《网络互联与路由A》课程设计.doc

1、 《网络互联与路由A》课程设计 学 院： 工学院 专 业： 网络工程 班 级： 1301 姓 名： 学 号： 2013011052 指导教师： 2015 年12 月24 日 工学院课程设计评审表 学生姓名 专业 网络工程 年级 1301 学号 201

2、3011052 设计题目 VLAN划分及标准ACL 评价内容 评价指标 评分 权值 评定 成绩 业务水平 有扎实的基础理论知识和专业技能；能够综合运用所学的路由交换知识、让学生熟悉局域网组网的方法，熟练掌握搭建各种网络环境和绘制网络拓扑图，精通路由器交换机的调配。能够用Cisco Packet Tracer Student绘制完整的网络拓扑。最终让学生能够独立完成一个复杂小型网络的设计与实施。 50 课程设计报告（设计说明书）质量 综述简练完整，有见解；立论正确，论述充分，结论严谨合理；文字通顺，技术用语准确，符号统一，编号齐全，书写工整规范，图表完备、整洁、正确

3、结果有应用价值；工作中有创新意识；对前人工作有改进或突破，或有独特见解 20 工作量、 工作态度 按期完成规定的任务，工作量饱满，难度较大；工作努力，遵守纪律；工作作风严谨务实 30 合计 100 指导教师评语 《网络互联与路由A》课程设计任务书 设计题目：网络互联与路由A 指 导 老 师 参 加 学 生 第一组成员 设 计 目 的 1.了解什么是交换机的MAC绑定功能； 2.熟练掌握MAC与端口绑定的静态、动态方式； 3.了解VLAN原理； 4.学会使用各种多层交换设备进行VLAN的划分； 5.

4、理解VLAN之间路由的原理和实现方法； 6.了解什么是标准的ACl； 7.了解标准ACL不同的实现方法。 设 计 内 容 1. 交换机端口与MAC绑定 2. 多层交换机VLAN的划分和VLAN间路由 3通过ACL，可以限制某个IP地址的PC或者某些网段的PC的上网活动。用于网络管理。 设 计 要 求 一、二层交换机MAC与IP的绑定 1.在交换机上作MAC与端口绑定； 2.PC1在不同的端口上ping 交换机的IP，检验理论是否和实训一致。 3.PC2在不同的端口上ping 交换机的IP，检验理论是否和实训一致。 二、多层交换机VLAN的划分和VLA

5、N间路由l 1. 不同vlan可以相互访问，相同vlan不能访问。 2.交换机A和交换机B划分vlan。 三、标准ACLl 1.交换机A和B通过的24口级联。 2.配置交换机A和B各VLAN虚拟接口的IP地址 目 录 交换机端口与MAC绑定 5 一、 实训目的 5 二、 应用环境 5 三、 实训设备 5 四、 实训拓扑 5 五、实训要求 6 六、实训步骤 6 多层交换机VLAN的划分和VLAN间路由 10 一、实训目的 10 二、应用环境 10 三、实训设备 10 四、实训拓扑 10 五、实训要求 1

6、0 六、实训步骤 11 标准ACL实训 15 一、实训目的 15 二、应用环境 15 三、实训设备 15 四、实训拓扑 15 五、实训要求 16 六、实训步骤 16 设计体会 23 交换机端口与MAC绑定 一、 实训目的 1、 了解什么是交换机的MAC绑定功能； 2、 熟练掌握MAC与端口绑定的静态、动态方式。 二、 应用环境 当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多

7、数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机，就更谈不上将它隔离了。端口与地址绑定技术使主机必须与某一端口进行绑定，也就是说，特定主机只有在某个特定端口下发出数据帧，才能被交换机接收并传输到网络上，如果这台主机移动到其他位置，则无法实现正常的连网。这样做看起来似乎对用户苛刻了一些，而且对于有大量使用便携机的员工的园区网并不适用，但基于安全管理的角度考虑，它却起到了至关重要的作用。 为了安全和便于管理，需要将MAC地址与端口进行绑定，即，MAC地址与端口绑定后，该MAC地址的数据流只能从绑定端口进入，不能从其他端口进入。该端口可以允许其他MAC地址的数据流通过。但是如果

8、绑定方式采用动态lock的方式会使该端口的地址学习功能关闭，因此在取消lock之前，其他MAC的主机也不能从这个端口进入。 三、 实训设备 1、DCS-3926S交换机1台（SoftWare version is DCRS-5650-28_5.2.1.0） 2、PC机2台 3、Console线1根 4、直通网线2根 四、 实训拓扑 图1.1 交换机端口与mac绑定拓扑图 五、实训要求 1、 交换机IP地址为192.168.1.11/24，PC1的地址为192.168.1.101/24；PC2的地址为192.168.1.102/24。 2

9、 在交换机上作MAC与端口绑定； 3、 PC1在不同的端口上ping 交换机的IP，检验理论是否和实训一致。 4、 PC2在不同的端口上ping 交换机的IP，检验理论是否和实训一致。 六、实训步骤 第一步：得到PC1主机的mac地址 在“开始”菜单中选择“运行”输入命令行“CMD”，在弹出窗口中输入命令行“ipconfig/all” 图1.2 本机mac地址 我们得到了PC1主机的mac地址为：00-1F-E2-66-70-18 第二步：交换机全部恢复出厂设置，配置交换机的IP地址 switch(Config

10、)#interface vlan 1 switch(Config-If-Vlan1)#ip address 192.168.1.11 255.255.255.0 switch(Config-If-Vlan1)#no shut switch(Config-If-Vlan1)#exit switch(Config)# 第三步：使能端口的MAC地址绑定功能 switch(Config)#interface ethernet 0/0/1 switch(Config-Ethernet0/0/1)#switchport port-security 第四步：添加端口静态安全MAC地址

11、缺省端口最大安全MAC地址数为1 switch(Config-Ethernet0/0/1)#switchport port-security mac-address 00-1F-E2-66-70-18 验证配置： switch#show port-security Security Port MaxSecurityAddr CurrentAddr Security Action (count) (count) ---------------------------------------

12、 Ethernet0/0/1 1 1 Protect ----------------------------------------------------------------------- Max Addresses limit per port :128 Total Addresses in System :1 switch# switch#show port-security address Security Mac Addre

13、ss Table ----------------------------------------------------------------------- Vlan Mac Address Type Ports 1 00-1F-E2-66-70-18 SecurityConfigured Ethernet0/0/1 ---------------------------------------------------------------------

14、 Total Addresses in System :1 Max Addresses limit in System :128 switch# 第五步：使用ping命令验证 表1 ping命令验证 PC 端口 Ping 结果 原因 PC1 0/0/1 192.168.1.11 通 PC1 0/0/7 192.168.1.11 不通 PC2 0/0/1 192.168.1.11 通 PC2 0/0/7 192.168.1.11 通 第六步：在一个以太口上静态捆绑

15、多个MAC Switch(Config-Ethernet0/0/1)#switchport port-security maximum 4 Switch(Config-Ethernet0/0/1)#switchport port-security mac-address aa-aa-aa-aa-aa-aa Switch(Config-Ethernet0/0/1)#switchport port-security mac-address aa-aa-aa-bb-bb-bb Switch(Config-Ethernet0/0/1)#switchport port-security mac-

16、address aa-aa-aa-cc-cc-cc 验证配置： switch#show port-security Security Port MaxSecurityAddr CurrentAddr Security Action (count) (count) ----------------------------------------------------------------------- Ethernet0/0/1 4 4

17、 Protect ----------------------------------------------------------------------- Max Addresses limit per port :128 Total Addresses in System :4 switch#show port-security address Security Mac Address Table -----------------------------------------------------------------------

18、 Vlan Mac Address Type Ports 1 00-a0-d1-d1-07-ff SecurityConfigured Ethernet0/0/1 1 aa-aa-aa-aa-aa-aa SecurityConfigured Ethernet0/0/1 1 aa-aa-aa-bb-bb-bb SecurityConfigured Ether

19、net0/0/1 1 aa-aa-aa-cc-cc-cc SecurityConfigured Ethernet0/0/1 ----------------------------------------------------------------------- Total Addresses in System :4 Max Addresses limit in System :128 switch# 上面使用的都是静态捆绑MAC的方法，下面介绍动态mac地址绑定的基本方法，首先清空刚才做过的捆绑。 第七步：清空端口与

20、MAC绑定 switch(Config)# switch(Config)#int ethernet 0/0/1 switch(Config-Ethernet0/0/1)#no switchport port-security switch(Config-Ethernet0/0/1)#exit switch(Config)#exit 验证配置： switch#show port-security Security Port MaxSecurityAddr CurrentAddr Security Action (

21、count) (count) ----------------------------------------------------------------------- ----------------------------------------------------------------------- Max Addresses limit per port :128 Total Addresses in System :0 第八步：使能端口的MAC地址绑定功能，动态学习MAC并转换 switch(Config)#interface e

22、thernet 0/0/1 switch(Config-Ethernet0/0/1)#switchport port-security switch(Config-Ethernet0/0/1)#switchport port-security lock switch(Config-Ethernet0/0/1)#switchport port-security convert 1 dynamic mac have been converted to security mac on interface Ethernet0/0/1 switch(Config-Ethernet0/0/1)#

23、exit 验证配置： switch#show port-security address Security Mac Address Table ----------------------------------------------------------------------- Vlan Mac Address Type Ports 1 00-a0-d1-d1-07-ff SecurityConfigured Ethernet0/0/1 --------

24、 Total Addresses in System :1 Max Addresses limit in System :128 switch# 多层交换机VLAN的划分和VLAN间路由 一、实训目的 1、了解VLAN原理； 2、学会使用各种多层交换设备进行VLAN的划分； 3、理解VLAN之间路由的原理和实现方法； 二、应用环境 软件实训室的IP地址段是192.168.10.0/24，多媒体实训室的IP地址段是192.168.20.0/24

25、为了保证它们之间的数据互不干扰，也不影响各自的通信效率，我们划分了VLAN，使两个实训室属于不同的VLAN。 两个实训室有时候也需要相互通信，此时就要利用三层交换机划分VLAN。 三、实训设备 1、DCRS-5650交换机1台（SoftWare version is DCRS-5650-28_5.2.1.0） 2、PC机2台 3、Console线1根 4、直通网线若干 四、实训拓扑 图2.1 多层交换机vlan划分实训拓扑图 使用一台交换机和两台PC机，还将其中PC2作为控制台终端，使用Console口配置方式；使用两根网线分别将PC1和PC2连接到交换机的

26、RJ-45接口上。 五、实训要求 在交换机上划分两个基于端口的VLAN：VLAN100，VLAN200。 表3 vlan划分 VLAN 端口成员 100 0/0/1~0/0/12 200 0/0/13~0/0/24 使得VLAN100的成员能够互相访问，VLAN200的成员能够互相访问；VLAN100和VLAN200成员之间不能互相访问。 PC1和PC2的网络设置为： 表4 配置I 设备 端口 IP 网关1 Mask 交换机A 192.168.1.1 无 255.255.255.0

27、 Vlan100 无 无 255.255.255.0 Vlan200 无 无 255.255.255.0 PC1 1~12 192.168.1.101 无 255.255.255.0 PC2 13~24 192.168.1.102 无 255.255.255.0 表5 配置II 设备 端口 IP 网关1 Mask 交换机A 192.168.1.1 无 255.255.255.0 Vlan100 192.168.10.1 无 255.255.255.0 Vlan200 192.1

28、68.20.1 无 255.255.255.0 PC1 1~12 192.168.10.11 192.168.10.1 255.255.255.0 PC2 13~24 192.168.20.11 192.168.20.1 255.255.255.0 各设备的IP地址首先使用配置I地址，使用pc1 ping pc2，应该不通； 再按照配置II地址，并在交换机上配置vlan接口IP地址，使用pc1 ping pc2，则通，该通信属于vlan间通信，要经过三层设备的路由。 若实训结果和理论相符，则本实训完成。 六、实训步骤 第一步：交换机恢复

29、出厂设置 switch#set default switch#write switch#reload 第二步：给交换机设置IP地址即管理IP。 switch#config switch(Config)#interface vlan 1 switch(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 switch(Config-If-Vlan1)#no shutd

30、own switch(Config-If-Vlan1)#exit switch(Config)#exit 第三步：创建vlan100和vlan200。 switch(Config)# switch(Config)#vlan 100 switch(Config-Vlan100)#exit switch(Config)#vlan 200 switch(Config-Vlan200)#exit switch(Config)# 验证配置： switch#show vlan VLAN Name Type

31、 Media Ports ---- ------------ ---------- --------- ---------------------------------------- 1 default Static ENET Ethernet0/0/1 Ethernet0/0/2 Ethernet0/0/3 Ethernet0/0/4 Ethernet

32、0/0/5 Ethernet0/0/6 Ethernet0/0/7 Ethernet0/0/8 Ethernet0/0/9 Ethernet0/0/10 Ethernet0/0/11 Ethernet0/0/12 Et

33、hernet0/0/13 Ethernet0/0/14 Ethernet0/0/15 Ethernet0/0/16 Ethernet0/0/17 Ethernet0/0/18 Ethernet0/0/19 Ethernet0/0/20

34、 Ethernet0/0/21 Ethernet0/0/22 Ethernet0/0/23 Ethernet0/0/24 Ethernet0/0/25 Ethernet0/0/26 Ethernet0/0/27 Ethernet0/0/28 100 VLAN0100 Static

35、 ENET 200 VLAN0200 Static ENET 第四步：给vlan100和vlan200添加端口。 switch(Config)#vlan 100 ！进入vlan 100 switch(Config-Vlan100)#switchport interface ethernet 0/0/1-12 Set the port Ethernet0/0/1 access vlan 100 successfully Set the port Ethernet0/0/2 access vlan 100 successfully Se

36、t the port Ethernet0/0/3 access vlan 100 successfully Set the port Ethernet0/0/4 access vlan 100 successfully Set the port Ethernet0/0/5 access vlan 100 successfully Set the port Ethernet0/0/6 access vlan 100 successfully Set the port Ethernet0/0/7 access vlan 100 successfully Set the port Ethe

37、rnet0/0/8 access vlan 100 successfully Set the port Ethernet0/0/9 access vlan 100 successfully Set the port Ethernet0/0/10 access vlan 100 successfully Set the port Ethernet0/0/11 access vlan 100 successfully Set the port Ethernet0/0/12 access vlan 100 successfully switch(Config-Vlan100)#exit

38、switch(Config)#vlan 200 ！进入vlan 200 switch(Config-Vlan200)#switchport interface ethernet 0/0/13-24 Set the port Ethernet0/0/13 access vlan 200 successfully Set the port Ethernet0/0/14 access vlan 200 successfully Set the port Ethernet0/0/15 access vlan 200 successfully Set the port

39、 Ethernet0/0/16 access vlan 200 successfully Set the port Ethernet0/0/17 access vlan 200 successfully Set the port Ethernet0/0/18 access vlan 200 successfully Set the port Ethernet0/0/19 access vlan 200 successfully Set the port Ethernet0/0/20 access vlan 200 successfully Set the port Ethernet0

40、/0/21 access vlan 200 successfully Set the port Ethernet0/0/22 access vlan 200 successfully Set the port Ethernet0/0/23 access vlan 200 successfully Set the port Ethernet0/0/24 access vlan 200 successfully switch(Config-Vlan200)#exit 验证配置： switch#show vlan VLAN Name Type Media

41、 Ports ---- ------------ ---------- --------- ---------------------------------------- 1 default Static ENET Ethernet0/0/25 Ethernet0/0/26 Ethernet0/0/27 Ethernet0/0/28 100 VLAN0100 Static ENET Ethernet0/0/1

42、 Ethernet0/0/2 Ethernet0/0/3 Ethernet0/0/4 Ethernet0/0/5 Ethernet0/0/6 Ethernet0/0/7 Ethernet0/0/8 Ethernet0/0/

43、9 Ethernet0/0/10 Ethernet0/0/11 Ethernet0/0/12 200 VLAN0200 Static ENET Ethernet0/0/13 Ethernet0/0/14 Ethernet0/0/15 Ethernet0/0/16 Ethe

44、rnet0/0/17 Ethernet0/0/18 Ethernet0/0/19 Ethernet0/0/20 Ethernet0/0/21 Ethernet0/0/22 Ethernet0/0/23 Ethernet0/0/24 switch# 第五步：验证实训。 表6 配置I的地址

45、PC1位置 PC2位置 动作 结果 0/0/1-0/0/12端口 0/0/13-0/0/24端口 PC1 ping PC2 不通 第六步：添加vlan地址。 switch(Config)#interface vlan 100 switch(Config-If-Vlan100)# %Jan 01 00:00:59 2006 %LINK-5-CHANGED: Interface Vlan100, changed state to UP switch(Config-If-Vlan100)#ip address 192.168.10.1 255.255.255.0 swit

46、ch(Config-If-Vlan100)#no shut switch(Config-If-Vlan100)#exit switch(Config)#interface vlan 200 switch(Config-If-Vlan200)# %Jan 01 00:00:59 2006 %LINK-5-CHANGED: Interface Vlan100, changed state to UP switch(Config-If-Vlan200)#ip address 192.168.20.1 255.255.255.0 switch(Config-If-Vlan200)#no sh

47、ut switch(Config-If-Vlan200)#exit switch(Config)# 按要求连接PC1与PC2，验证配置： switch#show ip route Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type

48、1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default C 127.0.0.0/8 is directly connected, Loopback C 192.168.10.0/24 is directly connected, Vlan100 C 192.168.20.0/24 is directly connected, V

49、lan200 switch# 标准ACL实训 一、实训目的 1、了解什么是标准的ACl； 2、了解标准ACL不同的实现方法； 二、应用环境 ACL (Access Control Lists)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。用户可以基于报文中的特定信息制定一组规则（rule），每条规则都描述了对匹配一定信息的数据包所采取的动作：允许通过（permit）或拒绝通过（deny）。用户可以把这些规则应用到特定交换机端口的入口或出口方向，这样特定端口上特定方向的数据流就

50、必须依照指定的ACL规则进出交换机。通过ACL，可以限制某个IP地址的PC或者某些网段的PC的上网活动。用于网络管理。 三、实训设备 1、DCRS-5656交换机2台（SoftWare version is DCRS-5650-28_5.2.1.0） 2、PC机2台 3、Console线1-2根 4、直通网线若干 四、实训拓扑 图3.1 标准ACL实训图 五、实训要求 1、在交换机A和交换机B上分别划分基于端口的VLAN： 交换机 VLAN 端口成员 交换机