【网络安全】一、虚拟局域网设置和应用

小痞同学2025-12-13 8:44

实验01 :虚拟局域网设置和应用

一、实验目的

  1. 掌握虚拟局域网(VLAN)的基本概念与核心作用。
  2. 熟练掌握跨多台交换机的 VLAN 配置Trunk 链路的配置方法。
  3. 验证 VLAN 对网络广播域的隔离效果,深入理解其在网络安全中 "访问控制、缩小攻击面" 的作用。

二、实验器材

  1. Cisco 交换机 3 台(如 3750、2950 系列);
  2. PC 机 6 台;
  3. 交叉网线(用于交换机之间互联)、直通网线(用于 PC 与交换机连接)若干;
  4. Cisco Packet Tracer软件。

三、实验拓扑

网络拓扑图:

Switch1 Switch2 Switch3

  1. 三台交换机通过交叉线 互联(如交换机 1 的F1/0/1与交换机 2 的F0/2,交换机 2 的F0/1与交换机 3 的F0/1);
  2. 每台交换机通过直通线 连接 2 台 PC,PC 的 IP 地址与 VLAN 分配如图(如 VLAN4 包含192.168.0.111、192.168.0.112、192.168.0.113;VLAN14 包含192.168.0.114、192.168.0.115、192.168.0.116)。

四、实验步骤

步骤 1:物理拓扑连接

  1. 交叉线 连接交换机之间的指定端口(如交换机 1 的F1/0/1与交换机 2 的F0/2,交换机 2 的F0/1与交换机 3 的F0/1);
  2. 直通线 将 PC 连接到交换机的访问端口(如交换机 1 的F1/0/11、F1/0/12等);
  3. 检查所有线缆连接是否牢固,观察交换机端口指示灯状态。

步骤 2:交换机基本配置(Console 方式)

  1. 进入交换机命令行界面,执行基础配置:

设置主机名(如Switch1、Switch2、Switch3):

|-----------------------------------------------------------------------------|
| Switch> enable Switch# configure terminal Switch(config)# hostname Switch1 |

开启所有涉及连接的端口(以 Switch1 为例):

|-----------------------------------------------------------------------------------------------------------------------|
| Switch1(config)# interface range fastethernet1/0/1 - 2, fastethernet1/0/11 - 12 Switch1(config-if-range)# no shutdown |

步骤 3:配置 Trunk 链路(交换机互联端口)

Trunk 链路用于传递多 VLAN 的流量 ,需在交换机互联端口启用 Trunk 模式,并允许所有 VLAN 通过。以 Switch1 的F1/0/1端口为例:

|----------------------------------------------------------------------------------------------------------------------------------------------|
| Switch1(config)# interface fastethernet1/0/1 Switch1(config-if)# switchport mode trunk Switch1(config-if)# switchport trunk allowed vlan all |

同理,配置 Switch2 的F0/2(与 Switch1 互联)、F0/1(与 Switch3 互联),以及 Switch3 的F0/1端口为 Trunk 模式。

步骤 4:创建 VLAN 并分配端口

(1)创建 VLAN

在每台交换机上创建VLAN4和VLAN14(VLAN 名称可自定义,用于区分业务):

|----------------------------------------------------------------------------------------------------------------------------------------------------------------|
| Switch1(config)# vlan 4 Switch1(config-vlan)# name VLAN4 // 为VLAN命名,便于管理 Switch1(config-vlan)# exit Switch1(config)# vlan 14 Switch1(config-vlan)# name VLAN14 |

重复上述命令,在Switch2、Switch3上创建VLAN4和VLAN14。

(2)端口分配到 VLAN(Access 模式)

将连接 PC 的端口配置为Access模式(仅属于一个 VLAN),并绑定到对应 VLAN。以 Switch1 的F1/0/11(连接192.168.0.111,属于 VLAN4)为例:

|---------------------------------------------------------------------------------------------------------------------------------------|
| Switch1(config)# interface fastethernet1/0/11 Switch1(config-if)# switchport mode access Switch1(config-if)# switchport access vlan 4 |

同理,配置其他端口:

  1. Switch1 的F1/0/12 → VLAN14;
  2. Switch2 的F0/12 → VLAN4,F0/11 → VLAN14;
  3. Switch3 的F0/12 → VLAN4,F0/11 → VLAN14。

步骤 5:PC 的 IP 地址配置

为每台 PC 设置静态 IP 地址子网掩码(默认网关暂不设置,仅测试同 VLAN 连通性):

  1. 192.168.0.111/255.255.255.0(VLAN4);
  2. 192.168.0.114/255.255.255.0(VLAN14);
  3. 192.168.0.112/255.255.255.0(VLAN4);
  4. 192.168.0.115/255.255.255.0(VLAN14);
  5. 192.168.0.113/255.255.255.0(VLAN4);
  6. 192.168.0.116/255.255.255.0(VLAN14)。

步骤 6:连通性测试

(1)同 VLAN 连通性测试
  1. 在VLAN4的 PC(如192.168.0.111)上,执行ping 192.168.0.112、ping 192.168.0.113,记录是否能 ping 通
  2. 在VLAN14的 PC(如192.168.0.114)上,执行ping 192.168.0.115、ping 192.168.0.116,记录结果。
(2)不同 VLAN 连通性测试
  1. 在VLAN4的 PC(如192.168.0.111)上,执行ping 192.168.0.114、ping 192.168.0.115,记录结果。

步骤 7:清除配置,恢复设备原状

实验结束后,需删除 VLAN 配置,恢复交换机初始状态:

  1. 删除端口的 VLAN 分配

|----------------------------------------------------------------------------------------------------------------------|
| Switch1(config)# interface fastethernet1/0/11 Switch1(config-if)# no switchport access vlan Switch1(config-if)# exit |

对所有 Access 端口重复此操作。

  1. 删除 Trunk 配置

|-----------------------------------------------------------------------------------------------------|
| Switch1(config)# interface fastethernet1/0/1 Switch1(config-if)# switchport mode access // 或恢复为默认模式 |

对所有 Trunk 端口重复此操作。

  1. 删除创建的 VLAN

|--------------------------------------------------------|
| Switch1(config)# no vlan 4 Switch1(config)# no vlan 14 |

在Switch2、Switch3上重复此操作。

五、实验 结论与分析

  1. 配置记录:记录每台交换机的 Trunk 配置命令、VLAN 创建与端口分配命令。
  2. 测试记录:表格记录同 VLAN、不同 VLAN 的 ping 结果("通" 或 "不通")。
  3. 结果分析
    1. 同 VLAN 能连通的原因:VLAN 内属于同一广播域,Trunk 链路可传递对应 VLAN 的流量,因此同 VLAN 主机可通信。
    2. 不同 VLAN 不能连通的原因:VLAN隔离了广播域,默认情况下不同 VLAN 无路由转发时无法直接通信(体现了 VLAN 的 "访问控制" 作用,可限制非法跨网段访问)。

六、实验 收获

  1. 配置命令需准确,注意交换机的模式切换(用户模式→特权模式→全局配置模式→接口模式)。
  2. 结合网络安全知识,解释 "VLAN 缩小广播域、限制非法访问" 的安全意义(如:广播域缩小可减少广播风暴影响范围;VLAN 隔离可防止攻击者通过广播包探测其他网段)。
相关推荐
Gzb112813 小时前
博客迁移声明
安全
yychen_java15 小时前
当算法成为武器:AI泛滥时代的多维危机透视与治理路径
网络·人工智能·ai
持梦远方15 小时前
MSF 木马制作 + 永恒之蓝漏洞上传执行木马 实战教程
网络安全
漫途科技15 小时前
精准盯防危房隐患,智守人居安全|MTB46-4-2A 4G数据采集终端专项应用方案
网络·安全
Misnearch16 小时前
抓包Packet Capture
网络·抓包
li星野16 小时前
从零构建安全文件上传系统:FastAPI + JWT + 密码哈希 + Streamlit 前端 + SQLite
安全·哈希算法·fastapi
zhangfeng113316 小时前
ps aux讲解,结合国家超算中心 hpc apptainer
linux·服务器·网络
是发财不是旺财16 小时前
Hermes 网关四层权限控制方案:让 AI Agent 安全地查数据库
数据库·安全·agent·openclaw·hermes
持敬chijing16 小时前
Web渗透之前后端漏洞-XSS漏洞原理攻击防御全流程
前端·安全·web安全·网络安全·网络攻击模型·安全威胁分析·xss
热门推荐
01《置身钉内》原文-可播放阅读02GitHub 镜像站点03【AI】2026 年具身智能模型和世界模型总结04Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?06Codex 下载安装指南:Windows 和 macOS 官方版下载072026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf08AI科技热点日报 | 2026年6月1日09【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法10CC-Switch 下载、安装与使用配置指南【2026.5.29】