智能交通网络构建与管理33课件

智能交通网络构建与管理/02项目二局域网安全与管理项目二任务一使用CTY和VTY管理网络设备任务二使用VLAN管理网络设备任务三使用NAT接入广域网任务四使用ACL进行安全管理任务二使用VLAN管理网络设备1．了解VLAN的相关知识；2．掌握利用VLAN管理网络的方法；3．掌握VLAN间路由的配置方法。课前学习任务单1.2任务二网络设备部署连线学号姓名日期学习目标1．了解VLAN的相关知识；2．掌握利用VLAN管理网络的方法；3．掌握VLAN间路由的配置方法。序号内容引导问题1简述交换机进行VLAN配置管理的优点。引导问题2简述VLANaccess模式和trunk模式的区别。引导问题3简述VLAN间路由的实现方法。任务评价任务二使用VLAN管理网络设备01040302基础知识拓展知识Q&A实训项目任务二使用VLAN管理网络设备任务二2.2.1认识VLAN技术VLAN（VirtualLocalAreaNetwork）虚拟局域网，是一种二层技术。它通过软件方式在交换式局域网中将一个较大广播域按照部门、功能等因素分割成较小广播域，以便更好地管理，从而提高组网的灵活性与安全性，进一步提升网络性能。VLAN划分实质上就是将一台交换机逻辑分成了几台交换机，通过软件方式实现逻辑工作组的划分与管理。默认情况下交换机不能分割广播域，多台交换机互联后依然属于一个广播域，如图2.2.1所示。任务二2.2.1认识VLAN技术但是，在交换机上通过VLAN技术，就可以分割广播域，即一个VLAN就是一个广播域。VLAN由交换机的一组物理端口组成，这些物理端口可以属于一台交换机，也可以属于多台交换机。各个广播域之间在逻辑上是分开的任务二2.2.2VLAN的优点采用VLAN技术，使网络管理能力更加方便、灵活，从而提高设备使用效率，增强网络适应性。任务二2.2.3VLAN的分类VLAN按照不同的标准，有多种分类方式，具体如下。1）按照VLAN创建方式。VLAN可分为系统默认VLAN和用户VLAN。默认VLAN：VLANID号和名称是固定的，不能被用户删除或修改。如default、fddi-default、token-ring-default等。用户VLAN：VLANID号和名称是用户创建的，且能被用户删除或修改。如VLAN10、VLAN99、Teacher、Student等。任务二2.2.3VLAN的分类2）按照VLAN成员添加方式。VLAN可分为静态VLAN和动态VLAN。静态VLAN：通过手工方式将交换机端口添加到某个VLAN中，端口属于某个VLAN后，除非管理员重新分配，否则该端口永远属于该VLAN，例如，将端口Fa0/1添加到VLAN10，则该端口只属于VLAN10，不属于其他VLAN，除非重新再分配。动态VLAN：交换机会根据用户设备信息，如MAC地址，IP地址乃至高层用户信息等，自动将端口分配给某个VLAN，动态VLAN要求网络中必须有一台策略服务器（VMPS），该服务器包含设备信息到VLAN的映射关系，例如，当公司有新员工入职，离职或员工更换工作岗位时，需要网管员更新VMP服务器中设备信息和VLAN的映射关系。任务二2.2.3VLAN的分类2）按照VLAN成员添加方式。与静态VLAN相比，动态VLAN的优点是依据VMPS服务器中设备信息和VLAN的映射关系，动态将相关端口添加到某个VLAN中。动态VLAN可以根据交换端口所连接的计算机随时改变端口所属VLAN，当计算机变更所连交换端口或交换机时，VLAN不用重新配置。VMPS策略服务器通常由高端交换机充当催化剂（如CiscoCatalyst6500交换机），低端交换机作为客户机。当某台主机发送数据帧到网络中时，由客户机向服务器发起查询请求，VMP依据设备信息，找到与VLAN的对应关系，再依据主机所连接交换机端口动态将其添加到相应的VLAN。任务二2.2.3VLAN的分类3）按照VLAN承载信息类型不同：VLAN可主要分为数据VLAN，管理VLAN。数据VLAN：承载用户数据，如VLAN10、VLAN99、教师、学生等。管理VLAN：承载用于网络设备管理的流量，如Telnet、SSH、SNMP等信息。另外还有其他几种类型的VLAN，如语音VLAN，本征VLAN，黑洞VLAN等。任务二2.2.4VLAN的配置在CiscoCatalyst交换机上配置VLAN的模式有如下两种。1）全局配置模式：新版操作系统模式，建议使用。2）数据库配置模式：旧版操作系统配置模式，不推荐使用。配置VLAN前，需要先确定可用VLANID、VLANID分为普通范围和扩展范围两部分。普通范围VILANID：1-1005，其中VLAN1，VLAN1002-VLAN1005为保留，不可用。扩展范围VLANID：1006--4094。我们可选择普通范围可用ID来配置静态VLAN，具体配置如下所述。1）创建VLAN2）添加VLAN成员3）修改VLAN成员4）删除某个VLAN5）删除所有VLAN任务二2.2.5认识Trunk干道1）认识VLAN干道当有多个VLAN跨越两台交换机通信时，交换机间只有一条级联链路就可以实现，我们把这条链路称为干道。干道可以同时传输多个VLAN的数据，这条干道就像高速公路被划分成多车道一样，允许多辆车同时通过。这条车道就是我们本节课要学习的Trunk链路即干道链路。2）干道的应用场合干道链路通常应用在以下几种场合。（1）交换机与交换机之间：如图2.2.3所示，SW1与SW2之间的链路。它是PC1和PC2，PC3和PC4，以及PC5和PC6通信的必经之路，因为它需要同时转发三个VLAN的数据。（2）交换机与路由器之间：如图2.2.3所示，SW3与Router1之间的链路。为了实现不同VLAN之间的通信，该链路必须允许3个VLAN的数据通过，才可实现VLAN间的互访。（3）交换机与服务器之间：服务器是多个VLAN的共用服务器，但服务器网卡必须支持。若一条链路只允许通过一个VLAN的数据，这条链路就不是干道（Trunk），而是访问链路，即接入链路（Access）。任务二2.2.5认识Trunk干道任务二2.2.6Trunk链路配置网络拓扑如图2.2.4所示，二层交换机S0的G1/1端口与三层交换机S1的G0/1端口连接，此时两端口均要配置为trunk模式。任务二2.2.6Trunk链路配置三层交换机要配置trunk模式，必须先封装dot1q协议，即802.1Q协议，才能正确启用trunk。默认情况下，交换机端口会启用协商，且所有交换机端口均处于dynamic模式，当S1配置了trunk模式后，S0会自动切换成trunk模式，如果不希望启用动态协商，可在交换机上输入：S1(config-if)#switchportnonegotiate当网络中不同厂商设备或者考虑到VLAN安全时，我们应采用该手工方式指定Trunk，关闭DTP协商。二层交换机上启用trunk，只需进入端口配置模式，修改switchport模式即可。任务二2.2.6Trunk链路配置三层交换机要配置trunk模式，必须先封装dot1q协议，即802.1Q协议，才能正确启用trunk。默认情况下，交换机端口会启用协商，且所有交换机端口均处于dynamic模式，当S1配置了trunk模式后，S0会自动切换成trunk模式，如果不希望启用动态协商，可在交换机上输入：S1(config-if)#switchportnonegotiate当网络中不同厂商设备或者考虑到VLAN安全时，我们应采用该手工方式指定Trunk，关闭DTP协商。二层交换机上启用trunk，只需进入端口配置模式，修改switchport模式即可。任务二2.2.6Trunk链路配置在三层交换机上进行配置：S1(config)#interfacegigabitEthernet0/1S1(config-if)#switchporttrunkencapsulationdot1qS1(config-if)#switchportmodetrunkS1(config-if)#%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceGigabitEthernet0/1,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceGigabitEthernet0/1,changedstatetoupS1(config-if)#任务二2.2.6Trunk链路配置在S1上查看trunk配置情况。S1#showinterfacestrunkPort Mode Encapsulation Status Native vlanGig0/1 on 802.1q trunking 1Port VlansallowedontrunkGig0/1 1-1005Port VlansallowedandactiveinmanagementdomainGig0/1 1Port VlansinspanningtreeforwardingstateandnotprunedGig0/1 1默认情况下，Trunk允许所有VLAN数据通过，若希望部分VLAN通过可使用allowed进行配置：S1(config-if)#switchporttrunkallowedvlan10-100,200任务二2.2.7VLAN间路由配置初始状态下，交换机已经创建了vlan10和vla20，且F0/1加入vlan10，F0/2加入vlan20，两台电脑也正确配置了IP地址。希望通过路由器，使两台电脑能ping通。传统方法下，路由器与交换机用两根线连接，分别传输vlan10和vlan20的数据包，经过路由器转发，实现两台电脑连通。单臂路由方法，路由器与交换机用一根线连接，路由器创建两个子接口，分别传输vlan10和vlan20的数据包，经过路由器转发，实现两台电脑连通。任务二2.2.7VLAN间路由配置将路由器的G0/0与交换机的G1/1连接，将路由器G0/1与交换机G1/2连接，如图2.2.6所示。传统方法任务二2.2.7VLAN间路由配置交换机配置如下：Switch(config)#vlan10Switch(config-vlan)#vlan20Switch(config-vlan)#intf0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#swaccessvlan10Switch(config-if)#intf0/2Switch(config-if)#switchportmodeaccessSwitch(config-if)#swaccessvlan20！以上为初始配置。Switch(config-if)#intg1/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#intg1/2Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan20Switch(config-if)#路由器只需将两个端口地址配置好即可，具体配置如下：Router(config)#intg0/0Router(config-if)#noshutdownRouter(config-if)#ipaddress192.168.0.254255.255.255.0Router(config-if)#intg0/1Router(config-if)#noshutdownRouter(config-if)#ipaddress192.168.1.254255.255.255.0Router(config-if)#在两电脑正确配置IP地址和网关的情况下，可ping通。传统方法任务二2.2.7VLAN间路由配置将路由器的G0/0与交换机的G1/1连接单臂路由方法任务二2.2.7VLAN间路由配置（1）路由器创建子接口（子接口编号随意，一般设为与相应vlan编号相同）。Router(config)#intg0/0.10（2）子接口分别封装802.1Q协议，其中封装的vlan编号必须与交换机设置的vlan相同，子接口不封装802.1Q协议，则不能配置IP地址。Router(config-subif)#encapsulationdot1Q10（3）子接口分别设置IP地址，必须不同网段。Router(config-subif)#ipaddress192.168.0.254255.255.255.0创建另一个子接口，封装802.1Q协议，并配置IP地址。Router(config-subif)#exitRouter(config)#intg0/0.20Router(config-subif)#encapsulationdot1Q20Router(config-subif)#ipaddress192.168.1.254255.255.255.0Router(config-subif)#exit单臂路由方法任务二2.2.7VLAN间路由配置（4）进入接口，打开接口。Router(config)#intg0/0Router(config-if)#noshutRouter(config-if)#%LINK-5-CHANGED:InterfaceGigabitEthernet0/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceGigabitEthernet0/0,changedstatetoup%LINK-5-CHANGED:InterfaceGigabitEthernet0/0.10,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceGigabitEthernet0/0.10,changedstatetoup%LINK-5-CHANGED:InterfaceGigabitEthernet0/0.20,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceGigabitEthernet0/0.20,changedstatetoup！此时noshutdown打开了G0/0以及所有子接口。单臂路由方法任务二2.2.7VLAN间路由配置（5）交换机将G1/1端口设为trunk模式。Switch(config)#intg1/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#%LINK-5-CHANGED:InterfaceGigabitEthernet1/1,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceGigabitEthernet1/1,changedstatetoup在两电脑正确配置IP地址和网关的情况下，通过ping命令测试，可连通。单臂路由方法01040302基础知识拓展知识Q&A实训项目任务二使用VLAN管理网络设备任务二2.2.8802.3帧格式与802.1Q帧格式以太网采用的标准是IEEE802.3，以太网的帧格式即802.3帧格式；IEEE802.1q是国际标准协议，能对数据帧附加VLAN标识，兼容各厂商交换机。802.3和802.1q帧格式如图2.2.8所示。任务二2.2.8802.3帧格式与802.1Q帧格式802.3帧发送前首先要传输7个字节的前导码（Preamble）和1个字节的帧起始定界符（StartFrameDelimiter），前导码每个字节的值固定为0xAA，帧起始定界符的值固定为0xAB。802.3帧中目标地址（DestinationAddress）和源地址（SourceAddress）均为6个字节。若目标地址第一位是0，则表示这是一个普通地址；如果是1，则表示这是一个组地址。长度/类型（Length/Type）字段用于指定报文头后所接的数据类型。通常使用的值包括：IPv4（0x0800），IPv6(0x86DD),ARP(0x0806）。而值0x8100代表一个Q-tagged帧（802.1Q）。通常一个基础的以太网帧长为1518字节，但是更多的新标准把这个值扩展为2000字节。802.3帧格式任务二2.2.8802.3帧格式与802.1Q帧格式数据（MACClientData）：数据主体，最小长度为46字节（加上帧首6+6+2=14字节，帧尾FCS的4字节合计64字节），当数据主体小于48字节时，会添加pa