交换-VLAN.

信息安全师高级上海海盾信息网络安全技术培训中心网络基础课程VLAN技术邮箱：zhqianlei@126.com主讲人：钱雷上海海盾信息网络安全技术培训中心上海海盾信息网络安全技术培训中心信息安全师培训简介信息安全师认证简介《信息安全师（高级）》属于国家职业资格体系。经上海市劳动和社会保障局批准，获公安部第三研究所授权，目前，上海海盾信息网络安全技术培训中心是上海市唯一取得《信息安全师》职业培训资质的机构。培训中心简介国家反计算机入侵和防病毒研究中心信息安全培训中心、上海海盾信息网络安全技术培训中心，成立于2005年10月份，是公安部第三研究所所属独立部门。培训就业目标培训毕业学员可在电信企业、银行、保险公司、证券、国内外大中型ISP网络服务提供商、网络系统集成公司、网络安全服务公司、政府部门及其它中小企业等单位担任网络安全服务工程师、网络管理员、网站管理员、信息技术人员、网络安全工程师、网络安全产品售前工程师、网络安全售后工程师、安全产品测试工程师等工作。师资力量培训师资来自公安部第三研究所、国家反计算机入侵与防病毒研究中心、复旦大学、上海交通大学、信息安全科研机构和著名网络信息安全企业。讲师具有丰富的工程技术经验，长期从事信息安全教学、科研和技术开发工作，是国内知名的反入侵、防病毒专家。联系人：陈老师、邓老师联系电话：021-64740243网址：邮箱：chy_sy@126.com上海海盾信息网络安全技术培训中心学习内容大纲路由协议课程，将重点介绍以下知识VLAN工作原理VLAN干线、VTP协议VLAN互通学员将掌握路由原理，与路由基本配置与静态路由配置。上海海盾信息网络安全技术培训中心概述VLAN是一个广播域，是与物理位置无关的逻辑组以软件方式实现对逻辑工作组的划分与管理一个逻辑组的节点可以分布在不同的物理网段上，但它们之间通信就象同一物理网段VLAN之间不能直接通信，又通过路由上海海盾信息网络安全技术培训中心交换机A绿色VLAN黑色VLAN红色VLAN•每个逻辑的VLAN就象一个独立的物理桥•交换机上的每一个端口都可以分配给不同的VLAN•默认的情况下，所有的端口都属于VLAN1VLAN运作上海海盾信息网络安全技术培训中心交换机A交换机B•每个逻辑的VLAN就象一个独立的物理桥•同一个VLAN可以跨越多个交换机绿色VLAN黑色VLAN红色VLAN绿色VLAN黑色VLAN红色VLANVLAN运作上海海盾信息网络安全技术培训中心交换机A交换机B干道连接•主干功能支持多个VLAN的数据•主干使用了特殊的封装格式支持不同的VLAN•只有快速以太网端口可以配置为主干端口快速以太网绿色VLAN黑色VLAN红色VLAN绿色VLAN黑色VLAN红色VLANVLAN运作上海海盾信息网络安全技术培训中心实训一创建交换机的VLAN上海海盾信息网络安全技术培训中心全局配置模式下,输入VLANID,进入VLAN配置模式:Switch(config)#vlan{vlan-id}2.为VLAN设置名字.可选:Switch(config-vlan)#name{vlan-name}3.创建了以太网VLAN之后,接下来把交换机端口分配到特定的VLAN里.假如你把端口分配进了不存在的VLAN里,那么新的VLAN将自动被创建.进入接口配置模式:Switch(config)#interface{interface}4.定义VLAN端口的成员关系,把它定义为层2接入端口:Switch(config-if)#switchportmodeaccess5.把端口分配进特定的VLAN里:Switch(config-if)#switchportaccessvlan{vlan-id}6.配置中继端口,定义中继模式:Switch(config-if)#switchporttrunkencapsulation{isl|dot1q|negotiate}7.定义端口为层2的中继端口:Switch(config-if)#switchportmode{dynamicauto|dynamicdesirable|trunk}VLAN配置的步骤上海海盾信息网络安全技术培训中心干道连接快速以太网交换机对帧进行VLAN标记有两种协议：ISL和802.1Q上海海盾信息网络安全技术培训中心干道：对于多个VLAN交换机来说，VLAN干线就是两个交换机之间的连接，它在两个或两个以上的VLAN之间传输通信。每个交换机必须确定它所收到的帧属于哪个VLAN。2.一个交换机的任何端口都必须属于且只能属于一个VLAN，但当端口配置成trunk干线后，该端口就失去了它自身的VLAN标识，可以为该交换机内的所有VLAN传输数据。VLANTrunk总结上海海盾信息网络安全技术培训中心公共帧标记协议802.1Q如果要跨越cisco交换机和其他厂商的交换机来建立多个VLAN，必须使用802.1Q协议VLANTagaddedbyincomingportVLANTagstrippedbyforwardingport802.1QVLANidentifier上海海盾信息网络安全技术培训中心的数据包802.1Q的4个字节中，包括2个字节的标签协议标识（TPID--TagProtocolIdentifier，值是0X8100），2个字节的标签控制信息（TCI--TagControlInformation）。802.1Q报头中有以下字段：ProtocolType：指明该数据包是一个802.1Q数据包，取值0x8100；Priority：指明该数据包的优先级，一般情况下置0；CFI：此位一般忽略，置0；VLANID：这是一个12位的域，指明VLAN的ID，一共4096个；上海海盾信息网络安全技术培训中心实训二跨交换机的VLAN干线上海海盾信息网络安全技术培训中心配置实例上海海盾信息网络安全技术培训中心配置实例Cont.交换机Asuqa配置如下:Asuqa#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Asuqa(config)#vlan2Asuqa(config-vlan)#nameSalesAsuqa(config-vlan)#vlan3Asuqa(config-vlan)#nameTechAsuqa(config-vlan)#interfacef0/2Asuqa(config-if)#switchportmodeaccessAsuqa(config-if)#switchportaccessvlan2Asuqa(config-if)#noshutdownAsuqa(config-if)#interfacef0/3Asuqa(config-if)#switchportmodeaccessAsuqa(config-if)#switchportaccessvlan3Asuqa(config-if)#noshutdownAsuqa(config-if)#interfacef0/1Asuqa(config-if)#switchporttrunkencapsulationdot1qAsuqa(config-if)#switchportmodetrunkAsuqa(config-if)#noshutdownAsuqa(config-if)#endAsuqa#上海海盾信息网络安全技术培训中心配置实例Cont.交换机Aiko配置如下:Aiko#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Aiko(config)#vlan2Aiko(config-vlan)#nameSalesAiko(config-vlan)#vlan3Aiko(config-vlan)#nameTechAiko(config-vlan)#interfacef0/3Aiko(config-if)#switchportmodeaccessAiko(config-if)#switchportaccessvlan2Aiko(config-if)#noshutdownAiko(config-if)#interfacef0/5Aiko(config-if)#switchportmodeaccessAiko(config-if)#switchportaccessvlan3Aiko(config-if)#noshutdownAiko(config-if)#interfacef0/24Aiko(config-if)#switchporttrunkencapsulationdot1qAiko(config-if)#switchportmodetrunkAiko(config-if)#noshutdownAiko(config-if)#endAiko#上海海盾信息网络安全技术培训中心配置实例Cont.Asuqa#showvlanbriefVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/4,Fa0/5,Fa0/7Fa0/8,Fa0/9,Fa0/10,Fa0/11Fa0/12,Fa0/13,Fa0/14,Fa0/15Fa0/16,Fa0/17,Fa0/18,Fa0/19Fa0/20,Fa0/21,Fa0/22,Fa0/23,F0/24Gi0/1,Gi0/22SalesactiveFa0/23TechactiveFa0/31002fddi-defaultact/unsup1003token-ring-defaultact/unsup1004fddinet-defaultact/unsup1005trnet-defaultact/unsupAsuqa#上海海盾信息网络安全技术培训中心配置实例Cont.Aiko#showvlanbriefVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/4,Fa0/6Fa0/7,Fa0/8,Fa0/9,Fa0/10Fa0/11,Fa0/12,Fa0/13,Fa0/14Fa0/15,Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21,Fa0/22Fa0/23,Gi0/1,Gi0/22SalesactiveFa0/33TechactiveFa0/51002fddi-defaultact