项目3：在交换机上构建安全隔离的部门间网络

模块二、组建安全隔离的小型局域网项目3：在交换机上构建安全隔离的部门间网络项目4：构建基于VLAN中继协议隔离的局域网3.1用户需求项目3：在交换机上构建安全隔离的部门间网络某学院计算机系、机电工程系、财务处、学生机房分组建了自己的局域网，其中在信息大楼主要为计算机系办公场所，机电大楼为机电工程系办公大楼，实验中心为学生机房，并且有计算机系和财务处办公场所，财务处在学校办公楼办公。随着学校信息化建设的深入，人员交流越来越频繁，在各个办公场所都可能出现其它部门的人员。为了网络安全，把计算机系、机电工程系、财务处、学生机房各自分别位于不同的子网，并且部门内部可以互相访问。3.2相关知识项目3：在交换机上构建安全隔离的部门间网络3.2.1VLAN简介3.2.2静态VLAN配置3.2.3部署VLAN3.2.4VLAN中继3.2.5标识VLAN帧3.2.6VLAN数据帧的传输3.2.7配置VLAN中继1.2相关知识3.2.1VLAN简介1.虚拟局域网的概念项目3：在交换机上构建安全隔离的部门间网络虚拟局域网（VirtualLAN，简称VLAN）是一种逻辑广播域，可以跨越多个物理LAN网段。VLAN是以局域网交换机为基础，通过交换机软件实现根据功能、部门、应用等因素将设备或用户组成虚拟工作组或逻辑网段的技术，其最大的特点是在组成逻辑网时无须考虑用户或设备在网络中的物理位置。虚拟局域网可以在一个交换机或者跨交换机实现。VLAN一般基于工作功能、部门或项目团队来逻辑地分割交换网络，而不管使用者在网络中的物理位置。同组内全部的工作站和服务器在同一VLAN内，不管物理连接和位置在哪里。1.2相关知识3.2.1VLAN简介1.虚拟局域网的概念项目3：在交换机上构建安全隔离的部门间网络VLAN是一个逻辑上独立的IP子网。多个IP网络和子网可以通过VLAN存在于同一个交换网络上。在IEEE802.1Q标准中对虚拟局域网是这样定义的：虚拟局域网是由一些局域网网段构成的与物理位置无关的逻辑组，而这些网段具有某些共同的需求。每一个虚拟局域网的帧都有一个明确的标识符，指明发送这个帧的工作站是属于哪一个VLAN。利用以太网交换机可以很方便地实现虚拟局域网。虚拟局域网其实只是局域网给用户提供的一种服务，而并不是一种新型局域网。1.2相关知识3.2.1VLAN简介项目3：在交换机上构建安全隔离的部门间网络VLAN10VLAN20VLAN30A2图3.2虚拟局域网VLAN的示例A1B3B2B1C1C2C3A3LAN3LAN2LAN11.2相关知识3.2.1VLAN简介1.虚拟局域网的概念项目3：在交换机上构建安全隔离的部门间网络图3.2中使用了四个交换机的网络拓扑结构。有9台计算机分布在三个楼层中，构成了三个局域网，即：LAN1：（A1，B1，C1），LAN2：（A2，B2，C2），LAN3：（A3，B3，C3）。但这9个用户划分为三个工作组，也就是说划分为三个虚拟局域网VLAN。即：VLAN1：（A1，A2，A3），VLAN2：（B1，B2，B3），VLAN3：（C1，C2，C3）。1.2相关知识3.2.1VLAN简介2.VLAN的优点项目3：在交换机上构建安全隔离的部门间网络（1）有利于优化网络性能（2）提高了网络的安全性（3）便于对网络进行管理和控制（4）提供了基于第二层的通信优先级服务1.2相关知识3.2.1VLAN简介3.VLAN成员资格模式项目3：在交换机上构建安全隔离的部门间网络（1）静态VLAN由网络管理员以手工方式将交换机端口分配给VLAN，因此是静态的。即在交换机上将其某一个端口分配给特定VLAN，在这种情况下，VLAN是基于物理交换机端口的，终端用户设备根据其连接的物理端口被分配到相应的VLAN中，并且将一直保持不变直到网络管理员改变这种配置，所以又被称为基于端口的VLAN，是目前实现VLAN的主要方法。1.2相关知识3.2.1VLAN简介3.VLAN成员资格模式项目3：在交换机上构建安全隔离的部门间网络（1）静态VLAN网络管理员以手工方式将交换机端口分配给VLAN时，每个端口获得一个端口VLANID，将其同VLAN号关联起来。可将同一台交换机上的端口分成多个VLAN。即使两台计算机连接到同一台交换机，如果它们连接的是属于不同VLAN的端口，数据流也不会在它们之间传输。为执行这项功能，可使用第3层设备来路由分组，也可使用外部的第2层设备在两个VLAN之间桥接分组。1.2相关知识3.2.1VLAN简介3.VLAN成员资格模式项目3：在交换机上构建安全隔离的部门间网络（1）静态VLAN基于端口的VLAN也就是根据以太网交换机的端口来划分广播域。即分配在同一个VLAN的端口共享广播域（一个站点发送希望所有站点接收的广播信息，同一VLAN中的所有站点都可以听到），分配在不同VLAN的端口不共享广播域。虚拟局域网既可以在单台交换机中实现，也可以跨越多个交换机。终端设备连接到端口时，自动获得VLAN连接性。1.2相关知识3.2.1VLAN简介3.VLAN成员资格模式项目3：在交换机上构建安全隔离的部门间网络（2）动态VLAN动态VLAN是指交换机上以连网用户的MAC地址、逻辑地址（如IP地址）或数据包协议等信息为基础将交换机端口动态分配给VLAN的方式。总之，不管以何种机制实现，分配在同一个VLAN的所有主机共享一个广播域，而分配在不同VLAN的主机将不会共享广播域。也就是说，只有位于同一VLAN中的主机才能直接相互通信，而位于不同VLAN中的主机之间是不能直接相互通信的。1.2相关知识3.2.2静态VLAN配置1.VLANID范围项目3：在交换机上构建安全隔离的部门间网络在建立VLAN之前，必须考虑是否使用VLAN干线协议（VLANtrunkprotocol，VTP）来为你的网络进行全局VLAN的配置。在本项目中不使用VTP干线协议。首先，如果VLAN不存在，必须在交换机上创建它。然后将交换机端口分配给VLAN。VLAN总是使用VLANID号来引用的。VLANID在数字上分为普通范围和扩展范围。1.2相关知识3.2.2静态VLAN配置1.VLANID范围（1）普通范围的VLAN项目3：在交换机上构建安全隔离的部门间网络普通范围的VLAN具有以下特点：用于中小型商业网络和企业网络。VLANID范围为1到1005。从1002到1005的ID保留供令牌环VLAN和FDDIVLAN使用。ID1和ID1002到1005是自动创建的，不能删除。配置存储在名为vlan.dat的VLAN数据库文件中，vlan.dat文件则位于交换机的闪存中。用于管理交换机之间VLAN配置的VLAN中继协议(VTP)只能识别普通范围的VLAN，并将它们存储到VLAN数据库文件中。1.2相关知识3.2.2静态VLAN配置1.VLANID范围（2）扩展范围的VLAN项目3：在交换机上构建安全隔离的部门间网络为与IEEE802.1Q标准兼容，CiscoCatalystIOS还支持扩展的VLAN编号。可让服务提供商扩展自己的基础架构以适应更多的客户。某些跨国企业的规模很大，从而需要使用扩展范围的VLANID。VLANID范围从1006到4094。支持的VLAN功能比普通范围的VLAN更少。保存在运行配置文件中。VTP无法识别扩展范围的VLAN。1.2相关知识3.2.2静态VLAN配置2.配置静态VLAN项目3：在交换机上构建安全隔离的部门间网络（1）配置VLAN的ID和名字配置VLAN最常见的方法是在每个交换机上手工指定端口－LAN映射。在全局配置模式下使用VLAN命令。Switch(config)#vlanvlan-id其中：Vlan-id是配置要被添加的VLAN的ID，如果要安装增强的软件版本，范围为14096，如果安装的是标准的软件版本，范围为11005。每一个VLAN都有一个唯一的4位的ID（范围：00011005）。Switch(config-vlan)#namevlan-name定义一个VLAN的名字，可以使用132个ASCII字符，但是必须保证这个名称在管理域中是唯一的。1.2相关知识3.2.2静态VLAN配置2.配置静态VLAN项目3：在交换机上构建安全隔离的部门间网络（2）分配端口在新创建一个VLAN之后，可以为之手工分配一个端口号或多个端口号。一个端口只能属于唯一一个VLAN。这种为VLAN分配端口号的方法称为静态－接入端口。在接口配置模式下，分配VLAN端口命令为：Switch(config)#interfacetypemod/numSwitch(config-if)#switchportSwitch(config-if)#switchportmodeSwitch(config-if)#switchportaccessvlanvlan-id默认情况下，所有的端口都属于VLAN1。1.2相关知识3.2.2静态VLAN配置3.检验VLAN配置项目3：在交换机上构建安全隔离的部门间网络配置VLAN后，可以使用CiscoIOSshow命令检验VLAN配置。switch#showvlan[brief|idvlan-id|namevlan-name|summary]switch#showinterfaces[interface-id|vlanvlan-id]|switchport1.2相关知识3.2.2静态VLAN配置4.添加、更改和删除VLAN项目3：在交换机上构建安全隔离的部门间网络为了把一个端口移到一个不同的VLAN中，要用一个和初始配置相同的命令。在接口配置模式下使用switchportaccess命令来执行这项功能。无须将端口移出VLAN来实现这项转换。在接口配置模式下，使用noswitchportaccessvlan命令，可以将该端口重新分配到默认VLAN（VLAN1）中。1.2相关知识3.2.3部署VLAN1.端到端VLAN项目3：在交换机上构建安全隔离的部门间网络端到端VLAN也称园区级VLAN，它跨越整个网络的交换结构，用于为终端设备提供最大的机动性和灵活性。无论位于什么位置，都可以将其分配到VLAN。用户在园区内移动时，其VLAN成员资格保持不变。这意味着必须使VLAN在每个交换模块的接入层都是可用的。端到端VLAN应根据需求将用户分组，在同一个VLAN中，所有用户的流量模式都必须大致相同，并遵循80／20规则。即，大约80％的用户流量是在本地工作组内，只有20％前往园区网中的远程资源。虽然，在VLAN中只有20％的流量将通过网络核心，但端到端VLAN使得VLAN内的所有流量都可能通过网络核心。1.2相关知识3.2.3部署VLAN2.本征VLAN项目3：在交换机上构建安全隔离的部门间网络目前，大多数企业得基本符合20／80规则，即只有20％的流量是本地的，80％的流量将穿过核心层前往远程资源。终端用户经常需要访问其VLAN外面的资源，用户必须频繁地经过网络核心。在这种网络中，应根据地理位置来设计VLAN，而不考虑离开VLAN的流量。本征VLAN的规模可以小到配线间中的单台交换机，也可大到整栋建筑物。通过这种方式安排VLAN，可以在园区网中使用第3层功能来智能处理VLAN之间流量负载。这种方案提供了最高的可用性（使用多条前往目的地的路径）、最高的扩展性（将VLAN限制在交换模块内）和最高的可管理性。1.2相关知识3.2.4VLAN中继项目3：在交换机上构建安全隔离的部门间网络VLAN2VLAN3ACBD交换机1交换机2图3.4跨多台交换机的VLAN1.2相关知识3.2.4VLAN中继项目3：在交换机上构建安全隔离的部门间网络VLAN2VLAN3ACBD交换机1交换机2图3.5VLAN内的主机跨交换机的通信VLAN2VLAN31.2相关知识3.2.4VLAN中继项目3：在交换机上构建安全隔离的部门间网络VLAN2VLAN3ACBD交换机1交换机2图3.6VLAN内的主机跨交换机的通信TrunkLink用于实现各VLAN在交换