《中小企业网络运营与维护教程》2-2企业间网络安全隔离

中型企业网络组建项目2.1

企业间网络连接任务2.2企业间网络安全隔离任务2.3企业间网络互通任务2.2

企业间网络安全隔离任务教学重点通过将局域网内的设备逻辑地划分成不同网段从而实现虚拟工作组的虚拟局域网技术（VLAN-VirtualLocalAreaNetwork）满足企业园区网络的企业间网络安全隔离需求。教学难点子网规划与IP地址划分，交换机端口类型的Access模式和Trunk模式配置。2.2.1

应用环境企业网络中不同的企业和工作部门对网络的速度需求有很大差异，但它们却被机械地划分到同一个广播域中，互相争用同一网络的带宽。1.各个企业的网络相对独立2.一个企业的网络不能访问其他企业的网络2.2.2

需求分析用多台交换机连接把企业园内各家企业的办公网络相互连接后，实现了能够使各家企业和各部门之间的网络互相访问，共享网络信息资源的企业园区网络。企业园区为了满足网络中不同的企业和工作部门对网络速度的不同需求，保证企业园区内各家企业办公网络的信息安全，涉及保密的信息不能被企业园区网络中其他部门和企业直接访问，希望通过技术手段，实现一个企业网和其他企业网络之间的隔离。2.2.3方案设计在交换机上采用VLAN技术实现设备的隔离功能，有效保证园区内各家企业网络中设备和信息的安全。2.2.4

相关知识：子网规划与IP地址划分为了合理配置系统，减少资源浪费，人们经常把一个大的基于类的IP网络进一步分成划分为若干小的网络，把网络中设备之间的互相广播范围尽量减少，这种把一个大的网络划分变小的过程称为子网规划与IP地址划分或简称为子网划分。划分子网后的网络举例如下：2.2.4

相关知识：子网规划与IP地址划分子网划分首先要看选用的IP地址是什么类型的。有几个子网需要划分，还要考虑每个子网的主机数量。例如需要规划四个子网，每个子网内分别有50、25、10、10台主机。网络分配了C类地址192.168.1.0。这四个子网的划分分别是：192.168.1.

64／26192.168.1.128／27192.168.1.160／28192.168.1.176／282.2.5

相关知识：VLAN虚拟局域网VLAN（VirtualLocalAreaNetwork）虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。由于VLAN隔离了广播风暴，与此同时也隔离了各个不同的VLAN之间的通信，所以不同的VLAN之间的通信是需要通过路由器或者三层交换机转发来实现的。VLAN的划分可分为基于端口划分VLAN、基于MAC地址划分VLAN、基于网络层划分VLAN、基于IP组播划分VLAN和基于规则划分VLAN等多种形式。其中基于交换机端口划分的VLAN技术是最常用的一种VLAN划分技术。2.2.5

相关知识：VLAN虚拟局域网1.Trunk干道技术

Trunk（干道）是一种封装技术，它是一条点到点的链路，主要功能就是仅通过一条链路就可以连接多个交换机，从而扩展已配置的多个VLAN。在默认情况下，交换机的所有端口的功能都是Access模式。但在进行连接设备的时候，可以根据连接设备对象的不同，划分VLAN的交换机端口。根据转发数据帧功能的不同，分为Access模式和Trunk模式两种类型。2.2.5

相关知识：VLAN虚拟局域网2.Access模式如果交换机的端口连接的是终端计算机或服务器，则该端口类型一般指定为Access模式。Access模式即接入设备模式，该端口只能属于一个VLAN，这也是交换机端口的默认模式，如图所示。2.2.5

相关知识：VLAN虚拟局域网3.Trunk模式如果跨交换机划分VLAN，则交换机与交换机之间的连接端口一般指定为Trunk模式，即干道模式，如图所示。2.2.5

相关知识：VLAN虚拟局域网4.Trunk工作原理

IEEE802.1Q标准用来解决跨交换机VLAN中的设备如何通信的问题。它是一种常用的以太网Trunk协议。当在Trunk链路上传送多个VLAN的数据帧的时候，为了让接收端交换机能够识别该数据帧来自于哪个VLAN，必须在原数据帧的基础上用专门的协议封装VLAN标签。与在Access链路上传送的数据帧不同，Trunk链路上数据帧是加了VLAN标签的，即采用IEEE802.1Q封装之后的数据帧。该数据帧到达接收端交换机对应的连接端口后，将拆去标签，还原为原来的IEEE803.3帧信息格式，再查找MAC地址表转发到相应端口。2.2.6实施过程1.单交换机上划分VLAN（1）材料准备交换机1台，配制测试用计算机2-3台，网线若干根。（2）网络设备连接和配置2.2.6实施过程1.单交换机上划分VLAN（2）网络设备连接和配置2.2.6实施过程1.单交换机上划分VLAN（3）交换机VLAN配置Switch#configureterminal !进入交换机全局配置模式Switch(config)#vlan10 !创建VLAN10Switch(config)#vlan20 !创建VLAN20验证配置结果的测试过程如下：Switch#show

vlan !查看已配置的VLAN信息2.2.6实施过程1.单交换机上划分VLAN（3）交换机VLAN配置将指定端口分配到各自的VLAN，fastethernet0/1端口连接的是PC1，fastethernet0/10端口连接的是PC2：Switch(config-if)#interface

fastethernet0/1Switch(config-if)#switchportaccessvlan10 !将fastethernet0/1端口加入VLAN10Switch(config-if)#interface

fastethernet0/10Switch(config-if)#switchportaccessvlan20 !将fastethernet0/10端口加入VLAN202.2.6实施过程1.单交换机上划分VLAN（4）测试验收打开连接在交换机上的设备PC1，使用ping命令，重新进行如上的网络连通性测试，两台PC处于互相ping不通状态，VLAN技术发挥作用，网络中的设备之间得到隔离。重新打开交换机设备，用showvlan命令进行验证测试。用showrunning-config进行验证测试。2.2.6实施过程2.多交换机上划分VLAN（1）设备材料准备交换机2台，配制测试用电脑4台，直连线4条。（2）全网之间互相连通2.2.6实施过程2.多交换机上划分VLAN（2）全网之间互相连通2.2.6实施过程2.多交换机上划分VLAN（3）VLAN配置在交换机SwitchA上创建VLANl0，并将fastethernet0/10端口划分到VLAN10中，配置命令如下：SwitchA#configureterminal !进入全局配置模式SwitchA(config)#vlan10 !创建VLAN10SwitchA(config-vlan)#exitSwitchA(config)#interface

fastethernet0/10 !进入接口配置模式SwitchA(config-if)#switchportaccessvlan10 !将fastethernet0/10端口划分到VLAN10SwitchA#show

vlanid10验证已经创建了VLAN10，并且已经将fastethernet

0/10端口划分到VLAN10中。2.2.6实施过程2.多交换机上划分VLAN（3）VLAN配置用同样的方法在交换机SwitchA上创建VLAN20，并将fastethernet0/20端口划分到VLAN20中。showvlanid20验证已经创建了VLAN20，并且已经将fastethernet0/20端口划分到VLAN20中。用同样的方法在交换机SwitchB上创建VLAN10，并将fastethernet0/10端口划分到VLAN10中。showvlanid10验证已经创建了VLAN10，并且已经将fastethernet0/10端口划分到VLAN10中。2.2.6实施过程2.多交换机上划分VLAN（3）VLAN配置将SwitchA与SwitchB相连的端口Fa0/24配置为trunk模式：SwitchA(config)#interface

fastethernet0/24SwitchA(config-if)#switchportmodetrunk验证fastethernet0/24端口已被设置为trunk模式：SwitchA#showinterfacesfastethernet0/24switchport将SwitchB与SwitchA相连的端口Fa0/24配置为trunk模式：SwitchB(config)#interface

fastethernet0/24SwitchB(config-if)#switchportmodetrunk验证fastethernet0/24端口已被设置为trunk模式：SwitchB#showinterfacesfastethernet0/24switchport2.2.6实施过程2.多交换机上划分VLAN（4）测试验收验证PC1与PC3能互相通信，但PC2与PC3不能互相通信：C:\>ping192.168.0.103 !在PC1的命令模式下验证能ping通PC3C:\>ping192.168.0.103 !在PC2的命令模式下验证不能ping通PC3查看交换机的配置信息。分别打开交换机A和交换机B，查看交换机的系统配置信息：SwitchA#showrunning-configSwit