第4章交换机高级应用实践

1、第4章交换机高级应用实践 ACL（Access Control lists，访问控制列表），数据包过滤机制，可以限制某个IP地址或某些网段的PC的上网活动。 Rule（规则）：对匹配一定信息的数据包所采取的动作。 Permit（允许） Deny（拒绝）实训1 标准访问控制列表 实训拓扑图 任务1：环境规划 1）在三层交换机A和B上划分VLAN交换机交换机VLAN端口成员端口成员交换机110F0/120F0/2100F0/24交换机230F0/1200F0/24 2）两个交换机通过24口级联 3）配置交换机各VLAN接口的IP地址 4）PC的网络设置VLAN10VLAN20VLAN30VLAN1

2、00VLAN200192.168.10.1192.168.20.1192.168.30.1192.168.100.1192.168.100.2设备设备IP地址地址网关网关掩码掩码PC1192.168.10.10192.168.10.1255.255.255.0PC2192.168.20.10192.168.20.1255.255.255.0PC3192.168.30.10192.168.30.1255.255.255.0任务2：配置交换机1Switch(config)#vlan 10Switch(config-vlan)#exitSwitch(config)#vlan 20Switch(con

3、fig-vlan)#exitSwitch(config)#vlan 100Switch(config-vlan)#exitSwitch(config)#int f0/1Switch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#int f 0/2Switch(config-if)#switchport access vlan 20Switch(config-if)#int f 0/24Switch(config-if)#switchport access vlan 100Switch(confi

4、g-if)#exitSwitch(config)#int vlan 10Switch(config-if)#ip address 192.168.10.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 20Switch(config-if)#ip address 192.168.20.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 100Switch(config-if)#ip address 192.168.100.1 255.255.255.0S

5、witch(config-if)#exit 配置交换机2 Switch(config)#vlan 30 Switch(config-vlan)#exit Switch(config)#vlan 200 Switch(config-vlan)#exit Switch(config)#int f0/1 Switch(config-if)#switchport access vlan 30 Switch(config-if)#exit Switch(config-if)#int f 0/24 Switch(config-if)#switchport access vlan 200 Switch(co

6、nfig-if)#exit Switch(config)#int vlan 30 Switch(config-if)#ip address 192.168.30.1 255.255.255.0 Switch(config-if)#exit Switch(config)#int vlan 200 Switch(config-if)#ip address 192.168.100.2 255.255.255.0 Switch(config-if)#exit 任务3：设置静态路由 交换机1： Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.2 S

7、witch#show ip rout 交换机2： Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1 Switch#show ip rout 任务4：验证互通性 PC0与 PC2连通的 任务5：在交换机2上配置标准ACL： Switch(config)#access-list 10 deny 192.168.10.0 0.0.0.255 Switch(config)#access-list 10 permit any Switch(config)#int vlan 200 Switch(config-if)#ip access-group

8、 10 in 标准ACL只能限制源IP地址，在目的端拒绝源IP地址访问。 扩展ACL可包括源IP、目的IP、服务类型等。 ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。实训2 扩展访问控制列表 实训拓扑图 任务1：环境规划 1）在三层交换机A和B上划分VLAN交换机交换机VLAN端口成员端口成员交换机110F0/120

9、F0/2100F0/24交换机230F0/1200F0/24 2）两个交换机通过24口级联 3）配置交换机各VLAN接口的IP地址 4）PC的网络设置VLAN10VLAN20VLAN30VLAN100VLAN200192.168.10.1192.168.20.1192.168.30.1192.168.100.1192.168.100.2设备设备IP地址地址网关网关掩码掩码PC1192.168.10.10192.168.10.1255.255.255.0PC2192.168.20.10192.168.20.1255.255.255.0PC3192.168.30.10192.168.30.1255

10、.255.255.0任务2：配置交换机1Switch(config)#vlan 10Switch(config-vlan)#exitSwitch(config)#vlan 20Switch(config-vlan)#exitSwitch(config)#vlan 100Switch(config-vlan)#exitSwitch(config)#int f0/1Switch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#int f 0/2Switch(config-if)#switchport

11、access vlan 20Switch(config-if)#int f 0/24Switch(config-if)#switchport access vlan 100Switch(config-if)#exitSwitch(config)#int vlan 10Switch(config-if)#ip address 192.168.10.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 20Switch(config-if)#ip address 192.168.20.1 255.255.255.0Switch(c

12、onfig-if)#exitSwitch(config)#int vlan 100Switch(config-if)#ip address 192.168.100.1 255.255.255.0Switch(config-if)#exit 配置交换机2 Switch(config)#vlan 30 Switch(config-vlan)#exit Switch(config)#vlan 200 Switch(config-vlan)#exit Switch(config)#int f0/1 Switch(config-if)#switchport access vlan 30 Switch(c

13、onfig-if)#exit Switch(config-if)#int f 0/24 Switch(config-if)#switchport access vlan 200 Switch(config-if)#exit Switch(config)#int vlan 30 Switch(config-if)#ip address 192.168.30.1 255.255.255.0 Switch(config-if)#exit Switch(config)#int vlan 200 Switch(config-if)#ip address 192.168.100.2 255.255.255

14、.0 Switch(config-if)#exit 任务3：设置静态路由 交换机1： Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.2 Switch#show ip rout 交换机2： Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1 Switch#show ip rout 任务4：验证互通性 PC0与 PC2连通的 任务5：在交换机1上配置扩展ACL(拒绝PC1的ICMP访问VLAN30，其它正常)： Switch(config)#access-list 101 deny i

15、cmp 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 (1-99为标准ACL的编号，100-199为扩展ACL的编号） Switch(config)#access-list 101 permit icmp any anySwitch(config)#int vlan 100 Switch(config-if)#ip access-group 101 out 验证连通性 DHCP 分配IP地址 DNS 域名解析实训3 三层交换机DHCP服务 实训拓扑图 任务1：环境规划 在三层交换机上划分VLANVLANIP地址地址端口成员端口成员VLAN10192

16、.168.10.1/241-2VLAN20192.168.20.1/243 配置两个地址池POOLA(192.168.10.0/24)POOLB(192.168.20.0/24)设备PC1IP自动获取设备PC3IP自动获取默认网关192.168.10.1默认网关192.168.20.1DNS服务器192.168.1.1DNS服务器192.168.1.1Lease8小时Lease8小时 任务2：划分VLAN，加入端口，配置VLAN虚接口地址 Switch(config)#vlan 10 Switch(config-vlan)#exit Switch(config)#vlan 20 Switch(

17、config-vlan)#exit Switch(config)#int f0/1 Switch(config-if)#switchport access vlan 10 Switch(config-if)#exit Switch(config)#int f 0/2 Switch(config-if)#switchport access vlan 10 Switch(config-if)#int f 0/3 Switch(config-if)#switchport access vlan 20 Switch(config-if)#exit Switch(config)#int vlan 10

18、Switch(config-if)#ip address 192.168.10.1 255.255.255.0 Switch(config-if)#exit Switch(config)#int vlan 20 Switch(config-if)#ip address 192.168.20.1 255.255.255.0 Switch(config-if)#exit 任务3：配置DHCP Switch(config)#ip dhcp pool POOLA Switch(dhcp-config)#network 192.168.10.0 255.255.255.0 Switch(dhcp-con

19、fig)#default-router 192.168.10.1 Switch(dhcp-config)#dns-server 192.168.1.1 Switch(dhcp-config)#exit Switch(config)#ip dhcp pool POOLB Switch(dhcp-config)#network 192.168.20.0 255.255.255.0 Switch(dhcp-config)#default-router 192.168.20.1 Switch(dhcp-config)#dns-server 192.168.1.1 Switch(dhcp-config)

20、#exit 任务4：验证IP获取、连通性 DHCP 分配IP地址 DNS 域名解析实训4 三层交换机DHCP中继 实训拓扑图 任务1：环境规划 交换机S1设置DHCP服务器，划分两个VLANVLANIP地址地址端口成员端口成员VLAN10192.168.10.1/241VLAN100192.168.100.1/2424 配置三个VLAN地址池 交换机S2开启DHCP中继，划分三个VLANVLANIP地址地址端口成员端口成员VLAN20192.168.20.1/241VLAN30192.168.30.1/242VLAN200192.168.100.2/2424 任务2：分别在两个交换机上划分VL

21、AN，加入端口，配置VLAN虚接口地址 交换机1 Switch(config)#vlan 10 Switch(config-vlan)#exit Switch(config)#vlan 100 Switch(config-vlan)#exit Switch(config)#int f 0/1 Switch(config-if)#swit acc vlan 10 Switch(config-if)#exit Switch(config)#int f 0/24 Switch(config-if)#swit acc vlan 100 Switch(config-if)#exit Switch(con

22、fig)#int vlan 10 Switch(config-if)#ip addr 192.168.10.1 255.255.255.0 Switch(config-if)#exit Switch(config)#int vlan 100 Switch(config-if)#ip addr 192.168.100.1 255.255.255.0 Switch(config-if)#exit交换机2Switch(config)#vlan 20Switch(config-vlan)#exitSwitch(config)#vlan 30Switch(config-vlan)#exitSwitch(

23、config)#vlan 200Switch(config-vlan)#exitSwitch(config)#int f 0/1Switch(config-if)#swit acc vlan 20Switch(config-if)#exitSwitch(config)#int f 0/2Switch(config-if)#swit acc vlan 30Switch(config-if)#exitSwitch(config)#int f 0/24Switch(config-if)#swit acc vlan 200Switch(config-if)#exitSwitch(config)#int

24、 vlan 20Switch(config-if)#ip addr 192.168.20.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 30Switch(config-if)#ip addr 192.168.30.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 200Switch(config-if)#ip addr 192.168.100.2 255.255.255.0Switch(config-if)#exit 任务3：配置静态路由 交换机1 Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.2 Switch(config)#ip routing 交换机2 Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1 Switch(config)#ip routing 任务4：在交换机1上配置DHCP Switch(config)#ip dhcp pool POOLA Switch(dhcp-config)#network 192.16