局域网安全隔离

Cisco IOS操作系统特点：
（1）支持通过命令行（CLI）或Web界面，来对交换 机进行配置。 （2）支持通过交换机的控制端口或Telnet会话来登陆 连接访问交换机。 （3）提供用户模式和特权模式两种命令执行级别，并 提供全局配置、接口配置、子接口配置和VLAN数据库 配置等多种级别的配置模式，以允许用户对交换机的资 源进行配置。
项目五 :中型网络中各部门间网络的安全隔离
课题1:
交换机基本配置与管理
交换机的组成 交换机的配置线 交换机的配置管理 交换机工作模式及其转换 如何使用帮助
交换机是局域网最重要的连通设备 ，按是否可以网管， 交换机可以分为可网管交换机和不可网管交换机。
可网管交换机
这些交换机是不能被管理的， 想集线器一样直接转发数据。
交换机的组成
硬件系统
CPU 交换机背板的ASIC芯片 RAM、ROM FLASH 交换机端口
RJ-45端口 光纤端口 Console端 口
光纤插槽 连接光纤的接口SFP类型
软件系统
Cisco catalyst系列交换机所使用的操作系统 是IOS或COS（ catalyst Operating system）。 其中以IOS使用最为广泛，该操作系统和路由器所 使用的操作系统都基于相同的内核和Shell。COS 的优点在于命令体系比较易用。利用操作系统所 提供的命令，可实现对交换机的配置与管理。
子网划分的方法
决定子网和主机数量
由于主机被一个或多个路由器分割在不同的子网里， 所以网络工程师需要决定在这个特定互联网络中划分 多少个子网，计划好的网络拓扑结构在某种程度上决 定了需要的子网数量。
要决定最大的子网中要容纳多少台主机，需要知道连 接在每一个局域网上的所有设备的具体信息，以及对于未 来趋势的一定预测能决力定。子一网和般主情机况数下量，通过局域网交换机 和线缆的配置情况来了解连接到该局域网的设备数量，然 后在增加一定的百分比留作扩展使用。
交换机的组成 交换机的配置线 交换机的配置管理 交换机工作模式及其转换
项目五 :中型网络中各部门间网络的安全隔离
任务1:
交换机基本配置与管理
可网管交换机基本配置
随着学院信息化建设，校园网的规模也 越来越大，为了有效地管理校园网，需要采 用可网管的交换机，需要首先了解可网管的 交换机和前面已经使用的交换机有何区别？ 可网管交换机是如何进行管理和基本配置。
线程工作模式
在全局配置模式下，执行Line VTY或Line Console命令，将进入Line配置模式。该模式主 要用于对虚拟终端（VTY）和控制台接口进行配 置，其配置主要是设置虚拟终端和控制台的用户 级登录密码。
Line配置模式的命令行提示符为： switch(config-line)#
交换机有一个控制端口（Console），其编号 为0，通常利用该端口进行本地登录，以实现对 交换机的配置和管理。
网络广播地址：在任何一个IP网络中，最大的那个IP 地址。 子网0（0号子网）：从数字上讲，是每一个子网划分 规划中最小的子网号，它的特点是在子网号的子网部分 全为0。一般为保留子网，不使用。 广播子网：从数字上讲，是每一个子网划分规划中最 大的子网号，它的特点是在子网号的子网部分全为1。 一般为保留子网，不使用。
如何使用帮助
使用命令简写获得帮助
交换机的操作命令可以使用命令的前几个字母，然 后按回车键可以自动执行对应的操作。
使用历史缓冲区加快操作
交换机的操作系统支持历史缓冲区技术，该缓冲区 记录了当前提示符下最近使用的命令，可以使用“” 和“”方向键将以前操作过的命令重新调出使用。利 用该技术可以避免重新输入长而且复杂的命令。
不可网管交换机
可网管交换机则可以被管理、监 控，具有智能性，具有端口监控、 划分VLAN等不可网管交换机不具 备的特性，因此，安装可网管交换 机的网络具有智能性和安全性。
一台可网管的交换机在正面或背面一般有一个网管 配置Console接口，现在的交换机控制台端口一般采 用RJ-45端口。
RJ-45控制端口
通过Telnet 对交 换机进行远程管理
通过Ethernet上的 SNMP网管工作站 对交换机进行管理
交换机工作模式及其转换
用户模式
可网管交换 机工作模式
特权模式
配置模式
全局配置模式 接口配置模式 VLAN配置模式 线程工作模式
用户模式
当PC计算机和交换机建立连接，配置好仿真终端时， 首先处于用户模式（User EXEC模式）。
A类
网络
主机
8位
S位
24-S位
网络
子网
主机
没有划分子网 划分了子网
16位 B类
16位
16位
网络
主机
S位 16-S位
网络
子网
主机
没有划分子网 划分了子网
24位 C类
24位
8位 网络 S位 8-S位 网络
主机
没有划分子网
子网 主机 划分了子网
进行子网划分的IP网络地址结构
决定子网号以及每个子网内可分配的IP地址
交换机的配置线
1. 串行配置线备 2. RJ-45接头扁平配置线 3. USB接口配置线
RJ-45接头扁平配置线
DB9-RJ45的转接头
固定DB9接口配置线
USB接口配置
交换机的配置管理
使用PC计算机通 过Console口对交 换机进行配置和管 理
通过Web对交换 机进行远程管理
配置 方式
在interface命令中必须指明要进入哪一个接 口配置子模式。使用该命令可以配置交换机的各 种接口。
VLAN配置模式
在全局配置模式下，使用vlan vlan-id命令进 入该模式。要返回全局配置模式，输入exit命令 或按下Ctrl+Z组合键。要返回特权模式，使用 end命令。
使用该模式可以配置vlan参数。
在划分子网时应遵循以下的基本规则： （1）同一个局域网上的IP主机－特别指出，在同一广 播域内应该使用同一IP子网内的IP地址。 （2）通过点到点的租用线路直连的两个路由器接口地 址应该在相同的IP子网内。 （3）被至少一台路由器分割开的不同局域网的主机， 应该使用不同IP子网内的IP地址。 （4）互联网内的IP地址应该是唯一的。
假定在一个A、B或C类网络中使用相同的子网掩码， 称为固定长度子网掩码（SLSM）。和VLSM不同， VLSM允许在同一IP子网内的不同部分使用不同的掩码。 当使用SLSM时，最大子网内的主机数量决定了整个网络 内子网掩码的主机位的大小。但是使用VLSM，需要决定 每一个子网内主机的数量。
决定掩码中的子网和主机位数
步骤5:配置交换机的口令; 步骤6：查看交换机信息; 步骤7：配置2层交换机端口; 步骤8：通过Telnet连接交换机。
可网管交换机基本配置
步骤1：在PCA计算机上，在“开始”菜单中单击 “运行”选项，在打开的“运行”对话框中输入“cmd” 命令并单击“确定”按纽，进入MS-DOS命令操作状 态。
如何使用帮助
使用“？”获得帮助
交换机管理界面分为不同的模式，用户当前所处的命 令模式决定了可以使用的命令。在命令提示符下，输入 问号（？），可以列出每个命令模式可以使用的命令。 可以通过不同的方式能获得不同的帮助效果。
使用“Tab”键获得帮助
用户也可以使用Tab键获得帮助，按下Tab键可 以自动补齐命令剩余的字母。
在用户模式下，可以使用少量用户模式命令，命令的功 能也受到一定限制。用户模式命令的操作结果不会被保存。
用户模式状态：Switch>
特权模式
要想在可网管交换机上使用更多的命令， 必须进入特 权模式（Privileged EXEC模式）。
通常由用户模式进入特权模式时，必须输入进入特权 模式的命令：enable。在特权模式下，用户可以使用所 有的特权命令，可以使用命令的数目也增加了很多。
特权模式状态：Switch＃
配置模式
通过configure terminal命令，可以由特权模式进入 配置模式。在配置模式下，可以使用更多的命令来修改交 换机的系统参数。
使用配置模式（全局配置模式，接口配置模式、VLAN 配置模式、线程工作模式）的命令会对当前的配置产生影 响。如果用户保存了配置信息，这些命令将被保存下来， 并在系统重新启动时再次执行。要进入各种配置模式，首 先必须进入全局配置模式。从全局配置模式出发，可以进 入接口配置模式等各种配置子模式。
术语：
子网号：从数字上讲，是一个子网内最小的号码，它 是用来表示一个特定IP子网的一组点分十进制数。 子网广播地址：从数字上讲，是一个子网内最大的值。 发送到这个地址的数据包，都会被路由转发到目的子网， 在转发的同时，数据包被封装在一个2层广播帧中，这 样子网内的所有主机都能够接收到这个帧。 可供分配的IP地址：一个可以分配到接口上的IP地址。 此时子网内的保留地址排除在外，例如IP子网号和子网 广播地址。
可网管交换机基本配置
能够通过控制台端口对交换机进行初始配置； 能够配置交换机的各种口令； 能够对交换机进行基本配置； 能够利用show 命令查看交换机的各种状态。
可网管交换机基本配置
Cisco2900交换机（1台）； PC机1台； 双绞线（若干根）； 反转电缆一根。
步骤2：在PCA计算机上，通过超级终端，查看交换 机的配置：
项目五 :中型网络中各部门间网络的安全隔离
课题2:
IP子网划分
子网划分概念 子网IP地址格式 子网掩码 子网划分的方法 决定子网号以及每个子网内可分配的IP地址
子网划分的概念
当网络中的主机总数未超出所给定的某类网络可容 纳的最大主机数，但内部又要划分成若干个分段 （segment）进行管理时，就可以采用子网划分的方 法。
对A、B或C类网络进行子网划分的过程并不会改 变原地址中网络部分的大小。它会减少地址中主机部 分的大小，来创建子网部分，如下图。
为了创建子网，在此过程中缩短了主机域，通常 称为借位。在下图中，被借出的位用于组成地址结构 中的子网部分，为S比特长。
这里，用变量s表示子网位数，用h表示主机位数。
8位
24位
C类网络进行子网划分后的子网掩码
划分位数 2 3 4 5 6
子网掩码 255.255.255.192 255.255.255.224 255.255.255.240 255.255.255.248 255.255.255.252
书写方法
为了表达的方便，在书写上还可以采用诸如 “X.X.X.X/Y”的方式来表示IP地址与子网掩码，其中 每个“X”分别表示与IP地址中的一个8位组对应的十进 制值，而“Y”表示子网掩码中与网络标识对应的位数。 如上面提到的102.2.3.3/255.0.0.0也可表示为 102.2.3.3/8，而102.2.3.3/255.255.247.0则可表示 为102.2.3.3/21。
交换机的不同工作模式以及各模式之间的关系
用户EXEC模式
switch>
Enable
Exit 或Ctrl-Z
特权EXEC模式
switch#
Configure terminal Exit 或Ctrl-Z
全局配置模式
swiபைடு நூலகம்ch（config）#
各种特定配置模式
接口配置模式
在全局配置模式下，使用interface命令进入 该模式。要返回全局配置模式，输入exit命令或 按下Ctrl+Z组合键。要返回特权模式，使用end 命令。
可网管交换机基本配置
PCA
F0/0
192.168.1.1/24
Console接口
192.168.1.2/24
交换机 交换机初始配置
可网管交换机基本配置
步骤1：使用系统配置对话; 步骤2：用户模式、特权模式、全局配置模式的转换; 步骤3：使用交换机的CLI; 步骤4：配置交换机的主机名;
可网管交换机基本配置
子网IP地址格式
网络地址 网络地址部分
主机地址部分
划分子网后
的网络地址 网络地址部分 子子网网地地址址部部分分主机地址部分
网络地址部分
子网掩码
子网掩码(subnetmask)通常与IP地址配对出现， 其功能是告知主机或路由设备，IP地址的哪一部分代 表网络号部分，哪一部分代表主机号部分。子网掩码 使用与IP地址相同的编址格式，即32位长度的二进制 比特位，也可分为4个8位组并采用点分十进制来表示。 但在子网掩码中，与IP地址中的网络位部分对应的位 取值为“1”，而与IP地址主机部分对应的位取值为 “0”。这样通过将子网掩码与相应的IP地址进行求 “与”操作，就可决定给定的IP地址所属的网络号 （包括子网络信息）。