2025年上海市星光计划第十一届职业院校技能大赛高职组“信息安全管理与评估”赛项交换部分前6题详解（仅供参考）

1.北京总公司和南京分公司有两条裸纤采用了骨干链路配置，做必要的配置，只允许必要的Vlan 通过，不允许其他 Vlan 信息通过包含 Vlan1，禁止使用 trunk链路。

骨干链路位置​​：总公司 SW 与分公司 AC 之间的两条物理链路（Ethernet 1/0/5-6

 必要 VLAN​​：

• •总公司：Vlan 31（财务）、Vlan 40（销售）、Vlan 50（产品）、Vlan 100（管理）、Vlan 60（管理 Native）
• •分公司：Vlan 10（无线）、Vlan 20（无线）、Vlan 31（财务）、Vlan 140（销售）、Vlan 150（产品）、Vlan 60（管理 Native） 

两端端口的PVID（即Native VLAN ID）必须相同（都是60），否则Vlan60的报文在另一端会被认为是属于该端口的Native VLAN（可能是其他VLAN）而造成混乱。

只允许必要的VLAN以untagged方式通过（因为Hybrid模式下可以指定哪些VLAN以tagged或untagged方式通过，但根据要求，我们只需要允许特定VLAN通过，并且以untagged方式传输，或者根据实际情况，如果两端Native VLAN一致，则Native VLAN可以不用打标签）。

由于两个分公司之间有多条VLAN，且需要隔离，所以实际上可能需要打标签。但题目要求禁止使用Trunk，所以我们只能使用Hybrid模式来模拟类似Trunk的功能，但只允许特定的VLAN通过。

SW:
Int e10/0/6-5
Switchport mode hybrid 
Switchport hybrid  native vlan 60
Switchport hybrid allowed vlan 31;40;50;100;60 untagged
EXITAC:
Int e10/0/6-5
Switchport mode hybrid 
Switchport hybrid  native vlan 60
Switchport hybrid allowed vlan 10;20;31;140;150;60 untagged

题目要求禁止Trunk链路（隐含禁止标签传输）​

配置选择全部Untagged传输，是因为：

1.​​彻底规避Trunk模式（禁用标签）

2.​​通过三层路由实现业务互通（后面题目已配置OSPF）

3.​​避免VLAN转换等复杂操作

测试 VLAN 隔离（VLAN 1 应不通）

ping vlan 1 192.168.60.1  ! 应失败

测试必要 VLAN 通信（VLAN 31 应通）

ping vlan 31 192.168.3.129&nb