《-网络互连技术与实训》-第3章二层安全控制技术课件

第3章二层安全控制技术第3章1VLAN技术原理3.1VLAN的分类及实现3.2VLAN的扩展技术3.3端口接入控制3.4镜像技术3.5VLAN技术原理3.1VLAN的分类及实现3.2VLAN的扩23.1VLAN技术原理·传统的局域网使用的是二层交换机代替集线器（Hub），每个端口可以看成是一根单独的总线，可以使冲突域缩小到每个端口，使得网络发送单播报文的效率大大提高，极大地提高了二层网络的性能。3.1VLAN技术原理·传统的局域网使用的是二层交3·但是网络中所有端口仍然处于同一个广播域，交换机在传递广播报文的时候依然要将广播报文复制多份，发送到网络的各个角落。·随着网络规模的扩大，网络中的广播报文越来越多，广播报文占用的网络资源越来越多，严重影响网络性能，这就是所谓的广播风暴问题。·但是网络中所有端口仍然处于同一个广播域，交换机在传4·过去由于交换机的二层网络工作原理的限制，交换机对广播风暴的问题无能为力。·为了提高网络的效率，一般需要将通过路由器网络进行分段：把一个大的广播域划分成几个小的广播域。·过去由于交换机的二层网络工作原理的限制，交换机对广5·图3.1中用路由器替换图3.2中的中心结点交换机，使得广播报文的发·图3.1中用路由器替换图3.2中的中心结点交换机，6《-网络互连技术与实训》-第3章二层安全控制技术课件7·送范围大大减小。·这种方案解决了广播风暴的问题，但是用路由器是在网络层上分段将网络隔离，网络规划复杂，组网方式不灵活，并且大大增加了管理维护的难度。·送范围大大减小。8·作为替代的LAN分段方法，虚拟局域网（VLAN）被引入到网络解决方案中来，用于解决大型的二层网络环境面临的问题。·作为替代的LAN分段方法，虚拟局域网（VLAN）被93.1.1VLAN的定义和特点·虚拟局域网（VirtualLocalAreaNetwork，VLAN）逻辑上把网络资源和网络用户按照一定的原则进行划分，把一个物理上实际的网络划分成多个小的逻辑的网络。·这些小的逻辑的网络形成各自的广播域，也就是虚拟局域网VLAN。3.1.1VLAN的定义和特点·虚拟局域网（Vi10《-网络互连技术与实训》-第3章二层安全控制技术课件11·VLAN与传统的LAN相比，具有以下优势。·VLAN与传统的LAN相比，具有以下优势。12①减少移动和改变的代价—实现动态管理网络。②虚拟工作组—使用VLAN的最终目标就是建立虚拟工作组模型。①减少移动和改变的代价—实现动态管理网络。13·它的主要特点集中表现在以下几个方面。①提高带宽的利用率②增强通信的安全性③增强网络的健壮性④提高网络管理效率·它的主要特点集中表现在以下几个方面。143.1.2VLAN工作原理·交换机在网络当中处于第二层设备，主要功能就是数据帧的快速转发，交换机在转发数据时，不同于集线器，它主要依据内部的转发表项来转发数据帧，那么这个转发表就是MAC地址表，如图3.3所示。3.1.2VLAN工作原理·交换机在网络当中处于15《-网络互连技术与实训》-第3章二层安全控制技术课件16·在上一章中已经详细说明了交换机的MAC地址表的形成过程。·划分VLAN之后的交换机的数据转发流程发生了变化，因为此时交换机转发数据时参考的依据多了一项，即VID表如表3.1所示。·在上一章中已经详细说明了交换机的MAC地址表的形成17《-网络互连技术与实训》-第3章二层安全控制技术课件18·VID表包含了VLAN编号和端口号的对应关系，当交换机再进行转发数据帧的时候，它会优先检查目的MAC地址所对应的端口的VID号和数据源所对应的端口的VID是否一致，如果一致则进行数据转发，否则丢弃该数据帧。·VID表包含了VLAN编号和端口号的对应关系，当交193.1.3IEEE802.1Q协议·IEEE802.1Q定义了以下内容。①VLAN的架构；②VLAN中所提供的服务；③VLAN实施中涉及的协议和算法3.1.3IEEE802.1Q协议·IEEE201．802.1Q帧的格式·IEEE802.1Q协议不仅规定VLAN中的MAC帧的格式，而且还制定诸如帧发送及校验、回路检测，对业务质量（QoS）参数的支持以及对网管系统的支持等方面的标准。1．802.1Q帧的格式·IEEE802.1Q协议不21·传统的以太网数据帧（见图3.4）在目的MAC地址和源MAC地址之后封装的是上层协议的类型字段。·传统的以太网数据帧（见图3.4）在目的MAC地址和22·而IEEE802.1Q协议规定在目的MAC地址和源MAC地址之后封装4个字节的VLAN标志（Tag），用以标识VLAN的相关信息，如图3.5所示。·而IEEE802.1Q协议规定在目的MAC地址和23《-网络互连技术与实训》-第3章二层安全控制技术课件242．交换机端口类型·支持802.1Q的交换机端口类型一般分为Accesss、Trunk，思科、华为以及H3C等厂商的交换机均是这样划分的，但对于其他厂商的交换机叫法不同，如D-LINK的交换机的端口类型称之为Untagged和Tagged，对于H3C的交换机它还增加了一个新的端口类型Hybrid。2．交换机端口类型·支持802.1Q的交换机端口类型25（1）Access①Access类型的端口只能属于一个VLAN，一般用于连接计算机的端口；②Access接口接收到的数据帧都是untag报文，如果收到tag报文将自动丢弃；（1）Access①Access类型的端口26③Access接口向外发送的数据帧时，必须保证数据帧中不包含VLAN标签，即必须是untag报文；④在交换机初始状态所有端口的类型默认为Access。③Access接口向外发送的数据帧时，必须27（2）Trunk①Trunk类型的端口默认属于VLAN1，当Trunk端口所存在的本地交换机VID表中有多个VLAN时，那么Trunk端口也自动属于这些VLAN，并自动加入到VID表中，例如假设端口E1/0/1属性为Trunk时，其交换机VID表如表3.2所示。（2）Trunk①Trunk类型的端口默认28《-网络互连技术与实训》-第3章二层安全控制技术课件29②Trunk类型的端口可以接收和发送VLAN1的untag报文。③Trunk类型的端口可以接收本地交换机VID表中存在的所有VLAN的tag报文，然后查找VID表向相应端口转发；当Trunk端口接收到含有本地交换机VID表不存在的VID标签的tag报文时将自动丢弃该数据帧。②Trunk类型的端口可以接收和发送VLA30④Trunk类型的端口向外发送数据帧时，都是含有VID值的tag报文；当向外发送的tag帧VID值为1时，其自动将其变为untag报文。⑤Trunk类型的端口一般用于交换机之间连接的端口，两台交换机Trunk端口之间所连接的链路称之为802.1Q中继链路。④Trunk类型的端口向外发送数据帧时，都31①由于思科高端交换机对中继链路封装格式有两种标准分别是802.1Q（前面已经介绍不再重复）和ISL（Inter-SwitchLink）思科所独有的标准。①由于思科高端交换机对中继链路封装格式有两32②ISL称之为交换机间链路，ISL所产生的tag报文是在每个untag帧的头部增加26字节信息VLAN标签，在帧尾部附加4字节CRC，因此ISL的tag报文中含有更多的域，但是它只支持1

024个VLAN。②ISL称之为交换机间链路，ISL所产生的33·大部分思科交换机只支持802.1Q，但也有的思科交换机支持ISL。·当网络中同时存在802.1Q的tag报文和ISL的tag报文时，这两种技术无法兼容，会造成内部网络VLAN的混乱。·大部分思科交换机只支持802.1Q，但也有的思科交34·如果真的存在上述情况，唯一的解决方法就是通过路由器透明桥接实现兼容。·如果真的存在上述情况，唯一的解决方法就是通过路由器35③对于negotiate参数，属于默认模式会自动检测对端端口的封装格式；·Switch（config-if）#switchportmodetrunk“在接口模式下指定类型为trunk”。③对于negotiate参数，属于默认模式36（3）Hybrid

①H3C独有的类型，功能上可以认为是Access和Trunk的混合体。（3）Hybrid

①H3C独有的类型，功37②Hybrid类型的端口通过设置PVID参数来指定该端口属于哪一个VLAN，当Hybrid端口所存在的本地交换机VID表中有多个VLAN时，那么Hybrid端口不能自动但可以人为指定属于这些VLAN或者某几个VLAN，并将VID表专门分为了PVID表和VID表。②Hybrid类型的端口通过设置PVID参38·例如假设端口E1/0/1属于Hybrid类型时，它的PVID值设为2，允许该端口可以访问VLAN3、4，但不能访问VLAN5、6，其PVID表和VID表分别如表3.3和表3.4所示。·例如假设端口E1/0/1属于Hybrid类型时，它39③Hybrid端口接收untag报文时，首先查找PVID表读取本地端口所对应的PVID值，然后根据PVID值所对应的VID值，查找VID表来确定哪些端口可以访问，然后转发untag报文；接收到tag报文时，与Trunk端口处理方式一样。③Hybrid端口接收untag报文时，首40④Hybrid端口向外发送数据帧时，如果此前本地交换机收到的该帧为tag报文则发送tag报文，如果此前本地交换机收到的该帧为untag报文则发送untag报文。⑤Hybrid端口可以用于交换机之间连接，也可以用于连接用户的计算机。④Hybrid端口向外发送数据帧时，如果此41《-网络互连技术与实训》-第3章二层安全控制技术课件42《-网络互连技术与实训》-第3章二层安全控制技术课件433.2VLAN的分类及实现·一般来说，按照VLAN技术的应用对象进行分类可以分为基于端口的VLAN、基于MAC的VLAN、基于协议的VLAN、基于IP的VLAN等。·对于基于端口的VLAN，又可以分为基于单台交换机的VLAN应用和跨交换机VLAN应用。3.2VLAN的分类及实现·一般来说，按照VLAN技术443.2.1基于端口的VLAN

1．基于单台交换机的VLAN应用·例如，在某一小型公司只有20个左右的网络用户，在这种情况下，一台24口的二层可网管交换机就可以满足用户的网络需求。3.2.1基于端口的VLAN1．基于单台45·但是，为了保障相关部门的独立性和安全行，我们需要将其按照部门划分VLAN，根据用户所连接的以太网交换机的端口来划分。·但是，为了保障相关部门的独立性和安全行，我们需要将46·假设我们将端口E1/0/1到E1/0/5分给财务部，将端口E1/0/6到E1/0/10分给行政部，将端口E1/0/11到E1/0/20分给市场部，此时我们需要建立3个VLAN，分别是VLAN2、3、4。·假设我们将端口E1/0/1到E1/0/5分给财务部47·这种划分的方法的优点是，定义VLAN成员时非常简单，只要将所有的端口都指定一下就可以了。·它的缺点是，如果VLANA的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。·这种划分的方法的优点是，定义VLAN成员时非常简单48《-网络互连技术与实训》-第3章二层安全控制技术课件49（1）H3C设备的配置命令第1步，创建VLAN并进入VLAN视图；第2步，将指定端口加入到当前VLAN中。（1）H3C设备的配置命令第1步，创建VLAN并进入50（2）思科设备的配置命令第1步，创建VLAN；第2步，将指定端口加入到当前VLAN中。（2）思科设备的配置命令第1步，创建VLAN；512．公共端口的应用·公共端口是指独立于其他VLAN的一个接口（见图3.6），可以同时是被多个VLAN访问，但又不影响其他VLAN的访问控制功能。·公共端口技术常用于宽带路由器、打印服务器等网络公共资源的设置。2．公共端口的应用·公共端口是指独立于其他VLAN的52《-网络互连技术与实训》-第3章二层安全控制技术课件533．跨交换机的VLAN应用·跨交换机的VLAN（见图3.7）是指在多个交换机上分别设置VLAN参数，将不同的交换机通过Trunk接口级联在一起，在中继链路传输tag报文，从而实现相同VLAN的通信以及不同VLAN的访问控制功能。3．跨交换机的VLAN应用·跨交换机的VLAN（见图354《-网络互连技术与实训》-第3章二层安全控制技术课件55·当同一VLAN的PCB与PCD通信时，其通信步骤如下。·第1步，PCB发出的untag报文进入交换机端口E1/0/2，交换机会根据VID表，发现可以向端口E1/0/24转发报文。·当同一VLAN的PCB与PCD通信时，其通信步骤如56·第2步，当E1/0/24向外转发报文时，由于其为Trunk属性且报文来自于VLAN20，则生成VID值为20的tag报文。·第3步，当带有VID值为20的tag报文进入另一台交换Trunk端口时，Trunk端口会读取tag报文的VID值，并查找本地交换机的VID表，向端口E1/0/2转发。·第2步，当E1/0/24向外转发报文时，由于其为T57·第4步，当端口E1/0/2向外转发报文时，由于其属性为Access，则去除VLAN标志，向外发送untag报文。·第5步，当PCD收到untag报文时，会做出响应，发出untag的响应报文。·两台交换机VID表如表3.6所示。·第4步，当端口E1/0/2向外转发报文时，由于其属58《-网络互连技术与实训》-第3章二层安全控制技术课件593.2.2GVRP3.2.2GVRP60《-网络互连技术与实训》-第3章二层安全控制技术课件61《-网络互连技术与实训》-第3章二层安全控制技术课件62《-网络互连技术与实训》-第3章二层安全控制技术课件63·GVRP（GARPVLANregistrationprotocol）被称为通用VLAN注册协议，专门用于解决多交换机中的VLAN信息不一致的问题。·其中GARP（通用属性注册协议）主要用于建立一种属性传递扩散的机制，以保证协议实体能够注册和注销该属性。·GVRP（GARPVLANregistrat64·GARP作为一个属性注册协议的载体，可以用来传播属性。·将GARP报文的内容映射成不同的属性即可支持不同上层协议应用。·GARP作为一个属性注册协议的载体，可以用来传播属65《-网络互连技术与实训》-第3章二层安全控制技术课件66·手工配置的VLAN称为静态VLAN，通过GVRP创建的VLAN称为动态VLAN。·GVRP有3种注册模式，不同的模式对静态VLAN和动态VLAN的处理方式也不同。·GVRP的3种注册模式分别定义如下。·手工配置的VLAN称为静态VLAN，通过GVRP创67①Normal模式②Fixed模式③Forbidden模式①Normal模式68

（1）H3C设备的配置命令（2）思科设备的配置命令

（1）H3C设备的配置命令693.2.3VTP·VTP（VLAN中继协议）是一种消息协议，使用第二层帧，在全网的基础上管理VLAN的添加、删除和重命名，以实现VLAN配置的一致性。3.2.3VTP·VTP（VLAN中继协议）是一70·VTP模式有以下3种模式。①服务器模式（Server缺省）②客户机模式（Client）③透明模式（Transparent）·VTP模式有以下3种模式。71·使用VTP时，加入VTP域的每台交换机在其中继端口上通告如下信息。①管理域；②配置版本号；③它所知道的VLAN；④每个已知VLAN的某些参数。·使用VTP时，加入VTP域的每台交换机在其中继端口723.2.4基于MAC地址的VLAN3.2.4基于MAC地址的VLAN73

1．H3C交换机的配置2．思科交换机的配置1．H3C交换机的配置74《-网络互连技术与实训》-第3章二层安全控制技术课件753.2.5基于协议的VLAN

3.2.5基于协议的VLAN

763.2.6基于IP的VLAN

3.2.6基于IP的VLAN

773.3VLAN的扩展技术3.3.1Isolate-user-vlan3.3VLAN的扩展技术3.3.1Is78《-网络互连技术与实训》-第3章二层安全控制技术课件793.3.2SuperVLAN3.3.2SuperVLAN803.3.3VLANVPN

3.3.3VLANVPN

813.4端口接入控制·端口接入控制的主要目的是验证用户身份的合法性，以及在认证基础上对用户的网络访问行为进行授权和计费。·目前有多种方式实现端口接入控制，常见的接入控制技术有802.1x、MAC地址认证，当然对于互联网的访问控制技术还有以太网访问控制列表以及PORTAL认证。3.4端口接入控制·