控制交换网络中的广播流量.ppt

交换机基础与VLAN,2,为了保证办公网安全，保证办公网不被其它部门网直接访问，实现办公网和教学网以及其它网络之间的技术隔离。,构建安全办公网工作场景,3,构建安全办公网工作拓扑,4,构建安全办公网需求分析,1、为了保证办公网信息的安全，保证办公网需要保密的信息，希望通过技术，实现办公网和教学网以及其它网络之间的技术隔离。2、学院希望通过技术实现办公网和教学网以及其它网络之间的技术隔离。同时保证办公楼和教学楼同一部门之间的网络互相连通，共享网络信息资源。,5,构建安全办公网知识准备,为组建安全中型办公网络项目，需要的知识准备有：子网规划知识；交换机虚拟局域网络知识；划分虚拟局域网络技术；理解VLAN交换机中端口区别；理解干道技术；区分portvlan和tagvlan。单臂路由知识；三层交换机知识，交换机上划分VLAN；跨交换机实现VLAN通讯；三层交换机实现全网互通,6,安全办公网络项目知识介绍,广播流量分割全网之间的互通,7,交换网络中的问题,在交换机组成的校园网络里所有主机都在同一个广播域内,广播域,安全,广播,8,随着网络规模的增大带来的一些问题：网内数据传输量增大，网速变得越来越慢！计算机遭受黑客攻击，关键部门存在安全隐患！同一部门的人员分布不同的地域，不能相对集中办公！,交换网络中的存在问题,9,交换网络中问题的解决-VLAN,VLAN20,通过VLAN技术可以对网络进行一个安全的隔离、分割广播域,VLAN10,VLAN30,VLAN40,10,VLAN在交换机中的实现,分段灵活性安全性,第三层,第二层,第一层,销售部,人力资源部,工程部,一个VLAN=一个广播域=逻辑网段(子网),11,VLAN（VirtualLocalAreaNetwork）在物理网络上划分出逻辑网，对应OSI模型第二层。VLAN划分不受端口物理位置限制，VLAN和普通物理网络有同样属性。第二层数据单播、广播只在一个VLAN内转发，不会进入其他VLAN中。,VLAN技术,12,VLAN特点,安全隔离，不同VLAN之间不能直接访问，需通过路由设备相连隔离广播不受物理位置限制,13,划分VLAN的方法,基于端口的VLAN基于协议的VLAN基于MAC层分组的VLAN基于子网的VLAN,14,基于交换机的端口(一个端口只属于一个VLAN),VLAN的类型:PortVLAN,F0/1,F0/2,F0/3,15,Port-vlan原理,F0/1,F0/2,F0/3,A,B,C,Vlan10,Vlan20,Vlan10,ABAC,X,16,VLAN在单交换机中的实现,数据1,交换机内部,数据1,数据2,数据2,101,102,17,创建VLAN10，将它命名为test的例子Switch#configureterminalSwitch(config)#vlan10Switch(config-vlan)#end把fastethernet0/10作为access口加入了VLAN100Switch#configureterminalSwitch(config)#interfacefastethernet0/10Switch(config-if)#switchportaccessvlan10Switch(config-if)#end,配置PortVLAN-Access(1),18,将一组接口加入某一个VLANSwitch(config)#interfacerangefastethernet0/1-10，0/15，0/20Switch(config-if-range)#switchportaccessvlan20Switch(config-if-range)#noshutdown注：连续接口0/1-10，中间使用空格分离;不连续多个接口，中间用逗号隔开；如果使用模块，一定要写明模块编号。,配置PortVLAN-Access(2),19,VLAN相关配置,VLAN30,VLAN40,Switch(config)#interfacerangefastethernet0/1-2Switch(config-if-range)#switchportaccessvlan30Switch(config-if)#exitSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportaccessvlan40Switch(config-if)#exitSwitch(config)#interfacefastethernet0/4Switch(config-if)#switchportaccessvlan40Switch(config-if)#exit,如果批量将端口加入VLAN，可用关键字range（见端口加入VLAN30配置），如果只加单一接口（见端口加入VLAN40配置）,20,SwitchB,VLAN30,VLAN20,VLAN10,跨交换机VLAN间通信,A交换机上VLAN10的端口范围中取一个端口，和交换机B上VLAN10范围中的某个端口，作级联连接。如果交换机上划了10个VLAN，就需要分别连10条线作级联，端口效率就太低了。,21,SwitchB,VLAN30,VLAN20,VLAN10,TagVLAN,在交换机之间用一条级联线，并将对应的端口设置为Trunk，这条线路就可以承载交换机上所有VLAN的信息。Trunk端口传输多个VLAN的信息，实现同一VLAN跨越不同的交换机,跨交换机VLAN之间的通信:TagVLAN,22,目的,源MAC地址,类型,数据,重新计算帧检测序列,2字节标记协议标识2字节标记控制信息,Trunk端口技术处理：IEEE802.1Q数据帧,标记协议标识（TPID）:固定值0 x8100,表示该帧载有802.1q标记信息标记控制信息（TCI）:Priority3比特：表示优先级Canonicalformatindicator1比特：区别以太网、FDDIVlanID12比特：表示VID，范围14094,目的MAC地址,源MAC地址,类型,数据,重新计算帧检测序列,IEEE802.3帧,IEEE802.1Q帧,24,802.1Q帧只在交换机的trunk链路上传输，对用户透明的。默认Trunk端口，转发交换机上所有VLAN的数据。,A,交换机1,交换机2,802.1Q工作过程,B,数据帧,Tag标签,25,配置VLAN-Trunk技术,把Fa0/1配成Trunk口Switch#configureterminalSwitch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#noshutdown,26,VLAN相关配置,f0/1,f0/1,switch1,switch2,Switch1#configSwitch1(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunk(将二层接口的属性设置为trunk)Switch2#configSwitch2(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunk,当交换机与交换机相联系时，常将交换机之间连接的链路设置为TRUNK链路，用来确保连接不同交换机之间的链路可以传递多个VLAN的信息。,27,删除VLAN,删除VALN,需要先删除VLAN下接口:Switch(config)#interfacefastethernet0/10Switch(config-if)#noswitchportSwitch(config-if)#exit再删除VLANSwitch(config)#novlan10,28,VLAN的实现,Portvlan基于交换机端口进行VLAN的划分一个端口只能属于一个VLAN一个VLAN可以包含多个端口接口模式为access用于连接最终用户设备Tagvlan一个端口可以属于多个VLAN默认情况下属于所有VLAN接口模式为trunk用于交换机之间级联,29,VLAN的特征,一个vlan中的所有设备处于同一个广播域一个VLAN是一个逻辑的子网或由定义的成员所组成的一个网络段,VLAN之间通信必须要进行路由VLAN的成员通常是基于交换机的端口号,但也可基于设备的MAC地址而动态设置.,30,将VLAN信息保存到flash中Switch#writememory从flash中清除VLAN信息Switch#deleteflash:vlan.dat,保存/清除VLAN信息,31,VLAN10,VLAN20,172.20.0.0/16,VLAN30,172.10.0.0/16,172.30.0.0/16,VLAN间通信的方法,VLAN间通信通过三层路由来通讯,32,VLANs,EngineeringVLAN,MarketingVLAN,SalesVLAN,Floor#1,Floor#2,Floor#3,PhysicalLayerLANSwitch,HumanLayer,NetworkLayer,192.20.24.0,RoutingFunctionInterconnectsVLANs,192.20.21.0,192.30.20.0,Data-LinkLayerBroadcastDomains,33,VLAN10,VLAN30,VLAN20,多条链路连接多个VLAN,浪费路由接口,三层路由器VLAN间通讯,34,在三层交换机上使用SVI虚拟接口技术，在功能上实现了VLAN间路由通讯功能。,VLAN20Network172.16.20.4,VLAN30Network172.16.30.5,VLAN10Network172.16.10.3,三层交换机进行VLAN间路由,使用三层交换接口实现VLAN间路由的通讯，交换接口成本降低。,35,三层交换SVI技术配置方法,第一步：分别在三层上创建每个VLAN对应的SVI端口，Switch(config)#vlan10Switch(config)#vlan20第二步:为三层上创建的VLAN分配路由IP地址：Switch(config)#interfacevlanSwitch(config-if)#ipaddressSwitch(config-if)#noshutdown第三步：将二层VLAN内连接主机的网关，指定为本VLAN对应的三层接口地址,36,三层接口（SVI）,三层交换机,Vlan10Interfacef0/1Switchportaccessvlan10Vlan20Interfacef0/2Switchportaccessvlan20Interfacevlan10Ipaddress10.1.1.1255.255.255.0NoshutdownInterfacevlan20Ipaddress10.1.2.1255.255.255.0Noshutdown,F0/1,F0/1,F0/2,F0/2,10.1.1.0/24,10.1.2.0/24,37,三层接口（routedport）,VLAN10,VLAN20,三层交换机,Interfacefastethernet0/1Noswitchport(将交换机二层接口转换为三层接口)Ipaddress10.1.1.1255.255.255.0NoshutdownInterfacefastethernet0/2NoswitchportIpaddress10.1.2.1255.255.255.0Noshutdown,F0/1,F0/1,F0/2,F0/2,10.1.1.0/24,10.1.2.0/24,38,安全办公网络项目实施,39,案例拓扑结构,1000M,100M,VLAN3,100M,100M,VLAN10,VLAN11,总经理VLAN99,SW-L3,S2126G1,S2126G2,S2126G3,S2126G4,堆叠,40,技术实验报告-地址表,41,技术实验报告-VLAN分配表,42,技术实验报告-需求1,需求1：公司内部员工可以互相通过网络互相交流。第一步：在相关交换机上创建VLAN，并将接口划分到相关VLAN中S2126G1(config)#vlan2S2126G1(config-vlan)#exitS2126G1(config)#vlan3S2126G1(config-vlan)#exitS2126G1(config)#interfacerangefastethernet0/3-11S2126G1(config-if-range)#switchportaccessvlan2S2126G1(config-if-range)#exitS2126G1(config)#interfacerangefastethernet0/12-24S2126G1(config-if-range)#switchportaccessvlan3其他交换机配置略,43,技术实验报告-需求1,第二步:在核心交换机上开启VLAN间路由在此步骤之前应完成SW-L3上相关VLAN的建立，并将相应接口加入到相应VLANSW-L3(config)#interfacevlan2SW-L3(config-if)#ipaddress192.168.2.1255.255.255.0SW-L3(config-if)#noshutdownSW-L3(config-if)#exitSW-L3(config)#interfacevlan3SW-L3(config-if)#ipaddress192.168.3.1255.255.255.0SW-L3(config-if)#noshutdownSW-L3(config-if)#exitSW-L3(config)#interfacevlan10SW-L3(config-if)#ipaddress192.168.10.1255.255.255.0SW-L3(config-if)#noshutdownSW-L3(config-if)#exit,44,技术实验报告-需求1,接第二步:在核心交换机上开启VLAN间路由SW-L3(config)#interfacevlan11SW-L3(config-if)#ipaddress192.168.11.1255.255.255.0SW-L3(config-if)#noshutdownSW-L3(config-if)#exitSW-L3(config)#interfacevlan99SW-L3(config-if)#ipaddress192.168.99.1255.255.255.0SW-L3(config-if)#noshutdownSW-L3(config-if)#exit,45,技术实验报告-需求2,需求2:保证销售部门的员工能够全部接入网络，并且要保障接入交换机的工作效率。将S2126G3与S2126G4上的堆叠模块用堆叠线缆连接起来。连接方式为S2126G3UP-S2126G4DOWNS2126G3DOWN-S2126G4UP,46,技术实验报告-需求3,需求3:保证财务部门接入网络时不因线路问题出现不能访问的情况。第一步:建立S2126G1与SW-L3之间的双链路S2126G1(config)#interfacerangefastethernet0/1-2S2126G1(config-