《计算机网络管理》PPT课件.ppt

第9章 网络连接设备的管理 第9章 网络连接设备的管理 9.1概述 9.2交换机的配置 9.3 路由器的配置 第9章 网络连接设备的管理 9.1概述 9.1.1 交换机基本概念 9.1.2 传统网络广播问题的解决方案：流量本地化 第9章 网络连接设备的管理 9.1.1 交换机基本概念 1. 第二层交换 第二层交换是基于硬件设备的桥接，数据帧的发送是由专门的硬件 来解决，通常是使用ASIC芯片。 2. 第三层交换 第三层交换的实质是基于硬件的路由，数据包的发送也是通过ASIC 芯片来完成的。 3. 多层交换 多层交换指的是“一次路由，多次交换”，它可以根据MAC地址、IP 地址、协议和端口号进行交换。在高性能的网络中，这种技术被 广泛采用，三层交换也是多层交换技术的一种。 第9章 网络连接设备的管理 4. 三层交换与传统路由机制相比的优越性 传统的路由器在网络中有路由转发、防火墙、隔离广播 等作用，而在一个划分了VLAN以后的网络中，逻辑 上划分的不同网段之间通信仍然要通过路由器转发。 具体的说三层交换机在对第一个数据流进行路由后，将 会产生一个MAC地址与IP地址的映射表，当同样的数 据流再次通过时，将根据此表直接从二层通过而不是 再次路由，从而消除了路由器进行路由选择而造成网 络的延迟，提高了数据包转发的效率，消除了路由器 可能产生的网络瓶颈问题。 第9章 网络连接设备的管理 9.1.2 传统网络广播问题的解决方案：流量本地化 而现代的大型的交换型局域网站点，有两种可选的抑制 广播的方法。 第一种方法是：利用路由器生成多个子网，逻辑上隔 离数据流 （1）路由器造成网络瓶颈的原因 （2） 提高硬件性能，不能解决路由器瓶颈问题 （3）交换机结合路由器同样存在不足 （4）三层交换解决了哪些问题 第9章 网络连接设备的管理 2第二种方法：在交换型网络中实施虚拟局域网 技术 VLAN的主要好处之一，是局域网交换机能够被用来有效 的遏制广播数据流分割数据流量。 因为VLAN在本质上是一个广播域，所以可以用交换机上 的一组特定的端口来定义广播域。交换机不在两个 VLAN之间桥接任何数据帧。 第9章 网络连接设备的管理 9.2交换机的配置 9.2.1 交换机的基本配置 9.2.2 VLAN技术简介 9.2.3 VLAN的配置实例 9.2.4虚拟专用网 第9章 网络连接设备的管理 9.2.1 交换机的基本配置 1. 启动交换机 不启用三层功能的 交换机无需配置。 2. 配置交换机基本参数 （1）配置交换机标识 （2）配置交换机IP地址 （3）配置交换机默认网关 第9章 网络连接设备的管理 图9-1查看交换机基本信息 第9章 网络连接设备的管理 9.2.2 VLAN技术简介 VLAN简介 VLAN是为解决以太网的广播问题和安全性而提出 的一种协议，它在以太网信包的基础上增加了 VLAN头，利用VLAN-Id把连接到的第2层交换 机端口的网络用户划分为更小的工作组，通过限 制不同工作组间用户的互访，有效的把广播范围 限制在工作组中。 第9章 网络连接设备的管理 2. VLAN的划分 （1） 基于端口划分的VLAN 基于端口的VLAN划分的方法是根据以太网交换机的端 口来划分VLAN，网络管理员只需要管理和配置交换 端口，而不管交换端口连接到什么设备。 （2）基于MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划 分，即对每个MAC地址的主机都配置到指定的VLAN 。 第9章 网络连接设备的管理 （3）基于网络层划分VLAN 这种划分VLAN的方法是根据每个主机的网络层地址或 协议类型(如果支持多协议)划分的，虽然这种划分方 法是根据网络地址，比如IP地址，但它不是路由，与 网络层的路由毫无关系。 （4）根据IP组播划分VLAN IP 组播实际上也是一种VLAN的定义，即认为一个组播 组就是一个VLAN，这种划分的方法将VLAN扩大到 了广域网，因此这种方法具有更大的灵活性，而且也 很容易通过路由器进行扩展，当然这种方法不适合局 域网，主要是效率不高。 第9章 网络连接设备的管理 9.2.3 VLAN的配置实例 实例一：简单VLAN的配置 使用Cisco 3550交换机进行配置，其默认的以太网VLAN 是VLAN1。 1. telnet到交换机 交换机和 网络正常通信后，使用网络中某台主机充当远 程终端。在开机自检结束后，输入en进入特权模式 Switch#，如图9-2所示。再输入以下指令： Switch#show VLAN 出现图9-3所示窗口，可以看出端口默认都在VLAN 1里 。 第9章 网络连接设备的管理 2. 分别创建3个VLAN 图9-2 telnet到交换机 图9-3 show VLAN 第9章 网络连接设备的管理 图9-4 创建3个VLAN 图9-5把端口加入VLAN 第9章 网络连接设备的管理 3. 把端口加入VLAN 图9-6查看快速以太网口信息 第9章 网络连接设备的管理 实例二：办公网络有12台CATALYST 3550-24 SMI （标准版）交换机，有一台服务器。用户要求： 把整个办公局域网划分成三个VLAN，要求服务器只 能接受被授权访问的主机访问。 第9章 网络连接设备的管理 图9-7 某办公网连接拓扑结构图 第9章 网络连接设备的管理 1. 中心交换的VLAN配置 （1）激活vlan路由 （2）创建三个VLAN （3）给VLAN分配IP （4）配VTP （5）配Trunk （6）给中心交换机通往路由器的接口配IP （7）给中心交换机配置缺省路由 （8）把VLAN号分配给IP接口 （9）配访问控制列表ACL禁VLAN3子网的客户机访问 服务器 第9章 网络连接设备的管理 （10）检查上述配置 （11）存配置 2. 接入层交换机Swith2上VLAN的配置 （1)配TRUNK （2)配VTP （3)给接口分配VLAN号 （4)存配置 第9章 网络连接设备的管理 9.2.4虚拟专用网 1. 概述 （1）定义 虚拟专用网（简称VPN）是依靠ISP（Internet服务提供者 ）和其他NSP（网络服务提供者）在公用网络（如 Internet）中建立的专用数据通信网络。 （2）使用原因 价格低廉 用户需求 第9章 网络连接设备的管理 （2）VPN的特点 安全保障 服务质量保证（QoS） 可扩充性和灵活性 可管理性 （3）自建还是外包 大型企业自建VPN 中小型企业外包VPN 第9章 网络连接设备的管理 （4）VPN安全技术 隧道技术 是VPN的基本技术，类似于点对点连接技术，它在公用 网建立一条数据通道（隧道），让数据包通过这条隧 道传输。 加解密技术 加解密技术是数据通信中一项较成熟的技术，VPN可直 接利用现有的加解密技术。 密钥管理技术 主要任务是如何在公用数据网上安全地传递密钥而不被 窃取。 第9章 网络连接设备的管理 身份认证技术 最常用的是使用者名称与密码或卡片式认证等方式。 （5）堵住安全漏洞 安全问题是VPN的核心问题。目前，VPN的安全保证主 要是通过防火墙技术、路由器配以隧道技术、加密协 议和安全密钥来实现的，可以保证企业员工安全地访 问公司网络。 第9章 网络连接设备的管理 （6）虚拟专用网络的基本用途 通过Internet实现远程用户访问 图9-8 远程用户通过VPN访问 企业网络 第9章 网络连接设备的管理 通过Internet实现网络互连: 使用专线连接分支机构和企业局域网 使用拨号线路连接分支机构和企业局域网 连接企业内部网络计算机 图9-9 企业内部的VPN 第9章 网络连接设备的管理 （7）VPN的分类 根据VPN所起的作用，可以将VPN分为三类：VPDN、 Intranet VPN和Extranet VPN。 VPDN（Virtual Private Dial Network) 在远程用户或移动雇员和公司内部网之间的VPN，称为 VPDN。 Intranet VPN 在公司远程分支机构的LAN和公司总部LAN之间的VPN。 Extranet VPN 在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN 。 （8）VPN的隧道协议 VPN区别于一般网络互联的关键在于隧道的建立，然后数 据包经过加密后，按隧道协议进行封装、传送以保安全性 。 第9章 网络连接设备的管理 PPTP（Point-to-Point Tunneling Protocol)/ L2TP（Layer 2 Tunneling Protocol) IPSec（Internet Protocol Security) IPSec是IETF（Internet Engineer Task Force)正在完善的安全 标准，它把几种安全技术结合在一起形成一个较为完整的体 系，受到了众多厂商的关注和支持。 SOCKS v5 SOCKS v5由NEC公司开发，是建立在TCP层上安全协议，更 容易为与特定TCP端口相连的应用建立特定的隧道 第9章 网络连接设备的管理 （9）PPTP VPN的使用方法 图9-10 【网上邻居属性】窗口 图9-11 【网络连 接向导】对话 框 第9章 网络连接设备的管理 图9-12 【网络连 接类型】对话 框 9-13 【目标地址】对话 框 第9章 网络连接设备的管理 图9-14 【可用连接】对话 框 图9-15 【完成网络连 接】对话 框 第9章 网络连接设备的管理 图9-16 【连接】对话 框 第9章 网络连接设备的管理 图9-17 【虚拟专 用网】对话 框 图9-18 【安全措施】选项 卡 第9章 网络连接设备的管理 图9-19 【高级安全设置】对话 框 图9-20 【安全措施】 选项 卡 第9章 网络连接设备的管理 图9-21 【连接】对话 框 图9-22 【设置完成后网上邻居属性】对话 框 第9章 网络连接设备的管理 9.3 路由器的配置 9.3.1路由器简介 9.3.2路由器的配置 第9章 网络连接设备的管理 9.3.1路由器简介 路由器是网络层互联设备，用于连接多个逻辑隔离的网 络或网段，构建大型网络，它能够在多网络互联环境 中，建立灵活的连接，采用不同的数据分组和介质访 问方法连接多种子网，实现数据的网间传输，根据从 网络协议获悉的有关信息，控制通过互联网络的通信 量，路由器有两大典型功能，既数据通道功能和 第9章 网络连接设备的管理 控制功能，数据通道功能包括转发决定，背扳转发以及 输出链路调度等，一般由特定的硬件来实现，控制功 能包括与相邻的路由器之间的信息交换，系统配置， 系统管理等，一般采用软件实现，通过路由选择确定 信息传送的最优路径，可以提高通信速度，减轻网络 通信负荷，提高网络系统畅通率，使网络系统发挥更 大的作用。 第9章 网络连接设备的管理 1. 路由器的工作原理 （1）路由选择 为了完成路由选择，路由器中必须保存着各种传输路径的相关数据 路由表，供路由选择时使用，路由表可分为静态路由表和动态路由 表 （2）转发 转发就是沿着所选择的最佳路径传送数据，路由器首先在路由表中查 找，判别是否知道如何将数据包发送到下一个路由器或主机，如果 不知道如何发送该数据包，则丢弃该数据包，否则就根据路由表中 指示的路径将数据发送到下一个站点，如果目的网络直接与路由器 相连，则把该数据包直接发送到相应的端口上，这就是路由转发协 议。 第9章 网络连接设备的管理 2. 路由协议 典型的路由选择方式有两种:静态路由和动态路由。 静态路由算法并不是一种真正意义上的路由算法，而只是由网络管 理员在启动网络路由功能之前预先建立一张固定的路由表，称之 为静态路由表 动态路由是网络中的路由器之间相互通信，互相传递路由信息，并 利用收到的路由信息更新路由表的过程，如果路由更新信息表明 网络环境发生了变化，路由软机就会重新计算路由，并将路由更 新信息通过各个网络发送出去，所有接收该信息的路由器都会重 新执行各自的路由算法，对路由表的内容作出相应的修改以动态 反应网络拓扑变化 第9章 网络连接设备的管理 9.3.2路由器的配置 路由器在第一次使用时，需要使用consel口进行配置，在 以后的使用中，最常用的是使用telnet方式配置路由器。这 里，使用telnet方式配置路由器为例进行介绍。 1. 路由器的配置 使用以下命令对路由器进行简单配置。 Routeren进入特权模式 Router#show version查看路由器信息，如图9-23所示。 第9章 网络连接设备的管理 图9-23 路由器版本信息 图9-24 配置路由器以太网口和串口 第9章 网络连接设备的管理 2. 利用路由器组建总部与办事处之间的VPN （1）在总部的路由器上的配置如下 配置一个虚接口（逻辑的接口)，其IP地址：192.168.8.1/24。配置通 道的目的地址为202.32.5.1，配置通道的源地址为202.32.56.21。 配置路由：到网段IP地址为：192.168.11.0 子网掩码为： 255.255.255.0，其下一跳地址为：192.168.8.2。 （2）在办事处的路由器上的配置 同样配置一个虚接口，配置IP地址为192.168.8.2/24。 配置通道的目的地址为202.32.56.21，配置通道的源地址为 202.32.5.1。 配置路由：到网段IP地址为：192.168.1.0子网掩码为：255.255.255.0 ， 第9章 网络连接设备的管理 其下一跳为192.168.8.1。 配置完成后，从总部的路由器上使用ping命令 ping 192.168.