《计算机网络技术》-项目三 网络隔离

项目背景某企业有两个主要部门：销售部和技术部，其中销售部门的个人计算机系统连接在不同的交换机上，他们之间需要相互进行通信，但为了数据安全起见，销售部和技术部需要相互隔离；技术部的个人计算机系统虽然连接在一个交换机上，但由于研发项目的不同也要求研发小组之间相互隔离；同一研发小组的计算机之间能够通信，但某一研发小组的两台计算机之间要求隔离。单交换机上创建多个VLAN段

设置同一VLAN两台PC的隔离

实现单交换机上多个VLAN的隔离

跨交换机进行VLAN配置

本章主要内容查看交换机的系统和配置信息

删除VLAN

【知识拓展】（1）VLANTag为使交换机能够分辨不同VLAN的报文，需要在报文中添加标识VLAN的字段。由于交换机工作在OSI模型的数据链路层，只能对报文的数据链路层封装进行识别。因此，识别字段需要添加到数据链路层封装中。传统的以太网数据帧在目的MAC地址和源MAC地址之后封装上层协议的类型字段。其中DA表示目的MAC地址，SA表示源MAC地址，Type表示报上层协议的类型字段。IEEE802.1Q协议规定，在目的MAC地址和源MAC地址之后封装4个字节的VLANTag，用以标识VLAN的相关信息。知识准备如图3-2所示，VLANTag包含四个字段，分别是TPID（TagProtocolIdentifier标签协议标识符）、Priority、CFI（CanonicalFormatIndicator标准格式指示位）和VLANID。TPID：用来标识本数据帧是带有VLANTag的数据帧。该字段长度为16bit，在Quidway系列以太网交换机上缺省取值为协议规定的0x8100。Priority：用来表示802.1Q的优先级，该字段长度为3bit。CFI：用来标识MAC地址是否以标准格式进行封装。该字段长度为1bit，取值为0表示MAC地址以标准格式进行封装，为1表示以非标准格式封装，缺省取值为0。VLANID：用来标识该报文所属VLAN的编号。该字段长度为12bit，取值范围为0～4095。由于0和4095通常不使用，所以VLANID的取值范围一般为1～4094。知识准备

（2）三类端口的区别三类端口对报文的接收和发送会有不同的处理方式.表3-1Access端口收发报文的处理接收报文时的处理发送报文时的处理当接收到的报文不带Tag时当接收到的报文带有Tag时接收该报文，并为报文添加缺省VLAN的Tagl

当VLANID与缺省VLANID相同时：接收该报文l

当VLANID与缺省VLANID不同时：丢弃该报文由于VLANID就是缺省VLANID，不用设置，去掉Tag后发送知识准备表3-2Trunk端口收发报文的处理

接收报文时的处理发送报文时的处理当接收到的报文不带Tag时当接收到的报文带有Tag时l

当端口已经加入缺省VLAN时，为报文封装缺省VLAN的Tag并转发l

当端口没有加入缺省VLAN时，丢弃该报文l

当VLANID是该端口允许通过的VLANID时：接收该报文l

当VLANID不是该端口允许通过的VLANID时：丢弃该报文l

当VLANID与缺省VLANID相同时：去掉Tag，发送该报文l

当VLANID与缺省VLANID不同时：保持原有Tag，发送该报文知识准备接收报文时的处理发送报文时的处理当接收到的报文不带Tag时当接收到的报文带有Tag时l

当端口已经加入缺省VLAN时，为报文封装缺省VLAN的Tag并转发l

当端口没有加入缺省VLAN时，丢弃该报文l

当VLANID是该端口允许通过的VLANID时：接收该报文l

当VLANID不是该端口允许通过的VLANID时：丢弃该报文当报文中携带的VLANID是该端口允许通过的VLANID时，发送该报文，并可以通过porthybridvlan命令配置端口在发送该VLAN（包括缺省VLAN）的报文时是否携带Tag表3-3Hybrid端口收发报文的处理知识准备

拓扑结构步骤1：配置两台交换机的主机名为SwitchA和SwitchB。单交换机创建VLANSwitch>enSwitch#conftSwitch(config)#hostnameSwitchASwitchA(config)#步骤2：在SwitchA上创建vlan10和vlan20。Switch>enSwitch#configterminalSwitch(config)#vlan10Switch(config-vlan)#namesalesSwitch(config-vlan)#exitSwitch(config)#vlan20Switch(config-vlan)#nametechnicalSwitch(config-vlan)#exitSwitch(config)#单交换机创建VLAN步骤3：在SwitchB上创建vlan10和vlan30。Switch>enSwitch#configtSwitch(config)#vlan10Switch(config-vlan)#namesalesSwitch(config-vlan)#vlan30Switch(config-vlan)#nametechnical2Switch(config-vlan)#exit单交换机创建VLAN步骤4：配置PC的IP地址。!配置PC4-7的IP地址分别为192.168.1.2/24，192.168.1.3/24，192.168.1.7/24，192.168.1.8/24。!配置PC0-3的IP地址分别为192.168.1.1/24，192.168.1.4/24，192.168.1.5/24，192.168.1.6/24。单交换机创建VLAN步骤1：在SwitchA上将fa0/1划入vlan10多个VLAN的隔离Switch(config)#intf0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#exit步骤2：将fa0/10、fa0/11、fa0/12划入vlan20Switch(config)#intrangef0/10-12Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan20Switch(config-if-range)#exit多个VLAN的隔离步骤3：在SwitchB上将fa0/1、fa0/2划入vlan10，fa0/11、fa0/12划入vlan30。Switch(config)#intrangef0/1-2Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan10Switch(config-if-range)#exitSwitch(config)#intrangef0/11-12Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan30Switch(config-if-range)#exit多个VLAN的隔离步骤4：测试连通性（以PC4为例）PC>ping192.168.1.3Pinging192.168.1.3with32bytesofdata:Replyfrom192.168.1.3:bytes=32time=109msTTL=128Replyfrom192.168.1.3:bytes=32time=47msTTL=128Replyfrom192.168.1.3:bytes=32time=63msTTL=128Replyfrom192.168.1.3:bytes=32time=63msTTL=128Pingstatisticsfor192.168.1.3:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=47ms,Maximum=109ms,Average=70ms多个VLAN的隔离PC>ping192.168.1.7Pinging192.168.1.7with32bytesofdata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Pingstatisticsfor192.168.1.7:Packets:Sent=4,Received=0,Lost=4(100%loss),多个VLAN的隔离步骤1：在SwitchA和SwitchB上分别配置F0/24口为中继口跨交换机VLAN配置SwitchA(config)#intf0/24SwitchA(config-if)#switchportmodetrunkSwitchB(config)#intf0/24SwitchB(config-if)#switchportmodetrunk步骤2：测试连通性PC0与PC4、PC5均能连通，说明跨交换机能实现同一VLAN的通信PC>ping192.168.1.2Pinging192.168.1.2with32bytesofdata:Replyfrom192.168.1.2:bytes=32time=94msTTL=128Replyfrom192.168.1.2:bytes=32time=94msTTL=128Replyfrom192.168.1.2:bytes=32time=80msTTL=128Replyfrom192.168.1.2:bytes=32time=94msTTL=128Pingstatisticsfor192.168.1.2:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=80ms,Maximum=94ms,Average=90ms跨交换机VLAN配置【注意事项】1.交换机所有的端口在默认情况下属于ACCESS端口，可直接将端口加入某一VLAN。利用switchportmodeaccess/trunk命令可以更改端口的VLAN模式。2.VLAN1属于系统的默认VLAN，不可以被删除。3.Trunk接口在默认情况下支持所有VLAN的传输。跨交换机VLAN配置步骤1：查看交换机设备运行配置查看VLAN配置信息Switch#showrunhostnameSwitchAinterfaceFastEthernet0/1switchportaccessvlan10switchportmodeaccessinterfaceFastEthernet0/10switchportaccessvlan20switchportmodeaccessinterfaceFastEthernet0/11switchportaccessvlan20switchportmodeaccessinterfaceFastEthernet0/24switchportmodetrunk步骤2：查看交换机Vlan配置Switch#showvlanVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/2,Fa0/3,Fa0/4,Fa0/5Fa0/6,Fa0/7,Fa0/8,Fa0/9Fa0/13,Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19,Fa0/20Fa0/21,Fa0/22,Fa0/2310salesactiveFa0/120technicalactiveFa0/10,Fa0/11,Fa0/121002fddi-defaultact/unsup1003token-ring-defaultact/unsup1004fddinet-defaultact/unsup1005trnet-defaultact/unsup查看VLAN配置信息步骤1：交换机上做基本配置同一VLAN两台PC的隔离Switch（config）#hostnameSwitchASwitchA（config）#vlan2SwitchA（config-vlan）#namesaleSwitchA（config-vlan）#exitSwitchA（config）#interfacerangefastethernet0/1-3SwitchA（config-if-range）#switchportaccessvlan2SwitchA（config-if-range）#noshut步骤2：配置三台PC的IP地址，验证连通性配置三台PC的IP地址分别为192.168.1.1/24,192.168.1.2/24,192.168.1.3/24三台PC之间进行ping操作验证三者之间的连通性，正常情况下，三台PC可以正常通信。同一VLAN两台PC的隔离步骤3：隔离PC1与PC2端口。SwitchA（config）#interfacef0/1SwitchA（config-if）#switchportprotectedSwitchA（config-if）#exitSwitchA（config）#interfacef0/2SwitchA（config-if）#switchportprotectedSwitchA（config）#interfacerangefastethernet0/1-3SwitchA（config-if-range）#switchportaccessvlan2SwitchA（config-if-range）#noshut同一VLAN两台PC的隔离步骤4：用ping命令在三台PC之间进行验证。在三台PC之间验证后，PC1与PC2之间不能通信，PC3与PC1，PC2之间可以通信。【注意事项】1.若要隔离两个端口，两个端口都要设置成protectedport。2.要保护的端口都要设置成protectedport，在protectedport与非protectedport之间可以正常通信。同一VLAN两台PC的隔离步骤1：删除配置的接口。（以vlan20为例）步骤2：删除配置过的vlan接口。删除VLANSwitch(config)#intrangef0/10-12Switch(config-if-range)#noswSwitch(config-if-range)#noswitchportaccessvlan20Switch(config-if-range)#exitswitch(config)#nointvlan20步骤3：删除配置的VLAN。【注意事项】删除当前某个VLAN时，注意先将属于该VLAN的端口加入别的VLAN，再删除VLAN。删除VLANswitch(config)#novlan201.VLAN的概念VLAN（VirtualLocalAreaNetwork）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。知识拓展2.VLAN的划分方法

VLAN在交换机上的实现方法，可以大致划分为六类:（1）基于端口划分的VLAN这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。知识拓展（2）基于MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLANMAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为