网络产品应用.doc

浙江商业职业技术学院 信息技术学院 《网络产品应用》课程实训 班 级： 组 员： 指导教师： 时 间： 　　 目录 实训一、端口隔离时的本地代理ARP+报文过滤配置 1 一、组网需求 2 二、配置思路 3 三、配置过程和解释 3 四、小结 4 实训二、MSTP典型配置 6 一、组网需求 7 二、配置过程和解释 8 三、小结 8 实训三 本地端口镜像配置 9 一、组网需求 10 二、组网图 10 三、配置步骤 10 四、小结 11 实训四 远程端口镜像配置 11 一、组网需求 11 二、组网图 13 三、配置步骤 13 三、小结 14  实训一 端口隔离时的本地代理ARP+报文过滤配置 组网需求 某公司内部的研发部门、市场部门和行政部门分别与Switch B上的端口GE1/0/1、GE1/0/2 和GE1/0/3 相连。要求实现各部门与外界网络互访的同时，还需要实现： 在每天 8:00～12:00 的时间段内，允许Host A 访问行政部门的服务器，拒绝其它的IP 报文通过 在每天 14:00～16:00 的时间段内，允许Host B 访问行政部门的服务器，拒绝其它的IP 报文通过。 在其他时间段，各部门之间不能互访。 二、配置思路 实现上述组网需求，一种方法是在Switch B 的端口GE1/0/1、GE1/0/2 和GE1/0/3 上分别配置报文 过滤，该方法配置复杂，且对Switch B 的性能要求较高。 另一种方法是利用端口隔离，并结合上层设备的本地代理ARP 功能和报文过滤，该方法对Switch B 的性能要求不高，支持端口隔离的二层或三层设备都可以，且在VLAN 资源紧张的网络环境中，还 可节省VLAN 资源。 若要实现不同隔离端口下的主机间互访，需在上层设备Switch A 上使用本地代理ARP 功能，但启 用该功能后，Switch B 上隔离端口下的主机都可互访或某一IP 地址范围内的主机可互访。此处还 需要结合报文过滤功能以实现上面需求。基本配置思路如下： (1) 配置研发部门、市场部门和行政部门共用同一VLAN，并将Switch B 上与各部门相连的端口 GE1/0/1、GE1/0/2 和GE1/0/3 加入隔离组； (2) 加入到隔离中的端口之间不能互访，若要实现互访还需要上层设备Switch A 上配置本地代理ARP 功能； (3) 为了灵活的限制部门间的互访，需要在Switch A 上实现报文过滤。报文过滤需求可以通过包过滤的配置方式来实现，也可以使用QoS 策略的配置方式实现，但前者配置更简单，而且可以随时修改ACL 的规则（修改结果将直接生效）。这里选择包过滤的配置方式实现： 定义高级IPv4 ACL，配置三条规则：允许Host A 访问行政部门的服务器；允许Host B 访问 行政部门的服务器；拒绝各部门间的互访。 在Switch A 的端口GigabitEthernet1/0/4 上应用高级IPv4 ACL，以对该端口收到的IPv4 报文进行过滤。 三、配置过程和解释 (1) 在Switch B 上配置端口隔离 配置Switch B 上的端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2、GigabitEthernet1/0/3 和GigabitEthernet1/0/4 属于同一VLAN 100；并将端口GigabitEthernet1/0/1、 GigabitEthernet1/0/2和GigabitEthernet1/0/3 加入到隔离组中，以实现研发部门、市场部门和行政部门彼此之间二层报 文不能互通。 (2) 在Switch A 上配置本地ARP 代理 在Switch A 上配置VLAN 接口100 的IP 地址。 在Switch A 上配置本地代理ARP，实现部门之间的三层互通。 (3) 在Switch A 上定义工作时间段 定义周期时间段trname_1，时间范围为每天的8:00～12:00。 定义周期时间段trname2，时间范围为每天的14:00～16:00。 (4) 在Switch A 上定义到行政部门服务器的访问规则 A、允许Host A 访问行政部门的服务器。 B、允许Host B 访问行政部门的服务器。 C、禁止各部门间