网络安全大作业3--交换机的VLAN配置

学校居然提供了交换机给我们做实验,非常的有趣(然而做实验的时候根本没有机会设置啊QVQ只能后期自己研究了)

交换机的VLAN设置

首先我们开始实验的网络拓扑图为:

(可能有点问题)
我们的四台机子分别接上了集线器的6,3,1,2孔,由于接在了同一个交换机中,形成了一个网络。然后第一个实验内容为通过DMC控制台接入交换机,所以我们需要将第24孔用一根线接入到我们前8个孔形成的内网中,从而让我们能够与DMC形成一个局域网,从而完成接入。

这个过程并不顺利,因为我们的电脑一开始的时候并没有被分配IP,所以我们需要手动的配置自己的IP


(设置的IP)

在这里选择使用下列的IP地址,并且配置成与DMC同一网段的IP地址:192.168.10.xxx,并且设置相应子网掩码。然后使用telnet协议进入DMC控制台(由于DMC被同学使用中,这里进入了H3C路由器里面。。)

然后由于没有使用交换机,所以知道直接配置了路由器2333:

这里配置了路由器的vlan 1的接口,将接口的ip设置为192.168.1.250 24,即是说设置的ip地址前24位为有效网络号,此时就确定了我们路由器的虚拟网络的网段。当我们将主机ip都设置成这个ip段内的时候,我们就能接入这个虚拟网络。

实验一题目

  • 交换机的型号
    这做的路由器的实验。。。
  • 交换机的交换端口的类型
    access,trunk,hybird三种端口。之后很快我们实验中就会出现access和trunk的设置。
    • access:此类端口只能属于一个VLAN,只能用于连接一个计算机的端口
    • trunk:运行多个VLAN通过,可以接受和发送多个VLAN报文,用于交换机端口间的连接
    • hybrid:此类型端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。
      具体的应用细节下文会提到
  • 交换机的IOS版本

    这里可以看到是cfa0/msr36-cmw710-system-e0006p05.bin
  • 交换机的端口信息

    这里的interface就是所有的端口,这里提一下一些自己知道的:
    • LoopBack0:回环地址,可以远程链接当前机器的地址。
    • Vlan-interface1: 虚拟网关,
    • GigabitEthernet 0/0:千兆以太网,第0插槽(就第一个插槽),0端口号
    • Ethernet 0/0:以太网
  • 交换机的Flash信息
    • 为 8M bytes
      图中剩余信息:
    • PCB:印刷电路板 version 2.0
    • CPLD:复杂可编程逻辑器件 version 2.0
    • Basic BootWare:没查出来,应该是基础启动件
    • Extended BootWare:同上,应该是额外添加件

不同swtich和VLAN之间的通信

这个比较有意思,可以实现同一个switch上的虚拟网络划分、不同switch之间通信,以及跨虚拟网访问。

实验一 同一switch中的两个vlan:


相关设置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
system // 进入system
vlan 10 // 设置vlan口10
name YW // 名字为yW
description YW Vlan // 设置备注
port Ethernet 1/0/1 // 设置第一个插槽为第一个端口号
port Ethernet 1/0/2 // 设置第一个插槽为第二个端口号
qu // 退出vlan 10 设置
// 同上
vlan 20
name OA
description OA Vlan
port Ethernet 1/0/3
port Ethernet 1/0/4
qu
interface vlan-interface 10 // 设置vlan 10的接口
description YW gateway
ip address 172.16.1.254 24 // 网关设置为172.16.1.254,前24位有效
qu
interface vlan-interface 20
description YW gateway
ip address 172.16.2.254 24
qu

port Ethernet 指令:
交换机的端口均采用3位编号方式:interface type A/B/C

  • A:IRF(虚拟化技术)中成员设备的编号,若未形成IRF则默认为1
  • B:设备上的槽位号。0就是指设备商固有端口所在的槽位
  • C:某槽位上的端口号。

配置 PC1 :ip address:172.16.1.1/24 默认网关:172.16.1.254
配置 PC2 :ip address:172.16.1.2/24 默认网关:172.16.1.254
配置 PC3 :ip address:172.16.2.1/24 默认网关:172.16.2.254
配置 PC4 :ip address:172.16.2.2/24 默认网关:172.16.2.254
然后,PC1和PC2就会加入到设置了172.16.2.254为网关的交换机Vlan 20中,而PC3和PC4会加入到色湖之了172.16.1.254为网关的Vlan10中:

因此,两台计算机之间不能发生通信。

实验二: 不同switch中被划分在了同一个vlan中


代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
[H3C- - S1]:
vlan 10
port Ethernet 1/0/1 // vlan10 中指定一个端口
qu
vlan 20
port Ethernet 1/0/2 // vlan20 中指定端口2和3
port Ethernet 1/0/3
qu
interface vlan-interface 10
ip address 172.16.1.254 24 // vlan10的端口设置默认网关ip
qu
interface vlan-interface 20
ip address 172.16.2.254 24 // vlan20的端口设置默认网关ip
qu
interface loopback0
ip address 172.16.3.1 24 // 设置回环地址的ip
qu
Route id 172.16.3.1 // 设置静态路由为 172.16.3.1
ospf 1 // 进入指定process id的ospf
area 0 // 设置OSPF区域为0
// osfp的相关网段(osfp中会发送LSAck数据包从而完成联通确认的网段)
network 172.16.1.254 0.0.0.255
network 172.16.2.254 0.0.0.255
network 172.16.3.1 0.0.0.255
qu
[H3C- - S2]:
vlan 20 // vlan20中同时指定三个端口
port Ethernet 1/0/1
port Ethernet 1/0/2
port Ethernet 1/0/3
qu
// 将vlan20的ip设置为172.16.2.254,与上一台机子的vlan20设置的ip一致
interface vlan-interface 20
ip address 172.16.2.254 24
qu
// 进入指定 process id的ospf
ospf 1
// 选择合适的area
area 0
// 设置相关网段(此处只设置172.16.2.254)
network 172.16.2.254 0.0.0.255
qu

这里使用了ospf协议,这里解释一下使用ospf的相关概念:
AS自治系统 :一组使用相同路由协议交换路由信息的路由器。
rounte id:一台运行ospf协议路由器,每一个ospf进程必须存在自己的route ID。(是一个32bit的无符号整数,用于在AS中唯一的标识一台路由器)
注意这里,在H3C中设置了Loopbakc0 172.16.3.1,其实是为了给当前的交换机一个Route ID,从而实现ospf。而由于第二个H3C S2接入了H3C S1中的虚拟网络,因此只需要设置相关network,让本机上192.16.2.254网段使能ospf,从而与vlan 20 通信。

实验三 不同switch中不同vlan之间的相互交流


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
[H3C-S1] :
//创建两个vlan
vlan 10
vlan 20
qu
// 配置enthernet 的1/0/1接口
interface Ethernet 1/0/1
// 设置当前网口的链路类型为 access ,此时发送数据包不带有vlan tag 标记
port link-type access
// 设置当前access对应的虚拟网络
port access vlan 10
qu
// 同上配置,不过这次将1/0/2配到vlan 20中,完成隔离
interface Ethernet 1/0/2
port link- - type access
port access vlan 20
qu
// 配置enthernet 的1/0/3接口
interface Ethernet 1/0/3
// 链路类型设置为 trunk
port link-type trunk
// trunk需要指定允许通过的vlan 包
port trunk permit vlan 10 20
// 如果未指定当前包的id,那么此时只能够通过的vlan 10
port trunk pvid vlan 10
// 指定当前交换机中的网关地址(当前switch中还是隔离的)
interface vlan-interface 10
ip address 172.16.1.254 24
qu
interface vlan-interface 20
ip address 172.16.2.254 24
qu
// 设置同上
[H3C- - S2]:
vlan 10
vlan 20
qu
interface Ethernet 1/0/1
port link-type access
port access vlan 10
qu
interface Ethernet 1/0/2
port link-type access
port access vlan 20
qu
interface Ethernet 1/0/3
port link-type trunk
port trunk permit vlan 10 20
port trunk pvid vlan 10
interface vlan-interface 10
ip address 172.16.1.254 24
qu
interface vlan-interface 20
ip addres s 172.16.2.254 24
qu

这里比较有趣的是,本地依然使用了vlan隔离。然而我们可以看到,用于我们在Ethernet 3 端口中,设置了port类型为trunk,这个端口允许来自指定vlan id的数据包通过,所以当我们的数据从Ethernet 3 出去的时候,数据就会经过trunk通道,此后另一个交换机上的Ethernet 3 会接受来自vlan 10 和20的数据包,然后根据ip 的vlan决定数据包是传输还是丢弃。

这个实验由于当时自己笨手笨脚的,最后也没有昨晚,一直拖到第二天才终于搞懂了原理。。。。小白学习大佬求轻拍(:3)<_