項(xiàng)目三網(wǎng)絡(luò)廣播風(fēng)暴的隔離與控制

項(xiàng)目三網(wǎng)絡(luò)廣播風(fēng)暴的隔離與控制紹興職業(yè)技術(shù)學(xué)院史振華教學(xué)目標(biāo)了解廣播域概念；熟悉VLAN概念、優(yōu)點(diǎn)及劃分方式；理解VLAN技術(shù)的工作原理；掌握交換機(jī)VLAN的配置方法；掌握將端口加入到VLAN方法；掌握在多臺(tái)交換機(jī)上實(shí)現(xiàn)相同VLAN內(nèi)主機(jī)間進(jìn)行通信的方法。3.1項(xiàng)目?jī)?nèi)容

某企業(yè)分為行政、財(cái)務(wù)、人事、物流等部門，這些部門通過多臺(tái)交換機(jī)及其相應(yīng)的線路連接到網(wǎng)絡(luò)中心，與網(wǎng)絡(luò)中心的服務(wù)器子網(wǎng)組成了一個(gè)企業(yè)局域網(wǎng)。其中，服務(wù)器子網(wǎng)由企業(yè)采用的各種服務(wù)器，如郵件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、ERP服務(wù)器等組成。由于網(wǎng)絡(luò)病毒或者網(wǎng)絡(luò)設(shè)計(jì)等原因，難免會(huì)產(chǎn)生很多不必要的廣播數(shù)據(jù)流量，導(dǎo)致在企業(yè)網(wǎng)絡(luò)中有可能出現(xiàn)廣播風(fēng)暴。廣播風(fēng)暴會(huì)消耗掉寶貴的網(wǎng)絡(luò)帶寬，降低網(wǎng)絡(luò)的性能。網(wǎng)絡(luò)管理員希望，如果某個(gè)部門里有電腦中了毒，產(chǎn)生了廣播風(fēng)暴，則其只影響該部門所在的網(wǎng)絡(luò)，而不會(huì)影響到其他部門用戶的正常工作，即人事部門網(wǎng)絡(luò)中產(chǎn)生的廣播風(fēng)暴不會(huì)蔓延到行政、財(cái)務(wù)、物流的網(wǎng)絡(luò)中去。同時(shí)，能保證同一部門主機(jī)之間能夠相互訪問，不同部門主機(jī)之間不能隨意相互訪問。本項(xiàng)目的內(nèi)容是通過對(duì)多臺(tái)具有VLAN功能的交換機(jī)，在參數(shù)上進(jìn)行一系列的技術(shù)配置來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)廣播風(fēng)暴的隔離與控制。3.2相關(guān)知識(shí)要實(shí)現(xiàn)“同一部門主機(jī)之間能夠相互訪問，不同部門主機(jī)之間不能隨意相互訪問”，以控制網(wǎng)絡(luò)內(nèi)廣播風(fēng)暴發(fā)生這一功能要求，需要用到虛擬局域網(wǎng)（VLAN）配置的相關(guān)技術(shù)。為了便于掌握和理解具體的配置操作步驟，需要先了解與熟悉虛擬局域網(wǎng)（VLAN）概念、VLAN優(yōu)點(diǎn)、VLAN劃分方式、VLANTrunk協(xié)議、配置VLAN的命令等知識(shí)。3.2.1VLAN概念虛擬局域網(wǎng)（VirtualLocalAreaNetwork）通常簡(jiǎn)稱為VLAN，它是將由多臺(tái)支持VLAN功能交換機(jī)構(gòu)成的局域網(wǎng)在邏輯上劃分為多個(gè)獨(dú)立的網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的一種交換技術(shù)。3.2.1VLAN概念交換局域網(wǎng)內(nèi)主機(jī)的通信有時(shí)需要采用廣播方式，比如在主機(jī)啟動(dòng)后網(wǎng)絡(luò)參數(shù)初始化過程中需通過廣播方式獲取本機(jī)IP參數(shù)、或?qū)ふ夷康闹鳈C(jī)MAC地址時(shí)都會(huì)采用廣播方式發(fā)送數(shù)據(jù)。此外，不少網(wǎng)絡(luò)病毒，如ARP病毒也會(huì)采用廣播方式發(fā)送大量的垃圾數(shù)據(jù)。廣播方式是指一臺(tái)主機(jī)同時(shí)向網(wǎng)段中所有的其它計(jì)算機(jī)發(fā)送信息，廣播方式會(huì)占用大量的資源。廣播域是指廣播能夠到達(dá)的范圍。集線器或交換機(jī)所構(gòu)成的一個(gè)物理局域網(wǎng)，整個(gè)網(wǎng)絡(luò)屬于同一個(gè)廣播域，集線器、網(wǎng)橋和交換機(jī)設(shè)備都會(huì)轉(zhuǎn)發(fā)廣播幀，因此任何一個(gè)廣播幀或多播幀都將被廣播到整個(gè)局域網(wǎng)中的每一臺(tái)主機(jī)。3.2.1VLAN概念在網(wǎng)絡(luò)通訊中廣播信息普遍存在，這些廣播將占用大量的網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)速度和通訊效率的下降，并額外增加了網(wǎng)絡(luò)主機(jī)為處理廣播信息所產(chǎn)生的負(fù)荷。當(dāng)廣播充斥網(wǎng)絡(luò)且無法處理，并占用大量網(wǎng)絡(luò)帶寬，導(dǎo)致正常業(yè)務(wù)不能運(yùn)行，甚至徹底癱瘓，這就發(fā)生了“廣播風(fēng)暴”。當(dāng)一個(gè)局域網(wǎng)的規(guī)模增大、所連主機(jī)數(shù)量增大時(shí)，發(fā)生“廣播風(fēng)暴”的可能性會(huì)增加，且危害性會(huì)更大。3.2.1VLAN概念通過在交換機(jī)上劃分VLAN，可將一個(gè)大的局域網(wǎng)劃分成若干個(gè)網(wǎng)段，一個(gè)VLAN就是一個(gè)網(wǎng)段，每個(gè)網(wǎng)段內(nèi)所有主機(jī)間的通訊和廣播僅限于該VLAN內(nèi)，廣播幀不會(huì)被轉(zhuǎn)發(fā)到其他網(wǎng)段，即一個(gè)VLAN就是一個(gè)廣播域，VLAN間是不能進(jìn)行直接通信的，從而就實(shí)現(xiàn)了對(duì)廣播域的分割和隔離，控制廣播風(fēng)暴的產(chǎn)生。3.2.2VLAN的優(yōu)點(diǎn)

1、控制廣播風(fēng)暴：一個(gè)VLAN就是一個(gè)邏輯廣播域，通過對(duì)VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。

2、提高網(wǎng)絡(luò)整體安全性：通過訪問控制列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。3.2.2VLAN的優(yōu)點(diǎn)3、網(wǎng)絡(luò)管理簡(jiǎn)單、直觀：對(duì)于交換式以太網(wǎng)，如果對(duì)某些用戶重新進(jìn)行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對(duì)于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，一個(gè)VLAN可以根據(jù)部門職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。利用VLAN技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。3.2.3VLAN的劃分方法

1、根據(jù)端口來劃分VLAN這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡(jiǎn)單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。默認(rèn)狀態(tài)下，所有端口都屬于VLAN1。

2、根據(jù)MAC地址劃分VLAN這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)組。這種劃分VLAN方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置，所以可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN。這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，若有幾百個(gè)甚至上千個(gè)用戶，配置將十分困難。3.2.3VLAN的劃分方法

3、根據(jù)網(wǎng)絡(luò)層劃分VLAN這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來說很重要，這種方法不需要附加的幀標(biāo)簽來識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的(相對(duì)于前面兩種方法)，一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。3.2.4VLANTrunk技術(shù)通常在企業(yè)的實(shí)際應(yīng)用中，往往不止使用一臺(tái)交換機(jī)，而是由多臺(tái)交換機(jī)共同作用，每臺(tái)交互機(jī)上都劃分VLAN，而這些VLAN可能在多個(gè)交換機(jī)上時(shí)重復(fù)的，如圖所示，兩臺(tái)二層交換機(jī)分布在不同的樓層中，交換機(jī)上劃分有相同的VLAN。為了讓連接在不同交換機(jī)上的相同VLAN的主機(jī)相互通信，就需要使用VLANTrunk協(xié)議。3.2.4VLANTrunk技術(shù)VLANTrunk(虛擬局域網(wǎng)中繼技術(shù))，它的作用是讓連接在不同交換機(jī)上的相同VLAN中的主機(jī)互通。交換機(jī)的端口按用途就分為Access端口和Trunk端口兩種。Access端口通常用于連接客戶PC機(jī)，以提供網(wǎng)絡(luò)接入服務(wù)。該種端口只屬于某一個(gè)VLAN，并且僅向該VLAN發(fā)送或接收數(shù)據(jù)幀。Trunk端口通常用于交換機(jī)級(jí)聯(lián)端口，它屬于所有VLAN共有，承載所有VLAN在交換機(jī)間的通訊流量。3.2.4VLANTrunk技術(shù)把兩臺(tái)交換機(jī)的級(jí)聯(lián)端口設(shè)置為Trunk端口，當(dāng)交換機(jī)把數(shù)據(jù)幀從級(jí)聯(lián)口發(fā)出去的時(shí)候，會(huì)在數(shù)據(jù)包中做一個(gè)標(biāo)記（TAG），以使其它交換機(jī)識(shí)別該數(shù)據(jù)幀屬于哪一個(gè)VLAN，這樣，其它交換機(jī)收到這樣一個(gè)數(shù)據(jù)幀后，只會(huì)將該數(shù)據(jù)幀轉(zhuǎn)發(fā)到標(biāo)記中指定的VLAN，從而完成了跨越交換機(jī)的VLAN內(nèi)部數(shù)據(jù)傳輸。3.2.4VLANTrunk技術(shù)目前交換機(jī)支持的封裝協(xié)議有IEEE802.1Q和ISL。其中IEEE802.1Q是經(jīng)過IEEE認(rèn)證的對(duì)數(shù)據(jù)幀附加VLAN識(shí)別信息的協(xié)議，屬于國(guó)際標(biāo)準(zhǔn)協(xié)議，適用于各個(gè)廠商生產(chǎn)的交換機(jī)，該協(xié)議通常也簡(jiǎn)稱為dot1q。3.2.4VLANTrunk技術(shù)ISL是InterSwitchLink的縮寫，是Cisco系列交換機(jī)支持的一種與IEEE802.1Q類似的，用于在匯聚鏈路上附加VLAN信息的協(xié)議，可用于以太網(wǎng)和令牌環(huán)網(wǎng)。ISL對(duì)數(shù)據(jù)幀進(jìn)行封裝時(shí)，采取在數(shù)據(jù)幀的頭部附加26字節(jié)的ISL包頭（ISLHeader），并且在數(shù)據(jù)幀的尾部帶上對(duì)包括ISL包頭在內(nèi)的整個(gè)數(shù)據(jù)幀進(jìn)行計(jì)算后得到的4字節(jié)的CRC值，即ISL協(xié)議保留數(shù)據(jù)幀原來的CRC，然后再附加上一個(gè)新的CRC，即封裝時(shí)總共增加了30個(gè)字節(jié)的信息。當(dāng)數(shù)據(jù)幀離開匯聚鏈路時(shí)，ISL只需簡(jiǎn)單地去除ISL包頭和新CRC就可以了，由于數(shù)據(jù)幀原來的CRC被完整保留，因此無需重新計(jì)算。ISL與IEEE802.1Q協(xié)議互不兼容，ISL是Cisco獨(dú)有的協(xié)議，只能用于Cisco網(wǎng)絡(luò)設(shè)備之間的互聯(lián)。3.2.5用于配置VLAN的相關(guān)命令1、創(chuàng)建一個(gè)VLAN的命令及其操作順序①Switch(config)#vlan

vlan-id//輸入一個(gè)VLAN號(hào)并進(jìn)入到VLAN配置狀態(tài)②Switch(config-vlan)#namevlan-name//為VLAN取一個(gè)名字，這是一個(gè)可選命令③Switch(config-vlan)#end//退回到特權(quán)模式④Switch#showvlan//查看vlan配置操作示例：創(chuàng)建一個(gè)VLAN，其編號(hào)為10，將它命名為test。Switch#configureterminalSwitch(config)#vlan10Switch(config-vlan)#nametestSwitch(config-vlan)#endSwitch#showvlan3.2.5用于配置VLAN的相關(guān)命令2、刪除一個(gè)VLAN的命令①Switch(config)#no

vlan

vlan-id//刪除一個(gè)VLAN②Switch(config)#end//退回到特權(quán)模式③Switch#showvlan//查看vlan配置操作示例：刪除上一個(gè)示例所創(chuàng)建的VLAN10。Switch#configureterminalSwitch(config)#no

vlan10Switch(config)#end

Switch#showvlan3.2.5用于配置VLAN的相關(guān)命令3、將端口加入到VLAN中命令①Switch#configureterminal//從特權(quán)模式進(jìn)入到全局配置模式②Switch(config)#interfacetypenumber//進(jìn)入到要加入到VLAN的端口中③Switch(config-if)#switchportmodeaccess//將端口模式設(shè)置為access④Switch(config-if)#switchportaccessvlan

vlan-id//把端口分配給某一個(gè)VLAN中⑤Switch(config-if)#end//退回到特權(quán)模式⑥Switch#showvlan//查看vlan配置操作示例：將交換機(jī)F0/10端口加入VLAN10中。Switch#configureterminalSwitch(config)#interfacef0/10Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#endSwitch#showvlan3.2.5用于配置VLAN的相關(guān)命令4、將端口模式設(shè)置為Trunk的命令①Switch#configureterminal//從特權(quán)模式進(jìn)入到全局配置模式②Switch(config)#interfacetypenumber//進(jìn)入到要設(shè)置Trunk的端口中③Switch(config-if)#switchportmodetrunk//將端口模式設(shè)置為Trunk④Switch(config-if)#end//退回到特權(quán)模式操作示例：兩臺(tái)交換機(jī)劃分有多個(gè)VLAN，使用F0/24端口相連，請(qǐng)把F0/24配成Trunk口Switch#configureterminalSwitch(config)#interfacef0/24Switch(config-if)#switchportmodetrunkSwitch(config-if)#end3.3工作任務(wù)示例若你是某公司里的網(wǎng)絡(luò)管理員，公司有兩幢辦公樓，每幢辦公樓里有一臺(tái)可設(shè)置的交換機(jī)，第一幢樓里的交換機(jī)名為SwitchA，第二幢樓里的交換機(jī)名為SwitchB。公司現(xiàn)有兩個(gè)主要部門：經(jīng)理部和人事部，經(jīng)理部門位于第一幢辦公樓里，人事部門分散在兩幢辦公樓里。經(jīng)理部的計(jì)算機(jī)PC1連接在SwitchA的F0/10端口并屬于VLAN10，人事部門的計(jì)算機(jī)PC2和PC3分別連接在SwitchA的F0/20端口和SwitchB的F0/20端口屬于VLAN20，兩臺(tái)交換機(jī)使用F0/24端口相連。公司領(lǐng)導(dǎo)要求人事部門的計(jì)算機(jī)PC2和PC3能夠相互訪問，經(jīng)理部門的PC1不能與人事部門的PC2和PC3相互訪問，請(qǐng)你在交換機(jī)上做適當(dāng)配置來滿足上述要求。3.3工作任務(wù)示例具體配置步驟步驟1.在交換機(jī)SwitchA上創(chuàng)建Vlan10，并將F0/10端口加入到Vlan10中。Switch#configureterminalSwitch(config)#hostname

SwitchASwitchA(config)#vlan10SwitchA(config-vlan)#namemanagersSwitchA(config-vlan)#exitSwitchA(config)#interfacefastethernet0/10SwitchA(config-if)#switchportmodeaccessSwitchA(config-if)#switchportaccessvlan10SwitchA(config-if)#end具體配置步驟驗(yàn)證測(cè)試：驗(yàn)證已創(chuàng)建了Vlan10，并將F0/10端口已劃分到Vlan10中。SwitchA#show

vlanid10VLANNameStatusPorts-------------------------------------------------------------------10managersactiveFa0/10具體配置步驟步驟2.在交換機(jī)SwitchA

上創(chuàng)建Vlan20，并將F0/20端口劃分到Vlan20中。SwitchA#configureterminalSwitchA(config)#vlan20SwitchA(config-vlan)#nameemployeesSwitchA(config-vlan)#exitSwitchA(config)#interfacefastethernet0/20SwitchA(config-if)#switchportmodeaccessSwitchA(config-if)#switchportaccessvlan20SwitchA(config-if)#end具體配置步驟驗(yàn)證測(cè)試：驗(yàn)證已創(chuàng)建了Vlan20，并將F0/20端口已劃分到Vlan20中。SwitchA#showvlan

VLANNameStatusPorts---------------------------------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19Fa0/21,Fa0/22,Fa0/23Fa0/2410managersactiveFa0/1020employeesactiveFa0/20具體配置步驟步驟3.把交換機(jī)SwitchA

與交換機(jī)SwitchB相連的端口F0/24設(shè)置為為Trunk模式。SwitchA(config)#interfacefastethernet0/24SwitchA(config-if)#switchportmodetrunkSwitchA(config-if)#end驗(yàn)證測(cè)試：驗(yàn)證F0/24端口已被設(shè)置為Trunk模式。SwitchA#showinterfacesfastEthernet0/24switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists---------------------------------------------------------------------------------------Fa0/24EnabledTrunk11DisabledAll具體配置步驟步驟4.在交換機(jī)SwitchB

上創(chuàng)建Vlan20，并將F0/20端口劃分到Vlan20中。Switch#configureterminalSwitch(config)#hostname

SwitchB

SwitchB(config)#vlan20SwitchB(config-vlan)#nameemployeesSwitchB(config-vlan)#exitSwitchB(config)#interface

fastethernet0/20SwitchB(config-if)#switchportmodeaccessSwitchB(config-if)#switchportaccessvlan20SwitchB(config-if)#end具體配置步驟驗(yàn)證測(cè)試：驗(yàn)證已創(chuàng)建了Vlan20，并將F0/20端口已劃分到Vlan20中。SwitchB#showvlanid20VLANNameStatusPorts-----------------------------------------------------------20employeesactiveFa0/20具體配置步驟步驟5.把交換機(jī)SwitchB與交換機(jī)SwitchA相連的端口F0/24設(shè)置為Trunk模式。SwitchB#configureterminalSwitchB(config)#interface

fastethernet0/24SwitchB(config-if)#switchportmodetrunkSwitchB(config-if)#end驗(yàn)證測(cè)試：驗(yàn)證F0/24端口已被設(shè)置為Trunk模式。SwitchB#showinterfacesfastEthernet0/24switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists-------------------------------------------------------------------------------------Fa0/24EnabledTrunk

11DisabledAll具體配置步驟步驟6.驗(yàn)證P