知己知彼 用VLAN技术防御黑客攻击

    四.VLAN安全配置案例

　　这是一个完整的VLAN和802.1Q配置案例，在这个案例中我们将前文讲过的所有命令都应用在这个VLAN的配置中，是我们的VLAN能够安全的为我们提供俯卧。拓扑图如图4所示。

图4　VLAN与802.1Q配置拓扑图

    
    实施要求：在Switch-1和Switch-2完成VLAN10，20的创建，完成PC1和PC3、PC2和PC4的跨交换的通讯，使用VTP协议的创建。VTP域名RT，设Switch-1的VTP模式为Server，Switch-2的VTP模式为Client，使用VTP密码方式保护VTP安全，Switch-1的F0/2在VLAN20，和PC1相接，F0/1在VLAN10，和PC2相接，F0/24和Switch-2的F0/24连接，将Switch-1的F0/24和Switch-2的F0/24手动配置成Trunk，要保证Trunk线路的安全，关闭Trunk的DTP协议。Switch-2的F0/2在VLAN20，和PC3相接，F0/1在VLAN10，和PC4相接。更改两台交换机上的Native vlan为99。

　　Switch-1 (config)# vtp mode server

　　Switch-1 (config)# vtp domain rt

　　Switch-1 (config)#vtp pruning

　　Switch-1 (config)#vtp version 2

　　Switch-1 (config)#vtp password cisco

　　Switch-1(config)# vlan 99

　　Switch-1(config)# vlan 10

　　Switch-1(config-vlan)# name yanfa

　　Switch-1(config)#interface fastethernet 0/1

　　Switch-1(config-if)# switchport mode access

　　Switch-1(config-if)# switchport access vlan 10

　　Switch-1(config)# vlan 20

　　Switch-1(config-vlan)# name renshi

　　Switch-1(config)#interface fastethernet 0/2

　　Switch-1(config-if)# switchport mode access

　　Switch-1(config-if)# switchport access vlan 20

　　Switch-1(config)#interface fastethernet 0/24

　　Switch-1(config-if)#shutdown

　　Switch-1(config-if)#switchport trunk encapsulation dot1q

　　Switch-1(config-if)#switchport trunk allowed vlan 99,10,20

　　Switch-1(config-if)#switchport mode trunk

　　Switch-1(config-if)#switchport trunk native vlan 99

　　Switch-1(config-if)#switchport nonegotiate

　　Switch-1(config-if)#no shutdown

　　Switch-2配置如下:

　　Switch-2 (config)#vtp domain rt

　　Switch-2 (config)#vtp password cisco

　　Switch-2 (config)#vtp pruning

　　Switch-2 (config)#vtp version 2

　　Switch-2 (config)#vtp mode client

　　Switch-2(config)#interface fastethernet 0/1

　　Switch-2 (config-if)# switchport mode access

　　Switch-2 (config-if)# switchport access vlan 10

　　Switch-2(config)#interface fastethernet 0/2

　　Switch-2 (config-if)# switchport mode access

　　Switch-2 (config-if)# switchport access vlan 20

　　Switch-2(config)#interface fastethernet 0/24

　　Switch-2(config-if)#shutdown

　　Switch-2(config-if)#switchport trunk encapsulation dot1q

　　Switch-2(config-if)#switchport trunk allowed vlan 99,10,20

　　Switch-2(config-if)#switchport mode trunk

　　Switch-2(config-if)#switchport trunk native vlan 99

　　Switch-2(config-if)#switchport nonegotiate

　　Switch-2(config-if)#no shutdown

　　下面是ISL封装时的做法,和801.1Q相同的部分我们就省略了。重点给大家演示Trunk链路的配置。其它vlan的创建，接口的加入和802.1Q完全相同。

　　Switch1(config)#interface fastethernet 0/24

　　Switch1(config-if)#shutdown

　　Switch1(config-if)#switchport trunk encapsulation isl

　　Switch1(config-if)#switchport trunk allowed vlan 1-5,1002-1005

　　Switch1(config-if)#switchport mode trunk

　　Switch1(config-if)#switchport nonegotiate

　　Switch1(config-if)#no shutdown

上一页  [1] [2] [3] [4] 

【责编:Zenghui】