《综合布线与互联设备》实验指导书 - 马立新

更新时间：2024-05-31 08:43:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

综合布线设备清单推荐度：
相关推荐

高等职业教育计算机类实训指导书（计应13级）

综合布线与互联设备实验指导书

班级：姓名：学号：

山东职业学院

2014年8月

实验必读

一、实验目的

实验是教学工作的重要环节，是培养学生实践技能的重要场所。通过实验使学生能够完成路由器等主要网设备配置，训练学生网络搭建与维护能力。通过实际操作，使学生掌握一定的操作技能，能认真、细致、准确的操作。通过实践过程，培养学生独立思考、独立工作的能力及团队协作精神。二、实验要求

为了确保实验顺利进行，圆满成功，培养同学们良好的习惯，提高个人素质，特制定以下实验要求：

1. 实验安全第一，严防意外伤害，按规定操作，不准带电插拔仪器设备。 2. 实训室内禁止饮食，禁止吐痰，严禁吃口香糖。禁止在实训室内喧哗、嬉戏、争斗，保持安静，轻声讨论。

3. 不准恶意破坏仪器设备，设备若有损坏及时向实训指导教师报告。 4. 不准无故旷课、迟到、早退；若有特殊情况，需事先请假，征求许可。 5. 旷课6节，实验成绩不及格，2次迟到算旷课1节。

6. 实验时间内，请勿离开实训室10分钟以上，否则以旷课论，若确有急事，需征得实验指导教师同意后方可离开。

7. 实验结束后，整理复原仪器设备、桌椅，清洁四周环境，待检查后方可离开。

8. 实验过程小心操作，细心观察，勤于思考，注意记录。 9. 不随意设定、修改用户名和口令。 10. 按规定时间、规定格式上交实训报告。

鉴于时间仓促及编者水平有限，在这本实验指导书的编写过程中，难免存在一些问题，如果您有什么建议或意见请与我联系，联系方式为：mlx_teaching@163.com。

- 2 -

实验一（1）交换机初次使用 .................................................................................................. - 4 -

实验一（2）交换机MAC地址表管理 ............................................................... - 10 - 实验一（3）交换机端口的基本配置 ................................................................... - 14 - 实验二（1）VLAN 基础实验 ............................................................................. - 16 - 实验二（2）跨交换机实现VLAN ...................................................................... - 18 - 实验三（1）Super Vlan扩展技术........................................................................ - 23 - 实验三（2）多台交换机上的Private VLAN配置 ............................................. - 26 - 实验三（3）单台三层交换机的Private VLAN配置 ......................................... - 28 - 实验四（1）交换机的端口安全 ........................................................................... - 30 - 实验四（2）802.1x交换机的配置 ....................................................................... - 33 - 实验五端口镜像 ................................................................................................... - 38 - 实验六生成树协议STP ....................................................................................... - 41 - 实验七（1）快速生成树协议RSTP .................................................................... - 47 - 实验七（2）多生成树协议MSTP ....................................................................... - 51 - 实验八（1）静态链路聚合 ................................................................................... - 56 - 实验八（2）静态链路聚合 ................................................................................... - 58 - 实验九（1）三层交换机端口配置 ....................................................................... - 60 - 实验九（2）VLAN 间通信 ................................................................................. - 62 - 实验十（1）静态路由实验 ................................................................................... - 65 - 实验十（2）动态路由RIP V2实验 ..................................................................... - 68 - 实验十（3）单区域OSPF实验 ........................................................................... - 71 - 实验十一访问控制列表 ....................................................................................... - 74 - 实验十二（1）基本VRRP实验 .......................................................................... - 76 - 实验十二（2）VRRP多备份组实验 ................................................................... - 80 - 实验十三（1）组播PIM-DM配置 ...................................................................... - 85 - 实验十三（2）组播PIM-SM配置 ...................................................................... - 86 - 实验十四（1）流量限速和QOS分类 ................................................................. - 88 - 实验十四（2）QOS加权循环队列WRR配置实验 .......................................... - 92 -

- 3 -

实验一（1）交换机初次使用

【实验目的】

掌握交换机Console登录方式，各种命令行操作模式及区别，模式之间的切换，配置的管理。【背景描述】

假如你是某公司新进的网管，公司要求你熟悉网络产品，首先要求你通过Console登录交换机，了解、掌握交换机的命令行操作及配置的管理。【技术原理】

交换机的管理方式基本分为两种：带内管理和带外管理。通过交换机的Console口管理交换机属于带外管理，不占用交换机的网络接口，其特点是需要使用配置线缆，近距离配置。初次使用交换机时应该利用Console端口进行配置。

交换机的命令行操作模式，主要包括：用户模式、特权模式、全局配置模式以及各种子配置模式（包括端口、线路、VLAN等几种）。

用户模式:进入交换机后得到的第一个操作模式，该模式下可以简单查看交换机的软、硬件版本信息，并进行简单的测试。用户模式提示符为switch>

特权模式:由用户模式进入的下一级模式，该模式下可以对交换机的配置文件进行管理，查看交换机的配置信息，进行网络的测试和调试等。在用户模式下通过命令enable即可进入特权模式，特权模式提示符为switch#

全局配置模式:属于特权模式的下一级模式，该模式下可以配置交换机的全局性参数（如主机名、登录信息等）。在特权模式下通过命令configure terminal即可进入全局配置模式。在该模式下可以进入下一级的配置模式，对交换机具体的功能进行配置。全局模式提示符为switch(config)#

端口子配置模式:属于全局配置模式的下一级模式，该模式下可以对交换机的端口进行参数配置。在全局配置模式下输入interface命令即可进入端口模式。端口模式提示符为switch(config-if)#

线路子配置模式:属于全局配置模式的下一级模式，该模式下可以对交换机的Console口和TELNET远程登录进行参数配置。在全局配置模式下输入line命令即可进入线路模式。线路模式提示符为switch(config-line)#

VLAN子配置模式:属于全局配置模式的下一级模式，该模式下可以对交换机

- 4 -

的VLAN进行配置。在全局配置模式下输入vlan命令即可进入VLAN模式。VLAN模式提示符为switch(config-vlan)#

exit命令是退回到上一级操作模式。

end命令是指用户从特权模式以下级别直接返回到特权模式。 disable命令是指用户从特权模式返回到用户模式. 在全局模式下，hostname命令可以配置交换机的主机名。

交换机命令行支持获取帮助信息、命令的缩写、命令的自动补齐、快捷键功能。

当进入配置模式，对交换机的配置进行了增删改后，要回退到特权模式，进行交换机配置的管理：

1、write memory 保存交换机当前生效的配置信息 2、show startup-config查看交换机保存的配置信息。 3、show running-config查看交换机当前生效的配置信息。 4、del config.text 删除交换机保存的配置信息【实现功能】

熟练掌握交换机的命令行操作模式及配置的管理。【实验设备】

S3760E交换机（1台）、主机（1台）、Console线（1条）【实验拓扑】

图 1

【实验步骤】

步骤一、通过超级终端访问交换机

在Windows系统中选择“开始→程序→附件→通讯→超级终端”（如果“通讯”子菜单里面没有“超级终端”，可以到“控制面板→添加删除程序→添加删除windows组建”进行安装，如果是第一次使用超级终端，出现图2所示的位置信息对话框，然后在区号中输入任意的区号，选择“确定”，出现图3所示的界面，

- 5 -

再选择“确定”），出现图4所示的连接描述界面。

在名称输入框中输入一个连接名称（自定）并选择一个图标（自选），然后单击“确定”按钮，出现图5所示的界面。

在“连接时使用”下拉列表中选择和交换机相连的串口，出现图6所示的界面；

在“端口设置”中选择和交换机对应的参数（可参考交换机的手册），一般选择“还原为默认值”，在单击“确定”按钮，成功登录到交换机，在超级终端的显示界面出现交换机的用户模式提示符：“交换机名字>”。

图2位置信息图3电话和调制解调器选项

图4 连接表述图5选择连接使用的串口

- 6 -

图6串口参数设置

步骤二、交换机命令行操作模式的进入与退出。

Switch> !用户模式

switch>enable !进入特权模式（缺省没有密码）

password: switch#configure terminal !进入全局配置模式

switch(config)#interface fastethernet 0/5 !进入交换机F0/5的端口子配置模式

switch(config-if)#exit !退回到上一级操作模式

switch(config)#line vty 0 !进入线路子配置模式

switch(config-line)#exit !退回到上一级操作模式

switch(config)#vlan 1 ！进入VLAN子配置模式 switch(config-vlan)#end !直接退回到特权模式 switch#disable ！退回到用户模式

switch>

步骤三、交换机命令行基本功能。

帮助信息

switch> ? !显示当前模式下所有可执行的命令

disable Turn off privileged commands enable Turn on privileged commands exit Exit from the EXEC

help Description of the interactive help system ping Send echo messages

rcommand Run command on remote switch show Show running system information telnet Open a telnet connection

- 7 -

traceroute Trace route to destination

switch#co? !显示当前模式下所有以co开头的命令

configure copy

switch#copy ? !显示copy命令后可执行的参数

flash: Copy from flash: file system

running-config Copy from current system configuration startup-config Copy from startup configuration tftp: Copy from tftp: file system xmodem Copy from xmodem file syste

命令的缩写

switch#conf ter !交换机命令行支持命令的缩写，该命令代表configure terminal

switch(config)#

命令的自动补齐

switch#con (按键盘的TAB键自动补齐configure) !交换机支持命令的自动补齐

switch#configure

命令的快捷键功能

switch(config-if)# ^Z !Ctrl+Z退回到特权模式 switch#ping 1.1.1.1 ！Ctrl+C终止当前操作

sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2000 milliseconds. . switch#

例如上文中在交换机特权模式下执行ping 1.1.1.1命令，发现不能ping通目标地址，交换机默认情况下需要发送5个数据包，如不想等到5个数据包均不能ping通目标地址的反馈出现，可在数据包未发出5个之前通过执行Ctrl+C终止当前操作。

步骤四、交换机配置的管理

1、配置交换机的主机名

switch#conf t

switch(config)#hostname abc 2、查看交换机正在运行的配置信息

abc# show running-config 3、查看交换机保存的配置信息

abc# show startup-config 4、交换机配置信息的保存

abc# write memory 5、删除交换机保存的配置信息

abc#del config.text

- 8 -

【注意事项】

1、命令行操作进行自动补齐或命令缩写时，要求所缩写的字母必须能够惟一区别该命令。如switch# conf可以代表configure，但switch#co无法代表configure，因为co开头的命令有两个copy和configure，设备无法区别。

2、注意区别每个操作模式下可执行的命令种类。交换机不可以跨模式执行命令。

3、控制线一般一端是串口（连接计算机串口），另一端是RJ45头（连接交换机的console口）。【实验结论】

- 9 -

实验一（2）交换机MAC地址表管理

【实验目的】

掌握交换机MAC地址的管理，加深对交换机工作原理的理解。【背景描述】

你是某公司网管，某个用户称不能上网，请你帮助诊断原因。【技术原理】

MAC地址表包含了用于端口间报文转发的地址信息。MAC地址表包含了动态、静态两种类型的地址：

动态地址是设备通过接收到的报文自动学习到的地址。当一个端口接收到一个包时，设备将把这个包的源地址和这个端口关联起来，并记录到地址表中，如果较长时间(由地址老化时间决定)设备都没有收到以这个地址为源地址的包，则这个地址将被老化掉，设备通过学习新的地址和老化掉不再使用的地址来不断更新其动态地址表。

静态地址是手工添加的地址。静态地址和动态地址功能相同，不过相对动态地址而言，静态地址只能手工进行配置和删除(不能学习和老化) ，静态地址可以保存在配置文件中，即使设备复位，静态地址也不会丢失。

静态地址优先于动态地址。

如交换机支持VLAN，所有的地址都和VLAN相关联，相同的地址可以在多个VLAN中存在，不同VLAN中该地址可以关联不同的端口。每个 VLAN 都维护它自己的逻辑上的一份地址表。一个VLAN已学习的 MAC地址，对于其他 VLAN 而言可能就是未知的，仍然需要学习。【实现功能】

管理交换机的MAC地址表，判断用户接在交换机的哪个端口上。【实验设备】

S3760E（2台）、主机（4台）、直连线（5条）

- 10 -

【实验拓扑】

图1

【实验步骤】

步骤1. 将PC1、PC2、PC3、PC4的IP地址设在同一个子网192.168.1.0/24，对应地址为1、2、3、4，在PC4上分别ping其他三台计算机（如在真实环境中，无需这步）。

用“ipconfig IP地址掩码”来设置计算机的IP地址，例如：ipconfig 192.168.1.2 255.255.255.0。用“ipconfig /all”来查看计算机的MAC地址以及IP参数的配置。假设计算机对应的MAC地址表如下：

计算机 Pc1 Pc2 Pc3 Pc4

MAC地址 0004.9A2B.4082 00D0.FFE1.D80D 00D0.FFBD.C514 0001.639A.8921 步骤2. 查看交换机A的MAC地址表，验证是否动态获取到了四台PC的MAC地址。

SwitchA#show mac-address-table !查看交换机的MAC地址表 Mac Address Table

------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0004.9A2B.4082 DYNAMIC Fa0/24 1 0001.639A.8921 DYNAMIC Fa0/23

- 11 -

1 00D0.FFE1.D80D DYNAMIC Fa0/24 1 00D0.FFBD.C514 DYNAMIC Fa0/24

结论：

步骤3. 将PC3接到0/22端口，验证是否动态维护（更新）MAC地址表。

SwitchA#show mac-address-table !查看交换机的MAC地址表 Mac Address Table

------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0004.9A2B.4082 DYNAMIC Fa0/24 1 0001.639A.8921 DYNAMIC Fa0/23

1 00D0.FFE1.D80D DYNAMIC Fa0/24 1 00D0.FFBD.C514 DYNAMIC Fa0/22

结论：

步骤4. 设置交换机MAC地址表的老化时间

SwitchA#conf t

SwitchA(config)# mac-address-table aging-time 180

注意:模拟器不能设置老化时间

步骤5. 删除动态MAC地址。

SwtichA#clear mac-address-table dynamic

SwitchA#show mac-address-table !查看交换机的MAC地址表 Mac Address Table

------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- -----

步骤6. 在PC4上分别ping其他三台计算机，动态获取MAC地址表。

SwitchA#show mac-address-table !查看交换机的MAC地址表 Mac Address Table

------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0004.9A2B.4082 DYNAMIC Fa0/24 1 0001.639A.8921 DYNAMIC Fa0/23

1 00D0.FFE1.D80D DYNAMIC Fa0/24

- 12 -

1 00D0.FFBD.C514 DYNAMIC Fa0/22

步骤7. 过3分钟，再查看MAC地址表，验证地址表是否过期。

SwitchA#show mac-address-table !查看交换机的MAC地址表 Mac Address Table

------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- -----

步骤8. 添加交换机的静态地址表,把PC3的MAC地址静态加到F0/24端口

SwitchA#conf t

SwitchA(config)# mac-address-table static 00D0.FFBD.C514 vlan 1 interface

fastethernet 0/24

SwitchA#show mac-address-table !查看交换机的MAC地址表 Mac Address Table

------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0004.9A2B.4082 DYNAMIC Fa0/24 1 0001.639A.8921 DYNAMIC Fa0/23 1 00D0.FFE1.D80D DYNAMIC Fa0/24 1 00D0.FFBD.C514 STATIC Fa0/24

结论：静态地址优于动态的地址

步骤9. 将PC3直接移到SwitchA的f0/1端口，观察MAC地址表

SwitchA#show mac-address-table

SwitchA#show mac-address-table !查看交换机的MAC地址表 Mac Address Table

步骤10. 用PC4 ping其他三台计算机，不能和PC3通信。【问题】

PC4为何不能和PC3通信？

- 13 -

实验一（3）交换机端口的基本配置

【实验目的】

掌握交换机端口的常用配置参数。【背景描述】

你是某公司网管，现公司有部分主机网卡属于10Mbit/s网卡，传输模式为半双工，为了能够实现主机之间的正常访问和管理，现把和主机相连的交换机端口速率设为10Mbit/s，传输模式设为半双工，并设置该端口的描述信息为“To PCA”。【技术原理】

交换机Fastethernet接口默认情况下是10Mbit/s或100Mbit/s自适应端口，双工模式也为自适应。默认情况下，所有交换机端口均开启。交换机Fastethernet接口支持端口速率、双工模式的配置。【实现功能】

配置交换机端口的速率，双工模式和描述，并进行有效查看。【实验拓扑】

图 1

注：在进行网络连接时，主机的网卡用直连线和交换机连接，注意查看主机连接在交换机的哪个端口，针对该端口进行参数的设置。

【实验步骤】

步骤一、交换机端口参数的配置。

switch> enable

switch# configure terminal

switch(config)#interface fastethernet 0/3 !进行F0/3的端口模式 switch(config-if)#speed 10 !配置端口速率为10M

switch(config-if)#duplex half !配置端口的双工模式为半双工

- 14 -

switch(config-if)#description To PCA !配置端口的描述信息

switch(config-if)#no shutdown !开启该端口，使端口转发数据

注：配置端口速率参数有100（100Mbit/s）、10（10Mbit/s）、auto(自适应)，默认是auto。注：配置双式模式有full（全双工）、half（半双工）、auto（自适应），默认是auto。

步骤二、查看交换机端口的配置信息。

switch#show interface fastethernet 0/3

FastEthernet0/3 is up, line protocol is up (connected)

Hardware is Lance, address is 00e0.f966.4617 (bia 00e0.f966.4617) Description: To PCA

MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Half-duplex, 10Mb/s

input flow-control is off, output flow-control is off ARP type: ARPA, ARP Timeout 04:00:00

Last input 00:00:08, output 00:00:05, output hang never Last clearing of \

Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo

Output queue :0/40 (size/max)

5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 956 packets input, 193351 bytes, 0 no buffer

Received 956 broadcasts, 0 runts, 0 giants, 0 throttles

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 watchdog, 0 multicast, 0 pause input

0 input packets with dribble condition detected 2357 packets output, 263570 bytes, 0 underruns 0 output errors, 0 collisions, 10 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier

0 output buffer failures, 0 output buffers swapped out

【注意事项】

交换机端口在默认情况下是开启的，如果该端口没有实际连接其他设备，line protocol是down状态。【实验结论】

- 15 -

实验二（1）VLAN 基础实验

【实验目的】

理解同一交换机VLAN 的特点。【背景描述】

假设某企业有两个主要部门：销售部和技术部，但为了数据安全起见，销售部和技术部需要进行相互隔离，现要在交换机上做适当配置来实现这一目标。【实现功能】

使在同一VLAN 里的计算机系统能进行相互通信，而在不同VLAN 里的计算机系统不能进行相互通信。【实验设备】

S3760EG（1台）、主机（3 台）、直连线（3 条）【实验拓扑】

实验时，按照拓扑图进行网络的连接，注意主机和交换机连接的端口。

【实验步骤】

步骤一、在交换机SwitchA 上创建Vlan 10，并将F0/10 和F0/11端口划分到Vlan 10 中。

SwitchA#configure terminal SwitchA(config)# vlan 10 SwitchA(config-vlan)# name sales

- 16 -

PC1:192.168.10.10 VLAN 10 F0/10 F0/24

VLAN 20 PC2:192.168.20.10 PC3:192.168.10.30 SwitchA

F0/11

VLAN 10

SwitchA(config-vlan)#exit

SwitchA(config)#interface range fastethernet0/10-11 SwitchA(config-if)#switchport access vlan 10

步骤二、在交换机switchA 上创建Vlan 20，并将F0/24 端口划分到Vlan 20 中。 SwitchA(config)# vlan 20

SwitchA(config-vlan)# name technical SwitchA(config-vlan)#exit

SwitchA(config)#interface fastethernet0/24 SwitchA(config-if)#switchport access vlan 20

步骤三、按照拓扑图配置PC1，PC2，PC3的IP地址，验证PC1，PC2，PC3之间互相通信情况。【实验结论】

- 17 -

实验二（2）跨交换机实现VLAN

【实验目的】

理解VLAN如何跨交换机实现。

【背景描述】

假设某企业有2个主要部门：销售部和技术部，其中销售部门的个人计算机

系统分散连接在2台交换机上，他们之间需要相互进行通信，但为了数据安全起见，销售部和技术部需要进行相互隔离，现要在交换机上做适当配置来实现这一目标。【实现功能】

使在同一VLAN里的计算机系统能跨交换机进行相互通信，而在不同VLAN里的计算机系统不能进行相互通信。【实验拓扑】

PC1:192.168.10.10 VLAN 10 F0/5 F0/15

VLAN 20 PC2:192.168.20.10 PC3:192.168.10.30 SwitchA SwitchB

F0/24 F0/24

F0/5

VLAN 10

【实验步骤】

步骤一、在交换机SwitchA上创建VLAN 10，并将0/5端口划分到VLAN 10中。

SwitchA # configure terminal !进入全局配置模式。 SwitchA(config) # vlan 10 ！创建vlan 10。

SwitchA(config-vlan) # name sales !将Vlan 10命名为sales。 SwitchA(config-vlan) # exit

SwitchA(config) # interface fastethernet 0/5 !进入接口配置模式。

SwitchA(config-if) # switchport access vlan 10 ！将0/5端口划分到Vlan 10。

- 18 -

验证测试：验证已创建了Vlan 10，并将0/5端口已划分到Vlan 10 中。

SwitchA # show vlan id 10

VLAN Name Status Ports 10 sales active Fa0/5

步骤二、在交换机SwitchA 上创建Vlan 20，并将0/15端口划分到Vlan 20中。

SwitchA(config) # vlan 20 ！创建vlan 20。

SwitchA(config-vlan) # name technical !将Vlan 20命名为techniacal。 SwitchA(config-vlan) # exit

Switch(config) # interface fastethernet 0/15 !进入接口配置模式。

Switch(config-if) # switchport access vlan 20 ！将0/5端口划分到Vlan 20。

验证测试：验证已创建了Vlan 20，并将0/15端口已划分到Vlan 20 中。

SwitchA # show vlan id 20

VLAN Name Status Ports 20 technical active Fa0/15

步骤三、在交换机SwitchA上将SwitchB相连的端口（假设为0/24端口）定义为tag vlan模式

SwitchA(config)#interface fastethernet 0/24 !进入接口配置模式。

SwitchA(config-if)#switchport mode trunk !将fastethernet 0/24端口设为tag vlan模式

验证测试：验证fastethernet 0/24端口已被设置为tag vlan模式

SwitchA#show interfaces fastethernet 0/24 switchport

interface Switchport Mode Access Native Protected Vlan Lists Fa0/24 Enable Trunk 1 1 Disabled All

步骤四、在交换机SwitchB上创建Vlan10，并将0/5端口划分到Vlan10中。

SwitchB#configure terminal !进入全局配置模式 SwitchB(config)#vlan 10 !创建Vlan 10

SwitchB(config-vlan)#name sales !将Vlan 10命名为sales SwitchB(config-vlan)#exit

SwitchB(config)#interface fastethernet 0/5 !进入接口配置模式

SwitchB(config-if)#switchport access vlan 10 !将0/5端口划分到Vlan 10

验证测试：验证已在SwitchB上创建了Vlan10，并将0/5端口已划分到Vlan10中

SwitchB#show vlan id 10

VLAN Name Status Ports

- 19 -

10 sales active Fa0/5

步骤五、在交换机SwitchB上将与SwitchA相连的端口（假设为0/24端口）定义为tag vlan模式

SwitchB(config)#interface fastethernet 0/24 !进入接口配置模式

SwitchB(config-if)#switchport mode trunk !将fastethernet 0/24端口设为tag vlan模式

验证测试：验证fastethernet 0/24端口已被设置为tag vlan模式

SwitchB#show interfaces fastethernet 0/24 switchport

Interface Switchport Mode Access Native Protected Vlan lists Fa0/24 Enabled Trunk 1 1 Disabled All

步骤六、验证PC1与PC3能互相通信，但PC2与PC3不能互相通信。

C:\\>ping 192.168.10.30 !在PC1的命令行方式下验证能Ping通PC3 Pinging 192.168.10.30 with 32 bytes of data:

Reply from 192.168.10.30:bytes=32 time<10ms TTL=128 Reply from 192.168.10.30:bytes=32 time<10ms TTL=128 Reply from 192.168.10.30:bytes=32 time<10ms TTL=128 Reply from 192.168.10.30:bytes=32 time<10ms TTL=128

Ping statistics for 192.168.10.30:

Packets: Sent=4, Received=4, Lost=0(0% loss), Approximate round trip times in milli-secends: Minimum=0ms,Maximum=0ms,Average=0ms

C:\\>ping 192.168.10.30 !在PC2的命令行方式下验证不能Ping通PC3

Request timed out. Request timed out. Request timed out. Request timed out.

Ping statistics for 192.168.10.30:

Packets: Sent=4, Received=0, Lost=4(100% loss), Approximate round trip times in milli-secends: Minimum=0ms,Maximum=0ms,Average=0ms

【注意事项】

两台交换机之间相连的端口应该设置为tag vlan模式【参考配置】

SwitchA#show running-config !显示交换机SwitchA的全部配置

- 20 -

Building configuration…

Current configuration : 284 bytes !

version 1.0 !

hostname SwitchA vlan 1 !

vlan 10 name sales !

vlan 20

name technical !

interface fastethernet 0/5 switchport access vlan 10 !

interface fastethernet 0/15 switchport access vlan 20 !

interface fastethernet 0/24 switchport mode trunk ! end

SwitchB#show running-config !显示交换机SwitchB的全部配置 Building configuration…

Current configuration : 284 bytes !

version 1.0 !

hostname SwitchB vlan 1 !

vlan 10 name sales !

vlan 20

name technical !

interface fastethernet 0/5 switchport access vlan 10

- 21 -

interface fastethernet 0/24 switchport mode trunk ! End

【实验结论】

- 22 -

实验三（1）Super Vlan扩展技术

【实验目的】

了解专有VLAN和Super VLAN的概念及作用；熟练掌握专有VLAN和Super VLAN的配置。【实验任务】

创建一个Super-VLAN 为VLAN 2，并配置与它关联的Sub-VLAN 为VLAN 3和VLAN 4； Sub-VLAN 3 的地址范围为192.168.196.51~192.168.196.100，Sub-VLAN 4的地址范围为192.168.196.101~192.168.196.150 ；设置Super-VLAN 的虚拟接口的IP 地址为192.168.196.1，子网掩码为255.255.255.0；设置VLAN 的ARP代理功能。【实验拓扑图】

图1

【实验步骤】步骤一

Ruijie# configure terminal # 进入交换机的配置模式

Ruijie(config)# vlan 2 # 创建VLAN 2，并进入该VLAN 的配置模式 Ruijie(config-vlan)# supervlan # 设置VLAN 2 为Super VLAN Ruijie(config-vlan)# exit # 退出到全局模式

- 23 -

Ruijie(config)# vlan 3 # 创建VLAN 3 Ruijie(config-vlan)# exit # 退出到全局模式 Ruijie(config)# vlan 4 # 创建VLAN 4

Ruijie(config-vlan)# exit # 退出到全局模式

# 进入VLAN 2 的配置模式，并设置VLAN 3 和VLAN 4 为Super VLAN 2 的

Sub-VLAN

Ruijie(config)# vlan 2

Ruijie(config-vlan)# subvlan 3,4

# 退出到全局模式，进入VLAN 3 的配置模式，配置VLAN 3 的地址范围。

Ruijie(config-vlan)# exit Ruijie(config)# vlan 3

Ruijie(config-vlan)# subvlan-address-range 192.168.196.51 192.168.196.100

# 退出到全局模式，进入VLAN 4 的配置模式，配置VLAN 4 的地址范围。

Ruijie(config-vlan)# exit Ruijie(config)# vlan 4

Ruijie(config-vlan)# subvlan-address-range 192.168.196.101 192.168.196.150

# 进入SVI 模式

Ruijie(config)# interface vlan 2 # 为VLAN 2 虚拟接口配置IP 地址及子网掩码

Ruijie(config-if)# ip address 192.168.196.1 255.255.255.0

# 退出到全局模式，进入VLAN 2 的配置模式，开启ARP代理功能（默认是开启的）

Ruijie(config-if)# exit

- 24 -

Ruijie(config)# vlan 2

Ruijie(config-vlan)# proxy-arp

# 退出到特权模式

Ruijie(config-vlan)# end Ruijie# show supervlan

【实验结论】

- 25 -

实验三（2）多台交换机上的Private VLAN配置

【实验目的】

掌握private vlan的基本配置方法和应用。【实验任务】

在两台设备上实现Private VLAN 的配置应用，创建一个Primary VLAN，一个Community VLAN ，一个 Isolated VLAN ，同一个 Community VLAN 内的主机可以进行二层通讯，Isoated VLAN 内的主机与其它主机互不通讯，但 Private VLAN 内的主机均能与路由器通讯。【实验拓扑图】

图1

【实验步骤】

步骤一、创建VLAN 99为Primary VLAN，创建VLAN 100 为Community VLAN ，创建VLAN 101 为Isolated VLAN ，并关联主次VLAN。

Ruijie#configure terminal

Enter configuration commands, one per line. End with CNTL/Z. Ruijie(config)#vlan 99

Ruijie(config-vlan)#private-vlan primary Ruijie(config-vlan)#exit Ruijie(config)#vlan 100

Ruijie(config-vlan)#private-vlan community Ruijie(config-vlan)#exit

- 26 -

Ruijie(config)#vlan 101

Ruijie(config-vlan)#private-vlan isolated Ruijie(config-vlan)#exit Ruijie(config)#vlan 99

Ruijie(config-vlan)#private-vlan association 100,101 Ruijie(config-vlan)#exit

步骤二、配置端口0／1 和0／2 属于Community VLAN 100 ，端口0/3属于Isolated VLAN 101 ，端口0/4 为Promiscuous Port 。

Ruijie(config)#interface gigabitEthernet 0/1

Ruijie(config-if)#switchport mode private-vlan host

Ruijie(config-if)#switchport private-vlan host-association 99 100 Ruijie(config-if)#exit

Ruijie(config)#interface gigabitEthernet 0/2

Ruijie(config-if)#switchport mode private-vlan host

Ruijie(config-if)#switchport private-vlan host-association 99 100 Ruijie(config-if)#exit

Ruijie(config)#interface gigabitEthernet 0/3

Ruijie(config-if)#switchport mode private-vlan host

Ruijie(config-if)#switchport private-vlan host-association 99 101 Ruijie(config-if)#exit

Ruijie(config)#interface gigabitEthernet 0/4 Ruijie(config-if)#switchport mode trunk Ruijie(config-if)#exit

Ruijie(config)#interface gigabitEthernet 0/5

Ruijie(config-if)#switchport mode private-vlan promiscuous

Ruijie(config-if)#switchport private-vlan mapping 99 add 100-101 Ruijie(config-if)#show vlan private-vlan

【实验结论】

- 27 -

实验三（3）单台三层交换机的Private VLAN配置

【实验目的】

掌握private vlan的基本配置方法和应用。【实验任务】

在支持Private VLAN 的三层交换机上，可以为 Private VLAN 配置一个SVI，一个Private VLAN下的所有VLAN（包括Primary VLAN与的有的Secondary VLAN ）可以在同一个SVI 内，只需在上个用例配置的基础上，为Primary VLAN配置一个IP 地址，对于特定需要使用路由的 Secondary VLAN 只要在Primary VLAN 配置相应的三层映射即可。【实验拓扑图】

图1

【实验步骤】

步骤一、创建 VLAN 99 为Primary VLAN ，创建VLAN 100 为Community VLAN ，创建VLAN 101 为Isolated VLAN ，并关联主次VLAN。

Ruijie#configure terminal

Enter configuration commands, one per line. End with CNTL/Z. Ruijie(config)#vlan 100

Ruijie(config-vlan)#private-vlan community Ruijie(config-vlan)#exit Ruijie(config)#vlan 101

- 28 -

Ruijie(config-vlan)#private-vlan isolated Ruijie(config-vlan)#exit Ruijie(config)#vlan 99

Ruijie(config-vlan)#private-vlan primary

Ruijie(config-vlan)#private-vlan association 100,101 Ruijie(config-vlan)#exit

步骤二、配置端口0／1 和0／2 属于Community VLAN 100 ，端口0/3属于 Isolated VLAN 101 ，端口0/4 为Promiscuous Port 。

Ruijie(config)#interface gigabitEthernet 0/1

Ruijie(config-if)#switchport mode private-vlan host

Ruijie(config-if)#switchport private-vlan host-association 99 100 Ruijie(config-if)#exit

Ruijie(config)#interface gigabitEthernet 0/2

Ruijie(config-if)#switchport mode private-vlan host

Ruijie(config-if)#switchport private-vlan host-association 99 100 Ruijie(config-if)#exit

Ruijie(config)#interface gigabitEthernet 0/3

Ruijie(config-if)#switchport mode private-vlan host

Ruijie(config-if)#switchport private-vlan host-association 99 101 Ruijie(config-if)#exit

Ruijie(config)#interface gigabitEthernet 0/4

Ruijie(config-if)#switchport mode private-vlan promiscuous

Ruijie(config-if)#switchport private-vlan mapping 99 add 100-101 Ruijie(config-if)#exit

步骤三、为Primary VLAN 配置一个SVI (192.168.1.1) ，以及映射Secondary VLAN 和Primary VLAN的三层接口。

Ruijie(config)#interface vlan 99

Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0 Ruijie(config-if)#private-vlan mapping 100-101 Ruijie(config-if)#show vlan private-vlan

【实验结论】

- 29 -

实验四（1）交换机的端口安全

【实验目的】

1、掌握交换机端口安全功能，控制用户的安全接入。 2、掌握交换机的端口配置的连接数。

3、掌握如何针对主机的接口进行IP+MAC地址绑定。【实验技术原理】

交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入；交换机端口安全主要有两种类型：一是限制交换机端口的最大连接数；二是针对交换机端口进行MAC地址、IP地址的绑定。配置交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种：

1、 protect 当安全地址个数满后，安全端口将丢弃未知地址的包； 2、restrict当违例产生时，将发送一个trap通知；

3、shutdown当违例产生时，将关闭端口并发送一个trap通知；当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来；【实验背景描述】

你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.23/24，主机MAC地址是0019.2147.10F9。该主机连接在1台2126G上。【实验设备】

S3760EG（1台），PC（2台）、直连线（2条）【实验内容】

按照拓扑进行网络连接；配置交换机端口最大连接数限制；配置交换机端口地址绑定。【实验拓扑图】

- 30 -

F0/3Console

【实验步骤】

172.16.1.23

步骤一、配置交换机端口的最大连接数限制

Switch#configure terminal

Switch(config)#interface range fastethernet 0/1-23 ！打开交换机1-23端口 Switch(config-if-range)#switchport port-security ！开启1-23安全端口功能

Switch(config-if-range)#switchport port-security maximum 1 ！开启端口的最大连接数为1 Switch(config-if-range)#switchport port-security violation shutdown ！配置安全违例的处理方式shutdown

步骤二、验证测试：查看交换机的端口安全配置

Switch#show port-security

步骤三、配置交换机端口的地址绑定

1、查看主机的IP和MAC地址信息。在PC1主机上打开CMD命令提示符窗口，执行Ipcinfig/All命令，查看测试计算机PC1的IP和MAC地址信息，如图：

2、配置交换机端口的地址绑定

Switch#configure terminal

Switch(config)#interface fastethernet 0/3 Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac-address 0019.2147.10F9 Ip-address 172.16.1.23 ！配置地址绑定

- 31 -

3、查看地址绑定配置

Switch#show port-security address

【实验测试】

在特权模式开始，可以通过下面的命令，查看端口安全的信息，测试刚才为交换机配置的安全项目内容：

1、查看接口的端口安全配置信息：show port-security interface Fa0/1 2、查看安全地址信息: show port-security address

3、显示某个接口上的安全地址信息: Show port-security interface Fa0/1 address

4、显示所有安全端口的统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等: Show port-security 【实验问题】

1、交换机端口安全功能有哪些？

2、对交换机的端口配置最大连接数是多少？ 3、交换机端口安全功能只能在哪个接口进行配置？ 4、交换机最大连接数限制默认的处理方式是什么？【实验注意事项】

1、锐捷交换机安全功能只能在ACCESS接口进行配置；

2、锐捷交换机最大连接数限制取值范围是1～128，默认是128； 3、锐捷交换机最大连接数限制默认的处理方式是protect；【实验结论】

- 32 -

实验四（2）802.1x交换机的配置

【实验名称】

锐捷RG-S3760EG系列接入层交换机的802.1与Radius协议配置。

【实验目的】

掌握锐捷RG-S3760EG系列接入增交换机基于802.1x与Radius协议结合RG-SAM2.1认证版实现安全接入认证的配置。【背景描述】

假设您是某公司的网络管理人员，鉴于公司网络安全管理的需要，需要实现对用户接入公司网络进行必要的身份控制，公司决定部署基于IEEE802.1x与RADIUS协议的认证管理系统。

本实验是RG-SAM2.1认证版系列实验的第一步。在进行相关实验之前，首先要配置锐捷系列接入层交换机开启802.1x与Radius协议。【实现功能】

实现LAN接入的安全身份认证。【实验拓扑】

PC1

RG-S3760EG

RG-SAM Server

192.168.0.44/24 192.168.0.2/24

192.168.0.185/24

【实验设备】

1、RG-S3760EG一台；

2、PC机一台，用于配置交换机的终端。【实验步骤】

步骤一、查看交换机版本信息

验证测试：

查看交换机版本信息： Switch>show version

System description : Red-Giant Gigabit Intelligent Switch(S3760EG) By Ruijie Network System uptime : 0d:0h:8m:40s

- 33 -

System hardware version : 3.3

System software version : 1.5(1) Build Mar 3 2005 Temp System BOOT version : RG-S3760EG-BOOT 03-02-02 System CTRL version : RG-S3760EG-CTRL 03-05-02 Running Switching Image : Layer2 Switch>

步骤二、初始化交换机配置

所有的交换机在开始进行配置前，必需先进行初始化，清除原有的一切配置，命令如下：

Switch>

Switch>enable

Switch#delete flash:config.text !删除配置（在实验室实验时请实验指导老师清除相关配置）

Switch#reload …..

Switch#configure terminal !进入配置层 Switch(config)#

验证测试：

使用命令show running-config命令查看配置信息，删除原始配置信息后该命令的打印结果如下：

Switch#show running-config Building configuration...

Current configuration : 318 bytes !

version 1.0 !

hostname Switch vlan 1 ! end Switch#

步骤三

Switch#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#ip default-gateway 192.168.0.1 !!!设置交换机默认网关，实现跨网段管理交换机

Switch(config)#interface vlan 1

Switch(config-if)#ip address 192.168.0.2 255.255.255.0 Switch(config)#exit

Switch(config)#enable secret level 1 5 star

- 34 -

Switch(config)#enable secret level 15 5 star

Switch(config)#radius-server host 192.168.0.185 auth-port 1812 !!! 指定RADIUS服务器的地址及UDP认证端口

Switch(config)#aaa accounting server 192.168.0.185 !!! 指定记账服务器的地址

Switch(config)#aaa accounting acc-port 1813 !!! 指定记账服务器的UDP端口

Switch(config)#aaa authentication dot1x !!! 开启AAA功能中的802.1x认证功能 Switch(config)#aaa accounting !!! 开启AAA功能中的记账功能 Switch(config)#radius-server key star !!!设置RADIUS服务器认证字 Switch(config)#snmp-server community public rw

!!!为通过简单网络管理协议访问交换机设置认证名（public为缺省认证名）并分配读写权限

Switch(config)#interface fastEthernet 0/4 !!! 实验中将在4号接口启动802.1x的认证 Switch(config-if)#dot1x port-control auto !!! 设置该接口参与802.1x认证 Switch(config-if)#exit Switch(config)#exit Switch#write

Building configuration... [OK] Switch# 验证测试：

将两台PC（使用192.168.0.0/24网段的地址，实验中客户端PC使用地址192.168.0.44/24，服务器使用地址192.168.0.185/24）连接到交换机除4号端口外的其他任意两个端口上，在任何一个PC上进行连通性测试（ping）。在客户端上使用命令ping 192.168.0.185，能够ping通。命令执行结果如下图所示：

将客户端PC或服务器PC接到4号端口，在其中的一台PC上ping另一台PC，则

- 35 -

不能够ping通。命令结果如下图所示：

【问题与思考】

1、将全部端口设为认证端口的命令

Switch(config)#interface range fasfEthernet 0/1-24

Switch(config-if)#dot1x port control auto

2、将一个认证端口设为免认证的命令。

Switch(config)#interface range fasfEthernet 0/1

Switch(config-if)#no dot1x port control auto

【参考配置】

R2126G的配置信息：

Switch#show running-config Building configuration...

Current configuration : 521 bytes !

version 1.0 !

hostname Switch vlan 1 !

radius-server host 192.168.0.185 aaa authentication dot1x

aaa accounting server 192.168.0.185 aaa accounting

- 36 -

enable secret level 1 5 $2-/-aeh3'~1'dfi4+.t{bckQ,|7zygl enable secret level 15 5 $21'dfim3.t{bckn4|7zygloQ/-aeh`@ !

interface fastEthernet 0/4 dot1x port-control auto !

interface vlan 1 no shutdown

ip address 192.168.0.2 255.255.255.0 !

radius-server key star

ip default-gateway 192.168.0.1 snmp-server community public rw End

【实验结论】

- 37 -

实验五端口镜像

【实验目的】

理解端口镜像功能。【背景描述】

假设此交换机是宽带小区城域网中的一台楼道交换机，PC3（协议分析器）连接在交换机的F0/24 口；住户PC1连接在交换机的F0/1 口，住户PC2连接在交换机的F0/2 口。现发现用户PC1、PC2相互访问速度很慢，经过调查，PC1所连接端口的数据流量很大，现决定对PC1所连接端口进行流量分析。【技术原理】

端口镜像（port Mirroring)：把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。

端口镜像工作原理：SPAN(Switched Port Analyzer)的作用主要是为了给某种网络分析器提供网络数据流。它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据，也可以从若干个VLAN向一个临控端口镜像数据。【实验设备】

RG-S3760 一台、PC 三台、网线若干、OmniPeek抓包软件一套。【实验拓扑图】

【实验步骤】

第一步：指定PC1连接的端口F0/1为源端口(也叫被被监控口)。

SW1(config)#monitor session 1 source interface fastEthernet 0/1 both SW1#show monitor session 1 sess-num: 1

- 38 -

src-intf:

FastEthernet 0/1 frame-type Both

第二步：指定PC3（协议分析器）连在交换机的F0/24 口为目的口(也叫监控口)。

SW1(config)#monitor session 1 destination interface f0/24 show

SW1#show monitor sesson 1 sess-num: 1 src-intf: