工业以太网实验内容.pptVIP

,工业以太网实验Nov2010,卓越信通电子（北京）有限公司,什么是DHCP动态主机设置协议（DynamicHostConfigurationProtocol,DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户。为什么引入DHCP减小管理员的工作量减小输入错误的可能避免IP冲突当网络更改IP地址段时，不需要重新配置每台计算机的IP计算机移动不必重新配置IP提高了IP地址的利用率,工业以太网实验DHCP,DHCP租约过程,工业以太网实验DHCP,DHCPDiscover,DHCPOffer,DHCPRequest,DHCPACK,Windows使用DHCP客户端开启DHCPClient服务CMD常用命令Ipconfig/allIpconfig/displaydnsIpconfig/flushdnsIpconfig/releaseIpconfig/renew,工业以太网实验DHCP,DHCP服务器配置内容DNS域名IP地址池默认网关DNS服务器IP地址租约时间,工业以太网实验DHCP,实验名称：三层交换机充当DHCP服务器实验步骤：1、配置三层交换机A，VLAN1的IP为192.168.0.254，连接PC；2、配置DHCP服务的相关参数；3、将客户机网关配置为自动获取IP地址；4、使用ipconfig/all命令查看分配的IP。,工业以太网实验基础实验,三层交换机上配置DHCP服务举例1、添加IP地址池Pt35_config#ipdhcpdpoolvlan12、配置DNS域名后缀Pt35_config_dhcp#domain-3、配置IP地址池Pt35_config_dhcp#network192.168.0.0255.255.255.0Pt35_config_dhcp#range192.168.0.1192.168.0.2534、配置默认网关IPPt35_config_dhcp#default-router192.168.0.2545、配置DNS服务器IPPt35_config_dhcp#dns-server192.168.0.10192.168.0.116、配置租约时间Pt35_config_dhcp#lease8/租约时间8天,工业以太网实验基础实验,什么是NTP网络时间协议（NetworkTimeProtocol,NTP）是用来使计算机时间同步化的一种协议，SNTP(SimpleNetworkTimeProtocol)是NTP的简化版。,工业以太网实验NTP,实验名称：三层交换机充当SNTPServer实验步骤：1、配置三层交换机A，VLAN1的IP为192.168.0.254，SNTPSERVER；2、配置三层交换机B，VLAN1的IP为192.168.0.253，SNTPClient；3、查看交换机AB目前时钟；4、指定交换机B的SNTP服务器IP为192.168.0.254；5、查看交换机B目前时钟。,工业以太网实验基础实验,SNTPClient,实验名称：三层交换机充当SNTPClient实验步骤：1、配置三层交换机A，VLAN1的IP为192.168.0.254，连接PC192.168.0.1；2、配置XP为SNTPServer；3、手动修改三层交换机时钟；4、配置三层交换机，指定SNTPServer为192.168.0.1；5、查看三层交换机时钟有没有与服务器同步。,工业以太网实验基础实验,SNTP配置举例1、查看及配置交换机时钟；PT35_config#dateThecurrentdateis2009-1-1923:59:11Enterthenewdate(yyyy-mm-dd):Enterthenewtime(hh:mm:ss):2、配置交换机为时钟服务器PT35_config#sntpmaster3、配置时钟服务器IP地址PT35_config#sntpserver192.168.0.14、配置时区PT35_config#time-zoneBeijing8,工业以太网实验基础实验,什么是SPAN交换端口分析器SwitchedPortAnalyzer,SPAN）SPAN技术主要是用来监控交换机上的数据流，大体分为两种类型，本地SPAN和远程SPAN.-LocalSwitchedPortAnalyzer(SPAN)andRemoteSPAN(RSPAN)，实现方法上稍有不同。利用SPAN技术我们可以把交换机上某些想要被监控端口（以下简称受控端口）的数据流COPY或MIRROR一份，发送给连接在监控端口上的流量分析仪为什么引入SPAN监控流量数据分析,工业以太网实验SPAN,实验名称：利用LSPAN获取其它PC使用Telnet的用户名和密码实验步骤：1、配置三层交换机A，指定接TelnetClient的接口为Source;2、配置三层交换机A，指定接analyzer接口为Destination;3、在analyzer上开启抓包工具；4、TelnetClient访问TelnetServer，并输入用户名和密码；5、在analyzer上分析数据包中的用户名和密码。,工业以太网实验基础实验,A,TelnetClient,TelnetServer,analyzer,端口镜像配置举例1、配置源端口（被监控端口）PT35_config#mirrorsession1sourceinterfacegigaEthernet0/52、配置目标端口（监控端口）PT35_config#mirrorsession1destinationinterfacegigaEthernet0/7,工业以太网实验基础实验,什么是ACL访问控制列表（AccessControlList，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。为什么引入ACL访问控制定义IP地址集合读取第二、三和四层信息过滤数据,工业以太网实验ACL,工业以太网实验ACL,通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP）。,三层接口对访问控制列表的处理过程,工业以太网实验ACL,匹配下一步,拒绝,允许,允许,允许,到达访问控制组接口的数据包,匹配第一步,目的接口,隐含的拒绝,丢弃,Y,Y,Y,Y,Y,Y,N,N,N,匹配下一步,拒绝,拒绝,拒绝,ACL种类基本类型的访问控制列表标准访问控制列表扩展访问控制列表其他种类的访问控制列表基于MAC地址的访问控制列表基于时间的访问控制列表,工业以太网实验ACL,标准ACL根据数据包的源IP地址来允许或拒绝数据包,工业以太网实验ACL,如果在访问控制列表中有的话,应用条件,拒绝,允许,更多条目？,列表中的下一个条目,否,有访问控制列表吗？,源地址,不匹配,是,匹配,是,否,Icmp消息,转发数据包,扩展ACL基于源和目的地址、传输层协议和应用端口号进行过滤每个条件都必须匹配，才会施加允许或拒绝条件使用扩展ACL可以实现更加精确的流量控制,工业以太网实验ACL,扩展ACL,工业以太网实验ACL,有访问控制列表吗？,源地址,目的地址,协议,协议任选项,应用条件,拒绝,允许,更多条目？,列表中的下一个条目,不匹配,否,是,匹配,匹配,匹配,匹配,是,否,Icmp消息,转发数据包,如果在访问控制列表中有的话,不匹配,不匹配,不匹配,常用端口,工业以太网实验ACL,常用端口操作符,工业以太网实验ACL,实验名称：利用ACL禁止两台主机通信实验步骤：1、配置三层交换机A，VLAN1接PC1，VLAN2接PC2；2、测试PC1能够PING通PC2；3、配置三层交换机A，在物理接口上应用标准ACL禁止PC1的数据包通过；4、测试PC1不能PING通PC2；5、更换PC1的IP为192.168.1.2；6、测试PC1能PING通PC2。,工业以太网实验基础实验,A,PC1:192.168.1.1,PC2:192.168.2.1,ACL配置举例1、添加一个标准ACL名称为acl1PT35_config#ipaccess-liststandardacl12、添加一条拒绝规则PT35_config_std_acl1#deny192.168.1.1255.255.255.2553、添加一条允许规则PT35_config_std_acl1#permitany4、在三层接口上应用ACLPT35_config_v1#ipaccess-groupacl1in5、在二层接口上应用ACLPT35_config_g0/24#ipaccess-groupacl1,工业以太网实验基础实验,什么是AAA认证(Authentication)：验证用户的身份与可使用的网络服务；授权(Authorization)：依据认证结果开放网络服务给用户；计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。,工业以太网实验AAA,AAA常用认证模式不认证本地认证Radius认证,工业以太网实验AAA,实验名称：利用AAA配置telnet认证实验步骤：1、配置三层交换机A，VLAN1的IP地址为192.168.1.254;2、配置AAA的telnet用户名和密码均为tsc;3、配置AAA的enable密码为tsc;4、在PC机上telnet192.168.1.254。,工业以太网实验基础实验,A,PC1:192.168.1.1,常用Telnet客户端软件Windows自带telnet.exe运行中输入telnet服务器IPWindows自带超级终端运行中输入hypertrm工程师常用SecureCRTInternet下载使用,工业以太网实验基础实验,AAA配置Telnet认证举例1、登录时要求用户名密码，进特权模式要密码配置telnet认证PT35_config#aaaauthenticationlogindefaultlocalPT35_config#usernametscpasswordtsc配置enable认证PT35_config#aaaauthenticationenabledefaultenablePT35_config#enablepasswordtsc2、不认证，login不认证、进特权模式不认证PT35_config#aaaauthenticationlogindefaultnonePT35_config#aaaauthenticationenabledefaultnone,工业以太网实验基础实验,什么是802.1x802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。,工业以太网实验802.1x,802.1x三个成员认证服务器(Radius)网络接入服务器(NAS)802.1X客户端(Client),工业以太网实验802.1x,802.1x工作过程1.当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。2.交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。3.客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。4.认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。5.客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。,工业以太网实验802.1x,实验名称：利用802.1X对用户进行身份认证实验步骤：1、配置Radius，添加用户名tsc，密码为tsc；2、配置交换机NAS，配置RADIUS服务器IP等信息；3、在NAS上对接CLIENT的接口启用802.1X认证；4、配置Client，输入错误的用户名和密码;5、PING192.168.1.1测试；6、输入正确的用户名和密码；7、PING192.168.1.1测试。,工业以太网实验基础实验,NAS,Radius:192.168.1.1,Client:192.168.1.2,802.1X配置举例1、使能802.1XPT35_config#dot1xenable2、配置802.1X的认证模式为radiusPT35_config#aaaauthenticationdot1xdefaultgroupradius3、配置radius服务器的IP地址PT35_config#radius-serverhost192.168.1.14、配置radius服务器的认证口令PT35_config#radius-serverkeyWinRadius5、在接口上启用802.1X认证PT35_config_g0/24#dot1xport-controlauto,工业以太网实验基础实验,什么是QoSQoS（QualityofService）服务质量，是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。,工业以