实验三 Internet接入.doc

实验三 Internet接入【实验目的】通过本实验初步掌握Internet接入的组网方法、基本配置和操作技能，掌握组建Internet接入网的应用，包括如下几个方面： 掌握VLAN接入的基本组网方法。 掌握VLAN接入认证的基本配置方法。 掌握采用PVLAN实现用户隔离的基本配置方法。 了解认证服务器的管理方法。 掌握窄带和宽带拨号接入网络的实现方法。实验前学生应具备以下知识： 了解交换机的工作原理和组网特点。 了解交换机的安装和配置。 了解VLAN的原理、划分方法和应用特点。 了解电话和ADSL拨号网络的原理和特点。实验过程中，部分实验内容需要与相邻的同学配合完成。此外，学生需要将实验的结果记录下来，并回答相关思考题，填写到实验报告中。【实验类型】综合型实验【实验环境】实验设备：华为S2403H两台、S3050、S3526E、S8505各一台；PBX两台，电话MODEM 6台，R2631一台；DSLAM MA5105一台，ADSL MODEM 6台，MA5200一台。实验组成：每四台PC为一组，占用交换机的四个端口，其中一个端口专用做管理接口，剩余的三个端口用于VLAN接入实验；每组电话MODEM和ADSL MODEM各一个。实验网络结构图参见实验内容。【实验内容】以下实验内容可根据实验室的具体情况和课时安排的变化进行适当的调整，实验内容中的思考题以书面形式解答并附在实验报告的后面。需要注意的是，学生在实验过程中要严格按实验指导书的操作步骤和要求操作，且小组成员应紧密配合，以保证实验过程能够顺利完成。本次实验的主要项目包括以下几个方面 ： Web接入认证 配置PVLAN； 配置802.1x接入认证； 电话拨号接入； ADSL拨号接入。具体的实验内容和步骤如下：一、社区宽带接入实验实验环境模拟一个宽带社区接入网络，网络结构如图1，设备组成有：华为S2403H两台、S3050、S3526E、S8505各一台；MA5200一台。其中S2403H和S3050为模拟建筑物内连接家庭用户的交换机，S3526E用于VLAN透传，MA5200用于Web认证和802.1x认证。经过认证的计算机可以通过MA5200接入S8505代表的运营商网络。图1 社区宽带接入图2 社区宽带接入模拟的实验室布局实验参数规划表设备端口连接设备VLANMA5200F1DSLAM2PPPoE认证3Web认证4802.1X认证S2403H-A1-16PC机每个PC一个VLAN25S3526VLAN 100S30501-16PC机每个PC一个VLAN25S3526VLAN 200S2403H-B1-16PC机每个PC一个VLAN25S3526VLAN 300S352648DSLAMTRUNK1S2403HVLAN 22S3050VLAN 33S2403HVLAN 41实验准备依次对S2403H和S3050进行网络初始化配置，这一部分操作由指导教师和实验员预先进行设置。管理ip分别为51、52、53。 通过console接口配置管理VLAN和管理地址 system-view#进入系统视图；Quidwayinterface vlan-interface 1#建立vlan接口1；Quidway-Vlan-interface1ip address 51 #设置该接口vlan的IP地址；注：Quidway系列二层以太网交换机只能有一个管理VLAN接口。配置可以通过Telnet登录到以太网交换机Quidway local-user huawei#设置一个用户名；Quidway-huawei password simple huawei#设置一个明文密码；Quidway-huawei service-type telnet level 3#设置telnet的级别；Quidway user-interface vty 04#设置5个用户可以同时telnet；Quidway-ui-vty0 authentication-mode scheme #设置验证方式为用户名和密码；配置S3526E配置连接下级交换的S3526E端口分别为VLAN 2、VLAN 3和VLAN 4，配置向上级联的端口为Trunk端口。Quidwayvlan 2Quidway- vlan2port ethernet0/21Quidway- vlan2quitQuidwayvlan 3Quidway- vlan3 port ethernet0/22Quidway- vlan3quitQuidwayvlan 4Quidway- vlan4 port ethernet0/23Quidway- vlan4quitQuidway interface ethernet0/24 #进入24端口；Quidway-Ethernet0/24 port link-type trunk #将此接口类型设置为trunk；Quidway-Ethernet0/24 port trunk permit vlan 2 to 4#此端口只允许vlan 2通过；配置MA5200接入认证配置MA5200接入认证的基本方法和步骤如图32，详细配置方法参见附录。配置用户计算机配置用户计算机本地连接的“TCP/IP属性”为“自动获得IP地址”2Web认证接入S3526E上联到MA5200的端口改为ethernet0/3，即Web认证端口。在命令行模式下，用ipconfig/all查看自己的IP地址，并记录下自己的IP地址和MAC地址。然后ping相邻计算机的IP 地址和S8505的ip地址。【思考题】ping相邻计算机和S8505的IP 地址结果有何不同？为什么？打开IE浏览器，在地址栏输入，进入登录页面，输入用户名webuserhhh，密码123456，然后再次ping相邻计算机和S8505的IP 地址。【思考题】与Web认证之前对比，ping相邻计算机和S8505的IP 地址结果有何不同？为什么？3PVLANPVLAN即指isolate-user-vlan，采用二层VLAN技术，是华为公司系列以太网交换机的一个新特性。它的功能是在小区接入中，通过将用户划入不同的VLAN，实现用户之间二层报文的隔离。isolate-user-vlan采用二层VLAN的结构，在一台以太网交换机上存在isolate-user-vlan（Primary VLAN）和Secondary VLAN。一个isolate-user-vlan和多个Secondary VLAN对应，isolate-user-vlan包含所对应的所有Secondary VLAN中包含的端口和上行端口，这样对上层交换机来说，只须识别下层交换机中的isolate-user-vlan，而不必关心isolate-user-vlan中包含的Secondary VLAN，简化了配置，节省了VLAN资源。用户可以采用isolate-user-vlan实现二层报文的隔离，为每个用户分配一个Secondary VLAN，每个VLAN中只包含该用户连接的端口和上行端口；如果希望实现用户之间二层报文的互通，可以将用户连接的端口划入同一个Secondary VLAN中。实验步骤如下：将每组中的三个用户端口配置成各自独立的VLAN，将上联端口配置为Primary VLAN，然后建立Primary VLAN和Secondary VLAN之间的映射。配置isolate-user-vlan。Quidway vlan 100Quidway-vlan100isolate-user-vlan enableQuidway-vlan100port ethernet 0/25配置Secondary VLAN。Quidway vlan 101Quidway-vlan101port ethernet 0/1Quidway-vlan101 quitQuidway vlan 102Quidway-vlan102port ethernet 0/2Quidway-vlan102 quitQuidway vlan 116Quidway-vlan116port ethernet 0/16Quidway-vlan116 quit配置isolate-user-vlan和Secondary VLAN间的映射关系。Quidwayisolate-user-vlan 100 secondary 102 to 116注：配置端口之前，查看本组计算机的MAC地址与端口号的对应关系。查看本机的IP地址，ping相邻计算机的IP 地址。采用Web认证接入后，再ping相邻计算机的IP 地址。【思考题】在Web认证接入之前，在同一子网的相邻计算机能否ping通？为什么？4802.1x认证将S3526E上联到MA5200的端口改为ethernet0/4，即802.1x认证端口。将用户计算机的本地连接先禁用再启用，等待一会儿，查看并记录本机的IP地址，相邻计算机用ping测试通连。【思考题】相邻计算机属于同一个子网吗？能够ping通吗？为什么安装802.1X认证客户端程序，安装过程如下： 选择安装目录为D:802.1XClient。 点击“下一步”，进入安装过程。 安装完成后，在提示窗口中选择“Cancel”，即不重新启动。 运行802.1X认证客户端程序，第一次运行要求配置要采用802.1X认证的网卡。 在登录界面，输入用户名testhhh，密码123456。802.1X认证通过前后，测试与同一子网的相邻计算机的通连。【思考题】在802.1X认证接入之前和之后，在同一子网的相邻计算机能否ping通？为什么？二、拨号接入拨号接入实验包括ADSL虚拟拨号接入和电话拨号接入两个部分，每组学生可使用电话MODEM和ADSL MODEM各一个。实验室中电话和ADSL接入分布如图。1ADSL虚拟拨号接入该实验模拟ADSL PPPoE虚拟拨号接入Internet，网络连接结构如图。 学生计算机断开连接交换机的网线，连接ADSL MODEM，连接方法如图。 如果是Windows XP系统，启动一个新建连接向导，选择“连接到Internet”。 然后选择“手动配置我的连接”。 选择“用要求用户名和密码的宽带连接来连接”。 然后为该连接命名。 输入该连接所使用的用户名adsladslpppoe和密码123456。创建好的连接在桌面上建立快捷方式，就可使用了。对于Windows 2000系统，必须安装PPPoE虚拟拨号软件（如EnterNet300），配置方法同上。双击ADSL连接，启动登录界面，点击“连接”。 建立连接后，检查本机的IP地址，并测试与8505及其它PC的通连。2电话拨号接入整个实验环境由8505、2631、PBX、MODEM以及PC组成。每台PC可以构成一个拨号单元来进行拨号实验。但是由于在2631上只是一块6口听接口卡，所以每次同时只能够有6名同学同时拨号上线。学生分组分别进行拨号验证来完成这个拨号实验。在学生PC上安装MODEM及其驱动程序。然后，启动“新建连接向导”，选择“连接到Internet”。 选择“手动设置我的连接”。 选择“用拨号调制解调器连接”。 为该连接命名。 输入该连接使用的电话号码。 创建好该拨号连接后，双击该连接的快捷方式，在登录界面中输入用户名test和密码test。建立连接后，检查本机的IP地址，并测试与8505及其它PC的通连。【附录】一、MA5200F配置1Web认证配置IP地址池创建名为huawei地址池MA5200Fip pool huawei local#建立一个名为huawei的地址池；配置huawei地址池的网关为，掩码为。MA5200F-ip-pool-huaweigateway #设置地址池的网关；配置地址段0，地址范围为00。MA5200F-ip-pool-huaweisection 0 00#设置地址段的范围；配置认证方案进入AAA配置模式MA5200Faaa#进入AAA认证模式；创建一个名字为auth1的认证方案：MA5200F-aaaauthentication-scheme auth1#建立名为auth1的认证方案；设置认证方案“auth1”为RADIUS认证：MA5200F-aaa-authen-auth1authentication-mode radius#设置认证模式为radius；配置计费方案创建一个名字为acct1的计费方案：MA5200F-aaaaccounting-scheme acct1#建立名为acct1的计费方案；设置计费方案“acct1”为radius计费：MA5200F-aaa-accounting-acct1accounting-mode radius#设置认证模式为radius；查看名为acct1已配置的计费策略：MA5200F-aaadisplay accounting-scheme acct1#查看acct1的计费策略；配置web认证服务器：MA5200Fweb-auth-server key huawei#配置web认证服务器地址及密钥；配置认证前的域：MA5200F-aaadomin default 0#设置一个域名为default0；MA5200F-aaa-domin-default-0 ip pool first huawei#该域使用名为huawei的IP地址池；MA5200F-aaa-domin-default-0 ucl-group 1#设置域的ucl组号；MA5200F-aaa-domin-default-0 web-authentication-server #web验证服务器地址；配置认证时的域：MA5200F-aaadomin isp#设置一个名为ISP的域；MA5200F-aaa-domin-isp ip pool first huawei #该域使用名为huawei的地址池；MA5200F-aaa-domin-isp authentication-scheme auth1 #使用名为auth1的认证方案；MA5200F-aaa-domin-isp accounting-scheme acc1 #使用名为acc1的计费方案；MA5200F-aaa-domin-isp radius-server group huawei#建立一个名为huawei的radius组；MA5200F-aaa-domin-isp display domin isp#查看ISP域的信息；配置ACL策略MA5200F acl number 101 match-order auto#建立一个101的访问控制列表；MA5200F-acl-adv-101 rule user-net permit ip source 1 destination 0 #允许ucl组号为1的地址访问该目的地址；MA5200F-acl-adv-101 rule user-net permit ip source 0 destination 1#允许该源泉地址访问ucl组号为1的地址；MA5200F-acl-adv-101 rule user-net permit ip source 1 destination 8 0MA5200F-acl-adv-101 rule user-net permit ip source 8 0 destination 1MA5200F-acl-adv-101 rule user-net deny ip source 1#禁止其它IP访问ucl组号为1的地址；MA5200F access-group 101#应用101的访问控制列表；配置端口VLANMA5200F portvlan Ethernet 1 vlan 2#设置端口1里面的VLAN2用户；MA5200F-ethernet1-1-vlan2-2 access-type layer2-subscriber #设置接入类型为二层普通接入；MA5200F-ethernet1-1-vlan2-2 default-domin authentication force isp #配置认证域，并强制使用该域的策略；MA5200F-ethernet1-1-vlan2-2 authentication-mode web #验证模式为web；添加本地用户帐号MA5200F local-aaa-server#进入本地认证服务；MA5200F-local-aaa-server user huaweiisp password 123#添加用户名及密码；配置上行口IP地址MA5200F portvlan Ethernet 1 vlan 0#设置端口1里面的VLAN0用户；MA5200F-ethernet1-1-vlan0-0 access-type interface #设置非管理接入类型；MA5200F interface Ethernet1.0 #创建并进入子接口；MA5200F-ethernet1.0 ip adderss #设置IP地址；配置路由MA5200F ip route 7 #设置静态路由；内置web服务器的配置MA5200Fweb-server#创建web服务器；MA5200F-web-serverdirectory flash:/webfile/chn#设置路径；MA5200F-web-serverdefault-page /index.html #选择使用web界面；1） web页面所在的路由必须是绝对路径。2）内置web server的文件更新后需要使用refresh page命令更新web页面。2802.1X认证配置802.1X模板接口创建模板为2的802.1X模板。MA5200Fdot1x-template 2配置打开系统的触发802.1X认证开关。MA5200Fdot1x authentication trigger配置IP地址池创建名为huawei地址池MA5200Fip pool huawei local配置huawei地址池的网关为，掩码为。MA5200F-ip-pool-huaweigateway 配置地址段0，地址范围为00。MA5200F-ip-pool-huaweisection 0 00配置认证方案进入AAA配置模式MA5200Faaa创建一个名字为auth1的认证方案：MA5200F-aaaauthentication-scheme auth1设置认证方案“auth1”为RADIUS认证：MA5200F-aaa-authen-auth1authentication-mode radius配置计费方案创建一个名字为acct1的计费方案：MA5200F-aaaaccounting-scheme acct1设置计费方案“acct1”为radius计费：MA5200F-aaa-accounting-acct1accounting-mode radius查看名为acct1已配置的计费策略：MA5200F-aaadisplay accounting-scheme acct1配置RADIUS创建名为“huawei”的RADIUS配置项MA5200Fradius-server group huawei设置主RADIUS认证服务器的IP地址为09 ，认证端口号为1812；设置备RADIUS认证服务器的IP地址为10，认证端口号为1645。MA5200F-radius-huaweiradius-server authentication 09 1812MA5200F-radius-huaweiradius-server authentication 10 1645 secondary设置主RADIUS计费服务器的IP地址为11 ，计费端口号为1813；设置备RADIUS计费服务器的IP地址为12，计费端口号为1646。MA5200F-radius-huaweiradius-server accounting 11 1813MA5200F-radius-huaweiradius-server accounting 12 1646 secondary设共享密钥为“hello”。MA5200F-radius-huaweiradius-server key hello设置名RADIUS服务器类型为“iphotel”：MA5200F-radius-huaweiradius-server type iphotel设置需RADIUS服务器认证的用户名不带域名。MA5200F-radius-huaweiundo radius-server user-name domain-included配置以太口1下VLAN2的NAS-PORT-TYPE为sdsl：MA5200F-ethernet-1-vlan2-2nas-port-type sdsl配置域新建一个名为isp的域:MA5200F-aaadomain isp将名字为huawei的地址池配置为新域的第一地址池MA5200F-aaa-domain-ispip-pool first huawei设置名为auth1认证方案为isp域内的认证方案：MA5200F-aaa-domain-ispauthentication-scheme auth1设置名为acct1计费方案为isp域内的计费方案：MA5200F-aaa-domain-ispaccounting-scheme acct1设置当前域的 radius 服务器为 huawei：MA5200F-aaa-domain-ispradius-server group huawei设置在域isp中绑定802.1X模板2，命令如下：MA5200F-aaa-domain-ispdot1x-template 2查看当前域的详细设置。MA5200F-aaa-domain-ispdisplay domain isp配置端口VLAN设置以太网接口1，VLAN 2下的用户为二层普通用户接入类型。MA5200Fportvlan ethernet 1 vlan 2MA5200F-ethernet1-1-vlan2-2access-type layer2-subscriber设置后认证域为isp并强制使用该域的策略。MA5200F-ethernet1-1-vlan2-2default-domain authentication force isp设置认证方式为802.1X认证和Web认证。MA5200F-ethernet1-1-vlan2-2authentication-method dot1x web配置上行口IP地址配置端口1下VLAN0的接入类型为非管理类型。MA5200Fportvlan ethernet 1 vlan 0MA5200F-ethernet1-1-vlan0-0access-type interface创建VLAN子接口：MA5200Finterface Ethernet 1.0配置VLAN子接口IP地址MA5200F-Ethernet1.0ip address 配置路由配置系统缺省路由。MA5200Fip route-static 0 7 preference 1003PPPoE配置配置虚模板接口创建虚模板1MA5200Finterface Virtual-Template 1配置虚模板认证方式为CHAP认证MA5200F-Virtual-Template1ppp authentication-mode chap设置以太网接口1绑定虚模板1MA5200F-Ethernet1pppoe-server bind virtual-template 1配置IP地址池创建名为huawei地址池MA5200Fip pool huawei local配置huawei地址池的网关为，掩码为。MA5200F-ip-pool-huaweigateway 配置地址段0，地址范围为00。MA5200F-ip-pool-huaweisection 0 00配置认证方案进入AAA配置模式MA5200Faaa创建一个名字为auth1的认证方案：MA5200F-aaaauthentication-scheme auth1设置认证方案“auth1”为RADIUS认证：MA5200F-aaa-authen-auth1authentication-mode local配置计费方案创建一个名字为acct1的计费方案：MA5200F-aaaaccounting-scheme acct1设置计费方案“acct1”为radius计费：MA5200F-aaa-accounting-acct1accounting-mode local查看名为acct1已配置的计费策略：MA5200F-aaadisplay accounting-scheme acct1配置域新建一个名为isp的域:MA5200F-aaadomain isp将名字为huawei的地址池配置为新域的第一地址池MA5200F-aaa-domain-ispip-pool first huawei设置名为auth1认证方案为ISP域内的认证方案：MA5200F-aaa-domain-ispauthentication-scheme auth1设置名为acct1计费方案为ISP域内的计费方案：MA5200F-aaa-domain-ispaccounting-scheme acct1查看当前域的详细设置。MA5200F-aaa-domain-ispdisplay domain isp配置端口VLAN设置以太网接口1，VLAN 2下的用户为二层普通用户接入类型。MA5200Fportvlan ethernet 1 vlan 2MA5200F-ethernet1-1-vlan2-2access-type layer2-subscriber设置后认证域为isp并强制使用该域的策略。MA5200F-ethernet1-1-vlan2-2default-domain authentication force isp设置认证方式为PPPoE认证。MA5200F-ethernet1-1-vlan2-2authentication-method pppoe配置上行口IP地址配置端口1下VLAN0的接入类型为非管理类型。MA5200Fportvlan ethernet 1 0MA5200F-ethernet1-1-vlan0-0access-type interface创建VLAN子接口：MA5200Finterface Ethernet 1.0配置VLAN子接口IP地址MA5200F-Ethernet1.0ip address 配置路由配置系统缺省路由。MA5200Fip route-static 0 7 preference 100二、MA5105配置1.配置端口工作模式MA5105(config-LAN-0/0)#port mode tagged,untagged:taggednegotiate,non-negotiate:negotiate Set successfully. 2. 配置管理VLANMA5105(config-LAN-0/0)#vlan 2 Add VLAN successfully, VLANID = 2 3. 配置业务VLANMA5105(config-LAN-0/0)#vlan 18 Add VLAN successfully, VLANID = 184.配置下级级联的MA5105层数MA5105(config-LAN-0/0)#cascadeforward,number:number0-3:1 Set cascading number successfully.5.设置需要转发的下层设备VLAN ID范围MA5105(config-LAN-0/0)#cascadeforward,number:forwardvlan,all:vlan1-4095:101-4095:25 Set 16 cascading VLAN successfully.6.设置流量模板MA5105(config)#traffic64-65536:40864-20:5 Adjust average bandwith to 4096. Add traffic item successfully, TID = 5. 7.建立ADSL到业务VLAN的PVCMA5105(config)#pvcadsl,shdsl,lan:lan(0)/(0):0/0untagged,tagged:tagged1-4095:181483b,ipoa:1483b0-7:3adsl,shdsl,lan:adsl(0)/(1-2)/(1-16):0/1/70-127:132-127:35on,off;onon,off;on1-20:51-20:5 Add PVC successfully, CID = 17.8.设置业