您的位置:首页 > 理论基础 > 计算机网络

TCP/IP(1)——规划与接入认证

2019-05-05 23:06 155 查看

目录

校园网络规划

接入层设备

二层交换设备和三层的区别:

汇聚层交换机

核心层交换机

出口路由

总结:

IP地址规划

接入认证与计费

AAA认证系统-radius服务器

PAP和CHAP认证方式的区别、安全性高低

PAP二次报文交互

CHAP三次握手

PAP的认证方式安全性没有CHAP高

总结Portal认证(WEB认证)和802.1x认证的区别

总结

校园网络规划

校园网建设特点:

1. 用户数量大、节点多;

2. 终端类型多样;

3. 多个校区互联;

4. 流量分布不均、内容多样;

5. 安全、计费需求;

6. 应用需求

校园网应用主要考虑:

  • 合理的规划(设备、IP)
  • 便捷的网络管理和计费
  • 良好的安全性
  • 丰富的服务(邮件、主页)

校园网络规划中设备如何选择?:业内公认的网络三层设计架构,详细参考:搞懂三层网络结构(接入层、汇聚层和核心层)就是介么简单!

接入层设备

接入层:接入层目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性

接入层提供足够的带宽解决相邻用户互访需求,还有用户管理与用户信息收集职能。

通常选择二层或者三层交换设备。

二层交换设备和三层的区别:

二层交换机工作在OSI模型数据链路层,通常只有交换功能(通过MAC表),没有路由转发功能。不允许不同VLAN互通。价格较低,通常作为接入设备,具有较多接口:WS-C2960-48TL-C、WS-C2960-TL-C等

三层交换设备工作在2、3层,具有交换、路由转发功能,可以作为接入设备,也可以作为汇聚层设备:WS-C3750-48TS-E

如何通过二层和三层设备配置VLAN(接入层)

  1. 在S2950二层设备划分VLAN,之后此二次交换机的数据都带tag
  2. 设置连接两个二层路由器的端口为trunk口
  3. 两trunk口在三层交换机划分到同一个vlan里。

 

汇聚层交换机

目的:多台接入层交换机的汇聚点,处理来自接入层的信息(数据分组传输的汇聚、转发、交换、管理),提供到核心层的上行链路。

要求:更高的性能,更少的接口和更高的交换速率。

基本功能:

  1. 对接入层进行汇聚、转发和交换
  2. 根据接入层用户流量进行本地路由、过滤、流量均衡、优先级管理、安全机制等处理
  3. 完成各种协议的转换,保证核心层连接运行不同的协议的区域。如路由的汇总和重新发布等

核心层交换机

目的:通过高速转发通信, 提供快速,可靠的骨干传输结构。实现骨干网络之间的优化传输

要求:更高的可靠性,性能和吞吐量 

可以使用Cisco Catalyst4507千兆以太网交换机、Ruijie S86、S76  e.t.c.

骨干层设计任务的 重点通常是冗余能力、可靠性和高速的传输

几台计算机连接起来,互相可以看到其他人的文件,这叫局域网,整个城市的计算机都连接起来,就是城域网,把城市之间连接起来的网就叫骨干网。这些骨干网是国家批准的可以直接和国外连接的互联网。其他有接入功能的ISP(互联网服务提供商)想连到国外都得通过这些骨干网。

骨干网(Internet Backbone Network)是连接国与国、城市与城市之间的高速互联网络。它通过海缆和路缆,将分布在世界各地的数据中心连接起来。

出口路由

一般指局域网 出外网 的路由器,或者指一个企业、小区、单位、城域 网、省级网络、国家网络与 外界网络直接相连的那台路由器 。 

互联网接入选用CISCO3845

总结:

接入层的主要特点是低成本和高端口密度以及提供足够的带宽

汇聚层基本的特性是需要更高的性能,更少的接口,更高的交换速度,最主要的是交换速度,主要的功能 汇聚转化交换

核心层交换机 更高的可靠性,性能,吞吐量,重点在冗余能力,可靠性,高速的传播

IP地址规划

试题:将一个网络号为192.168.63.0/18的地址进 一步分为8个子网。请写出各子网掩码以及各子网 可使用的地址范围?

答: 子网掩码:255.255.248.0(/18来的)
11111111,11111111,11111000,0000000  后面加三个bit分别给八个子网。
各网段地址范围:

  1. 192.168.0.1 ~ 192.168.7.254
  2. 192.168.8.1 ~ 192.168.15.254
  3. 192.168.16.1 ~ 192.168.23.254
  4. 192.168.24.1 ~ 192.168.31.254
  5. 192.168.32.1 ~ 192.168.39.254
  6. 192.168.40.1 ~ 192.168.47.254
  7. 192.168.48.1 ~ 192.168.55.254
  8. 192.168.56.1 ~ 192.168.63.254

 

NAT:NAT应该加在出口路由上,出口路由IP通常为外网IP地址,下联口IP通常为内外IP地址

开启之后,所有外出报文的源IP地址改为出口路由的IP,通常可以利用端口映射实现,外网进入内网的报文根据映射关系填回内网IP。

下面序号显示了主机访问网站的报文交互过程,请按顺序 进行排列: (2 )( 1)(5 )(4 )( 3)
(1) 主机构造DNS报文向处于外网的本地DNS域名服务 器请求DNS域名解析; (2) 主机发出ARP请求查询网关MAC地址; (3) 主机构造HTTP报文向对方网站发送GET方法报文; (4) 主机构造TCP报文与网站服务器建立TCP连接; (5) 本地DNS域名服务器向根域名服务器、顶级域名服 务器和权限域名服务器递归获取域名解析;

BTY:数据报传输的时候源IP和目的IP都不变,只有源MAC和目的MAC在变。

去年计算机网络最后一题:

接入认证与计费

AAA(Authentication、Authorization、Accounting,认证、授权、计费)提供了对认证、授权和计费功能的一致性框架

AAA是一个提供网络访问控制安全的模型,用于用户登入设备或者接入网络。

  •  Authentication:认证模块可以验证用户是否可获得访问权。
  •  Authorization:授权模块可以定义用户可使用哪些服务或这拥有哪些权限。
  •  Accounting:计费模块可以记录用户使用网络资源的情况。 可实现对用户使用网络资源情况的记帐、统计、跟踪。

AAA基本模型中分为用户、NAS、认证服务器三个部分

 

AAA认证系统-radius服务器

RADIUS ( Remote Authentication Dial In User Service 远程认证拨 号用户服务 )是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议。Radius协议详细说明

 

RADIUS协议具有以下特点:

  • 客户端/服务器结构;
  • 采用共享密钥保证网络传输安全性;
  • 良好的可扩展性;(其他的服务也可以加载其报文后)
  • 认证机制灵活,PAP/CHAP;(PAP是两次握手,明文传输用户密码进行认证;CHAP是三次握手,传输MD5值进行认证。)

RADIUS 协议承载于UDP 之上,官方指定端口号为认证授权端口1812、计费端口1813
 

PAP和CHAP认证方式的区别、安全性高低

PAP二次报文交互

密码以文本格式发送、没有加密、对于窃听、重放、重复尝试、错误攻击没有防御功能。

被验方主动发送密码和账户,等待接受和拒绝。

 

CHAP三次握手

解释:

  1. 验证方线发送一个challenge(带key-->一次性的随机数)
  2. 被验证方根据key,用户,密码使用单向哈希函数(无法反推)计算出的值作为应答
  3. 认证者检查,然后发送拒接或者接受报文
  4. 经过一定间隔会重新认证(challenge改变)

PAP的认证方式安全性没有CHAP高

  1. 传输过程中不传输密码,传输Hash值
  2. PAP认证是通过两次握手实现的,而CHAP通过三次握手
  3. PAP认证是被叫提出连接请求,主叫响应;CHAP是主叫发出请求,被叫回复HASH值,主叫确认无误后发送成功数据包连接。

总结Portal认证(WEB认证)和802.1x认证的区别

Portal认证流程

1、用户访问网站,经过AC重定向到Portal Server,Portal Server推送认证页面;

2、用户填入用户名、密码,提交页面,向Portal Server发起连接请求;

3、Portal Server向AC请求Challenge;

4、AC分配Challenge给Portal Server;

5、Portal Server向AC发起认证请求;

6、AC进行RADIUS认证,获得RADIUS认证结果;

7、AC向Portal Server送认证结果;

8、Portal Server将认证结果填入页面,和门户网站一起推送给客户;

9、Portal Server回应确认收到认证结果的报文。

补充:IEEE 802.lx体系结构

802.lx与传统认证方式最本质的区别就是控制与 交换相分离。一旦认证通过,所有的业务流量就 和认证系统分开,有效的解决了网络瓶颈问题。 暴露出了安全性弱、流量控制能力差、不易管理 等可以说是致命的弱点

支持802.lx协议的网络设备(认证系统)有两种类型的逻辑端口 :受控端口(controlled Port )和非受控端口(uncontrolled Port)

“非受控端口”可看成为EAP(可扩展认证协议)端口,不进行认证控制,始终处于双向连通状态,主要用来传递在通过认证前必需的EAPOL协议帧,保证客户端始终能够发出或接收认证报文。

   “受控端口”可以看作为普通业务端口,是需要进行认证控制的。它有“授权”和“非授权”两种状态(相当于在该端口上有一个控制开关):在授权状态下处于 双向连通状态(控制开关闭合),可进行正常的业务报文传递;在非授权状态下处于打开状态(控制开关打开),禁止任何业务报文的传递。设备端利用认证服务器 对客户端进行认证的结果(Accept或Reject)来实现对受控端口的授权/非授权状态进行控制。

 

总结

1. AAA:代表认证、授权和计费;

2. AAA模型包括:用户、NAS、认证服务器

3. Radius认证(服务器): 采用客户端/服务器结构、 基于UDP、支持PAP/CHAP认证;

4. PAP认证和CHAP认证区别?

5. 802.1X:客户端和认证系统之间二层通信 EAPOL, 认证系统和认证服务器之间EAP/Radius报文通信;

6. 802.1X:受控端口和非受控端口;

7. 802.1X:需要安装客户端,认证通过后才DHCP; (锐捷)

8. Potal认证:WEB认证

内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: 
相关文章推荐
新的分享
章节导航