1、1.1.3 什么是融合网络?融合是在数据网络上融入语音和视频通信的过程。- 融合网络的一大优点是它只有一个网络需要管理。- 融合网络的另一个优点是可以降低实现和管理的成本。融合网络可提供前所未有的选择。三、本次课小结 2 2009 12 14 7、81.2 将交换机与指定的LAN功能进行配对 掌握将交换机与指定的LAN功能进行配对的方法 将交换机与指定的LAN功能进行配对的方法一、课堂提问1. 交换机在网络中扮演的角色?2. 交换机的分层原则?1.2.1 分层网络交换机的考虑因素流量分析- 流量分析是测量网络带宽使用率并分析相关数据来调整性能、规划容量并做出硬件升级决策的过程。用户群分析-用户
2、群分析是确定各类用户群体及其对网络性能的影响的过程。数据存储和数据服务器分析- 在考虑数据存储和服务器的流量时,应同时考虑客户端到服务器的流量和服务器到服务器的流量。拓扑图- 拓扑图是网络基础架构的图形表现形式。1.2.2 交换机的特性分层网络中使用的交换机的主要特性以太网供电(PoE)允许交换机通过现有的以太网电缆对设备供电。1.2.3 分层网络中交换机的功能接入层交换机支持将终端节点设备连接到网络。分布层交换机在网络中扮演着非常重要的角色。它们收集所有接入层交换机发来的数据并将其转发到核心层交换机。核心层是网络的高速主干,需要能够转发非常庞大的流量1.2.4 适合中小型企业的交换机识别在中
3、小型企业中使用的Cisco交换机应用 3 2009 12 15 5、6第2章 交换机的基本概念和配置 2.1 Ethernet/802.3 LAN简介 掌握802.3的基本知识 802.3的基本知识1. 接入层交换机的功能?2. 核心层交换机的功能?2.1 Ethernet/802.3 LAN简介2.1.1 Ethernet/802.3网络的关键要素系统将以太网信号传送到连接在LAN 中的每一台主机,传送时使用一个特殊的规则集来确定哪台工作站可以访问网络。以太网所使用的规则集是基于IEEE 载波侦听多路访问/冲突检测 (CSMA/CD)技术。在CSMA/CD接入方法中,要发送报文的所有网络设备
4、必须在发送之前进行侦听。如果设备检测到来自其它设备的信号,它就会等待特定的时间的后再尝试发送。如果没有检测到流量,设备将发送报文。在发送过程中,设备仍会继续侦听LAN中的流量或冲突。报文发送之后,设备将恢复默认侦听模式。如果设备之间的距离造成一台设备的信号延时,也就是说,另一台设备无法检测到信号,则另一台设备可能也会开始发送。那么,现有两台设备同时在介质中发送信号。报文将在介质中传播,直到相互碰头。此时,双方的信号就会混合,报文被损坏,从而形成冲突。检测到冲突之后,发送设备将发出堵塞信号。堵塞信号通知其它设备发生了冲突,以便它们调用回退算法。回退算法将使所有设备在随机时间内停止发送,以让冲突消
5、除。交换LAN 网络中的通信以三种方式进行:单播、广播和组播:当前以太网帧标准,即修订后的IEEE 802.3 (Ethernet) 的结构用于以太网通信的双工设置有两种:半双工和全双工MAC寻址和交换机MAC地址表带宽和吞吐量- 共享以太网络的节点数量将影响网络的吞吐量或效率。冲突域 冲突域是指发出的帧可能产生冲突的网络区域。 所有共享介质环境(例如使用集线器创建的介质环境)都是冲突域。- 交换机为每个网段提供专用带宽,因此减少了网段上的冲突,并提高了网段上的带宽使用率。广播域- 交换机收到广播帧时,它将该帧转发到自己的每一个端口。(接收该广播帧的传入端口除外)。网络延时- 延时是一个帧或一
6、个数据包从源工作站到达最终目的地所用的时间。延时有至少三个来源。网络拥塞- 以下是网络拥塞最常见的原因:计算机和网络技术的功能日益强大。 网络流量日益增加。高带宽应用程序。2.1.2 Ethernet/802.3 网络的设计考虑因素将LAN分割成多个更小部分的主要原因是为了隔离流量以及使每位用户更好地利用带宽。使用路由器和交换机可以将LAN分割成很多更小的冲突域和广播域。 交换机通常用于将大型LAN 分割成很多更小的网段。虽然LAN 交换机缩小了冲突域的规模,但是连接到交换机的所有主机仍都处于同一个广播域中。 用路由器创建更多、更小的广播域将减少广播流量,并为单播通信提供更多可用带宽。每个路由
7、器接口都连接到单独的网络,广播流量的范围仅限于发出该广播的LAN网段内。每个路由器缩小了LAN上广播域的规模每个交换机将LAN上的冲突域规模缩小为单条链路。2.1.3 LAN 设计考虑因素控制网络延时 在设计网络以减少延时时,需要考虑网络上每一台设备所引起的延时。 使用更高层的设备也可能增加网络延时。当第3层设备(例如路由器)需要检查帧中包含的第 3 层寻址信息时,它必须比第 2 层设备更深入地读取帧,这将造成处理时间更长。.适当使用第3层设备有助于防止大型广播域中的广播流量争用资源或者大型冲突域中的高冲突率。消除瓶颈 网络中的瓶颈是高网络拥塞导致性能下降的位置。 4 2009 12 15 7
8、、82.2 使用交换机转发帧 掌握交换机转发帧的原理 交换机转发帧的原理1. MAC地址是什么?2. LAN设计考虑因素?2.2.1 交换机转发方法交换机使用下面的两种转发方法之一来进行网络端口间的数据交换:存储转发交换或直通交换。2.2.2 对称交换和非对称交换根据带宽分配给交换机端口的方式,LAN交换机可分为对称或非对称两类。2.2.3 内存缓冲以太网交换机在转发帧之前,可以使用缓冲技术存储帧。当目的端口由于拥塞而繁忙时,也可以使用缓冲,交换机将一直存储帧,直到可以传送该帧。将内存用于存储数据的功能称为内存缓冲2.2.4 第2层交换和第3层交换第2层LAN交换机只根据OSI数据链路层(第2
9、层)MAC地址执行交换和过滤。第2层交换机对网络协议和用户应用程序完全透明。第3层交换机不仅使用第2层MAC地址信息来作出转发决策,而且还可以使用IP地址信息。第3层交换机还能够执行第3层路由功能,从而省去了 LAN上对专用路由器的需要。第3层交换机 第 3 层交换机通过检查以太网数据包中的第 3 层信息来作出转发决策。 第 3 层交换机可以像专用路由器一样在不同的 LAN 网段之间路由数据包。路由器 建立与远程网络和设备的远程访问连接。 专用路由器在支持WAN接口卡 (WIC)方面更加灵活,这使得它成为用于连接 WAN的首选设备,而且有时是唯一的选择。第3层交换机不能完全取代网络中的路由器。
10、路由器不仅可以执行第3层交换机无法完成的其它第3层服务,还能够执行第3层交换机所无法实现的一些数据包转发任务,例如建立与远程网络和设备的远程访问连接。 5 2009 12 18 5、62.3 交换机管理配置 掌握交换机管理配置的方法 交换机管理配置的方法1. 交换机的转发方法?2. 第2层交换和第3从交换的差别?2.3.1 切换命令行界面模式作为一项安全功能,Cisco IOS软件将 EXEC(执行)会话分成以下访问级别 用户执行:只允许用户访问有限量的基本监视命令。用户执行模式是在从 CLI 登录到 Cisco 交换机后所进入的默认模式。用户执行模式由 提示符标识。 特权执行:允许用户访问所
11、有设备命令,如用于配置和管理的命令,特权执行模式可采用口令加以保护,使得只有获得授权的用户才能访问设备。特权执行模式由 # 提示符标识。Cisco IOS软件的命令模式结构采用分层的命令结构。每一种命令模式支持与设备中某一类型的操作关联的特定 Cisco IOS命令。2.3.2 使用帮助Cisco IOS CLI提供了两种类型的帮助:- 词语帮助- 命令语法帮助控制台错误消息-当输入了不正确的命令时,控制台错误消息有助于确定问题。2.3.3 访问命令历史记录Cisco CLI提供已输入命令的历史记录。对于命令历史记录功能,可以完成以下任务:-显示命令缓冲区的内容。-设置命令历史记录缓冲区大小。
12、-重新调用存储在历史记录缓冲区中的先前输入的命令。每一种配置模式都有相应的缓冲区。2.3.4 交换机启动顺序启动加载器是存储在 NVRAM中的小程序,并且在交换机第一次开启时运行。2.3.5 准备配置交换机Catalyst交换机的初始启动需要完成以下步骤:- 步骤 1:PC 或终端已连接到控制台端口。- 步骤 2:终端仿真器应用程序(如 HyperTerminal)正在运行且配置正确。- 步骤 3:在控制台上查看启动过程2.3.6 基本交换机配置管理接口注意事项- 要使用 TCP/IP 来远程管理交换机,就需要为交换机分配 IP 地址。配置管理接口- 要在交换机的管理 VLAN 上配置 IP
13、地址和子网掩码,您必须处在 VLAN 接口配置模式下。配置默认网关- 需要将交换机配置为可将 IP 数据包转发到远程网络。验证配置- 显示了 VLAN 99 已经配置了 IP 地址和子网掩码,并且快速以太网端口 F0/18 已经分配了 VLAN 99 管理接口。配置双工和速度- 使用duplex接口配置命令来指定交换机端口的双工操作模式。可以手动设置交换机端口的双工模式和速度,以避免厂商间的自动协商问题。配置Web接口- 现代 Cisco 交换机有很多基于 Web 的配置工具,这些工具需要交换机配置为 HTTP 服务器。管理MAC地址表- 交换机使用 MAC地址表来确定如何在端口间转发流量。这
14、些 MAC 表包含动态地址和静态地址。2.3.7 验证交换机配置使用Show命令- show running-config 命令显示交换机上当前正在运行的配置。使用此命令可验证是否正确配置了交换机。- show interfaces命令显示交换机网络接口的状态信息和统计信息。在配置和监视网络设备时,经常会用到 show interfaces 命令。2.3.8 基本交换机管理备份配置- 图中显示了三个将配置备份到闪存的示例。恢复配置 用已存配置覆盖当前配置。 当配置恢复到 startup-config 中后,可在特权执行模式下使用 reload 命令重新启动交换机,以使其重新加载新的启动配置。将
15、配置文件备份到 TFTP 服务器 可以使用 TFTP 通过网络备份配置文件。 当配置成功存储在 TFTP 服务器上之后,可以使用以下步骤将配置复制回交换机上: #copy tftp:/location/directory/filename system:running-config清除配置信息 要清除启动配置的内容,请使用 erase nvram: 或 erase startup-config 特权执行命令。 要从闪存中删除文件,请使用 delete flash:filename 特权执行命令。 6 2009 12 18 7、82.4 配置交换机安全性 掌握安全配置交换机的思想 安全配置交换机
16、的思想1. 如何在用户执行和特权执行间变更?2. 如何查看MAC地址列表?2.4.1 配置口令选项保护控制台- 要防止控制台端口console受到XX的访问保护vty端口- Cisco 交换机的 vty 端口用于远程访问设备。配置执行模式口令- enable password 命令存在的一个问题是,它将口令以可阅读文本的形式存储在 startup-config 和 running-config 中。- 在全局配置模式提示符下输入 enable secret 命令以及所要的口令,这样即可指定加密形式的enable口令。如果配置了enable secret口令,则交换机将使用enable secr
17、et口令,而不使用enable password口令。配置加密口令- 人们普遍认同口令应该加密,并且不能以明文格式存储。- 当从全局配置模式下输入 service password-encryption 命令后,所有系统口令都将以加密形式存储。enable口令恢复- 万一遗失或遗忘了访问口令,Cisco 提供了口令恢复机制以便于管理员仍能访问其 Cisco 设备。口令恢复过程需要实际接触设备。 并不能实际恢复 Cisco 设备上的口令,尤其是在已启用口令加密的情况下,但是可以将口令重设为新值。 系统在初始化闪存文件系统之前已中断。以下命令将初始化闪存文件系统,并完成操作系统软件的加载: fla
18、sh_init load_helper boot2.4.2 登录标语配置登录标语 Cisco IOS 命令集中包含一项功能,用于配置登录到交换机的任何人看到的消息。这些消息称为登录标语和当日消息 (MOTD) 标语。 所有连接的终端在登录时都会显示 MOTD 标语。在需要向所有网络用户发送消息时(例如系统即将停机),MOTD 标语尤其有用。2.4.3 配置Telnet和SSH远程访问 Cisco 交换机上的 vty 有两种选择。2.4.4 常见安全攻击MAC地址泛洪主机 A 向主机 B 发送流量。交换机收到帧,并在其 MAC 地址表中查找目的 MAC 地址。如果交换机在 MAC 地址表中无法找
19、到目的 MAC,则交换机将复制帧并将其从每一个交换机端口广播出去。主机 B 收到帧并向主机 A 发送响应。交换机随后获知主机 B 的 MAC 地址位于端口 2,并将该信息写入 MAC 地址表。主机 C 也收到从主机 A 发到主机 B 的帧,但是因为该帧的目的 MAC 地址为主机 B,因此主机 C 丢弃该帧。由主机 A(或任何其它主机)发送给主机 B 的任何帧都转发到交换机的端口 2,而不是从每一个端口广播出去。攻击者使用交换机的正常操作特性来阻止交换机正常工作。只要网络攻击工具一直运行,交换机的 MAC 地址表就会始终保持充满。当发生这种情况时,交换机开始将所有收到的帧从每一个端口广播出去,这
20、样一来,从主机 A 发送到主机 B 的帧也会从交换机上的端口 3 向外广播。欺骗攻击 攻击者窃取网络流量的一种办法是伪装有效DHCP服务器发出的响应。要防止 DHCP 攻击,请使用 Cisco Catalyst 交换机上的 DHCP侦听和端口安全性功能。CDP 攻击 默认情况下,大多数 Cisco 路由器和交换机都启用了CDP。建议如果设备不需要使用 CDP,则在设备上禁用 CDP。telnet攻击的类型:暴力密码攻击 Dos攻击抵御暴力密码攻击:-经常更改密码-使用强密码-限制可通过vty线路进行通信的人员 更新为最新版本的Cisco IOS软件2.4.5 安全工具网络安全工具执行以下功能:
21、-网络安全审计帮助您 揭示攻击者只需监视网络流量就能收集到哪种信息 确定要去除的虚假MAC地址的理想数量 确定MAC地址表的老化周期- 网络渗透测试帮助您: 找出网络设备配置中的弱点 发起多种攻击以测试网络 小心:应仔细计划渗透测试,以避免影响网络性能现代网络安全工具的常见功能包括: 服务识别 支持SSL服务 非破坏性测试和破坏性测试 漏洞数据库使用网络安全工具可以: 捕获聊天消息 从NFS流量中捕获文件 捕获通用日志格式的HTTP请求 捕获Berkeley mbox格式的邮件消息 捕获密码 显示在Netscape中实时捕获的URL 用随机MAC地址泛洪攻击交换LAN 仿造对DNS地址查询和指
22、针查询的响应 截获交换LAN上的数据包2.4.6 配置端口安全性在所有交换机端口上实施安全措施,以:-在端口上指定一组允许的有效MAC地址-只允许一个MAC地址访问端口-指定端口在检测到XX的MAC地址时自动关闭 安全MAC地址有以下类型:-静态安全MAC地址-动态安全MAC地址-粘滞安全MAC地址粘滞安全MAC地址有以下特性:-动态学习,转换为存储在运行配置中的粘滞安全MAC地址。-禁用粘滞学习将从运行配置中移除MAC地址,但是不会从MAC表中移除。-当交换机重新启动时,粘滞安全MAC地址将会丢失。-将粘滞安全MAC地址保存在启动配置中可使交换机在重新启动时仍然保留这些地址。-禁用粘滞学习将
23、把粘滞MAC地址转换为动态安全地址,并将这些地址从运行配置中移除。 7 2009 12 21 5、6第3章 虚拟局域网 3.1 VLAN简介 掌握基本的VLAN知识 基本的VLAN知识1. 如何配置执行口令加密?2. 常见的攻击有哪些?3.1 VLAN简介3.1.1 VLAN简介VLAN 概述 -虚拟局域网 (VLAN) -让网络管理员建立多组逻辑上联网的设备VLAN优点 -安全 -成本降低 -性能提高 -广播风暴防范 -提高IT员工的效率 -简化项目管理或应用管理VLAN 特性3.1.2 VLAN的类型常见的 VLAN 术语数据 VLAN默认 VLAN本征 VLAN管理 VLAN语音 VLA
24、N因此 VoIP 流量要求:足够的带宽来保证语音质量高于其它网络流量类型的传输优先级能够在融合网络中得到路由在网络上的延时小于 150 毫秒 (ms)一个 VLAN具备一个LAN的所有特征 ,因此 VLAN 必须像 LAN 一样处理网络流量网络传输类型-网络管理和传输控制. 网络流量类型-IP 电话-IP 组播-普通数据3.1.3 交换机端口成员资格模式VLAN 交换机端口模式 -静态 VLAN 交换机上的端口以手动方式分配给 VLAN -动态 VLAN-使用 VMPS 可以根据连接到交换机端口的设备的源 MAC 地址,动态地将端口分配给 VLAN -语音 VLAN 将端口配置到语音模式可以使
25、端口支持连接到该端口的 IP 电话3.1.4 通过 VLAN控制广播域划分了VLAN的网络广播为交换机配置 VLAN 后,特定 VLAN 中的主机所发出的单播流量、组播流量和广播流量,其传输均仅限于该 VLAN 中的设备.细分广播域可以通过 VLAN(在交换机上)也可以通过路由器完成。无论是否使用 VLAN,位于不同第 3 层网络的设备都必须通过路由器才能通信VLAN 内通信:通过交换机和路由器控制广播域VLAN 间通信通过 VLAN 和第 3 层转发来控制广播域- 换机虚拟接口 (SVI) 技术允许第 3 层交换机在 VLAN 之间路由数据传输 8 2009 12 21 7、83.2 VLAN中继 掌握VLAN中继的特征 VLAN中继的特征
