计算机网络实验三——基于Cisco Packet Tracer的端口聚合、端口镜像及ACL实验
实验目的
(1)学习并掌握端口聚合实验的配置,理解端口聚合的原理;
(2)学习并掌握端口镜像实验的配置,理解端口镜像的原理;
(3)理解ACL原理,配置IP访问控制列表流量控制。
实验内容
(1)实验1端口聚合实验
企业中经常部署由两台交换机组成的局域网,由于很多数据流量是跨交换机转发的,因此需要提高交换机之间的传输带宽并实现链路冗余备份。为此在交换机之间采用两根网线互连,并将相应的端口聚合为一个逻辑端口,可通过在交换机上做适当配置来实现这一目标。
(2)实验2端口镜像
需要通过交换机的某端口对其他端口的流量进行监控,又不影响其他端口的正常工作,进行配置实现该功能。
(3)实验3ACL策略技术
利用访问控制列表,将某公司的财务部与销售部隔离,要求经理部门可以访问财务部。
实验原理
(1)端口聚合
端口聚合也叫做以太通道(ethernet channel),主要用于交换机之间连接。但是,失去了路径冗余的优点,因为STP的链路切换会很慢,在50s左右。使用以太通道的话,交换机会把一组物理端口联合起来,做为一个逻辑的通道,也就是channel-group,这样交换机会认为这个逻辑通道为一个端口
(2)端口镜像
端口镜像(port Mirroring)功能通过在交换机或路由器上,将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,指定端口称之为“镜像端口”或“目的端口”,在不严重影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进行监控分析。在企业中用镜像功能,可以很好地对企业内部的网络数据进行监控管理,在网络出故障的时候,可以快速地定位故障。
(3)ACL策略技术
ACL技术在路由器中被广泛采用,它是一种基于包过滤的流控制技术。控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上,可以通过实施ACL,可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加,一些企业已经开始使用ACL来控制对局域网内部资源的访问能力,进而来保障这些资源的安全性。
实验项目
子实验1交换机端口聚合实验
组网需求
1.实验要求
为增加链路带宽,提高网络可靠性,在两台交换机设备之间运行静态链路聚合。
2.材料/工具
两台35650交换机,两台pc,四条直通线
3.IP配置
设备 | IP | 直连接口 |
Pc0 | 192.168.0.10 | Switch1FastEthernet0/1 |
Pc1 | 192.168.0.20 | Switch2FastEthernet0/1 |
拓扑搭建
在未配置端口聚合之前,切勿连接两台交换机,避免造成环路形成广播风暴,引起阻塞导致交换机无法正常工作。
配置要点
先创建连个vlan将连接两交换机的端口加入vlan中,对端口进行端口聚合
配置步骤
交换机配置:
交换机1配置:
进行基础配置,并创建vlan,将端口划分进vlan
Switch>
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 2
Switch(config-vlan)#vlan 3
Switch(config-vlan)#ex
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2
Switch(config-if)#ex
进行端口聚合配置
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface range gigabitEthernet 0/1-2
Switch(config-if-range)#channel-group 1 mode desirable
Switch(config-if-range)#switchport trunk encapsulation dot1q t
Switch(config-if-range)#switchport mode trunk
Switch(config-if-range)#no shutdown
用show enrherchannel summary查看配置是否成功
交换机2配置:
进行基础配置,并创建vlan,将端口划分进vlan
Switch>
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 2
Switch(config-vlan)#vlan 3
Switch(config-vlan)#ex
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2
Switch(config-if)#ex
进行端口聚合配置
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface range gigabitEthernet 0/1-2
Switch(config-if-range)#channel-group 1 mode desirable
Switch(config-if-range)#switchport trunk encapsulation dot1q
Switch(config-if-range)#switchport mode trunk
Switch(config-if-range)#no shutdown
用show enrherchannel summary查看配置是否成功
给pc0-1配置IP地址
功能验证
当两条线都已经连接
当断开一条线后可以看到,端口由红色变为橙色,最后变为绿色
再测试两个pc的连通性
子实验2交换机端口镜像功能
组网需求
1.实验要求
配置端口镜像和网络设备的地址,并观察pc3能否收到来自交换机fa0/1和fa0/2端口的数据
2.材料/工具
两台2960交换机,三台pc,三条直通线
3.IP配置
设备 | IP | 直连接口 |
Pc0 | 192.168.0.10/24 | SwitchFastEthernet0/1 |
Pc1 | 192.168.0.20/24 | SwitchFastEthernet0/2 |
Pc2 | 192.168.0.30/24 | SwitchFastEthernet0/3 |
拓扑搭建
配置要点
交换机可以指定多个源端口。Both表示双方向的数据流,如果只需要镜像进入交换机数据流,则将both关键字改为rx,如果需要镜像从交换机出来方向的流量,则将both改为tx。
配置步骤
交换机配置
Switch>
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#monitor session 1 source interface fastEthernet 0/1 both
Switch(config)#monitor session 1 destination interface fastEthernet 0/3
Switch(config)#ex
查看配置
Switch#show monitor
Session 1
---------
Type : Local Session
Description : -
Source Ports :
Both : Fa0/1
Destination Ports : Fa0/3
Encapsulation : Native
Ingress : Disabled
将双方向数据流变成只需要镜像从交换机出来方向的流量
Switch>
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#monitor session 1 source interface fastEthernet 0/1 rx
Pc配置
给三个pc配置IP地址
功能验证
可以看到从pc0发往pc2的数据包同时也被pc1检测到,实验成功
如果只需要镜像进入交换机方向的数据流,则将both关键字改为关键字rx,命令就变为了:monitor session 1 source interface gigabitEthernet 0/1 rx。如果只需要镜像从交换机出来方向的流量,则可将both关键字改为tx。
子实验3标准IP的ACL配置
组网需求
1.实验要求
公司销售部、经理部、财务部分属不同的网段,各部门之间通过路由器进行信息传递,出于安全考虑,要求销售部门不能访问财务部,但经理部可以访问财务部。
2.材料/工具
两台2911路由器,三台二层交换机,六台pc,十条直通线
3.IP配置
设备/端口 | IP | 直连接口 |
Pc0 | 192.168.1.100/24 | Switch1FastEthernet0/1 |
Pc1 | 192.168.1.110/24 | Switch1FastEthernet0/2 |
Pc2 | 192.168.2.100/24 | Switch2FastEthernet0/1 |
Pc3 | 192.168.2.110/24 | Switch2FastEthernet0/2 |
Pc4 | 192.168.3.100/24 | Switch3FastEthernet0/1 |
Pc5 | 192.168.3.110/24 | Switch3FastEthernet0/2 |
Router0gig0/0 | 192.168.0.10/24 | Router1gigabitEthernet0/0 |
Router0gig0/1 | 192.168.1.1/24 | Switch1gigabitEthernet0/1 |
Router0gig0/2 | 192.168.2.1/24 | Switch2gigabitEthernet0/2 |
Router1gig0/0 | 192.168.0.20/24 | Router0gigabitEthernet0/0 |
Router1gig0/2 | 192.168.3.1/24 | Switch3gigabitEthernet0/2 |
拓扑搭建
配置要点
配置步骤
路由器配置
路由器1配置:
将路由器命名为R1,给端口配置IP地址
Router>
Router>
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ho
Router(config)#hostname R1
R1(config)#interface GigabitEthernet0/0
R1(config-if)#ip address 192.168.0.10 255.255.255.0
R1(config)#no shutdown
R1(config)#interface GigabitEthernet0/1
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config)#no shutdown
R1(config)#interface GigabitEthernet0/2
R1(config-if)#ip address 192.168.2.1 255.255.255.0
R1(config)#no shutdown
给R1添加静态路由
R1(config)#
R1(config)#ip rou
R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.0.20
查看配置
路由器2配置
将路由器命名为R2,给端口配置IP地址
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ho
Router(config)#hostname R
R2(config)#interface GigabitEthernet0/0
R2(config-if)#ip address 192.168.0.20 255.255.255.0
R2(config)#no shutdown
R2(config)#interface GigabitEthernet0/1
R2(config-if)#ip address 192.168.3.1 255.255.255.0
R2(config)#no shutdown
给R1添加静态路由
R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.0.10
R2(config)#ip route 192.168.2.0 255.255.255.0 192.168.0.10
查看配置
在R1上配置acl,让销售部禁止访问财务部,并应用在gig0/2接口
R2>en
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 host 192.168.3.0
R2(config)# access-list 1 permit any
R2(config)#interface gigabitEthernet 0/0
R2(config-if)#ip access-group 101 in
R2(config-if)#ex
查看配置
功能验证
可以看到配置acl后销售部已经ping不到财务部,而经理部可以访问财务部和销售部