计算机网络技术实验实训计划

计算机网络技术实验实训计划计算机网络技术实验实训计划 目目 录录 交换机与交换机实验 1 实验一实验一 网线制作 2 实验二实验二 交换机与路由器的基本配置 2 实验三实验三 交换机端口安全 4 实验四实验四 交换机端口 链路汇聚 11 实验五实验五 交换机生成树协议 16 实验六实验六 标准和扩展 ACL 应用 28 实验七实验七 交换机 路由器 dhcp 应用 28 实验八实验八 组播协议应用与 NAT 应用 34 实验九实验九 HSRP 协议应用 34 实验十实验十 交换机 vrrp 协议应用 40 实验十一实验十一 交换机 路由器 qos 应用 53 实验十二实验十二 路由器 VPN 应用 61 实验十三实验十三 路由器广域网协议应用 86 实验一实验一 制作网线制作网线 实验名称 实验名称 制作网线 实验目的 实验目的 制作网线 提高制作网线的速度 实现功能 实现功能 熟练制作网线 实验设备 实验设备 网线钳 实验拓朴 略实验拓朴 略 实验步骤 略实验步骤 略 实验二实验二 交换机与路由器的基本配置交换机与路由器的基本配置 实验名称 实验名称 交换机与路由器的基本配置 实验目的 实验目的 熟练掌握两层 三层交换机划分VLAN 单臂路由配置 静态 路由 动态路由 RIP IGRP EIGRP OSPF配置 实现功能 实现功能 熟练掌握交换机与路由器基本配置方式 实验拓朴 实验拓朴 单臂路由配置 下面请看图 PC A 和 PC B 分别属于 vlan10 和 vlan20 Switch2950 是一个 cisco 的二层交 换机 型号 2950 欲实现 vlan10 和 vlan20 的通信 我们要增加一个路由器来转发 vlan 之 间的数据包 路由器与交换机之间使用单条链路相连 图中画红线 这条链路也叫主干 所 有数据包的进出都要通过路由器 2600 的 f0 0 端口来现实数据转发 接下来 结合以上网络拓扑探讨一下单臂路由的配置 图中路由器是 cisco 的 2600 系列 交换机采用 cisco 的 2950 一 配置交换机 二 配置路由器 三 验证 最后配置 PC A 和 PC B 的 IP 地址和子网掩码 具体请看图 下面试 试 PC A 主机 ping PC B 主机 实验结果能 Ping 通 配置成功 两层 三层交换机划分VLAN 静态路由 动态路由 RIP IGRP EIGRP OSPF配置 配置请参考交换机 路由器及其配置 第2版 课本 实验三实验三 交换机端口安全交换机端口安全 实验名称 交换机端口安全 实验目的 熟练配置交换机端口安全 实现功能 熟练掌握交换机的各种管理方式 实验 1 交换机端口安全 安全对于一个网络来说是至关重要的 一个良好的网络不仅要设计合理还要 安全 今天就来讲一下 cisco 交换机的端口安全 当有些交换机端口没有用的时候最好是手动把它关掉 还有基于 MAC 地址 绑定 这样别的主机再接上去 就会触发你所设置的安全机制 比如说 shutdown 看一下拓扑图 交换机会自动学习 MAC 地址并绑定 当 PC1 再连接该接口的时候 就会自动关闭 在交换机上配置命令 Switch config int f0 2 进入接口 Switch config if switch mode access 设置该接口为接入模式 这个一定要 打上 不然不能进入端口安全的 Switch config if switch port security 启用端口安全 Switch config if switchport port security mac address sticky 自动学 习 MAC 地址 Switch config if switchport port security maximum 1 最大安全 MAC 地 址数为 1 Switch config if switchport port security violation shutdown 触发机 制的时候所执行的命令 现在把 PC1 接到 f0 2 刚接上去还是亮的 现在 PING 一下网关看一下会出现什么情况呢 一 PING 马上就 shutdown 了 这说明 PC1 已经触发了安全机制 交换机已经把端 口自己关闭了 这样安全机制已经达到了 但要是想绑定其他主机怎么办呢 有两条命令 首先查看交换机里面绑定的 MAC 地址 现在就是要把绑定在 fa0 2 上的地址清掉 输入以下命令 Switch config int f0 2 Switch config if no switchport port security mac address 000a 41dc 0a83 去掉绑定的 MAC 2 cisco 交换机端口安全总结 最常用的对端口安全的理解就是可根据 MAC 地址来做对网络流量的控制和管理 比 如 MAC 地址与具体的端口绑定 限制具体端口通过的 MAC 地址的数量 或者在具体的 端口不允许某些 MAC 地址的帧流量通过 稍微引申下端口安全 就是可以根据 802 1X 来 控制网络的访问流量 首先谈一下 MAC 地址与端口绑定 以及根据 MAC 地址允许流量的配置 1 MAC 地址与端口绑定 当发现主机的 MAC 地址与交换机上指定的 MAC 地址不同时 交换机相应的端口将 down 掉 当给端口指定 MAC 地址时 端口模式必须为 access 或者 Trunk 状态 3550 1 conf t 3550 1 config int f0 1 3550 1 config if switchport mode access 指定端口模式 3550 1 config if switchport port security mac address 00 90 F5 10 79 C1 配置 MAC 地址 3550 1 config if switchport port security maximum 1 限制此端口允许通过的 MAC 地址数为 1 3550 1 config if switchport port security violation shutdown 当发现与上述配置不符时 端口 down 掉 2 通过 MAC 地址来限制端口流量 此配置允许一 TRUNK 口最多通过 100 个 MAC 地址 超过 100 时 但来自新的主机的数据帧将丢失 3550 1 conf t 3550 1 config int f0 1 3550 1 config if switchport trunk encapsulation dot1q 3550 1 config if switchport mode trunk 配置端口模式为 TRUNK 3550 1 config if switchport port security maximum 100 允许此端口通过的最大 MAC 地址数 目为 100 3550 1 config if switchport port security violation protect 当主机 MAC 地址数目超过 100 时 交换机继续工作 但来自新的主机的数据帧将丢失 上面的配置根据 MAC 地址来允许流量 下面的配置则是根据 MAC 地址来拒绝流量 1 此配置在 Catalyst 交换机中只能对单播流量进行过滤 对于多播流量则无效 3550 1 conf t 3550 1 config mac address table static 00 90 F5 10 79 C1 vlan 2 drop 在相应的 Vlan 丢弃流 量 3550 1 conf t 3550 1 config mac address table static 00 90 F5 10 79 C1 vlan 2 int f0 1 在相应的接口丢弃 流量 最后说一下 802 1X 的相关概念和配置 802 1X 身份验证协议最初使用于无线网络 后来才在普通交换机和路由器等网络设备上使 用 它可基于端口来对用户身份进行认证 即当用户的数据流量企图通过配置过 802 1X 协 议的端口时 必须进行身份的验证 合法则允许其访问网络 这样的做的好处就是可以对 内网的用户进行认证 并且简化配置 在一定的程度上可以取代 Windows 的 AD 配置 802 1X 身份验证协议 首先得全局启用 AAA 认证 这个和在网络边界上使用 AAA 认证没有太多的区别 只不过认证的协议是 802 1X 其次则需要在相应的接口上启用 802 1X 身份验证 建议在所有的端口上启用 802 1X 身份验证 并且使用 radius 服务器来 管理用户名和密码 下面的配置 AAA 认证所使用的为本地的用户名和密码 3550 1 conf t 3550 1 config aaa new model 启用 AAA 认证 3550 1 config aaa authentication dot1x default local 全局启用 802 1X 协议认证 并使用本地 用户名与密码 3550 1 config int range f0 1 24 3550 1 config if range dot1x port control auto 在所有的接口上启用 802 1X 身份验证 后记 通过 MAC 地址来控制网络的流量既可以通过上面的配置来实现 也可以通过访问控制列 表来实现 比如在 Cata3550 上可通过 700 799 号的访问控制列表可实现 MAC 地址过滤 但是利用访问控制列表来控制流量比较麻烦 似乎用的也比较少 这里就不多介绍了 通过 MAC 地址绑定虽然在一定程度上可保证内网安全 但效果并不是很好 建议使用 802 1X 身份验证协议 在可控性 可管理性上 802 1X 都是不错的选择 3 详细介绍 Cisco 交换机端口安全 在 Cisco 中有以下三种方案可供选择 方案 1 和方案 2 实现的功能是一样的 即在具体的交换机端口上绑定特定的主机的 MAC 地址 网卡硬件地址 方案 3 是在具体的交换机端口上同时绑定特定的主机的 MAC 地址 网卡硬件地址 和 IP 地址 方案 1 基于端口的 MAC 地址绑定 思科 2950 交换机为例 登录进入交换机 输入管理口令进入配置模式 敲 入命令 Switch config terminal 进入配置模式 Switch config Interface fastethernet 0 1 进入 具体端口配置模式 Switch config if switchport port security mac address MAC 主机的 MAC 地址 配置该端口要绑定的主机的 MAC 地址 Switch config if no switchport port security mac address MAC 主机的 MAC 地址 删除绑定主机的 MAC 地址 注意 以上命令设置交换机上某个端口绑定一个具体的 MAC 地址 这样只 有这个主机可以使用网络 如果对该主机的网卡进行了更换或者其他 PC 机想通 过这个端口使用网络都不可用 除非删除或修改该端口上绑定的 MAC 地址 才 能正常使用 以上功能适用于思科 2950 3550 4500 6500 系列交换机 方案 2 基于 MAC 地址的扩展访问列表 Switch config Mac access list extended MAC10 定义一个 MAC 地址访问控制列表并且命名该列表名为 MAC10 Switch config permit host 0009 6bc4 d4bf any 定义 MAC 地址为 0009 6bc4 d4bf 的主机可以访问任意主机 Switch config interface fa0 20 进入配置具体端口模式 Switch config mac access group MAC10 in 在该端口上应用名为 MAC10 的访问列表 即前面我们定义的 访问策略 Switch config no mac access list extended MAC10 清除名为 MAC10 的访问列表 此功能与应用一大体相同 但它是基于端口做的 MAC 地址访问控制列表限 制 可以限定特定源 MAC 地址与目的地址范围 注意 以上功能在思科 2950 3550 4500 6500 系列交换机上可以实现 但是需要注意的是 2950 3550 需要交换机运行增强的软件镜像 Enhanced Image 方案 3 IP 地址的 MAC 地址绑定 只能将应用 1 或 2 与基于 IP 的访问控制列表组合来使用才能达到 IP MAC 绑定功能 Switch config mac access list extended MAC10 定义一个 MAC 地址访问控制列表并命名为 MAC10 Switch config permit host 0009 6b4c d4bf any 定义 MAC 地址为 0009 6b4c d4bf 的主机可以访问任何主机 Switch config permit any host 0009 6b4c d4bf 定义任何主机可以访问 MAC 为 0009 6b4c d4bf 的主机 Switch config ip access list extended IP10 定义一个 IP 地址访问控制列表并且命名为 IP10 Switch config permit 192 168 0 1 0 0 0 0 any 定义 IP 地址为 192 168 0 1 的主机可以访问任何主机 Switch config permit any 192 168 0 1 0 0 0 0 定义任何主机都可以访问 IP 地址为 192 168 0 1 的主机 完成了这一步就可以进入端口配置模式去配置端口啦 Switch config int fa0 20 进入端口配置模式 Switch config if 在该端口上应用名为 MAC10 的访问列表 即前面我们定义的 访问策略 Switch config if ip access group IP10 in 在该端口上应用名为 MAC10 的访问列表 IP 访问控制列表哟 下面是清除端口上的访问控制列表 Switch config if no mac access group MAC10 in Switch config if no ip access group IP10 in 取消端口的访问控制列表应用 再清除访问控制列表 Switch config no mac access list extended MAC10 Switch config no access list extended IP10 清除所定义的 MAC10 IP10 访问控制列表 上述所提到的应用 1 是基于主机 MAC 地址与交换机端口的绑定 方案 2 是 基于 MAC 地址的访问控制列表 前两种方案所能实现的功能大体一样 如果要 做到 IP 与 MAC 地址的绑定只能按照方案 3 来实现 可根据需求将方案 1 或方案 2 与 IP 访问控制列表结合起来使用以达到自己想要的效果 以上功能在思科 2950 3550 4500 6500 系列交换机上可以实现 但是需要注意的是 2950 3550 需要交换机运行增强的软件镜像 Enhanced Image 在企业实际应用中 我们还可以更灵活的使用 我们都知道访问控制 ACL 功能的强大 如果能够很好的结合交换加以运用 会有更好的效果 以 上文章希望对大家有所帮助 实验四实验四 交换机端口 链路汇聚交换机端口 链路汇聚 实验名称 交换机端口 链路汇聚 实验目的 熟练掌握交换机端口 链路汇聚 实验步骤 有关端口链路聚合问题有关端口链路聚合问题 二层链路端口 在交换式网络中实现冗余的方法有良两种 1 生成树协议 2 链路捆绑技术 其中 生成树协议是一个纯二层协议 链路捆绑技术可在二层接口也可在三层接口上使用 把多个二层物理链接捆绑在一起形成的一个简单的逻辑链接 这个逻辑链接我们称之为链 路聚合 这些二层物理端口捆绑在一起 称为一个聚合口Aggregate Port AP AP技术一般应用在交换机之间的骨干链路上 或者是交换机与大量流量的服务器之间 链路聚合注意点 1 聚合端口的速度必须一致 2 聚合端口必须属于同一个vlan 3 聚合端口使用的传输介质相同 4 聚合端口必须属于同一层次 并与AP也要在同一层次 二层链路端口聚合 L2 Aggregate Port 将二层的以太网接口f0 1和f0 5配置成二层aggregate port 5成员 Switch config interface range f0 1 5 Switch config if range port group 5 将接口加入aggregate port 5 若不存在 则同时创 建它 Switch config if range exit Switch config interface f0 3 Switch config if no port group 删除aggregate port 5成员接口f0 3 调整二层AP负载均衡模式的配置 Switch config aggregateport load balance dst mac 选择基于目的MAC的负载均衡方式 Switch config aggregateport load balance src mac 选择基于源MAC的负载均衡方式 Switch show aggregateport summary 查看聚合端口的汇总信息 Switch show aggregateport load balance 查看聚合端口的流量平衡方式 三层链路端口 建立AP首先应手动建立汇聚端口 并将其设置为三层接口 no switchport 如果直接将交换 机端口加入的话 会出现接口类型不匹配 命令无法执行错误 默认情况下 一个aggregate port是二层的 如果要配置一个三层的 而对三层交换机的端 口设置为三层端口 用no switchport变为三层端口 用switchport变为二层接口 如 SW3550 config interface aggregateport 1 手动建立汇聚端口ag1 SW3550 config if no switchport 将ag1设置为三层接口 SW3550 config int range f0 1 2 SW3550 config if range no switchport 将f0 1和f0 2接口加入ap组1 配置交换机端口聚合思科命令行配置 配置交换机端口聚合思科命令行配置 CLI SW conf t SW config interface range f1 1 2 SW config if channel group 1 mode desirable on SW config if swithport SW config if switchport mode trunk SW config if switchport trunk encap dot1q 可以通过 interface port channel 1 进入端口通道 Cisco 交换机链路聚合 下面是局域网的核心交换机 三层交换 和二层交换之间的端口聚合的操作实 例 2950 Switch en Switch conf t Enter configuration commands one per line End with CNTL Z Switch config int f0 1 Switch config if channel group 1 mode on LINK 5 CHANGED Interface Port channel 1 changed state to up LINEPROTO 5 UPDOWN Line protocol on Interface Port channel 1 changed state to upSwitch config if int f0 2 Switch config if channel group 1 mode on 3560 Switch config int port channel 1 Switch config if exit Switch config ip routing 默认已经启用了路由功能 Switch config int port channel 1 Switch config if no switchport Switch config if ip add 1 1 1 1 255 0 0 0 Switch config if no shut Switch config if exit Switch config int f0 1 Switch config if no switchport LINEPROTO 5 UPDOWN Line protocol on Interface FastEthernet0 1 changed state to down LINEPROTO 5 UPDOWN Line protocol on Interface FastEthernet0 1 changed state to upSwitch config if Switch config if no ip add Switch config if channel group 1 mode active Enable LACP unconditionally auto Enable PAgP only if a PAgP device is detected desirable Enable PAgP unconditionally on Enable Etherchannel only passive Enable LACP only if a LACP device is detected Switch config if channel group 1 mode on LINK 5 CHANGED Interface Port channel 1 changed state to up LINEPROTO 5 UPDOWN Line protocol on Interface Port channel 1 changed state to upSwitch config if Switch config if int f0 2 Switch config if no switchport LINEPROTO 5 UPDOWN Line protocol on Interface FastEthernet0 2 changed state to down LINEPROTO 5 UPDOWN Line protocol on Interface FastEthernet0 2 changed state to upSwitch config if no ip add Switch config if no ip address Switch config if channel group 1 mode on Switch config if exit Switch config int f0 3 Switch config if no switchport LINEPROTO 5 UPDOWN Line protocol on Interface FastEthernet0 3 changed state to down LINEPROTO 5 UPDOWN Line protocol on Interface FastEthernet0 3 changed state to upSwitch config if ip add 2 2 2 1 255 0 0 0 Switch config if no shut 端口聚合可使流量在多条物理链路上负载均衡 同时也起到了链路的备份 作用 但是在某些设备里 应注意聚合链路两端接口的速率 工作模式 例如 在快以中 可将各个端口设置为 speed 100 duplex full cisco 交换机端口交换机端口 ip mac 绑定绑定 思科 2950 交换机为例 登录进入交换机 输入管理口令进入配置模式 敲 入命令 Switch c onfig terminal 进入配置模式 Switch config Interface fastethernet 0 1 进入具体端口配置模式 Switch config if Switchport port secruity 配置端口安全模式 Switch config if switchport port security mac address MAC 主机的 MAC 地 址 配置该端口要绑定的主机的 MAC 地址 Switch config if no switchport port security mac address MAC 主机的 MAC 地址 删除绑定主机的 MAC 地址 二 基于 MAC 地址的扩展访问列表 Switch config Mac access list extended MAC 定义一个 MAC 地址访问控制列表并且命名该列表名为 MAC Switch config permit host 0009 6bc4 d4bf any 定义 MAC 地址为 0009 6bc4 d4bf 的主机可以访问任意主机 Switch config permit any host 0009 6bc4 d4bf 定义所有主机可以访问 MAC 地址为 0009 6bc4 d4bf 的主机 Switch config if interface Fa0 20 进入配置具体端口的模式 Switch config if mac access group MAC in 在该端口上应用名为 MAC 的访问列表 即前面我们定义的访问策略 Switch config no mac access list extended MAC 清除名为 MAC 的访问列表 三 IP 地址的 MAC 地址绑定 只能将应用 1 或 2 与基于 IP 的访问控制列表组合来使用才能达到 IP MAC 绑定功能 Switch config Mac access list extended MAC 定义一个 MAC 地址访问控制列表并且命名该列表名为 MAC Switch config permit host 0009 6bc4 d4bf any 定义 MAC 地址为 0009 6bc4 d4bf 的主机可以访问任意主机 Switch config permit any host 0009 6bc4 d4bf 定义所有主机可以访问 MAC 地址为 0009 6bc4 d4bf 的主机 Switch config Ip access list extended IP 定义一个 IP 地址访问控制列表并且命名该列表名为 IP Switch config Permit 192 168 0 1 0 0 0 0 any 定义 IP 地址为 192 168 0 1 的主机可以访问任意主机 Permit any 192 168 0 1 0 0 0 0 定义所有主机可以访问 IP 地址为 192 168 0 1 的主机 Switch config if interface Fa0 20 进入配置具体端口的模式 Switch config if mac access group MAC1in 在该端口上应用名为 MAC 的访问列表 即前面我们定义的访问策略 Switch config if Ip access group IP in 在该端口上应用名为 IP10 的访问列表 即前面我们定义的访问策略 Switch config no mac access list extended MAC 清除名为 MAC 的访问列表 Switch config no Ip access group IP in 清除名为 IP 的访问列表 在 cisco 交换机中为了防止 ip 被盗用或员工乱改 ip 可以做以下措施 即 ip 与 mac 地址的绑定和 ip 与交换机端口的绑定 一 通过 IP 查端口 先查 Mac 地址 再根据 Mac 地址查端口 bangonglou3 show arp include 208 41 或者 show mac address table 来查看 整个端口的 ip mac 表 Internet 10 138 208 41 4 0006 1bde 3de9 ARPA Vlan10 bangonglou3 show mac add in 0006 1bde 10 0006 1bde 3de9 DYNAMIC Fa0 17 bangonglou3 exit 二 ip 与 mac 地址的绑定 这种绑定可以简单有效的防止 ip 被盗用 别 人将 ip 改成了你绑定了 mac 地址的 ip 后 其网络不同 tcp udp 协议不同 但 netbios 网络共项可以访问 具体做法 cisco config arp 10 138 208 81 0000 e268 9980 ARPA 这样就将 10 138 208 81 与 mac 0000 e268 9980 ARPA 绑定在一起了 三 ip 与交换机端口的绑定 此种方法绑定后的端口只有此 ip 能用 改为 别的 ip 后立即断网 有效的防止了乱改 ip cisco config interface FastEthernet0 17 cisco config if ip access group 6 in 实验五实验五 交换机生成树协议交换机生成树协议 实验名称 交换机生成树协议 实验目的 熟练掌握交换机生成树协议 stp rstp mstp 实现功能 熟练掌握交换机的stp rstp mstp 实验步骤 STP 生成树协议 生成树协议 STP 的全称是 spanning tree protocol STP 协议是一个二层的链路管理协议 它在提供链路冗余的同时防止网络产生环路 与 VLAN 配合可以提供链路负载 均衡 生成树协议现已经发展为多生成树协议和快速生成树协议 RSTP Rapid Spanning Tree Protocol IEEE802 1W 一 配置实例拓扑图 图一 两台 Cisco 2960 交换机使用两个千兆端口相连 默认情况下 STP 协议 启用的 通过两台交换机之间传送 BPDU 协议数据单元 选出根交换机 根端 口等 以便确定端口的转发状态 上图中标记为黄色的端口处于 block 状态 二 STP 基本配置命令 修改 Brigde ID 重新选根网桥 switch config spanning tree vlan 1 priority 4096 图二 图三 根网桥改变 交换机端口的状态也发生了变化 与图一比较 switch config if spanning tree vlan vlan id port priority 优先级值 交换 机端口优先级值修改命令 通过修改端口优先值也可以更改端口的转发状态 查看 检验 STP 生成树协议 配置 switch show spanning tree switch show spanning tree active switch show spanning tree detail switch show spanning tree interface interface id switch show spanning tree vlan vlanid 图四 三 STP 与 VLAN 负载均衡配置 图五 配置负载均衡后 每个 VLAN 有自己的根网桥 每条 vlan 中继链路只 转发所允许的 Vlan 数据帧 switch config if switchport trunk allowed vlan vlanid 这条命令配置 某条 trunk 中继链路只能转发该 vlan 图六 图七 查看每个 Vlan 的 STP 状态 switch config spanning tree vlan vlandid root primary 该命令配置某 个 vlan 的根网桥 利用这个命令可以使用 Vlan 利用 VTP 进行负载均衡 快速生成树协议 快速生成树协议 RSTPRSTP 快速生成树协议 RSTP STP 并不是已经淘汰不用 实际上不少厂家目前还仅支持 STP STP 的最 大缺点就是他的收敛时间太长 对于现在网络要求靠可靠性来说 这是不允许 的 快速生成树的目的就是加快以太网环路故障收敛的速度 1 RSTP 5 种端 口类型 STP 定义了 4 种不同的端口状态 监听 Listening 学习 Learning 阻断 Blocking 和转发 Forwarding 其端口状态表现为 在网络拓扑中端口状态混合 阻断或转发 在拓扑中的角色 根端口 指定 端口等等 在操作上看 阻断状态和监听状态没有区别 都是丢弃数据帧而 且不学习 MAC 地址 在转发状态下 无法知道该端口是根端口还是指定端口 表 8 20 中看 RSTP 的端口状态只有三种状态 Discarding Leaning 和 Forwarding 表 8 20 STP 和 RSTP 端口状态比较 RSTP 有五种端口类型 根端 口和指定端口这两个角色在 RSTP 中被保留 阻断端口分成备份和替换端口角色 生成树算法 STA 使用 BPDU 来决定端口的角色 端口类型也是通过比较端口 中保存的 BPDUB 来确定哪个比其他的更优先 1 根端口非根桥收到最优的 BPDU 配置信息的端口为根端口 即到根桥开销最小的端口 这点和 STP 一样 请注意图 8 16 上方的交换机 根桥没有根端口 按照 STP 的选择根端口的原则 SW 1 和 SW 2 和根连接的端口为根端口 2 指定端口与 STP 一样 每个以太网网段段内必须有一个指定端口 假设 SW 1 的 BID 比 SW 2 优先 而且 SW 1 的 P1 口端口 ID 比 P2 优先级高 那么 P1 为 指定端口 如图 8 17 所示 图 8 16 RSTP 根端口 图 8 17 指定端口的选择 3 替换端口如果一个端口收到另外一个网桥的更好的 BPDU 但不是最好的 那么这个端口成为替换端口 如图 8 18 所示 对于 SW 2 来说 端口 P3 收到的 BPDU 比自己优先 自己为次优先 P3 为替换端口 4 备份端口如果一个端口收到同一个网桥的更好 BPDU 那么这个端口 成为备份端 当两个端口被一个点到点链路的一个环路连在一起时 或者当一 个交换机有两个或多个到共享局域网段的连接时 一个备份端口才能存在 如 图 8 19 所示 SW 1 的 P1 和 P2 口同时接入到以太网的同一网段 P1 为指定端 口 P2 优先级低 则 P2 端口为备份端口 图 8 18 替换端口的选择 图 8 19 备份端口的选择 5 禁用端口在快速生成树协议应用的网络运行中不担当任何角色 2 BPDU 更新与变化 RSTP 添加标志位 如图 8 20 所示 在 STP 中 标 志位只有 0 为 TC 和 7 为 TCA 使用 RSTP 使用其中保留的 6 位 另外 RSTP 在 BPDU 指定了端口的角色和端口状态 并且采用提议 同意的控制机制 1 间隔发送 BPDUSTP 的非根桥仅传递根桥生成的 BPDU RSTP 的网桥不管是否 收到来自根桥的 BPDU 它每隔 Hello time 默认 2 秒 时间发送本身的 BPDU 配置信息 2 快速的老化信息 STP 必须等到 20 秒的老花时间到时 才能更新 BPDU RSTP 采用心跳的机制 当一台网桥在连续三次没有收到 BPDU 的情况下 网桥认为邻居的根和指定根已经丢失 立即老化自己的 BPDU 配置信息 3 接 受下级的 BPDU 与 Cisco 专有的 Backbone Fast 的特性类似 RSTP 接受下级的 BPDU 如图 8 21 所示 如果一台网桥从它的指定根桥收到下级信息 立即接受 并覆盖原先的 BPDU 配置信息 因为交换机 SW 2 知道根桥还在 立即发送 BPDU 的包含根桥信息给 SW 1 SW 1 停止发送 BPDU 同时接受连接 SW 2 的端口为新的根端口 3 快速转换到转发状态 STP 的网络端口从阻断到转发状态 如果想快 速收敛的话 需要修改默认的转发延迟和老化时间定时器 RSTP 可以快速收敛 而不依赖于定时器 这些快速的收敛主要依赖边缘端口和点到点的链路来实现 1 边缘端口一个边缘端口就像一个 Port Fast enabled 端口 并且只在 连接了一个单独的末端站点的端口上启用他 但他和 Port Fast enabled 不一 样 他不产生拓扑改变 但当他收到 BPDU 时 自动成为生成树端口 Cisco 交 换机的配置也是采用 Port Fast enabled 方式配置 2 点到点链路两台交换机之间的链路只有一根链路 同时端口之间的连 接为全双工 这样的链路类型叫点到点链路 对于半双工的链路叫共享端口 链路类型交换机自己检查 也可人为修改 4 提议 同意握手机制 RSTP 使用提议 同意握手机制来完成端口的快速 收敛 下面以图 8 22 中的变化为例说明 假设 SW 1 有一条新的链路连接到根桥 链路起来时 根桥的 P0 口和 SW 1 的 P1 口同时进入指定阻断状态 而且 P0 和 P1 同时发布带有提议标志位 的 RSTP BPDU 同时 P1 成为新的根端口 SW 1 开始同步新的消息给其他的 端口 P2 为替换端口 同步中保持不变 P3 为指定端口 同步中必须阻断 P3 P4 为边缘端口 同步中保持不变 SW 1 通过新的根端口 P1 给根桥发 送一个提议 BPDU 同意消息 将标志位有提议给为同意 P0 和 P1 握手成功 P0 和 P1 直接进入转发状态 这时 P3 端口为指定端口 还处于阻断状态 同样按照 P0 和 P1 的提议 同意握手机制 SW 1 和 SW 2 快速进入转发状态 提 议 同意握手机制收敛很快 状态转变中无须依赖任何定时器 如果指定阻断端 口发送提议消息后没有收到同意消息 此时进入 STP 的监听 学习机制 这种 可能出现在对方网桥不知道 RSTP 的 BPDU 或者端口是关闭状态 5 新的拓扑改变机制如图 8 23 所示 STP 的拓扑变化是先将 TCN 发送 到根桥 再由根桥将 TC 发送给所有网桥 SW 4 发送自己的拓扑变化通知 TCN 位传递给根桥 根桥发送 TC 位的 BPDU 给所有的其他网桥 通知拓扑变 化 1 拓扑改变检测在 RSTP 中 只有非边缘端口进入转发状态时 才引起拓 扑的改变 端口改变到其他状态不引起拓扑改变 不产生 TC 但 RSTP 网桥 检测到拓扑改变 发生以下动作 非边缘的指定端口和根端口启动一个等于两 倍 Hello Time 的 TC 等待计数器 泛洪 MAC 地址到所有的端口上 只要 TC 等待 计时器在端口中运行 该端口发送的带有 TC 位的 BPDU 在计时器激活期间 根端口也发送 BPDU 信息 2 拓扑改变传播当一个网桥收到带有拓扑改变 TC 标志为 BPDU 按照以下两种方式进行处理 清除交换机上所有端口学来 的 MAC 地址除了拓扑改变收来的 MAC 地址 启动拓扑改变 TC 等待计数器 发送带有 TC 标志位的 BPDU 到所有的指定端口和根端口 通过这样的机制 SW 4 的 TCN 通过一步快速泛洪到整个网络中 如图 8 24 所示 无须经过根桥 图 8 23 STP 拓扑改变过程 图 8 24 RSTP 拓扑改变过程 6 RSTP 的兼容性 STP 无法知道 RSTP 中 BPDU 带有的版本为 2 其本身 的版本为 0 但是 RSTP 可以识别版本为 0 的 STP 一旦 RSTP 的端口接着是 STP 的设备 该端口将使用 STP 的 BPDU 和 TCN 来运行 以保证 RSTP 和 STP 的互操 作性 对于 Cisco 的每 VLAN 生成树 PVRST 由于 Cisco 新的设备全部支持 多生成树 同时 Cisco 的每 VLAN 生成树的私有性 理论上和 RSTP 没有太多的 区别 这里不再详细介绍 7 RSTP 的配置 RSTP 的配置 由于 Cisco 默认是开 启 STP 可以使用 spanning tree mode rapid pvst 命令 配置 Cisco 交换机 的快速每 VLAN 生成树 其他的配置和 STP 配置一样 Cisco 的快速生成树 PVRST 已经增强了 802 1Q 协议 支持在同一 Trunk 的链路中 阻断某些 VLAN 同时开通某些 VLAN 可能有的厂家的设备 默认是开启单 VLAN 的快速 生成树 在配置时 参看相关手册进行配置 实验六实验六 标准和扩展标准和扩展 ACL 应用应用 实验名称 标准和扩展 ACL 应用 实验目的 熟练标准和扩展 ACL 配置 实现功能 熟练掌握标准和扩展 ACL 配置 实验步骤 路由器 交换机项目实训教程 项目五 访问控制列表 实验七实验七 交换机 路由器交换机 路由器 dhcp 应用应用 实验名称 交换机 路由器 dhcp 应用 实验目的 熟练交换机 路由器 dhcp 应用 实现功能 熟练掌握交换机 路由器 dhcp 应用 实验步骤 路由器 交换机项目实训教程 课本 98 页 DHCP 技术 CISCOCISCO 三层交换机三层交换机 VLANVLAN 间路由以及间路由以及 DHCPDHCP 配置综合实验配置综合实验 所谓典型的局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机 分支 交换机不一定具备三层交换功能 如下图所示 首先 我们假设出口路由器 cisco 2600 名称为 R1 C2600 核心交换机 cisco 3550 名称为 SW1 3550 分支交换机 cisco 2950 为 SW2 2950 SW3 2950 核心交换机通过 F0 0 与出口路由器先连 分支交换机分别通过 F0 0 与核心交换机 F0 1 和 F0 2 相连 VLAN 规划如下 VLAN 1 名称 默认 VLAN 10 名称 work1 VLAN 20 名称 work2 需要实现的功能 1 通过三层交换机实现 VLAN 间路由 2 三层交换机为各个 VLAN 分配 IP 地址 3 所有客户端可以和出口路由器通信 需要做的工作 1 核心交换机 1 1 设置 VTP Server 和创建 VLAN 1 2 配置中继 TRUNK 1 3 配置三层交换 1 4 配置上联端口 默认路由 1 5 配置 DHCP 2 分支交换机 2