部门间网络的安全隔离【高级课件】

1、,计算机网络技术,学习情境二：构建中型网络,项目四：部门间网络的安全隔离,交换机基本配置与管理 单交换机上划分VLAN 多交换机上划分VLAN,相关知识,交换机的组成,硬件： CPU 交换机背板的ASIC芯片 存储介质：DRAM、ROM、 FLASH、 NVRAM 端口：Ethernet，Fast Ethernet，Gigabit Ethernet 软件： IOS操作系统交换机基本配置与管理,交换机基本配置与管理,交换机的IOS,交换机基本配置与管理,交换机的IOS启动源包括： Flash存储器 TFTP服务器 ROM（不完整的IOS软件）,交换机的启动,（1）确认交换机启动时对所有硬件进行了

2、检测； （2）发现并装载交换机的操作系统Cisco IOS软件； （3）发现配置文件并应用各条配置语句，包括协议功能和接口地址。,配置 模式,通过Console口对交换机进行配置和管理,通过Web对交换机进行远程管理,通过Ethernet上的SNMP网管工作站对交换机进行管理,交换机基本配置与管理,通过Telnet 对交换机进行远程管理,可网管交换机工作模式,用户模式,特权模式,配置模式,交换机基本配置与管理,全局配置模式 接口配置模式 VLAN配置模式 线程工作模式,当PC计算机和交换机建立连接，配置好仿真终端时，首先处于用户模式（User EXEC模式）。 在用户模式下，可以使用少量用户模

3、式命令，命令的功能也受到一定限制。用户模式命令的操作结果不会被保存。 用户模式状态：Switch,用户模式,交换机基本配置与管理,要想在可网管交换机上使用更多的命令， 必须进入特权模式（Privileged EXEC模式）。 通常由用户模式进入特权模式时，必须输入进入特权模式的命令：enable。在特权模式下，用户可以使用所有的特权命令，可以使用命令的数目也增加了很多。 特权模式状态：Switch,特权模式,交换机基本配置与管理,通过configure terminal命令，可以由特权模式进入配置模式。在配置模式下，可以使用更多的命令来修改交换机的系统参数。 使用配置模式（全局配置模式，接口配

4、置模式、VLAN配置模式、线程工作模式）的命令会对当前的配置产生影响。如果用户保存了配置信息，这些命令将被保存下来，并在系统重新启动时再次执行。要进入各种配置模式，首先必须进入全局配置模式。从全局配置模式出发，可以进入接口配置模式等各种配置子模式。,配置模式,交换机基本配置与管理,Exit 或Ctrl-Z,Exit 或Ctrl-Z,Configure terminal,各种特定配置模式,switch,switch#,switch（config）#,用户EXEC模式,特权EXEC模式,全局配置模式,Enable,交换机基本配置与管理,任务1：交换机的基本配置与管理,项目实施,交换机的基本配置与管

5、理,工作任务,某人受聘于一家公司网络中心做网络管理员，随着网络应用的逐步深入，公司陆续添置计算机和可管理的网络设备，现需要对新进的交换机进行配置和管理。,能够通过控制台端口对交换机进行初始配置； 能够配置交换机的各种口令； 能够对交换机进行基本配置； 能够利用show 命令查看交换机的各种状态。,任务目标,交换机的基本配置与管理,设备清单,Cisco2900交换机（1台）； PC计算机1台； 双绞线（若干根）； 反转电缆一根。,网络拓扑,步骤1：交换机启动; 步骤2：用户模式、特权模式、全局配置模式的转换; 步骤3：使用交换机的CLI; 步骤4：配置交换机的主机名; 步骤5 : 配置交换机的口

6、令; 步骤6：查看交换机信息; 步骤7：配置2层交换机端口; 步骤8：通过Telnet连接交换机； 步骤9：测试。,交换机的基本配置与管理,实施过程,连接到第二层交换机的主机和服务器处于同一个网段中，会带来两个严重的问题： 1.交换机会向所有端口发送广播,占用过多带宽; 2.连接到交换机的每台设备能与此交换机上的所有设备相互转发和接收帧,设计网络时,应该: 1.将广播流量限制在此广播的网络区域中; 2.出于业务需要,部分主机配置能互相访问,部分则不能.(如财务部服务只能由财务部成员访问,在交换网络中，能过创建虚拟局域网（VLAN）来按需将广播限制在特定的区域并将主机分组。,单交换机上划分VLA

7、N,单交换机上划分VLAN,A3,交换式 集线器,交换机,A4,B1,交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,C2,B2,交换机,三个虚拟局域网 VLAN1（A1，A2，A3，A4）， VLAN2（B1，B2，B3），和 VLAN3（C1，C2，C3） 构成 ；,交换机,A3,VLAN标准：IEEE 802.1q（1996.3） IEEE802.1q定义：是由一些局域网网段构成的与物理位置无关的逻辑组，而这些网段具有某些共同的需求。虚拟局域网也称VLAN。每一个VLAN的帧都有一个明确的标识符（ID），指明发送到这个帧的工作站属于哪一个VLAN。 VLAN优点

8、： 1.有利于优化网络性能； 2.提高了网络的安全性; 3.便于对网络进行管理和控制 4.提供了基于第二层的通信优先级服务,单交换机上划分VLAN,VLAN的划分 可以根据功能，部门，或应用而无须考虑用户的物理位置。分配在同一个VLAN的端口可以共享广播域（一个站点发送的广播信息，同一VLAN中的所有站点都可以收到），分配在不同的端口不共享广播域。VLAN可以在单台交换机中实现，也可以跨越多台交换机。 所有VLAN均通过交换机软件实现，从实现机制或策略来分，VLAN可以分为：,单交换机上划分VLAN,单交换机上划分VLAN,静态VLAN 根据交换机端口进行VLAN划分，即将一端口分配给一个VL

9、AN时，其将一直保持不变直到网管员改变这种配置，所以又称基于端口的VLAN。 静态VLAN配置简单,但缺乏灵活性,当用户在网络中的位置发生变化,网管员必须对端口重新配置,因此,适合用户或设备位置相对固定的网络环境. 动态VLAN 1.基于MAC地址的VLAN 2.基于路由的VLAN 3.用IP广播组定义VLAN,静态VLAN配置,单交换机上划分VLAN,在建立VLAN之前，必须考虑是否使用VLAN干线协议（VLAN trunk protocol，VTP）来为你的网络进行全局VLAN的配置。 大多数Catalyst桌面交换机支持最多64个激活的VLAN。Catalyst2950系列交换机在标准镜

10、像上可以支持最多250个VLAN，并且最大可支持的VLAN号为4096。Catalyst交换机的默认配置是为每一个VLAN运行一个单独的生成树实例。,静态VLAN配置,单交换机上划分VLAN,在全局配置模式下使用VLAN命令: Switch（config）#vlan vlan-id Switch（config）#vlan vlan-name,1.配置VLAN 的ID和名字 vlan-id是配置要被添加的VLAN的ID，如果要安装增强的软件版本，范围为14096，如果安装的是标准的软件版本，范围为11005。每一个VLAN都有一个唯一的4位的ID（范围：00011005）。 Vlan-name是

11、VLAN的名字，可以使用132个ASCII字符，但是必须保证这个名称在管理域中是唯一的。,静态VLAN配置,单交换机上划分VLAN,为了添加一个VLAN到VLAN数据库，需要给VLAN分配给一个ID号和名字。VLAN1（包括VLAN1002、VLAN1003、VLAN1004和VLAN1005）是一些厂家默认VLAN ID号。 默认配置中，交换机处在VTP服务器模式，所以可以添加、更改或删除VLAN。如果交换机设置为VTP客户模式，就不能添加、更改或删除VLAN。 为了添加一个以太网VLAN，必须至少指定一个VLAN ID。如果不为VLAN输入一个名字，默认配置会在“VLAN”这个字母后自动添

12、加VLAN的号码。例如，如果不加以命名，VLAN0004将使用VLAN 4的默认名字。,静态VLAN配置,2. 分配端口 在新创建一个VLAN之后，可以为之手工分配一个端口号或多个端口号。一个端口只能属于唯一一个VLAN。这种为VLAN分配端口号的方法称为静态接入端口。 默认情况下，所有的端口都属于VLAN 1。,单交换机上划分VLAN,在接口配置模式下，分配VLAN端口命令为： Switch（config-if）#switchport access vlan vlan-id,单交换机上划分VLAN,静态VLAN配置,在特权模式下，可以检验VLAN的配置，常用的命令有： Switch#show

13、 vlan /显示所有VLAN的配置消息。 Switch#show inteface interface switchport /显示指定的接口的VLAN信息。,单交换机上划分VLAN,静态VLAN配置,3.添加、更改和删除VLAN 为了添加、更改和删除VLAN，需要把交换机设在VTP服务器或透明模式。当要为整个域内的交换机做一些VLAN更改时，必须处于VTP服务器模式，在VTP范围内更新的内容会自动传播到其他交换机上，在VTP透明模式下做的VLAN更改只能影响本地交换机，更改不会在VTP范围内传播。 为了修改VLAN的属性（如VLAN的名字），应使用全局配置命令vlan vlan-id，但不

14、能更改VLAN编号，为了使用不同的VLAN编号，需要创建新的VLAN编号，然后再分配相应的端口到这个VLAN中。,单交换机上划分VLAN,静态VLAN配置,3.添加、更改和删除VLAN 当在一个VTP服务器模式的交换机上删除一个VLAN时，这个VLAN就会在所有这个VTP域中的交换机上被删除。当在一个VTP透明模式的交换机上删除一个VLAN，这个VLAN只是在这台交换机上被删除。在VLAN配置模式下，使用命令no vlan vlan-id删除VLAN。删除VLAN之前，要确定原来在该vlan下的所有端口移到了另一个VLAN中。,在接口配置模式下，将端口重新分配到默认的VLAN命令为： Swit

15、ch（config-if）# no switchport access vlan,任务2：单交换机上划分VLAN,项目实施,单交换机上划分VLAN,工作任务,某人受聘于一家网络公司做网络工程师，现公司有一客户提出要求，该客户公司建立了一小型局域网，包含财务部、销售部和办公室三个部门，公司领导要求各部门内部主机有一些业务可以相互访问，但部门之间为了安全完全禁止互访。,任务目标,能够在单交换机进行VLAN划分； 能够通过VLAN技术隔离网络。,单交换机上划分VLAN,设备清单,Cisco2950交换机（1台）； PC计算机6台； 双绞线（若干根）； 反转电缆一根。,任务2：单交换机上划分VLAN,

16、实施过程,步骤1：硬件连接 步骤2：分别打开设备，给设备加电，设备都处于自检状态，直到连接交换机的指示灯处于绿 灯，表示网络处于稳定连接状态。 步骤3：配置PC10、PC11、PC20、PC21、PC30、PC31的IP地址,如表所示。 计算机IP地址配置表:,任务2：单交换机上划分VLAN,实施过程,步骤4：分别测试PC10、PC11、PC20、PC21、PC30、 PC31这六台计算机之间的连通性。 步骤5：配置交换机VLAN。 步骤6：项目测试。,虚拟局域网的帧格式,？最后12位标志以太网帧属于哪个VLAN,多交换机上划分VLAN,VLAN数据帧的传输,多交换机上划分VLAN,Acces

17、s端口,只能传送标准以太网帧的端口，一般是指那些连接不支持VLAN技术的端设备的接口，这些端口接收到的数据帧都不包含VLAN标签，而向外发送数据帧时，必须保证数据帧中不包含VLAN标签。,Trunk端口,既可以传送有VLAN标签的数据帧也可以传送标准以太网帧的端口，一般是指那些连接支持VLAN技术的网络设备（如交换机）的端口，这些端口接收到的数据帧一般都包含VLAN标签（数据帧VLAN ID和端口缺省VLAN ID相同除外），而向外发送数据帧时，必须保证接收端能够区分不同VLAN的数据帧，故常常需要添加VLAN标签（数据帧VLAN ID和端口缺省VLAN ID相同除外）。,多交换机上划分VLA

18、N,任务3：多交换机上划分VLAN,项目实施,工作任务,任务（1）某人受聘于一家网络公司做网络工程师，现公司有一客户提出要求，该客户公司建立了一小型局域网，包含财务部、销售部和办公室三个部门，分别位于两座办公楼。在每一座办公楼设置一台交换机，在每一座办公楼都有财务部、销售部和办公室。公司领导要求各部门内部主机有一些业务可以相互访问，但部门之间为了安全完全禁止互访。 任务（2）公司领导要求办公室内部计算机可以相互访问，财务部、销售部两个部门的计算机只有同一座楼可以相互访问，不同楼的计算机不能相互访问，部门之间为了安全完全禁止互访。,多交换机上划分VLAN,任务3：多交换机上划分VLAN,任务目标,能够实现跨交换机上实现VLAN方法； 能够掌握将交换机端口分配到VLAN中的操作技巧。,任务3：多交换机上划分VLAN,设备清单,Cisco3560交换机（1台）； Cisco2950交换机（1台）； PC计算机6台； 双绞线（若干根）； 反转电缆一根。,任务3：多交换