一、原理概述
一般交换机均可使用命令行方式进行配置。MAC地址与IP地址绑定、划分VLAN是交换机上的常用技术。地址绑定可以提高安全性。VLAN是一种用于隔离广播域以及控制访问的技术。相同VLAN内的计算机可以互相直接访问,不同VLAN内的计算机不能互相直接访问。如果属于不同VLAN的计算机要互相访问,必须经路由器或三层交换机转发。
二、实验内容
一、地址绑定配置:配置交换机,在某个接口上绑定计算机的MAC地址与IP地址。
二、规划设计网络,设计拓扑图,规划VLAN划分方案。
三、配置交换机,按下图划分VLAN。
四、配置交换机,实现上图中两个VLAN间的互通。
三、实验步骤
一、地址绑定配置(模拟软件只能绑定mac)
影响网络安全的因素有很多,IP地址盗用或地址欺骗就是其中常见且危害极大的一个问题,防御措施之一是在交换机接口上绑定计算机的MAC地址与IP地址,只有满足绑定条件的计算机,才能通过该接口收发数据。
下面的操作将计算机A绑定在交换机的f 0/1接口上。
1.使用ipconfig /all命令查看计算机A的MAC地址。假设计算机A的IP地址为10.1.1.1,MAC地址为 00-1b-b9-d9-b0-37。
2.交换机上的配置如下(在输入命令时,请注意该命令前的提示符,提示符说明该命令应该在何种工作模式下输入):
S3760-1# configure terminal
注释:进入全局配置模式。
S3760-1(config)# interface fastethernet 0/1
注释:进入接口f 0/1的配置模式。
S3760-1(config-if)# switchport mode access
注释:把接口模式改为access类型,用于连接计算机的接口一般设为access类型。
S3760-1(config-if)# switchport port-security
注释:启用接口安全。
S3760-1(config-if)# switchport port-security maximum 1
注释:定义该接口最多能绑定1个MAC地址,参数范围为1~128。
S3760-1(config-if)#switchport port-security mac-address 001b. b9d9.b037
注释:该接口和MAC地址绑定。
S3760-1(config-if)#switchport port-security mac-address 001b.b9d9.b037 ip-address 10.1.1.1
注释:该接口与MAC地址和IP地址绑定。
S3760-1(config-if)#exit
S3760-1(config)#exit
S3760-1#show running-config
注释:查看交换机的所有配置信息。
二、VLAN(虚拟局域网)的划分
VLAN(Virtual Local Area Network)即虚拟局域网。此处的局域网应理解为子网(subnet)。它是在一个物理网段内进行逻辑地划分,划分成若干个虚拟局域网,每一个VLAN都包含一组有着相同需求的计算机,相当于物理上形成的局域网。在同一VLAN里的计算机能相互直接通信,而在不同VLAN里的计算机不能直接相互通信。如果属于不同的VLAN的计算机需要通信的话,必须经过路由器或三层交换机转发。
一台计算机属于哪个VLAN的依据有多种,如该计算机的IP地址、MAC地址、它所连接交换机的物理接口等等。下面的配置是依据交换机物理接口的。3台计算机和两台交换机连接成1个局域网,其中计算机A、B划为VLAN10,计算机C划为VLAN20。
1.验证划分VLAN前各计算机能互相ping通
将计算机A、B、C的本地连接禁用,启用测试连接,设置IP地址分别为1.1.1.1~1.1.1.3(都在1个子网内即可),子网掩码均为255.255.255.0,并接好测试线路,验证划分VLAN前,各计算机能互相ping通。
2.交换机switch1上的配置
在输入命令时,请注意该命令前的提示符,提示符说明该命令应该在何种工作模式下输入
(1) 创建VLAN10,并将f0/1接口划分到VLAN10中。
switch1(config)#vlan 10
注释:建立标识符为10的vlan。
switch1(config-vlan)#exit
switch1(config)#interface fastethernet 0/1
switch1(config-if)#switchport access vlan 10
注释:将接口f0/1划归到vlan 10。
switch1(config-if)#exit
switch1(config)#exit
switch1#show vlan id 10
注释:查看vlan 10的信息。
(2) 把与交换机switch2相连的接口f 0/24定义为trunk模式。
switch1(config)#interface fastethernet 0/24
switch1(config-if)#switchport mode trunk
switch1(config-if)#exit
switch1(config)#exit
switch1#show vlan
注释:查看当前交换机上全部的vlan配置。
3.交换机switch2上的配置
(1) 创建VLAN 10,并将f 0/1接口划分到VLAN10中。
switch2(config)#vlan 10
注释:建立标识符为10的vlan。
switch2(config-vlan)# exit
switch2(config)#interface fastethernet 0/1
switch2(config-if)#switchport access vlan 10
注释:将接口f 0/1划归到vlan 10。
switch2(config-if)#exit
switch2(config)#exit
switch2#show vlan id 10
注释:查看vlan10的信息。
(2) 创建VLAN 20,并将f0/2接口划分到VLAN 20中。
switch2(config)#vlan 20
注释:建立标识符为20的vlan。
switch2(config-vlan)# exit
switch2(config)#interface fastethernet 0/2
switch2(config-if)#switchport access vlan 20
注释:将接口f 0/2划归到vlan 20。
switch2(config-if)#exit
switch2(config)#exit
switch2#show vlan id 20
注释:查看vlan20的信息。
(3) 把与交换机switch1相连的接口f0/24定义为trunk模式。
switch2(config)#interface fastethernet 0/24
switch2(config-if)#switchport mode trunk
switch2(config-if)#exit
switch2(config)#exit
switch2#show vlan
注释:查看当前交换机上全部的vlan配置。
4.验证
划分完VLAN后,将计算机A、B、C的本地连接禁用,启用测试连接,设置IP地址分别为10.1.1.1~10.1.1.3(都在1个子网内即可),子网掩码均为255.255.255.0,并接好测试线路,计算机A、 B能互相ping通,但都ping不通C,证明了计算机A、B在同一个VLAN内,而计算机C自己属于另一个VLAN。
三、VLAN(虚拟局域网)间的互通(播客单元-工程项目里有视频)
上一步骤划分的不同VLAN内的计算机不能互通,为使不同VLAN内的计算机能够互通,必须使用路由器或三层交换机。在图2.2中,如果两台交换机都为三层交换机,经过配置后三台计算机A、B、C就能互通。假设A的IP地址为1.1.1.1/24,B的IP地址为1.1.1.2/24,C的IP地址为2.2.2.2/24,配置步骤如下:
1.交换机switch1上的配置
不需配置。
2.交换机switch2上的配置
switch1(config)#interface vlan 10
注释:进入vlan10。
switch1(config-if)#ip address 1.1.1.100 255.255.255.0
注释:为vlan10设置SVI(交换机虚拟接口)的IP地址。
switch1(config-if)#no shutdown
switch1(config-if)#exit
switch1(config)#interface vlan 20
注释:进入vlan20。
switch1(config-if)#ip address 2.2.2.100 255.255.255.0
注释:为vlan20设置SVI(交换机虚拟接口)的IP地址。
switch1(config-if)#no shutdown
3.验证
将计算机A、B、C的本地连接禁用,启用测试连接,并接好测试线路。把计算机A与B的默认网关设为1.1.1.100,即VLAN10的SVI的IP地址,计算机C的默认网关设为2.2.2.100,即VLAN20的SVI的IP地址。此时A、B、C就可以相互ping通了。
四、数据记录及处理
使用ipconfig /all命令查看计算机A的MAC地址。可以看到本机的IP地址为10.6.65.27,MAC地址为8C-EC-4B-98-C9-18。
使用“configure terminal”命令来进入全局配置模式。使用“interface fastethernet 0/1”命令来进入接口f 0/1配置模式。使用“switchport mode access”命令将接口模式改为access类型。使用“switchport port-security”命令启用接口安全。使用“switchport port-security maximum 1”命令定义该接口最多能绑定1个MAC地址,参数范围为1~128。使用“switchport port-security mac-address 8CEC.4B98.C918”命令将接口和MAC地址绑定。使用“switchport port-security mac-address 8CEC.4B98.C918 ip-address 10.6.65.27”命令将该接口与MAC地址和ip地址绑定。使用“exit”命令退回到上一级工作模式。
使用“show running-config”命令查看交换机所有配置信息。其中有与绑定有关的配置信息。
3台计算机和两台交换机连接成1个局域网,其中计算机A、B划为VLAN10,计算机C划为VLAN20。
将计算机A、B、C的本地连接禁用,启用测试连接,设置IP地址分别为6.1.1.1~6.1.1.3(都在1个子网内即可),子网掩码均为255.255.255.0,并接好测试线路。设置ip地址。验证互ping。可以看到计算机ABC之间能够互相ping通。
使用“vlan 10”命令来建立标识符为10的vlan。使用“exit”命令退回到上一级。使用“interface fastethernet 0/2”命令进入接口f 0/2的配置模式。使用“switchport access vlan 10”命令将接口划分到vlan 10。使用“show vlan id 10”命令来查看vlan 10的信息。
使用“interface f 0/1”命令进入接口f 0/1的配置模式。使用“switchport mode trunk”命令将接口定义为trunk模式。使用“show vlan”命令来查看交换机全部的vlan配置。
使用“vlan 10”命令来建立标识符为10的vlan。使用“exit”命令退回到上一级。使用“interface fastethernet 0/2”命令进入接口f 0/2的配置模式。使用“switchport access vlan 10”命令将接口划分到vlan 10。使用“show vlan id 10”命令来查看vlan 10的信息。
使用“vlan 20”命令来建立标识符为20的vlan。使用“exit”命令退回到上一级。使用“interface fastethernet 0/3”命令进入接口f 0/3的配置模式。使用“switchport access vlan 20”命令将接口划分到vlan 20。使用“show vlan id 20”命令来查看vlan 20的信息。
使用“interface f 0/1”命令进入接口f 0/1的配置模式。使用“switchport mode trunk”命令将接口定义为trunk模式。使用“show vlan”命令来查看交换机全部的vlan配置。
划分完VLAN后,将计算机A、B、C的本地连接禁用,启用测试连接,设置IP地址分别为6.1.1.1~6.1.1.3(都在1个子网内即可),子网掩码均为255.255.255.0,并接好测试线路,计算机A、 B能互相ping通,但都ping不通C,证明了计算机A、B在同一个VLAN内,而计算机C自己属于另一个VLAN。
经过配置后三台计算机A、B、C就能互通。A的IP地址为6.1.1.1/24,B的IP地址为6.1.1.2/24,C的IP地址为2.2.2.2/24,在交换机switch2上使用“interface vlan 10”命令进入vlan 10,使用“ip address 6.1.1.100 255.255.255.0”命令为vlan 10设置SVI的IP地址。使用“no shutdown”命令启用接口。使用“interface vlan 20”命令进入vlan 20,使用“ip address 2.2.2.100 255.255.255.0”命令为vlan 20设置SVI的IP地址。使用“no shutdown”命令启用该接口。
将计算机A、B、C的本地连接禁用,启用测试连接,并接好测试线路。把计算机A与B的默认网关设为6.1.1.100,即VLAN10的SVI的IP地址,计算机C的默认网关设为2.2.2.100,即VLAN20的SVI的IP地址。可以看到ABC之间已经可以相互ping通。
五、 实验结论及问题讨论
实验结论
1.地址绑定配置
通过在交换机接口上绑定计算机的MAC地址与IP地址,成功提高了网络的安全性。该配置防止了IP地址盗用和地址欺骗问题,实验结果表明,计算机A、B、C成功绑定在交换机的接口上,只有满足绑定条件的计算机才能通过该接口收发数据。
2.VLAN的划分
成功使用命令行创建了VLAN,并将交换机的接口划分到不同的VLAN中。建立了VLAN10和VLAN20,并分别将计算机A、B划入VLAN10,计算机C划入VLAN20。结果显示,不同VLAN之间的计算机无法直接通信。计算机A与B能够互相ping通,但都无法ping通计算机C。证明了VLAN的隔离效果。
3.VLAN间的互通
通过配置,实现了不同VLAN间的互通。为VLAN10和VLAN20设置了(SVI)的IP地址6.1.1.100和2.2.2.100,并配置了计算机的默认网关,使得VLAN10和VLAN20的计算机能够互相通信。实验结果显示,计算机A、B、C能够互相ping通,实现了不同VLAN间的互通。
问题讨论
1.交换机命令配置错误
在输入命令时,由于对提示符不熟悉,出现了命令输入在错误模式下的情况。解决方法是多次检查工作模式是否正确以及命令是否正确,并根据提示符正确输入命令。
2.连接问题
实验初期,配置命令无法生效。解决方法是检查并重新连接,确保连接正确稳定。在进行配置前,确保所有设备的连接正确无误,通过ping测试来确认连接状态。
3.VLAN配置验证
在划分VLAN后,验证计算机间通信时出现了某些计算机之间仍能通信。解决方法是重新检查VLAN配置,确保所有接口正确划分到相应的VLAN中。使用“show vlan”命令查看当前交换机的VLAN配置,确保配置正确无误。
实验心得体会
通过本次实验,我深刻理解了交换机的基本配置方法,包括MAC地址与IP地址绑定和VLAN划分的具体操作。实验中遇到的问题主要集中在命令输入错误和设备连接问题上,通过多次检查和重新连接,这些问题得到了有效解决。今后在进行类似实验时,应更加注重细节,确保每一步操作正确无误。本次实验使我掌握了交换机的基本配置技能,为今后网络配置和管理奠定了坚实的基础。
