CCNP交换实验手册

1、 目录实验1：实施基于vlan 的园区网络 . 3任务1：配置和管理Trunk 链路 . 5任务2：配置和管理VTP 和vlan 数据库任务3：配置和实施EtherChannel实验2：配置和实施私有vlan . 32任务1：建立逻辑拓扑 33任务2：配置Protected-Port 39步骤3：配置团体vlan . 42任务4：配置混杂端口 48任务5：配置隔离vlan . 51实验3 . . 54任务1 55任务267任务3 . 71实验 . . 75vlan 间通信功能 . 76任务2vlan 间通信 . 82任务3：配置和实施多层交换机的路由接口 . 85任务4：配置多层交换机的路由功

2、能 . 91任务5：在多层交换机上配置DHCP . 95实验5：在多层交换机上部署网关冗余协议 . . 100任务1：搭建基本通信协议 . 102 任务2：配置和检查HSRP 基本参数 . 111 任务3：调整和优化HSRP . 115 实验6：配置交换机安全策略 .任务1：配置和实施端口安全 任务2：实施VACL 131 任务3：实施DHCP Snooping 139 任务4：实施动态ARP 检测（DAI ） . 148实验1：实施基于vlan 的园区网络 实验拓扑 机架连接图 任务1：配置和管理Trunk 链路 配置SW1和SW2之间的Fa0/23和Fa0/24，将这2条链路配置为Trun

3、k ，要求如下： 使用802.1Q 封装 启用DTP 协商，SW1主动产生协商消息，SW2接收并回复协商消息 指定vlan100为native vlan 只允许vlan10、vlan20和vlan100通过该Trunk 链路 配置SW1和SW3之间的Fa0/19和Fa0/20，将这2，要求如下： 使用802.1Q 封装 关闭DTP 协商 指定vlan1为native vlan 允许vlan99和vlan199通过 配置SW2和SW3之间的和Fa0/22，将这2条链路配置为Trunk ，要求如下： 使用802.1Q 关闭 指定 到vlan299以外的其他vlan 通过步骤1初始化交换机：SW1#

4、erase startup-config /清空启动配置文件Erasing the nvram filesystem will remove all configuration files! Continue?confirm /按下回车OKErase of nvram: completeSW1#delete vlan.dat /删除vlan 数据库Delete filename vlan.dat? /按下回车Delete flash:vlan.dat? confirm /按下回车SW1#reloadSystem configuration has been modified. Save? ye

5、s/no: noProceed with reload? confirm /按下回车初始化路由器：XXXX#erase startup-config /清空启动配置文件confirm /按下回车XXXX#reload /重启路由器Proceed with reload? confirm /按下回车步骤2：登录到每台设备，正确指定主机名步骤3：关闭SW1和SW2的所有接口SW2的Fa0/23和Fa0/24，根据需求配置DTP 、native vlan等参数SW1(config#interface range fastEthernet 0/23 - 24SW1(config-if-range#sw

6、itchport trunk encapsulation dot1qSW1(config-if-range#switchport mode dynamic desirableSW1(config-if-range#switchport trunk native vlan 100SW1(config-if-range#switchport trunk allowed vlan 10,20,100SW1(config-if-range#no shutdownSW2(config#interface range fastEthernet 0/23 - 24SW2(config-if-range#sw

7、itchport trunk encapsulation dot1qSW2(config-if-range#switchport mode dynamic autoSW2(config-if-range#switchport trunk native vlan 100SW2(config-if-range#switchport trunk allowed vlan 10,20,100SW2(config-if-range#no shutdown步骤5：检查SW1和SW2的Trunk 接口，确认Fa0/23和Fa0/24都是状态 步骤6：检查SW1的Fa0/23的二层工作状态，确认DTP 模式为

8、desirable 、封装为802.1q ，native vlan 是100，允许的vlan 是vlan10、vlan20和vlan100 SW1#show interfaces fastEthernet 0/23 switchportName: Fa0/23 Switchport: EnabledAdministrative Mode: dynamic desirableOperational Mode: trunkAdministrative Trunking Encapsulation: dot1qOperational Trunking Encapsulation: dot1qNego

9、tiation of Trunking: OnAccess Mode VLAN: 1 (defaultTrunking Native Mode VLAN: 100 (InactiveAdministrative Native VLAN tagging: enabledVoice VLAN: noneAdministrative private-vlan mapping: noneTrunking VLANs Enabled:步骤7SW1和SW3的Fa0/19和Fa0/20口，根据需求，正确配置各个参数 SW1(config#interface range fastEthernet 0/19 -

10、 20SW1(config-if-range#switchport trunk encapsulation dot1qSW1(config-if-range#switchport mode trunkSW1(config-if-range#switchport nonegotiateSW1(config-if-range#switchport trunk native vlan 1SW1(config-if-range#switchport trunk allowed vlan except 99,199SW1(config-if-range#no shutdownSW3(config#int

11、erface range fastEthernet 0/19 - 20SW3(config-if-range#switchport trunk encapsulation dot1qSW3(config-if-range#switchport mode trunkSW3(config-if-range#switchport nonegotiateSW3(config-if-range#switchport trunk native vlan 1SW3(config-if-range#switchport trunk allowed vlan except 99,199SW3(config-if

12、-range#no shutdown步骤8：检查SW1和SW3的Trunk 接口，确认Fa0/19和Fa0/20为状态 10步骤9：检查SW1的Fa0/19口的二层状态，协商被关闭、native vlan 是vlan1Name: Fa0/19Switchport: EnabledtrunkAdministrative private-vlan trunk Native VLAN tagging: enabledAdministrative private-vlan trunk encapsulation: dot1qAdministrative private-vlan trunk norma

13、l VLANs: noneAdministrative private-vlan trunk associations: noneAdministrative private-vlan trunk mappings: noneOperational private-vlan: noneTrunking VLANs Enabled: 1-98,100-198,200-409411Pruning VLANs Enabled: 2-1001Capture Mode DisabledCapture VLANs Allowed: ALLProtected: falseUnknown unicast bl

14、ocked: disabledUnknown multicast blocked: disabledAppliance trust: none步骤10：配置SW2和SW3的Fa0/21和Fa0/22，根据需求配置各个 SW2(config#interface range fastEthernet 0/21 - 22SW2(config-if-range#switchport mode trunkSW2(config-if-range#switchport nonegotiateSW2(config-if-range#no shutdown12 步骤11：检查SW2和SW3的Trunk 接口，确

15、认状态为Trunking 1314 任务2：配置和管理VTP 和vlan 数据库 配置SW1和SW2的VTP ，具体要求如下： VTP 工作版本定义为版本2 SW1工作在Server 模式，SW2工作在client 模式 VTP 域名定义为yangbang VTP 密码定义为123 VTP 工作版本指定为version2 确保SW1和SW2的vlan 数据库可以通过Trunk 配置SW3的VTP ，具体要求如下： VTP 工作版本定义为版本2 SW3工作在Transparent 模式 VTP 域名定义为 VTP 密码定义为123 VTP 确保SW1和SW2可以通过SW3来同步vlan 数vla

16、n 数据库是独立的 、vlan20和vlan100，确保SW1和SW2都能识别这3个vlan 在SW3上创建vlan10、vlan20、vlan100和vlan200 将SW1的Fa0/1和SW2的Fa0/2配置为vlan10的Access 接口机上同vlan 的其他主机互相通信。SW3上vlan200的主机只能和本地交换机上同一个vlan 的其他主机互相通信。步骤1：配置SW1和SW2交换机的VTP ，指定版本、域名、密码和模式，SW1是server 模式、SW2是client 模式SW1(config#vtp version 2SW1(config#vtp domain yangbang

17、SW1(config#vtp password 123 SW1(config#vtp mode server SW1(config#SW2(config#vtp version 2SW2(config#vtp domain yangbang SW2(config#vtp password 123 SW2(config#vtp mode client SW2(config#步骤2：在SW1上创建vlan20vlan100，分别指定vlan 的名称SW1(config#vlan 10步骤3：检查SW1的vlan 数据库，确认添加的vlan 步骤4：检查SW2的vlan 和SW1同步vlan 数据库

18、 步骤5：检查SW1和SW2的VTP 状态，确认版本、修订号、域名和模式 步骤，指定VTP 模式为透明模式，并指定和SW1、SW2相同的域名和密码SW3(config#vtp domain yangbang SW3(config#vtp password 123SW3(config#vtp mode transparent SW3(config#步骤7：检查SW3的vtp 状态，确认SW3的模式为transparent 步骤8：将SW1的Fa0/23和SW1丢失和SW2的直连链路的情况步骤9步骤10：检查SW2的vlan 数据库，会发现也出现了vlan200，说明SW1能SW3的转发，让SW2

19、获得vlan 数据库的信息 步骤 11：检查SW3的vlan SW1只有vlan1，说明SW3并没有同步到SW1的vlan步骤12:在SW1上删除vlan200，并恢复Fa0/23和Fa0/24接口SW1(config#no vlan 200SW1(config#interface range fastEthernet 0/23 - 24SW1(config-if-range#no shutdownSW1(config-if-range#步骤13：在SW3上添加vlan10、vlan 、vlan100和vlan200SW3(config#vlan 10SW3(config-vlan#name

20、sales1SW3(config-vlan#exitSW3(config#vlan 20SW3(config-vlan#name sales2SW3(config-vlan#exitSW3(config#vlan 100SW3(config-vlan#name nativeSW3(config-vlan#exitSW3(config#vlan 200SW3(config-vlan#name LocalSW3(config-vlan#exit步骤14：将SW1和的Fa0/2配置为vlan10的Access 接口SW2(config-if#no shutdown步骤15：检查SW1和SW2的vla

21、n 数据库，确认Fa0/1和Fa0/2加入了vlan10 R1(config#interface fastEthernet 0/0R1(config-if#no shutdownR2(config#interface fastEthernet 0/1R2(config-if#no shutdown步骤17：在R1或R2上使用ping 测试，确认R1和R2能互相通信Type escape sequence to abort.!R1#任务3：配置和实施EtherChannel 将SW1和SW2之间的Fa0/23和Fa0/24捆绑为EtherChannel ，具体要求如下： 虚拟通道的组号定义为12

22、 关闭协商功能 将SW1和SW2之间Trunk 的Native vlan改为vlan10 将SW1和SW3之间的Fa0/19和Fa0/20捆绑为 虚拟通道的组号定义为13 使用PAgP 作为协商协议 SW1主动发起协商 SW3被动接收协商 将SW2和SW3之间的Fa0/21和，具体要求如下： 虚拟通道的组号定义为 使用LACP SW2 SW3 负载均衡方式都改为基于源MAC 地址 200M步骤1：SW1和SW2的Fa0/23和Fa0/24口，将2个接口加入以太通道组12，并指定模式为onSW1(config#interface range fastEthernet 0/23 - 24SW1(c

23、onfig-if-range#channel-group 12 mode onCreating a port-channel interface Port-channel 12SW1(config-if-range#SW2(config#interface range fastEthernet 0/23 - 24SW2(config-if-range#channel-group 12 mode onCreating a port-channel interface Port-channel 12SW2(config-if-range#步骤2：检查SW1或SW2的以太通道汇总信息，确认“Po12

24、”的状态是“SU S 代表二层功能，U 代表正在工作 步骤3：检查SW1或SW2的Port-channel 接口，看到Po12接口的带宽是200M步骤4:检查SW1或SW2的Fa0/24on 、加入的组是Po12 步骤的Port-channel12接口，指定trunk 的native vlan为SW2(config#interface port-channel 12SW2(config-if#switchport trunk native vlan 10步骤6：检查SW1或SW2的配置文件，会看到步骤5的配置也被复制到了Fa0/23和Fa0/24口下 步骤7：检查SW1或SW2的Trunk 接

25、口，列表中不再出现Fa0/23和Fa0/24，而是出现了一个新的接口Po12接口，状态是Trunking 步骤8：配置SW1SW3的口，指定协商协议为PAgP ，SW1的模式为desirable Auto ，加入Port-channel13SW3(config-if-range#channel-group 13 mode autoCreating a port-channel interface Port-channel 13步骤9：检查SW1的以太通道汇总信息，会看到一个新的Port-channel 接口，状态同样是“SU ” 步骤10：检查SW1或SW3的trunk 接口，发现Fa0/19

26、和Fa0/20不再出现，而出现了一个新的Trunk 接口Po13 步骤11：配置SW2和SW3的LACP ，SW2模式为Active ，SW3的模式为，加入步骤12：检查SW2或SW3的Trunk ，发现Fa0/21和Fa0/22不再出现，出现了一个新的Trunk 接口Po23 步骤13：指定3台交换机的以太通道负载均衡方式为“src-mac ”，并使用show 命令确认SW1(config#port-channel load-balance src-macSW2(config#port-channel load-balance src-macSW3(config#port-channel l

27、oad-balance src-mac 实验2：配置和实施私有vlan实验拓扑： 机架连接图 任务1：建立逻辑拓扑 将所有交换机的VTP 模式调整为Transparent SW1和SW2在本任务中只负责数据交换，建立逻辑通信链路，具体配置如下： 将SW1的Fa0/1和Fa0/19配置为vlan101的Access 接口，这样口和SW3的Fa0/19就建立了逻辑通信链路，可以看作R1的之间已经直连在一起了 将SW1的Fa0/2和Fa0/20配置为vlan101的R2的Fa0/0口和SW3的Fa0/20就建立了逻辑通信链路 将SW2的Fa0/3和Fa0/21配置为接口，这样R3的Fa0/1口和SW

28、3的Fa0/21 将SW2的Fa0/4和配置为的Access 接口，这样R4的Fa0/1口和SW3的Fa0/22 、R2、R3、R4都直连在SW3的逻辑结构 配置4： 步骤1：初始化所有设备，保证设备回到默认空配置状态初始化交换机：SW1#erase startup-config /清空启动配置文件Erasing the nvram filesystem will remove all configuration files! Continue?confirm /按下回车OKErase of nvram: completeSW1#delete vlan.dat /删除vlan 数据库Delet

29、e filename vlan.dat? /按下回车Delete flash:vlan.dat? confirm /按下回车SW1#reloadSystem configuration has been modified. Save? yes/no: noProceed with reload? confirm /按下回车初始化路由器：XXXX#erase startup-config /清空启动配置文件confirm /按下回车XXXX#reload /重启路由器Proceed with reload? confirm /按下回车步骤2：登录到每台设备，正确指定主机名步骤3：关闭SW1和SW

30、2步骤VTP 模式调整为Transparent ，并添加vlan101、vlan102 Setting device to VTP TRANSPARENT mode.SW1(config#vlan 101SW1(config-vlan#exitSW1(config#vlan 102SW1(config-vlan#exit步骤5：将SW1的Fa0/1、Fa0/19配置为vlan101的Access 接口，将Fa0/2、Fa0/20口配置为vlan102 的Access 接口SW1(config#interface ran fa0/1 , fa0/19SW1(config-if-range#swi

31、tchport mode accessSW1(config-if-range#switchport access vlan 101SW1(config-if-range#no shutdownSW1(config#interface range fa0/2 , fa0/20SW1(config-if-range#switchport mode accessSW1(config-if-range#switchport access vlan 102SW1(config-if-range#no shutdown步骤6：将SW2的VTP 模式调整为transparent 和vlan104 SW2(c

32、onfig#vtp mode transparentSetting device to VTP TRANSPARENT mode.SW2(config#vlan 103SW2(config-vlan#exitSW2(config#vlan 104SW2(config-vlan#exit步骤7：将Fa0/3、的Access 接口，将Fa0/4、Fa0/22配置为vlan104SW2(config-if-range#no shutdown步骤8：将SW3的Fa0/19到Fa0/22的4个接口配置为access 接口，加入默认的vlan1SW3(config#interface range fast

33、Ethernet 0/19 - 22SW3(config-if-range#switchport mode accessSW3(config-if-range#no shutdown步骤9：由于SW3和SW1、SW2之间的接口加入了不同的vlan ，CDP 不用理会CDP 的警告信息，将CDP 关闭即可SW3(config#no cdp run步骤10：检查SW1的vlan 数据库，确认以及它们的Access 接口都配置正确 步骤11：检查SW2的vlan 数据库，确认vlan103和vlan104以及它们的Access 接口都配置正确 步骤12：配置R1和R2的Fa0/0和Fa0/1,将4台

34、路由器模拟为同网段的四个主机R4(config#interface fastEthernet 0/1R4(config-if#no shutdown步骤13：确认4台路由器之间都能互相通信Type escape sequence to abort.Type escape sequence to abort.!Type escape sequence to abort.!R1#任务2：配置Protected-Port 配置SW3的Fa0/21和Fa0/22为Protected 端口 确保R1和R2能互相通信，也能和R3、R4通信 R3和R4之间不能互相通信 R3能和R1、R2通信 R4能和R1、

35、R2通信步骤1：配置之前测试，确认R3和R4是可以通信的Type escape sequence to abort.!R3#步骤2：检查SW3的F0/21是否开启了Protected 功能，确认默认该功能都是关闭的步骤3：配置SW3的F0/21和F0/22为Protected 端口SW3(config#interface range f0/21-22SW3(config-if-range#switchport protected步骤4：再检查SW3的F0/21和F0/22是否开启了Protected 功能，确认现在已开启了该功能SW3#show interfaces f0/21 switchp

36、ort | include ProtectedProtected: trueSW3#show interfaces f0/22 switchport | include ProtectedProtected: true步骤5：验证R1能和R2、R3、R4通信Type escape sequence to abort.!.!R1#步骤6：验证R2能和R1、R3、R4通信Type escape sequence to abort.Success rate is 100 percent (5/5, round-trip min/avg/max = 1/1/1 msType escape sequen

37、ce to abort.Type escape sequence to abort.!R2#.步骤3：配置团体vlan 删除任务2中关于Protect-Ports 的配置 配置私有vlan 特性： 创建vlan20和vlan30作为辅助vlan ，两个vlan 均为团体vlan 创建vlan10，为主vlan ，关联两个辅助vlan20和30 R1和R2是vlan20的主机、R3和R4是vlan30的主机 完成配置后，确保R1和R2能互相通信，R3和R4能互相通信步骤1：删除任务2中关于Protect-Ports步骤2：确认已删除VTP 模式配置为Transparent ，创建vlan20和v

38、lan30作为辅助vlan vlan 均为团体vlanSW3(config#vtp mode transparentSW3(config#vlan 20SW3(config-vlan#private-vlan communitySW3(config-vlan#exitSW3(config#vlan 30SW3(config-vlan#private-vlan community步骤4：检查vlan20、vlan30是否已经是团体vlanSW3#show vlan private-vlanPrimary Secondary Type Ports- - - - 20 community30 com

39、munity步骤5：创建vlan10，为主vlan ，关联两个辅助vlan20和SW3(config#vlan 10SW3(config-vlan#private-vlan primary步骤6：检查vlan10是否已关联vlan20和SW3#show vlan private-vlan步骤7：检查、30是否已经按照需求配置成功30 community步骤8：R1和R2是vlan20的主机、R3和R4是vlan30的主机SW3(config#interface range f0/19-20SW3(config-if-range#switchport mode private-vlan host

40、SW3(config-if-range#switchport private-vlan host-association 10 20 SW3(config#interface range f0/21-22SW3(config-if-range#switchport mode private-vlan host步骤9：检查端口是否已关联成功，并检查4个接口的二层信息，的信息SW3#show vlan private-vlanSW3#show interfaces f0/20 switchport | include private-vlan Administrative Mode: private-vlan hostOperational Mode: private-vlan hostAdministrative private-vlan host-association: 10 (VLAN0010 20 (VLAN0020Administrative private-vlan mapping: noneAdministrative private-vlan trunk nati