《Exploration3LAN交换和无线》 教案网G081Word文档格式.docx
- 文档编号:831208
- 上传时间:2023-04-29
- 格式:DOCX
- 页数:84
- 大小:3.84MB
《Exploration3LAN交换和无线》 教案网G081Word文档格式.docx
《《Exploration3LAN交换和无线》 教案网G081Word文档格式.docx》由会员分享,可在线阅读,更多相关《《Exploration3LAN交换和无线》 教案网G081Word文档格式.docx(84页珍藏版)》请在冰点文库上搜索。
1.1.3什么是融合网络?
融合是在数据网络上融入语音和视频通信的过程。
-融合网络的一大优点是它只有一个网络需要管理。
-融合网络的另一个优点是可以降低实现和管理的成本。
融合网络可提供前所未有的选择。
三、本次课小结
2200912147、8
1.2将交换机与指定的LAN功能进行配对
掌握将交换机与指定的LAN功能进行配对的方法
将交换机与指定的LAN功能进行配对的方法
一、课堂提问
1.交换机在网络中扮演的角色?
2.交换机的分层原则?
1.2.1分层网络交换机的考虑因素
流量分析
-流量分析是测量网络带宽使用率并分析相关数据来调整性能、规划容量并做出硬件升级决策的过程。
用户群分析
-用户群分析是确定各类用户群体及其对网络性能的影响的过程。
数据存储和数据服务器分析
-在考虑数据存储和服务器的流量时,应同时考虑客户端到服务器的流量和服
务器到服务器的流量。
拓扑图
-拓扑图是网络基础架构的图形表现形式。
1.2.2交换机的特性
分层网络中使用的交换机的主要特性
以太网供电(PoE)允许交换机通过现有的以太网电缆对设备供电。
1.2.3分层网络中交换机的功能
接入层交换机支持将终端节点设备连接到网络。
分布层交换机在网络中扮演着非常重要的角色。
它们收集所有接入层交换机发
来的数据并将其转发到核心层交换机。
核心层是网络的高速主干,需要能够转发非常庞大的流量
1.2.4适合中小型企业的交换机
识别在中小型企业中使用的Cisco交换机应用
3200912155、6
第2章交换机的基本概念和配置
2.1Ethernet/802.3LAN简介
掌握802.3的基本知识
802.3的基本知识
1.接入层交换机的功能?
2.核心层交换机的功能?
2.1Ethernet/802.3LAN简介
2.1.1Ethernet/802.3网络的关键要素
系统将以太网信号传送到连接在LAN中的每一台主机,传送时使用一个特殊的规则集来确定哪台工作站可以访问网络。
以太网所使用的规则集是基于IEEE载波侦听多路访问/冲突检测(CSMA/CD)技术。
在CSMA/CD接入方法中,要发送报文的所有网络设备必须在发送之前进行侦听。
如果设备检测到来自其它设备的信号,它就会等待特定的时间的后再尝试发送。
如果没有检测到流量,设备将发送报文。
在发送过程中,设备仍会继续侦听LAN中的流量或冲突。
报文发送之后,设备将恢复默认侦听模式。
如果设备之间的距离造成一台设备的信号延时,也就是说,另一台设备无法检测到信号,则另一台设备可能也会开始发送。
那么,现有两台设备同时在介质中发送信号。
报文将在介质中传播,直到相互碰头。
此时,双方的信号就会混合,报文被损坏,从而形成冲突。
检测到冲突之后,发送设备将发出堵塞信号。
堵塞信号通知其它设备发生了冲突,以便它们调用回退算法。
回退算法将使所有设备在随机时间内停止发送,以让冲突消除。
交换LAN网络中的通信以三种方式进行:
单播、广播和组播:
当前以太网帧标准,即修订后的IEEE802.3(Ethernet)的结构
用于以太网通信的双工设置有两种:
半双工和全双工
MAC寻址和交换机MAC地址表
带宽和吞吐量
-共享以太网络的节点数量将影响网络的吞吐量或效率。
冲突域
冲突域是指发出的帧可能产生冲突的网络区域。
所有共享介质环境(例如使用集线器创建的介质环境)都是冲突域。
-交换机为每个网段提供专用带宽,因此减少了网段上的冲突,并提高了网段上的带宽使用率。
广播域
-交换机收到广播帧时,它将该帧转发到自己的每一个端口。
(接收该广播帧的传入端口除外)。
网络延时
-延时是一个帧或一个数据包从源工作站到达最终目的地所用的时间。
延时有至少三个来源。
网络拥塞
-以下是网络拥塞最常见的原因:
计算机和网络技术的功能日益强大。
网络流量日益增加。
高带宽应用程序。
2.1.2Ethernet/802.3网络的设计考虑因素
将LAN分割成多个更小部分的主要原因是为了隔离流量以及使每位用户更好地利用带宽。
使用路由器和交换机可以将LAN分割成很多更小的冲突域和广播域。
交换机通常用于将大型LAN分割成很多更小的网段。
虽然LAN交换机缩小了冲突域的规模,但是连接到交换机的所有主机仍都处于同一个广播域中。
用路由器创建更多、更小的广播域将减少广播流量,并为单播通信提供更多可用带宽。
每个路由器接口都连接到单独的网络,广播流量的范围仅限于发出
该广播的LAN网段内。
每个路由器缩小了LAN上广播域的规模
每个交换机将LAN上的冲突域规模缩小为单条链路。
2.1.3LAN设计考虑因素
控制网络延时
在设计网络以减少延时时,需要考虑网络上每一台设备所引起的延时。
使用更高层的设备也可能增加网络延时。
当第3层设备(例如路由器)需要检查帧中包含的第3层寻址信息时,它必须比第2层设备更深入地读取帧,这将造成处理时间更长。
.
适当使用第3层设备有助于防止大型广播域中的广播流量争用资源或者大型冲突域中的高冲突率。
消除瓶颈
网络中的瓶颈是高网络拥塞导致性能下降的位置。
4200912157、8
2.2使用交换机转发帧
掌握交换机转发帧的原理
交换机转发帧的原理
1.MAC地址是什么?
2.LAN设计考虑因素?
2.2.1交换机转发方法
交换机使用下面的两种转发方法之一来进行网络端口间的数据交换:
存储转发交换或直通交换。
2.2.2对称交换和非对称交换
根据带宽分配给交换机端口的方式,LAN交换机可分为对称或非对称两类。
2.2.3内存缓冲
以太网交换机在转发帧之前,可以使用缓冲技术存储帧。
当目的端口由于拥塞而繁忙时,也可以使用缓冲,交换机将一直存储帧,直到
可以传送该帧。
将内存用于存储数据的功能称为内存缓冲
2.2.4第2层交换和第3层交换
第2层LAN交换机只根据OSI数据链路层(第2层)MAC地址执行交换和过滤。
第2层交换机对网络协议和用户应用程序完全透明。
第3层交换机不仅使用第2层MAC地址信息来作出转发决策,而且还可以使用IP地址信息。
第3层交换机还能够执行第3层路由功能,从而省去了LAN上对专用路由器的需要。
第3层交换机
第3层交换机通过检查以太网数据包中的第3层信息来作出转发决策。
第3层交换机可以像专用路由器一样在不同的LAN网段之间路由数据包。
路由器
建立与远程网络和设备的远程访问连接。
专用路由器在支持WAN接口卡(WIC)方面更加灵活,这使得它成为用于连接WAN的首选设备,而且有时是唯一的选择。
第3层交换机不能完全取代网络中的路由器。
路由器不仅可以执行第3层交换机无法完成的其它第3层服务,还能够执行第3层交换机所无法实现的一些数据包转发任务,例如建立与远程网络和设备的远程访问连接。
5200912185、6
2.3交换机管理配置
掌握交换机管理配置的方法
交换机管理配置的方法
1.交换机的转发方法?
2.第2层交换和第3从交换的差别?
2.3.1切换命令行界面模式
作为一项安全功能,CiscoIOS软件将EXEC(执行)会话分成以下访问级别
用户执行:
只允许用户访问有限量的基本监视命令。
用户执行模式是在从CLI登录到Cisco交换机后所进入的默认模式。
用户执行模式由>
提示符标识。
特权执行:
允许用户访问所有设备命令,如用于配置和管理的命令,特权执行模式可采用口令加以保护,使得只有获得授权的用户才能访问设备。
特权执行模式由#提示符标识。
CiscoIOS软件的命令模式结构采用分层的命令结构。
每一种命令模式支持与设备中某一类型的操作关联的特定CiscoIOS命令。
2.3.2使用帮助
CiscoIOSCLI提供了两种类型的帮助:
-词语帮助
-命令语法帮助
控制台错误消息
-当输入了不正确的命令时,控制台错误消息有助于确定问题。
2.3.3访问命令历史记录
CiscoCLI提供已输入命令的历史记录。
对于命令历史记录功能,可以完成以下任务:
-显示命令缓冲区的内容。
-设置命令历史记录缓冲区大小。
-重新调用存储在历史记录缓冲区中的先前输入的命令。
每一种配置模式都有相应的缓冲区。
2.3.4交换机启动顺序
启动加载器是存储在NVRAM中的小程序,并且在交换机第一次开启时运行。
2.3.5准备配置交换机
Catalyst交换机的初始启动需要完成以下步骤:
-步骤1:
PC或终端已连接到控制台端口。
-步骤2:
终端仿真器应用程序(如HyperTerminal)正在运行且配置正确。
-步骤3:
在控制台上查看启动过程
2.3.6基本交换机配置
管理接口注意事项
-要使用TCP/IP来远程管理交换机,就需要为交换机分配IP地址。
配置管理接口
-要在交换机的管理VLAN上配置IP地址和子网掩码,您必须处在VLAN接口配置模式下。
配置默认网关
-需要将交换机配置为可将IP数据包转发到远程网络。
验证配置
-显示了VLAN99已经配置了IP地址和子网掩码,并且快速以太网端口F0/18已经分配了VLAN99管理接口。
配置双工和速度
-使用duplex接口配置命令来指定交换机端口的双工操作模式。
可以手动设置交换机端口的双工模式和速度,以避免厂商间的自动协商问题。
配置Web接口
-现代Cisco交换机有很多基于Web的配置工具,这些工具需要交换机配置为HTTP服务器。
管理MAC地址表
-交换机使用MAC地址表来确定如何在端口间转发流量。
这些MAC表包含动态地址和静态地址。
2.3.7验证交换机配置
使用Show命令
-showrunning-config命令显示交换机上当前正在运行的配置。
使用此命令可
验证是否正确配置了交换机。
-showinterfaces命令显示交换机网络接口的状态信息和统计信息。
在配置和监视网络设备时,经常会用到showinterfaces命令。
2.3.8基本交换机管理
备份配置
-图中显示了三个将配置备份到闪存的示例。
恢复配置
用已存配置覆盖当前配置。
当配置恢复到startup-config中后,可在特权执行模式下使用reload命令重新启动交换机,以使其重新加载新的启动配置。
将配置文件备份到TFTP服务器
可以使用TFTP通过网络备份配置文件。
当配置成功存储在TFTP服务器上之后,可以使用以下步骤将配置复制回交换机上:
#copytftp:
[[[//location]/directory]/filename]system:
running-config
清除配置信息
要清除启动配置的内容,请使用erasenvram:
或erasestartup-config特权执
行命令。
要从闪存中删除文件,请使用deleteflash:
filename特权执行命令。
6200912187、8
2.4配置交换机安全性
掌握安全配置交换机的思想
安全配置交换机的思想
1.如何在用户执行和特权执行间变更?
2.如何查看MAC地址列表?
2.4.1配置口令选项
保护控制台
-要防止控制台端口console受到XX的访问
保护vty端口
-Cisco交换机的vty端口用于远程访问设备。
配置执行模式口令
-enablepassword命令存在的一个问题是,它将口令以可阅读文本的形式存储在startup-config和running-config中。
-在全局配置模式提示符下输入enablesecret命令以及所要的口令,这样即可指定加密形式的enable口令。
如果配置了enablesecret口令,则交换机将使用enablesecret口令,而不使用enablepassword口令。
配置加密口令
-人们普遍认同口令应该加密,并且不能以明文格式存储。
-当从全局配置模式下输入servicepassword-encryption命令后,所有系统口令都将以加密形式存储。
enable口令恢复
-万一遗失或遗忘了访问口令,Cisco提供了口令恢复机制以便于管理员仍能访问其Cisco设备。
口令恢复过程需要实际接触设备。
并不能实际恢复Cisco设备上的口令,尤其是在已启用口令加密的情况下,但是可以将口令重设为新值。
系统在初始化闪存文件系统之前已中断。
以下命令将初始化闪存文件系统,并完成操作系统软件的加载:
flash_init
load_helper
boot
2.4.2登录标语
配置登录标语
CiscoIOS命令集中包含一项功能,用于配置登录到交换机的任何人看到的消息。
这些消息称为登录标语和当日消息(MOTD)标语。
所有连接的终端在登录时都会显示MOTD标语。
在需要向所有网络用户发送消息时(例如系统即将停机),MOTD标语尤其有用。
2.4.3配置Telnet和SSH
远程访问Cisco交换机上的vty有两种选择。
2.4.4常见安全攻击
MAC地址泛洪
主机A向主机B发送流量。
交换机收到帧,并在其MAC地址表中查找目的MAC地址。
如果交换机在MAC地址表中无法找到目的MAC,则交换机将复制帧并将其从每一个交换机端口广播出去。
主机B收到帧并向主机A发送响应。
交换机随后获知主机B的MAC地址位于端口2,并将该信息写入MAC地址表。
主机C也收到从主机A发到主机B的帧,但是因为该帧的目的MAC地址为主机B,因此主机C丢弃该帧。
由主机A(或任何其它主机)发送给主机B的任何帧都转发到交换机的端口2,而不是从每一个端口广播出去。
攻击者使用交换机的正常操作特性来阻止交换机正常工作。
只要网络攻击工具一直运行,交换机的MAC地址表就会始终保持充满。
当
发生这种情况时,交换机开始将所有收到的帧从每一个端口广播出去,这样一来,从主机A发送到主机B的帧也会从交换机上的端口3向外广播。
欺骗攻击
攻击者窃取网络流量的一种办法是伪装有效DHCP服务器发出的响应。
要防止DHCP攻击,请使用CiscoCatalyst交换机上的DHCP侦听和端口安全性功能。
CDP攻击
默认情况下,大多数Cisco路由器和交换机都启用了CDP。
建议如果设备不需要使用CDP,则在设备上禁用CDP。
telnet攻击的类型:
暴力密码攻击
Dos攻击
抵御暴力密码攻击:
-经常更改密码
-使用强密码
-限制可通过vty线路进行通信的人员
更新为最新版本的CiscoIOS软件
2.4.5安全工具
网络安全工具执行以下功能:
-网络安全审计帮助您
揭示攻击者只需监视网络流量就能收集到哪种信息
确定要去除的虚假MAC地址的理想数量
确定MAC地址表的老化周期
-网络渗透测试帮助您:
找出网络设备配置中的弱点
发起多种攻击以测试网络
小心:
应仔细计划渗透测试,以避免影响网络性能
现代网络安全工具的常见功能包括:
●服务识别
●支持SSL服务
●非破坏性测试和破坏性测试
●漏洞数据库
使用网络安全工具可以:
●捕获聊天消息
●从NFS流量中捕获文件
●捕获通用日志格式的HTTP请求
●捕获Berkeleymbox格式的邮件消息
●捕获密码
●显示在Netscape中实时捕获的URL
●用随机MAC地址泛洪攻击交换LAN
●仿造对DNS地址查询和指针查询的响应
●截获交换LAN上的数据包
2.4.6配置端口安全性
在所有交换机端口上实施安全措施,以:
-在端口上指定一组允许的有效MAC地址
-只允许一个MAC地址访问端口
-指定端口在检测到XX的MAC地址时自动关闭
安全MAC地址有以下类型:
-静态安全MAC地址
-动态安全MAC地址
-粘滞安全MAC地址
粘滞安全MAC地址有以下特性:
-动态学习,转换为存储在运行配置中的粘滞安全MAC地址。
-禁用粘滞学习将从运行配置中移除MAC地址,但是不会从MAC表中移除。
-当交换机重新启动时,粘滞安全MAC地址将会丢失。
-将粘滞安全MAC地址保存在启动配置中可使交换机在重新启动时仍然保留这些地址。
-禁用粘滞学习将把粘滞MAC地址转换为动态安全地址,并将这些地址从运行配置中移除。
7200912215、6
第3章虚拟局域网
3.1VLAN简介
掌握基本的VLAN知识
基本的VLAN知识
1.如何配置执行口令加密?
2.常见的攻击有哪些?
3.1VLAN简介
3.1.1VLAN简介
VLAN概述
-虚拟局域网(VLAN)
-让网络管理员建立多组逻辑上联网的设备
VLAN优点
-安全
-成本降低
-性能提高
-广播风暴防范
-提高IT员工的效率
-简化项目管理或应用管理
VLAN特性
3.1.2VLAN的类型
常见的VLAN术语
数据VLAN
默认VLAN
本征VLAN
管理VLAN
语音VLAN
因此VoIP流量要求:
足够的带宽来保证语音质量
高于其它网络流量类型的传输优先级
能够在融合网络中得到路由
在网络上的延时小于150毫秒(ms)
一个VLAN具备一个LAN的所有特征,因此VLAN必须像LAN一样处理网络流量
网络传输类型
-网络管理和传输控制.
网络流量类型
-IP电话
-IP组播
-普通数据
3.1.3交换机端口成员资格模式
VLAN交换机端口模式
-静态VLAN-交换机上的端口以手动方式分配给VLAN
-动态VLAN-使用VMPS可以根据连接到交换机端口的设备的源MAC地址,动态地将端口分配给VLAN
-语音VLAN-将端口配置到语音模式可以使端口支持连接到该端口的IP电话
3.1.4通过VLAN控制广播域
划分了VLAN的网络广播
为交换机配置VLAN后,特定VLAN中的主机所发出的单播流量、组播流量和广播流量,其传输均仅限于该VLAN中的设备.
细分广播域可以通过VLAN(在交换机上)也可以通过路由器完成。
无论是否使用VLAN,位于不同第3层网络的设备都必须通过路由器才能通信
VLAN内通信:
通过交换机和路由器控制广播域
VLAN间通信
通过VLAN和第3层转发来控制广播域
-换机虚拟接口(SVI)技术允许第3层交换机在VLAN之间路由数据传输
8200912217、8
3.2VLAN中继
掌握VLAN中继的特征
VLAN中继的特征
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Exploration3LAN交换和无线 Exploration3LAN交换和无线 教案网G081 Exploration3LAN 交换 无线 教案 G081