【文章內(nèi)容簡介】 itch(configifrange)switchport access vlan 1 　　查看所有vlan的摘要信息 　　switchshow vlan brief 　　查看指定vlan的信息 　　switchshow vlan id 10 　　1指定端口成為trunk 　　switch(configif)switchport mode trunk 　　1Trunk的自動(dòng)協(xié)商 　　switch(configif)switchport mode dynamic desirable 　　switch(configif)switchport mode dynamic auto 　　注意：如果中繼鏈路兩端都設(shè)置成auto將不能成為trunk 　　1查看端口狀態(tài) 　　switchshow interface f0/2 switchport 　　1在trunk上移出vlan 　　switch(configif)switchport trunk allowed vlan remove 20 　1在trunk上添加vlan 　　switch(configif)switchport trunk allowed vlan add 20 公司VLAN劃分財(cái)務(wù)部門 VLAN 10 交換機(jī)S0接入交換機(jī)（華為S570024TPSIAC）業(yè)務(wù)部門 VLAN 20 交換機(jī)S1接入交換機(jī)（華為S570024TPSIAC）核心交換機(jī) S2核心交換機(jī)（華為S570024TPSIAC） VLAN 其他劃分　　許多VLAN廠商都利用交換機(jī)的端口來劃分VLAN成員。被設(shè)定的端口都在同一個(gè)廣播域中。例如，一個(gè)交換機(jī)的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機(jī)的6，7，8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡(luò)的升級(jí)。但是，這種劃分模式將虛擬網(wǎng)限制在了一臺(tái)交換機(jī)上。 　　第二代端口VLAN技術(shù)允許跨越多個(gè)交換機(jī)的多個(gè)不同端口劃分VLAN，不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。 　　以交換機(jī)端口來劃分網(wǎng)絡(luò)成員，其配置過程簡單明了。因此，從目前來看，這種根據(jù)端口來劃分VLAN的方式仍然是最常用的一種方式。　　這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)組。這種劃分VLAN方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置，所以，可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，這樣就無法限制廣播包了。另外，對(duì)于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN就必須不停地配置?！　∵@種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。 　　這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標(biāo)簽來識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。 　　這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的(相對(duì)于前面兩種方法)，一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。當(dāng)然，這與各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)?！　P 組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)組播組就是一個(gè)VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。 VPN的功能和作用公司VPN服務(wù)器端使用Win2000；客戶機(jī)端使用Win98來設(shè)置VPN。（1）尚未配置：Win2K中的VPN包含在路由和遠(yuǎn)程訪問服務(wù)中。當(dāng)Win2K服務(wù)器安裝好之后，它也就隨之自動(dòng)存在了！不過此時(shí)當(dāng)打開管理工具中的路由和遠(yuǎn)程訪問項(xiàng)進(jìn)入其主窗口后，在左邊的樹欄中選中服務(wù)器準(zhǔn)狀態(tài)，即可從右邊看到其狀態(tài)正處于已停止（未配置）的情況下。（2）開始配置：要想讓計(jì)算機(jī)能接受客戶機(jī)的VPN撥入，必須對(duì)VPN服務(wù)器進(jìn)行配置。在左邊窗口中選中SERVER（服務(wù)器名），在其上單擊右鍵，選配置并啟用路由和遠(yuǎn)程訪問。配置并啟用路由和遠(yuǎn)程訪問，如圖31所示。圖31 設(shè)置路由和遠(yuǎn)程訪問（3）如果以前已經(jīng)配置過這臺(tái)服務(wù)器，現(xiàn)在需要重新開始，則在SERVER（服務(wù)器名）上單擊右鍵，選禁用路由和遠(yuǎn)程訪問，即可停止此服務(wù)，以便重新配置?。?）當(dāng)進(jìn)入配置向?qū)е?，在公共設(shè)置中，點(diǎn)選中虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器，以便讓用戶能通過公共網(wǎng)絡(luò)（比如Internet）來訪問此服務(wù)器。虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器，如圖32所示。圖32 設(shè)置虛擬專用網(wǎng)（5）在遠(yuǎn)程客戶協(xié)議的對(duì)話框中，一般來說，這里面至少應(yīng)該已經(jīng)有了TCP/IP協(xié)議，則只需直接點(diǎn)選是，所有可用的協(xié)議都在列表上再下一步即可。（6）之后系統(tǒng)會(huì)要求你再選擇一個(gè)此服務(wù)器所使用的Internet連接，在其下的列表中選擇所用的連接方式（比如已建立好的撥號(hào)連接或通過指定的網(wǎng)卡進(jìn)行連接等）再下一步。（7）接著在回答您想如何對(duì)遠(yuǎn)程客戶機(jī)分配IP地址的詢問時(shí)，除非你已在服務(wù)器端安裝好了DHCP服務(wù)器，否則請?jiān)诖颂庍x來自一個(gè)指定的IP地址范圍（推薦）。（8）然后再根據(jù)提示輸入你要分配給客戶端使用的起始IP地址，添加進(jìn)列表中，比如此處為~。（請注意，此IP地址范圍要同服務(wù)器本身的IP地址處在同一個(gè)網(wǎng)段中，即前面的部分一定要相同！）（9）最后再選不，現(xiàn)在不想設(shè)置此服務(wù)器使用RADIUS即可完成最后的設(shè)置。此時(shí)屏幕上將自動(dòng)出現(xiàn)一個(gè)正在開戶路由和遠(yuǎn)程訪問服務(wù)的小窗口，當(dāng)它消失之后，打開管理工具中的服務(wù)，即可以看到RoutingandRemoteAccess（路由和遠(yuǎn)程訪問）項(xiàng)自動(dòng)處于已啟動(dòng)狀態(tài)了！已啟動(dòng)狀態(tài),如圖33所示。圖33 啟動(dòng)狀態(tài) 操作系統(tǒng)的安全配置操作系統(tǒng)安全策略利用Windows 2000的安全配置工具來配置安全策略，微軟提供了一套的基于管理控制臺(tái)的安全配置和分析工具，可以配置服務(wù)器的安全策略。在管理工具中可以找到“本地安全策略”，主界面如圖34所示。圖34 本地安全設(shè)置主界面可配置四類安全策略：帳戶策略、本地策略、公鑰策略和IP安全策略。默認(rèn)的情況下，這些策略都沒有開啟。關(guān)閉不必要的服務(wù)Windows 2000的Terminal Services（終端服務(wù)）和IIS（Internet 信息服務(wù)）等都可能給系統(tǒng)帶來安全漏洞。為了能夠遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開著，如果開了，要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù)。要留意服務(wù)器上開啟的所有服務(wù)并每天檢查。方法一：程序運(yùn)行方法二：我的電腦鼠標(biāo)右鍵下拉菜單管理方法三：控制面板性能和維護(hù)管理工具服務(wù)圖35 計(jì)算機(jī)管理關(guān)閉不必要的端口關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機(jī)會(huì)就會(huì)少一些，但不可認(rèn)為高枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服務(wù)的對(duì)照表可供參考。該文件用記事本打開如圖36所示。圖36 端口掃描表設(shè)置本機(jī)開放的端口和服務(wù)，在IP地址設(shè)置窗口中點(diǎn)擊按鈕“高級(jí)”，在出現(xiàn)的對(duì)話框中選擇選項(xiàng)卡“選項(xiàng)”，選中“TCP/IP篩選”，點(diǎn)擊按鈕“屬性”，設(shè)置端口界面如圖圖37所示。圖37 TCP/IP篩選一臺(tái)Web服務(wù)器只允許TCP的80端口通過就可以了。TCP/IP篩選器是Windows自帶的防火墻，功能比較強(qiáng)大，可以替代防火墻的部分功能。開啟審核策略安全審核是Windows 2000最基本的入侵檢測方法。當(dāng)有人嘗試對(duì)系統(tǒng)進(jìn)行某種方式（如嘗試用戶密碼，改變帳戶策略和未經(jīng)許可的文件訪問等等）入侵的時(shí)候，都會(huì)被安全審核記錄下來。審核策略在默認(rèn)的情況下都是沒有開啟的。如圖38所示。圖38 審核策略雙擊審核列表的某一項(xiàng)，出現(xiàn)設(shè)置對(duì)話框，將復(fù)選框“成功”和“失敗”都選中，如圖39所示。圖39 本地安全策略設(shè)置開啟密碼策略