項目三網絡廣播風暴的隔離與控制

項目三網絡廣播風暴的隔離與控制紹興職業(yè)技術學院史振華教學目標了解廣播域概念；熟悉VLAN概念、優(yōu)點及劃分方式；理解VLAN技術的工作原理；掌握交換機VLAN的配置方法；掌握將端口加入到VLAN方法；掌握在多臺交換機上實現相同VLAN內主機間進行通信的方法。3.1項目內容

某企業(yè)分為行政、財務、人事、物流等部門，這些部門通過多臺交換機及其相應的線路連接到網絡中心，與網絡中心的服務器子網組成了一個企業(yè)局域網。其中，服務器子網由企業(yè)采用的各種服務器，如郵件服務器、數據庫服務器、ERP服務器等組成。由于網絡病毒或者網絡設計等原因，難免會產生很多不必要的廣播數據流量，導致在企業(yè)網絡中有可能出現廣播風暴。廣播風暴會消耗掉寶貴的網絡帶寬，降低網絡的性能。網絡管理員希望，如果某個部門里有電腦中了毒，產生了廣播風暴，則其只影響該部門所在的網絡，而不會影響到其他部門用戶的正常工作，即人事部門網絡中產生的廣播風暴不會蔓延到行政、財務、物流的網絡中去。同時，能保證同一部門主機之間能夠相互訪問，不同部門主機之間不能隨意相互訪問。本項目的內容是通過對多臺具有VLAN功能的交換機，在參數上進行一系列的技術配置來實現對網絡廣播風暴的隔離與控制。3.2相關知識要實現“同一部門主機之間能夠相互訪問，不同部門主機之間不能隨意相互訪問”，以控制網絡內廣播風暴發(fā)生這一功能要求，需要用到虛擬局域網（VLAN）配置的相關技術。為了便于掌握和理解具體的配置操作步驟，需要先了解與熟悉虛擬局域網（VLAN）概念、VLAN優(yōu)點、VLAN劃分方式、VLANTrunk協(xié)議、配置VLAN的命令等知識。3.2.1VLAN概念虛擬局域網（VirtualLocalAreaNetwork）通常簡稱為VLAN，它是將由多臺支持VLAN功能交換機構成的局域網在邏輯上劃分為多個獨立的網段，從而實現虛擬工作組的一種交換技術。3.2.1VLAN概念交換局域網內主機的通信有時需要采用廣播方式，比如在主機啟動后網絡參數初始化過程中需通過廣播方式獲取本機IP參數、或尋找目的主機MAC地址時都會采用廣播方式發(fā)送數據。此外，不少網絡病毒，如ARP病毒也會采用廣播方式發(fā)送大量的垃圾數據。廣播方式是指一臺主機同時向網段中所有的其它計算機發(fā)送信息，廣播方式會占用大量的資源。廣播域是指廣播能夠到達的范圍。集線器或交換機所構成的一個物理局域網，整個網絡屬于同一個廣播域，集線器、網橋和交換機設備都會轉發(fā)廣播幀，因此任何一個廣播幀或多播幀都將被廣播到整個局域網中的每一臺主機。3.2.1VLAN概念在網絡通訊中廣播信息普遍存在，這些廣播將占用大量的網絡帶寬，導致網絡速度和通訊效率的下降，并額外增加了網絡主機為處理廣播信息所產生的負荷。當廣播充斥網絡且無法處理，并占用大量網絡帶寬，導致正常業(yè)務不能運行，甚至徹底癱瘓，這就發(fā)生了“廣播風暴”。當一個局域網的規(guī)模增大、所連主機數量增大時，發(fā)生“廣播風暴”的可能性會增加，且危害性會更大。3.2.1VLAN概念通過在交換機上劃分VLAN，可將一個大的局域網劃分成若干個網段，一個VLAN就是一個網段，每個網段內所有主機間的通訊和廣播僅限于該VLAN內，廣播幀不會被轉發(fā)到其他網段，即一個VLAN就是一個廣播域，VLAN間是不能進行直接通信的，從而就實現了對廣播域的分割和隔離，控制廣播風暴的產生。3.2.2VLAN的優(yōu)點

1、控制廣播風暴：一個VLAN就是一個邏輯廣播域，通過對VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風暴的產生。

2、提高網絡整體安全性：通過訪問控制列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權限和邏輯網段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網絡的整體性能和安全性。3.2.2VLAN的優(yōu)點3、網絡管理簡單、直觀：對于交換式以太網，如果對某些用戶重新進行網段分配，需要網絡管理員對網絡系統(tǒng)的物理結構重新進行調整，甚至需要追加網絡設備，增大網絡管理的工作量。而對于采用VLAN技術的網絡來說，一個VLAN可以根據部門職能、對象組或者應用將不同地理位置的網絡用戶劃分為一個邏輯網段。在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用VLAN技術，大大減輕了網絡管理和維護工作的負擔，降低了網絡維護費用。3.2.3VLAN的劃分方法

1、根據端口來劃分VLAN這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網絡管理員對網絡設備的交換端口進行重新分配即可，不用考慮該端口所連接的設備。默認狀態(tài)下，所有端口都屬于VLAN1。

2、根據MAC地址劃分VLAN這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置它屬于哪個組。這種劃分VLAN方法的最大優(yōu)點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN。這種方法的缺點是初始化時，所有的用戶都必須進行配置，若有幾百個甚至上千個用戶，配置將十分困難。3.2.3VLAN的劃分方法

3、根據網絡層劃分VLAN這種劃分VLAN的方法是根據每個主機的網絡層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據網絡地址，比如IP地址，但它不是路由，與網絡層的路由毫無關系。這種方法的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據協(xié)議類型來劃分VLAN，這對網絡管理者來說很重要，這種方法不需要附加的幀標簽來識別VLAN，這樣可以減少網絡的通信量。這種方法的缺點是效率低，因為檢查每一個數據包的網絡層地址是需要消耗處理時間的(相對于前面兩種方法)，一般的交換機芯片都可以自動檢查網絡上數據包的以太網幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術，同時也更費時。3.2.4VLANTrunk技術通常在企業(yè)的實際應用中，往往不止使用一臺交換機，而是由多臺交換機共同作用，每臺交互機上都劃分VLAN，而這些VLAN可能在多個交換機上時重復的，如圖所示，兩臺二層交換機分布在不同的樓層中，交換機上劃分有相同的VLAN。為了讓連接在不同交換機上的相同VLAN的主機相互通信，就需要使用VLANTrunk協(xié)議。3.2.4VLANTrunk技術VLANTrunk(虛擬局域網中繼技術)，它的作用是讓連接在不同交換機上的相同VLAN中的主機互通。交換機的端口按用途就分為Access端口和Trunk端口兩種。Access端口通常用于連接客戶PC機，以提供網絡接入服務。該種端口只屬于某一個VLAN，并且僅向該VLAN發(fā)送或接收數據幀。Trunk端口通常用于交換機級聯端口，它屬于所有VLAN共有，承載所有VLAN在交換機間的通訊流量。3.2.4VLANTrunk技術把兩臺交換機的級聯端口設置為Trunk端口，當交換機把數據幀從級聯口發(fā)出去的時候，會在數據包中做一個標記（TAG），以使其它交換機識別該數據幀屬于哪一個VLAN，這樣，其它交換機收到這樣一個數據幀后，只會將該數據幀轉發(fā)到標記中指定的VLAN，從而完成了跨越交換機的VLAN內部數據傳輸。3.2.4VLANTrunk技術目前交換機支持的封裝協(xié)議有IEEE802.1Q和ISL。其中IEEE802.1Q是經過IEEE認證的對數據幀附加VLAN識別信息的協(xié)議，屬于國際標準協(xié)議，適用于各個廠商生產的交換機，該協(xié)議通常也簡稱為dot1q。3.2.4VLANTrunk技術ISL是InterSwitchLink的縮寫，是Cisco系列交換機支持的一種與IEEE802.1Q類似的，用于在匯聚鏈路上附加VLAN信息的協(xié)議，可用于以太網和令牌環(huán)網。ISL對數據幀進行封裝時，采取在數據幀的頭部附加26字節(jié)的ISL包頭（ISLHeader），并且在數據幀的尾部帶上對包括ISL包頭在內的整個數據幀進行計算后得到的4字節(jié)的CRC值，即ISL協(xié)議保留數據幀原來的CRC，然后再附加上一個新的CRC，即封裝時總共增加了30個字節(jié)的信息。當數據幀離開匯聚鏈路時，ISL只需簡單地去除ISL包頭和新CRC就可以了，由于數據幀原來的CRC被完整保留，因此無需重新計算。ISL與IEEE802.1Q協(xié)議互不兼容，ISL是Cisco獨有的協(xié)議，只能用于Cisco網絡設備之間的互聯。3.2.5用于配置VLAN的相關命令1、創(chuàng)建一個VLAN的命令及其操作順序①Switch(config)#vlan

vlan-id//輸入一個VLAN號并進入到VLAN配置狀態(tài)②Switch(config-vlan)#namevlan-name//為VLAN取一個名字，這是一個可選命令③Switch(config-vlan)#end//退回到特權模式④Switch#showvlan//查看vlan配置操作示例：創(chuàng)建一個VLAN，其編號為10，將它命名為test。Switch#configureterminalSwitch(config)#vlan10Switch(config-vlan)#nametestSwitch(config-vlan)#endSwitch#showvlan3.2.5用于配置VLAN的相關命令2、刪除一個VLAN的命令①Switch(config)#no

vlan

vlan-id//刪除一個VLAN②Switch(config)#end//退回到特權模式③Switch#showvlan//查看vlan配置操作示例：刪除上一個示例所創(chuàng)建的VLAN10。Switch#configureterminalSwitch(config)#no

vlan10Switch(config)#end

Switch#showvlan3.2.5用于配置VLAN的相關命令3、將端口加入到VLAN中命令①Switch#configureterminal//從特權模式進入到全局配置模式②Switch(config)#interfacetypenumber//進入到要加入到VLAN的端口中③Switch(config-if)#switchportmodeaccess//將端口模式設置為access④Switch(config-if)#switchportaccessvlan

vlan-id//把端口分配給某一個VLAN中⑤Switch(config-if)#end//退回到特權模式⑥Switch#showvlan//查看vlan配置操作示例：將交換機F0/10端口加入VLAN10中。Switch#configureterminalSwitch(config)#interfacef0/10Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#endSwitch#showvlan3.2.5用于配置VLAN的相關命令4、將端口模式設置為Trunk的命令①Switch#configureterminal//從特權模式進入到全局配置模式②Switch(config)#interfacetypenumber//進入到要設置Trunk的端口中③Switch(config-if)#switchportmodetrunk//將端口模式設置為Trunk④Switch(config-if)#end//退回到特權模式操作示例：兩臺交換機劃分有多個VLAN，使用F0/24端口相連，請把F0/24配成Trunk口Switch#configureterminalSwitch(config)#interfacef0/24Switch(config-if)#switchportmodetrunkSwitch(config-if)#end3.3工作任務示例若你是某公司里的網絡管理員，公司有兩幢辦公樓，每幢辦公樓里有一臺可設置的交換機，第一幢樓里的交換機名為SwitchA，第二幢樓里的交換機名為SwitchB。公司現有兩個主要部門：經理部和人事部，經理部門位于第一幢辦公樓里，人事部門分散在兩幢辦公樓里。經理部的計算機PC1連接在SwitchA的F0/10端口并屬于VLAN10，人事部門的計算機PC2和PC3分別連接在SwitchA的F0/20端口和SwitchB的F0/20端口屬于VLAN20，兩臺交換機使用F0/24端口相連。公司領導要求人事部門的計算機PC2和PC3能夠相互訪問，經理部門的PC1不能與人事部門的PC2和PC3相互訪問，請你在交換機上做適當配置來滿足上述要求。3.3工作任務示例具體配置步驟步驟1.在交換機SwitchA上創(chuàng)建Vlan10，并將F0/10端口加入到Vlan10中。Switch#configureterminalSwitch(config)#hostname

SwitchASwitchA(config)#vlan10SwitchA(config-vlan)#namemanagersSwitchA(config-vlan)#exitSwitchA(config)#interfacefastethernet0/10SwitchA(config-if)#switchportmodeaccessSwitchA(config-if)#switchportaccessvlan10SwitchA(config-if)#end具體配置步驟驗證測試：驗證已創(chuàng)建了Vlan10，并將F0/10端口已劃分到Vlan10中。SwitchA#show

vlanid10VLANNameStatusPorts-------------------------------------------------------------------10managersactiveFa0/10具體配置步驟步驟2.在交換機SwitchA

上創(chuàng)建Vlan20，并將F0/20端口劃分到Vlan20中。SwitchA#configureterminalSwitchA(config)#vlan20SwitchA(config-vlan)#nameemployeesSwitchA(config-vlan)#exitSwitchA(config)#interfacefastethernet0/20SwitchA(config-if)#switchportmodeaccessSwitchA(config-if)#switchportaccessvlan20SwitchA(config-if)#end具體配置步驟驗證測試：驗證已創(chuàng)建了Vlan20，并將F0/20端口已劃分到Vlan20中。SwitchA#showvlan

VLANNameStatusPorts---------------------------------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19Fa0/21,Fa0/22,Fa0/23Fa0/2410managersactiveFa0/1020employeesactiveFa0/20具體配置步驟步驟3.把交換機SwitchA

與交換機SwitchB相連的端口F0/24設置為為Trunk模式。SwitchA(config)#interfacefastethernet0/24SwitchA(config-if)#switchportmodetrunkSwitchA(config-if)#end驗證測試：驗證F0/24端口已被設置為Trunk模式。SwitchA#showinterfacesfastEthernet0/24switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists---------------------------------------------------------------------------------------Fa0/24EnabledTrunk11DisabledAll具體配置步驟步驟4.在交換機SwitchB

上創(chuàng)建Vlan20，并將F0/20端口劃分到Vlan20中。Switch#configureterminalSwitch(config)#hostname

SwitchB

SwitchB(config)#vlan20SwitchB(config-vlan)#nameemployeesSwitchB(config-vlan)#exitSwitchB(config)#interface

fastethernet0/20SwitchB(config-if)#switchportmodeaccessSwitchB(config-if)#switchportaccessvlan20SwitchB(config-if)#end具體配置步驟驗證測試：驗證已創(chuàng)建了Vlan20，并將F0/20端口已劃分到Vlan20中。SwitchB#showvlanid20VLANNameStatusPorts-----------------------------------------------------------20employeesactiveFa0/20具體配置步驟步驟5.把交換機SwitchB與交換機SwitchA相連的端口F0/24設置為Trunk模式。SwitchB#configureterminalSwitchB(config)#interface

fastethernet0/24SwitchB(config-if)#switchportmodetrunkSwitchB(config-if)#end驗證測試：驗證F0/24端口已被設置為Trunk模式。SwitchB#showinterfacesfastEthernet0/24switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists-------------------------------------------------------------------------------------Fa0/24EnabledTrunk

11DisabledAll具體配置步驟步驟6.驗證P