网络安全分为以下类型:


 dot1x   mac aaa  隧道  ipsec  arp   端口隔离   acl[二层 三层 ] vlan


网络安全在各层应用

  telnet  ftp   http  smtp  pop2/pop3   --->ssl

          2.网络层  【路由器  防火墙 】  

                     acl 地址  【来源地址  目标地址】

                     协议   icmp   tcp/udp

                     端口号码  

                     标志位 【tcp】

                         syn     ack      fin  rst

         3.链路层    switch   bridge

                     vlan

                     acl  【物理端口  mac地址】

                     认证技术   dot1x  ----》AAA

                                mac   ----》AAA



dot1x

dot1 X 是 IEEE 802.1 X的缩写,是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。


DOT1X类型

        无线   ----》有线  

        AAA server   Windows   IAS  

                     linux     freeradius

                     cisco     acs



MAC地址


MAC(Media Access Control)地址,或称为 MAC位址、硬件位址,用来定义网络设备的位置。在OSI模型中,第三层网络层负责 IP地址,第二层数据链路层则负责 MAC位址。因此一个主机会有一个IP地址,而每个网络位置会有一个专属于它的MAC位址




AAA服务器

AAA服务器(AAA server)是一个能够处理用户访问请求的服务器程序。提供验证授权以及帐户服务。AAA服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。


       AAA 验证

       1. AAA  服务器

            指定AAA client 【介入交换机】

                 ip地址  

                 服务器类型

                 验证秘药

        2.AAA client    【交换机】

           AAA 方案

              AAA 服务器地址

              验证×××

              发送给AAA服务器的用户名格式【带或不带域名】

              AAA 服务器类型

              审计可选

            建设域

              引用 AAA 方案

              审计可选

              限制用户

        3.接入计算机

            安装软件

            帐号@域名




IPSEC



IPSec 基于端对端的安全模式,在源 IP 和目标 IP 地址之间建立信任和安全性。


1、局域网 (LAN):客户端/服务器和对等网络

2、广域网 (WAN):路由器到路由器和网关到网关

3、远程访问:拨号客户机和从专用网络访问 Internet

工作模式

          1.隧道模式

             ***  至少有一个隧道服务器

          2.传输模式

              *** 没有隧道服务器



ARP



ARP(Address Resolution Protocol,地址解析协议)是获取物理地址的一个TCP/IP协议。某节点的IP地址的ARP请求被广播到网络上后,这个节点会收到确认 其物理地址的应答,这样的数据包才能被传送出去。RARP(逆向ARP)经常在无盘工作站上使用,以获得它的逻辑IP地址。

arp   rarp

              网络层

              arp   目标ip地址  ---》目标mac地址  广播

              arp 绑定

              优点:避免广播

                    安全

              rarp   自己mac  ---》自己ip   无盘工作站

              iarp  下一条地址  本地dlci    frame-relay

              端口隔离

              交换机

              二层  一个隔离组

              三层  多个隔离组   【am】 {端口隔离    端口+ip绑定}

                   quidway  s3526

                            s3526e




端口隔离


端口隔离是为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。


port isolate 将以太网端口加入到隔离组中


ACL

访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。


ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。

ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。

ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。

例如:某部门要求只能使用 WWW 这个功能,就可以通过ACL实现; 又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。





标准列表

    来源  编号  ip   【cisco  1-99】  ios  11.2  

                        【化为  2000-2999】vrp  

                 名称      

     扩展   编号  ip 【100-199】

                         【化为3000-3999】

        来源  目的地   协议  端口号码    标志位


            800-899    ipx   标准

           入站  acl   route

           出站  route  acl  




VLAN

VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能

不在同一个vlan,也达到了安全的作用。

vlan  

         三层   路由器   防火墙   三层交换机