项目4 部门间网络的安全模式

1计算机网络技术2学习情境二：构建中型网络项目四：部门间网络的安全隔离3交换机基本配置与管理单/多交换机划分VLAN数据链路层通信原理交换机基本原理再述4应用层在程序之间传递信息表示层处理文本格式化，显示代码转换会话层建立、维持、协调通信传输层确保数据正确发送网络层决定传输路由，处理信息传递数据链路层编码、编址、传输信息物理层管理硬件连接5高层传输层网络层数据链路层物理层逻辑链路控制层介质访问控制层物理层和OSI物理层功能一样。MAC层负责控制对传输介质的访问，帧的寻址，识别等。LLC层负责数据帧的封装和拆除。提供面向连接和非连接的服务。6MAC地址ipconfig/all111111111111111111111111111111111111111111111111IEEE委员会分配厂商分配7•为网络层提供良好的服务接口•成帧——将物理层的比特组成帧•差错控制——处理传输中的差错•流量控制——调整帧的流速，不至于使慢速接收方被快速接收方淹没数据链路层设计问题8无确认的无连接服务——适用于误码率很低的情况，也适应像语音之类的实时传输，帧丢失的恢复留给上层去完成；有确认的无连接的服务——对每帧都进行单独确认，适用于无线系统之类的不可靠信道；有确认的面向连接的服务——在传送数据之前需要先建立一条连接，最为复杂。为网络层提供的服务9服务类型•面向连接的服务－电话系统•无连接的服务－邮政系统10成帧成帧是把物理层的比特流分成离散的帧，并对每一帧计算除校验和。最简单的方法是在帧之间插入时间间隔，但是由于网络很难保证计时准确，存在着很大的风险。什么是帧？帧是具有一定长度和格式的信息块，是数据链路层的传输单位。什么是成帧？11何谓帧同步？如何使接收方能够准确地从收到的比特流中识别出帧的边界，取出帧来。如何实现帧同步？字符计数法：帧头用一个域来标明该帧的字符数带字符填充的首尾界符法：DLESTX开头，DLEETX结束带填充位的首尾标志法：01111110作为每帧的开头结尾物理层编码违例法：利用物理信号的冗余编码作为帧边界帧同步12字符计数法13带字符填充的首尾界符法14带位填充的首尾界符法15流量控制•如何解决发送方的发送能力比接收方接收能力大的问题？•常用的两种方法：–基于反馈的流控制–基于速率的流控制•基本数据链路协议–单工的停等协议–重传的停等协议–选择性重传协议16差错控制检错纠错重复丢失失序定时器17差错检测和纠正•信号在物理信道中传输时，线路本身电器特性造成的随机噪声、信号幅度的衰减、频率和相位的畸变、电器信号在线路上产生反射造成的回音效应、相邻线路间的串扰以及各种外界因素（如大气中的闪电、开关的跳火、外界强电流磁场的变化、电源的波动等）都会造成信号的失真。在数据通信中，将会使接收端收到的二进制数位和发送端实际发送的二进制数位不一致，从而造成由“0”变成“1”或由“1”变成“0”的差错。18差错检测和纠正•检错码——检验传输过程中是否出错–EDC(error-detectingcode)•纠错码–ECC(error-correctingcode)19差错检测20奇偶校验码：包括冗余位在内的数据码元中1的个数保持为奇数（奇校验）或偶数（偶校验），可以用来检测单个错误。差错检测21差错检测循环冗余校验码CRC：一种多项式的编码方式。将位串看成是系数为0或1的多项式，K位的帧看作是一个K-1阶次多项式的系数列表。如110001可以看作是X5+X4+1。22CRC原理–发送：T(x)；–接收：T(x)+E(x)；–余数((T(x)+E(x))/G(x))=0+余数(E(x)/G(x))；–若余数(E(x)/G(x))=0，则差错不能发现；否则，可以发现。•四个多项式已成为国际标准–CRC-12=x12+x11+x3+x2+x+1–CRC-16=x16+x15+x2+1–CRC-CCITT=x16+x12+x5+1–CRC-32IEEE8022324差错纠正•纠错码检验传输过程中是否出错并纠正错误–码字：n＝m（数据位）＋r（冗余位）–海明距离：两个码字不相同的位的个数1000100110110001－－－－－00111000检测d比特错误需要距离为d+1比特的编码纠正d比特错误需要距离为2d+1比特的编码25纠错码例子0000000000000001111111111000001111111111•HammingDistance=5•0000011111－0000000111－0000011111•0000000000－0000000111－00000111114个码字26共享10M独享10M共享10M独享10M网络交换机SwitchHUBHUB交换机——数据链路层最基本最主要的设备。27交换机端口类型(P101)：•RJ-45端口•千兆接口转换器(GBIC)•SFP接口•Console端口28交换机级联技术(1)交换机有UpLink(级联)端口29交换机级联技术(2)交换机没有UpLink(级联)端口30a.如果数据帧的目的MAC地址是广播地址或组播地址，则向交换机所有端口转发；b.如果数据帧的目的地址是单播地址，且这个地址并不在交换机的MAC地址表中，也会向所有端口转发；c.如果数据帧的目的地址在交换机的MAC地址表中，那么就根据MAC地址表转发到相应的端口；d.如果数据帧的目的地址与数据帧的源地址在同一个网段上，就会丢弃这个数据帧，交换也就不会发生。31E0：0260.8c01.1111E1：0260.8c01.3333E2：0260.8c01.2222E3：0260.8c01.4444E3：0260.8c01.6666MACaddresstable0260.8c01.44440260.8c01.6666ACEBDF0260.8c01.11110260.8c01.22220260.8c01.55550260.8c01.3333E0E1E2E3E4P67如何建立MAC地址表？32硬件系统CPU交换机背板的ASIC芯片RAM、ROMFLASH非易失性RAM交换机的组成33交换机的IOS交换机的IOS启动包括：Flash存储器、TFTP服务器、ROM（不完整的IOS软件）。34交换机的启动（1）确认交换机启动时对所有硬件进行了检测；（2）发现并装载交换机的操作系统CiscoIOS软件；（3）发现配置文件并应用各条配置语句，包括协议功能和接口地址。35配置模式通过Console口对交换机进行配置和管理通过Telnet对交换机进行远程管理通过Web对交换机进行远程管理通过Ethernet上的SNMP网管工作站对交换机进行管理36可网管交换机工作模式用户模式特权模式配置模式全局配置模式接口配置模式VLAN配置模式线程工作模式37当PC计算机和交换机建立连接，配置好仿真终端时，首先处于用户模式（UserEXEC模式）。在用户模式下，可以使用少量用户模式命令，命令的功能也受到一定限制。用户模式命令的操作结果不会被保存。用户模式状态：Switch用户模式38要想在可网管交换机上使用更多的命令，必须进入特权模式（PrivilegedEXEC模式）。通常由用户模式进入特权模式时，必须输入进入特权模式的命令：enable。在特权模式下，用户可以使用所有的特权命令，可以使用命令的数目也增加了很多。特权模式状态：Switch＃特权模式39通过configureterminal命令，可以由特权模式进入配置模式。在配置模式下，可以使用更多的命令来修改交换机的系统参数。使用配置模式（全局配置模式，接口配置模式、VLAN配置模式、线程工作模式）的命令会对当前的配置产生影响。如果用户保存了配置信息，这些命令将被保存下来，并在系统重新启动时再次执行。要进入各种配置模式，首先必须进入全局配置模式。从全局配置模式出发，可以进入接口配置模式等各种配置子模式。配置模式40Exit或Ctrl-ZExit或Ctrl-ZConfigureterminal各种特定配置模式switchswitch#switch（config）#用户EXEC模式特权EXEC模式全局配置模式Enable41任务1：交换机的基本配置与管理42某人受聘于一家公司网络中心做网络管理员，随着网络应用的逐步深入，公司陆续添置计算机和可管理的网络设备，现需要对新进的交换机进行配置和管理。任务1：交换机的基本配置与管理43任务1：交换机的基本配置与管理能够通过控制台端口对交换机进行初始配置；能够配置交换机的各种口令；能够对交换机进行基本配置；能够利用show命令查看交换机的各种状态。44任务1：交换机的基本配置与管理Cisco2900交换机（1台）；PC计算机1台；双绞线（若干根）；反转电缆一根。45F0/0192.168.1.1/24交换机初始配置192.168.1.2/24交换机Console接口PCA任务1：交换机的基本配置与管理46任务1：交换机的基本配置与管理步骤1：交换机启动;步骤2：用户模式、特权模式、全局配置模式的转换;步骤3：使用交换机的CLI;步骤4：配置交换机的主机名;47步骤5:配置交换机的口令;步骤6：查看交换机信息;步骤7：配置2层交换机端口;步骤8：通过Telnet连接交换机；步骤9：测试。任务1：交换机的基本配置与管理48是由一些局域网网段构成的与物理位置无关的逻辑组，而这些网段具有某些共同的需求。虚拟局域网也称VLAN。采用IEEE802.1q标准49A3交换式集线器交换式集线器A4B1交换式集线器VLAN3C3B3VLAN1VLAN2C1A2A1C2B2交换式集线器三个虚拟局域网VLAN1,VLAN2和VLAN3的构成当B1向VLAN2工作组内成员发送数据时，工作站B2和B3将会收到广播的信息。B1发送数据时，工作站A1,A2和C1都不会收到B1发出的广播信息。虚拟局域网限制了接收广播信息的工作站数，使得网络不会因传播过多广播信息(即“广播风暴”)而引起性能恶化。交换式集线器A350VLAN的优点有利于优化网络性能提高了网络的安全性便于对网络进行管理和控制提供了基于第二层的通信优先级服务51组网方法静态VLAN动态VLAN基于MAC地址的VLAN基于路由的VLAN用IP广播组定义虚拟局域网VLAN的组网方式52静态VLAN配置在建立VLAN之前，必须考虑是否使用VLAN干线协议（VLANtrunkprotocol，VTP）来为你的网络进行全局VLAN的配置。大多数Catalyst桌面交换机支持最多64个激活的VLAN。Catalyst2950系列交换机在标准镜像上可以支持最多250个VLAN，并且最大可支持的VLAN号为4096。Catalyst交换机的默认配置是为每一个VLAN运行一个单独的生成树实例。53静态VLAN配置配置VLAN的ID和名字在全局配置模式下使用VLAN命令:Switch（config）#vlanvlan-id54其中：Vlan是-id配置要被添加的VLAN的ID，如果要安装增强的软件版本，范围为14096，如果安装的是标准的软件版本，范围为11005。每一个VLAN都有一个唯一的4位的ID（范围：00011005）。Switch（config-vlan）#namevlan-name55定义一个VLAN的名字，可以使用132个ASCII字符，但是必须保证这个名称在管理域中是唯一的。为了添加一个VLAN到VLAN数据库，需要给VLAN分配给一个ID号和名字。VLAN1（包括VLAN1002、VLAN1003、VLAN1004和VLAN1005）是一些厂家默认VLANID号。56默认配置中，交换机处在VTP服务器模式，所以可以添加、更改或删除VLAN。如果交换机设置为VTP客户模式，就不能添加、更改或删除VLAN。为了添加一个以太网VLAN，必须至少指定一个VLANID。如果不为VLAN输入一个名字，默认配置会在“VLAN”这个字母后自动添加VLAN的号码。例如，如果不加以命名，VLAN0004将使