例一 老广播局机房网络整改：扩容、防攻击

　　所有单位使用同一网段192.168.0.0/24，C类子网最多只能容纳253台主机(除去网关地址及广播地址)。加上用户水平有限，自已乱设IP地址，易造成IP地址冲突。若采用VLAN技术，为各单位分别划分不同的VLAN，可大大减少IP地址冲突的问题。即使出现冲突也便于查找故障。

　　由于处于同一局域网，若感染了针对局域网攻击的病毒，则会造成整网的瘫痪。基于VLAN能隔离广播域的原理，。若为每个单位划分一个网段，则病毒只能在该网段内传播，影响范围则明显减小，查杀相对容易得多。

　　基于以上原因的考虑，我们设计了以下整改方案

　　拓扑结构：

    
    Cisco 3550上的配置

　　各单位上网的网关设置：

　　新建Vlan125、126等，设置其ip address为10.125.0.1/24，10.126.0.1/24，分别为各单位上网的网关地址。命令如下：

3550(config)#vlan 125 　　3550(config)#interface vlan 125 　　3550(config-if)#ip address 10.125.0.1 255.255.255.0

3550(config)#interface fastEthernet 0/8 　　3550(config-if)#switchport trunk encapsulation dot1q 　　3550(config-if)#switchport mode trunk

　　MP5124B是maipu公司的低端产品，采用GUI方式配置，操作简单方便。不能远程telnet。将port 23设为trunk模式。

　　VLAN配置界面

　　PVID配置界面

    
    例二 为录制部单划VLAN的设置方法

　　拓扑结构

        
    实现思路：

　　将cisco3550的第10口设为Trunk模式，允许多个VLAN通过，MP3024交换机的第1口设为T，port 12属于Vlan 150，接录制部主机。其余端口属于vlan 66，接配线架。实现过程：

　　Cisco3550交换机上的配置

　　在cisco 3550上新建Vlan66、vlan150，并设置其vlan地址为10.66.0.1/16，10.150.0.1/24,由于录制部主机数较少，故将其设为C类子网。将port 10设置为T模式。主要配置命令如下：

3550(config)#interface fastEthernet 0/10 　　3550(config-if)#switchport trunk encapsulation dot1q 　　3550(config-if)#switchport mode trunk

    MP3024交换机上的配置
   

5floormaipu(config)#port 0/1 　　5floormaipu(config-port-0/1)#strip-vlan-tag disable //为1端口封装vlan标签 　　5floormaipu(config)#vlan 66 　　5floormaipu(config-vlan66)#port 0/0-0/11,0/13-0/23 member 　　//让除12端口以外的其余端口属于vlan66 　　5floormaipu(config)#vlan 150 　　5floormaipu(config-vlan150)#port 0/1,0/12 member //让1、12端口属于vlan150 　　5floormaipu(config-port-range)#pvid 66 //设置端口的pvid 　　5floormaipu(config-port-0/12)#pvid 150

    这样配置完成后，录制部主机设为vlan150的地址后即可正常上网。MP交换机的trunk口设置必须让trunk端口属于它所要通过的vlan，这一点与cisco设备仅封装802.1q就能通过所有vlan是不同的。

　　注：本例用一个trunk端口传送两个vlan，可以扩展到更多个vlan，命令相似，在此笔者不再赘述。