组网技术实验指导书.doc

组网技术实验指导书桂林电子科技大学计算机与工程学院20123实验一 IP路由(基于GNS3分布式环境)【实验目的】1、 熟悉与掌握仿真软件GNS3的安装、环境设置的方法2、 了解GNS3下cisco路由器模拟及分布式环境下模拟的机制并掌握其使用方法3、 掌握几种典型的在GNS3环境中模拟主机的方法4、 提高综合运用静态路由、缺省路由、RIP或OSPF路由技术完成较大网络的路由设计的能力【实验环境】1、 操作系统：Windows 2、 组网模拟器（套件）：GNS3-0.8.6-all-in-one或以上版本【实验预习要求】 1、阅读有关GNS3使用的相关资料 2、预习Cisco路由器典型的配置命令 3、完成本实验有关IP地址规划、路由方案、GNS3环境下模拟方案部分设计（见实验步骤1-3）【实验报告要求】1、 可以打印，但需要同时交打印稿与电子稿2、 不允许简单复制“实验指导书”3、 不允许拷贝其它同学的成果，包括设计、数据、分析及结论【Cisco路由器主要配置命令】clock rate 128000 配置串口上的时钟(DCE 端)configure terminal 进入终端配置模式copy running-config startup-config 把内存中的配置文件保存到NVRAM 中encapsulation 为serial接口指定链路层协议enable 进入特权模式exit 由当前模式退出到上层模式end 退出到特权模式hostname 设置主机的名字interface 进入网络接口配置模式ip address 设置接口的ip地址no shutdown 激活网络接口show running-config 显示内存中的配置文件show interface s0/0/0 显示接口的信息show controllers s0/0/0 显示s0/0/0 的控制器信息ip route 配置静态路由show ip route 查看路由表ping ping 测试traceroute 路由跟踪测试（对于windows主机命令为tracert）router rip 启用rip（路由协议）进程version 2 指定路由协议rip的版本为2network 在指定的直连网段上，进行rip路由宣告，如：network redistribute (重分布)将本地路由表中某种路由注入到rip路由的更新中，如redistribute staticno auto-summary 关闭路由自动聚合功能【GNS3中模拟主机的几种方法】1、 利用Virtual PC Simulator(开源软件) VPCS支持最多9台PC，它的功能有限，但是可以运行ping和traceroute。此时在GNS3中需要借助类型为“Cloud”的节点，来指向所模拟的vpc主机。2、 利用路由器当作PC 可以简单地配置路由器，使其像一台PC一样。这种方法可能会使用更多的内存和处理器资源。此时需要关闭路由功能（no ip routing）和指定缺省网关(ip default-gateway)。3、 桥接物理主机或虚拟机（vmware、hyper-v等）4、 利用Qemu guest5、 利用VirtualBox guest【设计任务】 在仿真器上实现如下拓扑网络的路由设计, 并完成连通测试。【设计要求】1、模拟器采用GNS32、模拟路由器选用CISCO路由器、分布在不同的物理主机上3、2台模拟主机要求采用不同的模拟方法4、将静态路由、缺省路由、OSPF路由技术有机地结合起来，完成网络的路由设计，实现全网各节点互通。【实验步骤】1、 IP地址规划分析给定拓扑图，规划各网段、各节点（路由接口或主机）ip地址，记录到实验报告2、 确定详细的路由方案，并记录到实验报告中建议：R1（边界路由器）不使用动态路由，其它路由器启用动态路由3、 确定路由器与主机在GNS3环境下的模拟方案，并记录到实验报告4、 主机安装GNS3与初始配置I 安装GNS3-0.8.6-all-in-one（相关软件或资源在E:network目录中）II GNS3环境设置（1）在磁盘中建立相关文件夹 IOS目录、工程目录、dynmips工作目录（2）拷贝路由器Ios镜像文件到“IOS目录”中（3）环境设置（从“编辑”-“首选项”菜单项进入） 设置语言:中文 设置相关目录（需要当场测试）：IOS、工程、工作目录 设置终端命令参数:要求终端工具使用secureCRT（4）设置“IOS” （从“IOS和Hypervisors”菜单项进入） 在“IOS”窗口选择Cisco IOS文件，以及和IOS文件对应的“平台”和“型号”后，单击“保存”。（5）路由器”IDLE PC”值计算 依次将实验中所用各种型号的路由器“拖入”一个到工作区，完成“Idle PC” 值计算、选取。5、 在GNS3中上编辑网络拓扑图（1） 创建一个新工程（2） 在设计区中，放置所需型号路由器、所需类型主机、进行布局、命名路由器建议使用型号：C7200（3） 为路由器添加相关的模块，确保提供所需的端口（类型、数量）（4） 设置模拟主机采用的方法不同，设置的具体内容也不同（此处略）请写到实验报告中6、 完成路由器设置（1）分别启动各路由器 等一段时间后，观察物理主机CPU利用率是否正常，路由器是否启动（2）通过console终端，分别登录各路由器（3）完成路由器基本设置 包括名称、接口ip地址、子网掩码、接口激活等，对Serial口（DCE类型）还需设同步时钟（4）完成路由设置具体配置步骤（含命令和参数） （此处略）请写到实验报告中（5）保存配置文件7、 进行连通测试、排除故障，并进行必要的记录；（1） 用ping命令进行连通测试 如：在两主机间进行、或任何两节点间进行（2） 若ping测试失败，使用tracert命令进行路由跟踪测试分析测试数据，以确定故障点（即故障设备）。（3） 排除故障若故障设备是某个路由器，需进一步显示并分析该路由器的路由表，分析问题原因，并着手解决。8、 分别显示各路由器的路由表、配置文件running-config内容，将主要内容记录到实验报告中。9、 保存工程文件【思考与练习】1、 结合对本地与远程的“hypervisors”的理解，试分析GNS3与Dynamips.exe之间如何协同工作？2、 模拟网络中端口之间的链路，在实验主机中是如何模拟的？3、 参考有关资料，自行安装virtualBOX、建立基于其的一虚拟机（操作系统自行选择），并在GNS3中以virtualBOX guest的形式集成到模拟网络中。4、 研究.net文件（网络拓扑配置）中典型命令参数含义及内容组织的形式。实验二 VLAN【实验目的】1. 加深理解VLAN组网技术2. 掌握cisco交换机的基本操作命令3. 掌握VLAN的创建、VLAN中继的配置方法4. 掌握VLAN间路由典型的配置方法5. 学会在交换机上创建管理节点的方法【主要配置命令】（一）交换机上主要VLAN配置、验证命令vlan 参数 创建一个指定编号的vlanname 参数 对当前的vlan命名（改名）interface 参数 进入指定接口配置模式switchport mode access 将当前接口的VLAN管理模式，设置为接入模式switchport access vlan 参数 将当前接口划分到指定的vlan中switchport mode trunk 将当前接口的VLAN管理模式，设置为中继模式switchport trunk nativie vlan 参数 设置当前接口的本征vlan属性（对中继接口有效）switchport trunk allowed vlan 参数 设置当前接口能中继的vlan列表(对中继接口有效）interface vlan 参数 在指定的vlan上创建一个逻辑节点（接口），有两个身份，名字为VLAN加上的所在vlan的编号。 作为逻辑节点，它有自己的MAC地址、IP地址（需要设置），可以跟其它节点通信，通常用于网络管理；作为接口，用于内部配置，对于三层交换机可作为路由接口用。Show vlan brief 以简表形式显示设备内所划分的vlanShow interfaces 参数 switchport 显示指定接口的有关vlan方面的配置属性值Show interfaces trunk 显示当前的设备中的中继接口（二）路由器上子接口的创建、VLAN协议封装命令interface 参数1.参数2 创建或进入指定路由器接口的某个子接口，参数1为某个物理接口的名称，参数2为子接口号encapsulation dot1q 参数 指定当前子接口使用中继协议802.1q通信、指定该接口所属的vlan（三）已经学过的基本配置命令（适用于路由器、交换机）no 参数表 取消某操作命令，后面的参数为前面某次所执行过的命令行configure terminal 进入终端配置模式copy running-config startup-config 把内存中的配置文件保存到NVRAM 中enable 进入特权模式exit 由当前模式退出到上层模式end 退出到特权模式hostname 设置主机的名字interface 参数 进入指定路由器接口配置模式ip address 参数表 设置接口的ip地址no shutdown 激活网络接口show running-config 显示内存中的配置文件show interfaces 参数 显示接口的信息ip route 参数表 添加静态路由show ip route 查看路由表ping 参数 网络连通测试，参数为目标节点traceroute 参数 路由跟踪测试（对于windows主机命令为tracert），参数为目标节点【设计任务】 在仿真器中实现如下拓扑网络设计, 并完成连通测试。其中：R1为路由器、S1与S2为二层交换机、S0为三层交换机、P1-P4为PC机、NMW为网管工作站。【设计要求】1、 需要建立三个VLAN如下：vlan 99 management & control（管理VLAN、本征VLAN）vlan 2 staff （员工VLAN）vlan 3 students（学员VLAN）2、 交换机网管IP地址交换机S1网管IP：/24交换机S2网管IP：/243、 网管工作站能对交换机S1、S2进行远程管理4、 先采用单臂路由技术，实现VLAN间的设备可以互相访问5、 再采用三层交换技术，实现VLAN间的设备可以互相访问6、 将具体的配置步骤、验证结果（有关的show命令与显示内容）、测试数据（ping测试或tracert测试）记入实验报告中；对有关问题进行相应的分析或探讨，并记录到实验报告中。【实验步骤】1、 分析拓扑图2、 在仿真器中画出网络拓扑图3、 完成主机端网络参数配置主机名、接口ip地址、子网掩码、网关4、 VLAN、VLAN中继配置、验证与测试I S1上的配置（1） 给设备命名 在全局配置模式下： hostname s1（2） 创建VLAN 2、划分成员接口、验证配置 在全局配置模式下： vlan 2 name staff exit interface f0/2 switchport mode access switchport access vlan 2 end show vlan brief show interface f0/2 switchport（3） 创建VLAN 3、划分成员接口、验证配置（4） 创建VLAN 99、划分成员接口、验证配置（5） 配置中继接口F0/1（管理方式、本征VLAN、所属VLAN） 在全局配置模式下： interface f0/1 switchport mode trunk switchport trunk natitive vlan 99switchport trunk allowed vlan 2, 3, 99（6） 验证中继配置在特权模式下：show interfaces trunkshow interface f0/1 switchportII S0上的配置（1） 给设备命名（2） 创建VLAN 2（3） 创建VLAN 3（4） 创建VLAN 99、验证配置（5） 配置中继接口F0/1（管理方式、本征VLAN、所属VLAN）（6） 配置中继接口F0/2（管理方式、本征VLAN、所属VLAN）（7） 验证中继配置III S2上的配置（1） 给设备命名（2） 创建VLAN 2、划分成员接口、验证配置（3） 创建VLAN 3、划分成员接口、验证配置（4） 创建VLAN 99（5） 配置中继接口F0/1（管理方式、本征VLAN、所属VLAN）（6） 验证中继配置5、 网管节点建立于测试I S1上的配置（1） 创建逻辑接口VLAN99、配置IP地址、激活接口在全局配置模式下：interface vlan 99ip address no shutdown（2） 配置缺省网关在全局配置模式下： ip default-gateway 54（3） 配置远程访问终端（支持telnet访问）在全局配置模式下：Line vty 0 15 /创建16个远程访问终端Password 123456 /设定远程登录口令privilege level 15 /设定管理权限，15为管理员级transport input telnet /设定远程登录可以使用的协议login /指定远程登录时，需要核对口令II S2上的配置（1） 创建逻辑接口VLAN99、配置IP地址、激活接口（2） *配置缺省网关（3） 配置远程访问终端（支持telnet访问）在全局配置模式下：创建2个远程访问终端设定远程登录口令为abc设定管理权限为管理员级设定远程登录可以使用的协议为telnet指定远程登录时，需要核对口令III 在nmw上进行访问测试（1） 使用telnet工具，登录到S1，登录口令为123456（2） 使用telnet工具，登录到S26、 单臂路由方案的实施I S0上的设置（3） 将接口F0/3设置成中继模式（4） 设置该口相应的本征vlan属性（5） 设置该口相应的所属vlan列表属性（6） 验证中继配置II R1上的设置（1） 给设备命名（2） 创建子接口f0/0.2、设置ip、指定中继协议802.1q和vlanID；在全局配置模式下：interface f0/0.2ip address 54 encapsulation dot1q 2no shutdown（3） 创建子接口f0/0.3、设置ip、指定中继协议802.1q和vlanID；（4） 创建子接口f0/0.99、设置ip、指定中继协议802.1q和vlanID；（5） 激活接口f0/0（6） 显示路由表在特权模式下：show ip routeIII 访问测试 例：从主机P3到主机P2作ping测试或路由跟踪测试7、 基于三层交换路由方案实施I R1上的设置 关闭接口f0/0(避免影响)II S0上的设置（1） 创建逻辑接口VLAN2、设置ip；在全局配置模式下：interface vlan 2ip address 54 no shutdown（2） 创建逻辑接口VLAN3、设置ip；（3） 创建逻辑接口VLAN99、设置ip；（4） 显示路由表（5） 显示配置文件III 访问测试 例：从主机P3到主机P2作ping测试；例：从网管工作站nmw到主机P2作路由跟踪测试实验三 DNS、DHCP组网技术【实验目的】1学习与掌握DNS组网技术2学习与掌握DHCP组网技术【实验环境】实验分组进行 1. 微机4台2. Quidway交换机2台(Quidway S2116、S3000或S3900)3. Quidway路由器2台（Quidway AR28-11或AR28-31） 4. console线缆1根 【设计任务】设计并实现一个多网段互联的网络；整个网络有自己域名，对全网提供DNS服务、DHCP服务；普通主机采用动态ip分配方案。【设计要求】1. 利用所提供的设备组建一个由两个网段（或以上）互联的网络2DNS服务器1台，为整个网络主机提供域名解析服务3. DHCP服务器1台，为整个网络主机提供动态ip分配服务（DNS、DHCP服务器除外）4. 1台FTP服务器，采用dchp ip预留技术5. 在主要的通信节点之间，做ping、路由跟踪、ftp访问测试6. 完成实验报告 （1）给出设计图 （2）给出ip规划（网段ip分配、节点ip分配） （3）给出给路由器主要的配置命令、最终的路由表信息 （4）给出几条测试数据，并进行分析【实验步骤】1. 分析需求，给出网络拓扑2. 规划ip网段并分配ip地址，并在图纸进行标注3. 在实验室，按网络拓扑图组网4. 完成各主机节点的ip配置（包括路由器接口）5. 完成各路由器接口的ip配置，若设计中使用了多台路由器，还需完成静态路由或动态路由的配置 6. 分别安装DNS、FTP服务器7. 完成DNS服务器的配置，并进行测试8. 安装DHCP服务器9. 完成DHCP服务器的配置，并进行测试10. 完成DHCP 中继的配置，并进行测试11. 进行综合测试，并记录测试数据实验四 ACL 、NAT【实验任务一】标准ACL1.实验目的（1）掌握ACL 设计原则和工作过程（2）掌握定义标准ACL（3）掌握应用ACL（4）掌握标准ACL 调试2.实验内容及要求实验拓扑如图如下：本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET服务。整个网络配置EIGRP（或OSPF） 保证IP 的连通性。3.实验步骤（1）步骤1：配置路由器R1（2）步骤2：配置路由器R2（3）步骤3：配置路由器R3【技术要点】（1）ACL 定义好，可以在很多地方应用，接口上应用只是其中之一，其它的常用应用包括在route map 中的match 应用和在vty 下用“access-class”命令调用，来控制telnet 的访问；（2）访问控制列表表项的检查按自上而下的顺序进行，并且从第一个表项开始，所以必须考虑在访问控制列表中定义语句的次序；（3）路由器不对自身产生的IP 数据包进行过滤；（4）访问控制列表最后一条是隐含的拒绝所有；（5）每一个路由器接口的每一个方向，每一种协议只能应用一个ACL；（6）“access-class”命令只对标准ACL 有效。4.实验调试在PC1 网络所在的主机上ping ，应该通，在PC2 网络所在的主机上ping，应该不通，在主机PC3 上TELNET ，应该成功。（1）show ip access-lists该命令用来查看所定义的IP 访问控制列表。.以上输出表明路由器R2 上定义的标准访问控制列表为“1”和“2”，括号中的数字表示匹配条件的数据包的个数，可以用“clear access-list counters”将访问控制列表计数器清零。（2）show ip interface.以上输出表明在接口s0/0/0 的入方向应用了访问控制列表1。【实验任务二】扩展ACL1.实验目的（1）掌握定义扩展ACL（2）掌握应用扩展ACL（3）掌握扩展ACL 调试2. 实验内容及要求实验拓扑图同实验任务一。本实验要求只允许PC2 所在网段的主机访问路由器R2 的WWW 和TELNET 服务，并拒绝PC3 所在网段PING 路由器R2。删除实验1 中定义的ACL，保留EIGRP（或OSPF） 的配置。3.实验步骤（1）步骤1：配置路由器R1（2）步骤2：配置路由器R2（3）步骤3：配置路由器R3【技术要点】（1）参数“log”会生成相应的日志信息，用来记录经过ACL 入口的数据包的情况；（2）尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上，这样创建的过滤器就不会反过来影响其它接口上的数据流。另外，尽量使标准的访问控制列表靠近目的，由于标准访问控制列表只使用源地址，如果将其靠近源会阻止数据包流向其他端口。4.实验调试（1）分别在PC2 上访问路由器R2 的TELNET 和WWW 服务，然后查看访问控制列表100：（2）在PC3 所在网段的主机ping 路由器R2, 路由器R3 会出现下面的日志信息：*Feb 25 17:35:46.383: %SEC-6-IPACCESSLOGDP: list 101 denied icmp - (0/0), 1 packet*Feb 25 17:41:08.959: %SEC-6-IPACCESSLOGDP: list 101 denied icmp - (0/0), 4 packets*Feb 25 17:42:46.919: %SEC-6-IPACCESSLOGDP: list 101 denied icmp - (0/0), 1 packet*Feb 25 17:42:56.803: %SEC-6-IPACCESSLOGDP: list 101 denied icmp - (0/0), 1 packet以上输出说明在访问控制列表101 在有匹配数据包的时候，系统作了日志。（3）在路由器R3 上查看访问控制列表101：【实验任务三】静态NAT 配置1.实验目的（1）掌握静态NAT 的特征（2）掌握静态NAT 基本配置和调试2.实验内容及要求实验拓扑图:配置路由器R1 提供NAT 服务，要求采用静态NAT方法。3.实验步骤步骤1：配置路由器R1 提供NAT 服务（1）配置静态NAT 映射（2）配置NAT 内部接口（3）配置NAT 外部接口步骤2：配置路由器R24.实验调试（1）debug ip nat该命令可以查看地址翻译的过程。在PC1 和PC2 上Ping （路由器R2 的环回接口），此时应该是通的，路由器R1的输出信息如下：R1#debug ip nat*Mar 4 02:02:12.779: NAT*: s=-, d= 20240*Mar 4 02:02:12.791: NAT*: s=, d=- 14435.*Mar 4 02:02:25.563: NAT*: s=-, d= 25*Mar 4 02:02:25.579: NAT*: s=, d=- 25.以上输出表明了NAT 的转换过程。首先把私有地址“”和“”分别转换成公网地址“”和“”访问地址“”，然后回来的时候把公网地址“”和 “”分别转换成私有地址“”和“”。（2）show ip nat translations该命令用来查看NAT 表。静态映射时，NAT 表一直存在。R1#show ip nat translationsPro Inside global Inside local Outside local Outside global- - - - -以上输出表明了内部全局地址和内部局部地址的对应关系。【术语】 内部局部（inside local）地址：在内部网络使用的地址，往往是RFC1918 地址； 内部全局（inside global）地址：用来代替一个或多个本地IP 地址的、对外的、向NIC 注册过的地址； 外部局部（outside local）地址：一个外部主机相对于内部网络所用的IP 地址。不一定是合法的地址； 外部全局（outside global）地址：外部网络主机的合法IP 地址。【实验任务四】动态NAT1.实验目的（1）掌握动态NAT 的特征（2）掌握动态NAT 配置和调试2.实验内容及要求实验拓扑图同实验任务三。配置路由器R1 提供NAT 服务，要求采用动态NAT方法。3.实验步骤配置路由器R1 提供NAT 服务（1）配置动态NAT 转换的地址池（2）配置动态NAT 映射（3）允许动态NAT 转换的内部地址范围4.实验调试在PC1 上访问（路由器R2 的环回接口）的WWW 服务，在PC2 上分别telnet 和ping （路由器R2 的环回接口），调试结果如下：（1）debug ip natR1#debug ip natIP NAT debugging is onR1#clear ip nat translation * /清除动态NAT 表*Mar 4 01:34:23.075: NAT*: s=-, d= 19833*Mar 4 01:34:23.087: NAT*: s=, d=- 62333.*Mar 4 01:28:49.867: NAT*: s=-, d= 62864*Mar 4 01:28:49.875: NAT*: s=, d=- 54062.【提示】如果动态NAT 地址池中没有足够的地址作动态映射，则会出现类似下面的信息，提示NAT 转换失败，并丢弃数据包。*Feb 22 09:02:59.075: NAT: translation failed (A), dropping packet s= d=（2）show ip nat translationsR1#show ip nat translationsPro Inside global Inside local Outside local Outside globaltcp :1721 :1721 :80 :80- - -icmp :3 :3 :3 :3tcp :14347 :14347 :23 :23- - -以上信息表明当PC1 和PC2 第一次访问“”地址的时候,NAT 路由器R1 为主机PC1 和PC2 动态分配两个全局地址“”和“”，在NAT 表表中生成两条动态映射的记录，同时会在NAT 表中生成和应用向对应的协议和端口号的记录（过期时间为60 秒）。在动态映射没有过期（过期时间为86400 秒）之前，再有应用从相同主机发起时，NAT 路由器直接查NAT 表,然后为应用分配相应的端口号。（3）show ip nat statistics该命令用来查看NAT 转换的统计信息。R1#show ip nat statisticsTotal active translations: 5 (0 static, 5 dynamic; 3 extended)/有5 个转换是动态转化，Outside interfaces:Serial0/0/0/NAT 外部接口Inside interfaces:GigabitEthernet0/0/NAT 内部接口Hits: 54 Misses: 6CEF Translated packets: 60, CEF Punted packets: 5Expired translations: 12 /NAT 表中过期的转换Dynamic mappings: /动态映射- Inside SourceId: 1 access-list 1 pool NAT refcount 2pool NAT: netmask /地址池名字和掩码start end 00 /地址池范围type generic, total addresses 98, allocated 2 (2%), misses 0/共98 个地址，分出去2 个Queued Packets: 0【实验任务五】PAT 配置1.实验目的（1）掌握PAT 的特征（2）掌握overload 的使用（3）掌握PAT 配置和调试2.实验内容及要求实验拓扑图同实验任务三。配置路由器R1 提供NAT 服务，要求采用PAT方法。3.实验步骤（1）配置地址池（2）配置PAT（3）配置访问控制列表（4）配置接口NAT4.实验调试在PC1 上访问（路由器R2 的环回接口）的WWW 服务，在PC2 上分别telnet 和ping （路由器R2 的环回接口），调试结果如下：（1）debug ip nat*Mar 4 01:53:47.983: NAT*: s=-, d= 20056*Mar 4 01:53:47.995: NAT*: s=, d=- 46201.*Mar 4 01:54:03.015: NAT*: s=-, d= 20787*Mar 4 01:54:03.219: NAT*: s=, d=- 12049.（2）show ip nat translationsR1#show ip nat translationsPro Inside global Inside local Outside local Outside globaltcp :1732 :1732 :80 :80icmp :4 :4 :4 :4tcp :12320 :12320 :23 :23以上输出表明进行PAT 转换使用的是同一个IP 地址的不同端口号。（3）show ip nat statisticsTotal active translations: 3 (0 static, 3 dynamic; 3 extended)Outside interfaces:Serial0/0/0Inside interfaces:GigabitEthernet0/0Hits: 762 Misses: 22CEF Translated packets: 760, CEF Punted packets: 47Expired translations: 19Dynamic mappings:- Inside SourceId: 2 access-list 1 pool NAT refcount 3pool NAT: netmask start end 00type generic, total addresses 98, allocated 1 (1%), misses 0Queued Packets: 0【提示】动态NAT 的过期时间是86400 秒，PAT 的过期时间是60 秒，通过命令“show ip nattranslations verbose”可以查看。也可以通过下面的命令来修改超时时间：R1(config)#ip nat translation timeout timeout参数timeout 的范围是0-2147483。如果主机的数量不是很多, 可以直接使用outside 接口地址配置PAT，不必定义地址池，命令如下：R1(config)#ip nat inside source list 1 interface s0/0/0 overload实验五 SNMP网络管理【实验目的】1学习与掌握SNMP基本原理2熟悉snmp网络管理工具3. 掌握snmp网管应用技术【实验环境】实验分组进行 1.每组45微机，每人1机 2.每组设备（机柜内）： 共 4台（华为）交换机、4台（华为）路由器（由下至上编号依次为07），其中： Quidway S2116交换机2台，S3000交换机1台，S3900交换机1台； Quidway AR28-11路由器3台，AR28-31路由器1台; 3.每组1根console线缆 4.操作系统：Windows Server 2003 5.网络管理工具： （1）Quidview （2）Solarwinds【基本原理】 SNMP（Simple Network ManagementProtocol）即简单网络管理协议，它为网络管理系统提供了底层网络管理的框架。SNMP协议的应用范围非常广泛，诸多种类的网络设备、软件和系统中都有所采用，主要是因为SNMP协议有如下几个特点： 首先，相对于其它种类的网络管理体系或管理协议而言，SNMP易于实现。SNMP的管理协议、MIB及其它相关的体系框架能够在各种不同类型的设备上运行，包括低档的个人电脑到高档的大型主机、服务器、及路由器、交换器等网络设备。一个SNMP管理代理组件在运行时不需要很大的内存空间，因此也就不需要太强的计算能力。SNMP协议一般可以在目标系统中快速开发出来，所以它很容易在面市的新产品或升级的老产品中出现。尽管SNMP协议缺少其它网络管理协议的某些优点，但它设计简单、扩展灵活、易于使用，这些特点大大弥补了SNMP协议应用中的其他不足。 其次，SNMP协议是开放的免费产品。只有经过IETF的标准议程批准（IETF是IAB下设的一个组织），才可以改动SNMP协议；厂商们也可以私下改动SNMP协议，但这样作的结果很可能得不偿失，因为他们必须说服其他厂商和用户支持他们对SNMP协议的非标准改进，而这样做却有悖于他们的初衷。 第三，SNMP协议有很多详细的文档资料（例如RFC，以及其它的一些文章、说明书等），网络业界对这个协议也有着较深入的理解，这些都是SNMP协议近一步发展和改进的基础。 最后，SNMP协议可用于控制各种设备。比如说电话系统、环境控制设备，以及其它可接入网络且需要控制的设备等，这些非传统装备都可以使用SNMP协议。 正是由于有了上述这些特点，SNMP协议已经被认为是网络设备厂商、应用软件开发者及终端用户的首选管理协议。 SNMP是一种无连接协议，无连接的意思是它不支持象TELNET或FTP这种专门的连接。通过使用请求报文和返回响应的方式，SNMP在管理代理和管理员之间传送信息。这种机制减轻了管理代理的负担，它不必要非得支持其它协议及基于连接模式的处理过程。因此，SNMP协议提供了一种独有的机制来处理可靠性和故障检测方面的问题。 另外，网络管理系统通常安装在一个比较大的网络环境中，其中包括大量的不同种类的网络和网络设备。因此，为划分管理职责，应该把整个网络分成若干个用户分区，可以把满足以下条件的网络设备归为同一个SNMP分区：它们可以提供用于实现分区所需要的安全性方面的分界线。SNMP协议支持这种基于分区名（communitystring）信息的安全模型，可以通过物理方式把它添加到选定的分区内的每个网络设备上。目前SNMP协议中基于分区的身份验证模型被认是为很不牢靠的，它存在一个严重的安全问题。主要原因是SNMP协议并不提供加密功能，也不保证在SNMP数据包交换过程中不能从网络中直接拷贝分区信息。只需使用一个数据包捕获工具就可把整个SNMP数据包解密，这样分区名就暴露无遗。因为这个原因，大多数站点禁止管理代理设备的设置操作。但这样做有一个副作用，这样一来只能监控数据对象的值而不能改动它们，限制了SNMP协议的可用性。 SNMP的命令和报文 SNMP协议定义了数据包的格式，及网络管理员和管理代理之间的信息交换，它还控制着管理代理的MIB数据对象。因此，可用于处理管理代理定义的各种任务。SNMP协议之所以易于使用，这是因为它对外提供了三种用于控制MIB对象的基本操作命令。它们是：Set 、Get 和 Trap ： Set：它是一个特权命令，因为可以通过它来改动设备的配置或控制设备的运转状态。 Get：它是SNMP协议中使用率最高的一个命令，因为该命令是从网络设备中获得管理信息的基本方式。 Trap：它的功能就是在网络管理系统没有明确要求的前提下，由管理代理通知网络管理系统有一些特别的情况或问题发生了。 SNMP协议也定义了执行以上三个命令时的报文流，但它没有定义其它的设备管理代理命令，可应用于MIB数据对象的操作只有Set和Get命令，这两个命令的目标是数据对象的值。比如说，SNMP协议中没有定义reboot（重启）命令；然而，管理代理软件把MIB数据对象和设备的内部命令联系起来，这样就可以实现某些特殊的命令操作。如果现在想要重启某个设备，管理系统就把某个与重启有关的MIB数据对象的值设为1（我们的假定）。这样就会触发管理代理执行重新启动设备的命令，同时还把这个MIB数据对象重新设置为原来的状态。 一条SNMP报文由三个部分组成：版本域（version field），分区域（community field）和SNMP协议数据单元域（SNMP protocol data unit field），数据包的长度不是固定的。 版本域：这个域用于说明现在使用的是哪个版本的SNMP协议。目前，version 1是使用最广泛的SNMP协议。 分区域：分区（community）是基本的安全机制，用于实现SNMP网络管理员访问SNMP管理代理时的身份验证。分区名（Communityname）是管理代理的口令，管理员被允许访问数据对象的前提就是网络管理员知道网络代理的口令。如果把配置管理代理成可以执行Trap命令，当网络管理员用一个错误的分区名查询管理代理时，系统就发送一个autenticationFailure trap报文。 协议数据单元域：SNMPv1的PDU有五种类型，有些是报文请求（Request），有些则是响应（Response）。它们包括：GetRequest、GetNextRequest、SetRequest、GetRespon