項(xiàng)目3在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò)

1、模塊二、組建安全隔離的小型局域網(wǎng),項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),項(xiàng)目4：構(gòu)建基于VLAN中繼協(xié)議隔離的局域網(wǎng),3.1 用戶(hù)需求,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),某學(xué)院計(jì)算機(jī)系、機(jī)電工程系、財(cái)務(wù)處、學(xué)生機(jī)房分組建了自己的局域網(wǎng)，其中在信息大樓主要為計(jì)算機(jī)系辦公場(chǎng)所，機(jī)電大樓為機(jī)電工程系辦公大樓，實(shí)驗(yàn)中心為學(xué)生機(jī)房，并且有計(jì)算機(jī)系和財(cái)務(wù)處辦公場(chǎng)所，財(cái)務(wù)處在學(xué)校辦公樓辦公。隨著學(xué)校信息化建設(shè)的深入，人員交流越來(lái)越頻繁，在各個(gè)辦公場(chǎng)所都可能出現(xiàn)其它部門(mén)的人員。為了網(wǎng)絡(luò)安全，把計(jì)算機(jī)系、機(jī)電工程系、財(cái)務(wù)處、學(xué)生機(jī)房各自分別位于不同的子網(wǎng)，并且部門(mén)內(nèi)部可以互相訪問(wèn)。,3.2 相關(guān)

2、知識(shí),項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.2.1 VLAN簡(jiǎn)介,3.2.2 靜態(tài)VLAN配置,3.2.3 部署VLAN,3.2.4 VLAN中繼,3.2.5 標(biāo)識(shí)VLAN幀,3.2.6 VLAN數(shù)據(jù)幀的傳輸,3.2.7 配置VLAN中繼,1.2 相關(guān)知識(shí),3.2.1 VLAN簡(jiǎn)介,1.虛擬局域網(wǎng)的概念,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),虛擬局域網(wǎng)（Virtual LAN，簡(jiǎn)稱(chēng)VLAN）是一種邏輯廣播域，可以跨越多個(gè)物理LAN網(wǎng)段。VLAN是以局域網(wǎng)交換機(jī)為基礎(chǔ)，通過(guò)交換機(jī)軟件實(shí)現(xiàn)根據(jù)功能、部門(mén)、應(yīng)用等因素將設(shè)備或用戶(hù)組成虛擬工作組或邏輯網(wǎng)段的技術(shù)，其最大的特點(diǎn)是在組成邏輯

3、網(wǎng)時(shí)無(wú)須考慮用戶(hù)或設(shè)備在網(wǎng)絡(luò)中的物理位置。虛擬局域網(wǎng)可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。 VLAN一般基于工作功能、部門(mén)或項(xiàng)目團(tuán)隊(duì)來(lái)邏輯地分割交換網(wǎng)絡(luò)，而不管使用者在網(wǎng)絡(luò)中的物理位置。同組內(nèi)全部的工作站和服務(wù)器在同一VLAN內(nèi)，不管物理連接和位置在哪里。,1.2 相關(guān)知識(shí),3.2.1 VLAN簡(jiǎn)介,1.虛擬局域網(wǎng)的概念,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),VLAN是一個(gè)邏輯上獨(dú)立的IP子網(wǎng)。多個(gè)IP網(wǎng)絡(luò)和子網(wǎng)可以通過(guò)VLAN存在于同一個(gè)交換網(wǎng)絡(luò)上。 在IEEE802.1Q標(biāo)準(zhǔn)中對(duì)虛擬局域網(wǎng)是這樣定義的：虛擬局域網(wǎng)是由一些局域網(wǎng)網(wǎng)段構(gòu)成的與物理位置無(wú)關(guān)的邏輯組，而這些網(wǎng)段具有某些共同的需求

4、。每一個(gè)虛擬局域網(wǎng)的幀都有一個(gè)明確的標(biāo)識(shí)符，指明發(fā)送這個(gè)幀的工作站是屬于哪一個(gè)VLAN。利用以太網(wǎng)交換機(jī)可以很方便地實(shí)現(xiàn)虛擬局域網(wǎng)。虛擬局域網(wǎng)其實(shí)只是局域網(wǎng)給用戶(hù)提供的一種服務(wù)，而并不是一種新型局域網(wǎng)。,1.2 相關(guān)知識(shí),3.2.1 VLAN簡(jiǎn)介,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),1.2 相關(guān)知識(shí),3.2.1 VLAN簡(jiǎn)介,1.虛擬局域網(wǎng)的概念,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),圖3.2中使用了四個(gè)交換機(jī)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。有9臺(tái)計(jì)算機(jī)分布在三個(gè)樓層中，構(gòu)成了三個(gè)局域網(wǎng)，即： LAN1：（A1，B1，C1），LAN2：（A2，B2，C2），LAN3：（A3，B3，C3）。 但這

5、9個(gè)用戶(hù)劃分為三個(gè)工作組，也就是說(shuō)劃分為三個(gè)虛擬局域網(wǎng)VLAN。即： VLAN1：（A1，A2，A3），VLAN2：（B1，B2，B3），VLAN3：（C1，C2，C3）。,1.2 相關(guān)知識(shí),3.2.1 VLAN簡(jiǎn)介,2. VLAN的優(yōu)點(diǎn),項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),（1）有利于優(yōu)化網(wǎng)絡(luò)性能,（2）提高了網(wǎng)絡(luò)的安全性,（3）便于對(duì)網(wǎng)絡(luò)進(jìn)行管理和控制,（4）提供了基于第二層的通信優(yōu)先級(jí)服務(wù),1.2 相關(guān)知識(shí),3.2.1 VLAN簡(jiǎn)介,3. VLAN成員資格模式,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),（1）靜態(tài)VLAN 由網(wǎng)絡(luò)管理員以手工方式將交換機(jī)端口分配給VLAN，因此是

6、靜態(tài)的。即在交換機(jī)上將其某一個(gè)端口分配給特定VLAN，在這種情況下，VLAN是基于物理交換機(jī)端口的，終端用戶(hù)設(shè)備根據(jù)其連接的物理端口被分配到相應(yīng)的VLAN中，并且將一直保持不變直到網(wǎng)絡(luò)管理員改變這種配置，所以又被稱(chēng)為基于端口的VLAN，是目前實(shí)現(xiàn)VLAN的主要方法。,1.2 相關(guān)知識(shí),3.2.1 VLAN簡(jiǎn)介,3. VLAN成員資格模式,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),（1）靜態(tài)VLAN 網(wǎng)絡(luò)管理員以手工方式將交換機(jī)端口分配給VLAN時(shí)，每個(gè)端口獲得一個(gè)端口VLAN ID，將其同VLAN號(hào)關(guān)聯(lián)起來(lái)?？蓪⑼慌_(tái)交換機(jī)上的端口分成多個(gè)VLAN。即使兩臺(tái)計(jì)算機(jī)連接到同一臺(tái)交換機(jī)，如果它們

7、連接的是屬于不同VLAN的端口，數(shù)據(jù)流也不會(huì)在它們之間傳輸。為執(zhí)行這項(xiàng)功能，可使用第3層設(shè)備來(lái)路由分組，也可使用外部的第2層設(shè)備在兩個(gè)VLAN之間橋接分組。,1.2 相關(guān)知識(shí),3.2.1 VLAN簡(jiǎn)介,3. VLAN成員資格模式,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),（1）靜態(tài)VLAN 基于端口的VLAN也就是根據(jù)以太網(wǎng)交換機(jī)的端口來(lái)劃分廣播域。即分配在同一個(gè)VLAN的端口共享廣播域（一個(gè)站點(diǎn)發(fā)送希望所有站點(diǎn)接收的廣播信息，同一VLAN中的所有站點(diǎn)都可以聽(tīng)到），分配在不同VLAN的端口不共享廣播域。虛擬局域網(wǎng)既可以在單臺(tái)交換機(jī)中實(shí)現(xiàn)，也可以跨越多個(gè)交換機(jī)。終端設(shè)備連接到端口時(shí)，自動(dòng)獲得V

8、LAN連接性。,1.2 相關(guān)知識(shí),3.2.1 VLAN簡(jiǎn)介,3. VLAN成員資格模式,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),（2）動(dòng)態(tài)VLAN 動(dòng)態(tài)VLAN是指交換機(jī)上以連網(wǎng)用戶(hù)的MAC地址、邏輯地址（如IP地址）或數(shù)據(jù)包協(xié)議等信息為基礎(chǔ)將交換機(jī)端口動(dòng)態(tài)分配給VLAN的方式。總之，不管以何種機(jī)制實(shí)現(xiàn)，分配在同一個(gè)VLAN的所有主機(jī)共享一個(gè)廣播域，而分配在不同VLAN的主機(jī)將不會(huì)共享廣播域。也就是說(shuō)，只有位于同一VLAN中的主機(jī)才能直接相互通信，而位于不同VLAN中的主機(jī)之間是不能直接相互通信的。,1.2 相關(guān)知識(shí),3.2.2 靜態(tài)VLAN配置,1.VLAN ID范圍,項(xiàng)目3：在交換機(jī)上

9、構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),在建立VLAN之前，必須考慮是否使用VLAN干線(xiàn)協(xié)議（VLAN trunk protocol，VTP）來(lái)為你的網(wǎng)絡(luò)進(jìn)行全局VLAN的配置。在本項(xiàng)目中不使用VTP干線(xiàn)協(xié)議。,首先，如果VLAN不存在，必須在交換機(jī)上創(chuàng)建它。然后將交換機(jī)端口分配給VLAN。VLAN總是使用VLAN ID號(hào)來(lái)引用的。VLAN ID在數(shù)字上分為普通范圍和擴(kuò)展范圍。,1.2 相關(guān)知識(shí),3.2.2 靜態(tài)VLAN配置,1.VLAN ID范圍（1）普通范圍的 VLAN,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),普通范圍的VLAN具有以下特點(diǎn)： 用于中小型商業(yè)網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)。 VLAN ID范圍為1到

10、1005。從1002到1005的ID保留供令牌環(huán)VLAN和FDDI VLAN使用。 ID 1和ID 1002到1005是自動(dòng)創(chuàng)建的，不能刪除。 配置存儲(chǔ)在名為vlan.dat的VLAN數(shù)據(jù)庫(kù)文件中，vlan.dat文件則位于交換機(jī)的閃存中。 用于管理交換機(jī)之間VLAN配置的VLAN中繼協(xié)議(VTP)只能識(shí)別普通范圍的VLAN，并將它們存儲(chǔ)到VLAN數(shù)據(jù)庫(kù)文件中。,1.2 相關(guān)知識(shí),3.2.2 靜態(tài)VLAN配置,1.VLAN ID范圍（2）擴(kuò)展范圍的VLAN,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),為與IEEE 802.1Q標(biāo)準(zhǔn)兼容，Cisco Catalyst IOS還支持?jǐn)U展的VLAN編

11、號(hào)。 可讓服務(wù)提供商擴(kuò)展自己的基礎(chǔ)架構(gòu)以適應(yīng)更多的客戶(hù)。某些跨國(guó)企業(yè)的規(guī)模很大，從而需要使用擴(kuò)展范圍的VLAN ID。 VLAN ID 范圍從1006到4094。 支持的VLAN功能比普通范圍的VLAN更少。 保存在運(yùn)行配置文件中。 VTP無(wú)法識(shí)別擴(kuò)展范圍的VLAN。,1.2 相關(guān)知識(shí),3.2.2 靜態(tài)VLAN配置,2. 配置靜態(tài)VLAN,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),（1）配置VLAN 的ID和名字 配置VLAN最常見(jiàn)的方法是在每個(gè)交換機(jī)上手工指定端口LAN映射。在全局配置模式下使用VLAN命令。 Switch(config)#vlan vlan-id 其中：Vlan-id是配

12、置要被添加的VLAN的ID，如果要安裝增強(qiáng)的軟件版本，范圍為14096，如果安裝的是標(biāo)準(zhǔn)的軟件版本，范圍為11005。每一個(gè)VLAN都有一個(gè)唯一的4位的ID（范圍：00011005）。 Switch(config-vlan)#name vlan-name 定義一個(gè)VLAN的名字，可以使用132個(gè)ASCII字符，但是必須保證這個(gè)名稱(chēng)在管理域中是唯一的。,1.2 相關(guān)知識(shí),3.2.2 靜態(tài)VLAN配置,2. 配置靜態(tài)VLAN,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),（2）分配端口 在新創(chuàng)建一個(gè)VLAN之后，可以為之手工分配一個(gè)端口號(hào)或多個(gè)端口號(hào)。一個(gè)端口只能屬于唯一一個(gè)VLAN。這種為VLAN

13、分配端口號(hào)的方法稱(chēng)為靜態(tài)接入端口。 在接口配置模式下，分配VLAN端口命令為： Switch(config)#interface type mod/num Switch(config-if)#switchport Switch(config-if)#switchport mode Switch(config-if)#switchport access vlan vlan-id 默認(rèn)情況下，所有的端口都屬于VLAN 1。,1.2 相關(guān)知識(shí),3.2.2 靜態(tài)VLAN配置,3. 檢驗(yàn)VLAN配置,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),配置VLAN后，可以使用Cisco IOS show命令檢驗(yàn)

14、VLAN配置。 switch#show vlan brief | id vlan-id | name vlan-name | summary switch#show interfaces interface-id | vlan vlan-id | switchport,1.2 相關(guān)知識(shí),3.2.2 靜態(tài)VLAN配置,4. 添加、更改和刪除VLAN,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),為了把一個(gè)端口移到一個(gè)不同的VLAN中，要用一個(gè)和初始配置相同的命令。在接口配置模式下使用switchport access命令來(lái)執(zhí)行這項(xiàng)功能。無(wú)須將端口移出VLAN來(lái)實(shí)現(xiàn)這項(xiàng)轉(zhuǎn)換。 在接口配置模式下，使用

15、no switchport access vlan 命令，可以將該端口重新分配到默認(rèn)VLAN（VLAN 1）中。,1.2 相關(guān)知識(shí),3.2.3 部署VLAN,1. 端到端VLAN,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),端到端VLAN也稱(chēng)園區(qū)級(jí)VLAN，它跨越整個(gè)網(wǎng)絡(luò)的交換結(jié)構(gòu)，用于為終端設(shè)備提供最大的機(jī)動(dòng)性和靈活性。無(wú)論位于什么位置，都可以將其分配到VLAN。用戶(hù)在園區(qū)內(nèi)移動(dòng)時(shí)，其VLAN成員資格保持不變。這意味著必須使VLAN在每個(gè)交換模塊的接入層都是可用的。 端到端VLAN應(yīng)根據(jù)需求將用戶(hù)分組，在同一個(gè)VLAN中，所有用戶(hù)的流量模式都必須大致相同，并遵循8020規(guī)則。即，大約80的用

16、戶(hù)流量是在本地工作組內(nèi)，只有20前往園區(qū)網(wǎng)中的遠(yuǎn)程資源。雖然，在VLAN中只有20的流量將通過(guò)網(wǎng)絡(luò)核心，但端到端VLAN使得VLAN內(nèi)的所有流量都可能通過(guò)網(wǎng)絡(luò)核心。,1.2 相關(guān)知識(shí),3.2.3 部署VLAN,2.本征VLAN,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),目前，大多數(shù)企業(yè)得基本符合2080規(guī)則，即只有20的流量是本地的，80的流量將穿過(guò)核心層前往遠(yuǎn)程資源。終端用戶(hù)經(jīng)常需要訪問(wèn)其VLAN外面的資源，用戶(hù)必須頻繁地經(jīng)過(guò)網(wǎng)絡(luò)核心。在這種網(wǎng)絡(luò)中，應(yīng)根據(jù)地理位置來(lái)設(shè)計(jì)VLAN，而不考慮離開(kāi)VLAN的流量。 本征VLAN的規(guī)?？梢孕〉脚渚€(xiàn)間中的單臺(tái)交換機(jī)，也可大到整棟建筑物。通過(guò)這種方式安

17、排VLAN，可以在園區(qū)網(wǎng)中使用第3層功能來(lái)智能處理VLAN之間流量負(fù)載。這種方案提供了最高的可用性（使用多條前往目的地的路徑）、最高的擴(kuò)展性（將VLAN限制在交換模塊內(nèi)）和最高的可管理性。,1.2 相關(guān)知識(shí),3.2.4 VLAN中繼,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),1.2 相關(guān)知識(shí),3.2.4 VLAN中繼,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),1.2 相關(guān)知識(shí),3.2.4 VLAN中繼,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),用于實(shí)現(xiàn)各VLAN在交換機(jī)間通信的鏈路，稱(chēng)為VLAN中繼（trunk），中繼是兩臺(tái)網(wǎng)絡(luò)設(shè)備之間的點(diǎn)對(duì)點(diǎn)鏈路，負(fù)責(zé)傳輸多個(gè) VLAN 的流量。,1.

18、2 相關(guān)知識(shí),3.2.5 標(biāo)識(shí)VLAN幀,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),標(biāo)識(shí)VLAN幀,交換機(jī)間鏈路（ISL）協(xié)議,IEEE 802.1Q協(xié)議,1.2 相關(guān)知識(shí),3.2.5 標(biāo)識(shí)VLAN幀,1. 交換機(jī)間鏈路（ISL）協(xié)議,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),交換機(jī)間鏈路（ISL）協(xié)議是Cisco公司私有的協(xié)議，當(dāng)有數(shù)據(jù)在多個(gè)交換機(jī)間流動(dòng)的時(shí)候，它控制VLAN信息并且使這些交換機(jī)互聯(lián)起來(lái)。 ISL是專(zhuān)用的用于在Trunk鏈路上標(biāo)記不同VLAN數(shù)據(jù)流的一種數(shù)據(jù)鏈路層協(xié)議。通過(guò)在中繼鏈路上配置ISL使得來(lái)自不同VLAN的數(shù)據(jù)流能夠復(fù)用該鏈路。ISL工作在數(shù)據(jù)鏈路層，即在第2層

19、執(zhí)行幀標(biāo)識(shí)：使用幀頭和幀尾來(lái)封裝幀。通過(guò)重新封裝數(shù)據(jù)幀以獲得獨(dú)立于協(xié)議的能力。配置了ISL的Cisco交換機(jī)和路由器都能處理和識(shí)別ISL VLAN信息。ISL主要用于以太網(wǎng)介質(zhì)。,1.2 相關(guān)知識(shí),3.2.5 標(biāo)識(shí)VLAN幀,1. 交換機(jī)間鏈路（ISL）協(xié)議,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),1.2 相關(guān)知識(shí),3.2.5 標(biāo)識(shí)VLAN幀,2. IEEE 802.1Q協(xié)議,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),IEEE 802.1q也在中繼鏈路上使用本征VLAN，屬于該VLAN的幀不使用任何標(biāo)記信息進(jìn)行封裝。如果終端連接的是802.1Q中繼鏈路,它將只能夠接收和理解本征VLAN幀

20、。這樣，為能夠理解802.1Q的設(shè)備提供了完整的中繼封裝，同時(shí)通過(guò)中繼鏈路為常規(guī)接入設(shè)備提供了固有的連接性。 對(duì)于以太網(wǎng)幀，802.1Q在幀格式中源地址字段后面插入一個(gè)4字節(jié)的標(biāo)識(shí)符，稱(chēng)為VLAN標(biāo)記，也稱(chēng)為tag域，用來(lái)指明發(fā)送該幀的工作站屬于哪一個(gè)VLAN。如圖3.8所示。如果還使用傳統(tǒng)的以太網(wǎng)幀格式，那么就無(wú)法劃分VLAN。,1.2 相關(guān)知識(shí),3.2.5 標(biāo)識(shí)VLAN幀,2. IEEE 802.1Q協(xié)議,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),1.2 相關(guān)知識(shí),3.2.5 標(biāo)識(shí)VLAN幀,3. 動(dòng)態(tài)中繼協(xié)議,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),在Catalyst交換機(jī)上，可以

21、手工將中繼鏈路配置為ISL或802.1Q模式。另外，Cisco還實(shí)現(xiàn)了一種點(diǎn)到點(diǎn)協(xié)議，被稱(chēng)為動(dòng)態(tài)中繼協(xié)議（DTP），他在兩臺(tái)交換機(jī)之間協(xié)商一種雙方都支持的中繼模式。協(xié)商包括封裝（ISL或802.1Q）以及是否將鏈路作為中繼鏈路。這樣就不需進(jìn)行大量的手工配置和管理，就能夠使用中繼鏈路。,1.2 相關(guān)知識(shí),3.2.6 VLAN數(shù)據(jù)幀的傳輸,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),目前任何主機(jī)都不支持帶有Tag域的以太網(wǎng)數(shù)據(jù)幀，即主機(jī)只能發(fā)送和接收標(biāo)準(zhǔn)的以太網(wǎng)數(shù)據(jù)幀，而將VLAN數(shù)據(jù)幀視為非法數(shù)據(jù)幀。所以支持VLAN的交換機(jī)在與主機(jī)和交換機(jī)進(jìn)行通信時(shí)，需要區(qū)別對(duì)待。當(dāng)交換機(jī)將數(shù)據(jù)發(fā)送給主機(jī)時(shí)，必

22、須檢查該數(shù)據(jù)幀，并刪除tag域。而發(fā)送給交換機(jī)時(shí)，為了讓對(duì)端交換機(jī)能夠知道數(shù)據(jù)幀的VLAN ID，它應(yīng)該給從主機(jī)接收到的數(shù)據(jù)幀增加一個(gè)tag域后再發(fā)送，其數(shù)據(jù)幀傳輸過(guò)程中的變化如圖3.9所示。,1.2 相關(guān)知識(shí),3.2.6 VLAN數(shù)據(jù)幀的傳輸,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),1.2 相關(guān)知識(shí),3.2.6 VLAN數(shù)據(jù)幀的傳輸,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),當(dāng)交換機(jī)接收到某數(shù)據(jù)幀時(shí)，交換機(jī)根據(jù)數(shù)據(jù)幀中的tag域或者接收端口的缺省VLAN ID來(lái)判斷該數(shù)據(jù)幀應(yīng)該轉(zhuǎn)發(fā)到哪些端口，如果目標(biāo)端口連接的是普通主機(jī)，則刪除Tag域（如果數(shù)據(jù)幀中包含tag域）后再發(fā)送數(shù)據(jù)幀；如果目

23、標(biāo)端口連接的是交換機(jī)，則添加Tag域（如果數(shù)據(jù)幀中不包含tag域）后再發(fā)送數(shù)據(jù)幀。為了保證在交換機(jī)之間的trunk鏈路上能夠接入普通主機(jī)，以太網(wǎng)將還能夠當(dāng)檢查到數(shù)據(jù)幀的VLAN ID和Trunk端口的缺省VLAN ID 相同時(shí)，數(shù)據(jù)幀不會(huì)被增加tag域。而到達(dá)對(duì)端交換機(jī)后，交換機(jī)發(fā)現(xiàn)數(shù)據(jù)幀中沒(méi)有tag域時(shí)，就認(rèn)為該數(shù)據(jù)幀為接收端口的缺省VLAN數(shù)據(jù)。,1.2 相關(guān)知識(shí),3.2.6 VLAN數(shù)據(jù)幀的傳輸,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),根據(jù)交換機(jī)處理數(shù)據(jù)幀的不同，可以將交換機(jī)的端口分為兩類(lèi)： Access端口：只能傳送標(biāo)準(zhǔn)以太網(wǎng)幀的端口，一般是指那些連接不支持VLAN技術(shù)的端設(shè)備的接

24、口，這些端口接收到的數(shù)據(jù)幀都不包含VLAN標(biāo)簽，而向外發(fā)送數(shù)據(jù)幀時(shí)，必須保證數(shù)據(jù)幀中不包含VLAN標(biāo)簽。 Trunk端口：既可以傳送有VLAN標(biāo)簽的數(shù)據(jù)幀也可以傳送標(biāo)準(zhǔn)以太網(wǎng)幀的端口，一般是指那些連接支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備（如交換機(jī)）的端口，這些端口接收到的數(shù)據(jù)幀一般都包含VLAN標(biāo)簽（數(shù)據(jù)幀VLAN ID和端口缺省VLAN ID相同除外），而向外發(fā)送數(shù)據(jù)幀時(shí)，必須保證接收端能夠區(qū)分不同VLAN的數(shù)據(jù)幀，故常常需要添加VLAN標(biāo)簽（數(shù)據(jù)幀VLAN ID和端口缺省VLAN ID相同除外）。,1.2 相關(guān)知識(shí),3.2.7 配置VLAN中繼,1.配置VLAN中繼,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的

25、部門(mén)間網(wǎng)絡(luò),（1）switch(config)#interface type mod/num （2） 要支持中繼，交換機(jī)端口必須處于第2層模式。要設(shè)置為第2層模式，可執(zhí)行命令switchport，并不指定任何關(guān)鍵字。 switch(config-if)#switchport （3）switch(config-if)#switchport trunk encapsulateion ISL | dot1q | negotiate （4）switch(config-if)#switchport mode trunk | dynamic desirable | auto ,1.2 相關(guān)知識(shí),3.2.7

26、 配置VLAN中繼,2. 靜態(tài)指定trunk鏈路中的VLAN,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),（1）設(shè)置不允許通過(guò)trunk鏈路的VLAN 在配置前，首先應(yīng)使用interface配置命令選中trunk鏈路端口，然后再?gòu)膖runk鏈路中刪除指定的VLAN，即不允許這些VLAN的通信流量通過(guò)trunk鏈路。配置命令為： Switch(config)#interface type mod/port Switch(config-if)#switchport trunk allowed vlan remove vlan-list,1.2 相關(guān)知識(shí),3.2.7 配置VLAN中繼,2. 靜態(tài)指定

27、trunk鏈路中的VLAN,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),例如，從cisco 3550的端口2是trunk鏈路端口，現(xiàn)要將VLAN 2和VLAN 5從trunk鏈路中刪除，則配置命令為： switch3550(config)#interface fastethernet0/2 switch3550(config-if)#switchport trunk allowed vlan remove 2,5 若要在trunk鏈路中刪除100200號(hào)VLAN的流量，則配置命令為： switch3550(config-if)#switchport trunk allowed vlan rem

28、ove 100 - 200,1.2 相關(guān)知識(shí),3.2.7 配置VLAN中繼,2. 靜態(tài)指定trunk鏈路中的VLAN,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),（2）設(shè)置允許通過(guò)trunk鏈路的VLAN 配置命令為： Switch(config)#interface type mod/port Switch(config-if)#switchport trunk allowed vlan add vlan-list 其中：vlan-list表示要?jiǎng)h除的VLAN號(hào)列表，各VLAN之間用逗號(hào)進(jìn)行分隔。 或Switch(config-if)#switchport trunk allowed vla

29、n except vlan-list 其中：except vlan-list是指除列出的vlan-id以外的所有。,1.2 相關(guān)知識(shí),3.2.7 配置VLAN中繼,2. 靜態(tài)指定trunk鏈路中的VLAN,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),例如，從cisco 3550的端口2是trunk鏈路端口，現(xiàn)要添加允許VLAN 2和VLAN 5的通信流量通過(guò)，則配置命令為： switch3550(config)#interface fastethernet0/2 switch3550(config-if)# switchport trunk allowed vlan add 2,5 若要配置t

30、runk鏈路僅允許VLAN 2、VLAN 5和VLAN 7通過(guò)，則配置命令為： switch3550(config)#interface fastethernet0/2 switch3550(config-if)# switchport trunk allowed vlan remove 21001 switch3550(config-if)# switchport trunk allowed vlan add 2,5,7 若要設(shè)置允許所有的VLAN通過(guò)trunk鏈路，則配置命令為： switch3550(config-if)# switchport trunk allowed vlan al

31、l22,1.2 相關(guān)知識(shí),3.2.7 配置VLAN中繼,3. 靜態(tài)指定trunk鏈路中的VLAN,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),Switch(config-if)#switchport trunk native vlan vlan-list,4.檢驗(yàn)中繼配置,Switch#show interfaces interface-ID switchport,5.管理中繼配置,switch (config-if)#no switchport trunk allowed switch (config-if)#no switchport trunk native vlan switch (c

32、onfig-if)#switchport mode,1.2 相關(guān)知識(shí),3.3 方案設(shè)計(jì),項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),為了讓實(shí)驗(yàn)中心的計(jì)算機(jī)系用戶(hù)能夠與信息大樓計(jì)算機(jī)系用戶(hù)在同一子網(wǎng)，實(shí)驗(yàn)中心的財(cái)務(wù)處用戶(hù)能夠辦公樓財(cái)務(wù)處用戶(hù)的在同一子網(wǎng)，實(shí)現(xiàn)網(wǎng)絡(luò)互通性。這時(shí)就需要將實(shí)驗(yàn)中心和辦公樓的交換機(jī)更改為可網(wǎng)管的交換機(jī)（支持VLAN），將計(jì)算機(jī)系和財(cái)務(wù)處的各自所有用戶(hù)（三座辦公樓）劃分在同一VLAN內(nèi)。這樣就可以實(shí)現(xiàn)不在同一辦公場(chǎng)所的部門(mén)內(nèi)部網(wǎng)絡(luò)的互聯(lián)互通及資源共享。辦公樓和機(jī)電大樓的交換機(jī)為不可網(wǎng)管的交換機(jī)。創(chuàng)建4個(gè)VLAN，分別屬于計(jì)算機(jī)系、機(jī)電工程系、財(cái)務(wù)處和學(xué)生機(jī)房等。這樣就可以在

33、信息大樓和實(shí)驗(yàn)中心兩座大樓內(nèi)實(shí)現(xiàn)不同VLAN內(nèi)用戶(hù)的互聯(lián)互通，即實(shí)現(xiàn)了部門(mén)內(nèi)網(wǎng)絡(luò)的互通性。實(shí)驗(yàn)中心、辦公樓和機(jī)電大樓的交換機(jī)均通過(guò)光纜與光電轉(zhuǎn)換器與信息大樓的交換機(jī)相連。如圖3.10所示。,1.2 相關(guān)知識(shí),3.3 方案設(shè)計(jì),項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),1.2 相關(guān)知識(shí),3.4 項(xiàng)目實(shí)施：在交換機(jī)上劃分VLAN技術(shù),3.4.1 項(xiàng)目目標(biāo),項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),通過(guò)項(xiàng)目的完成，使學(xué)生可以掌握以下技能： （1）能夠?qū)崿F(xiàn)跨交換機(jī)上實(shí)現(xiàn)VLAN方法； （2）能夠掌握將交換機(jī)端口分配到VLAN中的操作技巧。,3.4.2 項(xiàng)目任務(wù),為了在實(shí)訓(xùn)室中模擬本項(xiàng)目的實(shí)施，搭建

34、如圖3.11所示的實(shí)訓(xùn)網(wǎng)絡(luò)拓?fù)洵h(huán)境。在信息大樓、實(shí)驗(yàn)中心辦公樓的交換機(jī)采用Cisco Catslyst2960交換機(jī)，實(shí)現(xiàn)網(wǎng)管功能，機(jī)電大樓的交換機(jī)也采用Cisco Catslyst2960交換機(jī)，但作為傻瓜交換機(jī)使用，也可采用另外的傻瓜交換機(jī)。實(shí)驗(yàn)中心、辦公樓和機(jī)電大樓的交換機(jī)均通過(guò)光纜與光電轉(zhuǎn)換器與信息大樓的交換機(jī)相連均采用雙絞線(xiàn)將交換機(jī)直接連接起來(lái)。,1.2 相關(guān)知識(shí),3.4 項(xiàng)目實(shí)施：在交換機(jī)上劃分VLAN技術(shù),項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),1.2 相關(guān)知識(shí),3.4 項(xiàng)目實(shí)施：在交換機(jī)上劃分VLAN技術(shù),項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.4.2 項(xiàng)目任務(wù),（

35、1）網(wǎng)絡(luò)中各交換狀機(jī)、計(jì)算機(jī)等的名稱(chēng)、口令、IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、VLAN號(hào)等的詳細(xì)規(guī)劃，交換機(jī)端口VLAN的劃分。 （2）設(shè)置交換機(jī)的名稱(chēng)，口令、管理地址。 （3）各部門(mén)VLAN劃分。 （4）配置中繼鏈路 （5）各交換機(jī)端口VLAN成員分配。,1.2 相關(guān)知識(shí),3.4 項(xiàng)目實(shí)施：在交換機(jī)上劃分VLAN技術(shù),項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.4.3設(shè)備清單,為了搭建如圖3.11所示的網(wǎng)絡(luò)環(huán)境，需要如下的設(shè)備清單。 （1）Cisco Catalst 2960交換機(jī)（3臺(tái)）； （2）Cisco Catalst 2960交換機(jī)（1臺(tái)，做傻瓜交換機(jī)用，不進(jìn)行任何配置）； （3）PC機(jī)

36、8臺(tái)； （4）雙絞線(xiàn)（若干根）； （5）反轉(zhuǎn)電纜一根。,1.2 相關(guān)知識(shí),3.4 項(xiàng)目實(shí)施：在交換機(jī)上劃分VLAN技術(shù),項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.4.4 實(shí)施過(guò)程-步驟1：規(guī)劃與設(shè)計(jì),（1）規(guī)劃計(jì)算機(jī)IP地址、子網(wǎng)掩碼、網(wǎng)關(guān),項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.4.4 實(shí)施過(guò)程-步驟1：規(guī)劃與設(shè)計(jì),（2）規(guī)劃各場(chǎng)所交換機(jī)名稱(chēng)，端口所屬VLAN以及連接的計(jì)算機(jī),項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.4.4 實(shí)施過(guò)程-步驟1：規(guī)劃與設(shè)計(jì),（3）各交換機(jī)之間的連接關(guān)系,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.4.4 實(shí)施過(guò)程-,步驟2：實(shí)訓(xùn)環(huán)境準(zhǔn)備

37、 （1）硬件連接。在交換機(jī)和計(jì)算機(jī)斷電的狀態(tài)下，按照?qǐng)D3.11、表3-3和表3-4所示連接硬件。交換機(jī)接口之間的連接采用交叉線(xiàn)。 （2）分別打開(kāi)設(shè)備，給設(shè)備加電。 步驟3：按照表3-2所列設(shè)置各計(jì)算機(jī)的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)。,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.4.4 實(shí)施過(guò)程-,步驟4：清除交換機(jī)配置 （1）清除交換機(jī)的啟動(dòng)配置； switch#erase startup-config （2）刪除交換機(jī)VLAN。 交換機(jī)的VLAN配置信息保存在閃存的vlan.dat文件中，要想刪除VLAN，必須刪除閃存中的vlan.dat文件。 Switch#show flash: Di

38、rectory of flash:/ 1 -rw- 4414921 c2960-lanbase-mz.122-25.FX.bin 2 -rw- 616 vlan.dat 64016384 bytes total (59600847 bytes free) Switch#delete vlan.dat Delete filename vlan.dat? Delete flash:/vlan.dat? confirm Switch#,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.4.4 實(shí)施過(guò)程-,步驟5：測(cè)試連通性 使用Ping命令分別測(cè)試PC11、PC12、PC21、PC22、PC31、PC

39、32、PC41、PC42這8臺(tái)計(jì)算機(jī)之間的連通性. 步驟6：配置交換機(jī)Jisjsw （1）配置信息大樓的交換機(jī)的主機(jī)名為jisjsw （2）在交換機(jī)jisjsw創(chuàng)建VLAN 10、20、30、99 （3）按照表3-3分配交換機(jī)Jisjsw端口VLAN （4） 查看jisjsw的VLAN配置 jisjsw#show vlan,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.4.4 實(shí)施過(guò)程-,步驟7：配置辦公樓的交換機(jī) （1）配置辦公樓交換機(jī)的主機(jī)名為banglsw （2）在交換機(jī)banglsw創(chuàng)建VLAN10、20、30、99 （3）按照表3-3分配交換機(jī)banglsw端口VLAN （4） 查

40、看banglsw的VLAN配置 步驟8：配置實(shí)驗(yàn)中心的交換機(jī) （1）配置實(shí)驗(yàn)中心交換機(jī)的主機(jī)名為shiyfsw（略） （2）在交換機(jī)shiyfsw創(chuàng)建VLAN10、30、40、99（略） （3）按照表3-3分配交換機(jī)shiysw端口VLAN（略） （4）查看shiyfsw的VLAN配置（略）,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.4.4 實(shí)施過(guò)程-,步驟9：測(cè)試 使用Ping命令分別測(cè)試PC11、PC12、PC21、PC22、PC31、PC32、PC41、PC42這8臺(tái)計(jì)算機(jī)之間的連通性。 步驟10：配置Jisjsw和banglsw、shiysw之間的中繼 （1）將交換機(jī)jisjsw

41、的端口（g1/1、f0/1）定義為中繼鏈路。 jisjsw(config)#interface gigabitEthernet 1/1 jisjsw(config-if)#description link to banglsw-g1/1 jisjsw(config-if)#switchport mode trunk jisjsw(config-if)#no shutdown jisjsw(config-if)#exit jisjsw(config)#interface fastEthernet 0/1 jisjsw(config-if)#description link to shiysw-f

42、0/1 jisjsw(config-if)#switchport mode trunk ,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.4.4 實(shí)施過(guò)程-,jisjsw#show interfaces trunk Port Mode Encapsulation Status Native vlan Fa0/1 on 802.1q trunking 1 Gig1/1 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/1 1-1005 Gig1/1 1-1005 Port Vlans allowed and active in manage

43、ment domain Fa0/1 1,10,20,30,99 Gig1/1 1,10,20,30,99 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1,10,20,30,99 Gig1/1 1,10,20,30,99 Jisjsw#,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.4.4 實(shí)施過(guò)程-,（2） 將交換機(jī)shiysw(f0/1)和交換機(jī)banglsw的端口（g1/1），定義為中繼鏈路。 banglsw(config)#interface gigabitEthernet 1/1 banglsw(

44、config-if)#description link to jisjsw-g1/1 banglsw(config-if)#switchport mode trunk banglsw(config-if)#no shutdown banglsw(config-if)#end banglsw#write shiysw(config)#interface fastEthernet 0/1 ,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.4.4 實(shí)施過(guò)程-,步驟11：項(xiàng)目測(cè)試 （1）使用Ping命令分別測(cè)試PC11、PC12、PC21、PC22、PC31、PC32、PC41、PC42這8臺(tái)計(jì)算機(jī)之

45、間的連通性。 （2）分別打開(kāi)交換機(jī)jisjsw和交換機(jī)switch2，查看交換機(jī)的配置信息 Jisjsw#show running-config banglsw#show running-config shiysw#show running-config 步驟12：配置交換機(jī)口令 配置各交換機(jī)遠(yuǎn)程登錄口令、超級(jí)口令和控制臺(tái)登錄口令(略)。,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.4.4 實(shí)施過(guò)程-,步驟13：配置遠(yuǎn)程管理 （1）將PC11（也可以另外接一臺(tái)計(jì)算機(jī)）接到交換機(jī)jisjsw的端口f0/24上，IP地址改為192.168.100.100/24，網(wǎng)關(guān)為192.168.100.1

46、。 （2）配置交換機(jī)jisjsw管理地址，管理VLAN，端口f0/24所屬VLAN jisjsw(config)#interface vlan 99 jisjsw(config-if)#ip address 192.168.100.201 255.255.255.0 jisjsw(config)#ip default-gateway 192.168.100.1 jisjsw(config-if)#exit jisjsw(config)# （3） 測(cè)試PC11和交換機(jī)jisjsw的遠(yuǎn)程管理地址的連通性， PCping 192.168.100.201 . PCtelnet 192.168.100.201,項(xiàng)目3：在交換機(jī)上構(gòu)建安全隔離的部門(mén)間網(wǎng)絡(luò),3.4.4 實(shí)施過(guò)程-,