【网络安全】一、虚拟局域网设置和应用

小痞同学2025-12-13 8:44

实验01 :虚拟局域网设置和应用

一、实验目的

  1. 掌握虚拟局域网(VLAN)的基本概念与核心作用。
  2. 熟练掌握跨多台交换机的 VLAN 配置Trunk 链路的配置方法。
  3. 验证 VLAN 对网络广播域的隔离效果,深入理解其在网络安全中 "访问控制、缩小攻击面" 的作用。

二、实验器材

  1. Cisco 交换机 3 台(如 3750、2950 系列);
  2. PC 机 6 台;
  3. 交叉网线(用于交换机之间互联)、直通网线(用于 PC 与交换机连接)若干;
  4. Cisco Packet Tracer软件。

三、实验拓扑

网络拓扑图:

Switch1 Switch2 Switch3

  1. 三台交换机通过交叉线 互联(如交换机 1 的F1/0/1与交换机 2 的F0/2,交换机 2 的F0/1与交换机 3 的F0/1);
  2. 每台交换机通过直通线 连接 2 台 PC,PC 的 IP 地址与 VLAN 分配如图(如 VLAN4 包含192.168.0.111、192.168.0.112、192.168.0.113;VLAN14 包含192.168.0.114、192.168.0.115、192.168.0.116)。

四、实验步骤

步骤 1:物理拓扑连接

  1. 交叉线 连接交换机之间的指定端口(如交换机 1 的F1/0/1与交换机 2 的F0/2,交换机 2 的F0/1与交换机 3 的F0/1);
  2. 直通线 将 PC 连接到交换机的访问端口(如交换机 1 的F1/0/11、F1/0/12等);
  3. 检查所有线缆连接是否牢固,观察交换机端口指示灯状态。

步骤 2:交换机基本配置(Console 方式)

  1. 进入交换机命令行界面,执行基础配置:

设置主机名(如Switch1、Switch2、Switch3):

|-----------------------------------------------------------------------------|
| Switch> enable Switch# configure terminal Switch(config)# hostname Switch1 |

开启所有涉及连接的端口(以 Switch1 为例):

|-----------------------------------------------------------------------------------------------------------------------|
| Switch1(config)# interface range fastethernet1/0/1 - 2, fastethernet1/0/11 - 12 Switch1(config-if-range)# no shutdown |

步骤 3:配置 Trunk 链路(交换机互联端口)

Trunk 链路用于传递多 VLAN 的流量 ,需在交换机互联端口启用 Trunk 模式,并允许所有 VLAN 通过。以 Switch1 的F1/0/1端口为例:

|----------------------------------------------------------------------------------------------------------------------------------------------|
| Switch1(config)# interface fastethernet1/0/1 Switch1(config-if)# switchport mode trunk Switch1(config-if)# switchport trunk allowed vlan all |

同理,配置 Switch2 的F0/2(与 Switch1 互联)、F0/1(与 Switch3 互联),以及 Switch3 的F0/1端口为 Trunk 模式。

步骤 4:创建 VLAN 并分配端口

(1)创建 VLAN

在每台交换机上创建VLAN4和VLAN14(VLAN 名称可自定义,用于区分业务):

|----------------------------------------------------------------------------------------------------------------------------------------------------------------|
| Switch1(config)# vlan 4 Switch1(config-vlan)# name VLAN4 // 为VLAN命名,便于管理 Switch1(config-vlan)# exit Switch1(config)# vlan 14 Switch1(config-vlan)# name VLAN14 |

重复上述命令,在Switch2、Switch3上创建VLAN4和VLAN14。

(2)端口分配到 VLAN(Access 模式)

将连接 PC 的端口配置为Access模式(仅属于一个 VLAN),并绑定到对应 VLAN。以 Switch1 的F1/0/11(连接192.168.0.111,属于 VLAN4)为例:

|---------------------------------------------------------------------------------------------------------------------------------------|
| Switch1(config)# interface fastethernet1/0/11 Switch1(config-if)# switchport mode access Switch1(config-if)# switchport access vlan 4 |

同理,配置其他端口:

  1. Switch1 的F1/0/12 → VLAN14;
  2. Switch2 的F0/12 → VLAN4,F0/11 → VLAN14;
  3. Switch3 的F0/12 → VLAN4,F0/11 → VLAN14。

步骤 5:PC 的 IP 地址配置

为每台 PC 设置静态 IP 地址子网掩码(默认网关暂不设置,仅测试同 VLAN 连通性):

  1. 192.168.0.111/255.255.255.0(VLAN4);
  2. 192.168.0.114/255.255.255.0(VLAN14);
  3. 192.168.0.112/255.255.255.0(VLAN4);
  4. 192.168.0.115/255.255.255.0(VLAN14);
  5. 192.168.0.113/255.255.255.0(VLAN4);
  6. 192.168.0.116/255.255.255.0(VLAN14)。

步骤 6:连通性测试

(1)同 VLAN 连通性测试
  1. 在VLAN4的 PC(如192.168.0.111)上,执行ping 192.168.0.112、ping 192.168.0.113,记录是否能 ping 通
  2. 在VLAN14的 PC(如192.168.0.114)上,执行ping 192.168.0.115、ping 192.168.0.116,记录结果。
(2)不同 VLAN 连通性测试
  1. 在VLAN4的 PC(如192.168.0.111)上,执行ping 192.168.0.114、ping 192.168.0.115,记录结果。

步骤 7:清除配置,恢复设备原状

实验结束后,需删除 VLAN 配置,恢复交换机初始状态:

  1. 删除端口的 VLAN 分配

|----------------------------------------------------------------------------------------------------------------------|
| Switch1(config)# interface fastethernet1/0/11 Switch1(config-if)# no switchport access vlan Switch1(config-if)# exit |

对所有 Access 端口重复此操作。

  1. 删除 Trunk 配置

|-----------------------------------------------------------------------------------------------------|
| Switch1(config)# interface fastethernet1/0/1 Switch1(config-if)# switchport mode access // 或恢复为默认模式 |

对所有 Trunk 端口重复此操作。

  1. 删除创建的 VLAN

|--------------------------------------------------------|
| Switch1(config)# no vlan 4 Switch1(config)# no vlan 14 |

在Switch2、Switch3上重复此操作。

五、实验 结论与分析

  1. 配置记录:记录每台交换机的 Trunk 配置命令、VLAN 创建与端口分配命令。
  2. 测试记录:表格记录同 VLAN、不同 VLAN 的 ping 结果("通" 或 "不通")。
  3. 结果分析
    1. 同 VLAN 能连通的原因:VLAN 内属于同一广播域,Trunk 链路可传递对应 VLAN 的流量,因此同 VLAN 主机可通信。
    2. 不同 VLAN 不能连通的原因:VLAN隔离了广播域,默认情况下不同 VLAN 无路由转发时无法直接通信(体现了 VLAN 的 "访问控制" 作用,可限制非法跨网段访问)。

六、实验 收获

  1. 配置命令需准确,注意交换机的模式切换(用户模式→特权模式→全局配置模式→接口模式)。
  2. 结合网络安全知识,解释 "VLAN 缩小广播域、限制非法访问" 的安全意义(如:广播域缩小可减少广播风暴影响范围;VLAN 隔离可防止攻击者通过广播包探测其他网段)。
相关推荐
lingggggaaaa2 小时前
C2远控篇&C&C++&SC转换格式&UUID标识&MAC物理&IPv4地址&减少熵值
c语言·c++·学习·安全·web安全·网络安全·免杀对抗
码农12138号2 小时前
Bugku 2023 HackINI Virtual Shop 和 2023 HackINI Virtual Shop 2
web安全·sqlite·sql注入
金士镧(厦门)新材料有限公司2 小时前
稀土化合物:科技与日常生活的“隐形助力”
科技·安全·全文检索·生活·能源
petunsecn2 小时前
安全审查--跨站请求伪造--双重提交Cookie模式
安全
BD_Marathon2 小时前
【JavaWeb】HTTP_常见响应状态码
网络·网络协议·http
码农12138号2 小时前
网络安全 文件包含漏洞
web安全·文件包含漏洞
艾莉丝努力练剑2 小时前
【Linux基础开发工具 (七)】Git 版本管理全流程与 GDB / CGDB 调试技巧
大数据·linux·运维·服务器·git·安全·elasticsearch
悬镜安全2 小时前
悬镜安全率先通过国家工信安全中心SBOM标准认证
安全
cike_y2 小时前
JavaWeb之HttpServletResponse
java·开发语言·安全·java安全
热门推荐
01GitHub 镜像站点02【AutoGLM部署】本地私有化部署AI手机Agent03UV安装并设置国内源04【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)05Open-AutoGLM Windows 安装部署教程06Cursor 又偷偷更新,这个功能太实用:Visual Editor for Cursor Browser07安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)08Linux下V2Ray安装配置指南09BongoCat - 跨平台键盘猫动画工具10Windows 11 官方系统安装与重装完整教程(2025年最新版)