网络技术.ppt

《网络技术.ppt》由会员分享，可在线阅读，更多相关《网络技术.ppt（61页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、网络技术培训张光灿安徽科大恒星电子商务技术有限公司主要内容主要内容1.黄山风景区安全网络系统架构黄山风景区安全网络系统架构2.网络基本故障排除办法网络基本故障排除办法3.Inode客户端的安装和配置客户端的安装和配置4.交换机基本原理介绍交换机基本原理介绍5.路由器基本原理介绍路由器基本原理介绍6.防火墙的基本原理介绍防火墙的基本原理介绍7.网络流量分析软件的基本应用介绍网络流量分析软件的基本应用介绍黄山风景区黄山风景区安全网络系统架构安全网络系统架构UTMH3C7506交换机黄山风景区管理局网络安全黄山风景区管理局网络安全系系 统统 结结 构构 图图INTERNET远程访问层远程访问层DMZ

2、区区用用 户户VLANGPS VLAN应用系统应用系统 VLAN华为5500交换机数据中心数据中心/服服务器务器VLAN网络管理网络管理VLAN华为3552交换机核心层核心层接入层接入层用用 户户VLANGIS VLANGPS VLAN视频监控视频监控 VLAN华为2403交换机网络管理网络管理VLAN数据中心数据中心/服服务器务器VLAN网 管工作站外外 网网内内 网网门门 禁禁 VLAN票务票务 VLAN防病毒 流量管理 网络管理防病毒服务器网络管理服务器网 管工作站网络络中心交换机TRUNK指挥中心二楼外部网络主楼外部网络南楼外部网络北楼外部网络一楼交换机二楼交换机三楼交换机四楼交换机一

3、楼交换机二楼交换机三楼交换机四楼交换机一楼交换机二楼交换机三楼交换机黄山风景区管理委员黄山风景区管理委员会网络安全系统外部会网络安全系统外部网络光纤布线图网络光纤布线图16芯多模光纤线缆4芯多模光纤线缆双绞线线缆光纤接线盒一楼交换机二楼交换机二楼办公室交换机三楼交换机INTERNET黄山风景区管理委员会安全网络系统外部网络逻辑拓扑图黄山风景区管理委员会安全网络系统外部网络逻辑拓扑图设备管理VLAN：172.18.1.1/24Center-out（VLAN 10）服务器VLAN：172.18.2.1/24server-out（VLAN 20）系统管理VLAN：172.18.3.1/24Manag

4、e-out（VLAN 30）领导VLAN：172.18.4.1/24leader-out（VLAN 40）管委办VLAN：172.18.5.1/24Gwb-out （VLAN 50）计财处VLAN：172.18.6.1/24Jcc-out（VLAN 60）规土处VLAN：172.18.7.1/24Gtc-out（VLAN 70）股份公司VLAN：172.18.9.1/24Gfgs-out（VLAN 90）园林处VLAN：172.18.8.1/24Ylj-out （VLAN 80）集团公司VLAN：172.18.10.1/24Jtgs-out （VLAN 100）政治处VLAN：172.18.1

5、0.1Zzc-out （VLAN 110）指挥中心VLAN：172.18.12.1/24Zhzx-out（VLAN 120）纪委VLAN：172.18.13.1/24Jw-out（VLAN 130）其他用户VLAN：172.18.14.1/24Qita-out （VLAN 140）会议室VLAN：172.18.15.1/24Mobile-out（VLAN 150）内口外口对外发布的服务区：172.18.100.0/24DMZ区黄山风景区管理委员会安全网络系统内部网络逻辑拓扑图黄山风景区管理委员会安全网络系统内部网络逻辑拓扑图设备管理VLAN：172.18.128.1/24Center-in（V

6、LAN 1）服务器VLAN：172.18.129.1/24server-in（VLAN 25）系统管理VLAN：172.18.130.1/24Manage-in（VLAN 35）领导VLAN：172.18.131.1/24leader-in（VLAN 45）管委办VLAN：172.18.132.1/24Gwb-in （VLAN 55）计财处VLAN：172.18.133.1/24Jcc-in（VLAN 65）规土处VLAN：172.18.134.1/24Gtc-in（VLAN 75）股份公司VLAN：172.18.136.1/24Gfgs-in（VLAN 95）园林处VLAN：172.18.1

7、35.1/24Ylj-in （VLAN 85）集团公司VLAN：172.18.137.1/24Jtgs-in （VLAN 105）政治处VLAN：172.18.138.1Zzc-in （VLAN 115）指挥中心VLAN：172.18.139.1/24Zhzx-in（VLAN 125）纪委VLAN：172.18.140.1/24Jw-in（VLAN 135）GPS系统VLAN：10.254.254.254/24gps-in （VLAN 145）GIS系统VLAN：172.18.142.1/24gis-in（VLAN 155）视频监控系统VLAN：192.168.0.252/24shipinr-

8、in（VLAN 165）门禁VLAN：Center-in（VLAN 175）考勤VLAN：kaoqin-in（VLAN 185）黄山风景区管理委员会安全外部网络系统黄山风景区管理委员会安全外部网络系统INTERNET连接图连接图G1/0/25G1/0/26G1/0/28G1/0/27Port3Port3Port17Port17G0/0/1G0/0/1Port4Port4G2/0/1G2/0/1G2/0/2 trunk G2/0/2接入层交换机核心交换机：LS-7506-1核心交换机：LS-7506-2防火墙：fortinet-1防火墙：fortinet-2交换机：Internet-switch

9、网络中心千兆双绞线千兆光纤线缆INTERNET服务器交换机：对外提供服务（预留）DMZDMZtrunk黄山风景区管理委员会安全外部网络系统防火墙逻辑拓扑图黄山风景区管理委员会安全外部网络系统防火墙逻辑拓扑图INTERNET内口外口：220.179.120.220/27DMZ区：172.18.100.1/24 内口：172.18.1.5/24两台配置负载均衡的防火墙两台网络层冗余的LS-7506多层交换机对外服务区局域网络区网络基本故障排除办法网络基本故障排除办法网络管理人员从用户的角度来理解网络系统网络管理人员从用户的角度来理解网络系统交换机防火墙INTERNET路由器终端PC以上图为例解释维

10、护用户网络系统故障发现问题的思路：是从终端PC开始，一直向INTERNET方向查找故障点。网络管理人员从用户的角度来理解网络系统网络管理人员从用户的角度来理解网络系统交换机防火墙INTERNET路由器终端PC步骤：1.判断客户终端电脑网络故障分析2.交换机网络故障分析3.路由器（三层交换机）网络故障分析4.防火墙网络故障分析5.故障分析总结网络管理人员从用户的角度来理解网络系统网络管理人员从用户的角度来理解网络系统交换机防火墙INTERNET路由器终端PC判断客户终端电脑网络故障分析判断客户终端电脑网络故障分析1.观察网卡和交换机的连接状态（看右下角的连接图标）2.观察网卡本身协议运行状态（p

11、ing 网络接口地址）3.看电脑网络协议配置是否正确（ipconfig，主要有ip地址，子网掩码和网关地址）4.观察inode客户端拨号状态（核对拨号的用户名，密码。采用手动拨号方式）5.重新启动电脑，注意右下角的提示。（防止因为病毒或者木马原因，防病毒软件的IPS阻断网络。网络连接状态1.直接从桌面看网络连接状态2.从网络连接上看网络连接状态网络连接正常状态网络物理连接不正常状态网卡关闭状态观察网卡和交换机的连接状态观察网卡和交换机的连接状态观察网卡本身协议运行状态观察网卡本身协议运行状态1.环回地址测试（判断网卡运行是否正常）2.网卡配置ip地址测试电脑网络协议配置电脑网络协议配置1.右击

12、网上邻居属性右击本地连接属性Internet协议（tcp/ip）-属性Ip地址配置子网掩码配置网关地址配置DNS配置2.从命令行看tcp/ip配置Ip地址配置子网掩码配置网关地址配置DNS配置网卡mac地址这个地址出现基本上可以确定网卡没有问题，网络连接是正常的解决办法解决办法1.重新启动网卡（禁用网卡，启用网卡）禁用网卡启用网卡3.重新启动电脑2.修改用户名和密码、重新启动inode软件或者重新安装inode软件才4.重新安装操作系统交换机网络故障分析交换机网络故障分析判断网卡和系统没有问题，首先ping网关。如果网关ping不通，可以判断从交换机上找原因交换机故障判断：1.交换机的连接终端

13、电脑的接口是否打开。2.交换机的连接终端电脑的接口划分的vlan是否正确。3.交换机的连接终端电脑的接口是否启动dot1x协议。交换机端口状态交换机端口状态接口目前状态连接终端的mac地址接口速度，类型接口模式接口输入输出数据报统计接口链路类型接口属于的VLAN判断路由问题的步骤判断路由问题的步骤1.Ping本网段的网关地址，如果能够不通，则是上面的终端或者交换机问题；能够通，进入下一步。2.Ping三层交换机中其他网段的网关地址，如果正常说明不是路由问题，进入第4步；如果不通，看路由表，可能是路由问题，看第3步。3.察看路由表。下页为路由表显示图。4.Ping防火墙的内口地址。5.Ping防

14、火墙外口地址，如果正常下一步6.Ping电信的网关地址，如果ping通，但是不能上网则是DNS问题，如不通，则联系电信。路由器（三层交换机）网络故障分析路由器（三层交换机）网络故障分析从终端电脑ping网关地址正常，ping其他网络地址不通的情况一般为路由出现问题的主要表现。（这里强调的是保证终端电脑的网关地址一定确定是正确的。）缺省路由缺省路由目标网络协议类型优先级Cost值下一跳地址选择接口防火墙主要配置分析防火墙主要配置分析1.防火墙的接口地址配置（内口和外接口）2.防火墙的路由配置（默认路由和到内网中其他网段的路由）3.防火墙的访问控制列表配置（防火控制列表的顺序和方向）故障分析总结故

15、障分析总结1.电脑不能够上网首先看物理连接是否正常。2.然后检查本地网络（VLAN内）通讯是否正常。3.检查局域网内部运行是否正常。4.检查网络出口设备是否运行正常。5.运营商的网络是否正常运行。Inode客户端的安装和配置客户端的安装和配置INODE客户端安装步骤客户端安装步骤INODE客户端连接配置客户端连接配置1.重新启动电脑后建立虚拟网络连接。选择“是”2.选择“下一步”3.选择“下一步”4.选择“下一步”5.填写用户名和密码后，选择“下一步”用户名密码6.在“运行后自动认证”和“上传IP地址”前打勾，选择“完成”6.选择“创建”7.点击“配置客户端运行方式”，在“客户端配置选项”中的

16、“客户端启动后窗口最小化”前打勾，然后“确定”7.以上的配置如果需要改动可以右击“连接”，选择“属性”中修改。如下图交换机基本原理和配置介绍交换机基本原理和配置介绍以太网设备(1)集线器以太网以太网Ethernet10M同一时间只能有一个设备发送信息同一时间只能有一个设备发送信息集线器工作在物理层集线器工作在物理层所有工作站处于同一个物理网段中所有工作站处于同一个物理网段中,即统一冲突域中即统一冲突域中.所有工作站处于同一个广播域中所有工作站处于同一个广播域中.同一时刻只能有一台工作站发送数据同一时刻只能有一台工作站发送数据.所有工作站共享相同的带宽所有工作站共享相同的带宽.Hub所有节点共享

17、所有节点共享10M10M带宽带宽冲突域冲突域/广广播域播域以太网设备(2)交换机以太网交换机以太网交换机每个节点独享每个节点独享10M带宽带宽骨干骨干交换式以太网交换式以太网不同网段的设备可同时发送信息不同网段的设备可同时发送信息10M交换机工作在数据链路层。交换机工作在数据链路层。各个端口有自己单独的带宽，相互之间不在同一物理网段。各个端口有自己单独的带宽，相互之间不在同一物理网段。同一端口下的所有节点共享同一带宽，处于同一个物理网段内。同一端口下的所有节点共享同一带宽，处于同一个物理网段内。同一时刻不同端口下的节点允许同时发送数据。同一时刻不同端口下的节点允许同时发送数据。交换机工作原理：

18、学习 0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444Port 1Port 12Port1:0260.8c01.1111Port2:0260.8c01.2222Port3:0260.8c01.3333Port12:0260.8c01.4444交换机工作原理：转发0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444Port 1Port 12Port1:0260.8c01.1111Port2:0260.8c01.2222Port3:0260.8c01.3333Port12:0

19、260.8c01.4444Port12:0260.8c01.4444交换机根据目标地址和交换机根据目标地址和MAC地址表决定向哪个端口转发数据。地址表决定向哪个端口转发数据。目标地址不在地址表中的数据帧将向所有端口转发。目标地址不在地址表中的数据帧将向所有端口转发。广播数据包向所有端口转发。广播数据包向所有端口转发。交换机工作原理：过滤0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444Port 1Port 12Port1:0260.8c01.1111Port1:0260.8c01.2222Port1:0260.8c01.2222Po

20、rt3:0260.8c01.3333Port12:0260.8c01.4444X源地址和目标地址在同一端口下的数据帧将被过滤，不向任何端口源地址和目标地址在同一端口下的数据帧将被过滤，不向任何端口转发转发。转发转发。数据链路层的简单模型局域网广域网主机 H1主机 H2路由器 R1路由器 R2路由器 R3电话网局域网主机 H1 向 H2 发送数据链路层应用层运输层网络层物理层链路层应用层运输层网络层物理层链路层网络层物理层链路层网络层物理层链路层网络层物理层R1R2R3H1H2从层次上来看数据的流动数据链路层的简单模型局域网广域网主机 H1主机 H2路由器 R1路由器 R2路由器 R3电话网局域

21、网主机 H1 向 H2 发送数据链路层应用层运输层网络层物理层链路层应用层运输层网络层物理层链路层网络层物理层链路层网络层物理层链路层网络层物理层R1R2R3H1H2仅从数据链路层观察帧的流动MAC 帧物理层IP 层以太网 V2 MAC 帧目的地址源地址类型数 据FCS6624字节46 1500IP 数据报以太网 V2 的 MAC 帧格式目的地址字段 6 字节MAC 帧物理层IP 层以太网 V2 MAC 帧目的地址源地址类型数 据FCS6624字节46 1500IP 数据报以太网 V2 的 MAC 帧格式10101010101010 10101010101010101011前同步码帧开始定界符

22、7 字节1 字节8 字节插入在帧的前面插入的 8 字节中的第一个字段共 7 个字节，是前同步码，用来迅速实现 MAC 帧的比特同步。第二个字段是帧开始定界符，表示后面的信息就是MAC 帧。为了达到比特同步，在传输媒体上实际传送的要比 MAC 帧还多 8 个字节目前使用得最多的网桥是透明网桥(transparent bridge)。“透明”是指局域网上的站点并不知道所发送的帧将经过哪几个网桥，因为网桥对各站来说是看不见的。透明网桥是一种即插即用设备，其标准是 IEEE 802.1D。透明网桥以太网交换机的每个端口都直接与主机相连，并且一般都工作在全双工方式。交换机能同时连通许多对的端口，使每一对

23、相互通信的主机都能像独占通信媒体那样，进行无碰撞地传输数据。以太网交换机由于使用了专用的交换结构芯片，其交换速率就较高。以太网交换机的特点交换机技术交换机技术VLAN技术STP技术 TRUNK技术端口聚合技术多层交换技术 路由器基本原理介绍路由器基本原理介绍什么是路由？R3ABCR1R2R4DEFR5R5FR3ER3DNext HopDestinationDD什么是路由？R3ABCR1R2R4DEFR5R5FR3ER3DNext HopDestinationDDDD163241DataOptions(if any)Destination AddressSource AddressHeader

24、ChecksumProtocolTTLFragment OffsetFlagsFragment IDTotal Packet LengthT.ServiceHLenVer20 bytes 什么是路由？ABCR1R2R3R4DEFR5路由在任何网络中，都有路由的概念，从公路网、铁路网到我们平时拨打电话用的的传统电信网络。一条路由就是从源地址到目的地址的一条通路。在电话网络中，电话号码是按照地域分级的，所以可以根据电话号码，从大到小，逐级查找，最终找到到达目的地的通路，而IP网络与此不同，IP网络的开放性、自由性以及IP地址的分配方式等决定了我们无法根据IP地址象传统电信网络一样建立和查找路由。路

25、由器 路由器工作在网络层主要功能是接收来自各个网络入口的分组，并把分组从其相应的出口转发出去通过查找选路表找到分组相应的出口将分组从入口送到出口，这取决于路由器的体系结构路由器使用各种路由协议，提供网间数据的路由选择，并对网络的资源进行动态控制性能指标主要包括吞吐量、转发速度、时延、所支持的路由协议、网络接口类型、传输协议和网管功能等路由器的功能路径决断(path determination):是路由器“学习”在网络拓扑中的到达不同可能的目的地的各种路径的过程，通过一些选路准则挑出其中最好的路径，并将该路径的信息记录到其路由表中。将数据包交换到相应的网络接口卡：一旦路由表建立，路由器便可通过其

26、输入接口接受数据包，确定其目的地址，然后根据路由表中的信息，将该数据包转送到相应路由器的输出接口。路由器主要技术网络层协议（ARP协议，ip协议，ICMP协议，IGMP协议等）IP地址和子网掩码路由选择协议（静态路由，RIP，OSPF，BGP等协议）防火墙的基本原理介绍防火墙的基本原理介绍防火墙基本概念防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的。从网际角度，防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全策略中的定义来保护其后面的网络。由软件和硬件组成的防火墙应该具有以下功能。（1）所有进出网络的通信流都应该通过防火墙。（2）所有穿过防火

27、墙的通信流都必须有安全策略和计划的确认和授权。（3）理论上说，防火墙是穿不透的。包过滤防火墙数据包过滤防火墙通常是一个具备包过滤功能的简单路由器，支持因特网安全。这是使因特网联接更加安全的一种简单方法，因为包过滤是路由器的固有属性。包是网络上信息流动的单位。在网上传输的文件一般在发出端被划分成一串数据包，经过网上的中间站点，最终传到目的地，然后这些包中的数据又重新组成原来的文件。每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。包过滤防火墙每个数据包都包含有特定信息的一组报

28、头，其主要信息是：（1）IP协议类型（TCP、UDP，ICMP等）；（2）IP源地址；（3）IP目标地址；（4）IP选择域的内容；（5）TCP或UDP源端口号；（6）TCP或UDP目标端口号；（7）ICMP消息类型。路由器也会得到一些在数据包头部信息中没有的关于数据包的其他信息，如数据包到达的网络接口和出去的网络接口。包过滤防火墙 过滤路由器严格地检查数据包，除了决定它是否转发数据包到目的地之外，还决定它是否应该发送。应该或者不应该由站点的安全策略决定。过滤路由器放置在内部网络与因特网之间，作用为：（l）过滤路由器将担负更大的责任，它不但需要执行转发及确定转发的任务，而且它是唯一的保护系统；（

29、2）如果安全保护失败(或在侵袭下失败)，内部的网络将被暴露；（3）简单的过滤路由器不能修改任务；（4）过滤路由器能容许或否认服务，但它不能保护在一个服务之内的单独操作。包过滤 包过滤是一种保安机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。我们在这儿首先简单介绍一些高层IP（因特网协议）网络的概念。包过滤是如何工作的包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的判据：（1）将包的目的地址作为判据；（2）将包的源地址作为判据；（3）将包的传送协议作为判据。包过滤系统只能让我们进行类似以下情况的操作：（1）不让任何用户从外部网用Telnet登录；（2）允许任何用户使用SMTP往内部网发电子邮件；（3）只允许某台机器通过NNTP往内部网发新闻。谢 谢！