计算机网络基础设备配置与实验指导

计算机网络基础设备配置与实验指导3.验证配置：查看接口状态：`R1#showipinterfacebrief`测试连通性：PC1pingR1Gig0/0（应通），PC1pingPC2（通过路由器转发应通）。（三）防火墙基础配置：安全策略与NAT实验目的掌握防火墙接口区域划分（Trust/Untrust）、安全策略放行流量、NAT（网络地址转换）配置方法。实验拓扑设备：FortiGate防火墙（FG1）、PC（内网：0/24）、公网服务器（模拟：0/24）、路由器（模拟公网出口）。连接：FG1port1（Trust区）→内网交换机，port2（Untrust区）→路由器Gig0/0。配置步骤（Web界面+命令行）1.接口区域与IP配置：Web界面：进入「网络→接口」，设置port1为Trust区，IP/24；port2为Untrust区，IP/24。命令行验证：`FG1#showsysteminterface`2.安全策略放行流量：新建策略：源区域Trust，目的区域Untrust，源地址/24，目的地址/24，动作「接受」。命令行：`FG1(config)#firewallpolicyaddname"TrusttoUntrust"srcintf"port1"dstintf"port2"srcaddr"all"dstaddr"all"actionaccept`3.NAT配置（SNAT）：配置源NAT：将内网IP（/24）转换为Untrust口IP（）。命令行：`FG1(config)#natsourceruleaddname"SNAT"srcintf"port1"dstintf"port2"srcaddr"/24"snattype"interface"snatintf"port2"`4.验证配置：PCping公网服务器（0），应通；抓包查看NAT转换后的源IP。四、网络连通性测试与故障排查（一）测试工具与方法1.Ping/Tracert：验证端到端连通性（如`ping`），Tracert跟踪路由（如`tracert0`）。2.设备内置命令：交换机：`showinterfacestatus`（端口状态）、`showvlanbrief`（VLAN配置）。路由器：`showiproute`（路由表）、`showipinterfacebrief`（接口IP）。防火墙：`diagnosesnifferpacketport1'icmp'`（抓包分析）。（二）故障排查思路（分层法）1.物理层：检查网线是否插好（端口灯是否亮）、设备电源是否正常。2.数据链路层：检查VLAN配置（端口模式、VLANID）、MAC地址表（`showmacaddress-table`）。3.网络层：检查IP地址/子网掩码、路由条目（静态/动态）、NAT配置。（三）典型故障案例案例1：同VLAN内PC无法通信排查：检查交换机端口是否为Access模式、VLANID是否一致；使用`showinterfacefastEthernet0/1`查看端口错误统计（如CRC错误，需更换网线）。案例2：跨网段无法访问排查：检查路由器接口IP、路由表（`showiproute`）是否包含目标网段；防火墙策略是否放行流量。五、配置优化与安全加固（一）设备安全增强1.密码加密：交换机/路由器配置`servicepassword-encryption`（全局模式），加密明文密码。2.SSH远程管理：替代Telnet（明文传输），配置`ipsshversion2`（路由器），创建SSH用户。3.访问控制列表（ACL）：限制非法IP访问设备，如`access-list101denyip55any`（拒绝特定网段）。（二）性能优化1.端口速率配置：交换机端口强制1G全双工（`interfacegig0/1;speed1000;duplexfull`），避免协商不匹配。2.QoS基础：标记语音流量（如`class-mapVOIP;matchdscpef`），保障低延迟传输。（三）配置备份与恢复1.备份到TFTP服务器：`copyrunning-configt0/config.txt`（需提前搭建TFTP服务）。2.本地备份：`copyrunning-configstartup-config`（保存到设备闪存）。3.恢复配置：`copyt0/config.txtrunning-config`（从TFTP恢复）。六、总结与拓展网络基础设备的配置是网络工程师的核心技能，通过实验可深入理解数据链路层（VLAN）、网络层（路由）、应用层（安全策略）的协同工作原理。建议拓展学习：动态路由协议（OSPF、E