首页/资讯中心/详情

【网络安全】一、虚拟局域网设置和应用

【网络安全】一、虚拟局域网设置和应用
📅 发布时间:2026/6/19 21:07:17

实验01:虚拟局域网设置和应用

一、实验目的

  1. 掌握虚拟局域网(VLAN)的基本概念与核心作用。
  2. 熟练掌握跨多台交换机的 VLAN 配置Trunk 链路的配置方法。
  3. 验证 VLAN 对网络广播域的隔离效果,深入理解其在网络安全中 “访问控制、缩小攻击面” 的作用。

二、实验器材

  1. Cisco 交换机 3 台(如 3750、2950 系列);
  2. PC 机 6 台;
  3. 交叉网线(用于交换机之间互联)、直通网线(用于 PC 与交换机连接)若干;
  4. Cisco Packet Tracer软件。

三、实验拓扑

网络拓扑图:

Switch1 Switch2 Switch3

  1. 三台交换机通过交叉线互联(如交换机 1 的F1/0/1与交换机 2 的F0/2,交换机 2 的F0/1与交换机 3 的F0/1);
  2. 每台交换机通过直通线连接 2 台 PC,PC 的 IP 地址与 VLAN 分配如图(如 VLAN4 包含192.168.0.111192.168.0.112192.168.0.113;VLAN14 包含192.168.0.114192.168.0.115192.168.0.116)。

四、实验步骤

步骤 1:物理拓扑连接

  1. 交叉线连接交换机之间的指定端口(如交换机 1 的F1/0/1与交换机 2 的F0/2,交换机 2 的F0/1与交换机 3 的F0/1);
  2. 直通线将 PC 连接到交换机的访问端口(如交换机 1 的F1/0/11F1/0/12等);
  3. 检查所有线缆连接是否牢固,观察交换机端口指示灯状态。

步骤 2:交换机基本配置(Console 方式)

  1. 进入交换机命令行界面,执行基础配置:

设置主机名(如Switch1Switch2Switch3):

Switch> enable

Switch# configure terminal

Switch(config)# hostname Switch1

开启所有涉及连接的端口(以 Switch1 为例):

Switch1(config)# interface range fastethernet1/0/1 - 2, fastethernet1/0/11 - 12

Switch1(config-if-range)# no shutdown

步骤 3:配置 Trunk 链路(交换机互联端口)

Trunk 链路用于传递多 VLAN 的流量,需在交换机互联端口启用 Trunk 模式,并允许所有 VLAN 通过。以 Switch1 的F1/0/1端口为例:

Switch1(config)# interface fastethernet1/0/1

Switch1(config-if)# switchport mode trunk

Switch1(config-if)# switchport trunk allowed vlan all

同理,配置 Switch2 的F0/2(与 Switch1 互联)、F0/1(与 Switch3 互联),以及 Switch3 的F0/1端口为 Trunk 模式。

步骤 4:创建 VLAN 并分配端口

(1)创建 VLAN

在每台交换机上创建VLAN4VLAN14(VLAN 名称可自定义,用于区分业务):

Switch1(config)# vlan 4

Switch1(config-vlan)# name VLAN4 // 为VLAN命名,便于管理

Switch1(config-vlan)# exit

Switch1(config)# vlan 14

Switch1(config-vlan)# name VLAN14

重复上述命令,在Switch2Switch3上创建VLAN4VLAN14

(2)端口分配到 VLAN(Access 模式)

将连接 PC 的端口配置为Access模式(仅属于一个 VLAN),并绑定到对应 VLAN。以 Switch1 的F1/0/11(连接192.168.0.111,属于 VLAN4)为例:

Switch1(config)# interface fastethernet1/0/11

Switch1(config-if)# switchport mode access

Switch1(config-if)# switchport access vlan 4

同理,配置其他端口:

  1. Switch1 的F1/0/12VLAN14
  2. Switch2 的F0/12VLAN4F0/11VLAN14
  3. Switch3 的F0/12VLAN4F0/11VLAN14

步骤 5:PC 的 IP 地址配置

为每台 PC 设置静态 IP 地址子网掩码(默认网关暂不设置,仅测试同 VLAN 连通性):

  1. 192.168.0.111/255.255.255.0(VLAN4);
  2. 192.168.0.114/255.255.255.0(VLAN14);
  3. 192.168.0.112/255.255.255.0(VLAN4);
  4. 192.168.0.115/255.255.255.0(VLAN14);
  5. 192.168.0.113/255.255.255.0(VLAN4);
  6. 192.168.0.116/255.255.255.0(VLAN14)。

步骤 6:连通性测试

(1)同 VLAN 连通性测试
  1. VLAN4的 PC(如192.168.0.111)上,执行ping 192.168.0.112ping 192.168.0.113,记录是否能 ping 通
  2. VLAN14的 PC(如192.168.0.114)上,执行ping 192.168.0.115ping 192.168.0.116,记录结果。
(2)不同 VLAN 连通性测试
  1. VLAN4的 PC(如192.168.0.111)上,执行ping 192.168.0.114ping 192.168.0.115,记录结果。

步骤 7:清除配置,恢复设备原状

实验结束后,需删除 VLAN 配置,恢复交换机初始状态:

  1. 删除端口的 VLAN 分配

Switch1(config)# interface fastethernet1/0/11

Switch1(config-if)# no switchport access vlan

Switch1(config-if)# exit

对所有 Access 端口重复此操作。

  1. 删除 Trunk 配置

Switch1(config)# interface fastethernet1/0/1

Switch1(config-if)# switchport mode access // 或恢复为默认模式

对所有 Trunk 端口重复此操作。

  1. 删除创建的 VLAN

Switch1(config)# no vlan 4

Switch1(config)# no vlan 14

Switch2Switch3上重复此操作。

五、实验结论与分析

  1. 配置记录:记录每台交换机的 Trunk 配置命令、VLAN 创建与端口分配命令。
  2. 测试记录:表格记录同 VLAN、不同 VLAN 的 ping 结果(“通” 或 “不通”)。
  3. 结果分析
    1. 同 VLAN 能连通的原因:VLAN 内属于同一广播域,Trunk 链路可传递对应 VLAN 的流量,因此同 VLAN 主机可通信。
    2. 不同 VLAN 不能连通的原因:VLAN隔离了广播域,默认情况下不同 VLAN 无路由转发时无法直接通信(体现了 VLAN 的 “访问控制” 作用,可限制非法跨网段访问)。

六、实验收获

  1. 配置命令需准确,注意交换机的模式切换(用户模式→特权模式→全局配置模式→接口模式)。
  2. 结合网络安全知识,解释 “VLAN 缩小广播域、限制非法访问” 的安全意义(如:广播域缩小可减少广播风暴影响范围;VLAN 隔离可防止攻击者通过广播包探测其他网段)。