网络安全分为以下类型：

 dot1x   mac aaa  隧道  ipsec  arp   端口隔离   acl[二层 三层 ] vlan

网络安全在各层应用

  telnet  ftp   http  smtp  pop2/pop3   --->ssl

          2.网络层  【路由器  防火墙 】  

                     acl 地址  【来源地址  目标地址】

                     协议   icmp   tcp/udp

                     端口号码  

                     标志位 【tcp】

                         syn     ack      fin  rst

         3.链路层    switch   bridge

                     vlan

                     acl  【物理端口  mac地址】

                     认证技术   dot1x  ----》AAA

                                mac   ----》AAA

dot1x

dot1 X 是 IEEE 802.1 X的缩写，是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

DOT1X类型

        无线   ----》有线  

        AAA server   Windows   IAS  

                     linux     freeradius

                     cisco     acs

MAC地址

MAC(Media Access Control)地址，或称为 MAC位址、硬件位址，用来定义网络设备的位置。在OSI模型中，第三层网络层负责 IP地址，第二层数据链路层则负责 MAC位址。因此一个主机会有一个IP地址，而每个网络位置会有一个专属于它的MAC位址

AAA服务器

AAA服务器（AAA server）是一个能够处理用户访问请求的服务器程序。提供验证授权以及帐户服务。AAA服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。

       AAA 验证

       1. AAA  服务器

            指定AAA client 【介入交换机】

                 ip地址  

                 服务器类型

                 验证秘药

        2.AAA client    【交换机】

           AAA 方案

              AAA 服务器地址

              验证×××

              发送给AAA服务器的用户名格式【带或不带域名】

              AAA 服务器类型

              审计可选

            建设域

              引用 AAA 方案

              审计可选

              限制用户

        3.接入计算机

            安装软件

            帐号@域名

IPSEC

IPSec 基于端对端的安全模式，在源 IP 和目标 IP 地址之间建立信任和安全性。

1、局域网 (LAN)：客户端/服务器和对等网络

2、广域网 (WAN)：路由器到路由器和网关到网关

3、远程访问：拨号客户机和从专用网络访问 Internet

工作模式

          1.隧道模式

             ***  至少有一个隧道服务器

          2.传输模式

              *** 没有隧道服务器

ARP

ARP(Address Resolution Protocol，地址解析协议)是获取物理地址的一个TCP/IP协议。某节点的IP地址的ARP请求被广播到网络上后，这个节点会收到确认 其物理地址的应答，这样的数据包才能被传送出去。RARP(逆向ARP)经常在无盘工作站上使用，以获得它的逻辑IP地址。

arp   rarp

              网络层

              arp   目标ip地址  ---》目标mac地址  广播

              arp 绑定

              优点：避免广播

                    安全

              rarp   自己mac  ---》自己ip   无盘工作站

              iarp  下一条地址  本地dlci    frame-relay

              端口隔离

              交换机

              二层  一个隔离组

              三层  多个隔离组   【am】 ｛端口隔离    端口+ip绑定｝

                   quidway  s3526

                            s3526e

端口隔离

端口隔离是为了实现报文之间的二层隔离，可以将不同的端口加入不同的VLAN，但会浪费有限的VLAN资源。采用端口隔离特性，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

port isolate 将以太网端口加入到隔离组中

ACL

访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。

ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。

ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

标准列表

    来源  编号  ip   【cisco  1-99】  ios  11.2  

                        【化为  2000-2999】vrp  

                 名称      

     扩展   编号  ip 【100-199】

                         【化为3000-3999】

        来源  目的地   协议  端口号码    标志位

            800-899    ipx   标准

           入站  acl   route

           出站  route  acl  

VLAN

VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能

不在同一个vlan，也达到了安全的作用。

vlan  

         三层   路由器   防火墙   三层交换机