实验六、交换机端口隔离

实验二、交换机端口隔离一、实验目的：理解Port Vlan的原理以及配置，掌握交换机端口隔离划分虚拟局域网。

二、实验拓扑图：交换机端口隔离实验1、实验拓扑及说明2、实验步骤：（1）按照实验拓扑图完成各设备的互联，进行各PC机及服务器的IP设置，确保各主机可以通讯。

（2）创建Vlan，隔离端口，实现分属不同VLAN内的同网段PC机的访问需求。

其相关配置如下：创建VLAN：sysname Huaweiundo info-center enablevlan batch 10 20 30 100cluster enablentdp enablendp enabledrop illegal-mac alarmdiffserv domain defaultdrop-profile defaultaaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type http交换机Hybird端口配置：interface Vlanif1interface MEth0/0/1interface Ethernet0/0/1port hybrid pvid vlan 10port hybrid untagged vlan 10 20 30 100interface Ethernet0/0/2port hybrid pvid vlan 20port hybrid untagged vlan 10 20 100interface Ethernet0/0/3port hybrid pvid vlan 30port hybrid untagged vlan 10 30 100interface GigabitEthernet0/0/1port hybrid pvid vlan 100port hybrid untagged vlan 10 20 30 100interface GigabitEthernet0/0/2interface NULL0user-interface con 0user-interface vty 0 4return（3）查看已配置的VLAN信息：display Port Vlandisplay Port Vlan （4）通过Ping命令验证测试各主机是否按要求访问，并记录结果实验测试及结果：（1）实验数据：PC1、PC2、PC3、Server分属于Vlan10、20、30、100；IP地址：PC1:10.1.1.1 PC2:10.1.1.2PC3:10.1.1.3 Server:10.1.1.254（2）划分VLAN前各主机都是可以Ping通的（3）查看VLAN信息结果：（4）连通性测试：PC1 Ping PC2、PC3、Server可以通，如下图：同样，PC2、PC3与Server可以互相通信。

交换机端口隔离安全策略实验报告1. 简介本实验旨在研究交换机端口隔离安全策略的实施方法和效果。

通过实验，我们可以深入了解交换机端口隔离的原理和实际应用，并评估其对网络安全的影响。

2. 实验目的本实验的主要目的如下：- 探究交换机端口隔离的原理，包括虚拟局域网（VLAN）和访问控制列表（ACL）的应用；- 实验验证交换机端口隔离策略对网络安全的影响；- 分析交换机端口隔离策略的优点和不足，并提出改进建议。

3. 实验环境为了确保实验能够顺利进行，我们搭建了如下实验环境：- 三台计算机，分别命名为PC1、PC2和PC3，连接到一个交换机；- 一个路由器连接到交换机，提供访问外部网络的功能；- 交换机的端口配置合理，符合实验需求。

4. 实验步骤4.1 配置交换机端口隔离根据实验需求，将交换机的端口划分为不同的VLAN，每个VLAN 代表一个虚拟局域网。

通过VLAN的划分，我们可以将不同的端口隔离开来，实现不同虚拟网络之间的隔离。

4.2 配置访问控制列表（ACL）在交换机上配置访问控制列表，限制从一个VLAN到另一个VLAN 的访问。

通过ACL的配置，我们可以设置允许或拒绝特定VLAN之间的通信，从而加强网络的安全性。

4.3 实验验证在配置完交换机端口隔离策略后，我们通过以下步骤来验证实验结果：- 在PC1上打开命令提示符窗口，执行ping命令以测试与PC2和PC3之间的连通性。

在ACL配置允许的情况下，应该能够成功收到响应；- 在ACL配置拒绝的情况下，再次执行ping命令，应该无法收到响应。

5. 实验结果和分析通过实验验证，我们得出以下结果和分析：- 交换机端口隔离安全策略成功实施，实现了不同VLAN之间的隔离；- 在ACL配置允许的情况下，允许特定VLAN之间的通信，并保证网络正常运行；- 在ACL配置拒绝的情况下，限制特定VLAN之间的通信，提高了网络的安全性。

6. 优点和不足6.1 优点- 交换机端口隔离通过VLAN和ACL的配合使用，可以简单高效地实现对网络的隔离；- 能够提高网络的安全性，防止未经授权的访问和攻击。

交换机端口隔离流控关闭标准模式交换机端口隔离流控关闭标准模式：构建高效网络通信的关键要素1. 概述1.1 交换机作为计算机网络中重要的设备之一，负责将数据包从一个端口转发到另一个端口，实现网络通信。

1.2 端口隔离、流控关闭、标准模式是交换机的关键功能，它们协同工作，有助于提高网络通信的效率和安全性。

2. 端口隔离2.1 端口隔离是一种通过配置交换机来实现对不同端口之间的流量分割的技术。

2.2 在网络中，不同的端口可能承载不同类型的流量，如语音、视频和数据等，通过端口隔离可以将这些流量分开处理，减少互相之间的干扰。

2.3 一个交换机集成了语音、视频和数据，通过配置端口隔离，可以保证语音的实时性、视频的流畅性，同时不影响数据的传输速度和稳定性。

2.4 端口隔离还可以用于隔离不同网络的流量，增强网络的安全性。

3. 流控关闭3.1 流控关闭是一种配置交换机的方式，用于控制流量在端口之间的传输速率。

3.2 在网络通信中，流量过大可能导致拥塞，从而影响数据的正常传输。

通过关闭某些端口的流控功能，可以提高网络的传输效率。

3.3 在一个网络中，某些端口的流量较大，可以关闭其流控功能，使其能够更快地传输数据，提高网络的整体性能。

3.4 然而，关闭流控功能也可能会导致网络拥塞，需要合理配置，根据网络的实际情况进行调整。

4. 标准模式4.1 标准模式是交换机的一种工作模式，也称为"学习模式"。

4.2 在标准模式下，交换机会自动学习网络中各个端口的MAC 位置区域，并将这些位置区域与相应的端口绑定，从而实现数据包的转发。

4.3 标准模式具有自学习、自适应的特点，能够根据网络的变化自动调整MAC位置区域表，保证数据包能够迅速、准确地传输。

4.4 与标准模式相对应的是静态模式，静态模式需要手动配置MAC位置区域表，不具备自学习、自适应的能力。

5. 个人观点和理解5.1 在构建高效网络通信中，交换机起着重要的作用，而端口隔离、流控关闭和标准模式则是构建高效网络通信的关键要素。

交换机端口隔离VLAN实验报告一、引言在计算机网络中，交换机是连接计算机和其他网络设备的重要组成部分。

为了提高网络的安全性和性能，交换机可以通过隔离不同的VLAN（虚拟局域网）来实现端口之间的隔离。

本实验旨在通过实践验证交换机端口隔离VLAN的功能，并评估其效果。

二、实验设备与拓扑本实验采用以下设备和拓扑结构：1. 交换机：型号XYZ，具有端口隔离VLAN功能2. 计算机A、B、C：用于模拟不同的主机3. 网线、路由器等其他常见网络设备实验拓扑图如下所示：（图略）三、实验步骤与结果1. 配置交换机a. 连接计算机A到交换机的一个端口，计算机B到交换机的另一个端口，计算机C到交换机的第三个端口。

b. 登录交换机的管理界面，配置三个不同的VLAN，并将对应端口划分到不同的VLAN。

c. 启用端口隔离VLAN功能，并保存配置。

2. 配置计算机IP地址a. 通过操作系统的网络设置，为计算机A、B、C配置不同的IP 地址，并设置子网掩码。

3. 进行通信测试a. 在计算机A上打开命令提示符，使用ping命令向计算机B和C 发送数据包。

b. 观察ping命令返回结果，确认是否能够正常通信。

实验结果：经过上述步骤的设置和测试，实验结果表明交换机的端口隔离VLAN功能正常工作。

计算机A可以与计算机B进行通信，但无法与计算机C进行通信。

相反，计算机C也无法与计算机A进行通信。

这验证了端口隔离VLAN的功能，确保了不同VLAN之间的隔离。

四、讨论与分析本实验成功验证了交换机端口隔离VLAN的实际功能，这对网络的安全性和性能优化具有重要意义。

通过划分不同的VLAN，并将其分配给不同的端口，可以使不同的主机彼此隔离，从而降低潜在的安全风险。

此外，隔离不同的VLAN还可以提高网络性能，减少广播和多播的影响范围。

然而，在实际应用中，需要注意以下几点：1. 配置复杂度：随着网络规模的扩大，配置交换机的VLAN和端口设置可能会变得繁琐。

案例六交换机端口隔离【背景描述】交换机是宽带小区区域网中的一台楼道交换机，住户PC1连接在交换机的0/5口，住户PC2连接在交换机的0/15口，现需要实现各家各户的端口隔离。

【实现功能】通过划分PORT VLAN实现本交换隔离。

【使用设备】【案例拓扑】步骤1 在未划分vlan前两台pc互相ping可以通。

C:\Documents and Settings\Administrator>ping 172.16.3.7Pinging 172.16.3.7 with 32 bytes of data:Reply from 172.16.3.7: bytes=32 time<1ms TTL=64Reply from 172.16.3.7: bytes=32 time<1ms TTL=64Reply from 172.16.3.7: bytes=32 time<1ms TTL=64Reply from 172.16.3.7: bytes=32 time<1ms TTL=64Ping statistics for 172.16.3.7:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms步骤2 创建vlan，将端口分配到vlanswitch#conf tswitch(config)#vlan 10 ！创建vlan10switch(config)#interface fastEthernet 0/5switch(config-if)#switchport mode access ！确定端口模式为access switch(config-if)#switchport access vlan 10 ！将f 0/5端口加入vlan10中switch(config-if)#exitswitch(config)#vlan 20 ！创建vlan10switch(config)#interface fastEthernet 0/15switch(config-if)#switchport mode access ！确定端口模式为accessswitch(config-if)#switchport access vlan 20 ！将f 0/5端口加入vlan10中switch(config-if)#exitswitch(config)#endswitch#show vlanVLAN Name Status Ports---- -------------------------------- --------- -----------------------------1 default active Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19Fa0/20,Fa0/21,Fa0/22Fa0/23,Fa0/2410 VLAN0010 active Fa0/1 ,Fa0/2 ,Fa0/3Fa0/4 ,Fa0/520 VLAN0020 active Fa0/6 ,Fa0/7 ,Fa0/8Fa0/9 ,Fa0/10步骤3 测试两台pc互相ping不通C:\Documents and Settings\Administrator>ping 172.16.3.7Pinging 172.16.3.7 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.【注意事项】1.Valn 1 属于系统的默认vlan，不可以被删除。

交换机配置（十三）端口隔离字体大小：大| 中| 小2010-07-28 09:36 - 阅读：15 - 评论：0端口隔离简介为了实现报文之间的二层隔离，可以将不同的端口加入不同的VLAN，但会浪费有限的VLAN 资源。

采用端口隔离特性，可以实现同一VLAN内端口之间的隔离。

用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。

端口隔离功能为用户提供了更安全、更灵活的组网方案。

目前：●设备只支持一个隔离组，由系统自动创建隔离组1，用户不可删除该隔离组或创建其它的隔离组。

●隔离组内可以加入的端口数量没有限制。

说明：●如果聚合组内的某个端口已经配置成某隔离组的普通端口，则该聚合组内的其他端口可以以普通端口的身份加入该隔离组，但不能配置成上行端口。

●如果将聚合组内的某个端口配置成某隔离组的上行端口，则该聚合组内的其他端口不能加入该隔离组，且不允许该设备的其他端口加入该聚合组。

（聚合组的具体内容请参见“链路聚合配置”）端口隔离特性与端口所属的VLAN无关。

●对于属于不同VLAN的端口，只有同一个隔离组的普通端口到上行端口的二层报文可以单向通过，其它情况的端口二层数据是相互隔离的。

●对于属于同一VLAN的端口，隔离组内、外端口的二层数据互通的情况，如图2-1所示。

图2-1 支持上行端口的设备同一VLAN内隔离组内、外端口二层报文互通情况说明：图中箭头方向表示报文的发送方向。

2.2 配置隔离组2.2.1 将端口加入隔离组表2-1 将端口加入隔离组2.2.2 配置隔离组的上行端口表2-2 配置隔离组的上行端口说明：●一个隔离组中只能有一个上行端口，在用户多次配置不同的端口为上行端口时，以最后一个配置为准。

●如果端口已经被配置为隔离组的普通端口，则不能再配置为所有隔离组的上行端口，反之亦然。

2.3 隔离组显示在完成上述配置后，在任意视图下执行display命令可以显示配置后隔离组的相关信息，通过查看显示信息验证配置的效果。

H3CNE交换机端口安全配置（802.1x端口隔离端口绑定）交换机-端口绑定与端口安全H3C端口绑定与端口安全端口安全：1.启用端口安全功能[H3C]port-security enable2.配置端口允许接入的最大MAC地址数[H3C-Ethernet1/0/3]port-security max-mac-count count-value缺省情况下，最大数不受限制为03.配置端口安全模式[H3C-Ethernet1/0/3]port-security port-mode { autolearn ｜noRestriction… }4.手动添加Secure MAC地址表项[H3C-Ethernet1/0/3] mac-address security mac-address vlan vlan-id5.配置Intrusion Protection（Intrusion Protection被触发后，设置交换机采取的动作）[H3C-Ethernet1/0/3]port-security intrusion-mode { blockmac | disableport | disableport -temporarily }验证命令：display port-security [ interface interface-list ] 显示端口安全配置的相关信息display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ]显示Secure MAC地址的配置信息端口+IP+MAC绑定方法一：[H3C]am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106 interface Ethernet 1/0/3方法二：[H3C-Ethernet1/0/3] am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106验证命令：[H3C]display am user-bind 显示端口绑定的配置信息端口+IP绑定[H3C-Ethernet1/0/3] am user-bind ip-addr 192.168.1.106注：交换机只要接收一个3层表项，交换机使用动态ARP产生一条arp条目。

通常，要实现交换机端口之间的隔离，最简单常用的方法就是划分VLAN （虚拟局域网）。

然而在具体应用中，往往又希望端口隔离后某些VALN 之间能灵活互访。

一般情况下，需要在二层交换机上实现隔离，然后在上联的三层交换机或路由器上实现VLAN 之间的互访。

实际上，只利用二层交换机同样可以完成隔离与互访的功能，这就是二层交换机Hybrid （混合）端口模式的应用。

1 交换机链路端口模式华为二层交换机一般有四种链路端口模式，分别是Access、Trunk 、Hybrid 端口模式。

1.1 Access 端口模式Access 类型的端口只能属于一个VLAN ，所以它的缺省VLAN 就是它所在的VLAN ，不用设置。

一般作为连接计算机的端口。

1.2 Trunk 端口模式Trunk 类型的端口可以属于多个VLAN ，可以接收和发送多个VLAN 的报文，一般作为交换机之间连接的端口。

1.3 Hybrid 端口模式Hybrid 类型的端口可以属于多个VLAN ，可以接收和发送多个VLAN 的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

Hybrid 端口模式的特点如下：Hybrid 属性是一种混和模式，实现了在一个untagged ( 不打标签) 端口允许报文以tagged （打标签）形式送出交换机。

同时，可以利用Hybrid 属性来定义分别属于不同VLAN 端口之间的互访，这是Access 和Trunk 端口所不能实现的。

Hybrid 端口还可以设置哪些VLAN 的报文打上标签，哪些不打标签，为实现对不同VLAN 报文执行不同处理流程打下了基础。

如果设置了端口的缺省VLAN ID ，当端口接收到不带VLAN Tag 的报文后，则将报文转发到属于缺省VLAN 的端口；当端口发送带有VLAN Tag 的报文时，如果该报文的VLAN ID 与端口缺省的VLAN ID 相同，则系统将去掉报文的VLAN Tag ，然后再发送该报文。

交换机：探索端口隔离、流控关闭及标准模式作为网络技术中的重要组成部分，交换机在局域网中起着至关重要的作用。

它不仅可以实现计算机之间的数据交换，还可以提供各种功能来保障网络的稳定和安全。

其中，端口隔离、流控关闭和标准模式是交换机中的重要功能，它们对网络性能和数据安全起着至关重要的作用。

在本篇文章中，我将深入探讨这些功能，并共享我的个人观点和理解。

一、端口隔离1. 为什么需要端口隔离？当局域网内部存在多个子网或者用户时，为了防止数据的泄露或者网络的混乱，需要对交换机进行端口隔离。

通过端口隔离，可以将不同的用户或者设备进行隔离，让它们之间无法直接通信，从而提高网络的安全性和稳定性。

2. 端口隔离的实现方法在交换机中，可以通过VLAN（虚拟局域网）来实现端口隔离。

通过将不同端口划分到不同的VLAN中，可以实现不同用户或设备之间的隔离，从而确保网络的安全和数据的稳定传输。

3. 端口隔离的应用场景端口隔离广泛应用于企业内部网络中，尤其是对于一些需要保密性的部门或者项目组，可以通过端口隔离来实现数据的隔离和安全传输。

二、流控关闭1. 流控的作用和原理流控是指在网络拥塞或者数据冲突时，通过控制数据的传输速率来保证网络的稳定和数据的可靠传输。

而关闭流控则是指关闭这一功能，让数据在网络拥塞时仍然能够传输，但可能会导致数据丢失或者网络延迟增加。

2. 开启和关闭流控的影响在一般情况下，开启流控可以保证网络的稳定和数据的可靠传输，但可能会导致数据传输速率的下降。

而关闭流控则可以提高数据传输速率，但可能会导致数据丢失或者网络拥塞。

3. 流控关闭的应用场景流控关闭一般适用于一些对数据传输速率要求较高的场景，如视频直播、大文件传输等，可以通过关闭流控来提高数据传输速率。

三、标准模式1. 标准模式的定义和特点标准模式是交换机中的一个工作模式，它通常是指交换机按照IEEE标准进行配置和工作的模式。

在这种模式下，交换机会按照一定的规范来进行数据交换和转发，从而确保网络的稳定和数据的可靠传输。

怎么用交换机端口隔离拒绝病毒入侵网络上的未知软件和未知网页很多都是带病毒的，那么你知道怎么用交换机端口隔离拒绝病毒入侵吗?下面是店铺整理的一些关于怎么用交换机端口隔离拒绝病毒入侵的相关资料，供你参考。

用交换机端口隔离拒绝病毒入侵的案例如下：例如单位局域网采用MyPower S3026G型号的普通楼层交换机，将位于大楼一、二、三层中的所有计算机全部连接起来，这些楼层交换机全部连接到单位的核心交换机中，核心交换机又通过天融信硬件防火墙与Internet网络进行了连接。

由于单位交换机都支持即插即用功能，网络管理员对它们没有进行任何配置，就直接连接到局域网网络中; 在这种连接状态下，局域网中所有楼层的计算机相互之间都能访问，这样一来单位同事们经常利用局域网网络进行共享交流。

刚开始的时候，局域网运行一直很稳定;最近不知道由于什么缘故，单位所有计算机都不能通过局域网进行共享访问Internet网络了，不过相互之间它们却能够正常访问。

分析解决对于这种故障现象，笔者想当然地认为问题肯定出在硬件防火墙或核心交换机上，而与普通计算机的上网设置以及网络线缆连通性没有任何关系;不过，当笔者断开所有楼层交换机以及单位的服务器或重要工作站，仅让一台工作状态正常的笔记本电脑与核心交换机保持连接时，该笔记本电脑却能够正常访问Internet网络，显然核心交换机与硬件防火墙的工作状态也是正常的。

那问题究竟出现在什么地方呢?考虑到局域网中的所有计算机都不能上网，笔者估计可能出现了网络环路，或者存在类似ARP这样的网络病毒，只有这些因素才能造成整个局域网大面积不能正常上网。

由于网络环路故障排查起来相对复杂一些，笔者打算先从网络病毒因素开始查起;想到做到，笔者立即与其他几个单位员工分头行动，使用最新版本的杀毒软件依次对每一台普通工作站进行病毒查杀操作;经过一番持久战，潜藏在局域网中的许多病毒的确被我们消灭干净了。

原本以为解决了网络病毒，局域网不能上网的故障现象也应该自动消除了，可是重新将所有计算机接入到单位局域网中后，发现上述故障现象依然存在，难道这样的故障现象真的与网络病毒没有任何关系?之后，笔者打算检查局域网中是否存在网络环路现象。

端口隔离技术
端口隔离技术是一种网络安全技术，用于限制网络中不同设备或应用程序之间的通信。

它的目的是防止恶意活动或攻击者利用某个设备或应用程序的漏洞来入侵其他设备或应用程序。

端口隔离技术有多种实现方法，以下是其中几种常见的技术：
1. 虚拟局域网（VLAN）：使用VLAN可以将网络中的设备
分割成多个虚拟的逻辑网络，将不同的设备或应用程序放置在不同的VLAN中，从而限制它们之间的通信。

2. 网络隔离：将不同的设备或应用程序连接到不同的物理网络，通过路由器或防火墙对不同网络之间的通信进行控制和限制。

3. 端口隔离：通过网络交换机或防火墙配置，将不同的设备或应用程序连接到不同的物理或逻辑端口上，从而限制它们之间的通信。

4. 应用隔离：在操作系统或容器级别对不同的应用程序进行隔离，使它们之间无法直接通信，从而降低攻击面。

5. 服务器隔离：将服务部署在不同的服务器上，并使用网络设备或防火墙来限制它们之间的通信。

端口隔离技术可以有效地提高网络的安全性，减少潜在的攻击面，并帮助防止横向移动和数据泄露等安全威胁。

交换机端口隔离安全实验报告实验目的：本实验旨在通过交换机端口隔离技术，提高网络的安全性和隔离性，并验证隔离效果。

实验环境：本实验使用了一台拥有多个可配置端口的交换机，并连接了多台主机设备。

实验步骤：1. 配置交换机端口隔离功能：首先，登录交换机管理界面，在交换机配置页面上找到端口隔离选项。

根据实际需求，选择需要隔离的端口，并启用隔离功能。

2. 设置隔离规则：在交换机端口隔离配置页面上，为每个需要隔离的端口设置隔离规则。

可以根据IP地址、MAC地址等进行隔离规则的设定。

3. 验证隔离效果：连接不同的主机设备至交换机的不同端口，并在各个主机之间进行通信测试。

检查是否存在跨端口通信，验证隔离效果的可行性。

实验结果：通过交换机端口隔离功能的配置，我们成功实现了端口之间的隔离。

在测试过程中，我们发现无法实现跨端口的通信，证明了隔离的效果。

实验总结：交换机端口隔离技术在网络安全中发挥了重要作用。

通过该技术，可以有效隔离不同端口之间的通信，增强网络的安全性和隔离性。

在实验中，我们成功配置了交换机端口隔离功能，并验证了其有效性。

然而，需要注意的是，在实际应用中，还需要综合考虑业务需求和网络拓扑结构，合理配置端口隔离规则，以达到最佳的网络安全效果。

实验局限性：本实验仅仅针对交换机端口隔离功能的验证，未对其他相关安全功能进行测试。

在实际应用中，需要综合考虑其他网络设备和安全机制，搭建完整的网络安全体系。

未来展望：随着网络安全威胁的不断演变和升级，交换机端口隔离技术也需要不断更新和改进。

未来，我们希望通过进一步的研究和实践，提高交换机端口隔离技术的性能和可靠性，更好地应对网络安全挑战。

参考文献：[1] 张三, 李四. 交换机端口隔离技术及其应用[J]. 计算机科学, 20XX, XX(X): XX-XX.[2] 王五, 赵六. 网络安全技术概论[M]. 北京：XX出版社, 20XX.。

vlan实验报告实验五VLAN设置一实验目的1.理解VLAN的基本概念和技术原理2.掌握VLAN 的配置方法3.掌握VLAN的测试方法4.明确VLAN技术的用途二实验内容1.单交换机的VLAN设置与测试2.跨交换机的VLAN设置与测试三实验环境1.2126交换机一台，3350交换机一台，PC机4台，网线4条，交换机配置线2条，用于连接两台交换机的UTP交叉线一条。

2.配置软件：WINDOWS系统下的超级终端。

3.测试：DOS下的PING命令。

四实验所需主要命令1.Vlan[name];创建VLAN；VLAN命名3.interfacefastethernet0/端口号；进入对应端口的端口模式4.switchportmodeaccess;设置端口未存取模式5.switchportmodetrunk;设置端口未trunk级联模式.switchportaccssvlan；将端口添加到指定VLAN7.showvlan;显示VLAN配置信息8.showspanning-treevlan；显示VLAN的spanning-tree 五实验步骤单交换机的VLAN设置与测试1)够着如下图所示的网络。

12)连接超级终端；3)查看当前的VLAN设置；4)添加VLAN，创建一个标号未２的VLAN；5)在VLAN的配置模式下，修改器名字为VLAN02；)添加端口到VLAN中；7)检查当前的VLAN配置；8)测试VLAN中主机的连通性；9)再添加一个３号VLAN；10)删除VLAN；以上操作命令：Switch>enSwitch#Switch#configConfiguringfromterminal,memory,ornetwork[terminal] Enterconfigurationcommands,oneperline.EndwithCNTL /Z.Switch(config)#hostnameS2126GS2126G(config)#sh owvlanS2126G#showvlanS2126G#config2S2126G(config)#vlan2S2126G(config-vlan)#namevlan02S2126G(config-vlan )#exitS2126G#configS2126G(config)#intfa0/1S2126G(config-if)#switchport modeaccessS2126G(config-if)#switchportaccessvlan2S2 126G(config-if)xitS2126G(config)#intfa0/2S2126G(config-if)#%SYS-5-CONFIG_I:Configuredfromconsolebyconsole S2126G#showvlanS2126G#交换机配置好之后在主机上设置相应的IP；PC1：3PC2：在主机PC1上使用ping命令测试与PC2的连接；对于添加vlan3操作参考以上。

1、背景描述：假设此交换机是宽带小区城域网络中的1台楼道交换机，住户PC1连接在交换机的F0/5口；住户PC2连接在交换机的F0/15口。

现在实现各家各户的端口隔离。

2、技术原理：VLAN（Virtual Local Area Network）——是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。

VLAN 最大的特点是不受物理位置的限制，可以灵活的划分。

相同的VLAN可以互相进行通信，不同的VLAN 间的主机不可以直接进行通信，必须通过路由器才可以进行通信。

作用：可以限制广播流量的转播，广播数据包只在VLAN进行转播，不能转到其他的VLAN中。

Port Vlan 是实现Vlan 的方式之一，Port Vlan 是利用交换机的端口进行VLAN的划分，一个端口只能属于一个VLAN.3、实现功能：通过划分PORT VLAN 实现本端口隔离4、实验设备：可网管交换机一台，PC机2台，直连线2条5、配置过程：一、在交换机上划分两个VLANswitch>enableswitch# configure terminalswitch(config)#vlan 10switch(config-vlan)#name test10switch(config-vlan)#exitswitch(config)#vlan 20switch(config-vlan)#name test20switch(config-vlan)#endswitch#show vlan二、将接口分配到VLAN中提示：switchport trunk encapsulation dot1q//以上是配置trunk 链路的封装类型，同一链路的两端封装要相同。

有的交换机，例如2950只能封装dot1q，因此无需执行该命令。

使用“show interface trunk”可以查看交换机端口的trunk 状态。

1、如何删除？2、为什么是：vlan? Vlan 10 name test10 为什么是test10。

Xxx大学数学与计算机学院实验报告课程名称：计算机网络指导教师：xxx 实验成绩：实验序号：2实验名称：交换机端口隔离与端口安全实验地点：计算机网络实验室实验日期：实验小组编号：3小组成员姓名：xx xxx xxx xxx xx xxx 31200xxx 31200xxx 31200xxx 31200xxx 31200xxx 31200xxx 小组成员学号一、实验内容1.通过划分PORT VLAN 实现本交换端口隔离。

2. 配置交换机的端口安全二、实验设备与网络拓扑结构安全智能交换机一台；测试PC 2 台；网线。

1.理解Port Vlan 的配置和端口安全的配置。

2.配置交换机的端口安全三、实验目的及要求（1）利用交换机安全端口功能，控制用户的安全接入；（2）对交换机的端口配置最大连接数1；（3）针对接入端口进行IP+MAC 地址绑定。

一、步骤1. 在未划VLAN 前两台PC 互相ping 可以通。

创建 VLAN。

switch#configure terminal ! 进入交换机全局配置模式switch(config)# vlan 10 ! 创建vlan 1019switch(config-vlan)# name test10 ! 将Vlan 10 命名为test10switch(config)# vlan 20 ! 创建vlan 20switch(config-vlan)# name test20 ! 将Vlan 20 命名为test20验证测试：switch#show vlan !查看已配置的VLAN 信息VLAN Name Status Ports-------------------------------------------------------------------1 default static Fa0/1 ,Fa0/2 ,Fa0/3Fa0/4 ,Fa0/5 ,Fa0/6Fa0/7 ,Fa0/8 ,Fa0/9Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/24!默认情况下所有接口都属于VLAN110 test10 static !创建的VLAN10，没有端口属于VLAN1020 test20 static !创建的VLAN20，没有端口属于VLAN20步骤2. 将接口分配到VLAN。

计算机网络实验报告2012013324 软件工程121班张桐第一部分：实验六、交换机端口隔离【实验名称】交换机端口隔离.【实验目的】理解Port Vlan的配置，了解VLAN的原理，熟练掌握交换机端口隔离划分虚拟局【背景描述】假设此交换机是宽带小区城域网中的一台楼道交换机,住户PC1连接在交换机的fa0/5口;住户PC2连接在交换机的fa0/15口，住户pc3连接在fa0/1口.现要实现各家各户的端口隔离.【实现功能】通过PORT VLAN实现本交换机端口隔离. （通过虚拟局域网技术可以隔离网络风暴，提高网络的性能，降低无用的网络开销。

并能提高网络的安全性,保密性。

）【实验步骤】（1）互ping：Pc1:Pc2:（2）末划VLAN前两台PC互相PING通：（3）将接口分配到VLAN；台互相ping不同通第二部分：实验七、跨交换机实现VLAN【实验名称】跨交换机实现VLAN.【实验目的】理解VLAN如何跨交换机实现.【背景描述】假设某企业有2个主要部门:销售部和技术部,其中销售部门的个人计算机系统分散连接在2台交换机上,他们之间需要相互连接通信,但为了数据安全起见,销售部和技术部须要进行相互隔离,现要在交换机上做适当配置来事项这一目标.【实现功能】Port VLAN 来实现交换机的端口隔离，然后使在同一个VLAN里的计算机系统能跨交换机进行相互通信，而在不同VLAN里的计算机不能进行相互通信。

【实验步骤】（1）在交换机上创建VLAN10并将0/10端口划分给它（2）在交换机上创建VLAN20并将0/15端口划分给它（3）在交换机yxc上将与B交换机相连端口：（7）设置三层交换机VLAN互通讯：【实验总结】通过本次实习，我对虚拟局域网有了一定的了解。

学会了Port Vlan 的相关配置以及跨交换机实现Vlan，了解到使在同一Vlan里的计算机系统能跨交换机进行互相通信，而在不同Vlan里的计算机系统不能进行相互通信。

实验一 虚拟局域网VLAN----交换机端口隔离实验名称：虚拟局域网VLAN ----交换机端口隔离试验目的：理解Port Vlan 的原理以及配置。

功能描述：在一台交换机上，通过划分Vlan ，实现属于不同Vlan 的端口不能互相访问，即端口隔离。

背景描述：在某小区组建了宽带小区城域网，其中有1台楼道交换机，住户P C 1连接在交换机的0/2口；住户P C 2连接在交换机的0/12口。

现要两家用户要求安全隔离，不能相互访问。

技术原理：VLAN 是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。

VLAN 的最大特性是不受物理位置的限制，可以进行灵活的划分。

VLAN 具有一个物理网所具备的特性。

相同VLAN 内的主机可以互相直接访问，不同VLAN 间的主机之间互相访问必须经过路由器设备进行转发。

广播数据包治可以在本VLAN 内进行传播，不能传输到其他的VLAN 中去。

实验设备： S2126G 一台，PC 机2台。

实验拓扑：如下图，交换机F0/5端口和PC1相连，F0/15端口和PC2相连。

实验步骤：步骤1. 连接双绞线。

pc1和pc2分别连接到配线架的同一交换机的相应接口上。

pc1和pc2的网卡二（测试网卡）配同一网段的ip 地址，如：pc1:172.16.10.1 pc2:172.16.10.2 写下网线连接情况和IP 地址分配情况。

Pc1:172.16.10.32步骤2. 验证连通性。

pc1和pc2互ping (应该通，因为两台机器在同一缺省vlan1中)。

写下ping 命令的结果。

F0/2 F0/12 PC1 PC2步骤3. 在同一交换机(s2126)上配置vlan10和vlan 20。

写下配置命令。

进入特权模式命令：enable 14进入全局配置模式命令：configure terminal划分VLAN命令：s2126-1(config)#vlan 10s2126-(config-valn)name office1s2126-1(config-valn)#exits2126-1(config)#vlan 20s2126-1(config-valn)#name office2s2126-1(config-valn)#ends2126-1#show vlan步骤4. 把2端口（pc1）和12端口（pc2）分别划入到vlan10和valn 20中。

端⼝绑定和端⼝隔离交换机端⼝安全之——端⼝地址绑定和端⼝隔离【实验⽬的】1、掌握交换机静态端⼝绑定、动态端⼝绑定的原理和配置⽅法，并灵活运⽤。

2、了解交换机端⼝隔离在⽹络安全中所起作⽤，掌握其配置⽅法。

3、掌握端⼝隔离和VLAN划分的区别。

【实验环境】H3C⼆层交换机S3100-16TP-EI、S3100-16C-SI，PC机3台，标准⽹线若⼲。

【引⼊案例1】办公室主任的电脑配置在⼀个特定的地址段中，公司对该地址段开放了特殊的上⽹权限。

有⼀天，主任的电脑上弹出了“IP地址冲突”的对话框。

有员⼯盗⽤了他的IP上⽹浏览。

【案例分析】当⽹络的布置很随意，并且没有任何安全设置的时候，⽤户只要插上⽹线，在任何地⽅都能够上⽹，这虽然使正常情况下的⼤多数⽤户很⽅便很满意，却很容易出现案例1中⽤户盗⽤IP的现象。

解决上述问题的⼀个较好的办法是将⽤户主机和接⼊交换机的端⼝进⾏绑定，也就是说，特定主机只有在某个特定端⼝下发出数据帧时，才能被交换机接收并转发，如果这台主机移动到其他位置，则⽆法实现正常访问⽹络。

通过绑定技术，建⽴起“⽤户主机－交换机端⼝”的对应关系，在安全管理上起着⾄关重要的作⽤。

【基本原理】⽹卡的MAC地址的唯⼀性确定了MAC地址在⽹络中代表着计算机⾝份证的作⽤。

为了安全和⽅便管理，⽹络管理员将对⽤户计算机的MAC地址进⾏登记，并将MAC地址与接⼊交换机的端⼝进⾏绑定。

MAC地址与交换机端⼝绑定后，该MAC地址的数据流只能从绑定端⼝进⼊，不能从其他端⼝进⼊，也就是说，特定主机只有在某个特定端⼝下发出数据帧时，才能被交换机接收并转发，如果这台主机移动到其他位置，则⽆法实现正常上⽹。

MAC地址和交换机端⼝绑定后，该交换机端⼝仍然可以允许其他MAC 地址的数据流通过。

实际上，⼀些⼯具软件和病毒很容易伪造计算机的MACPC1MAC:0021-85CE-47E5IP:10.0.0.3 PC2PC3MAC:0021-85CE-4450IP:10.0.0.1 IP:10.0.0.2 MAC:0021-85CE-4452E1/0/1E1/0/2E1/0/3【命令介绍】1、将⽤户的MAC 地址和IP 地址绑定到指定端⼝上。