實驗三一 交換機(jī)劃分Vlan 配置 ..................................................................................

實驗三

一 交換機(jī)劃分Vlan 配置 ..................................................................................................... 1

二 利用三層交換機(jī)實現(xiàn)VLAN 間路由 . ............................................................................. 3

一 交換機(jī)劃分Vlan 配置

實驗?zāi)繕?biāo)

● 理解虛擬LAN(VLAN)基本配置；

● 掌握一般交換機(jī)按端口劃分VLAN 的配置方法；

● 掌握Tag VLAN配置方法。

實驗背景

● 某一公司內(nèi)財務(wù)部、銷售部的PC 通過2臺交換機(jī)實現(xiàn)通信；要求財務(wù)部和銷售部

的PC 可以互通，但為了數(shù)據(jù)安全起見，銷售部和財務(wù)部需要進(jìn)行互相隔離，現(xiàn)要在交換機(jī)上做適當(dāng)配置來實現(xiàn)這一目標(biāo)。

技術(shù)原理

● VLAN 是指在一個物理網(wǎng)段內(nèi)。進(jìn)行邏輯的劃分，劃分成若干個虛擬局域網(wǎng)，VLAN

做大的特性是不受物理位置的限制，可以進(jìn)行靈活的劃分。VLAN 具備了一個物理網(wǎng)段所具備的特性。相同VLAN 內(nèi)的主機(jī)可以相互直接通信，不同VLAN 間的主機(jī)之間互相訪問必須經(jīng)路由設(shè)備進(jìn)行轉(zhuǎn)發(fā)，廣播數(shù)據(jù)包只可以在本VLAN 內(nèi)進(jìn)行廣播，不能傳輸?shù)狡渌鸙LAN 中。

● Port VLAN 是實現(xiàn)VLAN 的方式之一，它利用交換機(jī)的端口進(jìn)行V ALN 的劃分，

一個端口只能屬于一個VLAN 。

● Tag VLAN 是基于交換機(jī)端口的另一種類型，主要用于是交換機(jī)的相同Vlan 內(nèi)的

主機(jī)之間可以直接訪問，同時對不同Vlan 的主機(jī)進(jìn)行隔離。Tag VLAN 遵循IEEE802.1Q 協(xié)議的標(biāo)準(zhǔn)，在使用配置了Tag VLAN 的端口進(jìn)行數(shù)據(jù)傳輸時，需要在數(shù)據(jù)幀內(nèi)添加4個字節(jié)的8021.Q 標(biāo)簽信息，用于標(biāo)示該數(shù)據(jù)幀屬于哪個VLAN, 便于對端交換機(jī)接收到數(shù)據(jù)幀后進(jìn)行準(zhǔn)確的過濾。

實驗步驟

● 新建Packet Tracer拓?fù)鋱D；

● 劃分VLAN ；

● 將端口劃分到相應(yīng)VLAN 中；

● 設(shè)置Tag VLAN Trunk屬性；

● 測試

實驗設(shè)備

Switch_2960 2臺；PC 4臺；直連線

PC1

IP: 192.168.1.2 Submark: 255.255.255.0 Gateway: 192.168.1.1 PC2

IP: 192.168.1.3 Submark: 255.255.255.0 Gateway: 192.168.1.1 PC3

IP: 192.168.1.4 Submark: 255.255.255.0 Gateway: 192.168.1.1 PC4

IP: 192.168.1.5 Submark: 255.255.255.0 Gateway: 192.168.1.1

Switch1

en

conf t

vlan 2

exit

vlan 3

exit

inter fa 0/1

switch access vlan 2 exit

inter fa 0/2

switch access vlan 3 exit

inter fa 0/24

switch mode trunk end

show vlan

Switch2

en

conf t

vlan 2

exit

vlan 3

exit

int fa 0/1

switch access vlan 2

exit

int fa 0/2

switch access vlan 3

exit

int fa 0/24

switch mode trunk

end

show vlan

PC1 ping PC2 timeout

PC1 ping PC3 Reply

二 利用三層交換機(jī)實現(xiàn)VLAN 間路由

實驗?zāi)繕?biāo)

● 掌握交換機(jī)Tag VLAN的配置

● 掌握三層交換機(jī)基本配置方法；

● 掌握三層交換機(jī)VLAN 路由的配置方法；

● 通過三層交換機(jī)實現(xiàn)VLAN 間相互通信；

實驗背景

● 某企業(yè)有兩個主要部門，技術(shù)部和銷售部，分處于不同的辦公室，為了安全和便于

管理對兩個部門的主機(jī)進(jìn)行了VLAN 的劃分，技術(shù)部和銷售部分處于不同的VLAN ，先由于業(yè)務(wù)的需求需要銷售部和技術(shù)部的主機(jī)能夠相互訪問，獲得相應(yīng)的資源，兩個部門的交換機(jī)通過一臺三層交換機(jī)進(jìn)行了連接。

技術(shù)原理

● 三層交換機(jī)具備網(wǎng)絡(luò)層的功能，實現(xiàn)VLAN 相互訪問的原理是：利用三層交換機(jī)

的路由功能，通過識別數(shù)據(jù)包的IP 地址，查找路由表進(jìn)行選路轉(zhuǎn)發(fā)，三層交換機(jī)利用直連路由可以實現(xiàn)不同VLAN 之間的相互訪問。三層交換機(jī)給接口配置IP 地址。采用SVI （交換虛擬接口）的方式實現(xiàn)VLAN 間互連。SVI 是指為交換機(jī)中的VLAN 創(chuàng)建虛擬接口，并且配置IP 地址。

實驗步驟

● 新建packet tracer拓?fù)鋱D

● （1）在二層交換機(jī)上配置VLAN2、VLAN3，分別將端口2、端口3劃分給VLAN2、

VLAN3。

● （2）將二層交換機(jī)與三層交換機(jī)相連的端口fa 0/1都定義為tag Vlan模式。

● （3）在三層交換機(jī)上配置VLAN2、VLAN3，此時驗證二層交換機(jī)VLAN2、VLAN3

下的主機(jī)之間不能相互通信。

● （4）設(shè)置三層交換機(jī)VLAN 間的通信，創(chuàng)建VLAN2,VLAN3的虛接口，并配置

虛接口VLAN2、VLAN3的IP 地址。

● （5）查看三層交換機(jī)路由表。

● （6）將二層交換機(jī)VLAN2、VLAN3下的主機(jī)默認(rèn)網(wǎng)關(guān)分別設(shè)置為相應(yīng)虛擬接口

的IP 地址。

● （7）驗證二層交換機(jī)VLAN2,V ALN3下的主機(jī)之間可以相互通信。

實驗設(shè)備

Switch_2960 1臺；Swithc_3560 1臺；PC 3臺；直連線

PC1

IP:

Submark:

Gateway:

PC2

IP:

Submark:

Gateway:

PC3

IP:

Submark:

Gateway:

S2960

en

conf t

vlan 2

exit

vlan 3

192.168.1.2 255.255.255.0 192.168.1.1 192.168.2.2 255.255.255.0 192.168.2.1 192.168.1.3 255.255.255.0 192.168.1.1

exit

int fa 0/2

switchport access vlan 2

int fa 0/3

switchport access vlan 3

int fa 0/1

switchport mode trunk

exit

show vlan

S3560

en

conf t

vlan 2

exit

vlan 3

exit

int fa 0/1

switchport trunk encapsulation dot1q switchport mode trunk

exit

int fa 0/2

switchport access vlan 2

exit

interface vlan 2

ip address 192.168.1.1 255.255.255.0 no shutdown

exit

interface vlan 3

ip address 192.168.2.1 255.255.255.0 no shutdown

exit

show ip route

show vlan

PC3 Ping PC1

Ping 192.168.1.2

PC3 Ping PC2

Ping 192.168.1.3

三 常用的網(wǎng)絡(luò)命令

一、實驗?zāi)康?/p>

1. 掌握常用網(wǎng)絡(luò)命令的使用方法；

2. 熟悉和掌握網(wǎng)絡(luò)管理、網(wǎng)絡(luò)維護(hù)的基本內(nèi)容和方法

二、實驗前的準(zhǔn)備

1．查找關(guān)于網(wǎng)絡(luò)操作系統(tǒng)方面的相關(guān)內(nèi)容；

2. 閱讀本實驗的內(nèi)容及操作步驟；

三、實驗內(nèi)容

(1) ARP:

顯示和修改IP 地址與物理地址之間的轉(zhuǎn)換表

ARP -s inet_addr eth_addr [if_addr]

ARP -d inet_addr [if_addr]

ARP -a [inet_addr] [-N if_addr]

-a 顯示當(dāng)前的ARP 信息，可以指定網(wǎng)絡(luò)地址

-g 跟 -a 一樣.

-d 刪除由inet_addr指定的主機(jī). 可以使用* 來刪除所有主機(jī).

-s 添加主機(jī)，并將網(wǎng)絡(luò)地址跟物理地址相對應(yīng)，這一項是永久生效的。

eth_addr 物理地址.

if_addr If present, this specifies the Internet address of the

interface whose address translation table should be modified. If not present, the first applicable interface will be used.

例子：

C:>arp –a （顯示當(dāng)前所有的表項）

Interface: 10.111.142.71 on Interface 0x1000003

Internet Address Physical Address Type

10.111.142.1 00-01-f4-0c-8e-3b dynamic //物理地址一般為48位即6個字節(jié)

10.111.142.112 52-54-ab-21-6a-0e dynamic

10.111.142.253 52-54-ab-1b-6b-0a dynamic

C:>arp -a 10.111.142.71（只顯示其中一項）

No ARP Entries Found

C:>arp -a 10.111.142.1（只顯示其中一項）

Interface: 10.111.142.71 on Interface 0x1000003

Internet Address Physical Address Type

10.111.142.1 00-01-f4-0c-8e-3b dynamic

C:>arp -s 157.55.85.212 00-aa-00-62-c6-09 添加，可以再打入arp –a 驗證是否已經(jīng)加入.

(2) Ipconfig

該診斷命令顯示所有當(dāng)前的 TCP/IP 網(wǎng)絡(luò)配置值。該命令在運行 DHCP 系統(tǒng)上的特殊用途，允許用戶決定 DHCP 配置的 TCP/IP 配置值。

ipconfig [/? | /all | /release [adapter] | /renew [adapter]

| /flushdns | /registerdns

| /showclassid adapter

| /setclassid adapter [classidtoset] ]

/all 產(chǎn)生完整顯示。在沒有該開關(guān)的情況下 ipconfig 只顯示 IP 地址、子網(wǎng)掩碼和每個網(wǎng)卡的默認(rèn)網(wǎng)關(guān)值。

例如：

C:>ipconfig

Windows 2000 IP Configuration

Ethernet adapter 本地連接:

Connection-specific DNS Suffix . :

IP Address. . . . . . . . . . . . : 10.111.142.71 //IP地址

Subnet Mask . . . . . . . . . . . : 255.255.255.0 //子網(wǎng)掩碼

Default Gateway . . . . . . . . . : 10.111.142.1 //缺省網(wǎng)關(guān)

C:>ipconfig /displaydns //顯示本機(jī)上的DNS 域名解析列表

C:>ipconfig /flushdns //刪除本機(jī)上的DNS 域名解析列表

(3) Netstat

顯示協(xié)議統(tǒng)計和當(dāng)前的 TCP/IP 網(wǎng)絡(luò)連接。該命令只有在安裝了 TCP/IP 協(xié)議后才可以使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

參數(shù)

-a 顯示所有連接和偵聽端口。服務(wù)器連接通常不顯示。

-e 顯示以太網(wǎng)統(tǒng)計。該參數(shù)可以與 -s 選項結(jié)合使用。

-n 以數(shù)字格式顯示地址和端口號（而不是嘗試查找名稱）。

-s 顯示每個協(xié)議的統(tǒng)計。默認(rèn)情況下，顯示 TCP 、UDP 、ICMP 和 IP 的統(tǒng)計。-p 選項可以用來指定默認(rèn)的子集。

-p protocol 顯示由 protocol 指定的協(xié)議的連接；protocol 可以是 tcp 或 udp 。如果與 -s 選項一同使用顯示每個協(xié)議的統(tǒng)計，protocol 可以是 tcp 、udp 、icmp 或 ip 。

-r 顯示路由表的內(nèi)容。

Interval 重新顯示所選的統(tǒng)計，在每次顯示之間暫停 interval 秒。按 CTRL B 停止重新顯示統(tǒng)計。如果省略該參數(shù)，netstat 將打印一次當(dāng)前的配置信息。 例如：

C:>netstat -as

IP Statistics

Packets Received = 256325

…

ICMP Statistics

Received Sent

Messages 16 68

…

TCP Statistics

…

Segments Received = 41828

UDP Statistics

Datagrams Received = 82401

…

(4) Ping

驗證與遠(yuǎn)程計算機(jī)的連接。該命令只有在安裝了 TCP/IP 協(xié)議后才可以使用。

ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [[-j computer-list] | [-k computer-list]] [-w timeout] destination-list

參數(shù)

-t Ping 指定的計算機(jī)直到中斷。

-a 將地址解析為計算機(jī)名。

-n count 發(fā)送 count 指定的 ECHO 數(shù)據(jù)包數(shù)。默認(rèn)值為 4。

-l length 發(fā)送包含由 length 指定的數(shù)據(jù)量的 ECHO 數(shù)據(jù)包。默認(rèn)為 32 字節(jié)；最大值是 65,527。

-f 在數(shù)據(jù)包中發(fā)送“不要分段”標(biāo)志。數(shù)據(jù)包就不會被路由上的網(wǎng)關(guān)分段。 -i ttl將“生存時間”字段設(shè)置為 ttl 指定的值。

-v tos 將“服務(wù)類型”字段設(shè)置為 tos 指定的值。

-r count 在“記錄路由”字段中記錄傳出和返回數(shù)據(jù)包的路由。count 可以指定

最少 1 臺，最多 9 臺計算機(jī)。

-s count 指定 count 指定的躍點數(shù)的時間戳。

-j computer-list 利用 computer-list 指定的計算機(jī)列表路由數(shù)據(jù)包。連續(xù)計算機(jī)可

以被中間網(wǎng)關(guān)分隔（路由稀疏源）IP 允許的最大數(shù)量為 9。

-k computer-list 利用 computer-list 指定的計算機(jī)列表路由數(shù)據(jù)包。連續(xù)計算機(jī)

不能被中間網(wǎng)關(guān)分隔（路由嚴(yán)格源）IP 允許的最大數(shù)量為 9。

-w timeout 指定超時間隔，單位為毫秒。

destination-list 指定要 ping 的遠(yuǎn)程計算機(jī)。

較一般的用法是 ping –t www.zju.edu.cn

例如：

C:>ping www.zju.edu.cn

Pinging zjuwww.zju.edu.cn [10.10.2.21] with 32 bytes of data:

Reply from 10.10.2.21: bytes=32 time=10ms TTL=253

Reply from 10.10.2.21: bytes=32 time<10ms TTL=253

Reply from 10.10.2.21: bytes=32 time<10ms TTL=253

Reply from 10.10.2.21: bytes=32 time<10ms TTL=253

Ping statistics for 10.10.2.21:

Packets: Sent = 4, Received = 4, Lost = 0 (0 loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 10ms, Average = 2ms

(5) Route

控制網(wǎng)絡(luò)路由表。該命令只有在安裝了 TCP/IP 協(xié)議后才可以使用。

route [-f] [-p] [command [destination] [mask subnetmask] [gateway] [metric costmetric]]

參數(shù)

-f 清除所有網(wǎng)關(guān)入口的路由表。如果該參數(shù)與某個命令組合使用，路由表將在運行命令前清除。

-p 該參數(shù)與 add 命令一起使用時，將使路由在系統(tǒng)引導(dǎo)程序之間持久存在。默認(rèn)情況下，系統(tǒng)重新啟動時不保留路由。與 print 命令一起使用時，顯示已注冊的持久路由列表。忽略其他所有總是影響相應(yīng)持久路由的命令。

Command 指定下列的一個命令。

命令 目的

print 打印路由

add 添加路由

delete 刪除路由

change 更改現(xiàn)存路由

destination 指定發(fā)送 command 的計算機(jī)。

mask subnetmask 指定與該路由條目關(guān)聯(lián)的子網(wǎng)掩碼。如果沒有指定，將使用

255.255.255.255。

gateway 指定網(wǎng)關(guān)。

metric costmetric 指派整數(shù)躍點數(shù)（從 1 到 9999）在計算最快速、最可靠和（或）

最便宜的路由時使用。

例如：本機(jī)ip 為10.111.142.71，缺省網(wǎng)關(guān)是10.111.142.1，假設(shè)此網(wǎng)段上另有一

網(wǎng)關(guān)10.111.142.254，現(xiàn)在想添加一項路由，使得當(dāng)訪問10.13.0.0子網(wǎng)

絡(luò)時通過這一個網(wǎng)關(guān)，那么可以加入如下命令：

C:>route add 10.13.0.0 mask 255.255.0.0 10.111.142.1

C:>route print （鍵入此命令查看路由表，看是否已經(jīng)添加了）

C:>route delete 10.13.0.0

C:>route print (此時可以看見已經(jīng)沒了添加的項) ―――――――――――――――――――――――――

如何讀懂路由表

源碼:-------------------------------------------------------------------------------- Active Routes:

Network Destination Netmask Gateway Interface Metric

0.0.0.0 0.0.0.0 192.168.123.254 192.168.123.88 1

0.0.0.0 0.0.0.0 192.168.123.254 192.168.123.68 1

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.123.0 255.255.255.0 192.168.123.68 192.168.123.68 1

192.168.123.0 255.255.255.0 192.168.123.88 192.168.123.88 1

192.168.123.68 255.255.255.255 127.0.0.1 127.0.0.1

1

192.168.123.88 255.255.255.255 127.0.0.1 127.0.0.1 1

192.168.123.255 255.255.255.255 192.168.123.68 192.168.123.68 1

192.168.123.255 255.255.255.255 192.168.123.88 192.168.123.88 1 224.0.0.0 224.0.0.0 192.168.123.68 192.168.123.68 1

224.0.0.0 224.0.0.0 192.168.123.88 192.168.123.88 1

255.255.255.255 255.255.255.255 192.168.123.68 192.168.123.68 1 Default Gateway: 192.168.123.254

--------------------------------------------------------------------------------

===============================================

當(dāng)前的路由：

destination 目的網(wǎng)段

mask 子網(wǎng)掩碼

interface 到達(dá)該目的地的本路由器的出口ip

gateway 下一跳路由器入口的ip ，路由器通過interface 和gateway 定義一調(diào)到下一個路由器的鏈路，通常情況下，interface 和gateway 是同一網(wǎng)段的

metric 跳數(shù)，該條路由記錄的質(zhì)量，一般情況下，如果有多條到達(dá)相同目的地的路由記錄，路由器會采用metric 值小的那條路由

第一條

缺省路由：意思就是說，當(dāng)一個數(shù)據(jù)包的目的網(wǎng)段不在你的路由記錄中，那么，你的路由器該把那個數(shù)據(jù)包發(fā)送到哪里！缺省路由的網(wǎng)關(guān)是由你的連接上的default gateway決定的

該路由記錄的意思是：當(dāng)我接收到一個數(shù)據(jù)包的目的網(wǎng)段不在我的路由記錄中，我會將該數(shù)據(jù)包通過192.168.123.88這個接口發(fā)送到192.168.123.254這個地址，這個地址是下一個路由器的一個接口，這樣這個數(shù)據(jù)包就可以交付給下一個路由器處理，與我無關(guān)。該路由記錄的線路質(zhì)量 1

第二條

缺省路由：

該路由記錄的意思是：當(dāng)我接收到一個數(shù)據(jù)包的目的網(wǎng)段不在我的路由記錄中，我會將該數(shù)據(jù)包通過192.168.123.68這個接口發(fā)送到192.168.123.254這個地址，這個地址是下一個路由器的一個接口，這樣這個數(shù)據(jù)包就可以交付給下一個路由器處理，與我無關(guān)。該路由記錄的線路質(zhì)量 1

第三條

本地環(huán)路：127.0.0.0這個網(wǎng)段內(nèi)所有地址都指向自己機(jī)器，如果收到這樣一個數(shù)據(jù)，應(yīng)該發(fā)向哪里 該路由記錄的線路質(zhì)量 1

第四條

直聯(lián)網(wǎng)段的路由記錄：當(dāng)路由器收到發(fā)往直聯(lián)網(wǎng)段的數(shù)據(jù)包時該如何處理，這種情況，路由記錄的interface 和gateway 是同一個。