ACL的基本原理、功能与局限
网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于 Cisco IOS的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则: 最小特权原则:只给受控对象完成任务所必须的最小的权限 最靠近受控对象原则:所有的网络层访问权限控制 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
同位素分馏网络设计的总体目标:明确采用哪些网络技术和网络标准以及构筑一个满足哪些应用的多大规模的网络。
总体设计原则:实用性原则、开放性原则、高可用性/可靠性原则、安全性原则、先进性原则、易用性原则、可扩展性原则。
通信子网规划设计包括:拓扑结构选择、核心层设计、接入层设计。
资源子网规划设计包括:服务器接入、服务器子网连接方案:a、服务器直接接入核心交换机,优点是直接利用核心交换机的高带宽,缺点是需要占太多的核心交换机端口,使成本上升 b、核心交换机外接一台服务器子网交换机,优点是可以分担带宽,减少核心交换机端口占用,可为服务器组提供充足的端口密度,缺点是容易形成带宽瓶颈,且存在单点故障。
网络方案中的设备选型包括:厂商的选择、扩展性考虑、根据方案实际需要选型、选择性
能价格比高、质量过硬的产品。 网络操作系统选择要点:服务器的性能和兼容性、安全因素、价格因素、第三方软件、市场占有率。 网络安全设计原则:(1)网络信息系统安全与保密的”木桶原则” (2)整体性原则 (3)有效性与实用性原则 (4)”等级性”原则 (5)设计为本原则 (6)安全有价原则 网络测试包括网络设备测试、网络系统性能测试和网络应用测试三个层次;网络设备测试包括:功能测试、可靠性测试和稳定性测试、一致性测试、互操作性测试和性能测试;网络系统性能测试的两个基本手段是模拟和仿真;网络应用测试主要体现在测试网络对应用的支持水平,如网络应用的性能和服务质量的测试等。 中小型企业网络规划与建设实例讲解
何为中小型企业,时至今日电脑办公越来越普及,人员流动性越来越大,一般我们认为办公电脑在50台以下,分支机构不超二个的差不多就是中小型企业。
在以前我们不太会关注这类企业的IT信息化建设,因为他们太小,电脑的数量太少,无非就是三五台电脑,一个路由器,一个交换机几根网线。投资不大,网线在办公室里乱飞,
李培根记忆可是随着办公自动化程度的提高,电脑数量成倍数增长,局域网内的病毒的泛滥,BT类软件的任意下载,往往会让我们的网络瘫痪。所以,未雨绸缪,在网络建设的初期就规化设计好自已的网络,往往会事半功倍,而且还少了很多不必要的烦忧。
首先第一点就是要了解自已的需求
我们需要了解自已单位日常工作哪些部门使用了电脑,做些什么工作,需要在网络中连接哪些设备,设备分别要放在什么位置,记住这很重要,目前原材料高涨的直接后果就是网线涨价,一箱305的符合国家标准的网线最便宜的也要七百多,在施工中随便拉几条线有时候就会多用上几箱线,到合理的设备放置位置可以节约很多成本,
第二点就是在建设中请使用正规产品
这点我们深有体会,有时候我们帮助某些单位升级他们原有的网络,可是发现他们的材料都用的是些水货,这些水货在使用中总是会出许多问题,例如数据掉包,断网.还有更严重的,劣质材料造成的不稳定信号在网络中还会产生广播风暴,让整个网络不能正常使用,还会让交换机端口死机。
第三点就是在施工中走线不要与电线或电话线一起
有线电视线走在了一起,电线中的高频信号会干扰到网络。电话线,有线电视线平常是没
primo
有什么问题的,但它们与室外的电缆连在了一起,在雷雨季节它们会接收到感应雷电。感应雷又会串到网络中来,可以想象到,如果你几万块的设备被雷击中,会有多么心痛,还有就是交换机最好有接地。 我们现在从几个实例中来看看如何建中小企业网: 例一 五六台电脑,一个打印机。一条ADSL线路没有分支机构。 这可能是最小的企业网了,但是数量也是最多的.他们没有什么过多的要求,就是能上上网,查询要用的资料。在网上联系客户。 我们购买路由器的时候请买带策略管理的,这样方便我们在网关处对整个网进行设置,这类小企业路由器有很多选择,例如TPLINK 的R480 或 腾达t480 等等同类的路由就可以,价格不高,六百左右。电脑内的共享全部关闭掉,只保留一个TCP/IP协议,像360这类免费的安全软件及360杀毒软件可以全装上。(这里可能有很多朋友要笑我了,说360垃圾,但我也要问一下各位朋友,有没有哪个杀毒软件是百毒不侵的?杀毒软件有一个就行了不必太多)。 最好能购买一台NAS可以方便我们在局域网网上共享文件同时还可以把我们的打印机共芜湖市民心声享起来,这样就比较安全可靠了。当然,不想买也行,想节约就在某台电脑上开个网上邻居共享就行了,共享硬盘也可以共享打印机,这不用成本,但是安全性太低。
例二
在这个例子里我们的网络里的设备开始多起来,办公室的笔记本四五个,要求可以在整个办公场所无线工作,还要限制访问互联网的速度.库房距离机房三百米远,里面也有电脑与服务器相连访问数据库。
我们在某县医院做过这样项目,整个大楼里的各科室电脑连接服务器里的数据库,病人看病无纸化操作,服务器里的数据实时更新,这对于整个网络的稳定要求很高,我们把交换机放置在中间楼层,这样到各科室距离都很近,可以节约材料。在机房里放了一台2000KVA的UPS后备电源来保证服务器的正常运行,服务器和交换机路由器都放置在一台2米的机柜中,保证其不会有人乱动,机房地面安装有防静电地板,一根4毫米截面的单股铜芯线做地线与打入地下二米深的钢筋连接,各个电源面板都有接地,一个空调保证室内温度正常,每隔二层楼我们放置一台DLINK的AP来保障笔记本电脑的使用,AP使用了吸顶天线来增强信号。最伤神的就是其中药房与医院大楼相隔三百米,这已经超过普通五类双绞线的传输极限。也想过使用无线桥接,但是数据库对信号质量要求很高,AP有时候会
有掉包的现像,这会使我们的医院管理软件中断,所以我们最后还是使用了网络延长器这种投机取巧的方式来实现我们目地,网络延长器也算的上是HUB的一种,它不过是使用了大功率电路来保证信号的长距传送,我们使用的是户外防水电缆,这种电缆有双层PVC表皮,而且我们的线路走的是地下,没有露天。如果各位朋友要露天走线我建议还是用光纤,因为不用担心夏天的雷电,现在雷电越来越平凡,一个网络想要稳定,各种因素都要考虑在里面。实际上现在光纤的价格比超五类双绞线还便宜,只是要多一个多纤焊接的过程。
这里我们的数据量比较大了,可以使用更强大一些的路由,例如《网络建设第一波 中小企业核心路由器导购》一文中的几种路由就值得一用。我们还需要把部分电脑区别对待,文职工作的电脑我们要许可访问互联网,其它的一律不许访问。禁止BT,QQ,等等这些功能只要通过路由器的基于IP的QoS功能就可以实现。而且这类路由对于ARP、DDOS、分片攻击手断有了很好的防护能力。
在这类工作环境中,我们在机房放置一台带LAN口的工作组打印复印一体机来处理大的打印任务,其它的科室自已分别有适合自已使用的打印机,例如收费、财务科等就要用票证打印机,化验,CT等就要用彩的,普通办公室就用小激光啦。
例三
小区ISP
有一段时间。我们代理过电信,联通的光纤宽带小区,也就是向通信公司租一条10M的光纤,自已在小区里发展客户,我们与小区的物业合作,每个楼道放置一个交换箱,里面有交换机和光收发器。五类双绞线到住户家。楼道与楼道间用光纤,光纤走小区的弱电井到物业管理办,电信的光纤接口也在这里,楼道交换机使用普通的国产机架式,没什么特别,主交换使用的带VLAN的来隔离广播风暴,路由器使用的是DIY的2U带PPPOE服务的ROS软路由。每个楼道交换机外壳都接地,业主使用虚拟拨号上网,软路由基本上是无人值守况态,我们在公司就可以远程管理用户。很少到现场去,用户开户,交费都到公司来。
在各种工程中,我们尽量使用普通的国产设备,一是价格便宜,二是更换及时,方便,还有就是这类普通的交换机功能少却很少死机,反倒是用了华为,思科的地方时不时有死机的情况,这让人很伤脑子。
1 曼彻斯特编码的一个主要优点是_____________。(含自同步信号)
2 在一条频分多路复用线路中,若要同时传输24路话音,最低的载频是64KHZ,则线路上传输24路话音的频率范围是________,若在一条时分数字线路上传输,采样频率是8000次/秒,一个信号用7位表示,则线路的传输比特率应该是_____。(60kHZ-156kHZ,1.344Mb/s)
3 计算机狂龙传网络中常用的纠错法有两种,在单向传输信道中,宜采用_____方法。 (正向纠错法)
4 在现有的传输检错技术中,最精确、最常用的检错技术是______(循环冗余码CRC)
5 在传输一个字符时,有一个引导位,一个停止位,中间有5~8位组成,这种传输方式称为_____。(异步传输方式)
6 在HDLC协议中,若要传输的数据位是011111000,在链路上传输的数据是________,
接收方最后接收的数据是________。(0111110000,011111000)
7 光缆传输中,亮度调制实际是_____调制方式。(幅移键控ASK)
8 连续ARQ协议也称为_____协议。(滑动窗口协议)
9 在经过多个站点传输时,分组交换方式比报文交换方式性能好的原因是_____。(分组交换的数据单位更小)
10 帧中继方式比x.25 方式的速度快的主要原因是________________和____________。(减少了用户与网络之间接口的协议功能,减少了网络内部的处理需求)。
11 ATM交换方式中当信元丢失后,应该由__________进行处理。(终端)
12 OSI体系结构中,(N)层通过_____操作得到(N-1)层提供的服务(原语)
13 IP协议的连接方式是_____,对上提供_______的服务。(无连接,尽力而为)。
14 高层协议利用TCP协议提供的_______与目的进程建立连接。(端口号)
15 ICMP协议封装在_____协议中传到目的主机。(IP)
16 局域网标准对应OSI参考模型的______层。(下三层)
17 LLC协议中有三种类型的帧,即_____ _______和无编号帧,其中前两种类型的帧中,N(R)表示_____。(信息帧, 监督帧 ,希望下次接收到的帧的编号 )。
18 CSMA/CD 的MAC帧中,有一个填充字段,作用是___________(保证最小的帧长度)。
19 千兆以太网的通信规程是______。(CSMA/CD)
20 在10M以太网总线传输方式中,假设以太网帧的长度是为200比特,信号在介质上的传播延迟为2C/3,(C为光速),只考虑数据帧而不考虑其他因素,则总线的最大长度是________米。(2000米)
21 在802.5帧格式中,若目的主机识别出帧是发给自己的,但发现帧出错时,帧中的_____置为1。(ED中的E和FS中的A)
22 从交换方式看,X.25和帧中继都是_____交换方式的。(分组)
23 GSM网络由_____ _______和________组成。(网络子系统、子系统、移动台)。
24 WAP协议与HTTP协议的关系是__________。(以Http为基础,针对无线移动的特性设计的通信协议)
25 网络可以在4个层次上互连,其中最高层次的互连对应的互连设备叫做____(网关)
26 RIP协议是一个基于______的路由协议,OSPF协议是一种_______协议。(距离-向量,链路状态)
27 对于一个大中型网络,需要一个网络管理系统进行管理。当前流行的各类网管平台软件都支持———协议。驻留在————的网管平台软件可以通过该协议调阅被管的网络结点_______中的内容。(SNMP,网管工作站,MIB)
28 有两套密钥密码系统,其中DES采用的是_______系统,RSA采用的是_____,数字签
名时,发送方用____加密,接收方用_________解密。(对称密钥密码,公钥密码,自己的保密解密算法和对方的公开加密算法,自己的保密解密算法和对方的公开加密算法)
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议