企业网远程接入技术计算机通信专业VIP

1、企业网远程接入技术企业网远程接入技术 摘要 作为企业网络平台的一种有效的延伸，远程访问接入技术一直在我们的网络应用中扮演着非常重要的角色。它克服了局域网络技术在覆盖范围和接入形式上的局限性，使网络用户在局域网络范围之外也能够方便地随时访问企业的网络平台。顾名思义，远程访问技术首先解决的问题就是地域的局限。用户不再需要处于企业局域网络平台覆盖范围之内，通过局域网接入方式来访问企业网络应用服务。此外，远程访问技术解决的另一个问题是灵活性，不论用户身在何处在家中，或在另一个城市出差，都能够利用远程访问技术接入到企业内部网络平台。 本文是对一企业网络所做的设计规划方案，本文首先分析了企业远程技术的应用

2、于前景提出的背景和VPN技术的实现。在用Dynamips软件PacketTracer5等软件进行局域网于广域网的设计连接配置。 以满足当今企业网的需求和发展。关键字 企业网 VPN 远程接入AbstractAs an effective enterprise networking platform extension, remote access, access to technology has been applied in our network play a very important role. It overcomes the local area network technol

3、ogy in the form of coverage and access limitations, so that users outside the local area network can easily access the corporate network platform at any time. As the name suggests, remote access technology to solve the first problem is that geographical limitations. Users no longer need in a corpora

4、te local area network platform within the scope of coverage, through the LAN access methods to access the corporate network applications. In addition, the remote access technology to solve another problem is the flexibility, no matter where you are - at home, or traveling in another city, are able t

5、o use remote access technology, access to the corporate internal network platform.This article is made on a corporate network design and planning programs, this paper first analyzes the business outlook for long-range technology used in the background and VPN technology implementation.PacketTracer5

6、using Dynamips software, such as software design of the LAN on the WAN connection configuration. In order to meet the needs of todays enterprise networks and development.Keywords: Enterprise Network，VPN，Remote Access目 录企业网接入技术中文摘要1企业网接入技术英文摘要2目录3企业网远程接入技术1目 录3前言41.需求分析5（1） VPN技术提出的背景5（2） VPN技术的实现6（3

7、） VPN技术特点6(4) VPN技术当前需求82设计内容9(1) Cisco相关软件介绍（dynamips和 secure CRT packet trace5.0）软件的介绍9(2)准备内容10(3) 配置路由协议14A)静态路由协议14B)动态路由协议14(4)在packet tracer5.0下做vlan trunk 实验和vlan之间通信实验17VLAN 实验之VLAN 间通信 （单臂路由）17（5）访问控制列表（ACL）19（6） 网络地址转换20A）NAT介绍20B）配置NAT21（7）VPN技术23总 结26致 谢27参考文献28 前言 随着计算机网络的不断发展，以及企业信息化进

8、程的加速，大部分的政府、企事业单位内部的网络系统，实现了办公自动化，日常工作也渐渐以往的文书往来向网络办公发展，大家已经越来越离不开计算机网络。目前主流的内部网络组网方式较为统一，内部有私有地址部署，内网出口由防火墙或路由器做NAT地址转换，在IPS提供的线路帮助下，从而实现企业内部网络与INTERNET的互联。这种网组方式可以大量节约IP地址资源，降低联网成本，同时也能够有效保护企业内部网络上各自然信息的安全。随着企业业务的不断扩展，越来越多的工作需要在企业之外完成，比如在外地出差或者用户上门服务或者在家办公时。这时，我们需要一种能方便而有安全的联入企业内部网络，从而使用网络中的各种信息和资

9、源，让我们的工作方式更加灵活和有效。传统的解决方法是在企业内部建立远程访问服务器，远程用户通过电话线路等远程拨号到远程服务器，这种方法速度较慢成本较高。而VPN技术就弥补了这些的不足，它利用廉价的INTERNET或者其他公共网络传输数据，在网络出口处提供服务，有需要的客户端通过TINTERNET连入VPN服务器，在服务器的帮助下获得一个事先划分好的内网IP地址。此时，客户端就虚拟联入了企业内部局域网，可以获得各种内网资源。为了实现VPN技术，我们需要在虚拟软件上进行设计和配置。对于dynamips和ecure CRT packet trace5.0软件的介绍和用这些软件进行设计和配置。 1.需

10、求分析（1） VPN技术提出的背景 VPN是虚拟专用网的简称，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet Service Provider 服务提供商）和其它NSP（NetworkService provider网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的物理链路资源动态组成的。 IETF 组织对基于IP 的VPN 解释为：通过专门的隧道加密技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途

11、数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。早期的虚拟专用网一般指的是电信运营商提供的Frame Relay或ATM 等虚拟固定线路（PVC）服务的网络，或通过运营商的DDN 专线网络构建用户自己虚拟专用网。 现在的VPN 是在Internet 上临时建立的安全专用虚拟网络，用户节省了租用专线的费用，同时除了购买VPN 设备或VPN软件产品外，企业所付出的仅仅是向企业所在地的ISP 支付一定的上网费用，对于不同地区的客户联系也节省了长途电话费。这就是VPN 价格低廉的原因。 以OSI 模型参照标准，不同的VPN 技

12、术可以在不同的OSI 协议层实现。 PPTP（点到点隧道协议）是由PPTP论坛开发的点到点的安全隧道协议，为使用电话上网的用户提供安全VPN业务，1996 年成为IETF草案。PPTP是PPP 协议的一种扩展，提供了在IP 网上建立多协议的安全VPN 的通信方式，远端用户能够通过任何支持PPTP 的ISP 访问企业的专用网络。 PPTP 提供PPTP 客户机和PPTP服务器之间的保密通信。PPTP 客户机是指运行该协议的PC 机，PPTP 服务器是指运行该协议的服务器。通过PPTP，客户可以采用拨号方式接入公共的IP 网。拨号客户首先按常规方式拨号到ISP的接入服务器，建立 PPP 连接；在此

13、基础上，客户进行二次拨号建立到PPTP 服务器的连接，该连接称为PPTP隧道。PPTP隧道实质上是基于IP协议的另一个PPP连接，其中IP包可以封装多种协议数据，包括TCPIP、IPX和NetBEUI。对于直接连接到IP网的客户则不需要第一次的PPP拨号连接，可以直接与PPTP服务器建立虚拟通路。 PPTP 的最大优势是Microsoft 公司的支持，另外一个优势是它支持流量控制，可保证客户机与服务器间不拥塞，改善通信性能，最大限度地减少包丢失和重发现象。PPTP 把建立隧道的主动权交给了客户，但客户需要在其PC 机上配置PPTP，这样做既会增加用户的工作量，又会造成网络的安全隐患。另外，PP

14、TP 仅工作于IP，不具有隧道终点的验证功能，需要依赖用户的验证。 （2） VPN技术的实现 VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议为连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。我们可以把VPN理解成为是建立在实际网络（或物理网络）基础上的一种功能性网络。它利用低成本的公共网络做为企业骨干网，同时又克服了公共网络缺乏保密性

15、的弱点，在VPN网络中，位于公共网络两端的网络在公共网络上传输信息时，其信息都是经过安全处理的，可以保证数据的完整性、真实性和私有性。每家公司都有自己的内部网络，而这个网络是封闭的、有边界的。小一些的网络可能仅由办公室中的几台电脑组成，规模较大的网络可能由一栋建筑物中的所有终端组成甚至整个厂区中的所有终端组成，但无论如何，这个内部网络总是有边界的，所以物理上将上海总部的内网与北京分部的内网直接相连在一般条件下是不可能实现的，而这一问题同时也限制了企业内部各种应用的延伸。我们知道，网络通信是采用分层机制实现的，上层的各种应用无法查觉到下层网络的工作方式，所以无论是逻辑上还是物理上只要将两个网络进

16、行直接连连，对于上层应用来讲是没有分别的。VPN所实现的效果正是将两个物理上分离的网络通过Internet这个公共网络进行逻辑上的直接连接，通过这种方式我们可以无限延伸企业的内部网络，继而使所有用户可以访问相同的资源，使用相同的应用。（3） VPN技术特点 GRE的隧道由两端的源IP地址和目的IP地址来定义，允许用户使用IP包封装IP、IPX和AppleTalk包，并支持各种路由协议，如路由信息协议RIPv2、最短开通道优先(OSPF)等。 GRE协议提出的比较早，实现简单，目前比较成熟。 MPLS协议 MPLS协议是在IP路由和控制协议的基础上，提供面向连接的交换。MPLS是一种完备的网络技

17、术，实际上也是一种隧道技术，用它来建立VPN隧道十分容易，并且能够进行服务等级划分，保证服务质量，有效地利用网络的资源。 根据提供商边界(PE)设备是否参与客户的路由，MPLSVPN可以分为第三层VPN(Layer3MPLSVPN)和第二层VPN(Laye2MPLSVPN)两种。 Layer3MPLSVPN Layer3MPLSVPN是一种基于路由方式的MPLSVPN解决方案，ITEFRFC2547中对这种VPN技术进行了描述。Layer3MPLSVPN也被称作BGP/MPLSVPN，其利用标签分发协议(LDP)在MPLS上进行路由，保证每个VPN都有一套单独的地址和路由转发信息(VRF)。

18、1)用户边界(CE) CE设备通过连接至一个或多个PE路由器的数据链路为用户提供接入。CE设备可以是一台主机或二层交换机，通常情况下，CE设备是一台IP路由器，它与直连的PE路由器建立邻接关系。建立邻接关系后，CE路由器将站点的本地路由广播给PE路由器，并从该PE路由器学习到远端VPN路由。 2)提供商边界(PE) PE路由器使用静态路由、RIPv2、OSPF或外部边界网关(EBGP)与CE路由器交换路由信息。每个PE路由器为和它直联的站点维持一个VRF，并且只需要维护与其直联的VPN的VRF，每个用户链接(如FRPVC、ATMPVC或虚拟局域网(VLAN)被映射至一个特定的VRF，这种设计使

19、其具备了两个基本特征： a)支持地址重叠：多个VPN可以使用相同的地址空间： b)支持重叠VPN：一个站点可以同时属于多个VPN。 在从CE路由器学习到本地VPN路由后，PE路由器使用IBGP与其他PE路由器交换路由信息。为了避免维护全网状的BGP会话，可以采用路由反射器(RR)技术。 3)提供商(P)路由器 P路由器是提供商网络中不连接任何CE设备的路由器。数据在MPLS骨干网中被转发时使用了两层标记堆栈，P路由器只需维护到达PE路由器的路由，并不需要为每个用户站点维护特定的VPN路由信息。 Layer2MPLSVPN Layer2MPLSVPN的PE设备和CE设备之间没有路由交换，运营商仅

20、向客户提供基于二层的网络功能。(4) VPN技术当前需求 目前，电信运营商“全业务”竞争的态势已经展开，新的业务和服务层出不穷，对“业务核心”的BOSS系统提出了更高、更强的要求，向新一代的BOSS系统发展成为电信运营商决胜市场的关键。 然而，由于传统的组网技术在远程访问和安全方面的局限性，难以满足数据业务高速发展以及“三网合一”趋势的需要，这已经成为BOSS系统发展的障碍，因此，改造现有的系统势在必行。那么，应该如何进行改造？采用何种技术呢？ BOSS：期待新发展 随着我国电信市场竞争格局的形成，以及进入WTO带来的市场开放的挑战，竞争的焦点从资源竞争逐渐转向了以加强IT技术建设为标志的质量

21、竞争，市场和业务的竞争成为运营商成败的关键。BOSS系统由于能全面提升企业运营效率、降低成本、增强企业核心竞争力及管理决策的科学性、及时性等，使得电信运营商纷纷构建自身的运营支撑体系，以期在市场竞争中取得优势。 而经过几年的发展，如今BOSS的功能已由“业务支撑”向“业务核心”转变，不再局限于业务提供、计费等后台支撑作用，而成为了创造营收的核心动力。无疑，对于电信运营商来说，完善的BOSS是为客户提供优质服务、从而在激烈竞争中立于不败之地的有力武器，同时也是加强管理、使运营商不断发展的工具。 与此同时，随着电信网络和技术的演变，目前出现了各种各样的融合，对电信业提出新的挑战。其中影响最深的就是

22、核心网络的IP化以及业务的多样化。而从业务观点看，网络业务和应用日益多媒体化。IP技术是基于一个开放的基础，所以其应用的日新月异也使新业务的推出更加容易。 此外，当今的电信业的竞争不只是在电信运营企业之间的进行，而是整条产业链的竞争。电信运营商企业网的外延也不断扩大，其用户不仅是企业内部的管理者和员工，也包括了企业外部的合作伙伴，甚至包括企业的客户，如供应链管理系统、人力资源外包、客户服务系统和企业电子商务系统。 然而，所有这些全新的变化要求我国的电信企业必须寻求更加先进的BOSS系统。新一代的BOSS系统必须在更高层次上能够融合支持布线、无线、ISP、Cable等多种业务，能够支持新业务的快

23、速部署；能够支持运营商在竞争中为了吸引客户和挽留客户所需要的折扣、交叉优惠等手段；能够给客户提供满意的信息查询、投诉、缴费等全业务支持能力，同时降低运营商的经营成本。 2设计内容(1) Cisco相关软件介绍（dynamips和 secure CRT packet trace5.0）软件的介绍 dynamips是一个软件，用于模拟Cisco路由器的硬件环境。根我们玩的模拟器游戏道理差不多，因为游戏机里面用的游戏软件，必需运行于一个专门的硬件平台，所以要在PC上运行这些游戏软件，就要为这些游戏软件提供的一个运行平台。PC的硬件的游戏机的不一样所以，所以只能在PC上运行模拟软件，再加载游戏的ROM

24、，再提供一些IO功能，比如使用键盘/鼠标来控制游戏，模拟器上可能会有一些相关的配置文件和管理。Dynamips就是这个模拟软件，Cisco的IOS就是我们的“游戏软件”或者说是ROM。ynamips是一款模拟路由器功能的软件。gns3是一款基于dynamips软件开发的。卸载gns3，重装dynagen可执行程序（C:Dynamipsbin）Dynamips文档结构：images（ios映像文件c3640-jk9o3s-mz.123-10.bin）net文件（制作相关的网络拓扑结构）top文件（网络拓扑图）vpcs（虚拟主机）tmp 临时文件目录，其中会有idlepc数据库。 Dynagen是

25、一款基于字符界面的、使用Python开发的Dynamips管理前端，也就是说可以通过它更好地使用Dynamips。Dynagen通过更友好的操作简化了Dynamips的配置和网络拓朴的实现。Dynamips所支持的路由器型号及网络模块 1700 3600（3620 3640 3660） 2600 7200 等 。操作步骤：Cisco路由器模拟软件，支持17xx、26xx、36xx、7200等Cisco路由器系列。Dynamips 是Cisco 路由模拟器,作者为法国人Chris 可以运行在linux,mac,win 上。Dynamips 支持Cisco 7200 (NPE-100 to NPE

26、-400) , Cisco 3600 (3620, 3640 and 3660)。Cisco 2691 Cisco 3725 - Cisco 3745 ; CISCO 的7206VXR NPE-200 (256 Mb of DRAM)目前无法模拟CRT是很好用的telnet软件。这是一个终端仿真程序，是连接远程运行 unix 和vms 系统主机的理想选择。它支持 vt100, vt102,vt220和 ansi 终端仿真，包含基于文件的脚本，简单易用的工具条Packet Tracer 是由Cisco公司发布的一个辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环

27、境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况Dynagen软件所包含的文件如下图：(2)准备内容 TOP图：命令： 查看接口状态及IP配置命令：show ip int br（特权模式）查看录路由表：show ip route（特权模式）查看当前配置：show running-config（特权模式）禁用路由功能：no ip routing（全局模式）启用路由功能：ip routing（全局模式）Dynagen是一款基于字符界面的、使用Python开发的Dynamips管理前端，也就是说可以通过它更好地使用Dyna

28、mips。Dynagen通过更友好的操作简化了Dynamips的配置和网络拓朴的实现。Dynamips所支持的路由器型号及网络模块 1700 3600（3620 3640 3660） 2600 7200 等 。操作步骤：1. 在c盘下卸载gns3，再重装dynagen可执行程序（Dynamipsbin），scurecrt winpcap。2. 运行dynamips后台服务器程序（点击 dynamips server）3. 运行dynagen前端管理工具4. 运行net文件 5. 通过scure CRT 登陆路由器控制台（直接在dynagen 下 telnet R1/R2）6在不同的拓扑图中，在

29、运用dynamips会修改一些地方。点开net文件中对应的文件，用记事本方式打开，修改路由器的值和接口，特别注意接口的对应和控制端口号的不一样。若开启了以太网接口则去掉#，反之。若要添加路由器也是如此，注意接口和端口号还有连接的是虚拟机。最后要保存。autostart = falseLocalhostport = 7200udp = 10000workingdir = D:dynamipstmp3640 image = D:dynamipsimagesc3640-jk9o3s-mz.123-10.BIN ram = 128 mmap = true confreg = 0x2102 # slot

30、0 = # slot1 = # slot2 = # slot3 = Router R1 model = 3640 console = 3001 e0/0 =NIO_gen_eth:DeviceNPF_33BD9290-7C07-4BA7-9B75-3A06338E6BF3 # connect to MS LoopBack Driver e0/1 = NIO_udp:30000:127.0.0.1:20000 # connect to VPC 1 Router R2 model = 3640 console = 3002 s2/1 = R1 s1/2 s2/3 = R3 s3/2 E0/1 =

31、NIO_udp:30001:127.0.0.1:20001 # connect to VPC 2 Router R3 model = 3640 console = 3003 e0/1 = NIO_udp:30002:127.0.0.1:20002 # connect to VPC 3 对于路由器进行修改后还要注意虚拟主机的修改。一般该软件默认为两个虚拟主机。若要添加点击DynamipsVPCSstartup,用记事本方式打开。再依次添加虚拟主机的ip地址，默认网关。修改之后在保存。 1ip 172.16.10.1 172.16.10.254 242ip 172.16.20.1 172.16.2

32、0.254 243ip 172.16.30.1 172.16.30.254 247.查看：当上述操作完成后，点击net文件，用list命令，查看当前环境的路由表。此时可以使用Start命令使用指定的路由器，首次，启东时，会出现starting R1 with no idle-pc value的警告，idle-pc可以减缓CPU的利用率。选择带有*的推荐值，当选择了一个较好的idlepc值后，使用idlepc save R1 db 命令，进行保存。当获取到idlepc之后，即可直接到控制台中，使用telnet localhost3001的方式进行登录，3001为端口号，可以使用list命令观察。

33、进入telnet设置路由器接口ip程序如下R1： Routeren Router#configure terminal Router(config)#interface e0/0 Router(config-if)#ip address 172.16.11.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#int e0/1 Router(config-if)#ip add 172.16.10.1 255.255.255.0 Router(config-if)#no shutRo

34、uter(config-if)#exitRouter(config)#int s1/2Router(config-if)#ip add 61.139.12.1 255.255.255.0Router(config-if)#no shut R2： RouterenRouter#conf t Router(config)#int s2/1Router(config-if)#ip add 61.139.12.2 255.255.255.0 Router(config-if)#no shutRouter(config-if)#exitRouter(config)#int s2/3Router(conf

35、ig-if)#ip add 61.139.23.2 255.255.255.0Router(config-if)#no shutRouter(config-if)#exitRouter(config)#int e0/1Router(config-if)#ip add 172.16.20.1 255.255.255.0Router(config-if)#no shutR3： RouterenRouter#conf tRouter(config)#int s3/2 Router(config-if)#ip add 61.139.23.3 255.255.255.0Router(config-if)

36、#no shutRouter(config-if)#exitRouter(config)#int e0/1Router(config-if)#ip add 172.16.30.1 255.255.255.0Router(config-if)#no shut(3) 配置路由协议A)静态路由协议静态路由是由网络管理员手动配置在路由器的路由表里的路由，静态路由相对于动态路由有更大的优先级，因为他体现了网络管理人员的意志。命令如下：Router (config)#ip route network mark address | interface distancepermanentR1： Router(

37、config)#ip route 0.0.0.0 0.0.0.0 61.139.12.2R2： Router(config)#ip route 172.16.11.0 255.255.255.0 61.139.12.1Router(config)#ip route 172.16.10.0 255.255.255.0 61.139.12.1Router(config)#ip route 172.16.30.0 255.255.255.0 61.139.23.3 R3： Router(config)#ip route 0.0.0.0 0.0.0.0 61.139.23.2测试： 在R1路由器的特权

38、模式下输入：ping 172.16.30.1 Ping 172.16.20.1在R2路由器的特权模式下输入：ping 172.16.10.1 Ping 172.16.30.1在R3路由器的特权模式下输入：ping 172.16.10.1 Ping 172.16.20.1B)动态路由协议动态路由协议一般含有RIP IGRP EIGTP OSPF IS-IS协议1.RIP路由协议是使用从源网端到目的网端所经过的路由器的个数来计算度量值的，最大有效跳数是15跳，到达同一个目的网端的跳数越少，路径的路由就越佳，跳数最少的路径作为最佳路径被记入路由表，成为路由。RIP协议命令：Router(config

39、)#router ripRouter(config-router)#network network-numberR1： Router(config)#router ripRouter(config-router)#network 172.16.0.0Router(config-router)#network 61.0.0.0 R2： Router(config)#router rip Router(config-router)#network 172.16.0.0Router(config-router)#network 61.0.0.0 R3： Router(config)#router r

40、ipRouter(config-router)#network 172.16.0.0 Router(config-router)#network 61.0.0.0在R1路由器的特权模式下输入：ping 172.16.30.1 Ping 172.16.20.1在R2路由器的特权模式下输入：ping 172.16.10.1 Ping 172.16.30.1在R3路由器的特权模式下输入：ping 172.16.10.1 Ping 172.16.20.12.EIGRP路由协议是cisco公司基于IGRP路由协议开发的私有协议。于IGRP协议不同，EIGRP协议支持无类域间路由及可变长度子网掩码，同时，

41、EIGRP 协议还具有收敛更加迅速、可扩展性更好、可更高效的处理路由环路问题等特点，适合大型网络使用。犹豫EIGRP路由协议不但支持ip协议栈，而且还支持IPX和AppleTalk协议栈，所以EIGRP路由协议可以支持在路由器上同时启用多种协议栈。EIGRP路由协议是一种混合的路由协议，它中和了链路状态路由协议和距离矢量路由协议的优点。它在路由的学习上使用与OSPF类似的方法，在路径的度量值的计算上又使用于IGRP类似的算法，所以它具有更优化的路由算法和更快速的收敛速度。IGRP协议命令：Router(config)#router igrp 100Router(config-router)#n

42、etwork network-numberEIGRP协议命令：Router(config)#router eigrp autonomous-system-numberRouter(config-router)#network network-numberRouter(config-router)#no autonomous-summaryR1： Router(config)#router eigrp 100Router(config-router)#network 172.16.0.0Router(config-router)#network 61.0.0.0Router(config-rou

43、ter)#no auto-summary R2： Router(config)#router eigrp 100Router(config-router)#network 172.16.0.0Router(config-router)#network 61.0.0.0Router(config-router)#no auto-summaryR3：Router(config)#router eigrp 100Router(config-router)#network 172.16.0.0Router(config-router)#network 61.0.0.0Router(config-rou

44、ter)#no auto-summary在R1路由器的特权模式下输入：ping 172.16.30.1 Ping 172.16.20.1在R2路由器的特权模式下输入：ping 172.16.10.1 Ping 172.16.30.1在R3路由器的特权模式下输入：ping 172.16.10.1 Ping 172.16.20.13.开放式最短路径优先路由协议是一种基于开放式标准的链路状态路由协议。OSPF中的开放式表示该协议是向公众开放的非私有的协议。 OSPF路由协议也是一种IGP协议，它只能工作在自治域系统内部，不能跨自治域系统运行。OSPF协议命令：Router(configr)#rout

45、er ospf process-idRouter(config-router)#network address wildcard-mask area area-idR1： Router(config)#router ospf 100Router(config-router)#network 172.16.10.1 0.0.0.0 area 0Router(config-router)#network 172.16.11.1 0.0.0.0 area 0Router(config-router)#network 61.139.12.1 0.0.0.0 area 0 R2： Router(conf

46、ig)#router ospf 100Router(config-router)#network 172.12.20.1 0.0.0.0 area 0Router(config-router)#network 61.139.12.2 0.0.0.0 area 0 Router(config-router)#network 61.139.23.2 0.0.0.0 area 0R3： Router(config)#router ospf 100Router(config-router)#network 172.16.30.1 0.0.0.0 area 0Router(config-router)#

47、network 61.139.23.3 0.0.0.0 area 0在R1路由器的特权模式下输入：ping 172.16.30.1 Ping 172.16.20.1在R2路由器的特权模式下输入：ping 172.16.10.1 Ping 172.16.30.1在R3路由器的特权模式下输入：ping 172.16.10.1 Ping 172.16.20.1(4)在packet tracer5.0下做vlan trunk 实验和vlan之间通信实验VLAN 实验之VLAN 间通信 （单臂路由）TOP图如下拓扑说明： SW上划分了两个VLAN，分别是VLAN2和VLAN3,HOST1和HOST2属于

48、VLAN2,HOST3和HOST4属于VLAN3 . IP地址： VLAN2的IP地址段使用 192.168.1.0 255.255.255.0 gateway=192.168.1.254 VLAN3的IP地址段使用 192.168.2.0 255.255.255.0 gateway=192.168.2.254 配置： （1）在路由器上的配置Cisco： Routeren Router#conf t Router(config)#interface fastEthernet 0/1 Router(config-if)#no sh（开启物理接口） Router(config-if)#no ip

49、address （关闭物理接口 IP地址） Router(config-if)#Router(config)#interface fastEthernet 0/1.2（创建虚拟接口 F0/1.2，对应 VLAN2） Router(config-subif)#encapsulation dot1Q 2（封装为 dot1Q，对应vlan2） Router(config-subif)#ip address 192.168.1.254 255.255.255.0（配置虚拟接口 IP地址，配置为VLAN2中主机的默认网关） Router(config-subif)#exit Router(config)

50、#interface fastEthernet 0/1.3 Router(config-subif)#encapsulation dot1Q 3 Router(config-subif)#ip address 192.168.2.254 255.255.255.0 （2）交换机上的配置Switchen Switch#conf t Switch(config)#vlan 2（创建VLAN2） Switch(config-vlan)#name cisco1（为VLAN2命名） Switch(config-vlan)#exit Switch(config)#interface fastEtherne

51、t 0/2（进入接口） Switch(config-if)#switchport access vlan 2（将接口加入VLAN2,下同）Switch(config-if)#exit Switch(config)#interface fastEthernet 0/3 Switch(config-if)#switchport access vlan 2 Switch(config-if)#exit Switch(config)#vlan 3 Switch(config-vlan)#name cisco2 Switch(config-vlan)#exit Switch(config)#interf

52、ace fastEthernet 0/4 Switch(config-if)#switchport access vlan 3 Switch(config-if)#exit Switch(config)#interface fastEthernet 0/5Switch(config-if)#switchport access vlan 3 Switch(config)#interface fastEthernet 0/1（这里，F0/1接口接的是路由器） Switch(config-if)#switchport mode trunk（所以将 F0/1接口配置为trunk模式，允许通过所有VLA

53、N 的数据） 至此，所有的配置完成，验证配置，结果如下图所示： 通过让 HOST1(IP:192.168.1.1)去ping HOST4 （IP： 192.168.2.2）（5）访问控制列表（ACL）访问控制列表是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。1. 标准IP访问控制列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。在全局模式下建立标准的访问控制列表的命令如下：Router（config）#access-list access-list-number permit|deny sourcesource-wildcard在接口模式下应用的标准的访问控制列表的命令如下：Router(config-if)#ip access-group access-list-number in|out删除访问控制列表命令：Router（config）#no access-lis