构建安全办公网络

1、构建平安中型办公网 工程五 为了保证办公网平安，保证办公网不被其它部门网直接访问，实现办公网和教学网以及其它网络之间的技术隔离。 构建平安办公网任务场景 构建平安办公网任务拓扑 构建平安办公网需求分析 1、为了保证办公网信息的平安，保证办公网需求严密的信息，希望经过技术，实现办公网和教学网以及其它网络之间的技术隔离。 2、学院希望经过技术实现办公网和教学网以及其它网络之间的技术隔离。同时保证办公楼和教学楼同一部门之间的网络相互连通，共享网络信息资源。 构建平安办公网知识预备 为组建平安中型办公网络工程，需求的知识预备有： 子网规划知识；交换机虚拟局域网络知识； 划分虚拟局域网络技术；了解VLA

2、N交换机中端口区别；了解干道技术；区分port vlan和tag vlan。单臂路由知识；三层交换机知识，交换机上划分VLAN；跨交换机实现VLAN通讯；三层交换机实现全网互通 平安办公网络工程知识引见 广播流量分割 全网之间的互通交换网络中的问题在交换机组成的校园网络里一切主机都在同一个广播域内广播域平安广播 随着网络规模的增大带来的一些问题： 网内数据传输量增大，网速变得越来越慢！ 计算机蒙受黑客攻击，关键部门存在平安隐患！ 同一部门的人员分布不同的地域，不能相对集中办公！交换网络中的存在问题交换网络中问题的处理-VLANVLAN20经过VLAN技术可以对网络进展一个平安的隔离、分割广播域

3、VLAN10VLAN30VLAN40VLAN在交换机中的实现 分段灵敏性平安性第三层第二层第一层销售部人力资源部工程部一个VLAN =一个广播域 = 逻辑网段 (子网) VLAN Virtual Local Area Network在物理网络上划分出逻辑网，对应OSI 模型第二层。VLAN划分不受端口物理位置限制，VLAN和普通物理网络有同样属性。第二层数据单播、广播只在一个VLAN内转发，不会进入其他VLAN中。VLAN技术VLAN特点平安隔离，不同VLAN之间不能直接访问，需经过路由设备相连 隔离广播不受物理位置限制划分VLAN的方法 基于端口的VLAN 基于协议的VLAN 基于MAC层分

4、组的VLAN 基于子网的VLAN基于交换机的端口(一个端口只属于一个VLAN) VLAN的类型:Port VLANF0/1F0/2F0/3Port-vlan原理交换机端口MAC地址VLAN IDF0/1A10F0/2B20F0/3C10F0/1F0/2F0/3ABCVlan 10Vlan 20Vlan 10A BA CXVLAN在单交换机中的实现数据1交换机内部数据1数据2数据2101102创建VLAN100，将它命名为test的例子Switch # configure terminalSwitch(config) # vlan 10Switch(config-vlan) # end 把fas

5、tethernet 0/10作为access口参与了VLAN100 Switch # configure terminalSwitch(config) # interface fastethernet0/10Switch(config-if) # switchport access vlan 10Switch(config-if) # end配置Port VLAN-Access(1) 将一组接口参与某一个VLANSwitch(config)#interface range fastethernet 0/1-10，0/15，0/20Switch(config-if-range)#switchpo

6、rt access vlan 20Switch(config-if-range)#no shutdown注：延续接口 0/1-10，中间运用空格分别; 不延续多个接口，中间用逗号隔开； 假设运用模块，一定要写明模块编号。配置Port VLAN-Access(2)VLAN相关配置VLAN30VLAN40Switch(config)#interface range fastethernet 0/1-2Switch(config-if-range)#switchport access vlan 30Switch(config-if)#exitSwitch(config)#interface fast

7、ethernet 0/3Switch(config-if)#switchport access vlan 40Switch(config-if)#exitSwitch(config)#interface fastethernet 0/4Switch(config-if)#switchport access vlan 40Switch(config-if)#exit假设批量将端口参与VLAN，可用关键字range见端口参与VLAN30配置，假设只加单一接口见端口参与VLAN40配置Switch AVLAN30VLAN20 VLAN10Switch BVLAN30VLAN20VLAN10跨交换机V

8、LAN间通讯 A交换机上VLAN10的端口范围中取一个端口，和交换机B上VLAN10范围中的某个端口，作级联衔接。 假设交换机上划了10个VLAN，就需求分别连10条线作级联，端口效率就太低了。 Switch AVLAN30VLAN20 VLAN10Switch BVLAN30VLAN20VLAN10Tag VLAN在交换机之间用一条级联线，并将对应的端口设置为Trunk，这条线路就可以承载交换机上一切VLAN的信息。Trunk端口传输多个VLAN的信息，实现同一VLAN跨越不同的交换机跨交换机VLAN之间的通讯:Tag VLANVLAN1VLAN1VLAN2VLAN2VLAN3VLAN3Ba

9、ckboneVLAN1VLAN2VLAN3目的,源MAC地址类型,数据重新计算帧检测序列2字节标志协议标识2字节标志控制信息 Trunk端口技术处置：IEEE802.1Q数据帧标志协议标识TPID:固定值0 x8100,表示该帧载有802.1q标志信息标志控制信息TCI: Priority 3比特：表示优先级 Canonical format indicator 1比特：区别以太网、FDDI VlanID 12比特：表示VID，范围14094目的MAC地址,源MAC地址类型,数据重新计算帧检测序列IEEE802.3帧IEEE802.1Q帧802.1Q帧只在交换机的trunk链路上传输，对用户透

10、明的。默许Trunk端口，转发交换机上一切VLAN的数据。A交换机1交换机2802.1Q任务过程B数据帧Tag标签配置VLAN-Trunk技术把Fa 0/1配成Trunk口Switch# configure terminalSwitch(config)# interface fastethernet0/1Switch(config-if)# switchport mode trunkSwitch(config-if)#no shutdownVLAN相关配置f0/1f0/1switch1switch2Switch1#configSwitch1(config) #interface fasteth

11、ernet 0/1Switch(config-if)#switchport mode trunk (将二层接口的属性设置为trunk)Switch2#configSwitch2(config) #interface fastethernet 0/1Switch(config-if)#switchport mode trunk 当交换机与交换机相联络时，常将交换机之间衔接的链路设置为TRUNK链路，用来确保衔接不同交换机之间的链路可以传送多个VLAN的信息。删除VLAN删除VALN,需求先删除VLAN下接口:Switch(config)# interface fastethernet0/10Sw

12、itch(config-if)# no switchport Switch(config-if)# exit再删除VLANSwitch(config)# no vlan 10VLAN的实现Port vlan基于交换机端口进展VLAN的划分一个端口只能属于一个VLAN一个VLAN可以包含多个端口接口方式为access用于衔接最终用户设备Tag vlan一个端口可以属于多个VLAN默许情况下属于一切VLAN接口方式为trunk用于交换机之间级联VLAN的特征 一个vlan中的一切设备处于同一个广播域一个VLAN是一个逻辑的子网或由定义的成员所组成的一个网络段,VLAN之间通讯必需求进展路由VLAN

13、的成员通常是基于交换机的端口号,但也可基于设备的MAC地址而动态设置.将VLAN信息保管到flash中Switch#write memory从flash中去除VLAN信息Switch#delete flash:vlan.dat保管/去除VLAN信息VLAN10VLAN20172.20.0.0/16VLAN30172.10.0.0/16172.30.0.0/16VLAN间通讯的方法VLAN间通讯经过三层路由来通讯VLANsEngineeringVLANMarketingVLANSalesVLANFloor #1Floor #2Floor #3Physical LayerLAN SwitchHum

14、an LayerNetwork Layer192.20.24.0Routing FunctionInterconnects VLANs192.20.21.0192.30.20.0Data-Link LayerBroadcastDomainsVLAN10VLAN30VLAN20多条链路衔接多个VLAN,浪费路由接口三层路由器VLAN间通讯VLAN10VLAN30VLAN20 运用一条链路衔接多个VLAN,在一个链路接口上划分子接口技术来处理。单臂路由处理思想FA 1Interface FA 1Subinterface 1.1Subinterface 1.2Subinterface 1.3VLAN

15、 1VLAN 2ISLinterface fastethernet 0/0 no ip address!interface fastethernet 0/0.1 ip address 10.1.1.1 255.255.255.0 interface fastethernet 0/0.2 ip address 10.2.2.1 255.255.255.0FastE0/010.1.1.210.2.2.2单臂路由处理思想 在三层交换机上运用SVI虚拟接口技术，在功能上实现了VLAN间路由通讯功能。VLAN20Network 172.16.20.4VLAN30Network 172.16.30.5VL

16、AN10Network 172.16.10.3三层交换机进展VLAN间路由 运用三层交换接口实现VLAN间路由的通讯，交换接口本钱降低。三层交换SVI技术配置方法第一步：分别在三层上创建每个VLAN对应的SVI端口， Switch(config)#vlan 10 Switch(config)#vlan 20第二步:为三层上创建的VLAN分配路由IP地址： Switch(config)# interface vlan Switch(config-if)# ip address Switch(config-if)#no shutdown第三步：将二层VLAN内衔接主机的网关，指定为本VLAN对应的

17、三层接口地址三层接口SVIVLAN10VLAN20三层交换机Vlan 10Interface f0/1Switchport access vlan 10Vlan 20Interface f0/2Switchport access vlan 20Interface vlan 10Ip address 10.1.1.1 255.255.255.0No shutdownInterface vlan 20Ip address 10.1.2.1 255.255.255.0No shutdownF0/1F0/1F0/2F0/210.1.1.0/2410.1.2.0/24三层接口routed portVLA

18、N10VLAN20三层交换机Interface fastethernet 0/1No switchport (将交换机二层接口转换为三层接口)Ip address 10.1.1.1 255.255.255.0No shutdownInterface fastethernet 0/2No switchportIp address 10.1.2.1 255.255.255.0No shutdownF0/1F0/1F0/2F0/210.1.1.0/2410.1.2.0/24 平安办公网络工程实施案例拓扑构造1000M100MVLAN2VLAN3100M100MVLAN10VLAN11总经理VLAN9

19、9SW-L3S2126G1S2126G2S2126G3S2126G4堆叠技术实验报告-地址表设备名称设备地址接口连接SW-L3VLAN2:192.168.2.1/24F0/1连接S2126G1 F0/1VLAN3:192.168.3.1/24F0/2连接S2126G1 F0/2VLAN10:192.168.10.1/24F0/23连接S2126G2 F0/23F0/24连接S2126G2 F0/24VLAN11:192.168.11.1/24F0/11(VLAN11)连接S2126G3 F0/1VLAN99:192.168.99.1/24F0/9(VLAN99)连接总经理PCS2126G1VL

20、AN3:192.168.3.2/24F0/1连接SW-L3 F0/1F0/2连接SW-L3 F0/2S2126G2VLAN11:192.168.5.2/24F0/23连接SW-L3 F0/23F0/24连接SW-L3 F0/24S2126G3VLAN11:192.168.11.2/24F0/1连接SW-L3 F0/11接口S2126G4S2126G4与S2126G3堆叠总经理PCIP:192.168.99.99/24网卡与SW-L3 F0/9连接技术实验报告-VLAN分配表设备名称VLAN ID接口分配SW-L3VLAN11F0/11(VLAN11)VLAN99F0/9(VLAN99)S212

21、6G1VLAN2VLAN3F0/3-F0/11F0/12-F0/24S2126G2VLAN11F0/1-F0/22S2126G3VLAN11全部接口分配到VLAN11S2126G4技术实验报告-需求1需求1：公司内部员工可以相互经过网络相互交流。第一步：在相关交换机上创建VLAN，并将接口划分到相关VLAN中S2126G1(config)#vlan 2S2126G1(config- vlan)#exitS2126G1(config)#vlan 3S2126G1(config- vlan)#exitS2126G1(config)#interface range fastethernet 0/3-

22、11S2126G1(config-if-range)#switchport access vlan 2S2126G1(config-if-range)#exitS2126G1(config)#interface range fastethernet 0/12-24S2126G1(config-if-range)#switchport access vlan 3其他交换机配置略技术实验报告-需求1第二步:在中心交换机上开启VLAN间路由在此步骤之前应完成SW-L3上相关VLAN的建立，并将相应接口参与到相应VLANSW-L3(config)#interface vlan 2SW-L3(confi

23、g-if)#ip address 192.168.2.1 255.255.255.0SW-L3(config-if)#no shutdownSW-L3(config-if)#exitSW-L3(config)#interface vlan 3SW-L3(config-if)#ip address 192.168.3.1 255.255.255.0SW-L3(config-if)#no shutdownSW-L3(config-if)#exitSW-L3(config)#interface vlan 10SW-L3(config-if)#ip address 192.168.10.1 255.2

24、55.255.0SW-L3(config-if)#no shutdownSW-L3(config-if)#exit技术实验报告-需求1接第二步:在中心交换机上开启VLAN间路由SW-L3(config)#interface vlan 11SW-L3(config-if)#ip address 192.168.11.1 255.255.255.0SW-L3(config-if)#no shutdownSW-L3(config-if)#exitSW-L3(config)#interface vlan 99SW-L3(config-if)#ip address 192.168.99.1 255.255.255.0SW-L3(config-if)#no shutdownSW-L3(config-if)#exit技术实验报告-需求2需求2: 保证销售部门的员工可以全部接入网络，并且要保证接入交换机的任务效率。将S2126G3与S2126G4上的堆叠模块用堆叠线缆衔接起来。衔接方式为S2126G3 UP - S2126G4 DOWN S2126G3 DOWN - S2126G4 UP技术实验报告-需求3需求3:保证财务部门接入网络时不因线路问题出现不能访问