西安电子科技大学校内生产实习报告

西安电子科技大学西安电子科技大学 20162016 年校内生产实习年校内生产实习 分组数据网络分组数据网络 实习报告实习报告 学院 通信工程学院学院 通信工程学院 班级 班级 姓名 姓名 学号 学号 组号 组号 目录 一 实习目的 3 二 实习设备 3 三 基本原理 3 四 实习内容 7 一 2 个交换机配置 VLAN 7 二 静态路由 10 三 2 个路由器里做 RIP 协议 13 四 2 个路由器里做 OSPF 协议 15 五 单臂路由 17 六 ACL 访问控制列表 20 七 NAT 的访问控制的设置 22 八 GRE 的访问控制的设置 23 九 TELNET 访问控制的设置 25 十 DHCP 访问控制的设置 27 十一 基于 MAC 地址的访问控制的设置 29 十二 SSH 用户的本地认证和授权配置 32 十三 基于 IPSec 访问控制的设置 36 五 经验总结 39 六 心得体会 40 一 实习目的一 实习目的 掌握路由器和交换机的基本原理 掌握目前网络中常用的路由协议 学会使用 Packet tracer 进行网络设置和规划的仿真 学会使用路由器和交换机 二 实习设备二 实习设备 2 台具有 2 个以上 10 100Mbit s 以太网接口的路由器 2 台 H3C 交换机 2 3 台以及 Console 电缆 多条双绞线跳线 三 基本原理三 基本原理 1 1 VLANVLAN VLAN 的中文名称为 虚拟局域网 是一种将在同一个局域网的局域网 计算机从逻辑上划分成一个独立网段 从而实现虚拟工作组的新兴数据交换技 术 VLAN 技术的出现 使得管理员根据实际应用需求 把同一物理局域网内的 不同用户逻辑地划分成不同的广播域 每一个 VLAN 都包含一组有着相同需求的 计算机工作站 与物理上形成的 LAN 有着相同的属性 由于它是从逻辑上划分 而不是从物理上划分 所以同一个 VLAN 内的各个工作站没有限制在同一个物理 范围中 即这些工作站可以在不同物理 LAN 网段 由 VLAN 的特点可知 一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN 中 从而有助于控制流量 减少设备投资 简化网络管理 提高网络的安全性 2 2 静态路由静态路由 静态路由是指由网络管理员手工配置的路由信息 当网络的拓扑结构或链 路的状态发生变化时 网络管理员需要手工去修改路由表中相关的静态路由信 息 一般来说静态路由信息是私有的 不会传递给其他的路由器 当然 网管 员也可以通过对路由器进行设置使之成为共享的 静态路由一般适用于比较简 单的网络环境 在这样的环境中 网络管理员易于清楚地了解网络的拓扑结构 便于设置正确的路由信息 3 3 RIPRIP 协议原理协议原理 路由信息协议 RIP 是一种在网关与主机之间交换路由选择信息的标准 RIP 通过广播 UDP 报文来交换路由信息 每 30 秒发送一次路由信息更新 它提 供跳跃计数 hop count 作为尺度来衡量路由距离 跳跃计数是一个包到达目标 所必须经过的路由器的数目 如果到相同目标有二个不等速或不同带宽的路由 器 但跳跃计数相同 则 RIP 认为两个路由是等距离的 RIP 最多支持的跳数 为 15 即在源和目的网间所要经过的最多路由器的数目为 15 跳数 16 表示不 可达 4 4 OSPFOSPF 协议协议 OSPF Open Shortest Path First 开放式最短路径优先 协议 是目前 网络中应用最广泛的路由协议之一 属于内部网关路由协议 能够适应各种规 模的网络环境 是典型的链路状态 link state 协议 OSPF 路由协议通过向 全网扩散本设备的链路状态信息 使网络中每台设备最终同步一个具有全网链 路状态的数据库 LSDB 然后路由器采用 SPF 算法 以自己为根 计算到达 其他网络的最短路径 最终形成全网路由信息 在大模型的网络环境中 OSPF 支持区域的划分 将网络进行合理规划 划分区域时必须存在 area0 骨干区 域 其他区域和骨干区域直接相连 或通过虚链路的方式连接 5 5 单臂路由单臂路由 单臂路由 router on a stick 是指在路由器的一个接口上通过配置子接口 或 逻辑接口 并不存在真正物理接口 的方式 实现原来相互隔离的不同 VLAN 虚拟局域网 之间的互联互通 所谓子接口 就是在一个物理接口上配置 出来的多个逻辑上的虚接口 这些虚接口共用物理接口的物理层参数 又可以 分别配置各自的链路层和网络层的参数 因为这样的多个虚接口可以对应一个 物理接口 故常被称为 子接口 6 6 ACLACL 访问控制列表访问控制列表 访问控制是网络安全防范和保护的主要策略 它的主要任务是保证网络资 源不被非法使用和访问 它是保证网络安全最重要的核心策略之一 访问控制 涉及的技术也比较广 包括入网访问控制 网络权限控制 目录级控制以及属 性控制等多种手段 访问控制列表 Access Control Lists ACL 是应用在路 由器接口的指令列表 这些指令列表用来告诉路由器哪些数据包可以收 哪些 数据包需要拒绝 至于数据包是被接收还是拒绝 可以由类似于源地址 目的 地址 端口号等的特定指示条件来决定 7 7 MACMAC 地址地址 MAC 地址是网络设备在全球的唯一编号 它也就是我们通常所说的 物理地 址 硬件地址 适配器地址或网卡地址 MAC 地址可用于直接标识某个网络设 备 是目前网络数据交换的基础 现在大多数的高端交换机都可以支持基于 物理端口配置 MAC 地址过滤表 用于限定只有与 MAC 地址过滤表中规定的一些 网络设备有关的数据包才能够使用该端口进行传递 通过 MAC 地址过滤技术可 以保证授权的 MAC 地址才能对网络资源进行访问 基于 MAC 地址访问控制不需 要额外的客户端软件 当一个客户端连接到交换机上会自动地进行认证过程 基于 MAC 地址访问控制功能允许用户配置一张 MAC 地址表 交换机可以通过存 储在交换机内部或者远端认证服务器上面的 MAC 地址列表来控制合法或者非法 的用户问 8 8 NATNAT 技术技术 NAT 技术能帮助解决令人头痛的 IP 地址紧缺的问题 而且能使得内外网络 隔离 提供一定的网络安全保障 它解决问题的办法是 在内部网络中使用内 部地址 通过 NAT 把内部地址翻译成合法的 IP 地址在 Internet 上使用 其具 体的做法是把 IP 包内的地址域用合法的 IP 地址来替换 NAT 设备维护一个状 态表 用来把非法的 IP 地址映射到合法的 IP 地址上去 每个包在 NAT 设备中 都被翻译成正确的 IP 地址 发往下一级 这意味着给处理器带来了一定的负担 但对于一般的网络来说 这种负担是微不足道的 动态地址 NAT 只是转换 IP 地址 它为每一个内部的 IP 地址分配一个临时 的外部 IP 地址 主要应用于拨号 对于频繁的远程联接也可以采用动态 NAT 当远程用户联接上之后 动态地址 NAT 就会分配给他一个 IP 地址 用户断开时 这个 IP 地址就会被释放而留待以后使用 9 9 GREGRE 协议协议 GRE 通用路由封装 协议是对某些网络层协议 如 IP 何 IPX 的数据报文进 行封装 使这些被封装的数据报文能在另一个网络层协议 如 IP 中传输 GRE 的隧道由两端的源 IP 地址和目的 IP 地址来定义 允许用户使用 IP 包封装 IP IPX AppleTalk 包 并支持全部的路由协议 如 RIP2 OSPF 等 通过 GRE 用户可以利用公共 IP 网络连接 IPX 网络 AppleTalk 网络 还可以使用 保留地址进行网络互连 或者对公网隐藏企业网的 IP 地址 Tunnel 是一个虚拟的点对点的连接 提供了一条通路是封装的数据报文能 够在这个通路上传输 并且在一个 Tunnel 中传输必须要经过封装与解封装两个 过程 10 10 TelnetTelnet 协议协议 Telnet 协议是 TCP IP 协议族中的一员 是 Internet 远程登陆服务的标准 协议和主要方式 它为用户提供了在本地计算机上完成远程主机工作的能力 在终端使用者的电脑上使用 telnet 程序 用它连接到服务器 终端使用者可以 在 telnet 程序中输入命令 这些命令会在服务器上运行 就像直接在服务器的 控制台上输入一样 可以在本地就能控制服务器 要开始一个 telnet 会话 必 须输入用户名和密码来登录服务器 Telnet 提供远程登录功能 使得用户在本 地主机上运行 Telnet 客户端 就可登录到远端的 Telnet 服务器 在本地输入 的命令可以在服务器上运行 服务器把结果返回到本地 如同直接在服务器控 制台上操作 这样就可以在本地远程操作和控制服务器 11 11 SSHSSH SSH 是 Secure Shell 安全外壳 的简称 用户通过一个不能保证安全的 网络环境远程登录到设备时 SSH 可以利用加密和强大的认证功能提供安全保 障 保护设备不受诸如 IP 地址欺诈 明文密码截取等攻击 设备支持 SSH 服务 器功能 可以接受多个 SSH 客户端的连接 同时 设备还支持 SSH 客户端功能 允许用户与支持 SSH 服务器功能的设备建立 SSH 连接 从而实现从本地设备通 过 SSH 登录到远程设备上 12 12 IPSecIPSec 协议协议 Internet 协议安全性 IPSec 是一种开放标准的框架结构 通过使用 加密的安全服务以确保在 Internet 协议 IP 网络上进行保密而安全的通讯 AH 和 ESP 协议在操作系统内核模块 用于对 IP 包的过滤 IKE 是运行在外部的 守护程序 PF KEY 实现了外部运行程序与内核间的通信 对于 AH 和 ESP 都 有两种操作模式 隧道模式和传输模式 两种模式的区别是 隧道模式 将整个 IP 分组封装到 AH ESP 中 而传输模式将上层协议 如 TCP 部分封装 到 AH ESP 中 IKE 协议用于协商 AH 和 ESP 协议所使用的密码算法 并将算法 所需的密钥放在合适的位置 13 13 DHCPDHCP 协议协议 DHCP 协议采用客户端 服务器模型 主机地址的动态分配任务由网络主机 驱动 当 DHCP 服务器接收到来自网络主机申请地址的信息时 才会向网络主机 发送相关的地址配置等信息 以实现网络主机地址信息的动态配置 DHCP 具有以下功能 1 保证任何 IP 地址在同一时刻只能由一台 DHCP 客户机所使用 2 DHCP 应当可以给用户分配永久固定的 IP 地址 3 DHCP 应可以同用其他方法获得 IP 地址的主机共存 如手工配置 IP 地址的主机 4 DHCP 服务器应当向现有的 BOOTP 客户端提供服务 四 实习内容四 实习内容 一 一 2 个交个交换换机配置机配置 VLAN 1 1 拓扑图拓扑图 2 2 配置文件 相关命令 配置文件 相关命令 分别对交换机 1 2 进行 VLAN 划分及端口配置 system view System View return to User View with Ctrl Z H3C sysname s1 s1 vlan 31 s1 vlan31 quit s1 vlan 34 s1 vlan34 quit s1 interface GigabitEthernet 1 0 1 s1 GigabitEthernet1 0 1 port link type trunk s1 GigabitEthernet1 0 1 port trunk permit vlan all s1 GigabitEthernet1 0 1 quit s1 interface GigabitEthernet 1 0 2 s1 GigabitEthernet1 0 2 port access vlan 31 s1 GigabitEthernet1 0 2 quit s1 interface GigabitEthernet 1 0 3 s1 GigabitEthernet1 0 3 port access vlan 34 s1 GigabitEthernet1 0 3 quit s1 quit save system view System View return to User View with Ctrl Z H3C sysname s2 s2 vlan 31 s2 vlan31 quit s2 vlan 34 s2 Vlan34 quit s2 interface GigabitEthernet 1 0 1 s2 GigabitEthernet1 0 1 port link type trunk s2 GigabitEthernet1 0 1 port trunk permit vlan all s2 GigabitEthernet1 0 1 quit sh2 interface GigabitEthernet 1 0 2 s2 GigabitEthernet1 0 2 port access vlan 31 sh2 GigabitEthernet1 0 2 quit s2 interface GigabitEthernet 1 0 3 s2 GigabitEthernet1 0 3 port access vlan 34 s2 GigabitEthernet1 0 3 quit s2 quit save 3 3 测试结果测试结果 IP 地址为 192 168 0 65 的主机当处在 VLAN31 中 与同处在 VLAN31 中的 主机 192 168 0 59 可以 ping 通 而当其改换接入端口 处在 VLAN34 中时 则 无法与主机 192 168 0 59 ping 通 二 静 二 静态态路由路由 1 1 拓扑图拓扑图 2 2 配置文件 相关命令 配置文件 相关命令 配置路由器 r1 的 ip 地址 system view H3C sysname r1 r1 interface Ethernet 0 0 r1 Ethernet0 0 ip add 192 168 0 1 255 255 255 0 r1 Ethernet0 0 quit r1 interface Ethernet 0 1 r1 Ethernet0 0 ip add 192 168 1 2 255 255 255 0 r1 Ethernet0 0 quit 配置路由器 r2 的 ip 地址 system view H3C sysname r2 r2 interface Ethernet 0 0 r2 Ethernet0 0 ip add 192 168 1 3 255 255 255 0 r2 Ethernet0 0 quit r2 interface Ethernet 0 1 r2 Ethernet0 0 ip add 192 168 2 1 255 255 255 0 r2 Ethernet0 0 quit 配置静态路由 在 Router 1 上配置静态路由 system view r1 ip route static 192 168 2 0 255 255 255 0 192 168 1 3 r1 quit save 在 Router 2 上配置静态路由 system view r2 ip route static 192 168 0 0 255 255 255 0 192 168 1 2 r2 quit save 3 3 下发结果下发结果 1 1 显示路由器 显示路由器 r1r1 的路由表的路由表 2 2 显示路由器 显示路由器 r2r2 的路由表的路由表 4 4 测试结果测试结果 在 ip 地址为 192 168 2 3 的主机上输入如下命令 结果为两个主机可以 ping 通 三 三 2 个路由器里做个路由器里做 RIP 协议协议 1 1 拓扑图拓扑图 2 2 配置文件配置文件 1 路由器各端口地址配置同 静态路由 2 配置 r1 的 RIP 功能 进入系统视图 启动 RIP 功能 system view r1 rip 在互联网接口上使能 RIP r1 rip 1 network 192 168 1 0 RIP 中发布本地路由网段 r1 rip 1 network 192 168 0 0 r1 rip 1 quit r1 quit save 3 配置 r2 的 RIP 功能 进入系统视图 启动 RIP 功能 system view r2 rip 在互联网接口上使能 RIP r2 rip 1 network 192 168 1 0 RIP 中发布本地路由网段 r2 rip 1 network 192 168 2 0 r2 rip 1 quit r2 quit save 3 3 下发结果下发结果 1 1 显示路由器 显示路由器 r1r1 的路由表的路由表 2 2 显示路由器 显示路由器 r2r2 的路由表的路由表 4 4 测试结果测试结果 在 ip 地址为 192 168 2 3 的主机上输入如下命令 结果为两个主机可以 ping 通 四 四 2 个路由器里做个路由器里做 OSPF 协议协议 1 1 拓扑图拓扑图 2 2 配置文件配置文件 1 配置各接口的 IP 地址 同上 2 配置 r1 在 r1 上启动 OSPF 进程 默认进程 ID 为 1 system view r1 ospf r1 ospf 1 area1 r1 ospf 1 area 0 0 0 1 network 192 168 0 0 0 0 0 255 r1 ospf 1 area 0 0 0 0 network 192 168 1 0 0 0 0 255 r1 ospf 1 area 0 0 0 0 quit 3 配置 r2 在 r2 上启动 OSPF 进程 默认进程 ID 为 1 system view r2 ospf r2 ospf 1 area1 r2 ospf 1 area 0 0 0 1 network 192 168 2 0 0 0 0 255 r2 ospf 1 area 0 0 0 0 network 192 168 1 0 0 0 0 255 r2 ospf 1 area 0 0 0 0 quit 3 3 下发结果下发结果 1 1 查看 查看 r2r2 的的 OSPFOSPF 路由表路由表 4 4 测试结果测试结果 在 ip 地址为 192 168 2 3 的主机上输入如下命令 结果为两个主机可以 ping 通 五 五 单单臂路由臂路由 1 1 拓扑图拓扑图 2 2 配置文件配置文件 对交换机 Switch1 2 分别进行接口配置 sysname s1 vlan 31 quit vlan 34 quit 配置 access 端口 interface Ethernet 1 0 1 port access vlan 31 quit interface Ethernet 1 0 2 port access vlan 34 quit 配置 trunk 端口 interface Ethernet 1 0 3 port link type trunk port trunk permit vlan all quit quit save 对 router1 进行端口配置 interface Ethernet 0 0 1 vlan type dot1q vid 31 ip add 192 168 31 1 24 interface Ethernet 0 0 2 vlan type dot1q vid 34 ip add 192 168 34 1 24 interface Ethernet 0 0 undo shutdown interface Ethernet 0 1 ip add 192 168 59 2 24 quit 设置 rip 路由 rip network 192 168 31 0 network 192 168 34 0 network 192 168 59 0 quit quit save 对 router2 进行端口配置 interface Ethernet 0 0 1 vlan type dot1q vid 31 ip add 192 168 65 1 24 interface Ethernet 0 0 2 vlan type dot1q vid 34 ip add 192 168 60 1 24 interface Ethernet 0 0 undo shutdown interface Ethernet 0 1 ip add 192 168 59 3 24 quit 设置 rip 路由 rip network 192 168 65 0 network 192 168 60 0 network 192 168 59 0 quit quit save 3 3 测试结果测试结果 在 ip 地址为 192 168 65 2 的主机上输入如下命令 结果为两个主机可以 ping 通 ip 为 192 168 60 2 的主机无法与 ip 为 192 168 31 2 的主机 ping 通 同样 ip 为 192 168 65 2 的主机无法与 ip 为 192 168 34 2 的主机 ping 通 六 六 ACL 访问访问控制列表控制列表 1 1 拓扑图拓扑图 2 2 配置文件配置文件 acl number 2100 rule deny ip source 192 168 31 0 0 0 0 255 quit interface Ethernet 0 1 firewall packet filter 2100 inbound quit quit save 3 3 下发结果下发结果 1 1 查看访问控制列表 查看访问控制列表 4 4 测试结果测试结果 七 七 NAT 的的访问访问控制的控制的设设置置 1 1 拓扑图拓扑图 2 2 配置文件配置文件 r1 nat address group 1 192 168 59 5 192 168 59 10 r1 acl number 2723 r1 acl basic 2723 rule permit source 192 168 31 0 0 0 0 255 r1 acl basic 2723 rule deny r1 acl basic 2723 quit r1 interface Ethernet 0 1 r1 Ethernet0 1 nat outbound 2723 address group 1 r1 Ethernet0 1 quit r1 quit save 3 3 测试结果测试结果 1 1 内网能 内网能 pingping 通外网通外网 2 2 外网 外网 pingping 不通内网不通内网 八 八 GRE 的的访问访问控制的控制的设设置置 1 1 拓扑图拓扑图 2 2 配置文件配置文件 r1 interface tunnel 1 r1 Tunnel1 undo shutdown r1 Tunnel1 ip add 192 168 39 1 24 r1 Tunnel1 sourse 192 168 59 2 r1 Tunnel1 destination 192 168 59 3 r1 Tunnel1 quit r1 ip route 192 168 65 0 255 255 255 0 tunnel 1 r1 quit save r2 interface tunnel 1 r2 Tunnel1 undo shutdown r2 Tunnel1 ip add 192 168 39 2 24 r2 Tunnel1 sourse 192 168 59 3 r2 Tunnel1 destination 192 168 59 2 r2 Tunnel1 quit r2 ip route 192 168 31 0 255 255 255 0 tunnel 1 r2 quit save 3 3 下发结果下发结果 1 1 查看隧道状态 查看隧道状态 2 2 显示路由表 显示路由表 4 4 测试结果测试结果 九 九 TELNET 访问访问控制的控制的设设置置 1 1 拓扑图拓扑图 2 2 配置文件配置文件 设置登录用户的认证方式为 Scheme 采用本地认证方式 r1 local user new 设置本地用户的认证方式口令为明文方式 r1 luser new password simple 123456 设置 vty 用户的服务类型为 telnet 服务 r1 luser new service type telnet 设置本地用户的登录级别为 3 r1 luser new authorization attribute level 3 r1 luser new quit 进入 vty 用户界面视图 r1 user interface vty 0 4 r1 ui vty0 4 authentication mode scheme r1 ui vty0 4 quit r1 quit 3 3 测试结果测试结果 利用 dos 命令进行测试 telnet 登录成功 并且可以在主机上利用 dis cur 命 令对路由器 r1 进行配置查看 十 十 DHCP 访问访问控制的控制的设设置置 1 1 拓扑图拓扑图 2 2 配置文件配置文件 r2 dhcp sever forbidden ip 192 168 65 1 r2 dhcp sever forbidden ip 192 168 65 100 创建 DHCP 地址池 r2 dhcp sever ip pool OA 指定可以分配的地址段 r2 dhcp pool oa network 192 168 65 0 mask 255 255 255 0 指定域名 r2 dhcp pool oa domain name 指定 DNS 域名服务器地址 r2 dhcp pool oa dns list 192 168 65 100 指定网关 r2 dhcp pool oa gateway list 192 168 65 1 DHCP 租期时间设置 r2 dhcp pool oa expired day 1 hour 12 r2 dhcp pool oa quit r2 interface Ethernet 0 0 r2 Ethernet0 0 dhcp select sever global pool r2 Ethernet0 0 quit r2 dhcp enable r2 dhcp sever detect 3 3 下发结果下发结果 1 1 查看 查看 DHCPIPDHCPIP 地址分配情况地址分配情况 2 2 从 从 dosdos commandcommand 界面中也可以查看到界面中也可以查看到 DHCPDHCP 已启用 自动分配给主机的已启用 自动分配给主机的 IPIP 地址为 地址为 192 168 65 2192 168 65 2 十一 基于 十一 基于 MAC 地址的地址的访问访问控制的控制的设设置置 1 1 拓扑图拓扑图 2 2 配置文件配置文件 对交换机 S1 进行接口配置 sysname s1 vlan 31 quit vlan 34 quit 配置 access 端口 interface Ethernet 1 0 1 port access vlan 31 quit interface Ethernet 1 0 2 port access vlan 34 quit 配置 trunk 端口 interface Ethernet 1 0 3 port link type trunk port trunk permit vlan all quit quit save 对 router1 进行端口配置 interface Ethernet 0 0 1 vlan type dot1q vid 31 ip add 192 168 31 1 24 interface Ethernet 0 0 2 vlan type dot1q vid 34 ip add 192 168 34 1 24 interface Ethernet 0 0 undo shutdown interface Ethernet 0 1 ip add 192 168 59 2 24 基于 MAC 地址的访问控制的配置 创建二级 acl 访问控制列表 s1 acl number 4023 System View return to User View with Ctr1 Z s1 acl ethernetframe 4023 rule permit source mac 6400 6A03 AE33 ffff ffff ffff s1 acl ethernetframe 4023 rule deny source mac 6400 6A04 5033 ffff ffff ffff s1 acl ethernetframe 4023 quit 对交换机端口进行包过滤配置 s1 interface GigabitEthernet 1 0 1 s1 GigabitEthernet1 0 1 packet filter 4023 inbound s1 GigabitEthernet1 0 1 quit s1 interface GigabitEthernet 1 0 2 s1 GigabitEthernet1 0 2 packet filter 4023 inbound s1 GigabitEthernet1 0 2 quit 3 3 下发结果下发结果 4 4 测试结果测试结果 由于由于 aclacl 访问控制的存在 访问控制的存在 PC1PC1 可以与可以与 PC3pingPC3ping 通 而通 而 PC2PC2 不能与不能与 PC3pingPC3ping 通 通 1 1 PINGPING 通截图通截图 2 2 PingPing 不通截图不通截图 十二 十二 SSH 用用户户的本地的本地认证认证和授和授权权配置配置 1 1 拓扑图拓扑图 2 2 配置文件配置文件 在在 H3CH3C 设备上生成本地设备上生成本地 RSARSA 密钥对密钥对 r1 public key local creat rsa Warning The local key pair already exist Confirm to replace them Y N y The range of public key s1ze is 512 2048 NOTES If the key modulus is greater than 512 It will take a few minutes Press CTR1 C to abort Input the bits of the modulus default 1024 Generating Keys 在 H3C 设备上生成本地 DSA 密钥对 r1 public key local creat dsa Warning The local key pair already exist Confirm to replace them Y N y The range of public key s1ze is 512 2048 NOTES If the key modulus is greater than 512 It will take a few minutes Press CTR1 C to abort Input the bits of the modulus default 1024 Generating Keys r1 user interface vty 0 4 r1 ui vty0 4 authentication mode scheme 设置在用户界面支持 SSH 协议 r1 ui vty0 4 protocol inbound ssh r1 ui vty0 4 quit r1 local user h3c New local user added r1 luser h3c password simple 123456 设置本地用户的服务类型 r1 luser h3c service type ssh r1 luser h3c authorization attribute level 3 r1 luser h3c quit 建立 SSH 用户 并设置 SSH 用户的认证方式 r1 ssh user h3c service type stelnet authentication type password 激活 r1 作为 SSH 的服务器端 r1 ssh server enable Info Enable SSH server r1 quit save 3 3 下发结果下发结果 4 4 测试结果测试结果 利用 putty 软件进行了 SSH 远程登录测试 测试结果如下 1 1 远程链接截图 远程链接截图 2 2 登录成功截图 登录成功截图 十三 基于 十三 基于 IPSec 访问访问控制的控制的设设置置 1 1 拓扑图拓扑图 2 2 配置文件配置文件 配置路由器 r1 r1 acl number 3101 r1 acl adv 3101 rule permit ip source 192 168 31 0 0 0 0 255 destination 192 168 65 0 0 0 0 255 r1 acl adv 3101 quit 配置到 PC2 的静态路由 r1 ip route static 192 168 65 0 24 创建安全提议 r1 ipsec proposal tran1 报文封装形式采用隧道模式 r1 ipsec proposal tranl encapsulation mode tunnel 安全协议采用 ESP 协议 r1 ipsec proposal tranl transform esp 选择算法 r1 ipsec proposal tranl esp encryption algorithm des r1 ipsec proposal tranl esp authentication algorithm sha1 r1 ipsec proposal tranl quit 配置 IKE 对等体 r1 ike peer peer r1 ike peer peer pre shared key abcde r1 ike peer peer remote address 192 168 59 3 r1 ike peer peer quit 创建一条安全策略 r1 ipsec policy mapl 10 isakmp 引用访问控制列表 安全提议 IKE 对等体 r1 ipsec policy isakmp mapl 10 propo