網路設備模擬器Packet Tracer教程
第一章 認識Packet Tracer軟件... 1
第二章 交換機的基本配置與管理... 2
第三章 交換機的端口配置與管理... 3
第四章 交換機的Telnet遠程登陸配置... 5
第五章 交換機的端口聚合配置... 7
第六章 交換機划分Vlan配置... 9
第七章 三層交換機基本配置... 12
第八章 利用三層交換機實現VLAN間路由... 13
第九章 快速生成樹配置... 16
第十章 路由器的基本配置... 19
第十一章 路由器單臂路由配置... 21
第十二章 路由器靜態路由配置... 23
第十三章 路由器RIP動態路由配置... 25
第十四章 路由器OSPF動態路由配置... 28
第十五章 路由器綜合路由配置... 31
第十六章 標准IP訪問控制列表配置... 34
第十七章 擴展IP訪問控制列表配置... 36
第十八章 網絡地址轉換NAT配置... 39
第十九章 網絡端口地址轉換NAPT配置... 41
第一章 認識Packet Tracer軟件
Packet Tracer介紹
l Packet Tracer是Cisco公司針對CCNA認證開發的一個用來設計、配置和故障排除網絡的模擬軟件。
l Packer Tracer模擬器軟件比Boson功能強大,比Dynamips操作簡單,非常適合網絡設備初學者使用。
學習任務
1、安裝Packer Tracer;
2、利用一台型號為2960的交換機將2pc機互連組建一個小型局域網;
3、分別設置pc機的ip地址;
4、驗證pc機間可以互通。
實驗設備
Switch_2960 1台;PC 2台;直連線
PC1
IP: 192.168.1.2
Submask: 255.255.255.0
Gateway: 192.168.1.1
PC2
IP: 192.168.1.3
Submask: 255.255.255.0
Gateway: 192.168.1.1
PC1 ping PC2 Reply
PC2 ping PC1 Reply
PC2 ping Gateway Timeout
第二章 交換機的基本配置與管理
實驗目標
l 掌握交換機基本信息的配置管理。
實驗背景
l 某公司新進一批交換機,在投入網絡以后要進行初始配置與管理,你作為網絡管理員,對交換機進行基本的配置與管理。
技術原理
l 交換機的管理方式基本分為兩種:帶內管理和帶外管理。
l 通過交換機的Console端口管理交換機屬於帶外管理;這種管理方式不占用交換機的網絡端口,第一次配置交換機必須利用Console端口進行配置。
l 通過Telnet、撥號等方式屬於帶內管理。
l 交換機的命令行操作模式主要包括:
l 用戶模式 Switch>
l 特權模式 Switch#
l 全局配置模式 Switch(config)#
l 端口模式 Switch(config-if)#
實驗步驟:
l 新建Packet Tracer拓撲圖
l 了解交換機命令行
l 進入特權模式(en)
l 進入全局配置模式(conf t)
l 進入交換機端口視圖模式(int f0/1)
l 返回到上級模式(exit)
l 從全局以下模式返回到特權模式(end)
l 幫助信息(如? 、co?、copy?)
l 命令簡寫(如 conf t)
l 命令自動補全(Tab)
l 快捷鍵(ctrl+c中斷測試,ctrl+z退回到特權視圖)
l Reload重啟。(在特權模式下)
l 修改交換機名稱(hostname X)
實驗設備
Switch_2960 1台;PC 1台;配置線;
PC console端口
Switch>enable
Switch#conf t
Switch(config)#hostname X
Switch(config)#interface fa 0/1
Switch(config-if)#end
使用tab鍵,命令簡寫,幫助命令?
第三章 交換機的端口配置與管理
實驗目標
l 掌握交換機基本信息的配置管理。
實驗背景
l 某公司新進一批交換機,在投入網絡以后要進行初始配置與管理,你作為網絡管理員,對交換機進行端口的配置與管理。
技術原理
l 交換機的管理方式基本分為兩種:帶內管理和帶外管理。
l 通過交換機的Console端口管理交換機屬於帶外管理;這種管理方式不占用交換機的網絡端口,第一次配置交換機必須利用Console端口進行配置。
l 交換機的命令行操作模式主要包括:
l 用戶模式 Switch>
l 特權模式 Switch#
l 全局配置模式 Switch(config)#
l 端口模式 Switch(config-if)#
實驗步驟:
l 新建Packet Tracer拓撲圖
l 了解交換機端口配置命令行
l 修改交換機名稱(hostname X)
l 配置交換機端口參數(speed,duplex)
l 查看交換機版本信息(show version)
l 查看當前生效的配置信息(show running-config)
l 查看保存在NVRAM中的啟動配置信息(show startup-config)
l 查看端口信息 Switch#show interface
l 查看交換機的MAC地址表Switch#show mac-address-table
l 選擇某個端口Switch(config)# interface type mod/port (type表示端口類型,通常有ethernet、Fastethernet、Gigabitethernet)(mod表示端口所在的模塊,port表示在該模塊中的編號)例如interface fastethernet0/1
l 選擇多個端口Switch(config)#interface type mod/startport-endport
l 設置端口通信速度Switch(config-if)#speed [10/100/auto]
l 設置端口單雙工模式Switch(config-if)#duplex [half/full/auto]
l 交換機、路由器中有很多密碼,設置對這些密碼可以有效的提高設備的安全性。
l switch(config)# enable password ****** 設置進入特權模式的密碼
l switch(config-line)可以設置通過console端口連接設備及Telnet遠程登錄時所需的密碼;
l switch(config)# line console 0表示配置控制台線路,0是控制台的線路編號。
l switch(config-line)# login 用於打開登錄認證功能。
l switch(config-line)# password 5ijsj //設置進入控制台訪問的密碼
l
若交換機設置為auto以外的具體速度,此時應注意保證通信雙方也要有相同的設置值。
注意事項:在配置交換機時,要注意交換機端口的單雙工模式的匹配,如果鏈路一端設置的是全雙工,另一端是自動協商,則會造成響應差和高出錯率,丟包現象會很嚴重。通常兩端設置為相同的模式。
實驗設備
Switch_2960 1台;PC 1台;配置線;直通線
PC console端口
Switch>enable
Switch#conf t
Switch(config)#hostname S2960
S2960(config)#interface fa 0/1
S2960(config-if)#speed 100
S2960(config-if)#duplex full
S2960(config-if)#exit
同時將PC的網卡改成全雙工模式,100M速率,否則鏈路不通
S2960(config)#hostname switch
Switch(config)#exit
Switch#show version
Switch#show run
Switch#show interface
Switch#show mac-address-table
Switch#config t
Switch(config)#enable password cisco//激活特權模式密碼為cisco
Switch(config)#no enable password //取消特權模式密碼
Switch(config)#line console 0
Switch(config-line)#password cisco
Switch(config-line)#login
Switch(config-line)#no password//取消密碼
第四章 交換機的Telnet遠程登陸配置
實驗目標
l 掌握采用Telnet方式配置交換機的方法。
實驗背景
l 第一次在設備機房對交換機進行了初次配置后,你希望以后在辦公室或出差時也可以對設備進行遠程管理。現要在交換機上做適當配置。
技術原理
l 配置交換機的管理IP地址(計算機的IP地址與交換機管理IP地址在同一個網段):
l 在2層交換機中,IP地址僅用於遠程登錄管理交換機,對於交換機的運行不是必需,但是若沒有配置管理IP地址,則交換機只能采用控制端口console進行本地配置和管理。
l 默認情況下,交換機的所有端口均屬於VLAN1,VLAN1是交換機自動創建和管理的。每個VLAN只有一個活動的管理地址,因此對2層交換機設置管理地址之前,首先應選擇VLAN1接口,然后再利用IP address配置命令設置管理IP地址。
l 為telnet用戶配置用戶名和登錄口令:
l 交換機、路由器中有很多密碼,設置對這些密碼可以有效的提高設備的安全性。
l switch(config)# line vty 0 4表示配置遠程登錄線路,0~4是遠程登錄的線路編號。
l switch(config-line)# login local 用於打開登錄認證功能。
l switch(config-line)# password 5ijsj //設置遠程登錄進入訪問的密碼
實驗步驟
l 新建Packet Tracer拓撲圖
l 配置交換機管理ip地址
l Switch(config)# int vlan 1
l Switch(config-if)# ip address **IP** **submask***
l 配置用戶登錄密碼
l Switch(config)# enable password ******* 設置進入特權模式的密碼
l Switch(config)# line vty 0 4
l Switch(config-line)# password 5ijsj
l Switch(config-line)# login
實驗設備
Switch_2960 1台;PC 1台;直連線;配置線
PC0設置
192.168.1.2
255.255.255.0
192.168.1.1
PC1設置
192.168.1.3
255.255.255.0
192.168.1.1
PC0桌面上的終端
Switch>En //進入特權模式
Switch#conf t //進入全局配置模式
Switch(config)#enable password 123456
Switch(config)#inter vlan 1(默認交換機的所有端口都在VLAN1中)// 創建並進入VLAN 1的接口視圖
Switch(config-if)#ip address 192.168.1.1 255.255.255.0//在VLAN 1 接口上配置交換機遠程管理的IP地址
Switch(config-if)#no shutdown //開啟接口
Switch(config-if)#exit//回到全局配置模式
Switch(config)#username xjc password 123
Switch(config)#line vty 0 4 //進入遠程登錄用戶管理視圖,0-4個用戶
Switch(config-line)#login //打開登錄認證功能
Switch(config-line)#privilege level 3 //配置遠程登錄用戶的權限為最高級別權限3
Switch(config-line)#end //退出到特權模式
Switch#show run //顯示當前交換機配置情況
PC0 桌面選項卡中的CMD,命令提示符
ping 192.168.1.1 //成功以后,再做下一步
telnet 192.168.1.1
輸入password:5ijsj //登錄成功,進入用戶模式
Switch>Enable//進入特權模式
Switch#
PC1 桌面選項卡中的CMD,命令提示符
ping 192.168.1.1 //成功,再做下一步
telnet 192.168.1.1
輸入password:5ijsj
Switch>Enable//進入特權模式
Switch#
第五章 交換機的端口聚合配置
實驗目標
l 理解端口聚合基本原理;
l 掌握一般交換機端口聚合的配置方法;
實驗背景
端口聚合(又稱為鏈路聚合),將交換機上的多個端口在物理上連接起來,在邏輯上捆綁在一起,形成一個擁有較大寬帶的端口,可以實現負載分擔,並提供冗余鏈路。
技術原理
l 端口聚合使用的是EtherChannel特性,在交換機到交換機之間提供冗余的高速的連接方式。將兩個設備之間多條FastEthernet或GigabitEthernet物理鏈路捆在一起組成一條設備間邏輯鏈路,從而增強帶寬,提供冗余。
l 兩台交換機到計算機的速率都是100M,SW1和SW2之間雖有兩條100M的物理通道相連,可由於生成樹的原因,只有100M可用,交換機之間的鏈路很容易形成瓶頸,使用端口聚合技術,把兩個100M鏈路聚合成一個200M的邏輯鏈路,當一條鏈路出現故障,另一條鏈路會繼續工作。
l 一台S2000系列以太網交換機只能有1個匯聚組,1個匯聚組最多可以有4個端口。組內的端口號必須連續,但對起始端口無特殊要求。
l 在一個端口匯聚組中,端口號最小的作為主端口,其他的作為成員端口。同一個匯聚組中成員端口的鏈路類型與主端口的鏈路類型保持一致,即如果主端口為Trunk端口,則成員端口也為Trunk端口;如主端口的鏈路類型改為Access端口,則成員端口的鏈路類型也變為Access端口。
l 所有參加聚合的端口都必須工作在全雙工模式下,且工作速率相同才能進行聚合。並且聚合功能需要在鏈路兩端同時配置方能生效。
l 端口聚合主要應用的場合:
l 交換機與交換機之間的連接:匯聚層交換機到核心層交換機或核心層交換機之間。
l 交換機與服務器之間的連接:集群服務器采用多網卡與交換機連接提供集中訪問。
l 交換機與路由器之間的連接:交換機和路由器采用端口聚合解決廣域網和局域網連接瓶頸。
l 服務器和路由器之間的連接:集群服務器采用多網卡與路由器連接提供集中訪問
l 視圖:全局配置模式下
l 命令:
interface range interface_name1 to interface_name2
Switchport mode trunk
channel-group 1 mode on 加入鏈路組1並開啟
l 參數:
è interface_name1:聚合起始端口
è interface_name2:聚合結束端口。
è trunk表示端口可以轉發所有Vlan包
è 將2個或多個物理端口組合在一起成為一條邏輯的路徑 ,即鏈路channel-group,同時也形成了一個邏輯端口port-channel(一個整體)
l switchport mode access是直接接主機的,所屬VLAN中的接口,都是access
l switchport mode trunk trunk mode 的接口可以同時傳輸多個VLAN信息的。
l trunk mode 常用在兩個SWITCH and ROUTER , switch and switch
l 特權模式下
l Switch#show etherchannel summary:顯示相關匯聚端口組的信息;
實驗設備
Switch_2960 2台;PC 4台;直連線
Switch0:具體操作
Switch>
Switch#config t
Switch(config)#interface range f0/1-2
Switch(config-if-range)#Switchport mode trunk //設置端口模式為trunk
Switch(config-if-range)#channel-group 1 mode on //加入鏈路組1並開啟
Switch(config-if-range)#exit
Switch(config)#port-channel load-balance dst-ip //按照目標主機IP地址數據分發來實現負載平衡
Switch(config)#exit
Switch#show etherchannel summary
Switch1:具體操作
Switch>
Switch#config t
Switch(config)#interface range f0/1-2
Switch(config-if-range)#Switchport mode trunk //設置端口模式為trunk
Switch(config-if-range)#channel-group 1 mode on //加入鏈路組1並開啟
Switch(config-if-range)#exit
Switch(config)#port-channel load-balance dst-ip //按照目標主機IP地址數據分發來實現以太網通道組負載平衡
Switch(config)#exit
Switch#show etherchannel summary //顯示以太網通道組的情況
PC0設置
192.168.1.2
255.255.255.0
PC1設置
192.168.1.3
255.255.255.0
PC0 ping PC1 Reply
PC1 ping PC0 Reply
第六章 交換機划分Vlan配置
實驗目標
l 理解虛擬LAN(VLAN)基本配置;
l 掌握一般交換機按端口划分VLAN的配置方法;
l 掌握Tag VLAN配置方法。
實驗背景
l 某一公司內財務部、銷售部的PC通過2台交換機實現通信;要求財務部和銷售部的PC可以互通,但為了數據安全起見,銷售部和財務部需要進行互相隔離,現要在交換機上做適當配置來實現這一目標。
技術原理
l VLAN是指在一個物理網段內。進行邏輯的划分,划分成若干個虛擬局域網,VLAN做大的特性是不受物理位置的限制,可以進行靈活的划分。VLAN具備了一個物理網段所具備的特性。相同VLAN內的主機可以相互直接通信,不同VLAN間的主機之間互相訪問必須經路由設備進行轉發,廣播數據包只可以在本VLAN內進行廣播,不能傳輸到其他VLAN中。
l Port VLAN是實現VLAN的方式之一,它利用交換機的端口進行VALN的划分,一個端口只能屬於一個VLAN。
l Tag VLAN是基於交換機端口的另一種類型,主要用於是交換機的相同Vlan內的主機之間可以直接訪問,同時對不同Vlan的主機進行隔離。Tag VLAN遵循IEEE802.1Q協議的標准,在使用配置了Tag VLAN的端口進行數據傳輸時,需要在數據幀內添加4個字節的8021.Q標簽信息,用於標示該數據幀屬於哪個VLAN,便於對端交換機接收到數據幀后進行准確的過濾。
實驗步驟
l 新建Packet Tracer拓撲圖;
l 划分VLAN;
l 將端口划分到相應VLAN中;
l 設置Tag VLAN Trunk屬性;
l 測試
實驗設備
Switch_2960 2台;PC 4台;直連線
PC1
IP: 192.168.1.2
Submark: 255.255.255.0
Gateway: 192.168.1.1
PC2
IP: 192.168.1.3
Submark: 255.255.255.0
Gateway: 192.168.1.1
PC3
IP: 192.168.1.4
Submark: 255.255.255.0
Gateway: 192.168.1.1
PC4
IP: 192.168.1.5
Submark: 255.255.255.0
Gateway: 192.168.1.1
Switch1
Switch>en
Switch#conf t
Switch(config)#vlan 2
Switch(config-vlan)#exit
Switch(config)#vlan 3
Switch(config-vlan)#exit
Switch(config)#inter fa 0/1
Switch(config-if)#switch access vlan 2
Switch(config-if)#exit
Switch(config)#inter fa 0/2
Switch(config-if)#switch access vlan 3
Switch(config-if)#exit
Switch(config)#inter fa 0/24
Switch(config-if)#switch mode trunk
Switch(config-if)#end
Switch#show vlan
Switch2
Switch>en
Switch#conf t
Switch(config)#vlan 2
Switch(config-vlan)#exit
Switch(config)#vlan 3
Switch(config-vlan)#exit
Switch(config)#int fa 0/1
Switch(config-if)#switch access vlan 2
Switch(config-if)#exit
Switch(config)#int fa 0/2
Switch(config-if)#switch access vlan 3
Switch(config-if)#exit
Switch(config)#int fa 0/24
Switch(config-if)#switch mode trunk
Switch(config-if)#end
Switch#show vlan
PC1 ping PC2 timeout
PC1 ping PC3 Reply
第七章 三層交換機基本配置
實驗目標
l 理解三層交換機的基本原理;
l 掌握三層交換機物理端口開啟路由功能的配置方法;
l
實驗背景
公司現有1台三層交換機,要求你進行測試,該交換機的三層功能是否工作正常。
技術原理
- 開啟路由功能
- Switch(config)#ip routing
- Switch (config)#interface fastEthernet 0/5
- Switch (config-if)#no switchport
- Switch (config-if)#ip address 192.168.1.1 255.255.255.0
- Switch (config-if)#no shutdown
- Switch (config-if)#end
- 配置三層交換機端口的路由功能
如果是三層交換機的話,可以用到no switchport此命令。
三層交換機是帶有三層路由功能的交換機,也就是這台交換機的端口既有三層路由功能,也具有二層交換功能。三層交換機端口默認為二層口,如果需要啟用三層功能就需要在此端口輸入no switchport命令。如果是二層交換機就不會用到no switchport命令。
實驗設備
交換機35601台,PC1台,直通線,配置線
PC0設置
192.168.1.2
255.255.255.0
PC0桌面上的終端
Switch>en
Switch#config t
Switch(config)#hostname S3550
S3550(config)#ip routing //開啟路由功能
S3550(config)#interface fastEthernet 0/5
S3550(config-if)#no switchport //該端口啟用三層路由功能
S3550(config-if)#ip address 192.168.5.1 255.255.255.0 //配置IP地址
S3550(config-if)#no shutdown //開啟端口
S3550(config-if)#end
S3550#
思考題:利用三層交換機的路由功能固定IP地址的方法實現不同vlan之間聯通?
第八章 利用三層交換機實現VLAN間路由
實驗目標
l 掌握交換機Tag VLAN的配置
l 掌握三層交換機基本配置方法;
l 掌握三層交換機VLAN路由的配置方法;
l 通過三層交換機實現VLAN間相互通信;
實驗背景
l 某企業有兩個主要部門,技術部和銷售部,分處於不同的辦公室,為了安全和便於管理對兩個部門的主機進行了VLAN的划分,技術部和銷售部分處於不同的VLAN,先由於業務的需求需要銷售部和技術部的主機能夠相互訪問,獲得相應的資源,兩個部門的交換機通過一台三層交換機進行了連接。
技術原理
l 三層交換機具備網絡層的功能,實現VLAN相互訪問的原理是:利用三層交換機的路由功能,通過識別數據包的IP地址,查找路由表進行選路轉發,三層交換機利用直連路由可以實現不同VLAN之間的相互訪問。三層交換機給接口配置IP地址。采用SVI(交換虛擬接口)的方式實現VLAN間互連。SVI是指為交換機中的VLAN創建虛擬接口,並且配置IP地址。
實驗步驟
l 新建packet tracer拓撲圖
l (1)在二層交換機上配置VLAN2、VLAN3,分別將端口2、端口3划分給VLAN2、VLAN3。
l (2)將二層交換機與三層交換機相連的端口fa 0/1都定義為tag Vlan模式。
l (3)在三層交換機上配置VLAN2、VLAN3,此時驗證二層交換機VLAN2、VLAN3下的主機之間不能相互通信。
l (4)設置三層交換機VLAN間的通信,創建VLAN2,VLAN3的虛接口,並配置虛接口VLAN2、VLAN3的IP地址。
l (5)查看三層交換機路由表。
l (6)將二層交換機VLAN2、VLAN3下的主機默認網關分別設置為相應虛擬接口的IP地址。
l (7)驗證二層交換機VLAN2,VALN3下的主機之間可以相互通信。
首先在三層交換機上分別設置各VLAN的接口IP地址。三層交換機將vlan做為一種接口對待,就象路由器上的一樣,再在各接入VLAN的計算機上設置與所屬VLAN的網絡地址一致的IP地址,並且把默認網關設置為該VLAN的接口地址。這樣,所有的VLAN也可以互訪了。
實驗設備
Switch_2960 1台;Swithc_3560 1台;PC 3台;直連線
PC1
IP: 192.168.1.2
Submark: 255.255.255.0
Gateway: 192.168.1.1
PC2
IP: 192.168.2.2
Submark: 255.255.255.0
Gateway: 192.168.2.1
PC3
IP: 192.168.1.3
Submark: 255.255.255.0
Gateway: 192.168.1.1
PC1 Ping PC3
Ping 192.168.1.3 reply
PC1 Ping PC2
Ping 192.168.2.2 timeout
S2960
Switch>en
Switch#conf t
Switch(config )#vlan 2
Switch(config-vlan)#exit
Switch(config )#vlan 3
Switch(config-vlan)#exit
Switch(config )#int fa 0/2
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config )#int fa 0/3
Switch(config-if)#switchport access vlan 3
Switch(config-if)#exit
Switch(config )#int fa 0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#end
Switch#show vlan
S3560
Switch>en
Switch#conf t
Switch(config )#vlan 2 //新建vlan 2
Switch(config-vlan)#exit
Switch(config )#vlan 3 //新建vlan 3
Switch(config-vlan)#exit
Switch(config )#ip routing //開啟路由功能
Switch(config )#int fa 0/1 //進入0模塊第1端口
Tag vlan
Switch(config-if)#switchport trunk encapsulation dot1q //給這個接口的trunk封裝為802.1Q的幀格式
Switch(config-if)#switchport mode trunk //定義這個接口的工作模式為trunk
Switch(config-if)#exit
Switch(config )#int fa 0/2 //進入0模塊第2端口
Switch(config-if)#switchport access vlan 2 //當前端口加入vlan 2
Switch(config-if)#exit
Switch(config )#interface vlan 2 //進入vlan2 虛擬接口
Switch(config-if)#ip address 192.168.1.1 255.255.255.0 //配置IP地址
Switch(config-if)#no shutdown //開啟該端口
Switch(config-if)#exit
Switch(config )#interface vlan 3
Switch(config-if)#ip address 192.168.2.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#end
Switch#show ip route //顯示路由表
Switch#show vlan //顯示vlan信息
PC1 Ping PC3
Ping 192.168.1.3 reply
PC1 Ping PC2
Ping 192.168.2.2 reply
第九章 快速生成樹配置
實驗目標
l 理解生成樹協議工作原理;
l 掌握快速生成樹協議RSTP基本配置方法;
實驗背景
l 學校為了開展計算機教學和網絡辦公,建立的一個計算機教室和一個校辦公區,這兩處的計算機網絡通過兩台交換機互聯組成內部校園網,為了提高網絡的可靠性,作為網絡管理員,你要用2條鏈路將交換機互連,現要求在交換機上做適當配置,使網絡避免環路。
技術原理
l 生成樹協議(spanning-tree),作用是在交換網絡中提供冗余備份鏈路,並且解決交換網絡中的環路問題;
l 生成樹協議是利用SPA算法,在存在交換機環路的網絡中生成一個沒有環路的屬性網絡,運用該算法將交換網絡的冗余備份鏈路從邏輯上斷開,當主鏈路出現故障時,能夠自動的切換到備份鏈路,保證數據的正常轉發。
l 生成樹協議版本:STP、RSTP(快速生成樹協議)、MSTP(多生成樹協議)。
l 生成樹協議的特點收斂時間長。從主要鏈路出現故障到切換至備份鏈路需要50秒時間。
l 快速生成樹在生成樹協議的基礎上增加了兩種端口角色,替換端口或備份端口,分別作為根端口和指定端口。當根端口或指定端口出現故障時,冗余端口不需要經過50秒的收斂時間,可以直接切換到替換端口或備份端口,從而實現RSTP協議小於1秒的快速收斂。
實現功能
l 使網絡在有冗余鏈路的情況下避免環路的產生,避免廣播風暴等。
實驗步驟
l 新建packet tracer拓撲圖
l 默認情況下STP協議是啟用的。通過兩台交換機之間傳送BPDU協議數據單元。選出根交換機、根端口等,以便確定端口的轉發狀態。圖中標記為黃色的端口處於block堵塞狀態。
l 設置RSTP。
l 查看交換機show spanning-tree狀態,了解跟交換機和根端口情況。
l 通過更改交換機生成樹的優先級spanning-tree vlan 10 priority 4096可以變化跟交換機的角色。
l 測試。當主鏈路處於down狀態時候,能夠自動的切換到備份鏈路,保證數據的正常轉發。
實驗設備
Switch_2960 2台;PC 2台;直連線(各設備互聯)
按照拓撲圖連接網絡時注意,兩台交換機都配置快速生成樹協議后,再將兩台交換機連接起
來。如果先連線再配置會造成廣播風暴,影響交換機的正常工作。
PC1
IP: 192.168.1.2
Submask: 255.255.255.0
Gateway: 192.168.1.1
PC2
IP: 192.168.1.3
Submask: 255.255.255.0
Gateway: 192.168.1.1
PC1 ping PC2 reply
S1
Switch>en
Switch#show spanning-tree //查看生成樹的配置信息
StpVersion : RSTP !生成樹協議的版本
SysStpStatus : Enabled !生成樹協議運行狀態,disable 為關閉狀態
Priority : 32768 !查看交換機的優先級
RootCost : 200000 !交換機到達根交換機的開銷
RootPort : Fa0/1 !查看交換機上的根端口
或者
RootCost: 0 !交換機到達根交換機的開銷,0 代表本交換機為根
RootPort: 0 !查看交換機上的根端口,0 代表本交換機為根
Switch#show spanning-tree interface fastEthernet 0/1
!顯示Switch 端口fastethernet 0/1 的狀態
PortState : forwarding
!SwitchB 的端口fastthernet 0/1 處於轉發(forwarding)狀態
PortRole : rootPort !查看端口角色為根端口
Switch#show spanning-tree interface fastEthernet 0/2
!顯示Switch 端口fastethernet 0/2的狀態
PortState : discarding
!SwitchB的端口fastthernet 0/2處於阻塞(discarding)狀態
Switch#conf t
Switch(config)#int fa 0/10
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#int rang fa 0/1 - 2
Switch(config-range)#switchport mode trunk
Switch(config-range)#exit
Switch(config)#spanning-tree mode rapid-pvst // ! 指定生成樹協議的類型為RSTP
Switch(config)#end
S2
Switch>en
Switch#conf t
Switch(config)#int fa 0/10
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#int range fa 0/1 - 2
Switch(config-range)#switchport mode turnk
Switch(config-range)#exit
Switch(config)#spanning-tree mode rapid-pvst
Switch(config)#end
Switch#show spanning-tree
PC1
Ipconfig /all
ping -t 192.168.1.3 reply
S2
Switch>en
Switch#conf t
Switch(config)#int fa 0/1
Switch(config-if)#shutdown //關閉該端口
(查看PC1的ping情況是否正常)
PC1
ping -t 192.168.1.3 reply
檢查哪一個是根交換機,哪一個是根端口,哪些端口是阻塞的。
第十章 路由器的基本配置
實驗目標
l 掌握路由器幾種常用配置方法;
l 掌握采用Console線纜配置路由器的方法;
l 掌握采用Telnet方式配置路由器的方法;
l 熟悉路由器不同的命令行操作模式以及各種模式之間的切換;
l 掌握路由器的基本配置命令;
實驗背景
l 你是某公司新進的網管,公司要求你熟悉網絡產品,首先要求你登錄路由器,了解、掌握路由器的命令行操作;
l 作為網絡管理員,你第一次在設備機房對路由器進行了初次配置后,希望以后在辦公室或出差時也可以對設備進行遠程管理,現要在路由器上做適當配置。
技術原理
l 路由器的管理方式基本分為兩種:帶內管理和帶外管理。通過路由器的Console口管理路由器屬於帶外管理,不占用路由器的網絡接口,其特點是需要使用配置線纜,近距離配置。第一次配置時必須利用Console端口進行配置。
實驗步驟
l 新建packet tracer拓撲圖
l (1)用標准console線纜用於連接計算機的串口和路由器的console口上。在計算機上啟用超級終端,並配置超級終端的參數,是計算機與路由器通過console接口建立連接;
l (2)配置路由器的管理的IP地址,並為Telnet用戶配置用戶名和登錄口令。配置計算機的IP地址(與路由器管理IP地址在同一個網段),通過網線將計算機和路由器相連,通過計算機Telnet到路由器上對交換機進行查看;
l (3)更改路由器的主機名;
l (4)擦除配置信息。保存配置信息,顯示配置信息;
l (5)顯示當前配置信息;
l (6)顯示歷史命令。
實驗設備
Router_2811 1台;PC 1台;交叉線;配置線
說明: 交叉線:路由器與計算機相連 路由器與交換機相連
直連線:計算機與交換機相連
PC
IP: 192.168.1.2
Submask: 255.255.255.0
Gageway:192.168.1.1
Router(不需做)
圖形化:界面開啟FastEthernet0/0端口
命令行:rip 視圖:router rip; osfp視圖:router osfp 1
PC 終端
Router>en
Router #conf t
Router (config)#hostname R1
R1(config)#enable secret 123456 //設置特權模式密碼
R1(config)#exit
R1#exit
R1>en
password:此時輸入密碼,輸入的密碼不顯示
R1#conf t
R1(config)#line vty 0 4 //設置telnet遠程登錄密碼
R1(config-line)#password 5ijsj
R1(config-line)#login
R1(config-line)#exit
R1(config)#interface fa 0/0 //進入路由器0模塊第0端口
R1(config-if)#ip address 192.168.1.1 255.255.255.0 //該端口配置相應的IP地址和子網掩碼
R1(config-if)#no shut //開啟端口
R1(config-if)#end
PC CMD
Ipconfig /all //查看本機TCP/IP配置情況(IP地址、子網掩碼、網關、MAC地址)
ping 192.168.1.1
telnet 192.168.1.1 //遠程登錄到路由器上
password:5ijsj //輸入telnet密碼
en
password:123456 //輸入特權模式密碼
show running //顯示路由器當前配置情況
第十一章 路由器單臂路由配置
實驗目標
掌握單臂路由器配置方法;
通過單臂路由器實現不同VLAN之間互相通信;
實驗背景
某企業有兩個主要部門,技術部和銷售部,分處於不同的辦公室,為了安全和便於管理對兩個部門的主機進行了VLAN的划分,技術部和銷售部分處於不同的VLAN。現由於業務的需求需要銷售部和技術部的主機能夠相互訪問,獲得相應的資源,兩個部門的交換機通過一台路由器進行了連接。
技術原理
單臂路由:是為實現VLAN間通信的三層網絡設備路由器,它只需要一個以太網,通過創建子接口可以承擔所有VLAN的網關,而在不同的VLAN間轉發數據。
實驗步驟
新建packer tracer拓撲圖
當交換機設置兩個Vlan時,邏輯上已經成為兩個網絡,廣播被隔離了。兩個Vlan的網絡要通信,必須通過路由器,如果接入路由器的一個物理端口,則必須有兩個子接口分別與兩個Vlan對應,同時還要求與路由器相連的交換機的端口fa 0/1要設置為trunk,因為這個接口要通過兩個Vlan的數據包。
檢查設置情況,應該能夠正確的看到Vlan和Trunk信息。
計算機的網關分別指向路由器的子接口。
配置子接口,開啟路由器物理接口。
默認封裝dot1q協議。
配置路由器子接口IP地址。
實驗設備
PC 2台;Router_2811 1台;Switch_2960 1台
PC1
IP: 192.168.1.2
Submask: 255.255.255.0
Gageway:192.168.1.1
PC2
IP: 192.168.2.2
Submask: 255.255.255.0
Gageway:192.168.2.1
PC1 Ping PC2
Ping 192.168.2.2 timeout
Switch
en
conf t
vlan 2
exit
vlan 3
exit
interface fastEthernet 0/2 //進入交換機0模塊第2端口
switchport access vlan 2 //加入vlan 2
exit
int fa 0/3 //進入交換機0模塊第3端口
switchport access vlan 3 //加入vlan 3
exit
int fa 0/1 //進入交換機0模塊第1端口
switchport mode trunk //設置端口的工作模式為trunk
Router
en
conf t
int fa 0/0 //進入路由器0模塊第0端口
no shutdown //開啟該端口
exit
interface fast 0/0.1 //進入路由器0模塊第0端口第1子接口
encapsulation dot1Q 2 //封裝協議設置為dot1q 允許通過的vlan 為2
ip address 192.168.1.1 255.255.255.0 //該子接口配置IP地址為192.168.1.1
exit
int fa 0/0.2 //進入路由器0模塊第0端口第2子接口
encapsulation dot1q 3 //封裝協議設置為dot1q 允許通過的vlan 為3
ip address 192.168.2.1 255.255.255.0 //該子接口配置IP地址為192.168.2.1
end
show ip route
PC1 Ping PC2
Ping 192.168.2.2 reply
第十二章 路由器靜態路由配置
實驗目標
l 掌握靜態路由的配置方法和技巧;
l 掌握通過靜態路由方式實現網絡的連通性;
l 熟悉廣域網線纜的鏈接方式;
實驗背景
學校有新舊兩個校區,每個校區是一個獨立的局域網,為了使新舊校區能夠正常相互通訊,共享資源。每個校區出口利用一台路由器進行連接,兩台路由器間學校申請了一條2M的DDN專線進行相連,要求做適當配置實現兩個校區的正常相互訪問。
技術原理
l 路由器屬於網絡層設備,能夠根據IP包頭的信息,選擇一條最佳路徑,將數據包轉發出去。實現不同網段的主機之間的互相訪問。路由器是根據路由表進行選路和轉發的。而路由表里就是由一條條路由信息組成。
l 生成路由表主要有兩種方法:手工配置和動態配置,即靜態路由協議配置和動態路由協議配置。
l 靜態路由是指有網絡管理員手工配置的路由信息。
l 靜態路由除了具有簡單、高效、可靠的優點外,它的另一個好處是網絡安全保密性高。
l 缺省路由可以看做是靜態路由的一種特殊情況。當數據在查找路由表時,沒有找到和目標相匹配的路由表項時,為數據指定路由。
實驗步驟
l 新建packet tracer拓撲圖
l (1)在路由器R1、R2上配置接口的IP地址和R1串口上的時鍾頻率;
l (2)查看路由器生成的直連路由;
l (3)在路由器R1、R2上配置靜態路由;
l (4)驗證R1、R2上的靜態路由配置;
l (5)將PC1、PC2主機默認網關分別設置為路由器接口fa 1/0的IP地址;
l (6)PC1、PC2主機之間可以相互通信;
實驗設備
pc 2台;Router-PT可擴展路由 2台(Switch_2811無V.35線接口);Switch_2960 2台;DCE 串口線;直連線;交叉線
PC1
IP: 192.168.1.2
Submask: 255.255.255.0
Gateway: 192.168.1.1
PC2
IP: 192.168.2.2
Submask: 255.255.255.0
Gateway: 192.168.2.1
PC1 ping PC2
Ping 192.168.2.2 timeout
R1
en
conf t
hostname R1
int fa 1/0
no shut
ip address 192.168.1.1 255.255.255.0
exit
int serial 2/0
ip address 192.168.3.1 255.255.255.0
clock rate 64000(必須配置時鍾才可通信)
no shut
end
R2
en
conf t
hostname R2
int fa 1/0
ip address 192.168.2.1 255.255.255.0
no shut
exit
int serial 2/0
ip address 192.168.3.2 255.255.255.0
no shut
end
R1
en
conf t
ip route 192.168.2.0 255.255.255.0 192.168.3.2
end
show ip route
R2
en
conf t
ip route 192.168.1.0 255.255.255.0 192.168.3.1
end
show ip route
PC1 Ping PC2
Ping 192.168.2.2 reply
第十三章 路由器RIP動態路由配置
實驗目的
l 掌握RIP協議的配置方法:
l 掌握查看通過動態路由協議RIP學習產生的路由;
l 熟悉廣域網線纜的鏈接方式;
實驗背景
假設校園網通過一台三層交換機連到校園網出口路由器上,路由器再和校園外的另一台路由器連接。現要做適當配置,實現校園網內部主機與校園網外部主機之間的相互通信。為了簡化網管的管理維護工作,學校決定采用RIPV2協議實現互通。
技術原理
l RIP(Routing Information Protocols,路由信息協議)是應用較早、使用較普遍的IGP內部網管協議,使用於小型同類網絡,是距離矢量協議;
l RIP協議跳數作為衡量路徑開銷的,RIP協議里規定最大跳數為15;
l RIP協議有兩個版本:RIPv1和RIPv2,RIPv1屬於有類路由協議,不支持VLSM,以廣播形式進行路由信息的更新,更新周期為30秒;RIPv2屬於無類路由協議,支持VLSM,以組播形式進行路由更細。
實驗步驟
l 建立建立packet tracer拓撲圖
l (1)在本實驗中的三層交換機上划分VLAN10和VLAN20,其中VLAN10用於連接校園網主機,VLAN20用於連接R1。
l (2)路由器之間通過V.35電纜通過串口連接,DCE端連接在R1上,配置其時鍾頻率64000。
l (3)主機和交換機通過直連線,主機與路由器通過交叉線連接。
l (4)在S3560上配置RIPV2路由協議。
l (5)在路由器R1、R2上配置RIPV2路由協議。
l (6)將PC1、PC2主機默認網關設置為與直連網路設備接口IP地址。
l (7)驗證PC1、PC2主機之間可以互相同信;
實驗設備
PC 2台;Switch_3560 1台;Router-PT 2台;直連線;交叉線;DCE 串口線
PC1
IP: 192.168.1.2
Submask: 255.255.255.0
Gateway: 192.168.1.1
PC2
IP: 192.168.2.2
Submask: 255.255.255.0
Gateway: 192.168.2.1
S3560
en
conf t
hostname S3560
vlan 10
exit
vlan 20
exit
interface fa 0/10
switchport access vlan 10
exit
interface fa 0/20
switchport access valn 20
exit
end
show vlan
conf t
interface vlan 10
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface vlan 20
ip address 192.168.3.1 255.255.255.0
no shutdown
end
show ip route
show runing
conf t
router rip
network 192.168.1.0
network 192.168.3.0
version 2
end
show ip route
R1
en
conf t
hostname R1
interface fa 0/0
no shutdown
ip address 192.168.3.2 255.255.255.0
exit
interface serial 2/0
no shutdown
ip address 192.168.4.1 255.255.255.0
clock rate 64000
end
show ip route
conf t
router rip
network 192.168.3.0
network 192.168.4.0
version 2
exit
R2
en
conf t
hostname R2
interface fa 0/0
no shutdown
ip address 192.168.2.1 255.255.255.0
exit
interface serial 2/0
no shutdown
ip address 192.168.4.2 255.255.255.0
end
show ip route
conf t
router rip
network 192.168.2.0
netword 192.168.4.0
version 2
end
PC1 Ping PC2
Ping 192.168.2.2 reply
第十四章 路由器OSPF動態路由配置
實驗目的
l 掌握OSPF協議的配置方法:
l 掌握查看通過動態路由協議OSPF學習產生的路由;
l 熟悉廣域網線纜的鏈接方式;
實驗背景
假設校園網通過一台三層交換機連到校園網出口路由器上,路由器再和校園外的另一台路由器連接。現要做適當配置,實現校園網內部主機與校園網外部主機之間的相互通信。為了簡化網管的管理維護工作,學校決定采用OSPF協議實現互通。
技術原理
l OSPF開放式最短路徑優先協議,是目前網路中應用最廣泛的路由協議之一。屬於內部網管路由協議,能夠適應各種規模的網絡環境,是典型的鏈路狀態協議。OSPF路由協議通過向全網擴散本設備的鏈路狀態信息,使網絡中每台設備最終同步一個具有全網鏈路狀態的數據庫,然后路由器采用SPF算法,以自己為根,計算到達其他網絡的最短路徑,最終形成全網路由信息。
實驗步驟
l 新建packet tracer拓撲圖
l (1)在本實驗中的三層交換機上划分VLAN10和VLAN20,其中VLAN10用於連接校園網主機,VLAN20用於連接R1。
l (2)路由器之間通過V35電纜通過串口連接,DCE端連接在R1上,配置其時鍾頻率64000。
l (3)主機和交換機通過直連線,主機與路由器通過交叉線連接。
l (4)在S3560上配置OSPF路由協議。
l (5)在路由器R1、R2上配置OSPF路由協議。
l (6)將PC1、PC2主機默認網關設置為與直連網路設備接口IP地址。
l (7)驗證PC1、PC2主機之間可以互相同信;
實驗設備
PC 2台;Switch_3560 1台;Router-PT 2台;直連線;交叉線;DCE串口線
PC1
IP: 192.168.1.2
Submask: 255.255.255.0
Gateway: 192.168.1.1
PC2
IP: 192.168.2.2
Submask: 255.255.255.0
Gateway: 192.168.2.1
S3560
en
conf t
hostname S3569
vlan 10
exit
vlan 20
interface fa 0/10
switchport access vlan 10
exit
int fa 0/20
switchport access valn 20
exit
interface valn 10
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface vlan 20
ip address 192.168.3.1 255.255.255.0
no shutdown
end
show ip route
conf t
router ospf 1
network 192.168.1.0 0.0.0.255 area 0
network 192.168.3.0 0.0.0.255 area 0
end
show ip route
R1
en
conf t
hostname R1
interface fa 0/0
no shutdown
ip address 192.168.3.2 255.255.255.0
exit
interface serial 2/0
no shutdown
clock rate 64000
ip address 192.168.4.1 255.255.255.0
end
show ip route
conf t
router ospf 1
network 192.168.3.0 0.0.0.255 area 0
network 192.168.4.0 0.0.0.255 area 0
end
show ip route
R2
en
conf t
hostname R2
interface fa 0/0
no shutdown
ip address 192.168.2.1 255.255.255.0
exit
interface serial 2/0
no shutdown
ip address 192.168.4.2 255.255.255.0
end
show ip route
conf t
router ospf 1
network 192.168.2.0 0.0.0.255 area 0
network 192.168.4.0 0.0.0.255 area 0
end
show ip route
第十五章 路由器綜合路由配置
實驗目標
掌握綜合路由器的配置方法;
掌握查看通過路由重分布學習產生的路由;
熟悉廣域網線纜的鏈接方式;
實驗背景
假設某公司通過一台三層交換機連到公司出口路由器R1上,路由器R1再和公司外的另一台路由器R2連接。三層交換機與R1間運行RIPV2路由協議,R1與R2間運行OSPF路由協議。現要做適當配置,實現公司內部主機與公司外部主機之間的相互通信。
技術原理
為了支持本設備能夠運行多個路由協議進程,系統軟件提供了路由信息從一個路由進程重分布到另一個路由進程的功能。比如你可以將OSPF路由域的路由重新分布后通高RIP路由域中,也可以將RIP路由域的路由重新分布后通告到OSPF路由域中。路由的相互重分布可以在所有的IP路由協議之間進行。
要把路由從一個路由域分布到另一個路由域,並且進行控制路由重分布,在路由進程配置模式中執行以下命令:
redistribute protocol [metric metric][metric-type metric-type][match internal|external type|nssa-external type][tag tag][route-map route-map-name][subnets]
實驗步驟
新建Packet Tracer拓撲圖
(1)PC與交換機間用直連線連接;PC與路由、路由與路由之間用交叉線連接。
(2)在三層上划分2個Vlan,運行RIPV2協議;R2運行OSPF協議。
(5)在路由器R1上左側配置RIPV2路由協議;右側配置OSPF協議。
(6)在R1路由進程中引入外部路由,進行路由重分布。
(7)將PC1、PC2主機默認網關分別設置為與直接網絡設備接口IP地址。
(8)驗證PC1、PC2主機之間可以互相通信;
實驗設備
Router_1841 2台;Switch_3560 1台;直通線;交叉線
PC0
IP: 192.168.1.2
Submask: 255.255.255.0
Gageway: 192.168.1.1
PC1
IP: 192.168.4.2
Submask: 255.255.255.0
Gageway: 192.168.4.1
Switch0
en
conf t
vlan 2
exit
int fa 0/10
switchport access vlan 2
exit
int vlan 1
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
int vlan 2
ip address 192.168.2.1 225.255.255.0
no shutdown
end
show int vlan 1
conf t
router rip
network 192.168.1.0
network 192.168.2.0
version 2
Router0
en
conf t
host R1
inf fa 0/0
ip address 192.168.2.2 255.255.255.0
no shutdown
int fa 0/1
ip address 192.168.3.1 255.255.255.0
no shutdown
exit
router rip
network 192.168.2.0
version 2
router ospf 1
network 192.168.3.0 0.0.0.255 area 0
Route1
en
conf t
host R2
int fa 0/1
ip address 192.168.3.2 255.255.255.0
no shutdown
int fa 0/0
ip address 192.168.4.1 255.255.255.0
no shutdown
exit
router ospf 1
network 192.168.3.0 0.0.0.255 area 0
network 192.168.4.0 0.0.0.255 area 0
end
show ip route
Router0
end
show ip route
show run
show ip route
ping 192.168.1.2 (success)
ping 192.168.4.2 (success)
PC0
ping 192.168.4.2 (Replay form 192.168.1.1: Destination host unreachable)
Switch_3560
show ip rout (只有兩條直連路由)
Router0
conf t
router rip
redistribute ospf 1
exit
router ospf 1
redistribute rip subnets
end
Router1
show ip route
PC0
ping 192.168.4.2 (Replay form 192.168.4.2: byes=32 time=125ms TTL=125)
說明:本例在Packet Tracer 5.2上能正常運行,在Packet Tracer 5.3上Switch0不能學習到192.168.3.0、192.168.4.0的路由信息,需要給Switch0指定靜態路由:ip route 0.0.0.0 0.0.0.0 192.168.2.2
第十六章 標准IP訪問控制列表配置
實驗目標
理解標准IP訪問控制列表的原理及功能;
掌握編號的標准IP訪問控制列表的配置方法;
實驗背景
你是公司的網絡管理員,公司的經理部、財務部們和銷售部門分屬於不同的3個網段,三部門之間用路由器進行信息傳遞,為了安全起見,公司領導要求銷售部門不能對財務部進行訪問,但經理部可以對財務部進行訪問。
PC1代表經理部的主機、PC2代表銷售部的主機、PC3代表財務部的主機。
技術原理
ACLs的全稱為接入控制列表(Access Control Lists),也稱訪問控制列表(Access Lists),俗稱防火牆,在有的文檔中還稱包過濾。ACLs通過定義一些規則對網絡設備接口上的數據包文進行控制;允許通過或丟棄,從而提高網絡可管理型和安全性;
IP ACL分為兩種:標准IP訪問列表和擴展IP訪問列表,編號范圍為1~99、1300~1999、100~199、2000~2699;
標准IP訪問控制列表可以根據數據包的源IP地址定義規則,進行數據包的過濾;
擴展IP訪問列表可以根據數據包的原IP、目的IP、源端口、目的端口、協議來定義規則,進行數據包的過濾;
IP ACL基於接口進行規則的應用,分為:入棧應用和出棧應用;
實驗步驟
新建Packet Tracer拓撲圖
(1)路由器之間通過V.35電纜通過串口連接,DCE端連接在R1上,配置其時鍾頻率64000;主機與路由器通過交叉線連接。
(2)配置路由器接口IP地址。
(3)在路由器上配置靜態路由協議,讓三台PC能夠相互Ping通,因為只有在互通的前提下才涉及到方控制列表。
(4)在R1上編號的IP標准訪問控制
(5)將標准IP訪問控制應用到接口上。
(6)驗證主機之間的互通性。
實驗設備
PC 3台;Router-PT 2台;交叉線;DCE串口線;
PC0
IP: 172.16.1.2
Submask: 255.255.255.0
Gageway: 172.16.1.1
PC1
IP: 172.16.2.2
Submask: 255.255.255.0
Gageway: 172.16.2.1
PC2
IP: 172.16.4.2
Submask: 255.255.255.0
Gageway: 172.16.4.1
Router0
en
conf t
host R0
int fa 0/0
ip address 172.16.1.1 255.255.255.0
no shutdown
int fa 1/0
ip address 172.16.2.1 255.255.255.0
no shutdown
int s 2/0
ip address 172.16.3.1 255.255.255.0
no shutdown
clock rate 64000
Router1
en
conf t
host R1
int s 2/0
ip address 172.16.3.2 255.255.255.0
no shutdown
int fa 0/0
ip address 172.16.4.1 255.255.255.0
no shutdown
Router0
exit
ip route 172.16.4.0 255.255.255.0 172.16.3.2
Router1
exit
ip route 0.0.0.0 0.0.0.0 172.16.3.1
end
show ip route
PC0
ping 172.16.4.2 (success)
PC1
ping 172.16.4.2 (success)
Router0
ip access-list standard 5ijsj
permit 172.16.1.0 0.0.0.255
deny 172.16.2.0 0.0.0.255 (如果有上面的permit默認跟一個deny,所以此命令可不寫)
conf t
int s 2/0
ip access-group 5ijsj out
end
PC0
ping 172.16.4.2 (success)
PC1
ping 172.16.4.2 (Replay from 172.16.2.1: Destination host unreachable)
第十七章 擴展IP訪問控制列表配置
實驗目標
理解標准IP訪問控制列表的原理及功能;
掌握編號的標准IP訪問控制列表的配置方法;
實驗背景
你是公司的網絡管理員,公司的經理部、財務部們和銷售部門分屬於不同的3個網段,三部門之間用路由器進行信息傳遞,為了安全起見,公司領導要求銷售部門不能對財務部進行訪問,但經理部可以對財務部進行訪問。
PC1代表經理部的主機、PC2代表銷售部的主機、PC3代表財務部的主機。
技術原理
訪問列表中定義的典型規則主要有以下:源地址、目標地址、上層協議、時間區域;
擴展IP訪問列表(編號100-199、2000、2699)使用以上四種組合來進行轉發或阻斷分組;可以根據數據包的源IP、目的IP、源端口、目的端口、協議來定義規則,進行數據包的過濾。
擴展IP訪問列表的配置包括以下兩部:
定義擴展IP訪問列表
將擴展IP訪問列表應用於特定接口上
實驗步驟
新建Packet Tracer拓撲圖
(1)分公司出口路由器與外路由器之間通過V.35電纜串口連接,DCE端連接在R2上,配置其時鍾頻率64000;主機與路由器通過交叉線連接。
(2)配置PC機、服務器及路由器接口IP地址。
(3)在各路由器上配置靜態路由協議,讓PC間能相互ping通,因為只有在互通的前提下才涉及到訪問控制列表。
(4)在R2上配置編號的IP擴展訪問控制列表。
(5)將擴展IP訪問列表應用到接口上、。
(6)驗證主機之間的互通性。
實驗設備
PC 1台;Server-PT 1台; Router-PT 3台;交叉線;DCE串口線
PC0
IP: 172.16.1.2
Submask: 255.255.255.0
Gateway: 172.16.1.1
Server0
IP: 172.16.4.2
Submask: 255.255.255.0
Gateway: 172.16.4.1
Router0
en
conf t
host R0
int fa 0/0
ip address 172.16.1.1 255.255.255.0
no shutdown
int fa 1/0
ip address 172.16.2.1 255.255.255.0
no shutdown
exit
Router1
en
conf t
host R1
int fa 1/0
ip address 172.16.2.2 255.255.255.0
no shutdown
int s 2/0
ip address 172.16.3.1 255.255.255.0
no shutdown
clock rate 64000
Router2
en
conf t
host R2
int s 2/0
ip address 172.16.3.2 255.255.255.0
no shutdown
int fa 0/0
ip address 172.16.4.1 255.255.255.0
no shutdown
Router0
ip route 0.0.0.0 0.0.0.0 172.16.2.2
Router2
exit
ip route 0.0.0.0 0.0.0.0 172.16.3.1
Router1
eixt
ip route 172.16.1.0 255.255.255.0 172.16.2.1
ip route 172.16.4.0 255.255.255.0 172.16.3.2
end
show ip route
PC0
ping 172.16.4.2(success)
Web瀏覽器:http://172.16.4.2(success)
Router1
conf t
access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq www
access-lint 100 deny icmp host 172.16.1.2 host 172.16.4.2 echo
int s 2/0
ip access-group 100 out
end
PC0
Web瀏覽器:http://172.16.4.2(success)
ping 172.16.4.2(Reply from 172.16.2.2: Destination host unreachable)
第十八章 網絡地址轉換NAT配置
實驗目標
理解NAT網絡地址轉換的原理及功能;
掌握靜態NAT的配置,實現局域網訪問互聯網;
實驗背景
你是某公司的網絡管理員,欲發布公司的WWW服務。現要求將內網Web服務器IP地址映射為全局IP地址,實現外部網絡可以訪問公司內部Web服務器。
技術原理
網絡地址轉換NAT(Network Address Translation),被廣泛應用於各種類型Internet接入方式和各種類型的網絡中。原因很簡單,NAT不僅完美地解決了IP地址不足的問題,而且還能夠有效地避免來自網絡外部的攻擊,隱藏並保護網絡內部的計算機。
默認情況下,內部IP地址是無法被路由到外網的,內部主機10.1.1.1要與外部Internet通信,IP包到達NAT路由器時,IP包頭的源地址10.1.1.1被替換成一個合法的外網IP,並在NAT轉發表中保存這條記錄。當外部主機發送一個應答到內網時,NAT路由器受到后,查看當前NAT轉換表,用10.1.1.1替換掉這個外網地址。
NAT將網絡划分為內部網絡和外部網絡兩部分,局域網主機利用NAT訪問網絡時,是將局域網內部的本地地址轉換為全局地址(互聯網合法的IP地址)后轉發數據包;
NAT分為兩種類型:NAT(網絡地址轉換)和NAPT(網絡端口地址轉換IP地址對應一個全局地址)。
靜態NAT:實現內部地址與外部地址一對一的映射。現實中,一般都用於服務器;
動態NAT:定義一個地址池,自動映射,也是一對一的。現實中,用得比較少;
NAPT:使用不同的端口來映射多個內網IP地址到一個指定的外網IP地址,多對一。
實驗步驟
新建Packet Tracer拓撲圖
(1)R1為公司出口路由器,其與外部路由器之間通過V.35電纜串口連接,DCE端連接在R1上,配置其時鍾頻率64000;
(2)配置PC機、服務器及路由器接口IP地址;
(3)在各路由器上配置靜態路由協議,讓PC間能相互Ping通;
(4)在R1上配置靜態NAT。
(5)在R1上定義內外網絡接口。
(6)驗證主機之間的互通性。
實驗設備
PC 1台;Server-PT 1台;Switch_2950-24 1台;Router-PT 2台;直連線;交叉線;DCE串口線
Server-PT
192.168.1.2
255.255.255.0
192.168.1.1
PC0
222.0.2.2
255.255.255.0
222.0.2.1
Router0
en
conf t
host R0
int fa 0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
int s 2/0
ip address 222.0.1.1 255.255.255.0
no shutdown
clock rate 64000
Router1
en
conf t
host R1
int s 2/0
ip address 222.0.1.2 255.255.255.0
no shut
int fa 0/0
ip address 222.0.2.1 255.255.255.0
no shutdown
Router0
exit;
ip route 222.0.2.0 255.255.255.0 222.0.1.2
Router1
exit
ip route 192.168.1.0 255.255.255.0 222.0.1.1
end
show ip route
PC0
CMD
ping 192.168.1.2 (success)
Web瀏覽器
http://192.168.1.2 (success)
Router0
int fa 0/0
ip nat inside
int s 2/0
ip nat outside
exit
ip nat inside source static 192.168.1.2 222.0.1.3
end
show ip nat translations
PC0
Web瀏覽器
http://222.0.1.3 (success)
Router0
show ip nat translations
第十九章 網絡端口地址轉換NAPT配置
實驗目的
理解NAT網絡地址轉換的原理及功能;
掌握NAPT的配置,實現局域網訪問互聯網;
實驗背景
你是某公司的網絡管理員,公司辦公網需要接入互聯網,公司只向ISP申請了一條專線,該專線分配了一個公司IP地址,配置實現全公司的主機都能訪問外網。
技術原理
NAT將網絡划分為內部網絡和外部網絡兩部分,局域網主機利用NAT訪問網絡時,是將局域網內部的本地地址轉換為全局地址(互聯網合法的IP地址)后轉發數據包;
NAT分為兩種類型:NAT(網絡地址轉換)和NAPT(網絡端口地址轉換IP地址對應一個全局地址)。
NAPT:使用不同的端口來映射多個內網IP地址到一個指定的外網IP地址,多對一。
NAPT采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問,從而可以最大限度地節約IP地址資源。同時,又可隱藏網絡內部的所有主機,有效避免來自Internet的攻擊。因此,目前網絡中應用最多的就是端口多路復用方式。
實驗步驟
新建Packet Tracer拓撲圖
(1)R1為公司出口路由器,其與ISP路由器之間通過V.35電纜串口連接,DCE端連接在R1上,配置其時鍾頻率64000;
(2)配置PC機、服務器及路由器接口IP地址;
(3)在各路由器上配置靜態路由協議,讓PC間能相互Ping通;
(4)在R1上配置NAPT。
(5)在R1上定義內外網絡接口。
(6)驗證主機之間的互通性。
實驗設備
PC 2台;Server-PT 1台;Switch_2950-24 1台Router-PT 2台;直通線;交叉線;DCE串口線
PC1
192.168.1.2
255.255.255.0
192.168.1.1
PC2
192.168.1.3
255.255.255.0
192.168.1.1
Server
200.1.2.2
255.255.255.0
200.1.2.1
Router0
en
conf t
host R0
int fa 0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
int s 2/0
ip address 200.1.1.1 255.255.255.0
no shutdown
clock rate 64000
Router1
en
conf t
host R1
int s 2/0
ip address 200.1.1.2 255.255.255.0
no shutdown
int fa 0/0
ip address 200.1.2.1 255.255.255.0
no shutdown
Router0
exit
ip route 200.1.2.0 255.255.255.0 200.1.1.2
Router1
exit
ip route 192.168.1.0 255.255.255.0 200.1.1.1
end
show ip route
PC1
CMD
ping 200.1.2.2 (success)
Web瀏覽器
http://200.1.2.2 (success)
Router0
int fa 0/0
ip nat inside
int s 2/0
ip nat outside
exit
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat pool 5ijsj 200.1.1.3 200.1.1.3 netmask 255.255.255.0
ip nat inside source list 1 pool 5ijsj overload (無overload表示多對多,有overload表示多對一)
end
show ip nat translations(無結果)
PC1
Web瀏覽器
http://200.1.2.2 (success)
Router0
show ip nat translations(有1個結果)
PC2
Web瀏覽器
http://200.1.2.2 (success)
Router0
show ip nat translations(有2個結果)
第二十章 交換機端口安全
實驗目的
掌握交換機的端口安全功能,控制用戶的安全接入。
背景描述
你是一個公司的網絡管理員,公司要求對網絡進行嚴格控制。為了防止公司內部用戶的 IP
地址沖突,防止公司內部的網絡攻擊和破壞行為。為每一位員工分配了固定的IP 地址,並
且限制只允許公司員工主機可以使用網絡,不得隨意連接其他主機。例如:某員工分配的
IP 地址是172.16.1.55/24,主機MAC 地址是00-06-1B-DE-13-B4。該主機連接在1 台S3560
上邊。
實現功能
針對交換機的所有端口,配置最大連接數為1,針對PC1 主機的接口進行IP+MAC 地址綁
定。
實驗設備
S3650 交換機(1 台),PC(1 台)、直連網線(1 條)
實驗拓撲
實驗步驟
配置交換機端口的最大連接數限制。
Switch#configure terminal
Switch(config)#interface range fastethernet 0/3 ! 進行0模塊第3端口的配置模式
Switch(config-if)#switchport port-security
!開啟交換機的端口安全功能
Switch(config-if)#switchport port-secruity maximum 1
! 配置端口的最大連接數為1
Switch(config-if)#switchport port-secruity violation shutdown
!配置安全違例的處理方式為shutdown
驗證測試:查看交換機的端口安全配置。
Switch#show port-security
Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action
------------------------------------------------------------------
Fa0/1 1 0 protected
Fa0/2 1 0 protected
Fa0/3 1 0 Shutdown
Fa0/4 1 0 protected
Fa0/5 1 0 protected
配置交換機端口的地址綁定。
查看主機的IP 和MAC 地址信息
在主機上打開CMD 命令提示符窗口,執行ipconfig /all 命令。
配置交換機端口的地址綁定
Switch#configure terminal
Switch(config)#interface f astethernet 0/3
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 00 06.1bde.13b4 ip-address 172.16.1.55 ! 配置IP 地址和MAC 地址的綁定
驗證測試:查看地址安全綁定配置。
Switch#show port-security address
Vlan Mac Address IP Address Type Port Remaining Age(mins)
--------------------------------------------------------------------
1 0006.1bde.13b4 17 2.16.1.55 Confi gured Fa0/3
EIGRP 動態路由
Router0: Router0#show run Building configuration... Current configuration :
ip dhcp pool 1
network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 10.10.1.1 !
interface FastEthernet0/0 ip address 192.168.2.1 255.255.255.0 duplex auto speed auto ! interface Serial2/0 ip address 192.168.1.2 255.255.255.0 !
router eigrp 2
network 192.168.2.0
network 192.168.1.0
auto-summary !
Router1: outer1#show run Building configuration... Current configuration : ! !
interface Serial2/0 ip address 192.168.1.3 255.255.255.0 !
interface Serial3/0 ip address 172.16.1.2 255.255.0.0
router eigrp 2
network 192.168.1.0 network 172.16.0.0 auto-summary !
Router2: Router2#show run Building configuration... Current configuration :
ip dhcp pool 2 network 10.1.1.0 255.255.255.0 default-router 10.1.1.1 dns-server 10.10.1.1 interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0
duplex auto
speed auto
interface Serial3/0 ip address 172.16.1.1 255.255.0.0 !!
router eigrp 2
network 172.16.0.0
network 10.1.1.0 0.0.0.255 auto-summary
注意: 路由器DHCP服務,pc自動獲得地址 eigrp network,是鄰居地址網段
銳捷交換DHCP配置:
配置DHCP server
(config)#service dhcp --開啟dhcp server功能
(config)#ip dhcp ping packets 1 --在DHCP server分配IP時會先檢測將要分配的IP地址是否已有人使用,如果沒人使用則分配,若已有人使用則再分配下一個IP
(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.10 --設置排斥地址為192.168.2.1 至 192.168.2.10的地址不分配給客戶端(可選配置)
(config)#ip dhcp dhcp pool test2 --新建一個DHCP地址池名為test2
(dhcp-config)#lease infinite --租期時間設置為永久
(dhcp-config)#network 192.168.2.0 255.255.255.0 --給客戶端分配的地址段
(dhcp-config)#dns-server 202.101.115.55 --給客戶端分配的DNS
(dhcp-config)#default-router 192.168.2.1 --客戶端的網關
(config)#exit
#write
VTP同步VLAN
Switch 0:
Switch(config)#interface f0/1
Switch(config-if)#switch mode trunk
Switch(config)#vtp mode server
Switch(config)#vtp domain ccnp
Switch(config)#vtp password ccnp
Switch(config)#vtp password ccnp
Switch(config)#vlan 10
Switch(config-vlan)#vlan 20
Switch(config-vlan)#vlan 30 ---創建多個VLAN
Switch 1:
Switch(config)#interface f0/1
Switch(config-if)#switch mode trunk
Switch(config)#vtp mode client
Switch(config)#vtp domain ccnp
Switch(config)#vtp password ccnp
Switch(config)#vtp password ccnp
Switch# show vlan ---驗證VTP同步vlan信息
Show vtp status
SSH配置
1) 配置域名
R1#conf t
R1(config)#ip domain-name cisco.com
R1(config)# 2) 配置非對稱密鑰
R1(config)#crypto key generate rsa 當提示密鑰長度時,輸入 1024。注:缺省為 512。 3) 配置用於認證的登錄用戶名及口令
R1(config)#username admin password cisco 4) 配置 SSH 版本
R1(config)#ip ssh version 2
5) 配置 SSH 會話最大空閑超時值和 SSH 連接認證重試次數
R1(config)#ip ssh time-out ?
<1-120> SSH time-out interval (secs)
R1(config)#ip ssh time-out 60 //最大空閑超時: 60 秒
R1(config)#ip ssh authentication-retries ?
<0-5> Number of authentication retries
R1(config)#ip ssh authentication-retries 2 //認證重試次數: 2 次
R1(config)# 6) 在 VTY 線路上禁用 Telnet,並激活 SSH。
R1(config)#line vty 0 4
R1(config-line)#no transport input all //禁用所有流量
R1(config-line)#transport input ssh //允許 SSH 流量
R1(config-line)#login local //要求本地認證
步驟 5: 在 R2 上重復步驟 4,配置 SSH。
步驟 6: 在 R1 上驗證 SSH 的配置及運行 1) 驗證 SSH 版本及其他設置
R1#sh ip ssh
SSH Enabled - version 2.0
Authentication timeout: 60 secs; Authentication retries: 2
R1# 2) 驗證 SSH 是否在運行
R1#sh ssh
%No SSHv2 server connections running.
%No SSHv1 server connections running.