星星PPT免费下载
热门搜索:
首页 > PPT > PPT课件 > 学校PPT

典型网络工程的案例分析设计PPT

  • 时间:2017-04-05
  • 版本:powerpoint
  • 模板大小:7.46 MB
  • 授权:免费下载
  • 屏幕比例:宽屏:16:9 / 16:10
  • 分享者:ppt
  • 所属栏目:学校PPT
  • 推荐星级:4 颗星

典型网络工程的案例分析设计PPT

典型网络工程的案例分析设计PPT

简介:这是一个关于典型网络工程的案例分析设计PPT主要介绍了扩展办公网络、隔离办公网络干扰、办公网全网互通、保障办公网交换设备、初识路由器、保障区域网络安全、用VPN保障网络安全等内容。网络工程专业是专门为网络领域人才市场供不应求的迫切需要而设置的专业。

典型网络工程的案例分析设计PPT是由星星PPT用户ppt上传提供的学校PPT类型素材,上传时间为2017-04-05,本页面网址为http://www.cnd8.com/ppt/2016102777509.html

中小型网络工程案例
项目 构建复杂办公网
项目背景
任务1 扩展办公网络
任务1 扩展办公网络
一、任务分析
该中专学校升级为职业技术学院后,在校生规模达到近6000人,需要扩充更多信息点以满足师生员工对网络的需求,因此需要在现有网络中,扩充信息点以满足需求。在网络中,扩充信息点最经济、有效的方法就是使用交换机级连和堆叠技术。交换机级连不仅可增加网络节点数量,还可延伸网络的距离;堆叠技术则不仅仅可以增加网络中节点数,还可扩展网络的带宽。
级连是交换网络中最常见的技术,在实施网络级连时,应尽力保证交换机间中继链路具有足够的带宽,为此需要采用链路汇聚技术。链路聚合技术为网络带来高带宽、均衡负载,并提供冗余链路,冗余链路为网络带来健全性。但冗余链路形成环路会引发诸如广播风暴等严重后果,启用生成树技术是解决网络中广播风暴的最好技术之一。
技术一:使用级连扩展办公网络
核心技术准备
交换机级连技术
    在网络中,如果需要扩充网络的节点数量,最简单的方法就是增加交换机的数量,使用双绞线把它们之间互相连接起来,这种使用网线将两个交换机进行连接的技术称为交换机级连技术
核心技术准备
交换机堆叠技术
           堆叠是把交换机的背板带宽,通过专用模块聚集在一起,这样堆叠交换机的总背板带宽就是几台堆叠交换机的背板带宽之和,堆叠将一台以上的交换机组合起来共同工作,交换机组可视为一个整体的交换机进行管理,从而满足了大型网络对端口的数量要求,以便在有限的空间内提供尽可能多的端口。
链路聚合的定义
       端口聚合将交换机上的多个端口在物理上连接起来,在逻辑上捆绑在一起,形成一个拥有较大宽带的端口,形成一条干路,可以实现均衡负载,并提供冗余链路。
链路聚合
802.3ad的主要优点
  1、链路聚合技术(也称端口聚合)帮助用户减少了这种压力。
2、802.3ad的另一个主要优点是可靠性。
3、链路聚合标准在点到点链路上提供了固有的、自动的冗余性。
流量平衡
   AP根据报文的MAC地址或IP地址进行流量平衡,
   即把流量平均地分配到AP的成员链路中去。
流量平衡可以根据源MAC地址、目的MAC地址或源IP地址/目的IP地址对。
MAC地址流量平衡
配置二层aggregate port
Switch#configure terminal
Switch(config) # interface interface-id
Switch(config-if-range)#port-group port-group-number
配置三层aggregate(带IP地址)
Switch#configure terminal
Switch(config) #interface aggregate-port aggregate-port-number
Switch(config-if)#no switchport
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
配置aggregate port的注意事项
1.组端口的速度必须一致;
2.组端口必须属于同一个VLAN;
3.组端口使用的传输介质相同;
交换机网络中的冗余链路
使用备份连接,可以提高网络的健全性、稳定性。
产生环路
环路问题将会导致:广播风暴、多帧复制,MAC地址表的不稳定等问题。
解决方法:环临时生成树思想
临时关闭网络中冗余的链路
生成树协议STP 的基本概念
生成树协议(STP)   :   IEEE802.1d标准
主要思想是:网络中存在备份链路时,只允许主链路激活,如果主链路因故障而被断开后,备用链路才会被打开。
主要作用:避免回路,冗余备份。
生成树协议实现交换网络中,生成没有环路的网络,主链路出现故障,自动切换到备份链路,保证网络的正常通信。
生成树协议STP 的基本概念
运行了STP以后,交换机将具有下列功能。
① 发现环路的存在。
② 将冗余链路中的一个设为主链路,其他设为备用链路。
③ 只通过主链路交换流量。
④ 定期检查链路的状况。
⑤ 如果主链路发生故障,将流量切换到备用链路。
STP的缺点
    生成树经过一段时间(默认值是50秒左右)稳定之后,所有端口要么进入转发状态,要么进入阻塞状态。
IEEE 802.1w
快速生成树协议RSTP(Rapid Spannning Tree Protocol) IEEE 802.1w
RSTP协议在STP协议基础上做了三点重要改进,使得收敛速度快得多(最快1秒以内)。
打开、关闭Spanning Tree协议
Switch(config)#Spanning-tree
如果您要关闭Spanning Tree协议,
可用no spanning-tree 全局配置命令进行设置。
配置Spanning Tree的类型
Switch(config)#Spanning-tree mode STP
Switch(config)#Spanning-tree mode RSTP
配置交换机优先级
Switch(config)#spanning-tree priority <0-61440> 
    (“0”或“4096”的倍数、共16个、缺省32768)
如果要恢复到缺省值,可用
no spanning-tree priority全局配置命令进行设置。
STP port-priority
Switch(config-if)#spanning-tree port-priority  <0-240>
      (“0”或“16”的倍数、共16个、缺省128)
如果要恢复到缺省值,可用 no spanning-tree
port-priority接口配置命令进行设置。  
STP、RSTP信息显示
SwitchA#show spanning-tree  
       !显示交换机生成树的状态
SwitchA#show spanning-tree interface fastthernet 0/1  
       !显示交换机接口
任务2   隔离办公网络干扰
一 任务分析
VLAN技术
VLAN的优点
(1)控制网络中的广播风暴
采用VLAN技术后,可将某个交换端口划到某个VLAN中,而一个VLAN中的广播风暴不会传播到其他VLAN,影响其他VLAN的通信效率和网络性能。一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
(2)确保网络安全
共享式局域网之所以很难保证网络的安全性,是因为只要用户接入任意一个活动端口,就能访问到整个网络。而VLAN能限制个别用户的访问,控制广播组的大小和位置,可以控制用户访问权限和逻辑网段大小。将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。
VLAN的优点
(3)简化网络管理,提高组网灵活性
对于交换式以太网,假如对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,从而增加了网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用,将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下,可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。
划分VLAN的方法
 基于端口的VLAN
 基于协议的VLAN
 基于MAC层分组的VLAN
 基于子网的VLAN
端口VLAN相关配置命令
Switch#
Switch#configure terminal
Switch(config)# vlan 10    !启用VLAN 10
Switch(config-vlan)# exit
Switch(config-)# vlan 11       !启用VLAN 11
Switch(config-vlan)# exit          ! 退出VLAN配置模式
……
Switch(config)# no vlan 11       !删除VLAN 11
如果需要将交换机F0/5端口指定到VLAN 10中,在交换机上配置过程如下。
Switch#
Switch#configure terminal
Switch(config)# interface fastEthernet 0/5         !打开交换机的接口5
Switch(config-if)# switchport access vlan 10        !把该接口分配到VLAN 10
Switch(config-if)#no shutdown                   ! 开启接口工作状态
Switch(config-if)#end
Switch# show vlan                             ! 查看VLAN配置信息
(三)交换机之间划分虚拟局域网
由于VLAN的划分通常按逻辑功能而非物理位置进行,位于同一VLAN中的成员设备,跨越任意物理位置的多个交换机的情况更为常见,在没有技术处理的情况下,一台交换机上VLAN中信号无法跨越交换机传递到另一台交换机的同一VLAN成员中,如图4-20所示。那么,怎样才能完成跨交换机VLAN的识别并进行VLAN的内部成员的通信呢?
(三)交换机之间划分虚拟局域网
为了让VLAN能够跨越多个交换机实现同一VLAN中成员通信,可采用主干链路Trunk技术将两个交换机连接起来。Trunk主干链路是指连接不同交换机之间的一条骨干链路,可同时识别和承载来自多个VLAN中的数据帧信息。由于同一个VLAN的成员跨越了多个交换机,而多个不同VLAN的数据帧都需要通过连接交换机的同一条链路进行传输,这样就要求跨越交换机的数据帧,必须封装为一个特殊的标签,以声明它属于哪一个VLAN,方便转发传输。
配置VLAN-Trunk技术
任务3   办公网全网互通
一 任务分析
(二)利用路由器实现VLAN间通信
三层路由器VLAN间通信
单臂路由解决思想
路由器实现VLAN间通信的缺陷
由于路由器更多通过协议进行工作,数据通过路由技术处理,传输速度会变得非常缓慢。而且路由器的低效率和长时延,如果安装在交换网络中,也使路由器成为整个网络的瓶颈,因此在交换网络中,需要采用新的技术来改善整个网络的速度。
(三)利用三层交换机实现VLAN间通信
1.三层交换机基础知识
目前,市场上最高档路由器的最大处理能力为每秒25万个包,而最高档交换机的最大处理能力则在每秒1000万个包以上,二者相差40倍。在交换网络中,尤其是大规模的交换网络,没有路由功能是不可想象。然而路由器的处理能力又限制了交换网络的速度,这就是三层交换所要解决的问题。
三层交换机本质上就是带有路由功能的二层交换机,三层交换机将第二层交换机和第三层路由器两者的优势,有机而智能化地结合起来,可在各个层次提供线速性能。这种集成化的结构还引进了策略管理属性,不仅使第二层与第三层相互关联起来,而且还提供流量优先化处理、安全访问机制以及其他多种功能。在一台三层交换机内,分别设置了交换机模块和路由器模块;而内置的路由模块与交换模块类似,也使用ASIC硬件处理路由。因此,与传统的路由器相比,可以实现高速路由。并且,路由与交换模块是汇聚链接的,由于是内部连接,可以确保相当大的带宽。
(三)利用三层交换机实现VLAN间通信
2.三层交换机配置技术
三层交换机不仅仅是台交换机,具有基本的交换功能;它还具有路由功能,相当于一台路由器,每一个物理接口还可以是一个路由接口,连接一个子网络。三层交换机物理接口默认是交换接口,如果需要开启路由接口,在三层交换机开启路由功能的配置命令为:
Switch#configure terminal
Switch(config)# interface fastethernet 0/5
Switch(config-if)# no switchport    !开启接口Fa5的路由功能
Switch(config-if)# ip address 192.168.1.1 255.255.255.0 !配置接口IP地址
Switch(config-if)# no shutdown
如果需要关闭物理接口路由功能,则可以执行下面的命令:
Switch#configure terminal
Switch(config)# interface fastethernet 0/5
Switch(config-if)# switchport          !把该端口还原为交换端口
Switch(config-if)#no shutdown
(三)利用三层交换机实现VLAN间通信
3.使用三层交换机路由功能实现子网络互通图
在使用三层交换机路由功能实现VLAN间互相通信时,与构建横跨多台交换机的VLAN时的情况类似。如图4-24所示,当每个交换机上只有一个VLAN时,接入交换机分别和三层交换机的三个不同接口进行连接。
把连接的二层交换接口的交换功能关闭,开启其路由功能,此时三层交换机的每一个接口所连接的每一个VLAN,相当于一个子网络,分配一个子网地址。路由器的每一个接口分配一个同网段子网地址,相当于交换机所连接网段的网关,激活路由器后,通过路由器上自动生成的直连路由,就可以实现三个VLAN间的成员通信。
(四)三层交换机实现虚拟局域网通信
(四)三层交换机实现虚拟局域网通信
三层交换SVI技术配置方法
第一步:分别在三层上创建每个VLAN对应的SVI端口,
         Switch(config)#vlan 10
         Switch(config)#vlan 20
第二步:为三层上创建的VLAN分配路由IP地址:
    Switch(config)# interface vlan <vlan>
    Switch(config-if)# ip address <address> <netmask>
    Switch(config-if)#no shutdown
第三步:将二层VLAN内连接主机的网关,指定为本VLAN对应的三层接口地址
三层接口(SVI)
Vlan 10
Interface f0/1
Switchport access vlan 10
Vlan 20
Interface f0/2
Switchport access vlan 20
Interface vlan 10
Ip address 10.1.1.1 255.255.255.0
No shutdown
Interface vlan 20
Ip address 10.1.2.1 255.255.255.0
No shutdown
任务4    保障办公网交换设备安全
一 任务分析
二 相关知识:保障办公网交换机设备安全的技术
交换机的端口是连接网络终端设备的重要关口,加强交换机端口的安全是提高整个网络安全的关键。默认情况下交换机端口是完全敞开的,不提供任何安全检查措施。因此为保护网络内用户设备安全,需要对交换机端口增加安全访问功能,从而可以有效地保护整个网络的安全。
来自网络内部的大部分网络攻击行为,多采用欺骗源IP或源MAC地址的方法,对网络中的核心设备进行连续的数据包攻击,耗尽网络核心设备系统资源,如典型ARP攻击、MAC攻击、DHCP攻击等。这些针对交换机端口产生的攻击行为,可以通过启用交换机的端口安全功能特性来防范:通过在交换机某个端口上,配置限制访问MAC地址或者IP地址,可以控制该端口上的数据安全输入。
二 相关知识:保障办公网交换机设备安全的技术
交换机的端口配置安全端口功能:设置来自于某些源地址的数据是合法数据后,打开交换机的端口安全功能,除了源地址为这些安全地址的包外,这个端口将不转发其他任何包。为了增强网络的安全性,还可以将MAC地址和IP地址绑定起来,作为安全接入的地址,实施更为严格的访问限制,当然也可以只绑定其中的一个地址,如只绑定MAC地址而不绑定IP地址,或者相反。
交换机的端口安全功能还表现在,可以限制一个端口上能连接安全地址的最大个数。如果一个端口被配置为安全端口,并为其配置可以连接安全地址的数量,该端口就具有安全端口的功能。以后当有人通过该端口进行扩展时,如果通过该端口上安全地址连接数目达到允许的最大个数,或者该端口收到一个源地址不属于该端口上的安全地址时,交换机将产生一个安全违例通知。
交换机的端口安全违例事件发生后,可以选择多种方式来处理违例:如丢弃接收到的包,发送违例通知或关闭相应端口等。如果将交换机上某个端口上最大连接个数设置为1,并且为该端口只配置了一个安全地址时,则连接到这个端口上的工作站(其地址为配置的安全地址)将独享该端口的全部带宽。
MAC攻击
MAC攻击
交换机端口安全功能
交换机的端口安全功能,防止网内部攻击,  如MAC地址攻击、ARP攻击、IP/MAC欺骗等。
 交换机端口安全的基本功能
1、限制端口最大连接数   ,控制恶意扩展接入
例:学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络,对网络造成破坏。
2、端口安全地址绑定,  解决网中IP地址冲突、ARP欺骗
例:在学校宿舍网内端口地址绑定,可以解决学生随意更改IP地址,造成IP地址冲突,或者学生利用黑客工具,进行ARP地址欺骗。
交换机端口安全内容
  安全端口收到不属于端口上安全地址包时,一个安全违例将产生。
当安全违例产生时,可以选择多种方式来处理违例:
Protect:安全端口将丢弃未知名地址的包(不是该端口的安全地址中的任何一个)。
RestrictTrap:当违例产生时,将发送一个Trap通知。
Shutdown:当违例产生时,将关闭端口并发送一个Trap通知。
端口安全配置示例
 配置fa1/3端口安全功能,
    设置最大地址个数为8,违例方式为protect。
Switch(config)# interface  fa1/3
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 8
Switch(config-if)# switchport port-security violation protect
端口安全配置示例
 配置fa0/3安全功能,绑定MAC为00d0.f800.073c,IP为192.168.12.202
Switch(config)# interface fa 0/3
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address
                 00d0.f800.073c  ip-address   192.168.12.202
验证命令
 查看接口安全信息
Switch#show port-security
Secure Port   MaxSecureAddr(count)  CurrentAddr(count)  Security Action
 ------------  --------------------    -----------------    --------------
    fa0/3             8                        1                   Protect
验证命令
  查看安全地址信息。
Switch# show port-security address
Vlan  Mac Address   IP Address   Type    Port  Remaining  Age(mins)
---- --------------- --------------- ---------- -------- -----------------------------------
  1         00d0.f800.073c       192.168.12.202   Configured    Fa0/3         8                         1
任务实施1  保护网管交换机控制台安全
【网络场景】
该校网络中心有多名网络管理人员,日常网络设备的管理工作由多人维护,因此带来了许多网络设备管理配置不一致的情况,给网络中心网络设备的管理带来安全隐患。
为了保证网络设备的控制台的安全,需要为网络中心的所有交换机设备配置控制台管理密码,只授权给几个工程师,以保护网络设备管理的安全。
在缺省的情况下,交换机上的所有的端口都在同一广播域中,为了管理交换机,必须首先对交换机设备进行一些基本的配置,以实施对设备的配置和控制技术。
配置管理交换机时,第一项必须完成的任务就是保证交换机设备不会在非授权的情况下被非法使用。在企业网中最简单的安全形式就是限制交换区域中对交换机的访问,通过对网管交换机配置口令来实现这一操作。
任务实施1  保护网管交换机控制台安全
【施工拓扑】
任务实施1  保护网管交换机控制台安全
【施工设备】
二层交换机(1台)、网络线(若干根)、测试PC(若干台)
【施工步骤】
1.配置交换机的登录密码
2.配置交换机的特权密码
3.配置交换机远程登陆安全
任务实施2 配置交换机端口安全地址捆绑
该校为了防止学院内部用户IP地址冲突,防范学院内部的网络攻击行为,学院要求网络中心为学院中每一台电脑分配固定IP地址(如校长办公室的主机IP地址是172.16.1.55/24,该主机MAC地址是00-06-1B-DE-13-B4),并限制只允许内部员工才可以使用网络,不得随意连接其他外来主机。
利用交换机端口安全这个特性,可以通过限制允许访问交换机上某个端口的MAC地址以及IP(可选),实现严格控制对该端口的数据输入。当为交换机端口(打开了端口安全功能的端口)配置了一些安全地址后,该端口就具有安全端口功能,除了源地址为这些安全地址的数据包外,这个端口将不转发其他非安全地址的任何报文。
此外还可以限制一个端口上,能传输的安全地址最大连接个数。如将交换机上某端口安全地址的最大连接个数设置为1,并且为该端口配置一个安全地址,则连接到这个端口上的工作站(其地址为配置的安全MAC地址),将独享该端口的全部带宽。
任务实施2  配置交换机端口安全地址捆绑
当安全违例产生后,可以设置交换机,针对不同的的网络安全需求,采用不同的安全违例的处理模式。
●  Protect  当所连接的端口通过的安全地址达到最大的安全地址个数后,安全端口将丢弃其余的未知名地址(不是该端口的安全地址中的任何一个)的数据包。
●  RestrictTrap  当安全端口产生违例事件后,将发送一个Trap通知,等候处理。
●  Shutdown  当安全端口产生违例事件后,将关闭端口同时还发送一个Trap通知。
可以使用接口配置模式下命令switchport port-security mac-address mac-address来手工配置端口所有安全地址。
当交换机发现收到的主机MAC地址与交换机上指定MAC地址不同时,交换机相应的端口将关闭。当给端口指定MAC地址时,端口模式必须为access或者trunk状态。
Switch # configure terminal
Switch (config)# interface  fa0/1
Switch (config-if)# switchport  mode  access      !指定端口模式为access
Switch (config-if)# switchport  port-security  mac-address 00-90-F5-10-79-C1 !配置该端口安全MAC地址
Switch (config-if)# switchport  port-security  maximum  1 !限制此端口允许通过的MAC安全地址数为1
Switch (config-if)# switchport  port-security  violation  shutdown !非安全地址通过时,端口关闭
任务实施2  配置交换机端口安全地址捆绑
【网络场景】
如图4-29所示的网络拓扑是该校网络中心为学院校长办公室的主机实施的安全端口控制技术,该主机的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4,并进行限制,只允许办公室内员工可以使用该主机访问网络。
【任务目的】 
掌握交换机端口安全功能,控制用户安全接入
【施工拓扑】
任务实施2  配置交换机端口安全地址捆绑
【施工步骤】
Switch#configure terminal
Switch(config)#interface range fastethernet 0/23    !  进行fastethernet 0/23端口配置模式
Switch(config-if-range)#switchport port-security  ! 开启交换机的端口安全功能
Switch (config-if)#switchport  port-security  mac-address 00-06-1B-DE-13-B4
                                                            !配置该端口安全MAC地址
Switch (config-if)#switchport  port-security  IP-address 172.16.1.55
                                                            !配置该端口安全ip地址
Switch (config-if)#switchport  port-security  maximum  1
                                                      !限制此端口允许通过的MAC安全地址数为1
Switch (config-if)#switchport  port-security  violation  shutdown
                                                            !非安全地址通过时,端口关闭
Switch (config-if)#no shutdown
【验证测试】  查看交换机的端口安全配置
Switch # show port-security
任务实施3  配置交换机端口最大连接数
该校网络中心为了防止学院内部用户IP地址冲突,学院在学生宿舍楼接入交换机上实施安全端口保护促施,禁止学生宿舍使用HUB设备,扩展网络的连接数。
为保护学生宿舍楼网络接入设备的安全,需要在学生宿舍楼接入交换机的端口上配置端口安全功能,保证该交换机所有端口上连接的设备最大连接数为1,能对所连接终端设备具有端口安全检查功能,并限制学生宿舍中随意连接,实施端口安全地址的捆绑技术。
对交换机端口安全的理解,最常见的就是根据交换机端口上连接设备的MAC地址,实施对网络流量的控制和管理。此外也可以使用限制具体端口上通过MAC地址最大连接数量的方法,这样可以限制终端用户,非法使用集线器等简单的网络互联设备来随意扩展企业内部网络的连接数量,造成网络中流量的不可控制。
任务实施3  配置交换机端口最大连接数
如果需要在交换机上配置端口的安全地址的最大连接数,从特权模式开始,可以通过以下步骤来配置一个安全端口和违例处理方式。
switchport mode access   ! 设置接口为access模式。
switchport port-security   ! 打开接口的端口安全功能。
switchport port-security maximum value   
                   ! 设置接口上安全地址最大个数,范围是1~128,默认值为128。
switchport port-security violation  {protect  | restrict  | shutdown}   
                       ! 设置接口违例方式,当接口因为违例而被关闭后选择方式。
Show port-security interface [interface-id]       ! 验证配置。
No swithcport port-security                   ! 关闭一个接口端口安全功能
No switchport port-security maximum          ! 恢复交换机端口默认连接地址个数。
No switchport port-security violation           ! 将违例处理置为默认模式。
也可以让该端口自动学习地址,这些自动学习到的地址将变成该端口上的安全地址,直到达到最大个数。需要注意是,自动学习的安全地址均不会绑定IP地址,IP如果在一个端口上,已经配置了绑定地址的安全地址,则将不能再通过自动学习来增加安全地址。也可以手工配置一部分安全地址,剩下的部分让交换机自己学习。
任务5   初识路由器
一 任务分析
带外路由器配置
路由器配置命令模式
用户模式                    Router>
特权模式                    Router #
全局模式                    Router(config)#
端口模式                    Router(config-if)#
线程配置模式             Router(config-line)#
路由协议配置模式   Router(config-router)#
路由器配置命令模式
路由器的操作模式:配置模式
路由器的操作模式:配置模式
常用路由器show命令
配置路由器特权口令
配置路由器登陆口令
路由器接口配置命令
路由器接口显示命令
   Red-Giant#show interfaces serial 0
serial0 is up, line protocol is up
(表示物理层协议正常) (表示数据链路层协议正常)
serial0 is up, line protocol is down
(表示物理层协议正常) (表示数据链路层协议不正常)
serial0 is down, line protocol is down
(表示物理层协议不正常)
serial0 is administratively down, line protocol is down
(表示从管理上将该接口处于关闭状态)
任务6   保障区域网络安全:ACL技术
一 任务分析:
二 相关知识
访问控制列表技术是一种重要的软件防火墙技术,配置在网络互联设备上,为网络提供安全保护功能。
访问控制列表中包含了一组安全控制和检查的命令列表,一般应用在交换机或者路由器接口上,这些指令列表告诉路由器哪些数据包可以通过,哪些数据包需要拒绝。至于什么样特征的数据包被接收还是被拒绝,可以由数据包中携带的源地址、目的地址、端口号、协议等包的特征信息来决定。
访问控制列表技术通过对网络中所有的输入和输出访问数据流进行控制,过滤掉网络中非法的未授权的数据服务,限制通过网络中的流量流,对通信信息起到控制的手段,提高网络安全性能。
什么是访问列表
  ACL对经过设备的数据包,根据一定的规则,进行数据包的过滤。
访问列表的组成
  定义访问列表的步骤
第一步:定义规则(哪些数据允许通过,哪些不允许)
第二步:将规则应用在设备接口/VLAN上
  访问控制列表的分类:
1、标准ACL
2、扩展ACL
3、命名ACL(标准/扩展)
  访问控制列表规则元素
源IP、目的IP、源端口、目的端口、协议、服务
访问列表规则的应用
  访问列表对流经接口的数据包进行控制:
1.  入栈应用(in)
2.  出栈应用(out)
ACL的基本准则
  一切未被允许的就是禁止的。
 路由器缺省允许所有的信息流通过;
 防火墙缺省封锁所有的信息流,对希望提供的服务逐项开放。
  按规则链来进行匹配
使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配
  从头到尾,至顶向下的匹配方式
  匹配成功马上停止
  立刻使用该规则的“允许、拒绝……”
一个访问列表多个测试条件
  标准访问列表
 根据数据包源IP地址进行规则定义
  扩展访问列表
 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义
IP标准访问列表(2)
IP标准访问列表配置(3)
IP标准访问列表配置技术
反掩码(通配符)
    0表示检查相应的地址比特
  1表示不检查相应的地址比特
三 任务实施 (一)配置路由器标准访问控制列表
【任务场景】
如图4-42所示的网络拓扑是该校学生网和行政办公网网络的工作场景,要实现学生网(172.16.3.0)和行政办公网(172.16.1.0)的隔离,禁止来自学生网中的主机访问学院的行政办公网络,可以在其中R1路由器上做标准ACL技术控制,以实现网络之间的隔离。
实际校园网的工作场景是在核心交换机上实施标准ACL技术,本项目的解决方法是为了体现网络数据流的控制技术,选择路由器作为问题的解决方案,更容易理解和实现。
【工程拓扑】
三 任务实施 (一)配置路由器标准访问控制列表
【任务目标】
  在校园网路由器上配置标准ACL,保护网络部分区域安全。
【材料清单】
 路由器(2台)、网络连线(若干根)、测试PC(2台)、配置PC(1台)。
【地址规划】
三 任务实施 (一)配置路由器标准访问控制列表
【实施步骤】
步骤1  连接设备
步骤2  配置行政办公网络路由器R1
步骤3  配置学生网络的路由器R2
步骤4  测试从学生网到行政办公网的连通性
步骤5  禁止学生网访问行政办公网
(1)在路由器R1配置标准ACL控制规则。
(2)在路由器R1的Fa1/0端口上使用编制好的ACL控制规则。
(3)使用ping命令测试连通性
IP扩展访问列表
IP扩展访问列表的配置
   1、定义扩展的ACL
Router(config)# access-list <100-199> { permit /deny } 协议
            源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
2、应用ACL到接口
Router(config-if)#ip access-group <100-199> |{name} { in | out }
 IP扩展访问列表配置实例1
    允许网络192.168.0.0内所有主机访问HTTP服务器172.168.12.3,拒绝其它主机使用网络。
Switch (config)# access-list 111  permit  tcp 192.168.0.0
                           0.0.255.255 host 172.168.12.3 eq www
Switch # show access-lists
IP扩展访问列表配置实例2
Router(config)#access-list 101 permit tcp any host 198.78.46.8 eq smtp
Router(config)#access-list 101 permit tcp any host 198.78.46.3 eq www
第一个语句允许来自任何主机的TCP报文到达特定主机198.78.46.8的smtp服务端口(25)。第二个语句允许任何来自任何主机的TCP报文到达指定的主机198.78.46.3的www或http服务端口(80)。
三 任务实施 (二)配置路由器扩展访问控制列表
【任务目标】
  在校园网的路由器上配置扩展ACL,保护教师网络中FTP服务器的安全;
【材料清单】
  路由器(2台)、网络连线(若干根)、测试PC(2台)、配置PC(1台)。
【地址规划】
三 任务实施 (二)配置路由器扩展访问控制列表
【实施步骤】
步骤1  按照项目实施(一)连接设备、配置教师网的路由器R1、配置学生网的路由器R2 、测试从学生网到教师网的连通性。
步骤2  禁止学生网访问教师网中的FTP服务器
(1)在路由器R2上配置扩展ACL控制规则
(2)在路由器R2的Fa1/0端口上使用编制好的ACL控制规则
步骤3【网络测试】
没有在路由器R2上实施扩展ACL列表技术前,从学生网络的测试主机上,使用Ping测试命令,可以实现网络的连通。
Ping 172.16.1.1
!!!!!……  (可以通信)
由于需要实施网络措施安全,在路由器R2上实施扩展ACL列表技术,从学生网络的测试主机上,使用Ping测试命令,无法实现网络的连通。
Ping 172.16.1.1
…… ……  (无法通信)
三 任务实施 (二)配置路由器扩展访问控制列表
【任务场景】
如图4-49所示的网络拓扑是该校学生网和行政办公网网络的工作场景,要实现教师网(172.16.1.0)和学生网(172.16.3.0)之间的互相连通,但不允许学生网访问教师网中的FTP服务器,可以在路由器R2上做扩展ACL技术控制,以实现网络之间的隔离。实际校园网的工作场景是在核心交换机上实施扩展的ACL技术,本项目的解决方法是为了体现网络数据流的控制技术,选择路由器作为问题的解决方案,更容易理解和实现。
【工程拓扑】
三 任务实施 (三)配置交换机命名访问控制列表
该校为了实现学院内部网络中,不同网络中用户之间安全防范促施,学院需要实现学生网和行政办公网的隔离,需要在三层交换机上做标准命名ACL技术控制,以实现网络之间的隔离。
以编号来区分ACL称为编号访问控制列表,编号ACL在应用时,如果需要取消一条ACL规则,在指定接口上使用no access-list number 命令即可完成。但如果需要修改其中的某一条指令时,无法进行,需要取消全部重新编制才能达到目的。在应用的过程中很不方便。此外针对同一个协议,在同一接口上超过100条ACL规则时,编号ACL将出现超过限度溢出的情况。
命名ACL很好地解决这一问题,命名ACL不使用编号而使用字符串来定义规则。在网络管理过程中,随时根据网络变化修改某一条规则,调整用户访问权限。命名ACL也包括标准和扩展两种类型,语句指令格式与编号ACL相似。
  通过字符串组成的名字直观地表示特定ACL。
  不受编号ACL中100条限制。
  可以方便的对ACL进行修改,无需删除重新配置。
命名访问控制列表
1、定义命名的扩展ACL
     ip access-list extended  name
     { deny | permit  }   protocol source  wildcard  
        destination   wildcard   [ operator port ]
2、应用ACL到接口
Router(config-if)#ip access-group name    {  in  |  out  }
 访问列表的验证
显示全部的访问列表
Router#show access-lists
显示指定的访问列表
Router#show access-lists <1-199>
显示接口的访问列表应用
Router#show ip interface <接口名称> <接口编号>
 访问列表的注意事项
1、在进行规则匹配时,从上至下,匹配成功马上停止,不会继续匹配下面的规则。
2、所有访问列表默认规则是拒绝所有数据包
3、处理方式只有允许通过和拒绝通过
4、锐捷路由器只能编写编号方式的规则
5、锐捷交换机只能编写命名方式的规则
6、一个端口在某一方向只能应用一组访问列表
三 任务实施 (三)配置交换机命名访问控制列表
【任务目标】
在校园网的三层交换机上配置标准命名ACL,保护行政办公网的安全;
【材料清单】
交换机(2台)、网络连线(若干根)、测试PC(2台)、配置PC(1台)。
【地址规划】
三 任务实施 (三)配置交换机命名访问控制列表
【实施步骤】
步骤1  连接部门网络设备
步骤2  测试网络连通性
步骤3  规划地址信息
重新规划不同部门网络设备,学院学生网和行政办公网中设备网络地址规划如下表。
步骤4  配置交换机
步骤5  重新测试网络连通性
步骤6  禁止学生网访问行政办公网
步骤7  重新测试网络连通性
练习
如图4-51所示网络拓扑图是该校学生网和行政办公网网络工作场景,学生网的子网地址为172.16.3.0/24,行政办公网的子网地址为172.16.1.0/24。为方便教师的教学需要,在行政办公网络内搭建了FTP服务器,提供教师资源共享,但禁止学生访问该服务器。
现在需要在行政办公网络的三层交换机上实施命名的扩展ACL技术,要允许学生网172.16.3.0访问行政办公网172.16.1.0中的设备,但禁止学生访问行政办公网中FTP服务器,以保障网络之间的安全隔离。
任务7  VPN保障网络安全连接
任务分析:VPN保障网络安全连接
  二 相关知识
VPN(Virtual Private Network)技术也就是虚拟专用网技术,顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。
虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。
在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”:是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
用户的需求
用户的需求是虚拟专用网技术诞生的直接原因
随着Internet和电子商务的蓬勃发展,经济全球化的最佳途径是发展基于Internet的商务应用。
随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换速度。
合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题。因为Internet是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。
自身的的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。
信息在传输中可能泄密
信息在传输中可能失真
信息的来源可能伪造的
信息传输的成本可能很高
使用VPN的优势
防止数据在公网传输中被窃听
防止数据在公网传输中被篡改
可以验证数据的真实来源
成本低廉(相对于专线、长途拨号)
应用灵活、可扩展性好
VPN的应用类型
Access VPN(远程访问虚拟网)
Access VPN最适用于公司内部经常有流动人员远程办公的情况。
出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。
CA中心或者Radius服务器可对员工进行身份授权和验证,保证连接的安全。
Intranet VPN(企业内部虚拟网)
企业的发展、机构网点的增加,使得网络的结构趋于复杂,链路费用昂贵。
利用VPN特性,在Internet上组建世界范围内的Intranet VPN,保证信息在整个Intranet VPN上安全传输。
企业拥有与专用网络的相同政策,包括安全、服务质量 (QoS)、可管理性和可靠性。
Extranet VPN(企业扩展虚拟网)
各个企业之间的合作关系也越来越多,信息交换日益频繁。
利用VPN技术组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。
VPN的安全技术
四项技术
VPN主要采用四项技术来保证安全
隧道技术(Tunneling)
加解密技术(Encryption & Decryption)
密钥管理技术(Key Management)
认证技术(Authentication)
隧道技术
隧道技术的基本过程是在源局域网与公用网的接口处将局域网发送的数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公用网上传输的数据格式中,在目的局域网与公用网的接口处将公用网的数据解封装后,取出负载即源局域网发送的数据向目的局域网传输。
由于封装与解封装只在两个接口处由设备按照隧道协议配置进行,局域网中的其他设备将不会觉察到这一过程。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。
加解密技术 1
现代密码学中,加密算法被分为对称加密算法和非对称加密算法。
对称加密算法采用同一个密钥进行加密和解密,优点是速度快,但密钥的分发与交换不便于管理。
对称加密算法:
国际数据加密算法(IDEA:International Data Encryption Algorithm):128位长密钥,把64位的明文块加密成64位的密文块。
DES和3DES加密算法 (The Data Encryption Standard):DES有64位长密钥,实际上只使用56位密钥。
AES:Rijndial加密算法
加解密技术 2
使用不对称加密算法加密时,通讯各方使用两个不同的密钥,一个是只有发送方知道的私有密钥,另一个则是对应的公开密钥,任何人都可以获得公开密钥。
私有密钥和公开密钥在加密算法上相互关联,一个用于数据加密,另一个用于数据解密。
由于不对称加密运算量大,一般用于加密对称加密算法中使用的密钥。不对称加密还有一个重要用途即数字签名。
不对称加密算法
RSA
椭圆曲线制算法
密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。
现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。
SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;
在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
认证技术
认证技术可以区分真实数据与伪造、被篡改过的数据。
认证协议一般都要采用一种称为摘要的技术。摘要技术主要是采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。
验证数据的完整性。发送方将数据报文和报文摘要一同发送,接收方通过计算报文摘要,与发来摘要比较,相同则说明报文未经修改。
用户认证。该功能实际上是上一种功能的延伸。当一方希望验证对方,但又不希望验证秘密在网络上传送,这时一方可以发送一段随机报文,要求对方将秘密信息连接上该报文作摘要后发回,接收方可以通过验证摘要是否正确来确定对方是否拥有秘密信息,从而达到验证对方的目的。
常用的HASH函数有MD5,SHA-1等。
任务实施:(一)配置客户端VPN连接技术
【任务目标】
在客户机上安装VPN客户端连接,实现和公司的安全访问.
【施工设备】
 PC(1台)、VPN帐号(1个)
 任务实施:(一)配置客户端VPN连接技术
【配置过程】
① 右键单击网络邻居,在网络连接中创建一个新的连接
② 在新建时可能会有如下提示,选择不拨初始链接
③ 在网络连接类型中选择“连接到我的工作场所的网络”,
④ 之后在网络连接选项中选择创建“虚拟专用网连接”,
   ⑤ 连接名填写ruijie便可。
   ⑥ VPN服务器选择页面将VPN服务器地址填入
   ⑦ 最后选择在桌面创建快捷方式,单击“完成”按钮
   ⑧ 运行桌面的快捷方式,输入用户名口令,单击连接
   ⑨ 单击连接之后,系统会进行拨号
   ⑩ 拨号连接上之后,便会在右下角出现一个连接
 任务实施:(二)配置IPSec VPN隧道, 熟悉移动办公下VPN隧道的建立
【任务背景】
 总部设在北京的国内某人寿保险公司,总部使用“用友U8”财务管理软件,网络应用服务器放置在总部局域网内。为了保证财务数据安全,总部要求全国分支机构的终端系统,通过Internet建立虚拟专用网络对总部局域网内的应用服务器进行远程安全访问。广州公司的财务总监王总需要访问北京公司服务器资源,王总在广州必须通过先和公司建立VPN隧道,获得访问内部服务器资源的权利。
【网络拓扑】
 任务实施:(二)配置IPSec VPN隧道, 熟悉移动办公下VPN隧道的建立
【任务背景】
 总部设在北京的国内某人寿保险公司,总部使用“用友U8”财务管理软件,网络应用服务器放置在总部局域网内。为了保证财务数据安全,总部要求全国分支机构的终端系统,通过Internet建立虚拟专用网络对总部局域网内的应用服务器进行远程安全访问。广州公司的财务总监王总需要访问北京公司服务器资源,王总在广州必须通过先和公司建立VPN隧道,获得访问内部服务器资源的权利。
【网络拓扑】
如图4-74所示的网络拓扑是北京国内某人寿保险公司建立在北京的财务服务器,广州公司的财务总监王总需要访问北京公司服务器资源,在外地和北京公司建立VPN连接的拓扑结构,希望通过Internet进行安全信息传输,访问北京公司内部的服务器资源。
 任务实施:(二)配置IPSec VPN隧道, 熟悉移动办公下VPN隧道的建立
【工程设备】
 任务实施:(二)配置IPSec VPN隧道, 熟悉移动办公下VPN隧道的建立
【工程过程】
第1步  配置北京总部VPN设备和服务器
第2步  配置客户机VPN接入北京总部VPN设备
………………
实训项目1  骨干链路聚合技术,实现网络高带宽
1.实训目的与要求
学会配置校园网络中骨干链路之间带宽,在主干链路之间使用双链路,采用聚合链路技术以保证网络高带宽。
2.实训内容
实训内容为任务1中项目实施内容,按照规划任务内容,实施实训。
3.实训设备与材料
二层交换机(1台)、三层交换机(1台)、网络线(若干根)、测试PC(若干台)。
4.实训拓扑
如图4-17所示的方园职业技术学院计算机系办公楼接入拓扑所示意网络场景。
5.思考
如图4-17所示的方园职业技术学院计算机系办公楼接入拓扑示意网络场景中,在项目实施中,如果骨干链路之间的聚合链路,不设置干道(trunk)技术,如何测试网络连通性?
实训项目2  骨干链路冗余技术,实现网络稳定性
1.实训目的与要求
学会配置校园网络中骨干链路之间实现的冗余技术,在主干链路之间使用双链路,以保证网络稳定性。
2.实训内容
实训内容为任务2中项目实施内容,按照规划任务内容,实施实训。
3.实训设备与材料
二层交换机(1台)、三层交换机(1台)、网络线(若干根)、测试PC(若干台)。
4.实训拓扑
图4-22方园职业技术学院计算机系办公楼网络拓扑示意网络场景。
5.思考
图4-22所示的方园职业技术学院计算机系办公楼网络拓扑示意网络场景中,如果在工作中,拔掉骨干交换机之间连接的一根线缆,在测试网络连通性过程中,观察网络会出现什么情况?
实训项目3  实现全网络安全、稳定、可靠通信
1.实训目的与要求
学会在校园网络改造中划分VLAN以实现不同部门网络的隔离。但由于虚拟局域网技术又造成了不同部门之间隔离,无法进行系内部资源共享,希望通过三层交换设备,有选择地进行数据流的通过,从而实现安全畅通的系网络。
2.实训内容
实训内容为任务3中项目实施内容,按照规划任务内容,实施实训。
3.实训设备与材料
二层交换机(1台)、三层交换机(1台)、网络线(若干根)、测试PC(若干台)。
4.实训拓扑
图4-27所示的方园职业技术学院计算机系接入网络拓扑所示意网络场景。
5.思考
图4-27所示的方园职业技术学院计算机系接入网络拓扑示意网络场景中,在施工中,如果骨干链路之间的链路不设置干道(trunk)技术,如何测试网络连通性?如果骨干链路之间的聚合链路,不设置干道(trunk)技术,如何测试网络连通性?
对于接入子网中用户PC来说,需要为其配置网关?不配置是否可以?如果需要配置,其对应的网关在哪儿?
实训项目4  配置交换机安全端口,实现网络安全
1.实训目的与要求
学会配置校园网络接入交换机设备安全,配置安全端口功能,保证该交换机所有端口,能对所连接终端设备具有端口安全检查功能。
2.实训内容
实训内容为任务4中项目实施内容,按照规划任务内容,实施实训。
3.实训设备与材料
二层交换机(1台)、网络线(若干根)、测试PC(若干台)。
4.实训拓扑
如图4-30所示,连接校园网络工作设备接入拓扑所示意网络场景。
5.思考
如图4-30所示,连接校园网络工作设备接入拓扑所示意网络场景中,如何一次实现把交换机所有的端口都配置成安全端口?
实训项目5  路由器上配置标准ACL,保护区域安全
1.实训目的与要求
学会在校园网路由器上配置标准ACL,保护网络部分区域安全
2.实训内容
实训内容为任务6中项目实施内容,按照规划任务内容,实施实训。
3.实训设备与材料
路由器(2台)、网络连线(若干根)、测试PC(2台)、配置PC(1台)。
4.实训拓扑
如图4-42所示标准ACL控制网络工作场景接入拓扑网络场景。
5.思考:如图4-42所示标准ACL控制网络工作场景接入拓扑网络场景,如果把互联设备换成路由交换机设备,是否可以实现一样的安全配置效果?
实训项目6  路由器上配置扩展ACL,保护服务器安全
1.实训目的与要求
学会在校园网路由器上配置扩展ACL,保护网络区域中FTP服务器安全
2.实训内容
实训内容为任务6中项目实施内容,按照规划任务内容,实施实训。
3.实训设备与材料
路由器(2台)、网络连线(若干根)、测试PC(2台)、配置PC(1台)。
4.实训拓扑
如图4-49所示扩展ACL控制网络工作场景接入拓扑所示网络场景。
5.思考
如图4-49所示扩展ACL控制网络工作场景接入拓扑所示网络场景,如果把互联设备换成路由交换机设备,是否可以实现一样的安全配置效果?
实训项目7  交换机上配置命名ACL,保护区域网络安全
1.实训目的与要求
学会在校园网交换机上配置命名ACL,保护网络区域安全
2.实训内容
实训内容为任务三中项目实施内容,按照规划任务内容,实施实训。
3.实训设备与材料
三层交换机(2台)、网络连线(若干根)、测试PC(2台)、配置PC(1台)。
4.实训拓扑
如图4-51所示命名ACL控制网络工作场景接入拓扑所示网络场景。
5.思考
如图4-51所示命名ACL控制网络工作场景接入拓扑所示网络场景,如果把互联设备换成路由器设备,是否可以实现一样的安全配置效果?

相关PPT

第二章_网络工程概述.ppt:这是一个关于第二章_网络工程概述.ppt,主要介绍了项目实施流程介绍与分析设计方法、项目管理、项目需求与分析设计案例等内容。项目背景 建设一个以办公自动化、网络教学、现代计算机校园文化为核心,以现 代网络技术为依托、技术先进、扩展性强。

标签
下载地址

与典型网络工程的案例分析设计PPT还有↓

热门ppt图表
办公自动化基础教程解读.ppt03-14 大小:11.98 MB
微生物生态学原理资料ppt04-03 大小:2.37 MB
教育心理学第四章 学习理论PPT04-03 大小:1.68 MB
第三章__人员招聘心理ppt04-03 大小:723.00 KB
农业生态学级精品课程PPT03-14 大小:
传播学概论ppt整理04-03 大小:13.61 MB
PPT色系 >
  • 红色
  • 黄色
  • 蓝色
  • 绿色
  • 粉红色
  • 黑色
  • 紫色
  • 橙色
  • 灰色
  • 棕色
  • 白色
  • 彩色
  • 金色
  • 巧克力色
  • 亮色
  • 浅色
主题PPT >
通用PPT >
  • 浪漫爱情
  • 经典模板
  • 古典模板
  • 时尚模板
  • 卡通动漫
  • 自然风景
  • 商务模板
  • 韩国模板
  • 艺术设计
  • 植物模板
  • 动物模板
  • 中国风
  • 现代
  • 酷炫
  • 时尚
  • 潮流
  • 英文
行业模板 >
  • 汽车
  • 教育
  • 经济金融
  • 房地产
  • 医药卫生
  • 通信
  • 能源
  • 服务
  • 建筑
  • 城市旅游
  • 餐饮
  • 交通运输
  • 体育运动
  • 餐饮美食
  • 科技
  • 工业
  • 机械
  • 美容
  • 工作
PPT课件 >
  • 语文
  • 数学
  • 英语
  • 物理
  • 化学
  • 生物
  • 地理
  • 历史
  • 科学
  • 美术
  • 班会
  • 体育
  • 品德
  • 大学
  • 中学
  • 小学
  • 幼儿园
  • 人物
  • 影视动画
  • 疾病
节日PPT >
  • 元旦
  • 新年
  • 春节
  • 情人节
  • 元宵节
  • 妇女节
  • 植树节
  • 愚人节
  • 清明
  • 劳动节
  • 母亲节
  • 儿童节
  • 端午
  • 父亲节
  • 七夕
  • 教师节
  • 中秋
  • 国庆节
  • 重阳
  • 万圣节
  • 圣诞节
  • 生日
  • 其他节日
PPT背景 >
  • 简约背景
  • 淡雅背景
  • 商务背景
  • 艺术背景
  • 风景背景
  • 动物背景
  • 植物背景
  • 卡通背景
  • 爱情背景
  • 节日背景
  • 爱情背景
  • 边框背景
  • 谢谢背景
  • 中国风背景