路由交換技術電子教案-ch04-隔離企業(yè)部門間流量（二）

教案序號7周次授課形式講練結合授課章節(jié)名稱項目4隔離企業(yè)部門間流量（二）教學目的1．掌握VLAN的配置。教學重點1.掌握VLAN各種接口的配置。教學難點1.理解以太網(wǎng)二層接口的類型。使用教具計算機、ppt、eNSP、觸摸白板課外作業(yè)復習本節(jié)，預習下節(jié)課后體會同學們對本堂課的掌握情況良好授課主要內容本項目知識圖譜4.4VLAN基本配置1．創(chuàng)建VLAN使用以下命令來創(chuàng)建一個VLAN并進入其配置視圖。如果該VLAN已經(jīng)存在，則直接跳轉至其配置視圖。其中，vlan-id為用戶自定的vlan編號，有效取值范圍為1到4094之間的整數(shù)。[Huawei]vlanvlan-id在系統(tǒng)視圖模式下，若想在交換機上連續(xù)創(chuàng)建多個VLAN，可輸入以下命令，vlan-id1為第一個VLAN編號，vlan-id2為和最后一個VLAN編號。[Huawei]vlanbatch{vlan-id1[tovlan-id2]}2．配置Access接口進入接口視圖，將指定接口配置為Access類型。[Huawei-GigabitEthernet0/0/1]portlink-typeaccess配置該接口的缺省VLAN，vlan-id為缺省VLAN編號。[Huawei-GigabitEthernet0/0/1]portdefaultvlanvlan-id3．配置Trunk接口進入接口視圖，將指定接口配置為Trunk類型。[Huawei-GigabitEthernet0/0/1]portlink-typetrunk配置該接口允許通過的VLAN列表，vlan-id1為第一個VLAN編號，vlan-id2為和最后一個VLAN編號。all表示該接口允許所有VLAN通過。[Huawei-GigabitEthernet0/0/1]porttrunkallow-passvlan{{vlan-id1[tovlan-id2]}|all}配置該接口的缺省VLAN，vlan-id為缺省VLAN編號。[Huawei-GigabitEthernet0/0/1]porttrunkpvidvlanvlan-id4．配置Hybrid接口進入接口視圖，將指定接口配置為Hybrid類型。[Huawei-GigabitEthernet0/0/1]portlink-typehybrid配置Hybrid類型接口加入的VLAN，這些VLAN數(shù)據(jù)幀以Untagged的形式通過。[Huawei-GigabitEthernet0/0/1]porthybriduntaggedvlan{{vlan-id1[tovlan-id2]}|all}配置Hybrid類型接口加入的VLAN，這些VLAN數(shù)據(jù)幀以tagged的形式通過。[Huawei-GigabitEthernet0/0/1]porthybridtaggedvlan{{vlan-id1[tovlan-id2]}|all}配置該接口的缺省VLAN，vlan-id為缺省VLAN編號。[Huawei-GigabitEthernet0/0/1]porthybridpvidvlanvlan-id【項目實施】任務4.1基于接口劃分的企業(yè)部門間VLAN隔離

1．任務描述藍箭公司已步入穩(wěn)定發(fā)展階段，目前設有研發(fā)、生產(chǎn)、財務及銷售四大部門，各部門對于數(shù)據(jù)隔離的需求日益迫切，這對數(shù)據(jù)安全和隱私保護提出了更高要求。為有效劃分部門間的數(shù)據(jù)界限，確保信息的安全與私密，公司決定采納VLAN技術，以實現(xiàn)部門間的數(shù)據(jù)隔離，強化數(shù)據(jù)安全。網(wǎng)絡拓撲如圖4-9所示，將研發(fā)部的PC1和PC2劃為VLAN10，生產(chǎn)部的PC3劃為VLAN20，財務部的PC4和PC5劃為VLAN30，銷售部的PC6劃為VLAN40。各部門PCIP地址如表4-1所示。圖4-9藍箭公司各部門VLAN規(guī)劃表7-1研發(fā)部和生產(chǎn)部IP地址分配表設備接口號IP地址/接口配置PC1E0/0/110.1.1.1/24PC2E0/0/110.1.1.2/24PC3E0/0/110.1.1.3/24PC4E0/0/110.1.1.4/24PC5E0/0/110.1.1.5/24PC6E0/0/110.1.1.6/24S1G0/0/3Access，缺省vlan：10G0/0/4Access，缺省vlan：10G0/0/5Access，缺省vlan：20G0/0/24Trunk，允許通過的VLAN:10203040S2G0/0/3Access，缺省vlan：30G0/0/4Access，缺省vlan：30G0/0/5Access，缺省vlan：40G0/0/24Trunk，允許通過的VLAN:102030402．實施步驟S1上設置GE0/0/3和GE0/0/4為Access類型，缺省VLAN為VLAN10，GE0/0/5為Access類型，缺省VLAN為VLAN20，GE0/0/1為Trunk類型，缺省VLAN為VLAN10，允許通過的VLAN為VLAN10、VLAN20、VLAN30、VLAN10。雖然S1上沒有VLAN30和VLAN40的終端，但是為了企業(yè)以后的發(fā)展需要，還是在預留了VLAN30和VLAN40的空間。（1）S1上的配置[S1]sysnameS1#將設備名改為S1[S1]undoinfo-centerenable#關閉信息中心，這樣系統(tǒng)就不會輸出系統(tǒng)信息[S1]vlanbatch10203040#創(chuàng)建VLAN10、VLAN20、VLAN30、VLAN40[S1]interfaceGigabitEthernet0/0/3[S1-GigabitEthernet0/0/3]portlink-typeaccess#設置接口類型為Access[S1-GigabitEthernet0/0/3]portdefaultvlan10#設置接口的缺省VLAN為VLAN10[S1-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/4]portlink-typeaccess[S1-GigabitEthernet0/0/4]portdefaultvlan10[S1-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S1-GigabitEthernet0/0/5]portlink-typeaccess[S1-GigabitEthernet0/0/5]portdefaultvlan20[S1-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk#設置接口類型為Trunk#設置該Trunk類型的接口允許通過的VLAN列表[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan10203040（2）S2上的配置與S1同理。[S2]sysnameS2[S2]undoinfo-centerenable[S1]vlanbatch10203040#創(chuàng)建VLAN10、VLAN20、VLAN30、VLAN40[S2]interfaceGigabitEthernet0/0/3[S2-GigabitEthernet0/0/3]portlink-typeaccess#設置接口類型為Access[S2-GigabitEthernet0/0/3]portdefaultvlan30#設置接口的缺省VLAN為30[S2-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S2-GigabitEthernet0/0/4]portlink-typeaccess[S2-GigabitEthernet0/0/4]portdefaultvlan30[S2-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S2-GigabitEthernet0/0/5]portlink-typeaccess[S2-GigabitEthernet0/0/5]portdefaultvlan40[S2-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S2-GigabitEthernet0/0/1]portlink-typetrunk#設置接口類型為Trunk#設置該Trunk類型的接口允許通過的VLAN列表[S2-GigabitEthernet0/0/1]porttrunkallow-passvlan102030403．測試分析這時可以在PC1上ping通PC2（10.1.1.2），但是PC1不能ping通其他PC，因為PC1與PC2在同一個VLAN，PC1與其他PC不在同一個VLAN。PC>ping10.1.1.2Ping10.1.1.2:32databytes,PressCtrl_CtobreakFrom10.1.1.2:bytes=32seq=1ttl=128time=46msFrom10.1.1.2:bytes=32seq=2ttl=128time=47msFrom10.1.1.2:bytes=32seq=3ttl=128time=47msFrom10.1.1.2:bytes=32seq=4ttl=128time=47msFrom10.1.1.2:bytes=32seq=5ttl=128time=47msPC>ping10.1.1.4Ping10.1.1.4:32databytes,PressCtrl_CtobreakFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:Destinationhostunreachable任務4.2VLAN數(shù)據(jù)幀的通信過程分析1．任務描述研發(fā)部的小王（PC2）與財務部的小張（PC5）臨時調到對方部門進行業(yè)務對接，但是兩人的部門屬性不變，也就是PC2接在了S2的GE0/0/4上，PC5接在了S1的GE0/0/4上，如圖4-10所示。這樣的調整后，可以充分利用到兩臺交換的Trunk接口的功能，講清楚同部門之間的PC通信時VLAN數(shù)據(jù)幀的封裝過程。圖4-10研發(fā)部的小王（PC2）與財務部的小張（PC5）位置互換2．實施步驟所有PC的IP地址不變，只需在任務4.1的基礎上對S1的GE0/0/4和S2的GE0/0/4的配置進行稍微的改動即可。將S1上GE0/0/4的缺省VLAN改為VLAN30，將S2上GE0/0/4的缺省VLAN改為VLAN10。[S1]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/4]portdefaultvlan30[S2]interfaceGigabitEthernet0/0/4[S2-GigabitEthernet0/0/4]portdefaultvlan103．測試分析在ping操作之前，分別在PC1的E0/0/1、S1的GE0/0/1和PC2的E0/0/1上使用Wireshark抓包。任務4.3使用Hybrid接口類型實現(xiàn)VLAN間的隔離與互通1．任務描述由于工作需要，各部門要與銷售部進行工作對接，也就是各部門要與銷售部互通，其他各部門之間隔離。想達到這樣的效果，傳統(tǒng)的Access和Trunk類型無法滿足要求，必須要用到Hybrid類型。Hybrid類型在知識準備4.3中已經(jīng)介紹過了，它是Access和Trunk類型混合，既有Access的特征，也有Trunk的特征，使用方法更加靈活多變，可以完成Access和Trunk類型不能完成的任務。網(wǎng)絡拓撲如圖4-17所示。圖4-17使用Hybrid接口類型實現(xiàn)VLAN間的隔離與互通2．實施步驟IP地址與上一個任務一致。但是每個接口的的配置需要改成Hybrid類型。S1上的配置。[S1]interfaceGigabitEthernet0/0/3[S1-GigabitEthernet0/0/3]portlink-typehybrid#配置為Hybrid類型[S1-GigabitEthernet0/0/3]porthybridpvidvlan10#設置PVID為VLAN10#如果是進入該接口，則允許通過的VLAN列表為VLAN10和VLAN40；如果從該接口發(fā)出，則在滿足允#通過的VLAN列表的同時，還要剝離VLAN標簽再發(fā)出去[S1-GigabitEthernet0/0/3]porthybriduntaggedvlan1040[S1-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/4]portlink-typehybrid[S1-GigabitEthernet0/0/4]porthybridpvidvlan30[S1-GigabitEthernet0/0/4]porthybriduntaggedvlan3040[S1-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S1-GigabitEthernet0/0/5]portlink-typehybrid[S1-GigabitEthernet0/0/5]porthybridpvidvlan20[S1-GigabitEthernet0/0/5]porthybriduntaggedvlan2040[S1-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typehybrid[S1-GigabitEthernet0/0/1]porthybridtaggedvlan10203040S2上的配置。[S2]interfaceGigabitEthernet0/0/3[S2-GigabitEthernet0/0/3]portlink-typehybrid[S2-GigabitEthernet0/0/3]porthybridpvidvlan30[S2-GigabitEthernet0/0/3]porthybriduntaggedvlan3040[S2-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S2-GigabitEthernet0/0/4]portlink-typehybrid[S2-GigabitEthernet0/0/4]porthybridpvidvlan10[S2-GigabitEthernet0/0/4]porthybriduntaggedvlan1040[S2-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S2-GigabitEthernet0/0/5]portlink-typehybrid[S2-GigabitEthernet0/0/5]porthybridpvidvlan40[S2-GigabitEthernet0/0/5]porthybriduntaggedvlan10203040[S2-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S2-GigabitEthernet0/0/1]portlink-typehybrid[S2-GigabitEthernet0/0/1]porthybridtaggedvlan102030403．測試分析在PC1上pingPC2（10.1.1.2），通過數(shù)據(jù)幀的封裝過程來說明Hybrid類型接口的工作機制。PC>ping10.1.1.2Ping10.1.1.2:32databytes,PressCtrl_CtobreakFrom10.1.1.2:bytes=32seq=1ttl=128time=62msFrom10.1.1.2:bytes=32seq=2ttl=128time=125msFrom10.1.1.2:bytes=32seq=3ttl=128time=78msFrom10.1.1.2:b