H3C网络设备实训指导手册

序言实训课是计算机网络专业学习的重要实践环节。通过实训，使学生加深理解、验证、巩固课堂教学的内容，掌握对网络的工作原理以及配置应用，从而获得对网络更全面，更深层次的理解。用正确的理论指导实践活动，强化学生的知识实践意识、提高其实际动手能力，发挥学生的想象力和创新能力。本实训手册在教师的指导和学生的亲手操作下，让学生对华为路由器、交换机的基础知识和应用有一个基础、全面的掌握。先通过模拟软件的操作，增加学生对每个实验的感性认识，初步理解其配置过程，然后在此基础之上，让学生在真实的路由器和交换机上加以实习，使之学会对主流路由和交换设备的配置及网络搭建与维护。本实训指导手册是由从事相关专业的老师们，结合本专业学生的实际学习情况和特点，充分利用本系华为设备搭建的实验环境，编写了本手册34个基本、典型、实用的试验，所有的试验都是由老师精选出来，并亲手配置、测试通过。它是对课堂教学的补充，让学生在上机实训时，目的明确，思路清楚，具有很高的参考价值。同时也为日后获取IT的高端认证，从事网络相关行业，打下了坚实的基础。二〇〇六年七月二十五日

目录实验一：Console口登录 4实验二：Telnet登录交换机 11实验三：FTP登录交换机 18实验四：交换机的基本命令使用 21实验五：静态路由 24实验六：RIP协议 26实验七：NAT基础应用 30实验八：NAT对外提供WWW和FTP服务 38实验九：路由引入 42试验十：利用路由器提供DHCP服务 49实验十一：组播技术 53实验十二：IP策略路由 68实验十三：QOS技术 74实验十四：Qos之端口优先级设置 83实验十五：VLAN技术 87实验十六：VLAN之间的路由 89实验十七：交换机端口基本配置 95实验十八：端口镜像 105实验十九：端口汇聚 109实验二十：端口限速 112实验二十一：端口隔离 115实验二十二：最大地址数 120实验二十三：PPP协议中的CHAP和PAP验证 125实验二十四：MP协议 138实验二十五：Hybrid端口 147实验二十六：GVRP协议 154实验二十七：基本的ACL包过滤 161实验二十八：高级的ACL包过滤 165实验二十九：多条列表的匹配规则 174实验三十：基于二层ACL的包过滤（在三层交换机上） 177实验三十一：基本的ACL包过滤（在三层交换机上） 181实验三十二：VPN技术 186实验三十三：防火墙技术 191实验三十四：使用RADIUS协议来实现AAA 198

实验一：Console口登录理论基础在对路由器、交换机进行管理的方法中，最常见的就是通过Console口进行本地配置和管理。Console端口是设备的基本端口，在设备初始或者没有进行其它方式的配置管理准备时，都使用Console口进行本地配置管理。通过Console口进行配置管理的实验组网连接最为简单。连接console端口的线缆称为控制台电缆（consolecable），也称为反序电缆（rollovercable），即左右插头端的线序完全相反。实验案例Console登录的配置配置说明：启动Windows2000下的“开始”→“程序”→“附件”→“通讯”下的“超级终端”，便可以打开以Console口登录的对话框。在对话窗口的“名称”一栏中，输入“sunke”(或者其他文字用于标志该连接)，并在“图标”一栏内选择一个图标，然后单击“确定”按钮。此时，出现了一个新的对话窗口，如图所示。在“连接时使用”一栏的下拉列表中选择“COM1”，然后单击“确定”按钮。此时出现“COM1属性”对话窗口，在其中把“每秒位数”一栏的数值改为“9600”，把“数据流控制”一栏的设置更改为“无”，然后单击“确定”按钮。具体配置：增加登录时的简单口令认证：（权限不变———最高级别即3级）[Quidway]user-interfaceaux0[Quidway-ui-aux0]authentication-mode?noneLoginwithoutcheckingpasswordAuthenticationusepasswordofuserterminalinterfaceschemeAuthenticationuseRADIUSscheme[Quidway-ui-aux0]authentication-modepassword[Quidway-ui-aux0]setauthenticationpasswordsimplesunke重新登录时的结果———需要密码即sunkePassword:<Quidway>%Apr123:57:172000QuidwaySHELL/5/LOGIN:ConsoleloginfromAux0/0<Quidway>需要口令认证，同时更改缺省登录权限为0级，再利用super命令设置进行权限切换时的口令。[Quidway]user-interfaceaux0[Quidway-ui-aux0]userprivilegelevel0[Quidway-ui-aux0]quit[Quidway]superpasswordlevel1simplesunke1[Quidway]superpasswordlevel2simplesunke2[Quidway]superpasswordlevel3simplesunke3[Quidway]discursysnameQuidwaysuperpasswordlevel1simplesunke1superpasswordlevel2simplesunke2superpasswordlevel3simplesunke3radiusschemesystemserver-typehuaweiprimaryauthentication1645primaryaccounting1646user-name-formatwithout-domaindomainsystemradius-schemesystemaccess-limitdisablestateactivevlan-assignment-modeintegeridle-cutdisableself-service-urldisablemessengertimedisabledomaindefaultenablesystemlocal-servernas-ipkeyhuaweiqueue-schedulerwrr1248vlan1interfaceAux0/0interfaceEthernet0/1interfaceEthernet0/2interfaceEthernet0/3interfaceEthernet0/4interfaceEthernet0/5interfaceEthernet0/6interfaceEthernet0/7interfaceEthernet0/8interfaceNULL0user-interfaceaux0authentication-modepassworduserprivilegelevel0setauthenticationpasswordsimplesunkeuser-interfacevty04return重新登录时的结果：Password:<Quidway>%Apr123:57:182000QuidwaySHELL/5/LOGIN:ConsoleloginfromAux0/0<Quidway>?Userviewcommands:clusterRunclustercommanddebuggingDebuggingfunctionslanguage-modeSpecifythelanguageenvironmentpingPingfunctionquitExitfromcurrentcommandviewsuperPrivilegespecifieduserpriorityleveltelnetEstablishoneTELNETconnectiontracertTraceroutefunctionundoNegateacommondorsetitsdefault<Quidway>super1Password:Nowuserprivilegeis1level,andjustcommandswhichlevelisequaltoorlessthanthislevelcanbeused.Privilegenote:0-VISIT,1-MONITOR,2-SYSTEM,3-MANAGE<Quidway>?Userviewcommands:clusterRunclustercommanddebuggingEnablesystemdebuggingfunctionsdisplayDisplaycurrentsysteminformationlanguage-modeSpecifythelanguageenvironmentpingPingfunctionquitExitfromcurrentcommandviewresetResetoperationsendSendinformationtootheruserterminalinterfacesuperPrivilegespecifieduserpriorityleveltelnetEstablishoneTELNETconnectionterminalSpecifytheterminalcharacteristicstracertTraceroutefunctionundoCancelcurrentsetting<Quidway>super2Password:Nowuserprivilegeis2level,andjustcommandswhichlevelisequaltoorlessthanthislevelcanbeused.Privilegenote:0-VISIT,1-MONITOR,2-SYSTEM,3-MANAGE<Quidway>?Userviewcommands:bootSetbootoptionclusterRunclustercommanddebuggingEnablesystemdebuggingfunctionsdisplayDisplaycurrentsysteminformationfreeClearuserterminalinterfacelanguage-modeSpecifythelanguageenvironmentntdpRunNTDPcommandspingPingfunctionquitExitfromcurrentcommandviewrebootResetswitchresetResetoperationsaveSavecurrentconfigurationsendSendinformationtootheruserterminalinterfacesuperPrivilegespecifieduserprioritylevelsystem-viewEnterthesystemviewtelnetEstablishoneTELNETconnectionterminalSpecifytheterminalcharacteristicstracertTraceroutefunctionundoCancelcurrentsetting<Quidway>super3Password:Nowuserprivilegeis3level,andjustcommandswhichlevelisequaltoorlessthanthislevelcanbeused.Privilegenote:0-VISIT,1-MONITOR,2-SYSTEM,3-MANAGE<Quidway>?Userviewcommands:bootSetbootoptioncdChangethecurrentpathclockSpecifythesystemclockclusterRunclustercommandcopyCopythefiledebuggingEnablesystemdebuggingfunctionsdeleteDeletethefiledirDisplaythefilelistinsystemdisplayDisplaycurrentsysteminformationformatFormatthedevicefreeClearuserterminalinterfaceftpOpenFTPconnectionlanguage-modeSpecifythelanguageenvironmentlockLockcurrentuserterminalinterfacemkdirCreatenewdirectorymoreDisplaythespecifiedfilemoveMovethefilentdpRunNTDPcommandspingPingfunctionpwdDisplaythecurrentpathquitExitfromcurrentcommandviewrebootResetswitchrenameRenamefileordirectoryresetResetoperationrmdirDeleteexistingdirectorysaveSavecurrentconfigurationsendSendinformationtootheruserterminalinterfacesuperPrivilegespecifieduserprioritylevelsystem-viewEnterthesystemviewtelnetEstablishoneTELNETconnectionterminalSpecifytheterminalcharacteristicstracertTraceroutefunctionundeleteUndeletethedeletedfileundoCancelcurrentsetting<Quidway><Quidway>super1Nowuserprivilegeis1level,andjustcommandswhichlevelisequaltoorlessthanthislevelcanbeused.Privilegenote:0-VISIT,1-MONITOR,2-SYSTEM,3-MANAGE<Quidway>?Userviewcommands:clusterRunclustercommanddebuggingEnablesystemdebuggingfunctionsdisplayDisplaycurrentsysteminformationlanguage-modeSpecifythelanguageenvironmentpingPingfunctionquitExitfromcurrentcommandviewresetResetoperationsendSendinformationtootheruserterminalinterfacesuperPrivilegespecifieduserpriorityleveltelnetEstablishoneTELNETconnectionterminalSpecifytheterminalcharacteristicstracertTraceroutefunctionundoCancelcurrentsetting实验总结通过CONSOLE口登录进行配置和管理。A：在缺省的情况下，CONSOLE口登录的用户具有最高的权限，可以使用所有的命令，并且不需要任何口令的认证。B：但也可以通过AUX用户接口视图下进行设置登录的口令认证。有三种认证的方式：NONE不需要口令认证的；PASSWORD需要简单的本地口令认证；SCHEME通过RADIUS服务器或本地提供用户名和口令认证。C：登录进去后，利用Super命令进行权限的切换，观察所能使用命令多少的变化，以及从高权限到低权限，从低权限到高权限时所需提供密码的变化情况。

实验二：Telnet登录交换机理论基础Telnet管理方法是网络工程师或网络管理员最常用的设备访问方法.它通过局域网或者广域网实现本地或者远程的访问控制.但是它的使用必须要求首先对设备进行初始化配置,否则用户无法正确登录和访问.要想访问某交换机,必须能够唯一确定被访问的交换机.在网络中都使用IP地址进行标识,所以我们使用Telnet进行登录时,前提是交换机必须有一个唯一的地址,即管理地址.实验案例Telnet登录的配置1、实验拓扑结构图：2、配置说明：交换机的管理IP是:00子网掩码是:3、具体配置：没有设置认证的情况下：[Quidway]intvlan1[Quidway-Vlan-interface1]%Apr200:03:232000QuidwayL2INF/5/VLANIFLINKSTATUSCHANGE:Vlan-interface1:turnsintoUPstate[Quidway-Vlan-interface1]ipaddress00[Quidway-Vlan-interface1]%Apr200:03:562000QuidwayIFNET/5/UPDOWN:LineprotocolontheinterfaceVlan-interface1turnsintoUPstate[Quidway-Vlan-interface1]quit[Quidway]discursysnameQuidwayradiusschemesystemserver-typehuaweiprimaryauthentication1645primaryaccounting1646user-name-formatwithout-domaindomainsystemradius-schemesystemaccess-limitdisablestateactivevlan-assignment-modeintegeridle-cutdisableself-service-urldisablemessengertimedisabledomaindefaultenablesystemlocal-servernas-ipkeyhuaweiqueue-schedulerwrr1248vlan1interfaceVlan-interface1ipaddress00interfaceAux0/0interfaceEthernet0/1interfaceEthernet0/2interfaceEthernet0/3interfaceEthernet0/4interfaceEthernet0/5interfaceEthernet0/6interfaceEthernet0/7interfaceEthernet0/8interfaceNULL0user-interfaceaux0user-interfacevty04Return显示结果图：仅设置口令认证的情况：[Quidway]user-interfacevty04[Quidway-ui-vty0-4]authentication-mode?noneLoginwithoutcheckingpasswordAuthenticationusepasswordofuserterminalinterfaceschemeAuthenticationuseRADIUSscheme[Quidway-ui-vty0-4]authentication-modepassword[Quidway-ui-vty0-4]setauthenticationpasswordsimpledjw[Quidway]superpasswordlevel1simpledjw1[Quidway]superpasswordlevel2simpledjw2[Quidway]superpasswordlevel3simpledjw3[Quidway]discursysnameQuidwaysuperpasswordlevel1simpledjw1superpasswordlevel2simpledjw2superpasswordlevel3simpledjw3radiusschemesystemserver-typehuaweiprimaryauthentication1645primaryaccounting1646user-name-formatwithout-domaindomainsystemradius-schemesystemaccess-limitdisablestateactivevlan-assignment-modeintegeridle-cutdisableself-service-urldisablemessengertimedisabledomaindefaultenablesystemlocal-servernas-ipkeyhuaweiqueue-schedulerwrr1248vlan1interfaceVlan-interface1ipaddress00interfaceAux0/0interfaceEthernet0/1interfaceEthernet0/2interfaceEthernet0/3interfaceEthernet0/4interfaceEthernet0/5interfaceEthernet0/6interfaceEthernet0/7interfaceEthernet0/8interfaceNULL0user-interfaceaux0user-interfacevty04setauthenticationpasswordsimpledjwreturn<Quidway>%Apr200:12:202000QuidwaySHELL/5/LOGIN:VTYloginfrom1%Apr200:13:282000QuidwaySHELL/5/LOGOUT:VTYlogoutfrom1显示结果图：用户登录前更改缺省的权限为3级：[Quidway]user-interfacevty04[Quidway-ui-vty0-4]userprivilegelevel3需要口令和用户名认证的情况，同时更改缺省的权限级别：[Quidway]user-interfacevty04[Quidway-ui-vty0-4]authentication-modeschemeNotice:TelnetorSSHusermustbeadded,otherwiseoperatorcan'tlogin[Quidway]local-userdjwNewlocaluseradded.[Quidway-luser-djw]service-typetelnetlevel3[Quidway-luser-djw]passwordsimpledjw4[Quidway-luser-djw]quit[Quidway]discursysnameQuidwaysuperpasswordlevel1simpledjw1superpasswordlevel2simpledjw2superpasswordlevel3simpledjw3radiusschemesystemserver-typehuaweiprimaryauthentication1645primaryaccounting1646user-name-formatwithout-domaindomainsystemradius-schemesystemaccess-limitdisablestateactivevlan-assignment-modeintegeridle-cutdisableself-service-urldisablemessengertimedisabledomaindefaultenablesystemlocal-servernas-ipkeyhuaweilocal-userdjwpasswordsimpledjw4service-typetelnetlevel3queue-schedulerwrr1248vlan1interfaceVlan-interface1ipaddress00interfaceAux0/0interfaceEthernet0/1interfaceEthernet0/2interfaceEthernet0/3interfaceEthernet0/4interfaceEthernet0/5interfaceEthernet0/6interfaceEthernet0/7interfaceEthernet0/8interfaceNULL0user-interfaceaux0user-interfacevty04authentication-modeschemereturn<Quidway>%Apr200:37:192000QuidwaySHELL/5/LOGIN:djwloginfrom1显示结果图:实验总结A：telnet登录认证也有三种方法：NONE不需要口令认证的；PASSWORD需要简单的本地口令认证；SCHEME通过RADIUS服务器或本地提供用户名和口令认证。B：缺省的情况下，telnet登录的用户是需要验证的，所以在登录前，必须先设置好。C：缺省的情况下，telnet登录的用户的权限是0级。

实验三：FTP登录交换机理论基础利用ftp登录交换机可以对交换机进行升级VRP和bootrom等工作。实验案例FTP登录交换机的配置具体配置：<Quidway>sysEntersystemview,returntouserviewwithCtrl+Z.[Quidway]intvlan1[Quidway-Vlan-interface1]%Apr200:18:352000QuidwayL2INF/5/VLANIFLINKSTATUSCHANGE:Vlan-interface1:turnsintoUPstate[Quidway-Vlan-interface1]ipaddress0[Quidway]ftpserverenable[Quidway]local-usersunke[Quidway-luser-sunke]service-typeftpNewlocaluseradded.[Quidway-luser-sunke]passwordsimplesunke<Quidway>discursysnameQuidwayFTPserverenableradiusschemesystemserver-typehuaweiprimaryauthentication1645primaryaccounting1646user-name-formatwithout-domaindomainsystemradius-schemesystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisablemessengertimedisabledomaindefaultenablesystemlocal-servernas-ipkeyhuaweilocal-usersunkepasswordsimplesunkeservice-typeftpqueue-schedulerwrr1248vlan1interfaceVlan-interface1ipaddress0interfaceAux0/0interfaceEthernet0/1interfaceEthernet0/2interfaceEthernet0/3interfaceEthernet0/4interfaceEthernet0/5interfaceEthernet0/6interfaceEthernet0/7interfaceEthernet0/8interfaceNULL0user-interfaceaux0user-interfacevty04Return实验结果：参见登录后的图：

实验四：交换机的基本命令使用理论基础人们在使用网络设备的过程中，往往要查看设备的配置信息，删除配置或者重新启动设备等等，在此我们介绍几个常用的公用命令，以便大家在后面的实验中能够避免一些不必要的麻烦。实验案例交换机的基本命令的使用的配置1、实验拓扑结构图：2、配置说明：交换机的管理地址：00/24PC1的IP：0/24MAC：000d-608b-0c95PC2的IP：1/24MAC：00e0-4c39-6a903、具体配置：交换机的基本命令的使用：[Quidway]intvlan1[Quidway-Vlan-interface1]%Apr200:08:462000QuidwayL2INF/5/VLANIFLINKSTATUSCHANGE:Vlan-interface1:turnsintoUPstate[Quidway-Vlan-interface1]ipaddress00[Quidway-Vlan-interface1]%Apr200:09:022000QuidwayIFNET/5/UPDOWN:LineprotocolontheinterfaceVlan-interface1turnsintoUPstate[Quidway]dismac-addressMACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)00e0-4c39-6a901LearnedEthernet0/1AGING000d-608b-0c951LearnedEthernet0/3AGING2macaddress(es)found[Quidway]dismac-address?H-H-HMACaddressaging-timeGlobalagingtimecountMACentriescountdynamicDynamicentry,withaging,canbeadded/deleted,lostafterresetinterfaceChooseoneinterfacetodisplaystaticStaticentry,withoutaging,canbeadded/deleted,savedtotheconfigurationfilevlanVLAN<cr>[Quidway]dismac-addressaging-timeMacaddressagingtime:300s[Quidway]disarpIPAddressMACAddressVLANIDPortNameAgingType0entryfound[Quidway]ping0PING0:56databytes,pressCTRL_CtobreakReplyfrom0:bytes=56Sequence=1ttl=128time=20msReplyfrom0:bytes=56Sequence=2ttl=128time=20msReplyfrom0:bytes=56Sequence=3ttl=128time=20msReplyfrom0:bytes=56Sequence=4ttl=128time=20msReplyfrom0:bytes=56Sequence=5ttl=128time=20ms0pingstatistics5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=20/20/20ms[Quidway]disarpIPAddressMACAddressVLANIDPortNameAgingType0000d-608b-0c951Ethernet0/320Dynamic1entryfound[Quidway]ping1PING1:56databytes,pressCTRL_CtobreakReplyfrom1:bytes=56Sequence=1ttl=128time=30msReplyfrom1:bytes=56Sequence=2ttl=128time=20msReplyfrom1:bytes=56Sequence=3ttl=128time=20msReplyfrom1:bytes=56Sequence=4ttl=128time=20msReplyfrom1:bytes=56Sequence=5ttl=128time=20ms1pingstatistics5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=20/22/30ms[Quidway]disarpIPAddressMACAddressVLANIDPortNameAgingType0000d-608b-0c951Ethernet0/320Dynamic100e0-4c39-6a901Ethernet0/120Dynamic2entriesfound静态绑定PCB和E0/3端口：手动添加的静态表项没有老化时间（NOAGED）[Quidway]mac-addressstatic000d-608b-0c95interfacee0/3vlan1[Quidway]dismac-addressMACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)00e0-4c39-6a901LearnedEthernet0/1AGING000d-608b-0c951ConfigstaticEthernet0/3NOAGED2macaddress(es)found此时把PCB和交换机的E0/5端口相连，那么再次显示表项时，会发现E0/5并没有学习到，因为静态表项优先于动态表项。分别用PCApingPCB，测试结果：接E0/3（通），E0/5（不通）。实验总结通过以上实验我们学习了如何给交换机加管理地址，如何设置aging-time的大小，arp的使用，静态地址绑定等等命令的使用。还有一些基本的命令这里就不再一一列举了，如：discur、save、dissave、resetsave、reboot、disversion。

实验五：静态路由理论基础1、静态路由简介静态路由（StaticRouting）是一种特殊的路由，由管理员手工输入到路由器的配置中去的。通过配置静态路由，用户可以人为的指定对某一网络访问的路径。它不随网络的拓扑结构的变化而变化，无论其所指示的路径能不能用，只要不人为的删除，就总会存在于路由表之中。当互连的网络拓扑结构发生变化时，需要管理员手工更新路由条目以更新路由信息。静态路由的方法实用于规模小，路由表相对简单的网络中。它较简单，容易实现。静态路由最大的缺点是不灵活，但是由于是静态的，减少了很多不必要的网络开销。2、缺省路由简介缺省路由也是一种静态路由。简单地说，缺省路由就是在没有找到任何匹配的路由项情况下，才使用的路由。即只有当无任何合适的路由时，缺省路由才被使用。在路由表中，缺省路由以到网络（掩码为）的路由形式出现。可通过命令displayiprouting-table来查看它是否被设置。若报文的目的地不在路由表中且路由表中也无缺省路由存在，该报文被丢弃的同时将返回源端一个ICMP报文指出该目的地址或网络不可达信息。缺省路由在网络中是非常有用的。在一个包含上百个路由器的典型网络中，运行动态路由选择协议可能会耗费较大量的带宽资源，使用缺省路由就可节约因路由选择所占用的时间与包转发所占用的带宽资源，这样就能在一定程度上满足大量用户同时进行通信的需求。实验案例1、实验拓扑结构图：2、基本配置：Pc1:IP地址：子网掩码：网关：Pc2:IP地址：子网掩码：网关：Pc3:IP地址：子网掩码：网关：Router1:e0:192.168.10.2/24s0:/24s1:/24Router2:e0:192.168.20.2/24s0:/24s1:/24Router3:e0:192.168.30.2/24s0:/24s1:/243、配置步骤：路由器Router1的静态路由的配置[Router1]iproute-static[Router1]iproute-static路由器Router2的静态路由的配置[Router2]iproute-static[Router2]iproute-static路由器Router3的静态路由的配置[Router3]iproute-static[Router3]iproute-static实验总结通过静态路由的配置，router1，router2，router3参考它们的路由表，将数据包发送给目的主机，从而可以实现全网互通。

实验六：RIP协议理论基础1、RIP简介RIP是RoutingInformationProtocol（路由信息协议）的简称。它是一种相对简单的动态路由协议，在实践中被广泛的应用。RIP是基于距离向量路由算法。这种算法提供了互联网与运行RIP的路由器的有限拓扑网络视图。在相邻的路由器之间进行广播，以（几乎）完全路由表的形式作周期性的更新。它通过UDP（UserDatagramProtocol）报文交换路由信息，使用跳数（HopCount）来衡量到达目的地的距离（被称为路由权－Routingcost）。RIP允许的最大跳数为15，任何大于15的目标地址节点都将视为不可访问的。RIP最大节点数在大型网络中很大程度上限制它的使用，但是却防止了无限计数问题，从而避免了引起无止境的网络路由环路。所以RIP一般用于采用同类技术的中等规模的网络，如校园网及一个地区范围内的网络，RIP并非为复杂、大型的网络而设计。运行RIP协议的路由器间以30秒为间隔周期性的交换路由表信息。在一个RIP广播信息中，包含了每个IP网络中RIP信息能到达的网络以及此网络的距离（以跳计数）的列表对。在RIP中，路由器定义为到直接链路网络为一跳，到另一个路由器可达的网络为两跳，如此继续下去。为提高性能，防止产生路由环，RIP支持水平分割（SplitHorizon）、毒性逆转（PoisonReverse），并采用触发更新（TriggeredUpdate）。RIP的缺点：因为跳数的最大值是15，所以不适合于大型网络。因为仅依据HopCount(跳数)作为路由选择的度量标准，所以会选择距离最近的路径，不一定会选择最快的路径。因为每30秒更新路由信息，所以产生大量的广播，消耗带宽资源。RIP启动和运行的整个过程可描述如下：(1)某路由器刚启动RIP时，以广播形式向其相邻路由器发送请求报文，相邻路由器收到请求报文后，响应该请求，并回送包含本地路由信息的响应报文。(2)路由器收到响应报文后，修改本地路由表，同时向相邻路由器发送触发修改报文，广播路由修改信息。相邻路由器收到触发修改报文后，又向其各自的相邻路由器发送触发修改报文。在一连串的触发修改广播后，各路由器都能得到并保持最新的路由信息。(3)同时，RIP每隔一定时间（缺省为30秒）向其相邻路由器广播本地路由表，相邻路由器在收到报文后，对本地路由进行维护，选择一条最佳路由，再向其各自相邻网络广播修改信息，使更新的路由最终能达到全局有效。同时，RIP采用超时机制对过时的路由进行超时处理，以保证路由的实时性和有效性。RIP作为IGP协议的一种，正是通过这些机制，使路由器能够了解到整个网络的路由信息。RIP共发布了两个版本，即RIP-1和RIP-2两个版本。RIPV1只允许在每个网络号中使用唯一一个子网掩码，因为它在路由表更新消息中不包含子网掩码信息。RIP-2支持明文认证和MD5密文认证，并支持可变长子网掩码VLSM和无类别路由CIDR。RIP-2信息分组可以实现多播发送，而不是广播出去。RIP-2所使用的多播地址是.实验案例RIP-1的配置实验拓扑结构图：2、基本配置：Router1：S0：子网掩码:S1：子网掩码:Router2：S0：子网掩码:Router3：S0：子网掩码:3、配置步骤：Router1的配置：[Router1]interfaceserial0[Router1-Serial0]ipaddress[Router1]interfaceserial1[Router1-Serial1]ipaddress[Router1]rip[Router1-rip]networkallRouter2的配置：[Router2]interfaceserial0[Router2-Serial0]ipaddress[Router2]rip[Router2-rip]networkallRouter3的配置：[Router3]interfaceserial0[Router3-Serial0]ipaddress[Router3]rip[Router3-rip]networkRIP-2的配置：实验拓扑结构图：1、基本配置：RouterA:S0:子网掩码:E0:子网掩码:E1:子网掩码:RouterB:S0:子网掩码:E0:子网掩码:PC1:子网掩码：网关：PC2:子网掩码：网关：PC3:子网掩码：网关：2、配置步骤：各个路由器的接口和PC机都加上相应的地址，并在路由器上启动RIP-1协议。此时着重在RouterB上查看路由表：[RouterB]disiprouting-tableRoutingTables:Destination/MaskProtoPrefMetricNexthopInterface/8Direct00LoopBack0/32Direct00LoopBack0/24Direct00Serial0/32Direct00Serial0/32Direct00LoopBack0/24Direct00Ethernet0/32Direct00LoopBack0由此，可以看出RIP-1不支持不连续的子网。下面是在启用RIP-2后，并且汇总功能打开时的查看结果：[RouterB]disiprouting-tableRoutingTables:Destination/MaskProtoPrefMetricNexthopInterface/8Direct00LoopBack0/32Direct00LoopBack0/24Direct00Serial0/32Direct00Serial0/32Direct00LoopBack0/16RIP1001Serial0/24Direct00Ethernet0/32Direct00LoopBack0下面是RIP2汇总关闭后的查看结果：[Router]disiprouting-tableRoutingTables:Destination/MaskProtoPrefMetricNexthopInterface/8Direct00LoopBack0/32Direct00LoopBack0/24Direct00Serial0/32Direct00Serial0/32Direct00LoopBack0/16RIP1001Serial0/24RIP1001Serial0/24RIP1001Serial0/24Direct00Ethernet0/32Direct00LoopBack0实验总结从实验我们可以看出RIP-1不支持变长子网掩码，所以RIP-1始终启用路由聚合功能。若为RIP-2，可以通过undosummary命令关闭路由聚合功能。当存在不连续子网或需要将子网路由广播出去时，必须关闭路由聚合功能。

实验七：NAT基础应用理论基础1、NAT的简介NAT（Networkaddresstranslation.）即网络地址转换或网络地址翻译。是用户私有地址和Internet上合法地址之间的转换，用来解决Internet上地址资源的匮乏和用户接入安全性问题的一项技术。NAT技术能使一个机构内的所有用户通过有限的数个合法地址访问Internet，于是便节省了Internet的合法地址，而且通过NAT技术，可以隐藏内网上的主机的真实的地址，从而提高了网络的安全性。同时NAT还可以带来其他许多优越性，例如使现有网络不必重新编址、减少了ISP接入费用，还可以起平衡负载的作用等。NAT有三种类型：静态NAT（staticNAT）、NAT池（poolNAT）和端口NAT（PAT）。其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，各种NAT方案都是有利有弊。2、NAT的实现过程通常在一个firewall或者router上起NAT，firewall有两个NIC，一个接Internet，为合法IP，一个接LAN，为保留IP。LAN的用户的defualtgateway指向NAT的内部(LAN）接口，所有从LAN通过NAT出去的包在NAT处会进行一个转换，通常会把这些包的源IP地址转换成NAT的外部接口的合法IP地址，同时NAT在自己的连接表中添加一条记录，以便这个包的应答包回来时知道应该送到哪里。改了源IP地址的包送到Internet，他的应答包肯定能够回到NAT的外部接口，NAT接到应答包后，通过查看自己的连接表的记录，更改应答包的目标IP，然后送到发出请求的工作站。3、NAT使用的几种情况a.连接到internet，但却没有足够的合法地址分配给内部主机。b.更改到一个需要重新分配地址的ISP。c.有相同的IP地址的两个internet合并。d.想支持负载均衡（主机）。实验案例1、实验的拓扑结构图：2、基本配置：此时用RouterB来模拟Internet。路由器的各个接口和PC都要加上相应的地址：Router的E1与RouterB的E1相接Router的E0与Switch1的E0/1相接Switch1的E0/8与Switch2的E0/8相接Router：E1：0/24e0.1：/24e0.2：/24RouterB：E1：/24（此时RouterB模仿的是internet）PC1：/24网关：PC2：/24网关：PC3：/24网关：PC4：/24网关：3、配置步骤：方法一：（用一个出接口地址做NAT转换）Router的配置：[Router]inte1[Router-Ethernet1]ipaddress0[Router-Ethernet1]%18:31:25:LineprotocolipontheinterfaceEthernet1isUP[Router-Ethernet1]natoutbound2008interface[Router]inte0.1[Router-Ethernet0.1]ipaddress[Router-Ethernet0.1]%18:36:39:LineprotocolipontheinterfaceEthernet0.1isUP[Router-Ethernet0.1][Router-Ethernet0.1]inte0.2[Router-Ethernet0.2]ipaddress[Router-Ethernet0.2]%18:37:04:LineprotocolipontheinterfaceEthernet0.2isUP[Router]acl2008match-orderauto[Router-acl-2008]rulenormalpermitsource55Rulehasbeenaddedtonormalpacket-filteringrules[Router-acl-2008]rulenormalpermitsource55Rulehasbeenaddedtonormalpacket-filteringrules[Router-acl-2008]rulenormaldenysourceanyRulehasbeenaddedtonormalpacket-filteringrules[Router]iproute-staticpreference60[Router]discurNowcreateconfiguration...Currentconfigurationversion1.74sysnameRouterfirewallenableaaa-enableaaaaccounting-schemeoptionalacl2008match-orderautorulenormalpermitsource55rulenormalpermitsource55rulenormaldenysourceanyinterfaceAux0asyncmodeflowlink-protocolpppinterfaceEthernet0interfaceEthernet0.1vlan-typedot1qvid2ipaddressinterfaceEthernet0.2vlan-typedot1qvid3ipaddressinterfaceEthernet1ipaddress0natoutbound2008interfaceinterfaceSerial0link-protocolpppinterfaceSerial1link-protocolpppinterfaceSerial2link-protocolpppinterfaceSerial3link-protocolpppquitiproute-staticpreference60return交换机1的配置：<Quidway>sysEntersystemview,returntouserviewwithCtrl+Z.[Quidway]vlan2[Quidway-vlan2]porte0/2[Quidway-vlan2]vlan3[Quidway-vlan3]porte0/3[Quidway-vlan3][Quidway]inte0/8[Quidway-Ethernet0/8]portlink-typetrunk[Quidway-Ethernet0/8]porttrunkpermitvlanallPleasewaitDone.[Quidway]inte0/1[Quidway-Ethernet0/1]portlink-typetrunk[Quidway-Ethernet0/1]porttrunkpermitvlanallPleasewaitDone.[Quidway]discursysnameQuidwayradiusschemesystemserver-typehuaweiprimaryauthentication1645primaryaccounting1646user-name-formatwithout-domaindomainsystemradius-schemesystemaccess-limitdisablestateactivevlan-assignment-modeintegeridle-cutdisableself-service-urldisablemessengertimedisabledomaindefaultenablesystemlocal-servernas-ipkeyhuaweiqueue-schedulerwrr1248vlan1vlan2vlan3interfaceAux0/0interfaceEthernet0/1portlink-typetrunkporttrunkpermitvlanallinterfaceEthernet0/2portaccessvlan2interfaceEthernet0/3portaccessvlan3interfaceEthernet0/4interfaceEthernet0/5interfaceEthernet0/6interfaceEthernet0/7interfaceEthernet0/8portlink-typetrunkporttrunkpermitvlanallinterfaceNULL0user-interfaceaux0user-interfacevty04return交换机2的配置：<Quidway>sysEntersystemview,returntouserviewwithCtrl+Z.[Quidway]vlan2[Quidway-vlan2]porte0/2[Quidway-vlan2]vlan3[Quidway-vlan3]porte0/3[Quidway-vlan3]quit[Quidway]inte0/8[Quidway-Ethernet0/8]portlink-typetrunk[Quidway-Ethernet0/8]porttrunkpermitvlanallPleasewaitDone.<Quidway>discursysnameQuidwayradiusschemesystemserver-typehuaweiprimaryauthentication1645primaryaccounting1646user-name-formatwithout-domaindomainsystemradius-schemesystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisablemessengertimedisabledomaindefaultenablesystemlocal-servernas-ipkeyhuaweiqueue-schedulerwrr1248vlan1vlan2vlan3interfaceAux0/0interfaceEthernet0/1interfaceEthernet0/2portaccessvlan2interfaceEthernet0/3portaccessvlan3interfaceEthernet0/4interfaceEthernet0/5interfaceEthernet0/6interfaceEthernet0/7interfaceEthernet0/8portlink-typetrunkporttrunkpermitvlanallinterfaceNULL0user-interfaceaux0user-interfacevty04Return方法二：（用地址池做NAT转换）此处只是在E1接口定义了一个地址池，其它配置和上面的方法一样。[Router]nataddress-group05pool[Router]inte1[Router-Ethernet1]natoutbound2008address-grouppool[Router]discurNowcreateconfiguration...Currentconfigurationversion1.74sysnameRouternataddress-group05poolfirewallenableaaa-enableaaaaccounting-schemeoptionalacl2008match-orderautorulenormalpermitsource55rulenormalpermitsource55rulenormaldenysourceanyinterfaceAux0asyncmodeflowlink-protocolpppinterfaceEthernet0interfaceEthernet0.1vlan-typedot1qvid2ipaddressinterfaceEthernet0.2vlan-typedot1qvid3ipaddressinterfaceEthernet1ipaddress0natoutb