《工业以太网实验内容.ppt》由会员分享,可在线阅读,更多相关《工业以太网实验内容.ppt(41页珍藏版)》请在三一办公上搜索。
1、,工业以太网实验Nov 2010,卓越信通电子(北京)有限公司,什么是DHCP动态主机设置协议(Dynamic Host Configuration Protocol,DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址给用户。为什么引入DHCP减小管理员的工作量减小输入错误的可能避免IP冲突当网络更改IP地址段时,不需要重新配置每台计算机的IP计算机移动不必重新配置IP提高了IP地址的利用率,工业以太网实验DHCP,DHCP租约过程,工业以太网实验DHCP,DHCPDiscover,DHCPOffer,DHCPRequest,DHC
2、PACK,Windows使用DHCP客户端开启DHCP Client服务CMD常用命令Ipconfig/allIpconfig/displaydnsIpconfig/flushdnsIpconfig/releaseIpconfig/renew,工业以太网实验DHCP,DHCP服务器配置内容DNS域名IP地址池默认网关DNS服务器IP地址租约时间,工业以太网实验DHCP,实验名称:三层交换机充当DHCP服务器实验步骤:1、配置三层交换机A,VLAN1的IP为,连接PC;2、配置DHCP服务的相关参数;3、将客户机网关配置为自动获取IP地址;4、使用ipconfig/all命令查看分配的IP。,工
3、业以太网实验基础实验,三层交换机上配置DHCP服务举例1、添加IP地址池Pt35_config#ip dhcpd pool vlan12、配置DNS域名后缀Pt35_config_dhcp#domain-name 3、配置IP地址池4、配置默认网关IP5、配置DNS服务器IP6、配置租约时间Pt35_config_dhcp#lease 8/租约时间8天,工业以太网实验基础实验,什么是NTP网络时间协议(Network Time Protocol,NTP)是用来使计算机时间同步化的一种协议,SNTP(Simple Network Time Protocol)是NTP的简化版。,工业以太网实验NT
4、P,实验名称:三层交换机充当SNTP Server实验步骤:1、配置三层交换机A,VLAN1的IP为,SNTP SERVER;2、配置三层交换机B,VLAN1的IP为,SNTP Client;3、查看交换机AB目前时钟;4、指定交换机B的SNTP服务器IP为;5、查看交换机B目前时钟。,工业以太网实验基础实验,SNTP Client,实验名称:三层交换机充当SNTP Client实验步骤:1、配置三层交换机A,VLAN1的IP为,连接;2、配置XP为SNTP Server;3、手动修改三层交换机时钟;4、配置三层交换机,指定SNTP Server为;5、查看三层交换机时钟有没有与服务器同步。,
5、工业以太网实验基础实验,SNTP 配置举例1、查看及配置交换机时钟;PT35_config#dateThe current date is 2009-1-19 23:59:11Enter the new date(yyyy-mm-dd):Enter the new time(hh:mm:ss):2、配置交换机为时钟服务器PT35_config#sntp master3、配置时钟服务器IP地址4、配置时区PT35_config#time-zone Beijing 8,工业以太网实验基础实验,什么是SPAN交换端口分析器Switched Port Analyzer,SPAN)SPAN技术主要是用来
6、监控交换机上的数据流,大体分为两种类型,本地SPAN和远程SPAN.-Local Switched Port Analyzer(SPAN)and Remote SPAN(RSPAN),实现方法上稍有不同。利用SPAN技术我们可以把交换机上某些想要被监控端口(以下简称受控端口)的数据流COPY或MIRROR一 份,发送给连接在监控端口上的流量分析仪为什么引入SPAN监控流量数据分析,工业以太网实验SPAN,实验名称:利用LSPAN获取其它PC使用Telnet的用户名和密码实验步骤:1、配置三层交换机A,指定接Telnet Client的接口为Source;2、配置三层交换机A,指定接analyz
7、er接口为Destination;3、在analyzer上开启抓包工具;4、Telnet Client访问Telnet Server,并输入用户名和密码;5、在analyzer上分析数据包中的用户名和密码。,工业以太网实验基础实验,A,Telnet Client,Telnet Server,analyzer,端口镜像配置举例1、配置源端口(被监控端口)PT35_config#mirror session 1 source interface gigaEthernet 0/52、配置目标端口(监控端口)PT35_config#mirror session 1 destination interf
8、ace gigaEthernet 0/7,工业以太网实验基础实验,什么是ACL访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。为什么引入ACL访问控制定义IP地址集合读取第二、三和四层信息过滤数据,工业以太网实验ACL,工业以太网实验ACL,通过分析IP数据包包头信息,进行判断(这里IP所承载的上层协议为TCP)。,三层接口对访问控制列表的处理过程,工业以太网实验A
9、CL,匹配下一步,拒绝,允许,允许,允许,到达访问控制组接口的数据包,匹配第一步,目的接口,隐含的拒绝,丢弃,Y,Y,Y,Y,Y,Y,N,N,N,匹配下一步,拒绝,拒绝,拒绝,ACL种类基本类型的访问控制列表标准访问控制列表扩展访问控制列表 其他种类的访问控制列表基于MAC地址的访问控制列表基于时间的访问控制列表,工业以太网实验ACL,标准ACL根据数据包的源IP地址来允许或拒绝数据包,工业以太网实验ACL,如果在访问控制列表中有的话,应用条件,拒绝,允许,更多条目?,列表中的下一个条目,否,有访问控制列表吗?,源地址,不匹配,是,匹配,是,否,Icmp消息,转发数据包,扩展ACL基于源和目的
10、地址、传输层协议和应用端口号进行过滤每个条件都必须匹配,才会施加允许或拒绝条件使用扩展ACL可以实现更加精确的流量控制,工业以太网实验ACL,扩展ACL,工业以太网实验ACL,有访问控制列表吗?,源地址,目的地址,协议,协议任选项,应用条件,拒绝,允许,更多条目?,列表中的下一个条目,不匹配,否,是,匹配,匹配,匹配,匹配,是,否,Icmp消息,转发数据包,如果在访问控制列表中有的话,不匹配,不匹配,不匹配,常用端口,工业以太网实验ACL,常用端口操作符,工业以太网实验ACL,实验名称:利用ACL禁止两台主机通信实验步骤:1、配置三层交换机A,VLAN1接PC1,VLAN2接PC2;2、测试P
11、C1能够PING通PC2;3、配置三层交换机A,在物理接口上应用标准ACL禁止PC1的数据 包通过;4、测试PC1不能PING通PC2;5、更换PC1的IP为;6、测试PC1能PING通PC2。,工业以太网实验基础实验,A,ACL配置举例1、添加一个标准ACL名称为acl1PT35_config#ip access-list standard acl12、添加一条拒绝规则3、添加一条允许规则PT35_config_std_acl1#permit any4、在三层接口上应用ACLPT35_config_v1#ip access-group acl1 in5、在二层接口上应用ACLPT35_con
12、fig_g0/24#ip access-group acl1,工业以太网实验基础实验,什么是AAA认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。,工业以太网实验AAA,AAA常用认证模式不认证本地认证Radius认证,工业以太网实验AAA,实验名称:利用AAA配置telnet认证实验步骤:1、配置三层交换机A,VLAN1的IP地址为192.168.1.254;2、配置AAA的telnet用户名和密码均为tsc;3、配置AAA
13、的enable密码为tsc;4、在PC机上。,工业以太网实验基础实验,A,常用Telnet客户端软件Windows自带telnet.exe运行中输入telnet 服务器IPWindows自带超级终端 运行中输入hypertrm工程师常用SecureCRT Internet下载使用,工业以太网实验基础实验,AAA配置Telnet认证举例1、登录时要求用户名密码,进特权模式要密码配置telnet认证PT35_config#aaa authentication login default local PT35_config#username tsc password tsc配置enable认证PT3
14、5_config#aaa authentication enable default enablePT35_config#enable password tsc2、不认证,login不认证、进特权模式不认证PT35_config#aaa authentication login default nonePT35_config#aaa authentication enable default none,工业以太网实验基础实验,什么是802.1x802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/W
15、LAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。,工业以太网实验802.1x,802.1x三个成员认证服务器(Radius)网络接入服务器(NAS)802.1X客户端(Client),工业以太网实验802.1x,802.1x工作过程1.当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证
16、过程。2.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。3.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。5.客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。6.认证服务器将送上来的加
17、密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。,工业以太网实验802.1x,实验名称:利用802.1X对用户进行身份认证实验步骤:1、配置Radius,添加用户名tsc,密码为tsc;2、配置交换机NAS,配置RADIUS服务器IP等信息;3、在NAS上对接CLIENT的接口启用802.1X认证;4、配置Client,输入错误的用户名和密码;5、PING 192.168.
18、1.1 测试;6、输入正确的用户名和密码;7、测试。,工业以太网实验基础实验,NAS,802.1X配置举例1、使能802.1XPT35_config#dot1x enable2、配置802.1X的认证模式为radiusPT35_config#aaa authentication dot1x default group radius3、配置radius服务器的IP地址4、配置radius服务器的认证口令PT35_config#radius-server key WinRadius5、在接口上启用802.1X认证PT35_config_g0/24#dot1x port-control auto,工
19、业以太网实验基础实验,什么是QoSQoS(Quality of Service)服务质量,是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。,工业以太网实验QoS,QoS流区分根据802.1Q帧头中标签(Tag),该标签长度为两个字节,其中最高位的3个比特用来表示报文的优先级,总共有8个优先级,0为最低优先级,7为最高优先级。根据IP报文中IP头部的D
20、SCP字段,该字段使用IP头中TOS域的低6个比特。,工业以太网实验QoS,QoS两大应用基于IP地址限速 数据优先通过,工业以太网实验QoS,实验名称:利用QoS实现基于IP地址的限速实验步骤:1、如图所示配置好PC机IP,通过飞鸽相互传送文件并纪录速率;2、在三层交换机配置QoS,设置PC2下载PC1的带宽为1M;3、在PC1上使用飞鸽传送文件给PC2,并纪录速率;4、在PC2上使用飞鸽传送文件给PC1,并纪录速率。,工业以太网实验基础实验,QoS配置举例1、配置ACLPT35_config#ip access-list standard acl12、添加策略PT35_config#policy-map tsc3、匹配ACLPT35_config_map#classify ip acl14、配置带宽PT35_config_tsc#action bandwidth 128/128*64kbps=1MBps5、在接口上应用策略PT35_config_g0/24#qos policy tsc ingress,工业以太网实验基础实验,Thank You!,For more information,contact the author at or visit,
