项目3 中型办公网组网－任务11 广域网接入

项目3中型办公网组网任务11广域网接入

宏展公司网络是采用路由器接入广域网Internet，通过合理配置网络设备，使公司内部的所有计算机能够正常、高速、安全地访问Internet。任务描述

由于本任务中的三层设备有H3CS5500-28C-PWR-EI和H3CMSR30-20路由器，通过这两个设备对内部网络和互联网相连接，所以可以采用动态路由，但从性能和可靠性上考虑，这里配置静态路由更为优化。路由器的配置如下：（1）配置内网接口地址为：/30；（2）配置外网接口地址为：09/30（ISP提供）；（3）启用防火墙功能，配置ACL访问控制列表进行外网访问控制及NAT；（4）把内部私有IP地址转换为ISP提供的公有IP地址09/30，利用NAT技术实现；（5）配置到内部各网段的路由，可以把C类的私有网段汇聚：/16来简化路由的配置；（6）配置到外部网络的路由，配置一条默认路由；（7）其它的配置：用户管理、管理配置等。

任务分析相关知识

网络层功能网络层设备静态路由及动态路由网络层协议ACL相关知识－网络层功能完成数据包寻址和路由的功能。走哪一条？网络层协议应用层传输层网络层物理层数据链路层InternetProtocol(IP)InternetControlMessageProtocol(ICMP)AddressResolutionProtocol(ARP)ReverseAddressResolutionProtocol(RARP)InternetGroupManagementProtocol(IGMP)相关知识－网络层功能相关知识

网络层功能网络层设备静态路由及动态路由网络层协议ACL相关知识－网络层设备路由器是网络的“边缘”设备。路由器的核心作用是实现网络互连。1、路由器的主要功能寻径：即判定到达目的地的最佳路径，由路由选择算法来实现。为了判定最佳路径，路由选择算法必须启动并维护包含路由信息的路由表，其中路由信息依赖于所用的路由选择算法而不尽相同。这就是路由选择协议（routingprotocol），例如路由信息协议（RIP）、开放式最短路径优先协议（OSPF）和边界网关协议（BGP）等。转发：即沿寻径好的最佳路径传送信息分组。路由器首先在路由表中查找，判明是否知道如何将分组发送到下一个站点（路由器或主机），如果路由器不知道如何发送分组，通常将该分组丢弃；否则就根据路由表的相应表项将分组发送到下一个站点，如果目的网络直接与路由器相连，路由器就把分组直接送到相应的端口上。这就是路由转发协议（routedprotocol），如IP协议。路由转发协议和路由选择协议是相互配合又相互独立的概念，前者使用后者维护的路由表，同时后者要利用前者提供的功能来发布路由协议数据分组。以后提到的路由协议，除非特别说明，都是指路由选择协议，这也是普遍的习惯。相关知识－网络层设备2、路由器的结构硬件组成CPU(处理器）RAM(存储正在运行的配置文件)FLASH（负责保存OS的映像和路由器的微码）NVRAM（保存配置件）ROM（加载OS）接口（完成路由器与其它设备的数据交换）软件结构BOOTROM：主要功能是路由器加电后完成有关初始化工作，并向内存中加入操作系统代码VRP（通用路由平台）：H3C路由器上运行的软件平台相关知识－网络层设备相关知识－网络层设备IPETHPPP以太口串口IPPPPETH串口以太口协议封装路由选择协议转换路由器路由器WAN转发拆包LAN1LAN2接收发送3、路由器的工作原理/24/24/24/24/24/244、路由器的配置通过console口配置通过拨号远程配置通过telnet方式配置通过哑终端方式配置通过FTP方式传送配置文件相关知识－网络层设备（1）命令视图用户视图系统视图RIP视图OSPF视图BGP视图以太网接口视图同步串口视图Dialer接口视图相关知识－网络层设备（2）常见命令行错误信息

[H3C]dispalya^%Unrecognizedcommandfoundat'^'position.

[H3C]display ^%Incompletecommandfoundat'^'position.

[H3C]displayinterfaceSerial0/00 ^%Toomanyparametersfoundat'^'position.相关知识－网络层设备（3）状态查看命令displayversiondisplaycurrent-configurationdisplayinterfacedisplayiproute相关知识－网络层设备[H3C]displayversion//显示版本号

CopyrightNotice:Allrightsreserved(Apr082005).Withouttheowner'spriorwrittenconsent,nodecompilingnorreverse-engineeringshallbeallowed.Huawei-3ComVersatileRoutingPlatformSoftwareVRP(R)software,Version3.40,ReleaseRT-0009Copyright(c)2003-2005HangzhouHuawei-3ComTech.Co.,Ltd.Allrightsreserved.Copyright(c)2000-2003HuaweiTech.Co.,Ltd.Allrightsreserved.QuidwayAR28-11uptimeis0week,0day,0hour,1minuteCPUtype:PowerPC8241200MHz128MbytesSDRAMMemory32MbytesFlashMemoryPcbVersion:1.0LogicVersion:1.0BootROMVersion:9.09[SLOT0]AUX(Hardware)1.0,(Driver)1.0,(Cpld)1.0

相关知识－网络层设备[H3C]displaycurrent-configuration//显示当前配置信息#sysnameQuidway#FTPserverenable#local-servernas-ipkeyhuawei#domaindefaultenablesystem#radiusschemesystemserver-typehuaweiprimaryauthentication1645primaryaccounting1646user-name-formatwithout-domain#domainsystemaccess-limitdisablestateactive………#相关知识－网络层设备[H3C]displayinterfaceSerial1/1//显示接口S1/1状态信息Serial1/1currentstate:UPLineprotocolcurrentstate:UPDescription:Serial1/1InterfaceTheMaximumTransmitUnitis1500,Holdtimeris10(sec)Internetprotocolprocessing:disabledInternetAddressis/8LinklayerprotocolisPPPLCPinitialOutputqueue:(Urgentqueue:Size/Length/Discards)0/50/0Outputqueue:(Protocolqueue:Size/Length/Discards)0/500/0Outputqueue:(FIFOqueuing:Size/Length/Discards)0/75/0Physicallayerissynchronous,Baudrateis64000bps,InterfacehasnocableLast300secondsinputrate0.00bytes/sec,0.00packets/secLast300secondsoutputrate0.00bytes/sec,0.00packets/secInput:0packets,0bytes0broadcasts,0multicasts0errors,0runts,0giants0CRC,0alignerrors,0overruns0dribbles,0aborts,0nobuffers0frameerrorsOutput:0packets,0bytes0errors,0underruns,0collisions0deferredDCD=UPDTR=UPDSR=UPRTS=UPCTS=UP相关知识－网络层设备解读端口状态[H3C]displayinterfaceserial1/1physicallayerissynchronous,baudrateis64000bps,nocableLink-protocolisPPPLCPinitial,IPCPinitial,IPXCPinitial,CCPinitiallineprotocolisdownSerial1/1isdown,物理层组件的状态数据链路层的状态相关知识－网络层设备[H3C]disiprouting-table//显示路由表信息RoutingTables:Destination/MaskprotoprefMetricNexthopInterface/0Static600Serial0/8RIP1003Serial0/8OSPF 10 50Ethernet0/8RIP100 4Serial0/8Static60 0Serial0/8Direct0 0Ethernet0/32Direct0 0LoopBack0......相关知识－网络层设备相关知识

网络层功能网络层设备静态路由及动态路由网络层协议ACL相关知识－静态路由及动态路由

静态路由动态路由

1、静态路由定义静态路由（StaticRouting）是由网络管理员采用手工方法在路由器中配置而成。这种方法适合于在规模较小、路由表也相对简单的网络中使用。相关知识－静态路由2、静态路由配置注意：只有下一跳所属接口是点对点（PPP、HDLC）的接口时，才可以填写<interface-name>，否则必须填写<nexthop-address>。[H3C]iproute-staticip-address{mask|masklen}{interface-typeinterface-name|nexthop-address}[preferencevalue]静态路由的配置命令:例如：

iproute-static16iproute-staticiproute-static16Serial0/0相关知识－静态路由3、静态路由配置示例/16在路由器A上配置：

iproute-staticiproute-static16iproute-static16s0/0E0/0RouterBS0/0RouterAS0/0相关知识－静态路由4、默认路由在RouterA上配置：

iproute-staticInternet上大约99.99%的路由器上都存在一条缺省路由!缺省路由并不一定都是手工配置的静态路由，有时也可以由动态路由协议产生。RouterAS0/0S0/0RouterB网络1PublicNetwork相关知识－静态路由

静态路由动态路由相关知识－静态路由及动态路由动态路由根据网络结构或流量的变化，路由协议会自动调整路由信息来实现路由。相关知识－动态路由RIP协议概述RIP协议工作原理RIP路由协议环路避免机制RIPv2的改进RIP协议配置与显示目录RIP协议概述RIP是RoutingInformationProtocol（路由信息协议）的简称。RIP是一种基于距离矢量（Distance-Vector）算法的路由协议。RIP协议适用于中小型网络，分为RIPv1和RIPv2。RIP支持水平分割、毒性逆转和触发更新等工作机制防止路由环路。RIP协议基于UDP传输，端口号520。每个具有RIP协议功能的路由器每隔30秒用UDP520端口给与之直接相连的路由器广播更新信息。更新信息反映了该路由器所有的路由选择信息数据库。RIP协议概述RIP协议工作原理RIP路由协议环路避免机制RIPv2的改进RIP协议配置与显示目录RIP路由表的初始化RequestResponseRTBRTA/24/24/24.1.2RoutingTable目标网络下一跳度量值-0-0RoutingTable目标网络下一跳度量值-0-0RIP路由表的更新RTBRTA/24.1.2路由更新RTBRTA/24.1.2/24/24/24/24RoutingTable目标网络下一跳度量值-0-0RoutingTable目标网络下一跳度量值-0-0RoutingTable目标网络下一跳度量值-0-01RoutingTable目标网络下一跳度量值1-0-0RIP路由表的维护ResponseRTBRTA/24/24/24.1.2ResponseRoutingTable目标网络下一跳度量值-0-01RoutingTable目标网络下一跳度量值1-0-0周期性发送Response信息由定时器完成：Update计时器：路由更新计时器，默认30秒；Timeout计时器：老化计时器，默认值180秒；Garbage-Collect路由器：度量值变为16开始，到该路由被从路由表中删除，默认值为120秒。环路避免机制一：路由毒化RoutingTable目标网络接口度量值E1/00S0/00S0/01.S0/02RoutingTable目标网络接口度量值S0/02S0/01S0/00E1/0InfRoutingTable目标网络接口度量值S0/01S0/00S1/00S1/0InfRoutepoisoningRTARTBRTCE1/0S0/0S0/0S1/0S0/0E1/0路由毒化：路由器主动把路由表中发生故障的路由项以度量值无穷大的形式通告给RIP邻居，以使邻居能够及时得知网络发生故障。环路避免机制二：水平分割RoutingTable目标网络接口度量值E1/00S0/00S0/01.S0/02RoutingTable目标网络接口度量值S0/02S0/01S0/00E1/0InfRoutingTable目标网络接口度量值S0/01S0/00S1/00S1/01NotsenttoRTBNotsenttoRTANotsenttoRTCNotsenttoRTBRTARTBRTCE1/0S0/0S0/0S1/0S0/0E1/0水平分割：RIP路由器从某个接口学到的路由，不会再从该接口发回给邻居路由器。默认开启的。环路避免机制三：毒性逆转RoutingTable目标网络接口度量值E1/00S0/00S0/01.S0/02RoutingTable目标网络接口度量值S0/02S0/01S0/00E1/00RoutingTable目标网络接口度量值S0/01S0/00S1/00S1/01PoisonReverseRTARTBRTCE1/0S0/0S0/0S1/0S0/0E1/0,MetricInf毒性逆转：RIP从某个接口学到路由后，将该路由的度量值设置为无穷大（16），并从原接口发回邻居路由器。RIPv1的缺点E1/0S0/0S0/0/24RTARTB,Metric1/24RoutingTable目标网络/掩码接口度量值/8S0/01E1/0RIPv1发送协议报文时不携带掩码，路由交换过程中有时会造成错误其他不支持认证只能以广播方式发布协议报文RIPv2的改进RIPv2是一种无类别路由协议（ClasslessRoutingProtocol）。RIPv2协议报文中携带掩码信息，支持VLSM（可变长子网掩码）和CIDR（无类域间路由）。RIPv2支持以组播方式发送路由更新报文，组播地址为，减少网络与系统资源消耗。RIPv2支持对协议报文进行验证，并提供明文验证和MD5验证两种方式，增强安全性。RIP基本配置创建RIP进程并进入RIP视图在指定网段接口上使能RIP[Router]rip[process-id][Router-rip-1]networknetwork-addressNetwork命令详解Network命令中包含两层含义指定本机上哪些接口路由能够添加到RIP路由表中指定本机上哪些接口能够收发RIP协议报文E1/0S0/0/8RTA,Metric1RoutingTable目标网络接口度量值E1/00S0/10S0/00S0/01[RTA]rip[RTA-rip-1]network[RTA-rip-1]network/8/8,Metric1,Metric2,Metric1S0/1,Metric1RIP可选配置配置接口工作在抑制状态使能RIP水平分割功能使能RIP毒性逆转功能[Router-rip-1]silent-interface{all|interface-typeinterface-number

}[Router-Ethernet1/0]ripsplit-horizon[Router-Ethernet1/0]rippoison-reverseRIPv2配置任务指定全局RIP版本关闭RIPv2自动路由聚合功能

在RIPv1中，自动聚合功能默认是打开的，且不能关闭。当需要将所有子网路由广播出去时，可以在RIP视图下关闭Ripv2的自动路由聚合功能。

配置RIPv2报文的认证[Router-Ethernet1/0]ripauthentication-mode{md5{rfc2082key-stringkey-id|rfc2453

key-string}|simplepassword}[Router-rip-1]undosummary[Router-rip-1]version{1|2}RIP基本配置举例/24/24/24RTARTB[RTA]rip[RTA-rip-1]network[RTA-rip-1]network[RTB]rip[RTB-rip-1]network[RTB-rip-1]network/24RIPv2配置举例/24/30/30/24RTARTB[RTA]rip[RTA-rip-1]network[RTA-rip-1]network[RTA-rip-1]version2[RTA-rip-1]undosummary[RTA-Serial0/0]ripauthentication-modemd5rfc2453abcdef[RTB]rip[RTB-rip-1]network[RTB-rip-1]network[RTB-rip-1]undosummary[RTB-rip-1]version2[RTB-Serial0/0]ripauthentication-modemd5rfc2453abcdefRIPv2能够支持在协议报文中携带掩码，并支持认证。由于下图中使用了子网划分且子网掩码也不连续，所以需要在两台路由器间运行RIPv2.显示RIP当前运行状态及配置信息<Router>displayripPublicVPN-instancename:RIPprocess:1RIPversion:1Preference:100Checkzero:EnabledDefault-cost:1Summary:EnabledHostroutes:EnabledMaximumnumberofbalancedpaths:3Updatetime:30sec(s)Timeouttime:180sec(s)Suppresstime:120sec(s)Garbage-collecttime:120sec(s)Silentinterfaces:NoneDefaultroutes:DisabledVerify-source:EnabledNetworks:

Configuredpeers:NoneTriggeredupdatessent:2Numberofrouteschanges:1Numberofrepliestoqueries:1启动RIP的网段当前RIP的版本是否开启RIP自动聚合功能查看RIP的debugging信息目标网段及度量值<RTA>debuggingrip1packetRIP1:ReceiveresponsefromonSerial6/0Packet:vers1,cmdresponse,length24AFI2,dest,cost1RIP1:SendingresponseoninterfaceGigabitEthernet0/0fromto55Packet:vers1,cmdresponse,length44AFI2,dest,cost1AFI2,dest,cost2RIP1:SendingresponseoninterfaceSerial6/0fromto55Packet:vers1,cmdresponse,length24AFI2,dest,cost1RIP1:ReceiveresponsefromonSerial6/0Packet:vers1,cmdresponse,length24AFI2,dest,cost1RIP1:SendingresponseoninterfaceGigabitEthernet0/0fromto55RIP版本及报文类型从接口以广播方式发送路由优先级（Preference）从优先级最低的协议获取的路由被优先选择加入路由表中。S0/00/8/8/8/8目标网络路由表路由器A路由器A路由器B路由器C/8ProtoPerfMetricNextHop/8RIPOSPF1001012102/8相关知识－动态路由安排练习1、RIP使用（）协议来承载，其端口号是（）。A、TCP,179 B、UDP，179C、TCP，520 D、UDP，5202、RIP协议的Update定时器的默认时间是（）秒。A、30 B、60 C、120 D、180D3、（）特性是RIPv2中具有，但RIPv1中没有的。A、组播方式发送协议报文

B、认证C、水平分割机制 D、支持VLSMABDA安排练习4、以下（）是RIP协议防止路由环路的机制。。A、水平分割 B、毒性逆转C、抑制时间 D、触发更新ABCD5、在路由器上指定相关接口使能RIP协议的命令为（）。A、[RTA]networkB、[RTA]network55C、[RTA-rip]networkD、[RTA-rip]network55C完成实训报告十三。

相关知识网络层功能网络层设备静态路由及动态路由网络层协议ACL相关知识-网络层协议

ARP协议RARP协议IP地址是一个逻辑地址，不能被物理网络所识别ARP给出了将主机的网络地址动态映射为MAC地址的方法RARP给出了一种允许工作站动态获得其协议地址的方法引入理解ARP和代理ARP的基本工作原理理解RARP的基本工作原理列举ARP和代理ARP的主要配置和信息查看命令描述IP包转发基本过程课程目标学习完本课程，您应该能够：ARP基本原理RARP基本原理IP包转发ARP基本配置目录ARP介绍RFC826动态地将IP地址解析为MAC地址ARP广播ARP请求IP=,MAC=?IP=MAC=00E0.FC01.1111HostAHostBHostCIP=MAC=00E0.FC02.2222IP=MAC=00E0.FC03.3333单播ARP响应IP=,MAC=00E0.FC03.3333IP=MAC=00E0.FC01.1111HostAHostBIP=MAC=00E0.FC02.2222HostCIP=MAC=00E0.FC03.3333代理ARP广播ARP请求IP=,MAC=?IP=MAC=00E0.FC01.1111HostAARP代理单播ARP响应IP=,MAC=00E0.FC03.3333HostCIP=MAC=00E0.FC03.3333广播ARP请求IP=,MAC=?IP=MAC=00E0.FC01.1111HostAARP代理HostCIP=MAC=00E0.FC03.3333IP=,MAC=00E0.FC02.2222IP=MAC=00E0.FC02.2222IP=MAC=00E0.FC04.4444E0/0E0/1E0/0E0/1单播ARP响应ARP基本原理RARP基本原理IP包转发ARP基本配置目录RARPRFC903允许无盘工作站动态获得其协议地址RARP广播RARP请求MAC=00E0.FC01.1111无IP地址无盘工作站HostBRARPServer单播RARP响应MAC=00E0.FC01.1111,IP=MAC=00E0.FC01.1111IP=HostBMAC=00E0.FC01.1111,IP=?RARPServer无盘工作站ARP基本原理RARP基本原理IP包转发ARP基本配置目录主机单播IP包发送上层协议要求发送数据包目的是否直连解析网关硬件地址解析目的主机硬件地址封装成帧并由相应接口发出YN若目的地址所处网络号与本机所处网络号相同，则目的处于直连网段路由器单播IP包转发目的是否本机数据包入站目的是否直连解析下一跳路由器硬件地址解析目的主机硬件地址封装成帧并由相应出接口发出提交本机上层协议处理YNYN若目的地址所处网络号与本机任一接口的网络号相同，则目的处于相应接口直连网段。路由器通过查找路由信息判断下一跳路由器地址。主机接收IP包如果IP包的目的地址符合下列情况之一，则主机接收此包：目的IP地址等于自己的IP地址；目的IP地址是一个广播地址；目的IP地址是一个组播地址，而本机的某个服务属于此组播组。否则主机的网络层丢弃此IP包。网络接口层提交接收的数据包目的是否本机丢弃解封装并提交给相应的协议处理YN广播风暴路由器转发广播将导致全网充斥广播，可能引发广播风暴路由器默认不转发广播广播包DIP=55ARP基本原理RARP基本原理IP包转发ARP基本配置目录ARP基本配置和显示命令手工添加静态ARP表项删除静态ARP表项显示ARP的运行信息[Router]arpstatic

ip-addressmac-address[Router]undoarpip-address

<Router>displayarp代理ARP基本配置和显示命令开启代理ARP功能显示代理ARP信息[Router]proxy-arpenable[Router]displayproxy-arp[interfaceinterface-typeinterface-number]Ethernet:0800.0020.1111IP=???我的地址是多少？相关知识－RARP协议Ethernet:0800.0020.1111IP=???我的地址是多少？我听到了广播你的地址是5.相关知识－RARP协议Ethernet:0800.0020.1111IP:5Ethernet:0800.0020.1111IP=???我的地址是多少？我听到了广播你的地址是5.相关知识－RARP协议Ethernet:00E0.FC12.3456IP:Ethernet:00E0.FC12.3456IP=???我的地址是多少？我听到了广播你的地址是实现物理地址到逻辑地址的映射相关知识－RARP协议ARP协议用于把已知的IP地址解析为MAC地址代理ARP用于跨网段的IP地址解析RARP用于在数据链路层地址已知时解析IP地址通常网段内通信在主机之间直接进行，跨网段通信通过网关进行总结相关知识

网络层功能网络层设备静态路由及动态路由网络层协议ACL1、防火墙简介Internet公司总部内部网络未授权用户办事处对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。相关知识－ACL2、访问控制列表的作用访问控制列表可以用于防火墙；访问控制列表可用于Qos（QualityofService），对数据流量进行控制；在DCC中，访问控制列表还可用来规定触发拨号的条件；访问控制列表还可以用于地址转换；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。相关知识－ACL3、ACL的分类利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围IPstandardlist2000－2999IPextendedlist3000－3999相关知识－ACL（1）标准访问控制列表标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。从/24来的数据包可以通过！从/24来的数据包不能通过！路由器相关知识－ACL标准访问控制列表的配置定义标准访问列表的命令格式如下：acl

number

acl-number[match-order

config|auto]rule

{normal|special}{permit|deny}[sourcesource-addrsource-wildcard|

any]怎样利用IP地址和

反掩码wildcard-mask

来表示一个网段?相关知识－ACL如何使用反掩码反掩码和子网掩码相似，但写法不同：0表示需要比较1表示忽略比较反掩码和IP地址结合使用，可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位相关知识－ACL（2）扩展访问控制列表扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。从/24来的,到0的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器相关知识－ACL4、ACL配置命令（1）

启用防火墙定义ACL定义规则将访问控制列表应用到接口上Internet公司总部网络启用防火墙将访问控制列表应用到接口上相关知识－ACL4、ACL配置命令（2）（1）启用防火墙启用或者关闭防火墙：[H3C]firewall{enable|disable}设置防火墙的默认过滤模式：[H3C]firewalldefault{permit|deny}显示防火墙的状态信息：[H3C]displayfirewall（2）将访问控制列表应用到接口上将访问控制列表应用到接口上，需要指明在接口上是OUT还是IN方向。[H3C]intseria6/0[H3C-seria6/0]firewallpacket-filteracl-number[inbound|outbound]相关知识－ACL访问控制列表的组合一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较ruledenysource55rulepermitsource55两条规则结合则表示禁止一个大网段（）上的主机但允许其中的一小部分主机（）的访问。规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。相关知识－ACL在接口上应用访问控制列表将访问控制列表应用到接口上；指明在接口上是OUT还是IN方向。[H3C]intserial0/0[H3C-serial0/0]firewallpacket-filteracl-number[inbound|outbound]Ethernet0访问控制列表101作用在Ethernet0接口在out方向有效Serial0访问控制列表3作用在Serial0接口上在in方向上有效相关知识－ACL5、访问控制列表配置举例InternetFTP服务器Telnet服务器WWW服务器公司内部局域网特定的外部用户相关知识－ACL访问控制列表配置举例[H3C]firewallenable[H3C]firewalldefaultpermit[H3C]aclnumber2001[H3C-acl-2001]rulepermitipsource[H3C-acl-2001]rulepermitipsource[H3C-acl-2001]rulepermitipsource[H3C-acl-2001]rulepermitipsource[H3C-acl-2001]ruledenyipsourceanydestinationany[H3C]acl3002[H3C-acl-3002]rulepermittcpsourcedestination0[H3C-acl-3002]rulepermittcpsourceanydestinationdestination-portgreat-than1024[H3C-acl-3002]ruledenyipsourceanydestinationany

[H3C-GE0/0]firewallpacket-filter2001inbound[H3C-Serial0/0]firewallpacket-filter3002inbound相关知识－ACL任务实施

路由器配置三层交换机配置ACL广域网接入配置功能测试

路由器配置的基本步骤:（1）在配置路由器之前，需要将组网需求具体化、详细化，包括：组网目的、路由器在网络互连中的角色、子网的划分、广域网类型和传输介质的选择、网络的安全策略和网络可靠性需求等；（2）然后根据以上要素绘出一个清晰完整的组网图；（3）配置路由器的广域网接口；（4）根据子网的划分，配置路由器各接口的IP地址；（5）配置路由，如果需要启动动态路由协议，还需配置相关动态路由协议的工作参数；（6）如果有特殊的安全需求，则需进行路由器的安全性配置；（7）如果有特殊的可靠性需求，则需进行路由器的可靠性配置。任务实施－路由器配置任务实施

路由器配置三层交换机配置ACL广域网接入配置功能测试任务内容

在三层交换机H3CS5500-28C-PWR-EI和H3CS3610-28TP上实现销售业务部(608室、VLAN120)和客户服务部（511室、VLAN111）间VLAN的划分。PCA的IP地址为/24，属于VLAN120，PCA网关（VLAN120路由接口）IP地址为/24；PCBIP地址为/24，属于VLAN111，PCB网关（VLAN111路由接口）IP地址为/24，分配H3CS5500-28C-PWR-EI的互联网段地址为00/24，H3CS3610的互联网段地址为00/24。

任务实施－三层交换机配置任务目的

实现销售业务部(608室、VLAN120)和客户服务部（511室、VLAN111）间VLAN互通。任务组网

如右图。

[S5500]vlan120[S5500-vlan120]interfaceGigabitEthernet1/0/8[S5500-interfaceGigabitEthernet1/0/8]portaccessvlan120[S5500-interfaceGigabitEthernet1/0/8]vlan1000[S3610]vlan111[S3610-vlan120]interfaceGigabitEthernet1/1/3[S3610-interfaceGigabitEthernet1/1/3]portaccessvlan111[S3610-interfaceGigabitEthernet1/1/3]vlan10001、在5500和3610三层交换机上创建VLAN112和VLAN120，并配置相应接口和计算机属于特定VLAN。[S5500]interfaceVlan-interface120[S5500-Vlan-interface120]ipaddress[S5500-Vlan-interface120]interfaceVlan-interface1000[S5500-Vlan-interface1000]ipaddress00[S3610]interfaceVlan-interface111[S3610-Vlan-interface111]ipaddress[S3610-Vlan-interface111]interfaceVlan-interface1000[S3610-Vlan-interface1000]ipaddress002、配置各台PC的网关地址和交换机之间的网段地址任务实施－三层交换机配置任务步骤

[S5500-interfaceGigabitEthernet1/1/1]portlink-typetrunk[S5500-interfaceGigabitEthernet1/1/1]porttrunkpermitvlanall[S3610-interfaceGigabitEthernet1/1/4]portlink-typetrunk[S3610-interfaceGigabitEthernet1/1/4]porttrunkpermitvlanall

[S5500]iproute-static00[S3610]iproute-static00

配置完成后，VLAN111和VLAN120间网络达到互通。3、配置5500的G1/1/1和3610的G1/1/4之间链路为Trunk链路4、在二台三层交换机上配置非直连网段静态路由任务实施－三层交换机配置任务实施