分类： 网络

一、 组网需求
Switch 的端口（属于 VLAN 1）连接一个局域网，局域网中的计算机分别属于 2 个网段：172.16.1.0/24和 172.16.2.0/24。要求这两个网段的主机都可以通过 Switch 与外部网络通信，且这两个网段中的主机能够互通。

二、组网图

三、配置步骤
针对上述的需求，如果在 Switch 的 VLAN 接口 1 上只配置一个 IP 地址，则只有一部分主机能够通过 Switch 与外部网络通信。为了使局域网内的所有主机都能够通过 Switch 访问外部网络，需要配置VLAN接口1的从IP地址。为了使两个网段中的主机能够互通，两个网段中的主机都需要将Switch设置为网关。
# 配置 VLAN 接口 1 的主 IP 地址和从 IP 地址。
<Switch> system-view
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 172.16.1.1 255.255.255.0
[Switch-Vlan-interface1] ip address 172.16.2.1 255.255.255.0 sub

# 在 172.16.1.0/24 网段中的主机上配置网关为 172.16.1.1；在 172.16.2.0/24 网段中的主机上配置网关为 172.16.2.1。

四、验证配置
# 使用 ping 命令检测 Switch 与网络 172.16.1.0/24 内主机的连通性。
<Switch> ping 172.16.1.2

显示信息表示 Switch 与网络 172.16.1.0/24 内的主机可以互通。

# 使用 ping 命令检测 Switch 与网络 172.16.2.0/24 内主机的连通性
ping 172.16.2.2

显示信息表示 Switch 与网络 172.16.2.0/24 内的主机可以互通。

# 使用 ping 命令检测网络 172.16.1.0/24 和网络 172.16.2.0/24 内主机的连通性。在 Host A 上可以ping 通 Host B。

 

一、 组网需求
如下图：Client 1～Client 32 通过 Switch 接入网络，所有客户端接入 VLAN 为 VLAN 2。当 Client 1 需要访问 Client 32 时，Client 1 发送 ARP 请求报文，ARP 请求报文在 Switch 上被复制其他所有接口上发送（除了与 Client 1 直连的接口），在设备上具有多个接口的情况下，这种复制的广播会占用接口资源。
为减少对接口资源的占用，可以在 VLAN 2 上开启 ARP 快速应答。启用 ARP 快速应答，当 Client 32通过 DHCP 服务器获得 IP 地址后，Client 1 需要访问 Client 32 时，ARP 请求报文可以在 Switch上得到应答，而 Switch 不会再对报文进行广播，从而减少了对接口资源的占用。

二、组网图

三、配置步骤
(1) 开启 Switch 上 VLAN2 开启 ARP Snooping 功能。
<Switch> system-view
[Switch] vlan 2
[Switch-vlan2] arp snooping enable

(2) 开启 Switch 上 VLAN 2 开启 ARP 快速应答功能。
[Switch-vlan2] arp fast-reply enable
[Switch-vlan2] quit

 

一、 组网需求
• Host A 和 Host D 配置为同一网段的主机（Host A 的 IP 地址是192.168.10.100/16，Host D的 IP 地址是 192.168.20.200/16），但却被设备 Switch 分在两个不同的子网（Host A 属于VLAN 1，Host D 属于 VLAN 2）。
• Host A 和 Host D 没有配置缺省网关，要求在设备 Switch 上开启代理 ARP 功能，使处在两个子网的 Host A 和 Host D 能互通。

二、组网图

三、配置步骤
# 创建 VLAN 2。
<Switch> system-view
[Switch] vlan 2
[Switch-vlan2] quit

# 配置接口 Vlan-interface1 的 IP 地址。
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 192.168.10.99 255.255.255.0

# 开启接口 Vlan-interface1 的普通代理 ARP 功能。
[Switch-Vlan-interface1] proxy-arp enable
[Switch-Vlan-interface1] quit

# 配置接口 Vlan-interface2 的 IP 地址。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.20.99 255.255.255.0

# 开启接口 Vlan-interface2 的普通代理 ARP 功能。
[Switch-Vlan-interface2] proxy-arp enable
配置完成后，Host A 和 Host D 可以互相 ping 通。

 

一、 组网需求
• Device 连接服务器群，通过属于 VLAN 10 的三个二层接口 GigabitEthernet1/0/1、
GigabitEthernet1/0/2 和 GigabitEthernet1/0/3 分别连接三台服务器。
• 服务器群的共享 IP 地址为 192.168.1.1/24，共享 MAC 地址为 00e0-fc01-0000。
配置多端口 ARP 表项，使目的 IP 为 192.168.1.1 的 IP 数据报文能同时发送到三台服务器上。

二、组网图

三、配置步骤
在 Device 上进行下列配置。
# 创建 VLAN 10。
<Device> system-view
[Device] vlan 10
[Device-vlan10] quit

# 将接口 GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3 加入到 VLAN 10 中。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] port access vlan 10
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] port access vlan 10
[Device-GigabitEthernet1/0/2] quit
[Device] interface gigabitethernet 1/0/3
[Device-GigabitEthernet1/0/3] port access vlan 10
[Device-GigabitEthernet1/0/3] quit

# 创建接口 Vlan-interface10，并配置 IP 地址。
[Device] interface vlan-interface 10
[Device-vlan-interface10] ip address 192.168.1.2 24
[Device-vlan-interface10] quit

# 配置多端口单播 MAC 表项，MAC 地址为 00e0-fc01-0000，对应的出接口为 GigabitEthernet1/0/1、
GigabitEthernet1/0/2 和 GigabitEthernet1/0/3，接口属于 VLAN 10。
[Device] mac-address multiport 00e0-fc01-0000 interface gigabitethernet 1/0/1 to
gigabitethernet 1/0/3 vlan 10

# 配置一条多端口 ARP 表项，IP 地址为 192.168.1.1，对应的 MAC 地址为 00e0-fc01-0000。
[Device] arp multiport 192.168.1.1 00e0-fc01-0000 10

# 查看 ARP 表项信息。
[Device] display arp

一、 组网需求
• Device B 通过接口 GigabitEthernet1/0/1 连接主机，通过接口 GigabitEthernet1/0/2 连接Device A。
• Device A 的 IP 地址为 192.168.1.1/24，MAC 地址为 00e0-fc01-001f。
网络管理员需要通过某种方法来防止恶意用户对 Device B 进行 ARP 攻击，增加 Device B 和 Device A 通信的安全性。如果 Device A 的 IP 地址和 MAC 地址是固定的，则可以通过在 Device B 上配置静态 ARP 表项的方法，防止恶意用户进行 ARP 攻击。

二、组网图

三、配置步骤
在 Device B 上进行下列配置。
# 在接口 GigabitEthernet1/0/2 配置 IP 地址。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] ip address 192.168.1.2 24
[DeviceB-GigabitEthernet1/0/2] quit
# 配置一条短静态 ARP 表项，IP 地址是 192.168.1.1，对应的 MAC 地址是 00e0-fc01-001f。
[DeviceB] arp static 192.168.1.1 00e0-fc01-001f
# 查看短静态 ARP 表项信息。
[DeviceB] display arp static

一、 组网需求
• Device B 连接主机，通过接口 GigabitEthernet1/0/1 连接 Device A。接口
GigabitEthernet1/0/1 属于 VLAN 10。
• Device A 的 IP 地址为 192.168.1.1/24，MAC 地址为 00e0-fc01-0000。
为了增加 Device B 和 Device A 通信的安全性，可以在 Device B 上为 Device A 配置一条静态 ARP表项，从而防止攻击报文修改此表项的 IP 地址和 MAC 地址的映射关系。

二、组网图

三、配置步骤
在 Device B 上进行下列配置。
# 创建 VLAN 10。
system-view
[DeviceB] vlan 10
[DeviceB-vlan10] quit

# 将接口 GigabitEthernet1/0/1 加入到 VLAN 10 中。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] port access vlan 10
[DeviceB-GigabitEthernet1/0/1] quit

# 创建接口 Vlan-interface10，并配置 IP 地址。
[DeviceB] interface vlan-interface 10
[DeviceB-vlan-interface10] ip address 192.168.1.2 8
[DeviceB-vlan-interface10] quit

# 配置一条长静态 ARP 表项，IP 地址为 192.168.1.1，对应的 MAC 地址为 00e0-fc01-0000，此条ARP 表项对应的出接口为属于 VLAN 10 的接口 GigabitEthernet1/0/1。
[DeviceB] arp static 192.168.1.1 00e0-fc01-0000 10 gigabitethernet 1/0/1

# 查看长静态 ARP 表项信息。
[DeviceB] display arp static

一、 组网需求
•Switch B 上开启 DHCP Snooping 功能，并支持 Option 82 功能；
• 对包含 Option 82 的请求报文的处理策略为 replace；
• 在 GigabitEthernet1/0/2 上配置 Circuit ID 填充内容为 company001，Remote ID 填充内容为device001；
• 在 GigabitEthernet1/0/3 上配置 Circuit ID 以 verbose 模式填充，接入节点标识为 sysname，填充格式为 ASCII 格式，Remote ID 填充内容为 device001；

二、组网图

三、配置步骤
# 开启 DHCP Snooping 功能。
<SwitchB> system-view
[SwitchB] dhcp snooping enable

# 设置 GigabitEthernet1/0/1 端口为信任端口。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] dhcp snooping trust
[SwitchB-GigabitEthernet1/0/1] quit

# 在 GigabitEthernet1/0/2 上配置 DHCP Snooping 支持 Option 82 功能。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] dhcp snooping information enable
[SwitchB-GigabitEthernet1/0/2] dhcp snooping information strategy replace
[SwitchB-GigabitEthernet1/0/2] dhcp snooping information circuit-id string company001
[SwitchB-GigabitEthernet1/0/2] dhcp snooping information remote-id string device001
[SwitchB-GigabitEthernet1/0/2] quit

四、验证配置
配置完成后，使用 display dhcp snooping information 命令可查看到 DHCP Snooping 在端口GigabitEthernet1/0/2 和 GigabitEthernet1/0/3 上 Option 82 的配置信息。

一、 组网需求
•Switch B 通过以太网端口 GigabitEthernet1/0/1 连接到合法 DHCP 服务器，通过以太网端口GigabitEthernet1/0/3 连接到非法 DHCP 服务器，通过 GigabitEthernet1/0/2 连接到 DHCP 客户端。
要求：
• VLAN 100 上与合法 DHCP 服务器相连的端口可以转发 DHCP 服务器的响应报文，而其他端口不转发 DHCP 服务器的响应报文。
• 记录 DHCP-REQUEST 报文和信任端口收到的 DHCP-ACK 报文中 DHCP 客户端 IP 地址及MAC 地址的绑定信息。

二、组网图

三、配置步骤
# 配置端口 GigabitEthernet1/0/1、GigabitEthernet1/0/2 和 GigabitEthernet1/0/3 为 Access 端口，
允许 VLAN 100 通过。
<SwitchB> system-view
[SwitchB] vlan 100
[SwitchB-vlan100] port gigabitethernet 1/0/1 to gigabitethernet 1/0/3
[SwitchB-vlan100] quit

# 在 VLAN100 内开启 DHCP Snooping 功能。
[SwitchB] dhcp snooping enable vlan 100

# 指定端口 GigabitEthernet1/0/1 为 VLAN 100 下 DHCP Snooping 功能的信任端口。
[SwitchB] vlan 100
[SwitchB-vlan100] dhcp snooping trust interface gigabitethernet 1/0/1

# 在 VLAN 100 内开启 DHCP Snooping 表项记录功能。
[SwitchB-vlan100] dhcp snooping binding record
[SwitchB-vlan100] quit

四、验证配置
配置完成后，DHCP 客户端只能从合法 DHCP 服务器获取 IP 地址和其它配置信息，非法 DHCP 服务器无法为 DHCP 客户端分配 IP 地址和其他配置信息。且使用 display dhcp snooping binding可查询到获取到的 DHCP Snooping 表项。

一、 组网需求
•Switch B 通过以太网端口 GigabitEthernet1/0/1 连接到合法 DHCP 服务器，通过以太网端口GigabitEthernet1/0/3 连接到非法 DHCP 服务器，通过 GigabitEthernet1/0/2 连接到 DHCP 客户端。
要求：
• 与合法 DHCP 服务器相连的端口可以转发 DHCP 服务器的响应报文，而其他端口不转发DHCP 服务器的响应报文。
• 记录 DHCP-REQUEST 报文和信任端口收到的 DHCP-ACK 报文中 DHCP 客户端 IP 地址及MAC 地址的绑定信息。

二、组网图

三、配置步骤
# 全局开启 DHCP Snooping 功能。
<SwitchB> system-view
[SwitchB] dhcp snooping enable

# 设置 GigabitEthernet1/0/1 端口为信任端口。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] dhcp snooping trust
[SwitchB-GigabitEthernet1/0/1] quit

# 在 GigabitEthernet1/0/2 上开启 DHCP Snooping 表项功能。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/2] quit

四、验证配置
配置完成后，DHCP 客户端只能从合法 DHCP 服务器获取 IP 地址和其它配置信息，非法 DHCP 服务器无法为 DHCP 客户端分配 IP 地址和其他配置信息。且使用 display dhcp snooping binding可查询到获取到的 DHCP Snooping 表项。

一、组网需求
• Device A 和 Device B 为汇聚层设备，Device C 和 Device D 为接入层设备。
• 通过配置 PVST，使 VLAN 10、20、30 和 40 中的报文分别按照其各自 VLAN 所对应的生成树转发。
• 由于 VLAN 10、20 和 30 在汇聚层设备终结、VLAN 40 在接入层设备终结，因此配置 VLAN10 和 20 的根桥为 Device A，VLAN 30 的根桥为 Device B，VLAN 40 的根桥为 Device C。

二、 组网图

三、配置步骤
(1) 配置 VLAN 和端口
请按照上图 在 Device A 和 Device B 上分别创建 VLAN 10、20 和 30，在 Device C 上创建 VLAN10、20 和 40，在 Device D 上创建 VLAN 20、30 和 40；将各设备的各端口配置为 Trunk 端口并允许相应的 VLAN 通过，具体配置过程略。

(2) 配置 Device A
# 配置生成树的工作模式为 PVST 模式。
<DeviceA> system-view
[DeviceA] stp mode pvst

# 配置本设备为 VLAN 10 和 VLAN 20 的根桥。
[DeviceA] stp vlan 10 20 root primary

# 全局开启生成树协议，并开启 VLAN 10、20 和 30 中的生成树协议。
[DeviceA] stp global enable
[DeviceA] stp vlan 10 20 30 enable

(3) 配置 Device B
# 配置生成树的工作模式为 PVST 模式。
<DeviceB> system-view
[DeviceB] stp mode pvst

# 配置本设备为 VLAN 30 的根桥。
[DeviceB] stp vlan 30 root primary

# 全局开启生成树协议，并开启 VLAN 10、20 和 30 中的生成树协议。
[DeviceB] stp global enable
[DeviceB] stp vlan 10 20 30 enable

(4) 配置 Device C
# 配置生成树的工作模式为 PVST 模式。
<DeviceC> system-view
[DeviceC] stp mode pvst

# 配置本设备为生成树 VLAN 40 的根桥。
[DeviceC] stp vlan 40 root primary

# 全局开启生成树协议，并开启 VLAN 10、20 和 40 中的生成树协议。
[DeviceC] stp global enable
[DeviceC] stp vlan 10 20 40 enable

(5) 配置 Device D
# 配置生成树的工作模式为 PVST 模式。
<DeviceD> system-view
[DeviceD] stp mode pvst

# 全局开启生成树协议，并开启 VLAN 20、30 和 40 中的生成树协议。
[DeviceD] stp global enable
[DeviceD] stp vlan 20 30 40 enable

四、 验证配置
当网络拓扑稳定后，通过使用 display stp brief 命令可以查看各设备上生成树的简要信息。例如：
# 查看 Device A 上生成树的简要信息。
[DeviceA] display stp brief

# 查看 Device B 上生成树的简要信息。
[DeviceB] display stp brief

# 查看 Device C 上生成树的简要信息。
[DeviceC] display stp brief

# 查看 Device D 上生成树的简要信息。
[DeviceD] display stp brief

根据上述显示信息，可以绘出各 VLAN 所对应 MSTI 的拓扑，如下图所示。