哪家网站开发好,网站建设销售话术900句,培训,教学系统设计 网站开发#xff08;一#xff09;技术点介绍 1.WLAN#xff1a;无线局域网WLAN#xff08;Wireless Local Area Network#xff09;是一种无线计算机网络#xff0c;使用无线信道代替有线传输介质连接两个或多个设备形成一个局域网LAN#xff08;Local Area Network#xff09…一技术点介绍 1.WLAN无线局域网WLANWireless Local Area Network是一种无线计算机网络使用无线信道代替有线传输介质连接两个或多个设备形成一个局域网LANLocal Area Network典型补数场景如家庭、学校、校园、企业办公楼等。WLAN是一个网络系统常见的WIFI是这个网络系统中的一种技术WLAN包含了WIFI。 WLAN优点 网络使用自由凡是自由空间均可连接网络不受限于线缆和端口位置。在办公大楼、机场候机厅、体育场馆、商务酒店等场所适用。 网络部署灵活对于地铁、公路交通监控等难于布线的场所采用WLAN进行无线网络覆盖免去或减少了繁杂的网络布线实施简单成本低、扩展性好。 WLAN技术WLAN技术具有安装便捷、使用灵活、经济节约、易于扩展等优点。但是WLAN技术是以无线射频信号作为业务数据的传输介质这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改。 WLAN常见安全威胁 Wi-Fi无认证攻击者可随意连接无线网络进而对整个网络进行攻击。 无线数据无加密攻击者可以通过铜扣抓包对在无线信道中传输的业务数据进行窃听和篡改。 边界威胁非法AP与合法AP放出相同SSID导致用户连接非法AP数据被攻击者截获。 针对以上安全威胁对应的安全防护措施 防止未经授权使用网络服务的措施是链路认证和用户接入认证通过部署企业级用户认证方案对用户身份进行集中的认证和管理。 提高数据安全的措施是数据加密通过部署无线入侵检测系统/无线入侵防御系统实时发现空口威胁和钓鱼AP并进行反制保护客户网络不被非法入侵。 常见的WLAN漫游技术有传统漫游、快速漫游、智能漫游、无损漫游等。 WLAN的基本元素 工作站STAStation支持802.11标准的终端设备。例如带无线网卡的电脑、支持WLAN的手机等。 接入点APAccess Point为STA提供基于802.11标准的无线接入服务起到有线网络和无线网络的桥接作用。
虚拟接入点VAPVirtual Access Point是AP设备上虚拟出来的业务功能实体。用户可以在一个AP上创建不同的VAP来为不同的用户群体提供无线接入服务。
基本服务集BSSBasic Service Set一个AP所覆盖的范围。在一个BSS的服务区域内STA可以互相通信。 扩展服务集ESSExtend Service Set由多个使用相同SSID的BSS组成。
分布式系统Distribution System分布式系统是指AP之间通过无线链路连接两个或者多个独立的局域网包括有线局域网和无线局域网组建一个互通的网络实现数据传输。 ACFit AP集中式部署 此模式被广泛应用于大中型园区的WiFi网络部署。AC的主要功能是要通过CAPWAP隧道对所有FIT AP进行管理和控制。AC统一给FIT AP批量下发配置因此不需要对AP逐个进行配置大大降低了WLAN的管控金额维护成本。同时因为用户的接入认证可以由AC统一管理所以用户可以在AP间实现无线漫游。胖AP一般应用于小型的无线网络建设可以独立工作不需要AC配合。 2.VLANVLANVirtual Local Area Network虚拟局域网将一个物理的LAN在逻辑划分成多个广播域的通信技术。每个VLAN就是一个广播域VLAN内的主机间可以直接通信而VLAN间则不能直接互通。当主机数目较多时会导致冲突严重、广播泛滥、性能下降可能会造成网络不可用等问题通过二层设备实现LAN互连虽然解决冲突严重的问题但仍然不能隔离广播报文和提升网络质量。 VLAN优点 限制广播域广播域被限制在一个VLAN内节省了带宽提高了网络处理能力。 增强局域网的安全性不同VLAN内的报文在传输时互相隔离vlan间不能直接通信 提高网络的健壮性故障被限制在一个VLAN内不会影响到其他VLAN的正常工作 灵活构建虚拟工作组用VLAN可以划分不同的用户到不同的工作组同一工作组的用户也不局限于某一固定的物理范围网络构建和维护更方便灵活 为了保证羊村用户小羊间的独立和安全将生活区和教务区划分成不同的vlan实现了羊村各区域部门间数据的完全隔离。 3.链路聚合端口绑定技术又称为链路聚合Link Aggregation是将一组物理接口捆绑在一起作为一个逻辑接口在一起作为一个逻辑接口来增加贷款的一种方法又称为多接口负载均衡组。主要是通过在两台设备之间建立链路聚合组可以提供更高的通讯带宽和更高的可靠性。链路聚合在不需要对硬件进行升级的情况下为设备通信提供了冗余保护。 链路聚合优点 为逻辑链路增加带宽 增加可靠性 实现链路传输弹性和冗余 实现条件 每个Eth-Trunk接口下最多包含8个成员接口 成员接口不能配置任何业务和静态MAC地址 Eth-Trunk接口不能嵌套成员接口不能是Eth-Trunk 一个以太网接口只能加入到一个Eth-Trunk接口 一个Eth-Trunk接口中的成员接口必须是同一类型 可以将不同的接口板上的以太网接口加入到同一个Eth-Trunk 若本地设备使用了Eth-Trunk与成员接口直连的对端接口也必须捆绑为Eth-Trunk接口两端才能够正常通信 当成员接口的速率不一致时实际使用中速率小的接口可能会出现拥塞导致丢包 当成员接口速率不一致时学习MAC地址时是按照Eth-Trunk学习的而不是按照成员接口来学习 4.静态路由使用静态路由的另一个好处是网络安全保密性高静态路 是一种需要手工配置的特殊路由静态路由比动态路由使用更少的带宽。当网络发生故障或者拓扑图发生改变时静态路由不会自动更新必须手动重新配置。 静态路由有五个主要的参数目的地址、掩码、出接口、下一跳、优先级。 静态路由的优点配置简单、可控性高。 配置注意事项 两个设备之间通信是双向的路由也必须是双向的在本端配置完静态路由后在对端设备也要配置回程路由。 在网络双出口的场景中通过配置两条等价的静态路由可以实现负载分担流量可以均衡的分配到两条不同的链路上通过配置两条不等价的静态路由可以实现主备份当主用链路故障时流量切换到备用链路上。 静态路由配置方法 指定借口示例ip route-static 192.168.10.0 24 s1/0/1 指定下一跳示例 ip route-static 192.168.20.0 255.255.255.0 10.0.12.2 区别在路由查找上指定下一跳会多进行一次路由的递归查找拿下一跳去进行递归得出出接口二层地址解析指定下一跳使用最后一次递归的下一跳IP地址去解析下一跳二层地址如果指定出接口的路由数据包匹配到后直接用目的地址解析下一跳地址。 5.默认路由默认路由是一种特殊的静态路由默认路由会大大简化路由器的配置减轻管理员的工作负担提高网络性能。 6.VRRP现网中的主机使用缺省网关与外部网络联系时如果Gateway出现故障与其相连的主机将于外界失去联系导致业务中断。VRRP解决了这个问题将多台设备组成一个虚拟设备通过配置虚拟设备的IP地址为缺省网关实现缺省网关的备份。当网关设备发生故障时VRRP机制能够选举新的网关设备承担数据流量从而保障网络的可靠通信。 如下图所示当Master设备故障时发往缺省网关的流量将由Backup设备进行转发。
VRRP选举机制各设备会根据所配置的优先级来选举Master设备选举过程如下图所示
在羊村VS狼堡项目中VRRP与路由状态联动当上行路由出现异常时Master设备可以降低一定的优先级当优先级低于Backup设备的优先级时Backup设备切换为Master设备从而避免因为上行路由的异常导致的业务受损。如下图所示
7.IPSec VPNVPNVirtual Private Network虚拟专用网是一种在公用网络上建立专用网络的技术。是因为VPN的两个节点之间并没有像传统专用网那样使用端到端的物理链路而是架构在公用网络如Internet之上的逻辑网络用户数据通过逻辑链路传输。 IPsec VPN是指采用IPsec实现远程接入的一种VPN技术通过在公网上为两个或者多个私有网络之间建立IPsec隧道并通过加密和验证算法保证VPN连接的安全。示意图如下
IPsec VPN保护的是点对点之间的通信通过IPsec VPN可以在主机和主机之间、主机和网络安全网关之间或网络安全网关如防火墙、路由器之间建立安全的隧道连接。其协议主要工作在IP层在IP层对数据包进行加密和验证。IPsec加密验证过程示意图如下
优点IPsec VPN安全性更高数据在IPsec隧道中都是加密传输。 IPsec工作在网络层它直接运行在IPInternet Protocol互联网协议上。通常适用于点对点的组网。 8.OSPFOpen Shortest Path First开放式最短路径优先是一种主要应用于大型网络的路由协议链路状态协议最佳路由是通过链路状态类型的方法实现的。一般用于同一个路由域内。 优点 可以进行负载均衡 收敛时间短 不会出现环路 采用组播形式收发报文可以减少对其他不运行OSPF路由器的影响 支持报文加密 支持无类型域间选路 9.NAT
静态NAT 静态NAT实现了私有地址和共有地址的一对一映射。 一个公网IP只会分配给唯一固定的内网主机。
Easy IP: 当用户拥有的公网IPv4地址个数较少时配置了NAT设备出接口的IPv4地址和其他应用之后没有可用的空闲公网IPv4地址时可以选择Easy IP使用出接口的IPv4地址作为私网主机转换后的公网IPv4地址。在设备上配置Easy IP实现私网主机访问Internet。
10.BGP自治系统ASAutonomous System是指在一个实实体管辖下 的拥有相同选路策略的IP网络。BGP网络中的每个AS都被分配在一 个唯一的AS号用于区分不同的AS。 BGP使用认证和通用TTL安全保护机制GTSMGeneralized TTL Security Mechanism两个方法保证BGP对等体间的交换券。 BGP认证BGP认证分为MD5和Keychain认证对BGP对等体关系 进行认证是提高安全性的有效手段。MD5认证只能为TCP连接设置认 证密码而Keychain认证除了为TCP连接设置认证密码外还可以 对BGP协议报文进行认证。 11.DHCP动态主机配置DHCPDynamic Host Configuration Portocol 是一种网络管理协议用于集中对用户IP地址进行动态管理和配置。 DHCP采用UDP作为 传输协议DHCP客户端发送请求消息到DHCP 服务器68端口号DHCP服务器回应应答消息给DHCP客户端的67 号端口。 要点只有跟DHCP客户端在同一个网段的DHCP服务器才能收到DHCP客户端广播的DHCP Discover报文。当DHCP客户端与服务器不在同一网段时必须部署DHCP中继来转发DHCP客户端和服务器之间的报文。 优点 准确的IP配置 减少IP地址冲突 IP地址管理的自动化 高效的变更管理 12.ACL访问控制列表Access Control List是由一条或者多条规则组成的集合。ACL本质上是一种报文过滤器。 作用ACL作为一个过滤器设备通过应用ACL来阻止和允许特定流量的流入和流出若没有ACL任何流量都会自由的流入和流出网络容易遭受攻击.为了保护内网安全在设备上应用ACL可以封堵网络病毒常用端口防止Internet上的恶意流量入侵。 提供安全访问 防止网络攻击 提高网络带宽利用率 在防火墙中使用ACL 防火墙用在内外网络边缘处防止外部网络对内部网络的入侵也可以用来保护网罗内部大型服务器和重要的资源。由于ACL直接在设备的转发硬件中配置在防火墙中配置ACL在保护网络安全的同时不会影响到服务器的性能。
匹配机制一旦命中即停止匹配。
13.AC无线控制器是一种网络设备用来集中化控制局域网内可控的无线AP是一个无线网络的核心负责管理无线网络中的所有无线AP包括下发配置、修改相关配置参数、射频智能管理、接入安全控制等相当于调度官。 14.Fit AP也称为无线网桥、无线网关。此无线设备的传输机制相当于有线网络中的集线器在无线局域网中不停地接收和传送数据瘦AP本身不能进行配置需要一台专门的设备无线控制器进行集中控制管理配置。在狼村VS羊村中采用的是ACFit AP集中部署方式。
