项目三网络广播风暴的隔离与控制

项目三网络广播风暴的隔离与控制绍兴职业技术学院史振华教学目标了解广播域概念；熟悉VLAN概念、优点及划分方式；理解VLAN技术的工作原理；掌握交换机VLAN的配置方法；掌握将端口加入到VLAN方法；掌握在多台交换机上实现相同VLAN内主机间进行通信的方法。3.1项目内容

某企业分为行政、财务、人事、物流等部门，这些部门通过多台交换机及其相应的线路连接到网络中心，与网络中心的服务器子网组成了一个企业局域网。其中，服务器子网由企业采用的各种服务器，如邮件服务器、数据库服务器、ERP服务器等组成。由于网络病毒或者网络设计等原因，难免会产生很多不必要的广播数据流量，导致在企业网络中有可能出现广播风暴。广播风暴会消耗掉宝贵的网络带宽，降低网络的性能。网络管理员希望，如果某个部门里有电脑中了毒，产生了广播风暴，则其只影响该部门所在的网络，而不会影响到其他部门用户的正常工作，即人事部门网络中产生的广播风暴不会蔓延到行政、财务、物流的网络中去。同时，能保证同一部门主机之间能够相互访问，不同部门主机之间不能随意相互访问。本项目的内容是通过对多台具有VLAN功能的交换机，在参数上进行一系列的技术配置来实现对网络广播风暴的隔离与控制。3.2相关知识要实现“同一部门主机之间能够相互访问，不同部门主机之间不能随意相互访问”，以控制网络内广播风暴发生这一功能要求，需要用到虚拟局域网（VLAN）配置的相关技术。为了便于掌握和理解具体的配置操作步骤，需要先了解与熟悉虚拟局域网（VLAN）概念、VLAN优点、VLAN划分方式、VLANTrunk协议、配置VLAN的命令等知识。3.2.1VLAN概念虚拟局域网（VirtualLocalAreaNetwork）通常简称为VLAN，它是将由多台支持VLAN功能交换机构成的局域网在逻辑上划分为多个独立的网段，从而实现虚拟工作组的一种交换技术。3.2.1VLAN概念交换局域网内主机的通信有时需要采用广播方式，比如在主机启动后网络参数初始化过程中需通过广播方式获取本机IP参数、或寻找目的主机MAC地址时都会采用广播方式发送数据。此外，不少网络病毒，如ARP病毒也会采用广播方式发送大量的垃圾数据。广播方式是指一台主机同时向网段中所有的其它计算机发送信息，广播方式会占用大量的资源。广播域是指广播能够到达的范围。集线器或交换机所构成的一个物理局域网，整个网络属于同一个广播域，集线器、网桥和交换机设备都会转发广播帧，因此任何一个广播帧或多播帧都将被广播到整个局域网中的每一台主机。3.2.1VLAN概念在网络通讯中广播信息普遍存在，这些广播将占用大量的网络带宽，导致网络速度和通讯效率的下降，并额外增加了网络主机为处理广播信息所产生的负荷。当广播充斥网络且无法处理，并占用大量网络带宽，导致正常业务不能运行，甚至彻底瘫痪，这就发生了“广播风暴”。当一个局域网的规模增大、所连主机数量增大时，发生“广播风暴”的可能性会增加，且危害性会更大。3.2.1VLAN概念通过在交换机上划分VLAN，可将一个大的局域网划分成若干个网段，一个VLAN就是一个网段，每个网段内所有主机间的通讯和广播仅限于该VLAN内，广播帧不会被转发到其他网段，即一个VLAN就是一个广播域，VLAN间是不能进行直接通信的，从而就实现了对广播域的分割和隔离，控制广播风暴的产生。3.2.2VLAN的优点

1、控制广播风暴：一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。

2、提高网络整体安全性：通过访问控制列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。3.2.2VLAN的优点3、网络管理简单、直观：对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用VLAN技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。3.2.3VLAN的划分方法

1、根据端口来划分VLAN这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。默认状态下，所有端口都属于VLAN1。

2、根据MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以可以认为这种根据MAC地址的划分方法是基于用户的VLAN。这种方法的缺点是初始化时，所有的用户都必须进行配置，若有几百个甚至上千个用户，配置将十分困难。3.2.3VLAN的划分方法

3、根据网络层划分VLAN这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。3.2.4VLANTrunk技术通常在企业的实际应用中，往往不止使用一台交换机，而是由多台交换机共同作用，每台交互机上都划分VLAN，而这些VLAN可能在多个交换机上时重复的，如图所示，两台二层交换机分布在不同的楼层中，交换机上划分有相同的VLAN。为了让连接在不同交换机上的相同VLAN的主机相互通信，就需要使用VLANTrunk协议。3.2.4VLANTrunk技术VLANTrunk(虚拟局域网中继技术)，它的作用是让连接在不同交换机上的相同VLAN中的主机互通。交换机的端口按用途就分为Access端口和Trunk端口两种。Access端口通常用于连接客户PC机，以提供网络接入服务。该种端口只属于某一个VLAN，并且仅向该VLAN发送或接收数据帧。Trunk端口通常用于交换机级联端口，它属于所有VLAN共有，承载所有VLAN在交换机间的通讯流量。3.2.4VLANTrunk技术把两台交换机的级联端口设置为Trunk端口，当交换机把数据帧从级联口发出去的时候，会在数据包中做一个标记（TAG），以使其它交换机识别该数据帧属于哪一个VLAN，这样，其它交换机收到这样一个数据帧后，只会将该数据帧转发到标记中指定的VLAN，从而完成了跨越交换机的VLAN内部数据传输。3.2.4VLANTrunk技术目前交换机支持的封装协议有IEEE802.1Q和ISL。其中IEEE802.1Q是经过IEEE认证的对数据帧附加VLAN识别信息的协议，属于国际标准协议，适用于各个厂商生产的交换机，该协议通常也简称为dot1q。3.2.4VLANTrunk技术ISL是InterSwitchLink的缩写，是Cisco系列交换机支持的一种与IEEE802.1Q类似的，用于在汇聚链路上附加VLAN信息的协议，可用于以太网和令牌环网。ISL对数据帧进行封装时，采取在数据帧的头部附加26字节的ISL包头（ISLHeader），并且在数据帧的尾部带上对包括ISL包头在内的整个数据帧进行计算后得到的4字节的CRC值，即ISL协议保留数据帧原来的CRC，然后再附加上一个新的CRC，即封装时总共增加了30个字节的信息。当数据帧离开汇聚链路时，ISL只需简单地去除ISL包头和新CRC就可以了，由于数据帧原来的CRC被完整保留，因此无需重新计算。ISL与IEEE802.1Q协议互不兼容，ISL是Cisco独有的协议，只能用于Cisco网络设备之间的互联。3.2.5用于配置VLAN的相关命令1、创建一个VLAN的命令及其操作顺序①Switch(config)#vlan

vlan-id//输入一个VLAN号并进入到VLAN配置状态②Switch(config-vlan)#namevlan-name//为VLAN取一个名字，这是一个可选命令③Switch(config-vlan)#end//退回到特权模式④Switch#showvlan//查看vlan配置操作示例：创建一个VLAN，其编号为10，将它命名为test。Switch#configureterminalSwitch(config)#vlan10Switch(config-vlan)#nametestSwitch(config-vlan)#endSwitch#showvlan3.2.5用于配置VLAN的相关命令2、删除一个VLAN的命令①Switch(config)#no

vlan

vlan-id//删除一个VLAN②Switch(config)#end//退回到特权模式③Switch#showvlan//查看vlan配置操作示例：删除上一个示例所创建的VLAN10。Switch#configureterminalSwitch(config)#no

vlan10Switch(config)#end

Switch#showvlan3.2.5用于配置VLAN的相关命令3、将端口加入到VLAN中命令①Switch#configureterminal//从特权模式进入到全局配置模式②Switch(config)#interfacetypenumber//进入到要加入到VLAN的端口中③Switch(config-if)#switchportmodeaccess//将端口模式设置为access④Switch(config-if)#switchportaccessvlan

vlan-id//把端口分配给某一个VLAN中⑤Switch(config-if)#end//退回到特权模式⑥Switch#showvlan//查看vlan配置操作示例：将交换机F0/10端口加入VLAN10中。Switch#configureterminalSwitch(config)#interfacef0/10Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#endSwitch#showvlan3.2.5用于配置VLAN的相关命令4、将端口模式设置为Trunk的命令①Switch#configureterminal//从特权模式进入到全局配置模式②Switch(config)#interfacetypenumber//进入到要设置Trunk的端口中③Switch(config-if)#switchportmodetrunk//将端口模式设置为Trunk④Switch(config-if)#end//退回到特权模式操作示例：两台交换机划分有多个VLAN，使用F0/24端口相连，请把F0/24配成Trunk口Switch#configureterminalSwitch(config)#interfacef0/24Switch(config-if)#switchportmodetrunkSwitch(config-if)#end3.3工作任务示例若你是某公司里的网络管理员，公司有两幢办公楼，每幢办公楼里有一台可设置的交换机，第一幢楼里的交换机名为SwitchA，第二幢楼里的交换机名为SwitchB。公司现有两个主要部门：经理部和人事部，经理部门位于第一幢办公楼里，人事部门分散在两幢办公楼里。经理部的计算机PC1连接在SwitchA的F0/10端口并属于VLAN10，人事部门的计算机PC2和PC3分别连接在SwitchA的F0/20端口和SwitchB的F0/20端口属于VLAN20，两台交换机使用F0/24端口相连。公司领导要求人事部门的计算机PC2和PC3能够相互访问，经理部门的PC1不能与人事部门的PC2和PC3相互访问，请你在交换机上做适当配置来满足上述要求。3.3工作任务示例具体配置步骤步骤1.在交换机SwitchA上创建Vlan10，并将F0/10端口加入到Vlan10中。Switch#configureterminalSwitch(config)#hostname

SwitchASwitchA(config)#vlan10SwitchA(config-vlan)#namemanagersSwitchA(config-vlan)#exitSwitchA(config)#interfacefastethernet0/10SwitchA(config-if)#switchportmodeaccessSwitchA(config-if)#switchportaccessvlan10SwitchA(config-if)#end具体配置步骤验证测试：验证已创建了Vlan10，并将F0/10端口已划分到Vlan10中。SwitchA#show

vlanid10VLANNameStatusPorts-------------------------------------------------------------------10managersactiveFa0/10具体配置步骤步骤2.在交换机SwitchA

上创建Vlan20，并将F0/20端口划分到Vlan20中。SwitchA#configureterminalSwitchA(config)#vlan20SwitchA(config-vlan)#nameemployeesSwitchA(config-vlan)#exitSwitchA(config)#interfacefastethernet0/20SwitchA(config-if)#switchportmodeaccessSwitchA(config-if)#switchportaccessvlan20SwitchA(config-if)#end具体配置步骤验证测试：验证已创建了Vlan20，并将F0/20端口已划分到Vlan20中。SwitchA#showvlan

VLANNameStatusPorts---------------------------------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19Fa0/21,Fa0/22,Fa0/23Fa0/2410managersactiveFa0/1020employeesactiveFa0/20具体配置步骤步骤3.把交换机SwitchA

与交换机SwitchB相连的端口F0/24设置为为Trunk模式。SwitchA(config)#interfacefastethernet0/24SwitchA(config-if)#switchportmodetrunkSwitchA(config-if)#end验证测试：验证F0/24端口已被设置为Trunk模式。SwitchA#showinterfacesfastEthernet0/24switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists---------------------------------------------------------------------------------------Fa0/24EnabledTrunk11DisabledAll具体配置步骤步骤4.在交换机SwitchB

上创建Vlan20，并将F0/20端口划分到Vlan20中。Switch#configureterminalSwitch(config)#hostname

SwitchB

SwitchB(config)#vlan20SwitchB(config-vlan)#nameemployeesSwitchB(config-vlan)#exitSwitchB(config)#interface

fastethernet0/20SwitchB(config-if)#switchportmodeaccessSwitchB(config-if)#switchportaccessvlan20SwitchB(config-if)#end具体配置步骤验证测试：验证已创建了Vlan20，并将F0/20端口已划分到Vlan20中。SwitchB#showvlanid20VLANNameStatusPorts-----------------------------------------------------------20employeesactiveFa0/20具体配置步骤步骤5.把交换机SwitchB与交换机SwitchA相连的端口F0/24设置为Trunk模式。SwitchB#configureterminalSwitchB(config)#interface

fastethernet0/24SwitchB(config-if)#switchportmodetrunkSwitchB(config-if)#end验证测试：验证F0/24端口已被设置为Trunk模式。SwitchB#showinterfacesfastEthernet0/24switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists-------------------------------------------------------------------------------------Fa0/24EnabledTrunk

11DisabledAll具体配置步骤步骤6.验证P