《网络设备安全》课件第3章 虚拟局域网VLAN

培养目标知识目标：理解虚拟局域网的概念、用途和优点理解虚拟局域网的类型掌握802.1Q标准掌握VLAN的配置方法掌握Trunk的配置方法能力目标：在交换机上划分基于端口的VLAN。给VLAN内添加端口。一、知识准备知识准备VLAN概述VLAN的定义方法VLAN的标准VLAN和Trunk的配置准备知识（一）VLAN概述为什么需要分割广播域？交换网络是平面网络结构，必须依赖广播广播域过大会导致：带宽浪费安全性降低不易管理分割广播域的方法使用路由器连接多个子网使用虚拟局域网VLANVLAN的概念虚拟局域网（VirtualLocalAreaNetwork，VLAN）位于一个或多个局域网的设备经过配置能够像连接到同一个信道那样进行通信，而实际上它们分布在不同的局域网段中，采用逻辑上划分方式而不是物理划分网段的方式。交换机广播帧广播帧VLAN10VLAN20VLAN的概念VLAN的特点：基于逻辑的分组不受物理位置限制在同一VLAN内和真实局域网相同不同VLAN内用户要通信需要借助三层设备VLAN的用途控制不必要的广播报文的扩散提高网络带宽利用率，减少资源浪费划分不同的用户组，对组之间的访问进行限制增加安全性与物理位置无关的VLAN计算机系网络工程系文化艺术系一层二层六层。。。。。。VLAN的优点限制广播包安全性虚拟工作组减少移动和改变的代价VLAN的定义方法基于端口的VLAN根据以太网交换机的端口来划分基于MAC地址的VLAN根据每个主机网卡的MAC地址来划分基于网络层的VLAN根据每个主机的网络层地址或协议类型（如果支持多协议）划分的基于IP组播的VLAN一个组播组就是一个VLAN基于端口的VLAN目前最常用的划分VLAN的方法，优点是定义VLAN成员时非常简单，只要将所有的接口定义一次就可以了。缺点是，如果某VLAN的用户离开了原来的接口，在移到一个新的交换机接口时就必须重新定义。VLAN1024681012141618202224VLAN201357911131517192123Page13基于MAC划分VLANVLAN信息表VLAN10VLAN20VLAN30主机AMAC主机BMAC主机CMAC主机DMACPort4Port2Port1Port3主机C主机A主机B主机DPage14基于IP网段划分VLANVLAN信息表Port4Port2Port1VLAN10VLAN20VLAN301.1.1.*1.1.2.*1.1.3.*Port3主机CIP:1.1.1.2主机AIP:1.1.1.1主机BIP:1.1.2.1主机DIP:1.1.3.1Page15VLAN信息表VLAN10VLAN20VLAN30IP协议号..IPX协议号..运行IPX协议运行IP协议运行IPX协议运行IP协议基于协议划分VLANPort4Port2Port1Port3VLAN的标准不同交换机上的相同VLAN之间如何连接？如果一个VLAN的成员分布在不同的交换机上，它们之间互通时，如果在每个VLAN内部连接一条链路，会造成端口的极大消耗。VLAN10VLAN20VLAN30VLAN10VLAN20VLAN30802.1Q802.1Q的出现为标识带有VLAN成员信息的以太帧建立了标准方法。定义了基于端口的VLAN模型规定如何标识带有VLAN成员信息的以太帧定义VLAN标签的格式VLAN10VLAN20VLAN30VLAN10VLAN20VLAN30Page18VLAN标签介绍DASATYPEDATAFCSSAFCSDATATYPETAGDAUntaggedframeTaggedframePRIVLANID（12b）CFI0x8100TPIDTCI6B6B2B64-1500B4B6B6B2B64-1500B4B4B2B2B802.1Q帧格式标签协议字段，说明该帧具有802.1q标签标签控制信息字段理论上支持4096个VLAN，VLAN=0用于识别优先级，4095作为预留值。交换机的端口交换机上的二层接口成为Switchport，只有二层交换功能ACCESS端口UnTagged端口，即接入端口Access端口只能属于一个VLAN，它发送的帧不带有VLAN标签，一般用于连接计算机的端口Trunk端口TagAware端口，即干道接口可以允许多个VLAN通过，它发出的帧一般是带有VLAN标签的，一般用于交换机之间连接的端口802.1Q的缺省VLAN一个802.1Q的Trunk端口有一个缺省VLAN的ID值802.1Q不为缺省VLAN的帧打标签没有打标签的VLAN流量（缺省VLAN）VLAN3VLAN2VLAN1VLAN3VLAN2VLAN1TrunkTrunk集线器准备知识（二）VLAN和Trunk的配置VLAN定义的步骤首先添加VLAN为端口分配VLAN跨交换机的VLAN通信，配置Trunk口VLAN的配置添加或者修改VLAN删除VLANSwitch(config)#vlan

vlan-id

Switch(config-vlan)#name

vlan-name

Switch(config)#novlan

vlan-id

VLAN的配置查看VLANSwitch#showvlanVLANNameStatusPorts

1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9,Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15,Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21,Fa0/22,Fa0/23,Fa0/2410销售active20财务active30工程active向VLAN内添加端口将端口分配给一个VLANSwitch(config)#interface

interface-id

Switch(config)#interfacerange{port-range}Switch(config-if)#switchportmodeaccess

Switch(config-if)#switchportaccess

vlan

vlan-id配置VLANTrunk将端口设置成Trunk端口指定Trunk端口的缺省VLAN默认的缺省VLAN是VLAN1Trunk链路两端必须一致Switch(config)#interface

interface-id

Switch(config-if)#switchportmodetrunk

Switch(config-if)#switchporttrunknativevlan

vlan-id

启用和关闭TRUNK功能注意：1、如果开启三层交换机上的trunk功能，使用noswitchport接口配置命令。

2、如果想把一个Trunk接口的所有Trunk相关属性都复位成默认值请用noswitchporttrunk接口配置命令。

配置VLANTrunk举例TrunkF0/1F0/1Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#end配置VLANTrunk举例Switch#showvlanVLANNameStatusPorts

1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/6,Fa0/9Fa0/16,Fa0/17,Fa0/18,Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/2410gongchengactiveFa0/1,Fa0/5,Fa0/720xiaoshouactiveFa0/1,Fa0/8,Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15配置VLANTrunk举例Switch#showinterfacesfastEthernet0/1switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists

Fa0/1EnabledTrunk11DisabledAllSwitch#showinterfacesfastEthernet0/1trunkInterfaceModeNativeVLANVLANlists

Fa0/1On1All定义Trunk端口的许可VLAN列表all：许可列表包含所有支持的VLANadd：将指定VLAN列表加入许可VLAN列表。remove：将指定VLAN列表从许可VLAN列表中删除。except：将除列出的VLAN列表外的所有VLAN加入许可VLAN列表如：在干道接口上配置switch(config-if)#switchporttrunkallowedvlan20，那么VLAN20的数据就无法通过该干道接口。Switch(config-if)#switchporttrunkallowedvlan{all|[add|remove|except]}vlan-list

三、划分VLAN案例网络拓扑结构图PC1PC2PC3VLAN10VLAN20VLAN10F0/6F0/11F0/1F0/1F0/6L3-SWL2-SWVLAN10为计算机系教学设备VLAN20为网络工程系教学设备百兆双绞线2.网络设备配置步骤第一步：配置两台交换机的主机名

Switch#configureterminalSwitch(config)#hostnameL2-SWL2-SW(config)#

S3750#configureterminalS3750(config)#hostnameL3-SWL3-SW(config)#第二步：在三层交换机上划分VLAN添加端口L3-SW(config)#vlan10L3-SW(config-vlan)#namejsj！划分计算机系的VLAN10L3-SW(config-vlan)#vlan20L3-SW(config-vlan)#namewlgc！划分网络工程系的VLAN20L3-SW(config-vlan)#exitL3-SW(config)#L3-SW(config)#interfacerangefastEthernet0/6-10！将端口Fa0/6至Fa0/10划分到VLAN10L3-SW(config-if-range)#switchportmodeaccessL3-SW(config-if-range)#switchportaccessvlan10L3-SW(config-if-range)#exitL3-SW(config)#interfacerangefastEthernet0/11-15！将端口Fa0/11至Fa0/15划分到VLAN20L3-SW(config-if-range)#switchportmodeaccessL3-SW(config-if-range)#switchportaccessvlan20L3-SW(config-if-range)#exitL3-SW(config)#第三步：在二层交换机上划分VLAN添加端口L2-SW(config)#vlan10L2-SW(config-vlan)#namejsj！划分计算机系的VLAN10L2-SW(config-vlan)#vlan20L2-SW(config-vlan)#namewlgc！划分网络工程系的VLAN20L2-SW(config-vlan)#exitL2-SW(config)#L2-SW(config)#interfacerangefastEthernet0/6-10！将端口Fa0/6至Fa0/10划分到VLAN10L2-SW(config-if-range)#switchportmodeaccessL2-SW(config-if-range)#switchportaccessvlan10L2-SW(config-if-range)#exitL2-SW(config)#第四步：设置交换机之间的链路为TrunkL3-SW(config)#interfacefastEthernet0/1L3-SW(config-if)#switchportmodetrunkL3-SW(config-if)#switchporttrunkencapsulationdot1qL3-SW(config-if)#exitL2-SW(config)#interfacefastEthernet0/1L2-SW(config-if)#switchportmodetrunkL2-SW(config-if)#switchporttrunkencapsulationdot1qL2-SW(config-if)#exit第五步：查看VLAN和Trunk的配置L2-SW#showvlanVLANNameStatusPorts

1defaultactiveFa0/1,Fa0/2,Fa0/3Fa0/4,Fa0/5,Fa0/11Fa0/12,Fa0/13,Fa0/14Fa0/15,Fa0/16,Fa0/17Fa0/18,Fa0/19,Fa0/20Fa0/21,Fa0/22,Fa0/23Fa0/2410jsjactiveFa0/1,Fa0/6,Fa0/7Fa0/8,Fa0/9,Fa0/1020wlgcactiveFa0/1L2-SW#L2-SW#showinterfacesfastEthernet0/1switchport

InterfaceSwitchportModeAccessNativeProtectedVLANlists

Fa0/1EnabledTrunk11DisabledAllL3-SW#showvlanVLANNameStatusPorts

1VLAN0001STATICFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21,Fa0/22Fa0/23,Fa0/24,Gi0/25,Gi0/26Gi0/27,Gi0/2810jsj

STATICFa0/1,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/1020wlgc