A模块 系统与网络安全 第四门课 弹性交换网络-3

今日目标

01 利用VLANIF虚接口实现VLAN间通信

02 掌握VLAN聚合原理及配置

03 理解端口隔离的场景和原理


1 VLAN间通信

1.1 VLANIF虚接口

  • 三层交换机
    √ 具备路由功能的交换机,称之为三层交换机或多层交换机
  • VLAN间通信解决方案:VLANIF虚接口
  • VLANIF虚接口
    √每个VLAN都对应一个VLANIF接口
    √VLANIF接口是一种三层虚拟接口,可以实现VLAN间的三层互通
    √给每个VLAN需要配置一个VLANIF虚接口,配置接口IP地址,作为VLAN内主机的网关地址
    √VLANIF接口不占用额外的物理端口资源,节约成本
    √通常在三层交换机上配置VLANIF接口,来实现VLAN间通信
  • 三层交换机VLAN间通信的转发过程

1.2 VLANIF虚接口配置

√在三层交换机上创建VLAN

√为每个VLAN创建网关接口-VLANIF

√为每个VLANIF配置网关IP地址

√如有需要,还须在三层交换机上配置路由

  • 要求实现不同VLAN间互通
    √创建VLAN、接口加入VLAN
    √配置VLANIF虚接口IP地址
  • 创建VLAN、接口加入VLAN
bash 复制代码
[SW1]vlan batch 2 3
[SW1]interface go/0/1
[SW1-G0/0/1]port link-type access
[SW1-G0/0/1]port default vlan 1
[SW1]interface go/0/2
[SW1-G0/0/2]port link-type access
[SW1-G0/0/2]port default vlan 2
[SW1]interface go/0/3
[SW1-G0/0/3]port link-type access
[SW1-G0/0/3]port default vlan 3
  • 配置VLANIF虚接口IP-网关地址
bash 复制代码
[SW1]interface Vlanif 1
[SW1-Vlanif1]ip address 192.168.1.254 24
[SW1]interface Vlanif 2
[SW1-Vlanif2]ip address 192.168.2.254 24
[SW1]interface Vlanif 3
[SW1-Vlanif3]ip address 192.168.3.254 24

√不同VLAN内的主机通过直连路由互连互通

VLAN间通信之配置VLANIF虚接口

  • 每个VLAN的网关1P地址为192.168.x.254/24,实现所有PC互通

2 VLAN聚合原理及配置

2.1 VLAN聚合基本概念

  • VLAN聚合(VLAN Aggregation,也称Super VLAN)
    √指在一个物理网络内,用多个VLAN(称为Sub-VLAN)隔离广播域
    √这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN)
    √这些Sub-VLAN使用同一个IP子网和缺省网关,可以节约P地址资源
  • Super VLAN:超级VLAN
  • Sub-VLAN:子VLAN

2.2 多VLAN中IP地址浪费问题

  • VLAN越多,IP地址浪费越多
    √一个VLAN中,网络号、广播地址、网关地址都不能分配给主机使用
    √且一个VLAN中实际主机数量过少,也要分配一个单独的网段

2.3 VLAN聚合作用

  • 在多VLAN的网络环境中,节省IP地址
    √每个Sub-VLAN对应一个广播域,多个Sub-VLAN和一个Super-VLAN关联,只给Super-VLAN分配一个IP网段,所有Sub-VLAN都使用Super-VLAN的IP网段进行三层通信,从而节省P地址

2.4 Sub-VLAN

√只包含物理接口,不能建立三层VLANIF接口

√Sub-VLAN用于隔离广播域

√每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的

2.5 Super-VLAN

√Super-VLAN只建立三层VLANIF接口,不包含物理接口,与网关对应

√一个Super--VLAN可以包含一个或多个Sub-VLAN

√Sub-VLAN不再占用一个独立的子网网段

√在同一个Super-VLAN中,无论主机属于哪一个Sub-VLAN,它的P地址都在Super-VLAN对应的网段内

2.6 Sub-VLAN之间的通信存在问题

√普通VLAN中,不同VLAN内的主机可以通过各自不同网关进行三层互通

√但是Super-VLAN中,所有Sub-VLAN内的主机使用的是同一个网段的地址,共用同一个网关地址,主机只会做二层转发,而不会送网关进行三层转发

√不同Sub-VLAN的主机,在二层是相互隔离的,这就造成了Sub-VLAN间无法通信的问题

2.7 Sub-VLAN之间的通信解决方案

  • 解决这一问题的方法就是使用Proxy ARP
  • Proxy ARP
    √如果ARP请求是从一个网络的主机发往同一网段但不在同一VLAN(同一广播域)内的另一台主机,那么连接这两个网络的设备就可以回答该ARP请求,这个过程称作ARP代理
    (Proxy ARP)
    √VLAN间Proxy ARP:两台主机处于相同网段,但属于不同VLAN

3 VLAN聚合配置

VLAN聚合配置思路

  • 配置思路
    √创建Sub-VLAN
    √配置端口模式
    √端口加入VLAN
    √创建Super-VLAN
    √将Sub-VLAN加入Super-VLAN
    √配置Super-VLAN的VLANIF接口
    √Super-VLAN下配置Proxy ARP
    √验证设备之间的互通性

Sub-VLAN配置

  • VLAN角色类型
    √Sub-VLAN
    √Super-VLAN
  • Sub-VLAN配置
bash 复制代码
#
vlan 2    //创建valn2
#
interface Etherneto/0/1    //进入接口
port link-type access      //配置接口链路类型
port default vlan 2         //接口加入sub-vlan

Super-VLAN配置

bash 复制代码
#
vlan 10            //创建valn10
aggregate-vlan    //配置vlan10为Super-VLAN
access-vlan 2     //将Sub-VLAN加入Super-VLAN
                  //备注:Sub-VLAN不能创建VLANIF接口
#
interface Vlanif10
ip address192.168.10.254255.255.255.0
arp-proxy inter-sub-vlan-proxy enable     //Super--VLAN下开启Proxy ARP

课堂练习

VLAN聚合

  • 需求描述
    √公司拥有多个部门且位于同一网段,为了提升业务安全性,将不同部门的用户划分到不同
    VLAN中,VLAN2和VLAN3和VLAN4属于不同部门
    √各部门各VLAN内部的主机要和R1互通
    √同时由于业务需要,不同的VLAN间的主机也需要互通
  • 配置思路
    √在SWB/C/D上创建VLAN,将端口加入VLAN,并且透传VLAN到SWA
    √在SWA上配置Super-VLAN,并配置VLANIF:接口
    √在SWA上启用Super-VLAN的Proxy ARP功能

4端口隔离原理与配置

端口隔离概述

  • 实现报文之间的2层隔离,除了使用VLAN技术以后,还可以使用端口隔离技术
  • 采用该技术后,属于同一个VLAN内的端口所连接的设备也可以实现通信的隔离
  • 端口隔离为用户提供了更加安全、更加灵活的组网方案

端口隔离应用场景

端口隔离基本概念

端口隔离配置实现

端口隔离

  • 需求描述
    √PC1/2/3/4都属于同一个VLAN100
    √1P地址所在网段为192.168.100.0/24,网关地址为192.168.100.254
    √PC1/2不能互访,但是都可以访问PC3/4
    √同时,所有的PC都可以访问Server1
相关推荐
安当加密2 小时前
基于PostgreSQL的TDE透明加密解决方案:构建数据全生命周期的国密合规安全体系
安全·postgresql·区块链
源文雨4 小时前
MacOS 下 Warp ping 局域网设备报错 ping: sendto: No route to host 的解决方法
运维·网络协议·安全·macos·网络安全·ping
艾菜籽4 小时前
网络原理-HTTP补充2
网络·网络协议·http
周某人姓周4 小时前
安全初级(二)HTTP
网络协议·安全·http
Hello.Reader5 小时前
在运行中的 Kafka 集群渐进式启用安全零停机实战手册(KRaft/Broker 通用)
分布式·安全·kafka
Nimsolax6 小时前
Linux网络应用层自定义协议与序列化
linux·网络
国科安芯8 小时前
关于软错误的常见问题解答
单片机·嵌入式硬件·安全·硬件架构·软件工程
liulilittle9 小时前
macOS 内核路由表操作:直接 API 编程指南
网络·c++·macos·策略模式·路由·route·通信
小红帽6159 小时前
使用burp工具的intruder模块进行密码爆破
网络·安全·html