网络安全技术与实施-项目3--交换机安全管理与配置.pptx

学习情景二：网络设备安全管理与配置 项目3 交换机安全管理与配置 3.1 项目背景 3.2 项目知识准备 3.3 项目实施 项目习作 网络安全技术与实施 网络安全技术与实施-项目3--交换机安全管理与配置全文共89页，当前为第1页。 3.1 项目背景 项目背景 小杨作为A企业上海分公司的网络管理人员，时常会遇到某些局域网用户对企业内交换机进行非法登录、非法用户的接入及IP盗用等情形。 网络安全技术与实施-项目3--交换机安全管理与配置全文共89页，当前为第2页。 3.2 项目知识准备 3.2.1 交换机 1．交换机的工作原理 　 （1）交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射，并将其写入MAC地址表中。 （2）交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较，以决定由哪个端口进行转发。 （3）如数据帧中的目的MAC地址不在MAC地址表中，则向所有端口转发。这一过程称为泛洪。 网络安全技术与实施-项目3--交换机安全管理与配置全文共89页，当前为第3页。 3.2 项目知识准备 2．交换机的主要功能 （1）MAC地址学习 以太网交换机了解每一端口相连设备的MAC地址，并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。 （2）转发/过滤 当一个数据帧的目的地址在MAC地址表中有映射时，它被转发到连接目的节点的端口而不是所有端口（如该数据帧为广播/组播帧则转发至所有端口）。 （3）消除回路 当交换机包括一个冗余回路时，以太网交换机通过生成树协议避免回路的产生，同时允许存在后备路径。 网络安全技术与实施-项目3--交换机安全管理与配置全文共89页，当前为第4页。 3.2 项目知识准备 3．交换机的工作特性 （1）交换机的每一个端口所连接的网段都是一个独立的冲突域。 （2）交换机所连接的设备仍然在同一个广播域内，也就是说，交换机不隔绝广播（唯一的例外是在配有VLAN的环境中）。 （3）交换机依据数据帧头的信息进行转发，因此说交换机是工作在数据链路层的网络设备。 网络安全技术与实施-项目3--交换机安全管理与配置全文共89页，当前为第5页。 3.2 项目知识准备 4．以太网数据帧结构 以太网帧是交换机通信信号的基本单元，认识以太网数据帧是对其进行网络性能分析的基础。当前以太网帧标准，即修订后的IEEE 802.3（Ethernet）的结构如下： 网络安全技术与实施-项目3--交换机安全管理与配置全文共89页，当前为第6页。 3.2 项目知识准备 5．交换机的组成 交换机相当于是一台特殊的计算机，同样有CPU、存储介质和操作系统，只不过这些都与PC机有些差别而已。交换机也由硬件和软件两部分组成。 软件部分主要是IOS操作系统，硬件主要包含CPU、端口和存储介质。交换机的端口主要有以太网端口（Ethernet）、快速以太网端口（Fast Ethernet）、吉比特以太网端口（Gigabit Ethernet）和控制台端口。存储介质主要有ROM（Read-Only Memory，只读储存设备）、FLASH（闪存）、NVRAM（非易失性随机存储器）和DRAM（动态随机存储器）。 网络安全技术与实施-项目3--交换机安全管理与配置全文共89页，当前为第7页。 3.2 项目知识准备 3.2.2 交换机基本配置 2．连接交换机的方法 （1）连接交换机的console端口（带外管理） （2）远程管理（带内管理） 网络安全技术与实施-项目3--交换机安全管理与配置全文共89页，当前为第8页。 3.2 项目知识准备 （3）WEB方式登录（带内管理） 2. 交换机的常见配置模式 （1）用户模式 当用户通过交换机的控制台端口或Telnet会话连接并登录到交换机时，此时所处的命令执行模式就是用户EXEC模式。在该模式下，只执行有限的一组命令，这些命令通常用于查看显示系统信息、改变终端设置和执行一些最基本的测试命令，如ping、traceroute等。该模式的命令提示符为：Switch>。 网络安全技术与实施-项目3--交换机安全管理与配置全文共89页，当前为第9页。 3.2 项目知识准备 （2）特权模式 在用户模式下，执行"enable"命令，可以进入特权模式。在该模式下，用户能够执行IOS提供的所有命令。该模式的命令提示符为：Switch#。 （3）全局配置模式 在特权模式下，执行"Configure Terminal"命令，可以进入全局配置模式。在该模式下，只要输入一条有效的配置命令并回车，内存中正在运行的配置就会立即改变生效。该模式下的配置命令的作用域是全局性的，是对整个交换机起作用。该模式的命令提示符为：Switch(config)#。 网络安全技术与实施-项目3--交换机安全管理与配置全文共89页，当前