3创建高级交换型互联网实训手册.docx
- 文档编号:7224501
- 上传时间:2023-01-22
- 格式:DOCX
- 页数:75
- 大小:1.16MB
3创建高级交换型互联网实训手册.docx
《3创建高级交换型互联网实训手册.docx》由会员分享,可在线阅读,更多相关《3创建高级交换型互联网实训手册.docx(75页珍藏版)》请在冰豆网上搜索。
3创建高级交换型互联网实训手册
《创建高级交换型互联网实训手册》
目录
实训一、使用telnet方式管理交换机1
实训二、交换机端口与MAC绑定6
实训三、二层交换机MAC与IP的绑定11
实训四、生成树实训14
实训五、交换机端口镜像18
实训六、多层交换机VLAN的划分和VLAN间路由20
实训七、多层交换机静态路由实训24
实训八、三层交换机RIP动态路由31
实训九、三层交换机OSPF动态路由38
实训十、标准ACL实训45
实训十一、三层交换机MAC与IP的绑定52
实训十二、交换机VRRP实训55
实训一、使用telnet方式管理交换机
一、实训目的
1、了解什么是带内管理;
2、熟练掌握如何使用telnet方式管理交换机;
二、应用环境
学校有20台交换机支撑着校园网的运营,这20台交换机分别放置在学校的不同位置。
作为网络管理员需要对这20台交换机做管理,通过前面学习的知识,我们可以通过带外管理的方式也就是通过console口去管理,那么管理员需要捧着自己的笔记本电脑,并且带着console线去学校的不同位置去调试每台交换机,十分麻烦。
校园网既然是互联互通的,在网络的任何一个信息点都应该能访问其他的信息点,我们为什么不通过网络的方式来调试交换机呢?
通过telnet方式,管理员就可以坐在办公室中不动地方地调试全校所有的交换机。
telnet方式和下个实训中的web方式都是交换机的带内管理方式。
提供带内管理方式可以使连接在交换机中的某些设备具备管理交换机的功能。
当交换机的配置出现变更,导致带内管理失效时,必须使用带外管理对交换机进行配置管理。
三、实训设备
1、DCRS-5650交换机1台(SoftWareversionisDCRS-5650-28_5.2.1.0)
2、PC机1台
3、Console线1根
4、直通网线1根
四、实训拓扑
五、实训要求
1、按照拓扑图连接网络;
2、PC和交换机的24口用网线相连;
3、交换机的管理IP为192.168.1.100/24;
4、PC网卡的IP地址为192.168.1.101/24;
5、限制可通过telnet管理交换机的IP仅为192.168.1.101
六、实训步骤
第一步:
交换机恢复出厂设置,设置正确的时钟和标识符。
(详见实训四)
switch#setdefault
Areyousure?
[Y/N]=y
switch#write
switch#reload
Processwithreboot?
[Y/N]y
switch#clockset14:
04:
392009.02.25
CurrenttimeisWEDFEB2515:
29:
502009
switch#
switch#config
switch(Config)#hostnameDCRS-5650
DCRS-5650(Config)#exit
DCRS-5650#
第二步:
给交换机设置IP地址即管理IP。
DCRS-5650#config
DCRS-5650(Config)#interfacevlan1!
进入vlan1接口
Feb2514:
06:
072009:
%LINK-5-CHANGED:
InterfaceVlan1,changedstatetoUP
DCRS-5650(Config-If-Vlan1)#ipaddress192.168.1.100255.255.255.0!
配置地址
DCRS-5650(Config-If-Vlan1)#noshutdown!
激活vlan接口
DCRS-5650(Config-If-Vlan1)#exit
DCRS-5650(Config)#exit
DCRS-5650#
验证配置
DCRS-5650#showrun
!
noservicepassword-encryption
!
hostnameDCRS-5650
!
vlan1
!
InterfaceEthernet0/0/1
……
InterfaceEthernet0/0/28
!
interfaceVlan1
interfacevlan1
ipaddress192.168.1.100255.255.255.0!
已经配置好交换机IP地址
!
nologin
!
end
DCRS-5650#
第三步:
为交换机设置授权Telnet用户。
DCRS-5650#config
DCRS-5650(Config)#telnet-serverenable
Telnetdalreadyenabled.
DCRS-5650(Config)#telnet-userxxppassword7boss
DCRS-5650(Config)#exit
DCRS-5650#
验证配置:
DCRS-5650#showrun
!
noservicepassword-encryption
!
hostnameDCRS-5650
!
telnet-userxxppassword7ceb8447cc4ab78d2ec34cd9f11e4bed2
!
vlan1
!
InterfaceEthernet0/0/1
……
InterfaceEthernet0/0/28
!
interfaceVlan1
ipaddress192.168.1.100255.255.255.0
!
nologin
!
end
DCRS-5650#
第四步:
配置主机的IP地址,在本实训中要与交换机的IP地址在一个网段。
验证配置:
在PC主机的DOS命令行中使用ipconfig命令查看IP地址配置
第五步:
验证主机与交换机是否连通。
验证方法1:
在交换机中ping主机
DCRS-5650#ping192.168.1.101
Type^ctoabort.
Sending556-byteICMPEchosto192.168.1.101,timeoutis2seconds.
!
!
!
!
!
Successrateis100percent(5/5),round-tripmin/avg/max=1/1/1ms
DCRS-5650#
很快出现5个“!
”表示已经连通。
验证方法2:
在主机DOS命令行中ping交换机,出现以下显示表示连通。
第六步:
使用Telnet登录。
打开微软视窗系统,点击“开始”——“运行”,运行Windows自带的Telnet客户端程序,并且指定Telnet的目的地址
需要输入正确的登录名和口令,登录名是xxp,口令是boss。
可以对交换机做进一步配置,本实训完成。
第七步:
限制Telnet客户端登录地址。
DCRS-5650(Config)#telnet-serversecurityip192.168.1.101
DCRS-5650(Config)#
验证配置:
PC使用192.168.1.101telnet交换机,可登陆;
修改PC的IP为非192.168.1.101时,telnet交换机得到如图提示
实训二、交换机端口与MAC绑定
一、实训目的
3、了解什么是交换机的MAC绑定功能;
4、熟练掌握MAC与端口绑定的静态、动态方式。
二、应用环境
1、当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时,网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。
当网络的布置很随意时,任何用户只要插上网线,在任何位置都能够上网,这虽然使正常情况下的大多数用户很满意,但一旦发生网络故障,网管人员却很难快速准确定位根源主机,就更谈不上将它隔离了。
端口与地址绑定技术使主机必须与某一端口进行绑定,也就是说,特定主机只有在某个特定端口下发出数据帧,才能被交换机接收并传输到网络上,如果这台主机移动到其他位置,则无法实现正常的连网。
这样做看起来似乎对用户苛刻了一些,而且对于有大量使用便携机的员工的园区网并不适用,但基于安全管理的角度考虑,它却起到了至关重要的作用。
2、为了安全和便于管理,需要将MAC地址与端口进行绑定,即,MAC地址与端口绑定后,该MAC地址的数据流只能从绑定端口进入,不能从其他端口进入。
该端口可以允许其他MAC地址的数据流通过。
但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭,因此在取消lock之前,其他MAC的主机也不能从这个端口进入。
三、实训设备
5、DCS-3926S交换机1台(SoftWareversionisDCRS-5650-28_5.2.1.0)
6、PC机2台
7、Console线1根
8、直通网线2根
四、实训拓扑
五、实训要求
6、交换机IP地址为192.168.1.11/24,PC1的地址为192.168.1.101/24;PC2的地址为192.168.1.102/24。
7、在交换机上作MAC与端口绑定;
8、PC1在不同的端口上ping交换机的IP,检验理论是否和实训一致。
9、PC2在不同的端口上ping交换机的IP,检验理论是否和实训一致。
六、实训步骤
第一步:
得到PC1主机的mac地址
在“开始”菜单中选择“运行”输入命令行“CMD”,在弹出窗口中输入命令行“ipconfig/all”
我们得到了PC1主机的mac地址为:
00-1F-E2-66-70-18
第二步:
交换机全部恢复出厂设置,配置交换机的IP地址
switch(Config)#interfacevlan1
switch(Config-If-Vlan1)#ipaddress192.168.1.11255.255.255.0
switch(Config-If-Vlan1)#noshut
switch(Config-If-Vlan1)#exit
switch(Config)#
第三步:
使能端口的MAC地址绑定功能
switch(Config)#interfaceethernet0/0/1
switch(Config-Ethernet0/0/1)#switchportport-security
switch(Config-Ethernet0/0/1)#
第四步:
添加端口静态安全MAC地址,缺省端口最大安全MAC地址数为1
switch(Config-Ethernet0/0/1)#switchportport-securitymac-address00-1F-E2-66-70-18
验证配置:
switch#showport-security
SecurityPortMaxSecurityAddrCurrentAddrSecurityAction
(count)(count)
---------------------------------------------------------------------------
Ethernet0/0/111Protect
---------------------------------------------------------------------------
MaxAddresseslimitperport:
128
TotalAddressesinSystem:
1
switch#
switch#showport-securityaddress
SecurityMacAddressTable
---------------------------------------------------------------------------
VlanMacAddressTypePorts
100-1F-E2-66-70-18SecurityConfiguredEthernet0/0/1
---------------------------------------------------------------------------
TotalAddressesinSystem:
1
MaxAddresseslimitinSystem:
128
switch#
第五步:
使用ping命令验证
PC
端口
Ping
结果
原因
PC1
0/0/1
192.168.1.11
通
PC1
0/0/7
192.168.1.11
不通
PC2
0/0/1
192.168.1.11
通
PC2
0/0/7
192.168.1.11
通
第六步:
在一个以太口上静态捆绑多个MAC
Switch(Config-Ethernet0/0/1)#switchportport-securitymaximum4
Switch(Config-Ethernet0/0/1)#switchportport-securitymac-addressaa-aa-aa-aa-aa-aa
Switch(Config-Ethernet0/0/1)#switchportport-securitymac-addressaa-aa-aa-bb-bb-bb
Switch(Config-Ethernet0/0/1)#switchportport-securitymac-addressaa-aa-aa-cc-cc-cc
验证配置:
switch#showport-security
SecurityPortMaxSecurityAddrCurrentAddrSecurityAction
(count)(count)
---------------------------------------------------------------------------
Ethernet0/0/144Protect
---------------------------------------------------------------------------
MaxAddresseslimitperport:
128
TotalAddressesinSystem:
4
switch#showport-securityaddress
SecurityMacAddressTable
---------------------------------------------------------------------------
VlanMacAddressTypePorts
100-a0-d1-d1-07-ffSecurityConfiguredEthernet0/0/1
1aa-aa-aa-aa-aa-aaSecurityConfiguredEthernet0/0/1
1aa-aa-aa-bb-bb-bbSecurityConfiguredEthernet0/0/1
1aa-aa-aa-cc-cc-ccSecurityConfiguredEthernet0/0/1
---------------------------------------------------------------------------
TotalAddressesinSystem:
4
MaxAddresseslimitinSystem:
128
switch#
上面使用的都是静态捆绑MAC的方法,下面介绍动态mac地址绑定的基本方法,首先清空刚才做过的捆绑。
第七步:
清空端口与MAC绑定
switch(Config)#
switch(Config)#intethernet0/0/1
switch(Config-Ethernet0/0/1)#noswitchportport-security
switch(Config-Ethernet0/0/1)#exit
switch(Config)#exit
验证配置:
switch#showport-security
SecurityPortMaxSecurityAddrCurrentAddrSecurityAction
(count)(count)
---------------------------------------------------------------------------
---------------------------------------------------------------------------
MaxAddresseslimitperport:
128
TotalAddressesinSystem:
0
第八步:
使能端口的MAC地址绑定功能,动态学习MAC并转换
switch(Config)#interfaceethernet0/0/1
switch(Config-Ethernet0/0/1)#switchportport-security
switch(Config-Ethernet0/0/1)#switchportport-securitylock
switch(Config-Ethernet0/0/1)#switchportport-securityconvert
1dynamicmachavebeenconvertedtosecuritymaconinterfaceEthernet0/0/1
switch(Config-Ethernet0/0/1)#exit
验证配置:
switch#showport-securityaddress
SecurityMacAddressTable
---------------------------------------------------------------------------
VlanMacAddressTypePorts
100-a0-d1-d1-07-ffSecurityConfiguredEthernet0/0/1
---------------------------------------------------------------------------
TotalAddressesinSystem:
1
MaxAddresseslimitinSystem:
128
switch#
第九步:
使用ping命令验证
PC
端口
Ping
结果
原因
PC1
0/0/1
192.168.1.11
通
PC1
0/0/7
192.168.1.11
不通
PC2
0/0/1
192.168.1.11
不通
PC2
0/0/7
192.168.1.11
通
实训三、二层交换机MAC与IP的绑定
一、实训目的
5、了解什么情况下需要MAC与IP绑定;
6、了解如何在接入交换机上配置MAC与IP的绑定;
二、应用环境
学校机房或者网吧等需要固定IP地址上网的场所,为了防止用户任意修改IP地址,造成IP地址冲突,可以使用MAC与IP绑定技术。
将MAC、IP和端口绑定在一起,使用户不能随便修改IP地址,不能随便更改接入端口,从而使内部网络从管理上更加完善。
使用交换机的AM功能可以做到MAC和IP的绑定,AM全称为accessmanagement,访问管理,它利用收到数据报文的信息,譬如源IP地址和源MAC,与配置硬件地址池相比较,如果找到则转发,否则丢弃。
三、实训设备
9、DCS-3926S交换机1台
10、PC机2台
11、Console线1-2根
12、直通网线若干
四、实训拓扑
五、实训要求
1、交换机IP地址为192.168.1.11/24,PC1的地址为192.168.1.101/24;PC2的地址为192.168.1.102/24。
2、在交换机0/0/1端口上作PC1的IP、MAC与端口绑定;
3、PC1在0/0/1上ping交换机的IP,检验理论是否和实训一致。
4、PC2在0/0/1上ping交换机的IP,检验理论是否和实训一致。
5、PC1和PC2在其他端口上ping交换机的IP,检验理论是否和实训一致。
六、实训步骤
第一步:
得到PC1主机的mac地址
我们得到了PC1主机的mac地址为:
00-1F-E2-66-70-18。
第二步:
交换机全部恢复出厂设置,配置交换机的IP地址
switch(Config)#interfacevlan1
switch(Config-If-Vlan1)#ipaddress192.168.1.11255.255.255.0
switch(Config-If-Vlan1)#noshut
switch(Config-If-Vlan1)#exit
switch(Config)#
第三步:
使能am功能
switch(Config)#amenable
switch(Config)#interfaceethernet0/0/1
switch(Config-Ethernet0/0/1)#ammac-ip-pool00-1F-E2-66-70-18192.168.1.101
switch(Config-Ethernet0/0/1)#exit
验证配置:
switch#showam
Amisenabled
InterfaceEthernet0/0/1
ammac-ip-pool00-1F-E2-66-70-18192.168.1.101USER_CONFIG
第四步:
解锁其他端口
Switch(Config)#interfaceethernet0/0/2
Switch(Config-Ethernet0/0/2)#noamport
Switch(Config)#interfaceethernet0/0/3-20
Switch(Config-Ethernet0/0/3-20)#noamport
第五步:
使用ping命令验证
PC
端口
Ping
结果
原因
PC1
0/0/1
192.168.1.11
通
PC1
0/0/7
192.168.1.11
通
PC2
0/0/1
192.168.1.11
不通
PC2
0/0/7
192.168.1.11
通
PC1
0/0/21
192.168.1.11
不通
PC2
0/0/21
192.168.1.11
不通
实训四、生成树实训
一、实训目的
7、了解生成树协议的作用。
8、熟悉生成树协议的配置。
二、应用环境
交换机之间
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 创建 高级 换型 互联网 手册