收藏
下载资源

构建安全办公网络精编版

上传人:ahu****ng1 文档编号:145213153 上传时间:2020-09-17 格式:PPTX 页数:53 大小:2.71MB
返回 下载 相关 举报
构建安全办公网络精编版_第1页
第1页 / 共53页
构建安全办公网络精编版_第2页
第2页 / 共53页
构建安全办公网络精编版_第3页
第3页 / 共53页
构建安全办公网络精编版_第4页
第4页 / 共53页
构建安全办公网络精编版_第5页
第5页 / 共53页
点击查看更多>>
资源描述

《构建安全办公网络精编版》由会员分享,可在线阅读,更多相关《构建安全办公网络精编版(53页珍藏版)》请在金锄头文库上搜索。

1、构建安全中型办公网,为了保证办公网安全,保证办公网不被其它部门网直接访问,实现办公网和教学网以及其它网络之间的技术隔离。, 构建安全办公网工作场景, 构建安全办公网工作拓扑, 构建安全办公网需求分析,1、为了保证办公网信息的安全,保证办公网需要保密的信息,希望通过技术,实现办公网和教学网以及其它网络之间的技术隔离。 2、学院希望通过技术实现办公网和教学网以及其它网络之间的技术隔离。同时保证办公楼和教学楼同一部门之间的网络互相连通,共享网络信息资源。, 构建安全办公网知识准备,为组建安全中型办公网络项目,需要的知识准备有: 子网规划知识;交换机虚拟局域网络知识; 划分虚拟局域网络技术;理解VLA

2、N交换机中端口区别;理解干道技术;区分port vlan和tag vlan。单臂路由知识;三层交换机知识,交换机上划分VLAN;跨交换机实现VLAN通讯;三层交换机实现全网互通, 安全办公网络项目知识介绍, 广播流量分割 全网之间的互通,交换网络中的问题,在交换机组成的校园网络里所有主机都在同一个广播域内,广播域,安全,广播,随着网络规模的增大带来的一些问题: 网内数据传输量增大,网速变得越来越慢! 计算机遭受黑客攻击,关键部门存在安全隐患! 同一部门的人员分布不同的地域,不能相对集中办公!,交换网络中的存在问题,交换网络中问题的解决-VLAN,VLAN20,通过VLAN技术可以对网络进行一个

3、安全的隔离、分割广播域,VLAN10,VLAN30,VLAN40,VLAN在交换机中的实现,分段 灵活性 安全性,第三层,第二层,第一层,销售部,人力资源部,工程部,一个VLAN =一个广播域 = 逻辑网段 (子网),VLAN (Virtual Local Area Network) 在物理网络上划分出逻辑网,对应OSI 模型第二层。 VLAN划分不受端口物理位置限制,VLAN和普通物理网络有同样属性。 第二层数据单播、广播只在一个VLAN内转发,不会进入其他VLAN中。,VLAN技术,VLAN特点,安全隔离,不同VLAN之间不能直接访问,需通过路由设备相连 隔离广播 不受物理位置限制,划分V

4、LAN的方法,基于端口的VLAN 基于协议的VLAN 基于MAC层分组的VLAN 基于子网的VLAN,基于交换机的端口(一个端口只属于一个VLAN),VLAN的类型:Port VLAN,F0/1,F0/2,F0/3,Port-vlan原理,F0/1,F0/2,F0/3,A,B,C,Vlan 10,Vlan 20,Vlan 10,A B A C,X,VLAN在单交换机中的实现,数据1,交换机内部,数据1,数据2,数据2,101,102,创建VLAN100,将它命名为test的例子 Switch # configure terminal Switch(config) # vlan 10 Switc

5、h(config-vlan) # end 把fastethernet 0/10作为access口加入了VLAN100 Switch # configure terminal Switch(config) # interface fastethernet0/10 Switch(config-if) # switchport access vlan 10 Switch(config-if) # end,配置Port VLAN-Access(1),将一组接口加入某一个VLAN Switch(config)#interface range fastethernet 0/1-10,0/15,0/20 S

6、witch(config-if-range)#switchport access vlan 20 Switch(config-if-range)#no shutdown 注:连续接口 0/1-10,中间使用空格分离; 不连续多个接口,中间用逗号隔开; 如果使用模块,一定要写明模块编号。,配置Port VLAN-Access(2),VLAN相关配置,VLAN30,VLAN40,Switch(config)#interface range fastethernet 0/1-2 Switch(config-if-range)#switchport access vlan 30 Switch(conf

7、ig-if)#exit Switch(config)#interface fastethernet 0/3 Switch(config-if)#switchport access vlan 40 Switch(config-if)#exit Switch(config)#interface fastethernet 0/4 Switch(config-if)#switchport access vlan 40 Switch(config-if)#exit,如果批量将端口加入VLAN,可用关键字range(见端口加入VLAN30配置),如果只加单一接口(见端口加入VLAN40配置),Switch

8、 B,VLAN30,VLAN20,VLAN10,跨交换机VLAN间通信,A交换机上VLAN10的端口范围中取一个端口,和交换机B上VLAN10范围中的某个端口,作级联连接。 如果交换机上划了10个VLAN,就需要分别连10条线作级联,端口效率就太低了。,Switch B,VLAN30,VLAN20,VLAN10,Tag VLAN,在交换机之间用一条级联线,并将对应的端口设置为Trunk,这条线路就可以承载交换机上所有VLAN的信息。 Trunk端口传输多个VLAN的信息,实现同一VLAN跨越不同的交换机,跨交换机VLAN之间的通信:Tag VLAN,目的,源MAC地址,类型,数据,重新计算帧检

9、测序列,2字节标记协议标识2字节标记控制信息,Trunk端口技术处理:IEEE802.1Q数据帧,标记协议标识(TPID):固定值0 x8100,表示该帧载有802.1q标记信息 标记控制信息(TCI): Priority 3比特:表示优先级 Canonical format indicator 1比特:区别以太网、FDDI VlanID 12比特:表示VID,范围14094,目的MAC地址,源MAC地址,类型,数据,重新计算帧检测序列,IEEE802.3帧,IEEE802.1Q帧,802.1Q帧只在交换机的trunk链路上传输,对用户透明的。 默认Trunk端口,转发交换机上所有VLAN的数

10、据。,A,交换机1,交换机2,802.1Q工作过程,B,数据帧,Tag标签,配置VLAN-Trunk技术,把Fa 0/1配成Trunk口 Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode trunk Switch(config-if)#no shutdown,VLAN相关配置,f0/1,f0/1,switch1,switch2,Switch1#config Switch1(config) #interface fastethernet 0

11、/1 Switch(config-if)#switchport mode trunk (将二层接口的属性设置为trunk) Switch2#config Switch2(config) #interface fastethernet 0/1 Switch(config-if)#switchport mode trunk,当交换机与交换机相联系时,常将交换机之间连接的链路设置为TRUNK链路,用来确保连接不同交换机之间的链路可以传递多个VLAN的信息。,删除VLAN,删除VALN,需要先删除VLAN下接口: Switch(config)# interface fastethernet0/10 S

12、witch(config-if)# no switchport Switch(config-if)# exit 再删除VLAN Switch(config)# no vlan 10,VLAN的实现,Port vlan 基于交换机端口进行VLAN的划分 一个端口只能属于一个VLAN 一个VLAN可以包含多个端口 接口模式为access 用于连接最终用户设备 Tag vlan 一个端口可以属于多个VLAN 默认情况下属于所有VLAN 接口模式为trunk 用于交换机之间级联,VLAN的特征,一个vlan中的所有设备处于同一个广播域 一个VLAN是一个逻辑的子网或由定义的成员所组成的一个网络段,VL

13、AN之间通信必须要进行路由 VLAN的成员通常是基于交换机的端口号,但也可基于设备的MAC地址而动态设置.,将VLAN信息保存到flash中Switch#write memory 从flash中清除VLAN信息Switch#delete flash:vlan.dat,保存/清除VLAN信息,VLAN10,VLAN20,172.20.0.0/16,VLAN30,172.10.0.0/16,172.30.0.0/16,VLAN间通信的方法,VLAN间通信通过三层路由来通讯,VLANs,Engineering VLAN,Marketing VLAN,Sales VLAN,Floor #1,Floor

14、 #2,Floor #3,Physical Layer LAN Switch,Human Layer,Network Layer,192.20.24.0,Routing Function Interconnects VLANs,192.20.21.0,192.30.20.0,Data-Link Layer Broadcast Domains,VLAN10,VLAN30,VLAN20,多条链路连接多个VLAN,浪费路由接口,三层路由器VLAN间通讯,VLAN10,VLAN30,VLAN20, 使用一条链路连接多个VLAN,在一个链路接口上划分子接口技术来解决。,单臂路由解决思想,FA 1,VLA

15、N 1,VLAN 2,ISL,interface fastethernet 0/0 no ip address!interface fastethernet 0/0.1 ip address 10.1.1.1 255.255.255.0 interface fastethernet 0/0.2 ip address 10.2.2.1 255.255.255.0,FastE0/0,10.1.1.2,10.2.2.2,单臂路由解决思想, 在三层交换机上使用SVI虚拟接口技术,在功能上实现了VLAN间路由通讯功能。,VLAN20 Network 172.16.20.4,VLAN30 Network

16、172.16.30.5,VLAN10 Network 172.16.10.3,三层交换机进行VLAN间路由, 使用三层交换接口实现VLAN间路由的通讯,交换接口成本降低。,三层交换SVI技术配置方法,第一步:分别在三层上创建每个VLAN对应的SVI端口, Switch(config)#vlan 10 Switch(config)#vlan 20 第二步:为三层上创建的VLAN分配路由IP地址: Switch(config)# interface vlan Switch(config-if)# ip address Switch(config-if)#no shutdown 第三步:将二层VLAN内连接主机的网关,指定为本VLAN对应的三层接口地址,三层接口(SVI),三层交换机,Vlan 10 Interface f0

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号