构建安全办公网络.ppt_第1页
构建安全办公网络.ppt_第2页
构建安全办公网络.ppt_第3页
构建安全办公网络.ppt_第4页
构建安全办公网络.ppt_第5页
已阅读5页,还剩47页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

构建安全中型办公网 项目五 为了保证办公网安全 保证办公网不被其它部门网直接访问 实现办公网和教学网以及其它网络之间的技术隔离 构建安全办公网工作场景 构建安全办公网工作拓扑 构建安全办公网需求分析 1 为了保证办公网信息的安全 保证办公网需要保密的信息 希望通过技术 实现办公网和教学网以及其它网络之间的技术隔离 2 学院希望通过技术实现办公网和教学网以及其它网络之间的技术隔离 同时保证办公楼和教学楼同一部门之间的网络互相连通 共享网络信息资源 构建安全办公网知识准备 为组建安全中型办公网络项目 需要的知识准备有 子网规划知识 交换机虚拟局域网络知识 划分虚拟局域网络技术 理解VLAN交换机中端口区别 理解干道技术 区分portvlan和tagvlan 单臂路由知识 三层交换机知识 交换机上划分VLAN 跨交换机实现VLAN通讯 三层交换机实现全网互通 安全办公网络项目知识介绍 广播流量分割 全网之间的互通 交换网络中的问题 在交换机组成的校园网络里所有主机都在同一个广播域内 广播域 安全 广播 随着网络规模的增大带来的一些问题 网内数据传输量增大 网速变得越来越慢 计算机遭受黑客攻击 关键部门存在安全隐患 同一部门的人员分布不同的地域 不能相对集中办公 交换网络中的存在问题 交换网络中问题的解决 VLAN VLAN20 通过VLAN技术可以对网络进行一个安全的隔离 分割广播域 VLAN10 VLAN30 VLAN40 VLAN在交换机中的实现 分段灵活性安全性 第三层 第二层 第一层 销售部 人力资源部 工程部 一个VLAN 一个广播域 逻辑网段 子网 VLAN VirtualLocalAreaNetwork 在物理网络上划分出逻辑网 对应OSI模型第二层 VLAN划分不受端口物理位置限制 VLAN和普通物理网络有同样属性 第二层数据单播 广播只在一个VLAN内转发 不会进入其他VLAN中 VLAN技术 VLAN特点 安全隔离 不同VLAN之间不能直接访问 需通过路由设备相连隔离广播不受物理位置限制 划分VLAN的方法 基于端口的VLAN基于协议的VLAN基于MAC层分组的VLAN基于子网的VLAN 基于交换机的端口 一个端口只属于一个VLAN VLAN的类型 PortVLAN F0 1 F0 2 F0 3 Port vlan原理 F0 1 F0 2 F0 3 A B C Vlan10 Vlan20 Vlan10 ABAC X VLAN在单交换机中的实现 数据1 交换机内部 数据1 数据2 数据2 101 102 创建VLAN100 将它命名为test的例子Switch configureterminalSwitch config vlan10Switch config vlan end把fastethernet0 10作为access口加入了VLAN100Switch configureterminalSwitch config interfacefastethernet0 10Switch config if switchportaccessvlan10Switch config if end 配置PortVLAN Access 1 将一组接口加入某一个VLANSwitch config interfacerangefastethernet0 1 10 0 15 0 20Switch config if range switchportaccessvlan20Switch config if range noshutdown注 连续接口0 1 10 中间使用空格分离 不连续多个接口 中间用逗号隔开 如果使用模块 一定要写明模块编号 配置PortVLAN Access 2 VLAN相关配置 VLAN30 VLAN40 Switch config interfacerangefastethernet0 1 2Switch config if range switchportaccessvlan30Switch config if exitSwitch config interfacefastethernet0 3Switch config if switchportaccessvlan40Switch config if exitSwitch config interfacefastethernet0 4Switch config if switchportaccessvlan40Switch config if exit 如果批量将端口加入VLAN 可用关键字range 见端口加入VLAN30配置 如果只加单一接口 见端口加入VLAN40配置 SwitchB VLAN30 VLAN20 VLAN10 跨交换机VLAN间通信 A交换机上VLAN10的端口范围中取一个端口 和交换机B上VLAN10范围中的某个端口 作级联连接 如果交换机上划了10个VLAN 就需要分别连10条线作级联 端口效率就太低了 SwitchB VLAN30 VLAN20 VLAN10 TagVLAN 在交换机之间用一条级联线 并将对应的端口设置为Trunk 这条线路就可以承载交换机上所有VLAN的信息 Trunk端口传输多个VLAN的信息 实现同一VLAN跨越不同的交换机 跨交换机VLAN之间的通信 TagVLAN 目的 源MAC地址 类型 数据 重新计算帧检测序列 2字节标记协议标识2字节标记控制信息 Trunk端口技术处理 IEEE802 1Q数据帧 标记协议标识 TPID 固定值0 x8100 表示该帧载有802 1q标记信息标记控制信息 TCI Priority3比特 表示优先级Canonicalformatindicator1比特 区别以太网 FDDIVlanID12比特 表示VID 范围1 4094 目的MAC地址 源MAC地址 类型 数据 重新计算帧检测序列 IEEE802 3帧 IEEE802 1Q帧 802 1Q帧只在交换机的trunk链路上传输 对用户透明的 默认Trunk端口 转发交换机上所有VLAN的数据 A 交换机1 交换机2 802 1Q工作过程 B 数据帧 Tag标签 配置VLAN Trunk技术 把Fa0 1配成Trunk口Switch configureterminalSwitch config interfacefastethernet0 1Switch config if switchportmodetrunkSwitch config if noshutdown VLAN相关配置 f0 1 f0 1 switch1 switch2 Switch1 configSwitch1 config interfacefastethernet0 1Switch config if switchportmodetrunk 将二层接口的属性设置为trunk Switch2 configSwitch2 config interfacefastethernet0 1Switch config if switchportmodetrunk 当交换机与交换机相联系时 常将交换机之间连接的链路设置为TRUNK链路 用来确保连接不同交换机之间的链路可以传递多个VLAN的信息 删除VLAN 删除VALN 需要先删除VLAN下接口 Switch config interfacefastethernet0 10Switch config if noswitchportSwitch config if exit再删除VLANSwitch config novlan10 VLAN的实现 Portvlan基于交换机端口进行VLAN的划分一个端口只能属于一个VLAN一个VLAN可以包含多个端口接口模式为access用于连接最终用户设备Tagvlan一个端口可以属于多个VLAN默认情况下属于所有VLAN接口模式为trunk用于交换机之间级联 VLAN的特征 一个vlan中的所有设备处于同一个广播域一个VLAN是一个逻辑的子网或由定义的成员所组成的一个网络段 VLAN之间通信必须要进行路由VLAN的成员通常是基于交换机的端口号 但也可基于设备的MAC地址而动态设置 将VLAN信息保存到flash中Switch writememory从flash中清除VLAN信息Switch deleteflash vlan dat 保存 清除VLAN信息 VLAN10 VLAN20 172 20 0 0 16 VLAN30 172 10 0 0 16 172 30 0 0 16 VLAN间通信的方法 VLAN间通信通过三层路由来通讯 VLANs EngineeringVLAN MarketingVLAN SalesVLAN Floor 1 Floor 2 Floor 3 PhysicalLayerLANSwitch HumanLayer NetworkLayer 192 20 24 0 RoutingFunctionInterconnectsVLANs 192 20 21 0 192 30 20 0 Data LinkLayerBroadcastDomains VLAN10 VLAN30 VLAN20 多条链路连接多个VLAN 浪费路由接口 三层路由器VLAN间通讯 VLAN10 VLAN30 VLAN20 使用一条链路连接多个VLAN 在一个链路接口上划分子接口技术来解决 单臂路由解决思想 FA1 VLAN1 VLAN2 ISL interfacefastethernet0 0noipaddress interfacefastethernet0 0 1ipaddress10 1 1 1255 255 255 0interfacefastethernet0 0 2ipaddress10 2 2 1255 255 255 0 FastE0 0 10 1 1 2 10 2 2 2 单臂路由解决思想 在三层交换机上使用SVI虚拟接口技术 在功能上实现了VLAN间路由通讯功能 VLAN20Network172 16 20 4 VLAN30Network172 16 30 5 VLAN10Network172 16 10 3 三层交换机进行VLAN间路由 使用三层交换接口实现VLAN间路由的通讯 交换接口成本降低 三层交换SVI技术配置方法 第一步 分别在三层上创建每个VLAN对应的SVI端口 Switch config vlan10Switch config vlan20第二步 为三层上创建的VLAN分配路由IP地址 Switch config interfacevlanSwitch config if ipaddressSwitch config if noshutdown第三步 将二层VLAN内连接主机的网关 指定为本VLAN对应的三层接口地址 三层接口 SVI 三层交换机 Vlan10Interfacef0 1Switchportaccessvlan10Vlan20Interfacef0 2Switchportaccessvlan20Interfacevlan10Ipaddress10 1 1 1255 255 255 0NoshutdownInterfacevlan20Ipaddress10 1 2 1255 255 255 0Noshutdown F0 1 F0 1 F0 2 F0 2 10 1 1 0 24 10 1 2 0 24 三层接口 routedport VLAN10 VLAN20 三层交换机 Interfacefastethernet0 1Noswitchport 将交换机二层接口转换为三层接口 Ipaddress10 1 1 1255 255 255 0NoshutdownInterfacefastethernet0 2NoswitchportIpaddress10 1 2 1255 255 255 0Noshutdown F0 1 F0 1 F0 2 F0 2 10 1 1 0 24 10 1 2 0 24 安全办公网络项目实施 案例拓扑结构 1000M 100M VLAN3 100M 100M VLAN10 VLAN11 总经理VLAN99 SW L3 S2126G1 S2126G2 S2126G3 S2126G4 堆叠 技术实验报告 地址表 技术实验报告 VLAN分配表 技术实验报告 需求1 需求1 公司内部员工可以互相通过网络互相交流 第一步 在相关交换机上创建VLAN 并将接口划分到相关VLAN中S2126G1 config vlan2S2126G1 config vlan exitS2126G1 config vlan3S2126G1 config vlan exitS2126G1 config interfacerangefastethernet0 3 11S2126G1 config if range switchportaccessvlan2S2126G1 config if range exitS2126G1 config interfacerangefastethernet0 12 24S2126G1 config if range switchportaccessvlan3其他交换机配置略 技术实验报告 需求1 第二步 在核心交换机上开启VLAN间路由在此步骤之前应完成SW L3上相关VLAN的建立 并将相应接口加入到相应VLANSW L3 config interfacevlan2SW L3 config if ipaddress192 168 2 1255 255 255 0SW L3 config if noshutdownSW L3 config if exitSW L3 config interfacevlan3SW L3 config if ipaddress192 168 3 1255 255 255 0SW L3 config if noshutdownSW L3 config if exitSW L3 config interfacevlan10SW L3 config if ipaddress192 168 10 1255 255 255 0SW L3 config if noshutdownSW L3 config if exit 技术实验报告 需求1 接第二步 在核心交换机上开启VLAN间路由SW L3 config interfacevlan11SW L3 config if ipaddress192 168 11 1255 255 255 0SW L3 config if noshutdownSW L3 config if exitSW L3 config interfacevlan99SW L3 config if ipaddress192 168 99 1255 255 255 0SW L3 config if noshutdownSW L3 config if exit 技术实验报告 需求2 需求2 保证销售部门的员工能够全部接入网络 并且要保障接入交换机的工作效率 将S2126G3与S2126G4上的堆叠模块用堆叠线缆连接起来 连接方式为S2126G3UP S2126G4DOWNS2126G3DOWN S2126G4UP 技术实验报告 需求3 需求3 保证财务部门接入网络时不因线路问题出现不能访问的情况 第一步 建立S2126G1与SW L3之间的双链路S2126G1 config interfacerangefastethe

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论