路由交换技术（微课版） 教案 ch04-隔离企业部门间流量

扬州工业职业技术学院教案序号6周次授课形式讲练结合授课章节名称项目4隔离企业部门间流量（一）教学目的1．了解VLAN的基本概念。2．理解VLAN的运行原理。教学重点1.掌握VLAN技术原理。教学难点1.理解以太网二层接口的类型。使用教具计算机、ppt、eNSP、触摸白板课外作业复习本节，预习下节课后体会同学们对本堂课的掌握情况良好授课主要内容本项目知识图谱4.1VLAN基础知识1．VLAN标签为了区分不同VLAN的报文，交换机需要在报文中插入一个标记VLAN信息的字段。如图4-4所示，当交换机S1识别出某个帧的VLAN属性后，它会在该帧的特定位置附加一个标签（Tag），明确指示该帧VLAN属性。这样，接收此带标签数据帧的其他交换机，只需查看标签即可迅速识别帧的VLAN属性。802.1Q标准规定了这种带标签数据帧的格式，符合该格式的数据帧被称为802.1Q数据帧。图4-4交换机负责打上或识别VLAN标签2．802.1Q帧在以太网中，数据帧的传输往往涉及多台交换机的转发。为确保VLAN划分的一致性，即VLAN属性跨越整个网络而非局限于单台交换机，数据帧在传输过程中需携带特定标识，明确指示其所属VLAN。为此，IEEE802.1Q标准规定了向无标记（Untagged）数据帧中添加VLAN标签（Tag）的方法。该VLAN标签包含4个关键字段，标签协议标识符（TagProtocolIdentifer，TPID）、优先级（Priority，PRI）、标准格式指示符（CanonicalFormatIndicator，CFI）和虚拟局域网标识符（VLANID，VID）。通过插入这一标签，数据帧能够携带关于其VLAN属性的详细信息，如图4-5所示，展示了带有VLAN标签的数据帧结构，各字段的作用具体如下。（1）TPID：长度为16位（2字节），取值为0x8100，用于标识该帧为802.1Q帧。（2）PRI：长度为3位，取值范围为0-9。数据帧的优先级，有助于在网络拥塞时决定处理顺序。（3）CFI：当CFI的值为0时，表示MAC地址采用了标准格式进行封装；如果CFI的值为1，表示MAC地址采用了非标准格式进行封装。在以太网中该值为0，这通常用于与令牌环网等特定网络环境的兼容。（4）VID：长度为12位，取值范围为0-4095，0和4095为协议保留值，有效取值范围为1-4094。唯一标识数据帧所属的VLAN。图4-5802.1Q帧的结构4.2VLAN的划分方式在计算机网络中，计算机通常发送无标记（Untagged）的帧。当这些Untagged帧进入支持VLAN特性的交换网络时，交换机需要依据特定的划分原则，将这些Untagged帧归类到某个VLAN中。根据这些划分原则的不同，VLAN划分就有了不同的类型。1．基于接口的VLAN划分交换机每个物理接口都被分配一个特定的VLANID。当Untagged帧从某一物理接口进入交换机时，这些Untagged帧会自动归类到该接口对应的VLAN中。这种基于接口的划分方法既简单直观，又易于实现，同时保证了较高的安全性与可靠性。若计算机连接的交换机接口发生变化，其发送的帧所属的VLAN也会随之改变，通常也被称为一层VLAN。2．基于MAC地址的VLAN划分根据计算机MAC地址的不同将其划分到不同的VLAN中，交换机需维护一张MAC地址与VLANID映射表。当接收到Untagged帧时，交换机会解析帧中的源MAC地址，并对照此映射表来确定该帧应归属的VLAN。这种方法提供了更高的灵活性，当计算机所连接的交换机接口变动时，由于其MAC地址保持不变，该计算机发送的Untagged帧仍能正确归类到原先设定的VLAN中。但是这种划分在安全性方面存在一定隐患，因为恶意用户有可能伪造MAC地址以渗透进不同的VLAN，通常也被称为二层VLAN。3．基于协议的VLAN划分交换机的VLAN划分还可以依据计算机发送的Untagged帧中的帧类型字段值来决定，不同类型的帧可以被分配到不同的VLAN中。例如，帧类型值为0x0800的帧（IPv4）被归入一个VLAN，而帧类型值为0x86dd的帧（IPv6）被归入另一个VLAN。这种基于协议类型的VLAN划分方式，实际上实现了根据根据IPv4和IPv6数据包来区分不同的VLAN，通常也被称为三层VLAN。4．基于IP子网的VLAN划分网络管理员会事先设定一个映射表，该表记录了IP地址与VLANID的对应关系，当交换机接收到Untagged帧时，检查帧中的源IP地址，并参照此映射表来确定相应的VLANID。5．基于策略的VLAN划分网络管理员可以预先设定一系列VLAN划分策略，这些策略可以基于多种因素，如接口、MAC地址、IP地址等。当交换机接收到Untagged帧时，它会根据这些预先配置的策略进行匹配。一旦匹配成功，交换机会将该数据帧分配到不同的VLAN中。4.3以太网二层接口类型交换机针对不同连接对象，即连接交换机间与连接终端设备，其接口在处理数据帧时表现出明显差异。华为交换机为此规定了三种二层接口工作模式，分别是Access接口、Trunk接口和Hybrid接口。这些模式确保了数据帧根据连接类型进行相应处理。1．Access接口交换机通常配备有Access接口，专门用于连接用户PC、服务器等终端设备，这些设备的网卡设计为仅处理和传输不带VLAN标签的帧，Access接口被限制为仅能加入一个特定的VLAN，如图4-6所示。图4-6Access接口（1）接收帧时若Access接口接收到Untagged帧，交换机会设置该帧VLANTag的VID字段为PVID值，随后根据处理规则（泛洪、转发、丢弃）对该已标记帧进行后续操作。若接收到tagged帧，交换机会核对帧中VLANTag的VID是否与接口的PVID相同，相同时，转发该帧；不同时，则直接丢弃。（2）发送帧时当一个tagged帧从交换机其他接口传向Access接口时，交换机会再次核对帧的VID与接口的PVID是否相同，相同时，则去除该帧的VLANTag，以Untagged帧发送出去；不同时，则直接丢弃该帧。2．Trunk接口Trunk接口支持多个VLAN的数据帧传输，这些数据帧通过VLANTag的VID来区分各自所属的VLAN。它主要用于交换机间的连接，同时也适用于与路由器、防火墙等设备的子接口互联，以实现不同VLAN间的数据传输，如图4-7所示。图4-7Trunk接口在配置Trunk接口时，除了设定PVID之外，还需指定允许通过的VLANID列表，VLAN1默认包含在此列表中。（1）接收帧时接收Untagged帧时，交换机会设置该帧VLANTag的VID字段为PVID值，并验证此PVID是否在允许通过的VLANID列表中，若在，则继续转发该Tagged帧；反之，则直接丢弃。接收Tagged帧时，交换机会检查其VID是否在允许通过的VLANID列表中，若在则转发；否则丢弃。注意，此时接口的PVID不起作用。（2）发送帧时首先，交换机会检查帧的VID是否在允许通过的VLANID列表中，若不在，该帧将被丢弃；若在，交换机将进一步比较此帧的VID与接口的PVID，若两者相同，交换机会移除该帧的VLANTag，并以Untagged形式发送至链路；否则，该帧将保持其VLANTag不变，直接发送至链路。3．Hybrid接口Hybrid接口类似于Trunk接口，能够传输多个VLAN的数据帧，这些数据帧通过VLANTag的VID进行区分。用户可以根据需要，为Hybrid接口配置在接收特定VLAN数据帧时是否附加标签，在发送特定VLAN数据帧时是否剥离标签，如图4-8所示。图4-8Hybrid接口Hybrid接口的配置不仅涉及PVID，还包含两个允许通过的VLANID列表，即UntaggedVLANID列表和TaggedVLANID列表。VLAN1默认在UntaggedVLANID列表中。这两个列表共同定义了哪些VLAN的帧能够通过该Hybrid接口。（1）接收帧时当接收Untagged帧时，交换机会设置该帧VLANTag的VID值为PVID，并随后检查这个PVID是否存在于UntaggedVLANID或TaggedVLANID列表中，若在，则继续转发这个Tagged帧；若不在，则直接丢弃。当接收Tagged帧时，交换机会检查帧中的VID是否出现在UntaggedVLANID或TaggedVLANID列表中。若在，该帧将被接收；若不在，该帧将被丢弃。（2）发送帧时当发送Tagged帧时，若帧的VID不在UntaggedVLANID和TaggedVLANID列表中，该帧将被直接丢弃；若VID出现在UntaggedVLANID列表中，交换机会移除该帧的Tag，以Untagged的形式发送该帧；若VID在TaggedVLANID列表中，则保留帧的Tag，以Tagged的形式发送该帧。【小结】本节课小节详细介绍了VLAN的基础知识。其中，802.1Q帧通过添加特定标签来区分不同VLAN的报文，标签里的各个字段都有其独特作用。VLAN的划分方式多种多样，基于接口划分简单方便，基于MAC地址划分灵活性强，基于协议、IP子网和策略划分则能满足不同场景的需求。而以太网二层接口类型主要有Access、Trunk和Hybrid这三种。Access接口用于连接普通终端设备，像用户电脑；Trunk接口常用于交换机之间的连接，能传输多个VLAN的数据；Hybrid接口则兼具前两者的特点，使用起来更加灵活，在处理VLAN数据时能根据配置进行更细致的操作。【作业】（1）什么是VLAN技术，并简述其主要作用？（2）简述VLAN的几种主要划分方式。扬州工业职业技术学院教案序号7周次授课形式讲练结合授课章节名称项目4隔离企业部门间流量（二）教学目的1．掌握VLAN的配置。教学重点1.掌握VLAN各种接口的配置。教学难点1.理解以太网二层接口的类型。使用教具计算机、ppt、eNSP、触摸白板课外作业复习本节，预习下节课后体会同学们对本堂课的掌握情况良好授课主要内容本项目知识图谱4.4VLAN基本配置1．创建VLAN使用以下命令来创建一个VLAN并进入其配置视图。如果该VLAN已经存在，则直接跳转至其配置视图。其中，vlan-id为用户自定的vlan编号，有效取值范围为1到4094之间的整数。[Huawei]vlanvlan-id在系统视图模式下，若想在交换机上连续创建多个VLAN，可输入以下命令，vlan-id1为第一个VLAN编号，vlan-id2为和最后一个VLAN编号。[Huawei]vlanbatch{vlan-id1[tovlan-id2]}2．配置Access接口进入接口视图，将指定接口配置为Access类型。[Huawei-GigabitEthernet0/0/1]portlink-typeaccess配置该接口的缺省VLAN，vlan-id为缺省VLAN编号。[Huawei-GigabitEthernet0/0/1]portdefaultvlanvlan-id3．配置Trunk接口进入接口视图，将指定接口配置为Trunk类型。[Huawei-GigabitEthernet0/0/1]portlink-typetrunk配置该接口允许通过的VLAN列表，vlan-id1为第一个VLAN编号，vlan-id2为和最后一个VLAN编号。all表示该接口允许所有VLAN通过。[Huawei-GigabitEthernet0/0/1]porttrunkallow-passvlan{{vlan-id1[tovlan-id2]}|all}配置该接口的缺省VLAN，vlan-id为缺省VLAN编号。[Huawei-GigabitEthernet0/0/1]porttrunkpvidvlanvlan-id4．配置Hybrid接口进入接口视图，将指定接口配置为Hybrid类型。[Huawei-GigabitEthernet0/0/1]portlink-typehybrid配置Hybrid类型接口加入的VLAN，这些VLAN数据帧以Untagged的形式通过。[Huawei-GigabitEthernet0/0/1]porthybriduntaggedvlan{{vlan-id1[tovlan-id2]}|all}配置Hybrid类型接口加入的VLAN，这些VLAN数据帧以tagged的形式通过。[Huawei-GigabitEthernet0/0/1]porthybridtaggedvlan{{vlan-id1[tovlan-id2]}|all}配置该接口的缺省VLAN，vlan-id为缺省VLAN编号。[Huawei-GigabitEthernet0/0/1]porthybridpvidvlanvlan-id【项目实施】任务4.1基于接口划分的企业部门间VLAN隔离

1．任务描述蓝箭公司已步入稳定发展阶段，目前设有研发、生产、财务及销售四大部门，各部门对于数据隔离的需求日益迫切，这对数据安全和隐私保护提出了更高要求。为有效划分部门间的数据界限，确保信息的安全与私密，公司决定采纳VLAN技术，以实现部门间的数据隔离，强化数据安全。网络拓扑如图4-9所示，将研发部的PC1和PC2划为VLAN10，生产部的PC3划为VLAN20，财务部的PC4和PC5划为VLAN30，销售部的PC6划为VLAN40。各部门PCIP地址如表4-1所示。图4-9蓝箭公司各部门VLAN规划表7-1研发部和生产部IP地址分配表设备接口号IP地址/接口配置PC1E0/0/110.1.1.1/24PC2E0/0/110.1.1.2/24PC3E0/0/110.1.1.3/24PC4E0/0/110.1.1.4/24PC5E0/0/110.1.1.5/24PC6E0/0/110.1.1.6/24S1G0/0/3Access，缺省vlan：10G0/0/4Access，缺省vlan：10G0/0/5Access，缺省vlan：20G0/0/24Trunk，允许通过的VLAN:10203040S2G0/0/3Access，缺省vlan：30G0/0/4Access，缺省vlan：30G0/0/5Access，缺省vlan：40G0/0/24Trunk，允许通过的VLAN:102030402．实施步骤S1上设置GE0/0/3和GE0/0/4为Access类型，缺省VLAN为VLAN10，GE0/0/5为Access类型，缺省VLAN为VLAN20，GE0/0/1为Trunk类型，缺省VLAN为VLAN10，允许通过的VLAN为VLAN10、VLAN20、VLAN30、VLAN10。虽然S1上没有VLAN30和VLAN40的终端，但是为了企业以后的发展需要，还是在预留了VLAN30和VLAN40的空间。（1）S1上的配置[S1]sysnameS1#将设备名改为S1[S1]undoinfo-centerenable#关闭信息中心，这样系统就不会输出系统信息[S1]vlanbatch10203040#创建VLAN10、VLAN20、VLAN30、VLAN40[S1]interfaceGigabitEthernet0/0/3[S1-GigabitEthernet0/0/3]portlink-typeaccess#设置接口类型为Access[S1-GigabitEthernet0/0/3]portdefaultvlan10#设置接口的缺省VLAN为VLAN10[S1-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/4]portlink-typeaccess[S1-GigabitEthernet0/0/4]portdefaultvlan10[S1-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S1-GigabitEthernet0/0/5]portlink-typeaccess[S1-GigabitEthernet0/0/5]portdefaultvlan20[S1-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk#设置接口类型为Trunk#设置该Trunk类型的接口允许通过的VLAN列表[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan10203040（2）S2上的配置与S1同理。[S2]sysnameS2[S2]undoinfo-centerenable[S1]vlanbatch10203040#创建VLAN10、VLAN20、VLAN30、VLAN40[S2]interfaceGigabitEthernet0/0/3[S2-GigabitEthernet0/0/3]portlink-typeaccess#设置接口类型为Access[S2-GigabitEthernet0/0/3]portdefaultvlan30#设置接口的缺省VLAN为30[S2-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S2-GigabitEthernet0/0/4]portlink-typeaccess[S2-GigabitEthernet0/0/4]portdefaultvlan30[S2-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S2-GigabitEthernet0/0/5]portlink-typeaccess[S2-GigabitEthernet0/0/5]portdefaultvlan40[S2-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S2-GigabitEthernet0/0/1]portlink-typetrunk#设置接口类型为Trunk#设置该Trunk类型的接口允许通过的VLAN列表[S2-GigabitEthernet0/0/1]porttrunkallow-passvlan102030403．测试分析这时可以在PC1上ping通PC2（10.1.1.2），但是PC1不能ping通其他PC，因为PC1与PC2在同一个VLAN，PC1与其他PC不在同一个VLAN。PC>ping10.1.1.2Ping10.1.1.2:32databytes,PressCtrl_CtobreakFrom10.1.1.2:bytes=32seq=1ttl=128time=46msFrom10.1.1.2:bytes=32seq=2ttl=128time=47msFrom10.1.1.2:bytes=32seq=3ttl=128time=47msFrom10.1.1.2:bytes=32seq=4ttl=128time=47msFrom10.1.1.2:bytes=32seq=5ttl=128time=47msPC>ping10.1.1.4Ping10.1.1.4:32databytes,PressCtrl_CtobreakFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:Destinationhostunreachable任务4.2VLAN数据帧的通信过程分析1．任务描述研发部的小王（PC2）与财务部的小张（PC5）临时调到对方部门进行业务对接，但是两人的部门属性不变，也就是PC2接在了S2的GE0/0/4上，PC5接在了S1的GE0/0/4上，如图4-10所示。这样的调整后，可以充分利用到两台交换的Trunk接口的功能，讲清楚同部门之间的PC通信时VLAN数据帧的封装过程。图4-10研发部的小王（PC2）与财务部的小张（PC5）位置互换2．实施步骤所有PC的IP地址不变，只需在任务4.1的基础上对S1的GE0/0/4和S2的GE0/0/4的配置进行稍微的改动即可。将S1上GE0/0/4的缺省VLAN改为VLAN30，将S2上GE0/0/4的缺省VLAN改为VLAN10。[S1]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/4]portdefaultvlan30[S2]interfaceGigabitEthernet0/0/4[S2-GigabitEthernet0/0/4]portdefaultvlan103．测试分析在ping操作之前，分别在PC1的E0/0/1、S1的GE0/0/1和PC2的E0/0/1上使用Wireshark抓包。任务4.3使用Hybrid接口类型实现VLAN间的隔离与互通1．任务描述由于工作需要，各部门要与销售部进行工作对接，也就是各部门要与销售部互通，其他各部门之间隔离。想达到这样的效果，传统的Access和Trunk类型无法满足要求，必须要用到Hybrid类型。Hybrid类型在知识准备4.3中已经介绍过了，它是Access和Trunk类型混合，既有Access的特征，也有Trunk的特征，使用方法更加灵活多变，可以完成Access和Trunk类型不能完成的任务。网络拓扑如图4-17所示。图4-17使用Hybrid接口类型实现VLAN间的隔离与互通2．实施步骤IP地址与上一个任务一致。但是每个接口的的配置需要改成Hybrid类型。S1上的配置。[S1]interfaceGigabitEthernet0/0/3[S1-GigabitEthernet0/0/3]portlink-typehybrid#配置为Hybrid类型[S1-GigabitEthernet0/0/3]porthybridpvidvlan10#设置PVID为VLAN10#如果是进入该接口，则允许通过的VLAN列表为VLAN10和VLAN40；如果从该接口发出，则在满足允#通过的VLAN列表的同时，还要剥离VLAN标签再发出去[S1-GigabitEthernet0/0/3]porthybriduntaggedvlan1040[S1-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/4]portlink-typehybrid[S1-GigabitEthernet0/0/4]porthybridpvidvlan30[S1-GigabitEthernet0/0/4]porthybriduntaggedvlan3040[S1-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S1-GigabitEthernet0/0/5]portlink-typehybrid[S1-GigabitEthernet0/0/5]porthybridpvidvlan20[S1-GigabitEthernet0/0/5]porthybriduntaggedvlan2040[S1-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typehybrid[S1-GigabitEthernet0/0/1]porthybridtaggedvlan10203040S2上的配置。[S2]interfaceGigabitEthernet0/0/3[S2-GigabitEthernet0/0/3]portlink-typehybrid[S2-GigabitEthernet0/0/3]porthybridpvidvlan30[S2-GigabitEthernet0/0/3]porthybriduntaggedvlan3040[S2-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S2-GigabitEthernet0/0/4]portlink-typehybrid[S2-GigabitEthernet0/0/4]porthybridpvidvlan10[S2-GigabitEthernet0/0/4]porthybriduntaggedvlan1040[S2-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S2-GigabitEthernet0/0/5]portlink-typehybrid[S2-GigabitEthernet0/0/5]porthybridpvidvlan40[S2-GigabitEthernet0/0/5]porthybriduntaggedvlan10203040[S2-GigabitEthernet0/0/5]interfaceGigab