图1.2 令牌环网基本过程
2、令牌总线网
主要用于总线和树型网络中,综合了令牌和总线的优点。是一个主流的控制方式。 (1)工作原理
把总路线型和树型上的各个工作站形成一个逻辑上的环,然后将各个工作站设置一定的顺序,形成一个逻辑的环。 (2)优点:
a、 可以避免冲突,类似于令牌网,每一个站点都可以帧听其它站点所发的信息,只有令牌的站的才可以发送信息。 b、吞吐能力好。 c、 连网的距离较远。 (3)缺点:
复杂、时间开销大,工作站必须等多个无效的令牌传送才可获得令牌。
图1.3 令牌总线工作原理图
3、CSMA/CD
CSMA(载波侦听)和CD(冲突检测)即带冲突检测的载波侦听多路访问控制方式。主要用于树型和总线型。 (1)侦听总线 6
查看线路上是否有信号,有则继续侦听,或者隔一段时间再侦听,信道上无信号才发送信息。
(2)冲突检测
解决信道上有冲突时候,对发生冲突的两个信号如何收发。 (3)特点:
各工作站处于相同的地位,可以互相争用总线,不能提供优先级,当负载较大时,发送信息等待时间较长。
侦听有载波N发送N有冲突N发送完成冲突过多Y放弃YYY延时等待退避算法,获得M值强化冲突,停止发送N来
结束 图1.4 CSMA/CD算法流程图
应该指出,ARCnet网实际上采用称为集中器的硬件联网,物理拓扑上有星状和总线型两种连接方式。
1.2.2 扩展访问控制列表
访问控制列表简称为ACL,路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
7
IP ACL分为两种:标准IP访问列表和扩展IP访问列表。标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。
扩展IP访问控制列表是其中重要的一种。
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
1.3 系统设计
设备:3560-24ps型三层交换机一台,PC机三台,直通线3条。
图1.5 网络拓扑图
1.3.1 创建VLAN
3560-24(config)#vlan 10 3560-24(config-vlan)#name server
3560-24(config-vlan)#vlan 20 3560-24(config-vlan)#name teachers 3560-24(config-vlan)#vlan 30 3560-24(config-vlan)#name students
此段代码是创建VLAN10,VLAN20,VLAN30,并分别命名为server,teachers ,
8
students,即为服务器,提供FTP和WWW服务。
1.3.2 端口配置
3560-24(config-vlan)#exit3560-24(config)#vlan 10 3560-24(config-vlan)#name server 3560-24(config-vlan)#vlan 20 3560-24(config-vlan)#name teachers 3560-24(config-vlan)#vlan 30 3560-24(config-vlan)#name students 3560-24(config-vlan)#exit 3560-24(config)#int fa 0/1
3560-24(config-if)#switchport mode access 3560-24(config-if)#switchport access vlan 10 3560-24(config-if)#exit 3560-24(config)#int f a0/2
3560-24(config-if)#switchport mode access 3560-24(config-if)#switchport access vlan 20 3560-24(config-if)#exit 3560-24(config)#int f a0/3
3560-24(config-if)#switchport mode access 3560-24(config-if)#switchport access vlan 30
3560-24(config)#int f a0/1
3560-24(config-if)#switchport mode access 3560-24(config-if)#switchport access vlan 10 3560-24(config-if)#exit 3560-24(config)#int f a0/2
3560-24(config-if)#switchport mode access 3560-24(config-if)#switchport access vlan 20 3560-24(config-if)#exit 3560-24(config)#int f a0/3
3560-24(config-if)#switchport mode access
9
3560-24(config-if)#switchport access vlan 30
此段代码的功能是进入端口,再设置端口为接入端口模式,把端口接到对应的VLAN,并对端口进行配置。
1.3.3 配置IP
3560-24(config-if)#int vlan 10
3560-24(config-if)#ip address 192.168.10.1 255.255.255.0 3560-24(config-if)#no shutdown 3560-24(config-if)#int vlan 20
3560-24(config-if)#ip address 192.168.20.1 255.255.255.0 3560-24(config-if)#no shutdown 3560-24(config-if)#int vlan 30
3560-24(config-if)#ip address 192.168.30.1 255.255.255.0
3560-24(config-if)#no shutdown
此段代码实现了IP配置。IP为192.168.x.1,子网掩码为255.255.255.0 。
1.3.4 配置扩展IP访问控制列表
3560-24(config)#access-list 110 deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq www
3560-24(config)#access-list 110 permit ip any any 3560-24(config)#int vlan 30
3560-24(config-if)#ip access-group 110 in 3560-24(config-if)#exit 3560-24(config)#exit 3560-24#
首先定义命名扩展访问列表,然后禁止学生对对应的VLAN访问WWW,再使能其他的服务,从而VLAN30无法访问WWW,但是可以进行FTP访问。
1.3.5 开启路由功能
Switch>en Switch#config t
Switch(config)#no ip domain-loo Switch(config)#ip routing Switch(config)#int vlan
10