实验环境:
eNSP虚拟设备配置、PC四台、服务器一台、交换机两台、路由器一台
实验拓扑:
实验内容:
本实验共采用4台PC、2 台三层交换机、1台路由器、1台服务器。认真分析实验需求,明确每步考查的知识点,并规划 IP 地址;根据拓扑搭建实验环境,确保端口都双UP后再进行下面步骤
实验步骤:
1.按要求规划接口,配置trunk和access接口;增加Access和Core之间链路带宽、并保证链路的可靠性;使用LACP模式,配置Access的lacp优先级以确保Core为主动端,并确保两条链路处于转发状态,一条链路处于备份状态;接口编号最大的那个端口需要为活动链路,并设置抢占时间为20秒
2.在两台交换机上创建VLAN 10 20 30 ,并把PC1/PC2划分进vlan10;服务器划分进vlan20;PC3、PC4划分进vlan30
为了增加带宽并保证链路的可靠性,用到了链路聚合eth-trunk的方法,配置命令如下(以在Access上配置为例):
[Access]lacp priority 32769 把access的优先级改大以确保core为主动端,因为eth-trunk中数值越小越优先
[Access]int Eth-Trunk 1
[Access-Eth-Trunk1]mode lacp-static
[Access-Eth-Trunk1]trunkport g0/0/1
Info: This operation may take a few seconds. Please wait for a moment...done.
[Access-Eth-Trunk1]trunkport g0/0/2
Info: This operation may take a few seconds. Please wait for a moment...done.
[Access-Eth-Trunk1]trunkport g0/0/3
此时使用display int Eth-Trunk 1命令查看接口的Eth-Trunk表,三个端口都是开启的,因为默认最大活动链路为8条
实现两条链路处于转发状态一条备份状态,接口最大的端口为活动链路并设置抢占时间为20s的命令如下:
[Access-Eth-Trunk1]max active-linknumber 2
[Access]int g0/0/2
[Access-GigabitEthernet0/0/2]lacp priority 32767
[Access-GigabitEthernet0/0/2]int g0/0/3
[Access-GigabitEthernet0/0/3]lacp priority 32767
[Access]int Eth-Trunk 1
[Access-Eth-Trunk1]lacp preempt enable
[Access-Eth-Trunk1]lacp preempt delay 20
修改优先级之后查看,链路三还是down的,因为我们设置的抢占时间是20s,所以等待20s之后再查看备份链路就变为g0/0/1的链路了
其中Access和PC机以及服务器之间的链路设置为access链路,Access和Core之间的链路设置为trunk链路(他们之间已经绑定为eth-trunk所以进eth-trunk设置即可),Core和路由器之间的链路设置为trunk链路。配置的命令如下:
[Access-GigabitEthernet0/0/7]int g0/0/4
[Access-GigabitEthernet0/0/4]port link-type access
[Access-GigabitEthernet0/0/4]port default VLAN 10
[Access]int g0/0/5
[Access-GigabitEthernet0/0/5]port default VLAN 10
[Access-GigabitEthernet0/0/5]int g0/0/6
[Access-GigabitEthernet0/0/6]port link-type access
[Access-GigabitEthernet0/0/6]port default VLAN 20
[Access-GigabitEthernet0/0/6]int g0/0/7
[Access-GigabitEthernet0/0/7]port link-type access
[Access-GigabitEthernet0/0/7]port default VLAN 30
[Access-GigabitEthernet0/0/8]port link-type access
[Access-GigabitEthernet0/0/8]port default vlan 30
[Access-Eth-Trunk1]port link-type trunk
[Access-Eth-Trunk1]port trunk allow-pass all
[Core-Eth-Trunk1]port link-type trunk
[Core-Eth-Trunk1]port trunk allow-pass vlan all
3.PC1、PC2、服务器地址静态分配网关地址为该网段最后一位,并且实现不同VLAN之间能够通过三层互访
为了实现三层互访,这边使用单臂路由的方法,配置命令如下:
[Gateway]int g0/0/0.1
[Gateway-GigabitEthernet0/0/0.1]ip add 192.168.1.254 24
[Gateway-GigabitEthernet0/0/0.1]dot1q termination vid 10
[Gateway-GigabitEthernet0/0/0.1]arp broadcast enable
[Gateway-GigabitEthernet0/0/0.1]int g0/0/0.2
[Gateway-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24
[Gateway-GigabitEthernet0/0/0.2]dot1q termination vid 20
[Gateway-GigabitEthernet0/0/0.2]arp broadcast enable
[Gateway-GigabitEthernet0/0/0.2]int g0/0/0.3
[Gateway-GigabitEthernet0/0/0.3]dot1q termination vid 30
[Gateway-GigabitEthernet0/0/0.3]ip address 192.168.3.254 24
[Gateway-GigabitEthernet0/0/0.3]arp broadcast enable
然后用PC1 ping PC4,可以实现通信了
4.PC4、PC5采用动态地址分配,使用接口下调用全局地址池的方式(网段为192.168.3.0/24;网关地址为192.168.3.254),地址池位于网关上命名为gok
相关配置命令如下:
[Gateway]dhcp enable
[Gateway]ip pool gok
[Gateway-ip-pool-gok]network 192.168.3.0 mask 24
[Gateway-ip-pool-gok]gateway-list 192.168.3.254
[Gateway-GigabitEthernet0/0/0]int g0/0/0.3
[Gateway-GigabitEthernet0/0/0.3]dhcp select global
查看PC4和PC5,已经自动获取到IP地址了
5.通过MUX-VLAN技术实现部门AB都能访问服务器,不允许访问其他部门;部门A内部互通、部门B内部不互通
根据需求使能vlan20为mux-vlan的主vlan,将部门A配置为互通型从vlan,将部门B配置为隔离性从vlan,配置命令如下:
[Access]vlan 20
[Access-vlan20]mux-vlan
[Access-vlan20]subordinate group 10
[Access-vlan20]subordinate separate 30
[Access-GigabitEthernet0/0/4]port mux-vlan enable
[Access-GigabitEthernet0/0/4]int g0/0/5
[Access-GigabitEthernet0/0/5]port mux-vlan enable
[Access-GigabitEthernet0/0/5]int g0/0/6
[Access-GigabitEthernet0/0/6]port mux-vlan enable
[Access-GigabitEthernet0/0/6]int g0/0/7
[Access-GigabitEthernet0/0/7]port mux-vlan enable
[Access-GigabitEthernet0/0/7]int g0/0/8
[Access-GigabitEthernet0/0/8]port mux-vlan enable
此时用PC4去pingPC5,已经无法通信了
但是ping主vlan可以正常通信
6.出于安全考虑,防止网络中出现非法用户的攻击(只允许Access交换机的一个接口通过stick学习到一个MAC地址)
以在g0/0/4接口下配置的相关命令为例如下(注意要先在接口上使能端口安全否则无法配置sticky):
[Access-GigabitEthernet0/0/4]port-security enable
[Access-GigabitEthernet0/0/4]port-security mac-address sticky
[Access-GigabitEthernet0/0/4]port-security max-mac-num 1 //这条命令可敲可不敲因为默认情况下就是只学习到一个MAC地址
7.现不允许部门A内部互联
因为我们前面已经使用了MUX-vlan方法所以这里我们使用端口隔离来实现
配置的命令如下:
[Access]int g0/0/5
[Access-GigabitEthernet0/0/5]port-isolate enable group 1
[Access-GigabitEthernet0/0/5]int g0/0/4
[Access-GigabitEthernet0/0/4]port-isolate enable group 1
前面使用PC1去pingPC2是可以连通的,配置完端口隔离之后再尝试已经无法通信了