在多层交换中实现网络的冗余以及详细讲解

实验目的：

1. 在多层交换中实现VTP、STP的基本配置，以及掌握它们的工作原理；

 2. 在多层交换中实现多VLAN之间的HSRP配置，以及掌握它的工作原理；

 3. 在多层交换中实现ACL访问控制列表的基本配置；

4. 在多层交换中实现NAT网络地址转换的基本配置以及工作原理；

 实验拓扑：

 

实验连线：

 

Router1 E0/0 <----> VPCS V0/1

Router1 E0/1 <----> Switch 1 F 0/15

Router1 E0/2 <----> Switch 2 F 0/15

Switch 1 F 0/1 <----> Switch 2 F 0/2

Switch 1 F 0/2 <----> Switch 2 F 0/1

Switch 1 F 0/14 <----> Switch 3 F 0/14

Switch 1 F 0/13 <----> Switch 4 F 0/13

Switch 2 F 0/14 <----> Switch 4 F 0/14

Switch 2 F 0/13 <----> Switch 3 F 0/13

Switch 3 F 0/5 <----> VPCS V0/2

Switch 4 F 0/5 <----> VPCS V0/3

 

实验步骤：

 

一、配置路由器：

1.       在路由器 1 上配置路由器各个接口的 IP 地址： E0/0 模拟的是外网的接口， e0/1 和 e0/2 模拟的是内网接口的 IP 地址：配置 E0/0 外网的接口是为了 NAT 地址转换，

r1(config)#interface e0/0

r1(config-if)#ip add 100.100.1.1 255.255.255.0

r1(config-if)#no sh

r1(config-if)#ex

r1(config)#interface e0/1

r1(config-if)#ip add 10.1.1 .2 255.255.255.0

r1(config-if)#no sh

r1(config-if)#ex

r1(config)#interface e0/2

r1(config-if)#ip add 10.1.2 .2 255.255.255.0

r1(config-if)#no sh

r1(config-if)#ex

2.       在路由器 1 上启动 OSPF 宣告网络的进程号，并为路由器 1 配置默认路由；配置默认路由的原因是因为我们在这里用路由器来模拟的公网所以要来配置默认路由：

r1(config)#router ospf 100

r1(config-router)#network 10.1.1 .0 0.0.0.255 area 0

r1(config-router)#network 10.1.2 .0 0.0.0.255 area 0

r1(config-router)#network 100.100.100.0 0.0.0 .255 area 0

r1(config)#ip route 0.0.0 .0 0.0.0.0 e0/0

 

二、配置交换机：

 

(1) 、配置交换机的 VTP 协议：

VTP 协议和工作原理：保持 VLAN 配置的一致性提供从一个交换机在整个管理域中的增加虚拟区域网的方法。在这里要注意的是： VTP 域和 VTP 通告：

VTP 的运行模式：服务器模式 (SERVER) 、客户机模式 (CLLENT) 、透明模式 (TRANSPARENT);

VTP 的三种消息通告：来自客户机的通告请求、汇总通告、子集通告：

2 在 sw -3L 1 配置 VTP 并制定模式为 SERVER 以及在它的上面创建 VLAN 。配置 VTP 的具体优点如下：

在 SW -3L 1 上换分 VLAN 的原因是因为 SW -3L 1 是服务器模式；通过 VTP 来让不同的交换机学习；

sw -3L 1(vlan)#vtp domain benet

sw -3L 1(vlan)#vtp server

sw -3L 1(vlan)#vlan 20

VLAN 20 added:

    Name: VLAN0020

sw -3L 1(vlan)#vlan 30

VLAN 30 added:

Name: VLAN0030

3.       在 sw -3L 2 上配置 VTP 指定它的模式为 SERVER ；在一个网络中可以配置多个 SERVER 所以 . 我们在这里所定义的是两个服务器；

sw -3L 2(vlan)#vtp domain benet

sw -3L 2(vlan)#vtp server

4.       在 sw -2L 1 上配置 VTP 指定它的模式为 CLIENT ；

sw -2L 1(vlan)#vtp domain benet

sw -2L 1(vlan)#vtp client

5.       在 sw -2L 2 上配置 VTP 指定它的模式为 CLIENT;

sw -2L 2(vlan)#vtp domain benet

sw -2L 2(vlan)#vtp client

 

(2) 、配置交换机的 TRUNK 链路：

 

1 ．在 Sw -3L 1 上配置 TRUNK ；

sw -3L 1(config)#interface range f0/1 - 2

sw -3L 1(config-if-range)#sw mo tr

sw -3L 1(config-if-range)#no sh

sw -3L 1(config-if-range)#ex

sw -3L 1(config)#interface range f0/13 - 14

sw -3L 1(config-if-range)#sw mo tr

sw -3L 1(config-if-range)#no sh

2. 在 sw -3L 2 配置 TRUNK ；

sw -3L 2(config)#interface range f0/1 - 2

sw -3L 2(config-if-range)#sw mo tr

sw -3L 2(config-if-range)#no sh

sw -3L 2(config-if-range)#exit

sw -3L 2(config)#interface range f0/13 - 14

sw -3L 2(config-if-range)#sw mo tr

sw -3L 2(config-if-range)#no sh

sw -3L 2(config-if-range)#ex

3 ．在 sw -2L 1 上配置 TRUNK ；

sw -2L 1(config)#interface range f0/13 - 14

sw -2L 1(config-if-range)#sw mo tr

sw -2L 1(config-if-range)#no sh

sw -2L 1(config-if-range)#ex

4 ．在 sw -2L 2 上配置 TRUNK ；

sw -2L 2(config)#interface range f0/13 - 14

sw -2L 2(config-if-range)#sw mo tr

sw -2L 2(config-if-range)#no sh

 

(3) 、配置 STP 生成树协议；首先要知道配置生成树的原因就是要实现网络的冗余。

STP 的概述：叫做生成树协议，就是把一个环形的结构变成一个树形的结构。他是通过一种算法将物理上存在的环形网络，通过一种算法，在逻辑上断开一些端口，来生成一个逻辑上的树形结构；

STP 的原理：虽然 STP 生成树的算法很复杂，但是它步骤可以归纳为一下三种：选择根网桥、选择根端口、选择指定端口；

选择跟网桥：首先是选择根网桥的网桥 ID ，如果网桥的 IP 相同则选择优先级，优先级小的它则是根网桥，在优先级相同的情况下则选择 MAC 地址小的为根网桥。

选择根端口：先是选择网桥的根路径成本，直连是网桥 ID 最小，端口 ID 最小！

选择指定端口：根路径成本较低所在的交换机的网桥的 ID 的值较小，端口 ID 的值较小。

BPDU( 协议数据单元 ) ：交换机之间通过 BPDU 来交换网桥的 ID 、根路径成本等信息。它有两种类型 : 一种是配置 BPDU 、一种是拓扑变更通告；

生成树端口有五种状态：禁用、阻塞、侦听、学习、转发。

配置以太网通道：主要的原因是希望两条链路能够实现负载均衡，来提高链路带宽，以及相互备份。但是参与以太网捆绑技术有一下几个要求：虽然参于以太网隧道可以能提高链路带宽并运行一种机制，将多个以太网端口捆绑成一条逻辑链路。它最多可以捆绑 8 条物理链路，如果参于捆绑的端口必须属于同一个 VLAN 。如果一边是中继模式，那么两边必须要相同；

1. 在 sw -3L 1 上配置 vlan 20 的根网桥； sw -3L 2 上配置 30 的根网桥：

sw -3L 1(config)#spanning-tree vlan 20 priority 4096

sw -3L 1(config)#spanning-tree vlan 30 priority 8192

sw -3L 2(config)#spanning-tree vlan 30 priority 4096

sw -3L 2(config)#spanning-tree vlan 20 priority 8192

2. 在三层交换上配置以太网隧道；

sw -3L 1(config)#interface range f0/1 - 2

sw -3L 1(config-if-range)#channel-group 1 mode .

sw -3L 2(config)#interface range f0/1 - 2

sw -3L 2(config-if-range)#channel-group 1 mode .

(4) 、在三层交换上配置接口以及各 Vlan 的 IP 地址并用 OSPF 宣告；

首先我们要知道什么是三层交换技术？

三层交换机技术简单的说就是二层交换技术 + 三层转发技术；而且是为了解决路由器和交换机的瓶颈问题；对于三层交换来说它的性能比较好；三层交换技术在第三层实现了数据包的高速转发，从而解决了传统路由器的低速、复杂所造成的网络瓶颈的问题；三层交换采用传统的 MLS 技术和基于 CEF 的 MLS 技术进行。

1. 配置三层交换接口的 IP 地址：

sw -3L 1(config)#interface f0/15

sw -3L 1(config-if)#no switchport

sw -3L 1(config-if)#ip add 10.1.1 .1 255.255.255.0

sw -3L 1(config-if)#no sh

sw -3L 1(config-if)#ex

sw -3L 2(config)#interface f0/15

sw -3L 2(config-if)#no switchport

sw -3L 2(config-if)#ip add 10.1.2 .1 255.255.255.0

sw -3L 2(config-if)#no sh

sw -3L 2(config-if)#ex

2. 配置三层交换上各个 VLAN 的 IP 地址；配置 VLAN 的 IP 地址相当于配置单臂路由的子接口的 IP 地址；

sw -3L 1(config)#interface vlan 20

sw -3L 1(config-if)#ip add 192.168.2.1 255.255.255.0

sw -3L 1(config-if)#no sh

sw -3L 1(config-if)#ex

sw -3L 1(config)#interface vlan 30

sw -3L 1(config-if)#ip add 192.168.3.1 255.255.255.0

sw -3L 1(config-if)#no sh

sw -3L 1(config-if)#ex

sw -3L 2(config)#interface vlan 20

sw -3L 2(config-if)#ip add 192.168.2.2 255.255.255.0

sw -3L 2(config-if)#no sh

sw -3L 2(config-if)#ex

sw -3L 2(config)#interface vlan 30

sw -3L 2(config-if)#ip add 192.168.3.2 255.255.255.0

sw -3L 2(config-if)#no sh

sw -3L 2(config-if)#ex

3. 在三层交换上宣告 OSPF 进程；（我们在这里把三层交换看成了路由器，所以在它的上面配置了 OSPF 协议）

sw -3L 1(config)#router ospf 100

sw -3L 1(config-router)#network 10.1.1 .0 0.0.0.255 area 0

sw -3L 1(config-router)#network 192.168.1.0 0.0.0 .255 area 0

sw -3L 1(config-router)#network 192.168.2.0 0.0.0 .255 area 0

sw -3L 2(config)#router ospf 100

sw -3L 2(config-router)#network 192.168.2.0 0.0.0 .255 area 0

sw -3L 2(config-router)#network 192.168.3.0 0.0.0 .255 area 0

sw -3L 2(config-router)#network 10.1.2 .0 0.0.0.255

sw -3L 2(config-router)#network 10.1.2 .0 0.0.0.255 area 0

(5) 、在二层交换上划分指定的端口到不同的 VLAN ；

sw -2L 1(config)#interface f0/15

sw -2L 1(config-if)#sw mo acc

sw -2L 1(config-if)#sw acc vlan 20

sw -2L 1(config-if)#no sh

sw -2L 2(config)#interface f0/15

sw -2L 2(config-if)#sw mo acc

sw -2L 2(config-if)#sw acc vlan 30

sw -2L 2(config-if)#no sh

三、配置不同 VLAN 的 HSRP ；

HSRP 的概述：热备份路由协议是 CISCO 平台上所特有的一种技术，它确保了当前网络出现故障时或者接入链路出现故障的时候，能够快速的恢复，以此来实现网络的冗余性。从而来满足网络的可靠性！

HSRP 的工作原理： HSRP 可以支持 LAN 网段上的一组路由器一起来工作，并作为一个虚拟路由器或者默认网关呈现给该网段上的所有主机；这样当其中的一台路由器出现故障的时候就会进行快速的替换。尤其在进行关键应用和设计容错性的网络环境中。热备份路由协议特别有用，通过共同提供一个 IP 地址和 MAC 地址，两个或者多个路由器可以作为一个虚拟路由器，当某个路由器按照原计划停止工作或者出现意想不到的故障的时候，其他的路由器能够快速无缝地接替它进行路由选择。这样 LAN 内的主机能持续的向同一个 IP 和 MAC 地址发送信息；而这个 IP 和 MAC 地址则是虚拟路由器的 IP 地址和 MAC 地址：路由器上的故障切换对主机和其上的会话是透明的。

HSRP 的状态：初始状态、学习状态、监听状态、发言状态、备份状态、活跃状态。

HSRP 的端口追踪：如果在 HSRP 中的活跃路由器连往外部的链路失效时，尽管对外部的端口不可以再用，该路由器仍然从其他的路由器发送 Hello 消息，指明该路由仍然是活跃的。因此将发送的数据包不能正确的到达外部网络。我们利用端口跟踪，活跃路由器的优先级可以基于端口的可用性而自动的调整。当活跃路由器上的一个被追踪的端口不可用时，活跃路由器的 HSRP 将被降低。

1. 配置 sw -3L 1 上 VLAN20 和 VLAN30 虚拟的 IP 地址和端口的优先级；

sw -3L 1(config)#interface vlan 20

sw -3L 1(config-if)#standby 100 ip 192.168.2.254

sw -3L 1(config-if)#standby 100 priority 120

sw -3L 1(config-if)#no sh

sw -3L 1(config)#interface vlan 30

sw -3L 1(config-if)#standby 200 ip 192.168.3.254

sw -3L 1(config-if)#standby 200 priority 110

sw -3L 1(config-if)#no sh

2. 配置 sw -3L 2 上 VLAN20 和 VLAN30 虚拟的 IP 地址和端口的优先级；

sw -3L 2(config)#interface vlan 20

sw -3L 2(config-if)#standby 100 ip 192.168.2.254

sw -3L 2(config-if)#standby 100 priority 110

sw -3L 2(config-if)#no sh

sw -3L 2(config-if)#ex

sw -3L 2(config)#interface vlan 30

sw -3L 2(config-if)#standby 200 ip 192.168.3.254

sw -3L 2(config-if)#standby 200 priority 120

sw -3L 2(config-if)#no sh

sw -3L 2(config-if)#ex

3. 配置端口追踪：

sw -3L 2(config)#interface vlan 30

sw -3L 2(config-if)#standby 200 preempt

sw -3L 2(config-if)#

4. 查看 sw -3L 1 上 HSRP 的基本信息：

sw -3L 1#show standby brief

                     P indicates configured to preempt.

                     |

Interface   Grp Prio P State    Active          Standby         Virtual IP

Vl20        100 120    Active   local           192.168.2.2     192.168.2.254

Vl30        200 110    Standby  192.168.3.2     local           192.168.3.254

四、定义 ACL 访问控制列表；

访问控制列表 (ACL) 的概述：访问控制列表 (ACL) 是应用在路由器接口上的指令列表，具有同一个访问控制列表表号或者 Access-list 语句组成了一个逻辑上的指令列表，这些路由器告诉路由表那些可以允许通过那些可以允许拒绝。它工作的基本原理是： ACL 使用包过滤技术，在路由器上读取 OSI7 层模型的第三层以及第四层包头中的信息，从而达到访问控制列表的目的。访问控制列表分为：标准访问控制列表和扩展访问控制列表；

访问控制列表 (ACL) 的工作原理：首先我们要知道 ACL 的作用：例如我们可以用访问控制列表可以提高网络访问的基本安全手段；访问控制列表可用于 QOS 对数据流量进行控制；提供对通信流量的控制手段。在这里我们以标准的访问控制列表来举例说明：

r1(config)access-list 1 permit 10.1.1 .0 0.0.0.255

r1(config)access-list 1 permit 10.1.2 .0 0.0.0.255

r1(config)access-list 1 permit 192.168.2.0 0.0.0 .255

r1(config)access-list 1 permit 192.168.3.0 0.0.0 .255

r1(config)access-list 1 deny any

关于访问控制列表的入与出可以把他应用在某一个接口上，可以用 in 或者 out 来定义访问控制列表的入与出；对于入标准基于标准的访问控制列表他的过程是这样的：

当接受到一个数据包时，路由器检查数据包的源地址是否与访问控制列表中的条目相符；如果访问控制列表允许该地址那么，路由器将停止检查访问控制列表，继续处理该数据包。如果访问控制列表拒绝了这个地址，那么路由器将丢弃该数据包，并且返回到上一层消息协议；但是对出接口的访问控制列表；在接受并将数据包转发到相应的受限制的接口后，路由器检查数据包的源地址是否与访问控制列表中的条目相符。如果允许那么将传输该数据包如果拒绝将丢弃数据包，那么他会返回到上一层的消息协议：

r1(config)#interface e0/1

r1(config-if)#ip access-group 1 in

r1(config-if)#ex

r1(config)#interface e0/2

r1(config-if)#ip access-group 1 in

r1(config-if)#ex

r1(config)#interface e0/0

r1(config-if)#ip access-group 1 out

r1(config-if)#ex

 

五、定义 NAT 网络地址转换：

r1(config)#ip nat inside source list 1 inter e0/0 overload

六、配置客户端的 IP 地址；

VPCS 1 >ip 100.100.1.125 100.100.1.1 24

PC1 : 100.100.1.125 255.255.255.0 gateway 100.100.1.1

VPCS 2 >ip 192.168.2.125 192.168.2.254 24

PC2 : 192.168.2.125 255.255.255.0 gateway 192.168.2.254

VPCS 3 >ip 192.168.3.125 192.168.3.254 24

PC3 : 192.168.3.125 255.255.255.0 gateway 192.168.3.254

七、测试网络的互通性；

VPCS 2 >ping 192.168.3.125

192.168.3.125 icmp_seq=1 time=141.000 ms

192.168.3.125 icmp_seq=2 time=109.000 ms

192.168.3.125 icmp_seq=3 time=63.000 ms

192.168.3.125 icmp_seq=4 time=47.000 ms

192.168.3.125 icmp_seq=5 time=63.000 ms

VPCS 3 >ping 100.100.1.125

100.100.1.125 icmp_seq=1 time=94.000 ms

100.100.1.125 icmp_seq=2 time=140.000 ms

100.100.1.125 icmp_seq=3 time=94.000 ms

100.100.1.125 icmp_seq=4 time=78.000 ms

100.100.1.125 icmp_seq=5 time=109.000 ms

VPCS 2 >ping 100.100.1.125

100.100.1.125 icmp_seq=1 time=94.000 ms

100.100.1.125 icmp_seq=2 time=125.000 ms

100.100.1.125 icmp_seq=3 time=125.000 ms

100.100.1.125 icmp_seq=4 time=78.000 ms

100.100.1.125 icmp_seq=5 time=78.000 ms