第四部分交换机高级实验.doc

第四部分 交换机高级实验1 基本功能1.1 MAC地址过滤1.1.1 工作原理交换机检查接收的数据帧，如果源MAC地址是被过滤的地址，则直接丢弃数据包。1.1.2 配置命令(config)#mac-address-table filtering mac-addr vlan vlan-id/*指定需要过滤的MAC地址#show mac-address-table filtering/*查看过滤的MAC地址1.1.3 网络拓扑图1.1.4 测试方法在S2126G上启用MAC地址过滤，过滤来自PC1的MAC地址：00-90-F5-21-82-4F。期望目标：过滤前，PC1可以ping通PC2。过滤后，PC1不能ping通PC2。1.1.5 测试结果过滤前，PC1可以ping通PC2。在S2126G上启用MAC地址过滤：过滤后，PC1不能ping通PC2。1.2 二层AP1.2.1 工作原理将多个物理链接捆绑在一起形成单个逻辑链接。AP把流量平均地分配到AP的成员链路中实现流量平衡。流量平衡可以根据源MAC地址、目的MAC地址、源IP地址和目的IP地址。注意事项：S2126G,S2150G交换机最大支持的6个AP，每个AP最多能包含8个端口。6号AP只为模块1和模块2保留，其它端口不能成为该AP的成员，模块1和模块2也只能成为6号AP的成员。1.2.2 配置命令(config-if)#port-group port-group-number /*将接口加入到AP组中1.2.3 网络拓扑图1.2.4 测试方法在S2126G上将端口1、2加入到AP组1中。期望目标：PC1可以ping通PC2。断开端口1后，PC1仍能ping通PC2。1.2.5 测试结果将端口1、2加入到AP组1中： PC1可以ping通PC2。断开端口1后，PC1仍能ping通PC2。1.2.6 补充在AP上实现流量平衡：aggregateport load-balance dst-mac | src-mac | ip/*指定AP流量平衡的算法1.3 广播风暴抑制1.3.1 工作原理限定端口接收广播帧的速率，一旦超过阀值，认为是广播风暴，交换机将暂时禁止相应类型的包的转发直到数据流恢复正常。注意事项：千兆接口支持打开/关闭风暴控制，百兆接口不支持。1.3.2 配置命令(config-if)#storm-control broadcast/*启用广播风暴控制#show storm-control interface-id/*查看风暴控制1.3.3 网络拓扑图1.3.4 测试方法1.3.5 测试结果1.4 VLAN 1.4.1 VLAN的划分1.4.1.1 工作原理划分VLAN的目的是在2层平面上实现对网络的分段，控制广播。1.4.1.2 配置命令(config)#vlan vlan-id/*创建VLAN(config-vlan)#name vlan-name/*给VLAN命名#show vlan vlan-id/*查看VLAN1.4.1.3 网络拓扑图1.4.1.4 测试方法在S2126G上创建VLAN2、3，将端口2加入到VLAN2中，端口3加入到VLAN3中。期望目标：PC1可以ping通PC3，不能ping通PC2。1.4.1.5 测试结果创建VLAN，将端口加入VLAN中：PC1可以ping通PC3。PC1不能ping通PC2。1.4.2 VLAN间路由1.4.2.1 工作原理VLAN间路由通过在三层设备上建立虚口实现。1.4.2.2 配置命令(config)#interface vlan vlan-id /*针对VLAN创建虚口(config-if)#ip address ip-add netmask/*指定虚口的IP地址1.4.2.3 测试网络1.4.2.4 测试方法在S3550上创建SVI2、3。期望目标：PC1可以ping通PC2，可以ping通PC3。1.4.2.5 测试结果在S3550上创建SVI2、3：PC1可以ping通PC2。PC1可以ping通PC3。1.5 MSTP1.5.1 工作原理把一台交换机的一个或多个vlan划分为一个instance，有着相同instance配置的交换机就组成一个域（MST region），运行独立的生成树。1.5.2 配置命令(config)#spanning-tree/*启用生成树，默认为MSTP(config)#spanning-tree mst configuration/*进入MST的配置模式(config-mst)#instance instance-id vlan vlan-id/*关联VLAN到实例(config)#spanning-tree mst instance-id priority priority/*指定交换机的桥优先级(config-if)#spanning-tree mst instance-id port-priority priority /*指定接口的优先级#show spanning-tree mst instance-id /*查看生成树配置1.5.3 网络拓扑图1.5.4 测试方法在交换机上启用MSTP，VLAN 2关联到实例2，VLAN 3关联到实例3。并降低S3550的桥优先级，确保其成为根桥。期望目标：PC1可以ping通PC4。断开S3550的端口1后，PC1仍可以ping通PC4。1.5.5 测试结果启用MSTP：PC1可以ping通PC4，断开S3550的端口1后，PC1仍可以ping通PC4：2 安全2.1 ACL2.1.1 工作原理ACL的目的是对数据进行过滤。ACL的动作：允许、拒绝。语句的执行动作是从上到下，一旦发现匹配立即执行，不再向下执行。在句末仍未匹配的将被默认的隐含拒绝语句拒绝。2.1.2 配置命令(config)#ip access-list standard name/*创建标准ACL(config-std-nacl)#deny|permit source-ip-add wildcard|host source-ip-add|anytime-range time-range-name/*拒绝|允许源IP地址(config)#ip access-list extended name/*创建扩展ACL(config-ext-nacl)#deny|permit protocol source-ip-add wildcard|host source-ip-add |any destination destination-ip-add wildcard|host destination-ip-add |any eq tcp|udp port-number time-range time-range-name/*拒绝|允许源IP地址、目的IP地址、端口(config)#mac access-list extended name/*创建MAC扩展ACL(config-ext-macl)#deny|permit any|host source-mac-address any|host destination-mac-address time-range time-range-name/*拒绝|允许源MAC地址、目的MAC地址(config-if)#ip access-group name in/*关联ACL到接口(config)#time-range name/*创建时间段2.1.3 网络拓扑图2.1.4 测试方法PC1可以ping通PC2和PC3。在S2126G上使用基于源IP地址的ACL，拒绝PC1的IP地址，PC1不能ping通PC2和PC3。在S2126G上使用基于目的IP地址的ACL，拒绝PC2的IP地址，PC1不能ping通PC2，但可以ping通PC3。在S2126G上使用基于TCP/UDP协议的ACL，拒绝TCP23端口，PC1能ping通PC2，但不能telnetPC2。在S2126G上使用基于MAC地址的ACL，拒绝PC1的MAC地址，PC1不能ping通PC2和PC3。在S2126G上使用基于时间的ACL，在每天8：00-18：00拒绝PC1的IP地址，在每天8：00-18：00PC1不能ping通PC2和PC3，其他时间可以ping通。2.1.5 测试结果PC1可以ping通PC2：PC1可以ping通PC3：使用基于源IP地址的ACL，拒绝PC1的IP地址：PC1不能ping通PC2：使用基于目的IP地址的ACL，拒绝PC2的IP地址：PC1不能ping通PC2：PC1可以ping通PC3：使用基于TCP/UDP协议的ACL，拒绝TCP23端口：PC1可以ping通PC2。PC1不能telnetPC2。使用基于MAC地址的ACL，拒绝PC1的MAC地址：PC1不能ping通PC2。使用基于时间的ACL，在每天8：00-18：00拒绝PC1的IP地址：在每天8：00-18：00 PC1不能ping通PC2：在其他时间PC1可以ping通PC2：2.2 端口+IP+MAC绑定2.2.1 工作原理交换机检查接收的IP包，不符合绑定的被交换机丢弃。2.2.2 配置命令(config-if)#switchport port-security/*启用端口安全(config-if)#switchport port-security mac-address mac-address ip-address ip-address/*绑定端口、IP、MAC2.2.3 网络拓扑图2.2.4 测试方法在S2126G上启用端口安全，绑定端口、IP、MAC，PC1可以ping通PC2。期望目标：修改PC1的端口、IP、MAC，PC1不能ping通PC2。2.2.5 测试结果在S2126G上启用端口安全：修改PC1的端口、IP、MAC，PC1不能ping通PC2：2.3 防扫描2.3.1 工作原理许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的，目前发现的扫描攻击有两种：对单个目的IP地址扫描；对整个网段的扫描。防扫描通过指定数据报的阀值，区别正常的访问和扫描攻击。防扫描功能只对跨网段的扫描生效。2.3.2 配置命令(config-if)#system-guard enable/*启用防扫描系统保护(config-if)#system-guard isolate-time seconds /*指定隔离非法用户时间(config-if)#system-guard same-dest-ip-attack-packets number/*指定单个目的的阀值(config-if)#system-guard same-dest-ip-attack-packets number/*指定整个网段的阀值#show system-guard/*查看系统保护信息2.3.3 网络拓扑图2.3.4 测试方法在PC1上使用X-Scan对192.168.3.0/24 进行扫描。期望目标：启用防扫描前，S3550的CPU占用率高。启用防扫描后，PC1被交换机自动隔离。2.3.5 测试结果启用防扫描前，S3550的CPU占用率高：启用防扫描后，PC1被交换机自动隔离：2.4 端口隔离2.4.1 工作原理保护口之间互相无法通讯，保护口与非保护口之间可以正常通讯。注意事项：对于S2150G交换机，它的端口区间分为两个部分，端口124及模块1为区间A，端口2548及模块2为区间B。不同区间设置的保护口只对本区间有效，对另一个区间无效。2.4.2 配置命令(config-if)#switchport protected/*指定端口为隔离端口#show interfaces switchport/*查看端口隔离2.4.3 网络拓扑图2.4.4 测试方法在S2126G的接口1、2上启用端口隔离。期望目标：PC1、PC2都可以ping通PC3。PC1不能ping通PC2。2.4.5 测试结果在S2126G的接口1、2上启用端口隔离：PC1、PC2都可以ping通PC3。PC1不能ping通PC2。 3 应用3.1 VRRP3.1.1 工作原理主机的网关指向虚拟网关，一个虚拟路由器由一个主路由器和若干个备份路由器组成，主路由器实现真正的转发功能。当主路由器出现故障时，一个备份路由器将成为新的主路由器，接替它的工作。3.1.2 配置命令(config-if)#standby group-number ip ip-address/*创建VRRP虚拟机#show standby/*查看VRRP的配置3.1.3 网络拓扑图3.1.4 测试方法在S3550上建立VRRP虚拟机，主机的网关指向虚拟机。期望目标：PC1可以ping通NBR1000E的内网口。断开S2126G的端口1后，PC1仍可以ping通NBR1000E的内网口。3.1.5 测试结果在S3550上建立VRRP虚拟机：主机的网关指向虚拟机：PC1可以ping通NBR1000E的内网口，断开S2126G的端口1后，PC1仍可以ping通NBR1000E的内网口。3.1.6 补充3.1.6.1 启用抢占(config-if)#standby group-number priority priority preempt/*指定虚拟机优先级启用抢占在192.168.2.251上修改虚拟机优先级为254，并启用抢占，立即成为主路由器：3.1.6.2 启用认证(config-if)#standby group-number authentication string/*指定认证字符串两个三层设备的认证字符串不一致不能建立虚拟机：两个三层设备的认证字符串一致可以建立虚拟机：3.2 QoS3.2.1 工作原理分类：确保将网络交通流划分成以DSCP值来标识的各个数据流。随后交换机将根据DSCP值来对各个数据流实施不同的QoS策略。策略：用于约束某个流的所占用的传输带宽，根据配置的Policer来决定流中的哪些部分超出了所限制的传输带宽。3.2.2 配置命令(config)#ip access-list extended acl-name/*创建ACL(config-ext-nacl)#permit ip any any/*允许所有地址(config)#class-map class-name/*创建QoS类(config-cmap)#match access-group acl-name/*关联ACL(config)#policy-map policy-name/*创建QoS策略(config-pmap)#class map-name/*关联QoS类(config-pmap-c)#police speed burst/*指定速率(config-if)#service-policy input policy-name/*关联QoS策略到接口3.2.3 网络拓扑图3.2.4 测试方法PC1从PC2下载文件，速率为16M（2000kbps）期望目标：在S2126G上使用QoS限速为1M（100kbps）。PC1从PC2下载文件，速率为100kbps左右。3.2.5 测试结果PC1从PC2下载文件，速率为：在S2126G上使用QoS限速为1M：PC1从PC2下载文件，速率为100kbps左右：3.3 组播3.3.1 工作原理组播是一种允许一个或多个发送者（组播源），发送单一的数据包到多个接收者（一次的，同时IP的）的网络技术。组播源把数据包发送到特定组播组，而只有属于该组播组的地址才能接收到数据包。组播可以大大的节省网络带宽，因为无论有多少个目标地址，在整个网络的任何一条链路上只传送单一的数据包。3.3.2 配置命令(config)#ip multicast-routing/*启用组播路由(config-if)#ip pim/*启用PIM(config)#ip igmp profile profile-num/*创建配置表(config-profile)#permit/*允许所有地址(config-profile)#range ip-address/*允许组播地址(config)#ip igmp snooping svgl profile profile-num/*关联配置文件(config)#ip igmp snooping svgl/*启用svgl模式IGMP侦听(config)#ip igmp snooping vlan vlan-id mrouter interface fastEthernet interface-id /*指定路由连接口3.3.3 网络拓扑图3.3.4 测试方法PC1是组播源，PC2是客户端。期望目标：PC2可以接收到来自PC2的组播流量。3.3.5 测试结果组播路由表：GDA表：PC2可以接收到来自PC2的组播流量：4 路由4.1 静态路由4.1.1 工作原理在路由器上手工配置，不增加路由器开销，对网络改变不能作出反应。4.1.2 配置命令(config-if)#no switchport/*指定接口为三层口(config-if)#ip address ip-add netmask/*指定IP地址(config)#ip route destination-network netmask next-hop/*指定静态路由4.1.3 网络拓扑图4.1.4 测试方法PC1不能ping通PC2。期望目标：在S3550上启用静态路由，到192.168.1.0走10.0.0.1，到192.168.2.0走10.0.0.2。PC1可以ping通PC2。4.1.5 测试结果PC1不能ping通PC2。在S3550上启用静态路由：PC1可以ping通PC2。4.1.6 补充4.1.6.1 修改管理距离修改管理距离一般用在备份路由中，在主路由失效时，备份路由进入路由表，主路由恢复之后消失。(config)#ip route destination-network netmas