锐捷RCNP路由与交换高级技术实战 课件全套 黄君羡 项目1-14 高校隔离网络的设计与实施 - 企业园区网中基于组播技术的网络直播

项目1高校隔离网络的设计与实施项目描述项目相关知识项目规划设计项目实践项目验证项目拓展目录项目描述项目描述某高校在教学楼2楼和5楼原有201、202、501、502共4个机房，每个课室有4台接入交换机和51台电脑。现计划对4间机房进行改造，将201、202、501作为日常上课使用的机房，502作为考试时使用的机房。原网络建设中，201、202使用同一IP地址段，501、502使用同一IP地址段。具体要求如下。（1）201和202的2个机房使用同一IP地址段，但要求机房之间相互隔离，防止教师广播投屏时互相影响。（2）501和502的2个机房作为考试机房，使用同一IP地址段，501的机电脑可以互相通信，502机房作为考试机房，要求电脑之间互相隔离。项目描述项目拓扑如图1-1所示。图1-1项目拓扑项目相关知识1.1VLAN聚合基本概念VLAN聚合（VLANAggregation），也称SuperVLAN。指在一个物理网络内，用多个SubVLAN隔离广播域，并将这些VLAN归属到一个逻辑SuperVLAN中，这些SubVLAN使用同一个IP子网和默认网关，进而达到节约IP地址的目的。VLAN聚合中，SuperVLAN只创建三层SVI口并配置对应的子网网关IP地址，不包含具体的物理接口。SubVLAN只包含物理接口，不创建三层SVI接口，用于隔离二层广播域，每个SubVLAN内的主机与外部的三层通信或者SubVLAN之间的通信是依赖于SuperVLAN下的ARP代理功能来实现。1.1VLAN聚合基本概念如图1-2所示。图1-2SuperVLAN结构图1.1VLAN聚合基本概念同一个SubVLAN属于同一个广播域，因此相同SubVLAN内的主机可以直接通信。如图1-3所示。图1-3同SubVLAN内的终端通信图1.1VLAN聚合基本概念不同SubVLAN之间的通信，需要借助网关SVI口的代理功能。如图1-4所示。SuperVLANSVI2开启ARP代理之后，PC1和PC2的通信过程如下。图1-4不同SubVLAN内终端的通信图1.1VLAN聚合基本概念（1）PC1发现PC2和自己在同一网段，且ARP表中无PC2的对应表项，则发送ARP广播包请求PC2的MAC地址。（2）

作为网关的SuperVLAN对应的SVI2口收到PC1的ARP请求，由于SVI2开启了ARP代理功能，则向SuperVLAN2内所有的SubVLAN接口发送ARP广播，请求PC2的MAC地址。（3）SubVLAN20内的主机PC2收到网关发的ARP广播包后，对此请求进行应答。（4）网关收到PC2的应答之后，就把自己的MAC地址回应给PC1。（5）PC1之后发给PC2的报文都先发给网关，由网关做转发。1.2VLAN聚合的应用场景随着企业网络规模的扩大和业务需求的增加，VLAN的应用越来越广泛。然而，在实际应用中，VLAN的管理和维护却面临着诸多挑战。为了解决这些问题，提高网络的稳定性和效率，VLAN聚合技术应运而生。在实际应用中，VLAN聚合的应用场景非常广泛，主要包括以下几个方面。1.2VLAN聚合的应用场景（1）在大型企业中，由于网络规模庞大、VLAN数量众多，管理和维护起来非常困难。通过VLAN聚合，可以将多个VLAN合并成一个逻辑上的大VLAN，从而减少VLAN的数量，降低管理难度。同时，聚合后的VLAN可以更好地利用带宽资源，提高网络传输效率。（2）在网络安全方面，VLAN聚合也发挥着重要作用。通过将多个VLAN聚合成一个逻辑上的大VLAN，可以更好地实现网络隔离和访问控制，提高网络安全性。同时，聚合后的VLAN可以更好地支持安全策略的实施，如防火墙、入侵检测等。1.3PrivateVLAN私有VLAN（PrivateVLAN）采用两层VLAN隔离技术，实现一个VLAN内的端口隔离。在PrivateVLAN中，每个VLAN的二层广播域被划分成多个子域，每个子域由一对VLAN组成：主VLAN（PrimaryVLAN）和辅助VLAN（SecondaryVLAN）。主VLAN是PVLAN的高级VLAN，每个PrivateVLAN中只有一个主VLAN；而辅助VLAN是PVLAN中的子VLAN，并且映射到一个主VLAN。每台接入设备都连接到辅助VLAN。1.3PrivateVLAN辅助VLAN包含两种类型：隔离VLAN（IsolatedVLAN）和团体VLAN（CommunityVLAN）。同一个隔离VLAN内的端口不能互相二层通信，而同一个团体VLAN内的端口可以互相二层通信，但团体VLAN之间的端口不能相互通信。在PrivateVLAN中，交换机端口有三种类型：Isolatedport、Communityport和Promiscuousport。它们分别对应不同的VLAN类型。

Isolatedport属于IsolatedVLAN。

Communityport属于CommunityVLAN。

Promiscuousport属于PrimaryVLAN。1.3PrivateVLAN在IsolatedVLAN中，Isolatedport只能和Promiscuousport通信，两个Isolatedport彼此之间不能交换流量；在CommunityVLAN中，Communityport不仅可以和Promiscuousport通信，而且彼此之间也可以交换流量。如图1-5所示。1-5PrivateVLAN流量传输图1.3PrivateVLANPrivateVLAN主要用于解决通信安全、防止广播风暴和浪费IP地址等问题。它通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但允许与默认网关进行通信。即使在不同的VLAN中，设备也可以使用相同的IP子网。项目规划设计项目规划设计在本项目中，学校计划在教学楼使用1台汇聚交换机、4台接入交换机和8台PC来搭建四个机房的隔离网络，各机房的终端分别接入机房内的交换机，其项目实施拓扑如图1-6所示。图1-6项目实施拓扑图项目规划设计具体配置步骤如下。（1）部署SuperVLAN，实现201、202机房的网络二层隔离，防止教师投屏时互相影响。（2）部署PrivateVLAN，实现501、502机房的网络隔离，同时实现502机房的电脑互相隔离。项目规划设计根据图1-6所示拓扑图进行项目的业务规划，项目1的VLAN规划、设备管理规划、端口互联规划、IP规划见表1-1~表1-3。表1-1项目1VLAN规划表VLAN-IDVLAN类型VLAN命名网段用途VLAN2SuperVLANGW-2/24VLAN2网关VLAN5private-vlanprimaryGW-5/24VLAN5网关VLAN20SubVLANUser-201-201机房网段VLAN21SubVLANUser-202-202机房网段VLAN50private-vlancommunityUser-501-501机房网段VLAN51private-vlanisolatedUser-502-502机房网段项目规划设计根据图1-6所示拓扑图进行项目的业务规划，项目1的VLAN规划、设备管理规划、端口互联规划、IP规划见表1-1~表1-3。表1-2项目1端口规划表本端设备本端端口端口配置对端设备对端端口SW1G0/1AccessSW2G0/24SW1G0/4AccessSW3G0/24SW1G0/7TrunkSW4G0/24SW1G0/10TrunkSW5G0/24SW2G0/24AccessSW1G0/1SW2G0/1AccessPC1Eth0/1SW2G0/2AccessPC2Eth0/1SW3G0/24AccessSW1G0/4项目规划设计根据图1-6所示拓扑图进行项目的业务规划，项目1的VLAN规划、设备管理规划、端口互联规划、IP规划见表1-1~表1-3。表1-2项目1端口规划表本端设备本端端口端口配置对端设备对端端口SW3G0/1AccessPC3Eth0/1SW3G0/2AccessPC4Eth0/1SW4G0/24TrunkSW1G0/7SW4G0/1private-vlanhostPC5Eth0/1SW4G0/2private-vlanhostPC6Eth0/1SW5G0/24TrunkSW1G0/10SW5G0/1private-vlanhostPC7Eth0/1SW5G0/2private-vlanhostPC8Eth0/1项目规划设计根据图1-6所示拓扑图进行项目的业务规划，项目1的VLAN规划、设备管理规划、端口互联规划、IP规划见表1-1~表1-3。表1-3项目1IP地址规划表设备接口IP地址用途PC1-/24用户网络地址PC2-/24用户网络地址PC3-3/24用户网络地址PC4-4/24用户网络地址PC5-/24用户网络地址PC6-/24用户网络地址PC7-3/24用户网络地址PC8-4/24用户网络地址SW1VLAN254/24用户网段网关VLAN554/24用户网段网关项目实践任务1-1部署SuperVLAN任务1-1部署SuperVLAN任务描述本任务中，要实现201和202机房之间的终端不能互相通信，同一个机房内的终端能够互相通信。案例的配置包括以下内容：1.SuperVLAN配置：创建VLAN,配置SuperVLAN和SubVLAN。2.端口配置：配置互联端口，并配置端口默认VLAN。3.IP地址配置：为交换机和PC配置IP地址。任务1-1部署SuperVLAN任务操作1.SuperVLAN配置（1）在交换机SW1上创建SuperVLAN和SubVLAN。Ruijie>enable//进入特权模式Ruijie#config

terminal//进入全局模式Ruijie(config)#hostnameSW1//将交换机名称更改为SW1SW1(config)#vlan20//创建VLAN20SW1(config-vlan)#nameUser-201//VLAN命名为User-201SW1(config-vlan)#exit//退出SW1(config)#vlan21//创建VLAN21SW1(config-vlan)#nameUser-202//VLAN命名为User-202SW1(config-vlan)#exit//退出任务1-1部署SuperVLAN任务操作1.SuperVLAN配置（1）在交换机SW1上创建SuperVLAN和SubVLAN。SW1(config)#vlan2//创建VLAN2SW1(config-vlan)#nameGW-2//VLAN命名为GW-2SW1(config-vlan)#supervlan//配置VLAN2为SuperVLANSW1(config-vlan)#subvlan20,21//关联SubVLAN20、21SW1(config-vlan)#noproxy-arp//关闭ARP代理SW1(config-vlan)#exit//退出任务1-1部署SuperVLAN任务操作1.SuperVLAN配置（2）在交换机SW2上创建VLAN。Ruijie>enable//进入特权模式Ruijie#config

terminal//进入全局模式Ruijie(config)#hostnameSW2//将交换机名称更改为SW2SW2(config)#vlan20//创建VLAN20SW2(config-vlan)#nameUser-201//VLAN命名为User-201SW2(config-vlan)#exit//退出任务1-1部署SuperVLAN任务操作1.SuperVLAN配置（3）在交换机SW3上进行VLAN配置。Ruijie>enable//进入特权模式Ruijie#configterminal//进入全局模式Ruijie(config)#hostnameSW3//将交换机名称更改为SW3SW3(config)#vlan21//创建VLAN21SW3(config-vlan)#nameUser-202//VLAN命名为User-202SW3(config-vlan)#exit//退出任务1-1部署SuperVLAN任务操作2.IP地址配置（1）在SW1上配置VLAN2的IP地址。SW1(config)#interfacevlan2//进入VLAN2接口SW1(config-if-VLAN2)#ipaddress54//配置SuperVLAN的SVI地址SW1(config-if-VLAN2)#exit//退出任务1-1部署SuperVLAN任务操作3.端口配置

（1）在SW1上配置与接入交换机互联的端口，并配置端口默认VLAN。SW1(config)#interfacerangegigabitEtherne0/1-3//批量进入端口SW1(config-if-range)#switchportmodeaccess//修改端口类型为Access模式SW1(config-if-range)#switchportaccessvlan20//配置端口的默认VLAN为VLAN20SW1(config-if-range)#exit//退出任务1-1部署SuperVLAN任务操作3.端口配置

（1）在SW1上配置与接入交换机互联的端口，并配置端口默认VLAN。SW1(config)#interfacerangegigabitEtherne0/4-6//批量进入端口SW1(config-if-range)#switchportmodeaccess//修改端口类型为Access模式SW1(config-if-range)#switchportaccessVLAN21//配置端口的默认VLAN为VLAN21SW1(config-if-range)#exit//退出任务1-1部署SuperVLAN任务操作3.端口配置

（2）在SW2上配置与交换机和终端互联的端口，并配置端口默认VLAN。SW2(config)#interfacerangegigabitEtherne0/1-24//批量进入端口SW2(config-if-range)#switchportmodeaccess//修改端口类型为Access模式SW2(config-if-range)#switchportaccessvlan20//配置端口的默认VLAN为VLAN20SW2(config-if-range)#exit//退出任务1-1部署SuperVLAN任务操作3.端口配置

（3）在SW3上配置与交换机和终端互联的端口，并配置端口默认VLAN。SW3(config)#interfacerangegigabitEtherne0/1-24//批量进入端口SW3(config-if-range)#switchportmodeaccess//修改端口类型为Access模式SW3(config-if-range)#switchportaccessvlan21//配置端口的默认VLAN为VLAN21SW3(config-if-range)#exit//退出任务1-1部署SuperVLAN任务验证在SW1使用【showsupervlan】命令查看supervlan信息，如下所示。可以看到SuperVLAN2下有2个SubVLAN。SW1(config)#showsupervlansupervlanidsupervlanarp-proxybcastvlansubvlanidsubvlanarp-proxysubvlaniprange------------------------------------------------------------------------------------------2OFF20-21ON任务1-2部署PrivateVLAN任务1-2部署PrivateVLAN任务描述本任务中，要实现501机房内的终端之间能够互相通信，502机房内的终端之间不能够互相通信。案例的配置包括以下内容：1.PrivateVLAN配置：创建VLAN,配置主VLAN和辅助VLAN。2.IP地址配置：为交换机和PC配置IP地址。3.端口配置：配置互联端口，并配置端口默认VLAN。任务1-2部署PrivateVLAN任务操作1.PrivateVLAN配置（1）在SW1上创建VLAN和PrivateVLAN。SW1(config)#vlan50//创建VLAN50SW1(config-vlan)#nameUser-501//VLAN命名为User-50SW1(config-vlan)#private-vlancommunity//创建团体VLAN50SW1(config-vlan)#exit//退出任务1-2部署PrivateVLAN任务操作1.PrivateVLAN配置（1）在SW1上创建VLAN和PrivateVLAN。SW1(config)#vlan51//创建VLAN51SW1(config-vlan)#nameUser-502//VLAN命名为User-502SW1(config-vlan)#private-vlanisolated//创建隔离VLAN51SW1(config-vlan)#exit//退出任务1-2部署PrivateVLAN任务操作1.PrivateVLAN配置（1）在SW1上创建VLAN和PrivateVLAN。SW1(config)#vlan5//创建VLAN5SW1(config-vlan)#nameGW-5//VLAN命名为GW-5SW1(config-vlan)#private-vlanprimary//创建主VLANSW1(config-vlan)#private-vlanassociation50，51//关联辅助VLANSW1(config-vlan)#exit//退出任务1-2部署PrivateVLAN任务操作1.PrivateVLAN配置（1）在SW1上创建VLAN和PrivateVLAN。SW1(config)#interfacevlan5//进入VLAN5接口SW1(config-VLAN5)#private-vlanmapping50,51//将辅助VLAN映射到主VLANSW1(config-VLAN5)#exit//退出任务1-2部署PrivateVLAN任务操作1.PrivateVLAN配置（2）在SW4上创建PrivateVLAN。Ruijie>enable//进入特权模式Ruijie#configterminal//进入全局模式Ruijie(config)#hostnameSW4//将交换机名称更改为SW4SW4(config)#vlan50//进入VLAN50SW4(config-vlan)#nameUser-501//VLAN命名为User-501SW4(config-vlan)#private-vlancommunity//创建团体VLAN50SW4(config-vlan)#exit//退出任务1-2部署PrivateVLAN任务操作1.PrivateVLAN配置（2）在SW4上创建PrivateVLAN。SW4(config)#vlan51//进入VLAN51SW4(config-vlan)#nameUser-502//VLAN命名为User-502SW4(config-vlan)#private-vlanisolated//创建隔离VLAN51SW4(config-vlan)#exit//退出任务1-2部署PrivateVLAN任务操作1.PrivateVLAN配置（2）在SW4上创建PrivateVLAN。SW4(config)#vlan5//创建VLAN5SW1(config-vlan)#nameGW-5//VLAN命名为GW-5SW4(config-vlan)#private-vlanprimary//创建主VLANSW4(config-vlan)#private-vlanassociation50,51//关联辅助VLANSW4(config-vlan)#exit//退出任务1-2部署PrivateVLAN任务操作1.PrivateVLAN配置（3）在SW5上创建PrivateVLAN。Ruijie>enable//进入特权模式Ruijie#configterminal//进入全局模式Ruijie(config)#hostnameSW5//将交换机名称更改为SW5SW5(config)#vlan50//进入VLAN50SW5(config-vlan)#nameUser-501//VLAN命名为User-501SW5(config-vlan)#private-vlancommunity//创建团体VLAN50任务1-2部署PrivateVLAN任务操作1.PrivateVLAN配置（3）在SW5上创建PrivateVLAN。SW5(config)#vlan51//进入VLAN51SW5(config-vlan)#nameUser-502//VLAN命名为User-502SW5(config-vlan)#private-vlanisolated//创建隔离VLAN51SW5(config-vlan)#exit//退出任务1-2部署PrivateVLAN任务操作1.PrivateVLAN配置（3）在SW5上创建PrivateVLAN。SW5(config)#vlan5//创建VLAN5SW1(config-vlan)#nameGW-5//VLAN命名为GW-5SW5(config-vlan)#private-vlanprimary//创建主VLANSW5(config-vlan)#private-vlanassociation50,51//关联辅助VLANSW5(config-vlan)#exit//退出任务1-2部署PrivateVLAN任务操作2.IP地址配置在SW1上配置VLAN5的IP地址。SW1(config)#interfacevlan5//进入VLAN5接口SW1(config-VLAN5)#ipaddress54//配置IP地址SW1(config-VLAN5)#exit//退出任务1-2部署PrivateVLAN任务操作3.端口配置（1）在SW1上配置与接入交换机互联的端口，并配置端口默认VLAN。SW1(config)#interfacerangegigabitEtherne0/7-9//批量进入端口SW1(config-if-range)#switchportmodetrunk//修改端口类型为Trunk模式SW1(config-if-range)#switchportmodeprivate-vlanpromiscuous//配置混杂端口SW1(config-if-range)#switchporttrunkallowedvlanadd5,50//配置端口允许VLAN5,VLAN50通过SW1(config-if-range)#exit//退出任务1-2部署PrivateVLAN任务操作3.端口配置（1）在SW1上配置与接入交换机互联的端口，并配置端口默认VLAN。SW1(config)#interfacerangegigabitEtherne0/10-12//批量进入端口SW1(config-if-range)#switchportmodetrunk//修改端口类型为Trunk模式SW1(config-if-range)#switchportmodeprivate-vlanpromiscuous//配置混杂端口SW1(config-if-range)#switchporttrunkallowedvlanadd5,51//配置端口允许VLAN5,VLAN51通过SW1(config-if-range)#exit//退出任务1-2部署PrivateVLAN任务操作3.端口配置（2）在SW4上配置接入交换机与终端互联的端口，并配置端口默认VLAN。SW4(config)#interfacerangegigabitEtherne0/1-23//批量进入端口SW4(config-if-range)#switchportmodeprivate-vlanhost//修改端口类型为Host模式SW4(config-if-range)#switchportprivate-vlanhost-association550//将1-23端口加入团体VLAN50SW4(config-if-range)#exit//退出任务1-2部署PrivateVLAN任务操作3.端口配置（2）在SW4上配置接入交换机与终端互联的端口，并配置端口默认VLAN。SW4(config)#interfaceg0/24//进入G0/24端口SW4(config-if-GigabitEtherne0/24)#switchportmodetrunk//修改端口类型为Trunk模式SW4(config-if-GigabitEtherne0/24)#switchportmodeprivate-vlanpromiscuous//把接口属性改为PVLAN混杂模式SW4(config-if-GigabitEtherne0/24)#switchportprivate-vlanmapping5add50,51//指明该端口的PVALN属性SW4(config-if-GigabitEtherne0/24)#exit//退出任务1-2部署PrivateVLAN任务操作3.端口配置（3）在SW5上配置与汇聚交换机和终端互联的端口，并配置端口默认VLAN。SW5(config)#interfacerangegigabitEtherne0/1-23//批量进入端口SW5(config-if-range)#switchportmodeprivate-vlanhost//修改端口类型为Host模式SW5(config-if-range)#switchportprivate-vlanhost-association551//将G0/1-23端口加入隔离VLAN51SW5(config-if-range)#exit//退出任务1-2部署PrivateVLAN任务操作3.端口配置（3）在SW5上配置与汇聚交换机和终端互联的端口，并配置端口默认VLAN。SW5(config)#interfaceg0/24//进入G0/24端口SW5(config-if-GigabitEtherne0/24)#switchportmodetrunk//修改端口类型为Trunk模式SW5(config-if-GigabitEtherne0/24)#switchportmodeprivate-vlanpromiscuous//把接口属性改为PVALN混杂模式SW5(config-if-GigabitEtherne0/24)#switchportprivate-vlanmapping5add50,51//指明该端口的PVALN属性SW5(config-if-GigabitEtherne0/24)#exit//退出任务1-2部署PrivateVLAN任务验证在SW1使用【showvlanprivate-vlan】命令查看PrivateVLAN信息，如下所示。SW1(config)#showvlanprivate-vlan

VLANTypeStatusRoutedPortsAssociatedVLANs-------------------------------------------------------------------------------5primaryactiveEnabledGi0/1,Gi0/2,Gi0/350-51Gi0/4,Gi0/5,Gi0/650communityactiveEnabled551isolatedactiveEnabled5项目验证项目验证(1)使用201机房的主机PC1Ping本机房的主机PC2，如下所示。可以看到主机PC1能够Ping通主机PC2。PC1>ping正在

Ping具有32字节的数据:来自

的回复:字节=32时间=2msTTL=63来自

的回复:字节=32时间=2msTTL=63来自

的回复:字节=32时间=2msTTL=63来自

的回复:字节=32时间=2msTTL=63

的Ping统计信息:数据包:已发送=4，已接收=4，丢失=0(0%丢失)，往返行程的估计时间(以毫秒为单位):最短

=2ms，最长=3ms，平均=2ms项目验证(2)使用201机房的PC1Ping202机房的PC3，如下所示。可以看到主机PC1不能Ping通主机PC3。PC1>ping3

正在

Ping3具有

32字节的数据:来自

的回复:无法访问目标主机来自

的回复:无法访问目标主机来自

的回复:无法访问目标主机来自

的回复:无法访问目标主机

3的

Ping统计信息:

数据包:已发送=4，已接收=4，丢失=0(0%丢失)，项目验证(3)使用501机房的主机PC5Ping本机房的主机PC6，如下所示。可以看到主机PC5能够Ping通主机PC6。PC5>ping正在Ping具有32字节的数据:来自

的回复:字节=32时间=2msTTL=63来自

的回复:字节=32时间=2msTTL=63来自

的回复:字节=32时间=2msTTL=63来自

的回复:字节=32时间=2msTTL=63

的Ping统计信息:数据包:已发送=4，已接收=4，丢失=0(0%丢失)，往返行程的估计时间(以毫秒为单位):最短=2ms，最长=3ms，平均=2ms项目验证(4)使用502机房的主机PC7Ping本机房的主机PC8，如下所示。可以看到主机PC7不能Ping通主机PC8。PC7>ping4正在Ping4具有32字节的数据:来自3的回复:无法访问目标主机来自3的回复:无法访问目标主机来自3的回复:无法访问目标主机来自3的回复:无法访问目标主机4的Ping统计信息:数据包:已发送=4，已接收=4，丢失=0(0%丢失)，项目拓展一、理论题1.SubVLAN的特点是（

）。A．能够隔离二层网络 B．不同SubVLAN属于同一个广播域

C．能够隔离三层网络 D．同一SubVLAN的主机不能互相通信2.下面对PrivateVLAN描述错误的是（

）。A．PrivateVLAN将一个三层广播划分了多个子域B．PrivateVLAN中有一个主VLAN和两种辅助VLAN C．隔离VLAN内的端口不能互相通信

D．群体VLAN之间的端口不能互相通信3.在PrivateVLAN域内有三种端口角色，下面哪个不是这三种端口内的（

）。A．混杂端口 B．隔离端口C．阻塞备用端口 D．群体端口二、项目实训1.实训题背景在企业网络中，通过二层交换机和三层交换机实现VLAN间通信。作为Jan16公司的管理员，您需要为生产部和销售部配置SuperVLAN，在财务部和信息部配置PrivateVLAN，实现网络隔离。具体要求与实训拓扑图1-7如下：（1）根据实训拓扑，为交换机和PC配置IP地址（x为短学号）。（2）在交换机上分别配置SuperVLAN，PrivateVLAN。图1-7实训拓扑图二、项目实训2.实训规划表根据项目背景信息及实训拓扑图信息，并参考本项目的项目规划设计完成实训题规划表。表1-4VLAN规划表VLAN

IDIP地址段用途

二、项目实训2.实训规划表根据项目背景信息及实训拓扑图信息，并参考本项目的项目规划设计完成实训题规划表。表1-5端口规划表本端设备端口号端口类型所属VLAN对端设备

二、项目实训2.实训规划表根据项目背景信息及实训拓扑图信息，并参考本项目的项目规划设计完成实训题规划表。表1-6IP地址规划表计算机接口IP地址网关

二、项目实训3.实训要求（1）根据实训拓扑图及规划表在交换机上创建VLAN信息，并将端口划分至相应的VLAN。（2）根据实训规划的IP地址规划表配置IP地址信息。（3）该拓扑图各部门网络实现隔离，信息部各台终端之间不能互相通信。（4）根据以上要求完成配置，按照以下实验验证命令截图保存。在交换机SW1上使用【showsupervlan】，查看supervlan信息。在交换机SW2上使用【showvlanprivate-vlan】，查看private-vlan信息。在各部门计算机之间使用【Ping】命令测试计算机之间的通信。项目2企业园区网络互连设计与实施项目描述项目相关知识项目规划设计项目实践项目验证项目拓展目录项目描述项目描述某公司将大部分业务迁移到一个新的工业园内，而在旧园区内还留有部分业务。在新园区内，公司有1号楼、2号楼和3号楼共3栋大楼，分别使用不同网段的地址进行互联，计划使用动态路由协议OSPF来维护公司路由，楼宇路由器作为新园区网络的核心，楼宇交换机为网络的边缘，智能制造车间因业务要求使用独立的路由器，目前需要实现园区内各栋楼网络的互联。另外，由于公司在旧园区还留有部分业务，为了提高业务协同效率，确保业务顺利过渡，旧园区计划通过智能制造车间的路由器接入到新园区网络中。项目描述其项目拓扑如图2-1所示。图2-1项目拓扑项目相关知识2.1OSPF基础OSPF协议，全称开放最短路径优先协议（OpenShortestPathFirst），它是IETF组织开发的一个基于链路状态的内部网关协议（InteriorGatewayProtocol），同一个自治系统（AutonomousSystem）中的设备之间通过交换链路状态信息来构建路由表。运行OSPF协议的设备会将自己拥有的链路状态信息，通过启用了OSPF协议的接口发送给其他0SPF路由器，同一个OSPF区域中的每台路由器都会参与链路状态信息的创建、发送、接收与转发，直到这个区域中的所有OSPF路由器获得了相同的链路状态信息为止。OSPF路由器采用周期更新与触发更新的方式同步链路状态信息，并从链路状态信息中计算出路由。2.1OSPF基础在OSPF协议出现前，网络上广泛使用RIP（RoutingInformationProtocol）作为内部网关协议。由于RIP是基于距离矢量算法的路由协议，存在着收敛慢、路由环路、可扩展性差等问题，所以逐渐被OSPF取代。OSPF作为基于链路状态的协议，能够解决RIP所面临的诸多问题。此外，OSPF还有以下优点。

OSPF采用组播形式收发报文，这样可以减少对不运行OSPF路由器的影响。

OSPF支持区域划分、无环路、收敛快、拓展性好，可适用于大规模网络。

OSPF支持无类型域间路由（ClasslessInter-DomainRouting，CIDR）。

OSPF支持对等价路由进行负载分担。

OSPF支持报文加密。2.2OSPF的五种报文OSPF协议报文有五种类型报文，分别是Hello、DD、LSR、LSU、LSAck报文，OSPF协议通过这五种报文的交互，建立起邻居关系，交互过程如图2-2所示。图2-2OSPF协议报文交互过程2.2OSPF的五种报文1.Hello报文Hello报文用于建立和维护邻接关系。运行了OSPF功能的接口会周期性地向OSPF邻居发送Hello报文。Hello报文中包括一些关键信息，如定时器的数值、本网段中的DR、BDR以及已知的邻居等用于建立和维护邻居关系的信息。2.2OSPF的五种报文2.数据库描述(DatabaseDescription，DD)报文DD(也称DBD报文)报文不包含完整的“链路状态数据库”信息，只包含数据库中每个条目的概要。两台路由器在邻接关系初始化时，DD报文用来协商主、从关系，此时报文中不包含LSA头(Header)。在两台路由器交换DD报文的过程中，一台为Master，另一台为Slave。由Master规定起始序列号，每发送一个DD报文序列号加1,Slave方使用Master的序列号作为确认。2.2OSPF的五种报文2.数据库描述(DatabaseDescription，DD)报文邻接关系建立之后，路由器使用DD报文描述本端路由器的LSDB，进行数据库同步。DD报文里包括本地LSDB中每一条LSA头部(LSA头部可以唯一标识一条LSA)，即所有LSA的摘要信息。对端路由器根据收到的DD报文中包含的LSA头部就可判断出是否已有这条LSA。如果没有该LSA，则通过LSR报文向对方请求该LSA。2.2OSPF的五种报文3.LSR报文两台路由器互相交换过DD报文之后，需要通过向对端OSPF邻居设备发送LSR报文请求对端有、而本端没有的LSA。LSR报文里包括所需要的LSA的摘要信息，即也仅包含所需LSA的头部。2.2OSPF的五种报文4.LSU报文LSU报文是用来对收到的LSR报文响应的，向对端路由器发送对端在LSR报文中所请求的LSA，或者主动向OSPF邻居设备泛洪本端的LSA，其报文内容是多条完整的LSA的集合。5.LSAck报文为了实现LSU报文泛洪的可靠性传输，对端在收到LSU报文后需要使用LSAck报文进行确认(内容是需要确认的LSA头)。没有收到LSAck确认报文的LSA需要本端进行重传，重传的LSA是直接以单播方式发送到对应邻居设备。LSAck报文用来对接收到的LSU报文进行确认。一个LSAck报文可对多个LSA进行确认。2.3OSPF邻居建立的三个阶段OSPF形成邻居的三个阶段主要包括：邻居发现与建立阶段、路由发现阶段以及路由选择阶段。（1）邻居发现与建立阶段。这一阶段主要通过双方交互Hello报文来完成邻居发现。路由器在开始时处于Down状态，表示没有从邻居收到任何信息。随后，路由器进入Init状态，此时它已经收到了来自邻居的Hello报文，但自己的Router-id尚未被包含在邻居的Hello报文列表中，意味着双向通信关系尚未建立。一旦路由器收到带有自己RID的Hello包，它将进入Two-Way状态，此时两台路由器已确认可以双向通信，邻居关系已经建立，但尚未形成邻接关系。在广播或NBMA网络中，此阶段还会进行DR（指定路由器）和BDR（备份指定路由器）的选举。2.3OSPF邻居建立的三个阶段（2）路由发现阶段。在邻居关系建立后，路由器进入路由发现阶段，旨在实现同一个区域内所有路由器LSDB（链路状态数据库）的同步。这一阶段包括Exchange_start状态，通过选举主从路由器解决DBD（数据库描述）可靠性的问题，其中RID高的成为主路由器并控制DBD的序号。进入Exchange状态后，路由器通过交互DBD包来描述自己的LSDB中的LSA（链路状态通告）。随后是Loading状态，通过LSR（链路状态请求）向邻接请求LSA，并用LSU（链路状态更新）携带LSA，同时用LSAck对收到的LSA进行确认。最终，所有路由器的LSDB达到完全相同的状态，即Full状态。2.3OSPF邻居建立的三个阶段（3）路由选择阶段。在LSDB同步后，路由器进入路由选择阶段，根据LSDB（链路状态数据库）中存储的网络拓扑信息，采用最短路径优先（ShortestPathFirst，SPF）算法来计算路由，并将这些路由添加到路由表中。在链路状态发生变动，例如链路启动或关闭的情况下，相关路由器将生成一个新的链路状态公告（LSA），并将其在全网范围内进行洪泛传播。每个路由器接收到这些LSA后，会对其链路状态数据库（LSDB）进行更新，并重新计算其路由表，以确保全网所有路由器均保持对网络拓扑结构的统一和准确认识。2.4SPF算法OSPF采用SPF（ShortestPathFirst）算法计算路由，可以达到路由快速收敛的目的。OSPF协议使用链路状态通告LSA描述网络拓扑，即有向图。RouterLSA描述路由器之间的链接和链路的属性。路由器将LSDB转换成一张带权的有向图，这张图便是对整个网络拓扑结构的真实反映。各个路由器得到的有向图是完全相同的。如图2-3所示。图2-3由LSDB生成带权有向图2.4SPF算法每台路由器根据有向图，使用SPF算法计算出一棵以自己为根的最短路径树，这棵树给出了到自治系统中各节点的路由。如图2-4所示。图2-4最小生成树2.4SPF算法当OSPF的链路状态数据库LSDB发生改变时，需要重新计算最短路径，如果每次改变都立即计算最短路径，将占用大量资源，并会影响路由器的效率，通过调节SPF的计算间隔时间，可以抑制由于网络频繁变化带来的占用过多资源。缺省情况下，SPF时间间隔为5秒钟。2.5OSPF的状态机OSPF的状态随着邻居建立、数据库同步、路由计算三个阶段的进行，按状态机发生变化。其中Down、2-way、Full为稳定状态，其余为中间过渡状态。如图2-5所示。图2-5OSPF状态机2.5OSPF的状态机（1）OSPF路由器接口up，发送Hello包，（NBMA模式时将进入Attempt状态）。（2）OSPF路由器接口收到Hello包，进入Init状态；并将该Hello包的发送者的RouterID，添加到Hello包（自己将要从该接口发送出去的Hello包）的邻居列表中。（3）OSPF路由器接口收到邻居列表中含有自己RouterID的Hello包，进入2-Way状态，形成OSPF邻居关系，并把该路由器的RouterID添加到自己的OSPF邻居表中。（4）在进入2-Way状态后，广播、非广播网络类型的链路，在DR选举等待时间内进行DR选举。点对点没有这个过程。2.5OSPF的状态机（5）在DR选举完成或跳过DR选举后，建立OSPF邻接关系，进入exstart（准启动）状态；并选举DBD交换主从路由器，以及由主路由器定义DBD序列号，RouterID大的为

主路由器。目的是为了解决DBD自身的可靠性。（6）主从路由器选举完成后，进入Exchange（交换）状态，交换DBD信息。（7）DBD交换完成后，进入Loading状态，对链路状态数据库和收到的DBD的LSA头部进行比较，发现自己数据库中没有的LSA就发送LSR，向邻居请求该LSA；邻居收到LSR后，回应LSU；收到邻居发来的LSU，存储这些LSA到自己的链路状态数据库，并发送LSAck确认。（8）LSA交换完成后，进入FULL状态，所有形成邻居的OSPF路由器都拥有相同链路状态数据库。（9）定期发送Hello包，维护邻居关系。2.5OSPF的状态机1.在广播网络中建立OSPF邻接关系在广播网络中，DR、BDR和网段内的每一台路由器都形成邻接关系，但DRother之间只形成邻居关系。广播链路邻接关系建立过程如图2-6所示。图2-6在广播网络中建立OSPF邻接关系2.5OSPF的状态机如图2-6所示，在广播网络中建立OSPF邻接关系的过程如下：（1）建立邻居关系。a)RouterA的一个连接到广播类型网络的接口上激活了OSPF协议，并发送了一个Hello报文（使用组播地址）。此时，RouterA认为自己是DR路由器（DR=），但不确定邻居是哪台路由器（NeighborsSeen=0）。b)RouterB收到RouterA发送的Hello报文后，发送一个Hello报文回应给RouterA，并且在报文中的NeighborsSeen字段中填入RouterA的RouterID（NeighborsSeen=），表示已收到RouterA的Hello报文，并且宣告DR路由器是RouterB（DR=），然后RouterB的邻居状态机置为Init。c)RouterA收到RouterB回应的Hello报文后，将邻居状态机置为2-way状态，下一步双方开始发送各自的链路状态数据库2.5OSPF的状态机如图2-6所示，在广播网络中建立OSPF邻接关系的过程如下：（2）主/从关系协商、DD报文交换。RouterA首先发送一个DD报文，宣称自己是Master（MS=1），并规定序列号Seq=X。I=1表示这是第一个DD报文，报文中并不包含LSA的摘要，只是为了协商主从关系。M=1说明这不是最后一个报文。2.5OSPF的状态机如图2-6所示，在广播网络中建立OSPF邻接关系的过程如下：（2）主/从关系协商、DD报文交换。a）为了提高发送的效率，RouterA和RouterB首先了解对端数据库中哪些LSA是需要更新的，如果某一条LSA在LSDB中已经存在，就不再需要请求更新了。为了达到这个目的，RouterA和RouterB先发送DD报文，DD报文中包含了对LSDB中LSA的摘要描述（每一条摘要可以唯一标识一条LSA）。为了保证在传输的过程中报文传输的可靠性，在DD报文的发送过程中需要确定双方的主从关系，作为Master的一方定义一个序列号Seq，每发送一个新的DD报文将Seq加一，作为Slave的一方，每次发送DD报文时使用接收到的上一个Master的DD报文中的Seq。2.5OSPF的状态机如图2-6所示，在广播网络中建立OSPF邻接关系的过程如下：（2）主/从关系协商、DD报文交换。b）RouterB在收到RouterA的DD报文后，将RouterA的邻居状态机改为Exstart，并且回应了一个DD报文（该报文中同样不包含LSA的摘要信息）。由于RouterB的RouterID较大，所以在报文中RouterB认为自己是Master，并且重新规定了序列号Seq=Y。c）RouterA收到报文后，同意了RouterB为Master，并将RouterB的邻居状态机改为Exchange。RouterA使用RouterB的序列号Seq=Y来发送新的DD报文，该报文开始正式地传送LSA的摘要。在报文中RouterA将MS=0，说明自己是Slave。2.5OSPF的状态机如图2-6所示，在广播网络中建立OSPF邻接关系的过程如下：（2）主/从关系协商、DD报文交换。d）RouterB收到报文后，将RouterA的邻居状态机改为Exchange，并发送新的DD报文来描述自己的LSA摘要，此时RouterB将报文的序列号改为Seq=Y+1。上述过程持续进行，RouterA通过重复RouterB的序列号来确认已收到RouterB的报文。RouterB通过将序列号Seq加1来确认已收到RouterA的报文。当RouterB发送最后一个DD报文时，在报文中写上M=0。2.5OSPF的状态机如图2-6所示，在广播网络中建立OSPF邻接关系的过程如下：（3）LSDB同步（LSA请求、LSA传输、LSA应答）。a）RouterA收到最后一个DD报文后，发现RouterB的数据库中有许多LSA是自己没有的，将邻居状态机改为Loading状态。此时RouterB也收到了RouterA的最后一个DD报文，但RouterA的LSA，RouterB都已经有了，不需要再请求，所以直接将RouterA的邻居状态机改为Full状态。2.5OSPF的状态机如图2-6所示，在广播网络中建立OSPF邻接关系的过程如下：（3）LSDB同步（LSA请求、LSA传输、LSA应答）。b）RouterA发送LSR报文向RouterB请求更新LSA。RouterB用LSU报文来回应RouterA的请求。RouterA收到后，发送LSAck报文确认。上述过程持续到RouterA中的LSA与RouterB的LSA完全同步为止，此时RouterA将RouterB的邻居状态机改为Full状态。当路由器交换完DD报文并更新所有的LSA后，此时邻接关系建立完成。2.5OSPF的状态机2.在NBMA网络中建立OSPF邻接关系NBMA网络和广播网络的邻接关系建立过程只在交换DD报文前不一致，如图2-7中所示。在NBMA网络中，所有路由器只与DR和BDR之间形成邻接关系。图2-7在NBMA网络中建立OSPF邻接关系2.5OSPF的状态机2.在NBMA网络中建立OSPF邻接关系如图2-7所示，在NBMA网络中建立OSPF邻接关系的过程如下：（1）建立邻居关系a)RouterB向RouterA的一个状态为Down的接口发送Hello报文后，RouterB的邻居状态机置为Attempt。此时，RouterB认为自己是DR路由器（DR=），但不确定邻居是哪台路由器（NeighborsSeen=0）。b)RouterA收到Hello报文后将邻居状态机置为Init，然后再回复一个Hello报文。此时，RouterA同意RouterB是DR路由器（DR=），并且在NeighborsSeen字段中填入邻居路由器的RouterID（NeighborsSeen=）。2.5OSPF的状态机2.在NBMA网络中建立OSPF邻接关系如图2-7所示，在NBMA网络中建立OSPF邻接关系的过程如下：（2）主/从关系协商、DD报文交换过程同广播网络的邻接关系建立过程。（3）LSDB同步（LSA请求、LSA传输、LSA应答）过程同广播网络的邻接关系建立过程。3.在点到点/点到多点网络中建立OSPF邻接关系在点到点/点到多点网络中，邻接关系的建立过程和广播网络一样，唯一不同的是不需要选举DR和BDR，DD报文是单播发送的。2.6OSPF虚链路虚链路（Virtual-link）是骨干区域（Area0）的一段延伸，能以对方的RouterId建立邻居，解决某个区域没有与Area0直接相连或Area0不连贯的问题。如图2-8所示。当一个非骨干区域（如Area2）没有与骨干区域直接相连时，可以通过在Area2和Area0之间的某个区域边界路由器（R4和R2）上配置虚链路，来建立Area2与Area0之间的逻辑连接。虚链路允许OSPF路由器在不直接物理相连的情况下交换路由信息，从而解决了AreaX没有与Area0直接相连的问题。图2-8Area0与非直接相连区域Area2通过虚链路连接2.6OSPF虚链路如图2-9所示。图2-9不连贯的Area0区域通过虚链路连接2.6OSPF虚链路当骨干区域因为某些原因（如物理链路故障、设备故障或配置错误等）被分割成多个不连通的部分时，非骨干区域将失去与骨干区域的连接，导致路由信息无法正常传播，进而影响网络的连通性和稳定性。通过配置OSPF虚链路，可以在非骨干区域与骨干区域之间建立逻辑连接，即使物理链路不存在或不可达，也能保证路由信息的正常传播。具体来说，虚链路通过在一个或多个中间区域的ABR（区域边界路由器）上配置，使得原本不直接相连的区域之间建立起逻辑上的连接关系。这样，即使骨干区域被分割，非骨干区域仍然可以通过虚链路与骨干区域进行通信，从而维持网络的连通性。项目规划设计项目规划设计本项目中，使用5台路由器、4台交换机和4台PC来组成企业新旧园区的网络，楼宇路由器R1、R2、R5作为新园区网络核心，计划使用OSPF骨干区域0，智能制造车间路由器R3楼宇路由器R2与互联链路规划使用区域1，2号楼内R5、SW2使用区域2，1号楼内R1、SW1使用区域3。旧园区原有路由器R4、交换机SW3和交换机SW4使用区域0，新旧园区的网络互通需要通过R2和R3建立虚链路的方式将两个区域0合并，本项目网络拓扑如图2-10所示。图2-10网络拓扑项目规划设计根据图2-10所示拓扑图进行项目的业务规划，项目2的VLAN规划、设备管理规划、端口互联规划、IP规划见表2-1~表2-3。表2-1项目2VLAN规划VLAN-IDVLAN命名网段用途VLAN10Office-1/24办公楼用户网段VLAN20Production-1/24生产车间用户网段VLAN30Office-2/24办公楼用户网段VLAN40Production-2/24生产车间用户网段VLAN101Link-1/24互联网段VLAN102Link-2/24互联网段VLAN103Link-3/24互联网段VLAN104Link-4/24互联网段项目规划设计根据图2-10所示拓扑图进行项目的业务规划，项目2的VLAN规划、设备管理规划、端口互联规划、IP规划见表2-1~表2-3。表2-2项目2端口互联规划本端设备本端端口端口配置对端设备对端端口R1G0/0-R2G0/0G0/1-SW5G0/1G0/2-R5G0/0R2G0/0-R1G0/0G0/1-R3G0/1R3G0/0-R4G0/0G0/1-R2G0/1项目规划设计根据图2-10所示拓扑图进行项目的业务规划，项目2的VLAN规划、设备管理规划、端口互联规划、IP规划见表2-1~表2-3。表2-2项目2端口互联规划本端设备本端端口端口配置对端设备对端端口R4G0/0-R3G0/0G0/1-SW3G0/1G0/2-SW4G0/1R5G0/0-SW2G0/1G0/1-R1G0/2项目规划设计根据图2-10所示拓扑图进行项目的业务规划，项目2的VLAN规划、设备管理规划、端口互联规划、IP规划见表2-1~表2-3。表2-2项目2端口互联规划本端设备本端端口端口配置对端设备对端端口SW1G0/1AccessR1G0/1SW2G0/1AccessR5G0/1SW3G0/1AccessR4G0/1SW4G0/1AccessR4G0/2项目规划设计根据图2-10所示拓扑图进行项目的业务规划，项目2的VLAN规划、设备管理规划、端口互联规划、IP规划见表2-1~表2-3。表2-3项目2IP规划设备接口IP地址用途R1G0/0/24设备互联网段G0/154/24设备互联网段G0/254/24设备互联