工业以太网实验内容.pptVIP

工业以太网实验Nov2010 卓越信通电子 北京 有限公司 什么是DHCP动态主机设置协议 DynamicHostConfigurationProtocol DHCP 是一个局域网的网络协议 使用UDP协议工作 主要有两个用途 给内部网络或网络服务供应商自动分配IP地址给用户 为什么引入DHCP减小管理员的工作量减小输入错误的可能避免IP冲突当网络更改IP地址段时 不需要重新配置每台计算机的IP计算机移动不必重新配置IP提高了IP地址的利用率 工业以太网实验 DHCP DHCP租约过程 工业以太网实验 DHCP DHCPDiscover DHCPOffer DHCPRequest DHCPACK Windows使用DHCP客户端开启DHCPClient服务CMD常用命令Ipconfig allIpconfig displaydnsIpconfig flushdnsIpconfig releaseIpconfig renew 工业以太网实验 DHCP DHCP服务器配置内容DNS域名IP地址池默认网关DNS服务器IP地址租约时间 工业以太网实验 DHCP 实验名称 三层交换机充当DHCP服务器实验步骤 1 配置三层交换机A VLAN1的IP为192 168 0 254 连接PC 2 配置DHCP服务的相关参数 3 将客户机网关配置为自动获取IP地址 4 使用ipconfig all命令查看分配的IP 工业以太网实验 基础实验 三层交换机上配置DHCP服务举例1 添加IP地址池Pt35 config ipdhcpdpoolvlan12 配置DNS域名后缀Pt35 config dhcp domain 3 配置IP地址池Pt35 config dhcp network192 168 0 0255 255 255 0Pt35 config dhcp range192 168 0 1192 168 0 2534 配置默认网关IPPt35 config dhcp default router192 168 0 2545 配置DNS服务器IPPt35 config dhcp dns server192 168 0 10192 168 0 116 配置租约时间Pt35 config dhcp lease8 租约时间8天 工业以太网实验 基础实验 什么是NTP网络时间协议 NetworkTimeProtocol NTP 是用来使计算机时间同步化的一种协议 SNTP SimpleNetworkTimeProtocol 是NTP的简化版 工业以太网实验 NTP 实验名称 三层交换机充当SNTPServer实验步骤 1 配置三层交换机A VLAN1的IP为192 168 0 254 SNTPSERVER 2 配置三层交换机B VLAN1的IP为192 168 0 253 SNTPClient 3 查看交换机AB目前时钟 4 指定交换机B的SNTP服务器IP为192 168 0 254 5 查看交换机B目前时钟 工业以太网实验 基础实验 SNTPClient 实验名称 三层交换机充当SNTPClient实验步骤 1 配置三层交换机A VLAN1的IP为192 168 0 254 连接PC192 168 0 1 2 配置XP为SNTPServer 3 手动修改三层交换机时钟 4 配置三层交换机 指定SNTPServer为192 168 0 1 5 查看三层交换机时钟有没有与服务器同步 工业以太网实验 基础实验 SNTP配置举例1 查看及配置交换机时钟 PT35 config dateThecurrentdateis2009 1 1923 59 11Enterthenewdate yyyy mm dd Enterthenewtime hh mm ss 2 配置交换机为时钟服务器PT35 config sntpmaster3 配置时钟服务器IP地址PT35 config sntpserver192 168 0 14 配置时区PT35 config time zoneBeijing8 工业以太网实验 基础实验 什么是SPAN交换端口分析器SwitchedPortAnalyzer SPAN SPAN技术主要是用来监控交换机上的数据流 大体分为两种类型 本地SPAN和远程SPAN LocalSwitchedPortAnalyzer SPAN andRemoteSPAN RSPAN 实现方法上稍有不同 利用SPAN技术我们可以把交换机上某些想要被监控端口 以下简称受控端口 的数据流COPY或MIRROR一份 发送给连接在监控端口上的流量分析仪为什么引入SPAN监控流量数据分析 工业以太网实验 SPAN 实验名称 利用LSPAN获取其它PC使用Telnet的用户名和密码实验步骤 1 配置三层交换机A 指定接TelnetClient的接口为Source 2 配置三层交换机A 指定接analyzer接口为Destination 3 在analyzer上开启抓包工具 4 TelnetClient访问TelnetServer 并输入用户名和密码 5 在analyzer上分析数据包中的用户名和密码 工业以太网实验 基础实验 A TelnetClient TelnetServer analyzer 端口镜像配置举例1 配置源端口 被监控端口 PT35 config mirrorsession1sourceinterfacegigaEthernet0 52 配置目标端口 监控端口 PT35 config mirrorsession1destinationinterfacegigaEthernet0 7 工业以太网实验 基础实验 什么是ACL访问控制列表 AccessControlList ACL 是路由器和交换机接口的指令列表 用来控制端口进出的数据包 ACL适用于所有的被路由协议 如IP IPX AppleTalk等 这张表中包含了匹配关系 条件和查询语句 表只是一个框架结构 其目的是为了对某种访问进行控制 为什么引入ACL访问控制定义IP地址集合读取第二 三和四层信息过滤数据 工业以太网实验 ACL 工业以太网实验 ACL 通过分析IP数据包包头信息 进行判断 这里IP所承载的上层协议为TCP 三层接口对访问控制列表的处理过程 工业以太网实验 ACL 匹配下一步 拒绝 允许 允许 允许 到达访问控制组接口的数据包 匹配第一步 目的接口 隐含的拒绝 丢弃 Y Y Y Y Y Y N N N 匹配下一步 拒绝 拒绝 拒绝 ACL种类基本类型的访问控制列表标准访问控制列表扩展访问控制列表其他种类的访问控制列表基于MAC地址的访问控制列表基于时间的访问控制列表 工业以太网实验 ACL 标准ACL根据数据包的源IP地址来允许或拒绝数据包 工业以太网实验 ACL 如果在访问控制列表中有的话 应用条件 拒绝 允许 更多条目 列表中的下一个条目 否 有访问控制列表吗 源地址 不匹配 是 匹配 是 否 Icmp消息 转发数据包 扩展ACL基于源和目的地址 传输层协议和应用端口号进行过滤每个条件都必须匹配 才会施加允许或拒绝条件使用扩展ACL可以实现更加精确的流量控制 工业以太网实验 ACL 扩展ACL 工业以太网实验 ACL 有访问控制列表吗 源地址 目的地址 协议 协议任选项 应用条件 拒绝 允许 更多条目 列表中的下一个条目 不匹配 否 是 匹配 匹配 匹配 匹配 是 否 Icmp消息 转发数据包 如果在访问控制列表中有的话 不匹配 不匹配 不匹配 常用端口 工业以太网实验 ACL 常用端口操作符 工业以太网实验 ACL 实验名称 利用ACL禁止两台主机通信实验步骤 1 配置三层交换机A VLAN1接PC1 VLAN2接PC2 2 测试PC1能够PING通PC2 3 配置三层交换机A 在物理接口上应用标准ACL禁止PC1的数据包通过 4 测试PC1不能PING通PC2 5 更换PC1的IP为192 168 1 2 6 测试PC1能PING通PC2 工业以太网实验 基础实验 A PC1 192 168 1 1 PC2 192 168 2 1 ACL配置举例1 添加一个标准ACL名称为acl1PT35 config ipaccess liststandardacl12 添加一条拒绝规则PT35 config std acl1 deny192 168 1 1255 255 255 2553 添加一条允许规则PT35 config std acl1 permitany4 在三层接口上应用ACLPT35 config v1 ipaccess groupacl1in5 在二层接口上应用ACLPT35 config g0 24 ipaccess groupacl1 工业以太网实验 基础实验 什么是AAA认证 Authentication 验证用户的身份与可使用的网络服务 授权 Authorization 依据认证结果开放网络服务给用户 计帐 Accounting 记录用户对各种网络服务的用量 并提供给计费系统 工业以太网实验 AAA AAA常用认证模式不认证本地认证Radius认证 工业以太网实验 AAA 实验名称 利用AAA配置telnet认证实验步骤 1 配置三层交换机A VLAN1的IP地址为192 168 1 254 2 配置AAA的telnet用户名和密码均为tsc 3 配置AAA的enable密码为tsc 4 在PC机上telnet192 168 1 254 工业以太网实验 基础实验 A PC1 192 168 1 1 常用Telnet客户端软件Windows自带telnet exe运行中输入telnet服务器IPWindows自带超级终端运行中输入hypertrm工程师常用SecureCRTInternet下载使用 工业以太网实验 基础实验 AAA配置Telnet认证举例1 登录时要求用户名密码 进特权模式要密码配置telnet认证PT35 config aaaauthenticationlogindefaultlocalPT35 config usernametscpasswordtsc配置enable认证PT35 config aaaauthenticationenabledefaultenablePT35 config enablepasswordtsc2 不认证 login不认证 进特权模式不认证PT35 config aaaauthenticationlogindefaultnonePT35 config aaaauthenticationenabledefaultnone 工业以太网实验 基础实验 什么是802 1x802 1x协议是基于Client Server的访问控制和认证协议 它可以限制未经授权的用户 设备通过接入端口 accessport 访问LAN WLAN 在获得交换机或LAN提供的各种业务之前 802 1x对连接到交换机端口上的用户 设备进行认证 在认证通过之前 802 1x只允许EAPoL 基于局域网的扩展认证协议 数据通过设备连接的交换机端口 认证通过以后 正常的数据可以顺利地通过以太网端口 工业以太网实验 802 1x 802 1x三个成员认证服务器 Radius 网络接入服务器 NAS 802 1X客户端 Client 工业以太网实验 802 1x 802 1x工作过程1 当用户有上网需求时打开802 1X客户端程序 输入已经申请 登记过的用户名和口令 发起连接请求 此时 客户端程序将发出请求认证的报文给交换机 开始启动一次认证过程 2 交换机收到请求认证的数据帧后 将发出一个请求帧要求用户的客户端程序将输入的用户名送上来 3 客户端程序响应交换机发出的请求 将用户名信息通过数据帧送给交换机 交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理 4 认证服务器收到交换机转发上来的用户名信息后 将该信息与数据库中的用户名表相比对 找到该用户名对应的口令信息 用随机生成的一个加密字对它进行加密处理 同时也将此加密字传送给交换机 由交换机传给客户端程序 5 客户端程序收到由交换机传来的加密字后 用该加密字对口令部分进行加密处理 此种加密算法通常是不可逆的 并通过交换机传给认证服务器 6 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比 如果相同 则认为该用户为合法用户 反馈认证通过的消息 并向交换机发出打开端口的指令 允许用户的业务流通过端口访问网络 否则 反馈认证失败的消息 并保持交换机端口的关闭状态 只允许认证信息数据通过而不允许业务数据通过 工业以太网实验 802 1x 实验名称 利用802 1X对用户进行身份认证实验步骤 1 配置Radius 添加用户名tsc 密码为tsc 2 配置交换机NAS 配置RADIUS服务器IP等信息 3 在NAS上对接CLIENT的接口启用802 1X认证 4 配置Client 输入错误的用户名和密码 5 PING192 168 1 1测试 6 输入正确的用户名和密码 7 PING192 168 1 1测试 工业以太网实验 基础实验 NAS Radius 192 168 1 1 Client 192 168 1 2 802 1X配置举例1 使能802 1XPT35 config dot1xenable2 配置802 1X的认证模式为radiusPT35 config aaaauthenticationdot1xdefaultgroupradius3 配置radius服务器的IP地址PT35 config radius serverhost192 168 1 14 配置radius服务器的认证口令PT35 config radius serverkeyWinRadius5 在接口上启用802 1X认证PT35 config g0 24 dot1xport controlauto 工业以太网实验 基础实验 什么是QoSQoS QualityofService 服务质量 是网络的一种安全机制 是用来解决网络延迟和阻塞等问题的一种技术 在正常情况下 如果网络只用于特定的无时间限制的应用系统 并不需要QoS 比如Web应用 或E mail设置等 但是对关键应用和多媒体应用就十分必要 当网络过载或拥塞时 QoS能确保重要业务量不受延迟或丢弃 同时保证网络的高效运行 工业