開篇:組建小型局域網
實驗任務
1、利用一台型號為2960的交換機將2pc機互連組建一個小型局域網;
2、分別設置pc機的ip地址;
3、驗證pc機間可以互通。
實驗設備
Switch_2960 1台;PC 2台;直連線
實驗設備配置
PC1
IP: 192.168.1.2
Submask: 255.255.255.0
Gateway: 192.168.1.1
PC2
IP: 192.168.1.3
Submask: 255.255.255.0
Gateway: 192.168.1.1
實驗驗證過程
打開【PC中 >> Desktop >> Commond prompt】
PC1 ping PC2 Reply
PC2 ping PC1 Reply
PC2 ping Gateway Timeout
交換機的配置與管理
技術原理
交換機的管理方式基本分為兩種:帶內管理和帶外管理。
通過交換機的Console端口管理交換機屬於帶外管理;這種管理方式不占用交換機的網絡端口,第一次配置交換機必須利用Console端口進行配置。交換機的命令行操作模式主要包括:
用戶模式 (EXEC模式) Switch>
特權模式 Switch#
全局配置模式 Switch(config)
端口模式 Switch(config-if)#
交換機常用的配置命令行
模式切換指令 enable 進入特權模式(一般簡寫為en) config t 進入全局配置模式 interface fa 0/1 進入交換機某個端口視圖模式 exit 返回到上級模式 end 從全局以下模式返回到特權模式 快捷指令 幫助信息(如? 、co?、copy?) 命令簡寫(如 en 的完整命令為 enable) 命令自動補全(Tab) 快捷鍵(ctrl+c中斷測試,ctrl+z退回到特權視圖) reload 重啟(在特權模式下) hostname X修改交換機名稱(在全局配置模式下) 端口配置指令 speed,duplex 配置交換機端口參數 show version 查看交換機版本信息 show running-config 查看當前生效的配置信息 show startup-config 查看保存在NVRAM中的啟動配置信息 show interface 查看端口信息 show mac-address-table 查看交換機的MAC地址 選擇某個端口Switch(config)# interface type mod/port (type:端口類型,通常有ethernet、Fastethernet、Gigabitethernet; mod:端口所在的模塊; port:在該模塊中的編號;):Switch(config)# interface fa 0/1; 選擇多個端口Switch(config)#interface type mod/startport-endport 如:Switch(config)# interface interface fa 0/1-5 //選擇端口 fa 0/1 ~ fa 0/5 Switch(config-if)#speed [10/100/auto] 設置端口通信速度 Switch(config-if)#duplex [half/full/auto] 設置端口單雙工模式 若交換機設置為auto以外的具體速度,此時應注意保證通信雙方也要有相同的設置值。 注意事項:在配置交換機時,要注意交換機端口的單雙工模式的匹配,如果鏈路一端設置的是全雙工,另一端是自動協商,則會造成響應差和高出錯率,丟包現象會很嚴重。通常兩端設置為相同的模式。 密碼設置指令 設置進入特權模式的密碼 Switch(config)# enable password ****** 通過console端口連接設備及Telnet遠程登錄時所需的密碼; Switch(config)# line console 0 表示配置控制台線路,0是控制台的線路編號。 Switch(config-line)# login 用於打開登錄認證功能。 Switch(config-line)# password 5ijsj 設置進入控制台訪問的密碼
實驗設備
Switch_2960 1台;PC 1台;配置線;直通線
實驗配置設備
PC console端口【PC >> Desktop >>Terminal】
修改交換機名、端口 Switch>enable //進入特權模式 Switch#conf t //進入配置模式 Switch(config)#hostname S2960 //修改交換機名 S2960(config)#interface fa 0/1 //選擇端口 S2960(config-if)#speed 100 //修改端口配置 S2960(config-if)#duplex full S2960(config-if)#exit 同時將PC的網卡改成全雙工模式,100M速率,否則鏈路不通 查看交換機各項配置參數 Switch#show version Switch#show run Switch#show interface Switch#show mac-address-table Switch#config t 修改交換機特權模式密碼 Switch(config)#enable password cisco //激活特權模式密碼為cisco Switch(config)#no enable password //取消特權模式密碼 修改交換機連接和telnet登錄密碼 Switch(config)#line console 0 //選擇控制台線路 Switch(config-line)#password cisco //激活該控制台線路密碼為cisco Switch(config-line)#login //打開登錄認證功能 Switch(config-line)#no password //取消密碼
交換機的Telnet遠程登陸配置
技術原理
1、配置交換機的管理IP地址(計算機的IP地址與交換機管理IP地址在同一個網段):
2、在2層交換機中,IP地址僅用於遠程登錄管理交換機,對於交換機的運行不是必需,但是若沒有配置管理IP地址,則交換機只能采用控制端口console進行本地配置和管理。
3、默認情況下,交換機的所有端口均屬於VLAN1,VLAN1是交換機自動創建和管理的。每個VLAN只有一個活動的管理地址,因此對2層交換機設置管理地址之前,首先應選擇VLAN1接口,然后再利用IP address配置命令設置管理IP地址。
實驗步驟
1、新建Packet Tracer拓撲圖
2、配置交換機管理ip地址
Switch(config)# int vlan 1
Switch(config-if)# ip address **IP** **submask***
3、配置用戶登錄密碼
Switch(config)# enable password ******* //設置進入特權模式的密碼 Switch(config)# line vty 0 4 // Switch(config-line)# password 5ijsj Switch(config-line)# login
實驗設備
Switch_2960 1台;PC 1台;直連線;配置線
實驗設備配置
PC0設置
192.168.1.2
255.255.255.0
192.168.1.1
PC1設置
192.168.1.3
255.255.255.0
192.168.1.1
Swicth0設置(通過PC0的terminal設置 )
Switch>en //進入特權模式 Switch#conf t //進入全局配置模式 Switch(config)#interface vlan 1 //創建並進入VLAN 1的接口視圖(默認交換機的所有端口都在VLAN1中) Switch(config-if)#ip address 192.168.1.1 255.255.255.0 //在VLAN 1 接口上配置交換機遠程管理的IP地址 Switch(config-if)#no shutdown //開啟接口 Switch(config-if)#exit Switch(config)#line vty 0 4 //進入遠程登錄用戶管理視圖,0-4個用戶 Switch(config-line)#login //打開登錄認證功能 Switch(config-line)#password cisco //配置遠程登錄的密碼為5ijsj,密碼明碼顯示 Switch(config-line)#privilege level 1 //配置遠程登錄用戶的權限為最低權限1(最高權限3) Switch(config-line)#end Switch#show run //顯示當前交換機配置情況
實驗驗證
PC0
桌面選項卡中的CMD,命令提示符
ping 192.168.1.1 //成功以后,再做下一步
telnet 192.168.1.1
輸入password:cisco //登錄成功,進入用戶模式
Switch>Enable//進入特權模式
Switch#
PC1 桌面選項卡中的CMD,命令提示符
ping 192.168.1.1 //成功以后,再做下一步
telnet 192.168.1.1
輸入password:cisco //登錄成功,進入用戶模式
Switch>Enable//進入特權模式
Switch#
交換機的端口聚合配置
技術原理
1)
端口聚合(又稱為鏈路聚合),將交換機上的多個端口在物理上連接起來,在邏輯上捆綁在一起,形成一個擁有較大寬帶的端口,可以實現負載分擔,並提供冗余鏈路。
2)端口聚合使用的是EtherChannel特性,在交換機到交換機之間提供冗余的高速的連接方式。將兩個設備之間多條FastEthernet或GigabitEthernet物理鏈路捆在一起組成一條設備間邏輯鏈路,從而增強帶寬,提供冗余。
3)兩台交換機到計算機的速率都是100M,SW1和SW2之間雖有兩條100M的物理通道相連,可由於生成樹的原因,只有100M可用,交換機之間的鏈路很容易形成瓶頸,使用端口聚合技術,把兩個100M鏈路聚合成一個200M的邏輯鏈路,當一條鏈路出現故障,另一條鏈路會繼續工作。
4)一台S2000系列以太網交換機只能有1個匯聚組,1個匯聚組最多可以有4個端口。
組內的端口號必須連續,但對起始端口無特殊要求。
在一個端口匯聚組中,端口號最小的作為主端口,其他的作為成員端口。同一個匯聚組中成員端口的鏈路類型與主端口的鏈路類型保持一致,即如果主端口為Trunk端口,則成員端口也為Trunk端口;如主端口的鏈路類型改為Access端口,則成員端口的鏈路類型也變為Access端口。
5)所有參加聚合的端口都必須工作在全雙工模式下,且工作速率相同才能進行聚合。並且聚合功能需要在鏈路兩端同時配置方能生效。
6)端口聚合主要應用的場合:
交換機與交換機之間的連接:匯聚層交換機到核心層交換機或核心層交換機之間。
交換機與服務器之間的連接:集群服務器采用多網卡與交換機連接提供集中訪問。
交換機與路由器之間的連接:交換機和路由器采用端口聚合解決廣域網和局域網連接瓶頸。
服務器和路由器之間的連接:集群服務器采用多網卡與路由器連接提供集中訪問
7)
全局配置模式下的端口聚合配置命令:
interface range interface_name1 to interface_name2 Switchport mode trunk channel-group 1 mode on 加入鏈路組1並開啟 Switch#show etherchannel summary:顯示相關匯聚端口組的信息; 參數: interface_name1:聚合起始端口; interface_name2:聚合結束端口; trunk:表示端口可以轉發所有Vlan包,trunk mode 的接口可以同時傳輸多個VLAN信息的; trunk mode 常用在兩個SWITCH and ROUTER ,SWITCH and SWITCH 之間; channel-group: 將2個或多個物理端口組合在一起成為一條邏輯的鏈路 ,同時也形成了一個邏輯端口port-channel switchport mode access:直接接主機,所屬VLAN中的接口,都是access
實驗設備
Switch_2960 2台;PC 4台;直連線
實驗設備配置
PC0設置
192.168.1.2
255.255.255.0
PC1設置
192.168.1.3
255.255.255.0
Switch0
Switch>enable Switch#config t Switch(config)#interface range fa 0/1-2 //同時選擇端口fa0/1 fa0/2 Switch(config-if-range)#Switchport mode trunk //設置端口模式為trunk Switch(config-if-range)#channel-group 1 mode on //加入鏈路組1並開啟 Switch(config-if-range)#exit Switch(config)#port-channel load-balance dst-ip //按照目標主機IP地址數據分發來實現負載平衡 Switch(config)#exit Switch#show etherchannel summary //顯示以太信道概況
Switch1
Switch>en Switch#config t Switch(config)#interface range f0/1-2 Switch(config-if-range)#Switchport mode trunk //設置端口模式為trunk Switch(config-if-range)#channel-group 1 mode on //加入鏈路組1並開啟 Switch(config-if-range)#exit Switch(config)#port-channel load-balance dst-ip //按照目標主機IP地址數據分發來實現以太網通道組負載平衡 Switch(config)#exit Switch#show etherchannel summary //顯示以太網通道組的情況
實驗驗證
PC0 ping PC1 Reply
PC1 ping PC0 Reply
交換機划分Vlan配置
技術原理
1) VLAN是指在一個物理網段內。進行邏輯的划分,划分成若干個虛擬局域網,VLAN做大的特性是不受物理位置的限制,可以進行靈活的划分。VLAN具備了一個物理網段所具備的特性。相同VLAN內的主機可以相互直接通信,不同VLAN間的主機之間互相訪問必須經路由設備進行轉發,廣播數據包只可以在本VLAN內進行廣播,不能傳輸到其他VLAN中。
2)Port VLAN是實現VLAN的方式之一,它利用交換機的端口進行VALN的划分,一個端口只能屬於一個VLAN。
3)Tag VLAN是基於交換機端口的另一種類型,主要用於是交換機的相同Vlan內的主機之間可以直接訪問,同時對不同Vlan的主機進行隔離。Tag VLAN遵循IEEE802.1Q協議的標准,在使用配置了Tag VLAN的端口進行數據傳輸時,需要在數據幀內添加4個字節的8021.Q標簽信息,用於標示該數據幀屬於哪個VLAN,便於對端交換機接收到數據幀后進行准確的過濾。
實驗說明
在同一個局域網中,要實現PC0、PC2為同一個分組,PC1、PC3屬於同一個分組,PC0、PC1,PC2、PC3使用分別使用同一個交換機;
在4個PC使用同一個網關的情況下,將4個PC進行Vlan分組划分,實現兩個分組之間的相互隔離;
實驗步驟
1. 新建Packet Tracer拓撲圖;
2. 划分VLAN;
3. 將端口划分到相應VLAN中;
4. 設置Tag VLAN Trunk屬性;
5. 測試
實驗設備
Switch_2960 2台;PC 4台;直連線
實驗設備配置
PC0
IP: 192.168.1.2
Submark: 255.255.255.0
Gateway: 192.168.1.1
PC1
IP: 192.168.1.3
Submark: 255.255.255.0
Gateway: 192.168.1.1
PC2
IP: 192.168.1.4
Submark: 255.255.255.0
Gateway: 192.168.1.1
PC3
IP: 192.168.1.5
Submark: 255.255.255.0
Gateway: 192.168.1.1
Switch1
Switch>en Switch#conf t Switch(config)#vlan 2 //向交換機添加新的虛擬端口 vlan 2 Switch(config-vlan)#exit Switch(config)#vlan 3 //添加新的vlan 3 Switch(config-vlan)#exit Switch(config)#interface fa 0/1 //切換到fa 0/1端口,並將該端口綁定到vlan2 Switch(config-if)#switch access vlan 2 Switch(config-if)#exit Switch(config)#interface fa 0/2 //切換到fa 0/2端口,並將該端口綁定到vlan3 Switch(config-if)#switch access vlan 3 Switch(config-if)#exit Switch(config)#inter fa 0/24 //切換到fa 0/24(示例中為交換機連接端口), Switch(config-if)#switchport mode trunk //並將更改其連接模式為trunk Switch(config-if)#end Switch#show vlan //顯示交換機的 vlan 配置情況
Switch2
Switch>en Switch#conf t Switch(config)#vlan 2 Switch(config-vlan)#exit Switch(config)#vlan 3 Switch(config-vlan)#exit Switch(config)#interface fa 0/1 Switch(config-if)#switchport access vlan 2 Switch(config-if)#exit Switch(config)#inter fa 0/2 Switch(config-if)#switchport access vlan 3 Switch(config-if)#exit Switch(config)#inter fa 0/24 Switch(config-if)#switch mode trunk Switch(config-if)#end Switch#show vlan
實驗驗證
PC1 ping PC2 timeout
PC1 ping PC3 Reply
利用三層交換機實現VLAN間路由
技術原理
1)三層交換機是帶有三層路由功能的交換機,也就是這台交換機的端口既有三層路由功能,也具有二層交換功能。三層交換機端口默認為二層口,如果需要啟用三層功能就需要在此端口輸入no switchport命令。
2)三層交換機具備網絡層的功能,實現VLAN相互訪問的原理:
利用三層交換機的路由功能,通過識別數據包的IP地址,查找路由表進行選路轉發,三層交換機利用直連路由可以實現不同VLAN之間的相互訪問;
三層交換機給接口配置IP地址,采用SVI(交換虛擬接口)的方式實現VLAN間互連,SVI是指為交換機中的VLAN創建虛擬接口,並且配置IP地址。
實驗說明
在同一個局域網中,在 05.交換機划分Vlan的基礎上,PC0、PC2 和 PC1、PC3分別屬於同一個Vlan分組(PC0、PC1和PC2、PC3分別歸屬同一個交換機),但同時還要實現兩個分組之間可以相互訪問;
使用三層交換機代替原來的一個交換機,在三層交換機上分別設置各VLAN的接口IP地址。三層交換機將vlan做為一種接口對待,就象路由器上的一樣,再在各接入VLAN的計算機上設置與所屬VLAN的網絡地址一致的IP地址,並且把默認網關設置為該VLAN的接口地址。這樣,所有的VLAN也可以互訪了。
實驗步驟
1)在二層交換機上配置VLAN2、VLAN3,分別將端口2、端口3划分給VLAN2、VLAN3。
2)將二層交換機與三層交換機相連的端口fa 0/1都定義為tag Vlan模式。
3)在三層交換機上配置VLAN2、VLAN3,此時驗證二層交換機VLAN2、VLAN3下的主機之間不能相互通信。
4)設置三層交換機VLAN間的通信,創建VLAN2,VLAN3的虛接口,並配置虛接口VLAN2、VLAN3的IP地址。
5)查看三層交換機路由表。
6)將二層交換機VLAN2、VLAN3下的主機默認網關分別設置為相應虛擬接口的IP地址。
7)驗證二層交換機VLAN2,VALN3下的主機之間可以相互通信。
實驗設備
Switch_2960 1台;Swithc_3560 1台;PC 3台;直連線
實驗設備配置
PC0
IP: 192.168.1.2
Submark: 255.255.255.0
Gateway: 192.168.1.1
PC1
IP: 192.168.2.2
Submark: 255.255.255.0
Gateway: 192.168.2.1
PC2
IP: 192.168.1.3
Submark: 255.255.255.0
Gateway: 192.168.1.1
PC3
IP: 192.168.2.3
Submark: 255.255.255.0
Gateway: 192.168..1
將PC0、PC2 和 PC1、PC3 划分到不同網關,此時兩個網關分組無法相互連通
PC1 Ping PC3 reply
PC1 Ping PC2 timeout
S2960交換機配置(同05.交換機Vlan配置)
Switch>en Switch#conf t //創建2個新vlan分組,並將相應的端口綁定到vlan分組 Switch(config )#vlan 2 Switch(config-vlan)#exit Switch(config )#vlan 3 Switch(config-vlan)#exit Switch(config )#interface fa 0/2 Switch(config-if)#switchport access vlan 2 Switch(config-if)#exit Switch(config )#inter fa 0/3 Switch(config-if)#switchport access vlan 3 Switch(config-if)#exit //修改交換機連接端口模式為 trunk Switch(config )#inter fa 0/1 Switch(config-if)#switchport mode trunk Switch(config-if)#end Switch#show vlan //查看vlan端口情況
S3560
Switch>en Switch#conf t //新建vlan2 vlan3 Switch(config )#vlan 2 Switch(config-vlan)#exit Switch(config )#vlan 3 Switch(config-vlan)#exit //對各個端口進行配置 //(1)配置交換機和三層交換機的連接端口 Switch(config )#inter fa 0/1 Switch(config-if)#switchport trunk encapsulation dot1q //給該接口的trunk封裝為802.1Q的幀格式 Switch(config-if)#switchport mode trunk //定義該接口的工作模式為trunk Switch(config-if)#exit //(2)配置終端連接端口 //將終端端口綁定到vlan指定分組 Switch(config )#inter fa 0/2 Switch(config-if)#switchport access vlan 2 Switch(config-if)#exit Switch(config )#inter fa 0/3 Switch(config-if)#switchport access vlan 3 Switch(config-if)#exit //對2個vlan虛擬接口進行路由轉發配置 Switch(config )#inter vlan 2 //進入vlan2 虛擬接口 Switch(config-if)#ip address 192.168.1.1 255.255.255.0 //配置IP地址 Switch(config-if)#no shutdown //開啟該三層端口(路由功能) Switch(config-if)#exit Switch(config )#inter vlan 3 Switch(config-if)#ip address 192.168.2.1 255.255.255.0 Switch(config-if)#no shutdown Switch(config-if)#end Switch#show ip route //顯示路由表 Switch#show vlan //顯示vlan信息
實驗驗證
PC1 Ping PC3 reply
PC1 Ping PC2 reply
快速生成樹協議配置
技術原理
1) 生成樹協議(spanning-tree),作用是在交換網絡中提供冗余備份鏈路,並且解決交換網絡中的環路問題;
2)生成樹協議是利用SPA算法,在存在交換機環路的網絡中生成一個沒有環路的屬性網絡,運用該算法將交換網絡的冗余備份鏈路從邏輯上斷開,當主鏈路出現故障時,能夠自動的切換到備份鏈路,保證數據的正常轉發;
3) 生成樹協議版本:STP、RSTP(快速生成樹協議)、MSTP(多生成樹協議);
4)生成樹協議的特點收斂時間長。從主要鏈路出現故障到切換至備份鏈路需要50秒時間;
5)快速生成樹在生成樹協議的基礎上增加了兩種端口角色,替換端口或備份端口,分別作為根端口和指定端口。當根端口或指定端口出現故障時,冗余端口不需要經過50秒的收斂時間,可以直接切換到替換端口或備份端口,從而實現RSTP協議小於1秒的快速收斂;
6)查看交換機樹配置指令及參數
Switch#show spanning-tree //查看生成樹的配置信息 返回參數說明: StpVersion : RSTP 生成樹協議的版本 SysStpStatus : Enabled 生成樹協議運行狀態,disable 為關閉狀態 Priority : 32768 交換機的優先級 RootCost : 200000 交換機到達根交換機的開銷 RootPort : Fa0/1 交換機上的根端口 或: RootCost: 0 交換機到達根交換機的開銷,0 代表本交換機為根 RootPort: 0 交換機上的根端口,0 代表本交換機為根 Switch#show spanning-tree interface fastEthernet 0/1 //顯示Switch 端口fastethernet 0/1 的狀態 返回參數說明 PortState : forwarding 端口狀態(forwarding:轉發狀態,discarding:阻塞狀態 ) PortRole : rootPort 查看端口角色為根端口
實驗說明
使網絡在有冗余鏈路的情況下避免環路的產生,避免廣播風暴等,可以在冗余鏈路的交換機之間配置生成樹協議;
實驗步驟
1)默認情況下STP協議是啟用的。通過兩台交換機之間傳送BPDU協議數據單元。選出跟交換機、根端口等,以便確定端口的轉發狀態。圖中標記為黃色的端口處於block堵塞狀態。
2)設置RSTP。
3)查看交換機show spanning-tree狀態,了解跟交換機和根端口情況。
4)通過更改交換機生成樹的優先級spanning-tree vlan 10 priority 4096可以變化跟交換機的角色。
5) 測試。當主鏈路處於down狀態時候,能夠自動的切換到備份鏈路,保證數據的正常轉發。
實驗設備
Switch_2960 2台;PC 2台;直連線(各設備互聯)
※ 按照拓撲圖連接網絡時注意,兩台交換機都配置快速生成樹協議后,再將兩台交換機連接起來。
如果先連線再配置會造成廣播風暴,影響交換機的正常工作。
實驗設備配置
PC0
IP: 192.168.1.2
Submask: 255.255.255.0
Gateway: 192.168.1.1
PC1
IP: 192.168.1.3
Submask: 255.255.255.0
Gateway: 192.168.1.1
PC0 ping PC1 reply
Switch0
Switch>en Switch#conf t Switch(config)#vlan 10 Switch(config-vlan)#exit Switch(config)#inter fa 0/10 //將fa 0/10 端口綁定到 vlan10 Switch(config-if)#switchport access vlan 10 Switch(config-if)#exit Switch(config)#inter rang fa 0/1 - 2 Switch(config-range)#switchport mode trunk //將 fa0/1 fa0/2端口工作模式改為 trunk Switch(config-range)#exit Switch(config)#spanning-tree mode rapid-pvst //指定生成樹協議的類型為RSTP Switch(config)#end
Switch1
配置過程同Switch0
實驗驗證
PC0
Ipconfig /all //查看所有IP配置 ping -t 192.168.1.3 reply //PC0不間斷地ping PC1
Switch1
關閉fa 0/1端口,PC0重新 Ping PC1,查看PC0的ping情況是否正常;
Switch>en Switch#conf t Switch(config)#int fa 0/1 Switch(config-if)#shutdown //關閉fa 0/1端口
檢查哪一個是根交換機,哪一個是根端口,哪些端口是阻塞的。
路由器的基本配置和Telnet設置
實驗目標
掌握路由器幾種常用配置方法;
掌握采用Console線纜配置路由器的方法;
掌握采用Telnet方式配置路由器的方法;
熟悉路由器不同的命令行操作模式以及各種模式之間的切換;
掌握路由器的基本配置命令;
實驗背景
你是某公司新進的網管,公司要求你熟悉網絡產品,首先要求你登錄路由器,了解、掌握路由器的命令行操作;
作為網絡管理員,你第一次在設備機房對路由器進行了初次配置后,希望以后在辦公室或出差時也可以對設備進行遠程管理,現要在路由器上做適當配置。
技術原理
路由器的管理方式基本分為兩種:帶內管理和帶外管理。通過路由器的Console口管理路由器屬於帶外管理,不占用路由器的網絡接口,其特點是需要使用配置線纜,近距離配置。第一次配置時必須利用Console端口進行配置。
路由器的命令行模式類似於交換機;
實驗步驟
(1)用標准console線纜用於連接計算機的串口和路由器的console口上。在計算機上啟用超級終端,並配置超級終端的參數,是計算機與路由器通過console接口建立連接;
(2)配置路由器的管理的IP地址,並為Telnet用戶配置用戶名和登錄口令。配置計算機的IP地址(與路由器管理IP地址在同一個網段),通過網線將計算機和路由器相連,通過計算機Telnet到路由器上對交換機進行查看;
(3)更改路由器的主機名;
(4)擦除配置信息。保存配置信息,顯示配置信息;
(5)顯示當前配置信息;
(6)顯示歷史命令。
實驗設備
Router_2811 1台;PC 1台;交叉線;配置線
PC
IP: 192.168.1.2
Submask: 255.255.255.0
Gageway:192.168.1.1
Router
Router>en Router #conf t Router (config)#hostname R1 R1(config)#enable secret cisco //設置特權模式密碼 R1(config)#exit R1#exit //設置路由器的Telnet遠程登錄 R1>en R1#conf t R1(config)#line vty 0 4 //設置telnet遠程登錄密碼 R1(config-line)#password cisco R1(config-line)#login R1(config-line)#exit R1(config)#interface fa 0/0 //進入 fa 0/0 端口 R1(config-if)#ip address 192.168.1.1 255.255.255.0 //該端口配置相應的IP地址和子網掩碼 R1(config-if)#no shutdown //開啟端口 R1(config-if)#end
PC CMD
Ipconfig /all //查看本機TCP/IP配置情況(IP地址、子網掩碼、網關、MAC地址) ping 192.168.1.1 telnet 192.168.1.1 //遠程登錄到路由器上 password:cisco //輸入telnet密碼 R1> en password:cisco //輸入特權模式密碼 R1#show running //顯示路由器當前配置情況
路由器單臂路由配置
實驗目標
掌握單臂路由器配置方法;
通過單臂路由器實現不同VLAN之間互相通信;
實驗背景
某企業有兩個主要部門,技術部和銷售部,分處於不同的辦公室,為了安全和便於管理對兩個部門的主機進行了VLAN的划分,技術部和銷售部分處於不同的VLAN。現由於業務的需求需要銷售部和技術部的主機能夠相互訪問,獲得相應的資源,兩個部門的交換機通過一台路由器進行了連接。
技術原理
單臂路由:是為實現VLAN間通信的三層網絡設備路由器,它只需要一個以太網,通過創建子接口可以承擔所有VLAN的網關,而在不同的VLAN間轉發數據。
實驗步驟
新建packer tracer拓撲圖
當交換機設置兩個Vlan時,邏輯上已經成為兩個網絡,廣播被隔離了。兩個Vlan的網絡要通信,必須通過路由器,如果接入路由器的一個物理端口,則必須有兩個子接口分別與兩個Vlan對應,同時還要求與路由器相連的交換機的端口fa 0/1要設置為trunk,因為這個接口要通過兩個Vlan的數據包。
檢查設置情況,應該能夠正確的看到Vlan和Trunk信息。
計算機的網關分別指向路由器的子接口。
配置子接口,開啟路由器物理接口。
默認封裝dot1q協議。
配置路由器子接口IP地址。
實驗設備
PC 2台;Router_2811 1台;Switch_2960 1台
PC0
IP: 192.168.1.2
Submask: 255.255.255.0
Gageway:192.168.1.1
PC1
IP: 192.168.2.2
Submask: 255.255.255.0
Gageway:192.168.2.1
PC1 Ping PC2
Ping 192.168.2.2 timeout
Switch1
Switch>en Switch#conf t Switch(config)#vlan 2 Switch(config-vlan)#exit Switch(config)#fvlan 3 Switch(config-vlan)exit Switch(config)interface fastEthernet 0/2 //進入交換機0模塊第2端口 Switch(config-if)switchport access vlan 2 //加入vlan 2 Switch(config-if)exit Switch(config)inter fa 0/3 //進入交換機0模塊第3端口 Switch(config-if)switchport access vlan 3 //加入vlan 3 Switch(config-if)exit Switch(config)inter fa 0/1 //進入交換機0模塊第1端口 Switch(config-if)switchport mode trunk //設置端口的工作模式為trunk Switch(config-if)end
Router0
Router>en Router#config t Router(config)#inter fa 0/0 //進入路由器0模塊第0端口 Router(config-if)#no shutdown //開啟該端口(此時路由連接交換機的端口 從block轉到forward) Router(config-if)#exit Router(config)#interface fast 0/0.1 //進入路由器0模塊第0端口第1子接口 Router(config-subif)#encapsulation dot1Q 2 //封裝協議設置為dot1q 允許通過的vlan 為2 Router(config-subif)#ip address 192.168.1.1 255.255.255.0 //該子接口配置IP地址為192.168.1.1 Router(config-subif)#exit Router(config)#inter fa 0/0.2 //進入路由器0模塊第0端口第2子接口 Router(config-subif)#encapsulation dot1q 3 //封裝協議設置為dot1q 允許通過的vlan 為3 Router(config-subif)#ip address 192.168.2.1 255.255.255.0 //該子接口配置IP地址為192.168.2.1 Router(config-subif)#end Router#show ip route
PC1 Ping PC2
Ping 192.168.2.2 reply
路由器靜態路由配置
實驗目標
掌握靜態路由的配置方法和技巧;
掌握通過靜態路由方式實現網絡的連通性;
熟悉廣域網線纜的鏈接方式;
實驗背景
學校有新舊兩個校區,每個校區是一個獨立的局域網,為了使新舊校區能夠正常相互通訊,共享資源。每個校區出口利用一台路由器進行連接,兩台路由器間學校申請了一條2M的DDN專線進行相連,要求做適當配置實現兩個校區的正常相互訪問。
技術原理
路由器屬於網絡層設備,能夠根據IP包頭的信息,選擇一條最佳路徑,將數據包轉發出去。實現不同網段的主機之間的互相訪問。路由器是根據路由表進行選路和轉發的。而路由表里就是由一條條路由信息組成。
生成路由表主要有兩種方法:手工配置和動態配置,即靜態路由協議配置和動態路由協議配置。
靜態路由是指有網絡管理員手工配置的路由信息。
靜態路由除了具有簡單、高效、可靠的優點外,它的另一個好處是網絡安全保密性高。
缺省路由可以看做是靜態路由的一種特殊情況。當數據在查找路由表時,沒有找到和目標相匹配的路由表項時,為數據指定路由。
實驗步驟
(1)在路由器R1、R2上配置接口的IP地址和R1串口上的時鍾頻率;
(2)查看路由器生成的直連路由;
(3)在路由器R1、R2上配置靜態路由;
(4)驗證R1、R2上的靜態路由配置;
(5)將PC1、PC2主機默認網關分別設置為路由器接口fa 1/0的IP地址;
(6)PC1、PC2主機之間可以相互通信;
實驗設備
pc 2台;Router-PT可擴展路由 2台;Switch_2960 2台;DCE 串口線;直連線;交叉線
PC1
IP: 192.168.1.2
Submask: 255.255.255.0
Gateway: 192.168.1.1
PC2
IP: 192.168.2.2
Submask: 255.255.255.0
Gateway: 192.168.2.1
PC1 ping PC2
Ping 192.168.2.2 timeout
R1
Router>en Router#conf t Router(config)#inter fa 1/0 //設置Router to Swicth接口的IP地址 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown //啟動該端口的路由功能 Router(config-if)#exit Router(config)#inter serial 2/0 //設置Router to Router接口的IP地址 Router(config-if)#ip address 192.168.3.1 255.255.255.0 Router(config-if)#clock rate 64000 //設置時鍾速率,只有完成該設置DCE才能正常通信 Router(config-if)#no shutdown //啟動該端口路由功能 Router(config-if)#end
R2
Router>en Router#conf t Router(config)#inter fa 1/0 Router(config-if)#ip address 192.168.2.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#inter serial 2/0 Router(config-if)#ip address 192.168.3.2 255.255.255.0 Router(config-if)#end
R1
Router>en Router#conf t //設置路由轉發表,使得該Router1能成功轉發到Router2的Serial端口 Router(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.2 Router(config)#end
R2
Router>en Router#conf t Router(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1 Router(config)#end
PC1 Ping PC2
Ping 192.168.2.2 reply
路由器RIP動態路由配置
實驗目的
掌握RIP協議的配置方法:
掌握查看通過動態路由協議RIP學習產生的路由;
熟悉廣域網線纜的鏈接方式;
實驗背景
假設校園網通過一台三層交換機連到校園網出口路由器上,路由器再和校園外的另一台路由器連接。現要做適當配置,實現校園網內部主機與校園網外部主機之間的相互通信。為了簡化網管的管理維護工作,學校決定采用RIPV2協議實現互通。
技術原理
RIP(Routing Information Protocols,路由信息協議)是應用較早、使用較普遍的IGP內部網管協議,使用於小型同類網絡,是距離矢量協議;
RIP協議跳數作為衡量路徑開銷的,RIP協議里規定最大跳數為15;
RIP協議有兩個版本:RIPv1和RIPv2,RIPv1屬於有類路由協議,不支持VLSM,以廣播形式進行路由信息的更新,更新周期為30秒;RIPv2屬於無類路由協議,支持VLSM,以組播形式進行路由更細。
實驗步驟
(1)在本實驗中的三層交換機上划分VLAN10和VLAN20,其中VLAN10用於連接校園網主機,VLAN20用於連接R1。
(2)路由器之間通過V.35電纜通過串口連接,DCE端連接在R1上,配置其時鍾頻率64000。
(3)主機和交換機通過直連線,主機與路由器通過交叉線連接。
(4)在S3560上配置RIPV2路由協議。
(5)在路由器R1、R2上配置RIPV2路由協議。
(6)將PC1、PC2主機默認網關設置為與直連網路設備接口IP地址。
(7)驗證PC1、PC2主機之間可以互相同信;
實驗設備
PC 2台;Switch_3560 1台;Router-PT 2台;直連線;交叉線;DCE 串口線
PC1
IP: 192.168.1.2
Submask: 255.255.255.0
Gateway: 192.168.1.1
PC2
IP: 192.168.2.2
Submask: 255.255.255.0
Gateway: 192.168.2.1
S3560
Switch>en Switch#conf t //創建vlan端口 Switch(config)#vlan 10 Switch(config-vlan)#exit Switch(config)#vlan 20 Switch(config-vlan)#exit //將物理端口綁定到vlan上 Switch(config)#inter fa 0/10 Switch(config-if)#switchport access vlan 10 Switch(config-if)#exit Switch(config)#inter fa 0/20 Switch(config-if)#switchport access vlan 20 Switch(config-if)#exit //設置2個vlan端口的ip和地址掩碼 Switch(config)#inter vlan 10 Switch(config-if)#ip address 192.168.1.1 255.255.255.0 Switch(config-if)#no shutdown //啟動該vlan端口 Switch(config-if)#exit Switch(config)#inter vlan 20 Switch(config-if)#ip address 192.168.3.1 255.255.255.0 Switch(config-if)#no shutdown //啟動該vlan端口 Switch(config-if)#end Switch#show ip route Switch#show runing
R1
Router>en Router#conf t //配置fa 0/0 端口ip、子掩碼 Router(config)#inter fa 0/0 Router(config-if)#ip address 192.168.3.2 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit //配置 serial 2/0端口ip、子掩碼、時鍾速率 Router(config)#inter serial 2/0 Router(config-if)#ip address 192.168.4.1 255.255.255.0 Router(config-if)#clock rate 64000 Router(config-if)#no shutdown Router(config-if)#end Router#show ip route //查看路由表 //router 配置 RIP協議 Router#conf t Router(config)#router rip //開啟Router RIP協議 Router(config-router)#network 192.168.3.0 //向RIP添加IP地址 Router(config-router)#network 192.168.4.0 Router(config-router)#version 2 //使用RIPv2版本的RIP Router(config-router)#show ip route
R2
Router>en Router#conf t Router(config)#inter fa0/0 Router(config-if)#ip address 192.168.2.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#inter serial 2/0 Router(config-if)#ip address 192.168.4.2 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#end Router#show ip route Router#conf t Router(config)#router rip Router(config-router)#network 192.168.2.0 Router(config-router)#network 192.168.4.0 Router(config-router)#version 2 Router(config-router)#end
PC1 Ping PC2
Ping 192.168.2.2 reply
路由器OSPF動態路由配置
實驗目的
掌握OSPF協議的配置方法:
掌握查看通過動態路由協議OSPF學習產生的路由;
熟悉廣域網線纜的鏈接方式;
實驗背景
假設校園網通過一台三層交換機連到校園網出口路由器上,路由器再和校園外的另一台路由器連接。現要做適當配置,實現校園網內部主機與校園網外部主機之間的相互通信。為了簡化網管的管理維護工作,學校決定采用OSPF協議實現互通。
技術原理
OSPF開放式最短路徑優先協議,是目前網路中應用最廣泛的路由協議之一。屬於內部網管路由協議,能夠適應各種規模的網絡環境,是典型的鏈路狀態協議。OSPF路由協議通過向全網擴散本設備的鏈路狀態信息,使網絡中每台設備最終同步一個具有全網鏈路狀態的數據庫,然后路由器采用SPF算法,以自己為根,計算到達其他網絡的最短路徑,最終形成全網路由信息。
實驗步驟
(1)在本實驗中的三層交換機上划分VLAN10和VLAN20,其中VLAN10用於連接校園網主機,VLAN20用於連接R1。
(2)路由器之間通過V35電纜通過串口連接,DCE端連接在R1上,配置其時鍾頻率64000。
(3)主機和交換機通過直連線,主機與路由器通過交叉線連接。
(4)在S3560上配置OSPF路由協議。
(5)在路由器R1、R2上配置OSPF路由協議。
(6)將PC0、PC1主機默認網關設置為與直連網路設備接口IP地址。
(7)驗證PC0、PC1主機之間可以互相同信;
實驗設備
PC 2台;Switch_3560 1台;Router-PT 2台;直連線;交叉線;DCE串口線
PC0
IP: 192.168.1.2
Submask: 255.255.255.0
Gateway: 192.168.1.1
PC1
IP: 192.168.2.2
Submask: 255.255.255.0
Gateway: 192.168.2.1
S3560
Switch>en Switch#conf t //初始化 vlan 端口並綁定物理端口 Switch(config)#vlan 10 Switch(config-vlan)#exit Switch(config)#vlan 20 Switch(config-vlan)#exit Switch(config)#interface fa 0/10 Switch(config-if)#switchport access vlan 10 Switch(config-if)#exit Switch(config)#interface fa 0/20 Switch(config-if)#switchport access vlan 20 Switch(config-if)#exit //設置vlan端口 ip,子掩碼 Switch(config)#interface vlan 10 Switch(config-if)#ip address 192.168.1.1 255.255.255.0 Switch(config-if)#no shutdown Switch(config-if)#exit Switch(config)#interface vlan 20 Switch(config-if)#ip address 192.168.3.1 255.255.255.0 Switch(config-if)#no shutdown Switch(config-if)#end Switch#show ip route
R1
Router>en Router#conf t //設置物理端口的IP、子掩碼,並開啟 Router(config)#interface fa 0/0 Router(config-if)#ip address 102.168.2.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface serial 2/0 Router(config-if)#ip address 192.168.4.2 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#end Router#show ip route //三層交換機、路由器的ospf轉發設置 R1 Router#en Router#conf t Router#ip routing //開啟路由功能 Router(config)#router ospf 1 Router(config-router)#network 192.168.3.0 0.0.0.255 area 0 Router(config-router)#network 193.168.4.0 0.0.0.255 area 0 Router(config-router)#end
R2
Router>en Router#conf t //設置物理端口的IP、子掩碼,並開啟 Router(config)#interface fa 0/0 Router(config-if)#ip address 102.168.2.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface serial 2/0 Router(config-if)#ip address 192.168.4.2 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#end Router#show ip route
//三層交換機、路由器的ospf轉發設置
R1
Router#en Router#conf t Router#ip routing //開啟路由功能 Router(config)#router ospf 1 Router(config-router)#network 192.168.3.0 0.0.0.255 area 0 Router(config-router)#network 193.168.4.0 0.0.0.255 area 0 Router(config-router)#end
R2
Router#en Router#conf t Router(config)#router ospf 1 Router(config-router)#network 192.168.2.0 0.0.0.255 area 0 Router(config-router)#network 193.168.4.0 0.0.0.255 area 0 Router(config-router)#end
S3560
Router#en Router#conf t Router(config)#router ospf 1 Router(config-router)#network 192.168.1.0 0.0.0.255 area 0 Router(config-router)#network 193.168.3.0 0.0.0.255 area 0 Router(config-router)#end
路由器綜合路由配置
實驗目標
掌握綜合路由器的配置方法;
掌握查看通過路由重分布學習產生的路由;
熟悉廣域網線纜的鏈接方式;
實驗背景
假設某公司通過一台三層交換機連到公司出口路由器R1上,路由器R1再和公司外的另一台路由器R2連接。三層交換機與R1間運行RIPV2路由協議,R1與R2間運行OSPF路由協議。現要做適當配置,實現公司內部主機與公司外部主機之間的相互通信。
技術原理
為了支持本設備能夠運行多個路由協議進程,系統軟件提供了路由信息從一個路由進程重分布到另一個路由進程的功能。比如你可以將OSPF路由域的路由重新分布后通高RIP路由域中,也可以將RIP路由域的路由重新分布后通告到OSPF路由域中。路由的相互重分布可以在所有的IP路由協議之間進行。
要把路由從一個路由域分布到另一個路由域,並且進行控制路由重分布,在路由進程配置模式中執行以下命令:
redistribute protocol [metric metric][metric-type metric-type][match internal|external type|nssa-external type][tag tag][route-map route-map-name][subnets]
實驗步驟
新建Packet Tracer拓撲圖
(1)PC與交換機間用直連線連接;PC與路由、路由與路由之間用交叉線連接。
(2)在三層上划分2個Vlan,運行RIPV2協議;R1運行OSPF協議。
(5)在路由器R0上左側配置RIPV2路由協議;右側配置OSPF協議。
(6)在R0路由進程中引入外部路由,進行路由重分布。
(7)將PC1、PC2主機默認網關分別設置為與直接網絡設備接口IP地址。
(8)驗證PC1、PC2主機之間可以互相通信;
實驗設備
Router_1841 2台;Switch_3560 1台;直通線;交叉線
PC0
IP: 192.168.1.2
Submask: 255.255.255.0
Gageway: 192.168.1.1
PC1
IP: 192.168.4.2
Submask: 255.255.255.0
Gageway: 192.168.4.1
Switch0
en conf t vlan 2 exit int fa 0/10 switchport access vlan 2 exit int vlan 1 ip address 192.168.1.1 255.255.255.0 no shutdown exit hpor int vlan 2 ip address 192.168.2.1 225.255.255.0 no shutdown end show int vlan 1 conf t router rip network 192.168.1.0 network 192.168.2.0 version 2
Router0
en conf t host R1 inf fa 0/0 ip address 192.168.2.2 255.255.255.0 no shutdown int fa 0/1 ip address 192.168.3.1 255.255.255.0 no shutdown exit router rip network 192.168.2.0 version 2 router ospf 1 network 192.168.3.0 0.0.0.255 area 0
Route1
en conf t host R2 int fa 0/1 ip address 192.168.3.2 255.255.255.0 no shutdown int fa 0/0 ip address 192.168.4.1 255.255.255.0 no shutdown exit router ospf 1 network 192.168.3.0 0.0.0.255 area 0 network 192.168.4.0 0.0.0.255 area 0 end show ip route
Router0
end show ip route show run show ip route ping 192.168.1.2 (success) ping 192.168.4.2 (success)
PC0
ping 192.168.4.2 (Replay form 192.168.1.1: Destination host unreachable)
Switch_3560
show ip rout (只有兩條直連路由)
Router0
conf t router rip redistribute ospf 1 exit router ospf 1 redistribute rip subnets end
Router1
show ip route
PC0
ping 192.168.4.2 (Replay form 192.168.4.2: byes=32 time=125ms TTL=125)
說明:本例在Packet Tracer 5.2上能正常運行,在Packet Tracer 5.3上Switch0不能學習到192.168.3.0、192.168.4.0的路由信息,需要給Switch0指定靜態路由:ip route 0.0.0.0 0.0.0.0 192.168.2.2
標准IP訪問控制列表配置
實驗目標
理解標准IP訪問控制列表的原理及功能;
掌握編號的標准IP訪問控制列表的配置方法;
實驗背景
你是公司的網絡管理員,公司的經理部、財務部們和銷售部門分屬於不同的3個網段,三部門之間用路由器進行信息傳遞,為了安全起見,公司領導要求銷售部門不能對財務部進行訪問,但經理部可以對財務部進行訪問。
PC1代表經理部的主機、PC2代表銷售部的主機、PC3代表財務部的主機。
技術原理
ACLs的全稱為接入控制列表(Access Control Lists),也稱訪問控制列表(Access Lists),俗稱防火牆,在有的文檔中還稱包過濾。ACLs通過定義一些規則對網絡設備接口上的數據包文進行控制;允許通過或丟棄,從而提高網絡可管理型和安全性;
IP ACL分為兩種:標准IP訪問列表和擴展IP訪問列表,編號范圍為1~99、1300~1999、100~199、2000~2699;
標准IP訪問控制列表可以根據數據包的源IP地址定義規則,進行數據包的過濾;
擴展IP訪問列表可以根據數據包的原IP、目的IP、源端口、目的端口、協議來定義規則,進行數據包的過濾;
IP ACL基於接口進行規則的應用,分為:入棧應用和出棧應用;
實驗步驟
新建Packet Tracer拓撲圖
(1)路由器之間通過V.35電纜通過串口連接,DCE端連接在R1上,配置其時鍾頻率64000;主機與路由器通過交叉線連接。
(2)配置路由器接口IP地址。
(3)在路由器上配置靜態路由協議,讓三台PC能夠相互Ping通,因為只有在互通的前提下才涉及到方控制列表。
(4)在R1上編號的IP標准訪問控制
(5)將標准IP訪問控制應用到接口上。
(6)驗證主機之間的互通性。
實驗設備
PC 3台;Router-PT 2台;交叉線;DCE串口線;
PC1
IP: 172.16.1.2
Submask: 255.255.255.0
Gageway: 172.16.1.1
PC2
IP: 172.16.2.2
Submask: 255.255.255.0
Gageway: 172.16.2.1
PC3
IP: 172.16.4.2
Submask: 255.255.255.0
Gageway: 172.16.4.1
Router0
//配置Router0聯通的端口 Router>en Router#conf t Router(config)#inter fa 0/0 Router(config-if)#ip address 172.16.1.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#inter fa 1/0 Router(config-if)#ip address 172.16.2.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#inter s 2/0 Router(config-if)#ip address 172.16.3.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#clock rate 64000 Router(config-if)#exit
Router1
//配置Router1聯通的端口 Router>en Router#conf t Router(config)#inter serial 2/0 Router(config-if)#ip address 172.16.3.2 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#inter fa 0/0 Router(config-if)#ip address 172.16.4.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit
Router0
//配置Router0路由IP轉發表,使路由轉發來自躍點172.16.3.2的172.16.4.0目標段數據 Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
Router1
//配置Router1路由IP轉發表,使路由轉發來自躍點172.16.3.1的所有IP段的數據 Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1
PC0
ping 172.16.4.2 (success)
PC1
ping 172.16.4.2 (success)
Router0
//配置Router的IP准入 Router(config-std-nacl)# ip access-list standard cisco //配置准入口令 Router(config-std-nacl)# permit 172.16.1.0 0.0.0.255 //設置准入IP Router(config-std-nacl)# deny 172.16.2.0 0.0.0.255 //設置拒接接入IP Router(config-std-nacl)# conf t Router(config)# int s 2/0 Router(config-if)# ip access-group cisco out //向serial2/0 接口發布准入口令
PC0
ping 172.16.4.2 (success)
PC1
ping 172.16.4.2 (Replay from 172.16.2.1: Destination host unreachable)
擴展IP訪問控制列表配置
實驗目標
理解標准IP訪問控制列表的原理及功能;
掌握編號的標准IP訪問控制列表的配置方法;
實驗背景
你是公司的網絡管理員,公司的經理部、財務部們和銷售部門分屬於不同的3個網段,三部門之間用路由器進行信息傳遞,為了安全起見,公司領導要求銷售部門不能對財務部進行訪問,但經理部可以對財務部進行訪問。
PC1代表經理部的主機、PC2代表銷售部的主機、PC3代表財務部的主機。
技術原理
訪問列表中定義的典型規則主要有以下:源地址、目標地址、上層協議、時間區域;
擴展IP訪問列表(編號100-199、2000、2699)使用以上四種組合來進行轉發或阻斷分組;可以根據數據包的源IP、目的IP、源端口、目的端口、協議來定義規則,進行數據包的過濾。
擴展IP訪問列表的配置包括以下兩部:
定義擴展IP訪問列表
將擴展IP訪問列表應用於特定接口上
實驗步驟
新建Packet Tracer拓撲圖
(1)分公司出口路由器與外路由器之間通過V.35電纜串口連接,DCE端連接在R2上,配置其時鍾頻率64000;主機與路由器通過交叉線連接。
(2)配置PC機、服務器及路由器接口IP地址。
(3)在各路由器上配置靜態路由協議,讓PC間能相互ping通,因為只有在互通的前提下才涉及到訪問控制列表。
(4)在R2上配置編號的IP擴展訪問控制列表。
(5)將擴展IP訪問列表應用到接口上、。
(6)驗證主機之間的互通性。
實驗設備
PC 1台;Server-PT 1台; Router-PT 3台;交叉線;DCE串口線
PC0
IP: 172.16.1.2
Submask: 255.255.255.0
Gateway: 172.16.1.1
Server0
IP: 172.16.4.2
Submask: 255.255.255.0
Gateway: 172.16.4.1
Router0
en conf t host R0 int fa 0/0 ip address 172.16.1.1 255.255.255.0 no shutdown int fa 1/0 ip address 172.16.2.1 255.255.255.0 no shutdown exit
Router1
en conf t host R1 int fa 1/0 ip address 172.16.2.2 255.255.255.0 no shutdown int s 2/0 ip address 172.16.3.1 255.255.255.0 no shutdown clock rate 64000
Router2
en conf t host R2 int s 2/0 ip address 172.16.3.2 255.255.255.0 no shutdown int fa 0/0 ip address 172.16.4.1 255.255.255.0 no shutdown
Router0
ip route 0.0.0.0 0.0.0.0 172.16.2.2
Router2
exit
ip route 0.0.0.0 0.0.0.0 172.16.3.1
Router1
exit ip route 172.16.1.0 255.255.255.0 172.16.2.1 ip route 172.16.4.0 255.255.255.0 172.16.3.2 end show ip route
PC0
ping 172.16.4.2(success)
Web瀏覽器:http://172.16.4.2(success)
Router1
conf t access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq www access-lint 100 deny icmp host 172.16.1.2 host 172.16.4.2 echo int s 2/0 ip access-group 100 out end
PC0
Web瀏覽器:http://172.16.4.2(success)
ping 172.16.4.2(Reply from 172.16.2.2: Destination host unreachable)
網絡地址轉換NAT配置
實驗目標
理解NAT網絡地址轉換的原理及功能;
掌握靜態NAT的配置,實現局域網訪問互聯網;
實驗背景
你是某公司的網絡管理員,欲發布公司的WWW服務。現要求將內網Web服務器IP地址映射為全局IP地址,實現外部網絡可以訪問公司內部Web服務器。
技術原理
網絡地址轉換NAT(Network Address Translation),被廣泛應用於各種類型Internet接入方式和各種類型的網絡中。原因很簡單,NAT不僅完美地解決了IP地址不足的問題,而且還能夠有效地避免來自網絡外部的攻擊,隱藏並保護網絡內部的計算機。
默認情況下,內部IP地址是無法被路由到外網的,內部主機10.1.1.1要與外部Internet通信,IP包到達NAT路由器時,IP包頭的源地址10.1.1.1被替換成一個合法的外網IP,並在NAT轉發表中保存這條記錄。當外部主機發送一個應答到內網時,NAT路由器受到后,查看當前NAT轉換表,用10.1.1.1替換掉這個外網地址。
NAT將網絡划分為內部網絡和外部網絡兩部分,局域網主機利用NAT訪問網絡時,是將局域網內部的本地地址轉換為全局地址(互聯網合法的IP地址)后轉發數據包;
NAT分為兩種類型:NAT(網絡地址轉換)和NAPT(網絡端口地址轉換IP地址對應一個全局地址)。
靜態NAT:實現內部地址與外部地址一對一的映射。現實中,一般都用於服務器;
動態NAT:定義一個地址池,自動映射,也是一對一的。現實中,用得比較少;
NAPT:使用不同的端口來映射多個內網IP地址到一個指定的外網IP地址,多對一。
實驗步驟
新建Packet Tracer拓撲圖
(1)R1為公司出口路由器,其與外部路由器之間通過V.35電纜串口連接,DCE端連接在R1上,配置其時鍾頻率64000;
(2)配置PC機、服務器及路由器接口IP地址;
(3)在各路由器上配置靜態路由協議,讓PC間能相互Ping通;
(4)在R1上配置靜態NAT。
(5)在R1上定義內外網絡接口。
(6)驗證主機之間的互通性。
實驗設備
PC 1台;Server-PT 1台;Switch_2950-24 1台;Router-PT 2台;直連線;交叉線;DCE串口線
Server-PT
192.168.1.2
255.255.255.0
192.168.1.1
PC0
222.0.2.2
255.255.255.0
222.0.2.1
Router0
//配置Router0各個聯通接口的IP,子掩碼 Router0>en Router0#conf t Router0(config)#inter fa 0/0 Router0(config-if)#ip address 192.168.1.1 255.255.255.0 Router0(config-if)#no shutdown Router0(config-if)#inter serial 2/0 Router0(config-if)#ip address 222.0.1.1 255.255.255.0 Router0(config-if)#no shutdown Router0(config-if)#clock rate 64000 Router0(config-if)#exit
Router1
//配置Router1各個聯通接口的IP,子掩碼 Router1> en Router1#conf t Router1(config)#int s 2/0 Router1(config-if)#ip address 222.0.1.2 255.255.255.0 Router1(config-if)#no shut Router1(config-if)#int fa 0/0 Router1(config-if)#ip address 222.0.2.1 255.255.255.0 Router1(config-if)#no shutdown Router1(config-if)#exit
//配置Router0和Router1的路由轉發表
Router0
Router0(config)#ip route 222.0.2.0 255.255.255.0 222.0.1.2
Router1
Router1(config)#ip route 192.168.1.0 255.255.255.0 222.0.1.1
Router1(config)#end
Router1#show ip route
PC0
CMD
ping 192.168.1.2 (success)
Web瀏覽器
http://192.168.1.2 (success)
Router0
//完成Router0的nat配置 Router(config)#inter fa 0/0 Router(config-if)#ip nat inside //將fa0/0配置為nat內部接口 Router(config-if)#inter serial 2/0 Router(config-if)#ip nat outside //將serial2/0配置為nat外部映射接口 Router(config-if)#exit //添加靜態nat映射表(將內部IP 192.168.1.2 映射為222.0.1.3外網IP) Router(config)#ip nat inside source static 192.168.1.2 222.0.1.3 Router(config)#end Router#show ip nat translations
PC0
Web瀏覽器
http://222.0.1.3 (success)
Router0
show ip nat translations
網絡端口地址轉換NAPT配置
實驗目的
理解NAT網絡地址轉換的原理及功能;
掌握NAPT的配置,實現局域網訪問互聯網;
實驗背景
你是某公司的網絡管理員,公司辦公網需要接入互聯網,公司只向ISP申請了一條專線,該專線分配了一個公司IP地址,配置實現全公司的主機都能訪問外網。
技術原理
NAT將網絡划分為內部網絡和外部網絡兩部分,局域網主機利用NAT訪問網絡時,是將局域網內部的本地地址轉換為全局地址(互聯網合法的IP地址)后轉發數據包;
NAT分為兩種類型:NAT(網絡地址轉換)和NAPT(網絡端口地址轉換IP地址對應一個全局地址)。
NAPT:使用不同的端口來映射多個內網IP地址到一個指定的外網IP地址,多對一。
NAPT采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問,從而可以最大限度地節約IP地址資源。同時,又可隱藏網絡內部的所有主機,有效避免來自Internet的攻擊。因此,目前網絡中應用最多的就是端口多路復用方式。
實驗步驟
新建Packet Tracer拓撲圖
(1)R1為公司出口路由器,其與ISP路由器之間通過V.35電纜串口連接,DCE端連接在R1上,配置其時鍾頻率64000;
(2)配置PC機、服務器及路由器接口IP地址;
(3)在各路由器上配置靜態路由協議,讓PC間能相互Ping通;
(4)在R1上配置NAPT。
(5)在R1上定義內外網絡接口。
(6)驗證主機之間的互通性。
實驗設備
PC 2台;Server-PT 1台;Switch_2950-24 1台Router-PT 2台;直通線;交叉線;DCE串口線
PC1
192.168.1.2
255.255.255.0
192.168.1.1
PC2
192.168.1.3
255.255.255.0
192.168.1.1
Server
200.1.2.2
255.255.255.0
200.1.2.1
Router0
Router0>en Router0#conf t Router0(config)#int fa 0/0 Router0(config-if)#ip address 192.168.1.1 255.255.255.0 Router0(config-if)#no shutdown Router0(config-if)#int s 2/0 Router0(config-if)#ip address 200.1.1.1 255.255.255.0 Router0(config-if)#no shutdown Router0(config-if)#clock rate 64000 Router0(config-if)#exit
Router1
Router1>en Router1#conf t Router1(config)#int s 2/0 Router1(config-if)#ip address 200.1.1.2 255.255.255.0 Router1(config-if)#no shutdown Router1(config-if)#int fa 0/0 Router1(config-if)#ip address 200.1.2.1 255.255.255.0 Router1(config-if)#no shutdown Router1(config-if)#exit
Router0
Router1(config)#ip route 200.1.2.0 255.255.255.0 200.1.1.2
Router1
Router1(config)#ip route 192.168.1.0 255.255.255.0 200.1.1.1
PC1
CMD
ping 200.1.2.2 (success)
Web瀏覽器
http://200.1.2.2 (success)
Router0
//完成對Router0的NAT配置 Router(config)#int fa 0/0 Router(config-if)#ip nat inside Router(config-if)#int s 2/0 Router(config-if)#ip nat outside Router(config-if)#exit //NAPT配置 Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 Router(config-if)#ip nat pool cisco 200.1.1.3 200.1.1.3 netmask 255.255.255.0 Router (config-std-nacl)#ip nat inside source list 1 pool cisco overload (無overload表示多對多,有overload表示多對一) Router (config-std-nacl)#end Router #show ip nat translations(無結果)
PC1
Web瀏覽器
http://200.1.2.2 (success)
Router0
show ip nat translations(有1個結果)
PC2
Web瀏覽器
http://200.1.2.2 (success)
Router0
show ip nat translations(有2個結果)