工业以太网实验内容.ppt

,工业以太网实验 Nov 2010,卓越信通电子（北京）有限公司,什么是DHCP 动态主机设置协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户。 为什么引入DHCP 减小管理员的工作量 减小输入错误的可能 避免IP冲突 当网络更改IP地址段时，不需要重新配置每台计算机的IP 计算机移动不必重新配置IP 提高了IP地址的利用率,工业以太网实验DHCP,DHCP租约过程,工业以太网实验DHCP,DHCPDiscover,DHCPOffer,DHCPRequest,DHCPACK,Windows使用DHCP客户端 开启DHCP Client服务 CMD常用命令 Ipconfig /all Ipconfig /displaydns Ipconfig /flushdns Ipconfig /release Ipconfig /renew,工业以太网实验DHCP,DHCP服务器配置内容 DNS域名 IP地址池 默认网关 DNS服务器IP 地址租约时间,工业以太网实验DHCP,实验名称：三层交换机充当DHCP服务器 实验步骤： 1、配置三层交换机A，VLAN1的IP为54，连接PC； 2、配置DHCP服务的相关参数； 3、将客户机网关配置为自动获取IP地址； 4、使用ipconfig /all命令查看分配的IP。,工业以太网实验基础实验,三层交换机上配置DHCP服务举例 1、添加IP地址池 Pt35_config#ip dhcpd pool vlan1 2、配置DNS域名后缀 Pt35_config_dhcp#domain-name 3、配置IP地址池 Pt35_config_dhcp#network Pt35_config_dhcp#range 53 4、配置默认网关IP Pt35_config_dhcp#default-router 54 5、配置DNS服务器IP Pt35_config_dhcp#dns-server 0 1 6、配置租约时间 Pt35_config_dhcp#lease 8 /租约时间8天,工业以太网实验基础实验,什么是NTP 网络时间协议（Network Time Protocol , NTP）是用来使计算机时间同步化的一种协议，SNTP(Simple Network Time Protocol )是NTP的简化版。,工业以太网实验NTP,实验名称：三层交换机充当SNTP Server 实验步骤： 1、配置三层交换机A，VLAN1的IP为54，SNTP SERVER； 2、配置三层交换机B，VLAN1的IP为53，SNTP Client； 3、查看交换机AB目前时钟； 4、指定交换机B的SNTP服务器IP为54； 5、查看交换机B目前时钟。,工业以太网实验基础实验,SNTP Client,实验名称：三层交换机充当SNTP Client 实验步骤： 1、配置三层交换机A，VLAN1的IP为54，连接PC； 2、配置XP为SNTP Server； 3、手动修改三层交换机时钟； 4、配置三层交换机，指定SNTP Server为； 5、查看三层交换机时钟有没有与服务器同步。,工业以太网实验基础实验,SNTP 配置举例 1、查看及配置交换机时钟； PT35_config#date The current date is 2009-1-19 23:59:11 Enter the new date(yyyy-mm-dd): Enter the new time(hh:mm:ss): 2、配置交换机为时钟服务器 PT35_config#sntp master 3、配置时钟服务器IP地址 PT35_config#sntp server 4、配置时区 PT35_config#time-zone Beijing 8,工业以太网实验基础实验,什么是SPAN 交换端口分析器Switched Port Analyzer , SPAN ）SPAN技术主要是用来监控交换机上的数据流，大体分为两种类型，本地SPAN和远程SPAN. -Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN)，实现方法上稍有不同。 利用SPAN技术我们可以把交换机上某些想要被监控端口（以下简称受控端口）的数据流COPY或MIRROR一 份，发送给连接在监控端口上的流量分析仪 为什么引入SPAN 监控流量 数据分析,工业以太网实验SPAN,实验名称：利用LSPAN获取其它PC使用Telnet的用户名和密码 实验步骤： 1、配置三层交换机A，指定接Telnet Client的接口为Source; 2、配置三层交换机A，指定接analyzer接口为Destination; 3、在analyzer上开启抓包工具； 4、Telnet Client访问Telnet Server，并输入用户名和密码； 5、在analyzer上分析数据包中的用户名和密码。,工业以太网实验基础实验,A,Telnet Client,Telnet Server,analyzer,端口镜像配置举例 1、配置源端口（被监控端口） PT35_config#mirror session 1 source interface gigaEthernet 0/5 2、配置目标端口（监控端口） PT35_config#mirror session 1 destination interface gigaEthernet 0/7,工业以太网实验基础实验,什么是ACL 访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。 为什么引入ACL 访问控制 定义IP地址集合 读取第二、三和四层信息过滤数据,工业以太网实验ACL,工业以太网实验ACL,通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP） 。,三层接口对访问控制列表的处理过程,工业以太网实验ACL,匹配 下一步,拒绝,允许,允许,允许,到达访问控制组接口的数据包,匹配 第一步,目的接口,隐含的 拒绝,丢弃,Y,Y,Y,Y,Y,Y,N,N,N,匹配 下一步,拒绝,拒绝,拒绝,ACL种类 基本类型的访问控制列表 标准访问控制列表 扩展访问控制列表 其他种类的访问控制列表 基于MAC地址的访问控制列表 基于时间的访问控制列表,工业以太网实验ACL,标准ACL 根据数据包的源IP地址来允许或拒绝数据包,工业以太网实验ACL,如果在访问控制列表中有的话,应用条件,拒绝,允许,更多条目？,列表中的下一个条目,否,有访问控制列表吗？,源地址,不匹配,是,匹配,是,否,Icmp消息,转发数据包,扩展ACL 基于源和目的地址、传输层协议和应用端口号进行过滤 每个条件都必须匹配，才会施加允许或拒绝条件 使用扩展ACL可以实现更加精确的流量控制,工业以太网实验ACL,扩展ACL,工业以太网实验ACL,有访问控制列表吗？,源地址,目的地址,协议,协议任选项,应用条件,拒绝,允许,更多条目？,列表中的下一个条目,不匹配,否,是,匹配,匹配,匹配,匹配,是,否,Icmp消息,转发数据包,如果在访问控制列表中有的话,不匹配,不匹配,不匹配,常用端口,工业以太网实验ACL,常用端口操作符,工业以太网实验ACL,实验名称：利用ACL禁止两台主机通信 实验步骤： 1、配置三层交换机A，VLAN1接PC1，VLAN2接PC2； 2、测试PC1能够PING通PC2； 3、配置三层交换机A，在物理接口上应用标准ACL禁止PC1的数据 包通过； 4、测试PC1不能PING通PC2； 5、更换PC1的IP为； 6、测试PC1能PING通PC2。,工业以太网实验基础实验,A,PC1:,PC2:,ACL配置举例 1、添加一个标准ACL名称为acl1 PT35_config#ip access-list standard acl1 2、添加一条拒绝规则 PT35_config_std_acl1#deny 55 3、添加一条允许规则 PT35_config_std_acl1#permit any 4、在三层接口上应用ACL PT35_config_v1#ip access-group acl1 in 5、在二层接口上应用ACL PT35_config_g0/24#ip access-group acl1,工业以太网实验基础实验,什么是AAA 认证(Authentication)：验证用户的身份与可使用的网络服务； 授权(Authorization)：依据认证结果开放网络服务给用户； 计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。,工业以太网实验AAA,AAA常用认证模式 不认证 本地认证 Radius认证,工业以太网实验AAA,实验名称：利用AAA配置telnet认证 实验步骤： 1、配置三层交换机A，VLAN1的IP地址为54; 2、配置AAA的telnet用户名和密码均为tsc; 3、配置AAA的enable密码为tsc; 4、在PC机上telnet 54。,工业以太网实验基础实验,A,PC1:,常用Telnet客户端软件 Windows自带telnet.exe 运行中输入telnet 服务器IP Windows自带超级终端 运行中输入hypertrm 工程师常用SecureCRT Internet下载使用,工业以太网实验基础实验,AAA配置Telnet认证举例 1、登录时要求用户名密码，进特权模式要密码 配置telnet认证 PT35_config#aaa authentication login default local PT35_config#username tsc password tsc 配置enable认证 PT35_config#aaa authentication enable default enable PT35_config#enable password tsc 2、不认证，login不认证、进特权模式不认证 PT35_config#aaa authentication login default none PT35_config#aaa authentication enable default none,工业以太网实验基础实验,什么是802.1x 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。,工业以太网实验802.1x,802.1x三个成员 认证服务器(Radius) 网络接入服务器(NAS) 802.1X客户端(Client),工业以太网实验802.1x,802.1x工作过程 1.当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。 2.交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。 3.客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。 4.认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。 5.客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。 6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。,工业以太网实验802.1x,实验名称：利用802.1X对用户进行身份认证 实验步骤： 1、配置Radius，添加用户名tsc，密码为tsc； 2、配置交换机NAS，配置RADIUS服务器IP等信息； 3、在NAS上对接CLIENT的接口启用802.1X认证； 4、配置Client，输入错误的用户名和密码; 5、PING 测试； 6、输入正确的用户名和密码； 7、PING 测试。,工业以太网实验基础实验,NAS,Radius:,Client:,802.1X配置举例 1、使能802.1X PT35_config#dot1x enable 2、配置802.1X的认证模式为radius PT35_config#aaa authentication dot1x default group radius 3、配置radius服务器的IP地址 PT35_config#radius-server host 4、配置radius服务器的认证口令 PT35_config#radius-server key WinRadius 5、在接口上启用802.1X认证 PT35_config_g0/24#dot1x port-control auto,工业以太网实验基础实验,什么是QoS QoS（Quality of Service）服务质量，是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。,工业以太网实验QoS,QoS流区分 根据802.1Q帧头中标签（Tag），该标签长度为两个字节