网络拓扑图如下：根据图示连接设备。

在本次试验中，具体端口情况如上图数字标出。

核心交换机（core ）设置为s1或者SW1，汇聚层交换机（access）设置为s2或者SW2。

IP 地址分配：Router：e0：192.168.1.1Core：f0/1: 192.168.1.2Svi接口：Core vlan10: 172.16.10.254Vlan20: 172.16.20.254Vlan30: 172.16.30.254Access vlan10: 172.16.10.253Vlan20: 172.16.20.253Vlan30: 172.16.30.253服务器IP地址：192.168.30.1Office区域网段地址：PC1：192.168.10.1PC2：192.168.10.2路由器清空配置命令：enerase startup-configReload交换机清空配置命令：enerase startup-configdelete vlan.datReload加速命令：enconf tno ip domain lookupline con 0exec-timeout 0 0logging synhostname一、OFFICE 区域地址静态分配，防止OFFICE 网络发生ARP 攻击，不允许OFFICE 网段PC 互访；STUDENTS 区域主机输入正确的学号和密码后接入网络，自动获取地址，阻止STUDENTS网段地址发生ARP攻击；1、基本配置SW1的配置：SW1(config)#vtp domain cisco //SW1配置vtp，模式为server，SW2模式为client SW1(config)#vtp password sovandSW1(config)#vtp mode serverSW1(config)#vlan 10SW1(config)#int range f0/3,f0/4 //链路捆绑SW1(config-if-range)#Channel-protocol pagpSW1(config-if-range)#Channel-group 10 mode onSW1(config)#int port-channel 10 //链路设置为trunk模式，封装802.1q协议，三层交换机默认没有封装该协议SW1(config-if)#switchport trunk encapsulation dot1qSW1(config-if)#switchport mode trunkSW2配置：SW2(config)#vtp domain ciscoSW2(config)#vtp password sovandSW2(config)#vtp mode clientSW2(config)#int range f0/3,f0/4SW2(config-if-range)#Channel-protocol pagpSW2(config-if-range)#Channel-group 10 mode onCreating a port-channel interface Port-channel 10SW2(config)#int port-channel 10SW2(config-if)#switchport trunk encapsulation dot1qSW2(config-if)#switchport mode trunkSW2(config)#int f0/1 //把f0/1,f0/2划入vlan10SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 10SW2(config-if)#int f0/2SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 102、vlan aclOffice区域禁止PC机互访：使用show int e0/0命令查看mac地址SW2(config)#mac access-list extended macaclSW2(config-ext-macl)#permit host 0007.8562.9de0 host 0007.8562.9c20 //要禁止双向通信SW2(config-ext-macl)#permit host 0007.8562.9c20 host 0007.8562.9de0SW2(config)#vlan access-map vmap 10 //禁止pc间的通信SW2(config-access-map)#match mac add macaclSW2(config-access-map)#action dropSW2(config)#vlan access-map vmap 20 //对其他数据放行，不然pc机无法ping通svi口、网关SW2(config-access-map)#action forwardSW2(config)#vlan filter vmap vlan-list 10未使用VLAN ACL时pc1可以ping通pc2，如下图：使用VLAN ACL时pc1可以无法ping通pc2，如下图：3、Office区域静态配置ip地址时采用的ARP防护：配置如下：SW2(config)#ip arp inspection vlan 10SW2(config)#arp access-list arplistSW2(config-arp-nacl)#permit ip host 192.168.10.1 mac host 0007.8562.9de0 //ip地址与mac地址对应表SW2(config-arp-nacl)#permit ip host 192.168.10.2 mac host 0007.8562.9c20SW2(config-arp-nacl)#ip arp inspection filter arplist vlan 10SW2(config)#int port-channel 10SW2(config-if)#ip arp inspection trust注意：配置静态arp防护（用户主机静态配置地址，不是通过DHCP获取地址），需要新建ip与mac映射表，不然pc1无法ping通svi口4、OSPF与DHCP全网起OSPF协议，使pc1可以ping通路由器。

其实全网没有起OSPF协议，PC机也是可以ping通路由器，此处发生了ARP代理。

起OSPF是为了DHCP地址的分配。

SW1(config)#ip routing //打开路由功能SW1(config)#int f0/1SW1(config-if)#no switchport //把二层接口转换为三层接口SW1(config-if)#ip add 192.168.1.2 255.255.255.0SW1(config-if)#no shutdownSW1(config-if)#int f0/2SW1(config-if)#no switchportSW1(config-if)#ip add 192.168.2.2 255.255.255.0SW1(config-if)#no shutSW1(config)#router ospf 1SW1(config-router)#netSW1(config-router)#network 192.168.1.0 0.0.0.255 a 0SW1(config-router)#net 192.168.10.254 0.0.0.0 a 0R(config)#router ospf 1R(config-router)#net 192.168.1.0 0.0.0.255 a 0配置DHCP：Router(config)#ip dhcp 1Router(dhcp-config)#network 192.168.10.0 255.255.255.0Router(dhcp-config)#default-router 192.168.10.254 //返回地址，本环境中指向vlan 20的svi接口地址。

Router(dhcp-config)#dns-server 8.8.8.8Router(dhcp-config)#exitRouter(config)#ip dhcp excluded-address 192.168.10.1 //去除一些地址Router(config)#ip route 0.0.0.0 0.0.0.0 e0然后在sw1中配置DHCP代理，代理下一跳地址为DHCP入接口，进入vlan 20配置svi接口，地址为192.168.20.254注意：Router(config)#ip route 0.0.0.0 0.0.0.0 e0 //如果不想写这条，就必须要把关掉路由功能，不然pc机无法获取ip地址关掉路由功能命令为no ip routing.然后在pc上进入接口，设置为DHCP获取地址,命令如下：int f0/1ip add dhcp查看结果：5、Student区域ARP防护：SW2配置如下：ip dhcp snooping //开启DHCP侦听ip dhcp snooping vlan 20int range f0/1,f0/2ip dhcp snooping limit rate 5 //限制DHCP请求包数量，此处为5ip verify source port-securityexitint port-channel 10ip dhcp snooping trust //设置信任端口然后修改pc1的mac地址，就可以发现端口down状态，修改mac地址命令如下：pc1(config)#int e0/0pc1(config-if)#mac-address 0007.8562.9de36、AAA认证：服务器地址为：192.168.30.1s1(config-vlan)#int vlan 30 //创建vlan 30的原因：在sw1、sw2中配置svi口，服务器的地址为192.168.30.1，使他们位于同一个网段。

这样pc机发出的认证数据包就会被发往服务器s1(config-if)#ip add 192.168.30.254 255.255.255.0s1(config)#int f0/5s1(config-if)#switchport mode accesss1(config-if)#switchport access vlan 30s2(config)#int vlan 30s2(config-if)#ip add 192.168.30.253 255.255.255.0s2(config-if)#exits2(config)#aaa new-model //AAA配置位于接入层交换机，所以核心交换机sw1连接服务器的接口不需要配置IP地址s2(config)#aaa authentication login vtylogin group radiuss2(config)#radius-server host 192.168.30.1 auth-port 1812 accts2(config)#$er host 192.168.30.1 auth-port 1812 acct-port 1813 key cisco //cisco为秘钥s2(config)#line vty 0 4 //用户认证时使用虚拟链路s2(config-line)#login authentication vtylogins2(config-line)#exits2(config)#dot1x system-auth-controls2(config)#int f0/1 //进入端口，把端口配置为认证模式，即只有认证成功端口才会打开s2(config-if)#authentication port-control autos2(config-if)#dot1x pae authenticator在sw2上验证一些账号密码是否可用，如：123123 与aaa 111，结果如下：二、在交换机上开启生成树安全机制，接入层交换机不能成为根，接入接口快速收敛；当OFFICE区域接口接入交换机后进入正常的生成树状态。