网络管理员培训实验手册.doc

网络管理员培训实验手册温州市教育局目录实验总图3实验一：交换机配置基础4实验二：Vlan和Trunk配置7实验三：以太网通道技术13实验四：DHCP服务配置15实验五：HSRP协议配置17实验六：静态路由和OSPF单区域配置19实验七：NAT技术配置22实验八：L2TP VPN配置（可选实验）26实验九：访问控制列表配置2931网络管理员培训实验手册实验总图实验一：交换机配置基础【实验目的】l 通过console口配置交换机l 通过telnet配置交换机l 交换机配置视图l 交换机常用命令【实验环境】l 锐捷S3760或S2016交换机一台、一台PC机l 专用配置电缆一根、直通网线一根【实验组网图】【实验步骤】步骤一：将配置线接到交换机Console口，通过超级终端登陆交换机CLI模式；注：实验室环境所有设备Console统一管理登陆，无需以上操作。步骤二：模式切换操作步骤配置命令命令描述1Switchenable进入特权模式2Switch#disable退出特权模式到用户模式3Switch#config t进入全局配置模式4Switch(config)#exit退出全局配置模式到特权模式5Swithc(config)#interface fa0/1进入接口配置模式6Swithc(config-if)# end 或 CTRL+Z直接退到特权模式7Swithc(config)#line vty 0 4进入行配置模式8Swithc(config-line)#exit退到全局配置模式步骤三：基本配置命令步骤配置命令命令描述1Switch(config)#hostname S3760A命名交换机为S3760A2S3760A(config)#enable secret cisco配置用户到特权模式的密码3Console登陆验证配置S3760A(config)#line console 0进入console口配置模式Password cisco配置console口登陆的密码4交换机启用telnet配置1)配置交换机管理地址S3760A(config)#interface vlan 1启用VLAN 1虚接口S3760A(config-if)#ip address 配置虚拟VLAN 1接口IP地址S3760A(config-if)#no shut激活接口2）配置telnet登陆密码S3760A(config)#line vty 0 4进入VTY行模式Password ciscotelnet登陆时的密码Exec-timeout 20设置超时时间为20秒3）必须已经配置enable secret xxx命令，才能telnet到交换机4）测试：网线连接一台计算机到交换机的Fa0/1口，配置主机地址为/24，然后telnet ，是否出现登陆界面？5Console和VTY采用用户名和密码验证S3760A(config)#Username jack password 0 cisco配置本地用户名和密码S3760A(config)#line vty 0 4进入VTY模式Login local 调用本地用户名、密码进行验证测试：再次telnet到交换机，观察登陆窗口首先是否输入“用户名”提示？6接口配置命令S3760A(config)#interface fa0/1进入fa0/1接口进行配置注：int range fa0/1 24命令是进入批量接口设置speed 100配置接口速率duplex full配置接口双工模式description link-to-pc1配置接口描述7Show查看命令S3760A#show run查看运行配置文件S3760A#show start查看启动配置文件S3760A#show version显示IOS版本、存储容量等信息S3760A#show flash显示IOS文件信息S3760A#show cpu显示CPU占有率S3760A#show memeory显示内存占有率S3760A#show interface显示所有接口信息S3760A#show interface fa0/1显示具体某接口信息S3760A#show interface status显示所有接口汇总信息S3760A#ping PING命令S3760A#traceroute x.x.x.x跟踪命令8交换机系统操作命令S3760A#write memory保存配置S3760A#reload重新启动交换机S3760A#del config.text 删除配置文件9IOS及配置文件的备份和升级命令S3760APC1Fa0/1TFTP服务器1）如上图所示，配置PC1和交换机能相互通信；2）在PC1上安装TFTP软件，如Cisco tftp server软件，并打开服务3）登陆到交换机进行以下操作S3760A#Copy start tftp将配置文件备份到tftp服务器S3760A#Copy flash tftp将IOS文件备份到tftp服务器S3760A#Copy tftp start导入配置文件到交换机S3760A#Copy tftp flash升级或更新交换机IOS文件（此命令会损坏本机IOS，请慎用或在指导老师指导下使用）实验二：Vlan和Trunk配置【实验目的】l 在交换机上建立VLAN隔离网段l 在多个交换机间透传VLAN信息l 实现VLAN间的路由通信【实验环境】l 1台S2126交换机、1台S3760交换机、1台R2632路由器和3台PC机l 网线数根【实验步骤】步骤一：划分VLAN1、实验组网图2、实验内容和实现要求在S2126A交换机划分两个网段，使两个网段形成逻辑上隔离的两个虚拟局域网。我们在S2126A上建立两个VLAN，分别是VLAN 10和VLAN 11，然后将端口分配到不同VLAN，达到不同网段逻辑隔离的效果。3、实验操作命令步骤配置命令命令描述1添加VLANS2126A(config)# vlan 10建立VLAN 10S2126A(config-vlan)#name student命名为studentS2126A(config)# vlan 11建立VLAN 11S2126A(config-vlan)#name teacher命名为teacher2将交换机端口分配到VLANS2126A(config)#interface fa0/1S2126A(config-if)# switchport access vlan 10将fa0/1分配到VLAN10中S2126A(config)#interface fa0/2S2126A(config-if)# switchport access vlan 11将fa0/2分配到VLAN11中3VLAN的验证S2126A# show vlan查看配置的VLAN信息步骤二：配置TRUNK、实验组网图2、实验内容和实现如上图所示，增加一台S3760交换机，在S3760上有VLAN10的计算机，要求能与S2126A上的VLAN10的计算机相互通信。我们在S2126和S3760交换机之间的链路上建立TRUNK干道来打通各VLAN。3、实验操作命令步骤配置命令命令描述1在S3760A上建立VLAN 10，并将端口分配到VLAN10S3760A(config)# vlan 10建立VLAN 10S3760A(config-vlan)#name student命名为studentS3760A(config)#interface fa0/1S3760A(config-if)# switchport access vlan 10将fa0/1分配到VLAN10中2将S3760A的fa0/24端口配置成TRUNK端口S3760A (config)#interface fa0/24S3760A(config-if)#sw mode trunk端口启用TRUNK模式3将S2126A的fa0/24配置成TRUNK模式S2126A(config)#int fa0/24S2126A(config-if)# sw mode trunk端口启用TRUNK模式4测试S2126A#show interface trunk查看TRUNK是否启用？根据上图所示，配置好各台计算机的IP地址，在PC1测试到PC3的连通性，ping 步骤三：配置VLAN间路由（采用三层交换机实现和采用路由器单臂路由）任务一：采用三层交换机实现1、实验组网图2、实验内容和实现 通过以上的实验，我们知道，VLAN10和VLAN11之间的计算机还是不能相互通信的。这里我们要求通过三层交换机实现VLAN 10和VLAN 11两个网段相互通信，我们只需要在S3760A上启用这两个VLAN的虚接口，并分别配置IP地址，该IP地址作为各自VLAN内部计算机的网关地址即可。3、实验操作步骤配置命令命令描述1通过以上配置的基础上，在S3760A上建立VLAN 11S3760A(config)# vlan 11建立VLAN 11S3760A(config-vlan)#name teacher命名为teacher2配置VLAN10和VLAN11的虚拟接口地址S3760A (config)#interface vlan10Ip address 配置VLAN 10的IP地址No shutS3760A (config)#interface vlan11Ip address 配置VLAN 11的IP地址No shut3测试S3760A#show ip int brief显示接口的IP信息及状态是否UP如上图所示，在各台计算机上配置网关地址，在PC1测试到PC2的连通性，ping ；在PC2上测试到PC1和PC3的连通性。故障提示：如果发现PC1 PING不通PC2，请首先测试两台计算机到各自网关是否连通，如果连通，则检查S3760A交换机VLAN接口状态。任务二，可选实验：采用路由器单臂路由实现VLAN间通信1、实验组网图2、实验内容和实现 要求通过路由器实现VLAN 10和VLAN 11两个网段相互通信。我们是通过在路由器接口上划分子接口来实现VLAN间的通信，但要求，路由器和交换机相连的链路是TRUNK链路。注：这里的S3760A三层交换机功能相当于二层交换机。3、实验操作步骤配置命令命令描述1在S3760A上，将上面实验配置的VLAN接口删除S3760A(config)# no int vlan 10删除VLAN 10接口S3760A(config)#no int vlan 11删除VLAN 11接口2根据上图所示，将一台R2632B路由器连接到S3760A的Fa0/21口3将S3760A的Fa0/21启用TRUNKS3760A(config)#int fa0/21S3760A(config-if)#sw mode trunk4登陆到R2632B上，对fa1/1进行以下配置R2632B(config)#interface fa 1/1no ip address去掉物理接口IP地址int fa1/1.10进入子接口配置encapsulation dot1q 10配置VLAN 10的网关地址ip address 封装802.1q协议int fa1/1.11进入第二个子接口配置encapsulation dot1q 11配置VLAN 11的网关地址ip address 封装802.1q协议5测试在R2632B上show ip int b显示接口的IP信息及状态是否UP在S3760A上show int trunk查看TRUNK是否是ON状态在PC1测试到PC2的连通性，ping ；在PC2上测试到PC1和PC3的连通性。实验三：以太网通道技术【实验目的】l 在交换机间建立以太网通道，达到链路备份和负载均衡的目的l 测试以太网通道是否建立【实验环境】l 锐捷S2126交换机1台，S3760交换机1台，PC机数台l 直通网线数根【实验组网图】【实验内容和实现】在以上配置的基础上，PC3已经能与PC1或PC2相互通信。如上图所示，在S2126A和S3760A交换机之间再增加一条网线，将两条链路配置为以太网通道，增加带宽，负载分担来回的数据包，同时也起到链路备份的作用。【实验步骤】步骤配置命令命令描述1检查两台交换机的fa0/23和fa0/24端口的配置是否一致，如双工模式、速率、接口模式、接口所在的VLAN等，如果不一致，配置成一样的。Show runShow interface statusShow interface 2先检查当前网络是否通信，如在PC2上PING PC3是否能通，能通，则进行下步操作3根据上图所示，用网线连接两台交换机的Fa1/23口4配置S2126A交换机的以太网通道S2126A(config)# interface aggregatePort 1进入通道组接口配置模式switchport mode trunkinterface fa0/23switchport mode trunkPort-group 1将fa0/23加入通道组1interface fa0/24switchport mode trunkport-group 1 将fa0/24加入通道组15配置S3760A交换机的以太网通道S3760A(config)# interface aggregatePort 1进入通道组接口配置模式switchport mode trunkinterface fa0/23switchport mode trunkPort-group 1将fa0/23加入通道组1interface fa0/24switchport mode trunkPort-group 1将fa0/24加入通道组16测试show aggregateport 1 summary 检查以太网通道状态show int trunk查看TRUNK是否是ON状态在PC2上持续PING PC3的IP地址，ping t ；拔掉一根网线，看是否还能正常通信，再插回去，是否还正常？实验四：DHCP服务配置【实验目的】l 配置交换机作为DHCP服务器给客户端自动分配IP地址l 测试DHCP是否工作正常【实验环境】l 锐捷S3760交换机1台、S2126交换机1台、PC机数台l 直通网线数根【实验组网图】【实验内容和实现】在之前的实验基础上，PC1、PC2、PC3之间都能够互连互通，现在决定VLAN10中的计算机要通过DHCP自动分配地址，由于采用一台专门DHCP服务器，费用太大，因此，我们考虑直接在S3760三层交换机上启用DHCP来做DHCP服务器，给VLAN10中计算机分配IP地址。分配的网段为/24，其中0054排除，用来静态分配。【实验步骤】步骤配置命令命令描述1在PC1、PC2、PC3之间都能够互连互通的基础上，将PC1、PC3的TCP/IP设置成自动获取地址2在S3760A上做如下配置S3760A(config)#ip dhcp exclude-address 00 54排除的IP地址S3760A(config)# service dhcp启用DHCP服务S3760A(config)#ip dhcp pool vlan10 设置DHCP地址池network 动态分配的IP地址范围default-router 设置分配的网关地址dns-server 99 98设置分配的DNS服务器地址3验证DHCP工作show ip dhcp binding显示地址分配情况show ip dhcp conflict显示地址冲突情况在PC1和PC3计算机上运行ipconfig /all命令，查看是否获取正确的地址。如果已经获取，请测试与其他计算机的通信情况4思考：如上图所示，如果DHCP配置在R2632B路由器上，那么该如何设置，才能是客户端获得IP地址？实验五：VRRP协议配置【实验目的】l 掌握VRRP协议配置l 测试VRRP协议是否正常工作【实验环境】l 锐捷2632路由器2台、S3760交换机一台l 专用配置电缆一根、直通网线数根【实验组网图】【实验内容和实现】 网络边缘采用两台路由器双线路接入，为了实现两台路由器热备，当主路由器失效后，备份路由器自动切换到转发状态。我们需要在两台路由器上配置VRRP功能，一台配置成主路由器，另一台配置成备份路由器，然后在交换机上测试到VRRP虚拟IP的通信情况。【实验步骤】步骤配置命令命令描述1按照上图所示，连接好各线缆2在S3760A上做如下配置S3760A(config)#vlan 100S3760A(config)#int range fa0/21 - 22 Sw access vlan 100S3760A(config)#int vlan 100Ip add 00 配置VLAN 100的IP 地址3在R2632A和R2632B上配置HSRP如下R2632A(config)#Interface fa1/1Ip address Vrrp 1 ip 配置HSRP虚拟地址Vrrp 1 preemp配置抢占模式Vrrp 1 track interface s1/2（注：本实验中，由于S1/2没连接任何网络，该命令不需要配置）配置跟踪S1/2端口，一旦S1/2端口DOWN掉，也触发HSRP切换到另一台路由器工作R2632B(config)#Interface fa1/1Ip address Vrrp 1 ip 配置HSRP虚拟地址Vrrp 1 priority 120这台路由器成为HSRP主路由器Vrrp 1 preemp配置抢占模式Vrrp 1 track interface s1/2（注：本实验中，由于S1/2没连接任何网络，该命令不需要配置）配置跟踪S1/2端口，一旦S1/2端口DOWN掉，也触发HSRP切换到另一台路由器工作4测试R2632A和R2632B配置完成后，分别测试到00的连通性Show vrrp查看vrrp状态，观察那台路由器为master(主路由器),那台为slave(备份路由器)在交换机上ping t ,然后把主路由器的网线拔掉，看是不是还能通信，如果能通，表示已经切换到备份路由器上工作；接下来，重新插上线缆，通过show vrrp查看主路由器地位能不能抢占回来。实验六：静态路由和OSPF单区域配置【实验目的】l 配置静态路由实现网络通信l 配置单区域OSPF实现网络通信l 通过配置OSPF来掌握OSPF协议工作原理【实验环境】l 锐捷S3760交换机1台，R2632路由器2台，PC机数台l 专用配置电缆一根、直通网线数根【实验组网图】【实验内容和实现】 首先通过静态路由实现以上所有网段相互通信；改用OSPF动态路由协议，所有网络都定义在区域0中。【实验步骤】任务一：采用静态路由实现网络通信步骤配置命令命令描述1按照上图所示，连接好各线缆2在S3760A上做如下配置vlan 10vlan 11int fa/1 Sw access vlan 11int fa/2 配置VLAN 100的IP 地址Sw access vlan 10int fa0/21No switch将fa0/21配置成三层端口Ip add 52Int vlan 10 Ip add Int vlan 11 Ip add 3在R2632A上做如下配置Int fa1/1Ip add 52配置后，最好能ping ，看能不能通。Int s1/2Ip add 524在R2632B上做如下配置Int fa1/1Ip add Int s1/2Ip add 52配置后，最好能ping ，看能不能通。5在各台设备上配置静态路由S3760A(config)#ip route 在S3760A上配置默认路由R2632A(config)#ip route Ip route Ip route 在R2632A上配置两条静态路由到VLAN10和VLAN11的网段，剩下的通过默认路由到下一跳R2632B(config)#ip route 在R2632B上配置默认路由到外面4测试Show ip route查看路由表配置各台计算机IP地址、网关，然后通过PING命令相互测试到各网段是否能通任务二：采用OSPF路由协议实现网络通信步骤配置命令命令描述1删除任务一中配置的所有静态路由条目，如S3760A上通过no ip route 命令来删除路由条目2在各台设备上分别启用OSPF路由协议，所有网段都定义在AREA 0中S3760A(config)#router ospf 100启用OSPF路由进程 Network 55 area 0增加网络到区域0Network 55 area 0增加网络到区域0Network 55 area 0增加网络到区域0R2632A(config)#router ospf 100启用OSPF路由进程 Network 55 area 0增加网络到区域0Network 55 area 0增加网络到区域0R2632B(config)#router ospf 100启用OSPF路由进程 Network 55 area 0所有接口网段增加到区域03测试Show ip route查看路由表，看是否学习到“O”打头的路由条目Show ip ospf nei查看OSPF学习到的邻居状态Show ip ospf database查看OSPF链路状态数据库在各台计算机通过PING命令相互测试到各网段是否能通信 实验七：NAT技术配置【实验目的】l 私有网络配置NAT实现对Internet的访问l 内网服务器如何发布到Internet上【实验环境】l 锐捷S3760交换机1台、2632路由器2台、数台计算机l 专用配置电缆一根、直通、交叉网线数根【实验组网图】 【实验内容和实现】如上图所示，我们在R3632B上通过访问控制列表阻止/16进入，来模拟Internet环境，那么要使私有网络能访问Internet上的主机,必须在R2632A上配置NAT功能，通过外网地址来实现对Internet的访问。如果私有网络中有FTP、WWW、MAIL、远程桌面等应用要在Internet上能访问，那么我们需要在R2632A路由器上结合静态NAT技术，把该发布的应用程序发布到Internet上。【实验步骤】任务一：配置NAT，使私有网络能访问到模拟internet上的主机步骤配置命令命令描述1按照上图所示，连接好所有线缆，配置VLAN、接口地址、计算机IP地址等2在各台设备上，配置静态路由，使PC1、PC2、PC3相互通信，通过PING命令测试,必须ping通才进行下一步实验3为了模拟公网环境，使私有地址没办法访问公网，在R2632B上配置以下命令R2632B(config)#Access-list 10 deny 55拒绝源地址为/16的数据包Access-list 10 permit any允许其他任何的数据包通过Int s1/2Ip access-group 10 in将以上访问列表应用到s1/2接口，只对进来的数据包进行过滤测试通过以上配置，我们在PC1上ping ，能通吗？在PC3上ping ,ping 能通吗？如不通，进行下一步实验4为了让私有地址能访问公网，需在R2632A上配置NAT转换R2632A(config)#Ip nat pool natip netmask 48配置NAT外网地址池Ip nat inside source list 10 pool natip overload将list 10定义的网段通过端口NAT转换出去，转换后的源地址在NAT池中随机选择一个Access-list 10 permit 55定义允许访问公网的内部网段Access-list 10 permit 55定义允许访问公网的内部网段Int fa1/1 Ip nat inside应用NAT到内网接口Int s1/2 Ip nat outside应用NAT到外网接口注：如果internet分配给我们公网IP只有一个，已经配置到外网接口上，我们该如何配置NAT，使内部网络通过访问Internet？配置命令是什么？Ip nat inside source list 10 int s1/2 overload5测试现在在PC1或PC2上ping ,能通吗？ 能通，思考下为什么？Show ip nat translation 显示NAT转换表Clear ip nat tran *清除所有NAT转换表任务二：在任务一的基础上，配置静态NAT，使PC3能访问到PC2远程桌面服务步骤配置命令命令描述1开启PC2的远程桌面服务我的电脑右键属性远程勾选“允许用户远程桌面连接到此计算机”在PC1上测试到PC2的远程桌面连接是否成功？ 开始程序附件通信远程桌面连接在PC3上测试到PC2的远程桌面连接是否成功？ 不能2在R2632A上配置静态NAT使PC3能远程连接到PC2的远程桌面连接R2632A(config)#Ip nat inside source static 配置一对一的静态映射，将所有资源发布出去Int fa1/1 Ip nat insideInt s1/2 Ip nat outside3测试在PC3上远程桌面连接到 ，连接能成功吗？ 如果PC2开放了WWW服务，那么在PC3上能访问到PC2的WWW服务？ 4如果只开放PC2的远程桌面服务，其他端口不开放到Internet，如何设置R2632A(config)#Ip nat inside source static tcp 3389 3389 将的3389端口静态映射到的3389端口5思考：ip nat inside source static 的全局地址更换为,在外网通过地址能访问到计算机吗？实验八：L2TP VPN配置（可选实验）【实验目的】l 远程用户通过L2TP VPN拨入中心访问内部资源l 通过实验掌握L2TP建立隧道原理【实验环境】l 锐捷S3760交换机1台、2632路由器2台、数台计算机l 专用配置电缆一根、直通、交叉网线数根【实验组网图】【实验内容和实现】当前,Internet上有很多远程用户需要连接到中心网络来访问局域网相关资源 (比如学校老师在家里能通过Internet访问到学校课件资源库).为了提高远程连接的安全性，本实验，我们采用L2TP VPN技术实现远程用户对中心资源的访问。为了达到实验模拟真实环境的效果，本实验需要在以上NAT实验的基础上进行。【实验步骤】步骤配置命令命令描述1在以上NAT实验的基础上，在R2632A路由器上完成L2TP服务的配置R2632A(config)#username cisco password 0 cisco建立L2TPVPN拨号用户名和密码Vpdn enable启动L2TP协议vpdn-group l2tp创建L2TP组 Accept-dialin允许拨入Protocol l2tp采用l2tp协议 Virtual-template 1与虚拟模板接口关联Int loopback 0建立逻辑接口，用来被virtual-template 1调用 Ip add Int virtual-template 1建立虚拟模板接口Ip unnumbered loopback 0调用loopback 0地址Peer default ip address pool l2tpip自动给拨号用户分配地址池地址Ppp auth chap采用PPP协商，并采用CHAP认证Ip local pool l2tpip 0建立IP地址池2在PC3计算机上建立L2TP拨号连接，测试L2TP是否配置成功更改XP系统的注册表HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesRasMan Parameters下面建立”ProhibitIPSec”双字节，值 为“1”建立拨号连接1）进入Windows XP 的桌面“网上邻居”右键属性2） 选择“创建一个新的连接”。3） 选择“连接到我工作场所的网络”。4） 选择“虚拟专用网络连接”，单击“下一步”。5） 为连接输入一个名字为“l2tp”，单击“下一步”。6） 选择“不拨此初始连接”，单击“下一步”。7） 输入准备连接的L2TP 服务器的IP 地址“”，单击“下一步”。8） 单击“完成”。进行L2TP拨号连接，输入用户名cisco,密码cisco如果拨号成功，将在PC3系统托盘上创建一个网络连接；也可以用ipconfig /all命令查看是否获得-0中的一个地址，此时，PC3即作为局域网中的一员了。3测试现在在PC3上ping ,测试到网关能否通信； Ping ,测试到PC1能否通信，如果不能通信，应该是什么问题？实验九：访问控制列表配置【实验目的】l 掌握标准访问列表在网络中应用和配置l 掌握扩展访问列表在网络中应用和配置【实验环境】l 锐捷2632路由器2台、S3760交换机1台、数台计算机l 专用配置电缆一根、直通、交叉网线数根【实验组网图】【实验内容和实现】任务一：PC1是公