A模块 系统与网络安全 第四门课 弹性交换网络-3

今日目标

01 利用VLANIF虚接口实现VLAN间通信

02 掌握VLAN聚合原理及配置

03 理解端口隔离的场景和原理

1 VLAN间通信

1.1 VLANIF虚接口

• 三层交换机
  √ 具备路由功能的交换机，称之为三层交换机或多层交换机
  
• VLAN间通信解决方案：VLANIF虚接口
• VLANIF虚接口
  √每个VLAN都对应一个VLANIF接口
  √VLANIF接口是一种三层虚拟接口，可以实现VLAN间的三层互通
  √给每个VLAN需要配置一个VLANIF虚接口，配置接口IP地址，作为VLAN内主机的网关地址
  √VLANIF接口不占用额外的物理端口资源，节约成本
  √通常在三层交换机上配置VLANIF接口，来实现VLAN间通信
• 三层交换机VLAN间通信的转发过程
  

1.2 VLANIF虚接口配置

√在三层交换机上创建VLAN
√为每个VLAN创建网关接口-VLANIF
√为每个VLANIF配置网关IP地址
√如有需要，还须在三层交换机上配置路由

• 要求实现不同VLAN间互通
  √创建VLAN、接口加入VLAN
  √配置VLANIF虚接口IP地址
  
• 创建VLAN、接口加入VLAN

[SW1]vlan batch 2 3
[SW1]interface go/0/1
[SW1-G0/0/1]port link-type access
[SW1-G0/0/1]port default vlan 1
[SW1]interface go/0/2
[SW1-G0/0/2]port link-type access
[SW1-G0/0/2]port default vlan 2
[SW1]interface go/0/3
[SW1-G0/0/3]port link-type access
[SW1-G0/0/3]port default vlan 3

• 配置VLANIF虚接口IP-网关地址

[SW1]interface Vlanif 1
[SW1-Vlanif1]ip address 192.168.1.254 24
[SW1]interface Vlanif 2
[SW1-Vlanif2]ip address 192.168.2.254 24
[SW1]interface Vlanif 3
[SW1-Vlanif3]ip address 192.168.3.254 24

√不同VLAN内的主机通过直连路由互连互通

VLAN间通信之配置VLANIF虚接口

• 每个VLAN的网关1P地址为192.168.x.254/24,实现所有PC互通
  

2 VLAN聚合原理及配置

2.1 VLAN聚合基本概念

• VLAN聚合(VLAN Aggregation,也称Super VLAN)
  √指在一个物理网络内，用多个VLAN(称为Sub-VLAN)隔离广播域
  √这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN)
  √这些Sub-VLAN使用同一个IP子网和缺省网关，可以节约P地址资源
• Super VLAN:超级VLAN
• Sub-VLAN:子VLAN

2.2 多VLAN中IP地址浪费问题

• VLAN越多，IP地址浪费越多
  √一个VLAN中，网络号、广播地址、网关地址都不能分配给主机使用
  √且一个VLAN中实际主机数量过少，也要分配一个单独的网段
  

2.3 VLAN聚合作用

• 在多VLAN的网络环境中，节省IP地址
  √每个Sub-VLAN对应一个广播域，多个Sub-VLAN和一个Super-VLAN关联，只给Super-VLAN分配一个IP网段，所有Sub-VLAN都使用Super-VLAN的IP网段进行三层通信，从而节省P地址
  

2.4 Sub-VLAN

√只包含物理接口，不能建立三层VLANIF接口
√Sub-VLAN用于隔离广播域
√每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的

2.5 Super-VLAN

√Super-VLAN只建立三层VLANIF接口，不包含物理接口，与网关对应
√一个Super–VLAN可以包含一个或多个Sub-VLAN
√Sub-VLAN不再占用一个独立的子网网段
√在同一个Super-VLAN中，无论主机属于哪一个Sub-VLAN,它的P地址都在Super-VLAN对应的网段内

2.6 Sub-VLAN之间的通信存在问题

√普通VLAN中，不同VLAN内的主机可以通过各自不同网关进行三层互通
√但是Super-VLAN中，所有Sub-VLAN内的主机使用的是同一个网段的地址，共用同一个网关地址，主机只会做二层转发，而不会送网关进行三层转发
√不同Sub-VLAN的主机，在二层是相互隔离的，这就造成了Sub-VLAN间无法通信的问题

2.7 Sub-VLAN之间的通信解决方案

• 解决这一问题的方法就是使用Proxy ARP
• Proxy ARP
  √如果ARP请求是从一个网络的主机发往同一网段但不在同一VLAN(同一广播域)内的另一台主机，那么连接这两个网络的设备就可以回答该ARP请求，这个过程称作ARP代理
  (Proxy ARP)
  √VLAN间Proxy ARP:两台主机处于相同网段，但属于不同VLAN

3 VLAN聚合配置

VLAN聚合配置思路

• 配置思路
  √创建Sub-VLAN
  √配置端口模式
  √端口加入VLAN
  √创建Super-VLAN
  √将Sub-VLAN加入Super-VLAN
  √配置Super-VLAN的VLANIF接口
  √Super-VLAN下配置Proxy ARP
  √验证设备之间的互通性

Sub-VLAN配置

• VLAN角色类型
  √Sub-VLAN
  √Super-VLAN
• Sub-VLAN配置

#
vlan 2    //创建valn2
#
interface Etherneto/0/1    //进入接口
port link-type access      //配置接口链路类型
port default vlan 2         //接口加入sub-vlan

Super-VLAN配置

#
vlan 10            //创建valn10
aggregate-vlan    //配置vlan10为Super-VLAN
access-vlan 2     //将Sub-VLAN加入Super-VLAN//备注：Sub-VLAN不能创建VLANIF接口
#
interface Vlanif10
ip address192.168.10.254255.255.255.0
arp-proxy inter-sub-vlan-proxy enable     //Super--VLAN下开启Proxy ARP

课堂练习

VLAN聚合

• 需求描述
  √公司拥有多个部门且位于同一网段，为了提升业务安全性，将不同部门的用户划分到不同
  VLAN中，VLAN2和VLAN3和VLAN4属于不同部门
  √各部门各VLAN内部的主机要和R1互通
  √同时由于业务需要，不同的VLAN间的主机也需要互通
• 配置思路
  √在SWB/C/D上创建VLAN,将端口加入VLAN,并且透传VLAN到SWA
  √在SWA上配置Super-VLAN,并配置VLANIF:接口
  √在SWA上启用Super-VLAN的Proxy ARP功能
  

4端口隔离原理与配置

端口隔离概述

• 实现报文之间的2层隔离，除了使用VLAN技术以后，还可以使用端口隔离技术
• 采用该技术后，属于同一个VLAN内的端口所连接的设备也可以实现通信的隔离
• 端口隔离为用户提供了更加安全、更加灵活的组网方案

端口隔离应用场景

端口隔离基本概念

端口隔离配置实现

端口隔离

• 需求描述
  √PC1/2/3/4都属于同一个VLAN100
  √1P地址所在网段为192.168.100.0/24，网关地址为192.168.100.254
  √PC1/2不能互访，但是都可以访问PC3/4
  √同时，所有的PC都可以访问Server1