1、中型網(wǎng)絡(luò)中各部門間網(wǎng)絡(luò)的安全隔離,交換機基本配置與管理,交換機的組成,交換機的配置線,交換機的配置管理,交換機工作模式及其轉(zhuǎn)換,如何使用幫助,主要內(nèi)容,交換機是局域網(wǎng)最重要的連通設(shè)備 ，按是否可以網(wǎng)管，交換機可以分為可網(wǎng)管交換機和不可網(wǎng)管交換機。,不可網(wǎng)管交換機,可網(wǎng)管交換機則可以被管理、監(jiān)控，具有智能性，具有端口監(jiān)控、劃分VLAN等不可網(wǎng)管交換機不具備的特性，因此，安裝可網(wǎng)管交換機的網(wǎng)絡(luò)具有智能性和安全性。,可網(wǎng)管交換機,這些交換機是不能被管理的，想集線器一樣直接轉(zhuǎn)發(fā)數(shù)據(jù)。,一臺可網(wǎng)管的交換機在正面或背面一般有一個網(wǎng)管配置Console接口，現(xiàn)在的交換機控制臺端口一般采用RJ-45端口。,R

2、J-45控制端口,交換機的組成,硬件系統(tǒng),CPU 交換機背板的ASIC芯片 RAM、ROM FLASH 交換機端口,光纖插槽,連接光纖的接口SFP類型,軟件系統(tǒng),Cisco catalyst系列交換機所使用的操作系統(tǒng)是IOS或COS（ catalyst Operating system）。其中以IOS使用最為廣泛，該操作系統(tǒng)和路由器所使用的操作系統(tǒng)都基于相同的內(nèi)核和Shell。COS的優(yōu)點在于命令體系比較易用。利用操作系統(tǒng)所提供的命令，可實現(xiàn)對交換機的配置與管理。,Cisco IOS操作系統(tǒng)特點：,（1）支持通過命令行（CLI）或Web界面，來對交換機進行配置。 （2）支持通過交換機的控制端口

3、或Telnet會話來登陸連接訪問交換機。 （3）提供用戶模式和特權(quán)模式兩種命令執(zhí)行級別，并提供全局配置、接口配置、子接口配置和VLAN數(shù)據(jù)庫配置等多種級別的配置模式，以允許用戶對交換機的資源進行配置。,交換機的配置線,1. 串行配置線備,2. RJ-45接頭扁平配置線,3. USB接口配置線,RJ-45接頭扁平配置線 DB9-RJ45的轉(zhuǎn)接頭,USB接口配置,交換機的配置管理,配置 方式,使用PC計算機通過Console口對交換機進行配置和管理,通過Telnet 對交換機進行遠程管理,通過Web對交換機進行遠程管理,通過Ethernet上的SNMP網(wǎng)管工作站對交換機進行管理,交換機工作模式及其

4、轉(zhuǎn)換,可網(wǎng)管交換機工作模式,用戶模式,特權(quán)模式,配置模式,當PC計算機和交換機建立連接，配置好仿真終端時，首先處于用戶模式（User EXEC模式）。 在用戶模式下，可以使用少量用戶模式命令，命令的功能也受到一定限制。用戶模式命令的操作結(jié)果不會被保存。 用戶模式狀態(tài)：Switch,用戶模式,要想在可網(wǎng)管交換機上使用更多的命令， 必須進入特權(quán)模式（Privileged EXEC模式）。 通常由用戶模式進入特權(quán)模式時，必須輸入進入特權(quán)模式的命令：enable。在特權(quán)模式下，用戶可以使用所有的特權(quán)命令，可以使用命令的數(shù)目也增加了很多。 特權(quán)模式狀態(tài)：Switch,特權(quán)模式,通過configure t

5、erminal命令，可以由特權(quán)模式進入配置模式。在配置模式下，可以使用更多的命令來修改交換機的系統(tǒng)參數(shù)。 使用配置模式（全局配置模式，接口配置模式、VLAN配置模式、線程工作模式）的命令會對當前的配置產(chǎn)生影響。如果用戶保存了配置信息，這些命令將被保存下來，并在系統(tǒng)重新啟動時再次執(zhí)行。要進入各種配置模式，首先必須進入全局配置模式。從全局配置模式出發(fā)，可以進入接口配置模式等各種配置子模式。,配置模式,Exit 或Ctrl-Z,Exit 或Ctrl-Z,Configure terminal,各種特定配置模式,switch,switch#,switch（config）#,用戶EXEC模式,特權(quán)EXEC

6、模式,全局配置模式,Enable,交換機的不同工作模式以及各模式之間的關(guān)系,接口配置模式,在全局配置模式下，使用interface命令進入該模式。要返回全局配置模式，輸入exit命令或按下Ctrl+Z組合鍵。要返回特權(quán)模式，使用end命令。 在interface命令中必須指明要進入哪一個接口配置子模式。使用該命令可以配置交換機的各種接口。,VLAN配置模式,在全局配置模式下，使用vlan vlan-id命令進入該模式。要返回全局配置模式，輸入exit命令或按下Ctrl+Z組合鍵。要返回特權(quán)模式，使用end命令。 使用該模式可以配置vlan參數(shù)。,線程工作模式,在全局配置模式下，執(zhí)行Line V

7、TY或Line Console命令，將進入Line配置模式。該模式主要用于對虛擬終端（VTY）和控制臺接口進行配置，其配置主要是設(shè)置虛擬終端和控制臺的用戶級登錄密碼。 Line配置模式的命令行提示符為： switch(config-line)# 交換機有一個控制端口（Console），其編號為0，通常利用該端口進行本地登錄，以實現(xiàn)對交換機的配置和管理。,如何使用幫助,用戶也可以使用Tab鍵獲得幫助，按下Tab鍵可以自動補齊命令剩余的字母。,使用“？”獲得幫助,使用“Tab”鍵獲得幫助,交換機管理界面分為不同的模式，用戶當前所處的命令模式?jīng)Q定了可以使用的命令。在命令提示符下，輸入問號（？），可以

8、列出每個命令模式可以使用的命令?？梢酝ㄟ^不同的方式能獲得不同的幫助效果。,如何使用幫助,交換機的操作系統(tǒng)支持歷史緩沖區(qū)技術(shù)，該緩沖區(qū)記錄了當前提示符下最近使用的命令，可以使用“”和“”方向鍵將以前操作過的命令重新調(diào)出使用。利用該技術(shù)可以避免重新輸入長而且復(fù)雜的命令。,使用命令簡寫獲得幫助,使用歷史緩沖區(qū)加快操作,交換機的操作命令可以使用命令的前幾個字母，然后按回車鍵可以自動執(zhí)行對應(yīng)的操作。,總結(jié),交換機的組成,交換機的配置線,交換機工作模式及其轉(zhuǎn)換,交換機的配置管理,項目五 :中型網(wǎng)絡(luò)中各部門間網(wǎng)絡(luò)的安全隔離,交換機基本配置與管理,任務(wù)1:,工作任務(wù),隨著學(xué)院信息化建設(shè)，校園網(wǎng)的規(guī)模也越來越大

9、，為了有效地管理校園網(wǎng)，需要采用可網(wǎng)管的交換機，需要首先了解可網(wǎng)管的交換機和前面已經(jīng)使用的交換機有何區(qū)別？可網(wǎng)管交換機是如何進行管理和基本配置。,可網(wǎng)管交換機基本配置,任務(wù)目標,能夠通過控制臺端口對交換機進行初始配置； 能夠配置交換機的各種口令； 能夠?qū)粨Q機進行基本配置； 能夠利用show 命令查看交換機的各種狀態(tài)。,可網(wǎng)管交換機基本配置,Cisco2900交換機（1臺）； PC機1臺； 雙絞線（若干根）； 反轉(zhuǎn)電纜一根。,可網(wǎng)管交換機基本配置,設(shè)備清單,網(wǎng)絡(luò)拓撲,可網(wǎng)管交換機基本配置,實施過程,可網(wǎng)管交換機基本配置,步驟1：使用系統(tǒng)配置對話; 步驟2：用戶模式、特權(quán)模式、全局配置模式的轉(zhuǎn)換

10、; 步驟3：使用交換機的CLI; 步驟4：配置交換機的主機名;,實施過程,可網(wǎng)管交換機基本配置,步驟5:配置交換機的口令; 步驟6：查看交換機信息; 步驟7：配置2層交換機端口; 步驟8：通過Telnet連接交換機。,可網(wǎng)管交換機基本配置,項目測試,步驟1：在PCA計算機上，在“開始”菜單中單擊“運行”選項，在打開的“運行”對話框中輸入“cmd”命令并單擊“確定”按紐，進入MS-DOS命令操作狀態(tài)。 步驟2：在PCA計算機上，通過超級終端，查看交換機的配置：,項目五 :中型網(wǎng)絡(luò)中各部門間網(wǎng)絡(luò)的安全隔離,IP子網(wǎng)劃分,課題2:,主要內(nèi)容,子網(wǎng)劃分概念,決定子網(wǎng)號以及每個子網(wǎng)內(nèi)可分配的IP地址,子

11、網(wǎng)IP地址格式,子網(wǎng)掩碼,子網(wǎng)劃分的方法,子網(wǎng)劃分的概念,在劃分子網(wǎng)時應(yīng)遵循以下的基本規(guī)則： （1）同一個局域網(wǎng)上的IP主機特別指出，在同一廣播域內(nèi)應(yīng)該使用同一IP子網(wǎng)內(nèi)的IP地址。 （2）通過點到點的租用線路直連的兩個路由器接口地址應(yīng)該在相同的IP子網(wǎng)內(nèi)。 （3）被至少一臺路由器分割開的不同局域網(wǎng)的主機，應(yīng)該使用不同IP子網(wǎng)內(nèi)的IP地址。 （4）互聯(lián)網(wǎng)內(nèi)的IP地址應(yīng)該是唯一的。,子網(wǎng)地址部分主機地址部分,子網(wǎng)地址部分,網(wǎng)絡(luò)地址部分,網(wǎng)絡(luò)地址部分,主機地址部分,網(wǎng)絡(luò)地址,劃分子網(wǎng)后的網(wǎng)絡(luò)地址,網(wǎng)絡(luò)地址部分,子網(wǎng)IP地址格式,子網(wǎng)掩碼,子網(wǎng)掩碼(subnetmask)通常與IP地址配對出現(xiàn)，其功

12、能是告知主機或路由設(shè)備，IP地址的哪一部分代表網(wǎng)絡(luò)號部分，哪一部分代表主機號部分。子網(wǎng)掩碼使用與IP地址相同的編址格式，即32位長度的二進制比特位，也可分為4個8位組并采用點分十進制來表示。但在子網(wǎng)掩碼中，與IP地址中的網(wǎng)絡(luò)位部分對應(yīng)的位取值為“1”，而與IP地址主機部分對應(yīng)的位取值為“0”。這樣通過將子網(wǎng)掩碼與相應(yīng)的IP地址進行求“與”操作，就可決定給定的IP地址所屬的網(wǎng)絡(luò)號（包括子網(wǎng)絡(luò)信息）。,C類網(wǎng)絡(luò)進行子網(wǎng)劃分后的子網(wǎng)掩碼,為了表達的方便，在書寫上還可以采用諸如“X.X.X.X/Y”的方式來表示IP地址與子網(wǎng)掩碼，其中每個“X”分別表示與IP地址中的一個8位組對應(yīng)的十進制值，而“Y”表

13、示子網(wǎng)掩碼中與網(wǎng)絡(luò)標識對應(yīng)的位數(shù)。如上面提到的102.2.3.3/255.0.0.0也可表示為102.2.3.3/8，而102.2.3.3/255.255.247.0則可表示為102.2.3.3/21。,書寫方法,子網(wǎng)劃分的方法,決定子網(wǎng)和主機數(shù)量,由于主機被一個或多個路由器分割在不同的子網(wǎng)里，所以網(wǎng)絡(luò)工程師需要決定在這個特定互聯(lián)網(wǎng)絡(luò)中劃分多少個子網(wǎng)，計劃好的網(wǎng)絡(luò)拓撲結(jié)構(gòu)在某種程度上決定了需要的子網(wǎng)數(shù)量。,決定子網(wǎng)和主機數(shù)量,要決定最大的子網(wǎng)中要容納多少臺主機，需要知道連接在每一個局域網(wǎng)上的所有設(shè)備的具體信息，以及對于未來趨勢的一定預(yù)測能力。一般情況下，通過局域網(wǎng)交換機和線纜的配置情況來了解連

14、接到該局域網(wǎng)的設(shè)備數(shù)量，然后在增加一定的百分比留作擴展使用。 假定在一個A、B或C類網(wǎng)絡(luò)中使用相同的子網(wǎng)掩碼，稱為固定長度子網(wǎng)掩碼（SLSM）。和VLSM不同，VLSM允許在同一IP子網(wǎng)內(nèi)的不同部分使用不同的掩碼。當使用SLSM時，最大子網(wǎng)內(nèi)的主機數(shù)量決定了整個網(wǎng)絡(luò)內(nèi)子網(wǎng)掩碼的主機位的大小。但是使用VLSM，需要決定每一個子網(wǎng)內(nèi)主機的數(shù)量。,決定掩碼中的子網(wǎng)和主機位數(shù),對A、B或C類網(wǎng)絡(luò)進行子網(wǎng)劃分的過程并不會改變原地址中網(wǎng)絡(luò)部分的大小。它會減少地址中主機部分的大小，來創(chuàng)建子網(wǎng)部分，如下圖。 為了創(chuàng)建子網(wǎng)，在此過程中縮短了主機域，通常稱為借位。在下圖中，被借出的位用于組成地址結(jié)構(gòu)中的子網(wǎng)部分，

15、為S比特長。 這里，用變量s表示子網(wǎng)位數(shù)，用h表示主機位數(shù)。,決定子網(wǎng)號以及每個子網(wǎng)內(nèi)可分配的IP地址,術(shù)語：,子網(wǎng)號：從數(shù)字上講，是一個子網(wǎng)內(nèi)最小的號碼，它是用來表示一個特定IP子網(wǎng)的一組點分十進制數(shù)。 子網(wǎng)廣播地址：從數(shù)字上講，是一個子網(wǎng)內(nèi)最大的值。發(fā)送到這個地址的數(shù)據(jù)包，都會被路由轉(zhuǎn)發(fā)到目的子網(wǎng)，在轉(zhuǎn)發(fā)的同時，數(shù)據(jù)包被封裝在一個2層廣播幀中，這樣子網(wǎng)內(nèi)的所有主機都能夠接收到這個幀。 可供分配的IP地址：一個可以分配到接口上的IP地址。此時子網(wǎng)內(nèi)的保留地址排除在外，例如IP子網(wǎng)號和子網(wǎng)廣播地址。,網(wǎng)絡(luò)廣播地址：在任何一個IP網(wǎng)絡(luò)中，最大的那個IP地址。 子網(wǎng)0（0號子網(wǎng)）：從數(shù)字上講，是每

16、一個子網(wǎng)劃分規(guī)劃中最小的子網(wǎng)號，它的特點是在子網(wǎng)號的子網(wǎng)部分全為0。一般為保留子網(wǎng)，不使用。 廣播子網(wǎng)：從數(shù)字上講，是每一個子網(wǎng)劃分規(guī)劃中最大的子網(wǎng)號，它的特點是在子網(wǎng)號的子網(wǎng)部分全為1。一般為保留子網(wǎng)，不使用。,找出子網(wǎng)號：二進制方法,采用二進制的方法找出子網(wǎng)號的的關(guān)鍵在于： 每個子網(wǎng)號的網(wǎng)絡(luò)部分與待劃分IP網(wǎng)絡(luò)號的網(wǎng)絡(luò)部分相同。 每個子網(wǎng)號主機部分全為0。 子網(wǎng)號的子網(wǎng)部分都不相同，用來區(qū)別各個子網(wǎng)。,在進行子網(wǎng)劃分時，0號子網(wǎng)的十進制表示法和有類IP網(wǎng)絡(luò)號是相同的并且根據(jù)分類IP規(guī)則，0號子網(wǎng)保留不做使用。,采用二進制的方法找出子網(wǎng)號的過程如下： 步驟1：計算2s，s是子網(wǎng)部分的位數(shù)。

17、步驟2：寫下來分類IP網(wǎng)絡(luò)號的二進制表示方法。 步驟3：注分類IP網(wǎng)絡(luò)號和0號子網(wǎng)是同一個號碼，不使用。 步驟4：從上到下畫兩條豎線，將32位的網(wǎng)絡(luò)部分和主機部分分開。 步驟5：向下重復(fù)網(wǎng)絡(luò)部分和主機部分的比特位，直到總共有2s行為止，所有這些行中，除了第一行（0號子網(wǎng)），子網(wǎng)部分都沒有數(shù)值。,步驟6：從第2行開始，子網(wǎng)域的部分每一行都在前一行的基礎(chǔ)上加1。這保證了連續(xù)的子網(wǎng)域內(nèi)所有的值都不相同。一直寫到列表的最后，這時子網(wǎng)域的每一位都應(yīng)該是1。 步驟7：最后一行，也就是子網(wǎng)域全為1的那一行就是廣播子網(wǎng)，保留不使用。 步驟8：將32位的二進制數(shù)每8位一組轉(zhuǎn)換為十進制數(shù)，就可以得到子網(wǎng)號了。,找

18、出子網(wǎng)廣播地址：二進制方法,步驟如下： 步驟1：在每個二進制表示的子網(wǎng)號中，將所有的主機位都換成1。 步驟2：將這些號碼轉(zhuǎn)換為十進制，8位一組（即便一個字節(jié)中包含子網(wǎng)和主機部分）。,找出可用IP地址的范圍,步驟如下： 步驟1：為了找出子網(wǎng)內(nèi)可供分配的最小IP地址，只需要將子網(wǎng)號的第4個字節(jié)加1； 步驟2：為了找出子網(wǎng)內(nèi)可供分配的最大IP地址，只需要把子網(wǎng)廣播地址的第4個字節(jié)減1。,可供分配的IP地址,這些子網(wǎng)保留不使用,利用簡便方法找出子網(wǎng)和廣播地址,每一個連續(xù)子網(wǎng)號都比前一個子網(wǎng)號大32，每一個連續(xù)的廣播地址也比前一個廣播地址大32。由此可以總結(jié)為4個要素： 0號子網(wǎng)，它總是和分類網(wǎng)絡(luò)的網(wǎng)絡(luò)

19、號相同。 廣播子網(wǎng)的廣播地址，它總是和網(wǎng)絡(luò)的廣播地址相同。 子網(wǎng)部分的位數(shù)。 增量，也就是一個子網(wǎng)號與前一個子網(wǎng)號的差。它等于2(8-s)，其中，s是子網(wǎng)位數(shù)。,判斷主機位于哪個子網(wǎng)內(nèi),用二進制方法找出子網(wǎng)號的過程如下： 步驟1：將IP地址和掩碼轉(zhuǎn)化成二進制，先寫IP地址，然后將子網(wǎng)掩碼寫在下面。 步驟2：將兩組號碼按位進行布爾與運算。 步驟3：將結(jié)果所得的32位碼轉(zhuǎn)化成十進制，8位為一組。,例如，已知網(wǎng)絡(luò)IP地址和子網(wǎng)掩碼為 IP地址：192.168.1.73 子網(wǎng)掩碼： 255.255.255.224 請確定該主機所在的網(wǎng)絡(luò)號。 （1）將IP地址192.168.1.73和子網(wǎng)掩碼255.2

20、55.255.224分別轉(zhuǎn)換成二進制等價形式為11010011.01010001.11000000.01001001和11111111.11111111.11111111. 11100000。 （2）將兩個23位二進制數(shù)并列在一起，對每一位進行“與”操作即可得到結(jié)果。,總結(jié),子網(wǎng)劃分概念,子網(wǎng)IP地址格式,子網(wǎng)劃分的方法,子網(wǎng)掩碼,決定子網(wǎng)號以及每個子網(wǎng)內(nèi)可分配的IP地址,項目五 :中型網(wǎng)絡(luò)中各部門間網(wǎng)絡(luò)的安全隔離,IP地址與子網(wǎng)劃分,任務(wù)2:,工作任務(wù),（1）正確配置IP地址； （2）正確配置子網(wǎng)掩碼； （3）能夠進行子網(wǎng)劃分。,IP地址與子網(wǎng)劃分,任務(wù)目標,理解IP地址的概念、分類； 理解

21、掩碼的作用； 掌握如何進行子網(wǎng)劃分。,IP地址與子網(wǎng)劃分,設(shè)備清單,PC計算機3臺； 交換機1臺； 雙絞線直通線3條。,IP地址與子網(wǎng)劃分,網(wǎng)絡(luò)拓撲,IP地址與子網(wǎng)劃分,實施過程,1.測試1 （1）按照下表所示配置各計算機的IP地址、子網(wǎng)掩碼。,IP地址與子網(wǎng)劃分,實施過程,（2）使用ping命令測試各計算機之間的連通性，并填入下表。,IP地址與子網(wǎng)劃分,實施過程,2.測試2 （1）按照下表所示配置各計算機的IP地址、子網(wǎng)掩碼。,IP地址與子網(wǎng)劃分,實施過程,（2）使用ping命令測試各計算機之間的連通性，并填入下表。,IP地址與子網(wǎng)劃分,實施過程,3.測試3 （1）按照下表所示配置各計算機的

22、IP地址、子網(wǎng)掩碼。,IP地址與子網(wǎng)劃分,實施過程,（2）使用ping命令測試各計算機之間的連通性，并填入下表。,IP地址與子網(wǎng)劃分,實施過程,4.測試4 （1）按照下表所示配置各計算機的IP地址、子網(wǎng)掩碼。,IP地址與子網(wǎng)劃分,實施過程,（2）使用ping命令測試各計算機之間的連通性，并填入下表。,IP地址與子網(wǎng)劃分,實施過程,5.測試5 （1）按照下表所示配置各計算機的IP地址、子網(wǎng)掩碼。,IP地址與子網(wǎng)劃分,實施過程,（2）使用ping命令測試各計算機之間的連通性，并填入下表。,IP地址與子網(wǎng)劃分,項目五 :中型網(wǎng)絡(luò)中各部門間網(wǎng)絡(luò)的安全隔離,VLAN 劃分與配置,課題3:,虛擬局域網(wǎng)的概

23、念,VLAN的優(yōu)點,配置靜態(tài)VLAN,VLAN的組網(wǎng)方法,主要內(nèi)容,虛擬局域網(wǎng),虛擬局域網(wǎng)的概念,A3,交換式 集線器,交換式 集線器,A4,B1,交換式 集線器,VLAN3,C3,B3,VLAN1,VLAN2,C1,A2,A1,C2,B2,交換式 集線器,三個虛擬局域網(wǎng) VLAN1, VLAN2 和 VLAN3 的構(gòu)成,當 B1 向 VLAN2 工作組內(nèi)成員發(fā)送數(shù)據(jù)時， 工作站 B2 和 B3 將會收到廣播的信息。,B1 發(fā)送數(shù)據(jù)時，工作站 A1, A2 和 C1 都不會收到 B1 發(fā)出的廣播信息。,虛擬局域網(wǎng)限制了接收廣播信息的工作站數(shù)，使得網(wǎng)絡(luò) 不會因傳播過多廣播信息(即“廣播風(fēng)暴”)而

24、引起性能惡化。,交換式 集線器,A3,虛擬局域網(wǎng)的幀格式,VLAN數(shù)據(jù)幀的傳輸,根據(jù)交換機處理數(shù)據(jù)幀的不同，可以將交換機的端口分為兩類：,Access端口,只能傳送標準以太網(wǎng)幀的端口，一般是指那些連接不支持VLAN技術(shù)的端設(shè)備的接口，這些端口接收到的數(shù)據(jù)幀都不包含VLAN標簽，而向外發(fā)送數(shù)據(jù)幀時，必須保證數(shù)據(jù)幀中不包含VLAN標簽。,Content Title,Trunk端口,既可以傳送有VLAN標簽的數(shù)據(jù)幀也可以傳送標準以太網(wǎng)幀的端口，一般是指那些連接支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備（如交換機）的端口，這些端口接收到的數(shù)據(jù)幀一般都包含VLAN標簽（數(shù)據(jù)幀VLAN ID和端口缺省VLAN ID相同除

25、外），而向外發(fā)送數(shù)據(jù)幀時，必須保證接收端能夠區(qū)分不同VLAN的數(shù)據(jù)幀，故常常需要添加VLAN標簽（數(shù)據(jù)幀VLAN ID和端口缺省VLAN ID相同除外）。,VLAN的優(yōu)點,通過將交換機劃分到不同的VLAN中，一個VLAN的廣播不會影響到其他VLAN的性能。即使是同一交換機上的兩個相鄰端口，只要它們不在同一VLAN中，則相互之間也不會滲透廣播流量，也就是說一個VLAN構(gòu)成一個獨立的廣播域。,通過將可以相互通信的網(wǎng)絡(luò)結(jié)點放在一個VLAN內(nèi)，或?qū)⑹芟拗频膽?yīng)用和資源放在一個安全VLAN內(nèi)，并提供基于應(yīng)用類型、協(xié)議類型、訪問權(quán)限等不同策略的訪問控制表，就可以有效限制進入或離開VLAN的數(shù)據(jù)流,有利于優(yōu)化

26、網(wǎng)絡(luò)性能,提高了網(wǎng)絡(luò)的安全性,同一VLAN中的用戶，可以連接在不同的交換機，并且可以位于不同的物理位置，如分布在不同的樓層或不同的樓宇，可以大大減少在網(wǎng)絡(luò)中增加、刪除或移動用戶時的管理開銷。,在千兆位以太網(wǎng)中，基于與VLAN相關(guān)的IEEE 802.1P標準可以在交換機上為不同的應(yīng)用提供不同的服務(wù)如傳輸優(yōu)先級等。,便于對網(wǎng)絡(luò)進行管理和控制,提供了基于第二層的通信優(yōu)先級服務(wù),VLAN間的互聯(lián)方法,所謂傳統(tǒng)路由器方法，就是使用路由器將位于不同VLAN的交換端口連接起來，這種方法的缺點是：對路由器的性能有較高要求；同時如果路由器發(fā)生故障，則VLAN之間就不能通信。,傳統(tǒng)路由器方法,如果交換機本身帶有路

27、由功能，則VLAN之間的互連就可在交換機內(nèi)部實現(xiàn)，即采用第三層交換技術(shù)。第三層交換技術(shù)也叫路由交換技術(shù)，是各網(wǎng)絡(luò)廠家最新推出的一種局域網(wǎng)技術(shù)，具有良好的發(fā)展前景。它將交換技術(shù)（Switching）和路由技術(shù)（Routing）相結(jié)合，很好的解決了在大型局域網(wǎng)中以前難以解決的一些問題。,采用路由交換機,組網(wǎng)方法,靜態(tài)VLAN,動態(tài)VLAN,基于MAC地址的VLAN,基于路由的VLAN,用IP廣播組定義虛擬局域網(wǎng),VLAN的組網(wǎng)方式,靜態(tài)VLAN,靜態(tài)VLAN配置,在建立VLAN之前，必須考慮是否使用VLAN干線協(xié)議（VLAN trunk protocol，VTP）來為你的網(wǎng)絡(luò)進行全局VLAN的配置

28、。 大多數(shù)Catalyst桌面交換機支持最多64個激活的VLAN。Catalyst2950系列交換機在標準鏡像上可以支持最多250個VLAN，并且最大可支持的VLAN號為4096。Catalyst交換機的默認配置是為每一個VLAN運行一個單獨的生成樹實例。,配置靜態(tài)VLAN,在全局配置模式下使用VLAN命令: Switch（config）#vlan vlan-id,其中：Vlan是-id配置要被添加的VLAN的ID，如果要安裝增強的軟件版本，范圍為14096，如果安裝的是標準的軟件版本，范圍為11005。每一個VLAN都有一個唯一的4位的ID（范圍：00011005）。 Switch（conf

29、ig-vlan）#name vlan-name,定義一個VLAN的名字，可以使用132個ASCII字符，但是必須保證這個名稱在管理域中是唯一的。 為了添加一個VLAN到VLAN數(shù)據(jù)庫，需要給VLAN分配給一個ID號和名字。VLAN1（包括VLAN1002、VLAN1003、VLAN1004和VLAN1005）是一些廠家默認VLAN ID號。,默認配置中，交換機處在VTP服務(wù)器模式，所以可以添加、更改或刪除VLAN。如果交換機設(shè)置為VTP客戶模式，就不能添加、更改或刪除VLAN。 為了添加一個以太網(wǎng)VLAN，必須至少指定一個VLAN ID。如果不為VLAN輸入一個名字，默認配置會在“VLAN”這

30、個字母后自動添加VLAN的號碼。例如，如果不加以命名，VLAN0004將使用VLAN 4的默認名字。,在新創(chuàng)建一個VLAN之后，可以為之手工分配一個端口號或多個端口號。一個端口只能屬于唯一一個VLAN。這種為VLAN分配端口號的方法稱為靜態(tài)接入端口。 在接口配置模式下，分配VLAN端口命令為： Switch（config-if）#switchport access vlan vlan-id 默認情況下，所有的端口都屬于VLAN 1。,檢驗VLAN配置,在特權(quán)模式下，可以檢驗VLAN的配置，常用的命令有： Switch#show vlan /顯示所有VLAN的配置消息。 Switch#show

31、inteface interface switchport /顯示一個指定的接口的VLAN信息。,添加、更改和刪除VLAN,為了添加、更改和刪除VLAN，需要把交換機設(shè)在VTP服務(wù)器或透明模式。當要為整個域內(nèi)的交換機做一些VLAN更改時，必須處于VTP服務(wù)器模式，在VTP范圍內(nèi)更新的內(nèi)容會自動傳播到其他交換機上，在VTP透明模式下做的VLAN更改只能影響本地交換機，更改不會在VTP范圍內(nèi)傳播。,為了修改VLAN的屬性（如VLAN的名字），應(yīng)使用全局配置命令vlan vlan-id，但不能更改VLAN編號，為了使用不同的VLAN編號，需要創(chuàng)建新的VLAN編號，然后再分配相應(yīng)的端口到這個VLAN中

32、。,為了修改VLAN的屬性（如VLAN的名字），應(yīng)使用全局配置命令vlan vlan-id，但不能更改VLAN編號，為了使用不同的VLAN編號，需要創(chuàng)建新的VLAN編號，然后再分配相應(yīng)的端口到這個VLAN中。,當在一個VTP服務(wù)器模式的交換機上刪除一個VLAN時，這個VLAN就會在所有這個VTP域中的交換機上被刪除。當在一個VTP透明模式的交換機上刪除一個VLAN，這個VLAN只是在這臺交換機上被刪除。在VLAN配置模式下，使用命令no vlan vlan-id刪除VLAN。刪除VLAN之前，要確定原來在該vlan下的所有端口移到了另一個VLAN中。,總結(jié),虛擬局域網(wǎng)的概念,VLAN的優(yōu)點,靜

33、態(tài)VLAN配置,VLAN的組網(wǎng)方法,項目五 :中型網(wǎng)絡(luò)中各部門間網(wǎng)絡(luò)的安全隔離,在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),任務(wù)3:,工作任務(wù),將學(xué)校計算機系、機電工程系、汽車工程系三個系部劃分在不同的局域網(wǎng)內(nèi)，要求各系部內(nèi)部主機之間有一些業(yè)務(wù)可以相互訪問，但各系部之間為了安全完全禁止訪問。,在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),任務(wù)目標,能夠在單交換機進行VLAN劃分； 能夠通過VLAN技術(shù)隔離網(wǎng)絡(luò)。,在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),設(shè)備清單,Cisco2950交換機（1臺）； 傻瓜交換機3臺； PC機6臺； 雙絞線（若干根）； 反轉(zhuǎn)電纜一根。,在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),網(wǎng)絡(luò)拓撲

34、,在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),實施過程,步驟1：硬件連接 步驟2：分別打開設(shè)備，給設(shè)備加電，設(shè)備都處于自 檢狀態(tài)，直到連接交換機的指示燈處于綠 燈，表示網(wǎng)絡(luò)處于穩(wěn)定連接狀態(tài)。 步驟3：配置PC10、PC11、PC20、PC21、PC30、PC31的IP地址,如表所示。,在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),計算機IP地址配置表,在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),實施過程,步驟4：分別測試PC10、PC11、PC20、PC21、PC30、 PC31這六臺計算機之間的連通性,填入下表 。,在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),實施過程,步驟5：配

35、置PC10、PC11、PC20、PC21、PC30、PC31的IP地址，如表所示。,在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),計算機IP地址配置表,實施過程,步驟6：通過ping命令分別測試PC10、PC11、PC20、PC21、PC30、PC31這六臺計算機之間的連通性填入下表。,在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),實施過程,步驟7：配置交換機VLAN 1.登錄到交換機并創(chuàng)建VLAN 2.驗證配置結(jié)果 3.配置交換機，將端口分配到VLAN 4.再次驗證配置結(jié)果,在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),實施過程,步驟8：通過ping命令分別測試PC10、PC11、PC20、 PC21、PC30、PC31這六臺計算機之間的連 通性填入下表。 步驟9：重新打開交換機，進行驗證測試。,在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),在單交換機上構(gòu)建安全隔離的部門間網(wǎng)絡(luò),項目五 :中型網(wǎng)絡(luò)中各