成都信达博锐网络实验室 www.xdbr-lab.com 咨询电话:028-85257006 85255076 85255176 咨询 QQ:609119966 609119988 609120088
成都寰宇网络技术有限公司信达博锐网络实验室简介: 信达博锐网络实验室努力坚持以人为本,服务社会的经营理念,充分利用自身优势,运 用国际化先进运营模式,技术水平始终与国际领先水平保持同步,努力打造认证培训在西南 地区第一品牌形象,努力为西南地区输送大量网络技术人才。 实验室拥有独立的教学环境,多间国际认证标准配置的培训教室为学员创造良好的学习 实验空间。 我们还拥有雄厚的师资力量,中心讲师均在各大一线厂商和运营商担任技术总监 职务,有丰富的工程经验以及授课经验,从专业技术和实践经验方面都堪称行业翘楚。 从开始的蹒跚学步,到现在的颇具规模,培训课程的多样性及服务质量得到了客户的高 度赞赏。 信达博锐网络实验室,值得您信赖的选择!我们将与您并肩携手,共铸成功,与智者同行, 共创辉煌! 我们的宗旨是:专注于高端网络技术培训,倡导以“专业力强,实战性强,竞争力强”的全面培 训体系。 ☆ 顶级平台 思科认证课程是为培养学生解决实际问题能力而开设,所以我们立志于高度重视培养学员的 实际动手能力和解决问题的能力。 实验室拥有大量工程实训网络设备及特聘一线厂商高级工程师讲师,以满足学生实际工程能 力。同时拥有完整的路由交换、网络安全、运营商实验室。 ☆ 全真实训 为了提升学生实际工程能力,我们还和 CISCO 金牌代理商及企事业单位签署实训合约,为学 生提供工程实践的机会,真正意义上让学生从实验室走向工程现场,切实有效的提高学员实战能 力,进而增加学生的市场竞争力。通过实训,努力促进大学生实现“一个转变,两个转化”, 即: 促进大学生择业、就业观念的转变,促进专业知识向专业技能的转化,促进学生身份向员工身份 的转化,最终促进大学生就业“零适应期”人才培养目标的实现。 ☆ 职业素养 为适应社会发展的需求,只有同时具备专业技能和良好的职业素养,才更加具备核心竞争力。 由世界 500 强企业人力资源总监为每一位学生量身打造了职业素养课程,让学生第一时间适应企 业工作需求,为企业节省大量人力资源培训周期,从而有效的服务于市场运作机制。 ☆ 7×24 实验室 实验室 7×24 全天侯开放。专人指导实验,也可预约远程实验。 ☆
售后服务 为学员提供终身免费技术支持。
☆ 完善的企业客户定制培训 信达博锐网络实验室为企业客户提供定制培训业务,可以根据企业的培训需求,提供免费的 咨询及评估,再根据企业的培训目标,按照企业确定的时间和要求来定制相应的培训计划,选派 优秀的讲师授课,为企业减少时间,降低支持费用。 ☆ 高端人才储备中心 信达博锐网络实验室成立人才储备中心,建立推选及备选机制,依托高品质的培训质量,信达 博锐网络实验室的学员,会以扎实的技术、足够的信心、饱满的热情走向工作岗位。
联系方式
成都信达博锐网络实验室 www.xdbr-lab.com 咨询电话:028-85257006 85255076 85255176 咨询 QQ:609119966 609119988 609120088
电话:028-85257006 85255076 85255176 咨询 QQ:609119988 地图:
成都信达博锐网络实验室环境展示
成都信达博锐网络实验室 www.xdbr-lab.com 咨询电话:028-85257006 85255076 85255176 咨询 QQ:609119966 609119988 609120088
目录 前 言 ................................................................................... 3 实验一 网线的制作和无线AP配置演示 .............................. 5 1.1 网线的制作 ..................................................................... 5 1.2 无线AP配置演示 .............................................................. 9
实验二
路由器的基本应用 ................................................11 2.1 路由器IOS软件及操作概述 ........................................... 11
联系我们:思科网络技术院理事会 电 话:800-810-7550 网 站:www.catc.edu.cn 传 真:010-62771527 邮 编:510641 邮 箱:cac@tsinghua.edu.cn 地 址:清华大学中央主楼 311-1
2.2 实验设备 ....................................................................... 12 2.3 实验内容 ....................................................................... 12 2.4 实验命令汇总................................................................ 19
实验三
组网实验 ............................................................. 21 3.1 路由选择协议概述......................................................... 21 3.2 实验设备 ....................................................................... 21 3.3 实验内容 ....................................................................... 21 3.4 实验命令汇总................................................................ 26
版权声明:
实验四
高级组网实验 ...................................................... 27
Copyright@2005 by Cisco Networking
4.1 路由选择协议概述......................................................... 27
Academy Council & Network Research
4.2 实验设备 ....................................................................... 27
Certer of South China University of
4.3 实验内容 ....................................................................... 28
Technology.
4.4 实验命令汇总................................................................ 39
All rights reserved.
实验五
访问控制列表的配置.......................................... 40
本书版权归思科网络技术学院理事会和华
5.1 访问控制列表概述......................................................... 40
南理工大学信息网络工程研究中心共同所
5.2 实验设备 ....................................................................... 40
有;未经允许,对本书任何部分不得以任
5.3 实验内容 ....................................................................... 40
何方式复制或抄袭。
5.4 实验命令汇总................................................................ 43
版权所有,侵权必究。
实验六
交换机基本应用................................................... 43 6.1 交换原理概述................................................................. 44
版
6.2 实验设备 ....................................................................... 45
次:2005 年 11 月第 2 版
6.3 实验内容 ....................................................................... 45
著 者:李健伟(华南理工大学) 封面设计:黄燕云(广州数园网络有限
6.4 实验命令汇总................................................................ 50
实验七
Vlan域间路由 ...................................................... 51 7.1 交换原理概述................................................................. 52
公司)
7.2 实验设备 ....................................................................... 53 7.3 实验内容 ....................................................................... 53 7.4 实验命令汇总................................................................ 55
实验八
帧中继、NAT实验 ............................................... 56 8.1 帧中继和NAT技术概述.................................................. 57 8.2 实验设备 ....................................................................... 58 8.3 实验内容 ....................................................................... 58 8.4 实验命令汇总................................................................ 62
2
前 言
|
前 言 如何使用本实验手册 本实验手册将 CCNA 所要求的重点内容编排为八个实验章节,各章内容结构一致。 每章第一部分是实验所涉及技术的概述,使大家可以较快回忆起理论课上的技术要点, 为实验进行技术上的准备;第二部分是实验内容部分,讲解具体的实验,是各章的中心; 第三部分是本章小结,以列表的方式对本章中所用到的命令进行总结,以便读者查阅。 如下面结构概述所述,各章实验内容都对 CCNP 有所涉猎,各位学员倘有疑惑, 可以翻阅相关 CCNP 的资料书籍以期达到更加深入的理解。 学习网络技术最好的方法便是亲自动手做实验,希望大家能够在实际环境中完成所 有实验,熟练掌握配置命令;网络上提供了大量的模拟器,希望学员回去之后可以多用 模拟器模拟网络环境,熟悉配置命令。 结构概述 第一和第二个实验是关于无线局域网演示、网线制作和路由器基本使用,为以后的 六个章节的实验打下基础。 实验三、四主要关于路由协议的配置,在路由器上进行静态路由、RIP、IGRP 和 单区域 OSPF 的基本配置,此部分知识点在 CCNP 课程中发展为第五学期课程――高 级路由技术; 实验五介绍了网络环境中经常用到的一种安全控制技术――IP 访问控制列表,还 涉及到了 TCP/IP 协议栈的相关知识; 实验六、七是关于交换机的基础配置以及 VLAN 的配置,本知识点在 CCNP 课程 中发展为第七学期――多层交换技术; 实验八介绍了当今流行的两种广域网技术帧中继和 NAT 技术,本知识点在 CCNP 课程中发展为第六学期――远程接入技术。 图标说明 本实验手册中将会出现以下三种图标,希望大家对图标右面的文字格外重视,因为 它可能会告诉你一些重要的信息或者是希望你认真思考的知识点,这些都有助于知识点 的深化。
学一招 提示,技巧。经常是一些工程实际中常出现的问题和解决的技巧,或者是教材内 容的引深和扩展,这些小的提示或许可以让你尝尽“一招先”的妙处。 想想看 思考点,本实验手册根据重要的知识点提炼出了一些较有价值的思考问题,通过 对这些问题的思考和研究可以让你准确把握知识的精髓。 试试看 希望大家能够自己动手尝试一下实验手册中所提出的方案,学习 Cisco 网络技术 最好的途径便是亲自动手做实验,学习体会知识点。
33
4
实验一 网线的制作和无线 AP 配置演示 |
实验一
网线的制作和无线AP配置演示
五类非屏蔽双绞线价格相对便宜,组网灵活,在中国的网络布线中,使用非常广泛。无 线局域网较之传统有线局域网具有安装便捷、使用灵活和易于扩展等特点,近年来,随着适 用于无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟,在现在网络建设中使用越来 越广泛。这两部分的内容作为Cisco网络技术的基础是需要大家了解掌握的。 本节实验我们向大家介绍使用工程布线中常用的工具制作交叉线和直通线以及演示无 线 AP 的配置。
1.1 网线的制作 1.1.1 网线和无线局域网技术概述 1.1.1.1 双绞线技术原理概述 大多数局域网使用非屏蔽双绞线(UTP—Unshielded Twisted Pair)作为布线的传输介质 来组网,网线由一定距离长的双绞线与 RJ45 头组成。 1. 双绞线的分类 双绞线可按其是否外加金属网丝套的屏蔽层而区分为屏蔽双绞线(STP)和非屏蔽双绞 线(UTP)。在 EIA/TIA-568A 标准中,将双绞线按电气特性区分有:三类、四类、五类线。 网络中最常用的是三类线和五类线,超五类,目前已有六类以上线。第三类双绞线在 LAN 中常用作为 10Mbps 以太网的数据与话音传输,符合 IEEE802.3 10Base-T 的标准。第五类 双绞线目前占有最大的 LAN 市场,最高速率可达 100Mbps,符合 IEEE802.3 100Base-T 的标准。做好的网线要将 RJ45 水晶头接入网卡或 HUB 等网络设备的 RJ45 插座内。相应 地 RJ45 插头座也区分为三类或五类电气特性。EIA/TIA 的布线标准中规定了两种双绞线的 线序 568B 与 568A。双绞线的最大传输距离为 100 米。 2. 差分方式传输 所谓差分方式传输,就是发送端在两条信号线上传输幅值相等相位相反的电信号,接收 端对接受的两条线信号作减法运算,这样获得幅值翻倍的信号。其抗干扰的原理是:假如两 条信号线都受到了同样(同相、等幅)的干扰信号,由于接受端对接受的两条线的信号作减 法运算,因此干扰信号被基本抵消。双绞线将两根线扭在一起,按照电磁学的原理分析出: 可以近似地认为两条信号线受到的干扰信号是同相、等幅的。两条线交在一起后,既会抵抗 外界的干扰也会防止自己去干扰别人。
1.1.1.2 无线局域网技术 1.无线局域网(Wireless LAN)是指利用射频、微波或红外线等介质在有限的地域范 围内互连设备的通信系统。通常用作有线局域网的扩展来使用。 无线局域网具有使用方便,可以灵活的满足组网的特点。无线局域网也有很多不足,如 无线网络速率较慢、价格较高,因而它主要面向有特定需求的用户。目前无线局域网还不能 完全脱离有线网络,无线网络与有线网络是互补的关系,而不是竞争;目前还只是有线网络 的补充,而不是替换。 2.当前常用的无线网络产品: 55
| 实验一 网线的制作和无线 AP 配置演示 蓝牙:是一种开放性短距离无线通信技术标准,主要面向移动设备间的小范围连接,曾 一度曾被业界看好,但目前发展有限; HomeRF:无线家用网络,由 Home RF 工作组开发的一项无线网络技术,但由于技术 没有公开,目前只有几十家企业支持,在抗干扰等方面相对应其他技术而言尚有欠缺; IEEE 802.11 协议簇:IEEE(电气和电子工程师协会)制定的一个无线局域网标准,主 要用于解决办公室局域网和校园网中的用户与用户终端之间的无线接入,目前应用最为广 泛。802.11 协议诞生于 1997 年 6 月,随后不久又扩展了 802.11b、802.11a、802.11g 等标准; 802.11b:使用开放的 2.4GHz 直接序列扩频(DSSS),最大数据传输速率为 11Mbps, 目前应用最广,同时也为 Intel 迅驰技术所采用; 802.11a:工作在 5GHz 频带,物理层速率可达 54Mbps,传输层可达 25Mbps,但目前 设备较为昂贵,而且跟 802.11b 无法向下兼容; 802.11g:新通过的一个无线局域网标准,工作在 2.4GHz 频段,兼容 802.11b,最高可 以提供 54Mbps 的速度。 3.无线局域网的组成及工作方式:无线局域网的硬件设备包括 AP(无线接入点)和 无线网络适配卡;无线局域网的工作方式有 Ad-Hoc(点对点)和 Infrastructure 两种。AP 的几种配置方法有 Console、WEB、SNMP、telnet、附送的管理软件等。
1.1.2 实验内容:网络线的制作和测试 1.1.2.1 实验目的: z z z
了解双绞线传输原理 学会使用常用的布线工具 学会制作双绞线和交叉线
1.1.2.2 原理解释: EIA/TIA 的布线标准中规定了双绞线的两种线序 568B 与 568A,在整个网络布线中应 该采用一种布线方式。两种线序如下表和图一所示。 T568 标准: T568B
是否用于百兆传输
是否用于百兆或千兆传输
绿白
橙白
是
是
传输
绿
橙
是
是
3
接收
橙白
绿白
是
是
4
没用
蓝
蓝
否
是
5
没用
蓝白
蓝白
否
是
6
接收
橙
绿
是
是
7
没用
棕白
棕白
否
是
8
没用
棕
棕
否
是
序号
用途
1
传输
2
6
T568A
实验一 网线的制作和无线 AP 配置演示 |
图一 想想看: 图一中 T568A 线缆中为什么 pair2 要跳过 4、5 绞合在一起,为何不是 3 和 4,5 和 6 绞合在一起,这样做意义何在?
规定双工方式下本地的 1、2 两脚为信号发送端,3、6 两脚为信号接收端,所以讲,这两 对信号必须分别使用一对双绞线进行信号传输,在做线时要特别注意。以 568B 方式为例,1、 2 两脚使用橙色的那对线,其中白橙线接 1 脚,橙线接 2 脚;3、6 两脚使用绿色的那对线, 其中白绿线接 3 脚,绿线接 6 脚,剩下的两对线在 10M、100M 快速以太网中一般不用,通 常将两个接头的 4、5 和 7、8 两接头分别使用一对双绞线直连,4、5 用蓝色的那对线,4 为 蓝色,5 为白蓝色;7、8 用棕色的那对线,7 为白棕色、8 为棕色。 如果网线两头都按一种方式做就是直通线;如果网线的两头不按一种方式,一头是 568B,另一头是 568A,那么这种做法便是交叉线。如图二所示。
图二
77
| 实验一 网线的制作和无线 AP 配置演示
学一招: RJ45 水晶头由金属片和塑料构成,特别需要注意的是引脚序号,当金属片面对我们 的时候从左至右引脚序号是 1-8, 这序号做网线时非常重要,不能搞错。RJ45 接头 的 8 个接脚的识别方法是,铜接点朝自己,头朝右,从上往下数,分别是 1、2、3、 4、5、6、7、8。
1.1.2.3 实验内容: 1.网线制作过程: 我们以 100Mb 的 EIA/TIA 568B 作为标准规格为例,以图示形式向大家介绍制作具体过程。 步骤 1 - 利用斜口错剪下所需要的双绞线长度,至少 0.6 米,最多不超过 100 米。然后再利用双绞线剥线器将双绞线的外皮除去 2-3 厘米。 有一些 双绞线电缆上含有一条柔软的尼龙绳,如果您在剥除双绞线的外皮时,觉得 裸露出的部分太短,而不利于制作 RJ-45 接头时,可以紧握双绞线外皮, 再捏住尼龙线往外皮的下方剥开,就可以得到较长的裸露线。 步骤 2 - 剥线完成后的双绞线电缆如右图所示。 步骤 3 - 接下来就要进行拨线的操作。将裸露的双绞线中的橙色对线拨向自 己的前方,棕色对线拨向自己的方向,绿色对线剥向左方,蓝色对线剥向右 方,如右图所示。 上:橙; 左:绿; 下:棕; 右:蓝。 步骤 4 - 将绿色对线与蓝色对线放在中间位置,而橙色对线与棕色对线保持不 动, 即放在靠外的位置,调整线序为以下顺序:左一:橙; 左二:蓝; 左三: 绿; 左四:棕 。 步骤 5 - 小心的剥开每一对线,白色混线朝前。因为我们是遵循 EIA/TIA 568B 的标准来制作接头,所以线对颜色是有一定顺序的,如右图所示。 需要特别注意的是,绿色条线应该跨越蓝色对线。这里最容易犯错的地方就是 将白绿线与绿线相邻放在一起,这样会造成串扰,使传输效率降低。左起:白橙/橙/白绿 /蓝/白蓝/绿/白棕/棕 常见的错误接法是将绿色线放到第 4 只脚的位置。应该将绿色 线放在第 6 只脚的位置才是正确的,因为在 100BaseT 网络中,第 3 只脚与第 6 只脚是同一 对的,所以需要使用同一对线。(见标准 EIA/TIA 568B) 左起:白橙/橙/白绿/蓝/白 蓝/绿/白棕/棕 步骤 6 - 将裸露出的双绞线用剪刀或斜口钳剪下只剩约 14mm 的长度, 之所以留下这个长度是为了符合 EIA/TIA 的标准,您可以参考有关用 RJ-45 接头和双绞线制作标准的介绍。最后再将双绞线的每一根线依序 放入 RJ-45 接头的引脚内,第一只引脚内应该放白橙色的线,其余类 推。
8
实验一 网线的制作和无线 AP 配置演示 | 步骤 7 - 确定双绞线的每根线已经正确放置之后,就可以用 RJ-45 压 线钳压接 RJ-45 接头,如右图.市面上还有一种 RJ-45 接头的保护套, 可以防止接头在拉扯时造成接触不良。使用这种保护套时,需要在压 接 RJ-45 接头之前就将这种胶套插在双绞线电缆上。 步骤 8 - 重复步骤 2 到步骤 7,再制作另一端的 RJ-45 接头。
学一招: 标准直通线,用于工作站和集线器,工作站和交换机或交换机和路由器之间的连接。 标准交叉线,用于集线器间,交换机之间或者是工作站之间的连接。
2.简易测试仪的使用 步骤 1 - 示范使用电缆测试装置,了解测试仪的原理 简易测试仪分成主模块和副模块。主模块按顺序每根芯线都发出一个电平信号,如果网 络线的相应芯线和水晶头的金属切片是连通的,那么主模块和副模块相应的灯也会亮。如果 不亮,那说明这根芯信的连接有问题。如果这根芯线是用于传输数据的话,则该水晶头需要 重新做了。 注意,简易测试仪只能测试网线中每根芯线连接还是断开,而不能测试其性能上的参数。 步骤 2 - 用一个电缆测试仪测量一条直通线或者交叉线 把网络线的两头分别插入主模块和副模块的 RJ45 插座,打开主模块左侧的开关。注意 观察主模块和副模块上灯的闪动的情况,并根据电线映射的特性检查电缆是否开路或短路。 主模块上灯闪动的顺序是 1~8 循环,如果副模块上闪动的顺序也是 1~8,那么说明这 根是直通的网络线。如果副模块上闪动的顺序是 3,6,1,4,5,2,7,8,那么说明这根 网是交叉的网络线。 想想看: 如果电缆有开路或者短路副模块上的灯会出现什么情况?倘若副模块中出现两个 灯同时亮,这是什么情况?
1.2 无线 AP 配置演示 1.2.1 实验目的: z z
了解无线局域网当前的发展情况 了解常用的无线网络配置参数
99
| 实验一 网线的制作和无线 AP 配置演示
1.2.2 实验步骤: 1.2.2.1 简单的无线局域网配置 SSID 的概念:服务群标识号(Service Set Identifier),用于标记和区分不同的无线局域 网络。一个无线局域网要正常工作,客户端必须配置正确的 SSID。 以下为演示步骤: 1.运行 AP 管理程序,搜索网络,可以搜索到该 AP; 2.配置该 AP 的 SSID 为 scut_nc;设置管理帐号和密码;配置 IP 地址为 192.168.0.1; 3.将笔记本网卡换为无线网卡,配置 IP 为 192.168.0.11/255.255.255.0,与 AP 是同一 个网段,但此时应 ping 不通 192.168.0.1(AP 的管理地址); 4.通过搜索设置无线网卡的 SSID,此时应可以 ping 通 192.168.0.1。
1.2.2.2 增强无线网络的安全性 简单的无线网络存在很大的安全性问题,任何人均可以通过搜索 SSID 来探测当前存在 的无线网络,通过配置 SSID,可以随意接入这个网络中。为了增强无线网络的安全性,AP 一般具备以下功能: 1. 隐藏 SSID(演示): 部分 AP 支持“隐藏 SSID”功能 1) 利用 AP 管理程序配置“隐藏 SSID”功能; 2) 将无线网卡的 SSID 配置为 any,搜索无线网络,此时应无法找到无线网络; 2. 采用 WEP 加密(演示) : WEP(有线等效保密):采用一个 40bit 或 104bit 的密匙,这个密匙被用作一个向量来 产生一个 64bit 或 128bit 的密匙,对无线传输中的数据进行加密,从而保证无线网络的安全。 1)利用 AP 管理程序配置 64bit 的 WEP 加密字串; 2)设置无线网卡的 SSID,此时仍无法 ping 通 192.168.0.1; 3)配置无线网卡的 WEP,此时可以 ping 通 192.168.0.1; 提示:WEP 并非万能,配置了 WEP 以后仍然可以通过监听软件来破解 WEP 密匙。 3. 采用 MAC 过滤 设置哪些 MAC 地址范围可以使用该 AP 4. 采用 802.1x 认证 802.1x 协议:基于端口的网络接入控制协议。申请者在接入网络之前,AP 对其是阻塞 的,只有发送认证信息到 Radius 服务器通过认证以后,AP 才允许其接入到网络中,否则, 申请者将被拒绝。
1.2.2.3 AP 的覆盖范围 AP 有覆盖范围的限制,不同厂家的产品的覆盖范围不同。通常在开阔地带为 100 米左 右。可以通过更换天线、增加功率放大器等方法来扩大覆盖的范围。
10
实验二 路由器的基本应用 |
实验二
路由器的基本应用
IOS 软件是 Cisco 网络技术的重要组成部分,是 Cisco 设备的灵魂,也是 CCNA 考试的必考内容。我们对于网络设备的配置,其实也就是对 IOS 软件的配置。本节实 验我们主要认识一下路由器接口,内存体系,针对 IOS 软件操作的主要方面进行展开, 使学员在真实网络环境下熟悉基本 IOS 操作与命令行控制。
2.1 路由器 IOS 软件及操作概述 2.1.1 路由器的基本组件及其作用 路由器的基本组件包括处理器、接口和存储器。 1. 处理器 处理器即 CPU,是路由器的核心部件。Cisco 路由器处理能力随着路由器型号的不 同而异,总的来说,越是高端的路由器,其处理器处理能力越高。在 CCNA 认证考试中, 处理器的具体型号不是考察的主要内容。 2. 接口 在 Cisco 路由器上有着丰富的接口类型,如以太网口、快速以太网口、串行、异步 /同步、ATM、ISDN 等接口。在 CCNA 考试中,我们应对以太网口、快速以太网口、串行、 ISDN 接口倍加重视,他们是主要考察对象。 对于不同的路由器系列,接口的编号通常有以下三种规则: 1)固定配置或者低端路由器,其接口的编号是用单个数字,例如 Cisco 1600 路由 器的接口编号可以是 e0(以太网接口 0),s0(串行接口 0)等。 2)中低端的模块化路由器,其接口的编号是用两个数字,中间用“/”格开,斜杠 前面的是模块号,后面是模块上的接口编号。例如 Cisco 2600 路由器上的接口编号是: f0/1(快速以太网口 0/1),s1/1(串行接口 1/1)等。 3)高端的模块化路由器,其接口的编号有时是三个数字,中间用“/”格开,第一 个数字是模块号,第二个数字是该模块上的子卡号,第三个数字是该子卡上的接口模块 号。例如 Cisco 2800 路由器上的接口编号可以是 g0/0/0(Gigabyte 以太网口 0/0/0) , s0/1/1(串行接口 0/1/1)等。 3. 存储器 路由器中有四种主要的存储器,分别是 ROM、RAM、Flash 和 NVRAM。 ROM,只读存储器,其中存储了一个基本的 IOS 软件,具有有限的功能和性能,用以在 加电时引导路由器的启动。 RAM,随机存取存储器,它是 IOS 软件活动的场所,作为工作存储器与处理器配合 完成各种处理,运行配置文件(running-config)存放在 RAM 里。RAM 中的所有内容,包 括运行配置文件都在断电后被清除。 Flash,非易失性存储器,在路由器中 Flash 主要用于存储 IOS 映象文件。 NVRAM,非易失性存储器,用于存储启动配置(startup-config)文件。
2.1.2 对 IOS 软件的基本操作 IOS 软件操作主要包括以下几个方面。 11 11
| 实验二 路由器的基本应用 各种配置模式下的切换,查看版本、基本组件信息,口令设置和恢复,管理配置文件, 口令的设置和破解等。
2.2 实验设备 1. 装有网卡的 PC 机,PC 上安装 Windows 操作系统;
2.Cisco 路由器,型号不限; 3. Console 电缆,以及相应的接口转换器。
2.3 实验内容 2.3.1 路由器的初步认识 2.3.1.1 实验目的: z z z
确认实验所用路由器的型号,以及它有哪些接口。 了解 console cable,roll-over cable,cross-connect cable ,straight-through cable 以及它们 的用法。 学习如何检查及修改超级终端的参数配置。
2.3.1.2 实验步骤: 步骤 1 - 确认路由器型号,观察路由器上的各种接口。思考回答以下问题。 1. What is the model number? 2. Do you see a console port? (Y/N) 3. What port is it connected to on the console terminal (PC workstation)? _______________________________________________________________ 4. What type of cable is the console cable, and is it a roll-over, cross-connect or straight-through cable? 步骤 2 - 学习路由器的连接以及超级终端的使用。 1.先启动路由器,等待 OK 灯不闪烁; 2.用 console 线(反转线,注意与网线的比较)把计算机的 COM 口与路由器的 console 口直接相连。 3.点击“开始——程序——附件——通讯——超级终端”,建立连接,采用默认选项, 各缺省参数如下。 z 端口速率:9600bit/s; z 数据位:8 z 奇偶校验:无; z 停止位:1; z 流控:无。 4.终端会话屏幕将出现路由器启动信息,按回车进入。
12
实验二 路由器的基本应用 |
学一招: 倘启动配置文件(configuration file)丢失的情况下将进入 Setup 模式(setup mode)以进行手动配置。在此模式下只保存着配置文件的最小子集,再以问答的形 式由管理员选择配置。通常我们并不会通过 setup 对话模式配置路由器,按 ctrl +c 可以退出此模式,进入命令行。
2.3.2 路由用户界面模式 2.3.2.1 实验目的: z z z
验证六种基本的和两种可选的路由器模式 熟悉每种模式下的路由器的提示符 使用几种命令进入特定的模式
实验步骤: 步骤 1 - 比较路由器在不同模式下的提示符。把正确的选项填入下表中 模式种类
提示符
1. 用户模式(User EXEC Mode) 2. 特权模式(Privileged EXEC Mode) 3. 全局配置模式(Global configuration mode) 4. 路由配置模式(Router configuration mode) 5. 端口配置模式(Interface configuration mode) A.Router# B.Router> C.Router(config-if)# D.Router(config-router)# E.Router(config)# 步骤 2 - 比较路由器在不同模式下的功能。把正确的选项填入下表中 Mode Description
Mode Prompts
1. User EXEC Mode 2. Privileged EXEC Mode 3. Global configuration mode 4. Router configuration mode 5. Interface configuration mode 详细查看路由器的运行情况,对路由器进行调试、测试, A. 设置 IP 地址和子网掩码 B. 运行简单的配置命令 C. 有限度地查看路由器的运行情况,可远程登录 D. 设置路由选择协议 13 13
| 实验二 路由器的基本应用
2.3.3 基本路由器配置 2.3.3.1 实验目的: z z z
路由器基本信息配置 用端口配置模式配置路由器的端口 配置 telnet 配置方法
2.3.3.实验步骤: 步骤 1 - 路由器基本信息配置 1. 为路由器设置主机名: 命令:Router# config t //”config terminal”的简写,进入全局配置模式 Router(config)# hostname Router1 // 把该路由器命名为 Router1 注意:如果名字含有空格的话,要用双引号括起来。 2. 建立 enable 口令和 secret 口令: 命令:Router(config)#enable password cisco //设置进入特权模式的密码 命令:Router(config)#enable secret cisco //设置进入特权模式的密码
试试看: 上两句命令都为设置从用户模式进入特权模式的密码,有何不同呢。在特权模式下 输入 show running-config,你就会发现了。
步骤 2 - 用端口配置模式配置路由器的端口(包括以太网口配置和串口的配置) 1.配置以太网口: 命令: Router# config t Router(config)# int e0 // 如果是快速以太网口则输入:int f0 Router(config-if)# ip address 192.168.3.1 255.255.255.0 //配置以太网口 Router(config-if)# no shut //激活该以太网口 2.配置串行口: 命令: Rouer # config t Router(config)# int s0 Router(config-if)# clock rate 56000 // DCE 设备配置时钟,DTE 设备不用配置 Router(config-if)# ip address 192.168.2.1 255.255.255.0 Router(config-if)# no shut
14
实验二 路由器的基本应用 |
学一招: 1.如果想删除 e0 的 ip 怎么办呢?方法是在同样的模式下输入相同命令,只不过 前面加 no,即 Router(config-if)# no ip address 192.168.3.1 255.255.255.0 即可 删除之前配置的 e0 端口的 ip。即如果相对一个命令想做相反的动作,只需在原 命令前面加 no。 2.配置路由器的串口要区分是 DCE 口还是 DTE 口。DCE 要配时钟,而 DTE 则 不必。例如观察 s0 属于哪种接口,可以在特权模式下输入命令:show controller s0。 步骤 3 - 配置 telnet 配置方法 1.能进行 telnet 的前提: 1)主机能 ping 通路由器; 2)路由器设置了 telnet 密码; 3)路由器允许通过 telnet 登录; 4)如果需要进入特权模式,还需要配置 enable 密码。 2.启动 telnet: Router# config t Router(config)# line vty 0 4 // 同时允许 0-4 共 5 个连接 Router(config-line)# login //登录 Router(config-line)# password cisco //设置登录密码为 cisco 将计算机 ip 地址改为与路由器接口地址同一网段,此时可以通过 telnet 登陆到 路由器。
2.3.4 路由器 show 命令 2.3.4.1 实验目的: z z z z z z
熟悉基本的路由器 show 命令 用 show version 命令获取路由器地硬件配置信息 用 show running-config 获取在内存中的路由器当前的运行配置文件 用 show startup-config 查看在 NVRAM 中的备份配置文件 用 show flash 查看 IOS 文件信息 用 show interface 查看路由器端口当前状态
2.3.4.2 实验步骤: 步骤 1 - 使用帮助命令。在路由器提示符下打入“?”获得帮助,并回答以下问题: 1.路由器回应了什么信息? 是否所有的路由器命令在当前模式下均可运行? 2.“show”命令是否当前的选项之一? 步骤 2 - 通过 Show Version 命令了解 IOS 版本和其它关于路由器 RAM,NVRAM, Flash Memory 以及 register value 的信息。思考回答以下几个问题: 15 15
| 实验二 路由器的基本应用 1.What is the IOS version? 2.What is the name of the system image (IOS) file? 3.What type of processor (CPU) and how much RAM does this router have? 4.What is the Configuration register set to? 步骤 3 - 运行其他 show 命令,回答以下问题: 1.show clock命令的作用是什么? 2.show history命令的作用是什么? 3.show arp 命令的作用是什么?_____________________________________ 步骤 4 - 打入 show interface 命令获得端口配置的统计信息。回答以下问题: 1.Find the following information for interface Ethernet 0 with show interface: 1)What number is MTU? 2)What number is Rely? 2.Find the following information for interface serial0 with Show Interface: 1)What is the IP address and subnet mask? 2)What data link layer encapsulation is being used?
2.3.5 管理配置文件 2.3.5.1 实验目的: z z
配置 tftp 服务器 使用 copy 命令复制和备份配置文件
2.3.5.2 实验步骤: TFTP(trivial file transfer protocol)即简单文件传输协议,是允许文件在网络中 从一台主机传输到另一台主机的简化的 FTP 版本,大多数网络设备的软件升级采 用 TFTP 方式。 步骤 1 - 在工作站上执行 TFTP 服务端软件,使之成为 TFTP 服务器。用交叉线将 工作站网卡和路由器以太网口相连,将此以太网口 IP 设置为与 PC 机同 一网段。 步骤 2 - 验证到 TFTP 服务器的连接,输入 ping xxx.xxx.xxx.xxx(充当 TFTP 服 务器的工作站的 IP 地址)。 步骤 3 - 在路由器的全局配置模式输入命令 copy running-config tftp (缩写: copy run tftp)。在输入这个命令后,路由器会提示输入远程主机的 IP 地址,请 输入你在步骤 1 验证的 IP 地址并回车。然后路由器会提示输入要写入的 文件名,默认是路由器的名字,按 ENTER 接受或者输入一个新的名字后 按 ENTER。 步骤 4 - 输入命令 erase startup-config 删除启动配置并用 show startup-config 验 证。 步骤 5 - 输入命令 copy tftp starup-config。在输入这个命令后,路由器会提示输入 远程主机的 IP 地址,请输入你在步骤 3 中输入的 IP 地址并回车。然后路 16
实验二 路由器的基本应用 | 由器会提示输入要读取的文件名,默认是路由器的名字,按 ENTER 接受 或者输入你在步骤 3 中建立的文件的名字后按 ENTER。当这个步骤完成, 路由器会指出配置文件用去的 RAM 的字节数和路由器上的 RAM 的总字节 数。 对照路由器的启动配置和运行配置,如果两者相同,说明 TFTP 实验成功。
想想看: 启动配置(startup-config)和运行配置(running-config)有什么不同呢?这两个 配置文件分别处于路由器存储体系中那个部分。
2.3.6 路由器初始配置与超级终端的使用 2.3.6.1 实验目的: 1.熟悉路由器的 setup 模式 2.学习用 setup 模式设置路由器的基本配置参数 3.用超级终端(HyperTerminal)捕获路由器的运行配置 4.通过超级终端上传文本文件配置路由器 实验步骤: 步骤 1–将路由器配置导出到文本文件。 启动捕获路由器配置到文本文件的进程,然后在命令提示符后输入 show running-config , 命令运行结束后终止捕获路由器配置的进程。 超级终端(Hyper Terminal)可以捕获所有显示在屏幕上的文字到一个文本文 件。 在超级终端点击 Transfer 菜单选项,然后当有提示时点击 Capture Text.并必 须提 供一个路径和文件名以存放捕获的文字。使用路由器的名字作为文件名, 用.txt 作为扩展名。终止捕获配置可以在超级终端点击 Transfer 菜单选项,然后 点击 Capture Text.出现一个新的菜单,点击 Stop. 步骤 2–清理捕获的配置文件,删除捕获的配置文件中任何不必要的信息。 注意感叹号“!”在路由器配置中是注释命令。用 windows 记事本打开你在 步骤 1 建立的文件,删除以下各行: · Sh run · Building configuration... · Current configuration: 删除每个含有"- More -" 提示符的行。删除任何出现在单词"End"后面的行。 保存修改后的文件。 步骤 3–删除启动配置。 输入命令 erase startup-config,用 show startup-config 确认。 步骤 4–重启路由器后,从文本文件导入配置。 重新启动路由器后,路由器会显示: "Notice: NVRAM invalid, possibly due to 17 17
| 实验二 路由器的基本应用 write erase." 当提示进入初始配置对话时,按 N 然后回车。在路由器的特权模式 下 输 入 configure terminal 进 入 全 局 配 置 模 式 。 然 后 点 击 超 级 终 端 菜 单 Transfer/Send/Text File。选择在步骤 1 保存的文件。电脑会为你输入文本文件中 每一行,就象你自己输入的一样。 按 Control + Z 键退出全局配置模式。 步骤 5–保存并验证新的配置文件
2.3.7 修改路由器密码 2.3.7.1 实验目的: z z
学习设置路由器口令; 学习本地破解路由器口令。
2.3.7.2 实验步骤: 步骤 1 - 记录下路由器的配置寄存器(configuration register)的设置 用超级终端连上路由器,输入命令 show version。这个命令显示当前的配置 寄存器的设置,还有其它信息。在显示的信息最后有一行显示 configuration register is 0x2102(不同路由器可能不同),记下 0x2102 这个值。
想想看: 配置寄存器值有何含义保存了些什么信息,有兴趣的同学可以查阅相关资料,看看 每个字段含义。 步骤 2 - 重新启动路由器。在特权模式下输入 reload 命令。 步骤 3 - 中断启动进程 任务: 在路由器重启后的 60 秒内,按下 Control 键不放手,然后按 Break 键。 解释: 一个代表中断的控制字符被送到路由器,中断启动进程。 多学两招: 此时进入一种较特殊的运行模式―ROM Monitor 模式,提示符为>。路由器的 ROM 中除固化了一种功能有限的 IOS 之外,还有一种非 IOS 的简单操作系统, 也可以被加载,加载之后进入的模式被称为 ROM Monitor 模式。ROM Monitor 模 式通常被用于对设备进行低级调试和口令恢复。 步骤 4 - 改变路由器的配置寄存器 任务: 输入命令改变路由器的配置寄存器。 解释: 改变配置寄存器目的是告诉路由器下次启动时忽略 NVRAM 中的配 件。改变不同型号路由器命令也会稍有不同。 1.2500 系列路由器: 18
实验二 路由器的基本应用 | 在 ROM Monitor 模式中输入 o/r 0x42 然后回车。输入 i 后回车,重启路由 器。等到路由器重启完毕,提示进入初始配置(initial configuration)时输入 n。 然后回车就可以看到 router>提示符。 使用 o/r 命令把配置寄存器值更改为 0x2142,目的是使路由器启动 IOS 软件时不 调用 NVRAM 中的配置文件,从而不进行口令方面的认证。路由器 NVRAM 中有 16bit 的配置寄存器,其中第 6 位含义是 ignore nvram content,大家注意到我们 将配置寄存器先前配置的 0x2102 更改为 0x2142,即将第 6 位置位,故忽略了 nvram 内容。 2.其他系列路由器: 口令恢复操作基本相同,其他系列路由器与以上配置主要区别在于 ROM Monitor 模式下。更改配置寄存器值的命令不是 o/r,而是 confreg;重启路由器 IOS 软件命令不是 i,而是 reload。 步骤 5 - 更改路由器 enable secret 密码 任 务 : 输 入 enable 进 入 特 权 模 式 , 然 后 输 入 命 令 copy startup-config running-config。然后输入 configure terminal 进入全局配置模式,然后输入 enable secret cisco。按 Control Z 退出到全局模式,然后输入 copy running-config startup-config。 解释: 由于路由器的配置寄存器被改了,使路由器启动时没有读取启动配置 文件。copy start run 命令把启动配置复制到运行配置中,然后我们改动运行 配置的 enable secret 密码,copy run start 命令再把运行配置复制到启动配 置中去,这样启动配置的 enable secret 就改为我们新设的密码了。 步骤 6 - 恢复原来的配置寄存器 任务: 检查当前的配置寄存器然后在特权模式下把它改回原来的值。 解释: 由于现在配置寄存器仍然被设置为忽略路由器的启动配置,需要把配 置寄存器改回原先的值。以步骤 1 为例,寄存器值为 0x2102,在全 局配置模式下输入命令 config-register 0x2102,即可将配置寄存器值 改回原先设定值。 注意此时按 Control Z 退出到特权模式,输入 sh ver ,路由器显示关于配 置寄存器的信息是什么? 步骤 7 - 验证新的密码 任务:输入 reload 重启路由器,当提示保存新的配置时输入 Y。重新启动之后, 输入 cisco 进入特权模式,运行 show version 查看配置寄存器信息。 解释: 你如果能够进入特权模式,表明你的密码设置是正确的。
2.4 实验命令汇总 命
令
作
用
enable
进入特权执行模式
disable
退出特权执行模式
configure terminal
进入全局配置模式
interface ethernet n
配置以太网口
ip address ip_address
配置 IP 地址
no shutdown
激活接口
19 19
| 实验二 路由器的基本应用 shutdown
关闭接口
end
退出特权执行模式
^Z
退到特权执行模式
ping ip_address
测试网络连通性
line vty n [m]
配置 vty 线路
login
在客户端回显登陆提示
password password
设置口令
exit
退出到上一级模式
hostname host_name
设置主机名
show version
查看版本信息
show flash
查看 Flash 信息
enable password password
设置 enable 口令
enable secret password
设置加密的 enable 口令
o/r 0x2102
在 ROM Monitor 模式下设置配置寄存器值
i
在 ROM Monitor 模式下引导路由器启动
confreg 0x2102
在 ROM Monitor 模式下设置配置寄存器值
config-register 0x2102
在全局配置模式下更改配置寄存器的值
reload
重新启动路由器
show running-config
查看运行配置
show startup-config
查看启动配置文件
copy running-config startup-config
复制运行配置到启动配置文件
copy startup-config running-config
复制启动配置文件到运行配置
copy running-config tftp
复制运行配置到 TFTP 服务器
copy tftp running-config
复制 TFTP 中配置文件到运行配置
20
实验三 组网实验 |
实验三
组网实验
路由选择协议的工作原理和具体配置是 CCNA 考试要求重点掌握的内容。对于距离矢量 路由协议中的 RIP 和 IGRP 要求十分突出, OSPF 是重要的链路状态路由选择协议,当前的 CCNA 考试要求考生掌握单区域(Area)下 OSPF 协议的配置和检测。 本节实验我们在路由器上进行静态路由以及 RIP,IGRP 和单区域 OSPF 的基本配置。
3.1 路由选择协议概述 下面简单回顾一下路由选择协议及其分类: IP 路由选择协议用有效的、无循环的路由信息填充路由选择表,从而为数据包在网络 之间传递提供可靠的路径信息。路由选择又分为距离矢量、链路状态和平衡混合 3 种。 距离矢量(Distance Vector)路由选择协议计算网络中所有链路的矢量和距离,并以 此为依据确认最佳路径。使用距离矢量路由选择协议的路由器定期向其相邻的路由器发送全 部或部分路由表。典型的距离矢量路由协议是 RIP 和 IGRP。 链路状态(Link State)路由协议使用为每个路由器创建的拓扑数据库来创建路由表, 每个路由器通过此数据库建立整个网络的拓扑图。在拓扑图的基础上通过相应的路由算法计 算 出 通 往 各 目 标 网 段 的 最 佳 路 径 ,并 最 终 形 成路 由 表 。 典型 的 链 路 状态 路 由 协 议 是 OSPF(Open Shortest Path First,开放最短路径优先)。 平衡混合(Balanced Hybrid)路由协议结合了链路状态和距离矢量两种协议的优点, 此类协议的代表是 EIGRP,即增强型内部网关路由协议。
3.2 实验设备 CISCO 路由器两台,V. 35 电缆一对,交换机两台,学生实验主机
3.3 实验内容
给定 3 个 C 类网络地址:192.168.1.0,192.168.2.0,192.168.3.0。 1.参照以下网络拓扑结构,配置路由器的端口地址和各节点网络地址。 2.配置静态路由,使 R1 和 R2 两边的机器能够互相连通。 3.配置动态路由,使 R1 和 R2 两边的机器能够互相连通。
21 21
| 实验三 组网实验
3.3.1 按实验图连接线路 需要特别注意的是,两台路由器的串口之间用 V.35 电缆相连,以太网接口和下面的工 作站相连用交叉线。
3.3.2 对两个路由器进行初始化配置 3.3.2.1 R1 配置 步骤 1 - 连接到超级终端并进入全局配置模式 1. 用 Rollover 线一端连接路由器的 Console 口,一端接用于配置的主机 COM1 口。 2. 起动终端仿真程序如超级终端或 netterm,选定连接参数为数据位 8 位,波特率 9600,停止位 1 位,无流控,无校验。 3. 路由器上电,进入普通用户模式 R1> 4. 键入 enable 进入超级用户模式 R1# 5. 使用 configure terminal 进入全局配置模式 R1(config)# 步骤 2–配置 ethernet 端口 R1(config)#interface ethernet 0 R1(config-if)#ip address 192.168.1.254 255.255.255.0 R1(config-if)#no shutdown 步骤 3–配置 serial 端口 R1(config)#interface serial0 R1(config-if)#ip address 192.168.2.5 255.255.255.252 R1(config-if)#no shutdown R1(config-if)#clock rate 56000
学一招:Trouble shooting 故障检测与排除 1.倘若进入超级终端敲 enter 键没有反应,检查 rollover 线是否连接良好; 2.若 ethernet 端口不正常,检查网线接好否,且注意应该采用交叉线; 3.若 serial 端口不正常,检查 V.35 电缆接好否,有无配置时钟。
3.3.2.2 R2 配置 步骤 1–连接到超级终端并进入全局配置模式 22
实验三 组网实验 | 参看 R1 配置方法进入全局配置模式 R2(config)# 步骤 2–配置 ethernet 端口 R2(config)#interface ethernet 0 R2(config-if)#ip address 192.168.3.254 255.255.255.0 R2(config-if)#no shutdown 步骤 3–配置 serial 端口 R2(config)#interface serial0 R2(config-if)#ip address 192.168.2.6 255.255.255.252 R2(config-if)#no shutdown 效果:此时两路由器在特权模式下 show ip interface brief, 两路由器的端口都应是 UP, 并两路由器的 serial 端口能 ping 通,ethernet 端口与其下连接网段的主机之间能 ping 通。 想想看: R1 和 R2 的 e0 端口连接的工作站应设置,请大家思考一下各工作站 IP,子网掩码 和网关应该设置为多少?为什么? 提示:网关设置为 192.168.1.254,IP 应设置为与在同一网段。 学一招: 配置结束后的 ping 测试十分重要,这是一个良好的习惯。即在每完成一个阶段的 配置后都对配置结果进行相应的确认。本实验手册也将引导大家一步步确认配置结 果并思考其间的原因。
3.3.3 路由配置 3.3.3.1 静态路由配置 1.配置静态路由 步骤 1–R1 配置:进入全局配置模式 R1(config)# R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.6 步骤 2–R2 配置:进入全局配置模式 R1(config)# R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.5 效果:此时,两边主机都能 ping 通并可以正常互访。 2.删除静态路由 23 23
| 实验三 组网实验 步骤 1–在路由器 R1 上删除静态路由 R1(config)#no ip route 192.168.3.0 255.255.255.0 192.168.2.6 步骤 2–在路由器 R2 上删除静态路由 R2(config)#no ip route 192.168.1.0 255.255.255.0 192.168.2.5
3.3.3.2 动态路由配置 1.RIP 1)配置 RIP 路由选择协议 步骤 1–R1 配置 参看 R1 配置方法进入全局配置模式 R1(config)# R1(config)#router rip //启动 RIP 路由协议 R1(config-router)#network 192.168.1.0 //指定发布的网络 R1(config-router)#network 192.168.2.0 //指定发布的网络 步骤 2–R2 配置 参看 R1 配置方法进入全局配置模式 R2(config)# R2(config)#router rip //启动 RIP 路由协议 R2(config-router)#network 192.168.2.0 //指定发布的网络 R2(config-router)#network 192.168.3.0 //指定发布的网络 效果:此时两网段任意主机都能互访,在全局配置模式下用 show ip route 命令,可 看到路由标识是以 R 开头。 2)删除 RIP 步骤 1–在 R1 上删除 rip: R1(config)#no router rip 步骤 2–在 R2 上删除 rip: R2(config)#no router rip
24
实验三 组网实验 | 想想看: 之前为什么要删除静态路由才能配置下面的动态路由,此处为何又要删除 RIP 选择 协议才能配置 IGRP 协议? 提示:管理距离小的路由选择协议所指出的路由可信度相对较高。
2.IGRP 1)配置 RIP 路由选择协议 步骤 1–R1 配置 参看 R1 配置方法进入全局配置模式 R1(config)# R1(config)#router igrp 100 //启动 IGRP 路由协议 R1(config-router)#network 192.168.1.0 R1(config-router)#network 192.168.2.0 步骤 2–R2 配置 参看 R1 配置方法进入全局配置模式 R2(config)# R2(config)#router igrp 100 R2(config-router)#network 192.168.2.0 R2(config-router)#network 192.168.3.0
//启动 IGRP 路由协议
2)删除 IGRP 步骤 1–在 R1 中: R1(config)#no router igrp 100 步骤 2–在 R2 中: R1(config)#no router igrp 100
3. 单区域 OSPF 步骤 1–R1 配置 参看 R1 配置方法进入全局配置模式 R1(config)# R1(config)#router ospf 10 //启动 ospf 路由协议 R1(config-roueter)#network 192.168.1.0 0.0.0.255 area 0 R1(config-roueter)#network 192.168.2.0 0.0.0.255 area 0
25 25
| 实验三 组网实验 步骤 2–R2 配置 参看 R1 配置方法进入全局配置模式 R2(config)# R2(config)#router ospf 10 //启动 ospf 路由协议 R2(config-roueter)#network 192.168.2.0 0.0.0.255 area 0 R2(config-roueter)#network 192.168.3.0 0.0.0.255 area 0 效果:此时两网段任意主机都能互访。
学一招: 使用 router igrp 命令创建 IGRP 路由进程,后面的“100”是自治系统号,两个路 由器必须具有相同的自治系统号,否则彼此的路由信息将不被互相传递和学习。而 使用 router ospf 10 命令启动 ospf 路由选择协议进程,其中的“10”是进程号, 与配置 IGRP 不同中的自治系统号不同,配置 OSPF 时,并不需要每台路由器具有相 同的进程号。自治系统与进程是两个完全不同的概念。
3.4 实验命令汇总 命
令
作
用
ip address ip_address mask
配置接口的 IP 地址
show ip interface brief
查看所有接口和他们 IP 地址的摘要信息
show controllers serial n
查看串行接口的控制器
clockrate n
设置时钟频率
router rip
创建(进入)RIP 路由选择协议
network network_id
声明网络
network ip-address wildcard-mask area area-id
把接口加入到 OSPF 区域中
show ip route
查看接口信息
show ip protocol
查看 IP 协议信息
no ip domain-lookup
关闭 IP 查询查询
ip routing
启动 IP 路由(路由器缺省配置)
26
实验四 高级组网实验|
实验四
高级组网实验
路由选择协议的工作原理和具体配置是 CCNA 考试要求重点掌握的内容。对于距离矢量 路由协议中的 RIP 和 IGRP 要求十分突出. 我们此节实验会在 3 台路由器上进行 RIP 和 IGRP 的高级配置,以加深大家对这两种基本 的路由选择协议的理解。
4.1 路由选择协议概述 1. RIP(路由选择信息协议)是距离矢量选择协议的一种,它具有如下特点: z 选用跳数做为唯一的路由选择度量; z 跳数允许的最大值是 15,如果路由器收到了一个跳数值为 16 的路由更新信息,则其 目标网络是不可达的; z 缺省情况下,每 30s 广播一次路由更新数据; RIP 协议包含有两个版本,RIP 第一版和 RIP 第二版. 1.RIPv1 的特点包括: 1)使用跳数(hop count)作为度量值来决定最佳路径 2)允许最大跳数是 15 跳 3)默认是每 30 秒广播路由更新(实际环境中并不是设定的固定为 30 秒,而是 25 秒到 30 秒之间的随机时间,防止两个路由器发送同时更新产生冲突) 4)最多支持 6 条等价链路的负载均衡,默认是 4 条 5)是基于类的路由协议,不支持 VLSM 6)不支持验证(authentication) 2.RIPv2 比 RIPv1 增强的特点包括: 1)基于无类概念的路由协议 2)支持 VLSM 3)可以人工设定是否进行路由汇总 4)使用多播来代替 RIPv1 中的广播 5)支持明文或 MD5 加密验证 6)RIPv2 使用多播地址 224.0.0.9 来更新路由信息 2. IGRP(内部网关路由协议)是 Cisco 公司开发的一种距离矢量选择协议,其特点如下: z IGRP 的度量值是由带宽,延迟,负载,可靠性和最大传输单元通过加权计算得到; z 缺省情况下,IGRP 路由更新信息每 90s 发送一次; z 能够变通地处理不确定的,复杂的拓扑结构.; z 不支持变长子网掩码(VLSM)和不连续子网;
4.2 实验设备 1. Cisco 2500 系列路由器三台; 2. V. 35 电缆三对; 3. 学生实验主机三台.
27 27
| 实验四 高级组网实验
4.3 实验内容 4.3.1 使用 RIP 协议处理不连续的子网
172.18.1.1/24 Workstation A
17 2. 16 .1 2. 0 Workstation B
R2
DCE
24 0/
DTE DCE
3. .1 16
DCE DTE
2. 17
/2 4
R1
DTE
172.16.23.0/24 R3
172.18.2.1/24
Workstation C
172.18.3.1/24
需要特别注意的是,两台路由器的串口之间用 V.35 电缆相连,以太网接口和下面的工 作站相连用交叉线,注意正确区分 DCE 设备和 DTE 设备,并且在 DCE 设备上配置时钟。 这是典型的不连续子网的情况,实验要求通过对 RIP 协议的配置,实现全网的连通性.
4.3.1.1 对三个路由器进行初始化配置 1. R1 配置 步骤 1–配置 ethernet 端口 R1(config)#interface ethernet 0 R1(config-if)#ip address 172.18.1.254 255.255.255.0 R1(config-if)#no shutdown 步骤 2–配置 serial 端口 R1(config)#interface serial0 R1(config-if)#ip address 172.16.12.1 255.255.255.0 28
实验四 高级组网实验| R1(config-if)#no shutdown R1(config-if)#clock rate 56000 R1(config)#interface serial1 R1(config-if)#ip address 172.16.13.1 255.255.255.0 R1(config-if)#no shutdown
2. R2 配置 步骤 1–配置 ethernet 端口 R2(config)#interface ethernet 0 R2(config-if)#ip address 172.18.2.254 255.255.255.0 R2(config-if)#no shutdown 步骤 2–配置 serial 端口 R2(config)#interface serial0 R2(config-if)#ip address 172.16.12.2 255.255.255.0 R2(config-if)#no shutdown R2(config)#interface serial1 R2(config-if)#ip address 172.16.23.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#clock rate 56000
3. R3 配置 步骤 1–配置 ethernet 端口 R3(config)#interface ethernet 0 R3(config-if)#ip address 172.18.3.254 255.255.255.0 R3(config-if)#no shutdown 步骤 2–配置 serial 端口 R3(config)#interface serial0 R3(config-if)#ip address 172.16.13.3 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#clock rate 56000 R3(config)#interface serial1 R3(config-if)#ip address 172.16.23.3 255.255.255.0 R3(config-if)#no shutdown
29 29
| 实验四 高级组网实验
4.3.1.2 配置 RIPv1 1.配置 RIPv1 路由选择协议 步骤 1–R1 配置 R1(config)#router rip //启动 RIP 路由协议 R1(config-router)#network 172.16.12.0 R1(config-router)#network 172.16.13.0 R1(config-router)#network 172.18.1.0 步骤 2–R2 配置 R2(config)#router rip //启动 RIP 路由协议 R2(config-router)#network 172.16.12.0 R2(config-router)#network 172.16.23.0 R2(config-router)#network 172.18.2.0 步骤 3–R3 配置 R3(config)#router rip //启动 RIP 路由协议 R3(config-router)#network 172.16.23.0 R3(config-router)#network 172.16.13.0 R3(config-router)#network 172.18.3.0 2)测试全网连通性 步骤 1–主机之间互相测试连接: 1)在主机 A 上 ping 主机 B; ping 成功了吗? ______________________________________________________ 2)在主机 A 上 ping 主机 C; ping 成功了吗? ______________________________________________________ 3)在主机 B 上 ping 主机 C; ping 成功了吗? _____________________________________________________ 想想看: 此时为何主机之间无法 ping 通,在实际网络环境中你该如何排错,输入哪些命令来 找出错误所在呢?
步骤 2–查看路由选择信息: 在 R3 的特权模式下输入 show ip route : R3#show ip route 30
实验四 高级组网实验| 观察此时的路由表中没有关于 172.18.2.0 和 172.18.3.0 网段的信息,这便是无法互 相访问的原因所在了. 学一招: 因为 RIPv1 没有传送子网掩码的能力,同时在类的边界进行自动汇总操作,这样会把 由 s0 和 s1 接口收到的关于 172.18.0.0 的路由表项过滤掉,不进入到路由表中,因为 从 R3 角度来看,对于 172.18.0.0 有更好的路由,通过 E0 口直接相连的路由.
4.3.1.3 配置 RIPv2 1.配置 RIPv2 路由选择协议 步骤 1–R1 配置 R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary
//启动 RIP 路由协议 //启动 RIPv2 //关闭路由自动汇总
步骤 2–R2 配置 R2(config)#router rip R2(config-router)#version 2 R2(config-router)#no auto-summary
//启动 RIP 路由协议 //启动 RIPv2 //关闭路由自动汇总
步骤 3–R3 配置 R3(config)#router rip R3(config-router)#version 2 R3(config-router)#no auto-summary
//启动 RIP 路由协议 //启动 RIPv2 //关闭路由自动汇总
学一招: 使用无类的路由协议如 RIPv2,OSPF,EIGRP,拥有相同主网络号的不同子网就可以 使用不同的子网掩码,假如在路由表中到达目的网络的匹配条目不止一条,将会选择 子网掩码长的那条进行匹配. RIPv2 和 EIGRP 会像基于类的路由协议那样,在网络 的边界进行自动汇总, 而默认 OSPF 和 IS-IS 不会进行自动汇总. 无类的路由协议 的自动汇总可以手动关闭,否则自动汇总会影响不连续的子网或者 VLSM 的使用而 造成错误的汇总路由信息. 2)测试全网连通性 步骤 1–主机之间互相测试连接: 1)在主机 A 上 ping 主机 B; 31 31
| 实验四 高级组网实验 ping 成功了吗? ______________________________________________________ 2)在主机 A 上 ping 主机 C; ping 成功了吗? ______________________________________________________ 3)在主机 B 上 ping 主机 C; ping 成功了吗? _____________________________________________________ 步骤 2–查看路由选择信息: 在 R3 的特权模式下输入 show ip route : R3#show ip route 学一招: 开启了 RIPv2 之后可以看到路由表中增加了到 172.18.0.0/16 网段的路径,这样便 可以通过 RIPv2 处理存在不连续子网的拓扑.
4.3.2 使用 RIPv2 协议处理可变长子网掩码网络
172.18.1.1/28 Workstation A
0
172.18.2.1/28
R2
DCE
3 4/ 3.
Workstation B
2 .1
DTE DCE
DCE DTE
16 2. 17
17 2. 16 .1 23 .0 /3 0
R1
DTE
172.16.123.8/30 R3
Workstation C
172.18.3.1/24
此拓扑结构与之前的拓扑结构相同,只是路由器不同接口分配的子网掩码并非全部都是 255.255.255.0,这是典型的不连续子网的情况,实验要求通过对 RIP 协议的配置,实现全网 的连通性.
32
实验四 高级组网实验|
4.3.2.1 对三个路由器进行初始化配置 1. R1 配置 步骤 1–配置 ethernet 端口 R1(config)#interface ethernet 0 R1(config-if)#ip address 172.18.1.254 255.255.255.240 R1(config-if)#no shutdown 步骤 2–配置 serial 端口 R1(config)#interface serial0 R1(config-if)#ip address 172.16.123.1 255.255.255.252 R1(config-if)#no shutdown R1(config-if)#clock rate 56000 R1(config)#interface serial1 R1(config-if)#ip address 172.16.123.5 255.255.255.252 R1(config-if)#no shutdown
2. R2 配置 步骤 1–配置 ethernet 端口 R2(config)#interface ethernet 0 R2(config-if)#ip address 172.18.2.254 255.255.255.240 R2(config-if)#no shutdown 步骤 2–配置 serial 端口 R2(config)#interface serial0 R2(config-if)#ip address 172.16.123.2 255.255.255.252 R2(config-if)#no shutdown R2(config)#interface serial1 R2(config-if)#ip address 172.16.123.9 255.255.255.252 R2(config-if)#no shutdown R2(config-if)#clock rate 56000
3. R3 配置 步骤 1–配置 ethernet 端口 33 33
| 实验四 高级组网实验 R3(config)#interface ethernet 0 R3(config-if)#ip address 172.18.3.254 255.255.255.240 R3(config-if)#no shutdown 步骤 2–配置 serial 端口 R3(config)#interface serial0 R3(config-if)#ip address 172.16.13.6 255.255.255.252 R3(config-if)#no shutdown R3(config-if)#clock rate 56000 R3(config)#interface serial1 R3(config-if)#ip address 172.16.23.10 255.255.255.252 R3(config-if)#no shutdown
4.3.2.2 配置 RIPv1 1.配置 RIPv1 路由选择协议 步骤 1–R1 配置 R1(config)#router rip //启动 RIP 路由协议 R1(config-router)#network 172.16.123.0 R1(config-router)#network 172.16.123.4 R1(config-router)#network 172.18.1.0 步骤 2–R2 配置 R2(config)#router rip //启动 RIP 路由协议 R2(config-router)#network 172.16.123.0 R2(config-router)#network 172.16.123.8 R2(config-router)#network 172.18.2.0 步骤 3–R3 配置 R3(config)#router rip //启动 RIP 路由协议 R3(config-router)#network 172.16.123.4 R3(config-router)#network 172.16.123.8 R3(config-router)#network 172.18.3.0 2)测试全网连通性 主机之间互相测试连接: 1)在主机 A 上 ping 主机 B; 34
实验四 高级组网实验| ping 成功了吗? ______________________________________________________ 2)在主机 A 上 ping 主机 C; ping 成功了吗? ______________________________________________________ 3)在主机 B 上 ping 主机 C; ping 成功了吗? _____________________________________________________ 想想看: 此时为何主机之间无法 ping 通,你能想到是什么原因致使三台主机无法互联.可以 通过查看路由表,分析其中缘由.
4.3.2.3 配置 RIPv2 1.配置 RIPv2 路由选择协议 步骤 1–R1 配置 R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary
//启动 RIP 路由协议 //启动 RIPv2 //关闭路由自动汇总
步骤 2–R2 配置 R2(config)#router rip R2(config-router)#version 2 R2(config-router)#no auto-summary
//启动 RIP 路由协议 //启动 RIPv2 //关闭路由自动汇总
步骤 3–R3 配置 R3(config)#router rip R3(config-router)#version 2 R3(config-router)#no auto-summary
//启动 RIP 路由协议 //启动 RIPv2 //关闭路由自动汇总
2)测试全网连通性 步骤 1–主机之间互相测试连接: 1)在主机 A 上 ping 主机 B; ping 成功了吗? ______________________________________________________ 2)在主机 A 上 ping 主机 C; ping 成功了吗? ______________________________________________________ 3)在主机 B 上 ping 主机 C; ping 成功了吗? _____________________________________________________ 步骤 2–查看路由选择信息:
35 35
| 实验四 高级组网实验 在 R3 的特权模式下输入 show ip route : R3#show ip route 学一招: 开启了 RIPv2 之后可以看到路由表中增加了到 172.18.2.0/28 和 172.18.3.0/24 网 段的路径,这表明可以通过 RIPv2 处理 VLSM 问题,从而可以灵活高效的进行 IP 地 址的分配.
4.3.3 配置 IGRP 协议
172.16.1.1/24 Workstation A
17 2. 16 .1 2. 0
50 0k 64k
DCE
24 0/
R2
0k
Workstation B
50
DTE DCE
3. .1 16
DCE DTE
2. 17
/2 4
R1
DTE
172.16.23.0/24 R3
Workstation C
172.16.2.1/24
此实验与第三章实验对于 IGRP 配置的区别在于增加了一个路由器,同时每条串行链路 上面配置有不同的带宽值.熟悉上一章配置后,本章配置比较容易,我们希望通过添加新的路 由选择度量--带宽值,来体会 IGRP 路由选择协议与 RIP 路由选择协议的不同.
4.3.3.1 对三个路由器进行初始化配置 1. R1 配置 步骤 1–配置 ethernet 端口
36
实验四 高级组网实验| R1(config)#interface ethernet 0 R1(config-if)#ip address 172.16.1.254 255.255.255.0 R1(config-if)#no shutdown 步骤 2–配置 serial 端口 R1(config)#interface serial0 R1(config-if)#ip address 172.16.12.1 255.255.255.0 R1(config-if)#bandwidth 500 R1(config-if)#no shutdown R1(config-if)#clock rate 56000 R1(config)#interface serial1 R1(config-if)#bandwidth 500 R1(config-if)#ip address 172.16.13.1 255.255.255.0 R1(config-if)#no shutdown
2. R2 配置 步骤 1–配置 ethernet 端口 R2(config)#interface ethernet 0 R2(config-if)#ip address 172.16.2.254 255.255.255.0 R2(config-if)#no shutdown 步骤 2–配置 serial 端口 R2(config)#interface serial0 R2(config-if)#ip address 172.16.12.2 255.255.255.0 R2(config-if)#bandwidth 500 R2(config-if)#no shutdown R2(config)#interface serial1 R2(config-if)#ip address 172.16.23.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#bandwidth 64 R2(config-if)#clock rate 56000
3. R3 配置 步骤 1–配置 ethernet 端口
37 37
| 实验四 高级组网实验 R3(config)#interface ethernet 0 R3(config-if)#ip address 172.16.3.254 255.255.255.0 R3(config-if)#no shutdown 步骤 2–配置 serial 端口 R3(config)#interface serial0 R3(config-if)#ip address 172.16.13.3 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#bandwidth 64 R3(config-if)#clock rate 56000 R3(config)#interface serial1 R3(config-if)#ip address 172.16.23.3 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#bandwidth 64
4.3.3.2 配置 IGRP 路由选择协议 1.配置 IGRP 路由选择协议 步骤 1–R1 配置 R1(config)#router igrp 100 R1(config-router)#network 172.16.12.0 R1(config-router)#network 172.16.13.0 R1(config-router)#network 172.16.1.0
//启动 IGRP 路由协议
步骤 2–R2 配置 R2(config)#router igrp 100 R2(config-router)#network 172.16.12.0 R2(config-router)#network 172.16.23.0 R2(config-router)#network 172.16.2.0
//启动 IGRP 路由协议
步骤 3–R3 配置 R3(config)#router igrp 100 R3(config-router)#network 172.16.23.0 R3(config-router)#network 172.16.13.0 R3(config-router)#network 172.16.3.0 2.测试全网连通性 步骤 1–主机之间互相测试连接: 38
//启动 IGRP 路由协议
实验四 高级组网实验| 1)在主机 A 上 ping 主机 B; ping 成功了吗? ______________________________________________________ 2)在主机 A 上 ping 主机 C; ping 成功了吗? ______________________________________________________ 3)在主机 B 上 ping 主机 C; ping 成功了吗? _____________________________________________________ 步骤 2–查看路由选择信息: 在 R3 的特权模式下输入 show ip route : R3#show ip route 观察此时的路由表中到达 172.16.12.0/24 网段采用是哪条路由. 试试看: 倘若同样的网络拓扑结构,配置的不是 IGRP,而是 RIP 路由选择协议,show ip route 查看到路由表有何不同。
学一招: RIP 协议中带宽值没有意义,因为 RIP 是以跳数为唯一度量值的;而对 IGRP 协议来 说,带宽是重要的度量值,所计算出来的路由表可以相对真实的反应出路由的状况, 因此 IGRP 为我们提供的路由更加准确可信,这也是 IGRP 管理距离小于 RIP 路由 选择协议的重要原因.
4.4 实验命令汇总 命
令
作
用
ip address ip_address mask
配置接口的 IP 地址
clockrate n
设置时钟频率
router rip
创建(进入)RIP 路由选择协议
version 2
在 RIP 协议配置模式下设置 RIP 版本 2
no auto-summary
关闭路由自动汇总
network network_id
声明网络
network ip-address wildcard-mask area area-id
把接口加入到 OSPF 区域中
show ip interface brief
查看所有接口和他们 IP 地址的摘要信息
show controllers serial n
查看制定串行接口的控制器
show ip route
查看接口信息
show ip protocol
查看 IP 协议信息
debug ip rip
检测 RIP 协议
clear ip route *
清除路由表
no ip domain-lookup
关闭 IP 查询查询 39 39
| 实验五 访问控制列表的配置
实验五
访问控制列表的配置
访问控制列表(ACL,Access Control List)是 CCNA 考试所重点考察的对象之一,同 时也是在实际网络环境中经常用到的安全控制技术。 本次试验覆盖了标准 IP 访问控制列表,扩展 IP 访问控制列表以及访问控制列表的相关 应用,其中还涉及到了 TCP/IP 协议栈的相关知识。
5.1 访问控制列表概述 常见的访问控制列表种类有:IP 标准 ACL、IP 扩展 ACL、IPX 标准 ACL、IPX 扩展 ACL、 48 位 MAC 地址 ACL 和协议 ACL 等等。当前的 CCNA 考试中,只考察其中 IP 相关的访问控制 列表。 IP 相关的访问控制列表主要分为以下几类: 1. 标准 IP 访问控制列表 标准 IP 访问控制列表匹配 IP 包中的源地址或源地址中的一部分,可对匹配的 IP 包采 取拒绝或允许两个操作。编号范围是从 1 到 99 和从 1300 到 1999 的访问控制列表是标准 IP 访问控制列表。 2. 扩展 IP 访问控制列表 扩展 IP 访问控制列表比标准 IP 访问控制列表具有更多的匹配项,包括协议类型、源地 址、目的地址、源端口、目的端口、建立连接的(established)和 IP 优先级等。编号范围 是从 100 到 199 和从 2000 到 2699 的访问控制列表是扩展 IP 访问控制列表。 3. 命名的 IP 访问控制列表 所谓命名的 IP 访问控制列表是以列表名代替列表编号来定义 IP 访问控制列表,同样包 括标准和扩展两种列表。命名的 IP 访问控制列表的优点是便于理解、配置和使用。
5.2 实验设备 CISCO 路由器两台,V. 35 电缆一对,交换机两台,学生实验主机
5.3 实验内容 在以下实验环境中,配置适当的 ACL ,实现对特定主机和特定服务的访问控制。 实验环境说明: z 两个路由器用 S0 口进行互连 z 两个路由器用 E0 口连接实验主机 z R1 和 R2 均配置静态路由 z 两边主机能互相连通
40
实验五 访问控制列表的配置 |
5.3.1 标准访问控制列表的配置 5.3.1.1 限制特定主机(网络)的访问 在全局配置模式下对 R1 进行以下配置 R1(config)#access-list 10 permit 192.168.3.1 0.0.0.0 R1(config)#interface e0 R1(config-if)#ip access-group 10 out 效果:此时只有 192.168.3.1 一台主机能访问 192.168.1.0 的网络。192.168.1.0 网段的 其他主机均无法访问 192.168.1.0 网络。
5.3.1.2 自我测验: 设计标准 ACL,只允许 192.168.3.1 和 192.168.1.1 这两个 IP 能互相访问 ________________________ __________________________________________________________________________
5.3.2 扩展访问控制列表的配置 5.3.2.1 限制对特定服务的访问 在全局配置模式下对 R1 进行以下配置 R1(config)#access-list 101 permit tcp 192.168.1.1 0.0.0.0 any eq www R1(config)#access-list 101 permit tcp 192.168.1.2 0.0.0.0 any eq telnet R1(config)#interface | 实验五 访问控制列表的配置 s0 R1(config-if)#ip access-group 101 out
41 41
想想看: 这个 ACL 起了什么作用? _______________________________________________________________________________
5.3.2.2 自我测验: 如果两个路由器的 E0 端口的 ACL 配置如下: R1(config)#access-list 10 permit 192.168.1.1 0.0.0.0 R1(config)#interface E0 R1(config-if)#ip access-group 10 in R2(config)#access-list 10 permit 192.168.1.1 0.0.0.0 R2(config)#interface E0 R2(config-if)#ip access-group 10 out 请问 192.168.1.1 的机器能够 ping 通 192.168.3 网段内的机器吗?为什么? ______ 学一招: 可以通过 show ip access-list 命令列出所定义的访问控制列表的情况,并且还可 以看到有多少个匹配 ACL 命令条件的数据包通过或被拒绝。可以通过 clear access-list counters 命令清空访问控制列表计数器。
5.3.3 访问控制列表的高级应用 1.设计一个扩展 ACL,使 192.168.3.1ping192.168.1.1 出现 Request time out 的结果,使 192.168.1.1 ping 192.168.3.1 出现 destination unreachable 的结果
想想看: 在 ping 命令中,ping 不通可能出现 Request time out 和 destination unreachable 两种情况,想想这两种结果有何不同,如何通过 ACL 控制? 提示:可翻阅 TCP/IP 协议栈相关书籍,查看 ping 命令和 ICMP 协议的机制。
2.设计一个扩展 ACL,实现允许 192.168.3.0 网段的机器能够 ping 192.168.1.0 网段的机| 实验五 访问控制列表的配置 器,但是 192.168.1.0 网段的机器不能 ping 通 192.168.3.0 网段的机器的功能。 提示:运用扩展 ACL 对 icmp 包进行控制) 42
5.4 实验命令汇总 命
令
access-list access_list_number permit} source [source_wildcard][log]
作 {deny
用
| 定义标准 IP 访问控制列表
ip access-group number [in | out]
在接口上使用访问控制列表
show access-lists
查看已配置的访问控制列表
show ip access-list [n]
查看 IP 访问控制列表
clear access-list counters
清空访问控制列表计数器
access-list access_list_number [dynamic dynamic_name[timeout minutes]]{deny | permit} protocol source source_wildcard destination destionation_wildcard [precedence precedence][tos tos] [log | log-input][time-range time-range-name][operator operand][established]
定义扩展的 IP 访问控制列表,这是一个完 整的格式,其中许多字段并非 CCNA 所要求, 仅供大家参考。
| 实验六 交换机基本应用
实验六
交换机基本应用 43 43
在 CCNA 认证考试中,有关局域网交换技术和交换机配置方面的知识是必考的内容,VLAN 技术是交换技术的重要进步之一,现在几乎所有的智能交换机都支持 VLAN,在实际工程中 VLAN 技术也广泛使用在组网建网中,可以说本知识点相当重要。 本节实验主要关于 Catalyst 2950 系列交换机的基本配置,VLAN、VLAN 中继以及 VLAN 间路由等相关方面内容。
6.1 交换原理概述 在局域网交换技术中,共享式以太网、冲突域、广播域、桥接、交换、MAC 地址表、VLAN、 VLAN 中继等概念特别重要。下面对这些概念做一下简单回顾。 1. 共享式以太网 共享式以太网是构建在总线型拓扑上的以太网,严格遵从载波侦听多路访问/冲突检测 (CSMA/CD, Carrier Sense Multiple Access/Collision Detect)算法的网络,CSMA/CD 算 法的机制决定了共享式网络的半双工特点。在共享式以太网上,当一台主机发送数据的时候 其他主机只能接收该以太网帧,此时网上其他主机都不能发送数据。 2. 冲突域 用同轴电缆构建或以 hub 为核心构建的共享式以太网,其上所有节点同处于一个冲突 域,一个冲突域内不同设备同时发出的以太网帧会互相冲突;同时,冲突域内的一台主机发 送数据,同处于一个冲突域的其他主机都可以接收到。 3. 广播域 广播域是网上一组设备的集合,当这些设备中的一个发出一个广播时,所有其他设备都 能接受到这个广播帧。 广播域和冲突域是比较容易混淆的概念,我们可以这样区分他们:连接在一个 hub 上的 所有设备都处于一个冲突域,同时也构成了一个广播域;连接在一个没有划分 VLAN 交换机 上各端口上的设备处于不同的冲突域中(每一个交换机的端口构成了一个冲突域),但同属 于一个广播域。 4. 桥接 所谓桥接,CCNA 中主要是指透明桥接。透明网桥连接两个或者更多的共享以太网网段, 不同的网段分别属于各自的冲突域,所有网段处于同一个广播域。桥接工作模式应认真理解, 它是理解交换机工作原理的基础。 5. 交换 局域网交换的概念源自桥接,它与透明网桥使用相同的算法,只是交换的实现是用专用 硬件实现,而传统的桥接是用软件来完成的。 6. MAC 地址表 交换机内有一个 MAC 地址表,用于存放该交换机端口所连接设备的 MAC 地址与端口号的 对应信息。MAC 地址表是交换机正常工作的基础,我们应该了解它的生成过程。 7. VLAN VLAN 用以把物理上直接相连的网络从逻辑上划分为多个子网。每一个 VLAN 对应着一个 广播域。 二层交换机没有路由功能,不能在 VLAN 之间转发帧,因而处于不同 VLAN 上的主机不能 进行通信,只有引入第三层交换(VLAN 间路由)技术之后,VLAN 间的通信才成为可能。 8. VLAN 中继 VLAN 中继(VLAN Trunk)也称为 VLAN 主干,是指在交换机与交换机之间或者交换机与 路由器之间连接的情况下,在互相连接的端口上配置中继模式,使得属于不同 VLAN 的数据 帧都可以通过这条中继链路得以传输。 44
实验六 交换机基本应用 |
VLAN 中继的帧格式分为 ISL 和 IEEE802.1Q 两种,其中前者是 Cisco 交换机独有的协议, 后者是国际标准,被几乎所有的设备厂商所广泛支持。 9. VLAN 中继协议 对于 Cisco 设备而言, VLAN 中继协议即 VTP 协议可以帮助交换机设置 VLAN.VTP 协议可 以维护 VLAN 信息的全网一致性. VTP 有三种工作模式,即服务器模式,客户模式和透明模式,对于三种模式的准确区分是 交换技术需要掌握的要点之一.
6.2 实验设备 1. 安装了超级终端软件的电脑(作为连接到交换机的终端) 2. Cisco2950 系列交换机 3. Console 电缆(rollover 线)和若干根直通线
6.3 实验内容
Fa0/12
Workstation A
Fa0/1
Switch_A
Fa0/1
Switch_B
Fa0/12
Workstation B
6.3.1 局域网交换机的配置 6.3.1.1 实验目的: z z z
产生两个 VLAN,并验证配置结果。 为每个 VLAN 命名,并分配交换机成员端口给他们。 进行删除 VLAN 的操作,理解 VLAN1 为什么不能被删除。
6.3.1.2 实验内容:局域网交换机的配置 1.交换机的基本配置 步骤 1 - 查看交换机配置状态 1)查看 IOS 的版本 | 实验六 交换机基本应用 在交换机的特权模式下键入 show version,如下: Switch#show version 2)显示当前交换机 vlan 接口信息
45 45
在交换机的特权模式下键入 show vlan,如下: Switch#show vlan 3)显示当前路由器的配置信息 在交换机的特权模式下键入 show running-config,如下: Switch#show running-config 步骤 2 - 配置产生新的 VLAN 产生并命名两个新的 VLAN,键入如下命令产生两个 VLAN: Switch#vlan database Switch(vlan)#vlan 2 name VLAN2 Switch(vlan)#vlan 3 name VLAN3 Switch(vlan)#exit 学一招: VLAN 配置模式有资料把它称为 VLAN 数据库模式,VLAN 配置模式一个很重要的特点 在于它是面向会话的,添加、删除或者更改 VLAN 参数时,直到通过 apply 或者 exit 结束会话时,所做的变更才会生效。
步骤 3 - 分配端口给新创建的 VLAN 分配端口给 VLAN 时必须在接口配置模式(interface mode)下进行。输入如下命 令将 ports 2, 3 分配给 VLAN 2; ports 6, 7 分配给 VLAN 3. Switch#config terminal Switch(config)#interface Ethernet 0/2 Switch(config-if)#switchport access vlan 2 Switch(config-if)#interface Ethernet 0/3 Switch(config-if)#switchport access vlan 2 Switch(config-if)#interface Ethernet 0/6 Switch(config-if)#switchport access vlan 3 Switch(config-if)#interface Ethernet 0/7 Switch(config-if)#switchport access vlan 3
试试看: 用 show vlan 命令观察端口 2,3,6,7 现在处于哪些 vlan 中。默认 vlan 即 vlan1 里面的端口有哪些?
步骤 4 - 测试 VLAN 1)在连接 0/2 的主机上 ping 连接端口 0/1 的主机; ping 成功了吗? ______________________________________________________ 为什么? ____________________________________________________________ 实验六 交换机基本应用 | 2)在连接 0/2 的主机上 ping 连接端口 0/3 的主机; ping 成功了吗? ______________________________________________________ 为什么? ____________________________________________________________
46
3)在连接 0/2 的主机上 ping 连接端口 0/6 的主机; ping 成功了吗? _____________________________________________________ 为什么? __________________________________________________________ 步骤 5 - 从 VLAN 中除去一个主机 使用 no switchport 格式的命令在端口配置模式下进行配置,如下: Switch#config terminal Switch(config)#interface fastethernet 0/2 Switch(config-if)#no switchport access vlan 2 验证配置结果:(特权模式下 show vlan 命令) 端口 0/2 还是 VLAN 2 的成员吗? _____________________________________ 步骤 6 - 删除 VLAN 进入 VLAN database mode ,使用 no 格式命令,如下: Switch#vlan database Switch(vlan)#no vlan 3 Switch(vlan)#exit 验证配置结果:(特权模式下 show vlan 命令) 1)VLAN 3 已经被删除了吗? ____________________________________________ 2)当删除了 VLAN 后,对端口来说发生了些什么? ____________________________ 步骤 7 - 删除 VLAN1 尝试删除 VLAN 1,结果如下: Switch#vlan database Switch(vlan)#no vlan 1 A default VLAN may not be deleted. Switch(vlan)#exit 学一招: VLAN1 称为缺省 VLAN,缺省情况下做为管理 VLAN,管理 VLAN 是在网络上用于网管 的 VLAN。当交换机没有配置时,所有端口均处于 VLAN1 中。缺省 VLAN 不能被删除!
6.3.2 VTP 的配置 6.3.1.1 实验目的: z 熟悉 VTP 的配置。 掌握 交换机基本应用 VTP 三种模式的区别。 |z实验六
6.3.1.2 实验内容:局域网交换机的配置 1.配置 VTP server
47 47
步骤 1 –设置为 VTP server 模式 默认情况下 Catalyst 交换机系列是被配置为 VTP server 的. 如果 VTP 服务器的 服务被关闭,可以用下面的命令打开服务。 Switch_A#vlan database Switch_A(vlan)#vtp server Switch_A(vlan)#vtp domain scut_nc Switch_A(vlan)#exit 步骤 2 - 配置产生新的 VLAN 产生并命名两个新的 VLAN,键入如下命令产生两个 VLAN: Switch_A#vlan database Switch_A(vlan)#vlan 2 name VLAN2 Switch_A(vlan)#vlan 3 name VLAN3 Switch_A(vlan)#exit 步骤 3 - 分配端口给新创建的 VLAN 分配端口给 VLAN 时必须在接口配置模式(interface mode)下进行。输入如下命 令将 ports 2, 3 分配给 VLAN 2; ports 6, 7 分配给 VLAN 3. Switch_A#config terminal Switch_A(config)#interface Ethernet 0/2 Switch_A(config-if)#switchport access vlan 2 Switch_A(config-if)#interface Ethernet 0/3 Switch_A(config-if)#switchport access vlan 2 Switch_A(config-if)#interface Ethernet 0/6 Switch_A(config-if)#switchport access vlan 3 Switch_A(config-if)#interface Ethernet 0/7 Switch_A(config-if)#switchport access vlan 3 2.配置 VTP client 步骤 1 –设置为 VTP client 模式 输入下列命令,将交换机 B 配置成 VTP 客户端。 Switch_B#vlan database Switch_B(vlan)#vtp client Switch_B(vlan)#vtp domain scut_nc Switch_B(vlan)#exit 3.配置 Vlan Trunk 步骤 1 –在交换机 A 和交换机 B 的 fastethernet 0/1 上输入如下命令: 实验六 交换机基本应用 | Switch_A(config)#interface fastethernet 0/1 Switch_A(config-if)#switchport mode trunk Switch_A(config-if)#end
48
Switch_B(config)#interface fastethernet 0/1 Switch_B(config-if)#switchport mode trunk Switch_B(config-if)#end 学一招: VLAN 中继的帧格式分为 ISL 和 IEEE802.1Q 两种,前者是用封装的方式,后者采用 帧标记的方式,在 2950 交换机上无须进行帧格式配置,其仅支持 802.1q 协议. 步骤 2 – 验证 VLAN Trunk 用 show interface fa 0/1 switchport 命令观察端口 fa0/1 是否为 trunk 端口, 此端口的 trunk 封装属于那种类型? 4.检测配置结果 步骤 1 –观察两台交换机的 vlan 配置情况: 1)在交换机 A 的特权模式下输入 show vlan : Switch_A#show vlan 2)在交换机 B 的特权模式下输入show vlan : Switch_B#show vlan 想想看: 注意观察两台交换机的 vlan 配置以及端口所归属的 vlan 是否相同。思考一下 vlan 中继协议可以在域内传递迁移交换机的哪些配置信息。
5.在 Switch_B 上分配成员端口 尽管对VLAN的定义已经通过VTP而迁移到交换机B上了,但仍必须在交换机B上为这些 VLAN分配成员端口. 步骤 1 - 分配端口给 VLAN 分配端口给 VLAN 时必须在接口配置模式(interface mode)下进行。输入如下命 令将 ports 2, 3 分配给 VLAN 2; ports 6, 7 分配给 VLAN 3. Switch_B#config terminal Switch_B(config)#interface Ethernet 0/2 Switch_B(config-if)#switchport access vlan 2 Switch_B(config-if)#interface Ethernet 0/3 Switch_B(config-if)#switchport access vlan 2 Switch_B(config-if)#interface Ethernet 0/6 | 实验六 交换机基本应用 Switch_B(config-if)#switchport access vlan 3 Switch_B(config-if)#interface Ethernet 0/7 Switch_B(config-if)#switchport access vlan 3 步骤 2 –检测 VLAN 配置情况: 在交换机 B 的特权模式下输入 show vlan,观察 VLAN 以及端口配置情况. Switch_B#show vlan
49 49
6.测试 VLAN 和 Trunk 1)在连接 Switch_A port 0/2 的主机上 ping 连接 Switch_B port 0/2 的主机. Ping 能否成功,思考为什么 2)将主机从 Switch_A port 0/2 移至 port 0/6 ,再 ping 连接 Switch_B port 0/16 的主机.此时 Ping 能否成功,思考为什么
试试看: 做完后续实验之后,将交换机 B 再配置为 VTP transparent 观察一下结果有何不同, 体会 VTP 三种模式的区别.
6.4 实验命令汇总 命
令
作
用
duplex {auto |full | full-flow-control | half}
设置接口双工模式
speed
设置接口速度
vlan database
进入 vlan 配置模式
vlan vlan_id name vlan_name
定义 vlan 编号和 vlan 名
exit
退出 vlan 配置模式并且将配置信息保存到 vlan 数据库中
show vlan
查看 vlan 信息
show vlan brief
以简洁的形式查看 vlan 信息
show mac-address-table
显示交换机 MAC 地址表
interface interface_type interface_number switchport
查看相应端口的交换属性
interface vlan1
进入接口 vlan1 的配置模式
enable password password
设置 enable 口令
enable secret secret switchport mode trunk
设置 enable 密码 实验六 交换机基本应用 | 端口配置为 trunk 模式
switchport trunk encapsulation 802.1q
用 IEEE802.1Q 封装端口
switchport access vlan vlan_number
配置接口的 vlan 归属
vtp {server | client | tranparent}
设置 vtp 模式
vtp domain name
设置 vtp 域名
show vtp status
查看 vtp 状态
show vtp couters
查看 vtp 统计数据
vtp {server | client | tranparent}
设置 vtp 模式
show
50
实验六 交换机基本应用 |
| 实验七 交换机基本应用
实验七
Vlan 域间路由
在 CCNA 认证考试中,有关 VLAN 域间的路由是交换技术的重要知识点,本实验将加深对 交换技术的认识,并且为 CCNP 多层交换部分打下基础。 本节实验主要关于 Catalyst 2950 系列交换机 VLAN、VLAN 中继以及 VLAN 间路由等相关
51 51
方面内容, 深入了解交换机 VLAN, VLAN Trunk 的配置,以及熟悉不同 VLAN 之间路由的配 置。
7.1 交换原理概述 在局域网交换技术中,共享式以太网、冲突域、广播域、桥接、交换、MAC 地址表、VLAN、 VLAN 中继等概念特别重要。下面对这些概念做一下简单回顾。 1. 共享式以太网 共享式以太网是构建在总线型拓扑上的以太网,严格遵从载波侦听多路访问/冲突检测 (CSMA/CD, Carrier Sense Multiple Access/Collision Detect)算法的网络,CSMA/CD 算 法的机制决定了共享式网络的半双工特点。在共享式以太网上,当一台主机发送数据的时候 其他主机只能接收该以太网帧,此时网上其他主机都不能发送数据。 2. 冲突域 用同轴电缆构建或以 hub 为核心构建的共享式以太网,其上所有节点同处于一个冲突 域,一个冲突域内不同设备同时发出的以太网帧会互相冲突;同时,冲突域内的一台主机发 送数据,同处于一个冲突域的其他主机都可以接收到。 3. 广播域 广播域是网上一组设备的集合,当这些设备中的一个发出一个广播时,所有其他设备都 能接受到这个广播帧。 广播域和冲突域是比较容易混淆的概念,我们可以这样区分他们:连接在一个 hub 上的 所有设备都处于一个冲突域,同时也构成了一个广播域;连接在一个没有划分 VLAN 交换机 上各端口上的设备处于不同的冲突域中(每一个交换机的端口构成了一个冲突域),但同属 于一个广播域。 4. 桥接 所谓桥接,CCNA 中主要是指透明桥接。透明网桥连接两个或者更多的共享以太网网段, 不同的网段分别属于各自的冲突域,所有网段处于同一个广播域。桥接工作模式应认真理解, 它是理解交换机工作原理的基础。 5. 交换 局域网交换的概念源自桥接,它与透明网桥使用相同的算法,只是交换的实现是用专用 硬件实现,而传统的桥接是用软件来完成的。 6. MAC 地址表 交换机内有一个 MAC 地址表,用于存放该交换机端口所连接设备的 MAC 地址与端口号的 对应信息。MAC 地址表是交换机正常工作的基础,我们应该了解它的生成过程。 7. VLAN VLAN 用以把物理上直接相连的网络从逻辑上划分为多个子网。每一个 VLAN 对应着一个 广播域。 二层交换机没有路由功能,不能在 VLAN 之间转发帧,因而处于不同 VLAN 上的主机不能 进行通信,只有引入第三层交换(VLAN 间路由)技术之后,VLAN 间的通信才成为可能。 实验七 Vlan 域间路由| 8. VLAN 中继 VLAN 中继(VLAN Trunk)也称为 VLAN 主干,是指在交换机与交换机之间或者交换机与 路由器之间连接的情况下,在互相连接的端口上配置中继模式,使得属于不同 VLAN 的数据 帧都可以通过这条中继链路得以传输。 VLAN 中继的帧格式分为 ISL 和 IEEE802.1Q 两种,其中前者是 Cisco 交换机独有的协议, 后者是国际标准,被几乎所有的设备厂商所广泛支持。 9. VLAN 中继协议 52
对于 Cisco 设备而言, VLAN 中继协议即 VTP 协议可以帮助交换机设置 VLAN.VTP 协议可 以维护 VLAN 信息的全网一致性. VTP 有三种工作模式,即服务器模式,客户模式和透明模式,对于三种模式的准确区分是 交换技术需要掌握的要点之一.
7.2 实验设备
安装了超级终端软件的电脑(作为连接到交换机的终端) Cisco 交换机、路由器 Console 电缆(rollover 线)
7.3 实验内容
A Workstation
B Workstation
7.3.1 局域网交换机的配置 7.3.1.1 实验目的: z z z
产生两个 VLAN,并验证配置结果。 为每个 VLAN 命名,并分配交换机成员端口给他们。 进行删除 VLAN 的操作,理解 VLAN1 为什么不能被删除。
7.3.1.2 实验内容:局域网交换机的配置 1.交换机的基本配置 步骤 1
- 配置产生新的 VLAN 产生并命名两个新的 VLAN,键入如下命令产生两个 VLAN: Switch#vlan database Switch(vlan)#vlan 2 name VLAN2 | 实验七 交换机基本应用 Switch(vlan)#vlan 3 name VLAN3 Switch(vlan)#exit
2. VLAN 间路由
53 53
步骤 1 - 配置两台工作站 在计算机 A(下称“A 机” )上配置 192.168.2.1 的地址,子网掩码 255.255.255.0, 网关 192.168.2.254. 在计算机 B(下称“B 机”)上配置 192.168.3.1 的地址,子网掩 码 255.255.255.0,网关 192.168.3.254。然后把 A 机和 B 机插入 vlan2 和 vlan3 的端 口中。 步骤 2 - 将相应的接口加入 VLAN 中 1)vlan1 为默认 vlan,故不用配置 2)将 2-4 口划分为 vlan2 switch(config)#interface FastEthernet 0/2 switch(config)#switchport access vlan 2 switch(config)#interface FastEthernet 0/3 switch(config)#switchport access vlan 2 switch(config)#interface FastEthernet 0/4 switch(config)#switchport access vlan 2 3)将 6-8 口划分为 vlan3 switch(config)#interface FastEthernet 0/6 switch(config)#switchport access vlan 3 switch(config)#interface FastEthernet 0/7 switch(config)#switchport access vlan 3 switch(config)#interface FastEthernet 0/8 switch(config)#switchport access vlan 3 4)开启 FastEthernet 0/24 的 Trunk switch(config)#interface fastethernet 0/24 switch(config-if)# switchport mode trunk
试试看: 测试两个 vlan 的功能,在 vlan1 的端口 A 机上 ping vlan2 的端口 B 机,看看能否 ping 的通。思考实验拓扑中引入路由器原因是什么,它能起到什么作用?
7.3.2 路由器的配置 步骤 1 - 配置子端口,封装和接口地址 1) 激活快速以太网 0/0 口 Router(config)#interface FastEthernet 0/0 实验七 Vlan 域间路由| Router(config-if)#no shutdown 2) 配置子接口并且封装 Router(config)#int f0/0.1 Router(config-if)#encapsulation dot1q 2 Router(config-if)#ip address 192.168.2.254 255.255.255.0 Router(config)#int f0/0.2 Router(config-if)#encapsulation dot1q 3 54
Router(config-if)#ip address 192.168.3.254 255.255.255.0 Router(config-if)#exit Router(config)#exit 步骤 2 – 观察实验结果 完成以上配置,检查无误后,A 机和 B 机互相 Ping 对方的 IP 地址。回答以下问题: 1)A 机和 B 机是否可以互相 Ping 通? 2)记下A机到B机的tracert结果. __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ 步骤 3 – 查看路由器配置 1)在特权模式下输入 show ip route : Router#show ip route 查看路由表中有哪些条目,他们指向了哪些端口.
想想看: 此时为何 A 和 B 之间可以互相通讯,而这里不用配置任何的路由选择协议,深入理解 路由器的工作机理.
2)在全局配置模式下输入no ip routing : Router#config terminal Router(config)#no ip routing 再次进行步骤 2 观察实验此时的 ping 检测的结果
试试看: 如果条件允许,将此实验设备中的 Catalyst 2950 交换机替换为 Catalyst 3550 系 列交换机,不使用路由器,在 Catalyst 3550 交换机的全局配置模式下,输入命令 ip routing,再进行实验步骤 2 观察实验结果,对比原来的实验拓扑,思考 Catalyst 3550 三层交换机所起到的作用.
| 实验七 交换机基本应用
7.4 实验命令汇总 命
令
作
用
55 55
duplex {auto |full | full-flow-control | half}
设置接口双工模式
speed
设置接口速度
vlan database
进入 vlan 配置模式
vlan vlan_id name vlan_name
定义 vlan 编号和 vlan 名
exit
退出 vlan 配置模式并且将配置信息保存到 vlan 数据库中
show vlan
查看 vlan 信息
show vlan brief
以简洁的形式查看 vlan 信息
show mac-address-table
显示交换机 MAC 地址表
interface interface_type interface_number switchport
查看相应端口的交换属性
interface vlan1
进入接口 vlan1 的配置模式
enable password password
设置 enable 口令
enable secret secret
设置 enable 密码
switchport mode trunk
端口配置为 trunk 模式
switchport trunk encapsulation 802.1q
用 IEEE802.1Q 封装端口
switchport access vlan vlan_number
配置接口的 vlan 归属
vtp {server | client | tranparent}
设置 vtp 模式
vtp domain name
设置 vtp 域名
show vtp status
查看 vtp 状态
show vtp couters
查看 vtp 统计数据
vtp {server | client | tranparent}
设置 vtp 模式
show
实验八 帧中继、NAT 实验 |
实验八
帧中继、NAT 实验
帧中继和 NAT 是现今流行的广域网技术。帧中继是非常高效而且广泛使用的广域网技术 之一,也是 CCNA 考试的重点考察对象。对于帧中继的概念、技术和试验技能的掌握相当之 56
重要。新版 CCNA 加入了对 NAT(Network Address Translation)技术的考察,其中既包括 理论上的,也包括实际配置方面的要求。 本节实验旨在了解广域网技术,熟悉路由器配置为帧中继交换机、基本帧中继配置以及 NAT 地址转换技术。
8.1 帧中继和 NAT 技术概述 8.1.1 帧中继技术概述 帧中继(Frame Relay)协议是一个第二层协议,即数据链路层协议,它工作在 OSI 参 考模型的物理层和数据链路层。 以下几个术语及其相关技术是学习帧中继协议时应重点掌握的内容。 1. 虚电路 两个 DTE 设备(如路由器)之间的逻辑链路称为虚电路(VC),帧中继用虚电路来提供 端点之间的连接。由服务提供商预先设置的虚电路称为永久虚电路(PVC);另外一种虚电路 是交换虚电路(SVC),它是动态设置的虚电路。 2. DLCI 数据链路标识符(Data-Link Connection Identifier),是在源和目的设备之间标识逻 辑电路的一个数值。帧中继交换机通过在一对路由器之间映射 DCLI 来创建虚电路。 3. 本地管理接口(LMI) 用户设备和帧中继交换机之间的信令标准,它负责管理设备之间的连接、维护设备之间 的连接状态。 4. 帧中继映射 作为第二层的协议,帧中继协议必须有一个和第三层协议之间建立关联的手段,才能用 它来实现网络层的通信,帧中继映射即实现这样的功能,它把网络层地址和 DLCI 之间进行 映射。 5. 逆向 ARP 帧中继网中的路由器通过逆向 ARP 可以自动建立帧中继映射,从而实现 IP 地址和 DLCI 之间的映射。
8.1.2 NAT 技术概述 NAT(Network Address Translation) ,即网络地址转换技术,可以使一个机构内的所 有用户通过有限个数合法 IP 地址访问 Internet,从而节省 Internet 上的合法 IP 地址;另 一方面,通过地址转换,可以隐藏内网上主机的真实 IP 地址,从而提高网络安全性。 在 NAT 中,有四个术语是必须正确理解的,他们是 Inside,Outside,Local,Global。 这些术语中,Inside 是指那些由机构或企业内部拥有的内部网络,这些网络通常分配 Internet 上路由,从而也就不能直接用于对 Internet |了私有地址,这些地址不能直接在 实验八 帧中继、NAT 实验 |的访问,必须通过网络地址转换,以合法 IP 身份来访问 Internet。前者即是 Inside Local 地址,后者即是 Inside Global 地址。 Local 地址即不能在 Internet 上面通信的地址;Global 地址是能在 Internet 上通信的 地址。Outside 是指除了我们考察的内部网络之外的所有网络,主要是指 Internet。
57 57
8.2 实验设备 1.安装了超级终端软件的电脑(作为连接到交换机的终端) 2.Cisco 路由器(1600 系列和 2500 系列) 3.Console 电缆(rollover 线)
8.3 实验内容 8.3.1 帧中继实验
Frame Relay Switch R0 S0:DLCI 21
DCE DCE
DTE
Workstation
R1
172.18.1.1/24
S1:DLCI 20
DTE
R2
Workstation
172.18.3.1/24
8.3.1.1 按实验图连接线路 连接线路时,应注意要正确连接 V.35 电缆。V.35 电缆 DCE 与 DTE 端可以通过电缆中 间的接头分辨出来。母口的一端连接 DCE 设备,公口的一端连接 DTE 设备。在此实验拓 扑中用一台路由器来模拟帧中继交换机作为 DCE 设备。
8.3.1.2 配置路由器 R1 和 R2 端口地址 1.R1 配置 步骤 1 - 连接到超级终端并进入全局配置模式 1)用 console 线一端连接路由器的 console 口,一端接用于配置的主机 COM1 口。 起动终端仿真程序“超级终端”,选定连接参数为数据位 8 位,波特率 9600,停 实验八 帧中继、NAT 实验 | 止位 1 位,无流控,无校验。 2)路由器上电,进入普通用户模式 R1> 3)键入 enable 进入特权模式 R1# 4)使用 configure terminal 进入全局配置模式 R1(config)# 58
步骤 2 - 配置 ethernet 端口和 serial 端口 R1(config)#interface ethernet 0 R1(config-if)#ip address 192.168.1.254 255.255.255.0 R1(config-if)#no shutdown R1(config)#interface serial 0 R1(config-if)#ip address 192.168.2.5 255.255.255.252 R1(config-if)#no shutdown R1(config-if)#encapsulation frame-relay
//进入 ethernet 0 端口 //为此端口配置地址 //使端口工作 //进入 serial 端口 //为此端口配置地址 //使端口工作 //配置帧中继封装格式
步骤 3– 配置路由选择协议 我们这里采用的是 RIP 协议 R1(config)#router rip R1(config-router)#network 192.168.1.0 R1(config-router)#network 192.168.2.0 2.R2 配置 参看 R1 的配置方法对 R2 进行配置,端口按照实验图标注的地址进行配置。由于 R1 和 R2 都是作为 DTE 设备,故在此不用配时钟。
想想看: 对于连接 DCE 电缆的接口,配置时钟 clockrate,用以对 DTE 端提供时钟同步信号。 而连接 DTE 电缆的接口则不需要配置时钟。那该如何区分 DCE 和 DTE 设备,回忆一 下所学内容,你能想到几种方法呢?
8.3.1.3 配置帧中继交换机 步骤 1– interface Serial 0 的配置内容 R0#configure terminal R0(config)#frame-relay switching // 配置成为帧中继交换机 R0(config)#interface serial 0 // 进入 serial 0 端口 R0(config-if)#no ip address //指定该端口不配置地址 R0(config-if)#no shutdown //使端口工作 R0(config-if)#clock rate 56000 //指定时钟频率 R0(config-if)#encapsulation frame-relay //帧中继封装 | 实验八 帧中继、NAT 实验 intf-type dce R0(config-if)#frame-relay //指定帧中继的设备类型是 DCE 设备 | R0(config-if)#frame-relay route 21 interface serial 1 20 //定义帧的路由 步骤 2– interface Serial 1 的配置内容 R0#configure terminal R0(config)#frame-relay switching // 配置成为帧中继交换机 59 59
R0(config)#interface serial 1 // 进入 serial 1 端口 R0(config-if)#no ip address //指定该端口不配置地址 R0(config-if)#no shutdown //使端口工作 R0(config-if)#clock rate 56000 //指定时钟频率 R0(config-if)#encapsulation frame-relay //帧中继封装 R0(config-if)#frame-relay intf-type dce //指定帧中继的设备类型是 DCE 设备 R0(config-if)#frame-relay route 20 interface serial 0 21 //定义帧的路由
学一招: 只有两个同样的帧中继封装的接口才可以相互之间通信,有两种可能的封装:Cisco 封装和 IETF 封装。上面配置采用了缺省的 Cisco 封装。但如果路由器在帧中继网 络中与其他厂商设备相连,则不应使用这种方法。
8.3.1.4 思考回答以下问题 1.在 R0 中使用 show running 的命令查看 RO 路由器上的 S0 和 S1 的配置信息 2.在 R1 中使用 show interface S0 的命令查看以下内容: 1) serial 接口的连接状态? ____________________________________________________________________ 2) 有多少个 LMI 的信息包被发送和接收? ____________________________________________________________________ 3) LMI 的类型? ____________________________________________________________________ 3.在 R1 中用 show frame pvc 命令查看以下内容 1)连接的 DLCI 号? ___________________________________________________________________ 2)PVC 的状态?_____________________________________________________ 4.在 R1 中使用 show frame map 命令查看以下内容 1)本地接口的序号,交换机接口的 IP 地址和 DLCI 号的连接? ____________________________________________________________________ 2)PVC 的状态? ____________________________________________________________________ 5.在 R0 中使用 show frame route 命令查看显示内容 ____________________________________________________________________ ____________________________________________________________________ 6.在 R1 中使用 ping 192.168.3.254 命令查看结果 实验八 帧中继、NAT 实验 | ____________________________________________________________________
8.3.2 NAT 实验
实验拓扑结构: 60
B1 F0/1 202.112.18.10/29
F0/0
A 211.66.2.254/24
202.112.18.9/29
R1
F0/1
B2
F0/0
211.66.1.254/24
R2
B3
8.3.2.1 实验要求 1.按照上述拓扑图的拓扑结构连接网络设备; 2.配置各网络设备参数和静态路由; 3.在 R2 的 FE0/1 端口配置 NAT,实现对内网机器的保护,要求: 1)NAT 的地址池使用 202.112.18.12~202.112.18.13; 2)对 B1 进行静态地址转换,B1 的 IP 静态映射成 202.112.18.14;
8.3.2.2 实验内容 步骤 1 - 根据拓扑图的结构进行物理连线。 步骤 2 - 根据拓扑图配置路由器的各个端口参数。 步骤 3 - 配置路由器端口的地址和 NAT 协议,在 R2 路由器上做以下配置: R2(config)#interface FastEthernet0/0 R2(config-if)#ip address 202.112.18.10 R2(config-if)#ip nat outside
255.255.255.248 //设置 nat 转换的方向
R2(config)#interface FastEthernet0/1 R2(config-if)#ip address 192.168.1.254 R2(config-if)#ip nat inside
255.255.255.0 //设置 nat 转换的方向
学一招: outside 标记外部网络接口,对流出的流量进行 nat 的转换;inside 标记内部网络 对流入的流量 | 实验八 接口, 帧中继、NAT 实验 进行 nat 的转换。都是从内部网络角度来看 inside 和 outside 的方向的。 | 步骤 4 - 设置 nat 地址转换池,用于动态的 nat 转换 R2(config)#ip nat pool testpool 202.112.18.12 202.112.18.13 netmask 255.255.255.248 步骤 5 - 设置防火墙列表,允许指定 ip 地址进行 nat 的转换 61 61
R2(config)#ip nat inside source list 10 pool testpool R2(config)#access-list 10 permit host 192.168.1.2 R2(config)#access-list 10 permit host 192.168.1.3 步骤 6 - 设置静态的 nat 转换 R2(config)#Ip nat inside source static 192.168.1.1 202.112.18.14
想想看: 经过如上地址转换配置之后,B1、B2 和 B3 经过 NAT 地址转换之后的全局地址是多 少?
步骤 7 - 配置路由器 R1 和 R2 的缺省路由: R1(config)#ip route 0.0.0.0 0.0.0.0 202.112.18.10 R2(config)#ip route 0.0.0.0 0.0.0.0 202.112.18.9 步骤 8 - 测试配置结果 对测试用的 PC 机进行配置,参数如下: A: IP 地址:211.66.2.1 子网掩码:255.255.255.0 B1:IP 地址:192.168.1.1 子网掩码:255.255.255.0 B2:IP 地址:192.168.1.2 子网掩码:255.255.255.0 在 B1 上 ping 机器 A,是否可以 ping 通? 在 B2 上 ping 机器 A,是否可以 ping 通? 在机器 A 上 ping B1 和 B2,是否可以 ping 通?
网关:211.66.2.254 网关:192.168.1.254 网关:192.168.1.254
想想看: 为什么 A 可以 ping 通 B1 和 B2 呢,为何地址转换之后仍然可以 ping 通内网? 所谓引入 NAT 可以提高网络安全性,究竟是如何实现的呢?
实验八 帧中继、NAT 实验 |
8.4 实验命令汇总 命
令
作
用
frame-relay switching
启动路由器的帧中继交换功能
encapsulation frame-relay {ietf | cisco}
把接口的帧格式封装为帧中继
frame-relay lmi-type {ansi | q933a | cisco}
定义发往帧中继交换机的 LMI 报文类型
frame-relay intf-type dce
设置帧中继接口类型为 DCE
62
show frame-relay lmi
查看帧中继 LMI
show frame-relay pvc
查看帧中继 PVC
show frame-relay map
查看帧中继映射
show frame-relay traffic
查看帧中继流量统计
show frame-relay route
查看帧中继路由
ip nat inside
定义接口为 NAT 内部接口
in nat outside
定义接口为 NAT 外部接口
ip nat inside source static local-ip global-ip
定义静态源地址转换
debug ip nat
打开对 NAT 的监测
show ip nat statistic
查看 NAT 统计信息
show ip nat translations
查看 NAT 地址转换
ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}
定义 NAT 地址迟
ip nat inside source list access-list-number pool name
定义 NAT 动态转换
63 63