shù)據(jù)轉(zhuǎn)發(fā)路由（尋徑）：路由表建立、刷新、查找子網(wǎng)間的速率適配隔離網(wǎng)絡(luò)，防止網(wǎng)絡(luò)風(fēng)暴，指定訪問規(guī)則（防火墻）不同網(wǎng)段或者異種網(wǎng)絡(luò)互連WAN路由器工作流程IPETHPPP以太口串口IPETHPPP以太口串口協(xié)議封裝路由選擇協(xié)議轉(zhuǎn)換路由器路由器WAN傳送拆包LAN1LAN2接收發(fā)送工作過程運(yùn)營(yíng)級(jí)網(wǎng)絡(luò)的規(guī)劃流程設(shè)備選型物理連通IP連通路由規(guī)劃拓?fù)湟?guī)劃MPLS/VPN規(guī)劃QOS規(guī)劃板卡規(guī)劃IP地址規(guī)劃業(yè)務(wù)隔離及關(guān)鍵業(yè)務(wù)確保帶寬及流量控制網(wǎng)絡(luò)安全部署網(wǎng)管規(guī)劃可運(yùn)營(yíng)可管理的安全網(wǎng)絡(luò)策略路由高級(jí)路由協(xié)議規(guī)劃網(wǎng)絡(luò)的層次劃分核心層交換數(shù)據(jù)包，實(shí)現(xiàn)高速的數(shù)據(jù)流量運(yùn)轉(zhuǎn)，核心層的設(shè)備不但需要容量大，轉(zhuǎn)發(fā)快，而且需要具備高穩(wěn)定性。但通常對(duì)業(yè)務(wù)的需求高。匯聚層隔離拓樸結(jié)構(gòu)變化、控制路由表的大小及控制流量、端口的收斂。實(shí)現(xiàn)豐富的業(yè)務(wù)特性。接入層將終端用戶接入到網(wǎng)絡(luò)中，大量的端口，強(qiáng)大的接入能力。實(shí)現(xiàn)豐富的業(yè)務(wù)特性。幾點(diǎn)說明在小型的網(wǎng)絡(luò)中，層次不一定這么明顯，很可能只有兩個(gè)甚至一個(gè)層次的設(shè)備。在一些大型網(wǎng)絡(luò)中，層次可能劃分的更細(xì)：例如，增加了邊緣接入層、和骨干核心層。在某個(gè)范圍之內(nèi)的核心層，在上一級(jí)網(wǎng)絡(luò)中很可能只是匯聚層。舉例：黑龍江省國(guó)家稅務(wù)局網(wǎng)絡(luò)內(nèi)容提要1網(wǎng)絡(luò)基礎(chǔ)知識(shí)2常見網(wǎng)絡(luò)技術(shù)及應(yīng)用3103工程講解以太網(wǎng)技術(shù)的發(fā)展趨勢(shì)企業(yè)以太網(wǎng)城域以太網(wǎng)Stackwise/IRFMSTPWLANVoiceVLANIDS聯(lián)動(dòng)可信準(zhǔn)入

鏈路聚合MPLSVPNQinQMulti-VRF10GRPR/DPTIPV6千兆接入三層到桌面EPONMPLS-TP/MacinMacPOE100G以太網(wǎng)虛擬交換機(jī)內(nèi)容提要1Vlan、VoiceVlan、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻擊、DDOS攻擊7OSPF協(xié)議簡(jiǎn)介VLAN發(fā)展----起源L2L2L2L2L2廣播域廣播報(bào)文VLAN發(fā)展----起源L2L2L2L2L2廣播域廣播報(bào)文使用路由器隔離廣播域，減少廣播報(bào)文對(duì)網(wǎng)絡(luò)的影響L2L2L2L2L2廣播報(bào)文VLAN2VLAN3VLAN4一個(gè)VLAN，一個(gè)廣播域VLAN發(fā)展----起源VLAN的引入，為解決廣播報(bào)文的泛濫提供了新的方法限制廣播域，抑制廣播報(bào)文隔離用戶，保證網(wǎng)絡(luò)安全虛擬工作組，超越傳統(tǒng)網(wǎng)絡(luò)的工作組方式VLAN發(fā)展----劃分方法基于MAC地址基于交換機(jī)端口基于協(xié)議基于IP子網(wǎng)VLAN與二層交換----鏈路類型干道鏈路接入鏈路跨越交換機(jī)的VLAN報(bào)文轉(zhuǎn)發(fā)Trunk端口Trunk端口Access端口Access端口VLAN與二層交換---標(biāo)簽化的報(bào)文VLAN10VLAN10VLAN20VLAN20VLAN20標(biāo)簽報(bào)文VLAN10標(biāo)簽報(bào)文無標(biāo)簽報(bào)文VLAN與二層交換----交換規(guī)則主機(jī)和交換機(jī)之間傳送的是untagged報(bào)文交換機(jī)之間用干道鏈路（Trunk）連接交換機(jī)用Tag來標(biāo)識(shí)報(bào)文所屬的VLAN干道鏈路上傳輸?shù)氖荰aggedFrame不同VLAN之間在二層不能相互通訊VLAN發(fā)展----VLAN與三層路由不同VLAN之間是隔離一個(gè)VLAN原則上對(duì)應(yīng)一個(gè)IP子網(wǎng)（PVLAN，VLAN聚合除外）VLAN之間互通需要三層路由VLAN與三層路由----三層交換機(jī)+=每一個(gè)VLAN對(duì)應(yīng)一個(gè)IP網(wǎng)段，在二層上，VLAN之間是隔離的。不同的IP網(wǎng)段之間的訪問要跨越VLAN，可以使用三層轉(zhuǎn)發(fā)引擎提供的VLAN間路由功能。三層轉(zhuǎn)發(fā)引擎就相當(dāng)于傳統(tǒng)路由器的路由功能，當(dāng)VLAN之間相互通信時(shí)也要，需要在三層交換引擎上分配一個(gè)路由虛接口，三層交換機(jī)上的路由虛接口與路由器的接口不同，不特定于某個(gè)物理端口。在三層交換機(jī)上為VLAN指定路由虛接口的操作就是為VLAN指定一個(gè)IP地址、子網(wǎng)掩碼和MAC地址，MAC地址是由設(shè)備制造過程中分配的，在配置過程中由交換機(jī)自動(dòng)配置。+VLANVLAN應(yīng)用——PVLAN

PVLAN：PrimaryVLAN，即私有VLAN優(yōu)點(diǎn)：節(jié)約交換機(jī)VLAN的使用數(shù)量特點(diǎn)：PVLAN是個(gè)純二層的概念，在單個(gè)交換機(jī)上配置的VLAN對(duì)于其他交換機(jī)是不可見的,不能與Trunk同時(shí)使用PVLAN-實(shí)現(xiàn)原理

使用兩層VLAN隔離的方法，只有上層VLAN全局可見，相當(dāng)于在一個(gè)VLAN內(nèi)實(shí)現(xiàn)用戶隔離，達(dá)到端口隔離的效果VLAN應(yīng)用——VLAN聚合

VLANAggregation：RFC3069——SuperVLAN，SubVLAN概念：在一個(gè)物理網(wǎng)絡(luò)內(nèi)，用VLAN隔離廣播域，不同的VLAN屬于同一個(gè)子網(wǎng)。優(yōu)點(diǎn)：節(jié)約大量的IP地址：子網(wǎng)地址、廣播地址、網(wǎng)關(guān)地址，擴(kuò)展容易VLAN聚合--工作原理

正常情況下，一個(gè)VLAN對(duì)應(yīng)一個(gè)IP子網(wǎng)

VLAN聚合中，SuperVLAN對(duì)應(yīng)的路由虛接口，作為所有其SubVLAN包含的端口下掛的主機(jī)的網(wǎng)關(guān)地址。不同SubVLAN下的主機(jī)是不能互通的，如果互通，需要在SuperVLAN上配置ARPProxy。241Subvlan3Subvlan2Subvlan43SuperVLAN1路由接口/24LanSwitchIP地址：/24網(wǎng)關(guān)：IP地址：/24網(wǎng)關(guān)：VoiceVLAN背景隨著語音技術(shù)的日益發(fā)展，IP電話、IAD（IntegratedAccessDevice，綜合接入設(shè)備）應(yīng)用越來越廣泛，尤其在寬帶小區(qū)，網(wǎng)絡(luò)中經(jīng)常同時(shí)存在語音數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)兩種流量。語音數(shù)據(jù)在傳輸時(shí)需要具有比業(yè)務(wù)數(shù)據(jù)更高的優(yōu)先級(jí)，以減少傳輸過程中可能產(chǎn)生的時(shí)延和丟包現(xiàn)象。提高語音數(shù)據(jù)傳輸優(yōu)先級(jí)的傳統(tǒng)處理方法是使用ACL對(duì)語音數(shù)據(jù)進(jìn)行區(qū)分，并使用QoS保證傳輸質(zhì)量。為簡(jiǎn)化用戶配置、更方便的管理語音流的傳輸策略，交換機(jī)提供了VoiceVLAN功能。VoiceVLAN的主要特點(diǎn)就是可以通過報(bào)文的源MAC地址自動(dòng)識(shí)別出語音流量，并將語音流量分發(fā)到特定的VLAN（VoiceVLAN）中傳輸。VoiceVLAN技術(shù)優(yōu)勢(shì)相對(duì)于使用ACL/QoS來區(qū)分語音流的方法，VoiceVLAN對(duì)語音流的管理具有以下一些優(yōu)勢(shì)：配置簡(jiǎn)單：用戶只需要在全局和端口下進(jìn)行簡(jiǎn)單的配置，開啟VoiceVLAN功能，即可對(duì)語音數(shù)據(jù)進(jìn)行分類處理，而不需要配置復(fù)雜的二層ACL和QoS，也不必關(guān)心各規(guī)則的匹配順序以及下發(fā)至端口造成的其他問題。便于維護(hù)：用戶可以在全局配置對(duì)語音數(shù)據(jù)的匹配規(guī)則（VoiceVLANOUI地址）進(jìn)行修改，在新增IP語音設(shè)備的情況下，各端口能夠迅速根據(jù)更新的匹配規(guī)則識(shí)別語音流，用戶不需要配置新的二層ACL和QoS策略。實(shí)現(xiàn)靈活：相對(duì)于ACL/QoS的純手工靜態(tài)配置，VoiceVLAN功能在全局提供了安全/普通兩種模式，端口上又可以分為自動(dòng)/手動(dòng)模式，實(shí)現(xiàn)更為靈活，用戶可以根據(jù)自己需要進(jìn)行組合，最大限度滿足用戶的需求。VoiceVLAN組網(wǎng)應(yīng)用內(nèi)容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻擊、DDOS攻擊7OSPF協(xié)議簡(jiǎn)介VRRP工作原理VRRP負(fù)載和網(wǎng)絡(luò)流量均衡內(nèi)容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻擊、DDOS攻擊7OSPF協(xié)議簡(jiǎn)介802.1X的背景和概念

--傳統(tǒng)局域網(wǎng)的缺陷安全性問題：1.用戶只要能接入局域網(wǎng)設(shè)備,就可以訪問網(wǎng)中的設(shè)備或資源;2.WLAN的安全性問題更顯得突出;運(yùn)營(yíng)管理問題：1.IEEE802LAN協(xié)議定義的局域網(wǎng)不提供接入認(rèn)證;2.對(duì)于電信接入、寫字樓、移動(dòng)辦公等應(yīng)用需要對(duì)用戶的接入進(jìn)行認(rèn)證、計(jì)費(fèi)和配置；802.1X簡(jiǎn)介

802.1X協(xié)議是IEEE在2001.6通過的正式標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的起草者包括Microsoft，Cisco，Extreme，Nortel等802.1X協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1X對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1X只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。802.1X工作過程802.1X特點(diǎn)基于以太網(wǎng)端口認(rèn)證的802.1x協(xié)議有如下特點(diǎn)：IEEE802.1X協(xié)議為二層協(xié)議，不需要到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在RAS系統(tǒng)中常用的EAP（擴(kuò)展認(rèn)證協(xié)議），可以提供良好的擴(kuò)展性和適應(yīng)性，實(shí)現(xiàn)對(duì)傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容；802.1X的認(rèn)證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶的認(rèn)證與控制，業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過可控端口進(jìn)行交換，通過認(rèn)證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包；可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；可以映射不同的用戶認(rèn)證等級(jí)到不同的VLAN；可以使交換端口和無線LAN具有安全的認(rèn)證接入功能。

802.1X與其他認(rèn)證方式的簡(jiǎn)單比較

802.1XPPPoEWeb認(rèn)證是否需要安裝客戶端軟件

是是否

XP不需要業(yè)務(wù)報(bào)文效率高低，有封裝開銷高組播支持能力好低，對(duì)設(shè)備要求高好有線網(wǎng)上的安全性擴(kuò)展后可用可用可用

設(shè)備端的要求低高較高處理流程清晰清晰較復(fù)雜802.1X認(rèn)證的優(yōu)勢(shì)簡(jiǎn)潔高效：純以太網(wǎng)技術(shù)內(nèi)核，保持了IP網(wǎng)絡(luò)無連接特性，不需要進(jìn)行協(xié)議間的多層封裝，去除了不必要的開銷和冗余；消除網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障，易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。

容易實(shí)現(xiàn)：可在普通L3、L2、IPDSLAM上實(shí)現(xiàn)，網(wǎng)絡(luò)綜合造價(jià)成本低，保留了傳統(tǒng)AAA認(rèn)證的網(wǎng)絡(luò)架構(gòu)，可以利用現(xiàn)有的RADIUS設(shè)備。

安全可靠：在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，結(jié)合MAC、端口、賬戶、VLAN和密碼等；綁定技術(shù)具有很高的安全性，在無線局域網(wǎng)網(wǎng)絡(luò)環(huán)境中802.1x結(jié)合EAP－TLS，EAP－TTLS,可以實(shí)現(xiàn)對(duì)WEP證書密鑰的動(dòng)態(tài)分配，克服無線局域網(wǎng)接入中的安全漏洞。

行業(yè)標(biāo)準(zhǔn)：IEEE標(biāo)準(zhǔn)，和以太網(wǎng)標(biāo)準(zhǔn)同源，可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備，包括路由器、交換機(jī)和無線AP上都提供對(duì)該協(xié)議的支持。在客戶端方面微軟WindowsXP操作系統(tǒng)內(nèi)置支持，Linux也提供了對(duì)該協(xié)議的支持。

應(yīng)用靈活：可以靈活控制認(rèn)證的顆粒度，用于對(duì)單個(gè)用戶連接、用戶ID或者是對(duì)接入設(shè)備進(jìn)行認(rèn)證，認(rèn)證的層次可以進(jìn)行靈活的組合，滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。

易于運(yùn)營(yíng)：控制流和業(yè)務(wù)流完全分離，易于實(shí)現(xiàn)跨平臺(tái)多業(yè)務(wù)運(yùn)營(yíng)，少量改造傳統(tǒng)包月制等單一收費(fèi)制網(wǎng)絡(luò)即可升級(jí)成運(yùn)營(yíng)級(jí)網(wǎng)絡(luò)，而且網(wǎng)絡(luò)的運(yùn)營(yíng)成本也有望降低。

802.1X在大中型網(wǎng)絡(luò)中的應(yīng)用模式AAA/DHCP/DNS支持802.1X設(shè)備端支持802.1X設(shè)備端802.1X客戶端802.1X認(rèn)證服務(wù)器802.1X客戶端內(nèi)容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻擊、DDOS攻擊7OSPF協(xié)議簡(jiǎn)介訪問控制列表（AccessControlList，ACL）ACL簡(jiǎn)介： 訪問控制列表（AccessControlList，ACL）是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪問進(jìn)行控制。

ACL具體的執(zhí)行流程：數(shù)據(jù)包只有在跟第一個(gè)判斷條件不匹配時(shí)，它才被交給ACL中的下一個(gè)條件判斷語句進(jìn)行比較。如果匹配（假設(shè)為允許發(fā)送），則不管是第一條還是最后一條語句，數(shù)據(jù)都會(huì)立即發(fā)送到目的接口。如果所有的ACL判斷語句都檢測(cè)完畢，仍沒有匹配的語句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。

注意：一個(gè)端口執(zhí)行哪條ACL，這需要按照列表中的條件語句執(zhí)行順序來判斷。如果一個(gè)數(shù)據(jù)包的報(bào)頭跟表中某個(gè)條件判斷語句相匹配，那么后面的語句就將被忽略，不再進(jìn)行檢查。ACL作用1.ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)。

2.ACL提供對(duì)通信流量的控制手段。例如，ACL可以限定或簡(jiǎn)化路由更新信息的長(zhǎng)度，從而限制通過路由器某一網(wǎng)段的通信流量。

3.ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL允許主機(jī)A訪問人力資源網(wǎng)絡(luò)，而拒絕主機(jī)B訪問。

4.

ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。某部門要求只能使用WWW這個(gè)功能，就可以通過ACL實(shí)現(xiàn)；又例如，為了某部門的保密性，不允許其訪問外網(wǎng)，也不允許外網(wǎng)訪問它，就可以通過ACL實(shí)現(xiàn)。

這里要注意，ACL不能對(duì)本路由器產(chǎn)生的數(shù)據(jù)包進(jìn)行控制。ACL分類目前有兩種主要的ACL:標(biāo)準(zhǔn)（standard）ACL和擴(kuò)展（extended）ACL標(biāo)準(zhǔn)的ACL使用1~99

以及1300~1999之間的數(shù)字作為表號(hào)擴(kuò)展的ACL使用100~199以及2000~2699之間的數(shù)字作為表號(hào)

標(biāo)準(zhǔn)ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。

擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍。例如，網(wǎng)絡(luò)管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他可以使用擴(kuò)展ACL來達(dá)到目的，標(biāo)準(zhǔn)ACL不能控制這么精確。從IOS12.0開始，思科（CISCO）路由器新增加了一種基于時(shí)間的訪問列表。通過它，可以根據(jù)一天中的不同時(shí)間，或者根據(jù)一星期中的不同日期，或二者相結(jié)合來控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。

內(nèi)容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻擊、DDOS攻擊7OSPF協(xié)議簡(jiǎn)介QOS簡(jiǎn)介什么叫QOSQoS（QualityofService），又稱服務(wù)質(zhì)量，是指為使用戶在吞吐量、延遲抖動(dòng)、延遲，丟包率等方面獲得預(yù)期服務(wù)水平所采取的一系列技術(shù)的集合。更簡(jiǎn)單地說：QoS就是針對(duì)各種不同需求，提供不同服務(wù)質(zhì)量的網(wǎng)絡(luò)服務(wù)。現(xiàn)狀傳統(tǒng)IP網(wǎng)采用了FIFO，對(duì)報(bào)文的吞吐量、延遲、延遲抖動(dòng)、丟包率等都不能預(yù)期，可能很好，也可能極差，一切都要視網(wǎng)絡(luò)狀況而定。QOS模型QoS的實(shí)現(xiàn)模型主要有集成服務(wù)模型（IntegratedService）和差別服務(wù)模型（DifferentiatedService）。集成服務(wù)模型是端到端的基于流的QoS技術(shù)，它通過信令向網(wǎng)絡(luò)申請(qǐng)?zhí)囟ǖ腝oS服務(wù)，網(wǎng)絡(luò)在流量參數(shù)描述的范圍內(nèi)，預(yù)留資源以承諾滿足該請(qǐng)求。差別服務(wù)模型是一種基于類的QoS技術(shù)，它在網(wǎng)絡(luò)邊界將數(shù)據(jù)流按QoS要求進(jìn)行簡(jiǎn)單分類，并根據(jù)業(yè)務(wù)的不同服務(wù)等級(jí)約定，有差別地進(jìn)行流量控制和轉(zhuǎn)發(fā)來解決擁塞問題。QoS（QualityofService）QoS概念： QoS是一種控制機(jī)制，它提供了針對(duì)不同用戶或者不同數(shù)據(jù)流才用相應(yīng)不同的優(yōu)先級(jí)，或者是根據(jù)應(yīng)用程序的要求，保證數(shù)據(jù)流的性能達(dá)到一定的水準(zhǔn)。QoS的保證對(duì)于容量有限的網(wǎng)絡(luò)來說是十分重要的，特別是對(duì)于串流多媒體應(yīng)用，例如VoIP和IPTV等，因?yàn)檫@些應(yīng)用常常需要固定的傳輸率，對(duì)延時(shí)也比較敏感。

內(nèi)容提要1Vlan、VoiceVlan、QinQ、PVlan等3VRRP4802.1x5ACL2IPv66QoS7ARP攻擊、DDOS攻擊8OSPF協(xié)議簡(jiǎn)介ARP協(xié)議介紹

ARP——AddressResolutionProtocol地址解釋協(xié)議，RFC826為IP地址到MAC地址提供動(dòng)態(tài)映射，定位到目的IP的對(duì)應(yīng)MAC才能實(shí)現(xiàn)數(shù)據(jù)交換以太網(wǎng)目的地址以太網(wǎng)源地址幀類型硬件地址協(xié)議類型硬件地址長(zhǎng)度協(xié)議地址長(zhǎng)度OP發(fā)送端以太網(wǎng)地址目的以太網(wǎng)地址發(fā)送端IP地址目的IP地址662222116644以太網(wǎng)首部28字節(jié)ARP請(qǐng)求/應(yīng)答誰是？告訴我MAC地址

的MAC地址是AARP請(qǐng)求ARP應(yīng)答免費(fèi)ARP

的MAC地址是CMACAMACBMACCMACDARP欺騙攻擊—仿冒網(wǎng)關(guān)攻擊者發(fā)送偽造的網(wǎng)關(guān)ARP報(bào)文，可廣播給同網(wǎng)段內(nèi)的所有其他主機(jī)主機(jī)訪問網(wǎng)關(guān)的流量，被重定向到錯(cuò)誤的MAC地址，無法正常訪問外網(wǎng)是最常見的ARP攻擊方式，導(dǎo)致網(wǎng)絡(luò)癱瘓，甚至數(shù)據(jù)被竊取用戶A的ARP表項(xiàng)IPAddressMACTypeGDynamicBDynamicBDynamic目的MAC源MAC目的IP源IP5-5-5A用戶A的上網(wǎng)流量被錯(cuò)誤的發(fā)送到攻擊者B攻擊者BIP：MAC：B用戶AIP：MAC：A網(wǎng)關(guān)GIP：MAC：G

的MAC地址是BARP欺騙攻擊—欺騙網(wǎng)關(guān)攻擊者偽造虛假的用戶ARP報(bào)文，發(fā)給網(wǎng)關(guān)網(wǎng)關(guān)發(fā)給該用戶的數(shù)據(jù)重定向到錯(cuò)誤的MAC地址，該用戶收不到網(wǎng)關(guān)返回的數(shù)據(jù)而無法正常訪問外網(wǎng)目的MAC源MAC目的IP源IP5-5-5G網(wǎng)關(guān)發(fā)給用戶A的流量被錯(cuò)誤的發(fā)送到攻擊者B攻擊者BIP：MAC：B用戶AIP：MAC：A網(wǎng)關(guān)GIP：MAC：G網(wǎng)關(guān)的ARP表項(xiàng)IPAddressMACTypeADynamicBDynamicBDynamic

的MAC地址是BARP欺騙攻擊—欺騙終端用戶攻擊者偽造虛假的用戶ARP報(bào)文，發(fā)送給網(wǎng)段內(nèi)的其他主機(jī)網(wǎng)段內(nèi)的其他主機(jī)發(fā)給該用戶的數(shù)據(jù)被重定向到錯(cuò)誤的MAC地址，該用戶與其他主機(jī)無法互訪目的MAC源MAC目的IP源IP5-5-5A網(wǎng)關(guān)發(fā)給用戶A的流量被錯(cuò)誤的發(fā)送到攻擊者B攻擊者BIP：MAC：B用戶AIP：MAC：A網(wǎng)關(guān)GIP：MAC：G用戶CIP：MAC：C用戶A的ARP表項(xiàng)IPAddressMACTypeGDynamicBDynamicCDynamicBDynamic

的MAC地址是BARP泛洪攻擊攻擊者偽造大量不同ARP報(bào)文在網(wǎng)段內(nèi)進(jìn)行廣播導(dǎo)致網(wǎng)關(guān)ARP表項(xiàng)被占滿，無法正常學(xué)習(xí)合法用戶的ARP，網(wǎng)絡(luò)癱瘓大量廣播報(bào)文消耗交換機(jī)和網(wǎng)絡(luò)資源，網(wǎng)絡(luò)明顯變慢大量的ARP廣播報(bào)文攻擊者BIP：MAC：B用戶AIP：MAC：A網(wǎng)關(guān)GIP：MAC：GARP廣播報(bào)文對(duì)應(yīng)的MAC是A無法學(xué)習(xí)！網(wǎng)關(guān)的ARP表項(xiàng)(存在大量虛假ARP)IPAddressMACType0-0-1Dynamic0-0-2Dynamic0-0-3Dynamic0-0-4Dynamic……DynamicARP攻擊防御的三個(gè)控制點(diǎn)網(wǎng)關(guān)G用戶接入設(shè)備網(wǎng)關(guān)防御合法ARP綁定，防御網(wǎng)關(guān)被欺騙

VLAN內(nèi)的ARP學(xué)習(xí)數(shù)量限制，防御ARP泛洪攻擊1接入設(shè)備防御將合法網(wǎng)關(guān)IP-MAC進(jìn)行綁定，防御仿冒網(wǎng)關(guān)攻擊

ARP入侵檢測(cè)

ARP限速，防止大流量ARP報(bào)文沖擊網(wǎng)絡(luò)綁定用戶的靜態(tài)MAC2客戶端防御合法網(wǎng)關(guān)ARP綁定，防止網(wǎng)關(guān)仿冒攻擊綁定該主機(jī)的合法IP-MAC，過濾掉所有非法ARP報(bào)文ARP限速3根據(jù)前述ARP攻擊原理，解決ARP欺騙攻擊有以下三個(gè)控制點(diǎn)：ARP攻擊防御總結(jié)部署方式預(yù)防類型實(shí)現(xiàn)方式部署位置部署要求A：ARP限速4限制端口下ARP報(bào)文速率，避免大量虛假ARP占用網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)設(shè)備CPU負(fù)載過重接入交換機(jī)支持ARP限速特性B：DHCP監(jiān)控1，2，3，4監(jiān)控DHCP過程，自動(dòng)建立綁定表項(xiàng)，通過ARPDetection防止虛假ARP在網(wǎng)絡(luò)中傳播接入交換機(jī)支持DHCP監(jiān)控模式特性C：1x認(rèn)證監(jiān)控1，2，3，4監(jiān)控1x認(rèn)證過程，自動(dòng)建立綁定表項(xiàng)，通過ARPDetection防止虛假ARP在網(wǎng)絡(luò)中傳播接入交換機(jī)支持1x認(rèn)證監(jiān)控模式D：手工靜態(tài)綁定1，2，3，4對(duì)不采用DHCP、1x認(rèn)證的端口，手工配置ARPDectection綁定表項(xiàng)接入交換機(jī)支持手工靜態(tài)綁定特性E：普通認(rèn)證方式1，4認(rèn)證服務(wù)器向接入終端下發(fā)對(duì)應(yīng)網(wǎng)關(guān)的IP-MAC綁定，終端PC生成靜態(tài)表項(xiàng)；可進(jìn)行終端ARP流量檢測(cè)，超過閾值自動(dòng)下線認(rèn)證服務(wù)器、接入客戶端配置網(wǎng)關(guān)的IP-MAC綁定列表，接入終端支持ARPF：簡(jiǎn)單網(wǎng)關(guān)綁定1接入終端若發(fā)送帶有網(wǎng)關(guān)IP的ARP報(bào)文，進(jìn)行丟棄接入交換機(jī)支持簡(jiǎn)單網(wǎng)關(guān)綁定特性G：ARP一致性檢查2，4檢查ARP報(bào)文的源MAC與以太頭中的源MAC是否一致，不一致則不學(xué)習(xí)和更新ARP表項(xiàng)網(wǎng)關(guān)支持ARP一致性檢查特性預(yù)防類型：1.仿冒網(wǎng)關(guān)2.欺騙網(wǎng)關(guān)3.欺騙終端用戶4.ARP泛洪內(nèi)容提要1Vlan、VoiceVlan、QinQ、PVlan等3VRRP4802.1x5ACL2IPv66QoS7ARP攻擊、DDOS攻擊8OSPF協(xié)議簡(jiǎn)介OSPF簡(jiǎn)介OSPF（OpenShortestPathFirst，開放最短路徑優(yōu)先協(xié)議）是一種基于鏈路狀態(tài)路由選擇算法的內(nèi)部網(wǎng)關(guān)路由協(xié)議。OSPF的版本有OSPFv1、OSPFv2和OSPFv3，前兩者用于IPv4，OSPFv3用于IPv6。OSPF的功能比RIP強(qiáng)大的多，適用于比較大型的網(wǎng)絡(luò)，但也很復(fù)雜。OSPF的發(fā)展歷史1989年的RFC1131是描述OSPF的第1個(gè)IETF標(biāo)準(zhǔn)，這個(gè)版本被稱為OSPFv1。

1998年形成了OSPFv2的最終標(biāo)準(zhǔn)RFC2328。

IETF在1999年12月發(fā)布了基于IPv6的OSPF路由協(xié)議標(biāo)準(zhǔn)——RFC2740，被稱為OSPFv3。

OSPF的基本思想每個(gè)OSPF路由器都維護(hù)一個(gè)用于跟蹤網(wǎng)絡(luò)狀態(tài)的鏈路狀態(tài)數(shù)據(jù)庫（LSDB），各路由器通過鏈路狀態(tài)信息的交換實(shí)現(xiàn)LSDB的一致。

OPSF基于Dijkstra算法和自治系統(tǒng)中路由器的鏈路狀態(tài)進(jìn)行路由計(jì)算，得到最短路徑。OSPF的特點(diǎn)基于鏈路狀態(tài)路由算法支持多種度量方法收斂速度快劃分3個(gè)區(qū)域的自治系統(tǒng)OSPF區(qū)域劃分區(qū)域劃分的目的降低LSDB的大小。減少LSA交互的數(shù)量。減輕路由計(jì)算量。區(qū)域的分類主干域（0域）普通域（非0域）虛連接區(qū)域劃分中的注意事項(xiàng)不同區(qū)域的LSDB是不一樣的；某個(gè)區(qū)域的詳細(xì)拓?fù)浣Y(jié)構(gòu)對(duì)其他區(qū)域來說是不可見的；區(qū)域邊界路由器可以同時(shí)屬于多個(gè)域，其中肯定有主干域。OSPF路由器分類區(qū)域內(nèi)部路由器（InternalRouter，IR）區(qū)域邊界路由器（AreaBorderRouter，ABR）主干路由器

（BackboneRouter，BR）

自治系統(tǒng)邊界路由器

（ASBoundaryRouter，ASBR）

OSPF路由器分類

OSPF路由選擇分類

域內(nèi)路由域間路由自治系統(tǒng)外部路由

域內(nèi)路由

OSPF路由選擇分類

域間路由

OSPF路由選擇分類

OSPF數(shù)據(jù)包簡(jiǎn)介近鄰關(guān)系的建立過程有時(shí)也被稱為交換協(xié)議。一般來講，在點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)、虛擬鏈路網(wǎng)絡(luò)和點(diǎn)對(duì)多點(diǎn)網(wǎng)絡(luò)中，鄰居之間都可以建立近鄰關(guān)系；而在廣播網(wǎng)絡(luò)和NBMA網(wǎng)絡(luò)中，只有DR（BDR）和鄰居之間才能建立近鄰關(guān)系。鄰居之間建立近鄰關(guān)系的過程，就是它們進(jìn)行鏈路狀態(tài)數(shù)據(jù)庫LSDB的交互，并最終實(shí)現(xiàn)LSDB同步的過程。四種數(shù)據(jù)包

數(shù)據(jù)庫描述DD（DatabaseDescription）包鏈路狀態(tài)請(qǐng)求LSR（LinkStateRequest）包鏈路狀態(tài)更新LSU（LinkStateUpdate）包鏈路狀態(tài)確認(rèn)LSAck（LinkStateAcknowledge）包

內(nèi)容提要1網(wǎng)絡(luò)基礎(chǔ)知識(shí)2常見網(wǎng)絡(luò)技術(shù)及應(yīng)用3103工程講解103工程背景

金稅三期工程的總體規(guī)劃，本次工程廣域網(wǎng)是一個(gè)覆蓋總部、省局、地市、區(qū)縣和稅務(wù)分局（所）等各級(jí)國(guó)、地稅稅務(wù)機(jī)關(guān)的綜合性通信平臺(tái)。主要用于承載稅務(wù)系統(tǒng)各類業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)其他應(yīng)用兩大類業(yè)務(wù)，服務(wù)對(duì)象涉及全國(guó)以及稅務(wù)系統(tǒng)內(nèi)部工作人員。103工程建設(shè)要求建設(shè)要求103工程實(shí)施目標(biāo)103工程網(wǎng)絡(luò)拓?fù)?03工程設(shè)備介紹-SR6608H3CSR6608路由器在本次工程中用于各個(gè)市局節(jié)點(diǎn)的路由器，根據(jù)行政區(qū)劃，和設(shè)備辦卡的不同，分為RT5路由器和RT6路由器，2-1包共計(jì)使用了226臺(tái)該型號(hào)路由器（一般1個(gè)地市安裝1-2臺(tái)路由器）103工程設(shè)備介紹-MSR5040H3CSR5040路由器在本次工程中用于各個(gè)縣局節(jié)點(diǎn)的路由器，根據(jù)行政區(qū)劃，做為RT7A路由器，2-1包共計(jì)使用了20臺(tái)該型號(hào)路由器（一般1個(gè)區(qū)縣安裝1-2臺(tái)路由器）103工程設(shè)備介紹-MSR3020H3CSR3020路由器在本次工程中用于各個(gè)縣局節(jié)點(diǎn)的路由器，根據(jù)行政區(qū)劃，作為RT7B路由器，2-1包共計(jì)使用了920臺(tái)該型號(hào)路由器（一般1個(gè)區(qū)縣局安裝1-2臺(tái)路由器）103工程設(shè)備介紹-MSR3010H3CMSR3010路由器在本次工程中用于各個(gè)稅務(wù)所級(jí)節(jié)點(diǎn)的路由器，根據(jù)行政區(qū)劃，作為RT8路由器，2-1包共計(jì)使用了423臺(tái)該型號(hào)路由器（一般1個(gè)稅