部门间网络的安全隔离.ppt

计算机网络技术 学习情境二 构建中型网络 项目四 部门间网络的安全隔离 相关知识 交换机基本配置与管理 硬件系统 cpu交换机背板的asic芯片ram romflash非易失性ram 交换机的组成 交换机基本配置与管理 交换机的ios 交换机的ios启动包括 flash存储器 tftp服务器 rom 不完整的ios软件 交换机基本配置与管理 交换机的启动 1 确认交换机启动时对所有硬件进行了检测 2 发现并装载交换机的操作系统ciscoios软件 3 发现配置文件并应用各条配置语句 包括协议功能和接口地址 交换机基本配置与管理 配置模式 通过console口对交换机进行配置和管理 通过telnet对交换机进行远程管理 通过web对交换机进行远程管理 通过ethernet上的snmp网管工作站对交换机进行管理 可网管交换机工作模式 用户模式 特权模式 配置模式 交换机基本配置与管理 交换机基本配置与管理 当pc计算机和交换机建立连接 配置好仿真终端时 首先处于用户模式 userexec模式 在用户模式下 可以使用少量用户模式命令 命令的功能也受到一定限制 用户模式命令的操作结果不会被保存 用户模式状态 switch 用户模式 交换机基本配置与管理 要想在可网管交换机上使用更多的命令 必须进入特权模式 privilegedexec模式 通常由用户模式进入特权模式时 必须输入进入特权模式的命令 enable 在特权模式下 用户可以使用所有的特权命令 可以使用命令的数目也增加了很多 特权模式状态 switch 特权模式 交换机基本配置与管理 通过configureterminal命令 可以由特权模式进入配置模式 在配置模式下 可以使用更多的命令来修改交换机的系统参数 使用配置模式 全局配置模式 接口配置模式 vlan配置模式 线程工作模式 的命令会对当前的配置产生影响 如果用户保存了配置信息 这些命令将被保存下来 并在系统重新启动时再次执行 要进入各种配置模式 首先必须进入全局配置模式 从全局配置模式出发 可以进入接口配置模式等各种配置子模式 配置模式 交换机基本配置与管理 exit或ctrl z exit或ctrl z configureterminal 各种特定配置模式 switch switch switch config 用户exec模式 特权exec模式 全局配置模式 enable 项目实施 任务1 交换机的基本配置与管理 工作任务 某人受聘于一家公司网络中心做网络管理员 随着网络应用的逐步深入 公司陆续添置计算机和可管理的网络设备 现需要对新进的交换机进行配置和管理 任务1 交换机的基本配置与管理 任务1 交换机的基本配置与管理 任务目标 能够通过控制台端口对交换机进行初始配置 能够配置交换机的各种口令 能够对交换机进行基本配置 能够利用show命令查看交换机的各种状态 任务1 交换机的基本配置与管理 cisco2900交换机 1台 pc计算机1台 双绞线 若干根 反转电缆一根 设备清单 网络拓扑 任务1 交换机的基本配置与管理 任务1 交换机的基本配置与管理 实施过程 步骤1 交换机启动 步骤2 用户模式 特权模式 全局配置模式的转换 步骤3 使用交换机的cli 步骤4 配置交换机的主机名 实施过程 步骤5 配置交换机的口令 步骤6 查看交换机信息 步骤7 配置2层交换机端口 步骤8 通过telnet连接交换机 步骤9 测试 任务1 交换机的基本配置与管理 单交换机上划分vlan 虚拟局域网 单交换机上划分vlan a3 交换式集线器 交换式集线器 a4 b1 交换式集线器 vlan3 c3 b3 vlan1 vlan2 c1 a2 a1 c2 b2 交换式集线器 三个虚拟局域网vlan1 vlan2和vlan3的构成 当b1向vlan2工作组内成员发送数据时 工作站b2和b3将会收到广播的信息 b1发送数据时 工作站a1 a2和c1都不会收到b1发出的广播信息 虚拟局域网限制了接收广播信息的工作站数 使得网络不会因传播过多广播信息 即 广播风暴 而引起性能恶化 交换式集线器 a3 单交换机上划分vlan vlan的优点 有利于优化网络性能 提高了网络的安全性 便于对网络进行管理和控制 提供了基于第二层的通信优先级服务 单交换机上划分vlan 组网方法 静态vlan 动态vlan 基于mac地址的vlan 基于路由的vlan 用ip广播组定义虚拟局域网 vlan的组网方式 单交换机上划分vlan 静态vlan配置 在建立vlan之前 必须考虑是否使用vlan干线协议 vlantrunkprotocol vtp 来为你的网络进行全局vlan的配置 大多数catalyst桌面交换机支持最多64个激活的vlan catalyst2950系列交换机在标准镜像上可以支持最多250个vlan 并且最大可支持的vlan号为4096 catalyst交换机的默认配置是为每一个vlan运行一个单独的生成树实例 单交换机上划分vlan 静态vlan配置 在全局配置模式下使用vlan命令 switch config vlanvlan id 其中 vlan是 id配置要被添加的vlan的id 如果要安装增强的软件版本 范围为1 4096 如果安装的是标准的软件版本 范围为1 1005 每一个vlan都有一个唯一的4位的id 范围 0001 1005 switch config vlan namevlan name 单交换机上划分vlan 定义一个vlan的名字 可以使用1 32个ascii字符 但是必须保证这个名称在管理域中是唯一的 为了添加一个vlan到vlan数据库 需要给vlan分配给一个id号和名字 vlan1 包括vlan1002 vlan1003 vlan1004和vlan1005 是一些厂家默认vlanid号 单交换机上划分vlan 默认配置中 交换机处在vtp服务器模式 所以可以添加 更改或删除vlan 如果交换机设置为vtp客户模式 就不能添加 更改或删除vlan 为了添加一个以太网vlan 必须至少指定一个vlanid 如果不为vlan输入一个名字 默认配置会在 vlan 这个字母后自动添加vlan的号码 例如 如果不加以命名 vlan0004将使用vlan4的默认名字 单交换机上划分vlan 在新创建一个vlan之后 可以为之手工分配一个端口号或多个端口号 一个端口只能属于唯一一个vlan 这种为vlan分配端口号的方法称为静态 接入端口 在接口配置模式下 分配vlan端口命令为 switch config if switchportaccessvlanvlan id默认情况下 所有的端口都属于vlan1 单交换机上划分vlan 单交换机上划分vlan 检验vlan配置 在特权模式下 可以检验vlan的配置 常用的命令有 switch showvlan 显示所有vlan的配置消息 switch showintefaceinterfaceswitchport 显示一个指定的接口的vlan信息 添加 更改和删除vlan 为了添加 更改和删除vlan 需要把交换机设在vtp服务器或透明模式 当要为整个域内的交换机做一些vlan更改时 必须处于vtp服务器模式 在vtp范围内更新的内容会自动传播到其他交换机上 在vtp透明模式下做的vlan更改只能影响本地交换机 更改不会在vtp范围内传播 单交换机上划分vlan 单交换机上划分vlan 为了修改vlan的属性 如vlan的名字 应使用全局配置命令vlanvlan id 但不能更改vlan编号 为了使用不同的vlan编号 需要创建新的vlan编号 然后再分配相应的端口到这个vlan中 当在一个vtp服务器模式的交换机上删除一个vlan时 这个vlan就会在所有这个vtp域中的交换机上被删除 当在一个vtp透明模式的交换机上删除一个vlan 这个vlan只是在这台交换机上被删除 在vlan配置模式下 使用命令novlanvlan id删除vlan 删除vlan之前 要确定原来在该vlan下的所有端口移到了另一个vlan中 单交换机上划分vlan 项目实施 任务2 单交换机上划分vlan 工作任务 某人受聘于一家网络公司做网络工程师 现公司有一客户提出要求 该客户公司建立了一小型局域网 包含财务部 销售部和办公室三个部门 公司领导要求各部门内部主机有一些业务可以相互访问 但部门之间为了安全完全禁止互访 任务2 单交换机上划分vlan 任务2 单交换机上划分vlan 任务目标 能够在单交换机进行vlan划分 能够通过vlan技术隔离网络 设备清单 cisco2950交换机 1台 pc计算机6台 双绞线 若干根 反转电缆一根 任务2 单交换机上划分vlan 任务2 单交换机上划分vlan 网络拓扑 任务2 单交换机上划分vlan 实施过程 步骤1 硬件连接步骤2 分别打开设备 给设备加电 设备都处于自检状态 直到连接交换机的指示灯处于绿灯 表示网络处于稳定连接状态 步骤3 配置pc10 pc11 pc20 pc21 pc30 pc31的ip地址 如表所示 计算机ip地址配置表 任务2 单交换机上划分vlan 任务2 单交换机上划分vlan 实施过程 步骤4 分别测试pc10 pc11 pc20 pc21 pc30 pc31这六台计算机之间的连通性 步骤5 配置交换机vlan 步骤6 项目测试 多交换机上划分vlan 虚拟局域网的帧格式 多交换机上划分vlan vlan数据帧的传输 access端口 只能传送标准以太网帧的端口 一般是指那些连接不支持vlan技术的端设备的接口 这些端口接收到的数据帧都不包含vlan标签 而向外发送数据帧时 必须保证数据帧中不包含vlan标签 多交换机上划分vlan trunk端口 既可以传送有vlan标签的数据帧也可以传送标准以太网帧的端口 一般是指那些连接支持vlan技术的网络设备 如交换机 的端口 这些端口接收到的数据帧一般都包含vlan标签 数据帧vlanid和端口缺省vlanid相同除外 而向外发送数据帧时 必须保证接收端能够区分不同vlan的数据帧 故常常需要添加vlan标签 数据帧vlanid和端口缺省vlanid相同除外 多交换机上划分vlan 项目实施 任务3 多交换机上划分vlan 工作任务 任务 1 某人受聘于一家网络公司做网络工程师 现公司有一客户提出要求 该客户公司建立了一小型局域网 包含财务部 销售部和办公室三个部门 分别位于两座办公楼 在每一座办公楼设置一台交换机 在每一座办公楼都有财务部 销售部和办公室 公司领导要求各部门内部主机有一些业务可以相互访问 但部门之间为了安全完全禁止互访 任务 2 公司领导要求办公室内部计算机可以相互访问 财务部 销售部两个部门的计算机只有同一座楼可以相互访问 不同楼的计算机不能相互访问 部门之间为了安全完全禁止互访 任务3 多交换机上划分vlan 任务3 多交换机上划分vlan 任务目标 能够实现跨交换机上实现vlan方法 能够掌握将交换机端口分配到vlan中的操作技巧 任务3 多交换机上划分vlan 设备清单 cisco3560交换机 1台 cisco2950交换机 1台 pc计算机6台 双绞线 若干根 反转电缆一根 任务3 多交换机上划分vlan 网络拓扑 任务3 多交换机上划分vlan 实施过程 步