第 1 章 网络设备的选择与连接 学习目标: (1)对于网络设备有所了解,能够正确选择网络设备 (2)能够购置网络设备

Slides:



Advertisements
Similar presentations
项目六 路由器基本配置与管理.
Advertisements

第6章 路由器的配置和应用 教学目的: 本章的主要学习目的是了解路由器的结构,掌握路由器的硬件连接与软件配置连接,学会CISCO IOS的维护、常用操作命令的使用,并能在理解网络如何互连的基础上,通过在命令行状态下配置好CISCO路由器,实现特定的互连要求与安全访问控制要求。
第 4 章 网络层.
计算机网络教程(第 2 版) 第 7 章 网络互连 课件制作人:谢希仁.
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
網路硬體設備簡介 Crickstudy Authentication Institute.
CISCO产品培训 关于 CISCO CISCO 硬件平台 CISCO 软件平台 路由器介绍及配置 交换机介绍及配置 内部讲义.
路由器繞送協定- 第三章 路由器動態繞送服務
第六章 在华为路由器上配置动态路由OSPF协议(实训)
安徽邮电职业技术学院计算机系 赵正红 2009/2010学年第一学期
典型的路由器的结构 路由选择处理机 3——网络层 2——数据链路层 1——物理层 路由 选择 分组 转发 交换结构 路由选择协议 路由表
第3章 路由技术—动态路由.
网络技术之六: 路由技术 22:00.
第5章 交换机的选择和安装配置 教学目的: 在掌握交换机的基本原理和基本功能基础上,进一步学习交换机的分类、性能指标、选择,交换机的配置, 端口技术,VLAN技术,STP技术,交换机的管理等应用技术。
第3章 局域网互连 3.1 网络互连的层次 3.2 网络互连的设备 3.3 实例教学 3.4 VLAN路由配置 3.5 VPN互连远程局域网.
第7章 路由技术 7. 1 广域网技术概述 7. 2 IP子网间的路由技术 7. 3 访问控制列表 7.4 网络地址转换(NAT)技术.
生成树协议.
安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.
网络设备的基本配置与管理 -----许乐 网络管理骨干教师培训 网络设备的基本配置与管理 -----许乐
课程介绍 教师:邹国忠、白金荣、沐士光 内容:课堂实验、课外实验、选作实验 时间安排:实验:双周 考试形式:闭卷、每人一组独立操作。
路由协议配置 1.0 此为封面页,需列出课程编码、课程名称和课程开发室名称。
第五章 网络层 任务驱动 问题探究 习题讲解 实验要求.
無智慧報告—網路導論 義守電機 副教授 黃蓮池 在報告前.
宽带路由器配置与应用.
TCP/IP基本原理 第五章 路由原理与协议
第 6 章 IP 遶送.
Cisco網路設備之設定與管理 台大計資中心 李美雯
張晃崚 麟瑞科技股份有限公司 網路基本概念/網路Router設定 張晃崚 麟瑞科技股份有限公司.
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
高雄應用科技大學 有線網路建置實習(I) 聯易科技股份有限公司 Ben 李政勳
第二章 跨交换机的VLAN通讯 Version 1.0.
计算机网络原理 计算机与信息工程分院 周文峰.
基礎網路管理 第十一章 OSPF路由協定 製作:林錦財.
陈开恒 交换机及 虚拟局域网 组网技术 陈开恒
交换机、虚拟局域网组网 (VLAN)技术与配置
實驗 3:Layer 2 交換器裝置之安全性設定與操作
项目五 构建与互联网可靠连接的小企业骨干网
网络设备配置与管理 子项目1 登录与管理交换机.
32 bit destination IP address
第 9 章 虛擬區域網路 (VLAN).
访问控制列表(ACL) Version 1.0.
Implementing Spanning Tree
锐捷网络技术培训系列课程-(中级) OSPF协议 培训组 闵 捷.
Access Networks.
项目十 广域网协议封装与验证配置.
路由器的组成 路由器的前面板除了LED灯外没有其它东西,LED灯主要是指示电源是否开启。
锐捷网络实验室项目培训 交换技术.
DGS-1510 基隆教網教育訓練文件.
《交换式网络配置与管理》 教学设计 信息学院 计算机网络技术教研室 冯志祥.
RG-N18000K.
路由基础.
网络系统集成技术 访问控制列表 Access Control List 第七章.
公司 : 岱昇科技股份有限公司 專案負責人:翁宇宏 報告人:高一生
江西财经大学信息管理学院 《组网技术》课程组
子網路切割、變動長度的子網路遮罩 (VLSM) 與 TCP / IP 的檢修
第十三章 TCP/IP 與 Internet 網路連結技術
交换机基本配置.
项目四 网络隔离与广播风暴控制.
2026配置.
网络系统集成技术 管理交换网络中的冗余链路 第四章.
第11章 網路的設定與測試.
實驗24 NetSim-Cisco WAN專線服務-PPP、ISDN
谢聪.
第十三章 使用VLAN扩展交换网络.
Distance Vector vs Link State
第8章 網際網路協定IPv6介紹與設定 蕭志明老師 CCNA教學.
第4章 网络层.
Distance Vector vs Link State Routing Protocols
Routing Protocols and Concepts – Chapter 5
第 4 章 网络层.
Presentation transcript:

第 1 章 网络设备的选择与连接 学习目标: (1)对于网络设备有所了解,能够正确选择网络设备 (2)能够购置网络设备 (3)能够制作网络连接线和信息模块 (4)能够进行网络设备的简单连接 1.1 认识网络连接设备 基本的网络设备有:计算机(无论其为个人电脑或服务器)、 集线器、交换机、网桥、路由器、网关、网络接口卡(NIC)、无 线接入点(WAP)、打印机和调制解调器。 1.1.1 网络适配器 网络适配器又称网卡或网络接口卡(NIC),英文名 Network Interface Card。 网卡的不同分类:根据网络技术的不同,网卡的分类也有所 不同,如大家所熟知的 ATM 网卡、令牌环网卡和以太网网卡等。 网卡的接口类型:根据传输介质的不同,网卡出现了 AUI 接口(粗缆接口)、BNC 接口(细缆接口)和 RJ-45 接口(双绞线 接口)三种接口类型。

1.1.2 集线器 集线器(HUB)是对网络进行集中管理的最小单元,像树的主 干一样,它是各分枝的汇集点。HUB 是一个共享设备,其实质是 一个中继器,而中继器的主要功能是对接收到的信号进行再生放 大,以扩大网络的传输距离。有人称集线器为“傻 HUB”。 图 1-6 是集线器的实物图。 图 1-6 HUB 实物 1.1.3 交换机 1.概述 1993 年,局域网交换设备出现,1994 年,国内掀起了交换网络 技术的热潮。其实,交换技术是一个具有简化、低价、高性能和高 端口密集特点的交换产品,体现了桥接技术的复杂交换技术在 OSI 参考模型的第二层操作。 2.三种交换技术 (1)端口交换 (2)帧交换 (3)信元交换 3.局域网交换机的种类和选择 局域网交换机是组成网络系统的核心设备。对用户而言,局域 网交换机最主要的指标是端口的配置、数据交换能力、包交换速度 等因素。

1.1.4 路由器 (1)什么是路由 所谓路由就是指通过相互联接的网络把信息从源地点移动到 目标地点的活动。 (2)路由器的作用 路由器的一个作用是连通不同的网络,另一个作用是选择信 息传送的线路。选择通畅快捷的近路,能大大提高通信速度,减轻 网络系统通信负荷,节约网络系统资源,提高网络系统畅通率,从 而让网络系统发挥出更大的效益来。 (3)路由器的主要工作 一般说来,异种网络互联与多个子网互联都应采用路由器来完成。 路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳 传输路径,并将该数据有效地传送到目的站点。由此可见,选择最 佳路径的策略即路由算法是路由器的关键所在。 (4)路由器的结构 从体系结构上看,路由器可以分为第一代单总线单 CPU 结构 路由器、第二代单总线主从 CPU 结构路由器、第三代单总线对称 式多 CPU 结构路由器;第四代多总线多 CPU 结构路由器、第五代 共享内存式结构路由器、第六代交叉开关体系结构路由器和基于机 群系统的路由器等多类。 (5)路由器的构成 路由器具有四个要素:输入端口、输出端口、交换开关和路由 处理器。 (6)路由器的类型 互联网各种级别的网络中随处都可见到路由器。 ①接入路由器 ②企业级路由器 ③骨干级路由器

图 1-10 是一种实现 WIFI 无线上网功能的宽带路由器。 图 1-10 宽带路由器 图 1-11 是一种 3G 无线路由器。 图 1-11 3G 无线路由器 1.1.5 技能训练 了解调查网络设备 我们在前面介绍了常见的网络设备,这些网络设备,只需要我 们进行安装硬件和驱动即可,在真实的网络环境中,我们要先选择 这些网络连接设备,并进行正确配置才能连接网络,这些网络设备 的连接和配置,我们将在后面的任务中介绍。

1.2 网络连接线和信息模块的制作 1.2.1 双绞线介绍 网线分为两种:直通线和交叉线。两种双绞线的制作方法稍有 不同,用途也不一样。EIA/TIA 的布线标准中规定了两种双绞线 的线序 T568A 与 T568B。 1.2.2 信息模块 信息模块在企业网络中是普遍应用的,它属于一个中间连 接器,可以安装在墙面或桌面上,需要使用时只需用一条直通 双绞线即可与信息模块另一端通过双绞网线所连接的设备连 接,非常灵活。 1.2.3 技能训练 1 双绞线水晶头的制作 制作步骤如下: (1)用 RJ-45 压线钳的切线槽口剪裁适当长度的双绞线。 (2) RJ-45 压线钳的剥线口将双绞线一端的外层保护壳剥下用 约 1.5cm,注意不要伤到里面的芯线,将 4 对芯线成扇形分开,按 照相应的接口标准(568A 或 568B)从左至右整理线序并拢直,使 8 根芯线平行排列,整理完毕用斜口钳将芯线顶端剪齐。 (3)将水晶头有弹片的一侧向下放置,然后将排好线序的双 绞线水平插入水晶头的线槽中,注意导线顶端应插到底,一免压线 时水晶头上的金属刀口与导线接触不良。

(4)确认导线的线序正确且到位后,将水晶头放入压线钳的 RJ-45 夹槽中,再用力压紧,使水晶头夹紧在双绞线上。至此,网 线一端的水晶头就压制好了。 (5)同理,制作双绞线的另一头接头。此处注意,如果制作的是 交叉线,两端接头的线序应不同。 (6)使用网线测试仪来测试制作的网线是否连通。防止存在断路 导致无法通信,或短路损坏网卡或集线器。如图 1-18 所示。 图 1-18 测试双绞线是否连通 当测试仪两端的灯的序号都是闪亮时,则为制作完成。 1.2.4 技能训练 2 信息模块的制作 1. 材料的准备: (1)网络信息模块、面版、底座:各 1 个 (2)网络跳线:4 对 CAT 5 网络跳线 2 根,一根两个头,另一 根只要一个头,要求每个头都已正常连接,以备测试用

(3)工具的选择:打线钳、剥线器(或 RJ-45 组合压线钳) 2. 信息模块的介绍 信息模块的连接必须符合国际标准或国家标准,有 T568A、T568B 两种标准,要求按 T568B 标准打线。 3.实验步骤: (1)剪一段适当长度的双绞线(每条长度一般不得超过 100 米) (2)剥线 3CM,使用剥线器或压线钳剥线,注意内线不能破皮。 (3) 把剥开双绞线线芯按线对分开,但先不要拆开各线对,只有 在将相应线对预先压入打线柱时才拆开。 (4)全部线对都压入各槽位后,就可用打线钳(图 1-23)将一根 根线芯进一步压入线槽中。 图 1-23 打线钳 (5) 将信息模块的塑料防尘片扣在打线柱上,并将打好线的 模块扣入信息面板上。 (6)网线测试 (7)注意灯闪烁的顺序若出现以下顺序,则表示制作成功: 主单元与副单元都是按 1-8 顺序同步亮灯,表示正确连通。如图 1-25 所示

图 1-25 测试灯闪烁顺序 1.3 使用制作好的双绞线连接网络设备 1.3.1 路由器交换机知识 交换机(Switch)是一种基于 MAC(网卡的硬件地址)识 别,能完成封装转发数据包功能的网络设备。它的主要特点是:一 次路由,多次转发。 路由器(Router)亦称选径器,是在网络层实现互连的设 备。路由器是一种连接多个网络或网段的网络设备,它能将不同网 络或网段之间的数据信息进行“翻译”,以使它们能够相互“读”懂对 方的数据,从而构成一个更大的网络。 路由器有两大典型功能,即数据通道功能和控制功能。 就路由器与交换机来说,主要区别体现在以下几个方面: (1)工作层次不同。 (2)数据转发所依据的对象不同。 (3)传统的交换机只能分割冲突域,不能分割广播域;而 路由器可以分割广播域。 (4)路由器提供了防火墙的服务。路由器仅仅转发特定地 址的数据包,不传送不支持路由协议的数据包传送和未知目标网络 数据包的传送,从而可以防止广播风暴。

1.3.2 技能训练 用双绞线连接网络设备 1.环境: 本次任务所需要的设备和工具有:计算机、交换机、路由器、 集线器、双绞线、信息模块、钳子等。 2.要求: 3-5 名学生为一组,每组设备中都要有计算机、交换机、路由 器、集线器、双绞线、信息模块、钳子等。 3.的步骤: (1)使用制作好的双绞线连接 PC 和信息模块 (2)使用制作好的双绞线连接两台计算机 (3)使用制作好的双绞线连接计算机和集线器 (4)使用制作好的双绞线连接计算机和交换机 (5)使用制作好的双绞线连接计算机和路由器 (6)使用制作好的双绞线连接交换机和集线器 (7)使用制作好的双绞线连接交换机和路由器 交换机和路由器是不同的网络设备,在连接的过程中使用直通 线来连接路由器和交换机。网线的一端插入到路由器的以太网口, 另一端连接到交换机的端口上就可以了。如图 1-34 所示。 图 1-34 交换机与路由器的连接 (8)连接路由器

第 2 章 IP 地址的规划与管理 学习目标: (1) 理解 IP 地址的格式与分类。 (2) 了解 IP 地址的规划方法。 (3) 掌握子网的划分方法及子网的计算。 2. 1 IP 地址的概念 人们为了通信的方便给每一台计算机都事先分配一个类似我 们日常生活中的电话号码一样的标识地址,该标识地址就是我们要 介绍的 IP 地址。根据 TCP/IP 协议规定,IP 地址是由 32 位二进制 数组成,而且在 Internet 范围内是唯一的。 2. 2 IP 地址的分类 由于网络中包含的计算机有可能不一样多,有的网络可能含 有较多的计算机,也有的网络包含较少的计算机,于是人们按照网 络规模的大小,把 32 位地址信息设成三种划分方式,这三种划分 方法分别对应于 A 类、B 类、C 类 IP 地址。 1.A 类 IP 地址 A 类 IP 地址中网络的标识长度为 7 位,主机标识的长度为 24 位, A 类网络地址数量较少,可以用于主机数达 1600 多万台的大型网 络。 2. B 类 IP 地址 B 类 IP 地址中网络的标识长度为 14 位,主机标识的长度为 16 位,B 类网络地址适用于中等规模规模的网络,每个网络所能容纳 的计算机数为 6 万多台。 3. C 类 IP 地址 C 类 IP 地址中网络的标识长度为 21 位,主机标识的长度为 8 位,C 类网络地址数量较多,适用于小规模的局域网络,每个网络 最多只能包含 254 台计算机。 除了上面三种类型的 IP 地址外,还有几种特殊类型的 IP 地址。

2. 3 IP 子网掩码概述 1.子网掩码的概念 子网掩码是一个 32 位地址,用于屏蔽 IP 地址的一部分以区别 网络标识和主机标识,并说明该 IP 地址是在局域网上,还是在远 程网上。 2.确定子网掩码数 用于子网掩码的位数决定于可能的子网数目和每个子网的主 机数目。在定义子网掩码前,必须弄清楚本来使用的子网数和主机 数目。 定义子网掩码的步骤为: (1)确定哪些组地址归我们使用。 (2)根据我们现在所需的子网数以及将来可能扩充到的子网数, 用宿主机的一些位来定义子网掩码。 (3)把对应初始网络的各个位都置为【1】,即前两个字节都置 为【1】,第四个字节都置为【0】,则子网掩码的二进制形式为: 【11111111.11111111.11110000.00000000】 (4)把这个数转化为十进制形式为:【255.255.240.0】 ,这 个数为该网络的子网掩码。 3.IP 掩码的标注 (1)无子网编址 对无子网的 IP 地址,可写成主机号为 0 的 掩码。如 IP 地址 192.168.140.5,掩码为 255.255.255.0,也可以 缺省掩码,只写 IP 地址。 (2)有子网编址: 例 如 有 一 个 B 类 网 络 172.168.0.0 子 网 掩 码 是 255.255.0.0(16) 可 以 看 出 172.16.4.0(255.255.0.0 地 址 掩 码 ) 172.16.8.0(255.255.0.0) 这2个 IP 地址是在同一个网段,我们可以通过子网掩码让这2个 IP 地址不在同一网段。 2. 4 子网规划 先讲 C 类地址子网络规划。

有这样一个 C 类网段地址(网段地址就是网络地址,用来代表一 个网段)。192.168.1.0(255.255.255.0)是一个网络地址,代表一个 网段,不用简单看成 IP 地址. 假设现在我们需要 20 个子网,其中每个子网要连 5 个主机.,就要把 主机地址(主机部分)的最后一个 8 位组(8 位组就是 10 进制 0 即二 进制 00000000)分成子网部分(它来划分多少子网)和主机部分(它 来划分多少 IP 地址)。 说明:子网就是在一个网段内部通过划分子网掩码再分成几个网 段。 192.168.1.0 子网部分的位数决定子网的数目,假设现在我们 需要做 20 个子网,其中每个子网要连 5 个主机。我们看最后的二进 制 00000000 ,因为我们需要 20 个子网和 5 个主机地址,我们就分 析下,我们只要把后面 3 个 0 做为主机部分,就可以划分得到可用 3IP 地址是 6 个(2 -2=6),前面 5 个 0 做为子网部分,那我们可以划分 5的子网就是 30 个(2 -2=30),经过这样划分是满足我们的题目要求 的。 大家再看看 C 类子网下列例子: 子网位数 子网掩码子网数每一个子网主机 数 2622 255.255.255.192(11000000) 6303 255.255.255.224(11100000) 4 255.255.255.240(11110000)1414 5 255.255.255.248(11111000)306 6 255.255.255.252(11111100)622 注意:上面的例子中,子网位数 2,也就是 2 个 11,子网位数 3 也就 是 3 个 111,依次类推) 子网数,每一个子网的主机数的计算大家应 该会,都是 2 的次方-2。 2. 5 变 长 子 网 掩 码 技 术 (VLSM:Variable length Subnet Masking) 根据不同网段中的主机个数是用不同长度的子网掩码,这种设 计方式被称为变长子网掩码(Variable-Length Subnet Mask-VLSM) 设计。

使用可变长掩码(VLSM)就是指一个网络可以用不同的掩码进 行配置。这样做的目的是为了使把一个网络划分成多个子网更加方 便。 2. 6 超网及 CIDR 技术 所谓超网,就是把多个连续的网络号合并成一个很大的地址块, 这个地址块能够代表了这些合并起来的所有网络! 超网(supernetting)是与子网类似的概念--IP 地址根据子网掩码 被分为独立的网络地址和主机地址。但是,与子网把大网络分成若 干小网络相反,它是把一些小网络组合成一个大网络--超网。 2. 7 公共 IP 和私有 IP 地址 私有 IP 地址范围包括: A 类:10.0.0.0/8 B 类:172.16.0.0/12 即 172.16.0.1-172.31.255.254 共 16 个 B 类网络 C 类:192.168.0.0/16 即 192.168.0.1-192.168.255.254 共 256 个 C 类网络 2. 8 技能训练 1 子网的划分 2. 9 技能训练 2 变长子网的划分 第 3 章 交换机配置 学习目标: (1)交换机的 CLI 配置界面 (2)交换机的接口配置 (3)交换机的口令配置

3.1 交换机的基本配置 3.1.1 交换机的硬件连接 要配置交换机,首先要给交换机加电。交换机加电的三个基本 步骤为: (1)检查组件 (2)连接交换机电缆 (3)打开交换机电源 3.1.2 交换机的 IOS Cisco IOS 提供的服务通常通过命令行界面 (CLI) 来访问。可 通过 CLI 访问的功能取决于 IOS 的版本和设备的类型。IOS 文件 本身大小为几兆字节,它存储在称为闪存的半永久存储器区域中。 闪存可提供非易失性存储。这意味着这种存储器中的内容不会在设 备断电时丢失。尽管内容不会丢失,但在需要时可以更改或覆盖。 交换机在出厂的时候都已经安装好了 IOS,一般情况下我们可 以直接进行配置。 3.1.3 交换机的命令模式 要配置交换机,可以通过多种方法来进行访问。最常用的方法有: (1)控制台 (2)Telnet 或 SSH (3)辅助端口 3.1.4 配置模式 Cisco IOS 设计为模式化操作系统。模式化表示的操作系统具有多 种工作模式,每种模式有各自的工作领域。对于这些模式,CLI 采 用了层次结构。 主要的模式有(按照从上到下的顺序排列): (1)用户执行模式

(2)特权执行模式 (3)全局配置模式 (4)接口其它特定配置模式 3.1.5 基本 IOS 命令结构 每个 IOS 命令都具有特定的格式或语法,并在相应的提示符下 执行。常规命令语法为命令后接相应的关键字和参数。某些命令包 含一个关键字和参数子集,此子集可提供额外功能。 3-7 中所示图 为命令的三个部分。 图 3-7 IOS 命令的基本结构 3.1.6 交换机端口表示 Cisco 交换机端口表示方式的格式为“端口类型模块号/端口 号”。常用的端口类型有:EtherNet 端口、FastEthernet 端口、Serial 端口等,例如,交换机面板上第 1 个模块的第 2 个快速以太网就可 以表示为 FastEthernet1/2,也可以简单表示为 F1/2。 3.1.7 技能训练 交换机的基本配置 1、环境: 计算机网络实验室提供进行正常的网络实验设备和相应的软 件环境。实验室每组有思科交换机 28 系列,两台; 四台;PC,console 线两条,网线以及与各种网络实验相关的配件资料和设施,可满足 20-30 人同时进行网络实验的需求。 2、步骤: 1)配置设备名称 2)限制设备访问—配置口令 (1)控制台口令

Cisco IOS 设备的控制台端口具有特别权限。作为最低限度的 安全措施,必须为所有网络设备的控制台端口配置强口令。这可降 低未经授权的人员将电缆插入实际设备来访问设备的风险。可在全 局配置模式下使用下列命令来为控制台线路设置口令: Switch(config)#line console 0 Switch(config-line)#password 密码 Switch(config-line)#login (2)使能口令和使能加密口令 如果设备使用的 Cisco IOS 软件版本较旧,无法识别 enable secret 命令,则可使用 enable password 命令。以下命令用于设 置口令: Switch(config)#enable password 密码 Switch(config)#enable secret 密码 注意:如果使能口令或使能加密口令均未设置,则 IOS 将不允 许用户通过 Telnet 会话访问特权执行模式。若未设置使能口令, Telnet 会话将作出如下响应: Switch>enable % No password set Switch> (3)VTY Password 下列命令用于为 VTY 线路设置口令: Switch(config)#line vty 0 4 (4)加密显示口令 还有一个很有用的命令,可在显示配置文件时防止将口令显示 为明文。此命令是 service password-encryption。 3) 管理配置文件 4) 访问命令历史记录 Cisco CLI 提供已输入命令的历史记录。这种功能称为命令历 史记录,它对于重复调用较长或较复杂的命令或输入项特别有用。 默认情况下,命令历史记录功能启用,系统会在其历史记录缓冲区 中记录最新输入的 10 条命令。可以使用 show history 命令来查 看最新输入的执行命令。如图 3-9 所示。

图 3-9 查看命令历史 5) 配置登录标语 6) VLAN 的创建 无论 VLAN 是静态创建还是动态创建的,VLAN 的最大数量都 取决于交换机和 IOS 的类型。默认情况下,VLAN1 是管理 VLAN。 创建 VLAN 后,VLAN 会分配到一个编号和名称。VLAN 编号是交换 机上可用范围内的任意编号,但不能使用 VLAN1。某些交换机支持 约 1000 个 VLAN,有些则支持 4000 多个。为了便于网络管理, 最好对 VLAN 命名。 (1)在全局配置模式下使用以下命令创建 VLAN: Switch(config)#vlan vlan_number Switch(config-vlan)#name vlan_name Switch(config-vlan)#exit 指定作为 VLAN 成员的端口。默认情况下,所有端口最初都是 VLAN1 的成员。一次指定一个端口或一个端口范围。 (2)使用以下命令将各个端口指定给 VLAN: Switch(config)#interface fa#/# Switch(config-if)#switchport access vlan vlan_number Switch(config-if)# exit (3)使用以下命令将一个范围内的端口指定给 VLAN: Switch(config)#interface range fa#/start_of_range - end_of_range 具体配置如图 3-10 所示。

图 3-10 VLAN 的创建 (4) 要检验、维护和排查 VLAN 故障,必须要掌握 Cisco IOS 提供的重要 show 命令。 (5) 删除 VLAN: Switch(config)#no vlan vlan_number 要取消端口与特定 VLAN 的关联: Switch(config)#interface fa#/# Switch(config-if)#no switchport access vlan vlan_number 7) 配置交换机 IP 地址、缺省网关、域名 这里所设置的 IP 地址、网关、域名等信息是为交换机本身所 设置的,配置了 IP 地址以后,我们就可以从网络的任何地方 Telnet 到交换机对其进行管理。并且还可以通过 WEB 访问交换机对其进 行管理。该 IP 地址和连接在该交换机上的计算机或其他网络设备 无关。也就是说,所有与交换机连接的主机都应该设置自身的域名、 网关等信息。 先进入到配置模式 Switch#config terminal 设置 IP 地址 Switch(config)#ip address 192.168.0.1 255.255.255.0 设置缺省网关 Switch(config)#ip default-gateway 192.168.0.254 设置域名 Switch(config)#ip domain-name cisco.com Switch(config)#end Switch# 8) 配置 VTP VTP 有三种模式:服务器模式、客户端模式和透明模式。默认 情况下,所有交换机都使用服务器模式。建议一个网络中至少将两 台交换机配置为服务器,以便提供备份和冗余功能。

默认情况下交换机配置为服务器模式。如果服务器模式下的交 换机发出的更新中包含的修订版号比当前更高,则所有交换机都将 修改其数据库以与新交换机匹配。 当向现有 VTP 域添加新交换机时,执行以下步骤: 步骤 1:离线配置 VTP(第 1 版) Switch(config)#vtp domain domain_name Switch(config)#vtp mode {sever|client|taansparent} Switch(config)#vtp password 密码 Switch#copy running-config startup-config 步骤 2:检验 VTP 配置。 Switch#show vtp status 步骤 3:重新启动交换机。 Switch#reload Switch#show vtp password Switch#show vtp counters 3.2 交换机的端口隔离 3.2.1 VLAN 基础知识 虚拟局域网(Virtual LAN)是由一组连接在交换机上的终端计 算机和连接交换机的干道(Trunk)构成的。VLAN 通常对应于单个网 络或者子网,具有物理 LAN 一样的属性。从应用的角度看,VLAN 中的终端计算机一般具有相同的需求,它们又可能在地理位置上是 分散的,但相互之间就像连接在同一条线路上一样。 在配置上,可以把不同交换机连接的计算机划到同一 VLAN 中, 也可以把同一交换机端口上的计算机划分到不同的 VLAN 中。借助 于 VLAN,可以控制广播域的大小,并把通信限制在 VLAN 的范围内, 其工作模式如下图 3-12 所示。

图 3-12 vlan 的工作模式 3.2.2 VLAN 的基本原理 交换机的端口可以运行在接入方式(Access Mode)或干道模式 (Trunk Mode),对应端口所连接的链路分别被叫做接入链路和 Trunk 链路。 3.2.3 实例说明 VLAN 过程 VLAN 示例图如图 3-13 所示。

图 3-13 VLAN 示例 (1)PC11 传数据给 PC12 交换机 SW1 接收到端口 f0/1 发往端口 f0/2 的帧时,不会对帧 进行 Trunking 协议封装,而直接把其转发到端口 f0/2。 (2)PC11 传数据给 PC21 交换机 SW1 接收到端口 f0/1 发往端口 f0/3 的帧时,由于 f0/1 和 f0/3 处于不同的 VLAN,交换机直接把 F0/1 发来的数据给扔掉。 (3)PC11 传数据给 PC13 交换机 SW2 的端口 f0/1 是 VLAN 10 的另一个成员。交换机 SW1 端口 f0/1 发往交换机 SW2 端口 f0/1 的帧是按下列方式处理的: 交换机 SW1 接收端口 f0/1 的帧,通过端口号与 VLAN 的关联识 别出是发往 VLAN 10 的通信; 交换机 SW1 用标识为 VLAN 10 的 ISL 对帧进行封装,然后通过 Trunk 链路把此帧发送给交换机 SW2; 交换机 SW2 对 Trunking 协议帧进行拆封,去除 ISL 头,并转 发到端口 f0/1。 3.2.4 VLAN 的技术特点 (1)限制广播域。 广播域被限制在一个 VLAN 内,节省了带宽,提高了网络处理能力。

不同 VLAN 内的报文在传输时是相互隔离的,即一个 VLAN 内的用 (2)增强局域网的安全性。 不同 VLAN 内的报文在传输时是相互隔离的,即一个 VLAN 内的用 户不能和其它 VLAN 内的用户直接通信,如果不同 VLAN 要进行通信, 则需要通过路由器或三层交换机等三层设备。 (3)灵活构建虚拟工作组。 用 VLAN 可以划分不同的用户到不同的工作组,同一工作组的用 户也不必局限于某一固定的物理范围,网络构建和维护更方便灵 活。 3.2.5 不同的 Trunking 技术 (1)交换机间链路 ISL(Inter-Switch Link) (2)IEEE 802.1Q (3)IEEE 802.10 (4)ATM LANE(LAN 仿真)。 3.2.6 VLAN 配置命令 VLAN ①进入全局配置模式 Switch#configure terminal ②创建 VLAN Switch(config)#vlan vlan-id ③命名 VLAN(可选) Switch(config-vlan)#name vlan-name (2)将端口加入 VLAN ①进入端口配置模式 Swtich(config)#interface interface ②将端口模式设置为接入端口 Switch(config-if)#switchport mode access ③将端口添加到特定 VLAN Switch(config-if)#switchport access vlan vlan-id (3)将级联端口设置为 Trunk ①进入需要配置的端口 swtich(config)#interface interface ②将端口的模式设置为 Trunk (1)创建

Switch(config-if)#switchport mode trunk ①进入到需要配置的 Trunk 端口中 (4)配置 Native VLAN ①进入到需要配置的 Trunk 端口中 swtich(config)#interface interface ②配置 Trunk 的 Native VLAN Switch(config-if)#switchport trunk native vlan-id (5)删除 VLAN Switch(config)#no vlan VLAN-id (6)验证配置信息 Switch# show interfaces interface Switch# show vlan vlan 3.2.7 技能训练 VLAN 配置实验 3.3 利用三层交换机实现 VLAN 间通信 在校园网络发展的初期,网络中只有 10%~20%的信息在 VLAN 之间传播,但随着多媒体技术在校园网络中应用的迅速普及, VLAN 之间信息的传输量增加了许多倍,如果 VLAN 之间的通信 问题解决得不好,将严重影响网络的使用和安全。本次训练,我们 将实现使用三层交换机完成 VLAN 间的通信。 3.3.1 三层交换机的工作原理 三层交换机有“记忆”路由的功能。 三层交换机的路由记忆功能是由路由缓存来实现的。当一个数 据包发往三层交换机时,三层交换机首先在它的缓存列表里进行检 查,看看路由缓存里有没有记录,如果有记录就直接调取缓存的记 录进行路由,而不再经过路由处理器进行处理,这样的数据包的路 由速度就大大提高了。如果三层交换机在路由缓存中没有发现记

录,再将数据包发往路由处理器进行处理,处理之后再转发数据包。 图 3-16 三层交换机 3.3.2 三层交换机的配置命令 (1)三层交换的路由功能 ①开启三层交换机路由功能 Switch(config)#ip routing 三层交换机默认开启路由功能 ②三层交换机配置路由接口的两种方法 1开启三层交换机物理接口的路由功能 Switch(config)#interface fastethernet interface-id Switch(config-if)#no switchport Switch(config-if)#ip address ip-address submask Switch(config-if)#no shutdown 2关闭物理接口路由功能 Switch(config-if)# switchport ③采用 SVI 方式(switch virtual interface) Switch(config)#interface vlan vlan-id ④三层交换机和路由器相连的网络 1方法一(SVI): Switch(config)#interface interface-id Switch(config-if)#switchport access vlan vlan-id Switch(config-if)#exit switch(config-if)#ip address ip-address submask

Switch(config)#interface interface-id Switch(config-if)#no switchport 2方法二(路由接口): Switch(config)#interface interface-id Switch(config-if)#no switchport Switch(config-if)#ip address ip-address submask Switch(config-if)#no shutdown (2)三层交换机路由协议的配置 ①静态路由 Switch(config)#iproute*.*.*.**.*.*.* [*.*.*.*/interface] ②RIP Switch(config)#router rip Switch(config-router)#network network-address Switch(config-router)#version 2 注:三层交换机不支持 no auto-summary ③OSPF Switch(config)#router ospf Switch(config)#network network-address wildcard-mask area area-id (3)查看三层交换机路由配置 ①查看路由接口信息 Switch#show ip interface ②查看路由表 Switch#show ip route ③查看动态路由协议 Switch#show ip rip Switch#show ip ospf 3.3.3 技能训练 配置三层交换机 实验拓扑如图 3-17 所示。

SW(config-vlan)#name xsb ②创建 VLAN20,并命名 SW(config)#vlan 20 图 3-17 实验拓扑图 实验步骤 (1)配置计算机的 IP 地址(略) (2)划分 VLAN ①创建 VLAN10,并命名 SW(config)#vlan 10 SW(config-vlan)#name xsb ②创建 VLAN20,并命名 SW(config)#vlan 20 SW(config-vlan)#name jsb ③将端口 f0/1 划分到 VLAN 10 SW(config)#int f0/1 SW(config-if)#switch mode access SW(config-if)#switch access vlan 10 ④将端口 f0/2 划分到 VLAN 20 SW(config)#int f0/2 SW(config-if)#switch access vlan 20 (2)配置三层交换机的路由功能 ①启用交换机的路由功能 SW(config)#ip routing

②开启三层交换机物理接口的路由功能,并配置 IP 地址 SW(config)#interface f0/3 SW(config-if)#no switchport SW(config-if)#ip address 12.1.1.2 255.255.255.252 SW(config-if)#no shutdown ③配置 SVI 1测试:PC1 能否与 PC2 通信 2配置 VLAN10 的接口地址 SW(config)#interface vlan 10 SW(config-if)#ip address 192.168.1.254 255.255.255.0 3配置 VLAN20 的接口地址 SW(config)#interface vlan 20 SW(config-if)#ip address 192.168.2.254 255.255.255.0 4测试:PC1 能否与 PC2 通信 ④配置 RIP v2 路由 SW(config)#router rip SW(config-router)#version 2 SW(config-router)#network 192.168.1.0 SW(config-router)#network 192.168.2.0 SW(config-router)#network 12.0.0.0 (3)配置路由器 ①配置路由器的接口地址 1配置 f0/1 接口 ISP(config)#int f0/1 ISP(config-if)#ip address 12.1.1.1 255.255.255.252 ISP(config)#no shutdown 2配置 loop 0 接口 ISP(config-if)#int loop 0 ISP(config-if)#ip address 1.1.1.1 255.255.255.0 ②配置 RIP 路由 R(config)#router rip R(config-router)#version 2

R(config-router)#network 1.1.1.0 R(config-router)#network 12.0.0.0 ③测试配置结果 PC1 能否与 PC2 通信 3.4 生成树协议配置 本次训练,我们要学习生成树协议 (STP) 如何防止网络中的 环路问题,以及 STP 协议的发展过程,了解其如何通过快速计算 应阻塞的端口来确保基于 VLAN 的网络不会产生通信环路。 3.4.1 生成树配置 STP 采用的协议报文是 BPDU(Bridge Protocol Data Unit, 桥协议数据单元),也称为配置消息,BPDU 中包含了足够的信息 来保证设备完成生成树的计算过程。STP 即是通过在设备之间传递 BPDU 来确定网络的拓扑结构。 3.4.2 STP 的基本概念 (1)桥 ID(Bridge Identifier) (2)根桥(Root Bridge) (3)指定桥(Designated Bridge) (4)根路径开销(Root Path Cost) (5)桥优先级(Bridge Priority) (6)根端口(Root Port) (7)指定端口(Designated Port) 指定桥上向本交换机转发数据的端口。 (8)端口优先级(Port Priority) 数值范围从 0 到 255,值越小,端口的优先级就越高。端口的 优先级越高,才越有可能成为根端口。 (9)路径开销(Path Cost)

STP 协议用于选择链路的参考值。STP 协议通过计算路径开销, 选择较为“强壮”的链路,阻塞多余的链路,将网络修剪成无环路 的树型网络结构。 3.4.3 举例说明 生成树基本概念的组网示意图如图 3-19 所示。交换机 A、B、C 三者顺次相连,经 STP 计算过后,交换机 A 被选为根桥,端口 2 和端口 6 之间的线路被阻塞。 桥:交换机 A 为整个网络的根桥;交换机 B 是交换机 C 的指定 桥。 端口:端口 3 和端口 5 分别为交换机 B 和交换机 C 的根端口; 端口 1 和端口 4 分别为交换机 A 和交换机 B 的指定端口;端口 6 为交换机 C 的阻塞端口。 图 3-19 生成树基本概念的组网示意图 3.4.4 STP 定时器 Time): (2)老化时间(Max. Age): (3)传输时延(Forward Delay): (1)联络时间(Hello 3.4.5 STP 工作原理 ①选择根端口

一种是拓扑变更通告(Topology Change Notification,TCN) BPDU,用于通告网络拓扑的变化、 ②选择指定端口 3.4.6 BPDU (1)BPDU 的两种类型 一种是配置 BPDU,用于生成树计算。 一种是拓扑变更通告(Topology Change Notification,TCN) BPDU,用于通告网络拓扑的变化、 报文字段 (3)STP 利用 BPDU 选择根网桥的过程 (2)BPUD 根网桥的选择使一个持续反复进行的过程,踏每 2s 秒触发一 次,检查 BPDU 的跟网桥 ID 是否发生了变化,网络中是否又网桥 ID 值更低的交换机加入进来。 (4)STP 利用 PUDU 确定端口的根路径成本 前面已经说明,根路径成本值使通向跟网桥的所有链路的路径 成本之和。在交换网络中,利用 BPDU 按下列方式确定一个根路 径成本。 3.4.7 生成树端口的状态 (1)Disabled(禁用) (2)Blocking(阻塞) (3)Listening(侦听) (4)Learning(学习) (5)Forwarding(转发) 3.4.8 生成树计时器 SPT 利用 3 种计时方法来确保一个网络正确的收剑。 (1)Hello 时间 网桥发送配置 BPDU 报文之间的时间间隔。 (2)转发延迟 一个交换机端口在 Listening(侦听)和 Learning(学习)状态 所花费的时间间隔。它的默认值各为 15s. 从阻塞到侦听(20s)

交换机在丢弃 BPDU 报文之前存储它所用的时间。 从侦听到学习(15s) 从学习刀转发(15s) (3)最大老化时间 交换机在丢弃 BPDU 报文之前存储它所用的时间。 3.4.9 生成树的配置命令 (1)开启生成树协议 Switch(config)#Spanning-tree (2)关闭生成树协议 Switch(config)#no Spanning-tree (3)配置生成树协议的类型 Switch(config)#Spanning-tree mode stp/rstp (4)配置交换机优先级 Switch(config)#spanning-tree priority value Value 为 0 或 4096 的倍数,共 16 个,缺省值是 32768 (5)恢复到缺省值 Switch(config)# no spanning-tree priority (6)配置交换机端口的优先级 Switch(config)#interfaceinterface-type interface-number Switch(config-if)#spanning-tree port-priority number (7)显示生成树状态 Switch#show spanning-tree (8)显示端口生成树协议的状态 Switch#showspanning-treeinterfacefastethernet <0-2/1-24> 3.4.10 技能训练 配置生成树协议 实验拓扑图 实验拓扑如图 3-20 所示。

SW(config-vlan)#name jsbm 图 3-20 实验拓扑图 实验步骤 (1)按拓扑图配置计算机的 IP 地址(略) (2)在交换机上创建 VLAN 1创建 VLAN10, 并命名 SW(config)#vlan 10 SW(config-vlan)#name jsbm 2创建 VLAN20, 并命名 SW(config-vlan)#vlan 20 SW(config-vlan)#name ywbm (3)将交换机的端口划分到相应 VLAN ①将端口 F0/1、F0/6 到 F0/10 划分到 VLAN 10 SW(config)#int range f0/1 , f0/6 - 10 SW(config-if-range)#switchport mode access SW(config-if-range)#switchport access vlan 10

SW(config-if-range)#exit ②将端口 F0/2,F0/11 到 F0/15 划分到 VLAN 20 SW(config)#int range f0/2 , f0/11 - 15 SW(config-if-range)#switchport mode access SW(config-if-range)#switchport access vlan 20 SW(config-if-range)#exit (4)为交换机创建中继线路 SW1(config)#int range f0/3 , f0/20 SW1(config-if-range)#switchport mode trunk SW2(config)#int range f0/3 , f0/21 SW2(config-if-range)#switchport mode trunk SW3(config)#int range f0/20 - 21 SW3(config-if-range)#switchport mode trunk (5)查看 VLAN10 的生成树状态,然后填写下表 交 换 优先级 机 地址 端口 状态 F0/23 Root FWD SW1 32778 00D0.5820.0D39 F0/24 Desg FWD F0/23 Desg FWD SW2 32778 000D.BD64.B9D2 F0/24 Desg FWD F0/23 Altn BLK SW3 32778 00E0.B097.1EC1 F0/24 Root FWD 根 交 32778 换机 000D.BD64.B9D2 (6)将不同 VLAN 的根交换机设置为不同的交换机,保证 VLAN 的流 量均衡。

某企业采用两台交换机组成一个局域网,由于很多数据流量是 跨过交换机进行转发的,因此需要提高交换机之间的传输带宽,并 3.5 端口聚合配置 某企业采用两台交换机组成一个局域网,由于很多数据流量是 跨过交换机进行转发的,因此需要提高交换机之间的传输带宽,并 实现链路冗余备份,为此网络管理员在两台交换机之间采用两根网 线互连,并将相应的两个端口聚合为一个逻辑端口,现要在交换机 上做适当配置来实现这一目标。 3.5.1 链路聚合的定义 链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上 的聚合组,使用链路聚合服务的上层实体把同一聚合组内的多条物 理链路视为一条逻辑链路。 链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分 担,以增加带宽。同时,同一聚合组的各个成员端口之间彼此动态 备份,提高了连接可靠性。 3.5.2 链路聚合的基本概念 (1)聚合接口 聚合接口是一个逻辑接口,它可以分为二层聚合接口和三层聚 合接口。 (2)聚合组 (3)聚合成员端口的状态 3.5.3 LACP 协议 LACP(Link Aggregation Control Protocol,链路聚合控制协 议)是一种基于 IEEE802.3ad 标准的协议。LACP 协议通过 LACPDU (Link Aggregation Control Protocol Data Unit,链路聚合控 制协议数据单元)与对端交互信息。 处于动态聚合组中的接口会自动使能 LACP 协议,该接口将通过 发送 LACPDU 向对端通告自己的系统 LACP 协议优先级、系统 MAC、 端口的 LACP 协议优先级、端口号和操作 Key。对端接收到 LACPDU 后,将其中的信息与其它接口所收到的信息进行比较,以选择能够

处于 Selected 状态的接口,从而双方可以对接口处于 Selected 状态达成一致。 3.5.4 操作 Key 操作 Key 是在链路聚合时,聚合控制根据成员端口的某些配置 自动生成的一个配置组合,包括端口属性配置(包含端口速率、双 工模式和链路状态配置)和第二类配置(所含配置内容请见表 3-1)。 3.4.5 链路聚合的模式 (1)静态聚合模式 静态聚合模式中,成员端口的 LACP 协议为关闭状态。 (2)动态聚合模式 3.4.6 链路聚合配置 (1)将该接口加入一个 AP Switch#configure terminal Switch(config) # interface interface-type interface-id Switch(config-if-range)#port-group port-group-number 如果这个 AP 不存在,可自动创建 AG 端口 (2)查看聚合端口的汇总信息 Switch#show aggregateport summary (3)查看聚合端口的流量平衡方式 Switch#show aggregateport load-balance 3.4.7 链路聚合的注意事项 (1)组端口的速度必须一致 (2)组端口必须属于同一个 VLAN (3)组端口使用的传输介质相同 (4)组端口必须属于同一层次,并与 AP 也要在同一层次

SW(config-vlan)#exit 3.4.8 技能训练 配置交换机链路聚合 实验拓扑图 实验拓扑如图 3-22 所示。 图 3-22 实验拓扑 6.实验步骤 (1)配置计算机 IP 地址(略) (2)交换机创建 VLAN 10 和 VLAN 20 SW(config)#vlan 10 SW(config-vlan)#exit SW(config)#vlan 20 SW(config-vlan)#exit (3)设置交换机的接入端口和中继端口 ①设置 VLAN 10 的接入端口 SW(config)#int range f0/1 , f0/6 – 10 SW(config-if-range)#switchport mode access SW(config-if-range)#switchport access vlan 10 SW(config-if-range)#exit ②设置 VLAN 20 的接入端口 SW(config)#int range f0/2 , f0/11 - 15 SW(config-if-range)#switchport mode access SW(config-if-range)#switchport access vlan 20 SW(config-if-range)#exit

SW(config-if-range)#int range f0/4 - 5 ③设置交换机的中继端口 SW(config-if-range)#int range f0/4 - 5 SW(config-if-range)#switchport mode trunk ④查看配置结果 ⑤查看 VLAN 10 的生成树状态 (4)配置端口聚合 SW(config-if-range)#int range f0/4 - 5 SW(config-if-range)#port-group 1 (5)查看 VLAN 10 的生成树状态 SW1#show spanning-tree vlan 10 3.6 MSTP 配置 MSTP(Multiple Spanning Tree Protocol,多生成树协议) 是在 STP 和 RSTP 的基础上,根据 IEEE 协会制定的 802.1S 标准建 立的,他既可以快速收敛,也能使不同 VLAN 的流量沿各自的路径 转发,从而为冗余链路提供了更好的负载分担机制。 3.6.1 MSTP 的特点 MSTP 通过 VLAN-实例映射表,把 VLAN 和生成树联系起来,将 多个 VLAN 捆绑到一个实例中,并以实例为基础实现负载均衡。 MSTP 把一个生成树网络划分成多个域,每个域内形成多棵内部 生成树,各个生成树之间彼此独立。 MSTP 在数据转发过程中实现 VLAN 数据的负载分担。 MSTP 兼容 STP 和 RSTP。

3.6.2 MSTP 的基本概念 MST 域(Multiple Spanning Tree Region,多生成树域):由 具有相同域配置和相同 Vlan-实例映射关系的交换机所构成。 IST(Internal Spanning Tree,内部生成树):MST 域内的一 棵生成树。 CST(Common Spanning Tree,公共生成树):连接网络内所 有 MST 域的单生成树。 CIST(Common and Internal Spanning Tree,公共和内部生 成树) 连接网络内所有设备的单生成树, IST 和 CST 共同构成。:由 MSTP 基本概念的组网图如图 3-24 所示。 图 3-24 MSTP 基本概念组网图 3.6.3 MSTP 的基本原理 MSTP 将整个网络划分为多个 MST 域,各个域之间通过计算生成 CST;域内则通过计算生成多棵生成树,每棵生成树都被称为是一 个多生成树实例。MSTP 同 STP 一样,使用 BPDU 进行生成树的计算, 只是 BPDU 中携带的是 MSTP 的配置信息。 3.6.4 MSTP 模式的 BPDU 优先级比较原则 假定有两条 MSTP 的 BPDU X 和 Y,则:

如果 X 的总根 ID 小于 Y 的总根 ID,则 X 优于 Y 如果 X 和 Y 的总根 ID 相同,但 X 的外部路径开销小于 Y,则 X 优于 Y 如果 X 和 Y 的总根 ID 和外部路径开销相同,但 X 的域根 ID 小 于 Y 的域根 ID,则 X 优于 Y 如果 X 和 Y 的总根 ID、外部路径开销和域根 ID 相同,但 X 的 内部路径开销小于 Y,则 X 优于 Y 如果 X 和 Y 的总根 ID、外部路径开销、域根 ID 和内部路径开 销相同,但 X 的桥 ID 小于 Y,则 X 优于 Y 如果 X 和 Y 的总根 ID、外部路径开销、域根 ID、内部路径开 销和桥 ID 均相同,但 X 的端口 ID 小于 Y,则 X 优于 Y 3.6.5 MSTP 端口状态 MSTP 中,根据端口是否转发数据和如何处理 BPDU 报文,可将 端口状态划分为以下四种: 转发:接收并转发数据,接收并发送 BPDU 报文,进行地址学 习。 学习:不接收或转发数据,接收并发送 BPDU 报文,进行地址 学习。 阻塞:不接收或转发数据,接收但不发送 BPDU 报文,不进行 地址学习。 断开:物理链路断开。 3.6.6 端口角色 3.6.7 MSTP 的配置命令 基本配置 ①启用生成树 Switch(config)#spanning-tree ②选择生成树模式为 MSTP Switch(config)#spanning-tree mode mstp (2)MSTP 属性配置 ①进入全局配置模式 (1)MSTP

Switch#configure terminal ②进入 MSTP 配置模式 Switch(config)#spanning-tree mst configuration ③在交换机上配置 VLAN 与生成树示例的映射关系 Switch(config-mst)#instanceinstance-idvlan vlan-range ④配置 MST 区域的配置名称 Switch(config-mst)#name name ⑤配置 MST 区域的修正号 Switch(config-mst)#revision number 参数的取值范围是 0~65535,默认值为 0。 ⑥配置 MST 实例的优先级 SwitchA(config)#spanning-tree mst instance priority number (3)查看 MSTP 属性 ①看生成树的全局配置及状态信息 Switch#show spanning-tree ②查看 MSTP 的配置结果 Switch#show spanning-tree mst configuration ③查看特定实例的信息 Switch#show spanning-tree mst instance ④查看特定端口在相应实例中的状态信息 Switch#show spanning-tree mst instance interface 3.6.8 技能训练 配置 MSTP 实验拓扑图 实验拓扑如图 3-26 所示。

SW(config-vlan)#name jsb 图 3-26 实验拓扑 实验步骤 (1)配置计算机 IP 地址(略) (2)交换机创建 VLAN ①创建 VLAN10, 并命名 SW(config)#vlan 10 SW(config-vlan)#name jsb ②创建 VLAN20, 并命名 SW(config-vlan)#vlan 20 SW(config-vlan)#name ywb (3)设置交换机的接入端口和中继端口 ①设置交换机 SW1 的中继端口 SW1(config)#int range f0/1 , f0/4 - 5 SW1(config-if-range)#switchport mode trunk ②设置交换机 SW2 的中继端口 SW2(config)#int range f0/1 , f0/4 - 5 SW2(config-if-range)#switchport mode trunk ③设置交换机 SW3 的接入端口和中继端口 1设置交换机 SW3 的中继端口

SW3(config)#int range f0/4 - 5 SW3(config-if-range)#switchport mode trunk 2将端口 F0/3 到 F0/13 划分到 VLAN 10 SW3(config-if-range)#int range f0/1 , f0/6 - 10 SW3(config-if-range)#swit mode access SW3(config-if-range)#switch access vlan 10 3将端口 F0/14 到 F0/24 划分到 VLAN 20 SW3(config-if-range)#int range f0/2 , f0/11 - 15 SW3(config-if-range)#swit mode access SW3(config-if-range)#switch access vlan 20 ④设置交换机 SW4 的接入端口和中继端口 1设置交换机 SW4 的中继端口 SW4(config)#int range f0/4 - 5 SW4(config-if-range)#switchport mode trunk 2将端口 F0/1、F0/6 到 F0/10 划分到 VLAN 10 SW4(config-if-range)#int range f0/1 , f0/6 - 10 SW4(config-if-range)#swit mode access SW4(config-if-range)#switch access vlan 10 3将端口 F0/2、F0/11 到 F0/15 划分到 VLAN 20 SW4(config-if-range)#int range f0/2 , f0/11 - 15 SW4(config-if-range)#swit mode access SW4(config-if-range)#switch access vlan 20 设置 MSTP 实现负载均衡 ①SW1 和 SW3 的配置 (4). SW(config)#spanning-tree mst configuratoin SW(config-mst)#revision 1 SW(config-mst)#instance 1 vlan 10 SW(config-mst)#instance 2 vlan 20 SW(config-mst)#spanning-tree mst 1 priority 0 SW(config-mst)#spanning-tree mst 2 priority 4096

②SW2 和 SW4 的配置 SW(config)#spanning-tree mst configuratoin SW(config-mst)#revision 1 SW(config-mst)#instance 1 vlan 10 SW(config-mst)#instance 2 vlan 20 SW(config-mst)#spanning-tree mst 1 priority 4096 SW(config-mst)#spanning-tree mst 2 priority 0 第 4 章 路由器的基本配置与 IP 路由配置 学习目标 (1)了解路由器的基本配置模式 (2)掌握路由器各个模式的配置命令 (3)掌握路由器的静态路由的配置 (4)掌握路由器的默认路由的配置 (5)掌握路由器的 RIP 协议的配置 (6)掌握路由器的 OSPF 的配置 4.1 路由器的基本配置 本节我们是介绍路由器的基本配置模式,介绍路由器的软硬件构 成,在本训练中我们将学习路由器的基本配置的模式和命令,学生 要通过练习,熟悉路由器第一次配置时的硬件连接方式和进入各个 模式的命令。本训练将学习基本配置,是其他路由配置的基础。主 要学习机器名、接口地址、特权模式密码配置等方法。 4.1.1 路由器的软硬件构成 路由器是一台计算机,它的硬件和计算机类似。 在接通路由器电源之前,需要连接路由器的一些组件。路由器 的硬件组件包括内存、处理器、线卡和接口。 4.1.2 路由基础

在图 4-1 中,我们可以看到路由器 A 的接口连到网络 192.168.10.0 和 192.168.20.0 。 图 4-1 基本的路由器连接 图 4-2 显示了两个路由器:路由器 A 和路由器 B ,它还显 示了三个网络: 192.168.10.0 、 192.168.30.0 和一个公共网络 192.168.20.0 。通过该图,我们可以确定路由器 A 将 192.168.10.0 和 192.168.20.0 直接相连,路由器 B 将 192.168.20.0 与 192.168.30.0 直接相连。 图 4-2 两台路由器连接 为了完成这个通信,你需要使路由器 A 意识到网络 192.168.30.0 的存在并且路由器 B 意识到网络 192.168.10.0 的存在。你可能认为只需路由器 A 能看到网络 192.168.30.0 就 行,但你还需要一条路由返回到源地址以便应答和回答都能被收 到。这可以通过两种方式完成:手工输入路由信息到每个路由器中, 这称静态路由 (Static routing) ;在两个路由器上都配置一个动 态路由协议来汇聚路由信息,这称为动态路由 (Dynamic routing) 。 因此,为了完成路由器 A 与 192.168.30.1 之间的通信,你需要 让路由器 A 在它的内部路由器表中存储一条路由指向网络 192.168.30.0 。 一般来说,可以用 5 种方式来设置路由器。 (1)Console 口接终端或运行终端仿真软件的微机; (2)AUX 口接 MODEM,通过电话线与远方的终端或运行终端仿 真软件的微机相连;

(3)通过 Ethernet 上的 TFTP 服务器; (4)通过 Ethernet 上的 TELNET 程序; (5)通过 Ethernet 上的 SNMP 网管工作站。 但路由器的第一次设置必须通过第一种方式进行。 在用第一种方式进行配置时,需要按照以下步骤进行。 (1)将配置线的一端与路由器的 Console 口相连,另一端与 PC 的串口相连。 (2) PC 上运行终端仿真程序。在单击【开始】 找到,【程序】 , 选择【附件】 下的【通讯】 ,运行【超级终端】程序,同时需要 设置终端的硬件参数(包括串口号),如下所示。 波特率:9600 数据位:8 奇偶校验:无 停止位:1 流控:无 (3)路由器加电,超级终端会显示路由器自检信息,自检结束后 出现命令提示 (4)按Enter键进入用户配置模式。Cisco 系列路由器出厂时没有 定义密码,用户按Enter键直接进入普通用户模式,可以使用权限 允许范围内的命令,需要帮助可以随时键入【?】 ,输入 enable, 敲Enter键则进入超级用户模式。这时候用户拥有最大权限,可以 任意配置,需要帮助可以随时键入【?】。 !进入特权模式 Router-A>enable Router-A#!特 权模式 Router-A#?!查看可用的命令 <1-99>Session number to resume autoExec level Automation clearReset functions clockManage the system clock configure Enter configuration mode connectOpen a terminal connection copyCopy from one file to another debugDebugging functions (see also 'undebug') deleteDelete a file dirList files on a filesystem disableTurn off privileged commands disconnect Disconnect an existing network connection enableTurn on privileged commands

erase exit logout mkdir more no ping reload resume rmdir setup show ssh telnet terminal traceroute undebug write Erase a filesystem Exit from the EXEC Create new directory Display the contents of a file Disable debugging informations Send echo messages Halt and perform a cold restart Resume an active network connection Remove existing directory Run the SETUP command facility Show running system information Open a secure shell client connection Open a telnet connection Set terminal line parameters Trace route to destination Disable debugging functions (see also 'debug') Write running configuration to memory, network, or !使用?帮助 Router-A#sh? Show 下面我们介绍路由器的几级配置模式。 第 1 级:用户模式。 第 2 级:特权模式。 在用户模式下先输入【enable】,再输入相应的口令,进入第 2 级特权模式。特权模式的系统提示符是【#】,如下所示: Cisco2600>enable Password:******* Cisco2600# 在这一级别上,用户可以使用 show 和 debug 命令进行配置检查。 这时还不能进行路由器配置的修改,如果要修改路由器配置,还必 须进入第 3 级。 第 3 级: 配置模式。 这种模式下,允许用户真正修改路由器的配置。进入第 3 级的方 法是在特权模式中输入命令【config terminal】,相应提示符为 【(config)#】。如下所示: Cisco2600#config terminal Cisco2600(config)# 此时,用户才能真正修改路由器的配置,比如配置路由器的静态路 由表,详细的配置命令需要参考路由器配置文档。如果想配置具体 端口,还需要进入第 4 级。 第 4 级: 端口配置模式。

路由器中有各种端口,如 10/100Mbps 以太网端口和同步端口等。 要对这些端口进行配置,需要进入端口配置模式。比如,现在想对 以太网端口 0 进行配置(路由器上的端口都有编号,请参考路由 器随机文档),需要使用命令 interface ethernet0,如下所示: Cisco2600(config)# interface ethernet0 Cisco2600(config-int)# 4.1.3 技能训练 路由器的基本配置 在本任务中我们完成路由器的基本配置,我们通过Cisco Packet Tracer这个软件来完成这个任务。 1.任务拓扑图 该任务的实验拓扑图如图 4-5 所示。 图 4-5 路由器基本配置拓扑图 我们根据上面的拓扑图,配置路由器的IP地址和子网掩码,并对路 由器进行配置。 配置表如表4-2所示。 表4-2 路由器的配置表 Router1Router2 接口 类型接口 类型 IP 地址IP 地址 S1/1DCE192.168.1.1/S1/0 DTE 192.168.1.2/24 F0/0192.168.2.1/

2、软件使用说明 3、路由器的基本配置 路由器 1 的基本配置: 路由器2 的基本配置: 4.2 静态路由和默认路由的配置 4.2.1 静态路由的概念 典型的路由选择方式有两种:静态路由和动态路由。 静态路由是由管理员在路由器中手动配置的固定路由,即,手 工指定的到达某一网络的路径。配置静态路由时,必须要指明:① 要到达的目标网络地址。②到达目标网络必经的本路由器的出口的 接口名称,或者是,到达目标网络必经的与本路由器出口直连的对 端路由器的入口的 IP 地址。 4.2.2 静态路由的特点 静态路由不占用网络流量。 动态路由需要路由器之间自动发送路由信息,要占用网络带宽。 静态路由是单向的。静态路由缺乏灵活性。 4.2.3 静态路由的配置命令 配置静态路由的命令的格式为: router(config)# ip route network [mask] {address | interface} [distance] [permanent] 其中各参数含义如下: network:目标网络的网络 ID。 mask:目标网络的子网掩码。 address:到达目标网络经过的下一跳路由器的入口 IP 地址。

interface:到达目标网络的必经的本地路由器的出口的接口名 称。 distance:管理开销,不需要改变默认管理开销时,使用该参数 进行修改。 permanent:永久有效。如果配置了该选项,即使该接口被关闭, 这条静态路由也不会被删除。 示例: ip route 192.168.1.0 255.255.255.0 192.168.2.1 其中,192.168.1.0 是目标网络的网络 ID;255.255.255.0 是目 标网络的子网掩码;192.168.2.1 是下一跳路由器的与本路由器直连 的那个接口的 IP 地址。 上例也可以写成:ip route 192.168.1.0 255.255.255.0 S0 其中,S0 是到达 192.168.1.0 网络的本路由器的出口的接口名 4.2.4 默认路由介绍 默认路由是一种特殊的静态路由,指的是当路由表中与包的目 的地址之间没有匹配表项时,路由器使用的路由。 一台路由器上只能配置一条默认路由。因为默认路由不是精确 的路由,所有,默认路由有可能不是最好的路由。默认路由的优先 级是最低的,路由表中没有匹配项时,才使用默认路由。 默认路由一般用在末稍网络,所谓末稍网络,是指只有一个唯 一出口的网络。 默认路由的配置方法为:router(config)#ip route 0.0.0.0 0.0.0.0 下一跳 IP 地址或出接口。 4.2.5 技能训练 配置静态路由和默认路由 实验拓扑如图 4-9 所示

图 4-9 实验拓扑图 6.实验步骤 1) 配置计算机的 IP 地址及网关 (1) 配置 PC1 的 IP 地址及默认网状。 (2) 配置 PC2 的 IP 地址及默认网状。 2) 在路由器 R1、R2 和 ISP 上配置接口的 IP 地址 (1) 配置 R1 的名称和端口 IP 地址及名称 ① 进入配置模式,并为路由器命名 Router>enable Router#conf t Router(config)#hostname R1 ② 配置接口 f0/0 的 IP 地址 R1(config)#int f0/0 R1(config-if)#ip address 172.16.1.254 255.255.255.0 R1(config-if)#no shutdown ③ 配置接口 s4/0 的 IP 地址 R1(config-if)#int s4/0 R1(config-if)#ip address 172.16.2.249 255.255.255.252 R1(config-if)#clock rate 64000

R1(config-if)#no shutdown ④ 配置接口 s3/0 的 IP 地址 R1(config)#int s3/0 R1(config-if)#ip address 123.1.1.242 255.255.255.252 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown (2) 配置 R2 的名称和端口 IP 地址及名称 ① 进入配置模式,并为路由器命名 Router>enable Router#conf t Router(config)#hostname R2 ② 配置接口 f0/0 的 IP 地址 R2(config)#int f0/0 R2(config-if)#ip address 192.168.1.254 255.255.255.0 R2(config-if)#no shutdown ③ 配置接口 s3/0 的 IP 地址 R2(config-if)#int s3/0 R2(config-if)#ip address 172.16.2.250 255.255.255.252 R2(config-if)#no shutdown (3) 配置 ISP 的名称和端口 IP 地址及名称 ① 进入配置模式,并为路由器命名 Router>enable Router#conf t Router(config)#hostname ISP ② 配置接口 s3/0 的 IP 地址 ISP(config)#int s2/0 ISP(config-if)#ip address 123.1.1.241 255.255.255.252 ISP(config-if)#no shutdown 3) 测试 R1、R2 和 ISP 的连通性 (1) 测试 R1 和 R2 的连通性 R1#ping 172.16.2.250

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.2.250, timeout is 2 seconds: !!!!! Success rate is 100 percent min/avg/max = 31/31/32 ms (5/5), round-trip (2) 测试 R1 和 ISP 的连通性 R1#ping 123.1.1.241 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 123.1.1.241, timeout is 2 seconds: !!!!! Success rate is 100 percent min/avg/max = 16/28/32 ms (5/5), round-trip (3) 测试结果 R1 与 R2 和 ISP 相互连通 4) 查看路由器生成的直连路由; (1) 查看 R1 的直接路由。 R1#show ip route (2) 查看 R2 的直接路由。 R2#show ip route 172.16.0.0/30 is subnetted, 1 subnets C 172.16.2.248 is directly connected, Serial2/0 C192.168.1.0/24 FastEthernet0/0 is directly connected, (3) 查看 ISP 的直接路由。 ISP#show ip route 123.0.0.0/30 is subnetted, 1 subnets C 123.1.1.240 is directly connected, Serial2/0 5) 测试 PC1、PC2 与相连路由器端口连通性; (1) 测试 PC2 与默认网关的连通性。

测试结果:PC2 与 R1 的 f0/0 端口连通 (2) 测试 PC1 与默认网关的连通性。 PC>ping 192.168.1.254 (3) 测试结果 PC1 与 R2 的 f0/0 端口连通 6) 在 R1 上配置默认路由; 7) 在 R2 上配置默认路由(含下一跳 IP 地址) 8) 在路由器 R2 上配置静态路由 9) 在路由器 ISP 上配置通向企业 a 和 b 的静态路由(含下一跳 地址)。 10) 测试配置结果 4.3 RIP 协议的配置 本次训练我们将学习 RIP 协议的配置,RIP 协议适合于一个小 型网络,它是一种动态路由协议,它在配置时与静态路由、默认路 由的命令不一样,他需要是宣告自己的直接相连接的网络(注意是 网络地址,而不是具体的计算机的 IP 地址),而不是使用下一跳 的 IP。 4.3.1 RIP 介绍 RIP(Routing information Protocol,路由信息协议)是应用较 早、使用较普遍的内部网关协议(Interior Gateway Protocol,IGP), 适用于小型同类网络的一个自治系统(AS)内的路由信息的传递。 RIP 协议是最广泛使用的 IGP 类协议之一,著名的路径刷新程序 Routed 便是根据 RIP 实现的。 协议被设计用于使用同种技术的RIP 中型网络,因此适应于大多数的校园网和使用速率变化不是很大的 连续线的地区性网络。对于更复杂的环境,一般不使用 RIP 协议。

4.3.2 RIP 工作原理 RIP 协议是基于 Bellham-Ford(距离向量)算法,此算法 1969 年被用于计算机路由选择,正式协议首先是由 Xerox 于 1970 年开 发的,当时是作为 Xerox 的“Networking Services(NXS)”协议族 的一部分。由于 RIP 实现简单,迅速成为使用范围最广泛的路由 协议。 4.3.3 RIP 的配置和调试命令 (1)配置 RIP 协议 开启 RIP 路由协议进程 Router(config)#router rip 申请本路由器参与 RIP 协议的直连网段信息 Router(config-router)#network 192.168.1.0 指定 RIP 协议的版本 2(默认是 version1) Router(config-router)#version 2 在 RIPv2 版本中关闭自动汇总 Router(config-router)#no auto-summary (2)查看 RIP 配置信息 (3)验证 RIP 的配置 Router#show ip protocols (4)显示路由表的信息 Router#show ip route (5)清除 IP 路由表的信息 Router#clear ip route (6)在控制台显示 RIP 的工作状态 Router#debug ip rip 4.3.4 技能训练 配置 RIP 实验图如图 4-14 所示。

(1) 配置计算机 PC1 的 IP 地址及默认网关。 图 4-14 实验图 6.实验步骤 1) 配置计算机的 IP 地址及网关 (1) 配置计算机 PC1 的 IP 地址及默认网关。 PC1>ipconfig IP Address......................: 10.1.1.1 Subnet Mask.....................: 255.255.255.0 Default Gateway.................: 10.1.1.254 (2) 配置计算机 PC2 的 IP 地址及默认网关。 PC2>ipconfig IP Address......................: 20.1.1.1 Subnet Mask.....................: 255.255.255.0 Default Gateway.................: 20.1.1.254 2) 配置路由器端口的 IP 地址 (1) 配置 R1 的端口 IP 地址 进入配置模式,并为路由器命名 ① Router>en

Router(config)#hostname R1 Router#conf t Router(config)#hostname R1 配置接口 f0/0 的 IP 地址 ② R1(config)#int f0/0 R1(config-if)#ip address 10.1.1.254 255.255.255.0 R1(config-if)#no shutdown 配置接口 s4/0 的 IP 地址 ③ R1(config-if)#int s4/0 R1(config-if)#ip address 12.1.1.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown ② 配置 R2 的端口 IP 地址 进入配置模式,并为路由器命名 ① Router>en Router#conf t Router(config)#hostname R2 配置接口 loop 0 的 IP 地址 ② R2(config)#int loop 0 R2(config-if)#ip address 10.1.2.1 255.255.255.0 R2(config-if)#no shutdown 配置接口 s3/0 的 IP 地址 ③ R2(config-if)#int s3/0 R2(config-if)#ip address 12.1.1.2 255.255.255.0 R2(config-if)#no shutdown 配置接口 s4/0 的 IP 地址 ④ R2(config-if)#int s4/0 R2(config-if)#ip address 23.1.1.1 2 R2(config-if)#ip address 23.1.1.1 255.255.255.0 R2(config-if)#clock rate 64000 R2(config-if)#no shutdown ③ 配置 R3 的端口 IP 地址

Router (config)#hostname R3 进入配置模式,并为路由器命名 ① Router>en Router#conf t Router (config)#hostname R3 配置接口 loop 0 的 IP 地址 ② R3(config)#int loop 0 R3(config-if)#ip address 20.1.2.1 255.255.255.0 R3(config-if)#no shutdown 配置接口 s3/0 的 IP 地址 ③ R3(config-if)#int s3/0 R3(config-if)#ip address 34.1.1.3 255.255.255.0 R3(config-if)#clock rate 64000 R3(config-if)#no shutdown 配置接口 f0/0 的 IP 地址 ④ R3(config-if)#int f0/0 R3(config-if)#ip address 23.1.1.3 255.255.255.0 R3(config-if)#no shut ④ 配置 R4 的端口 IP 地址 进入配置模式,并为路由器命名 ① Router>en Router#conf t Router(config)#hostname R4 配置接口 f0/0 的 IP 地址 ② R4(config)#int f0/0 R4(config-if)#ip address 20.1.1.254 255.255.255.0 R4(config-if)#no shutdown 配置接口 f0/1 的 IP 地址 ③ R4(config-if)#int f0/1 R4(config-if)#ip address 34.1.1.4 255.255.255.0 R4(config-if)#no shutdown (2) 甲配置版本 1 的 RIP

① 配置 R1 的 RIP R1(config)#router rip R1(config-router)#network 10.0.0.0 R1(config-router)#network 12.0.0.0 ② 查看 R1 使用 RIP 协议的默认版本和管理距离 查询结果:发送版本是 v1,接收版是 v2,管理距离是 120 ③ 将 R1 的 RIP 版本改为 v1 R1(config)#router rip R1(config-router)#version 1 ④ 配置 R2 的 RIP v1 R2(config)#router rip R2(config-router)#version 1 R2(config-router)#network 10.0.0.0 R2(config-router)#network 12.0.0.0 ⑤ 查看 R1 的路由 R1#show ip route 10.0.0.0/24 is subnetted, 1 subnets C FastEthernet0/0 10.1.1.0 is directly connected, 12.0.0.0/24 is subnetted, 1 subnets C 12.1.1.0 is directly connected, Serial2/0 ⑥ 查看 R2 的路由 R2#show ip route 10.0.0.0/24 is subnetted, 1 subnets C 10.1.2.0 is directly connected, Loopback0 12.0.0.0/24 is subnetted, 1 subnets C 12.1.1.0 is directly connected, Serial2/0 23.0.0.0/24 is subnetted, 1 subnets C 23.1.1.0 is directly connected, Serial3/0 ⑦ 结论 R1 和 R2 之间没有相互学习到相连的网络

R3(config-router)#version 2 (3) 乙配置版本 2 的 RIP ① 配置 R3 的 RIP v2 R3(config)#router rip R3(config-router)#version 2 R3(config-router)#network 20.0.0.0 R3(config-router)#network 34.0.0.0 ② 配置 R4 的 RIP v2 R4(config)#router rip R4(config-router)#version 2 R4(config-router)#network 20.0.0.0 R4(config-router)#network 34.0.0.0 ③ 查看 R3 的路由 清除 R3 原有的路由 ① R3#clear ip route 等待一段时间,查看 R3 的路由 ② R3#show ip route 20.0.0.0/8 is variably subnetted, 2 subnets, 2 masks R20.0.0.0/8 [120/1] via 34.1.1.4, 00:00:26, Serial2/0 C 20.1.2.0/24 is directly connected, Loopback0 23.0.0.0/24 is subnetted, 1 subnets C 23.1.1.0 is directly connected, Serial3/0 34.0.0.0/24 is subnetted, 1 subnets C 34.1.1.0 is directly connected, Serial2/0 ④ 查看 R4 的路由 清除 R4 原有的路由 ① R4#clear ip route 等待一段时间,查看 R4 的路由 ② R4#show ip route 20.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

R Serial2/0 20.0.0.0/8 [120/1] via 34.1.1.3, 00:00:26, C FastEthernet0/0 20.1.1.0/24 is directly connected, 34.0.0.0/24 is subnetted, 1 subnets C 34.1.1.0 is directly connected, Serial2/0 ⑤ 结论 R3 和 R4 都学习到了一条 20.0.0.0/8 的汇总路由 (4) 测试甲乙的路由 ① 甲能否 ping 通 10.1.2.1 ② 乙能否 ping 通 20.1.2.1 (5) 甲乙取消自动汇总 ① 取消自动汇总 R(config)#router rip R(config-router)#no auto-summary ② 观察 R1 的路由 R1#show ip route 10.0.0.0/24 is subnetted, 1 subnets C FastEthernet0/0 10.1.1.0 is directly connected, 12.0.0.0/24 is subnetted, 1 subnets C 12.1.1.0 is directly connected, Serial2/0 ③ 观察 R4 的路由 R4#show ip route 20.0.0.0/8 is variably subnetted, 3 subnets, 2 masks R20.0.0.0/8 [120/1] via 34.1.1.3, 00:00:33, Serial2/0 C20.1.1.0/24 FastEthernet0/0 is directly connected, R20.1.2.0/24 [120/1] via 34.1.1.3, 00:00:05, Serial2/0

34.0.0.0/24 is subnetted, 1 subnets C 34.1.1.0 is directly connected, Serial2/0 ④ 结论 R1 仍然没有学到了到 10.1.2.0/24 的网络,而 R4 学到了到 20.1.2.0/24 的网络,说明 RIP 的版本 2 支持变长子网,RIP 的 版本 1 不支持变长子网;没有取消汇总路由时学到的是对方传 过来的汇总路由。 (6) 甲乙将 23.1.1.0 网络加入 RIP ① 路由器添加网络 R2(config)#router rip R2(config-router)#network 23.0.0.0 R3(config)#router rip R3(config-router)#network 23.0.0.0 ② 观察 R1 的路由 R1#show ip route 10.0.0.0/24 is subnetted, 1 subnets C FastEthernet0/0 10.1.1.0 is directly connected, 12.0.0.0/24 is subnetted, 1 subnets C 12.1.1.0 is directly connected, Serial2/0 R23.0.0.0/8 [120/1] via 12.1.1.2, 00:00:12, Serial2/0 ③ 观察 R4 的路由 R4#show ip route 20.0.0.0/24 is subnetted, 2 subnets C 20.1.1.0 is directly connected, FastEthernet0/0 R Serial2/0 20.1.2.0 [120/1] via 34.1.1.3, 00:00:10, 23.0.0.0/24 is subnetted, 1 subnets R Serial2/0 23.1.1.0 [120/1] via 34.1.1.3, 00:00:10,

34.0.0.0/24 is subnetted, 1 subnets C 34.1.1.0 is directly connected, Serial2/0 ④ 结论 RIP 的两个版本不兼容,不能相互学习路由。 (7) 甲将 R1 和 R2 的 RIP 版本设置为第 2 版 4.4 OSPF 协议配置 如果在一个小型网络中可以使用 RIP 协议,但是在一个大型 网络中,由于计算机数量的增多,同时由于路由器的增多,因此, 再采用 RIP 协议来连接网络,则不能够完成网络的连接,因此,需 要我们介绍 OSPF 协议的配置。 4.4.1 OSPF 路由协议基础 OSPF 作为一种内部网关协议(Interior Gateway Protocol, IGP),用于在同一个自治域(AS)中的路由器之间发布路由信息。 区别于距离矢量协议(RIP),OSPF 具有支持大型网络、路由收敛快、 占用网络资源少等优点,在目前应用的路由协议中占有相当重要的 地位。 4.4.2 基本概念和术语 (1) 链路状态 (2) 区域 (3) OSPF 网络类型 (4) 指派路由器(DR)和备份指派路由器(BDR)

4.4.3 协议工作过程 (1) 建立路由器的邻接关系 (2) 选举 DR/BDR (3) 发现路由器 (4) 选择适当的路由器 (5) 维护路由信息 4.4.4 OSPF 分层路由的思想 OSPF 把一个大型网络分割成多个小型网络的能力被称为分层路 由,这些被分割出来的小型网络就称为“区域”(Area)。由于区域 内部路由器仅与同区域的路由器交换 LSA 信息,这样 LSA 报文数量 及链路状态信息库表项都会极大减少,SPF 计算速度因此得到提 高。多区域的 OSPF 必须存在一个主干区域,主干区域负责收集非 主干区域发出的汇总路由信息,并将这些信息返还给到各区域。 OSPF 区域不能随意划分,应该合理地选择区域边界,使不同区 域之间的通信量最小。但在实际应用中区域的划分往往并不是根据 通信模式而是根据地理或政治因素来完成的。 4.4.5 OSPF 中的 4 种路由器 在 OSPF 多区域网络中,路由器可以按不同的需要同时成为以下 4 种路由器中的几种: 1. 内部路由器:所有端口在同一区域的路由器,维护一个链路 状态数据库。 2. 主干路由器:具有连接主干区域端口的路由器。 3. 区域边界路由器(ABR): 具有连接多区域端口的路由器,一般作为一个区域的出口。 ABR 为每一个所连接的区域建立链路状态数据库,负责将所连 接区域的路由摘要信息发送到主干区域,而主干区域上的 ABR 则负责将这些信息发送到各个区域。 4. 自治域系统边界路由器(ASBR): 至少拥有一个连接外部自治域网络(如非 OSPF 的网络)端 口的路由器,负责将非 OSPF 网络信息传入 OSPF 网络。

4.4.6 OSPF 链路状态公告类型 OSPF 路由器之间交换链路状态公告(LSA)信息。OSPF 的 LSA 中 包含连接的接口、使用的 Metric 及其他变量信息。OSPF 路由器收 集链接状态信息并使用 SPF 算法来计算到各节点的最短路径。 4.4.7 OSPF 区域类型 前述的 4 种路由器可以构成 5 种类型的区域,这 5 种区域的主 要区别在于它们和外部路由器间的关系: (1)标准区域:一个标准区域可以接收链路更新信息和路由总结。 (2)主干区域(传递区域):主干区域是连接各个区域的中心实体。 主干区域始终是“区域 0”,所有其他的区域都要连接到这个区域 上交换路由信息。主干区域拥有标准区域的所有性质。 (3)存根区域:存根区域是不接受自治系统以外的路由信息的区 域。如果需要自治系统以外的路由,它使用默认路由 0.0.0.0。 (4)完全存根区域:它不接受外部自治系统的路由以及自治系统 内其他区域的路由总结。需要发送到区域外的报文则使用默认路 由:0.0.0.0。完全存根区域是 Cisco 自己定义的。 (5)不完全存根区域(NSAA):它类似于存根区域,但是允许接收 以 LSA Type 7 发送的外部路由信息,并且要把 LSA Type 7 转换成 LSA Type 5。 区分不同 OSPF 区域类型的关键在于它们对外部路由的处理方 式。外部路由由 ASBR 传入自治系统内,ASBR 可以通过 RIP 或者其 他的路由协议学习到这些路由。 4.4.8 报文在 OSPF 多区域网络中发送的过程 首先,区域内部的路由器最初使用 LSA TYPE 1 或 LSA TYPE 2 对本区域内的路径信息进行交换并计算出相应的路由表项。当路由 器的链路信息在区域内部路由达到统一后,ABR 才能发送 LSA 摘要 报文(LSA TYPE 3 或 LSA TYPE 4)给其他区域。其他区域路由器可 以根据这些摘要信息计算相应到达本区域以外的路由表项。最后, 除了存根区域,所有路由器根据 ASBR 所发送的 LSA TYPE 5 计算出 到达自治域外的路由表项。

wildcard-mask area area-id network-address 4.4.9 OSPF 的配置命令 (1) 启用 OSPF R1(config)#router ospf process-id Process id 是一个介于 1 和 65535 之间的数字,由网络管理 员选定。process-id 仅在本地有效,这意味着路由器之间建立 相邻关系时无需匹配该值。 (2) 定义接口所属区域 Router(config-router)#network wildcard-mask area area-id network-address ①network-address wildcard-mask:网络地址和通配符掩 码一起,用于指定此 network 命令启用的接口或接口范围. ②area-id:如果所有路由器都处于同一个 OSPF 区域,则必 须在所有路由器上使用相同的 area-id 来配置 network 命 令比较好的做法是在单区域 OSPF 中使用 area-id (3) 指定 OSPF 的 router-id 值 Router(config-router)#router-id A.B.C.D (4) 设置接口的 OSPF 优先级 Router(config-if)# ip ospf priority <0-255> (5) 验证 OSPF ①show ip ospf neighbor:显示 OSPF 的邻居关系 ②show ip protocols:显示路由协议 ③ show ip ospf:显示 OSPF 的信息 show ip ospf interface:显示 OSPF 的接口信息 4.4.10 技能训练 配置 OSPF 路由协议 实验图如图 4-16 所示。

图 4-16 实验图 6.实验步骤 (1) 配置计算机的 IP 地址及网关 ① 配置计算机 PC1 的 IP 地址及默认网关。 PC1>ipconfig IP Address......................: 192.168.1.1 Subnet Mask.....................: 255.255.255.0 Default Gateway.................: 192.168.1.254 ② 配置计算机 PC2 的 IP 地址及默认网关。 PC2>ipconfig IP Address......................: 192.168.2.1 Subnet Mask.....................: 255.255.255.0 Default Gateway.................: 192.168.2.254 ③ 配置计算机 PC3 的 IP 地址及默认网关。 PC3>ipconfig

Router(config)#hostname R1 IP Address......................: 192.168.3.1 Subnet Mask.....................: 255.255.255.0 Default Gateway.................: 192.168.3.254 (2) 配置路由器端口的 IP 地址 ①配置 R1 的端口 IP 地址 进入配置模式,并为路由器命名 ① Router>en Router#conf t Router(config)#hostname R1 配置接口 f0/0 的 IP 地址 ② R1(config)#int f0/0 R1(config-if)#ip address 192.168.1.254 255.255.255.0 R1(config-if)#no shutdown 配置接口 s2/0 的 IP 地址 ③ R1(config-if)#int s2/0 R1(config-if)#ip address 12.1.1.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config-if)#bandwidth 1000 R1(config-if)#no shutdown 配置接口 s3/0 的 IP 地址 ④ R1(config-if)#int s3/0 R1(config-if)#ip address 13.1.1.1 255.255.255.0 R1(config-if)#bandwidth 64 R1(config-if)#no shutdown ② 配置 R2 的端口 IP 地址 进入配置模式,并为路由器命名 ① Router>en Router#conf t Router(config)#hostname R2 配置接口 f0/0 的 IP 地址 ②

R2(config-if)#ip address 192.168.2.254 255.255.255.0 R2(config)#int f0/0 R2(config-if)#ip address 192.168.2.254 255.255.255.0 R2(config-if)#no shutdown 配置接口 s2/0 的 IP 地址 ③ R2(config-if)#int s2/0 R2(config-if)#ip address 12.1.1.2 255.255.255.0 R2(config-if)#bandwid R2(config-if)#bandwidth 1000 R2(config-if)#no shutdown 配置接口 s3/0 的 IP 地址 ④ R2(config-if)#int s3/0 R2(config-if)#ip address 23.1.1.2 255.255.255.0 R2(config-if)#bandwidth 1000 R2(config-if)#clock rate 64000 R2(config-if)#no shutdown ③ 配置 R3 的端口 IP 地址 进入配置模式,并为路由器命名 ① Router>en Router#conf t Router(config)#hostname R3 配置接口 f0/0 的 IP 地址 ② R3(config)#int f0/0 R3(config-if)#ip address 34.1.1.3 255.255.255.0 R3(config-if)#no shutdown 配置接口 s2/0 的 IP 地址 ③ R3(config-if)#int s2/0 R3(config-if)#ip address 13.1.1.3 255.255.255.0 R3(config-if)#clock rate 64000 R3(config-if)#bandwidth 64 R3(config-if)#no shutdown

R3(config-if)#ip address 23.1.1.3 255.255.255.0 配置接口 s3/0 的 IP 地址 ④ R3(config-if)#int s3/0 R3(config-if)#ip address 23.1.1.3 255.255.255.0 R3(config-if)#bandwidth 1000 R3(config-if)#no shutdown ④ 配置 R4 的端口 IP 地址 进入配置模式,并为路由器命名 ① Router>en Router#conf t Router(config)#hostname R4 配置接口 f1/0 的 IP 地址 ② R4(config)#int f1/0 R4(config-if)#ip address 192.168.3.254 255.255.255.0 R4(config-if)#no shutdown 配置接口 f0/0 的 IP 地址 ③ R4(config-if)#int f0/0 R4(config-if)#ip address 34.1.1.4 255.255.255.0 R4(config-if)#no shutdown (3) 在路由器上配置 OSPF 路由协议 ①配置 R1 的 OSPF 路由协议书 R1(config)#router ospf 1 R1(config-router)#network 192.168.1.0 0.0.0.255 area 1 R1(config-router)#network 12.1.1.0 0.0.0.255 area 0 R1(config-router)#network 13.1.1.0 0.0.0.255 area 0 ② 配置 R2 的 OSPF 路由协议书 R2(config)#router ospf 1 R2(config-router)#network 192.168.2.0 0.0.0.255 area 2 R2(config-router)#network 12.1.1.0 0.0.0.255 area 0 R2(config-router)#network 23.1.1.0 0.0.0.255 area 0 ③ 配置 R3 的 OSPF 路由协议书 R3(config)#router ospf 1

R3(config-router)#network 13.1.1.0 0.0.0.255 area 0 ④ 配置 R4 的 OSPF 路由协议书 R4(config)#router ospf 1 R4(config-router)#network 192.168.3.0 0.0.0.255 area 3 R4(config-router)#network 34.1.1.0 0.0.0.255 area 3 (4) 观察路由器上的路由 ①观察 R1 路由器上的路由 R1#show ip route 12.0.0.0/24 is subnetted, 1 subnets C 12.1.1.0 is directly connected, Serial2/0 13.0.0.0/24 is subnetted, 1 subnets C 13.1.1.0 is directly connected, Serial3/0 23.0.0.0/24 is subnetted, 1 subnets O23.1.1.0 [110/200] via 12.1.1.2, 00:04:28, Serial2/0 34.0.0.0/24 is subnetted, 1 subnets O IA34.1.1.0 [110/201] via 12.1.1.2, 00:03:06, Serial2/0 C192.168.1.0/24 FastEthernet0/0 is directly connected, O IA 192.168.2.0/24 [110/101] via 12.1.1.2, 00:04:28, Serial2/0 O IA 192.168.3.0/24 [110/202] via 12.1.1.2, 00:01:53, Serial2/0 ② 提问 ①路由“O23.1.1.0 [110/200] via 12.1.1.2, 00:04:28, Serial2/0”中 110/201 表示什么意思,是 201 怎 么得来的? ②路由“O23.1.1.0 [110/200] via 12.1.1.2, 00:04:28, Serial2/0”为何是“O” 而路由 IA,“O34.1.1.0 [110/201] via 12.1.1.2, 00:03:06, Serial2/0”是“O IA”

呢? ③为何 R1 到达 34.1.1.0 网络的最佳路径是 12.1.1.2,而不 是 13.1.1.3,况且通过 R3 可以直接到达,而经过 R2 还需要 经过 R3 才能到达? ④如何查看 R1 到达 34.1.1.0 网络的备用路径,它的花费是 多少? ③观察 R2 路由器上的路由 R2#show ip route 12.0.0.0/24 is subnetted, 1 subnets C 12.1.1.0 is directly connected, Serial2/0 13.0.0.0/24 is subnetted, 1 subnets O13.1.1.0 [110/1662] via 12.1.1.1, 00:04:54, Serial2/0 [110/1662] via 23.1.1.3, 00:03:57, Serial3/0 23.0.0.0/24 is subnetted, 1 subnets C 23.1.1.0 is directly connected, Serial3/0 34.0.0.0/24 is subnetted, 1 subnets O IA34.1.1.0 [110/101] via 23.1.1.3, 00:03:37, Serial3/0 O IA 192.168.1.0/24 [110/101] via 12.1.1.1, 00:04:54, Serial2/0 C192.168.2.0/24 FastEthernet0/0 is directly connected, O IA 192.168.3.0/24 [110/102] via 23.1.1.3, 00:02:18, Serial3/0 ④ 观察 R3 路由器上的路由 R3#show ip route 12.0.0.0/24 is subnetted, 1 subnets O12.1.1.0 [110/200] via 23.1.1.2, 00:04:33, Serial3/0 13.0.0.0/24 is subnetted, 1 subnets C 13.1.1.0 is directly connected, Serial2/0

23.0.0.0/24 is subnetted, 1 subnets C 23.1.1.0 is directly connected, Serial3/0 34.0.0.0/24 is subnetted, 1 subnets C FastEthernet0/0 34.1.1.0 is directly connected, O IA 192.168.1.0/24 [110/201] via 23.1.1.2, 00:04:33, Serial3/0 O IA 192.168.2.0/24 [110/101] via 23.1.1.2, 00:04:33, Serial3/0 O192.168.3.0/24 [110/2] via 34.1.1.4, 00:03:00, FastEthernet0/0 ⑤ 观察 R4 路由器上的路由 R4#show ip route 12.0.0.0/24 is subnetted, 1 subnets O IA12.1.1.0 [110/201] via 34.1.1.3, 00:03:24, FastEthernet0/0 13.0.0.0/24 is subnetted, 1 subnets O IA13.1.1.0 [110/1563] via 34.1.1.3, 00:03:24, FastEthernet0/0 23.0.0.0/24 is subnetted, 1 subnets O IA23.1.1.0 [110/101] via 34.1.1.3, 00:03:24, FastEthernet0/0 34.0.0.0/24 is subnetted, 1 subnets C FastEthernet0/0 34.1.1.0 is directly connected, O IA 192.168.1.0/24 [110/202] via 34.1.1.3, 00:03:24, FastEthernet0/0 O IA 192.168.2.0/24 [110/102] via 34.1.1.3, 00:03:24, FastEthernet0/0 C192.168.3.0/24 FastEthernet1/0 is directly connected, (5) 查看 R3 的邻居

4.5 路由重分布 (重分布的概念:将一种路由选择协议获悉的网络告知另一种 路由选择协议,以便网络中每台工作站能到达其他的任何一台工作 站,这一过程被称为重分布。) 4.5.1 路由协议的管理距离 Cisco 路由缺省的管理距离如表 4-5 所示。 表 4-5 Cisco 路由缺省的管理距离(AD) 路由协议 管理距离 路由协议 管理距离 直连接口 OSPF 110 *静态路由 1 IS-IS 115 EIGRP 汇总路 由 5 RIP 120 外部 BGP 20 EGP 140 EIGRP 90 外部 EIGRP 170 IGRP 100 内部 BGP 200 备注:静态路由使用接口替代下一跳地址时,目的网络被认为是直 连网络,即管理距离为 0 4.5.2 路由重分布的默认度量值 路由重分布的默认度量值如图 4-6 所示。 表 4-6 路由重分布的默认度量值 路由协议 默认度量值 RIP 其它路由分配进其中时,默认为无限大 EIGRP 其它路由分配进其中时,默认为无限大 OSPF 其它路由分配进其中时,默认为 20;除了 BGP 为 1

IS-IS 其它路由分配进其中时,默认为 0 BGP 其它路由分配进其中时,默认为 IGP 本身 metric 4.5.3 各种路由重分布配置命令 (1) OSPF 重分布 R(config)#router ospf 1 R(config-router)#redistribute eigrp 100 metric 30 metric-type 1 subnets R(config-router)# redistribute rip subnets 注:subnets 参数为重分配子网,不加即只重分配主类地址 (2) EIGRP 重分布 R(config)#router eigrp 100 R(config-router)#redistribute ospf 1 metric 10000 100 255 1 1500 注:参数为 Bandwidth、delay、reliability、loading 和 mtu R(config-router)#redistribute rip metric 10000 100 255 1 1500 注:分配进 eigrp 的 metric 可固定为 10000 100 255 1 1500 (3) RIP 重分布 R(config)#router rip R(config-router)#redistribute eigrp 100 metric 2 R(config-router)# redistribute ospf 1 metric 2 注:rip 以跳数作度量,最大为 15 跳 (4) 多进程的 EIGRP 与 ospf 间的重分配配 R(config)#router ospf 1 R(config-router)#redistribute eigrp 100 subnets metric-type 1 R(config-router)# redistribute eigrp 200 subnets R(config-router)#default-metric 30

Default-metric 的作用是在用 redistribute 时没有指定 R(config)#router eigrp 100 R(config-router)# redistribute eigrp 200 R(config-router)# redistribute ospf 1 10000 100 255 1 1500 R(config)#router eigrp 200 R(config-router)# redistribute eigrp 100 R(config-router)# redistribute ospf 1 10000 100 255 1 1500 注:不同的 eigrp 自治系统间,都有着自己独立的数据库,所 以它们这间路由的学习须重分配 (5) IS-IS 与 RIP 间的分配 R(config)#router rip R(config-router)#redistribute isis level-1-2 metric 2 (isis 须指定级别) R(config)#router isis R(config-router)#net 49.00001.0000.0123.0011.00 R(config-router)#redistribute rip metric 5 metric-type internal/external level -2 注:isis 重分配 metric-type 内部和外部,度量起始值不同。 默认为内部类型,从基数 0 开始,外部从基数 64 开始!上面为 internal, metric 为 5。则当为 external,metric 为 64+5=69, 若没指定 metric,则为 64! (6) 静态路由和直连网络的重分配 R(config)#router rip R(config-router)#redistribute connected metric 1 R(config)#router rip R(config-router)#redistribute static metric 1 R(config)#ip route 10.1.2.0 255.255.255.0 10.1.4.1 R(config)#ip route 10.1.2.0 255.255.255.0 null 0 注: 作为无类别的路由重分配到有类网络 rip 时,与其接口掩 码不一致,致使 10.1.2.160/28 10.1.2.224/28 无法被重分配, 而此时用静态路由作汇总地址 10.1.2.0/24 作为通告,重分配 进 rip.

汇总地址都有一条路由指向空接口,以避免环路,所以此时也 应添加一条指向 null 0 的路由! 4.5.4 技能训练 配置路由重分布 实验如图 4-17 所示。 图 4-17 实验图 实验步骤 (1) 配置计算机的 IP 地址及网关 ①配置计算机 PC1 PC1>ipconfig IP Address......................: 192.168.1.1 Subnet Mask.....................: 255.255.255.0 Default Gateway.................: 192.168.1.254 ② 配置计算机 PC2

Router(config)#hostname R1 PC2>ipconfig IP Address......................: 192.168.2.1 Subnet Mask.....................: 255.255.255.0 Default Gateway.................: 192.168.2.254 ③ 配置计算机 PC3 PC3>ipconfig IP Address......................: 192.168.3.1 Subnet Mask.....................: 255.255.255.0 Default Gateway.................: 192.168.3.254 (2) 配置路由器端口的 IP 地址 ①配置 R1 的接口的 IP 地址 进入配置模式,并为路由器命名 ① Router>en Router#conf t Router(config)#hostname R1 配置接口 f0/0 的 IP 地址 ② R1(config)#int f0/0 R1(config-if)#ip address 192.168.1.254 255.255.255.0 R1(config-if)#no shutdown 配置接口 s4/0 的 IP 地址 ③ R1(config-if)#int s4/0 R1(config-if)#ip address 192.168.4.249 255.255.255.0 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown ② 配置 R2 的接口的 IP 地址 进入配置模式,并为路由器命名 ① Router>EN Router#conf t Router(config)#hostname R2

R2(config-if)#ip address 192.168.2.254 255.255.255.0 ② R2(config)#int f0/0 R2(config-if)#ip address 192.168.2.254 255.255.255.0 R2(config-if)#no shutdown 配置接口 s3/0 的 IP 地址 ③ R2(config-if)#int s3/0 R2(config-if)#ip address 192.168.4.250 255.255.255.252 R2(config-if)#no shutdown 配置接口 s4/0 的 IP 地址 ④ R2(config-if)#int s4/0 R2(config-if)#ip address 192.168.4.253 255.255.255.252 R2(config-if)#clock rate 64000 R2(config-if)#no shutdown ③ 配置 R3 的接口的 IP 地址 进入配置模式,并为路由器命名 ① Router>en Router#conf t Router(config)#hostname R3 配置接口 s3/0 的 IP 地址 ② R3(config)#int s3/0 R3(config-if)#ip address 192.168.4.254 255.255.255.252 R3(config-if)#no shutdown 配置接口 f0/1 的 IP 地址 ③ R3(config-if)#int f0/1 R3(config-if)#ip address 34.1.1.1 255.255.255.252 R3(config-if)#clock rate 64000 R3(config-if)#no shutdown 配置接口 f0/0 的 IP 地址 ④ R3(config-if)#int f0/0 R3(config-if)#ip address 192.168.3.254 255.255.255.0 R3(config-if)#no shutdown

Router(config)#hostname ISP ④ 配置 ISP 的接口的 IP 地址 进入配置模式,并为路由器命名 ① Router>enable Router#conf t Router(config)#hostname ISP 配置接口 f0/0 的 IP 地址 ② ISP(config)#int f0/0 ISP(config-if)#ip address 34.1.1.2 255.255.255.252 ISP(config-if)#no shutdown 配置接口 loop 0 的 IP 地址 ③ ISP(config-if)#int loop 0 ISP(config-if)#ip address 4.1.1.1 255.255.255.0 配置接口 loop 1 的 IP 地址 ④ ISP(config-if)#int loop 1 ISP(config-if)#ip address 5.1.1.1 255.255.255.0 配置接口 loop 2 的 IP 地址 ⑤ ISP(config-if)#int loop 2 ISP(config-if)#ip address 6.1.1.1 255.255.255.0 (3) 在路由器 R1 和 R2 上配置 RIP 路由协议 ①配置 R1 R1(config)#router rip R1(config-router)#network 192.168.4.0 R1(config-router)#version 2 ② 配置 R2 R2(config)#router rip R2(config-router)#network 192.168.4.0 R2(config-router)#version 2 (4) 在路由器 R2 和 R3 上配置 OSPF 路由协议 ①配置 R2 R2(config)#router ospf 1 R2(config-router)#network 192.168.4.252 0.0.0.3 area 0

② 配置 R3 R3(config)#router ospf 1 R3(config-router)#network 192.168.4.252 0.0.0.3 area 0 (5) 在 R3 上配置一条到 ISP 的默认路由 R3(config)#ip route 0.0.0.0 0.0.0.0 34.1.1.2 (6) 在 R3 上配置一条到 4.1.1.0/24 网络的静态路由 R3(config)#ip route 4.1.1.0 255.255.255.0 34.1.1.2 (7) 在 ISP 上配置一条到内网的静态路由 192.168.0.0/16 ISP(config)#ip route 192.168.0.0 255.255.0.0 34.1.1.1 (8) 将 R1 和 R2 的直连路由发布到 RIP ①观察 R1 和 R2 的路由 R1#show ip route C192.168.1.0/24 FastEthernet0/0 is directly connected, 192.168.4.0/24 is variably subnetted, 2 subnets, 2 masks C Serial2/0 192.168.4.0/24 is directly connected, R192.168.4.252/30 [120/1] via 192.168.4.250, 00:00:04, Serial2/0 R2#show ip route C192.168.2.0/24 FastEthernet0/0 is directly connected, 192.168.4.0/30 is subnetted, 2 subnets C 192.168.4.248 is directly connected, Serial2/0 C 192.168.4.252 is directly connected, Serial3/0 ② 将 R1 的直连路由发布到 RIP R1(config)#router rip R1(config-router)#redistribute connected ③ 观察 R2 的路由有什么变化 R2#show ip route

R192.168.1.0/24 [120/1] via 192.168.4.249, 00:00:11, Serial2/0 C192.168.2.0/24 FastEthernet0/0 is directly connected, 192.168.4.0/30 is subnetted, 2 subnets C 192.168.4.248 is directly connected, Serial2/0 C 192.168.4.252 is directly connected, Serial3/0 ④ 将 R2 的直连路由发布到 RIP R2(config)#router rip R2(config-router)#redistribute connected ⑤ 观察 R1 的路由有什么变化 R1#show ip route C192.168.1.0/24 FastEthernet0/0 is directly connected, R192.168.2.0/24 [120/1] via 192.168.4.250, 00:00:20, Serial2/0 192.168.4.0/24 is variably subnetted, 2 subnets, 2 masks C Serial2/0 192.168.4.0/24 is directly connected, R192.168.4.252/30 [120/1] via 192.168.4.250, 00:00:07, Serial2/0 (9) 将 R3 上的直连路由、默认路由和静态路由发布到 OSPF ①查看 R2 上的路由 R2#show ip route R192.168.1.0/24 [120/1] via 192.168.4.249, 00:00:11, Serial2/0 C192.168.2.0/24 FastEthernet0/0 is directly connected, 192.168.4.0/30 is subnetted, 2 subnets C 192.168.4.248 is directly connected, Serial2/0 C 192.168.4.252 is directly connected, Serial3/0 ② 发布直连路由

R3(config)#router ospf 1 R3(config-router)#redistribute connected subnets ③ 发布静态路由 R3(config)#router ospf 1 R3(config-router)#redistribute static subnets ④ 发布默认路由 R3(config)#router ospf 1 R3(config-router)#default-information originate ⑤ 查看 R2 上的路由 R2#show ip route 4.0.0.0/24 is subnetted, 1 subnets O E24.1.1.0 [110/20] via 192.168.4.254, 00:00:03, Serial3/0 34.0.0.0/30 is subnetted, 1 subnets O E234.1.1.0 [110/20] via 192.168.4.254, 00:00:03, Serial3/0 R192.168.1.0/24 [120/1] via 192.168.4.249, 00:18:24, Serial2/0 C192.168.2.0/24 FastEthernet0/0 is directly connected, O E2 192.168.3.0/24 00:00:03, Serial3/0 [110/20] via 192.168.4.254, 192.168.4.0/30 is subnetted, 2 subnets C 192.168.4.248 is directly connected, Serial2/0 C 192.168.4.252 is directly connected, Serial3/0 O*E2 0.0.0.0/0 [110/1] via 192.168.4.254, 00:00:03, Serial3/0 (10) 将 R2 的直连路由发布到 OSPF ①查看 R3 上的路由 R3#show ip route 4.0.0.0/24 is subnetted, 1 subnets S 4.1.1.0 [1/0] via 34.1.1.2

34.0.0.0/30 is subnetted, 1 subnets C 34.1.1.0 is directly connected, Serial3/0 C192.168.3.0/24 FastEthernet0/0 is directly connected, 192.168.4.0/30 is subnetted, 1 subnets C 192.168.4.252 is directly connected, Serial2/0 S* 0.0.0.0/0 [1/0] via 34.1.1.2 ② 将 R2 的直连路由发布到 OSPF R2(config)router ospf 1 R2(config-router)#redistribute connected subnets ③ 查看 R3 上的路由有何变化? R3#show ip route 4.0.0.0/24 is subnetted, 1 subnets S 4.1.1.0 [1/0] via 34.1.1.2 34.0.0.0/30 is subnetted, 1 subnets C 34.1.1.0 is directly connected, Serial3/0 O E2 192.168.2.0/24 00:01:26, Serial2/0 [110/20] via 192.168.4.253, C192.168.3.0/24 FastEthernet0/0 is directly connected, 192.168.4.0/30 is subnetted, 1 subnets C 192.168.4.252 is directly connected, Serial2/0 S* 0.0.0.0/0 [1/0] via 34.1.1.2 结论 R3 上获得了 R2 的直连路由,证明 R2 的直连路由在 OSPF 上 发送成功 (11) 在 R2 上实现 RIP 和 OSPF 路由相互发布 ①查看 R1 上的路由 ④ R1#show ip route C192.168.1.0/24 FastEthernet0/0 is directly connected, R 192.168.2.0/24 [120/1] via 192.168.4.250,

00:18:42, Serial2/0 192.168.4.0/24 is variably subnetted, 2 subnets, 2 masks C Serial2/0 192.168.4.0/24 is directly connected, R192.168.4.252/30 [120/1] via 192.168.4.250, 00:00:18, Serial2/0 ② 在 R2 上将 OSPF 路由发布到 RIP R2(config)#router rip R2(config-router)#redistribute ospf 1 metric 2 ③ 查看 R1 上的路由有什么变化 R1#show ip route 4.0.0.0/24 is subnetted, 1 subnets R4.1.1.0 [120/2] via 192.168.4.250, 00:00:11, Serial2/0 34.0.0.0/30 is subnetted, 1 subnets R34.1.1.0 [120/2] via 192.168.4.250, 00:00:11, Serial2/0 C192.168.1.0/24 FastEthernet0/0 is directly connected, R192.168.2.0/24 [120/1] via 192.168.4.250, 00:22:31, Serial2/0 R192.168.3.0/24 [120/2] via 192.168.4.250, 00:00:11, Serial2/0 192.168.4.0/24 is variably subnetted, 2 subnets, 2 masks C Serial2/0 192.168.4.0/24 is directly connected, R192.168.4.252/30 [120/1] via 192.168.4.250, 00:00:25, Serial2/0 R*0.0.0.0/0 [120/2] via 192.168.4.250, 00:00:11, Serial2/0 ④ 查看 R3 上的路由

R3#show ip route 4.0.0.0/24 is subnetted, 1 subnets S 4.1.1.0 [1/0] via 34.1.1.2 34.0.0.0/30 is subnetted, 1 subnets C 34.1.1.0 is directly connected, Serial3/0 O E2 192.168.2.0/24 00:01:26, Serial2/0 [110/20] via 192.168.4.253, C192.168.3.0/24 FastEthernet0/0 is directly connected, 192.168.4.0/30 is subnetted, 1 subnets C 192.168.4.252 is directly connected, Serial2/0 S* 0.0.0.0/0 [1/0] via 34.1.1.2 ⑤ 在 R2 上将 RIP 路由发布到 OSPF R2(config)#router ospf 1 R2(config-router)#redistribute rip subnets ⑥ 查看 R3 上的路由有什么变化 R3#show ip route 4.0.0.0/24 is subnetted, 1 subnets S 4.1.1.0 [1/0] via 34.1.1.2 34.0.0.0/30 is subnetted, 1 subnets C 34.1.1.0 is directly connected, Serial3/0 O E2 192.168.1.0/24 00:00:08, Serial2/0 [110/20] via 192.168.4.253, O E2 192.168.2.0/24 00:01:26, Serial2/0 [110/20] via 192.168.4.253, C192.168.3.0/24 FastEthernet0/0 is directly connected, 192.168.4.0/30 is subnetted, 2 subnets O E2192.168.4.248 [110/20] via 192.168.4.253, 00:00:08, Serial2/0 C 192.168.4.252 is directly connected, Serial2/0 S* 0.0.0.0/0 [1/0] via 34.1.1.2

4.6 独臂路由配置 VLAN(虚拟局域网)技术是路由交换中非常基础的技术。在网 络管理实践中,通过在交换机上划分适当数目的 vlan,不仅能有 效隔离广播风暴,还能提高网络安全系数及网络带宽的利用效率。 划分 vlan 之后,vlan 与 vlan 之间是不能通信的,只能通过路由 或三层交换来实现。我们知道路由器实现路由功能通常是数据报从 一个接口进来然后另一个接口出来,现在路由器与交换机之间通过 一条主干现实通信或数据转发,也就是说路由器仅用一个接口实现 数据的进与出,因为我们形象地称它为单臂路由。单臂路由是解决 vlan 间通信的一种廉价而实用的解决方案。 4.6.1 独臂路由的接口配置 取消 IP 地址,并打开接口 R(config)#int 接口 R(config-if)#no ip address R(config-if)#no shutdown 4.6.2 子接口配置 将子接口与 VLAN 关联,为子接口添加 IP 地址 R(config)#int 子接口 R(config-subif)#encapsulation dot1q vlan-id R(config-subif)#ip address ip-address submask 4.6.3 技能训练 配置独臂路由 实验拓扑图 实验如图 4-18 所示。

ISP(config-if)#ip address 10.1.1.1 255.255.255.0 图 4-18 实验图 实验步骤 (1) 按拓扑图连接路由交换设备(略) (2) 配置计算机的 IP 地址(略) (3) 配置路由器端口的 IP 地址 ①配置 ISP 的 IP 地址 ①配置 loop 0 接口 ISP(config)#int loop 0 ISP(config-if)#ip address 10.1.1.1 255.255.255.0 配置 loop 1 接口 ② ISP(config-if)#int loop 1 ISP(config-if)#ip address 20.1.1.1 255.255.255.0 配置 s2/0 接口 ③ ISP(config-if)# int s3/0 ISP(config-if)#ip address 1.1.1.2 255.255.255.0 ISP(config-if)#no shutdown ② 配置 R 的 IP 地址

R(config-if)#ip address 1.1.1.1 255.255.255.0 R(config)#int s4/0 R(config-if)#ip address 1.1.1.1 255.255.255.0 R(config-if)#clock rate 64000 R(config-if)#no shutdown (4) 配置 R 到互联网的默认路由 R(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 (5) 配置 ISP 到内网的静态路由 ISP(config)#ip route 192.168.1.0 255.255.255.0 1.1.1.1 (6) 在交换机上创建 VLAN 和将端口划分到相应 VLAN ①创建 VLAN ①创建 VLAN 10 SW(config)#vlan 10 SW(config-vlan)#name glbm 创建 VLAN 20 ② SW(config-vlan)#vlan 20 SW(config-vlan)#name kybm ② 将端口划分到相应 VLAN ①为 VLAN 10 分配接口 SW(config)#int range f0/1 , f0/6 - 10 SW(config-if-range)#switchport mode access SW(config-if-range)#switchport access vlan 10 为 VLAN 20 分配接口 ② SW(config-if-range)#int range f0/2 , f0/11 - 15 SW(config-if-range)#switchport mode access SW(config-if-range)#switchport access vlan 20 ③查看交换机的 VLAN 配置 (7) 配置交换机和路由器相连的中继线路以及将路由器的子接 口与 VLAN 关联 ①将交换机的 F0/3 端口配置成中继端口 SW(config)#int f0/3 SW(config-if)#switchport mode trunk

②在路由器 R 上配置 F0/1 的子接口,并将子接口与 VLAN 关 联 ①开启端口 f0/1 R(config)#int f0/1 R(config-if)#no shutdown R(config-if)#exit 配置连接 VLAN 10 的子接口 f0/1.10 ② R(config)#int f0/1.10 R(config-subif)#encapsulation dot1q 10 R(config-subif)#ip 255.255.255.192 address 192.168.1.62 R(config-subif)#exit 配置连接 VLAN 20 的子接口 f0/1.20 ③ R(config)#int f0/1.20 R(config-subif)#encapsulation dot1q 20 R(config-subif)#ip 255.255.255.192 address 192.168.1.126 R(config-subif)#exit ③ 查看路由器 R 的端口配置 R#show ip int brief ④ 查看路由器 R 的路由 R#show ip route (8) 验证配置结果 验证各计算机之间是否相通 验证计算机与 ISP 是否相通 第 5 章 NAT、PPP 及 ACL 配置与管理 学习目标 (1)掌握路由器的标准访问列表的配置 (2)掌握路由器的扩展访问列表的配置 (3)掌握路由器的 NAT 配置 (4)掌握路由器的 PPP 认证配置

5.1 访问控制列表的配置 网络应用与互联网的普及在大幅提高企业的生产经营效率的同 时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干 事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网 络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。 还有就是数据流量的控制都离不开 ACL 访问控制列表,如:只允 许端口下的用户只能访问特定的服务器网段,只允许用户访问单个 网页服务器,禁止 VLAN 之间的互相访问,对于两台计算机主机 之间实现单向访问控制等。还有就是现在电信,联通实现的 80 端 口用户出口关闭,这些都需要在路由器上实施 ACL,因此,我们 本次训练将介绍 ACL 的访问控制列表,介绍 ACL 的基本配置和扩 展配置。 5.1.1 访问控制列表的概念和作用 访问控制列表在路由器中是一个可选机制,可以配置成过滤器 来控制数据包,以决定该数据包是继续向前传递到它的目的地还是 丢弃。 5.1.2 访问控制列表的分类 (1)标准访问控制列表 (2)扩展访问控制列表 这样在以后的修改中也是很方便的。 5.1.3 访问控制列表的特点 (1)它是判断语句,只有两种结果,要么是拒绝(deny),要么是 允许(permit); (2)它按照由上而下的顺序处理列表中的语句; (3)处理时,不匹配规则就一直向下查找,一旦找到匹配的语 句就不再继续向下执行; (4)在思科中默认隐藏有一条拒绝所有的语句,也就默认拒绝 所有(any);

由上面的特点可以总结出,访问控制列表中语句的顺序也是非 常重要的,另外就是所配置的列表中必须有一条允许语句。 5.1.4 访问控制列表的配置步骤 注意:访问控制列表只能过滤流经路由器的流量,对路由器自 身发出的数据包不起作用,并且一个访问控制列表中至少有一条允 许语句。 (1)标准访问控制列表的格式 access-list [list number| word] [permit|deny] [source address] [wildcard mask] 标准访问控制列表的参数说明如表 5-1 所示 表 5-1 标准访问控制列表的参数 参数 参数说明 list number|word 列表序列号或者命名 Permit|deny 允许或者拒绝 Source address 源 IP 地址 wildcard mask 掩码,如果不使用掩码,则使 用 关 键 字 Host , 例 : host 192.168.2.4 (2)扩展访问控制列表的格式 access-list [list number| word] [permit | deny] [protocol | protocol key word] [source address] [source-swidcard mask][sourceport][destinationaddress] [destination-wildceard mask] [destination port] (3)应用访问控制列表: ①首先要进入接口模式 ②ip access-group access-list-number {in|out}

(3)配置 R1 到 ISP 的默认路由和 ISP 到 R1 的汇总静态路由 ③配置 R1 到 ISP 的默认路由 5.1.5 技能训练 配置访问控制列表 实验如图 5-1 所示。 图 5-1 实验图 实验步骤 (1)配置计算机和服务器的 IP 地址(略) (2)配置路由器端口的 IP 地址(略) (3)配置 R1 到 ISP 的默认路由和 ISP 到 R1 的汇总静态路由 ③配置 R1 到 ISP 的默认路由 R1(config)#ip route 0.0.0.0 0.0.0.0 213.1.1.2 ④配置 ISP 到 R1 的汇总静态路由 ISP(config)#ip route 192.168.0.0 255.255.0.0 213.1.1.1 ⑤测试配置结果: 所有计算机能够访问 1.1.1.1 和 2.2.2.2 (4)配置外网不能访问公司服务器 192.168.2.1 ⑥创建访问控制列表 R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255 ⑦将访问列表应用到端口

R1(config)#ip access-group 1 out R1(config)#int f0/1 R1(config)#ip access-group 1 out ⑧测试配置 isp 无法 ping 通 192.168.2.1 (7)配置公司员工不能在上班时间访问除 1.1.1.1 之外的外网 ①创建访问控制列表 100 ①允许访问 1.1.1.1 R1(config)#access-list 100 permit ip any host 1.1.1.1 ②允许经理访问外网 R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.15 any ③允许工作时间外访问外网 R1(config)#access-list 100 permit ip any any time-range worktime ②定义时间范围 worktime R1(config)#time-range worktime R1(config- time-range)#absolute start 8:00 1 oct 2010 end 18:00 30 dec 2020 ①定义绝对时间 R1(config- time-range)#periodic daily 0:00 to 8:00 ②定义周期性时间段(非上班时间) R1(config- time-range)#periodic daily 17:00 to 23:59 ③将访问列表应用到端口 R1(config)#int s4/0 R1(config-if)#ip access-group 100 out ④测试配置结果: 修改 R1 路由器的时间来测试经理和员工的计算机是否能够 ping 通 1.1.1.1 和 2.2.2.2 时间 人员 是否 ping 通 是否 ping 通 1.1.1.12.2.2.2 2010 年 9 月 任何 员工

时间 经理 员工 2010 年 10 月 3 点 经理 员工 2010 年 10 月 9 点 经理 员工 2010 年 10 月 17 点 经理 员工 2010 年 10 月 19 点 经理 5.2 NAT NPAT 的配置 现在我们在一个局域网内可以接入互联网,而局域网很有可能 只有一个公网 IP 地址,其他的计算机 IP 都是使用的私有 IP 地址, 这些私有的 IP 要想接入互联网,则需要使用 NAT 地址转换才能接 入互联网,这就需要我们进行 NAT 的配置,本次训练我们就是对 NAT 进行介绍并进行练习。 5.2.1 NAT 概念 简单的说,NAT 就是在局域网内部网络中使用内部地址,而当 内部节点要与外部网络进行通讯时,就在网关(可以理解为出口, 打个比方就像院子的门一样)处,将内部地址替换成公用地址,从 而在外部公网(internet)上正常使用,NAT 可以使多台计算机共 享 Internet 连接,这一功能很好地解决了公共 IP 地址紧缺的问题。

Router#configure terminal 5.2.2 NAT 分类 NAT(Static NAT) (2)动态地址 NAT(Pooled NAT) (3)网络地址端口转换 NAPT(Port-Level NAT) (1)静态 5.2.3 技能训练 1 配置静态 NAT 配置拓扑图如图 5-4 所示。 图 5-4 配置拓扑图 (1)路由器 R1 配置 Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R1 R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address 192.168.1.254 255.255.255.0 R1(config-if)#no shutdown R1(config)#interface serial 2/0

R1(config-if)#ip address 202.96.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#clock rate 64000 R1(config)#ip nat inside source static 192.168.1.1 202.96.1.1 //配置静态映射,在内部地址 192.168.1.1 和合法地 址 202.96.1.1 之间建立静态转换 R1(config)#ip nat inside source static 192.168.1.2 202.96.1.2 //配置静态映射 R1(config)#interface fastEthernet 0/0 R1(config-if)#ip nat inside //配置 NAT 的内部接口 R1(config)#interface serial 2/0 //配置 NAT 的外部接口 R1(config-if)#ip nat outside R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary R1(config-router)#network 202.96.1.0 (2)路由器 R2 配置 R2(config)#interface serial 3/0 R2(config-if)#ip address 202.96.1.2 255.255.255.0 R2(config-if)#no shutdown R2(config)#interface loopback 0 R2(config-if)#ip address 2.2.2.2 255.255.255.0 R2(config)#router rip R2(config-router)#version 2 R2(config-router)#no auto-summary R2(config-router)#network 202.96.1.0 R2(config-router)#network 2.0.0.0 (3)显示结果: R1#show ip route 2.0.0.0/24 is subnetted, 1 subnets R2.2.2.0 [120/1] via 202.96.1.2, 00:00:05, Serial2/0 C192.168.1.0/24 is directly connected, FastEthernet0/0 C202.96.1.0/24 is directly connected, Serial2/0

R1#debug ip nat IP NAT debugging is on R1# NAT: s=192.168.1.1->202.96.1.1, d=2.2.2.2[0] NAT*: s=2.2.2.2, d=202.96.1.1->192.168.1.1[0] NAT: s=192.168.1.2->202.96.1.2, d=2.2.2.2[0] NAT*: s=2.2.2.2, d=202.96.1.2->192.168.1.2[0] R1#show ip nat translation Pro Inside globalInside localOutside localOutside global --- 202.96.1.1192.168.1.1 ------ --- 202.96.1.2192.168.1.2 测试结果如图 5-5、5-6 所示。 图 5-5 pc1 测试结果

图 5-6 pc2 测试结果 5.2.4 技能训练 2 配置动态 NAT 动态 NAT 配置的拓扑图如图 5-7 所示。 图 5-7 配置拓扑图 (1)R1 配置 Router>enable Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R1 R1(config)# R1(config)#end %SYS-5-CONFIG_I: Configured from console by console R1#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] R1#configure t Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address 192.168.1.254 255.255.255.0 R1(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R1(config-if)#exit R1(config)#interface serial 2/0 R1(config-if)#ip address 202.96.1.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary R1(config-router)#network 202.96.1.0 R1(config)#ip nat pool TIANXUAN 202.96.1.3 202.96.1.100 netmask 255.255.255.0 // 设置合法地址池,名为 TIANXUAN, 地址范围为 202.96.1.3~202.96.1.1000,子网掩码为 255.255.255.0 R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255 //

定义标准访问列表 1,指出 192.168.1.0/24 的本地地址进行 NAT 转换 R1(config)#ip nat inside source list 1 pool TIANXUAN // 对访问列表 1 中设置的本地地址,应用 TIANXUAN 地址池进行动态 地址转换 R1(config)#interface fastEthernet 0/0 R1(config-if)#ip nat inside R1(config-if)#exit R1(config)#interface serial 2/0 R1(config-if)#ip nat outside R1(config)#^Z %SYS-5-CONFIG_I: Configured from console by console R1#show ip route (2)R2 配置 Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R2 R2(config)# R2(config)#end R2#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] R2(config)#interface serial 3/0 R2(config-if)#ip address 202.96.1.2 255.255.255.0 R2(config-if)#no shutdown R2(config)#interface loopback 0 R2(config-if)#ip address 2.2.2.2 255.255.255.0 R2(config)#router rip R2(config-router)#version 2

R2(config-router)#no auto-summary R2(config-router)#network 2.0.0.0 R2(config-router)#network 202.96.1.0 R2#ping 2.2.2.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/16/16 ms R2#ping 202.96.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 202.96.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 31/31/32 ms R2#ping 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) (3)小结 关键命令: R1(config)#ip nat pool TIANXUAN 202.96.1.3 202.96.1.100 netmask 255.255.255.0 R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255 R1(config)#ip nat inside source list 1 pool TIANXUAN R1(config)#interface fastEthernet 0/0 R1(config-if)#ip nat inside R1(config-if)#exit R1(config)#interface serial 2/0

R1(config-if)#ip nat outside R1(config-if)#exit 测试结果如图 5-8、5-9 所示。 图 5-8 pc2 的测试结果 图 5-9 pc4 的测试结果 说明: 动态地址池的 IP 地址应为合法地址,可能实际中不可能 申请了这么多的 IP 地址。那就把内部本地 IP 映射到内部全局的一 个合法 IP 上。 R1(config)#interface fastEthernet 0/0

R1(config-if)#ip nat inside R1(config)#interface serial 2/0 R1(config-if)#ip nat outside R1(config)#ip nat pool TX 202.96.1.1 202.96.1.1 netmask 255.255.255.0 R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255 R1(config)#ip nat inside source list 1 pool TX overload//overload 为参数,表示复用公用地址 5.2.5 技能训练 3 配置动态 NAPT 1.动态 NAPT 的配置的拓扑图 动态 NAPT 的配置拓扑如图 5-10 所示。 图 5-10 动态 NAPT 的配置拓扑 2、配置信息: R0>en R0#conf t R0(config)#int f0/0 R0(config)#ip nat inside/ /定义 f0/0 为内网接口 R0(config)#int s0/1/0 R0(config)#ip nat outside/ /定义 f0/0 为外网接口 R0(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2/ /配置默认 路由 R0(config)#ip nat pool to-internet 1.1.1.5 1.1.1.5 netmask 255.255.255.0 / /定义内部全局地址池

R0(config)#access-list 10 permit 10.10.10.0 0.0.0.255/ /定义 允许转换的地址 R0(config)#ip nat inside source list 10 pool to-internet overload / /指 定内部本地地址调用转换地址池 5.3 PAP CHAP 配置 在 PPP 的点对点的通信中,我们可以进行身份认证,这个实验 对于掌握路由器的高级功能的用户是有用的,读者可以根据我们的 介绍进行相关的配置。 5.3.1 PAP 认证过程 PPP 中的认证方式有 pap 和 chap 两种,这两种认证既可以单独 使用也可以结合使用。并且既可以进行单向认证也可以进行双向认 证,pap 是两次握手,chap 是三次握手。 (1)认证首先由被认证方发起认证请求,将自己的用户名和密 码以明文的方式发送给主认证方。 (2)主认证方接受请求,并在自己的本地用户数据库里查找是 否有对应的条目,如果有就接受请求。如果没有,就拒绝请求。 5.3.2 Chap 认证过程 (1)认证首先由主认证方发起认证请求,向被认证方发送“挑 战”字符串(一些经过摘要算法加工过的随机序列)。 (2)被认证方接到主认证方的认证请求后,将用户名和密码(这 个密码是根据“挑战”字符串进行 MD5 加密的密码)发回给主认 证方。 (3)主认证方接收到回应“挑战”字符串后,在自己的本地用 户数据库中查找是否有对应的条目,并将用户名对应的密码根据 “挑战”字符串进行 MD5 加密,然后将加密的结果和被认证方发 来的加密结果进行比较。如果两者相同,则认为认证通过,如果 不同则认为认证失败

5.3.5 技能训练 1 配置路由器广域网 PPP 封装 PAP 验证 (1)单向认证 (2)双向认证 5.3.4 CHAP 认证配置命令 (1)单向认证 (2)双向认证 5.3.5 技能训练 1 配置路由器广域网 PPP 封装 PAP 验证 Router-A Router-B 1、实验拓扑 实验拓扑如图5-13所示 图5-13 PAP认证实验拓扑图 2.实验配置表如表5-1所示。 表5-3路由器的基本配置表

接口S1/1 DCE 帐号RouterA 接口S1/0 DTE IP 地址 192.168.1.1 IP 地址 192.168.1 密码 digitalchi naB 帐号RouterB 密码 digitalchinaA 3、实验步骤 (1) Router-A 的配置 Router>enable!进入特权模式 Router #config!进入全局配置模式 Router _config#hostname Router-A!修改机器名 Router-A_config#username RouterB password digitallchinaB!设置 帐号密码 Router-A_config#interface s1/1!进入接口模式 Router-A_config_s1/0#ip address 192.168.1.1 255.255.255.0 !配置 IP 地址 Router-A_config_s1/1#encapsulation PPP !封装 PPP 协议 Router-A_config_s1/0#ppp authentication pap !设置验证方 式 Router-A_config_s1/0#ppp pap sent-username RouterA digitalchinaA !设置发送给对方验证的帐号密码 Router-A_config_s1/0#physical-layer speed 64000 !配置 DCE 时 钟频率 Router-A_config_s1/0#no shutdown Router-A_config_s1/0#^Z! ctrl + z 进入特按 权模式 (2)查看配置 Router-A#show interface s1/1 !查看接口状态 (3)Router-B 的配置 Router>enable!进入特权模式 Router #config!进入全局配置模 式 Router _config#hostname Router-B!修改机器名 Router-B_config#username RouterA password digitalchinaA !设 置帐号密码 Router-B_config#interface s1/0!进入接口模式 Router-B_config_s1/0#ip address 192.168.1.2 255.255.255.0 !配置

IP 地址 Router-B_config_s1/1#encapsulation PPP !封装 PPP 协议 Router-A_config_s1/0#ppp authentication pap !设置验证方 式 Router-A_config_s1/0#ppp pap sent-username RouterB digitalchinaB Router-B_config_s1/0#no shutdown !设置发送给对方验证的帐号密码 Router-B_config_s1/0#^Z! ctrl + z 进入特按 权模式 (4)查看配置 Router-A#show interface s1/0!查看接口状态 Serial1/0 is (5)测试连通性 Router-A#ping 192.168.1.2 PING 192.168.1.2 (192.168.1.2): 56 data bytes !!!!! --- 192.168.1.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 20/22/30 ms (6)注意事项 ①帐号密码一定要交叉对应,发送的帐号密码要和对方帐号数 据库中的帐号密码对应 ②不要忘记配置 DCE 的时钟频率

5.3.6 技能训练 2 配置路由器广域网 PPP 封装 CHAP 验证 1、实验拓扑 实验拓扑如图5-14 所示 图5-14 CHAP认证拓扑图 2、实验配置表如前面的表5-3所示 3、实验步骤 (1) Router-A 的配置 Router>enable!进入特权模式 Router Router #config!进入全局配置模 式 Router Router _config#hostname Router-A !修改机器名 Router-A_config#username RouterB password digitallchina ! 设置帐号密码 Router-A_config#interface s1/1!进入接口模式 Router-A_config_s1/0#ip address 192.168.1.1 255.255.255.0 !配 置 IP 地址 Router-A_config_s1/1#encapsulation PPP !封装 PPP 协议 Router-A_config_s1/0#ppp authentication chap !设 置验证方式 Router-A_config_s1/0#ppp chap hostname RouterA !设置发送 给对方验证的帐号 Router-A_config_s1/0#physical-layer speed 64000 !配置 DCE 时 钟频率 Router-A_config_s1/0#no shutdown Router-A_config_s1/0#^Z! ctrl + z 进入按 特权模式 (2)查看配置 Router-A#show interface s1/1 !查看接口状态 (3)Router-B 的配置 108

Router>enable!进入特权模式 Router Router #config!进入全局配置 模式 Router Router _config#hostname Router-B!修改机器 名 Router-B_config#username RouterA password digitalchina !设 置帐号密码 Router-B_config#interface s1/0!进入接口模式 Router-B_config_s1/0#ip address 192.168.1.2 255.255.255.0 !配 置 IP 地址 Router-B_config_s1/1#encapsulation PPP! 封装 PPP 协议 Router-A_config_s1/0#ppp authentication chap !设置验证方式 Router-A_config_s1/0#ppp chap hostname RouterB !设置发送 给对方验证的帐号 Router-B_config_s1/0#no shutdown Router-B_config_s1/0#^Z!按 ctrl + z 进入 特权模式 (4)查看配置 Router-A#show interface s1/0!查看接口状态 Serial1/0 (5)测试连通性 Router-A#ping 192.168.1.2 PING 192.168.1.2 (192.168.1.2): 56 data bytes !!!!! --- 192.168.1.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 20/22/30 ms (6)注意事项 配置注意事项与配置PAP认证一样。 109

帧中继 Frame Relay 是一种局域网互联的 WAN 协议, 它工作在 OSI 参考模型的物理层和数据链路层。它为跨越多个 第 6 章 帧中继网络及 DHCP 中继配置 学习目标 (1) 掌握帧中继网络的配置 (2) 掌握 DHCP 中继的配置 6.1 帧中继网络 帧中继 Frame Relay 是一种局域网互联的 WAN 协议, 它工作在 OSI 参考模型的物理层和数据链路层。它为跨越多个 交换机和路由器的用户设备间的信息传输提供了快速和有效的 方法。 本训练就介绍一下帧中继,并进行相关的上机操作。 6.1.1 Frame-Relay 基础介绍 FR 是工作在数据链路层的协议,使用的是 HDLC 的一个变种 子集 LAPF(Link Access Procedure for Frame-relay)。它是 面向连接的,采用包交换(packet-switch)技术。FR 采用虚电 路(VC)为终端用户建立连接。有 SVC 和 PVC 两种形式。SVC 指 通信前双方通过信令消息来动态建立链路; PVC而 (永久虚电路) 是预设在交换机里面的。一般情况下 FR 采用的是 PVC。 6.1.2 帧中继工作原理 在 cisco 路由器上,第二层封装默认为 cisco 专有的 HDLC。 要配置帧中继,则必须改为 FR 封装。FR 有两种封装方式: cisco 和 ietf。 6.1.3 FR 配置 FR 配置在串口上进行。当做实验用路由器模拟 FR 交换机时, 必须注意 DCE 一端连在模拟 FR 交换机上。 (1)配置 FR 交换机 110

switch(config)#frame-relay switching 模拟成交换机 //将一台路由器 switch(config)#int s0/0 switch(config-if)#encapsulation frame-relay//配置封装 类型,cisco|ietf,缺省为 cisco switch(config-if)#frame-relay intf-type dce//设置端口 类型,dce|dte switch(config-if)#frame-relay lmi-type cisco//设置管 理类型,cisco|ansi|q933a switch(config-if)#frame-relay route 100 interface s0/1 200 //建立交换表条目 switch(config-if)#clock rate 56000 switch(config-if)#no shut (2)配置用户路由器 IP 地址、配置 FR 封装 ②由于 LMI 类型可以自动发现,路由器上可不配置 ③采用 Inverse-ARP 会自动生成帧中继映射表;若对端路由器 不支持 Inverse-ARP,可以静态设置: ①配置端口 R (config-if)#frame-relay map ip <remoteIP> <DLCI> [broadcast] ④启用子接口 ①配置物理接口 R(config)#int s0 R(config-if)#no ip address//去掉物理接口 IP 子接口 才起作用 R(config-if)#encap frame-relay//物理接口需要帧中继 封装 R(config-if)#frame-relay lmi-type cisco//设置管理 类型 R(config-if)#no shut//物理接口必须 no shut 子接口才 能 up ②再配置 RTC 子接口: 111

R(config)#int s0.1 point-to-point//进入子接口并指 明是点对点类型 R(config-subif)#ip address 192.168.1.2 255.255.255.0 R(config-subif)#frame-relay interface-dlci 200//设 置本地 DLCI 号(显示指定 DLCI 才能用 IARP 自动生成 map, 否则要手动 map) R(config-subif)#exit (3)验证 FR 配置 ①测试连通性:在路由器上互 ping ②查看交换机上虚电路:show frame-relay pvc ③查看交换机交换表:show frame-relay route ④查看路由器上映射表:show frame-relay map ⑤查看路由器 LMI 信息:show frame-relay lmi ⑥查看端口封装:show int s0/0 6.1.4 配置帧中继网络 实验图如图 6-2 所示。 112

frame-relay switching ! interface Serial 3/0 encapsulation frame-relay 图 6-2 点到点模式的帧中继网络 实验步骤 (1)配置计算机 (2)配置帧中继交换机 frame-relay switching ! interface Serial 3/0 encapsulation frame-relay frame-relay intf-type dce frame-relay lmi-type cisco frame-relay route 102 interface Serial 4/0 201 interface Serial 4/0 frame-relay route 201 interface Serial 3/0 102 ///////////////////////////// R1 /// 113

encapsulation frame-relay frame-relay map ip 12.1.1.2 102 broadcast interface Serial 4/0 encapsulation frame-relay frame-relay map ip 12.1.1.2 102 broadcast frame-relay lmi-type cisco ip ospf network broadcast ip address 12.1.1.1 255.255.255.0 clock rate 64000 interface Loopback 0 ip address 10.1.1.254 255.255.255.0 ! router ospf 1 network 10.1.1.0 0.0.0.255 area 0 network 12.1.1.0 0.0.0.255 area 0 //////////////////////////////////// R2 ! interface Serial 3/0 encapsulation frame-relay frame-relay map ip 12.1.1.1 201 broadcast frame-relay lmi-type cisco ip ospf network broadcast ip address 12.1.1.2 255.255.255.0 interface Loopback 0 ip address 192.168.1.254 255.255.255.0 ! router ospf 1 network 12.1.1.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 114

注:在模拟器下使用路由器模拟帧中继交换机 ①启用路由器的帧中继功能 FR(config)#frame-relay switching ②配置接口 s3/0 FR(config)#int s3/0 FR(config-if)#no shutdown FR(config-if)#encapsulation frame-relay FR(config-if)#frame-relay intf-type dce FR(config-if)#frame-relay route 103 int s4/0 301 ③配置接口 s4/0 FR(config-if)#int s4/0 FR(config-if)#no shutdown FR(config-if)#encapsulation frame-relay FR(config-if)#frame-relay intf-type dce FR(config-if)#frame-relay route 301 int s3/0 103 ④在帧中继交换机上查看它的路由表: FR#show frame-relay route Input Intf Output Dlci Input Dlci Status Output Intf Serial4/0 active 301 Serial3/0 103 Serial3/0 active 103 Serial4/0 301 (3)配置点到点模式的帧中继网络 ①配置 R1 的 IP 地址并用帧中继封装 R1(config)#int s4/0 R1(config-if)#no shutdown R1(config-if)#encapsulation frame-relay R1(config-if)#frame-relay inverse-arp R1(config-if)#ip add 13.1.1.1 255.255.255.0 115

R2(config-if)#no shutdown R2(config-if)#encapsulation frame-relay ②配置 R2 的 IP 地址并用帧中继封装 R2(config)#int s3/0 R2(config-if)#no shutdown R2(config-if)#encapsulation frame-relay R2(config-if)#frame-relay inverse-arp R2(config-if)#ip add 13.1.1.3 255.255.255.0 ③测试配置 R1 能 PING 通 R2 和 R3 6.2 DHCP 服务及中继配置 DHCP 是一种动态主机配置协议,通过他可以让客户计算机 的 IP 地址自动获得,而不需要手工指定。有时你的 DHCP 服务 器,和你的 DHCP 客户端,并不是在同一个网段,而是需要 DHCP 给不同的网段主机分配地址,这就需要 DHCP 中继才能实现。 6.2.1 路由器 DHCP 功能 (1)动态主机配置协议(DHCP) (2)DHCP 的特点 6.2.2 DHCP 客户机/服务器的功能 DHCP 客户点的工作原理比服务器要简单得多,它的主要功能 是提交 DHCP 申请,请求 DHCP 服务器租借给他一个 IP 地址,并 接收和使用 DHCP 服务器临时分配给它的 IP 地址进行网络连接。 6.2.3 DHCP 的工作原理 DHCP 服务器可以使一台运行 Windows 系统的个人计算机,也 可以是运行 Unix 系统的专用服务器,还可以是一台路由器或第 三层交换机。DHCP 客户是连在网络上的任意一台计算机或数据 终端。 客户与服务器之间的全部交互过程,均由动态主机配置协议 116

命令格式:R(config)#ip dhcp pool <name> 路由器 DHCP 功能的配置 IP 地址池的子网地址和子网掩码的 命令格式: R(dhcp-config)#network [mask/prefix-length] <network-number> 配置不用于动态分配的 IP 地址的命令格式: R(dhcp-config)#ip DHCP excluded-address low-address [high-address] (3)配置 IP 地址池的默认网关 在 DHCP Pool 配置模式下,使用"default-router address" 命令,命令中网关地址最多运行配置 8 个。 配置 IP 地址池的默认网关的命令格式: R(dhcp-config)#default-router [address2...address8] address (4)配置 IP 地址池的域名系统 配置 IP 地址池的域名,命令格式: R(dhcp-config)#domain-name <name> 配置 IP 地址池的域名服务器的 IP 地址,命令格式: R(dhcp-config)#dns-server [address2...adress8] address (4)路由器 DHCP 功能的配置 IP 地址池的地址租用时间 配置 IP 地址池的地址租用时间,命令格式: R(dhcp-config)#lease {days [hours] [minutes] | infinite} (5)取消地址冲突记录日志 路由器的 DHCP 允许配置 DHCP 数据库代理。DHCP 数据库代理 117

是用于存储 DHCP 绑定信息的一台主机,他可以是 FTP、TFTP 或 者是 RCP 服务器。 命令格式:R(dhcp-config)#no ip DHCP conflict logging 6.2.5 技能训练 配置 DHCP 服务及中继 实验拓扑图 实验如图 6 -3 所示 图 6-3 实验拓扑 实验步骤 (1)配置计算机的 IP 地址 注意计算机的 IP 地址配置为自动获取,设置界面如下图所示 118

DHCP-SERVER(config)#service dhcp (2)配置路由器端口的 IP 地址(略) (3)配置总公司的 DHCP 服务 ①配置 DHCP 服务 ①开启 DHCP DHCP-SERVER(config)#service dhcp ②建立 ip 地址池 zgsIP DHCP-SERVER (config)#ip dhcp pool zgsIP a.地址池的网络段 DHCP-SERVER (dhcp-config)#network 192.168.1.0 255.255.255.0 b.指定网关 DHCP-SERVER (dhcp-config)#default-router 192.168.1.254 c.设置域名服务器的 IP DHCP-SERVER (dhcp-config)#dns-server 172.16.1.1 d.设置域名 DHCP-SERVER (dhcp-config)#domain-name zgs e.设置租用期限 DHCP-SERVER (dhcp-config)#lease infinite 119

DHCP-SERVER (dhcp-config)#exit ③去掉不能分配的地址 DHCP-SERVER (config)#ip dhcp excluded-address 192.168.1.254 DHCP-SERVER (config)#ip dhcp excluded-address 192.168.1.1 ②查看配置结果: DHCP-SERVER #show ip dhcp binding Pool zgsIP Utilization mark (high/low) : 100 / 0 Subnet size (first/next) : 0 / 0 Total addresses : 254 Leased addresses : 1 Pending event : none 1 subnet is currently in the pool : Current index Leased addresses IP address range 192.168.1.3 192.168.1.254 192.168.1.1 - 1 ③提问 PC1 的 IP 地址是多少?域名是多少?DNS 服务器的 IP 地址是多少? ②如何让 PC1 重新获得 IP 地址? (6)配置分公司的 DHCP 的中继代理 ①配置中继代理 ①现在 R(config)#service dhcp R(config)#int f0/0 R(config-if)#ip helper-address 192.168.12.1 ②查看 PC2 获得的 IP 地址 ③提问 120

地址是多少?域名是多少? ②DNS 服务器的 IP 地址是多少? ①IP 121

IPSEC 是一套比较完整成体系的 VPN 技术,它规定了一系 列的协议标准。在原来的 TCP/IP 体系中间,没有包括基于安 第 7 章 IPSEC VPN 和 VRRP 配置 学习目标 (1) IPSEC VPN 的概念 (2) VRRP 的概念 (3) 掌握 IPSEC VPN 的配置方法 (4) 掌握 VRRP 的配置方法 7.1 IPSEC VPN 配置 IPSEC 是一套比较完整成体系的 VPN 技术,它规定了一系 列的协议标准。在原来的 TCP/IP 体系中间,没有包括基于安 全的设计,任何人,只要能够搭入线路,即可分析所有的通 讯数据。IPSEC 引进了完整的安全机制,包括加密、认证和数 据防篡改功能。 同时,因为 Internet 迅速发展,接入越来 越方便,很多客户希望能够利用带宽上网,实现异地网络的 的互连通。 7.1.1 VPN 介绍 VPN 的英文全称是“Virtual Private Network”,翻译过来 就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它 理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通 讯协议为连接在 Internet 上的位于不同地方的两个或多个企业 内部网之间建立一条专有的通讯线路,就好比是架设了一条专线 一样,但是它并不需要真正的去铺设光缆之类的物理线路。 7.1.2 IPSec VPN IPSec VPN 即指采用 IPSec 协议来实现远程接入的一种 VPN 技术,IPSec 全称为 Internet Protocol Security,是由 Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提 供公用和专用网络的端对端加密和验证服务。 122

AH 协议(IP 协议号为 51)提供数据源认证、数据完整性校验 和防报文重放功能,它能保护通信免受篡改,但不能防止窃听, 数据提供完整性保 护。可选择的认证算法 有 MD5 (Message Digest)、SHA-1(Secure Hash Algorithm)等。MD5 算法的计 算速度比 SHA-1 算法快, SHA-1 算法的安全强度比 MD5 算法高。而 7.1.4 ESP 协议 ESP 协议(IP 协议号为 50)提供加密、数据源认证、数据完 整性校验和防报文重放功能。 7.1.5 IPsec 的工作模式 Ipsec 有两种工作模式,分别是 tunnel 模式和 transport 模 式. 7.1.6 IPSec 实现数据安全传输的机制 IPSec 是如何实现数据安全传输的。IPsec 的两个端点被称为 是 IPsec 对等体,要在两个对等体之间实现数据的安全传输就要 在两者之间建立安全关联(Security Association,SA)。SA 是 IPsec 的基础,也是 IPsec 的本质。SA 是通信对等体间对某些要 素的约定,例如,使用哪种协议(AH、ESP 还是两者结合使用)、 协议的封装模式(传输模式和隧道模式)、加密算法(DES、3DES 和 AES)、特定流中保护数据的共享密钥以及密钥的生存周期等。 7.1.7 IPSec 实现阶段 (1)指定兴趣流量: 定义 需要保护的流量 123

(2)IKE 阶段 1: 协商 ISAKMP 参数,生成双向 SA, 用于交换密 钥 (3) 阶段 2: 协商 IPSec 参数, 生成二个单向 SA 数据通道.IKE (4)安全数据传送: 数据通过单向 SA 通道进行安全传送 当 ipsec 隧道生成后,兴趣流量就会经由 ipsec 隧道进行发 送. (5)IPSec 隧道终结 7.1.8 技能训练 配置 IPSEC VPN 实验 实验如图 7-2 所示。 图 7-2 实验图 实验步骤 (1)配置计算机的 IP 地址(略) (2)配置路由器的接口 IP 地址(略) (3)配置默认路由实现 R1 可以访问 R2 ④配置 R1 的默认路由 R1(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.2 ⑤配置 R2 的默认路由 R2(config)#ip route 0.0.0.0 0.0.0.0 20.20.20.2 ⑥测试 R1 能够 ping 通 R2 ⑦提问 124

md5,密钥交换 DH 版本为 2,加密方式为 3des PC1 能不能 PING 通 PC2? (4)在 R1 上配置 IPSEC VPN ⑧配置密钥交换策略 10,要求认证方式和预共享,验证算法为 md5,密钥交换 DH 版本为 2,加密方式为 3des R1(config)#crypto isakmp policy 10 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#hash md5 R1(config-isakmp)#group 2 R1(config-isakmp)#encryption 3des R1(config-isakmp)#exit ⑨配置预共享密钥,预共享密码为 cisco R1(config)#crypto 20.20.20.1 isakmp key 7 cisco address ⑩配置加密转换集 myset,加密方式和 3DES,验证算法为 sha-hmac,采用 AH 和 ESP 混合认证 R1(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac ah-sha-hmac 配 置 访 问 控 制 列 表 100 , 定 义 兴 趣 流 量 , 控 制 对 192.168.1.0/24 到 192.168.2.0/24 网络数据进行加密 R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 配置加密映射图 mymap,绑定接口 ①配置加密映射图 mymap R1(config)#crypto map mymap 10 ipsec-isakmp R1(config-crypto-map)#match address 100 R1(config-crypto-map)#set transform-set myset R1(config-crypto-map)#set peer 20.20.20.1 R1(config-crypto-map)#exit ②将映射图 mymap 绑定到接口 R1(config)#int s4/0 R1(config-if)#crypto map mymap 125

配置密钥交换策略 10,要求认证方式和预共享,验证算法为 md5,密钥交换 DH 版本为 2,加密方式为 3des (5)在 R2 上配置 IPSEC VPN 配置密钥交换策略 10,要求认证方式和预共享,验证算法为 md5,密钥交换 DH 版本为 2,加密方式为 3des R2(config)#crypto isakmp policy 10 R2(config-isakmp)#authentication pre-share R2(config-isakmp)#hash md5 R2(config-isakmp)#group 2 R2(config-isakmp)#encryption 3des R2(config-isakmp)#exit 配置预共享密钥,预共享密码为 cisco R2(config)#crypto 10.10.10.1 isakmp key 7 cisco address 配置加密转换集 myset,加密方式和 3DES,验证算法为 sha-hmac,采用 AH 和 ESP 混合认证 R2(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac ah-sha-hmac 配 置 访 问 控 制 列 表 100 , 定 义 兴 趣 流 量 , 控 制 对 192.168.2.0/24 到 192.168.1.0/24 网络数据进行加密 R2(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 配置加密映射图 mymap,绑定接口 ●配置加密映射图 mymap R2(config)#crypto map mymap 10 ipsec-isakmp R2(config-crypto-map)#match address 100 R2(config-crypto-map)#set transform-set myset R2(config-crypto-map)#set peer 10.10.10.1 R2(config-crypto-map)#exit ●将映射图 mymap 绑定到接口 R2(config)#int s3/0 R2(config-if)#crypto map mymap (7)查看和测试 IPSEC VPN 126

ping 命令从 PC1 ping PC2,测试连通性。 对等体连接。 ①使用 ping 命令从 PC1 ping PC2,测试连通性。 ②Ping 通后使用命令 show crypto isakmp peers 查看建立的 对等体连接。 R1#show crypto isakmp sa ③结论:表示 R1 与 R2 建立了一条 VPN 隧道 7.2 VRRP 配置 7.2.1 VRRP 协议概述 采 用 虚 拟 路 由 冗 余 协 议 ( Virtual Router Redundancy Protocol,简称 VRRP)可以很好的避免静态指定网关的缺陷。 7.2.2 VRRP 工作原理 一个 VRRP 路由器有唯一的标识:VRID,范围为 0—255.该路 由 器 对 外 表 现 为 唯 一 的 虚 拟 MAC 地 址 , 地 址 的 格 式 为 00-00-5E-00-01-[VRID].主控路由器负责对 ARP 请求用该 MAC 地 址做应答。这样,无论如何切换,保证给终端设备的是唯一一致 的 IP 和 MAC 地址,减少了切换对终端设备的影响。 127

最典型的 VRRP 应用如图 7-3 所示,R1、R2 组成一个 VRRP 路 7.2.3 应用实例 图 7-3 典型的 VRRP 应用 最典型的 VRRP 应用如图 7-3 所示,R1、R2 组成一个 VRRP 路 由器组,假设 R1 的处理能力高于 R2,则将 R2 配置成 IP 地址所 有者,PC1、PC2 的默认网关设定为 R1.,则 R1 成为主控路由器, 负责 ICMP 重定向、ARP 应答和 IP 报文的转发;一旦 R1 失败, R2 立即启动切换,成为主控,从而保证了对客户透明的安全切 换。 7.2.4 VRRP 的配置与验证 (8)定义 VRRP 组 Vrrp group-number ip virtual-ip-address (9)配置指定 VRRP 路由器的优先级 Vrrp group-number priority priority-value (10)允许主虚拟路由器失效的情况下切换到备用虚拟路由器 Vrrp group-number preempt (11)查看 VRRP 详细配置信息 Show vrrp all (12)查看 VRRP 简要配置信息 128

Show vrrp interface FastEthernet*/* Show vrrp brief (13)查看 VRRP 接口配置信息 Show vrrp interface FastEthernet*/* 7.2.5 技能训练 VRRP 配置实验 实验如图 7-4 所示。 图 7-4 实验图 实验步骤 (14)配置计算机的 IP 地址(略) (15)配置路由器端口的 IP 地址(略) (16)配置 RIP 路由 ①配置 R1 的 RIP 路由 R1(config)#router RIP R1(config-router)#version 2 R1(config-router)#network 192.168.1.0 R1(config-router)#network 123.0.0.0 ②配置 R2 的 RIP 路由 129

R2(config-router)#version 2 R2(config)#router RIP R2(config-router)#version 2 R2(config-router)#network 192.168.1.0 R2(config-router)#network 123.0.0.0 ③配置 ISP 的 RIP 路由 ISP(config)#router RIP ISP(config-router)#version 2 ISP(config-router)#network 1.0.0.0 ISP(config-router)#network 123.0.0.0 (17)配置 R1 的 VRRP 让 R1 作为主虚拟路由器,R2 为备份虚拟路由器,并在失效时 进行切换 R1(config-if)#int f0/0 R1(config-if)#vrrp 1 ip 192.168.1.253 R1(config-if)#vrrp 1 priority 200 R1(config-if)#vrrp 1 preempt R1(config-if)#vrrp 2 ip 192.168.1.254 R1(config-if)#vrrp 2 priority 100 R1(config-if)#vrrp 2 preempt (18)配置 R2 的 VRRP 让 R2 作为主虚拟路由器,R1 为备份虚拟路由器,并在失效时 进行切换 R2(config-if)#int f0/0 R2(config-if)#vrrp 1 ip 192.168.1.253 R2(config-if)#vrrp 1 priority 100 R2(config-if)#vrrp 1 preempt R2(config-if)#vrrp 2 ip 192.168.1.254 R2(config-if)#vrrp 2 priority 200 R2(config-if)#vrrp 2 preempt (19)测试配置结果 130

InterfaceGrp Pri Time Own Pre State addrGroup addr Master R1#show vrrp brief InterfaceGrp Pri Time Own Pre State addrGroup addr Master Fa0/1 192.168.1.253 1255 3003 192.168.1.253 Y Y Master Fa0/1 192.168.1.254 2100 3609 192.168.1.254 Y Backup R2#show vrrp brief InterfaceGrp Pri Time Own Pre State addrGroup addr Master Fa0/1 192.168.1.253 1100 3609 192.168.1.253 Y Backup Fa0/1 192.168.1.254 2255 3003 192.168.1.254 Y Y Master 第 8 章 Internet 信息服务的配置与管理 学习目标: (1)学会用 Windows 2003 建立 Web 服务器。 (2)了解掌握 Web 服务器配置的主要参数及其作用。 (3)掌握 Web 服务器配置和管理过程。 (4)能够掌握默认网站的基本配置以及原理; (5)能够掌握虚拟目录的基本配置; (6)能够熟练掌握虚拟主机的配置; (7)能够增强网站安全性的基本方法; (8)掌握 FTP 服务的概念、FTP 服务器的配置。 (9)学会 Windows 2003 Server 建立 DHCP 服务器的方法。 (10)学会用 Windows 2003 Server 建立 DNS 服务器。 (12)掌握配置 Windows 2003 邮件服务器的方法。 131

Web 服务器是了为了实现局域网内的网站访问,同时也是 为了实现广域网的网站访问而设计的服务,只有安装并配置了 Web 服务器,才能够正常访问网站程序。Web 服务可以说是现在 互联网上最为常见的一种服务,因为我们上网时最常见的方式是 浏览网页和查资料,即使打游戏也需要配置远端 Web 服务器才能 操作使用。 8.1.1 全球信息网(WWW) 1. WWW 的起源与发展 2. WWW 的工作模式 WWW 为用户提供页面的过程可分为以下三个步骤: (1)浏览器向某个 Web 服务器发出一个需要的页面请求,即 输入一个 Web 地址; (2)Web 服务器收到请求后,在文档中寻找特定的页面,并 将页面传送给浏览器; (3)浏览器收到并显示页面的内容。 8.1.2 IIS 介绍 IIS 的含义是指 Internet 信息服务,Windows 2003 Server、 Windows 2003 Advanced Server 的默认安装都带有 IIS,也可以 在 Windows 2003 安装完毕后加装 IIS。IIS 是微软出品的架设 Web 、FTP 、 SMTP 服务 器 的 一套 整合 软 件 , 捆绑在 Windows 2003/2000 中。 8.1.3 统一资源定位器 URL 在 WWW 上浏览或查询信息,必须在浏览器上输入查询目标的 地址,这就是 URL(Uniform Resource Locator:统一资源定位 器),也称 Web 地址,俗称【网址】。URL 规定了某一特定信息资 源 在 WWW 中 存 放 地 点 的 统 一 格 式 , 即 地 址 指 针 。 例 如 , 132

http://www.microsoft.com 表示微软公司的 Web 服务器地址。 URL 的完整格式如下: 协议+【://】+主机域名(IP 地址)+端口号+目录路径+文件 名 URL 的一般格式:协议+【://】+主机域名(IP 地址)+目录 路径 8.1.4 HTTP 协议 HTTP 是 WWW 的基本协议,即超文本传输协议(Hyper Text Transfer Protocol)。超文本具有极强的交互能力,用户只需单 击文本中的字和词组,即可阅读另一文本的有关信息,这就是超 链接(Hyperlink)。超链接一般嵌在网页的文本或图像中。浏览 器和 Web 服务器间传送的超文本文档都是基于 HTTP 协议实现的, 它位于 TCP/IP 协议之上,支持 HTTP 协议的浏览器称为 Web 浏览 器。除 HTTP 协议外,Web 浏览器还支持其他传输协议,如 FTP、 Gopher 等。 8.1.5 HTML HTML:超文本标记语言,它是制作万维网页面的标准语言, HTML 由两个主要部分构成,首部(head)和主体(body)。HTML 用一对或者几对标记来标志一个元素。 HTML 文档的样式如下: <html> <head> <title>新建网页 1</title> </head> <body> </body> </html> Script:它是一种脚本语言,由一系列的命令组成,IIS 6.0 提供了两种脚本语言:VBScript 和 JavaScript。 133

我们除了可以建立默认站点外,我们还可以建立虚拟目录, 因为 IIS 的默认站点只有一个,而虚拟目录可以建立无限多个。 8.1.6 技能训练 1 配置默认的 Web 站 快速配置默认的 Web 站点的步骤如下: 1. 启动 IIS 管理器 2.配置 IIS。 8.1.7 技能训练 2 创建虚拟目录 我们除了可以建立默认站点外,我们还可以建立虚拟目录, 因为 IIS 的默认站点只有一个,而虚拟目录可以建立无限多个。 8.1.8 技能训练 3 建立新网站的配置 除了前面介绍的默认网站、虚拟目录网站的建立外,我们 还需要掌握建立新网站的方法,这些新网站可以独立运行。 如果想建立新的站点,可以按照 IIS 的向导进行设置。操 作步骤如下: (1)打开【管理工具】,选择【Internet 信息服务(IIS)管 理器】启动, 【Internet 信息服务(IIS)管理器】窗口,【Internet在 信息服务(IIS)管理器】控制台根树中单击【网站】,然后用鼠 标右键单击并选择【新建】|【网站】。 (2)在【欢迎使用网站创建向导】对话框中,单击【下一步】 按钮,出现【网站描述】对话框,在【描述】文本框中输入说明 内容,如图 8-17 所示,单击【下一步】按钮。 (3) 在【IP 地址和端口设置】对话框中输入如图 8-18 所示 的内容。 在 IP 地址下拉菜单中可以选择你的 Web 服务器 IP,默认情况 下应该选择【全部未分配】(通过这个下拉菜单可以查看你是否 134

有公网 IP)。TCP 默认端口是 80,如修改了端口,则需要用 http://ip:端口格式进行浏览。 站点主机头使该站点指定一个域名,如 http://www.a.com/。 可以在一个相同的 IP 地址下指定多个主机头,默认为【无】。 图 8-18 【IP 地址和端口设置】对话框 我们在此说明一下:由于此时,我们配置了主机头,则这个 新站点的访问方式不能以 http://192.168.1.2/这种方式来访 问,我们只能以 http://www.a.com/的形式来访问,为了实现 http://www.a.com/的形式访问,我们还要在 DNS 中建立【a.com】 的域名,然后建立一个主机为【www】,并将这个主机的 IP 地址 指定为这个新站点的网卡的 IP 地址,此处为 192.168.1.2,关 于 DNS 的,我们可以参见前面的相关项目的介绍。 建立新网站的方法,我们输入 http://www.a.com/此时是不 能打开网站的,因为,还没有进行 DNS 配置,所以,可以在 DNS 相关内容学习后,再来完善这个实验。 (4) 单击【下一步】按钮,在【网站主目录】中选择 Web 站点主目录,该目录用于存放主页文件;选中允许匿名访问此站 点,则任何人都可以通过网络访问 Web 站点,如图 8-19 所示。 135

(5)单击【下一步】按钮,在【网站访问权限】窗口中,设 定允许或禁止读取、运行脚本等权限设置,如图 8-20 所示。 图 8-19 网站主目录 (5)单击【下一步】按钮,在【网站访问权限】窗口中,设 定允许或禁止读取、运行脚本等权限设置,如图 8-20 所示。 图 8-20 网站访问权限 (6)单击【下一步】,单击【完成】按钮完成新站点的创建。 136

使用相同的 IP 地址和 TCP 端口、不同的主机头: 下面我们分别进行介绍: 1.通过不同的 IP 地址来访问; 8.1..9 技能训练 4 配置不同的虚拟主机 配置虚拟主机一般有三种方法: 使用不同的 IP 地址; 使用相同的 IP 地址、不同的 TCP 端口; 使用相同的 IP 地址和 TCP 端口、不同的主机头: 下面我们分别进行介绍: 1.通过不同的 IP 地址来访问; 2.配置不同的 TCP 端口 3、用主机头建立多个站点 在配置主机头之前我们先创建 DNS 服务,因为 DNS 他 可以将域名解析成 IP 地址,将 IP 地址解析成域名:主机头的形 式相当于 FQDN,如果当出现相同的 IP 地址和 TCP 端口的时候 我们会选择主机头来完成相应的配置。 根据前面创建新站点的方法,新建两个 Web 站点,分别在主 机头中指定两个不同的域名 www.b.com,www.c.com。创建好后, 我们可以修改主机头,方法如下: (1)选择新建的 Web 站点,用鼠标右键单击选择【属性】, 弹出【新站点属性】对话框,。 (2)单击【高级】按钮会弹出【高级网站标识】对话框,如 图 8-28 所示。 137

(3)选择已经新建的 Web 站点,单击【编辑】,会出现【添 加/编辑网站标识】对话框,可以修改该主机头标识,如图 8-29 所示。 图 8-28 【高级网站标识】对话框 (3)选择已经新建的 Web 站点,单击【编辑】,会出现【添 加/编辑网站标识】对话框,可以修改该主机头标识,如图 8-29 所示。 图 8-29 【添加/编辑网站标识】对话 还有一种方法:我们直接在前面已经创建的两个新网站中进 行主机头的修改,如图 8-30 所示。 138

我们对图 8-30 作下说明:先在【第一个网站】上用鼠标右键 单击,选择【属性】,弹出【第一个网站】属性对话框,单击【高 图 8-30 主机头的修改 我们对图 8-30 作下说明:先在【第一个网站】上用鼠标右键 单击,选择【属性】,弹出【第一个网站】属性对话框,单击【高 级】按钮,出现【高级网站标识】对话框,再单击【添加】按钮, 出现【添加/编辑网站标识】对话框,我们在其中设置 IP 地址全 部未分配,TCP 端口为 80,主机头值为 WWW.B.COM。 我们按照相同的方法修改第二个网站的主机头,如图 8-31 所 示。 139

(4) DNS 中解析这两个域名,在分别建立两个正向区域:b.com 和 c.com,然后建立两个主机 WWW,都指向同一个 IP 地址:如 图 8-31 第二个网站的主机头修改 (4) DNS 中解析这两个域名,在分别建立两个正向区域:b.com 和 c.com,然后建立两个主机 WWW,都指向同一个 IP 地址:如 192.168.1.2,然后建立反向区域指向 192.168.1,详细设置参见 DNS 部分。 (5)经过以上的配置,输入 www.b.com, www.c.com 将访问 不同的网站内容。 特别提示:使用主机头建立多个不同域名的站点时,也需要 注意主文档等设置。同时还要注意由于使用的 DNS 域名,如果 在 DNS 中没有解析指定的域:www.b.com, www.c.com ,在输 入域名来访问网站时是不能正常访问的。 8.2 Windows 2003 的 FTP 服务器的配置 在 Windows 2003 中集成了 FTP 服务器的功能,如果只是需要 一个简单的文件下载功能,对于文件的权限要求不是很高的情 140

况,可以就利用 Windows 2003 集成的 FTP 功能来配置 FTP 服务 器,为用户提供文件下载服务。 8.2.1 账户管理 IIS 对账户的管理按照 Windows 用户账户方式进行。如果要给 FTP 服务器添加一个用户名和密码均为 cxp 的授权账户,首先得在 Windows 中添加该账户。 8.2.2 目录管理 1.设置虚拟目录 2.读写权限设置 8.2.3 消息设置 进入【默认 FTP 站点】属性中的【消息】选项卡,可以设 置用户登录和退出服务器时在 FTP 客户端软件的状态窗口显示 消息。其中,【标题】和【欢迎】将在用户登录时出现,【退出 时】是当用户退出服务器时显示的告别信息。 8.2.4 连接用户管理 在【FTP 站点】选项卡中可以简单地管理连接用户。【限制为】 用来设置服务器允许同时连接的最大连接数,如果不是 Windows 2003 服务器版,不仅【无限制】选项不可选,而且最大连接数 不能超过10个。【连接超时】可以设置当连接用户空闲多少秒 时会被服务器自动踢出,这可以有效防止用户浪费服务器最大连 接数。点右下角的【当前会话】可以看到在线连接用户所用的账 户及当前状态,选择其中某个用户再点【断开】可以将该用户踢 除出服务器。 141

8.2.5 技能训练 WINDOWS 2003 FTP 隔离用户和不隔离用户的 创建 经过上面的简单介绍,我们了解了 Windows 2003 的 FTP 服务 器功能,下面我们进行实际操作。 我们可以在虚拟机环境中来完成这个任务。 操作步骤如下: 1.安装 FTP 服务 2.创建不隔离用户 FTP (1)单击【开始】|【管理工具】|【Internat 信息服务(IIS) 管理器】 展开 FTP 站点,,鼠标右键单击默认 FTP 站点选择停止。 (2)鼠标右键单击 FTP 站点,选择【新建】|【FTP 站点】 (3)弹出欢迎界面,输入描述内容,如图 8-36 所示,单击【下 一步】继续。 (4)设置 IP 和端口号,如图 8-37 所示,单击【下一步】继续。 图 8-37 设置 IP 和端口 (5)选择【不隔离用户】,如图 8-38 所示,单击【下一步】继 续。 142

(6)选择 ftp 主路径,如图 8-39 所示,单击【下一步】继续。 (7)设置 FTP 权限,如图 8-40 所示,单击【下一步】继续。 图 8-38 选择【不隔离用户】 (6)选择 ftp 主路径,如图 8-39 所示,单击【下一步】继续。 (7)设置 FTP 权限,如图 8-40 所示,单击【下一步】继续。 图 8-40 设置 FTP 权限 (8)成功建立 ftp 站点。 143

说明一下:不隔离用户实际上就是匿名用户访问 FTP 文件夹,就 是不需要输入用户名和密码进行登录就可以访问。我们此时指向 的是 C:\ftp1。用户不输入密码就可以访问这个文件夹里面的内 容。一般不隔离用户和隔离用户的访问文件夹应该不一样。 3.创建隔离用户 FTP (1)参照创建不隔离用户 FTP(1)到(4),修改(3)步的名 称为隔离用户,如图 8-41 所示,修改第(4)步的 IP 地址为 192.168.1.104,如图 8-42 所示,单击【下一步】继续。 图 8-41 输入隔离用户 144

(2)选择【隔离用户】,如图 8-43 所示,单击【下一步】继续。 图 8-42 选择 IP 为 192.168.1.104 (2)选择【隔离用户】,如图 8-43 所示,单击【下一步】继续。 图 8-43 选择【隔离用户】 (3)参考创建不隔离用户 FTP 的(5)到(7)步,完成配置。此时的 文件夹指向 C:\ftp,这个 C:\ftp 是我们另外建立的文件夹,表 示与不隔离用户的文件夹 C:\ftp1 是不同的。 145

4、建立两个系统账户 user1,user2,用于 FTP 访问用户,建立 方法是在【计算机管理】|【本地用户和组】|【用户】中创建。 模式,如果是在工作组模式下,就要在主目录下建立 localuser 文件夹,然后在其下建立与各个用户名相同的文件夹,如图 8-45 所示。如果是在域模式,需要在主目录下建立域服务器的 NetBios 名的文件夹,关于 NetBios 名,我们介绍一下,NetBios 名就是 在安装活动目录时填写的域的名字,如:win2003.com,此时的 NetBios 名称是 win2003。NetBios 名称建立好后,就可以在其 下建立与各个用户相同的文件夹。 图 8-45 建立用户文件夹 6、测试 我们在 IE 浏览器输入 FTP://192.168.1.104,然后分别用 user1,user2 进行登录,可以分别访问自己的文件夹,如图 8-46、 8-47 所示。 146

8.3 Windows 2003 Server 的 DHCP 服务 图 8-46 user1 登录 图 8-47 user2 登录 8.3 Windows 2003 Server 的 DHCP 服务 当企业计算机数量较多时,例如某一公司中有1000台计算机, 如果要使用静态 IP 地址,那么网络管理员的工作量可见而知, 那么如何解决此类问题呢?那么就需要一台能够自动给客户机 分配 IP 地址的服务器,这台服务器就是 DHCP 服务器,他可以为客 户机动态分配: IP 地址、子网掩码、默认网关、首选 DNS 服务 147

器。通过分配这些信息后,可以实现的功能大体有:减小管理员 的工作量、减小输入错误的可能、避免 IP 冲突、当网络更改 IP 8.3.1 DHCP 的含义 DHCP 是动态主机配置协议,是一个简化主机 IP 地址分配管理 的 TCP/IP 标准协议。用户可以利用 DHCP 服务器管理动态的 IP 地址分配及其他相关的环境配置工作(如 DNS、WINS、Gateway 的设置)。 8.3.2 用 DHCP 的作用 DHCP 避免了因手工设置 IP 地址及子网掩码所产生的错误,同 时也避免了把一个 IP 地址分配给多台工作站所造成的地址冲 突。降低了管理 IP 地址设置的负担,使用 DHCP 服务器大大缩 短了配置或重新配置网络中工作站所花费的时间,同时通过对 DHCP 服务器的设置可灵活的设置地址的租期。 8.3.3 DHCP 的常用术语 (1)作用域:作用域是一个网络中所有可以分配的 IP 地址 的连续范围。作用域主要用来定义网络中单一的物理子网的 IP 地址范围。作用域是服务器用来管理分配给网络客户的 IP 地址的主要手段。 (2)超级作用域:超级作用域是一组作用域的集合,它用来 实现同一个物理子网中包含多个逻辑 IP 子网。 (3)排除范围:排除范围是不用于分配的 IP 地址范围,它 所排除的 IP 地址不能被分配给客户机。 (4)地址池:在用户定义了 DHCP 范围及排除范围后,剩下 的便是一个 IP 地址池,地址池中的 IP 地址可以动态分配给 网络中的客户机使用。 (5)租约:租约是指客户机获得 IP 地址可以使用的时间, 148

租约到期后,客户机需要更新 IP 地址的租约。 8.3.4 DHCP 工具 DHCP 控制台是管理 DHCP 服务器的主要工具,在安装 DHCP 服 务时加入到管理工具中。在 Windows 2003 服务器中,DHCP 控制 台被设计成微软管理控制台(MMC)的一个插件,它与其他网络 管理工具结合得更为紧密。在安装 DHCP 服务器后,用户可以用 DHCP 控制台执行以下一些基本的服务器管理功能。 (1)创建范围、添加及设置主范围和多个范围、查看和修改 范围的属性、激活范围或主范围、监视范围租约的活动。 (2)为需要固定 IP 的客户创建保留地址。 (3)添加自定义默认选项类型。 (4)添加和配制由用户或服务商定义的选项类。 (5)另外 DHCP 控制台还有新增的功能,如增强了性能监视器、 更多的预定义 DHCP 选项类型、支持下层用户的 DNS 动态更新、 监测网络上为授权的 DHCP 服务器等。 8.3.5 DHCP 类别 我们可以在服务器、作用域,针对某些特定类别的计算机 来配置一些选项,当隶属于这个类别的计算机来租用 IP 地址的 时候,DHCP 服务器才会替这些计算机来配置这些选项。DHCP 的 类别选项共分二类,一类是用户类别,另一类是供应商类别,我 们在这里主要是想说一下用户类别的功能。 8.3.6 DHCP 中继代理 随着网络规模的不同扩大,我们会使用 Windows 服务器操作系 统的【路由和远程访问】功能将网络划分为不同的子网。如何通 过一台 DHCP 服务器,在两台子网间同时提供服务呢?在这时, 就需要使用到 DHCP 服务器的中继代理功能来实现在两个子网之 间同时提供 DHCP 服务。后面在 2 中我们将详细介绍。 149

有关 DHCP 服务器中的设置数据全部存放在名为 dhcp.mdb 数据库文件中,该文件位于 c:\windows\system32\dhcp 文件夹 内。其中, dhcp.mdb 是主要的数据库文件,其他的 文件是 dhcp.mdb 数据库文件的辅助文件。这些文件对 DHCP 服务器的正 常运作起着关键作用,建议用户不要随意修改或删除。同时,还 要注意对相关的数据进行安全备份,以备系统出现故障时进行还 原恢复。 8.3.8 技能训练 1 配置客户机直接从 DHCP 服务器上获取 IP 地 址 1.DHCP 服务器安装前的规划 2 安装 DHCP 服务器的步骤 如果安装 Windows 2003 Server 服务器时,没有安装网络组 件则可以按照以下方法安装。 3.配置 DHCP 服务器 (1)启动 DHCP 控制台。 (2)安装 DHCP 服务器。 (3)DHCP 服务器的启动、停止、授权。 ① 如果在 DHCP 服务器前是红色向下的箭头 ,表示服务器 还未授权,此时可以单击【DHCP】图标,单击【操作】主菜单, 选择【管理授权的服务器】,在弹出的对话框中,单击【授权】, 此时会弹出输入 DHCP 服务器名称的对话框, 【名称或 IP 地址】在 栏中,输入 Win2003,然后单击【关闭】按钮。 ② 如果在 DHCP 服务器前是红色的叉子 ,表示服务器已经 停止。 ③ 如果在 DHCP 服务器前是绿色向上的箭头 ,表示服务器 正常运行。 (4)作用域的创建及配置。 ① 在 DHCP 服务器中添加作用域。 在 DHCP 控制台中用鼠标右键单击要添加作用域的服务器 150

computer,在弹出的快捷菜单中选择【新建作用域】,如图 8-54 所示,也可以单击【DHCP】图标,再单击【操作】,选择【新建 单击【下一步】按钮,在输入作用域名对话框中,输入使用 域名:DHCP。 单击【下一步】按钮,输入作用域分配的地址范围,起始 IP 地址:192.168.1.2,结束 IP 地址:192.168.1.254,子网掩码: 255.255.255.0。 单击【下一步】按钮,在【添加排除】对话框中输入需要排除 的地址范围。在【起始 IP 地址】输入:192.168.1.110,在【结 束 IP 地址】输入:192.168.1.150,单击【添加】按钮,排除范 围加入到下方的【排除的地址范围】列表中。 单击【下一步】按钮,选择租约期限(默认为 8 天),可以自 行输入。 单击【下一步】按钮,选择【否,我想稍后配置这些选项】, 单击【完成】按钮。 在 DHCP 控制台中出现新添加的作用域, DHCP 控制台中作在 用域下多了四项: l 地址池:用于查看、管理现在的有效地址范围和排除范围。 l 地址租约:用于查看、管理当前的地址租用情况。 l 保留:用于添加、删除特定保留的 IP 地址。 l 作用域选项:用于查看、管理当前作用域提供的选项类型 及其设置值. 从图 8-61 中可以看出,新建立的作用域并没有活动,需要激 活。 ② 激活使用域。 在 DHCP 控制台中,用鼠标右键单击【作用域[192.168.1.0] DHCP】,在弹出的快捷菜 j 单中,选择【激活】,如图 8-62 所示, 激活 DHCP 作用域后,客户机可以分配 DHCP 服务器的下发的动态 IP 地址。 (5)保留特定的 IP 地址。 如果用户想保留特定的 IP 地址给指定的客户机,以便客户机 在每次启动时都获得相同的 IP 地址,可以按照下面的方法设 151

DHCP 服务器安装设置完成后,客户机就可以启用 DHCP 功 能,以下列出在 Windows xp 客户机上启用 DHCP 功能的方法。 置。 4.DHCP 客户机的设置 DHCP 服务器安装设置完成后,客户机就可以启用 DHCP 功 能,以下列出在 Windows xp 客户机上启用 DHCP 功能的方法。 在安装或设置 TCP/IP 后,单击控制面板,选择【网络和拨号 连接】,双击【本地连接】,单击【属性】,选择【Internet 协议 (TCP/IP)】再选择【属性】,在弹出的【常规】选项中选择【自 动获得 IP 地址】。 完成了上面的任务后,我们的 DHCP 即可以实现动态分配的功 能了,但是在工作环境中,有时,有些用户还有些特殊需求,需 要获得特定的 IP 地址,下面我们补充介绍下。 8.3.9 技能训练 2 DHCP 数据库的备份与还原 DHCP 服务器配置后有可能出现故障,因此,我们有必要进行 备份,在出现故障时进行恢复,操作步骤如下: 1)备份 DHCP 数据库文件 (1)右键单击需要备份的服务器,并选择【备份】命令。 (2)指定备份文件存放文件的位置,我们选择 C:\WINDOWS\SYSTEM32\DHCP\BACKUP。 (3)我们可以找到路径查看备份的文件。 2) 还原 DHCP 数据库文件 (1)右键单击需要还原的服务器,并选择【还原】命令。 (2)找到存放备份文件的文件夹。我们选择默认的文件路径 即可。单击【确定】完成还原。 DNS 服务器的设置与管理 8.4 Windows 2003 DNS 服务器的概念可能读者朋友平时不太理会,我们平时只 152

关注其功能,DNS 服务器功能体现在我们在上网时,不再输入不 好记忆的 IP 地址来访问某个网站和网络资源,而直接使用 www.xx.com 之类的网址形式来访问站点。 8.4.1 DNS 域名概念 首先我们要知道什么是 DNS? 通俗简单的说,DNS 就是把域名解析成 IP 地址;把 IP 地址 解析成域名;那么在 DNS 还没有出现之前,一些专业的人员是 通过【Hosts】文件来管理的。 8.4.2 DNS 术语 (1)DNS 域名称空间:指定了一个用于组织名称的结构化的 阶层式域空间。 (2)资源记录:当在域名空间中注册或解析名称时,它将 DNS 域名称与指定的资源信息对应起来。 (3)DNS 名称服务器:用于保存和回答对资源记录的名称查 询。 (4)DNS 客户:向服务器提出查询请求,要求服务器查找并 将名称解析为查询中指定的资源记录类型。 8.4.3 DNS 查询 当在客户机中 Web 浏览器中输入一个 DNS 域名,则客户机 产生一个查询并将查询传给 DNS 客户服务,利用本机的缓存信 息进行解析,如果查询信息可以被解析则完成了查询。 8.4.4 技能训练 1 DNS 服务器的安装与测试 1.DNS 服务的安装 2.TCP/IP 属性设置 153

(1)单击【开始】,指向【设置】,单击【网络和拨号连接】。 (2)弹出【网络的拨号连接】窗口,右键单击【本地连接】,选 择【属性】。 (3)在【本地连接属性】对话框中,选择【Internet 协议 (TCP/IP),单击【属性】】,在出现的对话框中,单击【使用下 面的 IP 地址】,在 IP 地址中:输入 192.168.1.103,在子网掩 码 中 : 输 入 255.255.255.0 , 在 首 选 DNS 服 务 器 中 : 输 入 192.168.1.103。 (4)单击【高级】选项,在 DNS 选项卡,单击【附加这些 DNS 后缀(按顺序),在列表中添加域名:w2k.com,不选择【在 DNS】 中注册此连接的地址】。 3.启动 DNS 服务器,配置 DNS 服务 1)启动 DNS 服务 2)创建新区域并进行配置 3) 检查设置 在控制台树中,单击【正向查找区域】分支下的 w2k.com,在 右侧的详细资料中可以看见有一条记录:www。 单击【反向查找区域】下的分支【192.168.1 X subnet】,在 右侧的详细资料中也应该看见有记录。 如果不能看见,可以【刷新】。 在设置 DNS 服务器后,可以对客户机进行设置。 4)DNS 客户端的配置及测试 ① 启动客户端计算机,右键单击【网上邻居】选择【属性】, 在【网络】对话框中,查看网卡和 TCP/IP 是否已经绑定。 ② 设置 TCP/IP 属性。 ③ 测试 DNS。 在客户端执行 Ping.exe 命令,方法如下: 单击【开始】,单击【运行】,在【运行】对话框中输入 Ping, 单击【确定】按钮。 命 令 行 窗 口 打 开 后 , 可 以 在 提 示 符 下 输 入 : Ping www.w2k.com,出现如图 8-96 所示的窗口。如果出现类似的窗口 则表明通信测试成功。 154

测试通过后,在服务器端将 DNS 服务停止,方法是:单击 DNS 控制台的根树中的 W2K.COM,鼠标右键单击选择【所有任务】, 图 8-96 ping 测试界面 测试通过后,在服务器端将 DNS 服务停止,方法是:单击 DNS 控制台的根树中的 W2K.COM,鼠标右键单击选择【所有任务】, 单击【停止】按钮。 在客户机端重新进行 ping 命令测试,观察测试结果,并进行 分析。 5)在 DNS 服务器端执行工具软件 nslookup,验证域名解析 ① 单击【开始】,指向【程序】,再指向【附件】,然后单击 【命令行提示符】。 ② 在命令行提示符下,输入命令,如果程序不响应,可以按 Ctrl+B 键中断命令。 ③ 输入 nslookup WWW.W2K.COM,会显示出与这个域名对应的 IP 地址,如图 8-97 所示。 155

在 DNS 控制台树中,单击服务器 computer,用鼠标右键单击 并在下拉菜单中选择【属性】 可以查看服务器的属性,,如图 8-98 ① 查看服务器属性。 在 DNS 控制台树中,单击服务器 computer,用鼠标右键单击 并在下拉菜单中选择【属性】 可以查看服务器的属性,,如图 8-98 所示。 156

在 DNS 控制台树中,单击服务器 computer,在主菜单上单击 【操作】,在下拉菜单中选择【更新服务器数据文件】,可以保存 图 8-98 查看服务器属性 ② 更新服务器文件。 在 DNS 控制台树中,单击服务器 computer,在主菜单上单击 【操作】,在下拉菜单中选择【更新服务器数据文件】,可以保存 设置的主机信息。 ③ 删除服务器。 【操作】,在下拉菜单中选择【删除】,即可以删除服务器。 8.4.5 技能训练 2 DNS 区域传输高级配置 本实验环境是我们在 1 中的已经建立的 DNS,同时该机是域 控制器。 157

我们想在局域网内实现通过 www.a.com 就可以访问那 个测试页面,那么就需要在 DNS 上做一个 A 记录,目的是把 w 图 8-110 记录列表 158

我们可以输入:ping www.a.com,我们来验证一下创建的 结果,如果这个 IP 地址的主机是存在的,则会显示器 92.168. 2.CNAME 记录 CNAME 记录,即别名记录。我们通过设置别名记录,可 以将多个名称指向同一台服务器。比如有台名为 test 的主机上 提供邮件和网页服务,我们可以设置 www 和 mail 这 2 个名称 的别名记录指向这台服务器,用户可以通过 www.win2003.co m 和 mail.win2003.com 来访问各自需要的服务,但实际上目 标都是同一台服务器。 首先建立一个 A 记录,这个是创建 CNAME 记录的基础。建 立 A 记录如图 8-114 所示。 A 记录创建完成后,单击图 8-115 中的域名 win2003.com, 右键选择【新建别名】。 在弹出的【新建资源记录】的对话框中,输入别名:www, 然后单击【浏览】选择 test.win2003.com,如图 8-116 所示。 图 8-116 建立别名 www 继续新建一个别名 mail,如图 8-117 所示。 159

我们选择【新建别名(CNAME)】,创建方法如上。创建完成 后,如图 8-118 所示。 请大家注意图 8-52 中的 DNS 记录的类型。创建完成后通过 命令来验证一下,输入 ping WWW.win2003.com 和 mail. win2003.com ,访问的结果都是指向 192.168.1.100 这个 I P 地址。 3.MX 记录 MX 记录即 Mail Exchanger,主要用于邮件服务器,作 用是用于定位邮件服务器的地址。 我们现在给 mail 这个主机,创建一个 A 记录,然后创建 一个 MX 记录(A 记录创建过程省略)。 4.NS 记录 NS(Name Server)记录是域名服务器记录,用来指定 该域名由哪个 DNS 服务器来进行解析。 8.4.7 技能训练 4 新建 DNS 委派 配置委派的时候,子域的信息都存在父区域文件中的,当 区域过多的时候维护起来不是很方便,而且还会遇到查询的瓶 颈,能否让子域的信息存储在其他 DNS 服务器上呢? 这样便引出了【委派】,通过子域委派其他的服务器。 8.5 Windows 2003 邮件服务器安装与配置 邮件服务器的配置同样是企业网络管理中经常要进行的 任务之一。与 Web 网站、FTP 站点服务器一样,邮件服务器的配 置方案也非常之多,但对于中小型企业说,利用网络操作系统自 带的方式进行配置是最经济的。 160

在 Windows Server 2003 系统中,配置邮件服务器有两种主 要途经: (1)利用【配置您的服务器向导】进行。 8.5.1 配置邮件服务器的方法 在 Windows Server 2003 系统中,配置邮件服务器有两种主 要途经: (1)利用【配置您的服务器向导】进行。 (2)通过【添加或删除程序】安装相关组件进行。 8.5.2 本地 Windows 账户身份验证 POP3 服务提供三种不同的身份验证方法来验证连接到邮件 服务器的用户。在邮件服务器上创建任何电子邮件域之前,必须 选择一种身份验证方法。只有在邮件服务器上没有电子邮件域 时,才可以更改身份验证方法。 如果邮件服务器不是活动目录域的成员,并且希望在安装了 邮件服务的本地计算机上存储用户账户,那么可以使用【本地 Windows 帐户】身份验证方法来进行邮件服务的用户身份验证。 本地 Windows 账户身份验证将邮件服务集成到本地计算机的安 全账户管理器(SAM)中。通过使用安全帐户管理器,在本地计算 机上拥有用户账户的用户就可使用与由 POP3 服务提供的或本地 计算机进行身份验证的相同的用户名和密码。 8.5.3 Active Directory 集成的身份验证 如果安装 POP3 服务的服务器是活动目录域的成员或者是活 动目录域控制器,则可以使用活动目录集成的身份验证。同时, 使用活动目录集成的身份验证,可以将 POP3 服务集成到现有的 活动目录域中。如果创建的邮箱与现有的活动目录用户账户相对 应,则用户就可以使用现有的活动目录域用户名和密码来收发电 子邮件。 可以使用活动目录集成的身份验证来支持多个 POP3 域,这样 就可以在不同的域中建立相同的用户名。 在使用活动目录集成的身份验证,并且拥有多个 POP3 电子邮 件域时,当创建一个邮箱时,应该确保考虑新邮箱的名称与其他 161

POP3 电子邮件域中现有邮箱的名称是否相同。每个邮箱都与一 个活动目录用户账户相对应。 8.5.4 技能训练 Windows 邮件服务器的安装与使用 操作步骤如下: 1.安装配置邮件服务器 2、配置邮件服务器 邮件服务器安装好后还需要进行一定的配置才能正常工作。 下面是具体的配置步骤: 启动 POP3 服务,我们在根控制台上单击鼠标右键,选择新 建【域】即可出现新建域的对话框,我们新建立一个域 mail.a.com, 新的域建立完成后,我们在域上单击鼠标左键,出现新建邮箱窗 口 如 图 8-134 所 示 , 我 们 新 建 两 个 邮 箱 wenwen@mail.a.com,cbq@mail.a.com,如图 8-135 所示。 (11)完成后我们退出邮箱创建的窗口。我们启动 outlook Express 邮件客户端软件,进行邮件收发设置。主要设置如下:选择【工 具】|【帐户】,在【邮件】选项卡中,单击【添加】|【邮件】, 我们根据对话框来完成邮件的创建,输入显示的用户名和邮件 wenwen@mail.a.com,单击下一步,输入接收邮件 POP3 的服务器: mail.a.com,输入发送邮件的 SMTP 服务器:mail.a.com,如图 8-136 所示。 162

(12)单击【下一步】,出现【Internet 邮件登录】对话框, 在图 8-137 中输入帐户名和密码。 图 8-136 设置收发邮件的服务器 (12)单击【下一步】,出现【Internet 邮件登录】对话框, 在图 8-137 中输入帐户名和密码。 (13)单击【下一步】,再单击【完成】按钮,完成配置。然后 选择菜单栏中的【工具】|【帐户】如图 8-138 所示。 (14)出现一个【Internet 帐户】对话框,并切换到【邮件】 选项卡,如图 8-139 所示,单击【属性】按钮,会出现这个帐户 的对话框,我们还需要切换到【服务器】选项卡,设置【发送邮 件服务器】,将【我的服务器要求身份验证】的复选框打个勾。 如图 8-140 所示。 ( 15 ) 我 们 再 按 照 同 样 的 方 法 创 建 另 一 个 用 户 wenwen@mail.a.com., 帐号创建完成后,我们就可以进行邮件收 发测试了。我们先写一封邮件,填上发送邮件的帐号和接收邮件 的帐号,如图 8-141 所示、图 8-142 所示。通过测试能够正常收 发邮件。 说明: 要进行邮件收发测试,如果用 Outlook Express 这个客 户端,还要自己建立邮件帐号,就建立上面已经创建的两个邮件 帐号进行测试。Outlook Express 的使用本处不多述 第 9 章 组网工程综合技能训练 163

(3) 掌握服务器的基本服务(DNS、DHCP、WWW、FTP、EMAIL) 配置 (4) 掌握交换机的聚合、VRRP 和 MSTP 技术 学习目标 (1) 掌握交换机和路由器的基本配置 (2) 掌握路由器的 PPP 和帧中继配置 (3) 掌握服务器的基本服务(DNS、DHCP、WWW、FTP、EMAIL) 配置 (4) 掌握交换机的聚合、VRRP 和 MSTP 技术 (5) 掌握路由器的动态路由、路由重分布和 VPN 技术 (6) 掌握 VLAN 划分技术 (7) 掌握路由器和交换机的 DHCP 服务和 DHCP 中继配置 (8) 掌握标准和扩展访问控制列表的定义和使用 训练项目背景 某企业是一家从事高科技产品研发、生产和销售的大型企业, 总公司在北京,分公司在重庆,总公司和分公司通过网络互连, 随着业务的发展,公司原有网络已经不能满足高效企业管理的需 要,公司经常遭到来自互联网络的攻击或入侵,网络安全对生产 和经营的影响也越来越明显。为了满足业务的需要,公司决定构 建一个高速、稳定、安全的适应企业现代化办公需求的高性能网 络。 企业的网络构建包括总公司和分公司的两个部分。总公司局 域网核心采用双交换机的构架,通过 VRRP 结合 MSTP 技术实现 负载均衡和链路备份。两台核心交换机分别连接到核心路由器, 核心路由器连通过专线连接到分公司的出口路由器。总公司的网 络出口连接到 Internet,通过配置路由器来实现内网用户访问 Internet 以及保护内网的安全。总公司和分公司之间的办公用 户通过 VPN 建立的隧道相互通信,有效的保证了数据传输的安 全性。服务器集中放置在网络中心机房,直接连接到核心交换机。 训练设备 表 9-1 项目设备表 设备类型设备型号设备数量 路由器 RG-RSR20-18 4台 二层交换机 RG-S2328G 2台 三层交换机 RG-S3760-24 2台 计算机 6台 串行线 3根 164

注:为了便于测试,要求每个 VLAN 连接一台计算机,每台计 算机的名称如图 9-1 所示。 双绞线 14 根 配置线 1根 注:为了便于测试,要求每个 VLAN 连接一台计算机,每台计 算机的名称如图 9-1 所示。 165

训练拓扑图 166

图 9-1 组网工程综合项目拓扑图 167

本项目采用分组方式进行,每 5-8 人为一组,每组学生通过 训练要求 1. 项目分组 本项目采用分组方式进行,每 5-8 人为一组,每组学生通过 相互讨论来共同完成项目任务,小组组长要对组内每个成员进行 评价。每个小组完成实项目任务后,该组学生要对整个项目进行 演讲,并回答相关问题,然后由其余各组组长和教师进行评价, 得到该组学生整体成绩。最后老师根据学生的项目报告、组内评 价和小组整体评价给每个学生评定整个项目成绩,学生分组名单 如表 9-2 所示。 表 9-2 学生分组名单 组 第 组 组长姓名 号 成员姓 名 2. 小组 IP 地址分配方案 为了避免不同组的学生相互抄袭,教师可为每组学生分配不 同的 IP 地址或修改不同部门的计算机数量,表 9-3 提供了不同 部门计算机数量分配方案,供任课老师参考,本实验按照第 8 组 计算机数量进行配置。 表 9-3 IP 地址分配方案 168

方案编号 1 2 3 4 计算机 计算机 计算机 计算机 部门名称 数量 数量 数量 数量 网络管理中 18 8 10 40 心 北京总 科研办公室 30 50 30 50 公司 业务办公室 60 100 100 60 管理办公室 20 10 20 20 科研分支办 10 60 10 50 重庆分 公室 公司 业务分支办 20 100 100 60 公室 方案编号 5 6 7 8 部门名称 计算机 计算机 计算机 计算机 数量 数量 数量 数量 网络管理中 28 10 28 8 心 北京总 科研办公室 50 50 20 50 公司 业务办公室 60 60 60 100 管理办公室 20 8 10 20 重庆分 科研分支办 20 10 20 80 公司 公室 169

每个小组根据老师的要求,将计算机的数量填入表 9-4。 业务分支办 60 60 30 120 公室 3. 小组配置计算机数量 每个小组根据老师的要求,将计算机的数量填入表 9-4。 表 9-4 不同部门的计算机数量 部门名称 计算机 部门名称 计算机 数量 数量 网络管理中 科研分 心 支 北京总 科研办公室 重庆分 办公室 公司 业务办公室 公司 业务分 管理办公室 支 办公室 4. 路由器配置要求 按照表 9-5 的要求配置路由器 R1、R2、R3 和 R4。 表 9-5 路由器配置要求 设备 实现 详细 名称 功能 说明 (1) 配置互联网上区域 0 的 OSPF 路由协议 R1 (2) 指定 route-id 为 0.0.0.1 OSPF 路由 (3) 配置基于端口的验证,采用 MD5 验证 功能 170

(2) 实现将内网服务器 SERVER 的资源发 方式 (4) 将区域设置成 stub 区域 (1) 配置到总公司的 RIP 路由 RIP 路由功 (2) 版本为第二版 能 (3) 关闭自动汇总 (1) 配置 PPP 协议 (2) 与路由器 R2 实现验证,此路由器作为 链路功能 服务端,需要实现 CHAP 认证方式。 (3) 认证时需要使用 AAA 方式,认证采用 本地认证。 (1) 配置 NAT,实现总公司内部网络访问 互联网,其使用的合法公网地址为 13.1.1.4-13.1.1.6 地址转换 (2) 实现将内网服务器 SERVER 的资源发 布到互联网上,其合法的公网地址是 13.1.1.3。 (1) 管理员可以对外网进行任意访问 (1) 普通用户在上班时只能浏览外网的网 安全功能 页和收发邮件 (2) 外部用户只能访问内部服务器的 WEB 网站 171

(1) 配置 IPSEC VPN,实现重庆分公司的 各个子网能够安全访问总公司的服务 器群(VLAN 100) VPN 功能 (2) 采用隧道模式 (3) 采 用 预 共 享 密 钥 , 密 码 为 CISCO123456 (1) 配置 OSPF 路由协议,指定 route-id 为 0.0.0.2 路由功能 (2) 配置基于端口的验证,采用 MD5 验证 方式 (1) 与路由器 R1 实现验证,此路由器作为 R2 服务端,需要实现先 CHAP 后 PPP 认证 方式。 链路功能 (2) 认证时需要使用 AAA 方式,认证采用 本地认证。 (3) 配置帧中继协议,其 DLCI 号为 204。 (1) 配置帧中继交换机 R3 链路功能 (2) 根据拓扑图所示指定 DLCI 号 (1) 配置 OSPF 路由协议,指定 route-id R4 为 0.0.0.4 路由功能 (2) 配置基于端口的验证,采用 MD5 验证 172

(1) 配置 IPSEC VPN,实现重庆分公司的 方式 (3) 将区域设置成 stub 区域 (4) 配置单臂路由 DHCP 服务 为 VLAN210 和 VLAN220 分配 IP 地址 (1) 配置 PPP 协议 (2) 与路由器 R2 实现验证,此路由器作为 客户端,需要实现先 CHAP 后 PAP 认证 链路功能 方式。 (3) 认证时需要使用 AAA 方式,认证采用 本地认证。 (4) 配置帧中继协议,其 DLCI 号为 402 实现内部网络对互联网的访问,其使用的合 地址转换 法地址是路由器 R4 的 S2/0 端口的 IP 地址 (1) 用户在上班时只能浏览外网的网页和 收发邮件 安全功能 (2) 分公司的用户可以对总公司的服务器 进行任意访问 (1) 配置 IPSEC VPN,实现重庆分公司的 各个子网能够安全访问总公司的服务 VPN 功能 器群(VLAN 100) (2) 采用隧道模式 173

按照表 9-6 的要求配置路交换机 SW1、SW2、SW3 和 SW4。 (3) 采 用 预 共 享 密 钥 , 密 码 为 CISCO123456 (1) 在 PPP 协议上配置报文压缩,实现 RTP 和 TCP 报文压缩 (2) 对 出 端 口 s2/0 的 流 量 限 制 在 300kbps,没有超额的流量允许发送,超 服务质量 额的流量丢弃。 (3) 对入端口 fa0/0 的流量限制在 2Mbps, 没有超额的流量允许发送,超额的流量 丢弃 5. 交换机配置要求 按照表 9-6 的要求配置路交换机 SW1、SW2、SW3 和 SW4。 表 9-6 交换机配置要求表 设备 实现 详细 名称 功能 说明 (1) 配置 RIP 路由协议 路由功 (2) RIP 路由协议是第二版 SW1 能 (3) 取消 RIP 的自动汇总功能 (4) 配置到互联网的默认路由 (1) 划分 VLAN 优化功 (2) 配置 MSTP,创建实例 10 和实例 20,将 能 174

(1) 配置 DHCP 服务,为 VLAN110 动态分配 VLAN100 和 VLAN110 加入到实例 10、 VLAN120 和 VLAN130 加入到实例 20,将此 交换设置为实例 10 的根,是实例 20 的生 成树备份根。 (1) 配置 DHCP 服务,为 VLAN110 动态分配 IP 地址 DHCP 功 (2) 配置 DHCP 中继, VLAN120 从 SW2 获取使 能 IP 地址 (3) 配置 DHCP 中继,使 VLAN130 从 SERVER1 获取 IP 地址 (1) 配置 VRRP 协议:创建 2 个 VRRP 组,分 别为 group10 和 group20,实现 SW1 为 VLAN100 和 VLAN110 活跃路由器,VLAN130 可靠性 的备份路由器。 能 (2) 配置链路聚合:将 Fa0/3-4 两端口配置 为链路聚合,并实现基于源和目标 MAC 地址的负载均衡方式。 (1) 只允许 VLAN110 和 VLAN120 的用户在工 作日(周一~周五)的上班时间 安全功 (9:00~18:00)访问内部 WEBSERVER 服务 能 器,其它时间不允许访问。 175

(3) 在所有的接入端口上配置 portfast。 (2) 不允许 VLAN110 和 VLAN120 的用户相互 访问,其它不受限制。 (3) 在所有的接入端口上配置 portfast。 网络管 配置 SSH Server,允许通过 SSH 远程管理设备, 理 并使用 AAA 本地验证。 (1) 配置 RIP 路由协议 路由功 (2) RIP 路由协议是第二版 SW2 能 (3) 取消 RIP 的自动汇总功能 (4) 配置到互联网的默认路由 (1) 划分 VLAN (2) 配置 MSTP,创建实例 10 和实例 20,将 优化功 VLAN100 和 VLAN110 加入到实例 10、 能 VLAN120 和 VLAN130 加入到实例 20,将此 交换设置为实例 20 的根,是实例 10 的生 成树备份根。 (1) 配置 DHCP 服务,为 VLAN120 动态分配 IP 地址 DHCP 功 (2) 配置 DHCP 中继, VLAN110 从 SW1 获取使 能 IP 地址 (3) 配置 DHCP 中继,使 VLAN130 从 SERVER1 获取 IP 地址 176

(1) (1)配置 VRRP 协议:创建 2 个 VRRP 组, 分别为 group10 和 group20,实现 SW2 为 VLAN130 的活跃路由器, VLAN110 和 可靠性 VLAN120 的备份路由器。 能 (2) 配置链路聚合:将 Fa0/1-2 两端口配置 为链路聚合,并实现基于源和目标 MAC 地址的负载均衡方式。 (1) 不允许 VLAN120 和 VLAN130 的用户在工 作日(周一~周五)的上班时间 安全功 (9:00~18:00)访问互联网,其它时间允 能 许访问。 (2) 不允许 VLAN110 和 VLAN120 的用户相互 访问,其它不受限制。 (1) 配置 VLAN。 基本功 (2) 将端口 Fa0/1-5 加入到 VLAN110 SW3 能 (3) 将端口 F0/6-10 加入到 VLAN120 (4) 将端口 Fa0/9-20 加入到 VLAN130。 (1) 配置 MSTP,创建实例 10 和实例 20,将 优化功 VLAN110 和 VLAN120 加入到实例 10、 能 VLAN130 加入到实例 20。 (2) 配置 BPDU Filter、BPDU Guard 177

(1) 在 Fa0/1-5 上配置端口安全, IP 地址将 和 MAC 地址进行绑定。 安全功 (2) 配置端口安全,实现第 5 个端口只允许 能 1 个主机访问,违规关闭端口。 (3) 在所有的接入端口上配置 portfast。 (4) 关闭未用端口 (1) 将端口 f0/1-10 划分到 VLAN210 基本功 SW4 (2) 将端口 f0/2-20 划分到 VLAN220 能 (3) 关闭未用端口 6. 服务器配置要求 按照表 9-7 的要求配置服务器 SERVER1 和 SERVER2。 表 9-7 服务器配置要求表 设备名 实 现 功 详细说明 称 能 提供内网服务器的域名解析 www.cqcet.com DNS 服 SERVER1 和 ftp.cqcet.com 务 对无法解析的外网域名转发给 SERVER2 解析 DHCP 服 为 VLAN130 动态分配 IP 地址 务 FTP 服 提供公司的文件下载 务 178

提供外网的域名(服务器本身和邮件域名)解 WWW 服 提供公司内部网站 务 EMAIL 提供 internet.com 邮件服务功能 服务 提供外网的域名(服务器本身和邮件域名)解 DNS 服 析 务 将域名 cqcet.com 委派给服务器 SERVER1 解 SERVER2 析 FTP 服 提供外网文件下载 务 WWW 服 提供外网 internet.com 网站 务 项目分析 综合项目涉及的知识和要求比较复杂,需要对实验要求进行认 真分析,按照先后顺序对实验设备进行配置和测试,具体分析 如下。 (20)根据实验拓扑连接网络,对北京总公司和重庆分公司按照由 多到少的原则进行子网划分,然后配置交换机,将不同部门的 计算机接入到不同的 VLAN。 (21)配置计算机、交换机和路由器的 IP 地址,并配置路由器 R1、 R2 和 R3 相连的链路,保证设备直接相连的线路能够正常通信。 179

相互学习路由,保证北京总公司、重庆分公司和互联网三个网 (22)配置路由器和三层交换机的 RIP 或 OSPF 路由协议,让设备 相互学习路由,保证北京总公司、重庆分公司和互联网三个网 络内部能够相互访问。 (23)配置服务器 SERVER1 和 SERVER2 的 DNS、DHCP、EMAIL、FTP、 WWW 和邮件服务。 (24)配置交换机的的链路聚合、MSTP、VRRP,实现交换机的负载 均衡,让不同 VLAN 的信息通过不同交换机进行转发。 (25)配置交换机的端口安全功能,关闭交换机未用端口,让交换 机的端口与 MAC 地址、IP 地址绑定,防止用户非法接入,设置 交换机或路由器的密码和 SSH 功能。 (26)配置交换机的访问控制功能,使不同 VLAN(管理 VLAN 除外) 之间相互隔离,普通 VLAN 只能访问服务器 SERVER1 的 DNS、 FTP 和 WEB 服务。 (27)配置路由器的地址转换和访问控制实现公司内部的计算机 能够访问互联网的 WWW、DNS 和 EMAIL 服务,互联网用户 能够访问服务器 SERVER1;配置路由器的 IPSEC VPN 功能实 现重庆分公司能够访问北京总公司服务器 SERVER1。 9.1 IP 地址规划 1. 重庆分公司子网划分 2. 北京总公司子网划分 3. 计算机的 IP 地址分配 180

根据项目要求,连接各 VLAN 的计算机的 IP 地址是子网的 最后一个 IP 地址,其子网掩码是子网的第一个 IP 地址,计算 机的 IP 地址分配如表 9-16 所示。 表 9- 8 北京总公司计算机的 IP 地址分配表 设备名 IP 地址 子网掩码 默认网关 称 SERVER 192.168.1.22 255.255.255.24 192.168.1.23 1 5 8 PC1 192.168.1.19 255.255.255.22 192.168.1.22 3 4 2 PC2 192.168.1.12 255.255.255.19 192.168.1.19 9 2 PC3 192.168.1.1 255.255.255.12 192.168.1.12 8 6 PC4 192.168.2.1 255.255.255.12 192.168.2.12 8 6 PC5 192.168.2.12 255.255.255.12 192.168.2.25 9 8 4 181

配置交换机的名称; 配置交换机的 VLAN 的名称和 IP 地址; 9.2 设备基本配置 9.2.1 计算机的 IP 配置和交换机配置 按表所示对计算机的 IP 地址进行配置。 配置交换机的名称; 配置交换机的 VLAN 的名称和 IP 地址; 为端口指定 VLAN; 配置交换机端口的 IP 地址。 9.2.2 路由器基本配置 配置路由器的名称;配置路由器的端口 IP 地址 9.2.3 测试配置结果 测试计算机能够 PING 通它所在 VLAN 的 IP 地址;测试交换机 和路由器相互连接的端口能够正常通信。 (1)测试 SW1 ①SERVER1 能够 ping 通 VLAN100 的管理地址 ②PC1 能够 ping 通 VLAN110 的管理地址 ③PC2 能够 ping 通 VLAN120 的管理地址 ④PC3 能够 ping 通 VLAN130 的管理地址 (2)测试 SW2 ①PC1 能够 ping 通 VLAN110 的管理地址 ②PC2 能够 ping 通 VLAN120 的管理地址 ③PC3 能够 ping 通 VLAN130 的管理地址 182

将 R1àR3 直接相连的链路采用 PPP 封装,并使用 CHAP 认证 (3)测试 SW4 和 R4 ①PC4 能够 ping 通 R4 的 F0/1.210 端口的 IP 地址 ②PC5 能够 ping 通 R4 的 F0/1.220 端口的 IP 地址 ③PC4 能够 ping 通 PC5 (4)测试 R1 和 R3 ①R1 能够 ping 通 SW1 和 SW2 的 F0/2 端口地址 ②R1 能够 ping 通 R3 的 S4/0 端口地址 (5)测试 R3 和 R4 R3 能够 ping 通 R4 的 F0/0 端口地址 9.3 配置路由器相连的链路 9.3.1 配置 PPP 将 R1àR3 直接相连的链路采用 PPP 封装,并使用 CHAP 认证 保证链路的安全性,R 使 R1 能够 PIN 通与 R3 相连的端口 IP 地 址 13.1.1.2。 9.3.2 配置帧中继 将 R1àR2àR3 链路采用帧中继封装,使 R1 能够 PIN 通与 R3 相连的端口 IP 地址 123.1.1.2。 183

配置 SW1、SW2 和 R1 之间的 RIP 路由协议,协议版本为 2,取 9.4 配置路由功能 9.4.1 配置 RIP 路由协议 配置 SW1、SW2 和 R1 之间的 RIP 路由协议,协议版本为 2,取 消自动汇总,使 SW1、SW2 和 R1 相互学习到北京总公司的内部路 由,使总公司的所有计算机、交换机和路由器 R1 直连端口之间 能够相互通信。 9.4.2 配置 SW1 和 SW2 到互联网的默认路由 配置 SW1 和 SW2 到互联网的默认路由,使北京总公司的计算 机能够访问 R1 连接互联网的两端口。 9.5 配置服务器 9.5.1 配置服务器 SERVER1 (1)配置 DNS 服务 (2)配置 WWW 服务 (3)配置 FTP 服务 (4)DHCP 服务 9.5.2 配置服务器 SERVER2 (1)配置 EMAIL 服务 (2)配置 DNS 服务 184

让 SW1 作为 VLAN110 的 DHCP 服务器, VLAN110 动态分配 IP为 (3)配置 FTP 服务 (4)配置 WWW 服务 9.6 配置 DHCP 服务 让 SW1 作为 VLAN110 的 DHCP 服务器, VLAN110 动态分配 IP为 地址;让 SW2 作为 VLAN120 的 DHCP 服务器,为 VLAN120 动态分 配 IP 地址;让 SERVER1 作为 VLAN130 的 DHCP 服务器;让 SW1 同 时担当 DHCP 中继服务器,实现 VLAN120 和 VLAN130 的中继;让 SW2 同时担当 DHCP 中继服务器,实现 VLAN110 和 VLAN130 的中 继。 让路由器 R4 作为 VLAN210 和 VLAN220 的 DHCP 服务器,为 VLAN210 和 VLAN220 动态分配 IP 地址。 9.7 配置交换机的安全 9.7.1 配置链路聚合 链路聚合是将交换机的多个低带宽端口捆绑成一条高带宽链 路,可以实现链路负载平衡,避免链路出现拥塞现象。本项目将 交换机 SW1 和 SW2 相连的两个端口 F0/4 和 F0/5 聚合在一起。 9.7.2 配置 MSTP 负载均衡是提高网络性能的重要技术,多实例生成树协议 MSTP 提出了在不改变网络交换基本方式的前提下,在不同的虚拟 185

局域网 VLAN 中采用不同的生成树拓扑进行通信,通过控制各 负载均衡提供了条件。 9.7.3 配置 VRRP 协议 配置 VRRP, VLAN110 计算机的信息默认传送到交换机 SW1,让 让 VLAN120 和 VLAN130 计算机的信息默认传送到交换机 SW2,实 现流量的负载均衡,当某一交换机或线路出现故障,另一交换机 将立即接替故障交换机的工作,让信息转发到正常交换机,保证 网络不会中断。 9.7.4 配置交换机的端口安全 为了保证交换机的安全,首先应关闭没有使用的端口,防止 非法用户接入到多余端口;然后对接入端口实行 BPDU 保护,不 允许接入端口连接到交换机上;对连接服务器的端口实行 IP 和 MAC 地址绑定;对连接管理员 VLAN 的端口限制最大连接数量, 同时进行 MAC 地址绑定,防止非法接入。 9.7.5 配置路由器和交换机的密码与 SSH 登录设置 路由器和交换机的安全非常重要,若一个恶意用户通过类似 Sniffer 这样的嗅探工具,很容易就能在管理员主机或者适当的 接口进行本地监听获取管理员登录思科路由器的密码。其实,我 186

们可以利用 SSH 加强思科路由器远程管理。 SSH 的英文全称为 Secure Shell,默认的连接端口是 22,其 传输的数据是经过压缩的,可以加快传输的速度;通过使用 SSH, 可以把所有传输的数据进行加密,也能够防止 DNS 和 IP 欺骗。 SSH 不仅可用于路由器和交换机的安全管理。在我们进行系 统的远程管理、服务器的远程维护等实际应用中都可以部署基于 SSH 远程管理;SSH 工具不仅有命令行下的,也有一些 GUI 图形界 面下的工具。这里以 SW1 为例配置 SSH Server,允许通过 SSH 远程管理设备。 9.7.6 配置交换机的访问控制 允许 VLAN120 和 VLAN130 的用户访问总公司服务器的 DNS、FTP 和 WEB 服务;允许所有内网计算机 PING 服务器;不允许 VLAN110 的用户访问 VLAN 120 和 VLAN 130;不允许 VLAN120 的用户访问 VLAN 110 和 VLAN 130。 9.8 配置路由器的安全 9.8.1 配置网络地址转换 在 R1 上配置动态网络地址转换,使北京总公司的计算机能 够访问互联网, SERVER1 进行静态地址转换,对使互联上的 计算机能够访问 SERVER1;在 R4 配置网络地址转换,使重 庆分公司的计算机能够访问互联网。 187

北京总公司的管理员能在任意时间访问互联网,所有员工均 9.8.2 配置路由器 R1 的访问控制 北京总公司的管理员能在任意时间访问互联网,所有员工均 能访问 DNS 和 ICMP 服务,一般员工只能在工作时间访问互 联网的 WEB、EMAIL 服务。允许互联网上的计算机只能访 问服务器上的 WEB 网站和 ICMP 服务。 9.8.3 配置 IPSEC VPN 在 R1 和 R4 上配置 IPSEC VPN,实现重庆分公司的各个子网 能够安全访问总公司的服务器(VLAN 100),VPN 采用隧道模式。 9.8.4 配置路由器 R4 的访问控制 重庆分公司的所有员在工作时间只能访问互联网的 WEB、 EMAIL、DNS 服务,在休息时间可以访问互联网的所有服务。重 庆分公司的员工只能访问北京总公司服务器的 ICMP、DNS、WEB 服务和 FTP 服务。并且不允许公司内部不同的 VLAN 之间相互通 信。 188