網(wǎng)絡(luò)產(chǎn)品應(yīng)用

浙江商業(yè)職業(yè)技術(shù)學(xué)院信息技術(shù)學(xué)院《網(wǎng)絡(luò)產(chǎn)品應(yīng)用》課程實(shí)訓(xùn)班級(jí)：組員：指導(dǎo)教師：時(shí)間：目錄實(shí)訓(xùn)一、端口隔離時(shí)的本地代理ARP+報(bào)文過(guò)濾配置1一、組網(wǎng)需求2二、配置思路3三、配置過(guò)程和解釋3四、小結(jié)4實(shí)訓(xùn)二、MSTP典型配置6一、組網(wǎng)需求7二、配置過(guò)程和解釋8三、小結(jié)8實(shí)訓(xùn)三本地端口鏡像配置9一、組網(wǎng)需求10二、組網(wǎng)圖10三、配置步驟10四、小結(jié)11實(shí)訓(xùn)四遠(yuǎn)程端口鏡像配置11一、組網(wǎng)需求11二、組網(wǎng)圖13三、配置步驟13三、小結(jié)14實(shí)訓(xùn)一端口隔離時(shí)的本地代理ARP+報(bào)文過(guò)濾配置組網(wǎng)需求某公司內(nèi)部的研發(fā)部門(mén)、市場(chǎng)部門(mén)和行政部門(mén)分別與SwitchB上的端口GE1/0/1、GE1/0/2和GE1/0/3相連。要求實(shí)現(xiàn)各部門(mén)與外界網(wǎng)絡(luò)互訪(fǎng)的同時(shí)，還需要實(shí)現(xiàn)：在每天8:00～12:00的時(shí)間段內(nèi)，允許HostA訪(fǎng)問(wèn)行政部門(mén)的服務(wù)器，拒絕其它的IP報(bào)文通過(guò)在每天14:00～16:00的時(shí)間段內(nèi)，允許HostB訪(fǎng)問(wèn)行政部門(mén)的服務(wù)器，拒絕其它的IP報(bào)文通過(guò)。在其他時(shí)間段，各部門(mén)之間不能互訪(fǎng)。二、配置思路實(shí)現(xiàn)上述組網(wǎng)需求，一種方法是在SwitchB的端口GE1/0/1、GE1/0/2和GE1/0/3上分別配置報(bào)文過(guò)濾，該方法配置復(fù)雜，且對(duì)SwitchB的性能要求較高。另一種方法是利用端口隔離，并結(jié)合上層設(shè)備的本地代理ARP功能和報(bào)文過(guò)濾，該方法對(duì)SwitchB的性能要求不高，支持端口隔離的二層或三層設(shè)備都可以，且在VLAN資源緊張的網(wǎng)絡(luò)環(huán)境中，還可節(jié)省VLAN資源。若要實(shí)現(xiàn)不同隔離端口下的主機(jī)間互訪(fǎng)，需在上層設(shè)備SwitchA上使用本地代理ARP功能，但啟用該功能后，SwitchB上隔離端口下的主機(jī)都可互訪(fǎng)或某一IP地址范圍內(nèi)的主機(jī)可互訪(fǎng)。此處還需要結(jié)合報(bào)文過(guò)濾功能以實(shí)現(xiàn)上面需求。基本配置思路如下：(1)配置研發(fā)部門(mén)、市場(chǎng)部門(mén)和行政部門(mén)共用同一VLAN，并將SwitchB上與各部門(mén)相連的端口GE1/0/1、GE1/0/2和GE1/0/3加入隔離組；(2)加入到隔離中的端口之間不能互訪(fǎng)，若要實(shí)現(xiàn)互訪(fǎng)還需要上層設(shè)備SwitchA上配置本地代理ARP功能；(3)為了靈活的限制部門(mén)間的互訪(fǎng)，需要在SwitchA上實(shí)現(xiàn)報(bào)文過(guò)濾。報(bào)文過(guò)濾需求可以通過(guò)包過(guò)濾的配置方式來(lái)實(shí)現(xiàn)，也可以使用QoS策略的配置方式實(shí)現(xiàn)，但前者配置更簡(jiǎn)單，而且可以隨時(shí)修改ACL的規(guī)則（修改結(jié)果將直接生效）。這里選擇包過(guò)濾的配置方式實(shí)現(xiàn)：定義高級(jí)IPv4ACL，配置三條規(guī)則：允許HostA訪(fǎng)問(wèn)行政部門(mén)的服務(wù)器；允許HostB訪(fǎng)問(wèn)行政部門(mén)的服務(wù)器；拒絕各部門(mén)間的互訪(fǎng)。在SwitchA的端口GigabitEthernet1/0/4上應(yīng)用高級(jí)IPv4ACL，以對(duì)該端口收到的IPv4報(bào)文進(jìn)行過(guò)濾。三、配置過(guò)程和解釋(1)在SwitchB上配置端口隔離配置SwitchB上的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/0/4屬于同一VLAN100；并將端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3加入到隔離組中，以實(shí)現(xiàn)研發(fā)部門(mén)、市場(chǎng)部門(mén)和行政部門(mén)彼此之間二層報(bào)文不能互通。(2)在SwitchA上配置本地ARP代理在SwitchA上配置VLAN接口100的IP地址。在SwitchA上配置本地代理ARP，實(shí)現(xiàn)部門(mén)之間的三層互通。(3)在SwitchA上定義工作時(shí)間段定義周期時(shí)間段trname_1，時(shí)間范圍為每天的8:00～12:00。定義周期時(shí)間段trname2，時(shí)間范圍為每天的14:00～16:00。(4)在SwitchA上定義到行政部門(mén)服務(wù)器的訪(fǎng)問(wèn)規(guī)則A、允許HostA訪(fǎng)問(wèn)行政部門(mén)的服務(wù)器。B、允許HostB訪(fǎng)問(wèn)行政部門(mén)的服務(wù)器。C、禁止各部門(mén)間的互訪(fǎng)實(shí)訓(xùn)二、MSTP典型配置組網(wǎng)需求DeviceA和DeviceB為匯聚層設(shè)備，DeviceC和DeviceD為接入層設(shè)備。1:網(wǎng)絡(luò)中所有設(shè)備屬于同一個(gè)MSTP域。2:要求通過(guò)配置使不同VLAN的報(bào)文按照不同的生成樹(shù)實(shí)例轉(zhuǎn)發(fā)：VLAN10的報(bào)文沿實(shí)例1轉(zhuǎn)發(fā)，VLAN30沿實(shí)例3轉(zhuǎn)發(fā)，VLAN40沿實(shí)例4轉(zhuǎn)發(fā)，VLAN20沿實(shí)例0轉(zhuǎn)發(fā)。3:要求VLAN10和VLAN30在匯聚層設(shè)備終結(jié)、VLAN40在接入層設(shè)備終結(jié)。二、配置過(guò)程和解釋(1)配置VLAN和端口請(qǐng)按照?qǐng)D所示，在DeviceA和DeviceB上分別創(chuàng)建VLAN10、20和30，在DeviceC上創(chuàng)建VLAN10、20和40，在DeviceD上創(chuàng)建VLAN20、30和40；將各設(shè)備的各端口配置為T(mén)runk端口并允許相應(yīng)的VLAN通過(guò)（此處僅列舉出DeviceA的配置)。(2)配置DeviceA配置MST域的域名為example，將VLAN10、30、40分別映射到生成樹(shù)實(shí)例1、3、4上，并配置MSTP的修訂級(jí)別為0。2、配置DeviceB配置MST域的域名為example，將VLAN10、30、40分別映射到生成樹(shù)實(shí)例1、3、4上，并配置MSTP的修訂級(jí)別為0激活MST域的配置配置本設(shè)備為生成樹(shù)實(shí)例3的根橋。全局使能MSTP協(xié)議配置DeviceC配置MST域的域名為example，將VLAN10、30、40分別映射到生成樹(shù)實(shí)例1、3、4上，并配置MSTP的修訂級(jí)別為0。激活MST域的配配置本設(shè)備為生成樹(shù)實(shí)例4的根橋全局使能MSTP協(xié)議配置DeviceD配置MST域的域名為example，將VLAN10、30、40分別映射到生成樹(shù)實(shí)例1、3、4上，并配置MSTP的修訂級(jí)別為0。激活MST域的配置。全局使能MSTP協(xié)議6、檢驗(yàn)配置效果當(dāng)網(wǎng)絡(luò)拓?fù)浞€(wěn)定后，通過(guò)使用displaystpbrief命令可以查看各設(shè)備上生成樹(shù)的簡(jiǎn)要信息。實(shí)訓(xùn)三本地端口鏡像配置組網(wǎng)需求用戶(hù)網(wǎng)絡(luò)描述如下：部門(mén)1的報(bào)文通過(guò)端口Ethernet1/0/1接入SwitchC。部門(mén)2的報(bào)文通過(guò)端口Ethernet1/0/2接入SwitchC。Server接在SwitchC的Ethernet1/0/3端口上。需求為：用戶(hù)希望通過(guò)Server對(duì)部門(mén)1和部門(mén)2收發(fā)的報(bào)文進(jìn)行監(jiān)控。使用本地端口鏡像功能實(shí)現(xiàn)該需求，在SwitchC上進(jìn)行如下配置：端口Ethernet1/0/1和Ethernet1/0/2為鏡像源端口。連接Server的端口Ethernet1/0/3為鏡像目的端口。二、組網(wǎng)圖三、配置步驟1、在SwitchC上進(jìn)行如下配置：2、配置路由地址配置完成后，用戶(hù)就可以在Server上監(jiān)控部門(mén)1和部門(mén)2收發(fā)的所有報(bào)文。實(shí)訓(xùn)四遠(yuǎn)程端口鏡像配置組網(wǎng)需求用戶(hù)網(wǎng)絡(luò)描述如下：SwitchA、SwitchB和SwitchC都為S3610&S5510系列以太網(wǎng)交換機(jī)；部門(mén)1的報(bào)文通過(guò)端口Ethernet1/0/1接入SwitchA。部門(mén)2的報(bào)文通過(guò)端口Ethernet1/0/2接入SwitchA。SwitchA的Trunk端口Ethernet1/0/3和SwitchB的Trunk端口Ethernet1/0/1相連。SwitchB的Trunk端口Ethernet1/0/2和SwitchC的Trunk端口Ethernet1/0/1相連。Server接在SwitchC的Ethernet1/0/2端口上。需求為：用戶(hù)希望通過(guò)Server對(duì)部門(mén)1和部門(mén)2收發(fā)的報(bào)文進(jìn)行遠(yuǎn)程監(jiān)控。使用遠(yuǎn)程端口鏡像功能實(shí)現(xiàn)該需求，進(jìn)行如下配置：在SwitchA上配置遠(yuǎn)程源鏡像組，定義VLAN2為遠(yuǎn)程鏡像VLAN，端口Ethernet1/0/1和Ethernet1/0/2為鏡像源端口，端口Ethernet1/0/4為反射口。配置SwitchA的Ethernet1/0/3端口、SwitchB的Ethernet1/0/1和Ethernet1/0/2端口、SwitchC的Ethernet1/0/1端口為T(mén)runk端口，并且端口均允許VLAN2的報(bào)文通過(guò)。在SwitchC上配置遠(yuǎn)程