项目4 部门间网络的安全隔离

计算机网络技术学习资料

计算机网络技术

计算机网络技术学习资料

学习情境二：构建中型网络项目四：部门间网络的安全隔离

计算机网络技术学习资料

相关知识

1. 交换机基本配置与管理 2. 单交换机上划分VLAN 3. 多交换机上划分VLAN

计算机网络技术学习资料

交换机基本配置与管理 交换机的组成硬件： CPU 交换机背板的ASIC芯片 存储介质：DRAM、ROM、 FLASH、 NVRAM 端口：Ethernet,Fast Ethernet,Gigabit Ethernet 软件： IOS操作系统交换机基本配置与管理

计算机网络技术学习资料

交换机基本配置与管理 交换机的IOS交换机的IOS启动源包括：

1.Flash存储器 2.TFTP服务器 3.ROM(不完整的IOS软件)

交换机的启动(1)确认交换机启动时对所有硬件进行了检测； (2)发现并装载交换机的操作系统Cisco IOS软件； (3)发现配置文件并应用各条配置语句，包括协议功能和接口地址。

计算机网络技术学习资料

交换机基本配置与管理

通过Console口对 交换机进行配置和 管理

配置 模式

通过Ethernet上的 SNMP网管工作站对 交换机进行管理

通过Web对交换机 进行远程管理

通过Telnet 对交 换机进行远程管理

计算机网络技术学习资料

交换机基本配置与管理

用户模式 全局配置模式 接口配置模式 VLAN配置模式 线程工作模式

可网管交换 机工作模式 特权模式 配置模式

计算机网络技术学习资料

交换机基本配置与管理

用户模式

当PC计算机和交换机建立连接，配置好仿真终端时，首先处于用户模式 (User EXEC模式)。

在用户模式下，可以使用少量用户模式命令，命令的功能也受到一定限制。用户模式命令的操作结果不会被保存。 用户模式状态：Switch>

计算机网络技术学习资料

交换机基本配置与管理

特权模式

要想在可网管交换机上使用更多的命令， 必须进入特权模式(Privileged EXEC模 式)。 通常由用户模式进入特权模式时，必须输入进入特权模式的命令：enable。在特权 模式下，用户可以使用所有的特权命令，可以使用命令的数目也增加了很多。 特权模式状态：Switch#

计算机网络技术学习资料

交换机基本配置与管理配置模式

通过configure terminal命令，可以由特权模式进入配置模式。在配置模式下，可以 使用更多的命令来修改交换机的系统参数。

使用配置模式(全局配置模式，接口配置模式、VLAN配置模式、线程工作模式)的命令会对当前的配置产生影响。如果用户保存了配置信息，这些命令将被保存下来，并 在系统重新启动时再次执行。要进入各种配置模式，首先必须进入全局配置模式。从全 局配置模式出发，可以进入接口配置模式等各种配置子模式。

计算机网络技术学习资料

交换机基本配置与管理

用户EXEC模式

switch> Enable Exit 或Ctrl-Z

特权EXEC模式

switch#Exit 或Ctrl-Z

Configure terminal 全局配置模式 各种特定配置模 式

switch(config)#

计算机网络技术学习资料

项目实施

任务1:交换机的基本配置与管理

计算机网络技术学习资料

交换机的基本配置与管理工作任务某人受聘于一家公司网络中心做网络管理员，随着网络应用的逐步深入， 公司陆续添置计算机和可管理的网络设备，现需要对新进的交换机进行 配置和管理。

任务目标 能够通过控制台端口对交换机进行初始配置； 能够配置交换机的各种口令； 能够对交换机进行基本配置； 能够利用show 命令查看交换机的各种状态。

计算机网络技术学习资料

交换机的基本配置与管理设备清单 Cisco2900交换机(1台); PC计算机1台； 双绞线(若干根); 反转电缆一根。

网络拓扑PCA Console接口 F0/0 192.168.1.1/2 4 交换机

192.168.1.2/24

交换机初始配置

计算机网络技术学习资料

交换机的基本配置与管理实施过程 步骤1:交换机启动; 步骤2:用户模式、特权模式、全局配置模式的转换; 步骤3:使用交换机的CLI; 步骤4:配置交换机的主机名; 步骤5 : 配置交换机的口令; 步骤6:查看交换机信息; 步骤7:配置2层交换机端口; 步骤8:通过Telnet连接交换机； 步骤9:测试。

计算机网络技术学习资料

单交换机上划分VLAN连接到第二层交换机的主机和服务器处于同一个网段中，会带来两个严重的问题： 1.交换机会向所有端口发送广播,占用过多带宽; 2.连接到交换机的每台设备能与此交换机上的所有设备相互转发和接收帧

设计网络时,应该:

1.将广播流量限制在此广播的网络区域中;2.出于业务需要,部分主机配置能互相访问,部分则不能.(如财务部服务只能 由财务部成员访问 在交换网络中，能过创建虚拟局域网(VLAN)来按需将广播限 制在特定的区域并将主机分组。

计算机网络技术学习资料

单交换机上划分VLAN交换机

A4VLAN1

B3VLAN2 B2

C3

VLAN3C2

交换式 交换机 集线器

A3 A3

交换机

A2A1

B1

C1

交换机

三个虚拟局域网 VLAN1(A1,A2,A3,A4), VLAN2(B1,B2,B3),和 VLAN3 (C1,C2,C3) 构成 ；17

计算机网络技术学习资料

单交换机上划分VLANVLAN标准：IEEE 802.1q(1996.3)

IEEE802.1q定义：是由一些局域网网段构成的与物理位置无关的逻辑组，而这 些网段具有某些共同的需求。虚拟局域网也称VLAN。每一个VLAN的帧都有一 个明确的标识符(ID),指明发送到这个帧的工作站属于哪一个VLAN。

VLAN优点： 1.有利于优化网络性能； 2.提高了网络的安全性; 3.便于对网络进行管理和控制 4.提供了基于第二层的通信优先级服务

计算机网络技术学习资料

单交换机上划分VLANVLAN的划分可以根据功能，部门，或应用而无须考虑用户的物理位置。分配在同一个VLAN的 端口可以共享广播域(一个站点发送的广播信息，同一VLAN中的所有站点都可以 收到),分配在不同的端口不共享广播域。VLAN可以在单台交换机中实现，也可 以跨越多台交换机。

所有VLAN均通过

交换机软件实现，从实现机制或策略来分，VLAN可以分为： 静态VLAN

基于MAC地址的VLAN

动态VLAN

基于路由的VLAN

用IP广播组定义虚拟局域网19

本文来源：https://www.bwwdw.com/article/r7ai.html