第三章 構建安全的局域網(wǎng)

第三章  構建安全的局域網(wǎng)

3.1 交換機概述

交換機是目前局域網(wǎng)中使用最廣的網(wǎng)絡設備，它工作在數(shù)據(jù)鏈路層。由于其能夠根據(jù)局域網(wǎng)的拓撲結構自動形成端口地址表，并依此表線速的轉達發(fā)數(shù)據(jù)包，減少了網(wǎng)絡的沖突，增加了網(wǎng)絡帶寬。

交換機擁有一條很高帶寬的內(nèi)部總線和內(nèi)部交換結構。交換機的所有的端口都掛在這條內(nèi)部總線上，控制電路收到數(shù)據(jù)包以后，端口處理程序會查找內(nèi)存中的地址對照表以確定目的MAC地址的NIC（網(wǎng)卡）掛接在哪個端口上，通過內(nèi)部交換機構迅速將數(shù)據(jù)包傳送到目的的端口。只有當目的MAC不存在時，才將數(shù)據(jù)廣播到所有的端口。接收端口響應后，交換機會學習新的地址，并把它添加到內(nèi)部地址表中。

使用交換機可以把網(wǎng)絡“分段”，通過地址對照表，交換機只允許必要的網(wǎng)絡流量通過交換機。通過交換機的過濾和轉發(fā)，可以有效地隔離廣播風暴，減少錯包的出現(xiàn)，避免出現(xiàn)共享沖突。

交換機在同一時刻可進行多個端口對之間的數(shù)據(jù)傳輸。每一端口都可視為獨立的網(wǎng)段，連接在其上的網(wǎng)絡設備獨自享有全部帶寬，無須同其他設備競爭使用。

沖突域：用同軸電纜構建或以集線器（Hub）為核心構建的共享式以太網(wǎng)，其所有節(jié)點同處于一個共同的沖突域，一個沖突域內(nèi)的不同的設備同時發(fā)出的以太幀互相沖突；同時，沖突域內(nèi)的一臺主機發(fā)送的數(shù)據(jù)，同處于一個沖突域的其他主機都可以接收到。可見，一個沖突域內(nèi)的主機太多會導致每臺主機得到的可用帶寬降低，網(wǎng)上沖突可能性成倍增加，信息安全得不到保證。

廣播域：廣播域是網(wǎng)上一組設備的集合，當這些設備中的一個發(fā)出一個廣播幀時，所有其他設備都能接收到該幀。

廣播域和沖突域是兩個比較容易混淆的概念，在這里一定要注意區(qū)分這兩個概念：連接在一個Hub上的所有設備構成一個沖突域，同時也構成了一個廣播域；連接在交換機上的每個設備都分別屬于不同的沖突域，交換機每個端口構成一個沖突域，而屬于同一個VLAN中的主機都屬于同一個廣播域。

橋接：橋接又稱網(wǎng)橋，它用來連接兩個或更多的共享式以太網(wǎng)段，不同的網(wǎng)段分別屬于各自的沖突域，所有網(wǎng)段處于同一個廣播域，橋接的工作模式是交換機工作原理的基礎。

交換：局域網(wǎng)交換的概念來自橋接，從基本功能上講，它于橋接使用相同的算法，只是交換的實現(xiàn)是由專用硬件實現(xiàn)，而傳統(tǒng)的橋接是由軟件來實現(xiàn)的。并且局域網(wǎng)交換機具有豐富的功能，如VLAN劃分、生成樹協(xié)議、組播支持、服務質(zhì)量保證等。

MAC地址表：交換機內(nèi)有一個MAC地址表，用于存放該交換機端口所連接設備的MAC地址于端口號的對應信息。MAC地址表是交換機正常工作的基礎，它的生成過程也是我們應該重點掌握的內(nèi)容。

3.2交換機的配置管理方式

對網(wǎng)絡互連設備的配置通常有以下幾種方法：

1. 通過設備的Console（控制臺）端口接超級終端或運行終端仿真軟件的PC機
2. 通過設備的AUX端口接MODEM，通過電話線與遠方的終端
3. 通過Telnet程序
4. 通過瀏覽器
5. 通過網(wǎng)管軟件

但是網(wǎng)絡互連設備的第一次配置必須通過第一種方法來實現(xiàn)，同時第一種方法也是最常用最直接有效的方法。其它方法必須建立在網(wǎng)絡設備已有一些基本配置的基礎上。本實驗手冊對網(wǎng)絡設備的配置都是通過Console配置方法來實現(xiàn)。

3.2.1 Console口配置管理

具體操作步驟如下：

1. 連接Console口配置線纜，如果已經(jīng)連接，確認連接的主機串口是com1還是com2
2. 創(chuàng)建超級終端會話，按照如下路徑打開超級終端：windows開始—>程序—>附件—>通訊—>超級終端
3. 選擇通訊串口(com1或com2)
4. 配置串口工作參數(shù)；具體配置界面如圖1-1所示：

 

 

圖1-1 端口設置

 

完成上述配置之后，如果交換機已經(jīng)啟動，回車即可建立與交換機的通信。若未啟動，請檢查交換機電源是否打開。

3.2.2 Telnet配置管理

Telnet配置管理方法是網(wǎng)絡工程師或網(wǎng)絡管理員使用最廣泛的一種設備訪問控制方式。它通過局域網(wǎng)或廣域網(wǎng)實現(xiàn)本地或遠程地訪問控制。但是它的使用必須要求首先對設備進行初始化配置，否則用戶無法正確登陸和訪問。初始化配置只能通過Console口登陸進行配置。

如果要想訪問某交換機，必須能夠唯一確定被訪問的交換機。所以我們進行Telnent配置管理的前提是交換機必須具有唯一的IP地址。

配置交換機的IP地址：

Switch>en

Switch#config  terminal    （進入全局配置模式）

Enter configuration commands, one per line.  End with CNTL/Z.

Switch(config)#interface vlan 1    （進入交換機管理接口配置模式）

Switch(config-if)#ip address 192.168.0.1 255.255.255.0   （配置交換機管理接口IP地址）

Switch(config-if)#no shut    （開啟交換機管理接口）

Switch(config-if)#exit

Switch(config)#

此時請配置你的主機IP地址與Vlan 1處于同一網(wǎng)段，然后用windows附帶的Telnet終端軟件訪問192.168.0.1。如圖1-2所示：

 

 

圖1-5  單臺交換機VLAN劃分

3.7.5 實驗步驟

根據(jù)如上圖所示，為了清晰起見，建議刪除交換機上所有配置并且重新啟動交換機。

現(xiàn)在我們在交換機上劃分兩個VLAN，即VLAN 2、VLAN 3。一臺在沒有經(jīng)過任何配置的交換機默認是將所有的端口劃分在VLAN 1中。RG S2126G交換機共有24個端口，現(xiàn)在我們將前面從1—12個端口劃分在VLAN 2中，將后面的從13—24端口劃分在VLAN 3中。然后通過PC機之間看能否Ping通，同一個VLAN間的PC機 若能Ping通，而不同VLAN間的PC機不能Ping通，說明VLAN配置成功。具體操作如下：

Switch >

Switch >enable  14                         （進入特權模式）

Password:                                  (輸入14級密碼star)

                        

Switch #

Switch #conf  t

Switch(config)#hostname S2126_1              （交換機重命名為S2126_1）

S2126_1(config)#

S2126_1(config)#vlan ?                        (查看當前命令下的子命令)

  <1-4094>               VLAN IDs                                            

  range                  VLAN range command

 

S2126_1(config)#vlan 2                       （創(chuàng)建VLAN 2）

S2126_1(config-vlan)#name ?

  WORD                   Ascii name of the VLAN                              

 

S2126_1(config-vlan)#name Workgroup2    （為VLAN 2命名：Workgroup2）

2008-07-30 17:46:01  @5-CONFIG:Configured from outband

S2126_1(config-vlan)#exit                  

S2126_1(config)#vlan 3                                    （創(chuàng)建VLAN 3）

S2126_1(config-vlan)#name Workgroup3    （為VLAN 3命名：Workgroup3）

S2126_1(config-vlan)#exit

 

S2126_1(config)#

S2126_1(config)#interface range fastEthernet 0/1 – 12        （定義端口范圍）

S2126_1(config-if-range)#switchport access vlan 2    （將所定義的端口劃分到VLAN2）

S2126_1(config-if-range)#no shut                  （激活所定義的端口）

S2126_1(config-if-range)#exit

S2126_1(config)#

S2126_1(config)#interface range fastEthernet 0/13 – 24      （定義端口范圍）

S2126_1(config-if-range)#switchport access vlan 3  （將所定義的端口劃分到VLAN3）

S2126_1(config-if-range)#no shut               （激活所定義的端口）

S2126_1(config-if-range)#exit

S2126_1(config)#exit

S2126_1#sh vlan                                (查看VLAN數(shù)據(jù)庫信息)

                                                                             

VLAN Name                             Status    Ports                 

---- -------------------------------- --------- -------------------------------

1    default                          active   

2    Workgroup2                       active    Fa0/1 ,Fa0/2 ,Fa0/3

                                                Fa0/4 ,Fa0/5 ,Fa0/6

                                                Fa0/7 ,Fa0/8 ,Fa0/9

                                                Fa0/10,Fa0/11,Fa0/12

3    Workgroup3                       active    Fa0/13,Fa0/14,Fa0/15

                                                Fa0/16,Fa0/17,Fa0/18

                                                Fa0/19,Fa0/20,Fa0/21

                                                Fa0/22,Fa0/23,Fa0/24

 

S2126_1#

S2126_1# write memory                        （保存配置信息）

 

注意：在定義端口范圍的時，如S2126_1(config)#interface range fastEthernet 0/1 – 12，“fastEthernet 0/1 – 12”中“-”的左右兩邊都加空格也可以都不加。

配置完成后，將PC1和PC2同時接入VLAN 2中，測試一下同一VLAN內(nèi)的主機之間是否可以Ping通，答案是肯定的。接下來將PC 2接入VLAN 3中，測試一下不同VLAN內(nèi)的主機是否可以Ping 通，答案是否定的。因為PC 1和PC 2不屬于同一個VLAN中。

通過測試可以知道不在同一個VLAN中的計算機之間不能通信，同一個VLAN中的計算機可以相互通信。

 

 

 

 

3.8 跨交換機實現(xiàn)VLAN

3.8.1 實驗目的

跨交換機實現(xiàn)VLAN的劃分和配置

3.8.2 背景描述

    假設某公司的兩個主要部分：研發(fā)部和銷售部。兩個部門的個人計算機系統(tǒng)分散在兩臺交換機上，公司要求，部門內(nèi)的計算機能夠相互通信，部門間不能進行互訪，現(xiàn)能過跨交換機進行配置實現(xiàn)這一目標。

3.8.3 實驗設備

• 兩臺RG S2126G交換機
• 五臺PC機，其中一臺可以打開管理端網(wǎng)頁，進行設備配置
• 直通雙絞線若干，交叉雙絞線若干

3.8.4 實驗拓撲圖

實驗拓撲如圖1-6所示：

 

圖1-7  Trunk配置

3.9.5 實驗步驟

為了清晰起見，建議刪除交換機上所有配置并且重新啟動交換機。

1. 說明

如果我們的實驗設備是Cisco的，那么我們可以通過配置VTP（VLAN Trunking Protocol）減少我們在VLAN條目比較多的情況下創(chuàng)建VLAN的工作量。

VTP在系統(tǒng)級管理增加，刪除，調(diào)整的VLAN，自動地將信息向網(wǎng)絡中其它的交換機廣播。此外，VTP減小了那些可能導致安全問題的配置。便于管理,只要在vtp server做相應設置,vtp client會自動學習vtp server上的vlan信息。

但是VTP 是通過網(wǎng)絡中ISL幀或cisco私有DTP幀保持VLAN配置統(tǒng)一性，因此在銳捷交換機產(chǎn)品中沒有相關的配置。我們不得不使用笨拙的辦法來完成跨交換機實現(xiàn)VLAN，就是在每一臺交換機上都要做VLAN的配置(創(chuàng)建VLAN)。

 

2. 配置VLAN Trunk端口

分別在服務器和客戶端進行中繼端口設置

S2126_1(config)#interface fastEthernet 0/24

S2126_1(config-if)#switchport mode trunk         （f0/24端口鏈路模式設置為Trunk）

S2126_1(config-if)#switchport trunk ?

  allowed                Set allowed VLAN characteristics when interface is in

                         trunking mode

  native                 Set trunking native characteristics when interface is

                         in trunking mode

S2126_1(config-if)#switchport trunk allowed ?

  vlan                   Set allowed VLANs when interface is                 

                         in trunking mode

S2126_1(config-if)#switchport trunk allowed vlan ?

  add                    Add VLANs to the current list                       

  all                    All VLANs

  except                 All VLANs except the following

  remove                 Remove VLANs from the current list

 

S2126_1(config-if)#switchport trunk allowed vlan all  （允許所有VLAN信息通過此Trunk鏈路口）

S2126_1(config-if)#Switch(config-if)#exit

S2126_1(config)#exit

 

在Switch 2中做同樣的配置。

3. 創(chuàng)建VLAN

VLAN信息可以在服務器模式或透明模式交換機上創(chuàng)建。

交換機1：

S2126_1(config)#vlan 2

S2126_1(config-vlan)#name Workgroup2    （為VLAN 2命名：Workgroup2）

S2126_1(config-vlan)#exit                  

S2126_1(config)#vlan 3                                    （創(chuàng)建VLAN 3）

S2126_1(config-vlan)#name Workgroup3    （為VLAN 3命名：Workgroup3）

S2126_1(config-vlan)#exit

S2126_1(config)# exit

交換機2：

Switch #conf  t

Switch(config)#hostname S2126_2              （交換機重命名為S2126_2）

S2126_2(config)#vlan 2                       （創(chuàng)建VLAN 2）                          

S2126_2(config-vlan)#name Workgroup2    （為VLAN 2命名：Workgroup2）

S2126_2(config-vlan)#exit                  

S2126_2(config)#vlan 3                                    （創(chuàng)建VLAN 3）

S2126_2(config-vlan)#name Workgroup3    （為VLAN 3命名：Workgroup3）

S2126_2(config-vlan)#exit

 

S2126_2(config)#

 

4. 在交換機1和交換機2中分別將端口加入VLAN中

S2126_1(config)#interface range fastEthernet 0/1 - 8

S2126_1(config-if-range)#switchport access vlan 2

S2126_1(config-if-range)#no shut

S2126_1(config-if-range)#exit

S2126_1(config)#interface range fastEthernet 0/9 - 16

S2126_1(config-if-range)#switchporta access vlan 3

S2126_1(config-if-range)#no shut

S2126_1(config-if-range)#exit

S2126_1(config)#exit

S2126_1#show vlan

                                                                             

VLAN Name                             Status    Ports                  

---- -------------------------------- --------- -------------------------------

1    default                          active    Fa0/17,Fa0/18,Fa0/19

                                                Fa0/20,Fa0/21,Fa0/22

                                                Fa0/23,Fa0/24

2    Workgroup2                       active    Fa0/1 ,Fa0/2 ,Fa0/3

                                                Fa0/4 ,Fa0/5 ,Fa0/6

                                                Fa0/7 ,Fa0/8 ,Fa0/24

3    Workgroup3                       active    Fa0/9 ,Fa0/10,Fa0/11

                                                Fa0/12,Fa0/13,Fa0/14

                                                Fa0/15,Fa0/16,Fa0/24

S2126_1# write memory

S2126_1#

交換機2中做一樣的配置。

接下來將PC1用直通雙絞線連接到S2126_1交換機C2連接到VLAN 3中，PC3用直通雙絞線連接到S2126_2交換機C4連接到VLAN 3中。測試VLAN間的內(nèi)部通信。

 

 

 

 

 

3.10 STP（生成樹協(xié)議）

3.10.1 實驗目的

掌握生成樹協(xié)議STP的配置及原理

3.10.2 背景描述

某公司為了開展業(yè)務，增開了一個分公司，現(xiàn)在總部和分公司間通過兩臺交換機互連組成內(nèi)部企業(yè)網(wǎng)，為了提高網(wǎng)絡的可靠性，網(wǎng)絡管理員用兩條鏈路將交換機互連，但是這樣將會產(chǎn)生網(wǎng)絡環(huán)路，我們可以通過配置STP協(xié)議來解決這個問題。

3.10.3 實驗設備

• 兩臺RG S2126G交換機
• 五臺PC機，其中一臺可以打開管理端網(wǎng)頁，進行設備配置
• 直通雙絞線若干，交叉雙絞線若干

3.10.4 實驗拓撲圖

實驗拓撲如圖1-8、1-9所示

圖1-8 通過配置STP端口權值實現(xiàn)

圖1-9通過配置STP端口路徑值實現(xiàn)

3.10.5 實驗步驟

1．通過配置STP端口權值來實現(xiàn)負載均衡

基于端口權值的網(wǎng)絡環(huán)境如圖1-8所示。我們劃分了2個VLAN，2條Trunk，提高鏈路冗余。在兩臺交換機上創(chuàng)建VLAN，然后按照VLAN分配端口，并把f0/23和f0/24配置成Trunk。具體配置命令省略。

1. 現(xiàn)在我們在總部交換機的f0/23和 f0/24上配置STP。

交換機1：

S2126_1#config Terminal

S2126_1(config)#interface f0/23                   （進入端口f0/23配置模式）

S2126_1(config-if)#spanning-tree port-priority ?

  <0-240>                Port priority in increments of 16    （ 權值以16為增量）                                           

S2126_1(config-if)#spanning-tree port-priority 32     （將f0/23的端口權值設為32）

 

S2126_1 (config)#interface f0/24                   （進入端口f0/24配置模式）

S2126_1 (config-if)#spanning-tree vlan 2 port-priority 64（將f0/24的端口權值設為64）

S2126_1 (config-if)#end

S2126_1#write memory

交換機2：

配置同上。

這樣我們就在不同Trunk鏈路上設置了不同的STP權值，這樣STP協(xié)議就可以根據(jù)權值的大小來決定數(shù)據(jù)走哪條Trunk，在兩條不同的Trunk鏈路中，STP權值大（數(shù)字較?。┑逆溌范丝趯⑻幱谵D發(fā)狀態(tài)，STP權值?。〝?shù)字較大）的鏈路端口將處于阻塞狀態(tài)。任何一個時間，兩條冗余的Trunk鏈路中只有一條能夠轉發(fā)數(shù)據(jù)，而另一條鏈路端口被阻塞，這樣就防止了環(huán)路的產(chǎn)生。

 

 

2．通過配置STP路徑值來實現(xiàn)負載均衡

基于路徑值的網(wǎng)絡環(huán)境如圖1-9所示。

1. 在兩臺交換機上創(chuàng)建VLAN，然后按照VLAN分配端口，并把f0/23和f0/24配置成Trunk。具體配置命令省略。
2. 現(xiàn)在我們在總部交換機的f0/23和 f0/24上配置STP。

S2126_1#config Terminal

S2126_1(config)#interface f0/23                      (進入端口23配置模式，Trunk1)

S2126_1(config-if)#spanning-tree cost 19             （將生成樹路徑值設為19）    

S2126_1(config-if)#exit

S2126_1(config)#interface f0/24                     （進入端口24配置模式，Trunk2）

S2126_1(config-if)#spanning-tree cost 30             （將生成樹路徑值設為30）

S2126_1(config-if)#end

S2126_1# write memory

路徑值小的的鏈路將被用來轉發(fā)數(shù)據(jù)，通過路徑值大的鏈路將被阻塞。

 

至此交換機已經(jīng)通過配置STP協(xié)議實現(xiàn)了Trunk線路的負載均衡，使具有冗余鏈路結構網(wǎng)絡中避免了產(chǎn)生環(huán)路。