网络协议分析实验指导书.doc

网络互联实验指导书实验1 vlan基础配置1.1实验内容l vlan级联的静态配置l 通过gvrp协议实现的vlan级联的动态配置l 端口hybrid特性配置l pvlan特性配置1.2vlan级联的静态配置1.2.1实验目的l 掌握vlan级联的基本配置1.2.2实验环境l quidway系列s3526交换机2台， pc4台l 配置电缆2根，网线4根1.2.3实验组网图图1.11.2.4实验步骤1. 实验基本配置准备。本实验的主要目的是掌握vlan的基本配置。在完成vlan的相关配置之后，要求能够达到同一vlan内的pc可以互通，不同vlan间的pc不能互通的目的。2. 具体的配置如下：（1） 配置交换机端口属于特定vlan：交换机a配置如下：quidway sysname s3526as3526a vlan 2s3526a-vlan2 port e0/9 to e0/16s3526a-vlan2 vlan 3s3526a-vlan3 port e0/17 to e0/24交换机b配置如下：quidway sysname s3526bs3526b vlan 2s3526b-vlan2 port e0/9 to e0/16s3526b-vlan2 vlan 3s3526b-vlan3 port e0/17 to e0/24完成后，尝试四台pc之间相互ping一下，是否能ping通，为什么？（2） 配置交换机之间的端口为trunk端口，并且允许所有vlan通过。s3526a int e0/1s3526a-ethernet0/1 port link-type trunk/设置端口工作在trunk模式（系统默认为access模式）s3526a-ethernet0/1 port trunk per vlan all/允许所有vlan通过trunk端口s3526b int e0/1s3526b-ethernet0/1 port link-type trunks3526b-ethernet0/1 port trunk per vlan all配置完成后，可以看到，同一vlan内部的pc可以相互访问，不同vlan间的pc不能相互访问。在s3526a和s3526b之间增加交换机s3526c，同样实现上述实验目标，如图1.2所示。图1.2（3） 配置第三台交换机与其它两台交换机连接链路为trunk链路。quidway sysname s3526cs3526c int e0/1s3526c-ethernet0/1 port link-type trunks3526c-ethernet0/1 port trunk per vlan alls3526c-ethernet0/1 int e0/2s3526c-ethernet0/2 port link-type trunks3526c-ethernet0/2 port trunk per vlan all完成上述配置之后，我们可以测试一下vlan内的主机之间是否可以ping通？结果是否定的，为什么？（4） 在s3526c上创建vlan2和vlan3。s3526c vlan 2s3526c-vlan2 vlan 3完成上述配置之后，我们可以测试一下vlan内的主机之间是否可以ping通，结果发现这时可以ping通了。思考题：如果s3526a和s3526b之间连接了多台交换机，是否需要在每一台交换机上都创建vlan2和vlan3？如果接入用户的交换机配置了许多vlan，是否需要在每一台交换机上都创建这些vlan？答案是肯定的。如果vlan众多，这样的静态vlan配置工作会很复杂。通过gvrp协议，在交换机上动态的创建和注册vlan，避免了手工配置之苦。1.3vlan级联动态配置1.3.1实验目的l 学习gvrp协议动态创建和注册vlan信息。了解gvrp动态注册vlan的过程和端口上注册vlan的三种方法1.3.2实验环境l quidway系列s3526交换机3台， pc4台l 配置电缆3根，网线6根1.3.3实验组网图图1.31.3.4实验步骤1. 具体的配置如下：延续上面的实验配置。（1） 删除s3526c上的vlan。s3526c undo vlan 2s3526c undo vlan 3（2） 在三台交换机上配置vlan动态注册协议-gvrp。首先在系统配置模式下启用gvrp协议s3526c gvrp然后在每一个trunk端口启用gvrp协议s3526c int e0/1s3526c-ethernet0/1 gvrps3526c-ethernet0/1 int e0/2s3526c-ethernet0/2 gvrp在s3526a和s3526b上进行相同的配置，即在系统模式下和端口模式下分别启用gvrp协议。然后我们可以用下面的命令来查看配置的gvrp信息和vlan信息。我们可以看到，在s3526c上，gvrp已经启用，并且自动学习和创建了vlan2和vlan3。s3526c dis gvrp statisticsgvrp statistics on port ethernet0/1gvrp status: enabledgvrp failed registrations:0gvrp last pdu origin: 00e0-fc07-7085gvrp registration type: normalgvrp statistics on port ethernet0/2gvrp status: enabledgvrp failed registrations: 0gvrp last pdu origin: 00e0-fc07-7089gvrp registration type: normals3526cdis vlannow, the following vlan exist(s):i (default), 2-3（3） 接下来我们可以通过如下的方法来观察一下gvrp注册vlan信息的过程。首先在交换机s3526a上手动添加一个vlan5s3526avlan 5然后在三台交换机上分别查看vlan信息如下s3526a-ethernet0/ldis vlanvlan function is enabled.now, the following vlan exist(s):1 (default), 2-3, 5s3526b-ethernet0/ldis vlanvlan function is enabled.now, the following vlan exist(s):1(default), 2-3, 5s3526c-ethernet0/2dis vlan（这里为什么没有显示vlan function is enabled?）now, the following vlan exist(s):1(default), 2-3, 5我们查看一下相关的trunk接口的情况。dis int e0/1pvid: 1port link-type: trunkvlan passing: 1(default vlan), 2-3, 5vlan allowed: 1 (default vlan), 2-4094trunk port encapsulation: ieee 802.lq（上面仅列出了和vlan相关的部分输出，下同）dis int e0/1pvid: 1port link-type: trunkvlan passing: 1(default vlan), 2-3, 5vlan allowed: 1(default vlan), 2-4094trunk port encapsulation: ieee 802.lqdis int e0/1pvid: 1port link-type: trunkvlan passing: 1(default vlan), 2-3, 5vlan allowed: 1 (default vlan), 2-4094trunk port encapsulation: ieee 802.lqdis int e0/2pvid: 1port link-type: trunkvlan passing: 1 (default vlan), 2-3vlan allowed: 1 (default vlan), 2-4094trunk port encapsulation: ieee 802.lq我们发现，s3526a的e0/1接口，s3526b的e0/1接口，s3526c的e0/1接口都允许vlan5通过，而s3526c的e0/2接口却只允许vlan1，2，3通过，这正好验证了gvrp的学习原理。我们在s3526b上配置vlan5以后，就可以发现s3526c的e0/2接口允许vlan1，2，3，5通过。s3526b vlan 5s3526b-vlan5 port e0/3dynamic vlan is configured, now changed to static!由于交换机s3526b上已经动态注册了vlan5，所以需要通过添加端口来将vlan改变为静态vlan。dis int e0/2pvid: 1port link-type: trunkvlan passing: l(default vlan), 2-3, 5vlan allowed: 1 (default vlan), 2-4094trunk port encapsulation: ieee 802.lq可见，在s3526b上有了vlan5的成员以后，s3526c的e0/2接口开始允许vlan5通过。（4） 在交换机的trunk端口上，vlan的gvrp注册有三种办法：normal，fixed和forbidden。其中normal是默认的注册办法，表示允许在该端口手工或动态创建、注册和注销vlan。首先在s3526a上进行如下配置：s3526a-ethernet0/1gvrp registration fixedfixed表示允许在该端口手工创建和注册vlan，不允许动态注册或注销vlan。也就是说s3526a的e0/1端口不会接受从对端来的动态vlan信息。下面在s3526b上添加一个新的vlan，配置如下：s3526bvlan 7s3526b-vlan7dis vlanvlan function is enabled.now, the following vlan exist(s):1(default), 2-3, 5, 7在另外两台交换机上查看vlan如下：dis vlannow, the following vlan exist(s):1(default), 2-3, 5, 7dis vlanvlan function is enabled.now, the following vlan exist(s):1(default), 2-3, 5可以看到在s3526a上没有注册vlan7。下面我们再来看看如何应用forbidden。在s3526a上进行如下配置：s3526a-ethernet0/1gvrp registration forbiddenforbidden表示在端口将注销除vlan1之外的所有其它vlan，并且禁止在该端口创建和注册任何其它vlan。dis int e0/1pvid: 1port link-type: trunkvlan passing: 1(default vlan)vlan allowed: 1 (default vlan), 2-4094trunk port encapsulation: ieee 802.lq1.4hybrid端口配置1.4.1实验目的l 掌握hybrid端口的基本特征，了解其常见应用1.4.2实验环境l quidway系列s3526交换机3台， pc4台l 配置电缆3根，网线6根1.4.3实验组网图图1.41.4.4实验步骤1. 实验基本配置准备。本实验完成以下配置：配置交换机之间的端口为hybrid端口，并且允许vlan2和vlan3的帧通过hybrid端口，并且vlan2的帧在hybrid端口打上vlan2的tag，vlan3的帧不打tag。2. 具体配置如下。（1） 由于当交换机上有trunk端口存在时不能配置hybrid，所以我们需要先把trunk端口改成access端口。s3526a-ethernet0/1port link-type access在s3526b和s3526c上也作同样的配置。同时也要在s3526c上配置vlan2和vlan3，因为trunk取消之后，gvrp也随之取消了。（2） 配置交换机之间的端口为hybrid端口。s3526a-ethernet0/1port link-type hybrid在s3526b的e0/1端口和s3526c的e0/1、e0/2端口上也作同样的配置。下面查看s3526a的端口信息如下：s3526a-ethernet0/ldis int e0/1pvid: 1port link-type: hybridtagged vlan id: noneuntagged vlan id: 1从上面的信息可以看出pvid为1，tagged vlan id没有配置，而untagged vlan id默认为1。（3） 配置vlan 2打tag，vlan 3不打tag。s3526a-ethernet0/lport hybrid vlan 2 taggeds3526a-ethernet0/lport hybrid vlan 3 untagged在交换机s3526b的端口e0/1和s3526c的端口e0/1，e0/2上进行相同的配置。下面查看s3526a的端口信息如下：s3526a-ethernet0/ldis int e0/1pvid: 1port link-type: hybridtagged vlan id: 2untagged vlan id: 1, 3从上面的信息可以看出pvid为1，tagged vlan id为2，而untagged vlan id为1和3。然后我们可以分别查看vlan 2和vlan 3的信息如下：dis vlan 2vlan id: 2vlan type: staticroute interface: not configureddescription: vlan 0002tagged ports:ethernet0/1untagged ports:ethernet0/9ethernet0/10ethernet0/11ethernet0/12ethernet0/13ethernet0/14dis vlan 3vlan id: 3vlan type: staticroute interface: not configureddescription: vlan 0003tagged ports: noneuntagged ports:ethernet0/1ethernet0/17ethernet0/18ethernet0/19ethernet0/20ethernet0/21ethernet0/22ethernet0/23ethernet0/24在vlan2中，已经有一个tagged port：e0/1。对于上述环境我们作如下分析：当一个vlan 2来的帧从s3526a的hybrid端口e0/1发往对端s3526c的e0/1时，s3526a的e0/1端口不会对它作任何处理，而当这个帧到达对端时（对端也是一样的配置），s3526c的e0/1端口会检查它的vlan tag，发现vlan 2是tagged vlan id，于是s3526c的e0/1端口不会改变以太网帧的tag，并向相应正确的端口进行转发。当一个从vlan 3来的帧从s3526a的hybrid端口e0/1发往对端s3526c的e0/1时，则会被去掉vlan 3的tag。当这个帧到达对端时，s3526c的e0/1端口会检查它的vlan tag，发现是没有vlan tag的，则认为该帧属于vlan 1（pvid为1），不会向vlan 3的端口转发。这样配置完成后，vlan 2内的pc可以互相ping通，vlan 3内的pc不能互相ping通。如果我们设置hybrid端口的pvid为3，这样，没有vlan tag的帧将被认为属于vlan 3，vlan 3内的主机就可以通信了。s3526a-ethernet0/1port hybrid pvid vlan 3在交换机s3526b的端口e0/1和s3526a的端口e0/1和e0/2上进行同样的配置。思考题：网络拓扑图如下：图1.54台pc机的ip地址及所属vlan如图所示。在不启动vlan间路由的情况下，利用hybrid端口，合理配置交换机，达到如下效果：l pca，pcb与pcc之间能够相互访问。l pcd与pca之间能够相互访问。l pcb与pcd之间不能相互访问。l pcc与pcd之间不能相互访问。1.5pvlan配置1.5.1实验目的l 掌握pvlan特性和基本应用1.5.2实验环境l quidway系列s3526交换机2台， pc2台l 配置电缆2根，网线3根1.5.3实验组网图vlan2vlan3vlan3vlan4vlan2vlan5vlan4s3526as3526be0/1e0/1图1.61.5.4实验步骤1. 实验基本配置准备。如上图所示，s3526a划分了4个vlan，其中vlan5为primary vlan，vlan2，3，4为secondary vlan。s3526b划分了3个vlan，vlan4为primary vlan，vlna2，3为secondary vlan。其中primary vlan包含e0/1，e0/2，e0/3，e0/4口。完成上面配置后，我们发现，在同一交换机内的不同secondary vlan的主机不能够互相访问，所有secondary vlan的主机都能够访问primary vlan的主机；交换机之间的所有pc都能够互相访问。2. 具体配置。（1） 在2台交换机上创建vlan，并为vlan分配接口（必须为每一个vlan划分端口）：s3526avlan 5s3526a-vlan5port e0/1 to e0/4s3526a-vlan5vlan 2s3526a-vlan2port e0/5 to e0/8s3526a-vlan2vlan 3s3526a-vlan3port e0/9 to e0/11s3526a-vlan3vlan 4s3526a-vlan4port e0/12 to e0/16s3526bvlan 4s3526b-vlan4port e0/1 to e0/4s3526b-vlan4vlan 2s3526b-vlan2port e0/5 to e0/16s3526b-vlan2vlan 3s3526b-vlan3port e0/17 to e0/24（2） 配置s3526a的vlan5为primary vlan，vlan2，3，4为secondary vlan，建立primary vlan和secondary vlan的映射关系；配置s3526b的vlan4为primary vlan，vlan2，3为secondary vlan，建立primary vlan和secondary vlan的映射关系。s3526avlan 5s3526a-vlan5isolate-user-vlan enable /设置vlan类型为primary vlans3526a-vlan5quits3526aisolate-user-vlan 5 secondary 2 3 4 /配置primary vlan和secondary vlan间的映射关系s3526bvlan 4s3526b-vlan4isolate-user-vlan enables3526b-vlan4quits3526bisolate-user-vlan 4 secondary 2 3完成上述配置后，我们可以查看s3526a上的配置信息如下：（只列出部分显示）s3526adis currinterface ethernet0/1port link-type hybridport hybrid vlan 2 to 5 untaggedport hybrid pvid vlan 5interface ethernet0/5port link-type hybridport hybrid vlan 2 5 untaggedport hybrid pvid vlan 2interface ethernet0/9port link-type hybridport hybrid vlan 3 5 untaggedport hybrid pvid vlan 3interface ethernet0/12port link-type hybridport hybrid vlan 4 to 5 untaggedport hybrid pvid vlan 4从上面的信息中可以看出，pvlan实际上是通过hybrid端口来实现的。即通过配置一系列的hybrid端口，并对来自不同vlan的帧进行不同的vlan tag处理，来达到隔离vlan的目的。配置完成后，在同一交换机内的不同secondary vlan的主机不能够互相访问，所有secondary vlan的主机都能够访问primary vlan的主机；交换机之间的所有pc都能够相互访问。在交换机s3526a上使用dis vlan 5命令可以看到，同一交换机的所有secondary vlan的所有端口都属于vlan 5，也就是说vlan2，3和4是vlan5的更细化的vlan。接下来我们可以用如下的办法来测试不同vlan间主机的连通性：1. 准备两台pc机pca和pcb，然后配置pca ip地址为10.1.1.2/24，pcb ip地址为10.1.1.3/24。2. 将pca连接到交换机s3526a的端口e0/5上，将pcb分别连接到交换机s3526a的端口e0/9和e0/12上，从pca ping pcb，看是否能够ping通。3. 将pcb连接到交换机s3526a的端口e0/2，从pca ping pcb，看是否能够ping通。4. 将pcb连接到交换机s3526b的任一端口上，从pca ping pcb，看是否能够ping通。在测试连通性的过程中，大家可以参考hybrid的原理，分析为什么ping的通或者ping不通。实验2 vlan路由2.1实验内容l 掌握vlan间静态路由配置l 掌握三层交换机rip路由协议配置与维护2.2静态路由配置2.2.1实验目的l 掌握静态路由在三层交换机上的配置2.2.2实验环境l quidway系列s3526交换机2台，pc3台l 配置电缆2根，网线4根2.2.3实验组网图图2.12.2.4实验步骤1. 实验基本配置准备。如图2.1所示，分别配置各pc机的ip地址和默认网关。其中3526交换机上的vlan路由接口需要在交换机上配置。2. 具体配置。（1） 在两台三层交换机上创建vlan，并配置pc属于特定vlan。s3526avlan 2s3526a-vlan2port e0/9 to e0/16s3526a-vlan2vlan 3s3526a-vlan3port e0/17 to e0/24s3526a-vlan3vlan 5（为什么在s3526a上要建立vlan5？）s3526bvlan 4s3526b-vlan4port e0/9 to e0/16s3526b-vlan4vlan 5（2） 配置各台交换机上的vlan接口地址。s3526ainterface vlan-interface 2（interface vlan-interface vlan-id命令用来创建vlan接口视图，vlan-id取值范围为1-4000，只有在相应vlan创建后才能创建/进入相应的vlan接口视图）s3526a-vlan-interface2ip address 10.1.1.1 255.255.255.0（只有在相应vlan接口创建后，才能为其指定相应的ip地址和掩码）s3526a-vlan-interface2interface vlan-interface 3s3526a-vlan-interface3ip address 10.1.2.1 255.255.255.0s3526a-vlan-interface3interface vlan-interface 5s3526a-vlan-interface5ip address 10.1.4.1 255.255.255.0s3526binterface vlan-interface 4s3526b-vlan-interface4ip address 10.1.3.1 255.255.255.0s3526b-vlan-interface4interface vlan-interface 5s3526a-vlan-interface5ip address 10.1.4.2 255.255.255.0（3） 配置交换机之间链路为trunk链路。s3526a-ethernet0/1port link-type trunks3526a-ethernet0/1port trunk permit vlan all（在这里不配置trunk链路有什么后果？不配置成允许所有vlan通过有什么后果？还可以如何配置？）s3526b-ethernet0/1port link-type trunks3526b-ethernet0/1port trunk permit vlan all（4） 在交换机上配置非直连网段静态路由。s3526aip route-static 10.1.3.0 255.255.255.0 10.1.4.2（在s3526a交换机上为什么没有配置10.1.2.0 255.255.255.0的路由？）s3526bip route-static 10.1.1.0 255.255.255.0 10.1.4.1s3526bip route-static 10.1.2.0 255.255.255.0 10.1.4.1配置完成后，全网络达到互通，我们可以用“display ip routing-table”命令查看路由表。s3526bdis ip routing-tablerouting table: public netdestination/maskprotoprecostnexthopinterface10.1.1.0/24static60010.1.4.1 vlan-interface510.1.2.0/24static60010.1.4.1 vlan-interface510.1.3.0/24direct0010.1.3.1 vlan-interface410.1.3.1/32direct00127.0.0.1 inloopback010.1.4.0/24direct0010.1.4.2 vlan-interface510.1.4.2/32direct00127.0.0.1 inloopback0127.0.0.0/8direct00127.0.0.1 inloopback0127.0.0.1/32direct00127.0.0.1 inloopback0在三层交换机中，有关三层数据的转发主要是基于ipfdb表格进行的。我们可以用“dis ipfdb all”命令来查看相关的ipfdb信息：s3526bdis ipfdb allip fdb entry information including the following fields:note: the value of status field0: system 1: learned 2: usrcfg age 3: usrcfg noage other: errorip addressrtifvtagvtvalidportmacstatus10.1.3.114 invalidcpu 00e0-fc60-c286 310.1.3.214 invalid ethernet0/9 0007-954a-902a 110.1.4.125 valid ethernet0/1 00e0-fc60-c348 110.1.4.225 invalidcpu 00e0-fc60-c287 3在ipfdb表中关键的表项如下：路由接口索引（rtlf）：该索引用来确定该转发表项位于哪个路由接口下面。vtag：该值用来表明所处的vlan，该vlan和路由接口是对应的。vlan tag（vtvalid）：用来标识转发出去的报文中是否需要插入vlan tag标记。端口索引（port）：用来说明该转发表项的出端口。下一跳mac地址（mac）：由前面的分析可以知道，三层设备每完成一跳的转发，会重新封装报文中的mac头，硬件asic芯片一般依据这个域里面的数值来封装报文头。ipfdb表格是三层交换机的核心，围绕这个表格，交换机的三层转发流程中涉及到两个关键的线程：1) 转发线程：硬件根据报文中的ip地址信息查找ipfdb表，查出相应的下一跳端口号和mac地址来转发报文；2) 学习线程：软件根据相关的信息来生成和维护ipfdb表，保证路由的畅通。实际上ipfdb表中所有的信息都来源于fib和arp表，当fib和arp表的内容有变化时，ipfdb表也跟着变化。s3526bdis fibdestination/masknexthopflaginterface10.1.1.0/2410.1.4.1 ivlan-interface510.1.3.0/2410.1.3.1 dvlan-interface410.1.3.1/32127.0.0.1 dinloopback010.1.4.0/2410.1.4.2 dvlan-interface510.1.4.2/32127.0.0.1 dinloopback0127.0.0.0/8127.0.0.1 dinloopback0s3526bdis arpip address mac address vlan id port name aging type10.1.4.1 00e0-fc60-c348 5 ethernet0/1 8 dynamic10.1.3.2 0007-954a-902a 4 ethernet0/9 14 dynamic从上面的信息可以看出，将fib和arp表结合起来，就形成了ipfdb表。2.3rip协议配置2.3.1实验目的l 掌握rip协议在三层交换机上的配置2.3.2实验环境l quidway系列s3526交换机2台，pc3台l 配置电缆2根，网线4根2.3.3实验组网图图2.22.3.4实验步骤1. 具体配置。（1） 继续上面的实验，删除前面配置的静态路由。s3526aundo ip route-sta 10.1.3.0 255.255.255.0s3526bundo ip route-sta 10.1.1.0 255.255.255.0s3526bundo ip route-sta 10.1.2.0 255.255.255.0（2） 配置rip路由协议：s3526arips3526a-ripnetwork 10.1.1.0s3526a-ripnetwork 10.1.2.0s3526a-ripnetwork 10.1.4.0s3526brips3526b-ripnetwork 10.1.3.0s3526b-ripnetwork 10.1.4.0配置完成后，全网络达到互通，我们可以用“display ip routing-table”命令察看路由表。s3526bdis ip routing-tablerouting table: public netdestination/maskprotoprecostnexthopinterface10.1.1.0/24rip100110.1.4.1 vlan-interface510.1.2.0/24rip100110.1.4.1 vlan-interface510.1.3.0/24direct0010.1.3.1 vlan-interface410.1.3.1/32direct00127.0.0.1 inloopback010.1.4.0/24direct0010.1.4.2 vlan-interface510.1.4.2/32direct00127.0.0.1 inloopback0127.0.0.0/8direct00127.0.0.1inloopback0127.0.0.1/32direct00127.0.0.1inloopback0（3） rip报文交互调试信息。打开rip协议报文的调试开关。debug rip packet使调试信息输出到终端ter debug% current terminal debugging is on0.172628665-rm-7-s1-rtdbg:rip: send from 10.1.4.2(vlan-interface5) to 255.255.255.255packet: vers 1, cmd response, length 24dest 10.1.3.0,metric 1,tag 0*0.172646069-rm-7-s1-rtdbg:ignoring rip response0 packet from 10.1.1.1 +520 - can not find interface for source address*0.172646225-rm-7-s1-rtdbg:rip: receive response from 10.1.4.1 via vlan-interface5packet: vers 1,cmd response,length 44dest 10.1.1.0 ,metric 1, tag 0dest 10.1.2.0 ,metric 1,tag 0从上面输出信息中可以看出，s3526b从路由接口5（ip地址10.1.4.2）给广播地址255.255.255.255（代表所有运行ripv1协议的路由器）发送了ripv1路由更新报文，携带一条目的地址为10.1.3.0/24的路由；同时从s3526a路由接口5（ip地址10.1.4.1）收到ripv1路由更新报文，包括2条路由：10.1.1.0/24，10.1.2.0/24。在s3526交换机上运行rip协议时，接口在缺省模式下接收和发送rip报文。而当指定接口rip版本为rip-2时，缺省使用组播形式传送报文。在vlan接口模式下配置rip版本：s3526b-vlan-interface5rip ver 2 multicast在两台交换机的其他vlan接口上也进行相同的配置，然后再用debug观察，可见rip更新路由信息都发送给组播地址224.0.0.9了。 实验3 acl包过滤实验3.1实验内容l 基于基本acl的包过滤l 基于高级acl的包过滤l 基于二层acl的包过滤3.2基于基本acl的包过滤3.2.1实验目的l 理解并验证交换机的基本acl包过滤功能3.2.2实验环境l quidway系列s3526交换机1台，pc3台l 配置电缆1根，网线3根3.2.3实验组网图图3.13.2.4实验步骤1. 首先按照如图3.1所示的组网图连接所有设备，并分配3台pc的ip地址及默认网关。2. 在s3526a交换机上配置vlan以及vlan接口，使网络达到互通。quidway int vlan-interface 1quidway-vlan-interfacel ip add 10.1.1.1 255.255.255.0quidway-vlan-intarfacel vlan 2quidway-vlan2 port e0/9 to e0/16quidway-vlan2 int vlan-int 2quidway-vlan-interface2 ip add 10.1.2.1 255.255.255.0quidway-vlan-interface2 vlan 3quidway-vlan3 port e0/17 to e0/24quidway-vlan3 int vlan-int 3quidway-vlan-interface3 ip add 10.1.3.1 255.255.255.0完成上述配置之后，大家可以分别在三台pc上ping一下其他两台，看是否能够ping通。3. 接下来请在s3536a交换机上配置一个基本acl，并应用包过滤限制来自pcb的访问。其具体配置如下：quidway acl name denypcb basic /定义名为“denypcb”的基本acl(acl也可用数字进行标识，基本acl的数字标识为199)quidway-acl-basic-denypcb rule 1 deny source 10.1.2.2 0（注意这里有一个“0”，用“0”表示一个主机，如果用反掩码就表示一个网段） /定义一条acl规则，禁止源地址为10.1.2.2的数据包访问（这里用的是主机地址，也可用一个网段）quidway-acl-basic-denypcb quitquidway packet-filter ip-group denypcb /激活访问控制列表，也可以只激活其中的某条特定规则（加上rule字段大家可以试一下）完成上述配置之后，如果从pcb ping向pca，大家可以看到不能ping通，而从pcc则仍然可以ping通。同样从pcb也无法ping通pcc。可用命令“dis acl running-packet-filter all”来查看acl的运行情况。思考题：关于匹配顺序：在定义acl的同时，我们也可以定义acl的匹配顺序（match-order），当一条acl中有多条规则时，匹配顺序决定了如何对这些规则进行匹配。华为quidway系列交换机上提供了两种匹配顺序：auto和config。其中一种为深度优先匹配，另一种根据配置的顺序。同学们自己设计一个实验验证一下，哪种配置是深度优先，哪种配置是根据配置的顺序。并且验证一下这两种匹配顺序的区别。可以通过如下命令设置匹配顺序：quidwayacl name acl-name advanced match-order config|auto缺省情况下按照config顺序匹配访问控制列表，用户一旦指定一条访问列表的匹配顺序后就不能再更改，除非把该访问列表的子项全部删除，再重新指定其匹配顺序。3.3基于高级acl的包过滤3.3.1实验目的l 理解并验证交换机的高级acl包过滤功能3.3.2实验环境l quidway系列s3526交换机1台，pc3台l 配置电缆1根，网线3根3.3.3实验组网图图3.23.3.4实验步骤1. 本实验的组网