《网络互连技术与实训》-第3章二层安全控制技术ppt课件.ppt

第第 3 章章二层安全控制技术二层安全控制技术VLANVLAN技术原理技术原理3.13.1VLANVLAN的分类及实现的分类及实现3.23.2VLANVLAN的扩展技术的扩展技术3.33.3端口接入控制端口接入控制3.43.4镜像技术镜像技术3.53.53.1 VLAN3.1 VLAN技术原理技术原理 传统的局域网使用的是二层交换机代传统的局域网使用的是二层交换机代替集线器（替集线器（Hub），每个端口可以看成是），每个端口可以看成是一根单独的总线，可以使冲突域缩小到每一根单独的总线，可以使冲突域缩小到每个端口，使得网络发送单播报文的效率大个端口，使得网络发送单播报文的效率大大提高，极大地提高了二层网络的性能。大提高，极大地提高了二层网络的性能。 但是网络中所有端口仍然处于同一个但是网络中所有端口仍然处于同一个广播域，交换机在传递广播报文的时候依广播域，交换机在传递广播报文的时候依然要将广播报文复制多份，发送到网络的然要将广播报文复制多份，发送到网络的各个角落。各个角落。 随着网络规模的扩大，网络中的广播随着网络规模的扩大，网络中的广播报文越来越多，广播报文占用的网络资源报文越来越多，广播报文占用的网络资源越来越多，严重影响网络性能，这就是所越来越多，严重影响网络性能，这就是所谓的广播风暴问题。谓的广播风暴问题。 过去由于交换机的二层网络工作原理的过去由于交换机的二层网络工作原理的限制，交换机对广播风暴的问题无能为力。限制，交换机对广播风暴的问题无能为力。 为了提高网络的效率，一般需要将通过为了提高网络的效率，一般需要将通过路由器网络进行分段：把一个大的广播域划路由器网络进行分段：把一个大的广播域划分成几个小的广播域。分成几个小的广播域。 图图3.1中用路由器替换图中用路由器替换图3.2中的中心结中的中心结点交换机，使得广播报文的发点交换机，使得广播报文的发 送范围大大减小。送范围大大减小。 这种方案解决了广播风暴的问题，但这种方案解决了广播风暴的问题，但是用路由器是在网络层上分段将网络隔离，是用路由器是在网络层上分段将网络隔离，网络规划复杂，组网方式不灵活，并且大网络规划复杂，组网方式不灵活，并且大大增加了管理维护的难度。大增加了管理维护的难度。 作为替代的作为替代的LAN分段方法，虚拟局域分段方法，虚拟局域网（网（VLAN）被引入到网络解决方案中来，）被引入到网络解决方案中来，用于解决大型的二层网络环境面临的问题。用于解决大型的二层网络环境面临的问题。3.1.1 VLAN的定义和特点的定义和特点 虚拟局域网（虚拟局域网（Virtual Local Area Network，VLAN）逻辑上把网络资源和网）逻辑上把网络资源和网络用户按照一定的原则进行划分，把一个络用户按照一定的原则进行划分，把一个物理上实际的网络划分成多个小的逻辑的物理上实际的网络划分成多个小的逻辑的网络。网络。 这些小的逻辑的网络形成各自的广播这些小的逻辑的网络形成各自的广播域，也就是虚拟局域网域，也就是虚拟局域网VLAN。 VLAN与传统的与传统的LAN相比，具有以下相比，具有以下优势。优势。 减少移动和改变的代价减少移动和改变的代价实现动态实现动态管理网络。管理网络。 虚拟工作组虚拟工作组使用使用VLAN的最终目的最终目标就是建立虚拟工作组模型。标就是建立虚拟工作组模型。 它的主要特点集中表现在以下几个方面。它的主要特点集中表现在以下几个方面。 提高带宽的利用率提高带宽的利用率 增强通信的安全性增强通信的安全性 增强网络的健壮性增强网络的健壮性 提高网络管理效率提高网络管理效率 3.1.2 VLAN工作原理工作原理 交换机在网络当中处于第二层设备，交换机在网络当中处于第二层设备，主要功能就是数据帧的快速转发，交换机主要功能就是数据帧的快速转发，交换机在转发数据时，不同于集线器，它主要依在转发数据时，不同于集线器，它主要依据内部的转发表项来转发数据帧，那么这据内部的转发表项来转发数据帧，那么这个转发表就是个转发表就是MAC地址表，如图地址表，如图3.3所示。所示。 在上一章中已经详细说明了交换机的在上一章中已经详细说明了交换机的MAC地址表的形成过程。地址表的形成过程。 划分划分VLAN之后的交换机的数据转发之后的交换机的数据转发流程发生了变化，因为此时交换机转发数流程发生了变化，因为此时交换机转发数据时参考的依据多了一项，即据时参考的依据多了一项，即VID表如表表如表3.1所示。所示。 VID表包含了表包含了VLAN编号和端口号的编号和端口号的对应关系，当交换机再进行转发数据帧的对应关系，当交换机再进行转发数据帧的时候，它会优先检查目的时候，它会优先检查目的MAC地址所对应地址所对应的端口的的端口的VID号和数据源所对应的端口的号和数据源所对应的端口的VID是否一致，如果一致则进行数据转发，是否一致，如果一致则进行数据转发，否则丢弃该数据帧。否则丢弃该数据帧。3.1.3 IEEE 802.1Q协议协议 IEEE 802.1Q定义了以下内容。定义了以下内容。 VLAN的架构；的架构； VLAN中所提供的服务；中所提供的服务； VLAN实施中涉及的协议和算法实施中涉及的协议和算法1802.1Q帧的格式帧的格式 IEEE 802.1Q协议不仅规定协议不仅规定VLAN中的中的MAC帧的格式，而且还制定诸如帧发送及帧的格式，而且还制定诸如帧发送及校验、回路检测，对业务质量（校验、回路检测，对业务质量（QoS）参）参数的支持以及对网管系统的支持等方面的数的支持以及对网管系统的支持等方面的标准。标准。 传统的以太网数据帧（见图传统的以太网数据帧（见图3.4）在目）在目的的MAC地址和源地址和源MAC地址之后封装的是地址之后封装的是上层协议的类型字段。上层协议的类型字段。 而而IEEE 802.1Q协议规定在目的协议规定在目的MAC地址和源地址和源MAC地址之后封装地址之后封装4个字节的个字节的VLAN标志（标志（Tag），用以标识），用以标识VLAN的相的相关信息，如图关信息，如图3.5所示。所示。2交换机端口类型交换机端口类型 支持支持802.1Q的交换机端口类型一般分的交换机端口类型一般分为为Accesss、Trunk，思科、华为以及，思科、华为以及H3C等厂商的交换机均是这样划分的，但对于等厂商的交换机均是这样划分的，但对于其他厂商的交换机叫法不同，如其他厂商的交换机叫法不同，如D-LINK的交换机的端口类型称之为的交换机的端口类型称之为Untagged和和Tagged，对于，对于H3C的交换机它还增加了一的交换机它还增加了一个新的端口类型个新的端口类型Hybrid。（1）Access Access类型的端口只能属于一个类型的端口只能属于一个VLAN，一般用于连接计算机的端口；，一般用于连接计算机的端口； Access接口接收到的数据帧都是接口接收到的数据帧都是untag报文，如果收到报文，如果收到tag报文将自动丢弃；报文将自动丢弃； Access接口向外发送的数据帧时，接口向外发送的数据帧时，必须保证数据帧中不包含必须保证数据帧中不包含VLAN标签，即标签，即必须是必须是untag报文；报文； 在交换机初始状态所有端口的类型在交换机初始状态所有端口的类型默认为默认为Access。（2）Trunk Trunk类型的端口默认属于类型的端口默认属于VLAN1，当当Trunk端口所存在的本地交换机端口所存在的本地交换机VID表中有表中有多个多个VLAN时，那么时，那么Trunk端口也自动属于这端口也自动属于这些些VLAN，并自动加入到，并自动加入到VID表中，例如假表中，例如假设端口设端口E1/0/1属性为属性为Trunk时，其交换时，其交换机机VID表如表表如表3.2所示。所示。 Trunk类型的端口可以接收和发送类型的端口可以接收和发送VLAN1的的untag报文。报文。 Trunk类型的端口可以接收本地交类型的端口可以接收本地交换机换机VID表中存在的所有表中存在的所有VLAN的的tag报文，报文，然后查找然后查找VID表向相应端口转发；当表向相应端口转发；当Trunk端口接收到含有本地交换机端口接收到含有本地交换机VID表不存在的表不存在的VID标签的标签的tag报文时将自动丢弃该数据帧。报文时将自动丢弃该数据帧。 Trunk类型的端口向外发送数据帧类型的端口向外发送数据帧时，都是含有时，都是含有VID值的值的tag报文；当向外发报文；当向外发送的送的tag帧帧VID值为值为1时，其自动将其变为时，其自动将其变为untag报文。报文。 Trunk类型的端口一般用于交换机类型的端口一般用于交换机之间连接的端口，两台交换机之间连接的端口，两台交换机Trunk端口端口之间所连接的链路称之为之间所连接的链路称之为802.1Q中继链路。中继链路。 由于思科高端交换机对中继链路封由于思科高端交换机对中继链路封装格式有两种标准分别是装格式有两种标准分别是802.1Q（前面已（前面已经介绍不再重复）和经介绍不再重复）和ISL（Inter-Switch Link）思科所独有的标准。）思科所独有的标准。 ISL称之为交换机间链路，称之为交换机间链路，ISL所产所产生的生的tag报文是在每个报文是在每个untag帧的头部增加帧的头部增加26字节信息字节信息VLAN标签，在帧尾部附加标签，在帧尾部附加4字字节节CRC，因此，因此ISL的的tag报文中含有更多的报文中含有更多的域，但是它只支持域，但是它只支持1 024个个VLAN。 大部分思科交换机只支持大部分思科交换机只支持802.1Q，但，但也有的思科交换机支持也有的思科交换机支持ISL。 当网络中同时存在当网络中同时存在802.1Q的的tag报文和报文和ISL的的tag报文时，这两种技术无法兼容，报文时，这两种技术无法兼容，会造成内部网络会造成内部网络VLAN的混乱。的混乱。 如果真的存在上述情况，唯一的解决如果真的存在上述情况，唯一的解决方法就是通过路由器透明桥接实现兼容。方法就是通过路由器透明桥接实现兼容。 对于对于negotiate参数，属于默认模式参数，属于默认模式会自动检测对端端口的封装格式；会自动检测对端端口的封装格式； Switch（config-if）#switchport mode trunk “在接口模式下指定类型为在接口模式下指定类型为trunk”。（3）Hybrid H3C独有的类型，功能上可以认为独有的类型，功能上可以认为是是Access和和Trunk的混合体。的混合体。 Hybrid类型的端口通过设置类型的端口通过设置PVID参数来指定该端口属于哪一个参数来指定该端口属于哪一个VLAN，当，当Hybrid端口所存在的本地交换机端口所存在的本地交换机VID表中表中有多个有多个VLAN时，那么时，那么Hybrid端口不能自端口不能自动但可以人为指定属于这些动但可以人为指定属于这些VLAN或者某或者某几个几个VLAN，并将，并将VID表专门分为了表专门分为了PVID表和表和VID表。表。 例如假设端口例如假设端口E1/0/1属于属于Hybrid类型时，类型时，它的它的PVID值设为值设为2，允许该端口可以，允许该端口可以访问访问VLAN3、4，但不能访问，但不能访问VLAN5、6，其其PVID表和表和VID表分别如表表分别如表3.3和表和表3.4所示。所示。 Hybrid端口接收端口接收untag报文时，首报文时，首先查找先查找PVID表读取本地端口所对应的表读取本地端口所对应的PVID值，然后根据值，然后根据PVID值所对应的值所对应的VID值，查找值，查找VID表来确定哪些端口可以访问，表来确定哪些端口可以访问，然后转发然后转发untag报文；接收到报文；接收到tag报文时，报文时，与与Trunk端口处理方式一样。端口处理方式一样。 Hybrid端口向外发送数据帧时，如端口向外发送数据帧时，如果此前本地交换机收到的该帧为果此前本地交换机收到的该帧为tag报文则报文则发送发送tag报文，如果此前本地交换机收到的报文，如果此前本地交换机收到的该帧为该帧为untag报文则发送报文则发送untag报文。报文。 Hybrid端口可以用于交换机之间连端口可以用于交换机之间连接，也可以用于连接用户的计算机。接，也可以用于连接用户的计算机。3.2 VLAN3.2 VLAN的分类及实现的分类及实现 一般来说，按照一般来说，按照VLAN技术的应用对象技术的应用对象进行分类可以分为基于端口的进行分类可以分为基于端口的VLAN、基于、基于MAC的的VLAN、基于协议的、基于协议的VLAN、基于、基于IP的的VLAN等。等。 对于基于端口的对于基于端口的VLAN，又可以分为基，又可以分为基于单台交换机的于单台交换机的VLAN应用和跨交换机应用和跨交换机VLAN应用。应用。3.2.1 基于端口的基于端口的VLAN 1基于单台交换机的基于单台交换机的VLAN应用应用 例如，在某一小型公司只有例如，在某一小型公司只有20个左右个左右的网络用户，在这种情况下，一台的网络用户，在这种情况下，一台24口的口的二层可网管交换机就可以满足用户的网络二层可网管交换机就可以满足用户的网络需求。需求。 但是，为了保障相关部门的独立性和安全但是，为了保障相关部门的独立性和安全行，我们需要将其按照部门划分行，我们需要将其按照部门划分VLAN，根据，根据用户所连接的以太网交换机的端口来划分。用户所连接的以太网交换机的端口来划分。 假设我们将端口假设我们将端口E1/0/1到到E1/0/5分给财分给财务部，将端口务部，将端口E1/0/6到到E1/0/10分给行政部，分给行政部，将端口将端口E1/0/11到到E1/0/20分给市场部，此时分给市场部，此时我们需要建立我们需要建立3个个VLAN，分别是，分别是VLAN 2、3、4。 这种划分的方法的优点是，定义这种划分的方法的优点是，定义VLAN成员时非常简单，只要将所有的端口都指定成员时非常简单，只要将所有的端口都指定一下就可以了。一下就可以了。 它的缺点是，如果它的缺点是，如果VLAN A的用户离开的用户离开了原来的端口，到了一个新的交换机的某个了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。端口，那么就必须重新定义。（1）H3C设备的配置命令设备的配置命令 第第1步，创建步，创建VLAN并进入并进入VLAN视图；视图； 第第2步，将指定端口加入到当前步，将指定端口加入到当前VLAN中。中。（2）思科设备的配置命令）思科设备的配置命令第第1步，创建步，创建VLAN；第第2步，将指定端口加入到当前步，将指定端口加入到当前VLAN中。中。2公共端口的应用公共端口的应用 公共端口是指独立于其他公共端口是指独立于其他VLAN的一的一个接口（见图个接口（见图3.6），可以同时是被多个），可以同时是被多个VLAN访问，但又不影响其他访问，但又不影响其他VLAN的访的访问控制功能。问控制功能。 公共端口技术常用于宽带路由器、打公共端口技术常用于宽带路由器、打印服务器等网络公共资源的设置。印服务器等网络公共资源的设置。 3跨交换机的跨交换机的VLAN应用应用 跨交换机的跨交换机的VLAN（见图（见图3.7）是指在多）是指在多个交换机上分别设置个交换机上分别设置VLAN参数，将不同的参数，将不同的交换机通过交换机通过Trunk接口级联在一起，在中继接口级联在一起，在中继链路传输链路传输tag报文，从而实现相同报文，从而实现相同VLAN的通的通信以及不同信以及不同VLAN的访问控制功能。的访问控制功能。 当同一当同一VLAN的的PCB与与PCD通信时，通信时，其通信步骤如下。其通信步骤如下。 第第1步，步，PCB发出的发出的untag报文进入交报文进入交换机端口换机端口E1/0/2，交换机会根据，交换机会根据VID表，发表，发现可以向端口现可以向端口E1/0/24转发报文。转发报文。 第第2步，当步，当E1/0/24向外转发报文时，向外转发报文时，由于其为由于其为Trunk属性且报文来自于属性且报文来自于VLAN20，则生成则生成VID值为值为20的的tag报文。报文。 第第3步，当带有步，当带有VID值为值为20的的tag报文报文进入另一台交换进入另一台交换Trunk端口时，端口时，Trunk端口端口会读取会读取tag报文的报文的VID值，并查找本地交换值，并查找本地交换机的机的VID表，向端口表，向端口E1/0/2转发。转发。 第第4步，当端口步，当端口E1/0/2向外转发报文时，向外转发报文时，由于其属性为由于其属性为Access，则去除，则去除VLAN标志，标志，向外发送向外发送untag报文。报文。 第第5步，当步，当PCD收到收到untag报文时，会报文时，会做出响应，发出做出响应，发出untag的响应报文。的响应报文。 两台交换机两台交换机VID表如表表如表3.6所示。所示。3.2.2 GVRP GVRP（GARP VLAN registration protocol）被称为通用）被称为通用VLAN注册协议，专注册协议，专门用于解决多交换机中的门用于解决多交换机中的VLAN信息不一信息不一致的问题。致的问题。 其中其中GARP（通用属性注册协议）主（通用属性注册协议）主要用于建立一种属性传递扩散的机制，以要用于建立一种属性传递扩散的机制，以保证协议实体能够注册和注销该属性。保证协议实体能够注册和注销该属性。 GARP作为一个属性注册协议的载体，作为一个属性注册协议的载体，可以用来传播属性。可以用来传播属性。 将将GARP报文的内容映射成不同的属报文的内容映射成不同的属性即可支持不同上层协议应用。性即可支持不同上层协议应用。 手工配置的手工配置的VLAN称为静态称为静态VLAN，通，通过过GVRP创建的创建的VLAN称为动态称为动态VLAN。 GVRP有有3种注册模式，不同的模式对种注册模式，不同的模式对静态静态VLAN和动态和动态VLAN的处理方式也不同。的处理方式也不同。 GVRP的的3种注册模式分别定义如下。种注册模式分别定义如下。 Normal模式模式 Fixed模式模式 Forbidden模式模式 （1）H3C设备的配置命令设备的配置命令 （2）思科设备的配置命令）思科设备的配置命令 3.2.3 VTP VTP（VLAN中继协议）是一种消息中继协议）是一种消息协议，使用第二层帧，在全网的基础上管协议，使用第二层帧，在全网的基础上管理理VLAN的添加、删除和重命名，以实现的添加、删除和重命名，以实现VLAN配置的一致性。配置的一致性。 VTP模式有以下模式有以下3种模式。种模式。 服务器模式（服务器模式（Server 缺省）缺省） 客户机模式（客户机模式（Client） 透明模式（透明模式（Transparent） 使用使用VTP时，加入时，加入VTP域的每台交换域的每台交换机在其中继端口上通告如下信息。机在其中继端口上通告如下信息。 管理域；管理域； 配置版本号；配置版本号； 它所知道的它所知道的VLAN； 每个已知每个已知VLAN的某些参数。的某些参数。3.2.4 基于基于MAC地址的地址的VLAN 1H3C交换机的配置交换机的配置 2思科交换机的配置思科交换机的配置3.2.5 基于协议的基于协议的VLAN3.2.6 基于基于IP的的VLAN3.3 VLAN3.3 VLAN的扩展技术的扩展技术 3.3.1 Isolate-user-vlan3.3.2 Super VLAN3.3.3 VLAN VPN3.4 3.4 端口接入控制端口接入控制 端口接入控制的主要目的是验证用户端口接入控制的主要目的是验证用户身份的合法性，以及在认证基础上对用户身份的合法性，以及在认证基础上对用户的网络访问行为进行授权和计费。的网络访问行为进行授权和计费。 目前有多种方式实现端口接入控制，目前有多种方式实现端口接入控制，常见的接入控制技术有常见的接入控制技术有802.1x、MAC地址地址认证，当然对于互联网的访问控制技术还认证，当然对于互联网的访问控制技术还有以太网访问控制列表以及有以太网访问控制列表以及PORTAL认证。认证。3.4.1 802.1x 1H3C交换机交换机802.1x的配置的配置 2思科交换机思科交换机802.1x的配置的配置3.4.2 MAC地址认证地址认证3.4.3 Portal认证认证3.5 3.5 镜像技术镜像技术 镜像就是将指定端口的报文或者符合规镜像就是将指定端口的报文或者符合规则的报文复制到目的端口。则的报文复制到目的端口。 用户可以通过镜像技术，进行网络监管用户可以通过镜像技术，进行网络监管和故障排除。和故障排除。 它一般分为端口镜像和流镜像。它一般分为端口镜像和流镜像。3.5.1 端口镜像端口镜像 源端口（或者叫被镜像端口）是被源端口（或者叫被镜像端口）是被监控的端口，用户可以对通过该端口的报监控的端口，用户可以对通过该端口的报文进行监控和分析。文进行监控和分析。 目的端口（或者叫镜像端口）为监目的端口（或者叫镜像端口）为监控端口，该端口将接收到的报文转发到数控端口，该端口将接收到的报文转发到数据监测设备，以便对报文进行监控和分析。据监测设备，以便对报文进行监控和分析。 端口镜像的方向分为端口镜像的方向分为3种。种。 入方向：仅对从源端口收到的报文入方向：仅对从源端口收到的报文进行镜像。进行镜像。 出方向：仅对从源端口发出的报文出方向：仅对从源端口发出的报文进行镜像。进行镜像。 双向：对从源端口收到和发出的报双向：对从源端口收到和发出的报文都进行镜像。文都进行镜像。 1H3C交换机配置步骤交换机配置步骤 2思科交换机配置步骤思科交换机配置步骤3.5.2 流镜像流镜像 流镜像是指通过制定一定的规则，将流镜像是指通过制定一定的规则，将符合规则的数据包复制到用户指定的目的符合规则的数据包复制到用户指定的目的地以进行网络检测和故障排除。地以进行网络检测和故障排除。 流镜像分为流镜像分为3种：流镜像到端口、流镜种：流镜像到端口、流镜像到像到CPU、流镜像到、流镜像到VLAN。