綜合練習壹、閱^闡明，回答冏題1、冏題2、冏題3,將解答填入答題?：氏的封應欄內,

［闡明］某軍位要與其下所屬四他縣局里位實琪連網(wǎng)，詳細設計如下：

1、設計規(guī)定

（1、）縣局B終端顧客包括：20他I壹般顧客，縣局C終端用包括：40他|壹般顧客，縣局D

終端顧客包括：20彳固壹般顧客，縣局E終端顧客包括：18佰I壹般顧客，市局A終端顧客包

括90倜壹般用。

（2、）每他縣局均有4彳固特殊顧客，市局有10（0特殊顧客。

（3、）服務器提供Web、DNS、E-mail服務。（所有服務器都其中在市局網(wǎng)絡中心）

（4,）支持遽程培訓，可以接入互朕網(wǎng)，具有廣域網(wǎng)訪冏的安全機制和網(wǎng)絡管理功能。

（5、）各縣局與市局之間的距離都不小于100公裹。

（6、）每他縣局與市局都分布壹種網(wǎng)段（縣局B：,縣局C：10.244.91。縣局D：

10.244.92?？h局E：市局A：）

（7、）縣局與市局通謾光纖連接。

闡明：所謂壹般顧客就是只能用于生產（只能縣與縣，縣與市局連網(wǎng)，不能連internet）,

不能上internet網(wǎng)，而特殊顧客既可以生產也可上internet網(wǎng)。

2、可選設備：

設備名稱數(shù)量特性

互換機switch!6臺具有兩他1lOOBase—TX端口和24他1lOBase—TX端口

互換機switch22臺具有兩倜lOOBase—TX端口和48佰1lOBase-TX端口

路由器Routeri1臺提供了封內的10/100M局域多接口，封外的128K的ISDN

或專線連接，同步具有防火墻功能。

路由器Rou（er24臺提供了封內的10/100M局域網(wǎng)接口，同/異步串口模塊或ISDN

模塊

冏題1、該里位設計網(wǎng)絡方案（畫出其網(wǎng)絡拓撲構造圖）

冏題2、怎么實琨壹般顧客只能用作生產用，而特殊顧客既可以生產用，也可以上網(wǎng)？

冏題3、假如該單位用于生產的數(shù)據(jù)很重要，其安全性規(guī)定很高，而封外的internet與其連

在壹起封其安全導致很大威脅，在容^增艮可選設備的條件下，你怎樣處理？卷何那樣處

理？

2、我憑所選用的卷A（市局）所選用的路由器卷Router"提供了封內的10/100M局域多接

口，封外的128K的ISDN或專線連接，同步具有防火墻功能）。我運用該路由器所具有的

防火墻功能將內網(wǎng)和外網(wǎng)福離^來，將需要上網(wǎng)的ip地址用訪冏列表加以控制。

3、可以運用網(wǎng)絡技術“非竄事區(qū)構造模式"（DMZ）。在重要的數(shù)據(jù)服務器之前再增房會道

防火墻。在道他I防火墻方案中，包括兩他防火墻，外部防火墻抵擋外部網(wǎng)絡的襲擊，并管理

所有內部網(wǎng)絡封DMZ的訪冏。內部防火墻管理DMZ封于內部網(wǎng)絡的訪冏。內部防火墻是

內部網(wǎng)絡的第三道安全防線（前面有了外部防火墻和堡壘主機），富外部防火墻失效的I侍候，

它遢可以起到保護內部網(wǎng)絡的功能。而局域網(wǎng)內部，射于Iniemet的訪冏由內部防火墻和位

于DMZ的堡壘主機控制。在造樣的構造裹，壹種黑客必須通遇三彳固獨立的區(qū)域（外部防火

墻、內部防火墻和堡壘主機）才可以抵達局域網(wǎng)。襲擊難度大大加強，封應內部網(wǎng)絡的安全

性也就大大加強，但投資成木也是最高的。

綜合練習二、

閱^如下闡明，回答冏題1、冏題2。

［闡明：〕VPN是通謾公用網(wǎng)絡internet將分布在不壹樣地黠的終端聯(lián)接在成的專用網(wǎng)

絡。目前大多采用IPSec實現(xiàn)IP網(wǎng)絡上端黠間的認證和加密服務。（尻下圖壹）

VPN的基本配置

企業(yè)^部網(wǎng)絡子網(wǎng)卷/24

路由器卷

企業(yè)分部服務器卷/24

路由器卷

執(zhí)行下列環(huán)節(jié)：

1.確定壹種預先共享的密鑰（保密密碼）（保密密碼假設卷ccidedu）

2.扁SA協(xié)商遍程配置IKE。

3.配置IPSec

Shelby（config）#cryptoisakmppolicyI//policy1表達方略1,假如想多配幾種VPN,可以

寫成policy2policy3一

Shclby（config-isakmp）#group1〃使用group1畏度的密鐵，group命令有兩彳固參數(shù)值：1和2。

參數(shù)1表達密鑰使用768位密鑰，參數(shù)值2表達密鑰使用1024位密鑰。

Shelby（config-isakm）#aiMhenticationpre-sharq—（1）

Shelby（config-isakm）#ifetime3600〃封生成新SA的周期迤行調整。道||同值以秒卷軍位，

默認值懸86400,也就是壹天。值得注意的是兩端的路由器都要設置相似的SA周期，否則

VPN在正常初始化之彳爰，將曾在較短的壹種SA周期抵達中斷。

Shelby(config)#cryptoisakmpkeyccideduaddress〃返回到全局設置模式確定要

使用的預先共享密鑰和指歸VPN另壹端路由器1P地址.即目的路由器IP地址。封應地在

另壹端路由器配置也和以上命令類似，只不謾把IP地址改成100.10.15.K

配置IPSec

Shelby(config)#access-list13()permitip5555_J2)_

Shelby(config)#crYTtoipsect「ansfomr-setvpn1ah-md5-hmacesp-desesp-md5-hmac—(3i—

Shelby(config)#cryptomapshortsec60ipsec-isakmp/阿定義生成新保密密鑰的周期，假如襲

擊者破解了保密密鑰，他就可以解使用同壹種密鑰的所有通信。基于追他原因，我儼］要設置

壹種較短的密鑰更新周期。例如，每分鐘生成壹種新密鑰。道他命令在VPN兩端的路由器

上必須匹配。參數(shù)shortsec是我儼格合適他1配置定義的名稱，稍彳灸可以將它與路由器的外部接

口建立關聯(lián)。

Shelby(config-cryT【o-maD)#seiDeer20().20.25.1_(4)_

She山、'(confiR-crvDto-maD用settransfo門n-setvpnl—(5)一

Shelby(config-crypto-map)#matchaddress13()〃訪冏列表

Shelby(config)#interfacesO

Shclby(config-if)#cryptomapshortscc〃將剛剛定義的密碼圖應用到路由器的外部接II&

冏題1、^簡述IPS”協(xié)議

冏題2、解釋_(n)_處襟有下劃線的部分含義。

【參照答案】

I、IPSec提供了兩種安全機制：認證和加密。認證機制使IP通信的數(shù)據(jù)接受方可以碓認數(shù)

據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳播遇程中與否遭篡改。加密機制通遇封數(shù)據(jù)暹行編再來保

證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳播遇程中被竊聽。IPSec協(xié)議組包括AuthenticationHeader

(AH)協(xié)議、EncapsulatingSecurityPayload(ESP)協(xié)議和InternetKeyExchange(IKE)

協(xié)議。其中AH協(xié)議定義了認證的應用措施，提供數(shù)據(jù)源認證和完整性保證；ESP協(xié)議定義

了加密和可選認證的應用措施，提供可靠性保證。在實際選行IP通信畤，可以根據(jù)實際安

全需求同步使用追兩種協(xié)議或選擇使用其中的壹種。AH和ESP都可以提供認證服務，不遇，

AH提供的認證服務要強于ESP。IKE用于密鑰互換。

2、

(1)采用預共享密鑰認證措施

(2)建立訪冏控制列表

(3)配置名卷vpnl的互換集，指定ah-md5-hmacesp-dcsesp-md5-hniac三種變換

(4)指定容靜的ipsec封等體的ip地址卷

(5)此加密圖使用互換集vpnl

綜合練習：

言青先看下面的論述，然彳發(fā)回答冏題1,冏題2,冏題3。

VLAN(VirtualLocalAreaNetwork)的中文名卷“虛擬局域網(wǎng)“。VLAN是壹種將局域

網(wǎng)設備徙邏輯上劃分（不是優(yōu)物理上劃分）成壹種他網(wǎng)段，優(yōu)而實現(xiàn)虛擬工作組的新興數(shù)

據(jù)互換技術。追壹新興技術重要應用于互換機和路由器中，但主流應用遐是在互換機之中。

但又不是所有互換機都具有此功能，只有VLAN協(xié)議的第三層以上互換機才具有此功能。

VLAN技術的出現(xiàn)，使得管理員根據(jù)實際應用需求，把同壹物理局域網(wǎng)內的不壹樣顧客邏輯

的劃提成不壹樣的廣播域，每壹種VLAN都包括壹組有著相似需求的計算機工作站，與物

理上形成的LAN有著相似的屬性。由于它是優(yōu)邏輯上劃分，而不是優(yōu)物理上劃分，因此同

壹種VLAN內的各（0工作站沒有限制在同壹物理范圍內，即造些工作站可以在不壹樣物理

LAN網(wǎng)段。

某企業(yè)有100臺計算機左右，重要使用網(wǎng)絡的部門有：生產部（20）,財務部（15）,

人事部（8）和信息中心口2）四大部分，如圖所示。（圖中此外兩臺互換機未畫）

生產部

Internet

服務器信息中心

網(wǎng)絡的基本構造卷：整倜網(wǎng)絡中干部分采用3臺網(wǎng)管型互換機(分別命名懸：

Switch1,Switch?和Switch3,各互換機根據(jù)需要下接若干他集線器，重要用于非VLAN顧客,

如行政文害，臨畤顧客等)，壹臺Cisco路由器，整倜網(wǎng)絡都通遇路由器與外部互連網(wǎng)迤行

連接。

1user(s)nowactiveonManagementConsole.

UserInterfaceMenu

[M]Menus

[K]CommandLine

[I]IPConfiguration

EnterSelection

CLIsessionwiththeswitchisopen.

ToendtheCLIsession,enter[Exit].

#configt

Enterconfigurationcommends,oneperline.EndwithCNTUZ

(config)#

下面Switchl的配置代碼如下：

(config)#hostnanieSwitchI

Switch1(config)#enablepasswordlevel15

Switch!(config)#

Switch1(config)#vlan2nameProd

Switch2(config)#vlan3nameEcom

Switch3(config)#vlan4nameEmpl

Switch4(config)#vlan5nameInfo

VLAN端口號應用配置如下：

(1)名卷“Switchl”的互換機的VLAN端口號配置如下：

Switchl(config)#inte(l/2

Switch1(config-if)#vlan-membershipstatic2

Switch1(config-if)#intcO/3

Switch1(config-if)#vlan-meinbershipstatic2

Switchl(config-if)#inteO/4

SwitchI(config-if)#vlan-meinbershipstatic2

Switchl(config-if)#inte0/20

SwitchI(config-if)#vlan-membershipstatic2

Switchl(config-if)#inteO/21

Switch1(config-if)#vlan-mcmbershipstatic2

Switch1(config-if)#

(2)名^"Switch2”的互換機的VLAN端口號配置如下：

Switch2(config)#inteO/2

Switch2(config-if)#vlan-membershipstatic3

Switch2(config-if)#inteO/3

Switch2(config-if)#vlan-membershipstatic3

Switch2(config-if)#intcO/4

Switch2(config-if)#vlan-membershipstatic3

Switch2(config-if)#inteO/15

Switch2(config-i0#vlan-membershipstatic3

Switch2(config-if)#inteO/16

Switch2(config-if)#vlan-membershipstatic3

Switch2(config-if)#

(3)名卷"Switch3”的互換機的VLAN端口號配置如下(它包括兩儡IVLAN組的配置.),

Switch3(config)#inteO/2

Switch3(config-if)#vlan-mcmbcrshipstatic4

Switch3(config-if)#inteO/3

Switch3(config-if)#vlan-membershipstatic4

Switch3(config-if)#inteO/4

Switch3(config-if)#vlan-membershipstatic4

Switch3(config-if)#inteO/8

Switch3(config-if)#vlan-membershipstatic4

Switch3(config-if)#inteO/9

Switch3(config-if)#vlan-membershipstatic4

Switch3(config-if)#

下面是VLAN5(Info)的配置代碼：

Switch4(config)#inteO/10

Switch2(config-if)#vlan-mcmbcrshipstatic5

Switch4(config-if)#inteO/11

Switch4(config-if)#vlan-incmbcrshipstatic5

Switch4(config-if)#inteO/12

Switch4(config-if)#vlan-niembershipstatic5

Switch4(config-if)#inte0/20

Switch4(config-if)#vlan-membershipstatic5

Switch4(config-if)#inteO/21

Switch4(config-if)#vlan-membershipstatic5

Switch4(config-if)#

1：VLAN在互映機上的實現(xiàn)措施，可以大體劃分卷_(1)_、_(3)_、_(4)_、

_(5)_和按顧客定義、非顧客授權劃分VLAN.

冏題2：^把下面表填寫完整，并指出Swiichl,Swiich2是哪種分派方式？

VLAN號VLAN名端口號

ProdSwitch12-21

3Ecom

4Switch32-9

5InfoSwitch310-21

綜合練習：

^先看下面的論述，然彳灸回答冏題1，冏題2,冏題3。

VLAN（VirtualLocalAreaNetwork）的中文名卷“虛擬局域網(wǎng)VLAN是壹種將局域

網(wǎng)設備優(yōu)邏輯上劃分（不是優(yōu)物理上劃分）成壹種他1網(wǎng)段，優(yōu)而實現(xiàn)虛擬工作組的新興數(shù)

據(jù)互換技術。追壹新興技術重要應用于互換機和路由器中，但主流應用遢是在互換機之中。

但乂不是所有互換機都具有此功能，只有VLAN協(xié)議的第三層以上互換機才具有此功能。

VLAN技術的出球使得管理員根據(jù)實際應用需求，把同壹物理局域網(wǎng)內的不壹樣顧客邏輯

的劃提成不壹樣的廣播域，每壹種VLAN都包括壹組有著相似需求的計算機工作站，與物

理上形成的LAN有著相似的屬性。由于它是優(yōu)邏輯上劃分，而不是優(yōu)物理上劃分，因此同

壹種VLAN內的各他工作站沒有限制在同壹物理范圍內，即造些工作站可以在不壹樣物理

LAN網(wǎng)段。

某企業(yè)有100臺計算機左右，重要使用網(wǎng)絡的部門有：生產部（20）,財務部（15）,

人事部（8）和信息中心U2）四大部分，如圖所示。（圖中此外兩臺互換機未畫）

服務器信息中心

網(wǎng)絡的基本構造卷：整偃I網(wǎng)絡中干部分采用3臺網(wǎng)管型互換機(分別命名卷：

Switch1,Switch2和Switch3,各互換機根據(jù)需要下接若T(0集線器，重要用于非VLAN顧客,

如行政文香，臨I得顧客等)，壹臺Cisco路由器，整彳固網(wǎng)絡都通遇路由器與外部互連網(wǎng)迤行

連接。

1user(s)nowactiveonManagementConsole.

UserInterfaceMenu

[M]Menus

|K]CommandLine

[I]IPConfiguration

EnterSelection

CLIsessionwiththeswitchisopen.

ToendtheCLIsession,enter[Exit].

#configt

Enterconfigurationcommends,oneperline.EndwithCNTL/Z

(config)#

下面Swilchl的配置代碼如下：

(config)#hostnameSwitch1

Switch1(config)#enablepasswordlevel15

Switch1(config)#

Switch1(config)#vlan2nameProd

Switch2(config)#vlan3nameEcom

Switch3(config)#vlan4nameEmpl

Switch4(config)#vlan5nameInfo

VLAN端口號應用配置如下：

(3)名將Swilchl”的互換機的VLAN端口號配置如下：

Switchl(config)#inteO/2

Switch1(config-if)#vlan-membershipstatic2

Switchl(config-if)#inteO/3

Switch1(config-if)#vlan-nicmbcrshipstatic2

Switchl(config-if)#inteO/4

Switch1(config-if)#vlan-nicmbcrshipstatic2

Switchl(config-if)#inteO/2O

Switch1(config-if)#vlan-membershipstatic2

Switchl(config-if)#inteO/21

SwitchI(config-if)#vlan-membershipstatic2

Switchl(config-if)#

(4)名^"Swilch2”的互換機的VLAN端口號配置如下：

Switch2(config)#intcO/2

Switch2(config-if)#vlan-meinbershipstatic3

Switch2(config-if)#inteO/3

Switch2(config-if)#vlan-meinbershipstatic3

Switch2(config-if)#inteO/4

Switch2(config-if)#vlan-membershipstatic3

Switch2(config-if)#inteO/15

Switch2(config-if)#vlan-mcmbershipstatic3

Switch2(config-if)#inlcO/16

Switch2(config-if)#vlan-mcmbershipstatic3

Switch2(config-if)#

(3)名卷“Switch3”的互換機的VLAN端口號配置如下(它包括兩他VLAN組的配置),

Switch3(config)#inteO/2

Switch3(config-if)#vlan-membershipstatic4

Switch3(config-if)#intcO/3

Switch3(config-if)#vlan-membershipstatic4

Switch3(config-if)#inteO/4

Switch3(config-i0#vlan-membershipstatic4

Switch3(config-if)#inteO/8

Switch3(config-if)#vlan-membershipstatic4

Switch3(config-if)#inteO/9

Switch3(config-if)#vlan-membershipstatic4

Switch3(config-if)#

下面是VLAN5(Info)的配置代碼：

Switch4(config)#inteO/10

Switch2(config-if)#vlan-membershipstatic5

Switch4(config-if)#inte0/lI

Switch4(config-if)#vlan-membershipstatic5

Switch4(config-if)#inteO/12

Switch4(config-if)#vlan-membershipstatic5

Switch4(config-if)#inte0/20

Swi(ch4(config-if)#vlan-membershipstatic5

Switch4(config-if)#inteO/21

Switch4(config-if)#vlan-membershipstatic5

Switch4(config-if)#

1：VLAN在互換機上的實現(xiàn)措施，可以大體劃分卷_(1)_、_(2)_、_(3)_、_(4)_、

_(5)_和按顧客定義、非顧客授權劃分VLAN.

言青把下面表填寫完整，并指出Switchl,Swich2是哪種分派方式？

VLAN號VLAN名端口號

ProdSwitch12-21

3Ecom

4Switch32-9

5InfoSwitch310-21

【背景資料：】

vlan的簡介：英文VirtualLocalAreaNetwork的縮寫，中文名卷"虛擬局域網(wǎng)

VLAN是壹種將局域網(wǎng)(LAN)設備優(yōu)邏輯上劃分(注意，不是優(yōu)物理上劃分)成壹

種倜網(wǎng)段(或者^是更小的局域網(wǎng)LAN),優(yōu)而實現(xiàn)虛擬工作組(甲.元)的數(shù)據(jù)互換技術。

VLAN的好處重要有三他：

(1)端口的分隔。即便在同壹種互換機上，處在不壹樣VLAN的端口也是不能通信的。

造樣壹種物理的互換機可以常作多種邏輯的互換機使用。

(2)網(wǎng)絡的安全。不壹樣VLAN不能直接通信，杜絕了廣播信息的不安全性。

(3)靈活的管理。更改顧客所屬的網(wǎng)絡不必換端口和連線，只更改軟件配置就可以了。

VLAN在互換機上的實現(xiàn)措施，可以大體劃分卷六類：

1.基于端口的VLAN

適是最常應用的壹種VLAN劃分措施，應用也最懸廣泛、最有效，目前絕大多數(shù)VLAN

協(xié)議的互換機都提供適種VLAN配置措施。道種劃分VLAN的措施是根據(jù)以太網(wǎng)互換機的

互換端口來劃分的，它是將VLAN互換機上的物理端口和VLAN互換機內部的PVC(永久

虛甯路)端口提成若干彳固組，每他組構成壹種虛擬網(wǎng)，用稱于壹種獨立的VLAN互換機。

2.基于MAC地址的VLAN

適種劃分VLAN的措施是根據(jù)每f0主機的MAC地址來劃分，即封每值1MAC地址的主

機都配置他屬于哪(周組，它實垣的機制就是每壹塊網(wǎng)卡都封應唯壹的MAC地址，VLAN互

換機跟蹤屬于VLANMAC的地址。造種方式的VLAN容言午網(wǎng)絡顧客優(yōu)壹種物理位置移勤

到另壹種物理位置畤，自助保留其所屬VLAN的組員身份。

3.基于網(wǎng)絡層協(xié)議的VLAN

VLAN按網(wǎng)絡層協(xié)議來劃分,可分卷IP、IPX、DECnet、AppleTalk.Banyan等VLAN

網(wǎng)絡。道種按網(wǎng)絡層協(xié)議來構成的VLAN,可使廣播域跨越多種VLAN互換機。造封于但

愿針封詳細應用和服務來組織顧客的網(wǎng)絡管理員來^是非常具有吸引力的。并且，顧客可以

在網(wǎng)絡內部自由移勤，但其VLAN組員身份仍然保留不變。

4.根據(jù)IP組播的VLAN

IP組播實際上也是壹種VLAN的定義，即認卷壹種IP組播組就是壹種VLAN。造種劃

分的措施將VLAN擴大到了廣域網(wǎng)，因此適種措施具有更大的靈活性，并且也很輕易通謾

路由器暹行擴展，重要適合于不在同壹地理范圍的局域網(wǎng)顧客構成壹種VLAN,不適合局域

網(wǎng)，重要是效率不高。

5.按方略劃分的VLAN

基于方略構成的VLAN能實現(xiàn)多種分派措施，包括VLAN互換機端口、MAC地址、IP

地址、網(wǎng)絡層協(xié)議等。網(wǎng)絡管理人員可根據(jù)自己的管理模式和本軍位的需求來決定選擇哪種

類型的VLAN,

6.按顧客定義、非顧客授權劃分的VLAN

基于顧客定義、非顧客授權來劃分VLAN,是指懸了適應尤其的VLAN網(wǎng)絡，根據(jù)詳

細的網(wǎng)絡顧客的尤其規(guī)定來定義和設計VLAN,并且可以讓非VLAN群體顧客訪冏VLAN,

不謾需要提供顧客密碼，在得到VLAN管理的認證彳友才可以加入壹種VLAN。

【參照答案】

1：VLAN在互換機上的實現(xiàn)措施，可以大體劃分卷基于端口的VLAN

、基于MAC地址的VLAN、基于網(wǎng)絡層協(xié)議的VLAN、根據(jù)IP組播的VLAN、按方

略劃分的VLAN和按顧客定義、非顧客授權劃分VLAN.

冏題2：言青把下面表填寫完整，并指出Switchl.Swiich2是哪種分派方式？

VLAN號VLAN名端口號

2ProdSwitch12-21

3EcomSwitch23-415-16

4EmplSwitch32-9

5InfoSwitch310-21

Switch1、Swtich2使用靜態(tài)的基于端口劃分vlan的分派方式

綜合練習：

as先看下面的論述，然彳友回答冏題1,冏題2,冏題3。

VLAN（VirtualLocalAreaNetwork）的中文名卷“虛擬局域網(wǎng)”。VLAN是壹種將局域

網(wǎng)設備優(yōu)邏輯上劃分（不是優(yōu)物理上劃分）成壹種/固網(wǎng)段，優(yōu)而實垣虛擬工作組的新興數(shù)

據(jù)互換技術。it壹新興技術重要應用于互換機和路由器中，但主流應用遢是在互換機之中。

但又不是所有互換機都具有此功能，只有VLAN協(xié)議的第三層以上互換機才具有此功能。

VLAN技術的出現(xiàn)，使得管理員根據(jù)實際應用需求，把同壹物理局域網(wǎng)內的不壹樣顧客邏輯

的劃提成不壹樣的廣播域，每壹種VLAN都包括壹組有著相似需求的計算機工作站，與物

理上形成的LAN有著相似的屬性。由于它是優(yōu)邏輯上劃分，而不是優(yōu)物理上劃分，因此同

壹種VLAN內的各倜工作站沒有限制在同壹物理范圍內，即造些工作站可以在不壹樣物理

LAN網(wǎng)段。

某企業(yè)有100臺計算機左右，重要使用網(wǎng)絡的部門有：生產部（20）,財務部（15）,

人事部（8）和信息中心112）四大部分，如圖所示。（圖中此外兩臺互換機未畫）

服務器信息中心

網(wǎng)絡的基本構造卷：整偃I網(wǎng)絡中干部分采用3臺網(wǎng)管型互換機(分別命名卷：

Switch1,Switch2和Switch3,各互換機根據(jù)需要下接若T(0集線器，重要用于非VLAN顧客,

如行政文香，臨I得顧客等)，壹臺Cisco路由器，整彳固網(wǎng)絡都通遇路由器與外部互連網(wǎng)謹行

連接。

1user(s)nowactiveonManagementConsole.

UserInterfaceMenu

[M]Menus

|K]CommandLine

[I]IPConfiguration

EnterSelection

CLIsessionwiththeswitchisopen.

ToendtheCLIsession,enter[Exit].

#configt

Enterconfigurationcommends,oneperline.EndwithCNTL/Z

(config)#

下面Swilchl的配置代碼如下：

(config)#hostnameSwitch1

Switch1(config)#enablepasswordlevel15

Switch1(config)#

Switch1(config)#vlan2nameProd

Switch2(config)#vlan3nameEcom

Switch3(config)#vlan4nameEmpl

Switch4(config)#vlan5nameInfo

VLAN端口號應用配置如下：

(5)名將Swilchl”的互換機的VLAN端口號配置如下：

Switchl(config)#inteO/2

Switch1(config-if)#vlan-membershipstatic2

Switchl(config-if)#inteO/3

Switch1(config-if)#vlan-nicmbcrshipstatic2

Switchl(config-if)#inteO/4

Switch1(config-if)#vlan-nicmbcrshipstatic2

Switchl(config-if)#inteO/2O

Switch1(config-if)#vlan-membershipstatic2

Switchl(config-if)#inteO/21

SwitchI(config-if)#vlan-membershipstatic2

Switchl(config-if)#

(6)名^"Swilch2”的互換機的VLAN端口號配置如下：

Switch2(config)#intcO/2

Switch2(config-if)#vlan-meinbershipstatic3

Switch2(config-if)#inteO/3

Switch2(config-if)#vlan-meinbershipstatic3

Switch2(config-if)#inteO/4

Switch2(config-if)#vlan-membershipstatic3

Switch2(config-if)#inteO/15

Switch2(config-if)#vlan-mcmbershipstatic3

Switch2(config-if)#inlcO/16

Switch2(config-if)#vlan-mcmbershipstatic3

Switch2(config-if)#

(3)名卷“Switch3”的互換機的VLAN端口號配置如下(它包括兩他VLAN組的配置),

Switch3(config)#inteO/2

Switch3(config-if)#vlan-membershipstatic4

Switch3(config-if)#intcO/3

Switch3(config-if)#vlan-membershipstatic4

Switch3(config-if)#inteO/4

Switch3(config-i0#vlan-membershipstatic4

Switch3(config-if)#inteO/8

Switch3(config-if)#vlan-membershipstatic4

Switch3(config-if)#inteO/9

Switch3(config-if)#vlan-membershipstatic4

Switch3(config-if)#

下面是VLAN5(Info)的配置代碼：

Switch4(config)#inteO/10

Switch2(config-if)#vlan-membershipstatic5

Switch4(config-if)#inte0/lI

Switch4(config-if)#vlan-membershipstatic5

Switch4(config-if)#inteO/12

Switch4(config-if)#vlan-membershipstatic5

Switch4(config-if)#inte0/20

Switch4(config-if)#vlan-membershipstatic5

Switch4(config-if)#inteO/21

Switch4(config-if)#vlan-membershipstatic5

Switch4(config-if)#

1：VLAN在互換機上的實現(xiàn)措施，可以大體劃分卷_(1)_、_(2)_、_(3)_、_(4)_、

_(5)_和按顧客定義、非顧客授權劃分VLAN.

言青把下面表填寫完整，并指出Switchl,Swich2是哪種分派方式？

VLAN號VLAN名端口號

ProdSwitch12-21

3Ecom

4Switch32-9

5InfoSwitch310-21

【背景資料：】

vlan的簡介：英文VirtualLocalAreaNetwork的縮寫，中文名卷"虛擬局域網(wǎng)

VLAN是壹種將局域網(wǎng)(LAN)設備優(yōu)邏輯上劃分(注意，不是優(yōu)物理上劃分)成壹

種倜網(wǎng)段(或者^是更小的局域網(wǎng)LAN),優(yōu)而實現(xiàn)虛擬工作組(甲.元)的數(shù)據(jù)互換技術。

VLAN的好處重要有三他：

(1)端口的分隔。即便在同壹種互換機上，處在不壹樣VLAN的端口也是不能通信的。

造樣壹種物理的互換機可以常作多種邏輯的互換機使用。

(2)網(wǎng)絡的安全。不壹樣VLAN不能直接通信，杜絕了廣播信息的不安全性。

(3)靈活的管理。更改顧客所屬的網(wǎng)絡不必換端口和連線，只更改軟件配置就可以了。

VLAN在互換機上的實現(xiàn)措施，可以大體劃分卷六類：

1.基于端口的VLAN

適是最常應用的壹種VLAN劃分措施，應用也最懸廣泛、最有效，目前絕大多數(shù)VLAN

協(xié)議的互換機都提供適種VLAN配置措施。道種劃分VLAN的措施是根據(jù)以太網(wǎng)互換機的

互換端口來劃分的，它是將VLAN互換機上的物理端口和VLAN互換機內部的PVC(永久

虛甯路)端口提成若干彳固組，每他組構成壹種虛擬網(wǎng)，用稱于壹種獨立的VLAN互換機。

2.基于MAC地址的VLAN

適種劃分VLAN的措施是根據(jù)每f0主機的MAC地址來劃分，即封每值1MAC地址的主

機都配置他屬于哪(周組，它實垣的機制就是每壹塊網(wǎng)卡都封應唯壹的MAC地址，VLAN互

換機跟蹤屬于VLANMAC的地址。造種方式的VLAN容言午網(wǎng)絡顧客優(yōu)壹種物理位置移勤

到另壹種物理位置畤，自助保留其所屬VLAN的組員身份。

3.基于網(wǎng)絡層協(xié)議的VLAN

VLAN按網(wǎng)絡層協(xié)議來劃分,可分卷IP、IPX、DECnet、AppleTalk.Banyan等VLAN

網(wǎng)絡。道種按網(wǎng)絡層協(xié)議來構成的VLAN,可使廣播域跨越多種VLAN互換機。造封于但

愿針封詳細應用和服務來組織顧客的網(wǎng)絡管理員來^是非常具有吸引力的。并且，顧客可以

在網(wǎng)絡內部自由移勤，但其VLAN組員身份仍然保留不變。

4.根據(jù)IP組播的VLAN

IP組播實際上也是壹種VLAN的定義，即認卷壹種IP組播組就是壹種VLAN。造種劃

分的措施將VLAN擴大到了廣域網(wǎng)，因此適種措施具有更大的靈活性，并且也很輕易通謾

路由器暹行擴展，重要適合于不在同壹地理范圍的局域網(wǎng)顧客構成壹種VLAN,不適合局域

網(wǎng)，重要是效率不高。

5.按方略劃分的VLAN

基于方略構成的VLAN能實現(xiàn)多種分派措施，包括VLAN互換機端口、MAC地址、IP

地址、網(wǎng)絡層協(xié)議等。網(wǎng)絡管理人員可根據(jù)自己的管理模式和本軍位的需求來決定選擇哪種

類型的VLAN,

6.按顧客定義、非顧客授權劃分的VLAN

基于顧客定義、非顧客授權來劃分VLAN,是指懸了適應尤其的VLAN網(wǎng)絡，根據(jù)詳

細的網(wǎng)絡顧客的尤其規(guī)定來定義和設計VLAN,并且可以讓非VLAN群體顧客訪冏VLAN,

不謾需要提供顧客密碼，在得到VLAN管理的認證彳友才可以加入壹種VLAN。

【參照答案】

1：VLAN在互換機上的實現(xiàn)措施，可以大體劃分卷基于端口的VLAN

、基于MAC地址的VLAN、基于網(wǎng)絡層協(xié)議的VLAN、根據(jù)IP組播的VLAN、按方

略劃分的VLAN和按顧客定義、非顧客授權劃分VLAN.

冏題2：言青把下面表填寫完整，并指出Switchl.Swiich2是哪種分派方式？

VLAN號VLAN名端口號

2ProdSwitch12-21

3EcomSwitch23-415-16

4EmplSwitch32-9

5InfoSwitch310-21

Switch1、Swtich2使用靜態(tài)的基于端口劃分vlan的分派方式

綜合練習壹

閱^如下有關老式局域網(wǎng)絡的運行與維護的論述，將應添入_(n)_處的字句寫在答題余氏的

封應欄內。

在封局域網(wǎng)的運行與維護前、苜先要判斷其拓撲構造和信道訪冏方式，然彳爰要判斷其

故障類型，網(wǎng)絡故障的分類措施不盡相似，壹般可以根據(jù)故障的性質分卷_(1)_和_(2)_。

伴隨Iniemel的廣泛應用，卷了保證網(wǎng)絡穩(wěn)定運行，網(wǎng)絡安全性由卷重要，而放火墻是

種綜合性的技術、波及到計算機網(wǎng)絡技術、密碼技術、安全技術、軟件技術、安全協(xié)議、網(wǎng)

絡原則化組織的安全規(guī)范以及安全操作系統(tǒng)等多方面，防火墻技術壹般可以分卷兩類即：

_(3)_(采用報文勤態(tài)分組)和_(4)_(采用代理服務機制)，而彳發(fā)者又包括_(5)_,_(6)_和j7)_。

網(wǎng)絡維護是保障網(wǎng)絡正常運行的重要方面，重要包括故障檢測、網(wǎng)絡平常檢查與網(wǎng)絡

升級，在網(wǎng)絡升級前要做好_(8)_工作，便于升級失敗立即可以恢復謾來。理想的數(shù)據(jù)備份

方略和數(shù)據(jù)恢復方案在設計是應盡量使數(shù)據(jù)備份方略和數(shù)據(jù)恢復系統(tǒng)速離_(9)_,防止在同

壹劫難中同步損壤，導致劫難輾法及畤恢復，最佳是作到一(10)_備份介質。

綜合練習二

下面是某路由器的部分派置信息，解釋一(n)一處襟有下劃線的部分含義，解答添入答題

余氏的封應欄內。

Router#config

Routcr-config>hostnamcwg

Shanghai#

Router#config/

Router-config>secretccidnet〃設置顧客登陸口令ccidnet

Router-config>vtypassword〃設置登陸方式卷口令登陸(默認方式)

interfaceserial0〃選擇配置串行口

ipaddress255.255255.0_(1)_

encapsulationhdlc_(2)_

interfaceserial1〃選擇配置串行口

encapsulationslip封裝slip協(xié)議physical-layerasync物理層封裝異步方式

ipaddress255.255255.0〃指定串行口的IP地址和子網(wǎng)掩碼

portspeed57600_(3)_

interfaceserial0〃選擇配置串行口

encapsulationframe-relay_(4)_

ipaddress255.255255.0〃指定串行II的IP地址和掩碼

frame-relayintf-typcdie〃指定卷數(shù)據(jù)終端設備

frame-relayInii-typcansi〃指定LMI消息類型卷ANSI原則

frame-relaymapip16〃映射封端IP地址和DLCI號

interfaceethernet0_(5)_

ipaddress54〃指定以太網(wǎng)口的IP地址和掩碼

localpoolpooll00_(6)_

localpoolpool210〃定義IP地址池pool2

Router-config>iproute

Routerip

NetworkI92.I68.I.O_(7)_

Network

Version2_(8)_

綜合練習壹

閱^如下有關老式局域網(wǎng)絡的運行與維護的論述，將應添入_(n)_處的字句寫在答題名氏的

封應欄內。

在封局域網(wǎng)的運行與維護前，首先要判斷其拓撲構造和信道訪冏方式，然彳菱要判斷其

故障類型，網(wǎng)絡故障的分類措施不盡相似，壹般可以根據(jù)故障的性質分四_(1)_和_(2)_。

伴隨Internet的廣泛應用，卷了保證網(wǎng)絡穩(wěn)定運行，網(wǎng)絡安全性由卷重要，而放火墻是

種綜合性的技術、波及到計算機網(wǎng)絡技術、密碼技術、安全技術、軟件技術、安全協(xié)議、網(wǎng)

絡原則化組織的安全規(guī)范以及安全操作系統(tǒng)等多方面，防火墻技術壹般可以分卷兩類即：

_(3)_(采用報文勃態(tài)分組)和_(4)_(采用代理服務機制)，而彳灸者又包括一(5)_,_(6)_和_(7)_。

網(wǎng)絡維護是保障網(wǎng)絡正常運行的重要方面，重要包括故障檢測、網(wǎng)絡平常檢查與網(wǎng)絡

升級，在網(wǎng)絡升級前要做好_(8)_工作，便于升級失敗立即可以恢復遇來。理想的數(shù)據(jù)備份

方略和數(shù)據(jù)恢復方案在設計是應盡量使數(shù)據(jù)備份方略和數(shù)據(jù)恢復系統(tǒng)速離_(9)_,防止在同

壹劫難中同步損塌，導致劫難輾法及畤恢復，最佳是作到」10)_備份介質。

【參照答案】

1、物理故障

2、邏輯故障

3、包遇濾防火墻

4、代理服務防火墻

5、代理服務器模塊

6、代理客戶模塊

7、協(xié)議分析模塊

綜合練習二

下面是某路由器的部分派置信息，解釋一(n)_處檄有下劃線的部分含義，解答添入答題

紙的封應欄內。

Routcr#config

Router-config>hostname\vg

Shanghai#

Rouler#config/

Router-config>secretccidnet〃設置顧客登陸口令懸ccidnet

Router-config>vtypassword〃設置登陸方式卷口令登陸(默認方式)

interfaceserial0〃選擇配置串行口

ipaddress_(!)_

encapsulationhdlc_(2)_

interfaceserial1〃選擇配置串行口

encapsulationslip封裝slip協(xié)議physical-layerasync物理層封裝異步方式

ipaddress255.255255.0〃指定串行口的IP地址和子網(wǎng)掩碼

portspeed57600_(3)_

interfaceserial0〃選擇配置串行口

encapsulationframe-relay_(4)_

ipaddress255.255255.0〃指定串行口的IP地址和掩碼

frame-relayintf-typcdte〃指定卷數(shù)據(jù)終端設備

frame-relayImi-typeansi〃指定LMI消息類型卷ANSI原則

frame-relayimpip16〃映射封端IP地址和DLCI號

interfaceethernet0_(5)_

ipaddress54〃指定以太網(wǎng)口的IP地址和掩碼

localpoolpooll00_(6)_

localpoolpooI210〃定義IP地址池poo!2

Router-config>iproute

Routerip

Network_(7)_

Network

Version2_(8)_

【參照答案】

1、指定串行口的IP地址和子網(wǎng)掩碼

2、封裝hdlc協(xié)議

3、設定端口速率

4、封裝幀中繼協(xié)議

5、以太網(wǎng)接口eO

6、定義ip地址池pool)

7、指定與該路由器連接的網(wǎng)絡卷

8、指定rip版本懸2

綜合練習壹

閱^如下有關老式局域網(wǎng)絡的運行與維護的論述，將應添入_(n)_處的字句寫在答題紙的

封應欄內。

在封局域網(wǎng)的運行與維護前，首先要判斷其拓撲構造和信道訪冏方式，然彳發(fā)要判斷其

故障類型，網(wǎng)絡故障的分類措施不盡相似，壹般可以根據(jù)故障的性質分卷_(1)_和_(2)_。

伴隨Internel的廣泛應用，懸了保證網(wǎng)絡穩(wěn)定運行，網(wǎng)絡安全性由懸重要，而放火墻是

種綜合性的技術、波及到計算機網(wǎng)絡技術、密碼技術、安全技術、軟件技術、安全協(xié)議、網(wǎng)

絡原則化組織的安全規(guī)范以及安全操作系統(tǒng)等多方面，防火墻技術壹般可以分卷兩類即：

_(3)_(采用報文勤態(tài)分組)和_(4)_(采用代理服務機制)，而彳炎者又包括_(5)_,_(6)_和_(7)_。

網(wǎng)絡維護是保障網(wǎng)絡正常運行的重要方面，重要包括故障檢測、網(wǎng)絡平常檢查與網(wǎng)絡

升級，在網(wǎng)絡升級前要做好_(8)_工作，便于升級失敗立即可以恢復遇來。理想的數(shù)據(jù)備份

方略和數(shù)據(jù)恢復方案在設計是應盡量使數(shù)據(jù)備份方略和數(shù)據(jù)恢復系統(tǒng)速離_(9)_,防止在同

壹劫難中同步損壤，導致劫難輾法及畤恢復，最佳是作到_(10)一備份介質。

【參照答案】

8、物理故障

9、邏輯故障

10、包謾濾防火墻

11、代理服務防火墻

12、代理服務器模塊

13、代理客戶模塊

14、協(xié)議分析模塊

綜合練習二

下面是某路由器的部分派置信息，解釋一(n)_處襟有下劃線的部分含義，解答添入答題

紙的封皮欄內。

Router#config

Router-config>hostnamewg

Shanghai#

Router#config/

Router-config>secretccidnet〃設置顧客登陸口令ccidnet

Router-config>vtypassword〃設置登陸方式卷口令登陸(默認方式)

interfaceserial0〃選擇配置串行口

ipaddress255.255255.0_(1)_

encapsulationhdlc_(2)_

interfaceserial1〃選擇配置串行口

encapsulationslip封裝slip協(xié)議physical-layerasync物理層封裝異步方式

ipaddress〃指定串行口的IP地址和子網(wǎng)掩碼

portspeed57600_(3)_

interfaceserial0〃選擇配置串行口

encapsulationframe-relay_(4)_

ipaddress〃指定串行口的IP地址和掩碼

frame-relayintf-typedte〃指定懸數(shù)據(jù)終端設備

frame-relayhni-typcansi//指定LMI消息類型卷ANSI原則

frame-relaymapip16〃映射Sf端IP地址和DLCI號

interfacecthcrnct0_(5)_

ipaddress54//指定以太網(wǎng)口的IP地址和掩碼

localpoolpool100_(6)_

localpoolpoo1210〃定義IP地址池pool2

Router-config>iproute

Routerip

Network_(7)_

NetworkIO.O.O.O

Version2_(8)_

【參照答案】

9、指定串行口的IP地址和子網(wǎng)掩碼

10、封裝hdlc協(xié)議

11、設定端口速率

12、封裝幀中繼協(xié)議

13、以太網(wǎng)接口c0

14、定義ip地址池pooll

15、指定與該路由器連接的網(wǎng)絡卷

16、指定rip版本懸2

網(wǎng)絡工程肺下午綜合練習題

試題壹(15分)

閱^壹下闡明和路由器配置環(huán)節(jié)，回答冏題I和冏題2,將解答寫在答卷的封應欄內。

【闡明】

某辦事處使用宜種Cisco1600路由