項目2

基于VLAN實現(xiàn)技術(shù)部與商務(wù)部計算機的互聯(lián)與隔離項目描述相關(guān)知識項目規(guī)劃設(shè)計項目實施項目驗證項目拓展目錄項目描述項目描述Jan16公司現(xiàn)有財務(wù)部、技術(shù)部和業(yè)務(wù)部，出于數(shù)據(jù)安全的考慮，各部門的計算機需進行隔離，僅允許部門內(nèi)部相互通信。公司拓撲如圖2-1所示，具體要求如下。（1）公司局域網(wǎng)使用一臺10口二層交換機進行互聯(lián)，其中財務(wù)部的計算機2臺，連接在G0/1~G/2端口；技術(shù)部的計算機3臺，連接在G0/3~G0/4，G0/7端口；業(yè)務(wù)部的計算機3臺，連接在G0/5~G0/6，G0/8端口。（2）出于安全的考慮，需在交換機中為各部門創(chuàng)建相應(yīng)的VLAN，避免部門間相互通信。（3）所有計算機均采用10.0.1.0/24網(wǎng)段，各部門IP地址和接入交換機的端口信息如圖2-1所示。項目描述圖2-1網(wǎng)絡(luò)拓撲圖相關(guān)知識2.2.1虛擬局域網(wǎng)（VLAN）技術(shù)傳統(tǒng)共享型和交換式以太網(wǎng)的廣播域會浪費大量的網(wǎng)絡(luò)帶寬，降低通信效率，甚至?xí)a(chǎn)生廣播風(fēng)暴，導(dǎo)致網(wǎng)絡(luò)擁塞。虛擬局域網(wǎng)（VLAN）能夠縮小廣播域，降低廣播包消耗帶寬的比例，顯著提高網(wǎng)絡(luò)性能。2.2.2VLAN基本概念虛擬局域網(wǎng)(VirtualLocalAreaNetwork，VLAN)是將一個物理的局域網(wǎng)在邏輯上劃分成多個廣播域的技術(shù)。通過在交換機上配置VLAN，實現(xiàn)在同一個VLAN內(nèi)的主機可以相互通信，而不同VLAN間的主機被相互隔離。2.2.3VLAN的用途為限制廣播域的范圍，減少廣播流量，需要在沒有二層互訪需求的主機（通常為一個部門）之間進行隔離。路由器是基于三層IP地址信息來選擇路由和轉(zhuǎn)發(fā)數(shù)據(jù)的，其連接兩個網(wǎng)段時可以有效抑制廣播報文的轉(zhuǎn)發(fā)，然后在路由器的每個端口連接一臺交換機供二層主機接入，結(jié)果如圖2-2所示。這種解決方案雖然解決了部門計算機的二層隔離，但是成本較高，因此，人們設(shè)想在一臺或多臺交換機上構(gòu)建多個邏輯局域網(wǎng)，即VLAN來實現(xiàn)部門計算機間的二層隔離。圖2-2基于路由器的局域網(wǎng)廣播域2.2.4VLAN的原理VLAN技術(shù)可以將一個物理局域網(wǎng)在邏輯上劃分成多個廣播域，也就是多個VLAN。VLAN技術(shù)部署在數(shù)據(jù)鏈路層，用于隔離二層流量。同一個VLAN內(nèi)的主機共享同一個廣播域，它們之間可以直接進行二層通信。而VLAN間的主機屬于不同的廣播域，不能直接實現(xiàn)二層互通。這樣，廣播報文就被限制在各個相應(yīng)的VLAN內(nèi)，同時也提高了網(wǎng)絡(luò)安全性。如圖2-3所示，原本屬于同一廣播域的主機被劃分到了兩個VLAN中，即，VLAN1和VLAN2。VLAN內(nèi)部的主機可以直接在二層互相通信，VLAN1和VLAN2之間的主機無法實現(xiàn)二層通信。2.2.4VLAN的原理圖2-3VLAN能夠隔離廣播域2.2.5劃分VLAN的方法在實際網(wǎng)絡(luò)中，對VLAN進行劃分的方式有以下5種。（1）基于端口劃分：根據(jù)交換機的端口編號來劃分VLAN。初始情況下，交換機的端口都處于VLAN1中，管理員通過為交換機的每個端口配置不同的VLANID，將不同端口劃分到不同的VLAN中，該方法是最常用的方法。2.2.5劃分VLAN的方法（2）基于MAC地址劃分：根據(jù)主機網(wǎng)卡的MAC地址劃分VLAN。此劃分方法需要網(wǎng)絡(luò)管理員提前配置網(wǎng)絡(luò)中的主機MAC地址和VLANID的映射關(guān)系。如果交換機收到不帶標(biāo)簽的數(shù)據(jù)幀，會查找之前配置的MAC地址和VLAN映射表，然后根據(jù)數(shù)據(jù)幀中攜帶的MAC地址來添加相應(yīng)的VLAN標(biāo)簽。2.2.5劃分VLAN的方法（3）基于IP子網(wǎng)劃分：交換機在收到不帶標(biāo)簽的數(shù)據(jù)幀時，根據(jù)報文攜帶的IP地址給數(shù)據(jù)幀添加VLAN標(biāo)簽。如圖2-4所示。圖2-4vlan幀格式2.2.5劃分VLAN的方法（4）基于協(xié)議劃分：根據(jù)數(shù)據(jù)幀的協(xié)議類型（或協(xié)議族類型）、封裝格式來分配VLANID。網(wǎng)絡(luò)管理員需要先配置協(xié)議類型和VLANID之間的映射關(guān)系。（5）基于策略劃分：使用幾個條件的組合來分配VLAN標(biāo)簽。這些條件包括IP子網(wǎng)、端口和IP地址等。只有當(dāng)所有條件都匹配時，交換機才為數(shù)據(jù)幀添加VLAN標(biāo)簽。另外，針對每一條策略都是需要手工配置的2.2.5劃分VLAN的方法以上5種VLAN劃分方法舉例如表2-1所示。表2-1劃分VLAN的方法劃分VLAN的方法VLAN5VLAN10基于端口G0/1,G0/7G0/2,G0/9基于MAC地址00-01-02-03-04-AA00-01-02-03-04-CC00-01-02-03-04-BB00-01-02-03-04-DD基于IP子網(wǎng)劃分10.0.1.0/2410.0.2.0/24基于協(xié)議劃分IPIPX基于策略G0/1+00-01-02-03-04-AA（交換機端口號+MAC）G0/2+00-01-02-03-04-BB（交換機端口號+MAC）項目規(guī)劃設(shè)計項目規(guī)劃設(shè)計二層交換機默認情況下，所有端口都處于VLAN1中。本項目中所有計算機均采用10.0.1.0/24網(wǎng)段，各計算機均可直接通信。為實現(xiàn)各部門之間的隔離，需在交換機上創(chuàng)建VLAN，并將各部門計算機的端口劃分到相應(yīng)的VLAN中。本項目將通過創(chuàng)建VLAN10、VLAN20、VLAN30分別用于財務(wù)部、技術(shù)部、業(yè)務(wù)部內(nèi)的計算機互聯(lián)。項目規(guī)劃設(shè)計因此，本項目需要工程師熟悉交換機的VLAN創(chuàng)建、端口類型的轉(zhuǎn)換及PC的IP地址配置，涉及以下工作任務(wù)：（1）創(chuàng)建VLAN并將端口劃分至相應(yīng)的VLAN。在交換機上為各部門創(chuàng)建相應(yīng)的VLAN并配置VLAN描述，將連接PC的端口類型轉(zhuǎn)換模式并劃分到相應(yīng)的VLAN中。（2）配置交換機互聯(lián)端口為Trunk模式。將交換機互聯(lián)端口配置為Trunk端口并允許相應(yīng)的VLAN通過。（3）配置各部門計算機的IP地址實現(xiàn)部門內(nèi)相互通信。項目規(guī)劃設(shè)計本項目的VLAN規(guī)劃、端口規(guī)劃、IP地址規(guī)劃見表2-2~表2-4。VLANIDIP地址段用途VLAN1010.0.1.11~12/24財務(wù)部VLAN2010.0.1.21~23/24技術(shù)部VLAN3010.0.1.31~33/24業(yè)務(wù)部表2-2VLAN規(guī)劃項目規(guī)劃設(shè)計本端設(shè)備端口號端口類型所屬VLAN對端設(shè)備SW1G0/1~G0/2accessVLAN10財務(wù)部PCSW1G0/3~G0/4,G0/7accessVLAN20技術(shù)部PCSW1G0/5~G0/6,G0/8accessVLAN30業(yè)務(wù)部PC表2-3端口規(guī)劃項目規(guī)劃設(shè)計計算機IP地址財務(wù)部-PC110.0.1.11/24財務(wù)部-PC210.0.1.12/24技術(shù)部-PC310.0.1.21/24技術(shù)部-PC410.0.1.22/24業(yè)務(wù)部-PC510.0.1.31/24業(yè)務(wù)部-PC610.0.1.32/24表2-4IP地址規(guī)劃

項目實施任務(wù)2-1創(chuàng)建VLAN任務(wù)描述根據(jù)項目規(guī)劃中的VLAN規(guī)劃表為各部門創(chuàng)建相應(yīng)的VLAN。任務(wù)實施在交換機SW1上為各部門創(chuàng)建相應(yīng)的VLAN。交換機默認出廠的時候設(shè)備名稱都是相同的，如銳捷的交換機出廠默認名稱都是【Ruijie】,當(dāng)網(wǎng)絡(luò)中有多臺交換機時，相同的名稱會導(dǎo)致無法區(qū)分。因此，在首次登錄交換機時，都建議使用【hostname<name>】修改交換機的名稱。任務(wù)2-1創(chuàng)建VLAN在交換機上劃分VLAN時，需要首先創(chuàng)建VLAN。執(zhí)行【vlan<vlan-id>】命令可以在交換機上創(chuàng)建VLAN。例如，執(zhí)行【vlan10】命令后，就創(chuàng)建了VLAN10，并進入了VLAN10VLAN配置模式。VLANID的取值范圍是1到4094。如需創(chuàng)建多個VLAN，可以在交換機上執(zhí)行【vlanrange

{

vlan-id1

-

vlan-id2

}】命令，以創(chuàng)建多個連續(xù)的VLAN。也可以執(zhí)行【vlanrange

{vlan-id1,vlan-id2}】命令，創(chuàng)建多個不連續(xù)的VLAN，VLAN號之間需要逗號。例如，執(zhí)行【vlanrange20,30】命令后，就創(chuàng)建了VLAN20，VLAN30。任務(wù)2-1創(chuàng)建VLAN配置命令如下。Ruijie>enable//進入特權(quán)模式Ruijie#configureterminal//進入全局模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Ruijie(config)#hostnameSW1//將交換機名稱更改為SW1SW1(config)#vlan10//創(chuàng)建VLAN10SW1(config-vlan)#exitSW1(config)#vlanrange20,30//批量創(chuàng)建VLAN20，30SW1(config-vlan-range))#exit任務(wù)2-1創(chuàng)建VLAN任務(wù)驗證在SW1上使用【showvlan】命令查看VLAN信息，配置命令如下。

可以看到已經(jīng)創(chuàng)建了VLAN10、VLAN20、VLAN30（VLAN1為交換機自動配置生成的默認VLAN）。SW1(config)#showvlan//查看VLAN信息VLANNameStatusPorts----------------------------------------------------------------------------1VLAN0001STATICGi0/0,Gi0/1,Gi0/2,Gi0/3Gi0/4,Gi0/5,Gi0/6,Gi0/7Gi0/810VLAN0010STATIC20VLAN0020STATIC30VLAN0030STATIC任務(wù)2-2將端口劃分至相應(yīng)VLAN任務(wù)描述根據(jù)項目規(guī)劃中的端口規(guī)劃表，將連接計算機的端口類型轉(zhuǎn)換模式并換分到相應(yīng)的VLAN中。任務(wù)實施在交換機SW1上將各部門計算機所使用的端口按部門分別組成批量端口，統(tǒng)一將端口類型轉(zhuǎn)換為Access模式，并設(shè)置端口VLAN，將端口劃分到相應(yīng)的VLAN。在交換機上需要對批量端口進行相同內(nèi)容的配置時，可以使用【interfacerange{interface-id1-interface-id2}】批量進入相同類型及速率的端口，進入批量端口下配置的內(nèi)容會在所有端口上生效。任務(wù)2-2將端口劃分至相應(yīng)VLAN在交換機上創(chuàng)建VLAN后，管理員就可以進入對應(yīng)端口，使用【switchportmode{access|trunk|hybrid|uplink}】命令，修改對應(yīng)端口的模式。當(dāng)修改端口為access模式后，需要配合【switchportaccessvlan<vlan-id>】命令，配置端口的VLAN配置命令如下。SW1(config-if-range)#switchportmodeaccess//修改端口類型為assess模式SW1(config-if-range)#switchportaccessvlan10//配置端口的默認VALN為VLAN10SW1(config-if-range)#exitSW1(config)#interfacerangegigabitEthernet0/3-4,0/7SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan20SW1(config-if-range)#exitSW1(config)#interfacerangegigabitEthernet0/5-6,0/8SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan30SW1(config-if-range)#exit任務(wù)2-2將端口劃分至相應(yīng)VLAN任務(wù)驗證在SW1上使用【showvlan】命令查看VLAN信息，配置命令如下。可以看到已經(jīng)將端口劃分給了相應(yīng)VLAN。SW1(config)#showvlanVLANNameStatusPorts----------------------------------------------------------------------------1VLAN0001STATICGi0/0,10VLAN0010STATICGi0/1,Gi0/2,20VLAN0020STATICGi0/3,Gi0/4,Gi0/730VLAN0030STATICGi0/5,Gi0/6,Gi0/8任務(wù)2-3配置各部門計算機的IP地址實現(xiàn)部門內(nèi)相互通信任務(wù)描述根據(jù)IP地址規(guī)劃表（如表2-4所示）為各部門PC配置IP地址。任務(wù)實施（1）根據(jù)表2-5為各部門PC配置IP地址。

計算機IP地址財務(wù)部-PC110.0.1.11/24財務(wù)部-PC210.0.1.12/24技術(shù)部-PC310.0.1.21/24技術(shù)部-PC410.0.1.22/24業(yè)務(wù)部-PC510.0.1.31/24業(yè)務(wù)部-PC610.0.1.32/24表2-5IP地址規(guī)劃表任務(wù)2-3配置各部門計算機的IP地址實現(xiàn)部門內(nèi)相互通信（2）財務(wù)部-PC1的IP地址配置結(jié)果如圖2-5所示，同理完成其他PC的IP地址配置。圖2-5財務(wù)部-PC1IP地址配置任務(wù)2-3配置各部門計算機的IP地址實現(xiàn)部門內(nèi)相互通信任務(wù)驗證（1）在財務(wù)部-PC1上使用【ipconfig】命令查看IP地址配置，結(jié)果顯示IP配置正確，命令如下。（2）在其他PC上同樣使用【ipconfig】命令驗證IP地址是否正確配置。C:\Users\Administrator>ipconfig//顯示本機IP地址配置的信息本地連接:連接特定的DNS后綴.......:IPv4地址............:10.0.1.11(首選)子網(wǎng)掩碼............:255.255.255.0默認網(wǎng)關(guān).............:

項目驗證

項目驗證（1）使用財務(wù)部計算機Ping本部門的計算機，配置命令如下。結(jié)果顯示可以Ping通。C:\Users\Administrator>ping10.0.1.12正在Ping10.0.1.12具有32字節(jié)的數(shù)據(jù):來自10.0.1.12的回復(fù):字節(jié)=32時間=1msTTL=64來自10.0.1.12的回復(fù):字節(jié)=32時間=5msTTL=64來自10.0.1.12的回復(fù):字節(jié)=32時間=1msTTL=64來自10.0.1.12的回復(fù):字節(jié)=32時間=1msTTL=6410.0.1.12的Ping統(tǒng)計信息:數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%丟失)，往返行程的估計時間(以毫秒為單位):最短=1ms，最長=5ms，平均=2ms

項目驗證（2）使用財務(wù)部的計算機Ping技術(shù)部的計算機，配置命令如下。可以看出，將端口加入到不同的VLAN后，相同VLAN中的計算機可以互相通信，不同VLAN中的計算機則不可以互相通信。C:\Users\Administrator>ping10.0.1.21正在Ping10.0.1.21具有32字節(jié)的數(shù)據(jù):來自10.0.1.11的回復(fù):無法訪問目標(biāo)主機。來自10.0.1.11的回復(fù):無法訪問目標(biāo)主機。來自10.0.1.11的回復(fù):無法訪問目標(biāo)主機。來自10.0.1.11的回復(fù):無法訪問目標(biāo)主機。10.0.1.21的Ping統(tǒng)計信息:數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%丟失)，項目拓展一、理論題1.某公司在對局域網(wǎng)內(nèi)做VLAN劃分，希望無論從任何接入點訪問公司網(wǎng)絡(luò)，都屬于固定VLAN，則建議采用哪種VLAN劃分方案？（）A.基于端口劃分 B.基于MAC劃分C.基于協(xié)議劃分 D.基于物理位置劃分2.以下對VLAN的描述錯誤的是（ ）A.VLAN隔離了廣播域B.VLAN在一定程度了實現(xiàn)了網(wǎng)絡(luò)安全C.VLAN隔離了沖突域D.VLAN是二層技術(shù)一、理論題3.在以太網(wǎng)交換機上創(chuàng)建VLAN時不能創(chuàng)建VLAN（ ），且不能刪除VLAN（