智能交通網絡構建與管理/02項目二局域網安全與管理項目二任務一使用CTY和VTY管理網絡設備任務二使用VLAN管理網絡設備任務三使用NAT接入廣域網任務四使用ACL進行安全管理任務二使用VLAN管理網絡設備1．了解VLAN的相關知識；2．掌握利用VLAN管理網絡的方法；3．掌握VLAN間路由的配置方法。課前學習任務單1.2任務二網絡設備部署連線學號姓名日期學習目標1．了解VLAN的相關知識；2．掌握利用VLAN管理網絡的方法；3．掌握VLAN間路由的配置方法。序號內容引導問題1簡述交換機進行VLAN配置管理的優點。引導問題2簡述VLANaccess模式和trunk模式的區別。引導問題3簡述VLAN間路由的實現方法。任務評價任務二使用VLAN管理網絡設備01040302基礎知識拓展知識Q&A實訓項目任務二使用VLAN管理網絡設備任務二2.2.1認識VLAN技術VLAN（VirtualLocalAreaNetwork）虛擬局域網，是一種二層技術。它通過軟件方式在交換式局域網中將一個較大廣播域按照部門、功能等因素分割成較小廣播域，以便更好地管理，從而提高組網的靈活性與安全性，進一步提升網絡性能。VLAN劃分實質上就是將一臺交換機邏輯分成了幾臺交換機，通過軟件方式實現邏輯工作組的劃分與管理。默認情況下交換機不能分割廣播域，多臺交換機互聯后依然屬于一個廣播域，如圖2.2.1所示。任務二2.2.1認識VLAN技術但是，在交換機上通過VLAN技術，就可以分割廣播域，即一個VLAN就是一個廣播域。VLAN由交換機的一組物理端口組成，這些物理端口可以屬于一臺交換機，也可以屬于多臺交換機。各個廣播域之間在邏輯上是分開的任務二2.2.2VLAN的優點采用VLAN技術，使網絡管理能力更加方便、靈活，從而提高設備使用效率，增強網絡適應性。任務二2.2.3VLAN的分類VLAN按照不同的標準，有多種分類方式，具體如下。1）按照VLAN創建方式。VLAN可分為系統默認VLAN和用戶VLAN。默認VLAN：VLANID號和名稱是固定的，不能被用戶刪除或修改。如default、fddi-default、token-ring-default等。用戶VLAN：VLANID號和名稱是用戶創建的，且能被用戶刪除或修改。如VLAN10、VLAN99、Teacher、Student等。任務二2.2.3VLAN的分類2）按照VLAN成員添加方式。VLAN可分為靜態VLAN和動態VLAN。靜態VLAN：通過手工方式將交換機端口添加到某個VLAN中，端口屬于某個VLAN后，除非管理員重新分配，否則該端口永遠屬于該VLAN，例如，將端口Fa0/1添加到VLAN10，則該端口只屬于VLAN10，不屬于其他VLAN，除非重新再分配。動態VLAN：交換機會根據用戶設備信息，如MAC地址，IP地址乃至高層用戶信息等，自動將端口分配給某個VLAN，動態VLAN要求網絡中必須有一臺策略服務器（VMPS），該服務器包含設備信息到VLAN的映射關系，例如，當公司有新員工入職，離職或員工更換工作崗位時，需要網管員更新VMP服務器中設備信息和VLAN的映射關系。任務二2.2.3VLAN的分類2）按照VLAN成員添加方式。與靜態VLAN相比，動態VLAN的優點是依據VMPS服務器中設備信息和VLAN的映射關系，動態將相關端口添加到某個VLAN中。動態VLAN可以根據交換端口所連接的計算機隨時改變端口所屬VLAN，當計算機變更所連交換端口或交換機時，VLAN不用重新配置。VMPS策略服務器通常由高端交換機充當催化劑（如CiscoCatalyst6500交換機），低端交換機作為客戶機。當某臺主機發送數據幀到網絡中時，由客戶機向服務器發起查詢請求，VMP依據設備信息，找到與VLAN的對應關系，再依據主機所連接交換機端口動態將其添加到相應的VLAN。任務二2.2.3VLAN的分類3）按照VLAN承載信息類型不同：VLAN可主要分為數據VLAN，管理VLAN。數據VLAN：承載用戶數據，如VLAN10、VLAN99、教師、學生等。管理VLAN：承載用于網絡設備管理的流量，如Telnet、SSH、SNMP等信息。另外還有其他幾種類型的VLAN，如語音VLAN，本征VLAN，黑洞VLAN等。任務二2.2.4VLAN的配置在CiscoCatalyst交換機上配置VLAN的模式有如下兩種。1）全局配置模式：新版操作系統模式，建議使用。2）數據庫配置模式：舊版操作系統配置模式，不推薦使用。配置VLAN前，需要先確定可用VLANID、VLANID分為普通范圍和擴展范圍兩部分。普通范圍VILANID：1-1005，其中VLAN1，VLAN1002-VLAN1005為保留，不可用。擴展范圍VLANID：1006--4094。我們可選擇普通范圍可用ID來配置靜態VLAN，具體配置如下所述。1）創建VLAN2）添加VLAN成員3）修改VLAN成員4）刪除某個VLAN5）刪除所有VLAN任務二2.2.5認識Trunk干道1）認識VLAN干道當有多個VLAN跨越兩臺交換機通信時，交換機間只有一條級聯鏈路就可以實現，我們把這條鏈路稱為干道。干道可以同時傳輸多個VLAN的數據，這條干道就像高速公路被劃分成多車道一樣，允許多輛車同時通過。這條車道就是我們本節課要學習的Trunk鏈路即干道鏈路。2）干道的應用場合干道鏈路通常應用在以下幾種場合。（1）交換機與交換機之間：如圖2.2.3所示，SW1與SW2之間的鏈路。它是PC1和PC2，PC3和PC4，以及PC5和PC6通信的必經之路，因為它需要同時轉發三個VLAN的數據。（2）交換機與路由器之間：如圖2.2.3所示，SW3與Router1之間的鏈路。為了實現不同VLAN之間的通信，該鏈路必須允許3個VLAN的數據通過，才可實現VLAN間的互訪。（3）交換機與服務器之間：服務器是多個VLAN的共用服務器，但服務器網卡必須支持。若一條鏈路只允許通過一個VLAN的數據，這條鏈路就不是干道（Trunk），而是訪問鏈路，即接入鏈路（Access）。任務二2.2.5認識Trunk干道任務二2.2.6Trunk鏈路配置網絡拓撲如圖2.2.4所示，二層交換機S0的G1/1端口與三層交換機S1的G0/1端口連接，此時兩端口均要配置為trunk模式。任務二2.2.6Trunk鏈路配置三層交換機要配置trunk模式，必須先封裝dot1q協議，即802.1Q協議，才能正確啟用trunk。默認情況下，交換機端口會啟用協商，且所有交換機端口均處于dynamic模式，當S1配置了trunk模式后，S0會自動切換成trunk模式，如果不希望啟用動態協商，可在交換機上輸入：S1(config-if)#switchportnonegotiate當網絡中不同廠商設備或者考慮到VLAN安全時，我們應采用該手工方式指定Trunk，關閉DTP協商。二層交換機上啟用trunk，只需進入端口配置模式，修改switchport模式即可。任務二2.2.6Trunk鏈路配置三層交換機要配置trunk模式，必須先封裝dot1q協議，即802.1Q協議，才能正確啟用trunk。默認情況下，交換機端口會啟用協商，且所有交換機端口均處于dynamic模式，當S1配置了trunk模式后，S0會自動切換成trunk模式，如果不希望啟用動態協商，可在交換機上輸入：S1(config-if)#switchportnonegotiate當網絡中不同廠商設備或者考慮到VLAN安全時，我們應采用該手工方式指定Trunk，關閉DTP協商。二層交換機上啟用trunk，只需進入端口配置模式，修改switchport模式即可。任務二2.2.6Trunk鏈路配置在三層交換機上進行配置：S1(config)#interfacegigabitEthernet0/1S1(config-if)#switchporttrunkencapsulationdot1qS1(config-if)#switchportmodetrunkS1(config-if)#%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceGigabitEthernet0/1,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceGigabitEthernet0/1,changedstatetoupS1(config-if)#任務二2.2.6Trunk鏈路配置在S1上查看trunk配置情況。S1#showinterfacestrunkPort Mode Encapsulation Status Native vlanGig0/1 on 802.1q trunking 1Port VlansallowedontrunkGig0/1 1-1005Port VlansallowedandactiveinmanagementdomainGig0/1 1Port VlansinspanningtreeforwardingstateandnotprunedGig0/1 1默認情況下，Trunk允許所有VLAN數據通過，若希望部分VLAN通過可使用allowed進行配置：S1(config-if)#switchporttrunkallowedvlan10-100,200任務二2.2.7VLAN間路由配置初始狀態下，交換機已經創建了vlan10和vla20，且F0/1加入vlan10，F0/2加入vlan20，兩臺電腦也正確配置了IP地址。希望通過路由器，使兩臺電腦能ping通。傳統方法下，路由器與交換機用兩根線連接，分別傳輸vlan10和vlan20的數據包，經過路由器轉發，實現兩臺電腦連通。單臂路由方法，路由器與交換機用一根線連接，路由器創建兩個子接口，分別傳輸vlan10和vlan20的數據包，經過路由器轉發，實現兩臺電腦連通。任務二2.2.7VLAN間路由配置將路由器的G0/0與交換機的G1/1連接，將路由器G0/1與交換機G1/2連接，如圖2.2.6所示。傳統方法任務二2.2.7VLAN間路由配置交換機配置如下：Switch(config)#vlan10Switch(config-vlan)#vlan20Switch(config-vlan)#intf0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#swaccessvlan10Switch(config-if)#intf0/2Switch(config-if)#switchportmodeaccessSwitch(config-if)#swaccessvlan20！以上為初始配置。Switch(config-if)#intg1/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#intg1/2Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan20Switch(config-if)#路由器只需將兩個端口地址配置好即可，具體配置如下：Router(config)#intg0/0Router(config-if)#noshutdownRouter(config-if)#ipaddress192.168.0.254255.255.255.0Router(config-if)#intg0/1Router(config-if)#noshutdownRouter(config-if)#ipaddress192.168.1.254255.255.255.0Router(config-if)#在兩電腦正確配置IP地址和網關的情況下，可ping通。傳統方法任務二2.2.7VLAN間路由配置將路由器的G0/0與交換機的G1/1連接單臂路由方法任務二2.2.7VLAN間路由配置（1）路由器創建子接口（子接口編號隨意，一般設為與相應vlan編號相同）。Router(config)#intg0/0.10（2）子接口分別封裝802.1Q協議，其中封裝的vlan編號必須與交換機設置的vlan相同，子接口不封裝802.1Q協議，則不能配置IP地址。Router(config-subif)#encapsulationdot1Q10（3）子接口分別設置IP地址，必須不同網段。Router(config-subif)#ipaddress192.168.0.254255.255.255.0創建另一個子接口，封裝802.1Q協議，并配置IP地址。Router(config-subif)#exitRouter(config)#intg0/0.20Router(config-subif)#encapsulationdot1Q20Router(config-subif)#ipaddress192.168.1.254255.255.255.0Router(config-subif)#exit單臂路由方法任務二2.2.7VLAN間路由配置（4）進入接口，打開接口。Router(config)#intg0/0Router(config-if)#noshutRouter(config-if)#%LINK-5-CHANGED:InterfaceGigabitEthernet0/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceGigabitEthernet0/0,changedstatetoup%LINK-5-CHANGED:InterfaceGigabitEthernet0/0.10,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceGigabitEthernet0/0.10,changedstatetoup%LINK-5-CHANGED:InterfaceGigabitEthernet0/0.20,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceGigabitEthernet0/0.20,changedstatetoup！此時noshutdown打開了G0/0以及所有子接口。單臂路由方法任務二2.2.7VLAN間路由配置（5）交換機將G1/1端口設為trunk模式。Switch(config)#intg1/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#%LINK-5-CHANGED:InterfaceGigabitEthernet1/1,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceGigabitEthernet1/1,changedstatetoup在兩電腦正確配置IP地址和網關的情況下，通過ping命令測試，可連通。單臂路由方法01040302基礎知識拓展知識Q&A實訓項目任務二使用VLAN管理網絡設備任務二2.2.8802.3幀格式與802.1Q幀格式以太網采用的標準是IEEE802.3，以太網的幀格式即802.3幀格式；IEEE802.1q是國際標準協議，能對數據幀附加VLAN標識，兼容各廠商交換機。802.3和802.1q幀格式如圖2.2.8所示。任務二2.2.8802.3幀格式與802.1Q幀格式802.3幀發送前首先要傳輸7個字節的前導碼（Preamble）和1個字節的幀起始定界符（StartFrameDelimiter），前導碼每個字節的值固定為0xAA，幀起始定界符的值固定為0xAB。802.3幀中目標地址（DestinationAddress）和源地址（SourceAddress）均為6個字節。若目標地址第一位是0，則表示這是一個普通地址；如果是1，則表示這是一個組地址。長度/類型（Length/Type）字段用于指定報文頭后所接的數據類型。通常使用的值包括：IPv4（0x0800），IPv6(0x86DD),ARP(0x0806）。而值0x8100代表一個Q-tagged幀（802.1Q）。通常一個基礎的以太網幀長為1518字節，但是更多的新標準把這個值擴展為2000字節。802.3幀格式任務二2.2.8802.3幀格式與802.1Q幀格式數據（MACClientData）：數據主體，最小長度為46字節（加上幀首6+6+2=14字節，幀尾FCS的4字節合計64字節），當數據主體小于48字節時，會添加pa