资源描述
单击此处编辑母版文本样式,第二级,第三级,第四级,课件,章节标题,Page,*,Copyright 2015,Copyright 2015,网络安全系统集成,1章节标题,1一级标题,2二级标题,3三级标题,4四级标题,5五级标题,单击此处编辑母版文本样式,第二级,第三级,第四级,课件,章节标题,Page,*,Copyright 2015,Copyright 2015,网络安全系统集成,1章节标题,1一级标题,2二级标题,3三级标题,4四级标题,5五级标题,单击此处编辑母版文本样式,第二级,第三级,第四级,课件,章节标题,Page,*,Copyright 2015,Copyright 2015,网络安全系统集成,1章节标题,1一级标题,2二级标题,3三级标题,4四级标题,5五级标题,单击此处编辑母版文本样式,第二级,第三级,第四级,课件,章节标题,Page,*,Copyright 2015,Copyright 2015,网络安全系统集成,1章节标题,1一级标题,2二级标题,3三级标题,4四级标题,5五级标题,单击此处编辑母版文本样式,第二级,第三级,第四级,课件,章节标题,Page,*,Copyright 2015,Copyright 2015,网络安全系统集成,1章节标题,1一级标题,2二级标题,3三级标题,4四级标题,5五级标题,单击此处编辑母版文本样式,第二级,第三级,第四级,课件,章节标题,Page,*,Copyright 2015,Copyright 2015,网络安全系统集成,1章节标题,1一级标题,2二级标题,3三级标题,4四级标题,5五级标题,单击此处编辑母版文本样式,第二级,第三级,第四级,课件,章节标题,Page,*,Copyright 2015,Copyright 2015,网络安全系统集成,1章节标题,1一级标题,2二级标题,3三级标题,4四级标题,5五级标题,单击此处编辑母版文本样式,第二级,第三级,第四级,课件,章节标题,Page,*,Copyright 2015,Copyright 2015,网络安全系统集成,1章节标题,1一级标题,2二级标题,3三级标题,4四级标题,5五级标题,单击此处编辑母版文本样式,第二级,第三级,第四级,课件,章节标题,Page,*,Copyright 2015,Copyright 2015,网络安全系统集成,1章节标题,1一级标题,2二级标题,3三级标题,4四级标题,5五级标题,单击此处编辑母版文本样式,第二级,第三级,第四级,课件,章节标题,Page,*,Copyright 2015,Copyright 2015,网络安全系统集成,1章节标题,1一级标题,2二级标题,3三级标题,4四级标题,5五级标题,单击此处编辑母版文本样式,第二级,第三级,第四级,课件,章节标题,Page,*,Copyright 2015,Copyright 2015,网络安全系统集成,1章节标题,1一级标题,2二级标题,3三级标题,4四级标题,5五级标题,“十二五”职业教育国家规划教材(经全国职业教育教材审定委员会审定)高等职业教育精品示范教材(信息安全系列),网络安全系统集成,主讲教师:,网络安全系统集成项目概述,项目1,Page,3,各行各业的大、中、小企事业单位需要组建网络;,以用户的网络应用需求和投资规模为出发点;,综合应用计算机技术和网络通信技术;,合理选择各种软硬件产品;,通过集成设计、应用开发、安装组建、调试和培训、,管理和维护等大量专业性工作和商务工作;,具有良好的性价比,满足用户的实际需要。,Page,4,通过本项目的学习,达到以下知识和技能目标,。,了解网络系统集成的基本过程;,掌握网络需求分析的内容和方法;,掌握网络工程项目规划和实施步骤;,具备理论联系实际和团队协作能力。,Page,5,ABC公司总部设有市场部、财务部、人力资源部、企划部4个部门,并在上海、广州两地各设立一个公司分部。,为了业务的开展,需要安全访问公司内部服务器。,根据ABC公司的建网需求,在经过竞争激烈的招投标后,从事网络工程及系统集成业务的川海高新技术有限公司承接了ABC公司网络组建项目,目前进入了项目的启动阶段。,按照ABC公司网络的设计要求,为了确保网络部署成功,需要分析用户需求、网络设备选型,并制定项目实施流程。,Page,6,根据项目要求,将本项目的工作内容分解为两个任务,任务1:分析企业网络的需求;,任务2:绘制网络拓扑结构图。,Page,7,1.1.1,网络系统集成的基本过程,网络系统集成的概念(三个层次、四个要素),网络,:,它含有系统集成成分,但是不具有更专业的技术和工艺。,系统:,是实现特定功能达到某一目标而构成的相互关联的集合体。,集成:,是一种过程、方法和手段。,网络系统集成的通用定义:,以用户的网络应用需求和投资规模为出发点,合理选择各种软件产品、硬件产品和应用系统等,并将其组织为一体,能够满足用户的实际需要,具有性价比优良的计算机网络系统的过程。,Page,8,1.1.1,网络系统集成的基本过程,网络系统集成的概念(三个层次、四个要素),目标:,系统生命周期中与用户利益始终保持一致的服务。,方法:,先进的理论+先进的手段+先进的技术+先进的管理。,对象:,计算机及通信硬件+计算机软件+计算机使用者+管理。,内容:,计算机网络集成+信息和数据集成+应用系统集成。,Page,9,1.1.1,网络系统集成的基本过程,网络系统集成的体系结构,Page,10,1.1.1,网络系统集成的基本过程,网络系统集成的基本过程,网络系统集成是一项综合性很强的系统工程,其实施的全过程包括商务、管理和技术三大方面的行为,这些行为交替或混合地执行。,Page,11,1.1.2,网络系统集成实例,ABC公司网络建设概述,计算机网络在ABC公司的业务开展中扮演着非常重要的角色,员工数量的逐年增加,所有的业务数据全部通过计算机处理,并通过网络在总部和分部之间传递。公司要求分两期建设网络信息系统。一期工程要求在项目的规划和实施中采用先进的计算机、服务器、网络设备以及系统管理模式,实现公司内部所有资源的合理应用和完善管理,使所有员工都能方便地使用公司内部网络,并能安全、高效地访问公司内部的网络应用服务和Internet。,Page,12,1.1.2,网络系统集成实例,ABC公司网络整体需求,按照部门进行网段划分,同时保证部门间的广播隔离;,确保网络带宽主干千兆位,百兆位到桌面;,网络必须要有冗余机制,避免单点故障而导致全网瘫痪;,公司网络所有用户能接入Internet;,公司总部和分部内网实现网络互通。,Page,13,1.1.2,网络系统集成实例,ABC公司网络功能分析,为了实现总部和分部各部门二层隔离,在交换机上划分VLAN;,实现二层链路的冗余和负载均衡,在交换机上配置MSTP协议;,实现网络三层链路冗余和负载均衡,交换机上使用VRRP协议;,保障核心网络链路带宽,实现流量的负载均衡,需在核心层交换机上做链路聚合;,总部和分部的内部网络均采用RIPv2协议,用于建立通往内部网络中各个子网的传输路径的路由项。,使用OSPF协议用于建立隧道两端经过公共网络的传输路径和内网用户访问Internet的传输路径。,分部网络使用单臂路由技术实现VLAN间的路由;,总部和分部使用NAT技术,实现内部用户访问互联网资源。,Page,14,1.1.2,网络系统集成实例,ABC公司网络工程设计,网络工程设计就是要明确采用哪些技术规范,构筑一个满足哪些应用需求的网络系统,从而为用户要建设的网络系统提供一套完整的实施方案。,Page,15,1.1.2,网络系统集成实例,逻辑网络设计网络拓扑结构设计:,由于ABC业务部门较多,同时还涉及与各分支机构的互联,从网络架构的合理性及易管理性方面考虑,整个ABC公司的网络应根据各种应用的功能进行分区域规划设计。,Page,16,1.1.2,网络系统集成实例,逻辑网络设计IP地址规划:,一方面确保子网的大小能够符合相应部门或连接对IP地址的需求,另一方面又尽量避免IP地址的浪费。,逻辑网络设计交换策略:,对于有较高带宽要求的部门,可以考虑使用LACP协议将多条物理链路聚合成一条逻辑链路。对于网络的可靠性要求比较高的部门,可以在数据链路层引入冗余链路并运行STP。,逻辑网络设计路由技术:,由于在IP地址规划中采用了VLSM技术,选择无类别的路由选择协议进行不同网段之间的路由。对于网络的可靠性要求比较高的部门,可以在网络层引入冗余设备和冗余链路并运行VRRP协议。,逻辑网络设计广域网技术:,总部和分部之间使用广域网连接,运行PPP协议。,Page,17,1.1.2,网络系统集成实例,逻辑网络设计网络设备管理:,网络设备必须能够远程登录进行配置管理,同时必须对所有的网络设备上的操作系统及配置文件进行备份。,网络网络设计,具体包括局域网技术的选择、确定网络设备及选择不同的传输介质,。,本书不再涉及,请读者参考其中的内容。,网络部署,包括机房装修和综合布线,,,本书不做介绍。,调试和验收,网络工程实施主要包括软硬件设备的采购、安装、配置、调试和培训等,通过系统综合测试,一是为了充分暴露系统是否存在潜在的缺陷及薄弱环节,以便及时修复;二是检验系统的性能是否达到设计标准要求。,Page,18,1.1.3,网络安全系统集成实例,网络安全系统集成过程,网络安全系统集成过程一般经历以下过程:,在对网络风险分析的基础上,在安全策略的指导下,可以决定所需的安全服务类型,选择相应的安全机制,然后集成先进的安全技术,形成一个全面综合的安全系统,建立相关的规章制度,并对安全系统进行审计评估和维护。,Page,19,1.1.3,网络安全系统集成实例,ABC网络安全总体要求,全面有效地保护公司网络设备及软件系统的安全,。,可自动和手动分析网络安全状况,实时监测并及时记录潜在的安全威胁。,不影响公司信息系统的正常运行,具有很强的可用性和及时恢复性。,满足公司业务需求和企业可持续发展需求,具有很强的可扩展性和柔韧性。,所采用的安全设备和技术通过我国安全产品管理部门的合法认证。,Page,20,1.1.3,网络安全系统集成实例,ABC公司网络安全工作任务,对ABC公司网络面临的威胁及可能承担的风险进行定性与定量的风险评估,。,对操作系统本身的缺陷以及可能承担的风险进行定性与定量的风险评估。,对应用系统存在的问题、面临的威胁及可能承担的风险进行定性与定量的风险评估。,制定该公司计算机网络系统的安全策略和解决方案,确保该公司计算机网络信息系统安全可靠地运行。,Page,21,1.1.3,网络安全系统集成实例,ABC公司信息系统面临的威胁,ABC公司信息网络比较开放,终端数量较大,非常容易受到来自Internet本身的安全威胁。,对公司自身来说,其科研人员承担了大量的产品研制与开发任务,在开发过程中的数据需要采取严格的保护措施。,公司网络管理结构相对复杂,没有系统的安全管理和安全事件监控机制。,Page,22,1.1.3,网络安全系统集成实例,ABC公司网络系统安全需求,防止网络广播风暴影响系统关键业务的正常运转,甚至导致系统的崩溃。,严格控制各种人员对公司局域网的接入,防止公司内部涉密信息的泄露。,控制公司网络不同部门之间的相互访问。,实现公司局域网与其他网络之间的安全,高效数据访问。,确保广域网数据传输的保密性。,网络系统需要充分考虑到各种网络设备的安全。,Page,23,1.1.3,网络安全系统集成实例,ABC公司网络安全风险分析,整个网络均采用开放的TCP/IP协议,面临来自内、外网用户的各类攻击的安全风险。,面临某些少数用户发起的“拒绝服务、病毒传播”等恶意攻击的安全风险。,面临着某些重要信息(如核心交换机等网络设备的配置信息)泄露的安全风险。,对公司用户的管理带来较大的困难,同时可能导致整个网络出现安全漏洞隐患。,网络中运行的关键业务,在高质量数据传输的前提下,必须有充分的安全保障。,Page,24,1.1.3,网络安全系统集成实例,ABC公司网络安全策略制定,业务需求和风险分析是安全策略制定的主要来源。,安全策略规定了用户、管理者和技术人员保护技术和信息资源的义务,也指明了访问机构的技术人员和信息资源人员都必须遵守的规则。,安全策略一般包括总体的策略(一般不是某种特定的技术,而是一些与网络运行有关的更加宏观的因素)和具体的规则(组织机构的最佳做法)。,Page,25,1.1.3,网络安全系统集成实例,ABC公司网络安全机制设计,物理安全机制设计:,建立防辐射的屏蔽机柜,采用屏蔽双绞线、屏蔽模块和屏蔽配线架,配置防雷设备、UPS的安全配置以及防火系统。,网络系统安全机制设计:,使用VLAN来为网络内部提供安全性,在内部网络和外部网络之间使用防火墙,在网络出口处安装专用的入侵检测系统,使用VPN来创立专用的网络连接。,信息安全保护设计:,信息安全涉及信息的传输安全、信息存储的安全以及网络传输信息内容的审计等方面。选择加密技术和身份认证技术来保证网络中信息数据的安全。,Page,26,1.1.3,网络安全系统集成实例,ABC公司网络安全集成技术,身份验证技术。,信息加密技术。,访问控制技术。,虚拟专用网络技术。,网络设备安全加固技术。,网络防病毒技术。,网络安全设备部署。,Page,27,1.1.4,网络工程项目实施流程,本项目在网络安全系统集成实训室实施时,将项目实施划分成交换机配置、路由器配置、网络设备安全配置等3大模块,每一模块根据功能的不同,分解成若干不同的工作任务。,由于本项目综合性很强且涉及的任务较多,建议该项目在实施过程中,组建一个承担不同任务角色的任务实施小组,并在连续的时间段内完成。,在项目实施过程中,每组大约46名学生,并选一名学生作为组长承担网络工程项目经理的工作,其余学生充当项目小组网络工程师等角色,并承担相应工作。教师充当用户方代表及项目的总规划师和设计师双重角色,负责项目的技术咨询和指导工作,控制课程的组织与开展。,Page,28,1.1.4,网络工程项目实施流程,项目实施角色任务分配,Page,29,1.1.4,网络工程项目实施流程,项目实施设备:项目实施所需要的接入层设备和计算机终端数量较多,路由器和核心层的设备相对少很多 。,Page,30,1.2,项目实施,任务1:分析企业网络的需求,参见教材P14-15。,任务2:绘制网络拓扑结构图,参见教材P15-17。,Page,31,1.3,项目小结,本项目首先介绍了网络系统集成的基本概念、体系结构、集成模型,详细分析了网络工程设计过程,包括用户需求分析、逻辑网络设计、物理网络设计、网络部署、网络调试和验收。每一阶段都需要完成特定目标,在工程进展过程中有可能需要回溯到前一个乃至第一个阶段,最终保证达到用户目标。,本项目还特别介绍了网络层次设计模型,在网络逻辑设计阶段,需要选取相应的设计模型来设计网络拓扑结构。本项目是网络系统集成的方法论,从下一项目开始将介绍具体的实现技术和方法。,Page,32,Page,32,Thank You!,“十二五”职业教育国家规划教材(经全国职业教育教材审定委员会审定)高等职业教育精品示范教材(信息安全系列),网络安全系统集成,主讲教师:,企业网络IP地址规划,项目2,计算机网络是用物理链路将各个孤立的工作站和主机相连组成数据链路,从而达到资源共享和数据通信的目的的网络。,在Internet上,每一个节点都要依靠唯一的网络地址相互区分和相互联系。,为网络中的每一个节点确定网络地址非常重要,其中IP地址的规划属于企业网络规划的核心内容。,通过本项目的学习,读者将达到以下知识和技能目标:,理解网络中地址的层次对应关系和相互转化;,掌握IP地址的基本概念、划分子网的方法及规划技巧;,具备勤于思考、认真做事的良好作风。,Page,35,ABC企业网络是一个具有上千个终端的中型企业局域网络,如何合理和充分利用IP地址以解决网络终端的通信需求是该项目的一个非常重要任务,需要考虑到很多方面的问题。,满足ABC公司员工访问Internet对IP地址的需求。对公司中的计算机在内部网络使用私有IP地址,在网络出口使用唯一合法固定IP地址来满足所有计算机连接外部网络的需求。,满足ABC公司不同部门对IP地址的需求。为了合理利用IP地址,在划分子网的方式上采用变长掩码划分子网技术,为各个部门尽量分配大小合适的子网。,Page,36,根据项目要求,实现企业网络IP地址规划需要,完成规划企业网络IP地址任务。,Page,37,2.1.1,网络地址概述,网络地址及其层次关系,计算机网络中有4类地址,包括域名地址、端口地址、IP地址和MAC地址,这些地址用于网络中的计算机设备、网络应用进程的寻址,与TCP/IP模型的对应关系如图所示。,Page,38,2.1.1,网络地址概述,网络地址及其层次关系,网络中寻址时需要进行地址转换,需要用到地址转换协议。,Page,39,2.1.2,IP地址的基本概念,IP地址的分类,IP地址用于标识网络连接。根据RFC791的定义,IP地址是一个32位二进制数,由网络ID和主机ID组成。,Page,40,2.1.2,IP地址的基本概念,IP地址的分类,IP地址中主机ID提取过程。,Page,41,2.1.2,IP地址的基本概念,掩码的概念,掩码也是一个32位的二进制数,其中表示网络ID部分对应位置为“1”,主机ID部分对应位置为“0”。掩码用于“掩”掉特定IP地址中的一部分以区别网络地址和主机地址,并说明该IP地址是在本地网络上,还是在远程网络上,这也说明IP地址不能脱离掩码而独立存在。,Page,42,2.1.2,IP地址的基本概念,划分子网的方法,子网掩码的一个重要功能就是用来划分子网。通过划分子网可以将单个网络ID对应的主机ID分成两个部分,其中一部分用于子网ID编址,剩下的部分用于主机ID编址,这样两级的IP地址在本单位内部就变为三级的IP地址:网络ID+子网ID+主机ID。,定长子网掩码(FLSM)划分方法,划分子网的最初目的是把基于某类(A类、B类、C类)的网络进一步划分成几个规模相同的子网,每个子网的掩码长度是一样的,所以把这种划分方法称为定长子网掩码划分方法。,RFC 950规定了划分子网的规范,在划分子网时需要考虑子网ID不能取全“1”和“0”。,定长子网掩码划分子网案例,参见教材P23-24。,Page,43,2.1.2,IP地址的基本概念,划分子网的方法,变长子网掩码(VLSM)划分方法,虽然FLSM划分子网方法对IP地址结构进行了有价值的扩充,但是它受到一个基本的限制,即整个网络只有一个子网掩码。,在RFC 1878中定义了VLSM,规定如何在一个进行了划分子网的网络中的不同部分使用不同的子网掩码,这对于网络内部不同网段需要不同大小子网的情形来说是非常有益的。,在划分子网时不再考虑子网ID不能取全“1”和“0”。,变长子网掩码划分子网案例,参见教材P25-26。,Page,44,2.1.2,IP地址的基本概念,无分类编址CIDR,无类域间路由(Classless Inter-Domain Routing,CIDR)在RFC 1517、RFC 1518、RFC 2050中描述。,CIDR是VLSM和路由汇总(路由聚合)的扩展,CIDR在使用VLSM的基础上消除了传统A、B、C类网络划分,并且可以在软件的支持下实现超网构造。,CIDR通过使用VLSM和路由汇总可以大幅度提高IP地址空间的利用率,增加网络的可扩展性,减小路由表规模,提高路由器的路由转发能力。,Page,45,2.1.2,IP地址的基本概念,无分类编址CIDR,CIDR使用斜线记法,方法是在IP地址后面加一斜线“/”,然后写上网络前缀所占比特数,前缀使用一个十进制数标识。,CIDR可以用来做IP地址汇总(或称超网),以减少核心路由器中的路由条目。,利用CIDR实现地址汇总必须满足两个基本条件:,待汇总地址的网络号必须拥有相同的高位。,路由只能在比特的边界进行汇总(2的幂或者2的幂的倍数边界)。否则汇总可能产生路由黑洞。,CIDR 操作案例,参见教材P27-28。,Page,46,2.1.3,IP地址规划,IP地址编码规则,“是否便于聚合”是地址分配的基本原则,而聚合又与路由器连接紧密相关。,根据拓扑结构(与路由器连接关系)分配地址是最有效的方法。,按拓扑结构分配地址的方案存在这样一个问题:如果没有相应的图表或数据库参照,要确定一些连接之间的上下级关系(比如确定某个部门属于哪个网络)是相当困难的。,解决(降低)这种困难的做法是将按拓扑结构分配地址的方案与其他有效的方案(例如按行政部门分配地址)组合使用。具体做法如下:用IP地址的左边两个字节表示地理结构,用第三个字节标识部门结构(或其他的组合方式)。,Page,47,2.1.3,IP地址规划,IP地址编码举例,拓扑结构,进行部门编码,Page,48,2.1.3,IP地址规划,IP地址编码举例,对各个接入点进行地址分配,对各部门进行子网分配,Page,49,2.1.3,IP地址规划,IP地址规划技巧,逻辑网络设计过程中,IP地址规划是一个关键内容。,IP地址规划之前需要明确的主要内容包括:需要采用哪种类型的公有地址和私有地址、需要访问私有网络的主机分布、需要访问公有网络的主机分布、私有地址和公有地址的边界、私有地址和公有地址如何翻译、VLSM设计、CIDR设计,Page,50,2.2,项目实施,任务:规划企业网络IP地址,参见教材P30-34。,Page,51,2.3,项目小结,本项目主要讨论了IP地址的规划与设计,以及IP地址的分配策略。IP地址规划的过程中需要考虑实际网络中的具体要求:如对用户进行分组,隔离不同用户组之间的通信;利于分层结构设计;利于地址分配;利于流量聚合等,这些功能的实现都是依赖划分子网技术来完成的,因此必须对划分子网的基本概念和方法有深入的理解。,Page,52,Page,53,Page,53,Thank You!,“十二五”职业教育国家规划教材(经全国职业教育教材审定委员会审定)高等职业教育精品示范教材(信息安全系列),网络安全系统集成,主讲教师:,网络设备的基本配置与管理,项目3,企业网络的重要设备是交换机和路由器,网络管理员或工程师的一项重要工作是配置和管理交换机或路由器。,使用交换机或路由器的系统软件(操作系统)提供的命令行界面(或图形界面等)输入相关命令或参数的操作。,交换机和路由器本身不带显示器和键盘,需要通过通用计算机与它们建立连接,登录访问其操作系统。,通过本项目的学习,读者将达到以下知识和技能目标:,学会交换机和路由器配置环境的搭建和配置方法;,掌握交换机和路由器系统文件及配置文件的存储与运行;,掌握交换机和路由器系统软件命令行界面功能;,掌握交换机和路由器的工作过程和基本配置命令;,具备良好的职业道德和较强的工作责任心。,Page,56,ABC公司在完成需求分析后,提出交换机等选型建议。,经过ABC公司网络安全系统集成项目招投标后,最终确定性价比较好的锐捷网络有限公司的网络产品并签订网络设备购买合同和服务协议。,交换机和路由器等网络设备到货后,首要事情就是与设备供应商和用户共同对设备进行验收。,一是设备包装表面检查,查看是否有运输损坏或开箱迹象;,二是开箱验收,包括检查设备型号、设备性能、工作状况是否符合要求等。,交换机和路由器的详细配置过程比较复杂,而且具体的配置方法会因不同品牌、不同系列等而有所不同。,Page,57,根据项目要求,将本项目的工作内容分解为两个任务:,任务1:搭建企业网络设备远程管理环境;,任务2:实施企业网络设备IOS管理。,Page,58,3.1.1,交换机和路由器配置环境搭建,在初始状态下,交换机或路由器还没有配置管理IP地址,只能通过Console端口登录交换机和路由器。,制作反转线:反转线用于连接计算机的串行口到交换机或路由器的Console端口(控制台端口,又称配置口)。,硬件连接,Page,59,3.1.1,交换机和路由器配置环境搭建,在Windows中运行并配置超级终端。,终端仿真软件包括Hyper Terminal(HHgraeve公司制作)、Procomm Plus(DataStorm Technologies公司制作)及Tera Term等,其中,Hyper Terminal应用更为广泛。,单击“开始”“程序”“附件”“通讯”“超级终端”命令。,根据Console线所连的计算机串口号选择连接时使用的端口。,设置端口参数。,上电开启交换机,连续按Enter键,此时交换机或路由器开始载入操作系统。,Page,60,3.1.2,交换机和路由器的组成,硬件组成。,CPU:提供系统初始化、控制和管理交换的功能,控制和管理所有网络通信的运行。,RAM:用来保存运行的Cisco IOS软件(指令)及它所需要的工作内存,RAM中的内容在断电或重启时会丢失 。,ROM:保存着交换机或路由器的引导(启动)软件,ROM中的内容不会因断电而丢失。,FLASH:用做操作系统的永久性存储器,交换机断电或重启,闪存中的内容不会丢失。,NVRAM被用做存储启动配置文件(startup-config)的永久存储器,NVRAM在电源关闭后不会丢失信息。,Page,61,3.1.2,交换机和路由器的组成,软件组成。,IOS软件:存储在闪存中,可以通过 TFTP 服务器将IOS升级到新版本或者为其添加新功能,能够提供许多网络服务,取决于IOS版本和网络设备的类型。,配置文件:包含IOS软件命令,这些命令用于自定义交换机或路由器的功能。,Page,62,3.1.2,交换机和路由器的组成,软件组成。,配置文件有两种类型:,运行配置文件:用于交换机当前工作过程中。,启动配置文件:用做备份配置,在交换机启动时加载。,Page,63,3.1.3,IOS CLI命令行功能,IOS软件配置模式,使用 IOS 提供的命令来配置管理交换机或路由器,这个界面称为 IOS 的 CLI(Command Line Interface,命令行接口);,命令行采用分级保护方式,防止未经授权非法侵入,保护系统的安全。,Page,64,3.1.3,IOS CLI命令行功能,IOS命令结构,每个IOS命令都具有特定的格式或语法,并在相应的提示符下执行。,命令是在命令行中输入的初始字词,不区分大小写,命令后接一个或多个关键字和参数;关键字和参数可提供额外功能,关键字用于向命令解释程序描述特定参数。,Page,65,3.1.3,IOS CLI命令行功能,命令帮助系统,对上下文帮助:IOS提供了上下文相关单词和命令语法帮助。,命令语法检查:当提交命令后,命令行解释程序从左向右解释该命令,确定用户要求执行的操作,IOS提供负面反馈。,热键和快捷方式:IOS CLI提供热键和快捷方式,以便配置、监控和排除故障。,Page,66,3.1.3,IOS CLI命令行功能,访问命令历史记录:IOS命令历史记录缓冲区可以节省重复输入命令的时间。,缩写命令或缩写参数:命令或关键字可缩写为唯一可确定该命令或关键字的最短字符数。,IOS软件常用命令:帮助、改变状态命令、显示命令。,Page,67,3.1.3,IOS CLI命令行功能,拷贝命令介绍:用于IOS及Configure的备份和升级。,Page,68,3.1.3,IOS CLI命令行功能,网络命令介绍:,登录远程主机,使用telnet,hostname,|,IP address,命令;,网络检测,使用ping,hostname,|,IP address,命令;,路由跟踪,使用trace,hostname,|,IP,address,命令。,Page,69,3.1.3,IOS CLI命令行功能,基本设置命令。,Page,70,3.1.4,交换机和路由器的启动过程,Page,71,3.1.4,交换机和路由器的启动过程,执行POST(加电自检):保证交换机或路由器在使用它们的时候可以正常的工作;,加载bootstrap(引导)程序:主要任务是查找IOS映像文件并将其加载到RAM;,查找并加载IOS系统软件:在默认情况下,首先从闪存中加载IOS至RAM中,如果加载失败,则从外部的TFTP服务器上直接读入到RAM中,而不是闪存中,最后才将ROM中受限功能的BOOT ROM IOS加载至RAM中,主要用于升级闪存中的IOS。,Page,72,3.1.4,交换机和路由器的启动过程,用两种工具来告诉路由器加载哪个IOS:使用全局命令config-register 和boot system命令。,config register,是一个存储在路由器中的16位的二进制数,其低4位称为启动域,告诉引导程序加载哪个软件。,0 x2100加载ROMMON(低级别调试和密码恢复)。,0 x2101加载BOOT ROM IOS(升级IOS)。,0 x2102加载其他位置的IOS,典型的是从闪存中。,Page,73,3.1.4,交换机和路由器的启动过程,第二种工具boot system命令。,加载在配置文件中boot system命令定义的IOS文件。,如果这个IOS文件加载失败,则尝试下一个boot system命令。,如果所有的boot system都执行失败,或者没有boot system命令,将会加载闪存中找到的第一个IOS文件。,使用boot system命令 举例。,Page,74,3.1.4,交换机和路由器的启动过程,查找并加载配置文件。,查找启动配置文件:IOS 加载后,bootstrap 程序会搜索 NVRAM 中的启动配置文件(也称为 startup-config)。,执行配置文件:如果在NVRAM中找到启动配置文件,则IOS会将其加载到RAM作为running-config,并以一次一行的方式执行文件中的命令。,进入设置模式:如果不能找到启动配置文件,路由器会提示用户进入设置模式。,Page,75,3.1.4,交换机和路由器的启动过程,检查交换机或路由器的启动过程。,在网络调试过程中,需要验证网络是否正常工作并排除故障。,交换机的类型不同,show命令的条目也不同。,使用Show version 命令用来显示当前加载的软件版本,以及硬件和设备相关的信息。,Page,76,3.1.5,交换机或路由器的基本配置,配置交换机主机名:当网络中使用了多个交换机时,以示区别,应根据交换机的应用场地,设置一个具体的主机名,如 。,配置管理IP地址。,由于路由器或三层交换机是三层设备,可以直接在其接口上配置IP地址,直接使用接口地址作为管理IP。,在二层交换机中,IP地址仅用于远程登录管理交换机,对于交换机的正常运行不是必需的。,Page,77,3.1.5,交换机或路由器的基本配置,配置DNS服务器:在实际应用中,通常禁用DNS服务。,限制交换机的访问:在交换机的IOS上可以设置不同的口令来提供不同的访问权限。,控制台口令:用于限制人员通过控制台访问交换机。,特权口令:用于限制人员访问特权执行模式。,特权加密口令:加密口令,用于限制人员访问特权执行模式。,VTY口令:用于限制人员通过Telnet访问交换机。,Page,78,3.1.5,交换机或路由器的基本配置,管理配置文件,使更改后的配置成为新的启动配置:在特权模式下执行copy running-config startup-config命令 和执行write命令。,使交换机恢复为其原始配置:最好的方式是通过使用reload命令重启交换机来完成。也可以使用命令copy flash:config.bak1 startup-config,覆盖现有startup-config。,删除交换机中的所有配置:使用erase NVRAM:startup-config或者erase startup-config命令。,Page,79,3.1.5,交换机或路由器的基本配置,通过文本捕获备份配置文件。,在超级终端窗口中,选择“传送”|“捕获文字”菜单命令。,指定捕获配置的文本文件名。,单击“启动”按钮,开始捕获文本。,通过输入show running-config命令将配置文件显示在屏幕上。,每当“-more-”提示出现时按空格键,使其继续显示直到结束。,当全部配置显示完成后,选择“传送”|“捕获文字”|“停止”菜单命令。,Page,80,3.1.5,交换机或路由器的基本配置,恢复文本配置。,在实际工程应用中,交换机的配置文件一般保存为文本文件,通过“记事本”和交换机配置模式之间使用复制粘贴功能。,使用“记事本”在特定配置模式下输入相关实现配置命令,并注意不同配置模式的相互切换操作。,采用一款用于分类管理自由格式资料的数据库软件MyBase对配置脚本进行管理。,Page,81,3.1.6,交换机或路由器的管理方式,对交换机或路由器进行配置和管理时有两种方式,本地控制台登录方式,不占用网络的带宽,也被称为带外管理(Out of Band)。进行网络管理的交换机或路由器上都提供了一个专门用于管理设备的接口(Console端口),需要使用一条特殊的线缆连接到计算机的串行接口,计算机利用超级终端程序进行登录和配置。,远程配置方式,需要占用网络带宽,称为带内管理(In of Band)。,Page,82,3.1.6,交换机或路由器的管理方式,Telnet远程登录方式,Telnet是远程登录协议,又称为终端仿真或虚拟终端程序,它可以登录到远程计算机、网络设备或专用TCP/IP网络。,若要使用Telnet协议来实现对交换机或路由器的远程配置,应确认已经做好了以下准备工作:,在用于管理的计算机上安装TCP/IP协议,并配置好IP地址信息。,在被管理的交换机或路由器上已经配置好IP地址信息。,在被管理的交换机或路由器上设置enable密码和验证登录用户身份机制。,一是采用密码验证机制;二是采用本地数据库用户身份验证,同时在全局模式下创建本地用户;三是在网络中配置第三方认证服务器并创建用户,在交换机或路由器中指定使用第三方服务器中创建的用户信息来验证登录用户的身份。,Page,83,3.1.6,交换机或路由器的管理方式,Web浏览器访问方式,在用于管理的计算机和交换机与路由器上配置了IP地址信息。,在用于管理的计算机中安装有支持Java的Web浏览器。,在被管理的交换机上已建立具有管理权限的用户账户。,被管理的交换机或路由器的操作系统支持HTTP服务,并且已经启用了该服务。,SNMP远程登录方式,通过支持SNMP协议的网管代理进行交换机或路由器的配置与管理。在网络管理软件能够管理交换机或路由器之前,交换机或路由器也必须配置合适的IP地址,启用网管代理,并保证管理机与交换机或路由器的网络连通性。,Page,84,3.2,项目实施,任务1:搭建企业网络设备远程管理环境,参见教材P56-58。,任务2:实施企业网络设备IOS管理,参见教材P58-63。,Page,85,3.3,项目小结,本项目介绍了在不同操作模式下支持不同的命令,不可以跨模式执行命令。读者对交换机或路由器实施带外管理和远程管理的任务学习,应对交换机或路由器的软硬件结构和运行过程有深入的理解,初学者在学习交换机或路由器操作命令时,除要了解完整的执行命令外,还必须掌握操作命令的简写,以提高操作速度。,Page,86,Page,87,Page,87,Thank You!,“十二五”职业教育国家规划教材(经全国职业教育教材审定委员会审定)高等职业教育精品示范教材(信息安全系列),网络安全系统集成,主讲教师:,企业部门网络隔离与互通,项目4,交换式以太网中,广播操作是不可避免的,因许多高层协议都是面向广播的协议。,较大规模的局域网将面临广播泛滥的问题,将引发网络传输效率降低、MAC帧中数据安全等问题。,VLAN技术恰好在不需要额外增添网络设备的基础上很好地解决此问题,但同时也带来了VLAN之间的用户无法互通问题。,路由器被用来实现VLAN间的通信,但路由器的软件转发机制要么网络建设成本剧增,要么在转发层面上形成带
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
