单元局域网安全隔离与互连互通

单元三局域网安全隔离与互连互通单元三局域网安全隔离与互连互通本单元需要完成的工作任务有：任务5：初始可网管交换机；任务6：子网划分任务7：在单交换机上构建安全隔离的部门间网络；任务8：在多交换机上构建安全隔离的部门间网络。任务9：构建互联互通的单位局域网任务五初始可网管交换机5.1任务描述

随着学院信息化建设，校园网的规模也越来越大，为了有效地管理校园网，需要采用可网管的交换机，需要首先了解可网管的交换机和前面已经使用的交换机有何区别？可网管交换机是如何进行管理。5.2相关知识

按是否可以网管，交换机可以分为可网管交换机和不可网管交换机。网管交换机则可以被管理、监控，具有智能性，具有端口监控、划分VLAN等不可网管交换机不具备的特性。因此，安装可网管交换机的网络具有智能性和安全性。

一台可网管的交换机在正面或背面一般有一个网管配置Console接口，现在的交换机控制台端口一般采用RJ-45端口，如图5.1所示。任务五初始可网管交换机图5.1RJ-45控制端口1.交换机的硬件构成（1）CPU（2）交换机背板的ASIC芯片（3）RAM、ROM（4）FLASH（5）交换机端口:交换机端口有RJ-45端口、光纤端口和Console端口。如图5.2所示。任务五初始可网管交换机交换机的组成图5.2交换机接口Rj-45接口Gbic接口SFP接口Console接口①RJ-45端口

这种接口就是现在最常见的网络设备接口，俗称“水晶头”，专业术语为RJ-45连接器，属于双绞线以太网接口类型，如图5.2所示。②1000MGBIC接口CiscoGBIC（GigaStackGigabitInterfaceConverter）是一个通用的、低成本的千兆位以太网模块，可提供Cisco交换机间的高速连接，既可建立高密度端口的堆叠，又可实现与服务器或千兆位主干的连接。此外，借助于光纤，还可实现与远程高速主干网络的连接。如图5.2所示。在GBIC接口中可以插入1000Base-T模块（如图5.3所示，用于双绞线连接）和SC模块（如图5.4所示，用于光纤连接，支持1000Base-SX/LX/ZX技术）。任务五初始可网管交换机任务五初始可网管交换机图5.31000Base-TGBIC模块图5.41000Base-SXGBIC模块③SFP接口

SFP（SmallForm-factorPluggables）可以简单的理解为GBIC的升级版本。SFP模块（如图5.5所示）体积比GBIC模块减少一半，可以在相同面板上配置多出一倍以上的端口数量。有些交换机厂商称为小型化GBIC（Mini-GBIC）。

在SFP接口中插入SFP模块，支持1000Base-SX/LX/ZX技术。任务五初始可网管交换机图5.5SFP模块Console端口可网管交换机上都有一个Console端口，它是专门用于对交换机进行配置和管理的端口。如图5.2所示。用于交换机配置的Console端口并不是所有交换机都一样，有的采用与Cisco路由器一样的RJ-45类型Console接口，而有的则采用串口作为Console接口。任务五初始可网管交换机2.交换机软件系统Ciscocatalyst系列交换机所使用的操作系统是IOS或COS（catalystOperatingsystem）。其中以IOS使用最为广泛，该操作系统和路由器所使用的操作系统都基于相同的内核和Shell。COS的优点在于命令体系比较易用。利用操作系统所提供的命令，可实现对交换机的配置与管理。CiscoIOS操作系统具有以下特点：支持通过命令行（CLI）或Web界面，来对交换机进行配置。支持通过交换机的控制端口或Telnet会话来登陆连接访问交换机提供用户模式和特权模式两种命令执行级别，并提供全局配置、接口配置、子接口配置和VLAN数据库配置等多种级别的配置模式，以允许用户对交换机的资源进行配置。任务五初始可网管交换机1.串行行配配置置线线串行行配配置置线线两两端端均均为为串串行行接接口口，，两两端端可可以以分分别别插插入入计计算算机机的的串串口口和和交交换换机机的的Console口。。目目前前这这种种类类型型的的配配置置线线已已不不多多见见。。任务务五初始始可可网网管管交交换换机机交换换机机的的配配置置线线2.RJ-45接头头扁扁平平配配置置线线图5.7RJ-45接头头扁扁平平配配置置线线图5.8DB9-RJ45的转转接接头头RJ-45接头头扁扁平平配配置置线线两两端端均均为为RJ-45接头头（（RJ-45-to-RJ-45），，如如图图5.7所示示。。又又称称为为反反转转线线，，实实际际内内部部是是双双绞绞线线线线序序标标准准，，一一端端为为EIA/TIA568A或EIA/TIA568B标准准，，另另一一端端为为与与此此相相反反线线序序标标准准。。计计算算机机的的串串口口和和路路由由器器的的console口是是通通过过反反转转线线（（rollover）进进行行连连接接的的，，反反转转线线的的一一端端接接在在路路由由器器的的console口上上，，另另一一端端接接到到一一个个DB9-RJ45的转转接接头头（（如如图图5.8所示示））上上，，DB9则接接到到计计算算机机的的串串口口上上。。任务务五初始始可可网网管管交交换换机机图5.7RJ-45接头扁平配置线图5.8DB9-RJ45的转接头有些些RJ-45接头头扁扁平平配配置置线线一一端端为为RJ-45接头头，，另另一一端端直直接接为为串串行行接接头头（（DB9）。。如如图图5.9所示示。。3.USB接口口配配置置线线USB接口口配配置置线线一一端端和和计计算算机机USB接口口连连接接，，中中间间通通过过一一个个串串口口转转换换并并口口接接头头，，另另一一端端和和交交换换机机的的Console接口口连连接接。。如如图图5.10所示示。。使使用用USB接口口配配置置线线一一般般需需要要在在配配置置计计算算机机上上安安装装USB接口口转转并并口口的的驱驱动动程程序序，，通通过过COM5或COM7端口口连连接接。。任务务五初始始可可网网管管交交换换机机图5.9固定DB9接口配置线图5.10USB接口配置线使用用PC计算算机机通通过过Console口对对交交换换机机进进行行配配置置和和管管理理新交交换换机机在在进进行行第第一一次次配配置置时时必必须须通通过过Console口访访问问交交换换机机。。2.通过过Telnet对交交换换机机进进行行远远程程管管理理如果果管管理理员员不不在在交交换换机机跟跟前前，，可可以以通通过过telnet远程程配配置置交交换换机机，，当当然然这这需需要要预预先先在在交交换换机机上上配配置置了了IP地址址和和密密码码3.通过过Web对交交换换机机进进行行远远程程管管理理4.通过过Ethernet上的的SNMP网管管工工作作站站对对交交换换机机进进行行管管理理通过过网网管管工工作作站站进进行行配配置置，，这这就就需需要要在在网网络络中中有有至至少少一一台台运运行行Ciscoworks及CiscoView等的的网网管管工工作作站站，，还还需需要要另另外外购购买买网网管管软软件件。。任务务五初始始可可网网管管交交换换机机交换换机机的的配配置置管管理理1.用户户模模式式当PC计算算机机和和交交换换机机建建立立连连接接，，配配置置好好仿仿真真终终端端时时，，首首先先处处于于用用户户模模式式（（UserEXEC模式式））。。在用用户户模模式式下下，，可可以以使使用用少少量量用用户户模模式式命命令令，，命命令令的的功功能能也也受受到到一一定定限限制制。。用用户户模模式式命命令令的的操操作作结结果果不不会会被被保保存存。。用户户模模式式状状态态：：Switch>任务务五初始始可可网网管管交交换换机机交换换机机工工作作模模式式及及其其转转换换2.特权权模模式式要想想在在可可网网管管交交换换机机上上使使用用更更多多的的命命令令，，必必须须进进入入特特权权模模式式（（PrivilegedEXEC模式式））。。通常常由由用用户户模模式式进进入入特特权权模模式式时时，，必必须须输输入入进进入入特特权权模模式式的的命命令令：：enable。在在特特权权模模式式下下，，用用户户可可以以使使用用所所有有的的特特权权命命令令，，可可以以使使用用命命令令的的数数目目也也增增加加了了很很多多。。特权权模模式式状状态态：：Switch＃任务务五初始始可可网网管管交交换换机机3.配置置模模式式通过过configureterminal命令令，，可可以以由由特特权权模模式式进进入入配配置置模模式式。。在在配配置置模模式式下下，，可可以以使使用用更更多多的的命命令令来来修修改改交交换换机机的的系系统统参参数数。。使用用配配置置模模式式（（全全局局配配置置模模式式，，接接口口配配置置模模式式、、VLAN配置置模模式式、、线线程程工工作作模模式式））的的命命令令会会对对当当前前的的配配置置产产生生影影响响。。如如果果用用户户保保存存了了配配置置信信息息，，这这些些命命令令将将被被保保存存下下来来，，并并在在系系统统重重新新启启动动时时再再次次执执行行。。要要进进入入各各种种配配置置模模式式，，首首先先必必须须进进入入全局局配配置置模模式式。从从全全局局配配置置模模式式出出发发，，可可以以进进入入接接口口配配置置模模式式等等各各种种配配置置子子模模式式。。如如图图5.11所示为为交换换机的的不同同工作作模式式以及及各模模式之之间的的关系系。任务五初始可可网管管交换换机任务五初始可可网管管交换换机Exit或Ctrl-ZExit或Ctrl-ZConfigureterminal各种特定配置模式switch>switch#switch（config）#用户EXEC模式特权EXEC模式全局配置模式图5.11交换机配置模式Enable（1）接口口配置置模式式在全局局配置置模式式下，，使用用interface命令进进入该该模式式。在interface命令中中必须须指明明要进进入哪哪一个个接口口配置置子模模式。。使用用该命命令可可以配配置交交换机机的各各种接接口。。（2）VLAN配置模模式在全局局配置置模式式下，，使用用vlanvlan-id命令进进入该该模式式。使用该该模式式可以以配置置vlan参数。。（3）线程程配置置模式式在全局局配置置模式式下，，执行行LineVTY或LineConsole命令，，将进进入Line配置模模式。。该模模式主主要用用于对对虚拟拟终端端（VTY）和控控制台台接口口进行行配置置，其其配置置主要要是设设置虚虚拟终终端和和控制制台的的用户户级登登录密密码。。Line配置模模式的的命令令行提提示符符为：：switch(config-line)#任务五初始可可网管管交换换机1.使用““？””获得得帮助助在命令令提示示符下下，输输入问问号（（？）），可可以列列出每每个命命令模模式可可以使使用的的命令令。2.使用““Tab”键获获得帮帮助用户也也可以以使用用Tab键获得得帮助助，按按下Tab键可以以自动动补齐齐命令令剩余余的字字母。。3.使用命命令简简写获获得帮帮助交换机机的操操作命命令可可以使使用命命令的的前几几个字字母，，然后后按回回车键键可以以自动动执行行对应应的操操作。。4.使用历历史缓缓冲区区加快快操作作可以使使用““”和““”方向向键将将以前前操作作过的的命令令重新新调出出使用用。任务五初始可可网管管交换换机如何使使用帮帮助新购进进的可可网管管交换换机第第一次次配置置时必必须通通过控控制台台使用用仿真真终端端来进进行，，通过过反转转线将将交换换机的的控制制台端端口和和计算算机的的串口口连接接起来来，在在计算算机上上启动动超级级终端端，然然后才才能对对交换换机进进行各各种配配置。。在这这里我我们可可以配配置交交换机机的名名称、、访问问的密密码、、端口口、等等信息息，查查看交交换机机版本本信息息、端端口信信息等等。配配置交交换机机的管管理地地址后后，可可以通通过Telnet进入远远程访访问。。任务五初始可可网管管交换换机5.3方案设设计通过工工作任任务的的完成成，掌掌握以以下技技能：：（1）能能够通通过控控制台台端口口对交交换机机进行行初始始配置置；（2）能能够配配置交交换机机的各各种口口令；；（3）能能够对对交换换机进进行基基本配配置；；（4）能能够利利用show命令查查看交交换机机的各各种状状态。。任务五初始可可网管管交换换机5.4项目实实施任务目目标用1台交换换机和和1台计算算机来来模拟拟本任任务的的实施施。搭搭建如如图5.12所示的的网络络环境境。任务五初始可可网管管交换换机实训任任务F0/0/24图5.12交换机初始配置/24交换机Console接口PC1（1）Cisco2900交换机机（1台）；；（2）PC机1台；（3）双绞绞线（（若干干根））；（4）反转转电缆缆一根根。任务五初始可可网管管交换换机设备清清单步骤1：使用用系统统配置置对话话（1）硬件件连接接按照图图5.11连接硬硬件和和设置置IP地址，，通过过反转转线将将交换换机的的Console口和计计算机机PC1的COM连接起起来，，采用用直通通线将将交换换机的的f0/1和PC1的网卡卡的接接口连连接起起来，，PC1计算机机是配配置计计算机机又作作TFTP服务器器。（2）打开开超级级终端端。执行““开始始程序附件通讯超级终终端””选项项，弹弹出““新建建连接接”对对话框框，如如图5.13示。设设置新新连接接的名名称，，如cisco。单击““确定定”按按钮，，弹出出“设设置连连接端端口””对话话框，，如图图5.14所示的的，““连接接时使使用””列表表框中中，选选择终终端PC机的连连接接接口，，在本本例中中，连连接到到com1。任务五初始可可网管管交换换机实施过过程任务五初始可可网管管交换换机图5.13“新建连接”对话框图5.14“设置连接端口”对话框（3）设置置通信信参数数单单击““确定定”按按钮，，弹出出“COM1属性””对话话框，，如图图5.14所示。。通常常交换换机出出厂时时，波波特率率为9600bps，因此此在图图5.15对话框框中，，点击击“还还原为为默认认值””按钮钮设置置超级级终端端的通通信参参数；；再点点击““确定定”按按钮。。看看看超级级终端端窗口口上是是否出出现路路由器器提示示符或或其他他字符符，如如果出出现提提示符符或者者其他他字符符则说说明计计算机机已经经连接接到交交换机机了，，这时时就可可以开开始配配置交交换机机了。。任务五初始可可网管管交换换机图5.15“COM1属性”对话框（4）交换换机开开机C2950BootLoader(C2950-HBOOT-M)Version12.1(11r)EA1,RELEASESOFTWARE(fc1)CompiledMon22-Jul-0218:57bymiwangCiscoWS-C2950-24(RC32300)processor(revisionC0)with21039Kbytesofmemory.2950-24starting...BaseethernetMACAddress:0002.166C.C8CAXmodemfilesystemisavailable.InitializingFlash...flashfs[0]:1files,0directoriesflashfs[0]:0orphanedfiles,0orphaneddirectoriesflashfs[0]:Totalbytes:64016384flashfs[0]:Bytesused:3058048flashfs[0]:Bytesavailable:60958336flashfs[0]:flashfsfscktook1seconds....doneInitializingFlash.BootSectorFilesystem(bs:)installed,fsid:3ParameterBlockFilesystem(pb:)installed,fsid:4Loading"flash:/c2950-i6q4l2-mz.121-22.EA4.bin"...##########################################################################[OK]……(略)PressRETURNtogetstarted!//按回车键键开始进进入交换换机用户户模式Switch>任务五初始可网网管交换换机步骤2：用户模模式、特特权模式式、全局局配置模模式的转转换switch>switch>enableswitch#switch#disableswitch>enableswitch#configterminalswitch(config)#//“Switch”是交换换机的名名字，而而“>”代表是是在用户户模式。。“enable”命令可可以使交交换机从从用户模模式进入入到特权权模式，，“disable”命令则则相反，，在特权权模式下下的提示示符为““#”。任务五初始可网网管交换换机步骤3：使用交交换机的的CLI（1）CLI命令帮助助①在任何模模式下，，打一个个“？””，即可可以显示示在该模模式下的的所有命命令。在在特权模模式下输输入“？？”，即即可显示示在特权权模式下下可执行行的命令令列表。。switch#?Execcommands:access-enableCreateatemporaryAccess-Listentryaccess-profileApplyuser-profiletointerface…dot1xDot1xExecCommands--More——交换机利利用输出出的最下下面的一一行“--More--”来通知知用户还还有更多多的内容容等待输输出，有有三种选选择：按空格键键，获得得下一屏屏的信息息；按回车键键，获得得下一行行的信息息；按其他键键，终止止这个命命令的输输出。任务五初始可网网管交换换机②命令输入入中的帮帮助功能能在输入命命令后面面加上““？”，，即可显显示该命命令的帮帮助说明明。例如如：switch#traceroute?WORDTraceroutetodestinationaddressorhostnameappletalkAppleTalkTraceclnsISOCLNSTraceipIPTraceipv6IPv6TraceipxIPXTrace<cr>任务五初始可网网管交换换机③如果不会会正确拼拼写某个个命令，，可以键键入开始始的几个个字母，，在其后后紧跟一一个问号号，路由由器即提提示有什什么样的的命令与与其匹配配。例如如：switch#t?telnetterminaltesttraceroutetunnel④如果不知知道命令令行后面面的参数数应为什什么，可可以在该该命令的的关键字字后面空空一个格格，键入入“？””，路由由器即会会提示用用户与““？”对对应的位位置参数数是什么么。例如如：switch#showipcache?A.B.C.Dprefixofentriestoshowflowflowcacheentriesverbosedisplayextrainformation|Outputmodifiers<cr>任务五初始可网网管交换换机（2）命令的的快速输输入Cisco交换机的的用户界界面比较较简单，，在输入入时，在在任何模模式下，，只要键键入命令令行的关关键字从从左至右右所包含含的字母母能将该该命令与与其他同同一模式式下的命命令完全全区别开开来，路路由器就就能够接接收该命命令。例例如：Hostname#writ这是命令令writeterminal的缩写，，字符串串writ就足以使使交换机机正确地地解释这这个命令令，在屏屏幕上显显示交换换机的配配置。又如：interfaceFastethernet0/0可以写成成intf0/0实际使用用这些命命令时，，可根据据习惯使使用相应应的缩写写，以加加快输入入速度。。任务五初始可网网管交换换机（3）配置命命令的删删除要去掉某某条配置置命令，，在原配配置命令令前加一一个no并空一个个格，例例如要去去掉已经经输入的的bootsystemflash命令，在在相同模模式下，，可以键键入nobootsystemflash。任务五初始可网网管交换换机步骤4：配置交交换机的的主机名名交换机的的名字被被称作主主机名（（hostname），会在在系统提提示符中中显示。。如果没没有给交交换机命命名，系系统缺省省的名字字是switch。命名需需要在全全局配置置模式下下完成。。配置主机机名的步步骤如下下：switch>enswitch#configterminalswitch(config)#hostnamecernetcernet#任务五初始可网网管交换换机步骤5:配置交换换机的口口令每台交换换机都应应该设置置它所需需要的口口令。IOS可以配置置控制台台口令（（用户从从控制台台进入用用户模式式所需的的口令））、AUX口令（从从辅助端端口进入入用户模模式的口口令）、、Telnet或VTY口令（用用户远程程登录的的口令）），此外外，还有有enable口令（从从用户模模式进入入特权模模式的口口令）。。如图5.16所示显示示了登录录过程及及不同口口令的名名称。任务五初始可网网管交换换机Enable口令图5.16控制台、AUX、VTY及Enable口令Console用户模式特权模式AUX口令控制台口令AuxiliaryVTY口令IP网络（1）设置控控制台登登录路由由器的口口令通过控制制台登录录交换机机的口令令即进入入用户模模式的口口令。如如果不需需要对操操作员的的身份进进行验证证，简单单配置如如下：switch#configterminalswitch(config)#lineconsole0switch(config-line)#loginswitch(config-line)#passwordcisco任务五初始可网网管交换换机（2）建立Telnet会话访问问时使用用的密码码保护只有配置置了VTY线路的密密码后，，才能利利用telnet远程登录录交换机机。老版版本的IOS支持vtyline0～4，即同时时允许5个Telnet连接。新新IOS支持vtyline0～15，即同时时允许16个Telnet连接。假假设要设设置VTY04条线路的的密码为为Cisco，则配置置命令为为：switch(config)#linevty04switch(config-line)#passwordcisco将vty线路04的exec-timeout值设置为为15分钟0秒：switch(config-line)#exec-timeout150Rswitch#copyrunning-configstartup-configswitch#wr也可以通通过session-limitnumber来限制远远程登录录的用户户数Switch(config-line)#session-limit1任务五初始可网管交交换机（3）特权模式的的口令①enablesecret通过enablesecret设置的口令在在配置文件中中以密文显示示，是不可逆逆的。enablesecret语法格式为：：switch(config)#enablesecret[levellevel]{password|[encryption-type]encrypted-password}可以设置115个特权访问等等级，如果未未声明访问等等级，则默认认使用等级15，即最高级别别。不同等级级有不同的可可以使用的指指令集，有些些指令是无权权使用的。如如：switch(config)#enablesecretCisco!@#switch(config)#enablesecretlevel10Cisco!@#//操作等级为10的口令任务五初始可网管交交换机②enablepassword命令用来限制制对特权EXEC模式的访问switch(config)#enablepassword[levellevel]{password|[encryption-type]encrypted-password}该命令的优先先级没有enablesecret高，只要enablesecret命令存在，用用该命令设置置的口令就不不生效，并且且该命令设置置的口令在配配置列表中是是明文显示的的。switch(config)#enablepasswordCisco!@#对于其他的口口令，为了避避免直接显示示，可以使用用Servicepassword-encryption命令。所使用用的加密算法法不符合数据据加密标准（（DES），是可逆的的。switch(config)#servicepassword-encryption(setpasswordhere)switch(config)#noservicepassword-encryption提示：可以用用showconfig命令检查所配配制的主机名名和口令。任务五初始可网管交交换机步骤6：查看交换机机信息（1）查看IOS版本switch#showversion（2）查看配置信信息switch#showrunning-config//显示当前正在在运行的配置置switch#showstartup-config//显示保存在NVRAM中的启动配置置（3）查看端口信信息若要查看某一一端口的工作作状态和配置置参数，可使使用showinterface命令来实现，，其配置命令令为：showinttypemod/port其中：type表示端口类型型。类型通常常可简化为e、fa、gi和tengi。Mod/port表示端口所在在的模块和在在该模块中的的编号。例如，若要查查看Ciscocatalyst2950交换机0号模块的12号端口的信息息，则查看命命令为：switch#showinterfaceFa0/12任务五初始可网管交交换机（4）显示交换表表信息①查看交换机的的MAC地址表查看交换机的的MAC地址表的查看看命令为：switch#showmac-address-table[dynamic|static][vlanvlan-id]该命令用于显显示交换机的的MAC地址表，若指指定dynamic，则显示动态态学习到的MAC地址；若指指定Static，则显示静静态指定的的MAC地址表；若若未指定，，则显示全全部。vlanvlan-id用于查看指指定VLAN学习到的MAC地址。例如，若要要显示交换换机从各个个端口学习习到的MAC地址，则查查看命令为为：switch#Showmac-address-tabledynamic任务五初始可网管管交换机②查看从某个个端口学到到的MAC地址若要查看交交换机的某某个端口学学习到的MAC地址表，则则查看命令令为：switch#Showmac-address-tabledynamic|staticinterfacetypemod/port例如，若要要显示Cisco2950交换机0号模块的1号端口动态态学习到的的MAC地址，则查查看命令为为：switch#Showmac-address-tabledynamicintfa0/1Switch#showmac-address-tabledynamicinterfacefastEthernet0/1MacAddressTable-------------------------------------------VlanMacAddressTypePorts----------------------------1000f.e200.b749DYNAMICFa0/11000f.e201.4975DYNAMICFa0/124000f.e207.484dDYNAMICFa0/124000f.e226.c3acDYNAMICFa0/132000f.e207.484dDYNAMICFa0/132000f.e226.c3acDYNAMICFa0/1999000d.8716.c908DYNAMICFa0/1999000f.e200.b749DYNAMICFa0/199900e0.fc09.bcf9DYNAMICFa0/199900e0.fc31.7406DYNAMICFa0/1TotalMacAddressesforthiscriterion:25任务五初始可网管管交换机步骤7：配置2层交换机端端口（1）端口选择择①选择一个端端口在对端口进进行配置之之前，应先先选择所要要配置的端端口，端口口选择命令令为：switch（config）#interfacetypemod/portswitch（config-if）#例如，若要要Cisco3550第12号端口，则则配置命令令为：switch（config）#interfacefa0/12switch（config-if）#任务五初始可网管管交换机②选择多个端端口对于交换机机来将，大大都支持使使用range关键字，来来指定一个个端口范围围，从而实实现选择多多个端口，，并对这些些端口进行行统一的配配置。同时选择多多个交换机机端口的配配置命令为为：switch（config）#interfacerangetypemod/startport-endportswitch（config-if-range）#其中：startport代表要选择择的起始端端口号，endport代表结尾的的端口号，，用于代表表起始端口口范围的连连字符“-”的两端，，应注意留留一个空格格，否则命命令将无法法识别。任务五初始可网管管交换机（2）配置以太太网端口对端口的配配置命令，，均在接口口配置模式式下进行。。①为端口指定定一个描述述性文字在实际配置置中，可对对端口指定定一个描述述性的说明明文字，对对端口的功功能和用途途等进行说说明，以起起备忘作用用，其配置置命令为：：switch（config-if）#descriptionport-description如果描述文文字中包含含有空格，，则要用引引号将描述述文字引起起来。若Cisco3550交换机的快快速以太网网端口2连接家属区区，需要给给该端口添添加一个备备注说明文文字，则配配置命令为为：switch（config）#intfa0/2switch（config-if）#description““linktojiashuqu””任务务五初始始可可网网管管交交换换机机②设置置端端口口通通信信速速度度配置置命命令令为为:switch（config-if）#speed[10|100|1000|auto]例如如，，若若Cisco3550交换换机机的的快快速速以以太太网网端端口口2的通通信信速速度度设设置置为为100Mbps，则则配配置置命命令令为为：：switch（config）#intfa0/2switch（config-if）#speed100任务务五初始始可可网网管管交交换换机机③设置置端端口口的的单单双双工工模模式式配置置命命令令为为：：switch（config-if）#duplex[half|full|auto]例如如，，若若Cisco3550交换换机机的的快快速速以以太太网网端端口口2设置置为为全全双双工工通通信信模模式式，，则则配配置置命命令令为为：：switch（config）#intfa0/2switch（config-if）#duplexfull④启用用或或禁禁用用端端口口对于于正正在在工工作作的的端端口口，，可可根根据据管管理理的的需需要要，，进进行行启启用用或或禁禁用用。。禁用用端端口口的的配配置置命命令令为为：：switch（config-if）#shutdown启用用端端口口的的配配置置命命令令为为：：switch（config-if）#noshutdown任务务五初始始可可网网管管交交换换机机步骤骤8：通通过过Telnet连接接交交换换机机在使使用用Telnet连接接至至交交换换机机前前，，应应当当确确认认已已经经做做好好以以下下准准备备工工作作：：在用用于于管管理理的的计计算算机机中中安安装装有有TCP／IP协议议，，并并配配置置好好了了IP地址址信信息息。。在被被管管理理的的交交换换机机上上已已经经配配置置好好IP地址址信信息息。。如如果果尚尚未未配配置置IP地址址信信息息，，则则必必须须通通过过Console端口口进进行行设设置置。。在被被管管理理的的交交换换机机上上建建立立了了具具有有管管理理权权限限的的用用户户帐帐户户。。如如果果没没有有建建立立新新的的帐帐户户，，则则Cisco交换换机机默默认认的的管管理理员员帐帐户户为为““Admin”。。Telnet命令令的的一一般般格格式式如如下下：：telnet［Hostname／port］这里里要要注注意意的的：：Hostname包括括了了交交换换机机的的名名称称，，但但更更多多的的是是指指交交换换机机的的IP地址址。。格格式式后后面面的的““Port”一一般般是是不不需需要要输输入入的的，，它它是是用用来来设设定定Telnet通信信所所用用的的端端口口的的。任务务五初始始可可网网管管交交换换机机（1）配配置置交交换换机机的的可可管管理理IP地址址switch(config)#Interfacevlanvlan-idswitch(config-if)#Ipaddressaddressnetmask如图图5.12所示示，，若若要要设设置置或或修修改改交交换换机机的的管管理理IP地址址为为00，默认网网关为。首先将将PC1计算机上上通过反反转电缆缆连接到到交换机机的CON口上，配配置PC1的IP地址为。启动PC1的超级终终端，配配置交换换机的步步骤为：：switch>switch>enPassword:switch#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.switch(config)#vlan1switch(config-vlan)#exitswitch(config)#Interfacevlan1switch(config-if)#Ipaddress00switch(config-if)#noshutdownswitch(config-if)#exitswitch(config)#ipdefault-gatewayswitch(config)#intf0/1switch(config-if)#switchportaccessvlan1switch(config-if)#noshutdownswitch(config-if)#exit任务五初始可网网管交换换机（2）显示交交换机的的管理IP地址switch#showintvlan1（3）配置交交换机远远程登录录口令和和超级密密码口令令switch#conftswitch(config)#linevty04switch(config-line)#passwordCISCOswitch(config-line)#loginswitch(config-line)#exitswitch(config)#enablepasswordCISCOswitch(config)#end任务五初始可可网管管交换换机步骤1：在PC1计算机机上，，在““开始始”菜菜单中中单击击“运运行””选项项，在在打开开的““运行行”对对话框框中输输入““cmd”命令令并单单击““确定定”按按纽，，进入入MS-DOS命令操操作状状态。。（1）检查查PC1和交换换机的的连通通性，，输入入测试试网络络连通通命令令：ping。（2）通过过远程程登陆陆访问问交换换机并并进行行各种种配置置与管管理在MS-DOS提示符符下输输入：：telnet输入远远程访访问口口令，，进入入用户户模式式，再再进入入特权权模式式、全全局配配置模模式以以及其其它配配置模模式。。比较较通过过超级级终端端和telnet远程登登陆访访问交交换机机有何何区别别。任务五初始可可网管管交换换机项目测测试步骤2：在PC1计算机机上，，通过过超级级终端端，查查看交交换机机的配配置：：switch#showver//查看交交换机机的版版本信信息switch#showintvlan1//查看交交换机机的管管理IP地址switch#showrunning-config//查看交交换机机的配配置信信息switch#showint//查看交交换机机的端端口信信息switch#showproccpu//查看交交换机机的CPU状态信信息switch#showmac-address-table//查看交交换机机的MAC地址表表任务五初始可可网管管交换换机任务六IP子网划划分6.1任务描描述当局域域网中中计算算机的的数量量达到到一定定程度度时，，网络络安全全问题题越来来越突突出，，病毒毒等会会利用用计算算机在在一个个广播播域而而进行行破坏坏，在在这种种情况况下，，需要要进行行子网网划分分，将将不同同的部部门划划分在在不同同的子子网内内，从从而来来解决决网络络广播播风暴暴。6.2相关知知识子网划划分概概念子网划划分过过程允允许网网络设设计人人员将将一个个有类类的IP网络进进一步步划分分成许许多小小的部部分，，这些些部分分称为为子网网。在在划分分子网网时应应遵循循以下下的规规则：：（1）同一一个局局域网网上的的IP主机———特特别指指出，，在同同一广广播域域内应应该使使用同同一IP子网内内的IP地址。。（2）通过过点到到点的的租用用线路路直连连的两两个路路由器器接口口地址址应该该在相相同的的IP子网内内。（3）被至至少一一台路路由器器分割割开的的不同同局域域网的的主机机，应应该使使用不不同IP子网内内的IP地址。。（4）互联联网内内的IP地址应应该是是唯一一的。。在划分分之前前，应应了解解一下下术语语：子子网、子网号号、子网掩掩码任务六六IP子网划划分IP子网划划分2.子网IP地址格格式为了创建子子网，网络络管理员需需要从原有有IP地址的主机机位中借出出连续的高高若干位作作为子网络络ID，如图6.1所示任务六IP子网划分网络ID主机ID图6.1

关于子网划分的示意划分前网络ID子网络ID划分后主机ID3．子网掩码码子网掩码(subnetmask)通常与IP地址配对出出现，其功功能是告知知主机或路路由设备，，IP地址的哪一一部分代表表网络号部部分，哪一一部分代表表主机号部部分。子网网掩码使用用与IP地址相同的的编址格式式，即32位长度的二二进制比特特位，也可可分为4个8位组并采用用点分十进进制来表示示。但在子子网掩码中中，与IP地址中的网网络位部分分对应的位位取值为““1”，而与IP地址主机部部分对应的的位取值为为“0”。这样通通过将子网网掩码与相相应的IP地址进行求求“与”操操作，就可可决定给定定的IP地址所属的的网络号（（包括子网网络信息））。表6-1给出了C类网络进行行不同位数数的子网划划分后其子子网掩码的的变化情况况。任务六IP子网划分划分位数23456子网掩码9224404852表6-1C类进行子网网划分后的的子网掩码码4．子网划分分的方法（1）决定子网网和主机数数量（2）决定掩码码中的子网网和主机位位数用变量s表示子网位位数，用h表示主机位位数。①找出掩码中中的子网和和主机位数数在一个子网网划分的地地址结构中中，为了找找到所需的的子网位数数和主机位位数，采用用如下步骤骤：步骤1：根据2s-2>=所需的子网网数量找到到s；步骤2：根据2h-2>=所需的主机机数量找到到h；②例子表6-2列出了所需需的子网数数和主机数数量，以及及所需的子子网和主机机位数。任务六IP子网划分问题所需子网数量所需主机数量掩码中子网部分的最少位数掩码中主机部分的最少位数1200200882517353122500412410012077表6-2子网和主机机位数任务六IP子网划分（3）决定子网网掩码：用用二进制的的方法①利用子网部部分的最小小值来找出出子网掩码码②根据需求找找出所有可可能的子网网掩码表6-3总结了表6-2中的4个问题，为为了便于说说明问题给给定了一个个特定的IP网络，列出出了掩码结结果。任务六IP子网划分问题号网络子网部分位数主机部分位数掩码188235243412477、或28表6-3掩码值（4）决定子网网掩码：简简捷方法步骤1：写下A、B或C类网络的默默认掩码（（对应、或是）；步骤2：识别出默默认掩码中中相关的掩掩码字节，，也就是从从左至右的的第一个0字节。即A类的第2个字节、B类的第3个字节、C类的第4个字节。步骤3：使用子网网掩码简表表，如表6-4所示，用表表中正确的的值替换相相关的0字节任务六IP子网划分2的幂值1286432168421掩码值128192224240248252254255子网位数12345678表6-4子网掩码简简表5.决定子网号号以及每个个子网内可可分配的IP地址下面的术语语是必须首首先要了解解的。子网号、子网广播地地址、可供分配的的IP地址、网络广播地地址、子网0（0号子网）、广播子网（1）找出子网网号：二进进制方法（2）找出子网网广播地址址：二进制制方法（3）找出可用用IP地址的范围围（4）利用简便便方法找出出子网和广广播地址任务六IP子网划分6.判断主机位位于哪个子子网内使用一个确确定网络时时，需要指指出某台主主机位于哪哪个子网内内，也就是是它的驻留留子网。例例如，IP地址为5，使用掩码码24时就是子网网2的一部分。。用二进制方方法找出子子网号的过过程如下：：步骤1：将IP地址和掩码码转化成二二进制，先先写IP地址，然后后将子网掩掩码写在下下面。步骤2：将两组号号码按位进进行布尔与与运算。步骤3：将结果所所得的32位码转化成成十进制，，8位为一组。。任务六IP子网划分6.3方案设计1.C类地址子网网划分任务六IP子网划分任务六IP子网划分2.B类网络子网网划分通过本工作作任务的完完成，使学学生掌握以以下技能：：（1）理解IP地址的概念念、分类；；（2）理解掩码码的作用；；（3）掌握如何何进行子网网划分；任务六IP子网划分6.4项目实施任务目标下面以c类网络为例，分别别从主机位位借2位、3位、4位的子网划划分和网络络的连通性性。为了完完成本任务务，用6台计算机和和一台交换换机组成一一个小型交交换机来测测试子网的的连通性。。任务六IP子网划分实训任务交换机图6.10网络拓扑图PC1PC5PC2PC3PC4PC6为了搭建如如图6.10所示的网络络环境，需需要如下设设备清单。。（1）6台计算机（（已经安装装了以太网网卡及其驱驱动程序））；（2）1台8口交换机；；（3）6条直通线。。任务六IP子网划分设备清单步骤1：不划分子子网（1）按照表6-7所示配置各各计算机的的IP地址、子网网掩码。任务六IP子网划分实施过程计算机IP地址子网掩码PC10PC20PC30PC40PC50PC620表6-7IP地址和子网网掩码（2）使用ping命令测试各各计算机之之间的连通通性，并填填入表6-8。任务六IP子网划分计算机PC1PC2PC3PC4PC5PC6PC1／PC2／PC3／PC4／PC5／PC6／表6-8计算机之间间连通性步骤1：借2位（1）从c类网络的主机位借借2位，分别写写出子网号号，每个子子网的开始始地址、结结束地址以以及子网掩掩码填入表表6-9。（2）按照表6-10所示配置各各计算机的的IP地址、子网网掩码。任务六IP子网划分子网号开始地址结束地址广播地址子网掩码23924526272829909192935455表6-9C类网络借2位子网划分分计算机IP地址子网掩码PC1092PC2092PC3092PC4092PC5092PC62092表6-10IP地址和子网网掩码（3）使用ping命令测试各各计算机之之间的连通通性，并填填入表6-11。任务六IP子网划分计算机PC1PC2PC3PC4PC5PC6PC1／PC2／PC3／PC4／PC5／PC6／表6-11计算机之间间连通性步骤2：借3位（1）从c类网络的主机位借借3位，分别写写出子网号号，每个子子网的开始始地址、结结束地址以以及子网掩掩码填入表表6-12。任务务六六IP子网网划划分分子网号开始地址结束地址广播地址子网掩码012424628609224表6-12C类网网络络借借3位子子网网划划分分（2）按按照照表表6-13所示示配配置置各各计计算算机机的的IP地址址、、子子网网掩掩码码。。任务务六六IP子网网划划分分计算机IP地址子网掩码PC1024PC2024PC3024PC4024PC5024PC62024表6-13IP地址址和和子子网网掩掩码码（3）使使用用ping命令令测测试试各各计计算算机机之之间间的的连连通通性性，，并并填填入入表表6-14。任务务六六IP子网网划划分分计算机PC1PC2PC3PC4PC5PC6PC1／PC2／PC3／PC4／PC5／PC6／表6-14计算算机机之之间间连连通通性性步骤骤3：借借4位（过过程程略略））任务务六六IP子网网划划分分任务务七在