<4D F736F F D FD6B0D2B5BCBCC4DCB4F3C8FCB8B4CFB0D7CAC1CF5FB9E3D3F2CDF8B2BFB7D65F5FD5D4B6ABEABF2E646F63>

Transcription

1 职业技能大赛复习资料 有效期至 : 年月日

2 目录 职业技能大赛知识点 - 广域网技术... 3 职业技能大赛复习资料 - 广域网技术... 4 网络基础及网络管理... 4 知识点 : 网管型交换机 路由器管理... 4 交换技术类... 7 知识点 : 跨交换机实现互通... 7 知识点 :802.3ad 链路聚合概念与配置 知识点 :STP/RSTP 技术 路由技术类 知识点 : 三层交换机路由功能配置 知识点 :SVI 实现 VLAN 间路由 知识点 : 静态路由应用 知识点 :RIP 路由协议应用 知识点 :OSPF 路由协议应用 知识点 : 路由重分布 知识点 : 策略路由 局域网安全 知识点 : 交换机端口安全 知识点 : 基于 IP 的 ACL 应用 广域网协议 知识点 :PAP 及 CHAP 的区别及配置 其他及应用 知识点 :NAT( 网络地址转换 ) 技术的应用 综合实验题 实验题目... 错误 未定义书签 2

3 职业技能大赛知识点 - 广域网技术 知识点类别 知识点 掌握程度 重难点 双绞线序, 制作双绞线 掌握 网络基础及网络管理 网管型交换机 路由器管理 掌握 交换机路由器远程登录配置 掌握 跨交换机实现 VLAN 互通 掌握 Trunk 口的运行 VLAN 列表 了解 Native VLAN 的概念与配置 了解 802.3ad 链路聚合概念与配置 掌握 交换技术 STP( 生成树协议 ) 技术 熟悉 难点 RSTP( 快速生成树协议 ) 技术 熟悉 难点 MSTP( 多生成树协议 ) 技术 了解 难点 三层交换机路由功能配置 掌握 重点 SVI 实现 VLAN 间路由 掌握 单臂路由实现 VLAN 间路由 了解 静态路由应用 掌握 重点 路由技术 默认路由应用 掌握 重点 RIP 路由协议应用 熟悉 重点 OSPF 路由协议应用 了解 难点 路由重发布 了解 策略路由 了解 难点 局域网安全 交换机端口安全 掌握 基于 IP 的 ACL 应用 熟悉 重点 难点 广域网协议 PPP( 点对点协议 ) 协议的启用 掌握 重点 PAP 及 CHAP 的区别及配置 HDLC 协议的启用 熟悉 NAT( 网络地址转换 ) 技术的应用 熟悉 重点 难点 其他及应用 网页 网站制作 ( 职业技能大赛考查范围内, 但与网络无关 ) 掌握 重点 3

4 职业技能大赛复习资料 - 广域网技术 网络基础及网络管理 知识点 : 网管型交换机 路由器管理 交换机路由器远程登录配置实验一 实验名称 使用命令行界面 实验目的 掌握交换机命令行各种操作模式的区别, 以及模式之间的切换 背景描述 你是某公司新进的网管, 公司要求你熟悉网络产品, 公司采用全系列锐捷网络产品, 首先要求你登录交换机, 了解 掌握交换机的命令行操作 实现功能 熟练掌握交换机的命令行操作模式 实验设备 S2126G(1 台 ) 实验拓扑 SwitchA C l 图 1 实验步骤 交换机命令行操作模式的进入 switch>enable switch# switch#configure terminal switch(config)# switch(config)#interface fastethernet 0/5 switch(config-if) switch(config-if)#exit switch(config)# switch(config-if)#end switch# 交换机命令行基本功能 帮助信息 进入特权模式 进入全局配置模式 进入交换机 F0/5 的接口模式 退回到上一级操作模式 直接退回到特权模式 4

5 switch>? 显示当前模式下所有可执行的命令 disable Turn off privileged commands enable Turn on privileged commands exit Exit from the EXEC help Description of the interactive help system ping Send echo messages rcommand Run command on remote switch show Show running system information telnet Open a telnet connection traceroute Trace route to destination switch#co? 显示当前模式下所有以 co 开头的命令 configure copy switch#copy? 显示 copy 命令后可执行的参数 flash: Copy from flash: file system running-config Copy from current system configuration startup-config Copy from startup configuration tftp: Copy from tftp: file system xmodem Copy from xmodem file syste 命令的简写 switch#conf ter 交换机命令行支持命令的简写, 该命令代表 configure terminal switch(config)# 命令的自动补齐 switch#con ( 按键盘的 TAB 键自动补齐 configure) 交换机支持命令的自动补齐 switch#configure 命令的快捷键功能 switch(config-if)# ^Z Ctrl+Z 退回到特权模式 switch# switch#ping sending 5, 100-byte ICMP Echos to , timeout is 2000 milliseconds.. switch# 例如上文中在交换机特权模式下执行 ping 命令, 发现不能 ping 通目标地址, 交换机默认情况下需要发送 5 个数据包, 如不想等到 5 个数据包均不能 ping 通目标地址的反馈出现, 可在数据包未发出 5 个之前通过执行 Ctrl+C 终止当前操作 实验二 实验名称 使用命令行界面 实验目的 5

6 掌握路由器命令行各种操作模式的区别, 以及模式之间的切换 背景描述 你是某公司新进的网管, 公司要求你熟悉网络产品, 公司采用全系列锐捷网络产品, 首先要求你登录路由器, 了解 掌握路由器的命令行操作 实现功能 熟练掌握路由器的命令行操作模式 实验设备 R1762 路由器 (1 台 ) 实验拓扑 RouterA 图 2 实验步骤 路由器命令行操作模式的进入 Red-Giant>enable 进入特权模式 Red-Giant# Red-Giant#configure terminal 进入全局配置模式 Red-Giant(config)# Red-Giant(config)#interface fastethernet 1/0 进入路由器 F1/0 的接口模式 Red-Giant(config-if) Red-Giant(config-if)#exit 退回到上一级操作模式 Red-Giant(config)# Red-Giant(config-if)#end 直接退回到特权模式 Red-Giant# 路由器命令行基本功能 帮助信息 Red-Giant>? 显示当前模式下所有可执行的命令 Exec commands: <1-99> Session number to resume disable Turn off privileged commands disconnect Disconnect an existing network connection enable Turn on privileged commands exit Exit from the EXEC help Description of the interactive help system ping Send echo messages show Show running system information start-terminal-service Start terminal service telnet Open a telnet connection traceroute Trace route to destination Red-Giant#co? 显示当前模式下所有以 co 开头的命令 configure copy Red-Giant#copy? 显示 copy 命令后可执行的参数 6

7 flash: Copy from flash: file system running-config Copy from current system configuration startup-config Copy from startup configuration tftp: Copy from tftp: file system xmodem Copy from xmodem file syste 命令的简写 Red-Giant#conf ter 路由器命令行支持命令的简写, 该命令代表 configure terminal Red-Giant(config)# 命令的自动补齐 Red-Giant#con ( 按键盘的 Tab 键自动补齐 configure), 路由器支持命令的自动补齐 Red-Giant#configure 命令的快捷键功能 Red-Giant(config-if)# ^Z ctrl+z 退回到特权模式 Red-Giant# Red-Giant#ping ping 一个不存在的地址, 命令完成需要一定的时间, 利用 ctrl+c 终止未执行完成的命令 Sending 5, 100-byte ICMP Echos to , timeout is 2000 milliseconds.. Red-Giant# 例如上文中在交换机特权模式下执行 ping 命令, 发现不能 ping 通目标地址, 交换机默认情况下需要发送 5 个数据包, 若不想等到 5 个数据包均不能 ping 通目标地址的反馈出现, 可在数据包未发出 5 个之前通过执行 Ctrl+C 终止当前操作 交换技术类 知识点 : 跨交换机实现互通 实验名称 跨交换机实现 VLAN 实验目的 理解跨交换机之间 VLAN 的特点 背景描述 假设某企业有两个主要部门 : 销售部和技术部, 其中销售部门的个人计算机系统分散连接, 他们之间需要相互进行通信, 但为了数据安全起见, 销售部和技术部需要进行相互隔离, 现要在交换机上做适当配置来实现这一目标 实现功能 使在同一 VLAN 里的计算机系统能跨交换机进行相互通信, 而在不同 VLAN 里的计算机系统不能进行相互通信 实验设备 7

8 S2126G( 两台 ) 主机(3 台 ) 直连线(4 条 ) 实验拓扑 图 3 实验时, 按照拓扑图进行网络的连接, 注意主机和交换机连接的端口 实验步骤 在交换机 SwitchA 上创建 Vlan 10, 并将 0/5 端口划分到 Vlan 10 中 SwitchA#configure terminal SwitchA(config)# vlan 10 SwitchA(config-vlan)# name sales SwitchA(config-vlan)#exit SwitchA(config)#interface fastethernet0/5 SwitchA(config-if)#switchport access vlan 10 验证测试 : 验证已创建了 Vlan 10, 并将 0/5 端口已划分到 Vlan 10 中 SwitchA#show vlan id 10 查看某一个 VLAN 的信息 VLAN Name Status Ports sales active Fa0/5 在交换机 switcha 上创建 Vlan 20, 并将 0/15 端口划分到 Vlan 20 中 SwitchA(config)# vlan 20 SwitchA(config-vlan)# name technical SwitchA(config-vlan)#exit SwitchA(config)#interface fastethernet0/15 SwitchA(config-if)#switchport access vlan 20 验证测试 : 验证已创建了 Vlan 20, 并将 0/15 端口已划分到 Vlan 20 中 SwitchA#show vlan id 20 VLAN Name Status Ports technical active Fa0/15 把交换机 SwitchA 与交换机 SwitchB 相连的端口 ( 假设为 0/24 端口 ) 定义为 tag vlan 模式 SwitchA(config)#interface fastethernet0/24 SwitchA(config-if)#switchport mode trunk 将 fastethernet 0/24 端口设为 tag vlan 模式验证测试 : 验证 fastethernet 0/24 端口已被设置为 tag vlan 模式 SwitchA#show interfaces fastethernet0/24 switchport Interface Switchport Mode Access Native Protected VLAN lists

9 Fa0/24 Enabled Trunk 1 1 Disabled All 注 : 交换机的 Trunk 接口默认情况下支持所有 VLAN 在交换机 SwitchB 上创建 Vlan 10, 并将 0/5 端口划分到 Vlan 10 中 SwitchB # configure terminal SwitchB(config)# vlan 10 SwitchB(config-vlan)# name sales SwitchB(config-vlan)#exit SwitchB(config)#interface fastethernet0/5 SwitchB(config-if)#switchport access vlan 10 验证测试 : 验证已在 SwitchB 上创建了 Vlan 10, 并将 0/5 端口已划分到 Vlan 10 中 SwitchB#show vlan id 10 VLAN Name Status Ports sales active Fa0/5 把交换机 SwitchB 与交换机 SwitchA 相连的端口 ( 假设为 0/24 端口 ) 定义为 tag vlan 模式 SwitchB(config)#interface fastethernet0/24 SwitchB(config-if)#switchport mode trunk 验证测试 : 验证 fastethernet 0/24 端口已被设置为 tag vlan 模式 SwitchB#show interfaces fastethernet 0/24 switchport Interface Switchport Mode Access Native Protected VLAN lists Fa0/24 Enabled Trunk 1 1 Disabled All 验证 PC1 与 PC3 能互相通信, 但 PC2 与 PC3 不能互相通信 C:\>ping 在 PC1 的命令行方式下验证能 Ping 通 PC3 Pinging with 32 bytes of data: Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms C:\>ping 在 PC2 的命令行方式下验证不能 Ping 通 PC3 Pinging with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for : Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 9

10 知识点 :802.3ad 链路聚合概念与配置 实验名称 端口聚合提供冗余备份链路 实验目的 理解链路聚合的配置及原理 背景描述 假设某企业采用两台交换机组成一个局域网, 由于很多数据流量是跨过交换机进行转发的, 因此需要提高交换机之间的传输带宽, 并实现链路冗余备份, 为此网络管理员在两台交换机之间采用两根网线互连, 并将相应的两个端口聚合为一个逻辑端口, 现要在交换机上做适当配置来实现这一目标 实现功能 增加交换机之间的传输带宽, 并实现链路冗余备份 实验设备 S2126G( 两台 ) PC( 两台 ) 直连线(4 条 ) 实验拓扑 图 4 按照拓扑图连接网络时注意, 两台交换机都配置完端口聚合后, 再将两台交换机连接起来 如果先连线再配置会造成广播风暴, 影响交换机的正常工作 实验步骤 交换机 A 的基本配置 SwitchA # configure terminal SwitchA(config)# vlan 10 SwitchA(config-vlan)# name sales SwitchA(config-vlan)#exit SwitchA(config)#interface fastethernet0/5 SwitchA(config-if)#switchport access vlan 10 验证测试 : 验证已创建了 Vlan 10, 并将 0/5 端口已划分到 Vlan 10 中 SwitchA#show vlan id 10 VLAN Name Status Ports sales active Fa0/5 在交换机 SwitchA 上配置聚合端口 SwitchA(config)#interface aggregateport 1 创建聚合接口 AG1 SwitchA(config-if)#switchport mode trunk 配置 AG 模式为 trunk SwitchA(config-if)#exit 10

11 SwitchA(config)#interface range fastethernet 0/1-2 进入接口 0/1 和 0/2 SwitchA(config-if-range)#port-group 1 配置接口 0/1 和 0/2 属于 AG1 验证测试 : 验证接口 fastethernet 0/1 和 0/2 属于 AG1 SwitchA#show aggregateport 1 summary 查看端口聚合组 1 的信息 AggregatePort MaxPorts SwitchPort Mode Ports Ag1 8 Enabled Trunk Fa0/1, Fa0/2 注 :AG1, 最大支持端口数为 8 个, 当前 VLAN 模式为 Trunk, 组成员有 F0/1 F0/2 交换机 B 的基本配置 SwitchB#configure terminal SwitchB(config)# vlan 10 SwitchB(config-vlan)# name sales SwitchB(config-vlan)#exit SwitchB(config)#interface fastethernet0/5 SwitchB(config-if)#switchport access vlan 10 验证测试 : 验证已在 SwitchB 上创建了 Vlan 10, 并将 0/5 端口已划分到 Vlan 10 中 SwitchB#show vlan id 10 VLAN Name Status Ports sales active Fa0/5 在交换机 SwitchB 上配置聚合端口 SwitchB(config)#interface aggregateport 1 创建聚合接口 AG1 SwitchB(config-if)#switchport mode trunk 配置 AG 模式为 trunk SwitchB(config-if)#exit SwitchB(config)#interface range fastethernet 0/1-2 进入接口 0/1 和 0/2 SwitchB(config-if-range)#port-group 1 配置接口 0/1 和 0/2 属于 AG1 验证测试 : 验证接口 fastethernet 0/1 和 0/2 属于 AG1 SwitchB#show aggregateport 1 summary AggregatePort MaxPorts SwitchPort Mode Ports Ag1 8 Enabled Trunk Fa0/1, Fa0/2 验证当交换机之间的一条链路断开时,PC1 与 PC2 仍能互相通信 C:\>ping t 在 PC1 的命令行方式下验证能 Ping 通 PC3 Pinging with 32 bytes of data: Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 11

12 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 知识点 :STP/RSTP 技术 实验名称 快速生成树协议 RSTP 的配置 实验目的 理解快速生成树协议 RSTP 的配置及原理 背景描述 某学校为了开展计算机教学和网络办公, 建立了一个计算机教室和一个校办公区, 这两处的计算机网络通过两台交换机互连组成内部校园网, 为了提高网络的可靠性, 网络管理员用 2 条链路将交换机互连, 现要在交换机上做适当配置, 使网络避免环路 本实验以两台 S2126G 交换机为例, 两台交换机分别命名为 SwitchA SwitchB PC1 与 PC2 在同一个网段, 假设 IP 地址分别为 , , 网络掩码为 实现功能 使网络在有冗余链路的情况下避免环路的产生, 避免广播风暴等 实验设备 S2126G( 两台 ) 主机( 两台 ) 直连线(4 条 ) 实验拓扑 SwitchA SwitchB F0/1 F0/1 F0/3 F0/2 F0/2 F0/3 PC1 PC2 图 5 按照拓扑图连接网络时注意, 两台交换机都配置快速生成树协议后, 再将两台交换机连接起来 如果先连线再配置会造成广播风暴, 影响交换机的正常工作 实验步骤 交换机 A 的基本配置 12

13 Switch#configure terminal Switch(config)#hostname switcha switcha(config)#vlan 10 switcha(config-vlan)#name slaes switcha(config-vlan)#exit switcha(config)#interface fastethernet0/3 switcha(config-if)#switchport access vlan 10 switcha(config-if)#exit switcha(config)#interface range fastethernet 0/1-2 switcha(config-if-range)#switchport mode trunk 交换机 B 上的基本配置 Switch#configure terminal Switch(config)#hostname switchb switchb(config)#vlan 10 switchb(config-vlan)#name slaes switchb(config-vlan)#exit switchb(config)#interface fastethernet0/3 switchb(config-if)#switchport access vlan 10 switchb(config-if)#exit switchb(config)#interface range fastethernet 0/1-2 switchb(config-if-range)#switchport mode trunk 配置快速生成树协议 SwitchA#configure terminal 进入全局配置模式 SwitchA(config)#spanning-tree 开启生成树协议 SwitchA(config)#spanning-tree mode rstp 指定生成树协议的类型为 RSTP SwitchB#configure terminal 进入全局配置模式 SwitchB(config)#spanning-tree 开启生成树协议 SwitchB(config)#spanning-tree mode rstp 指定生成树协议的类型为 RSTP 验证测试 : 验证快速生成树协议已经开启 SwitchA#show spanning-tree 查看生成树的配置信息 StpVersion : RSTP SysStpStatus : Enabled BaseNumPorts : 24 MaxAge : 20 HelloTime : 2 ForwardDelay : 15 BridgeMaxAge : 20 BridgeHelloTime : 2 BridgeForwardDelay : 15 MaxHops : 20 TxHoldCount : 3 PathCostMethod : Long BPDUGuard : Disabled BPDUFilter : Disabled 生成树协议的版本 生成树协议运行状态,disable 为关闭状态 13

14 BridgeAddr : 00d0.f8ef.9e89 Priority : 查看交换机的优先级 TimeSinceTopologyChange : 0d:0h:11m:39s TopologyChanges : 0 DesignatedRoot : D0F8EF9E89 RootCost : 交换机到达根交换机的开销 RootPort : Fa0/1 查看交换机上的根端口 SwitchB#show spanning-tree 查看交换机 B 生成树的配置信息 StpVersion : RSTP 生成树协议的版本 SysStpStatus : Enabled 生成树协议运行状态,disable 为关闭状态 BaseNumPorts : 24 MaxAge : 20 HelloTime : 2 ForwardDelay : 15 BridgeMaxAge : 20 BridgeHelloTime : 2 BridgeForwardDelay : 15 MaxHops : 20 TxHoldCount : 3 PathCostMethod : Long BPDUGuard : Disabled BPDUFilter : Disabled BridgeAddr : 00d0.f8e0.9c81 Priority : 查看交换机的优先级 TimeSinceTopologyChange : 0d:0h:11m:39s TopologyChanges : 0 DesignatedRoot : D0F8EF9E89 RootCost: 0 交换机到达根交换机的开销,0 代表本交换机为根 RootPort: 0 查看交换机上的根端口,0 代表本交换机为根注 : 通过查看两台交换机的生成树信息发现,switchB 为根交换机,switchA Fa0/1 为根端口 设置交换机的优先级, 指定 switcha 为根交换机 SwitchA(config)#spanning-tree priority 4096 设置交换机 SwithA 的优先级为 4096 验证测试 : 验证交换机 SwithA 的优先级 SwitchA#show spanning-tree StpVersion : RSTP SysStpStatus : Enabled BaseNumPorts : 24 MaxAge : 20 HelloTime : 2 ForwardDelay : 15 BridgeMaxAge : 20 BridgeHelloTime : 2 14

15 BridgeForwardDelay : 15 MaxHops : 20 TxHoldCount : 3 PathCostMethod : Long BPDUGuard : Disabled BPDUFilter : Disabled BridgeAddr : 00d0.f8ef.9e89 Priority : 4096 查看交换机的优先级 TimeSinceTopologyChange : 0d:0h:13m:43s TopologyChanges : 0 DesignatedRoot : D0F8EF9E89 RootCost : 0 RootPort : 0 SwitchB#show spanning-tree 查看交换机 B 生成树的配置信息 StpVersion : RSTP 生成树协议的版本 SysStpStatus : Enabled 生成树协议的运行状态,disable 为关闭状态 BaseNumPorts : 24 MaxAge : 20 HelloTime : 2 ForwardDelay : 15 BridgeMaxAge : 20 BridgeHelloTime : 2 BridgeForwardDelay : 15 MaxHops : 20 TxHoldCount : 3 PathCostMethod : Long BPDUGuard : Disabled BPDUFilter : Disabled BridgeAddr : 00d0.f8e0.9c81 Priority : 查看交换机的优先级 TimeSinceTopologyChange : 0d:0h:11m:39s TopologyChanges : 0 DesignatedRoot : D0F8EF9E89 RootCost : 交换机到达根交换机的开销,0 代表本交换机为根 RootPort : Fa0/1 查看交换机上的根端口,0 代表本交换机为根验证测试 :A. 验证交换机 SwitchB 的端口 1 和端口 2 的状态 SwitchB#show spanning-tree interface fastethernet 0/1 显示 SwitchB 端口 fastthernet 0/1 的状态 PortAdminPortfast : Disabled PortOperPortfast : Disabled PortAdminLinkType : auto PortOperLinkType : point-to-point PortBPDUGuard: Disabled 15

16 PortBPDUFilter: Disabled PortState : forwarding SwitchB 的端口 fastthernet 0/1 处于转发 (forwarding) 状态 PortPriority : 128 PortDesignatedRoot : D0F8EF9E89 PortDesignatedCost : 0 PortDesignatedBridge : D0F8EF9E89 PortDesignatedPort : 8001 PortForwardTransitions : 3 PortAdminPathCost : 0 PortOperPathCost : PortRole : rootport 查看端口角色为根端口 SwitchB#show spanning-tree interface fastethernet 0/2 显示 SwitchB 的端口 fastthernet 0/2 的状态 PortAdminPortfast : Disabled PortOperPortfast : Disabled PortAdminLinkType : auto PortOperLinkType : point-to-point PortBPDUGuard: Disabled PortBPDUFilter: Disabled PortState : discarding SwitchB 的端口 fastthernet 0/2 处于阻塞 (discarding) 状态 PortPriority : 128 PortDesignatedRoot : D0F8EF9E89 PortDesignatedCost : PortDesignatedBridge : D0F8EF9D09 PortDesignatedPort : 8002 PortForwardTransitions : 3 PortAdminPathCost : 0 PortOperPathCost : PortRole : alternateport switchb 的 F0/2 端口为根端口的替换端口验证测试 :B. 如果 SwitchA 与 SwitchB 的端口 F0/1 之间的链路 down 掉, 验证交换机 SwitchB 的端口 2 的状态, 并观察状态转换时间 SwitchB#show spanning-tree interface fastethernet 0/2 PortAdminPortfast : Disabled PortOperPortfast : Disabled PortAdminLinkType : auto PortOperLinkType : point-to-point PortBPDUGuard: Disabled PortBPDUFilter: Disabled PortState : forwarding SwitchB 的端口 fastthernet 0/2 从阻塞 (discarding) 状态转换到转发 (forwarding) 状态, 这说明生成树协议此时启用了原先处于阻塞状态的冗余链路 状态转换时间大约 2 秒 16

17 PortPriority : 128 PortDesignatedRoot : D0F8EF9E89 PortDesignatedCost : PortDesignatedBridge : D0F8FE1E49 PortDesignatedPort : 8002 PortForwardTransitions : 8 PortAdminPathCost : 0 PortOperPathCost : PortRole : rootport 验证测试 :C. 如果 SwitchA 与 SwitchB 之间的一条链路 down 掉 ( 如拔掉网线 ), 验证交换机 PC1 与 PC2 仍能互相 ping 通, 并观察 ping 的丢包情况 以下为从 PC1 ping PC2 的结果 ( 注 :PC1 的 IP 地址为 ,PC2 的 IP 地址为 ) 图 6 C:\>ping t 从主机 PC1 ping PC2( 用连续 ping), 然后拔掉 SwitchA 与 SwitchB 的端口 F0/1 之间的连线, 观察丢包情况 显示结果如图 图 7 以上结果显示丢包数为一个 17

18 路由技术类 知识点 : 三层交换机路由功能配置 实验名称 三层交换机端口配置 实验目的 配置开启三层交换机的三层功能, 实现路由作用 背景描述 公司现有 1 台三层交换机, 要求你进行测试, 该交换机的三层功能是否工作正常 实现功能 开启三层交换机物理端口的路由功能 实验设备 S 或 S (1 台 ), 直连线 (1 条 ) 实验拓扑 S /24 F0/ /24 NIC console PCA 图 8 实验步骤 开启三层交换机的路由功能 Switch>enable Switch#configure terminal Switch(config)#hostname S S (config)#ip routing 开启三层交换机的路由功能配置三层交换机端口的路由功能 S (config)#interface fastethernet 0/5 S (config-if)#no switchport 开启端口的三层路由功能 S (config-if)#ip address 给端口配置 IP 地址 S (config-if)#no shutdown S (config-if)#end 验证 测试配置 18

19 S3550#show ip interface 查看接口状态信息 Interface : Fa0/5 Description : FastEthernet100BaseTX 0/5 OperStatus : up 接口状态是 UP ManagementStatus : Enabled Primary Internet address: /24 Broadcast address : PhysAddress : 00d0.f8ff.bd43 S3550#show interfaces f0/5 查看接口状态信息 Interface : FastEthernet100BaseTX 0/5 Description : AdminStatus : up 接口状态是 UP OperStatus : up Medium-type : copper Hardware : 10/100BaseTX Mtu : 1500 LastChange : 0d:0h:32m:49s AdminDuplex : Auto OperDuplex : Unknown AdminSpeed : Auto OperSpeed : Unknown FlowControlAdminStatus : Off FlowControlOperStatus : Off Priority : 0 Broadcast blocked :DISABLE Unknown multicast blocked :DISABLE Unknown unicast blocked :DISABLE ARP Timeout : 3600 sec Primary Internet address: /24 PhysAddress : 00d0.f8ff.bd43 ManagementStatus:Enabled Broadcast address : 主机测试 : 将 PC1 的 IP 地址设为 /24, 在 PC1 上 ping ping Pinging with 32 bytes of data: Reply from : bytes=32 time<1ms TTL=64 Reply from : bytes=32 time<1ms TTL=64 Reply from : bytes=32 time<1ms TTL=64 Reply from : bytes=32 time<1ms TTL=64 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 19

20 知识点 :SVI 实现 VLAN 间路由 实验名称 VLAN/802.1Q-VLAN 间通信 实验目的 通过三层交换机实现 VLAN 间互相通信 背景描述 假设某企业有两个主要部门 : 销售部和技术部, 其中销售部门的个人计算机系统分散连接在两台交换机上, 他们之间需要相互进行通信, 销售部和技术部也需要进行相互通信, 现要在交换机上做适当配置来实现这一目标 实现功能 使在同一 VLAN 里的计算机系统能跨交换机进行相互通信, 而在不同 VLAN 里的计算机系统也能进行相互通信 实验设备 S2126G(1 台 ) S (1 台 ) 直连线(3 条 ) 实验拓扑 图 9 注 : 先连接线缆, 再进行配置, 注意连接线缆的接口编号 SwitchA 为三层交换机 实验步骤 在交换机 SwitchA 上创建 Vlan 10, 并将 0/5 端口划分到 Vlan 10 中 SwitchA # configure terminal SwitchA(config)# vlan 10 SwitchA(config-vlan)# name sales SwitchA(config-vlan)#exit SwitchA(config)#interface fastethernet 0/5 SwitchA(config-if)#switchport access vlan 10 switcha(config-if)#exit SwitchA(config)# vlan 20 SwitchA(config-vlan)# name technical SwitchA(config-vlan)#exit SwitchA(config)#interface fastethernet 0/15 SwitchA(config-if)#switchport access vlan 20 把交换机 SwitchA 与 SwitchB 相连端口 ( 假设为 0/24 端口 ) 定义为 tag vlan 模式 SwitchA(config)#interface fastethernet 0/24 进入接口配置模式 20

21 SwitchA(config-if)#switchport mode trunk 将 fastethernet 0/24 端口设为 tag vlan 模式验证测试 : 验证 fastethernet 0/24 端口已被设置为 tag vlan 模式 SwitchA#show interfaces fastethernet 0/24 switchport Interface Switchport Mode Access Native Protected VLAN lists Fa0/24 Enabled Trunk 1 1 Disabled All 在交换机 SwitchB 上创建 Vlan 10, 并将 0/5 端口划分到 Vlan 10 中 SwitchB # configure terminal SwitchB(config)# vlan 10 SwitchB(config-vlan)# name sales SwitchB(config-vlan)#exit SwitchB(config)#interface fastethernet 0/5 SwitchB(config-if)#switchport access vlan 10 把交换机 SwitchB 与 SwitchA 相连端口 ( 假设为 0/24 端口 ) 定义为 tag vlan 模式 SwitchB(config)#interface fastethernet 0/24 SwitchB(config-if)#switchport mode trunk 验证测试 : 验证 fastethernet 0/24 端口已被设置为 tag vlan 模式 SwitchB#show interfaces fastethernet 0/24 switchport Interface Switchport Mode Access Native Protected VLAN lists Fa0/24 Enabled Trunk 1 1 Disabled All 验证 PC1 与 PC3 能互相通信, 但 PC2 与 PC3 不能互相通信 C:\>ping 在 PC1 的命令行方式下验证能 Ping 通 PC3 Pinging with 32 bytes of data: Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Reply from : bytes=32 time<10ms TTL=128 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms C:\>ping 在 PC2 的命令行方式下验证不能 Ping 通 PC3 Pinging with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for : Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 设置三层交换机 VLAN 间通信 21

22 SwitchA(config)# interface vlan 10 创建虚拟接口 vlan 10 SwitchA(config-if)#ip address 配置虚拟接口 vlan 10 的地址为 SwitchA(config-if)#no shutdown 开启端口 SwitchA(config-if)#exit SwitchA(config)# int vlan 20 创建虚拟接口 vlan 20 SwitchA(config-if)#ip address SwitchA(config-if)#no shutdown 开启端口 配置虚拟接口 vlan 20 的地址为 验证测试 : 查看 S3550 路由接口的状态 switcha#show ip interface 查看 IP 接口的状态 Interface : VL10 Description : Vlan 10 OperStatus : UP ManagementStatus : Enabled Primary Internet address: /24 Broadcast address : PhysAddress : 00d0.f8ff.8ab5 Interface : VL20 Description : Vlan 20 OperStatus : UP ManagementStatus : Enabled Primary Internet address: /24 Broadcast address : PhysAddress : 00d0.f8ff.8ab6 将 PC1 和 PC3 的默认网关设置为 , 将 PC2 的默认网关设置为 测试结果 : 不同 VLAN 内的主机可以互相 PING 通 知识点 : 静态路由应用 实验名称 静态路由 实验目的 掌握通过静态路由方式实现网络的连通性 背景描述 假设校园网通过 1 台路由器连接到校园外的另 1 台路由器上, 现要在路由器上做适当配置, 实现校园网内部主机与校园网外部主机的相互通信 实现功能 实现网络的互连互通, 从而实现信息的共享和传递 实验设备 R1762( 两台 ) V35 线缆 (1 条 ) PC( 两台 ) 直连线或交叉线(2 条 ) 实验拓扑 22

23 图 10 注 : 普通路由器和主机直连时, 需要使用交叉线, 在 R1762 的以太网接口支持 MDI/MDIX, 使用直连线也可以连通 实验步骤 在路由器 Router1 上配置接口的 IP 地址和串口上的时钟频率 Router1(config)# interface fastethernet 1/0 Router1(config-if)# ip address Router1(config-if)# no shutdown Router1(config)# interface serial 1/2 Router1(config-if)# ip address Router1(config-if)#clock rate 配置 Router1 的时钟频率 (DCE) Router1(config)# no shutdown 验证测试 : 验证路由器接口的配置 Router1#show ip interface brief Interface IP-Address(Pri) OK? Status serial 1/ /24 YES UP serial 1/3 no address YES DOWN FastEthernet 1/ /24 YES UP FastEthernet 1/1 no address YES DOWN Null 0 no address YES UP 注意 : 查看接口的状态 Router1#show interface serial 1/2 serial 1/2 is UP, line protocol is UP 查看端口状态 Hardware is PQ2 SCC HDLC CONTROLLER serial Interface address is: /24 端口 ip 地址 MTU 1500 bytes, BW 2000 Kbit Encapsulation protocol is HDLC, loopback not set Keepalive interval is 10 sec, set Carrier delay is 2 sec RXload is 1,Txload is 1 Queueing strategy: WFQ 5 minutes input rate 17 bits/sec, 0 packets/sec 5 minutes output rate 17 bits/sec, 0 packets/sec 85 packets input, 1870 bytes, 0 no buffer Received 85 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort 84 packets output, 1848 bytes, 0 underruns 0 output errors, 0 collisions, 3 interface resets 1 carrier transitions V35 DCE cable 该端口为 DCE 端口 23

24 DCD=up DSR=up DTR=up RTS=up CTS=up 在路由器 Router1 上配置静态路由 Router1(config)#ip route 或 : Router1(config)#ip route serial 1/2 验证测试 : 验证 Router1 上的静态路由配置 Router1#show ip route Codes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 * - candidate default Gateway of last resort is no set C /24 is directly connected, FastEthernet 1/0 C /32 is local host. C /24 is directly connected, serial 1/2 C /32 is local host. S /24 [1/0] via 在路由器 Router2 上配置接口的 IP 地址和串口上的时钟频率 Router2(config)# interface fastethernet 1/0 Router2(config-if)# ip address Router2(config-if)# no shutdown Router2(config)# interface serial 1/2 Router2(config-if)# ip address Router2(config-if)# no shutdown 验证测试 : 验证路由器接口的配置 Router2#show ip interface brief Interface IP-Address(Pri) OK? Status serial 1/ /24 YES UP serial 1/3 no address YES DOWN FastEthernet 1/ /24 YES UP FastEthernet 1/1 no address YES DOWN Null 0 no address YES UP Router2# show interface serial 1/2 serial 1/2 is UP, line protocol is UP Hardware is PQ2 SCC HDLC CONTROLLER serial Interface address is: /24 MTU 1500 bytes, BW 2000 Kbit Encapsulation protocol is HDLC, loopback not set Keepalive interval is 10 sec, set Carrier delay is 2 sec RXload is 1,Txload is 1 Queueing strategy: WFQ 24

25 5 minutes input rate 53 bits/sec, 0 packets/sec 5 minutes output rate 53 bits/sec, 0 packets/sec 110 packets input, 2970 bytes, 0 no buffer Received 105 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort 111 packets output, 2992 bytes, 0 underruns 0 output errors, 0 collisions, 3 interface resets 1 carrier transitions V35 DTE cable DCD=up DSR=up DTR=up RTS=up CTS=up 在路由器 Router2 上配置静态路由 Router2(config)#ip route 或 : Router2(config)#ip route serial 1/2 验证测试 : 验证 Router2 上的静态路由配置 Router2#show ip route Codes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 * - candidate default Gateway of last resort is no set S /24 [1/0] via 配置的静态路由 C /24 is directly connected, serial 1/2 C /32 is local host. C /24 is directly connected, FastEthernet 1/0 C /32 is local host. 测试网络的互连互通性 C:\>ping 从 PC1 ping PC2 Pinging with 32 bytes of data: Reply from : bytes=32 time<10ms TTL=126 Reply from : bytes=32 time<10ms TTL=126 Reply from : bytes=32 time<10ms TTL=126 Reply from : bytes=32 time<10ms TTL=126 C:\>ping 从 PC2 ping PC1 Pinging with 32 bytes of data: Reply from : bytes=32 time<10ms TTL=126 Reply from : bytes=32 time<10ms TTL=126 Reply from : bytes=32 time<10ms TTL=126 Reply from : bytes=32 time<10ms TTL=126 25

26 知识点 :RIP 路由协议应用 实验名称 RIP V2 配置 实验目的 掌握在路由器上配置 RIP V2 背景描述 假设校园网通过 1 台三层交换机连到校园网出口路由器, 路由器再和校园外的另 1 台路由器连接, 现做适当配置, 实现校园网内部主机与校园网外部主机的相互通信 本实验以两台 R1762 路由器 1 台三层交换机为例 S3550 上划分有 VLAN10 和 VLAN50, 其中 VLAN10 用于连接 Router1,VLAN50 用于连接校园网主机 路由器分别命名为 Router1 和 Router2, 路由器之间通过串口采用 V35 DCE/DTE 电缆连接, DCE 端连接到 Router1(R1762) 上 PC1 的 IP 地址和缺省网关分别为 和 ,PC2 的 IP 地址和缺省网关分别为 和 , 网络掩码都是 实现功能 实现网络的互连互通, 从而实现信息的共享和传递 实验设备 S3550 交换机 (1 台 ) R1762 路由器 ( 两台 ) V35 线缆 (1 根 ) 直连线或交叉线(1 条 ) 实验拓扑 图 11 注 : 路由器和主机直连时, 需要使用交叉线, 在 R1762 的以太网接口支持 MDI/MDIX, 使用直连线也可以连通 R1 的 S1/2 为 DCE 接口 实验步骤 基本配置 三层交换机基本配置 switch#configure terminal switch(config)#hostname S3550 S3550(config)#vlan 10 S3550(config-vlan)#exit S3550(config)#vlan 50 S3550(config-vlan)#exit S3550(config)#interface f0/1 S3550(config-if)#switchport access vlan 10 26

27 S3550(config-if)#exit S3550(config)#interface f0/5 S3550(config-if)#switchport access vlan 50 S3550(config-if)#exit S3550(config)#interface vlan 10 创建 VLAN 虚接口, 并配置 IP S3550(config-if)#ip address S3550(config-if)#no shutdown S3550(config-if)#exit S3550(config)#interface vlan 50 创建 VLAN 虚接口, 并配置 IP S3550(config-if)#ip address S3550(config-if)#no shutdown S3550(config-if)#exit 验证测试 : S3550#show vlan VLAN Name Status Ports default active Fa0/2,Fa0/3 Fa0/4,Fa0/6,Fa0/7 Fa0/8,Fa0/9,Fa0/10 Fa0/11,Fa0/12,Fa0/13 Fa0/14,Fa0/15,Fa0/16 Fa0/17,Fa0/18,Fa0/19 Fa0/20,Fa0/21,Fa0/22 Fa0/23,Fa0/24 10 vlan10 active Fa0/1 50 vlan50 active Fa0/5 S3550#show ip interface Interface : VL10 Description : Vlan 10 OperStatus : UP ManagementStatus : Enabled Primary Internet address: /24 Broadcast address : PhysAddress : 00d0.f8ff.8ab5 Interface : VL50 Description : Vlan 50 OperStatus : UP ManagementStatus : Enabled Primary Internet address: /24 Broadcast address : PhysAddress : 00d0.f8ff.8ab6 路由器基本配置 Router1(config)# interface fastethernet 1/0 Router1(config-if)# ip address

28 Router1(config-if)# no shutdown Router1(config-if)#exit Router1(config)# interface serial 1/2 Router1(config-if)# ip address Router1(config-if)#clock rate Router1(config-if)# no shutdown Router2(config)# interface fastethernet 1/0 Router2(config-if)# ip address Router2(config-if)# no shutdown Router2(config-if)#exit Router2(config)# interface serial 1/2 Router2(config-if)# ip address Router2(config-if)# no shutdown 验证测试 : 验证路由器接口的配置和状态 Router1#show ip interface brief Interface IP-Address(Pri) OK? Status serial 1/ /24 YES UP serial 1/3 no address YES DOWN FastEthernet 1/ /24 YES UP FastEthernet 1/1 no address YES DOWN Null 0 no address YES UP Router2#show ip interface brief Interface IP-Address(Pri) OK? Status serial 1/ /24 YES UP serial 1/3 no address YES DOWN FastEthernet 1/ /24 YES UP FastEthernet 1/1 no address YES DOWN Null 0 no address YES UP 配置 RIP v2 路由协议 S3550 配置 RIP 协议 S3550(config)#router rip 开启 RIP 协议进程 S3550(config-router)#network 申明本设备的直连网段 S3550(config-router)#network S3550(config-router)#version 2 Router1 配置 RIPv2 协议 Router1(config)# router rip Router1(config-router)#network Router1(config-router)#network Router1(config-router)#version2 定义 RIP 协议 v2 Router1(config-router)#no auto-summary 关闭路由信息的自动汇总功能 Router2 配置 RIP 协议 Router2(config)# router rip Router2(config-router)#network Router2(config-router)#network

29 Router2(config-router)#version2 Router2(config-router)#no auto-summary 验证三台路由设备的路由表, 查看是否自动学习了其他网段的路由信息 S3550#show ip route Type: C - connected, S - static, R - RIP, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 Type Destination IP Next hop Interface Distance Metric Status C / VL Active R / VL Active R / VL Active C / VL Active Router1#show ip route Codes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 * - candidate default Gateway of last resort is no set C /32 is directly connected, serial 1/2 C /24 is directly connected, FastEthernet 1/0 C /32 is local host. C /24 is directly connected, serial 1/2 C /32 is local host. R /24 [120/1] via , 00:00:01, FastEthernet 1/0 R /24 [120/1] via , 00:00:21, serial 1/2 Router2#show ip route Codes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 * - candidate default Gateway of last resort is no set C /32 is directly connected, serial 1/2 R /24 [120/1] via , 00:00:03, serial 1/2 C /24 is directly connected, serial 1/2 C /32 is local host. R /24 [120/2] via , 00:00:03, serial 1/2 测试网络的连通性 C:\>ping 从 PC1 ping PC2 29

30 图 12 知识点 :OSPF 路由协议应用 实验名称 OSPF 单区域基本配置 实验目的 掌握在路由器上配置 OSPF 单区域 背景描述 假设校园网通过 1 台三层交换机连到校园网出口路由器, 路由器再和校园外的另 1 台路由器连接, 现做适当配置, 实现校园网内部主机与校园网外部主机的相互通信 本实验以两台 R1762 路由器 1 台三层交换机为例 S3550 上划分有 VLAN10 和 VLAN50, 其中 VLAN10 用于连接 Router1,VLAN50 用于连接校园网主机 路由器分别命名为 Router1 和 Router2, 路由器之间通过串口采用 V35 DCE/DTE 电缆连接, DCE 端连接到 Router1(R1762) 上 PC1 的 IP 地址和缺省网关分别为 和 ,PC2 的 IP 地址和缺省网关分别为 和 , 网络掩码都是 实现功能 实现网络的互连互通, 从而实现信息的共享和传递 实验设备 S3550(1 台 ) R1762 路由器 ( 两台 ) V35 线缆 (1 根 ) 交叉线或直连线(1 条 ) 实验拓扑 30

31 图 13 注 : 路由器和主机直连时, 需要使用交叉线, 在 R1762 的以太网接口支持 MDI/MDIX, 使 用直连线也可以连通 R1 的 S1/2 为 DCE 接口 实验步骤 基本配置 三层交换机基本配置 switch#configure terminal switch(config)#hostname s3550 S3550(config)#vlan 10 S3550(config-vlan)#exit S3550(config)#vlan 50 S3550(config-vlan)#exit S3550(config)#interface f0/1 S3550(config-if)#switchport access vlan 10 S3550(config-if)#exit S3550(config)#interface f0/5 S3550(config-if)#switchport access vlan 50 S3550(config-if)#exit S3550(config)#interface vlan 10 创建 VLAN 虚接口, 并配置 IP S3550(config-if)#ip address S3550(config-if)#no shutdown S3550(config-if)#exit S3550(config)#interface vlan 50 创建 VLAN 虚接口, 并配置 IP S3550(config-if)#ip address S3550(config-if)#no shutdown S3550(config-if)#exit 验证测试 : S3550#show vlan VLAN Name Status Ports default active Fa0/2,Fa0/3 Fa0/4,Fa0/6,Fa0/7 Fa0/8,Fa0/9,Fa0/10 Fa0/11,Fa0/12,Fa0/13 Fa0/14,Fa0/15,Fa0/16 Fa0/17,Fa0/18,Fa0/19 Fa0/20,Fa0/21,Fa0/22 Fa0/23,Fa0/24 10 vlan10 active Fa0/1 50 vlan50 active Fa0/5 S3550#show ip interface Interface : VL10 Description : Vlan 10 OperStatus : UP 31

32 ManagementStatus : Enabled Primary Internet address: /24 Broadcast address : PhysAddress : 00d0.f8ff.8ab5 Interface : VL50 Description : Vlan 50 OperStatus : UP ManagementStatus : Enabled Primary Internet address: /24 Broadcast address : PhysAddress : 00d0.f8ff.8ab6 路由器基本配置 Router1(config)# interface fastethernet 1/0 Router1(config-if)# ip address Router1(config-if)# no shutdown Router1(config-if)#exit Router1(config)# interface serial 1/2 Router1(config-if)# ip address Router1(config-if)# clock rate Router1(config-if)# no shutdown Router2(config)# interface fastethernet 1/0 Router2(config-if)# ip address Router2(config-if)# no shutdown Router2(config-if)#exit Router2(config)# interface serial 1/2 Router2(config-if)# ip address Router2(config-if)# no shutdown 验证测试 : 验证路由器接口的配置和状态 Router1#show ip interface brief Interface IP-Address(Pri) OK? Status serial 1/ /24 YES UP serial 1/3 no address YES DOWN FastEthernet 1/ /24 YES UP FastEthernet 1/1 no address YES DOWN Null 0 no address YES UP Router2#show ip interface brief Interface IP-Address(Pri) OK? Status serial 1/ /24 YES UP serial 1/3 no address YES DOWN FastEthernet 1/ /24 YES UP FastEthernet 1/1 no address YES DOWN Null 0 no address YES UP 配置 OSPF 路由协议 S3550 配置 OSPF 32

33 S3550(config)#router ospf 开启 OSPF 路由协议进程 S3550(config-router)#network area 0 申请直连网段信息, 并分配区域号 S3550(config-router)#network area 0 S3550(config-router)#end Router1 配置 OSPF Router1(config)# router ospf Router1(config-router)#network area 0 Router1(config-router)#network area 0 Router1(config-router)#end Router2 配置 OSPF Router2(config)#router ospf Router2(config-router)#network area 0 Router2(config-router)#network area 0 Router2(config-router)#end 查看验证三台路由设备的路由表, 查看是否自动学习了其他网段的路由信息 S3550#show ip route Type: C - connected, S - static, R - RIP, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 Type Destination IP Next hop Interface Distance Metric Status C / VL Active O / VL Active O / VL Active C / VL Active Router1#show ip route Codes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 * - candidate default Gateway of last resort is no set C /32 is directly connected, serial 1/2 C /24 is directly connected, FastEthernet 1/0 C /32 is local host. C /24 is directly connected, serial 1/2 C /32 is local host. O /24 [110/51] via , 00:00:01, FastEthernet 1/0 O /24 [110/51] via , 00:00:21, serial 1/2 Router2# show ip route Codes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 33

34 E1 - OSPF external type 1, E2 - OSPF external type 2 * - candidate default Gateway of last resort is no set C /32 is directly connected, serial 1/2 O /24 [110/51] via , 00:00:03, serial 1/2 C /24 is directly connected, serial 1/2 C /32 is local host. O /24 [110/52] via , 00:00:03, serial 1/2 测试网络的连通性 C:\>ping 从 PC1 ping PC2 知识点 : 路由重分布 实验名称 配置 RIP 与 OSPF 路由重发布实验 实验目的 通过路由重发实验, 实现在不同路由协议之间发布路由的要点 背景描述 某 IT 企业拥有 4 台路由器, 并在企业网内部采用两个路由协议 :OSPF 和 RIP, 本网络中有去往 /24 网段的静态路由 去住 ISP 的默认路由 需求分析 使用路由重发布, 使用内部网络的每台设备通信 实验拓扑 34

35 实验设备 路由器 4 台 预备知识 路由器基本配置知识 IP 路由知识 RIP 路由协议 OSPF 路由协议 实验步骤 第一步 : 在路由器上配置 IP 路由选择和 IP 地址 RA#config t RA(config)# interface FastEthernet 0/0 RA(config-if)#ip address RA(config)# interface Loopback 0 RA(config-if)#ip address RA(config)#interface Loopback 1 RA(config-if)#ip address RB(config)#interface FastEthernet 0/0 RB(config-if)#ip address RB(config)#interface FastEthernet 0/1 RB(config-if)#ip address RC(config)# interface FastEthernet 0/0 35

36 RC(config-if)# ip address RC(config)# interface FastEthernet 0/1 RC(config-if)#ip address RC(config)#interface Loopback 0 RC(config-if)#ip address RD(config)#interface FastEthernet 0/0 RD(config-if)#ip address RD(config)#interface Loopback 0 RD(config-if)#i p address RD(config)#interface Loopback 1 RD(config-if)#ip address RD(config)#interface Loopback 2 RD(config-if)#ip address 第二步 : 配置 RIP 和 OSPF RA(config)# router ospf 10 RA(config-router)#network area 1 RA(config-router)#network area 1 RA(config-router)#network area 1 RB(config)#router ospf 10 RB(config-router)#network area 0 RB(config)#router rip RB(config-router)#version 2 RB(config-router)#network RB(config-router)#no auto-summary RC(config)#router ospf 10 RC(config-router)#network area 0 RC(config-router)#network area 1 RC(config-router)#network area 0 RD(config)#router ospf 10 RD(config-router)#network area 1 RD(config-router)#network area 1 RD(config-router)#network area 1 第三步 : 配置重发布 RA(config)# router rip RA(config-router)# default-information originate RB(config)# router ospf 10 RB(config-router)#redistribute rip metric 50 subnets 36

37 RB(config-router)#default-information originate RB(config)# router rip RB(config-router)#redistribute ospf metric 1 RD(config)#router ospf 10 RD(config-router)#redistribute static subnets 第四步 : 验证测试用 show ip route 命令测试 RA#show ip route Codes: C - connected, S - static, R - RIP B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default Gateway of last resort is to network S* /0 is directly connected, Loopback 0 R /32 [120/1] via , 00:00:23, FastEthernet 0/0 R /32 [120/1] via , 00:00:23, FastEthernet 0/0 R /30 [120/1] via , 00:00:23, FastEthernet 0/0 C /30 is directly connected, FastEthernet 0/0 C /32 is local host. R /30 [120/1] via , 00:00:23, FastEthernet 0/0 R /32 [120/1] via , 00:00:23, FastEthernet 0/0 C /30 is directly connected, Loopback 0 C /32 is local host. C /24 is directly connected, Loopback 1 C /32 is local host. R /24 [120/1] via , 00:00:23, FastEthernet 0/0 RD#show ip route Codes: C - connected, S - static, R - RIP B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default Gateway of last resort is to network

38 O*E /0 [110/10] via , 00:27:21, FastEthernet 0/0 C /24 is directly connected, Loopback 0 C /32 is local host. C /24 is directly connected, Loopback 1 C /32 is local host. C /24 is directly connected, Loopback 2 C /32 is local host. O IA /30 [110/2] via , 00:29:50, FastEthernet 0/0 C /30 is directly connected, FastEthernet 0/0 C /32 is local host. O IA /24 [110/1] via , 00:29:50, FastEthernet 0/0 S /24 is directly connected, Loopback 2 RB#show ip route Codes: C - connected, S - static, R - RIP B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default Gateway of last resort is to network R* /0 [120/1] via , 00:00:02, FastEthernet 0/0 O IA /32 [110/2] via , 00:30:14, FastEthernet 0/1 O IA /32 [110/2] via , 00:30:04, FastEthernet 0/1 C /30 is directly connected, FastEthernet 0/1 C /32 is local host. C /30 is directly connected, FastEthernet 0/0 C /32 is local host. O IA /30 [110/2] via , 00:30:57, FastEthernet 0/1 O /32 [110/1] via , 00:30:57, FastEthernet 0/1 O E /24 [110/20] via , 00:26:31, FastEthernet 0/1 知识点 : 策略路由 实验名称 配置策略路由 实验目的 利用策略路由实现两家 ISP 提供商线路的负载均衡, 38

39 背景描述 公司希望 ISP A 和 ISP B 收到大致相同的流量, 在路由器 A 上实现了策略路由, 以便前往两家 ISP 的连接之间均衡负载 需求分析 公司的内网为 和 两个网段, 所以公司需要只有两段地址去访问 internet, 除此之外其它是不能访问互联网, 并且要求两条线路负载平衡 实验拓扑 实验设备 路由器 3 台 交换机 1 台 PC 机 2 台 预备知识 路由器基本配置知识 IP 路由知识 实验步骤 第一步 : 在路由器上配置 IP 路由选择和 IP 地址 RG(config)#interface serial 1/3 RG(config-if) #ip address RG(config-if) # clock rate RG(config)#interface FastEthernet 1/0 RG(config-if) #ip address RG(config)#interface FastEthernet 1/1 RG(config-if) #ip address RG(config)# ip route FastEthernet 1/1 RG(config)#ip route serial 1/3 39

40 RG(config)#ip route FastEthernet 1/0 第二步 : 定义访问列表 RG(config)# access-list 10 permit RG(config)# access-list 20 permit 第三步 : 配置路由映射表 RG(config)#route-map ruijie permit 10 RG(config-route-map)#match ip address 10 RG(config-route-map)#set ip default next-hop RG(config)#route-map ruijie permit 20 RG(config-route-map)#match ip address 20 RG(config-route-map)#set ip default next-hop RG(config)#route-map ruijie permit 30 RG(config-route-map)#set interface Null 0 第四步 : 在接口上应用路由策略 RG(config)# interface FastEthernet 1/0 RG(config-if)#ip policy route-map ruijie 第五步 : 验证测试在 HOST A 上用 PING 命令来测试路由映射 C:\>ping Pinging with 32 bytes of data: Reply from : bytes=32 time<1ms TTL=64 Reply from : bytes=32 time<1ms TTL=64 Reply from : bytes=32 time<1ms TTL=64 Reply from : bytes=32 time<1ms TTL=64 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms RG#sh route-map route-map ruijie, permit, sequence 10 Match clauses: ip address 10 Set clauses: ip default next-hop

41 Policy routing matches: 21 packets, 2304 bytes route-map ruijie, permit, sequence 20 Match clauses: ip address 20 Set clauses: ip default next-hop Policy routing matches: 0 packets, 0 bytes route-map ruijie, permit, sequence 30 Match clauses: Set clauses: interface Null 0 Policy routing matches: 0 packets, 0 bytes 在 HOST B 上用 PING 命令来测试路由映射 C:\>ping Pinging with 32 bytes of data: Reply from : bytes=32 time<1ms TTL=64 Reply from : bytes=32 time<1ms TTL=64 Reply from : bytes=32 time<1ms TTL=64 Reply from : bytes=32 time<1ms TTL=64 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms RG#sh route-map route-map ruijie, permit, sequence 10 Match clauses: ip address 10 Set clauses: ip default next-hop Policy routing matches: 21 packets, 2304 bytes route-map ruijie, permit, sequence 20 Match clauses: ip address 20 Set clauses: ip default next-hop Policy routing matches: 9 packets, 576 bytes route-map ruijie, permit, sequence 30 Match clauses: Set clauses: 41

42 interface Null 0 Policy routing matches: 0 packets, 0 bytes 把 HOST B 的 IP 地址改为 , 用 PING 命令来测试路由映射 C:\>ping Pinging with 32 bytes of data: Pinging with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. RG#sh iroute-map route-map ruijie, permit, sequence 10 Match clauses: ip address 10 Set clauses: ip default next-hop Policy routing matches: 21 packets, 2304 bytes route-map ruijie, permit, sequence 20 Match clauses: ip address 20 Set clauses: ip default next-hop Policy routing matches: 9 packets, 576 bytes route-map ruijie, permit, sequence 30 Match clauses: Set clauses: interface Null 0 Policy routing matches: 27 packets, 1728 bytes 局域网安全 知识点 : 交换机端口安全 实验名称 交换机的端口安全配置 实验目的 掌握交换机的端口安全功能, 控制用户的安全接入 背景描述 你是一个公司的网络管理员, 公司要求对网络进行严格控制 为了防止公司内部用户的 IP 地址冲突, 防止公司内部的网络攻击和破坏行为 为每一位员工分配了固定的 IP 地址, 并 42

43 且限制只允许公司员工主机可以使用网络, 不得随意连接其他主机 例如 : 某员工分配的 IP 地址是 /24, 主机 MAC 地址是 B-DE-13-B4 该主机连接在 1 台 2126G 上边 实现功能 针对交换机的所有端口, 配置最大连接数为 1, 针对 PC1 主机的接口进行 IP+MAC 地址绑定 实验设备 S2126G 交换机 (1 台 ),PC(1 台 ) 直连网线(1 条 ) 实验拓扑 图 14 实验步骤 配置交换机端口的最大连接数限制 Switch#configure terminal Switch(config)#interface range fastethernet 0/1-23 进行一组端口的配置模式 Switch(config-if-range)#switchport port-security 开启交换机的端口安全功能 Switch(config-if-range)#switchport port-secruity maximum 1 配置端口的最大连接数为 1 Switch(config-if-range)#switchport port-secruity violation shutdown 配置安全违例的处理方式为 shutdown 验证测试 : 查看交换机的端口安全配置 Switch#show port-security Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action Fa0/1 1 0 Shutdown Fa0/2 1 0 Shutdown Fa0/3 1 0 Shutdown Fa0/4 1 0 Shutdown Fa0/5 1 0 Shutdown Fa0/6 1 0 Shutdown Fa0/7 1 0 Shutdown Fa0/8 1 0 Shutdown Fa0/9 1 0 Shutdown 43

44 Fa0/ Shutdown Fa0/ Shutdown Fa0/ Shutdown Fa0/ Shutdown Fa0/ Shutdown Fa0/ Shutdown Fa0/ Shutdown Fa0/ Shutdown Fa0/ Shutdown Fa0/ Shutdown Fa0/ Shutdown Fa0/ Shutdown Fa0/ Shutdown Fa0/ Shutdown 配置交换机端口的地址绑定 查看主机的 IP 和 MAC 地址信息 在主机上打开 CMD 命令提示符窗口, 执行 ipconfig /all 命令 图 15 配置交换机端口的地址绑定 Switch#configure terminal Switch(config)#interface fastethernet 0/3 Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security mac-address bde.13b4 ip-address 配置 IP 地址和 MAC 地址的绑定验证测试 : 查看地址安全绑定配置 Switch#show port-security address Vlan Mac Address IP Address Type Port Remaining Age(mins) bde.13b Configured Fa0/3 44

45 知识点 : 基于 IP 的 ACL 应用 实验名称 编号的标准 IP 访问列表 实验目的 掌握路由器上编号的标准 IP 访问列表规则及配置 背景描述 你是一个公司的网络管理员, 公司的经理部 财务部门和销售部门分属不同的 3 个网段, 三部门之间用路由器进行信息传递, 为了安全起见, 公司领导要求销售部门不能对财务部门进行访问, 但经理部可以对财务部门进行访问 PC1 代表经理部的主机,PC2 代表销售部门的主机 PC3 代表财务部门的主机 实现功能 实现网段间互相访问的安全控制 实验设备 R1762 路由器 ( 两台 ) V.35 线缆 (1 条 ) 直连线或交叉线(3 条 ) 实验拓扑 图 16 实验步骤 基本配置 Router1 基本配置 Red-Giant>enable Red-Giant#configure terminal Red-Giant(config)#hostname Router1 Router1(config)# interface fastethernet 1/0 Router1(config-if)#ip add Router1(config-if)#no shutdown Router1(config-if)# interface fastethernet 1/1 Router1(config-if)#ip add Router1(config-if)#no shutdown Router1(config-if)#interface serial 1/2 Router1(config-if)#ip add Router1(config-if)#clock rate

46 Router1(config-if)#no shutdown Router1(config-if)#end 测试命令 :show ip interface brief Router1#show ip int brief 观察接口状态 Interface IP-Address(Pri) OK? Status serial 1/ /24 YES UP serial 1/3 no address YES DOWN FastEthernet 1/ /24 YES UP FastEthernet 1/ /24 YES UP Null 0 no address YES UP Router2 基本配置 Red-Giant>enable Red-Giant#configure terminal Red-Giant(config)#hostname Router2 Router2(config)# interface fastethernet 1/0 Router2(config-if)#ip add Router2(config-if)#no shutdown Router2(config-if)#exit Router2(config-if)#interface serial 1/2 Router2(config-if)#ip add Router2(config-if)#no shutdown Router2(config-if)#end 测试命令 :show ip interface brief Router2#show ip int brief 观察接口状态 Interface IP-Address(Pri) OK? Status serial 1/ /24 YES UP serial 1/3 no address YES DOWN FastEthernet 1/ /24 YES UP FastEthernet 1/1 no address YES DOWN Null 0 no address YES UP 配置静态路由 Router1(config)#ip route serial 1/2 Router2(config)#ip route serial 1/2 Router2(config)#ip route serial 1/2 测试命令 :show ip route Router1#show ip route 查看路由表信息 Codes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 * - candidate default Gateway of last resort is no set C /24 is directly connected, FastEthernet 1/0 C /32 is local host. 46

47 C /24 is directly connected, FastEthernet 1/1 C /32 is local host. C /24 is directly connected, serial 1/2 C /32 is local host. S /24 is directly connected, serial 1/2 Router2#show ip route Codes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 * - candidate default Gateway of last resort is no set S /24 is directly connected, serial 1/2 S /24 is directly connected, serial 1/2 C /24 is directly connected, serial 1/2 C /32 is local host. C /24 is directly connected, FastEthernet 1/0 C /32 is local host. 配置标准 IP 访问控制列表 Router2(config)#access-list 1 deny 拒绝来自 网段的流量通过 Router2(config)#access-list 1 permit 允许来自 网段的流量通过验证测试 : Router2#show access-lists 1 Standard IP access list 1 includes 2 items: deny , wildcard bits permit , wildcard bits 把访问控制列表在接口下应用 Router2(config)# interface fastethernet 1/0 Router2(config-if)#ip access-group 1 out 在接口下访问控制列表出栈流量调用验证测试 : Router2#show ip interface fastethernet 1/0 FastEthernet 1/0 IP interface state is: UP IP interface type is: BROADCAST IP interface MTU is: 1500 IP address is: /24 (primary) IP address negotiate is: OFF Forward direct-boardcast is: ON ICMP mask reply is: ON Send ICMP redirect is: ON Send ICMP unreachabled is: ON 47

48 DHCP relay is: OFF Fast switch is: ON Route horizontal-split is: ON Help address is: Proxy ARP is: ON Outgoing access list is 1. 查看访问列表在接口上的应用 Inbound access list is not set. 验证测试 ping( 网段的主机不能 ping 通 网段的主机 ; 网段的主机能 ping 通 网段的主机 ) 实验名称 命名的扩展 IP 访问列表 实验目的 掌握在交换机上命名的扩展 IP 访问列表规则及配置 背景描述 你是学校的网络管理员, 在 交换机上连着学校的提供 WWW 和 FTP 的服务器, 另外还连接着学生宿舍楼和教工宿舍楼, 学校规定学生只能对服务器进行 FTP 访问, 不能进行 WWW 访问, 教工则没有此限制 实现功能 实现网段间互相访问的安全控制 实验设备 S3550 交换机 (1 台 ) PC(3 台 ) 直连线(3 条 ) 实验拓扑 图 17 实验步骤 基本配置 (config)#vlan (config-vlan)#name server (config)#vlan (config-vlan)#name teachers (config)#vlan (config-vlan)#name students (config)#interface f0/ (config-if)#switchport mode access (config-if)#switchport access vlan (config)#interface f0/10 48

49 (config-if)#switchport mode access (config-if)#switchport access vlan (config)#interface f0/ (config-if)#switchport mode access (config-if)#switchport access vlan (config)#int vlan (config-if)#ip add (config-if)#no shutdown (config-if)#int vlan (config-if)#ip add (config-if)#no shutdown (config-if)#int vlan (config-if)#ip add (config-if)#no shutdown 配置命名扩展 IP 访问控制列表 (config)#ip access-list extended denystudentwww 定义命名扩展访问列表 (config-ext-nacl)# deny tcp eq www 禁止 WWW 服务 (config-ext-nacl)# permit ip any any 允许其他服务验证命令 : #sh ip access-lists denystudentwww Extended IP access list: denystudentwww deny tcp eq www permit ip any any 把访问控制列表在接口下应用 (config)#int vlan (config-if)#ip access-group denystudentwww in 配置 Web 服务器 ( 详见选学实验内容 ) 验证测试 分别在学生网段和教师宿舍网段使用 1 台主机, 访问 Web 服务器 测试发现学生网段不能访问网页, 教学宿舍网段可以访问网页 广域网协议 知识点 :PAP 及 CHAP 的区别及配置 实验一 实验名称 PPP PAP 认证 49

50 实验目的 掌握 PPP PAP 认证的过程及配置 背景描述 你是公司的网络管理员, 公司为了满足不断增长的业务需求, 申请了专线接入, 你的客户端路由器与 ISP 进行链路协商时要验证身份, 配置路由器保证链路建立, 并考虑其安全性 实现功能 在链路协商时保证安全验证 链路协商时用户名 密码以明文的方式传输 实验设备 R1762( 两台 ) V.35 线缆 (1 条 ) 实验拓扑 图 18 注 :RB 为 DCE 端口 实验步骤 基本配置 Red-Giant(config)#hostname Ra Ra(config)# interface serial 1/2 Ra(config-if)#ip address Ra(config-if)#no shutdown Red-Giant(config)#hostname Rb Rb(config)# interface serial 1/2 Rb(config-if)#ip address Rb(config-if)#clock rate Rb(config-if)#no shutdown 验证测试 : ( 以 Ra 为例 ) Ra#show interface serial 1/2 serial 1/2 is UP, line protocol is UP Hardware is PQ2 SCC HDLC CONTROLLER serial Interface address is: /24 MTU 1500 bytes, BW 2000 Kbit Encapsulation protocol is HDLC, loopback not set Keepalive interval is 10 sec, set Carrier delay is 2 sec RXload is 1,Txload is 1 Queueing strategy: WFQ 5 minutes input rate 11 bits/sec, 0 packets/sec 5 minutes output rate 11 bits/sec, 0 packets/sec 33 packets input, 726 bytes, 0 no buffer Received 33 broadcasts, 0 runts, 0 giants 50

51 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort 32 packets output, 704 bytes, 0 underruns 0 output errors, 0 collisions, 6 interface resets 3 carrier transitions V.35 DTE cable DCD=up DSR=up DTR=up RTS=up CTS=up 配置 PPP PAP 认证 被验证方的配置 Ra(config)# interface serial 1/2 Ra(config-if)# encapsulation ppp 接口下封装 PPP 协议 Ra(config-if)#ppp pap sent-username Ra password 0 star PAP 认证的用户名 密码验证方的配置 Rb(config)#username Ra password 0 star 验证方配置被验证方用户名 密码 Rb(config-if)# encapsulation ppp Rb(config-if)#ppp authentication pap PPP 启用 PAP 认证方式验证测试 : Ra#debug ppp authentication 观察 PAP 验证过程 %LINK CHANGED: Interface serial 1/2, changed state to down %LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to DOWN PPP: ppp_clear_author(), protocol %LINK CHANGED: Interface serial 1/2, changed state to up PPP: serial 1/2 PAP ACK received PPP: serial 1/2 Passed PAP authentication with remote PPP: serial 1/2 lcp authentication OK PPP: ppp_clear_author(), protocol = TYPE_IPCP = TYPE_LCP %LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to UP. 注意事项 1 在 DCE 端要配置时钟 ; 2 Rb(config)#username Ra password 0 star username 后面的参数是对方的主机名 ; 3 在接口下封装 ppp; 4 debug ppp authentication 在路由器物理层 up, 链路尚未建立的情况下打开才有信息输出, 本实验的实质是链路层协商建立的安全性, 该信息出现在链路协商的过程中 参考配置 Ra#show running-config 路由器 Ra 配置 Building configuration... Current configuration : 483 bytes version 8.32(building 53) hostname Ra interface serial 1/2 encapsulation PPP 51

52 ppp pap sent-username Ra password 7 072d172e07 ip address interface serial 1/3 clock rate interface FastEthernet 1/0 duplex auto speed auto interface FastEthernet 1/1 duplex auto speed auto interface Null 0 line con 0 line aux 0 line vty 0 4 login end Rb#show running-config Building configuration... Current configuration : 469 bytes version 8.32(building 53) hostname Rb username Ra password 0 star interface serial 1/2 encapsulation PPP ppp authentication pap ip address clock rate interface serial 1/3 interface FastEthernet 1/0 duplex auto speed auto interface FastEthernet 1/1 路由器 Rb 配置 52

53 duplex auto speed auto interface Null 0 line con 0 line aux 0 line vty 0 4 login end 实验二 实验名称 PPP CHAP 认证 实验目的 掌握 PPP CHAP 认证的过程及配置 背景描述 你是公司的网络管理员, 公司为了满足不断增长的业务需求, 申请了专线接入, 你的客户端路由器与 ISP 进行链路协商时要验证身份, 配置路由器保证链路建立并考虑其安全性 技术原理 PPP 协议位于 OSI 七层模型的数据链路层,PPP 协议按照功能划分为两个子层 :LCP NCP LCP 主要负责链路的协商 建立 回拨 认证 数据的压缩 多链路捆绑等功能 NCP 主要负责和上层的协议进行协商, 为网络层协议提供服务 PPP 的认证功能是指在建立 PPP 链路的过程中进行密码的验证, 验证通过建立连接, 验证不通过拆除链路 CHAP(Challenge Handshake Authentication Protocol, 挑战式握手验证协议 ) 是指验证双方通过三次握手完成验证过程, 比 PAP 更安全 由验证方主动发出挑战报文, 由被验证方应答 在整个验证过程中, 链路上传递的信息都进行了加密处理 实现功能 在链路协商时保证安全验证 链路协商时密码以密文的方式传输, 更安全 实验设备 R1762( 两台 ) V.35 线缆 (1 条 ) 实验拓扑 图 19 实验步骤 基本配置 53

54 Red-Giant(config)#hostname Ra Ra(config)# interface serial 1/2 Ra(config-if)#ip address Ra(config-if)#no shutdown Red-Giant(config)#hostname Rb Rb(config)# interface serial 1/2 Rb(config-if)#ip address Rb(config-if)#clock rate Rb(config-if)#no shutdown 验证测试 : ( 以 Ra 为例 ) Ra#show interface serial 1/2 serial 1/2 is UP, line protocol is UP Hardware is PQ2 SCC HDLC CONTROLLER serial Interface address is: /24 MTU 1500 bytes, BW 2000 Kbit Encapsulation protocol is HDLC, loopback not set Keepalive interval is 10 sec, set Carrier delay is 2 sec RXload is 1,Txload is 1 Queueing strategy: WFQ 5 minutes input rate 11 bits/sec, 0 packets/sec 5 minutes output rate 11 bits/sec, 0 packets/sec 33 packets input, 726 bytes, 0 no buffer Received 33 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort 32 packets output, 704 bytes, 0 underruns 0 output errors, 0 collisions, 6 interface resets 3 carrier transitions V35 DTE cable DCD=up DSR=up DTR=up RTS=up CTS=up 配置 PPP CHAP 认证 Ra(config)#username Rb password 0 star 以对方的主机名作为用户名, 密码和对方的路由器一致 Ra(config)#interface serial 1/2 Ra(config-if)#encapsulation ppp Ra(config-if)#ppp authentication chap PPP 启用 CHAP 方式验证 Rb(config)#username Ra password 0 star 以对方的主机名作为用户名, 密码和对方的路由器一致 Rb(config)#interface serial 1/2 Rb(config-if)# encapsulation ppp 验证测试 : Ra#debug ppp authentication 观察 CHAP 验证过程 %LINK CHANGED: Interface serial 1/2, changed state to down %LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to DOWN 54

55 PPP: ppp_clear_author(), protocol = TYPE_LCP %LINK CHANGED: Interface serial 1/2, changed state to up PPP: serial 1/2 Send CHAP challenge id=29 to remote host PPP: serial 1/2 authentication event enqueue,message type = [RECV_CHAP_RESPONSE] PPP: dispose authentication message [RECV_CHAP_RESPONSE] PPP: serial 1/2 CHAP response id=29,received from Rb PPP: serial 1/2 Send CHAP success id=29 to remote PPP: serial 1/2 remote router passed CHAP authentication. PPP: serial 1/2 lcp authentication OK PPP: ppp_clear_author(), protocol = TYPE_IPCP %LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to UP 注意事项 1 在 DCE 端要配置时钟 ; 2 Ra(config)#username Rb password 0 star username 后面的参数是对方的主机名 ; 3 Rb(config)#username Ra password 0 star username 后面的参数是对方的主机名 ; 4 在接口下封装 ppp; 5 debug ppp authentication 在路由器物理层 up, 链路尚未建立的情况下打开才有信息输出, 本实验的实质是链路层协商建立的安全性, 该信息出现在链路协商的过程中 参考配置 Ra#show running-config 路由器 Ra 配置 Building configuration... Current configuration : 489 bytes version 8.32(building 53) hostname Ra username Rb password 0 star interface serial 1/2 encapsulation PPP ppp authentication chap ip address clock rate interface serial 1/3 clock rate interface FastEthernet 1/0 duplex auto speed auto interface FastEthernet 1/1 duplex auto speed auto 55

56 interface Null 0 line con 0 line aux 0 line vty 0 4 login end Rb#show running-config Building configuration... Current configuration : 444 bytes version 8.32(building 53) hostname Rb username Ra password 0 star interface serial 1/2 encapsulation PPP ip address interface serial 1/3 clock rate interface FastEthernet 1/0 duplex auto speed auto interface FastEthernet 1/1 duplex auto speed auto interface Null 0 line con 0 line aux 0 line vty 0 4 login end 路由器 Rb 配置 56

57 其他及应用 知识点 :NAT( 网络地址转换 ) 技术的应用 实验名称 利用动态 NAPT 实现局域网访问互联网 实验目的 掌握内网中所有主机连接到 Internet 网时, 通过端口号区分的复用内部全局地址转换 背景描述 你是某公司的网络管理员, 公司只向 ISP 申请了一个公网 IP 地址, 希望全公司的主机都能访问外网, 请你实现 实现功能 允许内部所有主机在公网地址缺乏的情况下可以访问外部网络 实验设备 R1762 路由器 ( 两台 ) V.35 线缆 (1 条 ) PC( 两台 ) 直连线或交叉线(2 条 ) 实验拓扑 图 20 实验步骤 基本配置 局域网路由器配置 Red-Giant(config)#hostname lan-router lan-router(config)#interface fastethernet 1/0 lan-router(config-if)#ip address lan-router(config-if)#no shutdown lan-router(config-if)#exit lan-router(config)#interface serial 1/2 lan-router(config-if)#ip address lan-router(config-if)#no shutdown lan-router(config-if)#exit 互联网路由器配置 internet-router(config)#interface fastethernet 1/0 internet-router(config-if)#ip address internet-router(config-if)#no shutdown internet-router(config-if)#exit internet-router(config)#interface serial 1/2 57

58 internet-router(config-if)#ip address internet-router(config-if)#clock rate internet-router(config-if)#no sh internet-router(config-if)#end 在 lan-router 上配置缺省路由 lan-router(config)#ip route serial 1/2 验证测试 : Internet-router#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echoes to , timeout is 2 seconds: 配置动态 NAPT 映射 lan-router(config)#interface fastethernet 1/0 lan-router(config-if)#ip nat inside 定义 F1/0 为内网接口 lan-router(config-if)#exit lan-router(config)#interface serial 1/2 lan-router(config-if)#ip nat outside 定义 S1/2 为外网接口 lan-router(config-if)#exit lan-router(config)#ip nat pool to_internet netmask 定义内部全局地址池 lan-router(config)#access-list 10 permit 定义允许转换的地址 lan-router(config)#ip nat inside source list 10 pool to_internet overload 为内部本地调用转换地址池验证测试 1 在服务器 上配置 Web 服务 ( 配置方法详见选修实验 ) 2 在 PC 机测试访问 的网页 3 在路由器 lan-router 查看 NAPT 映射关系 lan-router#show ip nat translations 查看 NAPT 的动态映射表 Pro Inside global Inside local Outside local Outside global tcp : : : :80 实验名称 利用 NAT 实现外网主机访问内网服务器 实验目的 掌握 NAT 源地址转换和目的地址转换的区别, 掌握如何向外网发布内网的服务器 背景描述 你是某公司的网络管理员, 公司只向 ISP 申请了一个公网 IP 地址, 现公司的网站在内网, 要求在互联网也可以访问公司网站, 请你实现 是 Web 服务器的 IP 地址 实现功能 内网服务器能够转换成外网公网 IP, 被互联网访问 实验设备 R1762 路由器 ( 两台 ) V.35 线缆 (1 条 ) PC(1 台 ) 直连线(1 条 ) 实验拓扑 58

59 图 21 实验步骤 基本配置 Red-Giant(config)#hostname lan-router lan-router(config)#interface fastethernet 1/0 lan-router(config-if)#ip address lan-router(config-if)#no shutdown lan-router(config-if)#exit lan-router(config)#interface serial 1/2 lan-router(config-if)#ip address lan-router(config-if)#no shutdown lan-router(config-if)#exit internet-router(config)#interface fastethernet 1/0 internet-router(config-if)#ip address internet-router(config-if)#no shutdown internet-router(config-if)#exit internet-router(config)#interface serial 1/2 internet-router(config-if)#ip address internet-router(config-if)#clock rate internet-router(config-if)#no sh internet-router(config-if)#end 在 lan-router 上配置缺省路由 lan-router(config)#ip route serial 1/2 验证测试 : Internet-router#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echoes to , timeout is 2 seconds: 配置反向 NAT 映射 lan-router(config)#interface fastethernet 1/0 lan-router(config-if)#ip nat inside lan-router(config-if)#exit lan-router(config)#interface serial 1/2 lan-router(config-if)#ip nat outside lan-router(config-if)#exit lan-router(config)#ip nat pool web_server netmask 定义内网服务器地址池 lan-router(config)#access-list 3 permit host 定义外网的公网 IP 地址 59