还剩38页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
目录TOC\o1-3\h\u第一章认识PacketTracer软件1第一节PacketTracer
4.0的基本界面1第二节选择设备并连线2第三节配置不同设备3第四节测试设备的连通性4第二章CiscoIOS5第一节IOS基础知识5
一、命令的简写和完成5
二、下文敏感帮助6
三、错误信息6第二节命令的输入7
一、基础命令7
二、常用show命令9第三章静态路由和默认路由10第一节静态路由介绍10第二节默认路由介绍10第三节实验11第四章虚拟局域网和中继12第一节VLAN简介12第二节VTP简介13第三节实验14第五章单臂路由15第一节子接口配置15第二节接口封装15第三节实验16第六章RIP17第一节RIP概述17
一、RIPV1简介17
二、RIPV2简介18第二节配置命令18第三节RIP验证和故障排除18第四节实验20第七章EIGRP21第一节简介21第二节EIGRP配置21第三节EIGRP实验22第九章STP23第一节STP简介23第二节配置命令24第三节STP实验25第十章OSPF26第一节MD5认证26第二节度量值26第三节OSPF实验27第十一章ACL28第一节ACL概述28第二节基本ACL配置29第三节实验29第十二章NAT31第一节NAT概述31第二节NAT配置31
一、静态NAT配置32
二、动态NAT配置32
三、PAT配置32第三节NAT实验33第十三章综合实验34
一、实验要求34
二、实验拓扑34
三、配置过程35
四、基本排错步骤38第一章认识PacketTracer软件PacketTracer是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况可以学习IOS的配置、锻炼故障排查能力目前最新的版本是PacketTracer
5.7它支持VPNAAA认证等高级配置下面按四个方面对该软件做简单介绍
1、基本界面
2、选择设备,为设备选择所需模块并且选用合适的线型互连设备
3、配置不同设备
4、测试设备的连通性,并在simulation模式下跟踪数据包,查看数据包的详细信息第一节PacketTracer
4.0的基本界面打开PacketTracer
5.3时界面如下图所示表1PacketTracer
4.0基本界面介绍1菜单栏此栏中有文件、选项和帮助按钮,我们在此可以找到一些基本的命令如打开、保存、打印和选项设置,还可以访问活动向导2主工具栏此栏提供了文件按钮中命令的快捷方式,我们还可以点击右边的网络信息按钮,为当前网络添加说明信息3常用工具栏此栏提供了常用的工作区工具包括选择、整体移动、备注、删除、查看、添加简单数据包和添加复杂数据包等4逻辑/物理工作区转换栏我们可以通过此栏中的按钮完成逻辑工作区和物理工作区之间转换5工作区此区域中我们可以创建网络拓扑,监视模拟过程查看各种信息和统计数据6实时/模拟转换栏我们可以通过此栏中的按钮完成实时模式和模拟模式之间转换7网络设备库该库包括设备类型库和特定设备库8设备类型库此库包含不同类型的设备如路由器、交换机、HUB、无线设备、连线、终端设备和网云等9特定设备库此库包含不同设备类型中不同型号的设备,它随着设备类型库的选择级联显示10用户数据包窗口此窗口管理用户添加的数据包第二节选择设备并连线在工作区域内添加需要的设备,应用合适的线型将设备连接起来,可供选择的有如图所示当然在连线的时候,新手会遇到设备之间连不上的问题比如在没有串口的设备上连接串行线,或者端口不够使用因此可以通过增加模块和换线型来解决图6设备连接我们看到各线缆两端有不同颜色的圆点,它们分别表示什么样的含义呢?表2线缆两端亮点含义链路圆点的状态含义亮绿色物理连接准备就绪,还没有LineProtocolstatus的指示闪烁的绿色连接激活红色物理连接不通,没有信号黄色交换机端口处于“阻塞”状态线览两端圆点的不同颜色来将有助于我们进行连通性的故障排除第三节配置不同设备为路由器设备的每一个将要使用到的端口配置一个IP并将端口的状态变成UP配置时有两种方法,一是在CLI中用命令配置,二是在config中相应位置上直接输入如图所示另外在给PC机配置IP时,则是在打开对话框之后点击desktop按钮中的IPconfiguration进行填写,可以完成默认网关和IP地址的设置这样整个链路在物理层的基础上是联通了第四节测试设备的连通性在Realtime模式下添加一个从PC1――PC0的简单数据包,结果如下图所示图11LastStatus的状态是Successful说明PC1到PC0的链路是通的下面我们在Simulation模式下跟踪一下这个数据包,如图12所示图12点击Capture/Forward会产生一系列的事件,这一系列的事件说明了数据包的传输路径图13点击Router0上的数据包,可以打开PDUInformation对话框,在这里我们可以看到数据包在进入设备和出设备时OSI模型上的变化,在InboundPDUDetails和OutboundPDUDetails中我们可以看到数据包或帧格式的变化,这有助我们对数据包做更细致的分析第二章CiscoIOS本章将先介绍路由器的硬件组成,而重点是介绍路由器中最重要的部分IOS,对路由器的配置实际上就是对IOS软件进行配置IOS提供了大量的命令,熟悉这些命令才能更好地发挥路由的功能,本章介绍的是路由器的一些一些基础命令IOS简介路由器也有自己的操作系统,通常称为IOS(InternetworkOperatingSystem)和计算机上的windows一样,IOS是路由器的灵魂,所有配置是通过IOS完成的Cisco的IOS命令行界面(称为CLI,commandlineinterface),CLI有两种基本工作模式
(1)用户模式(usermode)通常用来查看路由器的状态在此状态下,无法对路由器进行配置,可以查看的路由信息也是有限的
(2)特权模式(privilegemode)可以更改路由器的配置,当然也可以查看路由器的所有信息第一节IOS基础知识下面将描述一些使配置和管理任务更轻松、以嵌入CLI中的特性这些特性包括如何间歇命令、如何调出关于命令及其具体的参数的详细帮助、命令的输出、恢复命令和编辑命令
一、命令的简写和完成IOS的CLI允许简写命令和参数,直到最后剩下他们独特的字符为止这个特性对于那些不爱打字的人非常有用例如,从用户EXEC转到特权EXEC模式时,可以键入en而不是enable,就像这样IosenIos#Cisco设备将在内部为用户完成这条命令然而,用户输入的字符必须使这条命令成为唯一命令例如,不能仅仅输入字母e,因为还有其他命令是以字母e开头的,如exit.
三、错误信息输入命令时,不可避免地会出现一些错误只要错误地键入一条命令,IOS都会告诉告诉您先前执行的命令有问题例如,下面消息表明一个CLI输入错误%Invalidinputdetectedat^那么,应该检查键入的命令和错误信息之间的那一行在这一行的某处,将看到一个^符号这个符号是IOS用以表明在这个命令行的哪个位置上存在错误下面是另外一个CLI错误%Incompletecommand.这个错误消息表明您没有为该条命令输入必要的参数这条命令的语法是正确的,然而需要更多必要的参数在这里,可以利用上下文敏感帮助特性来帮助您半段忘记了哪个或那些参数如果没有键入足够的的字符使一条命令或参数是唯一的,则会看到如下错误消息这是一个实例%Ambiguouscommand:showi显然,在此例中,show命令中有多余一个的参数是以字母i开头的同样,可以利用上下文敏感帮助来判断要使用什么参数第二节命令的输入有4个与输入命令相关的IOS关键特性■符号转换■命令提示■语法检查■命令恢复无论何时在CLI中输入一条命令,命令执行语法分析程序就仔细分析这条命令,确保它是带有效参数的有效命令仅仅就cisco路由器而言,如果CLI语法分析程序不能找到实际的命令,那么IOS就会假定您正试着Telnet到一台使用该名称的机器,并且尝试利用DNS将这个名称解析为IP地址这个称为符号转换的过程有时可能令人讨厌然而它确实使Telnet到远程机器的操作变得更容易,因为此操作只需键入这台机器的名称或者IP地址,而不是使用Telnet命令在任何IOS设备上,都可以用showhistory命令查看先前输入的命令默认情况下,IOS设备存储已执行的最后10条命令可以通过方向键恢复这些命令同时使用使用terminalhistorysize命令可以将历史缓存的大小从10增加到256条
一、基础命令■模式切换Router//用户模式Routerenable//在用户模式敲入enable进入特权模式(也叫enable模式)Router#disable//在特权模式敲入disable退出到用户模式Routerenable//在用户模式敲入enable进入特权模式Router#configureterminal//在特权模式敲入configureterminal进入到配置模式Routerconfig#interfaceethernet0/0//在配置模式敲入“interface+接口类型+接口编号”进入接口模式Routerconfig-if#exit//敲入exit退出接口模式Routerconfig#routerrip//敲入“router+路由协议”进入router模式Routerconfig-router#exit//退出router模式Routerconfig#lineconsole0//进入line模式Routerconfig-line#end//从line模式退出(任何时候敲入end会退出到特权模式)Routerconfig#interfaceethernet0/
0.1//进入子接口模式Routerconfig-subif#end//任何时候敲入end会退出到特权模式■为路由器定义名称routerconfig#hostnamexxxxxx为我们定义的名称Routerconfig#hostfxhfxhconfig#定义路由器的名称为FXH那么对路由器定义名称是为了区别我们所操作所有设备的不同.■为路由器添加特权密码routerconfig#enablepasswordsss(sss为我们定义的明文密码)routerconfig#enablesecretciscocisco为我们定义的密文密码■不执行DNS解析routerconfig#noipdomain-lookup(这条命令的作用是当我们在执行命令错误的时候,路由器会认为这条命令没有错误,它只是一个域名的形式,那么他会给你解析,这样,很浪费我们宝贵的时间■配置路由器,使得控制台端口不会中止你的连接routerconfig-line#exec-timeout0我们在长时间不去操作路由器的时候,我们的路由器会自动的终止与我们的对话连接,跳转到非连接状态,这时候,我们还需要输入enable密码重新登陆,从某种意义上来讲是对安全性得到了保证,但是对我们的操作是十分的不方便的■配置路由器,使得路由器发送的控制台屏幕的消息不会附加到命令行中routerconfig#lineconsole0routerconfig-line#loggingsynchronous■配置路由器,使得当登陆控制台端口的时候显示一个标题routerconfig#bannermotdEnterTEXTmessage.Endwiththecharacterm.在这里M是我们结束时候输入的结束控制字符,你最好找一个特殊的作为结束,例如~等等Xxxxxxx是我们定义的信息■.console口的配置Routerconfig#lineconsole0Routerconfig-line#password[password]//设置con口登录密码Routerconfig-line#loginRouterconfig-line#exit■VTY口的配置Routerconfig#linevty04//不同设备或不同IOS可能数量不同Routerconfig-line#password[password]Routerconfig-line#loginRouterconfig-line#exit■配置以太网口Routerconfig#intE0Routerconfig-if#ipaddress
192.
168.
1.
1255.
255.
255.0//配置IP地址■配置串行接口(需要配置时钟频率)Routerconfig#intS0Routerconfig-if#clockrate64000//DCE设备配置时钟,DTE设备不用配置Routerconfig-if#ipaddress
192.
168.
1.
1255.
255.
255.0//配置IP地址■配置接口描述信息Routerconfig-if#descriptionlinktostsd■配置主机名与IP地址映射Routerconfig#iphoststsd
192.
168.
113.1■清除路由器启动配置Rotuer#erasestartup-config■保存路由器当前配置Router#copyrunning-configstartup-config或者Router#write
二、常用show命令查看路由器版本Router#showversion查看路由器flashRouter#showflash:查看历史命令记录Router#showhistory查看接口物理相关信息Router#showinterfacess0/0查看接口协议相关信息Router#showipints0/0查看接口简要信息Router#showipintbrief查看路由器启动配置文件Router#showrunning-config查看路由器运行配置文件Router#showrunning-config查看当前登录的所有用户Router#showusers查看路由器ARP表Router#showarp■路由器模式详解用户模式Router特权模式Router#全局配置模式Routerconfig#接口模式Routerconfig-if#子接口模式Routerconfig-subif#线路配置模式Routerconfig-line#路由配置模式Routerconfig-router#第三章静态路由和默认路由转发数据包是路由器的最主要功能路由器转发数据包时需要查找路由表,管理员可以通过手工的方法在路由器中直接配置路由表,这就是静态路由虽然静态路由不适合在大型网络中使用,但是由于静态路由简单、路由负载小、可控性强等好处,目前在许多小型的公司中还经常被使用本章将着重介绍静态路由的配置,同时为以后学习动态路(RIP)由奠定基础第一节静态路由介绍路由器在转发数据时,要先在路由表中查找相应的路由路由器有三种方式建立路由
(1)直连网络路由器自动添加和自己直连的网络路由
(2)静态路由管理员手动输入到路由器的路由
(3)动态路由由路由协议动态学习到的路由静态路由的缺点是不能动态反映网络拓扑,当网络拓扑发生变化时,管理员必须手动改变路由表,但静态路由不会占用路由器太多的CPU和RAM资源,也不占用线路的带宽如果出于安全考虑想隐藏网络中某些部分或者管理员想控制数据转发路径,则会使用静态路由配置静态路由的命令为iproute,命令可是如下Iproute目的网络掩码{下一跳|接口}如以下例子下一跳Iproute
192.
168.
1.
0255.
255.
255.
0101.
1.
1.1接口Iproute
192.
168.
1.
0255.
255.
255.0S1/0在写静态路由时,如果链路是点到点的,采用下一跳和接口都是可以的;然而如果链路是多路访问的,则只能用下一跳,而不能用下一跳第二节默认路由介绍所谓默认路由,是指路由器在路由表中如果找不到到达目的网络的具体路由时,最后会采用的路由默认路由通常会存在根网络(只有一个出口的网络)或者说是网络末梢中使用,命令为iproute
0.
0.
0.
00.
0.
0.0{下一跳|接口}第三节实验实验拓扑实验目的掌握静态及默认路由的配置方法实验要求R1使用下一跳配置R2用出接口配置R3用出接口+下一跳R1和R4上配置默认路由来访问其他网络实验步骤步骤1按如上拓扑做好底层基本IP配置,并检测相邻设备之间的连通性步骤2按实验要求在各台路由器上做配置R1config#iproute
0.
0.
0.
00.
0.
0.0s1/0R2config#iproute
10.
1.
1.
128255.
255.
255.
25210.
1.
1.66R3config#iproute
10.
1.
1.
0255.
255.
255.252s
110.
1.
1.65R4config#iproute
0.
0.
0.
00.
0.
0.
010.
1.
1.129查看路由器路由表Router#showiproute用R1去PingR4和用R4去PingR1,查看结果?结果是可以互相ping通结果分析虽然R1和R4没有配置到达对方的静态路由,但是由于各自都配置了一条默认路由,当收到路由表中没有的路由条目时,最后将以默认路由的方式将包发出去的,所以能够ping通第四章虚拟局域网和中继Cisco交换机不仅仅具有2层交换功能,它还具有VLAN等功能VLAN技术可以使我们很容易地控制广播域的大小有了VLAN,交换机之间的级联链路就需要Trunk技术来保证该链路可以同时传输多个VLAN的数据同时为了方便管理各交换机上的VLAN信息,中继协议(VLANTrunkProtocol,VTP)也被引入了交换机之间的级联链路带宽如果不够,我们可以把多条链路捆绑起来形成逻辑链路,而不是在路由器上都有一个自己的端口,减少了购买设备的开销第一节VLAN简介虚拟局域网VirtualLAN,VLAN是指在一个物理网段内进行逻辑的划分,划分成若干个虚拟局域网,VLAN做大的特性是不受物理位置的限制,可以进行灵活的划分VLAN具备了一个物理网段所具备的特性相同VLAN内的主机可以相互直接通信,不同VLAN间的主机之间互相访问必须经路由设备进行转发,广播数据包只可以在本VLAN内进行广播,不能传输到其他VLAN中在配置VLAN时,需要先创建将要使用到的VLAN,通常VLAN1是系统预先配置的,在创建时不能在选取这个VLAN号默认情况下,交换机的每个端口将与VLAN1相关联创建VLAN时,使用到一线命令Switchconfig#vlan+编号执行VLAN命令时,将进入VLAN子配置模式Switchconfig-vlan#,可以在该模式下输入VLAN的配置参数,如名称在VLAN命令前添加no参数可以删除本条VLAN的详细信息一旦创建完VLAN,则需要使用下面配置将VLAN分配到交换机接口上Switchconfig#inttype/port//进入接口如果交换机支持多种VTP封装的话,则需要先指定封装SwitchAconfig-if#switchporttrunkencapsulationdot1q//2950系列上无此命令Switchconfig-if#switchportmodeaccess|trunk//划分端口模式Switchconfig-if#switchportaccessvlan+创建好的编号//将VLAN接入在划分端口模式时,交换机间、交换机和路由器间的连接的端口要开启trunk模式,交换机和终端机(如PC)之间的连接的端口要开启access模式第二节VTP简介VLAN中继协议(VLANTrunkProtocol,VTP)是专有的cisco协议,用于在中继连接上的cisco交换机之间共享VLAN配置信息VTP允许交换机共享并同步VLAN信息,确保网络具有一致的VLAN配置信息设置VTP时,可为交换机配置选择3种不同的模式1.客户(Client)2.服务器(Server)3.透明(Transparent)在VTP服务器或透明模式下配置的交换机可以添加、修改和删除VTP这些模式的主要区别是对透明模式交换机所做的修改之影响本台交换机,不影响网络中其他的交换机然而如果对VTP服务器交换机进行修改,那么随后它会在其所有端口传播关于修改的VTP信息或者服务器收到VTP信息,也会更新合并后从其所有其余的中继接口转发出去透明交换机和服务器交换机一样,接受并转发VTP信息,但是它不进行更新合并下面介绍一下在交换机上配置VTP配置时应在全局模式下完成Switchconfig#vtpdomain+域名//定义域名Switchconfig#vtpmodeserver|client|transparent//定义模式Switchconfig#vtppassword//设置密码vtpdomain命令定义了交换机的域名记住,为了让交换机共享VTP信息,它们必须在相同域中从其他域接受的信息被忽略如果没有配置域,交换机会从服务器通告中学到域名第三节实验实验拓扑图实验目的掌握VLAN及VTP的配置实验要求处于相同VLAN的设备能够互相访问,不同VLAN的访问超时实验步骤1.按如上拓扑做好底层基本IP配置,并检测相邻设备之间的连通性2.按实验要求在各台交换机上做配置Switch0Switchconfig#vlan2Switchconfig#vlan3Switchconfig#intfa0/1Switchconfig-if#switchportmodeaccessSwitchconfig-if#switchportaccessvlan2Switchconfig#intfa0/2Switchconfig-if#switchportmodeaccessSwitchconfig-if#switchportaccessvlan3Switchconfig#intfa0/5|0/10Switchconfig-if#switchportmodetrunkSwitch1Switchconfig#vlan2Switchconfig#vlan3Switchconfig#intfa0/1Switchconfig-if#switchportmodeaccessSwitchconfig-if#switchportaccessvlan2Switchconfig#intfa0/2Switchconfig-if#switchportmodeaccessSwitchconfig-if#switchportaccessvlan3Switchconfig#intfa0/5|0/20Switchconfig-if#switchportmodetrunkSwitch2Switchconfig#intfa0/10|fa0/20Switchconfig-if#switchportmodetrunk三台交换机都配置VTP,其中至少有一台是ServerSwitchconfig#vtpdomainccnaSwitchconfig#vtpmodeserver|client|transparentSwitchconfig#vtppasswordccn用PC0分别去PingPC2和PC3,看结果是怎样很显然,PC0和PC2同属一个VLAN和PC3不同VLAN所以能收到来自PC2的回复,请求PC3超时另外,如果两路两端设置的密码值不相同,那么两端的设备即使处于相同的VLAN也不能进行通信第五章单臂路由通常,我们都知道路由选择就是流量来到一个物理接口而离开另一个物理接口的过程单臂路由是为实现VLAN间通信的三层网络设备路由器,它只需要一个以太网,通过创建子接口可以承担所有VLAN的网关,而在不同的VLAN间转发数据这将提高路由器解决方案的价格例如,如果有5个VLAN,而路由器不支持中继那么为了在5个VLAN间路由,路由器上必须要有多余5个的LAN接口对于静态路由,可以在一个接口上进行5个VLAN间的路由考虑到成本和可伸缩性,大多数管理员更愿意用单臂路由的方法来解决交换式网络中的路由选择问题第一节子接口配置要设置单臂路由器,需要将路由器的物理接口划分为多个逻辑接口,称为子接口Cisco支持在一台路由器上总共1000个接口,这包括物理和逻辑接口一旦创建了子接口,路由器将把这个逻辑接口作为物理接口创建子接口前,先将所要选择的物理接口开启,但是不配置任何参数,创建子接口的命令如下Routerconfig#inttype+portRouterconfig-if#noshu//先开启端口,但是不配置任何参数Routerconfig#inttype+port.subinterfaceRouterconfig-subif#创建子接口时,先输入物理接口的类型和端口标志符后,接着输入一个(.)和子接口号第二节接口封装一旦创建了子接口,配置时会发现CLI提示符改变了,并且将处于子接口模式下为单臂路由器设立子接口时,必须配置的一项是中继类型ISL或
802.1Q(dot1q)以及子接口相关联的VLAN,命令如下Routerconfig#inttype+port.subinterfaceRouterconfig-subif#encapsulationdot1Q|islvlan号第三节实验实验拓扑实验目的掌握单臂路由的配置方法,通过单臂路由器实现不同VLAN之间互相通信实验要求在路由器fa0/0端口上起两个子接口,fa0/
0.
5192.
168.
1.1/24和fa0/
0.
10192.
168.
2.1/24,并封装相应的VLAN号,vlan5和vlan10,使得PC0和PC1能够互相ping通对方实验步骤1.按如上拓扑做好底层基本IP配置2.按实验要求在路由器和交换机上做配置Switchconfig#vlan5Switchconfig#vlan10Switchconfig#intfa0/1Switchconfig-if#switchportmodeaccessSwitchconfig-if#switchportaccessvlan5Switchconfig#intfa0/2Switchconfig-if#switchportmodeaccessSwitchconfig-if#switchportaccessvlan10Switchconfig#intfa0/3Switchconfig-if#switchportmodetrunkRouterconfig#intfa0/0Routerconfig-if#noshu//先开启端口,但是不配置任何参数Routerconfig#intfa0/
0.5Routerconfig-subif#encapsulationdot1Q5//封装子接口Routerconfig-subif#ipaddress
192.
168.
1.
1255.
255.
255.0Routerconfig-subif#exRouterconfig#intfa0/
0.10Routerconfig-subif#encapsulationdot1Q10Routerconfig-subif#ipaddress
192.
168.
2.1第1章在路由器上启用子接口前后,用PC0和PC1分别ping一下对方,实验发现,只有在开启之后才能实现ping通第六章RIP动态路由协议包括距离向量路由协议和链路状态路由协议RIP(RoutingInformationProtocols,路由信息协议)是使用最广泛的距离向量路由协议RIP是为小型网络环境设计的,因为这类协议的路由学习及路由更新将产生较大的流量,占用过多的带宽本章讨论使用IPRIP的基本配置与网络故障排除第一节RIP概述RIP是由Xerox在70年代开发的,最初定义在RFC1058中RIP用两种数据包传输更新更新和请求,每个有RIP功能的路由器默认情况下每隔30秒利用UDP520端口向与它直连的网络邻居广播(RIPv1)或组播(RIPv2)路由更新因此路由器不知道网络的全局情况,如果路由更新在网络上传播慢,将会导致网络收敛较慢,造成路由环路本节包括RIP两个版本的简要概述
一、RIPV1简介RIPV1使用本地广播来共享路由选择信息这些更新在本质是周期性的,默认是每30秒发生一次,具有180秒的抑制周期两种版本的RIP都使用跳数作为度量值,该度量值并不总是应该使用的最佳度量值例如,如果有到达一个网络的两条路径,其中一条是两跳到以太网连接,另一条是一跳到64kbit/s的WAN连接,RIP将会使用更慢64kbit/s的连接,这是因为它有更小的跳数值查看RIP如何生成路由器的路由表选择时必须记住这个小事实为阻止分组沿环路永远循环,两个版本的RIP都通过在分组中设定15跳动跳数限度来解决计数到无穷的问题任何达到第16跳动分组都将被丢弃RIPV1是有类协议这在配置RIP与IP寻址方案子网划分时时重要的:只可以为给定的A、B或C类网络使用一个子网掩码值例如,如果有一个B类网络如
172.
16.
0.0,而只能用一个掩码对其进行子网划分作为一个实例,不能同时在
172.
16.
0.0上使用
255.
255.
255.0和
255.
255.
255.128两个子网掩码,而只能是其中的一个另一个有趣的特性是RIP最多支持到单个目的地6条同等成本路径,所有6条路径都可以放在路由选择表中记住同等成本路径是跳数值相同的路径RIP不会在非同等成本路径上进行负载均衡
二、RIPV2简介处理RIPV2时要时刻记在心中的事实它是基于RIPV1的,并且它在本质上是具有内建路由选择增强的距离向量协议因此,它通常称做混合协议RIPV2的一个主要增强是关于它如何处理路由选择更新RIPV2使用组播而不是广播更新被通告到
244.
0.
0.9,所有RIPV2路由器都会处理它为加快收敛,RIPV2支持触发更新——发生变化时,RIPV2路由器会立刻将它的路由选择信息传播到与其相连的相邻路由器RIPV2的第二个增强是它是无类协议RIPV2支持可变长子网掩码(VLSM),允许为给定的有类网络号使用多余一个的子网掩码VLSM允许最大限度地提高寻址设计的有效性与汇总路由选择信息,可以用来创建十分庞大、可伸缩的网络作为第三个增强,RIPV2支持认证能有效的限制希望参与到RIPV2中山路由器这是通过使用明文或者散列密码值来实现的RIPV1与RIPV2的区别如下表所示RIPv1RIPv2在路由更新的过程中不携带子网信息在路由更新的过程中携带子网信息不提供认证提供明文和MD5不支持VLSM支持VLSM和CIDR采用广播更新(
255.
255.
255.255)采用组播(
224.
0.
0.9)更新有类别(Classful)路由协议无类别(Classless)路由协议第二节配置命令配置RIP的命令是十分容易和直接的过程RIP的基本配置包括下面两条命令Routerconfig#routerripRouterconfig-router#networkIP_network_#//宣告直连网络由于RIPV1是有类的,RIPV2是无类的,所以何时配置任一版本的RIP,network命令都假设是有类的,在配置时只要输入A、B或C类的网络号第三节RIP验证和故障排除一旦配置了IPRIP就可以利用一些命令查看配置以及RIP的运行情况并对其进行故障排除cleariproute该命令清除并重建IP路由表任何时候对路由协议作了修改,都需要使用该命令清除并重建路由选择表showipprotocols命令显示在路由器上已配置并运行的所有IP路由选择协议,包括RIP.showiproute路由器在其路由选择表中维持了一份到接收站的最佳路径表debugiprip show命令给出路由器所知信息的静态显示,有时它不能显示有关特定问题的充分信息showiproute命令不会告知为什么一条路由在或者不再路由选择表中,利用debug命令可以进行故障排除第四节实验实验拓扑实验目的掌握RIP的动态路由的配置和掌握查看通过动态路由协议RIP学习产生的路由实验要求路由器2能够ping同路由器1和3上的环回口实验步骤1.按如上拓扑做好底层基本IP配置,并检测相邻设备之间的连通性2.按实验要求在各台路由器上做配置Router1Routerconfig#intlo0Routerconfig-if#ipaddress
1.
1.
1.
1255.
255.
255.0Routerconfig#ints1/0Routerconfig-if#noshuRouterconfig-if#ipaddress
1.
1.
3.
1255.
255.
255.0Routerconfig-if#clockrate64000Routerconfig#routerripRouterconfig-router#network
1.
1.
1.0Routerconfig-router#network
1.
1.
3.0Router2R2config#ints1/0R2config-if#noshuR2config-if#ipaddress
1.
1.
3.
2255.
255.
255.0R2config#ints1/1R2config-if#noshuR2config-if#ipaddress
1.
1.
4.
1255.
255.
255.0R2config-if#clockrate64000R2config#routerripR2config-router#network
1.
1.
3.0R2config-router#network
1.
1.
4.0Router3R3config#ints1/1R3config-if#noshuR3config-if#ipaddress
1.
1.
4.
2255.
255.
255.0R3config#intloopback0R3config-if#ipaddress
1.
1.
2.
1255.
255.
255.0R3config-if#noshuR3config#routerripR3config-router#network
1.
1.
4.0R3config-router#network
1.
1.
2.0R2pingR1的lo0还是pingR3的lo0口都不会出现丢包的现象.而R1也能ping通R3的lo0口R3同样也能ping通R3的lo0口.如果R1和R3的lo0口属于不同的网段,那么实验的结果将会是怎么样呢?第七章EIGRPEIGRP(EnhancedInteriorGatewayRoutingProtocol增强型内部网关路由协议)是cisco公司开发的一个平衡混合型路由协议,它融合了距离向量和链路状态两种路由协议的优点,使用离散更新算法,能最快的达到网络收敛并支持IP、IPX、APPLETALK等多种网络层协议由于TCP/IP是当今网络中最常用的协议,因此本章节只讨论IP网络环境中的EIGRP.第一节简介EIGRP中存在三张表,分别是邻居表、拓扑表、路由表它通过发送和接收Hello包来建立和维持邻居关系,交换路由信息,并采用组播(
224.
0.
0.10)或单播进行路由更新由于其才有触发更新,所以极大的减少带宽的占用与RIP相比,其管理距离为90(内部)或170(外部),决定度量值的因素也不同,影响EIGRP的度量值的因素有带宽、延迟、可靠性、负载和MTU默认情况下,只有带宽和延迟用于计算机度量值,公式为[K1*Bandwidth+K2*Bandwidth/256-Load+K3*Delay+K5/Reliability+K4]*256默认情况下,K1=K3=1,K2=K4=K5=0Bandwidth=10的7方/所经由链路中入口带宽(单位为Kbps)的最小值,Delay=所经由链路中入口的延迟之和(单位为μs)/10由于存在邻居表,所以当网络拓扑发生改变时,能达到快速收敛的效果同时,EIGRP支持手动汇总和MD5认证,安全性高支持等价和非等价的负载均衡,也就是说在多条到达目的网络的路径中,能对每一条链路进行最大流量的限制,以减小链路压力第二节EIGRP配置配置EIGRP和RIP是十分相似的命令也很简单:R3config#routereigrpAS号R3config-router#networkip_network+subne_mask简单的启用命令,只需输入自治系统号和用于将接口加入到EIGRP的network语句另外,EIGRP是无类的,但所指的网络号也是有了的网络号,也可以使用子网掩码指限定网络号,但是只包括EIGRPAS中某些类地址的子网如,network
172.
16.
1.0/24将包括子网
172.
16.
1.0/24和
172.
168.
100.0/24的相关接口第三节EIGRP实验实验拓扑实验目的掌握EIGRP的基本配置,观察EIGRP的自动汇总情况实验步骤1.按如上拓扑做好底层基本IP配置,并检测相邻设备之间的连通性2.按实验要求在各台路由器上做EIGRP配置R0config#routereigrp1R0rconfig-router#network
1.
1.
1.
00.
0.
0.255R0config-router#network
192.
168.
12.0R1config#routereigrp1R1config-router#network
192.
168.
12.0R1config-router#network
192.
168.
23.0R2config#routereigrp1R2config-router#network
192.
168.
23.0R2config-router#network
192.
168.
34.0R3config#routereigrp1R3config-router#network
4.
4.
4.
00.
0.
0.255R3config-router#network
192.
168.
34.0步骤3用showiproute命令查看路由表,观察EIGRP的默认自动汇总特性步骤4关闭四台路由器上的自动汇总,然后再看其路由表有什么变化R
0、
1、
2、3config-router#noauto-summary比较一下前后的结果auto-summary D
1.
0.
0.0/8[90/21152000]via
192.
168.
23.100:25:40Serial1/1D
4.
0.
0.0/8[90/20640000]via
192.
168.
34.200:25:25Serial1/0D
192.
168.
12.0/24[90/21024000]via
192.
168.
23.100:25:40Serial1/1noauto-summary
1.
0.
0.0/24issubnetted1subnetsD
1.
1.
1.0[90/21152000]via
192.
168.
23.100:41:30Serial1/
14.
0.
0.0/24issubnetted1subnetsD
4.
4.
4.0[90/20640000]via
192.
168.
34.200:41:32Serial1/0D
192.
168.
12.0/24[90/21024000]via
192.
168.
23.100:41:30Serial1/1很明显,在自动汇总中,会将其汇总为主类网络,而关闭自动汇总后,会根据实际输入的子网掩码进行匹配第九章STP为了减少网络的故障时间,我们经常会采用冗余拓扑STP可以让具有冗余结构的网络在故障时自动调整网络的数据转发路径STP重新收敛的时间较长,通常需要30~50s,为了减少这个时间,引入了一些补充技术,例如uplinkfast、backbonefast和portfast等RSTP(rapidspanningttreeprotocol)则是在协议上对STP作了根本的改进而形成的新的协议,减少了收敛时间第一节STP简介为了加强局域网的冗余性,我们常常会在网路中引用冗余链路,然而这样却会引起交换环路交换环路会带来3个问题广播风暴、同一个帧的多个拷贝(多个镇副本)和交换机CAM表不稳定STP(spanningttreeprotocol)可以解决这些问题,STP的基本思路是阻断一些交换机接口,构成一棵没有环路的转发树STP利用BPDUbridgeprotocoldatauint和其他交换机进行通信,从而确定哪个交换机端口阻断哪个接口为了在网络中形成一个没有环路的拓扑,网路中的交换机要进行一下3个步骤选举根桥;选取跟端口;选取指定端口1.在一个给定的网络中,有且仅有一个根网桥网络中的其他网桥都是非根网桥在根网桥上的所有端口都是指定端口,而指定端口正常工作时均处于转发状态当处于转发状态时,端口可以接受和发送数据2.对每个非根网桥,有且仅有一个根端口根端口是非根网桥上的端口,是连通根网桥的路径花费最小的端口根端口处于转发状态路径花费的计算是基于带宽的累加,路径的带宽越大,路径花费越小3.在每一个网段上,有且仅有一个指定端口对于相连在同一个网段上的所有交换机而言,必然有一个交换机到根网桥的路径花费是最小的那么这个交换机与该网段相连的端口就是这个网段的指定端口4.非指定端口非指定端口处于阻塞状态,是用来打破环路拓扑的,当一个端口处于阻塞状态时,该端口不能转发数据在选取根桥、根端口和指定端口时,要遵循以下选择循序1.选择根网桥在同一网络环境中,优先级最低的网桥为根网桥,同等优先级情况下网桥标识最低的为根网桥2.选择根端口从根网桥接收CBPDU路径花费最小的端口为根端口3.选择指定端口非根网桥上的端口均为指定端口非根网桥上,指定端口归属于优先级最低或同等优先级情况下网桥标识最低的网桥在一个给定的网络中,有且仅有一个根网桥网络中的其他网桥都是非根网桥在根网桥上的所有端口都是指定端口,而指定端口正常工作时均处于转发状态当网络中的拓扑发生变化时,网络会从一个状态向另一个状态过渡,重新断开或阻断某些接口交换机的端口要经过几种状态禁用(disable)、阻塞(blocking)、监听状态(listening)、学习状态(learning)和转发状态(forwarding)下表是各种状态的总结STP各种状态的总结状态阻塞监听学习转发禁用接受并处理BPDU能能能能不能转发接口上收到的数据帧不能不能不能能不能转发其他接口收到的数据帧不能不能不能能不能学习MAC地址不能不能能能不能第2节配置命令Cisco交换机上面生成树是默认启用的,默认运行的生成树是PVST+,所以生成树的修改是基于VLAN的Switchconfig#spanning-treevlan2//在VLAN2上开启生成树Switchconfig#nospanning-treevlan2//在VLAN2上关闭生成树通过以下命令修改交换机优先级SW1config#spanning-treevlanIDpriority4096注意,由于生成树的system-id-extend特性,所以生成树优先级必须是4096倍数也可以使用Cisco交换机提供的交换机根设置的宏命令SW1config#spanning-treevlan1rootprimarySW2config#spanning-treevlan1rootsecondary//备份根将SW1设置为主根,交换机会自动将自己VLAN1的优先级设置的比网络中其他交换机的低,保证自己被选举为主根修改交换机的接口优先级和接口开销SW3config-if#spanning-treevlan1port-priority64SW3config-if#spanning-treevlan1cost5注意交换机生成树接口优先级必须以16递增第三节STP实验实验拓扑实验目的理解STP的工作原理实验步骤手工配置Switch1,Switch2的F0/12,F0/13接口的trunk模式Switch1config#intfa0/12Switch1config-if#switchportmodetrunkSwitch1config#intfa0/13Switch1config-if#switchportmodetrunkSwitch2config#intfa0/12Switch2config-if#switchportmodetrunkSwitch2config#intfa0/13Switch2config-if#switchportmodetrunk在Switch1上用showspanning-tree验证生成树第十章OSPFOSPFOpenShortestPathFirst是一个内部网关协议InteriorGatewayProtocol简称IGP,一个链路状态路由选择协议,用于在单一自治系统autonomoussystemAS内决策路由OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表第一节MD5认证为了安全的原因,我们可以在相同OSPF区域的路由器上启用身份验证的功能,只有经过身份验证的同一区域的路由器才能互相通告路由信息在默认情况下OSPF不使用区域验证通过两种方法可启用身份验证功能,纯文本身份验证和消息摘要md5身份验证纯文本身份验证传送的身份验证口令为纯文本,它会被网络探测器确定,所以不安全,不建议使用而消息摘要md5身份验证在传输身份验证口令前,要对口令进行加密,所以一般建议使用此种方法进行身份验证使用身份验证时,区域内所有的路由器接口必须使用相同的身份验证方法为起用身份验证,必须在路由器接口配置模式下,为区域的每个路由器接口配置口令第二节度量值与RIP使用跳数作为度量值不同,OSPF使用成本作为度量值成本实际上与链路带宽成反比链路速度越快,成本越低计算公式是10的8次方除以带宽(bps)然后取整,而且是所有链路入口的成本值之和,环回接口的成本值是
1.OSPF配置命令配置OSPF与配置RIP有些不同配置OSPF时,可使用下列语法Routerconfig#routerospfprocess_ID进程IDRouterconfig-router#networkIP地址+通配符掩码area+区域号(AS)进程ID只有本地意义,用于区分正在同一路由器上运行的不同的OSPF进程配置某台路由器可能是两个OSPF自治系统的边界路由,为在路由器上区分它们,要它们分配唯一的进程ID,进程ID不需要在不同的路由器之间匹配,它们和自治系统号AS之间没有任何联系第三节OSPF实验实验拓扑实验目的掌握OSPF配置方法;掌握查看通过动态路由协议OSPF学习产生的路由配置过程1.按如上拓扑做好底层基本IP配置,并检测相邻设备之间的连通性2.按实验要求在各台路由器上做配置Router0Routerconfig#routerospf1Routerconfig-router#router-id
1.
1.
1.1Routerconfig-router#network
1.
1.
1.
0255.
255.
255.0area0Routerconfig-router#network
192.
168.
12.
0255.
255.
255.0area0Router1Routerconfig#routerospf1Routerconfig-router#router-id
2.
2.
2.2Routerconfig-router#network
2.
2.
2.
0255.
255.
255.0area0Routerconfig-router#network
192.
168.
12.
0255.
255.
255.0area0Routerconfig-router#network
192.
168.
23.
0255.
255.
255.0area0Router2Routerconfig#routerospf1Routerconfig-router#router-id
3.
3.
3.3Routerconfig-router#network
3.
3.
3.
0255.
255.
255.0area0Routerconfig-router#network
192.
168.
23.
0255.
255.
255.0area0Routerconfig-router#network
192.
168.
34.
0255.
255.
255.0area0Router3Routerconfig#routerospf1Routerconfig-router#router-id
4.
4.
4.4Routerconfig-router#network
4.
4.
4.
0255.
255.
255.0area0Routerconfig-router#network
192.
168.
34.
0255.
255.
255.0area0第2章并在每个路由器的UP状态的端口下启动MD5认证Routerconfig-router#area0authenticationmessage-digestRouterconfig#int类型+端口号Routerconfig-if#ipospfmessage-digest-key1md5cisco//密码必须一致通过执行命令showiproute查看每一台路由器上的路由表,看看分别学习到什么条目的路由第十一章ACL随着大规模开放式网络的开发,网络面临的威胁也越来越多网络安全问题也成为网络管理员最头疼的问题一方面,为了业务的发展,必须允许对网络资源的开发访问,另一方面又必须要确保数据和资源尽可能安全网络安全采用的技术很多,而通过ACL可以对数据进行过滤,是实现基本网络安全的手段之一本章只研究基于IP的ACL第一节ACL概述ACL因为具备在流量进出接口时对其过滤的能力而得名,同时也可以用于其他目的,包括限制远程访问(虚拟类型终端或VTY)IOS设备,过滤路由选择信息,通过排队技术区分流量的优先次序,通过按需要拨号路由选择(DDR)触发电话呼叫,改变路由的管理距离和指定由IPSecVPN保护的流量等ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的ACL分很多,不同的场合应用不同种类的ACL
1.标准ACL标准ACL最简单,使用IP包中的源IP地址进行过滤,编号范围1-99或1300-
19992.扩展ACL扩展ACL比标准ACL具有更多的匹配项,从而会使得过滤数据包时更加严格,可以正对包括协议类型、源地址、目的地址、源和目的端口、TCP连接建立等进行过滤,编号范围100-199或2000-
2699.
3.命名ACL以列表名称代替列表编号来定义ACL,同样包括标准和扩展两种在学习ACL中还有两个非常重要的知识点接口方向和通配符掩码
1.接口方向当接口上应用ACL时,用户要指明ACL是应用于流入数据(IN)还是流出数据(OUT)简单的判断方法是靠近源的方向为IN方向,靠近目标的方向为OUT方向
2.通配符掩码它是一个32比特位的数字字符串,它规定了当一个IP地址和其他的IP地址进行比对时,该IP地址中哪些位应该被忽略,哪些被保留通配符掩码中“1”表示忽略IP地址中对应的位,而“0”则表示该位必须匹配这其中还有两种特殊掩码“
255.
255.
255.255”和“
0.
0.
0.0”,前者等价于关键字any后者等价于关键字host第二节基本ACL配置
1.创建ACL,可以使用以下命令Routerconfig#access-list+编号permit|denyconditions标准的和扩展的ACL的编号是不同的IOS会根据你选择的编号自动选择何种标准2.启动ACL创建完成后要在相应的端口下调用否则它将起不到任何作用命令如下Routerconfig#int类型+端口号Routerconfig-if#ipaccess-group+(access-list+编号)in|out第三节实验拓扑图实验目的了解标准ACL配置,理解ACL的作用实验要求拒绝PC1所在网段访问路由器R1同时只允许主机PC2访问路由器R1的TELNET服务实验步骤1.按如上拓扑做好底层基本IP配置,并检测相邻设备之间的连通性2.按实验要求在各台路由器上做配置Router0Routerconfig#routereigrp1Routerconfig-router#network
10.
1.
1.
00.
0.
0.255Routerconfig-router#network
172.
16.
1.
00.
0.
0.255Routerconfig-router#network
192.
168.
12.0Routerconfig-router#noauto-summaryRouter1Routerconfig#routereigrp1Routerconfig-router#network
2.
2.
2.
00.
0.
0.255Routerconfig-router#network
192.
168.
12.0Routerconfig-router#network
192.
168.
23.0Routerconfig-router#noauto-summary配置标准ACL Routerconfig#access-list1deny
172.
16.
1.
00.
0.
0.255//定义ACLRouterconfig#access-list1permitanyRouterconfig#ints1/0Routerconfig-if#ipaccess-group1in//在接口下应用Routerconfig#access-list2permit
172.
16.
3.2Routerconfig-line#linevty04Routerconfig-line#access-class2in//在VTY下应用Routerconfig-line#passwordciscoRouterconfig-line#loginRouter2Routerconfig#routereigrp1Routerconfig-router#network
192.
168.
23.0Routerconfig-router#network
172.
16.
3.
00.
0.
0.255Routerconfig-router#noauto-summary实验结果是R1拒绝PC1的所有访问,可以在PC2上进行远程登录R1以此配置,能够有选择的进行路由选择,在很大程度上改善了某个网络或者某些主机的安全,达到安全路由的可选择目的第十二章NATInternet技术的飞速发展,使得越来越多的用户加入到互联网,因此IP地址短缺已成为一个十分突出的问题NAT(NetworkAddressTranslation网络地址翻译)是解决IP地址短缺的重要手段,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机第一节NAT概述默认情况下,内部IP地址是无法被路由到外网的,内部主机
10.
1.
1.1要与外部Internet通信,IP包到达NAT路由器时,IP包头的源地址
10.
1.
1.1被替换成一个合法的外网IP,并在NAT转发表中保存这条记录当外部主机发送一个应答到内网时,NAT路由器受到后,查看当前NAT转换表,用
10.
1.
1.1替换掉这个外网地址NAT将网络划分为内部网络和外部网络两部分,局域网主机利用NAT访问网络时,是将局域网内部的本地地址转换为全局地址(互联网合法的IP地址)后转发数据包NAT有三种类型静态NAT、动态NAT、端口地址转换PAT1.静态NAT静态NAT中,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址,内部地址和外部合法地址进行一对一的转换2.动态NAT动态NAT首先要定义合法的地址池,然后采用动态分配的方法映射到内部网络动态NAT是动态一对一的映射3.PATPAT则是把内部地址映射到外部网络的IP地址的不同端口上,从而可以实现多对一的映射,这对于节省IP地址是最为有效的第二节NAT配置在IOS中,必须执行两个基本配置步骤、1.定义地址转换类型(全局模式下),是静态还是动态2.定义设备位置(子配置模式),是inside还是outside具体配置命令如下
一、静态NAT配置使用的命令如下Routerconfig#ipnatinsidesourcestatic+内部本地IP+内部全局IPRouterconfig#ipnatoutsidesourcestatic+内部本地IP+内部全局IP配置完转换后,需要指定路由器上那些接口在内部,那些接口在外部Switchconfig#inttype/port//进入接口Routerconfig-if#ipnatinside|outside//定义方向在连接到内部网络的接口上指定inside,连接到外部网络的接口上指定outside
二、动态NAT配置配置动态NAT时,需要配置3个部分哪些内部地址被转换、哪些全局地址用于动态转换以及哪些接口包括在转换中指定转换的源地址,可用命令Routerconfig#ipnatinsidesourcelist+编号pool+(任意地址池的名称)Routerconfig#ipnatpool+相同的地址池名称+内部全局IP地址范围+netmask+子网掩码如Routerconfig#ipnatpoolccna
1.
1.
1.
11.
1.
1.5netmask
255.
255.
255.0另外在此配置过程中还用到ACL中的命令,允许和拒绝那些IP进行转换Routerconfig#access-list1(其他数字)permitIP最后也还是要在相应的接口上定义inside和outside方向
三、PAT配置该配置和动态NAT配置很相似,也需要3条命令,唯一的区别的是要加上overload参数来指定执行PATRouterconfig#ipnatinsidesourcelist+编号pool+(任意地址池的名称)overload第三节NAT实验实验拓扑实验目的将内网网络IP地址映射为全局IP地址,实现内部网络可以访问外部Web服务器实验步骤一.按如上拓扑做好底层基本IP配置,并检测相邻设备之间的连通性二.按实验要求在各台路由器上做配置Router0Routerconfig#iproute
200.
1.
2.
0255.
255.
255.
0200.
1.
1.2配置NAT:Routerconfig#ipnatinsidesourcestatic
192.
168.
1.
2200.
1.
1.3Routerconfig#ipnatinsidesourcestatic
192.
168.
2.
2200.
1.
1.4Routerconfig#intfa0/0Routerconfig-if#ipnatinsideRouterconfig#intfa0/1Routerconfig-if#ipnatinsideRouterconfig-if#ints1/0Routerconfig-if#ipnatoutsideRouter1Routerconfigiproute
192.
168.
1.
0255.
255.
255.
0200.
1.
1.1Routerconfigiproute
192.
168.
2.
0255.
255.
255.
0200.
1.
1.1在Router0配置NAT后,用PC0去Ping
200.
1.
1.3,能够成功,然后在Router0上showipnatttranslation,可以看到NAT转发表上多了一条如何去往公网的记录,这在未配置NAT之前是没有的第十三章综合实验为了将前面所学的知识进行汇总和运用,特设置一个综合实验,检验一下学习的成果
一、实验要求
1.公司总部PC
0、PC4是VLAN10的成员;PC
1、PC5是VLAN20的成员,总部三台交换机配置VTP协议用于同步VLAN信息,3560为STP根桥
2.分支机构PC2是VLAN10的成员、PC3是VLAN20的成员
3.互联网有一台Server0私网地址把该服务器的IP映射为
7.
7.
7.
74.广域网作为专线,连接两个分支机构,要求使用动态路由协议,总部和分支机构所有VLAN互相访问
5.阻止总部VLAN10和分支机构vlan20所有主机访问server的www服务,默认端口,允许其它流量
6.阻止总部和分支机构的VLAN20所有主机telnet到Router
0.
7.Router0获取DLCI102Router1获取DLCI201
二、实验拓扑
三、配置过程
1.首先配置好每台PC,服务器的主机IP,和路由器的默认网关和子网掩码
2.配置VPTsw1的端口f0/
1、f0/6和f0/11sw1config-if#switchporttrunkencapsulationdot1qsw1config-if#switchportmodetrunksw1config#vtpdomainccnasw1config#vtpmodeserversw2的端口f0/6和f0/13开启串口模式sw2config-if#switchportmodetrunksw2config#vtpdomainccnasw2config#vtpmodeclientsw3的端口f0/6和f0/13开启串口模式sw3config-if#switchportmodetrunksw3config#vtpdomainccnasw3config#vtpmodeclient
3.在3560上创建vlan10和vlan20,在sw2和sw3上将接口划分到不同vlansw1config#vlan10sw1config#vlan20在sw2,sw3上查看是否同步了vlan信息,然后将接口划分到各个vlansw2config#inf0/2sw2config-if#switchportmodeaccesssw2config-if#switchportaccessvlan10以此相同的方式,将交换机2的f0/3端口划分到vlan20中,交换机3的端口f0/6划分到vlan10端口f0/8划分到vlan20中在各个交换机上通过showvtpstatus和showvlan查看配置结果是否正确
4.让3560成为vlan10和vlan20的根桥sw1config#spanning-treevlan10priority4096sw1config#spanning-treevlan20priority4096通过showspanning-tree命令查看结果
5.做单臂路由,实现总部不同vlan之间的通讯R0config#inf0/0R0config-if#noshutdownR0config#inf0/
0.10R0config-subif#encapsulationdot1Q10R0config-subif#ipaddress
192.
168.
1.
1255.
255.
255.0R0config#inf0/
0.20R0config-subif#encapsulationdot1Q20R0config-subif#ipaddress
192.
168.
2.
1255.
255.
255.0通过pc0与pc1测试连通性
6.在分支机构实现单臂路由创建vlan10和20,并将其换份到交换机4的端口2和3上sw4config#inf0/2sw4config-if#switchportmodeaccesssw4config-if#switchportaccessvlan10sw4config#inf0/3sw4config-if#switchportmodeaccesssw4config-if#switchportaccessvlan20sw4config#inf0/1sw4config-if#switchportmodetrunkR2config#inf0/0R2config-if#noshutdownR2config#inf0/
0.10R2config-subif#encapsulationdot1Q10R2config-subif#ipaddress
192.
168.
3.
1255.
255.
255.0R2config#inf0/
0.20R2config-subif#encapsulationdot1Q20R2config-subif#ipaddress
192.
168.
4.
1255.
255.
255.0R2config#ins0/0R2config-if#noshutdownR2config-if#encapsulationframe-relayietfR2config-if#frame-relaylmi-typeciscoR2config-if#ipaddress
172.
16.
1.
2255.
255.
255.0R0config#ins0/0R0config-if#noshutdownR0config-if#encapsulationframe-relayietfR0config-if#frame-relaylmi-typeciscoR0config-if#ipaddress
172.
16.
1.
1255.
255.
255.0对网云进行配置,选择相关的lmi类型和接口上配置dlci号,进行链接用showframe-relaymap查看VC是否建立,然后用ping命令测试连通性
7.将服务器映射成
7.
7.
7.7R1config#ipnatinsidesourcestatic
192.
168.
5.
27.
7.
7.7R1config#inf0/0R1config-if#ipnatinsideR1config#ine1/0R1config-if#ipnatoutside通过showipnattranslation查看静态NAT是否做成功,再用服务器ping
7.
7.
7.1测试映射是否有效
8.启用EIGRP,实现全网联通,关闭自动汇总功能R0config#routereigrp1R0config-router#noauto-summaryR0config-router#network
192.
168.
1.0R0config-router#network
192.
168.
2.0R0config-router#network
172.
16.
1.0R0config-router#network
7.
7.
7.0R1config-router#network
7.
7.
7.0R2config-router#network
192.
168.
3.0R2config-router#network
192.
168.
4.0R2config-router#network
172.
16.
1.0然后在每台路由器上showiproute查看是否学习到非直连网段因为服务器有静态映射,所以不需要通告
192.
168.
5.0网段
9.阻止总部VLAN10和分支机构vlan20所有主机访问server的www服务,默认端口,允许其它流量R0config#access-list100denytcp
192.
168.
1.
00.
0.
0.255host
7.
7.
7.7eqwwwR0config#access-list100permitipanyanyR0config#inf0/
0.10R0config-subif#ipaccess-group100inR2config#access-list100denytcp
192.
168.
4.
00.
0.
0.255host
7.
7.
7.7eqwwwR2config#access-list100permitipanyanyR2config#inf0/
0.20R2config-subif#ipaccess-group100in通过PC中的web浏览器对
7.
7.
7.7访问,以此测试访问控制列表是否生效
10.阻止总部和分支机构的VLAN20所有主机telnet到Router
0.R0config#access-list1deny
192.
168.
1.
00.
0.
0.255R0config#access-list1deny
192.
168.
2.
00.
0.
0.255R0config#access-list1deny
192.
168.
4.
00.
0.
0.255R0config#access-list1permitanyR0config#linevty04R0config-line#access-class1inR0config-line#passwordciscoR0config-line#loginR0config#enablepasswordccna通过不同PCtelnetR0的不同地址来测试访问控制列表是否生效
四、基本排错步骤
1.直连ping不通首先showipinterfacebrief,查看status和protocol是否都是up,如果status为admdown,那么接口没有noshutdown,如果status为down,则检查线缆有无用错如果status为up,protocol为down,如果是串行链路则查看有无配置时钟频率,如果为帧中继环境,则检查帧中继交换机是否配错以及路由器各接口封装是否有错如果两个都为up,则检查接口地址是否属于一个网段,如果出现在帧中继环境,则问题处于帧中继交换机的配置
2.与远端设备ping不通通过showiproute查看所有经过的路由器是否都知道本设备以及远端设备所在的网络如果有缺漏可以静态制定也可以用showipprotocol查看动态路由协议通告直连网段是否有缺失
3.启动动态路由协议,路由学习不完整用showipprotocol查看启动的动态路由协议是否一致(在NA阶段),某些关键字是否匹配,譬如说EIGRP的AS号等其次查看通告的直连网段是否漏缺如果是RIP,注意各个路由器的版本是否一致,不一致是否制定了接口可以发送接收两个版本,是否某些接口定义为被动接口了
4.在VTP域中,无法同步vlan信息查看每台交换机是否域名和密码都一致,查看无法同步的交换机是否定义为透明模式交换机之间相连接口是否都启动了中继模式
5.单臂路由中,不同vlan之间无法通信连接PC的交换机接口是否正确划分到vlan中与路由器连接的接口是否开启了中继协议路由器的接口是否noshutdown,并且没有IP地址,或者是有别于这两个vlan网段的IP地址子接口有没有封装到vlan中子接口地址是否设置为PC的默认网关地址。