項目3在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò)

1、模塊二、組建安全隔離的小型局域網(wǎng),項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),項目4：構(gòu)建基于VLAN中繼協(xié)議隔離的局域網(wǎng),3.1 用戶需求,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),某學(xué)院計算機(jī)系、機(jī)電工程系、財務(wù)處、學(xué)生機(jī)房分組建了自己的局域網(wǎng)，其中在信息大樓主要為計算機(jī)系辦公場所，機(jī)電大樓為機(jī)電工程系辦公大樓，實(shí)驗中心為學(xué)生機(jī)房，并且有計算機(jī)系和財務(wù)處辦公場所，財務(wù)處在學(xué)校辦公樓辦公。隨著學(xué)校信息化建設(shè)的深入，人員交流越來越頻繁，在各個辦公場所都可能出現(xiàn)其它部門的人員。為了網(wǎng)絡(luò)安全，把計算機(jī)系、機(jī)電工程系、財務(wù)處、學(xué)生機(jī)房各自分別位于不同的子網(wǎng)，并且部門內(nèi)部可以互相訪問。,3.2 相關(guān)

2、知識,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.2.1 VLAN簡介,3.2.2 靜態(tài)VLAN配置,3.2.3 部署VLAN,3.2.4 VLAN中繼,3.2.5 標(biāo)識VLAN幀,3.2.6 VLAN數(shù)據(jù)幀的傳輸,3.2.7 配置VLAN中繼,1.2 相關(guān)知識,3.2.1 VLAN簡介,1.虛擬局域網(wǎng)的概念,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),虛擬局域網(wǎng)（Virtual LAN，簡稱VLAN）是一種邏輯廣播域，可以跨越多個物理LAN網(wǎng)段。VLAN是以局域網(wǎng)交換機(jī)為基礎(chǔ)，通過交換機(jī)軟件實(shí)現(xiàn)根據(jù)功能、部門、應(yīng)用等因素將設(shè)備或用戶組成虛擬工作組或邏輯網(wǎng)段的技術(shù)，其最大的特點(diǎn)是在組成邏輯

3、網(wǎng)時無須考慮用戶或設(shè)備在網(wǎng)絡(luò)中的物理位置。虛擬局域網(wǎng)可以在一個交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。 VLAN一般基于工作功能、部門或項目團(tuán)隊來邏輯地分割交換網(wǎng)絡(luò)，而不管使用者在網(wǎng)絡(luò)中的物理位置。同組內(nèi)全部的工作站和服務(wù)器在同一VLAN內(nèi)，不管物理連接和位置在哪里。,1.2 相關(guān)知識,3.2.1 VLAN簡介,1.虛擬局域網(wǎng)的概念,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),VLAN是一個邏輯上獨(dú)立的IP子網(wǎng)。多個IP網(wǎng)絡(luò)和子網(wǎng)可以通過VLAN存在于同一個交換網(wǎng)絡(luò)上。 在IEEE802.1Q標(biāo)準(zhǔn)中對虛擬局域網(wǎng)是這樣定義的：虛擬局域網(wǎng)是由一些局域網(wǎng)網(wǎng)段構(gòu)成的與物理位置無關(guān)的邏輯組，而這些網(wǎng)段具有某些共同的需求

4、。每一個虛擬局域網(wǎng)的幀都有一個明確的標(biāo)識符，指明發(fā)送這個幀的工作站是屬于哪一個VLAN。利用以太網(wǎng)交換機(jī)可以很方便地實(shí)現(xiàn)虛擬局域網(wǎng)。虛擬局域網(wǎng)其實(shí)只是局域網(wǎng)給用戶提供的一種服務(wù)，而并不是一種新型局域網(wǎng)。,1.2 相關(guān)知識,3.2.1 VLAN簡介,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),1.2 相關(guān)知識,3.2.1 VLAN簡介,1.虛擬局域網(wǎng)的概念,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),圖3.2中使用了四個交換機(jī)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。有9臺計算機(jī)分布在三個樓層中，構(gòu)成了三個局域網(wǎng)，即： LAN1：（A1，B1，C1），LAN2：（A2，B2，C2），LAN3：（A3，B3，C3）。 但這

5、9個用戶劃分為三個工作組，也就是說劃分為三個虛擬局域網(wǎng)VLAN。即： VLAN1：（A1，A2，A3），VLAN2：（B1，B2，B3），VLAN3：（C1，C2，C3）。,1.2 相關(guān)知識,3.2.1 VLAN簡介,2. VLAN的優(yōu)點(diǎn),項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),（1）有利于優(yōu)化網(wǎng)絡(luò)性能,（2）提高了網(wǎng)絡(luò)的安全性,（3）便于對網(wǎng)絡(luò)進(jìn)行管理和控制,（4）提供了基于第二層的通信優(yōu)先級服務(wù),1.2 相關(guān)知識,3.2.1 VLAN簡介,3. VLAN成員資格模式,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),（1）靜態(tài)VLAN 由網(wǎng)絡(luò)管理員以手工方式將交換機(jī)端口分配給VLAN，因此是

6、靜態(tài)的。即在交換機(jī)上將其某一個端口分配給特定VLAN，在這種情況下，VLAN是基于物理交換機(jī)端口的，終端用戶設(shè)備根據(jù)其連接的物理端口被分配到相應(yīng)的VLAN中，并且將一直保持不變直到網(wǎng)絡(luò)管理員改變這種配置，所以又被稱為基于端口的VLAN，是目前實(shí)現(xiàn)VLAN的主要方法。,1.2 相關(guān)知識,3.2.1 VLAN簡介,3. VLAN成員資格模式,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),（1）靜態(tài)VLAN 網(wǎng)絡(luò)管理員以手工方式將交換機(jī)端口分配給VLAN時，每個端口獲得一個端口VLAN ID，將其同VLAN號關(guān)聯(lián)起來。可將同一臺交換機(jī)上的端口分成多個VLAN。即使兩臺計算機(jī)連接到同一臺交換機(jī)，如果它們

7、連接的是屬于不同VLAN的端口，數(shù)據(jù)流也不會在它們之間傳輸。為執(zhí)行這項功能，可使用第3層設(shè)備來路由分組，也可使用外部的第2層設(shè)備在兩個VLAN之間橋接分組。,1.2 相關(guān)知識,3.2.1 VLAN簡介,3. VLAN成員資格模式,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),（1）靜態(tài)VLAN 基于端口的VLAN也就是根據(jù)以太網(wǎng)交換機(jī)的端口來劃分廣播域。即分配在同一個VLAN的端口共享廣播域（一個站點(diǎn)發(fā)送希望所有站點(diǎn)接收的廣播信息，同一VLAN中的所有站點(diǎn)都可以聽到），分配在不同VLAN的端口不共享廣播域。虛擬局域網(wǎng)既可以在單臺交換機(jī)中實(shí)現(xiàn)，也可以跨越多個交換機(jī)。終端設(shè)備連接到端口時，自動獲得V

8、LAN連接性。,1.2 相關(guān)知識,3.2.1 VLAN簡介,3. VLAN成員資格模式,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),（2）動態(tài)VLAN 動態(tài)VLAN是指交換機(jī)上以連網(wǎng)用戶的MAC地址、邏輯地址（如IP地址）或數(shù)據(jù)包協(xié)議等信息為基礎(chǔ)將交換機(jī)端口動態(tài)分配給VLAN的方式?？傊?，不管以何種機(jī)制實(shí)現(xiàn)，分配在同一個VLAN的所有主機(jī)共享一個廣播域，而分配在不同VLAN的主機(jī)將不會共享廣播域。也就是說，只有位于同一VLAN中的主機(jī)才能直接相互通信，而位于不同VLAN中的主機(jī)之間是不能直接相互通信的。,1.2 相關(guān)知識,3.2.2 靜態(tài)VLAN配置,1.VLAN ID范圍,項目3：在交換機(jī)上

9、構(gòu)建安全隔離的部門間網(wǎng)絡(luò),在建立VLAN之前，必須考慮是否使用VLAN干線協(xié)議（VLAN trunk protocol，VTP）來為你的網(wǎng)絡(luò)進(jìn)行全局VLAN的配置。在本項目中不使用VTP干線協(xié)議。,首先，如果VLAN不存在，必須在交換機(jī)上創(chuàng)建它。然后將交換機(jī)端口分配給VLAN。VLAN總是使用VLAN ID號來引用的。VLAN ID在數(shù)字上分為普通范圍和擴(kuò)展范圍。,1.2 相關(guān)知識,3.2.2 靜態(tài)VLAN配置,1.VLAN ID范圍（1）普通范圍的 VLAN,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),普通范圍的VLAN具有以下特點(diǎn)： 用于中小型商業(yè)網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)。 VLAN ID范圍為1到

10、1005。從1002到1005的ID保留供令牌環(huán)VLAN和FDDI VLAN使用。 ID 1和ID 1002到1005是自動創(chuàng)建的，不能刪除。 配置存儲在名為vlan.dat的VLAN數(shù)據(jù)庫文件中，vlan.dat文件則位于交換機(jī)的閃存中。 用于管理交換機(jī)之間VLAN配置的VLAN中繼協(xié)議(VTP)只能識別普通范圍的VLAN，并將它們存儲到VLAN數(shù)據(jù)庫文件中。,1.2 相關(guān)知識,3.2.2 靜態(tài)VLAN配置,1.VLAN ID范圍（2）擴(kuò)展范圍的VLAN,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),為與IEEE 802.1Q標(biāo)準(zhǔn)兼容，Cisco Catalyst IOS還支持?jǐn)U展的VLAN編

11、號。 可讓服務(wù)提供商擴(kuò)展自己的基礎(chǔ)架構(gòu)以適應(yīng)更多的客戶。某些跨國企業(yè)的規(guī)模很大，從而需要使用擴(kuò)展范圍的VLAN ID。 VLAN ID 范圍從1006到4094。 支持的VLAN功能比普通范圍的VLAN更少。 保存在運(yùn)行配置文件中。 VTP無法識別擴(kuò)展范圍的VLAN。,1.2 相關(guān)知識,3.2.2 靜態(tài)VLAN配置,2. 配置靜態(tài)VLAN,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),（1）配置VLAN 的ID和名字 配置VLAN最常見的方法是在每個交換機(jī)上手工指定端口LAN映射。在全局配置模式下使用VLAN命令。 Switch(config)#vlan vlan-id 其中：Vlan-id是配

12、置要被添加的VLAN的ID，如果要安裝增強(qiáng)的軟件版本，范圍為14096，如果安裝的是標(biāo)準(zhǔn)的軟件版本，范圍為11005。每一個VLAN都有一個唯一的4位的ID（范圍：00011005）。 Switch(config-vlan)#name vlan-name 定義一個VLAN的名字，可以使用132個ASCII字符，但是必須保證這個名稱在管理域中是唯一的。,1.2 相關(guān)知識,3.2.2 靜態(tài)VLAN配置,2. 配置靜態(tài)VLAN,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),（2）分配端口 在新創(chuàng)建一個VLAN之后，可以為之手工分配一個端口號或多個端口號。一個端口只能屬于唯一一個VLAN。這種為VLAN

13、分配端口號的方法稱為靜態(tài)接入端口。 在接口配置模式下，分配VLAN端口命令為： Switch(config)#interface type mod/num Switch(config-if)#switchport Switch(config-if)#switchport mode Switch(config-if)#switchport access vlan vlan-id 默認(rèn)情況下，所有的端口都屬于VLAN 1。,1.2 相關(guān)知識,3.2.2 靜態(tài)VLAN配置,3. 檢驗VLAN配置,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),配置VLAN后，可以使用Cisco IOS show命令檢驗

14、VLAN配置。 switch#show vlan brief | id vlan-id | name vlan-name | summary switch#show interfaces interface-id | vlan vlan-id | switchport,1.2 相關(guān)知識,3.2.2 靜態(tài)VLAN配置,4. 添加、更改和刪除VLAN,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),為了把一個端口移到一個不同的VLAN中，要用一個和初始配置相同的命令。在接口配置模式下使用switchport access命令來執(zhí)行這項功能。無須將端口移出VLAN來實(shí)現(xiàn)這項轉(zhuǎn)換。 在接口配置模式下，使用

15、no switchport access vlan 命令，可以將該端口重新分配到默認(rèn)VLAN（VLAN 1）中。,1.2 相關(guān)知識,3.2.3 部署VLAN,1. 端到端VLAN,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),端到端VLAN也稱園區(qū)級VLAN，它跨越整個網(wǎng)絡(luò)的交換結(jié)構(gòu)，用于為終端設(shè)備提供最大的機(jī)動性和靈活性。無論位于什么位置，都可以將其分配到VLAN。用戶在園區(qū)內(nèi)移動時，其VLAN成員資格保持不變。這意味著必須使VLAN在每個交換模塊的接入層都是可用的。 端到端VLAN應(yīng)根據(jù)需求將用戶分組，在同一個VLAN中，所有用戶的流量模式都必須大致相同，并遵循8020規(guī)則。即，大約80的用

16、戶流量是在本地工作組內(nèi)，只有20前往園區(qū)網(wǎng)中的遠(yuǎn)程資源。雖然，在VLAN中只有20的流量將通過網(wǎng)絡(luò)核心，但端到端VLAN使得VLAN內(nèi)的所有流量都可能通過網(wǎng)絡(luò)核心。,1.2 相關(guān)知識,3.2.3 部署VLAN,2.本征VLAN,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),目前，大多數(shù)企業(yè)得基本符合2080規(guī)則，即只有20的流量是本地的，80的流量將穿過核心層前往遠(yuǎn)程資源。終端用戶經(jīng)常需要訪問其VLAN外面的資源，用戶必須頻繁地經(jīng)過網(wǎng)絡(luò)核心。在這種網(wǎng)絡(luò)中，應(yīng)根據(jù)地理位置來設(shè)計VLAN，而不考慮離開VLAN的流量。 本征VLAN的規(guī)模可以小到配線間中的單臺交換機(jī)，也可大到整棟建筑物。通過這種方式安

17、排VLAN，可以在園區(qū)網(wǎng)中使用第3層功能來智能處理VLAN之間流量負(fù)載。這種方案提供了最高的可用性（使用多條前往目的地的路徑）、最高的擴(kuò)展性（將VLAN限制在交換模塊內(nèi)）和最高的可管理性。,1.2 相關(guān)知識,3.2.4 VLAN中繼,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),1.2 相關(guān)知識,3.2.4 VLAN中繼,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),1.2 相關(guān)知識,3.2.4 VLAN中繼,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),用于實(shí)現(xiàn)各VLAN在交換機(jī)間通信的鏈路，稱為VLAN中繼（trunk），中繼是兩臺網(wǎng)絡(luò)設(shè)備之間的點(diǎn)對點(diǎn)鏈路，負(fù)責(zé)傳輸多個 VLAN 的流量。,1.

18、2 相關(guān)知識,3.2.5 標(biāo)識VLAN幀,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),標(biāo)識VLAN幀,交換機(jī)間鏈路（ISL）協(xié)議,IEEE 802.1Q協(xié)議,1.2 相關(guān)知識,3.2.5 標(biāo)識VLAN幀,1. 交換機(jī)間鏈路（ISL）協(xié)議,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),交換機(jī)間鏈路（ISL）協(xié)議是Cisco公司私有的協(xié)議，當(dāng)有數(shù)據(jù)在多個交換機(jī)間流動的時候，它控制VLAN信息并且使這些交換機(jī)互聯(lián)起來。 ISL是專用的用于在Trunk鏈路上標(biāo)記不同VLAN數(shù)據(jù)流的一種數(shù)據(jù)鏈路層協(xié)議。通過在中繼鏈路上配置ISL使得來自不同VLAN的數(shù)據(jù)流能夠復(fù)用該鏈路。ISL工作在數(shù)據(jù)鏈路層，即在第2層

19、執(zhí)行幀標(biāo)識：使用幀頭和幀尾來封裝幀。通過重新封裝數(shù)據(jù)幀以獲得獨(dú)立于協(xié)議的能力。配置了ISL的Cisco交換機(jī)和路由器都能處理和識別ISL VLAN信息。ISL主要用于以太網(wǎng)介質(zhì)。,1.2 相關(guān)知識,3.2.5 標(biāo)識VLAN幀,1. 交換機(jī)間鏈路（ISL）協(xié)議,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),1.2 相關(guān)知識,3.2.5 標(biāo)識VLAN幀,2. IEEE 802.1Q協(xié)議,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),IEEE 802.1q也在中繼鏈路上使用本征VLAN，屬于該VLAN的幀不使用任何標(biāo)記信息進(jìn)行封裝。如果終端連接的是802.1Q中繼鏈路,它將只能夠接收和理解本征VLAN幀

20、。這樣，為能夠理解802.1Q的設(shè)備提供了完整的中繼封裝，同時通過中繼鏈路為常規(guī)接入設(shè)備提供了固有的連接性。 對于以太網(wǎng)幀，802.1Q在幀格式中源地址字段后面插入一個4字節(jié)的標(biāo)識符，稱為VLAN標(biāo)記，也稱為tag域，用來指明發(fā)送該幀的工作站屬于哪一個VLAN。如圖3.8所示。如果還使用傳統(tǒng)的以太網(wǎng)幀格式，那么就無法劃分VLAN。,1.2 相關(guān)知識,3.2.5 標(biāo)識VLAN幀,2. IEEE 802.1Q協(xié)議,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),1.2 相關(guān)知識,3.2.5 標(biāo)識VLAN幀,3. 動態(tài)中繼協(xié)議,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),在Catalyst交換機(jī)上，可以

21、手工將中繼鏈路配置為ISL或802.1Q模式。另外，Cisco還實(shí)現(xiàn)了一種點(diǎn)到點(diǎn)協(xié)議，被稱為動態(tài)中繼協(xié)議（DTP），他在兩臺交換機(jī)之間協(xié)商一種雙方都支持的中繼模式。協(xié)商包括封裝（ISL或802.1Q）以及是否將鏈路作為中繼鏈路。這樣就不需進(jìn)行大量的手工配置和管理，就能夠使用中繼鏈路。,1.2 相關(guān)知識,3.2.6 VLAN數(shù)據(jù)幀的傳輸,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),目前任何主機(jī)都不支持帶有Tag域的以太網(wǎng)數(shù)據(jù)幀，即主機(jī)只能發(fā)送和接收標(biāo)準(zhǔn)的以太網(wǎng)數(shù)據(jù)幀，而將VLAN數(shù)據(jù)幀視為非法數(shù)據(jù)幀。所以支持VLAN的交換機(jī)在與主機(jī)和交換機(jī)進(jìn)行通信時，需要區(qū)別對待。當(dāng)交換機(jī)將數(shù)據(jù)發(fā)送給主機(jī)時，必

22、須檢查該數(shù)據(jù)幀，并刪除tag域。而發(fā)送給交換機(jī)時，為了讓對端交換機(jī)能夠知道數(shù)據(jù)幀的VLAN ID，它應(yīng)該給從主機(jī)接收到的數(shù)據(jù)幀增加一個tag域后再發(fā)送，其數(shù)據(jù)幀傳輸過程中的變化如圖3.9所示。,1.2 相關(guān)知識,3.2.6 VLAN數(shù)據(jù)幀的傳輸,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),1.2 相關(guān)知識,3.2.6 VLAN數(shù)據(jù)幀的傳輸,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),當(dāng)交換機(jī)接收到某數(shù)據(jù)幀時，交換機(jī)根據(jù)數(shù)據(jù)幀中的tag域或者接收端口的缺省VLAN ID來判斷該數(shù)據(jù)幀應(yīng)該轉(zhuǎn)發(fā)到哪些端口，如果目標(biāo)端口連接的是普通主機(jī)，則刪除Tag域（如果數(shù)據(jù)幀中包含tag域）后再發(fā)送數(shù)據(jù)幀；如果目

23、標(biāo)端口連接的是交換機(jī)，則添加Tag域（如果數(shù)據(jù)幀中不包含tag域）后再發(fā)送數(shù)據(jù)幀。為了保證在交換機(jī)之間的trunk鏈路上能夠接入普通主機(jī)，以太網(wǎng)將還能夠當(dāng)檢查到數(shù)據(jù)幀的VLAN ID和Trunk端口的缺省VLAN ID 相同時，數(shù)據(jù)幀不會被增加tag域。而到達(dá)對端交換機(jī)后，交換機(jī)發(fā)現(xiàn)數(shù)據(jù)幀中沒有tag域時，就認(rèn)為該數(shù)據(jù)幀為接收端口的缺省VLAN數(shù)據(jù)。,1.2 相關(guān)知識,3.2.6 VLAN數(shù)據(jù)幀的傳輸,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),根據(jù)交換機(jī)處理數(shù)據(jù)幀的不同，可以將交換機(jī)的端口分為兩類： Access端口：只能傳送標(biāo)準(zhǔn)以太網(wǎng)幀的端口，一般是指那些連接不支持VLAN技術(shù)的端設(shè)備的接

24、口，這些端口接收到的數(shù)據(jù)幀都不包含VLAN標(biāo)簽，而向外發(fā)送數(shù)據(jù)幀時，必須保證數(shù)據(jù)幀中不包含VLAN標(biāo)簽。 Trunk端口：既可以傳送有VLAN標(biāo)簽的數(shù)據(jù)幀也可以傳送標(biāo)準(zhǔn)以太網(wǎng)幀的端口，一般是指那些連接支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備（如交換機(jī)）的端口，這些端口接收到的數(shù)據(jù)幀一般都包含VLAN標(biāo)簽（數(shù)據(jù)幀VLAN ID和端口缺省VLAN ID相同除外），而向外發(fā)送數(shù)據(jù)幀時，必須保證接收端能夠區(qū)分不同VLAN的數(shù)據(jù)幀，故常常需要添加VLAN標(biāo)簽（數(shù)據(jù)幀VLAN ID和端口缺省VLAN ID相同除外）。,1.2 相關(guān)知識,3.2.7 配置VLAN中繼,1.配置VLAN中繼,項目3：在交換機(jī)上構(gòu)建安全隔離的

25、部門間網(wǎng)絡(luò),（1）switch(config)#interface type mod/num （2） 要支持中繼，交換機(jī)端口必須處于第2層模式。要設(shè)置為第2層模式，可執(zhí)行命令switchport，并不指定任何關(guān)鍵字。 switch(config-if)#switchport （3）switch(config-if)#switchport trunk encapsulateion ISL | dot1q | negotiate （4）switch(config-if)#switchport mode trunk | dynamic desirable | auto ,1.2 相關(guān)知識,3.2.7

26、 配置VLAN中繼,2. 靜態(tài)指定trunk鏈路中的VLAN,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),（1）設(shè)置不允許通過trunk鏈路的VLAN 在配置前，首先應(yīng)使用interface配置命令選中trunk鏈路端口，然后再從trunk鏈路中刪除指定的VLAN，即不允許這些VLAN的通信流量通過trunk鏈路。配置命令為： Switch(config)#interface type mod/port Switch(config-if)#switchport trunk allowed vlan remove vlan-list,1.2 相關(guān)知識,3.2.7 配置VLAN中繼,2. 靜態(tài)指定

27、trunk鏈路中的VLAN,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),例如，從cisco 3550的端口2是trunk鏈路端口，現(xiàn)要將VLAN 2和VLAN 5從trunk鏈路中刪除，則配置命令為： switch3550(config)#interface fastethernet0/2 switch3550(config-if)#switchport trunk allowed vlan remove 2,5 若要在trunk鏈路中刪除100200號VLAN的流量，則配置命令為： switch3550(config-if)#switchport trunk allowed vlan rem

28、ove 100 - 200,1.2 相關(guān)知識,3.2.7 配置VLAN中繼,2. 靜態(tài)指定trunk鏈路中的VLAN,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),（2）設(shè)置允許通過trunk鏈路的VLAN 配置命令為： Switch(config)#interface type mod/port Switch(config-if)#switchport trunk allowed vlan add vlan-list 其中：vlan-list表示要刪除的VLAN號列表，各VLAN之間用逗號進(jìn)行分隔。 或Switch(config-if)#switchport trunk allowed vla

29、n except vlan-list 其中：except vlan-list是指除列出的vlan-id以外的所有。,1.2 相關(guān)知識,3.2.7 配置VLAN中繼,2. 靜態(tài)指定trunk鏈路中的VLAN,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),例如，從cisco 3550的端口2是trunk鏈路端口，現(xiàn)要添加允許VLAN 2和VLAN 5的通信流量通過，則配置命令為： switch3550(config)#interface fastethernet0/2 switch3550(config-if)# switchport trunk allowed vlan add 2,5 若要配置t

30、runk鏈路僅允許VLAN 2、VLAN 5和VLAN 7通過，則配置命令為： switch3550(config)#interface fastethernet0/2 switch3550(config-if)# switchport trunk allowed vlan remove 21001 switch3550(config-if)# switchport trunk allowed vlan add 2,5,7 若要設(shè)置允許所有的VLAN通過trunk鏈路，則配置命令為： switch3550(config-if)# switchport trunk allowed vlan al

31、l22,1.2 相關(guān)知識,3.2.7 配置VLAN中繼,3. 靜態(tài)指定trunk鏈路中的VLAN,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),Switch(config-if)#switchport trunk native vlan vlan-list,4.檢驗中繼配置,Switch#show interfaces interface-ID switchport,5.管理中繼配置,switch (config-if)#no switchport trunk allowed switch (config-if)#no switchport trunk native vlan switch (c

32、onfig-if)#switchport mode,1.2 相關(guān)知識,3.3 方案設(shè)計,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),為了讓實(shí)驗中心的計算機(jī)系用戶能夠與信息大樓計算機(jī)系用戶在同一子網(wǎng)，實(shí)驗中心的財務(wù)處用戶能夠辦公樓財務(wù)處用戶的在同一子網(wǎng)，實(shí)現(xiàn)網(wǎng)絡(luò)互通性。這時就需要將實(shí)驗中心和辦公樓的交換機(jī)更改為可網(wǎng)管的交換機(jī)（支持VLAN），將計算機(jī)系和財務(wù)處的各自所有用戶（三座辦公樓）劃分在同一VLAN內(nèi)。這樣就可以實(shí)現(xiàn)不在同一辦公場所的部門內(nèi)部網(wǎng)絡(luò)的互聯(lián)互通及資源共享。辦公樓和機(jī)電大樓的交換機(jī)為不可網(wǎng)管的交換機(jī)。創(chuàng)建4個VLAN，分別屬于計算機(jī)系、機(jī)電工程系、財務(wù)處和學(xué)生機(jī)房等。這樣就可以在

33、信息大樓和實(shí)驗中心兩座大樓內(nèi)實(shí)現(xiàn)不同VLAN內(nèi)用戶的互聯(lián)互通，即實(shí)現(xiàn)了部門內(nèi)網(wǎng)絡(luò)的互通性。實(shí)驗中心、辦公樓和機(jī)電大樓的交換機(jī)均通過光纜與光電轉(zhuǎn)換器與信息大樓的交換機(jī)相連。如圖3.10所示。,1.2 相關(guān)知識,3.3 方案設(shè)計,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),1.2 相關(guān)知識,3.4 項目實(shí)施：在交換機(jī)上劃分VLAN技術(shù),3.4.1 項目目標(biāo),項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),通過項目的完成，使學(xué)生可以掌握以下技能： （1）能夠?qū)崿F(xiàn)跨交換機(jī)上實(shí)現(xiàn)VLAN方法； （2）能夠掌握將交換機(jī)端口分配到VLAN中的操作技巧。,3.4.2 項目任務(wù),為了在實(shí)訓(xùn)室中模擬本項目的實(shí)施，搭建

34、如圖3.11所示的實(shí)訓(xùn)網(wǎng)絡(luò)拓?fù)洵h(huán)境。在信息大樓、實(shí)驗中心辦公樓的交換機(jī)采用Cisco Catslyst2960交換機(jī)，實(shí)現(xiàn)網(wǎng)管功能，機(jī)電大樓的交換機(jī)也采用Cisco Catslyst2960交換機(jī)，但作為傻瓜交換機(jī)使用，也可采用另外的傻瓜交換機(jī)。實(shí)驗中心、辦公樓和機(jī)電大樓的交換機(jī)均通過光纜與光電轉(zhuǎn)換器與信息大樓的交換機(jī)相連均采用雙絞線將交換機(jī)直接連接起來。,1.2 相關(guān)知識,3.4 項目實(shí)施：在交換機(jī)上劃分VLAN技術(shù),項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),1.2 相關(guān)知識,3.4 項目實(shí)施：在交換機(jī)上劃分VLAN技術(shù),項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.4.2 項目任務(wù),（

35、1）網(wǎng)絡(luò)中各交換狀機(jī)、計算機(jī)等的名稱、口令、IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、VLAN號等的詳細(xì)規(guī)劃，交換機(jī)端口VLAN的劃分。 （2）設(shè)置交換機(jī)的名稱，口令、管理地址。 （3）各部門VLAN劃分。 （4）配置中繼鏈路 （5）各交換機(jī)端口VLAN成員分配。,1.2 相關(guān)知識,3.4 項目實(shí)施：在交換機(jī)上劃分VLAN技術(shù),項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.4.3設(shè)備清單,為了搭建如圖3.11所示的網(wǎng)絡(luò)環(huán)境，需要如下的設(shè)備清單。 （1）Cisco Catalst 2960交換機(jī)（3臺）； （2）Cisco Catalst 2960交換機(jī)（1臺，做傻瓜交換機(jī)用，不進(jìn)行任何配置）； （3）PC機(jī)

36、8臺； （4）雙絞線（若干根）； （5）反轉(zhuǎn)電纜一根。,1.2 相關(guān)知識,3.4 項目實(shí)施：在交換機(jī)上劃分VLAN技術(shù),項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.4.4 實(shí)施過程-步驟1：規(guī)劃與設(shè)計,（1）規(guī)劃計算機(jī)IP地址、子網(wǎng)掩碼、網(wǎng)關(guān),項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.4.4 實(shí)施過程-步驟1：規(guī)劃與設(shè)計,（2）規(guī)劃各場所交換機(jī)名稱，端口所屬VLAN以及連接的計算機(jī),項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.4.4 實(shí)施過程-步驟1：規(guī)劃與設(shè)計,（3）各交換機(jī)之間的連接關(guān)系,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.4.4 實(shí)施過程-,步驟2：實(shí)訓(xùn)環(huán)境準(zhǔn)備

37、 （1）硬件連接。在交換機(jī)和計算機(jī)斷電的狀態(tài)下，按照圖3.11、表3-3和表3-4所示連接硬件。交換機(jī)接口之間的連接采用交叉線。 （2）分別打開設(shè)備，給設(shè)備加電。 步驟3：按照表3-2所列設(shè)置各計算機(jī)的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)。,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.4.4 實(shí)施過程-,步驟4：清除交換機(jī)配置 （1）清除交換機(jī)的啟動配置； switch#erase startup-config （2）刪除交換機(jī)VLAN。 交換機(jī)的VLAN配置信息保存在閃存的vlan.dat文件中，要想刪除VLAN，必須刪除閃存中的vlan.dat文件。 Switch#show flash: Di

38、rectory of flash:/ 1 -rw- 4414921 c2960-lanbase-mz.122-25.FX.bin 2 -rw- 616 vlan.dat 64016384 bytes total (59600847 bytes free) Switch#delete vlan.dat Delete filename vlan.dat? Delete flash:/vlan.dat? confirm Switch#,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.4.4 實(shí)施過程-,步驟5：測試連通性 使用Ping命令分別測試PC11、PC12、PC21、PC22、PC31、PC

39、32、PC41、PC42這8臺計算機(jī)之間的連通性. 步驟6：配置交換機(jī)Jisjsw （1）配置信息大樓的交換機(jī)的主機(jī)名為jisjsw （2）在交換機(jī)jisjsw創(chuàng)建VLAN 10、20、30、99 （3）按照表3-3分配交換機(jī)Jisjsw端口VLAN （4） 查看jisjsw的VLAN配置 jisjsw#show vlan,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.4.4 實(shí)施過程-,步驟7：配置辦公樓的交換機(jī) （1）配置辦公樓交換機(jī)的主機(jī)名為banglsw （2）在交換機(jī)banglsw創(chuàng)建VLAN10、20、30、99 （3）按照表3-3分配交換機(jī)banglsw端口VLAN （4） 查

40、看banglsw的VLAN配置 步驟8：配置實(shí)驗中心的交換機(jī) （1）配置實(shí)驗中心交換機(jī)的主機(jī)名為shiyfsw（略） （2）在交換機(jī)shiyfsw創(chuàng)建VLAN10、30、40、99（略） （3）按照表3-3分配交換機(jī)shiysw端口VLAN（略） （4）查看shiyfsw的VLAN配置（略）,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.4.4 實(shí)施過程-,步驟9：測試 使用Ping命令分別測試PC11、PC12、PC21、PC22、PC31、PC32、PC41、PC42這8臺計算機(jī)之間的連通性。 步驟10：配置Jisjsw和banglsw、shiysw之間的中繼 （1）將交換機(jī)jisjsw

41、的端口（g1/1、f0/1）定義為中繼鏈路。 jisjsw(config)#interface gigabitEthernet 1/1 jisjsw(config-if)#description link to banglsw-g1/1 jisjsw(config-if)#switchport mode trunk jisjsw(config-if)#no shutdown jisjsw(config-if)#exit jisjsw(config)#interface fastEthernet 0/1 jisjsw(config-if)#description link to shiysw-f

42、0/1 jisjsw(config-if)#switchport mode trunk ,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.4.4 實(shí)施過程-,jisjsw#show interfaces trunk Port Mode Encapsulation Status Native vlan Fa0/1 on 802.1q trunking 1 Gig1/1 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/1 1-1005 Gig1/1 1-1005 Port Vlans allowed and active in manage

43、ment domain Fa0/1 1,10,20,30,99 Gig1/1 1,10,20,30,99 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1,10,20,30,99 Gig1/1 1,10,20,30,99 Jisjsw#,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.4.4 實(shí)施過程-,（2） 將交換機(jī)shiysw(f0/1)和交換機(jī)banglsw的端口（g1/1），定義為中繼鏈路。 banglsw(config)#interface gigabitEthernet 1/1 banglsw(

44、config-if)#description link to jisjsw-g1/1 banglsw(config-if)#switchport mode trunk banglsw(config-if)#no shutdown banglsw(config-if)#end banglsw#write shiysw(config)#interface fastEthernet 0/1 ,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.4.4 實(shí)施過程-,步驟11：項目測試 （1）使用Ping命令分別測試PC11、PC12、PC21、PC22、PC31、PC32、PC41、PC42這8臺計算機(jī)之

45、間的連通性。 （2）分別打開交換機(jī)jisjsw和交換機(jī)switch2，查看交換機(jī)的配置信息 Jisjsw#show running-config banglsw#show running-config shiysw#show running-config 步驟12：配置交換機(jī)口令 配置各交換機(jī)遠(yuǎn)程登錄口令、超級口令和控制臺登錄口令(略)。,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.4.4 實(shí)施過程-,步驟13：配置遠(yuǎn)程管理 （1）將PC11（也可以另外接一臺計算機(jī)）接到交換機(jī)jisjsw的端口f0/24上，IP地址改為192.168.100.100/24，網(wǎng)關(guān)為192.168.100.1

46、。 （2）配置交換機(jī)jisjsw管理地址，管理VLAN，端口f0/24所屬VLAN jisjsw(config)#interface vlan 99 jisjsw(config-if)#ip address 192.168.100.201 255.255.255.0 jisjsw(config)#ip default-gateway 192.168.100.1 jisjsw(config-if)#exit jisjsw(config)# （3） 測試PC11和交換機(jī)jisjsw的遠(yuǎn)程管理地址的連通性， PCping 192.168.100.201 . PCtelnet 192.168.100.201,項目3：在交換機(jī)上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),3.4.4 實(shí)施過程-,