路由交换技术电子教案-ch04-隔离企业部门间流量（二）

教案序号7周次授课形式讲练结合授课章节名称项目4隔离企业部门间流量（二）教学目的1．掌握VLAN的配置。教学重点1.掌握VLAN各种接口的配置。教学难点1.理解以太网二层接口的类型。使用教具计算机、ppt、eNSP、触摸白板课外作业复习本节，预习下节课后体会同学们对本堂课的掌握情况良好授课主要内容本项目知识图谱4.4VLAN基本配置1．创建VLAN使用以下命令来创建一个VLAN并进入其配置视图。如果该VLAN已经存在，则直接跳转至其配置视图。其中，vlan-id为用户自定的vlan编号，有效取值范围为1到4094之间的整数。[Huawei]vlanvlan-id在系统视图模式下，若想在交换机上连续创建多个VLAN，可输入以下命令，vlan-id1为第一个VLAN编号，vlan-id2为和最后一个VLAN编号。[Huawei]vlanbatch{vlan-id1[tovlan-id2]}2．配置Access接口进入接口视图，将指定接口配置为Access类型。[Huawei-GigabitEthernet0/0/1]portlink-typeaccess配置该接口的缺省VLAN，vlan-id为缺省VLAN编号。[Huawei-GigabitEthernet0/0/1]portdefaultvlanvlan-id3．配置Trunk接口进入接口视图，将指定接口配置为Trunk类型。[Huawei-GigabitEthernet0/0/1]portlink-typetrunk配置该接口允许通过的VLAN列表，vlan-id1为第一个VLAN编号，vlan-id2为和最后一个VLAN编号。all表示该接口允许所有VLAN通过。[Huawei-GigabitEthernet0/0/1]porttrunkallow-passvlan{{vlan-id1[tovlan-id2]}|all}配置该接口的缺省VLAN，vlan-id为缺省VLAN编号。[Huawei-GigabitEthernet0/0/1]porttrunkpvidvlanvlan-id4．配置Hybrid接口进入接口视图，将指定接口配置为Hybrid类型。[Huawei-GigabitEthernet0/0/1]portlink-typehybrid配置Hybrid类型接口加入的VLAN，这些VLAN数据帧以Untagged的形式通过。[Huawei-GigabitEthernet0/0/1]porthybriduntaggedvlan{{vlan-id1[tovlan-id2]}|all}配置Hybrid类型接口加入的VLAN，这些VLAN数据帧以tagged的形式通过。[Huawei-GigabitEthernet0/0/1]porthybridtaggedvlan{{vlan-id1[tovlan-id2]}|all}配置该接口的缺省VLAN，vlan-id为缺省VLAN编号。[Huawei-GigabitEthernet0/0/1]porthybridpvidvlanvlan-id【项目实施】任务4.1基于接口划分的企业部门间VLAN隔离

1．任务描述蓝箭公司已步入稳定发展阶段，目前设有研发、生产、财务及销售四大部门，各部门对于数据隔离的需求日益迫切，这对数据安全和隐私保护提出了更高要求。为有效划分部门间的数据界限，确保信息的安全与私密，公司决定采纳VLAN技术，以实现部门间的数据隔离，强化数据安全。网络拓扑如图4-9所示，将研发部的PC1和PC2划为VLAN10，生产部的PC3划为VLAN20，财务部的PC4和PC5划为VLAN30，销售部的PC6划为VLAN40。各部门PCIP地址如表4-1所示。图4-9蓝箭公司各部门VLAN规划表7-1研发部和生产部IP地址分配表设备接口号IP地址/接口配置PC1E0/0/110.1.1.1/24PC2E0/0/110.1.1.2/24PC3E0/0/110.1.1.3/24PC4E0/0/110.1.1.4/24PC5E0/0/110.1.1.5/24PC6E0/0/110.1.1.6/24S1G0/0/3Access，缺省vlan：10G0/0/4Access，缺省vlan：10G0/0/5Access，缺省vlan：20G0/0/24Trunk，允许通过的VLAN:10203040S2G0/0/3Access，缺省vlan：30G0/0/4Access，缺省vlan：30G0/0/5Access，缺省vlan：40G0/0/24Trunk，允许通过的VLAN:102030402．实施步骤S1上设置GE0/0/3和GE0/0/4为Access类型，缺省VLAN为VLAN10，GE0/0/5为Access类型，缺省VLAN为VLAN20，GE0/0/1为Trunk类型，缺省VLAN为VLAN10，允许通过的VLAN为VLAN10、VLAN20、VLAN30、VLAN10。虽然S1上没有VLAN30和VLAN40的终端，但是为了企业以后的发展需要，还是在预留了VLAN30和VLAN40的空间。（1）S1上的配置[S1]sysnameS1#将设备名改为S1[S1]undoinfo-centerenable#关闭信息中心，这样系统就不会输出系统信息[S1]vlanbatch10203040#创建VLAN10、VLAN20、VLAN30、VLAN40[S1]interfaceGigabitEthernet0/0/3[S1-GigabitEthernet0/0/3]portlink-typeaccess#设置接口类型为Access[S1-GigabitEthernet0/0/3]portdefaultvlan10#设置接口的缺省VLAN为VLAN10[S1-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/4]portlink-typeaccess[S1-GigabitEthernet0/0/4]portdefaultvlan10[S1-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S1-GigabitEthernet0/0/5]portlink-typeaccess[S1-GigabitEthernet0/0/5]portdefaultvlan20[S1-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk#设置接口类型为Trunk#设置该Trunk类型的接口允许通过的VLAN列表[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan10203040（2）S2上的配置与S1同理。[S2]sysnameS2[S2]undoinfo-centerenable[S1]vlanbatch10203040#创建VLAN10、VLAN20、VLAN30、VLAN40[S2]interfaceGigabitEthernet0/0/3[S2-GigabitEthernet0/0/3]portlink-typeaccess#设置接口类型为Access[S2-GigabitEthernet0/0/3]portdefaultvlan30#设置接口的缺省VLAN为30[S2-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S2-GigabitEthernet0/0/4]portlink-typeaccess[S2-GigabitEthernet0/0/4]portdefaultvlan30[S2-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S2-GigabitEthernet0/0/5]portlink-typeaccess[S2-GigabitEthernet0/0/5]portdefaultvlan40[S2-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S2-GigabitEthernet0/0/1]portlink-typetrunk#设置接口类型为Trunk#设置该Trunk类型的接口允许通过的VLAN列表[S2-GigabitEthernet0/0/1]porttrunkallow-passvlan102030403．测试分析这时可以在PC1上ping通PC2（10.1.1.2），但是PC1不能ping通其他PC，因为PC1与PC2在同一个VLAN，PC1与其他PC不在同一个VLAN。PC>ping10.1.1.2Ping10.1.1.2:32databytes,PressCtrl_CtobreakFrom10.1.1.2:bytes=32seq=1ttl=128time=46msFrom10.1.1.2:bytes=32seq=2ttl=128time=47msFrom10.1.1.2:bytes=32seq=3ttl=128time=47msFrom10.1.1.2:bytes=32seq=4ttl=128time=47msFrom10.1.1.2:bytes=32seq=5ttl=128time=47msPC>ping10.1.1.4Ping10.1.1.4:32databytes,PressCtrl_CtobreakFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:Destinationhostunreachable任务4.2VLAN数据帧的通信过程分析1．任务描述研发部的小王（PC2）与财务部的小张（PC5）临时调到对方部门进行业务对接，但是两人的部门属性不变，也就是PC2接在了S2的GE0/0/4上，PC5接在了S1的GE0/0/4上，如图4-10所示。这样的调整后，可以充分利用到两台交换的Trunk接口的功能，讲清楚同部门之间的PC通信时VLAN数据帧的封装过程。图4-10研发部的小王（PC2）与财务部的小张（PC5）位置互换2．实施步骤所有PC的IP地址不变，只需在任务4.1的基础上对S1的GE0/0/4和S2的GE0/0/4的配置进行稍微的改动即可。将S1上GE0/0/4的缺省VLAN改为VLAN30，将S2上GE0/0/4的缺省VLAN改为VLAN10。[S1]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/4]portdefaultvlan30[S2]interfaceGigabitEthernet0/0/4[S2-GigabitEthernet0/0/4]portdefaultvlan103．测试分析在ping操作之前，分别在PC1的E0/0/1、S1的GE0/0/1和PC2的E0/0/1上使用Wireshark抓包。任务4.3使用Hybrid接口类型实现VLAN间的隔离与互通1．任务描述由于工作需要，各部门要与销售部进行工作对接，也就是各部门要与销售部互通，其他各部门之间隔离。想达到这样的效果，传统的Access和Trunk类型无法满足要求，必须要用到Hybrid类型。Hybrid类型在知识准备4.3中已经介绍过了，它是Access和Trunk类型混合，既有Access的特征，也有Trunk的特征，使用方法更加灵活多变，可以完成Access和Trunk类型不能完成的任务。网络拓扑如图4-17所示。图4-17使用Hybrid接口类型实现VLAN间的隔离与互通2．实施步骤IP地址与上一个任务一致。但是每个接口的的配置需要改成Hybrid类型。S1上的配置。[S1]interfaceGigabitEthernet0/0/3[S1-GigabitEthernet0/0/3]portlink-typehybrid#配置为Hybrid类型[S1-GigabitEthernet0/0/3]porthybridpvidvlan10#设置PVID为VLAN10#如果是进入该接口，则允许通过的VLAN列表为VLAN10和VLAN40；如果从该接口发出，则在满足允#通过的VLAN列表的同时，还要剥离VLAN标签再发出去[S1-GigabitEthernet0/0/3]porthybriduntaggedvlan1040[S1-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/4]portlink-typehybrid[S1-GigabitEthernet0/0/4]porthybridpvidvlan30[S1-GigabitEthernet0/0/4]porthybriduntaggedvlan3040[S1-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S1-GigabitEthernet0/0/5]portlink-typehybrid[S1-GigabitEthernet0/0/5]porthybridpvidvlan20[S1-GigabitEthernet0/0/5]porthybriduntaggedvlan2040[S1-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typehybrid[S1-GigabitEthernet0/0/1]porthybridtaggedvlan10203040S2上的配置。[S2]interfaceGigabitEthernet0/0/3[S2-GigabitEthernet0/0/3]portlink-typehybrid[S2-GigabitEthernet0/0/3]porthybridpvidvlan30[S2-GigabitEthernet0/0/3]porthybriduntaggedvlan3040[S2-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S2-GigabitEthernet0/0/4]portlink-typehybrid[S2-GigabitEthernet0/0/4]porthybridpvidvlan10[S2-GigabitEthernet0/0/4]porthybriduntaggedvlan1040[S2-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S2-GigabitEthernet0/0/5]portlink-typehybrid[S2-GigabitEthernet0/0/5]porthybridpvidvlan40[S2-GigabitEthernet0/0/5]porthybriduntaggedvlan10203040[S2-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S2-GigabitEthernet0/0/1]portlink-typehybrid[S2-GigabitEthernet0/0/1]porthybridtaggedvlan102030403．测试分析在PC1上pingPC2（10.1.1.2），通过数据帧的封装过程来说明Hybrid类型接口的工作机制。PC>ping10.1.1.2Ping10.1.1.2:32databytes,PressCtrl_CtobreakFrom10.1.1.2:bytes=32seq=1ttl=128time=62msFrom10.1.1.2:bytes=32seq=2ttl=128time=125msFrom10.1.1.2:bytes=32seq=3ttl=128time=78msFrom10.1.1.2:b