虛擬子網VLAN的配置

1).Catalyst 3200交換機上VLAN及VTP的配置 經超級終端進入Catalyst 3200控臺

a).設置VLAN治理域 進入"SET VTP AND···· ",選"VTP ADMINISTRATION CONFIGURATION" 設置VALN治理域名"GIETNET"；VTP方式為"SERVER"。

b).設置VLAN及TRUNK： 將所有子網的交換機、HUB上連至Catalyst 3200的10MB或100MB口，并按上述原則分配VLAN，將這些端口進行虛網劃分如下：

本項設置是從控制臺的CONFIGURATION選定"LOCAL VLAN PROT CONFIGURATION"，進行VLAN及TRUNK口的指定，并把所有的3個VLAN填入TRUNK口的配置單中，最后顯示如下

2).Cisco 4500路由器的設置

把Cisco 4500的f0口按子網數"分割"成相應的"子口"， 根據其設置的ISL（InterSwitch Link）號,與相應子網進行邏輯連接。在本例中，f0被分割為f0.1、f0.2、f0.3與VLAN1、VLAN2、VLAN3連接，其配置命令如下：

    router#config t 

router(config)#int f0.1 

router(config-subif)#Description VLAN1_GIET 

router(config-subif)#ip address 192.168.111.1 255.255.255.192 

router(config-subif)#encapsulation isl 2 

. . 

router(config)#int f0.2 

router(config-subif)#Description VLAN2_gzbnic 

router(config-subif)#ip addess 192.168.111.65 255.255.255.192 

router(config-subif)#encapsulation isl 3 

. . 

Ctl Z 

wr 

設置完畢,再請北京網絡中心把邊界路由器中有關子網路由項全部指向Cisco 4500,用戶的網關按其子網路由器地址設定。

3).在Cisco 4500路由器上建立ARP表

為強化網絡治理防止IP盜用，在Cisco 4500路由器上建立ARP表，將所有子網的IP與相應的網卡MAC地址進行綁定，對于未用的IP也進行綁定，如：

ARP 192.168.111.130 0800.3c5d.419f ARPA (已分配的IP有網卡地址)

.

ARP 192.168.111.169 0000.0000.0000 ARPA (未分配的IP無網卡地址)

當注冊網絡用戶需更換網卡時，需得到網管人員的確認、同意，對企圖非法盜用者將無法進行（參見下述）；另外可按具體情況設置訪問控制列表等安全治理措施。

系統特點

經過虛網設置和IP-MAC綁定結合, 網絡系統的特點：

1).發揮VLAN優勢

合理分配網絡資源，均衡網絡負載，有效降低網上廣播信息,方便對用戶的分組治理。

2).增強網絡安全

由于網絡各子網相互隔離，網絡通訊限制在子網內；子網間的交通或出境的通訊全部通過其相應的路由端口,加強了Cisco 4500對全網的控制能力,并由4500上的ARP表進行用戶IP的合法性核查。

3).強化網絡治理、合理記費

如2)所述，由于虛網的配置加上Cisco 4500的IP-MAC的匹配檢查，使得IP盜用比一般的地址綁定更為困難，理由是這種配置結構下，即使想盜用，其通訊也只限于本子網內(活動范圍大大減少,被當場抓獲可能性加大) ；Cisco 4500上的IP-MAC的匹配核查，使得有計費的IP盜用無法進行(盜用變得無意義)，從而達到合理記費和有效提高網絡治理、控制能力。

本工作于去年完成，運行穩定，滿足要求。華教公司的田戈先生對方案提供寶貴意見，在此表示感謝。

名詞解釋：

1).VLAN TRUNK PROTOCOL（VTP）：用VTP設置和治理整個域內的VLAN，在治理域內VTP自動發布配置信息，其范圍包括所有TRUNK連接，如交換互連（ISL）、802.10和ATMLAN（LANE） 當交換機加電時，它會周期性地送出VTP配置請求，直至接到近鄰的配置（summary）廣播信息，從而進行結構配置必要的更新。 交換機的VTP配置有三種模式：服務器、客戶和透明模式。

2).ISLTRUNK ISL中繼不同的VLAN多路包，包頭帶有"ISL VLAN數"標志（VTP VLAN ID）。