项目部门间网络的安全隔离.ppt

,计算机网络技术,学习情境二：构建中型网络,项目四：部门间网络的安全隔离,相关知识,4.1 交换机基本配置与管理,硬件系统,CPU 交换机背板的ASIC芯片 RAM、ROM FLASH 非易失性RAM,1、交换机的组成,软件系统,交换机的IOS,2、交换机的启动,（1）确认交换机启动时对所有硬件进行了检测；（2）发现并装载交换机的操作系统Cisco IOS软件；（3）发现配置文件并应用各条配置语句，包括协议功能和接口地址。,登录方式,1）通过Console口进入交换机进行配置和管理,2）通过Telnet 命令远程登录交换机进行配置和管理,3）通过Web方式访问交换机进行远程管理和配置,4）通过Ethernet上的SNMP网管工作站进入交换机进行管理,3、登录（访问）交换机的四种方式,注意：交换机第一次使用必须使用第一种方式对交换机进行初始配置，配置可管理的IP地址，以及各种口令，以后可以在网络上通过一台PC机用telnet命令远程登录交换机,F0/4,交换机,Console接口,PCA,com口,网卡接口,1)用户模式,2)特权模式,3)配置模式,全局配置模式接口配置模式VLAN配置模式线路配置模式,3、交换机的配置模式,交换机基本配置与管理,一般登陆访问交换机成功后首先出于用户模式，此时我们操作的权限很小。在用户模式下，可以使用少量用户模式命令，命令的功能也受到一定限制。用户模式状态提示符：Switch,用户模式,交换机基本配置与管理,通常由用户模式进入特权模式时，必须输入进入特权模式的命令：enable。在特权模式下，用户可以使用所有的特权命令，可以使用命令的数目也增加了很多。特权模式状态提示符：Switch,特权模式,交换机基本配置与管理,通过在特权模式下输入configure terminal命令，可以进入全局配置模式。由全局配置模式再通过各种命令进入配置子模式（接口配置模式、VLAN配置模式、用户配置模式），在各种子模式下使用命令会改变交换机的配置，影响交换机的运行。,配置模式,Exit 或Ctrl-Z,Exit 或Ctrl-Z,Configure terminal,子配置模式,switch,switch#,switch（config）#,用户模式,特权模式,全局配置模式,Enable,项目实施,任务1：交换机的基本配置与管理,工作任务,某人受聘于一家公司网络中心做网络管理员，随着网络应用的逐步深入，公司陆续添置计算机和可管理的网络设备，现需要对新进的交换机进行配置和管理。,任务1：交换机的基本配置与管理,任务1：交换机的基本配置与管理,任务目标,能够通过控制台端口对交换机进行初始配置；能够配置交换机的各种口令；能够对交换机进行基本配置；能够利用show 命令查看交换机的各种状态。,任务1：交换机的基本配置与管理,Cisco2950交换机（1台）；PC计算机1台；双绞线（若干根）；反转电缆一根。,设备清单,网络拓扑,F0/0,交换机,Console接口,PCA,任务1：交换机的基本配置与管理,全反线,直通线,任务1：交换机的基本配置与管理,实训过程,步骤1：通过思科的Boson NetSim FOR CCNA模拟软件;步骤2：用户模式、特权模式、全局配置模式的转换;步骤3：使用交换机的CLI;步骤4：配置交换机的主机名;,步骤5:配置交换机的口令;步骤6：查看交换机各种信息;步骤7：配置2层交换机端口;步骤8：通过Telnet命令登录交换机；步骤9：测试。,任务1：交换机的基本配置与管理,步骤1：用模拟软件取代真实的配置环境步骤2：用户模式、特权模式、全局配置模式、端口配置模式转换命令 switch/用户模式 switch enable/进入特权模式 switch#/特权模式 switch#config terminal/进入全局配置模式 switch#(config)/全局配置模式 switch#(config)interface fa 0/3/进入端口配置模式 switch#(config-if)/端口配置子模式 switch#(config-if)exit/返回到全局配置模式,步骤3：？号的使用 参考P117 页switch#(config)？/显示此模式下所有可用命令switch#(config-if)interface？/显示该命令帮助说明switch#(config-if)inteface？/显示该命令所带的参数switch#t？/显示以t开头的所有命令,步骤4：配置交换机的名称，进入全局配置模式完成 switch#/特权模式 switch#config terminal/进入全局配置模式 switch#(config)/全局配置模式 switch(config)#hostname aftvc/改名为aftvc aftvc(config)#aftvc(config)#no honstname aftvc/撤消上一条命令执行 switch#(config),步骤5：配置进入特权模式的口令，进入全局配置模式完成switch(config)#enable password 123456或switch(config)#enable secret abcdefswitch(config)#exitswitch#exitswitchswitchenableEnter password:switch#,步骤6：show命令的使用，查看交换机配置信息，在特权模式或用户模式下使用，参考P119页 switch#show version/显示操作系统信息 switch#show running-configure/显示正运行的配置信息 switch#show int status/显示交换机端口状态信息 switch#show int fa 0/5/显示某个端口信息switch#show show mac-address-table/显示mac地址到端口号的映射表 switch#show history/显示最近用过10条命令,步骤7：进入接口配置模式对交换机端口进行配置，配置端口速率和工作模式，参考P121页switch(config)#int fa 0/6/进入某个端口进行配置switch(config-if)#/端口配置模式提示符switch(config)#int range fa 0/2 6/进入一组端口进行配置switch(config-range)#/组端口配置模式提示符switch(config)#int fa 0/6/给某个端口添加备注说明switch(config-if)#description link to jiaoxuelou,switch(config)#int fa 0/6/进入fa 0/6端口进行配置Switch(config-if)#speed 100/设置端口速率switch(config-if)#duplex full/设置端口为全双工模式switch(config-if)#no shutdown/启用正在工作的端口查看端口的配置信息：switch#show int status/查看所有端口配置信息switch#show int fa 0/6/查看某个端口的配置信息,步骤8：通过网络上的某个计算机用telnet命令远程登录交换机，参考P122页（1）交换机端配置可管理IP地址和网关如下：Switch(config)#int vlan 1/进入虚拟局域网接口配置子模式Switch(config-if)#ip address 192.168.1.100 255.255.255.0/配置接口ip地址和掩码Switch(config-if)#no shutdown/启用虚拟局域网接口Switch(config-if)#eixt Switch(config)#ip default-gateway 192.168.1.1/配置虚拟局域网网关地址Switch(config)#int fa0/4Switch(config-if)#switchport access vlan 1/把fa 0/4端口划分到vlan1Switch(config-if)#no shutdown/启用fa 0/4端口Switch(config-if)#exit,（2）交换机端配置可远程登录的用户数和口令如下：switch(config)#line vty 0 4/进入用户配置子模式，配置同时远程登录交换机的用户数 switch(config-line)#password cisco/设置远程登录口令 switch(config-line)#login/登录交换机需要口令,(3)PC端配置如下(此PC机应连接上面配置中的交换机端口fa 0/4)C:?C:ipconfig/ipC:ipconfig(4)在pc机通过DOS命令行窗口用telnet命令登录交换机：23/下面会提示输入口令注意：怎么在模拟环境中登录PC机，对PC机进行配置？,总结 以太网技术有几种成熟的产品？交换机的硬件和软件组成 登录交换机的几种方式和区别 交换机的基本配置命令作业 熟悉交换机的各种配置命令,思考：什么是广播域？可采用什么方法隔离二层交换机构成的广播域？,什么是虚拟局域网(vlanVirtual Local Area Network)?,4.2单交换机上划分VLAN,虚拟局域网（VLAN）,1、在现有局域网的基础上将分布在不同物理位置的多台计算机组合成一个网段构成多个虚拟工作组，每个虚拟工作组构成一个广播域，一个工作组就称为一个虚拟局域网。,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,划分为三个独立虚拟局域网 VLAN1,VLAN2和 VLAN3,财务部,销售部,办公部,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,三个虚拟局域网 VLAN1,VLAN2和 VLAN3 的构成,当 B1 向 VLAN2 工作组内成员发送数据时，工作站 B2 和 B3 将会收到广播的信息。,财务部,销售部,办公部,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,三个虚拟局域网 VLAN1,VLAN2和 VLAN3 的构成,B1 发送数据时，工作站 A1,A2 和 C1都不会收到 B1 发出的广播信息。,财务部,销售部,办公部,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,三个虚拟局域网 VLAN1,VLAN2和 VLAN3 的构成,虚拟局域网限制了接收广播帧的工作站数，使得网络不会因传播过多的广播帧(即“广播风暴”)而引起网络性能恶化。,财务部,销售部,办公部,2、VLAN的优点,有利于优化网络性能，缩小并限制广播域,提高了网络的安全性,便于对网络进行管理和控制,增强了网络连接的灵活性,3、Vlan特点VLAN可跨越多个互连的交换机；每个VLAN是完全独立的在支持VLAN功能的交换机实现；同一VLAN中的成员不受物理位置的限制，像处于同一个局域网中那样互相访问。,VLAN1,VLAN 2,VLAN1,VLAN2,VLAN1,VLAN 2,VLAN1,VLAN2,怎么在交换机上划分虚拟局域网？,静态VLAN划分基于交换机端口划分：把交换机的某几个端口划分到一个VLAN中,只要连接到该端口的计算机就属于这个VLAN上，和连接的计算机无关。,4、交换机上划分虚拟局域网的方法,VLAN1,VLAN 2,fa 0/1,fa 0/2,fa 0/6,fa 0/7,fa 8,动态VLAN 基于MAC地址划分:根据用户计算机的MAC地址进行VLAN划分，只与计算机的MAC地址有关，与交换机及其端口无关。,VLAN1,VLAN 2,MAC2,MAC1,MAC3,MAC4,MAC5,在全局配置模式下使用vlan命令创建vlan和和设置lan名称:Switch（config）#vlan id name xxx,5、单交换机上划分VLAN配置（基于端口配置）,id范围为11005,也有的交换机支持的id范围为14096，其中要注意交换机默认所有端口都属于vlan 1，包括VLAN1002、VLAN1003、VLAN1004和VLAN1005是一些厂家默认VLAN ID号，在命令新的虚拟局域网时不能以这些ID为标识。VLAN名字，可以使用132个ASCII字符组成,分配端口,在接口配置模式下，分配端口给vlan的命令为：Switch（config）#int fa 0/2 Switch（config-if）#switchport access vlan 10 Switch（config）#int range fa 0/2-8 Switch（config-range）#switchport access vlan 10,删除虚拟局域网 Switch（config)#no vlan 10,查看VLAN配置,在特权模式下，可以检验VLAN的配置，常用的命令有：Switch#show vlan/显示所有VLAN的配置消息Switch#show inteface fa0/2/显示某个接口属于哪个VLANSwitch#show inteface status/显示接口分别属于哪个VLANSwitch#show run,工作任务,某人受聘于一家网络公司做网络工程师，现公司有一客户提出要求，该客户公司建立了一小型局域网，包含财务部、销售部和办公室三个部门，公司领导要求各部门内部主机有一些业务可以相互访问，但部门之间为了安全完全禁止互访。,任务2：单交换机上划分VLAN,任务2：单交换机上划分VLAN,任务目标,能够在单交换机进行VLAN划分；能够通过VLAN技术隔离网络。,设备清单,Cisco2950交换机（1台）；PC计算机6台；双绞线（若干根）；反转电缆一根。,任务2：单交换机上划分VLAN,任务2：单交换机上划分VLAN,F0/1,Switch1,办公室：VLAN30 F0/9-f0/12,销售部：VLAN20 F0/5-f0/8,财务部：VLAN10 F0/1-f0/4,PC10 PC11,PC20 PC21,PC30 PC31,实施过程,步骤1：用boson netsim软件画出网络拓扑，并保存,计算机IP地址配置表,任务2：单交换机上划分VLAN,步骤2：配置PC10、PC11、PC20、PC21、PC30、PC31的IP地址,如下表所示。,在模拟环境中分别切换到每个PC,在命令行窗口分别输入以下命令：C:ipconfig/ip C:ipconfig/ip C:ipconfig/ip C:ipconfig/ip C:ipconfig/ip C:ipconfig/ip,任务2：单交换机上划分VLAN,步骤3：在没划分vlan之前用ping命令分别测试PC10、PC11、PC20、PC21、PC30、PC31这六台计算机之间的连通性。进入PC10环境,ping PC30,命令如下：,步骤4：配置交换机VLAN：(1)创建vlan10，vlan20，vlan30，并命名 Switch(config)#vlan 10 name cai/创建vlan10，名为cai Switch(config)#vlan 20 name xiao Switch(config)#vlan 30 name bang Switch#show vlan/查看配置结果,(2)将交换机端口划分配到相应的vlan：Switch(config)#int range fa 0/1 4/进入组接口配置模式 Switch(config-range)#switchport access vlan 10/将fa 0/1 4 四个端口划分到vlan10 Switch(config-range)#exit/返回到全局配置模式 Switch(config)#int range fa 0/5-8 Switch(config-range)#switchport access vlan 20 Switch(config-range)#exit Switch(config)#int range fa 0/9-12 Switch(config-range)#switchport access vlan 30 Switch#show int status/验证端口是否被划分到相应的vlan Switch#show vlan Switch#show run,步骤5：验证vlan内和vlan之间的通信：(1)在vlan10的一台PC上ping向vlan20的一台PC，能否ping通，说明什么问题？(2)在vlan20的一台PC上ping向vlan30的一台PC，能否ping通，说明什么问题？(3)在同一个vlan内两台PC互ping？能否ping通，说明什么问题？,干线(trunk)汇聚链路,VLAN2,VLAN 3,VLAN2,VLAN3,VLAN4,VLAN4,4.3 多交换机上划分VLAN,在不同交换机上同一VLAN内数据怎么进行传输？,0、交换机给发送的vlan数据加上标记，接收端的交换机根据标记把数据转发到相应的vlan内某台计算机，同时转发前去掉标记1、为什么vlan跨交换机的通信要加上标记？不加会导致什么结果？2、干线和普通线路的区别3、trunk端口和access端口的区别,1、用于实现vlan在不同交换机间通信的一条链路称为汇聚链路或主干链路(trunk link），和此相关的协议和技术称为虚拟局域网干线协议或技术（VTPVirtual LAN trunk protocol），主要目的是为了在一条线路上传输不同vlan数据而开发的协议。2、VTP协议还规定了trunk端口和 access端口用于连接主干线路的交换机端口称为汇聚端口或trunk端口即传输vlan内的数据，也传输标准的以太网数据，通过trunk端口的通信流量很大。Access端口传输标准的以太网数据，不能传输加上vlan标记的数据，交换机上除了trunk端口就是access端口3、现在的所使用的VTP协议写主要是IEEE 802.1q协议。,4、虚拟局域网配置的三种模式服务器模式:在一定范围内交换机更新的配置会自动传播到其他交换机上透明模式:交换机的更改配置只能影响本地交换机，更改不会在一定范围内传播客户机模式：此模式下交换机不能创建、删除、更改配置,总结 vlan的含义 vlan的优点和特点 单交换机上划分vlan涉及的配置命令 不同交换机vlan内传输数据的特点 理解vlan中trunk端口和 access端口的区别作业 熟悉交换机上划分vlan涉及到的各种配置命令,工作任务,任务（1）某人受聘于一家网络公司做网络工程师，现公司有一客户提出要求，该客户公司建立了一小型局域网，包含财务部、销售部和办公室三个部门，分别位于两座办公楼。在每一座办公楼设置一台交换机，在每一座办公楼都有财务部、销售部和办公室。公司领导要求各部门内部主机有一些业务可以相互访问，但部门之间为了安全完全禁止互访。任务（2）公司领导要求办公室内部计算机可以相互访问，财务部、销售部两个部门的计算机只有同一座楼可以相互访问，不同楼的计算机不能相互访问，部门之间为了安全完全禁止互访。,任务3：多交换机上划分VLAN的配置,任务3：多交换机上划分VLAN,任务目标,能够实现跨交换机上实现VLAN方法；能够掌握将交换机端口分配到VLAN中的操作技巧。,任务3：多交换机上划分VLAN,设备清单,Cisco3560交换机（1台）；Cisco2950交换机（2台）；PC计算机6台；双绞线（若干根）；反转电缆一根。,任务3：多交换机上划分VLAN,SwitchA,SwitchB,PC10 PC20 PC30 PC11 PC21 PC31,办公室：VLAN30 F0/9-f0/12,销售部：VLAN20 F0/5-f0/8,财务部：VLAN10包括两个交换机的f0/2-f0/4,Fa 0/1,Fa 0/1,步骤1：用boson netsim软件画出网络拓扑，并保存,计算机IP地址配置表,任务3：多交换机上划分VLAN,步骤2：配置各个PC的ip地址和网络掩码。,任务3：多交换机上划分VLAN,步骤3：分别测试PC10、PC11、PC20、PC21、PC30、PC31这六台计算机之间的连通性。测试结果说明什么问题？,步骤4：配置交换机A（1）在全局配置模式下创建三个vlan，并命名Switch(config)#host switchAswitchA(config)#vlan 10 name caiswitchA(config)#vlan 20 name xiaoswitchA(config)#vlan 30 name bangswitchA#show vlan,（2）将switchA的端口分配到相应的VLANswitchA(config)#int range fa 0/2-4switchA(config-range)#switchport access vlan 10switchA(config-range)#exitswitchA(config)#int range fa 0/5-8switchA(config-range)#switchport access vlan 20switchA(config-range)#exitswitchA(config)#int range fa 0/9-12switchA(config-range)#switchport access vlan 30switchA#show int statusswitchA#show run,（3）将switchA的fa 0/1端口配置为trunk端口switchA(config)#int fa 0/1 switchA(config-if)#switchport mode trunk/配置fa 0/1端口为干线的trunk端口switchA#show int fa 0/1 switchport/查看trunk端口的状态,步骤5：配置交换机B（1）在全局配置模式下创建三个vlan，并命名Switch(config)#host switchBswitchB(config)#vlan 10 name caiswitchB(config)#vlan 20 name xiaoswitchB(config)#vlan 30 name bangswitchB#show vlan,（2）将switchB的端口分配到相应的VLAN中去switchB(config)#int range fa 0/2-4switchB(config-range)#switchport access vlan 10switchB(config-range)#exitswitchB(config)#int range fa 0/5-8switchB(config-range)#switchport access vlan 20switchB(config-range)#exitswitchB(config)#int range fa 0/9-12switchB(config-range)#switchport access vlan 30switchB#show int statusswitchB#show run,（3）将switchB的fa 0/1端口配置为trunk端口switchB(config)#int fa 0/1 switchB(config-if)#switchport mode trunk/配置fa 0/1端口为干线的trunk端口switchB#show int fa 0/1 switchport/查看trunk端口的状态,步骤6：验证vlan内和vlan之间的通信：(1)在vlan10的PC10上ping向vlan20的PC20或PC21，能否ping通，说明什么问题？(2)在vlan20的PC20上ping向vlan30的一台PC30或PC31，能否ping通，说明什么问题？(3)在vlan30的PC30上ping向vlan10的PC10或PC11，能否ping通，说明什么问题？(4)在同一个vlan内两台PC互ping？能否ping通，说明什么问题？,思考：现在vlan干线默认能让所有的vlan数据通过，如果要把干线配置为允许vlan10的数据通过，不允许vlan20和vlan30的通过干线能否实现？,步骤7：配置不允许vlan20和vlan30的数据通过干线（1）switchA上的配置为（或在switchB上进行同样的配置）switchA(config)#int fa 0/1 switchA(config-if)#switchport mode trunk switchA(config-if)#switchport trunk allowed vlan 10（2）验证vlan20或vlan30的数据不能从switchA通过干线到达switchB？（3）配置不允许vlan30的数据通过干线，允许vlan10和vlan20的数据通过 switchA(config-if)#switchport trunk allowed vlan 10,20,Thank,