您好,欢迎访问三七文档
构建安全中型办公网项目五为了保证办公网安全,保证办公网不被其它部门网直接访问,实现办公网和教学网以及其它网络之间的技术隔离。构建安全办公网工作场景构建安全办公网工作拓扑构建安全办公网需求分析1、为了保证办公网信息的安全,保证办公网需要保密的信息,希望通过技术,实现办公网和教学网以及其它网络之间的技术隔离。2、学院希望通过技术实现办公网和教学网以及其它网络之间的技术隔离。同时保证办公楼和教学楼同一部门之间的网络互相连通,共享网络信息资源。构建安全办公网知识准备为组建安全中型办公网络项目,需要的知识准备有:子网规划知识;交换机虚拟局域网络知识;划分虚拟局域网络技术;理解VLAN交换机中端口区别;理解干道技术;区分portvlan和tagvlan。单臂路由知识;三层交换机知识,交换机上划分VLAN;跨交换机实现VLAN通讯;三层交换机实现全网互通……安全办公网络项目知识介绍广播流量分割全网之间的互通交换网络中的问题在交换机组成的校园网络里所有主机都在同一个广播域内广播域随着网络规模的增大带来的一些问题:网内数据传输量增大,网速变得越来越慢!计算机遭受黑客攻击,关键部门存在安全隐患!同一部门的人员分布不同的地域,不能相对集中办公!交换网络中的存在问题交换网络中问题的解决--VLANVLAN20通过VLAN技术可以对网络进行一个安全的隔离、分割广播域VLAN10VLAN30VLAN40VLAN在交换机中的实现•分段•灵活性•安全性第三层第二层第一层销售部人力资源部工程部一个VLAN=一个广播域=逻辑网段(子网)VLAN(VirtualLocalAreaNetwork)在物理网络上划分出逻辑网,对应OSI模型第二层。VLAN划分不受端口物理位置限制,VLAN和普通物理网络有同样属性。第二层数据单播、广播只在一个VLAN内转发,不会进入其他VLAN中。VLAN技术VLAN特点安全隔离,不同VLAN之间不能直接访问,需通过路由设备相连隔离广播不受物理位置限制划分VLAN的方法基于端口的VLAN基于协议的VLAN基于MAC层分组的VLAN基于子网的VLAN基于交换机的端口(一个端口只属于一个VLAN)VLAN的类型:PortVLANF0/1F0/2F0/3Port-vlan原理交换机端口MAC地址VLANIDF0/1A10F0/2B20F0/3C10F0/1F0/2F0/3ABCVlan10Vlan20Vlan10ABACXVLAN在单交换机中的实现数据1交换机内部数据1数据2数据2101102创建VLAN100,将它命名为test的例子Switch#configureterminalSwitch(config)#vlan10Switch(config-vlan)#end把fastethernet0/10作为access口加入了VLAN100Switch#configureterminalSwitch(config)#interfacefastethernet0/10Switch(config-if)#switchportaccessvlan10Switch(config-if)#end配置PortVLAN-Access(1)将一组接口加入某一个VLANSwitch(config)#interfacerangefastethernet0/1-10,0/15,0/20Switch(config-if-range)#switchportaccessvlan20Switch(config-if-range)#noshutdown注:连续接口0/1-10,中间使用空格分离;不连续多个接口,中间用逗号隔开;如果使用模块,一定要写明模块编号。配置PortVLAN-Access(2)VLAN相关配置VLAN30VLAN40Switch(config)#interfacerangefastethernet0/1-2Switch(config-if-range)#switchportaccessvlan30Switch(config-if)#exitSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportaccessvlan40Switch(config-if)#exitSwitch(config)#interfacefastethernet0/4Switch(config-if)#switchportaccessvlan40Switch(config-if)#exit如果批量将端口加入VLAN,可用关键字range(见端口加入VLAN30配置),如果只加单一接口(见端口加入VLAN40配置)SwitchAVLAN30VLAN20VLAN10SwitchBVLAN30VLAN20VLAN10跨交换机VLAN间通信A交换机上VLAN10的端口范围中取一个端口,和交换机B上VLAN10范围中的某个端口,作级联连接。如果交换机上划了10个VLAN,就需要分别连10条线作级联,端口效率就太低了。SwitchAVLAN30VLAN20VLAN10SwitchBVLAN30VLAN20VLAN10TagVLAN在交换机之间用一条级联线,并将对应的端口设置为Trunk,这条线路就可以承载交换机上所有VLAN的信息。Trunk端口传输多个VLAN的信息,实现同一VLAN跨越不同的交换机跨交换机VLAN之间的通信:TagVLANVLAN1VLAN1VLAN2VLAN2VLAN3VLAN3BackboneVLAN1VLAN2VLAN3目的,源MAC地址类型,数据重新计算帧检测序列2字节标记协议标识2字节标记控制信息Trunk端口技术处理:IEEE802.1Q数据帧标记协议标识(TPID):固定值0x8100,表示该帧载有802.1q标记信息标记控制信息(TCI):Priority3比特:表示优先级Canonicalformatindicator1比特:区别以太网、FDDIVlanID12比特:表示VID,范围1-4094目的MAC地址,源MAC地址类型,数据重新计算帧检测序列IEEE802.3帧IEEE802.1Q帧802.1Q帧只在交换机的trunk链路上传输,对用户透明的。默认Trunk端口,转发交换机上所有VLAN的数据。A交换机1交换机2802.1Q工作过程B数据帧Tag标签配置VLAN-Trunk技术把Fa0/1配成Trunk口Switch#configureterminalSwitch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#noshutdownVLAN相关配置f0/1f0/1switch1switch2Switch1#configSwitch1(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunk(将二层接口的属性设置为trunk)Switch2#configSwitch2(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunk当交换机与交换机相联系时,常将交换机之间连接的链路设置为TRUNK链路,用来确保连接不同交换机之间的链路可以传递多个VLAN的信息。删除VLAN删除VALN,需要先删除VLAN下接口:Switch(config)#interfacefastethernet0/10Switch(config-if)#noswitchportSwitch(config-if)#exit再删除VLANSwitch(config)#novlan10VLAN的实现Portvlan基于交换机端口进行VLAN的划分一个端口只能属于一个VLAN一个VLAN可以包含多个端口接口模式为access用于连接最终用户设备Tagvlan一个端口可以属于多个VLAN默认情况下属于所有VLAN接口模式为trunk用于交换机之间级联VLAN的特征一个vlan中的所有设备处于同一个广播域一个VLAN是一个逻辑的子网或由定义的成员所组成的一个网络段,VLAN之间通信必须要进行路由VLAN的成员通常是基于交换机的端口号,但也可基于设备的MAC地址而动态设置.将VLAN信息保存到flash中Switch#writememory从flash中清除VLAN信息Switch#deleteflash:vlan.dat保存/清除VLAN信息VLAN10VLAN20172.20.0.0/16VLAN30172.10.0.0/16172.30.0.0/16VLAN间通信的方法VLAN间通信通过三层路由来通讯VLANsEngineeringVLANMarketingVLANSalesVLANFloor#1Floor#2Floor#3PhysicalLayerLANSwitchHumanLayerNetworkLayer192.20.24.0RoutingFunctionInterconnectsVLANs192.20.21.0192.30.20.0Data-LinkLayerBroadcastDomainsVLAN10VLAN30VLAN20多条链路连接多个VLAN,浪费路由接口三层路由器VLAN间通讯VLAN10VLAN30VLAN20使用一条链路连接多个VLAN,在一个链路接口上划分子接口技术来解决。单臂路由解决思想FA1InterfaceFA1Subinterface1.1Subinterface1.2Subinterface1.3VLAN1VLAN2ISLinterfacefastethernet0/0noipaddress!interfacefastethernet0/0.1ipaddress10.1.1.1255.255.255.0interfacefastethernet0/0.2ipaddress10.2.2.1255.255.255.0FastE0/010.1.1.210.2.2.2单臂路由解决思想在三层交换机上使用SVI虚拟接口技术,在功能上实现了VLAN间路由通讯功能。VLAN20Network172.16.20.4VLAN30Network172.16.30.5VLAN10Network172.16.10.3三层交换机进行VLAN间路由使用三层交换接口实现VLAN间路由的通讯,交换接口成本降低。三层交换SVI技术配置方法第一步:分别在三层上创建每个VLAN对应的SVI端口,Switch(config)#vlan10Switch(config)#vlan20第二步:为三层上创建的VLAN分配路由IP地址:Switch(config)#interfacevlanvlanSwitch(config-if)#ipaddressaddressnetmaskSwitch(config-if)#noshutdown第三步:将二层VLAN内连接主机的网关,指定为本VLAN对应的三层接口地址三层接口(SVI)VLAN10VLAN20三层交换机Vlan10Interfacef0/1Switchportaccessvlan10Vlan20Interfacef0/2Switchportaccessvlan20Interfacevlan10Ipaddress10.1.1.1255.255.255.0NoshutdownInterfacevlan20Ipaddress10.1.2.1255.255.255.0NoshutdownF0/1F0/1F0/2F0/210.1.1.0/2410.1.2.0/24三层接口(routedport)VLAN10VLAN20三层交换机Interfacefastethernet0/1Noswitchport(将交换机二层
本文标题:构建安全办公网络
链接地址:https://www.777doc.com/doc-1263900 .html