項目1高校隔離網絡的設計與實施項目描述項目相關知識項目規劃設計項目實踐項目驗證項目拓展目錄項目描述項目描述某高校在教學樓2樓和5樓原有201、202、501、502共4個機房，每個課室有4臺接入交換機和51臺電腦。現計劃對4間機房進行改造，將201、202、501作為日常上課使用的機房，502作為考試時使用的機房。原網絡建設中，201、202使用同一IP地址段，501、502使用同一IP地址段。具體要求如下。（1）201和202的2個機房使用同一IP地址段，但要求機房之間相互隔離，防止教師廣播投屏時互相影響。（2）501和502的2個機房作為考試機房，使用同一IP地址段，501的機電腦可以互相通信，502機房作為考試機房，要求電腦之間互相隔離。項目描述項目拓撲如圖1-1所示。圖1-1項目拓撲項目相關知識1.1VLAN聚合基本概念VLAN聚合（VLANAggregation），也稱SuperVLAN。指在一個物理網絡內，用多個SubVLAN隔離廣播域，并將這些VLAN歸屬到一個邏輯SuperVLAN中，這些SubVLAN使用同一個IP子網和默認網關，進而達到節約IP地址的目的。VLAN聚合中，SuperVLAN只創建三層SVI口并配置對應的子網網關IP地址，不包含具體的物理接口。SubVLAN只包含物理接口，不創建三層SVI接口，用于隔離二層廣播域，每個SubVLAN內的主機與外部的三層通信或者SubVLAN之間的通信是依賴于SuperVLAN下的ARP代理功能來實現。1.1VLAN聚合基本概念如圖1-2所示。圖1-2SuperVLAN結構圖1.1VLAN聚合基本概念同一個SubVLAN屬于同一個廣播域，因此相同SubVLAN內的主機可以直接通信。如圖1-3所示。圖1-3同SubVLAN內的終端通信圖1.1VLAN聚合基本概念不同SubVLAN之間的通信，需要借助網關SVI口的代理功能。如圖1-4所示。SuperVLANSVI2開啟ARP代理之后，PC1和PC2的通信過程如下。圖1-4不同SubVLAN內終端的通信圖1.1VLAN聚合基本概念（1）PC1發現PC2和自己在同一網段，且ARP表中無PC2的對應表項，則發送ARP廣播包請求PC2的MAC地址。（2）

作為網關的SuperVLAN對應的SVI2口收到PC1的ARP請求，由于SVI2開啟了ARP代理功能，則向SuperVLAN2內所有的SubVLAN接口發送ARP廣播，請求PC2的MAC地址。（3）SubVLAN20內的主機PC2收到網關發的ARP廣播包后，對此請求進行應答。（4）網關收到PC2的應答之后，就把自己的MAC地址回應給PC1。（5）PC1之后發給PC2的報文都先發給網關，由網關做轉發。1.2VLAN聚合的應用場景隨著企業網絡規模的擴大和業務需求的增加，VLAN的應用越來越廣泛。然而，在實際應用中，VLAN的管理和維護卻面臨著諸多挑戰。為了解決這些問題，提高網絡的穩定性和效率，VLAN聚合技術應運而生。在實際應用中，VLAN聚合的應用場景非常廣泛，主要包括以下幾個方面。1.2VLAN聚合的應用場景（1）在大型企業中，由于網絡規模龐大、VLAN數量眾多，管理和維護起來非常困難。通過VLAN聚合，可以將多個VLAN合并成一個邏輯上的大VLAN，從而減少VLAN的數量，降低管理難度。同時，聚合后的VLAN可以更好地利用帶寬資源，提高網絡傳輸效率。（2）在網絡安全方面，VLAN聚合也發揮著重要作用。通過將多個VLAN聚合成一個邏輯上的大VLAN，可以更好地實現網絡隔離和訪問控制，提高網絡安全性。同時，聚合后的VLAN可以更好地支持安全策略的實施，如防火墻、入侵檢測等。1.3PrivateVLAN私有VLAN（PrivateVLAN）采用兩層VLAN隔離技術，實現一個VLAN內的端口隔離。在PrivateVLAN中，每個VLAN的二層廣播域被劃分成多個子域，每個子域由一對VLAN組成：主VLAN（PrimaryVLAN）和輔助VLAN（SecondaryVLAN）。主VLAN是PVLAN的高級VLAN，每個PrivateVLAN中只有一個主VLAN；而輔助VLAN是PVLAN中的子VLAN，并且映射到一個主VLAN。每臺接入設備都連接到輔助VLAN。1.3PrivateVLAN輔助VLAN包含兩種類型：隔離VLAN（IsolatedVLAN）和團體VLAN（CommunityVLAN）。同一個隔離VLAN內的端口不能互相二層通信，而同一個團體VLAN內的端口可以互相二層通信，但團體VLAN之間的端口不能相互通信。在PrivateVLAN中，交換機端口有三種類型：Isolatedport、Communityport和Promiscuousport。它們分別對應不同的VLAN類型。

Isolatedport屬于IsolatedVLAN。

Communityport屬于CommunityVLAN。

Promiscuousport屬于PrimaryVLAN。1.3PrivateVLAN在IsolatedVLAN中，Isolatedport只能和Promiscuousport通信，兩個Isolatedport彼此之間不能交換流量；在CommunityVLAN中，Communityport不僅可以和Promiscuousport通信，而且彼此之間也可以交換流量。如圖1-5所示。1-5PrivateVLAN流量傳輸圖1.3PrivateVLANPrivateVLAN主要用于解決通信安全、防止廣播風暴和浪費IP地址等問題。它通常用于企業內部網，用來防止連接到某些接口或接口組的網絡設備之間的相互通信，但允許與默認網關進行通信。即使在不同的VLAN中，設備也可以使用相同的IP子網。項目規劃設計項目規劃設計在本項目中，學校計劃在教學樓使用1臺匯聚交換機、4臺接入交換機和8臺PC來搭建四個機房的隔離網絡，各機房的終端分別接入機房內的交換機，其項目實施拓撲如圖1-6所示。圖1-6項目實施拓撲圖項目規劃設計具體配置步驟如下。（1）部署SuperVLAN，實現201、202機房的網絡二層隔離，防止教師投屏時互相影響。（2）部署PrivateVLAN，實現501、502機房的網絡隔離，同時實現502機房的電腦互相隔離。項目規劃設計根據圖1-6所示拓撲圖進行項目的業務規劃，項目1的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃見表1-1~表1-3。表1-1項目1VLAN規劃表VLAN-IDVLAN類型VLAN命名網段用途VLAN2SuperVLANGW-2172.16.2.0/24VLAN2網關VLAN5private-vlanprimaryGW-5172.16.5.0/24VLAN5網關VLAN20SubVLANUser-201-201機房網段VLAN21SubVLANUser-202-202機房網段VLAN50private-vlancommunityUser-501-501機房網段VLAN51private-vlanisolatedUser-502-502機房網段項目規劃設計根據圖1-6所示拓撲圖進行項目的業務規劃，項目1的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃見表1-1~表1-3。表1-2項目1端口規劃表本端設備本端端口端口配置對端設備對端端口SW1G0/1AccessSW2G0/24SW1G0/4AccessSW3G0/24SW1G0/7TrunkSW4G0/24SW1G0/10TrunkSW5G0/24SW2G0/24AccessSW1G0/1SW2G0/1AccessPC1Eth0/1SW2G0/2AccessPC2Eth0/1SW3G0/24AccessSW1G0/4項目規劃設計根據圖1-6所示拓撲圖進行項目的業務規劃，項目1的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃見表1-1~表1-3。表1-2項目1端口規劃表本端設備本端端口端口配置對端設備對端端口SW3G0/1AccessPC3Eth0/1SW3G0/2AccessPC4Eth0/1SW4G0/24TrunkSW1G0/7SW4G0/1private-vlanhostPC5Eth0/1SW4G0/2private-vlanhostPC6Eth0/1SW5G0/24TrunkSW1G0/10SW5G0/1private-vlanhostPC7Eth0/1SW5G0/2private-vlanhostPC8Eth0/1項目規劃設計根據圖1-6所示拓撲圖進行項目的業務規劃，項目1的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃見表1-1~表1-3。表1-3項目1IP地址規劃表設備接口IP地址用途PC1-172.16.2.3/24用戶網絡地址PC2-172.16.2.4/24用戶網絡地址PC3-172.16.2.63/24用戶網絡地址PC4-172.16.2.64/24用戶網絡地址PC5-172.16.5.3/24用戶網絡地址PC6-172.16.5.4/24用戶網絡地址PC7-172.16.5.63/24用戶網絡地址PC8-172.16.5.64/24用戶網絡地址SW1VLAN2172.16.2.254/24用戶網段網關VLAN5172.16.5.254/24用戶網段網關項目實踐任務1-1部署SuperVLAN任務1-1部署SuperVLAN任務描述本任務中，要實現201和202機房之間的終端不能互相通信，同一個機房內的終端能夠互相通信。案例的配置包括以下內容：1.SuperVLAN配置：創建VLAN,配置SuperVLAN和SubVLAN。2.端口配置：配置互聯端口，并配置端口默認VLAN。3.IP地址配置：為交換機和PC配置IP地址。任務1-1部署SuperVLAN任務操作1.SuperVLAN配置（1）在交換機SW1上創建SuperVLAN和SubVLAN。Ruijie>enable//進入特權模式Ruijie#config

terminal//進入全局模式Ruijie(config)#hostnameSW1//將交換機名稱更改為SW1SW1(config)#vlan20//創建VLAN20SW1(config-vlan)#nameUser-201//VLAN命名為User-201SW1(config-vlan)#exit//退出SW1(config)#vlan21//創建VLAN21SW1(config-vlan)#nameUser-202//VLAN命名為User-202SW1(config-vlan)#exit//退出任務1-1部署SuperVLAN任務操作1.SuperVLAN配置（1）在交換機SW1上創建SuperVLAN和SubVLAN。SW1(config)#vlan2//創建VLAN2SW1(config-vlan)#nameGW-2//VLAN命名為GW-2SW1(config-vlan)#supervlan//配置VLAN2為SuperVLANSW1(config-vlan)#subvlan20,21//關聯SubVLAN20、21SW1(config-vlan)#noproxy-arp//關閉ARP代理SW1(config-vlan)#exit//退出任務1-1部署SuperVLAN任務操作1.SuperVLAN配置（2）在交換機SW2上創建VLAN。Ruijie>enable//進入特權模式Ruijie#config

terminal//進入全局模式Ruijie(config)#hostnameSW2//將交換機名稱更改為SW2SW2(config)#vlan20//創建VLAN20SW2(config-vlan)#nameUser-201//VLAN命名為User-201SW2(config-vlan)#exit//退出任務1-1部署SuperVLAN任務操作1.SuperVLAN配置（3）在交換機SW3上進行VLAN配置。Ruijie>enable//進入特權模式Ruijie#configterminal//進入全局模式Ruijie(config)#hostnameSW3//將交換機名稱更改為SW3SW3(config)#vlan21//創建VLAN21SW3(config-vlan)#nameUser-202//VLAN命名為User-202SW3(config-vlan)#exit//退出任務1-1部署SuperVLAN任務操作2.IP地址配置（1）在SW1上配置VLAN2的IP地址。SW1(config)#interfacevlan2//進入VLAN2接口SW1(config-if-VLAN2)#ipaddress172.16.2.254255.255.255.0//配置SuperVLAN的SVI地址SW1(config-if-VLAN2)#exit//退出任務1-1部署SuperVLAN任務操作3.端口配置

（1）在SW1上配置與接入交換機互聯的端口，并配置端口默認VLAN。SW1(config)#interfacerangegigabitEtherne0/1-3//批量進入端口SW1(config-if-range)#switchportmodeaccess//修改端口類型為Access模式SW1(config-if-range)#switchportaccessvlan20//配置端口的默認VLAN為VLAN20SW1(config-if-range)#exit//退出任務1-1部署SuperVLAN任務操作3.端口配置

（1）在SW1上配置與接入交換機互聯的端口，并配置端口默認VLAN。SW1(config)#interfacerangegigabitEtherne0/4-6//批量進入端口SW1(config-if-range)#switchportmodeaccess//修改端口類型為Access模式SW1(config-if-range)#switchportaccessVLAN21//配置端口的默認VLAN為VLAN21SW1(config-if-range)#exit//退出任務1-1部署SuperVLAN任務操作3.端口配置

（2）在SW2上配置與交換機和終端互聯的端口，并配置端口默認VLAN。SW2(config)#interfacerangegigabitEtherne0/1-24//批量進入端口SW2(config-if-range)#switchportmodeaccess//修改端口類型為Access模式SW2(config-if-range)#switchportaccessvlan20//配置端口的默認VLAN為VLAN20SW2(config-if-range)#exit//退出任務1-1部署SuperVLAN任務操作3.端口配置

（3）在SW3上配置與交換機和終端互聯的端口，并配置端口默認VLAN。SW3(config)#interfacerangegigabitEtherne0/1-24//批量進入端口SW3(config-if-range)#switchportmodeaccess//修改端口類型為Access模式SW3(config-if-range)#switchportaccessvlan21//配置端口的默認VLAN為VLAN21SW3(config-if-range)#exit//退出任務1-1部署SuperVLAN任務驗證在SW1使用【showsupervlan】命令查看supervlan信息，如下所示。可以看到SuperVLAN2下有2個SubVLAN。SW1(config)#showsupervlansupervlanidsupervlanarp-proxybcastvlansubvlanidsubvlanarp-proxysubvlaniprange------------------------------------------------------------------------------------------2OFF20-21ON任務1-2部署PrivateVLAN任務1-2部署PrivateVLAN任務描述本任務中，要實現501機房內的終端之間能夠互相通信，502機房內的終端之間不能夠互相通信。案例的配置包括以下內容：1.PrivateVLAN配置：創建VLAN,配置主VLAN和輔助VLAN。2.IP地址配置：為交換機和PC配置IP地址。3.端口配置：配置互聯端口，并配置端口默認VLAN。任務1-2部署PrivateVLAN任務操作1.PrivateVLAN配置（1）在SW1上創建VLAN和PrivateVLAN。SW1(config)#vlan50//創建VLAN50SW1(config-vlan)#nameUser-501//VLAN命名為User-50SW1(config-vlan)#private-vlancommunity//創建團體VLAN50SW1(config-vlan)#exit//退出任務1-2部署PrivateVLAN任務操作1.PrivateVLAN配置（1）在SW1上創建VLAN和PrivateVLAN。SW1(config)#vlan51//創建VLAN51SW1(config-vlan)#nameUser-502//VLAN命名為User-502SW1(config-vlan)#private-vlanisolated//創建隔離VLAN51SW1(config-vlan)#exit//退出任務1-2部署PrivateVLAN任務操作1.PrivateVLAN配置（1）在SW1上創建VLAN和PrivateVLAN。SW1(config)#vlan5//創建VLAN5SW1(config-vlan)#nameGW-5//VLAN命名為GW-5SW1(config-vlan)#private-vlanprimary//創建主VLANSW1(config-vlan)#private-vlanassociation50，51//關聯輔助VLANSW1(config-vlan)#exit//退出任務1-2部署PrivateVLAN任務操作1.PrivateVLAN配置（1）在SW1上創建VLAN和PrivateVLAN。SW1(config)#interfacevlan5//進入VLAN5接口SW1(config-VLAN5)#private-vlanmapping50,51//將輔助VLAN映射到主VLANSW1(config-VLAN5)#exit//退出任務1-2部署PrivateVLAN任務操作1.PrivateVLAN配置（2）在SW4上創建PrivateVLAN。Ruijie>enable//進入特權模式Ruijie#configterminal//進入全局模式Ruijie(config)#hostnameSW4//將交換機名稱更改為SW4SW4(config)#vlan50//進入VLAN50SW4(config-vlan)#nameUser-501//VLAN命名為User-501SW4(config-vlan)#private-vlancommunity//創建團體VLAN50SW4(config-vlan)#exit//退出任務1-2部署PrivateVLAN任務操作1.PrivateVLAN配置（2）在SW4上創建PrivateVLAN。SW4(config)#vlan51//進入VLAN51SW4(config-vlan)#nameUser-502//VLAN命名為User-502SW4(config-vlan)#private-vlanisolated//創建隔離VLAN51SW4(config-vlan)#exit//退出任務1-2部署PrivateVLAN任務操作1.PrivateVLAN配置（2）在SW4上創建PrivateVLAN。SW4(config)#vlan5//創建VLAN5SW1(config-vlan)#nameGW-5//VLAN命名為GW-5SW4(config-vlan)#private-vlanprimary//創建主VLANSW4(config-vlan)#private-vlanassociation50,51//關聯輔助VLANSW4(config-vlan)#exit//退出任務1-2部署PrivateVLAN任務操作1.PrivateVLAN配置（3）在SW5上創建PrivateVLAN。Ruijie>enable//進入特權模式Ruijie#configterminal//進入全局模式Ruijie(config)#hostnameSW5//將交換機名稱更改為SW5SW5(config)#vlan50//進入VLAN50SW5(config-vlan)#nameUser-501//VLAN命名為User-501SW5(config-vlan)#private-vlancommunity//創建團體VLAN50任務1-2部署PrivateVLAN任務操作1.PrivateVLAN配置（3）在SW5上創建PrivateVLAN。SW5(config)#vlan51//進入VLAN51SW5(config-vlan)#nameUser-502//VLAN命名為User-502SW5(config-vlan)#private-vlanisolated//創建隔離VLAN51SW5(config-vlan)#exit//退出任務1-2部署PrivateVLAN任務操作1.PrivateVLAN配置（3）在SW5上創建PrivateVLAN。SW5(config)#vlan5//創建VLAN5SW1(config-vlan)#nameGW-5//VLAN命名為GW-5SW5(config-vlan)#private-vlanprimary//創建主VLANSW5(config-vlan)#private-vlanassociation50,51//關聯輔助VLANSW5(config-vlan)#exit//退出任務1-2部署PrivateVLAN任務操作2.IP地址配置在SW1上配置VLAN5的IP地址。SW1(config)#interfacevlan5//進入VLAN5接口SW1(config-VLAN5)#ipaddress172.16.5.254255.255.255.0//配置IP地址SW1(config-VLAN5)#exit//退出任務1-2部署PrivateVLAN任務操作3.端口配置（1）在SW1上配置與接入交換機互聯的端口，并配置端口默認VLAN。SW1(config)#interfacerangegigabitEtherne0/7-9//批量進入端口SW1(config-if-range)#switchportmodetrunk//修改端口類型為Trunk模式SW1(config-if-range)#switchportmodeprivate-vlanpromiscuous//配置混雜端口SW1(config-if-range)#switchporttrunkallowedvlanadd5,50//配置端口允許VLAN5,VLAN50通過SW1(config-if-range)#exit//退出任務1-2部署PrivateVLAN任務操作3.端口配置（1）在SW1上配置與接入交換機互聯的端口，并配置端口默認VLAN。SW1(config)#interfacerangegigabitEtherne0/10-12//批量進入端口SW1(config-if-range)#switchportmodetrunk//修改端口類型為Trunk模式SW1(config-if-range)#switchportmodeprivate-vlanpromiscuous//配置混雜端口SW1(config-if-range)#switchporttrunkallowedvlanadd5,51//配置端口允許VLAN5,VLAN51通過SW1(config-if-range)#exit//退出任務1-2部署PrivateVLAN任務操作3.端口配置（2）在SW4上配置接入交換機與終端互聯的端口，并配置端口默認VLAN。SW4(config)#interfacerangegigabitEtherne0/1-23//批量進入端口SW4(config-if-range)#switchportmodeprivate-vlanhost//修改端口類型為Host模式SW4(config-if-range)#switchportprivate-vlanhost-association550//將1-23端口加入團體VLAN50SW4(config-if-range)#exit//退出任務1-2部署PrivateVLAN任務操作3.端口配置（2）在SW4上配置接入交換機與終端互聯的端口，并配置端口默認VLAN。SW4(config)#interfaceg0/24//進入G0/24端口SW4(config-if-GigabitEtherne0/24)#switchportmodetrunk//修改端口類型為Trunk模式SW4(config-if-GigabitEtherne0/24)#switchportmodeprivate-vlanpromiscuous//把接口屬性改為PVLAN混雜模式SW4(config-if-GigabitEtherne0/24)#switchportprivate-vlanmapping5add50,51//指明該端口的PVALN屬性SW4(config-if-GigabitEtherne0/24)#exit//退出任務1-2部署PrivateVLAN任務操作3.端口配置（3）在SW5上配置與匯聚交換機和終端互聯的端口，并配置端口默認VLAN。SW5(config)#interfacerangegigabitEtherne0/1-23//批量進入端口SW5(config-if-range)#switchportmodeprivate-vlanhost//修改端口類型為Host模式SW5(config-if-range)#switchportprivate-vlanhost-association551//將G0/1-23端口加入隔離VLAN51SW5(config-if-range)#exit//退出任務1-2部署PrivateVLAN任務操作3.端口配置（3）在SW5上配置與匯聚交換機和終端互聯的端口，并配置端口默認VLAN。SW5(config)#interfaceg0/24//進入G0/24端口SW5(config-if-GigabitEtherne0/24)#switchportmodetrunk//修改端口類型為Trunk模式SW5(config-if-GigabitEtherne0/24)#switchportmodeprivate-vlanpromiscuous//把接口屬性改為PVALN混雜模式SW5(config-if-GigabitEtherne0/24)#switchportprivate-vlanmapping5add50,51//指明該端口的PVALN屬性SW5(config-if-GigabitEtherne0/24)#exit//退出任務1-2部署PrivateVLAN任務驗證在SW1使用【showvlanprivate-vlan】命令查看PrivateVLAN信息，如下所示。SW1(config)#showvlanprivate-vlan

VLANTypeStatusRoutedPortsAssociatedVLANs-------------------------------------------------------------------------------5primaryactiveEnabledGi0/1,Gi0/2,Gi0/350-51Gi0/4,Gi0/5,Gi0/650communityactiveEnabled551isolatedactiveEnabled5項目驗證項目驗證(1)使用201機房的主機PC1Ping本機房的主機PC2，如下所示。可以看到主機PC1能夠Ping通主機PC2。PC1>ping172.16.2.4正在

Ping172.16.2.4具有32字節的數據:來自

172.16.2.4的回復:字節=32時間=2msTTL=63來自

172.16.2.4的回復:字節=32時間=2msTTL=63來自

172.16.2.4的回復:字節=32時間=2msTTL=63來自

172.16.2.4的回復:字節=32時間=2msTTL=63

172.16.2.4的Ping統計信息:數據包:已發送=4，已接收=4，丟失=0(0%丟失)，往返行程的估計時間(以毫秒為單位):最短

=2ms，最長=3ms，平均=2ms項目驗證(2)使用201機房的PC1Ping202機房的PC3，如下所示。可以看到主機PC1不能Ping通主機PC3。PC1>ping172.16.2.63

正在

Ping172.16.2.63具有

32字節的數據:來自

172.16.2.3的回復:無法訪問目標主機來自

172.16.2.3的回復:無法訪問目標主機來自

172.16.2.3的回復:無法訪問目標主機來自

172.16.2.3的回復:無法訪問目標主機

172.16.2.63的

Ping統計信息:

數據包:已發送=4，已接收=4，丟失=0(0%丟失)，項目驗證(3)使用501機房的主機PC5Ping本機房的主機PC6，如下所示。可以看到主機PC5能夠Ping通主機PC6。PC5>ping172.16.5.4正在Ping172.16.5.4具有32字節的數據:來自172.16.5.4的回復:字節=32時間=2msTTL=63來自172.16.5.4的回復:字節=32時間=2msTTL=63來自172.16.5.4的回復:字節=32時間=2msTTL=63來自172.16.5.4的回復:字節=32時間=2msTTL=63172.16.5.4的Ping統計信息:數據包:已發送=4，已接收=4，丟失=0(0%丟失)，往返行程的估計時間(以毫秒為單位):最短=2ms，最長=3ms，平均=2ms項目驗證(4)使用502機房的主機PC7Ping本機房的主機PC8，如下所示。可以看到主機PC7不能Ping通主機PC8。PC7>ping172.16.5.64正在Ping172.16.5.64具有32字節的數據:來自172.16.5.63的回復:無法訪問目標主機來自172.16.5.63的回復:無法訪問目標主機來自172.16.5.63的回復:無法訪問目標主機來自172.16.5.63的回復:無法訪問目標主機172.16.5.64的Ping統計信息:數據包:已發送=4，已接收=4，丟失=0(0%丟失)，項目拓展一、理論題1.SubVLAN的特點是（

）。A．能夠隔離二層網絡 B．不同SubVLAN屬于同一個廣播域

C．能夠隔離三層網絡 D．同一SubVLAN的主機不能互相通信2.下面對PrivateVLAN描述錯誤的是（

）。A．PrivateVLAN將一個三層廣播劃分了多個子域B．PrivateVLAN中有一個主VLAN和兩種輔助VLAN C．隔離VLAN內的端口不能互相通信

D．群體VLAN之間的端口不能互相通信3.在PrivateVLAN域內有三種端口角色，下面哪個不是這三種端口內的（

）。A．混雜端口 B．隔離端口C．阻塞備用端口 D．群體端口二、項目實訓1.實訓題背景在企業網絡中，通過二層交換機和三層交換機實現VLAN間通信。作為Jan16公司的管理員，您需要為生產部和銷售部配置SuperVLAN，在財務部和信息部配置PrivateVLAN，實現網絡隔離。具體要求與實訓拓撲圖1-7如下：（1）根據實訓拓撲，為交換機和PC配置IP地址（x為短學號）。（2）在交換機上分別配置SuperVLAN，PrivateVLAN。圖1-7實訓拓撲圖二、項目實訓2.實訓規劃表根據項目背景信息及實訓拓撲圖信息，并參考本項目的項目規劃設計完成實訓題規劃表。表1-4VLAN規劃表VLAN

IDIP地址段用途

二、項目實訓2.實訓規劃表根據項目背景信息及實訓拓撲圖信息，并參考本項目的項目規劃設計完成實訓題規劃表。表1-5端口規劃表本端設備端口號端口類型所屬VLAN對端設備

二、項目實訓2.實訓規劃表根據項目背景信息及實訓拓撲圖信息，并參考本項目的項目規劃設計完成實訓題規劃表。表1-6IP地址規劃表計算機接口IP地址網關

二、項目實訓3.實訓要求（1）根據實訓拓撲圖及規劃表在交換機上創建VLAN信息，并將端口劃分至相應的VLAN。（2）根據實訓規劃的IP地址規劃表配置IP地址信息。（3）該拓撲圖各部門網絡實現隔離，信息部各臺終端之間不能互相通信。（4）根據以上要求完成配置，按照以下實驗驗證命令截圖保存。在交換機SW1上使用【showsupervlan】，查看supervlan信息。在交換機SW2上使用【showvlanprivate-vlan】，查看private-vlan信息。在各部門計算機之間使用【Ping】命令測試計算機之間的通信。項目2企業園區網絡互連設計與實施項目描述項目相關知識項目規劃設計項目實踐項目驗證項目拓展目錄項目描述項目描述某公司將大部分業務遷移到一個新的工業園內，而在舊園區內還留有部分業務。在新園區內，公司有1號樓、2號樓和3號樓共3棟大樓，分別使用不同網段的地址進行互聯，計劃使用動態路由協議OSPF來維護公司路由，樓宇路由器作為新園區網絡的核心，樓宇交換機為網絡的邊緣，智能制造車間因業務要求使用獨立的路由器，目前需要實現園區內各棟樓網絡的互聯。另外，由于公司在舊園區還留有部分業務，為了提高業務協同效率，確保業務順利過渡，舊園區計劃通過智能制造車間的路由器接入到新園區網絡中。項目描述其項目拓撲如圖2-1所示。圖2-1項目拓撲項目相關知識2.1OSPF基礎OSPF協議，全稱開放最短路徑優先協議（OpenShortestPathFirst），它是IETF組織開發的一個基于鏈路狀態的內部網關協議（InteriorGatewayProtocol），同一個自治系統（AutonomousSystem）中的設備之間通過交換鏈路狀態信息來構建路由表。運行OSPF協議的設備會將自己擁有的鏈路狀態信息，通過啟用了OSPF協議的接口發送給其他0SPF路由器，同一個OSPF區域中的每臺路由器都會參與鏈路狀態信息的創建、發送、接收與轉發，直到這個區域中的所有OSPF路由器獲得了相同的鏈路狀態信息為止。OSPF路由器采用周期更新與觸發更新的方式同步鏈路狀態信息，并從鏈路狀態信息中計算出路由。2.1OSPF基礎在OSPF協議出現前，網絡上廣泛使用RIP（RoutingInformationProtocol）作為內部網關協議。由于RIP是基于距離矢量算法的路由協議，存在著收斂慢、路由環路、可擴展性差等問題，所以逐漸被OSPF取代。OSPF作為基于鏈路狀態的協議，能夠解決RIP所面臨的諸多問題。此外，OSPF還有以下優點。

OSPF采用組播形式收發報文，這樣可以減少對不運行OSPF路由器的影響。

OSPF支持區域劃分、無環路、收斂快、拓展性好，可適用于大規模網絡。

OSPF支持無類型域間路由（ClasslessInter-DomainRouting，CIDR）。

OSPF支持對等價路由進行負載分擔。

OSPF支持報文加密。2.2OSPF的五種報文OSPF協議報文有五種類型報文，分別是Hello、DD、LSR、LSU、LSAck報文，OSPF協議通過這五種報文的交互，建立起鄰居關系，交互過程如圖2-2所示。圖2-2OSPF協議報文交互過程2.2OSPF的五種報文1.Hello報文Hello報文用于建立和維護鄰接關系。運行了OSPF功能的接口會周期性地向OSPF鄰居發送Hello報文。Hello報文中包括一些關鍵信息，如定時器的數值、本網段中的DR、BDR以及已知的鄰居等用于建立和維護鄰居關系的信息。2.2OSPF的五種報文2.數據庫描述(DatabaseDescription，DD)報文DD(也稱DBD報文)報文不包含完整的“鏈路狀態數據庫”信息，只包含數據庫中每個條目的概要。兩臺路由器在鄰接關系初始化時，DD報文用來協商主、從關系，此時報文中不包含LSA頭(Header)。在兩臺路由器交換DD報文的過程中，一臺為Master，另一臺為Slave。由Master規定起始序列號，每發送一個DD報文序列號加1,Slave方使用Master的序列號作為確認。2.2OSPF的五種報文2.數據庫描述(DatabaseDescription，DD)報文鄰接關系建立之后，路由器使用DD報文描述本端路由器的LSDB，進行數據庫同步。DD報文里包括本地LSDB中每一條LSA頭部(LSA頭部可以唯一標識一條LSA)，即所有LSA的摘要信息。對端路由器根據收到的DD報文中包含的LSA頭部就可判斷出是否已有這條LSA。如果沒有該LSA，則通過LSR報文向對方請求該LSA。2.2OSPF的五種報文3.LSR報文兩臺路由器互相交換過DD報文之后，需要通過向對端OSPF鄰居設備發送LSR報文請求對端有、而本端沒有的LSA。LSR報文里包括所需要的LSA的摘要信息，即也僅包含所需LSA的頭部。2.2OSPF的五種報文4.LSU報文LSU報文是用來對收到的LSR報文響應的，向對端路由器發送對端在LSR報文中所請求的LSA，或者主動向OSPF鄰居設備泛洪本端的LSA，其報文內容是多條完整的LSA的集合。5.LSAck報文為了實現LSU報文泛洪的可靠性傳輸，對端在收到LSU報文后需要使用LSAck報文進行確認(內容是需要確認的LSA頭)。沒有收到LSAck確認報文的LSA需要本端進行重傳，重傳的LSA是直接以單播方式發送到對應鄰居設備。LSAck報文用來對接收到的LSU報文進行確認。一個LSAck報文可對多個LSA進行確認。2.3OSPF鄰居建立的三個階段OSPF形成鄰居的三個階段主要包括：鄰居發現與建立階段、路由發現階段以及路由選擇階段。（1）鄰居發現與建立階段。這一階段主要通過雙方交互Hello報文來完成鄰居發現。路由器在開始時處于Down狀態，表示沒有從鄰居收到任何信息。隨后，路由器進入Init狀態，此時它已經收到了來自鄰居的Hello報文，但自己的Router-id尚未被包含在鄰居的Hello報文列表中，意味著雙向通信關系尚未建立。一旦路由器收到帶有自己RID的Hello包，它將進入Two-Way狀態，此時兩臺路由器已確認可以雙向通信，鄰居關系已經建立，但尚未形成鄰接關系。在廣播或NBMA網絡中，此階段還會進行DR（指定路由器）和BDR（備份指定路由器）的選舉。2.3OSPF鄰居建立的三個階段（2）路由發現階段。在鄰居關系建立后，路由器進入路由發現階段，旨在實現同一個區域內所有路由器LSDB（鏈路狀態數據庫）的同步。這一階段包括Exchange_start狀態，通過選舉主從路由器解決DBD（數據庫描述）可靠性的問題，其中RID高的成為主路由器并控制DBD的序號。進入Exchange狀態后，路由器通過交互DBD包來描述自己的LSDB中的LSA（鏈路狀態通告）。隨后是Loading狀態，通過LSR（鏈路狀態請求）向鄰接請求LSA，并用LSU（鏈路狀態更新）攜帶LSA，同時用LSAck對收到的LSA進行確認。最終，所有路由器的LSDB達到完全相同的狀態，即Full狀態。2.3OSPF鄰居建立的三個階段（3）路由選擇階段。在LSDB同步后，路由器進入路由選擇階段，根據LSDB（鏈路狀態數據庫）中存儲的網絡拓撲信息，采用最短路徑優先（ShortestPathFirst，SPF）算法來計算路由，并將這些路由添加到路由表中。在鏈路狀態發生變動，例如鏈路啟動或關閉的情況下，相關路由器將生成一個新的鏈路狀態公告（LSA），并將其在全網范圍內進行洪泛傳播。每個路由器接收到這些LSA后，會對其鏈路狀態數據庫（LSDB）進行更新，并重新計算其路由表，以確保全網所有路由器均保持對網絡拓撲結構的統一和準確認識。2.4SPF算法OSPF采用SPF（ShortestPathFirst）算法計算路由，可以達到路由快速收斂的目的。OSPF協議使用鏈路狀態通告LSA描述網絡拓撲，即有向圖。RouterLSA描述路由器之間的鏈接和鏈路的屬性。路由器將LSDB轉換成一張帶權的有向圖，這張圖便是對整個網絡拓撲結構的真實反映。各個路由器得到的有向圖是完全相同的。如圖2-3所示。圖2-3由LSDB生成帶權有向圖2.4SPF算法每臺路由器根據有向圖，使用SPF算法計算出一棵以自己為根的最短路徑樹，這棵樹給出了到自治系統中各節點的路由。如圖2-4所示。圖2-4最小生成樹2.4SPF算法當OSPF的鏈路狀態數據庫LSDB發生改變時，需要重新計算最短路徑，如果每次改變都立即計算最短路徑，將占用大量資源，并會影響路由器的效率，通過調節SPF的計算間隔時間，可以抑制由于網絡頻繁變化帶來的占用過多資源。缺省情況下，SPF時間間隔為5秒鐘。2.5OSPF的狀態機OSPF的狀態隨著鄰居建立、數據庫同步、路由計算三個階段的進行，按狀態機發生變化。其中Down、2-way、Full為穩定狀態，其余為中間過渡狀態。如圖2-5所示。圖2-5OSPF狀態機2.5OSPF的狀態機（1）OSPF路由器接口up，發送Hello包，（NBMA模式時將進入Attempt狀態）。（2）OSPF路由器接口收到Hello包，進入Init狀態；并將該Hello包的發送者的RouterID，添加到Hello包（自己將要從該接口發送出去的Hello包）的鄰居列表中。（3）OSPF路由器接口收到鄰居列表中含有自己RouterID的Hello包，進入2-Way狀態，形成OSPF鄰居關系，并把該路由器的RouterID添加到自己的OSPF鄰居表中。（4）在進入2-Way狀態后，廣播、非廣播網絡類型的鏈路，在DR選舉等待時間內進行DR選舉。點對點沒有這個過程。2.5OSPF的狀態機（5）在DR選舉完成或跳過DR選舉后，建立OSPF鄰接關系，進入exstart（準啟動）狀態；并選舉DBD交換主從路由器，以及由主路由器定義DBD序列號，RouterID大的為

主路由器。目的是為了解決DBD自身的可靠性。（6）主從路由器選舉完成后，進入Exchange（交換）狀態，交換DBD信息。（7）DBD交換完成后，進入Loading狀態，對鏈路狀態數據庫和收到的DBD的LSA頭部進行比較，發現自己數據庫中沒有的LSA就發送LSR，向鄰居請求該LSA；鄰居收到LSR后，回應LSU；收到鄰居發來的LSU，存儲這些LSA到自己的鏈路狀態數據庫，并發送LSAck確認。（8）LSA交換完成后，進入FULL狀態，所有形成鄰居的OSPF路由器都擁有相同鏈路狀態數據庫。（9）定期發送Hello包，維護鄰居關系。2.5OSPF的狀態機1.在廣播網絡中建立OSPF鄰接關系在廣播網絡中，DR、BDR和網段內的每一臺路由器都形成鄰接關系，但DRother之間只形成鄰居關系。廣播鏈路鄰接關系建立過程如圖2-6所示。圖2-6在廣播網絡中建立OSPF鄰接關系2.5OSPF的狀態機如圖2-6所示，在廣播網絡中建立OSPF鄰接關系的過程如下：（1）建立鄰居關系。a)RouterA的一個連接到廣播類型網絡的接口上激活了OSPF協議，并發送了一個Hello報文（使用組播地址224.0.0.5）。此時，RouterA認為自己是DR路由器（DR=1.1.1.1），但不確定鄰居是哪臺路由器（NeighborsSeen=0）。b)RouterB收到RouterA發送的Hello報文后，發送一個Hello報文回應給RouterA，并且在報文中的NeighborsSeen字段中填入RouterA的RouterID（NeighborsSeen=1.1.1.1），表示已收到RouterA的Hello報文，并且宣告DR路由器是RouterB（DR=2.2.2.2），然后RouterB的鄰居狀態機置為Init。c)RouterA收到RouterB回應的Hello報文后，將鄰居狀態機置為2-way狀態，下一步雙方開始發送各自的鏈路狀態數據庫2.5OSPF的狀態機如圖2-6所示，在廣播網絡中建立OSPF鄰接關系的過程如下：（2）主/從關系協商、DD報文交換。RouterA首先發送一個DD報文，宣稱自己是Master（MS=1），并規定序列號Seq=X。I=1表示這是第一個DD報文，報文中并不包含LSA的摘要，只是為了協商主從關系。M=1說明這不是最后一個報文。2.5OSPF的狀態機如圖2-6所示，在廣播網絡中建立OSPF鄰接關系的過程如下：（2）主/從關系協商、DD報文交換。a）為了提高發送的效率，RouterA和RouterB首先了解對端數據庫中哪些LSA是需要更新的，如果某一條LSA在LSDB中已經存在，就不再需要請求更新了。為了達到這個目的，RouterA和RouterB先發送DD報文，DD報文中包含了對LSDB中LSA的摘要描述（每一條摘要可以唯一標識一條LSA）。為了保證在傳輸的過程中報文傳輸的可靠性，在DD報文的發送過程中需要確定雙方的主從關系，作為Master的一方定義一個序列號Seq，每發送一個新的DD報文將Seq加一，作為Slave的一方，每次發送DD報文時使用接收到的上一個Master的DD報文中的Seq。2.5OSPF的狀態機如圖2-6所示，在廣播網絡中建立OSPF鄰接關系的過程如下：（2）主/從關系協商、DD報文交換。b）RouterB在收到RouterA的DD報文后，將RouterA的鄰居狀態機改為Exstart，并且回應了一個DD報文（該報文中同樣不包含LSA的摘要信息）。由于RouterB的RouterID較大，所以在報文中RouterB認為自己是Master，并且重新規定了序列號Seq=Y。c）RouterA收到報文后，同意了RouterB為Master，并將RouterB的鄰居狀態機改為Exchange。RouterA使用RouterB的序列號Seq=Y來發送新的DD報文，該報文開始正式地傳送LSA的摘要。在報文中RouterA將MS=0，說明自己是Slave。2.5OSPF的狀態機如圖2-6所示，在廣播網絡中建立OSPF鄰接關系的過程如下：（2）主/從關系協商、DD報文交換。d）RouterB收到報文后，將RouterA的鄰居狀態機改為Exchange，并發送新的DD報文來描述自己的LSA摘要，此時RouterB將報文的序列號改為Seq=Y+1。上述過程持續進行，RouterA通過重復RouterB的序列號來確認已收到RouterB的報文。RouterB通過將序列號Seq加1來確認已收到RouterA的報文。當RouterB發送最后一個DD報文時，在報文中寫上M=0。2.5OSPF的狀態機如圖2-6所示，在廣播網絡中建立OSPF鄰接關系的過程如下：（3）LSDB同步（LSA請求、LSA傳輸、LSA應答）。a）RouterA收到最后一個DD報文后，發現RouterB的數據庫中有許多LSA是自己沒有的，將鄰居狀態機改為Loading狀態。此時RouterB也收到了RouterA的最后一個DD報文，但RouterA的LSA，RouterB都已經有了，不需要再請求，所以直接將RouterA的鄰居狀態機改為Full狀態。2.5OSPF的狀態機如圖2-6所示，在廣播網絡中建立OSPF鄰接關系的過程如下：（3）LSDB同步（LSA請求、LSA傳輸、LSA應答）。b）RouterA發送LSR報文向RouterB請求更新LSA。RouterB用LSU報文來回應RouterA的請求。RouterA收到后，發送LSAck報文確認。上述過程持續到RouterA中的LSA與RouterB的LSA完全同步為止，此時RouterA將RouterB的鄰居狀態機改為Full狀態。當路由器交換完DD報文并更新所有的LSA后，此時鄰接關系建立完成。2.5OSPF的狀態機2.在NBMA網絡中建立OSPF鄰接關系NBMA網絡和廣播網絡的鄰接關系建立過程只在交換DD報文前不一致，如圖2-7中所示。在NBMA網絡中，所有路由器只與DR和BDR之間形成鄰接關系。圖2-7在NBMA網絡中建立OSPF鄰接關系2.5OSPF的狀態機2.在NBMA網絡中建立OSPF鄰接關系如圖2-7所示，在NBMA網絡中建立OSPF鄰接關系的過程如下：（1）建立鄰居關系a)RouterB向RouterA的一個狀態為Down的接口發送Hello報文后，RouterB的鄰居狀態機置為Attempt。此時，RouterB認為自己是DR路由器（DR=2.2.2.2），但不確定鄰居是哪臺路由器（NeighborsSeen=0）。b)RouterA收到Hello報文后將鄰居狀態機置為Init，然后再回復一個Hello報文。此時，RouterA同意RouterB是DR路由器（DR=2.2.2.2），并且在NeighborsSeen字段中填入鄰居路由器的RouterID（NeighborsSeen=2.2.2.2）。2.5OSPF的狀態機2.在NBMA網絡中建立OSPF鄰接關系如圖2-7所示，在NBMA網絡中建立OSPF鄰接關系的過程如下：（2）主/從關系協商、DD報文交換過程同廣播網絡的鄰接關系建立過程。（3）LSDB同步（LSA請求、LSA傳輸、LSA應答）過程同廣播網絡的鄰接關系建立過程。3.在點到點/點到多點網絡中建立OSPF鄰接關系在點到點/點到多點網絡中，鄰接關系的建立過程和廣播網絡一樣，唯一不同的是不需要選舉DR和BDR，DD報文是單播發送的。2.6OSPF虛鏈路虛鏈路（Virtual-link）是骨干區域（Area0）的一段延伸，能以對方的RouterId建立鄰居，解決某個區域沒有與Area0直接相連或Area0不連貫的問題。如圖2-8所示。當一個非骨干區域（如Area2）沒有與骨干區域直接相連時，可以通過在Area2和Area0之間的某個區域邊界路由器（R4和R2）上配置虛鏈路，來建立Area2與Area0之間的邏輯連接。虛鏈路允許OSPF路由器在不直接物理相連的情況下交換路由信息，從而解決了AreaX沒有與Area0直接相連的問題。圖2-8Area0與非直接相連區域Area2通過虛鏈路連接2.6OSPF虛鏈路如圖2-9所示。圖2-9不連貫的Area0區域通過虛鏈路連接2.6OSPF虛鏈路當骨干區域因為某些原因（如物理鏈路故障、設備故障或配置錯誤等）被分割成多個不連通的部分時，非骨干區域將失去與骨干區域的連接，導致路由信息無法正常傳播，進而影響網絡的連通性和穩定性。通過配置OSPF虛鏈路，可以在非骨干區域與骨干區域之間建立邏輯連接，即使物理鏈路不存在或不可達，也能保證路由信息的正常傳播。具體來說，虛鏈路通過在一個或多個中間區域的ABR（區域邊界路由器）上配置，使得原本不直接相連的區域之間建立起邏輯上的連接關系。這樣，即使骨干區域被分割，非骨干區域仍然可以通過虛鏈路與骨干區域進行通信，從而維持網絡的連通性。項目規劃設計項目規劃設計本項目中，使用5臺路由器、4臺交換機和4臺PC來組成企業新舊園區的網絡，樓宇路由器R1、R2、R5作為新園區網絡核心，計劃使用OSPF骨干區域0，智能制造車間路由器R3樓宇路由器R2與互聯鏈路規劃使用區域1，2號樓內R5、SW2使用區域2，1號樓內R1、SW1使用區域3。舊園區原有路由器R4、交換機SW3和交換機SW4使用區域0，新舊園區的網絡互通需要通過R2和R3建立虛鏈路的方式將兩個區域0合并，本項目網絡拓撲如圖2-10所示。圖2-10網絡拓撲項目規劃設計根據圖2-10所示拓撲圖進行項目的業務規劃，項目2的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃見表2-1~表2-3。表2-1項目2VLAN規劃VLAN-IDVLAN命名網段用途VLAN10Office-1172.16.10.0/24辦公樓用戶網段VLAN20Production-1172.16.20.0/24生產車間用戶網段VLAN30Office-2172.16.30.0/24辦公樓用戶網段VLAN40Production-2172.16.40.0/24生產車間用戶網段VLAN101Link-1192.168.21.0/24互聯網段VLAN102Link-2192.168.22.0/24互聯網段VLAN103Link-3192.168.23.0/24互聯網段VLAN104Link-4192.168.24.0/24互聯網段項目規劃設計根據圖2-10所示拓撲圖進行項目的業務規劃，項目2的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃見表2-1~表2-3。表2-2項目2端口互聯規劃本端設備本端端口端口配置對端設備對端端口R1G0/0-R2G0/0G0/1-SW5G0/1G0/2-R5G0/0R2G0/0-R1G0/0G0/1-R3G0/1R3G0/0-R4G0/0G0/1-R2G0/1項目規劃設計根據