网络设备的基本配置与管理 -----许乐 lelexu@sicnu.edu.cn 网络管理骨干教师培训 网络设备的基本配置与管理 -----许乐 lelexu@sicnu.edu.cn

教学内容 网线的制作 无线AP的配置演示 Console、telnet访问路由器 查看路由器基本信息 路由器的简单配置 静态路由的配置 IP地址的规划 路由器DHCP功能配置 Nat实现 组建简单的网络

网络线的制作 EIA/TIA 的布线标准中规定了双绞线的两种线序 568B 与 568A，在整个网络布线中应 该采用一种布线方式。两种线序如下表和图一所示。

T568 标准： 序号 用途 T568A T568B 是否用于百兆传输 是否用于百兆或千兆传输 1 传输 绿白 橙白 是 是 2 传输 绿 橙 是 是 3 接收 橙白 绿白 是 是 4 没用 蓝 蓝 否 是 5 没用 蓝白 蓝白 否 是 6 接收 橙 绿 是 是 7 没用 棕白 棕白 否 是 8 没用 棕 棕 否 是

无线AP配置演示 简单的无线局域网配置 SSID概念:服务群标志(Service set identifier) 用于标记和区分不同的无线局域网络. 配置步骤: 1.运行AP管理程序,搜索网络,可以搜索到该AP. 2.配置该AP的SSID,设置管理帐号和密码,配置IP地址192.168.0.1. 3.配置笔记本无线网卡,IP 192.168.0.11/255.255.255.0,与AP同一网段,但此时ping不通网关. 4.通过搜索设置无线网卡的SSID,此时可以ping通网关.

简单的无线网络存在很大的安全性问题，任何人均可以通过搜索SSID来探测当前存在,通过配置SSID,可以随意接入网络,为增强安全,AP一般具有以下功能: 部分 AP支持“隐藏 SSID”功能 1） 利用 AP 管理程序配置“隐藏 SSID”功能； 2） 将无线网卡的 SSID配置为 any，搜索无线网络，此时应无法找到无线网络； 2． 采用 WEP加密（演示） ： WEP（有线等效保密） ：采用一个 40bit 或 104bit 的密匙，这个密匙被用作一个向量来 产生一个 64bit 或128bit的密匙， 对无线传输中的数据进行加密， 从而保证无线网络的安全。 1）利用 AP管理程序配置 64bit 的 WEP加密字串； 2）设置无线网卡的 SSID，此时仍无法 ping通 192.168.0.1； 3）配置无线网卡的 WEP，此时可以 ping 通 192.168.0.1； 提示：WEP并非万能，配置了 WEP以后仍然可以通过监听软件来破解 WEP密匙。

3． 采用 MAC过滤 设置哪些 MAC 地址范围可以使用该 AP 4． 采用 802.1x认证 802.1x 协议：基于端口的网络接入控制协议。申请者在接入网络之前，AP对其是阻塞的，只有发送认证信息到 Radius服务器通过认证以后，AP才允许其接入到网络中，否则，申请者将被拒绝。

路由器的基本组件及其作用 路由器的基本组件包括处理器、接口和存储器。 1． 处理器 处理器即 CPU，是路由器的核心部件。Cisco 路由器处理能力随着路由器型号的不同而异，总的来说，越是高端的路由器，其处理器处理能力越高。

2． 接口 在 Cisco 路由器上有着丰富的接口类型，如以太网口、快速以太网口、串行、异步/同步、ATM、ISDN 等接口。 对于不同的路由器系列，接口的编号通常有以下三种规则: 1）固定配置或者低端路由器，其接口的编号是用单个数字，例如 Cisco 1600路由器的接口编号可以是 e0（以太网接口 0） ，s0（串行接口 0）等。

2）中低端的模块化路由器，其接口的编号是用两个数字，中间用“/”格开，斜杠前面的是模块号，后面是模块上的接口编号。例如 Cisco 2600 路由器上的接口编号是：f0/1(快速以太网口 0/1),s1/1（串行接口 1/1）等。 3）高端的模块化路由器，其接口的编号有时是三个数字，中间用“/”格开，第一个数字是模块号，第二个数字是该模块上的子卡号，第三个数字是该子卡上的接口模块号。例如 Cisco 2800 路由器上的接口编号可以是 g0/0/0(Gigabyte 以太网口 0/0/0) ，s0/1/1（串行接口 0/1/1）等。

3． 存储器 路由器中有四种主要的存储器，分别是 ROM、RAM、Flash和NVRAM。 ROM，只读存储器，其中存储了一个基本的 IOS 软件，具有有限的功能和性能，用以在 加电时引导路由器的启动。 RAM，随机存取存储器，它是 IOS 软件活动的场所，作为工作存储器与处理器配合 完成各种处理，运行配置文件(running-config)存放在 RAM 里。RAM 中的所有内容，包 括运行配置文件都在断电后被清除。

Flash，非易失性存储器，在路由器中 Flash 主要用于存储 IOS 映象文件。 NVRAM，非易失性存储器，用于存储启动配置(startup-config)文件。

访问Cisco路由器的方法 路由器没有键盘和鼠标，要初始化路由器需要把计算机的串口和路由器的Console口进行连接。访问Cisco路由器的方法还有Telnet、Web Browser和网络管理软件（如Cisco Works）等，本节讨论前2种。

通过Console口访问路由器 计算机的串口和路由器的Console口是通过反转线（Rollover）进行连接的，反转线的一端接在路由器的Console口上，另一端接到一个DB9-RJ45的转接头上，DB9则接到计算机的串口上，如图1-1所示。所谓的反转线就是线两端的RJ45接着上的是反的，如图1-2所示。计算机和路由器连接好后，就可以使用各种各样的终端软件配置路由器了。

对 IOS软件的基本操作 学习路由器的连接以及超级终端的使用。 1．先启动路由器，等待 OK 灯不闪烁； 2． 用 console 线 （反转线， 注意与网线的比较） 把计算机的 COM口与路由器的 console口直接相连。 3．点击“开始——程序——附件——通讯——超级终端” ，建立连接，采用默认选项， 各缺省参数如下。 z 端口速率：9600bit/s； z 数据位：8 z 奇偶校验：无； z 停止位：1； z 流控：无

比较路由器在不同模式下的提示符。把正确的选项填入下表中 模式种类 提示符 1. 用户模式（User EXEC Mode） 2. 特权模式（Privileged EXEC Mode） 3. 全局配置模式（Global configuration mode） 4. 路由配置模式（Router configuration mode） 5. 端口配置模式（Interface configuration mode） A．Router# B．Router> C．Router(config-if)# D．Router(config-router)# E．Router(config)#

路由器的简单配置 用端口配置模式配置路由器的端口(包括以太网口配置和串口的配置） 1．配置以太网口： 命令：Router# config t Router(config)# int e0 // 如果是快速以太网口则输入：int f0 Router(config-if)# ip address 192.168.3.1 255.255.255.0 //配置以太网口 Router(config-if)# no shut //激活该以太网

基本路由器配置 步骤 1 - 路由器基本信息配置 1. 为路由器设置主机名： 命令：Router# config t //”config terminal”的简写，进入全局配置模式 Router(config)# hostname Router1 // 把该路由器命名为 Router1 注意：如果名字含有空格的话，要用双引号括起来。 2. 建立 enable 口令和 secret 口令： 命令：Router(config)#enable password cisco //设置进入特权模式的密码 命令：Router(config)#enable secret cisco //设置进入特权模式的密码 /密码会以加密的形式显示，不以明文显示

2．配置串行口： 命令： Rouer # config t Router(config)# int s0 Router(config-if)# clock rate 56000 // DCE 设备配置时钟，DTE 设备不用配置 Router(config-if)# ip address 192.168.2.1 255.255.255.0 Router(config-if)# no shut

学一招： 1.如果想删除 e0 的 ip 怎么办呢？方法是在同样的模式下输入相同命令，只不过前面加 no，即 Router(config-if)# no ip address 192.168.3.1 255.255.255.0 即可 删除之前配置的 e0 端口的 ip。即如果相对一个命令想做相反的动作，只需在原命令前面加 no。 2.配置路由器的串口要区分是 DCE 口还是 DTE 口。DCE 要配时钟，而 DTE 则不必。 例如观察 s0属于哪种接口， 可以在特权模式下输入命令： show controller s0。

通过Telnet访问路由器 如果管理员不在路由跟前，可以通过Telnet远程配置路由器，当然这需要预先在路由器上配置了IP地址和密码，并保证管理的计算机和路由之间是IP可达的（简单讲就是能ping通）。Cisco路由器通常支持多人同时Telnet，每一个用户称为一个虚拟终端（VTY）。第一个用户为vty 0，第二个用户为vty 1，依次类推，路由器通过达vty 4。

通过telnet访问路由器实验步骤 （1）步骤1：配置路由器以太网接口IP地址 Router>enable Router#configure terminal Enter configuration commands，one rper line. End with CNTL/Z. Router(config)#//以上是进入路由器的配置模式 Router(config)#interface g0/0 Router(config-if)#//以上是进入路由器的以太网口g0/0接口， g0/0接口中g表示GigabitEthernet，0/0表示是第0个插槽中的第0个接口.S0/0/0则表示为第2个插槽中的第0个模块上的第0个串行接口 Router(config-if)#ip address 172.16.0.1 255.255.0.0 //以上是配置接口的IP地址 Router(config-if)#no shutdown //以上是打开接口，默认路由器的所有接口都是关闭的，这一点和交换机有很大差别 Router(config-if)#end //退出配置模式

（2）步骤2：配置路由器密码 Router#conf terminal Router#(config)line vty 0 4//以上是进入路由器的VTY虚拟终端下”vty 0 4”表示vty 0 到vty 4，共5个虚拟终端 Router(config-line)#password CISCO Router(config-line)#login//以上是配置vty的密码，即Telnet密码 Router(config-line)#exit Router(config)#enable password CISCO //以上是配置进入到路由器特权模式的密码 Router(config)#end

路由器 show 命令 熟悉基本的路由器 show 命令 用 show version 命令获取路由器地硬件配置信息 用 show running-config获取在内存中的路由器当前的运行配置文件 用 show startup-config 查看在 NVRAM 中的备份配置文件 用 show flash 查看 IOS文件信息 用 show interface 查看路由器端口当前状态

管理配置文件 配置 tftp服务器 使用 copy 命令复制和备份配置文件

TFTP(trivial file transfer protocol)即简单文件传输协议，是允许文件在网络中 从一台主机传输到另一台主机的简化的 FTP 版本，大多数网络设备的软件升级采用 TFTP 方式。 步骤 1 - 在工作站上执行 TFTP 服务端软件，使之成为 TFTP 服务器。用交叉线将工作站网卡和路由器以太网口相连，将此以太网口 IP 设置为与 PC 机同一网段。 步骤 2 - 验证到 TFTP服务器的连接，输入 ping xxx.xxx.xxx.xxx（充当 TFTP 服务器的工作站的 IP 地址） 。 步骤 3 - 在路由器的全局配置模式输入命令 copy running-config tftp (缩写: copy run tftp)。在输入这个命令后，路由器会提示输入远程主机的 IP 地址，请输入你在步骤 1 验证的 IP 地址并回车。然后路由器会提示输入要写入的文件名，默认是路由器的名字，按 ENTER接受或者输入一个新的名字后按 ENTER。 步骤 4 - 输入命令 erase startup-config 删除启动配置并用 show startup-config 验证。

步骤 5 - 输入命令 copy tftp starup-config。在输入这个命令后，路由器会提示输入 远程主机的 IP 地址，请输入你在步骤 3中输入的 IP 地址并回车。然后路由器会提示输入要读取的文件名，默认是路由器的名字，按 ENTER 接受或者输入你在步骤 3中建立的文件的名字后按 ENTER。当这个步骤完成，路由器会指出配置文件用去的RAM的字节数和路由器上的RAM的总字节数。 对照路由器的启动配置和运行配置，如果两者相同，说明 TFTP 实验成功。

路由器初始配置与超级终端的使用 1．熟悉路由器的 setup模式 2．学习用 setup模式设置路由器的基本配置参数 3．用超级终端（HyperTerminal）捕获路由器的运行配置 4．通过超级终端上传文本文件配置路由器

实验步骤： 步骤 1–将路由器配置导出到文本文件。 启动捕获路由器配置到文本文件的进程，然后在命令提示符后输入 show running-config , 命令运行结束后终止捕获路由器配置的进程。 超级终端(Hyper Terminal)可以捕获所有显示在屏幕上的文字到一个文本文件。 在超级终端点击 Transfer菜单选项， 然后当有提示时点击 Capture Text.并必须提供一个路径和文件名以存放捕获的文字。 使用路由器的名字作为文件名，用.txt 作为扩展名。终止捕获配置可以在超级终端点击 Transfer 菜单选项，然后点击 Capture Text.出现一个新的菜单，点击 Stop.

步骤 2–清理捕获的配置文件,删除捕获的配置文件中任何不必要的信息。 注意感叹号“!”在路由器配置中是注释命令。用 windows 记事本打开你在步骤 1建立的文件，删除以下各行： Sh run Building configuration... Current configuration: 删除每个含有"- More -" 提示符的行。删除任何出现在单词"End"后面的行。 保存修改后的文件。

步骤 3–删除启动配置。 输入命令 erase startup-config，用 show startup-config 确认。 步骤 4–重启路由器后，从文本文件导入配置。 重新启动路由器后，路由器会显示: "Notice: NVRAM invalid, possibly due to write erase." 当提示进入初始配置对话时，按 N 然后回车。在路由器的特权模式下输入 configure terminal 进入全局配置模式。然后点击超级终端菜单Transfer/Send/Text File。选择在步骤 1保存的文件。电脑会为你输入文本文件中每一行，就象你自己输入的一样。 按 Control + Z 键退出全局配置模式。 步骤 5–保存并验证新的配置文件

修改路由器密码 步骤 1 - 记录下路由器的配置寄存器（configuration register）的设置用超级终端连上路由器，输入命令 show version。这个命令显示当前的配置寄存器的设置，还有其它信息。在显示的信息最后有一行显示 configuration register is 0x2102（不同路由器可能不同） ，记下0x2102 这个值。

步骤 2 - 重新启动路由器。在特权模式下输入reload 命令。 步骤 3 - 中断启动进程 任务: 在路由器重启后的 60 秒内，按下 Control 键不放手，然后按 Break 键。 解释: 一个代表中断的控制字符被送到路由器，中断启动进程。 多学两招：此时进入一种较特殊的运行模式―ROM Monitor模式，提示符为>。路由器的 ROM 中除固化了一种功能有限的 IOS 之外，还有一种非 IOS 的简单操作系统， 也可以被加载，加载之后进入的模式被称为 ROM Monitor模式。ROM Monitor模 式通常被用于对设备进行低级调试和口令恢复。

步骤 4 - 改变路由器的配置寄存器 任务: 输入命令改变路由器的配置寄存器。 解释: 改变配置寄存器目的是告诉路由器下次启动时忽略 NVRAM 中的配件。改变不同型号路由器命令也会稍有不同。

简单组网实验 路由选择协议概述 : IP 路由选择协议用有效的、无循环的路由信息填充路由选择表，从而为数据包在网络 之间传递提供可靠的路径信息。路由选择又分为距离矢量、链路状态和平衡混合 3 种。 距离矢量（Distance Vector）路由选择协议计算网络中所有链路的矢量和距离，并以 此为依据确认最佳路径。 使用距离矢量路由选择协议的路由器定期向其相邻的路由器发全 部或部分路由表。典型的距离矢量路由协议是 RIP和 IGRP。 链路状态（Link State）路由协议使用为每个路由器创建的拓扑数据库来创建路由表， 每个路由器通过此数据库建立整个网络的拓扑图。 在拓扑图的基础上通过相应的路由算计 算出通往各目标网段的最佳路径，并最终形成路由表。典型的链路状态路由协议是 OSPF(Open Shortest Path First，开放最短路径优先)。 平衡混合（Balanced Hybrid）路由协议结合了链路状态和距离矢量两种协议的优点， 此类协议的代表是 EIGRP，即增强型内部网关路由协议。

网络组建拓扑图

实验步骤 R1 配置 步骤 1 - 连接到超级终端并进入全局配置模式 1． 用 Rollover线一端连接路由器的 Console 口，一端接用于配置的主机 COM1 口。 2． 起动终端仿真程序如超级终端或 netterm，选定连接参数为数据位 8 位，波特率 9600，停止位 1 位，无流控，无校验。 3． 路由器上电，进入普通用户模式 R1> 4． 键入 enable 进入超级用户模式 R1# 5． 使用 configure terminal 进入全局配置模式 R1(config)# 步骤 2–配置 ethernet 端口 R1(config)#interface ethernet 0 R1(config-if)#ip address 192.168.1.254 255.255.255.0 R1(config-if)#no shutdown

步骤 3–配置 serial 端口 R1(config)#interface serial0 R1(config-if)#ip address 192.168.2.5 255.255.255.252 R1(config-if)#no shutdown R1(config-if)#clock rate 56000 学一招：Trouble shooting 故障检测与排除 1.倘若进入超级终端敲 enter 键没有反应，检查 rollover 线是否连接良好； 2.若ethernet 端口不正常，检查网线接好否，且注意应该采用交叉线； 3.若serial端口不正常，检查 V.35电缆接好否，有无配置时钟。

R2 配置 步骤 1–连接到超级终端并进入全局配置模式 22 实验三 组网实验 | 参看 R1 配置方法进入全局配置模式 R2(config)# 步骤 2–配置 ethernet 端口 R2(config)#interface ethernet 0 R2(config-if)#ip address 192.168.3.254 255.255.255.0 R2(config-if)#no shutdown

步骤 3–配置 serial 端口 R2(config)#interface serial0 R2(config-if)#ip address 192.168.2.6 255.255.255.252 R2(config-if)#no shutdown 效果：此时两路由器在特权模式下 show ip interface brief, 两路由器的端口都应是 UP， 并两路由器的serial端口能ping通， ethernet端口与其下连接网段的主机之间能ping通。

1．配置静态路由 步骤 1–R1 配置：进入全局配置模式 R1(config)# R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.6 步骤 2–R2 配置：进入全局配置模式 R1(config)# R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.5 效果：此时，两边主机都能 ping 通并可以正常互访。

给定 3个 C类网络地址：192.168.1.0，192.168.2.0，192.168.3.0。 1．参照以下网络拓扑结构，配置路由器的端口地址和各节点网络地址。 2．配置静态路由，使 R1和 R2两边的机器能够互相连通。 3．配置动态路由，使 R1和 R2两边的机器能够互相连通。

实验步骤:R1的配置 步骤 1 - 连接到超级终端并进入全局配置模式 1． 用 Rollover线一端连接路由器的 Console 口，一端接用于配置的主机 COM1 口。 2． 起动终端仿真程序如超级终端或 netterm，选定连接参数为数据位 8 位，波特率9600，停止位 1 位，无流控，无校验。 3． 路由器上电，进入普通用户模式 R1> 4． 键入 enable 进入超级用户模式 R1# 5． 使用 configure terminal 进入全局配置模式 R1(config)#

步骤 2–配置 ethernet 端口 R1(config)#interface ethernet 0 R1(config-if)#ip address 192.168.1.254 255.255.255.0 R1(config-if)#no shutdown 步骤 3–配置 serial 端口 R1(config)#interface serial0 R1(config-if)#ip address 192.168.2.5 255.255.255.252 R1(config-if)#clock rate 56000

学一招：Trouble shooting 故障检测与排除 1.倘若进入超级终端敲 enter 键没有反应，检查 rollover 线是否连接良好； 2.若ethernet 端口不正常，检查网线接好否，且注意应该采用交叉线； 3.若serial端口不正常，检查 V.35电缆接好否，有无配置时钟。

实验步骤: R2 配置 步骤 1–连接到超级终端并进入全局配置模式 ,参看 R1 配置方法进入全局配置模式 R2(config)# 步骤 2–配置 ethernet 端口 R2(config)#interface ethernet 0 R2(config-if)#ip address 192.168.3.254 255.255.255.0 R2(config-if)#no shutdown

步骤 3–配置 serial 端口 R2(config)#interface serial0 R2(config-if)#ip address 192.168.2.6 255.255.255.252 R2(config-if)#no shutdown 效果：此时两路由器在特权模式下 show ip interface brief, 两路由器的端口都应是 UP， 并两路由器的serial端口能ping通， ethernet端口与其下连接网段的主机之间能ping通。

路由配置 :静态路由配置 1．配置静态路由 步骤 1–R1 配置：进入全局配置模式 R1(config)# R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.6 步骤 2–R2 配置：进入全局配置模式 R1(config)# R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.5 效果：此时，两边主机都能 ping 通并可以正常互访。

2．删除静态路由 步骤 1–在路由器 R1 上删除静态路由 R1(config)#no ip route 192.168.3.0 255.255.255.0 192.168.2.6 步骤 2–在路由器 R2 上删除静态路由 R2(config)#no ip route 192.168.1.0 255.255.255.0 192.168.2.5

DHCP配置 IP地址已是每台计算机必定配置的参数了，手工设置每一台计算机的IP地址成为管理员最不愿意做的一件事，于是自动配置IP地址的方法出现了，这就是DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）。DHCP服务器能够从预告设置的IP地址池里自动给主机分配 IP地址，它不仅能够保证IP地址不重复分配，也能及时回收IP地址以提高IP地址的利用率。

DHCP概述 在动态IP地址的方案中，每台计算机并不设定固定的IP地址，而是在计算机开机时才被分配一个IP地址，这台计算机被称为DHCP客户端，负责给DHCP客户端分配IP地址的计算机称为DHCP服务器。也就是说，DHCP采用客户／服务器（Client/Server）模式，有明确的客户端和服务器角色划分。 DHCP的工作过程如下： 当DHCP客户机启动时，客户机在当前的子网中广播DHCPDISCOVER报文，向DHCP服务器申请一个IP地址。 DHCP服务器收到DHCPDISCOVER报文后，它将从针对那台主机的地址中为它提供一个尚未被分配出去的IP地址，并把提供的IP地址暂时标记为不可用。服务器以DHCPOFFER报文送回给主机。如果网络里包含有不止一个的DHCP服务器，则客户机可能收到好几个DHCPOFFER报文，客户机通常只承认第一个DHCPOFFER。

DHCP概述 客户端收到DHCPOFFER后向服务器发送一个含有有关DHCP服务器提供的IP地址的DHCPREQUEST报文。如果客户端没有收到DHCPOFFER报文并且还记得以前的网络配置，此时使用以前的网络配置（如果该配置仍然在有效期限内）DHCP服务器向客户机发回一个含有被发出的IP地址及其分配方案的一个应答报（DHCPACK）。 客户端接收到包含了配置参数的DHCPACK报文后，利用ARP检查网络上是否有相同的IP地址。如果检查通过，则客户机接收这个IP地址及其参数，如果发现有问题，客户机向服务器发送DHCPDECLINE信息，并重新开始中新的配置过程。服务器收到DHCPDECLINE信息，将该地址标为不可用。 DHCP服务器只能将那个IP地址分配给DHCP客户一定时间，DHCP客户必须在该次租用过期前对它进行更新。客户机在50%租借时间过去以后，每隔一段时间就开始DHCP服务器更新前租借。如果DHCP服务器应答，则租用延期；如果DHCP服务器始终没有应答，在有效租借其的87.5%，客户应该与任何一个其他的DHCP服务器通信，并请求更新它的配置信息。如果客户机不能和所有的DHCP服务器取得联系，租借时间到后，它必须放弃当前的IP地址并重新发送一个DHCPDISCOVER报文开始上述的IP地址获得过程。客户端可以主动向服务器发出DHCPRELEASE报文，将当前的IP地址释放。

DHCP基本配置 （1）步骤1：配置路由器R1提供DHCP服务 R1(config)#service dhcp //DHCP服务 R1(config)#no ip dhcp conflict logging //关闭DHCP冲突日志 R1(config)#ip dhcp pool ccie //定义地址池 R1(dhcp-config)#network 192.168.1.0 /24 //DHCP服务器要分配的网络和掩码 R1(dhcp-config)#domain-name cisco.com //域名 R1(dhcp-config)#default-router 192.168.1.1 //默认网关，这个地址要和相应网络所连接的路由器的以太口地址相同 R1(dhcp-config)#netbios-name-server 192.168.1.2 //WINS服务器 R1(dhcp-config)#dns-server 192.168.1.4 //DNS服务器 R1(dhcp-config)#option 150 ip 192.168.1.3 //TFTP服务器 R1(dhcp-config)#lease infinite //定义租期 R1(dhcp-config)#ip dhcp excluded-address 192.168.1.1 192.168.1.5 //排除的地址段

DHCP基本配置 步骤2：设置Windows客户端 首先在Windows下把TCP/IP地址设置为自动获得（如图10-2），如果DHCP服务器还提供DNS和WINS等，也把它们设置为自动获得。

实验调试 （1）在客户端测试 在”命令提示符”下，执行C;/>ipconfig/renew可以更新IP地址；而执行C;/>ipconfig/all可以看到IP地址、WINS、DNS和域名是否正确；要释放地址用C;/>ipconfig/release命令。 C;\>ipconfig/renew Windows IP Configuration Ethernet adapter 本地连接; Connection-sepecific DNS Suffix .;cisco.com IP Address..........................................; 192.168.1.7 Subnet Mask.......................................; 255.255.255.0 Default Gateway..................................; 192.168.1.1 C;\>ipconfig/all Description.........................................;Realtek RTL8139/810x Family Fast Ethernet NIC Physical Address.................................;00-60-67-00-DD-5B Dhcp Enabled......................................;YES Autoconfiguration Enabled.................;YES IP Address...........................................;192.168.1.7 Subnet Mask........................................;255.255.255.0 Default Gateway...................................;192.168.1.1 DHCP Server........................................;192.168.1.1 DNS Servers.........................................;192.168.1.4 Primary WINS Server...........................;192.168.1.2 Lease Obtained......................................;2007年2月22日 13;01;01 Lease Expires........................................;2038年1月19日 11;14;07

（2）show ip dhcp pool 该命令用来查看DHCP地址池的信息。 R1#show ip dhcp pool Pool ccie; Utilization mark(high/low) ;100/0 Subnet size(first/next) ;0/0 Total addresses ;254 //地址池中共计254个地址 Leased addresses ;2 // 已经分配出去2个地址 Pending event ;none 1 subnet is currently in the pool; Current index IP address range Leased addresses 192.168.1.8 192.168.1.1 -192.168.1.254 2 //下一个将要分配的地址、地址池的范围以及分配出去的地址的个数 （3）show ip dhcp binding 该命令用来查看DHCP的地址绑定情况。 R1#show ip dhcp binding Bindings from all pools not associated with VRF; IP address Client-ID/　　　　　　　Lease expiration　　　　　　　Type 　　　　　　　　　　　Hardware address/ 　　　　　　　　　　　Username 192.168.1.6　　　　　　0063.6973.636f.2d　　　　　　Infinite 　　　　　　　　　Automatic 192.168.1.7　　　　　　0100.6067.00dd.5b 　　　　　Infinite 　　　　　　　　　Automatic 以上输出表明DHCP服务器自动分配给客户端的IP地址以及所对应的客户端的硬件地址。

DHCP中继 在本实验中，R1仍然担任DHCP服务器的角色，负责向PC所在网络和PC2所在网络的 主机动态分配IP地址，所以，R1上需要定义两个地址池。整个网络运行RIPv2协议 确保网络IP连通性。

实验步骤 （1）步骤1：配置路由器R1提供DHCP服务 R1(config)#interface gigabitEhternet0/0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary R1(config-router)#network 192.168.1.0 R1(config-router)# network 192.168.12.0 R1(config)#service dhcp R1(config)#no ip dhcp conflict logging R1(config)#ip dhcp pool ccie //定义第一个地址池 R1(dhcp-config)#network 192.168.1.0 /24 R1(dhcp-config)#default-router 192.168.1.1 R1(dhcp-config)#domain-name cisco.com

R1(dhcp-config)#netbios-name-server 192.168.1.2 R1(dhcp-config)#dns-server 192.168.1.4 R1(dhcp-config)#option 150 ip 192.168.1.3 R1(dhcp-config)#lease infinite R1(dhcp-config)#ip dhcp excluded-address 192.168.1.1 192.168.1.5 R1(config)#ip dhcp pool ccnp //定义第二个地址池 R1(dhcp-config)#network 172.16.1.0 255.255.255.0 R1(dhcp-config)#domain-name szpt.net R1(dhcp-config)#default-router 172.16.1.2 R1(dhcp-config)#ip dhcp excluded-address 172.16.1.1 172.16.1.2

步骤2：配置路由器R2 R2(config)#interface gigabitEhternet0/0 R2(config-if)#ip address 172.16.1.2 255.255.255.0 R2(config-if)#ip helper-address 192.168.12.1 //配置帮助地址 R2(config-if)#no shutdown R2(config)#router rip R2(config-router)#version 2 R2(config-router)#no auto-summary R2(config-router)# network 192.168.12.0 R2(config-router)# network 172.16.0.0 【技术要点】路由器是不能转发”255.255.255.255”广播的，但是很多服务（如DHCP和TFTP等）的客户请求都是以泛洪广播的方式发起的，我们不可能将每个网段都旋转这样的服务器，因此使用Cisco IOS帮助地址特性是很好的选择。通过使用帮助地址，路由器可以被配置为接受对UDP服务的广播请求，然后将之以单点传送的方式发给某个具体的IP地址，或者以定向广播形式向某个网段转发这些请求，这就是中继。

.实验调试 （1）show ip dhcp binding 在PC1和PC2上自动获取IP地址后，在R1上执行： R1#show ip dhcp binding Bindings from all pools not associated with VRF; IP address Client-ID/　　　　　　　Lease expiration　　　　　　　Type 　　　　　　　　　　　Hardware address/ 　　　　　　　　　　　Username 172.16.1.3 0100.6067.00dd.5b 192.168.1.6　　　　　　0063.6973.636f.2d　 　　　Infinite 　　　　　　　　　Automatic 192.168.1.7　　　　　　0100.6067.00ef.31 　 　　　Infinite 　　　　　　　　　Automatic 以上输出表明两个地址池都为相应的网络上的主机分配了IP地址

（2）show ip dhcp pool R1#show ip dhcp pool Pool ccie; Utilization mark(high/low) ;100/0 Subnet size(first/next) ;0/0 Total addresses ;254 Leased addresses ;2 Pending event ;none 1 subnet is currently in the pool; Current index IP address range Leased addresses 192.168.1.8 192.168.1.1 -192.168.1.254 2 Pool ccnp; Leased addresses ;1 172.16.1.4 172.16.1.1 -192.168.1.254 1

NAT NAT概述 NAT是一个IETF标准，允许一个机构以一个地址出现在Internet上。NAT技术使一个私有网络可以通过Internet注册IP连接到外部世界，位于Inside网络和Outside网络中的NAT路由器在发送数据包之前，负责把内部IP地址翻译成外部合法的IP地址。NAT将每个局域网节点的IP地址转换成一个合法的IP地址，反之亦然。它也可以应用到防火墙技术中，把个别IP地址隐藏起来不被外界发现，对内部网络设备起到保护的作用，同时，它还可以帮助网络超越地址的限制，合理地安排网络中的公有Internet地址和私有IP地址的使用。 NAT有3 种类型：静态NAT、动态NAT和端口地址转换（PAT）。 1.静态NAT 在静态NAT中，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。 2.动态NAT 动态NAT首先要定义合法地址池，然后采用动态分配的方法映射到内部网络。动态NAT是动态一对一的映射。 3.PAT PAT则是把内部地址映射到外部网络的IP地址的不同端口上，从而可以实现多对一的映射。PAT对于节省IP地址是最为有效的。

静态NAT配置

步骤1：配置路由器R1提供NAT服务 R1(config)#ip nat inside source static 192.168.1.1 202.96.1.3 //配置静态NAT映射 R1(config)#ip nat inside source static 192.168.1.2 202.96.1.4 R1(config)#interface g0/0 R1(config)#ip nat inside //配置NAT内部接口 R1(config)#interface s0/0/0 R1(config)#ip nat outside //配置NAT外部接口 R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary R1(config-router)#network 202.96.1.0

（2）配置2：配置路由器R2 R2(config)#router rip R2(config-router)#version 2 R2(config-router)#no auto-summary R2(config-router)#network 202.96.1.0 R2(config-router)#network 2.0.0.0

debug ip nat 该命令可以查看地址翻译的过程。 在PC1和PC2上ping 2.2.2.2（路由器R2 的环回接口），此时应该是通的，路由器R1的输出信息如下： R1#debug ip nat *Mar 4 02;02;12.779;NAT*;s=192.168.1.1->202.96.1.3， d=2.2.2.2[20240] *Mar 4 02;02;12.779;NAT*;s=2.2.2.2， d= 202.96.1.3-> 192.168.1.1 [14435] ...... *Mar 4 02;02;12.779;NAT*;s=192.168.1.2->202.96.1.4， d=2.2.2.2[25] *Mar 4 02;02;12.779;NAT*;s=2.2.2.2， d= 202.96.1.4-> 192.168.1.2 [25] 以上输出表明了NAT的转换过程。首先把私有地址”192.168.1.1”和”192.168.1.2”分别转换成公网地址”202.96.1.3”和”202.96.1.4”访问地址”2.2.2.2”，然后回来的时候把网地址”202.96.1.3”和”202.96.1.4”分别转换成私有地址”192.168.1.1”和”192.168.1.2”。

show ip nat translations 该命令用来查看NAT表。在静态映射时，NAT表一直存在。 R1#show ip nat translations Pro Inside global Inside local Outside local Outside global ---202.96.1.3 192.168.1.1 --- --- ---202.96.1.4 192.168.1.2 --- --- 以上输出表明了内部全局地址和内部局部地址的对应关系。 【术语】 内部局部（Inside Local）地址：在内部网络使用的地址，往往是RFC1918地址； 内部全部（Inside Global）地址：用来代替一个或多个本地IP地址的、地外的、向NIC注册过的地址； 外部局部（Outside Local）地址：一个外部主机相对于内部网络所用的IP地址，不一定是合法的地址； 外部局部（Outside Global）地址：外部网络主机的合法IP地址。

动态NAT

验步骤 （1）步骤1：配置路由器R1提供NAT服务 R1(config)#ip nat pool NAT 202.96.1.3 202.96.1.100 netmask 255.255.255.0 //配置动态NAT转换的地址池 R1(config)ip nat inside source list 1 pool NAT //配置动态NAT映射 R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255 //允许动态NAT转换的内部地址范围 R1(config)#interface g0/0 R1(config-if)#ip nat inside R1(config-if)#interface s0/0/0 R1(config-if)#ip nat outside

实验调试 在PC1访问2.2.2.2（路由器R2的环回接口）的WWW服务，在PC2上分别Telnet和ping 2.2.2.2（路由器R2的环回接口），调试结果如下： （1）debug ip nat R1#debug ip nat

PAT配置

PAT配置 步骤1：配置路由器R1提供NAT服务 R1(config)#ip nat pool NAT 202.96.1.3 202.96.1.100 netmsask 255.255.255.0 R1(config)#ip nat side source list 1 pool NAT over //配置PAT R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255 R1(config)#interface g0/0 R1(config-if)#ip nat inside R1(config-if)#interface s0/0 R1(config-if)#ip nat outside

实验调试 在PC1访问2.2.2.2（路由器R2的环回接口）的WWW服务，在PC2上分别Telnet和ping 2.2.2.2（路由器R2的环回接口），调试结果如下： （1）debug ip nat R1#debug ip nat *Mar 4 01;53;47.983;NAT*;s=192.168.1.1->202.96.1.3， d=2.2.2.2[20056] *Mar 4 01;53;47.995;NAT*;s=2.2.2.2， d= 202.96.1.3-> 192.168.1.1 [46201] ...... *Mar 4 01;54;03.015;NAT*;s=192.168.1.2->202.96.1.4， d=2.2.2.2[20787] *Mar 4 01;54;03.219;NAT*;s=2.2.2.2， d= 202.96.1.4-> 192.168.1.2 [12049]

VLAN，Trunk 虚拟局域网（Virtual LAN，VLAN）是交换机端口的逻辑组合。VLAN工作在OSI的第2层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。VLAN有以下优点。如图:

①控制网络的广播问题：每一个VLAN是一个广播域，一个VLAN上的广播不会扩散 ②基于MAC地址的VLAN：交换机根据节点的MAC地址，决定将其旋转于哪个VLAN中。

Trunk 当一个VLAN跨过不同的交换机时，在同一VLAN上但是却是在不同的交换机上的计算机进行通过时需要使用Trunk。Trunk技术使得一条物理线路可以传送多个VLAN的数据。交换机从属于某一VLAN（例如VLAN 3）的端口接收到数据，在Trunk链路上进行传输前，会加上一个标记，表明该数据是VLAN 3的；到了对方交换机，交换机会把该标记去掉，只发送到属于VLAN 3的端口上。 有两种常见的帧标记技术：ISL和802.1Q。ISL技术在原有的帧上重新加了一个帧头，并重新生成了帧检验序列（FCS），ISL是Cisco特有的技术，因此不能在Cisco交换机和非Cisco交换机之间使用。而802.1Q技术在原有帧的源MAC地址字段后插入标记字段，同时用新的FCS字段替代了原有的FCS字段，该技术是国际标准，得到所有厂家的支持。 Cisco交换机之间的链路是否形成Trunk是可以自动协商的，这个协议称为DTP（Dynamic Trunk Protocol），DTP还可以协商Trunk链路的封装类型。表13-1链路两端是否会形成Trunk的总结。

划分VLAN 实验步骤 本配置VLAN，首先要创建VLAN，然后才把交换机的端口划分到特定的端口上。 ①步骤1：在划分VLAN前，配置路由器R1和R2的g0/0接口，从R1 ping 192.168.12.2进行测试。默认时，交换机的全部接口都在VLAN 1上，R1和R2应该能够通信。 ②步骤2：在S1上创建VLAN。 S1#vlan database//进入到VLAN配置模式 S1(vlan)#vlan 2 name VLAN2 VLAN 2 added; Name; VLAN2//以上创建VLAN，2就是VLAN的编号，VLAN号的范围为1~1 001，VLAN2是该VLAN的名字 S1(vlan)#vlan 3 name VLAN3 VLAN 3 added;Name; VLAN3 S1(vlan)#exit APPLY completed. Exiting.... //退出VLAN模式，创建的VLAN立即生效

新的IOS版本中，可以在全局配置模式中创建VLAN，如下所述。 S1(config)#vlan 2 S1(config-vlan)#name VLAN 2 S!(config-vlan)#exit S1(config)#vlan 3 S1(config-vlan)#name VLAN 3 ③步骤3：把端口划分在VLAN中 S1(config)#interface f0/1 S1(config-if)#switch mode access //以上把交换机端口的模式改为access模式，说明该端口是用于连接计算机的，而不是用于Trunk S1(config-if)#switch access vlan 2 //然后把该端口f0/1划分到VLAN2中 S1(config)#interface f0/2 S1(config-if)#switch access vlan 3

【提示】 默认时，所有交换机接口都在VLAN 1上，VLAN 1是不能删除的。如果有多个接口需要划分到同一VLAN下，也可以采用如下节约时间，注意”-”前的空格。 S1(config)#interface range f0/2 - 3 S1(config-if-range)#switch mode access S1(config-if-range)#switch access vlan 2 如果要删除VLAN，使用”no vlan 2”命令即可。删除某一VLAN后，要记得把该VLAN上的端口重新划分到别的VLAN上，否则将导致端口的”消失”。

实验调试 （1）查看VLAN 使用”show vlan”或者”show vlan brief”命令查看VLAN信息，以及每个VLAN上有什么端口。要注意这里只能看到的是本交换机上哪个端口在VLAN上，而不能看到其他交换机的端口在什么VLAN上。 （2）VLAN间的通信 由于f0/1和f0/2属于不同VLAN，从R1 ping 192.168.12.2应该不能成功了。

Trunk配置

实验步骤 在实验1的基础上继续本实验 ①根据实验1的步骤在S2上创建VLAN，并把接口划分在图13-3所示的VLAN中。 ②配置Trunk： S1(config)#int f0/13 S1(config-if)#switchport trunk encanpsulation dot1q //以上是配置Trunk链路的封装类型，同一链路的两端封装要相同。有的交换机，例如2950只能封装dot1q，因此无须执行该命令 S1(config-if)#switch mode trunk //以上是把接口配置为Trunk S2(config)#int f0/13 S2(config-if)#switchport trunk encanpsulation dot1q S2(config-if)#switch mode trunk

③检查Trunk链路的状态，测试跨交换机、同一VLAN主机间的通信。 使用”show interface f0/13 trunk”可以查看交换机端口的trunk状态，如下： Port Mode Encapsulation Status Native vlan Fa0/13 on 802.1q trunking 1 //f0/13接口已经为Trunk链路了，封装为802.1q Port Vlans allowed on trunk Fa0/13 1-4094 Port Vlans allowed and active in management domain Fa0/13 1-3 Port Vlans in spanning tree forwarding state and not pruned Fa0/13 2-3 需要在链路的两端都确认Trunk的形成。测试R1和R3以及R2和R4之间的通信。由于R1和R3在同一VLAN上，所以R1应该能ping 通R3 。R2和R4之间也应该能相互ping 通。

④配置Native VLAN： S1(config)#int f0/13 S1(config-if)#switchport trunk native vlan 2 //以上是在Trunk链路上配置Native VLAN，我们把它改为VLAN 2了，默认是VLAN 1 S2(config)#int f0/13 S2(config-if)#switchport trunk native vlan 2 S1#show interface f0/13 trunk Port Mode Encapsulation Status Native vlan Fa0/13 on 802.1q trunking 2

【技术要点】 之前介绍说在Trunk链路上，数据帧会根据ISL或者802.1Q被重新封装，然而如果是Native VLAN的数据，是不会被重新封装而就在Trunk链路上传输。很显然链路两端Native VLAN是要一样的。如果不一样，交换机会提示出错。 ⑤DTP配置 和DTP配置有关的命令如下所述，这些命令不能任意组合。 “switchport trunk encapsulation{negotiate|isl|dot1q}”：配置Trunk链路上的封装类型，可以是双方协商确定，也可以是指定的isl或者dot1q。 “switchport nonegotiate”：Trunk链路上不发送协商包，默认是发送的。 “switch mode {trunk|dynamic desirable|dynamic auto}”： Turnk——该设置将端口置为永久trunk模式，封装类型由”switchport trunk encapsulation”命令决定； Dynamic desirable——端口主动变为trunk，如果另一端为negotiate，dynamic desirable和dynamic auto，将成功协商； Dynamic auto——被动协商，如果另一端为negotiate和dynamic desirable，将成功协商。 如果想把接口配置为negotiate，使用：

S1(config-if)#switchport trunk encapsulation {isl|dot1q} S1(config-if)#switchport mode trunk S1(config-if)#no switchport negotiate 如果想把接口配置为nonegotiate，使用： S1(config-if)#no switchport nonegotiate 如果想把接口配置为desirable，使用： S1(config-if)#switchport mode dynamic desirable S1(config-if)#switch trunk encapsulation{negotiate|isl|dot1q} 如果想把接口配置为auto，使用： S1(config-if)#switchport mode dynamic auto

在这里，进行如下配置： S1(config-if)#switchport mode dynamic desirable S1(config-if)#switch trunk encapsulation negotiate S2(config-if)#switchport mode dynamic auto S2(config-if)#switch trunk encapsulation negotiate S1#show interfaces f0/13 trunk Port Mode Encapsulation Status Native vlan Fa0/13 desirable n-isl trunking 1 //可以看到Trunk已经形成，封装为n-isl，这里的”n”表示封装类型也是自动协商的。需要在两端都进行检查，确认两端都形成Trunk才行 Port Vlans allowed on trunk Fa0/13 1-4094 Port Vlans allowed and active in management domain Fa0/13 1-3 Port Vlans in spanning tree forwarding state and not pruned Fa0/13 2-3

【提示】 由于交换机有默认配置，进行以上配置后，使用”show running”可能看不到我们配置的命令。默认时，catalyst2950和3550的配置是desirable模式；而catalyst 3560是auto模式，所以，两台3560交换机之间不会自动形成Trunk，3560交换机和2950交换机之间却可以形成Trunk。

防火墙配置 实例:配置瑞星防火墙防范"震荡波" 1.进入规则设置界面 2. 选择 “规则——添加” 　　拦截信息（增加新变种拦截）： 　　TCP 接收 5554 1068 9996 9995 　　TCP或UDP 发送 445

Oracle在瑞星防火墙下的配置 在规则里设置 tnslsnr.exe java.exe lsnrctl.exe 这几个都要设置通过才可以   如果本机使用 sqlplus "/as sysdba" 可以登录，而在别的客户端无法登陆进来，同时提示没有listener，那么需要lsnrctl status检查是否已经运行了listener,如果没有运行使用 lsnrctl start运行，不过需要把java.exe添加到瑞星的防火墙通过规则里。

一个具体的校园网络实例 一、网络背景 某校校园网是以千兆光纤连接为主干，百兆交换到桌面。网络硬件设备由路由器、防火墙、中心三层交换机、汇聚层交换机、接入层交换机和终端用户构成。网络设备是华为系列。

二、影响校园网正常运行的因素及应对策略 影响校园网正常运行的因素很多，从网络设计、设备安装、综合布线、硬件配置到软件使用等各个环节都可能对网络的正常运行产生影响。这里，我们仅从硬件配置和软件使用等方面对影响网络正常运行的因素进行分析，以达到网络管护的目的。

（一）根据网络的功能属性对网络进行规划，是网络正常运行的前提 根据该校网络拓扑结构，学校网络分三层结构。其中以第三层为整个网络的中心，该层包含了路由、硬件防火和中心交换的功能，是整个网络正常运行的关键。为此，我们采用了如下策略对网络进行配置。

学校校园网由三个物理区域：教学大楼、办公教学大楼、实验图书大楼构成。在整个网络中，各信息点按功能又划分为行政办公、电子网络教室、中心管理机房、普通教室等不同区域，各区域与互联网连接的目的也是不一样的，对特定区域，与互联网连接将受到一定限制。为此，我们采用了如下策略：将学校校园网按功能属性划分为三个VLAN区域，其中：VLAN 1为行政办公；VLAN 10为电子网络教室；VLAN 20为中心管理机房；VLAN 30为普通教室。同时对相关的IP地址、子网掩码和网关进行了设置。完成上述功能，应分别在路由器、核心交换机和汇聚层交换机中进行相应设置。

1．在路由器中设置过程如下： （1）配置标准访问列表和扩展访问控制列表，命令参考如下： acl 1 match-order auto rule normal permit source 10.110.10.0 0.0.0.255 rule normal permit source 192.168.0.0 0.0.0.255 rule normal permit source 192.168.1.0 0.0.0.255 rule normal permit source 192.168.2.0 0.0.0.255 rule normal permit source 192.168.3.0 0.0.0.255

（2）设置外网接口和硬件防火墙接口，命令参考如下： interface Ethernet0 ip address 62.188.163.235 255.255.255.252 *外网IP及子网掩码（由电信提供） interface Ethernet1 ip address 171.15.2.254 255.255.255.0 *硬件防火墙IP及子网掩码(在防火墙设置) （注：所有系统名、IP、子网掩码为虚拟；防火墙内网和外网地址在硬件防火墙中设置）

（3）设置静态路由，命令参考如下： ip route-static 0. 0 0. 0 62. 188. 163 （3）设置静态路由，命令参考如下： ip route-static 0.0.0.0 0.0.0.0 62.188.163.235 preference 60 ip route-static 192.168.0.0 255.255.0.0 171.15.2.254 preference 60

2．在核心交换机中设置过程如下： （1）划分VLAN，命令参考如下： interface Aux0/0 vlan 1 description VLAN 0001 vlan 10 description VLAN 0010 vlan 20 description VLAN 0020 vlan 30 description VLAN 0030

（2）设置各VLAN网关和子网掩码，命令参考如下： interface Vlan-interface1 ip address 192.168.0.254 255.255.255.0 interface Vlan-interface10 ip address 192.168.1.254 255.255.255.0 interface Vlan-interface20 ip address 192.168.2.254 255.255.255.0 interface Vlan-interface30 ip address 192.168.3.254 255.255.255.0

（3）设置各干线接口允许的VLAN，命令参考如下： interface GigabitEthernet3/1 switchport mode trunk switchport trunk allowed vlan all interface GigabitEthernet3/2 interface GigabitEthernet3/3 switchport mode tru和nk interface GigabitEthernet3/4

（4）设置静态路由网关，命令参考如下： ip route 0.0.0.0 0.0.0.0 192.168.0.253 preference 60 3．在汇聚层交换机中设置过程如下： （1）划分VLAN，命令参考如下： interface Aux0/0 vlan 1 vlan 10 vlan 20 vlan 30 （2）设置各以太网端口，并划分各自允许的VLAN，命令参考如下： interface Vlan-interface1 ip address 192.168.0.250 255.255.255.0 interface Ethernet0/3 switchport access vlan 10 interface Ethernet0/14 switchport access vlan 20 interface GigabitEthernet1/1 switchport mode trunk switchport trunk allowed vlan all

（3）设置主干入口光纤接口，允许所有VLAN通过，命令参考如下： interface GigabitEthernet1/1 switchport mode trunk switchport trunk allowed vlan all 这样，在汇聚层交换机上通过以太网端口VLAN设置，就将网络的物理网段人为地分开了，为以后的管理和维护打下了一个良好的开端。

（二）有效规划内网IP地址和用户计算机标识，是网络安全运行的条件 在规划内网IP地址和用户计算机标识，我们遵循对同一台电脑，其内外网的计算机名相同，网络登录用户名相同的原则，并在其计算机上加上描述内容，这样在网络上看到某一台计算机，我们很容易知道他是来自于哪一个位置。同时针对计算机用户习惯擅自更改本机IP的恶习，我们采用IP地址与网卡物理地址进行捆绑的方法防止内网IP出现混乱。在该校校园网网络设备中，防火墙和汇聚层交换机都可实现IP地址和网卡物理地址捆绑，也可以利用网络管理软件实现这一功能。

1．在交换机将192.168.0.1的ip地址与pc1的mac地址进行绑定，命令参考如下： dhcp-security static 192.168.0.1 0006-5b37-f0f9 vlan 2 *配置vlan2的ip地址及启用address-check功能，以检测pc的ip地址及mac地址 interface Vlan-interface2 ip address 192.168.0.1 255.255.255.0 dhcp-server 1 address-check enable mac-address mac-learning disable *定义静态的mac地址及关闭学习新的mac地址，即可防止规定以外的pc机接入网络。 mac-address static 7806-1738-DF55 interface GigabitEthernet2/1vlan2 当然，如将所有局域网的终端计算机IP地址与网卡物理地址进行捆绑，实际操作中是一件很烦琐的事情，工作量特别大，建议事前做好充分的准备工作，同时做好交换机配置备份工作，以防意外。

(二）加强计算机终端用户的计算机安全管理，是网络安全运行的基础 外网病毒入侵及各类蠕虫病毒在局域网内部大面积传播、感染以至相互进行攻击、发包，是造成交换机不断的丢包、缓存溢出、路由中断直至整个校园网带宽堵塞、瘫痪的主要原因，校园网虽然有硬件防火墙，但由于硬件防火墙的目的主要是防止不期望的或未授权的用户和主机访问内部网络，确保内部网正常安全运行，所以其病毒防护功能相对较弱，面对日新月异、层出不穷的计算机外网病毒，仅靠路由器、防火墙、交换机提供的病毒过滤功能，是无法有效解决局域网病毒危害的。为解（下转第101页）（上接第99页）决这一问题，我们经过比较，并充分考虑管理成本因素，最后采用瑞星公司的瑞星杀毒软件和瑞星个人防火墙在校园网内各终端用户机上安装，通过设置，取得了良好的效果。

瑞星杀毒软件系列是我国反病毒软件中的最优秀的杀毒软件系列之一。其个人防火墙根据需要，提供了三种安全级别设置功能，即普通安全级别：适合于不连接网络的用户，当没有匹配所有规则时，网络连接是允许的；中安全级别：适用于局域网的用户，允许进行网络文件共享，可以抵抗大部分已知的网络攻击；高安全级别：适合于直接连接到Internet的用户，禁止网络文件共享，禁止一切不经过允许的数据访问。这是最安全的设置，可以保护上网用户的计算机安全。实际管理中，我们针对不同计算机用户，分别采用了中安全级别和高安全级别，从而有效地防止了局域网内的病毒相互攻击和发包现象；同时利用瑞星杀毒软件提供的智能解包还原、增强型行为判断、一体化监控系统、多引擎杀毒和主动式智能升级等综合技术，对杀毒软件的手动扫描、快速扫描和实时监控进行了详细设置，在病毒处理上采用“先查后删”的策略，基本杜绝了常见病毒的影响，取得了良好的效果。

三、结论 总之，维护网络安全运行首先要从终端计算机安全运行入手，加强教育与管理，使终端计算机用户对本机安全引起足够重视，并按正常的操作程序对自身计算机进行正常操作、维护，才能确保整个网络的正常运行。