信息与通信路由交换由浅入深培训

1、某县教育信息平台网络拓扑 三层交换机 三层交换机 三层交换机 n某县教育信息平台网络拓扑 n网络基础知识 n交换机的管理方法 n以4504为例说明交换路由的配置 n整个网络系统实现预览 nARP协议原理 nARP欺骗原理 nARP欺骗防范措施 OSIOSI七层模型七层模型 路由器、三层交换机、网关 集线器 二层交换机、网桥 多层交换机 TCP,UDP IP,路由，VRRP VLAN,STP,RSTP,MAC地址 物理信号复制，放大 数据的封装与解封装 两台电脑的通讯过程两台电脑的通讯过程 QQ聊天 QQ聊天 1 0 1 1 1 0 0 1 0 1 1 0 数据帧格式数据帧格式 数据帧格式 网络

2、设备在网络设备在OSIOSI模型中的位置模型中的位置 为了使多个工作站共享相同的介质时还能相互识别， 数据链路层用MAC地址来定义硬件地址或数据链路 层地址 厂商编号设备编号 3字节3字节 MAC地址结构 C:ipconfig /all windows 2000 IP Configuration Host Name . . . . . . . . . . . . : tonghong Primary DNS Suffix . . . . . . . : shenzhen.legend Node Type . . . . . . . . . . . . : Broadcast IP Routin

3、g Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No Ethernet adapter 本地连接: Physical Address. . . . . . . . . : 50-78-4C-70-EF-73 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 10.5.15.47 Subnet Mask . . . . . . . . . . . : 255.255.255.0 default gateway.:

4、10.5.15.1 VLANVLAN技术技术 VLAN（Virtual local area network） 称为虚拟局域网或者叫虚拟本地网络称为虚拟局域网或者叫虚拟本地网络,它将处它将处 于不同地理位置的用户组织在一起，使他们看于不同地理位置的用户组织在一起，使他们看 上去就像在同一物理位置一样上去就像在同一物理位置一样.这就是所谓的这就是所谓的 虚拟局域网技术。虚拟局域网技术。 为什么要创建为什么要创建VLANVLAN 更好的控制广播更好的控制广播 加强网络安全加强网络安全 Vlan的重要属性 Vlan VID(VLAN ID),用来区分vlan的唯一标识 Port 集合 Untag (

5、access)端口,连接普通电脑或者傻瓜的端口 tag(trunk) 端口,可网管交换机互联端口一般都是 tag端口。 Vlan name用来区分vlan的便于记忆的标识 802.1Q 成帧过程 Vlan 接口IP地址，即vlan的三层接口（一般仅三层交换机有） 数据帧的标记 当有多个vlan的数据都要在交换机之间连 接的线路通过时，就需要把互联端口以 tagged方式加入到这些vlan里面，以便另 一个交换机能把数据转发到正确的vlan中 去。 Vlan 10 Vlan 20 Vlan 10 Vlan 20 数据通信中的tag与untag过 程 Vlan 10Vlan 20 Vlan 10V

6、lan 20 tagged20 untag 20 三层交换 在用户看来，不同vlan的PC具有不同的IP地址段；不同vlan 的用户要进行通讯，必须经过三层交换机才能进行。 BA c 二层交换机和三层交换机的区别？ 二层交换机只能配置一个管理IP 三层交换机可以配置两个以上的接口IP 地址，每个接口IP都可以作为交换机的管 理IP.通过三层交换机可以实现多个网段的 路由，路由交换是通过硬件实现的可以达 到线速转发。 三层交换机可以进行灵活安全策略控制 两层交换机和三层交换机都有一个MAC地 址表。arl(address resolution list)表、 mac地址表、FDB表：mac-po

7、rt对应关系表 三层交换机有一个ARP表：ipmac对应关 系表。 路由的概念 路由就是网络设备转发数据包的路径 路由条目的格式： 目的地址 + 目的地址对应的子网掩码 + 下一跳路由器的接口IP 必须配置路由的条件 a)当有两个以上启用路由功能的设备相连时 b)特别地当网络设备要连互联网时，许配默认路 由 静态路由配置举例 192.168.1.1/24 192.168.2.1/24 192.168.3.1/24 192.168. 2.2/24 192.168.3.2/24 192.168.5.2/24 192.168. 6.2/24 192.168.6.1/24 192.168.5.1/24

8、 192.168.7.1/24 R1 R4 R3 R2 192.168.4.1/24 192.168.1.0 255.255.255.0 192.168.2.1 192.168.4.0 255.255.255.0 192.168.6.1 192.168.7.0 255.255.255.0 192.168.5.1 192.168.4.0 255.255.255.0 192.168.3.2 192.168.5.0 255.255.255.0 192.168.2.2 192.168.7.0 255.255.255.0 192.168.2.2 192.168.1.0 255.255.255.0 192

9、.168.3.1 192.168.5.0 255.255.255.0 192.168.6.2 192.168.7.0 255.255.255.0 192.168.6.1 192.168.4.0 255.255.255.0 192.168.5.2 192.168.1.0 255.255.255.0 192.168.5.2 数据通讯是一个双向的过程，这就要求数据流 经过的网络设备都知道到通讯双方的正确路径 （即路由） A B n某县教育信息平台网络拓扑 n网络基础知识 n交换机的管理方法 n以4504为例说明交换路由的配置 n整个网络系统实现预览 nARP协议原理 nARP欺骗原理 nARP欺骗防

10、范措施 联想交换机的四种管理方法 使用一个超级终端（或者仿终端软件）连接到 交换机的console口上 使用Telnet命令管理交换机 使用支持SNMP协议的网络管理软件管理交换机 使用WEB浏览器如Internet Explorer 来管理 交换机 方法一：使用超级终端配置 Console端口的配置参数 波特率 38400 数据位 8 停止位 1 奇偶校验位 无 流量控制 无 方法二：使用Telnet命令配置远端交换 机 第一步第一步 将交换机的Concole与PC的终端连接起来 第二步第二步 为交换机配置管理IP地址 第三步第三步 将管理主机的IP配成和交换机的IP在同一网 段 第四步第四

11、步 在微机上运行Telnet客户端程序 ，如下图 所示 192.168.0.1 192.168.0.97 方法三：使用支持SNMP协议的网管软件 配置交换机 第一步：第一步：通过命令行模式进入交换机配置模式 第二步：第二步：给交换机配置管理IP地址。 第三步：第三步：运行网管软件，对设备进行维护管理。 方法四：使用Web浏览器管理交换机 第一步：第一步：通过网线将交换机与工作站连接 第二步：第二步：为交换机上配置一个管理IP地址 第三步：第三步：确保你能ping通交换机的管理ip 第四步：打开WEB浏览器IE，在地址中输入交换机IP 地址 第五步：第五步：输入用户名和密码，就可登陆配置页面 n

12、某县教育信息平台网络拓扑 n网络基础知识 n交换机的管理方法 n以4504为例说明交换路由的配置 n整个网络系统实现预览 nARP协议原理 nARP欺骗原理 nARP欺骗防范措施 4504交换机常用命令模式 EXEC模式 ： Switch CONFIG模式 ： Switch# VLAN模式 ： Switch(vlan-id)# PORT模式 ： Switch(port-number)# ROUTE模式 ： Switch(route-config)# 百兆模块与主控板的结构关系 在结构上百兆模块像一个独立二层交换机 主控板配置百兆模块的过程 1、在EXEC模式，执行enable指令，输入密码后进

13、入全局配置模式 switch enable Password： switch# 2、在switch# 下输入插槽号，例如slot 1，进入slot 1# 3、在slot 1#下输入config,可登录到百兆模块进行更详细的配置 4、设置4504-24TX的VLAN1的IP地址及子网掩码，系统在缺省的情况下会 根据自己的槽号生成一个缺省的IP地址： 第一插槽：192.168.0.2 255.255.255.0 第二插槽：192.168.0.3 255.255.255.0 第三插槽：192.168.0.4 255.255.255.0 VLAN配置配置 Vlan配置 Vlan接口配置 Vlan配置实

14、例 Vlan配置 交换机出厂时都有一个缺省的VLAN default， 它包含所有端口,且所有端口都是 untagged. 配置配置VLANVLAN步骤：步骤： 创建一个VLAN 添加VLAN的untagged端口 添加VLAN的tagged端口 Vlan配置 创建一个或多个连续的Vlan Switch# vlan | 向VLAN添加untagged成员 Switch(vlan-id)# untagged port 向VLAN添加tagged成员 Switch(vlan-id)# tagged port Vlan配置 删除Vlan Switch# no vlan | 删除VLAN的untagg

15、ed成员 Switch(vlan-id)# no untagged | 删除VLAN的tagged成员 Switch(vlan-id)# no tagged | Vlan配置实例配置实例 【例如】 新建VLAN2，设置1/1-3端口为 VLAN2的untagged成员，1/4端口为VLAN2 的tagged成员。 Switch# vlan 2 Switch(vlan-2)# untagged 1/1-3 Switch(vlan-2)# tagged 1/4 VLAN配置配置 Vlan配置 Vlan接口配置 Vlan配置实例 Vlan接口配置 进入vlan接口配置模式 Switch# inter

16、face vlan 设置 vlan的接口ip地址 Switch(interface-vlanid)# ip address 删除vlan的接口ip地址 Switch# no interface vlan Vlan接口配置 【例如例如】给VLAN4配置子网192.168.4.0，接口ip地 址为192.168.4.1。 Switch# interface vlan 4 Switch(interface-vlan 4)# ip address 192.168.4.1 255.255.255.0 Switch# sh interface vlan 2 * vlan 2 interface IP ad

17、dress: 192.168.1.1 netMask: 255.255.255.0 Status: Active * Vlan接口配置 显示交换机一个或多个vlan interface信息 Switch# show interface vlan | Switch# sh interface vlan 2 * vlan 2 interface IP address: 192.168.1.1 netMask: 255.255.255.0 Status: Active * Vlan接口配置实例设置 VLAN ID IP地址包含的端口 部门12192.168.2.1/241/1， 1/2 部门2319

18、2.168.3.1/242/1，2/2，2/3 部门34192.168.4.1/24 3/1，3/2，3/3， 3/4 Vlan接口配置实例实现 /为部门为部门1配置配置VLAN和成员和成员 Switch# vlan 2 Vlan 2 added Switch(vlan-2)# untag 1/1-2 /为部门为部门2配置配置VLAN和成员和成员 Switch(vlan-2)# vlan 3 Vlan 3 added Switch(vlan-3)# untag 2/1-3 /为部门为部门3配置配置VLAN和成员和成员 Switch(vlan-3)#vlan 4 Vlan 4 added Swi

19、tch(vlan-4)# untag 3/1-4 Switch(vlan-4)#exit Vlan接口配置实例实现 /为各部门配置子网接口 Switch# interface vlan 2 Switch(interface-vlan2)# ip address 192.168.2.1 255.255.255.0 Switch(interface-vlan2)# interface vlan 3 Switch(interface-vlan3)# ip address 192.168.3.1 255.255.255.0 Switch(interface-vlan3)# interface vlan

20、 4 Switch(interface-vlan4)# ip address 192.168.4.1 255.255.255.0 /显示子网信息 Switch(route-config)# sh ip subnet ifIndex IP Address NetMask Vid Status Desc 01100001 192.168.0.1 255.255.255.0 1 Active Default IP Addr 01100002 192.168.2.1 255.255.255.0 2 Active 01100003 192.168.3.1 255.255.255.0 3 Active 0

21、1100004 192.168.4.1 255.255.255.0 4 Active 静态路由静态路由配置配置 静态路由配置 添加一条静态路由 Switch(route-config)# ip route 删除一条静态路由 Switch(route-config)# no ip route 显示静态路由信息 Switch(route-config)# show ip static route 显示全部路由信息 Switch(route-config)# show ip route 静态路由配置实例实现 /配置三层交换机A到B和C的静态路由 Switch(route-config)# ip ro

22、ute 1.1.5.0 255.255.255.0 1.1.2.2 Switch(route-config)# ip route 1.1.4.0 255.255.255.0 1.1.6.2 Switch(route-config)# show ip static route Destination NetMask Next Hop 1.1.4.0 255.255.255.0 1.1.6.2 1.1.5.0 255.255.255.0 1.1.2.2 静态路由配置实例实现（续） /配置三层交换机B到A和C的静态路由 Switch(route-config)# ip route 1.1.5.0 2

23、55.255.255.0 1.1.3.1 Switch(route-config)# ip route 1.1.1.0 255.255.255.0 1.1.6.1 Switch(route-config)# show ip static route Destination NetMask Next Hop 1.1.1.0 255.255.255.0 1.1.6.1 1.1.5.0 255.255.255.0 1.1.3.1 静态路由配置实例实现（续） /配置三层交换机C到A和B的静态路由 Switch(route-config)# ip route 1.1.4.0 255.255.255.0

24、1.1.3.2 Switch(route-config)# ip route 1.1.1.0 255.255.255.0 1.1.2.1 Switch(route-config)# show ip static route Destination NetMask Next Hop 1.1.1.0 255.255.255.0 1.1.2.1 1.1.4.0 255.255.255.0 1.1.3.2 缺省路由 缺省路由就是在没有找到任何匹配的路由项 情况下，才使用的路由。 缺省路由以到网络0.0.0.0（掩码为 0.0.0.0）的路由形式出现 n联想天工网络介绍 n某县教育信息平台网络拓扑 n网

25、络基础知识 n交换机的管理方法 n以4504为例说明交换路由的配置 n整个网络系统实现预览 nARP协议原理 nARP欺骗原理 nARP欺骗防范措施 整个网络系统实现预览整个网络系统实现预览 10.113.1.0- 10.113.16.255 n联想天工网络介绍 n某县教育信息平台网络拓扑 n网络基础知识 n交换机的管理方法 n以4504为例说明交换路由的配置 n某县教育信息平台网络拓扑 n网络基础知识 n交换机的管理方法 n以4504为例说明交换路由的配置 n整个网络系统实现预览 nARP协议原理 nARP欺骗原理 nARP欺骗防范措施 通信过程中的数据帧 ARP协议原理 ARP ARP R

26、equest(ARP 请求） ARP Response（ARP 应答） 10.7.1.2010.7.1.45 AB 谁是10.7.1.45，请把你的 MAC地址告诉我 ARP Request ARP表：网络上的每台主机（包括三层交换机，防火墙，电脑等有一个 ARP表，其中由主机的IP和MAC地址的对应关系形成的一系列条目组成。 ARP Request包 ARP Response 包 ARP ARP Request(ARP 请求） ARP Response（ARP 应答） 10.7.1.2010.7.1.45 AB 我是10.7.1.45,我的 MAC=00:40:D0:57:29:42 ARP

27、 Response ARP通信的正常过程是先有一个主机发出请求，然后另外一台主机发 出ARP回应。 ARP Response 包 ARP欺骗原理 10.7.1.2010.7.1.45 AB 我是10.7.1.45,我的 MAC=00:40:D0:57:29:42 ARP Response ARP通信的正常过程是先有一个主机发出请求，然后另外一台主机发 出ARP回应。 10.7.1.2010.7.1.45 Ac 我是10.7.1.45,我的 MAC=00:40:D0:57:28:43 ARP Response（欺骗包） ARP回应是不需要有ARP请求作为发生条件的，就是ARP回应包可以 不经别人

28、请求而主动应答，这样欺骗就很容易发生了。 10.7.1.2010.7.1.45 AB 谁是10.7.1.45，请把你的 MAC地址告诉我 ARP Request ARP欺骗的防范措施 ARP欺骗造成的结果就是修改了通信一方或者双 方的ARP表里面IPMAC条目的真实内容。 所以防范的措施就是恢复通讯双方ARP表中IP- MAC条目真实的对应关系。 电脑上输入arp a 可以查看电脑的arp表的内容， 通过arp d可以删除arp表里面条目，4504上通 过show arp可以查看4504上的arp表的内容。 如果发现arp表里面的条目有虚假的可以通过输入 类似这样的命令实现静态绑定: 在电脑上

29、 Arp s 10.7.1.2 00-1a-6c-1c-a6-42 在4504上arp add 某电脑ip 对应的mac 完美的解决方案： 在4504上把电脑的所有ipmac都绑定到交换机 的arp表中。 在把各网段的网关ipmac都绑定到每台电脑上 去，并保证每次电脑开始自动绑定，可以通过导 入注册表文件来实现。 谢谢！ 数据帧格式 为什么要创建为什么要创建VLANVLAN 更好的控制广播更好的控制广播 加强网络安全加强网络安全 Vlan的重要属性 Vlan VID(VLAN ID),用来区分vlan的唯一标识 Port 集合 Untag (access)端口,连接普通电脑或者傻瓜的端口 t

30、ag(trunk) 端口,可网管交换机互联端口一般都是 tag端口。 Vlan name用来区分vlan的便于记忆的标识 802.1Q 成帧过程 Vlan 接口IP地址，即vlan的三层接口（一般仅三层交换机有） 方法三：使用支持SNMP协议的网管软件 配置交换机 第一步：第一步：通过命令行模式进入交换机配置模式 第二步：第二步：给交换机配置管理IP地址。 第三步：第三步：运行网管软件，对设备进行维护管理。 主控板配置百兆模块的过程 1、在EXEC模式，执行enable指令，输入密码后进入全局配置模式 switch enable Password： switch# 2、在switch# 下输入插槽号，例如slot 1，进入slot 1# 3、在slot 1#下输入conf