隔离部门间互访课件

课程说明课程适用人员：适用于渠道工程师、中锐工程师、客户以及内部工程师课程特点：以刚入职的工程师“小锐”学习成长路线为背景素材，贯穿项目案例，方便新学员入门课程注重实用，强化配置案例，方便学员学习后遇到类似的项目能快速上手配置。知识点明确，通过回顾和练习重复课程重点。第1页/共4页02隔离部门间互访技术培训中心/锐捷网络第3页/共4页公共技术系列课程经过上次的学习，小锐明白了两台PC的通讯过程，小锐的兴趣也越来越大。这个项目后期还有新的需求，在大楼的五层和六层均有技术部和财务部的办公室，部门内部是要求互相通讯的，但是技术部和财务部是要求相互隔离的。二层交换机二层交换机三层交换机技术部技术部财务部财务部123123242421第5页/共4页公共技术系列课程他把自己的想法告诉经理。经理告诉他这个想法挺好，但是也提醒小锐，PC通讯的时候会发送ARP报文，其中的Request报文是广播，而交换机对广播报文是会洪泛的。另外这也是有安全隐患的，如果技术部有人将自己的IP地址改成和财务部一个网段的，他也就能访问财务部的电脑。小锐想想感觉很对，经理考虑的还是挺全面的。经理告诉小锐，二层交换机上有个重大的特点就是有vlan和trunk的概念，可以解决这个问题，让小锐学一学。二层交换机技术部财务部ARPRequestARPRequest第一章VLAN原理与配置第二章Trunk原理与配置隔离部门间互访第一章VLAN原理与配置VLAN：虚拟局域网（VirtualLocalAreaNetwork）VLAN是在一个物理网络中划分出来的逻辑网络。每个vlan用一个数字编号来标识，号码范围从1-4094。在二层交换机上，不同的vlan之间相当于物理隔离，之间不能相互通讯。交换机可以将每个端口划分一个vlan，vlan号码相同的端口表示是同一个vlan，下边连接的主机相当于在同一个网络。号码不同则表示是不同的网络，下边连接的主机之间不能进行通讯。每个vlan相当于一台独立的交换机。默认情况下，交换机上所有的端口都属于vlan1。第7页/共4页vlan10vlan20二层交换机技术部财务部123第一章VLAN原理与配置VLAN的配置步骤1：创建VLAN步骤2：在交换机上将相应的端口划分到VLAN里第8页/共4页RG-S2652G(config)#vlan10//创建VLANRG-S2652G(config-vlan)#nameJiShuBu//vlan的命名，用于对这个vlan进行描述RG-S2652G(config)#vlan20RG-S2652G(config-vlan)#nameCaiWuBuRG-S2652G(config)#interfacerangef0/1-2RG-S2652G(config-if-range)#switchportaccessvlan10//将该接口分配进VLAN10RG-S2652G(config)#interfacef0/3RG-S2652G(config-if)#switchportaccessvlan20vlan10vlan20二层交换机技术部财务部123第一章VLAN原理与配置查看交换机的mac地址表mac地址表中包含有vlan的信息，交换机只在属于同一个vlan的端口之间转发数据。第10页/共4页vlan10vlan20二层交换机技术部财务部123Ruijie#shmac-address-tableVlanMACAddressTypeInterface---------------------------------------------------------10001a.a919.414dDYNAMICFastEthernet0/110000d.9dd2.6587DYNAMICFastEthernet0/2200016.d32c.2070DYNAMICFastEthernet0/3…第一章VLAN原理与配置第二章Trunk原理与配置隔离部门间互访第二章Trunk原理与配置不同部门之间数据转发需求1：不同交换机之间的技术部需要互通，财务部也需要互通；解决1：交换机之间可以传递不同部门的数据；需求2：各个部门之间仍然需要隔离；解决2：交换机之间传递不同部门的数据要区分开；第14页/共4页二层交换机二层交换机三层交换机技术部技术部财务部财务部第二章Trunk原理与配置在一条线路上可以同时传输多个VLAN数据交换机之间互联的接口一般配置为Trunk，交换机之间传递数据的时候，会自动添加一个Tag，里边含有这个数据原始的vlan。数据传递到终点时，交换机去掉这个Tag标记，同时将数据传输给属于这个vlan的相应接口第15页/共4页二层交换机二层交换机三层交换机技术部技术部财务部财务部AccessAccessTrunkTrunkTrunkTrunkAccessAccessvlan10vlan20vlan20vlan10第二章Trunk原理与配置在一条线路上可以同时传输多个VLAN数据数据在从Trunk接口转发出去后，添加Tag标记，这个标记中包含有原来的vlan号码。第16页/共4页Dest.MACSrc.MACLen/typeDataFCS标准以太网数据帧802.1Q数据帧switchportaccessvlan10switchportmodetrunkDest.MACSrc.MACLen/typeDataFCSTAGTPIDpriorityCFIVLANID16bits3bits1bits12bits0x81000x00A为接收标准以太网数据帧的接口所属的VLAN，即access命令指定的VLANID0第二章Trunk原理与配置添加和去除Tag标记数据从交换机的Trunk口转发出去时候，添加含有原有vlanID的Tag标记；数据从交换机的Access口转发出去的时候，去掉Tag标记，同时，数据只能转发给原始vlan的端口。第17页/共4页vlan10vlan10TrunkTrunkTPIDpriorityCFIVLANIDTrunk的配置和查看注意：交换机的Trunk默认只转发当前设备上已经建立的vlan的数据，因此，在这台“三层交换机”上必须创建相应的vlan。第二章Trunk原理与配置第18页/共4页二层交换机技术部财务部AccessAccessTrunkTrunk132241Switch(config)#vlan10Switch(config-vlan)#namestudent-vlanSwitch(config)#vlan20Switch(config-vlan)#nameteacher-vlanSwitch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunkSwitch(config)#vlan10Switch(config-vlan)#namestudent-vlanSwitch(config)#vlan20Switch(config-vlan)#nameteacher-vlanSwitch(config)#interfacerangefastethernet0/1-2Switch(config-if)#switchportaccessvlan10Switch(config)#interfacefastethernet0/3Switch(config-if)#switchportaccessvlan20Switch(config)#interfacefastethernet0/24Switch(config-if)#switchportmodetrunk三层交换机vlan10vlan20第二章Trunk原理与配置章节小结通过配置vlan，两台交换机之间技术部内部可以互通，财务部内部也可以互通，但是他们之间仍然保持隔离，效果不错。通过这个章节，小锐知道Trunk的工作机制，和配置方法。经过学习VLAN和Trunk的知识，小锐明白了如何实现楼层不同交换机之间，相同的部门可以互通，不同的部门依然隔离的需求。章节练习从交换机Trunk