网络流量监控–第1章网络流量监控概述.ppt

* * * * * * * * * * * * * 第1本教材；2、3对Wireshark、Winpcap剖析较深入的书；4针对各层协议的分析；5比较浅显，主要适用于网管，供参考 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 北京邮电大学信息安全中心 宽带网络的构成 城域网 城域网比较复杂，不像骨干网只使用路由器做节点，其设备种类较多 一个城域网往往连接几十万甚至上百万用户，而骨干网的外连线路最多不会过百 城域网往往还会再分级：城域骨干网，接入网 分级后，城域骨干网就成为一个纯路由器网络，和省网大同小异 与骨干网区别：一个运营商很可能建设几个不同的宽带骨干网，用来提供不同的业务质量等级服务；但建设几个宽带城域网的可能性极小，因此下一代城域网要能区分不同业务、不同质量等级，会导致其复杂性 北京邮电大学信息安全中心 宽带网络的构成 接入网 骨干网到用户终端间的连接，一般几百米到几千米，称为“最后一公里” 骨干网采用光纤结构，速度快；接入网接入方式：DSL、LAN、Cable Modem等，成为网络瓶颈，目前也向FTTB、FTTH演进 国内DSL占据大部分，家庭宽带如ADSL方式： PC（家庭用户）-ADSL Modem- (电话线) DSLAM（运营商端局集中器设备）- （百M或GE LAN） BAS或BRAS接入服务器，接入层至此结束 企业或者单位：使用专线接入，不需DSLAM和BAS 接入网一般采用双归（冗余）树形结构，各DSLAM通信量很少。BAS一般接入一个由三层交换机构成的网络，该网络可叫做汇聚层 北京邮电大学信息安全中心 宽带网络的构成 接入网例子——CMNET接入层 北京邮电大学信息安全中心 宽带网络中的主要设备 主要包括：骨干路由器、交换机、DSLAM、BAS、认证服务器 骨干路由器 报文路由转发，需保证系统高稳定性和高可靠性 交换机 二层和三层两种 二层交换机只根据自学习得到的MAC地址（记录源MAC地址或广播）进行MAC帧的转发；三层具有一定的IP路由能力，但这种能力主要用作增强设备的学习MAC地址的能力 DSLAM 安装在运营商（俗称端局）的第一个设备 汇聚DSL线路，可连接数百上千台Modem，另一端以以太网接口接入BAS或三层交换机 北京邮电大学信息安全中心 宽带网络中的主要设备 BAS 完成宽带用户的身份认证和IP地址分配工作 目前ADSL用户使用的IP地址都是动态分配 身份认证一般由宽带接入服务器根据用户提供的账号和密码向认证服务器确认 认证服务器 一个城域网甚至省网才会集中配备一套认证服务器，因此它的规模一般较大 目前认证协议一般采用RADIUS RADIUS采用C/S模式，不仅指服务器上认证软件，还包括BAS和RADIUS认证服务器之间通信协议 在认证服务器或BAS都可以记录用户认证过程，该过程分析也构成流量监测的重要组成部分 北京邮电大学信息安全中心 国内骨干网情况 目前国内有四大骨干网：中国教育和科研计算机网（CERNET）、中国科技网（CSTNET）、中国金桥信息网（CHINAGBN）、中国公用计算机互联网（CHINANET） CERNET 1994年启动，1995年完成首期，教育部负责管理。分四级管理：全国网络中心—清华；地区网络中心和地区主结点；省教育科研网；校园网。 CSTNET 1989年由中科院开始建设 CHINAGBN 又称国家公用经济信息通信网，是由中国信息产业部（原电子工业部）负责管理的公用计算机信息网。金桥信息网于1994年开始建设，1996年9月正式开通 北京邮电大学信息安全中心 国内骨干网情况 CHINANET Chinanet是原邮电部经营管理的基于Internet网络技术的中国公用计算机互联网，是国际计算机互联网(Internet)的一部分，是中国的Internet骨干网，始建于1995年 骨干网逻辑上分为两层：核心层和大区层 核心层由北京、上海、广州、沈阳、南京、武汉、成都、西安8个城市的核心节点组成，主要是提供与国际internet的互联，以及提供大区之间信息交换的通路。其中北京、上海、广州核心层节点各设有两台国际出口路由器，负责与国际internet互联，以及两台核心路由器与其他核心节点互联；其他核心节点各设一台核心路由器 全国31个省会城市按照行政区划，以上述8个核心节点为中心划分为8个大区网络，这8个大区网共同构成了大区层。每个大区设两个大区出口，大区内其它非出口节点分别与两个出口相连。大区之间通信必须经过核心层 北京邮电大学信息安全中心 国内骨干网情况 CHINANET拓扑