CCNP Switch v1.0 实验手册2011年更新

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

Switch V1.0试验分解指南

目录：

1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P2110、HSRP P2411、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P3114、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

一、实验目的

1、掌握标准VLAN的创建方法2、掌握扩展VLAN的创建方法

二、实验内容

拓扑图：

VLAN的创建

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

需求：

为不同的客户划分VLAN

三、实验配置

配置：

1、查看VTP的操作模式 Switch#show vtp status

VTP Version : running VTP1 (VTP2 capable) Configuration Revision : 0 Maximum VLANs supported locally : 1005 Number of existing VLANs : 5

VTP Operating Mode : Server VTP Domain Name :

2、配置标准VLAN

Switch(vlan)#vlan database

Switch(vlan)#vlan 1 （创建VLAN 1） VLAN 1 modified: Switch(vlan)#vlan 2 VLAN 2 added: Name: VLAN0002

Switch(vlan)#vlan 3 name customer （创建VLAN ，并且设置VLAN的名字） VLAN 3 modified: Name: customer

Switch(vlan)#exit （一定要使用exit退出VLAN database）

3、创建扩展VLAN（1006~4095） 错误方式：

Switch(vlan)#vlan 1006 ^

% Invalid input detected at '^' marker.

Switch(config)#vlan 1006 Switch(config-vlan)#exit

% Failed to create VLANs 1006

Extended VLAN(s) not allowed in current VTP mode.

（在VLAN Database中不能创建扩展VLAN，只能在配置模式下，并且是VTP透明模式下才能创建）

正确方式：

Switch(config)#vtp mode transparent Switch(config)#vlan 1006

验证：

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

Switch#show vlan brief

VLAN Name Status Ports

---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8

Fa0/9, Fa0/10, Fa0/11, Fa0/12 2 VLAN0002 active 3 customer active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup 1006 VLAN1006 active

Switch#show vtp status

VTP Version : running VTP1 (VTP2 capable) Configuration Revision : 0

Maximum VLANs supported locally : 1005

Number of existing

VLANs : 7 VTP Operating Mode : Transparent

VTP Domain Name :

四、应用场景 在大型网络环

境或在运营商网络

环境下分配VLAN时要用到扩展VLAN（1006~4095）的情况下。

交换机端口操作模式设置

一、实验目的

1、掌握交换机端口各操作模式的作用 2、掌握交换机端口各操作模式的配置

二、实验内容

拓扑图：

需求：

根据实际情况，为交换机各端口指定符合需求的操作模式。

三、实验配置

知识点链接：

交换机端口的操作模式：

Access:常用于连接终端设备；特点是只能承载一个VLAN的信息

Trunk:常用于交换机间连接；特点是不属于任何VLAN，但能承载所有VLAN信息 Dynamic: 通过DTP协议，动态协商为access或trunk模式；DTP有四中协商模式，

分别为：on、off、desirable、auto

配置：

1、查看交换机端口默认工作模式

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

Switch#show running-config interface fastEthernet 0/1 interface FastEthernet0/1

switchport mode dynamic desirable （端口默认的操作模式） Switch1#show interfaces fastEthernet 0/1 switchport Name: Fa0/1

Switchport: Enabled

Administrative Mode: dynamic desirable （端口默认的操作模式）

Operational Mode: static access （动态协商后的操作模式为：Access）

2、修改交换机端口的操作模式

Switch1(config)#interface fastEthernet 0/1

Switch1(config-if)#switchport mode access （手动指定交换机的端口操作模式为：access） Switch1(config)#interface fastEthernet 0/23 Switch1(config-if)#switchport mode access Switch1(config)#interface fastEthernet 0/24

Switch1(config-if)#switchport mode trunk （手动指定交换机的端口操作模式为：trunk）

Switch3(config)#interface fastEthernet 0/24

Switch3(config-if)#switchport trunk encapsulation dot1q Switch3(config-if)#switchport mode trunk

验证：

Switch1#show interfaces fa0/1 switchport

Name: Fa0/1

Switchport: Enabled

Administrative Mode:

static access

Operational Mode: static access

Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: native Negotiation of Trunking: Off

Switch1#show interfaces fa0/24 switchport Name: Fa0/24

Switchport: Enabled

Administrative Mode: trunk Operational Mode: trunk

Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On

四、应用场景

为保证二层网络的安全性，最好手动指定各端口的操作模式（虽然动态协商能简化配置）， 在交换网络中，

关闭其他不用端口。

Cisco 3550、3560交换机端口的操作模式改为Trunk时，应先修改端口的封装类型为：802.1Q或ISL

Cisco 2950、2960交换机trunk端口的默认封装类型为（仅为）802.1Q

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

VLAN端口划分

一、实验目的

1、掌握交换机端口划分到VLAN的方法

二、实验内容

拓扑图：

需求：

为不同的客户划分VLAN

三、实验配置

配置：

1、手动为端口划分VLAN

Switch(config)#interface

fastEthernet 0/1

Switch(config-if)#switchport mode

access

Switch(config-if)#switchport access vlan 10

2、动态为端口划分VLAN（VMPS）

Switch(config)#interface range fastEthernet 0/1 – 20 （对一组端口操作） Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan dynamic

验证：

Switch#show vlan brief

VLAN Name Status Ports

---- -------------------------------- --------- ------------------------------- 1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12 2 VLAN0002 active 3 customer active

10 VLAN0010 active Fa0/1

四、应用场景

在大型网络环境下分配VLAN时，通过动态VLAN可以简化配置，并可提高网络的安全性。

开启端口动态VLAN划分。

注：需在VMPS服务器上构建VLAN-MAC的映射数据库

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

VLAN VTP设置

一、实验目的

1、掌握交换机VTP的应用及配置

二、实验内容

拓扑图：

需求：

1、简化VLAN的配置

2、减少VLAN的泛洪

3、确保VLAN信息的安全

三、实验配置

配置：

1、在3560上查看VTP信息

Switch#show vtp status

VTP

Version : 2 （VTP协议版本号，V2版本增加对令牌环网的支持）

Configuration

Revision

: 0 （VTP的配置版本号，指示VLAN的变更信息）

Maximum VLANs supported locally : 1005 （指示交换机最多能够配置的VLAN数量） Number of existing VLANs : 5 （指示现有VLAN的数量）

VTP Operating Mode : Server （VTP的操作模式：Server、Client、Transparent） VTP Domain Name : （VTP的管理域，缺省为空（Null）） VTP Pruning Mode : Disabled （VTP的修剪模式，处于关闭状态） VTP V2 Mode : Disabled VTP Traps Generation : Disabled

MD5 digest : 0x7D 0x5A 0xA6 0x0E 0x9A 0x72 0xA0 0x3A （VTP加密信息） Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00 Local updater ID is 0.0.0.0 (no valid interface found)

2配置VLAN（略）

3、配置交换机间Trunk链路（略，注：VTP工作在Trunk链路上）

4、在核心交换机上配置VTP相关参数

SW3560#vlan database (进入VLAN Database模式下配置；但建议在全局模式下配置) SW3560(config)#vtp mode server （修改VTP的操作模式为Server）

SW3560(config)#vtp domain kinglab （修改VTP的管理域（Domain）为kinglab）

Changing VTP domain name from NULL to kinglab （默认VTP的Domain为空（Null）） SW3560(config)#vtp pruning （开启VTP修剪功能，防止VLAN数据泛洪，提高有效带宽） Pruning switched on

SW3560(config)#vtp password kinglab （设置VTP密码，保护VTP信息） Setting device VLAN database password to kinglab

5、在其他交换机上配置VTP相关参数（配置同上，略；注：VTP模式改为Client）

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

验证：

SW3560#show vtp status

VTP Version : running VTP1 (VTP2 capable) Configuration Revision : 3 Maximum VLANs supported locally : 1005 Number of existing VLANs : 7

VTP Operating Mode : Server VTP Domain Name : kinglab VTP Pruning Mode : Enabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled

MD5 digest : 0xF8 0x24 0xC2 0xE0 0x9B 0x33 0x92 0x0E

*** MD5 digest checksum mismatch on trunk: Fa0/21 *** （其他交换机没配置password时） *** MD5 digest checksum mismatch on trunk: Fa0/22 *** *** MD5 digest checksum mismatch on trunk: Fa0/23 *** *** MD5 digest checksum mismatch on trunk: Fa0/24 *** Configuration last modified by 0.0.0.0 at 3-1-93 00:04:49 Local updater ID is 0.0.0.0 (no valid interface found)

SW2960#show vtp status

VTP Version : 2 Configuration Revision : 3 Maximum VLANs supported locally : 128 Number of existing VLANs : 7

VTP Operating Mode : Client VTP Domain Name : kinglab VTP Pruning Mode : Enabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled

MD5 digest : 0x8A 0x4E 0xDA 0x4F 0x09 0xCC 0x50 0x04 Configuration last modified by 0.0.0.0 at 3-1-93 01:57:45

四、应用场景

通过VTP的配置，可以大大简化企业VLAN的部署，但是请尽量避免使用VTP部署方法。确实要部署 请一定注意vtp Revision 的问题。

Spanning Tree Protocol

（STP 802.1D）

一、实验目的

1、掌握标准生成树（STP）的应用及配置

二、实验内容

拓扑图：

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

需求：

1、确保PC和服务器间通信路径最短 （注：橙色端口为阻塞端口）

三、实验配置

配置：

1、查看生成树

SW1#show spanning-tree （查看生成树） VLAN0001 （VLAN1 的生成树实例）

Spanning tree enabled protocol ieee （生成树的模式为802.1D标准生成树） Root ID Priority 32769 （指示生成树根的Root ID，SW1为根桥）

Address 0004.9A8B.7C69

This bridge is the root （指示此交换机为Vlan1生成树的根）

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec （生成树计时器）

Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) （指示此交换机的BridgeID） Address 0004.9A8B.7C69

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20

Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- --------------------------------

Fa0/21 Desg FWD 19 128.21 P2p （端口角色、状态及端口优先级） Fa0/22 Desg FWD 19 128.22 P2p

SW3#show spanning-tree （SW3为非根桥） VLAN0001

Spanning tree enabled protocol ieee Root ID Priority 32769

Address 0004.9A8B.7C69 Cost 19

Port 22(FastEthernet0/22)

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 00E0.A39D.C5A3

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

Aging Time 20

Interface Role Sts Cost Prio.Nbr Type

---------------- ---- --- --------- -------- -------------------------------- Fa0/22 Root FWD 19 128.22 P2p Fa0/24 Desg FWD 19 128.24 P2p

Gi0/1 Altn BLK 4 128.25 P2p

Gi0/2 Desg FWD 4 128.26 P2p

2、根据需求，应该让SW3为STP的Root最为合理 SW3(config)#spanning-tree vlan 1 root primary （修改SW3的VLAN1生成树实例为根桥） 验证： SW3#show

spanning-tree VLAN0001

Spanning tree enabled protocol ieee Root ID Priority 24577

Address 00E0.A39D.C5A3 This bridge is the root

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 24577 (priority 24576 sys-id-ext 1) Address 00E0.A39D.C5A3

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20

Interface Role Sts Cost Prio.Nbr Type

---------------- ---- --- --------- -------- -------------------------------- Fa0/22 Desg FWD 19 128.22 P2p Fa0/24 Desg FWD 19 128.24 P2p Gi0/1 Desg FWD 4 128.25 P2p Gi0/2 Desg FWD 4 128.26 P2p

四、应用场景

STP协议对用户是透明的。自动会选举出block端口，阻止环路。但我们一定注意STP选举有可能 选择出的路径不是最优的。这时候我们就要调整STP参数。达到流量优化的目的。

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

PVST+ & RSTP

一、实验目的

1、掌握PVST+的应用及配置 2、掌握RSTP的应用及配置

二、实验内容

拓扑图：

需求：

1、加快STP的收敛，匹配动态路由的收敛（注：在内网运行OSPF）

三、实验配置

配置： 1、在所有连接非交换机的端口配置快速端口

SW3(config)#spanning-tree portfast default （在全局下开启PVST+ 的快速端口）

SW3(config)#interface fastEthernet 0/1

SW3(congig-if)switchport mode access

SW3(config-if)#spanning-tree

portfast （在端口下 开启PVST+ 的快速端口）

2、开启快速上行链路

SW1(config)#spanning-tree uplinkfast （在全局下开启快速上行链路，其他交换机同配置）

3、开启快速骨干链路

Switch(config)#spanning-tree backbonefast （在全局下开启快速骨干链路，其他交换机同配置） 4、或者替代步骤2、3；启用RSTP

Switch(config)#spanning-tree mode rapid-pvst （开启RSTP生成树模式）

验证： 1、观察

开启Portfast功能的端口，连上PC后，端口颜色立马变成绿色（没开启时，端口颜色由橙色变绿色，一般需30秒）

2、查看生成树

Switch#show spanning-tree VLAN0001

Spanning tree enabled protocol rstp （生成树模式为RSTP） Root ID Priority 32769

Address 0009.7ca7.7d00 Cost 3019

Port 23 (FastEthernet0/23)

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

Bridge ID Priority 49153 (priority 49152 sys-id-ext 1) Address 0011.9391.2680

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300

UplinkFast enabled but inactive in rapid-pvst mode

Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- -------------------------------- Fa0/21 Altn BLK 3019 128.21 P2p Peer(STP) Fa0/22 Altn BLK 3019 128.22 P2p Peer(STP) Fa0/23 Root FWD 3019 128.23 P2p Peer(STP) Fa0/24 Altn BLK 3019 128.24 P2p Peer(STP)

加快应网络拓扑发生变化而导致的收敛速度

四、应用场景

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

生成树防护（STP Guard）

一、实验目的

1、掌握生成树防护的应用及配置

二、实验内容

拓扑图：

需求：

1、防止攻击者使用STP攻击网络

三、实验配置

配置：

Switch(config)#interface

fastEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#spanning-tree bpdufilter enable

（启用BPDU过滤功能，在此端口不接受/发送BPDU报文）

Switch(config-if)#spanning-tree bpduguard enable

（启用BPDU防护功能，在此端口不接受BPDU；收到BPDU，端口禁用）

Switch(config-if)#spanning-tree guard root

（启用STP根防护功能，在此端口不接受拥有更优BID的BPDU报文）

验证：

1、Switch#show spanning-tree interface fastEthernet 0/24 detail Port 24 (FastEthernet0/24) of VLAN0001 is designated forwarding Port path cost 3019, Port priority 128, Port Identifier 128.24. Designated root has priority 32769, address 0009.7ca7.7d00 Designated bridge has priority 49153, address 0011.9391.2680 Designated port id is 128.24, designated path cost 3019 Timers: message age 0, forward delay 0, hold 0 Number of transitions to forwarding state: 1 Link type is point-to-point by default

Bpdu guard is enabled （端口启用BPDU防护） Bpdu filter is enabled （端口启用了BPDU过滤）

Root guard is enabled on the port （端口启用根防护） BPDU: sent 0, received 0 （在此端口没收发任何BPDU报文）

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

SVI实验

一、实验目的

掌握多层交换机SVI接口的配置方法

二、实验内容

拓扑图：

需求：3台PC分别在3个VLAN分别是机配置

SVI三层接口让VLAN之间能够互相访问。

三、实验配置

SW（config）#interface

fa0/1

把连接VLAN10的主机划入VLAN10

SW(config-if)#switchport mode access SW(config-if)#switchport access vlan 10

SW（config）#interface fa0/2 把连接VLAN20的主机划入VLAN20 SW(config-if)#switchport mode access SW(config-if)#switchport access vlan 20

SW（config）#interface fa0/3 把连接VLAN30的主机划入VLAN30 SW(config-if)#switchport mode access SW(config-if)#switchport access vlan 30

SW（config）#interface vlan 10 进入三层SVI接口 SW(config-if)#ip address 10.1.1.254 255.255.255.0 SW（config）#interface vlan 20 进入三层SVI接口 SW(config-if)#ip address 20.1.1.254 255.255.255.0 SW（config）#interface vlan 30 进入三层SVI接口 SW(config-if)#ip address 30.1.1.254 255.255.255.0 主机配置：

主机配置好对应VLAN的IP地址，网关全部指向SVI接口。

验证：

VLAN

10.20.30 在交换

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

所有不同的VLAN主机可以互相ping通。 四、应用场景

在园区网内部实现VLAN之间的访问。

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

EtherChannel

一、实验目的

1、掌握EtherChannel的应用及配置

二、实验内容

拓扑图：

需求： 1、启用Etherchannel，实现多链路捆绑及负载均衡

三、实验配置

配置： 1、Layer2 Etherchannel配置

SW1(config)#interface port-channel 1 （创建以太通道端口）

SW1(config-if)#channel-g

roup 1 mode

desirable （配置以太通道协议PAGP的操作模式为：协商）

SW1(config-if)#channel-protocol pagp (配置以太通道的协议模式为pagp，可选) SW1(config)# interface range gigabitEthernet 0/1 – 2

SW1(config-if)#channel-group 1 mode desirable （在端口关联以太通道端口） 注：以上是先创建后关联

SW2(config)#interface range gigabitEthernet 0/1 - 2

SW2(config-if-range)#switchport trunk encapsulation dot1q SW2(config-if-range)#switchport mode trunk

SW2(config-if-range)#channel-group 1 mode desirable SW2(config-if-range)#channel-protocol pagp

注：以上配置是直接在端口关联以太通道，系统会自动创建以太通道

2、Layer3 Etherchannel配置

SW2(config)#interface range gigabitEthernet 0/1 - 2

SW2(config-if-range)#no switchport (关键，开启接口三层端口) SW2(config-if-range)#channel-group 1 mode desirable SW2(config-if-range)#channel-protocol pagp SW2(config)#interface port-channel 1

SW2(config-if)#no switchport (关键，开启三层以太通道端口；注意确保接口的二层端口开启) SW2(config-if)#ip address X.X.X.X 255.255.255.0 注：Layer3 Etherchannel要注意配置次序

3、Etherchannel 负载均衡方式

Switch(config)#port-channel load-balance ? （修改Etherchannel的负载均衡方式） dst-ip Dst IP Addr dst-mac Dst Mac Addr

src-dst-ip Src XOR Dst IP Addr src-dst-mac Src XOR Dst Mac Addr

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

src-ip Src IP Addr src-mac Src Mac Addr

验证：

Switch#show etherchannel port-channel （查看Etherchannel的相关参数） Channel-group listing: ---------------------- Group: 1 ----------

Port-channels in the group: --------------------------- Port-channel: Po1 ------------

Age of the Port-channel = 00d:00h:32m:28s

Logical slot/port = 2/1 Number of ports = 2

GC = 0x00000000 HotStandBy port = null

Port state = Port-channel （Etherchannel 协议状态，现在为L2） Protocol = PAGP （Etherchannel 协议类型） Port Security = Disabled Ports in the Port-channel:

Index Load Port EC state No of bits ------+------+------+------------------+-----------

0 00 Gig0/1 Desirable-Sl 0 (Etherchannel 协议协工作模式) 0 00 Gig0/2 Desirable-Sl 0

Time since last port bundled: 00d:00h:25m:12s Gig0/2

四、应用场景

网络骨干链路上实现高带宽、链路备份、负载均衡

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

Hot Standby Router Protocol（HSRP）

一、实验目的

1、掌握HSRP的应用及配置

二、实验内容

拓扑图：

需求：

1、实现链路、设备热备

三、实验配置

配置：

PC上设置好正确的IP地址，注意网关指向HSRP的虚拟地址（192.168.1.254） 1、在R1上配置HSRP

R1(config)#interface fastEthernet 0/0

R1(config-if)#standby 1 ip 192.168.1.254 （设置HSRP虚拟路由器的IP地址为：192.168.1.254） R1(config-if)#standby 1 priority 105 （设置HSRP的优先级值；值越大优先级越高） R1(config-if)#standby 1 preempt （设置HSRP根据优先级值抢占Active角色功能） R1(config-if)#standby 1 track fa0/1 （开启HSRP对接口的Track功能）

2、在R2上配置HSRP

R2(config)#interface fastEthernet 0/0 R2(config-if)#standby 1 ip 192.168.1.254

R2(config-if)#standby 1 priority 100 （设置HSRP的优先级值；缺省为100，可以不设） R2(config-if)#standby 1 preempt

R2(config-if)#standby 1 track fa0/1

3、在SW1上配置DHCP，宣告PC的网关地址为192.168.1.254 （略）

验证：

1、查看HSRP协议相关信息 R1#show standby

FastEthernet0/0 - Group 1

State is Active （路由器HSRP的状态）

2 state changes, last state change 00:00:06

Virtual IP address is 192.168.1.254 （HSRP的虚拟IP地址，需手动指定）

Active virtual MAC address is 0000.0c07.ac01 （HSRP的虚拟MAC地址,系统自动分配） Local virtual MAC address is 0000.0c07.ac01 (v1 default)

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

Hello time 3 sec, hold time 10 sec （HSRP的Hello时间） Next hello sent in 1.924 secs

Preemption enabled （HSRP抢占功能开启） Active router is local

Standby router is 192.168.1.2, priority 100 （192.168.1.2 为HSRP的Standby路由器） Priority 105 (configured 105) （配置的优先级值为105）

Track interface FastEthernet0/1 state Up decrement 10 （开启了Track功能，惩罚值为10） Group name is "hsrp-Fa0/0-1" (default) （HSRP 热备组名称）

2、Debug HSRP的交互报文 R1#debug standby

*Mar 1 01:03:48.015: HSRP: Fa0/0 Grp 1 Hello out 192.168.1.1 Active pri 105 vIP 192.168.1.254 *Mar 1 01:03:48.683: HSRP: Fa0/0 Grp 1 Hello in 192.168.1.2 Standby pri 100 vIP 192.168.1.254 *Mar 1 01:03:49.135: HSRP: Fa0/0 Grp 1 Hello out 192.168.1.1 Active pri 105 vIP 192.168.1.254

当R1的F0/1端口发生故障

*Mar 1 01:07:13.283: %TRACKING-5-STATE: 1 interface Fa0/1 line-protocol Up->Down *Mar 1 01:07:13.283: HSRP: Fa0/0 Grp 1 Track 1 object changed, state Up -> Down *Mar 1 01:07:13.283: HSRP: Fa0/0 Grp 1 Priority 105 -> 95

*Mar 1 01:07:13.291: HSRP: Fa0/0 Grp 1 Hello in 192.168.1.2 Standby pri 100 vIP 192.168.1.254 *Mar 1 01:07:14.487: HSRP: Fa0/0 Grp 1 Hello out 192.168.1.1 Active pri 95 vIP 192.168.1.254 *Mar 1 01:07:19.407: HSRP: Fa0/0 Interface adv in, Active, active 1, passive 0, from 192.168.1.2 *Mar 1 01:07:19.411: HSRP: Fa0/0 Grp 1 Active router is 192.168.1.2, was local *Mar 1 01:07:19.411: HSRP: Fa0/0 Nbr 192.168.1.2 active for group 1

*Mar 1 01:07:19.415: HSRP: Fa0/0 Grp 1 Standby router is unknown, was 192.168.1.2

*Mar 1 01:07:19.415: HSRP: Fa0/0 Nbr 192.168.1.2 no longer standby for group 1 (Active) *Mar 1 01:07:19.415: HSRP: Fa0/0 Grp 1 Active: g/Hello rcvd from higher pri Active router (100/192.168.1.2)

*Mar 1 01:07:19.415: HSRP: Fa0/0 Grp 1 Active -> Speak

*Mar 1 01:07:19.419: HSRP: Fa0/0 Interface adv out, Passive, active 0 passive 1

*Mar 1 01:07:19.419: HSRP: Fa0/0 Grp 1 Redundancy "hsrp-Fa0/0-1" state Active -> Speak

*Mar 1 01:07:19.419: HSRP: Fa0/0 Grp 1 Resign out 192.168.1.1 Speak pri 95 vIP 192.168.1.254 *Mar 1 01:07:19.427: HSRP: Fa0/0 Grp 1 Deactivating MAC 0000.0c07.ac01

*Mar 1 01:07:19.427: HSRP: Fa0/0 Grp 1 Removing 0000.0c07.ac01 from MAC address filter *Mar 1 01:07:19.431: HSRP: Fa0/0 Grp 1 MAC addr update Delete from SMF 0000.0c07.ac01

*Mar 1 01:07:19.431: HSRP: Fa0/0 Grp 1 Hello out 192.168.1.1 Speak pri 95 vIP 192.168.1.254 *Mar 1 01:07:19.435: HSRP: Fa0/0 IP Redundancy "hsrp-Fa0/0-1" update, Active -> Speak

*Mar 1 01:07:19.459: HSRP: Fa0/0 Interface adv in, Passive, active 0, passive 1, from 192.168.1.2 *Mar 1 01:07:19.463: HSRP: Fa0/0 Grp 1 Resign in 192.168.1.2 Speak pri 100 vIP 192.168.1.254 *Mar 1 01:07:19.463: HSRP: Fa0/0 Grp 1 Active router is unknown, was 192.168.1.2

*Mar 1 01:07:19.463: HSRP: Fa0/0 Nbr 192.168.1.2 no longer active for group 1 (Speak)

*Mar 1 01:07:19.467: HSRP: Fa0/0 Nbr 192.168.1.2 Was active or standby - start passive holddown *Mar 1 01:07:19.467: HSRP: Fa0/0 Grp 1 Hello in 192.168.1.2 Speak pri 100 vIP 192.168.1.254 *Mar 1 01:07:19.467: HSRP: Fa0/0 Grp 1 Speak: f/Hello rcvd from higher pri Speak router (100/192.168.1.2) *Mar 1 01:07:19.471: HSRP: Fa0/0 Grp 1 Speak -> Listen

*Mar 1 01:07:19.471: HSRP: Fa0/0 Grp 1 Redundancy "hsrp-Fa0/0-1" state Speak -> Backup

*Mar 1 01:07:19.471: HSRP: Fa0/0 Interface adv in, Active, active 1, passive 1, from 192.168.1.2 *Mar 1 01:07:19.471: HSRP: Fa0/0 Nbr 192.168.1.2 Adv in, active 1 passive 1 *Mar 1 01:07:19.475: HSRP: Fa0/0 Nbr 192.168.1.2 is no longer passive *Mar 1 01:07:19.475: HSRP: Fa0/0 Nbr 192.168.1.2 destroyed

*Mar 1 01:07:19.475: HSRP: Fa0/0 Grp 1 Coup in 192.168.1.2 Speak pri 100 vIP 192.168.1.254 *Mar 1 01:07:19.475: HSRP: Fa0/0 Grp 1 Active router is 192.168.1.2 *Mar 1 01:07:19.479: HSRP: Fa0/0 Nbr 192.168.1.2 created

*Mar 1 01:07:19.479: HSRP: Fa0/0 Nbr 192.168.1.2 active for group 1

*Mar 1 01:07:19.479: HSRP: Fa0/0 Interface adv out, Passive, active 0 passive

*Mar 1 01:07:19.483: HSRP: Fa0/0 Interface adv in, Active, active 1, passive 0, from 192.168.1.2 *Mar 1 01:07:19.483: HSRP: Fa0/0 IP Redundancy "hsrp-Fa0/0-1" update, Speak -> Backup

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

*Mar 1 01:07:19.879: HSRP: Fa0/0 Grp 1 Hello in 192.168.1.2 Active pri 100 vIP 192.168.1.254

四、应用场景

网络骨干链路上实现双出口链路、设备热备、负载均衡功能

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

动态地址分配（DHCP）

一、实验目的

1、掌握DHCP Server 的配置及应用

二、实验内容

拓扑图：

需求：

1、3560-24PS为DHCP Server；

2、分别为VLAN10、VLAN20内的PC动态分配IP地址；

3、为VLAN100内的IP Phone 绑定IP地址，并设置TFTP为192.168.100.253 。

三、实验配置

配置：

1、开启DHCP Server 功能 Switch(config)#service dhcp

2、排除已分配的固定IP地址

Switch(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.100

3、创建DHCP地址池

Switch(config)#ip dhcp pool VLAN10 （对VLAN 10 配置地址池） Switch(dhcp-config)#network 192.168.10.0 /24 （设置地址池网段）

Switch(dhcp-config)#default-router 192.168.10.254 （设置默认网关地址） Switch(dhcp-config)#dns-server 202.96.209.133 202.96.209.134 (设置DNS地址) Switch(dhcp-config)#lease 0 8 （设置IP地址租期：8小时）

Switch(config)#ip dhcp pool VLAN20

Switch(dhcp-config)#network 192.168.20.0 /24

Switch(dhcp-config)#default-router 192.168.20.254

Switch(dhcp-config)#dns-server 202.96.209.133 202.96.209.134 Switch(dhcp-config)#lease 0 8

Switch(config)#ip dhcp pool Phone8001

Switch(dhcp-config)#hardware-address dd.eeff (绑定Phone/PC的MAC地址) Switch(dhcp-config)#host 192.168.100.1 /24 (绑定IP地址) Switch(dhcp-config)#default-router 192.168.20.254

Switch(dhcp-config)#option 150 ip 192.168.100.253 （设置CISCO VOIP的TFTP Server 地址） Switch(dhcp-config)#lease infinite

验证：

Switch#show ip dhcp binding

Switch V1.0试验分解指南 目录： 1、VLAN创建 P3 2、交换机端口操作模式设置 P5 3、VLAN端口划分 P7 4、VTP设置 P8 5、STP实验 P12 6、PVST+&RSTP P15 7、STP防护 P17 8、SVI实验 P19 9、etherchannel P21 10、HSRP P24 11、DHCP P27 12、dhcp中继 P29 13、IP SLA实验 P31 14、port-Security P33 15、基于端口的802.1x P35 16、dynamic ARP inspect P41 17、VLAN ACL P43

IP address Client-ID/ Lease expiration Type

Hardware address 192.168.10.101 0100.2264.4bab.eb Mar 01 1993 08:22 AM Automatic 192.168.100.1 dd.eeff Infinite Manual

四、应用场景

此DHCP配置方案主要应用在中大型网络中；

本文来源：https://www.bwwdw.com/article/yy84.html