【文章內(nèi)容簡介】 itch(configifrange)switchport access vlan 1 　　查看所有vlan的摘要信息 　　switchshow vlan brief 　　查看指定vlan的信息 　　switchshow vlan id 10 　　1指定端口成為trunk 　　switch(configif)switchport mode trunk 　　1Trunk的自動協(xié)商 　　switch(configif)switchport mode dynamic desirable 　　switch(configif)switchport mode dynamic auto 　　注意：如果中繼鏈路兩端都設(shè)置成auto將不能成為trunk 　　1查看端口狀態(tài) 　　switchshow interface f0/2 switchport 　　1在trunk上移出vlan 　　switch(configif)switchport trunk allowed vlan remove 20 　1在trunk上添加vlan 　　switch(configif)switchport trunk allowed vlan add 20 公司VLAN劃分財務(wù)部門 VLAN 10 交換機S0接入交換機（華為S570024TPSIAC）業(yè)務(wù)部門 VLAN 20 交換機S1接入交換機（華為S570024TPSIAC）核心交換機 S2核心交換機（華為S570024TPSIAC） VLAN 其他劃分　　許多VLAN廠商都利用交換機的端口來劃分VLAN成員。被設(shè)定的端口都在同一個廣播域中。例如，一個交換機的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機的6，7，8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡(luò)的升級。但是，這種劃分模式將虛擬網(wǎng)限制在了一臺交換機上。 　　第二代端口VLAN技術(shù)允許跨越多個交換機的多個不同端口劃分VLAN，不同交換機上的若干個端口可以組成同一個虛擬網(wǎng)。 　　以交換機端口來劃分網(wǎng)絡(luò)成員，其配置過程簡單明了。因此，從目前來看，這種根據(jù)端口來劃分VLAN的方式仍然是最常用的一種方式?！　∵@種劃分VLAN的方法是根據(jù)每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置它屬于哪個組。這種劃分VLAN方法的最大優(yōu)點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以，可以認為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機執(zhí)行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN就必須不停地配置?！　∵@種劃分VLAN的方法是根據(jù)每個主機的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。 　　這種方法的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。 　　這種方法的缺點是效率低，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時間的(相對于前面兩種方法)，一般的交換機芯片都可以自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時也更費時。當然，這與各個廠商的實現(xiàn)方法有關(guān)。　　IP 組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，當然這種方法不適合局域網(wǎng)，主要是效率不高。 VPN的功能和作用公司VPN服務(wù)器端使用Win2000；客戶機端使用Win98來設(shè)置VPN。（1）尚未配置：Win2K中的VPN包含在路由和遠程訪問服務(wù)中。當Win2K服務(wù)器安裝好之后，它也就隨之自動存在了！不過此時當打開管理工具中的路由和遠程訪問項進入其主窗口后，在左邊的樹欄中選中服務(wù)器準狀態(tài)，即可從右邊看到其狀態(tài)正處于已停止（未配置）的情況下。（2）開始配置：要想讓計算機能接受客戶機的VPN撥入，必須對VPN服務(wù)器進行配置。在左邊窗口中選中SERVER（服務(wù)器名），在其上單擊右鍵，選配置并啟用路由和遠程訪問。配置并啟用路由和遠程訪問，如圖31所示。圖31 設(shè)置路由和遠程訪問（3）如果以前已經(jīng)配置過這臺服務(wù)器，現(xiàn)在需要重新開始，則在SERVER（服務(wù)器名）上單擊右鍵，選禁用路由和遠程訪問，即可停止此服務(wù)，以便重新配置！（4）當進入配置向?qū)е?，在公共設(shè)置中，點選中虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器，以便讓用戶能通過公共網(wǎng)絡(luò)（比如Internet）來訪問此服務(wù)器。虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器，如圖32所示。圖32 設(shè)置虛擬專用網(wǎng)（5）在遠程客戶協(xié)議的對話框中，一般來說，這里面至少應(yīng)該已經(jīng)有了TCP/IP協(xié)議，則只需直接點選是，所有可用的協(xié)議都在列表上再下一步即可。（6）之后系統(tǒng)會要求你再選擇一個此服務(wù)器所使用的Internet連接，在其下的列表中選擇所用的連接方式（比如已建立好的撥號連接或通過指定的網(wǎng)卡進行連接等）再下一步。（7）接著在回答您想如何對遠程客戶機分配IP地址的詢問時，除非你已在服務(wù)器端安裝好了DHCP服務(wù)器，否則請在此處選來自一個指定的IP地址范圍（推薦）。（8）然后再根據(jù)提示輸入你要分配給客戶端使用的起始IP地址，添加進列表中，比如此處為~。（請注意，此IP地址范圍要同服務(wù)器本身的IP地址處在同一個網(wǎng)段中，即前面的部分一定要相同！）（9）最后再選不，現(xiàn)在不想設(shè)置此服務(wù)器使用RADIUS即可完成最后的設(shè)置。此時屏幕上將自動出現(xiàn)一個正在開戶路由和遠程訪問服務(wù)的小窗口，當它消失之后，打開管理工具中的服務(wù)，即可以看到RoutingandRemoteAccess（路由和遠程訪問）項自動處于已啟動狀態(tài)了！已啟動狀態(tài),如圖33所示。圖33 啟動狀態(tài) 操作系統(tǒng)的安全配置操作系統(tǒng)安全策略利用Windows 2000的安全配置工具來配置安全策略，微軟提供了一套的基于管理控制臺的安全配置和分析工具，可以配置服務(wù)器的安全策略。在管理工具中可以找到“本地安全策略”，主界面如圖34所示。圖34 本地安全設(shè)置主界面可配置四類安全策略：帳戶策略、本地策略、公鑰策略和IP安全策略。默認的情況下，這些策略都沒有開啟。關(guān)閉不必要的服務(wù)Windows 2000的Terminal Services（終端服務(wù)）和IIS（Internet 信息服務(wù)）等都可能給系統(tǒng)帶來安全漏洞。為了能夠遠程方便的管理服務(wù)器，很多機器的終端服務(wù)都是開著，如果開了，要確認已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄的運行服務(wù)器上的終端服務(wù)。要留意服務(wù)器上開啟的所有服務(wù)并每天檢查。方法一：程序運行方法二：我的電腦鼠標右鍵下拉菜單管理方法三：控制面板性能和維護管理工具服務(wù)圖35 計算機管理關(guān)閉不必要的端口關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機會就會少一些，但不可認為高枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服務(wù)的對照表可供參考。該文件用記事本打開如圖36所示。圖36 端口掃描表設(shè)置本機開放的端口和服務(wù)，在IP地址設(shè)置窗口中點擊按鈕“高級”，在出現(xiàn)的對話框中選擇選項卡“選項”，選中“TCP/IP篩選”，點擊按鈕“屬性”，設(shè)置端口界面如圖圖37所示。圖37 TCP/IP篩選一臺Web服務(wù)器只允許TCP的80端口通過就可以了。TCP/IP篩選器是Windows自帶的防火墻，功能比較強大，可以替代防火墻的部分功能。開啟審核策略安全審核是Windows 2000最基本的入侵檢測方法。當有人嘗試對系統(tǒng)進行某種方式（如嘗試用戶密碼，改變帳戶策略和未經(jīng)許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。審核策略在默認的情況下都是沒有開啟的。如圖38所示。圖38 審核策略雙擊審核列表的某一項，出現(xiàn)設(shè)置對話框，將復(fù)選框“成功”和“失敗”都選中，如圖39所示。圖39 本地安全策略設(shè)置開啟密碼策略