6、路由交换安全与VPN讲义

中山大学路由交换安全与VPN讲义中山大学信息科学与技术学院王常吉副教授2006年11月SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/20192局域网与VLAN局域网标准冲突域与广播域虚拟局域网（VLAN）SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/20193局域网设备在OSI/RM中的位置路由器网络层网络地址寻址、路由网桥/交换机数据链路层用MAC地址寻址集线器/中继器工作物理层，没有寻址能力网络层数据链路层物理层SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/20194局域网标准IEEE,1884年成立，320,000成员，147国家IEEE802.2LLCIEEE802.3EthernetIEEE802.5TokenRingIEEE802.6MAN(DQDB)IEEE802.10，1QVLANIEEE802.11WirelessLANFDDI,ANSIATM,ATMForum&ITU-TSunYat-senUniversity©广东省信息安全技术重点实验室|10/1/20195HowSwitchesLearnHostLocations•InitialMACaddresstableisemptyMACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCDSunYat-senUniversity©广东省信息安全技术重点实验室|10/1/20196HowSwitchesLearnHostsLocations•StationAsendsaframetoStationC•SwitchcachesstationAMACaddresstoportE0bylearningthesourceaddressofdataframes•TheframefromstationAtostationCisfloodedouttoallportsexceptportE0(unknownunicastsareflooded)MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E0E1E2E3DCBASunYat-senUniversity©广东省信息安全技术重点实验室|10/1/20197HowSwitchesLearnHostLocations•StationDsendsaframetostationC•SwitchcachesstationDMACaddresstoportE3bylearningthesourceAddressofdataframes•TheframefromstationDtostationCisfloodedouttoallportsexceptportE3(unknownunicastsareflooded)MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E3:0260.8c01.4444E0E1E2E3DCABSunYat-senUniversity©广东省信息安全技术重点实验室|10/1/20198HowSwitchesFilterFramesStationAsendsaframetostationCDestinationisknown,frameisnotfloodedE0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3XXDCABMACaddresstableSunYat-senUniversity©广东省信息安全技术重点实验室|10/1/20199•StationDsendsabroadcastormulticastframe•Broadcastandmulticastframesarefloodedtoallportsotherthantheoriginatingport0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABE0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.4444MACaddresstableBroadcastandMulticastFramesSunYat-senUniversity©广东省信息安全技术重点实验室|10/1/201910广播域和冲突域冲突域：在同一个冲突域中的每一个节点都能收到所有被发送的帧广播域：网络中能接收任一设备发出的广播帧的所有设备的集合广播域可以跨网段，而冲突域只是发生的同一个网段。HUB所有端口都在同一个广播域，冲突域内。Switch所有端口都在同一个广播域内，而每一个端口就是一个冲突域。SunYat-senUniversity©广东省信息安全技术重点实验室|11冲突域和广播域CollisionDomain1CollisionDomain2BroadcastDomainBridgesterminatecollisiondomainsSunYat-senUniversity©广东省信息安全技术重点实验室|12Multicast,broadcast,andunknowndestinationeventsbecomeglobaleventsServerAARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPIneedtoknowtheMACaddressforServerAARPARPARPARPARPARPARPARP广播风暴引起的性能问题SunYat-senUniversity©广东省信息安全技术重点实验室|13•Broadcastscanconsumeallavailablebandwidth•EachdevicemustdecodethebroadcastframeServerA广播风暴SunYat-senUniversity©广东省信息安全技术重点实验室|1410.1.1.010.1.2.010.1.3.0•LANbroadcaststerminateattherouterinterfaceLAN1LAN2LAN3通过路由器隔离广播域SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/201915•Segmentation•Flexibility•Security3rdfloor2ndfloor1stfloorSALESHRENGAVLAN=Abroadcastdomain=Logicalnetwork(subnet)通过VLAN实现广播域的隔离SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/201916VLAN的类型基于物理端口划分的VLAN基于MAC地址划分的VLAN基于网络层协议划分的VLAN基于网络层地址（IP地址）的VLANSunYat-senUniversity©广东省信息安全技术重点实验室|10/1/201917基于物理端口分组（PortBased）主机A主机B主机C主机D以太网交换机VLAN表端口所属VLANPort1VLAN5Port2VLAN10…………Port7VLAN5…………Port10VLAN10Port1Port2Port7Port10SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/201918基于物理端口分组（PortBased）优点配置简单缺点不允许一个端口同时属于多过VLAN当终端计算机位置变化时，必须由管理员重新配置VLAN的接口。SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/201919二层VLAN：根据MACAddress分组MACAddressVLAN12123541451211238923487374323045834758445254835734758431基于MAC地址分组（MACBased）SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/201920基于MAC地址分组（MACBased）VLAN表MAC地址所属VLANMACAMACBMACCMACDVLAN10VLAN5VLAN10VLAN5主机A主机B主机C主机DMACAMACBMACCMACD以太网交换机SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/201921基于MAC地址分组（MACBased）优点工作站物理移动时，不需要重新配置，依然属于原来的VLAN。缺点在初始时所有的用户必须在至少一个VLAN上初始化SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/201922基于网络层协议分组VLAN表协议类型所属VLANIPX协议IP协议……VLAN5VLAN10……主机A主机B主机C主机D使用IPX协议运行IP协议使用IPX协议运行IP协议以太网交换机SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/201923基于网络地址分组VLAN表IP网络所属VLANIP1.1.1.1/24IP1.1.2.1/24……VLAN5VLAN10……主机A主机B主机C主机D1.1.1.51.1.2.881.1.1.81.1.2.99以太网交换机SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/201924基于网络地址分组优点可以根据协议类型划分物理移动时，无需修改网络地址缺点交换机检查网络层协议信息，消耗资源对于没有层次结构的协议（不可路由）不适用SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/201925交换机之间传输VLAN成员信息交换机之间必须知道每个工作站属于哪一个VLAN，否则VLAN只能限制在同一台交换机上。交换机之间三种交换信息的方式TrunkTaggingSigalingTime-DivisionMultiplexingINTER-SWITCHCOMMUNICATIONSWITCH#1SWITCH#2SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/201926交换机之间传输VLAN成员信息FrameTagging在交换机之间的主干链路（Trunck-Link）上传输的Frame中，在MAC头标中插入VLAN标识符Signalling当一台工作站发送第一个frame时，交换机记录它的MAC地址、端口，在地址表中缓存，并定期向其他的交换机广播。TimeDivisionMultiplexing通过时分多路复用技术，在交换机之间的链路上为每个VLAN建立一个独立的信道SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/201927VLAN的优点易于维护－容易解决人员位置的变动有效地控制广播流量，提高性能增强网络安全性SunYat-senUniversity©广东省信息安全技术重点实验室|10/1/201928VLAN的优点—易于维护