思科 Packet Tracer实验（二）：进阶网络配置与故障排查实战

1. VLAN划分实战让网络流量井井有条第一次在Packet Tracer里配置VLAN时我盯着那些闪烁的端口指示灯发懵——为什么PC1突然ping不通PC2了后来才发现是忘了配置Trunk端口。这种踩坑经历让我深刻理解到VLAN就像给办公楼分层不同部门VLAN之间需要专门的电梯Trunk才能互通。1.1 单交换机VLAN配置先拖入1台2960交换机和4台PC连接好线缆后别急着配IP。关键步骤在于Switchenable Switch#configure terminal Switch(config)#vlan 10 Switch(config-vlan)#name Sales Switch(config-vlan)#vlan 20 Switch(config-vlan)#name Finance这时候用show vlan brief命令能看到两个新生儿VLAN。接下来把PC1/PC2划入VLAN 10Switch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10重复操作把PC3/PC4划给VLAN 20后你会发现在仿真模式下相同VLAN的PC能互通跨VLAN的则显示红色警告。这就好比把销售部和财务部的文件柜上了不同的锁。1.2 跨交换机VLAN通信当我在实验室添加第二台交换机时发现VLAN信息居然没同步原来需要配置Trunk端口Switch(config)#interface fastEthernet 0/24 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan 10,20这里有个坑点老式交换机默认用ISL封装而新设备多用802.1Q。有次我忘记统一封装协议结果两台交换机就像说不同方言的人完全无法沟通。建议始终显式声明Switch(config-if)#switchport trunk encapsulation dot1q2. 路由协议配置OSPF动态路由实战静态路由就像手动记电话号码而OSPF则是自动同步的通讯录。在Packet Tracer里模拟这个场景特别直观——我常用3台路由器和2台PC搭建三角拓扑。2.1 基础OSPF配置先给每台路由器配置环回口模拟局域网Router(config)#interface loopback 0 Router(config-if)#ip address 192.168.1.1 255.255.255.0然后激活OSPF进程注意区域号要一致Router(config)#router ospf 1 Router(config-router)#network 192.168.1.0 0.0.0.255 area 0 Router(config-router)#network 10.0.12.0 0.0.0.3 area 0这里0.0.0.3是反掩码相当于CIDR中的/30。有次我错写成0.0.0.255结果邻居关系时断时续排查半天才发现是掩码错误导致路由泄露。2.2 验证与排错技巧当OSPF邻居无法建立时我习惯按这个顺序排查用show ip interface brief检查物理层状态show ip ospf neighbor看是否形成邻接关系debug ip ospf events观察握手过程曾经遇到个典型问题两台路由器始终卡在INIT状态。后来发现是MTU不匹配——一边是1500另一边因为配置过QoS变成了1492。通过这个案例我养成了个好习惯初始配置时就统一所有设备的MTU值。3. 网络故障模拟与排查Packet Tracer最实用的功能就是能故意制造故障来练手。我常设置这几种经典故障场景3.1 VLAN间通信故障当PC1能ping通PC2但无法访问PC3时按照这个流程排查检查交换机端口模式show interface fastEthernet 0/1 switchport验证Trunk配置show interface trunk查看路由器子接口配置Router(config)#interface gigabitEthernet 0/0.10 Router(config-subif)#encapsulation dot1Q 10 Router(config-subif)#ip address 192.168.10.1 255.255.255.0有次我忘记在路由器上配置ip routing命令导致所有VLAN间通信失败。这个隐藏开关让我意识到再复杂的故障可能都是某个基础配置被遗漏。3.2 OSPF路由黑洞模拟方法很简单在路由表中手动添加静态路由覆盖OSPF路由。这时候用show ip route会发现目标网络走的是错误路径。更隐蔽的情况是ACL过滤了OSPF的组播地址224.0.0.5可以用show access-list show ip ospf interface来确认。建议在复杂网络中都加上这条命令Router(config-router)#passive-interface default Router(config-router)#no passive-interface gigabitEthernet 0/0避免不必要的邻居关系消耗资源。4. 高级实验DHCP中继与端口安全4.1 跨VLAN的DHCP服务在路由器上配置DHCP池Router(config)#ip dhcp pool VLAN10 Router(dhcp-config)#network 192.168.10.0 255.255.255.0 Router(dhcp-config)#default-router 192.168.10.1然后在交换机连接路由器的接口启用中继Switch(config)#interface gigabitEthernet 1/0/1 Switch(config-if)#ip helper-address 10.0.0.1这里有个细节ip helper-address会转发8种UDP协议包括不常用的TFTP。如果网络中有其他TFTP服务器可能引发意外流量。更安全的做法是用ACL过滤Router(config)#access-list 100 permit udp any eq bootpc any eq bootps Router(config)#interface gigabitEthernet 0/0.10 Router(config-subif)#ip dhcp relay information option Router(config-subif)#ip dhcp relay information policy replace4.2 端口安全防护防止非法设备接入的配置Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 2 Switch(config-if)#switchport port-security violation restrict Switch(config-if)#switchport port-security mac-address sticky实测中发现三个易错点必须先设置switchport mode accessviolation模式推荐用restrict而非shutdown避免误触发导致断网旧设备可能需要先switchport port-security aging time 2才能生效有次公司内网ARP泛滥就是靠端口安全功能定位到那台中毒的打印机。现在我做实验都会刻意模拟这种场景先关闭安全配置观察现象再开启对比效果这种对比学习印象特别深刻。