用vlan技术实现交换机的端口隔离

2011全国中小学“教学中的互联网搜索”优秀教学案例评选

教案设计

实验四 交换机端口安全技术

交换机端口安全技术 24.1 实验内容与目标 完成本实验，应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议，使接入交换机的PC 经

过认证后才能访问网络资源。通过本实验，掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一：建立物理连接并初始化交换机配置。 按实验组网图进行物理连接，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二：检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后，在PCA上用ping命令来测试到PCB的互通性，其结果是。 步骤三：配置802.1x协议。 实现在交换机SWA上启动802.1x协议，过程如下： 首先需要分别在和开启802.1x认证功能，在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户，用户名为abcde，密码为 明文格式的12345，该用户的服务类型server-type是，在如下的空格中完成该本地用户的配置命令。 步骤四：802.1x验证。 配置完成后，再次在PCA上用ping命令来测试到PCB的互通性，其结果是。 导致如上结果的原因是交换机上开启了802.1x认证，需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机，本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标，在弹出的窗口中双击“网络连接”图标，在弹出的窗口中右击“本地连接”图标，执行“属性”命令，如实验图24-2所示。 再选择“验证”选项卡，并选中“启用此网络的IEEE802.1x验证”复选框，如实验图24-3所示，然后单击“确定”按钮，保存退

第八章实验讲义-- 交换机基本配置端口安全与STP

第12章交换机基本配置 交换机是局域网中最重要的设备，交换机是基于MAC来进行工作的。和路由器类似，交换机也有IOS，IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备，可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个：一个是维护CAM（Conetxt Address Memory）表，该表是计算机的MAC地址和交换端口的映射表；另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种：交换机收到帧后，查询CAM表，如果能查询到目的计算机所在的端口，并且目的计算机所在的端口不是交换接收帧的源端口，交换机将把帧从这一端口转发出去（Forward）；如果该计算机所在的端口和交换机接收帧的源端口是同一端口，交换机将过滤掉该帧（Filter）；如果交换机不能查询到目的计算机所在的端口，交换机将把帧从源端口以外的其他所有端口上发送出去，这称为泛洪（Flood），当交换机接收到的帧是广播帧或多播帧，交换机也会泛洪帧。 12.2 实验0：交换机基本配置 1.实验目的: 通过本实验，可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 （1）步骤1：通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal

(完整版)子网划分与VLAN技术详解

子网划分与VLAN技术详解 子网划分 子网划分定义：Internet组织机构定义了五种IP地址，有A、B、C三类地址。A类网络有126个，每个A类网络可能有16777214台主机，它们处于同一广播域。而在同一广播域中有这么多结点是不可能的，网络会因为广播通信而饱和，结果造成16777214个地址大部分没有分配出去。可以把基于类的IP网络进一步分成更小的网络，每个子网由路由器界定并分配一个新的子网网络地址,子网地址是借用基于类的网络地址的主机部分创建的。划分子网后，通过使用掩码，把子网隐藏起来，使得从外部看网络没有变化，这就是子网掩码。 子网掩码 RFC 950定义了子网掩码的使用，子网掩码是一个32位的2进制数，其对应网络地址的所有位置都为1，对应于主机地址的所有位都置为0。由此可知，A类网络的默认子网掩码是255.0.0.0，B类网络的默认子网掩码是255.255.0.0，C类网络的默认子网掩码是255.255.255.0。将子网掩码和IP地址按位进行逻辑“与”运算，得到IP地址的网络地址，剩下的部分就是主机地址，从而区分出任意IP地址中的网络地址和主机地址。子网掩码常用点分十进制表示，我们还可以用网络前缀法表示子网掩码，即“/<网络地址位数>”。如138.96.0.0/16表示B类网络138.96.0.0的子网掩码为255.255.0.0。 路由器判断IP 子网掩码告知路由器，地址的哪一部分是网络地址，哪一部分是主机地址，使路由器正确判断任意IP地址是否是本网段的，从而正确地进行路由。例如，有两台主机，主机一的IP 地址为222.21.160.6，子网掩码为255.255.255.192，主机二的IP地址为222.21.160.73，子网掩码为255.255.255.192。现在主机一要给主机二发送数据，先要判断两个主机是否在同一网段。 主机一 222.21.160.6即：11011110.00010101.10100000.00000110 255.255.255.192即：11111111.11111111.11111111.11000000 按位逻辑与运算结果为：11011110.00010101.10100000.00000000 主机二 222.21.160.73 即：11011110.00010101.10100000.01001001 255.255.255.192即：11111111.11111111.11111111.11000000 按位逻辑与运算结果为：11011110.00010101.10100000.01000000 两个结果不同，也就是说，两台主机不在同一网络，数据需先发送给默认网关，然后再发送给主机二所在网络。那么，假如主机二的子网掩码误设为255.255.255.128，会发生什么情况呢？ 让我们将主机二的IP地址与错误的子网掩码相“与”： 222.21.160.73 即：11011110.00010101.10100000.01001001 255.255.255.128即：11111111.11111111.11111111.10000000 结果为11011110.00010101.10100000.00000000 这个结果与主机一的网络地址相同，主机一与主机二将被认为处于同一网络中，数据不

交换机的端口安全配置

【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能，控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。 配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种： ? protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。 ? restrict 当违例产生时，将发送一个Trap通知。 ? shutdown 当违例产生时，将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。【实验设备】 S2126G交换机（1台），PC（1台）、直连网线（1条）

cisco 端口隔离 pvlan

在cisco 低端交换机中的实现方法: 1.通过端口保护(Switchitchport protected)来实现的。 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下: 相对来说cisco 3550或者2950交换机配置相对简单，进入网络接口配置模式: Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口 Switch(config-if-range)#Switchitchport protected #开启端口保护 ok...到此为止,在交换机的每个接口启用端口保护,目的达到. 由于4500系列交换机不支持端口保护，可以通过PVLAN方式实现。 主要操作如下: 交换机首先得设置成transparents模式，才能完成pvlan的设置。 首先建立second Vlan 2个 Switch(config)#vlan 101 Switch(config-vlan)#private-vlan community ###建立vlan101 并指定此vlan为公共vlan Switch(config)vlan 102 Switch(config-vlan)private-vlan isolated ###建立vlan102 并指定此vlan为隔离vlan Switch(config)vlan 200 Switch(config-vlan)private-vlan primary Switch(config-vlan)private-vlan association 101 Switch(config-vlan)private-vlan association add 102 ###建立vlan200 并指定此vlan为主vlan，同时制定vlan101以及102为vlan200的second vlan Switch(config)#int vlan 200 Switch(config-if)#private-vlan mapping 101,102 ###进入vlan200 配置ip地址后，使second vlan101与102之间路由，使其可以通信 Switch(config)#int f3/1 Switch(config-if)#Switchitchport private-vlan host-association 200 102 Switch(config-if)#Switchitchport private-vlan mapping 200 102 Switch(config-if)#Switchitchport mode private-vlan host ###进入接口模式，配置接口为PVLAN的host模式，配置Pvlan的主vlan以及second vlan，一定用102，102是隔离vlan 至此，配置结束，经过实验检测，各个端口之间不能通信，但都可以与自己的网关通信，实现了交换机端口隔离。 注:如果有多个vlan要进行PVLAN配置，second vlan必须要相应的增加，一个vlan只能在private vlan下作为second vlan。

交换机端口安全功能配置

---------------------------------------------------------------最新资料推荐------------------------------------------------------ 交换机端口安全功能配置 4 《交换与路由技术》实验报告书班级： 姓名： 学号： 课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型验证演示综合设计其他验证演示综合设计其他指导教师成绩指导教师成绩一、实验目的了解交换机端口在网络安全中的重要作用，掌握交换机端口安全功能配置方法，具体包括以下几个方面。 （1）认识交换机端口安全功能用途。 （2）掌握交换机端口安全功能配置方法。 二、实验设备及环境针对这一工作任务，公司网络接入交换机的所有端口配置最大连接数为 1，并对公司每台主机连接的交换机端口进行 IP+MAC 地址绑定，模拟网络拓扑结构图如图 11.1 所示。 假设 PC1 的 IP 地址为 192.168.0.10/24， PC2 的 IP 地址为192.168.0.20/24， PC3 的 IP 地址为 192.168.0.30/24. 4 三、实验步骤第 1 步： 配置交换机端口的最大连接数限制。 进行一组端口 Fa 0/1-23 配置模式。 开启交换机端口安全功能。 1 / 3

配置端口的最大连接数为 1。 配置安全违例的处理方式为shutdown，即当违例产生时，关闭端口并发送一个Trap通知。 除此之外，还有两种违例处理方式： protect 方式，即当安全地址个数满后，安全端口将丢弃求知名地址的包；restrict 方式，即当违例产生时，将发送一个Trap 通知。 查看交换机的端口安全配置。 第 2 步： 配置交换机端口的地址绑定。 在 PC1 上打开 cmd 命令提示符窗口，执行 Ipconfig/all 命令，记录下 PC1 的 IP地址及 MAC 地址。 配置交换机端口的地址绑定。 查看地址安全绑定配置。 第 3 步： 验证交换机端口安全功能的效果。 在 PC1 连接交换机端口 Fa 0/1， PC2 连接交换机端口 Fa 0/2，PC3 连接交换机端口 Fa 0/10 情况下，执行下列操作。 4 在 PC1 的命令提示符下输入 C:bping 192.168.0.300 在PC2 的命令提示符下输入C:bping 192.168.0.300 在 PC1 连接交换机端口 Fa 0/2; PC2 连接交换机端口 Fa 0/1， PO 连接交换机端口Fa 0/10 情况下，执行下列操作。

分析VLAN技术概念及划分方法

分析VLAN技术概念及划分方法 一、VLAN技能概述 A, VLAN skills summary VLAN(Virtual Local Area Network)也就是虚拟局域网，是一种建立在交流技能根底之上的，经过将局域网内的机器设备逻辑地而不是物理地区分红一个个不一样的网段，以软件办法完成逻辑作业组的区分与办理的技能。VLAN的作用是使得同一VLAN中的成员间能够彼此通讯，而不一样VLAN之间则是彼此阻隔的，不一样的VLAN间的若是要通讯就要经过必要的路由设备。 VLAN ( Virtual Local Area Network ) is a virtual local area network, is a kind of built on the foundation of communication skills, after the equipment will be LAN logical rather than physical area into a different network segment, complete the distinction between logical operations group in software way and management skills. The role of VLAN is to make the members in the same VLAN can communicate with each other, and not the same between VLAN is another barrier, not the same between VLAN

cisco vlan隔离

Cisco VLAN之间ACL和VACL的区别我们常说的VLAN之间的访问控制，它的实现方式是将ACL直接应用到VLAN的虚端口上，与应用到物理端口的ACL实现方式是一样的。而VLAN 访问控制（VACL），也称为VLAN访问映射表，它的实现方式与前者完全不同。它应用于VLAN 中的所有通信流，支持基于ETHERTYPE和MAC地址的过滤，可以防止未经授权的数据流进入VLAN。目前支持的VACL操作有三种：转发(forward)，丢弃(drop)，重定向(redirect)。VACL很少用到，在配置时要注意以下几点： 1) 最后一条隐藏规则是deny ip any any，与ACL相同。 2) VACL没有inbound和outbound之分，区别于ACL。 3) 若ACL列表中是permit，而VACL中为drop，则数据流执行drop。 4) VACL规则应用在NAT之前。 5) 一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。 6) VACL只有在VLAN的端口被激活后才会启用，否则状态为inactive。 下面，我以Cisco3550交换机作为实例来详细描述一下两者之间不同的实现方式。 网络拓扑图 网络基本情况是划分了三个vlan：vlan10、vlan20和vlan30瑅lan虚端口的IP地址分别为192.168.10.1/24、192.168.20.1/24和192.168.30.1/24。 访问控制要求：vlan10和vlan20之间不能访问，但都能访问vlan30。 （一）通过VLAN之间ACL方式实现 ******** 配置VLAN ******** Switch(config)# vlan 10 // 创建vlan 10 Switch(config-vlan)# vlan 20 Switch(config-vlan)# vlan 30 Switch(config-vlan)# int vlan 10 Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虚端口IP Switch(config-if)# int vlan 20 Switch(config-if)# ip address 192.168.20.1 255.255.255.0 Switch(config-if)# int vlan 30 Switch(config-if)# ip address 192.168.30.1 255.255.255.0 ******** 配置ACL ******** Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 ******** 应用ACL至VLAN端口******** Switch(config)# int vlan 10 Switch(config-if)# ip access-group 101 in Switch(config)# int vlan 20 Switch(config-if)# ip access-group 102 in ******** 完毕******** （二）通过VACL方式实现 ******** 配置VLAN ******** （同上） ******** 配置ACL ******** Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 Switch(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 （不同之处：因为VACL对数据流没有inbound和outbound之分，所以要把允许通过某vlan

cisco交换机的端口安全配置

【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能，控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。 配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种： ? protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。 ? restrict 当违例产生时，将发送一个Trap通知。 ? shutdown 当违例产生时，将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。【实验设备】 S2126G交换机（1台），PC（1台）、直连网线（1条）

思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)

网络拓扑图如下： 根据图示连接设备。 在本次试验中，具体端口情况如上图数字标出。核心交换机（core ）设置为s1或者SW1，汇聚层交换机（access）设置为s2或者SW2。 IP 地址分配： Router：e0：：f0/1: 接口：Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址：区域网段地址： PC1：PC2：路由器清空配置命令： en erase startup-config Reload 交换机清空配置命令： en erase startup-config

delete Reload 加速命令： en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配，防止OFFICE 网络发生ARP 攻击，不允许OFFICE 网段PC 互访；STUDENTS 区域主机输入正确的学号和密码后接入网络，自动获取地址，阻止STUDENTS网段地址发生ARP攻击； 1、基本配置 SW1的配置： SW1(config)#vtp domain cisco 然后在pc上进入接口，设置为DHCP获取地址,命令如下： int f0/1 ip add dhcp 查看结果：

5、Student区域ARP防护： SW2配置如下： ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量，此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址，就可以发现端口down状态，修改mac地址命令如下： pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证： 服务器地址为：vlan 30 //创建vlan 30的原因：在sw1、sw2中配置svi口，服务器的地址为，使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机，所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct

浅谈VLAN技术(一)

浅谈ＶＬＡＮ技术(一) 摘要:随着网络的不断扩展，接入设备逐渐增多，迫切需要一种技术解决在局域网内部出现的访问冲突与广播风暴一类的问题，VLAN的产生就解决这个问题。本文介绍了VLAN技术的概念、优点，详细描述了VLAN的划分方法，给出了一个简单的公司内部进行VLAN的划分实例。 关键词:VLAN;网络管理 一、VLAN技术概述 VLAN(VirtualLocalAreaNetwork)也就是虚拟局域网，是一种建立在交换技术基础之上的，通过将局域网内的机器设备逻辑地而不是物理地划分成一个个不同的网段，以软件方式实现逻辑工作组的划分与管理的技术。VLAN的作用是使得同一VLAN中的成员间能够互相通信，而不同VLAN之间则是相互隔离的，不同的VLAN间的如果要通信就要通过必要的路由设备。 二、VLAN的优点 （一）可以控制网络广播 在没有应用VLAN技术的局域网内的整个网络都是广播域，这样就使得网内的一台设备发出网络广播时，在局域网内的任何一台设备的接口都能接收到广播，因此当网络内的设备越来越多时，网络上的广播也就越来越多，占用的时间和资源也就越来越多，当广播多到一定的数量时，就会影响到正常的信息的传送。这样就能导致信息延迟，严重的可以造成网络的瘫痪、堵塞，严重的影响了正常的网络应用，这就是所谓的网络风暴。 在应用了VLAN技术的局域网中，缩小了广播的广播域，在一个VLAN中的广播风暴也不会影响到其他的VLAN，从而有效地减少了广播风暴对局域网网络的影响。 （二）增强了网络的安全性 在局域网中应用VLAN技术可以把互相通信比较频繁的用户划分到同一个VLAN中，这样在同一个工作组中的信息传输只在同一个组内广播，从而也减轻了因广播包被截获而引起的信息泄露，增强了网络的安全性。 （三）简化网络管理员的管理工作 在应用VLAN技术后网络管理员就可以轻松的管理网络，灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。 三、VLAN的划分方法 （一）根据端口来划分VLAN 许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。 第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。 以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。不足之处是不够灵活，当一台机器设备需要从一个端口移动到另一个新的端口，但是新端口与旧端口不在同一个VLAN之中时，要修改端口的VLAN设置，或在用户计算机上重新配置网络地址，这样才能使这台设备加入到新的VLAN。 （二）根据MAC地址划分VLAN 这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，就无需对它进行重新配置，自动把它添加到相应的VLAN中。所以，可以认为这种

接入交换机常见安全配置

适用场景：1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中，若未指定优先级，则是根据它们的MAC地址（mac小的为主机）来确定谁是主机。优先级为越大越好，范围1-10。出场默认为1。 1、系统时间同步：如果客户有使用 ntp/sntp进行全网统一的时间配置的需求，可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址，此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一：限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表，严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二：限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表，严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三：使用加密管理协议，使用SSH管理，禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式

VLAN技术原理及方案解析

Vlan技术原理 在数据通信和宽带接入设备里，只要涉及到二层技术的，就会遇到VLAN。而且，通常情况下，VLAN在这些设备中是基本功能。所以不管是刚迈进这个行业的新生，还是已经在这个行业打拼了很多年的前辈，都要熟悉这个技术。在论坛上经常看到讨论各种各样的关于VLAN的问题，在工作中也经常被问起关于VLAN的这样或那样的问题，所以，有了想写一点东西的冲动。 大部分童鞋接触交换这门技术都是从思科技术开始的，讨论的时候也脱离不了思科的影子。值得说明的是，VLAN是一种标准技术，思科在实现VLAN的时候加入了自己的专有名词，这些名词可能不是通用的，尽管它们已经深深印在各位童鞋们的脑海里。本文的描述是从基本原理开始的，有些说法会和思科技术有些出入，当然，也会讲到思科交换中的VLAN。 1. 以太网交换原理 VLAN的概念是基于以太网交换的，所以，为了保持连贯性，还是先从交换原理讲起。不过，这里没有长篇累牍的举例和配置，都是一些最基本的原理。 本节所说的以太网交换原理，是针对‘传统’的以太网交换机来说的。所谓‘传统’，是指不支持VLAN。 简单的讲，以太网交换原理可以概括为‘源地址学习，目的地址转发’。考虑到IP层也涉及到地址问题，为了避免混淆，可以修改为‘源MAC学习，目的MAC转发’。从语文的语法角度来讲，可能还有些问题，就再修改一下‘根据源MAC进行学习，根据目的MAC进行转发’。总之，根据个人习惯了。本人比较喜欢‘源MAC学习，目的MAC转发’的口诀。 稍微解释一下。 所谓的‘源MAC学习’，是指交换机根据收到的以太网帧的帧头中的源MAC地址

来建立自己的MAC地址表，‘学习’是业内的习惯说法，就如同在淘宝上买东西都叫‘宝贝’一样。 所谓的‘目的MAC转发’，是指交换机根据收到的以太网帧的帧头中的目的MAC 地址和本地的MAC地址表来决定如何转发，确定的说，是如何交换。 这个过程大家应该是耳熟能详了。但为了与后面的VLAN描述对比方便，这里还是简单的举个例子。 Figure 1-1: |-------------------------------| | SW1 (Ethernet Switch) | |-------------------------------| | | |port1 |port 2 | | |-------| |-------| | PC1| | PC2| |-------| |-------| 简单描述一下PC1 ping PC2的过程：（这里假设，PC1和PC2位于同一个IP网段，IP地址分别为IP_PC1和IP_PC2，MAC地址分别为MAC_PC1和MAC_PC2） 1). PC1首先发送ARP请求，请求PC2的MAC。目的MAC=FF:FF:FF:FF:FF:FF(广播)；源MAC=MAC_PC1。 SW1收到该广播数据帧后，根据帧头中的源MAC地址，首先学习到了PC1的MAC，建立MAC地址表如下： MAC地址端口 MAC_PC1 PORT 1 2). 由于ARP请求为广播帧，所以，SW1向除了PORT1之外的所有UP的端

cisco交换机端口隔离的实现方法

现在网络安全要求也越来越多样化了，一个局域网有时候也希望用户不能互相访问(如小区用户)，只能和网关进进行通讯。H3C交换机可以用端口隔离来实现，下面给大家介绍一下在cisco的交换机上面如何来实现这样的（端口隔离）需求。 在cisco 低端交换机中的实现方法: 1.通过端口保护(Switchitchport protected)来实现的。 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下: 相对来说cisco 3550或者2950交换机配置相对简单，进入网络接口配置模式: Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口 Switch(config-if-range)#Switchitchport protected #开启端口保护 ok...到此为止,在交换机的每个接口启用端口保护,目的达到. 由于4500系列交换机不支持端口保护，可以通过PVLAN方式实现。 主要操作如下: 交换机首先得设置成transparents模式，才能完成pvlan的设置。 首先建立second Vlan 2个 Switch(config)#vlan 101 Switch(config-vlan)#private-vlan community ###建立vlan101 并指定此vlan为公共vlan Switch(config)vlan 102 Switch(config-vlan)private-vlan isolated ###建立vlan102 并指定此vlan为隔离vlan Switch(config)vlan 200 Switch(config-vlan)private-vlan primary

vlan技能技术总结(知识点)

精心整理 第二周：局域网及vlan技术 一、组建局域网的条件 1.从硬件的角度来说，需要“直连线”网线把本身独立的个人电脑，连接到“交换机”上。 三、端口安全 练习3：为交换机SW2的端口f0/5,设置端口安全，绑定PC5,的mac地址，安全模式设置为“shutdown” SW2(config)#intf0/5//进入到端口F0/5 SW2(config-if)#switchportmodeaccess

//设置端口为数据接入模式 SW2(config-if)#switchportport-security //启动端口安全 SW2(config-if)#switchportport-securitymac-address //为本端口绑定MAC地址 练习5：为交换机SW1连接交换机SW2的端口F0/10设置端口安全，允许最大连接数为“3”，安全模式设置为“protect” SW1(config)#intf0/10 SW1(config-if)#switchportmodetrunk SW1(config-if)#switchportport-security

SW1(config-if)#switchportport-securitymaximum3 //允许端口F0/10最多对应3个MAC地址 SW1(config-if)#switchportport-securityviolationprotect 四、组建虚拟局域网 1.首先，这些处于局域网中的个人电脑能够通信。 2. 3. 4. 5. 6. 7.和f0/2收 8.如何让交换机为端口进行分组： 练习6：把交换机SW1端口f0/1和f0/2分到编号是“10”的虚拟局域网，f0/3和f0/4分到编号是“20”的虚拟局域网。 把交换机“SW2”的f0/5和f0/6分到编号是“20”的虚拟局域网。为交换机相连的端口开启“trunk”

交换机端口隔离

实验一 实验名称：交换机端口隔离（Port Vlan）。 实验目的：理解Port Vlan的配置。 技术原理：在交换机组成的网络里所有主机都在同一个广播域内，通过VLAN技术可以对网络进行一个安全的隔离、分割广播域。VLAN （Virtual Local Area Network），是在一个物理网络上划分出来的逻辑网络，这个网络对应于OSI 模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN 有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中，即通过VLAN的划分，不同VLAN间不能够直接访问。一个端口只属于一个VLAN， Port VLAN设置在连接主机的端口，这时MAC地址表多了一项VLAN信息。 实现功能：通过划分Port Vlan实现本交换机端口隔离。 实验设备：S2126G一台，主机四台，直连网线四根。 实验拓朴：

实验步骤：1.创建VLAN。(此时四台PC都能PING通) Switch>enable ! 进入特权模式。 Switch# configure terminal ! 进入全局配置模式。 switch(config)# vlan 100 !创建vlan 100 switch(config-vlan)#name testvlan100 ! 将vlan 100命名为testvlan100. switch(config-vlan)# exit switch(config)# vlan 200 !创建vlan 200。 Switch(config-vlan)# name testvlan200 ! 将vlan 200命名为testvlan200。 switch(config-vlan)# end ! 直接退回到特权模式. switch# show vlan !查看已配置的vlan信息.默认所有端口都属于vlan1. VLAN Name Status Ports

vlan技术(知识点)

第二周：局域网及vlan技术 一、组建局域网的条件 1.从硬件的角度来说，需要“直连线”网线把本身独立的个人电脑，连接到“交换机”上。 2.从软件的角度来说，需要连接到局域网的个人电脑，拥有IP地址。 （1）IP地址的分配，首先要求处于同一个局域网的个人电脑拥有相同的网络位。 （2）其次在拥有相同的网络位的前提先，必须拥有不同的主机位。 （3）处于同一个局域网的电脑拥有相同的“子网掩码”。练习1：组建局域网，局域网中拥有四台电脑，局域网处于192.168.1.0网络中，子网掩码是255.255.255.0 四台电脑的IP地址的主机位分别是“1”、“2”、“3”、“4”。 二、组建多台交换机组成的局域网 1.要求首先每个交换机都能够通过连接，实现自己建立的局域网。 2.交换机之间需要通过“反线”的网线进行连接。 3.多台交换机连接的个人电脑必须处于同一个网段。拥有相同的网络位，不同的主机位，相同的子网掩码。 练习2：组建由两台交换机组成的局域网，网络地址如练习1。

三、端口安全 练习3：为交换机SW2的端口f0/5,设置端口安全，绑定PC5,的mac地址，安全模式设置为“shutdown” SW2(config)#int f0/5 //进入到端口F0/5 SW2(config-if)#switchport mode access //设置端口为数据接入模式 SW2(config-if)#switchport port-security //启动端口安全 SW2(config-if)#switchport port-security mac-address 0010.1158.ECEA //为本端口绑定MAC地址 SW2(config-if)#switchport port-security violation shutdown //设置控制规则为遇到非绑定的MAC地址的数据包的时候，关闭端口。 练习4：为交换机SW2的端口f0/6设置端口安全，绑定PC6的mac地址，安全模式设置为“protect” SW2(config)#int f0/6 //进入端口 SW2(config-if)#switchport mode access //设置端口为数据接入模式 SW2(config-if)#switchport port-security //启动端口安全