3创建高级交换型互联网实训手册Word格式.docx
《3创建高级交换型互联网实训手册Word格式.docx》由会员分享,可在线阅读,更多相关《3创建高级交换型互联网实训手册Word格式.docx(75页珍藏版)》请在冰豆网上搜索。
telnet方式和下个实训中的web方式都是交换机的带内管理方式。
提供带内管理方式可以使连接在交换机中的某些设备具备管理交换机的功能。
当交换机的配置出现变更,导致带内管理失效时,必须使用带外管理对交换机进行配置管理。
三、实训设备
1、DCRS-5650交换机1台(SoftWareversionisDCRS-5650-28_5.2.1.0)
2、PC机1台
3、Console线1根
4、直通网线1根
四、实训拓扑
五、实训要求
1、按照拓扑图连接网络;
2、PC和交换机的24口用网线相连;
3、交换机的管理IP为192.168.1.100/24;
4、PC网卡的IP地址为192.168.1.101/24;
5、限制可通过telnet管理交换机的IP仅为192.168.1.101
六、实训步骤
第一步:
交换机恢复出厂设置,设置正确的时钟和标识符。
(详见实训四)
switch#setdefault
Areyousure?
[Y/N]=y
switch#write
switch#reload
Processwithreboot?
[Y/N]y
switch#clockset14:
04:
392009.02.25
CurrenttimeisWEDFEB2515:
29:
502009
switch#
switch#config
switch(Config)#hostnameDCRS-5650
DCRS-5650(Config)#exit
DCRS-5650#
第二步:
给交换机设置IP地址即管理IP。
DCRS-5650#config
DCRS-5650(Config)#interfacevlan1!
进入vlan1接口
Feb2514:
06:
072009:
%LINK-5-CHANGED:
InterfaceVlan1,changedstatetoUP
DCRS-5650(Config-If-Vlan1)#ipaddress192.168.1.100255.255.255.0!
配置地址
DCRS-5650(Config-If-Vlan1)#noshutdown!
激活vlan接口
DCRS-5650(Config-If-Vlan1)#exit
验证配置
DCRS-5650#showrun
!
noservicepassword-encryption
hostnameDCRS-5650
vlan1
InterfaceEthernet0/0/1
……
InterfaceEthernet0/0/28
interfaceVlan1
interfacevlan1
ipaddress192.168.1.100255.255.255.0!
已经配置好交换机IP地址
nologin
end
DCRS-5650#
第三步:
为交换机设置授权Telnet用户。
DCRS-5650#config
DCRS-5650(Config)#telnet-serverenable
Telnetdalreadyenabled.
DCRS-5650(Config)#telnet-userxxppassword7boss
DCRS-5650(Config)#exit
验证配置:
telnet-userxxppassword7ceb8447cc4ab78d2ec34cd9f11e4bed2
ipaddress192.168.1.100255.255.255.0
end
第四步:
配置主机的IP地址,在本实训中要与交换机的IP地址在一个网段。
在PC主机的DOS命令行中使用ipconfig命令查看IP地址配置
第五步:
验证主机与交换机是否连通。
验证方法1:
在交换机中ping主机
DCRS-5650#ping192.168.1.101
Type^ctoabort.
Sending556-byteICMPEchosto192.168.1.101,timeoutis2seconds.
Successrateis100percent(5/5),round-tripmin/avg/max=1/1/1ms
很快出现5个“!
”表示已经连通。
验证方法2:
在主机DOS命令行中ping交换机,出现以下显示表示连通。
第六步:
使用Telnet登录。
打开微软视窗系统,点击“开始”——“运行”,运行Windows自带的Telnet客户端程序,并且指定Telnet的目的地址
需要输入正确的登录名和口令,登录名是xxp,口令是boss。
可以对交换机做进一步配置,本实训完成。
第七步:
限制Telnet客户端登录地址。
DCRS-5650(Config)#telnet-serversecurityip192.168.1.101
DCRS-5650(Config)#
PC使用192.168.1.101telnet交换机,可登陆;
修改PC的IP为非192.168.1.101时,telnet交换机得到如图提示
实训二、交换机端口与MAC绑定
3、了解什么是交换机的MAC绑定功能;
4、熟练掌握MAC与端口绑定的静态、动态方式。
1、当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时,网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。
当网络的布置很随意时,任何用户只要插上网线,在任何位置都能够上网,这虽然使正常情况下的大多数用户很满意,但一旦发生网络故障,网管人员却很难快速准确定位根源主机,就更谈不上将它隔离了。
端口与地址绑定技术使主机必须与某一端口进行绑定,也就是说,特定主机只有在某个特定端口下发出数据帧,才能被交换机接收并传输到网络上,如果这台主机移动到其他位置,则无法实现正常的连网。
这样做看起来似乎对用户苛刻了一些,而且对于有大量使用便携机的员工的园区网并不适用,但基于安全管理的角度考虑,它却起到了至关重要的作用。
2、为了安全和便于管理,需要将MAC地址与端口进行绑定,即,MAC地址与端口绑定后,该MAC地址的数据流只能从绑定端口进入,不能从其他端口进入。
该端口可以允许其他MAC地址的数据流通过。
但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭,因此在取消lock之前,其他MAC的主机也不能从这个端口进入。
5、DCS-3926S交换机1台(SoftWareversionisDCRS-5650-28_5.2.1.0)
6、PC机2台
7、Console线1根
8、直通网线2根
6、交换机IP地址为192.168.1.11/24,PC1的地址为192.168.1.101/24;
PC2的地址为192.168.1.102/24。
7、在交换机上作MAC与端口绑定;
8、PC1在不同的端口上ping交换机的IP,检验理论是否和实训一致。
9、PC2在不同的端口上ping交换机的IP,检验理论是否和实训一致。
得到PC1主机的mac地址
在“开始”菜单中选择“运行”输入命令行“CMD”,在弹出窗口中输入命令行“ipconfig/all”
我们得到了PC1主机的mac地址为:
00-1F-E2-66-70-18
交换机全部恢复出厂设置,配置交换机的IP地址
switch(Config)#interfacevlan1
switch(Config-If-Vlan1)#ipaddress192.168.1.11255.255.255.0
switch(Config-If-Vlan1)#noshut
switch(Config-If-Vlan1)#exit
switch(Config)#
使能端口的MAC地址绑定功能
switch(Config)#interfaceethernet0/0/1
switch(Config-Ethernet0/0/1)#switchportport-security
switch(Config-Ethernet0/0/1)#
添加端口静态安全MAC地址,缺省端口最大安全MAC地址数为1
switch(Config-Ethernet0/0/1)#switchportport-securitymac-address00-1F-E2-66-70-18
switch#showport-security
SecurityPortMaxSecurityAddrCurrentAddrSecurityAction
(count)(count)
---------------------------------------------------------------------------
Ethernet0/0/111Protect
MaxAddresseslimitperport:
128
TotalAddressesinSystem:
1
switch#showport-securityaddress
SecurityMacAddressTable
VlanMacAddressTypePorts
100-1F-E2-66-70-18SecurityConfiguredEthernet0/0/1
MaxAddresseslimitinSystem:
使用ping命令验证
PC
端口
Ping
结果
原因
PC1
0/0/1
192.168.1.11
通
0/0/7
不通
PC2
在一个以太口上静态捆绑多个MAC
Switch(Config-Ethernet0/0/1)#switchportport-securitymaximum4
Switch(Config-Ethernet0/0/1)#switchportport-securitymac-addressaa-aa-aa-aa-aa-aa
Switch(Config-Ethernet0/0/1)#switchportport-securitymac-addressaa-aa-aa-bb-bb-bb
Switch(Config-Ethernet0/0/1)#switchportport-securitymac-addressaa-aa-aa-cc-cc-cc
Ethernet0/0/144Protect
4
100-a0-d1-d1-07-ffSecurityConfiguredEthernet0/0/1
1aa-aa-aa-aa-aa-aaSecurityConfiguredEthernet0/0/1
1aa-aa-aa-bb-bb-bbSecurityConfiguredEthernet0/0/1
1aa-aa-aa-cc-cc-ccSecurityConfiguredEthernet0/0/1
上面使用的都是静态捆绑MAC的方法,下面介绍动态mac地址绑定的基本方法,首先清空刚才做过的捆绑。
清空端口与MAC绑定
switch(Config)#intethernet0/0/1
switch(Config-Ethernet0/0/1)#noswitchportport-security
switch(Config-Ethernet0/0/1)#exit
switch(Config)#exit
第八步:
使能端口的MAC地址绑定功能,动态学习MAC并转换
switch(Config-Ethernet0/0/1)#switchportport-securitylock
switch(Config-Ethernet0/0/1)#switchportport-securityconvert
1dynamicmachavebeenconvertedtosecuritymaconinterfaceEthernet0/0/1
第九步:
实训三、二层交换机MAC与IP的绑定
5、了解什么情况下需要MAC与IP绑定;
6、了解如何在接入交换机上配置MAC与IP的绑定;
学校机房或者网吧等需要固定IP地址上网的场所,为了防止用户任意修改IP地址,造成IP地址冲突,可以使用MAC与IP绑定技术。
将MAC、IP和端口绑定在一起,使用户不能随便修改IP地址,不能随便更改接入端口,从而使内部网络从管理上更加完善。
使用交换机的AM功能可以做到MAC和IP的绑定,AM全称为accessmanagement,访问管理,它利用收到数据报文的信息,譬如源IP地址和源MAC,与配置硬件地址池相比较,如果找到则转发,否则丢弃。
9、DCS-3926S交换机1台
10、PC机2台
11、Console线1-2根
12、直通网线若干
1、交换机IP地址为192.168.1.11/24,PC1的地址为192.168.1.101/24;
2、在交换机0/0/1端口上作PC1的IP、MAC与端口绑定;
3、PC1在0/0/1上ping交换机的IP,检验理论是否和实训一致。
4、PC2在0/0/1上ping交换机的IP,检验理论是否和实训一致。
5、PC1和PC2在其他端口上ping交换机的IP,检验理论是否和实训一致。
00-1F-E2-66-70-18。
使能am功能
switch(Config)#amenable
switch(Config-Ethernet0/0/1)#ammac-ip-pool00-1F-E2-66-70-18192.168.1.101
switch#showam
Amisenabled
ammac-ip-pool00-1F-E2-66-70-18192.168.1.101USER_CONFIG
解锁其他端口
Switch(Config)#interfaceethernet0/0/2
Switch(Config-Ethernet0/0/2)#noamport
Switch(Config)#interfaceethernet0/0/3-20
Switch(Config-Ethernet0/0/3-20)#noamport
0/0/21
实训四、生成树实训
7、了解生成树协议的作用。
8、熟悉生成树协议的配置。
交换机之间