路由和交换技术项目1-2-基本的交换概念和配置课件.pptx

1、路由和交换技术路由和交换技术项目1-5 VLAN间路由项目1-4路由概念 第一部分 交换网络 项目1-6静态路由项目1-2基本的交换概 念和配置项目1-1交换网络简介项目1-3VLAN 第一部分 交换网络 项目1-8单区域OSPF项目1-7动态路由项目1-9DHCP项目1-11网络地址转换项目1-10访问控制列表项目1-12VPN目标导航交换机的初始配置配置交换机端口以满足网络需求配置管理交换机虚拟接口交换环境中的基本安全攻击交换环境中的最佳安全实践配置端口安全功能以限制网络访问2.1.1交换机初始配置2.1 交换机的基本配置1、交换机启动顺序、交换机启动顺序思科交换机开启之后，它将经过以下启

2、动顺序：（1）首先，交换机将加载存储在ROM中的加电自检(POST)程序。POST会检查CPU子系统。它会测试CPU、DRAM以及构成闪存文件系统的闪存设备部分。（2）接下来，交换机加载启动加载器软件。启动加载器是存储在ROM中并在POST成功完成后立即运行的小程序。（3）启动加载器执行低级CPU初始化。启动加载器初始化CPU寄存器，寄存器控制物理内存的映射位置、内存量以及内存速度。（4）启动加载器初始化系统主板上的闪存文件系统。（5）最后，启动加载器查找并将默认IOS操作系统软件镜像加载到内存，并将对交换机的控制权交给IOS。2.1 交换机的基本配置2.1.1交换机初始配置2、从系统崩溃中恢

3、复、从系统崩溃中恢复 如果由于系统文件丢失或损坏而使操作系统不能使用，则启动加载器将提供对交换机的访问。启动加载器有一个命令行，可以提供对闪存中存储的文件的访问。3、交换机、交换机LED指示灯指示灯（1）系统）系统LED-显示系统是否通电以及是否正常工作。（2）冗余电源系统）冗余电源系统(RPS)LED-显示RPS状态。（3）端口状态）端口状态LED-当LED为绿色时，表示选择了端口状态模式。此模式为默认模式。选择后，端口LED将显示不同含义的颜色。（4）端口双工）端口双工LED-当LED为绿色时，表示选择了端口双工模式。（5）端口速度）端口速度LED-表示选择了端口速度模式。选择后，端口LE

4、D将显示不同含义的颜色。（6）以太网供电）以太网供电(PoE)模式模式LED-如果支持PoE，则存在PoE模式LED。2.1 交换机的基本配置2.1.1交换机初始配置4、交换机基本配置、交换机基本配置配置和管理CiscoLAN 交换机的方法有许多种。这些方法包括：Cisco IOS 命令行界面(CLI)Cisco Network AssistantCisco Device ManagerCiscoView 管理软件SNMP（简单网络管理协议）2.1 交换机的基本配置2.1.1交换机初始配置5、交换机备份、交换机备份 对于客户的请求，拿到客户保存的或公司备份的配置文件后，通过反转线将PC机串口（

5、Com）连接到交换机的控制端口（Console），通过交叉线或直连线将网卡（NIC）连接到交换机的Fastethernet 0/1端口。并将PC的IP地址合理设置，启动TFTP Server程序，通过超级终端登录交换机进行恢复操作，连接图如图所示。2.1 交换机的基本配置6、利用、利用TFTP升级交换机系统配置升级交换机系统配置利用TFTP升级交换机系统配置首先启动TFTP服务器软件并进行相关参数设置；然后在交换机上配置管理接口IP地址，再在交换机特权模式下执行COPY命令即可，拓扑图如图所示。2.1.1交换机初始配置2.1 交换机的基本配置课堂实验1：基本交换机配置2.2 交换机的基本配置2

6、.1.2交换机端口问题1、自动、自动MDIX用于启用auto-MDIX的命令如图所示。2.1 交换机的基本配置2.1.2交换机端口问题2、网络接入层问题、网络接入层问题 showinterfaces命令的输出可用于检测常见介质问题。该输出的一个最重要部分就是显示线路和数据链路协议的状态。图表示用于查看接口状态的摘要行。2.1 交换机的基本配置2.1.2交换机端口问题下图显示了showinterfaces命令输出的示例。示例显示了FastEthernet0/1接口的计数和统计信息。2.2.1 安全远程访问2.2 交换机安全：管理和实施1、SSH运行运行安全外壳(SSH)是一种提供远程设备的安全（

7、加密）管理连接的协议。SSH应替代Telnet来管理连接。Telnet是一种较早协议，对登录身份验证（用户名和密码）和通信设备之间传输的数据都采用不安全的明文传输。SSH通过在设备进行身份验证（用户名和密码）时以及在通信设备之间传输数据时提供强加密，确保远程连接的安全。将SSH分配给TCP端口22。将Telnet分配给TCP端口23。第1步：检验是否支持SSH。第2步：配置IP域。第3步：生成RSA密钥对。第4步：配置用户身份验证。第5步：配置vty线路。第6步：启用SSH第2版。课堂实验2：配置SSH2.2.2 LAN中的安全问题1、常见安全攻击：、常见安全攻击：MAC地址泛洪地址泛洪 如下

8、图所示，主机C上的攻击者可以使用虚假的、随机生成的源MAC地址和目的MAC地址将帧发送到交换机。交换机将使用虚假帧中的信息更新MAC地址表。当MAC地址表中填满虚假MAC地址时，交换机将进入失效开放的模式在该模式中，交换机会将所有帧广播到网络中的所有计算机上。因此，攻击者可以看到所有帧。2、常见的安全攻击：、常见的安全攻击：DHCP欺骗欺骗2.2.2 LAN中的安全问题 对交换网络可以执行两种类型的DHCP攻击：DHCP耗竭攻击和DHCP欺骗。在DHCP耗竭攻击中，攻击者将使用DHCP请求泛洪DHCP服务器，以耗尽DHCP服务器可以发出的所有可用IP地址。在发出这些IP地址后，服务器无法发出更

9、多地址，这种情况将导致新的客户端不能获得网络访问权限，从而实现拒绝服务(DoS)攻击。3、常见的安全攻击：利用、常见的安全攻击：利用CDP 默认情况下，大多数思科路由器和交换机在所有端口上都启用了CDP。CDP信息会定期以未加密的广播形式发送。该信息会在每台设备的CDP数据库中进行本地更新。2.2.3 交换机端口安全1、保护未使用端口的安全、保护未使用端口的安全 很多管理员所采用的一种简单方法是禁用交换机上所有未使用的端口，这样做可帮助他们保护网络，使其免受未经授权的访问。2、DHCP监听监听 DHCP侦听是一种确定哪些交换机端口可响应DHCP请求的Cisco Catalyst功能。端口标识为

10、可信和不可信。可信端口可发送所有DHCP消息，包括DHCP提供和DHCP确认数据包；不可信端口只能发送请求。可信端口担当DHCP服务器，也可作为通向DHCP服务器的上行链路。如果不可信端口上的诈骗设备试图将DHCP提供数据包发送到网络，则该端口将关闭。3、端口安全性、端口安全性静态安全MAC地址-使用switchport port-security mac-address mac-address 接口配置模式命令在端口上手动配置的MAC地址。以此方法配置的MAC地址存储在地址表中，并添加到交换机的运行配置中。动态安全 MAC地址-通过动态获取并只存储在地址表中的MAC地址。以此方式配置的MAC

11、地址在交换机重新启动时将被移除。粘滞安全MAC地址-可以通过动态获取或手动配置，然后存储到地址表中并添加到运行配置中的MAC地址。2.2.3 交换机端口安全4、端口安全：违规模式、端口安全：违规模式 要更改交换机端口的违规模式，请使用switchport port-security violation protect|restrict|shutdown 接口配置模式命令。5、端口安全：检验、端口安全：检验 在交换机上配置了端口安全后，请检查每个接口，以检验端口安全是否设置正确并确保静态MAC地址已配置正确。要显示交换机或指定接口的端口安全设置，请使用show port-security int

12、erface interface-id 命令。默认情况下，此端口允许一个MAC地址。6、端口处于错误禁用状态、端口处于错误禁用状态 当端口配置了端口安全时，违规可能会导致端口变为错误禁用状态。当端口处于错误禁用状态时，它是有效关闭的，此端口上不会发送或接收任何流量。注意：端口协议和链路状态变为关闭。项目2综合练习配置交换机安全功能1、实验背景、实验背景 在PC和服务器上锁定访问和安装良好的安全功能十分常见。重要的是也要为我们的网络基础架构设备（例如交换机和路由器）配置安全功能。在本实验中，我们将会参考一些在LAN交换机上配置安全功能的最佳做法。我们将仅允许SSH和安全的HTTPS会话。还将配置并检验端口安全，以阻止任何具有交换机无法识别的MAC地址的设备。2、实验拓扑、实验拓扑3、地址分配表、地址分配表项目2综合练习配置交换机安全功能4、实验内容、实验内容第1部分：设置拓扑并初始化设备第2部分：配置基本设备设置并检验连接第3部分：配置并检验S1上的SSH访问配置SSH访问。修改SSH参数。检验SSH配置。第4部分：配置并检验S1上的安全功能配置并检验常规安全功能。配置并检验端口安全功能。项目2综合练习配置交换机安全功能