項(xiàng)目4 部門間網(wǎng)絡(luò)安全隔離

1、12學(xué)習(xí)情境二：構(gòu)建中型網(wǎng)絡(luò)學(xué)習(xí)情境二：構(gòu)建中型網(wǎng)絡(luò)項(xiàng)目四：部門間網(wǎng)絡(luò)的安全隔離項(xiàng)目四：部門間網(wǎng)絡(luò)的安全隔離3交換機(jī)基本配置與管理交換機(jī)基本配置與管理 多交換機(jī)上劃分多交換機(jī)上劃分VLANVLAN 4硬件系統(tǒng)硬件系統(tǒng)u CPU CPUu 交換機(jī)背板的交換機(jī)背板的ASICASIC芯片芯片u RAM RAM、ROMROMu FLASH FLASHu 非易失性非易失性RAM RAM 交換機(jī)的組成交換機(jī)的組成5交換機(jī)的交換機(jī)的IOS交換機(jī)的交換機(jī)的IOSIOS啟動(dòng)包括：?jiǎn)?dòng)包括：FlashFlash存儲(chǔ)器、存儲(chǔ)器、TFTPTFTP服務(wù)器、服務(wù)器、ROMROM（不完整的（不完整的IOSIOS軟件）。軟件

2、）。6交換機(jī)的啟動(dòng)交換機(jī)的啟動(dòng)（1 1）確認(rèn)交換機(jī)啟動(dòng)時(shí)對(duì)所有硬件進(jìn)行了檢測(cè)；）確認(rèn)交換機(jī)啟動(dòng)時(shí)對(duì)所有硬件進(jìn)行了檢測(cè)；（2 2）發(fā)現(xiàn)并裝載交換機(jī)的操作系統(tǒng)）發(fā)現(xiàn)并裝載交換機(jī)的操作系統(tǒng)Cisco IOSCisco IOS軟件；軟件；（3 3）發(fā)現(xiàn)配置文件并應(yīng)用各條配置語句，包括協(xié)議功）發(fā)現(xiàn)配置文件并應(yīng)用各條配置語句，包括協(xié)議功能和接口地址。能和接口地址。7配置配置模式模式 8可網(wǎng)管交換可網(wǎng)管交換機(jī)工作模式機(jī)工作模式 用戶模式用戶模式 特權(quán)模式特權(quán)模式 配置模式配置模式 全局配置模式接口配置模式VLAN配置模式線程工作模式 9 當(dāng)當(dāng)PCPC計(jì)算機(jī)和交換機(jī)建立連接，配置好仿真終端時(shí)，計(jì)算機(jī)和交換機(jī)建

3、立連接，配置好仿真終端時(shí)，首先處于用戶模式（首先處于用戶模式（User EXECUser EXEC模式）。模式）。 在用戶模式下，可以使用少量用戶模式命令，命令的在用戶模式下，可以使用少量用戶模式命令，命令的功能也受到一定限制。用戶模式命令的操作結(jié)果不會(huì)被保功能也受到一定限制。用戶模式命令的操作結(jié)果不會(huì)被保存。存。 用戶模式狀態(tài)：用戶模式狀態(tài)：SwitchSwitch用戶模式用戶模式 10 要想在可網(wǎng)管交換機(jī)上使用更多的命令，要想在可網(wǎng)管交換機(jī)上使用更多的命令， 必須進(jìn)入必須進(jìn)入特權(quán)模式（特權(quán)模式（Privileged EXECPrivileged EXEC模式）。模式）。 通常由用戶模式進(jìn)入

4、特權(quán)模式時(shí)，必須輸入進(jìn)入特權(quán)通常由用戶模式進(jìn)入特權(quán)模式時(shí)，必須輸入進(jìn)入特權(quán)模式的命令：模式的命令：enableenable。在特權(quán)模式下，用戶可以使用所有。在特權(quán)模式下，用戶可以使用所有的特權(quán)命令，可以使用命令的數(shù)目也增加了很多。的特權(quán)命令，可以使用命令的數(shù)目也增加了很多。 特權(quán)模式狀態(tài)：特權(quán)模式狀態(tài)：SwitchSwitch特權(quán)模式特權(quán)模式 11 通過通過configure terminalconfigure terminal命令，可以由特權(quán)模式進(jìn)入命令，可以由特權(quán)模式進(jìn)入配置模式。在配置模式下，可以使用更多的命令來修改交配置模式。在配置模式下，可以使用更多的命令來修改交換機(jī)的系統(tǒng)參數(shù)。換機(jī)

5、的系統(tǒng)參數(shù)。 使用配置模式（全局配置模式，接口配置模式、使用配置模式（全局配置模式，接口配置模式、VLANVLAN配置模式、線程工作模式）的命令會(huì)對(duì)當(dāng)前的配置產(chǎn)生影配置模式、線程工作模式）的命令會(huì)對(duì)當(dāng)前的配置產(chǎn)生影響。如果用戶保存了配置信息，這些命令將被保存下來，響。如果用戶保存了配置信息，這些命令將被保存下來，并在系統(tǒng)重新啟動(dòng)時(shí)再次執(zhí)行。要進(jìn)入各種配置模式，首并在系統(tǒng)重新啟動(dòng)時(shí)再次執(zhí)行。要進(jìn)入各種配置模式，首先必須進(jìn)入全局配置模式。從全局配置模式出發(fā)，可以進(jìn)先必須進(jìn)入全局配置模式。從全局配置模式出發(fā)，可以進(jìn)入接口配置模式等各種配置子模式。入接口配置模式等各種配置子模式。 配置模式配置模式 1

6、2Exit Exit 或或Ctrl-ZCtrl-ZExit Exit 或或Ctrl-ZCtrl-ZConfigure terminalConfigure terminal各種特定配置模式switchswitchswitch#switch#switchswitch（configconfig）# #用戶EXEC模式特權(quán)EXEC模式全局配置模式EnableEnable13任務(wù)任務(wù)1 1：交換機(jī)的基本配置與管理：交換機(jī)的基本配置與管理14 某人受聘于一家公司網(wǎng)絡(luò)中心做網(wǎng)絡(luò)管某人受聘于一家公司網(wǎng)絡(luò)中心做網(wǎng)絡(luò)管理員，隨著網(wǎng)絡(luò)應(yīng)用的逐步深入，公司陸續(xù)理員，隨著網(wǎng)絡(luò)應(yīng)用的逐步深入，公司陸續(xù)添置計(jì)算機(jī)和可管理的

7、網(wǎng)絡(luò)設(shè)備，現(xiàn)需要對(duì)添置計(jì)算機(jī)和可管理的網(wǎng)絡(luò)設(shè)備，現(xiàn)需要對(duì)新進(jìn)的交換機(jī)進(jìn)行配置和管理。新進(jìn)的交換機(jī)進(jìn)行配置和管理。15l 能夠通過控制臺(tái)端口對(duì)交換機(jī)進(jìn)行初始配置；能夠通過控制臺(tái)端口對(duì)交換機(jī)進(jìn)行初始配置；l 能夠配置交換機(jī)的各種口令；能夠配置交換機(jī)的各種口令； l 能夠?qū)粨Q機(jī)進(jìn)行基本配置；能夠?qū)粨Q機(jī)進(jìn)行基本配置； l 能夠利用能夠利用show show 命令查看交換機(jī)的各種狀態(tài)。命令查看交換機(jī)的各種狀態(tài)。 16n Cisco2900Cisco2900交換機(jī)（交換機(jī)（1 1臺(tái)）；臺(tái)）； n PCPC計(jì)算機(jī)計(jì)算機(jī)1 1臺(tái)；臺(tái)； n 雙絞線（若干根）；雙絞線（若干根）； n 反轉(zhuǎn)電纜一根。反轉(zhuǎn)電纜一

8、根。 17F0/0F0/0/24/24交換機(jī)初始配置交換機(jī)初始配置/24/24交換機(jī)交換機(jī)ConsoleConsole接口接口PCAPCA18步驟步驟1 1：交換機(jī)啟動(dòng)：交換機(jī)啟動(dòng); ;步驟步驟2 2：用戶模式、特權(quán)模式、全局配置模式的轉(zhuǎn)換：用戶模式、特權(quán)模式、全局配置模式的轉(zhuǎn)換; ;步驟步驟3 3：使用交換機(jī)的：使用交換機(jī)的CLI;CLI;步驟步驟4 4：配置交換機(jī)的主機(jī)名：配置交換機(jī)的主機(jī)名; ;19步驟步驟5: 5: 配置交換機(jī)的口令配置交換機(jī)的口令; ;步驟步驟6 6：查看交換機(jī)信息：查看交換機(jī)信息

9、; ;步驟步驟7 7：配置：配置2 2層交換機(jī)端口層交換機(jī)端口; ;步驟步驟8 8：通過：通過TelnetTelnet連接交換機(jī)；連接交換機(jī)；步驟步驟9 9：測(cè)試。：測(cè)試。 2021A3交換式集線器交換式集線器A4B1交換式集線器VLAN3C3B3VLAN1VLAN2C1A2A1C2B2交換式集線器三個(gè)虛擬局域網(wǎng) VLAN1, VLAN2和 VLAN3 的構(gòu)成 當(dāng) B1 向 VLAN2 工作組內(nèi)成員發(fā)送數(shù)據(jù)時(shí)，工作站 B2 和 B3 將會(huì)收到廣播的信息。B1 發(fā)送數(shù)據(jù)時(shí)，工作站 A1, A2 和 C1都不會(huì)收到 B1 發(fā)出的廣播信息。 虛擬局域網(wǎng)限制了接收廣播信息的工作站數(shù)，使得網(wǎng)絡(luò)不會(huì)因傳播

10、過多廣播信息(即“廣播風(fēng)暴”)而引起性能惡化。 交換式集線器A322有利于優(yōu)化網(wǎng)絡(luò)性能有利于優(yōu)化網(wǎng)絡(luò)性能提高了網(wǎng)絡(luò)的安全性提高了網(wǎng)絡(luò)的安全性便于對(duì)網(wǎng)絡(luò)進(jìn)行管理和控制便于對(duì)網(wǎng)絡(luò)進(jìn)行管理和控制提供了基于第二層的通信優(yōu)先級(jí)服務(wù)提供了基于第二層的通信優(yōu)先級(jí)服務(wù)23組網(wǎng)方法組網(wǎng)方法靜態(tài)靜態(tài)VLANVLAN動(dòng)態(tài)動(dòng)態(tài)VLANVLAN基于基于MACMAC地址的地址的VLANVLAN基于路由的基于路由的VLANVLAN用用IPIP廣播組定義虛擬局域網(wǎng)廣播組定義虛擬局域網(wǎng) 24 在建立在建立VLANVLAN之前，必須考慮是否使用之前，必須考慮是否使用VLANVLAN干線協(xié)議干線協(xié)議（VLAN trunk prot

11、ocolVLAN trunk protocol，VTPVTP）來為你的網(wǎng)絡(luò)進(jìn)行全局）來為你的網(wǎng)絡(luò)進(jìn)行全局VLANVLAN的配置。的配置。 大多數(shù)大多數(shù)CatalystCatalyst桌面交換機(jī)支持最多桌面交換機(jī)支持最多6464個(gè)激活的個(gè)激活的VLANVLAN。Catalyst2950Catalyst2950系列交換機(jī)在標(biāo)準(zhǔn)鏡像上可以支持最多系列交換機(jī)在標(biāo)準(zhǔn)鏡像上可以支持最多250250個(gè)個(gè)VLANVLAN，并且最大可支持的，并且最大可支持的VLANVLAN號(hào)為號(hào)為40964096。CatalystCatalyst交換機(jī)的交換機(jī)的默認(rèn)配置是為每一個(gè)默認(rèn)配置是為每一個(gè)VLANVLAN運(yùn)行一個(gè)單獨(dú)的

12、生成樹實(shí)例。運(yùn)行一個(gè)單獨(dú)的生成樹實(shí)例。25配置配置VLAN VLAN 的的IDID和名字和名字在全局配置模式下使用在全局配置模式下使用VLANVLAN命令命令: : Switch Switch（configconfig）# #vlanvlan vlan-id vlan-id26 其中：其中：VlanVlan是是-id-id配置要被添加的配置要被添加的VLANVLAN的的IDID，如，如果要安裝增強(qiáng)的軟件版本，范圍為果要安裝增強(qiáng)的軟件版本，范圍為1 1 40964096，如果安，如果安裝的是標(biāo)準(zhǔn)的軟件版本，范圍為裝的是標(biāo)準(zhǔn)的軟件版本，范圍為1 1 10051005。每一個(gè)。每一個(gè)VLANVLAN

13、都有一個(gè)唯一的都有一個(gè)唯一的4 4位的位的IDID（范圍：（范圍：00010001 10051005）。）。SwitchSwitch（config-vlanconfig-vlan）# #namename vlan-name vlan-name27 定義一個(gè)定義一個(gè)VLANVLAN的名字，可以使用的名字，可以使用1 1 3232個(gè)個(gè)ASCIIASCII字字符，但是必須保證這個(gè)名稱在管理域中是唯一的。符，但是必須保證這個(gè)名稱在管理域中是唯一的。 為了添加一個(gè)為了添加一個(gè)VLANVLAN到到VLANVLAN數(shù)據(jù)庫，需要給數(shù)據(jù)庫，需要給VLANVLAN分配給一個(gè)分配給一個(gè)IDID號(hào)和名字。號(hào)和名字。V

14、LAN1VLAN1（包括（包括VLAN1002VLAN1002、VLAN1003VLAN1003、VLAN1004VLAN1004和和VLAN1005VLAN1005）是一些廠家默認(rèn)）是一些廠家默認(rèn)VLAN IDVLAN ID號(hào)。號(hào)。28 默認(rèn)配置中，交換機(jī)處在默認(rèn)配置中，交換機(jī)處在VTPVTP服務(wù)器模式，所服務(wù)器模式，所以可以添加、更改或刪除以可以添加、更改或刪除VLANVLAN。如果交換機(jī)設(shè)置為。如果交換機(jī)設(shè)置為VTPVTP客戶模式，就不能添加、更改或刪除客戶模式，就不能添加、更改或刪除VLANVLAN。 為了添加一個(gè)以太網(wǎng)為了添加一個(gè)以太網(wǎng)VLANVLAN，必須至少指定一個(gè)，必須至少指定

15、一個(gè)VLAN IDVLAN ID。如果不為。如果不為VLANVLAN輸入一個(gè)名字，默認(rèn)配置輸入一個(gè)名字，默認(rèn)配置會(huì)在會(huì)在“VLAN”VLAN”這個(gè)字母后自動(dòng)添加這個(gè)字母后自動(dòng)添加VLANVLAN的號(hào)碼。例的號(hào)碼。例如，如果不加以命名，如，如果不加以命名，VLAN0004VLAN0004將使用將使用VLAN 4VLAN 4的默的默認(rèn)名字。認(rèn)名字。29 分配端口分配端口 在新創(chuàng)建一個(gè)在新創(chuàng)建一個(gè)VLANVLAN之后，可以為之手工分配一個(gè)端之后，可以為之手工分配一個(gè)端口號(hào)或多個(gè)端口號(hào)。一個(gè)端口只能屬于唯一一個(gè)口號(hào)或多個(gè)端口號(hào)。一個(gè)端口只能屬于唯一一個(gè)VLANVLAN。這種為這種為VLANVLAN分配

16、端口號(hào)的方法稱為靜態(tài)接入端口。分配端口號(hào)的方法稱為靜態(tài)接入端口。在接口配置模式下，分配在接口配置模式下，分配VLANVLAN端口命令為：端口命令為： Switch Switch（config-ifconfig-if）# #switchport access vlanswitchport access vlan vlan-idvlan-id 默認(rèn)情況下，所有的端口都屬于默認(rèn)情況下，所有的端口都屬于VLAN 1VLAN 1。30檢驗(yàn)檢驗(yàn)VLANVLAN配置配置 在特權(quán)模式下，可以檢驗(yàn)在特權(quán)模式下，可以檢驗(yàn)VLANVLAN的配置，常用的命令有：的配置，常用的命令有：Switch#Switch#sho

17、w vlanshow vlan /顯示所有顯示所有VLANVLAN的配置消息。的配置消息。Switch#Switch#show intefaceshow inteface interface interface switchportswitchport /顯示一個(gè)指定的接口的顯示一個(gè)指定的接口的VLANVLAN信息。信息。31添加、更改和刪除添加、更改和刪除VLANVLAN 為了添加、更改和刪除為了添加、更改和刪除VLANVLAN，需要把交換機(jī)設(shè)，需要把交換機(jī)設(shè)在在VTPVTP服務(wù)器或透明模式。當(dāng)要為整個(gè)域內(nèi)的交換服務(wù)器或透明模式。當(dāng)要為整個(gè)域內(nèi)的交換機(jī)做一些機(jī)做一些VLANVLAN更改時(shí)，必

18、須處于更改時(shí)，必須處于VTPVTP服務(wù)器模式，服務(wù)器模式，在在VTPVTP范圍內(nèi)更新的內(nèi)容會(huì)自動(dòng)傳播到其他交換機(jī)范圍內(nèi)更新的內(nèi)容會(huì)自動(dòng)傳播到其他交換機(jī)上，在上，在VTPVTP透明模式下做的透明模式下做的VLANVLAN更改只能影響本地更改只能影響本地交換機(jī)，更改不會(huì)在交換機(jī)，更改不會(huì)在VTPVTP范圍內(nèi)傳播。范圍內(nèi)傳播。32 為了修改為了修改VLANVLAN的屬性（如的屬性（如VLANVLAN的名字），應(yīng)使的名字），應(yīng)使用全局配置命令用全局配置命令vlan vlan vlan-idvlan-id，但不能更改，但不能更改VLANVLAN編編號(hào)，為了使用不同的號(hào)，為了使用不同的VLANVLAN編號(hào)

19、，需要?jiǎng)?chuàng)建新的編號(hào)，需要?jiǎng)?chuàng)建新的VLANVLAN編號(hào)，然后再分配相應(yīng)的端口到這個(gè)編號(hào)，然后再分配相應(yīng)的端口到這個(gè)VLANVLAN中。中。33 當(dāng)在一個(gè)當(dāng)在一個(gè)VTPVTP服務(wù)器模式的交換機(jī)上刪除一個(gè)服務(wù)器模式的交換機(jī)上刪除一個(gè)VLANVLAN時(shí)，這個(gè)時(shí)，這個(gè)VLANVLAN就會(huì)在所有這個(gè)就會(huì)在所有這個(gè)VTPVTP域中的交換域中的交換機(jī)上被刪除。當(dāng)在一個(gè)機(jī)上被刪除。當(dāng)在一個(gè)VTPVTP透明模式的交換機(jī)上刪透明模式的交換機(jī)上刪除一個(gè)除一個(gè)VLANVLAN，這個(gè)，這個(gè)VLANVLAN只是在這臺(tái)交換機(jī)上被刪除。只是在這臺(tái)交換機(jī)上被刪除。在在VLANVLAN配置模式下，使用命令配置模式下，使用命令no

20、vlan vlan-idno vlan vlan-id刪刪除除VLANVLAN。刪除。刪除VLANVLAN之前，要確定原來在該之前，要確定原來在該vlanvlan下的下的所有端口移到了另一個(gè)所有端口移到了另一個(gè)VLANVLAN中。中。34任務(wù)任務(wù)2 2：?jiǎn)谓粨Q機(jī)上劃分：?jiǎn)谓粨Q機(jī)上劃分VLANVLAN35 某人受聘于一家網(wǎng)絡(luò)公司做網(wǎng)絡(luò)工程師，某人受聘于一家網(wǎng)絡(luò)公司做網(wǎng)絡(luò)工程師，現(xiàn)公司有一客戶提出要求，該客戶公司建立現(xiàn)公司有一客戶提出要求，該客戶公司建立了一小型局域網(wǎng)，包含財(cái)務(wù)部、銷售部和辦了一小型局域網(wǎng)，包含財(cái)務(wù)部、銷售部和辦公室三個(gè)部門，公司領(lǐng)導(dǎo)要求各部門內(nèi)部主公室三個(gè)部門，公司領(lǐng)導(dǎo)要求各部門

21、內(nèi)部主機(jī)有一些業(yè)務(wù)可以相互訪問，但部門之間為機(jī)有一些業(yè)務(wù)可以相互訪問，但部門之間為了安全完全禁止互訪。了安全完全禁止互訪。 任務(wù)任務(wù)2 2：?jiǎn)谓粨Q機(jī)上劃分：?jiǎn)谓粨Q機(jī)上劃分VLANVLAN36任務(wù)任務(wù)2 2：?jiǎn)谓粨Q機(jī)上劃分：?jiǎn)谓粨Q機(jī)上劃分VLANVLANl 能夠在單交換機(jī)進(jìn)行能夠在單交換機(jī)進(jìn)行VLANVLAN劃分；劃分；l 能夠通過能夠通過VLANVLAN技術(shù)隔離網(wǎng)絡(luò)。技術(shù)隔離網(wǎng)絡(luò)。37n Cisco2950 Cisco2950交換機(jī)（交換機(jī)（1 1臺(tái)）；臺(tái)）；n PC PC計(jì)算機(jī)計(jì)算機(jī)6 6臺(tái)；臺(tái)；n 雙絞線（若干根）；雙絞線（若干根）；n 反轉(zhuǎn)電纜一根。反轉(zhuǎn)電纜一根。任務(wù)任務(wù)2 2：?jiǎn)谓粨Q機(jī)

22、上劃分：?jiǎn)谓粨Q機(jī)上劃分VLANVLAN38任務(wù)任務(wù)2 2：?jiǎn)谓粨Q機(jī)上劃分：?jiǎn)谓粨Q機(jī)上劃分VLANVLANSwitch1 辦公室：VLAN30 F0/18-f0/24銷售部：VLAN20 F0/8-f0/18財(cái)務(wù)部：VLAN10 F0/2-f0/8PC10 PC11PC20 PC21PC30 PC3139任務(wù)任務(wù)2 2：?jiǎn)谓粨Q機(jī)上劃分：?jiǎn)谓粨Q機(jī)上劃分VLANVLAN步驟步驟1 1：硬件連接：硬件連接步驟步驟2 2：分別打開設(shè)備，給設(shè)備加電，設(shè)備都處于自：分別打開設(shè)備，給設(shè)備加電，設(shè)備都處于自 檢狀態(tài)，直到連接交換機(jī)的指示燈處于綠檢狀態(tài)，直到連接交換機(jī)的指示燈處于綠 燈，表示網(wǎng)絡(luò)處于穩(wěn)定連接狀態(tài)。

23、燈，表示網(wǎng)絡(luò)處于穩(wěn)定連接狀態(tài)。步驟步驟3 3：配置：配置PC10PC10、PC11PC11、PC20PC20、PC21PC21、PC30PC30、PC31PC31的的IPIP地址地址, ,如表所示。如表所示。40設(shè)備設(shè)備IPIP地址地址子網(wǎng)掩碼子網(wǎng)掩碼PC10PC10PC11PC11PC20PC20

24、PC21PC21PC30PC30PC31PC31計(jì)算機(jī)計(jì)算機(jī)IPIP地址配置表地址配置表 任務(wù)任務(wù)2 2：?jiǎn)谓粨Q機(jī)上劃分：?jiǎn)谓粨Q機(jī)上劃分VLANVLAN41任務(wù)任務(wù)2 2：?jiǎn)谓粨Q機(jī)上劃分：?jiǎn)谓粨Q機(jī)上劃分VLANVLAN步驟步驟4 4：分別測(cè)試：分別測(cè)試PC10PC10、PC11PC11、PC20PC

25、20、PC21PC21、PC30PC30、 PC31 PC31這六臺(tái)計(jì)算機(jī)之間的連通性。這六臺(tái)計(jì)算機(jī)之間的連通性。步驟步驟5 5：配置交換機(jī)：配置交換機(jī)VLANVLAN。步驟步驟6 6：項(xiàng)目測(cè)試。：項(xiàng)目測(cè)試。42源地址源地址FCSFCS數(shù)據(jù)數(shù)據(jù)/ / 填充填充長(zhǎng)度長(zhǎng)度/ /類型類型目的地址目的地址4 4字節(jié)字節(jié)46-150046-1500字節(jié)字節(jié)2 2字節(jié)字節(jié)4 4字節(jié)字節(jié)6 6字節(jié)字節(jié)6 6字節(jié)字節(jié)VLANVLAN標(biāo)記標(biāo)記虛擬局域網(wǎng)的幀格式虛擬局域網(wǎng)的幀格式43VLANVLAN數(shù)據(jù)幀的傳輸數(shù)據(jù)幀的傳輸44 AccessAccess端口端口 只能傳送標(biāo)準(zhǔn)以太網(wǎng)幀的端口，一般是只能傳送標(biāo)準(zhǔn)以太網(wǎng)

26、幀的端口，一般是指那些連接不支持指那些連接不支持VLANVLAN技術(shù)的端設(shè)備的接口，技術(shù)的端設(shè)備的接口，這些端口接收到的數(shù)據(jù)幀都不包含這些端口接收到的數(shù)據(jù)幀都不包含VLANVLAN標(biāo)簽，標(biāo)簽，而向外發(fā)送數(shù)據(jù)幀時(shí)，必須保證數(shù)據(jù)幀中不而向外發(fā)送數(shù)據(jù)幀時(shí)，必須保證數(shù)據(jù)幀中不包含包含VLANVLAN標(biāo)簽標(biāo)簽。45TrunkTrunk端口端口 既可以傳送有既可以傳送有VLANVLAN標(biāo)簽的數(shù)據(jù)幀也可以傳送標(biāo)標(biāo)簽的數(shù)據(jù)幀也可以傳送標(biāo)準(zhǔn)以太網(wǎng)幀的端口，一般是指那些連接支持準(zhǔn)以太網(wǎng)幀的端口，一般是指那些連接支持VLANVLAN技技術(shù)的網(wǎng)絡(luò)設(shè)備（如交換機(jī)）的端口，這些端口接收術(shù)的網(wǎng)絡(luò)設(shè)備（如交換機(jī)）的端口，這些

27、端口接收到的數(shù)據(jù)幀一般都包含到的數(shù)據(jù)幀一般都包含VLANVLAN標(biāo)簽（數(shù)據(jù)幀標(biāo)簽（數(shù)據(jù)幀VLAN IDVLAN ID和端口缺省和端口缺省VLAN IDVLAN ID相同除外），而向外發(fā)送數(shù)據(jù)相同除外），而向外發(fā)送數(shù)據(jù)幀時(shí)，必須保證接收端能夠區(qū)分不同幀時(shí)，必須保證接收端能夠區(qū)分不同VLANVLAN的數(shù)據(jù)幀，的數(shù)據(jù)幀，故常常需要添加故常常需要添加VLANVLAN標(biāo)簽（數(shù)據(jù)幀標(biāo)簽（數(shù)據(jù)幀VLAN IDVLAN ID和端口和端口缺省缺省VLAN IDVLAN ID相同除外）。相同除外）。46任務(wù)任務(wù)3 3：多交換機(jī)上劃分：多交換機(jī)上劃分VLANVLAN47 任務(wù)（任務(wù)（1 1）某人受聘于一家網(wǎng)絡(luò)公司做

28、網(wǎng)絡(luò)工程師，現(xiàn)公）某人受聘于一家網(wǎng)絡(luò)公司做網(wǎng)絡(luò)工程師，現(xiàn)公司有一客戶提出要求，該客戶公司建立了一小型局域網(wǎng)，包司有一客戶提出要求，該客戶公司建立了一小型局域網(wǎng)，包含財(cái)務(wù)部、銷售部和辦公室三個(gè)部門，分別位于兩座辦公樓。含財(cái)務(wù)部、銷售部和辦公室三個(gè)部門，分別位于兩座辦公樓。在每一座辦公樓設(shè)置一臺(tái)交換機(jī)，在每一座辦公樓都有財(cái)務(wù)在每一座辦公樓設(shè)置一臺(tái)交換機(jī)，在每一座辦公樓都有財(cái)務(wù)部、銷售部和辦公室。公司領(lǐng)導(dǎo)要求各部門內(nèi)部主機(jī)有一些部、銷售部和辦公室。公司領(lǐng)導(dǎo)要求各部門內(nèi)部主機(jī)有一些業(yè)務(wù)可以相互訪問，但部門之間為了安全完全禁止互訪。業(yè)務(wù)可以相互訪問，但部門之間為了安全完全禁止互訪。 任務(wù)（任務(wù)（2 2）

29、公司領(lǐng)導(dǎo)要求辦公室內(nèi)部計(jì)算機(jī)可以相互訪問，）公司領(lǐng)導(dǎo)要求辦公室內(nèi)部計(jì)算機(jī)可以相互訪問，財(cái)務(wù)部、銷售部?jī)蓚€(gè)部門的計(jì)算機(jī)只有同一座樓可以相互訪財(cái)務(wù)部、銷售部?jī)蓚€(gè)部門的計(jì)算機(jī)只有同一座樓可以相互訪問，不同樓的計(jì)算機(jī)不能相互訪問，部門之間為了安全完全問，不同樓的計(jì)算機(jī)不能相互訪問，部門之間為了安全完全禁止互訪。禁止互訪。任務(wù)任務(wù)3 3：多交換機(jī)上劃分：多交換機(jī)上劃分VLANVLAN48任務(wù)任務(wù)3 3：多交換機(jī)上劃分：多交換機(jī)上劃分VLANVLANl 能夠?qū)崿F(xiàn)跨交換機(jī)上實(shí)現(xiàn)能夠?qū)崿F(xiàn)跨交換機(jī)上實(shí)現(xiàn)VLANVLAN方法；方法；l 能夠掌握將交換機(jī)端口分配到能夠掌握將交換機(jī)端口分配到VLANVLAN中的操作技巧。中的操作技巧。49任務(wù)任務(wù)3 3：多交換機(jī)上劃分：多交換機(jī)上劃分VLANVLANn Cisco3560 Cisco3560交換機(jī)（交換機(jī)（1 1臺(tái)）；臺(tái)）；n Cisco2950 Cisco2950交換機(jī)（交換機(jī)（1 1臺(tái)）；臺(tái)）；n PC PC計(jì)算機(jī)計(jì)算機(jī)6 6臺(tái)；臺(tái)；n 雙絞線（若干根）；雙絞線（若干根）；n 反轉(zhuǎn)電纜一根。反轉(zhuǎn)電纜一根。50任務(wù)任務(wù)3 3：多交換機(jī)上劃分：多交換機(jī)上劃分VLANVLAN多交換機(jī)劃分多交換機(jī)劃分VLAN VLAN Switch1 Sw