部门间网络的安全隔离

Cisco2900交换机（ Cisco2900交换机（1台）； 交换机 PC计算机1 PC计算机1台； 计算机 双绞线（若干根）； 双绞线（若干根）； 反转电缆一根。 反转电缆一根。
16
任务1 任务1：交换机的基本配置与管理
PCA
F0/0 192.168. 192.168.1.1/24 Console接口 Console接口
192.168. 192.168.1.2/24 交换机初始配置
交换机
17
任务1 任务1：交换机的基本配置与管理
步骤1：交换机启动; 步骤1 交换机启动; 步骤2 用户模式、特权模式、全局配置模式的转换; 步骤2：用户模式、特权模式、全局配置模式的转换; 步骤3 使用交换机的CLI; 步骤3：使用交换机的CLI; 步骤4 配置交换机的主机名; 步骤4：配置交换机的主机名;
11
用户EXEC模式
switch> Enable CtrlExit 或Ctห้องสมุดไป่ตู้l-Z
特权EXEC模式
switch# CtrlExit 或Ctrl-Z
Configure terminal
全局配置模式
switch（config） switch（config）#
各种特定配置模式
12
任务1 任务1：交换机的基本配置与管理
19
采用IEEE 802.1q标准 采用IEEE 802.1q标准
是由一些局域网网段构成的与物理位置 无关的逻辑组， 无关的逻辑组，而这些网段具有某些共同的 需求。虚拟局域网也称VLAN VLAN。 需求。虚拟局域网也称VLAN。
20
交换式 集线器
A4 VLAN1
B3
C3
VLAN2 B2
VLAN3 C2
26
定义一个VLAN的名字，可以使用1 32个ASCII字 定义一个VLAN的名字，可以使用1∼32个ASCII字 VLAN的名字 符，但是必须保证这个名称在管理域中是唯一的。 但是必须保证这个名称在管理域中是唯一的。 为了添加一个VLAN到VLAN数据库，需要给VLAN 为了添加一个VLAN到VLAN数据库，需要给VLAN VLAN 数据库 分配给一个ID号和名字。VLAN1（包括VLAN1002、 分配给一个ID号和名字。VLAN1（包括VLAN1002、 ID号和名字 VLAN1002 VLAN1003、VLAN1004和VLAN1005） VLAN1003、VLAN1004和VLAN1005）是一些厂家默认 ID号 VLAN ID号。
10
配置模式 通过configure terminal命令 命令， 通过configure terminal命令，可以由特权模式进 入配置模式。在配置模式下， 入配置模式。在配置模式下，可以使用更多的命令来修改 交换机的系统参数。 交换机的系统参数。 使用配置模式（全局配置模式，接口配置模式、VLAN 使用配置模式（全局配置模式，接口配置模式、 配置模式、线程工作模式） 配置模式、线程工作模式）的命令会对当前的配置产生影 如果用户保存了配置信息，这些命令将被保存下来， 响。如果用户保存了配置信息，这些命令将被保存下来， 并在系统重新启动时再次执行。要进入各种配置模式， 并在系统重新启动时再次执行。要进入各种配置模式，首 先必须进入全局配置模式。从全局配置模式出发， 先必须进入全局配置模式。从全局配置模式出发，可以进 入接口配置模式等各种配置子模式。 入接口配置模式等各种配置子模式。
13
任务1 任务1：交换机的基本配置与管理
某人受聘于一家公司网络中心做网络管 理员，随着网络应用的逐步深入， 理员，随着网络应用的逐步深入，公司陆续 添置计算机和可管理的网络设备， 添置计算机和可管理的网络设备，现需要对 新进的交换机进行配置和管理。 新进的交换机进行配置和管理。
14
任务1 任务1：交换机的基本配置与管理
28
分配端口 在新创建一个VLAN之后，可以为之手工分配一个端 在新创建一个VLAN之后， VLAN之后 口号或多个端口号。一个端口只能属于唯一一个VLAN VLAN。 口号或多个端口号。一个端口只能属于唯一一个VLAN。 这种为VLAN分配端口号的方法称为静态－接入端口。 VLAN分配端口号的方法称为静态 这种为VLAN分配端口号的方法称为静态－接入端口。 在接口配置模式下，分配VLAN端口命令为： VLAN端口命令为 在接口配置模式下，分配VLAN端口命令为： Switch（config-if） Switch（config-if）#switchport access vlan vlanvlan-id 默认情况下，所有的端口都属于VLAN 1。 默认情况下，所有的端口都属于VLAN 1。
交换式 交换式 集线器 集线器
A3 A3
交换式 集线器 A1
C1 A2 B1
交换式 当 BB1向 VLAN2 工作组内成员发送数据时， 三个虚拟局域网 VLAN1, C1 虚拟局域网限制了接收广播信息的工作站数，使得网络 1 发送数据时，工作站 A1, A2 和VLAN2 集线器 工作站 B2 和 B3 将会收到广播的信息。 都不会收到 B和 VLAN3 的构成 不会因传播过多广播信息(即“广播风暴”)而引起性能恶化。 1 发出的广播信息。
硬件系统
4
交换机的IOS 交换机的
交换机的IOS启动包括： 交换机的IOS启动包括： IOS启动包括 Flash存储器、 Flash存储器、 存储器 TFTP服务器、 TFTP服务器、 服务器 ROM（不完整的IOS软件）。 ROM（不完整的IOS软件）。 IOS软件
5
交换机的启动
（1）确认交换机启动时对所有硬件进行了检测； 确认交换机启动时对所有硬件进行了检测； 软件； （2）发现并装载交换机的操作系统Cisco IOS软件； 发现并装载交换机的操作系统Cisco IOS软件 （3）发现配置文件并应用各条配置语句，包括协议功 发现配置文件并应用各条配置语句， 能和接口地址。 能和接口地址。
24
静态VLAN 静态VLAN配置 VLAN配置
配置VLAN ID和名字 配置VLAN 的ID和名字
在全局配置模式下使用VLAN命令: 在全局配置模式下使用VLAN命令: VLAN命令 Switch（config）#vlan vlan-id Switch（config） vlan-
25
其中：Vlan是-id配置要被添加的VLAN的ID，如 其中：Vlan是 id配置要被添加的VLAN的ID， 配置要被添加的VLAN 果要安装增强的软件版本，范围为1 4096， 果要安装增强的软件版本，范围为1∼4096，如果安 装的是标准的软件版本，范围为1∼1005。每一个 装的是标准的软件版本，范围为1 1005。 VLAN都有一个唯一的4位的ID（范围：0001∼1005）。 VLAN都有一个唯一的4位的ID（范围：0001∼1005）。 都有一个唯一的 ID Switch（config-vlan） vlanSwitch（config-vlan）#name vlan-name
7
用户模式 全局配置模式 接口配置模式 VLAN配置模式 线程工作模式
可网管交换 机工作模式 特权模式 配置模式
8
用户模式 当PC计算机和交换机建立连接，配置好仿真终端时， PC计算机和交换机建立连接，配置好仿真终端时， 计算机和交换机建立连接 首先处于用户模式（ EXEC模式 模式）。 首先处于用户模式（User EXEC模式）。 在用户模式下，可以使用少量用户模式命令， 在用户模式下，可以使用少量用户模式命令，命令的 功能也受到一定限制。 功能也受到一定限制。用户模式命令的操作结果不会被保 存。 用户模式状态：Switch> 用户模式状态：
9
特权模式 要想在可网管交换机上使用更多的命令， 要想在可网管交换机上使用更多的命令， 必须进入 特权模式（ EXEC模式 模式）。 特权模式（Privileged EXEC模式）。 通常由用户模式进入特权模式时， 通常由用户模式进入特权模式时，必须输入进入特权 模式的命令：enable。在特权模式下， 模式的命令：enable。在特权模式下，用户可以使用所有 的特权命令，可以使用命令的数目也增加了很多。 的特权命令，可以使用命令的数目也增加了很多。 特权模式状态：Switch＃ 特权模式状态：Switch＃
计算机网络技术
1
学习情境二：构建中型网络 学习情境二：
项目四： 项目四：部门间网络的安全隔离
2
交换机基本配置与管理
单交换机上划分VLAN 单交换机上划分VLAN
多交换机上划分VLAN 多交换机上划分VLAN
3
交换机的组成
CPU 交换机背板的ASIC ASIC芯片 交换机背板的ASIC芯片 RAM、 RAM、ROM FLASH 非易失性RAM 非易失性RAM
6
通过Console 通过Console口对 Console口对 交换机进行配置和 管理
通过Telnet 通过Telnet 对交 换机进行远程管理
配置 模式
通过Web 通过Web对交换机 Web对交换机 进行远程管理
通过Ethernet 通过Ethernet上的 Ethernet上的 SNMP网管工作站对 SNMP网管工作站对 交换机进行管理
能够通过控制台端口对交换机进行初始配置； 能够通过控制台端口对交换机进行初始配置； 能够配置交换机的各种口令； 能够配置交换机的各种口令； 能够对交换机进行基本配置； 能够对交换机进行基本配置； 能够利用show 命令查看交换机的各种状态。 能够利用show 命令查看交换机的各种状态。
15
任务1 任务1：交换机的基本配置与管理
23
静态VLAN 静态VLAN配置 VLAN配置
在建立VLAN之前，必须考虑是否使用VLAN干线协议 在建立VLAN之前，必须考虑是否使用VLAN干线协议 VLAN之前 VLAN protocol，VTP） （VLAN trunk protocol，VTP）来为你的网络进行全局 VLAN的配置 的配置。 VLAN的配置。 大多数Catalyst桌面交换机支持最多64个激活的VLAN Catalyst桌面交换机支持最多64个激活的VLAN。 大多数Catalyst桌面交换机支持最多64个激活的VLAN。 Catalyst2950系列交换机在标准镜像上可以支持最多250个 系列交换机在标准镜像上可以支持最多250 Catalyst2950系列交换机在标准镜像上可以支持最多250个 VLAN，并且最大可支持的VLAN号为4096 Catalyst交换机 VLAN号为4096。 VLAN，并且最大可支持的VLAN号为4096。Catalyst交换机 的默认配置是为每一个VLAN运行一个单独的生成树实例。 VLAN运行一个单独的生成树实例 的默认配置是为每一个VLAN运行一个单独的生成树实例。
27
默认配置中，交换机处在VTP服务器模式， 默认配置中，交换机处在VTP服务器模式，所 VTP服务器模式 以可以添加、更改或删除VLAN VLAN。 以可以添加、更改或删除VLAN。如果交换机设置为 VTP客户模式 就不能添加、更改或删除VLAN 客户模式， VLAN。 VTP客户模式，就不能添加、更改或删除VLAN。 为了添加一个以太网VLAN VLAN， 为了添加一个以太网VLAN，必须至少指定一个 ID。如果不为VLAN输入一个名字， VLAN输入一个名字 VLAN ID。如果不为VLAN输入一个名字，默认配置 会在“VLAN”这个字母后自动添加VLAN的号码 这个字母后自动添加VLAN的号码。 会在“VLAN 这个字母后自动添加VLAN的号码。例 如果不加以命名，VLAN0004将使用 将使用VLAN 4的默 如，如果不加以命名，VLAN0004将使用VLAN 4的默 认名字。 认名字。
21
VLAN的优点 VLAN的优点
有利于优化网络性能 提高了网络的安全性 便于对网络进行管理和控制 提供了基于第二层的通信优先级服务
22
VLAN的组网方式 VLAN的组网方式
静态VLAN 静态VLAN 组网方法 动态VLAN 动态VLAN
基于MAC地址的VLAN 基于MAC地址的VLAN MAC地址的 基于路由的VLAN 基于路由的VLAN 用IP广播组定义虚拟局域网 IP广播组定义虚拟局域网
18
任务1 任务1：交换机的基本配置与管理
步骤5: 配置交换机的口令; 步骤5: 配置交换机的口令;
enable password secret区别 enable secret区别
步骤6 查看交换机信息; 步骤6：查看交换机信息; 步骤7 配置2层交换机端口; 步骤7：配置2层交换机端口; 步骤8：通过Telnet连接交换机； 步骤8 通过Telnet连接交换机； Telnet连接交换机 步骤9 测试。 步骤9：测试。