HCIP-ICT進階實驗06-多例項生成樹安全部署

1 實驗需求

1.1 實驗拓撲

1.2 實驗環境說明

IP地址規劃表:

1.3 實驗需求

本實驗採用4臺PC，4臺交換機。認真分析實驗需求，明確每步考查的知識點，並根據規劃 IP 地址；拓撲搭建實驗環境，確保埠都雙UP後再進行下面步驟：

2 實驗步驟

2.1 根據拓撲配置好相關介面的地址，交換機SW1為vlan10、vlan20、vlan30、vlan40的閘道器。

配置指令碼

配置4臺PC的ip地址、掩碼、閘道器

配置驗證

四臺都驗證一遍, 這裡展示PC1的

2.2 交換機之間起trunk,在交換機SW1、SW2、SW3、SW4建立VLAN 10、 20、 30、 40；並且把PC1劃入VLAN10，PC2劃入VLAN20，PC3劃入VLAN30，PC4劃入VLAN40。

配置指令碼

SW1:

sy
sysname SW1
vlan batch 10 20 30 40
int vlanif 10
ip add 192.168.10.254 24
int vlanif 20
ip add 192.168.20.254 24
int vlanif 30
ip add 192.168.30.254 24
int vlanif 40
ip add 192.168.40.254 24
qu

int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
port trunk pvid vlan 1
qu

int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
port trunk pvid vlan 1
qu
 

SW2:

sy
sysname SW2
vlan batch 10 20 30 40

int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
port trunk pvid vlan 1
qu

int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
port trunk pvid vlan 1
qu

SW3:

sy
sysname SW3
vlan batch 10 20 30 40

int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
port trunk pvid vlan 1
qu

int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
port trunk pvid vlan 1
qu

SW4:

sy
sysname SW4
vlan batch 10 20 30 40

int g0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
port trunk pvid vlan 1
qu

int g0/0/4
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
port trunk pvid vlan 1
qu

int g0/0/1
port link-type access
port default vlan 10
int g0/0/2
port link-type access
port default vlan 20
int g0/0/5
port link-type access
port default vlan 30
int g0/0/6
port link-type access
port default vlan 40
qu

本來下意識想配置vtp的, 但後來反應過來華為的裝置不支援vtp, 只能手敲vlan, GVRP下次有空看看, 這段時間挺忙的...

配置驗證

dis port vlan

2.3 要求交換機之間使用MSTP生成樹協議，並且SW2為vlan10、20的根橋,vlan 30、40的備份根橋，SW3為vlan30、40的根橋,vlan 10、20的備份根橋。最終實現vlan10、vlan20從sw4—>sw2—>sw1，vlan30、vlan40從sw4—>sw3—>sw1轉發。

配置命令

SW1:

stp mode mstp

stp region-configuration
	region-name test
	revision-level 10
	instance 1 vlan 10 20
	instance 2 vlan 30 40
	active region-configuration
qu

SW2:

stp mode mstp

stp region-configuration
	region-name test
	revision-level 10
	instance 1 vlan 10 20
	instance 2 vlan 30 40
	active region-configuration
qu

stp instance 1 root primary
stp instance 2 root secondary

SW3:

stp mode mstp

stp region-configuration
	region-name test
	revision-level 10
	instance 1 vlan 10 20
	instance 2 vlan 30 40
	active region-configuration
qu

stp instance 2 root primary
stp instance 1 root secondary

SW4:

stp mode mstp

stp region-configuration
	region-name test
	revision-level 10
	instance 1 vlan 10 20
	instance 2 vlan 30 40
	active region-configuration
qu

配置驗證

檢視stp的例項

dis stp instance instance-id

vlan 10:

tracert 192.168.10.254

vlan 30:

tracert 192.168.30.254

2.4 為了保證PC接入後快速進入資料的轉發，需要在連線終端的鏈路配置邊緣埠，同時為防止網路震盪，還需要進行BPDU保護設定。

配置指令碼

SW4:

int g0/0/1
	stp edged-port enable
int g0/0/2
	stp edged-port enable
int g0/0/5
	stp edged-port enable
int g0/0/6
	stp edged-port enable 
qu

stp bpdu-protection
error-down auto-recovery cause bpdu-protection interval 10

BPDU防護只會針對邊緣埠開啟;

最後一句配置時將被BPDU防護關閉的介面配置10s後自動重新開啟.

配置驗證

終端拔線再連線, ping通網路的速度縮短:

為配置邊緣埠前:

四輪ping才通

開啟邊緣埠後:

第一輪就能ping通, 效果還是很明顯的!

2.5 為了避免網路擁塞導致環路的發生，請在交換機上配置環路保護功能。

環路保護需要在根埠和AP埠配置.

配置指令碼

SW4:

dis stp brief

int g0/0/4
	stp loop-protection
int g0/0/3
	stp loop-protection
qu

先檢視哪些埠為AP埠

配置驗證

配置前:

配置後:

問題

1 無法成功驗證BPDU防護未開啟時的狀態

將一臺終端替換為交換機:

未開啟BPDU防護:

很遺憾, 我並不知道如何檢視埠是否還是邊緣埠, 只能通過上面的蠢方法去對比邊緣埠.

看起來依然是邊緣埠, 推測可能是交換機未傳送BPDU報文導致的.

這次開啟抓包, 併為SW6配置stp.

sy
sysname SW6
stp mode mstp

stp region-configuration
	region-name test
	revision-level 10
	instance 1 vlan 10 20
	instance 2 vlan 30 40
	active region-configuration
qu

再次斷開並連線, 依然是邊緣埠的恢復速度:

沒搞懂, 標記一個問題.