51CTO下载-中小企业网络管理员实用教程(下).pptx
- 文档编号:30846591
- 上传时间:2024-02-03
- 格式:PPTX
- 页数:272
- 大小:6.98MB
51CTO下载-中小企业网络管理员实用教程(下).pptx
《51CTO下载-中小企业网络管理员实用教程(下).pptx》由会员分享,可在线阅读,更多相关《51CTO下载-中小企业网络管理员实用教程(下).pptx(272页珍藏版)》请在冰豆网上搜索。
第9章IP地址的管理本章要点:
IP地址冲突的管理不同段的互网间访Internet接共享服器布连与务发9.1IP地址的分配选择与可以通过硬件(MAC)和软件(IP)两种方式识别一台计算机。
其中MAC地址是厂商烧录在网络设备上的、世界惟一的ID号;IP地址是人为的为每一台计算机指定的世界唯一的身份标志。
9.1.1合法IP地址与保留IP地址1.IP地址分类A类B类C类D类E类2.私有IP地址IP地址二进制和点分十进制示例私人IP地址空间9.1.2IP地址信息1.IP地址2.子网掩码子掩变长网码3.默认网关4.DNS子网掩码默认子网掩码表子网掩码运算子网掩码中为1的部分定位网络号,为零的部分定位主机号。
因此,当IP地址与子网掩码二者相与(and)时,非零部分即为网络号,为零部分即为主机号。
子网掩码运算例如,IP地址为192.168.1.1,子网掩为255.255.255.0时,网络号为192.168.1。
转化为二进制进行运算:
转化为十进制后为192.168.1.0,所以,网络号为192.168.1。
子网掩码运算再如,IP地址为192.168.1.1,子网掩为255.255.0.0时,网络号为192.168。
转化为二进制进行运算:
转化为十进制后为192.168.0.0,所以,网络号为192.168。
变长子网掩码由变长掩码产生的子网IP地址示例9.1.3IP地址的分配1.自动分配IP地址2.手工设置IP地址3.自动专用IP寻址自动分配IP地址DHCP服务器为其客户端提供IP地址、子网掩码和默认网关等各种配置。
网络中的计算机可以通过DHCP服务器自动获取IP地址信息。
DHCP服务器维护着一个容纳有许多IP地址的地址池,并根据计算机的请求而出租。
手工设置IP地址手工设置IP地址也是经常使用的一种分配方式,即需要设定IP地址、子网掩码、默认网关和DNS服务器等信息,不仅工作量大,而且还会由于击键失误而经常出错。
自动分配IP地址DHCP服务器为其客户端提供IP地址、子网掩码和默认网关等各种配置。
网络中的计算机可以通过DHCP服务器自动获取IP地址信息。
DHCP服务器维护着一个容纳有许多IP地址的地址池,并根据计算机的请求而出租。
9.2IP地址的冲突管理IP地址是计算机网络中的主要寻址方式,已经被各种操作系统广泛采用。
因此,IP地址就成为网络管理中一个非常重要的方面。
其中,IP地址冲突和盗用成了困扰网络运行的突出问题。
9.2.1IP地址冲突与盗用概述1.IP地址冲突与IP地址盗用2.IP地址盗用的方式修改静态IP地址成修改对IP-MAC地址修改动态IP地址IP地址冲突Windows2000发生IP地址冲突IP地址冲突Windows98发生IP地址冲突9.2.2IP地址盗用解决方案在网络管理中,IP地址盗用现象经常发生,不仅对网络的正常使用造成影响,同时由于被盗用的地址往往具有较高的权限,因而也对用户造成了大量的经济上的损失和潜在的安全隐患。
9.2.2IP地址盗用解决方案1.动态分配IP地址2.MAC地址绑定直接取获程取远获路由取获件取软获3.划分VLAN4.端口绑定5.IEEE802.1X协议6.用户认证7.防火墙与代理服务器8.组策略9.责任追究制度MAC地址绑定获取本机IP地址MAC地址绑定远程获取IP地址MAC地址绑定路由获取IP地址MAC地址绑定软件获取IP地址NetToolsMAC地址绑定软件获取IP地址NetView9.2.2IP地址盗用解决方案3.划分VLAN4.端口绑定5.IEEE802.1X协议6.用户认证7.防火墙与代理服务器8.组策略9.责任追究制度9.2.3IP地址冲突后的恢复1.Windows98/Me的IP地址恢复2.Windows2000/2003/XP的IP地址恢复Windows98/Me的IP地址恢复Windows98/Me的IP地址恢复“运行”对话框“IP配置”对话框Windows2000/2003/XP的IP地址恢复“运行”对话框9.3不同段的互网间访网络分段是保证网络安全、提高网络传输效率的重要措施,但是如果操作不当很容易引起网络故障,从而影响网络传输效率。
而借助于虚拟网(VLAN)对企业网络进行分段,可以将广播域分割开来,从而减少每个子网络内的广播包数量,达到提高网络传输效率的目的。
9.3.1多网段的划分1.IP地址段的选择2.变长子网掩码的计算利用子算网数来计利用主机算数来计利用子网数来计算子网掩码例如,将C类IP地址192.168.1.0划分成8个子网:
第1步,8=1000第2步,该二进制为4位数,N=4第3步,将C类地址“255.255.255.0”的原主机地址“11111111.11111111.11111111.00000000”的前4位全部置为1,得到“11111111.11111111.11111111.11110000”,转换为十进制数,即为“255.255.255.240”。
也就是说,将C类地址192.168.1.0划分成8个子网时,其子网掩码为“255.255.255.240”。
利用主机数来计算子网掩码例如,将C类IP地址192.168.1.0划分成若干子网,每个子网内有主机60台。
第1步,60=111100第2步,该二进制为6位数,N=6第3步,将该C类地址的子网掩码“255.255.255.0”的主机地址全部置1,得到“11111111.11111111.11111111.11111111”。
然后,再将原主机部分的后6位全部置为0,即“11111111.11111111.11111111.11000000”,十进制为“255.255.255.192”。
也就是说,容纳60台计算机的C类地址的子网掩码为“255.255.255.192”。
9.3.2不同网段间的互访1.第三层交换机2.路由器3.软件路由器LAN路由的安装LAN路由的管理第三层交换机利用三层交换机实现互连路由器利用路由器实现互联9.3.2不同网段间的互访3.软件路由器LAN路由的安装LAN路由的管理软件路由器利用软件路由实现互连LAN路由的安装“管理您的服务器”窗口“配置您的服务器向导”之一“配置您的服务器向导”之二“配置您的服务器向导”之三LAN路由的安装“配置您的服务器向导”之四“路由和远程访问服务器安装向导”之一LAN路由的安装“路由和远程访问服务器安装向导”之二“路由和远程访问服务器安装向导”之三LAN路由的安装“路由和远程访问服务器安装向导”之四“配置您的服务器向导”对话框LAN路由的安装“管理您的服务器”窗口“路由和远程访问”窗口“管理您的服务器”窗口9.4一合法单IP地址的使用由于IP地址资源已经非常紧缺,所以,许多中小企业网络都只能从ISP那里获得一个IP地址。
如何利用好这个仅有的IP地址就成了网络管理中的重要工作。
9.4.1单一IP地址应用方案1.路由器方案2.代理服务器方案路由器的连接代理服务器的连接9.4.2搭建代理服务器1.Syate的安装与设置安装服器务客端安装户置设SyGate2.Internet访问限制访问规则黑白名单3.发布Internet服务器4.客户端的设置“安装模式”对话框“SyGateNetworkdiagnostics”对话框安装服务器“SygateMessage”对话框“Configuration”对话框安装服务器“Installation”对话框“InstallShiedWizardComplete”对话框安装服务器“Sygate-Unregistered”对话框“SyGateManager”窗口客户端安装安装为客户端启用DHCP设置客户端安装诊断完成客户端安装SyGate工作站默认TCP/IP参数设置SyGate完整的“SyGateManager”窗口设置SyGate“Configuration”对话框9.4.2搭建代理服务器2.Internet访问限制访问规则黑白名单访问规则“AccessRulesEditor”对话框“Addnewrule”对话框访问规则设置添加的访问规则黑白名单“VerifyPassword”对话框“PermissionsEditor”对话框黑白名单“AddBWListItem”对话框9.4.2搭建代理服务器3.发布Internet服务器4.客户端的设置发布Internet服务器“Addnewrule”对话框发布Internet服务器设置添加的访问规则第10章交换机与路由器的管理本章要点:
的配置方式接网络设备与连CLI命令配置文件的恢备份与复映像文件的恢备份与复10.1配置端口配置模式与交换机和路由器都拥有专门的配置端口,用于实现与计算机的直接连接。
当交换机和路由器初始化配置完成后,就可以通过网络中的任何计算机进行远程管理了。
10.1.1配置端口与连接1.外部配置源控制台端(虚拟终Telnet)管工作站网TFTP服器务2.通过Console端口直接连接Console端口Console线接设备连算机交机通信计与换3.通过集线设备间接连接接设备连TelnetWeb界面超端级终外部配置源10.1.1配置端口与连接2.通过Console端口直接连接Console端口Console线接设备连算机交机通信计与换Consol端口位于后面板的Console端口Consol线串行Console线RJ-45-to-DB-9适配器设备连接计算机与交换机通信“连接描述”对话框“连接到”对话框计算机与交换机通信串口“属性”对话框计算机与交换机通信“超级终端”窗口10.1.1配置端口与连接3.通过集线设备间接连接接设备连TelnetWeb界面超端级终设备连接Telnet“运行”对话框Catalyst4006交换机管理界面Web界面“输入网络密码”对话框CiscoCatalyst4006Web管理界面超级终端“连接到”对话框“超级终端”窗口10.1.2CLI1.CLI方式的使用2.CLI命令模式3.使用帮助4.命令的简略方式5.指定端口、VLAN、MAC和IP指定端口指定VLAN指定MAC地址指定IP地址6.使用no命令7.理解命令行出错信息8.命令行约定命令描述中的定约示例中的定约CLI命令模式CLI用户界面CLI命令模式CLI命令模式摘要CLI命令模式命令模式的进入流程CLI命令模式命令模式的退出流程图CLI命令模式命令模式的进入和退出过程10.1.2CLI3.使用帮助4.命令的简略方式使用帮助输入“?
”使用帮助输入“show?
”使用帮助输入“showc?
”命令的简略方式10.1.2CLI5.指定端口、VLAN、MAC和IP指定端口指定VLAN指定MAC地址指定IP地址6.使用no命令7.理解命令行出错信息8.命令行约定命令描述中的定约示例中的定约指定端口模块号端口号使用no命令理解命令行出错信息出错信息10.2交机和路由器的换维护交换机和路由器的配置和映像文件也需要进行备份,以便在系统崩溃或还原配置时进行恢复。
当然,恢复映像文件的操作也可被用于实现交换机和路由器IOS的版本升级。
10.2.1维护前的准备1.ROM、Flash与NVRAMROMFlashNVRAMRAM2.Copy命令3.TFTP服务器Copy命令Copy命令格式及其使用TFTP服务器CiscoTFTP界面10.2.2配置文件的备份与恢复1.将配置文件备份至TFTP准工作备配置文件上至将传TFTP2.从TFTP恢复配置文件准工作备从TFTP服器下配置文件务载10.2.3映像文件的备份与恢复1.备份系统软件映像准工作备使用TFTP服器上件映像务传软2.恢复或升级系统软件映像准工作备使用TFTP下超引擎映像载级10.3密失的恢码丢复10.3.1密码的类型Cisco的口令有两种,即“secretpassword”和“password”,其中,前者被加密存储,安全性较强,后者则未被加密,安全性较差,因此推荐使用前者。
10.3.2密码丢失后的恢复1.路由器和三层交换机2.二层交换机第11章二层交换机的配置本章要点:
交机的基本配置管理换与配置EtherChannel配置STP配置VLAN和Trunk配置VTP配置基于端口的控制传输11.1交机的基本配置换新购置的交换机是无法实现远程管理的,必需借助Console端口进行初始化。
只有为交换机配置了访问密码和IP地址信息之后,才可以使用Telnet或超级终端进行管理。
11.1.1管理交换机为交换机设定有效的IP地址、名称、管理员登录密码等初始化信息。
11.1.2配置端口1.端口基本配置2.配置流控制3.配置端口组指定端口范围定端口宏义组4.检查模块或端口状态5.关闭并重启接口11.2配置EtherChannel通过配置EtherChannel可以成倍增加网络带宽,消除交换机之间由于级联而产生的网络瓶颈,更能满足交换机之间以及交换机与服务器之间大量的数据交换。
11.2.1理解EtherChannel、PAgP和LACPEtherChannelEtherChannel技术是Cisco开发的,应用于交换机之间、交换机和路由器之间以及交换机和服务器之间的多链路技术(符合标准IEEE802.p)。
PAgP使用端口聚合协议(PortAggregationProtocol),可以很容易地在有EtherChannel能力的端口间,自动建立FastEtherChannel和GigabitEtherChannel连接,进行信息的交流。
该协议具有学习相邻端口组动态和信息的能力,它是EtherChannel的增强版,支持EtherChannel的各种功能LACP链路汇聚控制协议(LinkAggregationControlProtocol)让用户可以利用符合IEEE802.3ad的设备创建以太网通道。
这种功能类似于思科EtherChannel技术和PAgP。
11.2.2配置EtherChannel“channel-group-number”用于指定欲创建的EtherChannel号,可取值范围为16,每个EtherChannel最多可以容纳8个适合的以太网接口。
11.2.3配置EtherChannel负载均衡dst-mac表示基于进入包的目的主机的MAC地址进行负载分配。
-mac表示基于进入包的源MAC地址进行负载分配。
Switch(config)#port-channelload-balancedst-mac|-mac11.2.4移除端口和EtherChannel1.从EtherChannel中移除接口2.移除EtherChannel11.3配置STP扩展树(SpanningTreeProtocol,STP),也称生成树,它的产生源于链路的冗余连接。
在大中型网络中,与主干网和服务器的连接是非常重要的,必需采用冗余链接。
冗余的链接增加了系统的安全性,但同时也带来了另外一个问题拓扑环。
11.3.1理解Spanning-Tree1.网络连接生成过程确定根网桥确定指定网桥故障接的更新监测与连2.STP接口状态STP端口状态Blocking(阻塞):
不参与帧的转发。
Listening(侦听):
当确定该接口将参与帧转发时,在阻塞状态后的第一个过渡状态。
Learning(学习):
准备参与帧转发。
Forwarding(转发):
转发帧。
Disabled(禁用):
端口处于“Shutdown”状态,没有连接,或者没有启用Spanning-Tree,从而不参与Spanning-Tree。
STP端口状态默认STP配置11.3.2配置Spanning-Tree1.禁用Spanning-Tree2.将交换机配置为根交换机3.配置端口优先值4.配置路径费用5.配置Spanning-TreePortFast11.4配置VLAN当广播包的数量占到通信总量的30%时,网络的传输效率将会明显下降。
因此当网络规模达到一定程度时就可以采用划分VLAN的方式,将整个网络划分为若干个小的网络,减小广播域。
11.4.1理解VLAN1.VLAN的划分2.VLAN的意义VLAN的划分VLAN的意义第一,降低移和更的管理成本。
动变第二,控制广播。
第三,增强安全性。
第四,督和管理的自化。
网络监动11.4.2配置VLAN1.创建VLAN2.将端口指定至VLAN3.清除接口配置4.删除VLAN创建VLAN创建VLAN共需要两个步骤,先是创建VLAN,然后再将相关接口指定至该VLAN。
删除VLAN注意:
删除VLAN后,所有指定至VLAN的端口将不再可用,直到将其指定至新VLAN时为止。
11.4.3配置VLANTrunk1.配置Trunk端口2.定义Trunk允许的VLAN3.配置本地VLAN的非标签传输11.5基于端口的控制传输当交换机的某个端口述据流量过大时,就容易发生广播风暴,从而导致网络相应速度变慢或者暂时中断。
11.5.1广播风暴控制1.启用广播风暴控制2.禁用广播风暴控制11.5.2配置保护端口保护端口可以确保同一交换机上的端口之间不进行通信。
保护端口不向其他保护端口转发任何传输,包括单播、多播和广播包。
传输不能在第二层保护端口间进行,所有保护端口间的传输都必须通过第三层设备转发。
保护端口与非保护端口间的传输不受任何影响。
11.5.3配置端口安全若欲禁用安全端口,可以使用“noswitchportprot-security”接口配置命令。
若欲恢复默认的最大安全MAC地址,使用“noswitchportport-securitymaximumvalue”接口配置命令。
11.6习题1.简述EhterChannel的特点及应用。
2.简述STP的意义。
3.简述VLAN的意义。
简答题操作题1.为交换机配置管理IP地址。
2.在两台CiscoCatalyst2950交换机之间配置FastEtherChannel,并实现负载均衡。
3.在企业网络启用STP,并根据设备性能设置最优化的拓扑结构。
4.在两台交换机上分配配置2个VLAN,并借助Trunk实现不同交换机上同一VLAN间的通信。
5.在一个千兆端口启用广播风暴控制。
第12章三层交换机的配置本章要点:
PVLAN的配置置设IP列表访问置端口列表设访问置设VLAN列表访问12.1配置IP路由VLAN之间是无法直接通讯的,VLAN之间的通讯必须借助于第三层交换机。
VLAN之间的通讯必须借助于三层接口才能实现。
因此,VLAN创建完成后,必须配置三层VLAN端口,才能使VLAN之间的通讯成为可能。
12.1.1为第三层接口配置IP地址1.配置逻辑三层接口2.配置物理三层接口12.1.2设置默认网关当没有配置路由协议时,交换机使用默认网关实现与其他网络的通讯。
需要注意的是,默认网关必须是直接与交换机相连接的路由器端口的IP地址,即路由器的LAN端口的IP地址。
12.1.3设置静态路由如果Telnet终端或SNMP网络管理站点与交换机位于不同的网络,并且没有配置路由协议,那么,将需要添加静态路由表以实现与彼此之间的通信。
12.2配置三层EtherChannel1.创建Port-Channel逻辑接口2.将物理端口配置为三层EtherChannel12.2.1配置三层EtherChannel12.2.2设置EtherChannelTrunkEtherChannelTrunk12.3私有VLAN私有VLAN(PrivateVirtualLocalAreaNetwork,PVLAN)端口之间相互隔离,不能实现相互之间的通信,仅可通过上联端口访问到企业网络。
若用户希望端口之间通信,必须借助三层交换机或路由器进行路由转发。
PVLAN在访问安全和避免广播风暴方面做的是非常到位的。
12.3.1了解PVLAN技术1.VLAN的局限性2.PVLAN技术PVLAN端口PVLAN域VLAN的局限性VLAN的限制的复杂STPIP地址的缺紧路由的限制PVLAN技术PVLAN端口PVLAN端口有3种类型:
Promiscuous、Isolated、Community。
PVLAN域PrimaryVLAN与SecondaryVLANPVLAN域Trunk实现PVLAN传输12.3.2配置PVLAN1.配置PVLAN一般步骤2.将VLAN配置为PVLAN3.关联PrimaryVLAN与SecondaryVLAN4.配置PVLANPromiscuous端口5.配置PVLANHost端口6.配置PVLANTrunk端口7.将SecondaryVLAN映射为PrimaryVLAN三层VLAN接口12.4控制列表访问访问控制列表(ACL,AccessControlList)是CiscoIOS提供的一种访问控制技术,被广泛应用于路由器和三层交换机。
借助ACL,可以有效地控制用户对网络和Internet的访问,从而最大限度地保障网络安全,并使得企业网络不被滥用。
12.4.1认识访问列表1.交换机支持的访问列表2.访问列表的类型准标IP控制列表访问展扩IP控制列表访问命名控制列表访问3.配置访问列表应当注意的问题自上而下的理程处过添加表项准列表标访问过滤列表位置访问句的位置语列表用访问应方向过滤4.访问列表配置步骤12.4.2创建并应用IP访问列表1.创建标准访问列表2.创建扩展访问列表3.创建IP访问列表名称4.基于时间的访问列表5.将IP访问列表应用到接口12.4.2创建并应用IP访问列表4.基于时间的访问列表5.将IP访问列表应用到接口基于时间的访问列表periodic语句中可以使用的每星期天数中的参数12.4.3创建并应用端口访问列表1.创建端口扩展访问列表名称2.将端口访问列表应用到二层接口12.4.4创建并应用VLAN访问列表1.创建VLAN访问列表2.将VLAN访问列表应用到VLAN12.5习题1.简述PVLAN的意义2.简述访问列表的分类及其应用简答题操作题1.在CiscoCatalyst4006和Catalyst3750交换机之间创建EtherChannel,并将该EtherChannel设置为Trunk。
2.在CiscoCatalyst3550交换机的VLAN100上创建PVLAN,禁止端口之间的互访,并实现对Internet的访问。
3.在周一至周五的9:
0018:
00,只允许VLAN10VLAN100的网络用户访问Web网站、收发电子邮件,其他用户不受任何限制。
第13章路由器的配置本章要点:
路由器接口的配置路由的配置静态端口用地址复转换TCP端口映射13.1路由器的基本配置对于中小型企业网络而言,路由器并不
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 51 CTO 下载 中小企业 网络管理员 实用教程