实验三 (2)多台交换机上的Private VLAN配置
【实验目的】
掌握private vlan的基本配置方法和应用。 【实验任务】
在两台设备上实现Private VLAN 的配置应用,创建一个Primary VLAN,一个Community VLAN ,一个 Isolated VLAN ,同一个 Community VLAN 内的主机可以进行二层通讯,Isoated VLAN 内的主机与其它主机互不通讯,但 Private VLAN 内的主机均能与路由器通讯。 【实验拓扑图】
图1
【实验步骤】
步骤一、创建VLAN 99为Primary VLAN,创建VLAN 100 为Community VLAN ,创建VLAN 101 为Isolated VLAN ,并关联主次VLAN。
Ruijie#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Ruijie(config)#vlan 99
Ruijie(config-vlan)#private-vlan primary Ruijie(config-vlan)#exit Ruijie(config)#vlan 100
Ruijie(config-vlan)#private-vlan community Ruijie(config-vlan)#exit
- 26 -
Ruijie(config)#vlan 101
Ruijie(config-vlan)#private-vlan isolated Ruijie(config-vlan)#exit Ruijie(config)#vlan 99
Ruijie(config-vlan)#private-vlan association 100,101 Ruijie(config-vlan)#exit
步骤二、配置端口0/1 和0/2 属于Community VLAN 100 ,端口0/3属于Isolated VLAN 101 ,端口0/4 为Promiscuous Port 。
Ruijie(config)#interface gigabitEthernet 0/1
Ruijie(config-if)#switchport mode private-vlan host
Ruijie(config-if)#switchport private-vlan host-association 99 100 Ruijie(config-if)#exit
Ruijie(config)#interface gigabitEthernet 0/2
Ruijie(config-if)#switchport mode private-vlan host
Ruijie(config-if)#switchport private-vlan host-association 99 100 Ruijie(config-if)#exit
Ruijie(config)#interface gigabitEthernet 0/3
Ruijie(config-if)#switchport mode private-vlan host
Ruijie(config-if)#switchport private-vlan host-association 99 101 Ruijie(config-if)#exit
Ruijie(config)#interface gigabitEthernet 0/4 Ruijie(config-if)#switchport mode trunk Ruijie(config-if)#exit
Ruijie(config)#interface gigabitEthernet 0/5
Ruijie(config-if)#switchport mode private-vlan promiscuous
Ruijie(config-if)#switchport private-vlan mapping 99 add 100-101 Ruijie(config-if)#show vlan private-vlan
【实验结论】
- 27 -
实验三 (3)单台三层交换机的Private VLAN配置
【实验目的】
掌握private vlan的基本配置方法和应用。 【实验任务】
在支持Private VLAN 的三层交换机上,可以为 Private VLAN 配置一个SVI,一个Private VLAN下的所有VLAN(包括Primary VLAN与的有的Secondary VLAN )可以在同一个SVI 内,只需在上个用例配置的基础上,为Primary VLAN配置一个IP 地址,对于特定需要使用路由的 Secondary VLAN 只要在Primary VLAN 配置相应的三层映射即可。 【实验拓扑图】
图1
【实验步骤】
步骤一、创建 VLAN 99 为Primary VLAN ,创建VLAN 100 为Community VLAN ,创建VLAN 101 为Isolated VLAN ,并关联主次VLAN。
Ruijie#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Ruijie(config)#vlan 100
Ruijie(config-vlan)#private-vlan community Ruijie(config-vlan)#exit Ruijie(config)#vlan 101
- 28 -
Ruijie(config-vlan)#private-vlan isolated Ruijie(config-vlan)#exit Ruijie(config)#vlan 99
Ruijie(config-vlan)#private-vlan primary
Ruijie(config-vlan)#private-vlan association 100,101 Ruijie(config-vlan)#exit
步骤二、配置端口0/1 和0/2 属于Community VLAN 100 ,端口0/3属于 Isolated VLAN 101 ,端口0/4 为Promiscuous Port 。
Ruijie(config)#interface gigabitEthernet 0/1
Ruijie(config-if)#switchport mode private-vlan host
Ruijie(config-if)#switchport private-vlan host-association 99 100 Ruijie(config-if)#exit
Ruijie(config)#interface gigabitEthernet 0/2
Ruijie(config-if)#switchport mode private-vlan host
Ruijie(config-if)#switchport private-vlan host-association 99 100 Ruijie(config-if)#exit
Ruijie(config)#interface gigabitEthernet 0/3
Ruijie(config-if)#switchport mode private-vlan host
Ruijie(config-if)#switchport private-vlan host-association 99 101 Ruijie(config-if)#exit
Ruijie(config)#interface gigabitEthernet 0/4
Ruijie(config-if)#switchport mode private-vlan promiscuous
Ruijie(config-if)#switchport private-vlan mapping 99 add 100-101 Ruijie(config-if)#exit
步骤三、为Primary VLAN 配置一个SVI (192.168.1.1) ,以及映射Secondary VLAN 和Primary VLAN的三层接口。
Ruijie(config)#interface vlan 99
Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0 Ruijie(config-if)#private-vlan mapping 100-101 Ruijie(config-if)#show vlan private-vlan
【实验结论】
- 29 -
实验四 (1)交换机的端口安全
【实验目的】
1、掌握交换机端口安全功能,控制用户的安全接入。 2、掌握交换机的端口配置的连接数。
3、掌握如何针对主机的接口进行IP+MAC地址绑定。 【实验技术原理】
交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入;交换机端口安全主要有两种类型:一是限制交换机端口的最大连接数;二是针对交换机端口进行MAC地址、IP地址的绑定。配置交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种:
1、 protect 当安全地址个数满后,安全端口将丢弃未知地址的包; 2、restrict当违例产生时,将发送一个trap通知;
3、shutdown当违例产生时,将关闭端口并发送一个trap通知; 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来; 【实验背景描述】
你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.23/24,主机MAC地址是0019.2147.10F9。该主机连接在1台2126G上。 【实验设备】
S3760EG(1台),PC(2台)、直连线(2条) 【实验内容】
按照拓扑进行网络连接;配置交换机端口最大连接数限制;配置交换机端口地址绑定。 【实验拓扑图】
- 30 -