網(wǎng)絡(luò)協(xié)議分析實驗指導(dǎo)書

1、網(wǎng)絡(luò)互聯(lián)實驗指導(dǎo)書實驗1 vlan基礎(chǔ)配置1.1實驗內(nèi)容l vlan級聯(lián)的靜態(tài)配置l 通過gvrp協(xié)議實現(xiàn)的vlan級聯(lián)的動態(tài)配置l 端口hybrid特性配置l pvlan特性配置1.2vlan級聯(lián)的靜態(tài)配置1.2.1實驗?zāi)康膌 掌握vlan級聯(lián)的基本配置1.2.2實驗環(huán)境l quidway系列s3526交換機2臺， pc4臺l 配置電纜2根，網(wǎng)線4根1.2.3實驗組網(wǎng)圖圖1.11.2.4實驗步驟1. 實驗基本配置準(zhǔn)備。本實驗的主要目的是掌握vlan的基本配置。在完成vlan的相關(guān)配置之后，要求能夠達到同一vlan內(nèi)的pc可以互通，不同vlan間的pc不能互通的目的。2. 具體的配置如下：（1

2、） 配置交換機端口屬于特定vlan：交換機a配置如下：quidway sysname s3526as3526a vlan 2s3526a-vlan2 port e0/9 to e0/16s3526a-vlan2 vlan 3s3526a-vlan3 port e0/17 to e0/24交換機b配置如下：quidway sysname s3526bs3526b vlan 2s3526b-vlan2 port e0/9 to e0/16s3526b-vlan2 vlan 3s3526b-vlan3 port e0/17 to e0/24完成后，嘗試四臺pc之間相互ping一下，是否能ping通，

3、為什么？（2） 配置交換機之間的端口為trunk端口，并且允許所有vlan通過。s3526a int e0/1s3526a-ethernet0/1 port link-type trunk/設(shè)置端口工作在trunk模式（系統(tǒng)默認為access模式）s3526a-ethernet0/1 port trunk per vlan all/允許所有vlan通過trunk端口s3526b int e0/1s3526b-ethernet0/1 port link-type trunks3526b-ethernet0/1 port trunk per vlan all配置完成后，可以看到，同一vlan內(nèi)部的

4、pc可以相互訪問，不同vlan間的pc不能相互訪問。在s3526a和s3526b之間增加交換機s3526c，同樣實現(xiàn)上述實驗?zāi)繕?biāo)，如圖1.2所示。圖1.2（3） 配置第三臺交換機與其它兩臺交換機連接鏈路為trunk鏈路。quidway sysname s3526cs3526c int e0/1s3526c-ethernet0/1 port link-type trunks3526c-ethernet0/1 port trunk per vlan alls3526c-ethernet0/1 int e0/2s3526c-ethernet0/2 port link-type trunks3526c

5、-ethernet0/2 port trunk per vlan all完成上述配置之后，我們可以測試一下vlan內(nèi)的主機之間是否可以ping通？結(jié)果是否定的，為什么？（4） 在s3526c上創(chuàng)建vlan2和vlan3。s3526c vlan 2s3526c-vlan2 vlan 3完成上述配置之后，我們可以測試一下vlan內(nèi)的主機之間是否可以ping通，結(jié)果發(fā)現(xiàn)這時可以ping通了。思考題：如果s3526a和s3526b之間連接了多臺交換機，是否需要在每一臺交換機上都創(chuàng)建vlan2和vlan3？如果接入用戶的交換機配置了許多vlan，是否需要在每一臺交換機上都創(chuàng)建這些vlan？答案是肯定的。

6、如果vlan眾多，這樣的靜態(tài)vlan配置工作會很復(fù)雜。通過gvrp協(xié)議，在交換機上動態(tài)的創(chuàng)建和注冊vlan，避免了手工配置之苦。1.3vlan級聯(lián)動態(tài)配置1.3.1實驗?zāi)康膌 學(xué)習(xí)gvrp協(xié)議動態(tài)創(chuàng)建和注冊vlan信息。了解gvrp動態(tài)注冊vlan的過程和端口上注冊vlan的三種方法1.3.2實驗環(huán)境l quidway系列s3526交換機3臺， pc4臺l 配置電纜3根，網(wǎng)線6根1.3.3實驗組網(wǎng)圖圖1.31.3.4實驗步驟1. 具體的配置如下：延續(xù)上面的實驗配置。（1） 刪除s3526c上的vlan。s3526c undo vlan 2s3526c undo vlan 3（2） 在三臺交換機

7、上配置vlan動態(tài)注冊協(xié)議-gvrp。首先在系統(tǒng)配置模式下啟用gvrp協(xié)議s3526c gvrp然后在每一個trunk端口啟用gvrp協(xié)議s3526c int e0/1s3526c-ethernet0/1 gvrps3526c-ethernet0/1 int e0/2s3526c-ethernet0/2 gvrp在s3526a和s3526b上進行相同的配置，即在系統(tǒng)模式下和端口模式下分別啟用gvrp協(xié)議。然后我們可以用下面的命令來查看配置的gvrp信息和vlan信息。我們可以看到，在s3526c上，gvrp已經(jīng)啟用，并且自動學(xué)習(xí)和創(chuàng)建了vlan2和vlan3。s3526c dis gvrp s

8、tatisticsgvrp statistics on port ethernet0/1gvrp status: enabledgvrp failed registrations:0gvrp last pdu origin: 00e0-fc07-7085gvrp registration type: normalgvrp statistics on port ethernet0/2gvrp status: enabledgvrp failed registrations: 0gvrp last pdu origin: 00e0-fc07-7089gvrp registration type:

9、normals3526cdis vlannow, the following vlan exist(s):i (default), 2-3（3） 接下來我們可以通過如下的方法來觀察一下gvrp注冊vlan信息的過程。首先在交換機s3526a上手動添加一個vlan5s3526avlan 5然后在三臺交換機上分別查看vlan信息如下s3526a-ethernet0/ldis vlanvlan function is enabled.now, the following vlan exist(s):1 (default), 2-3, 5s3526b-ethernet0/ldis vlanvlan f

10、unction is enabled.now, the following vlan exist(s):1(default), 2-3, 5s3526c-ethernet0/2dis vlan（這里為什么沒有顯示vlan function is enabled?）now, the following vlan exist(s):1(default), 2-3, 5我們查看一下相關(guān)的trunk接口的情況。dis int e0/1pvid: 1port link-type: trunkvlan passing: 1(default vlan), 2-3, 5vlan allowed: 1 (def

11、ault vlan), 2-4094trunk port encapsulation: ieee 802.lq（上面僅列出了和vlan相關(guān)的部分輸出，下同）dis int e0/1pvid: 1port link-type: trunkvlan passing: 1(default vlan), 2-3, 5vlan allowed: 1(default vlan), 2-4094trunk port encapsulation: ieee 802.lqdis int e0/1pvid: 1port link-type: trunkvlan passing: 1(default vlan),

12、2-3, 5vlan allowed: 1 (default vlan), 2-4094trunk port encapsulation: ieee 802.lqdis int e0/2pvid: 1port link-type: trunkvlan passing: 1 (default vlan), 2-3vlan allowed: 1 (default vlan), 2-4094trunk port encapsulation: ieee 802.lq我們發(fā)現(xiàn)，s3526a的e0/1接口，s3526b的e0/1接口，s3526c的e0/1接口都允許vlan5通過，而s3526c的e0/2

13、接口卻只允許vlan1，2，3通過，這正好驗證了gvrp的學(xué)習(xí)原理。我們在s3526b上配置vlan5以后，就可以發(fā)現(xiàn)s3526c的e0/2接口允許vlan1，2，3，5通過。s3526b vlan 5s3526b-vlan5 port e0/3dynamic vlan is configured, now changed to static!由于交換機s3526b上已經(jīng)動態(tài)注冊了vlan5，所以需要通過添加端口來將vlan改變?yōu)殪o態(tài)vlan。dis int e0/2pvid: 1port link-type: trunkvlan passing: l(default vlan), 2-3,

14、5vlan allowed: 1 (default vlan), 2-4094trunk port encapsulation: ieee 802.lq可見，在s3526b上有了vlan5的成員以后，s3526c的e0/2接口開始允許vlan5通過。（4） 在交換機的trunk端口上，vlan的gvrp注冊有三種辦法：normal，fixed和forbidden。其中normal是默認的注冊辦法，表示允許在該端口手工或動態(tài)創(chuàng)建、注冊和注銷vlan。首先在s3526a上進行如下配置：s3526a-ethernet0/1gvrp registration fixedfixed表示允許在該端口手工創(chuàng)

15、建和注冊vlan，不允許動態(tài)注冊或注銷vlan。也就是說s3526a的e0/1端口不會接受從對端來的動態(tài)vlan信息。下面在s3526b上添加一個新的vlan，配置如下：s3526bvlan 7s3526b-vlan7dis vlanvlan function is enabled.now, the following vlan exist(s):1(default), 2-3, 5, 7在另外兩臺交換機上查看vlan如下：dis vlannow, the following vlan exist(s):1(default), 2-3, 5, 7dis vlanvlan function is

16、 enabled.now, the following vlan exist(s):1(default), 2-3, 5可以看到在s3526a上沒有注冊vlan7。下面我們再來看看如何應(yīng)用forbidden。在s3526a上進行如下配置：s3526a-ethernet0/1gvrp registration forbiddenforbidden表示在端口將注銷除vlan1之外的所有其它vlan，并且禁止在該端口創(chuàng)建和注冊任何其它vlan。dis int e0/1pvid: 1port link-type: trunkvlan passing: 1(default vlan)vlan allow

17、ed: 1 (default vlan), 2-4094trunk port encapsulation: ieee 802.lq1.4hybrid端口配置1.4.1實驗?zāi)康膌 掌握hybrid端口的基本特征，了解其常見應(yīng)用1.4.2實驗環(huán)境l quidway系列s3526交換機3臺， pc4臺l 配置電纜3根，網(wǎng)線6根1.4.3實驗組網(wǎng)圖圖1.41.4.4實驗步驟1. 實驗基本配置準(zhǔn)備。本實驗完成以下配置：配置交換機之間的端口為hybrid端口，并且允許vlan2和vlan3的幀通過hybrid端口，并且vlan2的幀在hybrid端口打上vlan2的tag，vlan3的幀不打tag。2.

18、具體配置如下。（1） 由于當(dāng)交換機上有trunk端口存在時不能配置hybrid，所以我們需要先把trunk端口改成access端口。s3526a-ethernet0/1port link-type access在s3526b和s3526c上也作同樣的配置。同時也要在s3526c上配置vlan2和vlan3，因為trunk取消之后，gvrp也隨之取消了。（2） 配置交換機之間的端口為hybrid端口。s3526a-ethernet0/1port link-type hybrid在s3526b的e0/1端口和s3526c的e0/1、e0/2端口上也作同樣的配置。下面查看s3526a的端口信息如下：

19、s3526a-ethernet0/ldis int e0/1pvid: 1port link-type: hybridtagged vlan id: noneuntagged vlan id: 1從上面的信息可以看出pvid為1，tagged vlan id沒有配置，而untagged vlan id默認為1。（3） 配置vlan 2打tag，vlan 3不打tag。s3526a-ethernet0/lport hybrid vlan 2 taggeds3526a-ethernet0/lport hybrid vlan 3 untagged在交換機s3526b的端口e0/1和s3526c的端口

20、e0/1，e0/2上進行相同的配置。下面查看s3526a的端口信息如下：s3526a-ethernet0/ldis int e0/1pvid: 1port link-type: hybridtagged vlan id: 2untagged vlan id: 1, 3從上面的信息可以看出pvid為1，tagged vlan id為2，而untagged vlan id為1和3。然后我們可以分別查看vlan 2和vlan 3的信息如下：dis vlan 2vlan id: 2vlan type: staticroute interface: not configureddescription:

21、vlan 0002tagged ports:ethernet0/1untagged ports:ethernet0/9ethernet0/10ethernet0/11ethernet0/12ethernet0/13ethernet0/14dis vlan 3vlan id: 3vlan type: staticroute interface: not configureddescription: vlan 0003tagged ports: noneuntagged ports:ethernet0/1ethernet0/17ethernet0/18ethernet0/19ethernet0/2

22、0ethernet0/21ethernet0/22ethernet0/23ethernet0/24在vlan2中，已經(jīng)有一個tagged port：e0/1。對于上述環(huán)境我們作如下分析：當(dāng)一個vlan 2來的幀從s3526a的hybrid端口e0/1發(fā)往對端s3526c的e0/1時，s3526a的e0/1端口不會對它作任何處理，而當(dāng)這個幀到達對端時（對端也是一樣的配置），s3526c的e0/1端口會檢查它的vlan tag，發(fā)現(xiàn)vlan 2是tagged vlan id，于是s3526c的e0/1端口不會改變以太網(wǎng)幀的tag，并向相應(yīng)正確的端口進行轉(zhuǎn)發(fā)。當(dāng)一個從vlan 3來的幀從s3526a

23、的hybrid端口e0/1發(fā)往對端s3526c的e0/1時，則會被去掉vlan 3的tag。當(dāng)這個幀到達對端時，s3526c的e0/1端口會檢查它的vlan tag，發(fā)現(xiàn)是沒有vlan tag的，則認為該幀屬于vlan 1（pvid為1），不會向vlan 3的端口轉(zhuǎn)發(fā)。這樣配置完成后，vlan 2內(nèi)的pc可以互相ping通，vlan 3內(nèi)的pc不能互相ping通。如果我們設(shè)置hybrid端口的pvid為3，這樣，沒有vlan tag的幀將被認為屬于vlan 3，vlan 3內(nèi)的主機就可以通信了。s3526a-ethernet0/1port hybrid pvid vlan 3在交換機s3526

24、b的端口e0/1和s3526a的端口e0/1和e0/2上進行同樣的配置。思考題：網(wǎng)絡(luò)拓撲圖如下：圖1.54臺pc機的ip地址及所屬vlan如圖所示。在不啟動vlan間路由的情況下，利用hybrid端口，合理配置交換機，達到如下效果：l pca，pcb與pcc之間能夠相互訪問。l pcd與pca之間能夠相互訪問。l pcb與pcd之間不能相互訪問。l pcc與pcd之間不能相互訪問。1.5pvlan配置1.5.1實驗?zāi)康膌 掌握pvlan特性和基本應(yīng)用1.5.2實驗環(huán)境l quidway系列s3526交換機2臺， pc2臺l 配置電纜2根，網(wǎng)線3根1.5.3實驗組網(wǎng)圖vlan2vlan3vlan

25、3vlan4vlan2vlan5vlan4s3526as3526be0/1e0/1圖1.61.5.4實驗步驟1. 實驗基本配置準(zhǔn)備。如上圖所示，s3526a劃分了4個vlan，其中vlan5為primary vlan，vlan2，3，4為secondary vlan。s3526b劃分了3個vlan，vlan4為primary vlan，vlna2，3為secondary vlan。其中primary vlan包含e0/1，e0/2，e0/3，e0/4口。完成上面配置后，我們發(fā)現(xiàn)，在同一交換機內(nèi)的不同secondary vlan的主機不能夠互相訪問，所有secondary vlan的主機都能夠訪

26、問primary vlan的主機；交換機之間的所有pc都能夠互相訪問。2. 具體配置。（1） 在2臺交換機上創(chuàng)建vlan，并為vlan分配接口（必須為每一個vlan劃分端口）：s3526avlan 5s3526a-vlan5port e0/1 to e0/4s3526a-vlan5vlan 2s3526a-vlan2port e0/5 to e0/8s3526a-vlan2vlan 3s3526a-vlan3port e0/9 to e0/11s3526a-vlan3vlan 4s3526a-vlan4port e0/12 to e0/16s3526bvlan 4s3526b-vlan4por

27、t e0/1 to e0/4s3526b-vlan4vlan 2s3526b-vlan2port e0/5 to e0/16s3526b-vlan2vlan 3s3526b-vlan3port e0/17 to e0/24（2） 配置s3526a的vlan5為primary vlan，vlan2，3，4為secondary vlan，建立primary vlan和secondary vlan的映射關(guān)系；配置s3526b的vlan4為primary vlan，vlan2，3為secondary vlan，建立primary vlan和secondary vlan的映射關(guān)系。s3526avlan

28、5s3526a-vlan5isolate-user-vlan enable /設(shè)置vlan類型為primary vlans3526a-vlan5quits3526aisolate-user-vlan 5 secondary 2 3 4 /配置primary vlan和secondary vlan間的映射關(guān)系s3526bvlan 4s3526b-vlan4isolate-user-vlan enables3526b-vlan4quits3526bisolate-user-vlan 4 secondary 2 3完成上述配置后，我們可以查看s3526a上的配置信息如下：（只列出部分顯示）s3526

29、adis currinterface ethernet0/1port link-type hybridport hybrid vlan 2 to 5 untaggedport hybrid pvid vlan 5interface ethernet0/5port link-type hybridport hybrid vlan 2 5 untaggedport hybrid pvid vlan 2interface ethernet0/9port link-type hybridport hybrid vlan 3 5 untaggedport hybrid pvid vlan 3interf

30、ace ethernet0/12port link-type hybridport hybrid vlan 4 to 5 untaggedport hybrid pvid vlan 4從上面的信息中可以看出，pvlan實際上是通過hybrid端口來實現(xiàn)的。即通過配置一系列的hybrid端口，并對來自不同vlan的幀進行不同的vlan tag處理，來達到隔離vlan的目的。配置完成后，在同一交換機內(nèi)的不同secondary vlan的主機不能夠互相訪問，所有secondary vlan的主機都能夠訪問primary vlan的主機；交換機之間的所有pc都能夠相互訪問。在交換機s3526a上使用d

31、is vlan 5命令可以看到，同一交換機的所有secondary vlan的所有端口都屬于vlan 5，也就是說vlan2，3和4是vlan5的更細化的vlan。接下來我們可以用如下的辦法來測試不同vlan間主機的連通性：1. 準(zhǔn)備兩臺pc機pca和pcb，然后配置pca ip地址為10.1.1.2/24，pcb ip地址為10.1.1.3/24。2. 將pca連接到交換機s3526a的端口e0/5上，將pcb分別連接到交換機s3526a的端口e0/9和e0/12上，從pca ping pcb，看是否能夠ping通。3. 將pcb連接到交換機s3526a的端口e0/2，從pca ping p

32、cb，看是否能夠ping通。4. 將pcb連接到交換機s3526b的任一端口上，從pca ping pcb，看是否能夠ping通。在測試連通性的過程中，大家可以參考hybrid的原理，分析為什么ping的通或者ping不通。實驗2 vlan路由2.1實驗內(nèi)容l 掌握vlan間靜態(tài)路由配置l 掌握三層交換機rip路由協(xié)議配置與維護2.2靜態(tài)路由配置2.2.1實驗?zāi)康膌 掌握靜態(tài)路由在三層交換機上的配置2.2.2實驗環(huán)境l quidway系列s3526交換機2臺，pc3臺l 配置電纜2根，網(wǎng)線4根2.2.3實驗組網(wǎng)圖圖2.12.2.4實驗步驟1. 實驗基本配置準(zhǔn)備。如圖2.1所示，分別配置各pc機

33、的ip地址和默認網(wǎng)關(guān)。其中3526交換機上的vlan路由接口需要在交換機上配置。2. 具體配置。（1） 在兩臺三層交換機上創(chuàng)建vlan，并配置pc屬于特定vlan。s3526avlan 2s3526a-vlan2port e0/9 to e0/16s3526a-vlan2vlan 3s3526a-vlan3port e0/17 to e0/24s3526a-vlan3vlan 5（為什么在s3526a上要建立vlan5？）s3526bvlan 4s3526b-vlan4port e0/9 to e0/16s3526b-vlan4vlan 5（2） 配置各臺交換機上的vlan接口地址。s3526

34、ainterface vlan-interface 2（interface vlan-interface vlan-id命令用來創(chuàng)建vlan接口視圖，vlan-id取值范圍為1-4000，只有在相應(yīng)vlan創(chuàng)建后才能創(chuàng)建/進入相應(yīng)的vlan接口視圖）s3526a-vlan-interface2ip address 10.1.1.1 255.255.255.0（只有在相應(yīng)vlan接口創(chuàng)建后，才能為其指定相應(yīng)的ip地址和掩碼）s3526a-vlan-interface2interface vlan-interface 3s3526a-vlan-interface3ip address 10.1.2

35、.1 255.255.255.0s3526a-vlan-interface3interface vlan-interface 5s3526a-vlan-interface5ip address 10.1.4.1 255.255.255.0s3526binterface vlan-interface 4s3526b-vlan-interface4ip address 10.1.3.1 255.255.255.0s3526b-vlan-interface4interface vlan-interface 5s3526a-vlan-interface5ip address 10.1.4.2 255.

36、255.255.0（3） 配置交換機之間鏈路為trunk鏈路。s3526a-ethernet0/1port link-type trunks3526a-ethernet0/1port trunk permit vlan all（在這里不配置trunk鏈路有什么后果？不配置成允許所有vlan通過有什么后果？還可以如何配置？）s3526b-ethernet0/1port link-type trunks3526b-ethernet0/1port trunk permit vlan all（4） 在交換機上配置非直連網(wǎng)段靜態(tài)路由。s3526aip route-static 10.1.3.0 255.

37、255.255.0 10.1.4.2（在s3526a交換機上為什么沒有配置10.1.2.0 255.255.255.0的路由？）s3526bip route-static 10.1.1.0 255.255.255.0 10.1.4.1s3526bip route-static 10.1.2.0 255.255.255.0 10.1.4.1配置完成后，全網(wǎng)絡(luò)達到互通，我們可以用“display ip routing-table”命令查看路由表。s3526bdis ip routing-tablerouting table: public netdestination/maskprotopreco

38、stnexthopinterface10.1.1.0/24static60010.1.4.1 vlan-interface510.1.2.0/24static60010.1.4.1 vlan-interface510.1.3.0/24direct0010.1.3.1 vlan-interface410.1.3.1/32direct00127.0.0.1 inloopback010.1.4.0/24direct0010.1.4.2 vlan-interface510.1.4.2/32direct00127.0.0.1 inloopback0127.0.0.0/8direct00127.0.0.1

39、 inloopback0127.0.0.1/32direct00127.0.0.1 inloopback0在三層交換機中，有關(guān)三層數(shù)據(jù)的轉(zhuǎn)發(fā)主要是基于ipfdb表格進行的。我們可以用“dis ipfdb all”命令來查看相關(guān)的ipfdb信息：s3526bdis ipfdb allip fdb entry information including the following fields:note: the value of status field0: system 1: learned 2: usrcfg age 3: usrcfg noage other: errorip addres

40、srtifvtagvtvalidportmacstatus10.1.3.114 invalidcpu 00e0-fc60-c286 310.1.3.214 invalid ethernet0/9 0007-954a-902a 110.1.4.125 valid ethernet0/1 00e0-fc60-c348 110.1.4.225 invalidcpu 00e0-fc60-c287 3在ipfdb表中關(guān)鍵的表項如下：路由接口索引（rtlf）：該索引用來確定該轉(zhuǎn)發(fā)表項位于哪個路由接口下面。vtag：該值用來表明所處的vlan，該vlan和路由接口是對應(yīng)的。vlan tag（vtvalid）

41、：用來標(biāo)識轉(zhuǎn)發(fā)出去的報文中是否需要插入vlan tag標(biāo)記。端口索引（port）：用來說明該轉(zhuǎn)發(fā)表項的出端口。下一跳mac地址（mac）：由前面的分析可以知道，三層設(shè)備每完成一跳的轉(zhuǎn)發(fā)，會重新封裝報文中的mac頭，硬件asic芯片一般依據(jù)這個域里面的數(shù)值來封裝報文頭。ipfdb表格是三層交換機的核心，圍繞這個表格，交換機的三層轉(zhuǎn)發(fā)流程中涉及到兩個關(guān)鍵的線程：1) 轉(zhuǎn)發(fā)線程：硬件根據(jù)報文中的ip地址信息查找ipfdb表，查出相應(yīng)的下一跳端口號和mac地址來轉(zhuǎn)發(fā)報文；2) 學(xué)習(xí)線程：軟件根據(jù)相關(guān)的信息來生成和維護ipfdb表，保證路由的暢通。實際上ipfdb表中所有的信息都來源于fib和arp表，

42、當(dāng)fib和arp表的內(nèi)容有變化時，ipfdb表也跟著變化。s3526bdis fibdestination/masknexthopflaginterface10.1.1.0/2410.1.4.1 ivlan-interface510.1.3.0/2410.1.3.1 dvlan-interface410.1.3.1/32127.0.0.1 dinloopback010.1.4.0/2410.1.4.2 dvlan-interface510.1.4.2/32127.0.0.1 dinloopback0127.0.0.0/8127.0.0.1 dinloopback0s3526bdis arpip

43、 address mac address vlan id port name aging type10.1.4.1 00e0-fc60-c348 5 ethernet0/1 8 dynamic10.1.3.2 0007-954a-902a 4 ethernet0/9 14 dynamic從上面的信息可以看出，將fib和arp表結(jié)合起來，就形成了ipfdb表。2.3rip協(xié)議配置2.3.1實驗?zāi)康膌 掌握rip協(xié)議在三層交換機上的配置2.3.2實驗環(huán)境l quidway系列s3526交換機2臺，pc3臺l 配置電纜2根，網(wǎng)線4根2.3.3實驗組網(wǎng)圖圖2.22.3.4實驗步驟1. 具體配置。（1）

44、 繼續(xù)上面的實驗，刪除前面配置的靜態(tài)路由。s3526aundo ip route-sta 10.1.3.0 255.255.255.0s3526bundo ip route-sta 10.1.1.0 255.255.255.0s3526bundo ip route-sta 10.1.2.0 255.255.255.0（2） 配置rip路由協(xié)議：s3526arips3526a-ripnetwork 10.1.1.0s3526a-ripnetwork 10.1.2.0s3526a-ripnetwork 10.1.4.0s3526brips3526b-ripnetwork 10.1.3.0s3526

45、b-ripnetwork 10.1.4.0配置完成后，全網(wǎng)絡(luò)達到互通，我們可以用“display ip routing-table”命令察看路由表。s3526bdis ip routing-tablerouting table: public netdestination/maskprotoprecostnexthopinterface10.1.1.0/24rip100110.1.4.1 vlan-interface510.1.2.0/24rip100110.1.4.1 vlan-interface510.1.3.0/24direct0010.1.3.1 vlan-interface410.1

46、.3.1/32direct00127.0.0.1 inloopback010.1.4.0/24direct0010.1.4.2 vlan-interface510.1.4.2/32direct00127.0.0.1 inloopback0127.0.0.0/8direct00127.0.0.1inloopback0127.0.0.1/32direct00127.0.0.1inloopback0（3） rip報文交互調(diào)試信息。打開rip協(xié)議報文的調(diào)試開關(guān)。debug rip packet使調(diào)試信息輸出到終端ter debug% current terminal debugging is on0.

47、172628665-rm-7-s1-rtdbg:rip: send from 10.1.4.2(vlan-interface5) to 255.255.255.255packet: vers 1, cmd response, length 24dest 10.1.3.0,metric 1,tag 0*0.172646069-rm-7-s1-rtdbg:ignoring rip response0 packet from 10.1.1.1 +520 - can not find interface for source address*0.172646225-rm-7-s1-rtdbg:rip:

48、 receive response from 10.1.4.1 via vlan-interface5packet: vers 1,cmd response,length 44dest 10.1.1.0 ,metric 1, tag 0dest 10.1.2.0 ,metric 1,tag 0從上面輸出信息中可以看出，s3526b從路由接口5（ip地址10.1.4.2）給廣播地址255.255.255.255（代表所有運行ripv1協(xié)議的路由器）發(fā)送了ripv1路由更新報文，攜帶一條目的地址為10.1.3.0/24的路由；同時從s3526a路由接口5（ip地址10.1.4.1）收到ripv1路

49、由更新報文，包括2條路由：10.1.1.0/24，10.1.2.0/24。在s3526交換機上運行rip協(xié)議時，接口在缺省模式下接收和發(fā)送rip報文。而當(dāng)指定接口rip版本為rip-2時，缺省使用組播形式傳送報文。在vlan接口模式下配置rip版本：s3526b-vlan-interface5rip ver 2 multicast在兩臺交換機的其他vlan接口上也進行相同的配置，然后再用debug觀察，可見rip更新路由信息都發(fā)送給組播地址224.0.0.9了。 實驗3 acl包過濾實驗3.1實驗內(nèi)容l 基于基本acl的包過濾l 基于高級acl的包過濾l 基于二層acl的包過濾3.2基于基本a

50、cl的包過濾3.2.1實驗?zāi)康膌 理解并驗證交換機的基本acl包過濾功能3.2.2實驗環(huán)境l quidway系列s3526交換機1臺，pc3臺l 配置電纜1根，網(wǎng)線3根3.2.3實驗組網(wǎng)圖圖3.13.2.4實驗步驟1. 首先按照如圖3.1所示的組網(wǎng)圖連接所有設(shè)備，并分配3臺pc的ip地址及默認網(wǎng)關(guān)。2. 在s3526a交換機上配置vlan以及vlan接口，使網(wǎng)絡(luò)達到互通。quidway int vlan-interface 1quidway-vlan-interfacel ip add 10.1.1.1 255.255.255.0quidway-vlan-intarfacel vlan 2qu

51、idway-vlan2 port e0/9 to e0/16quidway-vlan2 int vlan-int 2quidway-vlan-interface2 ip add 10.1.2.1 255.255.255.0quidway-vlan-interface2 vlan 3quidway-vlan3 port e0/17 to e0/24quidway-vlan3 int vlan-int 3quidway-vlan-interface3 ip add 10.1.3.1 255.255.255.0完成上述配置之后，大家可以分別在三臺pc上ping一下其他兩臺，看是否能夠ping通。3.

52、 接下來請在s3536a交換機上配置一個基本acl，并應(yīng)用包過濾限制來自pcb的訪問。其具體配置如下：quidway acl name denypcb basic /定義名為“denypcb”的基本acl(acl也可用數(shù)字進行標(biāo)識，基本acl的數(shù)字標(biāo)識為199)quidway-acl-basic-denypcb rule 1 deny source 10.1.2.2 0（注意這里有一個“0”，用“0”表示一個主機，如果用反掩碼就表示一個網(wǎng)段） /定義一條acl規(guī)則，禁止源地址為10.1.2.2的數(shù)據(jù)包訪問（這里用的是主機地址，也可用一個網(wǎng)段）quidway-acl-basic-denypcb

53、quitquidway packet-filter ip-group denypcb /激活訪問控制列表，也可以只激活其中的某條特定規(guī)則（加上rule字段大家可以試一下）完成上述配置之后，如果從pcb ping向pca，大家可以看到不能ping通，而從pcc則仍然可以ping通。同樣從pcb也無法ping通pcc?？捎妹睢癲is acl running-packet-filter all”來查看acl的運行情況。思考題：關(guān)于匹配順序：在定義acl的同時，我們也可以定義acl的匹配順序（match-order），當(dāng)一條acl中有多條規(guī)則時，匹配順序決定了如何對這些規(guī)則進行匹配。華為quidwa

54、y系列交換機上提供了兩種匹配順序：auto和config。其中一種為深度優(yōu)先匹配，另一種根據(jù)配置的順序。同學(xué)們自己設(shè)計一個實驗驗證一下，哪種配置是深度優(yōu)先，哪種配置是根據(jù)配置的順序。并且驗證一下這兩種匹配順序的區(qū)別。可以通過如下命令設(shè)置匹配順序：quidwayacl name acl-name advanced match-order config|auto缺省情況下按照config順序匹配訪問控制列表，用戶一旦指定一條訪問列表的匹配順序后就不能再更改，除非把該訪問列表的子項全部刪除，再重新指定其匹配順序。3.3基于高級acl的包過濾3.3.1實驗?zāi)康膌 理解并驗證交換機的高級acl包過濾功能3.3.2實驗環(huán)境l quidway系列s3526交換機1臺，pc3臺l 配置電纜1根，網(wǎng)線3根3.3.3實驗組網(wǎng)圖圖3.23.3.4實驗步驟1. 本實驗的組網(wǎng)