实验目的:
1. 在多层交换中实现VTP、STP的基本配置,以及掌握它们的工作原理;
2. 在多层交换中实现多VLAN之间的HSRP配置,以及掌握它的工作原理;
3. 在多层交换中实现ACL访问控制列表的基本配置;
4. 在多层交换中实现NAT网络地址转换的基本配置以及工作原理;
实验拓扑:
实验连线:
Router1 E0/0 <----> VPCS V0/1
Router1 E0/1 <----> Switch1 F0/15
Router1 E0/2 <----> Switch2 F0/15
Switch1 F0/1 <----> Switch2 F0/2
Switch1 F0/2 <----> Switch2 F0/1
Switch1 F0/14 <----> Switch3 F0/14
Switch1 F0/13 <----> Switch4 F0/13
Switch2 F0/14 <----> Switch4 F0/14
Switch2 F0/13 <----> Switch3 F0/13
Switch3 F0/5 <----> VPCS V0/2
Switch4 F0/5 <----> VPCS V0/3
实验步骤:
一、配置路由器:
1. 在路由器1上配置路由器各个接口的IP地址:E0/0模拟的是外网的接口,e0/1和e0/2模拟的是内网接口的IP地址:配置E0/0外网的接口是为了NAT地址转换,
r1(config)#interface e0/0
r1(config-if)#ip add 100.100.1.1 255.255.255.0
r1(config-if)#no sh
r1(config-if)#ex
r1(config)#interface e0/1
r1(config-if)#ip add 10.1.1.2 255.255.255.0
r1(config-if)#no sh
r1(config-if)#ex
r1(config)#interface e0/2
r1(config-if)#ip add 10.1.2.2 255.255.255.0
r1(config-if)#no sh
r1(config-if)#ex
2. 在路由器1上启动OSPF宣告网络的进程号,并为路由器1配置默认路由;配置默认路由的原因是因为我们在这里用路由器来模拟的公网所以要来配置默认路由:
r1(config)#router ospf 100
r1(config-router)#network 10.1.1.0 0.0.0.255 area 0
r1(config-router)#network 10.1.2.0 0.0.0.255 area 0
r1(config-router)#network 100.100.100.0 0.0.0.255 area 0
r1(config)#ip route 0.0.0.0 0.0.0.0 e0/0
二、配置交换机:
(1)、配置交换机的VTP协议:
VTP协议和工作原理:保持VLAN配置的一致性提供从一个交换机在整个管理域中的增加虚拟区域网的方法。在这里要注意的是:VTP域和VTP通告:
VTP的运行模式:服务器模式(SERVER)、客户机模式(CLLENT)、透明模式(TRANSPARENT);
VTP的三种消息通告:来自客户机的通告请求、汇总通告、子集通告:
2 在sw-3L1配置VTP并制定模式为SERVER以及在它的上面创建VLAN。配置VTP的具体优点如下:
在SW-3L1上换分VLAN的原因是因为SW-3L1是服务器模式;通过VTP来让不同的交换机学习;
sw-3L1(vlan)#vtp domain benet
sw-3L1(vlan)#vtp server
sw-3L1(vlan)#vlan 20
VLAN 20 added:
Name: VLAN0020
sw-3L1(vlan)#vlan 30
VLAN 30 added:
Name: VLAN0030
3. 在sw-3L2上配置VTP指定它的模式为SERVER;在一个网络中可以配置多个SERVER所以.我们在这里所定义的是两个服务器;
sw-3L2(vlan)#vtp domain benet
sw-3L2(vlan)#vtp server
4. 在sw-2L1上配置VTP指定它的模式为CLIENT;
sw-2L1(vlan)#vtp domain benet
sw-2L1(vlan)#vtp client
5. 在sw-2L2上配置VTP指定它的模式为CLIENT;
sw-2L2(vlan)#vtp domain benet
sw-2L2(vlan)#vtp client
(2)、配置交换机的TRUNK链路:
1.在Sw-3L1上配置TRUNK;
sw-3L1(config)#interface range f0/1 - 2
sw-3L1(config-if-range)#sw mo tr
sw-3L1(config-if-range)#no sh
sw-3L1(config-if-range)#ex
sw-3L1(config)#interface range f0/13 - 14
sw-3L1(config-if-range)#sw mo tr
sw-3L1(config-if-range)#no sh
2.在sw-3L2配置TRUNK;
sw-3L2(config)#interface range f0/1 - 2
sw-3L2(config-if-range)#sw mo tr
sw-3L2(config-if-range)#no sh
sw-3L2(config-if-range)#exit
sw-3L2(config)#interface range f0/13 - 14
sw-3L2(config-if-range)#sw mo tr
sw-3L2(config-if-range)#no sh
sw-3L2(config-if-range)#ex
3.在sw-2L1上配置TRUNK;
sw-2L1(config)#interface range f0/13 - 14
sw-2L1(config-if-range)#sw mo tr
sw-2L1(config-if-range)#no sh
sw-2L1(config-if-range)#ex
4.在sw-2L2上配置TRUNK;
sw-2L2(config)#interface range f0/13 - 14
sw-2L2(config-if-range)#sw mo tr
sw-2L2(config-if-range)#no sh
(3)、配置STP生成树协议;首先要知道配置生成树的原因就是要实现网络的冗余。
STP的概述:叫做生成树协议,就是把一个环形的结构变成一个树形的结构。他是通过一种算法将物理上存在的环形网络,通过一种算法,在逻辑上断开一些端口,来生成一个逻辑上的树形结构;
STP的原理:虽然STP生成树的算法很复杂,但是它步骤可以归纳为一下三种:选择根网桥、选择根端口、选择指定端口;
选择跟网桥:首先是选择根网桥的网桥ID,如果网桥的IP相同则选择优先级,优先级小的它则是根网桥,在优先级相同的情况下则选择MAC地址小的为根网桥。
选择根端口:先是选择网桥的根路径成本,直连是网桥ID最小,端口ID最小!
选择指定端口:根路径成本较低所在的交换机的网桥的ID的值较小,端口ID的值较小。
BPDU(协议数据单元):交换机之间通过BPDU来交换网桥的ID、根路径成本等信息。它有两种类型:一种是配置BPDU、一种是拓扑变更通告;
生成树端口有五种状态:禁用、阻塞、侦听、学习、转发。
配置以太网通道:主要的原因是希望两条链路能够实现负载均衡,来提高链路带宽,以及相互备份。但是参与以太网捆绑技术有一下几个要求:虽然参于以太网隧道可以能提高链路带宽并运行一种机制,将多个以太网端口捆绑成一条逻辑链路。它最多可以捆绑8条物理链路,如果参于捆绑的端口必须属于同一个VLAN。如果一边是中继模式,那么两边必须要相同;
1.在sw-3L1上配置vlan 20的根网桥;sw-3L2上配置30的根网桥:
sw-3L1(config)#spanning-tree vlan 20 priority 4096
sw-3L1(config)#spanning-tree vlan 30 priority 8192
sw-3L2(config)#spanning-tree vlan 30 priority 4096
sw-3L2(config)#spanning-tree vlan 20 priority 8192
2.在三层交换上配置以太网隧道;
sw-3L1(config)#interface range f0/1 - 2
sw-3L1(config-if-range)#channel-group 1 mode .
sw-3L2(config)#interface range f0/1 - 2
sw-3L2(config-if-range)#channel-group 1 mode .
(4)、在三层交换上配置接口以及各Vlan的IP地址并用OSPF宣告;
首先我们要知道什么是三层交换技术?
三层交换机技术简单的说就是二层交换技术+三层转发技术;而且是为了解决路由器和交换机的瓶颈问题;对于三层交换来说它的性能比较好;三层交换技术在第三层实现了数据包的高速转发,从而解决了传统路由器的低速、复杂所造成的网络瓶颈的问题;三层交换采用传统的MLS技术和基于CEF的MLS技术进行。
1.配置三层交换接口的IP地址:
sw-3L1(config)#interface f0/15
sw-3L1(config-if)#no switchport
sw-3L1(config-if)#ip add 10.1.1.1 255.255.255.0
sw-3L1(config-if)#no sh
sw-3L1(config-if)#ex
sw-3L2(config)#interface f0/15
sw-3L2(config-if)#no switchport
sw-3L2(config-if)#ip add 10.1.2.1 255.255.255.0
sw-3L2(config-if)#no sh
sw-3L2(config-if)#ex
2.配置三层交换上各个VLAN的IP地址;配置VLAN的IP地址相当于配置单臂路由的子接口的IP地址;
sw-3L1(config)#interface vlan 20
sw-3L1(config-if)#ip add 192.168.2.1 255.255.255.0
sw-3L1(config-if)#no sh
sw-3L1(config-if)#ex
sw-3L1(config)#interface vlan 30
sw-3L1(config-if)#ip add 192.168.3.1 255.255.255.0
sw-3L1(config-if)#no sh
sw-3L1(config-if)#ex
sw-3L2(config)#interface vlan 20
sw-3L2(config-if)#ip add 192.168.2.2 255.255.255.0
sw-3L2(config-if)#no sh
sw-3L2(config-if)#ex
sw-3L2(config)#interface vlan 30
sw-3L2(config-if)#ip add 192.168.3.2 255.255.255.0
sw-3L2(config-if)#no sh
sw-3L2(config-if)#ex
3.在三层交换上宣告OSPF进程;(我们在这里把三层交换看成了路由器,所以在它的上面配置了OSPF协议)
sw-3L1(config)#router ospf 100
sw-3L1(config-router)#network 10.1.1.0 0.0.0.255 area 0
sw-3L1(config-router)#network 192.168.1.0 0.0.0.255 area 0
sw-3L1(config-router)#network 192.168.2.0 0.0.0.255 area 0
sw-3L2(config)#router ospf 100
sw-3L2(config-router)#network 192.168.2.0 0.0.0.255 area 0
sw-3L2(config-router)#network 192.168.3.0 0.0.0.255 area 0
sw-3L2(config-router)#network 10.1.2.0 0.0.0.255
sw-3L2(config-router)#network 10.1.2.0 0.0.0.255 area 0
(5)、在二层交换上划分指定的端口到不同的VLAN;
sw-2L1(config)#interface f0/15
sw-2L1(config-if)#sw mo acc
sw-2L1(config-if)#sw acc vlan 20
sw-2L1(config-if)#no sh
sw-2L2(config)#interface f0/15
sw-2L2(config-if)#sw mo acc
sw-2L2(config-if)#sw acc vlan 30
sw-2L2(config-if)#no sh
三、配置不同VLAN的HSRP;
HSRP的概述:热备份路由协议是CISCO平台上所特有的一种技术,它确保了当前网络出现故障时或者接入链路出现故障的时候,能够快速的恢复,以此来实现网络的冗余性。从而来满足网络的可靠性!
HSRP的工作原理:HSRP可以支持LAN网段上的一组路由器一起来工作,并作为一个虚拟路由器或者默认网关呈现给该网段上的所有主机;这样当其中的一台路由器出现故障的时候就会进行快速的替换。尤其在进行关键应用和设计容错性的网络环境中。热备份路由协议特别有用,通过共同提供一个IP地址和MAC地址,两个或者多个路由器可以作为一个虚拟路由器,当某个路由器按照原计划停止工作或者出现意想不到的故障的时候,其他的路由器能够快速无缝地接替它进行路由选择。这样LAN内的主机能持续的向同一个IP和MAC地址发送信息;而这个IP和MAC地址则是虚拟路由器的IP地址和MAC地址:路由器上的故障切换对主机和其上的会话是透明的。
HSRP的状态:初始状态、学习状态、监听状态、发言状态、备份状态、活跃状态。
HSRP的端口追踪:如果在HSRP中的活跃路由器连往外部的链路失效时,尽管对外部的端口不可以再用,该路由器仍然从其他的路由器发送Hello消息,指明该路由仍然是活跃的。因此将发送的数据包不能正确的到达外部网络。我们利用端口跟踪,活跃路由器的优先级可以基于端口的可用性而自动的调整。当活跃路由器上的一个被追踪的端口不可用时,活跃路由器的HSRP将被降低。
1.配置sw-3L1上VLAN20和VLAN30虚拟的IP地址和端口的优先级;
sw-3L1(config)#interface vlan 20
sw-3L1(config-if)#standby 100 ip 192.168.2.254
sw-3L1(config-if)#standby 100 priority 120
sw-3L1(config-if)#no sh
sw-3L1(config)#interface vlan 30
sw-3L1(config-if)#standby 200 ip 192.168.3.254
sw-3L1(config-if)#standby 200 priority 110
sw-3L1(config-if)#no sh
2.配置sw-3L2上VLAN20和VLAN30虚拟的IP地址和端口的优先级;
sw-3L2(config)#interface vlan 20
sw-3L2(config-if)#standby 100 ip 192.168.2.254
sw-3L2(config-if)#standby 100 priority 110
sw-3L2(config-if)#no sh
sw-3L2(config-if)#ex
sw-3L2(config)#interface vlan 30
sw-3L2(config-if)#standby 200 ip 192.168.3.254
sw-3L2(config-if)#standby 200 priority 120
sw-3L2(config-if)#no sh
sw-3L2(config-if)#ex
3.配置端口追踪:
sw-3L2(config)#interface vlan 30
sw-3L2(config-if)#standby 200 preempt
sw-3L2(config-if)#
4.查看sw-3L1上HSRP的基本信息:
sw-3L1#show standby brief
P indicates configured to preempt.
|
Interface Grp Prio P State Active Standby Virtual IP
Vl20 100 120 Active local 192.168.2.2 192.168.2.254
Vl30 200 110 Standby 192.168.3.2 local 192.168.3.254
四、定义ACL访问控制列表;
访问控制列表(ACL)的概述:访问控制列表(ACL) 是应用在路由器接口上的指令列表,具有同一个访问控制列表表号或者Access-list语句组成了一个逻辑上的指令列表,这些路由器告诉路由表那些可以允许通过那些可以允许拒绝。它工作的基本原理是:ACL使用包过滤技术,在路由器上读取OSI7层模型的第三层以及第四层包头中的信息,从而达到访问控制列表的目的。访问控制列表分为:标准访问控制列表和扩展访问控制列表;
访问控制列表(ACL)的工作原理:首先我们要知道ACL的作用:例如我们可以用访问控制列表可以提高网络访问的基本安全手段;访问控制列表可用于QOS对数据流量进行控制;提供对通信流量的控制手段。在这里我们以标准的访问控制列表来举例说明:
r1(config)access-list 1 permit 10.1.1.0 0.0.0.255
r1(config)access-list 1 permit 10.1.2.0 0.0.0.255
r1(config)access-list 1 permit 192.168.2.0 0.0.0.255
r1(config)access-list 1 permit 192.168.3.0 0.0.0.255
r1(config)access-list 1 deny any
关于访问控制列表的入与出可以把他应用在某一个接口上,可以用in或者out来定义访问控制列表的入与出;对于入标准基于标准的访问控制列表他的过程是这样的:
当接受到一个数据包时,路由器检查数据包的源地址是否与访问控制列表中的条目相符;如果访问控制列表允许该地址那么,路由器将停止检查访问控制列表,继续处理该数据包。如果访问控制列表拒绝了这个地址,那么路由器将丢弃该数据包,并且返回到上一层消息协议;但是对出接口的访问控制列表;在接受并将数据包转发到相应的受限制的接口后,路由器检查数据包的源地址是否与访问控制列表中的条目相符。如果允许那么将传输该数据包如果拒绝将丢弃数据包,那么他会返回到上一层的消息协议:
r1(config)#interface e0/1
r1(config-if)#ip access-group 1 in
r1(config-if)#ex
r1(config)#interface e0/2
r1(config-if)#ip access-group 1 in
r1(config-if)#ex
r1(config)#interface e0/0
r1(config-if)#ip access-group 1 out
r1(config-if)#ex
五、定义NAT网络地址转换:
r1(config)#ip nat inside source list 1 inter e0/0 overload
六、配置客户端的IP地址;
VPCS 1 >ip 100.100.1.125 100.100.1.1 24
PC1 : 100.100.1.125 255.255.255.0 gateway 100.100.1.1
VPCS 2 >ip 192.168.2.125 192.168.2.254 24
PC2 : 192.168.2.125 255.255.255.0 gateway 192.168.2.254
VPCS 3 >ip 192.168.3.125 192.168.3.254 24
PC3 : 192.168.3.125 255.255.255.0 gateway 192.168.3.254
七、测试网络的互通性;
VPCS 2 >ping 192.168.3.125
192.168.3.125 icmp_seq=1 time=141.000 ms
192.168.3.125 icmp_seq=2 time=109.000 ms
192.168.3.125 icmp_seq=3 time=63.000 ms
192.168.3.125 icmp_seq=4 time=47.000 ms
192.168.3.125 icmp_seq=5 time=63.000 ms
VPCS 3 >ping 100.100.1.125
100.100.1.125 icmp_seq=1 time=94.000 ms
100.100.1.125 icmp_seq=2 time=140.000 ms
100.100.1.125 icmp_seq=3 time=94.000 ms
100.100.1.125 icmp_seq=4 time=78.000 ms
100.100.1.125 icmp_seq=5 time=109.000 ms
VPCS 2 >ping 100.100.1.125
100.100.1.125 icmp_seq=1 time=94.000 ms
100.100.1.125 icmp_seq=2 time=125.000 ms
100.100.1.125 icmp_seq=3 time=125.000 ms
100.100.1.125 icmp_seq=4 time=78.000 ms
100.100.1.125 icmp_seq=5 time=78.000 ms