9 实验九 交换机应用二.docx
- 文档编号:11221136
- 上传时间:2023-02-25
- 格式:DOCX
- 页数:28
- 大小:326.19KB
9 实验九 交换机应用二.docx
《9 实验九 交换机应用二.docx》由会员分享,可在线阅读,更多相关《9 实验九 交换机应用二.docx(28页珍藏版)》请在冰豆网上搜索。
9实验九交换机应用二
实验九交换机应用二
一、实验目的
1、掌握VLAN之间互访的配置方法;
2、掌握配置DHCPServer的方法;
3、了解生成树协议(STP)的原理,掌握其配置方法;
4、了解三层交换机访问控制列表(ACL)的原理,掌握配置方法;
5、了解路由、路由协议、分类,掌握静态路由、动态路由(RIP和OSPF)的配置方法;
二、实验环境
在实验步骤中给出。
三、实验过程
(一)VLAN之间互访
●组网需求
(1)交换机配置4个VLAN,分别为VLAN1,VLAN2,VLAN3,VLAN4;
(2)要求VLAN1与VLAN2,3,4之间可以互访;
(3)VLAN2,3,4之间不能互访。
说明:
交换机端口的链路类型有三种:
Access、Hybrid和Trunck。
hybrid属性是一种混杂模式,实现了在一个untagged端口允许报文以tagged形式送出交换机。
同时可以利用hybrid属性定义分属于不同的vlan的端口之间的互访,这是access和trunk端口所不能实现的。
在一台交换机上不允许trunk端口和hybrid端口同时存在。
●组网图
●配置步骤
1.设置各VLAN中PC的IP地址(在同一网段)
2.创建VLAN2,3,4
[H3C]vlan2
[H3C-vlan2]vlan3
[H3C-vlan3]vlan4
[H3C-vlan4]
思考:
为何不创建VLAN1?
3.进入端口Ethernet1/0/1,将端口设置为hybrid模式,设置端口pvid为1,允许VLAN1,2,3,4不打标签通过。
[H3C-vlan4]interfaceEthernet1/0/1
[H3C-Ethernet1/0/1]portlink-typehybrid
[H3C-Ethernet1/0/1]porthybridpvidvlan1
[H3C-Ethernet1/0/1]porthybridvlan1to4untagged
4.进入端口Ethernet1/0/2,将端口设置为hybrid模式,设置端口pvid为2,允许VLAN1,2不打标签通过
[H3C-Ethernet1/0/1]interfaceEthernet1/0/2
[H3C-Ethernet1/0/2]portlink-typehybrid
[H3C-Ethernet1/0/2]porthybridpvidvlan2
[H3C-Ethernet1/0/2]porthybridvlan1to2untagged
5.进入端口Ethernet1/0/3,将端口设置为hybrid模式,设置端口pvid为3,允许VLAN1,3不打标签通过
[H3C-Ethernet1/0/2]interfaceEthernet1/0/3
[H3C-Ethernet1/0/3]portlink-typehybrid
[H3C-Ethernet1/0/3]porthybridpvidvlan3
[H3C-Ethernet1/0/3]porthybridvlan13untagged
6.进入端口Ethernet1/0/4,将端口设置为hybrid模式,设置端口pvid为4,允许VLAN1,4不打标签通过
[H3C-Ethernet1/0/3]interfaceEthernet1/0/4
[H3C-Ethernet1/0/4]portlink-typehybrid
[H3C-Ethernet1/0/4]porthybridpvidvlan4
[H3C-Ethernet1/0/4]porthybridvlan14untagged
●测试
1、测试Vlan1与Vlan2,3,4之间能互访吗?
为什么?
2、测试Vlan2与Vlan3,4之间能互访吗?
为什么?
3、测试Vlan3与4之间能互访吗?
为什么?
(二)交换机作为DHCPServer的配置
●组网图
●组网需求
(1)H3CS3600交换机作为DHCPServer。
在S3600交换机上配置DHCPServer,使下面的用户动态获取相应网段的IP地址;
(2)DHCPServer的IP地址:
参考IP地址规划。
这里为了叙述方便,以10.100.100.1/24为例;
(3)PC机接在Vlan2的任意端口上;
(4)Vlan2包含E1/0/2~E1/0/4端口。
(5)指定DNS服务器域名及其IP地址。
外网DNS:
-----------202.203.85.88
内网DNS:
---------10.100.100.110
●配置步骤
1.创建(进入)VLAN2
[H3C]vlan2
2.将E1/0/2~E1/0/4端口加入VLAN2
[H3C-vlan2]portEthernet1/0/2toEthernet1/0/4
3.进入VLAN接口2
[H3C-vlan2]interfacevlan2
4.为VLAN2配置IP地址
[H3C-Vlan-interface2]ipaddress10.100.100.1255.255.255.0
[H3C-Vlan-interface2]quit
5.全局使能DHCP功能
[H3C]dhcpenable
6.创建DHCP地址池并进入DHCP地址池视图
[H3C]dhcpserverip-poolh3c
7.配置动态分配的IP地址范围
[H3C-dhcp-pool-h3c]network10.100.100.1mask255.255.255.0
8.配置网关地址
[H3C-dhcp-pool-h3c]gateway-list10.100.100.1
9.指定DNS服务器域名和IP地址
[H3C-dhcp-pool-h3c]domain_namenetwork_lab
[H3C-dhcp-pool-h3c]dns_list202.203.85.8810.100.100.110
10.禁止将网关地址分配给客户机
[H3C-dhcp-pool-h3c]quit
[H3C]dhcpserverforbidden-ip10.100.100.1
11.指定vlan2虚接口工作在全局地址池模式
[H3C]dhcpselectglobalinterfacevlan-interface2
●测试
将客户机与交换机E1/0/2~E1/0/4端口连接,测试动态获取网络参数的正确性。
●配置关键点
1.PC从DHCPServer动态获得IP地址时,必须保证接口在同一个VLAN下;
2.对于DHCPServer设备,可以使用全局地址池和接口地址池进行地址分配,这两种配置方法的适用情况是:
如果DHCPClient和DHCPServer在同一网段,这两种配置方法方法都适用;如果DHCPClient和DHCPServer不在同一网段,则只能用基于全局地址池的DHCPServer配置。
当虚接口工作在全局地址池模式时,使用以下命令:
dhcpselectglobalall
3.Vlan接口默认情况下以全局地址池方式进行地址分配,因此当Vlan接口配置了全局地址池方式进行地址分配后,查看交换机当前配置时,在相应的Vlan接口下无法看到有关DHCP的配置。
(三)交换机DHCPRELAY配置
●DHCPRELAY基本知识
早期的dhcp协议只适用于dhcpclient和server处于同一个子网内的情况,不可以跨网段工作。
因此,为实现动态主机配置,需要为每一个子网设置一个dhcpserver,这显然是不经济的。
dhcprelay的引入解决了这一难题:
局域网内的dhcpclient可以通过dhcprelay与其他子网的dhcpserver通信,最终取得合法的ip地址。
这样,多个网络上的dhcpclient可以使用同一个dhcpserver,既节省了成本,又便于进行集中管理。
DHCPRelay的作用则是为了适应客户端和服务器不在同一网段的情况,通过Relay,不同子网的用户可以到同一个DHCPserver申请IP地址,这样便于地址池的管理和维护。
●组网图
●配置环境参数
1.DHCPserver的IP地址10.100.101.1/24
2.DHCPserver连接在交换机E1/0/2,属于vlan2,网关即vlan2虚接口地址10.100.101.2/24
3.E1/0/3属于vlan3,网段地址10.100.100.1/24
●配置步骤
注意:
DHCPServer是你在WindowsServer2003中配置的DHCP,实际配置时,组网图中的IP地址请作适当修改。
1.全局使能DHCP功能
[H3C]dhcpenable
2.指定DHCPServer组1所采用的DHCPServer的IP地址
[H3C]dhcp-server1ip10.100.101.1
3.配置DHCPRelay到DHCPServer的接口地址
[H3C]vlan2
[H3C-vlan2]portE1/0/2
[H3C-vlan2]quit
[H3C]intvlan2
[H3C-Vlan-interface2]ipaddress10.100.101.2255.255.255.0
4.配置DHCPRelay到PC的接口地址
[H3C]vlan3
[H3C-vlan3]portE1/0/3
[H3C-vlan3]quit
[H3C]intvlan3
[H3C-Vlan-interface3]ipaddress10.100.100.1255.255.255.0
5.指定VLAN接口归属到DHCPServer组1
[H3C-Vlan-interface3]dhcp-server1
●测试
1.PC机从DHCPServer获取的网络参数有哪些?
2.PC能访问你的WWW等服务吗?
(四)交换机DHCPSnooping配置
●DHCPSnooping技术介绍
DHCPSnooping是DHCP安全特性,通过建立和维护DHCPSnooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。
DHCPSnooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息。
当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCPRequest或DHCPAck报文中提取并记录IP地址和MAC地址信息。
另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。
信任端口可以正常接收并转发DHCPOffer报文,而不信任端口会将接收到的DHCPOffer报文丢弃。
这样,可以完成交换机对假冒DHCPServer的屏蔽作用,确保客户端从合法的DHCPServer获取IP地址。
dhcp-snooping的主要作用:
1.隔绝非法的dhcpserver,通过配置非信任端口。
2.建立和维护一张dhcp-snooping的绑定表,这张表一是通过dhcpack包中的ip和mac地址生成的,二是可以手工指定。
这张表是DAI(dynamicarpinspect)和IPSourceGuard基础,通过这张表来判定ip或者mac地址是否合法,来限制用户连接到网络的。
●组网需求
1.PC可以从指定DHCPServe获取到IP地址;
2.防止其他非法的DHCPServe影响网络中的主机。
●组网图
●配置步骤
1.进入系统视图
2.全局使能DHCP-Snooping功能
[H3C]dhcp-snooping
3.进入端口E1/0/2
[H3C]InterfaceEthernet1/0/2
3.将端口E1/0/2配置为trust端口
[H3C-Ethernet1/0/1/2」dhcp-snoopingtrust
配置关键点:
1.当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCPrequest或DHCPAck报文文中提取并记录IP地址和MAC地址信息。
另外,DHCP-spooping允许将某个物理端口设置为信任端口或不信任端口。
信任端口可以正常接收并转发DHCPOffer报文,而不信任端口会将接收到的DHCPOffer报文丢弃。
这样,可以完成交换机对假冒DHCPServer的屏蔽作用,确保客户端从合法的DHCPServer获取IP地址;
2.由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文“dhcpoffer”报文,由E1/0/2端口进入交换机并进行转发,因此需要将端口E1/0/2配置为“trust”端口。
如果交换机上行接口配置为Trunk端口,并且连接到DHCP中继设备,也需要将上行端口配置为“trust”端口。
(五)配置生成树协议(STP)
●STP基础知识
STP的全称是spanning-treeprotocol,STP协议是一个二层的链路管理协议,它在提供链路冗余的同时防止网络产生环路。
STP的基本原理是,通过在交换机之间传递一种特殊的协议报文(在IEEE802.1D中这种协议报文被称为“配置消息”)来确定网络的拓扑结构。
配置消息中包含了足够的信息来保证交换机完成生成树计算。
STP的基本思想就是生成“一棵树”,树的根是一个称为根桥的交换机,根据设置不同,不同的交换机会被选为根桥,但任意时刻只能有一个根桥。
由根桥开始,逐级形成一棵树,根桥定时发送配置报文,非根桥接收配置报文并转发,如果某台交换机能够从两个以上的端口接收到配置报文,则说明从该交换机到根有不止一条路径,便构成了循环回路,此时交换机根据端口的配置选出一个端口并把其他的端口阻塞,消除循环。
当某个端口长时间不能接收到配置报文的时候,交换机认为端口的配置超时,网络拓扑可能已经改变,此时重新计算网络拓扑,重新生成一棵树。
●组网需求
1.所有设备运行STP(Spanning-TreeProtocol)生成树协议;
2.以SwitchB为根网桥,阻断网络中的环路,并能达到链路冗余备份的效果;
●组网图
说明:
1.本实验需要5台交换机,故5组合并成一个大组进行实验;
2.实验中交换机序号A~E请自行协商确定。
●配置步骤
首先按组网图连接线路,稍等一会儿,仔细观察交换机端口指示灯,与平时有什么变化?
(请作记录)分析原因。
通过改变交换机或者端口的STP优先级,从而达到手工指定网络中的根网桥,以及端口的STP角色,完成阻断环路及链路的冗余备份。
SwitchA配置:
1.全局使能STP功能
[switchA]stpenable
2.将接PC机的端口STP功能关闭,或者配置为边缘端口,并使能BPDU保护功能
[switchA-Ethernet1/0/4]stpdisable
[switchA-Ethernet1/0/4]stpedged-portenable
[switchA]stpbpdu-rotection
SwitchB配置:
1.全局使能STP功能
[switchB]stpenable
2.将SwitchB配置为树根(两种方法:
将SwitchB的Bridge优先级设置为0,或者直接将SwitchB指定为树根,两种方法一个效果)
[switchB]stppriotity0
[switchB]stprootprimary
3.在各个指定端口上启动根保护功能(在此例中,SwitchB的所有端口都是指定端口)
[switchB]interfaceEthernetl/0/1
[switchB-Ethernetl/0/1]stproot-rotection
[switchB-Ethernetl/0/1]interfaceEthernetl/0/2
[switchB-Ethernetl/0/2]stproot-rotection
[switchB-Ethernetl/0/2]interfaceEthernetl/0/3
[switchB-Ethernetl/0/3]stproot-rotection
[switchB-Ethernetl/0/3]interfaceEthernetl/0/4
[switchB-Ethernetl/0/4]stproot-rotection
SwitchC配置:
1.全局使能STP功能
[switchC]stpenable
2.将SwitchC配置为备份树根(两种方法:
将switchC的Bridge优先级设置为4096,或者直接将switchC指定为备份树根,两种方法一个效果)
[switchC]stppriotity4096
[switchC]stprootsecondary
SwitchD配置:
1.全局使能STP功能
[SwitchD]stpenable
2.将接PC机的端口STP功能关闭,或者配置为边缘端口,并使能BPDU保护功能
[SwitchD-Ethernetl/0/4]stpdisable
[SwitchD-Ethernetl/0/4]stpedged-portenable
[SwitchD]stpbpdu-protection
SwitchE配置:
1.全局使能STP功能
[SwitchE]stpenable
2.将接PC机的端口STP功能关闭,或者配置为边缘端口,并使能BPDU保护功能
[SwitchE-Ethernetl/0/4]stpdisable
[SwitchE-Ethernetl/0/4]stpedged-portenable
[SwitchE]stpbpdu-protection
所有交换机配置完成后,请仔细观察交换机端口指示灯,有什么变化?
(做好记录)
●配之关键点
1.配置了“bpdu-protection”后,如果某个边缘端口收到BPDU报文,则该边缘端口将会被关闭,必须由手工进行恢复;
2.当端口上配置了“stproot-protection”以后,该端口的角色只能是指定端且一旦该端口上收到了优先级高的配置消息,则该端口的状态将被配置为侦听状态,不再转发报文,当在足够长的时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。
(六)典型访问控制列表(ACL)的配置
●基础知识
ACL(AccessControlList,访问控制列表):
由permit或deny语句组成的一系列有顺序的规则,这些规则针对数据包的源地址、目的地址、端口号、上层协议或其他信息来描述。
ACL可以应用于下列业务:
1.包过滤
包过滤作为一种网络安全保护机制,用于在两个不同安全级别的网络之间控制流入和流出网络的数据。
防火墙转发数据包时,先检查包头信息(例如包的源地址/目的地址、源端口/目的端口和上层协议等),然后与设定的规则进行比较,根据比较的结果决定对该数据包进行转发还是丢弃处理。
为了实现数据包过滤,需要配置一系列的过滤规则。
采用acl定义过滤规则,然后将acl应用于防火墙不同区域之间,从而实现包过滤。
2.NAT
NAT(NetworkAddressTranslation,地址转换)是将数据报报头中的ip地址转换为另一个ip地址的过程,主要用于实现内部网络(私有ip地址)访问外部网络(公有ip地址)的功能。
在实际应用中,我们可能仅希望某些内部主机(具有私有ip地址)具有访问internet(外部网络)的权利,而其他内部主机则不允许。
这是通过将acl和nat地址池进行关联来实现的,即只有满足acl条件的数据报文才可以进行地址转换,从而有效地控制地址转换的使用范围。
3.IPSec
IPSec(IPSecurity)协议族是ietf制定的一系列协议,它通过ip层的加密与数据源验证机制,确保在internet上参与通信的两个网络节点之间传输的数据包具有私有性、完整性和真实性。
IPsec能够对不同的数据流施加不同的安全保护,例如对不同的数据流使用不同的安全协议、算法和密钥。
实际应用中,数据流首先通过acl来定义,匹配同一个acl的所有流量在逻辑上作为一个数据流。
然后,通过在安全策略中引用该acl,从而确保指定的数据流受到保护。
4.QoS
QoS(QualityofService,服务质量)用来评估服务方满足客户需求的能力。
在internet上保证QoS的有效办法是增加网络层在流量控制和资源分配上的功能,为有不同服务需求的业务提供有区别的服务。
流分类是有区别地进行服务的前提和基础。
实际应用中,首先制定流分类策略(规则),流分类规则既可以使用ip报文头的tos字段内容来识别不同优先级特征的流量,也可以通过acl定义流分类的策略,例如综合源地址/目的地址/mac地址、ip协议或应用程序的端口号等信息对流进行分类。
然后,在流量监管、流量整形、拥塞管理和拥塞避免等具体实施上引用流分类策略或acl。
5.路由策略
路由策略是指在发送与接收路由信息时所实施的策略,它能够对路由信息进行过滤。
路由策略有多种过滤方法。
其中,acl作为它的一个重要过滤器被广泛使用,即用户使用acl指定一个ip地址或子网的范围,作为匹配路由信息的目的网段地址或下一跳地址。
应用acl的基本步骤:
acl一般都是通过下列两个步骤来实现各种需求:
(1)创建acl:
定义对特定数据流的访问规则
(2)在业务或应用中引用acl:
将定义的规则应用到具体的接口上,从而过滤特定方向的数据流。
ACL分为标准ACL和扩展ACL。
标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。
每个ACL都有一个编号,H3C交换机和路由器的ACL编号分为四种类型,参见下表:
ACL类型
类型号
基本ACL
2000~2999
高级ACL
3000~3999
二层ACL
4000~4999
用户自定义ACL
5000~5999
●组网需求
1.通过配置基本访问控制列表,实现在每天8:
00-18:
00时间段内对源IP为10.1.1.2主机发出的报文进行过滤;
2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:
00至18:
00访问工资查询服务器;
3.通过二层访问控制列表,实现在每天8:
00-18:
00时间段内对源MAC(实验时请检查该PC机的MAC)为O0eO-fcO1-0303的报文进行过滤。
●组网图
●配置说明
1、IP地址可以使用组网图中的IP地址;如子网10.1.1.0/24中PC机的地址设置为10.1.1.2,24为子网掩码位数,即255.255.255.0。
2、由于每组只有3台PC
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验九 交换机应用二 实验 交换机 应用