cisco交换实验手册

DAYDAYLAB VLAN和 传统 STP优 STP保 VLAN间路 实验拓扑 使用CEF的多层交 热备路由协议 虚拟路由器冗余协议 网关负载均衡协议 缓 VLAN列 私有 VLANtrunk的安全 实验目

交换原平台的CEF（思科快速交换）的基本原理。实验拓3560F0/1F0/2接口。配置好电脑的IP地址，并且使PC1PC2在同一网段，例如/24。实验步 PC>Replyfrom:bytes=32time=62msTTL=128Replyfrom:bytes=32time=63msTTL=128ReplyfromPackets:Sent=4,Received=3,Lost=1(25%loss),Approximateroundtriptimesinmilli-seconds:Minimum=62ms,um=125ms,Average=待ARP进行解析地址，但是ICMPecho数据包具有超时时间，所以在这段时间内第一个包便超时了。剩下的数据包由于已经获取了正确的ARP缓存，所以能够直接通信。 并且为动态学习方式，保存在自己的CAM表中。PC1PC2SW1F0/1接口，那么SW1MACMACSW1还没有PC2的MAC条目，因此对于这种未知单播的转发，其转为和广播数据帧一致：除了受到端口外其他端口洪泛。当PC2收到洪泛的数据帧后，需要进行应答，所以应答数据帧进入F0/2端口，那么相应的SW1从进入的数据帧的源MACPC2MACCAM表项中。对于未知单对于未知单播帧，其 为和广播帧一致4.CAMACLQoSACL都需要TCAMTCAMTCAM因此需要注意的是，不要在交换机上启用过多的安全特性或者QoS特性。交换端口配实验目实验拓实验步SW1(config)#interfacerangef0/1-3,f0/24），那么当调用时则直接调用该macro即可。然后在使用的时候使用如下命 配置一定要。首先我们要了解双工速率的协商的情况，默认情况下，速率的协商可FLPFLP帧进行。通信，而双工不一致，虽然能够进行通信，但会导致大量的错误帧和残帧的出现。果检测到不正常的状态时，将会把端口放置在errdisable状态中。 ilpower loopback storm-controludld 当某个接口进入errdisable状态后，默认情况下不会自动恢复正常，只有进入相关接口手动关闭然后再开启该接口。当然我们也可以调整该行为，使得接口能够自动从errdisable状态中恢复过来。以下是开启接口自动恢复令：最后给出查看接口状态的一些基本命令以及解释。showinterface用于查看接口的基本物理状态信息showinterfacestatus用于查看接口状态showinterfacestatuserrdisable 用于查看处于errdisable状态下的接口量的残帧和大量的输入错误，则可以推断该接口可能存在双工不匹配的问题。VLAN和VLANVLANVLAN，并且将相应VLANTrunkTrunk链路的原理。SW1(config-vlan)#nameVLAN_10SW1(config-vlan)#exitSW1(config)#接着我们尝试将F0/1划分进入VLAN10F0/2划分进入VLAN20。SW1(config)#interfacef0/1SW1(config-if)#switchportmodeaccessSW1(config-if)#noshSW1(config-if)#switchportmodeaccessSW1(config-if)#noshaccess接口，然后静态指定该接口属于哪一个MACVLANVMPS服务MACMACVMPSVLAN信息。VMPS服务器查MACVLAN信息，则交换机根据这一信息决定此时端口划分进入哪VMPS服务器能够正常通信，这里我们假设VMPS服务器在VLAN1中，并且地址为SW1(config)#interfacevlan1 SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlandynamicSW1(config-if-range)#noshSW1(config-if-range)#exitSW1(config)#相关的查看命令如下所示：SW1#showvmpsstatisticsVMPSClientStatistics 可以查询到相关VMPS服务器和本地交换机的通信信息。最后总结VLAN的设计规划：如果设计为端到端的VLAN，则会使得VLAN的流量贯穿整个园区网络，并且整个园区网络都为二层当多个VLAN需要交换机各自通信时，那么多个VLAN流量势必需要流经同一根物理线路，为了区VLANVLANTrunk封装协议，而该链路被称为Trunk链路。用ISL。否则使用标准的802.1Q封装。Commandrejected:AninterfaceCommandrejected:Aninterfacewhosetrunkencapsulationis"Auto"cannotSW1(config-if-range)#switchporttrunkencapsulationdot1q //指定接口封装为802.1QSW1(config-if-range)#switchportmodetrunkSW1(config-if-SW2(config-if-range)#switchporttrunkencapsulationdot1qSW2(config-if-range)#switchportmodetrunk //onSW2(config-if-range)#nosh1111 Vlansallowedon range)#exitSW2(config)#11 Vlansallowedon SW2(config-if-range)#switchportmodedynamicauto //autoSW2(config-if-range)#noshSW2#showinterfacestrunk1111 Vlansallowedon 状态更改为auto。查看trunk的协商情况。如果需要关闭DTP，那么应该采用如下令：SW1(config)#intrangef0/23-24SW1(config-if-range)#switchportnonegotiate//关闭DTP协商最后总结形成trunk的，必须保证两端处于能够形成trunk的正确模式。对于某些交换机而言，其默认情况下的动态模式不同（如3550为desirable，而3560为auto），所以建议手工指定模式。同时，保证trunk链允许的vlan一致，并且trunk链的本征（native）vlan也要一致。实验目实验拓和SW4以F0/21直连。实验步VTP协议（VLANTrunk协议）VLANVLAN的步骤。在配置VTP之前，建议先配置Trunk链路，由于VTP通告只有在Trunk链才能传递。所以首先在SW1F0/19，F0/21，F0/23trunk模式。SW1(config)#intrangef0/19,f0/21SW1(config-if-range)#switchportmodedynamicdesirableSW1(config-if-range)#switchporttrunkencapsulationdot1qSW1(config-if-range)#nosh验证SW1上trunk的情况：SW1#showNative111指定一个后，那么VTP将开始按照模式进行正常工作。其中VTP的工作模式分为如下几种：转发，会受到VTP通告的影响。除了上述的不同外，ServerClientVLAN1-1001transparent模VLAN范围，1-4094VLANFlashvlan.dat文件，而后者存于NVRAM内的配置文件。Server模式，SW3为client模式，SW4为transparent模式。SW1(config)#vtp CCNPChangingVTPnamefromNULLtoCCNPSW1(config)#VTP 100:05:46.675:%SW_VLAN-6- _NAME_CHG:VTPDevicemodealreadyVTPSERVER.

namealreadysettonamealreadysetto 更改自己的NULLSW2(config)#vtpmodeserverDevicemodealreadyVTPSERVER.SW2(config)#SW3(config)#vtpCCNPnamealreadysettoCCNP.SW3(config)#vtpmodeclientSettingdevicetoVTPCLIENTmode.SW3(config)#SW4(config)#vtpCCNPnamealreadysettoCCNP.SW4(config)#vtpmodetransparent配置完成后，我们在SW1上查看目前VTP的信息。SW1#showvtpstatusVTPVersion :runningVTP1(VTP2capable)Configuration umVLANssupportedlocally:1005Numberofexisting : :VTPPruning :VTPV2 : :MD5digest :0xC80x7E0xBB0x230xCB0x0D0xFA0xCEConfigurationlastmodifiedbyat00-0000:00:00LocalupdaterIDisoninterfaceVl1(lowestnumberedVLANinterfacefound)从上面的信息我们可以看到目前VTP的和本地交换机的模式。只有当一configurationrevisionVTPVTPVTP此时由于SW1上的VLAN信息为空，配置修订号为0。我们在SW1上配置两个VLAN，并且指定名称，接着再在SW2—SW4VLAN信息的学习情况。SW1(config)#vlan10vlan)#exitSW1(config)#vlan20vlan)#exitSW1(config)#SW4transparentVTPVLAN信息，因此没有VLAN10和VLAN20的信息。VTP Configuration umVLANssupportedlocally:1005Numberofexisting :VTP :VTPPruning :VTPV2 : :MD5 :0x520x6F0x210x1D0x190x060x360x87中包括VLAN的增加，删除以及更改。SW4VTPVTP Configuration umVLANssupportedlocally:1005Numberofexisting :VTP :VTPPruning :VTPV2 : :MD5digest 0x570xCD0x400x650x630x590x470xBDtransparent模式下并不参与VTP同步，因此transparent模式中的配置修订号始终为0。

vlan)#exitSW4(config)#从上面的输出发现，client模式不允许对VLAN进行配置更改，而transparent模式可以。但transparent模式不会影响到其他VTP域内的交换机。VTP0。否则将会发生VLAN信息反向同步的现象（ServerClient同步）SW1SW3F0/19SW3ServerSW3Client同步VLAN40的信息。 104:37:55.086:%LINK-5-CHANGED:InterfaceFastEthernet0/19,changedstatetoadministrativelydown 104:37:56.086:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/19,changedstatetodownSW3(config)#vtpmodeserverSettingdevicetoVTPSERVERmodeSW3(config)#vlan40SW3(config-vlan)#nameVLAN_40modeclientSettingdevicetoVTPCLIENTmode.SW3(config)#intf0/19SW3(config-if)#nosh 104:38:27.730:%LINK-3-UPDOWN:InterfaceFastEthernet0/19,changedstateto 104:38:31.250:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/19,changedstatetoup机加入VTP域内时，该交换机的配置修订号为0。将更改为一个不存在的，然后再改回来SetthenameoftheVTPadministrative ConfigureIFSfilesystemfilewhereVTPerface interfaceasthepreferredsourcefortheVTPIPupdater passwordSetthepasswordfortheVTPadministrativepruning SettheadminstrativetopermitpruningversionSettheadminstrativetoVTPversion如果需要对VTP域内的交换机进行认证，可以指定password。如果需要对VLAN流量进行修剪，可以开启VTP修剪pruning。如果需要更改VTP版本更改，可以 本version在VTPv2中，transparent模式不管接收到的VTP通告内的是否和自己的一致，全部都会转发。而VTPv1中只有一致transparent模式才会转发通告。passwordciscoSettingdeviceVLANdatabasepasswordtociscoSW1(config)#vtppruningPruningswitchedonSW1(config)#vtpversion2实验目

链路聚到的两种协议PagP和LACP。同时学习掌握以太通道的负载均衡的原理。实验拓实验步SW1SW2，SW3，SW4SW1SW2access接口，并且VLAN10；SW1SW3Trunk端口，SW1SW4之间为三层端口，但不配置IP地址。SW1(config)#intrangef0/19-24SW1(config-if-SW1(config-if-range)#switchportaccessvlan10SW1(config-if-SW1(config-if-range)#switchporttrunkencapsulationdot1qSW1(config-if-range)#switchportmotrunkSW1(config)#intrangef0/21-22SW1(config-if-range)#noswitchportSW1(config-if-range)#exitSW1(config)#SW1和SW3建立以太通道，其为13，采用LACP协议进行协商。SW1和SW4建立以太通道，其为14，不采用动态协商协议。SW1(config)#intrangef0/23-24SW1(config-if-range)#channel-protocolpagpSW1(config-if-range)#channel-group12mode? desirableEnabledesirableEnablePAgP EnableLACPonlyifaLACPdeviceisSW1(config-if-range)#channelgroup12modedesirableCreatingaport-channelinterfacePort-channel12range)#exitSW1(config)#protocolpagp SW2(config-if-range)#channel-group12modedesirableCreatingaport-channelinterfacePort-channel12上述配置中，如果采用PagP协议，那么有两种模式，desirable和auto。其中前者为desirablenon-silent。默认情况下，desirable即使无法收到对端的PagP数据包也能够建立以太通道。这适用于要和那些不懂得PagPnon-silentPagP数据包后通过上面的输出，可以查看到port-channel已经正常建立，并且属于二层。以太通道建立完成以后，会在全局生成一个逻辑的port-channel端口。Port-channel12isup,lineprotocolisHardwareisEtherChannel,addressis0015.f94b.409a(bia0015.f94b.409a)MTU1500bytes,BW200000Kbit,DLY100usec,reliability255/255,txload1/255,rxload1/255EncapsulationARPA,loopbacknotsetSW1(config-if-range)#channel-protocollacpSW1(config-if-range)#channel-group13modeactiveCreatingaport-channelinterfacePort-channel13range)#channel-protocollacpSW3(config-if-range)#channel-group13modeactiveCreatingaport-channelinterfacePort-channel1313trunkLACPSW1SW4SW1SW4通进行验证。SW1(config-if-range)#channel-group14modeonSW4(config-if-range)#channel-group14modeonSW1(config-if)#ipaddSW1(config-if)#noSW4(config-if)#ipaddSW4(config-if)#noSW4#Sending5,100-byteICMPEchosto,timeoutisSuccessrateis80percent(4/5),round-tripmin/avg/max=1/4/9msSW1SW1(config)#port-channelload-balanceDstIPSrcDstIPSrcIP SrcMacAddrSW1(config)#port-channel口1，2，3，4。现在其负载均衡的方式采用的是基于目的MAC。规则是，两数相同则为0，两数不同则为1。实验目

传统实验拓实验步在交换网络中所有交换机中选出一台根交在其他非根交换机上选出一个根端口，每在每条链选出一个指定端口，每条链路一其余端口全部阻塞选择去往根桥最近的端口SpanningtreeenabledprotocolieeeRootIDPriority 21o 2 MaxAge20 Bridge o 2 MaxAge20 RoleSts

RootFWDRootFWD DIOSSTPPVST+VLANSTP实例，并且PVST+802.1D运行，如上IEEEID，其优先级字段最终等于原始优先级加VLANID，如此时VLAN1的优先级为32768+1=32769。通过上面的输出，我们可以发现，目前三台交换机中的根桥的MACSpanningtreeenabledprotocolieeeRootIDPriority o 2 MaxAge20 Bridge o 2 MaxAge20 RoleSts DDDSpanningtreeenabledprotocolieeeRootIDPriority 23o 2 MaxAge20 Bridge o 2 MaxAge20 RoleSts RootFWD AltnBLK SW3F0/21端口。因此可以更改SW1的 bridgepriorityinincrementsof他交换机的优先级情况自动调整自己的优先级。4096次根交换机将自己优先级直接设置为28672需要注意的是，当其余交换机优先级小于SW1(config)#spanning-treevlan1rootprimarySW1#showspanning-SpanningtreeenabledprotocolieeeRootID istherooto 2 MaxAge20 Bridge o 2 MaxAge20 RoleSts DDvlan1SpanningtreeenabledprotocolieeeRootIDPriority 19o 2 MaxAge20 Bridge o 2 MaxAge20 RoleSts RootFWDDesDSW2SW3之间链路选择指定端口时，SW3IDSW2ID，因此阻塞了SW2的F0/21端口。所以我们只需要将SW3的桥ID的优先级调大即可。SW3(config)#spanning-treevlan1priority36864SW3#showspanning-treeSpanningtreeenabledprotocolieeeRootIDPriority 19oTime 2sec MaxAge20sec BridgeID (priority36864sys-id-ext1) o 2 MaxAge20 RoleStsRootFWD AltnBLK 出于完整性，我们给出修改端口ID令： portpriorityinincrementsof16SW3(config-if)#spanning-treeport-priority上述几种状态的特点这里不再进行总结，在listening状态交换机将停留一个forward-delay时间，然learning状态也会停留一个forward-delay时间。所以默认情况下，交换机从STP不稳定状态到STP稳定状态会经历15s+15s=30s。首先，我们可以调整接口cost值。SW1(config-if)#spanning-treecost汇聚中进行计算，并且注意，STP的cost值是参考入接口cost值。可以通过如下命令进行查看接口cost：SW1#showspanning-tree RoleSts

SW1(config)#spanning-treevlan1rootprimarydiameter2 o-time2上述命令中，我们指定了目前网络的直径为2， o时间为2s一次。SW1#showspanning-treeSpanningtreeenabledprotocolieeeRootID istherooto2MaxAge107Bridge o 2 MaxAge10 ForwardDelay7secAging RoleSts DD7s。实验目

STP优化习，学会如何利用上述三种特性进行优化STP拓扑。实验拓实验步STP（802.1D）科针对传统802.1D提出了相关的优化特性来加快汇聚，其中包括portfastuplinkfast以及802.1DSTP拓扑更变的原因，也就是说只要接口从UPDOWN或者从DOWNUP，都作为拓扑更变的现象。SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan1SW1(config-if-range)#spanning-treeportfast%Warning:portfastshouldonlybeenabledonportsconnectedtoasinglehost.Connectinghubs,concentrators,switches,bridges,etc...tothisinterface whenportfastisenabled,cancausetemporarybridgingloops.UsewithCAUTION%Portfastwillbeconfiguredin3interfacesduetotherangecommandbutwillonlyhaveeffectwhentheinterfacesareinanon-trunkingmode.SW1(config-if-range)#portfast之前，一定要同样的，还可以利用下面令启用portfast使用下面令来查看某个接口是否启用portfast 使用下面令查看本地交换机的uplinkfast的启用状态：SW2#showspanning-treeuplinkfast 对于某些时候的间接链路失效，导致交换机之间无法直接感知，所以只有当交换机的最优BPDU的max-age到期后才能触发STP拓扑更变的后续步骤。因此这将消耗交换机max-age的时间。Backbonefast特性用于优化间接链路失效故障的等待时间。情况采取不同的对应步骤。同时，backbonefast存在一种特殊的查询数据包RLQ（RootLinkQuery），用于交换机之间相互查询根桥状态，因此如果需要配置backbonefast特性，必须要在全网进行配置。下面我们在SW1，SW2和SW2(config)#spanning-treebackbonefastSW3(config)#spanning-tree通过如下命令查看backbonefast的启用状态。SW3#showspanning-treebackbonefastBackboneFastis NumberofinferiorBPDUsreceived(all NumberofRLQresponsePDUsreceived NumberofRLQrequestPDUssent(all NumberofRLQresponsePDUssent(all 机上启用，所以具有一定的局限性。需要对上述三个特性的各自特点和使用位置有比较深的理解。实验目

STP保护BPDUBPDUBPDU实验拓实验步STPBPDUBPDU和在应该收到BPDU的端口丢失了BPDU。BPDUBPDU机接入了现存STP拓扑，如果新加入的思科提出了两个特性用于预防这个问题，即rootguardbpduguard。么该端口将被置于root-inconsistent状态，即无法正常收发数据帧，直到该端口停止接收到更优的下面我们在SW1F0/1可以通过下面令查看目前置于root-inconsistent状态的端口：SW1#showspanning-treeinconsistentports 下面我们在交换机SW1的F0/2端口上启用BPDU防护。SW1(config)#intf0/2SW1(config-if)#spanning-treebpduguard?disable DisableBPDUguardforthisinterfaceenable EnableBPDUguardforthis除了上述命令外，还可以基于全局启用BPDU上面令在全局输入，其作用是将所有启用了portfast的端口启用BPDU防护为了上述情况发生，思科提出了loopguard特性。该特性的作用是，如果启用了环回防护特性，STPBPDU丢失，为了方式桥接环路，那么这些端口将会被置于loop-inconsistentGBICSPF备却无法接收到相关的数据帧。当出现这种单边通的现象后，对于STP的状态更变，Normal模式——当检测到单边通情况后，接口运行按照正常流程运行，只是Aggressive模式——当检测到单边通的情况后，设备将尝试修复故障，发送UDLD8errdisable状态。可以使用下面令开启UDLD特性上 UDLD的操作模式，或者修复信息的发送间隔。送出去的BPDU。如果需要在接口关闭BPDU，可以使用如下令：上述命令将在所有开启了portfastBPDU。 实验目的特点，关键是RSTP和传统STP比较所体现出来的不同。实验拓实验步SW1成为根桥，并且最终阻塞SW3F0/21端口。 SW3(config)#spanning-treevlan1priority SpanningtreeenabledprotocolieeeRootIDPriority 19o 2 MaxAge20 Bridge o 2 MaxAge20 RoleSts

AltnBLK 行的STP实例更改为快速STP，即RPVST+。SW2(config)#spanning-treemoderapid-pvstSW3(config)#spanning-treemodeSpanningtreeenabledprotocolrstpRootIDPriority o 2 MaxAge20 Bridge o 2 MaxAge20 RoleStsDesDDesD全网选择一台跟网桥，并且所有交换机选每一台交换机的端口状态都能够正确的在RSTP中，将端口的类型分为如下三种：根端口——每台非根交换机连接到根交换机的最近的点端口：在接口下spanning-treelink-typepoint-to-point在完成接口类型的定义以后，RSTP便开始从根桥开始向下进行同步。这个步骤相似于路由协议的过ProposalAgreementProposal后，下游交换机考虑和上最后，RSTPSTPRSTPBPDUSTPBPDU的实验目MST（多生成树协议）MSTVLAN的环境中能够灵活利用MST对现有交换机的STP实例进行优化。实验拓实验步SW1成为根桥，并且最终阻塞SW3F0/21端口。 SW3(config)#spanning-treevlan1priority 将SW1，SW2和SW3之间相互连接的端口配置成为Trunk，并且三台交换机上运行VTP，为CCNP，SW1为Server，SW2和SW3为Client。SW1(config)#intrangef0/19,f0/23SW1(config-if-range)#switchporttrunkencapsulationdot1q range)#switchportmodedynamicdesirable if)#switchportmodedynamicdesirableSW2(config-if)#exitSW1(config)#vtpSW2(config)#vtpCCNPSW2(config)#vtpmodeSW3(config)#vtp SW1VLAN10，VLAN20，VLAN30，VLAN40VLANSW1(config)#vlan10SW1(config-vlan)#nameVLAN_10SW1(config-vlan)#exitSW1(config)#vlan30vlan)#exitSW1(config)#vlan40vlan)#exitSW1(config)#SW2SW3上已经同步了相应的VLANSW1(config)#spanning-treevlan10,20,30,40rootprimarySW3(config)#spanning-treevlan10,20,30,40priority36864VLAN10，30的实例阻塞的资源，因为每一个VLAN都将分配一个STP实例。多生成树协议（MST）是一种将多个VLAN到一个实例的生成树协议。一首先定义MSTconfigurationname（32字节然后定义MSTconfigurationrevision我们在SW1，SW2和SW3上配置MST，定义configurationname为CConfigurationrevisionnumber112VLAN1030进实例1，VLAN20，VLAN30进入实例2。SW1(config)#spanning-treemstconfiguration SW1(config-mst)#nameCCNP //指定配置名称为CCNP SW1(config-mst)#instance2vlan20,40SW1(config-mst)#exit SW2(config-mst)#revision1SW2(config-mst)#instance2vlan20,40SW2(config-mst)#exitSW2(config)#spanning-treemodemstSW2(config)#SW3(config)#spanning-treemstconfigurationSW3(config-mst)#nameCCNPSW3(config-mst)#instance2vlan20,40SW3(config-mst)#exitSW3(config)#spanning-treemodemstSW3(config)#在完成上述配置以后，查看此时的MST的状态。SW1#showspanning-treeSpanningtreeenabledprotoco tpRootDPriority 21o 2 MaxAge20 Bridge o 2 MaxAge20 RoleSts RootFWDDesDSpanningSpanningtreeenabled

Root21o2 MaxAge20Bridge o 2 MaxAge20 RoleSts RootRootFWDDesDtpRoottpRootSpanningtreeenabled21o2 MaxAge20Bridge o 2 MaxAge20 RoleSts RootFWD DesD VLAN30VLAN20，VLAN40负载均衡。那么我们可以对相应的实例进行调整即可。 //SW3(config)#spanning-treemst1priority36864 #####addressremhops RoleSts RootFWDAltnBLK##### remhops RoleSts

AltnBLKRootFWDAltnBLK实验目

VLAN间路由种VLAN间路由方式的区别。实验拓本次实验由三台路由器和一台三层交换机完成。其连接形式。其中R1，R2模拟两台PC，分别在不同VLAN 。而R3作为网关路由器。实验步此VLAN之间如果想要通信的话，也就是说广播域进行通信，那么必须要使用三层路由设备。在VLAN间相互通信的操作。VLANVLAN内的网关，将二层VLAN流量引入到三层进行路由。为了节省端口，在路由器上的接口使用虚拟子接口。R1R2IPR1VLAN10中，R2VLAN205454R1(config-if)#noshR1(config-if)#exitR2(config-if)#noshR2(config-if)#exitSW1VLAN10VLAN20R1R2的接口划入相应VLAN。SW1(config)#vlan10SW1(config-vlan)#exitSW1(config)#vlan20SW1(config-vlan)#exitSW1(config)#intf0/1SW1(config-if)#switchportmodeaccessSW1(config-if)#switchportaccessvlan10SW1(config-if)#noshSW1(config-if)#exitSW1(config)#intf0/2SW1(config-if)#switchportmodeaccessSW1(config-if)#switchportaccessvlan20SW1(config-if)#exit由于需要进行VLAN间通信，因此要将各自VLAN的流量引入三层路由设备中，也就是R3上，那SW1R3VLANtrunk802.1Q封装。SW1(config)#intf0/3if)#switchportmodetrunkR3R3VLANe0/0网段的IP地址，并且来去流量拥有802.1Q，需要懂得trunk协议。所以这里使用特殊的子接口配R3(config)#inte0/0R3(config-if)#noshR3(config-if)#exitR3(config)#inte0/0.10R3(config-subif)#ipadd54R3(config-subif)#noR3(config-subif)#ipadd54R3(config-subif)#no流量发送到该接口时，便能够引入到三层路由中。最后我们在R1R2VLANR1#由于SW1为三层交换机，具有三层路由功能，因此只要将原本二层VLAN流量引入到本地三层路由即可。这样我们可以在SW1上启用SVI接口。SW1(config)#ip //开启交换机三层路由功能SW1(config)#intvlan10SW1(config-if)#ipadd54SW1(config)#intvlan20SW1#SW1(config-if)#noswitchport 实验目

CEF的多层交换实验拓实验拓ARPARPFIBadj表，并且配合底层改写引擎，使得数据包的转发能够快速的进行。也就是常说的CEF的特点为：不用路由，上述输出为交换机上vlan101的CEF转，即FIB表无法进入FIB的条会把数据包发给CPU进行MAC解析。Null——连接到该邻接的必须被Drop——连接到该邻接的必须被丢弃，无No_adj——没有完成的Unsupp’ted——不支持的数IP广播地址Frag——分段失实验目

热备路由协议实验拓实验步设备依然使用主IP地址和主MAC地址，这对于主机而言是透明转换的。/24R3E0/0IP/24，并且设置默认网关为54。相应的R4的E0/0接口R1(config-if)#ipaddR1(config-if)#noshR1(config-if)#exitR1(config)#inte0/1R1(config-if)#noshR1(config-if)#exitR2(config-if)#ipadd255.255.2550R2(config-if)#noshR2(config-if)#exitR2(config)#inte0/1R2(config-if)#ipadd255255.255.0R2(config-if)#noshR2(config-if)#exitR3(config-if)#noshR3(config-if)#exitR4(config-if)#noshR4(config-if)#exit关组，一个组54，一个组54。R1(config)#inte0/0R1(config-if)#standby10ip 建立一个热备组，其虚拟IP*Mar100:18:05.923HSRP-5-STATECHANGEEthernet0/0Grp10stateSpeakStandby//HSRP状态从speak转到standby 100:22:02.407:%HSRP-5-STATECHANGE:Ethernet0/1Grp20stateSpeak-> 100:21:51.059:%HSRP-5-STATECHANGE:Ethernet0/1Grp20stateSpeak-> 100:21:52.075:%HSRP-5-STATECHANGE:Ethernet0/1Grp20stateStandby-接口的IP地址，大的为优。R1的优先级为110。R1(config)#inte0/0R1(config-if)#standby10priority? Priority但是我们发现，此时热备组中的角色并没有发生变更。那是因为HSRP中角色默认R1(config-if)#standby20preempt*Mar*Mar100:31:13.463:%HSRP-5-STATECHANGE:Ethernet0/1Grp20stateStandby-字reload加上，会在重启后抢占前延迟0-3600s。默认情况下，HSRP会利用oR1E0/1downHSRP10downR3R1HSRP组中，我们可以追踪上联接口，如果上联接口downHSRP中R1HSRP10E0/1，R2HSRPE0/1。并且如果接口状态发生更变时，HSRP组的优先级跳动步进为15。R1(config)#inte0/0R1(config-if)#standby10tracke0/1? DecrementR1(config-if)#standby10tracke0/115R2(config-if)#standby10tracke0/115*Mar100:48:52.323:%HSRP-5-STATECHANGE:Ethernet0/0Grp10stateSpeak-R1已经成为standby状态，而相应的R2active后面两个xx代表组号。例如此时我们HSRP组10的虚拟MACEthernet0/0-Group10Stateis6statechanges,laststatechange00:04:04VirtualIPaddressis54ActivevirtualMACaddressis otimeLocalvirtualMACaddressis otimeNextosentin1.708secsAuthenticationMD5,key-string"cisco"PreemptionenabledActiverouteris,priority100(expiresin7.696sec)StandbyrouterislocalPriority95(configured110) TrackinterfaceEthernet0/1stateDowndecrement15IP VLANVLAN50HSRPEthernet0/0-Group10Stateis 7statechanges,laststatechangeVirtualIPaddressis ActivevirtualMACaddressis LocalvirtualMACaddressis0000.0c07.ac0av1default)otime2sec,holdtime6sec o间隔Nextosentin1.232AuthenticationMD5,key-string"cisco"//认证信息Preemptionenabled ActiverouterisStandbyrouteris,priority100(expiresin4.148sec)//备份路由器信息Priority110(configured110) TrackinterfaceEthernet0/1stateUpdecrement15//接口 redundancynameis"hsrp-Et0/0-10"(default) //HSRP组名最后我们在R3上去连续R4，期间我们在R1上down掉E0/0接口，观察R3并没有受到什么影响。热备路由协议（HSRP）实验目

虚拟路由器冗余协议实验拓实验步VRRP（虚拟路由器冗余协议）HSRPVRRP组，每一个组中IPMACmasterbackupmaster为活动路由器，而backupmaster的状态。和HSRP比较而言，不同点主要存在如下：VRRP这里vrrpgrouptimerslearn命令的含义是backup从master处学习通告间隔时间。2. 验拓扑上配置VRRP。其中R3的网关地址为54，R4的网关地ipaddress192.168vrrp10ipvrrp10priority110ipaddressvrrp20ipvrrp20priority110endipaddressvrrp10ipipaddressvrrp20ip使用下面令进行验证查看VRRP。R1#showvrrpEthernet0/0-Group10 //VRRP组号Stateis VirtualIPaddressis VirtualMACaddressis 1.000sec //通告间隔（默认为1s）Preemptionenabled PriorityisMasterRouteris(local),priorityis110MasterAdvertisementintervalis1.000secEthernet0/1-Group20StateisVirtualIPaddressis54VirtualMACaddressis0000.5e00.0114Advertisementintervalis1.000secPreemptionenabledPriorityisMasterRouteris(local),priorityis110MasterAdvertisementintervalis1.000sec间关闭R1的E0/0接口。观察通信的连贯性。R3#实验目

网关负载均衡协议利用GLBP为网关设备达成负载均衡。实验拓实验步HSRPVRRP载均衡协议）便能够合理分配网关角色，使之负载均衡。ARPIPMAC负载均衡的目的。同时，AVG还负责为其余路由器分配虚拟MAC。在同一个组中最大支持4个虚拟MAC。除组中AVG，其余路由器的角色成为AVF。其中AVF存在backup或者secondary角色，该角色同样由AVG分配。 AVF令 转发器。AVFAVFMAC他AVF暂时顶替该虚拟MAC。也就是说此时该AVF两个虚拟MAC。但是这不是一种长久的方式，所以GLBP定义重定向计时器。上述命令中redirect参数定义了AVG经过多久时间不再使用老的MACARP应答。timeoutMACMACAVF多久需要进行刷新收回。同时此时客户关于老MAC的ARP缓存也需要被刷新。weight（权重）AVF1254，并且可以使用对象方式来对权重参数进行动态加减。这和HSRP中的接口相 um默认为100，能从1到254。而lower默认为1，upper默认um1001资格成为AVF，当权重达到100时才有资格。Host-dependent——每一台客户产生的ARP请求所获取的MAC地址都是一样的，MAC地址网关请求的环境中。（MAC地R4(config-if)#noshR5(config-if)#noshR6(config-if)#noshR1(config-if)#ipaddR1(config-if)#noshR2(config-if)#ipaddR2(config-if)#noshR2(config-if)#exitR2(config)#R3(config-if)#ipaddR3(config-if)#noshR3(config-if)#exitR3(config)#R1(config-if)#glbp1ip54 R3(config)#intf0/0R3(config-if)#glbp1ipR3(config-if)#exitR3(config)#R1(config-if)#glbp1preemptR1(config-if)#glbp1priority110R1(config-if)#exit通过下面令查看此时GLBP组的简要情况和R6上网关，然后查看获取的ARP缓存。R4#54Successrateis80percent(4/5),round-tripmin/avg/max=28/50/64msR4#showProtocolAge - R5#Successrateis60percent(3/5),round-tripmin/avg/max=28/41/48msR5#show

Age0

HardwareAddr

R6#Successrateis60percent(3/5),round-tripmin/avg/max=32/62/96msR6#show

Age0

HardwareAddr

R1(config)#intlo0R1(config)#track1interfacelo0line-protocolglbp1weighting100lower glbp1weighting100lower 1weightingtrack1decrement15//当对象down，权重变化AVFMAC01被R3所。等到重定向计时器超时，则AVG不再答复该MAC；等到超时时间到，GLBP将会刷新该MAC地址。以查看GLBP组的相信信息：R1#showglbpFastEthernet0/0-Group1Stateis statechanges,laststatechange00:30:17VirtualIPaddressis54 otime3sec,holdtime10 otime3sec,holdtime10

oRedirecttime600secforwardertime-out14400sec//重定向和超时时间Preemptionenabled,mindelay0secActiveis, Weighting100configured100)thresholdslower90upper100//权重参数Trackobject1stateUpdecrement15Loadbalancinground-robin//负载均衡办法Groupmembers: //AVFStateisstatechanges,laststatechange00:01:00MACaddressis0007.b400.0101(default)OwnerIDiscc00.15a0.0000RedirectionenabledPreemptionenabled,mindelay30secActiveislocal,weightingStateisListenRedirectionenabled,599.424secremaining( um600sec)Timetolive:14399.420sec(um14400sec)Activeis(primary),weighting100(expiresin9.416sec)Arprepliessent:1Forwarder3StateisListen

Redirectionenabled,598.444secremaining(um600sec)Timetolive:14398.444sec(um14400sec)Preemptionenabled,mindelay30实验目

端口安实验拓实验步 access接口能够接入主机的数量或者限制某些接口只能接入哪些具体MAC的主机。2. CommandrejectedFastEthernet0/1isadynamicport.注意上述命令后的错误信息，要开启该特性，必须要保证该接口为access接口。SW1(config-if)#switchportmodeaccess默认情况下，CAM表项是动态学习到的。因此对于某接入端口能够最大支持学习 um umMACMAC地址 48bitmac ConfiguredynamicsecureaddressesasstickySW1(config-if)#switchportport-securitymac-addressSW1(config-if)#switchportport-securityviolation?protect violationprotectmoderestrict Securityviolationrestrictmode SecurityviolationshutdownmodeProtect——如果发生行为，该端口依然UP，并且来自于MAC的主机的数据包不会进 行为，该端口依然UP，并且来自于MAC的主机的数据包不会进行 行为数据包个数，尝试给SNMP发送trap。 行为，接口立马进入errdisable状态，除非手动开启或者开启自动下面是一个在shutdown模式的安全端口检测到了MAC地址溢出。使用下面令查看现在交换机上处于errdisable状态的接口缓实验目本次实验通过对三种，DHCPSnoo，IPSourceGuard和动态ARP检测的原理进行解释，并且演示在思科交换机上对上述缓解交换网络中的二层行为。实验拓 实验步IP掩码，默认网关地址以及DNS地址等。如果在网络中存在用户，DHCP服务器，给用户DHCPIP地址。那么就会使得用户将数据包都转发到用户，虽然DHCPSnoo也会转发数据包到正确的目的地，但是在客户和目的地之间，形成了中间人，所有的数据包都将被。那么思科为了防范上述DHCPSnoo 种为untrusted。只有来自于信任端口的DHCPOffer数据包才能够被正常转发，而其他非信任端口的DHCP数据包将会被忽视。所以，在网络中，DHCPtrusteduntrustedDHCPRequestDHCPOffer，如果来自untrusted端口，则可以断定存在DHCPSnoo行为，此时丢弃该数据包，并且将接口置为errdisable状态。同时，交换机还可以DHCP绑定信息表，该表内存有已经分配的IP地址，客户的MAC地址，租期时间等等。 SW1(config)#ipdhcp然后指定需要开启DHCPSnoo的VLAN。SW1(config)#ipdhcp vlan? DHCPSnoovlannumberorvlanrange,example:1,3-5,7,9-11SW1(config)#ipdhcpsnoovlan默认情况下，所有端口都为trusted端口。所以需要手工指定trusted端口。SW1F0/1端口设置为trusted端口。SW1(config)#intf0/1 默认情况下，对于untrustedDHCP数据包的流量大小没有限制，如果你想SW1(config)#intf0/2 DHCPsnoora snoolimitrate上述1-2048为每秒包的个数。untrustedDHCPRequestMACDHCPoption82字么可以使用下面令，默认该功能开启：SW1(config)#ipdhcpsnooinformationoption IPIP地址。而对于某些用户，他们会或者盗用他人IP地址进行通信，这种IP地址进行通信的行为叫做IP源。如果这种行为发生在三层，思科路由器可以通过uRPF进行检查，而如果发生在思科交换机提供了一种特性用于缓解IP源。交换机利用DHCPSnoo中生成为数据库来检测某些数据包是否被替换了的源IP地址，或者手工绑定MAC和IP的关系。对于IP源地址，必须和DHCPSnoo数据库中学习到的IP地址一致，或者和静态指定的一致。对于MAC地址，必须和DHCPSnoo 果，将会使用端口安全进行过滤流量。果需要对MAC地址进行检测，需要配置端口安全。对于不使用DHCP获取IP地址的主机，则需要手工绑定相关条目，命令如下：SW1(config)#ipsourcebindingAAAA.BBBB.CCCCvlan1interfaceFa0/1SW1(config)#intf0/1SW1(config-if)#ipverifysource? portsecurity上面令开启接口的IPSourceGuard特性。如果不加关键字port-security的话 ARP协议对二层MACIP地址进行解析。ARP良