部门间网络的安全隔离.ppt

,计算机网络技术,学习情境二：构建中型网络,项目四：部门间网络的安全隔离,相关知识,交换机基本配置与管理,硬件系统,CPU 交换机背板的ASIC芯片 RAM、ROM FLASH 非易失性RAM,交换机的组成,交换机基本配置与管理,交换机的IOS,交换机的IOS启动包括：Flash存储器、TFTP服务器、ROM（不完整的IOS软件）。,交换机基本配置与管理,交换机的启动,（1）确认交换机启动时对所有硬件进行了检测；（2）发现并装载交换机的操作系统Cisco IOS软件；（3）发现配置文件并应用各条配置语句，包括协议功能和接口地址。,交换机基本配置与管理,配置模式,通过Console口对交换机进行配置和管理,通过Telnet 对交换机进行远程管理,通过Web对交换机进行远程管理,通过Ethernet上的SNMP网管工作站对交换机进行管理,可网管交换机工作模式,用户模式,特权模式,配置模式,交换机基本配置与管理,交换机基本配置与管理,当PC计算机和交换机建立连接，配置好仿真终端时，首先处于用户模式（User EXEC模式）。在用户模式下，可以使用少量用户模式命令，命令的功能也受到一定限制。用户模式命令的操作结果不会被保存。用户模式状态：Switch,用户模式,交换机基本配置与管理,要想在可网管交换机上使用更多的命令，必须进入特权模式（Privileged EXEC模式）。通常由用户模式进入特权模式时，必须输入进入特权模式的命令：enable。在特权模式下，用户可以使用所有的特权命令，可以使用命令的数目也增加了很多。特权模式状态：Switch,特权模式,交换机基本配置与管理,通过configure terminal命令，可以由特权模式进入配置模式。在配置模式下，可以使用更多的命令来修改交换机的系统参数。使用配置模式（全局配置模式，接口配置模式、VLAN配置模式、线程工作模式）的命令会对当前的配置产生影响。如果用户保存了配置信息，这些命令将被保存下来，并在系统重新启动时再次执行。要进入各种配置模式，首先必须进入全局配置模式。从全局配置模式出发，可以进入接口配置模式等各种配置子模式。,配置模式,交换机基本配置与管理,Exit 或Ctrl-Z,Exit 或Ctrl-Z,Configure terminal,各种特定配置模式,switch,switch#,switch（config）#,用户EXEC模式,特权EXEC模式,全局配置模式,Enable,项目实施,任务1：交换机的基本配置与管理,工作任务,某人受聘于一家公司网络中心做网络管理员，随着网络应用的逐步深入，公司陆续添置计算机和可管理的网络设备，现需要对新进的交换机进行配置和管理。,任务1：交换机的基本配置与管理,任务1：交换机的基本配置与管理,任务目标,能够通过控制台端口对交换机进行初始配置；能够配置交换机的各种口令；能够对交换机进行基本配置；能够利用show 命令查看交换机的各种状态。,任务1：交换机的基本配置与管理,Cisco2900交换机（1台）；PC计算机1台；双绞线（若干根）；反转电缆一根。,设备清单,网络拓扑,任务1：交换机的基本配置与管理,任务1：交换机的基本配置与管理,实施过程,步骤1：交换机启动;步骤2：用户模式、特权模式、全局配置模式的转换;步骤3：使用交换机的CLI;步骤4：配置交换机的主机名;,实施过程,步骤5:配置交换机的口令;步骤6：查看交换机信息;步骤7：配置2层交换机端口;步骤8：通过Telnet连接交换机；步骤9：测试。,任务1：交换机的基本配置与管理,单交换机上划分VLAN,虚拟局域网,单交换机上划分VLAN,A3,交换式集线器,交换式集线器,A4,B1,交换式集线器,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,C2,B2,交换式集线器,三个虚拟局域网 VLAN1,VLAN2和 VLAN3 的构成,当 B1 向 VLAN2 工作组内成员发送数据时，工作站 B2 和 B3 将会收到广播的信息。,B1 发送数据时，工作站 A1,A2 和 C1都不会收到 B1 发出的广播信息。,虚拟局域网限制了接收广播信息的工作站数，使得网络不会因传播过多广播信息(即“广播风暴”)而引起性能恶化。,交换式集线器,A3,单交换机上划分VLAN,VLAN的优点,有利于优化网络性能,提高了网络的安全性,便于对网络进行管理和控制,提供了基于第二层的通信优先级服务,单交换机上划分VLAN,组网方法,静态VLAN,动态VLAN,基于MAC地址的VLAN,基于路由的VLAN,用IP广播组定义虚拟局域网,VLAN的组网方式,单交换机上划分VLAN,静态VLAN配置,在建立VLAN之前，必须考虑是否使用VLAN干线协议（VLAN trunk protocol，VTP）来为你的网络进行全局VLAN的配置。大多数Catalyst桌面交换机支持最多64个激活的VLAN。Catalyst2950系列交换机在标准镜像上可以支持最多250个VLAN，并且最大可支持的VLAN号为4096。Catalyst交换机的默认配置是为每一个VLAN运行一个单独的生成树实例。,单交换机上划分VLAN,静态VLAN配置,在全局配置模式下使用VLAN命令:Switch（config）#vlan vlan-id,其中：Vlan是-id配置要被添加的VLAN的ID，如果要安装增强的软件版本，范围为14096，如果安装的是标准的软件版本，范围为11005。每一个VLAN都有一个唯一的4位的ID（范围：00011005）。Switch（config-vlan）#name vlan-name,单交换机上划分VLAN,定义一个VLAN的名字，可以使用132个ASCII字符，但是必须保证这个名称在管理域中是唯一的。为了添加一个VLAN到VLAN数据库，需要给VLAN分配给一个ID号和名字。VLAN1（包括VLAN1002、VLAN1003、VLAN1004和VLAN1005）是一些厂家默认VLAN ID号。,单交换机上划分VLAN,默认配置中，交换机处在VTP服务器模式，所以可以添加、更改或删除VLAN。如果交换机设置为VTP客户模式，就不能添加、更改或删除VLAN。为了添加一个以太网VLAN，必须至少指定一个VLAN ID。如果不为VLAN输入一个名字，默认配置会在“VLAN”这个字母后自动添加VLAN的号码。例如，如果不加以命名，VLAN0004将使用VLAN 4的默认名字。,单交换机上划分VLAN,在新创建一个VLAN之后，可以为之手工分配一个端口号或多个端口号。一个端口只能属于唯一一个VLAN。这种为VLAN分配端口号的方法称为静态接入端口。在接口配置模式下，分配VLAN端口命令为：Switch（config-if）#switchport access vlan vlan-id 默认情况下，所有的端口都属于VLAN 1。,单交换机上划分VLAN,单交换机上划分VLAN,检验VLAN配置,在特权模式下，可以检验VLAN的配置，常用的命令有：Switch#show vlan/显示所有VLAN的配置消息。Switch#show inteface interface switchport/显示一个指定的接口的VLAN信息。,添加、更改和删除VLAN,为了添加、更改和删除VLAN，需要把交换机设在VTP服务器或透明模式。当要为整个域内的交换机做一些VLAN更改时，必须处于VTP服务器模式，在VTP范围内更新的内容会自动传播到其他交换机上，在VTP透明模式下做的VLAN更改只能影响本地交换机，更改不会在VTP范围内传播。,单交换机上划分VLAN,单交换机上划分VLAN,为了修改VLAN的属性（如VLAN的名字），应使用全局配置命令vlan vlan-id，但不能更改VLAN编号，为了使用不同的VLAN编号，需要创建新的VLAN编号，然后再分配相应的端口到这个VLAN中。,当在一个VTP服务器模式的交换机上删除一个VLAN时，这个VLAN就会在所有这个VTP域中的交换机上被删除。当在一个VTP透明模式的交换机上删除一个VLAN，这个VLAN只是在这台交换机上被删除。在VLAN配置模式下，使用命令no vlan vlan-id删除VLAN。删除VLAN之前，要确定原来在该vlan下的所有端口移到了另一个VLAN中。,单交换机上划分VLAN,项目实施,任务2：单交换机上划分VLAN,工作任务,某人受聘于一家网络公司做网络工程师，现公司有一客户提出要求，该客户公司建立了一小型局域网，包含财务部、销售部和办公室三个部门，公司领导要求各部门内部主机有一些业务可以相互访问，但部门之间为了安全完全禁止互访。,任务2：单交换机上划分VLAN,任务2：单交换机上划分VLAN,任务目标,能够在单交换机进行VLAN划分；能够通过VLAN技术隔离网络。,设备清单,Cisco2950交换机（1台）；PC计算机6台；双绞线（若干根）；反转电缆一根。,任务2：单交换机上划分VLAN,任务2：单交换机上划分VLAN,网络拓扑,任务2：单交换机上划分VLAN,实施过程,步骤1：硬件连接步骤2：分别打开设备，给设备加电，设备都处于自 检状态，直到连接交换机的指示灯处于绿 灯，表示网络处于稳定连接状态。步骤3：配置PC10、PC11、PC20、PC21、PC30、PC31的IP地址,如表所示。,计算机IP地址配置表,任务2：单交换机上划分VLAN,任务2：单交换机上划分VLAN,实施过程,步骤4：分别测试PC10、PC11、PC20、PC21、PC30、PC31这六台计算机之间的连通性。,步骤5：配置交换机VLAN。步骤6：项目测试。,多交换机上划分VLAN,虚拟局域网的帧格式,多交换机上划分VLAN,VLAN数据帧的传输,Access端口,只能传送标准以太网帧的端口，一般是指那些连接不支持VLAN技术的端设备的接口，这些端口接收到的数据帧都不包含VLAN标签，而向外发送数据帧时，必须保证数据帧中不包含VLAN标签。,多交换机上划分VLAN,Trunk端口,既可以传送有VLAN标签的数据帧也可以传送标准以太网帧的端口，一般是指那些连接支持VLAN技术的网络设备（如交换机）的端口，这些端口接收到的数据帧一般都包含VLAN标签（数据帧VLAN ID和端口缺省VLAN ID相同除外），而向外发送数据帧时，必须保证接收端能够区分不同VLAN的数据帧，故常常需要添加VLAN标签（数据帧VLAN ID和端口缺省VLAN ID相同除外）。,多交换机上划分VLAN,项目实施,任务3：多交换机上划分VLAN,工作任务,任务（1）某人受聘于一家网络公司做网络工程师，现公司有一客户提出要求，该客户公司建立了一小型局域网，包含财务部、销售部和办公室三个部门，分别位于两座办公楼。在每一座办公楼设置一台交换机，在每一座办公楼都有财务部、销售部和办公室。公司领导要求各部门内部主机有一些业务可以相互访问，但部门之间为了安全完全禁止互访。任务（2）公司领导要求办公室内部计算机可以相互访问，财务部、销售部两个部门的计算机只有同一座楼可以相互访问，不同楼的计算机不能相互访问，部门之间为了安全完全禁止互访。,任务3：多交换机上划分VLAN,任务3：多交换机上划分VLAN,任务目标,能够实现跨交换机上实现VLAN方法；能够掌握将交换机端口分配到VLAN中的操作技巧。,任务3：多交换机上划分VLAN,设备清单,Cisco3560交换机（1台）；Cisco2950交换机（1台）；PC计算机6台；双绞线（若干根）；反转电缆一根。,任务3：多交换机上划分VLAN,网络拓扑,任务3：多交换机上划分VLAN,实施过程,步骤1：硬件连接步骤2：分别打开设备，给设备加电。步骤3：配置PC10、PC11、PC20、PC21、PC30、PC31 的IP地址,如表所示。,计算机IP地址配置表,任务3：多交换机上划分VLAN,任务3：多交换机上划分VLAN,实施过程,步骤4：分别测试PC10、PC11、PC20、PC21、PC30、PC31这六台计算机之间的连通性。步骤5：配置交换机A。步骤6：配置交换机Cisco2950上的VLAN。步骤7：跨交换机VLAN之间连接。步骤8：对于任务（2）的配置。步骤9：项目测试。,Thank,