计算机网络访问控制.docx
- 文档编号:23281359
- 上传时间:2023-05-15
- 格式:DOCX
- 页数:58
- 大小:1.24MB
计算机网络访问控制.docx
《计算机网络访问控制.docx》由会员分享,可在线阅读,更多相关《计算机网络访问控制.docx(58页珍藏版)》请在冰豆网上搜索。
计算机网络访问控制
生产实习报告
——计算机网络访问控制
实习背景
●计算机网络的发展、体系结构
计算机网络体系结构可以定义为是网络协议的层次划分与各层协议的集合,同一层中的协议根据该层所要实现的功能来确定。
各对等层之间的协议功能由相应的底层提供服务完成。
层次化的网络体系的优点在于每层实现相对独立的功能,层与层之间通过接口来提供服务,每一层都对上层屏蔽如何实现协议的具体细节,使网络体系结构作到与具体物理实现无关。
层次结构允许连接到网络的主机和终端型号、性能可以不一,但只要遵守相同的协议即可以实现互操作。
高层用户可以从具有相同功能的协议层开始进行互连,使网络成为开放式系统。
这里“开放”指按照相同协议任意两系统之间可以进行通信。
因此层次结构便于系统的实现和便于系统的维护。
国际标准化组织ISO(InternationalStandardsOrganization)在80年代提出的开放系统互联参考模型OSI(OpenSystemInterconnection),这个模型将计算机网络通信协议分为七层[2]:
(1)物理层(PhysicalLayer)
物理层建立在物理通信介质的基础上,作为系统和通信介质的接口,用来实现数据链路实体间透明的比特(bit)流传输。
只有该层为真实物理通信,其它各层为虚拟通信。
物理层实际上是设备之间的物理接口,物理层传输协议主要用于控制传输媒体。
(2)数据链路层(DataLinkLayer)
数据链路层为网络层相邻实体间提供传送数据的功能和过程;提供数据流链路控制;检测和校正物理链路的差错。
物理层不考虑位流传输的结构,而数据链路层主要职责是控制相邻系统之间的物理链路,传送数据以帧为单位,规定字符编码、信息格式,约定接收和发送过程,在一帧数据开头和结尾附加特殊二进制编码作为帧界识别符,以及发送端处理接收端送回的确认帧,保证数据帧传输和接收的正确性,以及发送和接收速度的匹配,流量控制等。
(3)网络层(NetWorkLayer)
广域网络一般都划分为通信子网和资源子网,物理层、数据链路层和网络层组成通信子网,网络层是通信子网的最高层,完成对通信子网的运行控制。
网络层和传输层的界面,既是层间的接口,又是通信子网和用户主机组成的资源子网的界限,网络层利用本层和数据链路层、物理层两层的功能向传输层提供服务。
(4)传输层(TransportLayer)
从传输层向上的会话层、表示层、应用层都属于端——端的主机协议层。
传输层是网络体系结构中最核心的一层,传输层将实际使用的通信子网与高层应用分开。
从这层开始,各层通信全部是在源与目标主机上的各进程间进行的,通信双方可能经过多个中间节点。
传输层为源主机和目标主机之间提供性能可靠、价格合理的数据传输。
具体实现上是在网络层的基础上再增添一层软件,使之能屏蔽掉各类通信子网的差异,向用户提供一个通用接口,使用户进程通过该接口,方便地使用网络资源并进行通信。
(5)会话层(SessionLayer)
会话是指两个用户进程之间的一次完整通信。
会话层提供不同系统间两个进程建立、维护和结束会话连接的功能;提供交叉会话的管理功能,有一路交叉、两路交叉和两路同时会话的3种数据流方向控制模式。
会话层是用户连接到网络的接口。
(6)表示层(PresentationLayer)
表示层的目的是处理信息传送中数据表示的问题。
由于不同厂家的计算机产品常使用不同的信息表示标准,例如在字符编码、数值表示、字符等方面存在着差异。
如果不解决信息表示上的差异,通信的用户之间就不能互相识别。
因此,表示层要完成信息表示格式转换,转换可以在发送前,也可以在接收后,也可以要求双方都转换为某标准的数据表示格式。
所以表示层的主要功能是完成被传输数据表示的解释工作,包括数据转换、数据加密和数据压缩等。
表示层协议主要功能有:
为用户提供执行会话层服务原语的手段;提供描述负载数据结构的方法;管理当前所需的数据结构集和完成数据的内部与外部格式之间的转换。
例如,确定所使用的字符集、数据编码以及数据在屏幕和打印机上显示的方法等。
表示层提供了标准应用接口所需要的表示形式。
(7)应用层(ApplicationLayer)
应用层作为用户访问网络的接口层,给应用进程提供了访问OSI环境的手段。
应用进程借助于应用实体(AE)、实用协议和表示服务来交换信息,应用层的作用是在实现应用进程相互通信的同时,完成一系列业务处理所需的服务功能。
当然这些服务功能与所处理的业务有关。
●计算机网络访问控制
随着全球网络化和信息化的发展,计算机网络已经深入到社会生活的各个方面,许多敏感的信息和技术都是通过计算机进行传输、控制和管理,尤其是近年来网络上各种新业务的兴起,如网络银行、电子政务和电子商务的快速发展,网络的重要性及其对社会的影响也越来越大。
随之而来的问题是网络环境同益复杂,安全问题也变得日益突出,仅仅依靠传统的加密技术已不能满足网络安全的需要。
国际标准化组织(ISO)在网络安全标准(IS07498—2)中定义了5个层次型安全服务:
身份认证服务、访问控制服务、数据保密服务、数据完整性服务和不可否认服务,而访问控制便是其中的一个重要组成部分。
所谓访问控制,就是在鉴别用户的合法身份后,通过某种途径显式地准许或限制用户对数据信息的访问能力及范围,从而控制对关键资源的访问,防止非法用户的侵入或者合法用户的不慎操作造成破坏。
访问控制技术的实现是基于访问控制中权限的实现也就是访问控制的策略[3]。
访问控制策略定义了在系统运行期间的授权和非授权行为,即哪些行为是允许发生的,那些是不允许发生的。
一般分为授权策略(AuthorizationPolicies)和义务策略(ObligationPolicies)。
授权策略是指对于客体,哪些操作是允许的,而哪些操作是被禁止的;义务策略是指主体必须执行或不必执行的操作,是主体的义务。
访问控制的基本概念有[4]:
(1)主体(Subjeet)
主体是指主动的实体,是访问的发起者,它造成了信息的流动和系统状态的改变,主体通常包括人、进程和设备。
(2)客体(Object)
客体是指包含或接受信息的被动实体,客体在信息流动中的地位是被动的,是处于主体的作用之下,对客体的访问意味着对其中所包含信息的访问。
客体通常包括文件、设备、信号量和网络节点等。
(3)访问(Access)
访问(Access)是使信息在主体(Subject)和客体(Object)之间流动的一种交互方式。
(4)权限(AccessPermissions)
访问权限控制决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。
适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。
访问控制的手段包括用户识别代码、口令、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计等等。
访问控制是保证网络安全最重要的核心策略之一,它涉及的技术也比较广,它包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
访问控制是指对主体访问客体的权限或能力的限制,以及限制进入物理区域和限制使用计算机系统和计算机存储数据的过程。
在访问控制中,主体必须控制对客体的访问活动,它是访问的发起者,通常为进程、程序或用户。
客体则是指对其访问必须进行控制的资源,客体一般包括各种资源,如文件、设备、信号量等。
一、实习目的:
1.1掌握路由器和交换机的基本原理
1.2掌握目前网络中常用的路由协议
1.3学会使用Packettracer进行网络设置和规划的仿真
1.4学会使用路由器和交换机
二、实验具体要求:
2.1vlan的划分
2.2静态路由配置
2.3RIP协议配置
2.4OSPF配置
2.5ACL访问控制列表
2.6基于MAC地址的访问控制的设置
2.7NAT的访问控制的设置
2.8GRE的访问控制的设置
2.9TELNET访问控制的设置
2.10SSH用户的本地认证和授权配置
2.11基于IPSEC访问控制的设置
三、实验设备
3.1h3c路由器和交换机各2台;
3.2PC机4台;WindowsXP操作系统,装有超级终端仿真软件;
3.3Console控制台电缆1根;
3.4网线若干条。
四、实验原理与过程
4.1vlan的划分
.实验原理
●交换机的工作原理:
在计算机网络系统中,交换机是针对共享工作模式的弱点而推出的。
集线器是采用共享工作模式的代表,如果把集线器比作一个邮递员,那么这个邮递员是个不认识字的“傻瓜”。
要他去送信,他不知道直接根据信件上的地址将信件送给收信人,只会拿着信分发给所有的人,然后让接收的人根据地址信息来判断是不是自己的。
而交换机则是一个“聪明”的邮递员,交换机拥有一条高带宽的背部总线和内部交换矩阵。
交换机的所有的端口都挂接在这条背部总线上,当控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口。
目的MAC若不存在,交换机才广播到所有的端口,接收端口回应后交换机会“学习”新的地址,并把它添加入内部地址表中。
可见,交换机在收到某个网卡发过来的“信件”时,会根据上面的地址信息,以及自己掌握的“常住居民户口簿”快速将信件送到收信人的手中。
万一收信人的地址不在“户口簿”上,交换机才会像集线器一样将信分发给所有的人,然后从中找到收信人。
而找到收信人之后,交换机会立刻将这个人的信息登记到“户口簿”上,这样以后再为该客户服务时,就可以迅速将信件送达了。
●路由器的工作原理:
所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。
那么路由器具体是如何进行“翻译”工作的呢?
我们平时在学习、翻译英语时,肯定会准备一本英汉字典,通过它来实现英文与中文之间的互现转换。
而对于路由器而言,它也有这种用于翻译的字典,路径表。
路径表(RoutingTable)保存着各种传输路径的相关数据,如子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。
路径表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由路由器自动调整,也可以由主机控制。
通过路由器可以让不同子网、网段进行互连,因此路由器与集线器、交换机不同,它一般安装在网络的“骨干”部位,而不像集线器、交换机那样工作在基层。
比如说一个较大规模的企业局域网,基于管理、安全、性能的考虑,一般都会将整个网络划分为多个VLAN,如此一来,当VLAN与VLAN之间进行通讯时,就必须使用路由器。
●vlan原理
VLAN(VirtualLocalAreaNetwork)的中文名为"虚拟局域网"。
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。
与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:
网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不同的广播域是相互隔离的。
不同的广播域之间想要通信,需要通过一个或多个路由器。
这样的一个广播域就称为VLAN。
.实验过程
2台交换机,4台终端——拓扑图
配置命令
SystemView:
returntoUserViewwithCtrl+Z.
[switch0]vlan10
[switch0-vlan10]quit
[switch0]vlan20
[switch0-Vlan20]quit
[switch0]interfaceGigabitEthernet1/0/1
[switch0-GigabitEthernet1/0/1]portlink-typetrunk
[switch0-GigabitEthernet1/0/1]porttrunkpermitvlanall
Pleasewait...........................................Done.
[switch0-GigabitEthernet1/0/1]quit
[switch0]interfaceGigabitEthernet1/0/2
[switch0-GigabitEthernet1/0/2]portaccessvlan10
[switch0-GigabitEthernet1/0/2]quit
[switch0]interfaceGigabitEthernet1/0/3
[switch0-GigabitEthernet1/0/3]portaccessvlan20
[switch0-GigabitEthernet1/0/3]quit
[switch0]quit
SystemView:
returntoUserViewwithCtrl+Z.
[switch1]vlan10
[switch1-vlan10]quit
[switch1]vlan20
[switch1-Vlan20]quit
[switch1]interfaceGigabitEthernet1/0/1
[switch1-GigabitEthernet1/0/1]portlink-typetrunk
[switch1-GigabitEthernet1/0/1]porttrunkpermitvlanall
Pleasewait...........................................Done.
[switch1-GigabitEthernet1/0/1]quit
[switch1]interfaceGigabitEthernet1/0/2
[switch1-GigabitEthernet1/0/2]portaccessvlan10
[switch1-GigabitEthernet1/0/2]quit
[switch1]interfaceGigabitEthernet1/0/3
[switch1-GigabitEthernet1/0/3]portaccessvlan20
[switch1-GigabitEthernet1/0/3]quit
[switch1]quit
实验结果
PC0pingPC2——相同vlan
PC0pingPC3——不同vlan
由实验结果可以看出:
相同vlan下终端可以ping通,不同vlan下无法ping通。
4.2静态路由配置
.实验原理
静态路由是指由用户或网络管理员手工配置的路由信息。
当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。
静态路由信息在缺省情况下是私有的,不会传递给其他的路由器。
当然,网管员也可以通过对路由器进行设置使之成为共享的。
静态路由一般适用于比较简单的网络环境,在这样的环境中,网络管理员易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。
使用静态路由的另一个好处是网络安全保密性高。
动态路由因为需要路由器之间频繁地交换各自的路由表,而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。
因此,网络出于安全方面的考虑也可以采用静态路由。
不占用网络带宽,因为静态路由不会产生更新流量。
.实验过程
拓扑图
配置命令
SystemView:
returntoUserViewwithCtrl+Z.
[router0]interfacee0/1
[router0-Ethernet0/1]ipadd192.168.100.1255.255.255.0
[router0-Ethernet0/1]quit
[router0]interfacee0/0
[router0-Ethernet0/0]ipadd192.168.46.1255.255.255.0
[router0-Ethernet0/1]quit
SystemView:
returntoUserViewwithCtrl+Z.
[router1]interfacee0/1
[router1-Ethernet0/1]ipadd192.168.100.2255.255.255.0
[router1-Ethernet0/1]quit
[router1]interfacee0/0
[router1-Ethernet0/0]ipadd192.168.47.1255.255.255.0
[router1-Ethernet0/1]quit
[router1]iproute-static192.168.46.0255.255.255.0192.168.100.1
[router1]quit
[router0]iproute-static192.168.47.0255.255.255.0192.168.100.2
[router0]quit
实验结果
在PC0上用ping命令,pingPC1
4.3RIP配置
.实验原理
RIP协议是一种内部网关协议(IGP),是一种动态路由选择协议,用于自治系统(AS)内的路由信息的传递。
RIP协议基于距离矢量算法(DistanceVectorAlgorithms),使用“跳数”(即metric)来衡量到达目标地址的路由距离。
这种协议的路由器只关心自己周围的世界,只与自己相邻的路由器交换信息,范围限制在15跳(15度)之内,再远,它就不关心了。
RIP应用于OSI网络七层模型的应用层。
各厂家定义的管理距离(AD,即优先级)如下:
华为定义的优先级是100,华三定义优先级是100,思科定义的是120。
RIP协议采用距离向量算法,在实际使用中已经较少适用。
在默认情况下,RIP使用一种非常简单的度量制度:
距离就是通往目的站点所需经过的链路数,取值为1~15,数值16表示无穷大。
RIP进程使用UDP的520端口来发送和接收RIP分组。
RIP分组每隔30s以广播的形式发送一次,为了防止出现“广播风暴”,其后续的的分组将做随机延时后发送。
在RIP中,如果一个路由在180s内未被刷,则相应的距离就被设定成无穷大,并从路由表中删除该表项。
RIP分组分为两种:
请求分组和响应分组。
.实验过程
拓扑图
配置命令
SystemView:
returntoUserViewwithCtrl+Z.
[router0]interfacee0/1
[router0-Ethernet0/1]ipadd192.168.100.1255.255.255.0
[router0-Ethernet0/1]quit
[router0]interfacee0/0
[router0-Ethernet0/0]ipadd192.168.46.1255.255.255.0
[router0-Ethernet0/1]quit
[router0]rip
[router0-rip-1]network192.168.100.0
[router0-rip-1]network192.168.46.0
[router0-rip-1]quit
[router0]quit
SystemView:
returntoUserViewwithCtrl+Z.
[router1]interfacee0/1
[router1-Ethernet0/1]ipadd192.168.100.2255.255.255.0
[router1-Ethernet0/1]quit
[router1]interfacee0/0
[router1-Ethernet0/0]ipadd192.168.47.1255.255.255.0
[router1-Ethernet0/1]quit
[router1]interfacee0/1
[router1]rip
[router1-rip-1]network192.168.100.0
[router1-rip-1]network192.168.47.0
[router1-rip-1]quit
[router1]quit
实验结果
在PC0上用ping命令,pingPC1
4.4OSPF配置
.实验原理
OSPF(OpenShortestPathFirst开放式最短路径优先)是一个内部网关协议(InteriorGatewayProtocol,简称IGP),用于在单一自治系统(autonomoussystem,AS)内决策路由。
是对链路状态路由协议的一种实现,隶属内部网关协议(IGP),故运作于自治系统内部。
著名的迪克斯加算法(Dijkstra)被用来计算最短路径树。
OSPF分为OSPFv2和OSPFv3两个版本,其中OSPFv2用在IPv4网络,OSPFv3用在IPv6网络。
OSPFv2是由RFC2328定义的,OSPFv3是由RFC5340定义的。
与RIP相比,OSPF是链路状态协议,而RIP是距离矢量协议。
OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。
在这里,路由域是指一个自治系统(AutonomousSystem),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。
在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。
作为一种链路状态的路由协议,OSPF将链路状态组播数据LSA(LinkStateAdvertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。
运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。
.实验过程
拓扑图
配置命令
SystemView:
returntoUserViewwithCtrl+Z.
[router0]interfacee0/1
[router0-Ethernet0/1]ipadd192.168.100.1255.255.255.0
[router0-Ethernet0/1]quit
[router0]interfacee0/0
[router0-Ethernet0/0]ipadd192.168.46.1255.255.255.0
[router0-Ethernet0/1]quit
[router0]ospf
[router0
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络 访问 控制