第6章用户接入控制与网络协议分析第6章用户接入控制与网络协议分析实训目的和要求1.掌握网络用户接入控制和网络协议分析的基本方法。2.初步掌握计算机网络协议分析工具的使用。3.能够熟练运用网络协议分析工具解决网络运行中的安全控制和故障诊断问题。6.1交换机端口与MAC地址的绑定各类网络应用实践中,防止用户非法接入是网络管理中的一个重要问题。非法用户的私自接入严重影响网络的安全运行,造成IP地址等网络资源的盗用,尤其对收费网络更会造成直接经济损失。6.1交换机端口与MAC地址的绑定本实训项目以神州数码DigitalChina3628S交换机为例,学习理解以太网交换机帧的转发机理,了解端口的基本工作模式,掌握交换机端口和用户网卡MAC地址的绑定技术,从而实现网络用户接入管理的第一层控制。6.1交换机端口与MAC地址的绑定实训目的(1)了解二层交换机以太帧的转发机理。(2)理解交换机内部转发地址表的结构和作用。(3)理解交换机端口的三种工作模式。(4)掌握通过自学习和手工输入等建立端口MAC地址表的方法。(5)掌握端口MAC地址绑定的步骤和方法。6.1交换机端口与MAC地址的绑定实训流程(一)(1)组建实验网络,并测试。(2)登录交换机管理界面。可以采用下列两种方式:①通过Telnet远程登录。②进入交换机Web管理界面。(3)查看交换机转发地址表的结构和配置界面。6.1交换机端口与MAC地址的绑定实训流程(二)(4)进入交换机端口配置界面,了解交换机端口的三种工作模式(自学习模式、静态模式和动态模式)。(5)将3628S交换机相关端口置于自学习模式(Learning),掌握自学习模式的工作过程,完成相关端口MAC地址的自动采集,并验证。(6)完成相关端口的MAC地址绑定,并作测试。6.2MAC地址与IP地址的绑定接入层交换机端口和用户网卡MAC地址的绑定是网络用户接入管理和控制的第一道措施。在各类实际网络运行和维护过程中,困扰网络管理人员的另一个问题是在一些静态IP地址配置的网络中,经常出现用户盗用他人IP地址的情况,给网络运行带来很大的影响。6.2MAC地址与IP地址的绑定本节讨论利用三层交换机ARP协议的用户IP地址和MAC地址绑定的原理和方法。在各种三层交换机和路由器内部均建有一张ARP缓冲表,它用来支持在IP地址和MAC地址之间建立1-1对应关系,并在IP数据报转发过程中提供两者的相互转换。6.2MAC地址与IP地址的绑定如果能够在交换机的ARP缓冲表中将合法用户的IP地址和其网卡的MAC地址进行静态绑定,我们就能够控制网络内部IP地址的合法使用。当有人盗用IP地址时,尽管盗用者修改了IP地址,但由于发送的IP数据报中所承载的以太帧中的源MAC地址和ARP表中对应的MAC地址不一致,那么也不能访问网络,从而实现用户接入管理的第二级控制。6.2MAC地址与IP地址的绑定实训目的(1)了解三层交换机IP数据报的转发机理。(2)深刻理解三层交换机中ARP表的作用。(3)理解IP-MAC绑定对防止IP地址盗用所能起到的作用。(4)掌握IP-MAC地址绑定的步骤和方法。6.2MAC地址与IP地址的绑定实训流程(1)组建实验网络,并测试。(2)将两台测试工作站A、B与3628S交换机相应端口进行静态MAC绑定。(3)登录7504交换机管理界面。(4)查看7504交换机内部ARP缓冲表的结构。(5)加入静态ARP表项,完成IP-MAC绑定,并验证。6.3网络协议分析软件的使用当我们在处理一些复杂的网络运行维护问题,特别是网络攻击与防御以及网络故障诊断与分析等问题的时候,作为一个网管技术人员,除了需要具备排除物理层介质故障、定位网络设备故障以及掌握各类应用服务器配置技术外,另一个很重要的技能就是掌握网络协议分析的基本方法。6.3网络协议分析软件的使用通过网络协议分析工具(软件或硬件),我们能够根据需要捕获不同层次的数据包,如以太帧、IP数据报、TCP报文以及高层协议的数据包。由此,我们可以深入剖析发生在网络通信深层的数据交换细节,从而帮助技术人员分析和定位网络故障。6.3网络协议分析软件的使用实训目的(1)了解网络协议分析工具的作用和功能。(2)掌握NetXray协议分析软件的基本功能。(3)熟练掌握一般数据包捕获和分析的技能。(4)初步掌握NetXray高级过滤条件和触发器的使用方法。(5)初步了解利用网络协议分析工具进行网络维护和故障诊断的一般过程。6.3网络协议分析软件的使用NetXray是由CincoNetworks公司推出的一个网络协议分析和网络监控软件工具,它提供强大的分组捕获和译码功能,能对主机之间的通信进行监视,并以图形方式直观明了地显示网络流量等参数。6.3网络协议分析软件的使用NetXray主要功能如下:(1)数据包截获(Capture):在一个子网内部对单个或多个节点同时进行各种协议数据包的捕获,并能对不同协议的数据包进行译码,以便分析。(2)数据包构造与发送:可以对捕获的数据包进行修改或自定义数据包向网络发送,以便测试网络状况。(3)网络监管:能对整个子网的网络流量、差错情况以及各类协议数据包的使用分配情况进行动态监测。6.3网络协议分析软件的使用实训流程(1)下载、安装NetXray软件。(2)配置NetXray软件。(3)设置数据包捕获过滤条件。(4)捕获数据包。(5)数据包的分析。小结网络用户接入控制的重要方法是各种地址绑定技术,包括端口-MAC绑定和IP-MAC绑定等技术。通过地址绑定措施,能够有效控制网络内部用户的接入,防止IP地址盗用等现象。小结网络协议分析是高级网络管理的基本技能,对于分析网络通信深层机理、了解网络数据交换的内部过程、深刻理解网络协议以及排除通信故障有着重要的意义。对各类网络协议分析工具来说,其工作的重要基础便是物理帧的侦听,在交换环境下,他人间的通信在通常情况下可能无法侦听到,此时通过交换机端口镜像等措施可以得以解决。习题交换机转发地址表的作用是什么?你认为交换机端口-MAC地址绑定在网络用户接入控制中能发挥何种作用?存在哪些问题?简述三层交换机IP数据包的转发过程。NetXray的包过滤条件由哪几部分组成?