《锐捷RCNA路由与交换技术实战》 课件 项目3 基于802.1Q实现跨交换机环境下的部门计算机互联与隔离

项目3基于802.1Q实现跨交换机环境下的部门计算机互联与隔离目录任务描述相关知识项目规划设计任务实施项目验证项目拓展项目描述项目描述某公司现有财务部和技术部，出于数据安全的考虑，各部门的计算机需进行隔离。公司办公地点有两层楼，他们通过两台9口二层交换机进行互联，两台交换机均通过G0/1互联。公司拓扑如图3-1所示，具体要求如下。（1）财务部和技术部在这两层楼均有员工办公，其中财务部计算机使用SW1的G0/1~G0/4端口及SW2的G0/1~G0/4端口；技术部计算机使用SW1的G0/5~G0/7及SW2的G0/5~G0/7端口。（2）出于安全的考虑，需在交换机中为各部门创建相应的VLAN，在实现部门内跨交换机通信的同时避免部门间相互通信。（3）所有计算机均采用10.0.1.0/24网段，各部门IP和接入交换机的端口信息如拓扑所示。项目描述图3-1网络拓扑图相关知识3.2.1VLAN在实际网络中的应用网络管理员可以使用不同方法，把交换机上的每个端口划分到某个VLAN中，以此在逻辑上分隔广播域。交换机能够通过VLAN技术为网络带来以下变化。（1）增加了网络中广播域的数量，同时减少了每个广播域的规模，相对的减少了每个广播域中终端设备的数量。（2）提高了网络设计的逻辑性，管理员可以规避地理、物理等因素对于网络设计的限制。3.2.1VLAN在实际网络中的应用在常见的企业园区网设计中，公司会为每一个部门创建一个VLAN，各自形成一个广播域，部门内部员工之间能够通过二层交换机直接通信，不同部门的员工之间必须通过三层IP路由功能才可以相互通信。如图3-2所示，通过对两栋楼互联交换机的配置，可以实现为两栋楼工作的财务部创建VLAN10，技术部创建VLAN20，不仅实现了部门间的二层广播隔离，还实现了部门跨交换机的二层通信。图3-2企业跨地域VLAN的配置应用3.2.2交换机端口的分类锐捷交换机端口的工作模式主要有3种：Access（接入）端口、Trunk（干道）端口和Hybrid（混合）端口。1.Access端口Access端口是锐捷系列交换机端口的默认工作模式，用于连接计算机等终端设备，只能属于一个VLAN，也就是只能传输一个VLAN的数据。Access端口收到入站数据帧后，会判断这个数据帧是否携带VLAN标签。若不携带，则为数据帧插入本端口的VLAN并进行下一步处理；若携带则判断数据帧的VLANID是否与本端口的VLAN相同，若相同则进行下一步处理；若不同则丢弃。Access端口在发送出站数据帧之前，会判断这个要被转发的数据帧中携带的VLANID是否与出站端口的VLAN相同，若相同则去掉VLAN标签进行转发；若不同则丢弃。3.2.2交换机端口的分类2.Trunk端口Trunk端口用于连接交换机等网络设备，它允许传输多个VLAN的数据。Trunk端口收到入站数据帧后，会判断这个数据帧是否携带VLAN标签。若不携带，则为数据帧插入本端口的VLAN并进行下一步处理；若携带，则判断本端口是否允许传输这个数据帧的VLANID，若允许则进行下一步处理，否则丢弃。Trunk端口在发送出站数据帧之前，会判断这个要被转发的数据帧中携带的VLANID是否与出站端口的VLAN相同，若相同则去掉VLAN标签进行转发；若不同则判断本端口是否允许传输这个数据帧的VLANID，若允许则转发（保留原标签），否则丢弃。3.2.2交换机端口的分类3.Hybrid端口Hybrid端口能够接收和发送多个VLAN的数据帧，可以用于链接交换机之间的链路，也可以用于连接终端设备。Hybrid端口和Trunk端口在接收入站数据时，处理方法是相同的。但在发送出站数据时，端口会首先判断该帧的VLANID是否允许通过，如果不允许则丢弃，否则默认按原有数据帧格式进行转发。同时，它还支持带VLAN或不携带VLAN标签的方式发送指定VLAN的数据（通过【switchporthybridallowedvlanaddtaggedvlan】和【switchporthybridallowedvlanadduntaggedvlan】命令进行配置）。因此，Hybrid端口兼具Access端口和Trunk端口的特征，在实际应用中，可以根据对端端口工作模式自动适配工作。项目规划设计项目规划设计为实现各部门之间的隔离，需在交换机创建VLAN，并将各部门计算机的相应端口划分到相关的VLAN中，其中VLAN10、VLAN20分别用于财务部、技术部。同时，因同一个VLAN中的计算机分属在不同交换机上，故级联的通道应配置为Trunk类型，使其能传输不同VLAN的数据帧。项目规划设计因此，本项目需要工程师熟悉交换机的VLAN创建、端口类型的转换及PC的IP地址配置，涉及以下工作任务：（1）（1）创建VLAN并将端口划分至相应的VLAN。在交换机上为各部门创建相应的VLAN并配置VLAN描述，将连接PC的端口类型转换模式并划分到相应的VLAN中。（2）（2）配置交换机互联端口为Trunk模式。将交换机互联端口配置为Trunk端口并允许相应的VLAN通过。（3）（3）配置各部门计算机的IP地址。使各部门的计算机可以互相通信。项目规划设计本项目的VLAN规划、端口规划、IP地址规划见表3-1~表3-3。VLANIDIP地址段用途VLAN1010.0.1.1~10.0.1.10/24财务部VLAN2010.0.1.11~10.0.1.20/24技术部表3-1VLAN规划项目规划设计本端设备本段端口端口类型所属VLAN对端设备对端端口SW1G0/1~G0/4AccessVLAN10财务部PC1-SW1G0/5~G0/7AccessVLAN20技术部PC3-SW1G0/8Trunk

SW2G0/1SW2G0/1~G0/4AccessVLAN10财务部PC2-SW2G0/5~G0/7AccessVLAN20技术部PC4-SW2G0/8Trunk

SW1G0/1表3-2端口规划项目规划设计计算机IP地址财务部PC110.0.1.1/24财务部PC210.0.1.5/24技术部PC310.0.1.11/24技术部PC410.0.1.15/24表3-3IP地址规划项目实施任务3-1创建VLAN并将端口划分至相应VLAN任务描述根据项目规划中的VLAN规划表在交换机上为各部门创建相应的VLAN并配置VLAN描述，然后将连接计算机的端口类型转换为Access模式并划分到相应的VLAN中。任务3-1创建VLAN并将端口划分至相应VLAN任务实施（1）在交换机SW1上创建VLAN并配置VLAN描述。在交换机上创建VLAN后，可以通过【descriptionname】修改VLAN的描述信息，方便记忆。配置命令如下。Ruijie>enable//进入特权模式Ruijie#config//进入全局模式Ruijie(config)#hostnameSW1//将交换机名称更改为SW1SW1(config)#vlan10//创建VLAN10SW1(config-vlan)#exitSW1(config)#interfacevlan10SW1(config-if-VLAN10)#descriptionFiance//配置VLAN10的描述信息为FianceSW1(config-if-VLAN10)#exitSW1(config)#vlan20SW1(config-vlan)#interfacevlan20SW1(config-if-VLAN20)#descriptionTechnical任务3-1创建VLAN并将端口划分至相应VLAN（2）在交换机SW1上将各部门计算机所使用的端口按部门分别组成批量端口，统一将端口类型转换为Access模式，并设置端口VLAN，将端口划分到相应的VLAN。配置命令如下。SW1(config)#interfacerangegigabitEthernet0/1-4//批量进入端口G0/1到G0/4SW1(config-if-range)#switchportmodeaccess//修改端口类型为assess模式SW1(config-if-range)#switchportaccessvlan10//配置端口的默认VLAN为VLAN10SW1(config-if-VLAN10)#exitSW1(config)#interfacerangegigabitEthernet0/5-7SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan20SW1(config-if-VLAN20)#exit任务3-1创建VLAN并将端口划分至相应VLAN（3）在交换机SW2上创建VLAN并配置VLAN描述。配置命令如下。Ruijie>enableRuijie#configRuijie(config)#hostnameSW2SW2(config)#vlan10SW2(config-vlan)#exitSW2(config)#interfacevlan10SW2(config-if-VLAN10)#descriptionFianceSW2(config-if-VLAN10)#exitSW2(config)#vlan20SW2(config)#interfacevlan20SW2(config-if-VLAN20)#descriptionTechnical任务3-1创建VLAN并将端口划分至相应VLAN（4）在交换机SW2上将各部门计算机所使用的端口按部门分别组成批量端口，统一将端口类型转换为Access模式，并设置端口VLAN，将端口划分到相应的VLAN。配置命令如下。SW2(config-if-range)#switchportmodeaccessSW2(config-if-range)#switchportaccessvlan10SW2(config-if-range)#exitSW2(config)#interfacerangegigabitEthernet0/5-7SW2(config-if-range)#switchportmodeaccessSW2(config-if-range)#switchportaccessvlan20SW2(config-if-range)#exit任务3-1创建VLAN并将端口划分至相应VLAN任务验证（1）配置完成后，在交换机SW1上使用【showinterfacesswitchport】命令检查VLAN和端口配置情况，配置命令如下。SW1(config)#showinterfacesswitchportInterfaceSwitchportModeAccessNativeProtectedVLANlists------------------------------------------------------------------------GigabitEthernet0/0enabledACCESS11DisabledALLGigabitEthernet0/1enabledACCESS101DisabledALLGigabitEthernet0/2enabledACCESS101DisabledALLGigabitEthernet0/3enabledACCESS101DisabledALLGigabitEthernet0/4enabledACCESS101DisabledALLGigabitEthernet0/5enabledACCESS201DisabledALLGigabitEthernet0/6enabledACCESS201DisabledALLGigabitEthernet0/7enabledACCESS201DisabledALLGigabitEthernet0/8enabledACCESS11DisabledALL任务3-1创建VLAN并将端口划分至相应VLAN（2）在交换机SW2上使用【showinterfacesswitchport】命令检查VLAN和端口配置情况，配置命令如下。SW2(config)#showinterfacesswitchportInterfaceSwitchportModAccessNativeProtectedVLANlists-------------------------------------------------------------------------GigabitEthernet0/0enabledACCESS11DisabledALLGigabitEthernet0/1enabledACCESS101DisabledALLGigabitEthernet0/2enabledACCESS101DisabledALLGigabitEthernet0/3enabledACCESS101DisabledALLGigabitEthernet0/4enabledACCESS101DisabledALLGigabitEthernet0/5enabledACCESS201DisabledALLGigabitEthernet0/6enabledACCESS201DisabledALLGigabitEthernet0/7enabledACCESS201DisabledALLGigabitEthernet0/8enabledACCESS11DisabledALL任务3-2配置交换机互联端口为Trunk模式任务描述根据项目规划中的VLAN规划表将交换机互联端口配置为Trunk端口并允许相应的VLAN通过。任务实施（1）在SW1上配置G0/8为Trunk端口，允许VLAN10和VLAN20通过。在交换机上创建VLAN后，管理员就可以进入对应端口，使用【switchportmode{access|trunk|hybrid|uplink}】命令，修改对应端口的模式。当修改端口为trunk后，需要使用【switchporttrunkallowedvlanonly{vlan-id1[,vlan-id2]}】命令，配置trunk干道允许哪些VLAN通过。任务3-2配置交换机互联端口为Trunk模式配置命令如下。（2）在SW2上配置G0/8为Trunk端口，允许VLAN10和VLAN20通过，配置命令如下。SW1(config)#interfacegigabitEthernet0/8SW1(config-if-GigabitEthernet0/8)#switchportmodetrunk//修改端口类型Trunk模式SW1(config-if-GigabitEthernet0/8)#switchporttrunkallowedvlanonly10,20SW2(config)#interfacegigabitEthernet0/8SW2(config-if-GigabitEthernet0/8)#switchportmodetrunkSW2(config-if-GigabitEthernet0/8)#switchporttrunkallowedvlanonly10,20任务3-2配置交换机互联端口为Trunk模式任务验证（1）配置完成后，在SW1上使用【showinterfacesswitchport】命令检查G0/8端口配置情况，配置命令如下。可以看到，G0/8端口的链路模式为Trunk，且TrunkVLANList中添加了VLAN10、VLAN20。SW1(config-if-GigabitEthernet0/8)#showinterfacesswitchportInterfaceSwitchportModeAccessNativeProtectedVLANlists-------------------------------------------------------------------------GigabitEthernet0/0enabledACCESS11DisabledALLGigabitEthernet0/1enabledACCESS101DisabledALLGigabitEthernet0/2enabledACCESS101DisabledALLGigabitEthernet0/3enabledACCESS101DisabledALLGigabitEthernet0/4enabledACCESS101DisabledALLGigabitEthernet0/5enabledACCESS201DisabledALLGigabitEthernet0/6enabledACCESS201DisabledALLGigabitEthernet0/7enabledACCESS201DisabledALLGigabitEthernet0/8enabledTRUNK11Disabled10,20任务3-2配置交换机互联端口为Trunk模式（2）在SW2上使用【showinterfacesswitchport】命令检查G0/8端口配置情况，配置命令如下。可以看到，G0/8端口的链路模式为Trunk，且TrunkVLANList中添加了VLAN10、VLAN20。SW2(config-if-GigabitEthernet0/8)#showinterfacesswitchportInterfaceSwitchportModeAccessNativeProtectedVLANlists------------------------------------------------------------------------GigabitEthernet0/0enabledACCESS11DisabledALLGigabitEthernet0/1enabledACCESS101DisabledALLGigabitEthernet0/2enabledACCESS101DisabledALLGigabitEthernet0/3enabledACCESS101DisabledALLGigabitEthernet0/4enabledACCESS101DisabledALLGigabitEthernet0/5enabledACCESS201DisabledALLGigabitEthernet0/6enabledACCESS201DisabledALLGigabitEthernet0/7enabledACCESS201DisabledALLGigabitEthernet0/8enabledTRUNK11Disabled10,20任务3-3配置各部门计算机的IP地址任务描述根据IP地址规划表（如表3-4所示）为各部门PC配置IP地址。任务实施（1）根据表3-4为各部门PC配置IP地址。计算机IP地址财务部-PC110.0.1.1/24财务部-PC210.0.1.5/24技术部-PC110.0.1.11/24技术部-PC210.0.1.15/24表3-4IP地址规划表任务3-3配置各部门计算机的IP地址（2）财务部-PC1的IP地址配置结果如图3-3所示，同理完成其他PC的IP地址配置。图3-3财务部-PC1IP配置图任务3-3配置各部门计算机的IP地址任务验证（1）在财务部-PC1上使用【ipconfig】命令查看IP地址，配置命令如下。（2）在其他PC上同样使用【ipconfig】命令查看IP地址。C:\Users\Administrator>ipconfig//显示本机IP地址配置的信息本地连接:连接特定的DNS后缀.......:IPv4地址............:10.0.1.1(首选)子网掩码............:255.255.255.0默认网关.............:项目验证项目验证（1）通过Ping命令，测试各部门内部通信息的情况。使用财务部计算机PC1Ping本部门的计算机PC2，配置命令如下。可以看出，将端口加入到不同的VLAN后，相同VLAN中的计算机可以互相通信。C:\Users\Administrator>ping10.0.1.5正在Ping10.0.1.5具有32字节的数据:来自10.0.1.5的回复:字节=32时间=1msTTL=64来自10.0.1.5的回复:字节=32时间=5msTTL=64来自10.0.1.5的回复:字节=32时间=1msTTL=64来自10.0.1.5的回复:字节=32时间=1msTTL=6410.0.1.5的Ping统计信息:数据包:已发送=4，已接收=4，丢失=0(0%丢失)，往返行程的估计时间(以毫秒为单位):最短=1ms，最长=5ms，平均=2ms项目验证（2）使用财务部的计算机PC1Ping技术部的计算机PC3，配置命令如下。可以看出，将端口加入到不同的VLAN后，不同VLAN中的计算机则不可以互相通信。C:\Users\Administrator>ping10.0.1.11正在Ping10.0.1.11具有32字节的数据:来自10.0.1.1的回复:无法访问目标主机。来自10.0.1.1的回复:无法访问目标主机。来自10.0.1.1的回复:无法访问目标主机。来自10.0.1.1的回复:无法访问目标主机。10.0.1.11的Ping统计信息:数据包:已发送=4，已接收=4，丢失=0(0%丢失)，项目拓展一、理论题1.锐捷以太网交换机端口的工作模式主要有（）？A.Access端口B.Hybrid端口C.Trunk端口D.QinQ端口2.在交换机的端口下配置命令【switchporttrunkallowedvlanall】的作用是（ ）A.与该端口相连接的对端端口必须同时配置switchporttr