项目八、部门间网络的安全隔离.ppt

项目八：部门间网络的安全隔离 　　教学目标：VLAN（Virtual LAN，虚拟局域网）和VTP（VLAN Trunking Protocol，VLAN链路聚集协议）是多层交换网络的重要特性，通过在多层交换网络中实施这些特性，可以提高整个网络的性能、可扩展性、安全性和可用性。具体来将主要包括以下几方面的知识： （1）VLAN的概念； （2）VLAN的优点； （3）VLAN中的广播域； （4）VLAN的组网方法； （5）静态VLAN配置； （6）VLAN干线技术； （7）VLAN干线配置 ； （8）VTP概念； （9）VTP配置。 当VLAN成员分布在多台交换机的端口上时，VLAN内的主机彼此间应如何自由通信呢？最简单的解决方法是在交换机1和交换机2上各拿出一个端口，用于将两台交换机级联起来，专门用于提供该VLAN内的主机跨交换机相互通信。如图15.2所示。 VLAN2 VLAN3 A C B D 交换机1 交换机2 图15.2 VLAN内的主机跨交换机的通信 VLAN2 VLAN3 这种方法虽然解决了VLAN内主机间的跨交换机通信，但每增加一个VLAN，就需 要在交换机间添加一条互联链路，并且还要额外占用交换机端口，扩展性和管理效率都很差。 为了避免这种低效率的连接方式和对交换机端口的浪费占用，人们想办法让交换机间的互联链路汇聚到一条链路上让该链路允许各个VLAN的通信流经过，这样就可解决对交换机端口的额外占用，这条用于实现各VLAN在交换机间通信的链路，称为交换机的汇聚链接（Trunk Link）或主干链路，如图15.3所示。用于提供汇聚链路的端口称为汇聚端口。由于汇聚端口通信流量大，一般只有100Mbps或以上的端口才能作为汇聚端口使用。 VLAN2 VLAN3 A C B D 交换机1 交换机2 图15.3 VLAN内的主机跨交换机的通信 Trunk Link 15.2.2 VLAN干线技术 一个干线是网络中两台交换机之间的物理和逻辑关联，如图15.3所示。在一个交换网络中，一个干线是一个点到点的连接，它能支持多个VLAN。如图15.3所示。干线的目的是当两个设备实施VLAN时，可以节约端口。 干线连接是交换机之间以及交换机与路由器之间的一个导管，不属于一个具体的VLAN。如图15.4所示. 图15.4 VLAN干线可以使多路的VLAN数据被承载在一条单独的链路上 ? VLAN1 ? VLAN2 ? VLAN3 ISL干线 ISL是Cisco公司私有的协议，当有数据在多个交换机间流动的时候，它控制VLAN信息并且使这些交换机互联起来。 ISL在每个原始以太数据帧头附加一个26字节的ISL帧头，如图15.5所示，同时为新的数据帧产生一个4字节的CRC附加在帧的末尾。在26字节的头部包含有一个15个比特位长的VLAN ID字段，该字段中的值就是被封装数据所属的VLAN号。这样交换机就能识别属于不同VLAN的数据流。但主机（网卡）不识别这样的数据帧，所以，当交换机把数据传递给主机之前需要将ISL封装剥去。 ISL Header 26bytes Encapsulated Ethernet Frame 图15.5 ISL帧格式 CRC 4 bytes 目的地址Port） 长度／类型 长度／类型＝802.1Q标记类型 用户优先级 2字节 图15.6 虚拟局域网以太网帧格式 数据 802.3 MAC帧 源地址Port） FCS 字节 6 6 4 2 46?1500 4 插入4字节的VLAN标记 标记控制信息 1 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 VLAN ID CFI 2字节 2. IEEE 802.1Q IEEE 802.1q标准定义了VLAN的以太网帧格式，在传统的以太网的帧格式中插入一个4字节的标识符，称为VLAN标记 ，也称为tag域，用来指明发送该帧的工作站属于哪一个VLAN。如图15.6所示。如果还使用传统的以太网帧格式，那么就无法划分VLAN。 15.2.3 VLAN数据帧的传输 发送给交换机时，为了让对端交换机能够知道数据帧的VLAN ID，它应该给从主机接收到的数据帧增加一个tag域后再发送，其数据帧传输过程中的变化如图15.7所示。 带有VLAN3标签的以太网帧 图15.7 VLAN数据帧的传输 VLAN2 VLAN3 VLAN3 VLAN2 带有VLAN2标签的以太网帧 不带有VLAN标签的以太网帧 根据交换机处理数据帧的不同，可以将交换机的端口分为