構(gòu)建安全辦公網(wǎng)絡(luò)

1、構(gòu)建平安中型辦公網(wǎng) 工程五 為了保證辦公網(wǎng)平安，保證辦公網(wǎng)不被其它部門網(wǎng)直接訪問，實現(xiàn)辦公網(wǎng)和教學(xué)網(wǎng)以及其它網(wǎng)絡(luò)之間的技術(shù)隔離。 構(gòu)建平安辦公網(wǎng)任務(wù)場景 構(gòu)建平安辦公網(wǎng)任務(wù)拓?fù)?構(gòu)建平安辦公網(wǎng)需求分析 1、為了保證辦公網(wǎng)信息的平安，保證辦公網(wǎng)需求嚴(yán)密的信息，希望經(jīng)過技術(shù)，實現(xiàn)辦公網(wǎng)和教學(xué)網(wǎng)以及其它網(wǎng)絡(luò)之間的技術(shù)隔離。 2、學(xué)院希望經(jīng)過技術(shù)實現(xiàn)辦公網(wǎng)和教學(xué)網(wǎng)以及其它網(wǎng)絡(luò)之間的技術(shù)隔離。同時保證辦公樓和教學(xué)樓同一部門之間的網(wǎng)絡(luò)相互連通，共享網(wǎng)絡(luò)信息資源。 構(gòu)建平安辦公網(wǎng)知識預(yù)備 為組建平安中型辦公網(wǎng)絡(luò)工程，需求的知識預(yù)備有： 子網(wǎng)規(guī)劃知識；交換機虛擬局域網(wǎng)絡(luò)知識； 劃分虛擬局域網(wǎng)絡(luò)技術(shù)；了解VLA

2、N交換機中端口區(qū)別；了解干道技術(shù)；區(qū)分port vlan和tag vlan。單臂路由知識；三層交換機知識，交換機上劃分VLAN；跨交換機實現(xiàn)VLAN通訊；三層交換機實現(xiàn)全網(wǎng)互通 平安辦公網(wǎng)絡(luò)工程知識引見 廣播流量分割 全網(wǎng)之間的互通交換網(wǎng)絡(luò)中的問題在交換機組成的校園網(wǎng)絡(luò)里一切主機都在同一個廣播域內(nèi)廣播域平安廣播 隨著網(wǎng)絡(luò)規(guī)模的增大帶來的一些問題： 網(wǎng)內(nèi)數(shù)據(jù)傳輸量增大，網(wǎng)速變得越來越慢！ 計算機蒙受黑客攻擊，關(guān)鍵部門存在平安隱患！ 同一部門的人員分布不同的地域，不能相對集中辦公！交換網(wǎng)絡(luò)中的存在問題交換網(wǎng)絡(luò)中問題的處理-VLANVLAN20經(jīng)過VLAN技術(shù)可以對網(wǎng)絡(luò)進展一個平安的隔離、分割廣播域

3、VLAN10VLAN30VLAN40VLAN在交換機中的實現(xiàn) 分段靈敏性平安性第三層第二層第一層銷售部人力資源部工程部一個VLAN =一個廣播域 = 邏輯網(wǎng)段 (子網(wǎng)) VLAN Virtual Local Area Network在物理網(wǎng)絡(luò)上劃分出邏輯網(wǎng)，對應(yīng)OSI 模型第二層。VLAN劃分不受端口物理位置限制，VLAN和普通物理網(wǎng)絡(luò)有同樣屬性。第二層數(shù)據(jù)單播、廣播只在一個VLAN內(nèi)轉(zhuǎn)發(fā)，不會進入其他VLAN中。VLAN技術(shù)VLAN特點平安隔離，不同VLAN之間不能直接訪問，需經(jīng)過路由設(shè)備相連 隔離廣播不受物理位置限制劃分VLAN的方法 基于端口的VLAN 基于協(xié)議的VLAN 基于MAC層分

4、組的VLAN 基于子網(wǎng)的VLAN基于交換機的端口(一個端口只屬于一個VLAN) VLAN的類型:Port VLANF0/1F0/2F0/3Port-vlan原理交換機端口MAC地址VLAN IDF0/1A10F0/2B20F0/3C10F0/1F0/2F0/3ABCVlan 10Vlan 20Vlan 10A BA CXVLAN在單交換機中的實現(xiàn)數(shù)據(jù)1交換機內(nèi)部數(shù)據(jù)1數(shù)據(jù)2數(shù)據(jù)2101102創(chuàng)建VLAN100，將它命名為test的例子Switch # configure terminalSwitch(config) # vlan 10Switch(config-vlan) # end 把fas

5、tethernet 0/10作為access口參與了VLAN100 Switch # configure terminalSwitch(config) # interface fastethernet0/10Switch(config-if) # switchport access vlan 10Switch(config-if) # end配置Port VLAN-Access(1) 將一組接口參與某一個VLANSwitch(config)#interface range fastethernet 0/1-10，0/15，0/20Switch(config-if-range)#switchpo

6、rt access vlan 20Switch(config-if-range)#no shutdown注：延續(xù)接口 0/1-10，中間運用空格分別; 不延續(xù)多個接口，中間用逗號隔開； 假設(shè)運用模塊，一定要寫明模塊編號。配置Port VLAN-Access(2)VLAN相關(guān)配置VLAN30VLAN40Switch(config)#interface range fastethernet 0/1-2Switch(config-if-range)#switchport access vlan 30Switch(config-if)#exitSwitch(config)#interface fast

7、ethernet 0/3Switch(config-if)#switchport access vlan 40Switch(config-if)#exitSwitch(config)#interface fastethernet 0/4Switch(config-if)#switchport access vlan 40Switch(config-if)#exit假設(shè)批量將端口參與VLAN，可用關(guān)鍵字range見端口參與VLAN30配置，假設(shè)只加單一接口見端口參與VLAN40配置Switch AVLAN30VLAN20 VLAN10Switch BVLAN30VLAN20VLAN10跨交換機V

8、LAN間通訊 A交換機上VLAN10的端口范圍中取一個端口，和交換機B上VLAN10范圍中的某個端口，作級聯(lián)銜接。 假設(shè)交換機上劃了10個VLAN，就需求分別連10條線作級聯(lián)，端口效率就太低了。 Switch AVLAN30VLAN20 VLAN10Switch BVLAN30VLAN20VLAN10Tag VLAN在交換機之間用一條級聯(lián)線，并將對應(yīng)的端口設(shè)置為Trunk，這條線路就可以承載交換機上一切VLAN的信息。Trunk端口傳輸多個VLAN的信息，實現(xiàn)同一VLAN跨越不同的交換機跨交換機VLAN之間的通訊:Tag VLANVLAN1VLAN1VLAN2VLAN2VLAN3VLAN3Ba

9、ckboneVLAN1VLAN2VLAN3目的,源MAC地址類型,數(shù)據(jù)重新計算幀檢測序列2字節(jié)標(biāo)志協(xié)議標(biāo)識2字節(jié)標(biāo)志控制信息 Trunk端口技術(shù)處置：IEEE802.1Q數(shù)據(jù)幀標(biāo)志協(xié)議標(biāo)識TPID:固定值0 x8100,表示該幀載有802.1q標(biāo)志信息標(biāo)志控制信息TCI: Priority 3比特：表示優(yōu)先級 Canonical format indicator 1比特：區(qū)別以太網(wǎng)、FDDI VlanID 12比特：表示VID，范圍14094目的MAC地址,源MAC地址類型,數(shù)據(jù)重新計算幀檢測序列IEEE802.3幀IEEE802.1Q幀802.1Q幀只在交換機的trunk鏈路上傳輸，對用戶透

10、明的。默許Trunk端口，轉(zhuǎn)發(fā)交換機上一切VLAN的數(shù)據(jù)。A交換機1交換機2802.1Q任務(wù)過程B數(shù)據(jù)幀Tag標(biāo)簽配置VLAN-Trunk技術(shù)把Fa 0/1配成Trunk口Switch# configure terminalSwitch(config)# interface fastethernet0/1Switch(config-if)# switchport mode trunkSwitch(config-if)#no shutdownVLAN相關(guān)配置f0/1f0/1switch1switch2Switch1#configSwitch1(config) #interface fasteth

11、ernet 0/1Switch(config-if)#switchport mode trunk (將二層接口的屬性設(shè)置為trunk)Switch2#configSwitch2(config) #interface fastethernet 0/1Switch(config-if)#switchport mode trunk 當(dāng)交換機與交換機相聯(lián)絡(luò)時，常將交換機之間銜接的鏈路設(shè)置為TRUNK鏈路，用來確保銜接不同交換機之間的鏈路可以傳送多個VLAN的信息。刪除VLAN刪除VALN,需求先刪除VLAN下接口:Switch(config)# interface fastethernet0/10Sw

12、itch(config-if)# no switchport Switch(config-if)# exit再刪除VLANSwitch(config)# no vlan 10VLAN的實現(xiàn)Port vlan基于交換機端口進展VLAN的劃分一個端口只能屬于一個VLAN一個VLAN可以包含多個端口接口方式為access用于銜接最終用戶設(shè)備Tag vlan一個端口可以屬于多個VLAN默許情況下屬于一切VLAN接口方式為trunk用于交換機之間級聯(lián)VLAN的特征 一個vlan中的一切設(shè)備處于同一個廣播域一個VLAN是一個邏輯的子網(wǎng)或由定義的成員所組成的一個網(wǎng)絡(luò)段,VLAN之間通訊必需求進展路由VLAN

13、的成員通常是基于交換機的端口號,但也可基于設(shè)備的MAC地址而動態(tài)設(shè)置.將VLAN信息保管到flash中Switch#write memory從flash中去除VLAN信息Switch#delete flash:vlan.dat保管/去除VLAN信息VLAN10VLAN20172.20.0.0/16VLAN30172.10.0.0/16172.30.0.0/16VLAN間通訊的方法VLAN間通訊經(jīng)過三層路由來通訊VLANsEngineeringVLANMarketingVLANSalesVLANFloor #1Floor #2Floor #3Physical LayerLAN SwitchHum

14、an LayerNetwork Layer192.20.24.0Routing FunctionInterconnects VLANs192.20.21.0192.30.20.0Data-Link LayerBroadcastDomainsVLAN10VLAN30VLAN20多條鏈路銜接多個VLAN,浪費路由接口三層路由器VLAN間通訊VLAN10VLAN30VLAN20 運用一條鏈路銜接多個VLAN,在一個鏈路接口上劃分子接口技術(shù)來處理。單臂路由處理思想FA 1Interface FA 1Subinterface 1.1Subinterface 1.2Subinterface 1.3VLAN

15、 1VLAN 2ISLinterface fastethernet 0/0 no ip address!interface fastethernet 0/0.1 ip address 10.1.1.1 255.255.255.0 interface fastethernet 0/0.2 ip address 10.2.2.1 255.255.255.0FastE0/010.1.1.210.2.2.2單臂路由處理思想 在三層交換機上運用SVI虛擬接口技術(shù)，在功能上實現(xiàn)了VLAN間路由通訊功能。VLAN20Network 172.16.20.4VLAN30Network 172.16.30.5VL

16、AN10Network 172.16.10.3三層交換機進展VLAN間路由 運用三層交換接口實現(xiàn)VLAN間路由的通訊，交換接口本錢降低。三層交換SVI技術(shù)配置方法第一步：分別在三層上創(chuàng)建每個VLAN對應(yīng)的SVI端口， Switch(config)#vlan 10 Switch(config)#vlan 20第二步:為三層上創(chuàng)建的VLAN分配路由IP地址： Switch(config)# interface vlan Switch(config-if)# ip address Switch(config-if)#no shutdown第三步：將二層VLAN內(nèi)銜接主機的網(wǎng)關(guān)，指定為本VLAN對應(yīng)的

17、三層接口地址三層接口SVIVLAN10VLAN20三層交換機Vlan 10Interface f0/1Switchport access vlan 10Vlan 20Interface f0/2Switchport access vlan 20Interface vlan 10Ip address 10.1.1.1 255.255.255.0No shutdownInterface vlan 20Ip address 10.1.2.1 255.255.255.0No shutdownF0/1F0/1F0/2F0/210.1.1.0/2410.1.2.0/24三層接口routed portVLA

18、N10VLAN20三層交換機Interface fastethernet 0/1No switchport (將交換機二層接口轉(zhuǎn)換為三層接口)Ip address 10.1.1.1 255.255.255.0No shutdownInterface fastethernet 0/2No switchportIp address 10.1.2.1 255.255.255.0No shutdownF0/1F0/1F0/2F0/210.1.1.0/2410.1.2.0/24 平安辦公網(wǎng)絡(luò)工程實施案例拓?fù)錁?gòu)造1000M100MVLAN2VLAN3100M100MVLAN10VLAN11總經(jīng)理VLAN9

19、9SW-L3S2126G1S2126G2S2126G3S2126G4堆疊技術(shù)實驗報告-地址表設(shè)備名稱設(shè)備地址接口連接SW-L3VLAN2:192.168.2.1/24F0/1連接S2126G1 F0/1VLAN3:192.168.3.1/24F0/2連接S2126G1 F0/2VLAN10:192.168.10.1/24F0/23連接S2126G2 F0/23F0/24連接S2126G2 F0/24VLAN11:192.168.11.1/24F0/11(VLAN11)連接S2126G3 F0/1VLAN99:192.168.99.1/24F0/9(VLAN99)連接總經(jīng)理PCS2126G1VL

20、AN3:192.168.3.2/24F0/1連接SW-L3 F0/1F0/2連接SW-L3 F0/2S2126G2VLAN11:192.168.5.2/24F0/23連接SW-L3 F0/23F0/24連接SW-L3 F0/24S2126G3VLAN11:192.168.11.2/24F0/1連接SW-L3 F0/11接口S2126G4S2126G4與S2126G3堆疊總經(jīng)理PCIP:192.168.99.99/24網(wǎng)卡與SW-L3 F0/9連接技術(shù)實驗報告-VLAN分配表設(shè)備名稱VLAN ID接口分配SW-L3VLAN11F0/11(VLAN11)VLAN99F0/9(VLAN99)S212

21、6G1VLAN2VLAN3F0/3-F0/11F0/12-F0/24S2126G2VLAN11F0/1-F0/22S2126G3VLAN11全部接口分配到VLAN11S2126G4技術(shù)實驗報告-需求1需求1：公司內(nèi)部員工可以相互經(jīng)過網(wǎng)絡(luò)相互交流。第一步：在相關(guān)交換機上創(chuàng)建VLAN，并將接口劃分到相關(guān)VLAN中S2126G1(config)#vlan 2S2126G1(config- vlan)#exitS2126G1(config)#vlan 3S2126G1(config- vlan)#exitS2126G1(config)#interface range fastethernet 0/3-

22、11S2126G1(config-if-range)#switchport access vlan 2S2126G1(config-if-range)#exitS2126G1(config)#interface range fastethernet 0/12-24S2126G1(config-if-range)#switchport access vlan 3其他交換機配置略技術(shù)實驗報告-需求1第二步:在中心交換機上開啟VLAN間路由在此步驟之前應(yīng)完成SW-L3上相關(guān)VLAN的建立，并將相應(yīng)接口參與到相應(yīng)VLANSW-L3(config)#interface vlan 2SW-L3(confi

23、g-if)#ip address 192.168.2.1 255.255.255.0SW-L3(config-if)#no shutdownSW-L3(config-if)#exitSW-L3(config)#interface vlan 3SW-L3(config-if)#ip address 192.168.3.1 255.255.255.0SW-L3(config-if)#no shutdownSW-L3(config-if)#exitSW-L3(config)#interface vlan 10SW-L3(config-if)#ip address 192.168.10.1 255.2

24、55.255.0SW-L3(config-if)#no shutdownSW-L3(config-if)#exit技術(shù)實驗報告-需求1接第二步:在中心交換機上開啟VLAN間路由SW-L3(config)#interface vlan 11SW-L3(config-if)#ip address 192.168.11.1 255.255.255.0SW-L3(config-if)#no shutdownSW-L3(config-if)#exitSW-L3(config)#interface vlan 99SW-L3(config-if)#ip address 192.168.99.1 255.255.255.0SW-L3(config-if)#no shutdownSW-L3(config-if)#exit技術(shù)實驗報告-需求2需求2: 保證銷售部門的員工可以全部接入網(wǎng)絡(luò)，并且要保證接入交換機的任務(wù)效率。將S2126G3與S2126G4上的堆疊模塊用堆疊線纜銜接起來。銜接方式為S2126G3 UP - S2126G4 DOWN S2126G3 DOWN - S2126G4 UP技術(shù)實驗報告-需求3需求3:保證財務(wù)部門接入網(wǎng)絡(luò)時不因線路問題出現(xiàn)不能訪問