第五章TCPIP体系的协议安全-1.ppt

IEEE802.1Q概述 VLAN的帧格式 DA SA Type Data CRC 标准以太网帧 DA SA Type Data CRC tag TPID Priority CFI VLAN ID TCI 带有IEEE802.1Q标记的以太网帧 TPID:用来表明这是一个加了802.1Q标签的帧- 0X8100 Priority：帧的优先级 CFI:规范格式标志-为0说明是规范格式,1为非规范格式。 VLAN ID:指明自己属于哪个VLAN，12bit 帧在网络通信中的变化 VLAN 2 VLAN 1 VLAN 1 VLAN 2 带有VLAN 1标签的以太网帧 带有VLAN 2标签的以太网帧 不带VLAN标签的 以太网帧 同一VLAN内的通信 一台交换机划分分多个VLAN VLAN2 VLAN3 现有VLAN2、VLAN3 通过配置将端口Ethernet0/1和Ethernet0/2包含到VLAN2中 将端口Ethernet0/3和Ethernet0/4包含到VLAN3中。 # 创建VLAN2并进入其视图。 [Quidway] vlan 2 # 向VLAN2中加入端口Ethernet0/1和Ethernet0/2。 [Quidway-vlan2] port ethernet0/1 ethernet0/2 # ?创建VLAN3并进入其视图。 [Quidway-vlan2] vlan 3 # 向VLAN3中加入端口Ethernet0/3和Ethernet0/4。 [Quidway-vlan3] port ethernet0/3 ethernet0/4 VLAN间通信 隔离不是目的 选择VLAN只是为了优化网络 VLAN间通信的解决办法 VLAN间配置路由器--路由器不会转发二层广播报文，因此路由器不会改变划分VLAN所达到的广播隔离的目的。 路由器做VLAN间路由-单臂路由 B A C D 一个物理接口当成多个逻辑接口 三层交换机转发流程 B A . B同在一个子网--三层交换机的二层模块完成 A . C不同在一个子网 第一次三层交换机的路由模块 …二层交换 C的IP地址 MAC地址 端口 流交换 A C D 路由接口 三层交换机=一个二层交换机+一个路由模块 DHCP安全 DHCP-Dynamic Host Configuration Protocol -动态主机配置协议 是一个客户机/服务器协议，在TCP/IP网络中对客户机动态分配和管理IP地址等配置信息，以简化网络配置，方便用户使用及管理员的管理。 DHCP概述 一台DHCP服务器可以是一台运行Windows 2003 Server、UNIX或Linux的计算机，也可以是一台路由器或交换机。 DHCP的工作过程 又是广播！！！！ DHCP的安全问题 在通过DHCP提供客户端IP地址等信息分配的网络中存在着一个非常大的安全隐患：当一台运行有DHCP客户端程序的计算机连接到网络中时，即使是一个没有权限使用网络的非法用户也能很容易地从DHCP服务器获得一个IP地址及网关、DNS等信息，成为网络的合法使用者。 由于DHCP客户端在获得DHCP服务器的IP地址等信息时，系统没有提供对合法DHCP服务器的认证，所以DHCP客户端从首先得到DHCP响应（DHCPOFFER）的DHCP服务器处获得IP地址等信息。 DHCP攻击 一台非法DHCP服务器接入到了网络中，并“冒充”为一这个网段中的合法DHCP服务器。 非法DHCP服务器的工作原理 实验操作-非法DHCP服务的防范 使用DHCP Snooping信任端口 DHCP Snooping能够过滤来自网络中非法DHCP服务器或其他设备的非信任DHCP响应报文。 在交换机上，当某一端口设置为非信任端口时，可以限制客户端特定的IP地址、MAC地址或VLAN ID等报文通过。一旦将交换机的某一端口设置为指向正确DHCP服务器的接入端口，则交换机会自动丢失从其他端口上接收到的DHCP响应报文。 DHCP Snooping的工作原理 在DHCP服务器上进行IP与MAC地址的绑定 在通过DHCP服务器进行客户端IP地址等参数分配的网络中，对于一些重要部门的用户，可以通过在DHCP服务器上绑定IP与MAC地址，实现对指定计算机IP地址的安全分配。 实验操作 捕获数据，了解DHCP协议过程，并可以进一步分析DHCP报文。 * 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 * 此页标题禁止有多级标题，更不要出现所在