实验四 “IP地址规划与路由设计”参考设置
4.1 配置跨交换机的VLAN
4.1.1 原理简介
虚拟局域网(Virtual Local Area Network,VLAN)是一种用于隔离广播域的技术。在交换机配置VLAN后,相同VLAN内的主机之间可以直接访问,不同VLAN则不能直接访问。VLAN遵循了IEEE 804.1q协议的标准。在利用配置了VLAN的接口进行数据传输时,需要在数据帧内添加4个字节的804.1q标签信息,用于标识该数据帧属于哪个VLAN,以便于对端交换机接收到数据帧后进行准确的过滤。由于VLAN是基于逻辑连接而不是物理连接的,所以它可以提供灵活的用户/主机管理、带宽分配以及资源优化等服务。 4.1.2 组网实践
假设某企业有两个重要部门:销售部和技术部,其中销售部门的个人计算机系统分散连接,它们之间需要相互通信,但为了数据安全起见,销售部和技术部需要相互隔离,则要在交换机上做适当的配置来实现这一目标。
通过分析可知,可以将两个部门分别配置到不同的VLAN,只有在同一VLAN内(同一部门)的计算机系统可以跨交换机进行相互通信,反之则不行。网络拓扑如图4.1所示。 (1) 网络拓扑
图4.1网络拓扑
其中交换机2台,PC3台。 3台PC机IP地址在同一子网中。
(2)实验步骤:
步骤1:在交换机Switch A上创建VLAN10,并将0/5端口划分到VLAN10中; [Switch A]vlan 10
[Switch A-vlan10]int g 0/0/5
[Switch A-GigabitEthernet0/0/5]port [Switch A-GigabitEthernet0/0/5]port link
[Switch A-GigabitEthernet0/0/5]port link-ty [Switch A-GigabitEthernet0/0/5]port link-type access [Switch A-GigabitEthernet0/0/5]port default vlan 10
步骤2:在交换机Switch A上创建VLAN20,并将0/15端口划分到VLAN20中; [Switch A-GigabitEthernet0/0/5]vlan 20 [Switch A-vlan20]int g 0/0/15
[Switch A-GigabitEthernet0/0/15]port link-type access [Switch A-GigabitEthernet0/0/15]port default vlan 20
步骤3:把交换机Switch A与交换机Switch B相连的F0/24端口定义为Trunk模式; [Switch A-GigabitEthernet0/0/24]port link-type trunk [Switch A-GigabitEthernet0/0/24]port trunk allow-pass vlan all
步骤4:在交换机Switch B上创建VLAN10,并将0/5端口划分到VLAN10; [Switch B]vlan 10
[Switch B-vlan10]int g 0/0/5
[Switch B-GigabitEthernet0/0/5]port link-type access [Switch B-GigabitEthernet0/0/5]port default vlan 10
步骤5:把交换机Switch B与交换机Switch A相连的F0/24端口定义为Trunk模式; [Switch B-vlan10]int g 0/0/5
[Switch B-GigabitEthernet0/0/5]port link-type access [Switch B-GigabitEthernet0/0/5]port default vlan 10 [Switch B-GigabitEthernet0/0/5]int g 0/0/24 [Switch B-GigabitEthernet0/0/24]port link-type trunk [Switch B-GigabitEthernet0/0/24]port trunk allow-pass vlan all 步骤6:验证测试。
在PC1上分别尝试使用ping命令测试与PC2、PC3的连通性。 4.1.3 总结与分析
配置时,应注意将两台交换机直接相连的端口设置为Trunk模式,Trunk接口在默认情况下支持所有的VLAN传输。通过配置VLAN可以隔离不同部门之间的通信。
4.2 配置端口安全
4.2.1 原理简介
交换机的端口安全特性可以只允许特定的MAC地址的设备接入到网络中,从而防止用户将非法或未授权的设备接入到网络中,并且可以限制端口接入到网络中的设备数量,防止用户将过多的设备接入到网络中。 4.2.2 组网实践
某企业的网络管理员发现经常有员工私自将自己的笔记本电脑接入到网络中,而且有一些员工通过使用Hub将多个网络设备接入到交换机端口上,给网络管理和维护增加了难度。 对于网络中出现的这种问题,需要防止用户接入非法或未授权的设备,并且限制用户将多个网络设备接入到交换机的端口。交换机的端口安全特性可以满足这个要求,从而提高接入层的网络安全性,网络拓扑如图4.2所示。 (1) 网络拓扑
图4.2网络拓扑
其中S3700交换机2台,PC3台。
将S3700-s1的3号口指定给某主机的MAC地址。
(2)实验步骤:
步骤1:在交换机上启用端口安全特性;
[Huawei-Ethernet 0/0/3]port link-type access [Huawei-Ethernet 0/0/3]port-security enable
步骤2:手工配置PC1的MAC地址,即保证只有PC1可以接到此端口; 步骤3:配置端口接入数量的限制;
[Huawei-Ethernet 0/0/3]port-security max-mac-num 1 步骤4:配置当此端口产生违规时的操作。
[Huawei-Ethernet 0/0/3]port-security mac-address sticky 首先有数据通过交换机的PC将被绑定MAC 4.2.3 总结与分析
配置端口安全之前必须使用命令将端口设置为Access端口,当端口由于违规操作被关闭时,可以在全局模式下使用命令将其恢复。
4.3 配置SVI实现VLAN间路由
4.3.1 原理简介
VLAN的目的是隔离广播域,并非要不同VLAN内的主机彻底不能互相通信,但VLAN间的通信等同于不同广播域之间的通信,必须使用第三层的设备才能实现。VLAN间的通信就是指VLAN间的路由,是VLAN之间在一个路由器或者其他三层设备(例如三层交换机)上发生的路由。通过在三层交换机上为各VALN配置SVI接口,利用三层交换机的路由转发功能可以实现VLAN间的路由。 4.3.2 组网实践
为减小广播包对网络的影响,网络管理员在公司内部网络中进行了VLAN的划分。完成VLAN的划分后,发现不同VLAN之间无法互相访问。
通过分析,可以通过配置三层交换机的SVI接口实现VLAN之间的路由,网络拓扑如图4.3所示。 (1) 网络拓扑
图4.3网络拓扑
(2)实验步骤:
步骤1:在三层交换机上创建两个VLAN,VLAN 10与VLAN 20;
实验四“IP地址规划与路由设计”参考设置
