工业以太网组网技术与配置 April 2012.

Presentation on theme: "工业以太网组网技术与配置 April 2012."— Presentation transcript:

1 工业以太网组网技术与配置 April 2012

2 工业以太网高级培训班 VLAN Trunk STP VRRP RIP OSPF DHCP acl aaa Qos

3 工业以太网高级培训班—VLAN 什么是VLAN Virtual LAN（虚拟局域网）是物理设备上连接的不受物理位置限制的用户的一个逻辑组。
交换机分割了冲突域，但是不能分割广播域 随着交换机端口数量的增多，网络中广播增多，降低了网络的效率 为了分割广播域，引入了VLAN VLAN Trunk STP VRRP RIP OSPF DHCP acl aaa Qos

4 工业以太网高级培训班—VLAN 广播 广播域 广播域 VLAN 2 VLAN 1

5 工业以太网高级培训班—VLAN 应用示例：VLAN隔离ARP广播
主机A(设备公司)的IP地址为 在VLAN706中，主机B(运分公司)的IP地址为 在VLAN701中，主机A主动与主机B通信，主机A查看路由表发现主机B和自己在同一网段，无须通过三层路由，直接通过发送二层ARP广播即可，但由于VLAN706所在广播域中无法获取主机B的MAC地址导致通信失败！ 主机B 主机A ARP广播 广播域 广播域 VLAN 706 VLAN 701 望京西站

6 工业以太网高级培训班—基础实验 实验名称：VALN隔离广播域 实验步骤： 1、两台PC在同一VLAN可以通过ARP广播得到对方MAC地址；

7 工业以太网高级培训班—基础实验 VALN配置举例： 1、添加VLAN Pt35(config)#vlan 2 2、划分端口到VLAN
Pt35(config)#interface fastethernet 0/1 Pt35(config-if)#switchport mode access Pt35(config-if)#switchport pvid 2 3、配置VLAN虚拟接口IP Pt35(config)#interface vlan 2 Pt35(config-if)#ip address

8 工业以太网高级培训班—VLAN Trunk
VLAN Trunk(虚拟局域网中继技术)的作用是承载网络中的多个VLAN VLAN 1 VLAN 2 VLAN 3

9 工业以太网高级培训班—VLAN Trunk
工程VLAN 市场VLAN 会计VLAN 1楼 Fast Ethernet 2楼 3楼

10 工业以太网高级培训班—VLAN Trunk
如何实现多台交换机上的VLAN通信？每个VLAN一条链路？ VLAN 1 VLAN 1 如果有100个VLAN怎么办呢？ VLAN 2 VLAN 2 VLAN 3 VLAN 3

11 工业以太网高级培训班—VLAN Trunk
为每个VLAN准备一条链路不现实，VLAN Trunk由此产生 VLAN 1 VLAN 1 Trunk链路 VLAN 2 VLAN 2 VLAN 3 VLAN 3

12 工业以太网高级培训班—VLAN Trunk
交换机识别数据来自哪个VLAN呢？VLAN标识 VLAN 1 VLAN 1 VLAN 1标记 接入链路（Access） 中继链路（Trunk） VLAN 2 VLAN 2 VLAN 3 VLAN 3 VLAN 3标记

13 工业以太网高级培训班—VLAN 应用示例：一期一段车站
一期一段车站目前分配了3个VLAN，VLAN701，VLAN702，VLAN706分别配给马泉营站区运分公司员工、后沙峪站区运分公司员工、一期一段车站设备公司员工，不同车站同一VLAN可能相互通信 VLAN 701 VLAN 701 望京西站 望京站 VLAN 706 VLAN 706

14 工业以太网高级培训班—基础实验 实验名称：VALN Trunk承载多个VLAN 实验步骤： 1、两台交换机上均添加VLAN2和VLAN3；
S1 S2

15 工业以太网高级培训班—基础实验 VALN Trunk配置举例： 1、配置TRUNK
Pt35(config)#interface fastethernet 0/2 Pt35(config-if)#switchport mode trunk Pt35(config-if)#switchport pvid 1 2、配置TRUNK链路允许通过的VLAN Pt35(config-if)# switchport trunk vlan-allowed vlan-id list

16 广播风暴最终会导致网络资源耗尽，交换机死机！ 形成双向广播环，广播永远不会停止，产生广播风暴
工业以太网高级培训班—STP 为什么需要STP 物理环路可以实现链路的冗余，但当网络中存在物理环路，又会产生广播风暴 广播风暴最终会导致网络资源耗尽，交换机死机！ 形成双向广播环，广播永远不会停止，产生广播风暴 交换机B与C收到广播帧后都广播该帧 主机aa发送一个广播帧，交换机A广播这个帧 C A B aa bb

17 工业以太网高级培训班—STP STP － Spanning Tree Protocol（生成树协议） 逻辑上断开环路，防止广播风暴的产生
当线路出现故障，断开的接口被激活，恢复通信，起备份线路的作用 C A B

18 工业以太网高级培训班—STP STP将一个环形网络生成无环拓朴的步骤： 选择根网桥（Root Bridge）
选择根端口（Root Ports） 选择指定端口（Designated Ports） 网桥是交换机的前身，由于STP是在网桥基础上开发的，因此现在在交换机的网络中仍然沿用网桥这一术语 第一步：选择根网桥

19 工业以太网高级培训班—STP 第一步：选择根网桥 网桥ID（BID） 网桥ID是唯一的，交换机之间选择BID值最小的交换机作为网络中的根网桥
选择根网桥的目的是为了给将生成的树形结构确定一个树根 网桥优先级 网桥的MAC地址 2字节 6字节 取值范围：0 ～ 65535 缺省值：32768

20 工业以太网高级培训班—STP 根据网桥ID选择根网桥举例 优先级：32768 MAC地址： 000d.2800.b102 C
下一步：选择根端口 以本拓朴为例，介绍STP的计算过程 Root Bridge A B 优先级：4096 MAC地址： 000d.2800.b100 优先级：32768 MAC地址： 000d.2800.b101

21 工业以太网高级培训班—STP 第二步：选择根端口 在非根网桥上选择一个到根网桥最近的端口作为根端口 选择根端口的依据是： 根路径成本最低
直连的网桥ID最小 端口ID最小

22 工业以太网高级培训班—STP 如何计算根路径成本？ 是网桥到根网桥的路径上所有链路的成本之和 路径成本：19 路径成本：100 A B C
Port 1 A B C Root Bridge C的Port 1根路径成本＝19＋100＝119

23 工业以太网高级培训班—STP 路径成本根据链路带宽的高低规定 链路带宽（Mb/s） 路径成本 10 100 16 62 45 39 19
155 14 622 6 1000 4 10000 2

24 工业以太网高级培训班—STP 端口ID的组成 端口优先级 端口编号 8位 8位 取值范围：0 ～ 255 缺省值：128

25 工业以太网高级培训班—STP 在非有网桥上选择根端口举例 在B和C上，到达A最近的端口是B和C的根端口
优先级：32768 MAC地址： 000d.2800.b102 C Root Port 下一步：选择指定端口 100M 100M Root Bridge Root Port A B 100M 优先级：4096 MAC地址： 000d.2800.b100 优先级：32768 MAC地址： 000d.2800.b101

26 工业以太网高级培训班—STP 第三步：选择指定端口 在每个网段上，选择1个指定端口 根桥上的端口全是指定端口 非根桥上的指定端口：
根路径成本最低 端口所在的网桥的ID值较小 端口ID值较小

27 工业以太网高级培训班—STP 在每个网段上选择指定端口举例 这个端口既不是根端口，也不是指定端口，STP将这个端口阻塞（Block）
在这个网段上，B的网桥ID较小，所以B上的端口为指定端口 优先级：32768 MAC地址： 000d.2800.b102 C 100M 100M 根网桥上的端口都是指定端口 Root Bridge DP DP Root Port DP A B 100M 优先级：4096 MAC地址： 000d.2800.b100 优先级：32768 MAC地址： 000d.2800.b101

28 工业以太网高级培训班—STP STP协议计算的结果 优先级：32768 MAC地址： 000d.2800.b102 备份线路 C 100M

29 工业以太网高级培训班—STP 应用示例：一期一段车站
一期一段9个车站和马泉营车辆段10台交换机组成二层环网，在每台交换机上开启STP协议，让马泉营车辆段交换机成为根网桥，通过STP计算在逻辑上会断开望京西站和后沙峪站之间的光纤链路，当其它9段链路任意断开一条则之前断开的链路会恢复通信。

30 工业以太网高级培训班—基础实验 实验名称：STP协议防止广播风暴、保障链路冗余 实验步骤：
1、三台交换机ABC均开启STP协议，优先级分别为4096、8192、32768； 2、查看STP状态，验证BLOCK端口在交换机C上； 3、断开AC之间的物理链路，观察AC上的终端通信能否恢复； Priority:32768 C A B Priority:4096 Priority:8192

31 工业以太网高级培训班—基础实验 STP配置举例： 1、开启STP Pt35(config)#spanning-tree 2、关闭STP
Pt35(config)#no spanning-tree 3、配置STP协议类型 Pt35(config)#spanning-tree mode sstp 4、配置网桥优先级 Pt35(config)#spanning-tree sstp priority 4096

32 工业以太网高级培训班—Supreme-ring
Supreme-ring是卓越信通(TSC)自主研发的私有环网协议。 为什么引入Supreme-ring 环网切换的恢复时间为毫秒级，比生成树快

33 工业以太网高级培训班—Supreme-ring

34 工业以太网高级培训班—基础实验 实验名称：Supreme-ring环网协议恢复时间比STP快 实验步骤：
1、三台交换机ABC均开启Supreme-ring协议； 2、配置交换机A为主，5号端口为primary-port，6号端口为secondary-port； 3、配置交换机BC为transit，5号6号端口为transit-port； 4、断开交换机BC之间的链路观察BC上的终端通信能否恢复； C A B

35 工业以太网高级培训班—基础实验 Supreme-ring配置举例：
master_config#no spanning-tree //关闭生成树协议 master_config#vlan //添加Supreme-ring管理VLAN master_config#interface range g 0/5 - 6 master_config_if_range#switchport mode trunk master_config#ether-ring 0 master_config_ring0#master-node //配置交换机为环网中的主 master_config_ring0#control-vlan 200 master_config_g0/5#ether-ring 0 primary-port //配置7号端口为主端口 master_config_g0/6#ether-ring 0 secondary-port //配置8号端口为从端口 slave_config#no spanning-tree slave_config#vlan 200 slave_config#interface range g 0/5 - 6 slave_config_if_range#switchport mode trunk slave_config#ether-ring 0 slave_config_ring0#transit-node //配置交换机为环网中的从 slave_config_ring0#control-vlan 200 slave_config_if_range#ether-ring 0 transit-port //配置从交换机端口为辅助端口

36 工业以太网高级培训班—IP地址 IP地址的作用 192.168.1.0 192.168.2.0 192.168.3.0
在三层网络中用来标识一个节点的网络地址

37 工业以太网高级培训班—IP地址 IP地址分类 A类： 1.0.0.0 到126.0.0.0有效 0.0.0.0 和127.0.0.0保留
B类： 到 有效 和 保留 C类： 到 有效 和 保留 D类： 到 用于多点广播 E类： 到 保留

38 工业以太网高级培训班—IP地址 内部私有地址 A类 10.0.0.0--10.255.255.255
B类 C类

39 工业以太网高级培训班—VRRP 什么是VRRP
单个三层网关容易产生单点故障 多个三层网关，终端并不能自动检测切换 VRRP正是解决上面的两个问题

40 工业以太网高级培训班—VRRP VRRP协议的原理 VRRP使用IP报文作为传输协议进行协议报文的传送。其协议号为112。
VRRP通过协议报文选举Master，除Master外，其它路由器作为Backup对Master进行备份。 Master 充当Virtual Router完成网关的所有功能。 Virtual Router由LAN上唯一的Virtual Router ID标识。并具有如下的MAC地址 E {vrid}. 当VRRP进行选举时，首先比较选举优先级，优先级高者获胜成为该VRRP组的Master，失败者成为Backup。 如果两个VRRP Router具有相同的优先级，IP地址大者获胜成为Master。 交换机通过监听接口状况，当监视接口出现故障时，自动降低交换机所在备份组的优先级，从而实现冗余

41 工业以太网高级培训班—基础实验 实验名称：VRRP可以实现网关的冗余 实验步骤： IP网
; 2、配置两台交换机的VRRP优先级， 其中 为200即master， 为150即slave； 3、配置两台交换机loopback地址 均为 ; 4、配置两台交换机的占先权； 5、配置两台交换机的端口跟踪。 IP网

42 工业以太网高级培训班—基础实验 VRRP协议配置举例 1、配置VRRP组的虚拟IP
PT35_config_v1#vrrp 1 associate 2、配置VRRP组的优先级 PT35_config_v1#vrrp 1 priority 200 3、配置VRRP组的占先权 PT35_config_v1#vrrp 1 preempt 4、配置VRRP组的端口跟踪 PT35_config_v1#vrrp 1 track interface gigaEthernet 0/6 60

43 工业以太网高级培训班—RIP 什么是RIP 为什么引入动态路由协议
路由信息协议 (Routing information Protocol，RIP)是应用较早、使用较普遍的内部网关协议(Interior Gateway Protocol,简称IGP)，适用于小型同类网络，其管理距离为120，是典型的距离矢量(distance-vector)协议，是典型的较简单的动态路由协议。 为什么引入动态路由协议 静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的信息。一般适用于比较简单的网络环境，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。 动态路由是指路由器能够自动地建立自己的路由表，并且能够根据实际情况的变化适时地进行调整。动态路由的运作机制依赖路由器的两个基本功能：对路由表的维护和路由器之间适时的路由信息交换。

44 工业以太网高级培训班—RIP 距离矢量路由协议RIP的工作原理 RIP路由协议向邻居发送整个路由表信息
最大跳数为15跳，16跳为不可达 经过一系列路由更新，网络中的每个路由器都具有一张完整的路由表的过程，称为收敛 RIP v1 发送路由更新时不携带子网掩码，属于有类路由协议 发送路由更新时，目标地址为广播地址： RIP v2 发送路由更新时携带子网掩码，属于无类路由协议 发送路由更新时，目标地址为组播地址：

45 工业以太网高级培训班—基础实验 实验名称：RIP协议实现动态路由 实验步骤：
1、配置三层交换机A，VLAN1的IP为 ，连接PC1； 2、配置三层交换机A，VLAN3的IP为 ，连接交换机B； 3、配置三层交换机B，VLAN3的IP为 ，连接交换机A； 4、配置三层交换机B，VLAN2的IP为 ，连接PC2； 5、配置两台三层交换机的RIP协议， 查看两台交换机的路由表； 6、配置两台PC机的网关，测试能否通信。 A B PC1： /24 PC2： /24 /24

46 工业以太网高级培训班—基础实验 距离矢量路由协议RIP的配置举例 1、启动RIP进程 Pt35(config)#router rip
Pt35(config-router)#version 2 3、禁止路由汇总 Pt35(config-router)# no auto-summary 4、宣告网络 Pt35(config-router)# network Pt35(config-router)# network

47 工业以太网高级培训班—OSPF 什么是OSPF 为什么引入OSPF OSPF相对RIP适应更大的网络 OSPF的收敛比RIP快
开放式最短路径优先 (Open Shortest Path First，OSPF)是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(autonomous system,AS)内决策路由。与RIP相比，OSPF是链路状态路由协议，而RIP是距离矢量路由协议。OSPF的协议管理距离（AD）是110 为什么引入OSPF OSPF相对RIP适应更大的网络 OSPF的收敛比RIP快

48 工业以太网高级培训班—OSPF 链路状态路由协议OSPF的简介
1、OSPF协议是IETF(Internet工程任务组 Internet Engineering Task Force)组织建议使用的内部网关路由协议(IGP); 2、OSPF协议版本1，这个版本从来没有在实验平台以外使用过； 3、OSPF协议版本2，这个版本是IPV4协议使用的版本； 4、OSPF协议版本3，这个版本是IPV6协议使用的版本； 5、OSPF一个主要的改善在于它的快速收敛，这使得OSPF协议可以支持更大型的网络； 6、OSPF使用区域的概念，可以有效地减少路由条目，减少对路由器三层交换机CPU和内存的占用； 7、OSPF划分区域还可以降低路由选择协议的通信量，这使构建一个层次化的网络拓扑成为可能； 8、OSPF完全无类别地处理地址，排除了不连续子网这样的有类别路由选择问题 9、使用保留的组播地址来减小对不启动OSPF协议设备的影响；

49 工业以太网高级培训班—OSPF 链路状态路由协议OSPF的工作原理—概念
1、Router ID：是在OSPF区域内唯一标识一台路由器的IP地址； 2、Router ID选取规则： 首先，路由器选取它所有loopback接口上数值最高的IP地址； 如果没有loopback接口，就在所有物理端口中选取一个数值最高的IP地址； 3、loopback接口永远不会Down,所以使得路由表具有较大的稳定性,这是官方推荐使用的Router ID； 4、在多址的网络(同一网段多于2个IP)中，需要选取DR(Designated Router,指定路由器)和BDR(Backup Designated Router,备份指定路由器); 5、具有最高OSPF优先级(0-255，默认为1)的路由器会被选为DR，次高为BDR； 6、如果OSPF优先级为0，则路由器在此接口所在网络不能成为DR或BDR； 7、如果OSPF优先级相同，则具有最高Router ID的路由器会被选为DR；次高为BDR； 8、如果网络中已经存在DR和BDR，则高优先级的路由器也会接受，不再进行二次选举。

50 工业以太网高级培训班—OSPF 链路状态路由协议OSPF的工作原理--Hello 1、Hello消息的作用 发现邻居
邻居路由器之间Keepalive 确保邻居路由器之间的双向通信Two-way communication 在多址网络中选取DR和BDR 2、Hello消息的内容 始发路由器的Router ID 始发路由器接口的Area ID 始发路由器接口的Netmask 始发路由器接口的认证信息 始发路由器接口的Hello-interval 始发路由器接口的Dead-interval 始发路由器接口的优先级

51 邻居路由器不仅要能正常通信，而且子网掩码必须一样
工业以太网高级培训班—OSPF 链路状态路由协议OSPF的工作原理 始发路由器接口网络的DR和BDR 始发路由器的所有有效邻居的路由器ID 3、当一台路由器收到邻居路由器发来的hello数据包时，它将检验数据包中的上面红色字段，如果和自己接口上的配置不一样，则丢弃数据包，也无法建立邻接关系 4、如果所有的红色字段都匹配，则此Hello数据包是有效的，如果始发路由器的Router ID已经在此接口的邻居列表中，则路由器的无效计时器被重置，如果没有则把始发路由器的Router ID加入到此接口的邻居列表中。 5、如果一台路由器收到了一个有效的Hello数据包，并在这个Hello数据包中发现了自己的Router ID，则路由器的双向通信Two-way communication建立成功。 6、只有双向通信建立成功，邻接关系才可能建立，在局域网内所有其它路由器只会与DR和BDR建立邻接关系，其它路由器以 发送Hello消息，所有OSPF路由器都可以收到，其它路由器以 发送LSA， 只有DR和BDR才能收到，DR再以 泛洪LSA。 邻居路由器不仅要能正常通信，而且子网掩码必须一样

52 工业以太网高级培训班—OSPF 链路状态路由协议OSPF的工作原理
1、运行OSPF协议的路由器从所有启动OSPF协议的接口上发送HELLO数据包，试图通过交换HELLO数据包来建立邻接关系，在广播型网络(如局域网)中，路由器是与DR和BDR建立邻接关系； 2、每一台路由器都会在所有形成邻接关系的邻居之间发送LSA； 3、每一台收到邻居发出的LSA后都会把LSA记录在自己的LS数据库中，并且发送一份拷贝给它自己已经建立邻接关系的邻居； 4、通过LSA的泛洪，所有的路由器都会形成同样的LS数据库； 5、每一台路由器都将以自身为根，使用Dijkstra的SPF算法来计算一个无环的拓扑图，以描述它所知道的到达一个目的地的最短路径即最小代价； 6、每一台路由器都从SPF算法树中构建自己的路由表；

53 工业以太网高级培训班—基础实验 实验名称：OSPF协议实现动态路由 实验步骤：
1、配置三层交换机A，VLAN1的IP为 ，连接PC1； 2、配置三层交换机A，VLAN3的IP为 ，连接交换机B； 3、配置三层交换机B，VLAN3的IP为 ，连接交换机A； 4、配置三层交换机B，VLAN2的IP为 ，连接PC2； 5、配置两台三层交换机的OSPF协议， 查看两台交换机的路由表； 6、配置两台PC机的网关，测试能否通信。 A B PC1： /24 PC2： /24 /24

54 工业以太网高级培训班—基础实验 链路状态路由协议OSPF的配置 1、配置Loopback 0地址
Pt35(config)#interface loopback 0 Pt35(config-if)#ip address 2、启动OSPF进程 Pt35(config)#router ospf 10 3、宣告网络并指定接口所在区域 Pt35(config-router)# network area 0 4、配置交换机为ABR //一个接口在骨干区域

55 工业以太网高级培训班—基础实验 链路状态路由协议OSPF的配置
Pt35(config-router)# network area 1 //一个接口在其它区域 5、配置完全末梢区域(Totally Stubby Area) Pt35(config-router)# area 1 stub //在Internal Router上配置 Pt35(config-router)# area 1 stub no-summary //在ABR上配置 6、区域间的路由汇总 Pt35(config-router)# area 1 range //在ABR上配置 7、修改三层接口的COST值 Pt35(config)# interface vlan 2 Pt35(config-if)# ip ospf cost 2

56 工业以太网高级培训班—基础实验 链路状态路由协议OSPF的配置 8、修改三层接口的优先级
Pt35(config)# interface vlan 2 Pt35(config-if)# ip ospf priority 2 9、修改三层接口的Hello间隔时间 Pt35(config-if)# ip ospf hello-interval 10 10、修改三层接口的无效间隔时间 Pt35(config-if)# ip ospf dead-interval 40

57 工业以太网高级培训班—单播/组播/广播/广播域
单播（Unicast）：在发送者和每一接收者之间实现点对点网络 连接。 组播（Multicast） ：组播技术是IP网络数据传输方式之一 ， 在发送者和每一接收者之间实现点对多点网络连接。 如果一台发送 者同时给多个的接收者传输相同的数据，也只需复制一份的相同数 据包。它提高了数据传送效率。减少了骨干网络出现拥塞的可能性。 广播（Broadcast） ：向所有连通的节点发送消息，告知网络中 所有的计算机接收并处理帧； 广播域：网络中能接收任何设备发出的广播帧的所有设备的集合。 非目的节点对收到的数据帧不作处理。

58 工业以太网高级培训班—单播/组播/广播/广播域
单播、组播、广播的区别 主机 单播 广播 服务器 组播

59 工业以太网高级培训班—单播/组播/广播/广播域
组播IP地址: 组播地址范围 保留组播地址 本地管理组播地址 用户组播地址 组播MAC地址: 以太网: e-xx-xx-xx

60 All OSPF DR (Designated Router)
工业以太网高级培训班—单播/组播/广播/广播域 常用保留组播IP 地址 含义 All host All router All DVMRP router All OSPF router All OSPF DR (Designated Router) All RIPv2 router All EIGRP router NTP All PIM router

61 工业以太网高级培训班—单播/组播/广播/广播域
组播IP地址对组播MAC地址的映射 例如,组播IP地址 就映射为组播MAC地址 e-0a-0a-0a 1 IP组播地址后23位 映射到MAC地址中 32位IP组播地址 48位MAC地址（以太网/FDDI） 此5位地址不作映射，因此32个IP 组播地址映射成一个MAC地址

62 工业以太网高级培训班—DHCP 什么是DHCP
动态主机设置协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户。 为什么引入DHCP 减小管理员的工作量 减小输入错误的可能 避免IP冲突 当网络更改IP地址段时，不需要重新配置每台计算机的IP 计算机移动不必重新配置IP 提高了IP地址的利用率

63 工业以太网高级培训班—DHCP DHCP租约过程 DHCPDiscover DHCPOffer 广播 DHCPRequest DHCPACK
服务器确认租约 客户机请求IP 客户机选择IP 服务器响应 客户机请求IP DHCPDiscover 广播 DHCPOffer DHCPRequest DHCPACK

64 工业以太网高级培训班—DHCP Windows使用DHCP客户端 CMD常用命令 开启DHCP Client服务 Ipconfig /all
Ipconfig /displaydns Ipconfig /flushdns Ipconfig /release Ipconfig /renew

65 工业以太网高级培训班—DHCP DHCP服务器配置内容 DNS域名 IP地址池 默认网关 DNS服务器IP 地址租约时间

66 工业以太网高级培训班—基础实验 实验名称：三层交换机充当DHCP服务器 实验步骤：
1、配置三层交换机A，VLAN1的IP为 ，连接PC； 2、配置DHCP服务的相关参数； 3、将客户机网关配置为自动获取IP地址； 4、使用ipconfig /all命令查看分配的IP。 A DHCP Client DHCP Server

67 工业以太网高级培训班—基础实验 三层交换机上配置DHCP服务举例 1、添加IP地址池
Pt35_config#ip dhcpd pool vlan1 2、配置DNS域名后缀 Pt35_config_dhcp#domain-name tsc.com 3、配置IP地址池 Pt35_config_dhcp#network Pt35_config_dhcp#range 4、配置默认网关IP Pt35_config_dhcp#default-router 5、配置DNS服务器IP Pt35_config_dhcp#dns-server 6、配置租约时间 Pt35_config_dhcp#lease 8 //租约时间8天

68 工业以太网高级培训班—NTP 什么是NTP 网络时间协议（Network Time Protocol , NTP）是用来使计算机时间同步化的一种协议，SNTP(Simple Network Time Protocol )是NTP的简化版。

69 工业以太网高级培训班—基础实验 实验名称：三层交换机充当SNTP Server 实验步骤：
1、配置三层交换机A，VLAN1的IP为 ，SNTP SERVER； 2、配置三层交换机B，VLAN1的IP为 ，SNTP Client； 3、查看交换机AB目前时钟； 4、指定交换机B的SNTP服务器IP为 ； 5、查看交换机B目前时钟。 A SNTP Server B SNTP Client SNTP Client

70 工业以太网高级培训班—基础实验 实验名称：三层交换机充当SNTP Client 实验步骤：
1、配置三层交换机A，VLAN1的IP为 ，连接PC ； 2、配置XP为SNTP Server； 3、手动修改三层交换机时钟； 4、配置三层交换机，指定SNTP Server为 ； 5、查看三层交换机时钟有没有与服务器同步。 A SNTP Server SNTP Client

71 工业以太网高级培训班—基础实验 SNTP 配置举例 1、查看及配置交换机时钟； PT35_config#date
The current date is :59:11 Enter the new date(yyyy-mm-dd): Enter the new time(hh:mm:ss): 2、配置交换机为时钟服务器 PT35_config#sntp master 3、配置时钟服务器IP地址 PT35_config#sntp server 4、配置时区 PT35_config#time-zone Beijing 8

72 工业以太网高级培训班—SPAN 什么是SPAN
交换端口分析器Switched Port Analyzer , SPAN ）SPAN技术主要是用来监控交换机上的数据流，大体分为两种类型，本地SPAN和远程SPAN. ----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN)，实现方法上稍有不同。 利用SPAN技术我们可以把交换机上某些想要被监控端口（以下简称受控端口）的数据流COPY或MIRROR一 份，发送给连接在监控端口上的流量分析仪 为什么引入SPAN 监控流量 数据分析

73 工业以太网高级培训班—基础实验 实验名称：利用LSPAN获取其它PC使用Telnet的用户名和密码 实验步骤：
1、配置三层交换机A，指定接Telnet Client的接口为Source; 2、配置三层交换机A，指定接analyzer接口为Destination; 3、在analyzer上开启抓包工具； 4、Telnet Client访问Telnet Server，并输入用户名和密码； 5、在analyzer上分析数据包中的用户名和密码。 A Telnet Client Telnet Server analyzer

74 工业以太网高级培训班—基础实验 端口镜像配置举例 1、配置源端口（被监控端口）
PT35_config#mirror session 1 source interface gigaEthernet 0/5 2、配置目标端口（监控端口） PT35_config#mirror session 1 destination interface gigaEthernet 0/7

75 工业以太网高级培训班—ACL 什么是ACL
访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。 为什么引入ACL 访问控制 定义IP地址集合 读取第二、三和四层信息过滤数据

76 工业以太网高级培训班—ACL 通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP） 。 IP报头 TCP报头 数据
源地址 目的地址 源端口 目的端口 访问控制列表利用这4个元素定义的规则

77 工业以太网高级培训班—ACL 三层接口对访问控制列表的处理过程 到达访问控制组接口的数据包 匹配 第一步 Y Y N 允许 拒绝 匹配
下一步 Y Y 允许 拒绝 目的接口 N 拒绝 允许 匹配 下一步 Y Y N 隐含的 拒绝 丢弃 拒绝

78 工业以太网高级培训班—ACL ACL种类 基本类型的访问控制列表 标准访问控制列表 扩展访问控制列表 其他种类的访问控制列表
基于MAC地址的访问控制列表 基于时间的访问控制列表

79 工业以太网高级培训班—ACL 标准ACL 根据数据包的源IP地址来允许或拒绝数据包 否 有访问控制列表吗？ 是 不匹配 匹配 源地址
更多条目？ 否 应用条件 是 列表中的下一个条目 拒绝 允许 如果在访问控制列表中有的话 Icmp消息 转发数据包

80 工业以太网高级培训班—ACL 扩展ACL 基于源和目的地址、传输层协议和应用端口号进行过滤 每个条件都必须匹配，才会施加允许或拒绝条件

81 工业以太网高级培训班—ACL 否 有访问控制列表吗？ 是 不匹配 匹配 源地址 不匹配 匹配 目的地址 不匹配 匹配 协议 不匹配 匹配
协议任选项 否 应用条件 更多条目？ 是 列表中的下一个条目 拒绝 允许 如果在访问控制列表中有的话 Icmp消息 转发数据包

82 工业以太网高级培训班—ACL 端口号 关键字 描述 TCP/UDP 常用端口 20 FTP-DATA （文件传输协议）FTP（数据） TCP
21 FTP （文件传输协议）FTP 23 TELNET 终端连接 25 SMTP 简单邮件传输协议 42 NAMESERVER 主机名字服务器 UDP 53 DOMAIN 域名服务器（DNS) 69 TFTP 普通文件传输协议（TFTP) 80 WWW 万维网

83 工业以太网高级培训班—ACL 操作符及语法 意义 eq portnumber 等于端口号 portnumber gt portnumber
常用端口操作符 操作符及语法 意义 eq portnumber 等于端口号 portnumber gt portnumber 大于端口号portnumber lt portnumber 小于端口号portnumber neq portnumber 不等于端口号portnumber

84 工业以太网高级培训班—基础实验 实验名称：利用ACL禁止两台主机通信 实验步骤：
1、配置三层交换机A，VLAN1接PC1，VLAN2接PC2； 2、测试PC1能够PING通PC2； 3、配置三层交换机A，在物理接口上应用标准ACL禁止PC1的数据 包通过； 4、测试PC1不能PING通PC2； 5、更换PC1的IP为 ； 6、测试PC1能PING通PC2。 A PC1: PC2:

85 工业以太网高级培训班—基础实验 ACL配置举例 1、添加一个标准ACL名称为acl1
PT35_config#ip access-list standard acl1 2、添加一条拒绝规则 PT35_config_std_acl1#deny 3、添加一条允许规则 PT35_config_std_acl1#permit any 4、在三层接口上应用ACL PT35_config_v1#ip access-group acl1 in 5、在二层接口上应用ACL PT35_config_g0/24#ip access-group acl1

86 认证(Authentication)：验证用户的身份与可使用的网络服务；
工业以太网高级培训班—AAA 什么是AAA 认证(Authentication)：验证用户的身份与可使用的网络服务； 　　 授权(Authorization)：依据认证结果开放网络服务给用户； 　　 计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。

87 工业以太网高级培训班—AAA AAA常用认证模式 不认证 本地认证 Radius认证

88 工业以太网高级培训班—基础实验 实验名称：利用AAA配置telnet认证 实验步骤：
1、配置三层交换机A，VLAN1的IP地址为 ; 2、配置AAA的telnet用户名和密码均为tsc; 3、配置AAA的enable密码为tsc; 4、在PC机上telnet 。 A PC1:

89 工业以太网高级培训班—基础实验 常用Telnet客户端软件 Windows自带telnet.exe 运行中输入telnet 服务器IP
运行中输入hypertrm 工程师常用SecureCRT Internet下载使用

90 工业以太网高级培训班—基础实验 AAA配置Telnet认证举例 1、登录时要求用户名密码，进特权模式要密码 配置telnet认证
PT35_config#aaa authentication login default local PT35_config#username tsc password tsc 配置enable认证 PT35_config#aaa authentication enable default enable PT35_config#enable password tsc 2、不认证，login不认证、进特权模式不认证 PT35_config#aaa authentication login default none PT35_config#aaa authentication enable default none

91 工业以太网高级培训班—802.1x 什么是802.1x 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

92 工业以太网高级培训班—802.1x 802.1x三个成员 认证服务器(Radius) 网络接入服务器(NAS)
802.1X客户端(Client)

93 工业以太网高级培训班—802.1x 802.1x工作过程 1.当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。 2.交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。 3.客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。 4.认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。 5.客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。 6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。

94 工业以太网高级培训班—基础实验 实验名称：利用802.1X对用户进行身份认证 实验步骤：
1、配置Radius，添加用户名tsc，密码为tsc； 2、配置交换机NAS，配置RADIUS服务器IP等信息； 3、在NAS上对接CLIENT的接口启用802.1X认证； 4、配置Client，输入错误的用户名和密码; 5、PING 测试； 6、输入正确的用户名和密码； 7、PING 测试。 NAS Radius: Client:

95 工业以太网高级培训班—基础实验 802.1X配置举例 1、使能802.1X PT35_config#dot1x enable
2、配置802.1X的认证模式为radius PT35_config#aaa authentication dot1x default group radius 3、配置radius服务器的IP地址 PT35_config#radius-server host 4、配置radius服务器的认证口令 PT35_config#radius-server key WinRadius 5、在接口上启用802.1X认证 PT35_config_g0/24#dot1x port-control auto

96 工业以太网高级培训班—QoS 什么是QoS
QoS（Quality of Service）服务质量，是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或 设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。

97 工业以太网高级培训班—QoS QoS流区分
根据802.1Q帧头中标签（Tag），该标签长度为两个字节，其中最高位的3个比特用来表示报文的优先级，总共有8个优先级，0为最低优先级，7为最高优先级。 根据IP报文中IP头部的DSCP字段，该字段使用IP头中TOS域的低6个比特。

98 工业以太网高级培训班—QoS QoS两大应用 基于IP地址限速 数据优先通过

99 工业以太网高级培训班—基础实验 实验名称：利用QoS实现基于IP地址的限速 实验步骤：
1、如图所示配置好PC机IP，通过飞鸽相互传送文件并纪录速率； 2、在三层交换机配置QoS，设置PC2下载PC1的带宽为1M； 3、在PC1上使用飞鸽传送文件给PC2，并纪录速率； 4、在PC2上使用飞鸽传送文件给PC1，并纪录速率。 A PC1: PC2:

100 工业以太网高级培训班—基础实验 QoS配置举例 1、配置ACL
PT35_config#ip access-list standard acl1 PT35_config_std_acl1#permit 2、添加策略 PT35_config#policy-map tsc 3、匹配ACL PT35_config_map#classify ip acl1 4、配置带宽 PT35_config_tsc#action bandwidth 128 //128*64kbps=1MBps 5、在接口上应用策略 PT35_config_g0/24#qos policy tsc ingress

101 Thank You! For more information, contact the author at or visit