《《-网络互连技术与实训》-第3章二层安全控制技术ppt课件.ppt》由会员分享,可在线阅读,更多相关《《-网络互连技术与实训》-第3章二层安全控制技术ppt课件.ppt(94页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。第第 3 章章二层安全控制技术二层安全控制技术“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。VLANVLAN技术原理技术原理3.13.1VLANVLAN的分类及实现的分类及实现3.23.2VLANVLAN的扩展技术的扩展技术3.33.3端口接入控制端口接入控制3.43.4镜像技术镜像技术3.53.5“雪亮工程是以
2、区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 传统的局域网使用的是二层交换机代替传统的局域网使用的是二层交换机代替集线器(集线器(Hub),每个端口可以看成是一),每个端口可以看成是一根单独的总线,可以使冲突域缩小到每个根单独的总线,可以使冲突域缩小到每个端口,使得网络发送单播报文的效率大大端口,使得网络发送单播报文的效率大大提高,极大地提高了二层网络的性能。提高,极大地提高了二层网络的性能。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化
3、管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 但是网络中所有端口仍然处于同一个广但是网络中所有端口仍然处于同一个广播域,交换机在传递广播报文的时候依然播域,交换机在传递广播报文的时候依然要将广播报文复制多份,发送到网络的各要将广播报文复制多份,发送到网络的各个角落。个角落。 随着网络规模的扩大,网络中的广播报随着网络规模的扩大,网络中的广播报文越来越多,广播报文占用的网络资源越文越来越多,广播报文占用的网络资源越来越多,严重影响网络性能,这就是所谓来越多,严重影响网络性能,这就是所谓的广播风暴问题。的广播风暴问题。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中
4、心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 过去由于交换机的二层网络工作原理的过去由于交换机的二层网络工作原理的限制,交换机对广播风暴的问题无能为力。限制,交换机对广播风暴的问题无能为力。 为了提高网络的效率,一般需要将通过为了提高网络的效率,一般需要将通过路由器网络进行分段:把一个大的广播域划路由器网络进行分段:把一个大的广播域划分成几个小的广播域。分成几个小的广播域。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防
5、控工程”。 图图3.1中用路由器替换图中用路由器替换图3.2中的中心结中的中心结点交换机,使得广播报文的发点交换机,使得广播报文的发“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 送范围大大减小。送范围大大减小。 这种方案解决了广播风暴的问题,但是这种方案解决了广播风暴的问题,但是用路由器是在网络层上分段将网络隔
6、离,用路由器是在网络层上分段将网络隔离,网络规划复杂,组网方式不灵活,并且大网络规划复杂,组网方式不灵活,并且大大增加了管理维护的难度。大增加了管理维护的难度。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 作为替代的作为替代的LAN分段方法,虚拟局域网分段方法,虚拟局域网(VLAN)被引入到网络解决方案中来,)被引入到网络解决方案中来,用于解决大型的二层网络环境面临的问题。用于解决大型的二层网络环境面临的问题。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平
7、台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 虚拟局域网(虚拟局域网(Virtual Local Area Network,VLAN)逻辑上把网络资源和网)逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个络用户按照一定的原则进行划分,把一个物理上实际的网络划分成多个小的逻辑的物理上实际的网络划分成多个小的逻辑的网络。网络。 这些小的逻辑的网络形成各自的广播域,这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网也就是虚拟局域网VLAN。 “雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网
8、格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 VLAN与传统的与传统的LAN相比,具有以下优相比,具有以下优势。势。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 减少移动和改变的代价减少移动和改变的代价实现动态实现动态管理网络。管理网络。 虚拟工作组虚拟工作组使用使用VLAN的最终
9、目的最终目标就是建立虚拟工作组模型。标就是建立虚拟工作组模型。 “雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 它的主要特点集中表现在以下几个方面。它的主要特点集中表现在以下几个方面。 提高带宽的利用率提高带宽的利用率 增强通信的安全性增强通信的安全性 增强网络的健壮性增强网络的健壮性 提高网络管理效率提高网络管理效率 “雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控
10、工程”。 交换机在网络当中处于第二层设备,主交换机在网络当中处于第二层设备,主要功能就是数据帧的快速转发,交换机在要功能就是数据帧的快速转发,交换机在转发数据时,不同于集线器,它主要依据转发数据时,不同于集线器,它主要依据内部的转发表项来转发数据帧,那么这个内部的转发表项来转发数据帧,那么这个转发表就是转发表就是MAC地址表,如图地址表,如图3.3所示。所示。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综
11、治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 在上一章中已经详细说明了交换机的在上一章中已经详细说明了交换机的MAC地址表的形成过程。地址表的形成过程。 划分划分VLAN之后的交换机的数据转发流之后的交换机的数据转发流程发生了变化,因为此时交换机转发数据程发生了变化,因为此时交换机转发数据时参考的依据多了一项,即时参考的依据多了一项,即VID表如表表如表3.1所示。所示。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程
12、是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 VID表包含了表包含了VLAN编号和端口号的对编号和端口号的对应关系,当交换机再进行转发数据帧的时应关系,当交换机再进行转发数据帧的时候,它会优先检查目的候,它会优先检查目的MAC地址所对应的地址所对应的端口的端口的VID号和数据源所对应的端口的号和数据源所对应的端口的VID是否一致,如果一致则进行数据转发,是否一致,如果一致则进行数据转发,否则丢弃该数据帧。否则丢弃该数据帧。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥
13、平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 IEEE 802.1Q定义了以下内容。定义了以下内容。 VLAN的架构;的架构; VLAN中所提供的服务;中所提供的服务; VLAN实施中涉及的协议和算法实施中涉及的协议和算法“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 IEEE 802.1Q协议不仅规定协议不仅规定VLAN中的中的MAC帧的格式,而且还制定诸如帧发送及帧的格式,而且还制定诸如帧发送及校验、回路检测,对
14、业务质量(校验、回路检测,对业务质量(QoS)参)参数的支持以及对网管系统的支持等方面的数的支持以及对网管系统的支持等方面的标准。标准。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 传统的以太网数据帧(见图传统的以太网数据帧(见图3.4)在目的)在目的MAC地址和源地址和源MAC地址之后封装的是上地址之后封装的是上层协议的类型字段。层协议的类型字段。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控
15、联网应用为重点的“群众性治安防控工程”。 而而IEEE 802.1Q协议规定在目的协议规定在目的MAC地地址和源址和源MAC地址之后封装地址之后封装4个字节的个字节的VLAN标志(标志(Tag),用以标识),用以标识VLAN的相的相关信息,如图关信息,如图3.5所示。所示。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工
16、程”。 支持支持802.1Q的交换机端口类型一般分为的交换机端口类型一般分为Accesss、Trunk,思科、华为以及,思科、华为以及H3C等等厂商的交换机均是这样划分的,但对于其厂商的交换机均是这样划分的,但对于其他厂商的交换机叫法不同,如他厂商的交换机叫法不同,如D-LINK的的交换机的端口类型称之为交换机的端口类型称之为Untagged和和Tagged,对于,对于H3C的交换机它还增加了一的交换机它还增加了一个新的端口类型个新的端口类型Hybrid。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点
17、的“群众性治安防控工程”。 Access类型的端口只能属于一个类型的端口只能属于一个VLAN,一般用于连接计算机的端口;,一般用于连接计算机的端口; Access接口接收到的数据帧都是接口接收到的数据帧都是untag报文,如果收到报文,如果收到tag报文将自动丢弃;报文将自动丢弃;“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 Access接口向外发送的数据帧时,接口向外发送的数据帧时,必须保证数据帧中不包含必须保证数据帧中不包含VLAN标签,即标签,即必须是必须是untag
18、报文;报文; 在交换机初始状态所有端口的类型在交换机初始状态所有端口的类型默认为默认为Access。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 Trunk类型的端口默认属于类型的端口默认属于VLAN1,当当Trunk端口所存在的本地交换机端口所存在的本地交换机VID表中有表中有多个多个VLAN时,那么时,那么Trunk端口也自动属于这端口也自动属于这些些VLAN,并自动加入到,并自动加入到VID表中,例如假表中,例如假设端口设端口E1/0/1属性为属性为Trunk时,其交
19、换时,其交换机机VID表如表表如表3.2所示。所示。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 Trunk类型的端口可以接收和发送类型的端口可以接收和发送VLAN1的的untag报文。报文。 Trunk类型的端口可以接收本地交类型的端口可以接收本地交换机换机VID表中存在的所有表中存在的所有VLAN的的tag
20、报文,报文,然后查找然后查找VID表向相应端口转发;当表向相应端口转发;当Trunk端口接收到含有本地交换机端口接收到含有本地交换机VID表不存在的表不存在的VID标签的标签的tag报文时将自动丢弃该数据帧。报文时将自动丢弃该数据帧。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 Trunk类型的端口向外发送数据帧类型的端口向外发送数据帧时,都是含有时,都是含有VID值的值的tag报文;当向外发报文;当向外发送的送的tag帧帧VID值为值为1时,其自动将其变为时,其自动将其变
21、为untag报文。报文。 Trunk类型的端口一般用于交换机类型的端口一般用于交换机之间连接的端口,两台交换机之间连接的端口,两台交换机Trunk端口端口之间所连接的链路称之为之间所连接的链路称之为802.1Q中继链路。中继链路。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 由于思科高端交换机对中继链路封由于思科高端交换机对中继链路封装格式有两种标准分别是装格式有两种标准分别是802.1Q(前面已(前面已经介绍不再重复)和经介绍不再重复)和ISL(Inter-Switch
22、Link)思科所独有的标准。)思科所独有的标准。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 ISL称之为交换机间链路,称之为交换机间链路,ISL所产所产生的生的tag报文是在每个报文是在每个untag帧的头部增加帧的头部增加26字节信息字节信息VLAN标签,在帧尾部附加标签,在帧尾部附加4字字节节CRC,因此,因此ISL的的tag报文中含有更多的报文中含有更多的域,但是它只支持域,但是它只支持1 024个个VLAN。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心
23、为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 大部分思科交换机只支持大部分思科交换机只支持802.1Q,但也,但也有的思科交换机支持有的思科交换机支持ISL。 当网络中同时存在当网络中同时存在802.1Q的的tag报文和报文和ISL的的tag报文时,这两种技术无法兼容,报文时,这两种技术无法兼容,会造成内部网络会造成内部网络VLAN的混乱。的混乱。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 如果真的存在上述
24、情况,唯一的解决方如果真的存在上述情况,唯一的解决方法就是通过路由器透明桥接实现兼容。法就是通过路由器透明桥接实现兼容。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 对于对于negotiate参数,属于默认模式参数,属于默认模式会自动检测对端端口的封装格式;会自动检测对端端口的封装格式; Switch(config-if)#switchport mode trunk “在接口模式下指定类型为在接口模式下指定类型为trunk”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级
25、综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 H3C独有的类型,功能上可以认为独有的类型,功能上可以认为是是Access和和Trunk的混合体。的混合体。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 Hybrid类型的端口通过设置类型的端口通过设置PVID参数来指定该端口属于哪一个参数来指定该端口属于哪一个VLAN,当,当Hybrid端口所存在的本地交换机端口所存在的本地交换机VID表中表中有多个有多
26、个VLAN时,那么时,那么Hybrid端口不能自端口不能自动但可以人为指定属于这些动但可以人为指定属于这些VLAN或者某或者某几个几个VLAN,并将,并将VID表专门分为了表专门分为了PVID表和表和VID表。表。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 例如假设端口例如假设端口E1/0/1属于属于Hybrid类型时,类型时,它的它的PVID值设为值设为2,允许该端口可以,允许该端口可以访问访问VLAN3、4,但不能访问,但不能访问VLAN5、6,其其PVID表和表和V
27、ID表分别如表表分别如表3.3和表和表3.4所示。所示。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 Hybrid端口接收端口接收untag报文时,首报文时,首先查找先查找PVID表读取本地端口所对应的表读取本地端口所对应的PVID值,然后根据值,然后根据PVID值所对应的值所对应的VID值,查找值,查找VID表来确定哪些端口可以访问,表来确定哪些端口可以访问,然后转发然后转发untag报文;接收到报文;接收到tag报文时,报文时,与与Trunk端口处理方式一样。端口处理方
28、式一样。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 Hybrid端口向外发送数据帧时,如端口向外发送数据帧时,如果此前本地交换机收到的该帧为果此前本地交换机收到的该帧为tag报文则报文则发送发送tag报文,如果此前本地交换机收到的报文,如果此前本地交换机收到的该帧为该帧为untag报文则发送报文则发送untag报文。报文。 Hybrid端口可以用于交换机之间连端口可以用于交换机之间连接,也可以用于连接用户的计算机。接,也可以用于连接用户的计算机。“雪亮工程是以区(县)、乡
29、(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 一般来说,按照一般来说,按照VLAN技术的应用对象进技术的应用对象进行分类可以分为基于端口的行分类可以分为基于端口的VLAN、
30、基于、基于MAC的的VLAN、基于协议的、基于协议的VLAN、基于、基于IP的的VLAN等。等。 对于基于端口的对于基于端口的VLAN,又可以分为基于,又可以分为基于单台交换机的单台交换机的VLAN应用和跨交换机应用和跨交换机VLAN应用。应用。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 1基于单台交换机的基于单台交换机的VLAN应用应用 例如,在某一小型公司只有例如,在某一小型公司只有20个左右的个左右的网络用户,在这种情况下,一台网络用户,在这种情况下,一台24口的二
31、口的二层可网管交换机就可以满足用户的网络需层可网管交换机就可以满足用户的网络需求。求。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 但是,为了保障相关部门的独立性和安全但是,为了保障相关部门的独立性和安全行,我们需要将其按照部门划分行,我们需要将其按照部门划分VLAN,根据,根据用户所连接的以太网交换机的端口来划分。用户所连接的以太网交换机的端口来划分。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频
32、监控联网应用为重点的“群众性治安防控工程”。 假设我们将端口假设我们将端口E1/0/1到到E1/0/5分给财务分给财务部,将端口部,将端口E1/0/6到到E1/0/10分给行政部,将分给行政部,将端口端口E1/0/11到到E1/0/20分给市场部,此时我分给市场部,此时我们需要建立们需要建立3个个VLAN,分别是,分别是VLAN 2、3、4。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 这种划分的方法的优点是,定义这种划分的方法的优点是,定义VLAN成成员时非常简单,只要将
33、所有的端口都指定一员时非常简单,只要将所有的端口都指定一下就可以了。下就可以了。 它的缺点是,如果它的缺点是,如果VLAN A的用户离开了的用户离开了原来的端口,到了一个新的交换机的某个端原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。口,那么就必须重新定义。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工
34、程”。 第第1步,创建步,创建VLAN并进入并进入VLAN视图;视图; 第第2步,将指定端口加入到当前步,将指定端口加入到当前VLAN中。中。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。第第1步,创建步,创建VLAN;第第2步,将指定端口加入到当前步,将指定端口加入到当前VLAN中。中。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 公共端口是指独立于其他
35、公共端口是指独立于其他VLAN的一个的一个接口(见图接口(见图3.6),可以同时是被多个),可以同时是被多个VLAN访问,但又不影响其他访问,但又不影响其他VLAN的访的访问控制功能。问控制功能。 公共端口技术常用于宽带路由器、打印公共端口技术常用于宽带路由器、打印服务器等网络公共资源的设置。服务器等网络公共资源的设置。 “雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以
36、公共安全视频监控联网应用为重点的“群众性治安防控工程”。 跨交换机的跨交换机的VLAN(见图(见图3.7)是指在多个)是指在多个交换机上分别设置交换机上分别设置VLAN参数,将不同的交参数,将不同的交换机通过换机通过Trunk接口级联在一起,在中继链接口级联在一起,在中继链路传输路传输tag报文,从而实现相同报文,从而实现相同VLAN的通信的通信以及不同以及不同VLAN的访问控制功能。的访问控制功能。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇
37、)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 当同一当同一VLAN的的PCB与与PCD通信时,其通信时,其通信步骤如下。通信步骤如下。 第第1步,步,PCB发出的发出的untag报文进入交换报文进入交换机端口机端口E1/0/2,交换机会根据,交换机会根据VID表,发现表,发现可以向端口可以向端口E1/0/24转发报文。转发报文。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 第第2步,
38、当步,当E1/0/24向外转发报文时,由向外转发报文时,由于其为于其为Trunk属性且报文来自于属性且报文来自于VLAN20,则生成则生成VID值为值为20的的tag报文。报文。 第第3步,当带有步,当带有VID值为值为20的的tag报文进报文进入另一台交换入另一台交换Trunk端口时,端口时,Trunk端口会端口会读取读取tag报文的报文的VID值,并查找本地交换机值,并查找本地交换机的的VID表,向端口表,向端口E1/0/2转发。转发。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防
39、控工程”。 第第4步,当端口步,当端口E1/0/2向外转发报文时,向外转发报文时,由于其属性为由于其属性为Access,则去除,则去除VLAN标志,标志,向外发送向外发送untag报文。报文。 第第5步,当步,当PCD收到收到untag报文时,会做报文时,会做出响应,发出出响应,发出untag的响应报文。的响应报文。 两台交换机两台交换机VID表如表表如表3.6所示。所示。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为
40、指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工
41、程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 GVRP(GARP VLAN registration protocol)被称为通用)被称为通用VLAN注册协议,专注册协议,专门用于解决多交换机中的门用于解决多交换机中的VLAN信息不一信息不一致的问题。致的问题。 其中其中GARP(通用属性注册协议)主要(通用属性注册协议)主要用于建立一种属性传递扩散的机制,以保用于建立一种属性传递扩散的机制,以保证协议实体能够注册和注销该属性。证协议实体能够注册和注销该属性。“雪亮工
42、程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 GARP作为一个属性注册协议的载体,作为一个属性注册协议的载体,可以用来传播属性。可以用来传播属性。 将将GARP报文的内容映射成不同的属性报文的内容映射成不同的属性即可支持不同上层协议应用。即可支持不同上层协议应用。 “雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中
43、心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 手工配置的手工配置的VLAN称为静态称为静态VLAN,通过,通过GVRP创建的创建的VLAN称为动态称为动态VLAN。 GVRP有有3种注册模式,不同的模式对静种注册模式,不同的模式对静态态VLAN和动态和动态VLAN的处理方式也不同。的处理方式也不同。 GVRP的的3种注册模式分别定义如下。种注册模式分别定义如下。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。
44、Normal模式模式 Fixed模式模式 Forbidden模式模式 “雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 (1)H3C设备的配置命令设备的配置命令 (2)思科设备的配置命令)思科设备的配置命令 “雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 VTP(VLAN中继协议)是一种消息协中继协议)是一种消息协议,使用第二层帧,在全网的基础上管理议,使用第
45、二层帧,在全网的基础上管理VLAN的添加、删除和重命名,以实现的添加、删除和重命名,以实现VLAN配置的一致性。配置的一致性。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 VTP模式有以下模式有以下3种模式。种模式。 服务器模式(服务器模式(Server 缺省)缺省) 客户机模式(客户机模式(Client) 透明模式(透明模式(Transparent) “雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频
46、监控联网应用为重点的“群众性治安防控工程”。 使用使用VTP时,加入时,加入VTP域的每台交换机域的每台交换机在其中继端口上通告如下信息。在其中继端口上通告如下信息。 管理域;管理域; 配置版本号;配置版本号; 它所知道的它所知道的VLAN; 每个已知每个已知VLAN的某些参数。的某些参数。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的
47、“群众性治安防控工程”。 1H3C交换机的配置交换机的配置 2思科交换机的配置思科交换机的配置“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工
48、程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 3.3.1 Isolate-user-vlan“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥
49、平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 端口接入控制的主要目的是验证用户身端口接入控制的主要目的是验证用户身份的合法性,以及在认证基础上对用户的份的合法性,以及在认证基础上对用户的网络访问行为进行授权和计费。网络访问行为进行授权和计费。 目前有多种方式实现端口接入控制,常目前有多种方式实现端口接入控制,常见的接入控制技术有见的接入控制技术有802.1x、MAC地址认
50、地址认证,当然对于互联网的访问控制技术还有证,当然对于互联网的访问控制技术还有以太网访问控制列表以及以太网访问控制列表以及PORTAL认证。认证。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区(县)、乡(镇)、村(社区)三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频