《网络连接设备及技术.ppt》由会员分享,可在线阅读,更多相关《网络连接设备及技术.ppt(119页珍藏版)》请在三一办公上搜索。
1、第8章 网络连接设备及技术,臧海娟,2,网络中心(图书馆)10,100Base-TX,1000Base,100Base-FX,10Base-FL,图例:,E-mail,DNS,网管工作站,Cisco3640,Catalyst 2980,行政楼1,Catalyst3548,10Base-FX,学生公寓21,数据库辅DNS,新教学楼Catalyst 3548,东方分院-别墅楼群,CATALYST3548,新实验楼(在建)二台,总务处9Catalyst 1924F,实验工厂8Catalyst 2924C,PSTN,Catalyst 3548(五台),化工实验楼5-6,学生公寓20,学生公寓12、13
2、、14,新学生宿舍楼,东方分院,教学楼3、4,综合实验楼2,Catalyst3548,经济干部管理学院Catalyst 1924,Proxy,CATALYST5505,CATALYST6509,Catalyst 2924M,Catalyst1912MF,3,4,本章主要内容,网络传输介质和互联设备 物理层互联设备 数据链路层互联设备 网络层互联设备 应用层互联设备 交换机路由器网络设备的配置与管理虚拟局域网 VLAN 网络地址转换NAT,5,网络传输介质,10M Ethernet:10Base2-细缆10Base5-粗缆注意:路由器支持AUI(连接同轴电缆的Interface),可以接一个收发
3、器转换。10BaseT-双绞线100Mbps FastEthernet:100BaseTX-使用5类UTP和1类STP,传输100M,距离100米。,6,网络传输介质,智能MDI/MDIX(自动协商及自动跳线),自动侦测并调整速率与双工模式的自动跳线功能(MDI/MDIX),无论使用交叉式或直连式数据线,皆可连接至其他PC机或级联至其他交换机;,7,网络传输介质-光纤,1000BASE-SX 代表1000M传输速率,多模光纤,传输距离为500米。1000BASE-LX代表单模/多模接口,传输距离从550米-10千米,1000BASE-TX代表RJ45接口,FCPC型光尾纤接头外形图,SCPC型
4、光尾纤接头外形图,ST-PC型光尾纤接头外形图,FC/PCSC/PC型光尾纤外形图,8,物理层互联设备-中继器,负责在两个节点的物理层上按位传递信息,完成信号的复制、调整和放大功能,以此来延长网络的长度。,9,物理层互联设备-集线器,中继器的一种形式,区别在于集线器能够提供多端口服务,也称为多口中继器。,10,数据链路层互联设备-网桥,网桥(Bridge)是一个局域网与另一个局域网之间建立连接的桥梁。网桥是属于网络层的一种设备,它的作用是扩展网络和通信手段,在各种传输介质中转发数据信号,扩展网络的距离,同时又有选择地将有地址的信号从一个传输介质发送到另一个传输介质,并能有效地限制两个介质系统中
5、无关紧要的通信。,11,交换机,交换机是一种具有低价、高性能和高端口密集特点的交换产品。二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。,12,ROM,Flash,Interface,CPU,RAM,交换机组件,组件,13,交换机组件,Flash:Flash ROM快闪存储器,存储系统软件映像,启动配置文件等,是可擦可编程的ROM。ROM 存储开机诊断程序、引导程序和操作系统软件。RAM/DRAM 主存储器,存储运行配置NVRAM 非易失性RAM,存储备份配置文件等。CPU 中央处理器 交换机使用
6、特殊用途集成电路芯片,以实现高速的数据传输。Interface 接口,14,局域网交换机分类,以大网交换机;令牌环交换机;FDDI交换机;ATM交换机;快速以太网交换机等,15,交换机的主要功能,交换机具有三种主要功能:地址学习、转发/过滤、回环避免。,16,MAC 地址表,A,B,C,D,交换机工作原理,交换机初始化时MAC地址表是空的。,F0/1,F0/3,F0/2,F0/4,17,MAC 地址表,D,C,B,A,交换机工作原理,主机之间互相发送数据,交换机会学习数据帧的源MAC地址。,F0/1,F0/3,F0/2,F0/4,地址学习,18,X,X,D,C,A,B,MAC地址表,交换机工作
7、原理,已知单播帧:地址表中已存在其地址,则只把数据帧从相应的端口发出。其他地址被过滤掉。过滤操作(Filtering),F0/1,F0/3,F0/2,F0/4,转发/过滤,19,F0/1,F0/3,F0/2,F0/4,D,C,A,B,MAC 地址表,交换机工作原理,未知单播帧,广播帧:地址表中没有该地址时,采用广播形式发送。执行广播操作(Flooding),转发/过滤,20,回环避免,回环避免 采用生成树协议来实现,生成树协议既支持路径冗余,又可以防止路径回环。,A,网段1,网段2,A,B,21,广播地址在数据链路层表示为该地址不会被交换机学习到目的地址为该地址的数据帧将被交换机扩散,F0,F
8、1,F2,F3,D,C,A,B,MAC 地址表,交换机工作原理,Console,任何Interface,Telnet,TFTP,常用的交换机配置方法,23,交换机配置,波特率:9600 数据位:8停止位:1 无校验,无流量控制,24,交换机配置命令模式,用户模式 Switch 特权模式 Switch#全局模式 Switch(config)#端口模式 Switch(config-if)#VLAN配置模式 Switch(config-vlan)#,25,EXEC模式:用户模式switch 交换机信息的查看,简单测试命令特权模式switch#查看、管理交换机配置信息,测试、调试,交换机配置命令模式,
9、26,1.在用户模式下进入特权模式SwitchenableSwitch#2.返回用户模式Switch#disable或Switch#exit,交换机配置命令模式,27,配置模式:全局配置模式switch(config)#配置交换机的整体参数接口配置模式switch(config-if)#配置交换机的接口参数,交换机配置命令模式,28,1.进入全局配置模式下Switch#configure terminalSwitch(config)#exitSwitch#2.进入接口配置模式Switch(config)#interface fastethernet 0/1Switch(config-if)#e
10、xitSwitch(config)#,交换机配置命令模式,29,从子模式下直接返回特权模式Switch(config-if)#endSwitch#,交换机配置命令模式,30,命令行其他功能,获得帮助 命令简写使用历史命令编辑快捷键,31,1.支持命令简写(按TAB键将命令补充完整)2.在每种操作模式下直接输入“?”显示该模式下所有的命令3.命令空格“?”显示命令参数并对其解释说明4.字符“?”显示以该字符开头的命令5.命令历史缓存:(Ctrl+P)显示上一条命令,(Ctrl+N)显示下一条命令6.错误提示信息,交换机操作帮助特点,32,显示交换机硬件及软件的信息Switch#show vers
11、ion显示当前运行的配置参数Switch#show running-config显示保存的配置参数 Switch#show configure显示接口配置参数Switch#show interfaces,交换机常用命令,33,交换机的配置命令,特权模式主机名#下的基本操作清空Flash中的配置参数#delete flash:config.text设置系统时间#clock set 时间值#show clock;显示系统时间信息重新启动交换机#reload查看MAC地址表#show mac-address-table显示接口状态#show interface进入全局模式#configure ter
12、minal,34,交换机的配置命令,全局模式主机名(config)#下的基本操作设置主机名#hostname 新主机名#no hostname;将系统主机名恢复为缺省值配置交换机的登陆密码#enable secret level 1 0 star配置交换机的特权密码#enable secret level 15 0 Star,注:用户级别0至15,其中1为普通用户级别,15为最高授权级别;加密类型“0”表示加密类型是明文形式,“1”表示为密文形式;口令格式:最大长度25个字符,不能包含空格,问号或其他不可显示的字符。,35,交换机的配置命令,接口模式主机名(configif)#下的基本操作 配
13、置接口速率#speed 10|100|auto 配置双工模式#duplex auto|full|half,36,半双工(右图)1.接口只能同时发送或者接收数据2.接口按照CSMA/CD的工作机制3.接口点对点连接或点对多点连接全双工1.接口能够同时发送接收数据2.任何时刻发送数据不会产生冲突3.接口点对点连接,点对点,点对多点,交换机接口的双工模式,强调HUB只支持半双工。,37,交换机的配置文件的管理,保存文件:将当前运行的参数保存到flash 中用于系统初始化时初始化参数。Switch#copy running-config startup-config Switch#write memo
14、ry Switch#write 删除文件:永久性的删除flash 中不需要的文件。使用命令delete flash:config.text 删除VLAN数据库:永久性的删除flash 中VLAN数据库文件。使用命令delete flash:vlan.dat 查看配置文件内容:Switch#more flash:config.text Switch#show configure Switch#show running-config。,38,交换机互连方式,级联:通过交换机的普通端口通过普通线缆简单联接起来堆叠:通过堆叠线缆将交换机的背板连接起来,扩大级联带宽,39,1.级联 级联端口:普通端口和
15、级联端口 级联线缆 双绞线 有层次限制,每层 的性能不同,网络设备的连接方式,40,直连线和交叉线示意图,41,交换机(或集线器)级联,42,2.堆叠 通过专用的端口将集线器或交换机连接起来,逻辑上形成一个设备。,43,堆叠菊花链,44,堆叠-主从式,45,转发方式,直通式 存储转发式 无碎片直通式(更高级的直通式转发),46,直通式,直通式(Cut Through)方式在输入端口检测到一个数据包后,只检查其包头,取出目的地址,通过内部的地址表确定相应的输出端口,然后把数据包转发到输出端口这样就完成了交换。因为它只检查数据包的包头(通常只检查14个字节)。,47,存储转发式,存储转发(Stor
16、e and Forward)是计算机网络领域使用得最为广泛的技术之一,在这种工作方式下交换机的控制器先缓存输入到端口的数据包,然后进行CRC校验,滤掉不正确的帧,确认包正确后,取出目的地址,通过内部的地址表确定相应的输出端口,然后把数据包转发到输出端口。,48,无碎片直通式,无碎片直通(Fragment Free Cut Through)是介于直通式和存储转发式之间的种解决方案,它检查数据包的长度是否够64 Bytes(512bit)如果小于64 Bytes,说明该包是碎片(即在信息发送过程中由于冲突而产生的残缺不全的帧),则丢弃该包,如果大于64 Bytes,则发送该包。该方式的数据处理速度
17、比存储转发方式快,但比直通式慢。,路由器,网络层互联设备,50,低端路由器外观,51,高端路由器外观,52,核心路由器外观,53,Interface,Interface,路由器的内部结构,RAM,ROM,Flash,NVRAM,Interface,CPU,Interface,console,54,内存:ROM,只读存储器(ROM)只读存储器,存放引导程序和IOS的一个最小子集,相当于PC的BIOS。闪存(Flash)包含压缩的IOS和微代码,是一种可擦写、可编程的ROM,系统掉电时数据不会丢失。NVRAM(No-Voliate RAM)存放路由器的配置文件,系统掉电时数据不会丢失。,55,内存
18、:RAM,RAM动态内存,系统掉电,内容丢失操作系统运行的空间,命令解释器,操作系统,进程,活动配置文件,路由表,缓冲区,56,路由器的启动过程,首先运行ROM的程序,系统自检和引导读Flash内的IOS,装入RAM中从NVRAM中读入路由器的配置信息计算并生成初始路由表通过与相邻路由器交换路由信息,更新、完善路由表,57,路由器功能,在网络间截获发送到远地网段的报文,起转发的作用。选择最合理的路由,引导通信。按照预定的规则把大的数据包分解成适当大小的数据包,到达目的地后再把分解的数据包包装成原有形式。多协议的路由器可以连接使用不同通信协议的网络段,作为不同通信协议网络段通信连接的平台。路由器
19、的主要任务是把通信引导到目的地网络,然后到达特定的节点站地址。,58,路由器工作原理,中间节点路由器在网络中传输时,提供报文的存储和转发。同时根据当前的路由表所保持的路由信息情况,选择最好的路径传送报文。,59,路由表的作用,路由器就像网络中的向导一样,当IP包来到路由器后有一个很重要的任务就是查看该路由器是否知道这个IP数据包要去的目的地。,路由器采用自动学习,依靠路由协议学习或网络管理员手动配置等方式获得IP数据包要去往的目的地信息。,路由器将这些信息形成“档案”有选择的存放在路由表中,以便提供路由服务。,路由表,Packet,60,路由表的产生方式,直连路由,路由器会自动生成本路由器激活
20、端口所在网段的路由条目,61,路由表的产生方式,静态路由,在简单拓扑结构的网络里,网络管理员手动输入路由条目。,62,路由表产生的方式,动态路由协议学习到的路由,在大型网络环境下,依靠路由协议比如OSPF、BGP路由协议学习,Console,任何Interface,TFTP,telnet、web,AUX,MODEM,常用的路由器配置方法,64,1.线路配置模式Router(config-line)#配置路由器的线路参数2.路由协议配置模式Router(config-router)#配置路由器的接口参数,路由器的操作模式:配置模式,65,1.进入全局配置模式下Red-Giant#configur
21、e terminal2.进入线路配置模式Red-Giant(config)#line vty 0 4Red-Giant(config-line)#exitRed-Giant(config)#3.进入接口配置模式Red-Giant(config)#interface serial 0Red-Giant(config-if)#exitRed-Giant(config)#4.进入路由协议配置模式Red-Giant(config)#router ripRed-Giant(config-router)#,路由器的操作模式:配置模式,66,显示当前运行的配置参数Red-Giant#show running
22、-config显示NVRAM中配置参数的副本Red-Giant#show startup-config将配置信息保存到NVRAMRed-Giant#write删除NVRAM中配置信息Red-Giant#erase startup-config,常用路由器显示命令,67,配置console登陆密码Red-Giant(config)#line console 0Red-Giant(config-line)#loginRed-Giant(config-line)#password star配置VTY登陆密码Red-Giant(config)#line vty 0 4Red-Giant(config-
23、line)#loginRed-Giant(config-line)#password star,配置路由器登陆口令,68,配置特权密码Red-Giant(config)#enable password starRed-Giant(config)#enable secret star,配置路由器特权口令,69,配置接口IP地址Red-Giant(config-if)#ip address IP address IPsubnet mask secondary将接口启用Red-Giant(config-if)#no shutdown将接口关闭Red-Giant(config-if)#shutdown
24、,路由器接口配置命令,70,显示接口的状态Red-Giant#show interfaces显示接口的摘要信息Red-Giant#show ip interface brief,路由器接口显示命令,71,Red-Giant#show interfaces fastethernet 0FastEthernet0 is up,line protocol is up(表示物理层协议工作正常)(表示数据链路层协议工作正常)FastEthernet0 is up,line protocol is down(表示物理层协议工作正常)(表示数据链路层协议工作不正常)FastEthernet0 is down
25、,line protocol is down(表示物理层协议工作不正常)FastEthernet0 is administratively down,line protocol is down(表示从管理上将该接口处于关闭状态),路由器接口显示命令,72,远程登陆到其它设备Red-Giant#telnet IP address测试目的端的可达性Red-Giant#ping IP address,路由器测试命令,73,将配置参数上传到TFTP服务器Red-Giant#copy running-config tftp从TFTP服务器上下载配置参数Red-Giant#copy tftp runnin
26、g-config,路由器TFTP命令,74,实验练习,实验目的:熟练交换机、路由器的基本操作。通过telnet远程管理交换机、路由器。熟练RACK的使用实验内容:学员通过ACS分别登陆交换机和路由器,练习交换机、路由器常用命令。配置交换机和路由器的远程登陆,通过PC远程TELNET到设备进行配置。,75,网络层互联设备-三层交换机,三层交换(也称多层交换技术,或IP交换技术)是在网络模型中的第三层实现了数据包的高速转发。三层交换技术就是:二层交换技术三层转发技术。不是简单的二层交换机和路由器的叠加,三层路由模块直接叠加在二层交换的高速背板总线上,突破了传统路由器的接口速率限制,速率可达几十Gb
27、ps。,76,应用层互联设备 网关,在一个计算机网络中,当连接不同类型而协议差别又较大的网络时,则要选用网关设备。网关的功能体现在OSI模型的最高层,它将协议进行转换,将数据重新分组,以便在两个不同类型的网络系统之间进行通信。由于协议转换是一件复杂的事。一般来说,网关只进行一对一转换,或是少数几种特定应用协议的转换,网关很难实现通用的协议转换。用于网关转换的应用协议有电子邮件、文件传输和远程工作站登录等。,77,应用层互联设备 防火墙,防火墙一方面阻止来自因特网的对受保护网络的未授权或未验证的访问,另一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等。防火墙也可以作为一个访问因
28、特网的权限控制关口,如允许组织内的特定的人可以访问因特网。现在的许多防火墙同时还具有一些其他特点,如进行身份鉴别,对信息进行安全(加密)处理等等。,8.6 虚拟局域网,79,什么是VLAN,Virtual Local Area Networks。虚拟局域网 VLAN 是由一些局域网网段构成的与物理位置无关的逻辑组。一个VLAN基本上是位于一个物理网络之上的一个逻辑广播域(broadcast domain),即在一个VLAN中的所有成员可以接收到同一VLAN中各成员发送的每一个广播包(broadcast pocket)。最早的VLAN技术是1996年由Cisco公司提出,它使网络管理员能根据实际
29、应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,目前已成为最为热门的一种以太局域网技术。,80,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,三个虚拟局域网 VLAN1,VLAN2和 VLAN3 的构成,81,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,三个虚拟局域网 VLAN1,VLAN2和 VLAN3 的构成,当 B1 向 VLAN2 工作组内成员发送数据时,工作
30、站 B2 和 B3 将会收到广播的信息。,82,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,三个虚拟局域网 VLAN1,VLAN2和 VLAN3 的构成,B1 发送数据时,工作站 A1,A2 和 C1都不会收到 B1 发出的广播信息。,83,以太网交换机,A4,B1,以太网交换机,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,A3,C2,B2,以太网交换机,以太网交换机,三个虚拟局域网 VLAN1,VLAN2和 VLAN3 的构成,虚拟局域网限制了接收广播信息的工作站
31、数,使得网络不会因传播过多的广播信息(即“广播风暴”)而引起性能恶化。,84,为什么要使用VLAN,增加了网络连接的灵活性 网络管理员对网络上工作站可以按业务功能,而不必按地理位置分组。控制网络上的广播风暴 随着网络向交换结构转变,网络内部路由器(其作用之一是阻隔广播)的使用越来越少。这样,广播风暴将发送到每一个交换端口,这就是常说的整个网络是一个广播域。使用交换网络的优势是可以提供低延时和高吞吐量,缺点是增加了整个交换网络的广播风暴。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播风暴不会送到VLAN之外
32、。同样,相邻的端口不会收到其他VLAN产生的广播风暴。这样,可以减少广播流量,释放带宽给用户应用,减少广播风暴的产生。,85,为什么要使用VLAN,增加网络的安全性 人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组,网络管理员限制了VLAN中用户的数量,禁止未经允许而访问VLAN中的资源。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。实现网络集中化管理控制 通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换端口给这些VLAN组,设
33、置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽。这些能力有效地提高了网络管理程序的可控性、灵活性和监视功能,减少了管理的费用。,86,VLAN的技术标准为1999年6月由IEEE颁布的IEEE 802.1Q。以太网交换机的VLAN还须参照IEEE 802.3ac,有些交换器则遵循CGMP(Cisco Group Management Protocol)专用标准。所有VLAN的成员通过使用VLAN标记(VLAN Tag)进行指定和区分,在逻辑上组合到同一个广播域中,与其物理位置无关。VLAN通过交换机上的软件实现。V
34、LAN成员间无需通过路由技术进行通信。,VLAN的技术标准,87,虚拟局域网协议允许在以太网的帧格式中插入一个 4 字节的标识符,称为 VLAN 标记(tag),用来指明发送该帧的工作站属于哪一个虚拟局域网。,8.6.3 虚拟局域网使用的以太网帧格式,88,VLAN的类型,VLAN的划分方式通常有如下几种:最早的VLAN划分是基于端口(Port Based)的,即通过端口来划分VLAN;现在的交换器还支持通过MAC地址(MAC Based)和 IP地址(Protocol Based)来划分VLAN;一些较新的交换器,还可以通过策略服务(Policy Servie)来管理VLAN,进一步简化了V
35、LAN的划分和管理。,89,基于端口(port-based)的VLAN,特点:VLAN成员是通过交换机的端口组进行划分。这种基于端口的方案仍是当前最常用的定义VLAN成员的方法。优点:所有的厂商都支持,而且设置相当方便基于管理员(由管理员人工设置)安全性很好(只有网络管理员能修改设置)缺点:每个端口只能支持一个VLAN,不能支持多个VLAN使用同一个物理网段(即交换机端口)的要求。不支持按业务分组。应用:主要用于为了提高网络的运行效率的网络用于防止拥塞(flood)而非为了满足工作需要。它是VLAN中最简单的一种,却也能提供最大程度的控制和安全性。,VLAN 2,VLAN 1,基于交换机的端口
36、(一个端口只属于一个VLAN),基于交换机的端口,Port VLAN设置在连接主机的端口,91,基于MAC地址(MAC-based)的VLAN,特点:根据MAC地址划分VLAN。优点:工作站移动到网络的其他物理位置时其VLAN成员的身份不变(特别适用于各种便携式电脑)。“基于用户”可实现按业务分组可以形成“交迭的”VLAN即一个站点可以同时属于多个VLAN。便于实现若干个业务群间的跨接通信(如销售主管和经理们需要同时在销售和市场两个VLAN中)。缺点:不适用于工作于第三层网络的那些真正的远程用户(许多便携式电脑用户属于这种情况),因为MAC地址不能跨越网络层。VLAN设置时必须由人工完成,相当
37、麻烦。应用:需要按业务分组的企业和主机位置需要经常移动网络。,92,基于协议(protocol-based)的VLAN,特点:根据协议来划分VLAN,如将所有基于MAC地址的用户划分到一个VLAN中,其他的可以通过IP地址或IPX等协议进行划分。优点:用户可以同时处于多个VLAN中。“基于管理员”如果他所管理一个大型网络运行有不同的协议,而不同的用户组则已经是不同通信类型的成员了。这种情况下,它可以用来分隔不同的通信类型。缺点:其他站点可以随意加入某个VLAN,只要配备相应的协议。应用:只是用来提高网络的效率。最大的优点则是允许IPX网络加入以简单的方式将IPX产生的SAP(服务广告协议)广播
38、置于有效的控制中。,93,基于IP(IP-based)的VLAN,特点:使用网络(如IP子网)地址确定VLAN成员资格。优点:可实现通过协议划分VLAN用户可以物理移动其工作站而不必重新设置每个工作站的网络地址(适用于纯TCP/IP网络)可以不需要使用帧标识(tagging)在交换机间的VLAN进行通信,降低了传输开销。网络管理员可以在VLAN管理软件中通过简单的拖放式操作规定哪个子网在哪个VLAN中,并将所有的用户与其子网一起分配。新用户加入可以由VLAN自动调整(因为交换机会发现它们位于哪个子网)缺点:需要解决IP地址盗用问题应用:用于TCP/IP协议特别有效,但对那些无需在桌面人工设置的
39、协议(如IPX、DECnet、或AppleTalk协议)效果就差些。,94,基于策略(policy-based)的VLAN,所谓“策略实际上就是各种可能行为的控制准则。它们按 if-then 结构工作,可以对网络中的不同对象(用户、管理员、应用软件及硬件的下部构造)的行为进行禁止、许可或强制。策略管理迄今为止一直被用于某些类型的管理软件上:故障、性能、安全、配置及帐户。但也开始应用于其他类型的软件。基于策略是最强大的VLAN方案。它使网络管理员可以使用任何VLAN策略的组合来建立适合自己需要的VLAN。一旦一个策略被下载到一台交换机中,它在整个网络中就得到全面应用,有关设备就将被加入到各VLA
40、N中。基于策略的VLAN可以使用各种划分方法,包括上述所列的各种VLAN类型:MAC源地址,IP地址,及协议字段。也可以将不同的策略结合起来,形成一个策略,以满足网络管理员的特殊要求。但使用这种VLAN技术的设备和控制软件相当复杂,目前只有极少网络使用。,95,VLAN间通信的方法,VLAN10,VLAN20,VLAN30,96,使用路由器进行VLAN间路由,VLAN10,VLAN30,VLAN20,多条链路连接多个VLAN,97,使用路由器进行VLAN间路由,VLAN10,VLAN30,VLAN20,Interface FA 0/1Subinterface 0/1.1Subinterface
41、 0/1.2Subinterface 0/1.3,一条链路连接多个VLAN,98,使用路由器进行VLAN间路由,Switch C,Switch A,Switch B,VLAN41,VLAN41,VLAN42,通过传统路由器来实现各交换机的VLAN 间路由,99,使用三层交换机进行VLAN间路由,三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。,VLAN41,VLAN42,VLAN41,100,VLAN的建立,步骤1:configure terminal 进入全局配置模式步骤2:vlan vlan-id 输入一个VLAN ID。如果输入的是一个新的VLAN
42、ID,则交换机会创建一个VLAN,如果输入的是已经存在的VLAN ID,则修改相应的VLAN。步骤3:name vlan-name(可选)为VLAN 取一个名字。如果没有进行这一步,则交换机会自动为它起一个名字VLAN xxxx,其中xxxx 是用0 开头的四位VLANID 号。比如,VLAN 0004 就是VLAN 4 的缺省名字。,101,创建VLAN实例,创建VLAN100,将它命名为test的例子Switch#configure terminalSwitch(config)#vlan 100Switch(config-vlan)#name testSwitch(config-vlan)
43、#end,102,将一个端口分配给一个VLAN,步骤1 configure terminal 进入全局配置模式步骤2 Interface interface-id 输入想要加入VLAN 的interface id步骤3 switchport mode access定义该接口的VLAN 成员类型(二层ACCESS 口)步骤4 switchport access vlan vlan-id将这个口分配给一个VLAN,103,把ethernet 0/10作为access口加入了VLAN100 Switch#configure terminalSwitch(config)#interface faste
44、thernet0/10Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 100Switch(config-if)#end,配置实例,Port VLAN,即将连接主机的端口设成access模式。,104,删除一个VLAN,8.7 网络地址转换NAT,106,为什么需要 NAT,8.7.1 传统的NAT的工作原理及配置8.7.2 NAPT的工作原理及配置,107,NAT/NAPT带来的好处,解决IPv4地址空间不足的问题;私有IP地址网络与公网互联;,非注册IP地址网络与公网互联;建网时
45、分配了全局IP地址但没注册网络改造中,避免更改地址带来的风险;TCP流量的负载均衡,108,什么是NAT/NAPT,NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为纯软件NAT防火墙NAT路由器NATNAT的类型NAT(Network Address Translation)转换后,一个本地IP地址对应一个全局IP地址NAPT(Network Address Port Translation)转换后,多个本地地址对应一个全局IP地址,109,NAT/NAPT的术语,内部网络 Inside外部网络 Outside内部本地地址Inside Local Address内部全局地址I
46、nside Global Address外部本地地址Outside Local Address外部全局地址Outside Global Address,互联网,Outside,Inside,企业内部网,外部网,110,静态与动态NAT,静态NAT需要向外网络提供信息服务的主机永久的一对一IP地址映射关系动态NAT只访问外网服务,不提供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数临时的一对一IP地址映射关系,111,NAT示例,可以是动态或静态NAT,112,配置静态NAT,Red-Giant(config)#ip nat inside source st
47、atic local-address global-address 定义内部源地址静态转换关系Red-Giant(config)#interface interface-type interface-number Red-Giant(config-if)#ip nat inside 定义该接口连接内部网络Red-Giant(config)#interface interface-type interface-number Red-Giant(config-if)#ip nat outside 定义接口连接外部网络,113,配置动态NAT,Red-Giant(config)#ip nat poo
48、l address-pool start-address end-address netmask mask|prefix-length prefix-length 定义全局IP地址池Red-Giant(config)#access-list access-list-number permit ip-address wildcard 定义访问列表,只有匹配该列表的地址才转换Red-Giant(config)#ip nat inside sourcelist access-list-number pool address-pool 定义内部源地址动态转换关系Red-Giant(config)#in
49、terface interface-type interface-number Red-Giant(config-if)#ip nat inside 定义该接口连接内部网络Red-Giant(config)#interface interface-type interface-number Red-Giant(config-if)#ip nat outside 定义接口连接外部网络,114,什么时候用NAPT,缺乏全局IP地址甚至没有专门申请的全局IP地址,只有一个连接ISP的全局IP地址内部网要求上网的主机数很多提高内网的安全性,115,静态与动态NAPT,静态NAPT需要向外网络提供信息服
50、务的主机永久的一对一“IP地址+端口”映射关系动态NAPT只访问外网服务,不提供信息服务的主机临时的一对一“IP地址 端口”映射关系,116,NAPT示例,可以是动态或静态NAPT,117,配置静态NAPT,Red-Giant(config)#ip nat inside source static UDP|TCP local-address port global-address port 定义全局IP地址池Red-Giant(config)#interface interface-type interface-number Red-Giant(config-if)#ip nat inside
