構(gòu)建安全中型辦公網(wǎng)

項目五為了保證辦公網(wǎng)安全，保證辦公網(wǎng)不被其它部門網(wǎng)直接訪問，實現(xiàn)辦公網(wǎng)和教學網(wǎng)以及其它網(wǎng)絡(luò)之間的技術(shù)隔離。構(gòu)建安全辦公網(wǎng)工作場景構(gòu)建安全辦公網(wǎng)工作拓撲構(gòu)建安全辦公網(wǎng)需求分析1、為了保證辦公網(wǎng)信息的安全，保證辦公網(wǎng)需要保密的信息，希望通過技術(shù)，實現(xiàn)辦公網(wǎng)和教學網(wǎng)以及其它網(wǎng)絡(luò)之間的技術(shù)隔離。2、學院希望通過技術(shù)實現(xiàn)辦公網(wǎng)和教學網(wǎng)以及其它網(wǎng)絡(luò)之間的技術(shù)隔離。同時保證辦公樓和教學樓同一部門之間的網(wǎng)絡(luò)互相連通，共享網(wǎng)絡(luò)信息資源。構(gòu)建安全辦公網(wǎng)知識準備為組建安全中型辦公網(wǎng)絡(luò)項目，需要的知識準備有：

子網(wǎng)規(guī)劃知識；交換機虛擬局域網(wǎng)絡(luò)知識；劃分虛擬局域網(wǎng)絡(luò)技術(shù)；理解VLAN交換機中端口區(qū)別；理解干道技術(shù)；區(qū)分portvlan和tagvlan。單臂路由知識；三層交換機知識，交換機上劃分VLAN；跨交換機實現(xiàn)VLAN通訊；三層交換機實現(xiàn)全網(wǎng)互通……安全辦公網(wǎng)絡(luò)項目知識介紹廣播流量分割全網(wǎng)之間的互通交換網(wǎng)絡(luò)中的問題在交換機組成的校園網(wǎng)絡(luò)里所有主機都在同一個廣播域內(nèi)廣播域安全廣播

隨著網(wǎng)絡(luò)規(guī)模的增大帶來的一些問題：

網(wǎng)內(nèi)數(shù)據(jù)傳輸量增大，網(wǎng)速變得越來越慢！計算機遭受黑客攻擊，關(guān)鍵部門存在安全隱患！同一部門的人員分布不同的地域，不能相對集中辦公！交換網(wǎng)絡(luò)中的存在問題交換網(wǎng)絡(luò)中問題的解決--VLANVLAN20通過VLAN技術(shù)可以對網(wǎng)絡(luò)進行一個安全的隔離、分割廣播域VLAN10VLAN30VLAN40VLAN在交交換機中的實實現(xiàn)分段靈活性安全性第三層第二層第一層銷售部人力資源部工程部一個VLAN=一個廣廣播域=邏邏輯網(wǎng)段(子網(wǎng))VLAN（（VirtualLocalAreaNetwork）在物理網(wǎng)絡(luò)上上劃分出邏輯輯網(wǎng)，對應(yīng)OSI模型型第二層。VLAN劃分分不受端口物物理位置限制制，VLAN和普通物理理網(wǎng)絡(luò)有同樣樣屬性。第二層數(shù)據(jù)單單播、廣播只只在一個VLAN內(nèi)轉(zhuǎn)發(fā)發(fā)，不會進入入其他VLAN中。VLAN技術(shù)術(shù)VLAN特點點安全隔離，不不同VLAN之間不能直直接訪問，需需通過路由設(shè)設(shè)備相連隔離廣播不受物理位置置限制劃分VLAN的方法基于端口的VLAN基于協(xié)議的VLAN基于MAC層層分組的VLAN基于子網(wǎng)的VLAN基于交換機的的端口(一個個端口只屬于于一個VLAN)VLAN的類類型:PortVLANF0/1F0/2F0/3Port-vlan原理理交換機端口MAC地址VLANIDF0/1A10F0/2B20F0/3C10F0/1F0/2F0/3ABCVlan10Vlan20Vlan10ABACXVLAN在單單交換機中的的實現(xiàn)數(shù)據(jù)1交換機內(nèi)部數(shù)據(jù)1數(shù)據(jù)2數(shù)據(jù)2101102創(chuàng)建VLAN100，將將它命名為test的例例子Switch#configureterminalSwitch(config)#vlan10Switch(config-vlan)#end把fastethernet0/10作為access口加入了VLAN100Switch#configureterminalSwitch(config)#interfacefastethernet0/10Switch(config-if)#switchportaccessvlan10Switch(config-if)#end配置PortVLAN-Access(1)將一組接口加加入某一個VLANSwitch(config)#interfacerangefastethernet0/1-10，，0/15，，0/20Switch(config-if-range)#switchportaccessvlan20Switch(config-if-range)#noshutdown注：連續(xù)接口口0/1-10，中間間使用空格分分離;不連續(xù)多個接接口，中間用用逗號隔開；；如果使用模塊塊，一定要寫寫明模塊編號號。配置PortVLAN-Access(2)VLAN相關(guān)關(guān)配置VLAN30VLAN40Switch(config)#interfacerangefastethernet0/1-2Switch(config-if-range)#switchportaccessvlan30Switch(config-if)#exitSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportaccessvlan40Switch(config-if)#exitSwitch(config)#interfacefastethernet0/4Switch(config-if)#switchportaccessvlan40Switch(config-if)#exit如果批量將端端口加入VLAN，可用用關(guān)鍵字range（見見端口加入VLAN30配置），如如果只加單一一接口（見端端口加入VLAN40配配置）SwitchAVLAN30VLAN20VLAN10SwitchBVLAN30VLAN20VLAN10跨交換機VLAN間通信信A交換機上VLAN10的端口范圍圍中取一個端端口，和交換換機B上VLAN10范范圍中的某個個端口，作級級聯(lián)連接。如果交換機上上劃了10個個VLAN，，就需要分別別連10條線線作級聯(lián)，端端口效率就太太低了。SwitchAVLAN30VLAN20VLAN10SwitchBVLAN30VLAN20VLAN10TagVLAN在交換機之間間用一條級聯(lián)聯(lián)線，并將對對應(yīng)的端口設(shè)設(shè)置為Trunk，這條條線路就可以以承載交換機機上所有VLAN的信息息。Trunk端端口傳輸多個個VLAN的的信息，實現(xiàn)現(xiàn)同一VLAN跨越不同同的交換機跨交換機VLAN之間的的通信:TagVLANVLAN1VLAN1VLAN2VLAN2VLAN3VLAN3BackboneVLAN1VLAN2VLAN3目的,源MAC地址類型,數(shù)據(jù)重新計算幀檢檢測序列2字節(jié)標記協(xié)協(xié)議標識2字節(jié)標記控控制信息Trunk端端口技術(shù)處理理：IEEE802.1Q數(shù)據(jù)幀標記協(xié)議標識識（TPID）:固定值0x8100,表表示該幀載有有802.1q標記信息息標記控制信息息（TCI））:Priority3比比特：表示優(yōu)優(yōu)先級Canonicalformatindicator1比特：：區(qū)別以太網(wǎng)網(wǎng)、FDDIVlanID12比特：：表示VID，范圍圍1－4094目的的MAC地地址址,源源MAC地地址址類型型,數(shù)數(shù)據(jù)據(jù)重新新計計算算幀幀檢檢測測序序列列IEEE802.3幀幀IEEE802.1Q幀幀802.1Q幀幀只只在在交交換換機機的的trunk鏈鏈路路上上傳傳輸輸，，對對用用戶戶透透明明的的。。默認認Trunk端端口口，，轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)交交換換機機上上所所有有VLAN的的數(shù)數(shù)據(jù)據(jù)。。A交換換機機1交換換機機2802.1Q工工作作過過程程B數(shù)據(jù)據(jù)幀幀Tag標標簽簽配置置VLAN-Trunk技技術(shù)術(shù)把Fa0/1配配成成Trunk口口Switch#configureterminalSwitch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#noshutdownVLAN相相關(guān)關(guān)配配置置f0/1f0/1switch1switch2Switch1#configSwitch1(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunk(將將二二層層接接口口的的屬屬性性設(shè)設(shè)置置為為trunk)Switch2#configSwitch2(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunk當交交換換機機與與交交換換機機相相聯(lián)聯(lián)系系時時，，常常將將交交換換機機之之間間連連接接的的鏈鏈路路設(shè)設(shè)置置為為TRUNK鏈鏈路路，，用用來來確確保保連連接接不不同同交交換換機機之之間間的的鏈鏈路路可可以以傳傳遞遞多多個個VLAN的的信信息息。。刪除除VLAN刪除除VALN,需需要要先先刪刪除除VLAN下下接接口口:Switch(config)#interfacefastethernet0/10Switch(config-if)#noswitchportSwitch(config-if)#exit再刪刪除除VLANSwitch(config)#novlan10VLAN的的實實現(xiàn)現(xiàn)Portvlan基于于交交換換機機端端口口進進行行VLAN的的劃劃分分一個個端端口口只只能能屬屬于于一一個個VLAN一個個VLAN可可以以包包含含多多個個端端口口接口口模模式式為為access用于于連連接接最最終終用用戶戶設(shè)設(shè)備備Tagvlan一個個端端口口可可以以屬屬于于多多個個VLAN默認認情情況況下下屬屬于于所所有有VLAN接口口模模式式為為trunk用于于交交換換機機之之間間級級聯(lián)聯(lián)VLAN的的特特征征一個個vlan中中的的所所有有設(shè)設(shè)備備處處于于同同一一個個廣廣播播域域一個個VLAN是是一一個個邏邏輯輯的的子子網(wǎng)網(wǎng)或或由由定定義義的的成成員員所所組組成成的的一一個個網(wǎng)網(wǎng)絡(luò)絡(luò)段段,VLAN之之間間通通信信必必須須要要進進行行路路由由VLAN的的成成員員通通常常是是基基于于交交換換機機的的端端口口號號,但但也也可可基基于于設(shè)設(shè)備備的的MAC地地址址而而動動態(tài)態(tài)設(shè)設(shè)置置.將VLAN信信息息保保存存到到flash中中Switch#writememory從flash中中清除除VLAN信息息Switch#deleteflash:vlan.dat保存/清除除VLAN信息息VLAN10VLAN20172.20.0.0/16VLAN30172.10.0.0/16172.30.0.0/16VLAN間間通信信的方方法VLAN間間通信信通過過三層層路由由來通通訊VLANsEngineeringVLANMarketingVLANSalesVLANFloor#1Floor#2Floor#3PhysicalLayerLANSwitchHumanLayerNetworkLayer192.20.24.0RoutingFunctionInterconnectsVLANs192.20.21.0192.30.20.0Data-LinkLayerBroadcastDomainsVLAN10VLAN30VLAN20多條鏈鏈路連連接多多個VLAN,浪費費路由由接口口三層路路由器器VLAN間通通訊VLAN10VLAN30VLAN20使使用一條鏈鏈路連連接多多個VLAN,在一一個鏈鏈路接接口上上劃分分子接接口技技術(shù)來來解決決。單臂路路由解解決思思想FA1InterfaceFA1Subinterface1.1Subinterface1.2Subinterface1.3VLAN1VLAN2ISLinterfacefastethernet0/0noipaddress!interfacefastethernet0/0.1ipaddress10.1.1.1255.255.255.0interfacefastethernet0/0.2ipaddress10.2.2.1255.255.255.0FastE0/010.1.1.210.2.2.2單臂路路由解解決思思想在在三層交交換機機上使使用SVI虛擬擬接口口技術(shù)術(shù)，在在功能能上實實現(xiàn)了了VLAN間路路由通通訊功功能。。VLAN20Network172.16.20.4VLAN30Network172.16.30.5VLAN10Network172.16.10.3三層交交換機機進行行VLAN間路路由使使用三層交換接接口實現(xiàn)VLAN間間路由由的通通訊，，交換換接口口成本本降低低。三層交交換SVI技術(shù)術(shù)配置置方法法第一步步：分分別在在三層層上創(chuàng)創(chuàng)建每每個VLAN對對應(yīng)的的SVI端端口，，Switch(config)#vlan10Switch(config)#vlan20第二步步:為為三層層上創(chuàng)創(chuàng)建的的VLAN分配配路由由IP地址址：Switch(config)#interfacevlan<vlan>Switch(config-if)#ipaddress<address><netmask>Switch(config-if)#noshutdown第三步步：將將二層層VLAN內(nèi)連連接主主機的的網(wǎng)關(guān)關(guān)，指指定為為本VLAN對對應(yīng)的的三層層接口口地址址三層接接口（（SVI））VLAN10VLAN20三層交交換機機Vlan10Interfacef0/1Switchportaccessvlan10Vlan20Interfacef0/2Switchportaccessvlan20Interfacevlan10Ipaddress10.1.1.1255.255.255.0NoshutdownInterfacevlan20Ipaddress10.1.2.1255.255.255.0NoshutdownF0/1F0/1F0/2F0/210.1.1.0/2410.1.2.0/24三層接接口（（routedport））VLAN10VLAN20三層交交換機機Interfacefastethernet0/1Noswitchport(將將交換換機二二層接接口轉(zhuǎn)轉(zhuǎn)換為為三層層接口口)Ipaddress10.1.1.1255.255.255.0NoshutdownInterfacefastethernet0/2NoswitchportIpaddress10.1.2.1255.255.255.0NoshutdownF0/1F0/1F0/2F0/210.1.1.0/2410.1.2.0/24安全辦辦公網(wǎng)網(wǎng)絡(luò)項項目實實施案例拓拓撲結(jié)結(jié)構(gòu)1000M100MVLAN2VLAN3100M100MVLAN10VLAN11總經(jīng)理理VLAN99SW-L3S2126G1S2126G2S2126G3S2126G4堆疊技術(shù)實驗報告告-地址表設(shè)備名稱設(shè)備地址接口連接SW-L3VLAN2:192.168.2.1/24F0/1連接S2126G1F0/1VLAN3:192.168.3.1/24F0/2連接S2126G1F0/2VLAN10:192.168.10.1/24F0/23連接S2126G2F0/23F0/24連接S2126G2F0/24VLAN11:192.168.11.1/24F0/11(VLAN11)連接S2126G3F0/1VLAN99:192.168.99.1/24F0/9(VLAN99)連接總經(jīng)理PCS2126G1VLAN3:192.168.3.2/24F0/1連接SW-L3F0/1F0/2連接SW-L3F0/2S2126G2VLAN11:192.168.5.2/24F0/23連接SW-L3F0/23F0/24連接SW-L3F0/24S2126G3VLAN11:192.168.11.2/24F0/1連接SW-L3F0/11接口S2126G4S2126G4與S2126G3堆疊總經(jīng)理PCIP:192.168.99.99/24網(wǎng)卡與SW-L3F0/9連接技術(shù)實驗報告告-VLAN分配表設(shè)備名稱VLANID接口分配SW-L3VLAN11F0/11(VLAN11)VLAN99F0/9(VLAN99)S2126G1VLAN2VLAN3F0/3-F0/11F0/12-F0/24S2126G2VLAN11F0/1-F0/22S2126G3VLAN11全部接口分配到VLAN11S2126G4技術(shù)實驗報告告-需求1需求1：公司司內(nèi)部員工可可以互相通過過網(wǎng)絡(luò)互相交交流。第一步：在相相關(guān)交換機上上創(chuàng)建VLAN，并將接接口劃分到相相關(guān)VLAN中S2126G1(config)#vlan2S2126G1(config-vlan)#exitS2126G1(config)#vlan3S2126G1(config-vlan)#exitS2126G1(config)#interfacerangefastethernet0/3-11S2126G1(config-if-range)#switchportaccessvlan2S2126G1(config-if-range)#exitS2126G1(config)#interfacerangefastethernet0/12-24S2126G1(config-if-range)#switchportaccessvlan3其他交換機配配置略……技術(shù)實驗報告告-需求1第二步:在核核心交換機上上開啟VLAN間路由在此步驟之前前應(yīng)完成SW-L3上相相關(guān)VLAN的建立，并并將相應(yīng)接口口加入到相應(yīng)應(yīng)VLANSW-L3(config)#interfacevlan2SW-L3(config-if)#ipaddress192.168.2.1255.255.255.0SW-L3(config-if)#noshutdownSW-L3(config-if)#exitSW-L3(config)#interfacevlan3SW-L3(config-if)#ipaddress192.168.3.1255.255.255.0SW-L3(config-if)#noshutdownSW-L3(config-if)#exitSW-L3(config)#interfacevlan10SW-L3(config-if)#ipaddress192.168.10.1255.255.255.0SW-L3(config-if)#noshutdownSW-L3(config-if)#exit技術(shù)實驗報告告-需求1接第二步:在在核心交換機機上開啟VLAN間路由由SW-L3(config)#interfacevlan11SW-L3(config-if)#ipaddress192.168.11.1255.255.255.0SW-L3(config-if)#noshutdownSW-L3(config-if)#exitSW-L3(config)#interfacevlan99SW-L3(config-if)#ipaddress192.168.99.1255.255.255.0SW-L3(config-if)#noshutdownSW-L3(config-if)#exit技術(shù)實驗報告告-需求2需求2:保保證銷售部部門的員工能能夠全部接入入網(wǎng)絡(luò)，并且且要保障接入入交換機的工工作效率。將S2126G3與S2126G4上的堆疊模模塊用堆疊線線纜連接起來來。連接方式為S2126G3UP---S2126G4DOWNS2126G3DOWN---S2126G4UP技術(shù)實驗報報告-需求求3需求3:保保證財務(wù)部部門接入網(wǎng)網(wǎng)絡(luò)時不因因線路問題題出現(xiàn)不能能訪問的情情況。第一步:建建立S2126G1與SW-L3之間間的雙鏈路路S2126G1(config)#interfacerangefastethernet0/1-2S2126G1(config-if-range)#switchportmodetrunkSW-L3(config)#interfacerangefastethernet0/1-2SW-L3(config-if-range)#switchportmodetrunk(注:實驗驗中用一條條百兆鏈路路模擬另外外一條千兆兆鏈路)技術(shù)實驗報報告-需求求3第二步:S2126G1與SW-L3運行快速速生成樹協(xié)協(xié)議RSTPS2126G1(config)#spannning-treeS2126G1(config)#spanning-treemoderstpSW-L3(config)#spannning-treeSW-L3(config)#spanning-treemoderstp技術(shù)實驗報報告-需求求4需求4:保保證市場推推廣部高速速利用網(wǎng)絡(luò)絡(luò)傳輸文件件。第一步：建建立S2126G2與SW-L3之間間的雙鏈路路將S2126G2的的F0/23、F0/24與與SW-L3的F0/23、、F0/24級聯(lián)。。第二步：建建立S2126G2與SW-L3之間間的聚合鏈鏈路S2126G2(config)#interfacerangefastethernet0/23-24S2126G1(config-if-range)#port-group1SW-L3(config)#interfacerangefastethernet0/23-24SW-L3(config-if-range)#port-group1技術(shù)實驗報報告-相關(guān)關(guān)結(jié)果查看看生成樹協(xié)議議查看#showspanning-tree聚合端口查查看#showaggregateportsummaryVLAN查查看#showvlan路由表查看看#showiproute謝謝!9、靜夜四無鄰鄰，荒居舊業(yè)業(yè)貧。。12月-2212月-22Thursday,December29,202210、雨雨中中黃黃葉葉樹樹，，燈燈下下白白頭頭人人。。。。14:20:4114:20:4214:2012/29/20222:20:42PM11、以我獨沈沈久，愧君君相見頻。。。12月-2214:20:4214:20Dec-2229-Dec-2212、故故人人江江海海別別，，幾幾度度隔隔山山川川。。。。14:20:4214:20:4214:20Thursday,December29,202213、乍見翻疑疑夢，相悲悲各問年。。。12月-2212月-2214:20:4214:20:42December29,202214、他鄉(xiāng)生白發(fā)發(fā)，舊國見青青山。。29十二月月20222:20:42下午14:20:4212月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月222:20下午午12月-2214:20December29,202216、行動出成果果，工作出財財富。。2022/12/2914:20:4214:20:4229December202217、做做前前，，能能夠夠環(huán)環(huán)視視四四周周；；做做時時，，你你只只能能或或者者最最好好沿沿著著以以腳腳為為起起點點的的射射線線向向前前。。。。2:20:42下下午午2:20下下午午14:20:4212月月-229、沒有有失敗敗，只只有暫暫時停停止成成功！！。12月月-2212月月-22Thursday,December29,202210、很多事事情努力力了未必必有結(jié)果果，但是是不努力力卻什么么改變也也沒有。。。14:20:4214:20:4214:2012/29/20222:20:42PM11、成功就是是日復(fù)一日日那一點點點小小努力力的積累。。。12月-2214:20:4214:20Dec-2229-Dec-2212、世間間成事事，不不求其其絕對對圓滿滿，留留一份份不足足，可可得無無限完完美。。。14:20:4214:20:4214:20Thursday,December29,202213、不知香香積寺，，數(shù)里入入云峰。。。12月-2212月-2214:20:4214:20:42December29,202214