蒋天发 计算机网络管理实验讲义010326.doc

计算机网络管理计算机网络管理 实验讲义实验讲义 中南民族大学网络工程教研室中南民族大学网络工程教研室 中南民族大学网络工程实验室中南民族大学网络工程实验室 2010 年年 3 月月 内内 容容 介介 绍绍 计算机网络管理实验讲义是根据本科计算机网络管理教学大纲要求而编写的 实验学时 24 学 时 其讲义主要介绍交换机和路由器的相关配置管理 性能管理技术 以及网络故障检测与典型网 络管理系统应用内容 同时实验讲义还介绍了无线配置管理功能与防火墙配置管理实验技术的内容 附录给出水晶头的制作方法 光纤的初步认识以便同学查阅 全部实验内容分为基础实验和验证实 验两部分 基础实验部分是针对学生网络技能的基本训练与强化教学的内容 要求学生在课余独立 做完并且熟练掌握 验证实验部分要求在指导老师的教授后 学生分组独立完成的实验内容 基础 实验有 Windows XP 操作系统 IP 地址设置 Ipconfig 实用程序 Ping 实用程序 traceroute 实用程 序 验证实验有 熟悉网络实验设备了解 RCMS 服务器 设备电平测试与口令及权限配置 静态 MAC 地址的配置 交换机端口测试及安全性配置 基于时间的访问控制列表 专家级访问列表 基本的 RIP V2 配置 RIP V2 路由邻居认证 RIP 的定时器配置 RIP 单播路由更新配置 OSPF 单 区域基本配置 OSPF 邻居认证配置 OSPF 邻居明文认证配置 无线网络的安全与加密部署 无 线网络的连接部署 无线网络的桥接模式部署 防火墙的初始配置 防火墙路由模式 防火墙 NAT 功能 防火墙规则功能 计算机网络管理实验讲义由网络工程教研室蒋天发教授与研究生熊祥光编写 全稿由网络工程 教研室主任侯睿组织审查 实验讲义中使用的部分图标 主机 交换机 路由器 百兆双绞线 广域网链路 目目 录录 基础实验部分 1 实验一 WINDOWS XP 操作系统 IP 地址设置 1 实验二 IPCONFIG实用程序 4 实验三 PING实用程序 6 实验四 TRACEROUTE实用程序 10 验证实验部分 11 实验一 熟悉网络实验设备了解 RCMS 服务器 12 实验二 交换机配置管理实验 16 实验 1 设备电平测试与口令及权限配置 16 实验 2 静态 MAC 地址的配置 18 实验 3 交换机端口测试及安全性配置 20 实验三 高级访问列表管理实验 24 实验 1 基于时间的访问控制列表 24 实验 2 专家级访问列表 29 实验四 RIP V2 路由协议管理实验 34 实验 1 基本的 RIP V2 配置 34 实验 2 RIP V2 路由邻居认证 40 实验 3 RIP 的定时器配置 49 实验 4 RIP 单播路由更新配置 56 实验五 OSPF 路由协议管理实验 62 实验 1 OSPF 单区域基本配置 62 实验 2 OSPF 邻居认证配置 65 实验 3 OSPF 邻居明文认证配置 70 实验六 无线网络部署管理实验 74 实验 1 无线网络的安全 加密部署 74 实验 2 无线网络的连接部署 78 实验 3 无线网络的桥接模式部署 81 实验七 防火墙配置管理实验 86 实验 1 防火墙的初始配置 86 实验 2 防火墙路由模式 104 实验 3 防火墙 NAT 功能 114 实验 4 防火墙规则功能 119 附录一 双绞线的认识和 RJ 45 接头的制作 125 附录二 认识光纤 129 1 基础实验部分基础实验部分 基础实验部分是针对学生网络技能的基本训练与强化的内容 要求学生在课余独立做完并掌 握 基础实验有 Windows XP 操作系统 IP 地址设置 Ipconfig 实用程序 Ping 实用程序 traceroute 实用程序 实验一 Windows XP 操作系统 IP 地址设置 实验目的实验目的 掌握 Windows XP 中 TCP IP 协议的设置 实验设备实验设备 运行 Windows XP 操作系统的电脑一台 实验步骤实验步骤 1 在桌面上用鼠标右键点击 网上邻居 用鼠标左键选择 属性 2 鼠标右键点击 本地连接 选择 属性 选项 2 3 鼠标双击 Internet 协议 TCP IP 或选中 Internet 协议 TCP IP 点 属性 4 打开 Internet 协议 TCP IP 属性 页面 选中 IP 网络配置为 使用下面的 IP 地址 和 使 用下面的 DNS 服务器地址 就可以修改 IP 地址 子网掩码 默认网关 DNS 服务器等信息 设定完毕点击 确认 按钮 3 5 回到 本地连接属性 页面 点击 确认 按钮完成 IP 地址设置 4 实验二 Ipconfig 实用程序 实验目的实验目的 学会使用 ipconfig 实用程序了解本的 PC 当前的网络配置状态 实验设备实验设备 运行 Windows XP 操作系 PC 一台并与局域网相连 实验步骤实验步骤 1 熟习 ipconfig 命令 在命令提示符界面执行 ipconfig 命令 可以显示本机当前 TCP IP 网络配置值 Ipconfig 命令参数的含义如下 1 Ipconfig all 显示所以适配器的完整 TCP IP 配置信息 若没有该参数只显示 IP 地址 子网掩码 和各个适配器的默认网关值 2 Ipconfig renew 更新所有适配器的 DHCP 参数 该参数只有在具有配置为自动获取 IP 地 址的网卡的计算机上可用 3 Ipconfig release 发送 DHCPrelease 消息到 DHCP 服务器 以释放所有适配器的当前 DHCP 配置并丢弃 IP 地址配置 2 使用 ipconfig 命令 1 显示适配器的基本 TCP IP 配置 开始 运行 cmd ipconfig 显示结果如下 2 显示适配器的完整 TCP IP 配置 开始 运行 cmd ipconfig all 显示结果如下 5 小提示 在小提示 在 IpconfigIpconfig 命令下显示出来的命令下显示出来的 IPIP 地址才是机器的真正的地址才是机器的真正的 IPIP 地址 在实验一中设置的地址 在实验一中设置的 IPIP 不一定成功 所以设置完不一定成功 所以设置完 IPIP 地址一定要用此地址一定要用此 命令检查适配器配置信息 以确认命令检查适配器配置信息 以确认 IPIP 配置准确 配置准确 6 实验三 Ping 实用程序 实验目的实验目的 掌握如何使用 ping 实用程序来检测网络的连通性 可达性和处理名称解析问 实验设备实验设备 运行 Windows XP 操作系统的 PC 一台并与局域网相连 实验步骤实验步骤 1 熟习 ping 命令 Ping 实用程序是分组网间探测 Packet Inter Net Groper 的缩写 通过发送方向接收方发 送互联网控制报文协议 ICMP 回显 echo 请求消息 接收方将对该回显进行自动回显应答 来 验证两台支持 TCP IP 协议的计算机之间的 IP 层连接 并在发送方将回显应答消息的接收情况与往 返过程的次数一起显示出来 语法 ping t a n count l size f i TTL v TOS r count s count j host list k host list w timeout target name 下面解释命令中的包括的参数 t 有这个参数时 当你 ping 一个主机时系统就不停的运行 ping 这个命令 直到你按下 Control C a 解析主机的 NETBIOS 主机名 如果你想知道你所 ping 的要机计算机名则要加上这个参 数了 一般是在运用 ping 命令后的第一行就显示出来 n count 定义用来测试所发出的测试包的个数 缺省值为 4 通过这个命令可以自己定义发 送的个数 对衡量网络速度很有帮助 比如我想测试发送 20 个数据包的返回的平均时间为多少 最快时间为多少 最慢时间为多少就可以通过执行带有这个参数的命令获知 l length 定义所发送缓冲区的数据包的大小 在默认的情况下 windows 的 ping 发送的数据 包大小为 32byt 也可以自己定义 但有一个限制 就是最大只能发送 65500byt 超过这个数时 对方就很有可能因接收的数据包太大而死机 所以微软公司为了解决这一安全漏洞于是限制了 ping 的数据包大小 f 在数据包中发送 不要分段 标志 一般你所发送的数据包都会通过路由分段再发送给 对方 加上此参数以后路由就不会再分段处理 i ttl 指定 TTL 值在对方的系统里停留的时间 此参数同样是帮助你检查网络运转情况的 v tos 将 服务类型 字段设置为 tos 指定的值 r count 在 记录路由 字段中记录传出和返回数据包的路由 一般情况下你发送的数据 包是通过一个个路由才到达对方的 但到底是经过了哪些路由呢 通过此参数就可以设定你想探测 经过的路由的个数 不过限制在了 9 个 也就是说你只能跟踪到 9 个路由 s count 指定 count 指定的跃点数的时间戳 此参数和 r 差不多 只是这个参数不记录 7 数据包返回所经过的路由 最多也只记录 4 个 j host list 利用 computer list 指定的计算机列表路由数据包 连续计算机可以被中间网 关分隔 IP 允许的最大数量为 9 k host list 利用 computer list 指定的计算机列表路由数据包 连续计算机不能被中间 网关分隔 IP 允许的最大数量为 9 w timeout 指定超时间隔 单位为毫秒 2 使用 ping 命令 1 测试目的主机的可达性 执行 ping 以及加参数的各种结果 C Documents and Settings longer LONG ping 210 42 159 4 Pinging 210 42 159 4 with 32 bytes of data Reply from 210 42 159 4 bytes 32 time 9ms TTL 61 Reply from 210 42 159 4 bytes 32 time 2ms TTL 61 Reply from 210 42 159 4 bytes 32 time 1ms TTL 61 Reply from 210 42 159 4 bytes 32 timeping 210 42 159 4 t Pinging 210 42 159 4 with 32 bytes of data Reply from 210 42 159 4 bytes 32 time 1ms TTL 61 Reply from 210 42 159 4 bytes 32 time 1ms TTL 61 Reply from 210 42 159 4 bytes 32 time 1ms TTL 61 Reply from 210 42 159 4 bytes 32 time 1ms TTL 61 Reply from 210 42 159 4 bytes 32 time 1ms TTL 61 Reply from 210 42 159 4 bytes 32 timeping 210 42 144 120 Pinging 210 42 144 120 with 32 bytes of data Destination host unreachable Destination host unreachable Destination host unreachable Destination host unreachable Ping statistics for 210 42 144 120 Packets Sent 4 Received 0 Lost 4 100 loss 解释 Destination host unreachable 意思为目的主机不可达 意思是不能和对方主机使用 ping 通讯 Ping statistics for 210 42 144 120 Packets Sent 4 Received 0 Lost 4 100 loss C Documents and Settings longer LONG ping Pinging 59 68 63 66 with 32 bytes of data Reply from 59 68 63 66 bytes 32 time 3ms TTL 125 Reply from 59 68 63 66 bytes 32 time 1ms TTL 125 Reply from 59 68 63 66 bytes 32 time 1ms TTL 125 Reply from 59 68 63 66 bytes 32 timeping l 256 210 42 151 1 Pinging 210 42 151 1 with 256 bytes of data Reply from 210 42 151 1 bytes 256 time 1ms TTL 64 Reply from 210 42 151 1 bytes 256 time 2ms TTL 64 Reply from 210 42 151 1 bytes 256 time 1ms TTL 64 Reply from 210 42 151 1 bytes 256 timetracert 59 68 63 66 Tracing route to 59 68 63 66 over a maximum of 30 hops 1 1 ms 7 ms 16 ms 210 42 151 1 2 17 ms 16 ms 17 ms 192 168 12 1 3 4 ms 1 ms 1 ms 192 168 12 90 4 1 ms 1 ms 特权模式 用户模式进入的下一级模式 该模式下可以对设备的配置文件进行管理 查看设备 的配置信息 进行网络的测试和调试等 特权模式提示符为 主机名 全局配置模式 属于特权模式的下一级模式 该模式下可以配置设备的全局性参数 如主机名 登陆信息等 在该模式下可以进入下一级的配置模式 对设备的具体功能进行配置 全局配置模 式提示符为 主机名 config 端口模式 属于全局模式的下一级模式 该模式下可以对设备的端口进行参数配置 端口模 式提示符为 主机名 config if 几种模式的变换 几种模式的变换 从用户模式进入到特权模式 主机名 enable 交换机有级别问题 学生使用 14 级密码 被占用情况 15 返回用户模式 主机 disable 或 end 或 exit 从特权模式进入到全局配置模式 主机名 configure terminal 主机名 config 返回特权模式 主机名 config disable 或 end 或 exit end 直接返回到特权模式 exit 返回上一 级模式 EXIT 命令是退回到上一级操作模式 END 命令是指用户从特权模式以下级别直接返回到特权 模式 密码问题 所有的密码为密码问题 所有的密码为 starstar 为了大家实验方便请大家设置密码时注意 不管什么密码都设置为为了大家实验方便请大家设置密码时注意 不管什么密码都设置为 starstar 实验练习实验练习 依次进入 D1 D4 四台路由器 D5 D8 四台交换机 分别进入和退出路由器和交换机的各种模式 实验二 交换机测试及配置管理实验 实验 1 设备电平测试与口令及权限配置 实验名称实验名称 设备电平测试与口令及权限配置 实验目的实验目的 掌握测试设备 Cat 5 Cat 5E 线缆的信号电平和如何设置交换机的口令及权限 背景描述背景描述 1 测试设备 Cat 5 Cat 5E 线缆的信号电平 信号电平就是指电路中两点或几点在相同阻抗下电量的相对比值 这里的电平指 电功率 电压 电流 并将倍数化为对数 用 分贝 表示 记作 dB 电平对网络的传输有很大的影 响 包括误码率 传输距离等参数都有直接的影响 如双绞线传输 2 公里 1V 的 p p 信号衰减到 了 25 V 即电平为 28dB 已经可以和电路噪声电平接近了 仅用末端补充 信噪比会严重变坏 出路只能提高前端电平 这就是目前双绞线传输必须采用 前推后拉 技术方案的原因 要求前后 设备的补充提升总能力必须大于 92dB 实际应该做到 100dB 2 设置交换机的口令及权限 某公司有一名专职网络管理员 由于网络管理任务较重 因此他向公司经理请求在公司内给 他找一名非专职的网络管理助手 协助进行一些管理工作 从网络管理的安全性方面考虑 他决定 16 授予该助手一定的操作权限 比如在交换机上执行 configure 命令 但不是全部权限 现在需要在 交换机上做适当的配置 本实验以一台 S2126G 交换机为例 交换机名为 SwitchA 实现功能实现功能 1 测试设备测试设备 Cat 5 Cat 5E 线缆的信号电平线缆的信号电平 提升设备总能力 减少电平对网络的传输的影响 2 设置交换机的口令及权限设置交换机的口令及权限 通过设置不同的用户级别和权限来实现网络管理的灵活性和安全 性 实验拓扑实验拓扑 SwitchA PC Com Console 实验设备实验设备 1 测试设备测试设备 Cat 5 Cat 5E 线缆信号电平线缆信号电平 分布式网络测试仪 1 台或万用表 1 块 交换机 2 台 路由器 2 台 标准直通网线 数根 2 设置交换机的口令及权限设置交换机的口令及权限 S2126G 1 台 实验步骤实验步骤 1 1 测试设备测试设备 Cat 5 Cat 5E 线缆的信号电平 线缆的信号电平 第一步 将第一步 将测试仪与一台交换机连接好 并将计算机连接到交换机设备上 第二步 第二步 通过测试仪测 或用尺量 出待测双绞线的长度 第三步 第三步 通过测试仪测 或用万用表量 双绞线的电阻 第四步 第四步 通过测试仪测 或用万用表量 双绞线的电平 第五步 第五步 观察测试结果 2 2 设置交换机的口令及权限 设置交换机的口令及权限 第一步 在交换机上配置用户级别和口令第一步 在交换机上配置用户级别和口令 SwitchA enable secret level 10 0 star 设置用户级别 10 及其口令 star 0 表示加密类型为 明文输入形式 验证测试 验证用户级别和口令验证测试 验证用户级别和口令 SwitchA show privilege 查看当前的用户级别 Current privilege level is 1 当前的用户级别是 1 SwitchA enable 10 切换到用户级别 10 当从低级别切换到高级别时需输入口令 17 SwitchA show privilege 查看当前的用户级别 Current privilege level is 10 SwitchA disable 返回到以前的级别 第二步 给配置的用户级别进行命令授权第二步 给配置的用户级别进行命令授权 Switch config privilege exec level 10 configure 将特权模式下的 configure 命令授予 10 级 验证测试 验证命令授权验证测试 验证命令授权 SwitchA configure 在级别 10 下执行命令 configure 显示可以执行此命令 Enter configuration commands one per line End with CNTL Z SwitchA config 显示可以执行此命令 注意事项注意事项 1 用户级别范围是 0 15 级 级别 0 是权限最低的级别 只能执行 disable enable exit help 和 logout 命令 第 1 级是缺省的用户级别 第 15 级缺省是拥有全部的权限的特权级别 2 可以将一些较高级别的命令的权限授予一些较低的级别 就像创建一个 guest 用户一样 该用户只有少量的可执行的命令 3 可以授权的命令模式包括 configure 全局配置模式 exec 特权模式 interface 接口配置模 式 4 重设configure 命令的缺省权限用 Switch config privilege exec reset configure 5 即使加密类型为明文输入形式 在保存时仍自动转换为密文保存 参考配置参考配置 SwitchA show running config building configuration Current configuration 297 bytes version 1 0 hostname SwitchA privilege exec level 10 configure enable secret level 1 5 2u C t38U0H Y enable secret level 10 5 2n tj93jo 7R 4kE 1u Ql 8U0ping 192 168 0 138 验证这台 PC 机可以通过 fastethernet 0 1 端口访问交换机 现在拔下网线 将另一台计算机连接到交换机的 fastethernet 0 1 端口上 C ping 192 168 0 138 验证这台 PC 机不能通过 fastethernet 0 1 端口访问交换机 注意事项注意事项 1 安全地址设置是可选的 2 如果交换机端口所连接的计算机网卡或 IP 地址发生改变 则必须在交换机上做相应的改变 23 参考配置参考配置 SwitchA show running config Building configuration Current configuration 381 bytes version 1 0 hostname SwitchA enable secret level 1 5 2dfimLM3 bcknAx4zyglowNQaeh IO enable secret level 15 5 2lowNq 3h IOrJ4imLMp KQknAxB interface fastEthernet 0 1 switchport port security switchport port security mac address 00e0 9823 9526 ip address 192 168 0 137 interface vlan 1 no shutdown ip address 192 168 0 138 255 255 255 0 End 24 实验三 高级访问列表 实验 1 基于时间的访问控制列表 实验名称实验名称 基于时间的访问控制列表 实验目的实验目的 掌握基于时间段进行控制的 IP 访问列表配置 背景描述背景描述 你是某公司网管 为了保证公司上班时间的工作效率 公司要求上班时间只可以访问公司的内 部网站 下班以后员工可以随意放松 访问网络不受限制 本实验以 1 台 1762 路由器为例 PC 机的 IP 地址和缺省网关分别为 172 16 1 1 24 和 172 16 1 2 24 服务器 Server 的 IP 地址和缺省网关分别为 160 16 1 1 24 和 160 16 1 2 24 路由 器的接口 F1 0 和 F1 1 的 IP 地址分别为 172 16 1 2 24 和 160 16 1 2 24 技术原理技术原理 基于时间的访问列表是指在标准或扩展的访问列表的基础上增加时间段的应用规则 Time range 时间段分为两种 绝对性时间段和周期性时间段 在周期时间段里有一些常见参数 weekdays 表示每周的工作日 周一至周五 weekend 表示 周末 周六和周日 daily 表示每天 实现功能实现功能 基于时间对网络访问进行控制 提高网络的使用效率和安全性 实验设备实验设备 R1762 路由器 1 台 直连线或交叉线 2 条 实验拓扑实验拓扑 PC Server Router F 1 1 F 1 0 2 1 172 16 1 0 24160 16 1 0 24 实验步骤实验步骤 第一步 基本配置 第一步 基本配置 Router configure terminal Router config interface fastethernet 1 0 Router config if ip address 172 16 1 1 255 255 255 0 25 Router config if no shutdown Router config if exit Router config interface fastethernet 1 1 Router config if ip address 160 16 1 2 255 255 255 0 Router config if no shutdown Router config if exit Router config 验证配置 查看路由器接口的状态 验证配置 查看路由器接口的状态 Router show ip interface brief Interface IP Address Pri OK Status serial 1 2 no address YES DOWN serial 1 3 no address YES DOWN FastEthernet 1 0 172 16 1 1 24 YES UP FastEthernet 1 1 160 16 1 2 24 YES UP Null 0 no address YES UP 第二步 配置路由器的时钟 第二步 配置路由器的时钟 Router show clock 查看路由器当前时钟 clock 1987 1 16 5 19 9 Router clock set 16 03 40 27 april 2006 4 27 重设路由器当前时钟和实际时钟同步 Router show clock clock 2006 4 27 16 04 9 第三步 定义时间段 第三步 定义时间段 Router config time range freetime Router config time range absolute start 8 00 1 jan 2006 end 18 00 30 dec 2010 定义绝对时间段 Router config time range periodic daily 0 00 to 9 00 定义周期性时间段 Router config time range periodic daily 17 00 to 23 59 定义周期性时间段 验证配置 查看时间段配置 验证配置 查看时间段配置 Router show time range time range entry freetime inactive absolute start 08 00 01 January 2006 end 18 00 30 December 2010 periodic Daily 0 00 to 9 00 periodic Daily 17 00 to 23 59 第四步 定义访问控制列表规则 第四步 定义访问控制列表规则 Router config access list 100 permit ip any host 160 16 1 1 定义扩 26 展访问控制列表 允许访问主机 160 16 1 1 Router config access list 100 permit ip any any time range freetime 关联 time range 接口 t1 允许在规定时间段访问任何网络 注 访问控制列表的隐含规则是拒绝所有数据包 注 访问控制列表的隐含规则是拒绝所有数据包 验证配置 查看访问控制列表配置 验证配置 查看访问控制列表配置 Router show access lists Extended IP access list 100 includes 2 items permit ip any host 160 16 1 1 permit ip any any time range freetime active 第五步 将访问列表规则应用在接口上 第五步 将访问列表规则应用在接口上 Router config interface fastethernet 1 0 Router config if ip access group 100 in 在 F1 0 接口上进行入栈应用 验证配置 查看验证配置 查看 F1 0 接口上应用的规则 接口上应用的规则 Router show ip interface fastethernet 1 0 FastEthernet 1 0 IP interface state is UP IP interface type is BROADCAST IP interface MTU is 1500 IP address is 172 16 1 1 24 primary IP address negotiate is OFF Forward direct boardcast is ON ICMP mask reply is ON Send ICMP redirect is ON Send ICMP unreachabled is ON DHCP relay is OFF Fast switch is ON Route horizontal split is ON Help address is 0 0 0 0 Proxy ARP is ON Outgoing access list is not set Inbound access list is 100 第六步 验证测试 第六步 验证测试 在服务器主机上配置 Web 服务器 服务器 IP 地址为 160 16 1 1 详见选修实验内容 27 1 验证在工作时间的服务器的访问 更改路由器的当前时间为上班时间 PC 机可以访问 160 16 1 1 的 Web 服务 更改服务器的 IP 地址为 160 16 1 5 PC 机无法访问 Web 服务 2 验证在非工作时间的服务器的访问 更改路由器的当前时间为下班时间 PC 机可以访问 160 16 1 1 的 Web 服务 更改服务器的 IP 地址为 160 16 1 5 PC 机同样可以访问 Web 服务 注意事项注意事项 1 在定义时间接口前须先校正路由器系统时钟 2 Time range 接口上允许配置多条 periodic 规则 周期时间段 在 ACL 进行匹配时 只要能 匹配任一条 periodic 规则即认为匹配成功 而不是要求必须同时匹配多条 periodic 规则 3 设置 periodic 规则时可以按以下日期段进行设置 day of the week 星期几 Weekdays 工作日 Weekdays 周末 即周六和周日 Daily 每天 4 Time range 接口上只允许配置一条 absolute 规则 绝对时间段 5 Time range 允许 absolute 规则与 periodic 规则共存 此时 ACL 必须首先匹配 absolute 规则 然后再匹配 periodic 规则 参考配置参考配置 Router show running config Building configuration Current configuration 925 bytes version 8 32 building 53 time range freetime absolute start 8 00 1 January 2006 end 18 00 30 December 2010 periodic Daily 0 00 to 9 00 periodic Daily 17 00 to 23 59 access list 100 permit ip any host 160 16 1 1 access list 100 permit ip any any time range freetime interface serial 1 2 clock rate 64000 interface serial 1 3 28 clock rate 64000 interface FastEthernet 1 0 ip access group 100 in ip address 172 16 1 1 255 255 255 0 duplex auto speed auto interface FastEthernet 1 1 duplex auto speed auto interface Null 0 line con 0 line aux 0 line vty 0 login password 7 08103b1400 line vty 1 login password 7 04240c072c line vty 2 login password 7 1559192000 line vty 3 login password 7 0133574225 line vty 4 login password 7 1316064b1f end 29 实验 2 专家级访问列表 实验名称实验名称 专家级访问列表 实验目的实验目的 掌握锐捷网络的专家级访问列表的规则及配置 背景描述背景描述 出于安全考虑 某企业网络管理员需要按物理地址及网络地址禁止某些主机访问某服务器 但 允许其它主机访问 现在需要在交换机上做相应配置 本实验以 1 台 S2126G 交换机和 1 台 R2624 路由器为例 PC1 和 PC2 的 IP 地址分别为 172 16 1 1 24 和 172 16 1 3 24 缺省网关为 172 16 1 2 24 服务器 Server 的 IP 地址和缺省网关分 别为 160 16 1 1 24 和 160 16 1 2 24 路由器的接口 F0 和 F1 的 IP 地址分别为 172 16 1 2 24 和 160 16 1 2 24 实现功能实现功能 基于物理地址和网络地址及可选的协议端口对网络访问进行控制 提高网络的安全性 实验拓扑实验拓扑 Switch PC1 Server Router F0 1F1F0 2F0 2 2 1 172 16 1 0 24 160 16 1 0 24 1 F0 3 3 PC2 实验设备实验设备 S2126G 1 台 R2624 1 台 实验步骤实验步骤 第一步 在交换机上定义专家级访问列表第一步 在交换机上定义专家级访问列表 Switch config expert access list extended e1 定义专家级访问列表e1 Switch config ext nacl deny ip host 172 16 1 1 host 00e0 9823 9526 host 160 16 1 1 any 禁 止IP地址和MAC地址为172 16 1 1 和00e0 9823 9526 的主机访问IP地址为160 16 1 1 的主机 Switch config ext nacl permit any any any any 验证测试 验证访问列表配置验证测试 验证访问列表配置 Switch show access lists e1 显示专家级访问列表e1 30 Expert access list e1 deny ip host 172 16 1 1 host 00e0 9823 9526 host 160 16 1 1 any permit ip any any any any 或 Switch show running config 此处只列出相应配置 expert access list extended e1 deny ip host 172 16 1 1 host 00e0 9823 9526 host 160 16 1 1 any permit ip any any any any 第二步 在接口上应用专家级访问列表第二步 在接口上应用专家级访问列表 Switch config interface fastethernet 0 1 进入接口F0 1配置模式 Switch config if expert access group e1 in 在接口F0 1的入方向上应用专家级访问列表e1 验证测试 验证接口上应用的访问列表验证测试 验证接口上应用的访问列表 Switch show access group Interface inbound access list outbound access list Fa0 1 e1 第三步 测试访问列表的效果第三步 测试访问列表的效果 C ping 160 16 1 1 验证 PC1 不能访问服务器 160 16 1 1 C ping 172 16 1 3 验证 PC1 能访问 PC2 172 16 1 3 31 C ping 160 16 1 1 验证 PC2 能访问服务器 160 16 1 1 注意事项注意事项 1 专家级访问列表用于过滤二层和三层 四层数据流 2 专家级访问列表可以使用源MAC地址 目的MAC地址 以太网类型 源IP 目的IP 及可 选的协议类型信息作为匹配的条件 参考配置参考配置 Switch show running config 显示交换机的全部配置显示交换机的全部配置 Building configuration Current configuration 437 bytes version 1 0 hostname SwitchA enable secret level 1 5 28cgkE 3m dhl 4Paein Q bfjo enable secret level 15 5 2tZ V 3 S W 41X sv Q Y T7 expert access list extended e1 deny ip host 172 16 1 1 host 00e0 9823 9526 host 160 16 1 1 any permit ip any any any any 32 interface fastEthernet 0 1 expert access group e1 in interface vlan 1 no shutdown ip address 172 16 1 10 255 255 255 0 end Router show running config 显示路由器的全部配置显示路由器的全部配置 Current configuration Last configuration change at 16 04 56 UTC Wed Nov 3 2004 NVRAM config last updated at 16 05 13 UTC Wed Nov 3 2004 version 6 14 2 hostname Router enable secret 5 1 EN5L wwHurnJ 4ZePTv7sUoAVP1 ip subnet zero interface FastEthernet0 ip address 172 16 1 2 255 255 255 0 interface FastEthernet1 ip address 160 16 1 2 255 255 255 0 interface FastEthernet2 no ip address shutdown interface FastEthernet3 no ip address 33 shutdown interface Serial0 no ip address interface Serial1 no ip address voice port 0 voice port 1 voice port 2 voice port 3 ip classless line con 0 line 1 8 line aux 0 line vty 0 4 password star login end 34 实验四 RIP V2 路由协议 实验 1 基本的 RIP V2 配置 实验名称实验名称 基本的 RIP V2 配置 实验目的实验目的 掌握在路由器和三层交换机上配置 RIP V2 背景描述背景描述 假设校园网通过一台路由器连接到校园外的另一台路由器上 现要在路由器上做适当配置 实 现校园网内部主机与校园网外部主机的相互通信 本实验以 2 台 R2624 路由器为例 路由器分别命名为 Router1 和 Router2 路由器之间通过串 口连接 采用 V35 DCE DTE 电缆 将电缆的 DCE 端连接到 Router1 的串口 Serial 0 上 PC1 的 IP 地址和缺省网关分别为 172 16 1 11 和 172 16 1 1 PC2 的 IP 地址和缺省网关分别为 172 16 3 22 和 172 16 3 2 网络掩码都是 255 255 255 0 实现功能实现功能 实现校园内外网络的互连互通 从而实现信息的共享和传递 实验拓扑实验拓扑 Router1PC1PC2Router2 172 16 1 0 24172 16 2 0 24172 16 3 0 24 11 1 1 2 2 22 F0 F0 S0 S0 实验设备实验设备 35 R2624 2 台 V35DCE 1 根 V35DTE 1 根 实验步骤实验步骤 第一步 在路由器第一步 在路由器 Router1 上配置接口的上配置接口的 IP 地址和串口上的时钟频率地址和串口上的时钟频率 Router1 config interface fastethernet 0 进入接口 F0 的配置模式 Router1 config if ip address 172 16 1 1 255 255 255 0 配置路由器接口 F0 的 IP 地址 Router1 config if no shutdown 开启路由器 fastethernet0 接口 Router1 config interface serial 0 进入接口 S0 配置模式 Router1 config if ip address 172 16 2 1 255 255 255 0 配置路由器接口 S0 的 IP 地址 Router1 config if clock rate 64000 配置 Router1 的时钟频率 DCE Router1 config if no shutdown 开启路由器 serial 0 接口 验证测试 验证路由器接口的配置验证测试 验证路由器接口的配置 Router1 show ip interface brief Interface IP Address OK Method Status Protocol FastEthernet0 172 16 1 1 YES manual up up FastEthernet1 unass