路由交換技術(shù)（微課版） 教案 ch04-隔離企業(yè)部門(mén)間流量

揚(yáng)州工業(yè)職業(yè)技術(shù)學(xué)院教案序號(hào)6周次授課形式講練結(jié)合授課章節(jié)名稱項(xiàng)目4隔離企業(yè)部門(mén)間流量（一）教學(xué)目的1．了解VLAN的基本概念。2．理解VLAN的運(yùn)行原理。教學(xué)重點(diǎn)1.掌握VLAN技術(shù)原理。教學(xué)難點(diǎn)1.理解以太網(wǎng)二層接口的類型。使用教具計(jì)算機(jī)、ppt、eNSP、觸摸白板課外作業(yè)復(fù)習(xí)本節(jié)，預(yù)習(xí)下節(jié)課后體會(huì)同學(xué)們對(duì)本堂課的掌握情況良好授課主要內(nèi)容本項(xiàng)目知識(shí)圖譜4.1VLAN基礎(chǔ)知識(shí)1．VLAN標(biāo)簽為了區(qū)分不同VLAN的報(bào)文，交換機(jī)需要在報(bào)文中插入一個(gè)標(biāo)記VLAN信息的字段。如圖4-4所示，當(dāng)交換機(jī)S1識(shí)別出某個(gè)幀的VLAN屬性后，它會(huì)在該幀的特定位置附加一個(gè)標(biāo)簽（Tag），明確指示該幀VLAN屬性。這樣，接收此帶標(biāo)簽數(shù)據(jù)幀的其他交換機(jī)，只需查看標(biāo)簽即可迅速識(shí)別幀的VLAN屬性。802.1Q標(biāo)準(zhǔn)規(guī)定了這種帶標(biāo)簽數(shù)據(jù)幀的格式，符合該格式的數(shù)據(jù)幀被稱為802.1Q數(shù)據(jù)幀。圖4-4交換機(jī)負(fù)責(zé)打上或識(shí)別VLAN標(biāo)簽2．802.1Q幀在以太網(wǎng)中，數(shù)據(jù)幀的傳輸往往涉及多臺(tái)交換機(jī)的轉(zhuǎn)發(fā)。為確保VLAN劃分的一致性，即VLAN屬性跨越整個(gè)網(wǎng)絡(luò)而非局限于單臺(tái)交換機(jī)，數(shù)據(jù)幀在傳輸過(guò)程中需攜帶特定標(biāo)識(shí)，明確指示其所屬VLAN。為此，IEEE802.1Q標(biāo)準(zhǔn)規(guī)定了向無(wú)標(biāo)記（Untagged）數(shù)據(jù)幀中添加VLAN標(biāo)簽（Tag）的方法。該VLAN標(biāo)簽包含4個(gè)關(guān)鍵字段，標(biāo)簽協(xié)議標(biāo)識(shí)符（TagProtocolIdentifer，TPID）、優(yōu)先級(jí)（Priority，PRI）、標(biāo)準(zhǔn)格式指示符（CanonicalFormatIndicator，CFI）和虛擬局域網(wǎng)標(biāo)識(shí)符（VLANID，VID）。通過(guò)插入這一標(biāo)簽，數(shù)據(jù)幀能夠攜帶關(guān)于其VLAN屬性的詳細(xì)信息，如圖4-5所示，展示了帶有VLAN標(biāo)簽的數(shù)據(jù)幀結(jié)構(gòu)，各字段的作用具體如下。（1）TPID：長(zhǎng)度為16位（2字節(jié)），取值為0x8100，用于標(biāo)識(shí)該幀為802.1Q幀。（2）PRI：長(zhǎng)度為3位，取值范圍為0-9。數(shù)據(jù)幀的優(yōu)先級(jí)，有助于在網(wǎng)絡(luò)擁塞時(shí)決定處理順序。（3）CFI：當(dāng)CFI的值為0時(shí)，表示MAC地址采用了標(biāo)準(zhǔn)格式進(jìn)行封裝；如果CFI的值為1，表示MAC地址采用了非標(biāo)準(zhǔn)格式進(jìn)行封裝。在以太網(wǎng)中該值為0，這通常用于與令牌環(huán)網(wǎng)等特定網(wǎng)絡(luò)環(huán)境的兼容。（4）VID：長(zhǎng)度為12位，取值范圍為0-4095，0和4095為協(xié)議保留值，有效取值范圍為1-4094。唯一標(biāo)識(shí)數(shù)據(jù)幀所屬的VLAN。圖4-5802.1Q幀的結(jié)構(gòu)4.2VLAN的劃分方式在計(jì)算機(jī)網(wǎng)絡(luò)中，計(jì)算機(jī)通常發(fā)送無(wú)標(biāo)記（Untagged）的幀。當(dāng)這些Untagged幀進(jìn)入支持VLAN特性的交換網(wǎng)絡(luò)時(shí)，交換機(jī)需要依據(jù)特定的劃分原則，將這些Untagged幀歸類到某個(gè)VLAN中。根據(jù)這些劃分原則的不同，VLAN劃分就有了不同的類型。1．基于接口的VLAN劃分交換機(jī)每個(gè)物理接口都被分配一個(gè)特定的VLANID。當(dāng)Untagged幀從某一物理接口進(jìn)入交換機(jī)時(shí)，這些Untagged幀會(huì)自動(dòng)歸類到該接口對(duì)應(yīng)的VLAN中。這種基于接口的劃分方法既簡(jiǎn)單直觀，又易于實(shí)現(xiàn)，同時(shí)保證了較高的安全性與可靠性。若計(jì)算機(jī)連接的交換機(jī)接口發(fā)生變化，其發(fā)送的幀所屬的VLAN也會(huì)隨之改變，通常也被稱為一層VLAN。2．基于MAC地址的VLAN劃分根據(jù)計(jì)算機(jī)MAC地址的不同將其劃分到不同的VLAN中，交換機(jī)需維護(hù)一張MAC地址與VLANID映射表。當(dāng)接收到Untagged幀時(shí)，交換機(jī)會(huì)解析幀中的源MAC地址，并對(duì)照此映射表來(lái)確定該幀應(yīng)歸屬的VLAN。這種方法提供了更高的靈活性，當(dāng)計(jì)算機(jī)所連接的交換機(jī)接口變動(dòng)時(shí)，由于其MAC地址保持不變，該計(jì)算機(jī)發(fā)送的Untagged幀仍能正確歸類到原先設(shè)定的VLAN中。但是這種劃分在安全性方面存在一定隱患，因?yàn)閻阂庥脩粲锌赡軅卧霱AC地址以滲透進(jìn)不同的VLAN，通常也被稱為二層VLAN。3．基于協(xié)議的VLAN劃分交換機(jī)的VLAN劃分還可以依據(jù)計(jì)算機(jī)發(fā)送的Untagged幀中的幀類型字段值來(lái)決定，不同類型的幀可以被分配到不同的VLAN中。例如，幀類型值為0x0800的幀（IPv4）被歸入一個(gè)VLAN，而幀類型值為0x86dd的幀（IPv6）被歸入另一個(gè)VLAN。這種基于協(xié)議類型的VLAN劃分方式，實(shí)際上實(shí)現(xiàn)了根據(jù)根據(jù)IPv4和IPv6數(shù)據(jù)包來(lái)區(qū)分不同的VLAN，通常也被稱為三層VLAN。4．基于IP子網(wǎng)的VLAN劃分網(wǎng)絡(luò)管理員會(huì)事先設(shè)定一個(gè)映射表，該表記錄了IP地址與VLANID的對(duì)應(yīng)關(guān)系，當(dāng)交換機(jī)接收到Untagged幀時(shí)，檢查幀中的源IP地址，并參照此映射表來(lái)確定相應(yīng)的VLANID。5．基于策略的VLAN劃分網(wǎng)絡(luò)管理員可以預(yù)先設(shè)定一系列VLAN劃分策略，這些策略可以基于多種因素，如接口、MAC地址、IP地址等。當(dāng)交換機(jī)接收到Untagged幀時(shí)，它會(huì)根據(jù)這些預(yù)先配置的策略進(jìn)行匹配。一旦匹配成功，交換機(jī)會(huì)將該數(shù)據(jù)幀分配到不同的VLAN中。4.3以太網(wǎng)二層接口類型交換機(jī)針對(duì)不同連接對(duì)象，即連接交換機(jī)間與連接終端設(shè)備，其接口在處理數(shù)據(jù)幀時(shí)表現(xiàn)出明顯差異。華為交換機(jī)為此規(guī)定了三種二層接口工作模式，分別是Access接口、Trunk接口和Hybrid接口。這些模式確保了數(shù)據(jù)幀根據(jù)連接類型進(jìn)行相應(yīng)處理。1．Access接口交換機(jī)通常配備有Access接口，專門(mén)用于連接用戶PC、服務(wù)器等終端設(shè)備，這些設(shè)備的網(wǎng)卡設(shè)計(jì)為僅處理和傳輸不帶VLAN標(biāo)簽的幀，Access接口被限制為僅能加入一個(gè)特定的VLAN，如圖4-6所示。圖4-6Access接口（1）接收幀時(shí)若Access接口接收到Untagged幀，交換機(jī)會(huì)設(shè)置該幀VLANTag的VID字段為PVID值，隨后根據(jù)處理規(guī)則（泛洪、轉(zhuǎn)發(fā)、丟棄）對(duì)該已標(biāo)記幀進(jìn)行后續(xù)操作。若接收到tagged幀，交換機(jī)會(huì)核對(duì)幀中VLANTag的VID是否與接口的PVID相同，相同時(shí)，轉(zhuǎn)發(fā)該幀；不同時(shí)，則直接丟棄。（2）發(fā)送幀時(shí)當(dāng)一個(gè)tagged幀從交換機(jī)其他接口傳向Access接口時(shí)，交換機(jī)會(huì)再次核對(duì)幀的VID與接口的PVID是否相同，相同時(shí)，則去除該幀的VLANTag，以Untagged幀發(fā)送出去；不同時(shí)，則直接丟棄該幀。2．Trunk接口Trunk接口支持多個(gè)VLAN的數(shù)據(jù)幀傳輸，這些數(shù)據(jù)幀通過(guò)VLANTag的VID來(lái)區(qū)分各自所屬的VLAN。它主要用于交換機(jī)間的連接，同時(shí)也適用于與路由器、防火墻等設(shè)備的子接口互聯(lián)，以實(shí)現(xiàn)不同VLAN間的數(shù)據(jù)傳輸，如圖4-7所示。圖4-7Trunk接口在配置Trunk接口時(shí)，除了設(shè)定PVID之外，還需指定允許通過(guò)的VLANID列表，VLAN1默認(rèn)包含在此列表中。（1）接收幀時(shí)接收Untagged幀時(shí)，交換機(jī)會(huì)設(shè)置該幀VLANTag的VID字段為PVID值，并驗(yàn)證此PVID是否在允許通過(guò)的VLANID列表中，若在，則繼續(xù)轉(zhuǎn)發(fā)該Tagged幀；反之，則直接丟棄。接收Tagged幀時(shí)，交換機(jī)會(huì)檢查其VID是否在允許通過(guò)的VLANID列表中，若在則轉(zhuǎn)發(fā)；否則丟棄。注意，此時(shí)接口的PVID不起作用。（2）發(fā)送幀時(shí)首先，交換機(jī)會(huì)檢查幀的VID是否在允許通過(guò)的VLANID列表中，若不在，該幀將被丟棄；若在，交換機(jī)將進(jìn)一步比較此幀的VID與接口的PVID，若兩者相同，交換機(jī)會(huì)移除該幀的VLANTag，并以Untagged形式發(fā)送至鏈路；否則，該幀將保持其VLANTag不變，直接發(fā)送至鏈路。3．Hybrid接口Hybrid接口類似于Trunk接口，能夠傳輸多個(gè)VLAN的數(shù)據(jù)幀，這些數(shù)據(jù)幀通過(guò)VLANTag的VID進(jìn)行區(qū)分。用戶可以根據(jù)需要，為Hybrid接口配置在接收特定VLAN數(shù)據(jù)幀時(shí)是否附加標(biāo)簽，在發(fā)送特定VLAN數(shù)據(jù)幀時(shí)是否剝離標(biāo)簽，如圖4-8所示。圖4-8Hybrid接口Hybrid接口的配置不僅涉及PVID，還包含兩個(gè)允許通過(guò)的VLANID列表，即UntaggedVLANID列表和TaggedVLANID列表。VLAN1默認(rèn)在UntaggedVLANID列表中。這兩個(gè)列表共同定義了哪些VLAN的幀能夠通過(guò)該Hybrid接口。（1）接收幀時(shí)當(dāng)接收Untagged幀時(shí)，交換機(jī)會(huì)設(shè)置該幀VLANTag的VID值為PVID，并隨后檢查這個(gè)PVID是否存在于UntaggedVLANID或TaggedVLANID列表中，若在，則繼續(xù)轉(zhuǎn)發(fā)這個(gè)Tagged幀；若不在，則直接丟棄。當(dāng)接收Tagged幀時(shí)，交換機(jī)會(huì)檢查幀中的VID是否出現(xiàn)在UntaggedVLANID或TaggedVLANID列表中。若在，該幀將被接收；若不在，該幀將被丟棄。（2）發(fā)送幀時(shí)當(dāng)發(fā)送Tagged幀時(shí)，若幀的VID不在UntaggedVLANID和TaggedVLANID列表中，該幀將被直接丟棄；若VID出現(xiàn)在UntaggedVLANID列表中，交換機(jī)會(huì)移除該幀的Tag，以Untagged的形式發(fā)送該幀；若VID在TaggedVLANID列表中，則保留幀的Tag，以Tagged的形式發(fā)送該幀?！拘〗Y(jié)】本節(jié)課小節(jié)詳細(xì)介紹了VLAN的基礎(chǔ)知識(shí)。其中，802.1Q幀通過(guò)添加特定標(biāo)簽來(lái)區(qū)分不同VLAN的報(bào)文，標(biāo)簽里的各個(gè)字段都有其獨(dú)特作用。VLAN的劃分方式多種多樣，基于接口劃分簡(jiǎn)單方便，基于MAC地址劃分靈活性強(qiáng)，基于協(xié)議、IP子網(wǎng)和策略劃分則能滿足不同場(chǎng)景的需求。而以太網(wǎng)二層接口類型主要有Access、Trunk和Hybrid這三種。Access接口用于連接普通終端設(shè)備，像用戶電腦；Trunk接口常用于交換機(jī)之間的連接，能傳輸多個(gè)VLAN的數(shù)據(jù)；Hybrid接口則兼具前兩者的特點(diǎn)，使用起來(lái)更加靈活，在處理VLAN數(shù)據(jù)時(shí)能根據(jù)配置進(jìn)行更細(xì)致的操作?！咀鳂I(yè)】（1）什么是VLAN技術(shù)，并簡(jiǎn)述其主要作用？（2）簡(jiǎn)述VLAN的幾種主要?jiǎng)澐址绞?。揚(yáng)州工業(yè)職業(yè)技術(shù)學(xué)院教案序號(hào)7周次授課形式講練結(jié)合授課章節(jié)名稱項(xiàng)目4隔離企業(yè)部門(mén)間流量（二）教學(xué)目的1．掌握VLAN的配置。教學(xué)重點(diǎn)1.掌握VLAN各種接口的配置。教學(xué)難點(diǎn)1.理解以太網(wǎng)二層接口的類型。使用教具計(jì)算機(jī)、ppt、eNSP、觸摸白板課外作業(yè)復(fù)習(xí)本節(jié)，預(yù)習(xí)下節(jié)課后體會(huì)同學(xué)們對(duì)本堂課的掌握情況良好授課主要內(nèi)容本項(xiàng)目知識(shí)圖譜4.4VLAN基本配置1．創(chuàng)建VLAN使用以下命令來(lái)創(chuàng)建一個(gè)VLAN并進(jìn)入其配置視圖。如果該VLAN已經(jīng)存在，則直接跳轉(zhuǎn)至其配置視圖。其中，vlan-id為用戶自定的vlan編號(hào)，有效取值范圍為1到4094之間的整數(shù)。[Huawei]vlanvlan-id在系統(tǒng)視圖模式下，若想在交換機(jī)上連續(xù)創(chuàng)建多個(gè)VLAN，可輸入以下命令，vlan-id1為第一個(gè)VLAN編號(hào)，vlan-id2為和最后一個(gè)VLAN編號(hào)。[Huawei]vlanbatch{vlan-id1[tovlan-id2]}2．配置Access接口進(jìn)入接口視圖，將指定接口配置為Access類型。[Huawei-GigabitEthernet0/0/1]portlink-typeaccess配置該接口的缺省VLAN，vlan-id為缺省VLAN編號(hào)。[Huawei-GigabitEthernet0/0/1]portdefaultvlanvlan-id3．配置Trunk接口進(jìn)入接口視圖，將指定接口配置為T(mén)runk類型。[Huawei-GigabitEthernet0/0/1]portlink-typetrunk配置該接口允許通過(guò)的VLAN列表，vlan-id1為第一個(gè)VLAN編號(hào)，vlan-id2為和最后一個(gè)VLAN編號(hào)。all表示該接口允許所有VLAN通過(guò)。[Huawei-GigabitEthernet0/0/1]porttrunkallow-passvlan{{vlan-id1[tovlan-id2]}|all}配置該接口的缺省VLAN，vlan-id為缺省VLAN編號(hào)。[Huawei-GigabitEthernet0/0/1]porttrunkpvidvlanvlan-id4．配置Hybrid接口進(jìn)入接口視圖，將指定接口配置為Hybrid類型。[Huawei-GigabitEthernet0/0/1]portlink-typehybrid配置Hybrid類型接口加入的VLAN，這些VLAN數(shù)據(jù)幀以Untagged的形式通過(guò)。[Huawei-GigabitEthernet0/0/1]porthybriduntaggedvlan{{vlan-id1[tovlan-id2]}|all}配置Hybrid類型接口加入的VLAN，這些VLAN數(shù)據(jù)幀以tagged的形式通過(guò)。[Huawei-GigabitEthernet0/0/1]porthybridtaggedvlan{{vlan-id1[tovlan-id2]}|all}配置該接口的缺省VLAN，vlan-id為缺省VLAN編號(hào)。[Huawei-GigabitEthernet0/0/1]porthybridpvidvlanvlan-id【項(xiàng)目實(shí)施】任務(wù)4.1基于接口劃分的企業(yè)部門(mén)間VLAN隔離

1．任務(wù)描述藍(lán)箭公司已步入穩(wěn)定發(fā)展階段，目前設(shè)有研發(fā)、生產(chǎn)、財(cái)務(wù)及銷售四大部門(mén)，各部門(mén)對(duì)于數(shù)據(jù)隔離的需求日益迫切，這對(duì)數(shù)據(jù)安全和隱私保護(hù)提出了更高要求。為有效劃分部門(mén)間的數(shù)據(jù)界限，確保信息的安全與私密，公司決定采納VLAN技術(shù)，以實(shí)現(xiàn)部門(mén)間的數(shù)據(jù)隔離，強(qiáng)化數(shù)據(jù)安全。網(wǎng)絡(luò)拓?fù)淙鐖D4-9所示，將研發(fā)部的PC1和PC2劃為VLAN10，生產(chǎn)部的PC3劃為VLAN20，財(cái)務(wù)部的PC4和PC5劃為VLAN30，銷售部的PC6劃為VLAN40。各部門(mén)PCIP地址如表4-1所示。圖4-9藍(lán)箭公司各部門(mén)VLAN規(guī)劃表7-1研發(fā)部和生產(chǎn)部IP地址分配表設(shè)備接口號(hào)IP地址/接口配置PC1E0/0/110.1.1.1/24PC2E0/0/110.1.1.2/24PC3E0/0/110.1.1.3/24PC4E0/0/110.1.1.4/24PC5E0/0/110.1.1.5/24PC6E0/0/110.1.1.6/24S1G0/0/3Access，缺省vlan：10G0/0/4Access，缺省vlan：10G0/0/5Access，缺省vlan：20G0/0/24Trunk，允許通過(guò)的VLAN:10203040S2G0/0/3Access，缺省vlan：30G0/0/4Access，缺省vlan：30G0/0/5Access，缺省vlan：40G0/0/24Trunk，允許通過(guò)的VLAN:102030402．實(shí)施步驟S1上設(shè)置GE0/0/3和GE0/0/4為Access類型，缺省VLAN為VLAN10，GE0/0/5為Access類型，缺省VLAN為VLAN20，GE0/0/1為T(mén)runk類型，缺省VLAN為VLAN10，允許通過(guò)的VLAN為VLAN10、VLAN20、VLAN30、VLAN10。雖然S1上沒(méi)有VLAN30和VLAN40的終端，但是為了企業(yè)以后的發(fā)展需要，還是在預(yù)留了VLAN30和VLAN40的空間。（1）S1上的配置[S1]sysnameS1#將設(shè)備名改為S1[S1]undoinfo-centerenable#關(guān)閉信息中心，這樣系統(tǒng)就不會(huì)輸出系統(tǒng)信息[S1]vlanbatch10203040#創(chuàng)建VLAN10、VLAN20、VLAN30、VLAN40[S1]interfaceGigabitEthernet0/0/3[S1-GigabitEthernet0/0/3]portlink-typeaccess#設(shè)置接口類型為Access[S1-GigabitEthernet0/0/3]portdefaultvlan10#設(shè)置接口的缺省VLAN為VLAN10[S1-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/4]portlink-typeaccess[S1-GigabitEthernet0/0/4]portdefaultvlan10[S1-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S1-GigabitEthernet0/0/5]portlink-typeaccess[S1-GigabitEthernet0/0/5]portdefaultvlan20[S1-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk#設(shè)置接口類型為T(mén)runk#設(shè)置該Trunk類型的接口允許通過(guò)的VLAN列表[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan10203040（2）S2上的配置與S1同理。[S2]sysnameS2[S2]undoinfo-centerenable[S1]vlanbatch10203040#創(chuàng)建VLAN10、VLAN20、VLAN30、VLAN40[S2]interfaceGigabitEthernet0/0/3[S2-GigabitEthernet0/0/3]portlink-typeaccess#設(shè)置接口類型為Access[S2-GigabitEthernet0/0/3]portdefaultvlan30#設(shè)置接口的缺省VLAN為30[S2-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S2-GigabitEthernet0/0/4]portlink-typeaccess[S2-GigabitEthernet0/0/4]portdefaultvlan30[S2-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S2-GigabitEthernet0/0/5]portlink-typeaccess[S2-GigabitEthernet0/0/5]portdefaultvlan40[S2-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S2-GigabitEthernet0/0/1]portlink-typetrunk#設(shè)置接口類型為T(mén)runk#設(shè)置該Trunk類型的接口允許通過(guò)的VLAN列表[S2-GigabitEthernet0/0/1]porttrunkallow-passvlan102030403．測(cè)試分析這時(shí)可以在PC1上ping通PC2（10.1.1.2），但是PC1不能ping通其他PC，因?yàn)镻C1與PC2在同一個(gè)VLAN，PC1與其他PC不在同一個(gè)VLAN。PC>ping10.1.1.2Ping10.1.1.2:32databytes,PressCtrl_CtobreakFrom10.1.1.2:bytes=32seq=1ttl=128time=46msFrom10.1.1.2:bytes=32seq=2ttl=128time=47msFrom10.1.1.2:bytes=32seq=3ttl=128time=47msFrom10.1.1.2:bytes=32seq=4ttl=128time=47msFrom10.1.1.2:bytes=32seq=5ttl=128time=47msPC>ping10.1.1.4Ping10.1.1.4:32databytes,PressCtrl_CtobreakFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:DestinationhostunreachableFrom10.1.1.1:Destinationhostunreachable任務(wù)4.2VLAN數(shù)據(jù)幀的通信過(guò)程分析1．任務(wù)描述研發(fā)部的小王（PC2）與財(cái)務(wù)部的小張（PC5）臨時(shí)調(diào)到對(duì)方部門(mén)進(jìn)行業(yè)務(wù)對(duì)接，但是兩人的部門(mén)屬性不變，也就是PC2接在了S2的GE0/0/4上，PC5接在了S1的GE0/0/4上，如圖4-10所示。這樣的調(diào)整后，可以充分利用到兩臺(tái)交換的Trunk接口的功能，講清楚同部門(mén)之間的PC通信時(shí)VLAN數(shù)據(jù)幀的封裝過(guò)程。圖4-10研發(fā)部的小王（PC2）與財(cái)務(wù)部的小張（PC5）位置互換2．實(shí)施步驟所有PC的IP地址不變，只需在任務(wù)4.1的基礎(chǔ)上對(duì)S1的GE0/0/4和S2的GE0/0/4的配置進(jìn)行稍微的改動(dòng)即可。將S1上GE0/0/4的缺省VLAN改為VLAN30，將S2上GE0/0/4的缺省VLAN改為VLAN10。[S1]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/4]portdefaultvlan30[S2]interfaceGigabitEthernet0/0/4[S2-GigabitEthernet0/0/4]portdefaultvlan103．測(cè)試分析在ping操作之前，分別在PC1的E0/0/1、S1的GE0/0/1和PC2的E0/0/1上使用Wireshark抓包。任務(wù)4.3使用Hybrid接口類型實(shí)現(xiàn)VLAN間的隔離與互通1．任務(wù)描述由于工作需要，各部門(mén)要與銷售部進(jìn)行工作對(duì)接，也就是各部門(mén)要與銷售部互通，其他各部門(mén)之間隔離。想達(dá)到這樣的效果，傳統(tǒng)的Access和Trunk類型無(wú)法滿足要求，必須要用到Hybrid類型。Hybrid類型在知識(shí)準(zhǔn)備4.3中已經(jīng)介紹過(guò)了，它是Access和Trunk類型混合，既有Access的特征，也有Trunk的特征，使用方法更加靈活多變，可以完成Access和Trunk類型不能完成的任務(wù)。網(wǎng)絡(luò)拓?fù)淙鐖D4-17所示。圖4-17使用Hybrid接口類型實(shí)現(xiàn)VLAN間的隔離與互通2．實(shí)施步驟IP地址與上一個(gè)任務(wù)一致。但是每個(gè)接口的的配置需要改成Hybrid類型。S1上的配置。[S1]interfaceGigabitEthernet0/0/3[S1-GigabitEthernet0/0/3]portlink-typehybrid#配置為Hybrid類型[S1-GigabitEthernet0/0/3]porthybridpvidvlan10#設(shè)置PVID為VLAN10#如果是進(jìn)入該接口，則允許通過(guò)的VLAN列表為VLAN10和VLAN40；如果從該接口發(fā)出，則在滿足允#通過(guò)的VLAN列表的同時(shí)，還要?jiǎng)冸xVLAN標(biāo)簽再發(fā)出去[S1-GigabitEthernet0/0/3]porthybriduntaggedvlan1040[S1-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S1-GigabitEthernet0/0/4]portlink-typehybrid[S1-GigabitEthernet0/0/4]porthybridpvidvlan30[S1-GigabitEthernet0/0/4]porthybriduntaggedvlan3040[S1-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S1-GigabitEthernet0/0/5]portlink-typehybrid[S1-GigabitEthernet0/0/5]porthybridpvidvlan20[S1-GigabitEthernet0/0/5]porthybriduntaggedvlan2040[S1-GigabitEthernet0/0/5]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typehybrid[S1-GigabitEthernet0/0/1]porthybridtaggedvlan10203040S2上的配置。[S2]interfaceGigabitEthernet0/0/3[S2-GigabitEthernet0/0/3]portlink-typehybrid[S2-GigabitEthernet0/0/3]porthybridpvidvlan30[S2-GigabitEthernet0/0/3]porthybriduntaggedvlan3040[S2-GigabitEthernet0/0/3]interfaceGigabitEthernet0/0/4[S2-GigabitEthernet0/0/4]portlink-typehybrid[S2-GigabitEthernet0/0/4]porthybridpvidvlan10[S2-GigabitEthernet0/0/4]porthybriduntaggedvlan1040[S2-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/5[S2-GigabitEthernet0/0/5]portlink-typehybrid[S2-GigabitEthernet0/0/5]porthybridpvidvlan40[S2-GigabitEthernet0/0/5]porthybriduntaggedvlan10203040[S2-GigabitEthernet0/0/5]interfaceGigab