构建高级的交换网络1.docx
- 文档编号:30737021
- 上传时间:2023-08-20
- 格式:DOCX
- 页数:19
- 大小:147.81KB
构建高级的交换网络1.docx
《构建高级的交换网络1.docx》由会员分享,可在线阅读,更多相关《构建高级的交换网络1.docx(19页珍藏版)》请在冰豆网上搜索。
构建高级的交换网络1
第1章VLAN实验
实验1配置单臂路由
【实验名称】
配置单臂路由
【实验目的】
使用路由器的单臂路由功能实现VLAN间路由。
【背景描述】
为减小广播包对网络的影响,网络管理员在公司内部网络中进行了VLAN的划分。
但是网络设备中没有三层交换机设备,并且路由器上的接口数量有限,在这种情况下要实现VLAN间路由。
【需求分析】
为了节约成本并且充分利用现有设备,在路由器上配置单臂路由实现VlAN间路由。
【实验拓扑】
【实验设备】
路由器1台
交换机1台
PC机1台
【预备知识】
交换机转发原理、交换机基本配置、单臂路由原理。
【实验原理】
VLAN间的主机通信为不同网段间的通信,需要通过三层设备对数据进行路由转发才可以实现。
在路由器上对物理接口划分子接口并封装802.1q协议,使每一个子接口都充当一个VLAN网段中主机的网关,利用路由器的路由功能可以实现不同VLAN间的通信。
【实验步骤】
第一步:
在路由器上配置子接口并封装802.1q
Router#configureterminal
Router(config)#interfacefastEthnet0/0
Router(config-if)#noshutdown
Router(config-if)#interfacefastEthnet0/0.1
!
创建并进入路由器子接口
Router(config-subif)#descriptionvlan10
!
对子接口进行描述
Router(config-subif)#encapsulationdot1q10
!
对子接口封装801.2q协议,并定义VID为10i
Router(config-subif)#ipaddress192.168.10.1255.255.255.0
!
为子接口配置IP地址
Router(config-subif)#noshutdown
Router(config-subif)#exit
Router(config)#interfacefastEthnet0/0.2
Router(config-subif)#descriptionvlan20
Router(config-subif)#encapsulationdot1q20
Router(config-subif)#ipaddress192.168.20.1255.255.255.0
Router(config-subif)#noshutdown
Router(config-subif)#end
第二步:
在交换机上定义Trunk
Switch#configureterminal
Switch(config)#interfacefastEthernet0/1
Switch(config-if)#switchportmodetrunk
!
将与路由器相连的端口配置为Trunk口
Switch(config-if)#exit
第三步:
在交换机上划分VLAN
Switch(config)#vlan10
Switch(config-vlan)#vlan20
Switch(config-vlan)#exit
Switch(config)#interfacefastEthernet0/2
Switch(config-if)#switchportaccessvlan10
Switch(config-if)#exit
Switch(config)#interfacefastEthernet0/3
Switch(config-if)#switchportaccessvlan30
Switch(config-if)#end
第四步:
测试网络连通性
按上图连接拓扑,给主机配置相应VLAN的IP地址,从VLAN10中的PC1pingVLAN20中的PC2,由于路由器的单臂路由功能实现了VLAN间路由。
测试结果如下所示:
C:
\Documentsandsettings\shi1\ping192.168.20.2
ping192.168.20.2with32bytesofdata:
Replyfrom192.168.20.2:
bytes=32time<1msTTL=63
Replyfrom192.168.20.2:
bytes=32time<1msTTL=63
Replyfrom192.168.20.2:
bytes=32time<1msTTL=63
Replyfrom192.168.20.2:
bytes=32time<1msTTL=63
Pingstatisticsfor192.168.20.2:
Packets:
Sent=4,Received=4,Lost=0(0%loss)
Approximateroundtriptimesinmilli-seconds:
Minimum=0ms,Maximum=0ms,Average=0ms
从上述测试结果可以看到,通过在路由器上配置单臂路由,实现了不同VLAN之间的主机通信。
【注意事项】
交换机上和路由器相连的端口需配置Trunk
【参考配置】
Router#showrunning-config
Switch#showrunning-config
实验2配置SVI实现VLAN间路由
【实验名称】
配置SVI实现VLAN间路由
【实验目的】
使用三层交换机实现VLAN间路由
【背景描述】
为减小广播包对网络的影响,网络管理员在公司内部网络中进行了VLAN的划分,完成VLAN的划分后,发现不同VLAN之间无法互相访问。
【需求分析】
可以通过配置三层交换机的SVI接口实现VLAN间的路由。
【实验拓扑】
【实验设备】
三层交换机1台
PC机2台
【预备知识】
交换机转发原理、交换机基本配置、三层交换机路由功能。
【实验原理】
VLAN间的主机通信为不同网段间的通信,需要通过三层设备对数据进行路由转发才可以实现。
通过在三层交换机上为各VLAN配置SVI接口,利用三层交换机的路由功能可以实现VLAN间的路由。
【实验步骤】
第一步:
在三层交换机上创建VLAN
Switch#configureterminal
Switch(config)#vlan10
Switch(config-vlan)#vlan20
Switch(config-vlan)#exit
第二步:
在三层交换机上将端口划分到相应VLAN
Switch(config)#interfacefastEthernet0/1
Switcher(config-if)#switchportaccessvlan10
Switcher(config-if)#exit
Switcher(config)interfacefastEthernet0/2
Switcher(config-if)#switchportaccessvlan20
Switcher(config-if)#exit
第三步:
在三层交换机上给VLAN配置IP地址
Switcher(config)interfacevlan10
Switcher(config-if)#ipaddress192.168.10.1255.255.255.0
Switcher(config-if)#noshutdown
Switcher(config-if)#exit
Switcher(config)interfacevlan20
Switcher(config-if)#ipaddress192.168.20.1255.255.255.0
Switcher(config-if)#noshutdown
Switcher(config-if)#exit
第四步:
验证测试
按拓扑中所示配置PC并连线,从VLAN10中的PC1PingVLAN20中的PC2,结果如下所示:
C:
\Documentsandsettings\shi1\ping192.168.20.2
ping192.168.20.2with32bytesofdata:
Replyfrom192.168.20.2:
bytes=32time<1msTTL=64
Replyfrom192.168.20.2:
bytes=32time<1msTTL=64
Replyfrom192.168.20.2:
bytes=32time<1msTTL=64
Replyfrom192.168.20.2:
bytes=32time<1msTTL=64
Pingstatisticsfor192.168.20.2:
Packets:
Sent=4,Received=4,Lost=0(0%loss)
Approximateroundtriptimesinmilli-seconds:
Minimum=0ms,Maximum=0ms,Average=0ms
从上述测试结果可以看到通过在三层交换机上配置SVI接口实现了不同VLAN之间的主机通信。
【注意事项】
VLAN中PC的IP地址需要和三层交换机上相应VLAN的IP地址在同一网段,并且主机网关配置为三层交换机上相应VLAN的IP地址。
【参考配置】
Switch#showrunning-config
实验三配置跨交换机实现VLAN间路由
【实验名称】
配置跨交换机实现VLAN间路由
【实验目的】
使用三层交换机跨交换机实现VLAN间路由
【背景描述】
为减小广播包对网络的影响,网络管理员在公司内部网络中进行了VLAN的划分。
为了实现不同VLAN间的互相访问,网络管理员利用三层交换机实现VLAN间路由。
但是由于网络中主机数量较大,部分主机需要通过二层交换机接入到网络中,再利用三层交换机的路由功能实现和其他VLAN间路由。
【需求分析】
在二层交换机上划分VLAN、配置Trunk,实现不同VLAN的主机接入,在三层交换机上划分VLAN、配置Trunk。
并配置SVI接口实现不同VLAN间路由。
【实验拓扑】
【实验设备】
三层交换机1台
二层交换机2台
PC机2台
【预备知识】
交换机转发原理、交换机基本配置、三层交换机路由功能
【实验原理】
在二层交换机上划分VLAN可实现不同VLAN的主机接入,而VLAN间的主机通信为不同网段间的通信,需要通过三层设备对数据进行路由转发才可以实现,通过在三层交换机上为各VLAN配置SVI接口,利用三层交换机的路由功能可以实现VLAN间的路由。
【实验步骤】
第一步:
在SW1中创建VLAN
SW1(config)#vlan10
SW1(config-vlan)#vlan20
SW1(config-vlan)#exit
第二步:
在SW1上给VLAN配置IP地址
SW1(config)#interfacevlan10
SW1(config-if)#ipaddress192.168.10.1255.255.255.0
SW1(config-if)#noshutdown
SW1(config-if)#exit
SW1(config)#interfacevlan20
SW1(config-if)#ipaddress192.168.20.1255.255.255.0
SW1(config-if)#noshutdown
SW1(config-if)#exit
第三步:
在SW1上配置Trunk
SW1(config)#interfacefastEthernet0/23
SW1(config-if)#switchportmodetrunk
SW1(config-if)#exit
SW1(config)#interfacefastEthernet0/24
SW1(config-if)#switchportmodetrunk
SW1(config-if)#exit
SW1(config)#
第四步:
在SW2和SW3上创建相应的VLAN,并将端口划分到VLAV
SW2(config)#vlan10
SW2(config-vlan)#exit
SW2(config)#interfacefastEthernet0/1
SW2(config-if)#switchportaccessvlan10
SW2(config-if)#exit
SW3(config)#vlan20
SW3(config-vlan)#exit
SW3(config)#interfacefastEthernet0/2
SW3(config-if)#switchportaccessvlan20
SW3(config-if)#exit
第五步:
在SW2和SW3上配置Trunk
SW2(config)#interfacefastEthernet0/24
SW2(config-if)#switchportmodetrunk
SW2(config-if)#exit
SW3(config)#interfacefastEthernet0/24
SW3(config-if)#switchportmodetrunk
SW3(config-if)#exit
第六步:
验证测试
按照拓扑配置PC并且连线,从VLAN10中的PC1pingVLAN20中的PC2,结果如下:
C:
\Documentsandsettings\shi1\ping192.168.20.2
ping192.168.20.2with32bytesofdata:
Replyfrom192.168.20.2:
bytes=32time<1msTTL=64
Replyfrom192.168.20.2:
bytes=32time<1msTTL=64
Replyfrom192.168.20.2:
bytes=32time<1msTTL=64
Replyfrom192.168.20.2:
bytes=32time<1msTTL=64
Pingstatisticsfor192.168.20.2:
Packets:
Sent=4,Received=4,Lost=0(0%loss)
Approximateroundtriptimesinmilli-seconds:
Minimum=0ms,Maximum=0ms,Average=0ms
从上述测试结果可以看到,通过接入层交换机上的VLAN划分和三层交换机的SVI配置,不同VLAN中的主机可以互相通信。
【注意事项】
交换机之间级联的端口需要配置为Trunk
【参考配置】
SW1#showrunning-config
SW2#showrunning-config
SW3#showrunning-config
实验四配置PrivateVLAN
【实验名称】
配置PrivateVLAN
【实验目的】
使用privatevlan技术实现valn内部的通信隔离
【背景描述】
某企业网络中,网络管理员将所有服务器都划分到了vlan100中,并且分配了172.16.100.0./24子网的地址。
该vlan中共有四台服务器,包括两台计费服务器,一台WEB服务器一台SQL服务器。
现在,为了业务的需要,以及从安全性角度考虑,需要将服务器进行隔离。
两天计费服务器不能与WEB服务器和SQLSERVER服务器进行通信,为了安全性考虑,两台计费服务器之间的通信也需要隔离,但是WEB服务器和SQL服务器之间需要进行通信以提供电子商务服务。
【需求分析】
目前四台服务器都属于同一个vlan中,为了它们之间的通行进行隔了,需要将它们划分到不同vlan中,并重新划分子网地址,并这样做需要对现在拓扑和编址进行修改。
对于这种需求,为了隔了同一个vlan内的通信,我们可以使用privatevlan技术,这样无需重新划分vlan并进行编址。
在使用privatevlan时,原先的vlan100作为pvlan的主vlan。
为了隔离两台计费服务器的通信,将这两台服务器划分到隔离vlan中。
由于web服务器和sql服务器之间需要通信,因此将这两台服务器划分到团体vlan中。
【实验拓扑】
【实验设备】
三层交换机1台需支持(pvlan)
路由器(网关)1台
PC机4台
【预备知识】
Vlan知识、privatevlan工作原理
【实验原理】
Privatevlan是能够为相同vlan内不同端口提供隔离的vlan。
通过pvlan技术可以隔离相同vlan中的网络设备之间的流量,并且位于相同子网的所有设备都只能与网关或其他网络进行通信,实现网络内部的隔离,
Pvlan可以将一个vlan的二层广播域划分成多个子域,每个子域都由一对vlan组成:
主vlan和辅助vlan组成。
在整个PVLAN中,只有一个主vlan,每个子域有不同的辅助vlan,通过vlan实现二层网络的隔离。
辅助vlan包括隔离vlan和团体vlan。
同一个隔离vlan中的端口互相不能进行二层通信。
也不能与其他团体通信。
一个privatevlan中只有一个隔离vlan。
同一个团体vlan中的端口可以进行二层通信,但是不能与其他团体vlan中的端口进行二层通行。
一个privatevlan中可以有多个团体vlan。
【实验步骤】
第一步:
配置主vlan
switch#configureterminal
switch(config)#vlan100
switch(config-vlan)#private-vlanprimary
switch(config-vlan)#exit
!
将vlan100配置为pvlan的主vlan
第二步:
配置辅助vlan
switch(config)#vlan101
switch(config-vlan)#private-vlanisolated
!
将vlan101配置为pvlan的辅助vlan,并配置为隔离vlan
switch(config-vlan)#exit
switch(config)#vlan102
switch(config-vlan)#private-vlancommunity
!
将vlan102配置为pvlan的辅助vlan,并设置为团体vlan
switch(config-vlan)#exit
第三步:
配置主机端口
switch(config)#vlan100
switch(config-vlan)#private-vlanassociationadd101,102
!
将辅助vlan101和102关联到100
switch(config-vlan)#exit
第四步:
配置主机端口
switch(config)#interfacerangefastEthernet0/1-2
switch(config-if-range)#switchportmodeprivate-vlanhost
!
将连接计费服务器的端口配置为主机端口
switch(config)#switchportpriavate-vlan-host-accociation100101
!
将端口关联到pvlan的主vlan与辅助vlan
switch(config-if-range)#exit
switch(config)#interfacerangefastEthernet0/3-4
switch(config-if-range)#switchportmodeprivate-vlanhost
!
将连接web服务器和sql服务器的端口配置为主机端口
switch(config)#switchportpriavate-vlan-host-accociation100102
!
将端口关联到pvlan的主vlan辅助vlan
switch(config-if-range)#exit
第五步:
配置混杂端口
switch(config)#interfacefastEthernet0/24
switch(config-if)#switchportmodeprivate-vlanpromiscuous
!
将连接网关的端口配置为混在端口
switch(config)#switchportprivate-vlanmapping100101,102
!
将混杂端口映射到pvlan的主vlan与辅助vlan
switch(config-if)#exit
第六步:
验证测试
在Accessserver1上pingwebserver,由于Accserver1被划分到隔离vlan中,结果是无法ping通,满足了计费服务器和web服务器。
Sql服务器间的通信隔离要求:
图
在Accserver1上pingAccserver2,由于Accserver1和Accserver2属于隔离vlan,结果是无法ping通,满足了两台计费服务器之间的通信隔离要求:
图
在Accserver1上ping网关的地址,由于网关连接到混在端口,结果还是可以ping通:
图
第七步:
验证测试
在Webserver上PingSQLSERVER,由于两台服务器都被划分到团体vlan中,结果是可以ping通,满足楽web服务器和sql服务器之间能够通信的需求:
【注意事项】
一个PVLAN中只能存在一个隔离VLAN,但可以存在多个团体VLAN。
【参考配置】
Switch#showrunning-config
实验五配置SuperVLANN
【实验名称】
配置SuperVLANN
【实验目的】
使用supervlan技术节省ip地址资源
【背景描述】
某企业的分公司网路从总部网络申请楽一个IP网段地址10.1.1.0/2410.1.1.1-1.1.1.99的地址范围用于分配给客户端,并且这些客户端都属于
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 构建 高级 交换 网络