资源描述
,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,8,章 网络连接设备及技术,臧海娟,2,网络中心(图书馆),10,常州技术师范学院校园网二期网络拓扑图,100Base-TX,1000Base,100Base-FX,10Base-FL,图例:,E-mail,DNS,网管工作站,Cisco,3640,CERNET,Catalyst 2980,行政楼,1,Catalyst,3548,10Base-FX,学生公寓,21,数据库,辅,DNS,新教学楼,Catalyst 3548,东方分院,-,别墅楼群,CATALYST,3548,新实验楼(在建),二台,总务处,9Catalyst 1924F,实验工厂,8Catalyst 2924C,DDN,PSTN,Catalyst,3548,(五台),化工实验楼,5-6,学生公寓,20,学生公寓,12,、,13,、,14,新学生宿舍楼,东方分院,教学楼,3,、,4,综合实验楼,2,Catalyst3548,经济干部,管理学院,Catalyst 1924,Proxy,CATALYST,5505,CATALYST,6509,Catalyst 2924M,Catalyst1912MF,3,4,本章主要内容,网络传输介质和互联设备,物理层互联设备,数据链路层互联设备,网络层互联设备,应用层互联设备,交换机,路由器,网络设备的配置与管理,虚拟局域网,VLAN,网络地址转换,NAT,5,网络传输介质,10M Ethernet,:,10Base2,-,细缆,10Base5,-,粗缆,注意:路由器支持,AUI,(连接同轴电缆的,Interface,),可以接一个收发器转换。,10BaseT,-,双绞线,100Mbps FastEthernet:,100BaseTX,-,使用,5,类,UTP,和,1,类,STP,,传输,100M,,距离,100,米。,6,网络传输介质,智能,MDI/MDIX,(,自动协商及自动跳线,),自动侦测并调整速率与双工模式的自动跳线功能(,MDI/MDIX,),无论使用交叉式或直连式数据线,皆可连接至其他,PC,机或级联至其他交换机;,7,网络传输介质,-,光纤,1000BASE-SX,代表,1000M,传输速率,多模光纤,传输距离为,500,米。,1000BASE-LX,代表单模,/,多模接口,传输距离从,550,米,-10,千米,,1000BASE-TX,代表,RJ45,接口,FC,PC,型光尾纤接头外形图,SC,PC,型光尾纤接头外形图,ST-PC,型光尾纤接头外形图,FC/PC,SC/PC,型光尾纤外形图,8,物理层互联设备,-,中继器,负责在两个节点的物理层上按位传递信息,完成信号的复制、调整和放大功能,以此来延长网络的长度。,9,物理层互联设备,-,集线器,中继器的一种形式,区别在于集线器能够提供多端口服务,也称为多口中继器。,10,数据链路层互联设备,-,网桥,网桥(,Bridge,)是一个局域网与另一个局域网之间建立连接的桥梁。网桥是属于网络层的一种设备,它的作用是扩展网络和通信手段,在各种传输介质中转发数据信号,扩展网络的距离,同时又有选择地将有地址的信号从一个传输介质发送到另一个传输介质,并能有效地限制两个介质系统中无关紧要的通信。,11,交换机,交换机是一种具有低价、高性能和高端口密集特点的交换产品。,二层交换机属数据链路层设备,可以识别数据包中的,MAC,地址信息,根据,MAC,地址进行转发,并将这些,MAC,地址与对应的端口记录在自己内部的一个地址表中。,12,ROM,Flash,Interface,CPU,RAM,交换机组件,组件,13,交换机组件,Flash,:,Flash ROM,快闪存储器,存储系统软件映像,启动配置文件等,是可擦可编程的,ROM,。,ROM,存储开机诊断程序、引导程序和操作系统软件。,RAM/DRAM,主存储器,存储运行配置,NVRAM,非易,失性,RAM,,存储备份配置文件等。,CPU,中央处理器 交换机使用特殊用途集成电路芯片,以实现高速的数据传输。,Interface,接口,14,局域网交换机分类,以大网交换机;,令牌环交换机;,FDDI,交换机;,ATM,交换机;,快速以太网交换机等,15,交换机的主要功能,交换机具有三种主要功能:,地址学习、转发,/,过滤、回环避免。,16,MAC,地址表,A,B,C,D,交换机工作原理,交换机初始化时,MAC,地址表是空的。,F0/1,F0/3,F0/2,F0/4,17,MAC,地址表,D,C,B,A,交换机工作原理,主机之间互相发送数据,交换机会学习数据帧的源,MAC,地址。,F0/1,F0/3,F0/2,F0/4,地址学习,18,X,X,D,C,A,B,MAC,地址表,交换机工作原理,已知单播帧:地址表中已存在其地址,则只把数据帧从相应的端口发出。其他地址被过滤掉。过滤操作(,Filtering,),F0/1,F0/3,F0/2,F0/4,转发,/,过滤,19,F0/1,F0/3,F0/2,F0/4,D,C,A,B,MAC,地址表,交换机工作原理,未知单播帧,广播帧:地址表中没有该地址时,采用广播形式发送。执行广播操作(,Flooding,),转发,/,过滤,20,回环避免,回环避免,采用生成树协议来实现,生成树协议既支持路径冗余,又可以防止路径回环。,A,网段,1,网段,2,A,B,21,广播地址在数据链路层表示为,该地址不会被交换机学习到,目的地址为该地址的数据帧将被交换机扩散,F0,F1,F2,F3,D,C,A,B,MAC,地址表,交换机工作原理,Console,任何,Interface,Telnet,TFTP,常用的交换机配置方法,23,交换机配置,波特率:,9600,数据位:,8,停止位:,1,无校验,无流量控制,程序,附件,通讯,超级终端,24,交换机配置命令模式,用户模式,Switch,特权模式,Switch#,全局模式,Switch(config)#,端口模式,Switch(config-if)#,VLAN,配置模式,Switch(config-vlan)#,25,EXEC,模式:,用户模式,switch,交换机信息的查看,简单测试命令,特权模式,switch#,查看、管理交换机配置信息,测试、调试,交换机配置命令模式,26,1.,在用户模式下进入特权模式,SwitchenableSwitch#,2.,返回用户模式,Switch#disable,或,Switch#exit,交换机配置命令模式,27,配置模式:,全局配置模式,switch(config)#,配置交换机的整体参数,接口配置模式,switch(config-if)#,配置交换机的接口参数,交换机配置命令模式,28,1.,进入全局配置模式下,Switch#configure terminalSwitch(config)#exitSwitch#,2.,进入接口配置模式,Switch(config)#interface fastethernet 0/1Switch(config-if)#exitSwitch(config)#,交换机配置命令模式,29,从子模式下直接返回特权模式,Switch(config-if)#endSwitch#,交换机配置命令模式,30,命令行其他功能,获得帮助,命令简写,使用历史命令,编辑快捷键,Ctrl+A,光标移动到命令行的开始位置,Ctrl+E,光标移动到命令行的结束位置,ESC+B,回移一个单词,Ctrl+F,下移一个字符,Ctrl+B,回移一个字符,ESC+F,下移一个单词,Ctrl+D,删除当前字符,Ctrl+P or,上方向键,调出最近,(,前一,),使用过的命令,Ctrl+N or,下方向键,调出更近 用过的命令,Ctrl+shift+6,终止一个进程,31,1.,支持命令简写,(,按,TAB,键将命令补充完整,)2.,在每种操作模式下直接输入“,?,”,显示该模式下所有的命令,3.,命令空格 “,?”,显示命令参数并对其解释说明,4.,字符“,?”,显示以该字符开头的命令,5.,命令历史缓存,:(,Ctrl+P,),显示上一条命令,(,Ctrl+N,),显示下一条命令,6.,错误提示信息,交换机操作帮助特点,32,显示交换机硬件及软件的信息,Switch#show version,显示当前运行的配置参数,Switch#show running-config,显示保存的配置参数,Switch#show configure,显示接口配置参数,Switch#show interfaces,交换机常用命令,33,交换机的配置命令,特权模式主机名,#,下的基本操作,清空,Flash,中的配置参数,#,delete flash:config.text,设置系统时间,#,clock set,时间值,#,show clock ;,显示系统时间信息,重新启动交换机,#,reload,查看,MAC,地址表,#,show mac-address-table,显示接口状态,#show interface,进入全局模式,#configure terminal,34,交换机的配置命令,全局模式主机名(,config)#,下的基本操作,设置主机名,#,hostname,新主机名,# no hostname ;,将系统主机名恢复为缺省值,配置交换机的登陆密码,# enable secret,level 1,0,star,配置交换机的特权密码,# enable secret,level 15,0,Star,注:,用户级别,0,至,15,,其中,1,为普通用户级别,,15,为最高授权级别;,加密类型“,0”,表示加密类型是明文形式,“,1”,表示为密文形式;,口令格式:最大长度,25,个字符,不能包含空格,问号或其他不可显示的字符。,35,交换机的配置命令,接口模式主机名(,config,if)#,下的基本操作,配置接口速率,#,speed 10 | 100 | auto ,配置双工模式,# duplex, auto | full | half ,自动,全双工,半双工,10Mb,100Mb,10/100Mb,自适应,36,半双工,(,右图,) 1.,接口只能同时发送或者接收数据,2.,接口按照,CSMA/CD,的工作机制,3.,接口点对点连接或点对多点连接全双工,1.,接口能够同时发送接收数据,2.,任何时刻发送数据不会产生冲突,3.,接口点对点连接,点对点,点对多点,交换机接口的双工模式,强调,HUB,只支持半双工。,37,交换机的配置文件的管理,保存文件,:,将当前运行的参数保存到,flash,中用于系统初始化时初始化参数。,Switch#,copy running-config startup-config,Switch#,write memory,Switch#,write,删除文件,:,永久性的删除,flash,中不需要的文件。,使用命令,delete flash:config.text,删除,VLAN,数据库,:,永久性的删除,flash,中,VLAN,数据库文件。,使用命令,delete flash:vlan.dat,查看配置文件内容:,Switch#,more flash:config.text,Switch#,show configure,Switch#,show running-config,。,38,交换机互连方式,级联:,通过交换机的普通端口通过普通线缆简单联接起来,堆叠,:,通过堆叠线缆将交换机的背板连接起来,扩大级联带宽,39,1.,级联, 级联端口:,普通端口和级联端口, 级联线缆,双绞线, 有层次限制,每层,的性能不同,网络设备的连接方式,40,直连线和交叉线示意图,交换机,集线器,集线器,级联端口,MDI-II,普通端口,MDI-X,直连线,直连线,交叉线,交叉线,直连线,PC,PC,交叉线,41,交换机(或集线器)级联,以太网的级联,42,2.,堆叠,通过专用的端口将集线器或交换机连接起来,逻辑上形成一个设备。,43,堆叠菊花链,44,堆叠,-,主从式,45,转发方式,直通式,存储转发式,无碎片直通式(更高级的直通式转发),46,直通式,直通式(,Cut Through,)方式在输入端口检测到一个数据包后,只检查其包头,取出目的地址,通过内部的地址表确定相应的输出端口,然后把数据包转发到输出端口这样就完成了交换。因为它只检查数据包的包头(通常只检查,14,个字节)。,47,存储转发式,存储转发(,Store and Forward,)是计算机网络领域使用得最为广泛的技术之一,在这种工作方式下交换机的控制器先缓存输入到端口的数据包,然后进行,CRC,校验,滤掉不正确的帧,确认包正确后,取出目的地址,通过内部的地址表确定相应的输出端口,然后把数据包转发到输出端口。,48,无碎片直通式,无碎片直通(,Fragment Free Cut Through,)是介于直通式和存储转发式之间的,种解决方案,它检查数据包的长度是否够,64 Bytes,(,512bit,)如果小于,64 Bytes,,说明该包是碎片(即在信息发送过程中由于冲突而产生的残缺不全的帧),则丢弃该包,如果大于,64 Bytes,,则发送该包。该方式的数据处理速度比存储转发方式快,但比直通式慢。,路由器,网络层互联设备,50,低端路由器外观,51,高端路由器外观,52,核心路由器外观,53,Interface,Interface,路由器的内部结构,RAM,ROM,Flash,NVRAM,Interface,CPU,Interface,console,54,内存,:ROM,只读存储器(,ROM,),只读存储器,存放引导程序和,IOS,的一个最小子集,相当于,PC,的,BIOS,。,闪存(,Flash,),包含压缩的,IOS,和微代码,是一种可擦写、可编程的,ROM,,系统掉电时数据不会丢失。,NVRAM,(,No-Voliate RAM,),存放路由器的配置文件,系统掉电时数据不会丢失。,55,内存 :,RAM,RAM,动态内存,系统掉电,内容丢失,操作系统运行的空间,命令解释器,操作系统,进程,活动配置文件,路由表,缓冲区,56,路由器的启动过程,首先运行,ROM,的程序,系统自检和引导,读,Flash,内的,IOS,,装入,RAM,中,从,NVRAM,中读入路由器的配置信息,计算并生成初始路由表,通过与相邻路由器交换路由信息,更新、完善路由表,57,路由器功能,在网络间截获发送到远地网段的报文,起转发的作用。,选择最合理的路由,引导通信。,按照预定的规则把大的数据包分解成适当大小的数据包,到达目的地后再把分解的数据包包装成原有形式。,多协议的路由器可以连接使用不同通信协议的网络段,作为不同通信协议网络段通信连接的平台。,路由器的主要任务是把通信引导到目的地网络,然后到达特定的节点站地址。,58,路由器工作原理,中间节点路由器在网络中传输时,提供报文的存储和转发。同时根据当前的路由表所保持的路由信息情况,选择最好的路径传送报文。,59,路由表的作用,路由器就像网络中的向导一样,当,IP,包来到路由器后有一个很重要的任务就是查看该路由器是否知道这个,IP,数据包要去的目的地。,路由器采用自动学习,依靠路由协议学习或网络管理员手动配置等方式获得,IP,数据包要去往的目的地信息。,路由器将这些信息形成,“,档案,”,有选择的存放在路由表中,以便提供路由服务。,路由表,Packet,60,路由表的产生方式,直连路由,路由器会自动生成本路由器激活端口所在网段的路由条目,61,路由表的产生方式,静态路由,在简单拓扑结构的网络里,网络管理员手动输入路由条目。,62,路由表产生的方式,动态路由协议学习到的路由,在大型网络环境下,依靠路由协议比如,OSPF,、,BGP,路由协议学习,Console,任何,Interface,TFTP,telnet,、,web,AUX,MODEM,常用的路由器配置方法,64,1.,线路配置模式,Router(config-line)#,配置路由器的线路参数,2.,路由协议配置模式,Router(config-router)#,配置路由器的接口参数,路由器的操作模式,:,配置模式,65,1.,进入全局配置模式下,Red-Giant#configure terminal,2.,进入线路配置模式,Red-Giant(config)#line vty 0 4Red-Giant(config-line)#exitRed-Giant(config)#,3.,进入接口配置模式,Red-Giant(config)#interface serial 0Red-Giant(config-if)#exitRed-Giant(config)#,4,.,进入路由协议配置模式,Red-Giant(config)#router rip,Red-Giant(config-router)#,路由器的操作模式,:,配置模式,66,显示当前运行的配置参数,Red-Giant#show running-config,显示,NVRAM,中配置参数的副本,Red-Giant#show startup-config,将配置信息保存到,NVRAMRed-Giant#write,删除,NVRAM,中配置信息,Red-Giant#erase startup-config,常用路由器显示命令,67,配置,console,登陆密码,Red-Giant(config)#line console 0Red-Giant(config-line)#loginRed-Giant(config-line)#password star,配置,VTY,登陆密码,Red-Giant(config)#line vty 0 4Red-Giant(config-line)#loginRed-Giant(config-line)#password star,配置路由器登陆口令,68,配置特权密码,Red-Giant(config)#enable password star,Red-Giant(config)#enable secret star,配置路由器特权口令,69,配置接口,IP,地址,Red-Giant(config-if)#ip address IP address IPsubnet mask secondary,将接口启用,Red-Giant(config-if)#no shutdown,将接口关闭,Red-Giant(config-if)#shutdown,路由器接口配置命令,70,显示接口的状态,Red-Giant#show interfaces,显示接口的摘要信息,Red-Giant#show ip interface brief,路由器接口显示命令,71,Red-Giant#show interfaces fastethernet 0FastEthernet0 is up, line protocol is up,(,表示物理层协议工作正常,) (,表示数据链路层协议工作正常,),FastEthernet0 is up, line protocol is down,(,表示物理层协议工作正常,) (,表示数据链路层协议工作不正常,),FastEthernet0 is down, line protocol is down,(,表示物理层协议工作不正常,),FastEthernet0 is administratively down, line protocol is down,(,表示从管理上将该接口处于关闭状态,),路由器接口显示命令,72,远程登陆到其它设备,Red-Giant#telnet IP address,测试目的端的可达性,Red-Giant#ping IP address,路由器测试命令,73,将配置参数上传到,TFTP,服务器,Red-Giant#copy running-config tftp,从,TFTP,服务器上下载配置参数,Red-Giant#copy tftp running-config,路由器,TFTP,命令,74,实验练习,实验目的,:,熟练交换机、路由器的基本操作。通过,telnet,远程管理交换机、路由器。熟练,RACK,的使用,实验内容:,学员通过,ACS,分别登陆交换机和路由器,练习交换机、路由器常用命令。配置交换机和路由器的远程登陆,通过,PC,远程,TELNET,到设备进行配置。,75,网络层互联设备,-,三层交换机,三层交换(也称多层交换技术,或,IP,交换技术)是在网络模型中的第三层实现了数据包的高速转发。,三层交换技术就是:二层交换技术三层转发技术。,不是简单的二层交换机和路由器的叠加,三层路由模块直接叠加在二层交换的高速背板总线上,突破了传统路由器的接口速率限制,速率可达几十,Gbps,。,76,应用层互联设备,网关,在一个计算机网络中,当连接不同类型而协议差别又较大的网络时,则要选用网关设备。,网关的功能体现在,OSI,模型的最高层,它将协议进行转换,将数据重新分组,以便在两个不同类型的网络系统之间进行通信。由于协议转换是一件复杂的事。,一般来说,网关只进行一对一转换,或是少数几种特定应用协议的转换,网关很难实现通用的协议转换。用于网关转换的应用协议有电子邮件、文件传输和远程工作站登录等。,77,应用层互联设备,防火墙,防火墙一方面阻止来自因特网的对受保护网络的未授权或未验证的访问,另一方面允许内部网络的用户对因特网进行,Web,访问或收发,E-mail,等。,防火墙也可以作为一个访问因特网的权限控制关口,如允许组织内的特定的人可以访问因特网。,现在的许多防火墙同时还具有一些其他特点,如进行身份鉴别,对信息进行安全(加密)处理等等。,8.6,虚拟局域网,79,什么是,VLAN,Virtual Local Area Networks,。虚拟局域网,VLAN,是由一些局域网网段构成的与物理位置无关的逻辑组。,一个,VLAN,基本上是位于一个物理网络之上的一个逻辑广播域(,broadcast domain,),即在一个,VLAN,中的所有成员可以接收到同一,VLAN,中各成员发送的每一个广播包(,broadcast pocket,)。,最早的,VLAN,技术是,1996,年由,Cisco,公司提出,它使网络管理员能根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,目前已成为最为热门的一种以太局域网技术。,80,以太网,交换机,A,4,B,1,以太网,交换机,VLAN,3,C,3,B,3,VLAN,1,VLAN,2,C,1,A,2,A,1,A,3,C,2,B,2,以太网,交换机,以太网,交换机,三个虚拟局域网,VLAN,1, VLAN,2,和,VLAN,3,的构成,81,以太网,交换机,A,4,B,1,以太网,交换机,VLAN,3,C,3,B,3,VLAN,1,VLAN,2,C,1,A,2,A,1,A,3,C,2,B,2,以太网,交换机,以太网,交换机,三个虚拟局域网,VLAN,1, VLAN,2,和,VLAN,3,的构成,当,B,1,向,VLAN,2,工作组内成员发送数据时,,工作站,B,2,和,B,3,将会收到广播的信息。,82,以太网,交换机,A,4,B,1,以太网,交换机,VLAN,3,C,3,B,3,VLAN,1,VLAN,2,C,1,A,2,A,1,A,3,C,2,B,2,以太网,交换机,以太网,交换机,三个虚拟局域网,VLAN,1, VLAN,2,和,VLAN,3,的构成,B,1,发送数据时,工作站,A,1, A,2,和,C,1,都不会收到,B,1,发出的广播信息。,83,以太网,交换机,A,4,B,1,以太网,交换机,VLAN,3,C,3,B,3,VLAN,1,VLAN,2,C,1,A,2,A,1,A,3,C,2,B,2,以太网,交换机,以太网,交换机,三个虚拟局域网,VLAN,1, VLAN,2,和,VLAN,3,的构成,虚拟局域网限制了接收广播信息的工作站数,使得网络,不会因传播过多的广播信息,(,即,“,广播风暴,”,),而引起性能恶化。,84,为什么要使用,VLAN,增加了网络连接的灵活性,网络管理员对网络上工作站可以按业务功能,而不必按地理位置分组。,控制网络上的广播风暴,随着网络向交换结构转变,网络内部路由器(其作用之一是阻隔广播)的使用越来越少。这样,广播风暴将发送到每一个交换端口,这就是常说的整个网络是一个广播域。使用交换网络的优势是可以提供低延时和高吞吐量,缺点是增加了整个交换网络的广播风暴。使用,VLAN,,可以将某个交换端口或用户赋于某一个特定的,VLAN,组,该,VLAN,组可以在一个交换网中或跨接多个交换机,在一个,VLAN,中的广播风暴不会送到,VLAN,之外。同样,相邻的端口不会收到其他,VLAN,产生的广播风暴。这样,可以减少广播流量,释放带宽给用户应用,减少广播风暴的产生。,85,为什么要使用,VLAN,增加网络的安全性,人们在,LAN,上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组,网络管理员限制了,VLAN,中用户的数量,禁止未经允许而访问,VLAN,中的资源。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性,VLAN,中。,实现网络集中化管理控制,通过集中化的,VLAN,管理程序,网络管理员可以确定,VLAN,组,分配特定用户和交换端口给这些,VLAN,组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置,VLAN,通信,监控交通流量和,VLAN,使用的网络带宽。这些能力有效地提高了网络管理程序的可控性、灵活性和监视功能,减少了管理的费用。,86,VLAN,的技术标准为,1999,年,6,月由,IEEE,颁布的,IEEE 802.1Q,。以太网交换机的,VLAN,还须参照,IEEE 802.3ac,,有些交换器则遵循,CGMP,(,Cisco Group Management Protocol,)专用标准。,所有,VLAN,的成员通过使用,VLAN,标记(,VLAN Tag,)进行指定和区分,在逻辑上组合到同一个广播域中,与其物理位置无关。,VLAN,通过交换机上的软件实现。,VLAN,成员间无需通过路由技术进行通信。,VLAN,的技术标准,87,虚拟局域网协议允许在以太网的帧格式中插入一个,4,字节的标识符,称为,VLAN,标记,(tag),,用来指明发送该帧的工作站属于哪一个虚拟局域网。,8.6.3,虚拟局域网使用的以太网帧格式,802.3,MAC,帧,字节,6,6,2,46 1500,4,MAC,帧,目地地址,源地址,长度,/,类型,数 据,FCS,长度,/,类型,= 802.1Q,标记类型 标记控制信息,1 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 VID,2,字节,2,字节,插入,4,字节的,VLAN,标记,4,用户优先级,CFI,88,VLAN,的类型,VLAN,的划分方式通常有如下几种:最早的,VLAN,划分是基于端口(,Port Based,)的,即通过端口来划分,VLAN,;现在的交换器还支持通过,MAC,地址(,MAC Based,)和,IP,地址(,Protocol Based,)来划分,VLAN,;一些较新的交换器,还可以通过策略服务(,Policy Servie,)来管理,VLAN,,进一步简化了,VLAN,的划分和管理。,89,基于端口(,port-based,)的,VLAN,特点:,VLAN,成员是通过交换机的端口组进行划分。,这种基于端口的方案仍是当前最常用的定义,VLAN,成员的方法。,优点:,所有的厂商都支持,而且设置相当方便,基于管理员(由管理员人工设置),安全性很好(只有网络管理员能修改设置),缺点:,每个端口只能支持一个,VLAN,,不能支持多个,VLAN,使用同一个物理网段(即交换机端口)的要求。不支持按业务分组。,应用:主要用于为了提高网络的运行效率的网络,用于防止拥塞(,flood,),而非为了满足工作需要。它是,VLAN,中最简单的一种,却也能提供最大程度的控制和安全性。,VLAN 2,VLAN 1,基于交换机的端口,(,一个端口只属于一个,VLAN),基于交换机的端口,Port VLAN,设置在连接主机的端口,91,基于,MAC,地址(,MAC-based,)的,VLAN,特点:根据,MAC,地址划分,VLAN,。,优点:,工作站移动到网络的其他物理位置时其,VLAN,成员的身份不变(特别适用于各种便携式电脑)。, “,基于用户”,可实现按业务分组,可以形成“交迭的”,VLAN,即一个站点可以同时属于多个,VLAN,。便于实现若干个业务群间的跨接通信(如销售主管和经理们需要同时在销售和市场两个,VLAN,中)。,缺点:,不适用于工作于第三层网络的那些真正的远程用户(许多便携式电脑用户属于这种情况),因为,MAC,地址不能跨越网络层。,VLAN,设置时必须由人工完成,相当麻烦。,应用:需要按业务分组的企业和主机位置需要经常移动网络。,92,基于协议(,protocol-based,)的,VLAN,特点:根据协议来划分,VLAN,,如将所有基于,MAC,地址的用户划分到一个,VLAN,中,其他的可以通过,IP,地址或,IPX,等协议进行划分。,优点:,用户可以同时处于多个,VLAN,中。,“基于管理员”,如果他所管理一个大型网络运行有不同的协议,而不同的用户组则已经是不同通信类型的成员了。这种情况下,它可以用来分隔不同的通信类型。,缺点:其他站点可以随意加入某个,VLAN,,只要配备相应的协议。,应用:只是用来提高网络的效率。最大的优点则是允许,IPX,网络加入,以简单的方式将,IPX,产生的,SAP,(服务广告协议)广播置于有效的控制中。,93,基于,IP,(,IP-based,)的,VLAN,特点:使用网络(如,IP,子网)地址确定,VLAN,成员资格。,优点:,可实现通过协议划分,VLAN,用户可以物理移动其工作站而不必重新设置每个工作站的网络地址(适用于纯,TCP/IP,网络),可以不需要使用帧标识(,tagging,)在交换机间的,VLAN,进行通信,降低了传输开销。,网络管理员可以在,VLAN,管理软件中通过简单的拖放式操作规定哪个子网在哪个,VLAN,中,并将所有的用户与其子网一起分配。,新用户加入可以由,VLAN,自动调整(因为交换机会发现它们位于哪个子网),缺点:需要解决,IP,地址盗用问题,应用:用于,TCP/IP,协议特别有效,但对那些无需在桌面人工设置的协议(如,IPX,、,DECnet,、或,AppleTalk,协议)效果就差些。,94,基于策略(,policy-based,)的,VLAN,所谓“策略实际上就是各种可能行为的控制准则。它们按,if-then,结构工作,可以对网络中的不同对象(用户、管理员、应用软件及硬件的下部构造)的行为进行禁止、许可或强制。策略管理迄今为止一直被用于某些类型的管理软件上:故障、性能、安全、配置及帐户。但也开始应用于其他类型的软件。,基于策略是最强大的,VLAN,方案。它使网络管理员可以使用任何,VLAN,策略的组合来建立适合自己需要的,VLAN,。一旦一个策略被下载到一台交换机中,它在整个网络中就得到全面应用,有关设备就将被加入到各,VLAN,中。,基于策略的,VLAN,可以使用各种划分方法,包括上述所列的各种,VLAN,类型:,MAC,源地址,,IP,地址,及协议字段。也可以将不同的策略结合起来,形成一个策略,以满足网络管理员的特殊要求。,但使用这种,VLAN,技术的设备和控制软件相当复杂,目前只有极少网络使用。,95,VLAN,间通信的方法,VLAN10,VLAN20,VLAN30,96,使用路由器进行,VLAN,间路由,VLAN10,VLAN30,VLAN20,多条链路连接多个,VLAN,97,使用路由器进行,VLAN,间路由,VLAN10,VLAN30,VLAN20,Interface FA 0/1,Subinterface 0/1.1,Subinterface 0/1.2,Subinterface 0/1.3,一条链路连接多个,VLAN,98,使用路由器进行,VLAN,间路由,Switch C,Switch A,Switch B,VLAN41,VLAN41,VLAN42,通过传统路由器来实现各交换机的,VLAN,间路由,99,使用三层交换机进行,VLAN,间路由,三层交换机在功能上实现了,VLAN,的划分、,VLAN,内部的二层交换和,VLAN,间路由的功能。,VLAN41,VLAN42,VLAN41,100,VLAN,的建立,步骤,1: configure terminal,进入全局配置模式,步骤,2: vlan,vlan-id,输入一个,VLAN ID,。如果输入的是一个新的,VLAN ID,,则交换机会创建一个,VLAN,,如果输入的是已经存在的,VLAN ID,,则修改相应的,VLAN,。,步骤,3: name,vlan-name,(可选)为,VLAN,取一个名字。如果没有进行这一步,则交换机会自动为它起一个名字,VLAN xxxx,,其中,xxxx,是用,0,开头的四位,VLANID,号。比如,,VLAN 0004,就是,VLAN 4,的缺省名字。,101,创建,VLAN,实例,创建,VLAN100,,将它命名为,test,的例子,Switch#,configure terminal,Switch(config)#,vlan 100,Switch(config-vlan)#,name test,Switch(config-vlan)#,end,102,将一个端口分配给一个,VLAN,步骤,1 configure terminal,进入全局配置模式,步骤,2 Interface,interface-id,输入想要加入,VLAN,的,interface id,步骤,3 switchport mode access,定义该接口的,VLAN,成员类型(二层,ACCESS,口),步骤,4 switchport access vlan,vlan-id,将这个口分配给一个,VLAN,103,把,ethernet 0/10,作为,access,口加入了,VLAN100,Switch#,configure terminal,Switch(config)#,interface fastethernet0/10,Switch(config-if)#,switchport mode access,Switch(config-if)#,switchport access vlan 100,Switch(config-if)#,end,配置实例,Port VLAN,,即将连接主机的端口设成,access,模式。,104,删除一个,VLAN,8.7,网络地址转换,NAT,106,为什么需要,NAT,8.7.1,传统的,NAT,的工作原理及配置,8.7.2 NAPT,的工作原理及配置,107,NAT/NAPT,带来的好处,解决,IPv4,地址空间不足的问题;,私有,IP,地址网络与公网互联;,,,非注册,IP,地址网络与公网互联;,建网时分配了全局,IP,地址但没注册,网络改造中,避免更改地址带来的风险;,TCP,流量的负载均衡,108,什么是,NAT/NAPT,NAT,就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为,纯软件,NAT,防火墙,NAT,路由器,NAT,NAT,的类型,NAT,(,Network Address Translation,),转换后,一个本地,IP,地址对应一个全局,IP,地址,NAPT,(,Network Address Port Translation,),转换后,多个本地地址对应一个全局,IP,地址,109,NAT/NAPT,的术语,内部网络 ,Inside,外部网络 ,Outside,内部本地地址,Inside Local Address,内部全局地址,Inside Global Address,外部本地地址,Outside Local Address,外部全局地址,Outside Global Address,互联网,Outside,Inside,企业内部网,外部网,110,静态与动态,NAT,静态,NAT,需要向外网络提供信息服务的主机,永久的一对一,IP,地址映射关系,动态,NAT,只访问外网服务,不提供信息服务的主机,内部主机数可以大于全局,IP,地址数,最多访问外网主机数决定于全局,IP,地址数,临时的一对一,IP,地址映射关系,111,NAT,示例,可以是动态或静态,NAT,112,配置静态,NAT,Red-Giant(config)#,ip nat inside source static,local-address global-address,定义内部源地址静态转换关系,Red-Giant(config)#,interface,interface-type interface-number,Red-Giant(config-if)#,ip nat inside,定义该接口连接内部网络,Red-Giant(config)#,interface,interface-type interface-number,Red-Giant(config-if)#,ip nat outside,定义接口连接外部网络,113,配置动态,NAT,Red-Giant(config)#,ip nat pool,address-pool start-address end-address,netmask,mask,|,prefix-length,prefix-length,定义全局,IP,地址池,Red-Giant(config)#,access-list,access-list-number,permit,ip-address wildcard,定义访问列表,只有匹配该列表的地址才转换,Red-Giant(config)#,ip nat inside sourcelist,access-list-number,pool,address-pool,定义内部源地址动态转换关系,Red-Giant(config)#,interface,interface-type interface-number,Red-Giant(config-if)#,ip nat inside,定义该接口连接内部网络,Red-Giant(config)#,interface,interface-type interface-number,Red-Giant(config-if)#,ip nat outside,定义接口连接外部网络,114,什么时候用,NAPT,缺乏全局,IP,地址,甚至没有专门申请的全局,IP,地址,只有一个连接,ISP,的全局,IP,地址,内部网要求上网的主机数很多,提高内网的安全性,115,静态与动态,NAPT,静态,NAPT,需要向外网络提供信息服务的主机,永久的一对一“,IP,地址,+,端口”映射关系,动态,NAPT,只访问外网服务,不提供信息服务的主机,临时的一对一“,IP,地址 端口”映射关系,116,NAPT,示例,可以是动态或静态,NAPT,117,配置静态,NAPT,Red-Giant(config)#,ip nat inside source static,UDP,|,TCP,local-address port global-address port,定义全局,IP,地址池,Red-Giant(config)#,interface,interface-type interface-number,Red-Giant(config-if)#,ip nat inside,定义该接口连接内部网络,Red-Giant(config)#,interface,interface-type interface-number,Red-Giant(config-if)#,ip nat outside,定义接口连接外部网络,118,配置动态,NAPT,Red-Giant(config)#,ip nat pool,address-pool start-address end-address,netmask,mask,|,prefix-length,prefix-length,定义全局,IP,地址池,对于,NAPT,,一般就定义一个,IP,地址,Red-Giant(config)#,access-list,access-list-number,permit,ip-address wildcard,定义访问列表,只有匹配该列表的地址才转换,Red-Giant(config)#,ip nat inside sourcelist,access-lis
展开阅读全文