目錄
校園網絡規劃
接入層裝置
二層交換裝置和三層的差別:
彙聚層交換機
核心層交換機
出口路由
總結:
IP位址規劃
接入認證與計費
AAA認證系統-radius伺服器
PAP和CHAP認證方式的差別、安全性高低
PAP二次封包互動
CHAP三次握手
PAP的認證方式安全性沒有CHAP高
總結Portal認證(WEB認證)和802.1x認證的差別
總結
校園網絡規劃
校園網建設特點:
1. 使用者數量大、節點多;
2. 終端類型多樣;
3. 多個校區互聯;
4. 流量分布不均、内容多樣;
5. 安全、計費需求;
6. 應用需求
校園網應用主要考慮:
- 合理的規劃(裝置、IP)
- 便捷的網絡管理和計費
- 良好的安全性
- 豐富的服務(郵件、首頁)
校園網絡規劃中裝置如何選擇?:業内公認的網絡三層設計架構,詳細參考:搞懂三層網絡結構(接入層、彙聚層和核心層)就是介麼簡單!
接入層裝置
接入層:接入層目的是允許終端使用者連接配接到網絡,是以接入層交換機具有低成本和高端口密度特性。
接入層提供足夠的帶寬解決相鄰使用者互訪需求,還有使用者管理與使用者資訊收集職能。
通常選擇二層或者三層交換裝置。
二層交換裝置和三層的差別:
二層交換機工作在OSI模型資料鍊路層,通常隻有交換功能(通過MAC表),沒有路由轉發功能。不允許不同VLAN互通。價格較低,通常作為接入裝置,具有較多接口:WS-C2960-48TL-C、WS-C2960-TL-C等
三層交換裝置工作在2、3層,具有交換、路由轉發功能,可以作為接入裝置,也可以作為彙聚層裝置:WS-C3750-48TS-E
如何通過二層和三層裝置配置VLAN(接入層)
- 在S2950二層裝置劃分VLAN,之後此二次交換機的資料都帶tag
- 設定連接配接兩個二層路由器的端口為trunk口
- 兩trunk口在三層交換機劃分到同一個vlan裡。
彙聚層交換機
目的:多台接入層交換機的彙聚點,處理來自接入層的資訊(資料分組傳輸的彙聚、轉發、交換、管理),提供到核心層的上行鍊路。
要求:更高的性能,更少的接口和更高的交換速率。
基本功能:
- 對接入層進行彙聚、轉發和交換
- 根據接入層使用者流量進行本地路由、過濾、流量均衡、優先級管理、安全機制等處理
- 完成各種協定的轉換,保證核心層連接配接運作不同的協定的區域。如路由的彙總和重新釋出等
核心層交換機
目的:通過高速轉發通信, 提供快速,可靠的骨幹傳輸結構。實作骨幹網絡之間的優化傳輸
要求:更高的可靠性,性能和吞吐量
可以使用Cisco Catalyst4507千兆以太網交換機、Ruijie S86、S76 e.t.c.
骨幹層設計任務的 重點通常是備援能力、可靠性和高速的傳輸
幾台計算機連接配接起來,互相可以看到其他人的檔案,這叫區域網路,整個城市的計算機都連接配接起來,就是城域網,把城市之間連接配接起來的網就叫骨幹網。這些骨幹網是國家準許的可以直接和國外連接配接的網際網路。其他有接入功能的ISP(網際網路服務提供商)想連到國外都得通過這些骨幹網。
骨幹網(Internet Backbone Network)是連接配接國與國、城市與城市之間的高速網際網路絡。它通過海纜和路纜,将分布在世界各地的資料中心連接配接起來。
出口路由
一般指區域網路 出外網 的路由器,或者指一個企業、小區、機關、城域 網、省級網絡、國家網絡與 外界網絡直接相連的那台路由器 。
網際網路接入選用CISCO3845
總結:
接入層的主要特點是低成本和高端口密度以及提供足夠的帶寬
彙聚層基本的特性是需要更高的性能,更少的接口,更高的交換速度,最主要的是交換速度,主要的功能 彙聚轉化交換
核心層交換機 更高的可靠性,性能,吞吐量,重點在備援能力,可靠性,高速的傳播
IP位址規劃
TCP/IP(1)——規劃與接入認證校園網絡規劃接入認證與計費 試題:将一個網絡号為192.168.63.0/18的位址進 一步分為8個子網。請寫出各子網路遮罩以及各子網 可使用的位址範圍?
答: 子網路遮罩:255.255.248.0(/18來的)
11111111,11111111,11111000,0000000 後面加三個bit分别給八個子網。
各網段位址範圍:
- 192.168.0.1 ~ 192.168.7.254
- 192.168.8.1 ~ 192.168.15.254
- 192.168.16.1 ~ 192.168.23.254
- 192.168.24.1 ~ 192.168.31.254
- 192.168.32.1 ~ 192.168.39.254
- 192.168.40.1 ~ 192.168.47.254
- 192.168.48.1 ~ 192.168.55.254
- 192.168.56.1 ~ 192.168.63.254
NAT:NAT應該加在出口路由上,出口路由IP通常為外網IP位址,下聯口IP通常為内外IP位址
開啟之後,所有外出封包的源IP位址改為出口路由的IP,通常可以利用端口映射實作,外網進入内網的封包根據映射關系填回内網IP。
下面序号顯示了主機通路網站的封包互動過程,請按順序 進行排列: (2 )( 1)(5 )(4 )( 3)
(1) 主機構造DNS封包向處于外網的本地DNS域名服務 器請求DNS域名解析; (2) 主機發出ARP請求查詢網關MAC位址; (3) 主機構造HTTP封包向對方網站發送GET方法封包; (4) 主機構造TCP封包與網站伺服器建立TCP連接配接; (5) 本地DNS域名伺服器向根域名伺服器、頂級域名服 務器和權限域名伺服器遞歸擷取域名解析;
BTY:資料報傳輸的時候源IP和目的IP都不變,隻有源MAC和目的MAC在變。
去年計算機網絡最後一題:
接入認證與計費
AAA(Authentication、Authorization、Accounting,認證、授權、計費)提供了對認證、授權和計費功能的一緻性架構
AAA是一個提供網絡通路控制安全的模型,用于使用者登入裝置或者接入網絡。
- Authentication:認證子產品可以驗證使用者是否可獲得通路權。
- Authorization:授權子產品可以定義使用者可使用哪些服務或這擁有哪些權限。
- Accounting:計費子產品可以記錄使用者使用網絡資源的情況。 可實作對使用者使用網絡資源情況的記帳、統計、跟蹤。
AAA基本模型中分為使用者、NAS、認證伺服器三個部分
AAA認證系統-radius伺服器
RADIUS ( Remote Authentication Dial In User Service 遠端認證撥 号使用者服務 )是在網絡接入裝置和認證伺服器之間進行認證授權計費和配置資訊的協定。Radius協定詳細說明
RADIUS協定具有以下特點:
- 用戶端/伺服器結構;
- 采用共享密鑰保證網絡傳輸安全性;
- 良好的可擴充性;(其他的服務也可以加載其封包後)
- 認證機制靈活,PAP/CHAP;(PAP是兩次握手,明文傳輸使用者密碼進行認證;CHAP是三次握手,傳輸MD5值進行認證。)
RADIUS 協定承載于UDP 之上,官方指定端口号為認證授權端口1812、計費端口1813。
PAP和CHAP認證方式的差別、安全性高低
PAP二次封包互動
密碼以文本格式發送、沒有加密、對于竊聽、重放、重複嘗試、錯誤攻擊沒有防禦功能。
被驗方主動發送密碼和賬戶,等待接受和拒絕。
CHAP三次握手
解釋:
- 驗證方線發送一個challenge(帶key-->一次性的随機數)
- 被驗證方根據key,使用者,密碼使用單向哈希函數(無法反推)計算出的值作為應答
- 認證者檢查,然後發送拒接或者接受封包
- 經過一定間隔會重新認證(challenge改變)
PAP的認證方式安全性沒有CHAP高
- 傳輸過程中不傳輸密碼,傳輸Hash值
- PAP認證是通過兩次握手實作的,而CHAP通過三次握手
- PAP認證是被叫提出連接配接請求,主叫響應;CHAP是主叫送出請求,被叫回複HASH值,主叫确認無誤後發送成功資料包連接配接。
總結Portal認證(WEB認證)和802.1x認證的差別
Portal認證流程TCP/IP(1)——規劃與接入認證校園網絡規劃接入認證與計費 1、使用者通路網站,經過AC重定向到Portal Server,Portal Server推送認證頁面;
2、使用者填入使用者名、密碼,送出頁面,向Portal Server發起連接配接請求;
3、Portal Server向AC請求Challenge;
4、AC配置設定Challenge給Portal Server;
5、Portal Server向AC發起認證請求;
6、AC進行RADIUS認證,獲得RADIUS認證結果;
7、AC向Portal Server送認證結果;
8、Portal Server将認證結果填入頁面,和門戶網站一起推送給客戶;
9、Portal Server回應确認收到認證結果的封包。
補充:IEEE 802.lx體系結構
802.lx與傳統認證方式最本質的差別就是控制與 交換相分離。一旦認證通過,所有的業務流量就 和認證系統分開,有效的解決了網絡瓶頸問題。 暴露出了安全性弱、流量控制能力差、不易管理 等可以說是緻命的弱點
支援802.lx協定的網絡裝置(認證系統)有兩種類型的邏輯端口 :受控端口(controlled Port )和非受控端口(uncontrolled Port)
“非受控端口”可看成為EAP(可擴充認證協定)端口,不進行認證控制,始終處于雙向連通狀态,主要用來傳遞在通過認證前必需的EAPOL協定幀,保證用戶端始終能夠發出或接收認證封包。
“受控端口”可以看作為普通業務端口,是需要進行認證控制的。它有“授權”和“非授權”兩種狀态(相當于在該端口上有一個控制開關):在授權狀态下處于 雙向連通狀态(控制開關閉合),可進行正常的業務封包傳遞;在非授權狀态下處于打開狀态(控制開關打開),禁止任何業務封包的傳遞。裝置端利用認證伺服器 對用戶端進行認證的結果(Accept或Reject)來實作對受控端口的授權/非授權狀态進行控制。
總結
1. AAA:代表認證、授權和計費;
2. AAA模型包括:使用者、NAS、認證伺服器
3. Radius認證(伺服器): 采用用戶端/伺服器結構、 基于UDP、支援PAP/CHAP認證;
4. PAP認證和CHAP認證差別?
5. 802.1X:用戶端和認證系統之間二層通信 EAPOL, 認證系統和認證伺服器之間EAP/Radius封包通信;
6. 802.1X:受控端口和非受控端口;
7. 802.1X:需要安裝用戶端,認證通過後才DHCP; (銳捷)
8. Potal認證:WEB認證