路由交换设备项目化管理与配置 课件全套 李坤颖 项目1-18 微小型局域网搭建 - 基于Python网络自动化运维

项目1微小型局域网搭建目录CONTENTS知识链接eNSP简介项目设计网络拓扑图、IP地址、DNS设计项目描述为微小企业搭建网络项目实施与验证网络服务、网络连通性检测0103020401PART020304知识链接1.1eNSP简介0102

eNSP（EnterpriseNetworkSimulationPlatform）：是一款由华为官方提供的免费的、可扩展的、图形化操作的网络仿真工具平台，主要对企业网络路由器、交换机进行软件仿真，模拟真实设备实景，支持大型网络模拟，让广大用户在没有真实设备的情况下能够学习网络技术。

eNSP融合了MCS、Client、Server、无线终端，可以完美支持组播测试、HTTP测试、应用服务测试、无线测试等环境的搭建。

eNSP模拟HCIA、HCIP、HCIE华为认证相关实验。

eNSP提供便捷的图形化操作界面，让复杂的组网，操作起来变得更简单，可以直观感受设备形态，并且支持一键获取帮助和在华为网站查询设备资料。知识链接1.2eNSP常用功能01021.2.1eNSP安装

eNSP安装非常简单，eNSP安装文件下载完成后，双击eNSPV100R003C00SPC100Setup.exe应用程序，运行安装文件。1.2.2eNSP界面知识链接①主菜单栏分别为文件、编辑、视图、工具、帮助等，每项下对应相应的子菜单。②工具栏提供常用的工具，如新建拓扑、调色板及论坛、官网等超级链接等工具。③中心空白区域为工作区域，用于新建和显示拓扑图。④左侧为网络设备区，提供设备和网线。⑤在工作区域的右侧为设备接口区，显示拓扑中的设备和设备已连接的接口。1.2eNSP常用功能01021.2.3eNSP注册网络设备WinPcap、Wireshark、VirtualBox

网络设备的注册：菜单栏→工具→注册，在弹出的注册设备对话框右侧，多选AR_Base、AC_Base、AP_Base等，单击注册按钮。知识链接1.2eNSP常用功能01021.2.4eNSP搭建简单拓扑搭建一个包括1台S5700交换机和2台PC机的拓扑环境，并在此拓扑基础上进行简单的搭建操作。知识链接1.3网络设备组成0102(1)交换机交换机（Switch）是实现终端设备（PC、服务器等）的网络接入和二层交换（Layer2Switching）等功能。(2)路由器路由器（Router）是网络层设备，可以实现路由表和路由信息维护、路由发现及路径选择、数据转发、隔离广播域、广域网接入和网络地址转换及特定的安全功能。(3)无线设备无线设备（WirelessDevice）是工作在无线局域网（WirelessLocalAreaNetwork）种的设备，常见的有胖AP、瘦AP和无线控制器AC等设备。知识链接1.3网络设备组成0102(4)防火墙防火墙（Firewall）位于两个信任程度不同的网络之间的设备，如企业内部网络和Internet之间，对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。(5)终端设备终端设备（EndDevices）：数据通信系统的端设备，作为数据的发送者或接收者，提供用户接入协议操作所需必要功能。(6)设备连线设备连线（Connections）是连接网络设备的物理传输介质。eNSP提供了自适应线缆、Console线缆、串口线等7种连接线缆。知识链接02PART010304项目描述2.1项目简介0102

深圳市兴隆贸易有限公司是一家专门从事外贸业务的小企业，公司包括管理和业务人员在内共有6个员工，工作中需要使用局域网处理外贸单据业务公司相关信息通过自己的Web网站发布，公司所有员工都可以通过域名访问该网站。使用一台交换机，一台DNS服务器，一台HTTP服务器、一台HTTP客户端、若干计算机终端搭建兴隆贸易公司的微小局域网。项目描述03PART010204项目设计单击输入你的正文3.1总体设计及设计参数项目设计第一部分实验环境搭建，配置终端计算机的IP地址第二部分使用一台HTTP服务器、一台DNS服务器和HTTPClient客户端搭建HTTP服务第三部分配置DNS服务：员工可以通过域名访问公司网站第四部分项目实施结果验证：员工PC之间能够通信，且能通过域名访问公司网站设备名IP地址设备名IP地址员工1/24员工6/24员工2/24HTTPServer54/24员工3/24HTTPClient52/24员工4/24DNSServer53/24员工5/24公司的域名表1-1网络设备详细设计参数04PART010203项目实施与验证单击输入你的正文4.1配置计算机0102根据表1-1中IP地址规划，设置IP地址、子网掩码和DNS服务器IP地址。左图为配置界面，右图为配置是否生效。项目实施与验证4.2配置HTTP服务0102HTTP服务设备组成：一台DNSServer，一台HTTPServer、一台HTTPClient4.2.1HTTPServer配置项目实施与验证4.2配置HTTP服务01024.2.2HTTPClient配置

项目实施与验证4.3配置DNS服务0102HTTP服务器的域名：项目实施与验证4.4验证0102选择HTTPClient，在地址栏输入HTTP服务器的域名：，点击获取，返回200OK即表示能通过域名访问HTTP。任选择员工电脑，输入ping命令，能ping通，表示网络联通项目实施与验证感谢观看认真完成课后作业YOURLOGO项目2中小型局域网搭建目录CONTENTS知识链接交换机概述项目设计网络拓扑图、IP地址、设备初始配置项目描述为小企业搭建网络项目实施与验证设备配置、网络连通性检测0103020401PART020304知识链接1.1交换机概述0102

交换机是计算机网络边缘重要设备之一，传统交换机是具有流量控制能力的多接口网桥，即二层交换机，它一般工作在数据链路层，基于MAC地址识别完成数据帧的转发，是目前网络中使用最多的设备。

eNSP融合了MCS、Client、Server、无线终端，可以完美支持组播测试、HTTP测试、应用服务测试、无线测试等环境的搭建。

交换机也可以工作在OSI网络模型的第三层及第四层以上，对应的交换机分别称为三层交换机和多层交换机。三层交换机引入路由技术，基于IP地址进行网络层路由选择。

行业内按照交换机在局域网所处的位置又被划分为接入层交换机、汇聚层交换机和核心层交换机。知识链接1.2交换机的主要参数0102知识链接交换机型号S3700-26C-HI接口22个10/100Base-TX2个1000Base-TCombo口或100/1000Base-X1个Console接口1个管理接口1个USB口应用层级三层交换机交换容量64Gpbs转发性能9.3MppsMAC地址32KVLAN数目4094VLANIF数目1024IP路由静态路由、支持三层动态路由产品简介基于新一代高性能硬件和华为VRP（VersatileRoutingPlatform）软件平台，针对企业用户园区汇聚、接入等多种应用场景，提供简单便利的安装维护手段、灵活的VLAN部署和POE供电能力、丰富的路由功能和IPv6平滑升级能力，并通过融合堆叠、虚拟路由器冗余、快速环网保护等先进技术有效增强网络健壮性，能够助力企业搭建面向未来的IT网络。1.2交换机的主要参数0102背板带宽是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。交换机所有的接口间的通信都要通过背板完成，所以背板带宽标志了交换机总的数据交换能力。交换机背板带宽计算公式：

背板带宽=接口数量x接口速率x2

交换机的接口速率是指每秒通过的比特数。交换机的接口由于采用不同的技术标准，接口的速率不同，接口传输介质和传输距离也不一样。当前交换机提供的接口速率有100Mbps/1000Mbps/10Gbps/25Gbps等。交换机的接口数量是衡量交换机最直观的因素，通常此参数是针对固定接口交换机而言，常见的标准的固定接口交换机接口数有8、12、16、24、48等几种。交换机接口有两种模式，即单工（半双工）模式和全双工模式。交换机的单工接口在某一时刻只能单向传输数据，而交换机全双工接口可以同时发送和接收数据转发速率通过标定交换机每秒能够处理的数据量来定义交换机的处理能力，因此，在选择交换机时，转发速率是要考虑的重要因素。知识链接1.3交换机的配置方式0102交换机有四种配置方式：配置口（Console）方式Telnet方式Web或网关方式TFTP服务器方式知识链接1.4VRP系统之命令行——视图0102华为交换机按功能分类将命令分别注册在不同的命令行视图下配置某一功能时，需首先进入对应的命令行视图，然后执行相应的命令知识链接<Huawei>system-view//进入系统视图的命令[Huawei]sysnameS3700//更改交换机改名[Huawei]undoinfo-centerenable//关闭信息提示功能[Huawei]quit//返回用户视图1.4VRP系统之命令行0102配置接口参数的视图称为接口视图配置接口相关的物理属性、链路层特性及IP地址等重要参数知识链接[Huawei]interfaceGigabitEthernet0/0/1//进接口视图[Huawei-GigabitEthernet0/0/1]portlink-typeaccess//更改接口属性为access[Huawei-GigabitEthernet0/0/1]quit//退出接口视图模式命令行规则（1）TAB键命令补齐（2）命令简写（3）？的使用（4）undo的使用1.5交换机初始配置命令01021.系统视图下设置交换机名称2.系统视图下设置Console口3.接口视图下设置认证模式，配置认证模式为密码加密模式4.配置用户权限级别知识链接hostnamenameuser-interfaceconsole0user-interfaceconsole0authentication-mode{aaa|none|password}setauthenticationpassword{cipher|simple}passworduserprivilegelevellevel-number1.5交换机初始配置命令01025.AAA认证模式下创建用户和密码6.AAA认证模式下配置用户权限级别知识链接aaalocal-useruser-namepassword{cipher|simple}passwordlocal-useruser-nameprivilegelevellevel-numberAAA认证AAA指的是Authentication、Authorization、Accounting，认证、授权和计费。它是网络安全的一种管理机制。认证是确认用户的身份。授权是对不同用户赋予不同的权限。计费是记录用户使用网络过程中的所有操作，对资源的使用情况，可以满足计费需求，也有监视作用。02PART010304项目描述2.1项目简介0102

A公司刚购买了一批华为S3700系列交换机，为了方便对这批交换机进行上机架配置管理，需要对它们进行初始配置。交换机不带鼠标、键盘、显示器等标准输入输出设备，只有通过终端设备或普通计算机充当其输入输出设备，实现命令的输入和显示命令执行结果。

下图是初始配置交换机的结构图，进行初始配置的交换机是LSW1项目描述03PART010204项目设计单击输入你的正文3.1总体设计项目设计

交换机初始配置主要分为两部分：

第一部分是采用Console配置方式配置交换机LSW1，配置内容为交换机名称、Console登录密码、交换机远程管理IP地址配置；

第二部分是采用Telnet方式通过网络远程管理配置交换机LSW1，配置内容为Telnet远程登录验证方式和登录密码配置。本地环回网卡IP地址192.168.10.1/24LSW1IP地址192.168.10.2/24设备名称sziit_S01Console密码Password方式Huawei_123AAA认证方式user01，Huawei_456Telnet密码Password方式HuaW_123AAA认证方式user02，HuaW_4563.2配置思路项目设计04PART010203项目实施与验证单击输入你的正文4.1Console方式配置交换机初始配置0102搭建拓扑图单击PC1，在打开的窗口下选择串口并按照图2-5所示配置波特率等参数，选择连接。项目实施与验证4.1Console方式配置交换机初始配置0102项目实施与验证给交换机命名：<Huawei>system-view[Huawei]sysnamesziit-S01[sziit-S01]配置Console口密码：[sziit-S01]user-interfaceconsole0[sziit-S01-ui-console0]authentication-modepassword[sziit-S01-ui-console0]setauthenticationpasswordcipherHuawei_123[sziit-S01-ui-console0]return<sziit-S01>save4.1Console方式配置交换机初始配置0102项目实施与验证AAA认证模式配置用户名、密码及管理权限并验证：[sziit-S01]user-interfaceconsole0[sziit-S01-ui-console0]authentication-modeaaa//console口配置AAA认证模式[sziit-S01-ui-console0]quit[sziit-S01]aaa[sziit-S01-aaa]local-useruser01passwordcipherHuawei_456//新增用户名、密码Info:Addanewuser.[sziit-S01-aaa]local-useruser01privilegelevel15//设置新增用户user01级别15[sziit-S01-aaa]quit<sziit-S01>save4.1Console方式配置交换机初始配置0102项目实施与验证配置管理IP地址：[sziit-S01]intVlanif1[sziit-S01-Vlanif1]ipaddress24使能Telnet功能：[sziit-S01]telnetserverenable//使能telnet功能Info:TheTelnetserverhasbeenenabled.[sziit-S01]user-interfacevty04[sziit-S01-ui-vty0-4]authentication-modenone//设置无密码telnet远程登录4.2配置Telnet远程管理交换机0102搭建实验环境（1）配置本地网卡（可以添加环回网卡，也可以使用VMNet1）项目实施与验证4.2配置Telnet远程管理交换机0102搭建实验环境（2）配置桥接cloud项目实施与验证4.2配置Telnet远程管理交换机0102搭建实验环境（2）配置桥接cloud项目实施与验证配置Telnet仅密码登录并验证：[sziit-S01]user-interfacevty04[sziit-S01-ui-vty0-4]authentication-modepassword//设置仅密码Telnet远程登录[sziit-S01-ui-vty0-4]setauthenticationpasswordcipherHuaW_123//设置接口验证密码[sziit-S01-ui-vty0-4]userprivilegelevel15//设置用户优先级[sziit-S01-ui-vty0-4]return<sziit-S01>save4.3配置AAA认证模式0102搭建实验环境（2）配置桥接cloud项目实施与验证配置AAA认证模式，配置用户名、密码及管理权限并验证：[sziit-S01]user-interfacevty04[sziit-S01-ui-vty0-4]authentication-modeaaa//Telnet配置AAA认证模式[sziit-S01-ui-vty0-4]quit[sziit-S01]aaa[sziit-S01-aaa]local-useruser02passwordcipherHuaW_456//新增用户名、密码Info:Addanewuser.[sziit-S01-aaa]local-useruser02privilegelevel15//设置新增用户user02级别15[sziit-S01-aaa]quit4.4验证0102在主机cmd窗口输入telnet，系统提示输入用户名和密码输入aaa用户名、密码，成功登录到交换机上项目实施与验证感谢观看单击输入你的正文，文字是您的思想提炼，为了最终演示发布的良好效果，请尽量言简意赅的阐述观点YOURLOGO项目3安全小型局域网组建目录CONTENTS知识链接交换基础知识项目设计拓扑图、项目方案设计及配置参数项目描述组建安全小型局域网项目实施与验证接口安全功能验证0103020401PART020304知识链接1.1MAC地址基础知识01021.1.1MAC（MediaAccessControl）地址MAC地址也叫物理地址、硬件地址，由网络设备制造商生产时烧写在硬件内部，网络中每台设备都有一个唯一的MAC地址，用于定义设备在网络中的位置。MAC地址的长度为6Byte即48bit，通常表示为12个16进制数，每2个或4个16进制数之间用冒号或连接号隔开。第二第二层交换过程通过使用MAC地址在低层实现通信，即是说，交换机是通过MAC地址找到目标电脑，再把数据送达的。知识链接1.1MAC地址基础知识01021.1.2MAC（MediaAccessControl）地址表

交换机内部都有一张MAC地址表知识链接E0/3E0/5E0/7E0/16MAC：M1MAC：M2MAC：M3MAC：M4目的MAC地址发送端口号M1E0/3M2E0/5M3E0/7M4E0/16PC1PC2PC4PC31.1MAC地址基础知识01021.1.3MAC（MediaAccessControl）地址表形成识别数据帧的源MAC地址，学习MAC地址和端口对应关系通过MAC地址表实现数据帧的单点转发MAC地址表的维护：(1)更改刚使用过的记录的“年龄”(2)删除“年龄”大的记录知识链接1.2交换机转发技术0102局域网交换机的三种主要的交换方式：存储转发(StoreandForward)直通(CutThrough)自由分段(FragmentFree)知识链接1.2交换机转发技术01021.2.1存储转发LANswitch复制整个帧到它的缓冲区里。然后计算CRC。帧的长短可能不一样,所以延时根据帧的长短而变化。如果CRC不正确,帧将被丢弃;如果正确，LANswitch查找硬件目标地址然后转发它们。交换机需要解读数据帧的目的地址与源地址，并在MAC地址列表中进行适当的过滤。如果所接收到的数据帧存在错误、太短(小于64B)或太长(大于l518B)，最终都会被抛弃。采用这种转发方式的交换机在接收数据帧时延迟较大，且越大的数据帧延迟时间越长。知识链接1.2交换机转发技术01021.2.2直通采用直通方式时，交换机一旦解读到数据帧的目的地址，就开始向目的接口发送数据帧。通常，交换机在接收到数据帧的前6B时，就已经知道目的地址了，从而可以决定向哪个接口转发这个数据帧。直通转发技术的优点是转发速率快、减少延时和提高整体吞吐率。其缺点是交换机在没有完全接收并检查数据帧的正确性之前就已经开始了数据转发。在通信质量不高的环境下交换机会转发所有的完整数据帧和错误数据帧，这实际上是给整个交换网络带来了许多垃圾通信包。知识链接直通转发技术在减少传输延迟的同时也削减了对数据帧的错误检测能力。1.2交换机转发技术01021.2.3

自由分段在转发数据之前，过滤有包错误的冲突分段(长度为64B)。通常认为数据帧的错误总是发生在开始的64B内。该方式的错误检测级别要高于直通交换方式。交换机延时：交换机延时是指从交换机接收到数据帧到开始向目的接口复制数据帧之间的时间间隔。采用直通转发技术的交换机有固定的延时，因为直通式交换机不管数据帧的整体大小，而只据目的地址来决定转发方向。延时取决于交换机解读数据帧前6B中目的地址的速率。采用存储转发技术的交换机由于必须要接收完了完整的数据帧才开始转发数据帧，所以它的延时与数据帧大小有关。数据帧大，则延时大，数据帧小，则延时小。知识链接1.3接口安全基础知识0102接口安全（PortSecurity）通过将接口学习到的动态MAC地址转换为安全MAC地址，阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。知识链接指定哪些MAC地址的电脑数据可以连接本端口指定任一时刻允许几个MAC地址访问本端口发现来自非法MAC地址的数据时：关闭端口/上报网管/无视02PART010304项目描述2.1项目简介0102

公司局域网由三台S3700交换机和4台员工计算机：财务员工1、财务员工2、员工3和员工4组成，如图3-3所示。交换机LSW3提供给外部客户访问公司网络，公司的财务员工涉及公司重要隐私，外部客户不能访问，与其他员工主机访问不受限制，即连接在交换机LSW3的外来客户计算机不能与财务员工1和财务员工2通信，与员工3和员工4可以正常通信，公司内部员工计算机可以正常通信。为了实现上述需求，需要在交换机LSW1的接口Ethernet0/0/1使能接口安全功能和配置StickyMAC功能，设置接口学习MAC地址数的上限为2，且接口绑定允许通过的PC的Mac地址，这样其他外来人员使用自己带来的PC无法访问公司的财务员工。项目描述03PART010204项目设计单击输入你的正文3.1总体设计及设计参数项目设计设备名IP地址设备名IP地址财务员工1/24财务员工2/24员工3/24员工4/24客户54/24表1-1网络设备详细设计参数第一部分实验环境搭建，配置终端计算机的IP地址并检测网络连通性第二部分在交换机LSW1的接口Ethernet0/0/1配置StickyMAC接口安全第三部分项目实施结果验证：客户计算机不能与财务员工1、2通信，但能与员工3、4通信，公司内部员工能互相通信04PART010203项目实施与验证单击输入你的正文4.1配置计算机0102根据

IP地址规划，设置IP地址、子网掩码和DNS服务器IP地址。左图为配置界面，右图为连通性检测。项目实施与验证4.1配置计算机0102查看交换机的MAC地址表displaymac-address交换机LSW1的MAC地址表中已经自动学习并保存了所有通信计算机的MAC地址，而且MAC地址表记录都是动态学习到的，即MAC地址的类型是dynamic。项目实施与验证[LSW1]displaymac-addressMACaddresstableofslot0:-------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-IDVSI/SIMAC-Tunnel-------------------------------------------------------------------------------5489-9877-2b211--Eth0/0/1dynamic0/-5489-9813-7aa61--Eth0/0/3dynamic0/-5489-98bc-682b1--Eth0/0/1dynamic0/-5489-98a0-25331--Eth0/0/1dynamic0/-5489-9896-40191--Eth0/0/2dynamic0/--------------------------------------------------------------------------------Totalmatchingitemsonslot0displayed=54.2配置交换机接口安全功能01024.2.1端口安全配置命令项目实施与验证设置某端口的安全性Switchportport-security设置安全的MAC地址Switchportport-securitymac-address<MAC地址>设置某端口允许最多的MAC地址数量Switchportport-securitymaximum<数量>发生违规的应对措施Switchportport-securityviolation{shutdown|restrict|protect}4.2配置交换机接口安全功能01024.2.2端口安全配置步骤步骤1：使能端口的安全功能步骤2：设置允许的最多mac地址数步骤3：设置安全mac地址步骤4：设置发生安全违规时的措施步骤5：查看端口安全信息步骤6：查看mac地址表项目实施与验证4.3结果验证0102客户计算机与财务员工1计算机不能ping通客户计算机与员工3计算机能ping通财务员工1与员工3互访结果

项目实施与验证4.3结果验证0102查看交换机的MAC地址表displaymac-address配置完交换机接口安全后，交换机当前MAC地址表中员工3和员工4的MAC地址类型已经成为StickyMAC地址，保存后重启设备MAC地址表项不会刷新或者丢失。项目实施与验证[Huawei]dismac-addressMACaddresstableofslot0:-------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-IDVSI/SIMAC-Tunnel-------------------------------------------------------------------------------5489-98a0-25331--Eth0/0/1sticky-5489-98bc-682b1--Eth0/0/1sticky--------------------------------------------------------------------------------Totalmatchingitemsonslot0displayed=2MACaddresstableofslot0:-------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-IDVSI/SIMAC-Tunnel-------------------------------------------------------------------------------5489-9896-40191--Eth0/0/2dynamic0/-5489-9813-7aa61--Eth0/0/3dynamic0/--------------------------------------------------------------------------------Totalmatchingitemsonslot0displayed=2感谢观看课后完成作业YOURLOGO项目4虚拟局域网组建目录CONTENTS知识链接VLAN概述项目设计网络拓扑图、IP地址、设备初始配置项目描述为小企业搭建安全网络项目实施与验证设备配置、网络连通性检测0103020401PART020304知识链接4.1VLAN概述0102

使用交换机作为互连设备的以太网称为交换式以太网。广播帧所能到达的整个访问范围称为广播域，一个交换式网络就是一个广播域；当终端计算机发送一个广播帧或未知单播帧时，该数据帧会被泛洪到整个广播域。知识链接此图中，SW1、SW3、SW7存有PC2的MAC地址4.1VLAN概述0102

虚拟局域网VLAN(VirtualLocalAreaNetwork)，逻辑上把网络资源和用户按照一定的原则进行划分，把一个物理上的实际网络划分成多个小的逻辑网络，这些小的逻辑网络形成各自的广播域，也就是虚拟局域网VLAN。通过划分用户群，控制广播范围等方式，VLAN技术从根本上解决网络效率与安全性等问题。知识链接此图中，SW1、SW3、SW7存有PC2的MAC地址4.1.1VLAN的优点0102（1）按需划分VLAN，组网灵活。将计算机按照需求划分到不同VLAN，同一个VLAN计算机不限物理位置，网络构建和维护方便灵活。（2）限制广播域，提升性能。一个VLAN就是一个广播域，广播域被限制在一个VLAN内，减少网络不必要的流量，提高了网络处理能力。（3）VLAN隔离，增强安全性。同一个VLAN计算机可以直接二层通信，不同VLAN内的计算机不能直接二层通信。含有敏感信息的用户组可与网络的其它部分隔离，降低泄露机密信息的可能性。（4）简化项目管理。VLAN将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项目于管理或特殊应用的处理变得十分方便，也容易确定升级网络服务的影响范围。知识链接4.1.2VLAN的划分0102VLAN对广播域的划分是通过交换机软件完成的，每个VLAN会分配不同的VLANID。静态VLAN划分也就是基于接口划分。可把同一交换机的接口划分到不同VLAN，也可以把不同交换机的接口划分为同一VLAN动态VLAN根据每个端口所连接的计算机，随时改变端口所属的VLAN基于MAC地址划分基于IP子网划分基于协议划分和基于策略划分知识链接4.1.3VLAN中继0102不同物理位置的用户群被划分进不同的VLAN后，同一VLAN成员接入跨越任意物理位置的多个交换机的情况非常常见。VLAN中继是以太网交换机接口和另一个联网设备（如路由器或交换机）的以太网接口之间的点对点链路。VLAN中继允许多个VLAN数据在单链路上传输。知识链接4.1.4交换机接口0102基于接口划分VLAN后，交换机各接口对数据帧的处理方式不再一样。交换机接口分为Access接口、Trunk接口和Hybrid接口Access接口是交换机上用来连接计算机、服务器等终端设备接口Trunk接口是交换机与交换机或交换机与路由器相连接的物理接口Hybrid接口是一种混合接口，同时具备Access和Trunk的两种功能知识链接4.1.5GVRP技术0102GVRP即通用虚拟局域网注册协议，能帮助网络管理员自动完成VLAN创建、删除和同步等工作。GVRP有Normal、Fixed和Forbidden三种注册模式Normal模式：允许该接口动态VLAN注册或注销，会发送静态VLAN和动态VLAN信息。Fixed模式：禁止该接口动态VLAN注册或注销，只发送静态VLAN信息。Forbidden模式：禁止该接口动态VLAN注册或注销，只发送VLAN1信息。注意：GVRPVLAN注册信息必须靠Trunk接口传递，配置GVRP时需要先配置好Trunk接口且必须允许相应VLAN或全部VLAN通过。GVRP具有单向注册特性。知识链接4.2交换机VLAN配置常用命令0102知识链接1.创建VLAN命令（1）创建单个VLANvlanvlan-id例如：vlan100创建VLANID为100的VLAN。（2）批量创建VLANvlanbatch{vlan-id1[tovlan-id2]}例如：vlanbatch100to200创建VLANID从100~200的共101个VLAN。2.接口类型配置命令portlink-type{access|trunk|hybrid}4.2交换机VLAN配置常用命令0102知识链接接口类型配置命令portlink-type{access|trunk|hybrid}access：Access接口（接入链路模式）是交换机上用来连接用户主机的接口，只能属于一个VLAN。trunk：允许多个VLAN通过，一样用于交换机与交换机之间的接口。hybrid：允许多个VLAN通过，可以用于交换机之间接口，也可以用于连接计算机dot1q-tunnel：用于大型网络拓展VLAN空间的技术。4.2交换机VLAN配置常用命令0102知识链接3.接口PVID配置命令（1）配置Access接口PVIDportdefaultvlanvlan-id（2）配置Trunk接口PVIDporttrunkpvidvlanvlan-id（3）配置Hybrid接口PVIDporthybridpvidvlanvlan-id4.接口允许通过VLANID列表创建命令（1）配置Trunk接口允许通过的VLAN列表porttrunkallow-passvlan{{vlan-id1[tovlan-id2]}|all}（2）配置Hybrid接口UntaggedVLAN列表（输入的数据包全部都要加上该缺省vlan）porthybriduntaggedvlan{{vlan-id1[tovlan-id2]}|all}（3）配置Hybrid接口TaggedVLAN列表（当数据包本身不包含VLAN的话，输入的数据包就加上该缺省vlan）porthybridtaggedvlan{{vlan-id1[tovlan-id2]}|all}4.2交换机VLAN配置常用命令0102知识链接5.GVRP配置命令（1）全局使能gvrpgvrp（2）接口使能gvrpgvrpregistration{fixed|forbidden|normal}02PART010304项目描述4.2项目简介0102

校园网是典型的交换式以太网，学校信息中心应用VLAN技术部署校园网。校园网由1台S5700和4台S3700交换机和若干计算机组成，其拓扑结构如图4-7所示。信息中心按照学院行政部门把校园网划分成三个VLAN，计算机PC11、PC12属于学院计算机应用系，划分到同一个VLAN，VLANID为10；计算机PC21、PC22属于学院软件系，划分到同一个VLAN，VLANID为20；第三组计算机PC31和PC32属于学院通信系，划分到同一个VLAN，VLANID为30。部署VLAN后同一VLAN内的计算机能通信，不同VLAN间的计算机不能直接通信。项目描述03PART010204项目设计单击输入你的正文4.1总体设计项目设计校园网的VLAN部署由四部分组成：第一部分是实验环境搭建，配置终端计算机的IP地址并检测网络连通性；第二部分是基于GVRP创建VLAN，所有局域网的交换机启用GVRP，在与终端相连的接入交换机LSW4和LSW5手动创建VLAN，VLAN注册信息会迅速传播到整个交换网络，在交换机上形成统一的VLAN配置；第三部分是基于接口划分VLAN，把交换机LSW4和LSW5与终端相连的接口划进所属VLAN；第四部分是项目实施结果验证，同一VLAN计算机能通信，不同VLAN计算机不能直接通信。计算机名IP地址VLANIDPC111/2410PC122/2410PC211/2420PC222/2420PC311/2430PC322/243004PART010203项目实施与验证单击输入你的正文5.1配置思路项目设计5.2配置计算机IP地址0102项目实施与验证计算机名IP地址VLANIDPC111/2410PC122/2410PC211/2420PC222/2420PC311/2430PC322/24305.3配置GVRP创建VLAN0102项目实施与验证配置Trunk口并开启交换机GVRP功能：[LSW1]gvrp[LSW1]interfaceGigabitEthernet0/0/1[LSW1-GigabitEthernet0/0/1]portlink-typetrunk[LSW1-GigabitEthernet0/0/1]porttrunkallow-passvlanall[LSW1-GigabitEthernet0/0/1]gvrp[LSW1]interfaceGigabitEthernet0/0/2[LSW1-GigabitEthernet0/0/2]portlink-typetrunk[LSW1-GigabitEthernet0/0/2]porttrunkallow-passvlanall[LSW1-GigabitEthernet0/0/2]gvrp[LSW1-GigabitEthernet0/0/2]quit5.3配置GVRP创建VLAN0102项目实施与验证接入交换机LSW4和LSW5手动创建静态VLAN：在接入交换机LSW4和LSW5批量创建VLAN，VLANID为10、20、30。LSW4上批量创建VLAN命令：[LSW4]vlanbatch102030LSW5上批量创建VLAN命令：[LSW5]vlanbatch1020305.3配置GVRP创建VLAN0102项目实施与验证接入交换机LSW4和LSW5手动创建静态VLAN：在接入交换机LSW4和LSW5批量创建VLAN，VLANID为10、20、30。LSW4上批量创建VLAN命令：[LSW4]vlanbatch102030LSW5上批量创建VLAN命令：[LSW5]vlanbatch1020305.4基于接口划分VLAN0102项目实施与验证交换机LSW4和LSW5接口加入VLAN：[LSW4]interfaceEthernet0/0/2[LSW4-Ethernet0/0/2]portlink-typeaccess[LSW4-Ethernet0/0/2]portdefaultvlan10[LSW4-Ethernet0/0/2]interfaceEthernet0/0/3[LSW4-Ethernet0/0/3]portlink-typeaccess[LSW4-Ethernet0/0/3]portdefaultvlan20[LSW4-Ethernet0/0/3]interfaceEthernet0/0/4[LSW4-Ethernet0/0/4]portlink-typeaccess[LSW4-Ethernet0/0/4]portdefaultvlan30[LSW4-Ethernet0/0/4]quit5.5结果验证0102项目实施与验证感谢观看单击输入你的正文，文字是您的思想提炼，为了最终演示发布的良好效果，请尽量言简意赅的阐述观点YOURLOGO项目5基于校园网的虚拟局域网VLAN间通信目录CONTENTS知识链接三层交换机及三层通信原理项目设计网络拓扑图、IP地址、DNS设计项目描述为微小企业搭建网络项目实施与验证网络服务、网络连通性检测0103020401PART020304知识链接1.1三层交换机基础知识01021.1.1三层交换机基础知识三层交换机是指具备三层路由功能的交换机，其接口可以实现基于三层寻址的分组转发，每个三层接口都定义了一个单独的广播域。三层交换机最重要目的是加快大型局域网内部的数据交换，揉合进去的路由功能也是为这目的服务的，所以它的路由功能没有同一档次的专业路由器强。但在网络流量很大，又要求响应速度很高的情况下，可以由三层交换机做网内的交换，由路由器专门负责网间的路由工作，这样可以充分发挥不同设备的优势，是一个很好的配合。华为QuidwayS5700系列（以下简称S5700）全千兆企业网交换机，是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代绿色节能的全千兆高性能以太网交换机。知识链接1.1三层交换机基础知识01021.1.2VLAN间通信华为三层交换机提供VALNIF接口配置方案实现VLAN间通信。VLANIF接口是一种三层的逻辑接口，支持VLANTag的剥离和添加，因此可以通过VLANIF接口实现。

VLAN10对应VLANIF10，VLAN20对应VLANIF20。知识链接02PART010304项目描述2.1项目简介0102

在第四章学校信息中心部署校园网时，已经按照职能部门划分VLAN，使得属于不同VLAN的网络无法互访，但是不同的部门VLAN之间又存在着相互访问的需求，因此学校信息中心拟采用三层交换机S5700实现VLAN互通，并且在原有的网络拓扑图4-7上增加服务器组，并把服务器划分在同一VLAN。服务器组由两台服务器组成，一台提供DNS和Web服务，一台提供FTP服务，它们直接接到三层交换机S5700上；同时为了验证HTTP功能，把计算机P32用HTTPClient客户端代替，其网络拓扑图如图5-2所示。该校园网需要实现所有的计算机能用域名访问Web网站和文件传输到FTP服务器，并且不同VLAN之间的计算机能相互通信。项目描述03PART010204项目设计单击输入你的正文3.1总体设计及设计参数项目设计计算机名IP地址VLANID网关PC111/241054/24PC122/241054/24PC211/242054/24PC222/242054/24PC311/243054/24PC322/243054/24DNSServer/244054/24Web-FTPServer/244054/24表1-1网络设备详细设计参数第一部分实验环境搭建，配置终端计算机的IP地址、FTP服务、DNS服务和Web服务第二部分基于GVRP创建VLAN，所有局域网的交换机启用GVRP，在与终端相连的接入交换机LSW4和LSW5手动创建VLAN第三部分基于接口划分VLAN，把交换机LSW1、LSW4和LSW5与终端相连的接口划进所属VLAN第四部分配置VLANIF接口第五部分项目实施结果验证，同一VLAN计算机能通信，不同VLAN计算机能通过三层交换机通信04PART010203项目实施与验证单击输入你的正文4.1配置计算机0102根据

IP地址规划，设置IP地址、子网掩码和DNS服务器IP地址配置Web服务项目实施与验证4.1配置计算机0102配置DNS服务配置FTP服务项目实施与验证4.2配置GVRP创建VLAN01024.2.1配置Trunk口并开启交换机GVRP功能

以交换机LSW1为例，配置Trunk口并开启交换机GVRP功能。项目实施与验证[LSW1]gvrp//使能全局GVRP功能[LSW1]interfaceGigabitEthernet0/0/1[LSW1-GigabitEthernet0/0/1]portlink-typetrunk[LSW1-GigabitEthernet0/0/1]porttrunkallow-passvlanall[LSW1-GigabitEthernet0/0/1]gvrp//使能接口GVRP功能[LSW1-GigabitEthernet0/0/1]quit[LSW1]interfaceGigabitEthernet0/0/2[LSW1-GigabitEthernet0/0/2]portlink-typetrunk[LSW1-GigabitEthernet0/0/2]porttrunkallow-passvlanall[LSW1-GigabitEthernet0/0/2]gvrp[LSW1-GigabitEthernet0/0/2]quit4.2配置GVRP创建VLAN01024.2.2交换机LSW1、LSW4和LSW5手动创建静态VLAN

在接入交换机LSW1批量创建VLAN，VLANID为10、20、30和40。4.2.3VLAN信息查看使用displayvlan命令查看LSW1的vlan信息查询结果如下：

创建出4个类型为common的静态VLAN项目实施与验证[LSW1]vlanbatch10203040[LSW1]disvlanThetotalnumberofvlansis:5--------------------------------------------------------------------------------VIDTypePorts--------------------------------------------------------------------------------1commonUT:GE0/0/1(U)GE0/0/2(U)GE0/0/3(U)GE0/0/4(U)GE0/0/5(D)GE0/0/6(D)GE0/0/7(D)GE0/0/8(D)GE0/0/9(D)GE0/0/10(D)GE0/0/11(D)GE0/0/12(D)GE0/0/13(D)GE0/0/14(D)GE0/0/15(D)GE0/0/16(D)GE0/0/17(D)GE0/0/18(D)GE0/0/19(D)GE0/0/20(D)GE0/0/21(D)GE0/0/22(D)GE0/0/23(D)GE0/0/24(D)10commonTG:GE0/0/1(U)GE0/0/2(U)20commonTG:GE0/0/1(U)GE0/0/2(U)30commonTG:GE0/0/1(U)GE0/0/2(U)40commonTG:GE0/0/1(U)GE0/0/2(U)4.2配置GVRP创建VLAN0102交换机LSW2

的VLAN信息查询结果如下：LSW2学习到了4个类型为dynamic的动态VLAN，特别要关注查询结果LSW2的Trunk接口是否都已经加入动态VLAN中。项目实施与验证[LSW2]disvlanThetotalnumberofvlansis:5--------------------------------------------------------------------------------VIDTypePorts--------------------------------------------------------------------------------1commonUT:Eth0/0/1(D)Eth0/0/2(U)Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)Eth0/0/7(D)Eth0/0/8(D)Eth0/0/9(D)Eth0/0/10(D)Eth0/0/11(D)Eth0/0/12(D)Eth0/0/13(D)Eth0/0/14(D)Eth0/0/15(D)Eth0/0/16(D)Eth0/0/17(D)Eth0/0/18(D)Eth0/0/19(D)Eth0/0/20(D)Eth0/0/21(D)Eth0/0/22(D)GE0/0/1(U)GE0/0/2(D)10dynamicTG:Eth0/0/2(U)GE0/0/1(U)20dynamicTG:Eth0/0/2(U)GE0/0/1(U)30dynamicTG:Eth0/0/2(U)GE0/0/1(U)40dynamicTG:Eth0/0/2(U)GE0/0/1(U)4.2配置GVRP创建VLAN01024.2.4基于接口划分VLAN

LSW4

和LSW5

的Access接口Ethernet0/0/2、Ethernet0/0/3和Ethernet0/0/4加入对应的VLAN，其配置命令如下。

LSW1的Access接口GE0/0/3和GE0/0/4加入对应VLAN，其配置命令如下。项目实施与验证[LSW4]interfaceEthernet0/0/2[LSW4-Ethernet0/0/2]portlink-typeaccess[LSW4-Ethernet0/0/2]portdefaultvlan10[LSW4-Ethernet0/0/2]interfaceEthernet0/0/3[LSW4-Ethernet0/0/3]portlink-typeaccess[LSW4-Ethernet0/0/3]portdefaultvlan20[LSW4-Ethernet0/0/3]interfaceEthernet0/0/4[LSW4-Ethernet0/0/4]portlink-typeaccess[LSW4-Ethernet0/0/4]portdefaultvlan30[LSW4-Ethernet0/0/4]quit[LSW1]interfaceGigabitEthernet0/0/3[LSW1-GigabitEthernet0/0/3]portlink-typeaccess[LSW1-GigabitEthernet0/0/3]portdefaultvlan40[LSW1-GigabitEthernet0/0/3]quit[LSW1]interfaceGigabitEthernet0/0/4[LSW1-GigabitEthernet0/0/4]portlink-typeaccess[LSW1-GigabitEthernet0/0/4]portdefaultvlan40[LSW1-GigabitEthernet0/0/4]quit4.2配置GVRP创建VLAN01024.2.5配置VLANIF接口

在三层交换机LSW1配置Vlanif接口，其配置命令如下。

项目实施与验证[LSW1]intVlanif10[LSW1-Vlanif10]ipaddress5424[LSW1]intVlanif20[LSW1-Vlanif20]ipaddress5424[LSW1]intVlanif30[LSW1-Vlanif30]ipaddress5424[LSW1]intVlanif40[LSW1-Vlanif40]ipaddress54244.3结果验证0102在PC11上分别ping其他两个VLAN中的计算机PC22和PC32，从结果可得知都能通信，说明LSW1的三层交换机实现VLAN间通信。选择HTTP-Client，在地址栏输入HTTP服务器的域名：，点击获取，返回200OK即表示能通过域名访问HTTP选择HTTP-Client，用户名：1，密码：1，进行登录，选中物理主机中的文件ftp.pdf文档上传至FTPserver，弹出文件上传成功对话框，即表示FTP服务配置成功。

项目实施与验证感谢观看课后完成作业YOURLOGO项目6生成树协议STP部署目录CONTENTS知识链接STP基本概念和命令项目设计网络拓扑图、IP地址、设备初始配置项目描述为小企业搭建安全网络项目实施与验证设备配置，解决环路问题0103020401PART020304知识链接6.1二层交换网络的冗余性和环路问题0102现状：随着局域网规模的扩大，越来越多的交换机被使用。

交换机在互连时一般都会使用冗余链路来实现备份；冗余链路虽然增强了网络的可靠性，但是也会产生环路。人为错误连接设备，也会引入了二层环路。问题：广播风暴MAC地址表漂移知识链接6.1STP基本概念0102桥ID：

在STP网络中，每一台交换机都有一个标示符，叫做BID（BridgeID）或者桥ID。BID由16位的桥优先级（BridgePriority）和48位的MAC地址构成。桥优先级是可以配置的，取值范围是0～65535，默认值为32768。优先级最高的设备（数值越小越优先）会被选举为根桥。如果优先级相同，则会比较MAC地址，MAC地址越小则越优先。STP树：STP的主要作用之一是在整个交换网络中计算出一棵无环的“树”（STP树）。交换机的每个接口都有一个接口开销（PortCost）参数，用于计算根路径开销。知识链接6.1STP树基本概念0102在STP的拓扑计算过程中，一个非常重要的环节就是“丈量”交换机某个接口到根桥的“成本”。从一个非根桥接口到达根桥的路径可能有多条，每一条路径都有一个总的开销值。非根桥通过对比多条路径的路径开销，选出到达根桥的最短路径，并生成无环树状网络。网桥协议数据单元BPDU是STP的协议报文，封装了交换机之间需要交换的信息和参数。知识链接6.1STP树基本概念0102STP的接口状态：态禁用（Disable）阻塞（Blocking）侦听（Listening）学习（Learning）转发（Forwarding）知识链接6.1STP树基本概念0102STP是通过把整个存在环路的交换网络计算出一棵无环路的交换树来实现环路消除：整个交换网络中选举一个交换机担当根桥，其他的交换机均为非根桥。每个非根桥交换机选举一个根端口。每个物理网段选举一个指定端口。阻塞非根桥上的非根端口和非指定端口。

虽然STP中有3种端口角色，但实际只有根端口和指定端口这两种是可转发用户数据且呈转发状态的，其他均为预备端口，呈阻塞状态。知识链接6.2STP基础配置命令0102知识链接1.使能启用STP/RSTP/MSTP功能stpenable2.配置生成树工作模式stpmode{stp|rstp|mstp}3.

配置根桥stprootprimar