CCNA2-路由和交換：第3章.VLAN 課件

*第3章:

VLAN

VLAN第二學(xué)期：路由和交換RoutingandSwitching北京郵電大學(xué)思科網(wǎng)絡(luò)技術(shù)學(xué)院學(xué)習(xí)目標(biāo)解釋交換網(wǎng)絡(luò)中VLAN的用途分析交換機如何根據(jù)多交換環(huán)境的VLAN配置轉(zhuǎn)發(fā)幀根據(jù)要求配置交換機端口分配給VLAN配置LAN交換機的TRUNK端口配置動態(tài)中繼協(xié)議(DTP)對交換網(wǎng)絡(luò)中的VLAN和TRUNK配置進行故障排除配置安全功能以減少VLAN分段環(huán)境中的攻擊解釋VLAN分段環(huán)境中的最佳安全實踐3.0VLAN簡介3.1VLAN中繼3.2VLAN實施3.3VLAN安全與設(shè)計3.4總結(jié)第3章VLAN*3.0VLAN簡介

IntroducingVLAN北京郵電大學(xué)思科網(wǎng)絡(luò)技術(shù)學(xué)院VLAN概述

VLAN定義VLAN（虛擬LAN）是第2層網(wǎng)絡(luò)的邏輯分區(qū)可創(chuàng)建多個分區(qū)，允許多個VLAN共存每個VLAN都是一個廣播域，且通常使用其自己的IP網(wǎng)絡(luò)VLAN相互隔離，而且數(shù)據(jù)包只可以通過路由器在VLAN之間傳遞第2層網(wǎng)絡(luò)的分區(qū)處于第2層設(shè)備內(nèi)部，該設(shè)備通常是交換機。VLAN中的主機組不知道VLAN的存在VLAN概述

VLAN定義VLAN概述

VLAN的優(yōu)點安全成本降低性能更好廣播域縮小提高IT員工效率項目管理和應(yīng)用管理更簡單VLAN概述

VLAN的類型數(shù)據(jù)VLAN默認(rèn)VLAN本征VLAN管理VLANVLAN概述

VLAN的類型VLAN概述

語音VLANVoIP流量對時間敏感，需要：足夠的帶寬來保證語音質(zhì)量高于其它網(wǎng)絡(luò)流量類型的傳輸優(yōu)先級能夠在融合網(wǎng)絡(luò)中得到路由在網(wǎng)絡(luò)上的延時小于150ms語音VLAN功能使訪問端口能夠從IP電話傳輸IP語音流量交換機可連接到Cisco

7960IP電話并傳輸IP語音流量由于數(shù)據(jù)發(fā)送不均衡時，IP電話呼叫的音質(zhì)會變差，因此交換機支持服務(wù)質(zhì)量(QoS)VLAN概述

語音VLANCisco

7960IP電話包含集成三端口10/100交換機：端口1連接到交換機端口2是傳輸IP電話流量的內(nèi)部10/100接口端口3（接入端口）連接到PC或其他設(shè)備。*3.1VLAN中繼

VLANTrunking北京郵電大學(xué)思科網(wǎng)絡(luò)技術(shù)學(xué)院多交換環(huán)境中的VLAN

VLAN中繼VLANTRUNK傳輸多個VLAN由于通常在交換機之間建立，因此，即使物理連接至不同交換機，同一VLAN設(shè)備也可以通信VLANTRUNK不與任何VLAN相關(guān)聯(lián)。兩個TRUNK端口均未用于創(chuàng)建TRUNK鏈路CiscoIOS支持IEEE802.1q（一種常用的VLANTRUNK協(xié)議）多交換環(huán)境中的VLAN

VLAN中繼多交換環(huán)境中的VLAN

使用VLAN控制廣播域VLAN可用于限制廣播幀的范圍VLAN是其本身的廣播域因此，只在該VLAN中轉(zhuǎn)發(fā)特定VLAN中的設(shè)備發(fā)送的廣播幀。這有助于控制廣播幀的范圍以及這些幀在網(wǎng)絡(luò)中的影響單播幀和組播幀也在始發(fā)VLAN中轉(zhuǎn)發(fā)多交換環(huán)境中的VLAN

標(biāo)記確定VLAN以太網(wǎng)幀幀標(biāo)記用于通過TRUNK鏈路正確傳輸多個VLAN幀交換機將標(biāo)記幀以確定所屬的VLAN。存在不同的標(biāo)記協(xié)議，IEEE802.1q是其中一個常用的標(biāo)記協(xié)議協(xié)議定義添加到幀的標(biāo)記報頭的結(jié)構(gòu)將VLAN標(biāo)記放入TRUNK鏈路前，交換機會將VLAN標(biāo)記添加到幀，而且，通過非TRUNK端口轉(zhuǎn)發(fā)幀之前會刪除標(biāo)記一旦正確標(biāo)記，幀可以通過TRUNK鏈路經(jīng)過任意數(shù)量的交換機，并且仍在目的地的正確VLAN中進行轉(zhuǎn)發(fā)多交換環(huán)境中的VLAN

標(biāo)記確定VLAN以太網(wǎng)幀多交換環(huán)境中的VLAN

本征VLAN和802.1q標(biāo)記不會標(biāo)記屬于本征VLAN的幀收到的無標(biāo)記幀將保持無標(biāo)記，而且，在轉(zhuǎn)發(fā)時會放在本征VLAN中如果沒有與本征VLAN相關(guān)聯(lián)的端口，也沒其他TRUNK鏈路，那么將丟棄無標(biāo)記幀在思科交換機中，本征VLAN默認(rèn)情況下為VLAN1多交換環(huán)境中的VLAN

語音VLAN標(biāo)記*3.2VLAN實施

ConfigureVLAN北京郵電大學(xué)思科網(wǎng)絡(luò)技術(shù)學(xué)院VLAN分配

Catalyst交換機上的VLAN范圍Catalyst2960和3560系列交換機支持4,000多個VLAN這些VLAN分為2類：普通范圍的VLANVLAN編號從1到1005存儲在vlan.dat（閃存中）中的配置VTP只能識別和存儲普通范圍的VLAN擴展范圍的VLANVLAN編號從1006到4096存儲在運行配置（NVRAM中）中的配置VTP無法識別擴展范圍的VLANVLAN分配

創(chuàng)建VLANVLAN分配

為VLAN分配端口VLAN分配

為VLAN分配端口VLAN分配

更改VLAN端口成員VLAN分配

更改VLAN端口成員VLAN分配

刪除VLANVLAN分配

檢驗VLAN信息VLAN分配

檢驗VLAN信息VLAN分配

配置IEEE802.1qTRUNK鏈路VLAN分配

重置中繼為默認(rèn)狀態(tài)VLAN分配

重置中繼為默認(rèn)狀態(tài)VLAN分配

檢驗TRUNK配置動態(tài)中繼協(xié)議

DTP簡介可手動配置交換機端口以形成TRUNK也可配置交換機端口以與所連接端口進行協(xié)商并建立TRUNK鏈路動態(tài)中繼協(xié)議(DTP)是管理TRUNK協(xié)商的協(xié)議DTP是思科專有協(xié)議，默認(rèn)情況下在CiscoCatalyst2960和3560交換機中啟用如果在支持DTP的TRUNK模式中配置相鄰交換機上的端口，那么它會管理協(xié)商CiscoCatalyst2960和3560交換機的默認(rèn)DTP配置為動態(tài)自動動態(tài)中繼協(xié)議

協(xié)商接口模式CiscoCatalyst2960和3560支持以下TRUNK模式：switchportmodedynamicautoswitchportmodedynamicdesirableswitchportmodetrunkswitchportnonegotiateVLAN和TRUNK故障排除

VLAN的編址問題使VLAN和IP網(wǎng)絡(luò)相關(guān)聯(lián)是非常普遍的做法由于不同IP網(wǎng)絡(luò)只通過路由器通信，因此，VLAN中的所有設(shè)備必須屬于同一IP網(wǎng)絡(luò)才能進行通信在下圖中，由于配置了錯誤的IP地址，因此PC1不能與服務(wù)器通信VLAN和TRUNK故障排除

缺失VLAN如果解決所有的IP地址不匹配問題后設(shè)備仍不能連接，請檢查交換機中是否存在VLAN。VLAN和TRUNK故障排除

TRUNK故障排除簡介VLAN和TRUNK故障排除

常見的TRUNK問題中繼問題通常由錯誤配置導(dǎo)致。最常見的TRUNK配置錯誤類型是：本征VLAN不匹配TRUNK模式不匹配

TRUNK上允許的VLAN如果檢測到TRUNK問題，最佳實踐原則建議按照以上所示順序進行故障排除。VLAN和TRUNK故障排除

TRUNK模式不匹配如果TRUNK鏈路上的端口所配置的TRUNK模式與相鄰TRUNK端口不兼容，則兩臺交換機之間不能形成TRUNK鏈路使用showinterfacestrunk

命令檢查交換機上TRUNK端口的狀態(tài)要解決此問題，請使用適當(dāng)?shù)腡RUNK模式配置接口。VLAN和Trunk故障排除

不正確的VLAN列表TRUNK中必須允許VLAN，這樣，VLAN的幀才能在鏈路上傳輸使用switchporttrunkallowedvlan

命令指定TRUNK鏈路中允許哪些VLAN要確保TRUNK中允許正確的VLAN，請使用showinterfacestrunk

命令*3.3VLAN安全與設(shè)計

SafetyanddesignofVLAN北京郵電大學(xué)思科網(wǎng)絡(luò)技術(shù)學(xué)院VLAN攻擊

交換機欺騙攻擊在現(xiàn)代交換網(wǎng)絡(luò)中有很多不同類型的VLAN攻擊。VLAN跳躍就是其中之一。交換機端口的默認(rèn)配置為動態(tài)自動通過配置主機充當(dāng)交換機并形成TRUNK，攻擊者可以訪問網(wǎng)絡(luò)中的任何VLAN。由于攻擊者現(xiàn)在可以訪問其他VLAN，因此這稱為VLAN跳躍攻擊為防止基本交換機欺騙攻擊，請關(guān)閉所有端口上的中繼（除特別需要中繼的端口之外）VLAN攻擊

Double-Tagging攻擊Double-tagging攻擊利用大多數(shù)交換機上的硬件解封802.1Q標(biāo)記的方法大多數(shù)交換機只執(zhí)行一級802.1Q解封，允許攻擊者在幀中嵌入另一個未授權(quán)攻擊報頭刪除第一個合法802.1Q報頭后，交換機將幀轉(zhuǎn)發(fā)至未授權(quán)802.1Q報頭中指定的VLAN緩解Double-tagging攻擊的最佳方法是確保TRUNK端口的本征VLAN不同于任何用戶端口的VLANVLAN攻擊

Double-Tagging攻擊VLAN攻擊

PVLAN邊緣私有VLAN(PVLAN)Edge功能（也稱為受保護端口）確保交換機上的受保護端口間沒有單播、廣播或組播流量的交換僅本地關(guān)聯(lián)受保護端口只與不受保護的端口交換流量受保護端口不會與另一個受保護端口交換流量VLAN的設(shè)計最佳實踐

VLAN設(shè)計原則從VLAN1移動所有端口，并將它們分配給不在使用中的VLAN關(guān)閉所有未使用的交換機端口將管理數(shù)據(jù)流量與用戶數(shù)據(jù)流量分開將管理VLAN更改為除VLAN1之外的VLAN。對本征VLAN執(zhí)行相同操作確保只有管理VLAN中的設(shè)備可以連接到交換機交換機應(yīng)該只接受SSH連接禁用TRUNK端