实验四“IP地址规划与路由设计”参考设置解读.doc

实验四 “IP地址规划与路由设计”参考设置 4.1 配置跨交换机的VLAN 4.1.1 原理简介 虚拟局域网（Virtual Local Area Network，VLAN）是一种用于隔离广播域的技术。在交换机配置VLAN后，相同VLAN内的主机之间可以直接访问，不同VLAN则不能直接访问。VLAN遵循了IEEE 804.1q协议的标准。在利用配置了VLAN的接口进行数据传输时，需要在数据帧内添加4个字节的804.1q标签信息，用于标识该数据帧属于哪个VLAN，以便于对端交换机接收到数据帧后进行准确的过滤。由于VLAN是基于逻辑连接而不是物理连接的，所以它可以提供灵活的用户/主机管理、带宽分配以及资源优 4.1.2 组网实践 假设某企业有两个重要部门：销售部和技术部，其中销售部门的个人计算机系统分散连接，它们之间需要相互通信，但为了数据安全起见，销售部和技术部需要相互隔离，则要在交换机上做适当的配置来实现这一目标。 通过分析可知，可以将两个部门分别配置到不同的VLAN，只有在同一VLAN内（同一部门）的计算机系统可以跨交换机进行相互通信，反之则不行。网络拓扑如图4.1所示。 图4.1网络拓扑 其中交换机2台，PC3台。 3台PC机IP地址在同一子网中。 （2）实验步骤： 步骤1：在交换机Switch A上创建VLAN10，并将0/5端口划分到VLAN10中； [Switch A]vlan 10 [Switch A-vlan10]int g 0/0/5 [Switch A-GigabitEthernet0/0/5]port [Switch A-GigabitEthernet0/0/5]port link [Switch A-GigabitEthernet0/0/5]port link-ty [Switch A-GigabitEthernet0/0/5]port link-type access [Switch A-GigabitEthernet0/0/5]port default vlan 10 步骤2：在交换机Switch A上创建VLAN20，并将0/15端口划分到VLAN20中； [Switch A-GigabitEthernet0/0/5]vlan 20 [Switch A-vlan20]int g 0/0/15 [Switch A-GigabitEthernet0/0/15]port link-type access [Switch A-GigabitEthernet0/0/15]port default vlan 20 步骤3：把交换机Switch A与交换机Switch B相连的F0/24端口定义为Trunk模式 [Switch A-GigabitEthernet0/0/24]port link-type trunk [Switch A-GigabitEthernet0/0/24]port trunk allow-pass vlan all 步骤4：在交换机Switch B上创建VLAN10，并将0/5端口划分到VLAN10； [Switch B]vlan 10 [Switch B-vlan10]int g 0/0/5 [Switch B-GigabitEthernet0/0/5]port link-type access [Switch B-GigabitEthernet0/0/5]port default vlan 10 步骤5：把交换机Switch B与交换机Switch A相连的F0/24端口定义为Trunk模式； [Switch B-vlan10]int g 0/0/5 [Switch B-GigabitEthernet0/0/5]port link-type access [Switch B-GigabitEthernet0/0/5]port default vlan 10 [Switch B-GigabitEthernet0/0/5]int g 0/0/24 [Switch B-GigabitEthernet0/0/24]port link-type trunk [Switch B-GigabitEthernet0/0/24]port trunk allow-pass vlan all 步骤6：验证测试。 在PC1上分别尝试使用ping命令测试与PC2、PC3的连通性。 4.1.3 总结与分析 配置时，应注意将两台交换机直接相连的端口设置为Trunk模式，Trunk接口在默认情况下支持所有的VLAN传输。通过配置VLAN可以隔离不同部门之间的通信。 4. 4.2.1 原理简介 交换机的端口安全特性可以只允许特定的MAC地址的设备接入到网络中，从而防止用户将非法或未授权