资源预览内容
第1页 / 共272页
第2页 / 共272页
第3页 / 共272页
第4页 / 共272页
第5页 / 共272页
第6页 / 共272页
第7页 / 共272页
第8页 / 共272页
第9页 / 共272页
第10页 / 共272页
亲,该文档总共272页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
第9章 IP地址的管理 本章要点:IPIP地址冲突的管理地址冲突的管理不同网段间的互访不同网段间的互访InternetInternet连接共享与服务器发布连接共享与服务器发布9.1 IP地址的选择与分配 可以通过硬件(可以通过硬件(MACMAC)和软件()和软件(IPIP)两种方式识别)两种方式识别一台计算机。其中一台计算机。其中MACMAC地址是厂商烧录在网络设地址是厂商烧录在网络设备上的、世界惟一的备上的、世界惟一的IDID号;号;IPIP地址是人为的为每地址是人为的为每一台计算机指定的世界唯一的身份标志一台计算机指定的世界唯一的身份标志。9.1.1 合法IP地址与保留IP地址1. IP1. IP地址分类地址分类A A类类B B类类C C类类D D类类E E类类2. 2. 私有私有IPIP地址地址IP地址二进制和点分十进制示例私人IP地址空间9.1.2 IP地址信息1. IP1. IP地址地址2. 2. 子网掩码子网掩码变长子网掩码变长子网掩码3. 3. 默认网关默认网关4. DNS4. DNS子网掩码默认子网掩码表子网掩码运算子网掩码中为子网掩码中为1 1的部分定位网络号,为零的部分定位主的部分定位网络号,为零的部分定位主机号。因此,当机号。因此,当IPIP地址与子网掩码二者相与(地址与子网掩码二者相与(andand)时,)时,非零部分即为网络号,为零部分即为主机号。非零部分即为网络号,为零部分即为主机号。子网掩码运算例如,例如,IPIP地址为地址为192.168.1.1192.168.1.1,子网掩为,子网掩为255.255.255.0255.255.255.0时,网络号为时,网络号为192.168.1192.168.1。 转化为二进制进行运算:转化为二进制进行运算:转化为十进制后为192.168.1.0,所以,网络号为192.168.1。子网掩码运算再如,再如,IPIP地址为地址为192.168.1.1192.168.1.1,子网掩为,子网掩为255.255.0.0255.255.0.0时,网络号为时,网络号为192.168192.168。 转化为二进制进行运算:转化为二进制进行运算:转化为十进制后为192.168.0.0,所以,网络号为192.168。变长子网掩码由变长掩码产生的子网IP地址示例9.1.3 IP地址的分配1. 1. 自动分配自动分配IPIP地址地址2. 2. 手工设置手工设置IPIP地址地址3. 3. 自动专用自动专用IPIP寻址寻址自动分配IP地址DHCP服务器为其客户端提供IP地址、子网掩码和默认网关等各种配置。网络中的计算机可以通过DHCP服务器自动获取IP地址信息。DHCP服务器维护着一个容纳有许多IP地址的地址池,并根据计算机的请求而出租。手工设置IP地址手工设置IP地址也是经常使用的一种分配方式,即需要设定IP地址、子网掩码、默认网关和DNS服务器等信息,不仅工作量大,而且还会由于击键失误而经常出错。自动分配IP地址DHCP服务器为其客户端提供IP地址、子网掩码和默认网关等各种配置。网络中的计算机可以通过DHCP服务器自动获取IP地址信息。DHCP服务器维护着一个容纳有许多IP地址的地址池,并根据计算机的请求而出租。9.2 IP地址的冲突管理IP地址是计算机网络中的主要寻址方式,已经被各种操作系统广泛采用。因此,IP地址就成为网络管理中一个非常重要的方面。其中,IP地址冲突和盗用成了困扰网络运行的突出问题。9.2.1 IP地址冲突与盗用概述1. IP1. IP地址冲突与地址冲突与IPIP地址盗用地址盗用2. IP2. IP地址盗用的方式地址盗用的方式静态修改静态修改IPIP地址地址成对修改成对修改IP-MACIP-MAC地址地址动态修改动态修改IPIP地址地址IP地址冲突Windows 2000发生IP地址冲突IP地址冲突Windows 98发生IP地址冲突9.2.2 IP地址盗用解决方案在网络管理中,IP地址盗用现象经常发生,不仅对网络的正常使用造成影响,同时由于被盗用的地址往往具有较高的权限,因而也对用户造成了大量的经济上的损失和潜在的安全隐患。9.2.2 IP地址盗用解决方案1. 1. 动态分配动态分配IPIP地址地址2. MAC2. MAC地址绑定地址绑定直接获取直接获取远程获取远程获取路由获取路由获取软件获取软件获取3. 3. 划分划分VLANVLAN4. 4. 端口绑定端口绑定5. IEEE 802.1X5. IEEE 802.1X协议协议6. 6. 用户认证用户认证7. 7. 防火墙与代理服务器防火墙与代理服务器8. 8. 组策略组策略9. 9. 责任追究制度责任追究制度MAC地址绑定获取本机IP地址MAC地址绑定远程获取IP地址MAC地址绑定路由获取IP地址MAC地址绑定软件获取IP地址NetToolsMAC地址绑定软件获取IP地址NetView9.2.2 IP地址盗用解决方案3. 3. 划分划分VLANVLAN4. 4. 端口绑定端口绑定5. IEEE 802.1X5. IEEE 802.1X协议协议6. 6. 用户认证用户认证7. 7. 防火墙与代理服务器防火墙与代理服务器8. 8. 组策略组策略9. 9. 责任追究制度责任追究制度9.2.3 IP地址冲突后的恢复1. Windows 98/Me1. Windows 98/Me的的IPIP地址恢复地址恢复2. Windows 2000/2003/XP2. Windows 2000/2003/XP的的IPIP地址恢复地址恢复Windows 98/Me的IP地址恢复Windows 98/Me的IP地址恢复“ “运行运行” ”对话框对话框“ “IPIP配置配置” ”对话框对话框Windows 2000/2003/XP的IP地址恢复“运行”对话框9.3 不同网段间的互访网络分段是保证网络安全、提高网络传输效率的重要措施,但是如果操作不当很容易引起网络故障,从而影响网络传输效率。而借助于虚拟网(VLAN)对企业网络进行分段,可以将广播域分割开来,从而减少每个子网络内的广播包数量,达到提高网络传输效率的目的。9.3.1 多网段的划分1. IP1. IP地址段的选择地址段的选择2. 2. 变长子网掩码的计算变长子网掩码的计算利用子网数来计算利用子网数来计算利用主机数来计算利用主机数来计算利用子网数来计算子网掩码例如,将C类IP地址192.168.1.0划分成8个子网:第1步,8 = 1000第2步,该二进制为4位数,N = 4第3步,将C类地址“255.255.255.0”的原主机地址 “11111111.11111111.11111111. 00000000”的前4位全 部置为1,得到“11111111.11111111.11111111.11110000”,转换为十进制数,即为“255.255.255.240”。也就是说,将C类地址192.168.1.0划分成8个子网时,其子网掩码为“255.255.255.240”。利用主机数来计算子网掩码例如,将C类IP地址192.168.1.0划分成若干子网,每个子网内有主机60台。第1步,60 = 111100第2步,该二进制为6位数,N =6第3步,将该C类地址的子网掩码“255.255.255.0”的主机地址全部置1,得到“11111111.11111111.11111111.11111111”。然后,再将原主机部分的后6位全部置为0,即“11111111.11111111.11111111.11000000”,十进制为“255.255.255.192”。也就是说,容纳60台计算机的C类地址的子网掩码为“255.255.255.192”。9.3.2 不同网段间的互访1. 1. 第三层交换机第三层交换机2. 2. 路由器路由器3. 3. 软件路由器软件路由器LANLAN路由的安装路由的安装LANLAN路由的管理路由的管理第三层交换机利用三层交换机实现互连路由器利用路由器实现互联9.3.2 不同网段间的互访3. 3. 软件路由器软件路由器LANLAN路由的安装路由的安装LANLAN路由的管理路由的管理软件路由器利用软件路由实现互连LAN路由的安装“ “管理您的服务器管理您的服务器” ”窗口窗口“ “配置您的服务器向配置您的服务器向导导” ”之一之一LAN路由的安装“ “配置您的服务器向配置您的服务器向导导” ”之二之二“ “配置您的服务器向配置您的服务器向导导” ”之三之三LAN路由的安装“ “配置您的服务器向配置您的服务器向导导” ”之四之四“ “路由和远程访问服路由和远程访问服务器安装向导务器安装向导” ”之一之一LAN路由的安装“ “路由和远程访问服路由和远程访问服务器安装向导务器安装向导” ”之二之二“ “路由和远程访问服路由和远程访问服务器安装向导务器安装向导” ”之三之三LAN路由的安装“ “路由和远程访问服路由和远程访问服务器安装向导务器安装向导” ”之四之四“ “配置您的服务器向配置您的服务器向导导” ”对话框对话框LAN路由的安装“管理您的服务器”窗口LAN路由的管理“ “路由和远程访问路由和远程访问” ”窗口窗口“ “管理您的服务器管理您的服务器” ”窗口窗口9.4 单一合法IP地址的使用由于IP地址资源已经非常紧缺,所以,许多中小企业网络都只能从ISP那里获得一个IP地址。如何利用好这个仅有的IP地址就成了网络管理中的重要工作。9.4.1 单一IP地址应用方案1. 1. 路由器方案路由器方案2. 2. 代理服务器方案代理服务器方案路由器的连接代理服务器的连接9.4.2 搭建代理服务器1. Syate1. Syate的安装与设置的安装与设置安装服务器安装服务器客户端安装客户端安装设置设置SyGateSyGate2. Internet2. Internet访问限制访问限制访问规则访问规则黑白名单黑白名单3. 3. 发布发布InternetInternet服务器服务器4. 4. 客户端的设置客户端的设置安装服务器“ “安装模式安装模式” ”对话框对话框“ “SyGate Network SyGate Network diagnostics”diagnostics”对话框对话框安装服务器“ “Sygate Message”Sygate Message”对对话框话框“ “Configuration”Configuration”对对话框话框安装服务器“ “Installation”Installation”对对话框话框“ “InstallShied InstallShied Wizard Complete”Wizard Complete”对话对话框框安装服务器“ “SygateSygate- -Unregistered”Unregistered”对话框对话框“ “SyGate Manager”SyGate Manager”窗窗口口客户端安装安装为客户端安装为客户端启用启用DHCPDHCP设置设置客户端安装诊断完成诊断完成客户端安装SyGate工作站默认TCP/IP参数设置SyGate完整的“SyGate Manager”窗口设置SyGate“Configuration”对话框9.4.2 搭建代理服务器2. Internet访问限制访问规则访问规则黑白名单黑白名单访问规则“ “Access Rules Access Rules Editor”Editor”对话框对话框 “ “Add new rule”Add new rule”对话对话框框 访问规则设置添加的访问规则黑白名单“ “Verify Password”Verify Password”对对话框话框“ “Permissions Editor”Permissions Editor”对话框对话框 黑白名单“Add BWList Item”对话框9.4.2 搭建代理服务器3. 3. 发布发布InternetInternet服务器服务器4. 4. 客户端的设置客户端的设置发布Internet服务器“Add new rule”对话框发布Internet服务器设置添加的访问规则第10章 交换机与路由器的管理 本章要点: 网络设备的配置方式与连接网络设备的配置方式与连接 CLICLI命令命令 配置文件的备份与恢复配置文件的备份与恢复 映像文件的备份与恢复映像文件的备份与恢复10.1 配置端口与配置模式交换机和路由器都拥有专门的配置端口,用于实现与计算机的直接连接。当交换机和路由器初始化配置完成后,就可以通过网络中的任何计算机进行远程管理了。10.1.1 配置端口与连接1. 1. 外部配置源外部配置源控制台控制台虚拟终端(虚拟终端(TelnetTelnet)网管工作站网管工作站TFTPTFTP服务器服务器2. 2. 通过通过ConsoleConsole端口直接连接端口直接连接ConsoleConsole端口端口ConsoleConsole线线设备连接设备连接计算机与交换机通信计算机与交换机通信3. 3. 通过集线设备间接连接通过集线设备间接连接设备连接设备连接TelnetTelnetWebWeb界面界面超级终端超级终端外部配置源10.1.1 配置端口与连接2. 2. 通过通过ConsoleConsole端口直接连接端口直接连接ConsoleConsole端口端口ConsoleConsole线线设备连接设备连接计算机与交换机通信计算机与交换机通信Consol端口位于后面板的Console端口Consol线串行串行ConsoleConsole线线RJ-45-to-DB-9RJ-45-to-DB-9适配器适配器设备连接计算机与交换机通信“ “连接描述连接描述” ”对话框对话框“ “连接到连接到” ”对话框对话框计算机与交换机通信串口“属性”对话框计算机与交换机通信“超级终端”窗口10.1.1 配置端口与连接3. 3. 通过集线设备间接连接通过集线设备间接连接设备连接设备连接TelnetTelnetWebWeb界面界面超级终端超级终端设备连接Telnet“ “运行运行” ” 对话框对话框Catalyst 4006Catalyst 4006交换机交换机管理界面管理界面Web界面“ “输入网络密码输入网络密码” ”对对话框话框Cisco Catalyst 4006 Cisco Catalyst 4006 WebWeb管理界面管理界面超级终端“ “连接到连接到” ”对话框对话框“ “超级终端超级终端” ”窗口窗口10.1.2 CLI1. CLI1. CLI方式的使用方式的使用2. CLI2. CLI命令模式命令模式3. 3. 使用帮助使用帮助4. 4. 命令的简略方式命令的简略方式5. 5. 指定端口、指定端口、VLANVLAN、MACMAC和和IPIP指定端口指定端口指定指定VLANVLAN指定指定MACMAC地址地址指定指定IPIP地址地址6. 6. 使用使用nono命令命令7. 7. 理解命令行出错信理解命令行出错信息息8. 8. 命令行约定命令行约定命令描述中的约定命令描述中的约定示例中的约定示例中的约定CLI命令模式CLI用户界面CLI命令模式CLI命令模式摘要CLI命令模式命令模式的进入流程CLI命令模式命令模式的退出流程图CLI命令模式命令模式的进入和退出过程10.1.2 CLI3. 3. 使用帮助使用帮助4. 4. 命令的简略方式命令的简略方式使用帮助输入“?”使用帮助输入“show ?”使用帮助输入“show c?”命令的简略方式10.1.2 CLI5. 5. 指定端口、指定端口、VLANVLAN、MACMAC和和IPIP指定端口指定端口指定指定VLANVLAN指定指定MACMAC地址地址指定指定IPIP地址地址6. 6. 使用使用nono命令命令7. 7. 理解命令行出错信理解命令行出错信息息8. 8. 命令行约定命令行约定命令描述中的约定命令描述中的约定示例中的约定示例中的约定指定端口模块号模块号端口号端口号使用no命令理解命令行出错信息出错信息10.2 交换机和路由器的维护交换机和路由器的配置和映像文件也需要进行备份,以便在系统崩溃或还原配置时进行恢复。当然,恢复映像文件的操作也可被用于实现交换机和路由器IOS的版本升级。10.2.1 维护前的准备1. ROM1. ROM、FlashFlash与与NVRAMNVRAMROMROMFlashFlashNVRAMNVRAMRAMRAM2. Copy2. Copy命令命令3. TFTP3. TFTP服务器服务器Copy命令Copy命令格式及其使用TFTP服务器Cisco TFTP界面10.2.2 配置文件的备份与恢复1. 1. 将配置文件备份至将配置文件备份至TFTPTFTP准备工作准备工作将配置文件上传至将配置文件上传至TFTPTFTP2. 2. 从从TFTPTFTP恢复配置文件恢复配置文件准备工作准备工作从从TFTPTFTP服务器下载配置文件服务器下载配置文件10.2.3 映像文件的备份与恢复1. 1. 备份系统软件映像备份系统软件映像准备工作准备工作使用使用TFTPTFTP服务器上传软件映像服务器上传软件映像2. 2. 恢复或升级系统软件映像恢复或升级系统软件映像准备工作准备工作使用使用TFTPTFTP下载超级引擎映像下载超级引擎映像10.3 密码丢失的恢复10.3.1 密码的类型Cisco的口令有两种,即“secret password”和“password”,其中,前者被加密存储,安全性较强,后者则未被加密,安全性较差,因此推荐使用前者。10.3.2 密码丢失后的恢复1. 1. 路由器和三层交换机路由器和三层交换机2. 2. 二层交换机二层交换机第11章 二层交换机的配置本章要点: 交换机的基本配置与管理交换机的基本配置与管理 配置配置EtherChannelEtherChannel 配置配置STPSTP 配置配置VLANVLAN和和TrunkTrunk 配置配置VTPVTP 配置基于端口的传输控制配置基于端口的传输控制11.1 交换机的基本配置新购置的交换机是无法实现远程管理的,必需借助Console端口进行初始化。只有为交换机配置了访问密码和IP地址信息之后,才可以使用Telnet或超级终端进行管理。11.1.1 管理交换机为交换机设定有效的IP地址、名称、管理员登录密码等初始化信息。11.1.2 配置端口1. 1. 端口基本配置端口基本配置2. 2. 配置流控制配置流控制3. 3. 配置端口组配置端口组指定端口范围指定端口范围定义端口组宏定义端口组宏4. 4. 检查模块或端口状态检查模块或端口状态5. 5. 关闭并重启接口关闭并重启接口11.2 配置EtherChannel通过配置EtherChannel可以成倍增加网络带宽,消除交换机之间由于级联而产生的网络瓶颈,更能满足交换机之间以及交换机与服务器之间大量的数据交换。11.2.1 理解EtherChannel、PAgP和LACPEtherChannelEtherChannel技术是Cisco开发的,应用于交换机之间、交换机和路由器之间以及交换机和服务器之间的多链路技术(符合标准IEEE 802.p)。PAgP使用端口聚合协议(Port Aggregation Protocol),可以很容易地在有EtherChannel能力的端口间,自动建立Fast EtherChannel和Gigabit EtherChannel连接,进行信息的交流。该协议具有学习相邻端口组动态和信息的能力,它是EtherChannel的增强版,支持EtherChannel的各种功能LACP链路汇聚控制协议(Link Aggregation Control Protocol)让用户可以利用符合IEEE 802.3ad的设备创建以太网通道。这种功能类似于思科EtherChannel技术和PAgP。11.2.2 配置EtherChannel“channel-group-number”用于指定欲创建的EtherChannel号,可取值范围为16,每个EtherChannel最多可以容纳8个适合的以太网接口。11.2.3 配置EtherChannel负载均衡dst-mac表示基于进入包的目的主机的MAC地址进行负载分配。-mac表示基于进入包的源MAC地址进行负载分配。Switch(config)# port-channel load-balance dst-mac | -mac 11.2.4 移除端口和EtherChannel1. 1. 从从EtherChannelEtherChannel中移除接口中移除接口2. 2. 移除移除EtherChannelEtherChannel11.3 配置STP扩展树(Spanning Tree Protocol,STP),也称生成树,它的产生源于链路的冗余连接。在大中型网络中,与主干网和服务器的连接是非常重要的,必需采用冗余链接。冗余的链接增加了系统的安全性,但同时也带来了另外一个问题拓扑环。11.3.1 理解Spanning-Tree1. 1. 网络连接生成过程网络连接生成过程确定根网桥确定根网桥确定指定网桥确定指定网桥故障监测与连接的更新故障监测与连接的更新2. STP2. STP接口状态接口状态STP端口状态Blocking(阻塞):不参与帧的转发。Listening(侦听):当确定该接口将参与帧转发时,在阻塞状态后的第一个过渡状态。Learning(学习):准备参与帧转发。Forwarding(转发):转发帧。Disabled(禁用):端口处于“Shutdown”状态,没有连接,或者没有启用Spanning-Tree,从而不参与Spanning-Tree。STP端口状态默认STP配置11.3.2 配置Spanning-Tree1. 1. 禁用禁用Spanning-TreeSpanning-Tree2. 2. 将交换机配置为根交换机将交换机配置为根交换机3. 3. 配置端口优先值配置端口优先值4. 4. 配置路径费用配置路径费用5. 5. 配置配置Spanning-Tree Port FastSpanning-Tree Port Fast11.4 配置VLAN当广播包的数量占到通信总量的30%时,网络的传输效率将会明显下降。因此当网络规模达到一定程度时就可以采用划分VLAN的方式,将整个网络划分为若干个小的网络,减小广播域。11.4.1 理解VLAN1. VLAN1. VLAN的划分的划分2. VLAN2. VLAN的意义的意义VLAN的划分VLAN的意义第一,降低移动和变更的管理成本。第一,降低移动和变更的管理成本。第二,控制广播。第二,控制广播。第三,增强安全性。第三,增强安全性。第四,网络监督和管理的自动化。第四,网络监督和管理的自动化。11.4.2 配置VLAN1. 1. 创建创建VLANVLAN2. 2. 将端口指定至将端口指定至VLANVLAN3. 3. 清除接口配置清除接口配置4. 4. 删除删除VLANVLAN创建VLAN创建VLAN共需要两个步骤,先是创建VLAN,然后再将相关接口指定至该VLAN。删除VLAN注意:删除VLAN后,所有指定至VLAN的端口将不再可用,直到将其指定至新VLAN时为止。11.4.3 配置VLAN Trunk1. 1. 配置配置TrunkTrunk端口端口2. 2. 定义定义TrunkTrunk允许的允许的VLANVLAN3. 3. 配置本地配置本地VLANVLAN的非标签传输的非标签传输11.5 基于端口的传输控制当交换机的某个端口述据流量过大时,就容易发生广播风暴,从而导致网络相应速度变慢或者暂时中断。11.5.1 广播风暴控制1. 1. 启用广播风暴控制启用广播风暴控制2. 2. 禁用广播风暴控制禁用广播风暴控制11.5.2 配置保护端口保护端口可以确保同一交换机上的端口之间不进行通信。保护端口不向其他保护端口转发任何传输,包括单播、多播和广播包。传输不能在第二层保护端口间进行,所有保护端口间的传输都必须通过第三层设备转发。保护端口与非保护端口间的传输不受任何影响。11.5.3 配置端口安全若欲禁用安全端口,可以使用“no switchport prot-security”接口配置命令。若欲恢复默认的最大安全MAC地址,使用“no switchport port-security maximum value”接口配置命令。11.6 习 题1. 1. 简述简述EhterChannelEhterChannel的特点及应用。的特点及应用。2. 2. 简述简述STPSTP的意义。的意义。3. 3. 简述简述VLANVLAN的意义。的意义。简答题操作题1. 1. 为交换机配置管理为交换机配置管理IPIP地址。地址。2. 2. 在两台在两台Cisco Catalyst 2950Cisco Catalyst 2950交换机之间配交换机之间配置置Fast EtherChannelFast EtherChannel,并实现负载均衡。,并实现负载均衡。3. 3. 在企业网络启用在企业网络启用STPSTP,并根据设备性能设置,并根据设备性能设置最优化的拓扑结构。最优化的拓扑结构。4. 4. 在两台交换机上分配配置在两台交换机上分配配置2 2个个VLANVLAN,并借助,并借助TrunkTrunk实现不同交换机上同一实现不同交换机上同一VLANVLAN间的通信。间的通信。5. 5. 在一个千兆端口启用广播风暴控制。在一个千兆端口启用广播风暴控制。第12章 三层交换机的配置本章要点: PVLANPVLAN的配置的配置 设置设置IPIP访问列表访问列表 设置端口访问列表设置端口访问列表 设置设置VLANVLAN访问列表访问列表12.1 配置IP路由VLAN之间是无法直接通讯的,VLAN之间的通讯必须借助于第三层交换机。VLAN之间的通讯必须借助于三层接口才能实现。因此,VLAN创建完成后,必须配置三层VLAN端口,才能使VLAN之间的通讯成为可能。12.1.1 为第三层接口配置IP地址1. 1. 配置逻辑三层接口配置逻辑三层接口2. 2. 配置物理三层接口配置物理三层接口12.1.2 设置默认网关当没有配置路由协议时,交换机使用默认网关实现与其他网络的通讯。需要注意的是,默认网关必须是直接与交换机相连接的路由器端口的IP地址,即路由器的LAN端口的IP地址。12.1.3 设置静态路由如果Telnet终端或SNMP网络管理站点与交换机位于不同的网络,并且没有配置路由协议,那么,将需要添加静态路由表以实现与彼此之间的通信。12.2 配置三层EtherChannel1. 1. 创建创建Port-ChannelPort-Channel逻辑接口逻辑接口2. 2. 将物理端口配置为三层将物理端口配置为三层EtherChannelEtherChannel12.2.1 配置三层EtherChannel12.2.2 设置EtherChannel TrunkEtherChannel Trunk12.3 私有VLAN私有VLAN(Private Virtual Local Area Network,PVLAN)端口之间相互隔离,不能实现相互之间的通信,仅可通过上联端口访问到企业网络。若用户希望端口之间通信,必须借助三层交换机或路由器进行路由转发。PVLAN在访问安全和避免广播风暴方面做的是非常到位的。12.3.1 了解PVLAN技术1. VLAN1. VLAN的局限性的局限性2. PVLAN2. PVLAN技术技术 PVLANPVLAN端口端口PVLANPVLAN域域VLAN的局限性VLANVLAN的限制的限制复杂的复杂的STPSTPIPIP地址的紧缺地址的紧缺 路由的限制路由的限制PVLAN技术PVLAN端口PVLAN端口有3种类型:Promiscuous、Isolated、Community。PVLAN域Primary VLAN与Secondary VLANPVLAN域Trunk实现PVLAN传输12.3.2 配置PVLAN1. 1. 配置配置PVLANPVLAN一般步骤一般步骤2. 2. 将将VLANVLAN配置为配置为PVLANPVLAN3. 3. 关联关联Primary VLANPrimary VLAN与与Secondary VLANSecondary VLAN4. 4. 配置配置PVLAN PromiscuousPVLAN Promiscuous端口端口5. 5. 配置配置PVLAN HostPVLAN Host端口端口6. 6. 配置配置PVLAN TrunkPVLAN Trunk端口端口7. 7. 将将Secondary VLANSecondary VLAN映射为映射为Primary VLANPrimary VLAN三层三层VLANVLAN接接口口12.4 访问控制列表访问控制列表(ACL,Access Control List)是Cisco IOS提供的一种访问控制技术,被广泛应用于路由器和三层交换机。借助ACL,可以有效地控制用户对网络和Internet的访问,从而最大限度地保障网络安全,并使得企业网络不被滥用。12.4.1 认识访问列表1. 1. 交换机支持的访问列交换机支持的访问列表表2. 2. 访问列表的类型访问列表的类型标准标准IPIP访问控制列表访问控制列表扩展扩展IPIP访问控制列表访问控制列表命名访问控制列表命名访问控制列表3. 3. 配置访问列表应当注配置访问列表应当注意的问题意的问题自上而下的处理过程自上而下的处理过程添加表项添加表项标准访问列表过滤标准访问列表过滤访问列表位置访问列表位置语句的位置语句的位置访问列表应用访问列表应用过滤方向过滤方向4. 4. 访问列表配置步骤访问列表配置步骤12.4.2 创建并应用IP访问列表1. 1. 创建标准访问列表创建标准访问列表2. 2. 创建扩展访问列表创建扩展访问列表3. 3. 创建创建IPIP访问列表名称访问列表名称4. 4. 基于时间的访问列表基于时间的访问列表5. 5. 将将IPIP访问列表应用到接口访问列表应用到接口12.4.2 创建并应用IP访问列表4. 4. 基于时间的访问列表基于时间的访问列表5. 5. 将将IPIP访问列表应用到接口访问列表应用到接口基于时间的访问列表periodicperiodic语句中可以使用的每星期天数中的参数语句中可以使用的每星期天数中的参数12.4.3 创建并应用端口访问列表1. 1. 创建端口扩展访问列表名称创建端口扩展访问列表名称2. 2. 将端口访问列表应用到二层接口将端口访问列表应用到二层接口12.4.4 创建并应用VLAN访问列表1. 1. 创建创建VLANVLAN访问列表访问列表2. 2. 将将VLANVLAN访问列表应用到访问列表应用到VLANVLAN12.5 习 题1. 1. 简述简述PVLANPVLAN的意义的意义2. 2. 简述访问列表的分类及其应用简述访问列表的分类及其应用简答题操作题1. 1. 在在Cisco Catalyst 4006Cisco Catalyst 4006和和Catalyst 3750Catalyst 3750交换机交换机之间创建之间创建EtherChannelEtherChannel,并将该,并将该EtherChannelEtherChannel设设置为置为TrunkTrunk。2. 2. 在在Cisco Catalyst 3550Cisco Catalyst 3550交换机的交换机的VLAN100VLAN100上创建上创建PVLANPVLAN,禁止端口之间的互访,并实现对,禁止端口之间的互访,并实现对InternetInternet的访问。的访问。3. 3. 在周一至周五的在周一至周五的9:0018:009:0018:00,只允许,只允许VLAN 10 VLAN 10 VLAN 100VLAN 100的网络用户访问的网络用户访问WebWeb网站、收发电子邮件,网站、收发电子邮件,其他用户不受任何限制。其他用户不受任何限制。第13章 路由器的配置本章要点: 路由器接口的配置路由器接口的配置 静态路由的配置静态路由的配置 端口复用地址转换端口复用地址转换 TCPTCP端口映射端口映射13.1 路由器的基本配置对于中小型企业网络而言,路由器并不是必需的设备,在将路由器添加至企业网络前,必须先对路由器进行一些最基本的配置,以启用最基本的路由功能,并实现远程管理。13.1.1 路由器初始配置1. 1. 对话配置模式对话配置模式2. 2. 命令行配置模式命令行配置模式13.1.2 配置主机名和密码当网络中存在有多台路由器时,那么,在第一次配置各路由器时,最好对每台路由器都进行命名,以便于与其他路由器区别开来。另外,设置加密口令(encrypted password),否则,路由器就会成为恶意攻击的对象。13.1.3 配置快速以太网接口为快速以太网接口指定IP地址和子网掩码。13.1.4 配置同步串行接口为串口指定IP地址和子网掩码。13.2 静态路由与网络互连企业网络通常只使用一个路由器,实现局域网与Internet或其他网络的互连,因此,链路拓扑相对简单,路由器的设置也不复杂。通常情况下,只需配置好端口,并添加相应的静态路由即可完成路由器的配置。13.2.1 配置静态路由通过配置静态路由,可以人为地指定对某一网络访问时所要经过的路径。在网络结构比较简单,并且到达某一网络只有惟一路径时,均采用静态路由。静态路由的效率最高,系统性能占用最少。命令:ip route prefix mask address | interface静态路由13.2.2 LAN方式接入Internet1. 1. 配置步骤配置步骤端口配置端口配置2. 2. 配置示例配置示例配置实例LAN方式接入Internet示例13.2.3 DDN接入Internet1. 1. 配置步骤配置步骤配置串行端口配置串行端口配置以太网接口配置以太网接口配置默认路由配置默认路由2. 2. 配置示例配置示例配置实例DDN接入Internet示例13.2.4 远程网络互连路由配置1. 1. 两个网络之间的互连两个网络之间的互连路由器路由器A A的配置文件的配置文件路由器路由器B B的配置文件的配置文件2. 42. 4个网络之间的互连个网络之间的互连路由器路由器A A的配置文件的配置文件路由器路由器B B的配置文件的配置文件两个网络之间的互连两个网络互连示例两个网络之间的互连两个网络互连的相关参数描述13.2.4 远程网络互连路由配置2. 42. 4个网络之间的互连个网络之间的互连路由器路由器A A的配置文件的配置文件路由器路由器B B的配置文件的配置文件4个网络之间的互连4个网络互连示例4个网络之间的互连4个网络互连的相关参数描述13.3 网络地址转换网络地址转换(Network Address Translation,NAT)被广泛应用于各种类型的Internet接入方式和各种类型的网络。NAT不仅解决了IP地址不足的问题,而且还能有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。13.3.1 理解 NAT1. NAT1. NAT简介简介2. NAT2. NAT实现方式实现方式3. 3. 网络地址转换的实现网络地址转换的实现NAT简介Cisco NAT支持的和不支持的应用网络地址转换的实现网络地址转换13.3.2 静态地址转换的实现静态地址转换是指将合法IP地址一一对应地转换为内部私有IP地址。如果企业网络获得多个合法IP地址,可以借助静态地址转换方式,将合法IP地址转换为内部服务器的IP地址,从而实现对企业网络和Internet对服务器的访问。13.3.3 动态地址转换的实现动态地址转换是指将内部私有IP地址动态地转换为合法IP地址池内的IP地址,对应关系是不固定的。如果企业网络获得多个合法IP地址,可以借助动态地址转换方式,实现Internet连接共享。13.3.4 端口复用地址转换端口复用地址转换是指将通过复用TCP端口的方式,使用一个合法IP地址实现Internet连接共享。如果企业网络只获得一个合法的IP地址,则应当采用端口复用地址转换方式。13.3.5 网络地址转换实例1. 1. 端口复用地址转换端口复用地址转换网络环境网络环境案例分析案例分析配置清单配置清单2. TCP/UDP2. TCP/UDP端口端口NATNAT映射映射网络环境网络环境案例分析案例分析配置清单配置清单3. 3. 静态地址转换静态地址转换+ +端口端口复用地址转换复用地址转换网络环境网络环境案例分析案例分析配置清单配置清单4. 4. 动态地址转换动态地址转换+ +端口端口复用地址转换复用地址转换网络环境网络环境案例分析案例分析配置清单配置清单13.3.5 网络地址转换实例1. 1. 端口复用地址转换端口复用地址转换网络环境网络环境案例分析案例分析配置清单配置清单网络环境端口复用地址转换示例13.3.5 网络地址转换实例2. TCP/UDP2. TCP/UDP端口端口NATNAT映射映射网络环境网络环境案例分析案例分析配置清单配置清单网络环境TCP/UDP端口NAT映射示例13.3.5 网络地址转换实例3. 3. 静态地址转换静态地址转换+ +端口复用地址转换端口复用地址转换网络环境网络环境案例分析案例分析配置清单配置清单网络环境静态地址转换+端口复用地址转换示例13.3.5 网络地址转换实例4. 4. 动态地址转换动态地址转换+ +端口复用地址转换端口复用地址转换网络环境网络环境案例分析案例分析配置清单配置清单网络环境动态地址+端口复用地址转换示例13.4 习 题1. 1. 什么是什么是NATNAT?什么情况下需要使用?什么情况下需要使用NATNAT?2. NAT2. NAT有几种实现方式?有几种实现方式?简答题操作题1. 1. 配置路由器实现与配置路由器实现与InternetInternet的连接。的连接。2. 2. 配置路由器实现两个网段的互连。配置路由器实现两个网段的互连。3. 3. 配置路由器实现端口复用地址转换,并实现配置路由器实现端口复用地址转换,并实现WebWeb和和E-mailE-mail服务器的服务器的InternetInternet发布。发布。第14章 UPS的管理本章要点: 利用串口管理利用串口管理UPSUPS 远程监控和管理远程监控和管理UPSUPS UPS UPS的使用与保养的使用与保养14.1 UPS的管理UPS的备用时间是有限的,当UPS电池储存的电能耗尽时,同样会导致整个网络的关闭。因此,若欲掌握UPS的供电情况,发挥UPS的完善保护功能,就必须对UPS进行管理和监视。14.1.1 通过串口管理UPS1. 1. 硬件之间的连接硬件之间的连接2. 2. 安装安装WinPower2003 UPSWinPower2003 UPS管理软件管理软件3. 3. 查看查看UPSUPS工作状态工作状态4. 4. 事件响应配置事件响应配置5. 5. 设置关机参数设置关机参数6. UPS6. UPS参数控制参数控制7. 7. 自动开关机设置自动开关机设置硬件之间的连接串行线串行线连接到计算机串行口连接到计算机串行口硬件之间的连接连接到UPS串行口安装WinPower2003 UPS管理软件连接到其他计算机查看UPS工作状态查看UPS的工作状态查看UPS工作状态以管理员身份登录以管理员身份登录自动搜索自动搜索UPSUPS查看UPS工作状态查看相应查看相应UPSUPS的工作状的工作状态态出错提示出错提示事件响应配置事件响应设定事件响应设定“ “短信息设定短信息设定” ”对话对话框框设置关机参数关机参数配置UPS参数控制UPS控制参数设置自动开关机设置UPSUPS开关机管理开关机管理关闭关闭UPSUPS14.1.2 通过网络接口管理UPS1. WebPower1. WebPower智能监控卡的主要功能智能监控卡的主要功能2. WebPower2. WebPower智能监控卡的安装与连接智能监控卡的安装与连接3. 3. 设置设置IPIP地址地址通过串行口设置通过串行口设置IPIP地址地址通过网络端口设置通过网络端口设置IPIP地址地址WebPower智能监控卡WebPower智能监控卡的安装与连接ConsoleConsole连线连线连接到交换机上连接到交换机上14.1.2 通过网络接口管理UPS3. 3. 设置设置IPIP地址地址通过串行口设置通过串行口设置IPIP地址地址通过网络端口设置通过网络端口设置IPIP地址地址通过串行口设置IP地址设置端口属性设置端口属性建立计算机和建立计算机和UPSUPS之间之间的连接的连接通过串行口设置IP地址管理管理UPSUPS界面界面配置配置WebPowerWebPower通过串行口设置IP地址System GroupSystem Group配置配置设置设置UPSUPS的的IPIP地址地址通过串行口设置IP地址最终设置结果通过网络端口设置IP地址在在WebWeb窗口中管理窗口中管理UPSUPS查看查看WebPowerWebPower设定设定通过网络端口设置IP地址设置管理员用户名和设置管理员用户名和密码密码设定新的网络配置设定新的网络配置14.1.3 远程监控UPS1. UPS1. UPS运行状态监控运行状态监控2. 2. 设定设定UPSUPS参数参数3. 3. 远程关闭远程关闭UPSUPS4. 4. 设置设置UPSUPS定时关机定时关机5. 5. 网络权限控制网络权限控制6. 6. 设置电子邮件通知设置电子邮件通知7. 7. 查看查看UPSUPS运行记录运行记录UPS运行状态监控设定UPS参数远程关闭UPS设置UPS定时关机网络权限控制设置电子邮件通知查看UPS运行记录14.2 UPS的选择与使用UPS是企业网络中不可或缺的重要设备,但是又不同于交换机、路由器等其他设备,如果不正确的使用将导致UPS电源很快失效,从而减少其正常使用寿命。14.2.1 UPS的选择1. 选择UPS时考虑的问题UPSUPS技术技术备用时间备用时间输出功率输出功率技术性能技术性能可维护性可维护性价格和服务价格和服务2. UPS的主要参数UPS技术按照按照UPSUPS技术的不同可以将技术的不同可以将UPSUPS分为分为3 3类,即类,即后备式、在线式和线上互动式。后备式、在线式和线上互动式。UPS的种类及性能比较备用时间长效型在线式UPS14.2.2 UPS与电池的使用与保养1. UPS1. UPS的运行方式的运行方式正常运行方式正常运行方式电池工作方式电池工作方式旁路运行方式旁路运行方式旁路维护方式旁路维护方式2. UPS2. UPS的使用和保养的使用和保养开机顺序开机顺序关机顺序关机顺序负载设备负载设备工作环境工作环境注意安全注意安全3. 3. 电池的使用和保养电池的使用和保养电池安装电池安装环境温度环境温度充放电电流充放电电流充电电压充电电压放电深度放电深度负载大小负载大小定期保养定期保养14.2.2 UPS与电池的使用与保养2. UPS2. UPS的使用和保养的使用和保养开机顺序开机顺序关机顺序关机顺序负载设备负载设备工作环境工作环境注意安全注意安全14.2.2 UPS与电池的使用与保养3. 3. 电池的使用和保养电池的使用和保养电池安装电池安装环境温度环境温度充放电电流充放电电流充电电压充电电压放电深度放电深度负载大小负载大小定期保养定期保养14.3 习 题1. 1. 选择选择UPSUPS时应当主要考虑哪些问题。时应当主要考虑哪些问题。2. UPS2. UPS有哪些主要参数。有哪些主要参数。3. 3. 使用使用UPSUPS时应当注意哪些问题。时应当注意哪些问题。简答题1. 1. 使用串口配置使用串口配置UPSUPS,查看,查看UPSUPS工作状态。工作状态。2. 2. 借助网络远程监控借助网络远程监控UPSUPS工作状态,配置和管理工作状态,配置和管理UPSUPS。简答题第15章 网络故障与远程监控 本章要点:故障排除的一般步骤故障排除的一般步骤链路故障的诊断与排除链路故障的诊断与排除配置故障的诊断与排除配置故障的诊断与排除协议故障的诊断与排除协议故障的诊断与排除服务器故障的诊断与排除服务器故障的诊断与排除15.1 网络故障概述在检查和定位网络故障时,应认真考虑所有可能导致故障的原因,准确掌握着手点,然后一步一步地进行追踪和排除,直至最后恢复网络的畅通。15.1.1 故障排除过程1. 1. 识别故障现象识别故障现象2. 2. 对故障现象进行详细描述对故障现象进行详细描述3. 3. 列举可能导致错误的原因列举可能导致错误的原因4. 4. 缩小搜索范围缩小搜索范围5. 5. 隔离错误隔离错误6. 6. 故障分析故障分析15.1.2 故障主要原因1. 1. 网络链路网络链路2. 2. 配置文件和选项配置文件和选项3. 3. 网络协议网络协议4. 4. 网络服务网络服务15.2 故障诊断与排错网络中出现的故障现象可能是多种多样的,网络中出现的故障现象可能是多种多样的,因此在排除过程中也应当因地制宜,采取不因此在排除过程中也应当因地制宜,采取不同的手段。经常出现的网络故障包括链路故同的手段。经常出现的网络故障包括链路故障、协议故障、配置故障和网络服务故障四障、协议故障、配置故障和网络服务故障四种。种。15.2.1 链路故障1. 1. 链路故障的表现链路故障的表现2. 2. 链路故障的分析链路故障的分析3. 3. 链路故障的排错步骤链路故障的排错步骤确认链路故障确认链路故障基本检查基本检查初步测试初步测试排除网卡排除网卡排除网络协议故障排除网络协议故障故障定位故障定位故障排除故障排除15.2.2 协议故障1. 1. 协议故障表现协议故障表现2. 2. 协议故障分析协议故障分析3. 3. 协议故障排错步骤协议故障排错步骤15.2.3 配置故障1. 1. 配置故障表现配置故障表现2. 2. 配置故障分析配置故障分析3. 3. 配置故障排错步骤配置故障排错步骤15.2.4 网络服务故障1. 1. 服务器硬件故障服务器硬件故障2. 2. 操作系统故障操作系统故障病毒侵袭病毒侵袭磁盘空间太小磁盘空间太小垃圾文件过多垃圾文件过多蓝屏故障的原因以及解决方法蓝屏故障的原因以及解决方法3. 3. 网络服务故障网络服务故障15.3 远程管理与监控在中小型企业的计算机网络中往往存在多在中小型企业的计算机网络中往往存在多台网络设备,为了能够在第一时间排除网台网络设备,为了能够在第一时间排除网络故障,就必须对所管理的网络设备进行络故障,就必须对所管理的网络设备进行远程监控。远程监控。15.3.1 启用SNMP服务1. 1. 启用服务器上的启用服务器上的SNMPSNMP服务服务2. 2. 配置网络设备的配置网络设备的SNMPSNMP服务服务启用服务器上的SNMP服务添加SNMP组件15.3.2 使用MRTG实时流量监测1. 1. 准备工作准备工作2. 2. 监控计算机上的监控计算机上的MRTGMRTG配置配置准备工作安装ActivePerl监控计算机上的MRTG配置流量信息索引图15.2.3 使用CiscoWorks 2000管理设备1. 1. 安装系统需求安装系统需求硬件要求硬件要求软件需求软件需求2. 2. 安装安装CiscoWorks 2000CiscoWorks 20003. 3. 对设备的监控与管理对设备的监控与管理监视设备监视设备监视端口监视端口4. 4. 连接测试工具连接测试工具5. 5. 查看设备信息查看设备信息6. 6. 查看网络拓扑图查看网络拓扑图7. 7. 查看失败设备查看失败设备安装CiscoWorks 2000安装界面15.2.3 使用CiscoWorks 2000管理设备3. 3. 对设备的监控与管理对设备的监控与管理访问设备访问设备监视设备监视设备监视端口监视端口访问设备CiscoWorks 2000CiscoWorks 2000登录登录界面界面CiscoWorks 2000CiscoWorks 2000管理管理界面界面访问设备CiscoWorks 2000CiscoWorks 2000设备设备管理界面管理界面CiscoViewCiscoView主界面主界面访问设备设备管理界面监视设备设备配置对话框设备配置对话框设备通信情况对话框设备通信情况对话框监视设备Telnet窗口监视端口端口通信情况对话框端口通信情况对话框端口配置对话框端口配置对话框15.2.3 使用CiscoWorks 2000管理设备4. 4. 连接测试工具连接测试工具5. 5. 查看设备信息查看设备信息6. 6. 查看网络拓扑图查看网络拓扑图7. 7. 查看失败设备查看失败设备连接测试工具连接测试命令界面查看设备信息所有被发现的设备所有被发现的设备设备信息窗口设备信息窗口查看网络拓扑图拓扑服务窗口拓扑服务窗口网络设备地址列表网络设备地址列表查看网络拓扑图网络设备地址列表网络设备地址列表局部放大拓扑局部放大拓扑查看网络拓扑图设备信息和配置窗口查看失败设备设备信息和配置窗口设备信息和配置窗口故障信息一般描述故障信息一般描述15.4 习 题1. 1. 简述网络故障的一般排除过程。简述网络故障的一般排除过程。2. 2. 简述导致网络故障的主要原因。简述导致网络故障的主要原因。3. 3. 简述链路故障的表现及排错步骤。简述链路故障的表现及排错步骤。4. 4. 简述协议故障的表现及排错步骤。简述协议故障的表现及排错步骤。5. 5. 简述配置故障的表现及排错步骤。简述配置故障的表现及排错步骤。6. 6. 简述服务器故障的表现及排错步骤。简述服务器故障的表现及排错步骤。简答题
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号