【正文】 nfigif) switchport mode access　　將交換機的所有接口都強制設(shè)為Access狀態(tài)，這樣做的目的是當攻擊者設(shè)定自己的接口為Desirable狀態(tài)時，怎么協(xié)商所得到的結(jié)果都是Access狀態(tài)。使攻擊者沒法利用交換機上的空閑端口，偽裝成Trunk端口，進行局域網(wǎng)攻擊?！　≡僭赥runk接口上輸入：　　Switch(configif) switchport mode trunk　　這條命令的功能，就是強制使端口的狀態(tài)成為Trunk。不會去考慮對方接口狀態(tài)，也就是說不管對方的接口是什么狀態(tài)，接口都是Trunk。這條命令僅僅在Trunk的真實接口上輸入，這樣使的接口在狀態(tài)上是唯一的，可控性明顯的增強了?！　∑浯慰梢栽赥runk的接口上再輸入下面這條命令：　　Switch(configif)switchport trunk allowed VLAN 10,20,30　　這條命令定義了在這個Trunk的接口只允許VLAN10,20,，未知的數(shù)據(jù)將不能通過這個Trunk接口通過。這樣允許那些VLAN通過，那些不能通過，就很容易實施。就通過這種簡單控制數(shù)據(jù)的流向而達到安全的目的?！　≡谕瓿闪松鲜鎏嵘腣LAN安全三條命令后，這些接口已經(jīng)具備了較高的安全性。就使用了這些命令后，DTP協(xié)議依舊在工作?！　∷栽谂渲芕LAN時，必加的命令：　　Switch(configif)switchport nonegotiate　　Nonegotiate的意思就是不協(xié)商。這條命令就是徹底的將發(fā)送和接收DTP包的功能完全關(guān)閉。在關(guān)閉的DTP協(xié)議后，該接口的狀態(tài)將永遠穩(wěn)定成Trunk，使接口的狀態(tài)達到了最大的穩(wěn)定性，最大化避免了攻擊者的各種試探努力?！　×硗?那就是Native VLAN。缺省情況下，交換機的所有以太網(wǎng)接口都屬于VLAN 1。而且在配置二層交換機上配置IP地址時，也是在VLAN 1這個接口下完成的?！　?，這種接口都有一個Native VLAN并被分配Native VLAN ID(缺省是VLAN 1)， VLAN的數(shù)據(jù)幀，而所有未被標記VLAN號的數(shù)據(jù)幀都被視為Native VLAN的數(shù)據(jù)。那么VLAN 1作為缺省的Native VLAN，在所有的交換機上都是相同。因此由Native VLAN引起的安全問題，在局域網(wǎng)中必須引起我們的重視。這個安全隱患的解決辦法就是更改缺省Native VLAN，用命令：　　Switch(configif) switchport trunk native VLAN 99　　，這條命令將缺省的Native VLAN更改為VLAN 99。執(zhí)行這條命令后，Native VLAN不相同的交換機將無法通訊。增加了交換機在劃分VLAN后的安全性。
VTP裁剪　　VTP(VLAN Trunking Protocol)是一個用于傳播和同步關(guān)于整個交換網(wǎng)絡(luò)的VLAN信息的協(xié)議，工作在OSI參考模型的第二層。VTP使我們在擴展交換網(wǎng)絡(luò)規(guī)模時減少人工配置的工作量，并通過統(tǒng)一地管理交換網(wǎng)絡(luò)中VLAN的增加、刪除和名稱變更，以維持整個網(wǎng)絡(luò)VLAN配置的一致性，最大限度地減少可能帶來問題的錯配和配置不一致情況(如VLAN名稱重復(fù)使用或錯誤的VLAN類型說明)?！　∮捎谠诰W(wǎng)絡(luò)應(yīng)用中，利用VTP協(xié)議來一次性的配置多臺Cisco的交換機，但VTP這個協(xié)議在應(yīng)用過程中和DTP協(xié)議具有相同的問題。在前文中提到過在VLAN中有一種VTP攻擊就是利用VTP的缺點實施攻擊的?！　TP裁剪(Pruning)用VLAN通告來決定什么時候在干道連接上泛洪是不必要的。修剪功能只能在VTP服務(wù)器上啟用?！　≡诮粨Q機上，缺省的VTP配置：　　VTP的缺省配置取決于交換機型號和軟件版本　　VTP模式：缺省地設(shè)置為VTP服務(wù)器模式　　VTP裁剪：2950,3550等關(guān)閉　　VTP版本：VTP協(xié)議有版本1和版本2　　VTP域名：可以直接指定或從通過干道鏈路學(xué)來。缺省地交換機沒有VTP域名?！　TP密碼：無　　但VTP實施以后，隨之而來的VTP安全和穩(wěn)定問題就出現(xiàn)了?！　TP的模式缺省是VTP的服務(wù)器模式，這種模式下可以任意的刪除，添加，更改VLAN的信息，所以這種模式下的安全性非常重要。攻擊者通過VTP攻擊獲取權(quán)限后，對局域網(wǎng)的架構(gòu)可以任意更改了，造成網(wǎng)絡(luò)的嚴重混亂。所以進行VTP協(xié)議實施時，不管一個域中有多少臺交換機，只保留一臺是VTP的服務(wù)器模式，其他都是VTP的客戶模式?！　×硗猓瑸榱吮ＷCVTP域的安全，VTP域可以設(shè)置密碼，域中所有交換機必須設(shè)置成一樣的密碼。在VTP域中的交換機配置了同樣的密碼后，VTP才能正常工作。而不知道密碼或密碼錯誤的交換機講無法獲知VLAN的消息。不過有些遺憾的是VTP的域密碼是明文在網(wǎng)絡(luò)中傳遞的?！　∠旅媸前咐蠽TP安全實施的配置，創(chuàng)建了一個名為RT的VTP域，在兩臺交換機上配置VTP域模式,一臺為Server，其他為Client，開啟VTP裁剪，設(shè)置了VTP版本為2，在VTP域為Server的交換機上創(chuàng)建VLAN10，20，30三個VLAN，在這個案例中將接口加入VLAN的部分我們將在VLAN配置實例中描述。在完成這樣的操作后，最大程度保證VTP的正常工作。拓撲如圖2所示　　　　 圖2 VTP配置　　Swvtpserver配置如下：Swvtpserver (config) vtp mode server 　　Swvtpserver (config) vtp domain rt 　　Swvtpserver (config)vtp pruning 　　Swvtpserver (config)vtp version 2 　　Swvtpserver (config)vtp password cisco 　　Swvtpserver (config)VLAN 10 　　Swvtpserver (config)VLAN 20 　　Swvtpserver (config)VLAN 30　　Swvtpclient配置如下:Swvtpclient (config)vtp domain rt 　　Swvtpclient (config)vtp password cisco 　　Swvtpclient (config)vtp pruning 　　Swvtpclient (config)vtp version 2 　　Swvtpclient (config)vtp mode client　　配置完成的結(jié)果如圖3：　　第五章 總結(jié)在局域網(wǎng)上VLAN可以在路由器上實現(xiàn)，也可以在支持VLAN的交換機上實現(xiàn)，不同的VLAN之間的通訊要通過路由器來實現(xiàn)，所以在VLAN環(huán)境中的路由器可以看成為VLAN或者廣播域的網(wǎng)關(guān)。在局域網(wǎng)中用交換機來實現(xiàn)VLAN有兩種方式：靜態(tài)和動態(tài)。（本文中主要介紹了VLAN靜態(tài)實現(xiàn)方式） 靜態(tài)實現(xiàn)是網(wǎng)絡(luò)管理員將交換機端口分配給某一個VLAN，這是一種最經(jīng)常使用的配置方式，容易實現(xiàn)和監(jiān)視，而且比較安全。
動態(tài)實現(xiàn)方式中，管理員必須先建立一個較復(fù)雜的數(shù)據(jù)庫，例如輸入要連接的網(wǎng)絡(luò)設(shè)備的MAC地址及相應(yīng)的VLAN號，這樣當網(wǎng)絡(luò)設(shè)備接到交換機端口時交換機自動把這個網(wǎng)絡(luò)設(shè)備所連接的端口分配給相應(yīng)的VLAN。動態(tài)VLAN的配置可以基于網(wǎng)絡(luò)設(shè)備的MAC地址、IP地址、應(yīng)用或者所使用的協(xié)議。實現(xiàn)動態(tài)VLAN時候一般情況下使用管理軟件來進行管理。在CISCO交換機上可以使用VLAN管理策略服務(wù)器（VMPS）實現(xiàn)基于MAC地址的動態(tài)VLAN 配置。VMPS是MAC地址與VLAN的映射表。這種配置的優(yōu)點是網(wǎng)絡(luò)管理員維護管理相應(yīng)的數(shù)據(jù)庫，而不用關(guān)心用戶使用哪一個端口，但是每次新用戶加入時需要做較復(fù)雜的手工配置?；贗P地址的動態(tài)配置中，交換機通過查閱網(wǎng)絡(luò)層的地址自動將用戶分配到不同的虛擬局域網(wǎng)。 一個VLAN可以在一個交換機或者跨交換機實現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進行分組?；诮粨Q機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。隨著VLAN技術(shù)的日益完善，VLAN技術(shù)越來越多的應(yīng)用在交換以太網(wǎng)中，成為網(wǎng)絡(luò)靈活分段和提高網(wǎng)絡(luò)安全的方法?？傊?，隨著網(wǎng)絡(luò)硬件性能的不斷提高和成本的不斷降低，目前新建立的局域網(wǎng)基本上都采用了性能先進的快速以太網(wǎng)或千兆網(wǎng)技術(shù)，其核心交換機采用三層交換機，它能很好地支持VLAN技術(shù)，在安全性和穩(wěn)定性方面都有了很大的提升，為各種業(yè)務(wù)的開展提供了可靠的保證。參考文獻[1]舒鑫柱,[J]..(06).
[2] server 2003局域網(wǎng)組建實訓(xùn)[J].2008.(11).[3][M].北京：清華大學(xué)出版社,2006.[4][5][7]. [8][9]康輝，. [12][13] [美]Matthew
[14] [美]John R .
致謝感謝程宇老師這幾學(xué)期為我們授課，在老師的課堂上讓我學(xué)到了很多關(guān)于數(shù)據(jù)庫及網(wǎng)絡(luò)方面的知識，在此我要感謝老師一直以來對我的諄諄教誨，我將銘記于心，在今后的工作和學(xué)習(xí)的過程當中時刻鞭策自己，培養(yǎng)自己格物致知的精神，努力提升自己的精神境界和自身品質(zhì)！在論文的撰寫中，更加感謝程宇老師的指導(dǎo)與教誨，能在百忙之中還幫助我們修改，讓我們提高，感謝同學(xué)與舍友的關(guān)心和幫主，感謝提供資料、文獻的師哥師姐、以及前輩們。求學(xué)歷程是艱苦的，但又是快樂的。在此對他們表示衷心感謝，讓我得到了人生的一筆財富。