返回
宽带ip网中以太接入网的安全性

宽带ip网中以太接入网的安全性

ID:23979613

大小:52.00 KB

页数:4页

时间:2018-11-12

宽带ip网中以太接入网的安全性_第1页
宽带ip网中以太接入网的安全性_第2页
宽带ip网中以太接入网的安全性_第3页
宽带ip网中以太接入网的安全性_第4页
资源描述:

《宽带ip网中以太接入网的安全性》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、宽带IP网中以太接入网的安全性~教育资源库随着社会信息化程度的提高,信息化需求已从单纯的数据信息向交互式多媒体信息发展,从专项服务向数字、语音、图像统一服务和综合网传输发展。而传统IP网络已无法满足新业务的需求,给新业务的发展造成了瓶颈。在此情况下,宽带IP网便应运而生。所谓宽带IP就是一个运行实时业务时能保证服务质量的IP网,各种宽带多媒体业务可以直接在宽带IP网上运行。这种宽带IP网络是一个真正的综合业务网,它可以提供数据、语音、视频的综合传输业务。近年来,宽带IP网技术有了重大突破,IPoverD开始被商业运营系统采用。广域宽带IP骨干网带宽从数十Gbps

2、向数百Gbps发展,不久将达到Tbps的水平。近年来,光缆到小区、到大楼10-100Mbps以太网入户的接系统异军突起,成为宽带接入网的新趋势。  目前的宽带IP网的接入网基本上都采用以广播为技术基础的以太网,其介质存储控制(MAC)协议采用的是冲突检测/载波侦听多路存取协议(CSMA/CD)。CSMA/CD的基本原理是:网络上的每个节点共享同一传输介质,但同一时间只有其中一台能够传输合法数据。网络上的每一个节点接收到每个被传输的数据包,它们把数据解码,并比较封装在帧里面的目的地址MAC,如果与接收工作站的地址匹配,就接收数据,如果不匹配,节点工作站就丢弃该数据

3、包。准备在网络上发送数据的工作必须先侦听线缆来确定是否有其他数据的工作站必须先侦听线缆来确定是否有其他数据已经在传输,当传输介质空闲时,它们就能够开始传输了。当发送数据时,它们监视着线缆上出现的数据,并与所传输的数据进行比较。这很有必要,因为有时会偶然发生2台或多台工作站同时开始传输数据,在这种情况下,线缆上的数据会混淆,变得无法使用,这就是冲突的现象。正在传输数据的工作站监视着它们的数据,将会注意到冲突并停止传送,它们将等待一个随机时间来再次发送数据。这种冲突检测机制事实上限制了网络的长度。相距最远的2个节点必须足够接近至于使它们可能检测到冲突,这样,整个网络

4、长度可以通过网络时钟、信息在介质上的传输速度和最短的帧来计算。这个计算对于传统以太网、快速以太网和吉位以太网分别得出的结果是5120m、512m和51.2m。这些理论上的数据,在实际网络中,除了线缆的广播延迟外,网卡、中继器、集线器和其他网络设备会引入延迟。  CSMA/CD协议使得网络上任何一个以太网冲突域间2个节点之间通信的数据包,不仅为这2个节点的网卡所接收,也同时被在同一以太网冲突域上的任何一个节点的网卡所截取。因此,只要对接入以太网冲突域上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固

5、有的安全急患。  当前,对于以太接入网安全必须考虑的问题主要是针对于它的MAC层协议,解决办法有以下几种:  (1)网络分段  目前,一般多采用以交换机为中心、路由器为边界的网络格局,因此交换机的每一个端口都是一个独立的以太网冲突域,不同的交换端口的数据通信是不为第三端口可见的。这实际上也是按交换机的端口对网络进行了分段。  网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。  (2)以交换式集线器代替共享式集线器  对以太网的中心交换机进行网络分段后,

6、以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器,这样,当用户与主机进行数据通信时,2台机器之间的数据包还是会同一台集线器上的其他用户所侦听。同时共享集线器除了安全性不强、网络用户可监听到其他用户的信息的缺点外,还人传输速度低、无法避免非法用户上网等缺点。  因此,应该以交换式集线器代替共享式集线器,使数据包仅在2个节点之间传送,从而防止非法侦听。当然,交换式集线器无法控制广播包(BroadcastPacket)和多播包(MulticastPacket)在交换式集线器所有端口的传

7、播。  (3)VLAN的划分  为了克服以太网的广播问题,可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止网络侦听。交换机的每一个端口配置成独立的的VLAN,享有独立的VID。将每个用户端口配置成独立的VLAN,利用支持VLAN的LANSAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然销欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用尚不成熟。  在集中式网络环境下,我们通常将中心的所

8、有主机系统集中到一个VL

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。