2025年上海市星光计划第十一届职业院校技能大赛高职组“信息安全管理与评估”赛项交换部分前6题详解(仅供参考)
1.北京总公司和南京分公司有两条裸纤采用了骨干链路配置,做必要的配置,只允许必要的Vlan 通过,不允许其他 Vlan 信息通过包含 Vlan1,禁止使用 trunk链路。
骨干链路位置:总公司 SW 与分公司 AC 之间的两条物理链路(Ethernet 1/0/5-6
必要 VLAN:
- •总公司:Vlan 31(财务)、Vlan 40(销售)、Vlan 50(产品)、Vlan 100(管理)、Vlan 60(管理 Native)
- •分公司:Vlan 10(无线)、Vlan 20(无线)、Vlan 31(财务)、Vlan 140(销售)、Vlan 150(产品)、Vlan 60(管理 Native)
两端端口的PVID(即Native VLAN ID)必须相同(都是60),否则Vlan60的报文在另一端会被认为是属于该端口的Native VLAN(可能是其他VLAN)而造成混乱。
只允许必要的VLAN以untagged方式通过(因为Hybrid模式下可以指定哪些VLAN以tagged或untagged方式通过,但根据要求,我们只需要允许特定VLAN通过,并且以untagged方式传输,或者根据实际情况,如果两端Native VLAN一致,则Native VLAN可以不用打标签)。
由于两个分公司之间有多条VLAN,且需要隔离,所以实际上可能需要打标签。但题目要求禁止使用Trunk,所以我们只能使用Hybrid模式来模拟类似Trunk的功能,但只允许特定的VLAN通过。
SW:
Int e10/0/6-5
Switchport mode hybrid
Switchport hybrid native vlan 60
Switchport hybrid allowed vlan 31;40;50;100;60 untagged
EXITAC:
Int e10/0/6-5
Switchport mode hybrid
Switchport hybrid native vlan 60
Switchport hybrid allowed vlan 10;20;31;140;150;60 untagged
题目要求禁止Trunk链路(隐含禁止标签传输)
配置选择全部Untagged传输,是因为:
1.彻底规避Trunk模式(禁用标签)
2.通过三层路由实现业务互通(后面题目已配置OSPF)
3.避免VLAN转换等复杂操作
测试 VLAN 隔离(VLAN 1 应不通)
ping vlan 1 192.168.60.1 ! 应失败
测试必要 VLAN 通信(VLAN 31 应通)
ping vlan 31 192.168.3.129&nb