网络设计与管理实践.ppt

网络设计与管理实践,首都师范大学信息工程学院,课程简介,课程号：3103114课时：18授课+36实验课程以实验为主，讲授为辅教师联系方法：http:/,成绩评定,平时成绩 20%上课考勤 10%实验考勤 10%实验报告 20%网络设计报告 20%实验考核(实验+期末)40%,路线图,网络基础知识概述常用网络设备及用途网络设计需求分析与规划常见网络设备的基本使用方法*交换机*路由器*实用网络管理技术*,实验内容,网络原理图的绘制Cisco交换机的配置方法Cisco路由器的配置方法基于PT的网络实验网络综合设计实践,参考书,计算机网络 James Kurose 高等教育出版社网络工程师教程 雷震甲 主编电子工业出版社网络工程师考试疑难问题解答施游 刘毅 朱小平主编电子工业出版社CCNP自学指南人民邮电出版社,计算机网络基础知识,计算机网络体系结构与层次模型ISO OSI与TCP/IP子网与IP地址路由原理和路由算法集线器、交换机、路由器基本概念VLAN、路由和网络地址转换、DHCP,ISO OSI与TCP/IP,子网与IP地址,IP v4编址子网掩码子网划分子网与子网通信路由,集线器、交换机、路由器基本概念,集线器 物理层交换机 链路层路由器 网络层,VLAN,网络地址转换,常见网络设备,交换机智能型以太网交换机*固定端口式交换机模块式交换机交换式集线器路由器智能互联网路由器*DSL路由器(SOHO路由器)第三层交换机,交换式集线器,NETGEARLINKSYSD-LINKTP-LINK,智能型以太网交换机,Cisco SystemJuniper Network华为 3Com锐捷Aruba Network,Cisco 思科,接入层交换机,Cisco Catalyst 2960Catalyst Express 500,汇聚层交换机,Catalyst Express 3560Catalyst Express 3750,核心级交换机,Catalyst 4500系列交换机部署关键业务应用的大型企业、中小型企业（SMB）和城域以太网客户,电信级交换机,Catalyst 6500系列交换机,Blade Switch,Router,办公和拨号接入路由器,Cisco 800 Series,Branch Office or SMB,1800 Series2800 Series,Branch Office or SMB,Cisco 3800 Series,Head Office/WAN/VPN Aggregation,7200 Series,Head Office/WAN/VPN Aggregation,7600 Series,电信级路由器,Cisco 12000,DSL路由器,Cisco 800系列路由器Cisco 1700/1800模块化路由器,DSL路由器,NETGEARD-LINKLINKSYS等等,第三层交换机,带第三层或第三层以上功能的交换机，即支持路由功能的交换机Cisco 3550/3750以上的智能交换产品包括 3550/3750/4500/6500/8500等,网络设计与管理实践,2.交换机基本配置首都师范大学信息工程学院,交换机的配置,交换机概述交换机的基本配置配置和管理VLAN生成树协议STP配置,Cisco IOS概述,在目前情况下，Cisco Systems公司所发货的大多数Catalyst交换机都采用Cisco IOS(Native 模式)操作系统。仅有的例外是具有MSFC(Multilayer Switch Feature Card,多层交换机特性卡)模块的Catalyst 6500和某几款第2层交换机(例如具有Supervisor Engine II的Catalyst 4000系列交换机、Catalyst 2948G、Catalyst 4912G、不具有MSFC的Catalyst 6500)的订单请求。所有具有MSFC、MSFC2和MSFC3的Catalyst 6500系列交换机都能够运行Cisco CatOS或Cisco IOS软件。,Cisco CatOS和Cisco IOS,Cisco CatOS是Cisco Catalyst交换机传统的第二层操作系统。为了能给使用Cisco CatOS软件版本的交换机配置第三层特性，那么就要求在第三层或路由器模块中单独运行Cisco IOS(Native模式)软件版本。Cisco IOS(Native模式)操作系统能够配置第二层和第三层特性。对于端口能够作为路由器端口(第三层)或者交换机端口(第二层)的Cisco设备，Cisco IOS(Native模式)能够运行在其中。,Cisco CatOS和Cisco IOS(续),对于Cisco CatOS，每个配置命令之前是命令关键字set,没有配置模式(set、clear和Show命令)，通过clear、set和enable/disable命令清除更改命令。(set指令集)对于Cisco IOS，包括全局命令和接口级命令。可以通过configure terminal和vlan database命令激活配置模式。使用no 命令取消相应的命令。,交换机基本配置,交换机的常用访问方式ConsoleTelnetHttpSNMPConsole连接及终端配置,交换机配置,交换机的启动交换机的机本配置交换机的工作模式用户执行模式 默认登录模式特权模式 基本操作模式配置模式 全局配置接口配置模式 接口、vlan配置,Cisco IOS的配置模式,采用类似Unix的CLI(Command Line Interface)模式普通用户模式(使用hostname提示符)特权模式(使用hostname#提示符)全局配置模式(使用hostname(config)#提示符)接口配置模式(使用hostname(config-if)#提示符),工作模式,用户模式,特权模式,接口配置模式,全局配置模式,end,enable,configure terminal,Interface,exit,exit,exit,查看交换机基本配置,Show 命令#show version#show config交换机的文件系统与配置文件#dirflash:/config.text 是配置文件No命令(config-if)no shutdown,交换机基本配置,配置enable口令和主机名(config)enable password 0 WORD(config)enable secret 0 WORD配置交换机IP地址、默认网关、域名、域名服务器IP地址需要在vlan接口中配置(config)ip default-gateway a.b.c.d(config)ip domain-name WORD(config)ip name-server a.b.c.d,端口基本配置,配置交换机端口属性速度speed 全双工duplex 描述description LINE,交换机基本配置,管理MAC地址表(config)#mac-address-talbe aging time 100(超时时间)(config)#mac-address-talbe permanent 0000.0c01.bbcc f0/3(加入永久地址)(config)#mac-address-talbe restricted static 0000.0c01.bbcc f0/6 f0/7(加入永久地址)查看MAC地址表show mac-address-table,VLAN,VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个个网段，从而实现虚拟工作组的数据交换技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。,VLAN的优点,增加了网络连接的灵活性 控制网络上的广播增加网络的安全性,VLAN的划分方法,基于静态端口划分的VLAN*switchport access vlan vlan-id基于动态端口环分VLANswitchport access vlan dynamic配置Trunk接口实现多交换机共用vlanswitchport mode trunk,VLAN 实验,Trunk,Vlan 2,Vlan 3,172.16.2.0/24,172.16.3.0/24,Vlan 2,SW1,SW2,A,B,C,D,配置VTP协议,#vlan database(vlan)#vtp server(vlan)#vtp domain domain-name(vlan)#vtp pruning/启用VTP修剪(vlan)#exit#show vtp status,配置VTP协议(续),#vlan database(vlan)#vtp domain domain-name(vlan)#vtp client(vlan)#exit,配置VLAN Trunk端口,#conf t(config)#in f0/1(config-if)#switchport mode trunk(config-if)#switchport trunk allowed vlan all(config-if)#exit(config)#exit#,创建VLAN,#vlan database(vlan)#vlan vlan-id(id 1-1024)(vlan)#vlan vlan-id name vlan-name(vlan)#exit*新版本IOS中，vlan database功能都改在全局配置模式下,将端口加入VLAN,#conf t(config)#in f0/2(config-if)#switchport mode access(config-if)#switchport access vlan 2(config-if)#exit#show vlan,生成树协议STP,生成树协议(Spanning Tree Protocol)是交换式以太网中的重要技术和概念，该协议的目的是在实现交换机之间的冗余链路连接的同时，避免网络环路的出现。,使用STP端口权值实现负载均衡,#conf t(config)#in f0/23(config-if)#spanning-tree vlan 1 port-priority 10(config-if)#spanning-tree vlan 2 port-priority 10(config-if)#exit(config)#in f0/24(config-if)#spanning-tree vlan 3 port-priority 10(config-if)#spanning-tree vlan 4 port-priority 10(config-if)#end,配置STP路径值的负载均衡,#conf t(config)#in f0/23(config-if)#spanning-tree vlan 1 cost 30(config-if)#spanning-tree vlan 2 cost 30(config-if)#exit(config)#in f0/24(config-if)#spanning-tree vlan 3 cost 30(config-if)#spanning-tree vlan 4 cost 30(config-if)#end,Port-Fast 快速启动端口,#conf t(config)#in f0/23(config-if)#spanning-tree portfast(config-if)#exit,网络设计与管理实践,VTP、STP、Basic Routing首都师范大学信息工程学院,VTP VLAN Trunking Protocol,VLAN 中继协议（VTP）是思科第2层信息传送协议，主要控制网络范围内 VLANs 的添加、删除和重命名。VTP 减少了交换网络中的管理事务。当用户要为 VTP 服务器配置新 VLAN 时，可以通过域内所有交换机分配 VLAN，这样可以避免到处配置相同的 VLAN。VTP 是思科私有协议，它支持大多数的 Cisco Catalyst 系列产品。,VTP版本,VTP 具有三种版本。其中 VTP v2 与 VTP v1 区别不大，主要不同在于：VTP v2 支持令牌环 VLANs，而 VTP v1 不支持。通常只有在使用 Token Ring VLANs 时，才会使用到 VTP v2，否则一般情况下并不使用 VTP v2。VTPv3 不能直接处理 VLANs 事务，它只负责管理域（Administrative Domain）内不透明数据库的分配任务。,VTP模式,server服务器模式，广播 学习vlan 可以修改client客户端模式，广播 学习 不可以修改transparent 透明模式，不广播 不学习 可以修改在全局配置模式(conf t)下配置,VTP domain和VTP pruning,vtp domain domain-name通过设置vtp域来限定vtp的广播和学习的范围vtp pruningvtp修剪 防止多余的vtp广播信息和多余的vlan数据,手工修剪vlan,可以在trunk接口上进行手工vlan修剪#conf t(config)#in f0/1(config-if)#switchport mode trunk(config-if)#switchport trunk allowed vlan all(config-if)#exit(config)#exit#,STP Spanning-Tree Protocol,生成树协议(Spanning Tree Protocol)是交换式以太网中的重要技术和概念，该协议的目的是在实现交换机之间的冗余链路连接的同时，避免网络环路的出现。STP在大的网络中定义了一个树，并且迫使一定的备份路径处于Standby状态。如果spanning tree中的网络一部分不可达，或者STP值变化了，spanning-tree算法会重新计算spanning-tree拓扑，并且通过启动备份路径来重新建立连接。STP操作对于终端来说是透明的。而终端不管它们连在LAN的一部分或者多个部分。,在不同的VLANs配置Spanning-Tree,Protocol。当创建网络时，网络中所有节点存在多条路径。spanning-tree中的算法计算出最佳路径。因为每个VLAN是一个逻辑LAN部分，你能使STP一次工作在最多64个VLAN，如果要配置超过64个VLAN，需要将其它VLAN的STP禁止。默认的，STP可以支持1-64个VLAN。,使用STP端口权值实现负载均衡,#conf t(config)#in f0/23(config-if)#spanning-tree vlan 1 port-priority 10(config-if)#spanning-tree vlan 2 port-priority 10(config-if)#exit(config)#in f0/24(config-if)#spanning-tree vlan 3 port-priority 10(config-if)#spanning-tree vlan 4 port-priority 10(config-if)#end,配置STP路径值的负载均衡,#conf t(config)#in f0/23(config-if)#spanning-tree vlan 1 cost 30(config-if)#spanning-tree vlan 2 cost 30(config-if)#exit(config)#in f0/24(config-if)#spanning-tree vlan 3 cost 30(config-if)#spanning-tree vlan 4 cost 30(config-if)#end,Port-Fast 快速启动端口,快速启动端口主要用于可确定的连接终端的链路，只能用于switchport access链路。如果在Cisco网络中使用PXE网络引导，需要启动Port-Fast#conf t(config)#in f0/23(config-if)#spanning-tree portfast(config-if)#exit,单播路由,配置路由接口,Step 1 configure terminalStep 2 interface interface-idStep 3 no switchportStep 4 ip address ip-address subnet-maskStep 5 no shutdownStep 6 end,IP单播路由,Step 1 configure terminalStep 2 ip routingStep 3 router ip_routing_protocolStep 4 end,静态路由,S0/0,S0/0,10.10.10.1,10.10.10.2,F0/0,F0/0,172.16.1.2,172.16.2.2,172.16.1.1,172.16.2.1,LAN 10.10.10.0/24,LAN 172.16.1.0/24,LAN 172.16.2.0/24,R1,R2,背靠背连接,S0/0,S0/0,10.10.10.1,10.10.10.2,LAN 10.10.10.0/24,R1,R2,V.35电缆,DCEip address 10.10.10.1 255.255.255.0clock rate 64000no shutdown,DTEip address 10.10.10.2 255.255.255.0no shutdown,路由表操作,查看路由表 Router#show ip route添加静态路由R1(config)#ip route 172.16.2.0 255.255.255.0 10.10.10.2R2(config)#ip route 172.16.1.0 255.255.255.0 10.10.10.1删除静态路由R1(config)#ip route 172.16.2.0 255.255.255.0R2(config)#ip route 172.16.2.0 255.255.255.0,静态路由,S0/0,S0/0,10.10.10.1,10.10.10.2,F0/0.1172.16.1.1F0/0.2172.16.2.1,trunk,trunk,Vlan1172.16.1.2,Vlan2172.16.2.2,Vlan3172.16.3.2,Vlan4172.16.4.2,F0/0.1172.16.3.1F0/0.2172.16.4.1,R1,R2,LAN 10.10.10.0/24,默认路由,R1(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.2R2(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.1,网络设计与管理实践,EtherChanne、ACL和单臂路由首都师范大学 信息工程学院,以太网通道EtherChannel,EtherChannel配置方法,Switch#configure terminal Switch(config)#interface range fasttethernet0/1-2 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan 10 Switch(config-if-range)#channel-group 5 mode desirable Switch(config-if-range)#endSwitch#configure terminal Switch(config)#interface port-channel channel-number,访问控制列表ACLs,访问控制列表(ACLs),1-99 IP standard access list 100-199 IP extended access list1300-1999 IP standard access list(expanded range)2000-2699 IP extended access list(expanded range),访问控制列表命令格式,(config)#access-list log(config)#access-list protocol.(config)#ip access-list,访问控制列表(ACLs),Switch(config)#access-list 6 permit 172.20.128.64 0.0.0.0 Switch(config)#end Switch(config)#interface gigabitethernet0/1 Switch(config-if)#ip access-group 6 in Switch(config)#access-list 106 deny tcp any any eq 80 Switch(config)#access-list 106 permit ip any any Switch(config)#interface gigabitethernet0/2 Switch(config-if)#ip access-group 106 in,访问控制列表,Switch(config)#access-list 2 permit 36.0.0.0 0.255.255.255 Switch(config)#access-list 2 deny 56.0.0.0 0.255.255.255 Switch(config)#interface gigabitethernet0/1 Switch(config-if)#ip access-group 2 in Switch(config)#access-list 102 permit tcp any 128.88.0.0 0.0.255.255 eq 23 Switch(config)#access-list 102 permit tcp any 128.88.0.0 0.0.255.255 eq 25 Switch(config)#interface gigabitethernet0/1 Switch(config-if)#ip access-group 102 in,访问控制列表,Switch(config)#ip access-list extended marketing_group Switch(config-ext-nacl)#permit tcp any 171.69.0.0 0.0.255.255 eq telnet Switch(config-ext-nacl)#deny tcp any any Switch(config-ext-nacl)#permit ip any any Switch(config)#interface gigabitethernet0/1 Switch(config-if)#ip access-group marketing_group in,访问控制列表,Switch(config)#ip access-list standard prevention Switch(config-std-nacl)#remark Do not allow Jones subnet through Switch(config-std-nacl)#deny 171.69.0.0 0.0.255.255Switch(config)#ip access-list extended telnetting Switch(config-ext-nacl)#remark Do not allow Jones subnet to telnet out Switch(config-ext-nacl)#deny tcp 171.69.0.0 0.0.255.255 any eq telnet,单臂路由,单臂路由,interface FastEthernet0/0.1encapsulation isl 1ip address 10.10.10.1 255.255.255.0no ip redirects interface FastEthernet0/0.2encapsulation isl 2ip address 10.10.11.1 255.255.255.0no ip redirects,网络设计与管理实践,DHCP和网络地址转换首都师范大学信息工程学院,DHCP服务配置,#ip dhcp pool global（配置一个根地址池，global是地址池的名称，你可以采用有意义的字符串来表示）#network 192.168.0.0 255.255.0.0（动态分配的地址段）#domain-name（为客户机配置域后缀）#dns-server 192.168.1.1（为客户机配置DNS服务器）#netbios-name-server 192.168.1.1（为客户机配置wins#netbios-node-type h-node（为客户机配置h节点模式）#lease 30（地址租用期为30天）#next-server 192.168.1.248（配置PXE引导TFTP服务位置）,DHCP排除地址,IP地址192.168.1.1至192.168.1.5不能用于动态分配ip dhcp excluded-address 192.168.1.1 192.168.1.5取消地址冲突记录日志 no ip dhcp conflict logging,网络地址转换,网络地址转换NAT,Inside addressing,Outside addressing,Interface Configuration,ip nat inside|outside 标记接口是内部还是外部,Defining a pool,ip nat pool netmask|prefix-length type rotary 定一个地址池,Defining ACLs,access-list 1 permit 192.168.1.0 0.0.0.255access-list 1 permit 192.168.2.0 0.0.0.255,Enabling translation of inside source addresses,ip nat inside source list pool overloadip nat inside source static,Enabling translation of inside destination addresses,ip nat inside destination list pool ip nat inside destination static,Enabling translation of outside source addresses,ip nat outside source list pool ip nat outside source static,Configuring translation timeouts,ip nat translation timeout ip nat translation udp-timeout ip nat translation dns-timeout ip nat translation tcp-timeout ip nat translation finrst-timeout,CONFIGURATION EXAMPLES,translates between inside hosts addressed from either the 192.168.1.0 or 192.168.2.0 nets to the globally-unique 171.69.233.208/28 network.内部 192.168.1.0或者192.168.2.0外部171.69.233.208/28,CONFIGURATION EXAMPLES,ip nat pool net-20 171.69.233.208 171.69.233.223 netmask 255.255.255.240ip nat inside source list 1 pool net-20!interface Ethernet0ip address 171.69.232.182 255.255.255.240ip nat outside!interface Ethernet1ip address 192.168.1.94 255.255.255.0ip nat inside!access-list 1 permit 192.168.1.0 0.0.0.255access-list 1 permit 192.168.2.0 0.0.0.255,CONFIGURATION EXAMPLES,translates between inside hosts addressed from the 9.114.11.0 net to the globally unique 171.69.233.208/28 network.Packets from outside hosts addressed from 9.114.11.0 net(the true 9.114.11.0 net)are translated to appear to be from net 10.0.1.0/24.,CONFIGURATION EXAMPLES,ip nat pool net-20 171.69.233.208 171.69.233.223 netmask 255.255.255.240ip nat pool net-10 10.0.1.0 10.0.1.255 netmask 255.255.255.0ip nat inside source list 1 pool net-20ip nat outside source list 1 pool net-10!interface Ethernet0ip address 171.69.232.182 255.255.255.240ip nat outside!interface Ethernet1ip address 9.114.11.39 255.255.255.0ip nat inside!access-list 1 permit 9.114.11.0 0.0.0.255,More flexible pool configuration,ip nat pool netmask|prefix-length type rotary Router(config)#ip nat pool fred prefix-length 24Router(config-ipnat-pool)#address 171.69.233.225 171.69.233.226Router(config-ipnat-pool)#address 171.69.233.228 171.69.233.238,Translating to interfaces address,ip nat inside source list interface overload ip nat inside source list 1 interface Serial0 overload,Static translations with ports,ip nat inside source static tcp|udp ip nat inside source static tcp 192.168.10.1 25 171.69.232.209 25,SSH,配置hostname和ip domain-name Router#configure terminal Router(config)#hostname HOSTNAMEHOSTNA(config)#ip domain-name,SSH,配置登录用户名和密码（以本地认证为例）(config)#username test password 0 test 配置SSH服务 crypto key generate rsa hoose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys.Choosing a key modulus greater than 512 may take a few minutes.How many bits in the modulus 512:Generating 512 bit RSA keys.OK,SSH,c2621XM-B#sh ip sshSSH Enabled-version 1.5Authentication timeout:120 secs;Authentication retries:3停止SSH服务 crypto key zeroize rsa,SSH,设置SSH参数ip ssh time-out seconds|authentication-retries interger,网络设计与管理实践,2.交换机基本配置首都师范大学 信息工程学院,交换机的配置,交换机概述交换机的基本配置配置和管理VLAN生成树协议STP配置,Cisco IOS概述,在目前情况下，Cisco Systems公司所发货的大多数Catalyst交换机都采用Cisco IOS(Native 模式)操作系统。仅有的例外是具有MSFC(Multilayer Switch Feature Card,多层交换机特性卡)模块的Catalyst 6500和某几款第2层交换机(例如具有Supervisor Engine II的Catalyst 4000系列交换机、Catalyst 2948G、Catalyst 4912G、不具有MSFC的Catalyst 6500)的订单请求。所有具有MSFC、MSFC2和MSFC3的Catalyst 6500系列交换机都能够运行Cisco CatOS或Cisco IOS软件。,Cisco CatOS和Cisco IOS,Cisco CatOS是Cisco Catalyst交换机传统的第二层操作系统。为了能给使用Cisco CatOS软件版本的交换机配置第三层特性，那么就要求在第三层或路由器模块中单独运行Cisco IOS(Native模式)软件版本。Cisco IOS(Native模式)操作系统能够配置第二层和第三层特性。对于端口能够作为路由器端口(第三层)或者交换机端口(第二层)的Cisco设备，Cisco IOS(Native模式)能够运行在其中。,Cisco CatOS和Cisco IOS(续),对于Cisco CatOS，每个配置命令之前是命令关键字set,没有配置模式(set、clear和Show命令)，通过clear、set和enable/disable命令清除更改命令。(set指令集)对于Cisco IOS，包括全局命令和接口级命令。可以通过configure terminal和vlan database命令激活配置模式。使用no 命令取消相应的命令。,交换机基本配置,交换机的常用访问方式ConsoleTelnetHttpSNMPConsole连接及终端配置,交换机配置,交换机的启动交换机的机本配置交换机的