链路聚合+STP+端口隔离+802.1x验证实现互通

拓扑图如下：

实验步骤：

        1.解决环路影响，首先配置sw2,sw3,sw4的STP。

        2.实现sw1,sw2链路聚合。

        3.划分Wlan  所有的vlan都为vlan1000

        4.实现端口隔离，隔离pc2,pc3

        5.配置sw1  g0/3端口的802.1x协议。实现登录验证。

详细命令：

 1.解决环路影响，首先配置sw2,sw3,sw4的STP。

         开启stp设置sw2优先级为最高（根桥）

         [sw2]stp global enable    默认的也为开启状态

         [sw2]stp mode rstp        设置stp类型为rstp

         [sw2]stp priority 0        最高优先级  0       必须为4096的倍数

         查看：

        [sw2]dis stp brief

         MST ID   Port                                Role  STP State   Protection
         0        GigabitEthernet1/0/1                DESI  FORWARDING  NONE
         0        GigabitEthernet1/0/2                DESI  FORWARDING  NONE
         0        GigabitEthernet1/0/3                DESI  FORWARDING  NONE
         0        GigabitEthernet1/0/4                DESI  FORWARDING  NONE

         开启stp设置sw3优先级为4096（被根桥）

         sw2]stp priority 4096

        查看： 

        [sw3]dis stp brief

          MST ID   Port                                Role  STP State   Protection
         0        GigabitEthernet1/0/4                ROOT  FORWARDING  NONE

         0        GigabitEthernet1/0/5                DESI  FORWARDING  NONE

         sw4开启stp优先级不设置：

        [sw4]stp global enable
        [sw4]dis stp br
        [sw4]dis stp brief
         MST ID   Port                                Role  STP State   Protection
         0        GigabitEthernet1/0/3                ROOT  FORWARDING  NONE

         0        GigabitEthernet1/0/5                ALTE  DISCARDING  NONE

        查询可知 g1/0/5端口为阻塞端口

 2.实现sw1,sw2链路聚合。

        解决完环路的影响之后设置sw1,sw2的链路聚合

        将sw1,g1/0/1  g1/0/2与sw2,g1/0/1  g1/0/2端口聚合链路类型设置为link-type Trunk.

        [H3C]sys sw1
        [sw1]int br 1                                                                      创建聚合组1

        [sw1]int g1/0/1                                                                   进1/0/1接口

        [sw1-GigabitEthernet1/0/1]port link-aggregation group 1  加入聚合组1

        1/0/2接口同理

        使用动态聚合        有动态静态聚合两种

        [sw1]int br 1

        [sw1-Bridge-Aggregation1]link-aggregation mode dynamic

        改聚合组类型为Trunk

        [sw1-Bridge-Aggregation1]port l

        [sw1-Bridge-Aggregation1]port link-type trunk

        [sw1-Bridge-Aggregation1]port trunk permit vlan 1000     允许vlan 1000通过

        sw2交换机配置同理。

  3.划分Wlan  所有的vlan都为vlan1000，这里要注意sw2,sw3,sw4之间的链路类型最好都改成trunk.

        sw2交换机允许vlan1000通过

        [sw2]vlan 1000
        [sw2-vlan1000]port g1/0/4

        [sw2-vlan1000]port g1/0/3

  sw3交换机同理

        [sw3-vlan1000]port g1/0/4

        [sw3-vlan1000]port g1/0/5

sw4交换机

        [sw4-vlan1000]port g1/0/1 to g1/0/2

        [sw4-vlan1000]port g1/0/3 to g1/0/5

sw1交换机

        给个1/0/3端口加入vlan1000，否者不能通。[sw1-vlan1000]port g1/0/3

 4.在sw4交换机实现端口隔离，隔离pc2,pc3，使它们不能互通。

        [sw4]port-isolate group 1     创建隔离组1

进需要隔离的端口将端口加入创建的隔离组

        [sw4-GigabitEthernet1/0/1]port-isolate enable group 1

        [sw4]in g1/0/2

        [sw4-GigabitEthernet1/0/2]port-isolate enable group 1

5.配置sw1  g0/3端口的802.1x协议。实现登录验证。因为使用的是模拟器，所以此处将g1/0/3端口处pc的mac地址加入到sw1交换机中使之能够ping通。

加入802.1x协议：

        [sw1]dot1x                                                    开启全局dot1x  默认打开
        [sw1]int g1/0/3                                              开启端口dot1x
        [sw1-GigabitEthernet1/0/3]dot1x
        [sw1]local-user 1 class network                             设置用户
        [sw1-luser-network-1]service-type lan-access        类型

        [sw1-luser-network-1]password simple 123           明文方式的密码

开启成功。此时pc2不能ping通pc1.

须绑定pc1   g1/0/3端口MAC地址到sw1  的vlan1000中。

[sw1-GigabitEthernet1/0/3]mac-address static 46b7-0f68-0500 vlan  1000

结束。。。。