項目3在交換機上構建安全隔離的部門間網絡

1、模塊二、組建安全隔離的小型局域網,項目3：在交換機上構建安全隔離的部門間網絡,項目4：構建基于VLAN中繼協(xié)議隔離的局域網,3.1 用戶需求,項目3：在交換機上構建安全隔離的部門間網絡,某學院計算機系、機電工程系、財務處、學生機房分組建了自己的局域網，其中在信息大樓主要為計算機系辦公場所，機電大樓為機電工程系辦公大樓，實驗中心為學生機房，并且有計算機系和財務處辦公場所，財務處在學校辦公樓辦公。隨著學校信息化建設的深入，人員交流越來越頻繁，在各個辦公場所都可能出現(xiàn)其它部門的人員。為了網絡安全，把計算機系、機電工程系、財務處、學生機房各自分別位于不同的子網，并且部門內部可以互相訪問。,3.2 相關

2、知識,項目3：在交換機上構建安全隔離的部門間網絡,3.2.1 VLAN簡介,3.2.2 靜態(tài)VLAN配置,3.2.3 部署VLAN,3.2.4 VLAN中繼,3.2.5 標識VLAN幀,3.2.6 VLAN數(shù)據(jù)幀的傳輸,3.2.7 配置VLAN中繼,1.2 相關知識,3.2.1 VLAN簡介,1.虛擬局域網的概念,項目3：在交換機上構建安全隔離的部門間網絡,虛擬局域網（Virtual LAN，簡稱VLAN）是一種邏輯廣播域，可以跨越多個物理LAN網段。VLAN是以局域網交換機為基礎，通過交換機軟件實現(xiàn)根據(jù)功能、部門、應用等因素將設備或用戶組成虛擬工作組或邏輯網段的技術，其最大的特點是在組成邏輯

3、網時無須考慮用戶或設備在網絡中的物理位置。虛擬局域網可以在一個交換機或者跨交換機實現(xiàn)。 VLAN一般基于工作功能、部門或項目團隊來邏輯地分割交換網絡，而不管使用者在網絡中的物理位置。同組內全部的工作站和服務器在同一VLAN內，不管物理連接和位置在哪里。,1.2 相關知識,3.2.1 VLAN簡介,1.虛擬局域網的概念,項目3：在交換機上構建安全隔離的部門間網絡,VLAN是一個邏輯上獨立的IP子網。多個IP網絡和子網可以通過VLAN存在于同一個交換網絡上。 在IEEE802.1Q標準中對虛擬局域網是這樣定義的：虛擬局域網是由一些局域網網段構成的與物理位置無關的邏輯組，而這些網段具有某些共同的需求

4、。每一個虛擬局域網的幀都有一個明確的標識符，指明發(fā)送這個幀的工作站是屬于哪一個VLAN。利用以太網交換機可以很方便地實現(xiàn)虛擬局域網。虛擬局域網其實只是局域網給用戶提供的一種服務，而并不是一種新型局域網。,1.2 相關知識,3.2.1 VLAN簡介,項目3：在交換機上構建安全隔離的部門間網絡,1.2 相關知識,3.2.1 VLAN簡介,1.虛擬局域網的概念,項目3：在交換機上構建安全隔離的部門間網絡,圖3.2中使用了四個交換機的網絡拓撲結構。有9臺計算機分布在三個樓層中，構成了三個局域網，即： LAN1：（A1，B1，C1），LAN2：（A2，B2，C2），LAN3：（A3，B3，C3）。 但這

5、9個用戶劃分為三個工作組，也就是說劃分為三個虛擬局域網VLAN。即： VLAN1：（A1，A2，A3），VLAN2：（B1，B2，B3），VLAN3：（C1，C2，C3）。,1.2 相關知識,3.2.1 VLAN簡介,2. VLAN的優(yōu)點,項目3：在交換機上構建安全隔離的部門間網絡,（1）有利于優(yōu)化網絡性能,（2）提高了網絡的安全性,（3）便于對網絡進行管理和控制,（4）提供了基于第二層的通信優(yōu)先級服務,1.2 相關知識,3.2.1 VLAN簡介,3. VLAN成員資格模式,項目3：在交換機上構建安全隔離的部門間網絡,（1）靜態(tài)VLAN 由網絡管理員以手工方式將交換機端口分配給VLAN，因此是

6、靜態(tài)的。即在交換機上將其某一個端口分配給特定VLAN，在這種情況下，VLAN是基于物理交換機端口的，終端用戶設備根據(jù)其連接的物理端口被分配到相應的VLAN中，并且將一直保持不變直到網絡管理員改變這種配置，所以又被稱為基于端口的VLAN，是目前實現(xiàn)VLAN的主要方法。,1.2 相關知識,3.2.1 VLAN簡介,3. VLAN成員資格模式,項目3：在交換機上構建安全隔離的部門間網絡,（1）靜態(tài)VLAN 網絡管理員以手工方式將交換機端口分配給VLAN時，每個端口獲得一個端口VLAN ID，將其同VLAN號關聯(lián)起來。可將同一臺交換機上的端口分成多個VLAN。即使兩臺計算機連接到同一臺交換機，如果它們

7、連接的是屬于不同VLAN的端口，數(shù)據(jù)流也不會在它們之間傳輸。為執(zhí)行這項功能，可使用第3層設備來路由分組，也可使用外部的第2層設備在兩個VLAN之間橋接分組。,1.2 相關知識,3.2.1 VLAN簡介,3. VLAN成員資格模式,項目3：在交換機上構建安全隔離的部門間網絡,（1）靜態(tài)VLAN 基于端口的VLAN也就是根據(jù)以太網交換機的端口來劃分廣播域。即分配在同一個VLAN的端口共享廣播域（一個站點發(fā)送希望所有站點接收的廣播信息，同一VLAN中的所有站點都可以聽到），分配在不同VLAN的端口不共享廣播域。虛擬局域網既可以在單臺交換機中實現(xiàn)，也可以跨越多個交換機。終端設備連接到端口時，自動獲得V

8、LAN連接性。,1.2 相關知識,3.2.1 VLAN簡介,3. VLAN成員資格模式,項目3：在交換機上構建安全隔離的部門間網絡,（2）動態(tài)VLAN 動態(tài)VLAN是指交換機上以連網用戶的MAC地址、邏輯地址（如IP地址）或數(shù)據(jù)包協(xié)議等信息為基礎將交換機端口動態(tài)分配給VLAN的方式。總之，不管以何種機制實現(xiàn)，分配在同一個VLAN的所有主機共享一個廣播域，而分配在不同VLAN的主機將不會共享廣播域。也就是說，只有位于同一VLAN中的主機才能直接相互通信，而位于不同VLAN中的主機之間是不能直接相互通信的。,1.2 相關知識,3.2.2 靜態(tài)VLAN配置,1.VLAN ID范圍,項目3：在交換機上

9、構建安全隔離的部門間網絡,在建立VLAN之前，必須考慮是否使用VLAN干線協(xié)議（VLAN trunk protocol，VTP）來為你的網絡進行全局VLAN的配置。在本項目中不使用VTP干線協(xié)議。,首先，如果VLAN不存在，必須在交換機上創(chuàng)建它。然后將交換機端口分配給VLAN。VLAN總是使用VLAN ID號來引用的。VLAN ID在數(shù)字上分為普通范圍和擴展范圍。,1.2 相關知識,3.2.2 靜態(tài)VLAN配置,1.VLAN ID范圍（1）普通范圍的 VLAN,項目3：在交換機上構建安全隔離的部門間網絡,普通范圍的VLAN具有以下特點： 用于中小型商業(yè)網絡和企業(yè)網絡。 VLAN ID范圍為1到

10、1005。從1002到1005的ID保留供令牌環(huán)VLAN和FDDI VLAN使用。 ID 1和ID 1002到1005是自動創(chuàng)建的，不能刪除。 配置存儲在名為vlan.dat的VLAN數(shù)據(jù)庫文件中，vlan.dat文件則位于交換機的閃存中。 用于管理交換機之間VLAN配置的VLAN中繼協(xié)議(VTP)只能識別普通范圍的VLAN，并將它們存儲到VLAN數(shù)據(jù)庫文件中。,1.2 相關知識,3.2.2 靜態(tài)VLAN配置,1.VLAN ID范圍（2）擴展范圍的VLAN,項目3：在交換機上構建安全隔離的部門間網絡,為與IEEE 802.1Q標準兼容，Cisco Catalyst IOS還支持擴展的VLAN編

11、號。 可讓服務提供商擴展自己的基礎架構以適應更多的客戶。某些跨國企業(yè)的規(guī)模很大，從而需要使用擴展范圍的VLAN ID。 VLAN ID 范圍從1006到4094。 支持的VLAN功能比普通范圍的VLAN更少。 保存在運行配置文件中。 VTP無法識別擴展范圍的VLAN。,1.2 相關知識,3.2.2 靜態(tài)VLAN配置,2. 配置靜態(tài)VLAN,項目3：在交換機上構建安全隔離的部門間網絡,（1）配置VLAN 的ID和名字 配置VLAN最常見的方法是在每個交換機上手工指定端口LAN映射。在全局配置模式下使用VLAN命令。 Switch(config)#vlan vlan-id 其中：Vlan-id是配

12、置要被添加的VLAN的ID，如果要安裝增強的軟件版本，范圍為14096，如果安裝的是標準的軟件版本，范圍為11005。每一個VLAN都有一個唯一的4位的ID（范圍：00011005）。 Switch(config-vlan)#name vlan-name 定義一個VLAN的名字，可以使用132個ASCII字符，但是必須保證這個名稱在管理域中是唯一的。,1.2 相關知識,3.2.2 靜態(tài)VLAN配置,2. 配置靜態(tài)VLAN,項目3：在交換機上構建安全隔離的部門間網絡,（2）分配端口 在新創(chuàng)建一個VLAN之后，可以為之手工分配一個端口號或多個端口號。一個端口只能屬于唯一一個VLAN。這種為VLAN

13、分配端口號的方法稱為靜態(tài)接入端口。 在接口配置模式下，分配VLAN端口命令為： Switch(config)#interface type mod/num Switch(config-if)#switchport Switch(config-if)#switchport mode Switch(config-if)#switchport access vlan vlan-id 默認情況下，所有的端口都屬于VLAN 1。,1.2 相關知識,3.2.2 靜態(tài)VLAN配置,3. 檢驗VLAN配置,項目3：在交換機上構建安全隔離的部門間網絡,配置VLAN后，可以使用Cisco IOS show命令檢驗

14、VLAN配置。 switch#show vlan brief | id vlan-id | name vlan-name | summary switch#show interfaces interface-id | vlan vlan-id | switchport,1.2 相關知識,3.2.2 靜態(tài)VLAN配置,4. 添加、更改和刪除VLAN,項目3：在交換機上構建安全隔離的部門間網絡,為了把一個端口移到一個不同的VLAN中，要用一個和初始配置相同的命令。在接口配置模式下使用switchport access命令來執(zhí)行這項功能。無須將端口移出VLAN來實現(xiàn)這項轉換。 在接口配置模式下，使用

15、no switchport access vlan 命令，可以將該端口重新分配到默認VLAN（VLAN 1）中。,1.2 相關知識,3.2.3 部署VLAN,1. 端到端VLAN,項目3：在交換機上構建安全隔離的部門間網絡,端到端VLAN也稱園區(qū)級VLAN，它跨越整個網絡的交換結構，用于為終端設備提供最大的機動性和靈活性。無論位于什么位置，都可以將其分配到VLAN。用戶在園區(qū)內移動時，其VLAN成員資格保持不變。這意味著必須使VLAN在每個交換模塊的接入層都是可用的。 端到端VLAN應根據(jù)需求將用戶分組，在同一個VLAN中，所有用戶的流量模式都必須大致相同，并遵循8020規(guī)則。即，大約80的用

16、戶流量是在本地工作組內，只有20前往園區(qū)網中的遠程資源。雖然，在VLAN中只有20的流量將通過網絡核心，但端到端VLAN使得VLAN內的所有流量都可能通過網絡核心。,1.2 相關知識,3.2.3 部署VLAN,2.本征VLAN,項目3：在交換機上構建安全隔離的部門間網絡,目前，大多數(shù)企業(yè)得基本符合2080規(guī)則，即只有20的流量是本地的，80的流量將穿過核心層前往遠程資源。終端用戶經常需要訪問其VLAN外面的資源，用戶必須頻繁地經過網絡核心。在這種網絡中，應根據(jù)地理位置來設計VLAN，而不考慮離開VLAN的流量。 本征VLAN的規(guī)模可以小到配線間中的單臺交換機，也可大到整棟建筑物。通過這種方式安

17、排VLAN，可以在園區(qū)網中使用第3層功能來智能處理VLAN之間流量負載。這種方案提供了最高的可用性（使用多條前往目的地的路徑）、最高的擴展性（將VLAN限制在交換模塊內）和最高的可管理性。,1.2 相關知識,3.2.4 VLAN中繼,項目3：在交換機上構建安全隔離的部門間網絡,1.2 相關知識,3.2.4 VLAN中繼,項目3：在交換機上構建安全隔離的部門間網絡,1.2 相關知識,3.2.4 VLAN中繼,項目3：在交換機上構建安全隔離的部門間網絡,用于實現(xiàn)各VLAN在交換機間通信的鏈路，稱為VLAN中繼（trunk），中繼是兩臺網絡設備之間的點對點鏈路，負責傳輸多個 VLAN 的流量。,1.

18、2 相關知識,3.2.5 標識VLAN幀,項目3：在交換機上構建安全隔離的部門間網絡,標識VLAN幀,交換機間鏈路（ISL）協(xié)議,IEEE 802.1Q協(xié)議,1.2 相關知識,3.2.5 標識VLAN幀,1. 交換機間鏈路（ISL）協(xié)議,項目3：在交換機上構建安全隔離的部門間網絡,交換機間鏈路（ISL）協(xié)議是Cisco公司私有的協(xié)議，當有數(shù)據(jù)在多個交換機間流動的時候，它控制VLAN信息并且使這些交換機互聯(lián)起來。 ISL是專用的用于在Trunk鏈路上標記不同VLAN數(shù)據(jù)流的一種數(shù)據(jù)鏈路層協(xié)議。通過在中繼鏈路上配置ISL使得來自不同VLAN的數(shù)據(jù)流能夠復用該鏈路。ISL工作在數(shù)據(jù)鏈路層，即在第2層

19、執(zhí)行幀標識：使用幀頭和幀尾來封裝幀。通過重新封裝數(shù)據(jù)幀以獲得獨立于協(xié)議的能力。配置了ISL的Cisco交換機和路由器都能處理和識別ISL VLAN信息。ISL主要用于以太網介質。,1.2 相關知識,3.2.5 標識VLAN幀,1. 交換機間鏈路（ISL）協(xié)議,項目3：在交換機上構建安全隔離的部門間網絡,1.2 相關知識,3.2.5 標識VLAN幀,2. IEEE 802.1Q協(xié)議,項目3：在交換機上構建安全隔離的部門間網絡,IEEE 802.1q也在中繼鏈路上使用本征VLAN，屬于該VLAN的幀不使用任何標記信息進行封裝。如果終端連接的是802.1Q中繼鏈路,它將只能夠接收和理解本征VLAN幀

20、。這樣，為能夠理解802.1Q的設備提供了完整的中繼封裝，同時通過中繼鏈路為常規(guī)接入設備提供了固有的連接性。 對于以太網幀，802.1Q在幀格式中源地址字段后面插入一個4字節(jié)的標識符，稱為VLAN標記，也稱為tag域，用來指明發(fā)送該幀的工作站屬于哪一個VLAN。如圖3.8所示。如果還使用傳統(tǒng)的以太網幀格式，那么就無法劃分VLAN。,1.2 相關知識,3.2.5 標識VLAN幀,2. IEEE 802.1Q協(xié)議,項目3：在交換機上構建安全隔離的部門間網絡,1.2 相關知識,3.2.5 標識VLAN幀,3. 動態(tài)中繼協(xié)議,項目3：在交換機上構建安全隔離的部門間網絡,在Catalyst交換機上，可以

21、手工將中繼鏈路配置為ISL或802.1Q模式。另外，Cisco還實現(xiàn)了一種點到點協(xié)議，被稱為動態(tài)中繼協(xié)議（DTP），他在兩臺交換機之間協(xié)商一種雙方都支持的中繼模式。協(xié)商包括封裝（ISL或802.1Q）以及是否將鏈路作為中繼鏈路。這樣就不需進行大量的手工配置和管理，就能夠使用中繼鏈路。,1.2 相關知識,3.2.6 VLAN數(shù)據(jù)幀的傳輸,項目3：在交換機上構建安全隔離的部門間網絡,目前任何主機都不支持帶有Tag域的以太網數(shù)據(jù)幀，即主機只能發(fā)送和接收標準的以太網數(shù)據(jù)幀，而將VLAN數(shù)據(jù)幀視為非法數(shù)據(jù)幀。所以支持VLAN的交換機在與主機和交換機進行通信時，需要區(qū)別對待。當交換機將數(shù)據(jù)發(fā)送給主機時，必

22、須檢查該數(shù)據(jù)幀，并刪除tag域。而發(fā)送給交換機時，為了讓對端交換機能夠知道數(shù)據(jù)幀的VLAN ID，它應該給從主機接收到的數(shù)據(jù)幀增加一個tag域后再發(fā)送，其數(shù)據(jù)幀傳輸過程中的變化如圖3.9所示。,1.2 相關知識,3.2.6 VLAN數(shù)據(jù)幀的傳輸,項目3：在交換機上構建安全隔離的部門間網絡,1.2 相關知識,3.2.6 VLAN數(shù)據(jù)幀的傳輸,項目3：在交換機上構建安全隔離的部門間網絡,當交換機接收到某數(shù)據(jù)幀時，交換機根據(jù)數(shù)據(jù)幀中的tag域或者接收端口的缺省VLAN ID來判斷該數(shù)據(jù)幀應該轉發(fā)到哪些端口，如果目標端口連接的是普通主機，則刪除Tag域（如果數(shù)據(jù)幀中包含tag域）后再發(fā)送數(shù)據(jù)幀；如果目

23、標端口連接的是交換機，則添加Tag域（如果數(shù)據(jù)幀中不包含tag域）后再發(fā)送數(shù)據(jù)幀。為了保證在交換機之間的trunk鏈路上能夠接入普通主機，以太網將還能夠當檢查到數(shù)據(jù)幀的VLAN ID和Trunk端口的缺省VLAN ID 相同時，數(shù)據(jù)幀不會被增加tag域。而到達對端交換機后，交換機發(fā)現(xiàn)數(shù)據(jù)幀中沒有tag域時，就認為該數(shù)據(jù)幀為接收端口的缺省VLAN數(shù)據(jù)。,1.2 相關知識,3.2.6 VLAN數(shù)據(jù)幀的傳輸,項目3：在交換機上構建安全隔離的部門間網絡,根據(jù)交換機處理數(shù)據(jù)幀的不同，可以將交換機的端口分為兩類： Access端口：只能傳送標準以太網幀的端口，一般是指那些連接不支持VLAN技術的端設備的接

24、口，這些端口接收到的數(shù)據(jù)幀都不包含VLAN標簽，而向外發(fā)送數(shù)據(jù)幀時，必須保證數(shù)據(jù)幀中不包含VLAN標簽。 Trunk端口：既可以傳送有VLAN標簽的數(shù)據(jù)幀也可以傳送標準以太網幀的端口，一般是指那些連接支持VLAN技術的網絡設備（如交換機）的端口，這些端口接收到的數(shù)據(jù)幀一般都包含VLAN標簽（數(shù)據(jù)幀VLAN ID和端口缺省VLAN ID相同除外），而向外發(fā)送數(shù)據(jù)幀時，必須保證接收端能夠區(qū)分不同VLAN的數(shù)據(jù)幀，故常常需要添加VLAN標簽（數(shù)據(jù)幀VLAN ID和端口缺省VLAN ID相同除外）。,1.2 相關知識,3.2.7 配置VLAN中繼,1.配置VLAN中繼,項目3：在交換機上構建安全隔離的

25、部門間網絡,（1）switch(config)#interface type mod/num （2） 要支持中繼，交換機端口必須處于第2層模式。要設置為第2層模式，可執(zhí)行命令switchport，并不指定任何關鍵字。 switch(config-if)#switchport （3）switch(config-if)#switchport trunk encapsulateion ISL | dot1q | negotiate （4）switch(config-if)#switchport mode trunk | dynamic desirable | auto ,1.2 相關知識,3.2.7

26、 配置VLAN中繼,2. 靜態(tài)指定trunk鏈路中的VLAN,項目3：在交換機上構建安全隔離的部門間網絡,（1）設置不允許通過trunk鏈路的VLAN 在配置前，首先應使用interface配置命令選中trunk鏈路端口，然后再從trunk鏈路中刪除指定的VLAN，即不允許這些VLAN的通信流量通過trunk鏈路。配置命令為： Switch(config)#interface type mod/port Switch(config-if)#switchport trunk allowed vlan remove vlan-list,1.2 相關知識,3.2.7 配置VLAN中繼,2. 靜態(tài)指定

27、trunk鏈路中的VLAN,項目3：在交換機上構建安全隔離的部門間網絡,例如，從cisco 3550的端口2是trunk鏈路端口，現(xiàn)要將VLAN 2和VLAN 5從trunk鏈路中刪除，則配置命令為： switch3550(config)#interface fastethernet0/2 switch3550(config-if)#switchport trunk allowed vlan remove 2,5 若要在trunk鏈路中刪除100200號VLAN的流量，則配置命令為： switch3550(config-if)#switchport trunk allowed vlan rem

28、ove 100 - 200,1.2 相關知識,3.2.7 配置VLAN中繼,2. 靜態(tài)指定trunk鏈路中的VLAN,項目3：在交換機上構建安全隔離的部門間網絡,（2）設置允許通過trunk鏈路的VLAN 配置命令為： Switch(config)#interface type mod/port Switch(config-if)#switchport trunk allowed vlan add vlan-list 其中：vlan-list表示要刪除的VLAN號列表，各VLAN之間用逗號進行分隔。 或Switch(config-if)#switchport trunk allowed vla

29、n except vlan-list 其中：except vlan-list是指除列出的vlan-id以外的所有。,1.2 相關知識,3.2.7 配置VLAN中繼,2. 靜態(tài)指定trunk鏈路中的VLAN,項目3：在交換機上構建安全隔離的部門間網絡,例如，從cisco 3550的端口2是trunk鏈路端口，現(xiàn)要添加允許VLAN 2和VLAN 5的通信流量通過，則配置命令為： switch3550(config)#interface fastethernet0/2 switch3550(config-if)# switchport trunk allowed vlan add 2,5 若要配置t

30、runk鏈路僅允許VLAN 2、VLAN 5和VLAN 7通過，則配置命令為： switch3550(config)#interface fastethernet0/2 switch3550(config-if)# switchport trunk allowed vlan remove 21001 switch3550(config-if)# switchport trunk allowed vlan add 2,5,7 若要設置允許所有的VLAN通過trunk鏈路，則配置命令為： switch3550(config-if)# switchport trunk allowed vlan al

31、l22,1.2 相關知識,3.2.7 配置VLAN中繼,3. 靜態(tài)指定trunk鏈路中的VLAN,項目3：在交換機上構建安全隔離的部門間網絡,Switch(config-if)#switchport trunk native vlan vlan-list,4.檢驗中繼配置,Switch#show interfaces interface-ID switchport,5.管理中繼配置,switch (config-if)#no switchport trunk allowed switch (config-if)#no switchport trunk native vlan switch (c

32、onfig-if)#switchport mode,1.2 相關知識,3.3 方案設計,項目3：在交換機上構建安全隔離的部門間網絡,為了讓實驗中心的計算機系用戶能夠與信息大樓計算機系用戶在同一子網，實驗中心的財務處用戶能夠辦公樓財務處用戶的在同一子網，實現(xiàn)網絡互通性。這時就需要將實驗中心和辦公樓的交換機更改為可網管的交換機（支持VLAN），將計算機系和財務處的各自所有用戶（三座辦公樓）劃分在同一VLAN內。這樣就可以實現(xiàn)不在同一辦公場所的部門內部網絡的互聯(lián)互通及資源共享。辦公樓和機電大樓的交換機為不可網管的交換機。創(chuàng)建4個VLAN，分別屬于計算機系、機電工程系、財務處和學生機房等。這樣就可以在

33、信息大樓和實驗中心兩座大樓內實現(xiàn)不同VLAN內用戶的互聯(lián)互通，即實現(xiàn)了部門內網絡的互通性。實驗中心、辦公樓和機電大樓的交換機均通過光纜與光電轉換器與信息大樓的交換機相連。如圖3.10所示。,1.2 相關知識,3.3 方案設計,項目3：在交換機上構建安全隔離的部門間網絡,1.2 相關知識,3.4 項目實施：在交換機上劃分VLAN技術,3.4.1 項目目標,項目3：在交換機上構建安全隔離的部門間網絡,通過項目的完成，使學生可以掌握以下技能： （1）能夠實現(xiàn)跨交換機上實現(xiàn)VLAN方法； （2）能夠掌握將交換機端口分配到VLAN中的操作技巧。,3.4.2 項目任務,為了在實訓室中模擬本項目的實施，搭建

34、如圖3.11所示的實訓網絡拓撲環(huán)境。在信息大樓、實驗中心辦公樓的交換機采用Cisco Catslyst2960交換機，實現(xiàn)網管功能，機電大樓的交換機也采用Cisco Catslyst2960交換機，但作為傻瓜交換機使用，也可采用另外的傻瓜交換機。實驗中心、辦公樓和機電大樓的交換機均通過光纜與光電轉換器與信息大樓的交換機相連均采用雙絞線將交換機直接連接起來。,1.2 相關知識,3.4 項目實施：在交換機上劃分VLAN技術,項目3：在交換機上構建安全隔離的部門間網絡,1.2 相關知識,3.4 項目實施：在交換機上劃分VLAN技術,項目3：在交換機上構建安全隔離的部門間網絡,3.4.2 項目任務,（

35、1）網絡中各交換狀機、計算機等的名稱、口令、IP地址、子網掩碼、網關、VLAN號等的詳細規(guī)劃，交換機端口VLAN的劃分。 （2）設置交換機的名稱，口令、管理地址。 （3）各部門VLAN劃分。 （4）配置中繼鏈路 （5）各交換機端口VLAN成員分配。,1.2 相關知識,3.4 項目實施：在交換機上劃分VLAN技術,項目3：在交換機上構建安全隔離的部門間網絡,3.4.3設備清單,為了搭建如圖3.11所示的網絡環(huán)境，需要如下的設備清單。 （1）Cisco Catalst 2960交換機（3臺）； （2）Cisco Catalst 2960交換機（1臺，做傻瓜交換機用，不進行任何配置）； （3）PC機

36、8臺； （4）雙絞線（若干根）； （5）反轉電纜一根。,1.2 相關知識,3.4 項目實施：在交換機上劃分VLAN技術,項目3：在交換機上構建安全隔離的部門間網絡,3.4.4 實施過程-步驟1：規(guī)劃與設計,（1）規(guī)劃計算機IP地址、子網掩碼、網關,項目3：在交換機上構建安全隔離的部門間網絡,3.4.4 實施過程-步驟1：規(guī)劃與設計,（2）規(guī)劃各場所交換機名稱，端口所屬VLAN以及連接的計算機,項目3：在交換機上構建安全隔離的部門間網絡,3.4.4 實施過程-步驟1：規(guī)劃與設計,（3）各交換機之間的連接關系,項目3：在交換機上構建安全隔離的部門間網絡,3.4.4 實施過程-,步驟2：實訓環(huán)境準備

37、 （1）硬件連接。在交換機和計算機斷電的狀態(tài)下，按照圖3.11、表3-3和表3-4所示連接硬件。交換機接口之間的連接采用交叉線。 （2）分別打開設備，給設備加電。 步驟3：按照表3-2所列設置各計算機的IP地址、子網掩碼、默認網關。,項目3：在交換機上構建安全隔離的部門間網絡,3.4.4 實施過程-,步驟4：清除交換機配置 （1）清除交換機的啟動配置； switch#erase startup-config （2）刪除交換機VLAN。 交換機的VLAN配置信息保存在閃存的vlan.dat文件中，要想刪除VLAN，必須刪除閃存中的vlan.dat文件。 Switch#show flash: Di

38、rectory of flash:/ 1 -rw- 4414921 c2960-lanbase-mz.122-25.FX.bin 2 -rw- 616 vlan.dat 64016384 bytes total (59600847 bytes free) Switch#delete vlan.dat Delete filename vlan.dat? Delete flash:/vlan.dat? confirm Switch#,項目3：在交換機上構建安全隔離的部門間網絡,3.4.4 實施過程-,步驟5：測試連通性 使用Ping命令分別測試PC11、PC12、PC21、PC22、PC31、PC

39、32、PC41、PC42這8臺計算機之間的連通性. 步驟6：配置交換機Jisjsw （1）配置信息大樓的交換機的主機名為jisjsw （2）在交換機jisjsw創(chuàng)建VLAN 10、20、30、99 （3）按照表3-3分配交換機Jisjsw端口VLAN （4） 查看jisjsw的VLAN配置 jisjsw#show vlan,項目3：在交換機上構建安全隔離的部門間網絡,3.4.4 實施過程-,步驟7：配置辦公樓的交換機 （1）配置辦公樓交換機的主機名為banglsw （2）在交換機banglsw創(chuàng)建VLAN10、20、30、99 （3）按照表3-3分配交換機banglsw端口VLAN （4） 查

40、看banglsw的VLAN配置 步驟8：配置實驗中心的交換機 （1）配置實驗中心交換機的主機名為shiyfsw（略） （2）在交換機shiyfsw創(chuàng)建VLAN10、30、40、99（略） （3）按照表3-3分配交換機shiysw端口VLAN（略） （4）查看shiyfsw的VLAN配置（略）,項目3：在交換機上構建安全隔離的部門間網絡,3.4.4 實施過程-,步驟9：測試 使用Ping命令分別測試PC11、PC12、PC21、PC22、PC31、PC32、PC41、PC42這8臺計算機之間的連通性。 步驟10：配置Jisjsw和banglsw、shiysw之間的中繼 （1）將交換機jisjsw

41、的端口（g1/1、f0/1）定義為中繼鏈路。 jisjsw(config)#interface gigabitEthernet 1/1 jisjsw(config-if)#description link to banglsw-g1/1 jisjsw(config-if)#switchport mode trunk jisjsw(config-if)#no shutdown jisjsw(config-if)#exit jisjsw(config)#interface fastEthernet 0/1 jisjsw(config-if)#description link to shiysw-f

42、0/1 jisjsw(config-if)#switchport mode trunk ,項目3：在交換機上構建安全隔離的部門間網絡,3.4.4 實施過程-,jisjsw#show interfaces trunk Port Mode Encapsulation Status Native vlan Fa0/1 on 802.1q trunking 1 Gig1/1 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/1 1-1005 Gig1/1 1-1005 Port Vlans allowed and active in manage

43、ment domain Fa0/1 1,10,20,30,99 Gig1/1 1,10,20,30,99 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1,10,20,30,99 Gig1/1 1,10,20,30,99 Jisjsw#,項目3：在交換機上構建安全隔離的部門間網絡,3.4.4 實施過程-,（2） 將交換機shiysw(f0/1)和交換機banglsw的端口（g1/1），定義為中繼鏈路。 banglsw(config)#interface gigabitEthernet 1/1 banglsw(

44、config-if)#description link to jisjsw-g1/1 banglsw(config-if)#switchport mode trunk banglsw(config-if)#no shutdown banglsw(config-if)#end banglsw#write shiysw(config)#interface fastEthernet 0/1 ,項目3：在交換機上構建安全隔離的部門間網絡,3.4.4 實施過程-,步驟11：項目測試 （1）使用Ping命令分別測試PC11、PC12、PC21、PC22、PC31、PC32、PC41、PC42這8臺計算機之

45、間的連通性。 （2）分別打開交換機jisjsw和交換機switch2，查看交換機的配置信息 Jisjsw#show running-config banglsw#show running-config shiysw#show running-config 步驟12：配置交換機口令 配置各交換機遠程登錄口令、超級口令和控制臺登錄口令(略)。,項目3：在交換機上構建安全隔離的部門間網絡,3.4.4 實施過程-,步驟13：配置遠程管理 （1）將PC11（也可以另外接一臺計算機）接到交換機jisjsw的端口f0/24上，IP地址改為192.168.100.100/24，網關為192.168.100.1

46、。 （2）配置交換機jisjsw管理地址，管理VLAN，端口f0/24所屬VLAN jisjsw(config)#interface vlan 99 jisjsw(config-if)#ip address 192.168.100.201 255.255.255.0 jisjsw(config)#ip default-gateway 192.168.100.1 jisjsw(config-if)#exit jisjsw(config)# （3） 測試PC11和交換機jisjsw的遠程管理地址的連通性， PCping 192.168.100.201 . PCtelnet 192.168.100.201,項目3：在交換機上構建安全隔離的部門間網絡,3.4.4 實施過程-,