项目3在交换机上构建安全隔离的部门间网络

1、模块二、组建安全隔离的小型局域网,项目3：在交换机上构建安全隔离的部门间网络,项目4：构建基于VLAN中继协议隔离的局域网,3.1 用户需求,项目3：在交换机上构建安全隔离的部门间网络,某学院计算机系、机电工程系、财务处、学生机房分组建了自己的局域网，其中在信息大楼主要为计算机系办公场所，机电大楼为机电工程系办公大楼，实验中心为学生机房，并且有计算机系和财务处办公场所，财务处在学校办公楼办公。随着学校信息化建设的深入，人员交流越来越频繁，在各个办公场所都可能出现其它部门的人员。为了网络安全，把计算机系、机电工程系、财务处、学生机房各自分别位于不同的子网，并且部门内部可以互相访问。,3.2 相关

2、知识,项目3：在交换机上构建安全隔离的部门间网络,3.2.1 VLAN简介,3.2.2 静态VLAN配置,3.2.3 部署VLAN,3.2.4 VLAN中继,3.2.5 标识VLAN帧,3.2.6 VLAN数据帧的传输,3.2.7 配置VLAN中继,1.2 相关知识,3.2.1 VLAN简介,1.虚拟局域网的概念,项目3：在交换机上构建安全隔离的部门间网络,虚拟局域网（Virtual LAN，简称VLAN）是一种逻辑广播域，可以跨越多个物理LAN网段。VLAN是以局域网交换机为基础，通过交换机软件实现根据功能、部门、应用等因素将设备或用户组成虚拟工作组或逻辑网段的技术，其最大的特点是在组成逻辑

3、网时无须考虑用户或设备在网络中的物理位置。虚拟局域网可以在一个交换机或者跨交换机实现。 VLAN一般基于工作功能、部门或项目团队来逻辑地分割交换网络，而不管使用者在网络中的物理位置。同组内全部的工作站和服务器在同一VLAN内，不管物理连接和位置在哪里。,1.2 相关知识,3.2.1 VLAN简介,1.虚拟局域网的概念,项目3：在交换机上构建安全隔离的部门间网络,VLAN是一个逻辑上独立的IP子网。多个IP网络和子网可以通过VLAN存在于同一个交换网络上。 在IEEE802.1Q标准中对虚拟局域网是这样定义的：虚拟局域网是由一些局域网网段构成的与物理位置无关的逻辑组，而这些网段具有某些共同的需求

4、。每一个虚拟局域网的帧都有一个明确的标识符，指明发送这个帧的工作站是属于哪一个VLAN。利用以太网交换机可以很方便地实现虚拟局域网。虚拟局域网其实只是局域网给用户提供的一种服务，而并不是一种新型局域网。,1.2 相关知识,3.2.1 VLAN简介,项目3：在交换机上构建安全隔离的部门间网络,1.2 相关知识,3.2.1 VLAN简介,1.虚拟局域网的概念,项目3：在交换机上构建安全隔离的部门间网络,图3.2中使用了四个交换机的网络拓扑结构。有9台计算机分布在三个楼层中，构成了三个局域网，即： LAN1：（A1，B1，C1），LAN2：（A2，B2，C2），LAN3：（A3，B3，C3）。 但这

5、9个用户划分为三个工作组，也就是说划分为三个虚拟局域网VLAN。即： VLAN1：（A1，A2，A3），VLAN2：（B1，B2，B3），VLAN3：（C1，C2，C3）。,1.2 相关知识,3.2.1 VLAN简介,2. VLAN的优点,项目3：在交换机上构建安全隔离的部门间网络,（1）有利于优化网络性能,（2）提高了网络的安全性,（3）便于对网络进行管理和控制,（4）提供了基于第二层的通信优先级服务,1.2 相关知识,3.2.1 VLAN简介,3. VLAN成员资格模式,项目3：在交换机上构建安全隔离的部门间网络,（1）静态VLAN 由网络管理员以手工方式将交换机端口分配给VLAN，因此是

6、静态的。即在交换机上将其某一个端口分配给特定VLAN，在这种情况下，VLAN是基于物理交换机端口的，终端用户设备根据其连接的物理端口被分配到相应的VLAN中，并且将一直保持不变直到网络管理员改变这种配置，所以又被称为基于端口的VLAN，是目前实现VLAN的主要方法。,1.2 相关知识,3.2.1 VLAN简介,3. VLAN成员资格模式,项目3：在交换机上构建安全隔离的部门间网络,（1）静态VLAN 网络管理员以手工方式将交换机端口分配给VLAN时，每个端口获得一个端口VLAN ID，将其同VLAN号关联起来。可将同一台交换机上的端口分成多个VLAN。即使两台计算机连接到同一台交换机，如果它们

7、连接的是属于不同VLAN的端口，数据流也不会在它们之间传输。为执行这项功能，可使用第3层设备来路由分组，也可使用外部的第2层设备在两个VLAN之间桥接分组。,1.2 相关知识,3.2.1 VLAN简介,3. VLAN成员资格模式,项目3：在交换机上构建安全隔离的部门间网络,（1）静态VLAN 基于端口的VLAN也就是根据以太网交换机的端口来划分广播域。即分配在同一个VLAN的端口共享广播域（一个站点发送希望所有站点接收的广播信息，同一VLAN中的所有站点都可以听到），分配在不同VLAN的端口不共享广播域。虚拟局域网既可以在单台交换机中实现，也可以跨越多个交换机。终端设备连接到端口时，自动获得V

8、LAN连接性。,1.2 相关知识,3.2.1 VLAN简介,3. VLAN成员资格模式,项目3：在交换机上构建安全隔离的部门间网络,（2）动态VLAN 动态VLAN是指交换机上以连网用户的MAC地址、逻辑地址（如IP地址）或数据包协议等信息为基础将交换机端口动态分配给VLAN的方式。总之，不管以何种机制实现，分配在同一个VLAN的所有主机共享一个广播域，而分配在不同VLAN的主机将不会共享广播域。也就是说，只有位于同一VLAN中的主机才能直接相互通信，而位于不同VLAN中的主机之间是不能直接相互通信的。,1.2 相关知识,3.2.2 静态VLAN配置,1.VLAN ID范围,项目3：在交换机上

9、构建安全隔离的部门间网络,在建立VLAN之前，必须考虑是否使用VLAN干线协议（VLAN trunk protocol，VTP）来为你的网络进行全局VLAN的配置。在本项目中不使用VTP干线协议。,首先，如果VLAN不存在，必须在交换机上创建它。然后将交换机端口分配给VLAN。VLAN总是使用VLAN ID号来引用的。VLAN ID在数字上分为普通范围和扩展范围。,1.2 相关知识,3.2.2 静态VLAN配置,1.VLAN ID范围（1）普通范围的 VLAN,项目3：在交换机上构建安全隔离的部门间网络,普通范围的VLAN具有以下特点： 用于中小型商业网络和企业网络。 VLAN ID范围为1到

10、1005。从1002到1005的ID保留供令牌环VLAN和FDDI VLAN使用。 ID 1和ID 1002到1005是自动创建的，不能删除。 配置存储在名为vlan.dat的VLAN数据库文件中，vlan.dat文件则位于交换机的闪存中。 用于管理交换机之间VLAN配置的VLAN中继协议(VTP)只能识别普通范围的VLAN，并将它们存储到VLAN数据库文件中。,1.2 相关知识,3.2.2 静态VLAN配置,1.VLAN ID范围（2）扩展范围的VLAN,项目3：在交换机上构建安全隔离的部门间网络,为与IEEE 802.1Q标准兼容，Cisco Catalyst IOS还支持扩展的VLAN编

11、号。 可让服务提供商扩展自己的基础架构以适应更多的客户。某些跨国企业的规模很大，从而需要使用扩展范围的VLAN ID。 VLAN ID 范围从1006到4094。 支持的VLAN功能比普通范围的VLAN更少。 保存在运行配置文件中。 VTP无法识别扩展范围的VLAN。,1.2 相关知识,3.2.2 静态VLAN配置,2. 配置静态VLAN,项目3：在交换机上构建安全隔离的部门间网络,（1）配置VLAN 的ID和名字 配置VLAN最常见的方法是在每个交换机上手工指定端口LAN映射。在全局配置模式下使用VLAN命令。 Switch(config)#vlan vlan-id 其中：Vlan-id是配

12、置要被添加的VLAN的ID，如果要安装增强的软件版本，范围为14096，如果安装的是标准的软件版本，范围为11005。每一个VLAN都有一个唯一的4位的ID（范围：00011005）。 Switch(config-vlan)#name vlan-name 定义一个VLAN的名字，可以使用132个ASCII字符，但是必须保证这个名称在管理域中是唯一的。,1.2 相关知识,3.2.2 静态VLAN配置,2. 配置静态VLAN,项目3：在交换机上构建安全隔离的部门间网络,（2）分配端口 在新创建一个VLAN之后，可以为之手工分配一个端口号或多个端口号。一个端口只能属于唯一一个VLAN。这种为VLAN

13、分配端口号的方法称为静态接入端口。 在接口配置模式下，分配VLAN端口命令为： Switch(config)#interface type mod/num Switch(config-if)#switchport Switch(config-if)#switchport mode Switch(config-if)#switchport access vlan vlan-id 默认情况下，所有的端口都属于VLAN 1。,1.2 相关知识,3.2.2 静态VLAN配置,3. 检验VLAN配置,项目3：在交换机上构建安全隔离的部门间网络,配置VLAN后，可以使用Cisco IOS show命令检验

14、VLAN配置。 switch#show vlan brief | id vlan-id | name vlan-name | summary switch#show interfaces interface-id | vlan vlan-id | switchport,1.2 相关知识,3.2.2 静态VLAN配置,4. 添加、更改和删除VLAN,项目3：在交换机上构建安全隔离的部门间网络,为了把一个端口移到一个不同的VLAN中，要用一个和初始配置相同的命令。在接口配置模式下使用switchport access命令来执行这项功能。无须将端口移出VLAN来实现这项转换。 在接口配置模式下，使用

15、no switchport access vlan 命令，可以将该端口重新分配到默认VLAN（VLAN 1）中。,1.2 相关知识,3.2.3 部署VLAN,1. 端到端VLAN,项目3：在交换机上构建安全隔离的部门间网络,端到端VLAN也称园区级VLAN，它跨越整个网络的交换结构，用于为终端设备提供最大的机动性和灵活性。无论位于什么位置，都可以将其分配到VLAN。用户在园区内移动时，其VLAN成员资格保持不变。这意味着必须使VLAN在每个交换模块的接入层都是可用的。 端到端VLAN应根据需求将用户分组，在同一个VLAN中，所有用户的流量模式都必须大致相同，并遵循8020规则。即，大约80的用

16、户流量是在本地工作组内，只有20前往园区网中的远程资源。虽然，在VLAN中只有20的流量将通过网络核心，但端到端VLAN使得VLAN内的所有流量都可能通过网络核心。,1.2 相关知识,3.2.3 部署VLAN,2.本征VLAN,项目3：在交换机上构建安全隔离的部门间网络,目前，大多数企业得基本符合2080规则，即只有20的流量是本地的，80的流量将穿过核心层前往远程资源。终端用户经常需要访问其VLAN外面的资源，用户必须频繁地经过网络核心。在这种网络中，应根据地理位置来设计VLAN，而不考虑离开VLAN的流量。 本征VLAN的规模可以小到配线间中的单台交换机，也可大到整栋建筑物。通过这种方式安

17、排VLAN，可以在园区网中使用第3层功能来智能处理VLAN之间流量负载。这种方案提供了最高的可用性（使用多条前往目的地的路径）、最高的扩展性（将VLAN限制在交换模块内）和最高的可管理性。,1.2 相关知识,3.2.4 VLAN中继,项目3：在交换机上构建安全隔离的部门间网络,1.2 相关知识,3.2.4 VLAN中继,项目3：在交换机上构建安全隔离的部门间网络,1.2 相关知识,3.2.4 VLAN中继,项目3：在交换机上构建安全隔离的部门间网络,用于实现各VLAN在交换机间通信的链路，称为VLAN中继（trunk），中继是两台网络设备之间的点对点链路，负责传输多个 VLAN 的流量。,1.

18、2 相关知识,3.2.5 标识VLAN帧,项目3：在交换机上构建安全隔离的部门间网络,标识VLAN帧,交换机间链路（ISL）协议,IEEE 802.1Q协议,1.2 相关知识,3.2.5 标识VLAN帧,1. 交换机间链路（ISL）协议,项目3：在交换机上构建安全隔离的部门间网络,交换机间链路（ISL）协议是Cisco公司私有的协议，当有数据在多个交换机间流动的时候，它控制VLAN信息并且使这些交换机互联起来。 ISL是专用的用于在Trunk链路上标记不同VLAN数据流的一种数据链路层协议。通过在中继链路上配置ISL使得来自不同VLAN的数据流能够复用该链路。ISL工作在数据链路层，即在第2层

19、执行帧标识：使用帧头和帧尾来封装帧。通过重新封装数据帧以获得独立于协议的能力。配置了ISL的Cisco交换机和路由器都能处理和识别ISL VLAN信息。ISL主要用于以太网介质。,1.2 相关知识,3.2.5 标识VLAN帧,1. 交换机间链路（ISL）协议,项目3：在交换机上构建安全隔离的部门间网络,1.2 相关知识,3.2.5 标识VLAN帧,2. IEEE 802.1Q协议,项目3：在交换机上构建安全隔离的部门间网络,IEEE 802.1q也在中继链路上使用本征VLAN，属于该VLAN的帧不使用任何标记信息进行封装。如果终端连接的是802.1Q中继链路,它将只能够接收和理解本征VLAN帧

20、。这样，为能够理解802.1Q的设备提供了完整的中继封装，同时通过中继链路为常规接入设备提供了固有的连接性。 对于以太网帧，802.1Q在帧格式中源地址字段后面插入一个4字节的标识符，称为VLAN标记，也称为tag域，用来指明发送该帧的工作站属于哪一个VLAN。如图3.8所示。如果还使用传统的以太网帧格式，那么就无法划分VLAN。,1.2 相关知识,3.2.5 标识VLAN帧,2. IEEE 802.1Q协议,项目3：在交换机上构建安全隔离的部门间网络,1.2 相关知识,3.2.5 标识VLAN帧,3. 动态中继协议,项目3：在交换机上构建安全隔离的部门间网络,在Catalyst交换机上，可以

21、手工将中继链路配置为ISL或802.1Q模式。另外，Cisco还实现了一种点到点协议，被称为动态中继协议（DTP），他在两台交换机之间协商一种双方都支持的中继模式。协商包括封装（ISL或802.1Q）以及是否将链路作为中继链路。这样就不需进行大量的手工配置和管理，就能够使用中继链路。,1.2 相关知识,3.2.6 VLAN数据帧的传输,项目3：在交换机上构建安全隔离的部门间网络,目前任何主机都不支持带有Tag域的以太网数据帧，即主机只能发送和接收标准的以太网数据帧，而将VLAN数据帧视为非法数据帧。所以支持VLAN的交换机在与主机和交换机进行通信时，需要区别对待。当交换机将数据发送给主机时，必

22、须检查该数据帧，并删除tag域。而发送给交换机时，为了让对端交换机能够知道数据帧的VLAN ID，它应该给从主机接收到的数据帧增加一个tag域后再发送，其数据帧传输过程中的变化如图3.9所示。,1.2 相关知识,3.2.6 VLAN数据帧的传输,项目3：在交换机上构建安全隔离的部门间网络,1.2 相关知识,3.2.6 VLAN数据帧的传输,项目3：在交换机上构建安全隔离的部门间网络,当交换机接收到某数据帧时，交换机根据数据帧中的tag域或者接收端口的缺省VLAN ID来判断该数据帧应该转发到哪些端口，如果目标端口连接的是普通主机，则删除Tag域（如果数据帧中包含tag域）后再发送数据帧；如果目

23、标端口连接的是交换机，则添加Tag域（如果数据帧中不包含tag域）后再发送数据帧。为了保证在交换机之间的trunk链路上能够接入普通主机，以太网将还能够当检查到数据帧的VLAN ID和Trunk端口的缺省VLAN ID 相同时，数据帧不会被增加tag域。而到达对端交换机后，交换机发现数据帧中没有tag域时，就认为该数据帧为接收端口的缺省VLAN数据。,1.2 相关知识,3.2.6 VLAN数据帧的传输,项目3：在交换机上构建安全隔离的部门间网络,根据交换机处理数据帧的不同，可以将交换机的端口分为两类： Access端口：只能传送标准以太网帧的端口，一般是指那些连接不支持VLAN技术的端设备的接

24、口，这些端口接收到的数据帧都不包含VLAN标签，而向外发送数据帧时，必须保证数据帧中不包含VLAN标签。 Trunk端口：既可以传送有VLAN标签的数据帧也可以传送标准以太网帧的端口，一般是指那些连接支持VLAN技术的网络设备（如交换机）的端口，这些端口接收到的数据帧一般都包含VLAN标签（数据帧VLAN ID和端口缺省VLAN ID相同除外），而向外发送数据帧时，必须保证接收端能够区分不同VLAN的数据帧，故常常需要添加VLAN标签（数据帧VLAN ID和端口缺省VLAN ID相同除外）。,1.2 相关知识,3.2.7 配置VLAN中继,1.配置VLAN中继,项目3：在交换机上构建安全隔离的

25、部门间网络,（1）switch(config)#interface type mod/num （2） 要支持中继，交换机端口必须处于第2层模式。要设置为第2层模式，可执行命令switchport，并不指定任何关键字。 switch(config-if)#switchport （3）switch(config-if)#switchport trunk encapsulateion ISL | dot1q | negotiate （4）switch(config-if)#switchport mode trunk | dynamic desirable | auto ,1.2 相关知识,3.2.7

26、 配置VLAN中继,2. 静态指定trunk链路中的VLAN,项目3：在交换机上构建安全隔离的部门间网络,（1）设置不允许通过trunk链路的VLAN 在配置前，首先应使用interface配置命令选中trunk链路端口，然后再从trunk链路中删除指定的VLAN，即不允许这些VLAN的通信流量通过trunk链路。配置命令为： Switch(config)#interface type mod/port Switch(config-if)#switchport trunk allowed vlan remove vlan-list,1.2 相关知识,3.2.7 配置VLAN中继,2. 静态指定

27、trunk链路中的VLAN,项目3：在交换机上构建安全隔离的部门间网络,例如，从cisco 3550的端口2是trunk链路端口，现要将VLAN 2和VLAN 5从trunk链路中删除，则配置命令为： switch3550(config)#interface fastethernet0/2 switch3550(config-if)#switchport trunk allowed vlan remove 2,5 若要在trunk链路中删除100200号VLAN的流量，则配置命令为： switch3550(config-if)#switchport trunk allowed vlan rem

28、ove 100 - 200,1.2 相关知识,3.2.7 配置VLAN中继,2. 静态指定trunk链路中的VLAN,项目3：在交换机上构建安全隔离的部门间网络,（2）设置允许通过trunk链路的VLAN 配置命令为： Switch(config)#interface type mod/port Switch(config-if)#switchport trunk allowed vlan add vlan-list 其中：vlan-list表示要删除的VLAN号列表，各VLAN之间用逗号进行分隔。 或Switch(config-if)#switchport trunk allowed vla

29、n except vlan-list 其中：except vlan-list是指除列出的vlan-id以外的所有。,1.2 相关知识,3.2.7 配置VLAN中继,2. 静态指定trunk链路中的VLAN,项目3：在交换机上构建安全隔离的部门间网络,例如，从cisco 3550的端口2是trunk链路端口，现要添加允许VLAN 2和VLAN 5的通信流量通过，则配置命令为： switch3550(config)#interface fastethernet0/2 switch3550(config-if)# switchport trunk allowed vlan add 2,5 若要配置t

30、runk链路仅允许VLAN 2、VLAN 5和VLAN 7通过，则配置命令为： switch3550(config)#interface fastethernet0/2 switch3550(config-if)# switchport trunk allowed vlan remove 21001 switch3550(config-if)# switchport trunk allowed vlan add 2,5,7 若要设置允许所有的VLAN通过trunk链路，则配置命令为： switch3550(config-if)# switchport trunk allowed vlan al

31、l22,1.2 相关知识,3.2.7 配置VLAN中继,3. 静态指定trunk链路中的VLAN,项目3：在交换机上构建安全隔离的部门间网络,Switch(config-if)#switchport trunk native vlan vlan-list,4.检验中继配置,Switch#show interfaces interface-ID switchport,5.管理中继配置,switch (config-if)#no switchport trunk allowed switch (config-if)#no switchport trunk native vlan switch (c

32、onfig-if)#switchport mode,1.2 相关知识,3.3 方案设计,项目3：在交换机上构建安全隔离的部门间网络,为了让实验中心的计算机系用户能够与信息大楼计算机系用户在同一子网，实验中心的财务处用户能够办公楼财务处用户的在同一子网，实现网络互通性。这时就需要将实验中心和办公楼的交换机更改为可网管的交换机（支持VLAN），将计算机系和财务处的各自所有用户（三座办公楼）划分在同一VLAN内。这样就可以实现不在同一办公场所的部门内部网络的互联互通及资源共享。办公楼和机电大楼的交换机为不可网管的交换机。创建4个VLAN，分别属于计算机系、机电工程系、财务处和学生机房等。这样就可以在

33、信息大楼和实验中心两座大楼内实现不同VLAN内用户的互联互通，即实现了部门内网络的互通性。实验中心、办公楼和机电大楼的交换机均通过光缆与光电转换器与信息大楼的交换机相连。如图3.10所示。,1.2 相关知识,3.3 方案设计,项目3：在交换机上构建安全隔离的部门间网络,1.2 相关知识,3.4 项目实施：在交换机上划分VLAN技术,3.4.1 项目目标,项目3：在交换机上构建安全隔离的部门间网络,通过项目的完成，使学生可以掌握以下技能： （1）能够实现跨交换机上实现VLAN方法； （2）能够掌握将交换机端口分配到VLAN中的操作技巧。,3.4.2 项目任务,为了在实训室中模拟本项目的实施，搭建

34、如图3.11所示的实训网络拓扑环境。在信息大楼、实验中心办公楼的交换机采用Cisco Catslyst2960交换机，实现网管功能，机电大楼的交换机也采用Cisco Catslyst2960交换机，但作为傻瓜交换机使用，也可采用另外的傻瓜交换机。实验中心、办公楼和机电大楼的交换机均通过光缆与光电转换器与信息大楼的交换机相连均采用双绞线将交换机直接连接起来。,1.2 相关知识,3.4 项目实施：在交换机上划分VLAN技术,项目3：在交换机上构建安全隔离的部门间网络,1.2 相关知识,3.4 项目实施：在交换机上划分VLAN技术,项目3：在交换机上构建安全隔离的部门间网络,3.4.2 项目任务,（

35、1）网络中各交换状机、计算机等的名称、口令、IP地址、子网掩码、网关、VLAN号等的详细规划，交换机端口VLAN的划分。 （2）设置交换机的名称，口令、管理地址。 （3）各部门VLAN划分。 （4）配置中继链路 （5）各交换机端口VLAN成员分配。,1.2 相关知识,3.4 项目实施：在交换机上划分VLAN技术,项目3：在交换机上构建安全隔离的部门间网络,3.4.3设备清单,为了搭建如图3.11所示的网络环境，需要如下的设备清单。 （1）Cisco Catalst 2960交换机（3台）； （2）Cisco Catalst 2960交换机（1台，做傻瓜交换机用，不进行任何配置）； （3）PC机

36、8台； （4）双绞线（若干根）； （5）反转电缆一根。,1.2 相关知识,3.4 项目实施：在交换机上划分VLAN技术,项目3：在交换机上构建安全隔离的部门间网络,3.4.4 实施过程-步骤1：规划与设计,（1）规划计算机IP地址、子网掩码、网关,项目3：在交换机上构建安全隔离的部门间网络,3.4.4 实施过程-步骤1：规划与设计,（2）规划各场所交换机名称，端口所属VLAN以及连接的计算机,项目3：在交换机上构建安全隔离的部门间网络,3.4.4 实施过程-步骤1：规划与设计,（3）各交换机之间的连接关系,项目3：在交换机上构建安全隔离的部门间网络,3.4.4 实施过程-,步骤2：实训环境准备

37、 （1）硬件连接。在交换机和计算机断电的状态下，按照图3.11、表3-3和表3-4所示连接硬件。交换机接口之间的连接采用交叉线。 （2）分别打开设备，给设备加电。 步骤3：按照表3-2所列设置各计算机的IP地址、子网掩码、默认网关。,项目3：在交换机上构建安全隔离的部门间网络,3.4.4 实施过程-,步骤4：清除交换机配置 （1）清除交换机的启动配置； switch#erase startup-config （2）删除交换机VLAN。 交换机的VLAN配置信息保存在闪存的vlan.dat文件中，要想删除VLAN，必须删除闪存中的vlan.dat文件。 Switch#show flash: Di

38、rectory of flash:/ 1 -rw- 4414921 c2960-lanbase-mz.122-25.FX.bin 2 -rw- 616 vlan.dat 64016384 bytes total (59600847 bytes free) Switch#delete vlan.dat Delete filename vlan.dat? Delete flash:/vlan.dat? confirm Switch#,项目3：在交换机上构建安全隔离的部门间网络,3.4.4 实施过程-,步骤5：测试连通性 使用Ping命令分别测试PC11、PC12、PC21、PC22、PC31、PC

39、32、PC41、PC42这8台计算机之间的连通性. 步骤6：配置交换机Jisjsw （1）配置信息大楼的交换机的主机名为jisjsw （2）在交换机jisjsw创建VLAN 10、20、30、99 （3）按照表3-3分配交换机Jisjsw端口VLAN （4） 查看jisjsw的VLAN配置 jisjsw#show vlan,项目3：在交换机上构建安全隔离的部门间网络,3.4.4 实施过程-,步骤7：配置办公楼的交换机 （1）配置办公楼交换机的主机名为banglsw （2）在交换机banglsw创建VLAN10、20、30、99 （3）按照表3-3分配交换机banglsw端口VLAN （4） 查

40、看banglsw的VLAN配置 步骤8：配置实验中心的交换机 （1）配置实验中心交换机的主机名为shiyfsw（略） （2）在交换机shiyfsw创建VLAN10、30、40、99（略） （3）按照表3-3分配交换机shiysw端口VLAN（略） （4）查看shiyfsw的VLAN配置（略）,项目3：在交换机上构建安全隔离的部门间网络,3.4.4 实施过程-,步骤9：测试 使用Ping命令分别测试PC11、PC12、PC21、PC22、PC31、PC32、PC41、PC42这8台计算机之间的连通性。 步骤10：配置Jisjsw和banglsw、shiysw之间的中继 （1）将交换机jisjsw

41、的端口（g1/1、f0/1）定义为中继链路。 jisjsw(config)#interface gigabitEthernet 1/1 jisjsw(config-if)#description link to banglsw-g1/1 jisjsw(config-if)#switchport mode trunk jisjsw(config-if)#no shutdown jisjsw(config-if)#exit jisjsw(config)#interface fastEthernet 0/1 jisjsw(config-if)#description link to shiysw-f

42、0/1 jisjsw(config-if)#switchport mode trunk ,项目3：在交换机上构建安全隔离的部门间网络,3.4.4 实施过程-,jisjsw#show interfaces trunk Port Mode Encapsulation Status Native vlan Fa0/1 on 802.1q trunking 1 Gig1/1 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/1 1-1005 Gig1/1 1-1005 Port Vlans allowed and active in manage

43、ment domain Fa0/1 1,10,20,30,99 Gig1/1 1,10,20,30,99 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1,10,20,30,99 Gig1/1 1,10,20,30,99 Jisjsw#,项目3：在交换机上构建安全隔离的部门间网络,3.4.4 实施过程-,（2） 将交换机shiysw(f0/1)和交换机banglsw的端口（g1/1），定义为中继链路。 banglsw(config)#interface gigabitEthernet 1/1 banglsw(

44、config-if)#description link to jisjsw-g1/1 banglsw(config-if)#switchport mode trunk banglsw(config-if)#no shutdown banglsw(config-if)#end banglsw#write shiysw(config)#interface fastEthernet 0/1 ,项目3：在交换机上构建安全隔离的部门间网络,3.4.4 实施过程-,步骤11：项目测试 （1）使用Ping命令分别测试PC11、PC12、PC21、PC22、PC31、PC32、PC41、PC42这8台计算机之

45、间的连通性。 （2）分别打开交换机jisjsw和交换机switch2，查看交换机的配置信息 Jisjsw#show running-config banglsw#show running-config shiysw#show running-config 步骤12：配置交换机口令 配置各交换机远程登录口令、超级口令和控制台登录口令(略)。,项目3：在交换机上构建安全隔离的部门间网络,3.4.4 实施过程-,步骤13：配置远程管理 （1）将PC11（也可以另外接一台计算机）接到交换机jisjsw的端口f0/24上，IP地址改为192.168.100.100/24，网关为192.168.100.1

46、。 （2）配置交换机jisjsw管理地址，管理VLAN，端口f0/24所属VLAN jisjsw(config)#interface vlan 99 jisjsw(config-if)#ip address 192.168.100.201 255.255.255.0 jisjsw(config)#ip default-gateway 192.168.100.1 jisjsw(config-if)#exit jisjsw(config)# （3） 测试PC11和交换机jisjsw的远程管理地址的连通性， PCping 192.168.100.201 . PCtelnet 192.168.100.201,项目3：在交换机上构建安全隔离的部门间网络,3.4.4 实施过程-,