《计算机网络技术实用教程(第2版) 项目4 部门间网络的安全隔离》由会员分享,可在线阅读,更多相关《计算机网络技术实用教程(第2版) 项目4 部门间网络的安全隔离(54页珍藏版)》请在金锄头文库上搜索。
1、1计算机网络技术计算机网络技术2学习情境二:构建中型网络项目四:部门间网络的安全隔离3交换机基本配置与管理 单交换机上划分单交换机上划分VLANVLAN多交换机上划分VLAN 4硬件系统u CPUu 交换机背板的ASIC芯片u RAM、ROMu FLASHu 非易失性RAM 交换机的组成5交换机的IOS交换机的IOS启动包括:Flash存储器、TFTP服务器、ROM(不完整的IOS软件)。6交换机的启动(1)确认交换机启动时对所有硬件进行了检测;(2)发现并装载交换机的操作系统Cisco IOS软件;(3)发现配置文件并应用各条配置语句,包括协议功 能和接口地址。7配置 模式通过通过Conso
2、leConsole口对口对 交换机进行配置和交换机进行配置和 管理管理 通过通过Telnet Telnet 对交对交 换机进行远程管理换机进行远程管理 通过通过WebWeb对交换机对交换机 进行远程管理进行远程管理 通过通过EthernetEthernet上的上的 SNMPSNMP网管工作站对网管工作站对 交换机进行管理交换机进行管理 8可网管交换 机工作模式 用户模式 特权模式 配置模式 全局配置模式 接口配置模式 VLAN配置模式 线程工作模式 9当PC计算机和交换机建立连接,配置好仿真终端时,首先处于用户模式(User EXEC模式)。在用户模式下,可以使用少量用户模式命令,命令的功能也
3、受到一定限制。用户模式命令的操作结果不会被保存。用户模式状态:Switch用户模式 10要想在可网管交换机上使用更多的命令, 必须进入特权模式(Privileged EXEC模式)。通常由用户模式进入特权模式时,必须输入进入特权模式的命令:enable。在特权模式下,用户可以使用所有的特权命令,可以使用命令的数目也增加了很多。特权模式状态:Switch特权模式 11通过configure terminal命令,可以由特权模式进入配置模式。在配置模式下,可以使用更多的命令来修改交 换机的系统参数。使用配置模式(全局配置模式,接口配置模式、VLAN配置模式、线程工作模式)的命令会对当前的配置产生影
4、 响。如果用户保存了配置信息,这些命令将被保存下来, 并在系统重新启动时再次执行。要进入各种配置模式,首 先必须进入全局配置模式。从全局配置模式出发,可以进 入接口配置模式等各种配置子模式。 配置模式 12Exit 或Ctrl-ZExit 或Ctrl-ZConfigure terminal各种特定配置模式switchswitch#switch(config)#用户EXEC模式特权EXEC模式全局配置模式Enable13任务1:交换机的基本配置与管理14某人受聘于一家公司网络中心做网络管理员,随着网络应用的逐步深入,公司陆续添置计算机和可管理的网络设备,现需要对新进的交换机进行配置和管理。任务任
5、务1 1:交换机的基本配置与管理:交换机的基本配置与管理15任务任务1 1:交换机的基本配置与管理:交换机的基本配置与管理l 能够通过控制台端口对交换机进行初始配置;l 能够配置交换机的各种口令; l 能够对交换机进行基本配置; l 能够利用show 命令查看交换机的各种状态。 16任务任务1 1:交换机的基本配置与管理:交换机的基本配置与管理n Cisco2900交换机(1台); n PC计算机1台; n 双绞线(若干根); n 反转电缆一根。 17F0/0 192.168.1.1/24交换机初始配置192.168.1.2/24交换机Console接口PCA任务任务1 1:交换机的基本配置与
6、管理:交换机的基本配置与管理18任务任务1 1:交换机的基本配置与管理:交换机的基本配置与管理步骤1:交换机启动;步骤2:用户模式、特权模式、全局配置模式的转换;步骤3:使用交换机的CLI;步骤4:配置交换机的主机名;19步骤5: 配置交换机的口令;步骤6:查看交换机信息;步骤7:配置2层交换机端口;步骤8:通过Telnet连接交换机;步骤9:测试。 任务任务1 1:交换机的基本配置与管理:交换机的基本配置与管理20是由一些局域网网段构成的与物理位置是由一些局域网网段构成的与物理位置 无关的逻辑组,而这些网段具有某些共同的无关的逻辑组,而这些网段具有某些共同的 需求。虚拟局域网也称需求。虚拟局
7、域网也称VLANVLAN。采用采用IEEE 802.1qIEEE 802.1q标准标准21A3交换式 集线器交换式 集线器A4B1交换式 集线器VLAN3C3 B3VLAN1VLAN2C1A2A1C2B2交换式 集线器三个虚拟局域网 VLAN1, VLAN2 和 VLAN3 的构成 当 B1 向 VLAN2 工作组内成员发送数据时, 工作站 B2 和 B3 将会收到广播的信息。B1 发送数据时,工作站 A1, A2 和 C1 都不会收到 B1 发出的广播信息。 虚拟局域网限制了接收广播信息的工作站数,使得网络 不会因传播过多广播信息(即“广播风暴”)而引起性能恶化 。 交换式 集线器A322V
8、LANVLAN的优点的优点有利于优化网络性能提高了网络的安全性便于对网络进行管理和控制提供了基于第二层的通信优先级服务23组网方法静态VLAN动态VLAN基于MAC地址的VLAN基于路由的VLAN用IP广播组定义虚拟局域网 VLANVLAN的组网方式的组网方式24静态静态VLANVLAN配置配置在建立VLAN之前,必须考虑是否使用VLAN干线协议(VLAN trunk protocol,VTP)来为你的网络进行全局VLAN的 配置。大多数Catalyst桌面交换机支持最多64个激活的VLAN。Catalyst2950系列交换机在标准镜像上可以支持最多250个 VLAN,并且最大可支持的VLAN
9、号为4096。Catalyst交换机的 默认配置是为每一个VLAN运行一个单独的生成树实例。25静态静态VLANVLAN配置配置配置VLAN 的ID和名字在全局配置模式下使用VLAN命令:Switch(config)#vlan vlan-id26其中:Vlan是-id配置要被添加的VLAN的ID,如果要安装增强的软件版本,范围为14096,如果安装的是标准的软件版本,范围为11005。每一个VLAN都有一个唯一的4位的ID(范围:00011005)。Switch(config-vlan)#name vlan-name27定义一个VLAN的名字,可以使用132个ASCII字符,但是必须保证这个名
10、称在管理域中是唯一的。为了添加一个VLAN到VLAN数据库,需要给VLAN分配给一个ID号和名字。VLAN1(包括VLAN1002、VLAN1003、VLAN1004和VLAN1005)是一些厂家默认VLAN ID号。28默认配置中,交换机处在VTP服务器模式,所以可以添加、更改或删除VLAN。如果交换机设置为 VTP客户模式,就不能添加、更改或删除VLAN。为了添加一个以太网VLAN,必须至少指定一个VLAN ID。如果不为VLAN输入一个名字,默认配置 会在“VLAN”这个字母后自动添加VLAN的号码。例 如,如果不加以命名,VLAN0004将使用VLAN 4的默 认名字。29分配端口 在
11、新创建一个VLAN之后,可以为之手工分配一个端口号或多个端口号。一个端口只能属于唯一一个VLAN。 这种为VLAN分配端口号的方法称为静态接入端口。 在接口配置模式下,分配VLAN端口命令为:Switch(config-if)#switchport access vlan vlan-id默认情况下,所有的端口都属于VLAN 1。30检验VLAN配置 在特权模式下,可以检验VLAN的配置,常用的命令有: Switch#show vlan /显示所有VLAN的配置消息。 Switch#show inteface interface switchport /显示一个指定的接口的VLAN信息。31添加
12、、更改和删除VLAN 为了添加、更改和删除VLAN,需要把交换机设在VTP服务器或透明模式。当要为整个域内的交换机做一些VLAN更改时,必须处于VTP服务器模式,在VTP范围内更新的内容会自动传播到其他交换机上,在VTP透明模式下做的VLAN更改只能影响本地交换机,更改不会在VTP范围内传播。32为了修改VLAN的属性(如VLAN的名字),应使用全局配置命令vlan vlan-id,但不能更改VLAN编号,为了使用不同的VLAN编号,需要创建新的VLAN编号,然后再分配相应的端口到这个VLAN中。33当在一个VTP服务器模式的交换机上删除一个VLAN时,这个VLAN就会在所有这个VTP域中的交
13、换机上被删除。当在一个VTP透明模式的交换机上删除一个VLAN,这个VLAN只是在这台交换机上被删除。在 VLAN配置模式下,使用命令no vlan vlan-id删除VLAN。删除VLAN之前,要确定原来在该vlan下的所有端口移到了另一个VLAN中。34任务2:单交换机上划分VLAN35某人受聘于一家网络公司做网络工程师 ,现公司有一客户提出要求,该客户公司建 立了一小型局域网,包含财务部、销售部和 办公室三个部门,公司领导要求各部门内部 主机有一些业务可以相互访问,但部门之间 为了安全完全禁止互访。 任务2:单交换机上划分VLAN36任务2:单交换机上划分VLANl 能够在单交换机进行V
14、LAN划分;l 能够通过VLAN技术隔离网络。37n Cisco2950交换机(1台);n PC计算机6台;n 双绞线(若干根);n 反转电缆一根。任务2:单交换机上划分VLAN38任务2:单交换机上划分VLANSwitch1 办公室:VLAN30 F0/18-f0/24销售部:VLAN20 F0/8-f0/18财务部:VLAN10 F0/2-f0/8PC10 PC11PC20 PC21PC30 PC3139任务2:单交换机上划分VLAN步骤1:硬件连接步骤2:分别打开设备,给设备加电,设备都处于自 检状态,直到连接交换机的指示灯处于绿 灯,表示网络处于稳定连接状态。步骤3:配置PC10、PC
15、11、PC20、PC21、PC30、PC31的IP地址,如表所示。40设备IP地址子网掩码PC10192.168.10.2255.255.255.0PC11192.168.10.3255.255.255.0PC20192.168.20.2255.255.255.0PC21192.168.20.3255.255.255.0PC30192.168.30.2255.255.255.0PC31192.168.30.3255.255.255.0计算机IP地址配置表 任务2:单交换机上划分VLAN41任务2:单交换机上划分VLAN步骤4:分别测试PC10、PC11、PC20、PC21、PC30、 PC31
16、这六台计算机之间的连通性。步骤5:配置交换机VLAN。步骤6:项目测试。42最后最后1212位标志以太位标志以太 网帧属于哪个网帧属于哪个VLANVLAN源地址FCS数据/ 填充长度/类型目的地址4字节46-1500 字节2字节4字节6字节6字节VLAN标记最大长度最大长度15221522个字节个字节虚拟局域网的帧格式43带有带有VLAN3VLAN3标签的以太网帧标签的以太网帧VLAN2VLAN2VLAN3VLAN3VLAN3VLAN3VLAN2VLAN2带有带有VLAN2VLAN2标标 签的以太网帧签的以太网帧不带有不带有VLANVLAN标签标签 的以太网帧的以太网帧VLAN数据帧的传输44Access端口 只能传送标准以太网帧的端口,一般是 指那些连接不支持VLAN技术的端设备的接口 ,这些端口接收到的数据帧都不包含VLAN标 签,而向外发送数据帧时,必须保证数据帧 中不包含VLAN标签。45Trunk端口 既可以传送有VLAN标签的数据帧也可以传送标 准以太网帧的端口,一般是指那些连接支持VL
