网络组建与管理-复习
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Switch(config-if)#switchport port-security mac-address { mac-addr }
mac-addr为静态绑定的MAC 地址
交换机端口安全的配置5-3
▪ 配置MAC地址违规后的策略
➢ MAC地址违规
最大安全数目的MAC地址表之外的一个新的MAC地址 访问该端口
SW1
BPDU
SW2
BPDU
BPDU
SW3
2.1.3 构建路由表
▪ 路由表存储在 RAM 中,包含以下信息:
➢ 直连网络 – 一个设备连接到另一个路由器接口时会出现 ➢ 远程网络连接 – 这个网络并非直接连接到某一台路由器 ➢ 网络的详细信息包括源信息、网络地址和子网掩码,下一条路由的IP地址
▪ 建立路由表的三种途径:
2.1.3 构建路由表
▪ 静态路由
➢ 通过配置静态路由或启用动态路由协议,可以将远程网络添加至路由表。 ➢ 静态路由包括远程网络的网络地址和子网掩码,以及下一跳路由器或送出接口的
不同VLAN三层互访需求 分属于不同VLAN的用户通信被隔离 将VLAN和IP子网对应,使用路由技术,通过路由将报文 从一个VLAN转发到另外一个VLAN
VLAN间路由方法 路由器物理接口做路由 单臂路由 三层交换
3.6.2 配置VLAN间路由
▪ 配置VLAN间路由 – 子接口
在路由器上为每个VLAN创建一个子接口 每个子接口配置IP地址,作为对应VLAN内主机的网
三层交换机SW3(SW4) F0/20
trunk
交换机 SW1(SW2) F0/1-8 vlan10 F0/9-16 vlan20
F0/20 trunk
IP: 网关:
PC1
192.168.10.1xx/24 192.168.10.1
PC2
192.168.20.1xx/24 192.168.20.1
三层交换机配置(2)
1.3 TCP/IP的参考模型
▪ TCP/IP分为四个层次,分别是网络接口层、网络(际)层、 传输层和应用层。
OSI的参考模型
TCP/IP的参考模型
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
应用层
传输层 网际层 网络接口层
网关
路由器、三层交换机 二层交换机 集线器、中继器、线缆
网络设备在OSI体系中的位置
▪ 第五步:在三层交换机s3550上配置虚拟端口及IP地址:
▪ S3550 >en !进入特权模式。
▪ S3550#configure ter
!进入全局配置模式。
▪ S3550 (config)#vlan 10
!创建vlan10。
▪ S3550 (config-vlan)#exit S3550 (config)#vlan 20
网络组建与管理-复习
IP地址的分类
IP地址共分5类:A类、B类、C类、D类、 E类,常用的IP地址是前三类。
Baidu Nhomakorabea
IP Address Classes
0 10 110 1110 11110
A B C 类 IP 地址的默认子网掩码
A
网络地址
类
net-id
host-id 为全 0
地 址
默认子网掩码 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 255.0.0.0
一个配置为其他接口安全MAC地址的MAC地址试图访 问这个端口
Switch(config-if)#switchport port-security violation { protect | restrict | shutdown }
➢ 当出现违规情况时,有三种处理方式
shutdown:端口成为err-disable状态,相当于关闭端口, 默认处理方式
物理层 通信介质(物理媒体)
图 3-3 OSI/RM结构示意图
物理层
3.3.2 TCP/IP的层次结构
1、结构模型 TCP/IP参考模型分为四层:应用层、传输层、互联层、网 络接口层。TCP/IP的结构与OSI结构的对应关系如图3-5所示。
应用层 表示层 会话层
应用层
应用层面向不同的网络应用引入不 同的应用层协议。
3.3.1 VLAN简介
▪ VLAN 的优点 – 安全 – 成本降低 – 性能提高 – 广播风暴防范 – 提高IT员工的效率 – 简化项目管理或应用管理
交换机的端口模式
Access口
一个Access端口,只能属于一个VLAN, 并且是通过手工设置指定VLAN的
承载正常的以太网帧
Trunk口
一个Trunk口,在缺省情况下是属于本交 换机所有VLAN的,它能够转发所有VLAN的 帧。
承载被标识的以太网帧
Access口用于和用户相连 Trunk口用于交换机之间的互连
VTP概念
▪ 何谓VTP?
VTP 允许网络管理员配置交换机,使之将 VLAN 配置传播到网 络中的其它交换机。
VTP 仅获知普通范围内的 VLAN(VLAN ID 为 1 到 1005)。
▪ VTP的优点
➢ 保持网络VLAN配置一致 ➢ 准确跟踪和监控VLAN ➢ 动态报告网络中添加的VLAN ➢ 当VLAN添加到网络时,动态执行中继配置
➢ 2、配置 VTP 客户端 switch(config)#vtp mode client 如果网络Server设密码,client也必须设置相同的密码才可以 进行学习
➢ 3、确认和连接 show VTP status show VTP counters show vlan brief
VLAN间路由概述
传输层的功能是使源端主机和目标 端主机上的对等实体可以进行会话。
传输层 网络层
传输层 网络互连层
网络互连层是整个TCP/IP协议栈的 核心。它的功能是把分组发往目标 网络或主机。
数据链路层 物理层
主机到网络层
这一层次未被定义,所以其具体的 实现方法将随着网络类型的不同而 不同。
图 3-5 TCP/IP模型与OSI模型对照
B 类
网络地址
•net-id
host-id 为全 0
地 默认子网掩码 址 255.255.0.0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 •0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
C
网络地址
类
net-id
host-id 为全 0
地 址
默认子网掩码 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0
➢ 启用端口安全的接口不能是动态协商(dynamic)模式,必须 配置接口为接入或干道模式
▪ 配置允许访问网络的MAC地址
➢Sw配itc置h(接co口nf允ig-许if)的#s最wit大ch活po跃rt地po址rt数-se量curity maximum { max-addr }
max-addr参数的范围是1~8192,在默认情况下为1 ➢ 配置静态绑定的MAC地址
255.255.255.0
3.2.2 OSI/RM的层次结构
1、层次结构模型 OSI/RM整个网络按照功能划分成7个层次,如图3-3所示。
开放系统A 应用层 表示层 会话层 传输层
应用层协议
表示层协议 会话层协议 传输层协议
开放系统B 应用层 表示层 会话层 传输层
网络层
网络层
数据链路层
数据链路层
使用上面的动态粘连功能,那么我们上面配置的如下命令就可以省略了 Switch(config-if)#switchport port-security mac-address { mac-addr }
3.3.1 VLAN简介
交换机
1234
广播帧
▪ 什么是VLAN
广播帧
– 构建VLAN之前
– VLAN概述
▪ S3550 (config-if)#no shutdown
!开启端口。
▪ S3550 (config-if)#exit 退出端口配置模式
STP工作原理
在交换机之间传递配置BPDU,比较其中的参数,根据STP算法选举根 网桥、根端口、指定端口,打开好的端口,阻塞差的端口,从而打破物 理环路,建立一个无循环的逻辑拓扑。
关 交换机上联口配置为Trunk 交换机和子接口间交互802.1Q帧
3.6.2 配置VLAN间路由
▪ 配置VLAN间路由
接口
子接 口
三层交换机虚拟接口做路由(优化)
interface Vlan 10 IP:192.168.10.1/24
Interface Vlan 20 IP:192.168.20.1/24
▪ S3550 (config-if)#no shutdown
!开启端口。
▪ S3550 (config-if)#exit
!退出端口配置模式
▪ S3550 (config)#interface vlan 20 置模式
!进入vlan20虚拟端口配
▪ S3550 (config-if) #ip address 192.168.20.1 255.255.255.0 !配置IP 地址及子网掩码。
3.4.3 VTP配置
▪ 配置 VTP 步骤
➢ 1、配置 VTP 服务器 switch(config)#vtp mode server switch(config)#vtp domain domain-name switch(config)#vtp password password switch(config)# vtp version version-number
交换机端口安全的配置5-5
▪ 配置端口安全的sticky(粘连)特性
➢ 当企业内网所有端口均要启用端口安全时,静态绑定的MAC地址的 工作量时十分巨大
➢ sticky特性能动态的将交换机接口学习到的MAC加入到运行配置中, 形成绑定关系
Switch(config)#switchport port-security mac-address sticky
广播域
广播域
• VLAN,虚拟局域网 。VLAN 可让网络管理员建立 多组逻辑上联网的设备,即使这些设备与其它
VLAN 共享相同的基础架构,它们也能像在独立的 网络中一样运作。
• 每个VLAN 是一个逻辑上独立的 IP 子网。 • 交换机配置 VLAN,为 VLAN分配端口。
• 无论是否使用 VLAN,两个不同网络和子网上的设 备必须通过路由器(第 3 层)才能通信。
protect:将违规的MAC地址的分组丢弃,但端口处于 UP状态。交换机不记录违规分组
restrict:将违规的MAC地址的分组丢弃,但端口处于 UP状态。交换机记录违规分组
交换机端口安全的配置5-4
▪ 当端口进入err-disable状态时,恢复接口状态的方法有两种
➢ 手动恢复 先关闭端口(shutdown),然后再开启端口(no shutdown) 端口恢复为正常状态
!使用vlan10默认信息,退出。 !创建vlan20。
▪ S3550 (config-vlan)#exit
!使用vlan20默认信息,退出。
S3550 (config)#interface vlan 10
!进入vlan10虚拟接口配置
模式。
▪ S3550 (config-if) #ip address 192.168.10.1 255.255.255.0 !配 置IP地址及子网掩码。
➢ 直连路由 –直接连到路由器上的网络 ➢ 静态路由 –管理员手工构建路由表 ➢ 动态路由 –路由器之间动态学习到的路由表
2.1.3 构建路由表
▪ 直连路由
➢ 在路由器上配置静态或动态路由之前,路由器只知道与自己直连的网络。这些网 络是在配置静态或动态路由之前唯一显示在路由表中的网络。
➢ 配置路由器的接口并使用 no shutdown 命令将其激活后,该接口必须收到来自 其它设备(路由器、交换机、集线器等)的载波信号,其状态才能视为“up” (开启)。一旦接口为“up”(开启)状态,该接口所在的网络就会作为直连网 络而加入路由表。
▪ 网络设备的功能层次
OSI层次 传输层及以上
网络层 数据链路层
物理层
地址类型
设备
应用程序进程地址(端口)
网关 (协议转换器)
网络地址 (IP地址) 物理地址 (MAC地址)
路由器 (三层交换机)
网桥、交换机 (网卡)
中继器、集线器、(网 无
卡)、线缆
交换机端口安全的配置5-1
▪ 启用交换机端口安全特性 Switch(config)#interface f 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security
mac-addr为静态绑定的MAC 地址
交换机端口安全的配置5-3
▪ 配置MAC地址违规后的策略
➢ MAC地址违规
最大安全数目的MAC地址表之外的一个新的MAC地址 访问该端口
SW1
BPDU
SW2
BPDU
BPDU
SW3
2.1.3 构建路由表
▪ 路由表存储在 RAM 中,包含以下信息:
➢ 直连网络 – 一个设备连接到另一个路由器接口时会出现 ➢ 远程网络连接 – 这个网络并非直接连接到某一台路由器 ➢ 网络的详细信息包括源信息、网络地址和子网掩码,下一条路由的IP地址
▪ 建立路由表的三种途径:
2.1.3 构建路由表
▪ 静态路由
➢ 通过配置静态路由或启用动态路由协议,可以将远程网络添加至路由表。 ➢ 静态路由包括远程网络的网络地址和子网掩码,以及下一跳路由器或送出接口的
不同VLAN三层互访需求 分属于不同VLAN的用户通信被隔离 将VLAN和IP子网对应,使用路由技术,通过路由将报文 从一个VLAN转发到另外一个VLAN
VLAN间路由方法 路由器物理接口做路由 单臂路由 三层交换
3.6.2 配置VLAN间路由
▪ 配置VLAN间路由 – 子接口
在路由器上为每个VLAN创建一个子接口 每个子接口配置IP地址,作为对应VLAN内主机的网
三层交换机SW3(SW4) F0/20
trunk
交换机 SW1(SW2) F0/1-8 vlan10 F0/9-16 vlan20
F0/20 trunk
IP: 网关:
PC1
192.168.10.1xx/24 192.168.10.1
PC2
192.168.20.1xx/24 192.168.20.1
三层交换机配置(2)
1.3 TCP/IP的参考模型
▪ TCP/IP分为四个层次,分别是网络接口层、网络(际)层、 传输层和应用层。
OSI的参考模型
TCP/IP的参考模型
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
应用层
传输层 网际层 网络接口层
网关
路由器、三层交换机 二层交换机 集线器、中继器、线缆
网络设备在OSI体系中的位置
▪ 第五步:在三层交换机s3550上配置虚拟端口及IP地址:
▪ S3550 >en !进入特权模式。
▪ S3550#configure ter
!进入全局配置模式。
▪ S3550 (config)#vlan 10
!创建vlan10。
▪ S3550 (config-vlan)#exit S3550 (config)#vlan 20
网络组建与管理-复习
IP地址的分类
IP地址共分5类:A类、B类、C类、D类、 E类,常用的IP地址是前三类。
Baidu Nhomakorabea
IP Address Classes
0 10 110 1110 11110
A B C 类 IP 地址的默认子网掩码
A
网络地址
类
net-id
host-id 为全 0
地 址
默认子网掩码 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 255.0.0.0
一个配置为其他接口安全MAC地址的MAC地址试图访 问这个端口
Switch(config-if)#switchport port-security violation { protect | restrict | shutdown }
➢ 当出现违规情况时,有三种处理方式
shutdown:端口成为err-disable状态,相当于关闭端口, 默认处理方式
物理层 通信介质(物理媒体)
图 3-3 OSI/RM结构示意图
物理层
3.3.2 TCP/IP的层次结构
1、结构模型 TCP/IP参考模型分为四层:应用层、传输层、互联层、网 络接口层。TCP/IP的结构与OSI结构的对应关系如图3-5所示。
应用层 表示层 会话层
应用层
应用层面向不同的网络应用引入不 同的应用层协议。
3.3.1 VLAN简介
▪ VLAN 的优点 – 安全 – 成本降低 – 性能提高 – 广播风暴防范 – 提高IT员工的效率 – 简化项目管理或应用管理
交换机的端口模式
Access口
一个Access端口,只能属于一个VLAN, 并且是通过手工设置指定VLAN的
承载正常的以太网帧
Trunk口
一个Trunk口,在缺省情况下是属于本交 换机所有VLAN的,它能够转发所有VLAN的 帧。
承载被标识的以太网帧
Access口用于和用户相连 Trunk口用于交换机之间的互连
VTP概念
▪ 何谓VTP?
VTP 允许网络管理员配置交换机,使之将 VLAN 配置传播到网 络中的其它交换机。
VTP 仅获知普通范围内的 VLAN(VLAN ID 为 1 到 1005)。
▪ VTP的优点
➢ 保持网络VLAN配置一致 ➢ 准确跟踪和监控VLAN ➢ 动态报告网络中添加的VLAN ➢ 当VLAN添加到网络时,动态执行中继配置
➢ 2、配置 VTP 客户端 switch(config)#vtp mode client 如果网络Server设密码,client也必须设置相同的密码才可以 进行学习
➢ 3、确认和连接 show VTP status show VTP counters show vlan brief
VLAN间路由概述
传输层的功能是使源端主机和目标 端主机上的对等实体可以进行会话。
传输层 网络层
传输层 网络互连层
网络互连层是整个TCP/IP协议栈的 核心。它的功能是把分组发往目标 网络或主机。
数据链路层 物理层
主机到网络层
这一层次未被定义,所以其具体的 实现方法将随着网络类型的不同而 不同。
图 3-5 TCP/IP模型与OSI模型对照
B 类
网络地址
•net-id
host-id 为全 0
地 默认子网掩码 址 255.255.0.0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 •0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
C
网络地址
类
net-id
host-id 为全 0
地 址
默认子网掩码 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0
➢ 启用端口安全的接口不能是动态协商(dynamic)模式,必须 配置接口为接入或干道模式
▪ 配置允许访问网络的MAC地址
➢Sw配itc置h(接co口nf允ig-许if)的#s最wit大ch活po跃rt地po址rt数-se量curity maximum { max-addr }
max-addr参数的范围是1~8192,在默认情况下为1 ➢ 配置静态绑定的MAC地址
255.255.255.0
3.2.2 OSI/RM的层次结构
1、层次结构模型 OSI/RM整个网络按照功能划分成7个层次,如图3-3所示。
开放系统A 应用层 表示层 会话层 传输层
应用层协议
表示层协议 会话层协议 传输层协议
开放系统B 应用层 表示层 会话层 传输层
网络层
网络层
数据链路层
数据链路层
使用上面的动态粘连功能,那么我们上面配置的如下命令就可以省略了 Switch(config-if)#switchport port-security mac-address { mac-addr }
3.3.1 VLAN简介
交换机
1234
广播帧
▪ 什么是VLAN
广播帧
– 构建VLAN之前
– VLAN概述
▪ S3550 (config-if)#no shutdown
!开启端口。
▪ S3550 (config-if)#exit 退出端口配置模式
STP工作原理
在交换机之间传递配置BPDU,比较其中的参数,根据STP算法选举根 网桥、根端口、指定端口,打开好的端口,阻塞差的端口,从而打破物 理环路,建立一个无循环的逻辑拓扑。
关 交换机上联口配置为Trunk 交换机和子接口间交互802.1Q帧
3.6.2 配置VLAN间路由
▪ 配置VLAN间路由
接口
子接 口
三层交换机虚拟接口做路由(优化)
interface Vlan 10 IP:192.168.10.1/24
Interface Vlan 20 IP:192.168.20.1/24
▪ S3550 (config-if)#no shutdown
!开启端口。
▪ S3550 (config-if)#exit
!退出端口配置模式
▪ S3550 (config)#interface vlan 20 置模式
!进入vlan20虚拟端口配
▪ S3550 (config-if) #ip address 192.168.20.1 255.255.255.0 !配置IP 地址及子网掩码。
3.4.3 VTP配置
▪ 配置 VTP 步骤
➢ 1、配置 VTP 服务器 switch(config)#vtp mode server switch(config)#vtp domain domain-name switch(config)#vtp password password switch(config)# vtp version version-number
交换机端口安全的配置5-5
▪ 配置端口安全的sticky(粘连)特性
➢ 当企业内网所有端口均要启用端口安全时,静态绑定的MAC地址的 工作量时十分巨大
➢ sticky特性能动态的将交换机接口学习到的MAC加入到运行配置中, 形成绑定关系
Switch(config)#switchport port-security mac-address sticky
广播域
广播域
• VLAN,虚拟局域网 。VLAN 可让网络管理员建立 多组逻辑上联网的设备,即使这些设备与其它
VLAN 共享相同的基础架构,它们也能像在独立的 网络中一样运作。
• 每个VLAN 是一个逻辑上独立的 IP 子网。 • 交换机配置 VLAN,为 VLAN分配端口。
• 无论是否使用 VLAN,两个不同网络和子网上的设 备必须通过路由器(第 3 层)才能通信。
protect:将违规的MAC地址的分组丢弃,但端口处于 UP状态。交换机不记录违规分组
restrict:将违规的MAC地址的分组丢弃,但端口处于 UP状态。交换机记录违规分组
交换机端口安全的配置5-4
▪ 当端口进入err-disable状态时,恢复接口状态的方法有两种
➢ 手动恢复 先关闭端口(shutdown),然后再开启端口(no shutdown) 端口恢复为正常状态
!使用vlan10默认信息,退出。 !创建vlan20。
▪ S3550 (config-vlan)#exit
!使用vlan20默认信息,退出。
S3550 (config)#interface vlan 10
!进入vlan10虚拟接口配置
模式。
▪ S3550 (config-if) #ip address 192.168.10.1 255.255.255.0 !配 置IP地址及子网掩码。
➢ 直连路由 –直接连到路由器上的网络 ➢ 静态路由 –管理员手工构建路由表 ➢ 动态路由 –路由器之间动态学习到的路由表
2.1.3 构建路由表
▪ 直连路由
➢ 在路由器上配置静态或动态路由之前,路由器只知道与自己直连的网络。这些网 络是在配置静态或动态路由之前唯一显示在路由表中的网络。
➢ 配置路由器的接口并使用 no shutdown 命令将其激活后,该接口必须收到来自 其它设备(路由器、交换机、集线器等)的载波信号,其状态才能视为“up” (开启)。一旦接口为“up”(开启)状态,该接口所在的网络就会作为直连网 络而加入路由表。
▪ 网络设备的功能层次
OSI层次 传输层及以上
网络层 数据链路层
物理层
地址类型
设备
应用程序进程地址(端口)
网关 (协议转换器)
网络地址 (IP地址) 物理地址 (MAC地址)
路由器 (三层交换机)
网桥、交换机 (网卡)
中继器、集线器、(网 无
卡)、线缆
交换机端口安全的配置5-1
▪ 启用交换机端口安全特性 Switch(config)#interface f 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security