PVLAN课程设计报告.docx
- 文档编号:8671130
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:11
- 大小:159.43KB
PVLAN课程设计报告.docx
《PVLAN课程设计报告.docx》由会员分享,可在线阅读,更多相关《PVLAN课程设计报告.docx(11页珍藏版)》请在冰豆网上搜索。
PVLAN课程设计报告
滁州学院
课程设计报告
课程名称:
局域网技术
设计题目:
私有VLAN的应用与比较
系别:
计算机科学与技术系
专业:
网络工程
组别:
第十组
起止日期:
2011年5月1日~2011年6月20日
指导教师:
计算机科学与技术系二○○九年制
目录
⒈引言1
⒉需求分析1
2.1题目1
2.2任务及要求1
2.3设计思想1
2.4运行环境及开发工具2
2.5拓扑图2
⒊概要设计2
3.1配置私有VLAN的原理2
3.2实现步骤3
⒋详细设计4
⒌调试与操作说明5
5.1PC机IP地址5
5.2测试结果5
⒍课程设计总结与体会7
⒎致谢7
⒏参考文献7
⒐附录8
9.13750交换机的主要配置文件8
⒈引言
PVLAN(PrivateVLAN,私有VLAN)是能够为相同VLAN内不同的端口之间提供隔离的VLAN。
通过隔离相同的VLAN之中的网络设备之间的流量,PVLAN能够提高安全性、降低IP子网数目和降低VLAN利用率。
在多层交换环境中,企业通常使用PVLAN来防止连接到某些接口或接口组的网络设备之间相互通信,通过配置私有VLAN实现对私有VLAN的工作原理及其在多层环境中的应用进行设计和说明,并说明私有VLAN在防范ARP攻击、限制广播等方面的应用。
⒉需求分析
2.1题目
课程设计题目:
私有vlan的应用与比较。
2.2任务及要求
了解私有VLAN的工作原理;
设计网络方案及拓扑结构;
实现私有VLAN并验证其在限制广播方面的应用。
2.3设计思想
PVLAN(PrivateVLAN,私有VLAN)是能够为相同VLAN内不同的端口之间提供隔离的VLAN。
通过隔离相同的VLAN之中的网络设备之间的流量,PVLAN能够提高安全性、降低IP子网数目和降低VLAN利用率。
在多层交换环境中,企业通常使用PVLAN来防止连接到某些接口或接口组的网络设备之间相互通信,但却允许默认网关进行通信。
尽管网络设备位于不同的PVLAN中,但它们却使用相同的IP子网。
在这种方式中,为了能够到达默认网关之外的网络,或者只能与特定的设备组进行通信,相同VLAN之内的网络设备就只能与默认网关进行通信。
ARP为地址解析协议,主要负责将局域网中的32位IP地址转换为对应的48位物理地址,即网卡的MAC地址。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
另外在安装可以太网卡的计算机中有一个或多个ARP缓存表,用于保存IP地址以及经过解析的MAC地址。
ARP协议是建立在信任局域网内所有节点的基础上的,它很高效,但却不安全。
以为它是无状态的协议,不会检查自己是否发过请求包,也不管是否是合法的应答,只要收到目标MAC是自己的ARPReply广播包(包括ARPrequest和ARPReply),都会接受并存入缓存,这就为ARP欺骗提供方便。
PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。
如果将交换机的每个端口化为一个下层VLAN,则实现了所有端口的隔离。
2.4运行环境及开发工具
运行环境:
WindowsXP操作系统。
开发工具:
Cisco3750交换机、Cisco2950交换机、PC机。
2.5拓扑图
如图2-1为私有VLAN的网络拓扑图。
图2-1私有VLAN拓扑图
⒊概要设计
3.1配置私有VLAN的原理
私有VLAN的3种子VLAN:
primaryVLAN,isolatedVLAN(secondvlan),communityVLAN(secondvlan):
每个pVLAN包含2种VLAN:
主VLAN和辅助VLAN:
主vlan是pVLAN中的高级VLAN。
主VLAN由多个辅助VLAN组成,且辅助VLAN属于主VLAN的相同子网;辅助VLAN是主VLAN的子代,并且映射到一个主VLAN。
每台设备都连接到辅助pVLAN。
辅助VLAN包括如下两种类型:
团体vlan:
如果端口属于团体VLAN,那么它就不仅能够与相同团体VLAN中的其它端口进行通信,而且能与pVLAN混杂端口进行通信;每个pVLAN可以有多个communityVLAN;隔离VLAN:
只能与混杂端口进行通信,每个pVLAN中只能有一个isolatedVLAN。
私有VLAN的3种port,Isolated,Community,Promiscuous:
混杂端口(PromiscuousPort),属于主VLAN中的端口,可以与任意端口通讯,包括同一个私有VLAN域中辅助VLAN的隔离端口和群体端口;
隔离端口(IsolatedPort),隔离VLAN中的端口,不可以和处于相同isolatedVLAN内的其它isolatedport通信,只能与混杂口通讯;
群体端口(Communityport),属于群体VLAN中的端口,同一个群体VLAN的群体端口可以互相通讯,也可以与混杂通讯。
不能与其它群体VLAN中的群体端口及隔离VLAN中的隔离端口通讯。
3.2实现步骤
在transparent模式中声明三个VLAN,VLAN100、VLAN110、VLAN120分别对应为primary、isolated和community。
将VLAN100映射到VLAN110和VLAN120
把端口gigabitEthernet1/0/3-4划分到VLAN110中,端口gigabitEthernet1/0/5-6划分到VLAN120中,端口gigabitEthernet1/0/1-2划分到VLAN100中。
用showvlanprivate-vlan命令查看private-vlan和用showinterfacesprivate-vlanmapping命令查看对应的映射关系。
配置各个主机的IP地址分别为PC0:
192.168.0.9、PC1:
192.168.0.8、PC2:
192.168.0.2、PC3:
192.168.0.3、PC4:
192.168.1.4、PC5:
192.168.0.5。
通过各个主机间的互相测试,即pc0不能够和pc1相互访问,说明隔离VLAN中的端口,不可以和处于相同isolatedVLAN内的其它isolatedport通信;pc2能够和pc3相互访问,说明属于群体VLAN中的端口,同一个群体VLAN的群体端口可以互相通讯,也可以与混杂通讯;所有主机能够访问pc5、pc4,说明属于主VLAN中的端口,可以与任意端口通讯,包括同一个私有VLAN域中辅助VLAN的隔离端口和群体端口。
⒋详细设计
在上述的拓扑中对3750三层交换机进行私有VLAN配置,通过让pc0不能够和pc1相互访问,pc2能够和pc3相互访问,所有主机能够访问pc5、pc4来说明私有VLAN的具体应用。
⑴VTP模式
3750(config)#vtpmodetransparent
⑵建立VLAN,定义角色
3750(config)#vlan100
3750(config-vlan)#private-vlanprimary
3750(config-vlan)#exit
3750(config)#vlan110
3750(config-vlan)#private-vlanisolated
3750(config-vlan)#exit
3750(config)#vlan120
3750(config-vlan)#private-vlancommunity
⑶VLAN二层映射
3750(config)#vlan100
3750(config-vlan)#private-vlanassociation110,120
⑷将端口纳入VLAN中
3750(config)#intrangegigabitEthernet1/0/3-4
3750(config-if-range)#switchportmodeprivate-vlanhost//主机模式
3750(config-if-range)#switchportprivate-vlanhost-association100110//隔离VLAN
3750(config-if-range)#exit
3750(config)#intrangegigabitEthernet1/0/5-6
3750(config-if-range)#switchportmodeprivate-vlanhost//主机模式
3750(config-if-range)#switchportprivate-vlanhost-association100120//公有VLAN
3750(config-if-range)#exit
3750(config)#intrangegigabitEthernet1/0/1-2
3750(config-if-range)#switchportmodeprivate-vlanpromiscuous//混杂模式
3750(config-if-range)#switchportprivate-vlanmapping100110,120//主VLAN
⑸VLAN三层映射
3750(config)#intvlan100
3750(config-if)#private-vlanmapping110,120
⒌调试与操作说明
5.1PC机IP地址
PC0:
192.168.0.9
PC1:
192.168.0.8
PC2:
192.168.0.2
PC3:
192.168.0.3
PC4:
192.168.1.4
PC5:
192.168.0.5
5.2测试结果
(1)查看private-vlan
3750#showvlanprivate-vlan
PrimarySecondaryTypePorts
---------------------------------------------------------------------------
100110isolatedGi1/0/1,Gi1/0/2,Gi1/0/3,Gi1/0/4
100120communityGi1/0/1,Gi1/0/2,Gi1/0/5,Gi1/0/6
3750#showinterfacesprivate-vlanmapping
InterfaceSecondaryVLANType
----------------------------------------
vlan100110isolated
vlan100120community
(2)pc0不能够和pc1相互访问,说明隔离VLAN中的端口,不可以和处于相同isolatedVLAN内的其它isolatedport通信,测试结果如图5-1所示:
图5-1pc0与pc1的连通性测试
(3)pc2能够和pc3相互访问,说明属于群体VLAN中的端口,同一个群体VLAN的群体端口可以互相通讯,也可以与混杂通讯,测试结果如图5-2所示:
图5-2pc0与pc1的连通性测试
(4)所有主机能够访问pc5、pc4,说明属于主VLAN中的端口,可以与任意端口通讯,包括同一个私有VLAN域中辅助VLAN的隔离端口和群体端口,测试结果如图5-3和5-4所示:
图5-3测试与pc5的连通性
图5-4测试与pc4的连通性
⒍课程设计总结与体会
通过本次对PVLAN的配置,丰富了我们的局域网知识,也对VLAN有了更深刻的认识。
通过网络、图书及其他一些途径,我们对VLAN在防范ARP攻击、限制广播等方面的应用也有了较全面直观的认识。
PVLAN是能够为相同VLAN内不同的端口之间提供隔离的VLAN。
通过隔离相同的VLAN之中的网络设备之间的流量,PVLAN能够提高安全性、降低IP子网数目和降低VLAN利用率。
ARP协议是建立在信任局域网内所有节点的基础上的,它很高效,但却不安全。
以为她是无状态的协议,不会检查自己是否发过请求包,也不管是否是合法的应答,只要收到目标MAC是自己的ARPReply广播包(包括ARPrequest和ARPReply),都会接受并存入缓存,这就为ARP欺骗提供方便。
PVLAN采用端口隔离技术在防范ARP攻击方面有很大的作用。
当然本次课程设计也遇到了一些麻烦,就是关于PVLAN方面的技术资料太少。
书本上讲述的PVLAN也不够详细,这个设计之初带来了不小的麻烦。
但是经过本组每一位成员的努力,我们还是通过图书馆和网络查阅到很多关于PVLAN的原理及配置说明的资料。
同时我也深深的体会到了我们不应该至拘泥于课本教材,也该积极的阅读课外的书籍以丰富自己。
⒎致谢
本课题在选题及进行过程中得到邵雪梅老师的悉心指导。
邵老师多次帮助我们分析思路,开拓视角,在我们遇到困难时给予我们最大的支持和鼓励。
同时感谢同组同学为了这次课程设计所付出的努力。
⒏参考文献
[1]JamesF.Kurose,KeithW.Ross,陈鸣译,计算机网络—自顶向下方法(第四版)[M].北京:
机械工业出版社,2009.
[2]WilliamStallings,白国强译,网络安全基础:
应用于标准(第三版)[M].北京:
清华大学出版社,2007.
[3]LarryL.Peterson;BruceS.Davie,薛静锋等译,计算机网络—系统方法(第四版)[M].北京:
机械工业出版社,2009.
[4]JeannaMatthews,李毅超等译.计算机网络实验教程[M].北京:
人民邮电出版社,2006.
[5]吴功宜等.计算机网络课程设计[M].北京:
机械工业出版社.2005.
⒐附录
9.13750交换机的主要配置文件
3750>en
3750#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
3750(config)#vtpmodetransparent
DevicemodealreadyVTPTRANSPARENT.
3750(config)#vlan100
3750(config-vlan)#private-vlanprimary
3750(config-vlan)#exit
3750(config)#vlan110
3750(config-vlan)#private-vlanisolated
3750(config-vlan)#exit
3750(config)#vlan120
3750(config-vlan)#private-vlancommunity
3750(config-vlan)#exit
3750(config)#vlan100
3750(config-vlan)#private-vlanassociation110,120
3750(config-vlan)#exit
3750(config)#intvlan100
3750(config-if)#private-vlanmapping110,120
3750(config-vlan)#exit
3750(config)#intrangegigabitEthernet1/0/3-4
3750(config-if-range)#switchportmodeprivate-vlanhost
3750(config-if-range)#switchportprivate-vlanhost-association100110
3750(config-if-range)#exit
3750(config)#intrangegigabitEthernet1/0/5-6
3750(config-if-range)#switchportmodeprivate-vlanhost
3750(config-if-range)#switchportprivate-vlanhost-association100120
3750(config-if-range)#exit
3750(config)#intrangegigabitEthernet1/0/1-2
3750(config-if-range)#switchportmodeprivate-vlanpromiscuous
3750(config-if-range)#switchportprivate-vlanmapping100110,120
3750(config-if-range)#exit
评语:
评阅教师签名:
年月日
成绩
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- PVLAN 课程设计 报告