項目三網(wǎng)絡(luò)廣播風(fēng)暴的隔離與控制紹興職業(yè)技術(shù)學(xué)院史振華教學(xué)目標(biāo)了解廣播域概念；熟悉VLAN概念、優(yōu)點及劃分方式；理解VLAN技術(shù)的工作原理；掌握交換機(jī)VLAN的配置方法；掌握將端口加入到VLAN方法；掌握在多臺交換機(jī)上實現(xiàn)相同VLAN內(nèi)主機(jī)間進(jìn)行通信的方法。3.1項目內(nèi)容

某企業(yè)分為行政、財務(wù)、人事、物流等部門，這些部門通過多臺交換機(jī)及其相應(yīng)的線路連接到網(wǎng)絡(luò)中心，與網(wǎng)絡(luò)中心的服務(wù)器子網(wǎng)組成了一個企業(yè)局域網(wǎng)。其中，服務(wù)器子網(wǎng)由企業(yè)采用的各種服務(wù)器，如郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器、ERP服務(wù)器等組成。由于網(wǎng)絡(luò)病毒或者網(wǎng)絡(luò)設(shè)計等原因，難免會產(chǎn)生很多不必要的廣播數(shù)據(jù)流量，導(dǎo)致在企業(yè)網(wǎng)絡(luò)中有可能出現(xiàn)廣播風(fēng)暴。廣播風(fēng)暴會消耗掉寶貴的網(wǎng)絡(luò)帶寬，降低網(wǎng)絡(luò)的性能。網(wǎng)絡(luò)管理員希望，如果某個部門里有電腦中了毒，產(chǎn)生了廣播風(fēng)暴，則其只影響該部門所在的網(wǎng)絡(luò)，而不會影響到其他部門用戶的正常工作，即人事部門網(wǎng)絡(luò)中產(chǎn)生的廣播風(fēng)暴不會蔓延到行政、財務(wù)、物流的網(wǎng)絡(luò)中去。同時，能保證同一部門主機(jī)之間能夠相互訪問，不同部門主機(jī)之間不能隨意相互訪問。本項目的內(nèi)容是通過對多臺具有VLAN功能的交換機(jī)，在參數(shù)上進(jìn)行一系列的技術(shù)配置來實現(xiàn)對網(wǎng)絡(luò)廣播風(fēng)暴的隔離與控制。3.2相關(guān)知識要實現(xiàn)“同一部門主機(jī)之間能夠相互訪問，不同部門主機(jī)之間不能隨意相互訪問”，以控制網(wǎng)絡(luò)內(nèi)廣播風(fēng)暴發(fā)生這一功能要求，需要用到虛擬局域網(wǎng)（VLAN）配置的相關(guān)技術(shù)。為了便于掌握和理解具體的配置操作步驟，需要先了解與熟悉虛擬局域網(wǎng)（VLAN）概念、VLAN優(yōu)點、VLAN劃分方式、VLANTrunk協(xié)議、配置VLAN的命令等知識。3.2.1VLAN概念虛擬局域網(wǎng)（VirtualLocalAreaNetwork）通常簡稱為VLAN，它是將由多臺支持VLAN功能交換機(jī)構(gòu)成的局域網(wǎng)在邏輯上劃分為多個獨立的網(wǎng)段，從而實現(xiàn)虛擬工作組的一種交換技術(shù)。3.2.1VLAN概念交換局域網(wǎng)內(nèi)主機(jī)的通信有時需要采用廣播方式，比如在主機(jī)啟動后網(wǎng)絡(luò)參數(shù)初始化過程中需通過廣播方式獲取本機(jī)IP參數(shù)、或?qū)ふ夷康闹鳈C(jī)MAC地址時都會采用廣播方式發(fā)送數(shù)據(jù)。此外，不少網(wǎng)絡(luò)病毒，如ARP病毒也會采用廣播方式發(fā)送大量的垃圾數(shù)據(jù)。廣播方式是指一臺主機(jī)同時向網(wǎng)段中所有的其它計算機(jī)發(fā)送信息，廣播方式會占用大量的資源。廣播域是指廣播能夠到達(dá)的范圍。集線器或交換機(jī)所構(gòu)成的一個物理局域網(wǎng)，整個網(wǎng)絡(luò)屬于同一個廣播域，集線器、網(wǎng)橋和交換機(jī)設(shè)備都會轉(zhuǎn)發(fā)廣播幀，因此任何一個廣播幀或多播幀都將被廣播到整個局域網(wǎng)中的每一臺主機(jī)。3.2.1VLAN概念在網(wǎng)絡(luò)通訊中廣播信息普遍存在，這些廣播將占用大量的網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)速度和通訊效率的下降，并額外增加了網(wǎng)絡(luò)主機(jī)為處理廣播信息所產(chǎn)生的負(fù)荷。當(dāng)廣播充斥網(wǎng)絡(luò)且無法處理，并占用大量網(wǎng)絡(luò)帶寬，導(dǎo)致正常業(yè)務(wù)不能運(yùn)行，甚至徹底癱瘓，這就發(fā)生了“廣播風(fēng)暴”。當(dāng)一個局域網(wǎng)的規(guī)模增大、所連主機(jī)數(shù)量增大時，發(fā)生“廣播風(fēng)暴”的可能性會增加，且危害性會更大。3.2.1VLAN概念通過在交換機(jī)上劃分VLAN，可將一個大的局域網(wǎng)劃分成若干個網(wǎng)段，一個VLAN就是一個網(wǎng)段，每個網(wǎng)段內(nèi)所有主機(jī)間的通訊和廣播僅限于該VLAN內(nèi)，廣播幀不會被轉(zhuǎn)發(fā)到其他網(wǎng)段，即一個VLAN就是一個廣播域，VLAN間是不能進(jìn)行直接通信的，從而就實現(xiàn)了對廣播域的分割和隔離，控制廣播風(fēng)暴的產(chǎn)生。3.2.2VLAN的優(yōu)點

1、控制廣播風(fēng)暴：一個VLAN就是一個邏輯廣播域，通過對VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。

2、提高網(wǎng)絡(luò)整體安全性：通過訪問控制列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。3.2.2VLAN的優(yōu)點3、網(wǎng)絡(luò)管理簡單、直觀：對于交換式以太網(wǎng)，如果對某些用戶重新進(jìn)行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，一個VLAN可以根據(jù)部門職能、對象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動。利用VLAN技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。3.2.3VLAN的劃分方法

1、根據(jù)端口來劃分VLAN這種劃分是把一個或多個交換機(jī)上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。默認(rèn)狀態(tài)下，所有端口都屬于VLAN1。

2、根據(jù)MAC地址劃分VLAN這種劃分VLAN的方法是根據(jù)每個主機(jī)的MAC地址來劃分，即對每個MAC地址的主機(jī)都配置它屬于哪個組。這種劃分VLAN方法的最大優(yōu)點就是當(dāng)用戶物理位置移動時，即從一個交換機(jī)換到其他的交換機(jī)時，VLAN不用重新配置，所以可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN。這種方法的缺點是初始化時，所有的用戶都必須進(jìn)行配置，若有幾百個甚至上千個用戶，配置將十分困難。3.2.3VLAN的劃分方法

3、根據(jù)網(wǎng)絡(luò)層劃分VLAN這種劃分VLAN的方法是根據(jù)每個主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。這種方法的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要，這種方法不需要附加的幀標(biāo)簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點是效率低，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時間的(相對于前面兩種方法)，一般的交換機(jī)芯片都可以自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時也更費(fèi)時。3.2.4VLANTrunk技術(shù)通常在企業(yè)的實際應(yīng)用中，往往不止使用一臺交換機(jī)，而是由多臺交換機(jī)共同作用，每臺交互機(jī)上都劃分VLAN，而這些VLAN可能在多個交換機(jī)上時重復(fù)的，如圖所示，兩臺二層交換機(jī)分布在不同的樓層中，交換機(jī)上劃分有相同的VLAN。為了讓連接在不同交換機(jī)上的相同VLAN的主機(jī)相互通信，就需要使用VLANTrunk協(xié)議。3.2.4VLANTrunk技術(shù)VLANTrunk(虛擬局域網(wǎng)中繼技術(shù))，它的作用是讓連接在不同交換機(jī)上的相同VLAN中的主機(jī)互通。交換機(jī)的端口按用途就分為Access端口和Trunk端口兩種。Access端口通常用于連接客戶PC機(jī)，以提供網(wǎng)絡(luò)接入服務(wù)。該種端口只屬于某一個VLAN，并且僅向該VLAN發(fā)送或接收數(shù)據(jù)幀。Trunk端口通常用于交換機(jī)級聯(lián)端口，它屬于所有VLAN共有，承載所有VLAN在交換機(jī)間的通訊流量。3.2.4VLANTrunk技術(shù)把兩臺交換機(jī)的級聯(lián)端口設(shè)置為Trunk端口，當(dāng)交換機(jī)把數(shù)據(jù)幀從級聯(lián)口發(fā)出去的時候，會在數(shù)據(jù)包中做一個標(biāo)記（TAG），以使其它交換機(jī)識別該數(shù)據(jù)幀屬于哪一個VLAN，這樣，其它交換機(jī)收到這樣一個數(shù)據(jù)幀后，只會將該數(shù)據(jù)幀轉(zhuǎn)發(fā)到標(biāo)記中指定的VLAN，從而完成了跨越交換機(jī)的VLAN內(nèi)部數(shù)據(jù)傳輸。3.2.4VLANTrunk技術(shù)目前交換機(jī)支持的封裝協(xié)議有IEEE802.1Q和ISL。其中IEEE802.1Q是經(jīng)過IEEE認(rèn)證的對數(shù)據(jù)幀附加VLAN識別信息的協(xié)議，屬于國際標(biāo)準(zhǔn)協(xié)議，適用于各個廠商生產(chǎn)的交換機(jī)，該協(xié)議通常也簡稱為dot1q。3.2.4VLANTrunk技術(shù)ISL是InterSwitchLink的縮寫，是Cisco系列交換機(jī)支持的一種與IEEE802.1Q類似的，用于在匯聚鏈路上附加VLAN信息的協(xié)議，可用于以太網(wǎng)和令牌環(huán)網(wǎng)。ISL對數(shù)據(jù)幀進(jìn)行封裝時，采取在數(shù)據(jù)幀的頭部附加26字節(jié)的ISL包頭（ISLHeader），并且在數(shù)據(jù)幀的尾部帶上對包括ISL包頭在內(nèi)的整個數(shù)據(jù)幀進(jìn)行計算后得到的4字節(jié)的CRC值，即ISL協(xié)議保留數(shù)據(jù)幀原來的CRC，然后再附加上一個新的CRC，即封裝時總共增加了30個字節(jié)的信息。當(dāng)數(shù)據(jù)幀離開匯聚鏈路時，ISL只需簡單地去除ISL包頭和新CRC就可以了，由于數(shù)據(jù)幀原來的CRC被完整保留，因此無需重新計算。ISL與IEEE802.1Q協(xié)議互不兼容，ISL是Cisco獨有的協(xié)議，只能用于Cisco網(wǎng)絡(luò)設(shè)備之間的互聯(lián)。3.2.5用于配置VLAN的相關(guān)命令1、創(chuàng)建一個VLAN的命令及其操作順序①Switch(config)#vlan

vlan-id//輸入一個VLAN號并進(jìn)入到VLAN配置狀態(tài)②Switch(config-vlan)#namevlan-name//為VLAN取一個名字，這是一個可選命令③Switch(config-vlan)#end//退回到特權(quán)模式④Switch#showvlan//查看vlan配置操作示例：創(chuàng)建一個VLAN，其編號為10，將它命名為test。Switch#configureterminalSwitch(config)#vlan10Switch(config-vlan)#nametestSwitch(config-vlan)#endSwitch#showvlan3.2.5用于配置VLAN的相關(guān)命令2、刪除一個VLAN的命令①Switch(config)#no

vlan

vlan-id//刪除一個VLAN②Switch(config)#end//退回到特權(quán)模式③Switch#showvlan//查看vlan配置操作示例：刪除上一個示例所創(chuàng)建的VLAN10。Switch#configureterminalSwitch(config)#no

vlan10Switch(config)#end

Switch#showvlan3.2.5用于配置VLAN的相關(guān)命令3、將端口加入到VLAN中命令①Switch#configureterminal//從特權(quán)模式進(jìn)入到全局配置模式②Switch(config)#interfacetypenumber//進(jìn)入到要加入到VLAN的端口中③Switch(config-if)#switchportmodeaccess//將端口模式設(shè)置為access④Switch(config-if)#switchportaccessvlan

vlan-id//把端口分配給某一個VLAN中⑤Switch(config-if)#end//退回到特權(quán)模式⑥Switch#showvlan//查看vlan配置操作示例：將交換機(jī)F0/10端口加入VLAN10中。Switch#configureterminalSwitch(config)#interfacef0/10Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#endSwitch#showvlan3.2.5用于配置VLAN的相關(guān)命令4、將端口模式設(shè)置為Trunk的命令①Switch#configureterminal//從特權(quán)模式進(jìn)入到全局配置模式②Switch(config)#interfacetypenumber//進(jìn)入到要設(shè)置Trunk的端口中③Switch(config-if)#switchportmodetrunk//將端口模式設(shè)置為Trunk④Switch(config-if)#end//退回到特權(quán)模式操作示例：兩臺交換機(jī)劃分有多個VLAN，使用F0/24端口相連，請把F0/24配成Trunk口Switch#configureterminalSwitch(config)#interfacef0/24Switch(config-if)#switchportmodetrunkSwitch(config-if)#end3.3工作任務(wù)示例若你是某公司里的網(wǎng)絡(luò)管理員，公司有兩幢辦公樓，每幢辦公樓里有一臺可設(shè)置的交換機(jī)，第一幢樓里的交換機(jī)名為SwitchA，第二幢樓里的交換機(jī)名為SwitchB。公司現(xiàn)有兩個主要部門：經(jīng)理部和人事部，經(jīng)理部門位于第一幢辦公樓里，人事部門分散在兩幢辦公樓里。經(jīng)理部的計算機(jī)PC1連接在SwitchA的F0/10端口并屬于VLAN10，人事部門的計算機(jī)PC2和PC3分別連接在SwitchA的F0/20端口和SwitchB的F0/20端口屬于VLAN20，兩臺交換機(jī)使用F0/24端口相連。公司領(lǐng)導(dǎo)要求人事部門的計算機(jī)PC2和PC3能夠相互訪問，經(jīng)理部門的PC1不能與人事部門的PC2和PC3相互訪問，請你在交換機(jī)上做適當(dāng)配置來滿足上述要求。3.3工作任務(wù)示例具體配置步驟步驟1.在交換機(jī)SwitchA上創(chuàng)建Vlan10，并將F0/10端口加入到Vlan10中。Switch#configureterminalSwitch(config)#hostname

SwitchASwitchA(config)#vlan10SwitchA(config-vlan)#namemanagersSwitchA(config-vlan)#exitSwitchA(config)#interfacefastethernet0/10SwitchA(config-if)#switchportmodeaccessSwitchA(config-if)#switchportaccessvlan10SwitchA(config-if)#end具體配置步驟驗證測試：驗證已創(chuàng)建了Vlan10，并將F0/10端口已劃分到Vlan10中。SwitchA#show

vlanid10VLANNameStatusPorts-------------------------------------------------------------------10managersactiveFa0/10具體配置步驟步驟2.在交換機(jī)SwitchA

上創(chuàng)建Vlan20，并將F0/20端口劃分到Vlan20中。SwitchA#configureterminalSwitchA(config)#vlan20SwitchA(config-vlan)#nameemployeesSwitchA(config-vlan)#exitSwitchA(config)#interfacefastethernet0/20SwitchA(config-if)#switchportmodeaccessSwitchA(config-if)#switchportaccessvlan20SwitchA(config-if)#end具體配置步驟驗證測試：驗證已創(chuàng)建了Vlan20，并將F0/20端口已劃分到Vlan20中。SwitchA#showvlan

VLANNameStatusPorts---------------------------------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19Fa0/21,Fa0/22,Fa0/23Fa0/2410managersactiveFa0/1020employeesactiveFa0/20具體配置步驟步驟3.把交換機(jī)SwitchA

與交換機(jī)SwitchB相連的端口F0/24設(shè)置為為Trunk模式。SwitchA(config)#interfacefastethernet0/24SwitchA(config-if)#switchportmodetrunkSwitchA(config-if)#end驗證測試：驗證F0/24端口已被設(shè)置為Trunk模式。SwitchA#showinterfacesfastEthernet0/24switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists---------------------------------------------------------------------------------------Fa0/24EnabledTrunk11DisabledAll具體配置步驟步驟4.在交換機(jī)SwitchB

上創(chuàng)建Vlan20，并將F0/20端口劃分到Vlan20中。Switch#configureterminalSwitch(config)#hostname

SwitchB

SwitchB(config)#vlan20SwitchB(config-vlan)#nameemployeesSwitchB(config-vlan)#exitSwitchB(config)#interface

fastethernet0/20SwitchB(config-if)#switchportmodeaccessSwitchB(config-if)#switchportaccessvlan20SwitchB(config-if)#end具體配置步驟驗證測試：驗證已創(chuàng)建了Vlan20，并將F0/20端口已劃分到Vlan20中。SwitchB#showvlanid20VLANNameStatusPorts-----------------------------------------------------------20employeesactiveFa0/20具體配置步驟步驟5.把交換機(jī)SwitchB與交換機(jī)SwitchA相連的端口F0/24設(shè)置為Trunk模式。SwitchB#configureterminalSwitchB(config)#interface

fastethernet0/24SwitchB(config-if)#switchportmodetrunkSwitchB(config-if)#end驗證測試：驗證F0/24端口已被設(shè)置為Trunk模式。SwitchB#showinterfacesfastEthernet0/24switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists-------------------------------------------------------------------------------------Fa0/24EnabledTrunk

11DisabledAll具體配置步驟步驟6.驗證P