高级路由交换技术与应用高职PPT完整全套教学课件

PRIVATEVLANPrivateVlan技术PRIVATEVLAN全套PPT课件CONTENTS目录理论知识01命令讲解02任务总结0301理论知识一、理论知识PVLAN与VLANPvlan技术，他和我们之前学过的VLAN技术有着千丝万缕的关系，大家知道，vlan技术的主要作用就是划分广播域与控制广播消息传递范围，但是随着发展，网络在用户安全性、整体的灵活性等方面又提出了很多新的要求，传统的vlan技术逐渐不能满足这些要求，所以PVLAN应运而生。一、理论知识什么是PVLAN？PrivateVLAN专用虚拟局域网，采用两层VLAN隔离技术，上层PrimaryVLAN全局可见，下层SecondaryVLAN相互隔离。SecondaryVLAN又被划分成了2个部分，分别叫做Communtiyvlan即团体VLAN，和Isolatedvlan即隔离VLAN。一、理论知识两种类型的辅助VLAN：01.隔离VLAN（IsolatedVLAN）：同一个隔离VLAN中的端口不能互相进行二层通信。一个私有VLAN域中只有一个隔离VLAN。一、理论知识两种类型的辅助VLAN：02.团体VLAN（CommunityVLAN）：同一个团体VLAN中的端口可以互相进行二层通信，但不能与其它团体VLAN中的端口进行二层通信。一个私有VLAN域中可以有多个团体VLAN。一、理论知识PVLAN主要接口类型和特点？01混杂端口（PrmoiscuousPort）属于主VLAN，要被映射到子VLAN中，被映射的子VLAN中的所有端口都能和它通信。02团体端口（CoummunitPort）属于团体VLAN的端口，同一个团体VLAN的端口之间能够相互通信，也能和混杂端口通信。属于团体VLAN的端口，同一个团体VLAN的端口之间能够相互通信，也能和混杂端口通信。03隔离端口（IsolatedPort）属于隔离VLAN的端口，隔离VLAN端口之间不能相互通信，只能和混杂端口通信。一、理论知识PVLAN技术优点01节省VLAN及IP资源对上行设备而言只可见PrimaryVLAN，而不必关心PrivateVLAN中的SecondaryVLAN，PrimaryVLAN下面的SecondaryVLAN对上行设备不可见，从而大大节省了上行设备的VLAN资源。02安全性具备隔离功能，同一SecondaryVLAN内各端口二层隔离，增强了安全性。03高性能PVLANL3域的广播报文在PrimaryVLAN内通信时由芯片完成发送，具有较高的转发性能。一、理论知识PVLAN主要应用在哪些场景？运营商的主机托管业务园区接入网02命令讲解二、命令讲解操作命令：01configureterminal //进入系统视图02vlan

vlan-id //进入VLAN视图03private-vlancommunity//创建团体Vlan04private-vlanisolated//创建隔离vlan

05private-vlanprimaryprivate-vlanassociation

//创建主vlan，并关联Secondaryvlan验证命令：showvlanprivate-vlan

03归纳总结三、归纳总结本节课我们学习了pvlan基本概念，还学习了PrimaryVLAN，和SecondaryVLAN。三、归纳总结根据学到的知识完成空缺的部分1._______和_______的用户都可以与主VLAN通信。2.同一个_______内的用户可以通信。3.不同_______的用户不可以通信。4._______与团队VLAN的用户不可以通信。5._______内的用户不可以通信。THANKYOUPRIVATEVLAN谢谢观看PRIVATEVLANPRIVATEVLAN企业网虚拟局域网设计部署PRIVATEVLANCONTENTS目录项目背景01任务分析02项目规划设计03CONTENTS目录项目部署实施04项目验证05归纳总结0601项目准备一、项目准备项目背景某公司包括销售部、财务部、行政部三个部门。由于项目的需求，目前部分财务部员工在销售部工作。因为财务部的数据较为敏感，除涉及资金安全外财务部还拥有全公司员工的个人信息，为了保护财务部的数据安全，需要实现以下需求：1.销售部员工与财务部员工之间不能互访。2.财务部的员工之间不能互访。3.销售部员工之间可以互访。4.销售部和财务部员工均可以与行政部间互访。普通VLAN只能实现广播域的隔离，无法实现vlan间或者vlan内的访问控制，所以本项目需要采用PVLAN实现相关要求。一、项目准备项目背景02项目任务二、项目任务项目任务分析配置交换机基本信息01配置VLAN02配置PVLAN03项目联调与测试0403项目规划设计三、项目规划设计设备主机名规划设备型号设备主机名RG-S2910-24GT4XS-EZR-JR-S2910-01RG-S5310-24GT4XSZR-HX-S5310-01三、项目规划设计VLAN规划由于本项目中，对不同部门的访问控制的要求不同，所以使用PVLAN。将VLAN划分成主VLAN和子VLAN两种类型。序号VLANIDVLANName备注110Xingzheng_Primary_VLAN行政部VLAN211Xiaoshou_community_VLAN销售部VLAN312Caiwu_isolated_VLAN财务部VLAN4100Guanli_VLAN交换机管理VLAN三、项目规划设计业务地址与管理地址规划本项目中虽然财务部和销售部属于两个VLAN，但是这两个子VLAN共用同一个主VLAN的网段，同时交换机的管理采用单独的管理网段进行实现。序号功能区IP地址掩码1行政部、财务部、销售部三、项目规划设计业务地址与管理地址规划这里对接入交换机S2910进行管理地址的配置，方便以后的远程管理。序号设备名称管理地址掩码1ZR-JR-S2910-012ZR-HX-S5310-0154三、项目规划设计设备互联接口规划该项目中网络设备之间的端口互联规划规范为：Con_To_对端设备名称_对端接口名。本项目中只针对网络设备互联接口进行描述本端设备接口接口描述对端设备接口ZR-HX-S5310-01Gi0/1Con_To_ZR-JR-S2910-01_Gi0/1ZR-JR-S2910-01Gi0/1ZR-JR-S2910-01Gi0/1Con_To_ZR-HX-S5310-01_Gi0/1ZR-HX-S5310-01Gi0/1Gi0/2-3——行政部用户——Gi0/4-5——销售部用户——Gi0/6-7——财务部用户——三、项目规划设计项目拓扑图ZR网络公司整网拓扑图如图所示。采用S5310作为核心交换机，S2910作为接入交换机。04项目部署实施四、项目部署实施任务一配置交换机基础信息在开始功能性配置之前，先完成设备的基本配置，包括主机名、端口描述、时钟等配置。1）配置主机名和端口描述任务实施四、项目部署实施任务一配置交换机基础信息ZR-HX-S5310-01：Ruijie>enableRuijie#configuretRuijie(config)#hostnameZR-HX-S5310-01

//配置主机名ZR-HX-S5310-01(config)#interfacegi0/1ZR-HX-S5310-01(config-if)#descriptionCon_To_ZR-JR-S2910-01_Gi0/1//配置接口描述四、项目部署实施任务一配置交换机基础信息ZR-JR-S2910-01：Ruijie>enableRuijie#configuretRuijie(config)#hostnameZR-JR-S2910-01

//配置主机名ZR-JR-S2910-01(config)#interfacegi0/1ZR-JR-S2910-01(config-if)#descriptionCon_To_ZR-HX-S5310-01_Gi0/1//配置接口描述四、项目部署实施任务一配置交换机基础信息在开始功能性配置之前，先完成设备的基本配置，包括主机名、端口描述、时钟等配置。任务实施2）时钟配置四、项目部署实施任务一配置交换机基础信息ZR-HX-S5310-01：ZR-HX-S5310-01#configureterminal

ZR-HX-S5310-01(config)#clocktimezonebeijing8

ZR-HX-S5310-01(config)#exit

ZR-HX-S5310-01#clockset13:40:005272022

ZR-HX-S5310-01#clockupdate-calendar//将时钟写入硬件四、项目部署实施任务一配置交换机基础信息ZR-JR-S2910-01：ZR-JR-S2910-01#configureterminal

ZR-JR-S2910-01(config)#clocktimezonebeijing8

ZR-JR-S2910-01(config)#exit

ZR-JR-S2910-01#clockset13:40:005272022

ZR-JR-S2910-01#clockupdate-calendar//将时钟写入硬件四、项目部署实施任务二配置VLAN本项目中VLAN的配置包括创建主VLAN、团体VLAN和隔离VLAN，指定各种VLAN的类型，并且将私有VLAN与主VLAN进行映射。任务实施四、项目部署实施任务二配置VLANZR-HX-S5310-01：ZR-HX-S5310-01(config)#vlan10//创建主VLANZR-HX-S5310-01(config-vlan)#namePrimary_VLAN

ZR-HX-S5310-01(config-vlan)#vlan100//创建设备管理VLANZR-HX-S5310-01(config-vlan)#nameManage

ZR-HX-S5310-01(config-vlan)#interfacevlan100//配置设备管理IPZR-HX-S5310-01(config-if)#ipaddress5424

四、项目部署实施任务二配置VLANZR-JR-S2910-01：ZR-JR-S2910-01(config-vlan)#vlan11//创建销售部团体VLANZR-JR-S2910-01(config-vlan)#nameXiaoshou_community_VLAN

ZR-JR-S2910-01(config-vlan)#private-vlancommunity

ZR-JR-S2910-01(config)#vlan12//创建财务部隔离VLANZR-JR-S2910-01(config-vlan)#nameCaiwu_isolated_VLAN

ZR-JR-S2910-01(config-vlan)#private-vlanisolated

ZR-JR-S2910-01(config-vlan)#vlan10//创建主VLAN四、项目部署实施任务二配置VLANZR-JR-S2910-01(config-vlan)#nameXingzheng_Primary_VLAN

ZR-JR-S2910-01(config-vlan)#private-vlanprimary//VLAN类型为主VLANZR-JR-S2910-01(config-vlan)#private-vlanassociation11,12//关联两个私有VLANZR-JR-S2910-01(config-vlan)#vlan100//创建设备管理VLANZR-JR-S2910-01(config-vlan)#nameManage

ZR-JR-S2910-01(config-vlan)#interfacevlan100//配置管理IPZR-JR-S2910-01(config-if)#ipaddress24ZR-JR-S2910-01(config-if)#exitZR-JR-S2910-01(config)#iproute54

//配置网关ZR-JR-S2910-01：四、项目部署实施任务三配置PVLAN将团体端口和隔离端口划分至不同属性的PVLAN中，并实现与主VLAN的关联。1）上联口通过主VLAN和子VLAN的映射关系，实现私有VLAN的报文送本接口发送出去时，修改VID为主VLANID。任务实施四、项目部署实施任务三配置PVLANZR-JR-S2910-01：ZR-JR-S2910-01(config)#interfacerangegi0/4-5//进入销售部端口ZR-JR-S2910-01(config-if-range)#switchportmodeprivate-vlanhost//端口模式为PVLAN主机模式ZR-JR-S2910-01(config-if-range)#switchportprivate-vlanhost-association1011//将接口加入团体VLANZR-JR-S2910-01(config-if-range)#exit

ZR-JR-S2910-01(config)#interfacerangegi0/6-7//进入财务部端口ZR-JR-S2910-01(config-if-range)#switchportmodeprivate-vlanhost//端口模式为PVLAN主机模式ZR-JR-S2910-01(config-if-range)#switchportprivate-vlanhost-association1012//将接口加入隔离VLANZR-JR-S2910-01(config-if-range)#exit

ZR-JR-S2910-01(config)#interfacerangegi0/1-3//进入行政部端口及上联接口ZR-JR-S2910-01(config-if)#switchportmodeprivate-vlanpromiscuous//配置为混杂模式ZR-JR-S2910-01(config-if)#switchportprivate-vlanmapping10add11-12//指定主VLAN和子vlan的映射关系ZR-JR-S2910-01(config-if)#exit

四、项目部署实施任务三配置PVLAN将团体端口和隔离端口划分至不同属性的PVLAN中，并实现与主VLAN的关联。任务实施2）将混杂端口修改为hybrid端口，用以透传管理VLAN的数据流。四、项目部署实施任务三配置PVLANZR-JR-S2910-01：ZR-JR-S2910-01(config)#interfacegi0/1//进入接入交换机上联接口ZR-JR-S2910-01(config-if)#switchportmodehybrid//配置为hybrid模式ZR-JR-S2910-01(config-if)#switchporthybridnativevlan10//将接口nativeVLAN配置为主VLANZR-JR-S2910-01(config-if)#switchporthybridallowedvlanuntagged11,12//私有VLAN从hybrid口转发时不带tag四、项目部署实施任务三配置PVLAN将团体端口和隔离端口划分至不同属性的PVLAN中，并实现与主VLAN的关联。任务实施3）将核心交换机的下联口需配置为普通的trunk接口，并配置用户业务网关。四、项目部署实施任务三配置PVLANZR-HX-S5310-01：ZR-HX-S5310-01(config)#interfacegi0/1//进入核心交换机下联接口ZR-HX-S5310-01(config-if)#switchportmodetrunk//配置为turnk模式ZR-HX-S5310-01(config-if)#switchporttrunknativevlan10//修改nativeVLANZR-HX-S5310-01(config-if)#exit

ZR-HX-S5310-01(config)#interfacevlan10//配置用户业务网关ZR-HX-S5310-01(config-if)#descriptionUser_GW

ZR-HX-S5310-01(config-if)#ipaddress5424

05项目验证五、项目验证任务一查看交换机中的PVLAN的信息在接入交换机上通过showvlan可查看所有创建的VLAN。1）查看PVLAN信息任务实施五、项目验证任务一查看交换机中的PVLAN的信息五、项目验证任务一查看交换机中的PVLAN的信息五、项目验证任务二测试用户基本连通性

6台PC分别接到接入交换机的G0/2-7上，6台PC的IP地址分别为-/24任务实施行政部销售部财务部外网行政部通通通通销售部通通不通通财务部通不通不通通THANKYOUPRIVATEVLAN谢谢观看PRIVATEVLANPRIVATEVLAN端口安全与全局地址安全PRIVATEVLANCONTENTS目录理论知识01命令讲解02任务总结0301理论知识一、理论知识端口安全技术端口安全功能适用于用户希望控制端口下接入用户的IP和MAC必须是管理员指定的合法用户才能使用网络，或者希望使用者能够在固定端口下上网而不能随意移动，变换IP/MAC或者端口号，或控制端口下的用户MAC数，防止MAC地址耗尽攻击的场景。一、理论知识端口安全技术端口安全功能通过定义报文的源MAC地址来限定报文是否可以进入交换机的端口，可以静态设置特定的MAC地址或者限定动态学习的MAC地址的个数来控制报文是否可以进入端口，使能端口安全功能的端口称为安全端口。一、理论知识端口安全技术只有源MAC地址为端口安全地址表中配置或者学习到的MAC地址的报文才可以进入交换机通信，其他报文将被丢弃。另外，还可以设定端口安全地址绑定IP+MAC，或者仅绑定IP，用来限制必须符合绑定的以端口安全地址为源MAC地址的报文才能进入交换机通信。一、理论知识端口安全技术1.应用场景客户网络需要针对某端口下只允许某些合法用户接入。需要通过端口安全绑定功能合法用户表项，控制非法用户接入。同全局地址绑定功能不同的是端口安全是基于端口进行地址绑定，控制合法用户接入网络的场景需求。一、理论知识2.绑定规则端口安全的绑定规则有以下几种：端口MAC最大个数端口+mac端口+mac+vlan端口+ip端口+ip+mac+vlan端口安全技术一、理论知识3.违例处理方式保护（Protect）：丢弃未允许的MAC地址流量，但不会创建日志消息。限制（Restrict）：丢弃未允许的MAC地址流量，创建日志消息并发送SNMPTrap消息。关闭（Shutdown）：默认选项，将端口置于err-disabled状态，创建日志消息并发送SNMPTrap消息，需要手动恢复或者使用errdisablerecovery特性重新开启该端口。端口安全的违例处理方式有以下几种：全局地址绑定技术一、理论知识全局地址绑定技术全局地址绑定技术是通过手动配置全局IP和MAC地址绑定，对输入的报文进行IP地址和MAC地址绑定关系的验证。如果将一个指定的IP地址和一个MAC地址绑定，则设备只接收源IP地址和MAC地址均匹配这个绑定地址的IP报文，否则该IP报文将被丢弃。一、理论知识全局地址绑定技术全局地址绑定技术共有两种绑定方式：01.Ipv4+MAC绑定02.Ipv6+MAC绑定一、理论知识全局地址绑定技术在默认情况下，当在全局模式下配置了MAC+IP绑定后，该安全地址不会生效。需要使用adress-bindinginstall命令使其生效。另外，由于全局地址绑定技术默认对设备上的所有端口都生效，通过配置例外口的方式可以使绑定功能在部分端口上不生效。通常是设备的上联端口为例外口。02命令讲解二、命令讲解操作步骤：01SW(config)#interfaceinterface-id//进入需要配置的端口02SW(config-if)#switchportmodeaccess//设置为access口03SW(config-if)#switchportport-security//在接口模式下，开启端口安全功能（默认关闭）04SW(config-if)#switchportport-securitymac-address[mac-address]//将该接口和该Mac地址进行静态绑定端口安全静态的功能指令讲解二、命令讲解操作步骤：01SW(config)#interfaceinterface-id//进入需要配置的端口02SW(config-if)#switchportmodeaccess//设置为交换模式03SW(config-if)#switchportport-security//在接口模式下，开启端口安全功能（默认关闭）04SW(config-if)#switchportport-securitymac-addresssticky//设置该接口动态记录合法的Mac地址端口安全动态的功能指令讲解05SW(config-if)#switchportport-securitymaximum<1-132>//设置该接口的合法Mac地址数量二、命令讲解操作步骤：01SW(config)#address-bind[ipv4-address][mac-address]//配置IPV4+MAC全局地址绑定02SW(config)#address-bindinstall//使得地址绑定功能生效全局地址安全的功能指令讲解03SW(config)#address-binduplink[interface-id]//配置全局地址绑定例外口03归纳总结三、归纳总结掌握端口安全的绑定规则掌握端口安全的违规处理方法熟悉全局地址安全的绑定方式THANKYOUPRIVATEVLAN谢谢观看PRIVATEVLANPRIVATEVLAN生成树原理与配置PRIVATEVLANCONTENTS目录理论知识01命令讲解02任务总结0301理论知识一、理论知识STP为了提高网络可靠性，交换机之间常常会进行设备冗余（备份），但这样会给交换网络带来环路风险，导致广播风暴以及MAC地址表不稳定等问题。STP（Spanning-TreeProtocol，生成树协议）生成树的作用就是动态的管理这些冗余链路；一、理论知识STP当某台交换机的一条连接丢失时，另一条链路能迅速取代失败链路，并且不会产生流量环路。STP通过拥塞冗余路径上的一些端口，确保到达任何目标地址只有一条逻辑路径。为了实现这一个功能，STP需要两个要素：STA算法和BPDU数据单元。一、理论知识STP1.STA算法STP使用STA（SpanningTreeAlgorithm，生成树算法）按照“树”的结构构造网络的拓扑结构。即STA通过决定交换机上的哪些端口被堵塞用来阻止环路的发生，以此生成整个网络中的逻辑路径。树的根是一个称为根桥的桥设备。因此STA算法运行的第一步，需要选择一台交换机作为根交换机，称作根桥（RootBridge），以该交换机作为参考点计算所有路径。一、理论知识STP2.BIDSTP中所有交换机都参与根交换机的选举，并且以BID（BriddgeID，桥ID）作为选举的依据，BID最小的交换机被选举为根交换机。BID是BPDU的一个部分，一共8个字节，如图2-1所示。其中优先级2个字节，MAC地址6个字节。一、理论知识STP2.BID在不使用ExtendedSystemID的情况下，BID由优先级域和交换机的MAC地址组成，针对每个VLAN，交换机的MAC地址都不一样，交换机的优先级可以是0-65535。在使用ExtendedSystemID的情况下每个VLAN的MAC地址可以相同。一、理论知识STP3.BPDU数据帧交换机之间通过转发BPDU数据帧进行根交换机选举与路径的计算。BPDU数据帧包括以下字段：01Version：三种版本的生成树协议（STP（802.1D）值为0、RSTP（802.1W）值为2、MSTP（802.1S）值为3）。02MessageType：常见的两种信息：配置BPDU（负责建立，维护STP拓扑）和TCNBPDU（传达拓扑变更）。一、理论知识STP3.BPDU数据帧交换机之间通过转发BPDU数据帧进行根交换机选举与路径的计算。BPDU数据帧包括以下字段：03Flags：标记域，包含TC（TopologyChange，拓扑改变）比特位，TCA（TopologyChangeAcknowledgment，拓扑改变确认）比特位。04RootID：包含了根交换机的BID。一、理论知识STP3.BPDU数据帧交换机之间通过转发BPDU数据帧进行根交换机选举与路径的计算。BPDU数据帧包括以下字段：05Costofpath：到根交换机的路径花费。06BridgeID：转发BPDU的交换机的BID。07PortID：转发BPDU的交换机的PID，PID等于端口优先级（默认128）加端口号MessageMessageAge：BPDU已经存在的时间。一、理论知识STP3.BPDU数据帧交换机之间通过转发BPDU数据帧进行根交换机选举与路径的计算。BPDU数据帧包括以下字段：08Maxage：BPDU最大存在时间。09Hellotime：根交换机发送配置信息的间隔时间，默认2秒。10ForwardDelay：转发延时，默认15秒。一、理论知识生成树的选举过程选举根交换机选举根端口选举指派端口阻塞端口交换机之间通过发送BPDU来选举根交换机，拥有最小BID的交换机将成为根交换机，每个广播域只能有一个根交换机。一、理论知识生成树的选举过程选举根交换机选举根端口选举指派端口阻塞端口每个非根交换机上有且仅有一个根端口，用来接受根网桥的BPDU，选举根端口依照下面的顺序：1.最低花费的端口将成为根端口；2.在花费相同的情况下比较发送者的BID，BID小的将成为根端口。一、理论知识生成树的选举过程选举根交换机选举根端口选举指派端口阻塞端口指派端口是用于发送BPDU用的，网络上除根端口外，所有允许转发流量的端口，根交换机上的端口都是指派端口。每个链路网段都有一个指派端口，包括阻塞的链路。每个网段都有一个指派交换机，指派交换机上如果有多个端口，再从多个端口中选举出一个成为指派端口，指派端口的选举依照下面的顺序：一、理论知识生成树的选举过程选举根交换机选举根端口选举指派端口阻塞端口1.比较花费2.花费相同则比较接收者的BID3.接收者的BID也相同则比较接收者的PID一、理论知识生成树的选举过程选举根交换机选举根端口选举指派端口阻塞端口既不是根端口也不是指派端口，叫做非指派端口。这种端口虽然是激活的但是会被堵塞（Blocking）用来阻止环路，根端口和指派端口都处于转发（Forwarding）状态，非指派端口处于侦听状态。一、理论知识RSTPRSTP（RapidSpanningTreeProtocol，快速生成树协议），采用IEEE802.1w标准，对于STP技术的改进主要在于缩短网络的收敛时间。RSTP的收敛时间最快可以达到1s以内。同时，RSTP具有向下兼容的特性，如果网络中部分交换机运行STP，那么运行RSTP的交换机会自动以STP方式运行，同时网络在收敛时间上也不具有RSTP的优点。一、理论知识RSTP和STP不一样，在RSTP中，端口状态只有三种：丢弃状态（Discarding）、学习状态（Learning）、转发状态（Forwarding）。由于在STP中，处于阻塞状态，监听状态和禁止状态的端口在数据转发上并没有什么区别，都是将数据丢弃，并且不学习MAC地址，因此在RSTP中将禁用状态、阻塞状态和监听状态都合并到Discarding状态。一、理论知识RSTP端口角色在STP中，端口角色有四种类型，根端口、指定端口、阻塞端口和禁用端口。在RSTP中，除了这些端口角色外，还增加了替代端口和备份端口。RSTP中各端口角色特点如下：01.根端口（RootPort）：和STP中一样，根端口处于非根交换机上，根端口是本地交换机距离根交换机最近地端口。非根交换机通过根端口接收BPDU。需要注意的是根交换机上没有根端口。一、理论知识RSTP端口角色在STP中，端口角色有四种类型，根端口、指定端口、阻塞端口和禁用端口。在RSTP中，除了这些端口角色外，还增加了替代端口和备份端口。RSTP中各端口角色特点如下：02.指定端口（DesignatedPort）：RSTP的指定端口也和STP中的一样，指定端口是网段用于转发数据的端口。一、理论知识RSTP端口角色在STP中，端口角色有四种类型，根端口、指定端口、阻塞端口和禁用端口。在RSTP中，除了这些端口角色外，还增加了替代端口和备份端口。RSTP中各端口角色特点如下：03.替代端口（AlternatePort）：替代端口是RSTP中新引入的端口角色，作为根端口的备份端口。替代端口可以接收BPDU报文但是不转发数据。AP在网络中保持阻塞状态，当根端口发生故障后，替代端口将成为根端口。一、理论知识RSTP端口角色在STP中，端口角色有四种类型，根端口、指定端口、阻塞端口和禁用端口。在RSTP中，除了这些端口角色外，还增加了替代端口和备份端口。RSTP中各端口角色特点如下：04.备份端口（BackupPort）：RSTP中的备份端口作为指定端口的备份端口，可以接收BPDU报文但是不转发数据。备份端口只出现在当交换机拥有两条或两条以上到达共享LAN网段的链路的情况下。当指定端口出现故障后，备份端口会成为指定端口。一、理论知识MSTPRSTP在STP基础上进行了改进，实现了网络拓扑快速收敛。但由于局域网内所有的VLAN共享一颗生成树，因此被阻塞后链路将不承载任何流量，无法再VLAN间实现数据流量的负载均衡，从而造成带宽浪费。只能实现冗余，所有数据只能走单边，无法实现数据分流，无法充分利用链路带宽。一、理论知识MSTP为了弥补STP和RSTP的缺陷，IEEE于2002年发布的802.1s标准定义了MSTP（MultipleSpanningTreeProtoco，多生成树协议），MSTP兼容STP和RSTP，既可以快速收敛，又提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN数据的负载均衡。一、理论知识MSTPMSTP具备RSTP的快速收敛机制，像RSTP一样快速收敛。MSTP基于实例（Instance）进行生成树计算，并能把VLAN映射到实例中，从而实现基于VLAN的数据分流。一个交换机最多可以支持65个实例（编号0-64），一个MSTP的实例相当于一个RSTP生成树。一个VLAN只能映射到一个实例中，一个或若干个VLAN可以映射到同一个实例中，实现基于VLAN的负载均衡。不过要注意的是，不同的实例通过实例号区分，缺省所有vlan和实例0映射，实例0强制存在。一、理论知识MSTP实例因为很多Vlan采用一个Vlan实例，可实现预期的负载均衡0101交换机只运行两个实例，减少交换机系统的资源0202实例Instance：一台交换机的一个或多个Vlan的集合一、理论知识MSTP区域具有相同的MST实例映射规则和配置的交换机属于一个MST区域中。如图所示，属于同一个MST区域的交换机的以下配置属性必须相同：01.MST区域名称（Name）：用32字节长的字符串来标志MSTregion的名称。02.MSTRevisionNumber（修正号）：用16bit长的修正值来标志。一、理论知识MSTP区域具有相同的MST实例映射规则和配置的交换机属于一个MST区域中。如图所示，属于同一个MST区域的交换机的以下配置属性必须相同：03.MST实例（Instance）：VLAN到MST实例的映射。在每台交换机里，最多可以创建64个编号，从1~64，Instance0是强制存在的。在交换机上可以通过配置将VLAN和不同的Instance进行映射，没有被映射到MST实例的VLAN默认属于Instance0。实际上，在配置映射关系前之前，交换机上所有的VLAN都属于Instance0。一、理论知识MSTP术语在MSTP网络中，会形成很多的生成树，包括MSTI生成树、IST、CIST、CST，如图2-2所示。01MSTI：正如之前介绍的，每个Instance中的生成树叫做MSTI（MultipleSpanning-TreeInstance）生成树。02IST：内部生成树IST（InternalSpanningTree）是MST区域内的一个生成树。IST实例使用编号0。IST使整个MST区域从外部上看就像一个虚拟的网桥。一、理论知识MSTP术语在MSTP网络中，会形成很多的生成树，包括MSTI生成树、IST、CIST、CST，如图2-2所示。03CST：公共生成树CST（CommonSpanningTree），是连接交换网络内部的所有MST区域的一个生成树。每个MST区域对于CST来说相当于一个虚拟的网桥。如果将MST区域视为一个网桥，那么CST就是这些“网桥”通过STP或RSTP计算出来的一个生成树。04CIST：公共与内部生成树CIST（CommonandInternalSpanningTree），它相当于每个MST区域中的IST、CST以及802.1d网桥的集合。STP和RSTP会为CIST选举出CIST的根。02命令讲解二、命令讲解操作命令：MSTP的功能指令讲解SW(config)#spanning-tree//启用生成树SW(config)#spanning-treemodemstp//启用多生成树协议mstpSW(config)#spanning-treemstconfiguration//进入mstp实例配置SW(config-mst)#revision[version-id]//配置版本号SW(config-mst)#name[name]//配置实例名称SW(config-mst)#instanceinstance-idvlanvlan-range//在交换机上配置VLAN与生成树实例的映射关系SW(config-mst)#exitSW(config)#spanning-treemstinstance-idprioritypriority//对实例制定根交换机03归纳总结三、归纳总结掌握MSTP实例熟悉MSTP区域熟悉MSTP术语THANKYOUPRIVATEVLAN谢谢观看PRIVATEVLANPRIVATEVLAN企业网二层冗余网络设计部署PRIVATEVLANCONTENTS目录项目准备01项目任务02项目规划设计03CONTENTS目录项目部署实施04项目验证05归纳总结0601项目准备一、项目准备项目背景R网络公司设有行政部（5人）、人事部（5人）、信息部（10人）与技术部（10人）。随着公司规模不断壮大，员工数量也随之增长，因此终端连接数量也在不断增加，对公司整体网络结构带来了压力。一、项目准备项目背景公司信息中心决定对二层网络结构进行调整，以减轻接入客户端数量增加带来的压力。经过内部的讨论，公司决定对核心交换机搭建冗余链路，开始信息部决定采用STP技术解决冗余链路可能造成的环路问题，可是经过测试，发现2个问题，首先人为创造故障后发现STP恢复时间较长，可能对公司业务产生较大影响，其次配置STP后所有数据只能通过一个设备进行传输，导致设备压力较大，对设备的利用率较低，所以经过讨论最终采用MSTP协议，来解决冗余环路以及负载均衡的问题。除此之外，为了减少每台接入交换机的处理压力，通过部署端口安全与全局地址安全对接入的PC数量进行限制，并且将IP与员工进行绑定，间接实现实名制，从而提高接入层的安全性。02项目任务二、项目任务项目需求分析配置交换机基本信息01配置VLAN以及接口02配置用户网关03配置MSTP04二、项目任务项目需求分析配置端口聚合05配置端口安全06配置全局地址安全07项目联调与测试0803项目规划设计三、项目规划设计设备清单序号类型设备厂商型号数量备注1硬件二层接入交换机锐捷RG-S2952G-E2

2硬件三层交换机锐捷RG-S5750-24GT4XS-L3

3硬件PC————4客户端4软件SecureCRT——6.51登录管理交换机三、项目规划设计设备主机名规划设备型号设备主机名RG-S2928G-EZR-JR-S2928-01RG-S2928G-EZR-JR-S2928-02RG-S5750-24GT4XS-LZR-HX-S5750-01RG-S5750-24GT4XS-LZR-HX-S5750-02RG-S5750-24GT4XS-LZR-WG-S5750-01三、项目规划设计VLAN及IP地址规划01VLAN规划02业务地址规划03设备互联地址规划三、项目规划设计VLAN规划序号功能区VLANIDVLANName1行政部10XZB2人事部20RSB3信息部30XXB4技术部40JSB三、项目规划设计业务地址规划本项目中IP地址规划包括四个部门用户业务均分别采用一个C类地址段进行业务地址规划。序号功能区IP地址掩码1行政部2人事部3信息部4技术部三、项目规划设计设备互联接口规划该项目中网络设备之间的端口互联规划规范为：Con_To_对端设备名称_对端接口名。本项目中只针对网络设备互联接口进行描述。本端设备接口接口描述对端设备接口ZR-JR-S2928-01Gi0/1-5Con_To_XZB_PC1XZB_PC1——ZR-JR-S2928-01Gi0/6-10Con_To_RSB_PC1RSB_PC1——ZR-JR-S2928-01Gi0/23Con_To_ZR-HX-S5750-01ZR-HX-S5750-01Gi0/1ZR-JR-S2928-01Gi0/24Con_To_ZR-HX-S5750-02ZR-HX-S5750-02Gi0/2ZR-JR-S2928-02Gi0/1-10Con_To_XXB_PC1XXB_PC1——ZR-JR-S2928-02Gi0/11-20Con_To_JSB_PC1JSB_PC1——ZR-JR-S2928-02Gi0/23Con_To_ZR-HX-S5750-02ZR-HX-S5750-02Gi0/1ZR-JR-S2928-02Gi0/24Con_To_ZR-HX-S5750-01ZR-HX-S5750-01Gi0/2ZR-HX-S5750-01Gi0/23Con_To_ZR-HX-S5750-02ZR-HX-S5750-02Gi0/23三、项目规划设计设备互联接口规划该项目中网络设备之间的端口互联规划规范为：Con_To_对端设备名称_对端接口名。本项目中只针对网络设备互联接口进行描述。本端设备接口接口描述对端设备接口ZR-HX-S5750-01Gi0/24Con_To_ZR-HX-S5750-02ZR-HX-S5750-02Gi0/24ZR-HX-S5750-01Gi0/22Con_To_ZR-WG-S5750-01ZR-WG-S5750-01Gi0/1ZR-HX-S5750-01Gi0/1Con_To_

ZR-JR-S2928-01ZR-JR-S2928-01Gi0/23ZR-HX-S5750-01Gi0/2Con_To_

ZR-JR-S2928-02ZR-JR-S2928-02Gi0/24ZR-HX-S5750-02Gi0/23Con_To_ZR-HX-S5750-01ZR-HX-S5750-01Gi0/23ZR-HX-S5750-02Gi0/24Con_To_ZR-HX-S5750-01ZR-HX-S5750-01Gi0/24ZR-HX-S5750-02Gi0/22Con_To_ZR-WG-S5750-01ZR-WG-S5750-01Gi0/2ZR-HX-S5750-02Gi0/1Con_To_

ZR-JR-S2928-02ZR-JR-S2928-02Gi0/23ZR-HX-S5750-02Gi0/2Con_To_

ZR-JR-S2928-01ZR-JR-S2928-01Gi0/24三、项目规划设计项目拓扑图04项目部署实施四、项目部署实施任务一配置交换机基础信息1)依照项目前期准备中的设备主机名规划以及端口互联规划的内容，对项目中的网络设备进行主机名以及端口描述的配置。在配置完成后，使用showrun命令查看上述端口描述配置是否符合项目的规划。以核心交换机SW1为例，主机名和端口描述相关配置命令如下：任务实施四、项目部署实施任务一配置交换机基础信息Ruijie(config)#hostnameZR-HX-S5750-01//配置主机名ZR-HX-S5750-01(config)#interfacegi0/7ZR-HX-S5750-01(config-if)#descriptionCon_To_ZR-HX-S5750-02_Gi0/7//配置接口描述ZR-HX-S5750-01(config)#interfacegi0/8

ZR-HX-S5750-01(config-if)#descriptionCon_To_ZR-HX-S5750-02_Gi0/8//配置接口描述四、项目部署实施任务一配置交换机基础信息2）时钟配置本项目中设备通过配置本地时钟确保时间的准确性，本地时钟的配置包括时区的设置、日期时间的设置并且将时钟写入硬件。在配置完成之后，使用showclock查看时钟配置是否正确。以核心交换机SW1为例，时钟相关配置命令如下：任务实施四、项目部署实施任务一配置交换机基础信息ZR-HX-S5750-01#configureterminal

ZR-HX-S5750-01(config)#clocktimezonebeijing8

ZR-HX-S5750-01(config)#exit

ZR-HX-S5750-01#clockset16:23:00612022

ZR-HX-S5750-01#clockupdate-calendar//将时钟写入硬件四、项目部署实施任务二配置VLAN本项目中按部门进行VLAN划分，VLAN配置主要包括VLAN创建和VLAN命名。根据拓扑连接情况，接入交换机SW3需要创建行政部与人事部的VLAN信息，接入交换机SW4需要创建信息部与技术部的VLAN信息，核心交换机SW1和SW2需要创建所有部门的VLAN信息。以接入交换机SW3为例，创建VLAN的过程如下：任务实施四、项目部署实施任务二配置VLANZR-JR-S2928-01(config)#vlan10//创建行政部VLANZR-JR-S2928-01(config-vlan)#nameXZB//VLAN命名ZR-JR-S2928-01(config-vlan)#vlan20//创建人事部VLANZR-JR-S2928-01(config-vlan)#nameRSB//VLAN命名四、项目部署实施任务三配置交换机接口根据拓扑信息以及项目要求，接入交换机SW3和SW4与终端直接相连，因此与终端相连的接口配置为access模式。同时，各交换机间的互联接口均配置为Trunk模式。以接入交换机SW3为例，配置如下：任务实施四、项目部署实施任务三配置交换机接口ZR-JR-S2928-01(config)#interfacerangegi0/1-2//进入接口范围ZR-JR-S2928-01(config-if-range)#switchportmodeaccess//设置接口模式为accessZR-JR-S2928-01(config-if-range)#switchportaccessvlan10//将接口划分至VLAN10ZR-JR-S2928-01(config-if-range))#interfacerangegi0/3-4//进入接口范围ZR-JR-S2928-01(config-if-range)#switchportmodeaccess//设置接口模式为accessZR-JR-S2928-01(config-if-range)#switchportaccessvlan20//将接口划分至VLAN20ZR-JR-S2928-01(config-if-range))#interfacerangegi0/5-6//进入接口范围ZR-JR-S2928-01(config-if-range)#switchportmodetrunk//设置接口模式为access四、项目部署实施任务四配置用户网关本项目中，核心交换机SW5作为各部门所在网络的网关，实现各部门之间的互联互通。根据VLAN规划与网段规划，需要在两台核心交换机上设置行政部用户网关（54/24）、人事部用户网关（54/24）、信息部用户网关（54）以以及技术部用户网关（54）。相关配置命令如下：任务实施四、项目部署实施任务四配置用户网关ZR-WG-S5750-01(config)#intvlan10//进入SVI接口ZR-WG-S5750-01(config-if)#ipaddress54//配置VLAN10区域网关地址ZR-WG-S5750-01(config-if)#intvlan20//进入SVI接口ZR-WG-S5750-01(config-if)#ipaddress54//配置VLAN20区域网关地址ZR-WG-S5750-01(config-if)#intvlan30//进入SVI接口ZR-WG-S5750-01(config-if)#ipaddress54//配置VLAN30区域网关地址ZR-WG-S5750-01(config-if)#intvlan40//进入SVI接口ZR-WG-S5750-01(config-if)#ipaddress54//配置VLAN40区域网关地址THANKYOUPRIVATEVLAN谢谢观看PRIVATEVLANPRIVATEVLAN企业网二层冗余网络设计部署PRIVATEVLAN四、项目部署实施任务五配置MSTP通过在交换机上进行MSTP配置，对用户数据的转发提供冗余性和可靠性保障的同时，实现数据转发的负载均衡。对于行政部（VLAN10）与人事部（VLAN20）的数据，由核心交换机SW1为根交换机进行转发，当SW1失效时由SW2进行转发。对于信息部（VLAN30）和技术部（VLAN40）的数据，由核心交换机SW2进行转发，当SW2失效时由SW1进行转发。任务实施四、项目部署实施任务五配置MSTP本项目中，需要在SW1、SW2、SW3、SW4和SW5上配置MSTP。根据项目需求，需要配置的参数如下：region-name为ruijie；revision版本为1；创建实例1，实例1包含VLAN10，VLAN20；创建实例2，实例2包含VLAN30，VLAN40；SW1作为实例1的主根、实例2的备份根，SW2作为实例2的主根、实例1的备份根；主根优先级为0，备份根优先级为4096；四、项目部署实施任务五配置MSTP核心交换机SW1的MSTP配置如下:ZR-HX-S5750-01(config)#spanning-tree//启用生成树ZR-HX-S5750-01(config)#spanning-treemodemstp//启用多生成树协议mstpZR-HX-S5750-01(config)#spanning-treemstconfiguration//进入mstp实例配置ZR-HX-S5750-01(config-mst)#revision1//配置为版本1ZR-HX-S5750-01(config-mst)#nameruijie//配置名称ZR-HX-S5750-01(config-mst)#instance1vlan10,20//实例1划分ZR-HX-S5750-01(config-mst)#instance2vlan30,40//实例2划分ZR-HX-S5750-01(config-mst)#exit

ZR-HX-S5750-01(config)#spanning-treemst0priority0//配置实例优先级，SW1为实例0的根，实例0默认存在，未分配的vlan默认都在实例0ZR-HX-S5750-01(config)#spanning-treemst1priority0//配置实例优先级，SW1为实例1的根ZR-HX-S5750-01(config)#spanning-treemst2priority4096//配置实例优先级，SW1为实例2的备份根四、项目部署实施任务五配置MSTP核心交换机SW2的MSTP配置如下:ZR-HX-S5750-02(config)#spanning-tree//启用生成树ZR-HX-S5750-02(config)#spanning-treemodemstp//启用多生成树协议mstpZR-HX-S5750-02(config)#spanning-treemstconfiguration//进入mstp实例配置ZR-HX-S5750-02(config-mst)#revision1//配置为版本1ZR-HX-S5750-02(config-mst)#nameruijie//配置名称ZR-HX-S5750-02(config-mst)#instance1vlan10,20//实例1划分ZR-HX-S5750-02(config-mst)#instance2vlan30,40//实例2划分ZR-HX-S5750-02(config-mst)#exit

ZR-HX-S5750-02(config)#spanning-treemst0priority4096//配置实例优先级，SW2为实例0的备份根

ZR-HX-S5750-02(config)#spanning-treemst1priority4096//配置实例优先级，SW1为实例1的备份根ZR-HX-S5750-02(config)#spanning-treemst2priority0//配置实例优先级，SW1为实例2的主根四、项目部署实施任务五配置MSTP接入交换机SW3与SW4只需要配置实例信息即可，不需要进行根的配置。以接入交换机SW3为例，SW3的MSTP配置如下：ZR-JR-S2928-01(config)#spanning-tree//启用生成树ZR-JR-S2928-01(config)#spanning-treemodemstp//启用多生成树协议mstpZR-JR-S2928-01(config)#spanning-treemstconfiguration//进入mstp实例配置ZR-JR-S2928-01(config-mst)#revision1//配置为版本1ZR-JR-S2928-01(config-mst)#nameruijie//配置名称ZR-JR-S2928-01(config-mst)#instance1vlan10,20//实例1划分ZR-JR-S2928-01(config-mst)#instance2vlan30,40//实例2划分ZR-JR-S2928-01(config-mst)#exit

四、项目部署实施任务六配置端口聚合本项目中，核心交换机SW1与核心交换机SW2需要构建聚合链路，最终使得两台设备之间的链路具有冗余性。以核心交换机SW1为例，相关配置命令如下：任务实施四、项目部署实施任务六配置端口聚合ZR-HX-S5750-01(config)#interfacerangegi0/7-8

ZR-HX-S5750-01(config-int-range)#port-group1//将端口加入聚合组1ZR-HX-S5750-01(config-int-range)#exit

ZR-HX-S5750-01(config)#interfaceAggregateport1//进入聚合端口ZR-HX-S5750-01(config-if-Aggregateport1)#switchport

modetrunk//配置trunk模式ZR-HX-S5750-01(config-if-Aggregateport1)#exit

四、项目部署实施任务七配置端口安全本项目中，为了避免用户通过硬件扩展接入端口导致接入交换机负载过高的情况出现，需要进行端口安全的配置。通过限制接入交换机连接用户的每个接口的最大连接数为1，对超过连接数的接口违规处理操作为关闭交换机端口，实现对接入交换机的保护。以接入交换机SW3为例，相关配置命令如下：任务实施四、项目部署实施任务七配置端口安全ZR-JR-S2928-01(config)#interfacerangegi0/4

ZR-JR-S2928-01(config-int-range)#switchportport-security//开启端口安全ZR-JR-S2928-01(config-int-range)#switchportport-securitymaximum1//设置端口的最大连接数为1ZR-JR-S2928-01(config-int-range)#switchportport-securityviolationprotect//违规处理操作为保护四、项目部署实施任务八配置全局地址安全本项目中，为了避免非法用户接入到网络中，可以使用全局地址绑定技术进行防护。通过在接入交换机上绑定每个员工的MAC地址+IP地址，使得员工可以在任意接口，只要MAC地址+IP地址合法，既可以正常访问网络。而未进行全局绑定的用户则无法访问，相关配置命令如下：任务实施四、项目部署实施任务八配置全局地址安全ZR-JR-S2928-01(config)#address-bind00E0.4CA4.CE3F//绑定人事部用户ZR-JR-S2928-01(config)#address-bind00E0.4CA4.CE3E//绑定行政部部用户ZR-JR-S2928-01(config)#address-binduplinkgi0/23//绑定的例外端口（上联端口）ZR-JR-S2928-01(config)#address-binduplinkgi0/24//绑定的例外端口（上联端口）ZR-JR-S2928-01(config)#address-bindinstall//生效05项目验证五、项目验证任务一测试网络连通性确认各部门PC之间的网络连通性。以行政部为例，如图2-5所示，行政部的用户PC1（IP地址为）使用ping测试到达PC3（IP地址为）连通性可以看出连通性正常。任务描述五、项目验证任务一测试网络连通性五、项目验证任务二测试端口聚合功能本项目中核心交换机SW1与SW2之间配置了端口聚合功能，该功能将在SW1与SW2之间构建一条冗余链路。即一旦SW1与SW2之间有一条物理链路失效，整体网络的通信将不会受到影响。将核心交换机SW1的Gi0/24端口关闭，接着测试各部门之间的连通性。任务描述五、项目验证任务二测试端口聚合功能五、项目验证任务三测试MSTP功能本项目中通过部署MSTP功能实现了链路的冗余与负载，通过查看生成树信息以及测试链路。1.查看各交换机的mac地址首先，需要使用showsysmac查看交换机SW1-SW4的mac地址，如图2-7所示，便于MSTP部署后的根交换机的确认。任务描述五、项目验证任务三测试MSTP功能任务描述五、项目验证任务三测试MSTP功能2.在正常状态下，在SW3上通过showspanning-treesunmmary命令查看生成树信息。五、项目验证任务三测试MSTP功能任务描述五、项目验证任务三测试MSTP功能3.在正常状态下，在SW4上通过showspanning-treesunmmary命令查看生成树信息。五、项目验证任务三测试MSTP功能任务描述五、项目验证任务三测试MSTP功能4.将SW1上的所有端口关闭，在SW3使用showspanning-tree