揚州工業職業技術學院教案序號6周次授課形式講練結合授課章節名稱項目4隔離企業部門間流量（一）教學目的1．了解VLAN的基本概念。2．理解VLAN的運行原理。教學重點1.掌握VLAN技術原理。教學難點1.理解以太網二層接口的類型。使用教具計算機、ppt、eNSP、觸摸白板課外作業復習本節，預習下節課后體會同學們對本堂課的掌握情況良好授課主要內容本項目知識圖譜4.1VLAN基礎知識1．VLAN標簽為了區分不同VLAN的報文，交換機需要在報文中插入一個標記VLAN信息的字段。如圖4-4所示，當交換機S1識別出某個幀的VLAN屬性后，它會在該幀的特定位置附加一個標簽（Tag），明確指示該幀VLAN屬性。這樣，接收此帶標簽數據幀的其他交換機，只需查看標簽即可迅速識別幀的VLAN屬性。802.1Q標準規定了這種帶標簽數據幀的格式，符合該格式的數據幀被稱為802.1Q數據幀。圖4-4交換機負責打上或識別VLAN標簽2．802.1Q幀在以太網中，數據幀的傳輸往往涉及多臺交換機的轉發。為確保VLAN劃分的一致性，即VLAN屬性跨越整個網絡而非局限于單臺交換機，數據幀在傳輸過程中需攜帶特定標識，明確指示其所屬VLAN。為此，IEEE802.1Q標準規定了向無標記（Untagged）數據幀中添加VLAN標簽（Tag）的方法。該VLAN標簽包含4個關鍵字段，標簽協議標識符（TagProtocolIdentifer，TPID）、優先級（Priority，PRI）、標準格式指示符（CanonicalFormatIndicator，CFI）和虛擬局域網標識符（VLANID，VID）。通過插入這一標簽，數據幀能夠攜帶關于其VLAN屬性的詳細信息，如圖4-5所示，展示了帶有VLAN標簽的數據幀結構，各字段的作用具體如下。（1）TPID：長度為16位（2字節），取值為0x8100，用于標識該幀為802.1Q幀。（2）PRI：長度為3位，取值范圍為0-9。數據幀的優先級，有助于在網絡擁塞時決定處理順序。（3）CFI：當CFI的值為0時，表示MAC地址采用了標準格式進行封裝；如果CFI的值為1，表示MAC地址采用了非標準格式進行封裝。在以太網中該值為0，這通常用于與令牌環網等特定網絡環境的兼容。（4）VID：長度為12位，取值范圍為0-4095，0和4095為協議保留值，有效取值范圍為1-4094。唯一標識數據幀所屬的VLAN。圖4-5802.1Q幀的結構4.2VLAN的劃分方式在計算機網絡中，計算機通常發送無標記（Untagged）的幀。當這些Untagged幀進入支持VLAN特性的交換網絡時，交換機需要依據特定的劃分原則，將這些Untagged幀歸類到某個VLAN中。根據這些劃分原則的不同，VLAN劃分就有了不同的類型。1．基于接口的VLAN劃分交換機每個物理接口都被分配一個特定的VLANID。當Untagged幀從某一物理接口進入交換機時，這些Untagged幀會自動歸類到該接口對應的VLAN中。這種基于接口的劃分方法既簡單直觀，又易于實現，同時保證了較高的安全性與可靠性。若計算機連接的交換機接口發生變化，其發送的幀所屬的VLAN也會隨之改變，通常也被稱為一層VLAN。2．基于MAC地址的VLAN劃分根據計算機MAC地址的不同將其劃分到不同的VLAN中，交換機需維護一張MAC地址與VLANID映射表。當接收到Untagged幀時，交換機會解析幀中的源MAC地址，并對照此映射表來確定該幀應歸屬的VLAN。這種方法提供了更高的靈活性，當計算機所連接的交換機接口變動時，由于其MAC地址保持不變，該計算機發送的Untagged幀仍能正確歸類到原先設定的VLAN中。但是這種劃分在安全性方面存在一定隱患，因為惡意用戶有可能偽造MAC地址以滲透進不同的VLAN，通常也被稱為二層VLAN。3．基于協議的VLAN劃分交換機的VLAN劃分還可以依據計算機發送的Untagged幀中的幀類型字段值來決定，不同類型的幀可以被分配到不同的VLAN中。例如，幀類型值為0x0800的幀（IPv4）被歸入一個VLAN，而幀類型值為0x86dd的幀（IPv6）被歸入另一個VLAN。這種基于協議類型的VLAN劃分方式，實際上實現了根據根據IPv4和IPv6數據包來區分不同的VLAN，通常也被稱為三層VLAN。4．基于IP子網的VLAN劃分網絡管理員會事先設定一個映射表，該表記錄了IP地址與VLANID的對應關系，當交換機接收到Untagged幀時，檢查幀中的源IP地址，并參照此映射表來確定相應的VLANID。5．基于策略的VLAN劃分網絡管理員可以預先設定一系列VLAN劃分策略，這些策略可以基于多種因素，如接口、MAC地址、IP地址等。當交換機接收到Untagged幀時，它會根據這些預先配置的策略進行匹配。一旦匹配成功，交換機會將該數據幀分配到不同的VLAN中。4.3以太網二層接口類型交換機針對不同連接對象，即連接交換機間與連接終端設備，其接口在處理數據幀時表現出明顯差異。華為交換機為此規定了三種二層接口工作模式，分別是Access接口、Trunk接口和Hybrid接口。這些模式確保了數據幀根據連接類型進行相應處理。1．Access接口交換機通常配備有Access接口，專門用于連接用戶PC、服務器等終端設備，這些設備的網卡設計為僅處理和傳輸不帶VLAN標簽的幀，Access接口被限制為僅能加入一個特定的VLAN，如圖4-6所示。圖4-6Access接口（1）接收幀時若Access接口接收到Untagged幀，交換機會設置該幀VLANTag的VID字段為PVID值，隨后根據處理規則（泛洪、轉發、丟棄）對該已標記幀進行后續操作。若接收到tagged幀，交換機會核對幀中VLANTag的VID是否與接口的PVID相同，相同時，轉發該幀；不同時，則直接丟棄。（2）發送幀時當一個tagged幀從交換機其他接口傳向Access接口時，交換機會再次核對幀的VID與接口的PVID是否相同，相同時，則去除該幀的VLANTag，以Untagged幀發送出去；不同時，則直接丟棄該幀。2．Trunk接口Trunk接口支持多個VLAN的數據幀傳輸，這些數據幀通過VLANTag的VID來區分各自所屬的VLAN。它主要用于交換機間的連接，同時也適用于與路由器、防火墻等設備的子接口互聯，以實現不同VLAN間的數據傳輸，如圖4-7所示。圖4-7Trunk接口在配置Trunk接口時，除了設定PVID之外，還需指定允許通過的VLANID列表，VLAN1默認包含在此列表中。（1）接收幀時接收Untagged幀時，交換機會設置該幀VLANTag的VID字段為PVID值，并驗證此PVID是否在允許通過的VLANID列表中，若在，則繼續轉發該Tagged幀；反之，則直接丟棄。接收Tagged幀時，交換機會檢查其VID是否在允許通過的VLANID列表中，若在則轉發；否則丟棄。注意，此時接口的PVID不起作用。（2）發送幀時首先，交換機會檢查幀的VID是否在允許通過的VLANID列表中，若不在，該幀將被丟棄；若在，交換機將進一步比較此幀的VID與接口的PVID，若兩者相同，交換機會移除該幀的VLANTag，并以Untagged形式發送至鏈路；否則，該幀將保持其VLANTag不變，直接發送至鏈路。3．Hybrid接口Hybrid接口類似于Trunk接口，能夠傳輸多個VLAN的數據幀，這些數據幀通過VLANTag的VID進行區分。用戶可以根據需要，為Hybrid接口配置在接收特定VLAN數據幀時是否附加標簽，在發送特定VLAN數據幀時是否剝離標簽，如圖4-8所示。圖4-8Hybrid接口Hybrid接口的配置不僅涉及PVID，還包含兩個允許通過的VLANID列表，即UntaggedVLANID列表和TaggedVLANID列表。VLAN1默認在UntaggedVLANID列表中。這兩個列表共同定義了哪些VLAN的幀能夠通過該Hybrid接口。（1）接收幀時當接收Untagged幀時，交換機會設置該幀VLANTag的VID值為PVID，并隨后檢查這個PVID是否存在于UntaggedVLANID或TaggedVLANID列表中，若在，則繼續轉發這個Tagged幀；若不在，則直接丟棄。當接收Tagged幀時，交換機會檢查幀中的VID是否出現在UntaggedVLANID或TaggedVLANID列表中。若在，該幀將被接收；若不在，該幀將被丟棄。（2）發送幀時當發送Tagged幀時，若幀的VID不在UntaggedVLANID和TaggedVLANID列表中，該幀將被直接丟棄；若VID出現在UntaggedVLANID列表中，交換機會移除該幀的Tag，以Untagged的形式發送該幀；若VID在TaggedVLANID列表中，則保留幀的Tag，以Tagged的形式發送該幀。【小結】本節課小節詳細介紹了VLAN的基礎知識。其中，802.1Q幀通過添加特定標簽來區分不同VLAN的報文，標簽里的各個字段都有其獨特作用。VLAN的劃分方式多種多樣，基于接口劃分簡單方便，基于MAC地址劃分靈活性強，基于協議、IP子網和策略劃分則能滿足不同場景的需求。而以太網二層接口類型主要有Access、Trunk和Hybrid這三種。Access接口用于連接普通終端設備，像用戶電腦；Trunk接口常用于交換機之間的連接，能傳輸多個VLAN的數據；Hybrid接口則兼具前兩者的特點，使用起來更加靈活，在處理VLAN數據時能根據配置進行更細致的操作。【作業】（1）什么是VLAN技術，并簡述其主要作用？（2）簡述VLAN的幾種主要劃分方式。揚州工業職業技術學院教案序號7周次授課形式講練結合授課章節名稱項目4隔離企業部門間流量（二）教學目的1．掌握VLAN的配置。教學重點1.掌握VLAN各種接口的配置。教學難點1.理解以太網二層接口的類型。使用教具計算機、ppt、eNSP、觸摸白板課外作業復習本節，預習下節課后體會同學們對本堂課的掌握情況良好授課主要內容本項目知識圖譜4.4VLAN基本配置1．創建VLAN使用以下命令來創建一個VLAN并進入其配置視圖。如果該VLAN已經存在，則直接跳轉至其配置視圖。其中，vlan-id為用戶自定的vlan編號，有效取值范圍為1到4094之間的整數。[Huawei]vlanvlan-id在系統視圖模式下，若想在交換機上連續創建多個VLAN，可輸入以下命令，vlan-id1為第一個VLAN編號，vlan-id2為和最后一個VLAN編號。[Huawei]vlanbatch{vlan-id1[tovlan-id2]}2．配置Access接口進入接口視圖，將指定接口配置為Access類型。[Huawei-GigabitEthernet0/0/1]portlink-typeaccess配置該接口的缺省VLAN，vlan-id為缺省VLAN編號。[Huawei-GigabitEthernet0/0/1]portdefaultvlanvlan-id3．配置Trunk接口進入接口視圖，將指定接口配置為Trunk類型。[Huawei-GigabitEthernet0/0/1]portlink-typetrunk配置該接口允許通過的VLAN列表，vlan-id1為第一個VLAN編號，vlan-id2為和最后一個VLAN編號。all表示該接口允許所有VLAN通過。[Huawei-GigabitEthernet0/0/1]porttrunkallow-passvlan{{vlan-id1[tovlan-id2]}|all}配置該接口的缺省VLAN，vlan-id為缺省VLAN編號。[Huawei-GigabitEthernet0/0/1]porttrunkpvidvlanvlan-id4．配置Hybrid接口進入接口視圖，將指定接口配置為Hybrid類型。[Huawei-GigabitEthernet0/0/1]portlink-typehybrid配置Hybrid類型接口加入的VLAN，這些VLAN數據幀以Untagged的形式通過。[Huawei-GigabitEthernet0/0/1]porthybriduntaggedvlan{{vlan-id1[tovlan-id2]}|all}配置Hybrid類型接口加入的VLAN，這些VLAN數據幀以tagged的形式通過。[Huawei-GigabitEthernet0/0/1]porthybridtaggedvlan{{vlan-id1[tovlan-id2]}|all}配置該接口的缺省VLAN，vlan-id為缺省VLAN編號。[Huawei-GigabitEthernet0/0/1]porthybridpvidvlanvlan-id【項目實施】任務4.1基于接口劃分的企業部門間VLAN隔離

1．任務描述藍箭公司已步入穩定發展階段，目前設有研發、生產、財務及銷售四大部門，各部門對于數據隔離的需求日益迫切，這對數據安全和隱私保護提出了更高要求。為有效劃分部門間的數據界限，確保信息的安全與私密，公司決定采納VLAN技術，以實現部門間的數據隔離，強化數據安全。網絡拓撲如圖4-9所示，將研發部的PC1和PC2劃為VLAN10，生產部的PC3劃為VLAN20，財務部的PC4和PC5劃為VLAN30，銷售部的PC6劃為VLAN40。各部門PCIP地址如表4-1所示。圖4-9藍箭公司各部門VLAN規劃表7-1研發部和生產部IP地址分配表設備接口號IP地址/接口配置PC1E0/0/110.1.1.1/24PC2E0/0/110.1.1.2/24PC3E0/0/110.1.1.3/24PC4E0/0/110.1.1.4/24PC5E0/0/110.1.1.5/24PC6E0/0/110.1.1.6/24S1G0/0/3Access，缺省vlan：10G0/0/4Access，缺省vlan：10G0/0/5Access，缺省vlan：20G0/0/24Trunk，允許通過的VLAN:10203040S2G0/0/3Access，缺省vlan：30G0/0/4Access，缺省vlan：30G0/0/5Access，缺省vlan：40G0/0/24Trunk，允許通過的VLAN:102030402．實施步驟S1上設置GE0/0/3和GE0/0/4為Access類型，缺省VLAN為VLAN10，GE0/0/5為Access類型，缺省VLAN為VLAN20，GE0/0/1為Trunk類型，缺省VLAN為VLAN10，允許通過的VLAN為VLAN10、VLAN20、VLAN30、VLAN10。雖然S1上沒有VLAN30和VLAN40的終端，但是為了企業以后的發展需要，還是在預留了VLAN30和VLAN40的空間。（1）S1上的配置[S1]sysnameS1#將設備名改為S1[S1]undoinfo-centerenable#關閉信息中心，這樣系統就不會輸出系統信息[S1]vlanbatch10203040#創建VLAN10、VLAN20、VLAN30、VLAN40[S1]interfaceGigabitEthernet0/0/3[S1-GigabitEthernet0/0/3]portlink-typeaccess#設置接口類型為Access[S1-GigabitEthernet0/0/3]portdefaultvlan10#設置接口的缺省VLAN為VLAN10[S1-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/4]portlink-typeaccess[S1-GigabitEthernet0/0/4]portdefaultvlan10[S1-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S1-GigabitEthernet0/0/5]portlink-typeaccess[S1-GigabitEthernet0/0/5]portdefaultvlan20[S1-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk#設置接口類型為Trunk#設置該Trunk類型的接口允許通過的VLAN列表[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan10203040（2）S2上的配置與S1同理。[S2]sysnameS2[S2]undoinfo-centerenable[S1]vlanbatch10203040#創建VLAN10、VLAN20、VLAN30、VLAN40[S2]interfaceGigabitEthernet0/0/3[S2-GigabitEthernet0/0/3]portlink-typeaccess#設置接口類型為Access[S2-GigabitEthernet0/0/3]portdefaultvlan30#設置接口的缺省VLAN為30[S2-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S2-GigabitEthernet0/0/4]portlink-typeaccess[S2-GigabitEthernet0/0/4]portdefaultvlan30[S2-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S2-GigabitEthernet0/0/5]portlink-typeaccess[S2-GigabitEthernet0/0/5]portdefaultvlan40[S2-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S2-GigabitEthernet0/0/1]portlink-typetrunk#設置接口類型為Trunk#設置該Trunk類型的接口允許通過的VLAN列表[S2-GigabitEthernet0/0/1]porttrunkallow-passvlan102030403．測試分析這時可以在PC1上ping通PC2（10.1.1.2），但是PC1不能ping通其他PC，因為PC1與PC2在同一個VLAN，PC1與其他PC不在同一個VLAN。PC>ping10.1.1.2Ping10.1.1.2:32databytes,PressCtrl_CtobreakFrom10.1.1.2:bytes=32seq=1ttl=128time=46msFrom10.1.1.2:bytes=32seq=2ttl=128time=47msFrom10.1.1.2:bytes=32seq=3ttl=128time=47msFrom10.1.1.2:bytes=32seq=4ttl=128time=47msFrom10.1.1.2:bytes=32seq=5ttl=128time=47msPC>ping10.1.1.4Ping10.1.1.4:32databytes,PressCtrl_CtobreakFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:Destinationhostunreachable任務4.2VLAN數據幀的通信過程分析1．任務描述研發部的小王（PC2）與財務部的小張（PC5）臨時調到對方部門進行業務對接，但是兩人的部門屬性不變，也就是PC2接在了S2的GE0/0/4上，PC5接在了S1的GE0/0/4上，如圖4-10所示。這樣的調整后，可以充分利用到兩臺交換的Trunk接口的功能，講清楚同部門之間的PC通信時VLAN數據幀的封裝過程。圖4-10研發部的小王（PC2）與財務部的小張（PC5）位置互換2．實施步驟所有PC的IP地址不變，只需在任務4.1的基礎上對S1的GE0/0/4和S2的GE0/0/4的配置進行稍微的改動即可。將S1上GE0/0/4的缺省VLAN改為VLAN30，將S2上GE0/0/4的缺省VLAN改為VLAN10。[S1]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/4]portdefaultvlan30[S2]interfaceGigabitEthernet0/0/4[S2-GigabitEthernet0/0/4]portdefaultvlan103．測試分析在ping操作之前，分別在PC1的E0/0/1、S1的GE0/0/1和PC2的E0/0/1上使用Wireshark抓包。任務4.3使用Hybrid接口類型實現VLAN間的隔離與互通1．任務描述由于工作需要，各部門要與銷售部進行工作對接，也就是各部門要與銷售部互通，其他各部門之間隔離。想達到這樣的效果，傳統的Access和Trunk類型無法滿足要求，必須要用到Hybrid類型。Hybrid類型在知識準備4.3中已經介紹過了，它是Access和Trunk類型混合，既有Access的特征，也有Trunk的特征，使用方法更加靈活多變，可以完成Access和Trunk類型不能完成的任務。網絡拓撲如圖4-17所示。圖4-17使用Hybrid接口類型實現VLAN間的隔離與互通2．實施步驟IP地址與上一個任務一致。但是每個接口的的配置需要改成Hybrid類型。S1上的配置。[S1]interfaceGigabitEthernet0/0/3[S1-GigabitEthernet0/0/3]portlink-typehybrid#配置為Hybrid類型[S1-GigabitEthernet0/0/3]porthybridpvidvlan10#設置PVID為VLAN10#如果是進入該接口，則允許通過的VLAN列表為VLAN10和VLAN40；如果從該接口發出，則在滿足允#通過的VLAN列表的同時，還要剝離VLAN標簽再發出去[S1-GigabitEthernet0/0/3]porthybriduntaggedvlan1040[S1-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/4]portlink-typehybrid[S1-GigabitEthernet0/0/4]porthybridpvidvlan30[S1-GigabitEthernet0/0/4]porthybriduntaggedvlan3040[S1-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S1-GigabitEthernet0/0/5]portlink-typehybrid[S1-GigabitEthernet0/0/5]porthybridpvidvlan20[S1-GigabitEthernet0/0/5]porthybriduntaggedvlan2040[S1-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typehybrid[S1-GigabitEthernet0/0/1]porthybridtaggedvlan10203040S2上的配置。[S2]interfaceGigabitEthernet0/0/3[S2-GigabitEthernet0/0/3]portlink-typehybrid[S2-GigabitEthernet0/0/3]porthybridpvidvlan30[S2-GigabitEthernet0/0/3]porthybriduntaggedvlan3040[S2-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S2-GigabitEthernet0/0/4]portlink-typehybrid[S2-GigabitEthernet0/0/4]porthybridpvidvlan10[S2-GigabitEthernet0/0/4]porthybriduntaggedvlan1040[S2-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S2-GigabitEthernet0/0/5]portlink-typehybrid[S2-GigabitEthernet0/0/5]porthybridpvidvlan40[S2-GigabitEthernet0/0/5]porthybriduntaggedvlan10203040[S2-GigabitEthernet0/0/5]interfaceGigab