《路由与交换技术》课件

《路由与交换技术》课程概述深入了解网络体系结构、数据链路层学习路由器和交换机的基本工作原理和网络层等基本概念、配置方法和应用场景掌握网络安全的基本知识，包括访问控制、防火墙、VPN和NAT等技术网络体系结构网络体系结构是网络的组织框架，它定义了网络的各层功能和相互关系网络体系结构的目的是为了使网络的设计、实现和管理更加方便，并确保网络的互操作性常用的网络体系结构有TCP/IP模型、OSI模型等数据链路层物理层网络层帧数据链路层建立在物理层之上，负责数据链路层为网络层提供可靠的数据数据链路层将数据封装成帧，并添加将数据帧从源节点传输到目标节点传输服务，确保数据在链路上传输的帧头和帧尾，以便识别帧的起始和结可靠性束位置地址MAC486比特组MAC地址是48位的二进制数，用于MAC地址被分成6组，每组包含8位唯一标识网络设备，并以十六进制形式表示2部分MAC地址的前24位表示制造商代码，后24位表示设备序列号交换机工作原理帧接收交换机接收来自网络设备的帧地址解析MAC交换机解析帧中的目标MAC地址交换表查找交换机在交换表中查找与目标MAC地址匹配的端口帧转发交换机将帧转发到相应的端口交换表定义作用交换表是交换机内部维护的一张表格，用于存储MAC地址和端当交换机接收到数据帧时，会根据数据帧中的目标MAC地址，口信息，用于快速转发数据帧在交换表中查找对应的端口，并将其转发到该端口，提高网络传输效率VPN加密连接远程访问数据安全通过公用网络建立安全的私有连接安全地访问公司网络或应用程序保护敏感信息，防止窃听和攻击简介VLAN虚拟局域网隔离和管理VLAN是将一个物理网络划分VLAN通过将用户划分到不同为多个逻辑网络的技术，以提的虚拟网络来隔离不同组的流高网络性能、安全性并简化管量，提高网络安全性理灵活性和可扩展性VLAN允许在物理上分离的用户在逻辑上进行分组，无需重新布线，提高网络的灵活性和可扩展性的工作原理VLAN划分逻辑组1将同一广播域内的主机划分到不同的逻辑组中，以限制广播流量标识VLAN2每个VLAN都有一个唯一的标识，用于识别该VLAN中的主机标签帧3交换机将数据帧封装到VLAN标签帧中，以区分不同的VLAN划分标准VLAN端口地址VLAN MACVLAN将端口分配到不同的VLAN中，从而隔离不同VLAN的流量根据MAC地址将设备分配到不同的VLAN中，为具有相同MAC地址的设备提供隔离路由器的工作机制接收数据包1路由器接收来自网络的数据包，并分析数据包中的目的地址查找路由表2路由器根据目的地址，在路由表中查找与之匹配的路由条目选择最佳路径3根据路由表中找到的路由条目，选择最优路径转发数据包转发数据包4路由器通过选择的路径将数据包转发到下一个网络设备静态路由手动配置简单易用缺乏灵活性适用于管理员手动配置路由表条目适用于小型网络或路由需求需要手动更新路由表条目，小型网络、特定网络连接、，指定特定网络的下一跳地较少的网络，易于管理和维无法适应网络拓扑变化安全隔离等场景址和出接口护动态路由协议RIP OSPF距离矢量路由协议，简单易用，链路状态路由协议，适用于大型适用于小型网络网络，支持多路径路由BGP外部网关协议，适用于互联网，提供跨域路由路由协议OSPF开放式最短路径优先链路状态协议12OSPF是一种内部网关协议，OSPF使用链路状态算法，它用于在单一自治系统内的路由收集网络拓扑信息并计算最短器之间交换路由信息路径区域划分3OSPF支持区域划分，以简化大型网络的路由管理路由协议BGP跨自治域路径选择BGP主要用于连接不同自治域的路BGP使用复杂的路径选择算法，根由器，实现跨网络的路由选择据路径属性（如AS路径长度、路径跳数等）选择最佳路由安全性BGP支持身份验证机制，确保路由信息的可靠性和安全性路由器配置实践基本配置1IP地址、子网掩码、默认网关路由配置2静态路由、动态路由协议安全配置3访问控制列表、防火墙访问控制列表定义类型访问控制列表（ACL）是网络设备中用来控制网络流量的规则集ACL可以分为标准ACL、扩展ACL和命名ACL标准ACL只能根合ACL可以根据源地址、目的地址、端口号等条件来过滤网络据源IP地址进行过滤；扩展ACL可以根据源IP地址、目的IP地址数据包、端口号、协议等条件进行过滤；命名ACL可以对标准ACL和扩展ACL进行命名，方便管理防火墙原理防火墙作为网络安全的重要组成部分，在网络边界或网络内部构建安全屏障，对进出网络的数据流进行过滤和控制，防止非法访问和恶意攻击防火墙通常采用“包过滤”技术，对每个网络数据包进行分析，根据预设规则判断是否允许其通过常见防火墙类型包括硬件防火墙、软件防火墙和混合防火墙技术NAT网络地址转换隐藏内部网络节省地址IPNAT是一种网络地址转换技术，它将私有NAT可以隐藏内部网络的IP地址，提高网NAT可以将多个私有IP地址映射到一个公IP地址转换为公用IP地址，允许局域网内络安全性，防止外部攻击者直接访问内部用IP地址，节省公用IP地址资源的设备访问互联网网络协议DHCP自动分配地址减少管理负担IPDHCP协议用于在网络中自动分无需手动配置每个设备的IP地址配IP地址，简化网络管理，提高网络配置效率提高网络安全通过DHCP服务器控制IP地址分配，防止地址冲突和网络攻击服务DNS域名解析网络资源定位将域名转换为IP地址，使用户能够通提供网络资源的地址信息，例如服务过易记的域名访问网站和服务器、邮箱、数据库等提高网络安全性通过域名解析，可以防止恶意网站和攻击者的访问与IPv4IPv61IPv42IPv6Internet Protocolversion4Internet Protocolversion6，是目前互联网上使用最广泛，新一代网络协议，它使用的网络协议，它使用32位地址128位地址空间，能够提供更空间大的地址空间和更强的安全性互操作性3IPv4和IPv6之间存在着互操作性问题，需要通过过渡技术来实现地址分配IPv6地址空间层次化分配IPv6提供了更大的地址空间，支持IPv6地址分配采用层次化结构，将全球网络的快速发展每个IPv6地地址空间划分为不同的区域，方便管址由128位组成，提供了巨大的地址理和分配数量全球分配IANA负责全球IPv6地址分配，将地址空间分配给各个区域和机构报文结构IPv6版本流量类别标识IPv6版本号，始终为6用于区分不同类型的流量，如实时流、非实时流等流标签有效载荷长度用于识别和区分同一源地址和目表示IPv6报文有效载荷的长度标地址的多个数据流路由协议IPv6RIPng OSPFv3BGP-4RIPng是RIPv2的IPv6版本，它是一种基OSPFv3是OSPF的IPv6版本，它是一种基BGP-4是BGP的IPv6版本，它是一种外部于距离矢量的路由协议，使用跳数作为度于链路状态的路由协议，使用成本作为度网关协议，使用AS号和路径长度作为度量量值量值值过渡技术IPv6双栈隧道技术转换器设备同时支持IPv4和IPv6，允许网络同将IPv6流量封装在IPv4报文中传输，允将IPv4地址转换为IPv6地址，反之亦然时运行两种协议这提供了一种直接过许IPv6网络通过IPv4网络进行通信这，允许IPv4设备与IPv6网络进行通信渡方法，但可能需要额外的硬件和软件是一种灵活的过渡方法，但可能导致性这是一种简单的方法，但可能存在地址支持能损失冲突问题网络安全威胁恶意软件网络攻击12病毒、蠕虫、木马等恶意程序拒绝服务攻击、SQL注入、跨，可以窃取敏感信息、破坏系站脚本攻击等，旨在破坏网络统文件、控制设备等服务、窃取数据或控制系统社会工程学3利用人性的弱点，诱骗用户泄露敏感信息，例如钓鱼邮件、电话诈骗等网络安全防御策略安全意识教育访问控制12员工是网络安全的第一道防线限制对敏感数据的访问，并实定期进行安全意识培训，提施多因素身份验证以加强用户高员工对网络安全威胁的认识身份验证数据加密入侵检测与防御34使用加密技术保护敏感数据，部署入侵检测和防御系统，实即使数据被窃取，也无法被访时监控网络活动，并采取措施问阻止恶意攻击网络综合实践案例本课程将结合实际案例，带领学生进行网络综合实践例如，搭建小型局域网，配置路由器和交换机，实现网络互联，并进行安全配置和故障排查通过实践操作，学生将能够深入理解网络原理，掌握网络设备配置和管理技能，并培养解决实际网络问题的能力。