《网络互联与路由A》课程设计.doc

网络互联与路由A课程设计 学 院： 工学院 专 业： 网络工程 班 级： 1301 姓 名： 学 号： 2013011052 指导教师： 2015 年12 月24 日工学院课程设计评审表学生姓名专业网络工程年级1301学号2013011052设计题目VLAN划分及标准ACL评价内容评价指标评分权值评定成绩业务水平有扎实的基础理论知识和专业技能；能够综合运用所学的路由交换知识、让学生熟悉局域网组网的方法，熟练掌握搭建各种网络环境和绘制网络拓扑图，精通路由器交换机的调配。能够用Cisco Packet Tracer Student绘制完整的网络拓扑。最终让学生能够独立完成一个复杂小型网络的设计与实施。50课程设计报告（设计说明书）质量综述简练完整，有见解；立论正确，论述充分，结论严谨合理；文字通顺，技术用语准确，符号统一，编号齐全，书写工整规范，图表完备、整洁、正确；结果有应用价值；工作中有创新意识；对前人工作有改进或突破，或有独特见解20工作量、工作态度按期完成规定的任务，工作量饱满，难度较大；工作努力，遵守纪律；工作作风严谨务实30合计100指导教师评语网络互联与路由A课程设计任务书设计题目：网络互联与路由A指 导老 师参 加学 生第一组成员设 计目 的1.了解什么是交换机的MAC绑定功能；2.熟练掌握MAC与端口绑定的静态、动态方式；3.了解VLAN原理；4.学会使用各种多层交换设备进行VLAN的划分；5.理解VLAN之间路由的原理和实现方法；6.了解什么是标准的ACl；7.了解标准ACL不同的实现方法。设 计内 容1. 交换机端口与MAC绑定2. 多层交换机VLAN的划分和VLAN间路由3通过ACL，可以限制某个IP地址的PC或者某些网段的PC的上网活动。用于网络管理。设 计要 求一、二层交换机MAC与IP的绑定1.在交换机上作MAC与端口绑定；2.PC1在不同的端口上ping 交换机的IP，检验理论是否和实训一致。3.PC2在不同的端口上ping 交换机的IP，检验理论是否和实训一致。二、多层交换机VLAN的划分和VLAN间路由l 1. 不同vlan可以相互访问，相同vlan不能访问。 2.交换机A和交换机B划分vlan。三、标准ACLl 1.交换机A和B通过的24口级联。2.配置交换机A和B各VLAN虚拟接口的IP地址目 录交换机端口与MAC绑定5一、实训目的5二、应用环境5三、实训设备5四、实训拓扑5五、实训要求6六、实训步骤6多层交换机VLAN的划分和VLAN间路由10一、实训目的10二、应用环境10三、实训设备10四、实训拓扑10五、实训要求10六、实训步骤11标准ACL实训15一、实训目的15二、应用环境15三、实训设备15四、实训拓扑15五、实训要求16六、实训步骤16设计体会23交换机端口与MAC绑定一、 实训目的1、 了解什么是交换机的MAC绑定功能；2、 熟练掌握MAC与端口绑定的静态、动态方式。二、 应用环境当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机，就更谈不上将它隔离了。端口与地址绑定技术使主机必须与某一端口进行绑定，也就是说，特定主机只有在某个特定端口下发出数据帧，才能被交换机接收并传输到网络上，如果这台主机移动到其他位置，则无法实现正常的连网。这样做看起来似乎对用户苛刻了一些，而且对于有大量使用便携机的员工的园区网并不适用，但基于安全管理的角度考虑，它却起到了至关重要的作用。为了安全和便于管理，需要将MAC地址与端口进行绑定，即，MAC地址与端口绑定后，该MAC地址的数据流只能从绑定端口进入，不能从其他端口进入。该端口可以允许其他MAC地址的数据流通过。但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭，因此在取消lock之前，其他MAC的主机也不能从这个端口进入。三、 实训设备1、DCS-3926S交换机1台（SoftWare version is DCRS-5650-28_5.2.1.0）2、PC机2台3、Console线1根4、直通网线2根四、 实训拓扑 图1.1 交换机端口与mac绑定拓扑图五、实训要求1、 交换机IP地址为192.168.1.11/24，PC1的地址为192.168.1.101/24；PC2的地址为192.168.1.102/24。2、 在交换机上作MAC与端口绑定；3、 PC1在不同的端口上ping 交换机的IP，检验理论是否和实训一致。4、 PC2在不同的端口上ping 交换机的IP，检验理论是否和实训一致。六、实训步骤第一步：得到PC1主机的mac地址在“开始”菜单中选择“运行”输入命令行“CMD”，在弹出窗口中输入命令行“ipconfig/all” 图1.2 本机mac地址我们得到了PC1主机的mac地址为：00-1F-E2-66-70-18第二步：交换机全部恢复出厂设置，配置交换机的IP地址switch(Config)#interface vlan 1switch(Config-If-Vlan1)#ip address 192.168.1.11 255.255.255.0switch(Config-If-Vlan1)#no shutswitch(Config-If-Vlan1)#exitswitch(Config)#第三步：使能端口的MAC地址绑定功能switch(Config)#interface ethernet 0/0/1switch(Config-Ethernet0/0/1)#switchport port-security第四步：添加端口静态安全MAC地址，缺省端口最大安全MAC地址数为1switch(Config-Ethernet0/0/1)#switchportport-securitymac-address 00-1F-E2-66-70-18验证配置：switch#show port-securitySecurity Port MaxSecurityAddr CurrentAddr Security Action (count) (count)- Ethernet0/0/1 1 1 Protect-Max Addresses limit per port :128Total Addresses in System :1switch#switch#show port-security addressSecurity Mac Address Table-Vlan Mac Address Type Ports 1 00-1F-E2-66-70-18 SecurityConfigured Ethernet0/0/1-Total Addresses in System :1Max Addresses limit in System :128switch#第五步：使用ping命令验证 表1 ping命令验证PC端口Ping结果原因PC10/0/1192.168.1.11通PC10/0/7192.168.1.11不通PC20/0/1192.168.1.11通PC20/0/7192.168.1.11通第六步：在一个以太口上静态捆绑多个MACSwitch(Config-Ethernet0/0/1)#switchport port-security maximum 4Switch(Config-Ethernet0/0/1)#switchport port-security mac-address aa-aa-aa-aa-aa-aaSwitch(Config-Ethernet0/0/1)#switchport port-security mac-address aa-aa-aa-bb-bb-bbSwitch(Config-Ethernet0/0/1)#switchport port-security mac-address aa-aa-aa-cc-cc-cc验证配置：switch#show port-securitySecurity Port MaxSecurityAddr CurrentAddr Security Action (count) (count)- Ethernet0/0/1 4 4 Protect-Max Addresses limit per port :128Total Addresses in System :4switch#show port-security addressSecurity Mac Address Table-Vlan Mac Address Type Ports 1 00-a0-d1-d1-07-ff SecurityConfigured Ethernet0/0/1 1 aa-aa-aa-aa-aa-aa SecurityConfigured Ethernet0/0/1 1 aa-aa-aa-bb-bb-bb SecurityConfigured Ethernet0/0/1 1 aa-aa-aa-cc-cc-cc SecurityConfigured Ethernet0/0/1-Total Addresses in System :4Max Addresses limit in System :128switch#上面使用的都是静态捆绑MAC的方法，下面介绍动态mac地址绑定的基本方法，首先清空刚才做过的捆绑。第七步：清空端口与MAC绑定switch(Config)#switch(Config)#int ethernet 0/0/1switch(Config-Ethernet0/0/1)#no switchport port-securityswitch(Config-Ethernet0/0/1)#exitswitch(Config)#exit验证配置：switch#show port-securitySecurity Port MaxSecurityAddr CurrentAddr Security Action (count) (count)-Max Addresses limit per port :128Total Addresses in System :0第八步：使能端口的MAC地址绑定功能，动态学习MAC并转换switch(Config)#interface ethernet 0/0/1switch(Config-Ethernet0/0/1)#switchport port-securityswitch(Config-Ethernet0/0/1)#switchport port-security lockswitch(Config-Ethernet0/0/1)#switchport port-security convert1 dynamic mac have been converted to security mac on interface Ethernet0/0/1switch(Config-Ethernet0/0/1)#exit验证配置：switch#show port-security addressSecurity Mac Address Table-Vlan Mac Address Type Ports 1 00-a0-d1-d1-07-ff SecurityConfigured Ethernet0/0/1-Total Addresses in System :1Max Addresses limit in System :128switch#多层交换机VLAN的划分和VLAN间路由一、实训目的1、了解VLAN原理；2、学会使用各种多层交换设备进行VLAN的划分；3、理解VLAN之间路由的原理和实现方法；二、应用环境软件实训室的IP地址段是192.168.10.0/24，多媒体实训室的IP地址段是192.168.20.0/24，为了保证它们之间的数据互不干扰，也不影响各自的通信效率，我们划分了VLAN，使两个实训室属于不同的VLAN。两个实训室有时候也需要相互通信，此时就要利用三层交换机划分VLAN。三、实训设备1、DCRS-5650交换机1台（SoftWare version is DCRS-5650-28_5.2.1.0）2、PC机2台3、Console线1根4、直通网线若干四、实训拓扑 图2.1 多层交换机vlan划分实训拓扑图使用一台交换机和两台PC机，还将其中PC2作为控制台终端，使用Console口配置方式；使用两根网线分别将PC1和PC2连接到交换机的RJ-45接口上。五、实训要求在交换机上划分两个基于端口的VLAN：VLAN100，VLAN200。 表3 vlan划分VLAN 端口成员 1000/0/10/0/122000/0/130/0/24使得VLAN100的成员能够互相访问，VLAN200的成员能够互相访问；VLAN100和VLAN200成员之间不能互相访问。PC1和PC2的网络设置为：表4 配置I设备端口IP网关1Mask交换机A 192.168.1.1 无255.255.255.0 Vlan100无无255.255.255.0Vlan200无无255.255.255.0PC1 112192.168.1.101 无255.255.255.0 PC2 1324192.168.1.102 无255.255.255.0 表5 配置II设备端口IP网关1Mask交换机A 192.168.1.1 无255.255.255.0 Vlan100192.168.10.1无255.255.255.0Vlan200192.168.20.1无255.255.255.0PC1 112192.168.10.11 192.168.10.1255.255.255.0 PC2 1324192.168.20.11 192.168.20.1255.255.255.0 各设备的IP地址首先使用配置I地址，使用pc1 ping pc2，应该不通；再按照配置II地址，并在交换机上配置vlan接口IP地址，使用pc1 ping pc2，则通，该通信属于vlan间通信，要经过三层设备的路由。若实训结果和理论相符，则本实训完成。六、实训步骤第一步：交换机恢复出厂设置switch#set default switch#write switch#reload 第二步：给交换机设置IP地址即管理IP。switch#config switch(Config)#interface vlan 1 switch(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 switch(Config-If-Vlan1)#no shutdown switch(Config-If-Vlan1)#exit switch(Config)#exit 第三步：创建vlan100和vlan200。switch(Config)#switch(Config)#vlan 100switch(Config-Vlan100)#exitswitch(Config)#vlan 200switch(Config-Vlan200)#exitswitch(Config)#验证配置：switch#show vlanVLAN Name Type Media Ports- - - - -1 default Static ENET Ethernet0/0/1 Ethernet0/0/2 Ethernet0/0/3 Ethernet0/0/4 Ethernet0/0/5 Ethernet0/0/6 Ethernet0/0/7 Ethernet0/0/8 Ethernet0/0/9 Ethernet0/0/10 Ethernet0/0/11 Ethernet0/0/12 Ethernet0/0/13 Ethernet0/0/14 Ethernet0/0/15 Ethernet0/0/16 Ethernet0/0/17 Ethernet0/0/18 Ethernet0/0/19 Ethernet0/0/20 Ethernet0/0/21 Ethernet0/0/22 Ethernet0/0/23 Ethernet0/0/24 Ethernet0/0/25 Ethernet0/0/26 Ethernet0/0/27 Ethernet0/0/28100 VLAN0100 Static ENET200 VLAN0200 Static ENET第四步：给vlan100和vlan200添加端口。switch(Config)#vlan 100 ！进入vlan 100switch(Config-Vlan100)#switchport interface ethernet 0/0/1-12Set the port Ethernet0/0/1 access vlan 100 successfullySet the port Ethernet0/0/2 access vlan 100 successfullySet the port Ethernet0/0/3 access vlan 100 successfullySet the port Ethernet0/0/4 access vlan 100 successfullySet the port Ethernet0/0/5 access vlan 100 successfullySet the port Ethernet0/0/6 access vlan 100 successfullySet the port Ethernet0/0/7 access vlan 100 successfullySet the port Ethernet0/0/8 access vlan 100 successfullySet the port Ethernet0/0/9 access vlan 100 successfullySet the port Ethernet0/0/10 access vlan 100 successfullySet the port Ethernet0/0/11 access vlan 100 successfullySet the port Ethernet0/0/12 access vlan 100 successfullyswitch(Config-Vlan100)#exitswitch(Config)#vlan 200 ！进入vlan 200switch(Config-Vlan200)#switchport interface ethernet 0/0/13-24Set the port Ethernet0/0/13 access vlan 200 successfullySet the port Ethernet0/0/14 access vlan 200 successfullySet the port Ethernet0/0/15 access vlan 200 successfullySet the port Ethernet0/0/16 access vlan 200 successfullySet the port Ethernet0/0/17 access vlan 200 successfullySet the port Ethernet0/0/18 access vlan 200 successfullySet the port Ethernet0/0/19 access vlan 200 successfullySet the port Ethernet0/0/20 access vlan 200 successfullySet the port Ethernet0/0/21 access vlan 200 successfullySet the port Ethernet0/0/22 access vlan 200 successfullySet the port Ethernet0/0/23 access vlan 200 successfullySet the port Ethernet0/0/24 access vlan 200 successfullyswitch(Config-Vlan200)#exit验证配置：switch#show vlanVLAN Name Type Media Ports- - - - -1 default Static ENET Ethernet0/0/25 Ethernet0/0/26 Ethernet0/0/27 Ethernet0/0/28100 VLAN0100 Static ENET Ethernet0/0/1 Ethernet0/0/2 Ethernet0/0/3 Ethernet0/0/4 Ethernet0/0/5 Ethernet0/0/6 Ethernet0/0/7 Ethernet0/0/8 Ethernet0/0/9 Ethernet0/0/10 Ethernet0/0/11 Ethernet0/0/12200 VLAN0200 Static ENET Ethernet0/0/13 Ethernet0/0/14 Ethernet0/0/15 Ethernet0/0/16 Ethernet0/0/17 Ethernet0/0/18 Ethernet0/0/19 Ethernet0/0/20 Ethernet0/0/21 Ethernet0/0/22 Ethernet0/0/23 Ethernet0/0/24switch#第五步：验证实训。表6 配置I的地址PC1位置PC2位置动作结果0/0/1-0/0/12端口0/0/13-0/0/24端口PC1 ping PC2不通第六步：添加vlan地址。switch(Config)#interface vlan 100switch(Config-If-Vlan100)# %Jan 01 00:00:59 2006 %LINK-5-CHANGED: Interface Vlan100, changed state to UPswitch(Config-If-Vlan100)#ip address 192.168.10.1 255.255.255.0switch(Config-If-Vlan100)#no shutswitch(Config-If-Vlan100)#exitswitch(Config)#interface vlan 200switch(Config-If-Vlan200)# %Jan 01 00:00:59 2006 %LINK-5-CHANGED: Interface Vlan100, changed state to UPswitch(Config-If-Vlan200)#ip address 192.168.20.1 255.255.255.0switch(Config-If-Vlan200)#no shutswitch(Config-If-Vlan200)#exitswitch(Config)#按要求连接PC1与PC2，验证配置：switch#show ip routeCodes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate defaultC 127.0.0.0/8 is directly connected, LoopbackC 192.168.10.0/24 is directly connected, Vlan100C 192.168.20.0/24 is directly connected, Vlan200switch#标准ACL实训一、实训目的 1、了解什么是标准的ACl； 2、了解标准ACL不同的实现方法；二、应用环境ACL (Access Control Lists)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。用户可以基于报文中的特定信息制定一组规则（rule），每条规则都描述了对匹配一定信息的数据包所采取的动作：允许通过（permit）或拒绝通过（deny）。用户可以把这些规则应用到特定交换机端口的入口或出口方向，这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机。通过ACL，可以限制某个IP地址的PC或者某些网段的PC的上网活动。用于网络管理。三、实训设备 1、DCRS-5656交换机2台（SoftWare version is DCRS-5650-28_5.2.1.0） 2、PC机2台 3、Console线1-2根 4、直通网线若干四、实训拓扑 图3.1 标准ACL实训图五、实训要求 1、在交换机A和交换机B上分别划分基于端口的VLAN：交换机VLAN 端口成员 交换机A10182091610024交换机B301810124 表7 2、交换机A和B通过的24口级联。 3、配置交换机A和B各VLAN虚拟接口的IP地址分别如下表所示：VLAN10VLAN20VLAN30VLAN100VLAN101192.168.10.1192.168.20.1192.168.30.1192.168.100.1192.168.100.2 表8 4、PC1-PC2的网络设置为：设备IP地址gatewayMaskPC1 192.168.10.101192.168.10.1255.255.255.0 PC2 192.168.20.101 192.168.20.1255.255.255.0 表9 5、验证： a.PC1和PC2都通过交换机A连接到交换机B；b.不配置ACL，两台PC都可以ping通VLAN 30；c.配置ACL后，PC1和PC2的IP ping不通VLAN 30，更改了IP地址后才可以。 若实训结果和理论相符，则本实训完成。六、实训步骤第一步：交换机全部恢复出厂设置，配置交换机的VLAN信息交换机A：DCRS-5656-A#confDCRS-5656-A(Config)#vlan 10DCRS-5656-A(Config-Vlan10)#switchport interface ethernet 0/0/1-8Set the port Ethernet0/0/1 access vlan 10 successfullySet the port Ethernet0/0/2 access vlan 10 successfullySet the port Ethernet0/0/3 access vlan 10 successfullySet the port Ethernet0/0/4 access vlan 10 successfullySet the port Ethernet0/0/5 access vlan 10 successfullySet the port Ethernet0/0/6 access vlan 10 successfullySet the port Ethernet0/0/7 access vlan 10 successfullySet the port Ethernet0/0/8 access vlan 10 successfullyDCRS-5656-A(Config-Vlan10)#exitDCRS-5656-A(Config)#vlan 20DCRS-5656-A(Config-Vlan20)#switchport interface ethernet 0/0/9-16Set the port Ethernet0/0/9 access vlan 20 successfullySet the port Ethernet0/0/10 access vlan 20 successfullySet the port Ethernet0/0/11 access vlan 20 successfullySet the port Ethernet0/0/12 access vlan 20 successfullySet the port Ethernet0/0/13 access vlan 20 successfullySet the port Ethernet0/0/14 access vlan 20 successfullySet the port Ethernet0/0/15 access vlan 20 successfullySet the port Ethernet0/0/16 access vlan 20 successfullyDCRS-5656-A(Config-Vlan20)#exitDCRS-5656-A(Config)#vlan 100DCRS-5656-A(Config-Vlan100)#switchport interface ethernet 0/0/24Set the port Ethernet0/0/24 access vlan 100 successfullyDCRS-5656-A(Config-Vlan100)#exitDCRS-5656-A(Config)#验证配置：DCRS-5656-A#show vlanVLAN Name Type Media Ports-1 default Static ENET Ethernet0/0/17 Ethernet0/0/18 Ethernet0/0/19 Ethernet0/0/20 Ethernet0/0/21 Ethernet0/0/22 Ethernet0/0/23 Ethernet0/0/25 Ethernet0/0/26 Ethernet0/0/27 Ethernet0/0/2810 VLAN0010 Static ENET Ethernet0