DAYDAYLAB VLAN和 傳統 STP優 STP保 VLAN間路 實驗拓撲 使用CEF的多層交 熱備路由協議 虛擬路由器冗余協議 網關負載均衡協議 緩 VLAN列 私有 VLANtrunk的安全 實驗目

交換原平臺的CEF（思科快速交換）的基本原理。實驗拓3560F0/1F0/2接口。配置好電腦的IP地址，并且使PC1PC2在同一網段，例如/24。實驗步 PC>Replyfrom:bytes=32time=62msTTL=128Replyfrom:bytes=32time=63msTTL=128ReplyfromPackets:Sent=4,Received=3,Lost=1(25%loss),Approximateroundtriptimesinmilli-seconds:Minimum=62ms,um=125ms,Average=待ARP進行解析地址，但是ICMPecho數據包具有超時時間，所以在這段時間內第一個包便超時了。剩下的數據包由于已經獲取了正確的ARP緩存，所以能夠直接通信。 并且為動態學習方式，保存在自己的CAM表中。PC1PC2SW1F0/1接口，那么SW1MACMACSW1還沒有PC2的MAC條目，因此對于這種未知單播的轉發，其轉為和廣播數據幀一致：除了受到端口外其他端口洪泛。當PC2收到洪泛的數據幀后，需要進行應答，所以應答數據幀進入F0/2端口，那么相應的SW1從進入的數據幀的源MACPC2MACCAM表項中。對于未知單對于未知單播幀，其 為和廣播幀一致4.CAMACLQoSACL都需要TCAMTCAMTCAM因此需要注意的是，不要在交換機上啟用過多的安全特性或者QoS特性。交換端口配實驗目實驗拓實驗步SW1(config)#interfacerangef0/1-3,f0/24），那么當調用時則直接調用該macro即可。然后在使用的時候使用如下命 配置一定要。首先我們要了解雙工速率的協商的情況，默認情況下，速率的協商可FLPFLP幀進行。通信，而雙工不一致，雖然能夠進行通信，但會導致大量的錯誤幀和殘幀的出現。果檢測到不正常的狀態時，將會把端口放置在errdisable狀態中。 ilpower loopback storm-controludld 當某個接口進入errdisable狀態后，默認情況下不會自動恢復正常，只有進入相關接口手動關閉然后再開啟該接口。當然我們也可以調整該行為，使得接口能夠自動從errdisable狀態中恢復過來。以下是開啟接口自動恢復令：最后給出查看接口狀態的一些基本命令以及解釋。showinterface用于查看接口的基本物理狀態信息showinterfacestatus用于查看接口狀態showinterfacestatuserrdisable 用于查看處于errdisable狀態下的接口量的殘幀和大量的輸入錯誤，則可以推斷該接口可能存在雙工不匹配的問題。VLAN和VLANVLANVLAN，并且將相應VLANTrunkTrunk鏈路的原理。SW1(config-vlan)#nameVLAN_10SW1(config-vlan)#exitSW1(config)#接著我們嘗試將F0/1劃分進入VLAN10F0/2劃分進入VLAN20。SW1(config)#interfacef0/1SW1(config-if)#switchportmodeaccessSW1(config-if)#noshSW1(config-if)#switchportmodeaccessSW1(config-if)#noshaccess接口，然后靜態指定該接口屬于哪一個MACVLANVMPS服務MACMACVMPSVLAN信息。VMPS服務器查MACVLAN信息，則交換機根據這一信息決定此時端口劃分進入哪VMPS服務器能夠正常通信，這里我們假設VMPS服務器在VLAN1中，并且地址為SW1(config)#interfacevlan1 SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlandynamicSW1(config-if-range)#noshSW1(config-if-range)#exitSW1(config)#相關的查看命令如下所示：SW1#showvmpsstatisticsVMPSClientStatistics 可以查詢到相關VMPS服務器和本地交換機的通信信息。最后總結VLAN的設計規劃：如果設計為端到端的VLAN，則會使得VLAN的流量貫穿整個園區網絡，并且整個園區網絡都為二層當多個VLAN需要交換機各自通信時，那么多個VLAN流量勢必需要流經同一根物理線路，為了區VLANVLANTrunk封裝協議，而該鏈路被稱為Trunk鏈路。用ISL。否則使用標準的802.1Q封裝。Commandrejected:AninterfaceCommandrejected:Aninterfacewhosetrunkencapsulationis"Auto"cannotSW1(config-if-range)#switchporttrunkencapsulationdot1q //指定接口封裝為802.1QSW1(config-if-range)#switchportmodetrunkSW1(config-if-SW2(config-if-range)#switchporttrunkencapsulationdot1qSW2(config-if-range)#switchportmodetrunk //onSW2(config-if-range)#nosh1111 Vlansallowedon range)#exitSW2(config)#11 Vlansallowedon SW2(config-if-range)#switchportmodedynamicauto //autoSW2(config-if-range)#noshSW2#showinterfacestrunk1111 Vlansallowedon 狀態更改為auto。查看trunk的協商情況。如果需要關閉DTP，那么應該采用如下令：SW1(config)#intrangef0/23-24SW1(config-if-range)#switchportnonegotiate//關閉DTP協商最后總結形成trunk的，必須保證兩端處于能夠形成trunk的正確模式。對于某些交換機而言，其默認情況下的動態模式不同（如3550為desirable，而3560為auto），所以建議手工指定模式。同時，保證trunk鏈允許的vlan一致，并且trunk鏈的本征（native）vlan也要一致。實驗目實驗拓和SW4以F0/21直連。實驗步VTP協議（VLANTrunk協議）VLANVLAN的步驟。在配置VTP之前，建議先配置Trunk鏈路，由于VTP通告只有在Trunk鏈才能傳遞。所以首先在SW1F0/19，F0/21，F0/23trunk模式。SW1(config)#intrangef0/19,f0/21SW1(config-if-range)#switchportmodedynamicdesirableSW1(config-if-range)#switchporttrunkencapsulationdot1qSW1(config-if-range)#nosh驗證SW1上trunk的情況：SW1#showNative111指定一個后，那么VTP將開始按照模式進行正常工作。其中VTP的工作模式分為如下幾種：轉發，會受到VTP通告的影響。除了上述的不同外，ServerClientVLAN1-1001transparent模VLAN范圍，1-4094VLANFlashvlan.dat文件，而后者存于NVRAM內的配置文件。Server模式，SW3為client模式，SW4為transparent模式。SW1(config)#vtp CCNPChangingVTPnamefromNULLtoCCNPSW1(config)#VTP 100:05:46.675:%SW_VLAN-6- _NAME_CHG:VTPDevicemodealreadyVTPSERVER.

namealreadysettonamealreadysetto 更改自己的NULLSW2(config)#vtpmodeserverDevicemodealreadyVTPSERVER.SW2(config)#SW3(config)#vtpCCNPnamealreadysettoCCNP.SW3(config)#vtpmodeclientSettingdevicetoVTPCLIENTmode.SW3(config)#SW4(config)#vtpCCNPnamealreadysettoCCNP.SW4(config)#vtpmodetransparent配置完成后，我們在SW1上查看目前VTP的信息。SW1#showvtpstatusVTPVersion :runningVTP1(VTP2capable)Configuration umVLANssupportedlocally:1005Numberofexisting : :VTPPruning :VTPV2 : :MD5digest :0xC80x7E0xBB0x230xCB0x0D0xFA0xCEConfigurationlastmodifiedbyat00-0000:00:00LocalupdaterIDisoninterfaceVl1(lowestnumberedVLANinterfacefound)從上面的信息我們可以看到目前VTP的和本地交換機的模式。只有當一configurationrevisionVTPVTPVTP此時由于SW1上的VLAN信息為空，配置修訂號為0。我們在SW1上配置兩個VLAN，并且指定名稱，接著再在SW2—SW4VLAN信息的學習情況。SW1(config)#vlan10vlan)#exitSW1(config)#vlan20vlan)#exitSW1(config)#SW4transparentVTPVLAN信息，因此沒有VLAN10和VLAN20的信息。VTP Configuration umVLANssupportedlocally:1005Numberofexisting :VTP :VTPPruning :VTPV2 : :MD5 :0x520x6F0x210x1D0x190x060x360x87中包括VLAN的增加，刪除以及更改。SW4VTPVTP Configuration umVLANssupportedlocally:1005Numberofexisting :VTP :VTPPruning :VTPV2 : :MD5digest 0x570xCD0x400x650x630x590x470xBDtransparent模式下并不參與VTP同步，因此transparent模式中的配置修訂號始終為0。

vlan)#exitSW4(config)#從上面的輸出發現，client模式不允許對VLAN進行配置更改，而transparent模式可以。但transparent模式不會影響到其他VTP域內的交換機。VTP0。否則將會發生VLAN信息反向同步的現象（ServerClient同步）SW1SW3F0/19SW3ServerSW3Client同步VLAN40的信息。 104:37:55.086:%LINK-5-CHANGED:InterfaceFastEthernet0/19,changedstatetoadministrativelydown 104:37:56.086:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/19,changedstatetodownSW3(config)#vtpmodeserverSettingdevicetoVTPSERVERmodeSW3(config)#vlan40SW3(config-vlan)#nameVLAN_40modeclientSettingdevicetoVTPCLIENTmode.SW3(config)#intf0/19SW3(config-if)#nosh 104:38:27.730:%LINK-3-UPDOWN:InterfaceFastEthernet0/19,changedstateto 104:38:31.250:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/19,changedstatetoup機加入VTP域內時，該交換機的配置修訂號為0。將更改為一個不存在的，然后再改回來SetthenameoftheVTPadministrative ConfigureIFSfilesystemfilewhereVTPerface interfaceasthepreferredsourcefortheVTPIPupdater passwordSetthepasswordfortheVTPadministrativepruning SettheadminstrativetopermitpruningversionSettheadminstrativetoVTPversion如果需要對VTP域內的交換機進行認證，可以指定password。如果需要對VLAN流量進行修剪，可以開啟VTP修剪pruning。如果需要更改VTP版本更改，可以 本version在VTPv2中，transparent模式不管接收到的VTP通告內的是否和自己的一致，全部都會轉發。而VTPv1中只有一致transparent模式才會轉發通告。passwordciscoSettingdeviceVLANdatabasepasswordtociscoSW1(config)#vtppruningPruningswitchedonSW1(config)#vtpversion2實驗目

鏈路聚到的兩種協議PagP和LACP。同時學習掌握以太通道的負載均衡的原理。實驗拓實驗步SW1SW2，SW3，SW4SW1SW2access接口，并且VLAN10；SW1SW3Trunk端口，SW1SW4之間為三層端口，但不配置IP地址。SW1(config)#intrangef0/19-24SW1(config-if-SW1(config-if-range)#switchportaccessvlan10SW1(config-if-SW1(config-if-range)#switchporttrunkencapsulationdot1qSW1(config-if-range)#switchportmotrunkSW1(config)#intrangef0/21-22SW1(config-if-range)#noswitchportSW1(config-if-range)#exitSW1(config)#SW1和SW3建立以太通道，其為13，采用LACP協議進行協商。SW1和SW4建立以太通道，其為14，不采用動態協商協議。SW1(config)#intrangef0/23-24SW1(config-if-range)#channel-protocolpagpSW1(config-if-range)#channel-group12mode? desirableEnabledesirableEnablePAgP EnableLACPonlyifaLACPdeviceisSW1(config-if-range)#channelgroup12modedesirableCreatingaport-channelinterfacePort-channel12range)#exitSW1(config)#protocolpagp SW2(config-if-range)#channel-group12modedesirableCreatingaport-channelinterfacePort-channel12上述配置中，如果采用PagP協議，那么有兩種模式，desirable和auto。其中前者為desirablenon-silent。默認情況下，desirable即使無法收到對端的PagP數據包也能夠建立以太通道。這適用于要和那些不懂得PagPnon-silentPagP數據包后通過上面的輸出，可以查看到port-channel已經正常建立，并且屬于二層。以太通道建立完成以后，會在全局生成一個邏輯的port-channel端口。Port-channel12isup,lineprotocolisHardwareisEtherChannel,addressis0015.f94b.409a(bia0015.f94b.409a)MTU1500bytes,BW200000Kbit,DLY100usec,reliability255/255,txload1/255,rxload1/255EncapsulationARPA,loopbacknotsetSW1(config-if-range)#channel-protocollacpSW1(config-if-range)#channel-group13modeactiveCreatingaport-channelinterfacePort-channel13range)#channel-protocollacpSW3(config-if-range)#channel-group13modeactiveCreatingaport-channelinterfacePort-channel1313trunkLACPSW1SW4SW1SW4通進行驗證。SW1(config-if-range)#channel-group14modeonSW4(config-if-range)#channel-group14modeonSW1(config-if)#ipaddSW1(config-if)#noSW4(config-if)#ipaddSW4(config-if)#noSW4#Sending5,100-byteICMPEchosto,timeoutisSuccessrateis80percent(4/5),round-tripmin/avg/max=1/4/9msSW1SW1(config)#port-channelload-balanceDstIPSrcDstIPSrcIP SrcMacAddrSW1(config)#port-channel口1，2，3，4。現在其負載均衡的方式采用的是基于目的MAC。規則是，兩數相同則為0，兩數不同則為1。實驗目

傳統實驗拓實驗步在交換網絡中所有交換機中選出一臺根交在其他非根交換機上選出一個根端口，每在每條鏈選出一個指定端口，每條鏈路一其余端口全部阻塞選擇去往根橋最近的端口SpanningtreeenabledprotocolieeeRootIDPriority 21o 2 MaxAge20 Bridge o 2 MaxAge20 RoleSts

RootFWDRootFWD DIOSSTPPVST+VLANSTP實例，并且PVST+802.1D運行，如上IEEEID，其優先級字段最終等于原始優先級加VLANID，如此時VLAN1的優先級為32768+1=32769。通過上面的輸出，我們可以發現，目前三臺交換機中的根橋的MACSpanningtreeenabledprotocolieeeRootIDPriority o 2 MaxAge20 Bridge o 2 MaxAge20 RoleSts DDDSpanningtreeenabledprotocolieeeRootIDPriority 23o 2 MaxAge20 Bridge o 2 MaxAge20 RoleSts RootFWD AltnBLK SW3F0/21端口。因此可以更改SW1的 bridgepriorityinincrementsof他交換機的優先級情況自動調整自己的優先級。4096次根交換機將自己優先級直接設置為28672需要注意的是，當其余交換機優先級小于SW1(config)#spanning-treevlan1rootprimarySW1#showspanning-SpanningtreeenabledprotocolieeeRootID istherooto 2 MaxAge20 Bridge o 2 MaxAge20 RoleSts DDvlan1SpanningtreeenabledprotocolieeeRootIDPriority 19o 2 MaxAge20 Bridge o 2 MaxAge20 RoleSts RootFWDDesDSW2SW3之間鏈路選擇指定端口時，SW3IDSW2ID，因此阻塞了SW2的F0/21端口。所以我們只需要將SW3的橋ID的優先級調大即可。SW3(config)#spanning-treevlan1priority36864SW3#showspanning-treeSpanningtreeenabledprotocolieeeRootIDPriority 19oTime 2sec MaxAge20sec BridgeID (priority36864sys-id-ext1) o 2 MaxAge20 RoleStsRootFWD AltnBLK 出于完整性，我們給出修改端口ID令： portpriorityinincrementsof16SW3(config-if)#spanning-treeport-priority上述幾種狀態的特點這里不再進行總結，在listening狀態交換機將停留一個forward-delay時間，然learning狀態也會停留一個forward-delay時間。所以默認情況下，交換機從STP不穩定狀態到STP穩定狀態會經歷15s+15s=30s。首先，我們可以調整接口cost值。SW1(config-if)#spanning-treecost匯聚中進行計算，并且注意，STP的cost值是參考入接口cost值。可以通過如下命令進行查看接口cost：SW1#showspanning-tree RoleSts

SW1(config)#spanning-treevlan1rootprimarydiameter2 o-time2上述命令中，我們指定了目前網絡的直徑為2， o時間為2s一次。SW1#showspanning-treeSpanningtreeenabledprotocolieeeRootID istherooto2MaxAge107Bridge o 2 MaxAge10 ForwardDelay7secAging RoleSts DD7s。實驗目

STP優化習，學會如何利用上述三種特性進行優化STP拓撲。實驗拓實驗步STP（802.1D）科針對傳統802.1D提出了相關的優化特性來加快匯聚，其中包括portfastuplinkfast以及802.1DSTP拓撲更變的原因，也就是說只要接口從UPDOWN或者從DOWNUP，都作為拓撲更變的現象。SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan1SW1(config-if-range)#spanning-treeportfast%Warning:portfastshouldonlybeenabledonportsconnectedtoasinglehost.Connectinghubs,concentrators,switches,bridges,etc...tothisinterface whenportfastisenabled,cancausetemporarybridgingloops.UsewithCAUTION%Portfastwillbeconfiguredin3interfacesduetotherangecommandbutwillonlyhaveeffectwhentheinterfacesareinanon-trunkingmode.SW1(config-if-range)#portfast之前，一定要同樣的，還可以利用下面令啟用portfast使用下面令來查看某個接口是否啟用portfast 使用下面令查看本地交換機的uplinkfast的啟用狀態：SW2#showspanning-treeuplinkfast 對于某些時候的間接鏈路失效，導致交換機之間無法直接感知，所以只有當交換機的最優BPDU的max-age到期后才能觸發STP拓撲更變的后續步驟。因此這將消耗交換機max-age的時間。Backbonefast特性用于優化間接鏈路失效故障的等待時間。情況采取不同的對應步驟。同時，backbonefast存在一種特殊的查詢數據包RLQ（RootLinkQuery），用于交換機之間相互查詢根橋狀態，因此如果需要配置backbonefast特性，必須要在全網進行配置。下面我們在SW1，SW2和SW2(config)#spanning-treebackbonefastSW3(config)#spanning-tree通過如下命令查看backbonefast的啟用狀態。SW3#showspanning-treebackbonefastBackboneFastis NumberofinferiorBPDUsreceived(all NumberofRLQresponsePDUsreceived NumberofRLQrequestPDUssent(all NumberofRLQresponsePDUssent(all 機上啟用，所以具有一定的局限性。需要對上述三個特性的各自特點和使用位置有比較深的理解。實驗目

STP保護BPDUBPDUBPDU實驗拓實驗步STPBPDUBPDU和在應該收到BPDU的端口丟失了BPDU。BPDUBPDU機接入了現存STP拓撲，如果新加入的思科提出了兩個特性用于預防這個問題，即rootguardbpduguard。么該端口將被置于root-inconsistent狀態，即無法正常收發數據幀，直到該端口停止接收到更優的下面我們在SW1F0/1可以通過下面令查看目前置于root-inconsistent狀態的端口：SW1#showspanning-treeinconsistentports 下面我們在交換機SW1的F0/2端口上啟用BPDU防護。SW1(config)#intf0/2SW1(config-if)#spanning-treebpduguard?disable DisableBPDUguardforthisinterfaceenable EnableBPDUguardforthis除了上述命令外，還可以基于全局啟用BPDU上面令在全局輸入，其作用是將所有啟用了portfast的端口啟用BPDU防護為了上述情況發生，思科提出了loopguard特性。該特性的作用是，如果啟用了環回防護特性，STPBPDU丟失，為了方式橋接環路，那么這些端口將會被置于loop-inconsistentGBICSPF備卻無法接收到相關的數據幀。當出現這種單邊通的現象后，對于STP的狀態更變，Normal模式——當檢測到單邊通情況后，接口運行按照正常流程運行，只是Aggressive模式——當檢測到單邊通的情況后，設備將嘗試修復故障，發送UDLD8errdisable狀態。可以使用下面令開啟UDLD特性上 UDLD的操作模式，或者修復信息的發送間隔。送出去的BPDU。如果需要在接口關閉BPDU，可以使用如下令：上述命令將在所有開啟了portfastBPDU。 實驗目的特點，關鍵是RSTP和傳統STP比較所體現出來的不同。實驗拓實驗步SW1成為根橋，并且最終阻塞SW3F0/21端口。 SW3(config)#spanning-treevlan1priority SpanningtreeenabledprotocolieeeRootIDPriority 19o 2 MaxAge20 Bridge o 2 MaxAge20 RoleSts

AltnBLK 行的STP實例更改為快速STP，即RPVST+。SW2(config)#spanning-treemoderapid-pvstSW3(config)#spanning-treemodeSpanningtreeenabledprotocolrstpRootIDPriority o 2 MaxAge20 Bridge o 2 MaxAge20 RoleStsDesDDesD全網選擇一臺跟網橋，并且所有交換機選每一臺交換機的端口狀態都能夠正確的在RSTP中，將端口的類型分為如下三種：根端口——每臺非根交換機連接到根交換機的最近的點端口：在接口下spanning-treelink-typepoint-to-point在完成接口類型的定義以后，RSTP便開始從根橋開始向下進行同步。這個步驟相似于路由協議的過ProposalAgreementProposal后，下游交換機考慮和上最后，RSTPSTPRSTPBPDUSTPBPDU的實驗目MST（多生成樹協議）MSTVLAN的環境中能夠靈活利用MST對現有交換機的STP實例進行優化。實驗拓實驗步SW1成為根橋，并且最終阻塞SW3F0/21端口。 SW3(config)#spanning-treevlan1priority 將SW1，SW2和SW3之間相互連接的端口配置成為Trunk，并且三臺交換機上運行VTP，為CCNP，SW1為Server，SW2和SW3為Client。SW1(config)#intrangef0/19,f0/23SW1(config-if-range)#switchporttrunkencapsulationdot1q range)#switchportmodedynamicdesirable if)#switchportmodedynamicdesirableSW2(config-if)#exitSW1(config)#vtpSW2(config)#vtpCCNPSW2(config)#vtpmodeSW3(config)#vtp SW1VLAN10，VLAN20，VLAN30，VLAN40VLANSW1(config)#vlan10SW1(config-vlan)#nameVLAN_10SW1(config-vlan)#exitSW1(config)#vlan30vlan)#exitSW1(config)#vlan40vlan)#exitSW1(config)#SW2SW3上已經同步了相應的VLANSW1(config)#spanning-treevlan10,20,30,40rootprimarySW3(config)#spanning-treevlan10,20,30,40priority36864VLAN10，30的實例阻塞的資源，因為每一個VLAN都將分配一個STP實例。多生成樹協議（MST）是一種將多個VLAN到一個實例的生成樹協議。一首先定義MSTconfigurationname（32字節然后定義MSTconfigurationrevision我們在SW1，SW2和SW3上配置MST，定義configurationname為CConfigurationrevisionnumber112VLAN1030進實例1，VLAN20，VLAN30進入實例2。SW1(config)#spanning-treemstconfiguration SW1(config-mst)#nameCCNP //指定配置名稱為CCNP SW1(config-mst)#instance2vlan20,40SW1(config-mst)#exit SW2(config-mst)#revision1SW2(config-mst)#instance2vlan20,40SW2(config-mst)#exitSW2(config)#spanning-treemodemstSW2(config)#SW3(config)#spanning-treemstconfigurationSW3(config-mst)#nameCCNPSW3(config-mst)#instance2vlan20,40SW3(config-mst)#exitSW3(config)#spanning-treemodemstSW3(config)#在完成上述配置以后，查看此時的MST的狀態。SW1#showspanning-treeSpanningtreeenabledprotoco tpRootDPriority 21o 2 MaxAge20 Bridge o 2 MaxAge20 RoleSts RootFWDDesDSpanningSpanningtreeenabled

Root21o2 MaxAge20Bridge o 2 MaxAge20 RoleSts RootRootFWDDesDtpRoottpRootSpanningtreeenabled21o2 MaxAge20Bridge o 2 MaxAge20 RoleSts RootFWD DesD VLAN30VLAN20，VLAN40負載均衡。那么我們可以對相應的實例進行調整即可。 //SW3(config)#spanning-treemst1priority36864 #####addressremhops RoleSts RootFWDAltnBLK##### remhops RoleSts

AltnBLKRootFWDAltnBLK實驗目

VLAN間路由種VLAN間路由方式的區別。實驗拓本次實驗由三臺路由器和一臺三層交換機完成。其連接形式。其中R1，R2模擬兩臺PC，分別在不同VLAN 。而R3作為網關路由器。實驗步此VLAN之間如果想要通信的話，也就是說廣播域進行通信，那么必須要使用三層路由設備。在VLAN間相互通信的操作。VLANVLAN內的網關，將二層VLAN流量引入到三層進行路由。為了節省端口，在路由器上的接口使用虛擬子接口。R1R2IPR1VLAN10中，R2VLAN205454R1(config-if)#noshR1(config-if)#exitR2(config-if)#noshR2(config-if)#exitSW1VLAN10VLAN20R1R2的接口劃入相應VLAN。SW1(config)#vlan10SW1(config-vlan)#exitSW1(config)#vlan20SW1(config-vlan)#exitSW1(config)#intf0/1SW1(config-if)#switchportmodeaccessSW1(config-if)#switchportaccessvlan10SW1(config-if)#noshSW1(config-if)#exitSW1(config)#intf0/2SW1(config-if)#switchportmodeaccessSW1(config-if)#switchportaccessvlan20SW1(config-if)#exit由于需要進行VLAN間通信，因此要將各自VLAN的流量引入三層路由設備中，也就是R3上，那SW1R3VLANtrunk802.1Q封裝。SW1(config)#intf0/3if)#switchportmodetrunkR3R3VLANe0/0網段的IP地址，并且來去流量擁有802.1Q，需要懂得trunk協議。所以這里使用特殊的子接口配R3(config)#inte0/0R3(config-if)#noshR3(config-if)#exitR3(config)#inte0/0.10R3(config-subif)#ipadd54R3(config-subif)#noR3(config-subif)#ipadd54R3(config-subif)#no流量發送到該接口時，便能夠引入到三層路由中。最后我們在R1R2VLANR1#由于SW1為三層交換機，具有三層路由功能，因此只要將原本二層VLAN流量引入到本地三層路由即可。這樣我們可以在SW1上啟用SVI接口。SW1(config)#ip //開啟交換機三層路由功能SW1(config)#intvlan10SW1(config-if)#ipadd54SW1(config)#intvlan20SW1#SW1(config-if)#noswitchport 實驗目

CEF的多層交換實驗拓實驗拓ARPARPFIBadj表，并且配合底層改寫引擎，使得數據包的轉發能夠快速的進行。也就是常說的CEF的特點為：不用路由，上述輸出為交換機上vlan101的CEF轉，即FIB表無法進入FIB的條會把數據包發給CPU進行MAC解析。Null——連接到該鄰接的必須被Drop——連接到該鄰接的必須被丟棄，無No_adj——沒有完成的Unsupp’ted——不支持的數IP廣播地址Frag——分段失實驗目

熱備路由協議實驗拓實驗步設備依然使用主IP地址和主MAC地址，這對于主機而言是透明轉換的。/24R3E0/0IP/24，并且設置默認網關為54。相應的R4的E0/0接口R1(config-if)#ipaddR1(config-if)#noshR1(config-if)#exitR1(config)#inte0/1R1(config-if)#noshR1(config-if)#exitR2(config-if)#ipadd255.255.2550R2(config-if)#noshR2(config-if)#exitR2(config)#inte0/1R2(config-if)#ipadd255255.255.0R2(config-if)#noshR2(config-if)#exitR3(config-if)#noshR3(config-if)#exitR4(config-if)#noshR4(config-if)#exit關組，一個組54，一個組54。R1(config)#inte0/0R1(config-if)#standby10ip 建立一個熱備組，其虛擬IP*Mar100:18:05.923HSRP-5-STATECHANGEEthernet0/0Grp10stateSpeakStandby//HSRP狀態從speak轉到standby 100:22:02.407:%HSRP-5-STATECHANGE:Ethernet0/1Grp20stateSpeak-> 100:21:51.059:%HSRP-5-STATECHANGE:Ethernet0/1Grp20stateSpeak-> 100:21:52.075:%HSRP-5-STATECHANGE:Ethernet0/1Grp20stateStandby-接口的IP地址，大的為優。R1的優先級為110。R1(config)#inte0/0R1(config-if)#standby10priority? Priority但是我們發現，此時熱備組中的角色并沒有發生變更。那是因為HSRP中角色默認R1(config-if)#standby20preempt*Mar*Mar100:31:13.463:%HSRP-5-STATECHANGE:Ethernet0/1Grp20stateStandby-字reload加上，會在重啟后搶占前延遲0-3600s。默認情況下，HSRP會利用oR1E0/1downHSRP10downR3R1HSRP組中，我們可以追蹤上聯接口，如果上聯接口downHSRP中R1HSRP10E0/1，R2HSRPE0/1。并且如果接口狀態發生更變時，HSRP組的優先級跳動步進為15。R1(config)#inte0/0R1(config-if)#standby10tracke0/1? DecrementR1(config-if)#standby10tracke0/115R2(config-if)#standby10tracke0/115*Mar100:48:52.323:%HSRP-5-STATECHANGE:Ethernet0/0Grp10stateSpeak-R1已經成為standby狀態，而相應的R2active后面兩個xx代表組號。例如此時我們HSRP組10的虛擬MACEthernet0/0-Group10Stateis6statechanges,laststatechange00:04:04VirtualIPaddressis54ActivevirtualMACaddressis otimeLocalvirtualMACaddressis otimeNextosentin1.708secsAuthenticationMD5,key-string"cisco"PreemptionenabledActiverouteris,priority100(expiresin7.696sec)StandbyrouterislocalPriority95(configured110) TrackinterfaceEthernet0/1stateDowndecrement15IP VLANVLAN50HSRPEthernet0/0-Group10Stateis 7statechanges,laststatechangeVirtualIPaddressis ActivevirtualMACaddressis LocalvirtualMACaddressis0000.0c07.ac0av1default)otime2sec,holdtime6sec o間隔Nextosentin1.232AuthenticationMD5,key-string"cisco"http://認證信息Preemptionenabled ActiverouterisStandbyrouteris,priority100(expiresin4.148sec)//備份路由器信息Priority110(configured110) TrackinterfaceEthernet0/1stateUpdecrement15//接口 redundancynameis"hsrp-Et0/0-10"(default) //HSRP組名最后我們在R3上去連續R4，期間我們在R1上down掉E0/0接口，觀察R3并沒有受到什么影響。熱備路由協議（HSRP）實驗目

虛擬路由器冗余協議實驗拓實驗步VRRP（虛擬路由器冗余協議）HSRPVRRP組，每一個組中IPMACmasterbackupmaster為活動路由器，而backupmaster的狀態。和HSRP比較而言，不同點主要存在如下：VRRP這里vrrpgrouptimerslearn命令的含義是backup從master處學習通告間隔時間。2. 驗拓撲上配置VRRP。其中R3的網關地址為54，R4的網關地ipaddress192.168vrrp10ipvrrp10priority110ipaddressvrrp20ipvrrp20priority110endipaddressvrrp10ipipaddressvrrp20ip使用下面令進行驗證查看VRRP。R1#showvrrpEthernet0/0-Group10 //VRRP組號Stateis VirtualIPaddressis VirtualMACaddressis 1.000sec //通告間隔（默認為1s）Preemptionenabled PriorityisMasterRouteris(local),priorityis110MasterAdvertisementintervalis1.000secEthernet0/1-Group20StateisVirtualIPaddressis54VirtualMACaddressis0000.5e00.0114Advertisementintervalis1.000secPreemptionenabledPriorityisMasterRouteris(local),priorityis110MasterAdvertisementintervalis1.000sec間關閉R1的E0/0接口。觀察通信的連貫性。R3#實驗目

網關負載均衡協議利用GLBP為網關設備達成負載均衡。實驗拓實驗步HSRPVRRP載均衡協議）便能夠合理分配網關角色，使之負載均衡。ARPIPMAC負載均衡的目的。同時，AVG還負責為其余路由器分配虛擬MAC。在同一個組中最大支持4個虛擬MAC。除組中AVG，其余路由器的角色成為AVF。其中AVF存在backup或者secondary角色，該角色同樣由AVG分配。 AVF令 轉發器。AVFAVFMAC他AVF暫時頂替該虛擬MAC。也就是說此時該AVF兩個虛擬MAC。但是這不是一種長久的方式，所以GLBP定義重定向計時器。上述命令中redirect參數定義了AVG經過多久時間不再使用老的MACARP應答。timeoutMACMACAVF多久需要進行刷新收回。同時此時客戶關于老MAC的ARP緩存也需要被刷新。weight（權重）AVF1254，并且可以使用對象方式來對權重參數進行動態加減。這和HSRP中的接口相 um默認為100，能從1到254。而lower默認為1，upper默認um1001資格成為AVF，當權重達到100時才有資格。Host-dependent——每一臺客戶產生的ARP請求所獲取的MAC地址都是一樣的，MAC地址網關請求的環境中。（MAC地R4(config-if)#noshR5(config-if)#noshR6(config-if)#noshR1(config-if)#ipaddR1(config-if)#noshR2(config-if)#ipaddR2(config-if)#noshR2(config-if)#exitR2(config)#R3(config-if)#ipaddR3(config-if)#noshR3(config-if)#exitR3(config)#R1(config-if)#glbp1ip54 R3(config)#intf0/0R3(config-if)#glbp1ipR3(config-if)#exitR3(config)#R1(config-if)#glbp1preemptR1(config-if)#glbp1priority110R1(config-if)#exit通過下面令查看此時GLBP組的簡要情況和R6上網關，然后查看獲取的ARP緩存。R4#54Successrateis80percent(4/5),round-tripmin/avg/max=28/50/64msR4#showProtocolAge - R5#Successrateis60percent(3/5),round-tripmin/avg/max=28/41/48msR5#show

Age0

HardwareAddr

R6#Successrateis60percent(3/5),round-tripmin/avg/max=32/62/96msR6#show

Age0

HardwareAddr

R1(config)#intlo0R1(config)#track1interfacelo0line-protocolglbp1weighting100lower glbp1weighting100lower 1weightingtrack1decrement15//當對象down，權重變化AVFMAC01被R3所。等到重定向計時器超時，則AVG不再答復該MAC；等到超時時間到，GLBP將會刷新該MAC地址。以查看GLBP組的相信信息：R1#showglbpFastEthernet0/0-Group1Stateis statechanges,laststatechange00:30:17VirtualIPaddressis54 otime3sec,holdtime10 otime3sec,holdtime10

oRedirecttime600secforwardertime-out14400sec//重定向和超時時間Preemptionenabled,mindelay0secActiveis, Weighting100configured100)thresholdslower90upper100//權重參數Trackobject1stateUpdecrement15Loadbalancinground-robin//負載均衡辦法Groupmembers: //AVFStateisstatechanges,laststatechange00:01:00MACaddressis0007.b400.0101(default)OwnerIDiscc00.15a0.0000RedirectionenabledPreemptionenabled,mindelay30secActiveislocal,weightingStateisListenRedirectionenabled,599.424secremaining( um600sec)Timetolive:14399.420sec(um14400sec)Activeis(primary),weighting100(expiresin9.416sec)Arprepliessent:1Forwarder3StateisListen

Redirectionenabled,598.444secremaining(um600sec)Timetolive:14398.444sec(um14400sec)Preemptionenabled,mindelay30實驗目

端口安實驗拓實驗步 access接口能夠接入主機的數量或者限制某些接口只能接入哪些具體MAC的主機。2. CommandrejectedFastEthernet0/1isadynamicport.注意上述命令后的錯誤信息，要開啟該特性，必須要保證該接口為access接口。SW1(config-if)#switchportmodeaccess默認情況下，CAM表項是動態學習到的。因此對于某接入端口能夠最大支持學習 um umMACMAC地址 48bitmac ConfiguredynamicsecureaddressesasstickySW1(config-if)#switchportport-securitymac-addressSW1(config-if)#switchportport-securityviolation?protect violationprotectmoderestrict Securityviolationrestrictmode SecurityviolationshutdownmodeProtect——如果發生行為，該端口依然UP，并且來自于MAC的主機的數據包不會進 行為，該端口依然UP，并且來自于MAC的主機的數據包不會進行 行為數據包個數，嘗試給SNMP發送trap。 行為，接口立馬進入errdisable狀態，除非手動開啟或者開啟自動下面是一個在shutdown模式的安全端口檢測到了MAC地址溢出。使用下面令查看現在交換機上處于errdisable狀態的接口緩實驗目本次實驗通過對三種，DHCPSnoo，IPSourceGuard和動態ARP檢測的原理進行解釋，并且演示在思科交換機上對上述緩解交換網絡中的二層行為。實驗拓 實驗步IP掩碼，默認網關地址以及DNS地址等。如果在網絡中存在用戶，DHCP服務器，給用戶DHCPIP地址。那么就會使得用戶將數據包都轉發到用戶，雖然DHCPSnoo也會轉發數據包到正確的目的地，但是在客戶和目的地之間，形成了中間人，所有的數據包都將被。那么思科為了防范上述DHCPSnoo 種為untrusted。只有來自于信任端口的DHCPOffer數據包才能夠被正常轉發，而其他非信任端口的DHCP數據包將會被忽視。所以，在網絡中，DHCPtrusteduntrustedDHCPRequestDHCPOffer，如果來自untrusted端口，則可以斷定存在DHCPSnoo行為，此時丟棄該數據包，并且將接口置為errdisable狀態。同時，交換機還可以DHCP綁定信息表，該表內存有已經分配的IP地址，客戶的MAC地址，租期時間等等。 SW1(config)#ipdhcp然后指定需要開啟DHCPSnoo的VLAN。SW1(config)#ipdhcp vlan? DHCPSnoovlannumberorvlanrange,example:1,3-5,7,9-11SW1(config)#ipdhcpsnoovlan默認情況下，所有端口都為trusted端口。所以需要手工指定trusted端口。SW1F0/1端口設置為trusted端口。SW1(config)#intf0/1 默認情況下，對于untrustedDHCP數據包的流量大小沒有限制，如果你想SW1(config)#intf0/2 DHCPsnoora snoolimitrate上述1-2048為每秒包的個數。untrustedDHCPRequestMACDHCPoption82字么可以使用下面令，默認該功能開啟：SW1(config)#ipdhcpsnooinformationoption IPIP地址。而對于某些用戶，他們會或者盜用他人IP地址進行通信，這種IP地址進行通信的行為叫做IP源。如果這種行為發生在三層，思科路由器可以通過uRPF進行檢查，而如果發生在思科交換機提供了一種特性用于緩解IP源。交換機利用DHCPSnoo中生成為數據庫來檢測某些數據包是否被替換了的源IP地址，或者手工綁定MAC和IP的關系。對于IP源地址，必須和DHCPSnoo數據庫中學習到的IP地址一致，或者和靜態指定的一致。對于MAC地址，必須和DHCPSnoo 果，將會使用端口安全進行過濾流量。果需要對MAC地址進行檢測，需要配置端口安全。對于不使用DHCP獲取IP地址的主機，則需要手工綁定相關條目，命令如下：SW1(config)#ipsourcebindingAAAA.BBBB.CCCCvlan1interfaceFa0/1SW1(config)#intf0/1SW1(config-if)#ipverifysource? portsecurity上面令開啟接口的IPSourceGuard特性。如果不加關鍵字port-security的話 ARP協議對二層MACIP地址進行解析。ARP良