文档介绍：锐捷三层交换机网管路由培训课件
目前中小学常见网络
RG-S7610
RSR 50-40
认证管理系统&网管
百兆电缆
千兆光线
RG-S2100
教学楼
RG-S2100
综合楼
RG-S2100
B
C
Vlan 10
Vlan 20
Vlan 10
A B
A C
X
交换机端口
MAC地址
VLAN ID
F0/1
A
10
F0/2
B
20
F0/3
C
10
VLAN的类型:Tag VLAN
Switch A
VLAN30
VLAN20
VLAN10
Switch B
VLAN30
VLAN20
VLAN10
Tag VLAN
TagVLAN特点
传输多个VLAN的信息
实现同一VLAN跨越不同的交换机
要求Ttunk至少要100M

：
。
Trunk上默认会转发交换机上存在的所有VLAN的数据。
交换机在从Trunk口转发数据前会在数据打上个Tag标签，在到达另一交换机后，再剥去此标签。
A
交换机1
交换机2
B
数据帧
Tag标签
Trunk
Trunk
数据包在三层网络如何通信
A
B



PC1
PC2
目的网段
转发接口

B

——
目的网段
转发接口

——

A
第 20页 / 共 4页
局域网常见攻击
ARP攻击
ARP攻击就是将ARP表中IP与MAC地址的对应关系进行了修改!!!!
第 21页 / 共 4页
ARP欺骗攻击分类-主机型
主机型ARP欺骗
欺骗者主机冒充网关设备对其他主机进行欺骗
网关
欺骗者
嗨，我是网关
PC 1
第 22页 / 共 4页
ARP欺骗攻击分类-网关型
网关型ARP欺骗
欺骗者主机冒充其他主机对网关设备进行欺骗
*
网关
欺骗者
嗨，我是PC1
PC 1
第 23页 / 共 4页
局域网常见攻击
DHCP攻击
第 24页 / 共 4页
局域网常见攻击
二层环路
第 25页 / 共 4页
局域网常见攻击
TCP半连接攻击
客户端A
服务器B
发送 SYN＝1
(seq#=100)
1
接收SYN
发送SYN＝1, ACK＝1
(seq#=300 ack#=101)
2
建立连接，ACK＝1
(ack#=301)
3
接收SYN,ACK
TCP半连接攻击就是攻击者发送大量的TCP链接，当目的主机回应TCP后，攻击者不发送确认报文，导致被攻击者系统资源被大量浪费
第 26页 / 共 4页
如何防御ARP攻击
判断ARP欺骗攻击-主机
怎样判断是否受到了ARP欺骗攻击？
网络时断时续或网速特别慢
在命令行提示符下执行“arp –d”命令就能好上一会
在命令行提示符下执行“arp –a”命令查看网关对应的MAC地址发生了改变
*
第 27页 / 共 4页
如何防御ARP攻击
判断ARP欺骗攻击-网关设备
网关设备怎样判断是否受到了ARP欺骗攻击？
ARP表中同一个MAC对应许多IP地址
*
第 28页 / 共 4页
如何防御ARP攻击
*
安全地址获取
丢弃
转发
ARP报文校验
ARP报文S/T字段是否与安全地址一致
ARP报文
是
否
安全地址的获取是防ARP欺骗的前提，ARP报文校验是防ARP欺骗的手段
手工指定
port-security
自动获取
DHCP Snooping
Dot1x认证
ARP-check检查ARP报文中sender MAC和sender IP是否和安全地址中的MAC 和 IP所对应一致
第 29页 / 共 4页
如何防御DHCP攻击
DHCP Snooping
DHCP安全特性
过滤非法DHCP报文，防范非法的DHCP Server和对服务器的攻击
对DHCP报文进行窥探，建立DHCP-Snooping数据库，为IP报文和ARP报文过滤提供依据
Clienet
Server
untrust
untrust
trust
第 30页 / 共 4页
如何防止二层环路
使用生成树协议—