项目八部门间网络的安全隔离

关于项目八部门间网络的安全隔离任务14：单交换机上划分VLAN技术14.1工作任务你受聘于一家网络公司做网络工程师，现公司有一客户提出要求，该客户公司建立了一小型局域网，包含财务部、销售部和办公室三个部门，公司领导要求各部门内部主机有一些业务可以相互访问，但部门之间为了安全完全禁止互访。14.2相关知识为了在交换机进行VLAN配置，作为网络工程师，需要了解本工作任务所涉及的以下几方面知识：；■VLAN的概念；■VLAN的组网技术；■VLAN的配置。第2页,共85页，星期六，2024年，5月14.2.1虚拟局域网的概念连接到第2层交换机的主机和服务器处于同一个网段中。这会带来两个严重的问题：■交换机会向所有端口泛洪广播，占用过多带宽。随着连接到交换机的设备不断增多，生成的广播流量也随之上升，浪费的带宽也更多。■连接到交换机的每台设备都能够与该交换机上的所有其它设备相互转发和接收帧。

VLAN一般基于工作功能、部门或项目团队来逻辑地分割交换网络，而不管使用者在网络中的物理位置。同组内全部的工作站和服务器共享在同一VLAN，不管物理连接和位置在哪里。第3页,共85页，星期六，2024年，5月图14.1给出一个关于VLAN划分的示例。图14.1中使用了四个交换机的网络拓扑结构。有9个工作站分配在三个楼层中，构成了三个局域网，即：

LAN1：（A1，B1，C1），LAN2：（A2，B2，C2），LAN3：（A3，B3，C3）。第4页,共85页，星期六，2024年，5月VLAN1VLAN2VLAN2A2图14.1虚拟局域网VLAN的示例A1B3B2B1C1C2C3A3LAN3LAN2LAN1第5页,共85页，星期六，2024年，5月

但这9个用户划分为三个工作组，也就是说划分为三个虚拟局域网VLAN。即：

VLAN1：（A1，A2，A3），VLAN2：（B1，B2，B3），VLAN3：（C1，C2，C3）。14.2.2VLAN的优点采用VLAN后，在不增加设备投资的前提下，可在许多方面提高网络的性能，并简化网络的管理。具体表现在：1.有利于优化网络性能通过将交换机划分到不同的VLAN中，一个VLAN的广播不会影响到其他VLAN的性能。即使是同一交换机上的两个相邻端口，只要它们不在同一VLAN中，则相互之间也不会渗透广播流量，也就是说一个VLAN构成一个独立的广播域。2.提高了网络的安全性通过将可以相互通信的网络结点放在一个VLAN内，或将受限制的应用和资源放在一个安全VLAN内，并提供基于应用类型、协议类型、访问权限等不同策略的访问控制表，就可以有效限制进入或离开VLAN的数据流；属于不同VLAN的主机，即便是在同一台交换机上的用户主机，如果它们不在同一VLAN也不能通信。第6页,共85页，星期六，2024年，5月

3.便于对网络进行管理和控制同一VLAN中的用户，可以连接在不同的交换机，并且可以位于不同的物理位置，如分布在不同的楼层或不同的楼宇，可以大大减少在网络中增加、删除或移动用户时的管理开销。4.提供了基于第二层的通信优先级服务在千兆位以太网中，基于与VLAN相关的IEEE802.1P标准可以在交换机上为不同的应用提供不同的服务如传输优先级等。14.2.3VLAN的组网方法

VLAN的划分可以根据功能、部门或应用而无须考虑用户的物理位置。以太网交换机的每个端口都可以分配给一个VLAN。分配在同一个VLAN的端口共享广播域（一个站点发送希望所有站点接收的广播信息，同一VLAN中的所有站点都可以听到），分配在不同VLAN的端口不共享广播域。虚拟局域网既可以在单台交换机中实现，也可以跨越多个交换机。第7页,共85页，星期六，2024年，5月从实现的机制或策略分，VLAN分为静态VLAN和动态VLAN两种。1.静态VLAN

在静态VLAN中，由网络管理员根据交换机端口进行静态的VALN分配，当在交换机上将其某一个端口分配给一个VLAN时，其将一直保持不变直到网络管理员改变这种配置，所以又被称为基于端口的VLAN。也就是根据以太网交换机的端口来划分广播域。也就是说，交换机某些端口连接的主机在一个广播域内，而另一些端口连接的主机在另一广播域，VLAN和端口连接的主机无关，如图14.2和表14.1所示。第8页,共85页，星期六，2024年，5月交换机图14.2基于端口的VLAN划分Port12345ABCDE端口VLANIDPort1VLAN2Potr2VLAN3Port3VLAN2Port4VLAN3Port5VLAN2表14-1VLAN映射简化表2.动态VLAN第9页,共85页，星期六，2024年，5月

动态VLAN是指交换机上以连网用户的MAC地址、逻辑地址（如IP地址）或数据包协议等信息为基础将交换机端口动态分配给VLAN的方式。总之，不管以何种机制实现，分配在同一个VLAN的所有主机共享一个广播域，而分配在不同VLAN的主机将不会共享广播域。也就是说，只有位于同一VLAN中的主机才能直接相互通信，而位于不同VLAN中的主机之间是不能直接相互通信的。（1）基于MAC地址的VLAN（2）基于路由的VLAN（3）用IP广播组定义虚拟局域网

第10页,共85页，星期六，2024年，5月14.2.4静态VLAN配置在建立VLAN之前，必须考虑是否使用VLAN干线协议（VLANtrunkprotocol，VTP）来为你的网络进行全局VLAN的配置。大多数Catalyst桌面交换机支持最多64个激活的VLAN。Catalyst2950系列交换机在标准镜像上可以支持最多250个VLAN，并且最大可支持的VLAN号为4096。Catalyst交换机的默认配置是为每一个VLAN运行一个单独的生成树实例。

Catalyst交换机的原厂默认配置使得VLAN被预先配置好，以支持多种介质和协议类型。默认的以太网VLAN叫做VLAN1。CDP和VTP广播发送到VLAN1.第11页,共85页，星期六，2024年，5月1.配置静态VLAN

（1）配置VLAN的ID和名字配置VLAN最常见的方法是在每个交换机上手工指定端口－LAN映射。在全局配置模式下使用VLAN命令。

Switch（config）#vlanvlan-id

其中：Vlan是-id配置要被添加的VLAN的ID，如果要安装增强的软件版本，范围为1

4096，如果安装的是标准的软件版本，范围为1

1005。每一个VLAN都有一个唯一的4位的ID（范围：0001

1005）。

Switch（config-vlan）#namevlan-name

定义一个VLAN的名字，可以使用1

32个ASCII字符，但是必须保证这个名称在管理域中是唯一的。

第12页,共85页，星期六，2024年，5月

（2）分配端口在接口配置模式下，分配VLAN端口命令为：

Switch（config-if）#switchportaccessvlanvlan-id

默认情况下，所有的端口都属于VLAN1。2.检验VLAN配置在特权模式下，可以检验VLAN的配置，常用的命令有：

Switch#showvlan

//显示所有VLAN的配置消息。

Switch#showintefaceinterfaceswitchport

//显示一个指定的接口的VLAN信息。3.添加、更改和删除VLAN

为了添加、更改和删除VLAN，需要把交换机设在VTP服务器或透明模式。当要为整个域内的交换机做一些VLAN更改时，必须处于VTP服务器模式，在VTP范围内更新的内容会自动传播到其他交换机上，在VTP透明模式下做的VLAN更改只能影响本地交换机，更改不会在VTP范围内传播。第13页,共85页，星期六，2024年，5月14.3方案设计根据客户的要求，经过公司技术人员的协商，认为在交换机上通过VLAN技术从而达到各部门网络之间互相禁止访问。先将交换机划分3个VLAN，使财务部、销售部和办公室各个部门的主机在相同的VLAN中，部门之间在不同的VLAN内。这样在同一VLAN内的主机能够相互访问，不同VLAN之间的主机不能相互访问，达到公司要求。三个部门VLAN划分14为：财务部在VLAN10中，VLAN10包括交换机的f0/1-f0/8端口；销售部在VLAN20中，VLAN20包括交换机的f0/9-f0/18端口；办公室在VLAN30中，VLAN30包括交换机的f0/18-f0/24端口。第14页,共85页，星期六，2024年，5月14.4项目实施－单交换机上划分VLAN技术14.4.1任务目标通过工作任务的完成，使学生可以掌握以下技能：（1）能够在单交换机进行VLAN划分；（2）能够通过VLAN技术隔离网络。14.4.2设备清单（1）Cisco2950交换机（1台）；（2）PC机6台；（3）双绞线（若干根）；（4）反转电缆一根。第15页,共85页，星期六，2024年，5月

14.4.3网络拓扑本技能训练的网络拓扑，如图14.3所示，按照图14.3连接硬件和设置IP地址，通过反转线将交换机的Console口和计算机PCA的COM连接起来，采用直通线将PC10、PC11连接到交换机的f0/2、f0/3，将PC20、PC21连接到交换机的f0/9、f0/10，将PC30、PC31连接到交换机的f0/19、f0/20。图14.3单交换机VLAN划分交换机Console接口财务部：VLAN10F0/2-f0/8销售部：VLAN20F0/8-f0/18办公室：VLAN30F0/18-f0/24PC10PC20PC30

第16页,共85页，星期六，2024年，5月14.4.4实施过程步骤1：硬件连接在交换机和计算机断电的状态下，按照图14.3连接硬件。步骤2：分别打开设备，给设备加电，设备都处于自检状态，直到连接交换机的指示灯处于绿灯，表示网络处于稳定连接状态。步骤3：配置PC10、PC11、PC20、PC21、PC30、PC31的IP地址如表14-2所示。表14-2计算机IP地址配置表

设备IP地址子网掩码PC100PC111PC200PC211PC30PC31第17页,共85页，星期六，2024年，5月步骤4：分别测试PC10、PC11、PC20、PC21、PC30、PC31这六台计算机之间的连通性。步骤5：配置交换机VLAN在设备断电的状态台下，将交换机和PC10计算机通过反转电缆连接起来，打开PC10的超级终端，配置交换机的VLAN，配置如下：1.登录到交换机并创建VLANSwitch>enableSwitch#Switch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#Switch(config)#vlan10//创建VLAN10Switch(config-vlan)#namecaiw10Switch(config-vlan)#exit

第18页,共85页，星期六，2024年，5月Switch(config)#vlan20//创建VLAN20Switch(config-vlan)#namexiaos20Switch(config-vlan)#exit

Switch(config)#vlan30//创建VLAN

30Switch(config-vlan)#namebang30Switch(config-vlan)#exit

2.验证配置结果Switch#showvlan

Switch#showvlan第19页,共85页，星期六，2024年，5月VLANNameStatusPorts------------------------------------------------------------1defaultactive//默认情况下，所有端口都属VLAN1Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7Fa0/8,Fa0/9,Fa0/10Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19Fa0/20,Fa0/21,Fa0/22Fa0/23,Fa0/2410test0010active//创建VLAN10，没有连接端口20test0020active//创建VLAN20，没有连接端口30test0030active//创建VLAN30，没有连接端口第20页,共85页，星期六，2024年，5月4.配置交换机，将端口分配到VLANSwitch#Switch#configterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#intrangef0/2–8//将交换机的f0/2-f0/8端口加入VLAN10Switch(config-if-range)#switchportaccessvlan10Switch(config)#intrangef0/9–18//将交换机的f0/9-f0/18端口加入VLAN20Switch(config-if-range)#switchportaccessvlan20Switch(config)#intrangef0/19–24//将交换机的f0/18-f0/24端口加入VLAN30Switch(config-if-range)#switchportaccessvlan30第21页,共85页，星期六，2024年，5月5.再次验证配置结果Switch#showvlan

VLANNameStatusPorts-----------------------------------------------------------1defaultactive//默认情况下，所有端口都属于VLAN1Fa0/110test0010activeFa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7Fa0/820test0020activeFa0/9,Fa0/10Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18

30test0030activeFa0/19Fa0/20,Fa0/21,Fa0/22Fa0/23,Fa0/24第22页,共85页，星期六，2024年，5月14.4.5项目测试步骤1：分别测试PC10、PC11、PC20、PC21、PC30、PC31这六台计算机之间的连通性。并填入下表。设备

PC10PC1PC20PC21PC30PC31PC10／

PC11

／

PC20

／

PC21

／

PC30

／

PC31

／步骤2：重新打开交换机，进行验证测试Switch#showvlan

Switch#showrunning-config

查看结果第23页,共85页，星期六，2024年，5月14.5小结VLAN是一个逻辑上的概念，可以把接在不同交换机上的计算机根据功能等组织成新的网段，同一VLAN的计算机属于同一广播域，不同VLAN属于不同广播域，从而控制了广播问题。习

题一、选择题1.以下对VLAN的描述，不正确的是（）。

A.利用VLAN，可有效地隔离广播域

B.要实现VLAN间的相互通信，必须使用外部的路由器为其指定路由

C.可以将交换机的端口静态地或动态地指派给某一个VLAND.VLAN中的成员可相互通信，只有访问其他VLAN中的主机时，才需要网关2.在实施VLAN的时候，如何能够改善网络的整体性能？（）

A.通过隔离发生故障的雇员第24页,共85页，星期六，2024年，5月B.通过限制广播流量

C.通过将交换机端口分组为逻辑团体

D.通过在VLAN之间强制发生第3层路由选择过程

二、思考题1.将交换机端口划分到VLAN中的方式有哪两种？它们之间有何区别？2.使用VLAN为何能够提高园区网的安全性？3.试解释两种设计VLAN的方法？三、实训题1.交换机的VLAN配置现有Cisco3550交换机1台，控制线一根，PC机3台，网线3根，网络拓扑如图14.4所示。第25页,共85页，星期六，2024年，5月Cisco3550图14.4VLAN配置拓扑图PC1：PC2：PC3：

VLAN2VLAN2243第26页,共85页，星期六，2024年，5月（1）按照图14.4所示连接好网络。并配置Cisco3550交换机的主机名为switch3550，禁止域名查询和禁止HTTP服务。（2）配置Cisco3550交换机的管理地址为00。（3）将Cisco3550交换机的1－12号端口划分为VLAN2，VLAN2的虚拟接口地址为；Cisco3550交换机的13-24端口划分为VLAN3，VLAN3的虚拟接口地址为。（4）设置PC1和PC2的主机IP地址分别为：、，网关地址为；PC3的主机IP地址为，网关地址为。（5）在PC1主机中，分别Ping主机PC2和PC3，看是否能Ping通，若都能Ping通，则VLAN划分成功，VLAN间通信配置也成功；若PC2通，PC3不通，则VLAN划分成功，VLAN间通信配置不成功。第27页,共85页，星期六，2024年，5月任务15：多交换机上划分VLAN技术15.1工作任务任务1：你受聘于一家网络公司做网络工程师，现公司有一客户提出要求，该公司建立了一小型局域网，包含财务部、销售部和办公室三个部门，分别位于两座办公楼，在每一座办公楼设置一台交换机，在每一座办公楼都有财务部、销售部和办公室三个部门，公司领导要求各部门内部主机有一些业务可以相互访问，但部门之间为了安全完全禁止互访。任务2：公司领导要求办公室内部计算机可以相互访问，财务部、销售部两个部门的计算机只有同一座楼可以相互访问，不同楼的计算机不能相互访问，部门之间为了安全完全禁止互访。第28页,共85页，星期六，2024年，5月15.2相关知识为了在多交换机进行VLAN配置，作为网络工程师，需要了解本工作任务所涉及的以下几方面知识：；

n

汇聚链路的概念；

n

VTP的概念；

n

VLAN干线。15.2.1汇聚链路的概念在规划企业级网络时，很有可能会遇到隶属于同一部门的用户分散在同一座建筑物中的不同楼层中，这时可能就需要跨越多台交换机的多个端口划分VLAN，不同于在同一交换机上划分VLAN的方法。如图15.1所示，需要将不同楼层的用户主机A、C和B、D设置为同一个VLAN。第29页,共85页，星期六，2024年，5月VLAN2VLAN3ACBD交换机1交换机2图15.1跨多台交换机的VLAN第30页,共85页，星期六，2024年，5月

当VLAN成员分布在多台交换机的端口上时，VLAN内的主机彼此间应如何自由通信呢？最简单的解决方法是在交换机1和交换机2上各拿出一个端口，用于将两台交换机级联起来，专门用于提供该VLAN内的主机跨交换机相互通信。如图15.2所示。VLAN2VLAN3ACBD交换机1交换机2图15.2VLAN内的主机跨交换机的通信VLAN2VLAN3第31页,共85页，星期六，2024年，5月

这种方法虽然解决了VLAN内主机间的跨交换机通信，但每增加一个VLAN，就需要在交换机间添加一条互联链路，并且还要额外占用交换机端口，扩展性和管理效率都很差。为了避免这种低效率的连接方式和对交换机端口的浪费占用，人们想办法让交换机间的互联链路汇聚到一条链路上让该链路允许各个VLAN的通信流经过，这样就可解决对交换机端口的额外占用，这条用于实现各VLAN在交换机间通信的链路，称为交换机的汇聚链接（TrunkLink）或主干链路，如图15.3所示。用于提供汇聚链路的端口称为汇聚端口。由于汇聚端口通信流量大，一般只有100Mbps或以上的端口才能作为汇聚端口使用。第32页,共85页，星期六，2024年，5月VLAN2VLAN3ACBD交换机1交换机2图15.3VLAN内的主机跨交换机的通信TrunkLink第33页,共85页，星期六，2024年，5月15.2.2VLAN干线技术一个干线是网络中两台交换机之间的物理和逻辑关联，如图15.3所示。在一个交换网络中，一个干线是一个点到点的连接，它能支持多个VLAN。如图15.3所示。干线的目的是当两个设备实施VLAN时，可以节约端口。干线连接是交换机之间以及交换机与路由器之间的一个导管，不属于一个具体的VLAN。如图15.4所示.图15.4VLAN干线可以使多路的VLAN数据被承载在一条单独的链路上

VLAN1

VLAN2

VLAN3ISL干线

ISL是Cisco公司私有的协议，当有数据在多个交换机间流动的时候，它控制VLAN信息并且使这些交换机互联起来。第34页,共85页，星期六，2024年，5月ISL在每个原始以太数据帧头附加一个26字节的ISL帧头，如图15.5所示，同时为新的数据帧产生一个4字节的CRC附加在帧的末尾。在26字节的头部包含有一个15个比特位长的VLANID字段，该字段中的值就是被封装数据所属的VLAN号。这样交换机就能识别属于不同VLAN的数据流。但主机（网卡）不识别这样的数据帧，所以，当交换机把数据传递给主机之前需要将ISL封装剥去。ISLHeader26bytesEncapsulatedEthernetFrame图15.5ISL帧格式CRC4bytes第35页,共85页，星期六，2024年，5月目的地址Port）长度／类型长度／类型＝802.1Q标记类型用户优先级2字节图15.6虚拟局域网以太网帧格式数据802.3MAC帧源地址Port）FCS字节664246

15004插入4字节的VLAN标记标记控制信息1000000100000000VLANIDCFI2字节2.IEEE802.1QIEEE802.1q标准定义了VLAN的以太网帧格式，在传统的以太网的帧格式中插入一个4字节的标识符，称为VLAN标记，也称为tag域，用来指明发送该帧的工作站属于哪一个VLAN。如图15.6所示。如果还使用传统的以太网帧格式，那么就无法划分VLAN。第36页,共85页，星期六，2024年，5月15.2.3VLAN数据帧的传输

发送给交换机时，为了让对端交换机能够知道数据帧的VLANID，它应该给从主机接收到的数据帧增加一个tag域后再发送，其数据帧传输过程中的变化如图15.7所示。带有VLAN3标签的以太网帧图15.7VLAN数据帧的传输VLAN2VLAN3VLAN3VLAN2带有VLAN2标签的以太网帧不带有VLAN标签的以太网帧第37页,共85页，星期六，2024年，5月根据交换机处理数据帧的不同，可以将交换机的端口分为两类：

l

Access端口：只能传送标准以太网帧的端口，一般是指那些连接不支持VLAN技术的端设备的接口，这些端口接收到的数据帧都不包含VLAN标签，而向外发送数据帧时，必须保证数据帧中不包含VLAN标签。

l

Trunk端口：既可以传送有VLAN标签的数据帧也可以传送标准以太网帧的端口，一般是指那些连接支持VLAN技术的网络设备（如交换机）的端口，这些端口接收到的数据帧一般都包含VLAN标签（数据帧VLANID和端口缺省VLANID相同除外），而向外发送数据帧时，必须保证接收端能够区分不同VLAN的数据帧，故常常需要添加VLAN标签（数据帧VLANID和端口缺省VLANID相同除外）。第38页,共85页，星期六，2024年，5月15.2.4配置VLAN干线

实际工程中Ciscocatalyst交换机现在越来越少使用ISL干线技术，转而更多地使用802.1Q干线技术。最新的catalyst交换机支持ISL协议和802.1Q协议或者只支持802.1Q协议。例如，catalyst3750交换机支持ISL和802.1Q，但是catalyst2950就只支持802.1Q。1.802.1Qtrunk的配置使用switchport模式接口配置命令可以使得一个快速以太网接口或者千兆位接口工作在trunk模式，Catalyst2950交换机支持动态的trunk协议，它可以完成trunk自动协商。Switch（config-if）#switchportmode{access|dynamic{auto|desirable}|trunk}第39页,共85页，星期六，2024年，5月把交换机的一个端口配置为802.1Q干线端口的步骤为：步骤1：为了配置trunk需要进入端口配置模式：switch(config)#interfacetypemod/port步骤2：配置这个端口作为VLAN干线：Switch(config-if)#switchportmodetrunk步骤3：指定默认的VLAN：Switch(config-if)#switchporttrunkallowedvlan

vlan-id步骤4：定义本征VLAN：Switch(config-if)#switchporttrunknativevlanvlan-id第40页,共85页，星期六，2024年，5月2.ISL干线的配置Catalyst交换机支持多种封装类型，但是通常都会支持DTP、ISL、802.1Q三种封装。

n

802.1Q：启用trunk模式时端口只会使用802.1Q封装。

n

ISL：启用trunk模式时端口只会使用ISL封装。

n

Negotiate：端口会协商封装类型，这是大多数交换机的默认设置。以cisco3550交换机的为例设置一个端口配置为ISL干线端口的步骤如下：步骤1：为了配置trunk需要进入端口配置模式：switch(config)#interfacetypemod/portswitch(config-if)#shutdown步骤2：配置这个端口使用ISL封装

Switch(config-if)#switchporttrunkencapsulationISL

第41页,共85页，星期六，2024年，5月步骤3：配置为trunk模式：Switch(config-if)#switchportmodetrunkSwitch(config-if)#noshutdown3.静态指定trunk链路中的VLAN默认情况下，trunk链路允许所有VLAN的流量通过，但可采用手工静态指定或动态自动判断两种方式来设置允许通过trunk链路的VLAN流量。

可以手工静态地从trunk链路中删除或添加允许通过的VLAN。（1）设置不允许通过trunk链路的VLAN在配置前，首先应使用interface配置命令选中trunk链路端口，然后再从trunk链路中删除指定的VLAN，即不允许这些VLAN的通信流量通过trunk链路。配置命令为：

Switch（config）#interfacetypemod/portSwitch（config-if）#switchporttrunkallowedvlanremovevlanlist第42页,共85页，星期六，2024年，5月其中：vlanlist表示要添加的VLAN号列表，各VLAN之间用逗号进行分隔。例如，从cisco3550的端口2是trunk链路端口，现要将VLAN2和VLAN5从trunk链路中删除，则配置命令为：Switch3550（config）#interfacefastethernet0/2Switch3550（config-if）#switchporttrunkallowedvlan

remove

2,5若要在trunk链路中删除100~200号VLAN的流量，则配置命令为：Switch3550（config-if）#switchporttrunkallowedvlan

remove100-2002）设置允许通过trunk链路的VLAN配置命令为：witch（config）#interfacetypemod/portSwitch（config-if）#switchporttrunkallowedvlanadd

vlanlist第43页,共85页，星期六，2024年，5月其中：vlanlist表示要删除的VLAN号列表，各VLAN之间用逗号进行分隔。例如，从cisco3550的端口2是trunk链路端口，现要添加允许VLAN2和VLAN5的通信流量通过，则配置命令为：Switch3550（config）#interfacefastethernet0/2Switch3550（config-if）#switchporttrunkallowedvlanadd2,5若要配置trunk链路仅允许VLAN2、VLAN5和VLAN7通过，则配置命令为：Switch3550（config）#interfacefastethernet0/2Switch3550（config-if）#switchporttrunkallowedvlanremove2–1001Switch3550（config-if）#switchporttrunkallowedvlanadd2,5,7若要设置允许所有的VLAN通过trunk链路，则配置命令为：Switch3550（config-if）#switchporttrunkallowedvlanall第44页,共85页，星期六，2024年，5月15.2.5VLAN中继协议随着网络规模和复杂程度的增长，VLAN结构的集中化管理变得日益重要。VTP（VLAN中继协议）是第2层消息协议，它提供了一种从网段内的中央服务器对VLAN数据库进行分布和管理的方法。路由器不会转发VTP更新。1.VTP概念及模式

VTP使用“域”（Domain）关系组织互连的交换机，并在“域”内的所有交换机上维护VLAN配置信息的一致性。VTP“域”也被称为VLAN管理域（VLANmanagementdomain）。网络中的VTP域是一组VTP域名称相同并通过Trunk相互连接的交换机。一台交换机可以属于也只能属于一个VTP域。VTP是一种客户端/服务器消息协议，它能够在单个VTP域中增加、删除和重命名VLAN。同一管理区域内的所有交换机都是域的一部分。每个域都有其唯一的名称。VTP交换机仅与相同域中的其它交换机共享VTP消息。第45页,共85页，星期六，2024年，5月

VTP有三种模式：服务器模式、客户端模式和透明模式。默认情况下，所有交换机都使用服务器模式。建议一个网络中至少将两台交换机配置为服务器，以便提供备份和冗余功能。

可以将交换机配置为以下3种VTP操作模式中的一种。(1)服务器模式(Servermode)服务器模式是交换机默认的工作模式，运行在该模式的交换机，允许创建、修改和删除本地VLAN数据库中的VLAN，并允许设置一些对整个VTP域的配置参数。(2)客户机模式（Clientmode）处于该模式下的交换机不能创建、修改和删除VLAN，也不能在NVRAM中存储VLAN配置，如果掉电，将丢失所有的VLAN信息。第46页,共85页，星期六，2024年，5月(3)透明模式（transparentmode）

透明模式也可以创建、修改或删除本地VLAN数据库的VLAN，但与服务器模式不同的是，对VLAN配置的变化不会传播给其他交换机，即对VLAN的配置改变，仅对处于透明模式的交换机自身有效。2.VTP操作

VTP通告信息是在交换机的干道链路上传播的，在VTP通告信息中包含配置版本号，配置版本号的高低代表着VLAN配置信息的新旧，高版本号代表更新的信息。只要交换机接收到一个有更高配置版本号的更新，它就用该VTP更新中的信息覆盖过去的信息。每当服务器上修改了VLAN的配置（修改包括创建、删除VLAN和更改VLAN的名称），其配置版本号就会加1，然后用新的版本号向域中通告。第47页,共85页，星期六，2024年，5月3.VTP配置当创建VLAN时，必须要决定是否使用VTP。使用VTP，能使配置在一个或多个交换机上被改变时，那些改变会自动传送给在同一个VTP域中的其他交换机。默认的交换机配置值取决于交换机的类别和软件的版本。下面列出了Catalyst2950系列交换机的默认值：■VTP域名――None；■VTP模式――Server；■VTP密码――None；■VTP修剪――Disabled；

■VTP版本――1；■VTP警告――Disabled；第48页,共85页，星期六，2024年，5月（1）创建VTP管理域VTP管理域不会隔断广播域，仅用于同步VLAN配置信息。创建VTP管理域需要在VLAN配置模式下运行，配置命令为：switch(config)#Vtpdomaindomain-name其中：domain-name是要创建的VTP管理域的名称，并区分大小写。在CiscoCatalyst3550交换机上创建一个名为xtjx的管理域，则配置命令为：Switch3550>enableSwitch3550＃vlandatabaseSwitch3550(VLAN)＃vtpdomainxtjx在CiscoCatalyst3560交换机上创建一个名为xtjx的管理域，则配置命令为：Swithch3560>enSwithch3560#configtSwithch3560(config)#vtpdomainxtjx第49页,共85页，星期六，2024年，5月（2）设置VTP模式设置VTP的工作模式需要在VLAN配置模式下进行，配置命令为：Switch(VLAN)＃Vtp

［server|client|transparent］将CiscoCatalyst3550交换机设置为server模式，则配置命令为：Switch3550(VLAN)＃vtpserver将CiscoCatalyst3560交换机设置为server模式，则配置命令为：Swithch3560(config)#vtpmodeserver执行showvtpstatus可查看到相应的配置项已设置。第50页,共85页，星期六，2024年，5月（3）选择VTP版本VTP支持版本1和版本2模式，设置启用VTP版本2，可在VLAN配置模式下进行，配置命令为：Switch(VLAN)＃Vtpv2-mode将CiscoCatalyst3550交换机VTP版本设置为2，则配置命令为：Switch3550(VLAN)＃vtpv2-mode将CiscoCatalyst3560交换机VTP版本设置为2，则配置命令为Swithch3560(config)#vtpversion2（4）

查看VTP信息若要查看VTP的状态信息，可使用命令：Showvtpstatus若要查看VTP的统计信息，可使用命令：Showvtpcounters第51页,共85页，星期六，2024年，5月（5）启用VTPPruning要实现启用VTPPruning功能，VTP域中的所有交换机必须支持VTP版本2，但并不一定要启用VTP版本2。目前的交换机一般均支持VTP版本2的功能。启用VTPPruning功能的配置命令为：Switch（vlan）#VtpPruning例如，在Cisco3550交换机上启用VTPPruning功能，则配置命令为：Switch3550#VLANdatabaseSwitch3550（vlan）#vtppruningSwitch3550（vlan）#end在Cisco3560交换机上启用VTPPruning功能，则配置命令为：Swithch3560(config)#vtppruning第52页,共85页，星期六，2024年，5月默认情况下，所有的VLAN均有被裁剪的资格。设置不允许参与裁剪功能的VLAN，配置命令为：Switch（config）#interfacetypemod/portSwitch（config-if）#switchporttrunkpruningvlanremove

vlanlist例如，假设trunk链路端口为端口2，不允许VLAN2参与VTP裁剪，则配置命令为：Switch3550（config）#interfacefastethernet0/2Switch3550（config-if）#switchporttrunkpruningvlanremove2此时需要在trunk链路两端的交换机中均要进行相应的配置。设置允许参与裁剪功能的VLAN，配置命令为：Switch（config）#interfacetypemod/portSwitch（config-if）#switchporttrunkpruningvlanadd

vlanlist第53页,共85页，星期六，2024年，5月15.3方案设计对于任务1：根据客户的要求，经过公司技术人员的协商，认为在通过交换机上VLAN技术从而达到各部门网络之间互相禁止访问。先将两个交换机分别划分3个VLAN，使财务部、销售部和办公室各个部门的主机在相同的VLAN中，部门之间在不同的VLAN内。用一条交叉线将两台交换机的fa0/1端口连接起来，且两台交换机相连接口设置为trunk类型，这样在同一VLAN内的主机能够相互访问，不同VLAN之间的主机不能相互访问，达到公司要求。三个部门VLAN划分为：财务部在VLAN10中，VLAN10包括交换机A的f0/2-f0/8端口和交换机B的f0/2-f0/8端口；销售部在VLAN20中，VLAN20包括交换机A的f0/9-f0/18端口和交换机B的f0/9-f0/18端口；办公室在VLAN30中，VLAN30包括交换机A的f0/18-f0/24端口和交换机B的f0/18-f0/24端口。第54页,共85页，星期六，2024年，5月对于任务2：和需求1基本上都一样，只是在两台交换机相连接口设置为trunk类型，需要移除VLAN10和VLAN20外的所有VLAN数据都通过trunk接口从一台交换机某一VLAN到达另一台交换机同一VLAN中。15.4项目实施－多交换机划分VLAN技术15.4.1任务目标通过工作任务的完成，使学生可以掌握以下技能：（1）能够实现跨交换机上实现VLAN方法；（2）能够掌握将交换机端口分配到VLAN中的操作技巧。第55页,共85页，星期六，2024年，5月15.4.2设备清单（1）Cisco3560交换机（1台）；（2）Cisco2950交换机（1台）；（3）PC机6台；（4）双绞线（若干根）；（5）反转电缆一根。15.4.3网络拓扑本工作任务的网络拓扑，如图15.8所示，按照图15.8连接硬件和设置IP地址，采用直通线将PC10连接到交换机A的f0/2，将PC11连接到交换机B的f0/2；将PC10连接到交换机A的f0/2，将PC11连接到交换机B的f0/2；将PC20连接到交换机A的f0/9，将PC21连接到交换机B的f0/9；将PC30连接到交换机A的f0/19，将PC31连接到交换机B的f0/19。第56页,共85页，星期六，2024年，5月图15.8多交换机VLAN划分交换机AFa0/1PC30PC21PC11交换机BFa0/1PC31PC20PC10第57页,共85页，星期六，2024年，5月15.4.4实施过程步骤1：硬件连接在交换机和计算机断电的状态下，按照图15.8所示连接硬件。步骤2：分别打开设备，给设备加电。步骤3：配置PC10、PC11、PC20、PC21、PC30、PC31的IP地址如表14-2所示。步骤4：分别测试PC10、PC11、PC20、PC21、PC30、PC31这六台计算机之间的连通性。第58页,共85页，星期六，2024年，5月步骤5：配置交换机A在设备断电的状态台下，将交换机和PC10计算机通过反转电缆连接起来，打开PC10的超级终端，配置交换机A的VLAN，配置如下：1．配置Cisco3550交换机，并设置为VTP服务器模式Switch>enSwitch#configtSwitch（config）#hostnameswitch3550switch3550（config）#exitswitch3550#vlandatabase//创建VTP管理域switch3550（vlan）#vtpdomainxtjxswitch3550（vlan）#vtpserver//设置交换机为VTP服务器switch3550（vlan）#exit第59页,共85页，星期六，2024年，5月2.在交换机Cisco3550上创建VLAN（略）3.配置交换机Cisco3550，将端口分配到VLAN（略）步骤6：配置交换机Cisco2950上VLAN在设备断电的状态台下，将交换机和PC11计算机通过反转电缆连接起来，打开PC11的超级终端。1.配置Cisco2950交换机，创建VLAN（略）2.将交换机Cisco2950加入到xtjx域设置为Client模式switch2950#vlandatabaseswitch2950（vlan）#vtpdomainxtjxswitch2950（vlan）#vtpclientswitch2950（vlan）#exit第60页,共85页，星期六，2024年，5月3.配置交换机B，将端口分配到VLAN步骤7：跨交换机VLAN之间连接1.将交换机A和交换机B相连的端口（假设为fa0/1），定义为tagvlan模式。Switch3550#configterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch3550(config)#interfacefastethernet0/1Switch3550（config-if）#switchport//设置为2层交换接口Switch3550(config-if)#switchporttrunkencapsulationdot1qSwitch3550(config-if)#switchportmodetrunkSwitch3550(config-if)#exitSwitch3550(config)#exitSwitch3550#showinterfacefastethernet0/1switchport第61页,共85页，星期六，2024年，5月2.将交换机B和交换机A相连的端口（假设为fa0/1），定义为tagvlan模式。switch2950#configterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.switch2950(config)#interfacefastethernet0/1switch2950(config-if)#switchportmodetrunkswitch2950(config-if)#exitswitch2950(config)#exitswitch2950#showinterfacefastethernet0/1switchport步骤8：对于需求2，1.在交换机A上的fa0/3接上PC12（IP地址为：2）、在交换机B上的fa0/3接上PC13（IP地址为：3）。2.在交换机A上的fa0/1的trunk口中去除VLAN10、VLAN20，这样在两个交换机trunk端口中不传送VLAN10、VLAN20的数据，两交换机的VLAN10、VLAN20的PC机就不能相互通信。

第62页,共85页，星期六，2024年，5月Switch3550#configterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch3550(config)#interfacefastethernet0/1Switch3550(config-if)#switchportmodetrunkSwitch3550(config-if)#switchporttrunkallowedvlanremove10Switch3550(config-if)#switchporttrunkallowedvlanremove20Switch3550(config-if)#exitSwitch3550(config)#exitSwitch3550#showinterfacefastethernet0/1switchport3.在交换机B上的fa0/1的trunk口中去除VLAN10、VLAN20，这样在两个交换机trunk端口中不传送VLAN10、VLAN20的数据，两交换机的VLAN10、VLAN20的PC机就不能相互通信。第63页,共85页，星期六，2024年，5月Switch2950#configterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch2950(config)#interfacefastethernet0/1Switch2950(config-if)#switchportmodetrunkSwitch2950(config-if)#switchporttrunkallowedvlanremove10Switch2950(config-if)#switchporttrunkallowedvlanremove20Switch2950(config-if)#exitSwitch2950(config)#exitSwitch2950#showinterfacefastethernet0/1switchport15.4.5项目测试步骤对于需求1：1.分别测试PC10、PC11、PC20、PC21、PC30、PC31这六台计算机之间的连通性。并填入表15-2。第64页,共85页，星期六，2024年，5月

表15-2

设备pc10PC11PC20PC21PC30PC31PC10／

PC11

／

PC20

／

PC21

／

PC30

／

PC31

／2.别打开交换机A和交换机B，查看交换机的配置信息Switch3550#showrunning-configSwitch2950#showrunning-config

查看结果步骤2：对于需求21.试PC10、PC11、PC12、PC13、PC20、PC21、PC30、PC31这8台计算机之间的连通性。并填入表15-3。第65页,共85页，星期六，2024年，5月表15-3

设备PC10PC11PC12PC13PC20PC21PC30PC31PC10／

PC11

／

PC12

／

PC13

／

PC20

／

PC21

／

PC30

／

PC31

／2.打开交换机A和交换机B，查看交换机的配置信息Switch3550#showrunning-configSwitch2950#showrunning-config

查看结果第66页,共85页，星期六，2024年，5月15.5扩展知识-端口安全基本来说，PortSecurity功能可以记住与交换机端口连接的网卡MAC地址，并仅允许该MAC地址使用该端口。如果其它网卡试图通过该端口连接到交换机，端口安全功能就会禁止该端口工作。1．配置端口安全端口安全的配置需要管理员针对一个已经开启的交换机端口，进入port-security接口模式。如下所示：Switch)#configterminalSwitch(config)#intefacefastethernet0/18Switch(config-if)#switchportport-security?第67页,共85页，星期六，2024年，5月agingPort-securityagingcommandsmac-addressSecuremacaddressmaximumMaxsecureaddressesviolationSecurityviolationmode<cr>Switch(config-if)#switchportport-security

Switch(config-if)#^Z

需要注意，端口必须在ACCESS模式下才可以启用端口安全，而端口安全默认是关闭的。第68页,共85页，星期六，2024年，5月2.配置选项除此之外，还有一些端口安全命令可以帮助配置该功能。Switch(config-if)#switchportport-securitymaximum{max#ofMACaddressesallowed}

这个参数可以让每个端口绑定更多的MAC地址，而不再只能绑定一个地址。比如，用一个12口HUB连接到交换机端口，就应该设置每个端口支持绑定12个MAC地址。另外，每个端口最多能绑定132个MAC地址。Switch(config-if)#switchportport-securityviolation{shutdown|restrict|protect}

这个命令告诉交换机，当每个端口接入的MAC地址数量超过了规定的最大值，该如何处理。在默认情况下是关闭该端口，当然，也可以选择向管理员报警

(如

restrict)或者仅允许安全的MAC地址与端口通信，而将超出的MAC地址发送或接收的数据包丢弃(如

protect)。第69页,共85页，星期六，2024年，5月Switch(config-if)#switchportport-security

mac-address{MACaddress}

这个命令直接指定每个端口要绑定的MAC地址，而不是让端口自己自动按先后顺序绑定端口。当然，也可以在某个端口范围进行设置，而不是逐个端口进行设置。例如：Switch)#configtSwitch(config)#intrangefastEthernet0/1-24Switch(config-if)#switchportport-security3.查看端口安全状态一旦成功配置了端口安全功能，并且以太网上的设备开始向该端口发送数据，那么交换机就会立即记录该端口连接设备的MAC地址，并且使用该MAC地址与端口绑定。第70页,共85页，星期六，2024年，5月

要查看交换机的端口安全状态，可以使用showport-securityaddress和showport-securityinterface命令。Switch#showport-securityaddress

SecureMacAddressTable-----------------------------------------------------------VlanMacAddressTypePortsRemainingAge(mins)-------------------------------------10004.00d5.285dSecureDynamicFa0/18------------------------------------------------------------TotalAddressesinSystem(excludingonemacperport):0MaxAddresseslimitinSystem(excludingonemacperport):1024

Switch#showport-securit