实验四“IP地址规划与路由设计”参考设置

1、实验四 “IP地址规划与路由设计”参考设置4.1 配置跨交换机的VLAN4.1.1 原理简介 虚拟局域网（Virtual Local Area Network，VLAN）是一种用于隔离广播域的技术。在交换机配置VLAN后，相同VLAN内的主机之间可以直接访问，不同VLAN则不能直接访问。VLAN遵循了IEEE 804.1q协议的标准。在利用配置了VLAN的接口进行数据传输时，需要在数据帧内添加4个字节的804.1q标签信息，用于标识该数据帧属于哪个VLAN，以便于对端交换机接收到数据帧后进行准确的过滤。由于VLAN是基于逻辑连接而不是物理连接的，所以它可以提供灵活的用户/主机管理、带宽分配以及

2、资源优化等服务。4.1.2 组网实践 假设某企业有两个重要部门：销售部和技术部，其中销售部门的个人计算机系统分散连接，它们之间需要相互通信，但为了数据安全起见，销售部和技术部需要相互隔离，则要在交换机上做适当的配置来实现这一目标。通过分析可知，可以将两个部门分别配置到不同的VLAN，只有在同一VLAN内（同一部门）的计算机系统可以跨交换机进行相互通信，反之则不行。网络拓扑如图4.1所示。（1） 网络拓扑图4.1网络拓扑其中交换机2台，PC3台。3台PC机IP地址在同一子网中。（2）实验步骤： 步骤1：在交换机Switch A上创建VLAN10，并将0/5端口划分到VLAN10中；Switch

3、Avlan 10Switch A-vlan10int g 0/0/5Switch A-GigabitEthernet0/0/5portSwitch A-GigabitEthernet0/0/5port linkSwitch A-GigabitEthernet0/0/5port link-tySwitch A-GigabitEthernet0/0/5port link-type accessSwitch A-GigabitEthernet0/0/5port default vlan 10步骤2：在交换机Switch A上创建VLAN20，并将0/15端口划分到VLAN20中；Switch A-G

4、igabitEthernet0/0/5vlan 20Switch A-vlan20int g 0/0/15Switch A-GigabitEthernet0/0/15port link-type accessSwitch A-GigabitEthernet0/0/15port default vlan 20步骤3：把交换机Switch A与交换机Switch B相连的F0/24端口定义为Trunk模式；Switch A-GigabitEthernet0/0/24port link-type trunkSwitch A-GigabitEthernet0/0/24port trunk allow-

5、pass vlan all步骤4：在交换机Switch B上创建VLAN10，并将0/5端口划分到VLAN10；Switch Bvlan 10Switch B-vlan10int g 0/0/5Switch B-GigabitEthernet0/0/5port link-type accessSwitch B-GigabitEthernet0/0/5port default vlan 10步骤5：把交换机Switch B与交换机Switch A相连的F0/24端口定义为Trunk模式；Switch B-vlan10int g 0/0/5Switch B-GigabitEthernet0/0/5

6、port link-type accessSwitch B-GigabitEthernet0/0/5port default vlan 10Switch B-GigabitEthernet0/0/5int g 0/0/24Switch B-GigabitEthernet0/0/24port link-type trunkSwitch B-GigabitEthernet0/0/24port trunk allow-pass vlan all步骤6：验证测试。在PC1上分别尝试使用ping命令测试与PC2、PC3的连通性。4.1.3 总结与分析 配置时，应注意将两台交换机直接相连的端口设置为Tru

7、nk模式，Trunk接口在默认情况下支持所有的VLAN传输。通过配置VLAN可以隔离不同部门之间的通信。4.2 配置端口安全4.2.1 原理简介 交换机的端口安全特性可以只允许特定的MAC地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入到网络中，并且可以限制端口接入到网络中的设备数量，防止用户将过多的设备接入到网络中。4.2.2 组网实践 某企业的网络管理员发现经常有员工私自将自己的笔记本电脑接入到网络中，而且有一些员工通过使用Hub将多个网络设备接入到交换机端口上，给网络管理和维护增加了难度。 对于网络中出现的这种问题，需要防止用户接入非法或未授权的设备，并且限制用户将多个网络设

8、备接入到交换机的端口。交换机的端口安全特性可以满足这个要求，从而提高接入层的网络安全性，网络拓扑如图4.2所示。（1） 网络拓扑图4.2网络拓扑其中S3700交换机2台，PC3台。将S3700-s1的3号口指定给某主机的MAC地址。（2）实验步骤： 步骤1：在交换机上启用端口安全特性；<Huawei>sysHuaweiint e 0/0/3Huawei-Ethernet 0/0/3port link-type accessHuawei-Ethernet 0/0/3port-security enable步骤2：手工配置PC1的MAC地址，即保证只有PC1可以接到此端口；步骤3：配置

9、端口接入数量的限制；Huawei-Ethernet 0/0/3port-security max-mac-num 1步骤4：配置当此端口产生违规时的操作。Huawei-Ethernet 0/0/3port-security mac-address sticky首先有数据通过交换机的PC将被绑定MAC4.2.3 总结与分析 配置端口安全之前必须使用命令将端口设置为Access端口，当端口由于违规操作被关闭时，可以在全局模式下使用命令将其恢复。4.3 配置SVI实现VLAN间路由4.3.1 原理简介 VLAN的目的是隔离广播域，并非要不同VLAN内的主机彻底不能互相通信，但VLAN间的通信等同于不

10、同广播域之间的通信，必须使用第三层的设备才能实现。VLAN间的通信就是指VLAN间的路由，是VLAN之间在一个路由器或者其他三层设备（例如三层交换机）上发生的路由。通过在三层交换机上为各VALN配置SVI接口，利用三层交换机的路由转发功能可以实现VLAN间的路由。4.3.2 组网实践 为减小广播包对网络的影响，网络管理员在公司内部网络中进行了VLAN的划分。完成VLAN的划分后，发现不同VLAN之间无法互相访问。 通过分析，可以通过配置三层交换机的SVI接口实现VLAN之间的路由，网络拓扑如图4.3所示。（1） 网络拓扑图4.3网络拓扑（2）实验步骤： 步骤1：在三层交换机上创建两个VLAN，

11、VLAN 10与VLAN 20；Huaweivlan 10Huawei-vlan10vlan 20步骤2：在三层交换机上将端口分别划分到各个VLAN上；Huawei-vlan20int g 0/0/1Huawei-GigabitEthernet0/0/1port link-type accessHuawei-GigabitEthernet0/0/1port default vlan 10Huawei-GigabitEthernet0/0/1int g 0/0/2Huawei-GigabitEthernet0/0/2port link-type accessHuawei-GigabitEther

12、net0/0/2port default vlan 20步骤3：在三层交换机上给各个VLAN配置IP地址；Huawei-GigabitEthernet0/0/2int vlan 10Huawei-Vlanif10ip address 194.168.10.1 24Huawei-Vlanif10int vlan 20Huawei-Vlanif20ip address 194.168.20.1 24步骤4：验证测试。在PC1上使用ping命令测试与vlan20中的PC2的连通性：PC>ping 194.168.20.2Ping 194.168.20.2: 32 data bytes, Pre

13、ss Ctrl_C to breakFrom 194.168.20.2: bytes=32 seq=1 ttl=127 time=125 msFrom 194.168.20.2: bytes=32 seq=2 ttl=127 time=31 msFrom 194.168.20.2: bytes=32 seq=3 ttl=127 time=16 msFrom 194.168.20.2: bytes=32 seq=4 ttl=127 time=47 msFrom 194.168.20.2: bytes=32 seq=5 ttl=127 time=15 ms- 194.168.20.2 ping s

14、tatistics - 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 15/46/125 ms4.3.3 总结与分析 配置时，VLAN中的PC的IP地址需要和三层交换机上相应VLAN的IP地址在同一网段，并且主机网关配置为三层交换机上相应的VLAN的IP地址；另外，也可以在路由器上配置子接口，实现VLAN间的路由。为了确保网络的高可靠性，需要在网络中配置冗余备份，这时容易出现环路，产生网络风暴等问题，应该怎么解决这个问题呢？下一节便提出了相应的解决方法。4.4 配置

15、静态路由4.4.1 原理简介 路由器是根据路由表进行选路和转发的。而路由表就是由一条条的路由信息组成的。路由表的产生方式一般有以下三种。（1）直连路由。给路由器接口配置一个IP地址，路由器自动产生本接口IP所在网段的路由信息。（2）静态路由。在拓扑结构简单的网络中，网络管理员通过手工的方式配置本路由器未知网段的路由信息，从而实现不同网段之间的连接。（3）动态路由。协议学习产生的路由。在大规模的网络中，或者网络拓扑相对复杂的情况下，通过在路由器上运行动态路由协议，路由器之间互相自动学习产生路由信息。4.4.2 组网实践 假设校园内通过一台路由器连接到校园外的另一台路由器上，现要在路由器上做适当的

16、配置，使校园网内部主机和校园网外部主机相互通信。即通过相关配置，实现网络的互联互通，从而实现信息的共享和传递。网络拓扑如图4.4所示。（1） 网络拓扑图4.4网络拓扑（2）实验步骤：步骤1：在路由器Router1上配置接口的IP地址和串口上的时钟频率；<Huawei>sysHuaweiint s 0/0/0Huawei-Serial0/0/0ip address 172.16.2.1 24Huawei-Serial0/0/0undo shutdownHuawei-Serial0/0/0int g 0/0/1Huawei-GigabitEthernet0/0/1ip address

17、172.16.1.1 24Huawei- GigabitEthernet0/0/1undo shutdown步骤2：在路由器Router1上配置静态路由；Huaweiip route-static 172.16.3.0 24 172.16.2.2步骤3：在路由器Router2上配置接口的IP地址；<Huawei>sysHuaweiint s 0/0/0Huawei-Serial0/0/0ip address 172.16.2.2 24Huawei-Serial0/0/0undo shutdownHuawei-Serial0/0/0int g 0/0/1Huawei-GigabitE

18、thernet0/0/1ip address 172.16.3.1 24Huawei- GigabitEthernet0/0/1undo shutdown步骤4：在路由器Router2上配置静态路由。Huaweiip route-static 172.16.1.0 24 172.16.2.14.4.3 总结与分析 如果两台路由器通过串口直接相连，则应该在其中一台路由器上设置时钟频率，且是作为DCE（数据通信设备）的路由器上，否则链路是不通的（华为路由器已对时钟频率默认设置）。4.5 配置RIP协议4.5.1 原理简介RIP（Routing Information Protocols，路由信息协

19、议）是应用较早、使用较普遍的IGP（Interior Gateway Protocol，内部网关协议），适用于小型网络，是典型的距离矢量（distance-vector）协议。RIP协议以跳数作为衡量路径的开销，RIP协议规定最大跳数为15。RIP协议有两个版本RIPv1和RIPv2。RIPv1属于有类路由协议，不支持VLSM（变长子网掩码）。RIPv1是以广播的形式进行路由信息的更新的，更新周期为30秒。RIPv2属于无类路由协议，支持VLSM。RIPv2是以组播的形式进行路由信息更新的，组播地址是224.0.0.9。RIPv2还支持基于端口的认证，提高网络的安全性。4.5.2 组网实践假设

20、校园网通过一台三层交换机连到校园网出口路由器，路由器再和校园网外的另一台路由器连接，现做适当配置，实现校园网内的主机和校园网外的主机相互通信。 本实验以两台路由器和一台三层交换机为例。交换机上划分有VLAN 10和VLAN 50，其中VLAN 10用于连接Router1（校园网出口路由器），VLAN 50用于连接校园网主机。 路由器分别命名为Router1和Router2，路由器之间通过串口线连接，网络拓扑如图4.5所示。（1） 网络拓扑图4.5网络拓扑（2）实验步骤：步骤1：在三层交换机上创建VLAN并且配置SVI；Huaweiint g 0/0/1Huawei-GigabitEtherne

21、t0/0/1port link-type access Huawei-GigabitEthernet0/0/1vlan 10Huawei-vlan10port g 0/0/1Huawei-vlan10int vlan 10Huawei-Vlanif10ip address 172.16.1.2 24Huawei-Vlanif10int g 0/0/5Huawei-GigabitEthernet0/0/5port link-type access Huawei-GigabitEthernet0/0/5vlan 50Huawei-vlan50port g 0/0/5Huawei-vlan50int

22、 vlan 50Huawei-Vlanif50ip address 172.16.5.1 24步骤2：在路由器Router1的各个端口上配置IP地址和时钟频率；Huaweiint g 0/0/1Huawei-GigabitEthernet0/0/1ip address 172.16.1.1 24Huawei-GigabitEthernet0/0/1undo shutdownHuawei-GigabitEthernet0/0/1int s 0/0/2Huawei-Serial0/0/2ip address 172.16.2.1 24Huawei-Serial0/0/2undo shutdown步骤3：在路由器