单元3、局域网安全隔离与互连互通.ppt

交换机接口类型分为两大类：二层接口和三层接口（三层设备支持）。 1.二层接口 二层接口的类型又分为：Switch Port及L2 Aggreate Port。 （1）Switch Port：Switch Port由设备上的单个物理端口构成，只有两层交换功能。 （2）Aggreate Port：Aggreate Port是由多个物理成员端口聚合而成的。可以把多个物理连接捆绑在一起形成一个简单的逻辑链接，这个逻辑链接称之为一个Aggregate Port(简称AP)。 交换机接口类型 2.三层接口 Catalyst多层交换机支持3种不同类型的第3层接口： （1）路由端口（Routed Port）：类似于Cisco 路由器上路由端口的纯第3层接口； （2）交换虚拟接口（Switch Virtual Interface ，SVI接口）：VLAN间路由选择的虚拟VLAN接口。换言之，SVI是虚拟的路由VLAN接口； （3）网桥虚拟桥接接口（Bridge Virtual Interface ,BVI接口）：第3层虚拟桥接接口。 1. 路由端口（Routed Port） 路由端口是一个物理接口，它类似于传统路由器上配置了第3层地址的接口，能用一个三层路由协议配置。 Catalyst 3500系列交换机的接口默认配置为第2层接口，为了配置路由端口，就必须使用no switchport命令将一个二层接口配置为第3层接口。 三层交换机的路由功能 在Catalyst 3500系列交换机上配置路由端口的步骤为： 步骤1：使用no switchport命令将一个二层接口配置为第3层接口 Switch(config)#interface giagabitethernet 1/1 Switch(config-if)#no switchport 步骤2：为接口分配IP地址。 Switch(config-if)#ip address ip-address subnetmask 步骤3：启用IP路由选择。 Switch(config-if)#exit Switch(config)#ip routing 2. 交换机虚拟接口 交换机虚拟接口是一种第3层接口，它是在Catalyst多层交换机上完成VLAN间路由选择而配置的接口。SVI是一种与VLAN-ID相关联的虚拟VLAN接口，其目的在于启用该VLAN上的路由选择能力。 在Catalyst交换机（例如Catalyst 6500系列交换机）上配置SVI来完成VLAN间路由选择，配置步骤如下： 步骤1：启用IP路由选择功能 Switch(config)#ip routing 步骤2：指定IP路由选择协议或使用静态路由 Switch(config)#router ip-routing-protocol options 步骤3；通过使用VLAN接口命令指定SVI Switch(config)#interface vlan vlan-id 步骤4：为VLAN分配IP地址 Switch(config-if)#ip address ip-address subnetmask 步骤5：启用接口 Switch(config-if)#no shutdown 3．网桥虚拟接口 BVI是一种第3层虚拟接口，与普通的SVI相类似，它能够跨越桥接或路由域来路由数据包，通过第3层接口能够桥接第2层数据包，是在网络移动数据帧的一种老式方法。 9.3 方案设计 为了解决不同虚拟局域网之间的通信问题，保证全校网络之间互连互通，需要启用三层交换机技术，来解决不同虚拟局域网之间安全数据通信问题，实现部门之间数据信息资源共享，数据信息安全传输。 在三层交换机上建立三个VLAN：VLAN10分配给计算机系，VLAN20分配给机电工程系，VLAN30分配给汽车工程系。为了实现三部门的主机能够相互访问，三层交换机上开启路由功能，并在VLAN10中设置IP地址为，也就是VLAN10的网关；在VLAN20中设置IP地址为；在VLAN30中设置IP地址为。 购买一台三层交换机（Cisco 3560）作为核心交换机，从而实现全网之间的互连互通。如图9.2所示。 图9.2 利用三层交换机实现互联互通 9.4 项目实施：三层交换机VLAN间路由 通过工作任务的完成，使学生可以掌握以下技能： （1）能够配置三层交换机启用路由功能； （2）能够配置三层交换机实现VLAN之间的通信。 任务目标 采用一台三层交换机作为核心层，两台二层交换机作为汇聚层兼接入层交换机。在局域网内划分三个VLAN：VLAN10分配给计算机系，VLAN20分配给机电工程系，VLAN30分配给汽车工程系。为了实现三部门的主机能够相互访问，三层交换机上开启路由功能，并在VLAN