《局域网组建、管理与安全维护项目教程》课件项目七管理网络隔离与通信.ppt

1、 1 过渡页TRANSITION PAGE第 1 页 项目七 管理网络隔离与通信 内容提要某公司的网络覆盖几个部门，各部门之间不时需要相互通信，但是有些信息并不能对所有部门公开，在物理位置不发生改变的情况下从逻辑上划分到不同的虚拟局域网中，以实现不同部门的管理。2 过渡页TRANSITION PAGE第 2 页 项目七 管理网络隔离与通信 知识目标 了解VLAN的作用和功能 熟悉VLAN的划分方法 熟悉VLAN的操作命令 3 过渡页TRANSITION PAGE第 3 页 项目七 管理网络隔离与通信 技能目标 熟练规划VLAN的IP地址 熟练划分VLAN 实现VLAN之间的通信 4 过渡页TR

2、ANSITION PAGE第 4 页 项目七 管理网络隔离与通信 态度目标 认真分析任务目标，做好VLAN规划 耐心细致 5 过渡页TRANSITION PAGE第 5 页 项目七 管理网络隔离与通信 相关知识点 VLAN、本地VLAN、VLAN标准 VTP Trunk 6 过渡页TRANSITION PAGE第 6 页 项目七 管理网络隔离与通信 技能考核点 正确配置交换机，划分VLAN，实现部门隔离 7 项目七 管理网络隔离与通信某公司有行政部、市场部、研发部、技术部、财务部等部门。其中市场部与技术部位于同一楼层，其余各部门处于不同的楼层，为了各部门信息的安全需要，需要相互隔离，只有在需要

3、的时候各部门之间才可以相互通信。1.项目描述 8 项目七 管理网络隔离与通信2.项目分解任务名称操作环境描述主要子任务任务名称操作环境描述主要子任务任务 办公网络安全隔离与通信某公司财务部门的资料非常重要，经理希望部门成员能相互访问，在必要时可以访问其他部门的资源，但其他部门成员不能访问他们的资源，即财务部内部成员之间能相互访问，也能访问其他部门资源，但其他部门不能访问财务部的资源（1）划分VLAN（2）配置VLAN间的路由任务分解表 9 项目七 管理网络隔离与通信VLAN简介3.知识链接VLAN（Virtual Local Area Network）即“虚拟局域网”，是一种将局域网设备从逻辑

4、上划分成一个个网段，从而实现虚拟工作组的数据交换的技术，主要应用于交换机和路由器中，但主流应用还是在交换机之中。10 项目七 管理网络隔离与通信VLAN简介3.知识链接1VLAN的划分方法的划分方法VLAN的划分方法主要有如下几种。（1）根据端口来划分）根据端口来划分VLAN许多VLAN厂商都利用交换机的端口来划分VLAN成员，同一交换机的端口或者不同交换机的不同端口都可设定在同一个广播域中。（2）根据）根据MAC地址划分地址划分VLAN这种划分方法是根据每个主机的MAC地址来划分。其优点就是当用户物理位置移动时，即从一台交换机移动到其他交换机时，VLAN不用重新配置；其缺点是初始化时所有用户

5、都必须进行配置，工作量大，同时也导致了交换机执行效率低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。11 项目七 管理网络隔离与通信VLAN简介3.知识链接（3）根据网络层划分）根据网络层划分VLAN这种划分方法是根据每个主机的网络层地址或协议类型（如果支持多协议）划分。其优点是即使用户的物理位置改变了，也不需要重新配置所属VLAN，而且不需要附加的帧标签来识别VLAN，可以减少网络通信量。其缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的（相对于前面两种方法）。（4）根据）根据IP多播划分多播划分VLAN即认为一个多播组就是一个VLAN

6、，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，但这种方法效率不高，不适合在局域网中使用。12 项目七 管理网络隔离与通信VLAN简介3.知识链接（5）基于规则的）基于规则的VLAN基于规则的VLAN也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则（或属性），当一个站点加入网络中就会被“感知”，并被自动加入正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。（6）按用户划分）按用户划分VLAN基于用

7、户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。以上划分以上划分VLANVLAN的方式中，基于端口的的方式中，基于端口的VLANVLAN端口方式建立在物理层上；端口方式建立在物理层上；MACMAC方式建立在方式建立在数据链路层上；网络层和数据链路层上；网络层和IPIP广播方式建立在第广播方式建立在第3 3层上层上 13 项目七 管理网络隔离与通信VLAN简介3.知识链接2VLAN标准标准通用的VLAN标准有两种：8

8、02.10与802.1Q。还有一些公司的标准，如Cisco公司的ISL标准等。（1）802.10 该协议基于FrameTagging方式。（2）802.1Q802.1Q的出现打破了虚拟网依赖于单一厂商的僵局，从一个侧面推动了VLAN的迅速发展。另外，来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。（3）Cisco ISL标签ISL（Inter-Switch Link）是Cisco公司的专有封装方式，因此只能在Cisco的设备中使用。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接的端口配置ISL封装，即

9、可跨越交换机进行整个网络的VLAN分配和配置。14 项目七 管理网络隔离与通信VLAN简介3.知识链接3VLAN的定义和特点的定义和特点虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互通信，就如处于同一个网段中。该技术工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点。1.网络设备的移动、添加和修改的管理开销减少。2.可以控制广播活动。3.可提高网络的安全性。15 项目七 管理网络隔离与

10、通信VTP简介3.知识链接VTP是VLAN Trunk Protocol的缩写，处于OSI参考模型第2层，是VLAN链路聚集协议，主要用于管理在同一个域的网络范围内VLAN的建立、删除和重命名。在一台VTP Server上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTP Server保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。VTP有3种工作模式，分别为serverclienttransparent，其含义见下表。序号模式名称含义1Server允许在该

11、交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步VTP域中其他交换机传递来的最新的VLAN信息2Client本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可同步由本VTP域中其他交换机传递来的VLAN信息3Transparent可以创建、修改和删除本地VLAN数据库中的VLAN，但不传播VLAN配置的变化信息给其他的交换机，即对VLAN的配置改变，只对处于透明模式的交换机自身有效 16 项目七 管理网络隔离与通信任务任务实施流程实施流程4.任务实施实施流程1阅读【知识链接】中的知识介绍，如果不够，则利用网络查找参考资料学习相关知识2认

12、真阅读任务，明确任务3填写材料和设备清单，准备并领取实验工具与材料4根据【任务实施】任务先后顺序与步骤，完成具体安装或配置任务，在完成每个小任务后测试任务完成情况，保证任务100%完成5检测VLAN的配置情况（1）VLAN之间的隔离（2）VLAN内部成员的相互访问（3）VLAN之间的通信 17 项目七 管理网络隔离与通信4.任务实施任务任务1-1 1-1 划分划分VLANVLAN某公司包括行政部、市场部、研发部、技术部、财务部等部门，各部门处于不同的楼层，为了各部门信息安全需要，划分为5个VLAN，分别为行政部VLAN10、技术部VLAN20、市场部VLAN30、研发部VLAN40、财务部VL

13、AN50，需要的时候各部门之间可以相互通信。下面以技术部和市场部为例说明VLAN的配置与通信。1配置本地VLAN PC2 PC1 PC3 VLAN2 VLAN3 Fa0/1 Fa0/2 Fa0/12 18 项目七 管理网络隔离与通信4.任务实施2配置跨交换机VLAN财务部与市场部处于不同楼层，分别连接在S1和S2两台交换机上，财务部有一个员工临时到市场部帮忙，为了避免计算机搬动的麻烦和部门安全，建议将该员工的计算机从逻辑上划分到市场部，其拓扑结构如下图所示。PC1 VLAN2 Fa0/1 Fa0/4 PC2 VLAN2 PC3 VLAN3 PC4 VLAN3 Fa0/3 Fa0/2 Fa0/5 Fa0/5 s1 s2 19 项目七 管理网络隔离与通信任务任务1-2 配置配置VLAN间的路由间的路由4.任务实施通过路由器的VLAN划分与通信配置拓扑结构如右图所示。3测试将计算机分别接入VLAN20和VLAN30。设置计算机的IP地址、子网掩码、默认网关等信息，完成Ping 测试，检查VLAN间的连通性。