端口安全技术-学习课件.pptxVIP

Oracle·WDPe·WDP 端口安全技术 Oracle 高校大数据课程系列 本 课 目 标 VLAN概述 VLAN配置 端口安全，端口聚合、包过滤 VLAN配置 ACL、包过滤 VLAN概述 交换机工作原理 E0: 00-D0-F8-00-11-11 E1: 00-D0-F8-00-22-22 E2: 00-D0-F8-00-33-33 E3: 00-D0-F8-00-44-44 MAC地址表 E0 E1 E2 E3 主机A： 00-D0-F8-00-11-11 主机B： 00-D0-F8-00-22-22 主机C： 00-D0-F8-00-33-33 主机D： 00-D0-F8-00-44-44 单播帧依据MAC地址表进行转发/过滤 广播、组播帧洪泛 广播域 所有连续的二层交换机组成一个广播域 广播数据在广播域中洪泛，占用网络带宽，降低设备性能，导致安全隐患。 PC1 PC2 PC3 PC4 广播帧 用路由器隔离广播域 二层交换机 路由器能够隔离广播，减小广播域范围。 缺点是成本太高 路由器 PCA PCB PCC PCD 广播帧 二层交换机 用VLAN隔离广播域 Virtual Local Area Network 虚拟局域网 在交换机上创建的小的逻辑LAN 每个VLAN是一个广播域 VLAN 10 VLAN 20 PC1 PC2 PC3 PC4 VLAN 10 VLAN 20 VLAN的作用 PCA PCB PCC PCD 技术部 销售部 减小广播域 增强安全性 灵活构建虚拟局域网 802.1.Q帧 在标准以太网帧头部增加TAG字段 标记协议标识（TPID） 固定值0x8100,表示该帧载有802.1Q标记信息 标记控制信息（TCI） VLAN ID：12比特，表示VID，可用范围1－4094 Priority：3比特，表示优先级 Canonical format indicator：1比特，表示总线型以太网、FDDI、令牌环网 单交换机vlan标签操作 PCA PCB PCC PCD 不带VLAN标签的 以太网帧 PC端发出的数据包是不带vlan标签的 在进入交换机端口时，附加缺省VLAN标签 出交换机端口时，去掉VLAN标签 Tag=20 Tag=10 VLAN 20 VLAN 20 VLAN 10 VLAN 10 ACCESS Access 一般用于连接用户终端，承载标准的以太网帧，只能关联一个VLAN 只允许缺省VLAN通过，仅接收和发送一个VLAN的数据帧 PCA PCB PCC PCD Access端口 Tag=20 Tag=10 TRUNK Trunk 一般用于交换机互联，承载802.1Q帧 允许多个VLAN通过，可以接收和发送多个VLAN的数据帧 PCA PCB PCC PCD Trunk端口 PVID:20 Trunk端口 PVID:20 Tag=10 E1/0/1 E1/0/2 E1/0/1 E1/0/2 E1/0/24 E1/0/24 SWA SWB VLAN间路由 VLAN间用户存在互访需求 在二层交换机上不同VLAN的用户不能互相通信 VLAN间路由 将VLAN和IP子网关联，把VLAN间通信转换为不同子网间通信 同一个VLAN的用户具有相同的IP子网,不同VLAN用户IP子网不同 用户的网关指向路由设备 网关上有VLAN信息 路由设备可以是三层交换机或者单臂路由器 不适当的VLAN间路由 路由器与每个VLAN建立一条物理连接，浪费大量的端口 三层交换机实现VLAN间路由 三层交换以内置的三层路由转发引擎执行VLAN间路由功能 单臂路由实现VLAN间路由 路由器的下联口为每个VLAN创建一个子接口 子接口封装协议是802.1Q，并指定对应的VLAN 每个子接口配置IP地址，作为对应VLAN内主机的网关 VLAN配置 ACL、包过滤 VLAN概述 创建和查看VLAN 创建VLAN Switch(config)#vlan vlan-id 命名VLAN Switch(config-vlan)#name vlan-name C. 查看VLAN Switch# show vlan 设置ACCESS VLAN1 进入端口配置模式 Swtich(config)#interface fastethernet0/20 将端口模式设置为接入端口 Switch(config-if)#switchport mode access 将端口添加到特定VLAN Switch(config-if)#switchport access vlan vlan-id 设置ACCESS VLAN2 进入到一组需要添加到VLAN的端口中 Swtich(config)#interface range