网络产品应用

浙江商业职业技术学院浙江商业职业技术学院 信息技术学院信息技术学院 网络产品应用网络产品应用 课程实训课程实训 班 级 组 员 指导教师 时 间 目录 实训一 端口隔离时的本地代理 ARP 报文过滤配置 1 一 组网需求 2 二 配置思路 3 三 配置过程和解释 3 四 小结 4 实训二 MSTP 典型配置 6 一 组网需求 7 二 配置过程和解释 8 三 小结 8 实训三 本地端口镜像配置 9 一 组网需求 10 二 组网图 10 三 配置步骤 10 四 小结 11 实训四 远程端口镜像配置 11 一 组网需求 11 二 组网图 13 三 配置步骤 13 三 小结 14 实训一实训一 端口隔离时的本地代理端口隔离时的本地代理 ARP 报文过滤配置报文过滤配置 一 组网需求 某公司内部的研发部门 市场部门和行政部门分别与 Switch B 上的端 口 GE1 0 1 GE1 0 2 和 GE1 0 3 相连 要求实现各部门与外界网络互访 的同时 还需要实现 1 在每天 8 00 12 00 的时间段内 允许 Host A 访问行政部门的服 务器 拒绝其它的 IP 报文通过 2 在每天 14 00 16 00 的时间段内 允许 Host B 访问行政部门的服 务器 拒绝其它的 IP 报文通过 3 在其他时间段 各部门之间不能互访 二 配置思路 实现上述组网需求 一种方法是在Switch B 的端口GE1 0 1 GE1 0 2 和GE1 0 3 上分别配置报文 过滤 该方法配置复杂 且对Switch B 的性能要求较高 另一种方法是利用端口隔离 并结合上层设备的本地代理ARP 功能和报文过滤 该 方法对Switch B 的性能要求不高 支持端口隔离的二层或三层设备都可以 且在VLAN 资源紧张的网 络环境中 还 可节省VLAN 资源 若要实现不同隔离端口下的主机间互访 需在上层设备Switch A 上使用本地代理 ARP 功能 但启 用该功能后 Switch B 上隔离端口下的主机都可互访或某一IP 地址范围内的主机可 互访 此处还 需要结合报文过滤功能以实现上面需求 基本配置思路如下 1 配置研发部门 市场部门和行政部门共用同一VLAN 并将Switch B 上与各部门 相连的端口 GE1 0 1 GE1 0 2 和GE1 0 3 加入隔离组 2 加入到隔离中的端口之间不能互访 若要实现互访还需要上层设备Switch A 上配 置本地代理ARP 功能 3 为了灵活的限制部门间的互访 需要在Switch A 上实现报文过滤 报文过滤需求 可以通过包过滤的配置方式来实现 也可以使用QoS 策略的配置方式实现 但前者 配置更简单 而且可以随时修改ACL 的规则 修改结果将直接生效 这里选择包 过滤的配置方式实现 定义高级IPv4 ACL 配置三条规则 允许Host A 访问行政部门的服务器 允许Host B 访问 行政部门的服务器 拒绝各部门间的互访 在Switch A 的端口GigabitEthernet1 0 4 上应用高级IPv4 ACL 以对该端口收到的 IPv4 报文进行过滤 三 配置过程和解释 1 在Switch B 上配置端口隔离 配置Switch B 上的端口GigabitEthernet1 0 1 GigabitEthernet1 0 2 GigabitEthernet1 0 3 和GigabitEthernet1 0 4 属于同一VLAN 100 并将端口GigabitEthernet1 0 1 GigabitEthernet1 0 2和GigabitEthernet1 0 3 加入到隔离组中 以实现研发部门 市场部门和行政部门彼此之间二层报 文不能互通 2 在Switch A 上配置本地ARP 代理 在Switch A 上配置VLAN 接口100 的IP 地址 在Switch A 上配置本地代理ARP 实现部门之间的三层互通 3 在Switch A 上定义工作时间段 定义周期时间段trname 1 时间范围为每天的8 00 12 00 定义周期时间段trname2 时间范围为每天的14 00 16 00 4 在Switch A 上定义到行政部门服务器的访问规则 A 允许Host A 访问行政部门的服务器 B 允许Host B 访问行政部门的服务器 C 禁止各部门间的互访 实训二 实训二 MSTP 典型配置典型配置 一 组网需求 Device A 和 Device B 为汇聚层设备 Device C 和 Device D 为接入 层设备 1 网络中所有设备属于同一个 MSTP 域 2 要求通过配置使不同 VLAN 的报文按照不同的生成树实例转发 VLAN 10 的报文沿实例 1 转发 VLAN 30 沿实例 3 转发 VLAN 40 沿实 例 4 转发 VLAN 20 沿实例 0 转发 3 要求 VLAN 10 和 VLAN 30 在汇聚层设备终结 VLAN 40 在接入 层设备终结 二 配置过程和解释 1 配置VLAN 和端口 请按照图所示 在Device A和Device B上分别创建VLAN 10 20 和30 在Device C上创建VLAN10 20 和40 在Device D上创建VLAN 20 30 和40 将各设备的 各端口配置为Trunk端口并允许相应的VLAN通过 此处仅列举出Device A的配置 2 配置Device A 配置MST 域的域名为example 将VLAN 10 30 40 分别映射到生成树实例 1 3 4 上 并配置MSTP 的修订级别为0 2 配置Device B 配置MST 域的域名为example 将VLAN 10 30 40 分别映射到生成树实例 1 3 4 上 并配置MSTP 的修订级别为0 激活MST 域的配置 配置本设备为生成树实例3 的根桥 全局使能MSTP 协议 4 配置Device C 配置MST 域的域名为example 将VLAN 10 30 40 分别映射到生成树实例 1 3 4 上 并配置MSTP 的修订级别为0 激活MST 域的配 配置本设备为生成树实例4 的根桥 全局使能MSTP 协议 5 配置Device D 配置MST 域的域名为example 将VLAN 10 30 40 分别映射到生成树实例 1 3 4 上 并配置MSTP 的修订级别为0 激活MST 域的配置 全局使能MSTP 协议 6 检验配置效果 当网络拓扑稳定后 通过使用display stp brief 命令可以查看各设备上生成树的 简要信息 实训三实训三 本地端口镜像配置本地端口镜像配置 一 组网需求 用户网络描述如下 部门 1 的报文通过端口Ethernet1 0 1 接入Switch C 部门 2 的报文通过端口Ethernet1 0 2 接入Switch C Server 接在Switch C 的Ethernet1 0 3 端口上 需求为 用户希望通过Server 对部门 1 和部门 2 收发的报文进行监控 使用本地端口镜像功能实现该需求 在Switch C 上进行如下配置 端口Ethernet1 0 1 和Ethernet1 0 2 为镜像源端口 连接Server 的端口Ethernet1 0 3 为镜像目的端口 二 组网图 三 配置步骤 1 在Switch C 上进行如下配置 2 配置路由地址 3 配置完成后 用户就可以在Server 上监控部门 1 和部门 2 收发的所有报文 实训四实训四 远程端口镜像配置远程端口镜像配置 一 组网需求 用户网络描述如下 Switch A Switch B 和Switch C 都为S3610 S5510 系列以太网交换机 部门 1 的报文通过端口Ethernet1 0 1 接入Switch A 部门 2 的报文通过端口Ethernet1 0 2 接入Switch A Switch A 的Trunk 端口Ethernet1 0 3 和Switch B 的Trunk 端口Ethernet1 0 1 相连 Switch B 的Trunk 端口Ethernet1 0 2 和Switch C 的Trunk 端口Ethernet1 0 1 相连 Server 接在Switch C 的Ethernet1 0 2 端口上 需求为 用户希望通过Server 对部门 1 和部门 2 收发的报文进行远程监控 使用远程端口镜像功能实现该需求 进行如下配置 在Switch A 上配置远程源镜像组 定义VLAN 2 为远程镜像VLAN 端口 Ethernet1 0 1 和Ethernet1 0 2 为镜像源端口 端口Ethernet1 0 4 为反射口 配置Switch A 的Ethernet1 0 3 端口 Switch B 的Ethernet1 0 1 和 Ethernet1 0 2 端口 SwitchC 的Ethernet1 0 1 端口为Trunk 端口 并且端口 均允许VLAN 2 的报文通过 在Switch C 上配置远程目的镜像组 定义VLAN 2 为远程镜像VLAN