|
|
发表于 2008-6-12 13:49:18
|
显示全部楼层
|阅读模式
来自 河北省石家庄市辛集市
实验一 口令和主机名设置
1. 口令和设备名设置
添加一个交换机或一个路由器,先对交换机进行*作,双击SwitchA
switch>en ;第一次密码为空
switch#conf t ;进入全局配置模式
switch(config)#hostname swa ;设置交换机名
swa(config)#enable secret aaa ;设置特权加密口令为 aaa
swa(config)#enable password aax ;设置特权非密口令为 aax
swa(config)#line console 0 ;进入控制台口(Rs232)
swa(config-line)#login ;登录要求口令验证
swa(config-line)#password aa ;设置登录口令aa
swa(config-line)#line vty 0 4 ;进入虚拟终端virtual tty
swa(config-line)#login ;登录要求口令验证
swa(config-line)#password a ;设置登录口令a
swa(config-line)#exit ;返回上一层
swa(config)#exit ;返回上一层
swa#sh run ;看配置信息
swa#exit ;返回命令
swa>en
password: ;请问输入哪个口 (aaa)
secret是设置加密口令,现在一般的设置都使用这种口令设置方式,
它比非加密口令优先级高,即没设置secret口令时,非加密口令才有效。
双击ROA对路由器进行与交换机类似的设置。
2. 清除口令
清除交换机口令,实际中是在开机时按住交换机上的mode按钮,在
模拟软件中按Ctrl+Break口令请除。
清除路由器口令,实际中是在上电时,按Ctrl+Break。在软件模拟中
双击RouterA进入终端模式,再按Ctrl+Break进入rommon>状态,*作如下
:
(1) 先设置路由的特权口令
router>en ;第一次密码为空
router#conf t ;进入全局配置模式
router(config)#enable secret aaa ;设置特权加密口令为aaa
router(config)#end ;返回特权状态
router#exit
router>en
password:aaa
router#
(2) 清除路由器的口令
这个*作是在假设口令丢失的情况下使用的方法,具体的*作是启动时
按Ctrl+Break进入rommon> 状态,打开寄存器配置开关。即:
router#reload ;重新启动,按Ctrl+Break
rommon> ;进入ROM监控状态
rommon>confreg 0x2142 ;跳过配置文件,适用26xx 36xx 45xx
rommon>reset ;重新引导,等效于重开机
Continue with configuration dialog? [yes/no]:no
router>en
router#conf t
router(config)#enable secret bbb ;设置特权加密口令为 bbb
router(config)#config-register 0x2102 ;正常使用配置文件
router(config)#exit
router#exit
router>en
password:bbb
router#
在实际工作中一般要备份路由器的配置文件,当系统有问题时将配置文件
复原。
可以这样*作:
router#dir nvram:
router#copy startup-config tftp:
router#copy tftp:startup-config nvram:
router#
实验二 计算机与交换机IP地址设置
1. 双击HostA, 输入用户名和入口令,键入\"?\"可以求得帮助。
PCA login:root
Password:linux
设置 IP :
[root#PCA root]# ifconfig eth0 10.65.1.1 netmask 255.255.0.0
查看 IP :
[root#PCA root]# ifconfig
关闭网卡 :
[root#PCA root]# ifconfig eth0 10.65.1.1 netamsk 255.255.0.0
down
设置网关:
[root#PCA root]# route add default gw 10.65.1.9
查看网关:
[root#PCA root]# route
删除网关:
[root#PCA root]# route del default gw 10.65.1.9
2. 双击HostB, 输入用户名和入口令,键入\"?\"可以求得帮助。
PCB login:root
Password:linux
设置 IP :
[root#PCB root]# ifconfig eth0 10.65.1.2 netmask 255.255.0.0
[root#PCB root]# ifconfig
设置网关:
[root#PCB root]# route add default gw 10.65.1.9
[root#PCB root]# route
这里只是说明设置网关的方法,关于它的意义在后面实现才能体现。
[root@PCA root]# ping 10.65.1.1 (通)
[root@PCA root]# ping 10.65.1.2 (通)
[root@PCB root]# ping 10.65.1.1 (通)
[root@PCB root]# ping 10.65.1.2 (通)
可见交换机不用做任何设置,就可以让两个计算机连通。交换机默认状态
是
所有端口全在vlan1,可以替代HUB使用,交换机的端口独享带宽。
3.双击SwitchA
进入特权模式 :
switch>en
进入全局配置模式:
switch#conf t
进入默认vlan状态:
switch(config)#int vlan 1
设置ip地址和掩码:
switch(config-if)#ip address 10.65.1.3 255.255.0.0
设置switch的网关:
switch(config)#ip default-gateway 10.65.1.9
查看当前配置:
switch#sh run
测试联通情况:
switch#ping 10.65.1.1 (通) ;ping HostA
switch#ping 10.65.1.2 (通) ;ping HostB
switch#ping 10.65.1.3 (通) ;这相*作是ping自己
switch#ping 10.65.1.4 (不通) ;没有这个IP,所以不通。
设置交换机的IP地址,一般是做远程序管理用,即用telnet 远程登录到
交换机。
至于交换机的网关,则是为了提供从交换机连接到其它设备的路由。
4.双击PCA
[root@PCA root]# ping 10.65.1.3 (通) ;从电脑ping 交换机
[root@PCA root]# ping 10.65.1.4 (不通) ;没有这个IP,所以不通。
[root@PCA root]# telnet 10.65.1.3 ;从电脑登录到交换机
enter password:*** ;输入虚拟终端密码
switch> ;登录成功
5.修改PCB的ip地址
修改为不同网段的一个ip地址,为10.66.1.2,再从PCA Ping PCB。
[root#PCB root]# ifconfig eth0 10.66.1.2 netmask 255.255.0.0
[root@PCA root]# ping 10.66.1.2 (不通)
再修改PCB为相同网段的一个ip地址, 如10.65.1.4:
[root#PCB root]# ifconfig eth0 10.65.1.4 netmask 255.255.0.0
再从PCA Ping PCB:
[root@PCA root]# ping 10.65.1.4 (通)
可见只有网络相同的情况下,才可以ping通。
断开交换机与PCB计算机连线,进行如下*作:
[root@PCA root]# ping 10.65.1.4 (不通)
[root@PCA root]# ping 10.65.1.3 (通)
[root@PCA root]# ping 10.65.1.1 (通)
[root@PCA root]# ping 127.0.0.1 (通)
实验三 交换机VLAN实验
1. 规划ip地址
PCA的ip 地址: 10.65.1.1
PCB的ip 地址: 10.66.1.1
PCC的ip 地址: 10.65.1.3
PCD的ip 地址: 10.66.1.3
SWA的ip 地址: 10.65.1.7
SWB的ip 地址: 10.65.1.8
SWA的f0/5~f0/7 vlan 2 ,f0/8为trunk
SWB的f0/5~f0/7 valn 2 ,f0/1为trunk
用ping命令测试,从PCA和PCB到各点的连通情况。
由于交换机初始化为vlan 1,因为同网段的可以通。即PCA到PCC、SWA、
SWB
是通的,而PCB只与PCD通。
2.设置VLAN
双击SwitchA,改名SwitchA为SWA,建立2 个vlan,分别为vlan 2、vlan
3
switch>en
switch#sh vlan
switch#conf t
switch(config)#hosthame SWA
switch(config)#exit
SWA#vlan database
SWA(vlan)#vlan 2
SWA(vlan)#vlan 3
SWA(vlan)#exit
SWA#conf t
SWA#sh vlan
至此在SWA上建立了两个vlan,show命令应该可以看到,但现在它没有成员
。
下面将SWA交换机的f0/5,f0/6,f0/7 加入到vlan 2
SWA(config)#int f0/5
SWA(config-if)#switchport access vlan 2
SWA(config-if)#int f0/6
SWA(config-if)#switchport access vlan 2
SWA(config-if)#int f0/7
SWA(config-if)#switchport access vlan 2
SWA(config-if)# end
SWA#sh vlan
在SWB上与SWA上类似,将SWB的f0/5,f0/6,f0/7 加入到vlan 2。
3.测试可通性
从PCA到PCC测试:
[root@PCA root]# ping 10.65.1.3 (通)
从PCA到PCB测试:
[root@PCA root]# ping 10.66.1.1 (不通,不同网段,不同VLAN)
从PCB到PCD测试:
[root@PCB root]# ping 10.66.1.3 (不通,不在一个广播域,要求设置
干线trunk)
从PCA到SWA测试:
[root@PCA root]# ping 10.65.1.7 (通,同一网段,同在vlan 1)
从PCA到SWB测试:
[root@PCA root]# ping 10.65.1.8 (通,同一网段,同在vlan 1)
从SWA到PCA测试:
SWA#ping 10.65.1.1 (通)
从SWA到PCB测试:
SWA#ping 10.66.1.1 (不通,不同网段,不同VLAN)
从SWA到SWB测试:(通)
SWA#ping 10.65.1.8
4. 设置干线trunk
将连接两个交换机的端口设置成trunk。
SWA(config)#int f0/8
SWA(config-if)#switchport mode trunk
SWA(config-if)#switchport trunk allowed vlan 1,2,3
SWA(config-if)#switchport trunk encap dot1q
SWA(config-if)#end
SWA#show run
SWB(config)#int f0/1
SWB(config-if)#switchport mode trunk
SWB(config-if)#switchport trunk allowed vlan 1,2,3
SWB(config-if)#switchport trunk encap dot1q
SWB(config-if)#end
SWB#
交换机创建trunk时,默认allowed all,所以trunk allowed命令可以不
用。
dot1q是vlan中继协议(802.1q),由于正确设置了trunk,两个交换机间
可以
多个vlan通过,所以这时PCA和PCC通,PCB和PCD也可以通。这与没设置
vlan时的连
通情况一样,但这时由于vlan的存在,隔离了广播域,提高了通讯能力。
如果想让PCA和PCB通,则要求路由,后面实验讨论。
[root@PCA root]# ping 10.65.1.3 (通,PCA与PCC同在vlan 1)
[root@PCB root]# ping 10.66.1.3(通,PCB与PCD同在vlan 2)
[root@PCA root]# ping 10.66.1.3 (不通,PCA与PCB要求路由)
5. 三个交换机的情况
(1) 新加入的SwitchC 默认状态时,测试连通性。
从PCA->PCC,从PCB->PCD 测试:
[root@PCA root]# ping 10.65.1.3 (不通)
[root@PCB root]# ping 10.66.1.3 (不通)
由于新加入的交换机没有设置trunk,所有接口默认vlan 1,对于交换机
而言,
trunk 要成对出现,如果dot1q不能和另一端交换信息将会自动down掉。
(2) 将交换机之间的连线都设置成trunk时,再测试连通性。
SWC(config)#int f0/3
SWC(config-if)#switchport mode trunk
SWC(config-if)#switchport trunk encap dot1q
SWC(config-if)#int f0/6
SWC(config-if)#switchport mode trunk
SWC(config-if)#switchport trunk encap dot1q
SWC(config-if)#end
SWC#sh run
由于建立trunk时默认为trunk allowed vlan all,所以这里没设置vlan
允许。
现在有两条正确的trunk,再看一下连通情况:
[root@PCA root]# ping 10.65.1.3 (通)
[root@PCB root]# ping 10.66.1.3 (通)
(3) 设置vtp
VTP(Vlan Trunk Protocol)是vlan 干线传输协议,在VTP Server上配置
的vlan 在
条件允许条件下,可以从VTP Client端通看到VTP Server上的vlan,并将
指定的端口
加入到vlan中。
SWC(config)#vtp domain abc
SWC(config)#vtp mode server
SWC(config)#vtp password ok
SWA(config)#vtp domain abc
SWA(config)#vtp mode client
SWA(config)#vtp password ok
SWB(config)#vtp domain abc
SWB(config)#vtp mode client
SWB(config)#vtp password ok
SWC#sh vlan
SWA#sh vlan
SWB#sh vlan
当口令和域名一致时,client端可以学习到server端的vlan,当然在VTP
Server
端还可以有很多策略,这里只是说明最基本的应用。
VTP在多vlan的情况下应用是很有意义的,在主交换机上设置好vlan以后
,在下级
的交换机不用再设置vlan,可以将 VTP client的某些端口添加到VTP
Server中设置
的
vlan中去,加强了vlan的集中管理。
实验四 路由器的升级
1. 在ROM监控模式下,使用console口的升级方式
这种升级方式,要求路由器console与计算机的rs232相连,在计算机
上启动
超级终端。
真实情况下,要求在先启动计算机的超级终端,还原为9600波特率,在路
由
器上电60秒内按计算机的 Ctrl+Break 键,你将会看到rommon>
在模拟器上提示router>时,按[Ctrl]+[Break],进入ROM监控状态
rommon> 即
router>[Ctrl]+[Break]
rommon>copy xmodem:c2621.bin flash:c2621.bin ;从console升级IOS
真实情况时,要在超级终端中,选择传送,选择发送文件,出现对话
框,通过
浏览指定要发送的文件,选择xmohem-单击发送按扭传送开始,模拟机下
直接开始:
copying
###############################################################
###############################################################
###############################################################
##########
ok!
rommon>dir flash:
c2621.bin
这种方式传送的速度比较慢,使用的是RS232串行接口的速率,波特
率一般为
9600,但这是一种最基本的方式,不需要IOS的支持,在IOS损坏或新购设
备的情况
下往往使用这种方式。
2. 在特权模式下的升级
升级IOS,一般在特权方式下通过tftp下载方式进行,这种方式要求进入
特权模
式,要求IOS的支持。
使用tftp 方式升级 IOS,要有TFTP Server,模拟机上指定PCA为TFTP
Server
,
所以要求将PCA 接入路由器的以太口,并且PCA 的ip 地址与路由接口的
ip地址在一
个网络段。PCA应该可以ping通与路由器连接的以太口。
设置TFTP Server(PCA)的ip地址为:10.65.1.1
双击HostA:
login: root
password: linux
[root#linux root]# ifconfig eth0 10.65.1.1 netmask 255.255.0.0
[root#linux root]# ifconfig (这是查看IP地址)
设置路由器与TFTP Server相联接口f0/0的ip地址为 10.65.1.2
双击路由器进入终端*作方式:
router>en
router#conf t
router(config)#int f0/0
router(config-if)#ip address 10.65.1.2 255.255.0.0
router(config-if)#no shut
router(config-if)#end
router#ping 10.65.1.1 (通)
router#copy tftp flash:
tftp server ip address:10.65.1.1
flash file name:C2621.bin
Now updata IOS
###############################################################
###############################################################
###############################################################
##########
ok!
router#dir flash:
c2621.bin
tftp升级IOS的方式传输速度较快,是网卡的速度,一般是100M。而使用
console
口时传输速度一般是9600bps(位/s),最快不过是92***00bps,还不到1M。
但特权方式
要求IOS是好的,所以升级IOS一般用这种方式。
3. 在rommon监控状态下用TFTP升级
在rommon> 模式使用超级终端更新IOS的方法,不需要IOS的支持,但速度
很慢,
在特权方式下通过TFTP 升级速度快,但要求IOS的支持,能否集两者之优
点,在ROM
监控rommon> 模式下,使用TFTP方式呢,答案是肯定的。这时要求路由器
console与
计算机的 rs232相连,路由器f0/0与TFTPServer(计算机Host A)的网卡相
连。
路由器上电时,按计算机上的[Ctrl]+[Break],进入ROM监控状态:
router>Ctrl+Break
rommon>tftpdnld (没有设置时显示系统默认信息,注意大小写)
IP_ADDRESS: 10.66.1.1
IP_SUBNET_MASK: 255.255.0.0
TFTP_SERVER: 10.65.0.46
TFTP_FILE: c2600.bin
rommon>IP_ADDRESS=10.65.1.2 ;设置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0 ;设置路由器掩码
rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP服务器IP
rommon>TFTP_FILE=c2600.bin ;所要下载的文件
rommon>tftpdnld ;ROM监控状态升级IOS
loading
###############################################################
###############################################################
###############################################################
###############################################################
##########
ok!
rommon>dir flash: ;查看闪存中的内容
rommon>boot ;引导IOS
router>
实验五 路由器接口ip及直联路由
本实验配置路由器的IP地址,测试路由器的直联路由和计算机网关的作用
。
实验中有两个计算机,一个路由器。
1. 设置计算机ip地址
设置PCA 的IP地址为:10.65.1.1 255.255.0.0 网关:10.65.1.2
设置PCB 的IP地址为:10.66.1.1 255.255.0.0 网关:10.66.1.2
设置ROA f0/0 IP 为:10.65.1.2 255.255.0.0
设置ROA f0/1 IP 为:10.66.1.2 255.255.0.0
设置计算机PCA的ip地址和网关的*作:
[root@PCA root]# ifconfig eth0 10.65.1.1 netmask 255.255.0.0
[root@PCA root]# ifconfig
[root@PCA root]# route add default gw 10.65.1.2
[root@PCA root]# route
设置计算机PCB的ip地址和网关的*作:
[root@PCB root]# ifconfig eth0 10.66.1.1 netmask 255.255.0.0
[root@PCB root]# ifconfig
[root@PCA root]# route add default gw 10.66.1.2
[root@PCA root]# route
2. 双击Router A,配置路由器的接口IP地址:
router>en
router#conf t
router(config)#hostname roa
roa(config)int f0/0
roa(config-if)#ip address 10.65.1.2 255.255.0.0
roa(config-if)#no shutdown (默认是shutdown)
roa(config-if)#exit
roa(config)int f0/1
roa(config-if)#ip address 10.66.1.2 255.255.0.0
roa(config-if)#no shut
roa(config)int s0/0
roa(config-if)#ip address 10.67.1.2 255.255.0.0
roa(config-if)#no shut
roa(config-if)#clock rate 64***00
roa(config)int s0/1
roa(config-if)#ip address 10.68.1.2 255.255.0.0
roa(config-if)#no shut
roa(config-if)#exit
roa(config)#ip routing (默认是关闭的)
3.检查网络联通情况
[root@PCA root]# ping 10.65.1.2 (通) (ping自己的网关)
[root@PCA root]# ping 10.66.1.2 (通) (ping f0/1)
[root@PCA root]# ping 10.66.1.1 (通) (ping PCB)
[root@PCA root]# ping 10.67.1.2 (不通) (端口空时down)
[root@PCA root]# ping 10.68.1.2 (不通) (端口空时down)
[root@PCB root]# ping 10.66.1.2 (通) (ping自己的网关)
[root@PCB root]# ping 10.65.1.2 (通) (ping f0/0)
[root@PCB root]# ping 10.65.1.1 (通) (ping PCA)
[root@PCB root]# ping 10.67.1.2 (不通) (端口s0/0空时down)
[root@PCB root]# ping 10.68.1.2 (不通) (端口s0/1空时down)
roa#ping 10.65.1.1 (通) (ping PCA)
roa#ping 10.65.1.2 (通) (ping f0/0)
roa#ping 10.66.1.1 (通) (ping PCB)
roa#ping 10.66.1.2 (通) (ping f0/1)
roa#ping 10.67.1.2 (不通) (端口s0/0空时down)
roa#ping 10.68.1.2 (不通) (端口s0/1空时down)
下面我们做这个几个小实验:
(1) 将路由器的接口f0/0关闭
roa#conf t
roa(config)#int f0/0
roa(config-if)#shutdown
roa(config-if)#end
roa#ping 10.65.1.2 (不通,端口down掉)
roa#show int f0/0 (f0/0 is down,line proto is down)
[root@PCA root]# ping 10.65.1.2 (不通)
激活f0/0端口:
roa(config)#int f0/0
roa(config-if)#no shut
roa(config-if)#end
roa#ping 10.65.1.2 (通)
去掉PCA与f0/0的连线
roa#sh int f0/0 (f0/0 is up,line proto is down)
roa#ping 10.65.1.2 (不通)
roa#sh int s0/0 (s0/0 is down,line proto is down)
roa#sh int s0/1 (s0/1 is down,line proto is down)
serial口当没有连线时???
(2) 关闭路由器的路由
roa#conf t
roa(config)#no ip routing
[root@PCA root]# ping 10.65.1.2 (通) (ping 自己的网关)
[root@PCA root]# ping 10.66.1.1 (不通)(路由器不能转发了)
[root@PCB root]# ping 10.66.1.2 (通) (ping 自己的网关)
[root@PCB root]# ping 10.65.1.1 (不通)(路由器不能转发了)
计算机可以ping与其相连的端口,但不能ping通下面的计算机,因为
no ip routing后不具备转发的功能了。
roa(config)#ip routing
(3) 去掉计算机PCA的网关
[root@PCA root]# route del default gw
PCA只能ping通直联口,计算机没有网关不能和路由器交换信息。
[root@PCA root]# ping 10.65.1.2 (通) (f0/0在PCA的广播域)
[root@PCA root]# ping 10.66.1.1 (不通)(PCA不能连通其它网络)
[root@PCA root]# ping 10.66.1.2 (不通)
[root@PCB root]# ping 10.66.1.2 (通)
[root@PCB root]# ping 10.65.1.2 (通) (PCB有网关)
[root@PCB root]# ping 10.65.1.1 (不通)(PCA没网关)
可见一个没有网关的设备不能与其它网络互通。
实验六 一个vlan下的单臂路由
在一个vlan下,可以通过设置计算机的secondary ip实现在一个物理网络
上两个
具有不同网段IP计算机的联通。
1.设置计算机PCA的ip地址
[root#PCA root]# ifconfig eth0 10.65.1.1 netmask 255.255.0.0
[root#PCB root]# ifconfig eth0 10.66.1.1 netmask 255.255.0.0
[root#PCA root]# ping 10.66.1.1 (不通)(PCA ping PCB)
[root#PCB root]# ping 10.65.1.1 (不通)(PCB ping PCA)
PCA与PCB是不通的,因为它们在不同的网络段,一个是10.65.0.0/16网络
,一个
是10.66.0.0/16网络,即netid不同,而不同网络的主机间访问必须通过
路由实现。
2. 设置路由器接口f0/0有两个ip地址。
roa(config)#int f0/0
roa(config-if)#ip address 10.65.1.2 255.255.0.0
roa(config-if)#ip address 10.66.1.2 255.255.0.0 secondary
roa(config-if)#no shut
roa(config-if)#exit
roa(config)#ip routing
roa#sh run
在显示信息中FastEthernet0/0的位置,应该能够看到设置的两个IP地址
。
3. 测试可通性
[root#PCA root]# ping 10.66.1.1 (不通)
[root#PCA root]# ping 10.66.1.2 (通)
[root#PCB root]# ping 10.65.1.1 (不通)
[root#PCB root]# ping 10.65.1.3 (通)
为什么PCA和PCB还是不通呢?哦,还没有设置计算机的网关。
[root#PCA root]# route add default gw 10.65.1.2
[root#PCB root]# route add default gw 10.62.1.2
[root#PCA root]# ping 10.66.1.1 (通了)
[root#PCB root]# ping 10.65.1.1 (通了)
4) 去掉交换机与路由器的联接线
[root#PCA root]# ping 10.66.1.1 (不通了)
[root#PCB root]# ping 10.65.1.1 (不通了)
由此可以看出,PCA与PCB之间的发送的数据包是经过路由器的,从路由器
f0/0入
,
再从f0/0出,所以称之为单臂路由。
这种情况PCA和PCB在链路层是同一个广播域,对网络带宽不利。如果划分
VLAN可
以
隔离广播域。通过子接口可以实现对不同VLAN的路由。
5) 在交换机上的情况
双击交换机,进入交换机的终端模式:
switch>en
switch#conf t
switch(config)#int vlan 1
switch(config-if)#ip address 10.65.1.8 255.255.0.0
switch(config-if)#exit
switch(config)#ip default-gateway 10.65.1.2
switch(config)#end
switch#ping 10.65.1.1 (通)
switch#ping 10.66.1.1 (通)
断开交换机与路由器的联线,再执行从交换机ping 命令:
switch#ping 10.65.1.1 (通)
switch#ping 10.66.1.1 (不通)
这说明不同网络段IP的联通是要通过路由器的。
实验七 子接口单臂路由
本实验接上一个实验,计算机和交换机的IP地址和网关不变,但要求交换
机
工作在两个VLAN的情况下,一个是原有的默认vlan 1,另一个是新设置的
vlan 2,
含f0/6、f0/7。
当交换机设置成两个vlan时,逻辑上已经成为两个网络,广播被隔离了。
两
个vlan 的网络要通信,必须通过路由器, 如果接入路由器的一个物理端
口,则
必须有两个子接口分别与两个vlan对应,同时还要求与路由器相联的交换
机的端
口f0/1要设置为trunk,因为这个口要通过两个vlan的数据包。
对于secondary ip的情况,实质上是一个接口,不能实现对两个vlan的路
由。
1. 设置交换机的vlan 2和trunk
switch#vlan database
switch(vlan)#vlan 2
switch(vlan)#exit
switch#conf t
switch(config)#hostname SWA
SWA(config)#int f0/6
SWA(config-if)#switchport access vlan 2
SWA(config-if)#int f0/7
SWA(config-if)#switchport access vlan 2
SWA(config-if)#int f0/1
SWA(config-if)#switchport mode trunk
SWA(config-if)#switchport trunk allowed vlan 1,2,3
SWA(config-if)#switchport trunk encap dot1q
SWA(config-if)#end
SWA#sh vlan
SWA#sh run
检查设置情况,应该能正确的看到vlan和trunk等信息。
dot1q是vlan中继协议802.1q,一般cisco设备使用isl协议,其作用是一
样的。
计算机的ip地址分别为10.65.1.1、10.66.1.1,网关分别指向路由器的子
接口
10.65.1.2、10.66.1.2。
[root#PCA root]# ping 10.66.1.1 (不通)
因为现在路由器还没有设置子接口,所以PCA与PCB不通。
2. 设置路由器f0/0 为两个子接口
roa(config)#int f0/0
roa(config-if)#no shut
roa(config-if)#int f0/0.1
roa(config-subif.1)#encapsulation dot1q 1
roa(config-subif.1)#ip address 10.65.1.2 255.255.0.0
roa(config-subif.1)#int f0/0.2
roa(config-subif.2)#encapsulation dot1q 2
roa(config-subif.2)#ip address 10.66.1.2 255.255.0.0
roa(config-subif.2)#exit
roa(config)#ip routing
roa#sh run
3. 测试可通性
[root#PCA root]# ping 10.66.1.1 (通)
[root#PCA root]# ping 10.66.1.2 (通)
[root#PCB root]# ping 10.65.1.1 (通)
[root#PCB root]# ping 10.65.1.2 (通)
如果去掉交换机与路由的连线,PCA和PCB还可以通吗?可见这也是一种单
臂路由。
实验八 静态路由
1.设置计算机和路由器的IP地址
设置PCA、PCB的IP地址分别为:10.65.1.1和10.71.1.1。
[root#PCA root]# ifconfig eth0 10.65.1.1 netmask 255.255.0.0
[root#PCB root]# ifconfig eth0 10.71.1.1 netmask 255.255.0.0
[root#PCC root]# ifconfig eth0 10.70.1.1 netmask 255.255.0.0
[root#PCA root]# route add default gw 10.65.1.2
[root#PCB root]# route add default gw 10.71.1.2
[root#PCC root]# route add default gw 10.70.1.2
设置RouterA的IP地址: (子网掩码是255.255.0.0)
f0/0: 10.65.1.2 ----->10.65.1.1 (PCA) (箭头表示连接)
f0/1: 10.66.1.2
s0/0: 10.67.1.2
s0/1: 10.68.1.2 -----> (RouterA的s0/1接RouterB的s0/0)
设置RouterB的IP地址:
s0/0: 10.68.1.1 <----
s0/1: 10.69.1.2
f0/0: 10.70.1.2
f0/1: 10.71.1.2 ---->10.71.1.1 (PCB)
2.设置路由器的静态路由:
设置路由器的IP地址(略)
先看一下路由表:
show ip route 是显示路由表命令,它可以看到直联网络,静态路由和动
态路由
的情况,这是一个很常用的命令。
ROA#show ip route (只能看到直连路由)
ROA(config)#ip route 10.71.0.0 255.255.0.0 10.68.1.1
ROA(config)#ip routing
ROA#show ip route (多了一条静态路由)
从PCA ping PCB :
[root@PCA root]# ping 10.71.1.1 (通)
从PCA ping
[root@PCA root]# ping 10.70.1.2 (不通)
再设置一条静态路由:
ROA(config)#ip route 10.70.0.0 255.255.0.0 10.68.1.1
ROA(config)#end
ROA#show ip route (又多了一条静态路由)
[root@PCA root]# ping 10.70.1.2 (通了)
3.设置路由器的默认路由
先去掉两条静态路由:
ROA(config)#no ip route 10.70.0.0 255.255.0.0 10.68.1.1
ROA(config)#on ip route 10.71.0.0 255.255.0.0 10.68.1.1
[root@PCA root]# ping 10.71.1.1 (不通)
[root@PCA root]# ping 10.70.1.1 (不通)
设置RouterA的默认路由:
ROA(config)#ip route 0.0.0.0 0.0.0.0 10.68.1.1
ROA#show ip route
[root@PCA root]# ping 10.71.1.1 (通)
[root@PCA root]# ping 10.70.1.2 (通)
使用指定静态路由时,要查看指定的目的网络,使用默认路由时,不判断
目的网络
。
将匹配不了的数据包都发送给默认的下一跳。路由器设置中一般最后有一
条默认路由。
问题:如果有三个路由器,静态路由如果设置呢?要求静态路由接力!
4. 三个路由器的静态路由
参考实验九图
设置RouterA的IP:
f0/0: 10.65.1.2 --->PCA:10.65.1.1
f0/1: 10.66.1.2 --->PCB:10.66.1.1
s0/0: 10.67.1.2
s0/1: 10.68.1.2 --->接RouterC s0/0
设置RouterC的IP:
s0/0: 10.68.1.1 <---
s0/1: 10.78.1.2 --->接RouterB s0/0
设置RouterB的IP:
s0/0: 10.78.1.1 <---
s0/1: 10.67.1.1
f0/0: 10.69.1.2 --->PCC:10.69.1.1
f0/1: 10.70.1.2 --->PCD:10.70.1.1
设置从PCA到PCC的静态路由
ROA(config)#ip routing
ROA(config)#ip route 10.69.0.0 255.255.0.0 10.68.1.1
ROA#show ip route
ROB(config)#ip route 10.69.0.0 255.255.0.0 10.78.1.1
ROB#show ip route
[root@PCA root]#ping 10.69.1.1 (通)
[root@PCA root]#ping 10.78.1.1 (不通)
[root@PCA root]#ping 10.70.1.1 (不通)
如何让PCA到 10.70.1.1 (PCD)通呢,像10.69.0.0网络一样,在路径的路
由器
上,再各写一条到10.70.0.0 网络的静态路由。
如果每一条路径都写一组静态路由显然不好,由于PCA在10.70.0.0 有一
条通路,
所以使用默认路由较好。
我们再做一个使用默认路由的小实验,先去掉原有的静态路由。
ROA(config)#no ip route 10.69.0.0 255.255.0.0 10.68.1.1
ROA#sh ip ro
ROB(config)#no ip route 10.69.0.0 255.255.0.0 10.78.1.1
ROB#sh ip ro
[root@PCA root]#ping 10.69.1.1 (不通)
ROA(config)#ip route 0.0.0.0. 0.0.0.0 10.68.1.1
ROA#sh ip ro
ROB(config)#ip route 0.0.0.0. 0.0.0.0 10.69.1.1
ROB#sh ip ro
[root@PCA root]#ping 10.69.1.1 (通)
[root@PCA root]#ping 10.70.1.1 (通)
[root@PCA root]#ping 10.78.1.1 (通)
路由表是路由器寻找网络的依据。是否能到达一个网络,要看路由表中有
没有去
这个网络的路由表项,动态路由可以自动创建路由表,定时更新。
实验九 动态路由
动态路由是指动态路由协议(如RIP)自动建立路由表,当你去掉一条连线
时,它
会自动去掉其路由。路由器的每一个接口对应不同网络,而一条连接两个
路由器连线
的两个端点IP应该属于同一网络。
设置的IP地址时,如果路由器的其它端口已有这个网络了,则提示已有这
个网络,
并显示对应的端口。如果是本端口可以覆盖。
1.设置计算机的IP
[root#PCA root]# ifconfig eth0 10.65.1.1 netmask 255.255.0.0
[root#PCB root]# ifconfig eth0 10.66.1.1 netmask 255.255.0.0
[root#PCC root]# ifconfig eth0 10.69.1.1 netmask 255.255.0.0
[root#PCD root]# ifconfig eth0 10.70.1.1 netmask 255.255.0.0
[root#PCA root]# route add default gw 10.65.1.2
[root#PCB root]# route add default gw 10.66.1.2
[root#PCC root]# route add default gw 10.69.1.2
[root#PCD root]# route add default gw 10.70.1.2
2.设置路由器的IP地址
RouterA(config)int f0/0
RouterA(config-if)#ip address 10.65.1.2 255.255.0.0
RouterA(config-if)#no shutdown
RouterA(config-if)#int f0/1
RouterA(config-if)#ip address 10.66.1.2 255.255.0.0
RouterA(config-if)#no shutdown
RouterA(config-if)#int s0/1
RouterA(config-if)#ip address 10.68.1.2 255.255.0.0
RouterA(config-if)#no shutdown
RouterA(config-if)#exit
RouterA(config)#ip routing
RouterA(config)#router rip
RouterA(config-router)#network 10.0.0.0
RouterA(config-router)#end
RouterA#
RouterCconfig)int s0/0
RouterC(config-if)#ip address 10.68.1.1 255.255.0.0
RouterC(config-if)#no shutdown
RouterC(config-if)#clock rate 64***00
RouterC(config-if)#int s0/1
RouterC(config-if)#ip address 10.78.1.1 255.255.0.0
RouterC(config-if)#no shutdown
RouterC(config-if)#clock rate 64***00
RouterC(config-if)#exit
RouterC(config)#ip routing
RouterC(config)#router rip
RouterC(config-router)#network 10.0.0.0
RouterC(config-router)#end
RouterB(config)int f0/0
RouterB(config-if)#ip address 10.69.1.2 255.255.0.0
RouterB(config-if)#no shutdown
RouterB(config-if)#int f0/1
RouterB(config-if)#ip address 10.70.1.2 255.255.0.0
RouterB(config-if)#no shutdown
RouterB(config-if)#int s0/0
RouterB(config-if)#ip address 10.78.1.2 255.255.0.0
RouterB(config-if)#no shutdown
RouterB(config-if)#exit
RouterB(config)#ip routing
RouterB(config)#router rip
RouterB(config-router)#network 10.0.0.0
RouterB(config-router)#end
RouterA#sh ip route
RouterC#sh ip route
RouterB#sh ip route
是否可以看到动态路由表?如果看不到,请检查路由器是否启动了转发
iprouting
,
的接口是否激活,命令network设置路由器发布的网络。
计算机PCA 测试到各点的连通性:
3. 测试网络联通性
[root@PCA root]#ping 10.65.1.2 (通)
[root@PCA root]#ping 10.66.1.1 (通)
[root@PCA root]#ping 10.66.1.2 (通)
[root@PCA root]#ping 10.68.1.1 (通)
[root@PCA root]#ping 10.68.1.2 (通)
[root@PCA root]#ping 10.78.1.1 (通)
[root@PCA root]#ping 10.78.1.2 (通)
[root@PCA root]#ping 10.69.1.1 (通)
[root@PCA root]#ping 10.69.1.2 (通)
[root@PCA root]#ping 10.70.1.1 (通)
[root@PCA root]#ping 10.70.1.2 (通)
断开某个路由路由器连线,或执行no ip routing,或某相接口执行
shutdow,
再通过sh ip ro 命令查看路由表。
你也可以再加一个路由器,设置好后,再查看表由表。
实验十 交换机和路由器组合实验
要求所有计算机和交换机以及路由器的端口可以联通。由于交换机下的计
算机在
两个网络段,所以要求划分vlan,现要求switchA和switchB的f0/5和f0/6
在vlan 2.
1. 设置计算机的IP地址和网关:
[root#PCA root]# ifconfig eth0 10.65.1.1 netmask 255.255.0.0
[root#PCB root]# ifconfig eth0 10.66.1.1 netmask 255.255.0.0
[root#PCC root]# ifconfig eth0 10.69.1.1 netmask 255.255.0.0
[root#PCD root]# ifconfig eth0 10.70.1.1 netmask 255.255.0.0
[root#PCE root]# ifconfig eth0 10.60.1.1 netmask 255.255.0.0
[root#PCF root]# ifconfig eth0 10.66.1.3 netmask 255.255.0.0
[root#PCG root]# ifconfig eth0 10.60.1.3 netmask 255.255.0.0
[root#PCA root]# route add default gw 10.65.1.2
[root#PCB root]# route add default gw 10.66.1.2
[root#PCC root]# route add default gw 10.69.1.2
[root#PCD root]# route add default gw 10.70.1.2
[root#PCE root]# route add default gw 10.60.1.2
[root#PCF root]# route add default gw 10.66.1.2
[root#PCG root]# route add default gw 10.60.1.2
2. 设置交换机的IP地址、网关和干线
switchA#vlan database
switchA(vlan)#vlan 2
switchA(vlan)#exit
switchA#conf t
switchA(config)#int f0/5
switchA(config-if)#switchport access vlan 2
switchA(config-if)#int f0/6
switchA(config-if)#switchport access vlan 2
switchA(config-if)#int f0/1
switchA(config-if)#switchport mode trunk
switchA(config-if)#switchport trunk encap dot1q
switchA(config-if)#end
switchA#sh vlan
switchA#sh run
switchB#vlan database
switchB(vlan)#vlan 2
switchB(vlan)#exit
switchB#conf t
switchB(config)#int f0/5
switchB(config-if)#switchport access vlan 2
switchB(config-if)#int f0/6
switchB(config-if)#switchport access vlan 2
switchB(config-if)#int f0/8
switchB(config-if)#switchport mode trunk
switchB(config-if)#switchport trunk encap dot1q
switchB(config-if)#int f0/2
switchB(config-if)#switchport mode trunk
switchB(config-if)#switchport trunk encap dot1q
switchB(config-if)#end
switchB#sh vlan
switchB#sh run
switchA#conf t
switchA(config)#int vlan 1
switchA(config-if)#ip address 10.65.1.8 255.255.0.0
switchA(config-if)#exit
switchA(config)#ip default-gateway 10.65.1.2
switchA(config)#end
switchA#sh run
switchB#conf t
switchB(config)#int vlan 1
switchB(config-if)#ip address 10.65.1.9 255.255.0.0
switchB(config-if)#exit
switchB(config)#ip default-gateway 10.65.1.2
switchB(config)#end
switchB#sh run
3.设置路由器的IP和动态路由
RouterA(config)int f0/0
RouterA(config-if)#ip address 10.65.1.2 255.255.0.0
RouterA(config-if)#no shutdown
RouterA(config-if)#int f0/1
RouterA(config-if)#no shutdown
RouterA(config-if)#int f0/1.1
RouterA(config-subif)#ip address 10.66.1.2 255.255.0.0
RouterA(config-subif)#int f0/1.2
RouterA(config-subif)#ip address 10.60.1.2 255.255.0.0
RouterA(config-subif)#int s0/1
RouterA(config-if)#ip address 10.68.1.2 255.255.0.0
RouterA(config-if)#no shutdown
RouterA(config-if)#exit
RouterA(config)#ip routing
RouterA(config)#router rip
RouterA(config-router)#network 10.0.0.0
RouterA(config-router)#end
RouterA#
RouterC和RouterB的IP如下,设置过程略。
RouterC s0/0 :10.68.1.1 s0/1:10.78.1.2
RouterB s0/0 :10.78.1.1 f0/0 :10.69.1.2 f0/1:10.70.1.2
4.测试各点的联通性
[root@PCA root]#ping 10.65.1.2 (通)
[root@PCA root]#ping 10.66.1.1 (通)
[root@PCA root]#ping 10.66.1.2 (通)
[root@PCA root]#ping 10.66.1.3 (通)
[root@PCA root]#ping 10.60.1.1 (通)
[root@PCA root]#ping 10.60.1.2 (通)
[root@PCA root]#ping 10.60.1.3 (通)
[root@PCA root]#ping 10.69.1.1 (通)
[root@PCA root]#ping 10.69.1.2 (通)
[root@PCA root]#ping 10.70.1.1 (通)
[root@PCA root]#ping 10.70.1.2 (通)
[root@PCA root]#ping 10.66.1.8 (通)
[root@PCA root]#ping 10.66.1.9 (通)
switchA#ping 10.65.1.1 (通)
switchA#ping 10.66.1.1 (通)
switchA#ping 10.66.1.2 (通)
switchA#ping 10.66.1.3 (通)
switchA#ping 10.60.1.1 (通)
switchA#ping 10.60.1.2 (通)
switchA#ping 10.60.1.3 (通)
switchA#ping 10.69.1.1 (通)
switchA#ping 10.70.1.1 (通)
[root@PCD root]#ping 10.66.1.9 (通)
network是发布路由,现将routerC的f0/0设置为11.0.0.0网络,情况如何
呢?
RouterC(config)#int f0/0
RouterC(config-if)#ip address 11.0.0.2 255.255.0.0
RouterC(config-if)#no shutdown
[root#PCH root]# ifconfig eth0 11.0.0.1 netmask 255.255.0.0
[root#PCH root]# route add default gw 11.0.0.2
现在PCH可以与其它计算机互通吗?(不发布11网络,别人看不到,但它可
以看到
别人,所以单向通)。
设置RouterC的network all或增加network 11.0.0.0 情况以如何呢
?(互通了)
。
实验十一 访问控制列表
1. 配置路由器到网络各点可通
设网络图动态路由已设好,IP地址分配如下:
PCA ip:10.65.1.1 gateway:10.65.1.2
PCB ip:10.66.1.1 gateway:10.66.1.2
PCC ip:10.69.1.1 gateway:10.69.1.2
PCD ip:10.70.1.1 gateway:10.70.1.2
PCE ip:10.65.1.3 gateway:10.65.1.2
PCF ip:10.65.2.1 gateway:10.65.1.2
SWA ip:10.65.1.8 gateway:10.65.1.2
RouterA f0/0: 10.65.1.2
RouterA f0/1: 10.66.1.2
RouterA s0/1: 10.68.1.2
RouterC s0/0: 10.68.1.1
RouterC s0/1: 10.78.1.2
RouterB s0/0: 10.78.1.1
RouterB s0/1: 10.79.1.2
RouterB f0/0: 10.69.1.2
RouterB f0/1: 10.70.1.2
2.基本的访问控制列表:
先从PCA ping PCD:
[root@PCA @root]#ping 10.70.1.1 (通)
在ROC的s0/0写一个输入的访问控制列表:
RouterC(config)#access-list 1 permit 10.65.1.1 0.0.0.0
RouterC(config)#access-list 1 deny any
RouterC(config)#int s0/0
RouterC(config-if)#ip access-group 1 in
RouterC(config-if)#end
RouterC#sh access-list 1
[root@PCA @root]#ping 10.70.1.1 (通) (只允许PCA)
[root@PCE @root]#ping 10.70.1.1 (不通)(被access-list 1禁止)
[root@PCE @root]#ping 10.66.1.1 (通) (不经过access-list 1)
[root@PCB @root]#ping 10.70.1.1 (不通)(被access-list 1禁止)
[root@PCD @root]#ping 10.65.1.1 (不通)(echo-reply包不能返回)
第一个ping命令,PCA的IP地址是10.65.1.1在访问控制列表access-list
1中是
允许的,所以能通。
第二个ping命令,PCE虽然是65网段,但是access-list 只允许10.65.1.1
通过,
所以10.65.1.3的数据包不能通过。
第三个ping命令,PCE到PCB不通过RouterC的s0/0,所以能通。
第四个ping命令,PCB的IP地址是10.66.1.1,它是被禁止的,所以不通。
第五个ping命令,从10.65.1.1返回包echo-reply不能通过access-list 1
,PCD
收
不到返回包,所以不通。有些系统的ping 命令,echo不能通过时表示为
unreachable
,
若echo-reply不能返回时,表示为timeout,等待时间超时。
下面再写一个访问控制列表,先删除原访问控制列表:
RouterC(config)#no access-list 1
RouterC(config-if)#no ip access-group 1 in
二者都可以实现去掉访问列表的目的。前者是从列表号角度删除,后者是
从端口
和输入或输出的角度删除。
可以通过show access-list 命令查看删除情况,下面再写一个访问控制
列表:
RouterC(config)#access-list 2 deny 10.65.1.1 0.0.0.255
RouterC(config)#access-list 2 permit any
RouterC(config)#int s0/1
RouterC(config-if)#ip access-group 2 out
RouterC(config-if)#end
RouterC#sh access-list
这个访问控制列表比上一个访问控制列表有以下几点不同:
(1)先deny后permit,
(2)禁止的是一个10.65.1.0网络
(3)是输出的访问控制列表
[root@PCA @root]#ping 10.69.1.1 (不通)
[root@PCE @root]#ping 10.69.1.1 (不通)
[root@PCF @root]#ping 10.69.1.1 (通) (10.65.2.1不在禁止范围)
[root@PCB @root]#ping 10.69.1.1 (通) (10.66.1.1不在禁止范围)
因为PCA和PCE的IP地址10.65.1.1、10.65.1.3,在deny范围内所以不通。
而PCF的IP是10.65.2.1不在10.65.1.0 0.0.0.255范围内,所以能通。
3.梯形基本访问控制列表
访问控制列表一般是顺序匹配的,梯形结构,参考如下:
RouterC(config)#access-list 4 permit 10.65.1.1
RouterC(config)#access-list 4 deny 10.65.1.0 0.0.0.255
RouterC(config)#access-list 4 permit 10.65.0.0 0.0.255.255
RouterC(config)#access-list 4 deny 10.0.0.0 0.255.255.255
RouterC(config)#access-list 4 permit any
RouterC(config)#int s0/1
RouterC(config-if)#ip access-group 4 out
RouterC(config-if)#end
[root@PCA @root]#ping 10.69.1.1 (通)
[root@PCE @root]#ping 10.69.1.1 (不通) (10.65.1.3禁止)
[root@PCF @root]#ping 10.69.1.1 (通) (10.65.2.1不在禁止范围)
[root@PCB @root]#ping 10.69.1.1 (不通) (10.66.1.1禁止)
4. 扩展访问控制列表
扩展的访问控制列表,有源和目的两个ip,并且要指明应用的协议。实际
中
可控制的协议有很多,本软件实际只支持icmp的echo*作,用以说明问题
。
例1. 阻止PCA访问PCD:
RouterC(config)#access-list 101 deny icmp 10.65.1.1 0.0.0.0
10.70.1.1
0.0.0.0 echo
RouterC(config)#access-list 101 permit ip any any
RouterC(config)#int s0/0
RouterC(config-if)#ip access-group 101 in
RouterC#sh access-list 101
[root@PCA root]#ping 10.70.1.1 (不通)(请求echo包被禁止)
[root@PCE root]#ping 10.70.1.1 (通)
[root@PCF root]#ping 10.70.1.1 (通)
[root@PCD root]#ping 10.65.1.1 (通)
RouterC(config)#no access-list 101
RouterC#sh access-list
[root@PCA root]#ping 10.70.1.1 (去掉访问控制列表,就通了)
3. 阻止10.65.1.0/24网络访问 10.70.1.1(PCD)。
RouterC(config)#access-list 102 deny icmp 10.65.1.1 0.0.0.255
10.74.1.1
0.0.0.0 echo
RouterC(config)#access-list 102 permit ip any any
RouterC(config)#interface s0/1
RouterC(config-if)#ip access-group 102 (默认为out)
[root@PCA root]#ping 10.70.1.1 (不通)(PCE:10.65.1.1禁止)
[root@PCE root]#ping 10.70.1.1 (不通)(PCE:10.65.1.3禁止)
[root@PCF root]#ping 10.70.1.1 (通) (PCE:10.65.2.1允许)
如果将扩展访问控制列表的目的IP的匹配码改成0.0.0.255,又会怎样呢
?
请自己分析或做实验。
实验十二 综合实验
1. 装入文件all 并使窗体最大化。
2. 规划网络各点IP。
3. 通过配置让各计算机和交换之间可以ping通。
4. 适当设置访问控制列表,检查结果。
规划网络ip地址建议如下:
HostA:192.168.1.1 SwitchA:192.168.1.8 RouterA f0/1:192.168.1.2
HostB:192.168.2.1 SwitchB:192.168.2.8 RouterB f0/1:192.168.2.2
HostC:192.168.3.1 SwitchC:192.168.3.8 RouterC f0/1:192.168.3.2
HostD:192.168.4.1 SwitchD:192.168.4.8 RouterD f0/1:192.168.4.2
HostE:192.168.5.1 SwitchE:192.168.5.8 RouterE f0/1:192.168.5.2
HostF:192.168.5.3
HostG:192.168.6.1 SwitchF:192.168.6.8 RouterF f0/1:192.168.6.2
HostH:192.168.6.3
RouterA s0/0:192.168.11.1 ---> RouterE s0/0:192.168.11.2
RouterB s0/0:192.168.12.1 ---> RouterE s0/1:192.168.12.2
RouterC s0/0:192.168.13.1 ---> RouterF s0/0:192.168.13.2
RouterD s0/0:192.168.14.1 ---> RouterF s0/1:192.168.14.2
PPP 配置实验:
PPP(Point to Point Protocol)协议是一种点对点通讯协议。
封装协议:
encapsulation ppp
认证方式:
ppp authentication {chap|pap}[if][list-name|default][callin]
指定口令:
username name password secret
设置DCE端速度:
clockrate speed
其中name 应该是对端路由器的名称(Hostname)。口令验证通过方可通讯
。
配置PPP:
RouterA(config)#username RouterB password abc
RouterA(config)#int s0/0
RouterA(config-if)#encap ppp
RouterA(config-if)#ppp authentication chap
RouterA(config-if)#ip address 10.65.1.1 255.255.255.0
RouterA(config-if)#clockrate 10***00
RouterA(config-if)#no shut
RouterA(config-if)#end
RouterA#end
RouterB(config)#username RouterA password abc
RouterB(config)#int s0/0
RouterB(config-if)#encap ppp
RouterB(config-if)#ppp authentication chap
RouterB(config-if)#ip address 10.65.1.2 255.255.255.0
RouterB(config-if)#no shut
RouterB(config)#end
RouterA#
RouterA#ping 10.65.1.1
配置BGP:
自治系统AS间的通讯要采用外部网关协议EGP(External Getway
Protocol),而BGP(Backbone Getway Protocol)协议是典型的一种外
部网关协议。
RIP、OSPF、IGRP、EIGRP 都属于内部网关协议IGP,内部网关协
议在独立系统内部传送有关内部路由的信息。
外部网关协议用来传送从IGP分离出的AS之间的路由信息,设有两
个AS自治系统为别为AS 100 和AS 200。
在系统边界路由器上如下设置:
参考配置如下:
routerA(config)#router bgp 100
routerA(config-router)#network 19.0.0.0
routerA(config-router)#neighbor 8.1.1.2 remote-as 200
routerA(config-router)#end
routerA#
routerB(config)#router bgp 200
routerB(config-router)#network 16.0.0.0
routerB(config-router)#neighbor 8.1.1.1 remote-as 100
routerB(config-router)#end
routerB#
routerB#ping 8.1.1.2
点对点帧中继配置(Point to point frame relay)
设RouterB做帧中继交换机,配置如下:
RouterB(config)#frame-relay switching
RouterB(config)#int s0/0
RouterB(config-if)#ip address 172.l6.20.2 255.255.255.0
RouterB(config-if)#encap frame-relay
RouterB(config-if)#fram-relay lmi-type cisco
RouterB(config-if)#frame-relay intf-type dce
RouterB(config-if)#frame-relay interface-dlci 16
RouterB(config-fr-dlci)#exit
RouterB(config-if)#no shutdown
RouterB(config)#int s0/1
RouterB(config-if)#ip address 172.l6.40.1 255.255.255.0
RouterB(config-if)#encap frame-relay
RouterB(config-if)#fram-relay lmi-type cisco
RouterB(config-if)#frame-relay intf-type dce
RouterB(config-if)#frame-relay interface-dlci 17
RouterB(config-fr-dlci)#exit
RouterB(config-if)#no shutdown
RouterA(config)#int s0/0
RouterA(config-if)#ip address 172.l6.20.1 255.255.255.0
RouterA(config-if)#encap frame-relay
RouterA(config-if)#fram-relay lmi-type cisco
RouterA(config-if)#frame-relay interface-dlci 16
RouterC(config-fr-dlci)#exit
RouterA(config-if)#no shutdown
RouterC(config)#int s0
RouterC(config-if)#ip address 172.l6.40.2 255.255.255.0
RouterC(config-if)#encap frame-relay
RouterC(config-if)#fram-relay lmi-type cisco
RouterC(config-if)#frame-relay interface-dlci 17
RouterC(config-fr-dlci)#exit
RouterC(config-if)#no shutdown
RouterA#sh frame map
RouterA#sh frame pvc
三层交换机实验:
实现交换机vlan间的路由,使用具有三层交换功能的交换机是理想的选择
,
无论是从性能上还是从价格上都是有优势的。Cisco 3550是具有三层交换
功能
的交换机。
在交换机上先建两个vlan,分别为vlan 2 和vlan 3,将f0/2 放入vlan 2
,
将f0/6放入vlan 3,再设置vlan 2 和 vlan 3的IP地址,最后启动路由转
发:
ip routing。
交换机配置如下:
Switch#vlan database
Switch(vlan)#vlan 2
Switch(vlan)#vlan 3
Switch(vlan)#exit
Switch#conf t
Switch(config)#int f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2
Switch(config-if)#description connected HostA
Switch(config-if)#int f0/6
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 3
Switch(config-if)#description connected HostB
Switch(config-if)#exit
Switch(config)#int vlan 2
Switch(config-if)#ip address 10.65.1.2 255.255.0.0
Switch(config-if)#int vlan 3
Switch(config-if)#ip address 10.66.1.2 255.255.0.0
Switch(config-if)#exit
Switch(config)#ip routing
Switch(config)#end
Switch#
配置HostA的IP地址为:10.65.1.1 255.255.0.0
配置HostA的网关地址:10.65.1.2
配置HostA的IP地址为:10.66.1.1 255.255.0.0
配置HostA的网关地址:10.66.1.2
多交换机的三层交换
S3550#vlan database
S3550(vlan)#vlan 2
S3550(vlan)#vlan 3
S3550(vlan)#exit
S3550#conf t
S3550(config)#int vlan 2
S3550(config-if)#ip address 10.65.1.2 255.255.0.0
S3550(config-if)#int vlan 3
S3550(config-if)#ip address 10.66.1.2 255.255.0.0
S3550(config-if)#exit
S3550(config)#int f0/4
S3550(config-if)#switchport mode trunk
S3550(config-if)#switchport trunk encapsulation dot1q
S3550(config-if)#switchport trunk allowed vlan all
S3550(config-if)#end
S3550#conf t
S3550(config)#vtp mode server
S3550(config)#vtp domain abc
S3550(config)#vtp password abcd
S3550(config)#ip routing
S3550(config)#exit
S3550#
S2924#conf t
S2924(config)#vtp mode client
S2924(config)#vtp domain abc
S2924(config)#vtp password abcd
S2924(config)#int f0/4
S2924(config-if)#switchport mode trunk
S2924(config-if)#switchport trunk encapsulation dot1q
S2924(config-if)#switchport trunk allowed vlan all
S2924(config-if)#description trunk
S2924(config)#int f0/2
S2924(config-if)#switchport mode access
S2924(config-if)#switchport access vlan 2
S2924(config-if)#description connected HostA
S2924(config-if)#int f0/6
S2924(config-if)#switchport mode access
S2924(config-if)#switchport access vlan 3
S2924(config-if)#description connected HostB
S2924(config-if)#end
S2924#
三层交换机与路由器的连接
在实际的网络环境中一般有多个交换机,在中心交换机或根交换机上设置
vtp server,在下层交换机上设置vtp client,交换机与交换机之间设置
trunk。
这时下层的交换机就可以使用中心交换机设置的vlan,中心交换机一般都
有三层
交换功能,可以实现vlan间的访问。
router#conf t
router(config)#int f0/1
router(config-if)#ip address 10.67.1.2 255.255.0.0
router(config-if)#no shutdown
router(config-if)#exit
router(config)#router ospf 1
router(config-router)#network 10.67.1.2 0.0.0.0 area 0
router(config-router)#end
router#
交换机其它配置不变,不再赘述。与路由器连接时,no switchport关闭
二层口,
端口工作在三层,并配置IP地址,相关配置如下:
S3550#conf t
S3550(config)#int f0/3
S3550(config)#no switchport
S3550(config-if)#ip address 10.67.1.1 255.255.0.0
S3550(config-if)#no shutdown
S3550(config-if)#exit
S3550(config)#router ospf 1
S3550(config-router)#network 10.67.0.0 0.0.0.255 area 0
S3550(config-router)#network 10.66.0.0 0.0.0.255 area 0
S3550(config-router)#network 10.65.0.0 0.0.0.255 area 0
S3550(config)#ip routing
交换机间的端口聚合
switchA#conf t
switchA(config)#int range f0/3 –6
switchA(config-if-range)#switchport mode access
switchA(config-if-range)#switchport access vlan 2
switchA(config-if-range)#channel-procotol pagp
switchA(config-if-range)#channel-group 2 mode desirable
Creating a port-channel interface Port-channel 2
switchA(config-if-range)#no shutdown
switchA(config-if-range)#end
switchA#
switchB#conf t
switchB(config)#int range f0/3 –6
switchB(config-if-range)#switchport mode access
switchB(config-if-range)#switchport access vlan 2
switchB(config-if-range)#channel-procotol pagp
switchB(config-if-range)#channel-group 2 mode auto
Creating a port-channel interface Port-channel 2
switchB(config-if-range)#no shutdown
switchB(config-if-range)#end
switchB#
交换机与路由器间的端口聚合
switchA#conf t
switchA(config)#int port-channel 5
switchA(config-if)#no switchport
switchA(config-if)#ip address 10.65.1.1 255.255.0.0
switchA(config-if)#exit
switchA(config)#int range f0/1 -2
switchA(config-if-range)#no ip address
switchA(config-if-range)#channel-group 5 mode on
switchA(config-if-range)#no shutdown
switchA(config-if-range)end
switchA#
router#conf t
router(config-if)#int f0/0
router(config-if)#no ip address
router(config-if)#no shutdown
router(config-if)#channel-group 1 mode on
router(config-if)#int f0/1
router(config-if)#no ip address
router(config-if)#no shutdown
router(config-if)#channel-group 1 mode on
router(config-if)#int port-channel 1
router(config-if)#ip address 10.65.1.2 255.255.0.0
router(config-if)#end
router#
PIX防火墙设置
设:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1被命名为内部接口inside,安全级别100。
ethernet2被命名为中间接口dmz,安全级别50。
Pix525#conf t
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif ethernet2 dmz security50
Pix525(config)#interface ethernet0 auto
Pix525(config)#interface ethernet1 100full
Pix525(config)#interface ethernet2 100full
Pix525(config)#ip address outside 133.0.0.1 255.255.255.252
Pix525(config)#ip address inside 10.66.1.200 255.255.0.0
Pix525(config)#ip address dmz 10.65.1.200 255.255.0.0
Pix525(config)#global (outside) 1 133.1.0.1-133.1.0.14
Pix525(config)#nat (inside) 1 0 0
注:1表示global定义的全局IP地址,0 0表示所有内部主机。
Pix525(config)#route outside 0 0 133.0.0.2
Pix525(config)#static (dmz, outside) 133.1.0.1 10.65.1.101
Pix525(config)#static (dmz, outside) 133.1.0.2 10.65.1.102
Pix525(config)#static (inside, dmz) 10.66.0.0 10.66.0.0
PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq
www
PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq
ftp
PIX525(config)#access-list 101 deny ip any any
PIX525(config)#access-group 101 in interface outside
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己,访问服务器,否则
内部主机将会映射成地址池的IP,到外部去找。
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.101,static
是双向的。由于PIX的所端口默认是关闭的,进入PIX要经过acl入口过滤
。
静态路由指示内部的主机和dmz的数据包从outside口出去。 |
|
