试验一虚拟局域网VLAN----交换机端口隔离.doc

实验一 虚拟局域网VLAN-交换机端口隔离实验名称：虚拟局域网VLAN -交换机端口隔离试验目的：理解Port Vlan 的原理以及配置。功能描述：在一台交换机上，通过划分Vlan，实现属于不同Vlan的端口不能互相访问，即端口隔离。背景描述：在某小区组建了宽带小区城域网，其中有1台楼道交换机，住户PC1连接在交换机的0/2口；住户PC2连接在交换机的0/12口。现要两家用户要求安全隔离，不能相互访问。 技术原理：VLAN是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。VLAN的最大特性是不受物理位置的限制，可以进行灵活的划分。VLAN具有一个物理网所具备的特性。相同VLAN内的主机可以互相直接访问，不同VLAN间的主机之间互相访问必须经过路由器设备进行转发。广播数据包治可以在本VLAN内进行传播，不能传输到其他的VLAN中去。实验设备： S2126G一台，PC机2台。实验拓扑：如下图，交换机F0/5端口和PC1相连，F0/15端口和PC2相连。F0/2F0/12PC1PC2实验步骤：步骤1. 连接双绞线。pc1和pc2分别连接到配线架的同一交换机的相应接口上。pc1和pc2的网卡二（测试网卡）配同一网段的ip地址，如：pc1:172.16.10.1 pc2:172.16.10.2写下网线连接情况和IP地址分配情况。Pc1:172.16.10.32步骤2. 验证连通性。 pc1和pc2互ping (应该通，因为两台机器在同一缺省vlan1中)。写下ping命令的结果。步骤3. 在同一交换机(s2126)上配置vlan10和vlan 20。写下配置命令。进入特权模式命令：enable 14进入全局配置模式命令：configure terminal划分VLAN命令：s2126-1(config)#vlan 10s2126-(config-valn)name office1 s2126-1(config-valn)#exits2126-1(config)#vlan 20s2126-1(config-valn)#name office2 s2126-1(config-valn)#ends2126-1#show vlan步骤4. 把2端口（pc1）和12端口（pc2）分别划入到vlan10和valn 20中。写下配置命令。进入特权模式命令：enable 14 password:进入全局配置模式命令：configure terminal进入接口配置模式命令：conf ter将接口指入到相应VLAN中的命令：s2126-1(config)#interface fastethernet0/2s2126-1(config-if)#switchport access vlan 10s2126-1(config-if)#exits2126-1(config)#inter fa0/12s2126-1(config-if)#sw acc vlan 20s2126-1(config-if)#ends2126-1#show vlan步骤5. 验证：连在2端口和12端口的PC1和PC2 ping。写下ping命令的结果。并解释这一结果。步骤6 .在交换机上运行show vlan命令，写下显示结果，并解释。步骤7在交换机上运行show mac-address-table命令，写下显示结果，并解释。参考配置：交换机上的配置：s2126-1enable 14password:s2126-1#configure terminal！以下是在交换机2126上建立vlan10和vlan 20。s2126-1(config)#vlan 10s2126-(config-valn)name office1 ！给VLAN起名称，可以省略这一步s2126-1(config-valn)#exits2126-1(config)#vlan 20s2126-1(config-valn)#name office2 ！给VLAN起名称，可以省略这一步s2126-1(config-valn)#ends2126-1#show vlan！以下是把2端口（pc1）和12端口（pc2）分别划入到vlan10和valn 20中。s2126-1#conf ters2126-1(config)#interface fastethernet0/2s2126-1(config-if)#switchport access vlan 10s2126-1(config-if)#exits2126-1(config)#inter fa0/12s2126-1(config-if)#sw acc vlan 20s2126-1(config-if)#ends2126-1#show vlanPC机上的验证：在pc机上启动字符终端（开始-运行cmd）执行命令如：ping 172.16.10.1 进行验证。注意事项：1. 交换机所有的端口在默认情况下属于ACCESS端口，可以直接将某端口加入某一VLAN中去。利用switchport mode access/trunk命令可以更改端口的VLAN模式。2. VLAN1属于系统默认VLAN，默认存在，不可以被删除。3. 删除某个VLAN，使用no命令。例如：switch#(config) no vlan 104. 删除某个VLAN时，应先将属于该VLAN的端口加入到别的VLAN，然后再删除该VLAN。5. 把一组接口加入一