计算机网络及网络安全技术(1).ppt
1,1,1,2003,CiscoSystems,Inc.Allrightsreserved.,Presentation_ID,计算机网络及网络安全技术,北京华胜天成科技股份有限公司售前技术部王超2005年1月,内容概述,计算机网络基础局域网技术及解决方案广域网技术及解决方案网络安全相关技术及解决方案问题3.三层交换,虚拟网络划分,有效隔离办公与业务网络,避免广播风暴,提高网络性能;4.边缘交换机采用10/100M端口连接终端用户,Catalyst3550光纤千兆上联,可堆叠扩展用户数目,节省上联链路;Catalyst2950采用UTP千兆上联,投资保护5.思科GEC/FEC带宽聚合技术保证网络速度不会造成业务的瓶颈6.系统安全,保密性高;ACL,VLAN等网络安全策略7.管理简单,浏览器方式无需专门培训;配置CiscoWorks2000或CiscoWorksWindows网管软件8.良好的扩充性9.支持多媒体应用,视频点播、IP电话机供电,企业中型分支机构局域网网络解决方案,CiscoWorksforWindows网管,OA/邮件服务器,,,,4GBGEC,,中心两台Catalyst3550T交换机,通过千兆连接,支持VLAN和高速三层交换,1000M,,,,,,,,,业务服务器,Catalyst2950T,1000M,1000M,,,,,Catalyst2950T,工作站10/100M接入,1000M,1000M,Catalyst2950T,企业中型分支机构局域网网络解决方案特点,,1.系统稳定可靠;采用Catalyst3550T组成双中心,且链路冗余;2.高性能全交换、千兆主干,满足大负荷网络运行需求;中心交换机备板24Gbps;性能价格比高;17Mpps的二、三层转发速率;3.三层交换,虚拟网络划分,有效隔离办公与业务网络,避免广播风暴,提高网络性能;4.边缘交换机采用10/100M端口连接终端用户,Catalyst3550光纤千兆上联,可堆叠扩展用户数目,节省上联链路;Catalyst2950T采用UTP千兆上联,投资保护5.思科GEC/FEC带宽聚合技术保证网络速度不会造成业务的瓶颈6.系统安全,保密性高;ACL,VLAN等网络安全策略7.管理简单,浏览器方式无需专门培训;配置CiscoWorksWindows网管软件8.良好的扩充性9.支持多媒体应用,视频点播,企业小型分支机构局域网网络解决方案,CiscoWorksforWindows,OA/邮件服务器,,,,4GBGEC,,中心两台Catalyst3550交换机,通过千兆连接,支持VLAN和高速三层交换,100M,,,,,,,,,,,,,业务服务器,,,,,100M,100M,,,,,工作站,100M,100M,企业小型分支机构局域网网络解决方案特点,,1.系统稳定可靠;采用Catalyst3550组成双中心,且链路冗余;2.性价比高,全交换、百兆主干,满足小规模网络运行需求;中心交换机备板8.8Gbps;6.6Mpps的二、三层转发速率;3.三层交换,虚拟网络划分,有效隔离办公与业务网络,避免广播风暴,提高网络性能;4.思科GEC/FEC带宽聚合技术保证网络速度不会造成业务的瓶颈5.系统安全,保密性高;ACL,VLAN等安全策略6.管理简单,浏览器方式无需专门培训;配置CiscoWorksWindows网管软件7.良好的扩充性8.支持多媒体应用,视频点播,IEEE802.1x,AuthenticationServer,,,2,,3,,802.1xisaclient-server-basedaccesscontrolandauthenticationprotocolthatrestrictsunauthorizeddevicesfromconnectingtoaLANthroughpubliclyaccessibleports,,,4,1,1,Useractivateslinki.e.PCPowerson,2,SwitchrequestsAuthenticationServerifuserauthorisedtoaccessLAN,3,4,AuthenticationServerrespondswithauthorityaccess,SwitchopenscontrolledportifauthorisedforusertoaccessLAN,802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。,802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道),802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(ExtensibleAuthenticationProtocoloverLAN)通过。,802.1x是用来做什么的,在win98下提供的客户端,在winXP下提供的客户端,IEEE802.1x认证客户端,广域网技术及解决方案,广域网综述,广域网综述广域网是地理位置较为分散的局域网之间链接通道的集合。广域网的出现是为了解决局域网与一台远程工作站或另一个局域网链接的问题,在这种情况下,需要链接的距离已超过了线缆媒体的规格,或者不可能进行物理性的线缆连接,为了实现广域网,需要用到下面这些传输媒体,普通电话网(PSTN)X.25专线一线通ISDNDDN专线帧中继业务国际互联网Internet高速光缆卫星链路微波传输链路无线广播媒体,一线通ISDN,一线通ISDNISDN是一种建立在全数字化网络基础上的综合业务数字网络,中国电信称之为“一线通”。它有以下特点,1)通过一根普通电话线您可以进行多种业务通信,如用于电话、上网、传真、会议电视、局域网互连等;2)因为ISDN提供2BD服务(B信道传输速率为64K,D信道为“服务信道”传输速率16K),通过一根普通电话线您可以同时进行两路通信,比如边上国际互联网边打电话,或两部电话同时通话等;3)可以同时使用两个B信道来进行数据传输,从而获得128K的总体传输速率,当一个B信道用于语音传送时,另一个B信道上的传输速率就会降回原始的64K,当语音停止传送时,数据传送速率就会立即恢复成128K。,数据专线,DDN专线DDN是数字数据网的简称,主要是为用户提供永久的出租数字电路。DDN为用户开放多种形式的业务点对点的专线、一点对多点的连接、同点对多点的图像通信等。速率从9.6K、19.2K、64K一直2M。,帧中继业务帧中继提供了高速度、高效率、大吞吐量、低时延的数据服务。帧中继利用永久性虚电路(PVC)建立可靠的端到端回路。对于低速帧中继业务可通过DDN网内以帧中继OVERDDN的方式或经由DDN网接入宽带ATM网;对于高速用户可使用光纤或HDSL直接接入ATM网。相对于DDN电路,帧中继更适合于点到多点的业务。DDN的点到多点业务只能提供轮询方式(在一段时间内,主点只能与一个从点进行通信)。帧中继业务采用PVC方式,可提供与所有从站并发双工通信。另外,由于帧中继支持突发数据,也比较适合于局域网互连或业务突发量较大的应用。,VPN技术使用户可以通过国际互联网为企业构筑安全可靠、方便快捷的企业私有网络。根据业务类型,VPN业务大致可分为两类,拨号VPN与专线VPN。所谓拨号VPN,指企业员工或企业的小分支机构通过当地ISP拨号入公网的方式而构筑的虚拟网。专线VPN是指企业的分支机构通过租用当地专线入公网来构筑的虚拟网。VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。工作过程局域网中被保护的主机发明文信息到VPN设备,VPN对数据加密后通过路由器送到互联网上,加密的数据从互联网到达另一个局域网的路由器,然后由路由器后面的VPN设备将数据解密后送到VPN后面被保护的主机上。,通过国际互联网建立虚拟专用网(VPN),VPN技术,当地专线,,,隧道从一个VPN设备开始到另一个VPN设备结束。,当地专线,拨当地ISP,拨长途号,租长途专线,专用网,虚拟专用网,VPN技术,,,防火墙Checkpointusedpeakperanceforallvendorsinthecalculation,5.385,0.405CSCO,0.205Nokia,0.535SMTC,,,,,网络安全的重点,网络安全一直无法落实的主因就在于,不知道漏洞的存在,甚至不去实时修补漏洞,那黑客铁定比你清楚如何利用它。正确的网络安全观念并不是一昧的购置网络安全产品,更重要的是主动正视安全漏洞的问题,做好入侵预防,并且实时做好漏洞修补的工作,让黑客根本就不得其门而入。,常用安全工具,防火墙入侵检测工具snort端口扫描工具nmap系统工具netstat、lsof网络嗅探器tcpdump、sniffer综合工具X-Scanner、流光、Nessus,十大最佳网络安全工具,Nessushttp//www.nessus.orgNetcat,安全站点,绿盟科技绿色兵团http//www.vertarmy.org网络安全评估中心安全焦点网络安全响应中心国外http//www.cert.orghttp//www.sans.orghttp//www.securityfocus.orghttp//www.securiteam.org,问题而IOPs则基本由阵列控制器决定。在Web、Mail和数据库等小文件频繁读写的环境下,性能主要由IOPs决定。在视频和测绘等大文件连续读写的环境下,性能主要由带宽决定。可见,在不同的应用方式中,需要考察的侧重点各不相同。容量是最简单的一个性能指标,需要注意的是,用户不仅要关心产品的最大容量,还要关心厂商推荐使用容量以及扩容成本等问题,数据存储设备选择标准参考,在传统的LAN环境中,连接不存在问题。在SAN环境中,以光纤通道连接设备为中心,要连接主机、磁盘阵列和磁带库等设备,环境比较复杂,因此在产品选型时,充分考虑设备间的连接性。选择具有良好的开放性和连接性的产品,不仅为当前系统正常连接和运行提供保障,也为系统未来扩展提供更大的空间和灵活性。用户应考虑产品所提供的管理功能是否实用可靠;其次,支持中心化管理和远程管理的产品一定让用户很省事;还有,很多产品的故障自动通知机制给用户带来方便,同时也构成安全隐患;最后,在配置改变或系统扩容时,无须宕机或尽可能缩短宕机时间是企业级产品的重要特征。现在的存储产品,尤其是部门级和企业级的在线、离线存储产品,已经不仅仅是存储数据的BOX,而是一个智能的小型系统。各厂商将很多功能性软件都整合到自己的存储设备中,以向用户提供更好的解决方案。目前,比较常见的附加功能主要有数据快照功能、LUNMasking功能和异地数据复制以及scsicopy功能等几种。,数据存储设备选择标准参考,Sun磁盘阵列家族,SunStorEdge9000Family,SunStorEdge6000Series,SunStorEdge3000Family,Mission-CriticalAvailabilityConsolidationMission-criticalavailabilityforlargeconsolidations,EssentialValueScalabilityPeranceManagedperance/availabilityforSANenvironments,OperationalFlexibilitySimplicityDense,reliablestorageforentry-leveldeployment,DataClassificationrankedfromlowestcapitalandadministrativecosts,,Enablesenterprisevirtualizationandprovisioning,loweringTCO,Heterogeneity,N1TMDataServicesPlat,Sun磁带库产品家族,SunStorEdgeL25,L100,L180,Capacity,Perance,RetentionRestoreTime,SunStorEdgeL700,L5500/6000,SunStorEdgestandalonedrives,L8,WorkgroupBackupScalability,Flexibilityid-sizedbusinessordepartments2.5TBto34.8TB,LocalBackupSmallfootprintEntrylevelpricingforsmallbusinessordepartments20GBto1.6TB,ConsolidatedBackupMassivelyScalableFabricSANsfortheenterprise69TBto1.1PB,Sun光纤交换机家族,问题应答,