项目4部门间网络的安全隔离技巧.ppt

分配端口 在新创建一个VLAN之后，可以为之手工分配一个端口号或多个端口号。一个端口只能属于唯一一个VLAN。这种为VLAN分配端口号的方法称为静态－接入端口。 在接口配置模式下，分配VLAN端口命令为： Switch（config-if）#switchport access vlan vlan-id 默认情况下，所有的端口都属于VLAN 1。 检验VLAN配置 在特权模式下，可以检验VLAN的配置，常用的命令有： Switch#show vlan //显示所有VLAN的配置消息。 Switch#show inteface interface switchport //显示一个指定的接口的VLAN信息。 添加、更改和删除VLAN 为了添加、更改和删除VLAN，需要把交换机设在VTP服务器或透明模式。当要为整个域内的交换机做一些VLAN更改时，必须处于VTP服务器模式，在VTP范围内更新的内容会自动传播到其他交换机上，在VTP透明模式下做的VLAN更改只能影响本地交换机，更改不会在VTP范围内传播。 为了修改VLAN的属性（如VLAN的名字），应使用全局配置命令vlan vlan-id，但不能更改VLAN编号，为了使用不同的VLAN编号，需要创建新的VLAN编号，然后再分配相应的端口到这个VLAN中。 当在一个VTP服务器模式的交换机上删除一个VLAN时，这个VLAN就会在所有这个VTP域中的交换机上被删除。当在一个VTP透明模式的交换机上删除一个VLAN，这个VLAN只是在这台交换机上被删除。在VLAN配置模式下，使用命令no vlan vlan-id删除VLAN。删除VLAN之前，要确定原来在该vlan下的所有端口移到了另一个VLAN中。 任务2：单交换机上划分VLAN 某人受聘于一家网络公司做网络工程师，现公司有一客户提出要求，该客户公司建立了一小型局域网，包含财务部、销售部和办公室三个部门，公司领导要求各部门内部主机有一些业务可以相互访问，但部门之间为了安全完全禁止互访。 任务2：单交换机上划分VLAN 任务2：单交换机上划分VLAN 能够在单交换机进行VLAN划分； 能够通过VLAN技术隔离网络。 Cisco2950交换机（1台）； PC计算机6台； 双绞线（若干根）； 反转电缆一根。 任务2：单交换机上划分VLAN 任务2：单交换机上划分VLAN Switch1 办公室： VLAN30 F0/18-f0/24 销售部： VLAN20 F0/8-f0/18 财务部： VLAN10 F0/2-f0/8 PC10 PC11 PC20 PC21 PC30 PC31 任务2：单交换机上划分VLAN 步骤1：硬件连接 步骤2：分别打开设备，给设备加电，设备都处于自 检状态，直到连接交换机的指示灯处于绿 灯，表示网络处于稳定连接状态。 步骤3：配置PC10、PC11、PC20、PC21、PC30、PC31的IP地址,如表所示。 PC31 PC30 PC21 PC20 PC11 PC10 子网掩码 IP地址 设备 计算机IP地址配置表 任务2：单交换机上划分VLAN 任务2：单交换机上划分VLAN 步骤4：分别测试PC10、PC11、PC20、PC21、PC30、 PC31这六台计算机之间的连通性。 步骤5：配置交换机VLAN。 步骤6：项目测试。 最后12位标志以太网帧属于哪个VLAN 源地址 FCS 数据/ 填充 长度/类型 目的地址 4字节 46-1500 字节 2字节 4字节 6字节 6字节 VLAN标记 最大长度1522个字节 虚拟局域网的帧格式 带有VLAN3标签的以太网帧 VLAN2 VLAN3 VLAN3 VLAN2 带有VLAN2标签的以太网帧 不带有VLAN标签的以太网帧 VLAN数据帧的传输 Access端口 只能传送标准以太网帧的端口，一般是指那些连接不支持VLAN技术的端设备的接口，这些端口接收到的数据帧都不包含VLAN标签，而向外发送数据帧时，必须保证数据帧中不包含VLAN标签。 Trunk端口 既可以传送有VLAN标签的数据帧也可以传送标准以太网帧的端口，一般是指那些连接支持VLAN技术的网络设备（如交换机）的端口，这些端口接收到的数据帧一般都包含VLAN标签（数据帧VLAN ID和端口缺省VLAN ID相同除外），而向外发送数据帧时，必须保证接收端能够区分不同VLAN的数据帧，故常常需要添加VLAN标签（数据帧VLAN ID和端口缺