项目八、部门间网络的安全隔离

项目八：部门间网络的安全隔离教学目标：VLAN（VirtualLAN，虚拟局域网）和VTP（VLANTrunkingProtocol，VLAN链路聚集协议）是多层交换网络的重要特性，通过在多层交换网络中实施这些特性，可以提高整个网络的性能、可扩展性、安全性和可用性。具体来将主要包括以下几方面的知识：（1）VLAN的概念；（2）VLAN的优点；（3）VLAN中的广播域；（4）VLAN的组网方法；（5）静态VLAN配置；（6）VLAN干线技术；（7）VLAN干线配置；（8）VTP概念；（9）VTP配置。任务14：单交换机上划分VLAN技术14.1工作任务你受聘于一家网络公司做网络工程师，现公司有一客户提出要求，该客户公司建立了一小型局域网，包含财务部、销售部和办公室三个部门，公司领导要求各部门内部主机有一些业务可以相互访问，但部门之间为了安全完全禁止互访。14.2相关知识为了在交换机进行VLAN配置，作为网络工程师，需要了解本工作任务所涉及的以下几方面知识：；■VLAN的概念；■VLAN的组网技术；■VLAN的配置。14.2.1虚拟局域网的概念连接到第2层交换机的主机和服务器处于同一个网段中。这会带来两个严重的问题：■交换机会向所有端口泛洪广播，占用过多带宽。随着连接到交换机的设备不断增多，生成的广播流量也随之上升，浪费的带宽也更多。■连接到交换机的每台设备都能够与该交换机上的所有其它设备相互转发和接收帧。VLAN一般基于工作功能、部门或项目团队来逻辑地分割交换网络，而不管使用者在网络中的物理位置。同组内全部的工作站和服务器共享在同一VLAN，不管物理连接和位置在哪里。图14.1给出一个关于VLAN划分的示例。图14.1中使用了四个交换机的网络拓扑结构。有9个工作站分配在三个楼层中，构成了三个局域网，即：LAN1：（A1，B1，C1），LAN2：（A2，B2，C2），LAN3：（A3，B3，C3）。VLAN1VLAN2VLAN2A2图14.1虚拟局域网VLAN的示例A1B3B2B1C1C2C3A3LAN3LAN2LAN1但这9个用户划分为三个工作组，也就是说划分为三个虚拟局域网VLAN。即：VLAN1：（A1，A2，A3），VLAN2：（B1，B2，B3），VLAN3：（C1，C2，C3）。14.2.2VLAN的优点采用VLAN后，在不增加设备投资的前提下，可在许多方面提高网络的性能，并简化网络的管理。具体表现在：1.有利于优化网络性能通过将交换机划分到不同的VLAN中，一个VLAN的广播不会影响到其他VLAN的性能。即使是同一交换机上的两个相邻端口，只要它们不在同一VLAN中，则相互之间也不会渗透广播流量，也就是说一个VLAN构成一个独立的广播域。2.提高了网络的安全性通过将可以相互通信的网络结点放在一个VLAN内，或将受限制的应用和资源放在一个安全VLAN内，并提供基于应用类型、协议类型、访问权限等不同策略的访问控制表，就可以有效限制进入或离开VLAN的数据流；属于不同VLAN的主机，即便是在同一台交换机上的用户主机，如果它们不在同一VLAN也不能通信。3.便于对网络进行管理和控制同一VLAN中的用户，可以连接在不同的交换机，并且可以位于不同的物理位置，如分布在不同的楼层或不同的楼宇，可以大大减少在网络中增加、删除或移动用户时的管理开销。4.提供了基于第二层的通信优先级服务在千兆位以太网中，基于与VLAN相关的IEEE802.1P标准可以在交换机上为不同的应用提供不同的服务如传输优先级等。14.2.3VLAN的组网方法VLAN的划分可以根据功能、部门或应用而无须考虑用户的物理位置。以太网交换机的每个端口都可以分配给一个VLAN。分配在同一个VLAN的端口共享广播域（一个站点发送希望所有站点接收的广播信息，同一VLAN中的所有站点都可以听到），分配在不同VLAN的端口不共享广播域。虚拟局域网既可以在单台交换机中实现，也可以跨越多个交换机。从实现的机制或策略分，VLAN分为静态VLAN和动态VLAN两种。1.静态VLAN在静态VLAN中，由网络管理员根据交换机端口进行静态的VALN分配，当在交换机上将其某一个端口分配给一个VLAN时，其将一直保持不变直到网络管理员改变这种配置，所以又被称为基于端口的VLAN。也就是根据以太网交换机的端口来划分广播域。也就是说，交换机某些端口连接的主机在一个广播域内，而另一些端口连接的主机在另一广播域，VLAN和端口连接的主机无关，如图14.2和表14.1所示。交换机图14.2基于端口的VLAN划分Port12345ABCDE端口VLANIDPort1VLAN2Potr2VLAN3Port3VLAN2Port4VLAN3Port5VLAN2表14-1VLAN映射简化表2.动态VLAN动态VLAN是指交换机上以连网用户的MAC地址、逻辑地址（如IP地址）或数据包协议等信息为基础将交换机端口动态分配给VLAN的方式。总之，不管以何种机制实现，分配在同一个VLAN的所有主机共享一个广播域，而分配在不同VLAN的主机将不会共享广播域。也就是说，只有位于同一VLAN中的主机才能直接相互通信，而位于不同VLAN中的主机之间是不能直接相互通信的。（1）基于MAC地址的VLAN（2）基于路由的VLAN（3）用IP广播组定义虚拟局域网14.2.4静态VLAN配置在建立VLAN之前，必须考虑是否使用VLAN干线协议（VLANtrunkprotocol，VTP）来为你的网络进行全局VLAN的配置。大多数Catalyst桌面交换机支持最多64个激活的VLAN。Catalyst2950系列交换机在标准镜像上可以支持最多250个VLAN，并且最大可支持的VLAN号为4096。Catalyst交换机的默认配置是为每一个VLAN运行一个单独的生成树实例。Catalyst交换机的原厂默认配置使得VLAN被预先配置好，以支持多种介质和协议类型。默认的以太网VLAN叫做VLAN1。CDP和VTP广播发送到VLAN1.1.配置静态VLAN（1）配置VLAN的ID和名字配置VLAN最常见的方法是在每个交换机上手工指定端口－LAN映射。在全局配置模式下使用VLAN命令。Switch（config）#vlanvlan-id其中：Vlan是-id配置要被添加的VLAN的ID，如果要安装增强的软件版本，范围为14096，如果安装的是标准的软件版本，范围为11005。每一个VLAN都有一个唯一的4位的ID（范围：00011005）。Switch（config-vlan）#namevlan-name定义一个VLAN的名字，可以使用132个ASCII字符，但是必须保证这个名称在管理域中是唯一的。（2）分配端口在接口配置模式下，分配VLAN端口命令为：Switch（config-if）#switchportaccessvlanvlan-id默认情况下，所有的端口都属于VLAN1。2.检验VLAN配置在特权模式下，可以检验VLAN的配置，常用的命令有：Switch#showvlan//显示所有VLAN的配置消息。Switch#showintefaceinterfaceswitchport//显示一个指定的接口的VLAN信息。3.添加、更改和删除VLAN为了添加、更改和删除VLAN，需要把交换机设在VTP服务器或透明模式。当要为整个域内的交换机做一些VLAN更改时，必须处于VTP服务器模式，在VTP范围内更新的内容会自动传播到其他交换机上，在VTP透明模式下做的VLAN更改只能影响本地交换机，更改不会在VTP范围内传播。14.3方案设计根据客户的要求，经过公司技术人员的协商，认为在交换机上通过VLAN技术从而达到各部门网络之间互相禁止访问。先将交换机划分3个VLAN，使财务部、销售部和办公室各个部门的主机在相同的VLAN中，部门之间在不同的VLAN内。这样在同一VLAN内的主机能够相互访问，不同VLAN之间的主机不能相互访问，达到公司要求。三个部门VLAN划分14为：财务部在VLAN10中，VLAN10包括交换机的f0/1-f0/8端口；销售部在VLAN20中，VLAN20包括交换机的f0/9-f0/18端口；办公室在VLAN30中，VLAN30包括交换机的f0/18-f0/24端口。14.4项目实施－单交换机上划分VLAN技术14.4.1任务目标通过工作任务的完成，使学生可以掌握以下技能：（1）能够在单交换机进行VLAN划分；（2）能够通过VLAN技术隔离网络。14.4.2设备清单（1）Cisco2950交换机（1台）；（2）PC机6台；（3）双绞线（若干根）；（4）反转电缆一根。14.4.3网络拓扑本技能训练的网络拓扑，如图14.3所示，按照图14.3连接硬件和设置IP地址，通过反转线将交换机的Console口和计算机PCA的COM连接起来，采用直通线将PC10、PC11连接到交换机的f0/2、f0/3，将PC20、PC21连接到交换机的f0/9、f0/10，将PC30、PC31连接到交换机的f0/19、f0/20。图14.3单交换机VLAN划分交换机Console接口财务部：VLAN10F0/2-f0/8销售部：VLAN20F0/8-f0/18办公室：VLAN30F0/18-f0/24PC10PC20PC3014.4.4实施过程步骤1：硬件连接在交换机和计算机断电的状态下，按照图14.3连接硬件。步骤2：分别打开设备，给设备加电，设备都处于自检状态，直到连接交换机的指示灯处于绿灯，表示网络处于稳定连接状态。步骤3：配置PC10、PC11、PC20、PC21、PC30、PC31的IP地址如表14-2所示。表14-2计算机IP地址配置表设备IP地址子网掩码PC10192.168.10.10255.255.255.0PC11192.168.10.11255.255.255.0PC20192.168.20.10255.255.255.0PC21192.168.20.11255.255.255.0PC30192.168.30.2255.255.255.0PC31192.168.30.3255.255.255.0步骤4：分别测试PC10、PC11、PC20、PC21、PC30、PC31这六台计算机之间的连通性。步骤5：配置交换机VLAN在设备断电的状态台下，将交换机和PC10计算机通过反转电缆连接起来，打开PC10的超级终端，配置交换机的VLAN，配置如下：1.登录到交换机并创建VLANSwitchenableSwitch#Switch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#Switch(config)#vlan10//创建VLAN10Switch(config-vlan)#namecaiw10Switch(config-vlan)#exitSwitch(config)#vlan20//创建VLAN20Switch(config-vlan)#namexiaos20Switch(config-vlan)#exitSwitch(config)#vlan30//创建VLAN30Switch(config-vlan)#namebang30Switch(config-vlan)#exit2.验证配置结果Switch#showvlanSwitch#showvlanVLANNameStatusPorts------------------------------------------------------------1defaultactive//默认情况下，所有端口都属VLAN1Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7Fa0/8,Fa0/9,Fa0/10Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19Fa0/20,Fa0/21,Fa0/2