4.2 网络间的安全隔离

任务2网络间的安全隔离【任务描述】在育才中型网络升级项目改造中，学校实验楼中有两个实验室位于同一楼层，一个是计算机软件实验室，一个是多媒体实验室，两个实验室的信息端口都连接在一台交换机上，而且之前IP也划分在了同一网段。为了能够让两个实验室同时进行教学，而且相互互不干扰，在不改变现有实验室主机IP设置的情况下，请利用网络相关技术，解决这个问题任务2网络间的安全隔离【任务分析】为了保证两个实验室的相对独立，就需要划分对应的VLAN，使交换机某些端口属于软件实验室，某些端口属于多媒体实验室，这样就能保证它们之间的数据互不干扰，也不影响各自的通信效率。任务2网络间的安全隔离•【方法与步骤】1.所需设备2层交换机1台PC机2台Console线1根直通网线2根实验拓扑图任务2网络间的安全隔离•【方法与步骤】2.方案规划与验证PC1、PC2接在VLAN100的成员端口1~8上，两台PC互相可以ping通；PC1、PC2接在VLAN的成员端口9~16上，两台PC互相可以ping通；PC1接在VLAN100的成员端口1~8上，PC2接在VLAN200的成员端口9~16上，则互相ping不通。任务2网络间的安全隔离•【方法与步骤】3.具体实验步骤第一步：交换机恢复出厂设置switch#setdefaultswitch#writeswitch#reload第二步：给交换机设置IP地址即管理IP。switch#configswitch(Config)#interfacevlan1switch(Config-If-Vlan1)#ipaddress192.168.1.11255.255.255.0switch(Config-If-Vlan1)#noshutdownswitch(Config-If-Vlan1)#exitswitch(Config)#exit任务2网络间的安全隔离•【方法与步骤】3.具体实验步骤第三步：创建vlan100和vlan200。switch(Config)#switch(Config)#vlan100switch(Config-Vlan100)#exitswitch(Config)#vlan200switch(Config-Vlan200)#exitswitch(Config)#第四步：给vlan100和vlan200添加端口。switch(Config)#vlan100！进入vlan100switch(Config-Vlan100)#switchportinterfaceethernet0/0/1-8！给vlan100加入端口1-8switch(Config-Vlan100)#exitswitch(Config)#vlan200！进入vlan200switch(Config-Vlan200)#switchportinterfaceethernet0/0/9-16！给vlan200加入端口9-16任务2网络间的安全隔离•【方法与步骤】3.具体实验步骤验证配置：switch#showvlanVLANNameTypeMediaPorts---------------------------------------------------------------------------1defaultStaticENETEthernet0/0/17Ethernet0/0/18Ethernet0/0/19Ethernet0/0/20Ethernet0/0/21Ethernet0/0/22Ethernet0/0/23Ethernet0/0/24100VLAN100StaticENETEthernet0/0/1Ethernet0/0/2Ethernet0/0/3Ethernet0/0/4Ethernet0/0/5Ethernet0/0/6Ethernet0/0/7Ethernet0/0/8200VLAN200StaticENETEthernet0/0/9Ethernet0/0/10Ethernet0/0/11Ethernet0/0/12Ethernet0/0/13Ethernet0/0/14Ethernet0/0/15Ethernet0/0/16任务2网络间的安全隔离【相关知识与技能】1.VLAN概述一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN的优点广播风暴防范安全成本降低性能提高提高IT员工效率应用管理增加网络连接的灵活性任务2网络间的安全隔离【相关知识与技能】1.VLAN概述组建VLAN的条件当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成。同时还严格限制了用户数量.任务2网络间的安全隔离【相关知识与技能】1.VLAN概述VLAN的划分根据端口来划分VLAN根据MAC地址划分VLAN根据网络层划分VLAN根据IP组播划分VLAN基于规则的VLAN按用户划分VLAN任务2网络间的安全隔离【相关知识与技能】1.VLAN概述VLAN的标准802.10VLAN标准802.1QCiscoISL标签任务2网络间的安全隔离【相关知识与技能】1.VLAN概述划分VLAN的基本策略从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法：基于端口基于MAC地址基于路由就目前来说，对于VLAN的划分主要采取上述第1、3种方式，第2种方式为辅助性的方案。任务2网络间的安全隔离【相关知识与技能】2.配置命令详解VLAN命令：vlanvlan-idnovlanvlan-id功能：创建VLAN并且进入VLAN配置模式，在VLAN模式中，用户可以配置VLAN名称和为该VLAN分配交换机端口；本命令的no操作为删除指定的VLAN。任务2网络间的安全隔离【相关知识与技能】2.配置命令详解name命令：namevlan-namenoname功能：为VLAN指定名称，VLAN的名称是对该VLAN一个描述性字符串；本命令的no操作为删除VLAN的名称。任务2网络间的安全隔离【相关知识与技能】2.配置命令详解switchportinterface命令：switchportinterfaceinterface-listnoswitchportinterfaceinterface-list功能：给VLAN分配以太网端口的命令；本命令的no操作为删除指定VLAN内的一个或一组端口。任务2网络间的安全隔离【相关知识与技能】2.配置命令详解switchportmode命令：switchportmode{trunk|access}功能：设置交换机的端口为access模式或者trunk模式。任务2网络间的安全隔离【相关知识与技能】2.配置命令详解switchportmode命令：switchportmode{trunk|access}功能：设置交换机的端口为access模式或者trunk模式。