項目八部門間網(wǎng)絡(luò)的安全隔離

關(guān)于項目八部門間網(wǎng)絡(luò)的安全隔離第1頁，課件共85頁，創(chuàng)作于2023年2月任務(wù)14：單交換機上劃分VLAN技術(shù)14.1工作任務(wù)你受聘于一家網(wǎng)絡(luò)公司做網(wǎng)絡(luò)工程師，現(xiàn)公司有一客戶提出要求，該客戶公司建立了一小型局域網(wǎng)，包含財務(wù)部、銷售部和辦公室三個部門，公司領(lǐng)導(dǎo)要求各部門內(nèi)部主機有一些業(yè)務(wù)可以相互訪問，但部門之間為了安全完全禁止互訪。14.2相關(guān)知識為了在交換機進行VLAN配置，作為網(wǎng)絡(luò)工程師，需要了解本工作任務(wù)所涉及的以下幾方面知識：；■VLAN的概念；■VLAN的組網(wǎng)技術(shù)；■VLAN的配置。第2頁，課件共85頁，創(chuàng)作于2023年2月14.2.1虛擬局域網(wǎng)的概念連接到第2層交換機的主機和服務(wù)器處于同一個網(wǎng)段中。這會帶來兩個嚴重的問題：■交換機會向所有端口泛洪廣播，占用過多帶寬。隨著連接到交換機的設(shè)備不斷增多，生成的廣播流量也隨之上升，浪費的帶寬也更多?！鲞B接到交換機的每臺設(shè)備都能夠與該交換機上的所有其它設(shè)備相互轉(zhuǎn)發(fā)和接收幀。

VLAN一般基于工作功能、部門或項目團隊來邏輯地分割交換網(wǎng)絡(luò)，而不管使用者在網(wǎng)絡(luò)中的物理位置。同組內(nèi)全部的工作站和服務(wù)器共享在同一VLAN，不管物理連接和位置在哪里。第3頁，課件共85頁，創(chuàng)作于2023年2月圖14.1給出一個關(guān)于VLAN劃分的示例。圖14.1中使用了四個交換機的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。有9個工作站分配在三個樓層中，構(gòu)成了三個局域網(wǎng)，即：

LAN1：（A1，B1，C1），LAN2：（A2，B2，C2），LAN3：（A3，B3，C3）。第4頁，課件共85頁，創(chuàng)作于2023年2月VLAN1VLAN2VLAN2A2圖14.1虛擬局域網(wǎng)VLAN的示例A1B3B2B1C1C2C3A3LAN3LAN2LAN1第5頁，課件共85頁，創(chuàng)作于2023年2月

但這9個用戶劃分為三個工作組，也就是說劃分為三個虛擬局域網(wǎng)VLAN。即：

VLAN1：（A1，A2，A3），VLAN2：（B1，B2，B3），VLAN3：（C1，C2，C3）。14.2.2VLAN的優(yōu)點采用VLAN后，在不增加設(shè)備投資的前提下，可在許多方面提高網(wǎng)絡(luò)的性能，并簡化網(wǎng)絡(luò)的管理。具體表現(xiàn)在：1.有利于優(yōu)化網(wǎng)絡(luò)性能通過將交換機劃分到不同的VLAN中，一個VLAN的廣播不會影響到其他VLAN的性能。即使是同一交換機上的兩個相鄰端口，只要它們不在同一VLAN中，則相互之間也不會滲透廣播流量，也就是說一個VLAN構(gòu)成一個獨立的廣播域。2.提高了網(wǎng)絡(luò)的安全性通過將可以相互通信的網(wǎng)絡(luò)結(jié)點放在一個VLAN內(nèi)，或?qū)⑹芟拗频膽?yīng)用和資源放在一個安全VLAN內(nèi)，并提供基于應(yīng)用類型、協(xié)議類型、訪問權(quán)限等不同策略的訪問控制表，就可以有效限制進入或離開VLAN的數(shù)據(jù)流；屬于不同VLAN的主機，即便是在同一臺交換機上的用戶主機，如果它們不在同一VLAN也不能通信。第6頁，課件共85頁，創(chuàng)作于2023年2月

3.便于對網(wǎng)絡(luò)進行管理和控制同一VLAN中的用戶，可以連接在不同的交換機，并且可以位于不同的物理位置，如分布在不同的樓層或不同的樓宇，可以大大減少在網(wǎng)絡(luò)中增加、刪除或移動用戶時的管理開銷。4.提供了基于第二層的通信優(yōu)先級服務(wù)在千兆位以太網(wǎng)中，基于與VLAN相關(guān)的IEEE802.1P標準可以在交換機上為不同的應(yīng)用提供不同的服務(wù)如傳輸優(yōu)先級等。14.2.3VLAN的組網(wǎng)方法

VLAN的劃分可以根據(jù)功能、部門或應(yīng)用而無須考慮用戶的物理位置。以太網(wǎng)交換機的每個端口都可以分配給一個VLAN。分配在同一個VLAN的端口共享廣播域（一個站點發(fā)送希望所有站點接收的廣播信息，同一VLAN中的所有站點都可以聽到），分配在不同VLAN的端口不共享廣播域。虛擬局域網(wǎng)既可以在單臺交換機中實現(xiàn)，也可以跨越多個交換機。第7頁，課件共85頁，創(chuàng)作于2023年2月從實現(xiàn)的機制或策略分，VLAN分為靜態(tài)VLAN和動態(tài)VLAN兩種。1.靜態(tài)VLAN

在靜態(tài)VLAN中，由網(wǎng)絡(luò)管理員根據(jù)交換機端口進行靜態(tài)的VALN分配，當(dāng)在交換機上將其某一個端口分配給一個VLAN時，其將一直保持不變直到網(wǎng)絡(luò)管理員改變這種配置，所以又被稱為基于端口的VLAN。也就是根據(jù)以太網(wǎng)交換機的端口來劃分廣播域。也就是說，交換機某些端口連接的主機在一個廣播域內(nèi)，而另一些端口連接的主機在另一廣播域，VLAN和端口連接的主機無關(guān)，如圖14.2和表14.1所示。第8頁，課件共85頁，創(chuàng)作于2023年2月交換機圖14.2基于端口的VLAN劃分Port12345ABCDE端口VLANIDPort1VLAN2Potr2VLAN3Port3VLAN2Port4VLAN3Port5VLAN2表14-1VLAN映射簡化表2.動態(tài)VLAN第9頁，課件共85頁，創(chuàng)作于2023年2月

動態(tài)VLAN是指交換機上以連網(wǎng)用戶的MAC地址、邏輯地址（如IP地址）或數(shù)據(jù)包協(xié)議等信息為基礎(chǔ)將交換機端口動態(tài)分配給VLAN的方式。總之，不管以何種機制實現(xiàn)，分配在同一個VLAN的所有主機共享一個廣播域，而分配在不同VLAN的主機將不會共享廣播域。也就是說，只有位于同一VLAN中的主機才能直接相互通信，而位于不同VLAN中的主機之間是不能直接相互通信的。（1）基于MAC地址的VLAN（2）基于路由的VLAN（3）用IP廣播組定義虛擬局域網(wǎng)

第10頁，課件共85頁，創(chuàng)作于2023年2月14.2.4靜態(tài)VLAN配置在建立VLAN之前，必須考慮是否使用VLAN干線協(xié)議（VLANtrunkprotocol，VTP）來為你的網(wǎng)絡(luò)進行全局VLAN的配置。大多數(shù)Catalyst桌面交換機支持最多64個激活的VLAN。Catalyst2950系列交換機在標準鏡像上可以支持最多250個VLAN，并且最大可支持的VLAN號為4096。Catalyst交換機的默認配置是為每一個VLAN運行一個單獨的生成樹實例。

Catalyst交換機的原廠默認配置使得VLAN被預(yù)先配置好，以支持多種介質(zhì)和協(xié)議類型。默認的以太網(wǎng)VLAN叫做VLAN1。CDP和VTP廣播發(fā)送到VLAN1.第11頁，課件共85頁，創(chuàng)作于2023年2月1.配置靜態(tài)VLAN

（1）配置VLAN的ID和名字配置VLAN最常見的方法是在每個交換機上手工指定端口－LAN映射。在全局配置模式下使用VLAN命令。

Switch（config）#vlanvlan-id

其中：Vlan是-id配置要被添加的VLAN的ID，如果要安裝增強的軟件版本，范圍為14096，如果安裝的是標準的軟件版本，范圍為11005。每一個VLAN都有一個唯一的4位的ID（范圍：00011005）。

Switch（config-vlan）#namevlan-name

定義一個VLAN的名字，可以使用132個ASCII字符，但是必須保證這個名稱在管理域中是唯一的。

第12頁，課件共85頁，創(chuàng)作于2023年2月

（2）分配端口在接口配置模式下，分配VLAN端口命令為：

Switch（config-if）#switchportaccessvlanvlan-id

默認情況下，所有的端口都屬于VLAN1。2.檢驗VLAN配置在特權(quán)模式下，可以檢驗VLAN的配置，常用的命令有：

Switch#showvlan

//顯示所有VLAN的配置消息。

Switch#showintefaceinterfaceswitchport

//顯示一個指定的接口的VLAN信息。3.添加、更改和刪除VLAN

為了添加、更改和刪除VLAN，需要把交換機設(shè)在VTP服務(wù)器或透明模式。當(dāng)要為整個域內(nèi)的交換機做一些VLAN更改時，必須處于VTP服務(wù)器模式，在VTP范圍內(nèi)更新的內(nèi)容會自動傳播到其他交換機上，在VTP透明模式下做的VLAN更改只能影響本地交換機，更改不會在VTP范圍內(nèi)傳播。第13頁，課件共85頁，創(chuàng)作于2023年2月14.3方案設(shè)計根據(jù)客戶的要求，經(jīng)過公司技術(shù)人員的協(xié)商，認為在交換機上通過VLAN技術(shù)從而達到各部門網(wǎng)絡(luò)之間互相禁止訪問。先將交換機劃分3個VLAN，使財務(wù)部、銷售部和辦公室各個部門的主機在相同的VLAN中，部門之間在不同的VLAN內(nèi)。這樣在同一VLAN內(nèi)的主機能夠相互訪問，不同VLAN之間的主機不能相互訪問，達到公司要求。三個部門VLAN劃分14為：財務(wù)部在VLAN10中，VLAN10包括交換機的f0/1-f0/8端口；銷售部在VLAN20中，VLAN20包括交換機的f0/9-f0/18端口；辦公室在VLAN30中，VLAN30包括交換機的f0/18-f0/24端口。第14頁，課件共85頁，創(chuàng)作于2023年2月14.4項目實施－單交換機上劃分VLAN技術(shù)14.4.1任務(wù)目標通過工作任務(wù)的完成，使學(xué)生可以掌握以下技能：（1）能夠在單交換機進行VLAN劃分；（2）能夠通過VLAN技術(shù)隔離網(wǎng)絡(luò)。14.4.2設(shè)備清單（1）Cisco2950交換機（1臺）；（2）PC機6臺；（3）雙絞線（若干根）；（4）反轉(zhuǎn)電纜一根。第15頁，課件共85頁，創(chuàng)作于2023年2月

14.4.3網(wǎng)絡(luò)拓撲本技能訓(xùn)練的網(wǎng)絡(luò)拓撲，如圖14.3所示，按照圖14.3連接硬件和設(shè)置IP地址，通過反轉(zhuǎn)線將交換機的Console口和計算機PCA的COM連接起來，采用直通線將PC10、PC11連接到交換機的f0/2、f0/3，將PC20、PC21連接到交換機的f0/9、f0/10，將PC30、PC31連接到交換機的f0/19、f0/20。圖14.3單交換機VLAN劃分交換機Console接口財務(wù)部：VLAN10F0/2-f0/8銷售部：VLAN20F0/8-f0/18辦公室：VLAN30F0/18-f0/24PC10PC20PC30

第16頁，課件共85頁，創(chuàng)作于2023年2月14.4.4實施過程步驟1：硬件連接在交換機和計算機斷電的狀態(tài)下，按照圖14.3連接硬件。步驟2：分別打開設(shè)備，給設(shè)備加電，設(shè)備都處于自檢狀態(tài)，直到連接交換機的指示燈處于綠燈，表示網(wǎng)絡(luò)處于穩(wěn)定連接狀態(tài)。步驟3：配置PC10、PC11、PC20、PC21、PC30、PC31的IP地址如表14-2所示。表14-2計算機IP地址配置表

設(shè)備IP地址子網(wǎng)掩碼PC100PC111PC200PC211PC30PC31第17頁，課件共85頁，創(chuàng)作于2023年2月步驟4：分別測試PC10、PC11、PC20、PC21、PC30、PC31這六臺計算機之間的連通性。步驟5：配置交換機VLAN在設(shè)備斷電的狀態(tài)臺下，將交換機和PC10計算機通過反轉(zhuǎn)電纜連接起來，打開PC10的超級終端，配置交換機的VLAN，配置如下：1.登錄到交換機并創(chuàng)建VLANSwitch>enableSwitch#Switch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#Switch(config)#vlan10//創(chuàng)建VLAN10Switch(config-vlan)#namecaiw10Switch(config-vlan)#exit

第18頁，課件共85頁，創(chuàng)作于2023年2月Switch(config)#vlan20//創(chuàng)建VLAN20Switch(config-vlan)#namexiaos20Switch(config-vlan)#exit

Switch(config)#vlan30//創(chuàng)建VLAN

30Switch(config-vlan)#namebang30Switch(config-vlan)#exit

2.驗證配置結(jié)果Switch#showvlan

Switch#showvlan第19頁，課件共85頁，創(chuàng)作于2023年2月VLANNameStatusPorts------------------------------------------------------------1defaultactive//默認情況下，所有端口都屬VLAN1Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7Fa0/8,Fa0/9,Fa0/10Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19Fa0/20,Fa0/21,Fa0/22Fa0/23,Fa0/2410test0010active//創(chuàng)建VLAN10，沒有連接端口20test0020active//創(chuàng)建VLAN20，沒有連接端口30test0030active//創(chuàng)建VLAN30，沒有連接端口第20頁，課件共85頁，創(chuàng)作于2023年2月4.配置交換機，將端口分配到VLANSwitch#Switch#configterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#intrangef0/2–8//將交換機的f0/2-f0/8端口加入VLAN10Switch(config-if-range)#switchportaccessvlan10Switch(config)#intrangef0/9–18//將交換機的f0/9-f0/18端口加入VLAN20Switch(config-if-range)#switchportaccessvlan20Switch(config)#intrangef0/19–24//將交換機的f0/18-f0/24端口加入VLAN30Switch(config-if-range)#switchportaccessvlan30第21頁，課件共85頁，創(chuàng)作于2023年2月5.再次驗證配置結(jié)果Switch#showvlan

VLANNameStatusPorts-----------------------------------------------------------1defaultactive//默認情況下，所有端口都屬于VLAN1Fa0/110test0010activeFa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7Fa0/820test0020activeFa0/9,Fa0/10Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18

30test0030activeFa0/19Fa0/20,Fa0/21,Fa0/22Fa0/23,Fa0/24第22頁，課件共85頁，創(chuàng)作于2023年2月14.4.5項目測試步驟1：分別測試PC10、PC11、PC20、PC21、PC30、PC31這六臺計算機之間的連通性。并填入下表。設(shè)備

PC10PC1PC20PC21PC30PC31PC10／

PC11

／

PC20

／

PC21

／

PC30

／

PC31

／步驟2：重新打開交換機，進行驗證測試Switch#showvlan

Switch#showrunning-config

查看結(jié)果第23頁，課件共85頁，創(chuàng)作于2023年2月14.5小結(jié)VLAN是一個邏輯上的概念，可以把接在不同交換機上的計算機根據(jù)功能等組織成新的網(wǎng)段，同一VLAN的計算機屬于同一廣播域，不同VLAN屬于不同廣播域，從而控制了廣播問題。習(xí)

題一、選擇題1.以下對VLAN的描述，不正確的是（）。

A.利用VLAN，可有效地隔離廣播域

B.要實現(xiàn)VLAN間的相互通信，必須使用外部的路由器為其指定路由

C.可以將交換機的端口靜態(tài)地或動態(tài)地指派給某一個VLAND.VLAN中的成員可相互通信，只有訪問其他VLAN中的主機時，才需要網(wǎng)關(guān)2.在實施VLAN的時候，如何能夠改善網(wǎng)絡(luò)的整體性能？（）

A.通過隔離發(fā)生故障的雇員第24頁，課件共85頁，創(chuàng)作于2023年2月B.通過限制廣播流量

C.通過將交換機端口分組為邏輯團體

D.通過在VLAN之間強制發(fā)生第3層路由選擇過程

二、思考題1.將交換機端口劃分到VLAN中的方式有哪兩種？它們之間有何區(qū)別？2.使用VLAN為何能夠提高園區(qū)網(wǎng)的安全性？3.試解釋兩種設(shè)計VLAN的方法？三、實訓(xùn)題1.交換機的VLAN配置現(xiàn)有Cisco3550交換機1臺，控制線一根，PC機3臺，網(wǎng)線3根，網(wǎng)絡(luò)拓撲如圖14.4所示。第25頁，課件共85頁，創(chuàng)作于2023年2月Cisco3550圖14.4VLAN配置拓撲圖PC1：PC2：PC3：

VLAN2VLAN2243第26頁，課件共85頁，創(chuàng)作于2023年2月（1）按照圖14.4所示連接好網(wǎng)絡(luò)。并配置Cisco3550交換機的主機名為switch3550，禁止域名查詢和禁止HTTP服務(wù)。（2）配置Cisco3550交換機的管理地址為00。（3）將Cisco3550交換機的1－12號端口劃分為VLAN2，VLAN2的虛擬接口地址為；Cisco3550交換機的13-24端口劃分為VLAN3，VLAN3的虛擬接口地址為。（4）設(shè)置PC1和PC2的主機IP地址分別為：、，網(wǎng)關(guān)地址為；PC3的主機IP地址為，網(wǎng)關(guān)地址為。（5）在PC1主機中，分別Ping主機PC2和PC3，看是否能Ping通，若都能Ping通，則VLAN劃分成功，VLAN間通信配置也成功；若PC2通，PC3不通，則VLAN劃分成功，VLAN間通信配置不成功。第27頁，課件共85頁，創(chuàng)作于2023年2月任務(wù)15：多交換機上劃分VLAN技術(shù)15.1工作任務(wù)任務(wù)1：你受聘于一家網(wǎng)絡(luò)公司做網(wǎng)絡(luò)工程師，現(xiàn)公司有一客戶提出要求，該公司建立了一小型局域網(wǎng)，包含財務(wù)部、銷售部和辦公室三個部門，分別位于兩座辦公樓，在每一座辦公樓設(shè)置一臺交換機，在每一座辦公樓都有財務(wù)部、銷售部和辦公室三個部門，公司領(lǐng)導(dǎo)要求各部門內(nèi)部主機有一些業(yè)務(wù)可以相互訪問，但部門之間為了安全完全禁止互訪。任務(wù)2：公司領(lǐng)導(dǎo)要求辦公室內(nèi)部計算機可以相互訪問，財務(wù)部、銷售部兩個部門的計算機只有同一座樓可以相互訪問，不同樓的計算機不能相互訪問，部門之間為了安全完全禁止互訪。第28頁，課件共85頁，創(chuàng)作于2023年2月15.2相關(guān)知識為了在多交換機進行VLAN配置，作為網(wǎng)絡(luò)工程師，需要了解本工作任務(wù)所涉及的以下幾方面知識：；

n

匯聚鏈路的概念；

n

VTP的概念；

n

VLAN干線。15.2.1匯聚鏈路的概念在規(guī)劃企業(yè)級網(wǎng)絡(luò)時，很有可能會遇到隸屬于同一部門的用戶分散在同一座建筑物中的不同樓層中，這時可能就需要跨越多臺交換機的多個端口劃分VLAN，不同于在同一交換機上劃分VLAN的方法。如圖15.1所示，需要將不同樓層的用戶主機A、C和B、D設(shè)置為同一個VLAN。第29頁，課件共85頁，創(chuàng)作于2023年2月VLAN2VLAN3ACBD交換機1交換機2圖15.1跨多臺交換機的VLAN第30頁，課件共85頁，創(chuàng)作于2023年2月

當(dāng)VLAN成員分布在多臺交換機的端口上時，VLAN內(nèi)的主機彼此間應(yīng)如何自由通信呢？最簡單的解決方法是在交換機1和交換機2上各拿出一個端口，用于將兩臺交換機級聯(lián)起來，專門用于提供該VLAN內(nèi)的主機跨交換機相互通信。如圖15.2所示。VLAN2VLAN3ACBD交換機1交換機2圖15.2VLAN內(nèi)的主機跨交換機的通信VLAN2VLAN3第31頁，課件共85頁，創(chuàng)作于2023年2月

這種方法雖然解決了VLAN內(nèi)主機間的跨交換機通信，但每增加一個VLAN，就需要在交換機間添加一條互聯(lián)鏈路，并且還要額外占用交換機端口，擴展性和管理效率都很差。為了避免這種低效率的連接方式和對交換機端口的浪費占用，人們想辦法讓交換機間的互聯(lián)鏈路匯聚到一條鏈路上讓該鏈路允許各個VLAN的通信流經(jīng)過，這樣就可解決對交換機端口的額外占用，這條用于實現(xiàn)各VLAN在交換機間通信的鏈路，稱為交換機的匯聚鏈接（TrunkLink）或主干鏈路，如圖15.3所示。用于提供匯聚鏈路的端口稱為匯聚端口。由于匯聚端口通信流量大，一般只有100Mbps或以上的端口才能作為匯聚端口使用。第32頁，課件共85頁，創(chuàng)作于2023年2月VLAN2VLAN3ACBD交換機1交換機2圖15.3VLAN內(nèi)的主機跨交換機的通信TrunkLink第33頁，課件共85頁，創(chuàng)作于2023年2月15.2.2VLAN干線技術(shù)一個干線是網(wǎng)絡(luò)中兩臺交換機之間的物理和邏輯關(guān)聯(lián)，如圖15.3所示。在一個交換網(wǎng)絡(luò)中，一個干線是一個點到點的連接，它能支持多個VLAN。如圖15.3所示。干線的目的是當(dāng)兩個設(shè)備實施VLAN時，可以節(jié)約端口。干線連接是交換機之間以及交換機與路由器之間的一個導(dǎo)管，不屬于一個具體的VLAN。如圖15.4所示.圖15.4VLAN干線可以使多路的VLAN數(shù)據(jù)被承載在一條單獨的鏈路上VLAN1VLAN2VLAN3ISL干線

ISL是Cisco公司私有的協(xié)議，當(dāng)有數(shù)據(jù)在多個交換機間流動的時候，它控制VLAN信息并且使這些交換機互聯(lián)起來。第34頁，課件共85頁，創(chuàng)作于2023年2月ISL在每個原始以太數(shù)據(jù)幀頭附加一個26字節(jié)的ISL幀頭，如圖15.5所示，同時為新的數(shù)據(jù)幀產(chǎn)生一個4字節(jié)的CRC附加在幀的末尾。在26字節(jié)的頭部包含有一個15個比特位長的VLANID字段，該字段中的值就是被封裝數(shù)據(jù)所屬的VLAN號。這樣交換機就能識別屬于不同VLAN的數(shù)據(jù)流。但主機（網(wǎng)卡）不識別這樣的數(shù)據(jù)幀，所以，當(dāng)交換機把數(shù)據(jù)傳遞給主機之前需要將ISL封裝剝?nèi)ァSLHeader26bytesEncapsulatedEthernetFrame圖15.5ISL幀格式CRC4bytes第35頁，課件共85頁，創(chuàng)作于2023年2月目的地址Port）長度／類型長度／類型＝802.1Q標記類型用戶優(yōu)先級2字節(jié)圖15.6虛擬局域網(wǎng)以太網(wǎng)幀格式數(shù)據(jù)802.3MAC幀源地址Port）FCS字節(jié)66424615004插入4字節(jié)的VLAN標記標記控制信息1000000100000000VLANIDCFI2字節(jié)2.IEEE802.1QIEEE802.1q標準定義了VLAN的以太網(wǎng)幀格式，在傳統(tǒng)的以太網(wǎng)的幀格式中插入一個4字節(jié)的標識符，稱為VLAN標記，也稱為tag域，用來指明發(fā)送該幀的工作站屬于哪一個VLAN。如圖15.6所示。如果還使用傳統(tǒng)的以太網(wǎng)幀格式，那么就無法劃分VLAN。第36頁，課件共85頁，創(chuàng)作于2023年2月15.2.3VLAN數(shù)據(jù)幀的傳輸

發(fā)送給交換機時，為了讓對端交換機能夠知道數(shù)據(jù)幀的VLANID，它應(yīng)該給從主機接收到的數(shù)據(jù)幀增加一個tag域后再發(fā)送，其數(shù)據(jù)幀傳輸過程中的變化如圖15.7所示。帶有VLAN3標簽的以太網(wǎng)幀圖15.7VLAN數(shù)據(jù)幀的傳輸VLAN2VLAN3VLAN3VLAN2帶有VLAN2標簽的以太網(wǎng)幀不帶有VLAN標簽的以太網(wǎng)幀第37頁，課件共85頁，創(chuàng)作于2023年2月根據(jù)交換機處理數(shù)據(jù)幀的不同，可以將交換機的端口分為兩類：

l

Access端口：只能傳送標準以太網(wǎng)幀的端口，一般是指那些連接不支持VLAN技術(shù)的端設(shè)備的接口，這些端口接收到的數(shù)據(jù)幀都不包含VLAN標簽，而向外發(fā)送數(shù)據(jù)幀時，必須保證數(shù)據(jù)幀中不包含VLAN標簽。

l

Trunk端口：既可以傳送有VLAN標簽的數(shù)據(jù)幀也可以傳送標準以太網(wǎng)幀的端口，一般是指那些連接支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備（如交換機）的端口，這些端口接收到的數(shù)據(jù)幀一般都包含VLAN標簽（數(shù)據(jù)幀VLANID和端口缺省VLANID相同除外），而向外發(fā)送數(shù)據(jù)幀時，必須保證接收端能夠區(qū)分不同VLAN的數(shù)據(jù)幀，故常常需要添加VLAN標簽（數(shù)據(jù)幀VLANID和端口缺省VLANID相同除外）。第38頁，課件共85頁，創(chuàng)作于2023年2月15.2.4配置VLAN干線

實際工程中Ciscocatalyst交換機現(xiàn)在越來越少使用ISL干線技術(shù)，轉(zhuǎn)而更多地使用802.1Q干線技術(shù)。最新的catalyst交換機支持ISL協(xié)議和802.1Q協(xié)議或者只支持802.1Q協(xié)議。例如，catalyst3750交換機支持ISL和802.1Q，但是catalyst2950就只支持802.1Q。1.802.1Qtrunk的配置使用switchport模式接口配置命令可以使得一個快速以太網(wǎng)接口或者千兆位接口工作在trunk模式，Catalyst2950交換機支持動態(tài)的trunk協(xié)議，它可以完成trunk自動協(xié)商。Switch（config-if）#switchportmode{access|dynamic{auto|desirable}|trunk}第39頁，課件共85頁，創(chuàng)作于2023年2月把交換機的一個端口配置為802.1Q干線端口的步驟為：步驟1：為了配置trunk需要進入端口配置模式：switch(config)#interfacetypemod/port步驟2：配置這個端口作為VLAN干線：Switch(config-if)#switchportmodetrunk步驟3：指定默認的VLAN：Switch(config-if)#switchporttrunkallowedvlan

vlan-id步驟4：定義本征VLAN：Switch(config-if)#switchporttrunknativevlanvlan-id第40頁，課件共85頁，創(chuàng)作于2023年2月2.ISL干線的配置Catalyst交換機支持多種封裝類型，但是通常都會支持DTP、ISL、802.1Q三種封裝。

n

802.1Q：啟用trunk模式時端口只會使用802.1Q封裝。

n

ISL：啟用trunk模式時端口只會使用ISL封裝。

n

Negotiate：端口會協(xié)商封裝類型，這是大多數(shù)交換機的默認設(shè)置。以cisco3550交換機的為例設(shè)置一個端口配置為ISL干線端口的步驟如下：步驟1：為了配置trunk需要進入端口配置模式：switch(config)#interfacetypemod/portswitch(config-if)#shutdown步驟2：配置這個端口使用ISL封裝

Switch(config-if)#switchporttrunkencapsulationISL

第41頁，課件共85頁，創(chuàng)作于2023年2月步驟3：配置為trunk模式：Switch(config-if)#switchportmodetrunkSwitch(config-if)#noshutdown3.靜態(tài)指定trunk鏈路中的VLAN默認情況下，trunk鏈路允許所有VLAN的流量通過，但可采用手工靜態(tài)指定或動態(tài)自動判斷兩種方式來設(shè)置允許通過trunk鏈路的VLAN流量。

可以手工靜態(tài)地從trunk鏈路中刪除或添加允許通過的VLAN。（1）設(shè)置不允許通過trunk鏈路的VLAN在配置前，首先應(yīng)使用interface配置命令選中trunk鏈路端口，然后再從trunk鏈路中刪除指定的VLAN，即不允許這些VLAN的通信流量通過trunk鏈路。配置命令為：

Switch（config）#interfacetypemod/portSwitch（config-if）#switchporttrunkallowedvlanremovevlanlist第42頁，課件共85頁，創(chuàng)作于2023年2月其中：vlanlist表示要添加的VLAN號列表，各VLAN之間用逗號進行分隔。例如，從cisco3550的端口2是trunk鏈路端口，現(xiàn)要將VLAN2和VLAN5從trunk鏈路中刪除，則配置命令為：Switch3550（config）#interfacefastethernet0/2Switch3550（config-if）#switchporttrunkallowedvlan

remove

2,5若要在trunk鏈路中刪除100~200號VLAN的流量，則配置命令為：Switch3550（config-if）#switchporttrunkallowedvlan

remove100-2002）設(shè)置允許通過trunk鏈路的VLAN配置命令為：witch（config）#interfacetypemod/portSwitch（config-if）#switchporttrunkallowedvlanadd

vlanlist第43頁，課件共85頁，創(chuàng)作于2023年2月其中：vlanlist表示要刪除的VLAN號列表，各VLAN之間用逗號進行分隔。例如，從cisco3550的端口2是trunk鏈路端口，現(xiàn)要添加允許VLAN2和VLAN5的通信流量通過，則配置命令為：Switch3550（config）#interfacefastethernet0/2Switch3550（config-if）#switchporttrunkallowedvlanadd2,5若要配置trunk鏈路僅允許VLAN2、VLAN5和VLAN7通過，則配置命令為：Switch3550（config）#interfacefastethernet0/2Switch3550（config-if）#switchporttrunkallowedvlanremove2–1001Switch3550（config-if）#switchporttrunkallowedvlanadd2,5,7若要設(shè)置允許所有的VLAN通過trunk鏈路，則配置命令為：Switch3550（config-if）#switchporttrunkallowedvlanall第44頁，課件共85頁，創(chuàng)作于2023年2月15.2.5VLAN中繼協(xié)議隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜程度的增長，VLAN結(jié)構(gòu)的集中化管理變得日益重要。VTP（VLAN中繼協(xié)議）是第2層消息協(xié)議，它提供了一種從網(wǎng)段內(nèi)的中央服務(wù)器對VLAN數(shù)據(jù)庫進行分布和管理的方法。路由器不會轉(zhuǎn)發(fā)VTP更新。1.VTP概念及模式

VTP使用“域”（Domain）關(guān)系組織互連的交換機，并在“域”內(nèi)的所有交換機上維護VLAN配置信息的一致性。VTP“域”也被稱為VLAN管理域（VLANmanagementdomain）。網(wǎng)絡(luò)中的VTP域是一組VTP域名稱相同并通過Trunk相互連接的交換機。一臺交換機可以屬于也只能屬于一個VTP域。VTP是一種客戶端/服務(wù)器消息協(xié)議，它能夠在單個VTP域中增加、刪除和重命名VLAN。同一管理區(qū)域內(nèi)的所有交換機都是域的一部分。每個域都有其唯一的名稱。VTP交換機僅與相同域中的其它交換機共享VTP消息。第45頁，課件共85頁，創(chuàng)作于2023年2月

VTP有三種模式：服務(wù)器模式、客戶端模式和透明模式。默認情況下，所有交換機都使用服務(wù)器模式。建議一個網(wǎng)絡(luò)中至少將兩臺交換機配置為服務(wù)器，以便提供備份和冗余功能。

可以將交換機配置為以下3種VTP操作模式中的一種。(1)服務(wù)器模式(Servermode)服務(wù)器模式是交換機默認的工作模式，運行在該模式的交換機，允許創(chuàng)建、修改和刪除本地VLAN數(shù)據(jù)庫中的VLAN，并允許設(shè)置一些對整個VTP域的配置參數(shù)。(2)客戶機模式（Clientmode）處于該模式下的交換機不能創(chuàng)建、修改和刪除VLAN，也不能在NVRAM中存儲VLAN配置，如果掉電，將丟失所有的VLAN信息。第46頁，課件共85頁，創(chuàng)作于2023年2月(3)透明模式（transparentmode）

透明模式也可以創(chuàng)建、修改或刪除本地VLAN數(shù)據(jù)庫的VLAN，但與服務(wù)器模式不同的是，對VLAN配置的變化不會傳播給其他交換機，即對VLAN的配置改變，僅對處于透明模式的交換機自身有效。2.VTP操作

VTP通告信息是在交換機的干道鏈路上傳播的，在VTP通告信息中包含配置版本號，配置版本號的高低代表著VLAN配置信息的新舊，高版本號代表更新的信息。只要交換機接收到一個有更高配置版本號的更新，它就用該VTP更新中的信息覆蓋過去的信息。每當(dāng)服務(wù)器上修改了VLAN的配置（修改包括創(chuàng)建、刪除VLAN和更改VLAN的名稱），其配置版本號就會加1，然后用新的版本號向域中通告。第47頁，課件共85頁，創(chuàng)作于2023年2月3.VTP配置當(dāng)創(chuàng)建VLAN時，必須要決定是否使用VTP。使用VTP，能使配置在一個或多個交換機上被改變時，那些改變會自動傳送給在同一個VTP域中的其他交換機。默認的交換機配置值取決于交換機的類別和軟件的版本。下面列出了Catalyst2950系列交換機的默認值：■VTP域名――None；■VTP模式――Server；■VTP密碼――None；■VTP修剪――Disabled；

■VTP版本――1；■VTP警告――Disabled；第48頁，課件共85頁，創(chuàng)作于2023年2月（1）創(chuàng)建VTP管理域VTP管理域不會隔斷廣播域，僅用于同步VLAN配置信息。創(chuàng)建VTP管理域需要在VLAN配置模式下運行，配置命令為：switch(config)#Vtpdomaindomain-name其中：domain-name是要創(chuàng)建的VTP管理域的名稱，并區(qū)分大小寫。在CiscoCatalyst3550交換機上創(chuàng)建一個名為xtjx的管理域，則配置命令為：Switch3550>enableSwitch3550＃vlandatabaseSwitch3550(VLAN)＃vtpdomainxtjx在CiscoCatalyst3560交換機上創(chuàng)建一個名為xtjx的管理域，則配置命令為：Swithch3560>enSwithch3560#configtSwithch3560(config)#vtpdomainxtjx第49頁，課件共85頁，創(chuàng)作于2023年2月（2）設(shè)置VTP模式設(shè)置VTP的工作模式需要在VLAN配置模式下進行，配置命令為：Switch(VLAN)＃Vtp

［server|client|transparent］將CiscoCatalyst3550交換機設(shè)置為server模式，則配置命令為：Switch3550(VLAN)＃vtpserver將CiscoCatalyst3560交換機設(shè)置為server模式，則配置命令為：Swithch3560(config)#vtpmodeserver執(zhí)行showvtpstatus可查看到相應(yīng)的配置項已設(shè)置。第50頁，課件共85頁，創(chuàng)作于2023年2月（3）選擇VTP版本VTP支持版本1和版本2模式，設(shè)置啟用VTP版本2，可在VLAN配置模式下進行，配置命令為：Switch(VLAN)＃Vtpv2-mode將CiscoCatalyst3550交換機VTP版本設(shè)置為2，則配置命令為：Switch3550(VLAN)＃vtpv2-mode將CiscoCatalyst3560交換機VTP版本設(shè)置為2，則配置命令為Swithch3560(config)#vtpversion2（4）

查看VTP信息若要查看VTP的狀態(tài)信息，可使用命令：Showvtpstatus若要查看VTP的統(tǒng)計信息，可使用命令：Showvtpcounters第51頁，課件共85頁，創(chuàng)作于2023年2月（5）啟用VTPPruning要實現(xiàn)啟用VTPPruning功能，VTP域中的所有交換機必須支持VTP版本2，但并不一定要啟用VTP版本2。目前的交換機一般均支持VTP版本2的功能。啟用VTPPruning功能的配置命令為：Switch（vlan）#VtpPruning例如，在Cisco3550交換機上啟用VTPPruning功能，則配置命令為：Switch3550#VLANdatabaseSwitch3550（vlan）#vtppruningSwitch3550（vlan）#end在Cisco3560交換機上啟用VTPPruning功能，則配置命令為：Swithch3560(config)#vtppruning第52頁，課件共85頁，創(chuàng)作于2023年2月默認情況下，所有的VLAN均有被裁剪的資格。設(shè)置不允許參與裁剪功能的VLAN，配置命令為：Switch（config）#interfacetypemod/portSwitch（config-if）#switchporttrunkpruningvlanremove

vlanlist例如，假設(shè)trunk鏈路端口為端口2，不允許VLAN2參與VTP裁剪，則配置命令為：Switch3550（config）#interfacefastethernet0/2Switch3550（config-if）#switchporttrunkpruningvlanremove2此時需要在trunk鏈路兩端的交換機中均要進行相應(yīng)的配置。設(shè)置允許參與裁剪功能的VLAN，配置命令為：Switch（config）#interfacetypemod/portSwitch（config-if）#switchporttrunkpruningvlanadd

vlanlist第53頁，課件共85頁，創(chuàng)作于2023年2月15.3方案設(shè)計對于任務(wù)1：根據(jù)客戶的要求，經(jīng)過公司技術(shù)人員的協(xié)商，認為在通過交換機上VLAN技術(shù)從而達到各部門網(wǎng)絡(luò)之間互相禁止訪問。先將兩個交換機分別劃分3個VLAN，使財務(wù)部、銷售部和辦公室各個部門的主機在相同的VLAN中，部門之間在不同的VLAN內(nèi)。用一條交叉線將兩臺交換機的fa0/1端口連接起來，且兩臺交換機相連接口設(shè)置為trunk類型，這樣在同一VLAN內(nèi)的主機能夠相互訪問，不同VLAN之間的主機不能相互訪問，達到公司要求。三個部門VLAN劃分為：財務(wù)部在VLAN10中，VLAN10包括交換機A的f0/2-f0/8端口和交換機B的f0/2-f0/8端口；銷售部在VLAN20中，VLAN20包括交換機A的f0/9-f0/18端口和交換機B的f0/9-f0/18端口；辦公室在VLAN30中，VLAN30包括交換機A的f0/18-f0/24端口和交換機B的f0/18-f0/24端口。第54頁，課件共85頁，創(chuàng)作于2023年2月對于任務(wù)2：和需求1基本上都一樣，只是在兩臺交換機相連接口設(shè)置為trunk類型，需要移除VLAN10和VLAN20外的所有VLAN數(shù)據(jù)都通過trunk接口從一臺交換機某一VLAN到達另一臺交換機同一VLAN中。15.4項目實施－多交換機劃分VLAN技術(shù)15.4.1任務(wù)目標通過工作任務(wù)的完成，使學(xué)生可以掌握以下技能：（1）能夠?qū)崿F(xiàn)跨交換機上實現(xiàn)VLAN方法；（2）能夠掌握將交換機端口分配到VLAN中的操作技巧。第55頁，課件共85頁，創(chuàng)作于2023年2月15.4.2設(shè)備清單（1）Cisco3560交換機（1臺）；（2）Cisco2950交換機（1臺）；（3）PC機6臺；（4）雙絞線（若干根）；（5）反轉(zhuǎn)電纜一根。15.4.3網(wǎng)絡(luò)拓撲本工作任務(wù)的網(wǎng)絡(luò)拓撲，如圖15.8所示，按照圖15.8連接硬件和設(shè)置IP地址，采用直通線將PC10連接到交換機A的f0/2，將PC11連接到交換機B的f0/2；將PC10連接到交換機A的f0/2，將PC11連接到交換機B的f0/2；將PC20連接到交換機A的f0/9，將PC21連接到交換機B的f0/9；將PC30連接到交換機A的f0/19，將PC31連接到交換機B的f0/19。第56頁，課件共85頁，創(chuàng)作于2023年2月圖15.8多交換機VLAN劃分交換機AFa0/1PC30PC21PC11交換機BFa0/1PC31PC20PC10第57頁，課件共85頁，創(chuàng)作于2023年2月15.4.4實施過程步驟1：硬件連接在交換機和計算機斷電的狀態(tài)下，按照圖15.8所示連接硬件。步驟2：分別打開設(shè)備，給設(shè)備加電。步驟3：配置PC10、PC11、PC20、PC21、PC30、PC31的IP地址如表14-2所示。步驟4：分別測試PC10、PC11、PC20、PC21、PC30、PC31這六臺計算機之間的連通性。第58頁，課件共85頁，創(chuàng)作于2023年2月步驟5：配置交換機A在設(shè)備斷電的狀態(tài)臺下，將交換機和PC10計算機通過反轉(zhuǎn)電纜連接起來，打開PC10的超級終端，配置交換機A的VLAN，配置如下：1．配置Cisco3550交換機，并設(shè)置為VTP服務(wù)器模式Switch>enSwitch#configtSwitch（config）#hostnameswitch3550switch3550（config）#exitswitch3550#vlandatabase//創(chuàng)建VTP管理域switch3550（vlan）#vtpdomainxtjxswitch3550（vlan）#vtpserver//設(shè)置交換機為VTP服務(wù)器switch3550（vlan）#exit第59頁，課件共85頁，創(chuàng)作于2023年2月2.在交換機Cisco3550上創(chuàng)建VLAN（略）3.配置交換機Cisco3550，將端口分配到VLAN（略）步驟6：配置交換機Cisco2950上VLAN在設(shè)備斷電的狀態(tài)臺下，將交換機和PC11計算機通過反轉(zhuǎn)電纜連接起來，打開PC11的超級終端。1.配置Cisco2950交換機，創(chuàng)建VLAN（略）2.將交換機Cisco2950加入到xtjx域設(shè)置為Client模式switch2950#vlandatabaseswitch2950（vlan）#vtpdomainxtjxswitch2950（vlan）#vtpclientswitch2950（vlan）#exit第60頁，課件共85頁，創(chuàng)作于2023年2月3.配置交換機B，將端口分配到VLAN步驟7：跨交換機VLAN之間連接1.將交換機A和交換機B相連的端口（假設(shè)為fa0/1），定義為tagvlan模式。Switch3550#configterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch3550(config)#interfacefastethernet0/1Switch3550（config-if）#switchport//設(shè)置為2層交換接口Switch3550(config-if)#switchporttrunkencapsulationdot1qSwitch3550(config-if)#switchportmodetrunkSwitch3550(config-if)#exitSwitch3550(config)#exitSwitch3550#showinterfacefastethernet0/1switchport第61頁，課件共85頁，創(chuàng)作于2023年2月2.將交換機B和交換機A相連的端口（假設(shè)為fa0/1），定義為tagvlan模式。switch2950#configterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.switch2950(config)#interfacefastethernet0/1switch2950(config-if)#switchportmodetrunkswitch2950(config-if)#exitswitch2950(config)#exitswitch2950#showinterfacefastethernet0/1switchport步驟8：對于需求2，1.在交換機A上的fa0/3接上PC12（IP地址為：2）、在交換機B上的fa0/3接上PC13（IP地址為：3）。2.在交換機A上的fa0/1的trunk口中去除VLAN10、VLAN20，這樣在兩個交換機trunk端口中不傳送VLAN10、VLAN20的數(shù)據(jù)，兩交換機的VLAN10、VLAN20的PC機就不能相互通信。

第62頁，課件共85頁，創(chuàng)作于2023年2月Switch3550#configterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch3550(config)#interfacefastethernet0/1Switch3550(config-if)#switchportmodetrunkSwitch3550(config-if)#switchporttrunkallowedvlanremove10Switch3550(config-if)#switchporttrunkallowedvlanremove20Switch3550(config-if)#exitSwitch3550(config)#exitSwitch3550#showinterfacefastethernet0/1switchport3.在交換機B上的fa0/1的trunk口中去除VLAN10、VLAN20，這樣在兩個交換機trunk端口中不傳送VLAN10、VLAN20的數(shù)據(jù)，兩交換機的VLAN10、VLAN20的PC機就不能相互通信。第63頁，課件共85頁，創(chuàng)作于2023年2月Switch2950#configterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch2950(config)#interfacefastethernet0/1Switch2950(config-if)#switchportmodetrunkSwitch2950(config-if)#switchporttrunkallowedvlanremove10Switch2950(config-if)#switchporttrunkallowedvlanremove20Switch2950(config-if)#exitSwitch2950(config)#exitSwitch2950#showinterfacefastethernet0/1switchport15.4.5項目測試步驟對于需求1：1.分別測試PC10、PC11、PC20、PC21、PC30、PC31這六臺計算機之間的連通性。并填入表15-2。第64頁，課件共85頁，創(chuàng)作于2023年2月

表15-2

設(shè)備pc10PC11PC20PC21PC30PC31PC10／

PC11

／

PC20

／

PC21

／

PC30

／

PC31

／2.別打開交換機A和交換機B，查看交換機的配置信息Switch3550#showrunning-configSwitch2950#showrunning-config

查看結(jié)果步驟2：對于需求21.試PC10、PC11、PC12、PC13、PC20、PC21、PC30、PC31這8臺計算機之間的連通性。并填入表15-3。第65頁，課件共85頁，創(chuàng)作于2023年2月表15-3

設(shè)備PC10PC11PC12PC13PC20PC21PC30PC31PC10／

PC11

／

PC12

／

PC13

／

PC20

／

PC21

／

PC30

／

PC31

／2.打開交換機A和交換機B，查看交換機的配置信息Switch3550#showrunning-configSwitch2950#showrunning-config

查看結(jié)果第66頁，課件共85頁，創(chuàng)作于2023年2月15.5擴展知識-端口安全基本來說，PortSecurity功能可以記住與交換機端口連接的網(wǎng)卡MAC地址，并僅允許該MAC地址使用該端口。如果其它網(wǎng)卡試圖通過該端口連接到交換機，端口安全功能就會禁止該端口工作。1．配置端口安全端口安全的配置需要管理員針對一個已經(jīng)開啟的交換機端口，進入port-security接口模式。如下所示：Switch)#configterminalSwitch(config)#intefacefastethernet0/18Switch(config-if)#switchportport-security?第67頁，課件共85頁，創(chuàng)作于2023年2月agingPort-securityagingcommandsmac-addressSecuremacaddressmaximumMaxsecureaddressesviolationSecurityviolationmode<cr>Switch(config-if)#switchportport-security

Switch(config-if)#^Z

需要注意，端口必須在ACCESS模式下才可以啟用端口安全，而端口安全默認是關(guān)閉的。第68頁，課件共85頁，創(chuàng)作于2023年2月2.配置選項除此之外，還有一些端口安全命令可以幫助配置該功能。Switch(config-if)#switchportport-securitymaximum{max#ofMACaddressesallowed}

這個參數(shù)可以讓每個端口綁定更多的MAC地址，而不再只能綁定一個地址。比如，用一個12口HUB連接到交換機端口，就應(yīng)該設(shè)置每個端口支持綁定12個MAC地址。另外，每個端口最多能綁定132個MAC地址。Switch(config-if)#switchportport-securityviolation{shutdown|restrict|protect}

這個命令告訴交換機，當(dāng)每個端口接入的MAC地址數(shù)量超過了規(guī)定的最大值，該如何處理。在默認情況下是關(guān)閉該端口，當(dāng)然，也可以選擇向管理員報警

(如

restrict)或者僅允許安全的MAC地址與端口通信，而將超出的MAC地址發(fā)送或接收的數(shù)據(jù)包丟棄(如

protect)。第69頁，課件共85頁，創(chuàng)作于2023年2月Switch(config-if)#switchportport-security

mac-address{MACaddress}

這個命令直接指定每個端口要綁定的MAC地址，而不是讓端口自己自動按先后順序綁定端口。當(dāng)然，也可以在某個端口范圍進行設(shè)置，而不是逐個端口進行設(shè)置。例如：Switch)#configtSwitch(config)#intrangefastEthernet0/1-24Switch(config-if)#switchportport-security3.查看端口安全狀態(tài)一旦成功配置了端口安全功能，并且以太網(wǎng)上的設(shè)備開始向該端口發(fā)送數(shù)據(jù)，那么交換機就會立即記錄該端口連接設(shè)備的MAC地址，并且使用該MAC地址與端口綁定。第70頁，課件共85頁，創(chuàng)作于2023年2月

要查看交換機的端口安全狀態(tài)，可以使用showport-securityaddress和showport-securityinterface命令。Switch#showport-securityaddress

SecureMacAddressTable-----------------------------------------------------------VlanMacAddressTypePortsRemainingAge(mins)-------------------------------------10004.00d5.285dSecureDynamicFa0/18------------------------------------------------------------TotalAddressesinSystem(excludingonemacperport):0MaxAddresseslimitinSystem(excludingonemacperport):1024

Switch#showport-securityinterfacefa0/18PortSecurity:Enabled第71頁，課件共85頁，創(chuàng)作于2023年2月PortStatus:Secure-upViolationMode:ShutdownAgingTime:0minsAgingType:AbsoluteSecureStaticAddressAging:DisabledMaximumMACAddresses:1TotalMACAddresses:1ConfiguredMACAddresses:0StickyMACAddresses:0LastSourceAddress:0004.00d5.285dSecurityViolationCount:0Switch#第72頁，課件共85頁，創(chuàng)作于2023年2月15.6小結(jié)在交換機之間連接多個VLAN需要trunk技術(shù),trunk技術(shù)采用幀標記技術(shù)，實現(xiàn)了在單一鏈路上傳送不同VLAN的數(shù)據(jù)幀，大大提高了鏈路的利用率。目前常用的trunk封裝有802.1q和ISL兩種，前者是國際標準，后者是Cisco的專用技術(shù)。VTP提供了集中管理VLAN的方法，VTP協(xié)議可以在trunk鏈路上傳遞VLAN信息。交換機可以是VTP的三種角色之一：服務(wù)器模式、透明模式、客戶機模式。第73頁，課件共85頁，創(chuàng)作于2