返回
项目八、部门间网络的安全隔离

项目八、部门间网络的安全隔离

ID:38822842

大小:599.81 KB

页数:85页

时间:2019-06-19

项目八、部门间网络的安全隔离_第1页
项目八、部门间网络的安全隔离_第2页
项目八、部门间网络的安全隔离_第3页
项目八、部门间网络的安全隔离_第4页
项目八、部门间网络的安全隔离_第5页
资源描述:

《项目八、部门间网络的安全隔离》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、项目八:部门间网络的安全隔离教学目标:VLAN(VirtualLAN,虚拟局域网)和VTP(VLANTrunkingProtocol,VLAN链路聚集协议)是多层交换网络的重要特性,通过在多层交换网络中实施这些特性,可以提高整个网络的性能、可扩展性、安全性和可用性。具体来将主要包括以下几方面的知识:(1)VLAN的概念;(2)VLAN的优点;(3)VLAN中的广播域;(4)VLAN的组网方法;(5)静态VLAN配置;(6)VLAN干线技术;(7)VLAN干线配置;(8)VTP概念;(9)VTP配置。任务1

2、4:单交换机上划分VLAN技术14.1工作任务你受聘于一家网络公司做网络工程师,现公司有一客户提出要求,该客户公司建立了一小型局域网,包含财务部、销售部和办公室三个部门,公司领导要求各部门内部主机有一些业务可以相互访问,但部门之间为了安全完全禁止互访。14.2相关知识为了在交换机进行VLAN配置,作为网络工程师,需要了解本工作任务所涉及的以下几方面知识:;■VLAN的概念;■VLAN的组网技术;■VLAN的配置。14.2.1虚拟局域网的概念连接到第2层交换机的主机和服务器处于同一个网段中。这会带来两个严重

3、的问题:■交换机会向所有端口泛洪广播,占用过多带宽。随着连接到交换机的设备不断增多,生成的广播流量也随之上升,浪费的带宽也更多。■连接到交换机的每台设备都能够与该交换机上的所有其它设备相互转发和接收帧。VLAN一般基于工作功能、部门或项目团队来逻辑地分割交换网络,而不管使用者在网络中的物理位置。同组内全部的工作站和服务器共享在同一VLAN,不管物理连接和位置在哪里。图14.1给出一个关于VLAN划分的示例。图14.1中使用了四个交换机的网络拓扑结构。有9个工作站分配在三个楼层中,构成了三个局域网,即:LA

4、N1:(A1,B1,C1),LAN2:(A2,B2,C2),LAN3:(A3,B3,C3)。VLAN1VLAN2VLAN2A2图14.1虚拟局域网VLAN的示例A1B3B2B1C1C2C3A3LAN3LAN2LAN1但这9个用户划分为三个工作组,也就是说划分为三个虚拟局域网VLAN。即:VLAN1:(A1,A2,A3),VLAN2:(B1,B2,B3),VLAN3:(C1,C2,C3)。14.2.2VLAN的优点采用VLAN后,在不增加设备投资的前提下,可在许多方面提高网络的性能,并简化网络的管理。具体表

5、现在:1.有利于优化网络性能通过将交换机划分到不同的VLAN中,一个VLAN的广播不会影响到其他VLAN的性能。即使是同一交换机上的两个相邻端口,只要它们不在同一VLAN中,则相互之间也不会渗透广播流量,也就是说一个VLAN构成一个独立的广播域。2.提高了网络的安全性通过将可以相互通信的网络结点放在一个VLAN内,或将受限制的应用和资源放在一个安全VLAN内,并提供基于应用类型、协议类型、访问权限等不同策略的访问控制表,就可以有效限制进入或离开VLAN的数据流;属于不同VLAN的主机,即便是在同一台交换机

6、上的用户主机,如果它们不在同一VLAN也不能通信。3.便于对网络进行管理和控制同一VLAN中的用户,可以连接在不同的交换机,并且可以位于不同的物理位置,如分布在不同的楼层或不同的楼宇,可以大大减少在网络中增加、删除或移动用户时的管理开销。4.提供了基于第二层的通信优先级服务在千兆位以太网中,基于与VLAN相关的IEEE802.1P标准可以在交换机上为不同的应用提供不同的服务如传输优先级等。14.2.3VLAN的组网方法VLAN的划分可以根据功能、部门或应用而无须考虑用户的物理位置。以太网交换机的每个端口都

7、可以分配给一个VLAN。分配在同一个VLAN的端口共享广播域(一个站点发送希望所有站点接收的广播信息,同一VLAN中的所有站点都可以听到),分配在不同VLAN的端口不共享广播域。虚拟局域网既可以在单台交换机中实现,也可以跨越多个交换机。从实现的机制或策略分,VLAN分为静态VLAN和动态VLAN两种。1.静态VLAN在静态VLAN中,由网络管理员根据交换机端口进行静态的VALN分配,当在交换机上将其某一个端口分配给一个VLAN时,其将一直保持不变直到网络管理员改变这种配置,所以又被称为基于端口的VLAN。

8、也就是根据以太网交换机的端口来划分广播域。也就是说,交换机某些端口连接的主机在一个广播域内,而另一些端口连接的主机在另一广播域,VLAN和端口连接的主机无关,如图14.2和表14.1所示。交换机图14.2基于端口的VLAN划分Port12345ABCDE端口VLANIDPort1VLAN2Potr2VLAN3Port3VLAN2Port4VLAN3Port5VLAN2表14-1VLAN映射简化表2.动态VLAN动态VLAN是指

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。