项目4部门间网络的安全隔离.ppt

计算机网络技术 学习情境二 构建中型网络 项目四 部门间网络的安全隔离 交换机基本配置与管理单交换机上划分VLAN多交换机上划分VLAN 相关知识 交换机的组成 硬件 CPU交换机背板的ASIC芯片存储介质 DRAM ROM FLASH NVRAM端口 Ethernet FastEthernet GigabitEthernet软件 IOS操作系统交换机基本配置与管理 交换机基本配置与管理 交换机的IOS 交换机基本配置与管理 交换机的IOS启动源包括 Flash存储器TFTP服务器ROM 不完整的IOS软件 交换机的启动 1 确认交换机启动时对所有硬件进行了检测 2 发现并装载交换机的操作系统CiscoIOS软件 3 发现配置文件并应用各条配置语句 包括协议功能和接口地址 配置模式 通过Console口对交换机进行配置和管理 通过Web对交换机进行远程管理 通过Ethernet上的SNMP网管工作站对交换机进行管理 交换机基本配置与管理 通过Telnet对交换机进行远程管理 可网管交换机工作模式 用户模式 特权模式 配置模式 交换机基本配置与管理 全局配置模式接口配置模式VLAN配置模式线程工作模式 当PC计算机和交换机建立连接 配置好仿真终端时 首先处于用户模式 UserEXEC模式 在用户模式下 可以使用少量用户模式命令 命令的功能也受到一定限制 用户模式命令的操作结果不会被保存 用户模式状态 Switch 用户模式 交换机基本配置与管理 要想在可网管交换机上使用更多的命令 必须进入特权模式 PrivilegedEXEC模式 通常由用户模式进入特权模式时 必须输入进入特权模式的命令 enable 在特权模式下 用户可以使用所有的特权命令 可以使用命令的数目也增加了很多 特权模式状态 Switch 特权模式 交换机基本配置与管理 通过configureterminal命令 可以由特权模式进入配置模式 在配置模式下 可以使用更多的命令来修改交换机的系统参数 使用配置模式 全局配置模式 接口配置模式 VLAN配置模式 线程工作模式 的命令会对当前的配置产生影响 如果用户保存了配置信息 这些命令将被保存下来 并在系统重新启动时再次执行 要进入各种配置模式 首先必须进入全局配置模式 从全局配置模式出发 可以进入接口配置模式等各种配置子模式 配置模式 交换机基本配置与管理 Exit或Ctrl Z Exit或Ctrl Z Configureterminal 各种特定配置模式 switch switch switch config 用户EXEC模式 特权EXEC模式 全局配置模式 Enable 交换机基本配置与管理 任务1 交换机的基本配置与管理 项目实施 交换机的基本配置与管理 工作任务 某人受聘于一家公司网络中心做网络管理员 随着网络应用的逐步深入 公司陆续添置计算机和可管理的网络设备 现需要对新进的交换机进行配置和管理 能够通过控制台端口对交换机进行初始配置 能够配置交换机的各种口令 能够对交换机进行基本配置 能够利用show命令查看交换机的各种状态 任务目标 交换机的基本配置与管理 设备清单 Cisco2900交换机 1台 PC计算机1台 双绞线 若干根 反转电缆一根 网络拓扑 步骤1 交换机启动 步骤2 用户模式 特权模式 全局配置模式的转换 步骤3 使用交换机的CLI 步骤4 配置交换机的主机名 步骤5 配置交换机的口令 步骤6 查看交换机信息 步骤7 配置2层交换机端口 步骤8 通过Telnet连接交换机 步骤9 测试 交换机的基本配置与管理 实施过程 连接到第二层交换机的主机和服务器处于同一个网段中 会带来两个严重的问题 1 交换机会向所有端口发送广播 占用过多带宽 2 连接到交换机的每台设备能与此交换机上的所有设备相互转发和接收帧 设计网络时 应该 1 将广播流量限制在此广播的网络区域中 2 出于业务需要 部分主机配置能互相访问 部分则不能 如财务部服务只能由财务部成员访问 在交换网络中 能过创建虚拟局域网 VLAN 来按需将广播限制在特定的区域并将主机分组 单交换机上划分VLAN 单交换机上划分VLAN A3 交换式集线器 交换机 A4 B1 交换机 VLAN3 C3 B3 VLAN1 VLAN2 C1 A2 A1 C2 B2 交换机 三个虚拟局域网VLAN1 A1 A2 A3 A4 VLAN2 B1 B2 B3 和VLAN3 C1 C2 C3 构成 交换机 A3 VLAN标准 IEEE802 1q 1996 3 IEEE802 1q定义 是由一些局域网网段构成的与物理位置无关的逻辑组 而这些网段具有某些共同的需求 虚拟局域网也称VLAN 每一个VLAN的帧都有一个明确的标识符 ID 指明发送到这个帧的工作站属于哪一个VLAN VLAN优点 1 有利于优化网络性能 2 提高了网络的安全性 3 便于对网络进行管理和控制4 提供了基于第二层的通信优先级服务 单交换机上划分VLAN VLAN的划分可以根据功能 部门 或应用而无须考虑用户的物理位置 分配在同一个VLAN的端口可以共享广播域 一个站点发送的广播信息 同一VLAN中的所有站点都可以收到 分配在不同的端口不共享广播域 VLAN可以在单台交换机中实现 也可以跨越多台交换机 所有VLAN均通过交换机软件实现 从实现机制或策略来分 VLAN可以分为 单交换机上划分VLAN 单交换机上划分VLAN 静态VLAN根据交换机端口进行VLAN划分 即将一端口分配给一个VLAN时 其将一直保持不变直到网管员改变这种配置 所以又称基于端口的VLAN 静态VLAN配置简单 但缺乏灵活性 当用户在网络中的位置发生变化 网管员必须对端口重新配置 因此 适合用户或设备位置相对固定的网络环境 动态VLAN1 基于MAC地址的VLAN2 基于路由的VLAN3 用IP广播组定义VLAN 静态VLAN配置 单交换机上划分VLAN 在建立VLAN之前 必须考虑是否使用VLAN干线协议 VLANtrunkprotocol VTP 来为你的网络进行全局VLAN的配置 大多数Catalyst桌面交换机支持最多64个激活的VLAN Catalyst2950系列交换机在标准镜像上可以支持最多250个VLAN 并且最大可支持的VLAN号为4096 Catalyst交换机的默认配置是为每一个VLAN运行一个单独的生成树实例 静态VLAN配置 单交换机上划分VLAN 在全局配置模式下使用VLAN命令 Switch config vlanvlan idSwitch config vlanvlan name 1 配置VLAN的ID和名字vlan id是配置要被添加的VLAN的ID 如果要安装增强的软件版本 范围为1 4096 如果安装的是标准的软件版本 范围为1 1005 每一个VLAN都有一个唯一的4位的ID 范围 0001 1005 Vlan name是VLAN的名字 可以使用1 32个ASCII字符 但是必须保证这个名称在管理域中是唯一的 静态VLAN配置 单交换机上划分VLAN 为了添加一个VLAN到VLAN数据库 需要给VLAN分配给一个ID号和名字 VLAN1 包括VLAN1002 VLAN1003 VLAN1004和VLAN1005 是一些厂家默认VLANID号 默认配置中 交换机处在VTP服务器模式 所以可以添加 更改或删除VLAN 如果交换机设置为VTP客户模式 就不能添加 更改或删除VLAN 为了添加一个以太网VLAN 必须至少指定一个VLANID 如果不为VLAN输入一个名字 默认配置会在 VLAN 这个字母后自动添加VLAN的号码 例如 如果不加以命名 VLAN0004将使用VLAN4的默认名字 静态VLAN配置 2 分配端口在新创建一个VLAN之后 可以为之手工分配一个端口号或多个端口号 一个端口只能属于唯一一个VLAN 这种为VLAN分配端口号的方法称为静态 接入端口 默认情况下 所有的端口都属于VLAN1 单交换机上划分VLAN 在接口配置模式下 分配VLAN端口命令为 Switch config if switchportaccessvlanvlan id 单交换机上划分VLAN 静态VLAN配置 在特权模式下 可以检验VLAN的配置 常用的命令有 Switch showvlan 显示所有VLAN的配置消息 Switch showintefaceinterfaceswitchport 显示指定的接口的VLAN信息 单交换机上划分VLAN 静态VLAN配置 3 添加 更改和删除VLAN为了添加 更改和删除VLAN 需要把交换机设在VTP服务器或透明模式 当要为整个域内的交换机做一些VLAN更改时 必须处于VTP服务器模式 在VTP范围内更新的内容会自动传播到其他交换机上 在VTP透明模式下做的VLAN更改只能影响本地交换机 更改不会在VTP范围内传播 为了修改VLAN的属性 如VLAN的名字 应使用全局配置命令vlanvlan id 但不能更改VLAN编号 为了使用不同的VLAN编号 需要创建新的VLAN编号 然后再分配相应的端口到这个VLAN中 单交换机上划分VLAN 静态VLAN配置 3 添加 更改和删除VLAN当在一个VTP服务器模式的交换机上删除一个VLAN时 这个VLAN就会在所有这个VTP域中的交换机上被删除 当在一个VTP透明模式的交换机上删除一个VLAN 这个VLAN只是在这台交换机上被删除 在VLAN配置模式下 使用命令novlanvlan id删除VLAN 删除VLAN之前 要确定原来在该vlan下的所有端口移到了另一个VLAN中 在接口配置模式下 将端口重新分配到默认的VLAN命令为 Switch config if noswitchportaccessvlan 任务2 单交换机上划分VLAN 项目实施 单交换机上划分VLAN 工作任务 某人受聘于一家网络公司做网络工程师 现公司有一客户提出要求 该客户公司建立了一小型局域网 包含财务部 销售部和办公室三个部门 公司领导要求各部门内部主机有一些业务可以相互访问 但部门之间为了安全完全禁止互访 任务目标 能够在单交换机进行VLAN划分 能够通过VLAN技术隔离网络 单交换机上划分VLAN 设备清单 Cisco2950交换机 1台 PC计算机6台 双绞线 若干根 反转电缆一根 任务2 单交换机上划分VLAN 实施过程 步骤1 硬件连接步骤2 分别打开设备 给设备加电 设备都处于自检状态 直到连接交换机的指示灯处于绿灯 表示网络处于稳定连接状态 步骤3 配置PC10 PC11 PC20 PC21 PC30 PC31的IP地址 如表所示 计算机IP地址配置表 任务2 单交换机上划分VLAN 实施过程 步骤4 分别测试PC10 PC11 PC20 PC21 PC30 PC31这六台计算机之间的连通性 步骤5 配置交换机VLAN 步骤6 项目测试 虚拟局域网的帧格式 最后12位标志以太网帧属于哪个VLAN 多交换机上划分VLAN VLAN数据帧的传输 多交换机上划分VLAN Access端口 只能传送标准以太网帧的端口 一般是指那些连接不支持VLAN技术的端设备的接口 这些端口接收到的数据帧都不包含VLAN标签 而向外发送数据帧时 必须保证数据帧中不包含VLAN标签 Trunk端口 既可以传送有VLAN标签的数据帧也可以传送标准以太网帧的端口 一般是指那些连接支持VLAN技术的网络设备 如交换机 的端口 这些端口接收到的数据帧一般都包含VLAN标签 数据帧VLANID和端口缺省VLANID相同除外 而向外发送数据帧时 必须保证接收端能够区分不同VLAN的数据帧 故常常需要添加VLAN标签 数据帧VLANID和端口缺省VLANID相同除外 多交换机上划分VLAN 任务3 多交换机上划分VLAN 项目实施 工作任务 任务 1 某人受聘于一家网络公司做网络工程师 现公司有一客户提出要求 该客户公司建立了一小型局域网 包含财务部 销售部和办公室三个部门 分别位于两座办公楼 在每一座办公楼设置一台交换机 在每一座办公楼都有财务部 销售部和办公室 公司领导要求各部门内部主机有一些业务可以相互访问 但部门之间为了安全完全禁止互访 任务 2 公司领导要求办公室内部计算机可以相互访问 财务部 销售部两个部门的计算机只有同一座楼可以相互访问 不同楼的计算机不能相互访问 部门之间为了安全完全禁止互访 多交换机上划分VLAN 任务3 多交换机上划分VLAN 任务目标 能够实现跨交换机上实现VLAN方法 能够掌握将交换机端口分配到VLAN中的操作技巧 任务3 多交换机上划分VLAN 设备清单 Cisco3560交换机 1台 Cisco2950交换机 1台 PC计算机6台 双绞线 若干根 反转电缆一根 任务3 多交换机上划分VLAN 网络拓扑 任务3 多交换机上划分VLAN 实施过程 步骤1 硬件连接步骤2 分别打开设备 给设备加电 步骤3 配置PC10 PC11 PC20 PC21 PC30 PC31的IP地址 如表所示 计算机IP地址配置表 任务3 多交换机上划分VLAN 任务3 多交换机上划分VLAN 实施过程 步骤4 分别测试PC10 PC11 PC20 PC21 PC30 PC31这六台计算机之间的连通性 步骤5 配置交换机A 步骤6 配置交换机Cisco2950上的VLAN 步骤7 跨交换机VLAN之间连接 步骤8 对于任务 2 的配置 步骤9 项目测试