交换综合组网的简单配置
前言
有关链路聚合、acl应用、ntp、telnet、dhcp的综合实验。
实验要求:
实验环境:HCL模拟器。
1.RT 作为核心设备,是现场所有设备的网关。 PC1 属于 vlan10、PC2 属于 vlan20,FTP 服务器属于 vlan100,NTP 服务器属于 vlan200。
2.为了保障链路的稳定性,SW 和 RT 采用动态链路聚合。
3.RT、SW 和 FTP 服务器的时间都是从 NTP 服务器侧同步。NTP 服务器的时间为 2024 年 8 月 1 日 8 点 30 分。
4.PC1 和 PC2 均是从 RT 侧自动获取地址,RT 侧固定给 PC1 和 PC2 分配表上地址。
5.按安全性要求,RT 上对数据流量进行过滤,PC1 仅可以访问 FTP 服务器,不允许 PC1 访 问 NTP 服务器。PC2 仅可以访问 NTP 服务器,不允许 PC 访问 FTP 服务器。FTP 服务器可以访问 NTP 服务器,但是 NTP 服务器无法访问 FTP 服 务器的单向访问。
6.SW 及 RT 开启 telnet 远程登陆功能,配置的本地用户,初始为最低权限,用户名为自己 名字的拼音,密码为 P@ssw0rd123。并需要配置一个最高权限的 Super 密码,密码为 123P@ssw0rd 方便管理员切换权限。
实验拓补
实验步骤
第一步是很重要的一步!
当然是把设备都重命名!把信息写在旁边有助于后续的配置。
sysname XXX---------------------每台进行配置,略
然后我们的目标是什么?
当然是把拓补全连通!
-------------------朝着这个目标前进!--------------------
1.先配点简单的ip和vlan
[rt]vlan 10
[rt-vlan10]qu
[rt]vlan 20
[rt-vlan20]qu
-----------在此先思考,我的pc网关配在哪里?-----------------
[rt]vlan 100
[rt-vlan100]qu
[rt]vlan 200
[rt-vlan200]qu
[rt]int vlan
[rt]int Vlan-interface 100
[rt-Vlan-interface100]ip add 172.16.100.1 24
[rt-Vlan-interface100]qu
[rt]int Vlan-interface 200
[rt-Vlan-interface200]ip add 172.16.200.1 24
[rt-Vlan-interface200]
----------服务器的网关配置完成------------------------------------
[sw]int Vlan-interface 1
[sw-Vlan-interface1]ip add 10.0.0.2 24
[sw-Vlan-interface1]
[sw]vlan 10
[sw-vlan10]port g1/0/3
[sw-vlan10]vlan 20
[sw-vlan20]port g1/0/4
[sw-vlan20]
----------简单的配置,将相应端口加入对应的vlan---------
[ftp]int vlan 1
[ftp-Vlan-interface1]ip add 172.16.100.10 24
[ftp-Vlan-interface1]
[ntp]int Vlan-interface 1
[ntp-Vlan-interface1]ip add 172.16.200.20 24
[ntp-Vlan-interface1]
[rt-GigabitEthernet0/0]port link-mode bridge//切换成二层模式,不切换的话,还是在三层,要在接口配置ip地址
[rt-GigabitEthernet0/0]port access vlan 100
----------ftp可以连通rt-----------------------------
[rt-GigabitEthernet5/0]port link-mode bridge
[rt-GigabitEthernet5/0]port access vlan 200
---------ntp可以连通rt------------------------------
int Vlan-interface是交换机上的一个虚拟三层接口,用于实现不同VLAN之间的路由通信。
这样配,拓补肯定还没连通!
[rt]interface Route-Aggregation1//创建了一个三层聚合接口
[rt-Route-Aggregation1] ip address 10.0.0.1 255.255.255.0//其配置了 IP 地址
[rt-Route-Aggregation1]link-aggregation mode dynamic//动态 (LACP) 模式
[rt-Route-Aggregation1]
[rt]int g0/1
[rt-GigabitEthernet0/1]port link-aggregation group 1
[rt-GigabitEthernet0/1]qu
[rt]int g0/2
[rt-GigabitEthernet0/2]port link-aggregation group 1
-------配置动态链路聚合,并把相应端口加入-----------
[sw]interface Bridge-Aggregation 1
[sw-Bridge-Aggregation1]link-aggregation mode dynamic
[sw-Bridge-Aggregation1]
[sw]int g1/0/1
[sw-GigabitEthernet1/0/1]port link-aggregation group 1
[sw-GigabitEthernet1/0/1]qu
[sw]int g1/0/2
[sw-GigabitEthernet1/0/2]port link-aggregation group 1
[sw-Bridge-Aggregation1]port link-type trunk
[sw-Bridge-Aggregation1]port trunk permit vlan 10 20//先加入端口再起Trunk---------------------------要搞trunk,不然pc连不到路由
-------配置动态链路聚合,并把相应端口加入-----------
查看聚合状态
[sw]dis link-aggregation ver
Aggregate Interface: Bridge-Aggregation1
Aggregation Mode: Dynamic
Local:
Port Status Priority Oper-Key Flag
--------------------------------------------------------------------------------
GE1/0/1 S 32768 1 {ACDEF}
GE1/0/2 S 32768 1 {ACDEF}
------省略了相关信息,看到status为select就好啦--------
-----------sw可以ping通rt,链路聚合成功--------------------------
二层聚合组/二层聚合接口:二层聚合组的成员端口全部为二层以太网接口,其对应的聚合接口称为二层聚合接口(Bridge-aggregation Interface,BAGG)。
三层聚合组/三层聚合接口:三层聚合组的成员端口全部为三层以太网接口,其对应的聚合接口称为三层聚合接口(Route-aggregation Interface,RAGG)
在交换机上配置 Bridge-Aggregation 1 并将其设置为 Trunk 模式,可以允许多个 VLAN 通过该聚合接口,实现交换机之间的 VLAN 间路由。
在路由器上配置 Route-Aggregation 1 并为其分配 IP 地址,可以作为交换机和路由器之间的网关接口,实现二层交换和三层路由的连通。
pc是不是还没连通rt?
dhcp动态分配地址,那网关配置在哪?
在rt的三层接口上!逻辑接口!Route-Aggregation1
在创建了三层聚合接口之后,还可以继续创建该三层聚合接口的子接口(简称三层聚合子接口)。三层聚合子接口也是一种逻辑接口,工作在网络层,主要用来在三层聚合接口上支持收发携带VLAN Tag的报文。
[pc1]int vlan 1
[pc1-Vlan-interface1]ip address dhcp-alloc//自动获取ip
[pc1]dis int vlan 1//在int vlan 上配置的接口,当然要找他的mac地址来进行绑定
IP packet frame type: Ethernet II, hardware address:XXXXXXXXX
------------------信息省略,hardware address就是mac---------------------
[pc2]int vlan 1
[pc2-Vlan-interface1]ip address dhcp-alloc
[pc2]dis int vlan 1
IP packet frame type: Ethernet II, hardware address: XXXXXXXXX
-----------------------pc上的dhcp的服务就好了------------------------------
[rt]dhcp enable
[rt]dhcp server ip-pool vlan10
[rt-dhcp-pool-vlan10]gateway-list 192.168.10.1
[rt-dhcp-pool-vlan10]network 192.168.10.0 mask 255.255.255.0
[rt-dhcp-pool-vlan10]static-bind ip-address 192.168.10.10 mask 255.255.255.0 hardware-address XXXXXX
----------------配置dhcp地址池----------------------------
[rt]dhcp server ip-pool vlan20
[rt-dhcp-pool-vlan20]gateway-list 192.168.20.1
[rt-dhcp-pool-vlan20]network 192.168.20.0 mask 255.255.255.0
[rt-dhcp-pool-vlan20]static-bind ip-address 192.168.20.20 hardware-address XXXXXXX
[rt-dhcp-pool-vlan20]
----------------配置dhcp地址池----------------------------
-------------此时pc还是通不了rt的,ip还未发下来----------------
要搞单臂路由!在聚合口下
[rt]interface Route-Aggregation1.1
[rt-Route-Aggregation1.1]ip address 192.168.10.1 255.255.255.0
[rt-Route-Aggregation1.1]vlan-type dot1q vid 10
[rt-Route-Aggregation1.1]qu
[rt]int Route-Aggregation1.2
[rt-Route-Aggregation1.2]ip add 192.168.20.1 255.255.255.0
[rt-Route-Aggregation1.2]vlan-type dot1q vid 20
----------------------------此时pc就能和rt互相连通啦!----------
[rt]dis dhcp server ip-in-use查看,能够看到ip被使用啦!
在路由器上创建一个名为 Route-Aggregation1.1 的子接口。子接口是路由器上的虚拟接口,用于支持不同的 VLAN。
在这个子接口上配置 IP 地址为 192.168.10.1/24。这个 IP 地址将成为 VLAN 10 的网关地址。
使用 vlan-type dot1q vid 10 命令将这个子接口与 VLAN 10 关联起来。这样路由器就能识别并处理 VLAN 10 的数据帧。
此时全网通了吗?没有!
服务器根本不知道pc在哪里!没有通就查看路由,配置相应的路由。
------------------设个静态路由吧!-----------------------------
[ntp]ip route 0.0.0.0 0 172.16.200.1
[ntp]
[ftp]ip route-static 0.0.0.0 0 172.16.100.1
[ftp]
-----------------还没有通哦!---------------------------------
[sw]ip route-static 0.0.0.0 0 10.0.0.1
--------------------------恭喜你!全网连通了!------------
------------------没有连通的话,看看配置ip是不是配错了------------------
我们的任务完成啦!
RT、SW 和 FTP 服务器的时间都是从 NTP 服务器侧同步。NTP 服务器的时间为 2024 年 8 月 1 日 8 点 30 分。
[ntp]clock protocol none//必须先配这条命令,不然时间设置不上//配置获取UTC时间的方式为通过命令行配置
<ntp>clock datetime 8:30:00 2024/8/1
<ntp>dis clock
08:30:03 UTC Thu 08/01/2024
<ntp>
[ntp]ntp-service enable 开启NTP服务
[ntp] ntp-service refclock-master 2//设置本地设备时钟作为参考时钟,层数为2
[ftp]ntp-service enable
[ftp]clock protocol ntp//通过NTP协议从网络中获取时间,不要忘记配
[ftp]ntp-service unicast-server 172.16.200.20配置设备的NTP服务器
[ftp]ntp-service refclock-master 4//设置本地设备时钟作为参考时钟,层数为4
4比上面的2小,就自动选ntp服务器作为服务器
[rt]ntp-service enable
[rt]clock protocol ntp
[rt]ntp-service unicast-server 172.16.200.20
[rt]ntp-service refclock-master 4
[sw]ntp-service enable
[sw]clock protocol ntp
[sw]ntp-service unicast-server 172.16.200.20
[sw]ntp-service refclock-master 4
按安全性要求,RT 上对数据流量进行过滤,PC1 仅可以访问 FTP 服务器,不允许 PC1 访 问 NTP 服务器。PC2 仅可以访问 NTP 服务器,不允许 PC 访问 FTP 服务器。另还需要实现,FTP 服务器可以访问 NTP 服务器,但是 NTP 服务器无法访问 FTP 服 务器的单向访问。
[rt]acl number 3000
[rt-acl-ipv4-adv-3000]rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 1
72.16.200.20 0.0.0.0
[rt-acl-ipv4-adv-3000]rule 10 permit ip
[rt-acl-ipv4-adv-3000]qu
[rt]acl number 3100
[rt-acl-ipv4-adv-3100]rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 1
72.16.100.10 0.0.0.0
[rt-acl-ipv4-adv-3100]rule 10 permit ip
[rt-acl-ipv4-adv-3100]qu
[rt]int Route-Aggregation1.1
[rt-Route-Aggregation1.1]packet-filter 3000 inbound
[rt-Route-Aggregation1.1]qu
[rt]int Route-Aggregation1.2
[rt-Route-Aggregation1.2]packet-filter 3100 inbound
[rt-Route-Aggregation1.2]
<pc1>ping 172.16.100.10
Ping 172.16.100.10 (172.16.100.10): 56 data bytes, press CTRL_C to break
56 bytes from 172.16.100.10: icmp_seq=0 ttl=254 time=2.000 ms
56 bytes from 172.16.100.10: icmp_seq=1 ttl=254 time=3.000 ms
56 bytes from 172.16.100.10: icmp_seq=2 ttl=254 time=1.000 ms
56 bytes from 172.16.100.10: icmp_seq=3 ttl=254 time=1.000 ms
56 bytes from 172.16.100.10: icmp_seq=4 ttl=254 time=2.000 ms
--- Ping statistics for 172.16.100.10 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.000/1.800/3.000/0.748 ms
<pc1>%Aug 9 10:27:20:009 2024 pc1 PING/6/PING_STATISTICS: Ping statistics for 172.16.100.10: 5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss, round-trip min/avg/max/std-dev = 1.000/1.800/3.000/0.748 ms.
<pc1>ping 172.16.200.20
Ping 172.16.200.20 (172.16.200.20): 56 data bytes, press CTRL_C to break
Request time out
Request time out
<pc2>ping 172.16.100.10
Ping 172.16.100.10 (172.16.100.10): 56 data bytes, press CTRL_C to break
%Aug 9 10:27:17:775 2024 pc2 LLDP/5/LLDP_PVID_INCONSISTENT: PVID mismatch discovered on GigabitEthernet1/0/1 (PVID 1), with sw GigabitEthernet1/0/4 (PVID 20).
Request time out
--- Ping statistics for 172.16.100.10 ---
2 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss
<pc2>%Aug 9 10:27:21:061 2024 pc2 PING/6/PING_STATISTICS: Ping statistics for 172.16.100.10: 2 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss.
<pc2>ping 172.16.200.20
Ping 172.16.200.20 (172.16.200.20): 56 data bytes, press CTRL_C to break
56 bytes from 172.16.200.20: icmp_seq=0 ttl=254 time=3.000 ms
56 bytes from 172.16.200.20: icmp_seq=1 ttl=254 time=2.000 ms
56 bytes from 172.16.200.20: icmp_seq=2 ttl=254 time=3.000 ms
56 bytes from 172.16.200.20: icmp_seq=3 ttl=254 time=3.000 ms
56 bytes from 172.16.200.20: icmp_seq=4 ttl=254 time=3.000 ms
--- Ping statistics for 172.16.200.20 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 2.000/2.800/3.000/0.400 ms
<pc2>%Aug 9 10:27:30:103 2024 pc2 PING/6/PING_STATISTICS: Ping statistics for 172.16.200.20: 5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss, round-trip min/avg/max/std-dev = 2.000/2.800/3.000/0.400 ms.
[rt]acl number 3200
[rt-acl-ipv4-adv-3200]rule 10 deny tcp source 172.16.200.20 0 destination 172.16
.100.10 0 destination-port eq ftp
[rt]interface Vlan-interface200
[rt-Vlan-interface200]p
[rt-Vlan-interface200]packet-filter 3200 in
[rt-Vlan-interface200]packet-filter 3200 inbound
[rt-Vlan-interface200]
ACL中的Number、basic、 advance区别
number包含basic、advance以及二层ACL
acl number 2000 =acl basic 2000
acl number 3000 = acl advance 3000
acl number 4000就到了二层acl的设置了
具体范围以及受限在此不多赘述。
inbound和outbound对于接口是收还是发来看
SW 及 RT 开启 telnet 远程登陆功能,配置的本地用户,初始为最低权限,用户名为自己 名字的拼音,密码为 P@ssw0rd123。并需要配置一个最高权限的 Super 密码,密码为 123P@ssw0rd 方便管理员切换权限。
[rt]local-user guihuaxianga(你的名字) class manage//创建了一个新的本地用户 guihuaxianga,并将其分类为管理类型用户
New local user added.
[rt-luser-manage-guihuaxianga]password P@ssw0rd123
[rt-luser-manage-guihuaxianga]authorization-attribute user-role level-0
[rt-luser-manage-guihuaxianga]service-type telnet//这样允许 guihuaxianga 用户通过 telnet 方式登录设备。
[rt]line vty 0 63//VTY 用户线是用于 Telnet 或 SSH 远程登录设备的用户线。
[rt-line-vty0-63]authentication-mode scheme //设置为 scheme 模式
[rt]super password role network-admin simple 123P@ssw0rd//配置一个最高权限的 Super 密码,密码为 123P@ssw0rd 方便管理员切换权限----------系统视图下,创建一个名为 "network-admin" 的本地用户,并设置其密码为 "123P@ssw0rd"。这个用户将被授予 network-admin 的用户角色权限。
[sw]local-user guihuaxianga class manage
New local user added.
[sw-luser-manage-guihuaxianga]password simple P@ssw0rd123
[sw-luser-manage-guihuaxianga]service-type telnet
[sw-luser-manage-guihuaxianga]qu
[sw]super password role network-admin simple 123P@ssw0rd
[sw]line vty 0 63
[sw-line-vty0-63]authentication-mode scheme
[sw]telnet server enable
pc上登陆设备
login: guihuaxianga
Password:
-----------------------------登陆成功,此时权限为level-0-------------------------------
<sw>super network-admin//提权
Password: %Aug 9 11:05:38:329 2024 pc1 LLDP/5/LLDP_PVID_INCONSISTENT: PVID mismatch discovered on GigabitEthernet1/0/1 (PVID 1), with sw GigabitEthernet1/0/3 (PVID 10).
Password:
User privilege role is network-admin, and only those commands that authorized to the role can be used.
<sw>
------------------此时权限为level-15-----------------------------------
实验到此结束,欢迎探讨~
4540
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
