实验四“IP地址规划与路由设计”参考设置4.1配置跨交换机的VLAN4.1.1原理简介虚拟局域网(VirtualLocalAreaNetwork,VLAN)是一种用于隔离广播域的技术。在交换机配置VLAN后,相同VLAN内的主机之间可以直接访问,不同VLAN则不能直接访问。VLAN遵循了IEEE804.1q协议的标准。在利用配置了VLAN的接口进行数据传输时,需要在数据帧内添加4个字节的804.1q标签信息,用于标识该数据帧属于哪个VLAN,以便于对端交换机接收到数据帧后进行准确的过滤。由于VLAN是基于逻辑连接而不是物理连接的,所以它可以提供灵活的用户/主机管理、带宽分配以及资源优化等服务。4.1.2组网实践假设某企业有两个重要部门:销售部和技术部,其中销售部门的个人计算机系统分散连接,它们之间需要相互通信,但为了数据安全起见,销售部和技术部需要相互隔离,则要在交换机上做适当的配置来实现这一目标。通过分析可知,可以将两个部门分别配置到不同的VLAN,只有在同一VLAN内(同一部门)的计算机系统可以跨交换机进行相互通信,反之则不行。网络拓扑如图4.1所示。(1)网络拓扑图4.1网络拓扑其中交换机2台,PC3台。3台PC机IP地址在同一子网中。(2)实验步骤:步骤1:在交换机SwitchA上创建VLAN10,并将0/5端口划分到VLAN10中;[SwitchA]vlan10[SwitchA-vlan10]intg0/0/5[SwitchA-GigabitEthernet0/0/5]port[SwitchA-GigabitEthernet0/0/5]portlink[SwitchA-GigabitEthernet0/0/5]portlink-ty[SwitchA-GigabitEthernet0/0/5]portlink-typeaccess[SwitchA-GigabitEthernet0/0/5]portdefaultvlan10步骤2:在交换机SwitchA上创建VLAN20,并将0/15端口划分到VLAN20中;[SwitchA-GigabitEthernet0/0/5]vlan20[SwitchA-vlan20]intg0/0/15[SwitchA-GigabitEthernet0/0/15]portlink-typeaccess[SwitchA-GigabitEthernet0/0/15]portdefaultvlan20步骤3:把交换机SwitchA与交换机SwitchB相连的F0/24端口定义为Trunk模式;[SwitchA-GigabitEthernet0/0/24]portlink-typetrunk[SwitchA-GigabitEthernet0/0/24]porttrunkallow-passvlanall步骤4:在交换机SwitchB上创建VLAN10,并将0/5端口划分到VLAN10;[SwitchB]vlan10[SwitchB-vlan10]intg0/0/5[SwitchB-GigabitEthernet0/0/5]portlink-typeaccess[SwitchB-GigabitEthernet0/0/5]portdefaultvlan10步骤5:把交换机SwitchB与交换机SwitchA相连的F0/24端口定义为Trunk模式;[SwitchB-vlan10]intg0/0/5[SwitchB-GigabitEthernet0/0/5]portlink-typeaccess[SwitchB-GigabitEthernet0/0/5]portdefaultvlan10[SwitchB-GigabitEthernet0/0/5]intg0/0/24[SwitchB-GigabitEthernet0/0/24]portlink-typetrunk[SwitchB-GigabitEthernet0/0/24]porttrunkallow-passvlanall步骤6:验证测试。在PC1上分别尝试使用ping命令测试与PC2、PC3的连通性。4.1.3总结与分析配置时,应注意将两台交换机直接相连的端口设置为Trunk模式,Trunk接口在默认情况下支持所有的VLAN传输。通过配置VLAN可以隔离不同部门之间的通信。4.2配置端口安全4.2.1原理简介交换机的端口安全特性可以只允许特定的MAC地址的设备接入到网络中,从而防止用户将非法或未授权的设备接入到网络中,并且可以限制端口接入到网络中的设备数量,防止用户将过多的设备接入到网络中。4.2.2组网实践某企业的网络管理员发现经常有员工私自将自己的笔记本电脑接入到网络中,而且有一些员工通过使用Hub将多个网络设备接入到交换机端口上,给网络管理和维护增加了难度。对于网络中出现的这种问题,需要防止用户接入非法或未授权的设备,并且限制用户将多个网络设备接入到交换机的端口。交换机的端口安全特性可以满足这个要求,从而提高接入层的网络安全性,网络拓扑如图4.2所示。(1)网络拓扑图4.2网络拓扑其中S3700交换机2台,PC3台。将S3700-s1的3号口指定给某主机的MAC地址。(2)实验步骤:步骤1:在交换机上启用端口安全特性;Huaweisys[Huawei]inte0/0/3[Huawei-Ethernet0/0/3]portlink-typeaccess[Huawei-Ethernet0/0/3]port-securityenable步骤2:手工配置PC1的MAC地址,即保证只有PC1可以接到此端口;步骤3:配置端口接入数量的限制;[Huawei-Ethernet0/0/3]port-securitymax-mac-num1步骤4:配置当此端口产生违规时的操作。[Huawei-Ethernet0/0/3]port-securitymac-addresssticky首先有数据通过交换机的PC将被绑定MAC4.2.3总结与分析配置端口安全之前必须使用命令将端口设置为Access端口,当端口由于违规操作被关闭时,可以在全局模式下使用命令将其恢复。4.3配置SVI实现VLAN间路由4.3.1原理简介VLAN的目的是隔离广播域,并非要不同VLAN内的主机彻底不能互相通信,但VLAN间的通信等同于不同广播域之间的通信,必须使用第三层的设备才能实现。VLAN间的通信就是指VLAN间的路由,是VLAN之间在一个路由器或者其他三层设备(例如三层交换机)上发生的路由。通过在三层交换机上为各VALN配置SVI接口,利用三层交换机的路由转发功能可以实现VLAN间的路由。4.3.2组网实践为减小广播包对网络的影响,网络管理员在公司内部网络中进行了VLAN的划分。完成VLAN的划分后,发现不同VLAN之间无法互相访问。通过分析,可以通过配置三层交换机的SVI接口实现VLAN之间的路由,网络拓扑如图4.3所示。(1)网络拓扑图4.3网络拓扑(2)实验步骤:步骤1:在三层交换机上创建两个VLAN,VLAN10与VLAN20;[Huawei]vlan10[Huawei-vlan10]vlan20步骤2:在三层交换机上将端口分别划分到各个VLAN上;[Huawei-vlan20]intg0/0/1[Huawei-GigabitEthernet0/0/1]portlink-typeaccess[Huawei-GigabitEthernet0/0/1]portdefaultvlan10[Huawei-GigabitEthernet0/0/1]intg0/0/2[Huawei-GigabitEthernet0/0/2]portlink-typeaccess[Huawei-GigabitEthernet0/0/2]portdefaultvlan20步骤3:在三层交换机上给各个VLAN配置IP地址;[Huawei-GigabitEthernet0/0/2]intvlan10[Huawei-Vlanif10]ipaddress194.168.10.124[Huawei-Vlanif10]intvlan20[Huawei-Vlanif20]ipaddress194.168.20.124步骤4:验证测试。在PC1上使用ping命令测试与vlan20中的PC2的连通性:PCping194.168.20.2Ping194.168.20.2:32databytes,PressCtrl_CtobreakFrom194.168.20.2:bytes=32seq=1ttl=127time=125msFrom194.168.20.2:bytes=32seq=2ttl=127time=31msFrom194.168.20.2:bytes=32seq=3ttl=127time=16msFrom194.168.20.2:bytes=32seq=4ttl=127time=47msFrom194.168.20.2:bytes=32seq=5ttl=127time=15ms---194.168.20.2pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=15/46/125ms4.3.3总结与分析配置时,VLAN中的PC的IP地址需要和三层交换机上相应VLAN的IP地址在同一网段,并且主机网关配置为三层交换机上相应的VLAN的IP地址;另外,也可以在路由器上配置子接口,实现VLAN间的路由。为了确保网络的高可靠性,需要在网络中配置冗余备份,这时容易出现环路,产生网络风暴等问题,应该怎么解决这个问题呢?下一节便提出了相应的解决方法。4.4配置静态路由4.4.1原理简介路由器是根据路由表进行选路和转发的。而路由表就是由一条条的路由信息组成的。路由表的产生方式一般有以下三种。(1)直连路由。给路由器接口配置一个IP地址,路由器自动产生本接口IP所在网段的路由信息。(2)静态路由。在拓扑结构简单的网络中,网络管理员通过手工的方式配置本路由器未知网段的路由信息,从而实现不同网段之间的连接。(3)动态路由。协议学习产生的路由。在大规模的网络中,或者网络拓扑相对复杂的情况下,通过在路由器上运行动态路由协议,路由器之间互相自动学习产生路由信息。4.4.2组网实践假设校园内通过一台路由器连接到校园外的另一台路由器上,现要在路由器上做适当的配置,使校园网内部主机和校园网外部主机相互通信。即通过相关配置,实现网络的互联互通,从而实现信息的共享和传递。网络拓扑如图4.4所示。(1)网络拓扑图4.4网络拓扑(2)实验步骤:步骤1:在路由器Router1上配置接口的IP地址和串口上的时钟频率;Huaweisys[Huawei]ints0/0/0[Huawei-Serial0/0/0]ipaddress172.16.2.124[Huawei-Serial0/0/0]undoshutdown[Huawei-Serial0/0/0]intg0/0/1[Huawei-GigabitEthernet0/0/1]ipaddress172.16.1.124[Huawei-GigabitEthernet0/0/1]undoshutdown步骤2:在路由器Router1上配置静态路由;[Huawei]iproute-static172.16.3.024172.16.2.2步骤3:在路由器Router2上配置接口的IP地址;Huaweisys[Huawei]ints0/0/0[Huawei-Serial0/0/0]ipaddress172.16.2.224[Huawei-Serial0/0/0]undoshutdown[Huawei-Serial0/0/0]intg0/0/1[Huawei-GigabitEthernet0/0/1]ipaddress172.16.3.124[Huawei-GigabitEther